นักวิจัยจาก Wiz พบช่องโหว่ใน PostgreSQL-as-a-Service จากผู้ให้บริการ Cloud หลายแห่ง เช่น Google Cloud Platform (GCP), Azure รวมไปถึงผู้ให้บริการรายอื่นๆ โดยช่องโหว่สามารถทำให้เกิดการยกระดับสิทธิ role ใน database เป็น cloudsqladmin ได้ จึงทำให้ผู้โจมตีสามารถสั่งรันโค้ดบนระบบปฏิบัติการได้, และยังสามารถยกระดับสิทธิเป็น root โดยใช้เทคนิด symlink attack และสุดท้ายเนื่องจาก container ใช้ network interfaces เดียวกันกับเครื่อง Host นักวิจัยจึงสามารถใช้วิธีการ TCP injection ปลอมแปลง response metadata service ทำให้สามารถควบคุม SSH key ของเครื่อง Host และทำการ remote เข้าเครื่อง Host ได้

PostgreSQL privilege escalation
เริ่มแรก user จะใช้สิทธิ cloudsqlsuperuser ซึ่งจะยังไม่สามารถ execute OS command ได้

เมื่อรวมสองเทคนิคเข้าด้วยกัน ถ้ามีการสร้าง table owner เป็น cloudsqladmin และ ใช้ index function run SQL query ด้วยสิทธิ owner จะทำให้นักวิจัยสามารถรัน OS command อะไรก็ได้โดยใช้ สิทธิของ cloudsqladmin

Local privilege escalation to root
นักวิจัยพบ directory /pgsql ที่ user postgres เป็น owner

ซึ่งภายใน directory จะมีไฟล์ iptables-save ที่ใช้สำหรับ iptables rules ซึ่งมี root เป็น owner

โดยทุกครั้งที่มีการแก้ไข network rule บน Cloud SQL console ไฟล์ iptables-save จะถูกอัปเดตด้วยทุกครั้ง

iptables-save

จากข้อมูลด้านบนทำให้นักวิจัยพบวิธีการโจมตีโดยมีขั้นตอนดังนี้

สร้าง shell shared library ไว้ที่ path ‘1.1.1.1/32’
สร้าง symlink iptables-save ไปที่ /etc/ld.

นักวิจัยจาก IBM พบปัญหาด้านความปลอดภัยบน Cisco Webex เมื่อต้นปีที่ผ่านมา ปัญหาดังกล่าวส่งผลให้ผู้ไม่หวังดีสามารถ

เข้าร่วมการประชุมแบบไม่เห็นตัวตน และสามารถเข้าถึงได้ทั้งเสียง, วิดีโอ, แชท และแชร์สกรีน (CVE-2020-3419)
แม้จะถูกไล่ออกจากห้องแล้ว แต่ก็ยังสามารถได้ยินเสียงในห้องประชุมแบบไม่เห็นตัวตนได้ (CVE-2020-3471)
เข้าถึงข้อมูลของสมาชิกที่เข้าร่วมประชุม อาทิเช่น ชื่อและนามสกุล, อีเมล และ IP Address โดยสามารถเข้าถึงข้อมูลเหล่านี้ได้แม้จะอยู่แค่ใน Lobby room ยังไม่ได้รับอนุญาตให้เข้าห้องก็ตาม (CVE-2020-3441)
ข้อมูลระบุว่าปัญหาดังกล่าวเกิดขึ้นในขั้นตอนการ Handshake ของการติดต่อกันระหว่างสมาชิกในห้องประชุม (Participants) ดังนั้นการโจมตีดังกล่าวนี้จะเกิดขึ้นได้เมื่อผู้ไม่หวังดีรู้ URL ของ Meeting เท่านั้น ปัญหานี้มีผลกระทบต่อ Webex บนระบบปฏิบัติการทั้ง macOS, iOS และ Windows รวมทั้ง Webex Meetings แอพพลิเคชั่น และ Webex Room Kit

ล่าสุด Cisco มีการอัพเดตแพทช์บน Cloud ของ Cisco Webex Meeting แล้ว และปล่อยอัพเดตสำหรับ Cisco Webex Meetings แอพพลิเคชั่นบนอุปกรณ์พกพา และซอฟต์แวร์ของ Cisco Webex Meetings Server แล้ว ผู้ใช้งานควรทำการอัพเดตทันที

ที่มา: bleepingcomputer

กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) ได้แจ้งเตือนถึงการโจมตีรูปแบบ ATP (Advanced Persistent Threat) จากกลุ่มแฮ็กเกอร์ที่คาดว่าเกี่ยวข้องกับรัฐบาลต่างประเทศ โดยเล็งเป้าหมายไปยังระบบ Cloud

DHS ยังกล่าวถึงภัยคุกคามในอดีตที่อาจเกี่ยวข้องกับเหตุการณ์โจมตีในปัจจุบัน เช่น "TA17-117A" ที่มีการใช้งาน Malware ที่ชื่อว่า RedLeaves โดยมีส่วนเกี่ยวข้องกับกลุ่ม APT10 ที่มาจากจีน รวมถึงอ้างอิงรายงานจาก 401TRG ว่าแฮกเกอร์จีนมีการเตรียมการโจมตีด้วย Supply Chain Attack ในช่วงเดือนพฤษภาคมที่ผ่านมา และรายงานในช่วงเดือนกรกฏาคมที่กล่าวถึงช่องโหว่ ERP (Enterprise Resource Planning) ที่อยู่บนระบบ Cloud

คำแนะนำจาก US-CERT คือให้ลดโอกาสที่จะถูกโจมตีโดยการใช้งาน Credential ที่เข้มงวด ร่วมกับ Privileged-Access Management (PAM) สามารถอ่านรายงานฉบับเต็มได้จากลิ้งก์ที่มา

ที่มา : zdnet

บริษัทด้านความปลอดภัย SEC Consult ได้ประกาศแจ้งเตือนการค้นพบช่องโหว่ด้านความปลอดภัยซึ่งส่งผลกระทบต่อ IBM InfoSphere DataStage และ IBM InfoSphere Information Server ซึ่งปัจจุบันได้รับการแพตช์โดยทาง IBM แล้ว
ช่องโหว่ด้านความปลอดภัยที่ถูกประกาศออกมานั้นมีทั้งหมด 5 ช่องโหว่ โดยมีช่องโหว่ที่มีความร้ายแรงสูงและสูงสุดซึ่งส่งผลให้ผู้โจมตีสามารถใช้ช่องโหว้ดังกล่าวในการวางไฟล์ที่เป็นอันตรายเพื่อยกระดับสิทธิ์หรือข้ามผ่านกระบวนการพิสูจน์ตัวตนได้
รุ่นของซอฟต์แวร์ที่ได้รับผลกระทบคือ IBM InfoSphere Datastage รุ่น 11.5, IBM InfoSphere Information Server รุ่น 9.1, 11.3 และ 11.5 และ IBM InfoSphere Information Server on Cloud เวอร์ชัน 11.5 แนะนำให้ตรวจสอบและอัพเดตแพตช์ด้วยความปลอดภัยโดยด่วน

ที่มา : securityweek

การโจมตีทางคอมพิวเตอร์ หรือ cyber attack อาจสร้างความเสียหายต่อเศรษฐกิจโลกถึง $121.4bn สอดคล้องกับรายงานจาก Lloyd’s of London หนึ่งในบริษัทประกันที่ใหญ่ที่สุดในโลก โดยในรายงานซึ่งเป็นการเขียนร่วมกันกับทาง Cyence (analytics platform provider) การที่เศรษฐกิจได้รับผลกระทบจาก cyber attack โดยตรงจะทำให้เกิดการสูญเสียเป็นวงกว้าง ถ้า cloud service หากเกิดความเสียหาย หรือถูกรบกวนให้ใช้งานไม่ได้ ความเสียหายอาจสูงถึง $4.6bn ไปจนถึง $53.1bn แต่ความเสียหายของเศรษฐกิจจะสูงหรือต่ำนั้นขึ้นอยู่กับปัจจัยต่างๆ
CEO ของทาง Lloyd ออกมาบอกว่ารายงานนี้ได้ทำให้มีการตระหนักถึงผลกระทบที่อาจเกิดขึ้นได้ และอาจยกระดับไปถึงขนาดสร้างผลกระทบเศรฐกิจโลกได้ และอาจทำให้เกิดการเรียกร้องค่าประกันกันมากขึ้น
ที่มา : infosecurity

เซิร์ฟเวอร์จัดเก็บข้อมูลของ Amazon Web Services มีการกำหนดค่าผิดพลาดทำให้ข้อมูลของผู้เช่าบริการรั่วไหลไปยังอินเทอร์เน็ต ดังนั้นบริษัทที่ใช้บริการ AWS S3 เพื่อจัดเก็บข้อมูลจึงมีความเสี่ยงที่จะถูกเปิดเผยข้อมูลที่เป็นความลับ เช่น ข้อมูลส่วนตัวของลูกค้า

ในรายงานที่ออกมาโดยที่ปรึกษาด้านความปลอดภัย Fryss Rosen จาก Detectify กล่าวว่าผู้ดูแลระบบเครือข่ายที่เช่าบริการ AWS S3 มักจะหละหลวมในการกำหนดค่า Access Control Lists (ACL) ของ AWS และผลที่ได้ก็ร้ายแรง Rosen ยืนยันว่ามีข้อผิดพลาดในเซิร์ฟเวอร์ AWS ที่ช่วยให้ผู้โจมตีสามารถระบุชื่อของ bucket S3 ได้ จากนั้นจะใช้ AWS Command Line เพื่อติดต่อกับ Amazon’s API โดยตรง แล้วผู้โจมตีสามารถเข้าถึงรายการ S3 list และอ่าน เขียน อัปโหลดไฟล์ลงใน bucket S3 หรือสามารถเปลี่ยนสิทธิ์การเข้าถึงโดยที่เจ้าหน้าที่ไม่สังเกตเห็น

การแก้ปัญหาทำได้ง่ายๆ เพราะ AWS มีเครื่องมือที่จะเปลี่ยนสิทธิ์ใน buckets และจำกัดสิทธิ์การเข้าถึงโดยทำตามขั้นตอนใน Link ต่อไปนี้ https://docs.

จากรายงานของบริษัท Solutionary ซึ่งเป็นบริษัทรักษาความปลอดภัยได้ระบุว่า ประเทศสหรัฐอเมริกาเป็นประเทศที่มีเซิร์ฟเวอร์ร์ที่เป็นโฮสของมัลแวร์มากที่สุด โดยคิดเป็น 44 เปอร์เซนต์จากโฮสทั้งหมดทั่วโลก โดยประเทศที่เป็นอันดับ 2 คือประเทศเยอรมันซึ่งมีโฮสคิดเป็น 9 เปอร์เซนต์เท่านั้น จากการตรวจสอบพบว่ามัลแวร์ได้มีการใช้บริการ Cloud มากขึ้นในการโฮสติ้ง โดยสาเหตุที่ทำให้มัลแวร์มีการใช้บริการ Cloud มากขึ้นเนื่องจากความง่ายในการสร้างเว็บไซต์จากเครื่องมือในปัจุบันและค่าใช้จ่ายที่ถูกลงถ้าใช้บริการผ่านระบบ Cloud ซึ่งจากระบบ Cloud นี้เองทำให้มัลแวร์สามารถซ่อนตัวเองอยู่ภายใต้ชื่อผู้ให้บริการเว็บไซต์โฮสติ้งดังๆ อย่างเช่น Amazon, GoDaddy และ Google ได้ เพื่อหลีกเลี่ยงการถูกตรวจจับขึ้น Blacklist ในรายงานได้ระบุว่า Amazon เป็นโฮสที่มีมัลแวร์เข้าไปใช้เป็นโฮสอยู่มากถึง 16 เปอร์เซ็นต์ของมัลแวร์ทั้งหมด และ GoDaddy ก็เป็นโฮสรองที่มีมัลแวร์เข้าไปใช้เป็นโฮสโดยคิดเป็น 14 เปอร์เซ็นต์ของมัลแวร์ทั้งหมด

ที่มา : net-security

การรักษาความปลอดภัยขั้นสุดท้ายเป็นปัญหาสำคัญขององค์กรจำนวนมาก เช่น รหัส root ของเครื่องเซิร์ฟเวอร์หลักในระบบ รหัสผ่านเพื่อเข้าถึง private key บนสมาร์ทการ์ด การเก็บรักษาข้อมูลเหล่านี้ส่วนมากต้องอาศัยการพิมพ์ออกมาเป็นกระดาษแล้วนำไปเก็บรักษาไว้ที่ปลอดภัยเช่นตู้เซฟธนาคารที่ต้องการกุญแจสองดอกให้เปิดพร้อมกันจึงนำข้อมูลออกมาใช้งานได้ ตอนนี้ CloudFlare ผู้ให้บริการ reverse proxy รายใหญ่ก็นำโครงการภายในที่ชื่อว่า Red October ออกมาให้ใช้งานกัน
Red October คือเซิร์ฟเวอร์เข้ารหัสและถอดรหัส โดยไม่มีข้อมูลที่ต้องการเก็บรักษาอยู่บนเซิร์ฟเวอร์จริง ในตัวเซิร์ฟเวอร์ของ Red October นั้นจะเก็บกุญแจ RSA ของผู้ใช้ทุกคนเอาไว้ เมื่อมีการร้องขอให้เข้ารหัสข้อมูลใดๆ เซิร์ฟเวอร์จะ

สร้างกุญแจสมมาตรโดยสุ่มเลขขึ้นมาใหม่
เข้ารหัสข้อมูลด้วยกุญแจสมมาตรนั้น
จับกลุ่มทุกกลุ่มที่เป็นไปได้ ตามที่ผู้ขอให้เข้ารหัสกำหนด เช่น กำหนดผู้ใช้ที่มีสิทธิ์ถอดรหัส 3 คน โดยต้องใช้ 2 คนถอดรหัส จะจับได้ 3 กลุ่ม (3 เลือก 2)
ใช้กุญแจสาธารณะของแต่ละคนในแต่ละกลุ่มเข้ารหัสกุญแจสมมาตรเป็นชั้นๆ จนครบจำนวนคนแล้วจัดเก็บ

กระบวนการถอดรหัสนั้นกลับข้างกัน โดยผู้ใช้จะต้องล็อกอินในระบบแล้ว "ให้สิทธิ์" (delegate) ในการเข้าถึงกุญแจส่วนตัว (private key) กับเซิร์ฟเวอร์โดยระบุระยะเวลา การให้สิทธิ์ต้องระบุระยะเวลาและจำนวนครั้งที่ใช้งานได้ เมื่อมีผู้ใช้ร้องขอการถอดรหัสข้อมูล ข้อมูลที่ใส่เข้ามาจะมีข้อมูลอยู่แล้วว่าใครเป็นผู้ถอดรหัสได้บ้าง เซิร์ฟเวอร์จะเข้าไปตามหาว่าผู้ใช้เหล่านั้นได้ให้สิทธิ์ไว้หรือไม่ หากให้สิทธิ์ไว้ครบจำนวนคนก็จะถอดรหัสไปได้

ในการใช้งานจริง เช่น ผู้ดูแลระบบต้องการเข้าถึงรหัส root ของเซิร์ฟเวอร์ตัวหนึ่ง เขาอาจจะต้องเดินไปบอกหัวหน้าฝ่ายสองคนพร้อมกัน หัวหน้าฝ่ายทั้งสองคนก็ล็อกอินเข้ามาให้สิทธิ์กับเซิร์ฟเวอร์คนละสิบนาที เราสามารถดึงไฟล์รหัสผ่านที่เข้ารหัสไว้ แล้วนำมาขอถอดรหัสได้

กระบวนการนี้เลียนแบบการปล่อยอาวุธนิวเคลียร์ที่มีกฎ two-man rule คือ ห้ามมีใครคนใดคนหนึ่งมีสิทธิ์ปล่อยอาวุธนิวเคลียร์ด้วยตัวเอง Red October คงมีจุดอ่อนสำคัญคือการวางกุญแจส่วนตัว RSA ไว้ในเซิร์ฟเวอร์ หากเซิร์ฟเวอร์ถูกเจาะไปได้และมีการดัดแปลงโค้ดเพื่อเก็บรหัสผ่านสำหรับการเปิดไฟล์กุญแจลับนี้ก็คงทำให้แฮกเกอร์ดึงข้อมูลออกไปได้ แต่ทั้งนี้มันเป็นระบบจัดการสิทธิ์ที่พึ่งรหัสวิทยาอย่างมากเทียบกับระบบ workflow อื่นๆ ที่มักไม่มีการเข้ารหัสใดๆ ทาง CloudFlare เปิดให้ดาวน์โหลด Red October ไปใช้งานได้ฟรี รวมถึงนำซอร์สโค้ดไปตรวจสอบความปลอดภัยได้

ที่มา : blognone

การรักษาความปลอดภัยขั้นสุดท้ายเป็นปัญหาสำคัญขององค์กรจำนวนมาก เช่น รหัส root ของเครื่องเซิร์ฟเวอร์หลักในระบบ รหัสผ่านเพื่อเข้าถึง private key บนสมาร์ทการ์ด การเก็บรักษาข้อมูลเหล่านี้ส่วนมากต้องอาศัยการพิมพ์ออกมาเป็นกระดาษแล้วนำไปเก็บรักษาไว้ที่ปลอดภัยเช่นตู้เซฟธนาคารที่ต้องการกุญแจสองดอกให้เปิดพร้อมกันจึงนำข้อมูลออกมาใช้งานได้ ตอนนี้ CloudFlare ผู้ให้บริการ reverse proxy รายใหญ่ก็นำโครงการภายในที่ชื่อว่า Red October ออกมาให้ใช้งานกัน
Red October คือเซิร์ฟเวอร์เข้ารหัสและถอดรหัส โดยไม่มีข้อมูลที่ต้องการเก็บรักษาอยู่บนเซิร์ฟเวอร์จริง ในตัวเซิร์ฟเวอร์ของ Red October นั้นจะเก็บกุญแจ RSA ของผู้ใช้ทุกคนเอาไว้ เมื่อมีการร้องขอให้เข้ารหัสข้อมูลใดๆ เซิร์ฟเวอร์จะ

สร้างกุญแจสมมาตรโดยสุ่มเลขขึ้นมาใหม่
เข้ารหัสข้อมูลด้วยกุญแจสมมาตรนั้น
จับกลุ่มทุกกลุ่มที่เป็นไปได้ ตามที่ผู้ขอให้เข้ารหัสกำหนด เช่น กำหนดผู้ใช้ที่มีสิทธิ์ถอดรหัส 3 คน โดยต้องใช้ 2 คนถอดรหัส จะจับได้ 3 กลุ่ม (3 เลือก 2)
ใช้กุญแจสาธารณะของแต่ละคนในแต่ละกลุ่มเข้ารหัสกุญแจสมมาตรเป็นชั้นๆ จนครบจำนวนคนแล้วจัดเก็บ

กระบวนการถอดรหัสนั้นกลับข้างกัน โดยผู้ใช้จะต้องล็อกอินในระบบแล้ว "ให้สิทธิ์" (delegate) ในการเข้าถึงกุญแจส่วนตัว (private key) กับเซิร์ฟเวอร์โดยระบุระยะเวลา การให้สิทธิ์ต้องระบุระยะเวลาและจำนวนครั้งที่ใช้งานได้ เมื่อมีผู้ใช้ร้องขอการถอดรหัสข้อมูล ข้อมูลที่ใส่เข้ามาจะมีข้อมูลอยู่แล้วว่าใครเป็นผู้ถอดรหัสได้บ้าง เซิร์ฟเวอร์จะเข้าไปตามหาว่าผู้ใช้เหล่านั้นได้ให้สิทธิ์ไว้หรือไม่ หากให้สิทธิ์ไว้ครบจำนวนคนก็จะถอดรหัสไปได้

ในการใช้งานจริง เช่น ผู้ดูแลระบบต้องการเข้าถึงรหัส root ของเซิร์ฟเวอร์ตัวหนึ่ง เขาอาจจะต้องเดินไปบอกหัวหน้าฝ่ายสองคนพร้อมกัน หัวหน้าฝ่ายทั้งสองคนก็ล็อกอินเข้ามาให้สิทธิ์กับเซิร์ฟเวอร์คนละสิบนาที เราสามารถดึงไฟล์รหัสผ่านที่เข้ารหัสไว้ แล้วนำมาขอถอดรหัสได้

กระบวนการนี้เลียนแบบการปล่อยอาวุธนิวเคลียร์ที่มีกฎ two-man rule คือ ห้ามมีใครคนใดคนหนึ่งมีสิทธิ์ปล่อยอาวุธนิวเคลียร์ด้วยตัวเอง Red October คงมีจุดอ่อนสำคัญคือการวางกุญแจส่วนตัว RSA ไว้ในเซิร์ฟเวอร์ หากเซิร์ฟเวอร์ถูกเจาะไปได้และมีการดัดแปลงโค้ดเพื่อเก็บรหัสผ่านสำหรับการเปิดไฟล์กุญแจลับนี้ก็คงทำให้แฮกเกอร์ดึงข้อมูลออกไปได้ แต่ทั้งนี้มันเป็นระบบจัดการสิทธิ์ที่พึ่งรหัสวิทยาอย่างมากเทียบกับระบบ workflow อื่นๆ ที่มักไม่มีการเข้ารหัสใดๆ ทาง CloudFlare เปิดให้ดาวน์โหลด Red October ไปใช้งานได้ฟรี รวมถึงนำซอร์สโค้ดไปตรวจสอบความปลอดภัยได้

ที่มา : blognone

การรักษาความปลอดภัยขั้นสุดท้ายเป็นปัญหาสำคัญขององค์กรจำนวนมาก เช่น รหัส root ของเครื่องเซิร์ฟเวอร์หลักในระบบ รหัสผ่านเพื่อเข้าถึง private key บนสมาร์ทการ์ด การเก็บรักษาข้อมูลเหล่านี้ส่วนมากต้องอาศัยการพิมพ์ออกมาเป็นกระดาษแล้วนำไปเก็บรักษาไว้ที่ปลอดภัยเช่นตู้เซฟธนาคารที่ต้องการกุญแจสองดอกให้เปิดพร้อมกันจึงนำข้อมูลออกมาใช้งานได้ ตอนนี้ CloudFlare ผู้ให้บริการ reverse proxy รายใหญ่ก็นำโครงการภายในที่ชื่อว่า Red October ออกมาให้ใช้งานกัน
Red October คือเซิร์ฟเวอร์เข้ารหัสและถอดรหัส โดยไม่มีข้อมูลที่ต้องการเก็บรักษาอยู่บนเซิร์ฟเวอร์จริง ในตัวเซิร์ฟเวอร์ของ Red October นั้นจะเก็บกุญแจ RSA ของผู้ใช้ทุกคนเอาไว้ เมื่อมีการร้องขอให้เข้ารหัสข้อมูลใดๆ เซิร์ฟเวอร์จะ

สร้างกุญแจสมมาตรโดยสุ่มเลขขึ้นมาใหม่
เข้ารหัสข้อมูลด้วยกุญแจสมมาตรนั้น
จับกลุ่มทุกกลุ่มที่เป็นไปได้ ตามที่ผู้ขอให้เข้ารหัสกำหนด เช่น กำหนดผู้ใช้ที่มีสิทธิ์ถอดรหัส 3 คน โดยต้องใช้ 2 คนถอดรหัส จะจับได้ 3 กลุ่ม (3 เลือก 2)
ใช้กุญแจสาธารณะของแต่ละคนในแต่ละกลุ่มเข้ารหัสกุญแจสมมาตรเป็นชั้นๆ จนครบจำนวนคนแล้วจัดเก็บ

กระบวนการถอดรหัสนั้นกลับข้างกัน โดยผู้ใช้จะต้องล็อกอินในระบบแล้ว "ให้สิทธิ์" (delegate) ในการเข้าถึงกุญแจส่วนตัว (private key) กับเซิร์ฟเวอร์โดยระบุระยะเวลา การให้สิทธิ์ต้องระบุระยะเวลาและจำนวนครั้งที่ใช้งานได้ เมื่อมีผู้ใช้ร้องขอการถอดรหัสข้อมูล ข้อมูลที่ใส่เข้ามาจะมีข้อมูลอยู่แล้วว่าใครเป็นผู้ถอดรหัสได้บ้าง เซิร์ฟเวอร์จะเข้าไปตามหาว่าผู้ใช้เหล่านั้นได้ให้สิทธิ์ไว้หรือไม่ หากให้สิทธิ์ไว้ครบจำนวนคนก็จะถอดรหัสไปได้

ในการใช้งานจริง เช่น ผู้ดูแลระบบต้องการเข้าถึงรหัส root ของเซิร์ฟเวอร์ตัวหนึ่ง เขาอาจจะต้องเดินไปบอกหัวหน้าฝ่ายสองคนพร้อมกัน หัวหน้าฝ่ายทั้งสองคนก็ล็อกอินเข้ามาให้สิทธิ์กับเซิร์ฟเวอร์คนละสิบนาที เราสามารถดึงไฟล์รหัสผ่านที่เข้ารหัสไว้ แล้วนำมาขอถอดรหัสได้

กระบวนการนี้เลียนแบบการปล่อยอาวุธนิวเคลียร์ที่มีกฎ two-man rule คือ ห้ามมีใครคนใดคนหนึ่งมีสิทธิ์ปล่อยอาวุธนิวเคลียร์ด้วยตัวเอง Red October คงมีจุดอ่อนสำคัญคือการวางกุญแจส่วนตัว RSA ไว้ในเซิร์ฟเวอร์ หากเซิร์ฟเวอร์ถูกเจาะไปได้และมีการดัดแปลงโค้ดเพื่อเก็บรหัสผ่านสำหรับการเปิดไฟล์กุญแจลับนี้ก็คงทำให้แฮกเกอร์ดึงข้อมูลออกไปได้ แต่ทั้งนี้มันเป็นระบบจัดการสิทธิ์ที่พึ่งรหัสวิทยาอย่างมากเทียบกับระบบ workflow อื่นๆ ที่มักไม่มีการเข้ารหัสใดๆ ทาง CloudFlare เปิดให้ดาวน์โหลด Red October ไปใช้งานได้ฟรี รวมถึงนำซอร์สโค้ดไปตรวจสอบความปลอดภัยได้

ที่มา : blognone