WhatsApp เข้ารหัสฐานข้อมูลผู้ติดต่อสำหรับการซิงค์ข้อมูลเพื่อรักษาความเป็นส่วนตัว

แพลตฟอร์มส่งข้อความ WhatsApp ได้เปิดตัว Identity Proof Linked Storage (IPLS) ซึ่งเป็นระบบจัดเก็บข้อมูลเข้ารหัสที่รักษาความเป็นส่วนตัวรูปแบบใหม่ ที่ได้รับการออกแบบมาสำหรับการจัดการรายชื่อผู้ติดต่อ

ระบบใหม่นี้ช่วยแก้ปัญหาสองประการที่ผู้ใช้ WhatsApp เผชิญมายาวนาน นั่นคือความเสี่ยงในการสูญเสียรายชื่อผู้ติดต่อหากทำโทรศัพท์หาย และไม่สามารถซิงค์ข้อมูลรายชื่อผู้ติดต่อระหว่างอุปกรณ์ต่าง ๆ ได้ ด้วย IPLS รายชื่อผู้ติดต่อของ WhatsApp จะเชื่อมโยงกับบัญชีแทนที่จะเป็นอุปกรณ์ ทำให้ผู้ใช้สามารถจัดการรายชื่อผู้ติดต่อได้อย่างง่ายดายระหว่างการเปลี่ยนอุปกรณ์

นอกจากนี้ IPLS ยังทำให้สามารถจัดการรายชื่อผู้ติดต่อที่แตกต่างกันสำหรับบัญชีต่าง ๆ หลายบัญชีบนอุปกรณ์เดียวกันได้ โดยแต่ละบัญชีได้รับการจัดการอย่างปลอดภัย และแยกออกจากบัญชีอื่น ๆ

ระบบเข้ารหัสที่ปลอดภัย

IPLS รักษาความปลอดภัยด้วยการผสมผสานการเข้ารหัส, ความโปร่งใสของคีย์ และการใช้โมดูลรักษาความปลอดภัยฮาร์ดแวร์ (HSM) และเมื่อเพิ่มผู้ติดต่อใหม่ ชื่อจะถูกเข้ารหัสโดยใช้คีย์เข้ารหัสแบบ symmetric ที่สร้างขึ้นบนอุปกรณ์ของผู้ใช้ และจัดเก็บไว้ใน Key Vault ป้องกันการเข้าถึงที่ใช้ HSM ของ WhatsApp

เมื่อผู้ใช้เข้าสู่ระบบในอุปกรณ์ใหม่ เซสชันที่ปลอดภัยโดยใช้ Key Vault ที่ใช้ HSM จะถูกสร้างขึ้นเพื่อดึงข้อมูลผู้ติดต่อใหม่โดยดำเนินการตรวจสอบสิทธิ์โดยใช้ keypair เข้ารหัสที่เชื่อมโยงกับบัญชีผู้ใช้ (สร้างขึ้นเมื่อลงทะเบียน)

IPLS รับประกันว่าข้อมูลผู้ติดต่อทั้งหมดได้รับการเข้ารหัสแบบ end-to-end ซึ่งหมายความว่าข้อมูลผู้ติดต่อได้รับการเข้ารหัสบนอุปกรณ์ของผู้ใช้ และยังคงได้รับการเข้ารหัสในขณะที่ข้อมูลเคลื่อนผ่านระบบของ WhatsApp ซึ่งป้องกันการดักจับระหว่างการส่ง หรือการเข้าถึงจากพนักงาน Meta ที่ไม่ปลอดภัย

WhatsApp ยังจับมือเป็นพันธมิตรกับ Cloudflare ในการตรวจสอบการดำเนินการเข้ารหัสโดย third-party ได้อย่างอิสระ โดยเฉพาะอย่างยิ่งเพื่อทำหน้าที่เป็นผู้รับประกันการอัปเดตใน Auditable Key Directory (AKD) โดย signing ในแต่ละแบบ และตรวจสอบว่าข้อมูลนั้นไม่ได้ถูกดัดแปลงใด ๆ

WhatsApp เผยแพร่หลักฐานความสอดคล้องที่ตรวจสอบได้สำหรับการอัปเดตไดเร็กทอรีหลัก ไปยังอินสแตนซ์ Amazon S3 ที่สามารถเข้าถึงได้จากสาธารณะ ช่วยให้ผู้ใช้งาน, นักวิจัย และผู้ตรวจสอบสามารถตรวจสอบความสมบูรณ์ของ AKD ได้อย่างอิสระ

ก่อนที่ IPLS และกลไกพื้นฐานจะถูกนำเสนอต่อสาธารณะ WhatsApp ได้ทำสัญญากับ NCC Group เพื่อทำการตรวจสอบความปลอดภัยในระบบใหม่

การค้นพบที่สำคัญที่สุดของการตรวจสอบดังกล่าวคือช่องโหว่ที่ทำให้สามารถปลอมแปลง HSM ของ Marvell และถอดรหัสข้อมูล secret key ของผู้ใช้ได้ ซึ่งอาจทำให้ข้อมูลเมตาของผู้ติดต่อส่วนตัวถูกเปิดเผย

WhatsApp แก้ไขปัญหานี้พร้อมกับช่องโหว่ 12 รายการที่ได้รับการประเมินว่ามีระดับความรุนแรงระดับต่ำจนถึงปานกลางในเดือนกันยายน 2024 ดังนั้นจึงไม่มีอยู่ในรุ่นสุดท้ายของ IPLS

ที่มา : bleepingcomputer.

แจ้งเตือน! NCC Group พบกลุ่มเเฮกเกอร์พยายามใช้ประโยชน์จากช่องโหว่ CVE-2021-22986 ในอุปกรณ์ F5 BIG-IP โจมตีอุปกรณ์ที่ไม่ได้รับการอัปเดตแพตช์เป็นจำนวนมาก

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากบริษัท NCC Group และนักวิจัยด้านรักษาความปลอดภัยจาก Bad Packets ได้ตรวจพบการพยายามใช้ช่องโหว่ CVE-2021-22986 ในอุปกรณ์ F5 BIG-IP และ BIG-IQ อย่างมากในสัปดาห์ที่ผ่านมา

สืบเนื่องมาจากเมื่อช่วงต้นเดือนมีนาคม F5 Networks ได้เปิดตัว การอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ร้ายเเรงจำนวน 7 รายการในผลิตภัณฑ์ BIG-IP ซึ่งสามารถอ่านรายละเอียดได้ที่: i-secure

โดยหลังจากที่นักวิจัยด้านความปลอดภัยได้ทำการเผยแพร่โค้ด Proof-of-Concept สำหรับช่องโหว่ทางสาธารณะหลังจากที่ทาง F5 Networks ได้ทำการการแก้ไขช่องโหว่แล้ว ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก NCC Group และ Bad Packets ได้สังเกตเห็นกลุ่มแฮกเกอร์หลายกลุ่มเริ่มทำการโจมตีอุปกรณ์ F5 BIG-IP และ BIG-IQ ที่ไม่ได้รับการอัปเดตเเพตช์จำนวนมาก นอกจากนี้ทีม Unit 42 จาก Palo Alto Networks ยังได้พบการพยายามที่จะใช้ประโยชน์จากช่องโหว่ CVE-2021-22986 เพื่อทำการติดตั้ง Mirai botnet ในรุ่นต่างๆ แต่ในขณะนี้ยังมีไม่ความชัดเจนการโจมตีเหล่านั้นประสบความสำเร็จหรือไม่

สำหรับช่องโหว่ CVE-2021-22986 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ช่วยให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งได้ในส่วน iControl REST interface ซึ่งมีคะแนน CVSS อยู่ที่ 9.8 /10 และมีผลต่ออุปกรณ์ BIG-IP และ BIG-IQ

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ออกมาแนะนำให้ผู้ดูแลระบบควรรีบทำการอัปเดตเเพตช์โดยด่วนเพื่อป้องกันการตกเป็นเป้าหมายของการโจมตีจากผู้ประสงค์ร้าย

ที่มา: securityaffairs, bleepingcomputer, thehackernews

NCC Group พบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ Zero-day ของ SonicWall SMA ซีรีส์ 100 เพื่อทำการโจมตีในวงกว้าง

NCC Group บริษัทรักษาความปลอดภัยทางไซเบอร์ได้ออกมาเปิดเผยถึงการพบการใช้ประโยชน์จากช่องโหว่ Zero-day ของ SonicWall SMA ซีรีส์ 100 เป็นจำนวนมาก

สืบเนื่องมาจากวันที่ 22 มกราคมที่ผ่านมา บริษัท SonicWall ได้เปิดเผยถึงเหตุการณ์การโจมตีระบบภายในเครือข่ายของบริษัทโดยใช้ช่องโหว่ Zero-day ที่อยู่ภายในในอุปกรณ์เครือข่ายของ SonicWall และจากการตรวจสอบพบช่องโหว่ Zero-day ที่จะส่งผลกระทบต่อชุดอุปกรณ์ SMA ซีรีส์ 100 ที่ใช้เฟิร์มแวร์ 10.x

ในช่วงสุดสัปดาห์ที่ผ่านมา NCC Group ได้ตรวจพบการพยายามใช้ประโยชน์จากช่องโหว่ Zero-day ของอุปกรณ์ SonicWall SMA ซีรีส์ 100 เป็นจำนวนมาก ซึ่งยังไม่แน่ชัดว่าช่องโหว่ที่ถูกพยายามใช้ประโยชน์นี้จะเป็นช่องโหว่เดียวกันกับที่ SonicWall ได้ทำการเปิดเผยเมื่อเร็วๆ นี้หรือไม่ โดย NCC Group ไม่ได้ให้รายละเอียดของการใช้ประโยชน์จากช่องโหว่ Zero-day เพื่อป้องกันการใช้ในทางที่ผิด

ทั้งนี้ SonicWall ได้ออกประกาศว่าแพตช์แก้ไขความปลอดภัยของช่องโหว่จะพร้อมใช้งานในวันที่ 2 กุมภาพันธ์ 2021 โดยในขณะรอเเพตช์ความปลอดภัย SonicWall ได้แนะนำให้ลูกค้าทำการดาวน์เกรดอุปกรณ์เพื่อใช้เฟิร์มแวร์ 9.x และหาก SMA 100 ซีรีส์ (10.x) อยู่หลังไฟร์วอลล์ให้ทำการบล็อกการเข้าถึง SMA 100 ทั้งหมดบนไฟร์วอลล์ จากนั้นเปิดใช้งาน Multi Factor Authentication (MFA) บนอุปกรณ์และที่สำคัญยิ่งไปกว่านั้น คือจำกัดการเข้าถึงอินเทอร์เฟซการจัดการระบบเฉพาะ IP ที่อนุญาตพิเศษเท่านั้นเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer | zdnet

แจ้งเตือนช่องโหว่ Template Injection ล่าสุดใน Pulse Connect Secure ทำ RCE ได้

Richard Warren จาก NCC Group เปิดเผยข้อมูลการค้นพบช่องโหว่ล่าสุดใน Pulse Connect Secure (PCS) โดยมีรหัสช่องโหว่คือ CVE-2020-8243 และมีคะแนน CVSSv3 เป็น 7.2 ช่องโหว่นี้เป็นช่องโหว่ในลักษณะของ template injection ซึ่งส่งผลให้ผู้โจมตีผ่านการพิสูจน์และมีสิทธิ์ของระบบสามารถรันโค้ดอันตรายด้วยสิทธิ์ root ได้

ปัญหาของช่องโหว่นี้เกิดจากการที่อุปกรณ์มีการเปิดให้บัญชีซึ่งมีสิทธิ์เป็นผู้ดูแลระบบสามารถอัปโหลดเทมเพลตสำหรับการปรับแต่งหน้าล็อกอินและหน้าการประชุมได้ แม้จะมีการบล็อกเมธอดอันตรายในเอนจิน Perl Template Toolkit ซึ่งเป็นส่วนประมวลผลแล้ว ผู้โจมตีก็ยังคงสามารถข้ามผ่านมาตรการป้องกันและอัปโหลดเทมเพลตที่เป็นอันตรายได้ต่อ

การแก้ไขช่องโหว่นี้สามารถทำได้โดยการอัปโหลดรุ่นของอุปกรณ์ Pulse Connect Secure และ Pulse Policy Secure 9.1R8.2 หรือมากกว่า ขอให้ทำการอัปเดตแพตช์โดยด่วนเพื่อลดความเสี่ยงของการใช้ช่องโหว่เพื่อโจมตีและฝังแบ็คดอร์ไว้ในระบบ

ที่มา : nccgroup

CREST exam cheat-sheet scandal: New temp chairman at UK infosec body as lawyers and ex-copper get involved

กรณีการรั่วไหลของ CREST: ผู้บริหารชั่วคราวขึ้นรับผิดชอบการตรวจสอบ ว่าจ้างฝ่ายกฎหมายและฝ่ายสืบสวนจากภายนอกเข้าร่วม

จากกรณีของการรั่วไหลของข้อมูลและรายละเอียดการสอบ CREST จาก NCC Group ซึ่งไอ-ซีเคียวได้เคยนำเสนอมาก่อนหน้า CREST ได้เริ่มทำการตรวจสอบภายในแล้วโดยมี Rob Dartnall ขึ้นเป็นผู้บริหารและควบคุมการสอบสวนชั่วคราว ในขณะที่ Mark Turner ซึ่งเป็นพนักงานระดับ Director ของ NCC Group และยังเป็นหนึ่งในบอร์ดของ CREST ได้ตัดสินใจหยุดการทำหน้าที่ชั่วคราวเพื่อให้การสืบสวนสามารถดำเนินการต่อได้โดยไม่มีข้อกังขาจากภายนอก

อ้างอิงจากข้อมูลล่าสุด CREST ได้มีการว่าจ้างฝ่ายกฎหมายและฝ่ายสืบสวนจากภายนอกเข้ามาร่วมตรวจสอบการรั่วไหลของข้อมูลครั้งนี้ โดยแหล่งข่าวมีการระบุว่าฝ่ายสืบสวนที่มีส่วนร่วมนั้นเป็นอดีตหัวหน้าตำรวจสืบสวนเก่าที่มีประสบการณ์และน่าจะมีความน่าเชื่อถือมากพอในการรับมือกับเหตุการณ์นี้ ในขณะเดียวกัน CREST ยังได้มีการกำชับฝ่ายกฎหมายให้เข้ารับผิดชอบการเจรจาและพูดคุยกับทาง NCC Group เพื่อระบุหาข้อมูลที่เป็นไปได้และเป็นประโยชน์ต่อรูปสถานการณ์

นอกเหนือจากความคืบหน้าในการสืบสวน The Register ซึ่งเป็นผู้รายงานข่าวนี้นั้นยังได้รับข้อมูลเพิ่มเติมถึงรายละเอียดข้อมูลที่รั่วไหลออกมา โดยหนึ่งในข้อมูลที่หลายรั่วออกมาอยู่ในลักษณะของไฟล์นำเสนอที่มีโลโก้ของ NCC Group โดยภายในมีรายละเอียดอย่างชัดเจนถึงวิธีในการผ่านกระบวนการสอบของ CREST รายขั้นตอน ไอ-ซีเคียวจะรายงานในประเด็นนี้เพิ่มเติมหากมีความคืบหน้าต่อไป

ที่มา: theregister.

อย่าเชื่อแค่มี Cert มาโชว์! ข้อมูลเตรียมสอบ CREST พร้อมตัวช่วยและตัวอย่างข้อสอบหลุดจาก NCC Group กระพือข่าวดีลลับเพื่อช่วยให้สอบผ่านและได้ Cert

มีการตรวจพบข้อมูลสำหรับการสอบ CREST Registered Penetration Tester หรือ CRT ซึ่งมีการปรากฎของโลโก้บริษัทด้าน Cybersecurity ชื่อดัง "NCC Group" ถูกเผยแพร่บน GitHub โดยข้อมูลที่ถูกเผยแพร่นั้นประกอบไปด้วยเอกสารการอบรม, เอกสารอธิบายขั้นตอนตามลำดับในการทำข้อสอบของ CREST รวมไปถึงโน้ตที่มีการอ้างอิงถึง "เวอร์ชันโคลนของแอปที่ใช้สอบเพื่อให้ผ่านในครั้งแรก", "อุปกรณ์ภายในที่เกี่ยวข้องกับสอบ CRT" รวมไปถึงเนื้อหาข้อสอบบางส่วนด้วย

การปรากฎของข้อมูลดังกล่าวทำให้ประเด็นของการมี "ดีลลับ" ระหว่างบริษัท NCC Group และสถาบัน CREST กลายเป็นประเด็นขึ้นมา หนึ่งในแหล่งข่าวที่ให้ข้อมูลกับ The Register นั้นกล่าวว่า การมีอยู่ของข้อมูลดังกล่าวนั้นถือว่าเป็น Open secret ในวงการ Cybersecurity ของสหราชอาณาจักรมานานแล้วเพียงแต่รู้กันในวงแคบ การปรากฎของข้อมูลดังกล่าวเป็นหลักฐานชิ้นสำคัญที่อาจช่วยยืนยันว่ากระบวนการ Certification ที่เชื่อถือกันมานานนั้นอาจไม่ได้มีความน่าเชื่อถือเท่าที่เราคิดกัน

สถาบันด้านการอบรมเกี่ยวกับ Cybersecurity พร้อม Certification ชื่อดังในประเทศอังกฤษ "CREST" ออกมายอมรับและยืนยันข้อมูลความเป็นจริงของข้อมูลดังกล่าวและกล่าวว่าจะดำเนินการสืบสวนต่อเนื่องจากเป็นการผิด NDA อย่างร้ายแรงซึ่งอาจส่งผลให้เกิดการยึดคืน Certificate ในขณะเดียวกันทาง NCC Group ก็ออกมาแถลงว่าเอกสารดังกล่าวว่าแม้จะมีการปรากฎของโลโก้ NCC Group แต่เอกสารดังกล่าวก็ไม่เกี่ยวข้องกับ NCC Group แต่อย่างใด และยังยืนยันถึงความเคารพในกระบวนการของ CREST ด้วย

ที่มา: theregister.