ไมโครซอฟท์ออกเครื่องมือสืบสวนเพื่อหลบเลี่ยงระบบความปลอดภัยของวินโดวส์
on 30 April, 2008 - 10:09.
tags:
ไมโครซอฟท์ได้ออกมายอมรับว่าบริษัทได้สร้างเทคโนโลยีที่เรียกว่า Computer Online Forensic Evidence Extractor (COFEE) ที่เป็นซอฟต์แวร์กว่า 150 คำสั่งเพื่อใช้ในการเลี่ยงระบบรักษาความปลอดภัยของวินโดวส์เอง โดยซอฟต์แวร์ในชุดนี้จะสามารถถอดรหัสผ่านออกมาเป็นตัวอักษรปรกติ, ตรวจสอบประวัติการใช้อินเทอร์เน็ต, หรือค้นหาหลักฐานอื่นๆ
ยังไม่มีรายละเอียดในเชิงเทคนิคของซอฟต์แวร์ชุดนี้แต่อย่างใด แต่ซอฟต์แวร์ชุดนี้ได้รับการเผยแพร่ไปตั้งแต่ปีที่แล้ว และคาดว่าในตอนนี้จะมีเจ้าหน้าที่ประมาณ 2,000 คนจาก 15 ประเทศที่สามารถใช้งานซอฟต์แวร์ชุดนี้ได้ โดยไมโครซอฟท์แจกจ่ายซอฟต์แวร์ชุดนี้โดยไม่คิดมูลค่าแต่อย่างใด
น่าสนใจว่าการออกเทคโนโลยีเช่นนี้เป็นธรรมต่อผู้บริโภคที่จ่ายเงินเพื่อซื้อสินค้าของไมโครซอฟท์หรือไม่ แต่ไมโครซอฟท์ก็มีนโยบายเช่นนี้มาหลายครั้งเช่นวินโดวส์วิสต้าที่ไม่สามารถใช้งานกับหูฟังแบบ Bluetooth ได้เพราะไม่รองรับ DRM ทำให้ผู้ใช้ไม่สามารถใช้งานบางส่วนได้ทั้งที่ไม่มีประเด็นด้านเทคนิคใดๆ และครั้งนี้คงเป็นอีกครั้งที่ลูกค้าอาจจะต้องยอมรับนโยบายของไมโครซอฟท์
ที่มา - ArsTechnica, The Seattle Times
UPDATE: ล่าสุดทางไมโครซอฟท์ได้ติดต่อทาง The Seattle Times เพื่ออธิบายว่า COFEE นั้นเป็นเพียงการรวมเอาเครื่องมือการเก็บหลักฐานเข้าไว้ด้วยกันและเพิ่มความสะดวกในการทำงานแบบอัตโนมัติ โดยไม่ได้ใช้ช่องทางพิเศษที่ไม่มีใครรู้แต่อย่างใด โดยความตั้งใจของเครื่องมือชุดนี้คือการลดเวลาการเก็บหลักฐานจากเดิมที่ต้องใช้มากกว่าสี่ชั่วโมงให้ลดลง
ไมโครซอฟท์ยืนยันว่าเครื่องมือชุดนี้ออกมาด้วยความตั้งใจช่วยเหลือเจ้าหน้าที่ที่มีอำนาจในการใช้งานเท่านั้น
ที่มา - Tech Track
ข่าวย้อนหลังที่เกี่ยวข้อง
- lew's blog
- Login or register to post comments
ถ้าโปรแกรมนี้เกิด “หลุด” ออกมาสู่โลกอินเตอร์เนต คงเป็นปัญหาด้าน Security ครั้งใหญ่ที่สุดในโลกเลยล่ะมั้งเนี่ย
อารมณ์ครั้งนี้คงเหมือนกับปืน ถ้าอยู่กับคนดีก็ดีไป ถ้าอยู่กับคนร้ายก็… ไม่ต้องคิดเลย
เชื่อเถอะ ถ้าผู้ก่อการร้ายต้องการจะใช้งานมัน… คงหาได้ไม่ยากหรอก เงินซื้อได้ทุกอย่าง…
ว่าแต่.. OSX จะมีเหมือนกันไหมน้อ…
จะมีหลุดไหมน่อออ ท่าทางมีแน่ๆ
http://tomazzu.exteen.com
ถ้ามีก็คงได้ฟ้องกันเละเทะล่ะครับ เค้าคงมีอะไรที่ยืนยันตัวตน หรืออะไรที่น่าจะบอกได้ว่าซอฟแวร์ชุดนี้อยู่กับใครประเทศไหนอะไรงี้มั้ง ลองคิดกันดูเล่น ๆ ถ้าซอฟแวร์ชุดที่อยู่ในความรับผิดชอบของ FBI รึว่า กลาโหมสหรัฐหลุดออกมาสู้อินเตอเน็ตซิ สร้างเป็นหนังได้เลยนะนั่น
ผมว่า หน่วยข่าวกรอง คงมี s/w ชุดนี้ไว้อยู่แล้ว.. สามารถอ้างได้ว่า…เพื่อความมั่นคงของชาติ
อย่างนี่เข้าข่ายละเมิลหรือเปล่าเนี่ย ระบบปฏิบัติการเป็นของเขา แต่ข้อมูลเป็นของเรานะ
ทำ backdoor แบบนี้ ละเมิดแน่นอนครับ แต่ที่หนักกว่านั้น เมื่อข่าวรั้วออกไปแล้ว ทั้ vista และ 7 น่าจะโดนหางเลข(ยอดขายตก)ไปด้วย
^^
Open source ดีก็ตรงนี้แหละ
พวกตัวย่อทั้งหลาย.. NSA CIA FBI CSI
เอ๊ะ.. DSI ด้วยมั๊ยนะ :p
----------
iPAtS
“Microsoft device helps police pluck evidence from cyberscene of crime”
อันที่จริง Software แบบนี้ก็มีประโยชน์นะคับ ตามหัวข้อข่าวของ Seattle ในกรณีที่ใช้ตรวจสอบเครื่องที่ใช้ Windows และมีส่วนเกี่ยวข้่องกับอาชญากรรม
คิดในแง่ของเจ้าหน้าที่ตำรวจที่ต้องมานั่ง Brute Force Password หรือต้องไปว่าจ้าง Hacker มาแงะข้อมูลจากเครื่องคอมที่ยึดมาจากอาชญากร
ผมว่าคงไม่ดีแน่
ส่วนในกรณี “น่าสนใจว่าการออกเทคโนโลยีเช่นนี้ เป็นธรรมต่อผู้บริโภคที่จ่ายเงินเพื่อซื้อสินค้าของไมโครซอฟท์หรือไม่”
ถ้าจะกล่าวกันตรงๆ ผมว่าทำให้ผู้บริโภคเริ่มขาดความมั่นใจใน OS เหมือนกัน คิดดูสิ ไหน M$ บอกว่า OS ของตัวเองมีความปลอดภัยสูง แต่กลับออก Tools มาเจาะของตัวเองซะงั้น แล้วจะให้เชื่อได้อย่างไรละคับ ว่าข้อมูลสำคัญในคอมเราเนี่ย จะไม่โดน Tools ตัวนั้นล้วงเอาเข้าซักวัน (กรณีมีข้อมูลสำคัญนะคับ อิอิ ^^)
แต่ผมกลับมองอีกมุมนึงว่า
“ความยินยอมเพื่อประโยชน์แห่งมหาชน มีค่าสูงยิ่งกว่าการเสียประโยชน์แห่งเอกชน”
แต่ก็ยังเป็นดาบสองคมอยู่ดี หากใช้ซอฟท์แวร์ไม่ถูกวิธี ^^
ปล.รู้สึกว่าข่าวยังขาดรายละเอียดไปนิดนึงนะคับ ในส่วนเหตุผลของการออกแบบซอฟท์แวร์ตัวนี้ขึ้นมา
กรณีถ้าคนที่ไม่ตามไปอ่านแหล่งที่มา อาจจะคิดไปได้ว่า M$ ออก Tools มาเจาะระบบตัวเองเพื่ออะไรน่ะคับ
อาจจะกลายเป็น Blognone ออกข่าวคลุมเครือเพื่อ Discredit M$ ไป
ถ้าเพิ่มเติมรายละเีอียดอีกนิดนึงจะดีมากคับ
….ปล.2 ผมไม่ใช่สาวกนะ ^^
ผมจงใจเขียนข่าวนี้โดยเน้นเรื่องที่ไมโครซอฟท์ “อาจจะ” ละเมิดสิทธิ์ของลูกค้าตัวเองได้ผ่านการออกซอฟต์แวร์นี้ครับ ในกรณีนี้ผมอาจจะขาดข้อมูลอีกด้านไปก็จะนำไปปรับปรุงครับ
กรณีเช่นนี้มุมมองผมแล้ว ไม่ใช่หน้าที่ของไมโครซอฟท์ที่จะอำนวยความสะดวกให้กับเจ้าหน้าที่แม้แต่น้อย เว้นแต่จะมีกฏหมายบังคับไว้ แม้ว่าจะทำไปด้วยเจตนาที่ดีก็ตาม
หน้าที่ของไมโครซอฟท์นั้นคือทำให้ระบบปฏิบัติการของตนนั้นหนาแน่นที่สุดเท่าที่จะทำได้
ส่วนเรื่องเจ้าหน้าที่จะลำบากในการตรวจหาหลักฐานนั้น เป็นเรื่องของเจ้าหน้าที่เองครับ ไมโครซอฟท์อาจจะสนับสนุนได้บ้าง แต่ไม่ใช่ด้วยการเปิดช่องโหว่บางประการในระบบปฏิบัติการของตนเองแน่นอน
กรณีเช่นนี้หากเป็นการกระทำตามกฏหมาย ผมว่าควรมีหน่วยงานออกมาเรียกร้องให้ไมโครซอฟท์ต้องแปะคำเตือนถึงช่องโหว่ที่ไมโครซอฟท์ให้ไว้กับหน่วยงานต่างๆ อย่างชัดเจน ไม่ใช่ปล่อยไปแล้วเป็นปีเพิ่งมาพูดถึงเช่นนี้
LewCPE
เห็นด้วย กับ lew ไม่ใช่หน้าที่ของ MS เลย และผมก็คิดว่าไม่เป็นธรรมกับผู้บริโึภคด้วย ถ้าMSแฟร์จริงๆต้องกล้าเขียนคำเตือนตัวเป้งๆ ข้างกล่องว่า “OS นี้ มีช่องโหว่ให้เจ้าหน้าที่ของรัฐตรวจสอบได้ เราไม่รับผิดชอบกับความเสียหายที่เกิดจากช่องโหว่นี้” ิ
ผมว่ามันละเมิดความเป็นส่วนตัวชัดเจนนะ
โดยเฉพาะผมติดใจชื่อมันมากเลย Computer “Online” Forensic Evidence “Extractor” แปลว่าดึงข้อมูลจากเครื่องที่ online ใด้ตามใจชอบ ?
แล้วไอ้ “ความยินยอมเพื่อประโยชน์แห่งมหาชน มีค่าสูงยิ่งกว่าการเสียประโยชน์แห่งเอกชน” มันอาจจะเป็น “ความจำยอมต้องเปลี่ยนไปไช้ vista เพราะว่าเครื่องมือ hack ระบบหลุดไปสู้สาธารณชน (และ MS ไม่ยอม update อุดให้ xp)”
^^
มันก็แค่ software ตัวหนึ่งทำงานบนเครื่องที่ต้องการเก็บประวัติก็แค่นั้นครับ อย่าคิดมาก โปรแกรมแบบนี้ใน internet มีเยอะจะตายไป
ผมว่าเป็นข่าวปลอม ทำออกมากลบข่าวมากกว่าครับ ชื่อมันบอกว่า online นะครับ
ดึง system password ออกมาใด้เนี่ยไม่ปรกติแล้ว
แถมภาพก็มาจากทาง microsoft เองอีกต่างหาก
^^
ก็ที่มาที่คนเขียนอ้างถึงก็ยังบอกอยู่ว่าเป็น USB thumb drive และถ้าให้ผมเดา คำว่า Online ที่เค้าใช้ในชื่อนี้คงหมายความว่า เครื่องบันทึกหลักฐานสำหรับเครื่องคอมพิวเตอร์ที่ต้อง internet ครับ เพราะความสามารถของเครื่องมือจะเน้นไปที่การบันทึกพฤติกรรมของผู้ใช้ระหว่างใช้งาน internet ครับ เช่น ประวัติการเข้าเว็บซึ่งดูง่ายๆจาก history, โปรแกรมที่เคยใช้งานก็ดูได้จาก pagefile หรือ log ของ os และใน registry
ถ้าจะให้หาโปรแกรมมาเปรียบเทียบก็คงเหมือนกันของเจ้านี้มั้ง
http://www.forensics-intl.com/suite1.html
อืม … เป็น bootable usb ที่แกะ password เปิดเครื่อง และกอป internet log ไว้สินะ
เข้าใจหละสบายใจขึ้นเยอะเลย
แต่ก็น่าโมโหอยู่ดี ที่เห็นช่องว่างแล้วไม่ยอมอุดหรือไม่ก็จงใจเปิดช่องว่างทิ้งเอาไว้
^^
ผมว่าต้องทำ memory jammer ติดกันเองล่ะครับ เอาแบบกด reboot ปั๊บ ก็ล้าง memory กันทันที อาจจะใช้ไฟฟ้าจากตัวเก็บประจุตัวเล็กๆ ใช้เวลาสักครึ่งวินาทีน่าจะพอแล้ว
อันนี้อาจจะต้องไปบอก asustek ให้ใส่ฟีเจอร์ในไปในเมนบอร์ด
LewCPE
“ความยินยอมเพื่อประโยชน์แห่งมหาชน มีค่าสูงยิ่งกว่าการเสียประโยชน์แห่งเอกชน” <<< ประโยคที่น่ารังเกียจนี้ไงครับ ที่ อเมริกัน อ้างเพื่อขับไล่อินเดียนแดง จนเค้าไม่มีที่จะอยู่
ลองคิดว่าถ้า homeless ยึดบ้านใครต่อใครด้วยข้ออ้างนั้นจะรู้สึกยังไง
ps ประโยคหรูๆ ที่น่ารังเกียจ
ถ้าใครเคยดู Star Trek จะเคยได้ยิน Spock พูดประโยคนี้ก่อนที่จะยอมตายคนเดียวเพื่อให้ส่วนรวมอยู่รอด ผมเลยไม่รู้สึกว่ามันน่ารังเกียจนะ ขึ้นอยู่กับว่าใครพูด
ปัญหาคือมันไม่ไช่การยอมเสียสละของ 1 คน แล้วหลายคนใด้ประโยชน์
แต่เป็นการแย่งความเป็นส่วนตัวจากทุกคนโดยไม่รู้ตัว และให้สิทธ์กับคนกลุ่มเล็กๆที่ใด้ usb ที่ชื่อ COFEE นี้ไป - ไม่ว่าจะเป็นคนดีหรีอคนไม่ดี -
วันใหน image ของ usb นี้หลุดลงไปในระบบ p2p ใด้มีคนปวดหัวหนักแน่
^^
ผมว่าประโยคนี้ให้คนที่เสียสละพูดมันจะดูดีกว่าให้ใครก็ไม่รู้มาพูดเพื่อให้คนอื่นเสียสละครับ
PoomK
ของ os ตัวอื่น ๆ ก็คงมีเหมือนกันแหละ แค่ยังไม่มีใครมาพูดอะไร และไม่ได้ทำขึ้นมาโดยเจ้าของซอฟแวร์เองอย่างวินโดว์
ลองคิดดูว่าถ้าพระเอกยึดโน๊ตบุ๊คที่เก็บข้อมูลและแผนการของผู้ก่อการร้ายได้แล้ว แต่ก็จนปัญญาเพราะ os ที่คนร้ายใช้นั้นมีระบบรักษาความปลอดภัยสุดยอด อีกทั้งฮาร์ดแวร์ก็มีการเข้ารหัสไว้ซะอีก(เดี๋ยวนี้มันเหลืออะไรที่ยังไม่ต้องยืนยันตัวตน หรือถอดรหัสมั่งเนี่ย)แล้วก็ ๆ ๆ ปึ๊ด ๆ ๆ บึ๊ม ตายเป็นล้าน ๆ เลย แย่จัง ์ ใครจะรู้บางทีความมืดที่เรากลัวนักหนา อาจทำให้เรารอดพ้นจากศัตรูก็เป็นได้ (เกี่ยวมั้ยนะ)
ไอ้ UPDATE เนี่ยน่ากลัวมากเลย
เหมือนกับบอกว่าใครใด้คอมเราไป hack 4 ช.ม. ก็อาจจะใด้ข้อมูลแล้ว
^^
ผมเข้าใจว่าเค้าไม่นับเครื่องที่ทำ full disk encryption มังครับ
LewCPE
ที่ทำงานผมกำหนด Policies ให้ Notebook ของบริษัทรุ่นใหม่ๆ ทุกเครื่องต้องใช้ Full Disk Encryption ครับ ผมก็ใช้อยู่ด้วยครับ
full disk encryption ถ้า hack จนใด้ system password มาก็จะสามารถ login ใด้เหมือนเป็นเจ้าของเครื่องนะครับ
ลองคิดว่าใส่ usb ลงไป เปิดเครื่องแล้วใด้ password มา
จากนั้นปิดแล้วเปิดเครื่องใหม่ เจอช่องให้ใส่ password (จากข้างบน)
^^
จะ hack ยังไงหรือครับ ถ้าก่อนที่จะ access ข้อมูลใดๆ ใน harddisk จะต้องกรอก password ให้ถูกต้องก่อนครับ ?
ลืมบอกไปครับ ผมใช้ hardware FDE ครับ ไม่ใช่ software FDE ครับ
นึกว่า vista BitLocker ^^
อันนี้ไม่ทราบจริงเท็จอย่างไรนะครับ แต่ถ้าจริงก็ไม่สมควรปล่อยให้มันโหว่ทั้งๆ ที่รู้อยู่แล้ว
อีกอย่าง ไม่ชอบกับความคิดที่ว่าเจ้าหน้าที่มีแต่คนดี แล้วคนที่ถูกใช้เครื่องมือนี้จะต้องเป็นคนเลวเท่านั้นครับ
คำพูดตรงนี้มันสื่อมาว่าอย่างนั้นน่ะครับ
ถ้าเจ้าหน้าที่รัฐที่มีสิทธิ์ใช้โปรแกรมคิดไม่ซื่อล่ะ จะเกิดอะไรขึ้น
Online หมายถึงขณะที่เครื่องกำลังเปิดอยู่รึเปล่า (ไม่ต้องรีบูท)
นึกแล้วว่าต้องมาอารมณ์เดียวกับพวก hardlock software ที่ถ้าไม่เป็น usb ก็ต้องอะไรทำนองนี้ซักอย่าง เพราะขืนเป็นซอฟท์แวร์คงอิมเมจว่อนกันให้ทั่วอินเทอร์เน็ต
ปล. ที่ lew บอกว่าหน้าที่ของเจ้าหน้าที่ก็ถูกครับ แต่ถ้าโดนกดดันจากรัฐหรือกฏหมายมันก็อีกเรื่องนึง(มีรัฐหรือกฏหมายที่แย่ขนาดนี้ด้วยหรือ?) ว่าแต่เหมือนเคยจำได้ว่า FBI หรืออะไรเรียกร้องให้ Microsoft ใน backdoor ใน Vista ไว้นี่ครับ ถ้าครั้งนั้น MS ไม่ยอม ครั้งนี้ก็น่าจะไม่ยอมได้เหมือนกันนี่นา