CloudFlare บริการ CDN ชื่อดังได้เปิดเผยบั๊กล่าสุด ซึ่งเป็นบั๊กที่มีความเสี่ยงจะทำให้ข้อมูลสำคัญอย่างรหัสผ่าน, คุกกี้ และโทเคนสำหรับการยืนยันตัวตนรั่วไหลจากเว็บไซต์ของลูกค้าได้ ทำให้ผู้ที่ค้นพบช่องโหว่นี้สามารถเก็บข้อมูลส่วนตัวที่ถูกเข้ารหัสแล้วได้ รวมถึงข้อมูลบางอย่างจะถูกแคชไว้ด้วยเสิร์ชเอนจิน ทำให้แม้ว่าหลังจาก CloudFlare จะแก้ปัญหาเองแล้วก็จะต้องขอความร่วมมือกับผู้ให้บริการเสิร์ชเอนจินในการล้างข้อมูลเหล่านี้ด้วย

ผู้เขียนพบว่าเช้านี้บางโดเมนที่ฝาก DNS ไว้กับ CloudFlare ถูกชี้ไปยังเว็บสแปม โดยจะเกิดขึ้นเฉพาะกับ Record ที่ตั้งค่าให้วิ่งผ่าน CloudFlare CDN เท่านั้น จากการพูดคุยเบื้องต้นกับทีมผู้เชี่ยวชาญ คาดว่าปัญหาเกิดจากระบบ Cache ของทาง CloudFlare ถูกเจาะ พร้อมแนะนำให้ย้ายโดเมนออก หรือตั้งค่า DNS เป็นแบบ DNS Only ชั่วคราวเพื่อหลีกเลี่ยงปัญหานี้

เบื้องต้นผู้เขียนได้ทำการติดต่อ CloudFlare เป็นที่เรียบร้อยแล้ว หากมีความคืบหน้าจะมารายงานให้ทราบต่อไป

ภาพการทดสอบ curl -i และ dig เว็บที่ได้รับผลกระทบ

หลังแฮกเกอร์ปล่อยซอร์สโค้ดมัลแวร์ Mirai ตอนนี้ Cloudflare ก็ออกมารายงานว่ามีการโจมตีจากมัลแวร์ตัวนี้อย่างต่อเนื่อง

มัลแวร์ Mirai มีความร้ายแรงในการโจมตีหนักว่า botnet อื่นๆ เพราะมันส่งข้อมูล HTTP โดยตรง ไม่ใช่เพียง TCP SYN/ACK, NTP, หรือ DNS ตัวอย่างการโจมตีของ Cloudflare แสดงการส่ง HTTP GET ขนาดถึง 800KB เพื่อโจมตีเซิร์ฟเวอร์

ทาง Cloudflare ไล่ตามมัลแวร์เหล่านี้พบว่ามันมาจากเวียดนามเป็นส่วนใหญ่ เมื่อตรวจสอบบางเครื่องพบว่ามันเป็นระบบกล้องวงจรปิดที่เปิดเว็บเอาไว้

Cloudflare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ มีอายุครบรอบ 6 ปี ในวันที่ 27 กันยายนที่ผ่านมา โดยในปีนี้ Cloudflare ได้มีการปรับโลโก้ใหม่ ลดทอนมิติลงเหลือเพียงเมฆสองสีเท่านั้นและยกเลิกตัวเอฟพิมพ์ใหญ่ "F" ในชื่อ CloudFlare มาใช้เป็นเอฟพิมพ์เล็กแทน Cloudflare

ในส่วนของผลิตภัณฑ์ได้เพิ่ม 2 ผลิตภัณฑ์ใหม่คือ Traffic Manager ซึ่งเป็นการขยายการทำงาน DNS ของ Cloudflare ให้จัดการได้มากขึ้น กับ Traffic Control เป็นตัวป้องกันการโจมตีโดยมีจุดมุ่งหมายทำให้ระบบไม่สามารถให้บริการได้ (Denial of Service) โดยทั้งสองผลิตภัณฑ์เปิดให้ทดสอบในรูปแบบ Early Access แล้ว สามารถลงทะเบียนแสดงความสนใจได้ที่ลิงค์ท้ายข่าว

ฟีเจอร์หนึ่งของ HTTP/2 คือ Server Push ที่เปิดให้เซิร์ฟเวอร์สามารถส่งไฟล์ตามจากไฟล์แรกไปได้โดยที่ไม่ต้องรอเบราว์เซอร์อ่านไฟล์ HTML แล้วขอไฟล์อื่นๆ กลับมาเอง

ตัวอย่างไฟล์ที่ต้องส่งตามไปอยู่แล้ว เช่นไฟล์ CSS ที่ตามไปกับ HTML เสมอๆ แทนที่จะรอให้เบราว์เซอร์อ่าน HTML จนพบว่าต้องการ CSS เพิ่มเติมก็สามารถส่งไปให้เลยทันที

ตัวเว็บแอปพลิเคชั่นต้องรองรับฟีเจอร์นี้ และประกาศไฟล์ที่สามารถส่งต่อไปได้เลยไว้ใน HTTP header เป็นฟิลด์ Link

CloudFlare บริการ CDN ชื่อดังที่ช่วยกระจายข้อมูลไปยังผู้ใช้ทั่วโลก เปิดศูนย์ข้อมูลในไทยโดยตั้งอยู่ที่ศูนย์ข้อมูลของ JasTel เป็นศูนย์ข้อมูลแห่งที่ 79 ของบริษัท และเป็นแห่งที่ 32 ในเอเชีย จากเดิมที่ต้องเชื่อมต่อไปยังศูนย์ข้อมูลในฮ่องกง หรือสิงคโปร์

ประเด็นการยกเลิกรองรับใบรับรองดิจิตอลที่ตรวจสอบด้วย SHA-1 นับเป็นการย้ายมาตรฐานความปลอดภัยขนานใหญ่ที่สุดครั้งหนึ่งของโลกอินเทอร์เน็ต ภายในปีหน้าเว็บต่างๆ ทั่วโลกจะถูกกดดันให้ต้องรองรับ SHA-2 เช่น SHA-256 ขึ้นไปเท่านั้น ไม่เช่นนั้นเว็บเบราว์เซอร์จะเริ่มเตือนว่าไม่ปลอดภัยโดยไม่มีทางออกอื่น (ตอนนี้ยังมีทางออกเช่นขอใบรับรองที่อายุสั้นๆ ได้)

แต่ Alex Stamos จากเฟซบุ๊ก และ CloudFlare ก็ออกมาชี้ปัญหาที่กำลังจะเกิดขึ้นในอีกไม่กี่วันข้างหน้านี้ ว่าเว็บขนาดใหญ่ยังมีปัญหาเพราะผู้ใช้จำนวนถึง 3-7% ในแต่ละประเทศยังใช้เบราว์เซอร์ที่ไม่รองรับ SHA-2 อยู่

โพรโทคอล HTTP/2 ออกเป็นมาตรฐานของ IETF ตั้งแต่เดือนพฤษภาคมปีนี้ ตอนนี้ก็เริ่มได้เวลาที่หน่วยงานหลายแห่งจะเริ่มรองรับ HTTP/2 กันแล้ว

บริษัท CloudFlare ผู้ให้บริการ CDN รายใหญ่ของโลก ประกาศว่าลูกค้าของตัวเอง (ทั้งแบบฟรีและเสียเงิน) สามารถใช้ HTTP/2 ได้ทันทีโดยไม่ต้องทำอะไรเพิ่ม เพราะ CloudFlare เปิดให้ใช้งานเป็นค่าดีฟอลต์ ส่วนลูกค้าแบบองค์กรสามารถเลือกได้ว่าจะเปิดใช้งานหรือไม่

หลังจากเว็บไซต์กระทรวงไอซีทีล่ม ขณะนี้เว็บไซต์ได้กลับมาแล้ว (23:15 น.) โดยกระทรวงไอซีทีไปใช้ระบบของ CloudFlare แทนระบบเดิม

กระบวนการเข้ารหัสเว็บก่อนหน้านี้เราได้ยินกันบ่อยๆ เช่น RC4 ถูกเตือนว่าไม่ปลอดภัยมาเป็นเวลานาน ทำให้เว็บส่วนใหญ่เน้นใช้งาน AES ที่เป็นมาตรฐานกว่า แต่ AES เองก็มีปัญหากินซีพียูสูง ทำให้ไม่เหมาะกับการใช้งานบนโทรศัพท์มือถือที่ซีพียูประสิทธิภาพไม่ดีนัก ทาง CloudFlare ก็ออกมาประกาศชุดเข้ารหัสทางเลือก คือ ChaCha20/Poly1305 ที่ให้ความปลอดภัยที่ดี ยังไม่พบช่องโหว่ร้ายแรง และกินพลังประมวลผลต่ำ

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ ได้ประกาศเปิดให้บริการ Universal SSL หรือบริการ HTTPS ฟรีสำหรับลูกค้าทุกรายแล้ว ตรงตามข่าวลือก่อนหน้า โดยจะทยอยเปิดให้ลูกค้าฟรีทุกคน คาดว่าจะเสร็จภายในเช้าวันพรุ่งนี้ตามเวลาประเทศไทย

บริการ Universal SSL มีข้อจำกัดหลายประการเทียบกับบริการ SSL ของ CloudFlare สำหรับลูกค้าเสียเงิน โดย Universal SSL จะรองรับเฉพาะเบราว์เซอร์รุ่นใหม่ ที่รองรับการเข้ารหัสแบบ ECDSA และรองรับมาตรฐานเสริม SNI เท่านั้น ทาง CloudFlare กล่าวว่าปัจจุบัน ทราฟฟิกที่มาจากเบราว์เซอร์รุ่นใหม่มีถึงมากกว่า 80% แล้ว (เบราว์เซอร์เก่าที่สำคัญมี Internet Explorer 6 และแอนดรอยด์ก่อน ICS)

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ จะมีอายุครบ 4 ปีในวันนี้ (27 ก.ย.) เพื่อเฉลิมฉลองโอกาสดังกล่าว CloudFlare ประกาศว่าจะมี "สิ่งใหญ่" เกิดขึ้นในวันที่ 29 ก.ย. ซึ่งตรงกับวันจันทร์ที่จะถึงนี้

ทาง CloudFlare ระบุว่า ตลอด 4 ปีที่ผ่านมา บริษัททำให้อินเทอร์เน็ตดีขึ้นมาก ได้พยายามแก้ปัญหาของอินเทอร์เน็ตหลายประการ และยังคงพัฒนาอยู่ตลอด และในวันดังกล่าว บริษัทจะทำให้อินเทอร์เน็ตปลอดภัยขึ้นอีกมาก

ทั้งนี้ คาดการณ์กันว่าประกาศดังกล่าวจะเป็นบริการ HTTPS ฟรี เนื่องจากหากนำตัวอักษรตัวแรกของทุกย่อหน้าในประกาศดังกล่าว จะอ่านได้ว่า "SSL TLS FREE" และได้เคยประกาศไว้ว่าจะให้บริการนี้ภายในเดือนตุลาคม

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) เปิดให้บริการแบบเข้ารหัสโดยที่ลูกค้าไม่ต้องส่งกุญแจ SSL ไปให้ทาง CloudFlare เรียกว่า Keyless SSL

แต่เดิมบริการ CDN ที่จะเข้ารหัส ลูกค้าจะต้องส่งทั้งกุญแจและใบรับรองไปให้บริการ CDN ทั้งคู่ บริการใหม่ของ CloudFlare จะทำให้ลูกค้าสามารถส่งเฉพาะใบรับรอง SSL ไปยัง CloudFlare และเมื่อเบราว์เซอร์เชื่อมต่อเข้าไปยัง CloudFlare ทาง CloudFlare จะขอให้เซิร์ฟเวอร์ของลูกค้าถอดรหัสเพื่อเอากุญแจแบบสมมาตรออกมาให้เป็นครั้งๆ ไปไป จากนั้นทาง CloudFlare จึงส่งข้อมูลไปยังเบราว์เซอร์ด้วยกุญแจแบบสมมาตรที่ได้จากเซิร์ฟเวอร์ของลูกค้า

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ ประกาศเตรียมเปิดให้ลูกค้าที่ใช้บริการฟรีสามารถใช้งาน HTTPS ได้ภายในเดือนตุลาคมนี้

จากเดิมที่การเปิดใช้งาน HTTPS บน CloudFlare นั้น ต้องเป็นลูกค้าแบบ Pro ที่มีราคาเดือนละ 20 เหรียญสหรัฐ ทำให้หลายๆ เว็บไซต์ที่ใช้งานแบบฟรีนั้นไม่สามารถเปิดใช้งาน SSL ได้ ซึ่งขัดต่อปณิธานของ CloudFlare ที่ต้องการให้เว็บไซต์ใช้งาน HTTPS เพื่อต่อสู้กับการดักฟังข้อมูลของรัฐ

นอกจากนี้ CloudFlare จะอนุญาตให้ลูกค้าแบบ Pro ใช้งานใบรับรองของตัวเองแทนใบรับรองของ CloudFlare ได้ภายในเดือนตุลาคมนี้เช่นกัน จากเดิมที่ต้องเป็นลูกค้าแบบ Business หรือ Enterprise เท่านั้น ทำให้สามารถใช้แบบรับรองแบบ Extended Verification ได้

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ ก่อนหน้านี้ได้ประเมินว่าบั๊ก Heartbleed มีโอกาสให้แฮกเกอร์จะสามารถขโมย private key ซึ่งจะทำให้แฮกเกอร์สามารถแกะข้อมูลที่วิ่งผ่าน SSL ได้ทั้งหมด ซึ่งรวมถึงข้อมูลรหัสผ่าน ข้อมูลบัตรเครดิต ฯลฯ

ทาง CloudFlare ได้ตั้งเซิร์ฟเวอร์ nginx-1.5.13 ที่ใช้ OpenSSL 1.0.1.f เพื่อให้คนลองมาล้วง private key ออกไป แต่ไม่เกินสิบชั่วโมง ก็มีคนแกะ private key ออกไปได้ถึง 2 คน และ CloudFlare ก็ออกมารับรองผลแล้วว่าสามารถเจาะเอา private key ไปได้จริง

ความน่ากลัวของการดักฟังที่ได้รับการสนับสนุนจากรัฐแบบที่เปิดเผยโดย NSA ทำให้ผู้ให้บริการที่เคยไว้ใจการเชื่อมต่อระดับศูนย์ ที่ไม่น่ามีใครดักฟังได้ ไม่เชื่อใจกันอีกต่อไป CloudFlare ผู้ให้บริการกระจายข้อมูลไปยังผู้ใช้จึงเพิ่มบริการเชื่อมต่อ SSL แบบใหม่เพิ่มเติม

ก่อนหน้านี้ CloudFlare ให้บริการความปลอดภัยสามแบบ คือ ปิดการเข้ารหัส ไม่มีการยืนยันใดๆ, เปิดการเข้ารหัสเฉพาะข้อมูลที่กระจายออก แต่รับข้อมูลจากเซิร์ฟเวอร์โดยไม่เข้ารหัส (Flexible SSL), และเข้ารหัสเต็ม (Full SSL) แต่แม้จะเป็น Full SSL ทาง CloudFlare ก็ไม่ได้ยืนยันใบรับรองการเข้ารหัสกับเซิร์ฟเวอร์ลูกค้าแต่อย่างใด ทำให้มีความเสี่ยงที่จะถูกทำ man-in-the-middle

การรักษาความปลอดภัยขั้นสุดท้ายเป็นปัญหาสำคัญขององค์กรจำนวนมาก เช่น รหัส root ของเครื่องเซิร์ฟเวอร์หลักในระบบ รหัสผ่านเพื่อเข้าถึง private key บนสมาร์ตการ์ด การเก็บรักษาข้อมูลเหล่านี้ส่วนมากต้องอาศัยการพิมพ์ออกมาเป็นกระดาษแล้วนำไปเก็บรักษาไว้ที่ปลอดภัยเช่นตู้เซฟธนาคารที่ต้องการกุญแจสองดอกให้เปิดพร้อมกันจึงนำข้อมูลออกมาใช้งานได้ ตอนนี้ CloudFlare ผู้ให้บริการ reverse proxy รายใหญ่ก็นำโครงการภายในที่ชื่อว่า Red October เปิดซอร์สออกมาให้ใช้งานกัน

Red October คือเซิร์ฟเวอร์เข้ารหัสและถอดรหัส โดยไม่มีข้อมูลที่ต้องการเก็บรักษาอยู่บนเซิร์ฟเวอร์จริง ในตัวเซิร์ฟเวอร์ของ Red October นั้นจะเก็บกุญแจ RSA ของผู้ใช้ทุกคนเอาไว้ เมื่อมีการร้องขอให้เข้ารหัสข้อมูลใดๆ เซิร์ฟเวอร์จะ

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายงานถึงปัญหาการเข้าถึงบริการของกูเกิลไปครึ่งชั่วโมงในบางส่วนของโลก พบว่าหมายเลขไอพีจำนวนมากไม่สามารถเข้าถึงได้ รวมถึง 8.8.8.8 หมายเลขไอพีเซิร์ฟเวอร์ DNS สาธารณะของกูเกิล

หลังจากทาง CloudFlare เข้าตรวจสอบ พบว่ามีเครือข่ายหมายเลข AS 23947 ซึ่งเป็นของ Moratel ผู้ให้บริการอินเทอร์เน็ตในอินโดนีเซียได้ประกาศเส้นทาง (route) ปลอมออกมา เพื่อบล็อคการเข้าถึงกูเกิล แต่ประกาศเส้นทางนี้กลับรั่วออกมาสู่อินเทอร์เน็ตนอกประเทศ ทาง CloudFlare จึงติดต่อ Moratel ให้หยุดส่งประกาศเส้นทางออกมา จากนั้นสามนาทีบริการต่างๆ ของกูเกิลก็เริ่มกลับมาใช้งานได้อีกครั้ง

CloudFlare คาดว่ามีผู้ได้รับผลกระทบจากปัญหานี้ 3-5% ของประชากรอินเทอร์เน็ต