ประมาณช่วงเย็นวันที่ 4 พฤศจิกายน Crunchyroll เว็บไซต์ดูเอนิเมะออนไลน์แบบถูกลิขสิทธิ์ชื่อดัง ถูกแฮก DNS เปลี่ยนเส้นทางโดเมน (DNS hijack) โดยเมื่อเข้าเว็บไซต์ Crunchyroll จะพบกับกล่องข้อความเชิญชวน(ที่ดูมีพิรุธ)ให้ดาวน์โหลดแอปพลิแคชั่น CrunchyViewer.exe ซึ่งเป็นมัลแวร์ของแฮกเกอร์

ไม่นานหลังจากนั้นในเวลา 18:14 ตามเวลาประเทศไทย ทีมงาน Crunchyroll พบกับความผิดปกติภายในเว็บไซต์ จึงทำการแจ้งเตือนผ่าน Twitter ให้หยุดการใช้งานเว็บไซต์เป็นเวลาชั่วคราว

ปัจจุบันระบบ Domain Name Server หรือ DNS ที่เราใช้เพื่อแปลงจาก URL เป็นไอพีแอดเดรสจริง ๆ ของเว็บไซต์นั้น ยังคงมีช่องโหว่ที่สำคัญคือ การเรียก DNS นั้นยังคงถูกทำในรูปแบบของ plain text ผ่านโปรโตคอล UDP หรือ TCP แต่ล่าสุด XDA Developers ก็พบว่ามีคอมมิทจำนวนมากใน Android Open Source Project เกี่ยวกับ DNS over TLS ซึ่งก็หมายความว่าอีกไม่นานนัก Android ก็น่าจะรองรับฟีเจอร์นี้แล้ว

การรองรับ DNS over TLS นั้น จะทำให้การส่งข้อมูลโดยใช้ DNS นั้นถูกเข้ารหัสในลักษณะเดียวกับ HTTPS ซึ่งจะเป็นการเพิ่มความปลอดภัยและความเป็นส่วนตัวให้ผู้ใช้ แต่ทั้งนี้ฝั่งผู้ให้บริการ DNS ก็ต้องรองรับการเข้ารหัสด้วยเช่นกัน ซึ่งแน่นอนว่าปัจจุบันมีผู้ให้บริการเพียงน้อยรายเท่านั้นที่รองรับ

กูเกิลรายงานถึงผลการสำรวจความปลอดภัยของโปรแกรม Dnsmasq ที่ทำหน้าที่สำคัญสำหรับการแชร์อินเทอร์เน็ตจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่ง โดยหน้าที่สำคัญคือการกระจาย DNS และ DHCP ทำให้ลินุกซ์ส่วนมาก รวมถึงแอนดรอยด์ที่มีฟีเจอร์แชร์อินเทอร์เน็ตมักมี Dnsmasq อยู่ด้วย

ทีมงานพบช่องโหว่ 7 รายการ เป็นช่องโหว่รันโค้ดจากระยะไกล 3 รายการ โดยมีหนึ่งรายการ (CVE-2017-14491) สามารถรันโค้ดผ่าน DNS ได้ด้วย ทำให้เมื่อ Dnsmasq ไปขอ DNS จากเซิร์ฟเวอร์ที่มุ่งร้าย เช่น ไปเกาะกับ Wi-Fi ของคนร้าย คนร้ายจะสามารถสั่งรันโค้ด ขณะที่ช่องโหว่รันโค้ดจากระยะไกลอีกสองช่องโหว่เป็นการโจมตีผ่าน DHCP ซึ่งอาจจะมีผลกระทบจำกัดกว่าเพราะใช้สำหรับภายในเครือข่ายที่แชร์อินเทอร์เน็ตด้วย

หลังจากที่ Google Domains เปิดให้บริการแบบสาธารณะ กูเกิลได้เพิ่มประเทศไทยใน รายชื่อประเทศที่สามารถใช้งาน Google Domains ผู้ใช้งานที่อยู่ในประเทศไทยสามารถใช้งาน Google Domains ได้แล้ววันนี้

ที่มา - ค้นพบด้วยตัวเอง

Matthew Bryant อดีตวิศวกรความปลอดภัยของอูเบอร์ เขียนรายงานถึงความปลอดภัยของโดเมนขั้นสูงสุด (top level domain - TLD) .io ที่หลายเว็บนิยมใช้งานเพราะชื่อสั้นและสะดุดตา โดยวาดกราฟการตรวจสอบชื่อโดเมนว่าจะคิวรีไปยังเซิร์ฟเวอร์ใดบ้าง แต่เขาก็ต้องแปลกใจเมื่อโดเมนของ name server หลายตัวกลับสามารถสั่งซื้อได้

Bryant ทดลองสั่งซื้อ ns-a1.io ในราคา 95.99 ดอลลาร์ (รวมค่าปิดบังชื่อคนจดทะเบียน) สักพักหนึ่งเครื่องเซิร์ฟเวอร์ของเขาก็เริ่มได้รับ DNS query จากทั่วอินเทอร์เน็ต เมื่อยืนยันว่าเขาสามารถยึด .io ได้จริงจึงพยายามติดต่อ nic.io ผ่านทางอีเมลแต่ปรากฎว่าติดต่อไม่ได้ เขาตัดสินใจจ่ายเงินเพิ่ม ซื้อ ns-a2.io, ns-a3.io, และ ns-a4.io ป้องกันคนอื่นมาซื้อไป และโทรติดต่อทาง nic.io เพื่อแจ้งเรื่อง

Kaspersky รายงานพบมัลแวร์ตัวใหม่บน Android ที่ออกแบบมาเพื่อเจาะ Wi-Fi router อีกทอดหนึ่ง มัลแวร์ตัวนี้ถูกตั้งชื่อว่า Switcher

รูปแบบการโจมตีของ Switcher จะแบ่งเป็น 2 ขั้นตอน ขั้นแรกคือปลอมตัวเป็นแอพปลอมเพื่อหลอกล่อให้ผู้ใช้ติดตั้งลงในอุปกรณ์ (ปัจจุบันพบว่าปลอมเป็นแอพ 2 ตัวคือแอพ Baidu ปลอม และ WiFi Master แอพสำหรับแลกเปลี่ยนรหัสผ่าน Wi-Fi ของจีน) เมื่อผ่านขั้นแรกมาได้แล้ว มัลแวร์จะส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ โดยส่งข้อมูลของเครือข่าย Wi-Fi กลับไปด้วย

Oracle ประกาศซื้อกิจการ Dyn ผู้ให้บริการ DNS รายใหญ่ ที่เพิ่งเป็นข่าวถูกยิงถล่มด้วย DDoS ครั้งใหญ่เมื่อเร็วๆ นี้

Dyn มีลูกค้าฝั่งองค์กรกว่า 3,500 ราย และให้บริการทราฟฟิก DNS วันละ 4 หมื่นล้านครั้ง เหตุผลในการซื้อกิจการครั้งนี้ Oracle อธิบายว่าซื้อไปเพื่อเสริมธุรกิจด้านคลาวด์ของบริษัท โดยระบบของ Dyn จะช่วยเรื่องการปรับปรุงประสิทธิภาพของทราฟฟิกอินเทอร์เน็ตให้ดีขึ้น เพจโหลดเร็วขึ้น เปลืองค่า CDN น้อยลง กระจายทราฟฟิกให้ผู้เข้าชมเว็บทั่วโลกได้อย่างเสถียรกว่าเดิม

ตัวอย่างลูกค้าของ Dyn ได้แก่ Twitter, Netflix, Pfizer

หน้าที่ศูนย์ความมั่นคงไซเบอร์ของรัฐบาลแต่ละประเทศคงต่างกันไป แต่ที่อังกฤษ ศูนย์ความมั่นคงไซเบอร์มีหน้าที่เพิ่มขึ้นคือการให้บริการ DNS สำหรับภาครัฐ ในชื่อว่า Protective DNS

บริการนี้เป็นบริการแบบเดียวกับ Google DNS หรือ OpenDNS ที่ให้บริการเซิร์ฟเวอร์ DNS สาธารณะ แต่ทางศูนย์ระบุว่าบริการนี้จะตรวจสอบเซิร์ฟเวอร์ที่ใช้ phishing หรือเซิร์ฟเวอร์ที่ใช้ควบคุมมัลแวร์ เพื่อบล็อคการเข้าถึงเซิร์ฟเวอร์เหล่านั้น

บริการนี้จะเปิดให้หน่วยงานรัฐ และหน่วยงานสาธารณะเข้าถึง โดยระยะยาวทางศูนย์หวังว่าจะลดค่าใช้จ่ายของรัฐบาลจากการที่หน่วยงานแต่ละหน่วยต้องตั้งเซิร์ฟเวอร์ DNS ในองค์กรกันเอง

ที่มา - NCSC

Let's Encrypt เปิดให้บริการใบรับรองฟรีจนกระทั่งมีเว็บจำนวนมากอัพเกรดขึ้นมา แต่การขอใบรับรองผ่านโปรโตคอล ACME ก็อาจจะยุ่งยากสำหรับนักพัฒนาเว็บจำนวนหนึ่ง กลายเป็นอุปสรรคสำหรับการใช้งาน ที่ผ่านมาการใช้งานที่สะดวกที่สุดคือบริการโฮสต์รองรับ Let's Encrypt ให้เองทำให้นักพัฒนาไม่ต้องทำอะไร แต่ตอนนี้ผู้ให้บริการ DNS อย่าง DNSimple ก็ประกาศเพิ่มทางอำนวยความสะดวกอีกทาง

DNSimple สามารถขอใบรับรองแทนเจ้าของโดเมนได้ เพราะ ACME รองรับการยืนยันตัวตนแบบ DNS challenge ทำให้นักพัฒนาเว็บสามารถสมัครใช้บริการและดาวน์โหลดใบรับรองออกไปติดตั้งได้ทันที โดยไม่ต้องพยายามเชื่อมต่อ ACME ด้วยตัวเอง

เมื่อเวลา 18.10น. ที่ผ่านมา (ตามเวลาประเทศไทย) บริการ DNS ของ Dyn ถูก DDoS ส่งผลให้เว็บไซต์ที่ใช้บริการ DynDNS ไม่สามารถใช้งานได้ตั้งแต่เวลาดังกล่าว เว็บไซต์รายใหญ่ที่ใช้บริการ DynDNS เช่น Twitter, Spotify, SaneBox, Reddit, Box, Github, Zoho CRM, PayPal, Airbnb, Freshbooks, Wired.com, Pinterest, Heroku และลูกค้าในบริเวณชายฝั่งตะวันออกของสหรัฐอเมริกาส่วนใหญ่ต่างได้รับผลกระทบ

ล่าสุด ทาง Dyn แจ้งว่าสามารถแก้ปัญหาได้แล้ว แต่อาจมีบางส่วนที่ยังมีปัญหาอยู่ และจนถึงในขณะนี้ ก็ยังไม่เป็นที่แน่ชัดว่าใครอยู่เบื้องหลังการ DDoS ในครั้งนี้

ที่มา : The Hacker News

Verisign เป็นผู้ดูแลโดเมน .com มาตั้งแต่เริ่มแรกและจนตอนนี้ก็ยังเป็นแหล่งรายได้สำคัญของบริษัท จากชื่อโดเมนทั้งหมด 125 ล้านชื่อ การได้ต่ออายุไปอีก 6 ปีจะรับรองว่าบริษัทจะมีรายได้มหาศาลต่อเนื่อง

แต่ภายใต้ข้อตกลงครั้งนี้ ICANN ที่มอบสิทธิ์ให้ก็ขอความร่วมมือเพิ่มเติมจาก Verisign ในชื่อข้อตกลง root zone maintainer services agreement (RZMA) เพื่อให้ ICANN เข้าดูแลกระบวนการเปลี่ยนแปลง root zone file

เช้าวันนี้ตั้งแต่เวลาประมาณ 10 นาฬิกา มีรายงานว่าเว็บไซต์จำนวนมากไม่สามารถเข้าใช้งานได้ตามปกติ โดยทั้งหมดเป็นเว็บไซต์ที่จดโดเมนกับ GoDaddy ซึ่งจนถึงขณะนี้ก็ยังไม่สามารถเข้าใช้งานได้

GoDaddy ได้ตอบผ่านบัญชี Twitter @GoDaddyHelp ว่าปัญหานี้เกิดกับกลุ่มผู้ใช้งานในภูมิภาคเอเชียแปซิฟิก และกำลังเร่งแก้ปัญหาอยู่แต่ยังไม่สามารถระบุระยะเวลาได้

เว็บไซต์ของไทยหลายแห่งที่จดโดเมนกับ GoDaddy ก็ได้รับผลกระทบนี้เป็นวงกว้าง

อัพเดต: เมื่อเวลาประมาณ 11:10 น. มีรายงานว่าเว็บไซต์กลับมาเข้าใช้งานได้ตามปกติแล้ว

ที่มา: @GoDaddyHelp

มีรายงานพบช่องโหว่ของ BIND ซอฟต์แวร์โอเพนซอร์สสำหรับสร้าง DNS Server ทำให้สามารถยิง DoS ให้เซิร์ฟเวอร์แครชได้

ช่องโหว่นี้เกิดจากความผิดพลาดของ BIND ในการจัดการคิวรีประเภท TKEY ที่พบได้ไม่บ่อยนัก ที่เป็นอันตรายคือบริษัทความปลอดภัย Sucuri รายงานว่าพบการยิง DoS ถล่มเซิร์ฟเวอร์ BIND แล้ว

ทีม Internet Systems Consortium (ISC) ผู้ดูแลโครงการ BIND ได้ออกแพตช์แก้มาตั้งแต่สัปดาห์ที่แล้ว ใครดูแลเซิร์ฟเวอร์ BIND ก็อัพเดตแพ็กเกจกันด่วนครับ

ที่มา - ISC, Sucuri

อีเมลของ Hacking Team ที่เปิดเผยออกมาแสดงให้เห็นถึงปฎิบัติการครั้งสำคัญหลายครั้ง ครั้งหนึ่งคือการเข้าช่วยเหลือหน่วยปฎิบัติการพิเศษของอิตาลี (Raggruppamento Operativo Speciale - ROS) ที่เป็นลูกค้าของ Hacking Team อยู่แล้ว

ICANN พิจารณาข้อเสนอห้ามไม่ให้ผู้ให้บริการจดโดเมนปิดบังข้อมูลผู้จดโดเมนหากโดเมนนั้นถูกใช้งานทางการค้า โดยข้อเสนอนี้ได้รับการสนับสนุนจากกลุ่มอุตสาหกรรมบันเทิง "Coalition for Online Accountability"

ตอนนี้ทาง ICANN อยู่ระหว่างกระบวนการรับฟังความคิดเห็นผ่านทางอีเมล comments-ppsai-initial-05may15@icann.org ซึ่งตอนนี้เองก็มีความเห็นเข้าไปแล้วนับพันรายการ

Vinny Troia ซีอีโอของบริษัท Night Lion Security สาธิตการขโมยบัญชีลูกค้า GoDaddy ด้วยกระบวนการวิศวกรรมสังคม (social engineering) โดยที่แฮกเกอร์ไม่สามารถเข้าถึงอีเมลของเหยื่อ หรือทราบรหัสอื่นๆ รู้เพียงข้อมูลส่วนตัวของเหยื่อเล็กน้อย

Troia สาธิตการเข้าควบคุมบัญชีโดเมนของ Steve Ragan นักข่าวจาก CSO Online ด้วยการโทรหาฝ่ายซัพพอร์ต โกหกว่าเขาไม่สามารถเข้าถึงบัญชีบน GoDaddy และอีเมลของเขาเองได้

ในบรรดา gTLD (generic top-level domain) ที่ ICANN เปิดให้จองชื่อเพื่อไปให้บริการได้ มีรายชื่ออีกส่วนหนึ่งที่ใช้งานได้เฉพาะผู้ที่จดทะเบียนในองค์กรเท่านั้น ไม่สามารถเปิดขายให้กับบุคคลภายนอกได้ กลุ่มนี้จะได้รับยกเว้นไม่ต้องมีจรรยาบรรณสำหรับการให้บริการ ในรายชื่อทั้งหมดมีหลายชื่อน่าสนใจ

.dev ถูกจดโดย Charleston Road Registry Inc. บริษัทลูกที่ทำหน้าที่จดทะเบียนโดเมนของกูเกิล ความพิเศษของ .dev คือตามกติกาแล้ว ICANN ไม่ควรอนุญาตคำทั่วไป (generic string) ให้กับหน่วยงานใดหน่วยงานหนึ่ง ในกรณีนี้โดเมน .dev ทั้งหมดก็จะใช้งานได้กับกูเกิลเท่านั้น

โดเมนระดับสูงสุด (top-level domain - TLD) .com นับเป็นโดเมนประวัติศาสตร์จากความนิยมอย่างสูงจนเป็นชื่อของฟองสบู่เศรษฐกิจครั้งใหญ่ของสหรัฐฯ แต่โดเมนแรกของโลกที่จดทะเบียนใน TLD นี้คือ Symbolics.com ของบริษัท Symbolics Computer Corporation ถูกจดทะเบียนครั้งแรกในวันที่ 15 มีนาคม 1985 ทำให้วันพรุ่งนี้เป็นวันครบรอบ 30 ปีของโดเมน .com โดเมนแรกของโลก

KrebsOnSecurity อ้างแหล่งข่าวไม่เปิดเผยตัว ระบุว่าเหตุการณ์แฮกโดเมนสำคัญ คือ Google.com.vn และ Lenovo.com ถูกเจาะมาทางผู้ให้บริการจดโดเมนในมาเลเซียที่ชื่อว่า Webnic.cc

ตอนนี้เว็บหลักของ Webnic.cc ยังไม่สามารถใช้งานได้ โดยฝ่ายซัพพอร์ตตอบคำถามเพียงว่ากำลังอยู่ระหว่างการสอบสวน

ทาง Webnic ให้บริการโดเมนทั้งหมดกว่าหกแสนโดเมนทั่วโลก โดยแฮกเกอร์ได้วาง rootkit ไว้ในเซิร์ฟเวอร์ได้สำเร็จ และทำให้เข้าถึงเซิร์ฟเวอร์ที่เก็บ EPP code สำหรับการยืนยันการโอนโดเมนได้ แต่ตอนนี้ rootkit ได้ถูกลบออกไปแล้ว

โดเมนของกูเกิลเวียดนาม (www.google.com.vn) ถูก resolve ไปยังหมายเลขไอพี 104.27.142.97 และ 104.27.143.97 ซึ่งเป็นเซิร์ฟเวอร์ของ CloudFlare แทนที่จะเป็นเซิร์ฟเวอร์ของกูเกิลเอง

ความเป็นไปได้อย่างหนึ่งคือ NIC ของเวียดนามถูกแฮกโดยตรง เพราะข้อมูลโดเมนก็ถูกแก้ไขไปด้วย หรืออีกทางหนึ่งกูเกิลเองอาจจะถูกขโมยข้อมูลยืนยันตัวตนเพื่อเข้าไปแก้ไขข้อมูลโดเมน

ที่มา - tinhte, Hacker News

เมื่อกลางปีที่แล้ว กูเกิลเปิดบริการรับจดโดเมนในชื่อว่า Google Domains แต่ผู้ที่จะใช้บริการนั้นจะต้องได้รับคำเชิญก่อนถึงจะใช้บริการได้

ตอนนี้ Google Domains เปิดให้บริการแบบสาธารณะแล้ว เริ่มต้นค่าบริการที่ $12 ต่อโดเมนต่อปี นอกจากนี้ยังรองรับ TLD ใหม่ๆ เช่น .coffee .academy .company .us และ .ninja ด้วย ดูรายการ TLD ที่รองรับทั้งหมดได้ที่นี่ครับ

ป.ล. แม้ว่าจะเปิดบริการแบบสาธารณะแล้ว แต่ยังใช้ได้เฉพาะผู้ที่อยู่ในสหรัฐอเมริกาเท่านั้น (ตรวจสอบโดยใช้บัตรเครดิต)

ICANN ประกาศเตือนว่าถูกโจมตีด้วยการสร้างอีเมลที่หลอกว่ามาจากคนในองค์กร (spear phishing) ส่งผลให้แฮกเกอร์เข้าถึงข้อมูลภายในได้

ข้อมูลหลักที่แฮกเกอร์ได้ไปคือ Centralized Zone Data System เซิร์ฟเวอร์โซนไฟล์จากผู้ให้บริการโดเมนระดับบนสุด (top level domain - TLD เช่น .com, .net) ข้อมูลที่หลุดไปเป็นโซนไฟล์ และฐานข้อมูลผู้ใช้ที่มีรายละเอียด เช่น องค์กร, ที่อยู่, เบอร์โทรศัพท์, และรหัสผ่านที่แฮชแล้ว

เซิร์ฟเวอร์ GAC Wiki ก็ถูกดาวน์โหลดออกไปเช่นกัน แต่ข้อมูลเหล่านี้เป็นข้อมูลสาธารณะอยู่แล้ว ทาง ICANN ยืนยันว่าแฮกเกอร์ไม่ได้เข้าถึงข้อมูลภายใน เซิร์ฟเวอร์ ICANN Blog และ WHOIS ถูกดาวน์โหลดข้อมูลผู้ใช้ไปด้วย

กูเกิลประกาศว่าบริการ Public DNS ของบริษัทที่ให้บริการผ่านทางไอพี 8.8.8.8 และ 8.8.4.4 เริ่มให้บริการระบุตำแหน่งของผู้ใช้ หรือที่เรียกชื่อจริงว่า Client Subnet in DNS Request หรือชื่อย่อว่า ECS ที่เซิร์ฟเวอร์ DNS จะสามารถตอบกลับไอพีของโดเมนที่ถูกเรียกตามหมายเลขไอพีที่ผู้ใช้เรียกเข้ามา

การเปิดให้บริการนี้ร่วมมือกับ Akamai ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ ให้บริการ ECS พร้อมๆ กัน ทำให้ผู้ใช้ที่ใช้บริการ DNS ของกูเกิลจะสามารถเข้าถึงเว็บที่ใช้บริการของ Akamai ได้รวดเร็วขึ้น

โดเมนระดับบนสุดสำหรับแบรนด์ (brand top-level domain) เริ่มเปิดใช้งานชุดแรกโดยกูเกิลเริ่มเปิดใช้งานทันที วันนี้เราจะสามารถหาไอพีของโดเมน nic.google ได้แล้ว หากเข้าหน้าเว็บกูเกิลจะส่งไปยัง http://www.google.com/registry/ แทน

คำขอใช้งาน TLD สำหรับแบรนด์มีคำขอไปทั้งหมดถึง 664 แบรนด์ แบรนด์หลักๆ ที่เรารู้จักล้วนขอโดเมนของตัวเองกันทั้งสิ้น เช่น แอปเปิล, อินเทล, เลโก้

ข่าวสั้นๆ ครับ เวลาประมาณ 17.50 น.มีรายงานจากผู้ใช้งานในแถบเอเชียและออสเตรเลียว่า Google Public DNS 8.8.8.8 และ 8.8.4.4 ไม่สามารถใช้งานได้ประมาณ 30 นาที ส่งผลกระทบให้ผู้ใช้ทั้งหมดที่ใช้งาน DNS ดังกล่าวอยู่ไม่สามารถเข้าเว็บไซต์ได้จนกว่าจะเปลี่ยน DNS ไปใช้บริการที่อื่นในช่วงเวลาดังกล่าวครับ

กูเกิลยังไม่ได้รายงานปัญหาที่เกิดขึ้นครั้งนี้ครับ

ที่มา: TECHIFREAK