มัลแวร์ WannaCrypt สร้างความเดือดร้อนระดับโลก (และเมืองไทยเองพอเปิดทำงานในวันนี้น่าจะมีคนได้รับผลกระทบอีกไม่น้อย) บริษัทเอกชนหลักที่ต้องรับมือกับตัวมัลแวร์กลายเป็นไมโครซอฟท์ที่ออกแพตช์มาแล้วหลายเดือน และถึงกับต้องออกแพตช์ให้กับวินโดวส์ที่หมดอายุซัพพอร์ตไปแล้วหลายรุ่น วันนี้ Brad Smith ประธานบริษัทและหัวหน้าฝ่ายกฎหมายของไมโครซอฟท์ก็ออกมาเขียนบล็อกวิจารณ์หน่วยงานรัฐบาลที่สะสมช่องโหว่เอาไว้
เขาระบุถึงเหตุการณ์สองครั้งติดๆ กันในปีนี้ ที่ช่องโหว่ซอฟต์แวร์หลุดออกมาจาก CIA ผ่าน WikiLeaks และเหตุการณ์ WannaCrypt ก็หลุดมาจาก NSA สร้างความเสียหายที่เทียบได้กับกองทัพสหรัฐฯ โดนขโมยจรวดโทมาฮอว์ก และรัฐบาลโลกควรตระหนักว่าต้องมีกระบวนการควบคุมการสะสมอาวุธเช่นนี้
NSA ไม่เคยยืนยันว่าเครื่องมือ EternalBlue หลุดมาจากตนเอง แต่คำพูดของ Smith ระบุชัดว่าเป็นเครื่องมือที่หลุดจาก NSA
Smith ย้ำถึงข้อเรียกร้องให้มีการตกลงควบคุมอาวุธไซเบอร์ระหว่างประเทศ หรือ Digital Geneva Convention ที่จะกำหนดให้รัฐบาลทั่วโลกต้องรายงานช่องโหว่ไปยังผู้ผลิตแทนที่จะเก็บไว้เจาะเป้าหมายหรือแม้แต่ขายช่องโหว่เหล่านี้ ตัว Smith พูดเรื่องนี้ตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา ในงาน RSA Conference 2017 ประมาณหนึ่งเดือนก่อนหน้าที่ไมโครซอฟท์จะออกแพตช์ MS17-010 ที่เป็นช่องโหว่ที่ WannaCrypt ใช้เจาะเครื่องของเหยื่อ (เป็นไปได้ว่า NSA แจ้งช่องโหว่นี้ให้กับไมโครซอฟท์ล่วงหน้า หลังจากเครื่องมือ EternalBlue ตกอยู่ในมือกลุ่ม Shadow Brokers)
ในบล็อกนี้ Smith ยังเรียกร้องให้ภาคเอกชนเห็นถึงความสำคัญของการอัพเดตระบบอย่างต่อเนื่อง และเรียกร้องให้ผู้บริหารองค์กรสนับสนุนการอัพเดต ขณะที่ตัวไมโครซอฟท์เองกำลังพัฒนากระบวนการอัพเดตให้ลูกค้าที่ทำงานในสภาพแวดล้อมที่ซับซ้อนสูงสามารถอัพเดตระบบได้
ที่มา - Microsoft On the Issues
Comments
กุมพาพันธ์ => กุมภาพันธ์
ไม่ใช่นายเป็นคนทำเองหรอหรอ M_cr_s_ft
" และเหตุการณ์ WannaCrypt ก็หลุดมาจาก NSA "
ถ้ามีข้อมูลที่เชื่อถือได้ก็เขียนข่าวเลยครับ อยากอ่านอยู่เหมือนกันว่า Microsoft ทำจริงๆ เหรอ อย่ารอช้าครับ ;)
ถ้าจะเขียนแบบใส่สีก็เขียนได้ แต่มันจะติดประเด็นที่ MS ออก patch ให้ XP 2003 กับ 8 นี่แหละ เพราะถ้าเป็นผมคิดแบบเดียวกันกับความเห็นข้างต้น ผมจะไม่ออก patch ให้ XP 2003 กับ 8 เลย เพราะจะได้ขาย OS ตัวใหม่ๆ ด้วยครับ
เสริมให้ว่ามีคนเจอไฟล์อัพเดทของไมโครซอฟท์ถูก sign ตั้งแต่เดือนกุมภาด้วยครับ
แพทช์มันออกทั่วไปเดือนมีนาฯ นี่ครับ จะออกทดสอบภายในและ sign เดือนกุมภาฯ ก็ไม่น่าแปลกนี่ครับ?
ผมว่ามันอยู่กับว่าตีความยังไงน่ะสิครับ อย่างในเนื่อข่าวบอกว่า NSA อาจจแจ้งไมโครซอฟท์ก่อน ผมว่าก็เป็นไปได้เช่นกัน (ผมเอาข้อสังเกตุแปะไว้ด้านล่างนะครับ ตรงนี้มันซ้อนกันจนทำเลย์เอาท์เละเลยครับ)
ถ้าเอาตามโพสต์นั้นเลย ตอนนี้ผมเชื่อตามนี้ครับ
ก็ได้แต่เดานะครับ อาจจะเข้าข้างไมโครซอฟท์ไปบ้าง แต่พวกกำหนดการออกแพตช์มันก็น่าจะออกมาราวๆ นั้น
ผมกำลังนั่งพิมพ์อยู่ตามแนวนี้เด๊ะเลย พอกลับมากดดูอีกทีเจอเลยขอเกาะไปด้วยละกันครับ
ผมเสริมว่าให้ลองจินตนาการดูครับว่า หากในเดือนมีนาคม MS ออกมาประกาศว่า มี Patch ให้กับกลุ่ม EOL นะ เป็นช่องโหว่ความร้ายแรงสูง รีบไปโหลด (แบบ Manual) มาติดตั้งกันเร็ว ผลที่ได้ออกมาน่าจะเป็น
MS ก็คงรอจนกว่าจะเห็นว่าผลกระทบมันร้ายแรงแน่แล้ว ทาง 1 ก็คงเริ่มจะตื่นตัวแล้ว ทาง 2 ก็คงว่าได้ไม่เต็มปากเพราะความเสียหายมันกว้างขวางแล้ว ถึงปล่อยของ EOL ออกมาครับ
ก็ไม่เข้าข้างนะครับ ผมอ่านแล้วก็ตามที่ผมบอก คือแล้วแต่ตีความ
ส่วนตัวยังไม่คิดว่าไมโครซอฟท์จะมีเอี่ยว ข้อมูลตามที่โพสต์นั้นให้ก็ชี้อะไรไม่ได้ มันให้แต่ความคลุมเครือ
ก็ตามแต่ละคนจะตีความกัน ที่เอามาแปะนี่จะชี้ให้ดูว่าทำไมมีคนคิดว่าเป็นฝีมือไมโครซอฟท์ครับ
คิดว่าคงสนุกดีครับ ฮาาา
เค้าน่าจะหมายถึงของ XP,2003 ครับ Sign ไว้ตั้งแต่เดือนกุมภา แต่ไม่ปล่อยให้ พึ่งมาปล่อยเร็ว ๆ นี้ตอนที่ระบาดหนัก ๆ (ถ้าไม่ระบาดหนัก ๆ ก็อาจจะไม่ปล่อย) เลยเป็นคำถามที่ว่า ทำแพทซ์ออกมาแล้วตั้งนาน ทำไมพึ่งจะมาปล่อยตอนนี้ครับ รออะไรอยู่? จะว่าหมดระยะ Support ก็ใช่ แต่ว่าสุดท้ายก็ออกแพทซ์ให้อยู่ดีน่ะครับ
ตามคอมเมนต์บนนะครับ แพตช์ของ XP, 2003 มันก็ออกมาพร้อมๆ กันนั่นแหละครับ แค่ออกให้เฉพาะกับ คนที่จ่ายเงิน แล้วไม่ได้ออกทั่วไป
แต่ผมก็ไม่มีหลักฐานนะครับว่าคนที่จ่ายเงินเค้าได้แพตช์ตั้งแต่ช่วงไหน ใครมีข้อมูลมากกว่านี้คงต้องรบกวนด้วยครับ
Microsoft ยังขาย support ของ XP อยู่นะครับ แต่เป็นลูกค้า Private ในราคาแพง เคสนี้ก็คงเอาแพตช์เสียเงินมาแจกฟรีนั่นล่ะครับ
เสริมครับ support ของ XP ไม่มีขายแล้ว มีแต่ support ของ 2003 แต่เนื่องจาก core ข้างในของ 2003 กับ XP คือตัวเดียวกัน แล้ว 2003 มันมีทั้ง x86 และ x64. ฉะนั้น XP เลยได้ผลพลอยได้จาก patch ของ 2003 ไป
คิดว่า patch ตัวนี้เดิมที MS ทำให้กับคนที่ยินดีที่จะซื้อ support หลังจาก EOL ไปแล้ว ซึ่งสังเกตุได้จาก patch มันถูกออกให้กับ Windows ที่ EOL ไปแล้วทั้งหมดครับปล. Vista รอดพอดีเพราะวันที่ EOL คือ 2017-04-11 ครับ
มีคนตั้งข้อสังเกตุว่าทำไม patch ช่องโหว่ ETERNALBLUE ของ SMBv1 บน Windows ที่หยุด support ไปแล้ว (end-of-life) อย่าง Windows XP หรือ Windows Vista ถึงมี patch ออกมาได้เร็วจัง (ต้นเหตุของการที่ Wana Decrypt0r version 2.0 ใช้เป็นโอกาสในการเรียกค่าไถ่) แต่พอมาเช็คเวลาในตัว build ที่ออก patch แล้วมันทำออกมานานแล้ว แต่ทำไมไม่ปล่อย
ถ้าตามข่าวเรื่อง support แล้วไม่แปลกเท่าไหร่ เพราะ Microsoft เคยให้ความเห็นไว้เมื่อปี 2014 แล้ว ถ้าองค์กรขนาดใหญ่ยังจ่ายเงินแบบ custom support สำหรับ Windows XP ก็จะออก patch ให้กับองค์กรเหล่านั้นอยู่ ว่าง่ายๆ มีตังก็ทำให้ แต่คนทั่วไปคือจบกันตาม support ที่ตั้งไว้ ถ้ามองในแง่นึงก็ไม่ได้กั๊กอะไรไว้ แต่เปิดให้ใช้กับคนที่จ่ายเงินพิเศษไปตามที่ตกลงไว้
แต่ในเคสนี้ ทำไมถึงปล่อยมาให้คนทั่วไปด้วย คงเพราะมันมีผลประทบเป็นวงกว้าง สร้างความเสียหายร้ายแรง จะเก็บไว้ให้ลูกค้าจ่ายเงินก็ยังไงอยู่ ก็เลยปล่อยเป็นสาธารณะไป ถ้า Microsoft ไม่ปล่อยก็คงไม่มีใครว่าอะไรหรอก แต่ปล่อยก็เป็นเรื่องดี
https://redmondmag.com/articles/2014/04/16/windows-xp-support-costs.aspx
เท่าที่รู้ ตอนนี้ไม่มีการ support ให้กับ XP ที่มีอยู่ในปัจจุบันคือ support ของ Server 2003 ครับผ่าน contract ชนิดพิเศษที่มีระดับราคาที่ถือว่าสูงมากและแน่นอนว่าสูงกว่า Server OS ที่ยังอยู่ใน mainstream และ extended support เพราะถือว่า 2003 กับ XP มันหมดอายุไปนานแล้ว ซึ่งทั้งนี้ patch ที่ว่านี้เป็น private patch ซึ่งทำออกมาพิเศษให้แล้วสำหรับลูกค้ากลุ่มนี้อยู่แล้ว
XP ได้รับอานิสงส์ไปเพราะ core ของ XP กับ 2003 มันคือตัวเดียวกัน เนื่องจากการระบาดครั้งนี้ถือว่าใหญ่มาก ก็เลยไม่แปลกใจที่จะถูกปล่อยออกมาเป็น public แทน
ส่วน Vista แม้ว่าจะหมดอายุ extended support ไปแล้ว แต่มัน core เดียวกับ 2008 ซึ่งยังอยู่ extended support ซึ่งยังมี security patch ปล่อยออกมาอยู่ ฉะนั้น ซึ่ง patch มันก็ตัวเดียวกันนั่นแหละครับ
ไม่ได้ทำเอง (แค่เก็บช่องโหว่ไว้ใช้ประโยชน์ แต่ผิดแผนเพราะโดนเอาช่องโหว่ไปทำไวรัสเสียก่อน)
ตกใจตรง "เป็นไปได้ว่า NSA แจ้งช่องโหว่นี้ให้กับไมโครซอฟท์ล่วงหน้า หลังจากเครื่องมือ EternalBlue ตกอยู่ในมือกลุ่ม Shadow Brokers"
ทำไมถึงตกใจหรือครับ?
lewcpe.com , @wasonliw
มีคนตั้งข้อสังเกตุว่าทำไม patch ช่องโหว่ ETERNALBLUE ของ SMBv1 บน Windows ที่หยุด support ไปแล้ว (end-of-life) อย่าง Windows XP หรือ Windows Vista ถึงมี patch ออกมาได้เร็วจัง (ต้นเหตุของการที่ Wana Decrypt0r version 2.0 ใช้เป็นโอกาสในการเรียกค่าไถ่) แต่พอมาเช็คเวลาในตัว build ที่ออก patch แล้วมันทำออกมานานแล้ว แต่ทำไมไม่ปล่อย
ถ้าตามข่าวเรื่อง support แล้วไม่แปลกเท่าไหร่ เพราะ Microsoft เคยให้ความเห็นไว้เมื่อปี 2014 แล้ว ถ้าองค์กรขนาดใหญ่ยังจ่ายเงินแบบ custom support สำหรับ Windows XP ก็จะออก patch ให้กับองค์กรเหล่านั้นอยู่ ว่าง่ายๆ มีตังก็ทำให้ แต่คนทั่วไปคือจบกันตาม support ที่ตั้งไว้ ถ้ามองในแง่นึงก็ไม่ได้กั๊กอะไรไว้ แต่เปิดให้ใช้กับคนที่จ่ายเงินพิเศษไปตามที่ตกลงไว้
แต่ในเคสนี้ ทำไมถึงปล่อยมาให้คนทั่วไปด้วย คงเพราะมันมีผลประทบเป็นวงกว้าง สร้างความเสียหายร้ายแรง จะเก็บไว้ให้ลูกค้าจ่ายเงินก็ยังไงอยู่ ก็เลยปล่อยเป็นสาธารณะไป ถ้า Microsoft ไม่ปล่อยก็คงไม่มีใครว่าอะไรหรอก แต่ปล่อยก็เป็นเรื่องดี
อ้างอิง https://redmondmag.com/articles/2014/04/16/windows-xp-support-costs.aspx
เท่าที่รู้ ตอนนี้ไม่มีการ support ให้กับ XP ที่มีอยู่ในปัจจุบันคือ support ของ Server 2003 ครับผ่าน contract ชนิดพิเศษที่มีระดับราคาที่ถือว่าสูงมากและแน่นอนว่าสูงกว่า Server OS ที่ยังอยู่ใน mainstream และ extended support เพราะถือว่า 2003 กับ XP มันหมดอายุไปนานแล้ว ซึ่งทั้งนี้ patch ที่ว่านี้เป็น private patch ซึ่งทำออกมาพิเศษให้แล้วสำหรับลูกค้ากลุ่มนี้อยู่แล้วXP ได้รับอานิสงส์ไปเพราะ core ของ XP กับ 2003 มันคือตัวเดียวกัน เนื่องจากการระบาดครั้งนี้ถือว่าใหญ่มาก ก็เลยไม่แปลกใจที่จะถูกปล่อยออกมาเป็น public แทน
ส่วน Vista แม้ว่าจะหมดอายุ extended support ไปแล้ว แต่มัน core เดียวกับ 2008 ซึ่งยังอยู่ extended support ซึ่งยังมี security patch ปล่อยออกมาอยู่ ฉะนั้น ซึ่ง patch มันก็ตัวเดียวกันนั่นแหละครับ
+1
ไมโครซอฟท์เคย quote ราคา XP ให้ NHS ของอังกฤษ (โดนคนแรกๆ เลย) ปีแรก "เครื่องล่ะ" 200 ดอลลาร์ ปีที่สองเครื่องล่ะ 400 ดอลลาร์ ปีที่สาม 800 ดอลลาร์
NHS จ่ายไม่ไหว (แล้วก็ดันใช้ไปเรื่อยๆ)
lewcpe.com , @wasonliw
กลุ่ม Shadow Broker ออกมา เรียกค่าไถ่เครื่องมือ NSA เป็นเงิน 1 ล้านดอลลาร์ ตั้งแต่สิงหาคม 2016 ครับ รายชื่อชุดแรก ไม่มี EternalBlue
ที่คาดกันคือ NSA รู้แล้วว่าตัวเองทำรั่ว และแจ้งผู้ผลิต (อาจจะเห็นช่องโหว่ระดับสูงที่ไม่มีชื่อคนแจ้งในผู้ผลิตรายอื่นในช่วงเวลาเดียวกัน) มีช่วงเวลาประมาณ 5 เดือน เป็นไปได้ว่าไมโครซอฟท์ได้รับข้อมูลช่องโหว่ช่วงใดช่วงหนึ่งระหว่างที่ NSA รู้ตัว ไปจนถึงไมโครซอฟท์ออกแพตช์
lewcpe.com , @wasonliw
ขอบคุณครับ เหตุผลไปทางเดียวกับเนื้อหาข่าวเลย แต่อย่างว่าอ่ะครับ พอมันคลุมเครือคนก็โจมตีกันหาท.สมคบคิดกันไป
แล้วทฤษฎีนี่แตก variant กันไวกว่าตัว WannaCry อีกครับ
ถ้าหลักการแม่น เชื่อมั่นให้เหตุผลและตรรกะ ทฤษฎีสมคบคิดก็ทำอะไรเราไม่ได้ครับ
มันจะมาแบบคลุมเครือนี่สิครับ แต่ผมเห็นว่าที่เหตุผลค่อนข้างหนักแน่นที่สุดคือของคุณวสันต์นี่แหละ แต่ก็ยังไม่ได้ชัดเจนอะไรขนาดแบบว่าเป๊ะมาก
555555555
ถ้าจะกล่าวหาว่าไมโครซอฟท์แอบใส่ช่องโหว่เองในกล่าวหาได้ทั้งปีทั้งชาติครับ โค้ดเป็นล้านๆ บรรทัด แพตช์ทุกเดือนมีช่องโหว่ Critical ทั้งนั้น remote code execution ก็มีเรื่อยๆ จิ้มมาสักอันแล้วบอกว่า "อันนี้แอบใส่เอง", "อันนี้รู้นานแล้วไม่บอก", "อันนี้ใส่เพื่อผลประโยชน์ตัวเอง" ได้ทุกอันครับ
เช่นเดียวกับแพลตฟอร์มขนาดใหญ่อื่นๆ
ผมไม่เคยเห็นผู้ผลิตที่น่าเชื่อถืออ้างว่าแพลตฟอร์มตัวเองไม่มีช่องโหว่ร้ายแรงสูง ส่วนมากผู้ผลิตที่อ้างแบบนั้นยิ่งไม่น่าเชื่อถือด้วยซ้ำ
lewcpe.com , @wasonliw
ง่ะ อันนี้ผมแสดงความเห็นเชิงวิเคราะห์ว่าทำไมถึงมีคนคิดว่าไมโครซอฟท์เป็นคนทำอ่ะครับ
ตัวผมเองไม่เคยคิดถึงไมโครซอฟท์ในแง่นั้น อย่างน้อยๆ ผมก็ไม่เชื่อว่า 3 ยักษ์ใหญ่รุ่นเก๋า (MS, Google, Apple) + 1 ยักษ์รุ่นใหม่ (Facebook) จะทำอะไรแบบนั้น
แต่ก็ดีครับ คุณวสันต์อธิบายมาจะได้มีความเห็นหลากหลายก็ดี แต่ผมปกป้องตัวเองก่อนนะ ว่าผมไม่ได้คิดแบบนั้น
IBM , Oracle.. หายไปไหน ?
แง ลืมๆๆๆ
จุดอ่อนของไวรัสที่แก้ไขไฟล์ คือมันมอง shortcut ว่าเป็นไฟล์ๆหนึ่ง
มันไม่สามารถ browse ทะลุ shortcut มาได้
แต่เราเปิด shortcut ได้เหมือนกับเปิดโฟลเดอร์หนึ่งๆ
???
ผมขอถามจริงๆ จังๆ ว่าได้อ่านข่าวเก่าหรือยังครับ
อันนี้น่าจะโดนเวิร์มที่เป็นไฟล์ exe แต่ใช้ icon เหมือนกับ folder แล้วซ่อน folder จริงๆ เอาไว้
คนก็ double click กันสนั่นหวั่นไหว ไฟล์ล้นเครื่อง