Adobe ปล่อย Flash รุ่น 19.0.0.245 และ 18.0.0.261 แก้ไขช่องโหว่ความปลอดภัยจำนวน 17 รายการ แบ่งออกเป็นช่องโหว่รันโค้ดด้วยช่องโหว่ type confusion 1 รายการ, ช่องโหว่เขียนไฟล์ด้วยสิทธิ์ของผู้ใช้ 1 รายการ, และช่องโหว่การใช้หน่วยความจำหลังคืนความจำ (use-after-free) อีก 15 รายการ

ไมโครซอฟท์แพตช์ความปลอดภัยรอบเดือนพฤศจิกายน จำนวน 12 ชุด เป็นช่องโหว่ร้ายแรง 4 รายการ ได้แก่

Chu Ting-ting หญิงชาวฮ่องกงอายุ 23 ปีถูกศาลพิพากษาให้บริการสังคม 80 ชั่วโมง จากการโหลดเว็บตำรวจถึง 7,467 ครั้งในเวลา 24 นาที จนกระทั่งเว็บตำรวจฮ่องกงล่ม ในช่วงเวลาไม่กี่วันหลังการประท้วงใหญ่ในฮ่องกง

Chu ปฎิเสธข้อกล่าวหา โดยระบุว่าไม่ทราบว่าการแฮกคืออะไร และทนายต่อสู้คดีโดยระบุว่าการโหลดเว็บจำนวนมากไม่ได้ทำให้เว็บไซต์เสียหาย แต่ยืนยันว่าเธอเป็นกลุ่มเรียกร้องประชาธิปไตยในฮ่องกง

ที่มา - South China Morning Post

ARM ลงทุนพัฒนา mbed OS อย่างหนักตั้งแต่เปิดตัวในปีที่แล้ว จากรุ่นเบต้า ในงาน TechCon ทาง ARM ก็ปล่อยรุ่น Technology Preview ออกมา โดยเพิ่มฟีเจอร์สำคัญหลายอย่าง

ARM เปิดสถาปัตยกรรมชุดคำสั่งใหม่ ARMv8-M สำหรับอุปกรณ์ IoT โดยเฉพาะ แม้จะเป็นสถาปัตยกรรมตระกูล ARMv8 แต่ ARMv8-M จะรับคำสั่ง 32 บิตเท่านั้น โดยจะนำสถาปัตยกรรมนี้มาใช้กับซีพียูในตระกูล Cortex-M ที่มีราคาถูกขนาดเล็ก เช่น ชิป EMW3165 ก็ใช้ Cortex-M4

ความเปลี่ยนแปลงสำคัญ ARMv8-M จะมีฟีเจอร์ TrustZone มาในตัว ทำให้ชิปรุ่นเล็กๆ ก็สามารถใส่ความสามารถด้านความปลอดภัยเพิ่มเติม แยกโซนระหว่างฟีเจอร์ปกติกับฟีเจอร์สำคัญ เช่น การสร้างกุญแจเข้ารหัส หรือการตรวจสอบซอฟต์แวร์อัพเดต

พร้อมกับ TrustZone ในตัวซีพียู ARMv8-M กำหนดมาตรฐานบัส ARM AMBA 5 AHB5 ที่สามารถเชื่อมต่อกับอุปกรณ์ภายนอกซีพียูแล้วระบุได้ว่าอุปกรณ์ชิ้นใดเป็นอุปกรณ์ที่ไว้ใจได้

ARM เปิดตัวซีพียู Cortex-A35 เน้นการประหยัดพลังงานและต้นทุนการผลิตที่ถูก โดยการวางตลาดตัว Cortex-A35 จะเป็นการอัพเกรด Cortex-A7 ในทุกวันนี้มาเป็นสถาปัตยกรรม ARMv8-A ที่รองรับคำสั่ง 64 บิตแล้ว

Cortex-A35 จะมีประสิทธิภาพการประมวลผลต่อพลังงาน ดีกว่า Cortex-A7 20% ที่คำสั่ง 32 บิต พื้นที่ซีพียูเมื่อผลิตด้วยเทคโนโลยี 28 นาโนเมตรจะลดลง 25% สามารถคอนฟิกได้ต่ำที่สุด คือ คอร์เดี่ยว พร้อมแคช 8KB ใช้พื้นที่ผลิต 0.4 ตารางมิลลิเมตร เท่านั้น ส่วนพื้นที่ผลิตจริงต้องขึ้นกับผู้ผลิตว่าจะคอนฟิกอย่างไร โดยสามารถเลือกใส่แคชได้ 64KB สองชุดสำหรับข้อมูลและคำสั่ง แคช L2 อีก 1MB และคำสั่งพิเศษอื่นๆ เช่น NEON และ Crypto

Linux.Encoder.1 เป็นมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ที่มุ่งเป้ามาที่เว็บเซิร์ฟเวอร์ลินุกซ์โดยเฉพาะ ตอนนี้แม้จะยังไม่มีรายงานการระบาดมากนัก แต่ทาง BitDefender ก็วิเคราะห์พบว่าการพัฒนามีช่องโหว่ทำให้ถอดรหัสได้โดยง่าย

BLAKE2 เป็นอัลกอริทึมแฮชที่เข้าแข่งขันให้เป็นมาตรฐาน SHA-3 ของ NIST (องค์กรมาตรฐานทางเทคโนโลยีของสหรัฐฯ) และเข้ารอบไปถึงรอบสุดท้ายที่อัลกอริทึมเข้ารอบ 5 อัลกอริทึม แม้สุดท้าย Keccak จะเป็นผู้ชนะได้เป็นมาตรฐาน SHA-3 แต่ผู้สร้าง BLAKE2 ก็เสนอให้เป็นมาตรฐานทางเลือกหนึ่งของ IETF

กระบวนการเสนอมาตรฐานมีการเสนอมาตั้งแต่ต้นปีที่ผ่านมา ตอนนี้เอกสารก็ตีพิมพ์เป็น RFC7693 เรียบร้อยแล้ว

ปัญหาการออกใบรับรองชื่อที่ไม่มีการใช้งานเป็นสากล เช่นชื่อเครื่องอย่าง mail, wiki, intranet เป็นประเด็นความปลอดภัยที่ผู้ให้บริการออกใบรับรองกลับปล่อยใบรับรองให้ชื่อเครื่องเหล่านี้มายาวนาน ตามข้อตกลงของ CA Browser Forum กำหนดว่า CA ทั้งหมดจะต้องไม่ออกใบรับรองประเภทนี้ที่มีอายุการใช้งานหลังจากวันที่ 1 พฤศจิกายนที่ผ่านมา แต่ทาง Comodo ก็ออกมาเปิดเผยข้อมูลตรวจสอบภายใน ระบุว่ายังมีความผิดพลาดในซอฟต์แวร์ทำให้ใบรับรองเหล่านี้ถูกรับรองออกมา

ชื่อโดเมนภายในที่ได้รับใบรับรองไป เช่น help, sums-prod, waterwarecorp.local, mailarchive

ผู้ดูแลระบบลินุกซ์แต่ใช้งานผ่านเดสก์ทอปวินโดวส์คงรู้จัก PuTTY กันแทบทุกคน เมื่อสองวันก่อนทางโครงการก็ออกเวอร์ชั่นใหม่แก้ช่องโหว่สำคัญออกมาแล้ว ควรรีบอัพเดตกัน

ช่องโหว่นี้อาศัยการวางอักขระที่เป็น escape sequence อย่างจงใจไปในไฟล์เพื่อกระตุ้นบั๊ก integer overflow การโจมตีจึงทำได้ในกรณีที่ผู้โจมตีสามารถวางไฟล์บนเซิร์ฟเวอร์ และล่อให้ผู้ดูแลระบบล็อกอินเข้าไปสั่ง cat ไฟล์เหล่านั้นขึ้นมาดู โดยช่องโหว่กระทบตั้งแต่เวอร์ชั่น 0.54 มาจนถึง 0.65

แม้จะเป็นการออกเวอร์ชั่นใหม่เพื่อแก้ช่องโหว่ แต่ก็มีอัพเดตบั๊กเล็กๆ น้อยๆ เช่น การส่ง Unicode และเพิ่มฟีเจอร์การออกล็อกไฟล์

กูเกิลเปิดตัว TensorFlow ไลบรารีสำหรับการคำนวณจากข้อมูลที่ไหลเข้ามาเป็น dataflow รองรับการกระจายงานไปยังซีพียูหรือชิปกราฟิกได้โดยไม่ต้องเขียนโค้ดใหม่ เน้นรองรับการพัฒนาระบบ machine learning โดยเฉพาะ

TensorFlow รองรับการจัดการกับข้อมูลรูปแบบต่างๆ ตั้งแต่กระบวนการง่ายๆ เช่น บวก ลบ คูณ หาร การจัดการสตริง เช่น ต่อสตริง ตัดสตริง ไปจนถึงการจัดการข้อมูลระดับสูง เช่น ฟังก์ชั่น SoftMax, Sigmoid, ReLU

ตัวไลบรารีมาพร้อมกับโปรแกรม TensorBoard ที่ใช้ดูเส้นทางของข้อมูลและเข้าไปดูได้ว่าแต่ละขั้นตอนมีพารามิเตอร์อย่างไรบ้าง

สัญญาอนุญาตเป็น Apache 2.0 สามารถนำไปพัฒนาเพื่อการค้าได้

Orange Pi ผู้ผลิตบอร์ดคอมพิวเตอร์จิ๋วแนวเดียวกับ Raspberry Pi เปิดตัวรุ่นใหม่ Orange Pi Plus 2 มีจุดเด่นคือแรมเพิ่มขึ้นเป็น 2GB น่าจะใช้งานได้เหลือๆ กับแอปพลิเคชั่นแทบทุกประเภท

บอร์ดรุ่นนี้เหมือนกับ Orange Pi Plus ที่เปิดตัวไปตั้งแต่ต้นปี แทบทุกประการ แต่ตัวบอร์ดหน้าตาจะเปลี่ยนไปเพราะขยับชิปให้วางแรมได้ 4 ชิป เพิ่มแรมเป็น 2GB, บนบอร์ดมี eMMC ขนาด 8GB, LAN แบบกิกะบิต, Wi-Fi, SATA, ส่วนซีพียูใช้ Allwinner H3 เช่นเดิม

มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ที่แพร่ระบาดหนักและสร้างความเสียหายได้มากตระกูลหนึ่งคือกลุ่ม CryptoWall ที่ประมาณการว่าสร้างความเสียหายไปแล้วเป็นมูลค่าถึง 325 ล้านดอลลาร์ ตอนนี้ทาง Heimdal Security ก็รายงานวิเคราะห์ถึง Cryptowall 4.0 ที่มีการปรับปรุงใหม่ เปลี่ยนแปลงสำคัญ 3 ด้าน ได้แก่

Espressif ผู้ผลิตชิปคอมพิวเตอร์ฝังตัวที่โด่งดังมาจากชิปราคาถูก ESP8266 ประกาศชิปรุ่นใหม่มาสามเดือนแล้วและตอนนี้ก็มีข้อมูลเพิ่มเติมออกมา โดยชิปรุ่นใหม่จะใช้ชื่อว่า ESP32 แกนซีพียูยังคงเป็น Tensilla เช่นเดิม แต่ความเปลี่ยนแปลงอัพเกรดขึ้นหลายอย่าง

มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่มีเทคนิคสารพัดเพื่อขู่ให้เหยื่อจ่ายค่าไถ่ ก่อนหน้านี้มักเป็นการขู่ว่าพบข้อมูลผิดกฎหมายในเครื่อง แต่โดยทั่วไปแล้วหากเราสำรองข้อมูลเอาไว้ มัลแวร์เหล่านี้ก็สร้างความเสียหายได้ไม่มากนัก ล่าสุดมัลแวร์ Chimera เลือกขู่ที่จะเปิดเผยข้อมูลสู่สาธารณะเพื่อกดดันให้เหยื่อจ่ายเงินค่าไถ่

รายงานการแพร่กระจายของ Chimera อาศัยการส่งลิงก์ทางอีเมล และระบุว่าข้อมูลเพิ่มเติมอยู่ใน Dropbox เมื่อเหยื่อดาวน์โหลดและรันโปรแกรม มัลแวร์ก็จะเริ่มเข้ารหัสไฟล์ทั้งหมดในเครื่องและในไดรฟ์ที่เชื่อมต่อผ่านเครือข่ายทันที เมื่อบูตเครื่องใหม่มัลแวร์จะแสดงหน้าจอเตือนว่าข้อมูลถูกเข้ารหัส ให้จ่ายเงินเพื่อถอดรหัส

Doctor Web รายงานถึงมัลแวร์เข้ารหัสเรียกค่าไถ่ตัวใหม่ Linux.Encoder.1 ที่ออกแบบมาเพื่อมุ่งโจมตีเว็บเซิร์ฟเวอร์โดยเฉพาะ โดยทาง Doctor Web ยังไม่ได้รายงานว่ามันอาศัยช่องทางใดเข้าไปยังเซิร์ฟเวอร์

เมื่อมัลแวร์เข้าไปแล้วและรันด้วยสิทธิ์ root ได้สำเร็จ มันจะเข้ารหัสในโฟลเดอร์ /home, /root, /var/lib/mysql, /var/www, /etc/nginx, /etc/apache2, และ /var/log จากนั้นมันจะสแกนทั้งระบบไฟล์เพื่อหาไฟล์ข้อมูลที่นามสกุลไฟล์ตรงกับเป้าหมายเพื่อเข้ารหัสต่อไป

กระบวนการที่เหลือเหมือนกับมัลแวร์เข้ารหัสเรียกค่าไถ่อื่นๆ คือมันจะทิ้งไฟล์เรียกค่าไถ่เอาไว้ และเรียกค่าไถ่เป็นเงิน 1BTC

ที่มา - Doctor Web

ไมโครซอฟท์มีกำหนดการหยุดรองรับใบรับรองที่ใช้ SHA-1 ในการรับรองในวันที่ 1 มกราคม 2017 แต่งานวิจัยใหม่ๆ ก็แสดงความน่ากลัวของการใช้ SHA-1 มากขึ้นเรื่อยๆ เมื่อเดือนที่แล้วมอซิลล่าประกาศว่าอาจจะร่นระยะเวลายกเลิก SHA-1 ขึ้นมาเป็นวันที่ 1 กรกฎาคม ตอนนี้ทางไมโครซอฟท์ก็ออกมาประกาศแนวทางเดียวกันแล้ว

ทางไมโครซอฟท์ระบุว่าจะประเมินความจำเป็นร่วมกับเบราว์เซอร์อื่นๆ ต่อไป ระหว่างนี้ผู้ดูแลระบบทั้งหลายก็ควรเร่งอัพเดตใบรับรองของตัวเองกันโดยเร็ว

การกดดันจากผู้ผลิตเบราว์เซอร์รายใหญ่อย่างต่อเนื่องทำให้การอัพเดตใบรับรองเป็นไปอย่างรวดเร็ว ในช่วงเวลาไม่ถึงสองปี ใบรับรองที่เคยใช้ SHA-1 กว่า 70% ถูกอัพเดตเป็น SHA-2 แล้ว

ProtonMail ผู้ให้บริการอีเมลเข้ารหัส ถูกขู่จากกลุ่มแฮกเกอร์เรียกค่าคุ้มครองก่อนจะถูกยิง DDoS เป็นการเตือน จนกระทั่งเว็บเข้าใช้งานไม่ได้ไป 15 นาที และหลังจากนั้นอีกวันก็เริ่มถูกโจมตีอย่างต่อเนื่อง จนกระทั่งแบนวิดท์เกิน 100Gbps ต่อเนื่อง กระทบผู้ใช้บริการศูนย์ข้อมูลเดียวกันทั้งหมด

ทาง ProtonMail ระบุว่าถูกกดดันให้ยอมจ่ายค่าคุ้มครองนี้ไปเสีย และสุดท้ายทางบริษัทก็ยอมจ่าย แต่การโจมตีก็ยังไม่หยุด จนกระทั่งทาง ISP ตัดสินใจหยุดประกาศเน็ตเวิร์คของ ProtonMail แทนเพื่อให้หยุดทราฟิกที่ยิงเข้ามา

ร่างกฎหมาย Investigatory Powers Bill (IPB) ที่รวมเอากฎหมายความมั่นคงด้านการดักฟังเข้าสู่การพิจารณาของสภาอังกฤษในวันนี้ เสียงตอบรับจากฝั่งสื่อมวลชนและองค์กรสิทธิไม่ดีนัก ตัวร่างกฎหมายถูกตั้งชื่อเล่นเป็น Snooper's Charter หรือร่างก่อตั้งหน่วยงานดักฟัง

เมื่อวันก่อน Trend Micro รายงานถึง Moplus SDK ที่เปิดช่องทางให้ควบคุมโทรศัพท์มือถือจากภายนอกได้ วันนี้ทาง FireEye ก็ออกรายงานคล้ายกันถึง mobiSage SDK ไลบรารีโฆษณาจาก adSage ในจีน ที่เปิดช่องทางลับให้เซิร์ฟเวอร์โฆษณาสามารถเข้าควบคุมเครื่องได้มากกว่าการโฆษณาตามปกติ

Raytheon ร่วมกับ National Cyber Security Alliance จัดสำรวจความสนใจงานด้านความมั่นคงปลอดภัยไซเบอร์ประจำปี พบว่าผู้หญิงมีความสนใจงานด้านความมั่นคงปลอดภัยไซเบอร์ในปีนี้เหลือเพียง 23% จากปีที่แล้วที่สำรวจได้ 37% ขณะที่ความสนใจของผู้ชายเท่าเดิมอยู่ที่ 40% ช่องว่างเพิ่มขึ้นในปีเดียวกว่าห้าเท่าตัว

รายงานนี้สำรวจคนหนุ่มสาวอายุ 18 ถึง 26 ปี ในสี่ภูมิภาคทั่วโลกจำนวน 4,000 คน พบว่าความแตกต่างเพศเป็นไปในทางเดียวกับ การเข้าไม่ถึงข้อมูลงานด้านความมั่นคงปลอดภัยไซเบอร์, โรงเรียนไม่มีวิชาเรียนคอมพิวเตอร์, เข้าไม่ถึงโครงการหรือกิจกรรมด้านความมั่นคงปลอดภัยไซเบอร์ ที่ผู้หญิงล้วนเข้าถึงข้อมูลได้น้อยกว่าในทุกด้าน

Arduino.cc (ฝั่งสหรัฐฯ) ออกอัพเดต Arduino IDE เป็นรุ่น 1.6.6 แม้จะปรับเลขเวอร์ชั่นเพียง 0.0.1 แต่มีฟีเจอร์สำคัญหลายอย่าง

• arduino-builder: คำสั่งคอมไพล์แบบ command-line ทำให้คอมไพล์ไฟล์, เลือกรุ่นบอร์ด, ลิงก์เข้ากับไลบรารี ได้อย่างอัตโนมัติเหมือนกับกับการใช้ IDE สำหรับคนที่ชอบใช้ editor ตัวอื่น หรือต้องการทำระบบคอมไพล์อัตโนมัติ ตอนนี้ก็มีทางเลือกเป็นทางการให้ใช้งานกันแล้ว
• ไลบรารี HID ตัวใหม่ทำให้โปรแกรม Arduino กลายเป็นอุปกรณ์อินพุต เช่น คีย์บอร์ด, จอยสติก, หรืออุปกรณ์อื่นๆ ได้ง่ายขึ้น
• Serial plotter: รับค่าจากซีเรียลมาพล็อตกราฟได้ทันที

ภายในเองก็มีการปรับปรุง เช่น การเปลี่ยนไปใช้ Java 8 จากเดิมที่ใช้เฉพาะลินุกซ์

TextSecure แอปพลิเคชั่นแชตแบบเข้ารหัสจากปลายทางถึงปลายทางประกาศเปลี่ยนชื่อเป็น Signal เช่นเดียวกับเวอร์ชั่นบน iOS ความเปลี่ยนแปลงนอกจากชื่อคือการรองรับการคุยด้วยเสียงระหว่างผู้ใช้ เข้ามาแทนที่ RedPhone อย่างสมบูรณ์

สำหรับผู้ที่ติดตั้ง RedPhone อยู่ก่อนจะได้รับการแจ้งเตือนให้ติดตั้ง Signal แทนที่

Chef เพิ่งได้รับเงินทุนรอบ E ไปเมื่อสองเดือนก่อน ตอนนี้ก็เปิดบริการใหม่ Chef Compliance ตรวจสอบโครงสร้างพื้นฐานของบริการว่าเข้ากันได้กับนโยบายความปลอดภัยขององค์กรหรือไม่

Chef Compliance ตรวจสอบเซิร์ฟเวอร์ว่าคอนฟิกไว้อย่างถูกต้อง และรายงานว่าเซิร์ฟเวอร์ตัวไหนยังเป็นปัญหาอยู่บ้าง บริการนี้มาพร้อมกับโปรไฟล์สำหรับ CIS Level 1 และ Level 2 ไว้แล้ว

โปรแกรมเก็บรหัสผ่านเป็นเครื่องมือสำคัญที่ช่วยรักษาความปลอดภัยให้กับผู้ใช้ แต่หากคอมพิวเตอร์มีมัลแวร์ถูกควบคุมโดยแฮกเกอร์ เครื่องมือใดๆ ก็ช่วยรักษาความปลอดภัยไม่ได้ ล่าสุดนักวิจัยจากบริษัท Security Assessment ออกเครื่องมือ KeeFarce ช่วยดึงฐานข้อมูลรหัสผ่านออกมาจากโปรแกรม KeePass หากโปรแกรมรันอยู่ก่อนแล้ว

การเจาะข้อมูลออกจากเครื่องคอมพิวเตอร์ที่แฮกเกอร์สามารถควบคุมได้ไม่ใช่เรื่องใหม่แต่อย่างใด แต่ KeeFarce แสดงให้เห็นว่าเครื่องมือดึงข้อมูลสามารถทำให้ใช้งานได้ง่าย โดยอาศัยเทคนิค DLL injection ทำให้สามารถดึงรหัสผ่านทั้งหมดออกมาได้