บริษัท Core Security แจ้งเตือนรายการช่องโหว่ของอุปกรณ์ D-Link IP Cameras ซึ่งอาจส่งผลให้ผู้โจมตีสามารถเข้าถึงวีดิโอที่กำลังสตรีมอยู่ในขณะนั้นได้ โดยรายการของช่องโหว่ดังกล่าวนี้มีตั้งแต่ระดับทั่วไป (ข้ามผ่านการล็อกอิน) จนไปถึงการอัดฉีดคำสั่งเพื่อควบคุมได้

ผลจากการทดสอบช่องโหว่นี้ ผู้โจมตีสามารถใช้คำสั่งต่างๆ ผ่านหน้าเว็บอินเตอร์เฟส, ข้ามผ่านการตรวจสอบตัวตนทาง และเข้าถึงการสตรีมวีดิโอผ่านทางโปรโตคอล RTSP โดยทาง Core Security ได้กล่าวว่า หากอุปกรณ์รุ่นที่ใช้อยู่นั้นอยู่ในรายการนี้ ควรติดตามข่าวสารรวมถึงตามอัพเดทแพตซ์ต่างๆ จากทาง D-Link อย่างสม่ำเสมอ

ที่มา - Softpedia

ตำรวจเนเธอแลนด์ยืนยันข่าวการเข้าจับกุมชายวัย 35 ซึ่งถูกกล่าวหาว่าเป็นผู้อยู่เบื้องหลังการ DDoS เว็บไซต์ Spamhaus ซึ่งเป็นโปรเจคการติดตามเว็บไซต์สแปมและเก็บข้อมูลของสแปมในเดือนมีนาคม โดยการโจมตีในครั้งนี้นับว่าเป็นการ DDoS ที่ใช้ปริมาณแบนด์วิดท์‎เยอะที่สุดในประวัติศาสตร์คือ 300Gbps

ในเบื้องต้นเชื่อกันว่าชายคนนี้คือ Sven Kamphuis เจ้าของและผู้ดูแลบริการเว็บโฮสติ้งที่มีบังเกอร์ป้องกันนิวเคลียร์ CyberBunker โดยน่าจะมีเหตุจูงใจจากการที่ Spamhaus ได้เพิ่มเว็บไซต์ของ CyberBunker เข้าสู่แบล็คลิสต์ว่าเป็นสแปม โดยชายคนนี้จะถูกดำเนินการตามกฎหมายต่อไป

CyberBunker มีชื่อเสียงในด้านการให้บริการแบบนิรนาม ซึ่งมักถูกนำไปใช้โดยผู้ก่อการร้าย หรือใช้เพื่อละเมิดกฎหมายต่างๆ

ที่มา - SC Magazine

กรมตำรวจออสเตรเลียได้ประกาศการจับกุม Matthew Flannery หรือ Aush0k วัย 24 ปี ผู้อ้างตัวว่าเป็นหัวหน้ากลุ่ม LulzSec ซึ่งเคยฝากผลงานไว้มากมายก่อนจะยุบกลุ่มไป (ดูข่าวเก่า)

จากข้อมูลเบื้องต้นบน LinkedIn ผู้ต้องหาเคยเป็นวิศวกรด้านความปลอดภัย Tenable Network Security มาก่อน และมีความสามารถด้านความปลอดภัยในระบบคอมพิวเตอร์อยู่ในระดับสูง

โดยในวันที่ 15 พฤษภาคม Flannery จะถูกนำตัวขึ้นศาลในการพิจารณาสองข้อหาที่เขากระทำผิดคือการแก้ไขข้อมูลโดยไม่ได้รับอนุญาต และการเข้าถึงระบบที่มีการรักษาความปลอดภัยไว้โดยไม่ได้รับอนุญาต

ที่มา - eSecurity Planet

บริษัทด้านความปลอดภัย Bkav ได้แจ้งเตือนช่องโหว่ด้านความปลอดภัยของแอพ Viber ซึ่งสามารถใช้ข้ามผ่านการล็อกหน้าจอบนอุปกรณ์แอนดรอยด์ได้

นาย Nguyen Minh Duc หัวหน้าฝ่ายความปลอดภัยของ Bkav กล่าวว่า วิธีการจัดการป๊อบอัพของ Viber บนอุปกรณ์นั้นทำงานผิดพลาดจนทำให้เกิดช่องโหว่ดังกล่าวได้ ซึ่งในการทดสอบนั้นได้มีการใช้ช่องโหว่นี้บนอุปกรณ์ Google Nexus 4, Samsung Galaxy S2, Sony Xperia Z และ HTC Sensation XE และพบว่าสามารถใช้ประโยชน์ช่องโหว่ได้ทั้งหมด (ดูวีดีโอการทดสอบ)

โดยทางผู้ผลิต Viber ได้แนะนำให้ผู้ใช้งานทำการปิดการทำงานของฟังก์ชัน "Unlock for popups" จนกว่าจะมีการแพตซ์ช่องโหว่ดังกล่าวนี้

ที่มา - Bkav Corporation via H-Online

Internet Corporation for Assigned Names and Numbers (ICANN) ได้เผยแพร่เนื้อหาเกี่ยวกับคำแนะนำในการรับมือการโจมตีแบบ DDoS ในกรณีที่เกิดขึ้นกับองค์กรต่างๆ โดยภาพรวมนั้นจะเป็นขั้นตอนการป้องกันเบื้องต้น การติดต่อไปยังผู้ให้บริการทั้ง ISP และเว็บโฮสติ้ง ซึ่งยังรวมไปถึงการติดต่อทางด้านกฎหมายเพื่อเอาผิดในกรณีที่การโจมตีสร้างความเสียหายมากด้วย

ในปัจจุบันทางเลือกสุดท้ายของแฮกเกอร์หากไม่สามารถระงับการให้บริการของเว็บไซต์หรือเซิร์ฟเวอร์โดยช่องโหว่ด้านความปลอดภัย ก็มักที่จะเลือกการโจมตีแบบ DDoS เป็นไม้ตายก้นหีบ เนื่องจากเป็นวิธีที่ง่ายและค่อนข้างได้ผลหากมีประสิทธิภาพในการโจมตีที่สูง

ที่มา - ICANN Blog via Softpedia

Cody Kretsinger หนึ่งในสมาชิกกลุ่ม LulzSec ซึ่งเคยสร้างผลงานทั้งการแฮ็กเว็บไซต์ Sony Pictures รวมไปถึงการ DDoS ใส่เว็บไซต์ CIA และถูกจับในเวลาต่อมา โดยมีแนวโน้มว่าจะมีการตัดสินจำคุกผู้กระทำความผิดถึง 15 ปี แต่ผู้กระทำความผิดได้รับสารภาพและยอมที่จะบำเพ็ญสาธารณประโยชน์เป็น 1,000 ชั่วโมง ทำให้โทษจำคุกเหลือ 1 ปี และจะต้องจ่ายค่าเสียหายให้กับทาง Sony Pictures เป็นจำนวน $605,663 ด้วย

ที่มา - PC World

Cody Kretsinger หนึ่งในสมาชิกกลุ่ม LulzSec ซึ่งเคยสร้างผลงานทั้งการแฮ็กเว็บไซต์ Sony Pictures รวมไปถึงการ DDoS ใส่เว็บไซต์ CIA และถูกจับในเวลาต่อมา โดยมีแนวโน้มว่าจะมีการตัดสินจำคุกผู้กระทำความผิดถึง 15 ปี แต่ผู้กระทำความผิดได้รับสารภาพและยอมที่จะบำเพ็ญสาธารณประโยชน์เป็น 1,000 ชั่วโมง ทำให้โทษจำคุกเหลือ 1 ปี และจะต้องจ่ายค่าเสียหายให้กับทาง Sony Pictures เป็นจำนวน $605,663 ด้วย

ที่มา - PC World

นักวิจัยจาก Independent Security Evaluators (ISE) ได้เปิดเผยรุ่นเราเตอร์ชื่อดังหลังจากพบช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถใช้โจมตีและขโมยข้อมูลได้ภายในเครือข่าย LAN เดียวกัน และ 11 รุ่นจาก 13 รุ่นสามารถเข้าควบคุมอุปกรณ์ได้จากเครือข่าย WAN

โดยรุ่นเราเตอร์ที่ถูกประกาศออกมาก็ได้แก่ Linksys WRT310Nv2, Belkin F5D8236-4 v2, Belkin N300, Belkin N900, Netgear WNDR4700, TP-Link WR1043N, Verizon Actiontec, D-Link DIR-865L เป็นต้น ซึ่งการโจมตียังสามารถแบบออกได้เป็นสามรูปแต่ที่อันตรายที่สุดคือแฮกเกอร์สามารถเข้าถึงอุปกรณ์เหล่านั้นได้โดยไม่ต้องอาศัยการตอบสนองของมนุษย์ หรือการพิสูจน์ตัวตนใดๆ เลย

ในส่วนของวิธีการแก้ไขนั้น ทาง ISE ได้ทำการติดต่อไปยังผู้ผลิตเฟิร์มแวร์ของอุปกรณ์ดังกล่าวเพื่อทำการแพตซ์ช่องโหว่แล้ว และจะทำการแจ้งเตือนผู้ใช้งานให้ทำการอัพเดตต่อไป

ที่มา - eSecurity Planet

ครั้งแรกในประเทศไทยสำหรับงานที่จัดเพื่อนักพัฒนาและผู้หญิงแวดวงไอที และมีผู้หญิงเข้าร่วมเสวนาและรับฟังมากที่สุดกับงาน DevFestW Bangkok ที่กำลังจะเกิดขึ้นในวันอาทิตย์ที่ 31 มีนาคม ณ ห้องประชุมใหญ่ชั้น 16 อาคาร 9 มหาวิทยาลัยกรุงเทพ วิทยาเขตกล้วยน้ำไท (แผนที่ : 13.711568, 100.581357)

พบกับหัวข้อบรรยายแบบผู้หญิงถึงผู้หญิง และกิจกรรมปาร์ตี้พิซซ่าพร้อมคัพเค้กสุดน่ารักที่เตรียมเซอร์ไพรส์สาวๆทุกคน ลงทะเบียนได้แล้ววันนี้ที่นี่ และติดตามกิจกรรมบน Google+ Events ได้ที่นี่ (ผู้หญิงทุกคนจะได้สิทธิเชิญเพื่อนมาร่วมเป็น +1 ได้หนึ่งคน ส่วนผู้ชายต้องชวนสาวๆ มาลงทะเบียนด้วย หากลงทะเบียนมาคนเดียวจะไม่ได้รับของที่ระลึก) กำหนดการของงานดูได้จากแหล่งที่มาครับ

ที่มา - GDG Thailand

ผมได้รับข่าวสารจากทางทวิตเตอร์ว่าในช่วงเที่ยงคืนของวันที่ 29 มีนาคม ได้มีแฮกเกอร์ทำการเจาะระบบของเว็บไซต์กระทรวงศึกษาธิการ และได้ทำการแก้บริเวณหน้าเว็บไซต์โดยขึ้นข้อความว่า "พวกเราเด็กรุ่นใหม่ กรุณาสอนในเรื่องที่ต้องใช้ในอนาคต ไม่ใช่สอนเอาไปแค่สอบแข่งขัน BY MRHOP3R" ซึ่งในตอนนี้ก็เป็นที่คาดเดากันไปต่างๆ นานาว่าแฮกเกอร์คนนี้ใช้วิธีหรือช่องโหว่ใดในการเจาะระบบ

จากที่เคยมีการบันทึกไว้ในเว็บไซต์ zone-h.org ซึ่งได้ทำการรวบรวมเว็บไซต์ที่เคยถูกแฮกและมีการแก้หน้าเว็บไซต์พบว่า เว็บไซต์กระทรวงศึกษาธิการเคยถูกแฮกเป็นจำนวน 102 ครั้ง (รวมซับโดเมนต่างๆ ด้วย) ซึ่งนี่ยังไม่นับการแฮกที่ไม่ได้แจ้งเตือนไปยัง zone-h.org อย่างไรก็ตามในตอนนี้เว็บไซต์ได้ปิดปรับปรุงแล้ว ผู้อ่านท่านใดอยากดูหน้าเว็บไซต์ที่ถูกเปลี่ยนสามารถเข้าดูได้จาก cache ของกูเกิลครับ

ข่าวดีสองชั้น! สำหรับนักพัฒนาไทยที่กำลังพัฒนาแอพพลิเคชั่นเพื่อเข้าประกวด OTPC App Contest นะครับ ทางสำนักงานคณะกรรมการการศึกษาขั้นพื้นฐานได้ขยายระยะเวลารับผลงานจากเดิมวันที่ 21 มีนาคม เป็นวันที่ 9 เมษายน 2556 และได้มีการเพิ่มรางวัลสุดยอดที่นักพัฒนาทั่วโลกต้องการมากที่สุดคือ รางวัลบัตรเข้าร่วมงาน Google I/O และตั๋วเครื่องบินไปกลับซานฟรานซิสโก ทั้งหมด 3 รางวัลสำหรับผู้ชนะเลิศในแต่ละประเภท

โดยรางวัลเปิดให้ทั้งผลงานในประเภทบุคคลธรรมดาและนิติบุคคล หากผู้ได้รางวัลชนะเลิศส่งเข้าร่วมเป็นกลุ่ม เรายังมีรางวัลปลอบใจเป็นบัตรเข้าร่วมงาน Google I/O Extended อีกจำนวน 2 ใบ เพื่อชมบรรยากาศจาก Moscone Center กันแบบสดๆ ร่วมกันกับนักพัฒนาท่านอื่นได้ที่กรุงเทพฯ

ผู้ส่งผลงานเข้าประกวดที่มีสิทธิได้รับรางวัลพิเศษนี้จำเป็นต้องเป็นสมาชิก Google Developer Group โดยสมัครได้ที่นี่ เมื่อส่งผลงานผ่านเว็บไซต์ OTPC App Contest แล้วให้มากรอกข้อมูลยืนยันเพื่อขอร่วมรับรางวัลพิเศษนี้ได้ที่แบบฟอร์มนี้ โดยรางวัลพิเศษของทางทีมงานจะประกาศทันทีในวันที่ 7 พฤษภาคม 2556 และสามารถดูข้อมูลเพิ่มเติมได้จากแหล่งที่มาครับ

ที่มา - GDG Thailand

สำหรับผู้ที่มีอาชีพในการทดสอบเจาะระบบเพื่อตรวจสอบความปลอดภัย รวมไปถึงผู้ที่สนใจย่อมคุ้นเคยกับชื่อ BackTrack ดีอยู่แล้ว มันเป็นระบบปฏิบัติการลินุกซ์ซึ่งได้รับความนิยมอย่างแพร่หลายในการใช้งานด้านความปลอดภัย สำหรับตอนนี้ทาง Offensive Security ทีมผู้พัฒนา BackTrack ได้เปิดตัวระบบปฏิบัติการขึ้นใหม่ภายใต้ชื่อ Kali Linux โดยมุ่งไปยังกลุ่มเป้าหมายระดับในธุรกิจ

Kali Linux ในเวอร์ชันแรกนี้มีความแตกต่างจาก BackTrack ตรงที่ Kali Linux ได้เชื่อมต่อโดยตรงกับ repositories ของทาง Debian ซึ่งทำให้การอัพเดตนั้นง่ายขึ้นและประหยัดเวลาลง รองรับการปรับแต่งตัวระบบปฏิบัติการเพื่อสร้างเวอร์ชันที่เหมาะสำหรับตัวผู้ใช้เอง อีกทั้งยังรองรับการทำงานของ ARM ทำให้สามารถติดตั้งได้ทั้งบน Chromebook, Raspberry Pi หรือแท็บเลต รวมถึงสามารถพัฒนาโปรเจคทางด้านฮาร์ดแวร์ได้จากเครื่องมือที่ถูกเตรียมมาแล้วได้อีกด้วย ซึ่งแน่นอนว่ายังรองรับหลากหลาย desktop environments แล้วแต่ผู้ใช้งาน

ผู้ใช้งานสามารถดาวน์โหลด Kali Linux ได้ที่นี่เลยครับ

ที่มา - H Online

Symantec ได้ค้นพบหลักฐานใหม่ที่เชื่อมโยงกับข้อมูลของมัลแวร์ Stuxnet ว่าข้อมูลล่าสุดเบื้องต้นนั้น Stuxnet เวอร์ชัน 1.001 ถูกสร้างขึ้นในปี 2009 แต่หลักฐานใหม่พบว่า Stuxnet เคยมีเวอร์ชัน 0.5 ในช่วงปี 2007-2009 ดังนั้นการพัฒนามัลแวร์ตัวนี้น่าจะมาก่อนปี 2007 เสียอีก

หลักฐานในการอ้างอิงว่าน่าจะมี Stuxnet เวอร์ชัน 0.5 คือมีการพบส่วนของโค้ดในเวอร์ชันเก่า ซึ่งถูกสร้างโดยใช้แพลตฟอร์ม Flamer และยังไม่มีช่องโหว่ของทางไมโครซอฟท์ถูกรวมอยู่ รวมถึงยังพบว่ามีส่วนโค้ดที่ใช้ในการควบคุมอุปกรณ์ Siemens 417 PLCs ซึ่งคาดว่าน่าจะเป็นเป้าหมายหลักของเวอร์ชันนี้อยู่ (เวอร์ชัน 1.001 พบส่วนที่ขาดหายไปของโค้ดนี้) ดังนั้นจากข้อมูลใหม่จะสามารถตั้งสมมติฐานว่าผู้สร้าง Stuxnet (เชื่อกันว่าเป็นอเมริกาและอิสราเอล) ได้มีแผนที่จะแพร่กระจายและโจมตีอุปกรณ์ Siemens 417 PLCs ซึ่งถูกใช้ในการเสริมสมรรถนะแร่ยูเรเนี่ยมในเมืองนาธานส์ ประเทศอิหร่าน

Stuxnet นั้นได้เชื่อว่าเป็นมัลแวร์รุ่นแรกๆ ที่ถูกใช้ในการโจมตีระดับสงครามไซเบอร์เพื่อหยุดปฏิบัติการใดปฏิบัติการหนึ่งในระดับสูง อีกทั้งยังเป็นต้นแบบของมัลแวร์ในลักษณะนี้อีกหลายๆ รุ่นต่อมาด้วย สำหรับข้อมูลเพิ่มเติมรวมไปถึงวีดีโอข้อมูลสามารถดูได้ที่ท้ายข่าวเลยครับ

เว็บไซต์ NIST National Vulnerability Database (NVD) ถูกแฮกโดยแฮกเกอร์นิรนามในช่วงสัปดาห์ที่แล้ว อ้างอิงจาก +Kim Halavakoski CSO ของ Crosskey Banking Solutions และ BlackCat Security ว่าเขาได้ทำการเมลสอบถามไปยังผู้ดูแลระบบของ NIST ถึงข้อความการปิดปรับปรุงชั่วคราวของทางเว็บไซต์ว่าเกิดจากสาเหตุใด ซึ่งภายในเมลตอบกลับจาก Gail Porter ซึ่งเป็นโฆษกของทาง NIST ว่าไฟร์วอลได้ทำการตรวจพบการเชื่อมต่อที่น่าสงสัย แล้วจึงทำการบล็อคการเข้าถึงจากภายนอกทำให้เว็บไซต์ไม่สามารถเข้าถึงได้

โดยจากการตรวจสอบจาก NIST พบว่ามีการวางมัลแวร์ไว้บนเซิร์ฟเวอร์สองตัวที่ใช้ในการเก็บข้อมูลช่องโหว่ด้านความปลอดภัย ซึ่งยังไม่พบหลักฐานใดๆ ว่ามัลแวร์นี้จะถูกใช้ในการแพร่กระจายไปสู่ผู้เข้าชมเว็บไซต์ แต่ทาง Halavakoski ได้ลงความเห็นว่าการกระทำในรูปแบบนี้นั้น "pure evil!" เนื่องจากเว็บไซต์นี้ถูกใช้ในการเก็บข้อมูลของช่องโหว่ต่างๆ เพื่อป้องกันภัยคุกคามทางด้านความปลอดภัย ซึ่งก็ถูกเข้าถึงจากทั้งคนจากภาครัฐฯ รวมถึงเอกชนที่มักจะเข้าถึงข้อมูลเหล่านี้ในการอ้างอิงหรือติดตามข่าวสารต่างๆ ดังนั้นการกระทำนี้จึงขัดต่อจุดมุ่งหมายที่จะช่วยป้องกันและเสริมสร้างความปลอดภัยให้กับระบบคอมพิวเตอร์อย่างสิ้นเชิง

ที่มา - The Hacker News, Computerworld

ทีมนักวิจัยจากอิสราเอล Skycure ได้เปิดเผยช่องโหว่ที่อนุญาตให้แฮกเกอร์สามารถควบคุมและขโมยข้อมูลจากอุปกรณ์ที่ใช้ iOS ได้ โดยช่องโหว่นี้อยู่ในไฟล์ mobileconf ซึ่งถูกใช้โดยผู้ให้บริการของโทรศัพท์มือถือในการเข้าจัดการระบบในสิทธิ์ของผู้ดูแล รวมไปถึงข้อมูลการใช้งานเครือข่ายไร้สายต่างๆ ซึ่งมักถูกนำไปใช้ในการออกแพตซ์และอัพเดตของทางแอปเปิลและผู้ให้บริการเอง

โดยการวิจัยช่องโหว่นั้น ได้ทำการทดลองสร้างเว็บไซต์ลวงเพื่อหลอกล่อให้ผู้ใช้งานทำการติดตั้งโปรไฟล์ของอุปกรณ์ผ่านทางโฆษณาชวนเชื่อบนเว็บไซต์ และข้อความที่แนบมากับอีเมลต่างๆ โดยโปรไฟล์นี้จะอยู่ในลักษณะโปรแกรมขนาดเล็กที่ถูกใช้บ่อยในการตั้งค่าของเครื่องเช่น การบังคับปิด EDGE/3G เพื่อป้องกันการรั่วเมื่อไม่ได้ใช้งาน แต่ในกรณีนี้แฮกเกอร์ได้สร้างโปรไฟล์ซึ่งสามารถเข้าถึงข้อมูลของผู้ใช้รวมไปถึงทำอะไรที่อาจจะสร้างความเสียหายได้ โดยลักษณะของการโจมตีผ่านทางโปรไฟล์นี้อยู่นอกเหนือการทำงานของ sandbox ซึ่งควบคุมเพียงแค่แอพและการเข้าถึงเว็บไซต์เท่านั้น

กรณีนี้เคยเกิดขึ้นกับบริษัท AT&T มาแล้วผ่านทางช่องโหว่เดียวกัน โดยแฮกเกอร์ได้เข้าไปตั้งค่า APN ของอุปกรณ์และทำให้สามารถเข้าถึงข้อมูลของทาง AT&T ได้ สำหรับวิธีการป้องกันคือ ควรติดตั้งโปรไฟล์ต่างๆ จากเว็บไซต์ที่เชื่อถือได้เท่านั้น เช่น มีการใช้ HTTPS/SSL ในการยืนยันเว็บไซต์และเพื่อป้องกันการโจมตีแบบ man-in-the-middle ด้วย

ที่มา - Skycure Security via The Hacker News

FBI เร่งตรวจสอบกรณีที่มีแฮกเกอร์ได้ทำการเปิดเผยข้อมูลสำคัญของทั้งดารานักแสดง เจ้าหน้าที่รัฐฯ ระดับสูง รวมไปถึงสตรีหมายเลขหนึ่ง ซึ่งข้อมูลดังกล่าวนั้นประกอบไปด้วยชื่อ วันเดือนปีเกิด หมายเลขประกันสังคม ที่อยู่ทั้งในอดีตและปัจจุบัน รวมไปถึงข้อมูลทางการเงินด้วย

โดยผู้ตกเป็นเหยื่อในครั้งนี้ได้แก่สตรีหมายเลขหนึ่ง Michelle Obama, Robert Mueller หัวหน้า FBI, Hillary Clinton รัฐมนตรีว่าการกระทรวงการต่างประเทศ รวมไปถึงศิลปิน ดาราและนักแสดงอย่าง Ashton Kutcher, Jay Z, Beyonce, Paris Hilton, Britney Spears เป็นต้น

กระทรวงยุติธรรมได้ให้สัมภาษณ์กับสำนักข่าว ABCNews ว่าในขณะนี้ทาง FBI ได้เข้าไปตรวจสอบในเหตุการณ์นี้แล้ว ซึงก็ยังเป็นที่สงสัยกันอยู่ว่าแฮกเกอร์ได้ข้อมูลเหล่านี้มาโดยวิธีไหน อย่างไร

ที่มา - SC Magazine

หลังจากการแข่งขันด้านความปลอดภัย Pwn2Own ประจำปี 2013 จบไปในวันแรก ผลปรากฎว่าทั้ง IE, Firefox และ Chrome ถูกแฮกเกอร์เจาะสำเร็จทั้งสามผลิตภัณฑ์ โดยรายละเอียดมีดังนี้

IE10 ที่ถูกติดตั้งบน Surface Pro ได้ถูกเจาะโดยทีม VUPEN ด้วยช่องโหว่จำนวนสองตัวซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบรวมถึงข้ามผ่านการทำงานของ sandbox ได้ โดย VUPEN ได้รับเงินรางวัลจากช่องโหว่นี้เป็นจำนวน $100,000

ฝ่ายรักษาความปลอดภัยของบริษัท Evernote ตรวจพบความพยายามในการลักลอบที่จะเข้าถึงข้อมูลของบริการต่างๆ ของ Evernote ซึ่งจากการตรวจสอบเบื้องต้นยังไม่พบหลักฐานที่แสดงให้เห็นว่ามีการเข้าถึง หรือเปลี่ยนแปลงของข้อมูลใดๆ โดยการลักลอบเข้าถึงในครั้งนี้นั้นเป็นการพยายามเข้าถึงข้อมูลของผู้ใช้งาน Evernote ซึ่งรวมทั้งบัญชีผู้ใช้ อีเมล และรหัสผ่าน (ที่ผ่านการเข้ารหัสแล้ว)

ทั้งนี้ทาง Evernote ได้แจ้งผู้ใช้งานให้ทำการเปลี่ยนรหัสผ่านที่ใช้งานอยู่โดยด่วนผ่านทาง Evernote.com โดยรหัสผ่านใหม่นี้ไม่ควรใช้คำที่สามารถคาดเดาได้ง่าย และไม่ควรใช้รหัสผ่านเดียวกันกับบริการอื่นๆ หากมีการพบข้อมูลใดๆ ที่ส่งผลกระทบต่อผู้ใช้งาน ก็จะมีการรายงานให้ทราบโดยทันที

ที่มา - Evernote Blog

บริษัทด้านความปลอดภัย Duo ได้ทำการเผยแพร่ช่องโหว่ของ Two-factor-authentication หรือการพิสูจน์ตัวตนโดยใช้ 2 ปัจจัยหลักของกูเกิล หลังจากได้ทำการแจ้งไปยังฝ่ายความปลอดภัยตั้งแต่ช่วงเดือนกรกฎาคมปีที่แล้ว และได้รับการแก้ไขในวันที่ 21 ที่ผ่านมา โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้ของเหยื่อได้อย่างสมบูรณ์หากมีการเปิดใช้งาน Application-Specific-Passwords (ASPs) และมีการใช้การเข้าระบบอัตโนมัติไว้

ตามหลักของการใช้ ASPs ผู้ใช้งานจำเป็นต้องสร้างคีย์ขึ้นมาหนึ่งตัวเพื่อใช้กับแอพพลิเคชันต่างๆ และตัวแอพพลิเคชันนั้นจะทำการใช้คีย์นี้เพื่อพิสูจน์ตัวตนกับทางเซิร์ฟเวอร์ โดยประเด็นหลักอยู่ที่การเข้าระบบอัตโนมัติที่สามารถข้ามผ่าน Two-factor-authentication ได้ และสามารถเข้าถึงบัญชีผู้ใช้ได้เลย โดยในการศึกษาต่อนั้นได้ทำการจำลองสถานการณ์ที่คีย์ของ ASPs หลุด โดยทำการแก้ไขรูปแบบจากการใช้ EncryptedPasswd ซึ่งเป็นคีย์ของ ASPs ที่ถูกเข้ารหัสโดย RSA 1024-bit มาเป็นพารามิเตอร์ Passwd (อ้างอิงจาก ClientLogin API) ก็จะทำให้ได้รับ token ที่สามารถใช้ในการยืนยันตัวตนได้ ซึ่งช่องโหว่ในส่วนนี้ยังพบในฟังก์ชันล็อกอินอัตโนมัติของเบราว์เซอร์เช่นกัน

โดยในขณะนี้ทางกูเกิลได้ทำการแก้ไขแล้ว ทั้งจากการปัญหาการล็อคอินอัตโนมัติ หากมีการพยายามจะล็อกอินผ่านช่องทาง MergeSession หรืออื่น ๆ ก็จะมีการบังคับให้กรอกบัญชีผู้ใช้ รหัสผ่าน และระบบของ Two-factor-authentication ดังเดิม

ที่มา - Duo Security

GDG Thailand และ GDG Khon Kaen ร่วมกับผู้สนับสนุนจัดการแข่งขันพัฒนาแอพเพื่อการศึกษา OTPC App Hackathon เพื่อเปิดโอกาสให้นักพัฒนาแอนดรอยด์ได้มารวมทีมกันและร่วมพัฒนาแอพเสริมความรู้ และผลักดันการศึกษา ซึ่งนอกจากการแข่งขันยังมีกิจกรรมสุดสนุกจาก GDG Thailand และ Droidsans พร้อมลุ้นรับรางวัลแอนดรอยด์สุดพิเศษจากกูเกิลด้วย

สำหรับการแข่งขันนั้นจะจัดขึ้นในวันที่ 16 – 17 กุมภาพันธ์ 2556 (กรุงเทพฯ) และ 2 - 3 มีนาคม 2556 (ขอนแก่น) โดยจะมีทั้งกูรูแอนดรอยด์และทีมงานพี่เลี้ยงแนะนำตลอดการแข่งขัน แน่นอนว่างานนี้ฟรี ค่าใช้จ่าย อาหาร ของว่างและเสื้อแอนดรอยด์สำหรับผู้เข้าร่วมทุกท่านด้วยครับ

ผู้สนใจสามารถลงทะเบียนและติดตามข่าวสารได้จากเว็บไซต์ของ GDG Thailand ได้เลยครับ