ตั้งแต่เดือนกรกฎาคมของปีหน้าเป็นต้นไป สมาร์ทโฟนแทบทุกเครื่องของสหรัฐอเมริกาจะมีระบบล็อคเครื่องจากระยะไกลเมื่อเจ้าของทำเครื่องหาย

แผนการณ์นี้กำลังจะเป็นจริงได้หลังจากการบรรลุข้อตกลงร่วมกันของผู้ผลิตสมาร์ทโฟนหลายรายอันได้แก่ Apple, Google, HTC, Huawei, Motorola, Microsoft, Nokia และ Samsung ร่วมด้วยผู้ให้บริการเครือข่ายโทรศัพท์มือถือทั้ง AT&T, Sprint, T-Mobile USA, US Cellular และ Verizon ตลอดจนผู้ให้บริการรับประกันโทรศัพท์อย่าง Asurion โดยข้อตกลงนี้ใช้ชื่อว่า "Smartphone Anti-Theft Voluntary Commitment" ซึ่งก็คือข้อตกลงร่วมมือสร้างสมาร์ทโฟนต่อต้านการขโมย ซึ่งที่มาที่ไปของเรื่องนี้มาจากเป้าหมายที่ต้องการกำจัดธุรกิจตลาดมืดที่รับซื้อ-ขายเครื่องสมาร์ทโฟนที่ถูกขโมยมานั่นเอง

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ ก่อนหน้านี้ได้ประเมินว่าบั๊ก Heartbleed มีโอกาสให้แฮกเกอร์จะสามารถขโมย private key ซึ่งจะทำให้แฮกเกอร์สามารถแกะข้อมูลที่วิ่งผ่าน SSL ได้ทั้งหมด ซึ่งรวมถึงข้อมูลรหัสผ่าน ข้อมูลบัตรเครดิต ฯลฯ

ทาง CloudFlare ได้ตั้งเซิร์ฟเวอร์ nginx-1.5.13 ที่ใช้ OpenSSL 1.0.1.f เพื่อให้คนลองมาล้วง private key ออกไป แต่ไม่เกินสิบชั่วโมง ก็มีคนแกะ private key ออกไปได้ถึง 2 คน และ CloudFlare ก็ออกมารับรองผลแล้วว่าสามารถเจาะเอา private key ไปได้จริง

ในขณะที่วงการความปลอดภัยบนโลกเทคโนโลยีสารสนเทศกำลังสั่นสะท้านเพราะบั๊ก Heartbleed ของซอฟต์แวร์ชื่อ OpenSSL ซึ่งเป็นซอฟต์แวร์เปิดให้ดาวน์โหลดไปใช้ได้ฟรีจึงได้รับความนิยมเป็นจำนวนมากนั้น ดูเหมือนว่าหน่วยงานความมั่นคงสหรัฐฯ หรือ NSA จะรู้เรื่องนี้ก่อนหน้าเรามานานแล้ว

Microsoft เพิ่งประกาศโพล่งถึงแนวทางการจัดการข้อมูลใหม่แก่ผู้ใช้บริการนอกสหรัฐอเมริกา โดยเสนอทางเลือกในการจัดเก็บข้อมูลต่างๆ นอกพรมแดนสหรัฐอเมริกา เพื่อป้องกันการล้วงข้อมูลโดย NSA

Financial Times รายงานว่า Microsoft ตัดสินใจดำเนินแผนงานนี้หลังจากที่พบว่า NSA ได้ใช้เครือข่ายของพวกเขาเพื่อสอดแนมผู้คนในบราซิลและสหภาพยุโรป โดยจนถึงขณะนี้ Microsoft เป็นเพียงบริษัทใหญ่รายเดียวที่เสนอแผนการจัดเก็บข้อมูลนอกสหรัฐอเมริกาให้แก่ผู้ใช้ ในขณะที่ Google และ Yahoo ซึ่งโดน NSA ใช้เครือข่ายเป็นเครื่องมือสอดแนมเช่นกัน ยังไม่มีแผนการในลักษณะเดียวกันปรากฏให้เห็น

จากเดิมที่ Microsoft ประกาศหยุดการสนับสนุน Windows XP ภายในวันที่ 8 เมษายนที่จะถึงนี้ สิ่งที่น่าวิตกอย่างยิ่งสำหรับเครื่องคอมพิวเตอร์ที่ยังใช้ระบบปฏิบัติการดังกล่าวอยู่ คือเรื่องความปลอดภัยของข้อมูลที่สุ่มเสี่ยงว่าอาจจะโดนผู้ไม่หวังดีเจาะระบบมาขโมยเอาไปได้ และ 95% ของตู้ ATM ทั่วโลก ล้วนอยู่ในข่ายดังกล่าว

BusinessWeek อ้างว่าตู้ ATM กว่า 95% ยังคงใช้ระบบปฏิบัติการ Windows XP อยู่ในขณะนี้ ซึ่งแน่นอนว่ากำลังตกอยู่ภายใต้อภิมวลมหาความเสี่ยงที่จะโดนโจมตีช่องโหว่ของระบบปฏิบัติการเพื่อดึงเอาข้อมูลสำคัญไปจากตู้ ATM

ในยุคที่การจ่ายเงินผ่านมือถือ (Mobile Payment) กำลังเติบโต และมีผู้เล่นเข้าร่วมวงมากขึ้นเรื่อยๆ เจ้าตลาดการจ่ายเงินก่อนหน้าอย่างบัตรเครดิตก็เริ่มสั่นคลอนเข้าไปทุกขณะ และตอนนี้ผู้ให้บริการรายใหญ่อย่าง MasterCard ได้ออกของใหม่มาแก้ลำแล้ว

ของใหม่ที่ว่าคือ MasterCard Display Card บัตรเครดิตที่ฝังหน้าจอ พร้อมปุ่มแบบสัมผัสลงไปในบัตรเครดิต ตัวหน้าจอบนบัตรเครดิตสามารถแสดงข้อมูลพื้นฐานอย่างวงเงินคงเหลือ แต้มสะสม หรือยอดใช้จ่ายได้ ส่วนปุ่มตัวเลขก็ไว้สำหรับให้ผู้ใช้สามารถสร้างรหัสผ่านแบบใช้ครั้งเดียว (OTP) ได้จากตัวบัตร

บัตรเครดิตแบบใหม่นี้จะเริ่มใช้ในสิงคโปร์เป็นที่แรก โดยจะเริ่มออกในเดือนมกราคม 2013 นี้ครับ

นักวิจัยจาก Kaspersky รายงานการค้นพบมัลแวร์ "Flame" ซึ่งถูกใช้ในการเก็บข้อมูลต่างๆ จากเครื่องเป้าหมายในหลายประเทศในตะวันออกกลางและเชื่อว่ารัฐบาลของบางประเทศเป็นผู้อยู่เบื้องหลัง

Kaspersky เชื่อว่ามัลแวร์ตัวนี้ถูกปล่อยออกมาตั้งแต่เดือนสิงหาคม 2010 แต่ไม่สามารถระบุที่มาที่แน่นอนได้ โดยการทำงานของ Flame นั้น จะต่างกับการโจมตีของมัลแวร์ในอดีตที่ผ่านๆ มาอย่าง เช่น Stuxnet ที่มุ่งเป้าไปที่โรงงานนิวเคลียร์ของอิหร่าน หรือ Duqu ที่เข้าไปขโมยข้อมูลจากระบบเครื่อข่าย

มีรายงานข่าววันนี้ว่าระบบคอมพิวเตอร์ที่เป็นฐานข้อมูลของทะเบียนราษฎร์ ซึ่งอยู่ในความดูแลของกรมการปกครอง กระทรวงมหาดไทยเกิดขัดข้องและไม่สามารถใช้งานได้ ส่งผลให้สำนักงานเขตในกรุงเทพมหานคร และที่ว่าการอำเภอทั่วประเทศไม่สามารถเข้าถึงข้อมูลทะเบียนเพื่อให้บริการประชาชนได้ ส่งผลให้บริการอย่างการทำบัตรประชาชน การแจ้งเกิด แจ้งตาย งานทะเบียนบ้าน ไปจนถึงงานที่ต้องอาศัยข้อมูลทะเบียนราษฎร์ประกอบเช่นการทำหนังสือเดินทาง ไม่สามารถให้บริการได้วันนี้

Opera ได้ปล่อยให้ดาวน์โหลดเบราว์เซอร์เวอร์ชันทดสอบล่าสุดของ Opera 12 "Wahoo" แล้ว

ฟีเจอร์สำคัญที่ถูกเพิ่มเข้ามาคือการรองรับระบบ Do Not Track ที่มีในเบราว์เซอร์เจ้าใหญ่ๆ เกือบหมดแล้ว ทั้ง Internet Explorer, Firefox, และ Safari (ขาดแต่ Chrome ซึ่งรองรับในลักษณะของ Extension แทน) โดยผู้ใช้ต้องเข้าไปเปิดใช้งานฟีเจอร์นี้ด้วยตัวเองเช่นเดียวกับเบราว์เซอร์อื่นๆ ครับ

ผู้สนใจสามารถดาวน์โหลดได้จากที่มาครับ

ที่มา - Opera Desktop Team

นักวิจัยด้านความปลอดภัยจาก zvelo เปิดเผยจุดอ่อนของ Google Wallet โดยระบุว่า จากการสืบค้นจาก source code ของแอพพลิเคชั่น ร่วมกับข้อมูลที่เปิดเผยต่อสาธารณะจาก Google สามารถเปิดเผยรหัสส่วนตัวของผู้ใช้, ชื่อบัญชี Google และ รหัสผ่าน 4 หลักในการเข้าใช้โปรแกรม ซึ่งรหัสผ่านนี้เนื่องจากรู้ว่าเป็นเลข 4 หลักจึงทำให้การเจาะรหัสโดยการสุ่มเลขรหัสจนถูก (brute-force) ได้ในไม่เกิน 10000 ครั้ง ซึ่งเพื่อสนับสนุนข้อมูลนี้ทีมนักวิจัยก็สร้างแอพพลิเคชันในการเจาะรหัสผ่านนี้อีกมาด้วย

Hipstamatic app ถ่ายรูปชื่อดังบน iOS ที่มีระบบให้ผู้ใช้อัพโหลดรูปจาก app ไปที่เว็บของ Hipstamatic ได้ ถูกตรวจพบว่าเก็บข้อมูลผู้ใช้รวมถึงชื่อผู้ใช้และรหัสผ่านเป็นตัวหนังสือปกติใน Property List (หรือ plist เป็นไฟล์ฟอร์แมตสำหรับเข้าชุดข้อมูล ปกติใช้ในการบันทึกค่า Settings บน iOS และ Mac OS) ของ app

เร็วๆ นี้ เราคงได้ยิน ได้ฟังข่าว cloud ล่มกันอยู่เรื่อยๆ บ้างก็ว่าไกลตัว ไม่ได้รับผลกระทบเท่าไหร่ แต่แล้ว ระบบที่ใกล้ตัวเราก็มาล่มจนได้

เมื่อสัปดาห์ที่ผ่านมา กระทรวงมหาดไทย (ของไทยเรานั่นแหละ) ได้แจ้งว่า ระบบคอมพิวเตอร์ที่จัดเก็บระบบฐานข้อมูลด้านงานทะเบียนและบัตรประจำตัวประชาชนได้เกิดปัญหาขึ้น เซิร์ฟเวอร์ 2 ใน 3 เครื่องเสียไป (เข้าใจว่าเป็นระบบ redundant) ทำให้ระบบงานทะเบียนทั่วประเทศ รวมทั้งการใช้งานจากหน่วยงานที่เกี่ยวข้องจะมีปัญหาได้

นิตยสาร PC World ได้ทำการจัดอันดับช่องโหว่ที่ใช้ในการจู่โจมเว็บไซต์เมื่อปี 2010 ที่ผ่านมา โดยทั้ง 10 อันดับนี้จะถูกโหวตจากผู้เชี่ยวชาญและจากบุคคลทั่วไป (Open Vote)

ช่องโหว่ทั้ง 10 จัดอันดับได้ดังต่อไปนี้

1. Padding Oracle Crypto Attack: อาศัยช่องโหว่จาก Microsoft's Web Framework ASP.NET ที่ใช้ในการป้องกัน AES encryption Cookies ได้ซึ่งถ้าตัวข้อมูลของ Cookies ที่เข้ารหัสถูกเปลี่ยนแปลงตัว ASP.NET ที่ทำการดูแลข้อมูลพวกนี้อยู่จะหลุดข้อมูลบางอย่างซึ่งสามารถถอดรหัสข้อมูลได้ ด้วยจำนวนครั้งในการเปลี่ยนที่มากพอ แฮคเกอร์สามารถคาดเดาคีย์ที่ใช้ในการเข้ารหัสได้ง่ายขึ้น (โดย Juliano Rizzo และ Thai Duong)

Ron Bowes ที่ปรึกษาด้านความปลอดภัยเขียนสคริปท์เพื่อดูดข้อมูลจากโปรไฟล์บน Facebook ของผู้ใช้ที่ไม่ได้ตั้งค่าความเป็นส่วนตัวให้ซ่อนข้อมูลไว้ และปล่อยให้ดาวน์โหลดผ่านทางเว็บ SkullSecurity.com จากนั้นก็มีคนเอาไปปล่อยบน The Pirate Bay ซึ่งก็เป็นที่สนใจอย่างรวดเร็ว (ขณะที่เขียนข่าวอยู่มี Seeder 2,308 และ Leecher 4,331 คน) ถึงตอนนี้ก็กระจายไปยังเว็บอื่นๆ อีกหลายสิบเว็บ

ตัวแทนของ Facebook กล่าวว่าข้อมูลในไฟล์เหล่านั้นเปิดเผยออนไลน์อยู่แล้ว ใครก็ตามที่ใช้ Facebook และเป็นเจ้าของข้อมูลนั้น ก็มีสิทธิ์ที่จะเผยข้อมูลนั้นตราบใดที่เขาต้องการ และก็ไม่ได้มีข้อมูลส่วนตัวใดๆ ถูกโจรกรรมไปจาก Facebook แต่อย่างใด

ที่มา - BBC

วินโดวส์ไลฟ์ (Windows Live) เปิดเผยผลสำรวจเกี่ยวกับสิทธิส่วนบุคคลทางอินเทอร์เน็ต สวัสดิภาพ และความปลอดภัยในการใช้งาน โดยพบว่าปัญหาการหลอกลวงและปองร้ายทางอินเทอร์เน็ตผ่านรูปแบบต่างๆ กำลังเพิ่มขึ้น อาทิ Phishing, Cyber bullying, spIMming และ Scamming ทั้งนี้ ผลสำรวจล่าสุดจากผู้ใช้อินเทอร์เน็ตชาวไทยกว่า 7,000 คน พบว่ามีพฤติกรรม ดังนี้

รัฐบาลของประเทศนิวซีแลนด์ได้เริ่มเปิดใช้ระบบกรองการเข้าถึงอินเทอร์เน็ตแบบเงียบ ๆ เมื่อปีที่แล้ว ซึ่งทำให้กลุ่มสนับสนุนเสรีภาพบนเครือข่ายออกมาแสดงความไม่เห็นด้วยอย่างรุนแรง โดยเฉพาะการที่รัฐบาลเปิดใช้ระบบกรองการเข้าถึงนี้แบบเงียบ ๆ โดยไม่แจ้งให้ประชาชนทราบ

โดยระบบนี้จัดทำโดยกระทรวงมหาดไทย (Department of Internal Affairs) ของประเทศนิวซีแลนด์ และได้มีการทดสอบมากว่าสองปีแล้ว โดยมีเป้าหมายเพื่อป้องกันการเข้าถึงเว็บไซท์ที่มีรูปภาพเกี่ยวกับเด็กที่ถูกทารุณกรรมทางเพศ

อย่างไรก็ดี มีผู้ให้บริการอินเทอร์เน็ตบางเจ้าเท่านั้นที่เข้าร่วมโครงการนี้ โดยเหล่าผู้ให้บริการก็ยังมีความเห็นที่หลากหลายอยู่ว่า การกรองเนื้อหาแบบนี้เป็นการละเมิดสิทธิของผู้ใช้หรือไม่

Trusted Platform Module (TPM) ได้รับการยอมรับในวงการว่าเป็นชิปที่ดีที่สุดในการสร้างและเก็บรักษากุญแจที่ใช้ในการเข้า/ถอดรหัสข้อมูลบนคอมพิวเตอร์ แต่ในที่สุดความแน่นอนก็คือความไม่แน่นอน เนื่องจากชิปดังกล่าวถูกแฮกได้สำเร็จแล้ว

ในขณะที่ไมโครซอฟท์เริ่มปล่อยโฆษณา Bing (ดูข่าวเก่า โดยคุณ pawinpawin) บริษัท Symantec ผู้เป็นเจ้าผลงานบริการตัวกรองและติดตามการใช้งานอินเตอร์เน็ตอย่าง OnlineFamily.Norton ได้ประกาศออกมาว่า Bing นั่นก็ไม่สามารถบล็อกการเข้าถึงเนื้อหาที่ไม่เหมาะสมได้ (ลองดูเทคโนโลยี Safe Search ของ Bing ได้ที่ รีวิว Bing เสิร์ชเอนจิ้นใหม่จากไมโครซอฟท์ โดยผมเอง) โดยได้แนะนำให้ผู้ปกครองใช้ OnlineFamily.Norton บล็อกการเข้าถึงเว็บไซต์ Bing ในช่วงเวลานี้ไปก่อน!

บริษัท PricewaterhouseCoopers (PwC) ซึ่งเป็นกลุ่มบริษัทที่ปรึกษาธุรกิจใหญ่ที่สุดในโลก ดำเนินงานในกว่า 150 ประเทศทั่วโลก ได้เข้าไปตั้งสำนักงานในฮานอยและโฮจิมินห์ซิตี้ตั้งแต่ปี 2537 ได้ทำการสำรวจสาธารณะในโครงการสำรวจการรักษาความปลอดภัยสารสนเทศภาครัฐทั่วโลกประจำปี 2551 เปิดเผยว่า PwC ต้องการให้คำแนะนำบริษัทต่างๆของเวียดนามว่า ควรให้ความสนใจเรื่องดังกล่าวให้มากขึ้น

สำนักงาน PwC ในเวียดนามออกมาระบุว่า ในบริบทการรักษาความปลอดภัยด้าน IT ในเวียดนามนั้น ส่วนใหญ่มุ่งเน้นไปที่การพัฒนาเทคโนโลยีต่างๆที่เกี่ยวข้องกับการรักษาความปลอดภัย เช่น ไฟร์วอลล์ และซอฟต์แวร์ป้องกันไวรัส