Hipstamatic ถูกตรวจพบว่าเก็บข้อมูลผู้ไว้รวมถึงชื่อผู้ใช้และรหัสผ่านเป็นตัวหนังสือปกติเป็น plist ไว้ใน App

การเก็บข้อมูลเป็นตัวหนังสือปกตินี้ ถูกค้นพบโดยนักพัฒนาโปรแกรมสำหรับ iOS ซึ่งเขาก็ได้ร้องเรียนไปที่ HIpstamatic หลายครั้งในช่วงหลายเดือนที่ผ่านมา ZDNet Australia ได้ติดต่อกับบริษัทแล้ว และบริษัทก็ระบุว่าได้รับรู้เรื่องราวแล้ว และกำลังพยายามแก้ไขอยู่

ที่มา - ZDNet Australia

ปรกติเมื่อเกิดเหตุการณ์ผิดพลาดกับใบรับรอง SSL ไม่ว่าเกิดจากสาเหตุใด ทางผู้ออกใบรับรอง (Certification Auhtority - CA) จะออกรายการยกเลิกใบรับรอง (Certificates Revocation List - CRL) เพื่อให้เบราเซอร์นำไปตรวจเทียบว่าเจอใบรับรองในรายการหรือไม่ ระบบนี้ใช้กันทั่วไปในทุกๆ ระบบที่ใช้ SSL ไม่จำกัดเฉพาะเบราเซอร์ แต่ปัญหาคือการติดต่อกับ CA บางครั้งอาจจะล้มเหลว ระบบ SSL นั้นออกแบบให้ยอมให้ใช้งานใบรับรองที่ได้รับมาไปก่อนได้แม้จะติดต่อขออัพเดตรายการยกเลิกไม่ได้ ทำให้ผู้โจมตีอาจจะอาศัยกระบวนการเพื่อสกัดไม่ให้เบราเซอร์ติดต่อกับ CA ได้ซึ่งไม่ยากนัก

แม้การหลบเลี่ยงกระบวนการนี้จะทำได้ง่าย แต่ทุกวันนี้ในทุกๆ การเชื่อมต่อจะต้องเสียเวลาเช็คจากเซิร์ฟเวอร์ประมาณ 300ms ทำให้เว็บดู "ช้า" ทาง Chrome จึงตัดสินใจยกเลิกกระบวนการนี้

กระบวนการที่เข้ามาแทนที่คือการอัพเดตรายการยกเลิกผ่านทางอัพเดตของเบราเซอร์โดยตรง เพราะเบราเซอร์ (โดยเฉพาะ Chrome) ก็มีกระบวนการอัพเดตที่ดีและรวดเร็วอยู่แล้ว และตัวโครมเองก็สามารถใช้กระบวนการอัพเดตเบราเซอร์มาอัพเดตรายการยกเลิกใบรับรองโดยไม่ต้องปิดเปิดโปรแกรมใหม่ด้วยซ้ำ

แนวคิดแบบนี้น่าสนใจดีที่ซอฟต์แวร์ที่มีการอัพเดตต่อเนื่องอาจจะพิจารณาใช้กระบวนการอัพเดตเพื่อรักษาความปลอดภัยแทน

ที่มา - ImperialViolet, ArsTechnica

ปลั๊กอินของเบราว์เซอร์เป็นช่องโหว่ด้านความปลอดภัยที่สำคัญบนอินเทอร์เน็ต โดยปลั๊กอินเจ้าปัญหา 3 ตัวสำคัญคือ Flash, Java, Adobe Reader

ทาง Adobe ก็รับทราบปัญหานี้ดี และเลือกแก้ไขโดยเปลี่ยนปลั๊กอินให้ทำงานในโหมด sandbox เพื่อจำกัดขอบเขตความสามารถของปลั๊กอินในกรณีที่โดนเจาะ ซึ่งที่ผ่านมาโปรแกรมของ Adobe ที่ใช้เทคนิคนี้คือ Adobe Reader X และ Flash Player for Chrome

ล่าสุด Adobe เริ่มทดสอบ Flash Player รุ่นสำหรับ Firefox บน Vista/7 ที่ทำงานในโหมด sandbox แล้ว ตัวปลั๊กอินยังไม่ใช่รุ่นจริง ซึ่งคนที่สนใจก็ดาวน์โหลดกันได้ที่ Adobe Labs (มีเฉพาะวินโดวส์ 32 บิต) ตัวแทนของ Adobe บอกว่ารุ่นจริงจะออกภายในปีนี้ และกำลังเริ่มงานพัฒนาของเวอร์ชัน IE ด้วย

ที่มา - Infoworld

VeriSign บริษัทด้าน DNS, ความปลอดภัยออนไลน์ และใบรับรองดิจิทัลรายใหญ่ของโลก (ปัจจุบันธุรกิจใบรับรองและ SSL ขายให้ Symantec ไปแล้ว) โดนแฮ็กและขโมยข้อมูลมาตั้งแต่ปี 2010

ข้อมูลนี้ถูกเปิดเผยหลังจากคณะกรรมการกำกับหลักทรัพย์ของสหรัฐ (SEC) ออกกฎใหม่ให้บริษัทในตลาดหลักทรัพย์ต้องรายงาน "การโดนเจาะระบบ" ให้นักลงทุนทราบด้วย ซึ่ง VeriSign ยื่นเอกสารนี้ในเดือนตุลาคมปีที่แล้ว และรอยเตอร์เพิ่งค้นพบข้อมูลนี้ในเอกสารกว่า 2,000 ชิ้นที่ SEC นำมาเผยแพร่

ตัวแทนของ VeriSign ยังปฏิเสธที่จะให้ข้อมูลกับผู้สื่อข่าว แต่รอยเตอร์ได้สัมภาษณ์ Ken Silva อดีต CTO (ออกจากบริษัทเมื่อ พ.ย. 2010) ซึ่งเขาระบุว่าไม่ได้รับรายงานเรื่องนี้มาก่อน ส่วนตัวแทนของ Symactec บอกว่าการเจาะระบบครั้งนี้ไม่มีส่วนเกี่ยวข้องกับธุรกิจ SSL ที่ซื้อกิจการมา

เมื่อปีที่แล้ว บริษัทความปลอดภัยออนไลน์ RSA (ในเครือ EMC) ก็เพิ่งโดนแฮ็กระบบ SecurID โลกออนไลน์ชักจะอันตรายขึ้นเรื่อยๆ

ที่มา - รอยเตอร์

หลังโดนวิจารณ์เรื่องความปลอดภัยใน Android Market มานานแสนนาน และแล้วกูเกิลก็ประกาศว่าทำระบบสแกนหาซอฟต์แวร์ประสงค์ร้ายใน Android Market เสร็จเรียบร้อย

ระบบสแกนตัวนี้มีชื่อเรียกเล่นๆ ภายในว่า Bouncer (คนเฝ้าประตู) ซึ่งจะสแกนตั้งแต่แอพใหม่ แอพเก่า และบัญชีของนักพัฒนา โดยแอพใหม่ที่ถูกส่งขึ้นไปยัง Market จะถูกสแกนหามัลแวร์ สปายแวร์ โทรจัน และเทียบแพทเทิร์นการทำงานกับแอพแย่ๆ ในฐานข้อมูล

กูเกิลยังจะรัน Bouncer กับแอพเก่าทุกตัวที่มีในระบบ และจำลองการทำงานของมันเวลาไปรันบนระบบจริง รวมถึงสแกนบัญชีของนักพัฒนาใหม่เพื่อป้องกันนักพัฒนาเก่าที่ถูกแบนปลอมตัวมาสมัครด้วย

กูเกิลบอกว่า Bouncer ทำงานมาระยะหนึ่งแล้ว และด้วยมาตรการด้านความปลอดภัยหลายๆ อย่างของกูเกิล ทำให้จำนวนแอพร้ายๆ ใน Market ลดลง 40% ระหว่างครึ่งแรกและครึ่งหลังของปี 2011

ที่มา - Google Mobile Blog

เราทุกคนคงชินกับบัตรเครดิตหรือบัตร ATM ที่มีแถบแม่เหล็กอยู่ด้านหลังแล้วใช้ข้อมูลในบัตรนั้นเพื่อจ่ายเงิน ปัญหาสำคัญของบัตร ATM แบบเก่านั้นคือมันไม่มีกระบวนการป้องกันใดๆ ทำให้การปลอมแปลงบัตรหรือการทำสำเนาทำได้ง่ายมาก ในช่วงหลังมานี้การใช้สมาร์ตการ์ดเพื่อเพิ่มความปลอดภัยถูกใช้อย่างเต็มที่แล้วในสหราชอาญาจักรและช่วยลดปัญหาธุรกรรมปลอมไปได้มาก จนถึงตอนนี้ทางมาสเตอร์การ์ดก็ออกมาประกาศแผนการเลิกใช้บัตรแม่เหล็กไปใช้บัตรสมาร์ตการ์ดทั้งหมดแล้ว

มาสเตอร์การ์ดประกาศว่าบัตรทั้งหมดจะเปลี่ยนไปใช้บัตรแบบ EMV ซึ่งเป็นมาตรฐานบัตรสำหรับการจ่ายเงินที่ใช้กันหลายธนาคาร หรือบัตร M/Chip ซึ่งเป็นเทคโนโลยีเฉพาะของทางมาสเตอร์การ์ดเอง

กำหนดการเปลี่ยนแปลงนี้จะเริ่มด้วยการเปลี่ยนเครื่องอ่านทั้งหมดให้เป็นเครื่องอ่านสมาร์ตการ์ดในเดือนเมษายน 2013 ส่วนกระบวนการเปลี่ยนตัวบัตรนั้นยังไม่มีช่วงเวลาชัดเจนว่าจะมีการเปลี่ยนอย่างไร แต่ธนาคารจำนวนมากก็ออกบัตรเป็นแบบแถบแม่เหล็กและสมาร์ตการ์ดไปพร้อมๆ กันอยู่แล้วทำให้หลังจากเครื่องอ่านทั้งหมดถูกเปลี่ยนแล้วการใช้งานจริงคงเป็นสมาร์ตการ์ดทั้งหมดไปเอง

บัตร EMV มีกระบวนการป้องกันต่อการปลอมแปลงด้วยการยืนยันบัตรแบบ public-key infrastructure (PKI) ทั้งแบบออนไลน์และออฟไลน์ และการรายงานบัตรหายจะทำให้การยกเลิกบัตรได้รวดเร็ว รวมถึงมีกระบวนการจ่ายเงินจากในตัวบัตรที่ไม่ต้องการการออนไลน์หากความเสี่ยงอยู่ในระดับยอมรับได้

ที่มา - MasterCard

Symantec ออกคำเตือนว่าแอพบางตัวบน Android Market มีบ็อต-มัลแวร์ฝังอยู่ และอาจดูดข้อมูล IMEI/IMSI, MAC, SIM Serial ของเครื่องมือถือที่ติดตั้งได้

Symantec เรียกบ็อตตัวนี้ว่า Android.Counterclank หรือ Android.Tonclank (ชื่อแพกเกจคือ apperhand) ข้อมูลล่าสุด Symentec ตรวจสอบมันในแอพจำนวน 13 ตัวบน Android Market ซึ่งอาจมียอดดาวน์โหลดรวมกันสูงถึง 1-5 ล้านครั้ง

อย่างไรก็ตาม การจะเรียกมันว่าเป็น "มัลแวร์" หรือไม่ยังเป็นที่ถกเถียง เพราะบริษัทความปลอดภัยอีกแห่งคือ Lookout Mobile ออกมาแสดงความเห็นแย้งกับ Symentec โดยบอกว่ามันไม่ใช่มัลแวร์ แต่เป็นบ็อตเก็บข้อมูลของเครือข่ายโฆษณาบางแห่งที่เก็บข้อมูลของผู้ใช้มากเกินความจำเป็น

ข่าวนี้ต่อจากข่าว Symantec ถูกแฮ็ก โดนขโมยซอร์สโค้ดของซอฟต์แวร์ความปลอดภัย 2 ตัว

ล่าสุดทาง Symantec ออกมายอมรับแล้วว่าโดนกลุ่ม Anonymous เจาะระบบจริง และโดนขโมยซอร์สโค้ดของโปรแกรม (เวอร์ชันของปี 2006) ไปจำนวน 4 ตัว ได้แก่

• Norton Antivirus Corporate Edition
• Norton Internet Security
• Norton SystemWorks (เฉพาะ Norton Utilities และ Norton GoBack)
• pcAnywhere

ออราเคิลประกาศออกแพตช์ด้านความปลอดภัยครั้งใหญ่จำนวน 78 ตัว ครอบคลุมผลิตภัณฑ์เกือบ 20 ตัว ไล่ตั้งแต่ Oracle Database 11g/10g, Fusion Middleware, Application Server, WebLogic, PeopleSoft, JDEdwards, Virtualbox, Oracle MySQL Server

แพตช์ชุดนี้มีความสำคัญระดับ critical ซึ่งเป็นช่องโหว่ที่ค้นพบเมื่อประมาณ 2 เดือนก่อน ช่องโหว่นี้อาจทำให้ฐานข้อมูลล่มและต้องใช้เวลาในการแก้ปัญหานานกว่าปกติ เว็บไซต์ InfoWorld ให้ข้อมูลว่าต้นเหตุของช่องโหว่นี้เกิดจากสถาปัตยกรรมเดิมที่ออราเคิลออกแบบไว้นานแล้ว (เรื่อง System Change Number - SCN) กลับกลายมาเป็นช่องโหว่ในปัจจุบัน รายละเอียดอ่านได้จากลิงก์ InfoWorld ครับ

ช่องโหว่นี้ค้นพบโดยผู้ใช้ฐานข้อมูลของออราเคิลกลุ่มหนึ่ง ซึ่งติดต่อมายัง InfoWorld และแจ้งต่อไปยังออราเคิล ซึ่งก็ได้รับความสนใจจากออราเคิลด้วยดี

ใครที่ใช้ผลิตภัณฑ์ของออราเคิลอยู่ก็เช็ครายชื่อโปรแกรมจาก Oracle Critical Patch Update Advisory - January 2012 กันตามสะดวก

ที่มา - InfoWorld

เวลาเราไปใช้คอมพิวเตอร์นอกสถานที่ (เช่น ร้านเน็ต) แล้วกังวลว่าอาจเจอดักข้อมูลตอนป้อนรหัสผ่านเข้าเว็บ ตอนนี้อาจสบายใจขึ้นมาหน่อย เพราะกูเกิลกำลังทดลองวิธีการล็อกอินแบบใหม่ๆ ที่ไม่ต้องผ่านรหัสผ่านลงไปในคอมพิวเตอร์ที่ไม่รู้จัก

กระบวนการทำงานของมันก็คือ เปิดหน้าเว็บ https://accounts.google.com/sesame (ตอนนี้ปิดไปแล้วครับ ลองเล่นไม่ได้) จะเห็น QR Code แบบสุ่มซึ่งแท้จริงแล้วมันคือ URL เราก็เอามือถือที่อ่าน QR Code ได้สแกนโค้ดตัวนี้ จากนั้นเบราว์เซอร์บนมือถือจะพาเราไปยังหน้าเว็บสำหรับล็อกอิน (ในกรณีที่เข้าหน้านี้เป็นครั้งแรกอาจจะต้องใส่รหัสผ่านของเราเอง แต่ครั้งต่อๆ ไปจะจำไว้ให้) เราจะเห็นปุ่ม Start with Gmail ซึ่งกดปุ่มนี้บนมือถือแล้ว หน้าเว็บบนคอมพิวเตอร์จะเปลี่ยนเป็นหน้า Gmail ของเราให้เอง

เทคนิคนี้เหมาะมากเวลาเดินทางไปนอกสถานที่หรือไปต่างประเทศ

กูเกิลไม่เคยประกาศข่าวนี้อย่างเป็นทางการ และเป็นเพียงการทดสอบภายในเท่านั้น (มีคนบังเอิญไปเจอ) พอเป็นข่าวขึ้นมากูเกิลปิดระบบนี้ไปแล้ว และบอกว่ากำลังพัฒนาระบบที่ดีกว่านี้อยู่ ซึ่งจะเปิดตัวให้ทดสอบกันต่อไป

ที่มา - PC World, +Dirk Balfanz

Jake Brill ผู้บริหารของ Facebook จากทีม Site Integrity ให้สัมภาษณ์กับเว็บไซต์ Business Insider เปิดเผยรายละเอียดด้านการรักษาความปลอดภัย และการต่อต้านสแปมของเว็บไซต์

• Brill บอกว่า Facebook เป็นเหยื่อของความสำเร็จของตัวเอง เพราะคนใช้เยอะมาก ปัญหาสแปมก็มากตามไปด้วย
• เนื่องจาก Facebook สร้างระบบ News Feed ที่น่าเชื่อถือและน่าสนใจ ทำให้เวลาสแปมหลุดเข้ามาใน News Feed ผู้ใช้จึงเชื่อและมักคลิกลิงก์
• สถิติของ Facebook คือลิงก์ 4% เท่านั้นที่เป็นสแปม และในวันหนึ่งๆ มีผู้ใช้ 5% ที่พบปัญหาสแปม
• Facebook กำลังแก้ปัญหานี้อย่างเต็มที่ ตอนนี้ในทีมของเขามีพนักงาน 30 คนทำงานเต็มเวลา และมีอัลกอริทึมคอยตรวจสอบสแปมตลอดเวลา มีเครื่องมือที่ดักจับคนที่ประสงค์ร้ายและลิงก์ที่มีปัญหา
• Facebook เป็นเว็บไซต์ไม่กี่แห่งที่ไม่เชื่อว่าผู้ใช้เป็นตัวจริง ถึงแม้จะใส่รหัสผ่านถูก เพราะมีระบบเช็คว่าถ้าล็อกอินที่หนึ่ง แล้วอีก 10 นาทีไปล็อกอินจากสถานที่อื่นในโลก Facebook จะบังคับให้ผู้ใช้พิสูจน์ตัวเองผ่านมาตรการต่างๆ
• Facebook ยังจับมือกับผู้ให้บริการความปลอดภัยอย่าง McAfee คอยสแกนลิงก์ว่าเป็นลิงก์ปลอดภัย ซึ่งบริการ social network อื่นๆ ยังไม่ได้ทำแบบนี้

ที่มา - Business Insider

บริษัท Symantec ยืนยันข้อมูลว่าเซิร์ฟเวอร์ของบริษัทถูกแฮ็ก และแฮ็กเกอร์เข้าถึงซอร์สโค้ดของโปรแกรมด้านความปลอดภัยองค์กร 2 ตัว คือ Symantec Endpoint Protection 11.0 และ Symantec Antivirus 10.2 (ไม่ใช่ Norton Antivirus นะครับ)

ซอฟต์แวร์ทั้งสองตัวนี้เป็นรุ่นเก่าแล้ว เพราะ Symantec Endpoint Protection รุ่นล่าสุดคือ 12.1 ส่วน Symantec Antivirus 10.2 ก็เลิกขายไปนานแล้ว แต่ยังมีบริการหลังขายให้ผู้ใช้อยู่

ในทางปฏิบัติแล้ว ลูกค้าของ Symantec คงไม่ได้ผลกระทบอะไร แต่ Symantec ในฐานะ "บริษัทซอฟต์แวร์ความปลอดภัย" ก็เสียหน้าไปไม่น้อย

ที่มา - SecurityWeek

งาน 28C3 เป็นงานประชุมวิชาการแฮกเกอร์ที่สำคัญมากอย่างที่เราเห็นข่าวก่อนหน้านี้มีการเปิดเผยเทคนิคใหม่ๆ อยู่เสมอๆ แทบทุกปี วิดีโอในปีนี้ที่ผมแนะนำคือ

• Marriage from Hell: รายงานการขายอุปกรณ์เทคโนโลยีจากประเทศตะวันตกให้กับประเทศเผด็จการ
• The Atari 2600 Video Computer System: เล่าประวัติศาสตร์ของเครื่องคอนโซลเครื่องแรกๆ ในโลก
• The coming war on general computation: โดย Cory Doctorow โดยพูดถึงปัญหาของระบบคอมพิวเตอร์ว่าในอนาคตคอมพิวเตอร์จะเปลี่ยนเป็นคอมพิวเตอร์อเนกประสงค์ทั้งหมด และรัฐจะพยายามควบคุมการใช้งานคอมพิวเตอร์เหล่านั้น
• Defending mobile phones: นำเสนอปัญหาช่องโหว่ของระบบโทรศัพท์ในปัจจุบัน หัวข้อนี้เคยนำเสนอไปแล้วในข่าวระบบ GSM ถูกจูนได้ แต่ยังมีปัญหาอื่นๆ ที่รายงานเพิ่มเติม
• How governments have tried to block Tor: รายงานความพยายามปิดกั้นการเข้าถึง Tor จากรัฐบาลทั่วโลก

นอกจากนี้ยังมีการพูดย่อยๆ แบบเดียวกับ BarCamp มีการนำเสนอโครงการอื่นๆ หลายคนอาจจะอยากลองหาหัวข้อที่ตัวเองสนใจได้จากที่มา

ที่มา - YouTube: 28C3 Channel

ระยะหลังๆ เราเห็นบริษัทด้านความปลอดภัยบนพีซีหันมาทำแอพด้านความปลอดภัยบน Android กันเยอะ ล่าสุด avast! เป็นอีกรายที่ลงมาเล่นในตลาดนี้กับ avast! Mobile Security ที่เปิดให้ดาวน์โหลดฟรี

avast! Mobile Security มีความสามารถใกล้เคียงกับแอพคู่แข่งอื่นๆ คือไม่ได้มีเพียงแค่การแสกนไวรัส แต่ยังมีฟีเจอร์ด้านความปลอดภัยอย่าง remote lock/wipe/locate เวลาเครื่องหาย, กรองสายเรียกเข้าและ SMS, เตือนเวลาข้อมูลส่วนตัวถูกเรียกใช้ และที่น่าสนใจคือฟีเจอร์ firewall สำหรับมือถือที่ root แล้วเท่านั้น

avast! โฆษณาว่าแอพของตัวเองมีฟีเจอร์เยอะกว่าคู่แข่งอย่าง AVG, Kaspersky, McAfee, Norton, Lookout ใครสนใจก็ดู ตารางเปรียบเทียบ เวอร์ชันของ avast! ได้ครับ

ปี 2011 นั้นเรียกได้ว่าเป็นปีแห่งการแฮกเลยก็ว่าได้ เนื่องจากมีข่าวของแฮกเกอร์เป็นจำนวนมากทั้งที่ดีและไม่ดี แฮกเกอร์จะเกิดขึ้นมาพร้อมกับเครื่องมือและวิธีการใหม่ๆ ในการเจาะระบบของเป้าหมายอยู่เสมอ

ทางเว็บไซต์เดอะแฮกเกอร์นิวส์จึงได้จัดรางวัล "The Hacker News Awards 2011" ขึ้นเพื่อเป็นการฉลองความสำเร็จและความล้มเหลวของผู้วิจัยด้านความปลอดภัยรวมถึงชุมชนแฮกเกอร์ การจัดรางวัลนี้ตัดสินโดยผู้วิจัยด้านความปลอดภัยและบรรณาธิการของเว็บไซต์เดอะแฮกเกอร์นิวส์