Symantec ออกรายงาน Internet Security Threat ฉบับล่าสุด มีข้อมูลที่น่าสนใจคือการจารกรรมข้อมูลหรือทรัพย์สินทางปัญญาเพิ่มขึ้น 42% จากปีก่อน

กลุ่มเป้าหมายหลักของการจารกรรมข้อมูลคืออุตสาหกรรมการผลิตและธุรกิจ SME ที่ลงทุนกับระบบความปลอดภัยไม่เยอะนัก

• ธุรกิจ SME (ที่มีพนักงานน้อยกว่า 250 คน) กลายเป็นเป้าโจมตีในสัดส่วน 31% แถมยังกลายเป็นฐานให้แฮ็กเกอร์นำไปใช้เจาะบริษัทใหญ่ๆ ต่อไปด้วย (เทคนิค watering hole)
• อุตสาหกรรมการผลิตเป็นเป้าโจมตีมาก (24%) เพราะมีบริษัทย่อยผลิตชิ้นส่วนในห่วงโซ่อุปทานมาก ซึ่งบริษัทขนาดนี้โจมตีได้ง่ายกว่าบริษัทใหญ่ และสามารถขยายผลการโจมตีไปยังบริษัทอื่นๆ ในห่วงโซ่อุปทานได้ด้วย

ข้อมูลอื่นที่น่าสนใจคือตอนนี้เว็บที่ "ประสงค์ร้าย" จำนวน 61% กลับเป็นเว็บไซต์ปกติที่ถูกเจาะระบบและฝังโค้ดโจมตีเอาไว้ ไม่ใช่เว็บที่ถูกสร้างขึ้นมาเพื่อหลอกผู้ใช้โดยตรง แสดงให้เห็นถึงรูปแบบการโจมตีที่เริ่มซับซ้อนขึ้นเรื่อยๆ

ที่มา - Symantec, ZDNet

บริษัทความปลอดภัย Lookout เผยข้อมูลของมัลแวร์ตัวใหม่ชื่อ "BadNews" บนแพลตฟอร์ม Android ซึ่งประเมินว่ามีคนโหลดแอพที่ฝัง BadNews ไปแล้ว 2-9 ล้านครั้ง โดยส่วนใหญ่อยู่ในรัสเซียและกลุ่มประเทศในเครือโซเวียตเก่า

ความน่าสนใจของ BadNews อยู่ที่ผู้สร้างมัลแวร์นั้นสร้าง "เครือข่ายโฆษณาบนมือถือ" (ลักษณะเดียวกับ AdMob หรือ iAd) ที่ทำงานได้จริงๆ และเชิญชวนให้ผู้สร้างแอพหันมาแปะโฆษณาของตัวเอง ทำให้การส่งแอพขึ้น Google Play ตรวจไม่พบโค้ดของมัลแวร์เพราะตอนแรก BadNews แปะมาแต่โฆษณาตามอย่างแอพทั่วไป

รายงานจากทีม Hashcat รายงานระบบการเข้ารหัสผ่าน พบว่ารหัสผ่านหลัก (master password) ของ 1Password ที่เข้ารหัสแบบทางเดียวด้วย PBKDF2-HMAC-SHA1 จากเดิมที่ต้องคำนวณ SHA1 ถึงกว่า 8,000 รอบซึ่งเปลืองรอบการคำนวณอย่างมาก แต่หลังจากวิเคราะห์ระบบการเข้ารหัสของ 1Password แล้วกลับพบว่าการคำนวณจริงๆ ต้องการการคำนวณเพียง 4000 รอบก็เพียงพอแล้ว

ปัญหาของ 1Password คือรูปแบบการเข้ารหัสเนื้อข้อมูลจริงๆ นั้นเป็นการเก็บไฟล์ข้อมูลขนาด 1040 ไบต์ด้วย AES ในโหมด CBC ผลของการคำนวณรหัสผ่าน จะคำนวณสองค่าหลักคือ ค่าคีย์, และค่า IV สำหรับการถอดรหัส ทำให้ต้องคำนวณค่าแฮชความยาว 320 บิต (ใช้จริง 256 บิต ครึ่งแรกเป็นกุญแจ ครึ่งหลังเป็น IV) แต่ปรากฎว่าในโหมด CBC นั้น ค่า IV ของบล็อกหลังๆ จะใช้ข้อความที่เข้ารหัสแล้วในบล็อกก่อนหน้ามาเป็นค่า IV และเนื่องจากบล็อกท้ายๆ เป็นข้อมูลเติมเต็ม (padding) ทำให้แฮกเกอร์สามารถรู้ได้ทันทีว่ากุญแจที่ใช้ถูกต้องหรือไม่

Oracle ออกมาประกาศว่า Java 8 ที่มีกำหนดออกเดือนกันยายนนี้ จะถูกเลื่อนออกไปเป็นปี 2014 (กำหนดเวลายังไม่ชัดเจน แต่น่าจะเป็นไตรมาสแรกของปี 2014)

เหตุผลที่เลื่อนเป็นเพราะปัญหาด้านความปลอดภัยของ Java ที่รุมเร้าอยู่ในตอนนี้ ทำให้ทีมงานต้องการเวลาเพิ่มเติมในการปรับปรุงกระบวนการพัฒนา Java ให้ปลอดภัยกว่าเดิม

ฟีเจอร์ใหม่ของ Java 8 คือ Project Lambda ที่ถูกเลื่อนมาจาก Java 7 โดยจะเป็นการเพิ่มฟีเจอร์ด้าน closure ให้ตัวภาษา Java เพื่อช่วยให้การทำงานแบบมัลติคอร์ดีขึ้น ทีมงานตัดสินใจเลื่อนกำหนดการของ Java 8 ออกไปแทนการตัด Lambda ทิ้งแล้วออกตามกำหนดเดิม เพื่อให้โลกของ Java ได้ใช้ฟีเจอร์ Lambda ไม่ช้าเกินไปนัก

ส่วน Java 9 ก็โดนผลกระทบให้เลื่อนออกไปด้วย คาดว่าจะเป็นต้นปี 2016 ครับ

ที่มา - Mark Reinhold via Phoronix

Cody Kretsinger หนึ่งในสมาชิกกลุ่ม LulzSec ซึ่งเคยสร้างผลงานทั้งการแฮ็กเว็บไซต์ Sony Pictures รวมไปถึงการ DDoS ใส่เว็บไซต์ CIA และถูกจับในเวลาต่อมา โดยมีแนวโน้มว่าจะมีการตัดสินจำคุกผู้กระทำความผิดถึง 15 ปี แต่ผู้กระทำความผิดได้รับสารภาพและยอมที่จะบำเพ็ญสาธารณประโยชน์เป็น 1,000 ชั่วโมง ทำให้โทษจำคุกเหลือ 1 ปี และจะต้องจ่ายค่าเสียหายให้กับทาง Sony Pictures เป็นจำนวน $605,663 ด้วย

ที่มา - PC World

Cody Kretsinger หนึ่งในสมาชิกกลุ่ม LulzSec ซึ่งเคยสร้างผลงานทั้งการแฮ็กเว็บไซต์ Sony Pictures รวมไปถึงการ DDoS ใส่เว็บไซต์ CIA และถูกจับในเวลาต่อมา โดยมีแนวโน้มว่าจะมีการตัดสินจำคุกผู้กระทำความผิดถึง 15 ปี แต่ผู้กระทำความผิดได้รับสารภาพและยอมที่จะบำเพ็ญสาธารณประโยชน์เป็น 1,000 ชั่วโมง ทำให้โทษจำคุกเหลือ 1 ปี และจะต้องจ่ายค่าเสียหายให้กับทาง Sony Pictures เป็นจำนวน $605,663 ด้วย

ที่มา - PC World

นักวิจัยจาก Independent Security Evaluators (ISE) ได้เปิดเผยรุ่นเราเตอร์ชื่อดังหลังจากพบช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถใช้โจมตีและขโมยข้อมูลได้ภายในเครือข่าย LAN เดียวกัน และ 11 รุ่นจาก 13 รุ่นสามารถเข้าควบคุมอุปกรณ์ได้จากเครือข่าย WAN

โดยรุ่นเราเตอร์ที่ถูกประกาศออกมาก็ได้แก่ Linksys WRT310Nv2, Belkin F5D8236-4 v2, Belkin N300, Belkin N900, Netgear WNDR4700, TP-Link WR1043N, Verizon Actiontec, D-Link DIR-865L เป็นต้น ซึ่งการโจมตียังสามารถแบบออกได้เป็นสามรูปแต่ที่อันตรายที่สุดคือแฮกเกอร์สามารถเข้าถึงอุปกรณ์เหล่านั้นได้โดยไม่ต้องอาศัยการตอบสนองของมนุษย์ หรือการพิสูจน์ตัวตนใดๆ เลย

ในส่วนของวิธีการแก้ไขนั้น ทาง ISE ได้ทำการติดต่อไปยังผู้ผลิตเฟิร์มแวร์ของอุปกรณ์ดังกล่าวเพื่อทำการแพตซ์ช่องโหว่แล้ว และจะทำการแจ้งเตือนผู้ใช้งานให้ทำการอัพเดตต่อไป

ที่มา - eSecurity Planet

ออราเคิลปล่อยแพตซ์ความปลอดภัยจำนวนมากให้กับสินค้าหลายตัว ตั้งแต่ระบบฐานข้อมูล, แอพพลิเคชั่นเซิร์ฟเวอร์, มิดเดิลแวร์, และซอฟต์แวร์จัดการเช่น Siebel/PeopleSoft รวมไปถึงขาประจำอย่างจาวาไปพร้อมกัน

แพตซ์ทั้งหมดเป็นแพตซ์ความปลอดภัยในระดับ critical ออราเคิลแนะนำให้ลูกค้าทุกรายอัพเดตให้เร็วที่สุดเท่าที่เป็นไปได้ บั๊กหลายตัวสามารถข้ามผ่านระบบการล็อกอินเพื่อโจมตีได้

ใครดูแลระบบไหนกันอยู่ตอนนี้อาจจะต้องเร่งมาทดสอบเพื่อเอาตัวใหม่ขึ้นกันเร็วสักหน่อยครับ

ที่มา - Oracle: Java SE Critical Patch Update Advisory, Oracle: Critical Patch Update Advisory

ออราเคิลออก Java 7u21 และ Java 6u45 บนแพลตฟอร์มอื่นๆ ไปแล้ว ทางฝั่งแอปเปิลที่ออก Java 6 เวอร์ชันของตัวเองบน OS X ก็อัพเดตตามเรียบร้อย (สำหรับผู้ที่ใช้ Java 7 ต้องอัพผ่านระบบของออราเคิลกันเองเหมือนระบบปฏิบัติการอื่นๆ)

อัพเดตของแอปเปิลตัวนี้ใช้ชื่อว่า Java for OS X 2013-003 (สำหรับ Lion ขึ้นไป) หรือ Java for Mac OS X 10.6 Update 15 (สำหรับ Snow Leopard) ผู้ใช้แมคที่ยังใช้ Java 6 ก็อัพเดตกันได้ผ่าน Software Update เพื่อความปลอดภัยครับ

ในโอกาสเดียวกัน แอปเปิลยังออก Safari 6.0.4 (Lion ขึ้นไป) และ Safari 5.1.9 (Snow Leopard) ซึ่งเพิ่มตัวเลือกการปิด Java เป็นรายเว็บไซต์ด้วย

ที่มา - The Mac Security Blog

ตรงตามข่าวหลุดก่อนหน้านี้ ไมโครซอฟท์ออกมาประกาศใช้ระบบล็อกอินสองชั้น (two-step verification) แล้ว ซึ่งจะมีผลกับบริการทั้งหมดที่ใช้ Microsoft Account เช่น Windows 8, Windows Phone, Xbox, Outlook.com, Skype, SkyDrive เป็นต้น

ระบบล็อกอินสองชั้นของไมโครซอฟท์ก็เหมือนกับระบบอื่นๆ คือผู้ใช้ยังต้องเปิดใช้งานเอง (optional) ใช้วิธีส่งโค้ดยืนยันตัวตนผ่านอีเมลหรือ SMS นอกจากนี้ยังมีแอพ Microsoft Authenticator สำหรับยืนยันตัวตนแบบออฟไลน์ได้ด้วย (ยังมีเฉพาะบน Windows Phone)

ไมโครซอฟท์จะเริ่มเปิดใช้ระบบนี้ในอีก 2-3 วันข้างหน้า ใครอยากป้องกันตัวก็เข้าไปที่ https://account.live.com/proofs/Manage

ที่มา - The Official Microsoft Blog

ออราเคิลออกแพตช์ให้ Java SE รอบเดือนเมษายน 2013 (นับเวอร์ชันเป็น Java 7 update 21 และ Java 6 update 45) ซึ่งแพตช์นี้แก้ปัญหาเรื่องช่องโหว่ใน Java ไปถึง 42 จุด ถือเป็นการอุดรูรั่วความปลอดภัยครั้งใหญ่สำหรับโลกของ Java

แพตช์ชุดนี้ยังเพิ่มหน้าต่าง dialog box แจ้งเตือนเมื่อผู้ใช้รัน Java applet ที่มีความเสี่ยงด้วย (เมื่อก่อนเคยมีหน้าต่างนี้ แต่มีบั๊กไม่ยอมเช็คใบรับรองดิจิทัลที่ถูกเพิกถอน)

Hasan Rizvi ผู้บริหารของออราเคิลยอมรับว่าแพตช์ชุดนี้ยังแก้ปัญหาได้ไม่หมด แต่ก็ครอบคลุมช่องโหว่ที่เคยมีประวัติการถูกโจมตีหมดแล้ว เขายังยอมรับว่าลูกค้าองค์กรแสดงความห่วงใยต่อปัญหาความปลอดภัยของ Java และอาจส่งผลต่อการเลิกใช้ Java ขององค์กรเหล่านี้ได้

จากข้อมูลของบริษัท Kaspersky ระบุว่าในปีที่แล้ว Java ขึ้นเป็นอันดับหนึ่งของโปรแกรมที่โดนเจาะมากที่สุด คิดเป็นสัดส่วนถึง 50% ของการเจาะระบบทั้งหมด ส่วนอันดับสองคือ Adobe Reader 28% ในขณะที่ Windows/IE มีสัดส่วนการโดนเจาะแค่ 3% เท่านั้น

ใครที่ยังจำเป็นต้องติดตั้ง Java ในเครื่องก็ควรรีบอัพเดตกันโดยด่วนครับ

ที่มา - Oracle, Ars Technica, Krebs on Security, Reuters

ผู้ให้บริการโฮสติ้งขนาดใหญ่ของโลกหลายราย ให้ข้อมูลว่าพบความพยายามเจาะระบบ CMS ที่เป็น WordPress และ Joomla! (ส่วนใหญ่เป็น WordPress) ครั้งใหญ่

รูปแบบการโจมตีครั้งนี้ไม่ซับซ้อน โดยเป็นการคาดเดารหัสผ่านแอดมินของ WordPress/Joomla! ด้วยรหัสผ่านที่พบบ่อย (dictionary attack) เช่น 123456, password, 1234, qwerty เพื่อหวังฟลุคจะเข้าบัญชีแอดมินของเว็บไซต์ต่างๆ ได้นั่นเอง

พฤติกรรมของการโจมตีใช้เวลาสั้นๆ ต่อหนึ่งเว็บไซต์แต่หว่านเป็นวงกว้างแทน ส่วนจำนวนเครื่อง botnet ที่ใช้เป็นฐานโจมตีมีราวๆ 100,000 เครื่อง

เจ้าของเว็บที่ใช้ CMS เหล่านี้สามารถป้องกันตัวโดยการเปลี่ยนชื่อผู้ดูแลระบบจาก admin เป็นชื่ออื่นๆ ที่คาดเดาได้ยาก และตั้งรหัสผ่านที่แข็งแรง ไม่ใช่คำพื้นฐานที่พบบ่อยครับ

ที่มา - Ma.tt, Naked Security, Ars Technica

ข่าวนี้ต่อเนื่องจากข่าวนักวิจัยชี้แค่ใช้สมาร์ทโฟน Android ก็แฮ็กระบบเครื่องบินโดยสารได้ โดยหลังจากที่ได้รับการตรวจสอบเรียบร้อยแล้ว FAA หรือทบวงการบินสหรัฐได้ออกมายืนยันแล้วว่าสมาร์ทโฟน Android ไม่สามารถนำมาใช้แฮ็กเครื่องบินโดยสารได้จริงอย่างที่นักวิจัยได้สาธิตไว้ โดย FAA ให้เหตุผลว่าการสาธิตของนักวิจัยนั้นทำกับระบบ ACARS ที่ติดตั้งอยู่บนพีซีที่ใช้สำหรับฝึกซ้อม และช่องโหว่ที่นักวิจัยใช้นั้นมีอยู่ในระบบ ACARS บนพีซีเท่านั้น ไม่สามารถนำเทคนิคดังกล่าวนี้มาใช้กับอุปกรณ์บนเครื่องบินที่ได้รับการรับรองแล้ว

นอกจาก FAA แล้ว EASA หรือสำนักงานความปลอดภัยด้านการบินแห่งยุโรป ยังออกมาชี้แจงเรื่องความแตกต่างระหว่างซอฟต์แวร์ที่ใช้สำหรับการฝึกกับซ้อมกับซอฟต์แวร์ที่ใช้งานจริงๆ บนเครื่องบินโดยสารว่า ซอฟต์แวร์ที่ใช้สำหรับการฝึกซ้อมนั้นไม่มีระบบป้องกันการเขียนทับและระบบสำรองเหมือนกับซอฟต์แวร์ที่ใช้อยู่บนเครื่องบินโดยสารครับ

ที่มา - Gizmodo

ผู้ใช้ของ Mt.Gox ที่ชื่อว่า bitbully รายงานว่ามีเว็บระบุตัวเองว่าเป็นบริการแชตเพื่อเชื่อมต่อกับ Mt.Gox เขาจึงลองเข้าเว็บดูแต่ปรากฎว่าหน้าเว็บมีเพียง applet ที่โหลดไม่ขึ้น แต่หลังจากนั้นมีรายงานจาก Mt.Gox ว่าเขาสั่งโอนเงินจำนวน 34 BTC ออกจากบัญชี ในเวลาเดียวกับที่เขาเข้าเว็บนั้น จึงรู้ว่าถูกขโมยเงินไปเสียแล้ว

แม้จะเสียเงินไปแล้ว แต่ bitbully ยังเข้าเว็บเดิมเพื่อไปดาวน์โหลด applet ในเว็บกลับออกมา แล้วนำไปให้เพื่อนจาวาโปรแกรมเมอร์ตรวจ พบว่ามี applet ที่อาศัยบั๊กความปลอดภัยของจาวาเพื่อทำ Cross Site Injection แล้วสั่งโอนเงินโดยไม่ต้องให้ผู้ใช้เข้าไปยุ่งเกี่ยวอะไรด้วย

ในกรณีที่ผู้ใช้ไม่ได้เปิด applet ไว้ จะมีสคริปต์ให้ลงผู้ใช้ติดตั้งมัลแวร์แทนโดยปลอมตัวเป็นตัวติดตั้งโปรแกรม Flash

Mt.Gox มีบริการยืนยันสองชั้นแบบเดียวกับ Gmail ให้ใช้งาน ถ้าคนแถวนี้มีบัญชีกับ Mt.Gox ก็ควรเปิดใช้งานทุกคนครับ

อีกข่าวหนึ่งที่เล็กกว่า คือ การ์ดกราฟิกของ AMD นั้นสามารถใช้ขุด BitCoin ได้แล้วผ่านทางไดร์เวอร์โอเพนซอร์ส Mesa โดยก่อนหน้านี้ bfgminer ไม่สามารถรันบนเครื่องที่ใช้ไดร์เวอร์แบบโอเพนซอร์สได้ แต่ก็มีแพตซ์ออกมาเพื่อให้รันได้แล้ว ใครที่การ์ดจอแรงอาจจะต้องคำนวณค่าไฟกันดีๆ ว่าคุ้มค่าหรือไม่ - Stellard

ที่มา - BitCoin Talk, Reddit

ในงานสัมมนาว่าด้วยเรื่องความปลอดภัยที่ชื่อ Hack in the Box ซึ่งจัดขึ้นใน Amsterdam เมื่อไม่นานมานี้ มีการเปิดเผยความจริงที่น่าสนใจเรื่องหนึ่งว่าการแฮ็กระบบควบคุมเครื่องบินโดยสารด้วยสมาร์ทโฟน Android เพียงหนึ่งเครื่องนั้นสามารถทำได้จริงโดยนักวิจัยด้านความปลอดภัย

Hugo Teso นักวิจัยด้านความปลอดภัยใช้สมาร์ทโฟนยี่ห้อ Samsung รุ่นหนึ่งทำการแฮ็กและเข้ายึดระบบควบคุมเครื่องและระบบการแสดงผลของหน้าจอในห้องควบคุมการบิน โดยเขาสามารถเปลี่ยนเส้นทางการบิน และความเร็วในการเดินทางโดยใช้เซ็นเซอร์วัดอัตราเร่ง (accelerometer) ที่อยู่ในสมาร์ทโฟน หรือกล่าวอีกอย่างได้ว่าเขาสามารถแก้ไขข้อมูลเกี่ยวกับระบบนำร่องของเครื่องบินได้แทบทุกอย่าง

ช่องทางในการเจาะระบบนั้น Teso ทำโดยการดักระบบการสื่อสารระหว่างห้องนักบินและหอบังคับการบินที่เรียกว่า ACARS จากนั้นจึงทำการอัพโหลดข้อมูลขึ้นไปสู่ระบบสื่อสารนั้นเพื่อควบคุมระบบนำร่อง นอกจากนี้เขายังสามารถดักฟังข้อมูลหรือสกัดกั้นการติดต่อระหว่างห้องนักบินและหอบังคับการบินได้เช่นกัน

ขณะนี้หน่วยงานที่เกี่ยวข้องกับการบินทั้ง FAA และ EASA ต่างก็กำลังดำเนินการแก้ไขช่องโหว่ดังกล่าว

ที่มา - ZDNet, เอกสารประกอบจากงาน Hack in the Box

เว็บไซต์ LiveSide ได้รับข้อมูลระบบล็อกอินสองชั้น (two-step authentication) เพื่อเข้าสู่บริการจากไมโครซอฟท์มา โดยหลักการทำงานระบบดังกล่าวนั้น หลังจากผู้ใช้ตั้งค่าใช้ล็อกอินสองชั้นแล้วเมื่อล็อกอินจากอุปกรณ์ใดที่ไม่ได้ถูกระบุว่าเป็นอุปกรณ์ที่เชื่อถือได้ (trusted PC) จะต้องกรอกรหัสที่ถูกสุ่มแฮชอิงตามเวลามา จากแอพ Authenticator บนมือถือ

LiveSide เสริมว่า ข้อจำกัดของระบบล็อกอินสองชั้นนี้คือบัญชีที่ถูกผูกกับบัญชีอื่น (linked account) จะไม่สามารถใช้ฟีเจอร์นี้ได้ ดังนั้นผู้ใช้จะต้องปลดการผูกบัญชีก่อนเปิดใช้ระบบล็อกอินสองชั้น นอกจากนั้นแอพหรืออุปกรณ์ที่ใช้ Microsoft Account ในการเข้าใช้งานบางตัวอาจไม่รองรับฟีเจอร์นี้ บริษัทจึงเพิ่มฟีเจอร์ "app password" เพื่อให้ผู้ใช้สามารถสร้างรหัสจากเว็บ Microsoft Account แล้วนำไปกรอกที่ช่องรหัสผ่านของแอพหรืออุปกรณ์ดังกล่าวเพื่อล็อกอินได้

ทาง LiveSide ยังไม่รู้วันที่ไมโครซอฟท์จะปล่อยระบบล็อกอินสองชั้นออกมา แต่ก็อาจเดาได้ว่าไม่น่าจะนานนัก เนื่องจากบริษัทได้ปล่อยแอพ Authenticator บน Windows Phone ขึ้น Windows Phone Store แล้ว โดยรายละเอียดของแอพระบุว่าผู้ใช้สามารถเพิ่มบัญชี Microsoft Account เข้าแอพโดยการสแกนบาร์โค้ดหรือพิมพ์รหัสที่ได้รับมา เพื่อให้ระบบสร้างรหัสผ่านอีกชุดสำหรับล็อกอินได้

ที่มา: LiveSide

แม้ปัญหาความปลอดภัยจะเริ่มต้นในยุคแรกๆ ในโลกด้วยปัญหา buffer overflow แต่เมื่อโลกเข้าสู่ยุคของเว็บ และโดยเฉพาะเมื่อเว็บเริ่มไม่ใช่ไฟล์ html เปล่าๆ แต่เป็นเว็บที่สามารถปรับตามผู้ใช้งานได้ เริ่มจากยุคของ CGI ที่เป็นโปรแกรมภาษาต่างๆ เรื่อยมาถึงเว็บเซิร์ฟเวอร์แบบอื่นไม่ว่าจะเป็น J2EE หรือระบบ fastcgi ปัญหาความปลอดภัยของเว็บก็กลายเป็นปัญหาใหญ่ที่โลกเจอกันเรื่อยมาจนทุกวันนี้

ปัญหา script injection หรือการใส่สคริปต์เข้ามาในเซิร์ฟเวอร์นั้นเป็นการโจมตีที่ตรงตัวกับชื่อของมัน เมื่อเซิร์ฟเวอร์เปิดให้อัพโหลดไฟล์เข้าไปยังเซิร์ฟเวอร์ ไม่ว่าจะเป็นการอัพโหลดภาพ หรือการอัพโหลดไฟล์อื่นๆ ในเว็บเซิร์ฟเวอร์ที่รันไฟล์ภาษาสคริปต์นั้น โดยทั่วไปแล้วจะถูกคอนฟิกให้รันทุกไฟล์สคริปต์ เช่น เว็บเซิร์ฟเวอร์ Apache ที่ติดตั้ง PHP ทุกวันนี้จะถูกคอนฟิกให้รันทุกไฟล์ที่ลงท้ายชื่อไฟล์ด้วย ".php"

WordPress.com เป็นบริการออนไลน์รายล่าสุดที่เริ่มใช้ระบบล็อกอินสองชั้น (two-factor authentication)

WordPress.com เรียกบริการนี้ว่า Two Step Authentication โดยเบื้องต้นเป็นบริการเสริมที่ต้องเปิดใช้เองในหน้า Settings > Security ส่วนกระบวนการล็อกอินสองชั้นก็เหมือนกับรายอื่นๆ คือใช้รหัสผ่านควบคู่ไปกับ One-time Password (OTP)

จุดที่น่าสนใจคือ WordPress.com เลือกได้ว่าจะส่ง OTP ผ่านทาง SMS ตามปกติ หรือจะสร้างรหัสผ่านจากแอพ Google Authenticator ที่ใช้ได้บน Android, iOS และ BlackBerry อีกทางเลือกหนึ่งด้วย

ผู้ใช้ WordPress.com ที่อยากได้ความปลอดภัยในระดับที่สูงขึ้น โดนแฮ็กยากขึ้น ก็อาจพิจารณาเปิดใช้ Two Step Authentication โดยดูขั้นตอนตามลิงก์ที่มาครับ

ที่มา - WordPress.com, Sophos

หลังจากที่มีข่าวช่องโหว่หน้าจอล็อครหัสใน iOS 6 และ Samsung Galaxy Note II ทาง Amazon เองก็คงกลัวผู้ใช้ Kindle จะไม่มีอะไรทำขณะอยู่หน้าล็อกรหัส เตรียมของเล่นไว้ให้เรียบร้อยครับ

หลายครั้งที่ปัญหาความปลอดภัย เกิดจากระบบรักษาความปลอดภัยหลายตัวทำงานขัดแย้งกันเอง โดยอาศัยความแตกต่างกันของระดับสิทธิ์แต่ละตัว

วันที่ 30 มีนาคมที่ผ่านมาเว็บไซต์หลักของนักร้องสาวชื่อดัง Jessie J ได้ถูกแฮกโดยการใส่ข้อความที่ไม่เหมาะสมเกี่ยวกับนักร้องสาว Lady Gaga ลงไปในเว็บว่า “The whole Universal Republic (Universal Music) can suck Lady Gaga’s d**k” โดยผลงานการแฮกครั้งนี้เป็นของกลุ่มที่มีชื่อว่า ‘Killuminati’ครับ