ซิสโก้ปรับปรุงระบบแจ้งเตือนช่องโหว่ความปลอดภัยรูปแบบใหม่ จากเดิมแยกระบบแจ้งเตือนออกเป็นสองส่วน คือ Cisco Security Advisories สำหรับช่องโหว่ระดับวิกฤติและระดับสูง กับ Cisco Security Alerts documented สำหรับช่องโหว่ระดับปานกลางและระดับต่ำ เว็บแจ้งเตือน Cisco Security Advisories ใหม่จะรวมรายการแจ้งเตือนทั้งหมดไว้ด้วยกัน

หน้าจอแจ้งเตือนออกแบบให้เข้าใจได้ง่ายว่าช่องโหว่นี้มีความร้ายแรงระดับใด โดยซิสโก้คิดคะแนนตามแนวทาง CVSS ระบุคะแนน 9.0-10.0 เป็นระดับวิกฤติ, 7.0-8.9 เป็นระดับสูง, 4.0-6.9 เป็นระดับปานกลาง, และที่เหลือเป็นระดับต่ำ

GitHub ประกาศรองรับการยืนยันตัวตนสองขั้นตอน (2-factor authentication) ด้วยกุญแจ U2F ตามมาตรฐานของ FIDO Alliance พร้อมกับมอบส่วนลดให้กับผู้ซื้อกุญแจ U2F จากทาง YubiKey

U2F เป็นกระบวนการยืนยันตัวตนสองขั้นตอนที่พยายามแก้ปัญหารหัสผ่านอ่อนแอ ไปพร้อมๆ กับการแก้ปัญหาหน้าเว็บปลอม (phishing) และการคั่นกลางการเชื่อมต่อ (man-in-the-middle) โดยตัวกุญแจจะรับค่ากุญแจสาธารณะของเซิร์ฟเวอร์มาเก็บไว้และการยืนยันตัวตนทุกครั้ง ตัวกุญแจจะตรวจสอบว่าการขอยืนยันตัวตนมาจากเว็บเดิมหรือไม่ กระบวนการเช่นนี้ผู้ดูแลระบบลินุกซ์ที่ใช้ SSH อาจจะเคยชินกันพอสมควร แต่ U2F เป็นมาตรฐานเปิดที่ออกแบบมาเพื่อใช้งานกับเว็บและบริการอื่นๆ ได้อย่างกว้างขวาง

หลังจากที่วันที่ 30 กันยายนที่ผ่านมา เว็บไซต์รัฐบาลทั้งหมด 6 เว็บและของพรรคประชาธิปัตย์อีก 1 เว็บไม่สามารถเข้าถึงได้ ซึ่งคาดว่าเกิดจากการโจมตีแบบ DDoS ของชาวเน็ตที่ต่อต้านนโยบาย Single Gateway โดยอาศัยการกดรีเฟรชหรือ F5 รวมไปถึงใช้เว็บไซต์ refreshthis.com เพื่อออโต้รีเฟรชหน้าเว็บดังกล่าว

ล่าสุดทางกระทรวง ICT ได้บล็อคเว็บไซต์ refreshthis เรียบร้อยแล้ว เพื่อป้องกันและแก้ปัญหาการถูกใช้เป็นเครื่องมือโจมตีเว็บไซต์รัฐบาล

ที่มา - VoiceTV

บริษัท Zimperium ผู้ค้นพบช่องโหว่ Stagefright บน Android ประกาศพบช่องโหว่ใหม่ของซอฟต์แวร์ส่วน MediaServer (ตัวเดิมกับที่เจอ Stagefright) ทางบริษัทจึงเรียกมันว่า Stagefright 2.0

ช่องโหว่ Stagefright 2.0 ประกอบด้วยสองช่องโหว่ย่อย ตัวแรกค้นพบในโค้ดตั้งแต่ Android 1.0 ส่วนช่องโหว่ตัวที่สองพบใน Android 5.0 ขึ้นไป ช่องโหว่นี้เปิดให้รันโค้ดที่แฝงมากับไฟล์ MP3/MP4 ได้ รูปแบบการโจมตีจะคล้ายของเดิม คือแฮ็กเกอร์ต้องหลอกให้ผู้ใช้กดลิงก์หรือดาวน์โหลดไฟล์จึงจะโจมตีได้

หลังจากเว็บไซต์กระทรวงไอซีทีล่ม ขณะนี้เว็บไซต์ได้กลับมาแล้ว (23:15 น.) โดยกระทรวงไอซีทีไปใช้ระบบของ CloudFlare แทนระบบเดิม

Gatekeeper เป็นระบบป้องกันการติดตั้งแอพที่ติดตั้งบน OS X ตั้งแต่ปี 2012 โดยหากแอพที่ไม่ได้มีการเซ็นรับรองความปลอดภัยจาก Apple จะไม่สามารถติดตั้งตัวเองได้ ต้องให้ผู้ใช้อนุญาตก่อน แต่ตอนนี้มีนักวิจัยด้านความปลอดภัยค้นพบวิธีข้ามผ่านการตรวจสอบจาก Gatekeeper แล้ว

Patrick Wardle หัวหน้านักวิจัยจาก Synack กล่าวว่า Gatekeeper จะอนุญาตให้แอพที่เซ็นรับรองความปลอดภัยแล้วผ่านไปได้ แต่กระบวนการหลังจากนั้นคือหากแอพที่เซ็นรับรองความปลอดภัยแล้วไปเรียกแอพที่ไม่ได้เซ็นรับรองความปลอดภัยขึ้นมาอีกที Gatekeeper จะไม่เช็คแอพที่ถูกรันขึ้นมาทีหลังและปล่อยให้รันได้ โดยวิธีนี้ก็สามารถใช้งานกับ plugin ได้ด้วย

ล่าสุดเว็บไซต์ของพรรคประชาธิปัตย์ (Democrat Party) ไม่สามารถเข้าใช้งานได้ตามปกติ สิ่งที่น่าสนใจคือ มีความเกี่ยวข้องที่จะถูกระดมเข้าพร้อมกันเป็นจำนวนมากเหมือนกับ 6 เว็บไซต์ที่ล่มผ่านมาหรือไม่

ทั้ง 6 เว็บไซต์ข้างต้นเกิดจากการระดมตัวบน Social Network ในช่องทางต่างๆ เพื่อเข้าเว็บไซต์พร้อมกันเป็นจำนวนมาก ในช่วงเวลาเดียวกันจึงทำให้เว็บไซต์ไม่สามารถเข้าใช้งานได้ตามปกติ

ไม่แน่ใจว่าจะเกี่ยวกับมหกรรมเยี่ยมชมเว็บราชการเพื่อต่อต้านนโยบาย Single Gateway หรือไม่ แต่ขณะนี้เว็บไซต์ของพรรคประชาธิปัตย์ก็ได้ล่มไปเป็นที่เรียบร้อยแล้ว

หากดูจากเวลาซึ่งใกล้เคียงไล่เลี่ยกันอย่างมาก ก็พอจะเดาได้ว่างานนี้มีเรื่อง Single Gateway เข้ามาเกี่ยวด้วยอย่างแน่นอน

ทั้งนี้เว็บไซต์ของพรรคประชาธิปัตย์ถือเป็นเว็บที่ 7 ที่ขัดข้องพร้อมกันในค่ำคืนนี้

เว็บหน่วยงานที่เกี่ยวข้อง (และไม่ค่อยเกี่ยวข้อง) กับนโยบาย Single Gateway ยังคงถูกชาวเน็ตเข้าไปดูจนล่มเองอย่างต่อเนื่อง ซึ่งหลังจากมีการนัดรวมพลเพื่อต่อต้าน Single Gateway โดยเริ่มตั้งแต่เวลาสี่ทุ่มที่ผ่านมา ก็มีเว็บไซต์กว่า 6 เว็บล่มไปเป็นที่เรียบร้อยแล้ว และเว็บที่ 6 ก็คือเว็บของ TOT เอง (http://www.tot.co.th)

หลังจากที่ เว็บกระทรวงไอซีที, เว็บกสท, เว็บกอ. รมน., เว็บทำเนียบรัฐบาล ล่มไปทั้งหมด 4 เว็บแล้วนั้น การระดมเข้าเว็บไซต์ของหน่วยงานต่างๆ พร้อมกันก็ทำให้เกิดผลกระทบกับสำนักงานปลัดกระทรวงกลาโหมอีกเว็บไซต์ ที่ไม่สามารถเข้าใช้งานได้ตามปกติ

ทั้งนี้ทั้งนั้นจำนวน 5 เว็บไซต์ข้างต้น เกิดปัญหาติดต่อกันภายในเวลาไม่กี่ชั่วโมงที่ผ่านมาอีกด้วย

เว็บไซต์หน่วยงานราชการต่างๆ ยังคงทยอยล่มกันไปอย่างต่อเนื่อง ซึ่งมีความเป็นไปได้สูงว่าเกิดจากการรวมพลของชาวเน็ตในการใช้วิธี DDoS (ด้วยการกด F5) เว็บไซต์ที่เป็นเป้าหมายเพื่อเป็นการต่อสู้เชิงสัญลักษณ์ในการต่อต้านนโยบาย Single Gateway โดยเว็บไซต์ล่าสุดก็ไม่ใช่ใครที่ไหนแต่เป็นเว็บไซต์ของทำเนียบรัฐบาลเอง

สามารถเข้าไป "ดู" กันเองได้ที่ http://www.thaigov.go.th ครับ

หลังจากเว็บกระทรวงไอซีทีและเว็บไซต์กสท ตอนนี้อีกหนึ่งเว็บที่ตกเป็นเป้าหมายคือ "กองอำนวยการรักษาความมั่นคงภายในราชอาณาจักร" ที่ถูกเพจพลเมืองโต้กลับ Resistant Citizen นัดหมายให้เข้าเว็บตั้งแต่ช่วงสามทุ่มครึ่งที่ผ่านมา

หลังเวลานัดหมายไม่กี่นาทีเว็บก็เข้าไม่ได้ และขึ้นข้อความ "The service is unavailable." มาแทน

ที่มา - พลเมืองโต้กลับ Resistant Citizen

หลังจากเว็บกระทรวงไอซีทีล่มไปตั้งแต่หัวค่ำที่ผ่านมา หลังเพจ "รวมพลเกมเมอร์บุกยึด CAT TOWER คืนจากม๊อบ" นัดรวมตัวกันเข้าเว็บกระทรวงไอซีทีเพื่อให้เว็บล่ม ตอนนี้ กสท โทรคมนาคม (CAT Telecom) ที่ออกมาสนับสนุนนโยบาย Single Gateway ก็ตกเป็นเป้าหมาย โดยเพจ Anti SOTUS ประกาศรวมตัวแบบเดียวกัน

กสท เป็นหน่วยงานที่กสทช. พ.อ.เศรษฐพงศ์ มะลิสุวรรณ ระบุว่าจะเป็นผู้ดำเนินการ Single Gateway และทางกสท เองโดย พ.อ.สรรพชัย หุวะนันทน์ ก็ระบุว่ากำลังพัฒนาศูนย์กลางดิจิตอลอยู่

ทีมวิศวกร Android Pay ของกูเกิลไปตอบกระทู้ในเว็บ xda-developers ยืนยันว่าอุปกรณ์ที่ root จะไม่สามารถใช้งาน Android Pay ด้วยเหตุผลด้านความปลอดภัย

Android Pay ถูกออกแบบให้ทำงานอยู่บน SafetyNet API ซึ่งอุปกรณ์ที่ใช้งานต้องผ่าน compatibility test ว่ามีระบบตรวจสอบความปลอดภัยลักษณะนี้อยู่

ทางทีมระบุว่ากูเกิลทราบดีเรื่องผู้ใช้ Android แบบจริงจังมัก root เครื่องเพื่อให้ปรับแต่งความสามารถได้ตามต้องการ แต่เมื่อกูเกิลยังไม่สามารถหาวิธียืนยันความปลอดภัยของเครื่องที่ root ก็ย่อมไม่สามารถเปิดให้ใช้งาน Android Pay ได้ ถ้าหากชุมชน xda มีไอเดียการออกแบบโมเดลความปลอดภัยที่ดีขึ้น ทางทีมของกูเกิลก็ยินดีรับฟัง

US CERT ออกประกาศแจ้งเตือนช่องโหว่เบราว์เซอร์ที่สามารถถูกยิงคุกกี้เข้าไปยังเว็บที่เข้ารหัสได้ และทำให้ผู้ใช้ถูกหลอกให้กรอกข้อมูลทั้งที่กำลังใช้งานอยู่ในเว็บเข้ารหัส

การยิงคุกกี้ (cookie injection) ทำได้เพราะนักพัฒนาเว็บสามารถกำหนดได้ว่าคุกกี้จะใช้งานเฉพาะ HTTPS ด้วยการต่อท้ายคุกกี้ด้วยข้อความ "secure" แต่การกำหนดนี้สามารถกำหนดขณะใช้งาน HTTP ที่ไม่เข้ารหัสก็ได้

แนวทางการโจมตี แฮกเกอร์จะต้องดักฟังการเชื่อมต่อที่ไม่เข้ารหัส และปลอมตัวเป็นเว็บโดเมนเดียวกัน ส่งข้อมูลเว็บแบบไม่เข้ารหัสไปยังเบราว์เซอร์เพื่อให้เบราว์เซอร์ตั้งค่าคุกกี้ในโดเมนที่เข้ารหัสแล้ว

เราคงได้ยินข่าวรถยนต์จากค่าย GM (General Motors) ถูกแฮกกันมาบ้างนะครับ แต่อาจไม่คิดว่าจะเป็นเรื่องใหญ่โตขนาดนี้ เนื่องจากบ้านเราไม่ค่อยนิยมรถยนต์จากค่ายนี้สักเท่าไร อีกทั้งบริการที่มีปัญหาช่องโหว่ก็ไม่มีใช้ในประเทศไทย

แต่เอาเข้าจริงแล้วเป็นเรื่องใหญ่มาก กระทบคนเยอะมาก อีกทั้งยังไม่เคยพบเจอว่ามีการแฮกรถยนต์ได้ด้วย

หลังจากมีกรณีทั้ง Superfish และ ใช้คุณสมบัติพิเศษของ Windows ในการติดตั้งซอฟต์แวร์ ล่าสุด ก็มีคนพบว่า Lenovo ได้ติดตั้งซอฟต์แวร์ส่งข้อมูลกลับไปยังบริษัท และคราวนี้เป็นการติดตั้งบนสายตระกูล ThinkPad ซึ่งถือเป็นเครื่องสายธุรกิจของตนเอง

ซิสโก้ออกสคริปต์ไพธอนสำหรับสแกนหาเราท์เตอร์ที่ิติดมัลแวร์ SYNful Knock ออกมาให้คนทั่วไปดาวน์โหลดมาใช้งานแล้ว

ตัวสคริปต์เขียนด้วยไพธอนและใช้ไลบรารี scapy พร้อมกับคำเตือนว่าการสแกนผ่าน NAT อาจจะมีความผิดพลาดได้

ก่อนหน้านี้ทาง FireEye ก็ออกสคริปต์ nmap เพื่อตรวจหาเราท์เตอร์ที่ติดมัลแวร์เช่นกัน ใครสะดวกทางไหนก็เลือกใช้กันได้ครับ

ที่มา - Cisco

มัลแวร์ XcodeGhost ถูกค้นพบมาไม่กี่วัน แม้แอปเปิลจะเร่งถอนแอปเหล่านี้ออกจาก App Store ไปแล้วหลายร้อยตัว ทาง FireEye ก็ออกมาระบุว่าตอนนี้พบแอปที่ติดมัลแวร์เฉพาะใน App Store แล้วมากกว่า 4,000 รายการ

ทาง FireEye เตือนว่า แม้ว่าตอนนี้เซิร์ฟเวอร์สั่งการของ XcodeGhost จะถูกปิดไปแล้ว แต่ตัวมัลแวร์ก็ยังยิง HTTP ออกอินเทอร์เน็ตเพื่อรับคำสั่ง จึงมีความเสี่ยงที่การเชื่อมต่อถูกดักโดยแฮกเกอร์แล้วยิงคำสั่งเข้าสวมรอยแทน ตอนนี้องค์กรควรอัพเดตไฟร์วอลให้แจ้งเตือนเมื่อมีเครื่องในองค์กรติดมัลแวร์และพยายามติดต่อกลับ ในกรณีของ FireEye คือ FireEye NX สามารถตรวจสอบการเชื่อมต่อได้แล้ว

จากกรณี XcodeGhost แอปเปิลออกมาเตือนนักพัฒนาทุกรายให้ตรวจสอบ Xcode แล้ว

แอปเปิลบอกว่าวิธีที่ดีที่สุดในการดาวน์โหลด Xcode คือผ่าน Mac App Store เพราะมีกระบวนการตรวจสอบ (validate) ตัวไฟล์ signature โดยอัตโนมัติผ่านฟีเจอร์ Gatekeeper ของตัวระบบปฏิบัติการ

แต่ถ้าจำเป็นต้องดาวน์โหลด Xcode เอง (หรือได้ไฟล์มาจากคนอื่น) สามารถตรวจสอบได้ผ่านคำสั่ง spctl --assess --verbose /Applications/Xcode.app ใน Terminal ซึ่งจะได้ค่ากลับมาเป็น accepted พร้อมระบุแหล่งที่มาว่าเป็น Mac App Store, Apple, Apple System ในกรณีที่ได้ค่าแตกต่างจากนี้ถือว่าเป็น Xcode ปลอม

เมื่อวันที่ 9 กันยายนที่ผ่านมา ศูนย์เทคโนโลยีทางทหาร กองบัญชาการกองทัพบก ได้จัดการแข่งขัน Army Cyber Contest 2015 ที่กองบัญชาการกองทัพบก โดยมี พลเอก อุดมเดช สีตบุตร รัฐมนตรีช่วยว่าการกระทรวงกลาโหมและผู้บัญชาการทหารบก เป็นประธานในการเปิดงาน

งานครั้งนี้มีวัตถุประสงค์เพื่อพัฒนาบุคลากรให้มีขีดความสามารถด้านปฏิบัติการไซเบอร์ทั้งในเชิงรุกและเชิงรับ สร้างความตระหนักรู้และประเมินความสามารถด้านไซเบอร์ของกองกำลังพลกองทัพบก รวมถึงการสร้างความร่วมมือด้านไซเบอร์ระหว่างหน่วยงานภายในและภายนอกกองทัพบก และตอบสนองนโยบายของกองทัพบกด้านไซเบอร์

รัฐบาลอินเดียเสนอกฎหมายควบคุมการเข้ารหัส (National Encryption Policy) ระบุเงื่อนไขของการเข้ารหัส ให้ผู้ที่สื่อสารโดยเข้ารหัสมีหน้าที่รับผิดชอบต้องเก็บข้อมูลที่สื่อสารเอาไว้ 90 วัน และกระบวนการเข้ารหัสและขนาดกุญแจต้องได้รับอนุญาตจากรัฐบาลเท่านั้น

ร่างกฎหมายบังคับให้ปลายทางของการสื่อสารที่เข้ารหัสที่อยู่ในอินเดียต้องรับผิดชอบต่อการเก็บข้อมูลที่ไม่ได้เข้ารหัส ให้พร้อมส่งมอบให้เจ้าหน้าที่หากมีการร้องขอภายใน 90 วันหลังการสื่อสาร กระบวนการเข้ารหัสทุกรูปแบบจะต้องส่งให้เจ้าหน้าที่พิจารณาอนุมัติล่วงหน้าก่อนใช้งาน

มูลนิธิ Shadowserver ร่วมกับซิสโก้ ตรวจค้นหาเราท์เตอร์ที่ติดเฟิร์มแวร์ SYNful Knock เพิ่มเติม หลังจาก Zmap รายงานพบ 79 เครื่องทั่วโลกไปเมื่อสัปดาห์ที่แล้ว ตอนนี้ทาง Shadowserver ตรวจพบเพิ่มเป็น 199 ไอพี การแสกนรอบล่าสุดเมื่อวานนี้ (ตามเวลาสหรัฐฯ) ตรวจสอบ 163 เครื่อง เป็นเครื่องในไทย 7 เครื่อง

เครื่องส่วนมากที่ติด SYNful Knock อยู่ในสหรัฐฯ (65 เครื่อง), อินเดีย (12 เครื่อง), รัสเซีย (11 เครื่อง), โปแลนด์ (9 เครื่อง), จีน (8 เครื่อง), และไทย (7 เครื่อง)

Adobe อัพเดตแพตช์ความปลอดภัยให้ Flash Player ชุดใหญ่จำนวน 23 จุด ตัวเลขเวอร์ชันล่าสุดคือ 19.0.0.185 และ 18.0.0.241 (สำหรับผู้ใช้กลุ่ม Extended Support)

Adobe ระบุว่ายังไม่พบการโจมตีช่องโหว่เหล่านี้ในทางปฏิบัติ แต่ก็แนะนำให้ผู้ใช้งานอัพเดต Flash เป็นเวอร์ชันล่าสุดทันที

ผู้ใช้ IE/Edge สามารถกดอัพเดตได้จาก Windows Update (Microsoft Security Advisory) ฝั่งของกูเกิลเองก็ออก Chrome 45.0.2454.99 ที่รวม Flash Player รุ่นล่าสุดมาให้แล้วเช่นกัน คนที่ใช้ Chrome ก็กดอัพเดตกันด้วยนะครับ

ZERODIUM บริษัทรับซื้อช่องโหว่ซอฟต์แวร์ที่ก่อตั้งโดยผู้ก่อตั้ง VUPEN ประกาศรับซื้อช่องโหว่สำหรับ iOS 9 ที่เจาะผ่านเบราว์เซอร์หรือ SMS/MMS และทำให้เครื่องสามารถเข้าถึงจากระยะไกลได้โดยผู้ใช้ไม่ต้องทำอะไรมากไปกว่าการเปิดเว็บหรือข้อความ เงินค่าช่องโหว่ชุดละล้านดอลลาร์ รวมเงินไม่เกินสามล้านดอลลาร์

ช่องโหว่จะต้องเป็นชุดพร้อมใช้ สามารถฝ่าระบบป้องกัน เช่น ASLR, sandbox, หรือกระบวนการตรวจสอบการบูตได้ และช่องโหว่ต้องรองรับทั้ง iOS รุ่น 32 บิตและ 64 บิต สามารถใช้งานได้บนอุปกรณ์ ได้แก่ iPhone 6/6s, iPhone 5/5s/5c, iPad Air 2, iPad Air, iPad 3, iPad 4, iPad mini 2, iPad mini 4