Alex Stamos หัวหน้าฝ่ายความปลอดภัย (Chief Security Officer) ของ Facebook ออกมาแสดงความเห็นในประเด็นรูรั่วของ Flash โดยเขาเสนอว่า Adobe ควรมีระบบตั้งเวลาหมดอายุของ Flash ทุกเวอร์ชัน และเมื่อหมดอายุแล้วก็ขอให้เบราว์เซอร์ปิดการทำงานของ Flash อัตโนมัติ

Stamos บอกว่าไม่จำเป็นที่ Flash จะต้องหมดอายุทันทีเมื่อเจอช่องโหว่ แต่อยากให้ Adobe มีนโยบายชัดเจน เช่น หมดอายุ 18 เดือนหลังออกเวอร์ชัน ซึ่งจะช่วยให้กระบวนการอัพเดต Flash ของคนทั้งโลกทำได้ง่ายขึ้น

ประเด็นเรื่องช่องโหว่ Flash Player ที่ค้นพบจากเอกสาร Hacking Team สรุปว่าพบช่องโหว่ 3 ตัว ซึ่ง Adobe อุดแล้วหนึ่ง แต่ เหลืออีก 2 ที่ยังไม่มีแพตช์ (นับถึงเวลาที่เขียนข่าว)

ช่องว่างการอุดแพตช์ zero-day แบบนี้ถือเป็นโอกาสอันดีให้เหล่าแฮ็กเกอร์ใช้โจมตี จากสถิติของบริษัทความปลอดภัย F-Secure ก็พบว่าบรรดาชุดโปรแกรมหารูรั่ว (exploit kit) ยอดนิยมทั้งหลายต่างก็รวมช่องโหว่ของ Flash ชุดนี้เข้ามาเรียบร้อยแล้ว

Trend Micro ออกมาประกาศช่องโหว่ใหม่ของ Java 8 ที่ยังไม่มีแพตช์แก้ไข ซึ่งถือเป็นช่องโหว่แบบ zero-day ตัวแรกในรอบ 2 ปีของ Java ด้วย

การค้นพบช่องโหว่ Java ครั้งนี้ไม่เกี่ยวอะไรกับเอกสารของ Hacking Team ที่เผยช่องโหว่ Flash แต่เกิดจากการจับตาปฏิบัติการเจาะระบบชื่อ Operation Pawn Storm ที่เริ่มมาตั้งแต่เดือนเมษายน 2015 และมุ่งเป้าเจาะระบบของหน่วยงานด้านความมั่นคงของสหรัฐอย่างทำเนียบขาว-นาโต้

ทีมเฝ้าระวังของ Trend Micro ตรวจพบว่า URL ที่ฝ่ายแฮ็กเกอร์ Pawn Storm เคยใช้งานมีการเปลี่ยนแปลงเนื้อหาของเว็บเพจในภายหลัง และเนื้อหาในเพจเหล่านี้เตรียมไว้สำหรับเจาะระบบผ่านช่องโหว่ของ Java ที่ยังไม่เคยถูกเปิดเผยมาก่อน

อีเมลของ Hacking Team ที่เปิดเผยออกมาแสดงให้เห็นถึงปฎิบัติการครั้งสำคัญหลายครั้ง ครั้งหนึ่งคือการเข้าช่วยเหลือหน่วยปฎิบัติการพิเศษของอิตาลี (Raggruppamento Operativo Speciale - ROS) ที่เป็นลูกค้าของ Hacking Team อยู่แล้ว

สัปดาห์ที่ผ่านมา Adobe ออกแพตช์เพื่ออุดช่องโหว่จาก Hacking Team ไปแล้วหนึ่งช่องโหว่ ตอนนี้ @w3bd3vil และ @dummys1337 ก็ออกมาระบุว่าช่องโหว่ยังถูกแก้ไม่หมด

ตอนนี้ยังไม่มีรายละเอียดของช่องโหว่นี้ แต่ภาพแสดงว่าช่องโหว่ยังคงทำงานได้บน Flash รุ่น 18.0.0.203 ที่ Adobe เพิ่งปล่อยออกมาเมื่อสัปดาห์ที่ผ่านมา

ระหว่างนี้ถ้าใครกังวลเรื่องความปลอดภัย คงต้องปิด Flash กันไปก่อนครับ

เอกสารของ Hacking Team ที่หลุดออกมานอกจากจะมีซอร์สโค้ดจำนวนมากแล้ว ยังมีเอกสารการซื้อขายช่องโหว่ ตอนนี้ทาง ArsTechnica ก็รวบรวมกระบวนการซื้อขายช่องโหว่จากอีเมลของ Hacking Team พบการซื้อขายช่องโหว่ครั้งหนึ่งเมื่อปี 2013

ทีมงาน Hacking Team ได้รับการติดต่อ Vitaliy Toropov (OSVDB) เสนอขายช่องโหว่ 6 ช่องโหว่ของ Flash, Silverlight, Java, Windows, OS X, และ Safari ช่องโหว่ทั้งหมดเป็นช่องโหว่คุณภาพสูง สามารถข้ามการป้องกันเช่น ASLR และ DEP โดยไม่ต้องใช้เทคนิคที่คาดเดาได้ยากอย่าง ROP หรือ heap spray (อ่านเพิ่มเติม Exploit DB)

OpenSSL รายงานช่องโหว่การตรวจสอบใบรับรองที่ไม่ถูกต้อง แต่กลับตรวจสอบว่าใช้งานได้ ความผิดพลาดสำคัญคือการที่ใบรับรองปกติที่ไม่มีสิทธิไปรับรองใบรับรองอื่นอีก เช่น ใบรับรองเว็บไซต์ทั่วไป กลับสามารถไปรับรองใบรับรองอื่นได้ แล้ว OpenSSL ยังคงเชื่อตามการรับรองนั้น

BlackBerry ได้จดทะเบียนโดเมน AndroidSecured.com และ AndroidSecured.net ซึ่งเมื่อเปิดเข้าไปจะพบกับหน้าเว็บไซต์ที่มีข้อมูลความร่วมมือระหว่าง BlackBerry และ Google เพื่อตลาดองค์กร

ข้อมูลการร่วมมือกันบนเว็บไซต์นี้คล้ายเป็นการยืนยันว่าจะมีอุปกรณ์ BlackBerry ที่รัน Android Lollipop ออกมาอย่างแน่นอน จากข้อความ “Bring Android to work” และทั้งคู่กำลังทำงานร่วมกันอย่างใกล้ชิดเพื่อสร้างมาตรฐานความปลอดภัยใหม่บนอุปกรณ์พกพาที่รัน Android สำหรับลูกค้าองค์กร อีกทั้งผู้บริหารของ BlackBerry ไม่ได้มีท่าทีคัดค้านหากมีการทำอุปกรณ์ที่รัน Android แทน BlackBerry OS เนื่องจากจุดขายของ BlackBerry ไม่ได้อยู่ที่ฮาร์ดแวร์ แต่อยู่ที่ซอฟต์แวร์ระบบความปลอดภัย

ข่าวช่องโหว่ Adobe Flash ของ Hacking Team ออกมาไม่กี่ชั่วโมง ตอนนี้ก็ร้อนไปถึง Adobe ต้องรีบออกมารายงานช่องโหว่นี้ โดยระบุว่าทาง Adobe รับรู้แล้ว และกำลังจะปล่อยแพตช์ออกมาภายในวันพรุ่งนี้ (ตามเวลาสหรัฐฯ)

ช่องโหว่นี้รายงานเข้าไปยังทาง Adobe โดย Project Zero และ Morgan Marquis-Boire จากเดิมที่ก่อนหน้านี้ Firefox เคยประกาศว่าจะให้รางวัลการรายงานช่องโหว่กับผู้ที่รายงานช่องโหว่คนแรก รายงานของ Adobe ทำให้เรารู้ว่าทาง Project Zero กำลังไล่ขุดช่องโหว่ออกมารายงานไปยังผู้ผลิตกันอยู่เช่นกัน

Project Zero ของกูเกิลรายงานช่องโหว่ในส่วนการรับไฟล์รับรองการเข้ารหัสของ Chrome หากไฟล์ใบรับรองมีขนาดใหญ่มากเกิน 4GB จะเปิดช่องให้แฮกเกอร์สามารถส่งโค้ดมารันเบราว์เซอร์ได้

ความผิดพลาดนี้เกิดขึ้นเนื่องจากโค้ดส่วนที่อ่านค่าความยาวของไฟล์ใช้ตัวแปรชนิด size_t แต่เมื่อต้องนำข้อมูลไฟล์ใบรับรองมาต่อกันออปเจกต์ IOBuffer กลับรองรับความยาวเป็นตัวแปรชนิด int ทำให้ไฟล์ใบรับรองทะลุพื้นที่ของ heap ออกไปได้

ส่วนรองรับใบรับรองการเข้ารหัสนี้อยู่นอก sandbox ของ Chrome จึงมีความร้ายแรงแม้แฮกเกอร์จะต้องล่อให้เบราว์เซอร์โหลดไฟล์ x509 ขนาดใหญ่

ผลกระทบจากกรณี Hacking Team ถูกแฮก ยังตามมาอย่างต่อเนื่อง หลังข้อมูลช่องโหว่ของระบบปฏิบัติการถูกเผยแพร่ออกมาส่วนหนึ่ง ก็มีข้อมูลชุดใหม่ตามมาอีก

บริษัทความปลอดภัย Trend Micro ขุดข้อมูลของ Hacking Team แล้วพบช่องโหว่ของ Flash Player สองตัว ตัวหนึ่งถูกแพตช์แก้ไปแล้ว ส่วนตัวที่ค้นพบใหม่ยังไม่มีแพตช์แก้ใดๆ แถมการทดสอบกับ Flash เวอร์ชันล่าสุดก็ยังใช้งานช่องโหว่นี้ได้อยู่

เอกสารภายในของ Hacking Team ระบุว่าช่องโหว่ตัวนี้เป็น "บั๊กที่สวยงามที่สุด" ของ Flash ในรอบ 4 ปีที่ผ่านมา โดยทีมงานสามารถใช้ช่องโหว่นี้ควบคุมและสั่งงาน Windows ได้จากระยะไกล (โค้ดตัวอย่างใช้เรียก Calculator ได้)

ข้อมูลจาก Hacking Team หลุดออกมาจำนวนมาก ตอนนี้หลายคนก็เริ่มขุดหาว่าฟีเจอร์ของ Hacking Team นั้นสามารถเจาะเข้าแพลตฟอร์มใดได้บ้าง ปรากฎว่ารายการสินค้าและราคานั้นบอกข้อจำกัดไว้ทั้งหมด

จากรายการสินค้า แพลตฟอร์มต่างๆ จะมีฟีเจอร์ต่างกันไป

ไม่กี่ชั่วโมงหลังจากแฮกเกอร์นิรนามยึดทวิตเตอร์ของ Hacking Team แล้วโพสลิงก์ไปยังข้อมูลจำนวนมาก ตอนนี้ก็มีคนแกะเอาซอร์สโค้ดออกมาอัพโหลดขึ้น GitHub แล้ว

โค้ดที่อัพโหลดแสดงช่องโหว่ของระบบปฎิบัติการต่างๆ จำนวนมาก กระบวนการแฮกแยกตามระบบปฎิบัติการ, รุ่นที่ใช้ เช่นแอนดรอยด์จะแยกที่ก่อน 4.1 กับหลัง 4.2 เพราะ SELinux โค้ดหลายส่วนแยกตามรุ่นโทรศัพท์มือถือ

บริษัท Hacking Team ผู้ผลิตซอฟต์แวร์อาศัยช่องโหว่เพื่อขายกับหน่วยงานรัฐบาลทั่วโลกกลับถูกแฮกทวิตเตอร์ในวันนี้พร้อมกับข้อความระบุว่า "เราไม่มีอะไรต้องปิดบัง และเราจะเปิดเผยอีเมล, เอกสาร, และซอร์สโค้ดของเราทั้งหมด"

เอกสารที่ปล่อยออกมามีขนาดถึง 500GB ระบุถึงรายได้, รายชื่อลูกค้า, รวมไปถึงรหัสผ่านเซิร์ฟเวอร์ทั่วโลก หนึ่งในรายชื่อลูกค้ามีหน่วยงานไทยหนึ่งหน่วยงาน โดยระบุว่าซ่อมบำรุงไปครั้งสุดท้ายเมื่อช่วงกลางปีที่แล้ว และไลเซนส์ซอฟต์แวร์ได้หมดอายุไปแล้ว สำหรับประเทศอื่นๆ ในอาเซียนก็อยู่ในรายชื่อ เช่น มาเลเซียมีสามหน่วยงาน นอกจากนี้ยังมี เกาหลีใต้, สหรัฐฯ, รัสเซีย อยู่ในรายชื่อลูกค้า

Peiter Zatko นักวิจัยด้านความปลอดภัยระบบคอมพิวเตอร์ หนึ่งในบุคลากรสำคัญของทีม Google ATAP ตัดสินใจลาออกจากงานปัจจุบัน เพื่อตั้ง CyberUL หน่วยงานสนับสนุนมาตรฐานกลางด้านความปลอดภัยของซอฟต์แวร์

เมื่อ 4 ชั่วโมงที่ผ่านมานับตั้งแต่ข่าวนี้เริ่มเขียน กลุ่มแฮกเกอร์ซึ่งใช้ชื่อว่า GhostShell ได้มีการเผยแพร่ข้อมูลการโจมตีโดยมีเป้าหมายส่วนหนึ่งเป็นเว็บไซต์สถาบันการศึกษาและบริษัทห้างร้านในไทย โดยในข้อมูลที่เผยแพร่ออกมานั้นได้มีการบอกถึงช่องโหว่ที่ใช้ในการโจมตี และข้อมูลบางส่วนที่ถูกขโมยมาจากฐานข้อมูลด้วย

ในตอนนี้ถือได้ว่าเว็บไซต์เหล่านี้ได้ถูกโจมตีแล้วและไม่สามารถทราบความเสียหายได้อย่างแน่ชัดจนกว่าจะมีการตรวจสอบ ขอความร่วมมือผู้ดูแลระบบและผู้ที่เกี่ยวข้องทุกคนช่วยตรวจสอบ แก้ไขเบื้องต้นและป้องกันโดยด่วนที่สุด รายชื่อเว็บไซต์ที่ถูกแฮกทั้งหมดมีอยู่ในส่วนท้ายของข่าวครับ

ผู้อ่าน Blognone คงคุ้นเคยกับข่าวการโจมตีระบบคอมพิวเตอร์ด้วยเทคนิคด้านซอฟต์แวร์สารพัดรูปแบบ แต่ล่าสุดในสหรัฐอเมริกา เกิดการโจมตีรูปแบบใหม่ที่มุ่งไปตัดสายเคเบิลเพื่อให้อินเทอร์เน็ตใช้งานไม่ได้

การสืบสวนของ FBI พบว่ามีการทำลายสายเคเบิลเชื่อมต่อเน็ตในพื้นที่ Bay Area อย่างน้อย 11 ครั้งในรอบ 1 ปีที่ผ่านมา (รอบล่าสุดเมื่อวันอังคารนี้เอง) รูปแบบการโจมตีคือมีคนบุกเข้าไปยังอุโมงค์ใต้ดิน และตัดสายไฟเบอร์ออปติก 3 เส้นของบริษัท Level 3 และ Zayo

อเมซอนเปิดตัวไลบรารี TLS ของตัวเองในชื่อ s2n โดยเน้นความเล็กและเร็ว จุดเด่นสำคัญที่สุดคือโค้ดที่สั้นกว่า OpenSSL อย่างมาก โดยโค้ดในส่วน TLS นั้น s2n มีโค้ด 6,000 บรรทัด เทียบกับ OpenSSL ที่มีโค้ด 70,000 บรรทัด

Medium บริการเว็บบล็อคที่สามารถคอมเมนต์ได้แยกรายย่อหน้าเพิ่มวิธีการล็อกอินแบบใหม่ผ่านอีเมลเท่านั้น หลังจากก่อนหน้านี้รองรับการล็อกอินผ่านทวิตเตอร์และเฟซบุ๊กไปก่อนแล้ว

เรื่องน่าแปลกใจของ Medium คือแม้จะสร้างบัญชีด้วยอีเมลได้ แต่กระบวนการล็อกอินจะบังคับให้ใช้ลิงก์ล็อกอินเสมอ ไม่สามารถตั้งรหัสผ่านได้ ทาง Medium ระบุว่าการตั้งรหัสให้ดีนั้นยาก และคนจำนวนมากเลือกจะใช้รหัสผ่านซ้ำกันไปมา

แนวทางนี้เปิดให้สำหรับผู้ที่สร้างบัญชีด้วยทวิตเตอร์หรือเฟซบุ๊กด้วยเช่นกัน

Medium บล็อกแพลตฟอร์มออนไลน์ประกาศเพิ่มทางเลือกในการล็อกอินแบบใหม่ โดยไม่ต้องใช้รหัสผ่าน ไม่ต้องเชื่อมต่อบัญชีเครือข่ายสังคมอื่น เพียงแค่คลิกลิงก์จากอีเมลเท่านั้น

แม้ว่าก่อนหน้านี้บริษัทได้อนุญาตให้ผู้ใช้สามารถใช้บัญชีของ Twitter หรือ Facebook เชื่อมต่อเครือข่ายในการล็อกอิน แต่หลังจากได้รับ Feedback จากผู้ใช้หลายคนว่า พวกเขาต้องการที่จะเข้า Medium โดยที่ไม่ต้องเชื่อมต่อกับบัญชีอื่น หรือในบางกรณีที่ผู้ใช้ไม่มีบัญชี Twitter หรือ Facebook ก็ไม่ต้องการสร้างเพียงเพื่อเอามาใช้เข้า Medium

วันนี้ผมพบปัญหาการเข้าไปอ่านกระทู้ใน pantip.com หากเข้าชมด้วย Chrome และเป็นกระทู้ที่มีลิงก์ภายนอกหรือลิงก์ไปยังกระทู้อื่น หากคลิกลิงก์ดังกล่าว (ซึ่งพันทิปจะ redirect ไปยัง http://pantip.com/l/<url> ก่อน แล้วถึงจะเปิดลิงก์ดังกล่าวอีกทีหนึ่ง) Chrome จะเตือนทันทีว่า http://pantip.com/l/ ไม่ปลอดภัย

ยังไม่พบปัญหานี้หากเข้าใช้งานด้วยเบราว์เซอร์อื่น

Update- ขณะนี้พันทิปได้ทำการแก้ไขปัญหาดังกล่าวแล้ว ด้วยการ redirect ไปยังเว็บปลายทางโดยตรง โดยไม่ผ่าน http://pantip.com/l/

ที่มา - ค้นพบด้วยตัวเอง

Cisco ประกาศเข้าซื้อบริษัท OpenDNS ที่เรารู้จักกันดีในฐานะผู้ให้บริการ DNS Server ฟรี แต่จริงๆ แล้ว OpenDNS ทำธุรกิจด้านความปลอดภัยบนกลุ่มเมฆ โดยป้องกันการโจมตีจาก DDoS, มัลแวร์ และบ็อตเน็ตต่างๆ

Cisco ระบุว่าซื้อ OpenDNS เพื่อมาเสริมโครงการ Security Everywhere ของตนเอง และเตรียมความพร้อมสำหรับโลกในยุค IoT (Cisco เรียก IoE) ในอนาคตอันใกล้นี้ มูลค่าการซื้อกิจการรอบนี้ 635 ล้านดอลลาร์

OpenDNS เองก็ออกมาเผยสถิติว่าปกป้องผู้ใช้เน็ตมากกว่า 65 ล้านคนทั่วโลก มีลูกค้าเกิน 10,000 องค์กร ส่วนบริการ OpenDNS แบบฟรีจะยังคงให้บริการเหมือนเดิมไม่เปลี่ยนแปลง

ด้วยความที่อุบัติเหตุบนท้องถนนเกิดจากความผิดพลาดของผู้ขับขี่เป็นหลัก จึงมีความพยายามใช้เทคโนโลยีต่างๆ ที่น่าจะผิดพลาดน้อยกว่ามาช่วยเพื่อแก้ปัญหา อย่างเช่นรถไร้คนขับ

ระบบสื่อสารระหว่างรถยนต์ (vehicle-to-vehicle communication) ก็เป็นอีกหนึ่งช่องทางที่ถูกคาดว่าจะช่วยแก้ปัญหาดังกล่าว ซึ่งหน่วยงานด้านความปลอดภัยทางจราจรบนถนนหลวงแห่งชาติของสหรัฐอเมริกา (the National Highway Traffic Safety Administration - NHTSA) ได้พยายามผลักดันร่างกฎหมายนี้ แต่ก็มีอีกปัญหาที่ตามมา คือความปลอดภัยของข้อมูลที่ส่งกันไปมาระหว่างรถยนต์ ซึ่งหากถูกเจาะอาจนำไปสู่การก่อการร้ายได้ด้วยซ้ำไป

หลังการเปิดเผยเอกสารของ Snowden มาตรฐานความปลอดภัยส่วนหนึ่งที่ถูกโจมตีอย่างหนักคือ Dual_EC_DRBG ที่เอกสารของ NSA ระบุว่าทาง NSA เป็นผู้วางมาตรฐานนี้เองทั้งหมด เมื่อมีการค้นคว้าเพิ่มเติมพบว่ามาตรฐานนี้ได้เข้ามาในคำแนะนำของ NIST อย่างน่าสงสัยเพราะประสิทธิภาพแย่และมีความเป็นไปได้ที่จะวางช่องโหว่เอาไว้ เมื่อปีที่แล้วทาง NIST พยายามรักษาหน้าด้วยการออกร่างคำแนะนำใหม่ที่ถอด Dual_EC_DRBG ออกไปจากมาตรฐาน และตอนนี้ร่างคำแนะนำก็กลายเป็นเอกสารทางการแล้ว

จากกรณี โน้ตบุ๊กของซัมซุงสุ่มปิด Windows Update โดยไม่แจ้งผู้ใช้ ล่าสุดทางซัมซุงออกมาแถลงว่าจะปิดระบบตัวนี้ และกลับไปตั้งค่า Windows Update แบบปกติแล้ว

ซัมซุงบอกว่าจะออกแพตช์ผ่าน Samsung Software Update ในอีกไม่กี่วันข้างหน้า ซึ่งจะทำให้ค่าของ Windows Update กลับมาเป็นการติดตั้งอัพเดตอัตโนมัติดังเดิม

ที่มา - VentureBeat