ปีที่แล้วเราเห็นแอพ Gmail 5.0 for Android เพิ่มความสามารถในการอ่านเมลจาก Yahoo Mail, Outlook.com, Microsoft Exchange โดยตรง

อย่างไรก็ตาม การใช้งานเมลจาก Yahoo/Outlook ยังจำกัดเฉพาะการล็อกอินด้วยรหัสผ่านเท่านั้น ผู้ที่ใช้การล็อกอินผ่าน OAuth อย่างการล็อกอิน 2 ชั้นยังไม่สามารถใช้งานผ่าน Gmail ได้

วันนี้กูเกิลอัพเดต Gmail for Android เพื่อแก้ปัญหาข้างต้น รองรับ OAuth สำหรับอีเมลจากทั้งสองค่ายเรียบร้อยแล้ว ใครที่จำเป็นต้องใช้ฟีเจอร์นี้ก็เข้าไปอัพเดตกันได้จาก Play Store เลยครับ

คล้อยหลัง VMware ไปวันเดียว QEMU ซอฟต์แวร์สร้างเครื่องเสมือนก็มีช่องโหว่เปิดทางให้ซอฟต์แวร์มุ่งร้ายที่รันอยู่ในเครื่องเสมือนสามารถเจาะทะลุเครื่องแม่ออกมาได้

ช่องโหว่อยู่ในส่วนจำลองการ์ดเครือข่าย PCNET (QEMU สามารถจำลองการ์ดได้ 8 แบบ) ที่มีความผิดพลาดในส่วนการสำเนาข้อมูลเฟรมจากเครื่องเสมือนออกมายังเครื่องแม่ ทำให้แฮกเกอร์สามารถสร้างข้อมูลเฉพาะที่ทำให้เกิด heap overflow ความร้ายแรงที่สุดคือแฮกเกอร์เข้ายึดโปรเซส QEMU ที่รันบนเครื่องแม่ได้ทั้งหมด

VMware ออกแจ้งเตือนช่องโหว่ความปลอดภัย VMSA-2015-0004 เป็นช่องโหว่ระดับวิกฤติสองรายการ

ช่องโหว่ชุดแรกกระทบกับ VMware Workstation และ VMware Horizon Client จากการจัดการหน่วยความจำผิดพลาดทำให้โค้ดที่มุ่งร้ายในเครื่อง guest สามารถรันโค้ดในเครื่องแม่หรือโจมตีให้เครื่องแม่ทำงานต่อไม่ได้ (denial of service - DoS) ช่องโหว่ชุดนี้ค้นพบโดย Kostya Kortchinsky จาก Google Project Zero

ไมโครซอฟท์ออกแพตช์ความปลอดภัยรายเดือนประจำเดือนมิถุนายน รอบนี้มีช่องโหว่ระดับวิกฤติใน Internet Explorer และ Windows Media Player ที่มีช่องโหว่ทำให้รันโค้ดที่ส่งจากภายนอกได้

แพตช์ของ Internet Explorer นั้นเป็นแพตช์ที่รวมเอาช่องโหว่หลายๆ ตัวเข้าไว้ด้วยกัน ช่องโหว่หลายตัวมีผลกลับไปถึง IE6 ตอนนี้ไมโครซอฟท์ยังไม่พบว่ามีการเปิดเผยช่องโหว่เหล่านี้สู่สาธารณะหรือมีการใช้ช่องโหว่เหล่านี้เจาะระบบแต่อย่างใด

ฟีเจอร์เล็กๆ ของ iOS 9 ที่ไม่ได้ถูกพูดถึงบนเวทีคือ App Transport Security (ATS) ที่น่าจะเป็นจุดเริ่มต้นของการบังคับให้ผู้พัฒนาแอพทั้งหมดต้องเชื่อมต่อกลับเซิร์ฟเวอร์ด้วย HTTPS เท่านั้น โดยต้องระบุโดเมนที่ต้องการเชื่อมต่อไว้ล่วงหน้า ATS จะเปิดทำงานเป็นค่าเริ่มต้นเพื่อป้องกันไม่ให้แอพเปิดเผยข้อมูลผู้ใช้โดยไม่ตั้งใจ

เว็บไซต์กองทัพบกสหรัฐฯ www.army.mil ถูกเปลี่ยนหน้าเว็บ (deface) ไปเมื่อวานนี้ทำให้ขึ้นข้อความโจมตีกองทัพสหรัฐฯ ว่าฝึกคนเพื่อส่งไปตาย โดยกลุ่ม Syrian Electronic Army (SEA) อ้างความรับผิดชอบว่าเป็นผู้ลงมือ

เว็บกองทัพบกสหรัฐฯ ปิดตัวลงอย่างรวดเร็วและยังเข้าไม่ได้ในตอนนี้ ทาง SEA ยังแสดงภาพหน้าจอหลังบ้านของเว็บกองทัพบกที่เป็นหน้าจอของ Limelight CDN ทำให้เป็นไปได้ว่าเว็บที่ถูกแฮกจริงๆ คือ Limelight และทางบริษัทระบุว่ากำลังสอบสวนเรื่องนี้อยู่

เว็บกองทัพสหรัฐฯ เช่น stratcom.mil ปิดตัวลงไปพร้อมๆ กับเว็บกองทัพบก แม้จะไม่มีรายงานว่าถูกแฮกก็ตาม

IE11 บน Windows 10 เริ่มทดสอบรองรับมาตรฐานการเข้ารหัสเว็บตลอดเวลา HSTS มาตั้งแต่เดือนกุมภาพันธ์ ตอนนี้อัพเดตล่าสุด KB3058515 ก็อัพเดตไปยัง Windows 7 และ Windows 8.1 แล้วทำให้ IE11 บนวินโดวส์ทั้งสองรุ่นรองรับ HSTS เต็มรูปแบบ

เว็บจำนวนหนึ่งจะบังคับเอาไว้ในตัวเบราว์เซอร์ว่าต้องเข้าเว็บด้วย HTTPS เท่านั้นโดยไมโครซอฟท์ใช้รายชื่อมาจากกูเกิล และรองรับการประกาศเว็บด้วยค่าใน header ของ HTTP ด้วยฟิลด์ Strict-Transport-Security

ใครได้อัพเดตแล้วก็จะเริ่มเข้าเว็บยอดนิยมโดยไม่มี HTTP อีกต่อไป

เมื่อเดือนมีนาคมรัฐบาลโอบามาประกาศแนวทางให้เว็บของหน่วยงานรัฐบาลกลางทั้งหมดต้องเป็น HTTPS ภายในสองปีโดยนำร่างแนวทางการอัพเกรดขึ้น GitHub เพื่อให้ประชาชนส่งข้อเสนอเข้ามา ตอนนี้ร่างทั้งหมดก็ลงถึงช่วงใช้งานจริง โดย Tony Scott CIO ของรัฐบาลกลางได้ลงนามเป็นบันทึกถึงผู้บริหารของหน่วยงานภายใต้รัฐบาลกลางทั้งหมดให้เตรียมอัพเกรดไปใช้ HTTPS ภายในสิ้นปี 2016

หลักการของร่างประกาศนี้ไม่เปลี่ยนไปจากเมื่อเดือนมีนาคมนัก เว็บรัฐบาลยังคงแบ่งออกเป็นสี่ระดับ ได้แก่ เว็บสร้างใหม่ต้องเป็น HTTPS เท่านั้น, เว็บเดิมที่มีข้อมูลส่วนตัวต้องให้ความสำคัญก่อน, เว็บที่เหลือจะมีเวลาถึง 31 ธันวาคม 2016, และยกเว้นให้กับเว็บในอินทราเน็ต

ตั้งแต่ปลายปีก่อน เริ่มมีรายงานว่าพบมัลแวร์เรียกค่าไถ่(Ransomware) เพิ่มขึ้นอย่างต่อเนื่อง และมีรูปแบบใหม่ในการทำให้เหยื่อติดมัลแวร์ง่ายขึ้น จากเดิมที่มาจากอีเมล ตอนนี้ถึงกับมีคนลงทุนซื้อโฆษณาเพื่อใช้ช่องโหว่จากแฟลช และจาวาสคริปต์เพื่อติดตั้งมัลแวร์ได้สะดวกขึ้น Trend Micro ผู้เชี่ยวชาญด้านความปลอดภัยจึงออกมาแนะนำ และนำเสนอเครื่องมือสำหรับป้องกัน Ransomware โดยเฉพาะ

หนังสือพิมพ์ The Wall Street Journal และสถานีโทรทัศน์ CNN รายงานว่าหน่วยสืบสวนกลางของสหรัฐ (FBI) กำลังทำการสอบสวนเหตุการณ์การจารกรรมข้อมูลจากระบบของรัฐบาลกลางที่อาจถือว่าเป็นการจารกรรมข้อมูลครั้งใหญ่ที่สุดครั้งหนึ่ง โดยเจ้าหน้าที่ระบุว่าอาจจะมีข้อมูลส่วนบุคคลหลุดออกไปมากถึง 4 ล้านรายการ

ผู้สร้างมัลแวร์เรียกค่าไถ่ข้อมูล (ransomeware) Tox ประกาศเลิกกิจการและขอให้ผู้สนใจเสนอราคาซื้อกิจการต่อ

Tox เป็นกิจการแบบให้บริการกับผู้เผยแพร่มัลแวร์ โดยผู้เผยแพร่มัลแวร์สามารถตั้งราคาค่าไถ่ข้อมูลและหาทางทำให้เหยื่อถูกมัลแวร์เล่นงานด้วยวิธีการต่างๆ เมื่อมีเงินโอนเข้ามา ทาง Tox จะหักค่าบริการ 30%

การขายกิจการแบ่งออกเป็นสองแบบ คือ ขายเฉพาะซอฟต์แวร์แพลตฟอร์มและตัวมัลแวร์ หรือขายพร้อมกิจการ ฐานข้อมูลของผู้ที่ติดมัลแวร์เดิมและกุญแจเว็บ toxicola7qwv37qj.onion ไปด้วย เพื่อดำเนินการต่อ

ทาง Tox ประกาศว่าหากไม่มีใครรับฐานข้อมูลไปดำเนินกิจการต่อภายในหนึ่งเดือนเขาจะปล่อยกุญแจและตัวมัลแวร์จะปลดล็อกไฟล์โดยอัตโนมัติ

โครงการ ATAP ของกูเกิลกำลังพัฒนาวิธีตรวจสอบความปลอดภัยแบบใหม่ที่ใช้แทนรหัสผ่าน โดยใช้ชื่อว่า Project Abacus

จากการสาธิตการทำงานของ Project Abacus ในงาน Google I/O ที่ผ่านมา ระบบนี้จะเฝ้าสังเกตพฤติกรรมการใช้มือถือ เช่น รูปแบบการพิมพ์ และแอพพลิเคชันที่ใช้งาน แทนการใช้ระบบจดจำเสียงและระบบจดจำใบหน้า ผลลัพธ์จากพฤติกรรมการใช้งานซ้ำๆ อย่างมีรูปแบบจะสร้างฐานคะแนนความน่าเชื่อถือขึ้น เพื่อใช้ระบุตัวตนของผู้ใช้ และสามารถบอกความแตกต่างระหว่างผู้ใช้สองคนได้อย่างชัดเจน ซึ่งการประเมินทางความปลอดภัยของระบบนี้จะทำการล็อกมือถือเมื่อคนอื่นมาใช้งานเครื่องของเราได้ทันที

note: ข่าวนี้เป็นอีเมลจากทาง Paysbuy ส่งมายังคุณ Ford Antitrust ครับ

เมื่อวานนี้ (2 มิ.ย. 2558) มีการเผยแพร่ช่องโหว่ ที่อ้างว่าเป็นของเว็บแอพพลิเคชันซึ่งถูกพัฒนาและใช้กันมากในหน่วยงานรัฐ สถาบันการศึกษาและหน่วยงานอื่นๆ โดยเป็นช่องโหว่ประเภท SQL injection และกลุ่มแฮกเกอร์ชาวอินเดียเป็นผู้ประกาศช่องโหว่และวิธีการโจมตี

ช่องโหว่นี้จะเป็นการสร้างคำสั่ง SQL ไปยังพารามิเตอร์ &id_sub_menu= ในไฟล์ /core_main/module/web/blog/blog.php ซึ่งส่งผลให้ผู้โจมตีเข้าถึงข้อมูลในระบบได้โดยไม่ได้รับอนุญาต และในกรณีที่เว็บไซต์นั้นมีความปลอดภัยอยู่ในระดับต่ำ ความเสียหายของการโจมตีจะยิ่งร้ายแรงมากขึ้น จากการตรวจสอบพบว่ามีเว็บไซต์ที่มีช่องโหว่นี้อยู่ถึง 53,100 ราย ทางที่ดีที่สุดคือควรหยุดใช้งานในทันทีครับ

GitHub ประกาศกวาดล้างกุญแจ SSH ที่อ่อนแอเนื่องจากบั๊กในเดเบียนตั้งแต่ปี 2008 แม้จะผ่านไปแล้วหลายปีและโครงการลินุกซ์จำนวนมากออกสคริปต์เตือนให้ผู้ใช้สร้างกุญแจใหม่แล้ว แต่ก็ยังมีผู้ใช้จำนวนมากใช้กุญแจเหล่านี้อยู่ และยังใช้สำหรับ GitHub ทำให้เสี่ยงต่อการถูกปลอมตัวเพื่อส่งโค้ดเข้าไปโครงการสำคัญหลายโครงการ

โครงการที่ได้รับผลกระทบบางส่วน เช่น Django, gov.uk, Couchbase, Spotify, และ Python

นอกจากกุญแจอ่อนแอจากเดเบียนแล้วยังมีผู้ใช้จำนวนไม่มากใช้กุญแจ RSA ขนาด 256 บิตและ 512 บิตซึ่งถอดรหัสได้โดยง่าย

ผู้ใช้จะได้รับอีเมลว่ากุญแจ SSH ถูกยกเลิกจะต้องสร้างกุญแจใหม่ต่อไป

ส่วนประกอบที่สำคัญสำหรับ SSL นั้นมีสองส่วนหลักๆ คือ กุญแจสาธารณะ และลายเซ็นดิจิทัล ซึ่งในปัจจุบันนิยมใช้ค่าแฮชของ SHA-1 มาเข้ารหัสด้วยกุญแจ RSA จาก CA (Certificate Authority) จึงจะได้ลายเซ็นดิจิทัลออกมา

หลังจากที่ Google ประกาศนโยบายให้ SHA-1 ไม่ปลอดภัยตั้งแต่ต้นปี 2015 เป็นต้นไป

รวมถึงข่าวเก่าได้ระบุว่า SHA-1 นั้น เริ่มไม่ปลอดภัยมากขึ้นตามเทคโนโลยีที่ก้าวกระโดด

เมื่อวันที่ 29 พฤษภาคม 2015 นักวิจัยด้านความปลอดภัย Pedro Vilaca ได้โพสต์เปิดเผยช่องโหว่ของ Mac OS X ที่ปล่อยให้ผู้ไม่ประสงค์ดีสามารถเข้ามาแฟลช BIOS และฝัง rootkit ได้ผ่านการโจมตีระยะไกล

มีการค้นพบช่องโหว่ความปลอดภัยของ Mac ที่อายุเกิน 1 ปีแล้ว โดยอนุญาตให้ผู้ไม่ประสงค์ดีควบคุมเครื่องได้ แม้จะติดตั้ง OS X ใหม่หรือฟอร์แมตฮาร์ดดิสก์ก็ไม่ช่วยอะไร

Pedro Vilaca นักวิจัยความปลอดภัย พบว่าช่องโหว่นี้ทำให้ reflash ตัว BIOS และฝังโค้ดที่ไม่ประสงค์ดีเข้าไปได้ ซึ่งโค้ดนี้จะฝังอยู่ใน flash memory ไม่ใช่ฮาร์ดดิสก์ที่ใช้งาน ซึ่งหมายความว่าแม้จะลง OS X ใหม่, ฟอร์แมต หรือเปลี่ยนฮาร์ดดิสก์ก็ไม่ช่วยอะไร

หลังจากช่วงเช้าวันนี้ (2 มิถุนายน 2558) สมาชิก Writer ใน Blognone.com ซึ่งใช้นามแฝงว่า Zerothman ได้นำเสนอข่าวต่อเนื่องในหัวข้อ "บัตรเครดิตลูกค้า Paysbuy ยังถูกแฮกอย่างต่อเนื่อง, Paysbuy ยังไม่ชี้แจงใดๆ" ไปแล้ว

ในยุคที่ผู้คนใช้งานสมาร์ทโฟนกันมากขึ้น ข้อมูลส่วนตัวหลายอย่างถูกใช้ผ่านสมาร์ทโฟน โดยที่ไม่ได้คำนึงถึงการป้องกันเมื่อยามสูญหาย หรือถูกโจรกรรม ทำให้นอกจากจะเสียของแล้ว อาจเสียข้อมูลที่มีค่าต่อเนื่องไปด้วย

เพื่อให้ผู้ใช้สามารถควบคุมข้อมูลของตัวเองได้ละเอียดขึ้น Facebook ปล่อยเครื่องมือตัวใหม่สำหรับให้ผู้ใช้สามารถจัดการความเป็นส่วนตัวของบัญชีได้ทั้งหมดในชื่อ Security Checkup สำหรับตั้งค่าความเป็นส่วนตัวของ Facebook และไว้จัดการบริการที่เชื่อมโยงกับ Facebook และไม่ได้ใช้งานมาเกินเดือนได้พร้อมๆ กัน

สำหรับฟีเจอร์ใหม่นี้ Facebook ระบุว่าจะปล่อยให้กับผู้ใช้บางรายก่อน โดยจะมีการแจ้งเตือนให้เมื่อเข้าใช้งานครับ

เมื่อสัปดาห์ที่ผ่านมามัลแวร์เข้ารหัสไฟล์เรียกค่าไถ่ Locker ที่ติดอยู่ในเครื่องนับร้อยเครื่องถูกกระตุ้นให้ตื่นขึ้นมาเข้ารหัสไฟล์สำคัญในเครื่องทั้งหมด พร้อมกับเรียกค่าไถ่ 0.1BTC หรือประมาณ 24 ดอลลาร์

มัลแวร์ Locker ฝังอยู่ในเครื่องมากับไฟล์ติดตั้ง MineCraft ที่ถูกฝังมัลแวร์เอาไว้แล้วรอเวลาอยู่ในเครื่องนานนับเดือนก่อนจะกระตุ้นทุกเครื่องที่ติดมัลแวร์เปิดการทำงานขึ้นมาพร้อมๆ กัน

อัพเดต: Paysbuy ชี้แจงอย่างไม่เป็นทางการเกี่ยวกับกรณีถูกแฮกข้อมูล

จากข่าวเก่าที่ Paysbuy งดรับบริการผูกบัตรเครดิต หลังมีผู้ร้องเรียนว่าถูกแฮก โดยผู้เสียหายทั้งหมดเป็นลูกค้า Paysbuy ที่ผูกบัตรเครดิตของตนเองไว้กับบริการ E-Wallet ของทาง Paysbuy และบัตรส่วนมากถูกนำไปใช้กับร้านค้าออนไลน์ต่างๆ ในต่างประเทศ

เฟซบุ๊กประกาศรองรับการส่งอีเมลถึงผู้ใช้แบบเข้ารหัสทั้งหมดตามฟอร์แมต PGP ทำให้อีเมลจากเฟซบุ๊กไม่สามารถอ่านโดยผู้ให้บริการหรือคนร้ายที่ดักฟังระหว่างเซิร์ฟเวอร์ได้อีกต่อไป

ในงาน Google I/O 2015 วันที่ 2 ซึ่งจัดขึ้นเมื่อวันศุกร์ที่ผ่านมา Google ได้เปิดตัวคอมพิวเตอร์ขนาดเล็กพิเศษในชื่อ Project Vault โดยเจ้าเครื่องคอมพิวเตอร์ที่ว่านี้มีขนาดและรูปร่างเหมือนการ์ด microSD

ผลงาน Project Vault ถูกออกแบบโดยทีม ATAP (Advanced Technology and Projects) ของ Google ในทางเทคนิคแล้วมันก็คือคอมพิวเตอร์เครื่องนึง แต่ออกแบบมาเพื่อใช้งานลักษณะเฉพาะสำหรับการติดต่อสื่อสารที่ต้องการความมั่นคงปลอดภัยสูงและใช้วิธีการยืนยันตัวตนที่ไม่ใช่รหัสผ่าน

สำนักข่าวบีบีซีของอังกฤษ เปิดเผยบทสัมภาษณ์พิเศษของศาสตราจารย์ Kim Heung-Kwang ซึ่งเคยสอนด้านวิทยาการคอมพิวเตอร์ (computer science) ที่มหาวิทยาลัย Hamheung Computer Technology University ของเกาหลีเหนือ ก่อนที่จะหลบหนีออกนอกประเทศเมื่อปี 2004 โดยระบุว่าศักยภาพของหน่วยงานโจมตีทางไซเบอร์ของเกาหลีเหนือนั้น อาจรุนแรงถึงขั้นฆ่าคนหรือทำลายเมืองทั้งเมืองได้ไม่ยากนัก (แนะนำให้อ่านฉบับเต็มจากที่มา)