โอบามาประกาศคำสั่งทางบริหาร (Executive Order) สั่งให้หน่วยงานรัฐบาลกลางสร้างศูนย์แลกเปลี่ยนข้อมูล (clearing house) แลกเปลี่ยนข้อมูลการโจมตีทางไซเบอร์ โดยเอกชนจะสามารถเข้าร่วมในศูนย์นี้ได้โดยสมัครใจ

เอกชนที่เข้าร่วมจะสามารถรับข้อมูลเตือนภัย หรือส่งข้อมูลเตือนภัยเข้ามาด้วยก็ได้ อย่างไรก็ดีเจ้าหน้าที่รัฐและเอกชนตามคำสั่งนี้ยังคงมีความรับผิดชอบต่อความเป็นส่วนตัวของผู้ใช้ที่ข้อมูลอาจจะถูกแชร์กันไปมาในศูนย์นี้

หลังจากโครงการค้นหาช่องโหว่ความปลอดภัย Project Zero ของกูเกิลสร้างความปั่นป่วนให้วงการซอฟต์แวร์ โดยเปิดเผยช่องโหว่ของ Windows และ OS X ตามกำหนด 90 วัน โดยไม่สนใจว่าไมโครซอฟท์และแอปเปิลกำลังทดสอบแพตช์แก้ไข

ล่าสุดทางทีม Project Zero ยอมปรับเงื่อนไข 90 วันให้ยืดหยุ่นขึ้นแล้ว โดยยังคงระยะเวลา 90 วันเท่าเดิม แต่เพิ่มเงื่อนไขอื่นๆ ดังนี้

ไมโครซอฟท์เผยว่า Windows 10 จะรองรับมาตรฐานการล็อกอินที่ไม่ใช้รหัสผ่าน (passwordless authentication) FIDO 2.0 ที่บริษัทมีส่วนร่วมในการร่างมาตรฐาน โดยโซลูชันของบริษัทคือการผนวกการล็อกอินบน Windows 10, Azure Active Directory และบริการ SaaS ชื่อดัง อาทิ Office 365 Exchange Online, Salesforce, Citrix, Box และ Concur

แอปเปิลเริ่มรองรับการยืนยันตัวตนด้วยรหัสผ่านเฉพาะแอพพลิเคชั่น (app-specific password) บนสองบริการใหม่ คือ FaceTime และ iMessage แล้ว

ผู้ใช้ที่เปิดการยืนยันตัวตนสองปัจจัย (2-factor authentication) จะมีป๊อบอัพเตือนให้สร้างรหัสผ่าน แต่ต้องสร้างจากหน้าจอเดสก์ทอป เพื่อนำไปล็อกอินบนโทรศัพท์อีกครั้ง

ตอนนี้แอปเปิลยังรองรับการยืนยันตัวตนแบบนี้ไม่ครบทุกแอพพลิเคชั่น บริการสำคัญ เช่น iTunes และ App Store ยังคงสามารถใช้รหัสผ่านธรรมดาล็อกอินได้ต่อไป

ประธานาธิบดีบารัค โอบามา เคยได้รับการสนับสนุนอย่างท้วมท้นจากบริษัทไฮเทคในซิลิคอนวัลเลย์ แต่งานประชุมด้านความมั่นคงไซเบอร์ที่รัฐบาลจัดขึ้นที่มหาวิทยาลัยสแตนฟอร์ดในวันนี้ (โอบามาบินมาพูดเอง รัฐมนตรีเข้าร่วมเพียบ และเชิญแขกสำคัญรับประทานอาหารเที่ยงร่วมกัน) กลับไม่มีผู้นำโลกไอทีหลายคนเข้าร่วม

ตามรายงานข่าวบอกว่าบรรดาซีอีโอชื่อดัง Mark Zuckerberg, Marissa Mayer, Larry Page, Eric Schmidt ได้รับเชิญให้มางานนี้ แต่คนกลุ่มนี้ปฏิเสธไม่เข้าร่วมงานโดยตรง โดยส่งตัวแทนเป็นผู้บริหารฝ่ายความปลอดภัยของข้อมูลไปร่วมงานแทน

Pwn2Own การแข่งขันแฮกเบราว์เซอร์รายการสำคัญโดย ZDI ของเอชพีที่ผู้ผลิตร่วมเข้าเป็นสปอนเซอร์มากมายปีนี้ประกาศกติกาการแข่งขันแล้ว รวมรางวัลทุกรายการมากกว่า 500,000 ดอลลาร์

เป้าหมายการแฮกในการแข่งขันรอบนี้ ได้แก่

เฟซบุ๊กประกาศบริการ ThreatExchange ระบบแลกเปลี่ยนภัยออนไลน์โดยเฉพาะการแพร่กระจายมัลแวร์และเว็บฟิชชิ่ง โดยจะเปิด API ให้สมาชิกเข้ามาแชร์ภัยออนไลน์ให้กับสมาชิกรายอื่นๆ เป็นมาตรฐาน

ThreatExchange จะเปิดให้ผู้รายงานสามารถกำหนดได้ว่าสมาชิกคนใดจะได้รับรายงาน เพราะบางครั้งรายงานมีข้อมูลสำคัญอยู่ด้วย และการแชร์ข้อมูลเป็นวงกว้างอาจจะเป็นผลเสีย

ฐานข้อมูลเริ่มต้นจะมาจากจากเฟซบุ๊กเองที่มีระบบ ThreatData อยู่ก่อนแล้ว และบริษัทที่ประกาศร่วมมือกันได้แก่ Bitly, Dropbox, Tumblr, เฟซบุ๊ก, ทวิตเตอร์, และยาฮู

วันนี้มีรายงานว่าเว็บสำนักข่าว กรมประชาสัมพันธ์ถูกแฮกโดยกลุ่ม Indonesian Cyber Crash โดยหน้าเว็บปกติและข่าวทั่วไปยังคงอ่านได้ตามปกติ แต่ปรากฎหน้าใหม่ขึ้นมาแสดงข้อความของแฮกเกอร์ระบุชื่อ INDONESIAN CYBER CRASH Mr.xSaputra_AttackeR

ท้ายข้อความยังมีวิดีโอ "Sleeping With Sirens covers "Iris" by The Goo Goo Dolls" แนบท้าย

ที่มา - Facebook: 2600 Thailand

Google เสนอให้ผู้ใช้บริการของ Google ทำรายการตรวจสอบความปลอดภัยเกี่ยวกับบัญชีใช้งานของตนเอง โดยมีข้อแลกเปลี่ยนเป็นพื้นที่เก็บข้อมูลบน Google Drive เพิ่มให้คนละ 2GB (เฉพาะคนที่ทำรายการภายในวันที่ 17 กุมภาพันธ์นี้เท่านั้น)

ผู้ใช้เพียงเข้าไปทำรายการตรวจสอบที่นี่ ซึ่งเป็นการตรวจสอบทั้งข้อมูลสำหรับการกู้บัญชีผู้ใช้ในยามฉุกเฉิน, บันทึกการเข้าระบบของบัญชีผู้ใช้ในระยะหลัง, การให้สิทธิ์แก่แอพและอุปกรณ์ต่างๆ ในการเข้าถึงข้อมูล รวมทั้งการตั้งค่าการเข้าระบบด้วยวิธียืนยันตัวตน 2 ขั้นตอน (อย่างหลังสุดนี้หากไม่ต้องการใช้งานก็ปล่อยว่างไว้ได้)

โปรแกรมเมอร์ที่มีประสบการณ์สักหน่อยคงเข้าใจได้ไม่ยากว่าซอฟต์แวร์ที่ไม่มีบั๊กนั้นแทบไม่มีจริงอยู่ในโลก หนังสือ Code Complete ของ Steve McConnell ระบุว่าโดยทั่วไปแล้วโค้ดทุกๆ 1000 บรรทัด (KLOC: kilo lines of code) จะมีข้อผิดพลาดประมาณ 15-50 จุด ซอฟต์แวร์ที่คุณภาพสูงมากๆ อาจจะมีกระบวนการตรวจสอบที่รัดกุม อาจจะทำให้คุณภาพซอฟต์แวร์ดีขึ้น จุดผิดพลาดต่ำลงต่ำ แต่ซอฟต์แวร์สมัยใหม่ที่มีความซับซ้อนสูง พึ่งพิงกับไลบรารีภายนอกจำนวนมาก แทบเป็นไปไม่ได้ที่จะอ้างว่าซอฟต์แวร์เหล่านี้ไม่มีความผิดพลาดอยู่เลย ในบางกรณีอาจมีผู้อ้างว่าทำได้เช่นในโครงการอวกาศบางโครงการ แต่ซอฟต์แวร์เหล่านั้นมักเป็นงานเฉพาะทาง ไม่ต้องรองรับฮาร์ดแวร์ที่หลากหมายและมาตรฐานการเชื่อมต่

ที่งาน MHCon 2015 เมื่อวานนี้นอกจากมีการบรรยายจากวิทยากรแล้วพ.อ.ชาติชาย ชัยเกษม ผู้อำนวยการกองสงครามเครือข่าย (บ้านเรามีหน่วย Cyberwarfare แล้ว) ประกาศว่ากำลังรับสมัครพลเรือนเข้าไปทำงานด้านความปลอดภัยคอมพิวเตอร์ทั้งหมด 7 ตำแหน่ง

ตำแหน่งที่เปิดมีตั้งแต่ penetration testing officer, digital forensics officer, และ cyber security auditing officer คงครอบคลุมงานด้านความปลอดภัยคอมพิวเตอร์ส่วนใหญ่ แต่จำนวนตำแหน่งไม่มากนัก หากใครสนใจทำงานด้านความปลอดภัยคอมพิวเตอร์ในหน่วยราชการคงเป็นโอกาสที่ดีครับ

ยังไม่เปิดรับสมัคร โดยจะเปิดรับจริงวันที่ 15 กุมภาพันธ์นี้ไปจนถึงวันที่ 1 มีนาคม ทางเว็บกรมยุทธการทหาร

GPG หรือ Gnu Privacy Guard เริ่มพัฒนามาตั้งแต่ปี 1997 และออกรุ่น 1.0 ในปี 1999 โดย Werner Koch นักพัฒนาหลักมาตลอดโดยตั้งบริษัท g10^code ขึ้นมาเพื่อรับเงินและตัว Werner เองก็ออกมาทำงานเต็มเวลาในบริษัทนี้ แต่ปรากฎว่าบริษัทนี้อยู่ในสภาพย่ำแย่มาโดยตลอด ฐานะทางการเงินติดลบ ช่วงสองปีหลังเหลือ Werner เป็นนักพัฒนาเต็มเวลาเพียงคนเดียว จนกระทั่งคิดว่าจะเลิกทำโครงการนี้เต็มเวลาแล้วไปทำงานบริษัทในช่วงปี 2013

แต่หลังจาก Edward Snowden เปิดเผยข้อมูลจำนวนมากโดยอาศัย GPG เป็นส่วนสำคัญในการสื่อสาร Werner ก็ตัดสินใจเดินหน้าพัฒนาต่อ และพยายามระดมทุนเพื่อให้มีนักพัฒนาเพิ่มเติม โดยตั้งเป้าระดมทุน 137,000 ดอลลาร์ แต่ก็ยังไม่ได้ตามที่หวัง

วันก่อนมีรายงานถึงบั๊ก CVE-2015-313 ของ Adobe Flash ตอนนี้ทาง Adobe ก็ปล่อยแพตช์ออกมาแล้ว และยังแก้บั๊กอื่นๆ อีกนับสิบตัว รวมถึงบั๊กจาก Project Zero ของกูเกิลและบั๊กที่ได้รับจากโครงการให้รางวัลบั๊ก Chromium

ทางฝั่งกูเกิลระบุว่าบั๊กทั้งหมดของ Project Zero ทาง Adobe สามารถแก้ไขได้ภายใน 90 วันตามกำหนดของโครงการ

ที่มา - Adobe, Chris Evans

Venefi และ DigiCert บริษัทให้บริการรับรองตัวตน (Certification Authority - CA) ประกาศเข้าร่วมกับโครงการ Certificate Transparency ที่ก่อตั้งโดยกูเกิล ที่ชักชวนให้ CA ทั้งหลายเปิดเผยข้อมูลการออกใบรับรองสู่สาธารณะ

ทาง DigiCert ระบุว่าจะเปิดเผยเฉพาะใบรับรองระดับ EV (Extended Validation ที่มีชื่อบริษัทอยู่ในช่อง URL) แต่ไม่รวมถึงใบรับรองทั่วไป ส่วน Venafi ไม่ได้ระบุว่าจะเปิดเผยข้อมูลมากแค่ไหน

โซนี่แถลงผลประกอบการไปเมื่อวันพุธที่ผ่านมา ข้อมูลอีกอย่างหนึ่งที่อยู่ในรายงานคือการแฮกข้อมูลครั้งใหญ่ของ Sony Pictures นอกจากจะทำให้บริษัทเสียหายครั้งใหญ่ รายได้ลดลง 23% และกำไรแทบไม่เหลือแล้วยังต้องจ่ายค่าสอบสวนและฟื้นฟูระบบที่เสียหายไปอีก 15 ล้านดอลลาร์ในไตรมาสที่ผ่านมา

ระหว่างนี้การสอบสวนยังไม่จบ โซนี่คาดว่าจะต้องจ่ายเพิ่มอีก 20 ล้านดอลลาร์ รวมเป็นค่าใช้จ่าย 35 ล้านดอลลาร์ ทางโซนี่ไม่ตอบคำถามว่าหลังจากนี้จะมีค่าใช้จ่ายเพิ่มเติมหรือไม่

Trend Micro รายงานถึงมัลแวร์ XAgent มัลแวร์ที่เจาะจงเป้าหมายในกลุ่มการทหาร, รัฐบาล, อุตสาหกรรมที่เกี่ยวกับความมั่นคง, และสื่อ ทาง Trend Micro เชื่อว่าเป็นปฎิบัติการต่อเนื่องมาจากปีที่แล้ว ที่ Trend Micro เรียกชื่อว่า Pawn Storm ที่พบเมื่อปีที่แล้ว

XAgent มีสองรุ่น คือ แอพพลิเคชั่นที่ชื่อว่า XAgent และเวอร์ชั่นปลอมตัวเป็นเกม MadCap กระบวนการติดมัลแวร์นี้ยังไม่แน่ชัดนัก แต่อุปกรณ์ที่ติดไม่จำเป็นต้องเจลเบรกแต่อย่างใด แต่บน iOS 8 นั้นการติดตั้งจะไม่สมบูรณ์ ตัวมัลแวร์ไม่สามารถทำงานได้อัตโนมัติ และไอคอนที่ซ่อนไว้ก็แสดงออกมา

หมายเหตุ บทความนี้ไม่เกี่ยวกับข่าว "กระทรวงไอซีทีพยายามตรวจสอบและปิดกั้นเว็บเข้ารหัส ทดสอบที่เกตเวย์" แต่อย่างใด

เว็บและบริการคอมพิวเตอร์ยุคใหม่ส่วนมากมักเข้ารหัสอย่างแน่นหนาขึ้นเรื่อยๆ ในช่วงเวลาไม่กี่ปีที่ผ่านมา กระบวนการเข้ารหัสเหล่านี้คุ้มครองความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ได้เป็นอย่างดี แต่แน่นอน หากวันดีคืนดีเราเป็นเจ้าของบ้านที่ควบคุมเกตเวย์อินเทอร์เน็ต "ที่บ้าน" ได้โดยไม่มีการตรวจสอบ ไม่มีการถ่วงดุล สามารถทำอะไรได้ตามใจชอบ เราอาจจะเริ่มสงสัยว่าจริงๆ แล้วเราอยากส่องข้อความที่ทุกคนส่งเข้าออกจากบ้านของเราแม้จะเข้ารหัสได้หรือไม่

บริษัทความปลอดภัย Avast รายงานพฤติกรรมของเกมไพ่ Durak บน Google Play ที่มีคนดาวน์โหลดไปแล้ว 5-10 ล้านครั้ง (ตามสถิติของกูเกิล)

เกมนี้ฉากหน้าเป็นเกมไพ่ธรรมดา เล่นได้ปกติ แต่เมื่อลงเกมผ่านไปหลายๆ วัน (เช่น 7 วัน) แล้วบูตเครื่องใหม่จะพบข้อความแจ้งเตือนว่าเครื่องเราโดนแฮ็ก ติดไวรัส หรือไม่อัพเดต (ข้อความแตกต่างกันออกไปแบบสุ่ม) ข้อความเหล่านี้เป็นข้อความหลอกให้เรากดอัพเดต ซึ่งจะพาเราไปยังเว็บเพจที่หลอกให้ดาวน์โหลดแอพหรือสมัคร SMS แบบเสียเงินราคาแพงอีกชั้นหนึ่ง

Avast พบพฤติกรรมแบบนี้กับแอพหลายตัวบน Google Play นอกจาก Durak แล้วยังมีแอพชื่อ IQ Test และ History (แต่ Durak มีคนดาวน์โหลดมากที่สุด)

Symantec รายงานช่องโหว่ใหม่ของ Flash Player (รหัส CVE-2015-0313) และพบการโจมตีผ่านช่องโหว่นี้แล้ว ช่องโหว่นี้มีใน Flash Player ทุกรุ่น รวมถึงรุ่นล่าสุด 16.0.0.296 ที่เพิ่งออกมาไม่กี่วันก่อน

Adobe รับทราบปัญหานี้แล้ว และบอกว่าจะรีบออกแพตช์ภายในสัปดาห์นี้ นั่นแปลว่าผู้ใช้ Flash Player มีความเสี่ยง วิธีป้องกันตัวชั่วคราวคือปิดการทำงานของ Flash Player ไปก่อนจนกว่าจะมีแพตช์ครับ

จากข้อมูลของ Symantec บอกว่าแฮ็กเกอร์เริ่มรันแคมเปญโฆษณาให้ดาวน์โหลดไฟล์มัลแวร์ เพื่อโจมตีคอมพิวเตอร์ผ่านช่องโหว่นี้ ผลกระทบคือทำให้เครื่องแครชและอาจถูกแฮ็กเกอร์ควบคุมเครื่องได้จากระยะไกล

วงการรถยนต์ยุคสมาร์ทคาร์ ย่อมมีปัญหาเรื่องช่องโหว่ความปลอดภัย ล่าสุด BMW ประกาศออกแพตช์ความปลอดภัยให้รถยนต์ยี่ห้อ BMW, Mini, Rolls Royce ในเครือของตัวเองรวม 2.2 ล้านคัน

ซอฟต์แวร์ที่พบปัญหาคือ ConnectedDrive รุ่นที่รองรับซิมการ์ดเพื่อสั่งงานรถยนต์จากระยะไกล ซอฟต์แวร์ตัวนี้สามารถควบคุมการล็อคประตูรถ เปิดปิดแอร์ และดึงข้อมูลจราจร แต่ไม่สามารถเข้าถึงระบบขับเคลื่อนรถยนต์ได้ ส่วนช่องโหว่ที่อาจถูกแฮ็กเกอร์เจาะแล้วสั่งการรถยนต์ได้ (เช่น ล็อคประตูรถไม่ให้เจ้าของใช้งาน)

กูเกิลประกาศผลงานของโครงการ Vulnerability Reward Program (VRP) ที่ให้เงินรางวัลกับนักวิจัยที่หาช่องโหว่ในแอพพลิเคชั่นหรือบริการของกูเกิล โดยปีที่แล้วกูเกิลจ่ายเงินไปมากกว่า 1,500,000 ดอลลาร์ รวมนักวิจัยที่ได้เงินรางวัลมากกว่า 200 คน

เฉพาะบั๊กความปลอดภัยของ Chrome ที่พบในโครงการ VRP มีมากกว่า 500 บั๊ก และครึ่งหนึ่งพบจากเวอร์ชั่น beta หรือ dev ทำให้กูเกิลสามารถแก้บั๊กความปลอดภัยก่อนที่จะกระทบคนส่วนใหญ่

หน้าจอเตือนการเข้ารหัส TLS/SSL ผิดพลาดของ Chrome เปลี่ยนมาตั้งแต่ Chrome 37 โดยเปลี่ยนข้อความเป็น "Your connection is not private" หรือ "การเชื่อมต่อของคุณไม่เป็นส่วนตัว" จากเดิมที่ข้อความเตือนการเชื่อมต่อผิดพลาดมักเป็นข้อความทางเทคนิคระบุความผิดพลาด เช่น ใบรับรองเป็นแบบรับรองตัวเอง

จีนออกกฎหมายความมั่นคงไซเบอร์ฉบับใหม่ แสดงความพยายามเข้าควบคุมคอมพิวเตอร์ทั้งระบบที่ใช้งานในอุตสาหกรรมการเงินของจีนโดยระบุว่าต้องส่งซอร์สโค้ดของซอฟต์แวร์และเฟิร์มแวร์ให้รัฐบาลจีนตรวจสอบจึงสามารถใช้งานได้ และคอมพิวเตอร์เหล่านี้จำเป็นต้องใช้กระบวนการเข้ารหัสที่ได้รับอนุมัติโดยรัฐบาลเท่านั้น

รัฐบาลจีนระบุชัดในกฎมายว่าต้องการเข้าถึงข้อมูลทั้งหมดในคอมพิวเตอร์ที่ขายให้กับภาคการเงิน โดยจำเป็นต้องมีพอร์ตพิเศษเพื่อเข้าจัดการและมอนิเตอร์การทำงานได้ เป้าหมายของรัฐบาลจีนตามกฎหมายนี้ คือ การเข้าควบคุมซอฟต์แวร์ 75% ที่ให้บริการในภาคการเงินของจีนภายในปี 2019

จากข่าวกูเกิลเผยช่องโหว่ OS X แอปเปิลแก้แล้วแต่ยังไม่ปล่อยอัพเดต วันนี้แอปเปิลออก OS X Yosemite 10.10.2 ที่แก้ช่องโหว่ตัวนี้ (รวมถึงช่องโหว่และบั๊กอื่นๆ) มาแล้ว รายการแก้ไขคือ

บริษัท Qualys รายงานบั๊กในไลบรารี glibc ให้ชื่อช่องโหว่ว่า GHOST (CVE-2015-0235) มีความร้ายแรงระดับสูงมาก กระทบลินุกซ์ตั้งแต่ปี 2000 และสามารถยิงช่องโหว่นี้ได้จากระยะไกล บั๊กนี้แก้ไขไปแล้วตั้งแต่สองปีก่อน แต่ไม่ได้ระบุว่าเป็นบั๊กความปลอดภัยร้ายแรงเนื่องจากยังไม่มีรายงานว่าสามารถอาศัยบั๊กนี้โจมตีเครื่องเซิร์ฟเวอร์ได้