หน้าจอเตือนการเข้ารหัส TLS/SSL ผิดพลาดของ Chrome เปลี่ยนมาตั้งแต่ Chrome 37 โดยเปลี่ยนข้อความเป็น "Your connection is not private" หรือ "การเชื่อมต่อของคุณไม่เป็นส่วนตัว" จากเดิมที่ข้อความเตือนการเชื่อมต่อผิดพลาดมักเป็นข้อความทางเทคนิคระบุความผิดพลาด เช่น ใบรับรองเป็นแบบรับรองตัวเอง
จีนออกกฎหมายความมั่นคงไซเบอร์ฉบับใหม่ แสดงความพยายามเข้าควบคุมคอมพิวเตอร์ทั้งระบบที่ใช้งานในอุตสาหกรรมการเงินของจีนโดยระบุว่าต้องส่งซอร์สโค้ดของซอฟต์แวร์และเฟิร์มแวร์ให้รัฐบาลจีนตรวจสอบจึงสามารถใช้งานได้ และคอมพิวเตอร์เหล่านี้จำเป็นต้องใช้กระบวนการเข้ารหัสที่ได้รับอนุมัติโดยรัฐบาลเท่านั้น
รัฐบาลจีนระบุชัดในกฎมายว่าต้องการเข้าถึงข้อมูลทั้งหมดในคอมพิวเตอร์ที่ขายให้กับภาคการเงิน โดยจำเป็นต้องมีพอร์ตพิเศษเพื่อเข้าจัดการและมอนิเตอร์การทำงานได้ เป้าหมายของรัฐบาลจีนตามกฎหมายนี้ คือ การเข้าควบคุมซอฟต์แวร์ 75% ที่ให้บริการในภาคการเงินของจีนภายในปี 2019
จากข่าวกูเกิลเผยช่องโหว่ OS X แอปเปิลแก้แล้วแต่ยังไม่ปล่อยอัพเดต วันนี้แอปเปิลออก OS X Yosemite 10.10.2 ที่แก้ช่องโหว่ตัวนี้ (รวมถึงช่องโหว่และบั๊กอื่นๆ) มาแล้ว รายการแก้ไขคือ
บริษัท Qualys รายงานบั๊กในไลบรารี glibc ให้ชื่อช่องโหว่ว่า GHOST (CVE-2015-0235) มีความร้ายแรงระดับสูงมาก กระทบลินุกซ์ตั้งแต่ปี 2000 และสามารถยิงช่องโหว่นี้ได้จากระยะไกล บั๊กนี้แก้ไขไปแล้วตั้งแต่สองปีก่อน แต่ไม่ได้ระบุว่าเป็นบั๊กความปลอดภัยร้ายแรงเนื่องจากยังไม่มีรายงานว่าสามารถอาศัยบั๊กนี้โจมตีเครื่องเซิร์ฟเวอร์ได้
หลังการเปิดเผยเอกสารของ Edward Snowden ข้อมูลส่วนใหญ่จะเป็นข้อมูลของหน่วยงานข่าวกรองอย่าง NSA, GCHQ, และ DSD แต่อีกหน่วยงานที่ได้รับผลกระทบอย่างหนักคือ NIST ที่เป็นหน่วยงานมาตรฐานอุตสาหกรรม แต่มีงานสำคัญคือการออกมาตรฐานการเข้ารหัสสำหรับหน่วยงานรัฐ ซึ่งมักได้รับความไว้วางใจและนำมาตรฐานเดียวกันไปใช้งานในภาคเอกชนโดยทั่วไป แต่มาตรฐาน Dual_EC_DRBG กลับถูกผลักดันโดย NSA เป็นหลักแม้จะมีปัญหาทางเทคนิคหลายประการ เมื่อปีที่แล้ว NIST ร่างเอกสารแนวทางการออกมาตรฐานเสียใหม่เพื่อเรียกความเชื่อมั่นกลับมา และตอนนี้ร่างนี้ก็มาถึงร่างที่สอง
หลังจากมีข่าวบัญชีพร้อมรหัสผ่านของเกม Minecraft หลุดออกมากว่า 1,800 ชุดจนผู้ใช้เกิดความตระหนกขึ้นนั้น ขณะนี้ทาง Mojang ผู้พัฒนาและให้บริการเกม Minecraft ออกมาชี้แจงข้อมูลเพิ่มเติมแล้วครับ
Mojang ยืนยันว่าระบบของ Minecraft นั้นไม่ได้ถูกเจาะ ไม่มีใครสามารถเข้าถึงเมนเฟรมของ Mojang ได้ (ยกเว้นคนใน) และต่อให้มีคนเข้าถึงได้ ทาง Mojang ก็เก็บรหัสผ่านของผู้ใช้ไว้ในรูปแบบที่เข้ารหัสไว้อย่างดี (ต้นทางใช้คำว่า super encrypted format) จึงไม่จำเป็นต้องตระหนกต่อเหตุการณ์นี้
จากกรณี Google บอกจะไม่แก้ไขช่องโหว่ WebView ใน Android เวอร์ชัน 4.3 หรือต่ำกว่า สร้างเสียงวิจารณ์อย่างมากว่าจะทำให้ผู้ใช้ Android จำนวนมากตกอยู่ใต้ความเสี่ยง
Adrian Ludwig วิศวกรของกูเกิลออกมาชี้แจงประเด็นนี้ผ่าน Google+ ดังนี้
แนวทางการบล็อคเว็บอย่างต่อเนื่องของรัฐบาลจีนไม่ใช่เรื่องแปลกนัก แต่เมื่อวานนี้ผู้ให้บริการ VPN เริ่มถูกบล็อคบางส่วนจากจีนไปพร้อมๆ กัน โดยตอนนี้สามโปรโตคอลสำคัญ ได้แก่ IPSec, L2TP/IPSec, และ PPTP เริ่มถูกบล็อคอย่างรวดเร็ว
ผู้ให้บริการหลายรายระบุว่าน่าจะมีการอัพเกรด The Great Firewall ของจีนในช่วงสิ้นปีที่ผ่านมา ทำให้ตรวจจับการเชื่อมต่อ VPN และแบนไอพีเหล่านี้ได้มีประสิทธิภาพมากขึ้น
จากกรณีปัญหาไมโครซอฟท์ไม่พอใจกูเกิลเผยช่องโหว่ Windows เมื่อถึงกำหนด 90 วัน คราวนี้กูเกิลเผยช่องโหว่ของระบบปฏิบัติการ OS X ในลักษณะเดียวกันแล้ว
โครงการความปลอดภัย Project Zero ของกูเกิลเผยช่องโหว่ OS X จำนวน 3 จุด โดยกูเกิลรายงานข้อมูลของช่องโหว่เหล่านี้ไปยังแอปเปิลตั้งแต่เดือนตุลาคม และเปิดเผยข้อมูลต่อสาธารณะเมื่อครบ 90 วันตามเงื่อนไข
ฝั่งแอปเปิลแก้ไขช่องโหว่นี้แล้วใน OS X Yosemite 10.10.2 ที่ยังมีสถานะเป็นรุ่นเบต้า ทำให้ผู้ใช้ OS X ตอนนี้มีความเสี่ยงที่จะถูกโจมตี (แม้ช่องโหว่ชุดนี้จะไม่ร้ายแรงนัก) จนกว่าแอปเปิลจะอัพเดต OS X 10.10.2 รุ่นจริงครับ
ในวันนี้ทาง Starwood ส่งอีเมลให้กับลูกค้าที่มีบัญชี Starwood Preferred Guest (SPG) โดยระบุว่าในช่วงสัปดาห์ที่ผ่านมา ทาง Starwood พบการเข้าถึงระบบโดยไม่ได้รับอนุญาตโดยอาจจะส่งผลกระทบต่อผู้ใช้จำนวนน้อย (low number of SPG accounts) โดยคาดว่าเป็นช่องโหว่ที่เกิดจากบริษัทอื่นแล้วนำรหัสผ่านมาใช้กับบัญชีของ SPG ทาง Starwood จึงแนะนำให้ผู้ใช้ SPG ทุกคนเปลี่ยนรหัสผ่านโดยทันที และรหัสผ่านใหม่ควรเป็นรหัสผ่านที่ไม่ซ้ำกับบริการอื่นๆ
ข้อความจากอีเมลต้นฉบับสามารถดูได้หลังเบรกครับ
CHANGE YOUR PASSWORD TODAY TO HELP PROTECT YOUR INFORMATION.
Baidu ผู้ให้บริการเสิร์ชเอนจินรายใหญ่จากประเทศจีน และมีซอฟต์แวร์ในเครือจำนวนมากได้ประกาศว่า Baidu Antivirus ได้รับประกาศนียบัตรรับรองมาตรฐาน ISO/IEC 27001 เป็นที่เรียบร้อย
ISO/IEC 27001 เป็นมาตรฐานความปลอดภัยระดับโลก ออกโดย BSI Group จากความเป็นเลิศในการบริหารจัดการความปลอดภัยของข้อมูล
Minecraft เกมเก่าแก่ที่ครองอันดับ 5 ของเกมขายดีในสหรัฐอเมริกาประจำปี 2014 ที่ถูก Microsoft ซื้อทีมพัฒนาไปปลายปีที่ผ่านมางานเข้าเสียแล้ว เมื่อมีคนโพสต์บัญชีและรหัสผ่านของเกมกว่า 1,800 ชุดบน Pastebin โดยในขณะนี้ยังไม่มีรายงานว่าบัญชีและรหัสผ่านดังกล่าวได้มาด้วยวิธีใด โดยอาจได้มาจากการโจมตีด้วยการฟิชชิง, มัลแวร์ หรือคีย์ล็อกเกอร์ก็ได้ แต่ในกรณีที่แย่ที่สุดคือเซิร์ฟเวอร์ของผู้ให้บริการถูกโจมตีโดยตรง ซึ่งจะทำให้ข้อมูลของผู้
บริษัทผู้พัฒนาซอฟต์แวร์จัดการรหัสผ่าน SplashData เปิดเผยรหัสผ่านยอดนิยมประจำปี 2014 โดยอาศัยข้อมูลจากรหัสผ่านที่หลุดออกมาจำนวน 3.3 ล้านรหัสในช่วงปีที่ผ่านมา
สำหรับรหัสผ่านยอดนิยมอันดับหนึ่งในปีนี้ยังเหมือนเดิมคือ "123456" ตามมาด้วย "password" ในอันดับที่สอง
SplashData ยังให้ข้อมูลเพิ่มเติมว่าเว็บไซต์ปัจจุบันมักบังคับให้ใช้รหัสผ่านที่ผสมทั้งตัวเลขและตัวอักษร จึงมีผู้ใช้หลายคนตั้งรหัสผ่านด้วยลำดับตำแหน่งบนคีย์บอร์ด ซึ่งก็ควรหลีกเลี่ยงเช่นกันอย่าง "1qaz2wsx"
รหัสผ่านยอดนิยม 25 อันดับแรกดูได้ท้ายข่าวครับ
ที่มา: SplashData
XDA Developers เผยว่ามือถือ Micromax บางรุ่นมากับตัวอัพเดตเฟิร์มแวร์ OTA ที่ไม่ใช่ดีฟอลต์ของ Android แต่เป็นแอพที่ถูกพัฒนาโดยบริษัทสัญชาติจีนชื่อ Adups แทน โดยที่ผู้ใช้ไม่สามารถถอนการติดตั้งแอพที่ว่านี้ได้
จากการศึกษาของ XDA Developers พบว่า ตัวอัพเดตนี้ติดตั้งเฟิร์มแวร์ด้วยคำสั่ง command line ดังนั้นจึงไม่มีการแจ้งเตือนผู้ใช้ และด้วยคำสั่งแบบนี้จึงเป็นไปได้ที่ Micromax จะสามารถแอบติดตั้งแอพบนมือถือโดยที่ผู้ใช้ไม่รู้ตัว
หลังจากที่ไม่กี่วันก่อน Google ได้เปิดเผยข้อมูลช่องโหว่ของ Windows 8.1 ตามกำหนดเงื่อนไขที่ตั้งไว้ว่าถ้าครบ 90 วันแล้วยังไม่มีแพตช์มาแก้ ล่าสุดเมื่อวันที่ 15 มกราคม ทาง Google ได้ปล่อยข้อมูลอีกช่องโหว่หนึ่งของ Windows 7 และ Windows 8.1 ออกมาเนื่องจากครบเงื่อนไขเวลา 90 วันแล้วอีกเช่นกัน
Arnaud Coustilliere หัวหน้าฝ่ายป้องกันตนเองทางไซเบอร์ของกองทัพฝรั่งเศสได้ออกมารายงานว่านับแต่เหตุการณ์ก่อการร้ายยิงผู้คนที่สำนักงานของ Charlie Hebdo เมื่อวันที่ 7 มกราคมเป็นต้นมา มีการโจมตีเว็บไซต์ในฝรั่งเศสกว่า 19,000 แห่ง
การโจมตีดังกล่าวใช้วิธี DDoS โดยเป้าหมายมีตั้งแต่เว็บไซต์หน่วยงานของกองทัพไปจนถึงเว็บไซต์ของร้านพิซซ่า โดยถึงตอนนี้พบว่าการโจมตีมาจากผู้ลงมือหลายกลุ่ม โดยบางส่วนเป็นกลุ่มแฮคเกอร์ชาวมุสลิมที่กองทัพฝรั่งเศสรู้จักดีอยู่แล้ว
Coustilliere กล่าวว่าแม้การโจมตีเหล่านี้จะไม่รุนแรง และยังไม่พบรายงานความเสียหายจากการโจมตีเหล่านี้ แต่จำนวนของการโจมตีนั้นสูงจนน่าตกใจ โดยกล่าวว่าฝรั่งเศสกำลังเผชิญกับคลื่นการโจมตีทางไซเบอร์ที่มากอย่างที่ไม่เคยเจอมาก่อน
ประเด็นอื้อฉาวของมาตรฐานกระบวนการสร้างเลขสุ่ม Dual_EC_DRBG ที่พัฒนาโดย NSA เป็นหลักและมีช่องโหว่หากเลือกค่าคงที่ในมาตรฐานอย่างจงใจจะสามารถทำนายค่าสุ่มได้จากการสังเกตค่าสุ่มที่เพียงช่วงสั้นๆ ที่ผ่านมา NSA เงียบกับเรื่องนี้มาโดยตลอด ตอนนี้ Michael Wertheimer ผู้อำนวยการฝ่ายวิจัยของ NSA ก็ออกมาเขียนบทความถึงบทบาทของ NSA ในการออกมาตรฐานการเข้ารหัส
บริการ Peerio บริการที่เน้นความปลอดภัยด้วยการเข้ารหัสแบบ end-to-end เปิดตัวแบบเบต้าให้คนทั่วไปสมัครใช้งานได้แล้วในวันนี้
ตัวบริการ Peerio เองจะเป็นลูกผสมระหว่างแชตและอีเมลโดยข้อความที่ส่งไปมามีหัวข้อและเนื้อหาแบบเดียวกับอีเมล ขณะเดียวกันก็สามารถส่งข้อความบรรทัดเดียวแบบแชตไปเลยได้ และที่สำคัญคือสามารถแนบไฟล์ไปได้สูงสุดถึง 400 เมกะไบต์
หนึ่งในกลุ่มผู้สร้าง Peerio คือ Nadim Kobeissi ผู้สร้าง Cryptocat และ miniLock ก่อนหน้านี้ Cryptocat เคยมีบั๊กทำให้สามารถถอดรหัสการแชตแบบกลุ่มได้ รอบนี้ Peerio จ้างบริษัทความปลอดภัย Cure53 มาตรวจสอบโค้ดเพื่อหาช่องโหว่ก่อนเปิดตัวเพื่อไม่ให้พลาดซ้ำสอง
ต่อจากกรณีปัญหา กูเกิลเผยช่องโหว่ความปลอดภัยที่ไมโครซอฟท์ยังไม่แพตช์แก้ วันนี้ไมโครซอฟท์ออกแพตช์เรียบร้อยแล้ว โดยรวมเป็นชุดแพตช์ประจำเดือนมกราคม 2015 ตามธรรมเนียมของไมโครซอฟท์ที่จะออกแพตช์เดือนละครั้ง
แพตช์ชุดนี้แก้ช่องโหว่รวมทั้งหมด 8 ตัว โดยมีช่องโหว่ที่กูเกิลเปิดเผยสองตัวคือ MS15-001 และ MS15-003 ที่ไมโครซอฟท์จัดความร้ายแรงเป็น Important ทั้งคู่ (ยังไม่ถึงขั้น Critical)
ในแพตช์ชุดนี้ยังมี MS15-002 ที่อุดช่องโหว่ร้ายแรง (Critical) โดยเป็นบั๊กเกี่ยวกับ Telnet บนวินโดวส์ด้วย
แอดมินทั้งหลายก็อัพเดตกันด่วนครับ
บริษัท Rapid7 ผู้พัฒนา Metasploit ได้เขียนบล็อกแจ้งเตือนผู้ใช้งานระบบปฏิบัติการ Android เวอร์ชัน 4.3 หรือต่ำกว่า ให้ระมัดระวังในการใช้งานแอปพลิเคชันที่มีการเรียกใช้คอมโพเนนต์ WebView เนื่องจากมีช่องโหว่ด้านความมั่นคงปลอดภัยหลายจุดและ Google บอกจะไม่แก้ไขช่องโหว่เหล่านี้แล้ว
เมื่อวันที่ 11 มกราคมที่ผ่านมา Google ได้เปิดเผยช่องโหว่ของ Windows 8.1 ซึ่งช่องโหว่นี้มีผลให้ผู้ใช้ทั่วไปสามารถยกระดับสิทธิ์ตัวเองขึ้นมาเป็นผู้ดูแลระบบได้ ทาง Microsoft ได้ออกมาแสดงความไม่พอใจต่อการกระทำดังกล่าว โดยบอกว่าเป็นการสร้างความไม่ปลอดภัยให้กับผู้ใช้ ทั้งที่ Microsoft จะปล่อยแพตช์มาแก้ปัญหาดังกล่าวในวันที่ 13 มกราคมที่จะถึงนี้อยู่แล้ว
Seth Schoen จาก EFF บรรยายรายละเอียดของโครงการ Let's Encrypt ที่งาน 31C3 เตรียมให้บริการเดือนมิถุนายนนี้
โครงการ Let's Encrypt ตั้งใจจะทำให้กระบวนการเข้ารหัสเว็บกลายเป็นกระบวนการอัตโนมัติทั้งหมด โดยผู้ใช้สามารถติดตั้งแพ็กเกจ lets-encrypt
แล้วสั่งรันเพื่อขอใบรับรองและเริ่มเข้ารหัสได้ทันที
ที่งาน 31C3 นักวิจัย Lior Oppenheim และ Shahar Tal นำเสนองานวิจัยช่องโหว่ของเว็บเซิร์ฟเวอร์ RomPager 4.07 ที่วางตลาดมาตั้งแต่ปี 2002 ทำให้แฮกเกอร์สามารถข้ามระบบล็อกอินของเราเตอร์จำนวนมาก
ทีมงานสแกน HTTP บนพอร์ต 7547 ที่ใช้ในมาตรฐาน TR-069 และพบว่ามีไอพีถึง 1.18% หรือมากกว่า 46 ล้านไอพี ที่ฟัง HTTP บนพอร์ตนี้ และเว็บเซิร์ฟเวอร์ที่ให้บริการบนพอร์ตนี้ถึง 52% เป็นเซิร์ฟเวอร์ RomPager เกือบทั้งหมดเป็นรุ่น 4.07 (98.04%)
ทีมงานหาช่องโหว่ของ RomPager 4.07 และพบว่ามีช่องโหว่มากมาย ระบบ cookie ของ RomPager 4.07 เป็นเพียงค่าอาเรย์ง่ายๆ ทำให้ง่ายต่อการเจาะระบบอย่างมาก ทีมงานสาธิตกระบวนการข้ามการล็อกอินหน้าจอแอดมินด้วยส่วนขยายของ Chrome เพียงตัวเดียว
Gogo ผู้ให้บริการอินเทอร์เน็ตบนเครื่องบินเริ่มปล่อยใบรับรองสำหรับโดเมน *.google.com ปลอมให้ลูกค้าโดยระบุว่าต้องปลอมใบรับรองนี้เพื่อ "บังคับใช้นโยบาย" โดยไม่ได้ตั้งใจจะละเมิดความเป็นส่วนตัวของผู้ใช้แต่อย่างใด
ทาง Gogo ออกแถลงการณ์ระบุว่าจำเป็นต้องใช้กระบวนการนี้เพื่อจะจำกัดการใช้งานและการสตรีมวิดีโอ โดยซื้อระบบจัดการที่มีขายสำเร็จรูปในตลาด และบังคับใช้แนวทางนี้กับเว็บวิดีโอที่เข้ารหัสบางส่วนเท่านั้น โดยไม่ได้เข้าดักฟังเว็บอื่นๆ ที่เข้ารหัสแต่อย่างใด
หลังอินเทลซื้อแอพจัดการรหัสผ่าน PasswordBox ได้ไม่นาน ในที่สุดอินเทลก็เปิดตัวบริการใหม่ True Key ที่รวมเอาเทคโนโลยีของ PasswordBox กับ Intel Security ไว้ด้วยกัน
แนวคิดของ True Key คือเก็บรหัสผ่านของบริการทุกตัวไว้ที่แอพเดียวเหมือน PasswordBox แต่แทนที่จะใช้รหัสผ่านหลัก (master password) คอยคุ้มครองคลังรหัสผ่านเพียงอย่างเดียว ก็เปลี่ยนมาใช้วิธีการอื่นๆ เช่น การแยกแยะใบหน้า หรือการใช้อุปกรณ์อื่นๆ ช่วยยืนยันตัวตนอีกชั้นหนึ่ง