แม้ว่า Chrome จะพยายามเพิ่มฟีเจอร์ความปลอดภัยที่ซับซ้อนขึ้นเรื่อยๆ เช่น sandbox แต่ช่องโหว่สำคัญคือหากผู้ใช้ลงซอฟต์แวร์ภายนอกที่เข้ามาเปลี่ยนค่าต่างๆ ใน Chrome เสียเองแล้วกระบวนการป้องกันก็แทบหมดความหมาย ทางแก้ของเรื่องนี้คือทำเหมือนแท็บเล็ตและโทรศัพท์มือถือที่เราสามารถตั้งค่ากลับไปค่าเริ่มต้นของโรงงานได้ และติดตั้งทุกอย่างใหม่อีกครั้ง ตอนนี้การล้างค่าแบบเดียวกันนี้ก็มีใน Chrome แล้ว

ปุ่ม "Reset browser settings" จะอยู่ในหน้า "Advanced Settings" ให้ผู้ใช้กดปุ่มเพื่อล้างทุกอย่างเหมือนลงเบราว์เซอร์ใหม่

ผู้ให้บริการอีเมลแบบมีความเป็นส่วนตัวสูง Silent Circle และ Lavabit (หยุดให้บริการไปแล้วเนื่องจากถูกกดดันให้เปิดเผยกุญแจเข้ารหัส) ประกาศสร้างพันธมิตรสำหรับพัฒนาอีเมลรูปแบบใหม่ จุดสำคัญคือมันต้องออกแบบให้ปลอดภัยอย่างสมบูรณ์ และทั้งสองบริษัทจะตั้งเป็นพันธมิตรเพื่อดึงสบริษัทอื่นๆ เข้ามาร่วมในภายหลัง ใช้ชื่อว่า Dark Mail Alliance

จดหมายข่าวเปิดตัวระบุว่าอีเมลทุกวันนี้เราใช้งานกันอยู่บนโปรโตคอลที่ไม่ปลอดภัยนัก ถ้าไม่ได้มีการเข้ารหัสอะไรเลย (เรียกว่า Email 1.0) ก็เข้ารหัสแค่บางส่วนและปล่อยให้ metadata หลุดออกไป (Email 2.0) พันธมิตรนี้จะสร้างมาตรฐานอีเมลใหม่ที่เข้ารหัสจากปลายทางถึงปลายทาง ทำให้ไม่มีข้อมูลอะไรหลุดไประหว่างทางอีก เรียกว่า Email 3.0

แฮ็กเกอร์ king cope ซึ่งรู้จักกันดีว่าเป็นนักปล่อยช่องโหว่ประเภท 0-day สู่สาธารณะตัวยงได้ออกมาเปิดเผยช่องโหว่ระดับร้ายแรงของ PHP 5.x ที่รันบน Apache ซึ่งอาจส่งผลให้แฮ็กเกอร์ที่ใช้ช่องโหว่นี้สามารถรันคำสั่งอันตรายไปยังเป้าหมายจากระยะไกลได้

จากกรณี Adobe ถูกแฮก ผู้ใช้บางส่วนและซอร์สโค้ดของโปรแกรมถูกขโมย เมื่อต้นเดือนนี้ ตอนแรก Adobe ระบุว่าน่าจะกระทบกับผู้ใช้ประมาณ 2.9 ล้านบัญชี แต่ข้อมูลใหม่ล่าสุดหลังการตรวจสอบอย่างละเอียดแล้ว พบว่าอาจกระทบกับผู้ใช้มากถึง 38 ล้านบัญชีเลยทีเดียว

ล่าสุดมีรายงานว่าไฟล์บัญชีและรหัสผ่านของผู้ใช้ (ที่เข้ารหัสแบบ hash) ถูกปล่อยออกมาบนอินเทอร์เน็ตแล้ว ไฟล์นี้มีขนาด 3.8GB และมีข้อมูลผู้ใช้กว่า 150 ล้านบัญชี แต่ก็ยังไม่ชัดเจนว่าเป็นไฟล์จริงหรือไม่ และเป็นบัญชีที่ถูกใช้งาน (active) มากน้อยแค่ไหน

ส่วนทาง Adobe เองก็แถลงว่าติดต่อผู้ใช้ทุกคนที่ได้รับผลกระทบให้รีเซ็ตรหัสผ่านแล้วทั้งหมด และขอให้ผู้ใช้เข้ามารีเซ็ตรหัสผ่านกันโดยด่วน

เมื่อช่วงวันหยุดที่ผ่านมา Buffer บริการจัดการโซเชียลเน็ตเวิร์คแบบหลายแพลตฟอร์มเพิ่งถูกแฮก และมีบัญชีผู้ใช้บางส่วนถูกนำไปโพสต์ข้อความสแปม และตอนนี้ Joel Gascoigne ซีอีโอของ Buffer ก็ออกมายอมรับสถานการณ์ดังกล่าวแล้ว

Gascoigne บอกว่า Buffer นั้นถูกแฮกจริง แต่ข้อมูลสำคัญจำพวกรหัสผ่าน และข้อมูลการเงินนั้นไม่มีผลกระทบจากการแฮกครั้งนี้แต่อย่างใด

กลุ่ม Syrian Electronic Army (SEA) ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่อยู่ภายใต้เงาของรัฐบาลซีเรียได้ออกมาประกาศการโจมตีไปยังบัญชีผู้ใช้ส่วนตัวหลายรายการของประธานาธิบดีโอบามา เช่น ทวิตเตอร์, เฟซบุ๊ก, อีเมล รวมไปถึงเว็บไซต์ซึ่งถูกใช้ในการรณรงค์แคมเปญต่างๆ ของโอบามาด้วย

เว็บไซต์ดังกล่าวได้ถูกแก้ไขหน้าเว็บไซต์เป็นข้อความว่า Hacked by SEA ซึ่งจากการตรวจสอบเบื้องต้นนั้นพบว่า หน้าเว็บไซต์ดังกล่าวนั้นเป็นหน้าที่ถูกใช้เป็นเวลานานมากแล้วแต่ยังคงออนไลน์บนเซิร์ฟเวอร์อยู่

เด็กชายอายุ 12 ขวบ ยอมรับว่าเขาเป็นผู้แฮกเว็บไซต์หลายเว็บให้กับกลุ่ม Anonymous ได้แก่ กรมตำรวจแห่งเมืองมอนทรีออล, สถาบันสาธารณสุขแห่งรัฐควิเบก และเว็บไซต์รัฐบาลประเทศชิลี เป็นต้น ซึ่งเขาได้ถล่ม (flooding) เซิร์ฟเวอร์จนเว็บไซต์ล่ม, แก้ไขหน้าเว็บ และเข้าถึงข้อมูลของผู้ใช้ เขาจะได้รับวิดีโอเกมเป็นการตอบแทนจากการแฮกเว็บไซต์ของรัฐบาลในครั้งนี้

คาดว่าความเสียหายในเหตุการณ์นี้เป็นจำนวนเงิน 60,000 ดอลลาร์สหรัฐ โดยศาลเยาวชนจะตัดสินคดีนี้ในเดือนหน้า

หลายคนแถวนี้คงคุ้นเคยกับ reCAPTCHA บริการตรวจสอบความเป็นมนุษย์ผ่านการอ่านตัวอักษรบิดๆ เบี้ยวๆ ที่กูเกิลซื้อไปเมื่อหลายปีก่อน และคง "รู้ซึ้ง"​ ถึงความยากของมันเป็นอย่างดี

ล่าสุดทีม reCAPTCHA ออกมาให้ข้อมูลว่าเทคโนโลยีด้าน AI ทำให้บ็อตเก่งขึ้นเรื่อยๆ จน reCAPTCHA ต้องสร้างรหัสที่ยากขึ้นเรื่อยๆ จนเป็นปัญหาว่ามนุษย์เองก็เริ่มอ่านไม่ออก ทางทีมจึงต้องวิจัยหาแนวทางแก้ไขปัญหาที่ดีขึ้นกว่าเดิม

เมื่อวานนี้ตำรวจ สน.ประเวศ ได้แถลงข่าวจับกุมวัยรุ่นไทยสองคน อายุ 18 ปี และ 19 ปี ในข้อหาโจรกรรมเงินทาง E-Banking ของผู้เสียหายเป็นจำนวนมากถึง 1.8 ล้านบาท

จากการแถลงข่าวพอสรุปวิธีการโจรกรรมคือ ผู้ต้องหานำสำเนาบัตรประจำตัวประชาชนของผู้เสียหาย (ดำมาก) ไปแจ้งผู้ให้บริการโทรศัพท์ว่าซิมการ์ดหายแล้วขอซิมการ์ดใหม่ (โดยผู้เสียหายใช้โทรศัพท์ 2 ซิม) ทำให้ซิมเก่าที่ผู้เสียหายใช้อยู่ถูกระงับทันที โดยไม่มีความผิดปกติเกิดขึ้น (เพราะอีกซิมใช้ได้)

ในเมื่อสมัยนี้เราสามารถติดเครื่องรถยนต์หลายรุ่นได้โดยไม่ต้องใช้ลูกกุญแจ ก็คงไม่ใช่เรื่องแปลกที่จะมีคนคิดค้นระบบล็อกจักรยานแบบไม่ง้อลูกกุญแจบ้างเช่นกัน และ BitLock คือชื่อโครงการสร้างผลิตภัณฑ์นี้ที่กำลังระดมทุนเพื่อผลิตออกวางจำหน่าย

BitLock เป็นกุญแจรูปตัวยูสำหรับใช้ล็อกจักรยานไว้กับที่จอดหรือเสาในบริเวณต่างๆ ซึ่งคุณสมบัติพิเศษของมันคือไม่จำเป็นต้องอาศั้ยลูกกุญแจเพื่อปลดล็อกแต่อย่างใด โดยผู้ใช้เพียงแค่เปิดแอป BitLock ในสมาร์ทโฟนระบบ iOS หรือ Android ก็สามารถปลดล็อกแม่กุญแจอัจฉริยะตัวนี้ได้โดยสะดวก

Windows XP นั้นเป็นวินโดวส์ที่ดีที่สุดรุ่นหนึ่ง (เป็นวินโดวส์รุ่นแรกที่ผมอัพเกรดแล้วพบว่าคอมพิวเตอร์ของผม "เร็วขึ้น") แม้ว่ามันจะวางตลาดมาตั้งแต่ปี 2001 แต่ผู้ใช้จำนวนมากก็ยังใช้งานอยู่จนทุกวันนี้ ในอีกไม่กี่เดือนข้างหน้าไมโครซอฟท์ก็จะหยุดการอัพเดตทั้งหมดของ Windows XP ซึ่งจะทำให้บั๊กใหม่ๆ ไม่ได้รับการแก้ไขอีกต่อไป แต่ทางกูเกิลกลับออกมาประกาศว่าจะซัพพอร์ต Chrome บน Windows XP ต่อไปจนถึงเดือนเมษายน 2015 หนึ่งปีหลังไมโครซอฟท์หยุดซัพพอร์ต

Georg Lukas นักพัฒนาโอเพนซอร์สรายหนึ่งสำรวจการทำงานของแอนดรอยด์แล้วพบพฤติกรรมที่แปลกของแอนดรอยด์คือการเลือกใช้กระบวนการเข้ารหัสแบบ RC4-MD5 ซึ่งค่อนข้างอ่อนแอ จึงได้สำรวจดูว่าพฤติกรรมเช่นนี้เป็นมานานเพียงใด และพบว่าแอนดรอยด์ถูกปรับให้ใช้การเข้ารหัสที่อ่อนแอลงตั้งแต่รุ่น 2.3.4 เป็นต้นมา

Yahoo! Mail เป็นผู้ให้บริการอีเมลรายล่าสุดที่เปิดให้ใช้การเชื่อมต่อแบบ HTTPS เพื่อความปลอดภัยที่มากขึ้น โดยตอนนี้ยังเป็นตัวเลือกที่ต้องเข้าไปตั้งค่าเองในหน้า Advanced Settings

การเปลี่ยนแปลงนี้ถือว่าเป็นเรื่องดี แม้ว่าจะช้าไปนิดเพราะคู่แข่งอย่าง Gmail เปิด HTTPS เป็นค่าดีฟอลต์มาตั้งแต่ปี 2010 ส่วน Outlook.com ก็เปิดเป็นค่าดีฟอลต์แล้วเช่นกัน

ที่มา - Threatpost

รายงานวิเคราะห์เฟิร์มแวร์ของเราท์เตอร์ D-Link จากเว็บ /dev/ttyS0 พบว่าในเว็บเซิร์ฟเวอร์สำหรับการเข้าแก้ไขค่าคอนฟิกมีสตริงแปลกๆ คือ “xmlset_roodkcableoj28840ybtide” ระบุไว้ในโค้ด เมื่อวิเคราะห์ย้อนกลับดูพบว่าเบราว์เซอร์ที่มี User-Agent มีสตริงนี้จะสามารถเข้าควบคุมเราท์เตอร์ได้โดยไม่ต้องล็อกอิน

จากการหาสตริงนี้ในส่วนอื่นๆ ของเฟิร์มแวร์ พบว่ามีโปรแกรม "xmlsetc" สำหรับการตั้งค่าคอนฟิกอัตโนมัติ ทำให้เราเดาได้ว่านักพัฒนาของ D-Link ต้องการเข้าแก้ไขคอนฟิกของเราท์เตอร์ผ่านเว็บ แต่เนื่องจากเว็บต้องการการล็อกอินโดยผู้ใช้ นักพัฒนาจึงเลือกที่จะสร้างสตริงลับให้ตรงกันระหว่างโปรแกรมคอนฟิกและตัวเว็บเซิร์ฟเวอร์

James Forshaw นักวิจัยความปลอดภัยจาก Context Information Security รายงานบั๊กความปลอดภัยที่มีปัญหาระดับสูง IE11 Preview ทำให้ได้รับเงินจากโครงการตามล่าบั๊ก IE11 ทำให้ได้รับเงินรวม 109,400 โดยเป็นรายงานบั๊ก "Mitigation Bypass" ที่มีรางวัลสูงสุด 100,000 ดอลลาร์ และบั๊กอื่นๆ อีก 5 รายการ

ถึงตอนนี้ไมโครซอฟท์จ่ายเงินรางวัลล่าบั๊กใน IE11 ไปแแล้ว 128,000 ดอลลาร์ให้กับนักวิจัย 6 คน (สองคนทำงานกูเกิล และบริจาคเงินเข้าการกุศลแทน)

Mitigation Bypass เป็นบั๊กระดับสูงสุดที่เงินรางวัลสูงเพราะเป็นการป้องกันระดับระบบปฎิบัติการ และการแก้ปัญหานี้ได้ทำให้ไมโครซอฟท์เสริมความแข็งแกร่งให้กับระบบปฎิบัติการได้ทั้งหมด ไม่ใช่เพียง IE เท่านั้น

หลังจากเปิดตัวระบบล็อกอินสองชั้น Two-Step Verification ไปเมื่อกลางปี แต่ตอนนั้นคนที่จะใช้ได้มีเพียงลูกค้าที่เสียเงินเท่านั้นหรือกลุ่ม Evernote Premium และ Evernote Business ล่าสุดได้เปิดให้ลูกค้าที่ใช้บริการฟรี ใช้งานระบบล็อกอินสองชั้นได้เช่นกัน

ขั้นตอนคือต้องเข้าไปเปิดใช้บริการระบบล็อกอินสองชั้นจากหน้าเว็บไซต์ จากนั้นลูกค้าแบบฟรีจะต้องติดตั้งแอพความปลอดภัยก่อนซึ่งรองรับทั้ง iOS, Android และ BlackBerry ส่วนลูกค้าแบบ Evernote Premium และ Evernote Business สามารถเลือกส่งข้อความแทนได้

Adrian Ludwig หัวหน้าฝ่ายความปลอดภัยของ Android ไปพูดที่งาน Virus Bulletin ที่เยอรมนี และเผยสถิติด้านความปลอดภัยที่น่าสนใจของ Android หลายอย่าง

Ludwig บอกว่าสภาพแวดล้อมแบบเปิดของ Android ไม่สามารถใช้วิธีป้องกันมัลแวร์แบบก่อกำแพงกั้น (walled garden) แบบเดียวกับคู่แข่งได้ แต่วิธีที่กูเกิลใช้จะเหมือนกับการป้องกันโรคระบาดของวงการสาธารณสุขมากกว่า โดยแนวคิดของการป้องกันโรคระบาดคือไม่สามารถปิดกั้นโรคทั้งหมดได้ 100% แต่จะใช้วิธีเฝ้าระวังจากข้อมูล เมื่อพบโรคเริ่มระบาดก็จะสกัดกั้นไม่ให้เกิดการระบาดในวงกว้างแทน

Brad Arkin ประธานฝ่ายความปลอดภัยได้เขียนบล็อกแจ้งเตือนลูกค้าเรื่องความปลอดภัย โดยกล่าวว่าเซิร์ฟเวอร์ของบริษัทถูกบุกรุก และผู้บุกรุกได้เข้าถึงข้อมูลบางส่วนของบริษัทและข้อมูลส่วนตัวของลูกค้าด้วย

สิ่งที่ Adobe คาดว่าผู้บุกรุกได้ไปจากเซิร์ฟเวอร์ ได้แก่ ซอร์สโค้ดโปรแกรมของ Adobe หลายโปรแกรม, Adobe ID ของลูกค้า, รหัสผ่านที่ถูกเข้ารหัสไว้, ชื่อลูกค้า, เลขบัตรเครดิตหรือบัตรเดบิตที่ถูกเข้ารหัสไว้, วันหมดอายุ และอื่น ๆ แต่ Adobe ไม่เชื่อว่าผู้บุกรุกจะไปยุ่งกับข้อมูลบัตรเครดิตหรือบัตรเดบิตที่ไม่ได้เข้ารหัสไว้ (สรุปง่าย ๆ คือโจรน่าจะได้ไปเฉพาะข้อมูลบัตรเครดิตหรือบัตรเดบิตที่เข้ารหัสแล้ว ส่วนที่ไม่ได้เข้ารหัสไม่ได้เอาไป) ซึ่ง Adobe มีแนวทางแก้ไข ดังนี้

มาตรฐานการแฮชข้อมูล SHA-3 เพิ่งได้ผู้ชนะเป็น Keccak ไปเมื่อปีที่แล้ว แต่หลังจากการเปิดเผยข้อมูลของ Edward Snowden ทำให้ NIST หน่วยงานกลางผู้ออกมาตรฐานมีปัญหาความน่าเชื่อถืออย่างหนัก จากข่าวความร่วมมือกับ NSA ตอนนี้มาตรฐาน SHA-3 ที่กำลังอยู่ระหว่างกระบวนการปรับมาตรฐาน และเขียนเอกสารในฟอร์แมตที่ชัดเจนกลับมีปัญหาว่าทาง NIST กำลังลดความปลอดภัยของมันอย่างจงใจ

ช่วงหลังๆ เราเห็นบริการออนไลน์ชื่อดังมากมายรองรับการยืนยันตัวตนสองชั้น (two-step verification หรือบ้างก็เรียก multi-factor authentication) ซึ่งช่วยแก้ปัญหาเรื่องความปลอดภัย-แฮ็กบัญชีไปได้มาก

คำถามก็คือผู้สร้างบริการรายเล็กๆ ที่อยากมีระบบ multi-factor authentication บ้างจะต้องทำอย่างไร? ไมโครซอฟท์มีคำตอบให้กับเรื่องนี้ด้วยบริการ Windows Azure Multi-Factor Authentication

Windows Azure Multi-Factor Authentication ทำงานตรงไปตรงมาคือช่วยยืนยันตัวตนของผู้ใช้ผ่านอุปกรณ์พกพา โดยผู้ใช้สามารถเลือกได้ว่าจะเป็นการกดผ่านแอพ, SMS, หรือการรับสายโทรศัพท์ มันสามารถใช้งานได้กับแอพทุกชนิด ไม่จำเป็นว่าต้องเป็นแอพที่รันบน Azure เพียงอย่างเดียว

หัวข้อข่าวอาจจะดูน่าสับสนไปสักนิดแต่ผมขออนุญาตรวมไว้ด้วยกันนะครับ สำหรับข่าวแรกแฮ็กเกอร์นิรนามวัย 16 ปีถูกจับกุมหลังจากได้ทำการโจมตี DDoS 300Gbps ครั้งใหญ่ที่สุดในโลกไปยัง Spamhaus โดยเขาได้ถูกจับกุมตั้งแต่ช่วงเดือนเมษายนแต่เพิ่งมีประกาศอย่างเป็นทางการเมื่อวันพฤหัสบดีที่ผ่านมา ซึ่งตอนนี้ก็ยังไม่แน่ชัดว่าเขาใช้วิธีการใดในการสร้างการโจมตีครั้งใหญ่นั้น

นักวิจัยด้านความปลอดภัย G.S. McNamara ค้นพบช่องโหว่ภายในฟังก์ชัน CookieStore ที่ใช้ในการจัดการเซสชั่นโดยจะทำการแฮชเซสชั่นดังกล่าวนั้นในรูปแบบของคุกกี้ และไม่มีการเก็บเซสชั่นใดๆ ลงในฐานข้อมูล ซึ่งอาจส่งผลให้ผู้ประสงค์ร้ายสามารถขโมยคุกกี้ได้

รายงานการฝังช่องโหว่ไว้ในตัวสร้างเลขสุ่ม Dual_EC_DRBG สร้างความตระหนกให้กับทั้งอุตสาหกรรมความปลอดภัย คำถามสำคัญคือมาตรฐานเปิดที่ผ่านกระบวนการสร้างมาตรฐานของ NIST นี้ทำไมจึงหลุดรอดสายตาของนักคณิตศาสตร์และนักรหัสวิทยาทั่วโลกไปได้ วันนี้ทาง WIRED ลงบทความเล่าถึงการนำเสนอความยาว 5 นาทีด้วยสไลด์ 9 หน้าที่งาน Crypto ในปี 2007 ระบุถึงความเป็นไปได้ในการฝังช่องโหว่เอาไว้

เตือนภัยจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) เนื่องจากมีผู้รายงานว่ามีแอพพลิเคชันชื่อ iMessage Chat ปรากฏอยู่ใน Play Store ซึ่งอ้างว่าสามารถส่งข้อความผ่านระบบ iMessage ของ Apple ได้ ทาง ThaiCERT ได้ตรวจสอบแอพพลิเคชันดังกล่าวแล้วพบว่าสามารถส่งได้จริง

แต่สิ่งที่น่าสงสัยในแอพพลิเคชันนี้คือ มีการส่งข้อมูลไปยังเซิร์ฟเวอร์ที่อยู่ในประเทศจีน (น่าจะใช้เป็นตัวกลางในการรับส่งข้อมูล) ซึ่งอาจมีความเสี่ยงว่าผู้ใช้จะถูกขโมยข้อมูลสำคัญ เช่น Apple ID หรือข้อมูลอื่นๆ ได้

Android Device Manager บริการช่วยเหลือผู้ใช้ให้ตามหาเครื่องยามลืมหรือถูกขโมยที่เปิดตัวมาเมื่อเดือนสิงหาคมที่ผ่านมา ตอนนี้กูเกิลเพิ่มฟีเจอร์ใหม่เข้ามาแบบเงียบๆ อีกสองฟีเจอร์แล้ว

ฟีเจอร์แรกเป็นการต่อยอดจากเดิมที่เครื่องสามารถสั่งลบข้อมูลระยะไกลได้ ของใหม่สามารถสั่งล็อกเครื่องจากระยะไกลได้ด้วย และยังสามารถเปลี่ยนรหัสผ่าน โดยรหัสใหม่จะไปทับทั้งรหัสผ่านเดิมและการปลดล็อกแบบการวาดนิ้วของตัวเครื่องไปเลย

เมื่อสั่งล็อกไปแล้ว ตัวเครื่องจะถามหารหัสผ่านใหม่ทันที ถ้าหากมีความพยายามจะปรับไปเป็นโหมด Airplane ตัวเครื่องจะล็อกอัตโนมัติ และกลับมาถามรหัสผ่านอีกครั้งเมื่อเชื่อมต่อกับอินเทอร์เน็ต