หลังจากเฟซบุ๊กเปิดให้ผู้ใช้เลือกเปิด HTTPS ใช้งานเป็นรายคนมาเป็นเวลาสองปี ตอนนี้การเข้าถึง www.facebook.com จะกลายเป็น HTTPS ทั้งหมด แต่ยังไม่เปิดบริการสำหรับ m.facebook.com ที่ยังเป็น HTTPS อยู่ 80%
กระบวนการอัพเกรดแบบบังคับเริ่มมาตั้งแต่ต้นปีที่ผ่านมา จนกระทั่งผู้ใช้กลุ่มสุดท้ายเพิ่งถูกบังคับจนครบ
กูเกิลประกาศเปลี่ยนใบรับรอง SSL จาก 1024 บิตไปเป็นแบบ 2048 บิตทั้งหมดพร้อมกับเปลี่ยนสา่ยการรับรอง (certificate chain) ไปพร้อมกัน
กระบวนการนี้ไม่น่าจะกระทบผู้ใช้ นอกจากผู้ใช้ที่ใช้ไม่ได้อัพเดตระบบปฎิบัติการหรือใช้ไลบรารี SSL ของตัวเองรุ่นเก่า หรือซอฟต์แวร์ที่ฝังใบรับรองเข้ากับโค้ด ก็จะทำงานไม่ได้จากการอัพเดตครั้งนี้
แม้จะอัพเดตขนาดกุญแจไปเป็นขนาด 2048 บิต แต่ทุกวันนี้กระบวนการเข้ารหัสแบบกุญแจสมมาตรก็ยังใช้การเข้ารหัส RC4 แบบ 128 อยู่
กูเกิลเปิดเว็บ cert-test ให้ทุกคนเข้าทดสอบใบรับรองใหม่ได้แล้ว ส่วนกระบวนการอัพเดตจริงจะค่อยๆ อัพเดตไปทีละบริการจนครบในอีกหลายเดือนข้างหน้า
ก่อนหน้านี้ CyanogenMod ได้ปิด root เป็นค่าเริ่มต้นสำหรับรอม CyanogenMod ไป ตอนนี้คนในทีมก็ได้คุยถึงขั้นตอนต่อยอดจากแนวทางเดิม คือการใช้งานรอม CyanogenMod โดยไม่ต้อง root จากการที่ Android 4.3 ที่จะเป็นฐานของ CM10.2 เพิ่มฟีเจอร์เกี่ยวกับความปลอดภัยแบบใหม่เข้ามาโดยไม่ต้อง root
โพสต์ต้นทางบน +Steve Condik ผู้ก่อตั้ง CyanogenMod ได้คุยกันถึงเรื่องของฟีเจอร์ที่ยังจำเป็นต้อง root ซึ่งก็จะเป็นฟีเจอร์จำพวกแบ็คอัพ และแก้ไขเกี่ยวกับระบบภายในต่างๆ
Joseph Bonneau นักวิจัยความปลอดภัยจากกูเกิล ได้รับรางวัลงานวิจัยด้านความปลอดภัยไซเบอร์จากงานวิจัยหัวข้อ "The science of guessing: analyzing an anonymized corpus of 70 million passwords" ที่ตีพิมพ์ลง IEEE เมื่อปีที่แล้ว
หลังการรับรางวัลเขาเขียนบล็อกถึงความรู้สึกจากรางวัลที่ได้รับความมีความรู้สึกขัดแย้งกันเอง เมื่อคิดถึง NSA ที่กำลังดักฟังการสื่อสารเป็นวงกว้างโดยไม่มีการตรวจสอบย้อนกลับที่ชัดเจน เขารู้สึกอับอายในฐานะพลเมืองสหรัฐฯ ที่มีนักการเมืองที่ปล่อยให้เกิดเหตุการณ์เช่นนี้
กูเกิลเคยบอกใบ้เรื่องตัวแสกนมัลแวร์ที่ผนวกมากับ Google Play มาแล้วรอบนึง แต่เรายังไม่เห็นว่ามันทำงานจริงหรือไม่ นอกจากบน Android 4.2
ล่าสุดกูเกิลปรับแผนการทำงานใหม่ โดยโยกเอาฟีเจอร์นี้ออกมาจาก Android 4.2 แล้วใส่ไปใน Google Play Service แทน ซึ่งจะมีผลให้ Android 2.3/4.0 และ 4.1 ได้ใช้งานฟังก์ชันนี้ด้วยนั่นเองครับ
สื่อออสเตรเลียรายงานว่า หน่วยงานสายลับของหลายประเทศตัดสินใจแบนการใช้งานพีซี Lenovo ด้วยเหตุผลด้านความปลอดภัยของข้อมูล
แหล่งข่าวระบุถึงผลการทดสอบในห้องปฏิบัติการของหน่วยงานสายลับซึ่งพบว่าพีซี Lenovo มีช่องโหว่ที่เกี่ยวโยงกับชิปที่ Lenovo เลือกใช้ ซึ่งหากผู้ใช้พีซี Lenovo ถูกโจมตีผ่านช่องดังกล่าวแล้ว จะทำให้พีซีถูกควบคุมจากระยะไกลโดยคอมพิวเตอร์เครื่องอื่นได้ และนั่นทำให้ข้อมูลสำคัญของเจ้าหน้าที่สายลับตกอยู่ในความเสี่ยง ทั้งนี้รายละเอียดของช่องโหว่ดังกล่าวยังคงถูกเก็บไว้เป็นความลับของหน่วยงานทดสอบ
เชื่อกันว่าในขณะนี้ บรรดาเจ้าหน้าที่สายลับของสหรัฐอเมริกา, สหราชอาณาจักร, ออสเตรเลีย, แคนาดา และนิวซีแลนด์ ต่างก็หยุดใช้งานเครื่องพีซีของ Lenovo กันหมดแล้ว
งาน USENIX 13 ที่กำลังจะมีขึ้นกลางเดือนสิงหาคมนี้มีงานนำเสนออันหนึ่งเป็นการนำเสนอช่องโหว่ของ Megamos Crypto ระบบเข้ารหัสของกุญแจแบบ immobilizer ที่รถราคาแพงหลายรุ่นใช้งานเพื่อยืนยันตัวกุญแจ แต่ Volkswagen ฟ้องต่อศาลอังกฤษว่างานวิจัยนี้ยังไม่ควรถูกเปิดเผยต่อสาธารณะเนื่องจากทำอันตรายให้กับเจ้าของรถที่อาจถูกขโมยรถได้โดยง่าย
สมาชิกของทีมวิจัยรายหนึ่งเป็นพลเมืองอังกฤษจึงต้องทำตามคำสั่งคุ้มครองชั่วคราวนี้ แต่ยังน่าสงสัยว่าผู้ร่วมทีมอีกสองคนที่ไม่ได้เป็นพลเมืองอังกฤษต้องเชื่อฟังคำสั่งศาลนี้หรือไม่ รวมถึงว่างาน USENIX 13 นั้นจัดในสหรัฐฯ อีกด้วย
จากกรณี Paypal เจอปัญหา XSS, ผู้พบอายุไม่ถึงเกณ์รับรางวัล และ Paypal ชี้แจงปัญหาไม่จ่ายรางวัลเด็กอายุ 17 ระบุมีผู้แจ้งก่อนแล้ว
ล่าสุดทาง PayPal ประกาศปรับนโยบายเรื่องอายุของผู้แจ้งบั๊กความปลอดภัยแล้ว โดยเปลี่ยนจากเดิมอายุ 18 ปีขึ้นไป มาเป็น 14 ปีขึ้นไปแทน (ในทางปฏิบัติ ผู้เข้าร่วมโครงการจะต้องสมัครบัญชี PayPal แบบ Student)
เป้าหมายของ PayPal ก็ชัดเจนว่าต้องการกระตุ้นให้ผู้สนใจด้านความปลอดภัยรุ่นใหม่ๆ เข้าร่วมมากขึ้น
ที่มา - InfoWorld
จากกรณี พบช่องโหว่ใหม่บน Android, 99% อยู่ในข่ายได้รับผลกระทบ โดยช่องโหว่นี้รู้จักกันในชื่อ Master Key
สถานการณ์ล่าสุด บริษัท Symantec ประกาศว่าค้นพบแอพจีน 2 ตัวที่เป็นแอพด้านสุขภาพที่แจกจ่ายผ่านร้านขายแอพในจีน (ไม่ใช่ Google Play) ตามปกติ แต่ก็โดนแฮกเกอร์แอบฝังโค้ดที่ขโมยข้อมูลสำคัญในเครื่องลงไป แล้วเผยแพร่ไฟล์นี้ออกไปโดยใช้ช่องโหว่ Master Key ส่งผลให้ตัวระบบ Android คิดว่าแอพดังกล่าวไม่เกิดการเปลี่ยนแปลง
Cisco ประกาศเข้าซื้อ Sourcefire บริษัทระบบตรวจสอบความปลอดภัยเครือข่าย (intrusion detection systems - IDS) ด้วยมูลค่าถึง 2,700 ล้านดอลลาร์
Sourcefire นั้นเป็นบริษัทผู้พัฒนา Snort ระบบ IPS แบบโอเพนซอร์สที่ได้รับความนิยมสูง โดยหลังจาก Martin Roesch สร้าง Snort ในปี 1998 ก็มาตั้งบริษัท Sourcefire ในปี 2001 หลังจากนั้นบริษัทก็มีรายได้เติบโตต่อเนื่องจนตอนนี้มีพนักงานถึง 650 คนและรายได้ปีที่แล้ว 220 ล้านดอลลาร์
สินค้าของ Sourcefire ในทุกวันนี้ยังพัฒนาอยู่บนฐานของ Snort แต่มีการปรับปรุงทั้งการออปติไมซ์ด้วยฮาร์ดแวร์และการปรับปรุงเพิ่มเติมอื่นๆ เข้าไป
นอกจาก Snort แล้วโครงการโอเพนซอร์สที่ Sourcefire ดูแลอยู่อีกโครงการก็คือ ClamAV ระบบตรวจจับไวรัสแบบโอเพนซอร์ส
โทรศัพท์ของเรากลายเป็นของสำคัญขึ้นเรื่อยๆ เมื่อเราเก็บข้อมูลส่วนตัวไว้ในโทรศัพท์จำนวนมาก คำแนะนำทั่วไปคือให้ล็อกโทรศัพท์ไว้เสมอด้วยรหัสจะได้ป้องกันได้ในกรณีที่โทรศัพท์หายไป แต่การทดลองล่าสุดแสดงให้เห็นว่าระบบการล็อกนี้ใช้ไม่ได้กับแอนดรอยด์
ระบบล็อกด้วย PIN เพียงสี่หลักไม่สามารถป้องกันการไล่เดาทีละหมายเลขได้คงไม่ใช่เรื่องแปลก แอนดรอยด์และ iOS ต่างแก้ปัญหาด้วยการเพิ่มเวลาดีเลย์เมื่อกดรหัสผิดพลาด แต่ในกรณี iOS นั้นเวลาจะเพิ่มขึ้นเรื่อยๆ ทุกครั้งที่กดผิด จนกระทั่งอาจจะต้องรอหลายชั่วโมงต่อการกดแต่ละครั้ง แต่แอนดรอยด์กลับมีรูปแบบการรอเพียง 30 วินาทีทุกๆ รอบที่กดผิด 5 ครั้ง เมื่อรูปแบบของรหัสผ่านมีได้เพียง 10,000 รูปแบบ การกดรหัสทั้งหมดก็ทำได้ในเวลาเพียง 19 ชั่วโมง 24 นาทีเท่านั้น
The Syrian Electronic Army รายงานว่า พวกเขาได้แฮก Tango บริการวิดีโอแชทที่โด่งดัง แถมทวีตรูปเย้ยพร้อมบอกว่าสามารถขโมยข้อมูลไปได้ 1.5 เทระไบต์!
แฮกเกอร์กลุ่มนี้ได้บอกว่า ข้อมูลที่พวกเขาขโมยไปนั้นมีทั้งเบอร์โทรศัพท์, ข้อมูลที่อยู่ติดต่อ และอีเมลผู้ใช้ Tango กว่าล้านราย แต่ยังไม่เป็นที่แน่ชัดว่าฐานข้อมูลผู้ใช้ของ Tango นั้นได้รับผลกระทบมากเท่าไร และข้อมูลที่ถูกขโมยไปนั้นได้รับการเข้ารหัสหรือไม่
Tango ได้ทวีตว่ามีข้อมูลถูกขโมยจริง รายละเอียดทวีตดูได้ท้ายข่าวครับ
NAVER Japan (ซึ่งตอนนี้เป็น LINE Corporation แล้ว) ผู้ให้บริการสนทนาผ่านมือถือชื่อดัง ได้ตรวจพบการเข้าถึงของแฮกเกอร์จากภายนอกไปยังบริการได้แก่ NAVER Matome, N Drive, NAVER Photo Album และ pick and cafe ซึ่ง NAVER ได้ระงับบริการดังกล่าวในทันทีเพื่อไม่ให้มีผลกระทบต่อผู้ใช้งาน ผู้ใช้งานที่ได้รับผลกระทบจะไม่สามารถเข้าสู่ระบบได้จนกว่าจะเปลี่ยนรหัสผ่านที่ NAVER ได้ส่งอีเมลเตือนผู้ใช้ที่คาดว่าจะได้รับผลกระทบเพื่อเปลี่ยนรหัสผ่านแล้วและได้แนะนำให้เปลี่ยนรหัสผ่านของบริการอื่นๆ ที่ตั้งรหัสผ่านเดียวกันด้วย เท่าที่ทราบตอนนี้ยังไม่มีข้อมูลว่า LINE โดนแฮคนะครับ ส่วนท่านใดที่ใช้งานบริการดังที่กล่าวไปข้างต้น ไปเปลี่ยนรหัสผ่านด้วยนะครับ
ที่มา - อีเมลแจ้งเตือน
รายงานข่าวจากเว็บไซต์ของหนังสือพิมพ์ The New York Times ระบุว่า บริษัทวิจัยด้านความปลอดภัยในประเทศเยอรมนีตรวจพบช่องโหว่ในการเข้ารหัสของซิมการ์ดโทรศัพท์มือถือที่ใช้การเข้ารหัสแบบ D.E.S. (Data Encryption Standard) ที่ใช้มาตั้งแต่ช่วงปี 1970 ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถดึงเอารหัสดิจิตอลของซิมการ์ดจำนวน 56 หลักออกมา และสามารถใช้ซิมการ์ดนั้นเสมือนว่าเป็นของตนเองได้ทันที
เมื่อคืนวันที่ 20 กรกฎาคมที่ผ่านมา เว็บไซต์ ubuntuforums.org ซึ่งเป็นเว็บไซต์กระดานสนทนาอย่างเป็นทางการของ Ubuntu ถูกแฮกเกอร์ที่ใช้ชื่อ @Sputn1k_ แฮกเว็บไซต์ โดยได้เปลี่ยนหน้าเว็บไซต์เป็นรูปนกเพนกวินถือปืน (ภาพประกอบอยู่ท้ายข่าว) ซึ่งในเวลาต่อมาทาง Canonical ก็ได้ทำ re-direct ไปหน้าเพจประกาศชี้แจงดังนี้
นักวิจัยด้านความปลอดภัยจากบริษัท Security Explorations ค้นพบช่องโหว่ใหม่ของ Java 7 (มีผลกระทบกับ Java SE 7 Update 25 ซึ่งเป็นตัวล่าสุดด้วย)
ปัญหาอยู่ที่ส่วนของ Reflection API ซึ่งเป็นฟีเจอร์ที่เพิ่มเข้ามาใน Java 7 แต่กลับเป็นต้นเหตุของรูโหว่ใน Java เป็นจำนวนมาก ช่องโหว่นี้เป็นเรื่องของ data type ที่ต่างกันระหว่าง integer/pointer ซึ่ง Security Explorations บอกว่าเปิดให้ถูกโจมตีแบบง่ายๆ ซึ่งไม่ควรเกิดขึ้นแล้วในยุคนี้
Security Explorations จึงตั้งคำถามกับกระบวนการด้านตรวจสอบความปลอดภัยของออราเคิลว่ามีประสิทธิภาพมากเพียงใด เพราะปัญหารูโหว่ใน Java ช่วงหลังมาจากโค้ดใหม่ๆ ที่เพิ่มเข้ามาในเวอร์ชันหลังๆ นั่นเอง
หลังจากที่มีข่าวเรื่องช่องโหว่ใน Android ที่เครื่อง 99% ได้รับผลกระทบ ซึ่งทาง Google ออกมาบอกว่าได้อุดช่องโหว่นี้ใน Play Store พร้อมกับส่งแพทช์ให้ทางผู้ผลิตแล้ว ผู้ใช้ Android รุ่นที่ถูกลอยแพต่างก็ฝากความหวังไว้กับ Play Store ว่าจะสามารถช่วยให้อยู่รอดปลอดภัยได้
วันนี้ความฝันนั้นได้พังทลายลงแล้ว เมื่อทาง Bitdefender พบว่ามีแอพพลิเคชัน 2 ตัวที่ใช้เทคนิคการโจมตีผ่านช่องโหว่นี้ปรากฎอยู่บน Play Store ซึ่งแอพพลิเคชันทั้ง 2 ตัวที่ว่านี้มีผู้ดาวน์โหลดไปแล้วประมาณ 10,000 - 50,000 คน
ขอรวมข่าว Google Glass เป็นข่าวเดียวกันครับ
ข่าวแรก เมื่อต้นเดือนนี้ Google ได้ปล่อยอัพเดต XE7 (อัพเดตที่มีคนแกะโค้ดและพบระบบล็อคหน้าจอ, ร้านขายแอพ, แอพฟังเพลง-วิดีโอ) ให้กับ Google Glass ซึ่งมีฟีเจอร์ใหม่หรือที่ได้รับการปรับปรุง ดังนี้
มีรายงานในวงการความปลอดภัยว่ากลุ่มแฮกเกอร์จีนชื่อ DNSCalc ซึ่งมีสมาชิกประมาณ 20 ราย (และเคยมีผลงานโจมตีเว็บ The New York Times) หันเป้าหมายมาโจมตีภาครัฐของอาเซียนแทน
กระบวนการของ DNSCalc จะใช้วิธีอัพโหลดไฟล์ .ZIP ชื่อที่เกี่ยวข้องกับ U.S.-ASEAN Business Council ลงใน Dropbox และแชร์ไฟล์ไปยังคนหรือหน่วยงานภาครัฐของอาเซียนแล้วหลอกว่าควรสนใจเอกสารชิ้นนี้ (เป็น phising แบบหนึ่ง) เมื่อเหยื่อดาวน์โหลดไฟล์มาขยายจะพบไฟล์ PDF และมัลแวร์ที่จะแอบฝังอยู่ในเครื่องของเรา
มัลแวร์ตัวนี้จะส่งข้อมูลไปยังบล็อกบนระบบ WordPress ของแฮกเกอร์ และส่งข้อมูลหมายเลข IP รวมทั้งเบอร์พอร์ตกลับไปยังต้นทาง
ถ้ายังจำแคมเปญค้นหาบั๊กใน Windows 8.1 ได้ ล่าสุดในวันนี้บล็อก TechNet เริ่มประกาศผลการค้นหาบั๊กแล้วครับ โดยคนแรกที่ได้รับรางวัลไปก็คือ Ivan Fratric วิศวกรฝ่ายรักษาความปลอดภัยข้อมูลของกูเกิล ซึ่งเป็นผู้ที่เคยชนะในรายการค้นหาบั๊กของไมโครซอฟท์เมื่อปีที่แล้วด้วย
โดยช่องโหว่ที่ Ivan สามารถหาได้ คือช่องโหว่ที่เกี่ยวข้องกับ Internet Explorer 11 ครับ แต่ไมโครซอฟท์ไม่ระบุชัดเจนว่าเป็นบั๊กที่ Ivan หาเจอ มันเกี่ยวข้องกับส่วนไหน แต่ที่แน่ๆ Ivan จะได้รับเงินรางวัลประมาณ 11,000 ดอลลาร์สหรัฐฯ เป็นค่าตอบแทนในการค้นหาบั๊กครับ
ความไม่พอใจระหว่างบริษัทผู้ผลิตทั้งฮาร์ดแวร์และซอฟต์แวร์ กับบริษัทหรือหน่วยงานวิจัยความปลอดภัยไม่ใช่เรื่องแปลกใหม่ แต่กรณีล่าสุดของ VLC กับบริษัทวิจัยความปลอดภัยที่ชื่อว่า Secunia ดูจะรุนแรงกว่ากรณีอื่นๆ เพราะถึงขั้น VLC เตือนว่าจะดำเนินการทางกฎหมายหาก Secunia ยังไม่ยอมรับระดับการเตือนภัย
ปัญหาเริ่มต้นเมื่อ Secunia พบบั๊ก use-after-free ใน VLC ทำให้คนประสงค์ร้ายสามารถเข้าควบคุมเครื่องได้ ทาง VLC ระบุว่าบั๊กนี้เกิดจากปัญหาในโค้ดส่วน swf ของไลบรารี FFMpeg
โครงการ PRISM ทำให้แฮคเกอร์ทั่วโลกไม่พอใจรัฐบาลสหรัฐฯ ที่มีโครงการดักฟัง แม้จะอ้างว่าไม่ได้ดักฟังประชาชนสหรัฐฯ เองก็ตามที งานประชุมด้านความปลอดภัย DEF CON ที่จัดมาถึง 21 ปี มักจะมีเจ้าหน้าที่รัฐเข้ามาร่วมงานด้วยเสมอๆ จนกระทั่งมีเกมตามหาตัว ในปีนี้ท่าทีของงานกลายเป็นการประกาศไม่ต้อนรับ
Jeff Moss ผู้จัดงาน DEF CON ระบุว่างานจัดขึ้นมาด้วยความเชื่อใจกันและกัน แ่ต่การเปิดเผยข้อมูลช่วงหลังทำให้ชุมชนแฮคเกอร์ไม่สะดวกใจกับความสัมพันธ์กับหน่วยงานรัฐอีกต่อไป และทางที่ดีกับทุกคนคือให้เจ้าหน้าที่รัฐถอยออกไปจากงานนี้สักระยะ
ในความเป็นจริงคงไม่มีใครห้ามไม่ให้เจ้าหน้าที่รัฐไปงานได้ แต่ท่าทีเช่นนี้ก็เป็นการแสดงความไม่ต้อนรับอย่างชัดเจน
ไมโครซอฟท์ประกาศนโยบายด้านความปลอดภัยให้กับแอพบน store ของตัวเองทั้ง 4 แห่ง ได้แก่ Windows Store, Windows Phone Store, Office Store, Azure Marketplace ว่าแอพที่ได้รับการแจ้งเตือนเรื่องช่องโหว่ความปลอดภัยระดับ critical หรือ important ตามระบบเรตติ้งของไมโครซอฟท์เอง จะต้องอุดช่องโหว่ภายใน 180 วันหลังได้รับการแจ้งเตือน ถ้าช้ากว่านั้นไมโครซอฟท์จะเพิกถอนแอพจาก store ทันที
นโยบายนี้ครอบคลุมถึงแอพของไมโครซอฟท์เองบน store ด้วย ซึ่งไมโครซอฟท์อธิบายเหตุผลของนโยบายนี้ว่าต้องการยกระดับความปลอดภัยของ store ทั้งหมด และสร้างความมั่นใจให้ลูกค้าว่าแอพจาก store ของไมโครซอฟท์จะปลอดภัย
จากข่าว พบช่องโหว่ใหม่บน Android, 99% อยู่ในข่ายได้รับผลกระทบ ตอนนี้กูเกิลออกแพตช์แก้เรียบร้อย และส่งแพตช์นี้ให้กับบรรดาผู้ผลิตฮาร์ดแวร์ OEM เรียบร้อยแล้ว
ที่เหลือก็ขึ้นกับว่าบรรดา OEM จะนำแพตช์ไปรวมกับรอมของตัวเอง และอัพเดตให้ลูกค้าเมื่อไรกันแน่ ตรงนี้โฆษกของกูเกิลระบุมาหนึ่งชื่อว่า ซัมซุงเริ่มออกรอมเวอร์ชันอัพเดตความปลอดภัยแล้ว
ที่มา - ZDNet