แอปเปิลตามหลังผู้ให้บริการออนไลน์ชื่อดังๆ ที่นำร่องระบบล็อกอินสองชั้น (two-step authentication) กับบริการ iCloud และ Apple ID ของตัวเองแล้ว

ในเบื้องต้นระบบล็อกอินสองชั้นของแอปเปิลยังเป็นแค่ทางเลือกให้ผู้ใช้ ไม่ได้บังคับใช้งาน ส่วนวิธีการก็คล้ายๆ ระบบล็อกอินของธนาคารออนไลน์ในปัจจุบัน นั่นคือล็อกอินด้วยรหัสผ่านปกติหนึ่งชั้น จากนั้นแอปเปิลจะส่งโค้ด 4 ตัวมาทาง SMS หรือ Find My iPhone มายังอุปกรณ์ iOS ที่เรายืนยันได้ว่าเป็นของเรา (trusted device) ให้ยืนยันตัวตนอีกครั้งหนึ่ง

การล็อกอินสองชั้นจะถูกใช้ต่อเมื่อเราเข้าไปแก้ไขข้อมูลในหน้า My Apple ID หรือสั่งซื้อสินค้าจาก iTunes, App Store, iBookstore เท่านั้น

ระยะหลังๆ เราเห็นข่าวการขโมย Apple ID ไปใช้สั่งซื้อสินค้ากันไม่น้อย (โดยเฉพาะในบ้านเรา) การเปิดระบบล็อกอิน 2 ชั้นน่าจะช่วยลดปัญหาเหล่านี้ลงไปได้มาก เนื่องจากผู้ที่ขโมยข้อมูลล็อกอินได้จะไม่สามารถยืนยันตัวตนในชั้นที่สองได้นั่นเองครับ (ตอนนี้ยังเปิดให้ใช้งานเฉพาะในสหรัฐและบางประเทศ แต่ประเทศอื่นๆ จะค่อยๆ ตามมา)

ที่มา - Apple Support

ผู้อ่าน Blognone คงรู้จักหรือเคยใช้บริการ Google Public DNS (8.8.8.8 และ 8.8.4.4) กันมาบ้าง

ล่าสุดกูเกิลประกาศว่าบริการ Public DNS ของตัวเองรองรับการตรวจสอบและยืนยันตัวตนของเซิร์ฟเวอร์ DNS หรือที่รู้จักกันในชื่อ DNSSEC validation แล้ว

DNSSEC เป็นส่วนขยายด้านความปลอดภัยของโพรโทคอล DNS เพื่อช่วยแก้ปัญหาการปลอมเซิร์ฟเวอร์ DNS ต้นทาง เพราะเครื่องลูกข่ายที่ขอข้อมูล DNS จะมีวิธีตรวจสอบว่าเซิร์ฟเวอร์ (ในที่นี้คือ Google Public DNS) เป็นเครื่องจริงหรือไม่ และโดนแอบหยอดข้อมูลระหว่างทาง (DNS cache poisoning) ระหว่างทางหรือไม่

ปัจจุบัน Google Public DNS ได้รับคำขอข้อมูล DNS วันละ 130 พันล้านครั้ง

ที่มา - Google Online Security Blog

หลังผ่านมาได้สองสัปดาห์จากมีคนพบช่องโหว่บน iOS 6.1 ทำให้เข้าถึงข้อมูลได้แม้ iPhone ตั้งรหัสล็อค ทางแอปเปิลได้ปล่อยอัพเดตของ iPhone เพื่ออุดช่องโหว่ดังกล่าว และในอัพเดตเวอร์ชั่นนี้ได้มีการปรับปรุงเพิ่มความถูกต้องของแผนที่ประเทศญี่ปุ่นมากขึ้น

ในไทยก็เห็นแจ้งเตือนการอัพเดตแล้วครับ สามารถอัพเดตกันได้เลย

ที่มา - Apple Support

สำหรับผู้ที่มีอาชีพในการทดสอบเจาะระบบเพื่อตรวจสอบความปลอดภัย รวมไปถึงผู้ที่สนใจย่อมคุ้นเคยกับชื่อ BackTrack ดีอยู่แล้ว มันเป็นระบบปฏิบัติการลินุกซ์ซึ่งได้รับความนิยมอย่างแพร่หลายในการใช้งานด้านความปลอดภัย สำหรับตอนนี้ทาง Offensive Security ทีมผู้พัฒนา BackTrack ได้เปิดตัวระบบปฏิบัติการขึ้นใหม่ภายใต้ชื่อ Kali Linux โดยมุ่งไปยังกลุ่มเป้าหมายระดับในธุรกิจ

Kali Linux ในเวอร์ชันแรกนี้มีความแตกต่างจาก BackTrack ตรงที่ Kali Linux ได้เชื่อมต่อโดยตรงกับ repositories ของทาง Debian ซึ่งทำให้การอัพเดตนั้นง่ายขึ้นและประหยัดเวลาลง รองรับการปรับแต่งตัวระบบปฏิบัติการเพื่อสร้างเวอร์ชันที่เหมาะสำหรับตัวผู้ใช้เอง อีกทั้งยังรองรับการทำงานของ ARM ทำให้สามารถติดตั้งได้ทั้งบน Chromebook, Raspberry Pi หรือแท็บเลต รวมถึงสามารถพัฒนาโปรเจคทางด้านฮาร์ดแวร์ได้จากเครื่องมือที่ถูกเตรียมมาแล้วได้อีกด้วย ซึ่งแน่นอนว่ายังรองรับหลากหลาย desktop environments แล้วแต่ผู้ใช้งาน

ผู้ใช้งานสามารถดาวน์โหลด Kali Linux ได้ที่นี่เลยครับ

ที่มา - H Online

Symantec ได้ค้นพบหลักฐานใหม่ที่เชื่อมโยงกับข้อมูลของมัลแวร์ Stuxnet ว่าข้อมูลล่าสุดเบื้องต้นนั้น Stuxnet เวอร์ชัน 1.001 ถูกสร้างขึ้นในปี 2009 แต่หลักฐานใหม่พบว่า Stuxnet เคยมีเวอร์ชัน 0.5 ในช่วงปี 2007-2009 ดังนั้นการพัฒนามัลแวร์ตัวนี้น่าจะมาก่อนปี 2007 เสียอีก

หลักฐานในการอ้างอิงว่าน่าจะมี Stuxnet เวอร์ชัน 0.5 คือมีการพบส่วนของโค้ดในเวอร์ชันเก่า ซึ่งถูกสร้างโดยใช้แพลตฟอร์ม Flamer และยังไม่มีช่องโหว่ของทางไมโครซอฟท์ถูกรวมอยู่ รวมถึงยังพบว่ามีส่วนโค้ดที่ใช้ในการควบคุมอุปกรณ์ Siemens 417 PLCs ซึ่งคาดว่าน่าจะเป็นเป้าหมายหลักของเวอร์ชันนี้อยู่ (เวอร์ชัน 1.001 พบส่วนที่ขาดหายไปของโค้ดนี้) ดังนั้นจากข้อมูลใหม่จะสามารถตั้งสมมติฐานว่าผู้สร้าง Stuxnet (เชื่อกันว่าเป็นอเมริกาและอิสราเอล) ได้มีแผนที่จะแพร่กระจายและโจมตีอุปกรณ์ Siemens 417 PLCs ซึ่งถูกใช้ในการเสริมสมรรถนะแร่ยูเรเนี่ยมในเมืองนาธานส์ ประเทศอิหร่าน

Stuxnet นั้นได้เชื่อว่าเป็นมัลแวร์รุ่นแรกๆ ที่ถูกใช้ในการโจมตีระดับสงครามไซเบอร์เพื่อหยุดปฏิบัติการใดปฏิบัติการหนึ่งในระดับสูง อีกทั้งยังเป็นต้นแบบของมัลแวร์ในลักษณะนี้อีกหลายๆ รุ่นต่อมาด้วย สำหรับข้อมูลเพิ่มเติมรวมไปถึงวีดีโอข้อมูลสามารถดูได้ที่ท้ายข่าวเลยครับ

เว็บไซต์ NIST National Vulnerability Database (NVD) ถูกแฮกโดยแฮกเกอร์นิรนามในช่วงสัปดาห์ที่แล้ว อ้างอิงจาก +Kim Halavakoski CSO ของ Crosskey Banking Solutions และ BlackCat Security ว่าเขาได้ทำการเมลสอบถามไปยังผู้ดูแลระบบของ NIST ถึงข้อความการปิดปรับปรุงชั่วคราวของทางเว็บไซต์ว่าเกิดจากสาเหตุใด ซึ่งภายในเมลตอบกลับจาก Gail Porter ซึ่งเป็นโฆษกของทาง NIST ว่าไฟร์วอลได้ทำการตรวจพบการเชื่อมต่อที่น่าสงสัย แล้วจึงทำการบล็อคการเข้าถึงจากภายนอกทำให้เว็บไซต์ไม่สามารถเข้าถึงได้

โดยจากการตรวจสอบจาก NIST พบว่ามีการวางมัลแวร์ไว้บนเซิร์ฟเวอร์สองตัวที่ใช้ในการเก็บข้อมูลช่องโหว่ด้านความปลอดภัย ซึ่งยังไม่พบหลักฐานใดๆ ว่ามัลแวร์นี้จะถูกใช้ในการแพร่กระจายไปสู่ผู้เข้าชมเว็บไซต์ แต่ทาง Halavakoski ได้ลงความเห็นว่าการกระทำในรูปแบบนี้นั้น "pure evil!" เนื่องจากเว็บไซต์นี้ถูกใช้ในการเก็บข้อมูลของช่องโหว่ต่างๆ เพื่อป้องกันภัยคุกคามทางด้านความปลอดภัย ซึ่งก็ถูกเข้าถึงจากทั้งคนจากภาครัฐฯ รวมถึงเอกชนที่มักจะเข้าถึงข้อมูลเหล่านี้ในการอ้างอิงหรือติดตามข่าวสารต่างๆ ดังนั้นการกระทำนี้จึงขัดต่อจุดมุ่งหมายที่จะช่วยป้องกันและเสริมสร้างความปลอดภัยให้กับระบบคอมพิวเตอร์อย่างสิ้นเชิง

ที่มา - The Hacker News, Computerworld

ทีมนักวิจัยจากอิสราเอล Skycure ได้เปิดเผยช่องโหว่ที่อนุญาตให้แฮกเกอร์สามารถควบคุมและขโมยข้อมูลจากอุปกรณ์ที่ใช้ iOS ได้ โดยช่องโหว่นี้อยู่ในไฟล์ mobileconf ซึ่งถูกใช้โดยผู้ให้บริการของโทรศัพท์มือถือในการเข้าจัดการระบบในสิทธิ์ของผู้ดูแล รวมไปถึงข้อมูลการใช้งานเครือข่ายไร้สายต่างๆ ซึ่งมักถูกนำไปใช้ในการออกแพตซ์และอัพเดตของทางแอปเปิลและผู้ให้บริการเอง

โดยการวิจัยช่องโหว่นั้น ได้ทำการทดลองสร้างเว็บไซต์ลวงเพื่อหลอกล่อให้ผู้ใช้งานทำการติดตั้งโปรไฟล์ของอุปกรณ์ผ่านทางโฆษณาชวนเชื่อบนเว็บไซต์ และข้อความที่แนบมากับอีเมลต่างๆ โดยโปรไฟล์นี้จะอยู่ในลักษณะโปรแกรมขนาดเล็กที่ถูกใช้บ่อยในการตั้งค่าของเครื่องเช่น การบังคับปิด EDGE/3G เพื่อป้องกันการรั่วเมื่อไม่ได้ใช้งาน แต่ในกรณีนี้แฮกเกอร์ได้สร้างโปรไฟล์ซึ่งสามารถเข้าถึงข้อมูลของผู้ใช้รวมไปถึงทำอะไรที่อาจจะสร้างความเสียหายได้ โดยลักษณะของการโจมตีผ่านทางโปรไฟล์นี้อยู่นอกเหนือการทำงานของ sandbox ซึ่งควบคุมเพียงแค่แอพและการเข้าถึงเว็บไซต์เท่านั้น

กรณีนี้เคยเกิดขึ้นกับบริษัท AT&T มาแล้วผ่านทางช่องโหว่เดียวกัน โดยแฮกเกอร์ได้เข้าไปตั้งค่า APN ของอุปกรณ์และทำให้สามารถเข้าถึงข้อมูลของทาง AT&T ได้ สำหรับวิธีการป้องกันคือ ควรติดตั้งโปรไฟล์ต่างๆ จากเว็บไซต์ที่เชื่อถือได้เท่านั้น เช่น มีการใช้ HTTPS/SSL ในการยืนยันเว็บไซต์และเพื่อป้องกันการโจมตีแบบ man-in-the-middle ด้วย

ที่มา - Skycure Security via The Hacker News

พบช่องโหว่แบบ backdoor ในเราท์เตอร์ TP-Link TL-WDR4300 และ TL-WR743ND มีช่องโหวทำให้สร้าง URL ที่สั่งให้เราท์เตอร์ดาวน์โหลดไฟล์ทาง TFTP ขึ้นมาเพื่อรันในสิทธิ root

บั๊กนี้มีผลให้แฮกเกอร์แม้อยู่ภายนอกก็สามารถโจมตีเราท์เตอร์ได้หากเปิดพอร์ต HTTP บนขา WAN เอาไว้ และแม้จะปิดพอร์ตบนขา WAN ก็ยังมีความเสี่ยงบ้างที่แฮกเกอร์จะอาศัยช่องโหว่ CSRF เพื่อเปิดช่องโหว่นี้ขึ้นมาได้ (แต่จะอัพโหลด TFTP ต้องใช้ช่องโหว่อื่น)

ปัญหานี้ถูกแจกไปยังทาง TP-Link เมื่อวันที่ 12 กุมภาพันธ์ที่ผ่านมา จนกระทั่งเมื่อครบ 30 วันหลังการแจ้งแล้วไม่มีการตอบกลับ ทีมงานจึงเปิดเผยปัญหาสู่สาธารณะ

ที่มา - Sekurak

Matthew Keys ผู้ช่วยบรรณาธิการโซเชียลมีเดียของสำนักข่าวรอยเตอร์สถูกตั้งข้อหาช่วยเหลือแฮ็กเกอร์ในกลุ่ม Anonymous เพื่อเข้าไปยัง CMS ของ Tribune Company ที่เป็นเจ้าของหลายสื่อ รวมถึง Los Angeles Times เพื่อโพสข่าวปลอมบนหน้าเว็บ

Matthew Keys เคยทำงานเป็นเว็บโปรดิวเซอร์ของสถานี KTXL FOX 40 ในเครือ Tribune Company ในคำฟ้องของสำนักงานอัยการ ระบุว่าเขาเป็นผู้ใช้ที่ชื่อว่า AESCracked ที่ระบุตัวว่าเคยใช้งาน CMS ของ Tribune Company มาก่อนและสร้างชื่อผู้ใช้เตรียมไว้ จากนั้นจึงนำรหัสผ่านไปส่งให้แฮ็กเกอร์ที่ใช้ชื่อ sharpie ซึ่งต่อมาถูกจับ และได้รับข้อเสนอจาก FBI แลกการลดโทษกับการช่วยจับแฮกเกอร์รายอื่นๆ ในกลุ่ม LulzSec และ AntiSec อีกหลายคน

Keys ถูกระบุตัวว่าเป็นผู้ใช้ AESCracked ในภายหลัง ตอนนี้ยังไม่มีข้อมูลว่ากระบวนการเชื่อมโยงข้อมูลตัวเขากับผู้ใช้เป็นอย่างไร เพราะเขาใช้ VPN เพื่อปกปิดตัว

โทษสูงสุดของข้อกล่าวหาคือ จำคุก 25 ปี และปรับ 750,000 ดอลลาร์

ที่มา - Wired

แพตซ์ MS13-027 เพิ่งออกมาเมื่อสองวันก่อน ทางไมโครซอฟท์ก็ออกมาอธิบายว่าบั๊กเป็นบั๊กในการอ่าน USB descriptors ที่อุปกรณ์ USB ทุกตัวจะส่งให้กับเครื่องแม่ (USB Host) เพื่อประกาศตัวเองว่าเป็นอุปกรณ์ชนิดใด

บั๊กนี้ทำให้แฮกเกอร์สามารถสร้างอุปกรณ์ USB ที่ประกาศตัวเองในรูปแบบที่มุ่งร้าย สามารถส่งโค้ดเข้ามารันในเครื่องได้ ที่แย่กว่านั้น คือ กระบวนการตรวจสอบอุปกรณ์ USB นั้นอยู่ในเคอร์เนล โค้ดที่ส่งเข้ามาจึงถูกรันในสิทธิเคอร์เนลไปด้วย โดยผู้ใช้ไม่ต้องรันหรือคลิกใดๆ และแม้แต่กรณีที่ผู้ใช้ยังไม่ได้ล็อกอินหรือล็อกหน้าจอไว้ แฮกเกอร์ก็ยังโจมตีได้

บั๊กนี้มีผลตั้งแต่ Windows Server 2003 มาจนถึง Windows 8 ทุกคนควรกดอัพเดตครับ

ที่มา - TechNet

FBI เร่งตรวจสอบกรณีที่มีแฮกเกอร์ได้ทำการเปิดเผยข้อมูลสำคัญของทั้งดารานักแสดง เจ้าหน้าที่รัฐฯ ระดับสูง รวมไปถึงสตรีหมายเลขหนึ่ง ซึ่งข้อมูลดังกล่าวนั้นประกอบไปด้วยชื่อ วันเดือนปีเกิด หมายเลขประกันสังคม ที่อยู่ทั้งในอดีตและปัจจุบัน รวมไปถึงข้อมูลทางการเงินด้วย

โดยผู้ตกเป็นเหยื่อในครั้งนี้ได้แก่สตรีหมายเลขหนึ่ง Michelle Obama, Robert Mueller หัวหน้า FBI, Hillary Clinton รัฐมนตรีว่าการกระทรวงการต่างประเทศ รวมไปถึงศิลปิน ดาราและนักแสดงอย่าง Ashton Kutcher, Jay Z, Beyonce, Paris Hilton, Britney Spears เป็นต้น

กระทรวงยุติธรรมได้ให้สัมภาษณ์กับสำนักข่าว ABCNews ว่าในขณะนี้ทาง FBI ได้เข้าไปตรวจสอบในเหตุการณ์นี้แล้ว ซึงก็ยังเป็นที่สงสัยกันอยู่ว่าแฮกเกอร์ได้ข้อมูลเหล่านี้มาโดยวิธีไหน อย่างไร

ที่มา - SC Magazine

ผู้ใช้ลินุกซ์คงคุ้นเคยกับข้อความอบรมเมื่อเรียกใช้โปรแกรม sudo ครั้งแรกกันดี (ความสามารถนี้ไม่ได้ถูกเปิดไว้แต่ต้นใน Ubuntu ครับ)

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

ผู้เชี่ยวชาญด้านความปลอดภัย Eric Romang พบช่องโหว่ใหม่ของ Java ที่เกี่ยวข้องกับใบรับรองดิจิทัล (digital certification)

ตามปกติแล้ว แอพเพล็ต Java ที่ถูก sign ด้วยใบรับรองดิจิทัลจะถูกมองว่าเชื่อถือได้ และสามารถทำงานได้ทันที (โดยผู้ใช้ไม่ต้องกดยินยอมก่อน) ในระดับความปลอดภัยแบบ High ซึ่งเป็นค่าดีฟอลต์ของ Java SE อยู่แล้ว

แต่ล่าสุดมีคนพบว่าแอพเพล็ตที่ถูก sign ด้วยใบรับรองดิจิทัลจากบริษัทที่มีตัวตนจริงแห่งหนึ่ง กลับเป็นมัลแวร์ที่ปลอมตัวมาด้วยใบรับรองที่ถูกขโมยไป ทำให้มัลแวร์ตัวนี้สามารถทำงานได้ทันทีถ้าหากผู้ใช้เข้าเว็บไซต์ที่ฝังแอพเพล็ตเอาไว้ โดย Java จะไม่ขึ้นคำเตือนใดๆ เพราะถือว่าเป็นแอพเพล็ตที่เชื่อถือได้

จากการสอบสวนพบว่าใบรับรองดิจิทัลฉบับนี้รับทราบกันทั่วไปว่าถูกขโมย และถูกเพิกถอน (revoke) โดยผู้ออกใบอนุญาตอย่าง GoDaddy ไปตั้งแต่เดือนธันวาคม 2012 แต่ค่าดีฟอลต์ของ Java SE ไม่เปิดใช้งานฟีเจอร์ที่คอยเช็คดูว่าใบอนุญาตถูกเพิกถอนไปหรือไม่ (check certificates for revocation) กลายเป็นช่องโหว่ง่ายๆ ให้แฮ็กเกอร์สามารถใช้ประโยชน์ได้นั่นเอง

ที่มา - Eric Romang via Infoworld

แอปเปิลเปลี่ยนมาใช้วิธีส่งข้อมูลแบบเข้ารหัส HTTPS สำหรับการเชื่อมต่อทั้งหมดของ App Store บนแพลตฟอร์ม iOS แล้ว

ก่อนหน้านี้การส่งข้อมูลระหว่าง App Store ไปยังอินเทอร์เน็ตไม่ถูกเข้ารหัส (หรือเข้ารหัสเพียงบางส่วน) ทำให้ผู้ใช้งานมีโอกาสโดนดักข้อมูลระหว่างทาง (เช่น Wi-Fi สาธารณะ หรือ spoofing) และนำข้อมูลไปใช้งานต่อได้ทันที

การเปลี่ยนแปลงครั้งนี้ย่อมช่วยให้ผู้ใช้ iOS ปลอดภัยกันมากขึ้นครับ

ที่มา - Ars Technica

งาน Pwn2Own เป็นงานแข่งขันเจาะระบบรักษาความปลอดภัยของเบราว์เซอร์ที่จัดมาแล้วหลายปี ในปีนี้เบราว์เซอร์ทั้งหมดล้วนไม่พ้นมือของนักวิจัยด้านความปลอดภัยไปได้

Chrome บน Windows นั้นถูกนักวิจัยจาก MWR Labs สองคนคือ Nils (@nils) และ Jon (@securitea) แฮ็กทะลุจาก sandbox ของ Chome เองออกมารันคำสั่งในโปรเซสของตัวเรนเดอร์ได้สำเร็จ ต่อจากนั้นยังอาศัยช่องโหว่ในเคอร์เนลของวินโดวส์เข้าไปรันคำสั่งในระดับ system ได้อีกด้วย โดยต้องอาศัยการหลบระบบรักษาความปลอดภัยทั้ง ASLR ที่ซ่อนแอดเดรสของฟังก์ชั่นต่างๆ เอาไว้ และ DEP ที่ป้องกันการรันคำสั่งนอกพื้นที่ที่กำหนด

Nils ที่เป็นผู้ร่วมทีมนั้น ก่อนที่จะเข้าทำงานในบริษัทนี้ เคยเข้าแข่งในประเภทบุคคลเมื่อปี 2009 และสามารถเจาะทะลุสามเบราว์เซอร์หลักได้ สำหรับการแข่งปีนี้เขาได้รางวัลรวม 100,000 ดอลลาร์ พร้อมกับรายงานช่องโหว่ไปยังไมโครซอฟท์และกูเกิลแล้ว

ทีมวิจัยจากมหาวิทยาลัย Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) ในเยอรมันค้นพบวิธีเลี่ยงระบบเข้ารหัสข้อมูลที่ถูกเพิ่มมาใน Android 4.0 Ice Cream Sandwich โดยการนำมือถือระบบปฏิบัติการ Android (ในที่นี้ใช้ Galaxy Nexus) ไปแช่แข็งจนกระทั่งอุณหภูมิของเครื่องต่ำกว่า -10 °C แล้วถอดและใส่แบตเตอรี่อย่างรวดเร็ว ส่งผลให้เครื่องเกิดช่องโหว่ นำไปสู่การแทรกแซงให้รันซอฟต์แวร์ภายนอกแทนที่ซอฟต์แวร์ Android ในเครื่อง กระบวนการดังกล่าวทำให้เราสามารถคัดลอกข้อมูลในเครื่องออกไปวิเคราะห์ถอดรหัสในคอมพิวเตอร์เครื่องอื่นได้

นอกจากนี้การที่โทรศัพท์มีอุณหภูมิต่ำยังช่วยให้แฮ็กได้ง่ายขึ้น เนื่องจากข้อมูลในหน่วยความจำจะหายไปช้า ทำให้มีเวลาในการดักจับกุญแจเข้ารหัส (encryption keys) ทำให้เพิ่มความเร็วในการถอดรหัสข้อมูลในเครื่อง

Tilo Muller หนึ่งในทีมวิจัยให้ข้อมูลว่า การโจมตีโดยวิธีนี้ ส่วนมากทำให้สามารถเข้าถึงข้อมูลที่เก็บไว้ในหน่วยความจำจำเช่น ประวัติการเข้าชมเว็บไซต์ ข้อความที่ส่งออกไป เป็นต้น นอกจากนี้จะทำการหาวิธีป้องกันและลองทดสอบกับโทรศัพท์ Android รุ่นอื่นๆ ต่อไป

ที่มา - BBC

หลังจากการแข่งขันด้านความปลอดภัย Pwn2Own ประจำปี 2013 จบไปในวันแรก ผลปรากฎว่าทั้ง IE, Firefox และ Chrome ถูกแฮกเกอร์เจาะสำเร็จทั้งสามผลิตภัณฑ์ โดยรายละเอียดมีดังนี้

IE10 ที่ถูกติดตั้งบน Surface Pro ได้ถูกเจาะโดยทีม VUPEN ด้วยช่องโหว่จำนวนสองตัวซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบรวมถึงข้ามผ่านการทำงานของ sandbox ได้ โดย VUPEN ได้รับเงินรางวัลจากช่องโหว่นี้เป็นจำนวน $100,000

นอกจาก iOS 6.1 จะพบช่องโหว่ที่เข้าถึงข้อมูลได้แม้ตั้งรหัสล็อคแล้ว ก็มีผู้ค้นพบช่องโหว่แบบเดียวกันนี้บน Galaxy S III ช่องโหว่นี้ ทำให้สามารถผ่านหน้าจอล็อคของ Galaxy S III ไปได้ และเข้าถึงได้ทุกฟังก์ชันของเครื่อง ผู้ค้นพบช่องโหว่นี้คือ Sean McMillan เขาได้แนะนำวิธีไว้ ดังนี้

1. กดปุ่มโทรฉุกเฉินในหน้า lockscreen
2. กดปุ่ม Emergency Contacts
3. กดปุ่มโฮมและตามด้วยปุ่ม power ทันที
4. หน้าจอจะดับ
5. กดปุ่ม power อีกที จะปรากฏหน้าจอ home screen ของ Galaxy S III

แต่ Sean McMillian บอกไว้ว่า

• การทำตามขั้นตอนเพื่อผ่านหน้า lockscreen นี้ อาจต้องทำหลายครั้ง ไม่จำเป็นว่าจะทำครั้งเดียวแล้วผ่าน
• ทดสอบกับ Galaxy S III ถึง 3 เครื่องแล้ว
• จะได้ผลดีเมื่อเปิดการหมุนหน้าจออัตโนมัติ

ทาง ZDNet ได้ส่งเรื่องนี้ยังซัมซุงแล้ว แต่ก็ยังไม่ได้รับคำตอบใด ๆ

ที่มา - Seclists, ZDNet ผ่าน The Verge

ตัวแทนของ Evernote ให้สัมภาษณ์กับ InformationWeek ว่าบริษัทจะนำระบบล็อกอินสองชั้น (Two-Factor Authentication) มาใช้ในเร็วๆ นี้ หลังกรณีโดนแฮ็กเมื่อไม่กี่วันที่แล้วจนต้องรีเซ็ตรหัสผ่านของผู้ใช้ทุกราย

Evernote บอกว่ามีแผนจะทำระบบ Two-Factor Authentication อยู่แล้ว แต่เมื่อโดนแฮ็กก็ต้องเร่งทำระบบนี้ให้เสร็จเร็วกว่าเดิม ในเบื้องต้นระบบนี้จะยังเป็นทางเลือก (optional) ให้ผู้ใช้ที่ต้องการความปลอดภัยระดับสูงกว่าการใช้รหัสผ่านอย่างเดียว

การล็อกอินแบบ Two-Factor Authentication จะใช้รหัสผ่านตามปกติควบคู่กับรหัสพิเศษอีกชุดหนึ่งที่ใช้ครั้งเดียวแล้วทิ้ง (ทำนองเดียวกับ OTP ที่ธนาคารออนไลน์ใช้งานอยู่) ปัจจุบันเว็บไซต์ดังๆ อย่าง Google, Facebook, Yahoo!, Xbox Live, PayPal มีระบบนี้ให้เลือกใช้เช่นกัน

ที่มา - InformationWeek

ต่อจาก พบอีก 2 ช่องโหว่ใหม่ใน Java รุ่นล่าสุด 7u15 ออราเคิลก็ประกาศออก Java 7u17 (ข้ามเลข 16) เพื่อแก้ปัญหาทั้ง 2 จุดแล้ว

ออราเคิลให้ข้อมูลว่าได้รับรายงานช่องโหว่ดังกล่าวเมื่อวันที่ 1 กุมภาพันธ์ ซึ่งช้าไปสำหรับการออกแพตช์รอบ 19 กุมภาพันธ์ และตั้งใจจะรวมแพตช์ไว้ในการออกรอบ 16 เมษายนแทน แต่เมื่อมีรายงานว่าช่องโหว่นี้ถูกใช้งานในวงกว้าง บริษัทจึงตัดสินใจออกแพตช์ชุดนี้ทันที

อย่างไรก็ตาม ผู้เชี่ยวชาญความปลอดภัย Security Explorations จากโปแลนด์ ก็ประกาศว่าพบช่องโหว่ใหม่ของ Java อีก 5 จุด ตอนนี้ยังไม่มีรายงานการโจมตีด้วยช่องโหว่ชุดใหม่นี้ และส่งข้อมูลให้ออราเคิลเรียบร้อยแล้ว

เช่นเดียวกับข่าว Java ข่าวก่อนๆ นั่นคือผู้ใช้ควรอัพเดตเวอร์ชันล่าสุดทันที หรือปิดการทำงานของ Java บนเบราว์เซอร์ถ้าไม่จำเป็นต้องใช้งาน

ที่มา - Oracle, The Next Web