ไต้หวันประกาศจัดงานซ้อมรบไซเบอร์ครั้งแรกในเดือนพฤศจิกายนนี้ โดยรูปแบบการซ้อมถอดมาจากการซ้อม Cyber Storm ของสหรัฐฯ และการซ้อมครั้งนี้จะมี 15 ชาติจาก อาเซียน, ยุโรป, และสหรัฐฯ เข้าร่วม

การซ้อมแบ่งออกเป็นความระมัดระวัง phishing ของเจ้าหน้าที่ไต้หวันเอง อีกส่วนเป็นการจำลองการโจมตีจากเกาหลีเหนือ ที่จะโจมตีโครงสร้างพื้นฐานและสถาบันการเงิน

ในการซ้อมรบครั้งนี้ ทางไต้หวันจะทำหน้าที่ป้องกัน (blue team) และชาติอื่นๆ ที่เข้าร่วมจะทำหน้าที่โจมตี (red team)

ที่มา - Taipei Times

HP Inc. ประกาศซื้อกิจการบริษัทความปลอดภัย Bromium โดยไม่เปิดเผยมูลค่า

Bromium เป็นบริษัทด้านความปลอดภัยที่เน้นเรื่องอุปกรณ์ปลายทาง (endpoint) โดยใช้เทคนิคการสร้าง virtual machine ขนาดเล็กขึ้นมาครอบงานย่อยๆ เช่น การดาวน์โหลดไฟล์ หรือการคลิกลิงก์ เพื่อแยกส่วน (isolate) ภัยคุกคามที่อาจเกิดขึ้น และปิด VM นั้นไปเมื่องานนั้นเสร็จเรียบร้อย

ที่ผ่านมา HP ซื้อไลเซนส์ซอฟต์แวร์ของ Bromium ไปใช้งานในฟีเจอร์ Sure Click ในโน้ตบุ๊กของตัวเอง (อ่านวิธีการใช้งานใน รีวิว HP EliteBook x360 830 G6) จึงไม่แปลกใจนักที่ HP จะซื้อทั้งบริษัทเพื่อนำเทคโนโลยีมาใช้งานในอุปกรณ์อื่นๆ ด้วย

ธนาคารแห่งประเทศไทยประกาศตั้งเป้าเปลี่ยนบัตรเอทีเอ็มและบัตรเดบิตที่ยังเป็นบัตรแม่เหล็ก ให้เป็นบัตรชิป โดยธนาคารในประเทศไทยได้หยุดออกบัตรแม่เหล็กมาตั้งแต่ปี 2016 ตอนนี้ทางก็มีกำหนดออกมาว่าบัตรแม่เหล็กทั้งหมดจะใช้งานได้ถึงวันที่ 15 มกราคม 2020 เท่านั้น

ประกาศเดิมของธนาคารแห่งประเทศไทยระบุให้บัตรแม่เหล็กใช้งานได้ถึงวันที่ 31 ธันวาคม 2019 ประกาศล่าสุดนี้จึงเป็นการเลื่อนออกไปแล้วเล็กน้อย

ตอนนี้บัตรแม่เหล็กยังคงเหลืออยู่ในระบบอีก 20 ล้านใบทั่วประเทศแม้จะหยุดออกบัตรใหม่มานานแล้ว ขณะที่บัตรชิปมีจำนวน 47 ล้านใบ

Tavis Ormandy นักวิจัยจาก Project Zero รายงานช่องโหว่ของ LastPass เปิดทางให้แฮกเกอร์สามารถดึงรหัสผ่านล่าสุดที่ใช้ล็อกอินในเบราว์เซอร์แท็บเดียวกันออกมาได้ แม้จะเป็นคนละเว็บกัน

ผู้ใช้จะมีความเสี่ยงต่อเมื่อใช้ส่วนขยาย LastPass สำหรับ Chrome โดยตอนนี้เป็นส่วนขยายที่มีคนใช้งานอยู่ถึง 10 ล้านคน

ทาง LastPass แก้ไขในเวอร์ชั่น 4.33.0 เรียบร้อย โดยใช้เวลาสองสัปดาห์หลัง Project Zero แจ้งไป จึงเปิดเผยข้อมูลออกมา

ที่มา - Project Zero

AdaptiveMobile Security บริษัทวิจัยความปลอดภัยไซเบอร์รายงานถึงช่องโหว่ Simjacker ที่เป็นช่องโหว่ของซอฟต์แวร์ในซิมการ์ด เปิดทางให้คนร้ายสร้าง SMS มุ่งร้ายเข้าไปสั่งงานในซิม เช่น การสั่งให้ส่ง SMS โดยเหยื่อไม่รู้ตัว

ช่องโหว่นี่เป็นของซอฟต์แวร์ S@T Browser ที่ไม่ตรวจสอบที่มาของคำสั่งอย่างถูกต้อง ทำให้เมื่อได้รับคำสั่งจาก SMS ที่ออกแบบมาเฉพาะ S@T Browser จะรันคำสั่งไปตามนั้น

คนร้ายสามารถสั่งให้ส่ง SMS ไปยังหมายเลขที่ต้องการ หรือสั่งเก็บข้อมูลเครือข่าย เช่น ตำแหน่งเสาสัญญาณโทรศัพท์ หรือหมายเลข IMEI เครื่อง

แอพกลุ่ม Authenticator สำหรับทำ Two factor authentication (TFA หรือ 2FA) จากสมาร์ทโฟน มีให้เลือกใช้งานกันมากมาย และแอพบางตัวมีฟีเจอร์การซิงก์ข้อมูล credential เก็บขึ้นคลาวด์ให้ด้วย ช่วยป้องกันปัญหากรณีมือถือหายแล้วไม่สามารถล็อกอินบัญชีต่างๆ ได้

ล่าสุดไมโครซอฟท์ประกาศว่า Microsoft Authenticator บน Android ก็รองรับฟีเจอร์นี้เช่นกัน โดยข้อมูล credential จะถูกเก็บลงบัญชี Microsoft Account ของเรา (นั่นแปลว่ามีความเสี่ยงเช่นกันที่บัญชี Microsoft Account ของเราถูกเข้าถึงได้ และได้ข้อมูล credential ตรงนี้ไป)

กูเกิลประกาศ "ทดลอง" การใช้งาน DNS-over-HTTPS (DoH) บนเบราว์เซอร์ Chrome เช่นเดียวกับ Firefox ที่ประกาศไปก่อนหน้านี้ แต่แนวทางการทดลองนั้นต่างออกไป โดย Chrome จะยึดค่าเซิร์ฟเวอร์ DNS ตามเดิมที่ตั้งไว้ แต่หากพบว่าเซิร์ฟเวอร์นั้นรองรับ DoH ก็จะอัพเกรดไปใช้เอง

แนวทางนี้ทำให้ผู้ใช้น่าจะไม่ประสบปัญหาอื่น เช่น บางคนความเร็วอินเทอร์เน็ตตกเพราะคิวรี DNS ได้ค่าเปลี่ยนไปจากปกติ หรือปัญหากับโปรแกรมควบคุมเนื้อหาสำหรับผู้ปกครอง เนื่องจากตัวเบราว์เซอร์ยังเคารพการตั้งค่าของระบบอยู่

ZERODIUM บริษัทนายหน้าซื้อขายช่องโหว่ซอฟต์แวร์ประกาศปรับราคารับซื้อ รอบใหม่ โดยเพิ่มหมวดการโจมตีแอนดรอยด์แบบผู้ใช้ไม่ต้องคลิกใดๆ ราคาแพงที่สุด 2.5 ล้านดอลลาร์ แซงหน้าช่องโหว่แบบเดียวกันของ iOS ที่รับซื้อราคาเดิม 2 ล้านดอลลาร์

นอกจากการเพิ่มช่องโหว่แอนดรอยด์แล้ว ZERODIUM ยังปรับลดราคาการโจมตีแบบคลิกเดียวสำหรับ iOS เหลือ 1 ล้านดอลลาร์จาก 1.5 ล้านดอลลาร์

Chaouki Bekrar ผู้ก่อตั้ง ZERODIUM ระบุกับ WIRED ว่าช่องโหว่ iOS เริ่มมีขายมากขึ้นในตลาดทำให้ราคาเริ่มปรับลด ขณะที่แอนดรอยด์มีการปรับปรุงต่อเนื่องทำให้การพัฒนาการโจมตีแบบผู้ใช้ไม่ต้องคลิกเลยนั้นทำได้ยากขึ้นมาก

ศูนย์ความมั่นคงปลอดภัยไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) แจ้งเตือนว่า Python 2 จะหมดอายุซัพพอร์ตวันที่ 1 มกราคม 2020 นี้ ทำให้ไม่มีแพตช์อีกต่อไป แต่แอปพลิเคชั่นจำนวนมากยังคงทำงานบน Python 2

การแก้ไขที่ดีที่สุดคือการย้ายไปใช้ Python 3 ซึ่งมีหลายช่องทางนับแต่การใช้โปรแกรม 2to3 ของโครงการเอง หรือไลบรารี six ที่ช่วยรักษาความเข้ากันได้ระหว่างเวอร์ชั่น

แอปเปิลออกแถลงการณ์ชี้แจง หลังนักวิจัยของกูเกิลใน Project Zero เผยแพร่รายงานการโจมตี iOS ก่อนมีแพตช์ออกมาเมื่อเดือนกุมภาพันธ์ โดยบอกว่าช่องโหว่ในรายงานฉบับนี้มีผลกระทบที่จำกัด ไม่ได้มีผลเป็นวงกว้างอย่างที่รายงานพยายามทำให้ผู้ใช้ iOS กลัว เว็บไซต์ที่มีการฝังมัลแวร์ผ่านช่องโหว่ก็มีเพียงไม่ถึง 10 เว็บไซต์ และมีเนื้อหาเฉพาะเจาะจงมาก

ZDNet อ้างแหล่งข่าวที่เกี่ยวข้องกับการโจมตี ระบุว่ากลุ่มแฮกเกอร์ APT5 หรือ Mananese เริ่มใช้ช่องโหว่ VPN ของ Fortinet และ Pulse Secure เพื่อโจมตีเป็นวงกว้าง โดยช่องโหว่ทั้งสองรายการนั้นมีแพตช์ออกมาหลายเดือนแล้ว

ช่องโหว่ CVE-2018-13379 เป็นช่องโหว่ที่เปิดให้แฮกเกอร์สามารถอ่านไฟล์บนเซิร์ฟเวอร์ VPN ได้โดยไม่ต้องยืนยันตัวตน เปิดทางให้แฮกเกอร์ดาวน์โหลดไฟล์ของระบบออกมาได้ โดยทาง Fotinet ออกแพตช์มาตั้งแต่เดือนพฤษภาคม และรายละเอียดช่องโหว่มีการนำเสนอในงาน BlackHat 2019 ที่ผ่านมา

หลังแอคเคาท์ของ Jack Dorsey ซีอีโอ Twitter ถูกแฮ็กผ่านผ่านทางเบอร์โทรศัพท์ ล่าสุด Twitter ประกาศปิดฟีเจอร์ทวีตผ่าน SMS

Twitter บอกด้วยว่าจะปรับปรุงระบบยืนยันตัวตน 2 ขั้นผ่านทาง SMS ขณะเดียวกันก็ระบุว่าจะกลับมาเปิดฟีเจอร์นี้อีกครั้ง ในประเทศที่ใช้ SMS เป็นช่องทางการสื่อสารหลัก

ที่มา - @Twitter Support via The Verge

บริษัทความปลอดภัย Eclypsium ออกรายงานช่องโหว่ชิปเซ็ตจัดการเซิร์ฟเวอร์ (baseboard management controller - BMC) ที่ช่วยให้ผู้ดูแลระบบสามารถเปิดปิดเซิร์ฟเวอร์, รีบูต, และอัพเดตเฟิร์มแวร์ได้จากระยะไกล โดย BMC ของเซิร์ฟเวอร์ Supermicro หลายรุ่นมีช่องโหว่ที่เปิดทางให้แฮกเกอร์สามารถยิงข้อมูลจนเหมือนมีอุปกรณ์ USB ไปเสียบอยู่หน้าเครื่องจริงๆ

ช่องโหว่นี้อาศัยฟีเจอร์ Virtual CD-ROM ของ Supermicro ที่มีแอปพลิเคชั่นจาวามาให้ผู้ดูแลระบบ สามารถเมาน์ไฟล์ ISO ไปเหมือนใส่แผ่นซีดีติดตั้งระบบปฎิบัติการอยู่หน้าเครื่อง โดยฟีเจอร์นี้ที่จริงแล้วเป็นฟีเจอร์อุปกรณ์ USB เสมือน ที่หากส่งข้อมูลถูกต้อง เครื่องปลายทางสามารถจำลองอุปกรณ์ USB อะไรก็ได้เหมือนไปเสียบอุปกรณ์ที่เครื่องจริงๆ

Instagram ถือเป็นบริการโซเชียลที่ได้รับความนิยมอย่างสูง และมีคนไทยใช้กันเป็นจำนวนมาก รวมถึงผู้มีชื่อเสียง ดารา นักร้อง ฯลฯ และปัญหาที่เราพบได้บ่อยๆ ตามหน้าสื่อ คือ "บัญชี Instagram โดนแฮ็ก" (ไม่ว่าจะแฮ็กจริงหรือทำให้ดูเหมือนถูกแฮ็กก็ตาม)

ในฐานะที่ Blognone สนใจประเด็นเรื่องความปลอดภัยไซเบอร์ จึงขอนำเสนอ Howto ง่ายๆ ในการป้องกันบัญชี Instagram ของเรา

เมื่อคืนนี้เกิดเหตุ Jack Dorsey ซีอีโอและผู้ร่วมก่อตั้ง Twitter ถูกแฮ็กบัญชี @jack และโพสต์ข้อความระบุว่าเป็นผลงานของกลุ่มแฮ็กเกอร์ Chuckling Squad

โฆษกของ Twitter รายงานว่าสาเหตุไม่ได้มาจากระบบของ Twitter ถูกแฮ็ก แต่เกิดจากการแฮ็กเบอร์โทรศัพท์ที่ผูกกับบัญชี @jack ทำให้แฮ็กเกอร์สามารถโพสต์ข้อความบนบัญชีของ @jack ได้ผ่าน SMS

ตอนนี้ยังไม่มีรายละเอียดว่าแฮ็กเกอร์เข้าถึงเบอร์โทรศัพท์ของ Dorsey ได้อย่างไร และเป็นโอเปอเรเตอร์รายใดในสหรัฐอเมริกา แต่ BuzzFeed รายงานโดยอ้างแหล่งข่าวใกล้ชิดว่า Dorsey เปลี่ยนซิมโทรศัพท์เรียบร้อยแล้ว

ศูนย์ไซเบอร์กองทัพบกประกาศรับสมัครตำแหน่งด้านความมั่นคงปลอดภัยไซเบอร์ระดับสูงรวม 3 ตำแหน่ง โดยทั้งสามตำแหน่งมี เงินเดือนเท่ากันคือ 68,350 บาท และระยะเวลาจ้างสิ้นสุดไม่เกินวันที่ 30 กันยายน 2563 โดยต้องการประสบการณ์ด้านเทคโนโลยีสารสนเทศและด้านความมั่นคงปลอดภัยไซเบอร์อย่างน้อย 12 ปี หรือมีใบรับรองด้านความมั่นคงปลอดภัยไซเบอร์ เช่น CISSP, CISM, CEH แล้วแต่ตำแหน่งงาน

ตำแหน่งงานทั้ง 3 ได้แก่

Project Zero รายงานย้อนหลังถึงการพบการโจมตี iOS ก่อนที่จะมีแพตช์ หรือช่องโหว่ 0-day ย้อนหลัง 5 รายการ นับแต่ปี 2016 ในสมัย iOS 10 มาจนถึง iOS 12 เมื่อต้นปีที่ผ่านมา

ตัวอย่างการวิเคราะห์ช่องโหว่ล่าสุดเมื่อต้นปีที่ผ่านมา แสดงให้เห็นว่ามีฟีเจอร์ในเคอร์เนลที่ยังอิมพลีเมนต์ไม่เสร็จ แต่โค้ดถูกรวมไปกับ iOS แล้ว และเข้าถึงจากตัว sandbox ของแอปพลิเคชั่นได้ การอิมพลีเมนต์ครึ่งๆ กลางๆ กลายเป็นช่องทางให้โค้ดมุ่งร้ายเจาะออกจาก sandbox ได้ในที่สุด

เวลาเราเห็นตามข่าวหรือมีเพื่อนมาโวยวายว่า "ถูกแฮ็กบัญชี" บ่อยครั้งมักเกิดจากความผิดพลาดของตัวเจ้าของบัญชีเองที่ไปล็อกอินค้างไว้หรือจดรหัสต่างๆ เก็บไว้แล้วมีผู้อื่นเข้าถึงได้ หรือเกิดเหตุการณ์ใดๆ ที่ทำให้รหัสผ่านหลุด เช่นผู้ให้บริการไม่ได้เก็บรหัสผ่านของผู้ใช้แบบเข้ารหัส หากบริการเหล่านั้นมีช่องโหว่ก็สามารถทำให้ผู้ไม่ประสงค์ดีเข้าถึงรหัสผ่านได้

วิธีแก้ปัญหา "รหัสหลุด" ที่ได้รับความนิยมสูงคือการยืนยันตัวตนหลายปัจจัย หรือ multi-factor authentication (MFA) เช่นที่เราคุ้นเคยกันคือการส่งรหัส OTP มาทาง SMS (ปัจจุบันไม่ค่อยปลอดภัยแล้วเพราะเสี่ยงต่อการออกซิมปลอม หรือ SIM Swapping/SIM Hijacking)

นักวิจัยจาก Kaspersky ค้นพบว่าแอปสแกนไฟล์เป็น PDF ชื่อดังอย่าง CamScanner เวอร์ชันฟรีถูกฝังมาด้วยโมดูล Trojan Dropper ที่เปิดทางให้แฮกเกอร์แอบดาวน์โหลดและติดตั้งไฟล์ได้จากทางไกลโดยที่เจ้าของเครื่องไม่รู้ Google ทราบเรื่องนี้และนำแอปออกจาก Play Store แล้ว

ปัญหานี้น่าจะไม่ได้เกิดจากตัว CamScanner โดยตรงแต่เกิดจากการที่นักพัฒนาของ CamScanner ไปใช้โมดูลโฆษณาภายนอกเจ้าหนึ่งซึ่งมาพร้อมโมดูล Trojan Dropper ตัวนี้ ซึ่งนักวิจัยจาก Kaspersky ระบุด้วยว่าเคยเจอโมดูลมัลแวร์ตัวนี้อยู่ในแอปที่ถูกติดตั้งมาในสมาร์ทโฟนราคาถูกจากจีน

แน่นอนว่าปัญหานี้เกิดจากการใช้ไลบรารีโฆษณาในเวอร์ชันฟรี ดังนั้นคนที่ใช้เวอร์ชันเสียเงินจะไม่ได้รับผลกระทบจากปัญหานี้ ส่วนคนที่ใช้ฟรีแนะนำให้ลบแอปออกไปก่อนครับ

สัปดาห์ก่อนประเด็นในแวดวงความปลอดภัยว่า Valve ปฏิเสธไม่รับแจ้งช่องโหว่ LPE ของ Steam Client ที่นักวิจัยแจ้งผ่านทาง HackerOne เพราะ Valve มองว่ากเป็นช่องโหว่ที่อยู่นอกสโคป ต้องวางไฟล์ในเครื่องเหยื่อก่อนจึงไม่เข้าข่ายที่จะรับรายงาน

ล่าสุด Valve แถลงการณ์ออกมายอมรับความผิดพลาดที่ปฏิเสธไม่รับแจ้งช่องโหว่ดังกล่าวแล้ว พร้อมแก้ไขกฎกติกาบน HackerOne ให้ครอบคลุมช่องโหว่ LPE และจะยอมรับการแจ้งช่องโหว่ลักษณะนี้แล้ว ขณะที่นักวิจัยที่เคยแจ้งช่องโหว่เหล่านี้มาก่อนหน้านี้ Valve ระบุว่าจะดำเนินการต่อไป

npm แจ้งเตือนว่าแพ็กเกจ bb-builder มีโค้ดมุ่งร้ายที่มุ่งเป้าเหยื่อที่รันวินโดวส์ โดยพยายามอัพโหลดข้อมูลกลับไปยังเซิร์ฟเวอร์ของคนร้าย

ประกาศแจ้งว่าคอมพิวเตอร์ที่ติดตั้งแพ็กเกจนี้แล้วควรถือว่าถูกแฮกไปแล้ว และยกเลิกค่าความลับและกุญแจต่างๆ ที่อยู่บนเครื่องโดยเร็ว แม้แต่การลบแพ็กเกจไปแล้วก็ไม่รับประกันว่าคนร้ายติดตั้งโค้ดมุ่งร้ายอื่นลงบนเครื่องไปแล้วหรือไม่ โดยตอนนี้ bb-builder มีสถานะเป็น security holding ที่ทีมงาน npm ถือไว้เองไม่ให้ใครมาสร้างแพ็กเกจชื่อนี้

คาซัคสถานได้ออกนโยบายเชื่อมต่ออินเทอร์เน็ตต้องติดตั้ง root CA ของรัฐบาล โดยอ้างความปลอดภัย ซึ่งจะทำให้รัฐบาลดักฟังอินเทอร์เน็ตได้ทั่วประเทศ

แม้ว่าสุดท้าย คาซัคสถานจะประกาศหยุดระบบนี้ (โดยเรียกว่าเป็นการทดสอบ) และอนุญาตให้ประชาชนลบใบรับรองออกได้แล้ว แต่ Google และ Mozilla ได้เตรียมมาตรการขั้นถัดไป คือหยุดการเชื่อถือใบรับรองเหล่านี้แม้ว่าจะติดตั้งอยู่ในเครื่องของผู้ใช้ก็ตาม

ส่วนฝั่ง Apple โฆษกระบุว่าทางบริษัทปกป้องผู้ใช้ โดยจะทำให้ Safari ไม่เชื่อถือใบรับรองนี้

สองวันก่อนมีรายงานถึงโครงการโมดูล rest-client ในที่เป็นไลบรารีภาษา Ruby ถูกเพิ่มโค้ดเข้ามาในเวอร์ชั่น 1.6.13 และเป็นโค้ดมุ่งร้าย ที่จะดาวน์โหลดไฟล์จากอินเทอร์เน็ตเข้ามารันบนเครื่อง จากการสอบสวนพบว่า Matthew Manning ผู้ดูแลโครงการถูกแฮกบัญชีใน Rubygems จนคนร้ายสามารถอัพโหลดโมดูลขึ้นไปได้เอง

ทาง Rubygems สอบสวนเพิ่มเติมและพบว่าที่จริงแล้วมีโมดูลอีกนับสิบที่มีโค้ดแบบเดียวกัน แต่โมดูลส่วนมากเป็นการนำโค้ดโมดูลอื่นมาเพิ่มโค้ดมุ่งร้ายและอัพโหลดไปใหม่ในชื่ออื่น โดยโค้ดเหล่านี้ถูกดาวน์โหลดไปบ้างระดับร้อยครั้งต่อโมดูล รวมแล้วมีโค้ดถูกดาวน์โหลดทั้งหมดหลายพันครั้ง

ปัจจุบัน รัฐจอร์เจียใช้เครื่องลงคะแนนเสียงแบบไม่ใช้กระดาษ direct-recording electronic (DRE) ที่ฮาร์ดแวร์และซอฟต์แวร์ถูกใช้งานมานานกว่า 10 ปี ทั้งยังมีช่องโหว่สำคัญต่อระบบจนทำให้รัฐแคลิฟอร์เนียเลิกใช้เครื่อง DRE ในการเลือกตั้งภายในรัฐมาแล้ว แต่จอร์เจียก็ยังคงใช้อยู่มาจนถึงทุกวันนี้ จึงทำให้กลุ่มผู้มีสิทธิ์ลงคะแนนเสียงในรัฐจอร์เจียได้ฟ้องร้องให้รัฐจอร์เจียเลิกใช้ระบบลงคะแนนเสียง DRE ตั้งแต่ปี 2017 เนื่องจากระบบมีช่องโหว่ที่เสี่ยงต่อการแฮก

ล่าสุด ศาลสหพันธรัฐได้ออกคำสั่งให้จอร์เจียหยุดใช้เครื่อง DRE โดยผู้พิพากษา Amy Totenberg ระบุว่าเครื่องลงคะแนนเสียงระบบนี้ล้าสมัยและมีช่องโหว่สำคัญ ตรวจสอบไม่ได้ ซึ่งศาลสั่งให้รัฐจอร์เจียจะต้องหยุดใช้เครื่องนี้ภายในปีหน้า