การสื่อสารผ่านโทรศัพท์มือถือบนเครือข่ายดิจิทัลนั้นมีการพัฒนามายาวนาน และมาตรฐานหลายตัวที่ออกมานับสิบปีแล้วก็ยังคงมีอุปกรณ์รองรับอยู่แม้มาตรฐานใหม่ๆ จะแก้ไขไปมากแล้ว สัปดาห์ที่ผ่านมากองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บก.สอท.) ก็ประกาศจับกุมกลุ่มคนร้ายที่อาศัยการโจมตีด้วยการตั้งสถานีปลอม (False Base Station) เพื่อยิง SMS เข้าไปยังโทรศัพท์มือถือโดยตรง ในบทความนี้จะมาสำรวจถึงการโจมตีรูปแบบนี้
Google Trust Service (GTS) บริการออกใบรับรองเข้ารหัสเว็บ (Certification Authority - CA) ของกูเกิลประกาศเปิดให้บริการออกใบรับรองแก่ผู้ที่มีบัญชี Google Cloud ทุกคน หลังจากเปิดบริการนี้เมื่อปีที่แล้วในวงจำกัด
GTS ให้บริการผ่านโปรโตคอล ACME จึงใช้งานกับโปรแกรมเดิมที่ขอใบรับรองจาก Let’s Encrypt ได้ สำหรับผู้ดูแลเว็บ ก็อาจจะเลือกคอนฟิก CA ไว้หลายแห่งพร้อมกันเพื่อป้องกันปัญหาในกรณีที่ CA บางรายล่มไป หรือบางครั้ง CA อาจจะมีบั๊กจนต้องออกใบรับรองใหม่จำนวนมากจนให้บริการไม่ทัน
รัฐบาลจีนสั่งแบนการขายสินค้าของ Micron ด้วยเหตุผลเรื่องความมั่นคง หลังเริ่มเข้าตรวจสอบ Micron มาตั้งแต่เดือนเมษายน
หน่วยงานที่รับผิดชอบเรื่องนี้คือ Cyberspace Administration of China (CAC) ระบุว่าผลการตรวจสอบพบว่าหน่วยความจำของ Micron มีช่องโหว่ความปลอดภัยร้ายแรง เป็นอันตรายต่อความมั่นคงทางโครงสร้างพื้นฐานไอทีของประเทศจีน แต่ไม่ได้ให้ข้อมูลรายละเอียดว่าช่องโหว่นี้คืออะไร
ตามสไตล์หน่วยงานจีนที่ไม่บอกรายละเอียดของการแบน จึงคาดกันว่าการแบน Micron ครั้งนี้น่าจะเป็นมาตรการตอบโต้สหรัฐแบน YMTC บริษัทหน่วยความจำของจีน
PyPI บริการโฮสต์แพ็กเกจภาษา Python ประกาศหยุดรับแพ็กเกจใหม่ชั่วคราว เนื่องจากแพ็กเกจมุ่งร้ายเพิ่มขึ้น และทีมงานผู้ดูแลระบบหลายคนกำลังลา ทำให้ไม่สามารถจัดการแพ็กเกจเหล่านี้ได้ทันเวลา
บริการโฮสต์แพ็กเกจภาษาต่างๆ นั้นกลายเป็นเป้าหมายของแฮกเกอร์มากขึ้นเรื่อยๆ ในช่วงหลัง ทั้งการแฮกบัญชีของโครงการดังๆ โดยตรง หรือหลายครั้งก็ตั้งชื่อแพ็กเกจคล้ายๆ กันเพื่อหวังว่าจะมีคนพิมพ์ชื่อแพ็กเกจผิดจนมาโหลดมัลแวร์ไป
Group-IB รายงานถึงกลุ่มมัลแวร์เรียกค่าไถ่ Qilin ที่โจมตีบริษัทต่างๆ มาตั้งแต่ปี 2022 โดยกลุ่มนี้พัฒนาตัวมัลแวร์ด้วยภาษา Rust แทนภาษา Go ที่เคยใช้งานก่อนหน้านี้ ซึ่งทำให้วิเคราะห์การทำงานได้ยากขึ้นแต่ผู้พัฒนามัลแวร์สามารถพอร์ตตัวมัลแวร์ไปใช้งานบนระบบปฎิบัติการต่างๆ ได้ง่ายขึ้น
กระบวนการโจมตีของ Qilin อาศัยการปลอมอีเมลแบบเจาะจง (spear phishing) โดยอาศัยตัวแทนไปปล่อยมัลแวร์อีกที ทาง Qilin มีเว็บสำหรับจัดการการโจมตี ตัวแทนสามารถคอนฟิกจำนวนเงินค่าไถ่, ระยะเวลาจ่ายเงิน, แนวทางการเข้ารหัส, ไฟล์ที่ต้องการเข้ารหัส, ข้อความขู่เหยือ่, และแนวทางการประกาศขู่เหยื่อ นอกจากนี้ตัวแทนยังสามารถสร้างบัญชีผู้ใช้หลายๆ บัญชีเพื่อจัดการการโจมตีได้
Twitter เริ่มปล่อยระบบเข้ารหัสข้อความตามสัญญาแล้ว และแน่นอนว่าคนที่จะได้ฟีเจอร์นี้คือแอคเคาท์ที่ใช้งาน Twitter Blue โดยแชทที่เข้ารหัส จะมีปุ่มเปิดปิดเป็นรูปกุญแจอยู่ด้านขวาบน เวลาสร้างห้องสนทนาใหม่ และมีรูปกุญแจอยู่บริเวณขวาล่างของรูปโปรไฟล์คู่สนทนา
Twitter ระบุเบื้องต้นว่ากระบวนการเข้ารหัสเป็นแบบ end-to-end แต่ไม่มีกระบวนการตรวจสอบกุญแจเข้ารหัสว่าเป็นของจริง ทำให้ยังพอมีช่องโจมตีเพื่อดักส่งกุญแจเข้ารหัสปลอมได้อยู่ โดย Twitter ระบุว่าจะอธิบายในรายละเอียดและเปิดเผยข้อมูลทางเทคนิคบน Whitepaper ภายในปีนี้
ที่มา - Twitter
จากกรณี Western Digital โดนแฮ็กระบบภายในช่วงปลายเดือนมีนาคม 2023 โดยต้องปิดระบบ My Cloud ชั่วคราว
เวลาผ่านมาเดือนเศษ ล่าสุดบริษัทออกมาแถลงข้อมูลเพิ่มเติมว่า แฮ็กเกอร์ได้เข้าถึงฐานข้อมูลหน้าร้านออนไลน์ ซึ่งมีข้อมูลส่วนบุคคลของลูกค้า เช่น ชื่อ ที่อยู่ อีเมล หมายเลขโทรศัพท์ รวมไปถึงรหัสผ่านและหมายเลขบัตรเครดิตบางส่วนที่เข้ารหัสแล้ว (hashed and salted) ซึ่ง Western Digital จะแจ้งเตือนลูกค้าที่ได้รับผลกระทบต่อไป
GitHub ปรับระบบแจ้งเตือนความปลอดภัยของโครงการต่างๆ ที่อาจจะดึงไลบรารีที่เกี่ยวข้อง และตัวไลบรารีมีรายงานว่ามีช่องโหว่ความปลอดภัย โดยเฉพาะในโครงการที่ใช้ไลบรารีจาก npm
ฟีเจอร์ใหม่นี้จะดูว่าโครงการแต่ละโครงการนั้นใช้ไลบรารีในรูปแบบใด เช่น ใช้เป็น devDependency ซึ่งใช้งานในโหมดพัฒนา และทางตรวจสอบจากกฎที่เตรียมไว้แล้วไม่กระทบกับโครงการปัจจุบันก็จะไม่ต้องแจ้งเตือนนักพัฒนา
ทาง GitHub เปิดใช้กับ npm ก่อนเพราะเป็น ecosystem ที่แต่ละโครงการดึง dependency จำนวนมาก และหลักจากเปิดใช้งานก็สามารถลดการแจ้งเดือนได้ประมาณ 15%
ตอนนี้ฟีเจอร์ auto-dismissal นี้จะเปิดใช้งานเป็นค่าเริ่มต้นให้กับโครงการสาธารณะทั้งหมด ขณะที่ repository แบบปิดนั้นเจ้าของต้องไปเปิดใช้งานเอง
กูเกิลประกาศผู้ใช้งานบัญชีกูเกิลทุกคนสามารถสร้าง Passkeys ได้ตั้งแต่วันนี้เป็นต้นไป เมื่อผู้ใช้งานเปิดใช้ Passkeys กูเกิลจะไม่ถามการยืนยันตัวตนสองขั้นตอนอีก เมื่อมีการล็อกอินเข้าสู่ระบบ
Passkeys เป็นรูปการล็อกอินยืนยันตัวตนที่ไม่ต้องใช้รหัสผ่าน แต่อาศัยการยืนยันตัวตนกับอุปกรณ์แทน มีความปลอดภัยมากกว่า ผู้ใช้ไม่ต้องจดจำรหัสผ่านซึ่งหลายครั้งมักเป็นรหัสผ่านที่คาดเดาได้ง่าย อีกทั้งการผูกกับอุปกรณ์โดยเฉพาะ ก็ทำให้มีความปลอดภัยมากกว่าการใช้ SMS OTP ยืนยันตัวตน แนวทางนี้เป็นมาตรฐานที่ทั้งกูเกิล แอปเปิล และไมโครซอฟท์ ประกาศผลักดันร่วมกันบนมาตรฐาน FIDO
Internet Security Research Group (ISRG) กลุ่มวิจัยด้านความปลอดภัยอินเทอร์เน็ต องค์กรแม่ของ Let's Encrypt มีโครงการย่อยอีกตัวชื่อ Prossimo ทำเรื่องความปลอดภัยของหน่วยความจำ (memory safety) ซึ่งเป็นช่องโหว่สำคัญของซอฟต์แวร์จำนวนมาก
ภารกิจของ Prossimo คือการเขียนซอฟต์แวร์โอเพนซอร์สสำคัญๆ ที่ใช้กันแพร่หลายให้เป็น memory safe ตัวอย่างคือ mod_tsl ของ Apache Web Server ที่เขียนด้วยภาษา Rust, Rustls การเขียน OpenSSL ขึ้นมาใหม่ด้วยภาษา Rust รวมถึงการเขียนซอฟต์แวร์ DNS, NTP ขึ้นมาใหม่ด้วย Rust เป็นต้น
David Weston หัวหน้าฝ่ายความปลอดภัยระบบปฏิบัติการของ Windows เปิดเผยในงานสัมมนาความปลอดภัย BlueHat IL 2023 ที่อิสราเอล (อันเดียวกับข่าว ไมโครซอฟท์เริ่มเขียนบางส่วนของ Windows ด้วย Rust) ว่าระบบปฏิบัติการ Windows เวอร์ชันถัดไป (ที่คงเรียกว่า Windows 12 ตามข่าวลือ) จะสามารถรันแบบ Adminless คือไม่ต้องมีบัญชีแอดมิน ใช้งานด้วยบัญชีธรรมดาได้เลย
David Weston หัวหน้าฝ่ายความปลอดภัยระบบปฏิบัติการของ Windows ไปพูดในงานสัมมนาความปลอดภัย BlueHat IL 2023 ที่อิสราเอล เปิดเผยว่าไมโครซอฟท์เริ่มใช้ภาษา Rust เขียนบางส่วนของ Windows เพื่อแก้ปัญหาช่องโหว่หน่วยความจำแล้ว
Weston เล่าว่าช่องโหว่ด้านหน่วยความจำ มีสัดส่วนเป็น 70% ของช่องโหว่ทั้งหมดของ Windows ทำให้ไมโครซอฟท์ต้องหาวิธีแก้ไขที่ยั่งยืนในระยะยาว โดยวิธีการหนึ่งคือใช้ภาษาโปรแกรมที่ป้องกันเรื่องนี้ตั้งแต่ระดับของตัวภาษาเลย
บริษัทความปลอดภัย Lookout ตกลงขายธุรกิจฝั่งคอนซูเมอร์ให้กับคู่แข่ง F-Secure ในราคา 223 ล้านดอลลาร์ ทำให้จากนี้ไป Lookout จะเหลือแต่ธุรกิจฝั่งความปลอดภัยองค์กรเพียงอย่างเดียว
หลายคนอาจเคยได้ยินชื่อ Lookout ในฐานะแอพแอนตี้ไวรัสบนมือถือ (Lookout Mobile ปัจจุบันชื่อ Mobile Security & Antivirus หรือ Lookout Life) แต่จริงๆ แล้ว Lookout ยังมีธุรกิจฝั่งองค์กรคือ Mobile Endpoint Security (MES), Security Services Edge (SSE), Lookout Cloud Security Platform ซึ่งบริษัทจะนำเงินจากการขายธุรกิจคอนซูเมอร์มาลงทุนกับธุรกิจฝั่งองค์กรต่อไป
เมื่อไม่กี่วันที่ผ่านมา กูเกิลได้ประกาศเพิ่มคุณสมบัติซิงก์ข้อมูลข้ามอุปกรณ์ผ่านบัญชีกูเกิลของ Google Authenticator แอปจัดการรหัสผ่าน 2FA ซึ่งหลายคนรอคอยมานาน (หรือไม่รอแล้ว?) อย่างไรก็ตามฟีเจอร์นี้มาพร้อมประเด็นด้านความปลอดภัย
โดยนักวิจัยความปลอดภัยชื่อ Mysk เปิดเผยว่า จากการตรวจสอบทราฟิกในการซิงก์ข้อมูลของ Google Authenticator พบว่าข้อมูลที่รับ-ส่งเข้าเซิร์ฟเวอร์กูเกิลนั้นไม่มีการเข้ารหัสแบบ end-to-end จึงเป็นความเสี่ยงหากมีผู้เข้าถึงข้อมูลดังกล่าว และอาจสร้างรหัส 2FA ขึ้นมาซ้ำได้หากรู้ seed ของโค้ดนั้น
VirusTotal เปิดบริการ VirusTotal Code Insight บริการวิเคราะห์มัลแวร์ที่ต่อยอดมาจาก Google Cloud Security AI Workbench อีกต่อหนึ่ง โดยจุดแข็งของ Code Insight คือการอธิบายอันตรายของมัลแวร์แต่ละตัวออกมาเป็นภาษาพูดที่เข้าใจได้ง่าย ทำให้ผู้เกี่ยวข้องประเมินความร้ายแรงของมัลแวร์แต่ละตัวได้ดีขึ้น
ข้อดีอีกอย่างคือ Code Insight วิเคราะห์โค้ดโดยไม่ได้ดูผลการตรวจสอบมัลแวร์ที่ตัวตรวจจับอื่นๆ ตรวจสอบมาก่อน ทำให้มันพบมัลแวร์ได้หากวิเคราะห์แล้วว่ามีอันตราย หรือช่วยแก้ต่างแทนเจ้าของโปรแกรม ในกรณีที่ตัวตรวจจับระบุว่าเป็นมัลแวร์แต่ตรวจสอบการทำงานแล้วไม่มีอันตรายอะไร
กูเกิลเปิดตัวบริการความปลอดภัย Google Cloud Security AI Workbench ที่ใช้โมเดล Generative AI มาช่วยยกระดับประสิทธิภาพในการตรวจจับภัยคุกคาม
โมเดลที่ใช้งานคือ Sec-PaLM เป็นเวอร์ชันพิเศษของ PaLM โมเดลภาษาขนาดใหญ่ (LLM) ที่กูเกิลเปิดตัวเมื่อปีที่แล้ว และเริ่มนำมาใช้งานในวงกว้างขึ้นเรื่อยๆ (ล่าสุดคือเปิด API เชื่อมต่อแอพภายนอก)
Google Authenticator โปรแกรมแสดงค่า one-time-password (OTP) สำหรับการล็อกอินขั้นที่สอง ประกาศอัพเดตใหม่รองรับการซิงก์ข้ามเครื่องผ่านทาง Google Account แล้ว แม้ว่าจะตามหลังโปรแกรมในกลุ่มเดียวกันมาหลายปี
ก่อนหน้านี้ Google Authenticator รองรับการย้ายบัญชีออกจากเครื่องผ่านทาง QR code เท่านั้นไม่มีระบบซิงก์อัตโนมัติ ทำให้ทุกครั้งที่เพิ่มบัญชีใหม่ที่เครื่องหนึ่งก็ต้องส่งไปยังเครื่องอื่นๆ เอง ขณะที่โปรแกรมคู่แข่งอย่าง Microsoft Authenticator นั้นสสำรองข้อมูลลง iCloud หรือ Google Drive ได้ทำให้ OTP ไม่หายไปเมื่อทำโทรศัพท์หาย
กูเกิลยังคงยืนยันว่าอนาคตของการล็อกอินจะมุ่งสู่แนวทางไร้รหัสผ่าน เช่น Passkey ที่ทั้งกูเกิล, ไมโครซอฟท์, และแอปเปิลผลักดันกันอย่างเต็มที่ในช่วงหลัง
KeePassXC โปรแกรมจัดการรหัสผ่านโอเพนซอร์สเปิดเผยรายงานตรวจสอบความปลอดภัยโค้ด ที่ตรวจสอบโดย Zaur Molotnikov ที่ปรึกษาด้านความปลอดภัย การตรวจสอบเน้นเฉพาะระบบการอ่านและเขียนฐานข้อมูลรหัสผ่าน โดยไม่ได้ตรวจสอบส่วนอื่นๆ เช่น เช่น ระบบการสุ่มรหัสผ่าน
KeePassXC เป็นโครงการโอเพนซอร์สที่พัฒนาโปรแกรมโดยใช้ฐานข้อมูลร่วมกับโปรแกรม KeePass ได้ แม้จะใช้ฐานข้อมูลแบบเดียวกัน แต่ KeePass นั้นพัฒนาด้วยภาษา C# และต้องการ .NET ขณะที่ KeePassXC ใช้ภาษา C++ และพัฒนาด้วย Qt สำหรับโปรแกรม KeePass เองนั้นเคยถูกตรวจสอบโดยสหภาพยุโรปเป็นผู้ให้ทุน
กูเกิลออกอัพเดตฉุกเฉิน Chrome เวอร์ชัน 112.0.5615.121 สำหรับเดสก์ท็อปทั้งบน Windows, Mac และ Linux แก้ไขช่องโหว่ความรุนแรงระดับ High จึงแนะนำให้ผู้ใช้งานอัพเดตทันที
ช่องโหว่ที่แก้ไขคือ CVE-2023-2033 ซึ่งเกี่ยวกับเอ็นจิน Chrome V8 JavaScript โดยกูเกิลบอกว่ามีรายงานการโจมตีแล้ว แต่จะเปิดเผยรายละเอียดของบั๊ก เมื่อผู้ใช้งานส่วนใหญ่ได้อัพเดตเบราว์เซอร์เป็นเวอร์ชันล่าสุดแล้ว
นอกจากนี้อัพเดตเวอร์ชัน 112.0.5615.121 ยังแก้ไขปัญหาทั่วไปที่ตรวจสอบพบเพิ่มเติมภายในด้วย
WhatsApp ประกาศเพิ่มฟีเจอร์ด้านความปลอดภัย เพื่อป้องกันการถูกขโมยบัญชีใช้งาน โดยเมื่อผู้ใช้งานต้องการสลับบัญชี WhatsApp ไปใช้บนอุปกรณ์ใหม่ จะต้องยืนยันการย้ายบัญชีในอุปกรณ์เก่าเครื่องเดิม ว่าต้องการดำเนินการย้ายบัญชีจริง ๆ
WhatsApp บอกว่าการเพิ่มเงื่อนไขยืนยันอุปกรณ์นี้ จะทำให้บัญชีมีความปลอดภัยมากขึ้น โดยผู้ใช้งานไม่ต้องดำเนินการเพิ่มเติม และช่วยป้องกันบัญชีได้หากอุปกรณ์ตกอยู่ในอันตราย
นอกจากนี้ WhatsApp ยังเพิ่มเครื่องมือให้ผู้ใช้งานสามารถตรวจสอบคู่สนทนาได้ว่าการสนทนาได้รับการเข้ารหัสถูกต้อง โดยคลิกที่แถบ Encryption ในหน้าข้อมูลผู้ติดต่อ
Google Cloud มีโครงการ Assured Open Source Software (Assured OSS) คอยช่วยดูแลความปลอดภัยของแพ็กเกจโอเพนซอร์สแบบครบวงจร เพื่อป้องกันปัญหา supply chain attack ที่พบบ่อยขึ้นในช่วงหลัง
ตอนนี้โครงการ Assured OSS เข้าสถานะ general availability (GA) และเปิดให้องค์กรใช้ฟรี สิ่งที่ Assured OSS เข้ามาช่วยมีตั้งแต่ตรวจสอบแพ็กเกจซอฟต์แวร์ว่ามาจากแหล่งที่เชื่อถือได้, คอยสแกนโค้ด หาช่องโหว่ อุดช่องโหว่, เข้ามาช่วยทำเรื่อง package signing เพื่อการันตีความปลอดภัยของแพ็กเกจ
รัฐบาลเนเธอร์แลนด์ประกาศขีดเส้นตายเตรียมบังคับหน่วยงานรัฐบาลทั้งหมดต้องรองรับกระบวนการยืนยันเส้นทางเน็ตเวิร์ค หรือ Resource Public Key Infrastructure (RPKI) ภายในสิ้นปี 2024 ทำให้ตอนนี้หน่วยงานต่างๆ ที่กำลังทำเรื่องจัดซื้อต้องเพิ่มเงื่อนไขนี้เข้าไปในการจัดซื้อแล้ว
ที่ผ่านมาทราฟิกเชื่อมต่อของรัฐบาลเคยถูกประกาศเส้นทางโดย ISP รายอื่นทำให้ทราฟิกถูกดึงมาแล้วหลายครั้ง แม้จะเป็นการคอนฟิกผิดพลาดแต่การเปิดช่องทางให้คนร้ายสามารถดึงทราฟิกไปได้ก็เป็นความเสี่ยง เน็ตเวิร์คกระทรวงต่างประเทศของเนเธอร์แลนด์เคยถูกดึงทราฟิกไปเมื่อปี 2014 หรือข่าวใหญ่เช่นกูเกิลเองเคยถูกดึงทราฟิกจนเว็บดับในปี 2018
MSI ยอมรับว่าโดนแฮ็กระบบภายใน แฮ็กเกอร์เข้าถึงซอร์สโค้ดของบริษัทด้วย ทำให้ MSI ต้องออกมาเตือนลูกค้าว่าจากนี้ไปขอให้ดาวน์โหลดไฟล์เฟิร์มแวร์ หรือ BIOS จากช่องทางอย่างเป็นทางการของบริษัทเท่านั้น เพราะมีโอกาสโดนฝังมัลแวร์สูงหากดาวน์โหลดจากเว็บไซต์ภายนอก
เหตุการณ์นี้มีแก๊งแรนซัมแวร์ชื่อ Money Message ออกมาประกาศตัวว่าได้ข้อมูลของ MSI ไป และเรียกค่าไถ่เป็นเงิน 4 ล้านดอลลาร์ แลกกับการไม่ปล่อยข้อมูลเหล่านี้ต่อสาธารณะ
Sam Sabetan นักวิจัยความปลอดภัย เผยแพร่ข้อมูลช่องโหว่ร้ายแรงของอุปกรณ์ควบคุมประตูโรงรถ (Smart Garage Door Openers) ยี่ห้อ Nexx ซึ่งวางขายในสหรัฐ
ช่องโหว่ที่ค้นพบนี้ เปิดโอกาสให้ใครก็ได้สามารถสั่งเปิดประตูโรงรถที่ใช้ระบบของ Nexx ที่ไหนก็ได้ในโลกที่ต่อเน็ตอยู่ (คาดว่ามีราว 40,000 แห่ง)
Richard Johnson CISO ของธนาคาร Westpac ในออสเตรเลียออกมาระบุว่าธนาคารจะเปลี่ยนแนวทางการเขียนประกาศรับสมัครงานเสียใหม่ หลังพบว่าการเขียนเงื่อนไขที่แน่นเกินไปกระทบกับผู้สมัครหญิงมากเป็นพิเศษ
เขายกตัวอย่างการตั้งเงื่อนไขประสบการณ์ 5 ปีกับเทคโนโลยีบางตัว เมื่อผู้สมัครหญิงมีคุณสมบัติไม่ตรงก็มักจะข้ามไม่สมัครไปเลย ขณะที่ผู้สมัครชายจะลองสมัครดูก่อน โดยหลังจากนี้จะพูดถึงแนวทางการทำงานมากขึ้นแทนที่จะเน้นความสามารถทางเทคนิคบางอย่างเป็นการเฉพาะ