Project Zero รายงานถึงช่องโหว่ของซอฟต์แวร์ความปลอดภัยของ Symantec หลายตัว ตั้งแต่กลางเดือนที่แล้ว ตอนนี้ Tavis Ormandy นักวิจัยของ Project Zero ก็ออกมาอธิบายรายละเอียดช่องโหว่นี้

ช่องโหว่สำคัญคือ CVE-2016-2208 เป็นช่องโหว่ของตัวขยายไฟล์บีบอัด ASPack ที่ซอฟต์แวร์ตรวจไวรัสต้องใช้งานเพราะไวรัสหรือมัลแวร์มักบีบอัดตัวเองเพื่อหลบการตรวจสอบ โค้ด ASPack รันด้วยสิทธิ root บนเครื่องลินุกซ์และแมค ขณะที่บนวินโดวส์มันทำงานในเคอร์เนลโดยตรง แฮกเกอร์สามารถส่งโค้ดเข้าไปรันบนเครื่องเป้าหมายด้วยช่องโหว่นี้ได้

บริษัทความปลอดภัย Symantec ประกาศซื้อกิจการ Blue Coat Systems บริษัทความปลอดภัยเว็บที่กำลังมาแรง ด้วยมูลค่าประมาณ 4.65 พันล้านดอลลาร์สหรัฐ (จ่ายเป็นเงินสดทั้งหมด)

Blue Coat Systems มีรายได้ต่อปี 598 ล้านดอลลาร์ มีลูกค้าทั่วโลกกว่า 15,000 ราย ก่อนหน้านี้บริษัทกำลังวางแผนขายหุ้น IPO ในตลาดหลักทรัพย์ ก่อนมาถูก Symantec ซื้อไปแทน

ประเด็นที่น่าสนใจและไม่น่าจะพบบ่อยคือตอนนี้ Symantec ไม่มีซีอีโอ เพราะซีอีโอ Michael A. Brown ลงจากตำแหน่งเมื่อเดือนเมษายน และบริษัทกำลังอยู่ระหว่างการสรรหาซีอีโอคนใหม่ การซื้อ Blue Coat Systems รอบนี้ Symantec เลยถือโอกาสตั้ง Greg Clark ซีอีโอของ Blue Coat มาเป็นซีอีโอด้วยเลย (อธิบายง่ายๆ ว่าซีอีโอของบริษัทที่ถูกซื้อ มานั่งเป็นซีอีโอของบริษัทที่ซื้อ)

Engadget รายงานข่าวว่า Tavis Ormandy พนักงานของ Google ตรวจพบช่องโหว่ memory buffer overflow ในเอนจินสแกนไวรัสของ Symantec ซึ่งจะเกิดขึ้นต่อเมื่อตัวเอนจินไปสแกนไฟล์บีบอัดที่ภายในมีไฟล์ที่รันได้ (executable) ซึ่งจะทำให้เข้าถึงสิทธิในการใช้งานระดับสูงเพื่อเข้าถึงระบบปฏิบัติการได้ และได้นำช่องโหว่ดังกล่าวนี้เข้าโครงการ Project Zero ด้วย

ช่องโหว่ดังกล่าวนี้มีอันตรายที่รุนแรง เพราะผู้ที่ตกเป็นเหยื่อไม่จำเป็นต้องเปิดอ่านแม้กระทั่งอีเมล ขอเพียงแค่ตัวเอนจินสแกนไวรัสทำการสแกนอีเมลเราเท่านั้นก็สามารถทำงานได้ ช่องโหว่นี้กระทบกับผลิตภัณฑ์ Symantec ที่ใช้เอนจินสแกนไวรัสทุกระบบปฏิบัติการทั้ง Linux, Mac และ Windows (ช่องโหว่ดังกล่าวได้คะแนน 9.4 บน CVSS v2 และ 9.1 บน CVSS V3)

เมื่อวันศุกร์ที่ผ่านมา บริษัทความปลอดภัย Symantec แถลงข้อมูลจากรายงานสถานการณ์ความปลอดภัยอินเทอร์เน็ตประจำปี (รายงานฉบับเต็ม 2016 Internet Security Threat Report) มีประเด็นน่าสนใจหลายอย่าง สาระสำคัญในภาพรวมคือปี 2015 ที่ผ่านมา ภัยคุกคามอินเทอร์เน็ตรุนแรงมากขึ้นทั้งในแง่ปริมาณและเทคนิค และยังไม่มีทีท่าจะลดระดับลงในปี 2016 นี้

ช่องโหว่เปิดให้แฮกเกอร์ส่งโค้ดเข้าไปรันในเซิร์ฟเวอร์ของ Joomla! รอบล่าสุดร้ายแรงเป็นพิเศษเพราะแฮกเกอร์โจมตีก่อนจะมีแพตช์หลายวัน ตอนนี้ช่องโหว่เปิดเผยต่อสาธารณะมาหลายวันแล้วทาง Symantec ก็ออกมารายงานว่าปริมาณการโจมตียังคงสูง

ปริมาณการโจมตีที่ Symantec ตรวจพบแต่ละวันเฉลี่ยสูงกว่า 16,000 ครั้ง

รายงานนี้ตรงกับ รายงานแรกของ Securi ที่เตือนตั้งแต่ครั้งแรกว่าเซิร์ฟเวอร์ล่อทั้งหมดถูกโจมตี แสดงว่าการโจมตีเป็นวงกว้างไปแล้ว

ที่มา - Symantec

VeriSign CA ที่ดำเนินการโดย Symantec ประกาศยกเลิก "Class 3 Public Primary Certification Authority" สำหรับการใช้งานเว็บ ซึ่งเป็น root CA ที่ใช้งานมาตั้งแต่ปี 1996 จากเดิมที่ใบรับรองจะหมดอายุในวันที่ 8 กุมภาพันธ์ 2028 แต่คาดว่า Symantec ไม่ได้ออกใบรับรองใดๆ ด้วย CA นี้นานแล้ว จึงไม่น่ามีผลกระทบ

ใบรับรองนี้เป็นใบรับรองที่ยังใช้ RSA 1024 ซึ่งในสมัยปี 1996 ถือว่ามีความแข็งแรงเพียงพอต่อการใช้งาน แต่เมื่อเวลาผ่านไป RSA 1024 กลับเสี่ยงต่อการถูกถอดรหัสได้เร็วกว่าที่คาดไว้ในยุคนั้น ใบรับรองสมัยใหม่ถูกแนะนำให้ใช้งาน RSA 2048/4096 หรือใช้กระบวนการเข้ารหัสแบบ elliptic curve แทนที่

Candid Wueest จาก Symantec รายงานถึงม้ลแวร์เรียกค่าไถ่ (ransomware) ที่ล็อกหน้าจอสมาร์ตทีวีจนใช้งานไม่ได้ โดยตัวแอปที่ติดตั้งเข้ามาจะเด้งขึ้นมาทุกสองวินาที และเริ่มต้นทำงานหลังบูตขึ้นมาเพียง 20 วินาทีทำให้ผู้ใช้ไม่สามารถเข้าเมนูไปลบแอปออกจากระบบได้ทัน

กระบวนการถอนการติดตั้งมัลแวร์เหล่านี้ที่ได้ผลที่สุดคือต่อสาย USB และใช้ adb เข้าไปสั่งถอนการติดตั้ง แต่หากผู้ใช้ไม่ได้เปิดโหมดนักพัฒนาไว้ก็จะยิ่งกลายเป็นเรื่องยุ่งยาก

เมื่อเดือนกันยายนที่ผ่านมาไซแมนเทคออกใบรับรองให้กับโดเมน Google.com โดยไม่ได้รับอนุญาต แม้จะระบุว่าเป็นการทดสอบระบบและไล่พนักงานที่เกี่ยวข้องออกไปแล้ว แต่การออกใบรับรองเช่นนี้ผิดไปจากข้อตกลงการรักษาความปลอดภัยของหน่วยงานรับรอง (Certification Authority - CA) และวันนี้ทางกูเกิลก็ประกาศมาตรการเพิ่มข้อจำกัดของไซแมนเทคในการออกใบรับรองในอนาคต

ไซแมนเทครายงานการตรวจสอบภายใน พบว่ามีใบรับรองที่ออกโดยไม่ได้รับอนุญาตอีก 164 ใบ และมีอีก 2,458 ใบที่รับรองโดเมนที่ไม่เคยมีการจดทะเบียนจริง

กูเกิลตรวจพบใบขอรับรอง (pre-certificate) แบบ Extended Validation (EV) สำหรับโดเมน google.com และ www.google.com ออกโดย Thawte ผู้ให้บริการ CA ของ Synmantec เมื่อวันที่ 14 กันยายนที่ผ่านมา โดยที่กูเกิลไม่ได้ร้องขอให้ออกใบรับรองนี้ อย่างไรก็ดีใบรับรองนี้มีอายุเพียงหนึ่งวันเท่านั้น

ทาง Symantec ระบุว่าใบรับรองเหล่านี้ออกมาเพื่อทดสอบสินค้าของบริษัทเป็นการภายใน ตอนนี้ตัวใบรับรองและกุญแจยังอยู่ในความควบคุมของบริษัทและไม่ได้หลุดออกไปภายนอก ทาง Symantec สอบสวนการออกใบรับรองเหล่านี้และพบว่าพนักงานบางคนไม่ทำตามกระบวนการที่ได้รับการฝึกมาก่อนแล้ว และตัดสินใจไล่พนักงานเหล่านั้นออกจากบริษัท

จากข่าวว่า Symantec เตรียมแยกบริษัท ที่เปลี่ยนเป็นการขายกิจการสตอเรจ Veritas แทน วันนี้ข่าวเป็นทางการมาแล้ว โดย Symantec จะขายกิจการสตอเรจแบรนด์ Veritas ให้กลุ่มบริษัทลงทุนด้วยมูลค่า 8 พันล้านดอลลาร์

กลุ่มบริษัทที่มาซื้อ Veritas ประกอบด้วย The Carlyle Group บริษัทลงทุนรายใหญ่ของสหรัฐ, GIC บริษัทลงทุนของรัฐบาลสิงคโปร์ (คนละรายกับเทมาเสกที่คนไทยคุ้นชื่อกันดี) และบริษัทอื่นๆ การขายกิจการจะเสร็จสิ้นในวันที่ 1 มกราคม 2016

Symantec ซื้อ Veritas ในปี 2005 เวลาผ่านไปสิบปี Veritas ก็จะกลายเป็นบริษัทอิสระอีกครั้ง

เมื่อปลายปีที่แล้ว Symantec ประกาศแบ่งครึ่งบริษัท เป็นบริษัทความปลอดภัย Symantec และบริษัทบริหารสารสนเทศ Veritas Technologies (ใช้ชื่อเดียวกับบริษัทสตอเรจ Veritas ที่ซื้อมาเมื่อปี 2005)

ล่าสุดหนังสือพิมพ์ Wall Street Journal รายงานข่าววงในว่า Symantec อาจเลือกขาย Veritas แทนการนำบริษัทย่อยทั้งสองรายเข้าตลาดหลักทรัพย์ โดยตอนนี้ Symantec กำลังเจรจากับนักลงทุนบางราย รวมถึงบริษัทด้านสตอเรจที่ยังไม่ระบุชื่อด้วย

Symantec ซื้อ Veritas ในปี 2005 ที่มูลค่าราว 13.5 พันล้านดอลลาร์ คาดว่าจะขายบริษัท Veritas ใหม่ออกไปที่ราคา 8 พันล้านดอลลาร์

Symantec ตรวจพบมัลแวร์ที่อาจจะมีความซับซ้อนมากที่สุดตั้งแต่ที่เคยเจอ โดยมัลแวร์ตัวนี้ชื่อว่า Regin เชื่อว่าถูกใช้ในการสอดแนมมาตั้งแต่ปี 2008 โดยพบมากในองค์กรเอกชนและรัฐบาล

โดยตัวของมันเองนั้นออกแบบมาเพื่อดักจับข้อมูอย่างครบวงจร มีความสามารถในการซ่อนตัว ดักพาสเวิร์ด ควบคุมเมาส์ของเครื่องที่ติดเชื้อ บันทึกภาพหน้าจอ เปิดประตูหลัง หรือแม้กระทั่งกู้คืนไฟล์ที่ถูกลบ

ทีมวิจัยด้านความปลอดภัยของ Symantec ได้เปิดเผยข้อมูลเรื่องมัลแวร์ที่ถูกสร้างมาสำหรับการจารกรรมข้อมูล พบหลายหน่วยงานซึ่งมีทั้งองค์กรด้านพลังงานและโทรคมนาคมในหลายประเทศตกเป็นเป้าหมายด้วย โดยมีการตั้งชื่อมัลแวร์ตัวนี้ว่า Regin

เมื่อวันก่อนเพิ่งมีข่าวหลุดออกมา วันนี้ Symantec ประกาศข่าวอย่างเป็นทางการแล้วว่าจะแยกออกเป็นสองบริษัทครับ

ช่วงนี้ดูเหมือนการ "แยกบริษัท" กำลังได้รับความนิยมในหมู่บริษัทไอทีขนาดใหญ่ เราเห็นข่าว eBay แยก PayPal และ HP แบ่งครึ่งบริษัท กันไปแล้ว รายล่าสุดที่มีข่าว (ยังไม่ยืนยัน) คือ Symantec

ข่าวจาก Bloomberg อ้างข้อมูลวงในว่า Symantec จะแยกบริษัทด้านซอฟต์แวร์ความปลอดภัย และซอฟต์แวร์ด้านการคุ้มครองข้อมูล-สตอเรจออกจากกัน (หน่วยธุรกิจด้านสตอเรจของ Symantec มาจากการซื้อบริษัท Veritas ในปี 2005)

Symantec บริษัทด้านความปลอดภัยรายใหญ่ ประกาศแต่งตั้ง Michael A. Brown เป็นซีอีโอคนใหม่ของบริษัท

ซีอีโอคนก่อนหน้านี้ Steve Bennett ลาออกไปเมื่อต้นปี และคณะกรรมการบริหารแต่งตั้ง Brown (ซึ่งเป็นหนึ่งในกรรมการ) นั่งเป็นรักษาการซีอีโอไปก่อน ระหว่างนั้นก็เริ่มกระบวนการสรรหาซีอีโอถาวร ซึ่ง Brown ก็ชนะคู่แข่งคนอื่นๆ กว่า 30 คน และได้เป็นซีอีโอตัวจริงในท้ายที่สุด

Brown เคยเป็นซีอีโอของบริษัท Quantum Corporation มาก่อน และเข้ามาเป็นกรรมการของ Symantec เมื่อปี 2005

สำนักข่าว People's Daily ของประเทศจีน รายงานข่าวว่าหน่วยงานด้านจัดซื้อจัดจ้างของจีนได้ถอดชื่อของ Symantec กับ Kaspersky ออกจากรายชื่อผู้ขายซอฟต์แวร์ความปลอดภัยที่มีสิทธิเข้ามารับงานประมูล

การถอดชื่อสองบริษัทข้างต้น ส่งให้บริษัทซอฟต์แวร์ความปลอดภัยที่มีสิทธิประมูลงานอีก 5 รายที่เหลือมีแต่บริษัทของจีน ได้แก่ Qihoo 360, Venustech, CAJinchen, Beijing Jiangmin, และ Rising สร้างประเด็นเรื่อง "กีดกันต่างชาติ" โดยอ้างถึง "ความมั่นคง" ขึ้นมาทันที

โฆษกของ Kaspersky บอกว่ากำลังตรวจสอบเรื่องนี้ ส่วน Symantec บอกว่าปัจจุบันยังประมูลโครงการในจีนและชนะจนได้งานอยู่ แต่ก็จะตรวจสอบข่าวนี้เช่นกัน

Symantec ผู้ผลิตซอฟต์แวร์ป้องกันไวรัสรายใหญ่ออกมาให้สัมภาษณ์กับ Wall Street Journal ระบุว่ากระบวนการป้องกันความปลอดภัยในทุกวันนี้เปลี่ยนไปจากเดิม และซอฟต์แวร์ป้องกันไวรัสก็ไม่ใช่สินค้าทำเงินอีกต่อไป

บทสัมภาษณ์นี้สัมภาษณ์ Brian Dye รองประธานฝ่ายความมั่นคงข้อมูล ระบุว่า Symantec ไม่ได้มองว่าซอฟต์แวร์ป้องกันไวรัสเป็นสินค้าทำเงินแล้ว จากแต่เดิมซอฟต์แวร์ป้องกันไวรัสมักช่วยป้องกันเครื่องจากแฮกเกอร์ได้แต่ทุกวันนี้มันช่วยได้ 45% ของการโจมตีเท่านั้น

ปกติแล้ว Symantec ซึ่งเป็นบริษัทที่ทำผลิตภัณฑ์เกี่ยวกับความปลอดภัยบนคอมพิวเตอร์ จะเผยแพร่รายงานฉบับหนึ่งที่รู้จักกันในชื่อว่า ISTR (ย่อมาจาก Internet Security Threat Report) หรือในภาษาไทยคือ รายงานภัยคุกคามด้านความปลอดภัยบนอินเทอร์เน็ต (ในข่าวจะขอใช้ตัวย่อภาษาอังกฤษ เพื่อความกระชับ) โดยจะรวบรวมเกี่ยวกับแนวโน้มและภัยคุกคามที่เกี่ยวเนื่องกับความปลอดภัยในโลกอินเทอร์เน็ตตลอดปีที่ผ่านมา และจะเผยแพร่ในทุกช่วงต้นปีถัดมาให้กับสาธารณชนรับทราบ ซึ่งทำมาอย่างต่อเนื่องจนถึงปีนี้ ซึ่งเป็นปีที่ 19 แล้ว

สำหรับในไทยเอง มีการแถลงรายงานฉบับนี้อย่างเป็นทางการเมื่อวันพุธที่ผ่านมา โดยจัดขึ้นที่โรงแรมเดอะ เซนต์ รีจิส ถนนราชดำริ ซึ่งผมมีโอกาสไปเก็บข้อมูลที่น่าสนใจมาฝากผู้อ่านทุกท่านครับ

Symantec ออกรายงานวิเคราะห์มัลแวร์กลุ่มที่เข้ารหัสข้อมูลผู้ใช้เพื่อเรียกเป็นตัวประกัน (Ransomware) ตัวที่ระบาดก่อนหน้านี้คือ Cryptolocker ตอนนี้มีรายงานมัลแวร์ในกลุ่มเดียวกันตัวใหม่คือ CryptoDefence ที่พัฒนาขึ้นมามาก

CryptoDefence จะถูกส่งไปยังเครื่องของเหยื่อผ่านทางสแปมเมล เมื่อติดลงในเครื่องแล้วมัลแวร์จะเริ่มส่งข้อมูลเครื่องของเหยื่อกลับไปยังเซิร์ฟเวอร์ สร้างคู่กุญแจ RSA-2048 แล้วส่งกุญแจลับกลับไปยังเซิร์ฟเวอร์พร้อมสกรีนชอตของเหยื่อ

ไซแมนเทคออกรายงานเตือนหน้าจอล็อกอินกูเกิลปลอม ที่อันตรายกว่าปกติคือรอบนี้เว็บถูกวางไว้บนเซิร์ฟเวอร์ของกูเกิลเอง อาจจะทำให้ผู้ใช้สับสนได้

งานนี้คนร้ายวางไฟล์หน้าเว็บปลอมไว้บน Google Docs แล้วตั้ง public ไว้ จากนั้นจึงส่งลิงก์ให้กับเหยื่อ ทำให้หน้าลิงก์ดูน่าเชื่อถือมากขึ้นเพราะ URL เป็นเซิร์ฟเวอร์ของกูเกิลเอง แต่เมื่อใส่รหัสผ่านไปแล้ว รหัสผ่านจะถูกส่งไปยังเซิร์ฟเวอร์อื่น

รหัสผ่านกูเกิลเก็บข้อมูลส่วนตัวไว้หลายอย่าง รวมถึงการซื้อแอพพลิเคชั่นบน Google Play ต่อจากนี้เวลาจะกรอกรหัสผ่านกันก็ระวังโดยสังเกตว่าโฮสต์ต้องเป็น https://accounts.google.com/ServiceLogin นะครับ

Symantec รายงานมัลแวร์ตัวใหม่ Trojan.Droidpak ที่ทำงานบนระบบปฏิบัติการวินโดวส์ (ปลอมตัวเป็น DLL) เมื่อมันแฝงตัวบนเครื่องวินโดวส์แล้ว จะดาวน์โหลดไฟล์ .apk และเครื่องมืออย่าง Android Debug Bridge (ADB) เพื่อติดตั้งไฟล์ .apk ลงในอุปกรณ์แอนดรอยด์ถ้ามีโอกาส (เสียบแอนดรอยด์เข้ากับเครื่องวินโดวส์ที่ติดมัลแวร์)

มัลแวร์ที่ติดบนเครื่องแอนดรอยด์จะปลอมตัวเป็น Google Play โดยใช้ไอคอนเดียวกัน และใช้ชื่อคล้ายๆ กันคือ "Google App Store"

Symantec แนะนำให้เลี่ยงมัลแวร์ตัวนี้โดยปิดโหมด USB debugging ถ้าไม่ใช้งาน และติดตั้งซอฟต์แวร์ด้านความปลอดภัยของ Symantec ทั้งบนวินโดวส์และแอนดรอยด์

Symantec ค้นพบเวิร์มบนลินุกซ์ชื่อ Linux.Darlloz ที่อาศัยช่องโหว่เก่าของ PHP (ถูกแพตช์ตั้งแต่เดือน พ.ค. 2012) ในการแพร่กระจายตัวไปยังอุปกรณ์ต่างๆ

เวิร์มตัวนี้ยังไม่สร้างอันตรายให้กับระบบมากนัก เป็นแค่การทดสอบของแฮ็กเกอร์ผู้สร้างเวิร์มว่ามันทำงานได้จริงหรือไม่ (ตอนนี้ยังมีผลเฉพาะอุปกรณ์ที่เป็น x86 เท่านั้น) แต่ก็จะเริ่มมีเวิร์มเวอร์ชันกลายพันธุ์ที่มุ่งโจมตีอุปกรณ์ที่ใช้ซีพียูสถาปัตยกรรมอื่นแล้ว

จากกรณี พบช่องโหว่ใหม่บน Android, 99% อยู่ในข่ายได้รับผลกระทบ โดยช่องโหว่นี้รู้จักกันในชื่อ Master Key

สถานการณ์ล่าสุด บริษัท Symantec ประกาศว่าค้นพบแอพจีน 2 ตัวที่เป็นแอพด้านสุขภาพที่แจกจ่ายผ่านร้านขายแอพในจีน (ไม่ใช่ Google Play) ตามปกติ แต่ก็โดนแฮกเกอร์แอบฝังโค้ดที่ขโมยข้อมูลสำคัญในเครื่องลงไป แล้วเผยแพร่ไฟล์นี้ออกไปโดยใช้ช่องโหว่ Master Key ส่งผลให้ตัวระบบ Android คิดว่าแอพดังกล่าวไม่เกิดการเปลี่ยนแปลง

Symantec ได้ค้นพบว่า Facebook บนแอนดรอยด์นั้นมีบั๊กส่งข้อมูลหมายเลขโทรศัพท์ของผู้ใช้ไปยังเซิร์ฟเวอร์ของ Facebook ตอนนี้ Facebook ได้บอกกับ The Next Web ว่าตอนนี้กำลังแก้ปัญหาอยู่ และ Facebook ไม่ได้ใช้ข้อมูลหมายเลขโทรศัพท์เลย แถมยังลบออกจากเซิร์ฟเวอร์ไปแล้วด้วย

Symantec ค้นพบบั๊กนี้โดยบังเอิญ ขณะที่กำลังทำตัวอัพเดตของแอพ Norton Mobile Security บนแอนดรอยด์ โดยลำพังแค่เปิดแอพขึ้นมายังไม่ต้องทำอะไรข้อมูลต่าง ๆ เหล่านั้นก็ถูกส่งไปยังเซิร์ฟเวอร์ของ Facebook แล้ว

ที่มา - The Next Web