สัปดาห์ที่ผ่านมา Cisco เปิดตัว Hypershield โซลูชันความปลอดภัยยุคใหม่ ที่คุยว่าสามารถป้องกัน "ช่องโหว่ความปลอดภัยที่ยังไม่รู้จัก" (Unknown Vulnerabilities) ได้ด้วย

ในโลกความปลอดภัยปัจจุบัน เมื่อมีการค้นพบช่องโหว่ใหม่ๆ จะรายงานเข้าฐานข้อมูล Common Vulnerabilities and Exposures (CVE) เพื่อให้ผู้ผลิตซอฟต์แวร์ออกแพตช์แก้ไข และเข้าสู่กระบวนการอัพเดตแพตช์ตามมา ลำพังแค่การค้นพบ CVE และอัพเดตแพตช์เป็นเรื่องที่ยุ่งยากซับซ้อนมากขึ้นเรื่อยๆ อยู่แล้ว แต่ก็ยังมีช่องโหว่ความปลอดภัยอีกแบบที่ผู้ผลิตซอฟต์แวร์ยังไม่รู้จักมาก่อนด้วย ที่สำคัญคือแฮ็กเกอร์บางกลุ่มอาจรู้แล้วและใช้ช่องโหว่กลุ่มนี้แบบเงียบๆ

GitHub เดินหน้าแก้ปัญหา supply chain attack หรือการยัดไส้มัลแวร์ลงในซอฟต์แวร์ยอดนิยมเพื่อกระจายต่อ ฟีเจอร์ของ GitHub ที่ออกแบบมาแก้ปัญหานี้เรียกว่า Artifact Attestations

Artifact Attestations อิงอยู่บนโครงการ Sigstore ของ Linux Foundation ที่ใช้วิธี sign ไฟล์ต่างๆ ทุกครั้งที่ออกเวอร์ชันใหม่ แล้วนำลายเซ็นดิจิทัลเหล่านี้ไปเก็บไว้ใน log ที่เปิดเผยต่อสาธารณะ ให้ตรวจสอบย้อนกลับได้ว่าเป็นไฟล์แท้จากนักพัฒนาต้นฉบับ

หลังจากเหตุการณ์คนร้ายส่งโค้ดมุ่งร้ายเข้าโครงการ XZ โดยคนร้ายแฝงตัวเป็นนักพัฒนาไปช่วยส่งโค้ดเล็กๆ น้อยสร้างความไว้วางใจให้กับผู้ดูแลโครงการเพื่อให้ยกสิทธิ์ส่งโค้ดให้คนร้าย ทาง OpenSSF และ OpenJS ก็ออกมาเตือนว่ามีคนร้ายใช้วิธีการแบบนี้กับโครงการอื่นๆ เหมือนกัน

รูปแบบการโจมตีเหมือนกับที่คนร้ายทำกับโครงการ XZ อย่างมาก ได้แก่ส่งโค้ดเข้ามาเล็กๆ น้อยๆ แม้จะดูเป็นมิตรแต่ก็พยายามเร่งให้โค้ดได้เข้าโครงการเร็วๆ จากนั้นจะมีบัญชีอื่นๆ ช่วยกันโวยวายว่าโค้ดเข้าโครงการช้า โดยโค้ดที่ส่งเข้ามามักจะอ่านยาก, มีไบนารีเป็นก้อนถูกส่งเข้ามาด้วย, หรือบางครั้งก็พยายามเปลี่ยนกระบวนการคอมไพล์โครงการ

Cisco ประกาศแผนการเชื่อมต่อซอฟต์แวร์ Cisco XDR ของตัวเอง เข้ากับ Splunk ที่เพิ่งซื้อกิจการเสร็จในเดือนมีนาคม 2024 ด้วยราคา 2.8 หมื่นล้านดอลลาร์ (1 ล้านล้านบาท)

Cisco อธิบายว่าวิสัยทัศน์ในการซื้อ Splunk คือต้องการสร้างโซลูชันการให้บริการความปลอดภัย (Security Operation Center หรือ SOC) บริษัทมองว่าต้องมีบริการที่ครอบคลุมทั้ง ตรวจจับ สืบค้น รับมือต่อภัยคุกคาม (Threat Detection, Investigation, and Response ตัวย่อ TDIR)

กูเกิลเปิดตัว Google Threat Intelligence บริการสารสนเทศความปลอดภัยไซเบอร์แบบครบวงจร ที่รวมร่างผลิตภัณฑ์ด้านความปลอดภัยในเครือกูเกิล ได้แก่ Mandiant (ซื้อมาปี 2022), VirusTotal (ซื้อมาปี 2012) และพ่วงด้วยพลัง Gemini เข้ามาอีกอย่าง

ไมโครซอฟท์ประกาศยกระดับนโยบายด้านความปลอดภัยครั้งใหญ่ หลังโดนแฮ็กเกอร์กลุ่ม Storm-0558 ขโมยกุญแจ Azure AD ในเดือนกรกฎาคม 2023 และ กลุ่ม Midnight Blizzard โจมตีระบบภายใน และขโมยข้อมูลบางส่วนของบริษัทเมื่อต้นปี 2024

ไมโครซอฟท์มีนโยบายความปลอดภัยในภาพใหญ่ชื่อ Secure Future Initiative (SFI) เปิดตัวในเดือนพฤศจิกายน 2023 แต่ล่าสุดทีมบริหารของไมโครซอฟท์บอกว่ายังไม่เพียงพอ ประกาศรอบนี้คือการขยาย SFI ให้ครอบคลุมทั่วทั้งบริษัทในทุกแง่มุม

กูเกิลสรุปสถิติการต่อสู้กับแอพประสงค์ร้าย แอพเสี่ยงภัยต่างๆ บน Google Play ในปี 2023 ดังนี้

วันนี้กฎหมาย Product Security and Telecommunications Infrastructure (PSTI) ที่ตราเป็นกฎหมายสหราชอาณาจักรตั้งแต่ปี 2022 เริ่มบังคับใช้เป็นวันแรก (29 เมษายน 2024) ส่งผลให้สินค้าที่เชื่อมต่ออินเทอร์เน็ตในสหราชอาณาจักรต้องมีมาตรการความปลอดภัยเพิ่มเติม 3 ประการ ได้แก่

ที่งาน Money 20/20 Asia ที่กรุงเทพฯ สัปดาห์ที่ผ่านมา Tony Petrov ประธานเจ้าหน้าที่ฝ่ายกฎหมายของบริษัท Sumsub ผู้ให้บริการยืนยันตัวตนลูกค้า (know-your-customer - KYC) ระบุถึงความก้าวหน้าของเทคโนโลยี AI ทุกวันนี้ว่าก้าวหน้าขึ้นเรื่อยๆ แต่เทคโนโลยีการตรวจสอบก็ได้รับการพัฒนาเช่นกัน

Sumsub พยายามพัฒนาระบบตรวจจับภาพ Deepfake ของตัวเองโดยมีทีมสร้างภาพ Deepfake เพื่อมาหลอกระบบตรวจสอบไปพร้อมกัน โดยลูกค้าจำนวนมากเป็นกลุ่มบริการคริปโต เช่นตลาดคริปโตอย่าง Binance

Shopify ออกมาเตือนถึงความเปลี่ยนแปลงหนึ่งของมาตรฐาน PCI-DSS v4 ที่ออกมาตั้งแต่ปี 2022 แต่จะเริ่มบังคับ 31 มีนาคม 2025 นี้ โดยข้อ 6.4.3 บังคับเรื่องการโหลดสคริปต์บนเบราว์เซอร์ของผู้ใช้ต้องมีการตรวจสอบความถูกต้องเสมอ

ข้อบังคับนี้พยายามแก้ปัญหาการฝังสคริปต์เพื่อดูดหมายเลขบัตรเครดิต (digital skimming) ที่คนร้ายฝังสคริปต์ไว้ในเว็บร้านค้า เมื่อผู้ใชักรอกเลขบัตรลงในฟอร์มแล้วสคริปต์จะดูดหมายเลขส่งไปยังเซิร์ฟเวอร์ของตัวเอง

ข้อบังคับของ PCI-DSS v4 จึงบังคับให้ร้านค้า ต้องทำเอกสารระบุว่าสคริปต์ใดใช้เพื่อเหตุผลใดบ้าง, มีมาตรการบังคับว่าเว็บจะโหลดเฉพาะสคริปต์ที่ได้รับอนุญาตเท่านั้น และสคริปต์ที่โหลดต้องถูกต้อง

ทีมวิจัยความปลอดภัยรายงานถึงการเจาะเซิร์ฟเวอร์ Minecraft ให้สามารถทำนายตำแหน่งของผู้เล่นทั้งแผนที่ได้สำเร็จ เนื่องจากเซิร์ฟเวอร์ Minecraft มีการใช้งานระบบสุ่มค่าที่ไม่ปลอดภัยพอ

ช่องโหว่นี้กระทบเฉพาะเซิร์ฟเวอร์ 2b2t ที่ได้รับความนิยมสูงและมีคุณสมบัติคือแผนที่มีขนาดใหญ่มากๆ ถึง 3.6 พันล้านล้านแผ่น การรู้ตำแหน่งผู้เล่นอื่นจึงมีผลมาก โดยความผิดพลาดของนักพัฒนาคือใช้ java.util.Random ที่ไม่ปลอดภัยอยู่แล้ว แต่ยังอาศัยตำแหน่งของผู้เล่นเข้าไปเป็นอินพุตของตัวสุ่มค่าอีกด้วย เมื่อคนร้ายเห็นตำแหน่งของที่ดรอปในแผนที่มากพอก็จะคำนวณถึงสถานะภายในของตัวสุ่มค่าได้ในที่สุด และทำนายตำแหน่งของผู้เล่นอื่นได้

ช่องโหว่นี้กระทบ Minecraft 1.8 Beta จนถึง 1.12.2

LastPass รายงานเหตุการณ์ที่เกิดขึ้นกับบริษัท จากการที่คนร้ายใช้โปรแกรมปลอมเสียง Deepfake โดยพนักงานคนหนึ่งของบริษัทได้รับการติดต่อทั้งในรูปแบบโทรศัพท์เสียง ข้อความ และวอยซ์เมล ผ่าน WhatsApp โดยทั้งหมดปลอมตัวเป็นซีอีโอของ LastPass

อย่างไรก็ตามพนักงานคนดังกล่าวก็ไม่ได้เชื่อว่าเป็นซีอีโอตัวจริง เนื่องจากมีลักษณะแปลกหลายอย่าง เช่น ติดต่อนอกเวลางาน ไม่ได้ใช้ช่องทางติดต่อทางการของบริษัท พยายามแจ้งสถานการณ์ที่มีความเร่งด่วนสูง เพื่อหวังใช้ Social Engineering สุดท้ายพนักงานก็ไม่ได้สนใจข้อความ และรายงานเหตุการณ์ให้กับฝ่ายความปลอดภัยของบริษัทตามขั้นตอน

บริษัท OZ-IT จากสโลวีเนียเปิดตัวกล้องรักษาความปลอดภัยภายในบ้านที่ใช้ AI ประมวลผล สามารถยิงลูกเพนท์บอลใส่ผู้บุกรุกที่คาดว่าเป็นอันตรายกับผู้อยู่อาศัยได้ มีชื่อว่า PaintCam Eve โชว์อยู่บน kickstarter แต่ยังไม่เปิดให้ระดมทุน

PaintCam Eve มี 3 รุ่นได้แก่ Eve (Standard), Eve+ (Advance) และ Eve Pro (Elite) โดยรุ่นสูงสุดจะมีระบบจดจำใบหน้าบุคคล และสัตว์ได้ ในขณะที่รุ่น Eve จะมีระบบป้องกันอัจฉริยะ และเปิดปิดกล้องผ่านแอปพลิเคชัน

Cloudflare ออกรายงานการโจมตีด้วยวิธี DDoS ประจำไตรมาสที่ 1 ปี 2024 โดยระบบของ Cloudflare สามารถแก้ไขปัญหาการถูกโจมตี DDoS ได้อัตโนมัติ 4.5 ล้านครั้ง เป็นตัวเลขที่เพิ่มขึ้น 50% เมื่อเทียบกับไตรมาสเดียวกันในปีก่อน (year-over-year - YoY)

การโจมตีขนาดใหญ่ที่สุดที่พบในไตรมาส มีขนาดระดับ 2Tbps โดยใช้บอตเนตที่ปรับแต่งจาก Mirai โจมตีโฮสต์ในภูมิภาคเอเชีย แต่ภาพรวมนั้นการโจมตี DDoS ระดับ 1Tbps ก็มีอยู่ทุกสัปดาห์

อีกข้อมูลน่าสนใจ Cloudflare พบว่าการโจมตี DDoS ที่ระดับโดเมนมีจำนวนมากขึ้น เพิ่มขึ้นถึง 80% จากปีก่อน อย่างไรก็ตามการโจมตีที่เลเยอร์ 3/4 วิธีอื่นก็เพิ่มขึ้นเช่นกัน

Yilei Chen นักวิจัยจาก Tsinghua University เผยแพร่รายงานวิจัยถึงอัลกอริทึมใหม่ที่สามารถเร่งความเร็วในการแก้ปัญหา Lattice บางส่วนได้ เปิดทางสู่การพัฒนากระบวนการเจาะการเข้ารหัสที่เคยเชื่อกันว่าทนทานต่อคอมพิวเตอร์ควอนตัม

ปัญหา Lattice เป็นปัญหาที่กระบวนการเข้ารหัสแบบทนทานต่อคอมพิวเตอร์ควอนตัมนิยมใช้งานกัน เปรียบได้กับปัญหาการแยกตัวประกอบที่นิยมใช้งานในกระบวนการเข้ารหัสแบบปกติที่ผ่านๆ มา กระบวนการของ Chen ระบุว่าสามารถใช้คอมพิวเตอร์ควอนตัมแก้ปัญหา learning with errors (LWE) ภายในเวลา polynomial ได้สำเร็จ และปัญหา LWE นั้นเทียบเท่ากับปัญหา Lattice ในบางรูปแบบ

Roku แพลตฟอร์มสมาร์ททีวีและกล่องชมรายการสตรีมมิ่งในสหรัฐ รายงานปัญหาข้อมูลผู้ใช้งานรั่วไหล กระทบ 576,000 บัญชี ซึ่งเป็นการรายงานปัญหานี้ครั้งที่สอง หลังจากพบปัญหาเดียวกันในเดือนมีนาคม โดยตอนนั้นมีบัญชีที่ได้รับผลกระทบ 15,000 บัญชี แต่หลังตรวจสอบเพิ่มเติมจึงรายงานผลกระทบที่มากขึ้น

สิ่งที่ Roku พบคือผู้โจมตีใช้วิธีนำล็อกอินและรหัสผ่าน ที่มีข้อมูลหลุดออกมาจากแหล่งอื่น มาทดลองใช้ล็อกอินซ้ำบน Roku วิธีการนี้เรียกว่า credential stuffing ซึ่ง Roku ย้ำว่าแหล่งข้อมูลนั้นไม่ได้มาจาก Roku ส่วนผลกระทบนั้นพบว่ามี 400 บัญชี ที่สามารถซื้อคอนเทนต์บนแพลตฟอร์มสำเร็จด้วย แต่ไม่สามารถเข้าถึงข้อมูลส่วนตัวที่สำคัญ และหมายเลขบัตรเครดิตทั้งหมดได้

LG ออกแพตช์อุดช่องโหว่ความปลอดภัยสำคัญในสมาร์ททีวี webOS ทั้งหมด 4 รุ่น ได้แก่ LG43UM7000PLA, OLED55CXPUA, OLED48C1PUB, OLED55A23LA โดยมีเครื่องที่ได้รับผลกระทบราว 91,000 เครื่อง ส่วนใหญ่อยู่ในเกาหลีใต้ แต่ก็มีใช้งานในประเทศอื่นๆ ซึ่งรวมถึงประเทศไทยด้วย (แม้มีไม่เยอะก็ตาม)

ช่องโหว่นี้ถูกค้นพบโดย Bitdefender อาการคือแฮ็กเกอร์สามารถเข้าถึง root และควบคุมเครื่องทีวีในระดับ OS โดยอาศัยช่องทางการควบคุมทีวีผ่านแอพ ThinQ จากมือถือ ซึ่งมีช่องโหว่สามารถ bypass การกรอก PIN เพื่อเข้าถึงสิทธิในระดับสูง อย่างไรก็ตาม ช่องโหว่นี้ยังมีข้อจำกัดว่าสมาร์ททีวีกับมือถือต้องอยู่ในเครือข่ายเดียวกันก่อนในการเชื่อมครั้งแรก ช่วยจำกัดวงความเสียหายลงไปได้มาก

ที่งาน Google Cloud Next 2024 ปีนี้ Yulie Kwon Kim รองประธานกูเกิลที่ดูแล Google Workspace ให้สัมภาษณ์ถึงฟีเจอร์ใหม่ๆ และความปลอดภัยของ Google Workspace ว่ามีการใช้งาน AI อย่างต่อเนื่อง

Kim ระบุว่ากูเกิลลงทุนอย่างหนักและมีประสิทธิภาพ พร้อมกับพูดถึงคู่แข่งอย่างไมโครซอฟท์ที่กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐ (U.S. Department of Homeland Security - DHS) เพิ่งออกรายงานสอบสวนเหตุการณ์ระบบรัฐบาลถูกแฮก (ข่าวเก่า) รายงานระบุว่าเป็นเหตุที่ป้องกันได้ และวัฒนธรรมการให้ความสำคัญกับความปลอดภัยของไมโครซอฟท์ไม่เพียงพอ

Palo Alto Networks รายงานว่ามีกลุ่มแฮกเกอร์กลุ่มหนึ่งกำลังแฮก PAN-OS ที่เปิด GlobalProtect โดยใช้ช่องโหว่ที่ไม่รู้จักมาก่อน และยังไม่มีแพตช์ออกมา เรียกปฎิบัติการแฮกของคนร้ายครั้งนี้ว่า Operation MidnightEclipse

ทางบริษัทระบุว่ากำลังพัฒนาแพตช์อยู่ มีกำหนดออกแพตช์วันที่ 14 เมษายนนี้ อย่างไรก็ดีเชื่อว่ามีคนร้ายเพียงกลุ่มเดียวที่รู้ช่องโหว่นี้ และสามารถลดความเสี่ยงได้โดยการปิดฟีเจอร์ device telemetry ออกไปก่อนจนกว่าจะมีแพตช์

กูเกิลเปิดตัวแพ็กเกจ Chrome Enterprise Premium สำหรับลูกค้าองค์กร เป็นการยกระดับความปลอดภัยของ Chrome สำหรับใช้ในองค์กรขนาดใหญ่

กูเกิลมีบริการชื่อ Chrome Enterprise ทำตลาดองค์กรมานานแล้ว ภายหลังกูเกิลแยกส่วนเป็นบริการจัดการเครื่องระดับพื้นฐานชื่อ Chrome Enterprise Core และล่าสุดเพิ่มบริการเสริมตัวนี้ Chrome Enterprise Premium เข้ามาในราคา 6 ดอลลาร์ต่อผู้ใช้ต่อเดือน

ความแตกต่างของเวอร์ชันพรีเมียมคือเพิ่มฟีเจอร์ความปลอดภัยระดับสูง เช่น การสแกนมัลแวร์อัตโนมัติ, การกรอง URL ของเว็บไซต์อันตรายแยกตามหมวด, การป้องกันข้อมูลสูญหายหรือรั่วไหล (data loss prevention), การรายงานข้อมูลความปลอดภัยของทั้งองค์กรให้แอดมินรับทราบ เป็นต้น

บริการ Google Public DNS ประกาศเพิ่มมาตรการป้องกัน DNS Cache Poisoning ที่คนร้ายสร้าง DNS Reply โดยปลอมไอพีเป็น authoritive server มาตอบไอพีแทนเซิร์ฟเวอร์จริง หากสามารถยิง reply เข้าไปถึงกูเกิลก่อนที่ข้อความจากเซิร์ฟเวอร์จริงไปถึง ก็จะกลายเป็นว่าผู้ใช้จำนวนมากถูกส่งไปยังเซิร์ฟเวอร์ปลอมเป็นระยะเวลาหนึ่ง

ที่จริง IETF พยายามแก้ปัญหานี้แล้ว ด้วยมาตรฐาน DNS Cookies (RFC 7883) ที่เพิ่มค่า cookie ให้เซิร์ฟเวอร์ตอบค่าเดียวกันเท่านั้น ทำให้คนร้ายไม่สามารถเดาค่านี้ได้ แต่ในโลกความเป็นจริงเซิร์ฟเวอร์จำนวนมากไม่ได้รองรับฟีเจอร์นี้ โดยรวมมีคิวรีที่ได้รับการปกป้องจากกระบวนการนี้แค่ 10%

ปัญหาเรื่องความปลอดภัยของซอฟต์แวร์โอเพนซอร์สมีความรุนแรงขึ้นเรื่อยๆ (กรณีล่าสุดของ xz ที่เกือบสร้างผลกระทบในวงกว้าง โชคดีที่ตรวจเจอกันก่อน) ล่าสุดกลุ่มมูลนิธิผู้พัฒนาซอฟต์แวร์โอเพนซอร์สหลายราย ประกาศจับมือกันเพื่อวาง "กระบวนการพัฒนาซอฟต์แวร์ที่ปลอดภัย" แล้ว

โครงการนี้มี Eclipse Foundation เป็นเจ้าภาพ ร่วมด้วยองค์กรอีกจำนวนมาก ได้แก่ Apache Software Foundation, Blender Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation, Rust Foundation

ศูนย์ความมั่นคงไซเบอร์แห่งชาติสหราชอาณาจักร (National Cyber Security Centre - NCSC) ออกคำแนะนำการป้องกันภัยไซเบอร์สำหรับกลุ่มผู้มีความเสี่ยงสูงเป็นพิเศษ เช่น นักการเมือง, นักวิชาการ, นักข่าว, หรือคนทำงานกฎหมาย โดยคำแนะนำนี้เป็นคำแนะนำที่เหนือกว่าการรักษาความปลอดภัยไซเบอร์ทั่วไป

คำแนะนำในเอกสารนี้ ได้แก่

กระบวนการวางช่องโหว่ในโครงการ xz นับเป็นความพยายามโจมตีครั้งใหญ่ของโลกไซเบอร์ หากการโจมตีครั้งนี้สำเร็จก็จะเป็นการสร้างช่องทางลับให้คนร้ายสามารถเข้าถึงเซิร์ฟเวอร์จำนวนมหาศาลได้โดยง่าย โดยผู้พบช่องทางนี้ครั้งแรกคือ Andres Freund โปรแกรมเมอร์ของไมโครซอฟท์ ที่พบช่องโหว่ระหว่างการทดสอบ PostgreSQL ที่เป็นงานหลักของเขา หลักจากรายงานช่องโหว่นี้หลายคนก็ยกย่องให้เขาเป็นฮีโร่แห่งอินเทอร์เน็ต

โครงการ xz ถูกฝังโค้ดวางทางเข้าเซิร์ฟเวอร์ผ่านช่องทาง secure shell นับเป็นเรื่องน่าตระหนก Russ Cox ก็ออกมาเรียบเรียงช่วงเวลาการทำงานของคนร้ายกลุ่มนี้

xz เป็นโครงการโดย Lasse Collin ที่ออกแบบไฟล์โดยใช้กระบวนการบีบอัดแบบ LZMA โดยรวมแล้วมันบีบอัดได้ดีกว่า gzip พอสมควร ไฟล์โดยรวมมีขนาดเพียง 70% ของ gzip จึงได้รับความนิยมสูง ตัวเคอร์เนลลินุกซ์เองก็ใช้กระบวนการบีบอัดนี้ แต่โครงการเริ่มมาตั้งแต่ปี 2005 และ Lasse ก็ดูแลโครงการเรื่อยมา