กูเกิลตรวจพบใบขอรับรอง (pre-certificate) แบบ Extended Validation (EV) สำหรับโดเมน google.com และ www.google.com ออกโดย Thawte ผู้ให้บริการ CA ของ Synmantec เมื่อวันที่ 14 กันยายนที่ผ่านมา โดยที่กูเกิลไม่ได้ร้องขอให้ออกใบรับรองนี้ อย่างไรก็ดีใบรับรองนี้มีอายุเพียงหนึ่งวันเท่านั้น

ทาง Symantec ระบุว่าใบรับรองเหล่านี้ออกมาเพื่อทดสอบสินค้าของบริษัทเป็นการภายใน ตอนนี้ตัวใบรับรองและกุญแจยังอยู่ในความควบคุมของบริษัทและไม่ได้หลุดออกไปภายนอก ทาง Symantec สอบสวนการออกใบรับรองเหล่านี้และพบว่าพนักงานบางคนไม่ทำตามกระบวนการที่ได้รับการฝึกมาก่อนแล้ว และตัดสินใจไล่พนักงานเหล่านั้นออกจากบริษัท

จากข่าว พบมัลแวร์ iOS จู่โจมนักพัฒนาผ่าน Xcode เวอร์ชันปนเปื้อน แล้วฝังมัลแวร์ตอนคอมไพล์ ความคืบหน้าล่าสุดคือแอปเปิลสั่งถอดแอพที่มีปัญหาเหล่านี้จาก App Store แล้ว และคุยกับนักพัฒนาแอพเหล่านี้ให้คอมไพล์แอพใหม่ด้วย Xcode เวอร์ชันที่ถูกต้อง

บริษัทความปลอดภัย Qihoo360 ของจีน ระบุว่ามีแอพที่โดน XcodeGhost มากถึง 344 ตัว ซึ่งในจำนวนนี้มีแอพดังคือ WeChat, แอพแท็กซี่ Didi Kuaidi, แอพฟังเพลง NetEase ด้วย

ที่มา - Reuters

บริษัทความปลอดภัย Sucuri ตรวจพบการแฮ็กเว็บไซต์ครั้งใหญ่จำนวนเกือบหมื่นแห่งแล้ว โดย 95% ของเว็บที่โดนแฮ็กเป็น WordPress แต่ยังไม่ทราบข้อมูลแน่ชัดว่าใช้ช่องโหว่ใดในการแฮ็กกันแน่

เว็บไซต์ที่โดนแฮ็กจะ redirect ผู้ใช้ไปยังเว็บเพจที่ฝังมัลแวร์ Nuclear Exploit Kit ซึ่งจะลองเจาะเครื่องของผู้ใช้ผ่านช่องโหว่ต่างๆ ที่หลากหลาย สำหรับการตรวจสอบว่าเว็บใดโดนเจาะ สามารถเช็คจากฟังก์ชันจาวาสคริปต์ชื่อ visitorTracker_isMob( ) ที่ถูกฝังเข้ามาด้วย หรือถ้าขี้เกียจดูโค้ดเอง จะตรวจสอบจาก Sucuri SiteCheck ก็ได้เช่นกัน

หลังจากผู้ผลิตเบราว์เซอร์หลักประกาศแนวทางหยุดรองรับ RC4 ต้นปีหน้า ตอนนี้กูเกิลก็ออกมาประกาศแนวทางว่าไคลเอนต์ที่จะเชื่อมต่อกับกูเกิลได้ต้องรองรับอะไรบ้างเพื่อให้แน่ใจว่าจะทำงานต่อไปได้หลังการอัพเกรดกระบวนการเข้ารหัส

เงื่อนไขที่กูเกิลระบุมี 5 ข้อ ได้แก่

เวอร์ชัน iOS ด้วย

XcodeGhost อาศัยช่องว่างที่ว่าไฟล์ Xcode ของแอปเปิลมีขนาดใหญ่ ต้องใช้เวลาดาวน์โหลดนาน นักพัฒนาในประเทศจีนจึงใช้วิธีดาวน์โหลดจาก mirror ในประเทศแทน ซึ่งทำให้แฮ็กเกอร์แก้แพ็กเกจของ Xcode โดยฝังมัลแวร์ลงไปด้วย (อยู่ในส่วน CoreServices)

Xcode เวอร์ชันฝังพิษจะแอบฝังโค้ดของตัวเองลงในแอพ iOS ตอนคอมไพล์ แอพเหล่านี้จะแอบดึงข้อมูลในเครื่องผู้ใช้ แล้วส่งกลับไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์

กูเกิลปล่อยอัพเดตความปลอดภัย Android รอบเดือนกันยายน (ข่าวของอัพเดตรอบเดือนสิงหาคม LMY48M)

อุปกรณ์กลุ่ม Nexus จะได้อัพเดต LMY48M/K/F/P (แล้วแต่รุ่นย่อย) โดยอุปกรณ์ที่ได้อัพเดตแล้วคือ Nexus 4/5/6/7/9/10 ส่วนรายละเอียดว่าอัพเดตอะไรบ้างยังไม่มีประกาศออกมา

คราวนี้ กูเกิลยังปล่อยอัพเดตให้อุปกรณ์กลุ่ม Google Play edition (GPe) อัพเดตเป็น LMY47D/M/O ตามแต่ละรุ่นย่อย อัพเดตรอบนี้จะแก้บั๊ก StageFright ให้แล้ว และกรณีของ Samsung Galaxy S4 GPe ยังถือเป็นการอัพเดตจาก 5.0 เป็น 5.1 ให้ด้วย

ที่มา - Android Police

Red Hat แจ้งว่าพบการบุกเจาะเว็บชุมชน Ceph ทั้ง ceph.com และ download.inktank.com ที่เป็นจุดปล่อยโค้ดและแพ็กเกจไปยังดิสโทรอื่นๆ แม้ว่าตอนนี้จะยังไม่พบว่าไฟล์ที่เปิดให้ดาวน์โหลดถูกดัดแปลงไป แต่เพื่อความปลอดภัยทาง Ceph ก็เปลี่ยนกุญแจเซ็นรับรองแพ็กเกจแล้ว

ทาง Red Hat แนะนำให้ใช้กุญแจใหม่เพื่อตรวจสอบแพ็กเกจ โดยกุญแจเซ็นรับรองแพ็กเกจของ Inktank คือ 5438C7019DCEEEAD และกุญแจของชุมชน Ceph คือ 7EBFDD5D17ED316D ควรถูกเปลี่ยน ทางฝั่งชุมชน Ceph นั้นประกาศกุญแจใหม่เป็น E84AC2C0460F3994 ส่วนเวอร์ชั่นของ Inktank นั้นทาง Red Hat แนะนำให้ลูกค้า Red Hat Ceph Storage เปลี่ยนไปใช้กุญแจ release ของ Red Hat โดยตรง โดยทาง Red Hat จะนำแพ็กเกจรุ่นเก่ากลับมาเซ็นรับรองใหม่ด้วย

เมื่อวานนี้ FireEye รายงานเฟิร์มแวร์ SYNful Knock ที่ถูกติดตั้งบนเราท์เตอร์ของซิสโก้ วันนี้ทาง Zmap ก็ทดสอบสแกนอินเทอร์เน็ตหมดทั้ง IPv4 และพบว่ามีเครื่องที่ตอบแพ็กเก็ตของเฟิร์มแวร์นี้ทั้งหมด 79 เครื่องกระจายไปใน 19 ประเทศ ที่สำคัญคือในไทยนั้นพบเครื่องที่ตอบอยู่ 3 เครื่อง

ทีมงาน Zmap สร้างแพ็กเก็ต TCP SYN ที่มีค่า sequence เป็น 0xC123D และค่า acknowledgment เป็น 0x0000 โดยที่ค่า urgent pointer เป็น 0x0001 โดยปิดแฟลก urgent ซึ่งปกติหากปิดไว้ค่า urgent pointer จะไม่มีความหมาย

NATO Communications and Information Agency หน่วยงานความมั่นคงสารสนเทศของนาโต้ตกลงเข้าร่วม Government Security Program (GSP) โครงการนี้ทำให้นาโต้สามารถเข้าถึงซอร์สโค้ดของซอฟต์แวร์สำคัญๆ หลายตัวของไมโครซอฟท์ พร้อมกับสิทธิพิเศษในการแจ้งเตือนความปลอดภัย

โครงการความปลอดภัยนี้ทำให้ชาติที่สงสัยว่าไมโครซอฟท์แอบฝังช่องโหว่ใดไว้หรือไม่ สามารถเข้าตรวจสอบซอร์สโค้ดได้ด้วยตัวเอง พร้อมกับเข้าถึงเอกสารทางเทคนิคเพิ่มเติม

ตอนนี้ GSP มีสมาชิกแล้ว 40 หน่วยงานรวม 25 รัฐบาลทั่วโลก

Microsoft Research เสนออัลกอริธีม FourQ สำหรับการเข้ารหัสแบบ elliptic curve ที่มีจุดเด่นที่ความเร็วสูงกว่ากระบวนการแบบเดิม เช่น NIST P-256 หรือ Curve25519

ไมโครซอฟท์เปิดตัวไลบรารีออกมาเป็นโอเพนซอร์ส โดยใช้สัญญาอนุญาตแบบ MIT ทำให้น่าจะนำไปใช้ได้ในแทบทุกโครงการ โดยระบุว่าความเร็วการแลกความลับแบบ Diffie-Hellman ใช้รอบซีพียู 92,000 รอบบนซีพียู Haswell, 110,000 รอบบนซีพียู Ivy Bridge, และ 116,000 รอบบน Sandy Bridge เร็วกว่า NIST P-256 สี่ถึงห้าเท่าตัว และเร็วกว่า Curve25519 อยู่ 1.5 เท่าตัว

แม้ในทางวิชาการ MIT (Massachusetts Institute of Technology) จะได้รับการยอมรับว่ามีความเป็นเลิศอยู่ในอันดับต้นๆ ของโลก (QS World Ranking ของปี 2014/15 อยู่อันดับที่ 1 ในภาพรวม) แต่ในเชิงความปลอดภัยทางด้านไอที MIT กลับถูกบริษัทวิจัยด้านความปลอดภัย SecurityScorecard จัดลำดับว่าเป็นมหาวิทยาลัยที่มีระบบด้านความปลอดภัยสำหรับไอที ต่ำที่สุดในสหรัฐอเมริกา

FireEye รายงานถึงรอม SYNful Knock เป็นรอมที่ถูกดัดแปลงและติดตั้งเข้ากับเราท์เตอร์ใน 4 ประเทศ ได้แก่ ยูเครน, ฟิลิปปินส์, เม็กซิโก, และอินเดีย เราท์เตอร์เหล่านี้ถูกติดตั้งในหลายที่รวมถึงหน่วยงานรัฐบาล ตัวรอมจะเปิดช่องโหว่เพื่อรอรับคำสั่งจากเซิร์ฟเวอร์

ตอนนี้เราท์เตอร์ที่พบ SYNful Knock แล้วมี 3 รุ่น ได้แก่ Cisco 1841, Cisco 2811, และ Cisco 3825

ช่องโหว่แอนดรอยด์ที่เพิ่งได้รับการแก้ไขเดือนนี้มักพูดกันถึงช่องโหว่ Stagefright แต่ช่องโหว่ CVE-2015-3860 ที่ถูกจัดว่าเป็นช่องโหว่ระดับกลางก็นับว่าน่ากลัวไม่น้อย เมื่อมันทำให้แฮกเกอร์สามารถฝ่าหน้าจอล็อกเครื่องไปได้

ช่องโหว่นี้จะทำได้กับเครื่องที่ล็อกหน้าจอด้วยรหัสผ่านเท่านั้น ไม่สามารถใช้กับการล็อกหน้าจอแบบ pattern หรือ PIN ได้

โครงการแจกใบรับรองฟรี Let's Encrypt เข้าสู่ช่วงปล่อยใบรับรองจริงช่วงแรก โดยยังไม่ได้รับรองรับรองซ้อนมาจาก IdenTrust ทำให้ไม่เบราว์เซอร์ทั่วไปไม่รองรับ (จะขึ้นหน้าจอเตือน Invalid Certification Authority)

ใบรับรองชุดแรกออกมาตั้งแต่เมื่อวานนี้ และทาง Let's Encrypt ประกาศเริ่มต้นเข้าสู่ช่วงออกใบรับรองในวันนี้

ระหว่างนี้หากต้องการให้เบราว์เซอร์เชื่อถือเว็บที่ Let's Encrypt รับรองจะต้องติดตั้งใบรับรองของ ISRG ลงในเครื่อง ใบรับรองทดสอบอยู่ที่เว็บ helloworld.letsencrypt.org

อินเทลประกาศก่อตั้งกรรมการตรวจสอบความปลอดภัยยานยนต์ (Automotive Security Review Board - ASRB) ที่จะมีนักวิจัยของตัวเองทำหน้าที่ตรวจสอบความปลอดภัยไซเบอร์ของยานยนต์และออกแนวทางการดูแลความปลอดภัยไซเบอร์สำหรับอุตสาหกรรมยานยนต์

อินเทลจะส่งมอบชุดพัฒนาสำหรับรถยนต์ของตัวเองให้กับนักวิจัยใน ASRB หลังจากนั้นนักวิจัยที่พบแนวทางการพัฒนาความปลอดภัยไซเบอร์ที่มีผลกระทบสูงสุดจะได้รับรถยนต์จากอินเทล และรายงานการวิจัยจะเปิดเผยเป็นสาธารณะ

แนวทางของการคำนึงถึงความปลอดภัยไซเบอร์ฉบับแรกเปิดให้ดาวน์โหลดแล้ว (PDF) และทางอินเทลระบุว่าจะอัพเดตเพิ่มเติมเรื่อยๆ ตามที่นักวิจัยรายงานเพิ่มเติมเข้ามา

ข้อมูลเว็บ Ashley Madison ถูกปล่อยออกมาเดือนกว่า โดยก่อนหน้านี้เชื่อกันว่ารหัสผ่านที่หลุดออกมาพร้อมกับฐานข้อมูลมีความปลอดภัยสูงเพราะใช้การเข้ารหัสแบบ bcrypt ทำให้กระบวนการแกะแฮชน่าจะยากมาก แต่นักวิจัยที่ใช้ชื่อบนเว็บว่า CynoSure Prime ก็ออกมารายงานว่ามีบัญชีจำนวนหนึ่งมีข้อมูลรหัสผ่านที่แกะรหัสได้ง่ายอยู่ด้วย

ข่าวใหญ่โลก Android ประจำปีนี้คือ กูเกิลประกาศนโยบายอัพเดตความปลอดภัยให้ Nexus ทุกเดือน ซึ่งเมื่อไม่กี่วันที่ผ่านมา กูเกิลก็ออกอัพเดตครั้งแรก September 2015 ตามนโยบายนี้แล้ว

อัพเดตตัวนี้เป็น Android 5.1.1 รหัส LMY48M อุดช่องโหว่ความปลอดภัยจำนวน 8 ตัว ในจำนวนนี้มีช่องโหว่ระดับ critical 2 ตัว (ในที่นี้คือ StageFright) และช่องโหว่ระดับ high อีก 4 ตัว

อุปกรณ์ที่ได้อัพเดตผ่าน factory image แล้วคือ Nexus 4, 5, 6, 7 (2013 Wi-Fi), 9 (Wi-Fi/LTE), 10 ส่วนการอัพเดตแบบ OTA คงแล้วแต่อุปกรณ์ (ลุ้นกันเอง) และผู้ใช้สินค้ายี่ห้ออื่นๆ ก็ต้องไปกดดันผู้ผลิตกันเองต่อไปครับ

องค์กรประกันคุณภาพข้อมูลแห่งชาติของอังกฤษ (National Technical Authority for Information Assurance - CESG) ออกคำแนะนำการใช้รหัสผ่านฉบับใหม่ ปรับปรุงแนวทางการใช้รหัสผ่านให้ปลอดภัย

คำแนะนำมีหลายข้อ แต่ข้อที่เป็นการเปลี่ยนแปลงหนักๆ คือข้อ 2 ที่ระบุว่าการบังคับเปลี่ยนรหัสผ่านเป็นรอบๆ 30 ถึง 90 วันนั้นเป็นการสร้างภาระให้ผู้ใช้โดยไม่จำเป็น หากรหัสผ่านหลุดไปจริงก็มักจะถูกใช้เจาะระบบในเวลาไม่นาน แนวทางที่ดีกว่าคือการตรวจสอบการใช้รหัสผ่านอย่างต่อเนื่อง แจ้งผู้ใช้เมื่อมีการใช้รหัสผ่านและเปิดช่องทางให้ผู้ใช้รายงานหากมีการใช้รหัสผ่านโดยไม่ได้รับอนุญาต

คำแนะนำของ CESG มีทั้งหมด 7 ข้อ ดังนี้

ไมโครซอฟท์ออกแพตช์ความปลอดภัยตามรอบปกติ (patch Tuesday) รอบนี้มีช่องโหว่ที่รวมๆ มาสำหรับแอพพลิเคชั่นหลายตัว ได้แก่ Internet Explorer, Microsoft Edge, Windows, Office, Sharepoint Foundation

ช่องโหว่หนึ่งที่น่าสนใจคือ CVE-2015-2509 หรือ MS15-100 เป็นช่องโหว่ที่ Trend Micro แจ้งไมโครซอฟท์เพราะพบจากเอกสารที่ได้จาก Hacking Team โดยกระทบกับผู้ใช้ Windows Media Center เพราะสามารถเปิดไฟล์ MCL ที่เป็นลิงก์สำหรับเปิดเว็บใน Media Center แต่กลับสามารถสั่งให้เครื่องที่เปิดไฟล์รันคำสั่งใดๆ ก็ได้ บั๊กนี้อยู่ในระดับ "สำคัญ"

ช่องโหว่ Stagefright เปิดเผยออกมาเกือบสองเดือนแล้ว แม้จะได้รับการยืนยันจากหลายสำนัก แต่โค้ดที่ยืนยันช่องโหว่จริงจาก Zimperium ก็ยังไม่เคยเปิดเผยออกมา หลังจากเจรจากับผู้ผลิตและเลื่อนการเปิดเผยโค้ดนี้มาหลายครั้ง ตอนนี้ทาง Zimperium ก็เปิดโค้ดไพธอนสำหรับสร้างไฟล์ MP4 ที่เจาะช่องโหว่ CVE-2015-1538 แล้ว

ช่องโหว่นี้ทดสอบอุปกรณ์ตัวเดียวคือ Nexus (ไม่ได้ระบุรุ่น) และใช้กับรอม Android 4.0.4 เท่านั้น เพราะใน Android 5.0 มีกระบวนการป้องกันที่แน่นหนาขึ้น จากความสามารถของ GCC (compiler) รุ่นใหม่ อย่างไรก็ดีมีนักวิจัยรายอื่นๆ รายงานว่าสามารถใช้ช่องโหว่ Stagefright เจาะ Android 5.0 ได้สำเร็จ

US-CERT ออกประกาศแจ้งเตือนผู้ใช้ฮาร์ดดิสก์ที่สามารถใช้งานผ่าน Wi-Fi ของทาง Seagate และ LaCie สามรุ่น ได้แก่ Seagate Wireless Plus Mobile Storage, Seagate Wireless Mobile Storage, และ LaCie FUEL

ทั้งสามรุ่นมีช่องโหว่ร้ายแรงหลายอย่าง เช่น การอัพโหลดไฟล์โดยไม่ต้องล็อกอิน, การดาวน์โหลดไฟล์โดยไม่ต้องล็อกอิน, และที่ร้ายแรงที่สุดคือรหัสผ่าน telnet ระดับ root ที่ตั้งรหัส username/password ไว้เป็น root/root

ทาง Seagate ออกเฟิร์มแวร์แก้ไขช่องโหว่ทั้งหมดแล้วในรุ่น 3.4.1.105 ผู้ใช้ฮาร์ดดิสก์ที่ได้รับผลกระทบควรเร่งอัพเดตทันที

ที่มา - CERT

Kristian Hermansen นักวิจัยความปลอดภัย โพสช่องโหว่ของ FireEye Appliance ที่เปิดเผยไฟล์ในระบบ พร้อมกับระบุว่ายังมีช่องโหว่อื่นที่ทำให้แฮกเกอร์สามารถส่งคำสั่งขึ้นไปรันได้ในกรณีที่ล็อกอินแล้ว และพร้อมจะขายช่องโหว่เหล่านี้

เขาอ้างว่า FireEye ไม่มีกระบวนการรับแจ้งช่องโหว่จากภายนอก แต่ที่จริงแล้ว FireEye แจ้งกระบวนการรายงานช่องโหว่ไว้ใน Fire Bounty ทาง FireEye ออกแถลงการณ์ระบุขอบคุณนักวิจัยที่ลงแรงหาช่องโหว่และช่วย FireEye ปรับปรุงสินค้า แต่ทางบริษัทสนับสนุนให้การเปิดเผยช่องโหว่อย่างรับผิดชอบ

มอสซิลล่าผู้ดูแลเบราว์เซอร์ไฟร์ฟอกซ์รายงานว่าเมื่อเดือนที่แล้ว เว็บ Bugzilla สำหรับติดตามบั๊กของโครงการถูกขโมยเอาข้อมูลออกไป ด้วยการแฮกบัญชีผู้ใช้เข้ามาอ่านข้อมูล ทำให้แฮกเกอร์เห็นช่องโหว่ที่อยู่ระหว่างการพัฒนาแพตช์ และนำช่องโหว่นั้นออกไปโจมตีผู้ใช้ไฟร์ฟอกซ์

บัญชีที่ถูกแฮกไปตอนนี้ถูกระงับไปแล้ว ข้อมูลช่องโหว่ที่หลุดออกไปและมีการโจมตีทำให้ทางมอสซิลล่าต้องออกรุ่นพิเศษเพื่ออุดช่องโหว่เร่งด่วนเมื่อเดือนที่แล้ว แต่คาดว่าแฮกเกอร์ไม่ได้ข้อมูลอื่นๆ ไปอีก

โครมออกรุ่น 45 (หมายเลขเวอร์ชั่นเต็ม 45.0.2454.85) เริ่มปล่อยอัพเดตวันนี้ เป็นการเริ่มมาตรการไม่เล่นโฆษณาที่ใช้ส่วนเสริมแฟลชเป็นค่าเริ่มต้น ตามที่ประกาศไว้ก่อนหน้านี้ว่าจะเริ่มวันที่ 1 กันยายน แต่ยิ่งกว่ามาตรการใหม่คือการอุดช่องโหว่ความปลอดภัยสำคัญๆ หลายรายการ รวม 29 จุด

ในบรรดาช่องโหว่ทั้งหมด มีช่องโหว่ร้ายแรงสูง 6 รายการ และช่องโหว่ระดับปานกลางอีก 4 รายการ

ช่องโหว่ร้ายแรงสูง 3 รายการเป็นเรื่องของการข้ามนโยบาย Cross-origin ของเบราว์เซอร์ อีก 2 รายการเป็นการใช้หน่วยความจำหลังคืนหน่วยความจำให้ระบบไปแล้ว และอีกหนึ่งรายการเป็นการปลอมตัวอักษรในช่อง URL (omnibox)

งาน IBM Connect 2015 มีการบรรยายของคุณ Denis Kennelly ตำแหน่ง Vice President of Development Security ของ IBM Security ซึ่งเป็นธุรกิจด้านความปลอดภัยของ IBM (ถือเป็นบริษัทความปลอดภัยรายใหญ่ในแง่รายได้ แต่คนไม่ค่อยรู้กันว่า IBM ก็มี Security)

หัวข้อการบรรยายเป็นเรื่องภูมิทัศน์ที่เปลี่ยนไปของวงการความปลอดภัยยุคใหม่ ซึ่งคุณ Denis ก็เตือนบรรดาผู้บริหารของบริษัทต่างๆ ที่เข้าร่วมฟังงานนี้ว่า ได้เวลาแต่งตั้ง CISO แล้ว (ส่วน CISO คืออะไร โปรดติดตามกันต่อไป)