รายงานช่องโหว่ของซีพียูอินเทลตั้งแต่ปี 1997 เป็นต้นมาทำให้แฮกเกอร์สามารถสร้าง rootkit ฝังตัวไว้ในเครื่องของเหยื่อที่ระดับต่ำกว่าระบบปฏิบัติการ โดยนักวิจัย Christopher Domas นำเสนอช่องโหว่นี้ในงาน Black Hat

ระดับความปลอดภัย System Management Mode (SMM) เป็นระดับลึกที่สุดของซีพียู ลึกกว่าชั้น hypervisor ที่มีไว้สำหรับสร้างเครื่องจำลอง ทาง Domas เรียกระดับนี้ว่า ring -2 (เทียบกับ hyervisor ที่มักเรียกว่า ring -1 และระดับระบบปฎิบัติการที่เรียกว่า ring 0)

โมโตโรลาเป็นผู้ผลิตมือถือรายล่าสุดที่ออกมาประกาศอัพเดตช่องโหว่ Stagefright โดยจะส่งเฟิร์มแวร์ให้เครือข่ายทดสอบในวันที่ 10 สิงหาคมนี้ ส่วนกำหนดการปล่อยอัพเดตขึ้นกับแต่ละเครือข่ายอีกทีหนึ่ง

มือถือรุ่นที่ประกาศได้แก่

Let's Encrypt บริการออกใบรับรองโดเมนฟรีมีกำหนดการเปิดบริการทั่วไปกลางเดือนกันยายนนี้ ตอนนี้ทางโครงการก็ออกมาประกาศเลื่อนออกไปเป็นวันที่ 16 พฤศจิกายนแล้ว

กำหนดการนี้เลื่อนออกไปจากเดิมประมาณสองเดือนสำหรับบริการทั่วไป และสองเดือนครึ่งสำหรับการเปิดบริการเฉพาะกลุ่ม

ทางโครงการไม่ได้บอกเหตุผลของการเลื่อนไว้ตรงๆ แต่บอกเพียงว่าเพื่อใช้เวลาปรับปรุงระบบ

ที่มา - Let's Encrypt

ซีพียู Skylake เพิ่งเปิดตัวไป สำหรับคนส่วนมาก มันคือซีพียูที่แรงขึ้นตามรอบการอัพเกรดของอินเทล แต่นอกจากความแรงแล้ว อินเทลยังค่อยๆ ปรับปรุงสถาปัตยกรรมของซีพียูทุกรอบที่ออกรุ่นใหม่ เช่นใน Haswell ที่มีชุดคำสั่ง TSX สำหรับโมเดลการเขียนโปรแกรมแบบหลายเธรดแบบใหม่ ในสถาปัตยกรรม Skylake ชุดคำสั่งใหม่คือ Intel MPX (Memory Protection Extensions)

Mozilla ออกประกาศเตือนช่องโหว่ระดับ critical ค้นพบใหม่ใน Firefox เกี่ยวกับตัวอ่าน PDF ที่มาพร้อมกับเบราว์เซอร์ ช่องโหว่นี้เปิดให้ผู้ประสงค์ร้ายเข้ามาขโมยข้อมูลในเครื่องของผู้ใช้ได้

ความน่ากลัวคือพบการโจมตีผ่านช่องโหว่นี้ในรัสเซียแล้ว โดยแฮ็กเกอร์ใช้วิธียิงโฆษณาบนเว็บไซต์ข่าวแห่งหนึ่ง เพื่อขโมยข้อมูลของผู้ที่เข้าชมเว็บไซต์ข่าวแห่งนี้ด้วย Firefox ตัวอย่างข้อมูลที่ถูกขโมยคือไฟล์คอนฟิกต่างๆ ที่อาจมีรหัสผ่านเก็บอยู่ เช่น /etc/passwd, .ssh, .mysql_history รวมถึงไฟล์คอนฟิกของ Filezilla หรือ subversion

Mozilla ออกแพตช์แก้มาเป็น Firefox 39.0.3 และ Firefox ESR 38.1.1 แล้ว อัพเดตกันด่วนครับ

เซิร์ฟเวอร์อีเมลของกระทรวงกลาโหมสหรัฐฯ (Deparment of Defence - DoD) ถูกแฮกบางส่วน ทำให้ผู้ดูแลระบบปิดเซิร์ฟเวอร์เหล่านั้นมาแล้ว 11 วัน ตั้งแต่วันที่ 25 กรกฎาคมที่ผ่านมา กระทบคนทำงาน 4,000 คน

เครือข่ายที่ถูกแฮกเป็นส่วน Joint Staff ที่เป็นระดับชั้นไม่เป็นความลับ (unclassified) โดยตอนนี้อยู่ระหว่างการค้นหาต้นเหตุและแก้ไข โดยทาง DoD ยังไม่แน่ใจว่าใครเป็นผู้บุกรุกในรอบนี้

ที่มา - The Register

เมื่อไม่นานมานี้ กูเกิลกระชับวงล้อมความปลอดภัยของ Chrome โดยกำหนดให้ติดตั้งส่วนขยายผ่าน Chrome Web Store เท่านั้น

ฟังดูเหมือนปลอดภัย แต่จริงๆ แล้ว Chrome ยังมีวิธีการติดตั้งส่วนขยายอีกแบบที่เรียกว่า Inline Installation โดยเปิดให้ผู้ใช้ติดตั้งส่วนขยายจากลิงก์เว็บไซต์ของเราได้เลย ตัวไฟล์ส่วนขยายจะอยู่บน Chrome Web Store (คือกดจากเว็บไซต์ มีหน้าจอติดตั้งขึ้นมา ดึงไฟล์มาจากเซิร์ฟเวอร์กูเกิล)

Chris Evans ผู้ดูแลนักวิจัย (Researcher Herder) ของ Project Zero ในกูเกิล ประกาศว่าเขากำลังย้ายไปรับตำแหน่งหัวหน้าฝ่ายความปลอดภัย (lead security) ของ Tesla Motors หลังจากทำงานกับกูเกิลมาครบสิบปี ก่อนหน้านี้เขาเคยทำงานออราเคิลและเขียนโปรแกรม vsftpd มาจนทุกวันนี้

LG เป็นผู้ผลิตฮาร์ดแวร์ Android รายที่สามที่ประกาศออกแพตช์ความปลอดภัยรายเดือนให้ลูกค้า ถัดจาก Google Nexus และ Samsung Galaxy

ข่าวนี้ไม่ได้มาจาก LG โดยตรง แต่มาจาก Adrian Ludwig หัวหน้าทีมความปลอดภัยของกูเกิล (คนเดียวกับที่ประกาศนโยบาย Nexus อัพเดตทุกเดือน) ไปพูดที่งานสัมมนา BlackHat 2015 เมื่อวานนี้ โดยเขาระบุชื่อว่ามี Google, Samsung, LG ที่เข้าร่วมการออกแพตช์ความปลอดภัยทุกเดือน เป็นเวลานาน 3 ปีหลังวันวางขายมือถือรุ่นนั้น

ประเด็นเรื่องช่องโหว่ StageFright เริ่มโดยกูเกิลออกแพตช์ให้ Nexus ตามด้วยซัมซุงประกาศเตรียมออกแพตช์ ท่ามกลางคำถามว่าแพตช์จะส่งถึงผู้ใช้เมื่อไร เพราะกระบวนการอัพเดต Android ยุ่งยากและซับซ้อน โดยเฉพาะเครื่องที่ขายกับโอเปอเรเตอร์

แต่ Sprint กลายเป็นเสือปืนไวที่ประกาศอัพเดตแพตช์ทันที โดยมือถือที่เข้าข่ายคือ Nexus 5, Nexus 6, Galaxy S5, Galaxy S6, Galaxy S6 edge, Galaxy Note Edge จะได้รับแพตช์แล้ววันนี้ ส่วนมือถือรุ่นอื่นๆ รอประกาศเพิ่มเติมต่อไปครับ

หลังจากกูเกิลออกมาประกาศแล้วว่าหลังจากนี้จะออกแพตช์ความปลอดภัยเข้าโครงการ AOSP รายเดือน ตอนนี้ผู้ผลิตที่ออกตอบรับเรื่องนี้คือซัมซุง

ซัมซุงระบุว่าแพตช์ของช่องโหว่ StageFright เข้าสู่กระบวนการพิเศษเพื่อให้ออกอัพเดตไปยังเครื่องผู้ใช้ได้รวดเร็ว และหลังจากนี้ทางซัมซุงก็จะสร้างแนวทางอัพเดตสำหรับแพตช์ความปลอดภัยรายเดือน

กูเกิลออกมาแสดงท่าทีต่อช่องโหว่ StageFright แล้ววันนี้ โดยระบุว่าวันนี้ อุปกรณ์ Nexus ตั้งแต่ Nexus 4 ขึ้นไปจะได้รับอัพเดต และหลังจากนี้จะมีอัพเดตความปลอดภัยให้ทุกเดือน

อัพเดตชุดนี้จะแก้ช่องโหว่ StageFright และช่องโหว่อื่นๆ ตลอดเดือนกรกฎาคมที่ผ่านมา

อัพเดตของ Nexus จะออกพร้อมๆ กับโค้ดถูกส่งเข้าโครงการ AOSP ส่วนผู้ที่ใช้แบรนด์อื่นๆ นอกจาก Nexus ก็ต้องภาวนาให้ผู้ผลิตนำโค้ดไปออกอัพเดตกันเอง

ใครอยากด่าก็ขอให้อยู่ในความสุภาพครับ

ที่มา - Android Official Blog

กระบวนการเชื่อมต่อแบบเข้ารหัส TLS ที่ใช้สำหรับการเชื่อมต่อเข้ารหัสบนอินเทอร์เน็ตอย่างหลากหลายมีกระบวนการสำคัญคือการแลกกุญแจ (key exchange) ที่ทุกวันนี้มักอิงกับอัลกอรืทึม RSA เป็นหลัก แต่ RSA นั้นหากสามารถสร้างคอมพิวเตอร์ควอนตัมที่ขนาดใหญ่พอได้สำเร็จก็จะถอดรหัสได้ในเวลาอันรวดเร็ว ตอนนี้กลุ่มวิจัยสถาปัตยกรรรมควอนตัม (Quantum Architectures and Computation Group - QuArC) ของไมโครซอฟท์ก็ออกมาเสนอกระบวนการแลกกุญแจที่จะทนทานต่อคอมพิวเตอร์ควอนตัม

กระบวนการแลกกุญแจนี้เป็นอัลกอริทึมที่สร้างมาจากปัญหา ring learning with errors (R-LWE) โดยทีมวิจัยได้แสดงกระบวนการพิสูจน์ความปลอดภัยเอาไว้ และออกแบบกระบวนการเข้ารหัสให้มีความปลอดภัยเทียบเท่ากับการเข้ารหัส 128 บิต

LINE เปิดโครงการจ่ายรางวัลสำหรับนักวิจัยที่พบช่องโหว่ของระบบ (bug bounty) ช่วงแรกมีระยะเวลาหนึ่งเดือน เริ่มรับช่องโหว่ 24 สิงหาคมนี้ถึง 23 กันยายนปีนี้

โครงการนี้จำกัดเฉพาะแอพแชตบน iOS และแอนดรอยด์รุ่นล่าสุด และเว็บ *.line-apps.com, *.line.me, และ *.line.naver.jp โดยไม่รวมถึงเกมหรือแอพพลิเคชั่นอื่นๆ

LINE ใช้การตั้งเงินรางวัลขั้นต่ำสำหรับช่องโหว่แต่ละประเภท เงินรางวัลใหญ่ที่สุดคือช่องโหว่รันโค้ดบนเครื่องของผู้ใช้ด้วยการส่งข้อความใน LINE ตั้งรางวัลไว้ขั้นต่ำ 20,000 ดอลลาร์ ช่องโหว่สำคัญๆ เช่น การดักฟังข้อความ, การรันโค้ดบนเซิร์ฟเวอร์ จะมีเงินรางวัลขั้นต่ำ 10,000 ดอลลาร์

RSA Research รายงานกลุ่มแฮกเกอร์ที่เรียกว่า Terracotta เป็นกลุ่มแฮกเกอร์ที่ให้บริการ VPN กับกลุ่มแฮกเกอร์อื่นๆ เพื่อหลีกเลี่ยงการบล็อคไอพี และคนจีนโดยทั่วไปเพื่อหลบเลี่ยงการบล็อคเว็บ

Terracotta มีโหนดทั่วโลกกว่า 1,500 โหนด แฮกมาจากเซิร์ฟเวอร์ที่ไม่ได้ป้องกันดีพอ และมีการเพิ่มเติมโหนดเข้ามาเรื่อยๆ เครื่องของเหยื่อมีตั้งแต่เครือโรงแรมดัง, มหาวิทยาลัย,โรงเรียน, บริษัทไอที โดย Terracotta นำมาให้บริการ VPN เดือนละสามดอลลาร์ให้กับลูกค้าทั่วไป ทำตลาดภายใต้ยี่ห้อหลายยี่ห้อ

เมื่อไม่นานมานี้ เคยมีนักวิจัยด้านความปลอดภัย Trammell Hudson สร้างต้นแบบมัลแวร์ชื่อ Thunderstrike ที่กระจายตัวผ่านเฟิร์มแวร์พอร์ต Thunderbolt เมื่อนำไปเสียบกับเครื่องแมค (หรือพีซีที่มี Thunderbolt) จะแพร่กระจายไปได้เรื่อยๆ ทั้งบนคอมพิวเตอร์และอุปกรณ์เสริม

บริษัทความปลอดภัย Malwarebytes รายงานว่าในรอบสัปดาห์ที่ผ่านมา (นับตั้งแต่ 28 ก.ค.) มีแฮ็กเกอร์ใช้เครือข่ายโฆษณาของ Yahoo เผยแพร่มัลแวร์ครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์วงการไอที

Malwarebytes ตรวจสอบพบว่าแฮ็กเกอร์รายนี้เช่าเซิร์ฟเวอร์ Azure บวกกับเซิร์ฟเวอร์ของตัวเอง แล้วลงโฆษณาผ่านระบบของ Yahoo ให้อยู่ในรูปไฟล์ Flash โดยฝังโค้ดประสงค์ร้ายไว้ในโฆษณา ถ้าหากผู้ใช้ที่โชคร้ายเปิดมาพบโฆษณาชุดนี้ และ Flash Player ในเครื่องไม่ได้อัพเดตเป็นเวอร์ชันล่าสุด ก็จะโดนเจาะผ่านช่องโหว่ของ Flash ทันที

ความร้ายแรงของการแพร่มัลแวร์รอบนี้อาศัยช่องโหว่ที่ผู้ใช้จำนวนมากไม่ยอมอัพเดต Flash บวกกับเครือข่ายโฆษณาของ Yahoo ที่เข้าถึงเว็บใหญ่ๆ เป็นจำนวนมาก ทำให้มีคนที่ได้รับผลกระทบในวงกว้าง

บริษัทความปลอดภัย Malwarebytes รายงานว่าพบช่องโหว่ zero-day ของ OS X สามารถสั่งแก้ไฟล์ sudoer ของระบบได้ ทำให้มัลแวร์สามารถแก้สิทธิการ sudo ไม่ต้องใส่รหัสผ่าน และติดตั้งแอพประสงค์ร้ายตัวอื่นๆ ลงในเครื่องแมคของผู้ใช้ได้เลย

ช่องโหว่ตัวนี้เกิดจากฟังก์ชัน DYLD_PRINT_TO_FILE ของ OS X เอง ที่เปิดให้รันสคริปต์เพื่อแก้ค่าไฟล์ใดๆ ในระบบ จนมัลแวร์นำไปใช้แก้ไฟล์ sudoer ที่กำหนดสิทธิการ sudo และเปิดโอกาสให้ติดตั้งแอพโดยผู้ใช้งานไม่รู้เรื่องได้เลย

แอปเปิลทราบข้อมูลช่องโหว่นี้จากนักวิจัยด้านความปลอดภัยมาก่อนแล้ว แต่ยังไม่แก้ไขอุดรูรั่ว ตอนนี้ผู้ใช้ OS X (รวมถึงรุ่นล่าสุด 10.10.4) ก็ต้องอยู่กับความเสี่ยงไปจนกว่าแอปเปิลจะออกแพตช์ครับ

มีรายงานพบช่องโหว่ของ BIND ซอฟต์แวร์โอเพนซอร์สสำหรับสร้าง DNS Server ทำให้สามารถยิง DoS ให้เซิร์ฟเวอร์แครชได้

ช่องโหว่นี้เกิดจากความผิดพลาดของ BIND ในการจัดการคิวรีประเภท TKEY ที่พบได้ไม่บ่อยนัก ที่เป็นอันตรายคือบริษัทความปลอดภัย Sucuri รายงานว่าพบการยิง DoS ถล่มเซิร์ฟเวอร์ BIND แล้ว

ทีม Internet Systems Consortium (ISC) ผู้ดูแลโครงการ BIND ได้ออกแพตช์แก้มาตั้งแต่สัปดาห์ที่แล้ว ใครดูแลเซิร์ฟเวอร์ BIND ก็อัพเดตแพ็กเกจกันด่วนครับ

ที่มา - ISC, Sucuri

ประเด็นเรื่องความปลอดภัยคอมพิวเตอร์ กลายเป็นเรื่องใหญ่มากขึ้นเรื่อยๆ ในรอบไม่กี่ปีมานี้ ส่วนหนึ่งคงเป็นเพราะโลกเราใช้ระบบคอมพิวเตอร์กันมากขึ้นมาก แต่กรอบวิธีคิดด้านความปลอดภัยอาจยังพัฒนาไม่ทันช่องโหว่ที่มีมากขึ้น

ในงานสัมมนา Rise 2015 ที่ฮ่องกง หัวข้อหนึ่งที่น่าสนใจและผมได้เข้าฟัง คือการบรรยายของ Mikko Hypponen ประธานเจ้าหน้าที่ฝ่ายวิจัย (Chief Research Officer) จากบริษัทซอฟต์แวร์ความปลอดภัยชื่อดัง F-Secure ที่มาสะท้อนมุมมองในฐานะที่ทำงานสายความปลอดภัยมายาวนาน ว่ามีอะไรที่เปลี่ยนไปจากในอดีตบ้าง และเรากำลังจะเจอกับอะไรบ้าง

ซิสโก้รายงานมัลแวร์เข้ารหัสไฟล์เรียกค่าไถ่ CTB Locker ใช้เทคนิคใหม่ในการล่อให้ผู้ใช้ดาวน์โหลดไฟล์มารัน ด้วยการระบุว่าตัวเองเป็นไฟล์อัพเดต Windows 10 และปลอมที่อยู่ผู้ส่งเป็น update@microsoft.com พร้อมแนบไฟล์ Win10Installer.zip

อีเมลเซิร์ฟเวอร์ที่ใช้ส่งไปยังเหยื่อมาจากประเทศไทย

ตัวอีเมลพยายามล่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ไปรันด้วยการลงท้ายอีเมลเหมือนอีเมลจากไมโครซอฟท์ และมีข้อความว่าอีเมลได้รับการสแกนไวรัสแล้ว

หากผู้ใช้หลงเชื่อก็จะเป็นการรันมัลแวร์ ไฟล์ในเครื่องจะถูกเข้ารหัส และตัวมัลแวร์จะให้เวลา 96 ชั่วโมงเพื่อจ่ายเงินค่าไถ่

ที่มา - Cisco

องค์การอาหารและยาสหรัฐฯ (FDA) ออกประกาศแจ้งเตือนโรงพยาบาลให้หยุดใช้งานเครื่องควบคุมการให้สารละลายทางหลอดเลือดยี่ห้อ Symbiq Infusion System ที่ผลิตโดยบริษัท Hospira เพราะเสี่ยงต่อการถูกแฮกทำให้แฮกเกอร์บุกเข้าเครื่องมาปรับระดับยาจนเป็นอันตรายต่อคนไข้ได้

เครื่อง Symbiq Infusion System เลิกผลิตไปแล้วและทาง Hospira ก็กำลังทำงานร่วมกับลูกค้าเพื่อย้ายไปใช้ระบบใหม่กว่า แต่ยังมีบางโรงพยาบาลใช้งานอยู่และอาจจะเพิ่งซื้อเครื่องมาจากผู้ขายอื่นๆ ที่ยังมีสต็อก

ทาง FDA แนะนำโรงพยาบาลที่ไม่มีเครื่องยี่ห้ออื่นมาทดแทน ดังนี้

ช่องโหว่ Stagefright ที่ทำให้แฮกเกอร์โจมตีเครื่องได้เพียงแค่ส่ง MMS เข้าไปยังเครื่องของเหยื่อดูจะเลวร้ายกว่าที่คิดไว้ เมื่อทาง Trend Micro ออกมาเปิดเผยว่าช่องโหว่เดียวกันนี้สามารถเจาะได้ถึงสามช่องทาง คือ การเปิดไฟล์ MP4 ผ่านเว็บ, ผ่านแอพพลิเคชั่น, และผ่าน MMS

ด้วยช่องโหว่ที่โจมตีได้ง่ายเช่นนี้ และยังไม่มีแนวทางป้องกันตัวเองเหมือนช่องทาง MMS ที่ผู้ใช้ยังสามารถปิดเองได้ ทำให้ช่องโหว่นี้เลวร้ายกว่าที่คาดไว้

ตอนนี้ที่ทำได้คงต้องไปกดดันผู้ผลิตให้ออกแพตช์ครับ

บริการ OnStar ของรถ GM ใช้สำหรับบอกตำแหน่งรถ, ปลดล็อกประตู, และสตาร์ตเครื่องล่วงหน้าอ่านทางแอพพลิเคชั่น RemoteLink แต่ Samy Kamkar พบว่าหากดักฟังการสื่อสารระหว่างโทรศัพท์มือถือกับเซิร์ฟเวอร์ได้ ก็จะสามารถควบคุมรถไปได้ตลอด

ตัวแอพ RemoteLink ไม่ได้ตรวจสอบใบรับรองของเซิร์ฟเวอร์ ทำให้เสี่ยงต่อการถูกดักฟังแบบ MITM ตอนนี้มีผู้ติดตั้งแอพไปแล้วกว่าล้านราย

ผู้ใช้จะต้องเชื่อมต่ออินเทอร์เน็ตผ่าน Wi-Fi ของแฮกเกอร์ หากกำลังเชื่อมต่อกับ Wi-Fi ของแฮกเกอร์แล้วเปิดแอพ RemoteLink แฮกเกอร์ก็จะเข้าควบคุมบัญชีไปได้ตลอด สามารถสั่งการได้เหมือนเป็นเจ้าของรถ และสามารถเข้าไปอ่านข้อมูลส่วนตัวของเจ้าของรถ ทั้งที่อยู่, หมายเลขบัตรเครดิต 4 หลังสุดท้ายและวันหมดอายุบัตร

นักวิจัยด้านความปลอดภัย ได้เสนอปรับปรุงเทคนิคการโจมตีเปิดเผยตัวตนผู้ใช้ด้วยข้อมูลจังหวะการพิมพ์ ทำให้ผู้ใช้ที่ต้องการปิดบังตัวตน เช่น ใช้งานอินเทอร์เน็ตผ่าน Tor มีความเสี่ยงที่จะไม่สามารถปิดบังตัวตนได้สำเร็จ

โดยเทคนิคดั้งเดิมนั้น จะอาศัยข้อมูลระยะเวลาระหว่างการกดตัวอักษรใดๆ บนแป้นคีย์บอร์ด มาสร้างเป็นโปรไฟล์ของผู้ใช้หนึ่งๆ หลังผ่านช่วงการฝึกป้อนข้อมูลตัวอย่างเพื่อสร้างโปรไฟล์แล้ว เว็บไซต์ที่มีข้อมูลโปรไฟล์ดังกล่าว จะสามารถแยกแยะได้ว่าการใช้งานเกิดจากผู้ใช้ตัวจริงหรือไม่ เพราะจังหวะการพิมพ์นั้นถือเป็นเอกลักษณ์เฉพาะบุคคล