แอพ Blockchain ที่ใช้สร้างบัญชีบิทคอยด์ในโทรศัพท์มือถือมีบั๊กสำคัญในส่วนการสุ่มค่าทำให้สร้างบัญชีหมายเลขเดียวกัน ส่งผลให้ผู้ใช้หลายคนมีเลขบัญชีเดียวกันโดยไม่รู้ตัว ทาง Blockchain รายงานว่ามีผู้ใช้เสียเงินจากบั๊กนี้แล้ว

มัลแวร์เข้ารหัสไฟล์เรียกค่าไถ่ (ransomware) มีหลายตัวระบาดทั่วโลกและมักดัดแปลงต่อๆ กันมาเป็นตระกูลต่างๆ ทีมงานของ FireEye เข้าใช้งานเว็บถอดรหัสไฟล์ของมัลแวร์ TesaCrypt พบว่าหน้าเว็บพยายามล่อให้เหยื่อของมัลแวร์จ่ายเงินด้วยการเปิดบริการถอดรหัสฟรีหนึ่งไฟล์ขนาดไม่เกิน 512KB ที่สำคัญคือมีหน้าเว็บ Message Center ให้บริการถามตอบกับเหยื่อ

เหยื่อจำนวนมากเข้าไปด่าทอคนร้ายซึ่งมักไม่ได้อะไรนอกจากคำด่ากลับมา บางคนยังไม่เข้าใจว่าเกิดอะไรขึ้นกับเครื่องของตัวเอง คนจำนวนหนึ่งพยายามต่อรองค่าไถ่บางคนสามารถต่อรองได้ถึง 150 ดอลลาร์ บางคนกลับต่อรองได้เพียง 250 ดอลลาร์ ทาง FireEye ระบุว่ามีกรณีที่จ่ายราคาเต็ม 1,000 ดอลลาร์ถึง 19 คน

จากข่าว ASUS เริ่มวางขาย Zenfone 2 ในไทย 25 พ.ค. นี้ ช่วงแรกผ่านหน้าร้านออนไลน์เท่านั้น วันนี้ทาง ASUS Thailand ออกมาเตือนว่ามีคนทำหน้าเว็บปลอมที่เป็น phishing เลียนแบบหน้าเว็บของ ASUS Online Store เพื่อหลอกให้ผู้สนใจจ่ายเงินซื้อ Zenfone 2 แล้ว

เว็บปลอมที่ว่าใช้ URL ว่า asusthai.com (ขณะที่เขียนนี้เข้าไม่ได้แล้ว) ส่วนเว็บของจริงต้องใช้ URL ว่า http://store.asus.com/th เท่านั้น

ThaiCERT ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย ภายใต้สำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์ (องค์การมหาชน) เตรียมเข้าไปช่วยหน่วยงานภาครัฐไทยเพิ่มระบบความปลอดภัยไซเบอร์มากขึ้น หลังหน่วยงานภาครัฐถูกโจมตีอย่างมากในช่วงหลัง

โครงการของ ThaiCERT จะเรียกว่า ThaiCERT Government Monitoring System (ThaiCERT GMS) แบ่งออกเป็น 2 ส่วน

Payment Card Industry Security Standards Council หรือที่เราเรียกกันว่า PCI หน่วยงานวางมาตรฐานความปลอดภัยสำหรับหน่วยงานที่รับจ่ายเงินผ่านบัตรเครดิตเตรียมหาทางให้ธุรกิจขนาดเล็กปรับมาตรฐาน PCI-DSS ให้หน่วยงานเหล่านี้เข้าถึงได้ง่ายขึ้น

ทุกวันนี้มีเว็บจำนวนมากที่ไม่ได้อยู่ภายใต้มาตรฐาน PCI-DSS แต่ยังสามารถให้บริการรับจ่ายเงินผ่านบัตรเครดิตได้ แต่อยู่ในกลุ่ม non-compliance ที่อาจจะถูกปรับรายเดือน หรือเสี่ยงต่อการถูกยกเลิกการให้บริการ

ตอนนี้ยังไม่มีความชัดเจนว่ากลุ่มทำงานนี้จะออกมาตรการอะไรออกมา แต่ก็เป็นสัญญาณแรกว่าทาง PCI พยายามทำให้ธุรกิจขนาดเล็กที่มีบุคลากรไม่มากนักสามารถปรับตัวให้มีความปลอดภัยได้

ทีมนักวิจัยจากมหาวิทยาลัยเคมบริดจ์ ทดสอบความปลอดภัยของฟีเจอร์ Factory Data Reset ของสมาร์ทโฟน Android หลายเวอร์ชัน (ตั้งแต่ 2.3 ถึง 4.3 แต่ไม่รวมรุ่นที่ใหม่กว่านั้น) และพบว่าสามารถกู้คืนข้อมูลได้มากถึง 80% ของอุปกรณ์ที่นำมาทดสอบ

สาเหตุสำคัญคือหน่วยความจำแบบแฟลชนั้นลบข้อมูลทิ้ง 100% ได้ยากเป็นทุนเดิมอยู่แล้ว และผู้ผลิตสมาร์ทโฟนก็ไม่ได้ใส่ไดรเวอร์สำหรับการลบข้อมูลแบบ full wipe มาด้วย ทำให้นักวิจัยสามารถอ่านข้อมูลดิบจาก flash ที่ถูก wipe และแกะข้อมูลตามแพทเทิร์นที่ทราบ เพื่อหาค่า token ของบัญชี Google Account และนำ token นี้มาซิงก์ข้อมูลกลับคืนจากเซิร์ฟเวอร์ของกูเกิลได้

ในช่วงเมื่อวานนี้ เว็บไซต์กระจายข่าวที่สนับสนุนกลุ่ม Anonymous ได้มีการเผยแพร่ปฏิบัติการโจมตีเว็บไซต์ทางราชการของไทย โดยมีเว็บที่ถูกโจมตีและมีข้อมูลรั่วไหลออกไปแล้วคือเว็บไซต์ของสำนักงานเลขาธิการวุฒิสภาและเว็บไซต์ของกระทรวงสาธารณสุข ซึ่งผู้โจมตีเป็นกลุ่ม OpIsrael ที่พุ่งเป้าไปที่ประเด็นของสิทธิมนุษยชนโดยเฉพาะในเรื่องของประเด็นการค้ามนุษย์ที่มีชาวโรฮีนจาตกเป็นเหยื่อที่ผ่านมา

มาตรฐานความปลอดภัยแบบไม่ต้องใช้รหัสผ่าน FIDO ออกสเปกเวอร์ชัน 1.0 มาเมื่อปลายปี 2014 วันนี้ทางหน่วยงานก็เผยรายชื่อผลิตภัณฑ์ชุดแรกที่ผ่านการตรวจสอบและได้ใบรับรอง FIDO Certified แล้ว

ผลิตภัณฑ์ FIDO ชุดแรกมีทั้งหมด 31 รายการ ส่วนใหญ่เป็นระบบยืนยันตัวตนที่ใช้ในตลาดองค์กร แต่ก็มีผลิตภัณฑ์จากบริษัทที่ชื่อคุ้นเคยอย่าง Google (Google Login Service รองรับ FIDO แล้ว), Qualcomm, Samsung, Yahoo! Japan อยู่ด้วย

ไมโครซอฟท์เคยประกาศว่า Windows 10 จะรองรับ FIDO ด้วย แต่เป็น FIDO เวอร์ชัน 2.0 ที่ต้องรอกระบวนการออกมาตรฐานอีกระยะเวลาหนึ่ง

ไมโครซอฟท์ออกรายงานความปลอดภัยไซเบอร์ระหว่างเดือนกรกฎาคมถึงเดือนธันวาคมปีที่แล้วแสดงถึงเหตุการณ์สำคัญในโลกความปลอดภัยในปีที่ผ่านมา

เหตุการณ์หนึ่งคือการปล่อยแพตช์ประจำรอบปกติวันที่ 11 พฤศจิกายน บั๊กความร้ายแรงระดับวิกฤติ MS14-064 ถูกปล่อยออกมาเพียงวันเดียว ก็มีรายงานจากนักวิจัยชาวจีนระบุว่ามันสามารถใช้เจาะระบบได้อย่างง่ายดาย และสามารถข้ามระบบป้องกันแทบทุกรูปแบบไปได้

Brian Krebs บล็อกเกอร์ด้านความปลอดภัยคอมพิวเตอร์ชื่อดังที่โซนี่ติดต่อนำเรื่องราวของเขาไปสร้างภาพยนตร์ ออกหนังสือ Spam Nation เมื่อปลายปีที่แล้วเล่าเรื่องราวขององค์กรอาชญากรรมข้ามชาติที่ดำเนินการแฮกเครื่องของเหยื่ออย่างเป็นระบบโดยเริ่มต้นจากการส่งสแปมเมลไปยังเครื่องของเหยื่อ

วันนี้หนังสือ Spam Nation แบบเสียง (audiobook) ลดราคาจาก 20 ดอลลาร์เหลือ 2.95 ดอลลาร์บน Audible.com ถ้าใครสนใจก็เป็นโอกาสที่ดีที่จะซื้อมาฟังกัน

ที่มา - Audible

ทีมวิจัยจากมหาวิทยาลัยหลายแห่งและไมโครซอฟท์ประกาศช่องโหว่ของ TLS ที่ชื่อว่า Logjam สามารถเจาะการเชื่อมต่อทำให้การเชื่อมต่อไปใช้มาตรฐานการเชื่อมต่อ Diffie-Hellman ขนาด 512 บิต หรือ DHE_EXPORT และสามารถถอดรหัสได้โดยง่าย

โครงการ Internet.org ของ Facebook ดูจะเริ่มมีปัญหาซะแล้ว เมื่อองค์กรรณรงค์สิทธิด้านดิจิทัล 67 รายจากหลายประเทศ เข้าชื่อกันเขียนจดหมายเปิดผนึกถึง Mark Zuckerberg ว่ามีปัญหาหลายอย่างกับโครงการนี้

ประเด็นขัดแย้งหลักของ Internet.org คือ Facebook ใช้วิธีจับมือกับผู้ให้บริการมือถือในบางประเทศ ทำดีลพิเศษให้ลูกค้าเข้าถึงเว็บไซต์ "บางแห่ง" ได้ฟรี ตัวอย่างเว็บไซต์ที่เข้าข่ายคือ Facebook เอง, Wikipedia, BBC, Accuweather และเว็บท้องถิ่นบางแห่ง โดยมีเงื่อนไขว่าผู้ใช้ต้องติดตั้งแอพ Internet.org ด้วย

การจำกัดการเข้าถึงเฉพาะบางเว็บ เป็นเหตุทำให้เว็บและสตาร์ตอัพท้องถิ่นบางราย (โดยเฉพาะจากอินเดีย) ไม่พอใจ และมองว่าเป็นประเด็นการกีดกันการแข่งขันและการเข้าถึงอย่างเท่าเทียม (net neutrality)

กูเกิลเปิดเผยข้อมูลของ "ทีมลับ" ที่ทำหน้าที่ตรวจสอบขบวนการอาชญากรรม ที่สร้าง botnet เพื่อหารายได้จากการคลิกโฆษณาออนไลน์บนเว็บไซต์ต่างๆ (ad fraud)

ทีมลับ antifraud นี้มีพนักงานมากกว่า 100 คน นั่งทำงานอยู่ที่กรุงลอนดอน ทำหน้าที่ตรวจหาแพทเทิร์นของ botnet ที่มาคลิกโฆษณา

กระบวนการทำงานของกลุ่ม ad fraud คือเจาะระบบพีซีผ่านช่องโหว่ต่างๆ ติดตั้งซอฟต์แวร์ควบคุม ใช้เป็น botnet กระจายตัวอยู่ทั่วโลก ไม่ให้จับได้ง่ายๆ ว่าเป็นคนหรือเป็นบ็อต โดยเครื่องที่ถูกควบคุมจะรันเว็บเบราว์เซอร์ (ส่วนใหญ่เป็น IE) แบบซ่อนหน้าต่าง แล้วคลิกเมาส์แบบสุ่มเพื่อให้โดนโฆษณา

เว็บไซต์รายงานข่าวไอที Motherboard ออกมาเปิดเผยว่าในช่วงที่ผ่านมา มีบัญชีของผู้ใช้ Uber ถูกแฮก แล้วนำเอาไปขายต่อในเว็บไซต์ตลาดมืดออนไลน์ โดยมีราคาต่อชื่อผู้ใช้งานอยู่ในระดับที่ถูกมาก (ประมาณ 1 เหรียญสหรัฐ) และเริ่มมีผู้ได้รับผลกระทบบ้างแล้ว (1, 2) ซึ่งทาง Motherboard ระบุว่าวิธีการแก้ไขปัญหาของทาง Uber นั้น ถือว่าไม่ดี และแสดงออกถึงการไม่สนใจในประเด็นความปลอดภัย

ทั้ง FBI และ NSA ออกมาแสดงท่าทีว่าต้องการบังคับให้มีช่องทางเข้าถึงข้อมูลที่เข้ารหัส และโต้เถียงกับกลุ่มผู้บริหารบริษัทไอทีและองค์กรต่างๆ หลายครั้ง ตอนนี้องค์กรเหล่านั้นก็รวมตัวกันส่งจดหมายเปิดผนึกถึงโอบามา ข้อความส่วนหนึ่งระบุว่า

เราเตือนให้ท่านปฎิเสธข้อเสนอใดๆ ที่บังคับให้บริษัทสหรัฐฯ ทำให้สินค้าของพวกเขาอ่อนแอลงอย่างจงใจ เราเรียกร้องต่อทำเนียบขาวให้สร้างนโยบายที่สนับสนุนการเข้ารหัสที่แข็งแกร่งแทนที่จะขัดขวาง นโยบายนี้จะช่วยให้มีการปกป้องความปลอดภัยไซเบอร์, การเติบโตทางเศรษฐกิจ, และสิทธิมนุษยชน ทั้งในประเทศและต่างประเทศ

Chrome 43 เริ่มปล่อยอัพเดตเมื่อคืนที่ผ่านมา ความสามารถที่เพิ่มเติมโดยทั่วไปเหมือนตอนเบต้า เมื่อเลื่อน Chrome 43 ออกมาเป็นรุ่น stable ให้คนทั่วไป สิ่งที่ติดมาด้วยคือรายการแก้ไขบั๊กความปลอดภัยจำนวน 37 จุด โดยในจำนวนนี้ิเป็นช่องโหว่ที่รายงานโดยนักวิจัยนอกกูเกิลจำนวน 15 จุด เป็นช่องโหว่ระดับร้ายแรง 6 จุด รวมเงินรางวัลที่กูเกิลจ่ายให้กับนักพัฒนาภายนอกทั้งหมด 38337 ดอลลาร์ หรือ 1.28 ล้านบาท

บั๊กที่ร้ายแรงที่สุด คือ บั๊กหมายเลข 47409 ที่เปิดช่องให้แฮกเกอร์ทะลุช่อง sandbox ของเบราว์เซอร์ออกมาได้ บั๊กร้ายแรงอื่นทำให้แฮกเกอร์สามารถข้ามนโยบายการจำกัดโดเมนของเนื้อหา (Cross Origin)

มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ (ransomware) กลายเป็นธุรกิจใต้ดินทำเงินได้อย่างมีประสิทธิภาพไปทั่วโลก ก่อนหน้านี้คนร้ายมักอาศัยการส่งอีเมลมาหลอกล่อให้เหยื่อดาวน์โหลดซอฟต์แวร์มารันบนเครื่อง แต่เมื่อกำไรเริ่มดีขึ้นมากๆ ตอนนี้ ZScaler ก็รายงานว่าพบการซื้อแบนเนอร์มาเพื่อติดตั้ง ransomware เข้าเครื่องของเหยื่อ

ทาง ZScaler ระบุว่าเครือข่ายโฆษณาที่พบโฆษณานำไปสู่มัลแวร์เช่นนี้มาจาก Sunlight Media มากที่สุด เมื่อเหยื่อคลิกโฆษณาแล้วจะนำไปสู่เว็บที่มีโค้ดมุ่งร้ายเป็นแฟลชและจาวาสคริปต์เพื่อเจาะช่องโหว่ MS13-009 ซึ่งเป็นช่องโหว่ตั้งแต่ปี 2013 จากนั้นจะรันโค้ดเพื่อดาวน์โหลดมัลแวร์ Cryptowall 3.0 มาติดตั้งในเครื่อง

ซิสโก้แจ้งเตือนมัลแวร์ MalPutty มัลแวร์ที่ปลอมตัวเป็น PuTTY โปรแกรมสำหรับเชื่อมต่อ Secure Shell จากวินโดวส์ที่ได้รับความนิยมสูง โดยแฮกเกอร์เข้ายึดเซิร์ฟเวอร์ที่มีช่องโหว่ แล้ววางไฟล์เว็บที่เหมือนหน้าเว็บของ PuTTY จริง แต่ตัว putty.exe กลับเป็นของปลอม

เมื่อเหยื่อดาวน์โหลด putty.exe ปลอมมารันจะสามารถใช้งานได้เหมือนรุ่นจริงทุกประการ แต่เมื่อผู้ใช้ล็อกอินเซิร์ฟเวอร์แล้ว MalPutty จะส่งข้อมูลการเชื่อมต่อ เป็นข้อความ ssh://[username]:[password]@[IP address or domain]:[port] กลับไปยังเซิร์ฟเวอร์ที่ตอนนี้พบแล้วสามตัวทั่วโลก

update: แก้ไขข้อมูลผิดพลาด ส่วนที่หยุดให้บริการคือ e-wallet ไม่เกี่ยวกับแอพพลิเคชั่น

Paysbuy เปิดบริการแอพพลิเคชั่นรับจ่ายเงินโดยสามารถผูกบัตรเครดิตเข้าไว้เป็น e-wallet ได้ แต่มีผู้ใช้หลายรายแจ้งเข้ามาทางเว็บไซต์ Pantip.com ว่าเมื่อผูกบัตรเครดิตแล้วกลับถูกนำข้อมูลออกไปจ่ายเงินซื้อสินค้าโดยไม่รู้ตัว

ตอนนี้แม้ยังไม่มีข้อมูลยืนยันว่าข้อมูลหมายเลขบัตรเครดิตหลุดออกไปได้อย่างไร ทาง Paysbuy ประกาศกับผู้ใช้ว่ากำลังอยู่ระหว่างการตรวจสอบกับธนาคารและผู้ให้บริการที่เกี่ยวข้อง โดยเบื้องต้นจะปิดบริการผูกบัตรเครดิตเอาไว้ก่อน

บริษัทความปลอดภัย Security Explorations จากประเทศโปแลนด์ เผยช่องโหว่ของบริการแอพบนกลุ่มเมฆ Google App Engine ทั้งหมด 7 จุด หลังจากติดต่อไปยังกูเกิลแล้วไม่ยอมแก้ไข และไม่สื่อสารกลับมาว่าจะดำเนินการอย่างไร

ช่องโหว่เหล่านี้เกี่ยวข้องกับการรันแอพ Java บน App Engine โดยระบบ sandbox ของกูเกิลเองเปิดช่องให้ถูกโจมตีได้ ทาง Security Explorations ส่งข้อมูลให้กูเกิลแต่ไม่ได้รับการติดต่อกลับ เมื่อรอเป็นเวลา 3 สัปดาห์ บริษัทจึงตัดสินใจเปิดเผยช่องโหว่นี้ต่อสาธารณะ

หลังข่าวนี้ออกมา โฆษกของกูเกิลออกมาแถลงว่าบริษัทรับทราบปัญหานี้แล้ว และกำลังเร่งแก้ไขอยู่

ตามปกติแล้ว ระบบไอทีภายในองค์กรมักจำกัดการเข้าถึงเฉพาะเครือข่ายภายในองค์กร (ซึ่งเป็นเหตุให้พนักงานต้องเชื่อมต่อผ่าน VPN ก่อนชั้นหนึ่ง ถ้าต้องการใช้งานจากนอกองค์กร) แต่บริษัทที่ออกตัวว่า "เชื่อมั่นในอินเทอร์เน็ต" อย่างกูเกิลกำลังเปลี่ยนธรรมเนียมนี้ โดยย้ายระบบทั้งหมดขึ้นอินเทอร์เน็ต

โครงการนี้ของกูเกิลใช้ชื่อว่า BeyondCorp initiative แนวคิดของมันมีอยู่ว่า ไม่ว่าจะเป็นเครือข่ายภายในหรือภายนอกองค์กรล้วนแต่มีความเสี่ยงเท่ากัน (ต่างจากแนวคิดดั้งเดิมที่มองว่าเครือข่ายภายในปลอดภัยกว่า) ดังนั้นมาตรการด้านความปลอดภัยจึงไม่สนใจปัจจัยเรื่องเครือข่าย แต่ไปเน้นที่อุปกรณ์ของพนักงานที่ใช้เชื่อมต่อ และวิธีการตรวจสอบตัวตนของผู้ใช้แทน

มีผู้ใช้แอพ Starbucks ในสหรัฐอเมริกาบางรายพบว่าถูกตัดเงินเพื่อซื้อบัตรของขวัญ Starbucks ซ้ำๆ กัน โดยหักเงินจากระบบของ PayPal อัตโนมัติ ความเสียหายอยู่ระหว่าง 100-550 ดอลลาร์ต่อราย

หลังจากการสอบสวนพบว่าบัญชี Starbucks ของผู้ใช้เหล่านี้ถูกแฮ็กจากหน้าเว็บ (Starbucks คาดว่าเป็นเพราะตั้งรหัสผ่านง่ายเกินไป และยืนยันว่าระบบของตัวเองไม่มีปัญหา) เมื่อบวกกับฟีเจอร์การซื้อบัตรของขวัญ Starbucks โดยไม่ต้องอาศัยคำยืนยันใดๆ ทำให้แฮ็กเกอร์ใช้ช่องว่างนี้เข้าบัญชีไปซื้อบัตร แล้วโอนมูลค่าบัตรให้ตัวเองอีกทีหนึ่ง

สายการบิน United Airlines ประกาศโครงการให้รางวัลบั๊กความปลอดภัยกับนักวิจัยเป็นไมล์สะสม โดยรวมตั้งแต่หน้าเว็บ united.com, beta.united.com, และ mobile.united.com รวมถึงแอพพลิเคชั่นของบริษัท

ช่องโหว่ที่สามารถขอรับรางวัลได้มีตั้งแต่ การรันโค้ดบนเซิร์ฟเวอร์ (remote code execution - RCE), การปลอมการเรียกบริการจากเว็บอื่น (cross site request forgery - CSRF), การวางสตริปต์จากเว็บอื่น (cross site scripting - XSS) รวมไปถึงการเปิดเผยข้อมูลส่วนตัว และการยิงค้นหาหมายเลขสมาชิก, หมายเลขการจอง, และรหัสผ่าน

ไมโครซอฟท์ออกอัพเดตให้กับ Windows 7 ขึ้นไป และ Windows Server 2008 ให้รองรับกระบวนการเข้ารหัสชุดใหม่เพิ่มเติมอีกสี่แบบ และจัดเรียงลำดับกระบวนการเข้ารหัสเสียใหม่ ทำให้เครื่องที่ติดตั้งอัพเดตนี้เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ที่รองรับ จะพยายามใช้กระบวนการเข้ารหัสที่รับประกันความลับในอนาคต (perfect forward secrecy - PFS)

Jeff Benjamin แห่ง iDownloadBlog ได้เขียนบทความแสดงความกังวลต่อ Apple Watch ว่าคุณสมบัติหนึ่งที่ควรมีอย่างมากแต่ยังไม่มีคือ Activation Lock ซึ่งเป็นคุณสมบัติที่เริ่มมีใน iOS 7 ทั้งบน iPhone และ iPad ซึ่งทำให้หลังการรีเซ็ตเครื่อง ก็ยังต้องใส่รหัสผ่านอีกชั้นหากต้องการใช้ต่อ จึงเป็นการยากที่เครื่องถูกขโมยจะนำไปใช้งานต่อได้

Apple Watch ปัจจุบันมีการใช้รหัสผ่าน Passcode หากนาฬิกาไม่ถูกสวมใส่ ซึ่งทำได้เพื่อป้องกันข้อมูลใน Apple Watch เท่านั้น แต่ผลการทดสอบพบว่าเราสามารถสั่งลบข้อมูลทั้งเครื่องได้ง่ายมากโดยไม่ต้องใส่ Passcode เลยด้วยซ้ำ อีกทั้งยังสามารถนำไปจับคู่กับ iPhone เครื่องอื่นได้เลยด้วย