ที่งาน 31C3 Tobias Engel แฮกเกอร์ขึ้นเวทีอธิบายกระบวนการติดตามเจ้าของหมายเลขจากที่ใดก็ได้ในโลก โดยต้องการเพียงหมายเลขโทรศัพท์เท่านั้น

Engel ระบุว่างานวิจัยนี้ได้แรงบัลดาลใจมาจากนักข่าวรายหนึ่งที่ถามว่า บริษัท Verint มีสินค้าเครื่องติดตามคนโดยอาศัยเพียงหมายเลขโทรศัพท์ได้อย่างไร ทำให้ Engel เข้าไปดูโปรโตคอล SS7 ที่เข้าสอบถามที่อยู่ของหมายเลขต่างๆ ได้ทั่วโลก โดยไม่ต้องยืนยันตัวตนของผู้ที่สอบถามข้อมูล

เครือข่าย SS7 นั้นแต่เดิมจะเปิดให้เฉพาะผู้ให้บริการโทรศัพท์ด้วยกันเท่านั้น แต่เครือข่ายทุกวันนี้มีส่วนที่เข้าถึงเครือข่าย SS7 ได้โดยมีค่าใช้จ่ายไม่สูงมาก รวมไปถึง Femtocell ที่ใช้งานตามบ้านก็สามารถเข้าถึงเครือข่ายนี้ด้วยเช่นกัน แม้จะมีการป้องกันเอาไว้อีกชั้น

นักวิจัยด้านความปลอดภัยจากกูเกิล James Forshaw ได้ประกาศการค้นพบช่องโหว่ทางด้านความปลอดภัยบน Windows 8.1 ซึ่งอนุญาตให้ผู้โจมตีสามารถยกระดับสิทธิ์ของผู้ใช้เพื่อแก้ไขและควบคุมระบบได้ ช่องโหว่นี้ได้รับการค้นพบตั้งแต่ช่วงเดือนกันยายนและมีการเผยแพร่โค้ดที่ใช้ในการโจมตี (PoC — Proof of Concept program) ในวันพุธที่ผ่านมา

สำหรับ PoC ที่ใช้ในการทดสอบกับช่องโหว่ดังกล่าวได้มีการทดสอบทั้งบน Windows 8.1 แบบ 32-bit และ 64-bit ซึ่งพบว่าสามารถทำงานได้ในทั้งสองรุ่น ส่วน Windows 7 และเวอร์ชันก่อนหน้านี้นั้นยังไม่มีการยืนยันว่าสามารถโจมตีได้หรือไม่

มีรายงานข่าวจากสำนักข่าว Deutsche Welle ของเยอรมนี ที่อ้างหนังสือพิมพ์ในท้องถิ่นอีกทีหนึ่งว่า มีการตรวจพบสปายแวร์ในไดรฟ์ USB ของเจ้าหน้าที่ระดับสูงผู้ทำงานใกล้ชิดกับนายกรัฐมนตรีของเยอรมนี Angela Merkel ซึ่งเป็นสปายแวร์ที่มีชื่อว่า "Regin" ที่มีความสลับซับซ้อนในการทำงาน

จากรายงานระบุว่า เจ้าหน้าที่รายดังกล่าวได้บันทึกร่างสุนทรพจน์ของนายกรัฐมนตรีลงไดรฟ์ USB จากนั้นก็นำกลับไปทำงานที่บ้านด้วยคอมพิวเตอร์ส่วนตัว ก่อนที่จะกลับมาเปิดร่างดังกล่าวที่สำนักงานอีกครั้ง จึงพบว่าโปรแกรมป้องกันไวรัสแจ้งเตือนว่าพบสปายแวร์ Regin ดังกล่าว ทำให้ฝ่ายที่รับผิดชอบ ต้องทำการตรวจสอบเครื่องคอมพิวเตอร์พกพาที่ใช้งานอยู่เครื่องอื่นๆ (ซึ่งมีความปลอดภัยสูง) ก่อนจะพบว่าไม่ได้รับผลกระทบในครั้งนี้

Chaos Computer Club หรือที่บางคนเรียกด้วยชื่อย่อว่า CCC คือสมาพันธ์แฮคเกอร์ที่ใหญ่ที่สุดในยุโรป ได้จัดงานสัมมนา "31c3" ซึ่งว่าด้วยเรื่องความปลอดภัยของระบบไอทีขึ้นใน Hamburg ประเทศเยอรมนี และในงานดังกล่าวมีการบรรยายว่าด้วยเรื่องการปลอมลายนิ้วมือโดยอาศัยข้อมูลที่ได้จากภาพถ่ายเท่านั้น

Steven Sinofsky อดีตผู้บริหารของไมโครซอฟท์ (หัวหน้าทีม Windows 7-8, ลาออกจากไมโครซอฟท์ในปี 2012) และปัจจุบันมาอยู่กับบริษัทลงทุน Andreessen Horowitz เขียนบล็อกแสดงความเห็นเกี่ยวกับกรณีการแฮ็กระบบ Sony Pictures ในมิติเรื่อง "ความปลอดภัย" ของระบบคอมพิวเตอร์ที่ต่างยุคสมัยกัน ผมเห็นว่ามีประเด็นน่าสนใจจึงนำเนื้อหาบางส่วนมาสรุปนะครับ (แนะนำให้อ่านต้นฉบับด้วย)

การเข้ารหัสเป็นข้อจำกัดของ NSA มานาน เอกสารที่เปิดเผยออกมาโดย Edward Snowden ก่อนหน้านี้มักแสดงความพยายามของ NSA ที่จะหลบหลีกการเข้ารหัส เช่น ดักฟังการเชื่อมต่อระหว่างเซิร์ฟเวอร์ที่ก่อนหน้านี้ไม่เข้ารหัส แต่เอกสารล่าสุดแสดงว่า NSA ยังมีอีกทีมหนึ่งที่ช่วยถอดรหัสให้กับฝ่ายอื่นๆ ที่ต้องการได้ ชื่อทีมว่า S31176

ทีมงานนี้ให้บริการถอดรหัสข้อมูลสี่ประเภท ได้แก่ IPSec, PPTP, SSL/TLS, และ Secure Shell (SSH) แม้จะไม่สามารถถอดรหัสได้ทั้งหมด แต่ทีมงานนี้ก็หาช่องทางที่เป็นไปได้ในการเจาะรหัส โดยมีการรวบรวมฐานข้อมูลของ VPN ไว้ในฐานข้อมูลหลายชุด เช่น TOYGRIPPE เก็บ metadata ของ VPN, VULCANDEATHGRIP เก็บข้อมูล VPN, FOURSCORE เก็บข้อมูล PPTP

บัญชี Twitter ที่มีชื่อว่า @AnonymousGlobo ซึ่งอ้างตัวว่าเป็นตัวแทนกลุ่มแฮคเกอร์ Anonymous ได้ทวีตข้อความพร้อมลิงก์เผยแพร่ข้อมูลหลายอย่างที่ถูกแฮคมา ทั้งบัญชีผู้ใช้พร้อมรหัสผ่านของบริการจากหลายบริษัท รวมถึงเลขบัตรเครดิตของผู้ใช้ราว 13,000 คน

ปัจจุบันมีแอพช่วยจัดการรหัสผ่าน (password manager) ให้เลือกใช้หลายตัว แอพที่ชื่อดังหน่อยคือ LastPass และ 1Password แต่ก็ยังมีแอพทางเลือกอื่นๆ เช่น KeePass และ Dashlane ด้วย

ล่าสุดสมรภูมินี้เริ่มร้อนระอุ เมื่อ Dashlane เปิดตัวฟีเจอร์ Password Changer ที่ช่วยให้เรากดปุ่มเดียว เปลี่ยนรหัสผ่านของเว็บไซต์และบริการต่างๆ มากกว่า 50 แห่ง (ซึ่งครอบคลุมเว็บใหญ่ๆ แทบทั้งหมด ไม่ว่าจะเป็น Google, Facebook, Amazon, Apple, LinkedIn, PayPal - รายชื่อทั้งหมด)

อุปสรรคใหญ่ในการทำการค้าออนไลน์ของเมืองไทยอย่างหนึ่งที่ทุกคนเจอกันคือการรับจ่ายเงินที่ยังทำได้ยาก การค้าออนไลน์จำนวนมากทุกวันนี้ยังอาศัยการโอนเงินแบบตัวต่อตัว ทำให้ไม่มีกระบวนการคืนเงิน เรายังคงได้ยินข่าวการหลอกลวงทั้งลูกค้าถูกพ่อค้าแม่ค้าหลอกลวง หรือฝั่งพ่อค้าแม่ค้าเองที่ถูกลูกค้าหลอกว่าโอนเงินแล้ว

บั๊กร้ายแรงใน ntpd ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันบนเครื่องได้รายงานเมื่อสัปดาห์ที่แล้ว ตอนนี้มันกลายเป็นบั๊กแรกที่แอปเปิลตัดสินใจอัพเดตแบบอัตโนมัติ โดยไม่ต้องรอการอนุมัติจากผู้ใช้

การอัพเดตปกติของ OS X ต้องให้ผู้ใช้อนุมัติการอัพเดต แต่การอัพเดตครั้งนี้แทบไม่มีผลใดๆ ต่อผู้ใช้ โดยไม่ต้องรีสตาร์ทเครื่องแต่อย่างใด

แอปเปิลใส่ฟีเจอร์อัพเดตแบบไม่ต้องขออนุมัติเช่นนี้ไว้ใน OS X มาสองปีแล้ว แต่ครั้งนี้เป็นการใช้งานครั้งแรก

ที่มา - Reuters

ทีมความปลอดภัยของกูเกิลแจ้งบั๊กใน ntpd รุ่นก่อนหน้า 4.2.8 (ที่เพิ่งออกมาเมื่อวันที่ 19 ธันวาคมที่ผ่านมา) ทุกรุ่น มีบั๊กความปลอดภัยสำคัญคือแฮกเกอร์สามารถยิงโค้ดเข้ามารันในเครื่องที่รัน ntpd อยู่ได้

ICS-CERT ไม่ได้ให้รายละเอียดของบั๊กทั้งหมด โดยการแจ้งเตือนแจ้งเป็นกลุ่มของบั๊ก ได้แก่

ข่าวสั้นทันโลกครับ สำนักข่าว Reuters รายงานว่า John Chen ซีอีโอของ BlackBerry บริษัทผลิตสมาร์ทโฟนและผลิตภัณฑ์ในระดับองค์กรจากแคนาดา เปิดเผยข้อมูลระหว่างการแถลงข่าวและประชุมกับนักวิเคราะห์ถึงผลประกอบการไตรมาสล่าสุดของบริษัทว่า ทาง BlackBerry กำลังมีความร่วมมือกับ Boeing บริษัทผู้ผลิตเครื่องบินและอาวุธจากอเมริกา เพื่อสร้างโซลูชันด้านความปลอดภัยสำหรับสมาร์ทโฟนที่ใช้ระบบปฏิบัติการแอนดรอยด์ ที่ใช้งานกับโซลูชั่น BES 12 ของทางบริษัท แต่ยังไม่ได้ระบุว่าจะเป็นอะไร

สำนักงานสอบสวนกลางของสหรัฐหรือ FBI ออกมาแถลงข้อมูลเรื่องการแฮ็กระบบของ Sony Pictures ที่ได้ขอความช่วยเหลือจาก FBI เข้าไปช่วยตรวจสอบหลังเกิดเหตุ

FBI ฟันธงว่ารัฐบาลเกาหลีเหนืออยู่เบื้องหลังการแฮ็กครั้งนี้ โดยมีหลักฐานบ่งชี้ 3 ประเด็นคือ

ความคืบหน้าล่าสุดของกรณีแฮ็ก Sony Pictures คือสำนักข่าว Reuters อ้างข้อมูลจาก "เจ้าหน้าที่" ของรัฐบาลสหรัฐว่าต้นทางของการแฮ็กมาจากเกาหลีเหนือ ตามที่เคยพูดกันก่อนหน้านี้ และอาจมีความเกี่ยวข้องกับแฮ็กเกอร์ในจีนด้วย โดยยังไม่ชัดเจนว่ามีคนของจีนมาเกี่ยวข้อง หรือเป็นแค่การใช้เซิร์ฟเวอร์จากจีนเพื่อพรางตัว

รัฐบาลสหรัฐโดยประธานาธิบดีบารัค โอบามา จะแถลงเรื่องนี้อย่างเป็นทางการคืนนี้ ถ้ามีรายละเอียดจะมาอัพเดตต่อไปครับ

ช่องโหว่บนไคลเอนต์ของ Git หลายตัวบน OS X และวินโดวส์ทำให้การโคลนจาก repository ที่มุ่งร้ายสามารถรันโค้ดบนเครื่องของเหยื่อได้ ตอนนี้มีผลกับ OS X และวินโดวส์เท่านั้น เนื่องจากใช้ระบบไฟล์ที่ไม่สนใจตัวใหญ่หรือตัวเล็กในภาษาอังกฤษและการแปลงค่า unicode

ช่องโหว่นี้อาศัยการโคลนโฟลเดอร์ .Git (G ตัวใหญ่) ทำให้บนระบบไฟล์ที่ไม่สนตัวใหญ่ตัวเล็กจะวางโฟลเดอร์ทับโฟลเดอร์เดิมของ Git ไป อีกส่วนหนึ่งคือแนวทางการแปลง unicode ของระบบไฟล์ HFS+ ที่ไม่สนใจ unicode บางตัว ทำให้แฮกเกอร์สามารถสร้างโฟลเดอร์เช่น .g\u200cit แล้วยังวางไฟล์ทับโฟลเดอร์ .git อยู่ดี

End-To-End ระบบเข้ารหัสอีเมลจากกูเกิลเปิดตัวไปเมื่อกลางปี ตอนนี้อัพเดตเวอร์ชั่นใหม่แล้วโดยกูเกิลยังยืนยันว่าโครงการนี้ยังอยู่ในระดับอัลฟ่าเท่านั้น แต่ก็มีข้อมูลเพิ่มเติมอีกหลายอย่าง ได้แก่

ได้รับการติติงอย่างต่อเนื่องด้านความปลอดภัยจากทั้งทางภาครัฐ และฝั่งผู้ใช้มาพักใหญ่ๆ ล่าสุด Uber ประกาศนโยบายด้านความปลอดภัยชุดใหม่สำหรับการตรวจสอบผู้ขับขี่รถยนต์ในแพลตฟอร์มเรียกรถของตัวเองครั้งใหญ่

การปรับปรุงส่วนแรกคือการนำเอาเทคโนโลยีเข้ามาร่วมกับการตรวจสอบ นอกจากเหนือจากการตรวจประวัติย้อนหลังให้เข้มงวดมากขึ้นแล้ว ระบบรักษาความปลอดภัยชุดใหม่จะใช้ชุดข้อมูลทางชีวภาพ (เช่น ลายนิ้วมือ) ร่วมกับการยืนยันตัวด้วยเสียง รวมถึงกำลังลงทุนเพื่อเปิดบริการผู้ขับขี่สามารถติดต่อกับทางบริษัทได้ทันที หากมีอุบัติเหตุเกิดขึ้น

โดยปกติแล้วมัลแวร์มักจะมาจากภายนอก หรือมาในรูปแบบของ third-party app ที่พยายามจะขอสิทธิ์ในการเข้าถึงข้อมูลต่างๆ ทั้งที่ไม่จำเป็น แต่มีผู้ผลิตสมาร์ทโฟนสัญชาติจีนรายหนึ่งที่มีแนวคิดแตกต่างออกไปครับ

Palo Alto Networks ผู้ค้นพบมัลแวร์ WireLurker รายงานว่า Coolpad ผู้ผลิตสมาร์ทโฟนรายใหญ่อันดับ 3 ของจีนและเป็นอันดับ 6 ของโลก เป็นผู้ที่อยู่เบื้องหลัง Backdoor ที่มีชื่อว่า "CoolReaper" ซึ่งฝังตัวไว้ในอุปกรณ์ของทาง Coolpad และเชื่อว่ามีผลกระทบต่อความปลอดภัยของผู้ใช้งานกว่า 10 ล้านคนอยู่ในขณะนี้

ICANN ประกาศเตือนว่าถูกโจมตีด้วยการสร้างอีเมลที่หลอกว่ามาจากคนในองค์กร (spear phishing) ส่งผลให้แฮกเกอร์เข้าถึงข้อมูลภายในได้

ข้อมูลหลักที่แฮกเกอร์ได้ไปคือ Centralized Zone Data System เซิร์ฟเวอร์โซนไฟล์จากผู้ให้บริการโดเมนระดับบนสุด (top level domain - TLD เช่น .com, .net) ข้อมูลที่หลุดไปเป็นโซนไฟล์ และฐานข้อมูลผู้ใช้ที่มีรายละเอียด เช่น องค์กร, ที่อยู่, เบอร์โทรศัพท์, และรหัสผ่านที่แฮชแล้ว

เซิร์ฟเวอร์ GAC Wiki ก็ถูกดาวน์โหลดออกไปเช่นกัน แต่ข้อมูลเหล่านี้เป็นข้อมูลสาธารณะอยู่แล้ว ทาง ICANN ยืนยันว่าแฮกเกอร์ไม่ได้เข้าถึงข้อมูลภายใน เซิร์ฟเวอร์ ICANN Blog และ WHOIS ถูกดาวน์โหลดข้อมูลผู้ใช้ไปด้วย

IP Cam Viewer แอพสำหรับดูกล้องวงจรปิดที่ชาวแอนดรอยด์รู้จักกันดีแม้จะมีส่วนติดต่อผู้ใช้ที่หน้าตาไม่น่าใช้นัก วันนี้ออกอัพเดตใหม่ให้ผู้ใช้สามารถดูกล้องวงจรปิดของตัวได้จาก Android Wear แล้วครับ

นอกจากจะอัพเดตให้ดูกล้องวงจรปิดจาก Android Wear ได้แล้ว ก็ยังมีอัพเดตอื่นๆ ที่เป็นประโยชน์แก่ผู้ใช้อีกมาก อาทิ เพิ่มการผนวกเข้ากับ Dropbox, รองรับการใช้งานกับ TV และ Chromecast, ดูกิจกรรมการเคลื่อนไหวที่ผ่านมาผ่านทางตัวบันทึกย้อนหลัง ฯลฯ

มาตรฐานการดูแลข้อมูลการจ่ายเงิน PCI DSS (Payment Card Industry Data Security Standard) เป็นมาตรฐานการเก็บรักษาข้อมูลให้ปลอดภัยที่บริษัทบัตรเครดิตอย่าง Visa และ Mastercard บังคับใช้กับผู้ให้บริการและร้านค้าจำนวนมาก โดยปัจจุบันเราใช้งานเวอร์ชั่น 2.0 อยู่และตามรอบสามปีของมาตรฐานแต่ละรุ่น ปีใหม่นี้มาตรฐาน PCI DSS 3.0 (PDF) ก็จะเริ่มใช้งานแทนโดยมีการปรับเปลี่ยนหลายอย่าง

เมื่อต้นปีนี้ Gmail ประกาศใช้การเชื่อมต่อแบบ HTTPS ในทุกกรณี เพื่อความปลอดภัยและความเป็นส่วนตัวของผู้ใช้งาน

อย่างไรก็ตาม นโยบายนี้ยังมีช่องโหว่จากการใช้งานส่วนเสริมของเบราว์เซอร์ที่ออกแบบมาสำหรับปรับแต่ง Gmail ให้มีฟีเจอร์มากขึ้น เพราะส่วนเสริมหลายตัวใช้วิธีโหลดเนื้อหาของตัวเองผ่าน HTTP เข้าไปแทรกในเพจ Gmail ซึ่งเสี่ยงต่อการถูกฝังมัลแวร์ระหว่างทาง (เช่น cross site scripting)

ความลักลั่นอย่างหนึ่งในระบบความปลอดภัยเว็บคือเว็บที่เข้ารหัสอย่างไม่ถูกต้อง เช่น ใช้ใบรับรองที่ไม่น่าเชื่อถือ หรือเข้ารหัสด้วยกระบวนการที่ล้าสมัย จะถูกแจ้งเตือนว่าเป็นเว็บที่ไม่ปลอดภัย พร้อมหน้าจอเตือนผู้ใช้อย่างชัดเจน ขณะที่เว็บทั่วไปที่ไม่ได้เข้ารหัสกลับสามารถใช้งานได้โดยไม่มีการเตือนใดๆ ทั้งที่จริงมีความเสี่ยงมากกว่าคือสามารถโดนโจมตีทั้งแบบคั่นกลาง (man-in-the-middle) หรือดักฟังโดยไม่แก้ไขข้อมูลก็ได้ ตอนนี้มีข้อเสนอจากทั้งฝั่งโครมและไฟร์ฟอกซ์ ให้แจ้งเตือนเว็บไม่เข้ารหัสในระดับเดียวกับการเข้ารหัสอย่างไม่ปลอดภัย

Sony พัฒนาตัวล็อกประตูอัจฉริยะ Qrio สามารถนำไปติดตั้งกับประตูที่มีอยู่แล้ว โดยใช้ควบคุมการล็อกประตูได้ผ่านทางแอพในสมาร์ทโฟน

Qrio เป็นตัวล็อกประตูที่ใช้อะลูมิเนียมเป็นวัสดุหลักของตัวเครื่อง ใช้พลังงานจากแบตเตอรี่ CR123A ที่สามารถจ่ายไฟเลี้ยงอุปกรณ์ได้นานกว่า 1,000 วัน ผู้ใช้สามารถนำ Qrio ไปติดตั้งกับมือจับหรือตัวลูกบิดล็อกประตูที่มีอยู่แล้วได้หลายรูปแบบ โดยสำหรับผู้ที่อยู่ในห้องสามารถใช้มือจับส่วนลูกบิดด้านหน้าของ Qrio เพื่อล็อกหรือเปิดประตูได้เหมือนกับการใช้ลูกบิดประตูทั่วไป ส่วนผู้ที่อยู่นอกห้องสามารถใช้แอพในสมาร์ทโฟน ซึ่งก็มีทั้งรุ่นสำหรับ iOS 7 (หรือใหม่กว่า) และแอพสำหรับ Android 4.4 (หรือใหม่กว่า) เพื่อทำการปลดล็อก Qrio ได้ผ่านการสื่อสารด้วยบลูทูธพลังงานต่ำ

เมื่อวันที่ 10 ธันวาคมที่ผ่านมา ไมโครซอฟท์ได้ปล่อยแพตช์หมายเลข KB3004394 ผ่านระบบ Windows Update ซึ่งหลังจากที่ปล่อยออกไปก็มีผู้ใช้หลายรายแจ้งว่าแพตช์นี้มีปัญหากับซอฟต์แวร์อื่นๆ ในระบบ รวมถึงไม่สามารถเข้า Windows Update เพื่อติดตั้งแพตช์อื่นๆ ได้ ในเบื้องต้นทางไมโครซอฟท์ได้ถอดแพตช์นี้ออกจาก Windows Update และแนะนำให้ผู้ใช้ที่มีปัญหาลบแพตช์นี้ออกไปก่อน