เหตุการณ์ KakaoTalk ส่งข้อมูลให้รัฐบาลเกาหลีใต้เป็นตัวอย่างที่ดีสำหรับข้อเท็จจริงที่ว่าเราไม่ควรไว้วางใจผู้ให้บริการมากจนเกินไป แม้ว่าจะมีการเรียกคืนความเชื่อมั่นแต่ก็ไม่มีอะไรเป็นหลักประกันว่าจะไม่เกิดเหตุการณ์แบบนี้ขึ้นอีก ทำให้แอพส่งข้อความที่เน้นการเข้ารหัสและความปลอดภัยอย่าง Telegram และ

หลังจากมัลแวร์ WireLurker ที่แพร่ระบาดไปกับแอพบน OS X และติดต่อไปยังอุปกรณ์ iOS ผ่านการเชื่อมต่อ USB โดยอาศัยจุดอ่อนจากช่องโหว่ Masque Attack ได้ถูกตรวจพบมานานนับสัปดาห์ ตอนนี้ทางการจีนก็มีการสืบสาวราวเรื่องและได้เข้าจับกุมชาวจีน 3 ราย ในฐานะผู้ต้องสงสัยว่าอยู่เบื้องหลังเหตุการณ์ระบาดของมัลแวร์ WireLurker ในหมู่ผู้ใช้ผลิตภัณฑ์ Apple ในประเทศจีน

งานดูแลรักษาความปลอดภัยเรียกได้ว่าเป็นหนึ่งในงานที่ทั้งเหนื่อย และอันตราย จนมีความพยายามจะใช้หุ่นยนต์เข้ามาช่วยงานในส่วนนี้อยู่หลายครั้ง และตอนนี้ก็มี Knightscope บริษัทหน้าใหม่ที่เปิดตัว K5 หุ่นยนต์รักษาความปลอดภัยกึ่งอัตโนมัติออกมาแล้ว

เว็บ The Register สัมภาษณ์ Paul Campbell ผู้ออกแบบ OneRNG เครื่องสร้างเลขสุ่มแบบ USB เพื่อให้คอมพิวเตอร์สามารถสร้างเลขสุ่มได้อย่างมีประสิทธิภาพ และเชื่อได้ว่าเลขสุ่มที่ได้จะเป็นเลขสุ่มจริง ไม่สามารถหารูปแบบได้

OneRNG จะสร้างเลขสุ่มจากสองแหล่ง คือ avalanche diode ที่สร้างสัญญาณรบกวนขึ้นมาเอง อีกส่วนคือภาครับสัญญาณวิทยุ ใช้ชิป CC2531 ของ Texas Instrument เพื่อรับสัญญาณรบกวน

Campbell ยืนยันว่าโครงการนี้ตรวจสอบและยืนยันได้ว่าเลขสุ่มที่ได้มีความน่าเชื่อถือ โดยพอร์ตสำหรับการอัพเดตโค้ดจะแยกออกจากพอร์ต USB ที่ใช้รับเลขสุ่มเพื่อความปลอดภัยจากการถูกแฮกอุปกรณ์

หลังจากที่ Snapchat ได้เกิดเหตุการณ์หลุดครั้งใหญ่แบบทั้งภาพและวิดีโอเมื่อเดือนที่แล้ว ทาง Snapchat โทษปัญหาและช่องโหว่ว่ามาจากบรรดาแอพทางเลือกที่ใช้ API ที่ได้จากการทำวิศวกรรมย้อนกลับ และเริ่มจัดการปัญหานี้แล้วครับ

ในเบื้องต้นผู้ใช้แอพทางเลือกเหล่านี้จะถูกล็อกบัญชี ซึ่งสามารถปลดล็อกได้โดยการหยุดใช้แอพทางเลือกและเข้าไปเปลี่ยนรหัสผ่าน แต่หากยังดื้อดึงที่จะใช้แอพทางเลือกต่อไปอาจทำให้บัญชีถูกล็อกอย่างถาวร

เป็นข่าวใหญ่ด้านความปลอดภัยของผู้ใช้ iOS ไปเมื่อหลายวันก่อนกับ Masque Attack หรือช่องโหว่ที่จะทำให้แอพที่ไม่พึงประสงค์สามารถปลอมตัวเป็นแอพอื่น และล้วงข้อมูลทุกอย่างในเครื่องผู้ใช้ไปได้ วันนี้ทางแอปเปิลได้ชี้แจงถึงปัญหานี้แล้วครับ

แอปเปิลบอกว่าทั้ง OS X และ iOS มีระบบรักษาความปลอดภัยที่จะป้องกันและแจ้งเตือนผู้ใช้ทุกครั้งที่จะลงแอพที่มีความเสี่ยง และชี้ว่ายังไม่มีผู้ใช้รายใดที่ได้รับผลกระทบจากช่องโหว่นี้ รวมไปถึงแนะนำว่าให้ดาวน์โหลดแอพจากแหล่งที่เชื่อถือได้อย่าง App Store เท่านั้น

Eitan Konigsburg วิศวกรซอฟต์แวร์ของ New York Times ออกมาเขียนบล็อกถึงประเด็นความเป็นส่วนตัวของผู้อ่านว่ามีความสำคัญมากขึ้นเรื่อยๆ จากการโจมตีรูปแบบต่างๆ ตั้งแต่การติดตามผู้ใช้ทำให้เสียความเป็นส่วนตัว ไปจนถึงการเปลี่ยนข้อมูลบนเว็บข่าว นอกจากนี้อุปสรรคที่เคยทำให้การวางเซิร์ฟเวอร์ที่เป็น HTTPS ก็เริ่มลดลงไป ทาง New York Times จึงชวนให้สำนักข่าวและทุกเว็บไซต์หันมาให้บริการบน HTTPS เต็มรูปแบบภายในปี 2015 หากใครรับคำท้าก็ให้ทวีตใส่แฮชแท็ก #https2015

คำท้าทายนี้ระบุว่าเว็บที่เข้าร่วมจะต้องย้ายไป HTTPS ทั้งหมด นับตั้งแต่ตัวเว็บเอง ไปจนถึงไฟล์จาวาสคริปต์ และโฆษณาทั้งหมด

ไมโครซอฟท์ออกแพตช์ความปลอดภัยประจำเดือนพฤศจิกายนจำนวน 16 ตัว โดยเป็นช่องโหว่ระดับ "ร้ายแรง" (critical) จำนวน 4 ตัว

Kaspersky ออกรายงานการโจมตีเครือข่าย Wi-Fi ของโรงแรมหลายแห่ง โดยพยายามติดตั้งมัลแวร์ลงในเครื่องของเหยื่อด้วยการดาวน์โหลดอัพเดตปลอมที่อ้างว่าเป็นอัพเดตของ GoogleToolbar, Adobe Flash, หรือ Windows Messenger

ความพิเศษของ Darkhotel คือการเลือกเหยื่อมีการเลือกอย่างเจาะจงไม่ใช่การหว่านแหทั่วไป เหยื่อที่ถูกติดตามเมื่อพยายามล็อกอินเพื่อเข้าใช้งาน Wi-Fi จะได้รับ iframe พิเศษเพื่อล่อให้ติดตั้งซอฟต์แวร์ ขณะที่ระบบตรวจสอบไม่สามารถล่อให้ Darkhotel แสดง iframe เหมือนที่แสดงกับเหยื่อได้ แม้จะยังสรุปแน่ชัดไม่ได้แต่ทีมงาน Kaspersky ระบุว่ามันบ่งชี้ว่ามีการใช้ข้อมูลการเช็คอินโรงแรมเพื่อเลือกเหยื่อ

ผู้ใช้ iOS พึงระวังการหลอกล่อให้ติดตั้งมัลแวร์ ซึ่งมันอาจอาศัยช่องโหว่ที่ชื่อ Masque Attack และติดตั้งตัวเองแบบเนียนๆ (ทำได้ทั้งวิธีการผ่านช่องทาง USB และการเชื่อมต่อแบบไร้สาย) เพื่อทำการสูบเอาทุกสิ่งทุกอย่างใน iPhone ไปให้ผู้ไม่หวังดีได้

เมื่อไม่กี่วันที่ผ่านมา Home Depot บริษัทเจ้าของห้างค้าปลีกเครื่องมือและวัสดุก่อสร้างรายใหญ่โดนแฮคข้อมูลเลขบัตรเครดิตของลูกค้ากว่า 56 ล้านราย รวมทั้งอีเมลแอดเดรสของลูกค้าอีก 53 ล้านคน ซึ่งทาง Home Depot ได้ออกมาเผยว่าช่องโหว่ที่ถูกเจาะนั้นมาจากระบบปฏิบัติการ Windows

เว็บไซต์ Krebs on Security ซึ่งเป็นเว็บไซต์รายงานข่าวด้านความปลอดภัยเชิงลึก ออกมาระบุว่ามีความเป็นไปได้ที่บัญชีของสมาชิก HHonors ซึ่งเป็นโปรแกรมสะสมแต้มสำหรับการเข้าพักของเครือโรงแรม Hilton (ประกอบไปด้วย Hilton, Conrad, Double Tree และอื่นๆ) ถูกเจาะ โดยมีรายงานจากหนึ่งในสมาชิกที่ระบุว่าแต้มของตนเองนั้น "หาย" ไปกว่า 250,000 แต้ม

Mike Rogers ผู้อำนวยการ NSA ที่เพิ่งรับตำแหน่งเมื่อเดือนเมษายนที่ผ่านมาไปพูดที่มหาวิทยาลัยสแตนฟอร์ดในประเด็นที่ NSA ใช้ช่องโหว่ซอฟต์แวร์เพื่อเจาะเอาข่าวกรอง (มีหลายโครงการ แต่โครงการที่ใช้แนวทางนี้โดยเฉพาะคือ FOXACID)

Rogers ระบุว่าโอบามาได้ให้นโยบายอย่างชัดเจนว่า NSA ต้องแบ่งปันช่องโหว่ให้กับภาคเอกชนเพื่อรักษาความปลอดภัยของเครือข่ายคอมพิวเตอร์ของสหรัฐฯ เอง อย่างไรก็ดีมีช่องโหว่บางส่วนที่ระดับนโยบายได้พิจารณาแล้วว่าจะไม่แบ่งปัน โดยพิจารณาจากผลกระทบของช่องโหว่ว่าเป็นวงกว้างเพียงใด, ช่องโหว่สามารถถูกพบโดยคนอื่นๆ ได้ง่ายหรือไม่, หากมีคนพบ ใครจะเป็นผู้ใช้ประโยชน์จากมัน, และสหรัฐฯ เองจะสามารถใช้ประโยชน์จากช่องโหว่เหล่านั้นได้หรือไม่

Electronic Frontier Foundation (EFF) ออกรายงานเปรียบเทียบความปลอดภัยของแอพแชทในท้องตลาดเกือบ 40 ตัว ว่ามีความปลอดภัยของข้อมูลผู้ใช้มากน้อยแค่ไหน โดยแบ่งการทดสอบออกเป็น 7 ส่วน

แม้ที่ผ่านมา OS X และ iOS มักจะได้รับการยกย่องถึงเรื่องความปลอดภัยอยู่เสมอ แต่ล่าสุดบริษัทวิจัยด้านความปลอดภัย Palo Alto Networks ออกมาตรวจพบมัลแวร์ตัวล่าสุดที่เรียกว่า "WireLurker" ซึ่งโจมตีทั้งระบบปฏิบัติการ OS X และ iOS โดยระบุว่าเกิดขึ้นแล้วตลอดระยะเวลา 6 เดือนที่ผ่านมา

กูเกิลโดยทีมแอนดรอยด์ปล่อยชุดทดสอบการเชื่อมต่อแบบ TLS/SSL ว่าปลอดภัยต่อช่องโหว่ที่รู้กันดีหรือไม่ ใช้ชื่อชุดทดสอบว่า nogotofail ล้อเลียนบั๊ก goto fail; ใน iOS เมื่อต้นปีนี้

nogotofail จะทดสอบช่องโหว่ TLS/SSL ที่พบบ่อยได้แก่ การไม่ตรวจสอบใบรับรอง, บั๊กต่างๆ ของไลบรารี HTTPS/TLS/SSL, SSL stripping, STARTTLS, และปัญหาอื่นๆ

ตัวซอฟต์แวร์เป็นสคริปต์ Python ใช้รันเป็นพรอกซี่เพื่อทดสอบความปลอดภัยของแอพพลิเคชั่นที่กำลังเชื่อมต่อ ในชุดซอฟต์แวร์ที่แอพแอนดรอยด์สามารถดูรายงานช่องโหว่ สำหรับคนที่ต้องการนำไปรันบนพรอกซี่จริงๆ เพื่อทดสอบว่ามีคนในองค์กรกำลังเชื่อมต่อแบบไม่ปลอดภัยหรือไม่

LastPass บริการเก็บรหัสผ่านชื่อดังเปิดไคลเอนต์สำหรับดึงรหัสผ่านมาใช้งานเป็น command line รองรับทั้งลินุกซ์, แมค, และวินโดวส์ (ผ่าน Cygwin)

คำสั่งแบบนี้ทำให้ผู้ดูแลระบบสามารถดูแลรหัสผ่านเป็นกระบวนการอัตโนมัติได้ง่ายขึ้น ตัวอย่างที่ LastPass แนะนำมาคือการเขียนสคริปต์เปลี่ยนรหัสผ่าน SSH ทุกวันแล้วเก็บรหัสผ่านขึ้น LastPass

ตัวไคลเอนต์เขียนด้วยภาษา C เปิดให้ดาวน์โหลดบน GitHub

ที่มา - LastPass

หลังจากเกิดเหตุการณ์มีคนตั้งเซิร์ฟเวอร์คั่นกลางการเชื่อมต่อ iCloud ในจีน คนที่ถูกจับตามองคือ 360 Browser ที่รายงานของ GreatFire.org ระบุว่าแสดงหน้าเว็บทันทีแม้จะมีใบรับรองที่ไม่ถูกต้อง และตอนนี้ทาง 360 ก็ออกมาระบุว่าแก้ไขปัญหานี้ไปแล้ว

เมื่อวันที่ 15 ตุลาคมที่ผ่านมา Drupal ประกาศช่องโหว่ร้ายแรงหมายเลข SA-CORE-2014-005 ที่ทำให้ระบบโดน SQL injection ได้ และรีบออก Drupal 7.32 มาแก้ไข

อย่างไรก็ตาม แฮ็กเกอร์ไม่พลาดโอกาสนี้ และรีบสแกนหาเว็บที่ยังไม่อัพเดตแพตช์อย่างรวดเร็ว คล้อยหลังการประกาศแพตช์เพียงแค่ 7 ชั่วโมงเท่านั้น ผลคือเว็บ Drupal 7 ที่อัพเดตเป็น 7.32 ไม่ทันในช่วงเวลา 7 ชั่วโมงนี้ มีความเสี่ยงสูงที่จะโดนแฮ็กไปเรียบร้อยแล้ว

ทีมงาน Drupal เตือนว่าการสังเกตเว็บที่โดนแฮ็กทำได้ยากมาก และการอัพเดตเป็น 7.32 ตอนนี้ไม่ได้ช่วยเอา backdoor ออกจากระบบ ทางแก้คือตรวจสอบร่องรอยของเว็บอย่างละเอียด และเรียกคืนไฟล์-ฐานข้อมูลก่อนวันที่ 15 ตุลาคมมาใช้แทน

ปัญหาช่องโหว่ POODLE ในโปรโตคอล SSLv3 ทำให้มีทางแก้เดียวคือการเปลี่ยนไปใช้ TLS 1.0 ขึ้นไปเท่านั้น ตอนนี้ทาง Chrome ก็ออกมาประกาศแล้วว่าใน Chrome 39 ที่กำลังจะออกเร็วๆ นี้จะปิดการใช้งาน SSLv3 เป็นค่าเริ่มต้น

กูเกิลให้เวลาเว็บต่างๆ ที่ยังต้องใช้เวลาปรับตัวอีกสองเวอร์ชั่น โดยใน Chrome 39 ทุกเว็บที่มีการเชื่อมต่อเป็น SSLv3 (แม้จะเป็นภาพใดภาพหนึ่งในเว็บ) ไอคอนหน้า URL จะกลายเป็นไอคอนเตือนสีเหลืองว่ามีข้อผิดพลาด ส่วนใน Chrome 40 จะไม่สามารถเข้าใช้งานได้เลย

จากกระแสที่ร้านค้ารายใหญ่ต่าง ๆ ในสหรัฐฯ ปิดช่องทางการชำระเงินผ่านทาง NFC เพื่อเปิดทางให้ CurrentC ของ MCX ซึ่งเป็นบริการการชำระเงินซึ่งเป็นคู่แข่งโดยตรงของ Apple Pay และบริการการชำระเงินอื่น ๆ จนส่งผลไปให้ผู้ใช้รวมกลุ่มกันเพื่อคว่ำบาตรร้านค้าเหล่านั้น รวมไปถึงมีการตอบโต้ระหว่าง Walmart (ซึ่งเกาะกลุ่มกับ MCX) กับแอปเปิล

เว็บไซต์ Computerworld มีโอกาสคุยกับ Adrian Ludwig หัวหน้าทีมวิศวกรรมความปลอดภัยของ Android เกี่ยวกับฟีเจอร์ด้านความปลอดภัยที่เพิ่มเข้ามาใน Android 5.0 Lollipop ดังนี้

ทาง NIST (National Institute of Standards and Technology) ได้ออกมาเตือนผู้ใช้โทรศัพท์เคลื่อนที่ซัมซุงที่มีบริการ Find My Mobile ถึงช่องโหว่ระดับร้ายแรง ผ่านการ Cross-Site Request Forgery (CSRF) เพื่อหลอกเครื่องโทรศัพท์เป้าหมายว่าผู้ใช้ตัวจริงได้คำสั่งล็อกเครื่องมาจากเว็บไซต์ Find My Mobile และส่งชุดคำสั่งไปทำงานยังเครื่องเป้าหมายโดยปลอมการยืนยันตัวตน

นักวิจัยของอินเทลสองคนเตรียมประกาศรายละเอียดบั๊กในไลบรารี NSS ของไฟร์ฟอกซ์ที่ทำให้ระบบตรวจสอบใบรับรองผิดพลาด และส่งผลให้แฮกเกอร์สามารถดักการสื่อสารได้ในที่สุด

รายละเอียดเบื้องต้นระบบว่าไลบรารี NSS มีความผิดพลาดเมื่ออ่านไฟล์ที่เข้ารหัสแบบ ASN.1 ทำให้แฮกเกอร์สามารถข้ามกระบวนการยืนยันความถูกต้องของไฟล์ได้

ก่อนหน้านี้เคยมีบั๊กในการอ่านฟอร์แมต ASN.1 มาแล้วหลายครั้ง ทั้งใน NSS, CryptoAPI ของวินโดวส์, หรือ OpenSSL ช่องโหว่เหล่านี้โจมตีได้ง่ายและได้ผลดี

ทางอินเทลแจ้งมอซิลล่าผู้พัฒนาไฟร์ฟอกซ์ไปก่อนหน้านี้แล้ว และบั๊กได้รับการแก้ไขแล้ว

บั๊ก Shellshock ทำให้ซอฟต์แวร์จำนวนมากมีช่องโหว่ ตอนนี้เริ่มมีรายงานการโจมตีเป็นวงกว้าง โดย SANS Internet Storm Center รายงานพบการสแกนช่องโหว่หลายครั้ง

การสแกนช่องโหว่อาศัยเซิร์ฟเวอร์อีเมลทางพอร์ต SMTP แฮกเกอร์เชื่อมต่อเข้ามาแล้วพยายามส่งอีเมลเข้ามาในระบบ แต่อีเมลจะทดสอบ Shellshock ในทุกฟิลด์ สคริปต์ที่รันจะพยายามดาวน์โหลดไฟล์ perl เพื่อมารันต่อเพื่อรอรับคำสั่งจาก IRC

ตอนนี้ Shellshock ก็รายงานออกมาหนึ่งเดือนแล้ว ทุกองค์กรควรตรวจสอบและอัพเกรดกันให้เรียบร้อยครับ