หากยังจำกันได้ว่า บริษัท SR Labs ที่เป็นบริษัทวิจัยความปลอดภัย ได้ออกมาสาธิตช่องโหว่ของ USB ที่เรียกว่า BadUSB ที่งานประชุม BlackHat 2014 ซึ่งเป็นการประชุมด้านความปลอดภัยระดับโลก โดยในเวลานั้นทางผู้วิจัยคนแรกไม่ยอมเผยแพร่ซอร์สโค้ดที่ใช้ช่องโหว่ดังกล่าว เพราะเกรงว่าจะสร้างผลกระทบเป็นวงกว้าง แต่ล่าสุด มีนักวิจัยอีกกลุ่มหนึ่ง กลับปล่อยซอร์สโค้ดที่อาศัยช่องโหว่ดังกล่าวขึ้นสู่ระบบของ GitHub เป็นที่เรียบร้อยแล้ว

Dr.Web บริษัทความปลอดภัยของรัสเซีย รายงานว่าพบมัลแวร์ตัวใหม่ชื่อ Mac.BackDoor.iWorm แพร่ระบาดในคอมพิวเตอร์ OS X มากกว่า 17,000 เครื่องแล้ว (นับเป็นจำนวนไอพี)

มัลแวร์ตัวนี้จะติดตั้งตัวเองลงในไดเรคทอรี /Library/Application Support/JavaW และวางประตูหลัง (backdoor) เพื่อให้แฮกเกอร์สามารถสั่งงานคอมพิวเตอร์เครื่องนั้นได้ในภายหลัง (ทำเป็น botnet) เครื่องที่ติดมัลแวร์สามารถถูกขโมยข้อมูล และใช้เป็นฐานการโจมตีเครื่องอื่นๆ ได้

ถ้ายังจำกันได้ ในปี 2012 เคยมีการแพร่ระบาดของมัลแวร์ Flashback ที่ติดเครื่องแมคมากถึงเกือบ 600,000 เครื่อง

ที่มา - Dr.Web

Eric Schmidt ประธานกูเกิลให้สัมภาษณ์กับ CNNMoney ตอบโต้คำสัมภาษณ์ก่อนหน้านี้ของ Tim Cook ซีอีโอแอปเปิล ที่เคยพูดเอาไว้ว่า "ประสบการณ์ที่ดีของผู้ใช้ไม่ควรต้องแลกกับการเสียความเป็นส่วนตัว"

Schmidt บอกว่ากูเกิลเป็นผู้นำด้านความปลอดภัยและการเข้ารหัสมาโดยตลอด ระบบของกูเกิลแข็งแกร่งกว่าใครๆ ในอุตสาหกรรมไอที ซึ่งก็รวมถึงแอปเปิลด้วย (แต่ Schmidt ก็ชมว่าแอปเปิลกำลังไล่ตามมาอย่างรวดเร็ว ซึ่งเป็นเรื่องดีต่อผู้ใช้งาน) เขาบอกว่า Tim Cook คงเข้าใจผิดในเรื่องนี้

Schmidt ยังข่มแอปเปิลกลับโดยบอกว่า Gmail เข้ารหัสข้อมูลทั้งหมด และกูเกิลไม่เคยมีปัญหา "ข้อมูลหลุด" ครั้งใหญ่แบบที่แอปเปิลเคยโดนในกรณีภาพหลุดดาราฮอลลีวู้ดเลยสักครั้งเดียว

Lacoon Mobile Security บริษัทวิจัยด้านความปลอดภัยสำหรับอุปกรณ์พกพาจากอิสราเอล ระบุว่าตรวจพบมัลแวร์ตัวใหม่ที่มีชื่อว่า "Xsser" ซึ่งสามารถติดได้จากเครื่องที่ใช้ Android และ iOS และเชื่อว่าเป้าหมายของการโจมตีของมัลแวร์ตัวนี้ คือผู้ชุมนุมประท้วงที่เขตปกครองพิเศษฮ่องกง ซึ่งกำลังดำเนินไปอยู่ในขณะนี้

ช่องโหว่ Shellshock เปิดเผยออกมาตั้งแต่สัปดาห์ที่แล้ว ตอนนี้ความสับสนหลักคงเป็นว่าเซิร์ฟเวอร์ทั่วไปจะได้รับผลกระทบจากมันมากน้อยแค่ไหน ตอนนี้ก็เริ่มมีการรวมฐานข้อมูลของแอพพลิเคชั่นที่ได้รับผลกระทบออกมาแล้ว อยู่ใน GitHub ที่ชื่อว่า shellshocker-pocs

บทสรุปผู้บริหาร: สั่งอัพเกรดเซิร์ฟเวอร์ทุกตัวเถอะครับ

บั๊ก Shellshock กำลังถูกจับตามองอย่างมาก จากคอมเมนต์ในข่าวที่ผ่านๆ มาผมคิดว่ายังมีสมาชิก Blognone บางท่านไม่เข้าใจการทำงานและผลกระทบของมันอยู่บ้าง เผอิญทาง Trend Micro ประเทศไทยส่งบทความนี้มาพอดี เลยคิดว่าน่าจะเป็นประโยชน์สำหรับผู้สนใจหาข้อมูลเพิ่มในเรื่องนี้ครับ Blognone จึงนำมาเผยแพร่ต่อโดยปรับปรุงข้อความและฟอร์แมตเล็กน้อยครับ

บริษัทความปลอดภัย FireEye รายงานสถิติการโจมตีบนเว็บว่าเริ่มเห็นทราฟฟิกของมัลแวร์ การแฮ็กระบบ รวมถึง DDoS ที่ใช้ช่องโหว่ "Shellshock" ช่องโหว่ร้ายแรงใน Bash Shell ที่ถูกค้นพบเมื่อสัปดาห์ก่อน รูปแบบการโจมตีที่พบคือแฮ็กเกอร์ไล่สแกนดูเครื่องเซิร์ฟเวอร์ต่างๆ ว่ามีช่องโหว่นี้หรือไม่ โดย FireEye พบว่าทราฟฟิกมักมาจากรัสเซีย และคาดเดาว่าการโจมตีชุดนี้เป็นแค่การ "ลองของ" ก่อนจะยิงชุดใหญ่กว่านี้อีกมากในภายหลัง

ส่วนบริษัทความปลอดภัย Incapsula เก็บสถิติแล้วพบว่าอัตราการโจมตีเฉลี่ยอยู่ราวชั่วโมงละ 725 ครั้ง และมีเว็บไซต์ประมาณ 1,800 โดเมนโดนโจมตีไป ส่วนการโจมตีกระจายมาจากหมายเลขไอพี 400 ชุด และทราฟฟิกส่วนใหญ่มาจากจีน-สหรัฐ

หลังจากเกิดการพบบั๊กร้ายแรงใน Bash ทุกรุ่น ทุกคนควรอัพเกรดด่วน ที่เรียกกันสั้นๆ ว่า Shellshock ไปแล้ว Apple ก็ได้ออกมาชี้แจงว่าผู้ใช้ OS X ไม่ต้องกังวลอะไรถ้าไม่ได้ไปปรับแต่งค่าขั้นสูงในแบบ UNIX และ Apple จะออกแพทซ์มาแก้ ซึ่งตอนนี้ก็ออกมาเรียบร้อยแล้วครับ

Signature Systems ผู้ผลิตระบบชำระเงิน ณ จุดขาย (Point-of-Sale - POS) ออกประกาศเตือนลูกค้าว่ามีมัลแวร์ที่ออกแบบมาสำหรับเครื่อง POS ของบริษัทโดยเฉพาะกำลังระบาด

มัลแวร์ออกแบบมาเพื่อเก็บข้อมูลชื่อผู้ถือบัตรเครดิต, หมายเลขบัตร, วันที่หมดอายุ, และหมายเลขยืนยันบัตรในแถบแม่เหล็ก (CVV1 เป็นคนละเลขกับหลังบัตรที่เป็น CVV2) โดยความเสี่ยงเริ่มตั้งแต่กลางเดือนมิถุนายนที่ผ่านมาและบริษัทสามารถจัดการล้างมัลแวร์ออกได้ทั้งหมดเมื่อกลางเดือนกันยายน

ร้านค้าที่ได้รับผลกระทบจากมัลแวร์นี้รวมทั้งหมด 324 ร้าน เป็นเครือร้าน Jimmy John เครือเดียวไป 216 ร้าน

Bionym บริษัทหน้าใหม่ (startup) สัญชาติแคนาดาเปิดตัวสายรัดข้อมือที่จะวัดรูปแบบของอัตราการเต้นของหัวใจซึ่งเฉพาะตัวในแต่ละบุคคลเป็นรหัสผ่านได้ โดยการรับส่งข้อมูลระหว่างอุปกรณ์จะผ่านบลูทูธ

รูปแบบการใช้งานก็มีหลากหลาย อาทิ เมื่อต้องการจะชำระค่าสินค้า ผู้ใช้ก็เพียงเอาสายรัดข้อมือไปอยู่เหนือแท่นอ่านบัตรเครดิตเท่านั้น ผู้ใช้ยังสามารถอัพเดตรูปแบบของอัตราการเต้นของหัวใจได้เอง

อุปกรณ์นี้มากับเซนเซอร์ตรวจคลื่นไฟฟ้าหัวใจ (electrocardiogram) วัดอัตราเร่ง และเข็มทิศไจโรสโคป โดยเซนเซอร์สองตัวหลังจะทำให้อุปกรณ์รับรู้ gestures และระยะระหว่างสายรัดข้อมือกับวัตถุโดยรอบได้

หากยังจำกันได้ว่าครั้งแรกที่ Apple เปิดตัวระบบสแกนลายนิ้วมือบนเครื่อง iPhone 5s ที่เรียกกันว่าระบบ Touch ID เมื่อปีก่อน ครั้งนั้นก็มีนักวิจัยด้านความปลอดภัยได้ทดสอบความแม่นยำของระบบ และพวกเขาพบว่าสามารถหลอก Touch ID ได้ด้วยลายนิ้วมือเทียม มาตอนนี้เมื่อมี iPhone 6 การทดสอบจึงเกิดขึ้นอีกคำรบ (ด้วยหวังว่าผลิตภัณฑ์ใหม่จะมีระบบยืนยันตัวตนผู้ใช้ที่ดีขึ้น) แต่ก็กลับพบว่ามันไม่ได้ต่างจาก iPhone 5s สักเท่าไหร่

จากกรณี บั๊ก Bash หรือที่เรียกกันว่า Shellshock สร้างผลกระทบเป็นวงกว้าง ทำให้ผู้พัฒนาซอฟต์แวร์หลายรายต้องรีบออกแพตช์กันเต็มที่

ยักษ์ใหญ่ของวงการอย่าง Oracle ก็ออกมาประกาศรายชื่อผลิตภัณฑ์ของตัวเองรวม 32 ตัวที่ได้รับผลกระทบจาก Shellshock โดยส่วนใหญ่เป็นแอพพลิเคชันในกลุ่ม Oracle Communications แต่ก็มีผลิตภัณฑ์ชื่อดังอย่างเครื่องเซิร์ฟเวอร์ราคาแพง Exalogic และ Big Data Appliance ด้วย (รายชื่อทั้งหมดอ่านได้จากที่มา)

Oracle ยังไม่บอกว่าจะออกแพตช์ให้ผลิตภัณฑ์แต่ละตัวเมื่อไรกันแน่ (และในอดีตบริษัทก็โดนวิจารณ์ว่าออกแพตช์ Java ช้ามาก) แต่ก็เริ่มมีแพตช์ของผลิตภัณฑ์บางตัวออกมาบ้างแล้ว

นับแต่ไม่กี่ชั่วโมงที่ผ่านมาหลังมีการพบช่องโหว่ร้ายแรงใน Bash ที่เรียกกันเล่นๆ ว่า "ShellShock" ซึ่งว่ากันว่าร้ายแรงกว่า HeartBleed อันมีผลทำให้ผู้ใช้ UNIX ทุกรุ่นตกอยู่ในความเสี่ยง จนทำให้หลายฝ่ายเร่งออกแพตช์มาแก้ไขปัญหา เว้นแต่ฝั่ง Apple ที่ยังคงสงวนท่าที (แม้ 2 ระบบปฏิบัติการของ Apple อย่าง iOS และ OS X ก็ตกอยู่ในข่ายมีความเสี่ยงด้วย)

ล่าสุด SlashGear ได้อ้างว่ามีอีเมลจากทาง Apple ถูกส่งมาเพื่อชี้แจงว่าผู้ใช้ OS X ไม่จำเป็นต้องหวั่นกลัวว่าจะเจอปัญหาจากวิกฤต Shellshock นี้ โดยมีใจความว่า

ในมุมมองของหน่วยงานรัฐอย่าง FBI ตอนนี้ Apple และ Google นั้นต่างก็ปรับปรุงระบบรักษาความปลอดภัยของข้อมูลสำคัญโดยการเข้ารหัสที่ดีมากจนยากที่จะไล่ทันแล้ว

ฟังดูเหมือนเป็นเรื่องดี แต่ผู้กล่าวถึงเรื่องนี้อย่าง James Comey ผู้อำนวยการคนปัจจุบันของ FBI ได้กล่าวแถลงต่อสื่อ ณ สำนักงานของหน่วยงานว่าเขารู้สึกวิตกกังวลเกี่ยวกับเรื่องดังกล่าว เพราะนั่นอาจหมายถึงการก่อตัวของพื้นที่ซึ่งกฎหมายมิอาจย่างกรายไปถึง โดยมีใจความว่า

Kevin Mitnick แฮกเกอร์รุ่นบุกเบิกตั้งแต่ช่วงปี 1992 ถึง 1995 และถูกตามจับเพราะไปแฮกคอมพิวเตอร์ของ Tsutomu Shimomura เพื่อขโมยช่องโหว่ในโทรศัพท์มือถือ หลังจากที่เขาพ้นโทษแล้วก็ออกมาเปิดบริษัทให้คำปรึกษาความปลอดภัยตั้งแต่ปี 2000 ตอนนี้เขาประกาศธุรกิจใหม่คือการขายช่องโหว่ซอฟต์แวร์ ชื่อว่า Mitnick’s Absolute Zero Day Exploit Exchange

จากปัญหา พบบั๊กร้ายแรงใน Bash ทุกรุ่น ทุกคนควรอัพเกรดด่วน ตอนนี้ปัญหาเริ่มร้ายแรงขึ้น เพราะหน่วยงานความปลอดภัยเริ่มค้นพบการโจมตีผ่านช่องโหว่นี้แล้ว (ชื่ออย่างเป็นทางการของช่องโหว่นี้คือ CVE-2014-7169 แต่ตอนนี้รู้จักกันในชื่อเล่นว่า Shellshock)

ตอนนี้ลินุกซ์ค่ายที่ออกแพตช์มาแล้วคือ Debian, Red Hat, Ubuntu, CentOS (รายชื่อ) อย่างไรก็ตาม แพตช์แรกที่ออกมายังอุดรูรั่วได้ไม่หมด และต้องรอแพตช์ที่สองที่น่าจะตามมาในเร็วๆ นี้ (แอดมินระบบทุกท่านก็ควรลงแพตช์แรกกันก่อนอยู่ดี)

ใน iOS 8 ทาง Apple ได้ปรับปรุงคีย์บอร์ดใหม่ให้มีฟีเจอร์ QuickType ซึ่งสามารถเดาคำและแนะนำได้ว่าคำที่เราจะพิมพ์ต่อไปคือคำว่าอะไร ซึ่งหลักการทำงานของระบบนี้คือการเก็บคำที่ผู้ใช้เคยพิมพ์ไว้ในฐานข้อมูลเพื่อเอามาวิเคราะห์ว่าผู้ใช้พิมพ์คำไหนบ่อยๆ และถ้าหากพิมพ์คำนี้แล้วจะพิมพ์คำไหนต่อ

แต่แล้วความหายนะก็บังเกิด เมื่อมีคนไปพบว่าคีย์บอร์ดเดาคำตัวใหม่นี้มันเก็บรหัสผ่านที่เคยกรอกในหน้าล็อกอินเว็บไซต์ แถมยังโชว์รหัสผ่านออกมาให้เห็นกันโต้งๆ เมื่อพิมพ์แค่ชื่อผู้ใช้ลงในหน้าล็อกอินของเว็บไซต์ใหม่ด้วย

กรณีภาพหลุดดาราสะท้านโลกที่มาจาก iCloud ยังเป็นที่สนใจของสื่อต่างประเทศ และล่าสุดเว็บไซต์ The Daily Dot ได้หลักฐานใหม่ที่อาจบอกได้ว่าแอปเปิลทราบช่องโหว่นี้มานาน 6 เดือนแล้ว

หลักฐานของ The Daily Dot คืออีเมลระหว่างผู้เชี่ยวชาญความปลอดภัยชื่อ Ibrahim Balic กับพนักงานของแอปเปิลที่ชื่อ Scott (ซึ่งน่าจะเป็นพนักงานในส่วนงานด้านความปลอดภัย) ตั้งแต่เดือนมีนาคม 2014

เนื้อหาในอีเมลคือ Balic แจ้งว่าพบบั๊กในระบบล็อกอันบัญชี Apple Account ที่ทำให้เขาสามารถลองเดารหัสผ่านด้วยวิธี brute force มากกว่า 20,000 ครั้งต่อหนึ่งบัญชี ซึ่ง Scott ก็ขอบคุณที่ Balic แจ้งข้อมูลเข้ามา

พบบั๊กร้ายแรงในคำสั่งแบช (bash) ซึ่งเป็นเชลล์พื้นฐานที่อยู่ใน UNIX ทุกรุ่นยันรุ่นล่าสุด 4.3 ทำให้แฮกเกอร์สามารถรันคำสั่งอะไรก็ได้ภายใต้สิทธิ์ที่รันคำสั่ง bash ซึ่งทำให้เว็บไซต์ที่มีการคอนฟิค CGI ไว้เช่น mod_cgi ตกอยู่ในความเสี่ยงทั้งหมด รวมไปถึงบรรดาอุปกรณ์ฝังตัวที่มีหน้าจอบริหารจัดการเป็นเว็บต่างก็โดนหางเลขไปด้วย (แพเพียบแน่ๆ)

ผู้เชี่ยวชาญประเมินว่าระดับความรุนแรงของบั๊กตัวนี้ไม่น่าจะน้อยกว่า Heartbleed ที่เจอกันไปเมื่อเมษายนที่ผ่านมา เพราะบั๊กตัวนี้สามารถรันคำสั่งบนเครื่องเป้าหมายได้เลย และสามารถทดลองได้ง่ายพอๆ กับ SQL injection โดยไม่ต้องล็อกอินเข้าระบบก่อนด้วยซ้ำ

สำหรับผู้ดูแลระบบที่มีการเปิด CGI แนะนำให้ลองหาแพตช์มาอัพเกรด bash โดยด่วน

Kali Linux โครงการลินุกซ์เพื่อการทดสอบความปลอดภัยเครือข่ายออกรอม Kali Linux Nexus NetHunter รอมสำหรับอุปกรณ์ในตระกูล Nexus เพื่อการตรวจสอบความปลอดภัยของเครือข่าย

NetHunter สามารถยิงแพ็กเก็ตออกสู่เครือข่าย Wi-Fi ได้, ปลอมตัวเป็นคีย์บอร์ดและการ์ดแลนเพื่อการโจมตีเครื่องเป้าหมาย, และรองรับ HackRF เพื่อการทำงานกับคลื่นวิทยุย่านอื่นๆ

รองรับ Nexus 10, Nexus 7, และ Nexus 5 ดาวน์โหลดได้ทันที

ไมโครซอฟท์เปิดโครงการให้รางวัลกับนักวิจัยที่แจ้งบั๊กความปลอดภัย (bug bounty) โดยรวมบริการสำคัญๆ เช่น live.com, office.com, sharepoint.com, outlook.com โดยไม่รวมถึงโดเมนที่ไมโครซอฟท์ให้บริการแก่ลูกค้า

บั๊กที่สามารถขอรับรางวัลได้ เช่น Cross Site Scripting, Cross Site Request Forgery, ความผิดพลาดในการยืนยันตัวตน, การนำโค้ดมารันบนเซิร์ฟเวอร์, และการยกสิทธิของผู้ใช้

ผู้ใช้ที่จะสำรวจและทดสอบบั๊ก ต้องสมัครผู้ใช้ใหม่โดยมีคำว่า MSOBB อยู่ในชื่อบัญชีเพื่อให้รู้ว่าเป็นบัญชีทดสอบบั๊ก ระหว่างทดสอบห้ามยิงเซิร์ฟเวอร์, ห้ามเข้าถึงข้อมูลของผู้อื่น, ห้ามรันโค้ดที่เกินกว่าการพิสูจน์บั๊ก, และห้ามใช้กระบวนการล่อหลอกพนักงานไมโครซอฟท์เพื่อให้ได้ข้อมูลมาแฮก

บริษัท RiskIQ รายงานว่าเว็บ jQuery.com ถูกวางไฟล์จาวาสคริปต์เพื่อล่อผู้ใช้ให้เข้าไปยังหน้าดาวน์โหลดมัลแวร์ โดยหน้าเว็บของ jQuery ถูกเพิ่มสคริปต์จากเว็บ jquery-cdn.com ที่เพิ่งจดทะเบียนเข้ามา

เมื่อผู้ใช้เปิดเว็บจะถูก redirect ไปยังเว็บ bestamazontips.com เพื่อดาวน์โหลดมัลแวร์ที่สร้างจากชุดพัฒนา RIG ที่เพิ่งค้นพบเมื่อต้นปีที่ผ่านมา โดยมัลแวร์ในกลุ่มนี้ใช้เพื่อขโมยข้อมูลธนาคารและข้อมูลส่วนบุคคลอื่นๆ

ซัมซุงลุยตลาดระบบความปลอดภัยสำหรับมือถือองค์กรด้วยแบรนด์ KNOX มานาน ล่าสุดบริษัทเริ่มคิดราคาบริการ KNOX แล้ว โดยแยกเป็น 2 รุ่นคือ

Google และ Dropbox ประกาศตั้งกลุ่มวิจัยด้านการออกแบบ usability เพื่อการสื่อสารที่ปลอดภัยและเป็นส่วนตัว โดยใช้ชื่อว่า Simply Secure

Simply Secure ต้องการแก้ปัญหาระบบความปลอดภัยในปัจจุบันที่ใช้งานยาก ซับซ้อน จนเป็นผลให้ผู้ใช้ละเลยไม่สนใจรักษาความปลอดภัยของตัวเอง โจทย์ของ Simply Secure จึงเป็นการวิจัยว่า usability ที่ดีกับความปลอดภัยที่แข็งแรงเป็นสิ่งที่ไปด้วยกันได้หรือไม่

Simply Secure จะไม่สร้างซอฟต์แวร์ขึ้นมาเอง แต่จะเข้าร่วมกับโครงการโอเพนซอร์สต่างๆ ในปัจจุบันเพื่อปรับปรุงซอฟต์แวร์ให้ดีขึ้นแทน

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) เปิดให้บริการแบบเข้ารหัสโดยที่ลูกค้าไม่ต้องส่งกุญแจ SSL ไปให้ทาง CloudFlare เรียกว่า Keyless SSL

แต่เดิมบริการ CDN ที่จะเข้ารหัส ลูกค้าจะต้องส่งทั้งกุญแจและใบรับรองไปให้บริการ CDN ทั้งคู่ บริการใหม่ของ CloudFlare จะทำให้ลูกค้าสามารถส่งเฉพาะใบรับรอง SSL ไปยัง CloudFlare และเมื่อเบราว์เซอร์เชื่อมต่อเข้าไปยัง CloudFlare ทาง CloudFlare จะขอให้เซิร์ฟเวอร์ของลูกค้าถอดรหัสเพื่อเอากุญแจแบบสมมาตรออกมาให้เป็นครั้งๆ ไปไป จากนั้นทาง CloudFlare จึงส่งข้อมูลไปยังเบราว์เซอร์ด้วยกุญแจแบบสมมาตรที่ได้จากเซิร์ฟเวอร์ของลูกค้า