ซัมซุงลุยตลาดระบบความปลอดภัยสำหรับมือถือองค์กรด้วยแบรนด์ KNOX มานาน ล่าสุดบริษัทเริ่มคิดราคาบริการ KNOX แล้ว โดยแยกเป็น 2 รุ่นคือ

Google และ Dropbox ประกาศตั้งกลุ่มวิจัยด้านการออกแบบ usability เพื่อการสื่อสารที่ปลอดภัยและเป็นส่วนตัว โดยใช้ชื่อว่า Simply Secure

Simply Secure ต้องการแก้ปัญหาระบบความปลอดภัยในปัจจุบันที่ใช้งานยาก ซับซ้อน จนเป็นผลให้ผู้ใช้ละเลยไม่สนใจรักษาความปลอดภัยของตัวเอง โจทย์ของ Simply Secure จึงเป็นการวิจัยว่า usability ที่ดีกับความปลอดภัยที่แข็งแรงเป็นสิ่งที่ไปด้วยกันได้หรือไม่

Simply Secure จะไม่สร้างซอฟต์แวร์ขึ้นมาเอง แต่จะเข้าร่วมกับโครงการโอเพนซอร์สต่างๆ ในปัจจุบันเพื่อปรับปรุงซอฟต์แวร์ให้ดีขึ้นแทน

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) เปิดให้บริการแบบเข้ารหัสโดยที่ลูกค้าไม่ต้องส่งกุญแจ SSL ไปให้ทาง CloudFlare เรียกว่า Keyless SSL

แต่เดิมบริการ CDN ที่จะเข้ารหัส ลูกค้าจะต้องส่งทั้งกุญแจและใบรับรองไปให้บริการ CDN ทั้งคู่ บริการใหม่ของ CloudFlare จะทำให้ลูกค้าสามารถส่งเฉพาะใบรับรอง SSL ไปยัง CloudFlare และเมื่อเบราว์เซอร์เชื่อมต่อเข้าไปยัง CloudFlare ทาง CloudFlare จะขอให้เซิร์ฟเวอร์ของลูกค้าถอดรหัสเพื่อเอากุญแจแบบสมมาตรออกมาให้เป็นครั้งๆ ไปไป จากนั้นทาง CloudFlare จึงส่งข้อมูลไปยังเบราว์เซอร์ด้วยกุญแจแบบสมมาตรที่ได้จากเซิร์ฟเวอร์ของลูกค้า

Android รองรับการเข้ารหัสข้อมูล (data encryption) เพื่อป้องกันคนเข้าถึงข้อมูลในเครื่อง มาตั้งแต่ปี 2011 แต่ไม่ได้เปิดเป็นดีฟอลต์ ทำให้คนไม่ค่อยรู้จักฟีเจอร์นี้กันมากนัก (วิธีการเผื่อมีคนสนใจ)

อย่างไรก็ตาม โฆษกของกูเกิลให้ข้อมูลกับ Washington Post ว่าใน Android รุ่นหน้า (หมายถึง Android L) กูเกิลจะเปิดค่านี้เป็นดีฟอลต์กับอุปกรณ์ Android ที่เปิดใช้ใหม่ (activation) นั่นแปลว่าถ้าซื้อมือถือเครื่องใหม่ที่ติดตั้ง Android L มาด้วย เราจะถูกบังคับให้กรอกรหัสผ่านหรือ PIN เพื่อเข้าถึงข้อมูลภายในเครื่องเสมอ

Wikileaks ปล่อยเอกสารสำเนาใบเรียกเก็บเงินของบริษัทผลิตซอฟต์แวร์สอดแนมในประเทศเยอรมนีชื่อ FinFisher ทำให้รายชื่อลูกค้าของบริษัทดังกล่าวถูกเปิดเผยต่อสาธารณะ และในบรรดาลูกค้าของ FinFisher ก็มีบริษัทเอกชนจากสิงคโปร์อยู่ในกลุ่มนั้นด้วย

ตามเอกสารที่ Wikileaks ปล่อยออกมา บริษัทจากสิงคโปร์มีชื่อว่า PCS Security ได้ซื้อสิทธิ์ใช้งานซอฟต์แวร์จำนวน 19 ชุด ก่อนจะยกเลิกไป 15 ชุดในภายหลัง คิดเป็นมูลค่ารวมกว่า 4 ล้านดอลลาร์ โดยในบรรดาซอฟต์แวร์ PCS Security ขอซื้อสิทธิ์ไปใช้นั้น มี FinSpy รวมอยู่ด้วย

ผลจากเหตุการณ์ภาพหลุดดาราจาก iCloud ซึ่งก่อให้เกิดการตื่นตัวในวงกว้างอีกครั้งเรื่องการเก็บรักษาข้อมูลส่วนตัวของบรรดาผู้ใช้ และทำให้ Apple ต้องเร่งทำงานหนักเพื่อป้องกันปัญหาไม่ให้เกิดซ้ำ หนึ่งในความเปลี่ยนแปลงสำหรับผู้ใช้ iCloud ในขณะนี้คือระบบยืนยันตัวตน 2 ขั้นตอนได้ถูกนำมาใช้กับบัญชีผู้ใช้ iCloud แล้ว

มีรายงานช่องโหว่ของหน้าเว็บอเมซอนในส่วนของรายการหนังสือที่อัพโหลดโดยผู้ใช้ ทำให้แฮกเกอร์ที่ล่อให้ผู้ใช้อัพโหลดหนังสือเอง เช่น หนังสือเถื่อน สามารถขโมยบัญชีอเมซอนออกไปได้

ช่องโหว่นี้เป็นเพราะอเมซอนนำชื่อหนังสือไปแสดงบนหน้าเว็บโดยตรง ทำให้แฮกเกอร์สามารถตั้งชื่อหนังสือกลายเป็น <script src="https://www.example.org/script.js"></script> เพื่อให้หน้าเว็บโหลดเอาสคริปต์ขึ้นไปรัน

ความน่ากลัวของคนทำเว็บในตอนนี้คือหากมีใครใส่ภาพหรือ iframe จากเว็บที่มีมัลแวร์ Chrome จะบล็อคเว็บที่ใช้ภาพเหล่านั้นไปด้วยเพื่อป้องกันผู้ใช้ ฟีเจอร์นี้มีมาตั้งแต่ Chrome รุ่นแรกๆ และมีการถกเถียงมาตลอดเวลาเป็นมาตรการที่สมเหตุสมผลหรือไม่ โดยมีการพูดคุยกันในทีมงาน Chrome เองในบั๊ก 16245

เมื่อไม่กี่วันที่ผ่านมา วงการเว็บโดยเฉพาะผู้ที่ทำเว็บแบบเข้ารหัส HTTPS ทั้งหลายอาจจะได้อ่านข่าวเล็กๆ ข่าวหนึ่ง คือ Chrome กำลังจะประกาศว่าใบรับรองดิจิตอลที่ยืนยันความถูกต้องด้วย SHA-1 จะถือว่าไม่ปลอดภัยอีกต่อไป ความโหดร้ายของกูเกิลคือทางกูเกิลประกาศมาโดยให้เวลาเพียงไม่กี่วันก่อนที่จะเริ่มบังคับใช้กฎใหม่นี้ ดังนั้นภายในสิ้นเดือนนี้เราอาจจะพบว่าเว็บที่เข้ารหัสได้รับผลกระทบกันเป็นวงกว้าง

บทความนี้เขียนขึ้นเพื่อแบ่งปัน "ผู้ดูแลระบบ" ทุกท่านที่ต้องดูแลเว็บที่เข้ารหัสอยู่ ว่าทำไมท่านนั่งอยู่ดีๆ ถึงได้งานเข้า (เหมือนทีมงาน Blognone ที่นั่งแก้ใบรับรองกันในวันนี้)

แอปเปิลยังไม่ยอมเผยรายละเอียดของ Apple Pay แต่เว็บไซต์ด้านเทคโนโลยีการเงิน Bank Innovation ได้นั่งคุยกับ MasterCard ซึ่งเป็นพันธมิตรรายหนึ่งของแอปเปิล และได้ข้อมูลว่า Apple Pay มีกระบวนการทำงานอย่างไร

ตามปกติแล้ว บัตรเครดิตที่มีชิป EMV ในตัวจะสร้างรหัสแบบสุ่มที่เรียก cryptogram ขึ้นมาทุกครั้งที่ทำธุรกรรม โดยรหัสนี้จะถูกสุ่มจากชิปบนบัตร แล้วส่งไปยังธนาคารผู้ออกบัตร (ร่วมกับหมายเลขบัญชีของลูกค้าผู้รูดบัตร) เพื่อประมวลผล

แต่ Apple Pay ต่างไปเล็กน้อยเพราะมีรหัสแบบสุ่มอีกตัวที่เรียกว่า token ด้วย โดยผู้ออก token คือบริษัทบัตรเครดิต (เช่น Visa, MasterCard) ไม่ใช่ธนาคารผู้ออกบัตร โดยรหัส token เป็นตัวเลข 16 ตัวที่เปลี่ยนไปเรื่อยๆ ไม่ตายตัว

เมื่อวานนี้หลังข่าวรหัสผ่านจีเมลเกือบ 5 ล้านชุดหลุดออกมา ตอนนี้กูเกิลก็เริ่มออกมาพูดถึงเรื่องนี้แล้ว โดยระบุว่ากูเกิลมอนิเตอร์ฐานข้อมูลรหัสผ่านที่รั่วออกมาเหล่านี้อยู่เรื่อยๆ และฐานข้อมูลที่หลุดออกมาล่าสุดนี้มีประมาณ 2% ที่อาจจะใช้งานได้ โดยย้ำว่ารหัสผ่านเหล่านี้ไม่ได้มาจากช่องโหว่ของกูเกิลโดยตรง ตอนนี้ระบบ anti-hijacking สามารถบล็อคการล็อกอินได้จำนวนหนึ่ง และผู้ใช้จะถูกบังคับให้เปลี่ยนรหัสผ่านทันที

ช่องทางที่เป็นไปได้ว่าจะเป็นแหล่งที่มาของฐานข้อมูลนี้ เช่น การใช้งานรหัสผ่านซ้ำกับเว็บอื่นๆ และเว็บนั้นถูกแฮก หรือแฮกเกอร์อาจจะปล่อยมัลแวร์หรือหน้าเว็บฟิชชิ่งเพื่อเก็บรหัสผ่าน

มีรายงานจากสำนักข่าว RT ในรัสเซียระบุว่าเว็บบอร์ดบิทคอยน์เผยแพร่ฐานข้อมูลรหัสผ่านของ Gmail เกือบห้าล้านรายการ โดยบนบอร์ดโพสเฉพาะรายชื่ออีเมลที่ได้รับผลกระทบแต่ไม่มีการเปิดเผยรหัสผ่าน ขณะที่สมาชิกบอร์ดที่อ้างว่าได้เห็นฐานข้อมูลนี้แล้วระบุว่ารหัสผ่านใช้งานได้จริงประมาณ 60% และน่าจะเป็นฐานข้อมูลเก่าสักหน่อย

กูเกิลรัสเซียระบุว่ากำลังสอบสวนเรื่องนี้อยู่ พร้อมกับแนะนำให้ตั้งรหัสผ่านให้หนาแน่นพร้อมกับใช้การล็อกอินแบบ 2-step (เพิ่มความปลอดภัยให้บัญชี Google ด้วยการเปิดใช้ระบบล็อกอินสองชั้น (2-Step Verification))

ส่วนประกอบของใบรับรอง SSL มีสองส่วนสำคัญได้แก่ กุญแจสาธารณะ และลายเซ็นดิจิตอล โดยลายเซ็นดิจิตอลที่ได้รับความนิยมกันมากคือการใช้ค่าแฮช SHA-1 มาเข้ารหัสด้วยกุญแจ RSA ของหน่วยงานที่รับรองใบรับรองนั้นๆ ที่ผ่านมา SHA-1 เริ่มมีงานวิจัยแสดงว่ามันอ่อนแอกว่าที่ออกแบบไว้ ตอนนี้ทางกูเกิลประกาศแล้วว่าจะเริ่มถือว่าใบรับรองที่ใช้ SHA-1 ไม่ปลอดภัยตั้งแต่ปี 2015 เป็นต้นไป

กูเกิลระบุแผนบันไดสามขั้นเพื่อกดดันให้เว็บที่เข้ารหัสเปลี่ยนใบรับรองเป็นใบรับรองใหม่ที่ใช้ลายเซ็นดิจิตอลที่หนาแน่นกว่าเดิม

Google กำลังทดสอบซอฟต์แวร์สร้างรหัสผ่านคล้าย LastPass หรือ 1Password โดยซอฟต์แวร์ของ Google นี้เป็นส่วนหนึ่งของ Chrome Canary (Chrome เวอร์ชั่นทดสอบ) รุ่นล่าสุด

ผู้ใช้งาน Chrome Canary สามารถเข้าถึงระบบสร้างรหัสผ่านนี้ได้โดยการเปิดเรียก flag จำนวน 2 ตัว

• chrome://flags/#enable-password-generation
• chrome://flags/#enable-save-password-bubble

หลังจากนั้นเมื่อใดก็ตามที่ผู้ใช้คลิกเลือกช่องใส่รหัสผ่าน ก็จะมีกล่องข้อความขนาดเล็กปรากฎขึ้นมาเพื่อให้คำแนะนำและสร้างรหัสผ่านให้กับผู้ใช้

ที่มา - SlashGear

หลังเหตุการณ์ภาพหลุดดาราเป็นวงกว้าง ความปลอดภัยของ iCloud น่าสงสัยขึ้นเรื่อยๆ ล่าสุด Nik Cubrilovic บล็อกเกอร์ที่เคยทำงานกับ TechCrunch ออกมาเขียนวิเคราะห์ถึงจุดอ่อนของ iCloud

จากประเด็นปัญหาความปลอดภัย iCloud ในที่สุดแล้ว ซีอีโอ Tim Cook ต้องยอมออกมาให้สัมภาษณ์เรื่องนี้ โดยเขาระบุว่าบัญชี iCloud ของคนดังทั้งหลายเกิดจากแฮ็กเกอร์ตอบคำถาม security question ถูกต้อง แล้วจึงเข้าถึงข้อมูลในบัญชีได้ หรือไม่ก็เป็นปัญหาเชิง social engineering หรือ phishing

Cook ยืนยันว่าข้อมูลหลุดครั้งนี้ไม่ได้เกิดจากการแฮ็กหรือช่องโหว่ของระบบ แต่เขาก็สัญญาว่าแอปเปิลจะเพิ่มมาตรการรักษาความปลอดภัยให้ดีขึ้น เช่น แจ้งเตือนผู้ใช้ถ้าหากมีคนพยายามเปลี่ยนรหัสผ่านของเรา หรือเรียกข้อมูลจาก iCloud มาใส่อุปกรณ์ใหม่ที่ไม่เคยใช้งานมาก่อน หรือเปิดใช้อุปกรณ์ใหม่ในบัญชีนั้นเป็นครั้งแรก

ESD America รายงานการตรวจสอบสัญญาณโทรศัพท์มือถือทั่วสหรัฐฯ พบว่ามีเสาสัญญาณโทรศัพท์มือถือ 17 เสาทั่วประเทศที่ปล่อยคลื่นโดยบังคับให้โทรศัพท์มือถือที่ต้องการเชื่อมต่อต้องปิดระบบเข้ารหัสทิ้ง ทำให้สามารถดักฟังการโทรและข้อมูลที่ส่งเข้าออกได้ทั้งหมด

ทาง ESD America ขายโทรศัพท์ CryptoPhone 500 ที่เป็น Galaxy S3 รุ่นปรับปรุงพิเศษ ปิดช่องโหว่ของแอนดรอยด์ไป 468 จุด และบังคับเข้ารหัส เมื่อพบเสาสัญญาณโทรศัพท์มือถือที่ไม่ยอมเข้ารหัส โทรศัพท์โดยทั่วไปอาจจะขึ้นไอคอนเตือนโดยปล่อยให้ทำงานต่อ หรืออาจจะไม่มีอะไรเตือนเลย แต่ CryptoPhone 500 จะขึ้นข้อความเตือนให้หยุดการโทรเข้าออกพร้อมกับบันทึกเวลาที่เจอเสาสัญญาณเหล่านี้เอาไว้

เหตุการณ์ภาพหลุดดาราในสหรัฐฯ ขนานใหญ่กำลังสร้างปัญหาภาพลักษณ์ที่แย่ให้กับแอปเปิลอย่างต่อเนื่อง แม้ว่าแอปเปิลจะออกมาแถลงว่าภาพที่หลุดไม่เกี่ยวกับช่องโหว่ของ iCloud และ Find my iPhone แต่บนบอร์ด Anon-IB ก็มีกลุ่มแฮกเกอร์ออกมาพูดคุยกันว่ากระบวนการโหลดภาพนี้ทำได้อย่างไร

โพสบนบอร์ดระบุว่าการโหลดภาพสามารถทำได้โดยใช้ iBrute เพื่อหารหัสผ่าน จากนั้นใช้ซอฟต์แวร์จำลองโทรศัพท์มือถือของ Elcomsoft เมื่อใส่รหัสผ่านที่ได้มาลงไป ซอฟต์แวร์จะซิงก์ภาพทั้งหมดจาก iCloud ลงมาจนครบ

แอปเปิลออกแถลงการณ์ครั้งแรกหลังมีเหตุการณ์ภาพหลุดดาราจำนวนมาก โดยระบุว่าได้ตรวจสอบมานานกว่าสี่สิบชั่วโมง และพบว่าดาราที่มีภาพหลุดออกไปถูกโจมตีด้วยชื่อผู้ใช้, รหัสผ่าน, และคำถามตรวจสอบตัวตน โดยเหตุการณ์ที่เกิดขึ้นไม่ได้เกิดจากช่องโหว่ใดๆ ของ iCloud และ Find my iPhone

แอปเปิลไม่ได้ให้ข้อมูลอะไรเพิ่มเติมมากกว่านี้ โดยแนะนำให้ผู้ใช้ตั้งรหัสผ่านให้แข็งแรงและเปิดการยืนยันตัวตนสองชั้น (two-step verification) เพื่อเพิ่มความปลอดภัย

ที่มา - Apple

ฟังก์ชั่นสร้างเลขสุ่มเทียม RC4 ถูกสร้างขึ้นมาเป็นสินค้าตัวแรกๆ ของบริษัท RSA ตั้งแต่ 25 ปีที่แล้ว (เป็นความลับทางการค้าแต่ถูกเปิดเผยอัลกอริทึมภายหลัง) ทุกวันนี้ยังถูกใช้งานจำนวนมากเพราะความง่ายในการอิมพลีเมนต์และความเร็วในการทำงาน แต่ขณะเดียวกับ RC4 ก็มีความอ่อนแอที่รู้กันหลายจุด เช่น ค่าที่สร้างออกมามีความโน้มเอียงตามค่ากุญแจเริ่มต้น, หากใครรู้ค่าสถานะภายในของอัลกอริทึมก็อาจจะกู้คืนกุญแจกลับมาได้, และสามารถสังเกตได้ว่าเอาท์พุตไม่ใช่ค่าสุ่มหากสังเกตตัวอย่างจำนวน 2^41 ตัวอย่าง

จากกรณี ภาพหลุดดาราอาจจะมาจากช่องโหว่ของบริการ Find my iPhone โฆษกของแอปเปิลก็ให้ข้อมูลว่ากำลังสอบสวนเรื่องนี้อย่างเต็มที่ แต่ก็ยังไม่ได้ให้ข้อมูลละเอียดว่าพบอะไรบ้าง

ข้อมูลก่อนหน้านี้สงสัยกันว่าปัญหาของ iCloud อาจเกิดจากการเปิดให้แฮ็กเกอร์ลองเดารหัสผ่านแบบ brute force หรือลองมั่วไปเรื่อยๆ ไม่มีที่สิ้นสุด โดยช่วงเวลาเดียวกันมีโปรแกรมเดารหัสชื่อ iBrute ปรากฏตัวขึ้นมาบน GitHub แต่ยังไม่มีข้อมูลยืนยันชัดเจนว่าเกี่ยวข้องกันหรือไม่

เช้าวันนี้มีข่าวภาพหลุดดาราชื่อดังจำนวนมากจากไอโฟนหลุดออกมาบนอินเทอร์เน็ต โดยไม่แน่ชัดว่าแฮกเกอร์สามารถนำภาพเหล่านี้ออกมาจากบริการ iCloud ได้อย่างไร ตอนนี้อาจจะมีคำตอบแล้ว ว่ามันคือช่องโหว่ของบริการ Find my iPhone

ปัญหาอยู่ในส่วนการเรียกใช้บริการ Find my iPhone ผ่าน API ที่เรียกผ่าน https://fmipmobile.icloud.com/fmipservice/device/ ที่แอปเปิลไม่ได้อิมพลีเมนต์กระบวนการป้องกันการทดลองรหัสผ่านไปเรื่อยๆ ทำให้แฮกเกอร์สามารถเขียนโปรแกรมยิงรหัสผ่านอย่างรวดเร็ว หากใครใช้รหัสผ่านอ่อนแอแฮกเกอร์ก็จะรู้รหัสได้ในที่สุด

เว็บรวบรวมไฟล์บิตบอร์เรนต์รายใหญ่อย่าง KickassTorrents ประกาศบังคับผู้ใช้ทุกคนต้องเข้าเว็บผ่านการเชื่อมต่อแบบเข้ารหัส HTTPS เท่านั้น โดยระบุว่าผู้ใช้ร้องขอฟีเจอร์นี้ทางเว็บจึงทำให้

ก่อนหน้านี้เว็บรวบรวมไฟล์บิตทอร์เรนต์จำนวนมากเปิดให้บริการเข้ารหัสไปก่อนแล้ว เช่น The Pirate Bay หรือ Torrentz แต่ไม่บังคับ ผู้ใช้จะต้องเลือกเข้าผ่าน HTTPS ด้วยตัวเองเท่านั้น

แนวทางการเข้ารหัสทั้งหมดทำให้ผู้ให้บริการอินเทอร์เน็ตไม่สามารถตรวจสอบได้ว่าผู้ใช้กำลังดูหน้าใดในเว็บ แต่ก็สามารถตรวจสอบโดเมนที่กำลังเข้าดูเว็บได้ และโดยทั่วไปเราก็สามารถตรวจสอบการปล่อยข้อมูลบิตทอร์เรนต์จากไอพีต่างๆ ได้อยู่แล้ว

Mozilla ผู้พัฒนาเบราว์เซอร์ไฟร์ฟอกซ์เตรียมเปิดฟีเจอร์ล็อกกุญแจสาธารณะของเว็บไว้เสมอ และเตือนผู้ใช้หากกุญแจเปลี่ยนไป แม้กุญแจนั้นจะสามารถตรวจสอบจาก Certification Authority ที่ถูกต้องได้ก็ตามที โดยเริ่มเปิดฟีเจอร์นี้ในรุ่น 32 ที่เป็นรุ่นเสถียรตัวถัดไป

สำหรับกญแจสาธารณะชุดแรกที่จะถูกล็อกไว้จากตัวเบราว์เซอร์ได้แก่ Twitter, เว็บติดตั้งส่วนขยายของ Mozilla, และบริการ CDN ของ Mozilla เอง ส่วนแผนการในรุ่น 33 คือการล็อกกุญแจสาธารณะตามรายการของกูเกิลที่ใช้ใน Chrome ทั้งหมด ส่วนรุ่น 34 จะล็อกกุญแจสาธารณะสำหรับเว็บผู้ใช้ใน Firefox.com, Tor, และ Dropbox

TrendMicro ออกรายงานความปลอดภัยประจำไตรมาสที่สองของปียังคงมีภัยออนไลน์อย่างต่อเนื่อง รายงานสรุปถึงเหตุการณ์ความปลอดภัยที่สำคัญ และสถิติการโจมตีในชาติต่างๆ

เหตุการณ์ที่สำคัญ เช่น การแฮกข้อมูลจาก eBay ทำให้ข้อมูลลูกค้าถึง 145 ล้านคนต้องตกอยู่ในมือแฮกเกอร์, Code Spaces ที่ถูกทำลายข้อมูลทั้งหมดจนต้องปิดบริษัท, หรือ Feedly ที่ถูกโจมตีจนให้บริการไม่ได้

ส่วนภัยแอพเรียกค่าไถ่ข้อมูลเหยื่อ รายงานระบุว่าจำนวนเหยื่อมีน้อยลงเหลือประมาณ 9,000 รายในไตรมาสนี้ จากไตรมาสที่แล้ว 11,000 ราย ข่าวร้ายคือแอพเรียกค่าไถ่เหล่านี้มีพัฒนาการที่ดีขึ้นมาก กระบวนการเข้ารหัสหนาแน่นขึ้น