เมื่อช่วงปี 2010 ในสมัยที่เฟซบุ๊กยังไม่เข้ารหัสทั้งหมดเช่นทุกวันนี้แอพพลิเคชั่นหนึ่งที่ดังขึ้นมาคือ Firesheep ที่สามารถดักฟังข้อความของผู้ใช้บน Wi-Fi ที่ไม่เข้ารหัสได้ จนกระทั่งเฟซบุ๊กยอมเข้ารหัสบริการทั้งหมดในปี 2011 ตอนนี้บริษัทลูกของเฟซบุ๊ก คือ Instagram ก็โดนนักวิจัยสร้างแอพพลิเคชั่นแบบเดียวกันแล้ว โดยเตรียมสร้างเป็นแอพพลิเคชั่นที่ชื่อว่า Instasheep

Instagram เข้ารหัสเป็น HTTPS "เฉพาะ" เมื่อกำลังดูภาพที่ส่งตรงถึงตัวเรา แต่กลับไม่เข้ารหัสเมื่อเราดูไทม์ไลน์ตามปกติ แต่การเข้าถึงภาพที่ส่งตรงกลับใช้ cookie ชุดเดียวกับการดูไทม์ไลน์ที่ไม่เข้ารหัส

แอพพลิเคชันช่วยจำรหัสผ่าน 1Password รองรับความสามารถ App Extension ใน iOS 8 ทำให้ตัว 1Password สามารถช่วยเติมรหัสผ่านโดยไม่ต้องสลับแอพพลิเคชันแล้ว

เมื่อสั่งล็อกอินด้วย 1Password ผู้ใช้จะต้องยืนยันตัวตนด้วยลายนิ้วมืออีกครั้ง ตัว 1Password จึงมาเติมชื่อผู้ใช้และรหัสผ่านให้

LastPass บนแอนดรอยด์มีความสามารถแบบเดียวกันนี้ตั้งแต่เมื่อเดือนมีนาคมที่ผ่านมา

ที่มา - AgileBits

BlackBerry เข้าซื้อ Secusmart ผู้เชี่ยวชาญด้านการเข้ารหัสข้อมูลบนโทรศัพท์มือถือทั้งเสียงและข้อมูล โดยเทคโนโลยีการเข้ารหัสของ Secusmart ผ่านมาตรฐาน NATA สำหรับการส่งข้อมูลสำคัญ

แนวทางของ BlackBerry ช่วงหลังน่าจะเปลี่ยนไปจากความพยายามบุกตลาดผู้ใช้ทั่วไป กลับไปมุ่งตลาดองค์กรและรัฐบาลที่ต้องการความปลอดภัยสูง

ความที่ Secusmart เป็นบริษัทเยอรมัน และ BlackBerry เองเป็นบริษัทแคนาดา น่าจะช่วยให้ BlackBerry สามารถบุกตลาดองค์กรและรัฐบาลที่กังวลกับการดักฟังของ NSA ได้ เมื่อวานนี้เองรัฐบาลเยอรมันก็เพิ่งประกาศซื้อ BlackBerry พร้อม Secusmart อีกสองหมื่นเครื่อง

Redmi Note ถือได้ว่าเป็นผลิตภัณฑ์หนึ่งของ Xiaomi ที่ขายค่อนข้างดีและมีกระแสตอบรับที่ดีพอสมควร อย่างที่ขายในสิงคโปร์ หมดในเวลาเพียง 42 วินาทีเท่านั้น แต่ล่าสุด Redmi Note รวมไปถึง Xiaomi อาจมีปัญหาเข้าให้แล้ว เมื่อมีผู้ใช้พบว่า Redmi Note ได้แอบส่งรูปถ่ายและข้อความในเครื่องกลับไปยังเซิร์ฟเวอร์ในประเทศจีน

บริษัท Bluebox Security รายงานช่องโหว่ใหม่ในมือถือที่ใช้ระบบปฏิบัติการ Android ตั้งแต่รุ่น 2.1 ขึ้นไป ในขบวนการตรวจสอบลายเซ็นดิจิทัล ช่องโหว่ดังกล่าวทำให้แฮกเกอร์สามารถทำให้แอพโทรจัน ซึ่งอาจจะเป็นแอพที่ดูใสซื่อบริสุทธิ์เวลาติดตั้งไม่ขอสิทธิ์ใดเลย สามารถหลอกตัวระบบปฏิบัติการว่าเป็นแอพจากผู้ผลิตรายอื่น ทำให้แอพโทรจันสามารถใช้สิทธิ์ได้เทียบเท่าแอพที่ถูกแอบอ้างทุกประการ

ผู้ใช้งานเว็บไซต์ Pantip แจ้งว่าเมื่อใช้เบราว์เซอร์ของโทรศัพท์มือถือ Samsung Galaxy Note เข้าไปยังหน้าเว็บไซต์แชร์ไฟล์แห่งหนึ่ง แล้วพบหน้าจอแสดงข้อความแจ้งเตือนว่าเบราว์เซอร์ที่ใช้งานอยู่ทำงานช้าและไม่น่าเชื่อถือ และแนะนำให้ติดตั้งแอพพลิเคชัน Baidu Browser จาก Google Play แทน หน้าจอที่ปรากฎนี้แสดงแค่ปุ่ม OK อย่างเดียว ไม่สามารถยกเลิกได้ เมื่อกดแล้วจะพาผู้ใช้ไปยังหน้าดาวน์โหลดแอพพลิเคชัน Baidu Browser จาก Google Play ทันที

ทาง Support ของ Samsung ได้เข้ามายืนยันว่าข้อความที่แจ้งว่าเบราว์เซอร์ของ Galaxy Note ไม่น่าเชื่อถือนั้นไม่เป็นความจริง คาดว่าข้อความดังกล่าวน่าจะเป็นเพียงโฆษณารูปแบบหนึ่งเท่านั้น แต่ก็ได้แนะนำให้ผู้ใช้สแกนไวรัสในเครื่องเพื่อความสบายใจ

กูเกิลประกาศไลบรารีที่แยกจาก OpenSSL เป็น BoringSSL มาตั้งแต่กลางปี และพยายามนำมาใช้งานกับ Chrome เป็นโครงการแรกที่ใช้งานนอกกูเกิล จนตอนนี้แพตช์ล่าสุดก็เป็นครั้งที่สามแล้วที่กูเกิลเตรียมจะเปลี่ยนมาใช้ BoringSSL

กระบวนการเปลี่ยนไลบรารี SSL เป็นกระบวนการที่ซับซ้อน มีโครงการภายในที่ได้รับผลกระทบเป็นจำนวนมาก การแพตช์สองรอบก่อนหน้านี้ล้มเหลวเพราะกระทบกับ WebRTC และ WebView

การแพตช์ครั้งล่าสุดมีคอมเมนต์แนบท้ายว่าหากมีใครได้รับผลกระทบให้ถอนแพตช์นี้ออกได้เลยแล้วค่อยคุยกันทีหลัง

ปลั๊กอิน HTTPS Everywhere ช่วยให้เบราว์เซอร์เรียกใช้งาน HTTPS หากเซิร์ฟเวอร์รองรับก่อน HTTP เสมอ ตอนนี้ทาง EFF ผู้ดูแลโครงการก็ประกาศเพิ่มปุ่ม HTTP Nowhere เพื่อเปลี่ยนโหมดการทำงานจากการเรียกหน้าเว็บ HTTPS ก่อนเสมอ มาเป็นการอนุญาตให้เข้าเว็บ HTTPS เท่านั้น

ก่อนหน้านี้มีนักพัฒนานอก EFF คือ Chris Wilper พัฒนาปลั๊กอินชื่อ HTTP Nowhere อยู่ก่อนแล้ว แต่เมื่อทาง EFF เพิ่มฟีเจอร์นี้เอง ผู้ใช้ปลั๊กอิน HTTPS Everywhere ก็จะได้รับความสามารถนี้เมื่ออัพเดตอย่างเป็นทางการครับ

ตอนนี้ปลั๊กอินยังไม่พร้อมใช้งาน เวอร์ชั่นล่าสุดยังมีปัญหากับ Tor Browser อยู่

เดลล์เขียนบทความแนะนำ 5 แนวทางการใช้อุปกรณ์โมบายโดยเฉพาะอุปกรณ์ของพนักงานของที่ใช้งานแบบ BYOD ให้ปลอดภัย ได้แก่

ทางสำนักงานส่งเสริมอุตสาหกรรมซอฟต์แวร์แห่งชาติ (องค์การมหาชน) หรือที่เรารู้จักกันในชื่อ SIPA จัดอบรมความมั่นคงปลอดภัยของเครือข่ายไร้สายและเว็บแอพพลิเคชั่นฟรี ในช่วงวันที่ 2-5 และ 9-12 กันยายนที่จะถึงนี้

เนื้อหาการอบรมแบ่งออกเป็นสองช่วงแยกกันคือ เครือข่ายและเครือข่ายไร้สาย ทดสอบการเจาะระบบ การใช้ซอฟต์แวร์สำรวจเครือข่าย ช่วงที่สองเป็นการอบรมความปลอดภัยบนเว็บ โดยยึดตามแนวทางของ OWASP

ผมสำรวจดูไม่เจอข้อมูลว่ามีการจำกัดที่นั่งหรือไม่นะครับ แต่ตอนนี้น่าจะยังลงทะเบียนทัน แต่จำกัดว่าต้องเป็นผู้ดูแลเครือข่ายและเว็บไซต์ของหน่วยงาน ถ้าใครไปร่วมได้ก็น่าหาโอกาสไปร่วมอบรมกัน

ที่มา - SIPA-WWS

อินเทลเปิดตัว SSD สำหรับกลุ่มผู้ใช้ทั่วไปซีรีย์ใหม่ Pro 2500 ที่มาพร้อมกับการเข้ารหัสไดร์ฟในตัว โดย SSD Pro 2500 จะมาในสองขนาดหลักๆ คือ 2.5" ที่ความจุ 120GB-480GB และ M.2 ที่ความจุ 180GB, 240GB และ 360GB ความเร็วอ่านเขียนอยู่ที่ 540MB/s 48,000 IOPS และ 490MB/s 80,000 IOPS ตามลำดับ

สำหรับการเข้ารหัสในตัวของ SSD Pro 2500 นั้นใช้แบบ AES-256 และรองรับการจัดการแบบรีโมตโดยทีมไอทีของบริษัท ผ่าน Intel SSD Pro Administrator Tool

สำหรับค่าตัวของ SSD Pro 2500 เปิดราคาเริ่มต้นที่ 95 เหรียญ (ประมาณ 3,000 บาท) สำหรับรุ่น 120GB และแพงสุด 305 เหรียญสำหรับรุ่น 480GB (ประมาณ 9,700 บาท)

รายงาน 3 เซอร์วิสบน iOS ที่สามารถอ่านข้อมูลส่วนตัวของผู้ใช้ได้จำนวนมาก ทำให้แอปเปิลต้องออกมายืนยันว่าไม่ได้เกี่ยวข้องกับการทำเครื่องมือดักฟังให้หน่วยงานรัฐบาล เมื่อวานนี้แอปเปิลก็เพิ่มคำอธิบายของเซอร์วิสทั้งสามตัวลงหน้าเว็บซัพพอร์ตของ iOS แล้ว

คำอธิบายของแอปเปิลต่อทั้ง 3 เซอร์วิสได้แก่

ข่าวเซอร์วิสลับบน iOS ที่สามารถดักฟังข้อมูล และส่งข้อมูลดิบออกมาจากตัวเครื่อง เป็นข่าวในวงกว้างช่วงหลายวันมานี้ ตอนนี้แอปเปิลก็ออกแถลงการณ์ชี้แจงออกมาแล้ว

แอปเปิลระบุว่าได้ออกแบบให้เครื่องมือวิเคราะห์ปัญหาของ iOS ไม่กระทบต่อความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ เครื่องมือเหล่านี้มีไว้สำหรับฝ่ายไอทีขององค์กร, นักพัฒนา, และแอปเปิลเอง ที่จะเข้าตรวจสอบปัญหา บริการเหล่านี้จะรันได้ต่อเมื่อผู้ใช้ยินยอมที่จะเชื่อมต่อกับคอมพิวเตอร์ และข้อมูลไม่เคยถูกส่งออกมาจากเครื่องโดยไม่ได้รับความยินยอมของผู้ใช้ ท้ายแถลงการณ์แอปเปิลย้ำว่าไม่เคยทำงานกับหน่วยงานรัฐบาลใดๆ เพื่อวางประตูหลังในสินค้าและบริการ

Dan Petro นักวิจัยด้านความปลอดภัยได้ทดลองสร้างอุปกรณ์ทะลวงช่องโหว่ Chromecast จากบอร์ด Raspberry-Pi ที่จะช่วยให้เขาสามารถแอบเปิดวิดีโออะไรก็ได้ดังใจนึกบนจอทีวีที่เสียบใช้งานอุปกรณ์ดังกล่าวอยู่ โดยมันมีชื่อว่า Rickmote Controller (เดาว่าเขาได้รับแรงบันดาลใจการตั้งชื่ออุปกรณ์จากวิดีโอที่เค้าเปิดในการสาธิตแน่นอน)

เมื่อต้นปีที่ผ่านมา มีรายงานวิเคราะห์การทำงานของ iOS แล้วพบบริการผ่านพอร์ต USB ที่ไม่มีรายงานก่อนหน้านี้ตีพิมพ์ลงในวารสาร Digital Investigation แต่ไม่ได้รับความสนใจมากนัก ล่าสุดนักวิจัยคือ Jonathan Zdziarski อัพโหลดสไลด์ประกอบการบรรยายทำให้ผู้คนเริ่มให้ความสนใจ

เมื่อเราเชื่อมต่ออุปกรณ์ iOS กับคอมพิวเตอร์ จะมีการยืนยันตัวตนระหว่างกันผ่าน tcp พอร์ต 62078 บน USB และเมื่อยืนยันตัวตนได้แล้ว คอมพิวเตอร์จะสั่ง StartService เพื่อเปิดใช้บริการบนโทรศัพท์ เช่น สำรองข้อมูล หรือซิงก์ข้อความต่างๆ บริการเหล่านี้ส่วนมากมีการสำรวจไว้ในไลบรารี libimobiledevice เพื่อใช้สร้างซอฟต์แวร์มาทดแทน iTunes

กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี หรือปอท. โพส "ข่าวรายงานพิเศษ" ระบุรายละเอียดของแฮกเกอร์สามคนที่เคยถูกตามจับตั้งแต่ปี 2550

รายแรก นายทวีทรัพย์ เป็นแฮกเกอร์ที่แฮกเข้าไปแก้ระบบบัตรเติมเงินของ AIS เพื่อนำไปขายสร้างความเสียหายกว่า 50 ล้านบาท โดยก่อนหน้านั้นได้เจาะระบบเติมเงินของทรู และระบบธนาคารอีกหลายแห่ง

รายที่สองนายดุสิต หรือ DEKROCK777 วางมัลแวร์เพื่อสั่งถอนเงินจากธนาคารกรุงไทยผ่านบริการ KTB Online ถูกจับในปี 2551

รายที่สามไม่ระบุชื่อ ระบุเพียงว่าถูกจับเพราะแฮกบริการธนาคารออนไลน์ของธนาคารไทยพาณิชย์รวม 39 ครั้ง ได้เงินไป 103,050 บาท จนถูกจับเมื่อปี 2554

เมื่อไม่นานมานี้นาย George Hotz หรือ geohot เพิ่งจะกลับมาพร้อมกับเครื่องมือ root ครอบจักวาล (Towelroot) ไปหยกๆ วันนี้เขากลับมาอีกครั้งในฐานะสมาชิกของทีม Project Zero (ซึ่งเป็นโครงการยามว่างของพนักงาน Google โดยมีเป้าหมายคือพัฒนาความปลอดภัยบนโลกอินเทอเน็ต โดยหลังจากเกิดวิกฤตการ Heartbleed ทาง Google จึงจริงจังกับโครงการนี้มากขึ้น และได้มีการจ้างนักเจาะระบบเก่งๆเข้ามาร่วมทีมอีกด้วย)

หลังจากแอปเปิลเริ่มทดลองให้ใช้ระบบล็อกอินสองชั้น (two-step verification) สำหรับ Apple ID และ iCloud ในบางประเทศไปเมื่อปีที่แล้ว (ข่าวเก่า) ตอนนี้หลายประเทศทั่วโลก รวมถึงประเทศไทยก็จะสามารถล็อกอินได้อย่างปลอดภัยมากขึ้นด้วยแล้ว

โดยผู้ใช้สามารถเปิดใช้ได้ทันทีบนหน้า My Apple ID ในเมนู Password and Security

หลังจากที่เรากรอกรหัสผ่านตามปกติเรียบร้อยแล้ว ระบบล็อกอินสองชั้นของแอปเปิล จะส่งรหัส 4 ตัวมาทาง SMS หรือ Find My iPhone ให้อุปกรณ์ที่เรายืนยันแล้ว (trusted device) เพื่อนำไปกรอก การล็อกอินจึงจะเสร็จสมบูรณ์

สำหรับรายละเอียดการใช้งาน และรายชื่อประเทศที่รองรับดูได้ในที่มา

ออราเคิลปล่อยแพตช์ Critical Patch Update ประจำไตรมาสที่สองของปี รวม 113 ชุด เป็นของซอฟต์แวร์ต่างๆ ได้แก่ Oracle Fusion Middleware, Java, MySQL, Hyperion, Oracle VM, Oracle Linux, และ Oracle Database

เท่าที่ผมสำรวจดูซอฟต์แวร์ที่ต้องเร่งทดสอบและแพตช์ด่วนคือ Oracle Database ที่มีแพตช์ระดับ 9.0 หนึ่งแพตช์ และ Java ที่มีแพตช์ระดับ 10.0 หนึ่งแพตช์ และมากกว่า 9.0 อีก 7 แพตช์

รีบทดสอบและอัพเดตกันนะครับ

ที่มา - Oracle, The Register

จากการเปิดโปงเรื่องการสอดแนมข้อมูลโดย NSA ของสหรัฐอเมริกาที่ทำให้นานาประเทศตื่นตัวทั่วโลก ทำให้เยอรมนีซึ่งเป็นหนึ่งในประเทศที่มีส่วนเกี่ยวข้องในฐานะที่เป็นผู้ถูกกระทำ (มีรายงานว่า NSA ดักฟังข้อมูลจากโทรศัพท์ของ Angela Merkel ผู้นำประเทศของเยอรมนีด้วย) ก็พยายามเฟ้นหามาตรการมาป้องกันการรั่วไหลของข้อมูลสำคัญ ซึ่งหนึ่งในนั้นคือการผันกลับมาใช้ระบบเอกสารแบบแอนะล็อกด้วยการใช้เครื่องพิมพ์ดีด แทนการใช้คอมพิวเตอร์จัดการข้อมูลในรูปแบบไฟล์ดิจิทัล

Google Project Zero มีรายงานออกมาเมื่อสัปดาห์ที่แล้วว่ารายงานบั๊กจำนวนมากไปยังซอฟต์แวร์ของผู้ผลิตรายอื่นๆ ทั้งแอปเปิลและไมโครซอฟท์ ก่อนหน้านี้มีแต่ชื่อโครงการตอนรายงานบั๊กเท่านั้น ไม่มีการเปิดตัวโครงการออกมา ตอนนี้กูเกิลก็เปิดตัวโครงการนี้เป็นทางการแล้ว

Chris Evans ผู้ดูแลนักวิจัย (ชื่อตำแหน่งจริงคือ Researcher Herder) ระบุว่าก่อนหน้านี้พนักงานของกูเกิลจำนวนหนึ่งที่สนใจความปลอดภัยทำวิจัยในเวลาว่างของตัวเองจนพบช่องโหว่สำคัญอย่าง Heartbleed จนตอนนี้ทางกูเกิลเห็นความสำคัญจึงตั้งโครงการเป็นทางการ มีพนักงานทำงานเต็มเวลา

สหรัฐฯ ยังถูกคุกคามจากการโจรกรรมข้อมูลภาครัฐจากเหล่าแฮกเกอร์อยู่เรื่อยๆ และเปลี่ยนวิธีการอย่างต่อเนื่อง จากความพยายามเจาะเข้าไปยังระบบตรงๆ ล่าสุดเจ้าหน้าที่อาวุโสของทบวงความมั่นคงแห่งชาติสหรัฐฯ บอกว่าแฮกเกอร์เริ่มเบนเป้าไปหาข้อมูลส่วนตัวของเจ้าหน้าที่รัฐแทน

โครงการ LibreSSL ที่แยกออกมาจาก OpenSSL และดำเนินการโดยมูลนิธิ OpenBSD จากเดิมรองรับเฉพาะ OpenBSD เท่านั้น ตอนนี้ก็เริ่มซัพพอร์ตระบบปฎิบัติการอื่นๆ โดยชุดแรกที่ซัพพอร์ตได้แก่ ลินุกซ์, Solaris, และ OS X

OpenSSL เดิมซัพพอร์ตแพลตฟอร์มจำนวนมาก รวมถึงระบบปฎิบัติการที่ไม่ค่อยได้รับความนิยมแล้ว เช่น OS/2, VMS, NetWare หรือกระทั่ง DOS การรองรับแพลตฟอร์มเก่าๆ จำนวนมากทำให้มีโค้ดที่ต้องแฮกอยู่มากมายในโครงการเป็นต้นเหตุของบั๊กหลายตัว

นอกจากปรับแนวทางการทำงานมาเป็นการซัพพอร์ตเฉพาะระบบปฎิบัติการยุคใหม่ LibreSSL ยังปรับสไตล์การเขียนโค้ดจากเดิมที่ไม่มีการควบคุมมากนัก มาเป็น Kernel Normal Form (KNF)

บริษัทความปลอดภัย Avast ลองซื้อมือถือ Android มือสองจำนวน 20 เครื่องมาจาก eBay และพบว่ามือถือเหล่านี้แม้ถูก wipe ล้างข้อมูลออกจากเครื่อง (หรือบางคนเรียก factory reset) กลับยังสามารถกู้คืนข้อมูลได้ง่ายๆ ด้วยซอฟต์แวร์กู้คืนข้อมูลทั่วไปในท้องตลาด (เพราะเป็นการลบข้อมูลที่ระดับแอพพลิเคชัน ไม่ใช่ระดับดิสก์) ทำให้เจ้าของมือถือที่ขายต่อเหล่านี้อาจมีปัญหาเรื่องข้อมูลส่วนตัวหลุดได้

Avast แนะนำให้ผู้ที่สนใจเรื่องข้อมูลส่วนตัวติดตั้งแอพ Avast Anti-Theft ที่มีฟีเจอร์เขียนข้อมูลทับขณะล้างเครื่อง (thorough wipe) ซึ่งจะช่วยให้ข้อมูลส่วนตัวของเราปลอดภัยมากขึ้น

กูเกิลประกาศเตือนว่าเมื่อสัปดาห์ที่ผ่านมา มีใบรับรองจาก National Informatics Centre (NIC) หน่วยงานของรัฐบาลอินเดียออกใบรับรองในโดเมนของกูเกิลมาหลายฉบับ

ใบรับรองของ NIC ได้รับการรับรองโดย India CCA อีกทีหนึ่ง ตัว India CCA นั้นอยู่ในรายชื่อของ root CA ที่ไมโครซอฟท์ยอมรับ ทำให้ใบรับรองโดเมนของกูเกิลที่ออกโดย NIC ใช้งานได้ใน Internet Explorer และ Chrome ขณะที่ไฟร์ฟอกซ์ใช้ API ของตัวเอง ส่วน Chrome นั้นล็อกใบรับรองของตัวเอง (public-key pinning) ไว้ในหลายโดเมนทำให้ไม่ได้รับผลกระทบจากปัญหานี้ ส่วนระบบปฎิบัติการอื่นๆ ไม่ได้รับผลกระทบแต่อย่างใด