แอปเปิลปล่อยอัพเดต OS X 10.9.4 มาเมื่อสัปดาห์ที่แล้วเพื่อแก้ปัญหาความปลอดภัยไปหลายจุด แต่ที่น่าสนใจคือการแพตช์ปัญหารอบนี้มีช่องโหว่ความปลอดภัย 21 จุด ในจำนวนนี้ 9 จุดพบโดย Ian Beer จาก Google Project Zero

Project Zero ยังมีผลงานการรายงานช่องโหว่ในซอฟต์แวร์ของแอปเปิลอีกหลายตัว เช่น launchd ของแอปเปิลที่ได้รับรายงานบั๊ก 4 ตัว ซึ่งมีผลกระทบทั้ง OS X และ iOS และช่องโหว่ของซอฟต์แวร์ป้องกันมัลแวร์ของไมโครซอฟท์ก็ได้รับรายงานจาก Tavis Ormandy จาก Project Zero เช่นกัน

กรมรักษาความปลอดภัยการคมนาคมของสหรัฐฯ (TSA) ได้ออกมาประกาศว่าต่อไปนี้ผู้โดยสารที่ขึ้นเครื่องบินจากสนามบินบางแห่งในต่างประเทศ เพื่อที่จะบินเข้ามาในสหรัฐ จะต้องสามารถแสดงให้เห็นได้ว่าอุปกรณ์อิเล็กทรอนิกส์ที่จะนำติดขึ้นเครื่องมาด้วยสามารถใช้งานได้จริง

นั่นหมายความว่า หากอุปกรณ์ดังกล่าวไม่สามารถเปิดใช้งานได้ เช่น แบตเตอรี่หมด ผู้โดยสารคนนั้นอาจจะต้องโดนตรวจเพิ่มเติม หรือไม่ก็ต้องไม่นำอุปกรณ์ดังกล่าวขึ้นเครื่องบิน

TSA อธิบายถึงเหตุผลของมาตรการรักษาความปลอดภัยใหม่นี้ว่า อุปกรณ์อย่างมือถือ แท็บเล็ต อาจจะถูกใช้เพื่อซ่อนวัตถุระเบิดได้ หลังจากที่เริ่มมีการตื่นตัวกันเรื่องกลุ่มกบฏ ISIS ในซีเรียและอิรัก

สื่อเยอรมัน ARD ได้มีการเผยแพร่รายงานการวิเคราะห์และซอร์สโค้ดที่เชื่อกันว่าเป็นโครงการ XKeyscore ของ NSA ที่บ่งชี้ถึงความพยายามในการที่จะสะกดรอยผู้ใช้งานเครือข่ายนิรนาม Tor และบริการเพิ่มความเป็นส่วนตัวอื่นๆ

XKeyscore เป็นหนึ่งในโครงการของ NSA ที่ถูกเปิดเผยโดย Edward Snowden มีจุดประสงค์เพื่อค้นหาและจัดเก็บกิจกรรมของเป้าหมายที่ต้องการสะกดรอย จากการวิเคราะห์ซอร์สโค้ดพบว่า XKeyscore ถูกพัฒนาด้วย C++ ส่วนหนึ่งและมีรายละเอียดการทำงาน, รูปแบบจัดเก็บข้อมูลหรือแม้กระทั่งเป้าหมายในการสะกดรอยอย่างชัดเจน

รายงานช่องโหว่ความปลอดภัยของ PHP จากบริษัท SektionEins GmbH แสดงช่องให้เห็นว่าฟังก์ชั่น phpinfo มีปัญหาความปลอดภัย ทำให้แฮกเกอร์ที่สามารถรันโค้ดได้ สามารถอ่านหน่วยความจำจุดใดๆ ก็ได้ในโปรเซส

ทีมงาน SektionEins สาธิตให้ดูด้วยการรันสคริปต์เพื่อดึงกุญแจ SSL จาก mod_ssl ที่รันภายใต้โปรเซส Apache ตัวเดียวกัน ทำให้แฮกเกอร์ที่รันสคริปต์ในเครื่องได้สามารถดึงกุญแจ SSL ออกมาได้ทันที แม้จะเป็นเพียงแอพพลิเคชั่นหนึ่งที่ไม่มีสิทธิจัดการเซิร์ฟเวอร์ก็ตามที

No-IP แจ้งว่าสามารถขอเข้าควบคุมโดเมนที่ถูกไมโครซอฟท์ยึดไปก่อนหน้านี้ มาได้ทั้งหมด 18 โดเมน จากโดเมนที่ไมโครซอฟท์ยึดไป 22 โดเมน (บางข่าวระบุว่า 23 โดเมน) อย่างไรก็ดีโดเมนในกลุ่ม .org ทั้งหมดยังอยู่ระหว่างกระบวนการขอคืน ทำให้โดเมน no-ip.org ที่มีผู้ใช้มากที่สุดยังไม่ได้รับคืนมาด้วย

ไมโครซอฟท์ยอมรับว่าแม้จะไม่ได้ตั้งใจทำให้ผู้ใช้บริการทั่วไปเดือดร้อนแต่ก็มีผู้ใช้จำนวนหนึ่งที่ใช้บริการไม่ได้ไปด้วย

ซิสโก้ออกประกาศแจ้งเตือนลูกค้าว่าทางบริษัทได้ใส่กุญแจ SSH ไว้ใน Cisco Unified Communications Domain Manager หรือ Unified CDM รุ่น 4.4.2 หรือเก่ากว่า สำหรับให้ซัพพอร์ตของทางซิสโก้รีโมตเข้าไปแก้ไขปัญหาให้ลูกค้า

ปกติแล้วการล็อกอินเข้า SSH ผ่านกุญแจดิจิตอลนั้นต้องวางกุญแจสาธารณะ (ซึ่งมักตั้งชื่อไฟล์ว่า id_rsa.pub) ไว้ในเครื่อง แต่ทางซิสโก้กลับวางทั้งกุญแจสาธารณะและกุญแจลับไว้คู่กัน ซ้ำร้าย ทุกเครื่องยังใช้กุญแจเดียวกัน ทำให้ผู้ที่ติดตั้ง Unified CDM นี้สามารถดึงกุญแจลับเพื่อไปล็อกอินเครื่องอื่นๆ ได้ทั้งหมด

ทางซิสโก้ออกแพตช์สำหรับปัญหานี้แล้ว ผู้ดูแลระบบควรรีบอัพเดตโดยด่วนครับ

ไมโครซอฟท์ประกาศมาตรการด้านความปลอดภัยและการเข้ารหัสข้อมูลเพิ่มเติม

ทีมนักวิจัยความปลอดภัยจาก IBM ค้นพบช่องโหว่ของ Android ในส่วนที่เกี่ยวข้องกับการเก็บคีย์ (Android KeyStore service)

Android KeyStore เป็นเซอร์วิสของระบบปฏิบัติการ Android ให้แอพสามารถเก็บข้อมูลสำคัญ (เช่น คีย์ที่ใช้ถอดรหัสข้อมูล) ไว้ในพื้นที่ปลอดภัยของระบบ อย่างไรก็ตาม ทีมวิจัยพบบั๊กในโค้ดของ KeyStore ที่อาจถูกจู่โจมด้วยวิธี buffer overflow ได้

กูเกิลรับทราบปัญหานี้มานานแล้ว แต่กลับแพตช์แก้บั๊กนี้ให้เฉพาะ Android 4.4 KitKat เท่านั้น ในขณะที่ Android 4.3 ลงไปยังมีความเสี่ยงจากบั๊กนี้อยู่

วันนี้ทางกสทช. เปิดตัวแอพพลิเคชั่น "2 แชะ" (Google Play) เพื่อสนับสนุนให้มีการลงทะเบียนซิมการ์ดกันมากขึ้น จากปัญหาการใช้ซิมไปก่ออาชญากรรมหลายรูปแบบ และซิมเติมเงิน 90% ยังคงไม่ได้ลงทะเบียน

แอพพลิเคชั่นตัวนี้จะเปิดให้ตัวแทนจำหน่ายซิมโทรศัพท์เข้าใช้งานเท่านั้น เพื่อให้ตัวแทนจำหน่ายเหล่านี้สามารถอำนวยความสะดวกลูกค้าในการลงทะเบียนได้ โดยก่อนหน้านี้การลงทะเบียนต้องส่งสำเนาบัตรประชาชนไปกับผู้จำหน่ายซิมการ์ด แต่สำหรับ "2 แชะ" จะส่งข้อมูลตรงกลับไปยังเซิร์ฟเวอร์ของผู้ให้บริการโทรศัพท์มือถือ

บริษัท Duo Security Research รายงานช่องโหว่ของระบบยืนยันตัวตนด้วยปัจจัยที่สอง (2-factor authentication) ของ PayPal ทำให้แอพพลิเคชั่น PayPal บนโทรศัพท์มือถือเข้าใจว่าได้รับโค้ดยืนยันถูกต้องแล้วจนกระทั่งสามารถโอนเงินได้สำเร็จ

ปัญหาของระบบ 2-factor ของทาง PayPal คือทางบริษัทไม่ได้ยืนยันตัวตนของผู้ใช้ หรือยืนยันการสั่งโอนเงินด้วยการยืนยันด้วยปัจจัยที่สองเป็นโค้ดจาก SMS จริงๆ แต่การเปิดบริการ 2-factor ของ PayPal คือการเพิ่มข้อมูลผู้ใช้ว่าผู้ใช้คนใดต้องยืนยันตัวตนด้วยปัจจัยที่สองบ้าง จากนั้นเป็นหน้าที่ของตัวแอพพลิเคชั่นเองที่จะล็อกหน้าจอแอพพลิเคชั่นแล้วถามปัจจัยที่สองต่อไป

ไมโครซอฟท์เปิดตัว Interflow แพลตฟอร์มสำหรับแลกเปลี่ยนสารสนเทศด้านความปลอดภัย (threat information exchange platform) สำหรับนักวิเคราะห์ นักวิจัย และผู้เชี่ยวชาญด้านความปลอดภัยทั่วโลก

สารสนเทศที่วิ่งอยู่ใน Interflow จะเป็นข้อมูลอัตโนมัติที่สร้างขึ้นให้คอมพิวเตอร์อ่าน (machine-readable) ตามมาตรฐานเปิดในวงการความปลอดภัยอย่าง STIX, TAXII, CybOX โดยข้อมูลเหล่านี้จะแลกเปลี่ยนกับแบบเรียลไทม์ เพื่อให้นักวิเคราะห์-วิจัยด้านความปลอดภัยสามารถอ่านค่าและแปลผล เพื่อตรวจจับภัยคุกคามไซเบอร์ได้เร็วกว่าเดิม

Interflow รันอยู่บน Microsoft Azure และตอนนี้เปิดให้นักวิจัยบางส่วนใช้งานแบบ private preview แล้ว

ความเชื่อของผู้ใช้สมาร์ทโฟนหลายคนในปัจจุบันเรื่องความปลอดภัยคือคิดว่า iOS นั้นปลอดภัยกว่าคู่แข่งอย่าง Android อยู่มาก แต่จากผลการทดสอบของแลปเพื่อความปลอดภัยอย่าง Marble Security Labs พบว่า iOS เองก็มีปัญหาเรื่องความปลอดภัยเช่นกัน

Marble Security Labs ระบุว่าทั้งได้ทดสอบโจมตีระบบปฏิบัติการทั้งคู่จำนวน 14 หมวดหมู่ ตั้งแต่การ phishing เพื่อดักข้อมูลในส่วนต่างๆ โจมตีผ่านช่องว่าง SSL หรือที่โดดเด่นบน iOS อย่างการฝังโปรไฟล์เข้าไปเพื่อส่งข้อมูลในตัวเครื่องกลับไปยังผู้โจมตี เปรียบเทียบกันแล้วทั้งสองระบบปฏิบัติการยังคงมีความเสี่ยงต่อการถูกดักข้อมูล โดยเฉพาะอย่างยิ่งในการใช้งานอุปกรณ์ดังกล่าวในองค์กรที่กำลังได้รับความสนใจมากขึ้นในปัจจุบัน

เมื่อเดือนเมษายนที่ผ่านมามีการเปิดเผยบั๊ก Heartbleed ที่นับว่าร้ายแรงที่สุดเท่าที่เคยมีมา เพราะบั๊กนี้ทำให้แฮกเกอร์สามารถเจาะเอากุญแจลับออกไปจากหน่วยความจำของเซิร์ฟเวอร์ได้โดยตรง ทำให้มีความเสี่ยงทั้งการเชื่อมต่อในอนาคต และการเชื่อมต่อในอดีตหากมีคนดักฟังเก็บข้อมูลเอาไว้และไม่ได้เชื่อมต่อแบบรับประกันความเป็นความลับในอนาคต

ซิสโก้ปล่อยไลบรารี Flexible Naor and Reingold หรือ FNR รูปแบบการเข้ารหัสสำหรับข้อมูลขนาดเล็กมากๆ เช่น หมายเลขไอพี, หมายเลข MAC, หรือหมายเลขบัตรเครดิต

ข้อเสียของกระบวนการเข้ารหัสทุกวันนี้คือมาตรฐานส่วนมากมักกำหนดขนาดบล็อคข้อมูลเอาไว้ตายตัว เช่น AES นั้นข้อมูลที่ใช้เข้ารหัสต้องมีขนาด 128/192/256 บิต หากขนาดข้อมูลไม่ลงตัวตามขนาดบล็อคก็ต้องเติมค่าว่างให้เต็มก่อนเข้ารหัส

libfnr สามารถเข้ารหัสข้อมูลเหล่านี้ได้โดยไม่เพิ่มขนาดให้ข้อมูลแม้แต่น้อย คุณสมบัตินี้สำคัญมากในกรณีที่เราต้องส่งข้อมูลไปยังระบบอื่นๆ ที่ล็อกขนาดข้อมูล เช่น ซอฟต์แวร์เก่าๆ ที่หลายครั้งกำหนดรูปแบบการส่งข้อมูลเป็น fixed-length

หลังจากปัญหา Heartbleed ใน OpenSSL สร้างความเสียหายเป็นวงกว้าง ตอนนี้กูเกิลก็เปิดโครงการ BoringSSL ของตัวเองออกสู่สาธารณะแล้ว

ก่อนหน้านี้กูเกิลมีแพตซ์ของ OpenSSL ของตัวเองมาเสมอ แต่อาศัยการดึงโค้ดจาก OpenSSL มาแพตซ์เป็นครั้งๆ ไป จนตอนนี้มีแพตซ์ของกูเกิลเองมากกว่า 70 ชุดที่ต้องรวมเข้ากับโครงการ OpenSSL ทุกครั้งที่มีเวอร์ชั่นใหม่ ตอนนี้กูเกิลตัดสินใจที่จะแยกโครงการออกมาเป็นของตัวเองเพื่อความสะดวกในการจัดการ

มีรายงานถึงช่องโหว่ของเมนบอร์ด Supermicro ที่มักเป็นเมนบอร์ดสำหรับเซิร์ฟเวอร์ประกอบ โดยมีเว็บเซิร์ฟเวอร์รันบนไบออส IPMI ที่พอร์ต 49152 และวางไฟล์ IPMIdevicedesc.xml ที่เก็บข้อมูลคอนฟิกรวมถึงรหัสผ่านเอาไว้ให้ดาวน์โหลดออกไปได้

ช่องโหว่นี้ทำให้หากแฮกเกอร์สามารถเข้าถึงเครือข่ายที่ IPMI ทำงานอยู่ได้ก็จะสามารถเข้าควบคุมเครื่องได้ทั้งหมดทันที

ระหว่างนี้ยังไม่มีแพตช์มาจากทาง Supermicro โดยทาง CARISIRT หน่วยแจ้งเตือนปัญหาความปลอดภัยของผู้ให้บริการคลาวด์ CARI ระบุว่าได้ติดต่อกับทาง Supermicro มาแล้วตั้งแต่ปลายปีที่แล้ว

Yo แอพแชตดาวรุ่งที่กำลังมาแรง โดน "ลองของ" เรียบร้อยโดยนักศึกษาจากมหาวิทยาลัย Georgia Tech แถมผู้แฮ็กยังระบุว่าสามารถดูหมายเลขโทรศัพท์ของผู้ใช้ Yo ที่กรอกข้อมูลไว้กับระบบได้ด้วย

นอกจากนี้ยังมีผู้ใช้อีกคนที่โพสต์วิดีโอการใช้ Yo ด้วยเสียงข้อความแบบอื่น ซึ่งก็แปลว่า Yo โดนแฮ็กจากอีกทางนั่นเอง

Or Arbel ผู้ก่อตั้ง Yo ยอมรับว่าถูกแฮ็กจริง และทีมงานกำลังเร่งแก้ไขอย่างเต็มกำลัง

ที่มา - TechCrunch

กูเกิลเพิ่งออก Android 4.4.3 มาไม่นาน ล่าสุดมี 4.4.4 (KTU84P) ตามมาอีกแล้วครับ เวอร์ชันนี้เป็นการแก้ช่องโหว่ความปลอดภัยล่าสุดที่พบใน OpenSSL เพียงอย่างเดียว (คนละบั๊กกับ Heartbleed ที่แก้ไปแล้วใน 4.4.3)

ตอนนี้อุปกรณ์ที่ได้อัพเดต 4.4.4 แบบ OTA ยังมีแค่ตัวเดียวคือ Nexus 5 แต่กูเกิลก็ออก factory image ของ Nexus 4, Nexus 7 และ Nexus 10 มาแล้วเช่นกัน ใครใจร้อนอยากอัพเองก็สามารถดาวน์โหลดได้ตามลิงก์ที่มาครับ

ที่ผ่านมา LINE พยายามเน้นย้ำถึงเรื่องของความปลอดภัยในการใช้งาน โดยเฉพาะอย่างยิ่งกับข้อความต่างๆ ที่ถูกส่งผ่านแพลตฟอร์มของบริษัท แต่จากรายงานข่าวจากหนังสือพิมพ์ South China Morning Post ที่อ้างจากรายงานข่าวของสำนักข่าว AFP อีกที อาจจะทำให้ผู้ใช้ LINE เกิดอาการหนาวๆ ร้อนๆ เมื่อมีข่าวออกมาอย่างเป็นทางการว่า LINE อาจจะถูกเจาะระบบในช่วงปลายเดือนพฤษภาคมจนถึงช่วงต้นมิถุนายนที่ผ่านมา

บริษัทด้านความปลอดภัย G DATA จากเยอรมนี รายงานว่าค้นพบมือถือ Android จากจีนยี่ห้อ Star รุ่น N9500 ซึ่งขายผ่านร้านค้าปลีกในยุโรปในราคา 130-165 ยูโร (5,800-6,300 บาท) ฝังมัลแวร์ที่ปลอมตัวเป็นแอพ Google Play Store มาตั้งแต่แรก

มัลแวร์ตัวนี้ชื่อว่า Android.Trojan.Uupay.D จะส่งข้อมูลส่วนบุคคลของผู้ใช้กลับไปยังแฮ็กเกอร์ในเมืองจีน มันสามารถอ่านอีเมล, SMS รวมถึงดักสายโทรเข้า (intercept calls) นอกจากนี้ผู้ใช้ยังไม่สามารถลบมันออกได้ง่ายๆ เพราะเป็นส่วนหนึ่งของเฟิร์มแวร์

ในหน้ากระทู้ของ Evernote ได้ประกาศเตือนเกี่ยวกับระบบกระทู้ของ Evernote ถูกเจาะโดยแฮคเกอร์ที่ไม่ทราบกลุ่ม โดยส่งผลให้แฮคเกอร์สามารถเข้ามาดูข้อมูลในบัญชีผู้ใช้ได้บางส่วน แต่ทาง Evernote ให้การยืนยันว่าไม่มีข้อความส่วนตัวรั่วไหลอย่างแน่นอน รวมไปถึงเซิร์ฟเวอร์ของบริการแอพพลิเคชัน Evernote ที่ตั้งอยู่คนละส่วนกันก็ไม่ได้รับผลกระทบจากช่องโหว่นี้ด้วย

BlackBerry เคยโชว์แอพแชตปลอดภัยขั้นสุด BBM Protected เข้ารหัสโดยเปลี่ยนคีย์ทุกข้อความที่ส่ง ตั้งแต่เดือนที่แล้ว วันนี้มันออกตัวจริงแล้วครับ

BBM Protected คือแอพแชต BBM เวอร์ชันเพิ่มการรักษาความปลอดภัยเป็นพิเศษ เปลี่ยนคีย์การเข้ารหัสทุกข้อความ ดังนั้นต่อให้โดนเจาะคีย์ก็มีความลับรั่วไหลเพียงข้อความเดียว มันถูกออกแบบมาสำหรับการใช้งานในองค์กรเฉพาะทาง เช่น การเงิน กฎหมาย สาธารณสุข หน่วยงานรัฐบาล

เบื้องต้น BBM Protected สามารถใช้งานได้บน BBOS 6.0 หรือ BlackBerry 10 และฝั่งเซิร์ฟเวอร์องค์กรจำเป็นต้องใช้ BES 5 หรือ BES 10 เท่านั้น ส่วนในอนาคตจะมีเวอร์ชัน iOS/Android ตามมา

BBM Protected เปิดตัวไปตั้งแต่ต้นปีที่ผ่านมา วันนี้ก็เริ่มเปิดให้ดาวน์โหลดแล้วสำหรับคนที่ใช้ฮาร์ดแวร์ของ Blackberry เอง โดยรองรับในเครื่องแทบทุกรุ่น ตั้งแต่ Blackbery OS 6.0 ขึ้นไป

Mohamed Ramadan ผู้เชี่ยวชาญด้านความปลอดภัยได้ทำการเปิดเผยปัญหาด้านความปลอดภัยของ Dropbox ซึ่งกระทบต่อทั้งผู้ใช้งานบนเว็บและแอพบน iOS ในขณะที่ Dropbox ปฏิเสธว่าเป็น "ช่องโหว่" ด้านความปลอดภัย

ปัญหานี้คือการยินยอมให้มีการเอ็กซีคิวต์จาวาสคริปต์ที่ถูกฝังอยู่ในไฟล์ประเภท HTML และ SWF ได้เมื่อมีการอัพโหลดและแชร์ไปยังผู้ใช้งานอื่น การโจมตีอย่าง XSS มักจะใช้วิธีเดียวกันนี้ในการโจมตีและขโมยข้อมูลของผู้ใช้งาน

เมื่อเดือนที่แล้วมีงานวิจัยด้านวิทยาการเข้ารหัสลับชิ้นหนึ่งนำเสนอในงาน Eurocrypt 2014 เกี่ยวกับการยืนยันได้ว่าค่าพารามิเตอร์ของกระบวนการเข้ารหัสนั้นเป็นค่าที่สุ่มจริง (verifiably random) ผมได้อ่านงานวิจัยนี้แล้วพบว่าหนึ่งในทีมงานนั้นเป็นคนไทย คือคุณชิดชนก จึงเสถียรทรัพย์ ที่กำลังศึกษาในระดับปริญญาเอกที่มหาวิทยาลัย Eindhoven ในโอกาสนี้ผมจึงอีเมลไปติดต่อขอสัมภาษณ์ และก็ได้มาเป็นบทสัมภาษณ์ฉบับนี้กันครับ