หลังจากที่ WhatsApp บริการส่งข้อความที่มีจำนวนผู้ใช้สูงที่สุดในโลกได้ถูก Facebook ซื้อกิจการไปที่ราคาสูงลิ่ว ได้มีปรากฏการณ์ “ย้ายค่าย” โดยกลุ่มผู้ใช้งานที่เชื่อว่า Facebook ไม่สามารถที่จะให้บริการส่งข้อความโดยไม่อาจส่งผลกระทบกับความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ได้ โดยแอพที่ผู้ใช้เปลี่ยนมาใช้บริการมากจนลำดับความนิยมอยู่สูงกว่า WhatsApp บน App Store แล้ว คือ Telegram

หนังสือพิมพ์ The New York Times สัมภาษณ์ Brian Krebs เจ้าของบล็อก Krebs on Security ที่เป็นแหล่งข้อมูลหลักของการโจมตีครั้งสำคัญหลายครั้ง เขาไม่ได้มีวุฒิด้านคอมพิวเตอร์โดยตรง แต่ได้ทำงานในห้องจดหมายที่หนังสือพิมพ์ The Washington Post มาตั้งแต่ปี 1995 และเริ่มสนใจที่จะเขียนบทความด้านเทคโนโลยีมาตั้งแต่ปี 1998

จากนั้นในปี 2001 คอมพิวเตอร์ของเขาติดเวิร์มจึงเป็นจุดเริ่มต้นของความสนใจในโลกใต้ดินของคอมพิวเตอร์ เขาเริ่มมีบล็อกด้านความปลอดภัยของตัวเองบน Washington Post ในปี 2005 หลังจากนั้นเขาเริ่มเข้าไปอ่านฟอรั่มของแฮกเกอร์, เรียนเขียนโปรแกรม, และเรียนภาษารัสเซียด้วยตัวเอง

จากเหตุการณ์ที่ Apple ใส่โค้ด goto fail; เกินมา 1 บรรทัด จนทำให้เกิดช่องโหว่ในการตรวจสอบใบรับรอง SSL ซึ่งช่องโหว่ที่ว่านี้ถูกแก้ไปแล้วใน iOS 7.0.6 และ 6.1.6 แต่ OS X 10.9.x ยังไม่แก้ ในเบื้องต้นเชื่อกันว่าช่องโหว่นี้มีผลกระทบแค่ Safari ใน OS X แต่ล่าสุดพบว่าช่องโหว่นี้มีผลกระทบกับแอพพลิเคชันอื่นๆ ด้วย

หลังจากที่แอปเปิลนั้นได้ออกอัพเดต iOS 7.0.6 และ iOS 6.1.6 เพื่อแก้ไขข้อผิดพลาดเกี่ยวกับความปลอดภัยในการเชื่อมต่อแบบ SSL (ข่าวเก่า) ทำให้มีผู้พัฒนาหลายๆ คนได้ไปตรวจสอบโค้ดในส่วนนี้สำหรับ OS X Mavericks (10.9.x) และพบว่าข้อบกพร่องนี้ก็ปรากฏอยู่ใน Mavericks ด้วยเช่นเดียวกัน

ทำให้มีผู้พัฒนาชาวเยอรมันคนหนึ่งได้ทำการแพชต์ Mavericks ตัวนี้เพื่อแก้ไขข้อบกพร่องที่เกิดขึ้น โดยแพชต์ตัวนี้รองรับเฉพาะ Mavericks แบบ 64 บิตเท่านั้น หากนำไปใช้กับเครื่อง 32 บิต จะต้องทำการพอร์ตก่อน

สิ่งที่ผู้พัฒนาค้นพบก็คือโค้ดในไฟล์ sslKeyExchange.c นั่นเอง เพราะว่ามีคำสั่ง goto fail; ถึง 2 ครั้ง

จากปัญหา Apple ใส่โค้ด goto fail; เกินมา 1 บรรทัด ทำให้ไม่สามารถตรวจสอบใบรับรอง SSL ที่ผิดพลาดได้ ซึ่งปัญหาที่ว่าเกิดขึ้นทั้งใน iOS และ OS X นักวิจัยได้ตรวจสอบข้อมูลซอร์สโค้ดย้อนหลังแล้วพบว่าโค้ดเจ้าปัญหานี้ถูกใส่เข้ามาในระบบตั้งแต่ช่วงก่อนหน้าเดือนตุลาคม ปี 2013 ทำให้ iOS 6.1, iOS 7 และ OS X 10.9 ได้รับผลกระทบจากช่องโหว่ที่ว่านี้ (@thegrugq, @Pod2G)

หลังจากที่เมื่อเช้านี้ Apple ได้ปล่อยอัพเดต iOS 7.0.6 ออกมาเพื่อแก้ไขปัญหาช่องโหว่การตรวจสอบ SSL แต่ไม่ได้ลงรายละเอียดอะไรมากกว่านั้น นักวิจัยด้านความมั่นคงปลอดภัยหลายรายก็เลยพยายามที่จะวิเคราะห์ว่าปัญหาของช่องโหว่นี้เกิดจากอะไร และมีผลกระทบมากน้อยแค่ไหน

จนในที่สุดก็มีคนไปไล่ดูซอร์สโค้ดของฟังก์ชันที่ใช้แลกเปลี่ยนกุญแจ SSL เลยพบว่า สาเหตุของปัญหานี้เกิดจากการที่ Apple ใส่คำสั่ง goto fail; เกินมา 1 บรรทัด เลยทำให้ระบบไม่ตรวจสอบค่า hostname ที่ผิดพลาดในใบรับรอง SSL

กูเกิลประกาศซื้อ Spider.io บริษัทไซเบอร์รักษาความปลอดภัยที่ต่อสู้กับการทุจริตโฆษณาออนไลน์ บริษัทนี้ตั้งอยู่ที่กรุงลอนดอน ประเทศอังกฤษ

โดย Neal Mohan รองประธานกูเกิลฝ่ายโฆษณากล่าวว่า การซื้อบริษัท Spider.io ครั้งนี้เป็นเพราะว่าบริษัทนี้ มีความเชี่ยวชาญในด้านการต่อสู้กับการทุจริตโฆษณา และการปรับปรุงผลิตภัณฑ์ ซึ่งทำให้มีความพยายามที่จะสามารถขจัดผู้ประสงค์ร้ายต่อระบบของการโฆษณา และปรับปรุงระบบนิเวศแบบเป็นดิจิตัลทั้งหมด

ส่วนข้อมูลเงื่อนไขและมูลค่าในการสั่งซื้อกูเกิลยังไม่มีการเปิดเผยถึงเรื่องนี้ แต่ทางกูเกิลได้บอกว่าจะเอาไว้ใช้กับระบบตรวจจับเกี่ยวกับการแสดงและวิดีโอโฆษณาบริการต่างๆ นั่นเอง

ไมโครซอฟท์ประกาศพบช่องโหว่ของ IE9 (Vista/7/2008 R2) และ IE10 (7/8/2012) โดยพบหลักฐานว่า IE10 ถูกโจมตีผ่านช่องโหว่นี้แล้ว (IE9 ยังไม่โดนแต่มีช่องโหว่ลักษณะเดียวกัน)

เบื้องต้น ไมโครซอฟท์ได้ออกแพตช์ฉุกเฉิน (fix it) เพื่อลดความเสี่ยงจากช่องโหว่นี้เป็นการชั่วคราวแล้ว แต่แพตช์ตัวเต็มยังต้องรออีกสักระยะหนึ่ง ดังนั้นผู้ที่ใช้ระบบปฏิบัติการข้างต้นก็ควรดาวน์โหลดแพตช์นี้มาติดตั้งกันไปก่อน (ดาวน์โหลดจาก TechNet)

Adobe ออกประกาศด้านความปลอดภัยด่วน (emergency update) แจ้งเตือนช่องโหว่ใน Flash Player ทุกเวอร์ชัน (12.0.0.44 หรือเก่ากว่า, บนลินุกซ์คือ 11.2.202.336 หรือเก่ากว่า, รวมถึง Adobe AIR 3.9/4.0 ด้วย)

ช่องโหว่นี้ (มีโค้ดว่า CVE-2014-0502) เกี่ยวข้องกับการข้ามระบบความปลอดภัยที่ใช้เทคนิคหน่วยความจำแบบสุ่ม (ASLR) ถูกค้นพบโดยบริษัทความปลอดภัย FirmEye โดยผู้ประสงค์ร้ายสามารถฝังมัลแวร์ลงในคอมพิวเตอร์ของผู้ใช้ได้ และปัจจุบันมีเว็บไซต์ที่ถูกใช้เป็นฐานสำหรับการโจมตีด้วยช่องโหว่นี้บ้างแล้ว

บล็อกที่เขียนข่าวเกี่ยวกับซัมซุงเป็นประจำ SamMobile อ้างว่ามือถือตัวชูโรงของซัมซุงประจำปีนี้ “Galaxy S5” จะมาพร้อมกับเซ็นเซอร์อ่านลายนิ้วมือจริง โดยเช่นเดียวกับมือถือคู่แข่งอย่าง iPhone 5S เซ็นเซอร์อ่านลายนิ้วมือของ S5 จะอยู่ที่ปุ่มโฮม

อย่างไรก็ตาม ในรายงานระบุว่าการใช้งานเซ็นเซอร์อ่านลายนิ้วมือของซัมซุง จะแตกต่างไปจาก Touch ID ของแอปเปิล ตรงที่ผู้ใช้จะต้องสแกนลายนิ้วมือด้วยวิธี Swipe จากบนลงล่างด้วยความเร็วที่เหมาะสม แต่เช่นเดียวกับ Touch ID เซ็นเซอร์อ่านลายนิ้วมือของซัมซุง ก็จะมีปัญหาในการอ่านลายนิ้วมือจากนิ้วที่เปียก หรือชุ่มชื้น

ความน่ากลัวของการดักฟังที่ได้รับการสนับสนุนจากรัฐแบบที่เปิดเผยโดย NSA ทำให้ผู้ให้บริการที่เคยไว้ใจการเชื่อมต่อระดับศูนย์ ที่ไม่น่ามีใครดักฟังได้ ไม่เชื่อใจกันอีกต่อไป CloudFlare ผู้ให้บริการกระจายข้อมูลไปยังผู้ใช้จึงเพิ่มบริการเชื่อมต่อ SSL แบบใหม่เพิ่มเติม

ก่อนหน้านี้ CloudFlare ให้บริการความปลอดภัยสามแบบ คือ ปิดการเข้ารหัส ไม่มีการยืนยันใดๆ, เปิดการเข้ารหัสเฉพาะข้อมูลที่กระจายออก แต่รับข้อมูลจากเซิร์ฟเวอร์โดยไม่เข้ารหัส (Flexible SSL), และเข้ารหัสเต็ม (Full SSL) แต่แม้จะเป็น Full SSL ทาง CloudFlare ก็ไม่ได้ยืนยันใบรับรองการเข้ารหัสกับเซิร์ฟเวอร์ลูกค้าแต่อย่างใด ทำให้มีความเสี่ยงที่จะถูกทำ man-in-the-middle

Sense6 บริษัทหน้าใหม่สัญชาติอเมริกาเปิดตัว Artemis เครื่องประดับอัจฉริยะที่สามารถเชื่อมต่อกับสมาร์ทโฟนเพื่อแจ้งเตือนไปยังเจ้าหน้าที่ หากำบว่าเจ้าของอยู่ในสถานการณ์อันตราย

Jeff Axup ซีอีโอ Sense6 พูดถึง Artemis ว่าออกแบบมาเพื่อให้คุณผู้หญิงสามารถเอาตัวรอดจากสถานการณ์ฉุกเฉินได้ไวขึ้น ตัวเครื่องประดับออกแบบมาให้เชื่อมต่อกับสมาร์ทโฟนผ่านบลูทูธ สามารถอัดเสียง และส่งเสียงผ่านระบบกลุ่มเมฆ และส่งข้อมูลสถานที่ปัจจุบันได้แบบเรียลไทม์ ซึ่งเร็วกว่าวิธีแบบเดิมที่ใช้การโทรศัพท์อย่างมาก

รายงานบั๊กที่ใช้ในเวิร์ม The Moon ที่เริ่มระบาดเมื่อสัปดาห์ที่แล้ว แสดงให้เห็นว่าเราเตอร์หลายรุ่นมีปัญหาความปลอดภัยเพราะไม่ตรวจสอบรหัสผ่านในบาง URL ที่ใชัจัดการเราเตอร์

URL เหล่านี้เป็นโปรโตคอล Home Network Administration Protocol (HNAP) ที่พัฒนาโดย Pure Network และถูกซื้อไปโดยซิสโก้ในภายหลัง เราเตอร์ที่มีบั๊กนี้ได้แก่ 4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, และ E900

เมื่อเวิร์มติดไปยังเราเตอร์แล้วจะแสกนพอร์ต 80 และ 8080 เพื่อหาเหยื่อรายใหม่ต่อไปเรื่อยๆ

ที่มา - The Register

กูเกิลเข้าซื้อบริษัท SlickLogin ที่เพิ่งเปิดตัวมาไม่กี่เดือน โดยระบุว่าจะไปพัฒนาความปลอดภัยให้

SlickLogin พัฒนาระบบล็อกอินด้วยเสียงที่มนุษย์ไม่ได้ยิน โดยผู้ใช้ที่ต้องการล็อกอินเว็บสามารถนำโทรศัพท์ไปจ่อกับลำโพงโน้ตบุ๊กเพื่อล็อกอิน

ส่วนกูเกิลเองก็พยายามอย่างมากที่จะพัฒนามาตรฐานการล็อกอินที่ปลอดภัยกว่ารหัสผ่าน พร้อมกับยังใช้งานได้ง่ายอยู่ โดยความคืบหน้าล่าสุดคือการก่อตั้งกลุ่ม FIDO การเข้าซื้อ SlickLogin คงเป็นการเข้าซื้อตัวนักพัฒนาและสิทธิบัตรของ SlickLogin

สำนักงานของ SlickLogin ยังคงอยู่ในอิสราเอลเช่นเดิม

ที่มา - SlickLogin

Kickstarter แถลงยอมรับว่าเมื่อวันพุธที่ผ่านมาหน่วยงานบังคับใช้กฏหมายแจ้งว่าระบบของบริษัทถูกเจาะ และทางบริษัทก็รีบแก้ไขอย่างเร็วที่สุด แต่ก็ไม่ได้ระบุวิธีการที่เจาะเข้ามาขโมยข้อมูล

ถึงแม้ข้อมูลบัตรเครดิตของผู้ใช้จะไม่ถูกขโมยไป แต่ข้อมูลชื่อผู้ใช้ รหัสผ่านที่ถูกเข้ารหัสไว้ อีเมล ที่อยู่ และเบอร์โทรศัพท์ของผู้ใช้บางส่วนถูกขโมยไป (Kickstarter ไม่ได้เปิดเผยว่ามีข้อมูลของผู้ใช้กี่รายที่หลุดออกไป) บริษัทแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านใหม่ทั้งของบนเว็บไซต์ของบริษัทเองและเว็บไซต์อื่นที่ใช้รหัสเดียวกัน

ที่มา: Kickstarter

Kickstarter ประกาศว่าตัวเองถูกแฮ็กเข้าซะแล้ว และข้อมูลของผู้ใช้บางส่วนถูกแฮ็กเกอร์ขโมยไป โดยข้อมูลที่ถูกขโมยคือข้อมูลส่วนตัว ชื่อ อีเมล ที่อยู่ และรหัสผ่านที่ถูกเข้ารหัสแล้ว (ใช้ SHA-1/salted หรือ bcrypt) ส่วนข้อมูลบัตรเครดิตไม่ถูกเจาะไปด้วย

Kickstarter แนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านโดยทันที และเปลี่ยนรหัสผ่านชุดเดียวกันที่ใช้กับเว็บไซต์อื่นๆ ด้วย ส่วนผู้ใช้ที่ล็อกอินด้วย Facebook Connect จะถูกรีเซ็ตสิทธิการเข้าถึง และผู้ใช้สามารถอนุมัติสิทธิใหม่อีกครั้งด้วยตนเอง

ที่มา - Kickstarter

เว็บไซต์ thehackernews.com ได้ประกาศข่าวว่าพวกเขาได้รับ E-mail จากแฮคเกอร์ชาวอียิปต์ที่ใช้นางแฝงว่า Dr.FarFar ซึ่งเขาอ้างว่าเป็นคนแฮคหน้าโปรไฟล์ และลบรูป Cover ของ Mark Zuckerberg เจ้าของและผู้ก่อตั้งเว็บไซต์เฟสบุ๊ค

เหล่าแฮกเกอร์ซีเรียยังคงซ่าไม่หยุด ซึ่งเหยื่อรายล่าสุดคือ Forbes นิตยสารด้านเศรษฐกิจชื่อดังของสหรัฐ โดย Forbes เปิดเผยว่าเว็บไซต์ของตัวเองและทวิตเตอร์ในเครือของ Forbes อีก 3 บัญชี ได้แก่ @TheAlexKnapp , @Samsharf และ @ForbesTech เป็นเหยื่อการถูกโจมตีโดยกลุ่ม Syrian Electronic Army (SEA) โดยมีรหัสผ่านผู้ใช้หลุดออกไปนับล้านบัญชี

ไมโครซอฟท์ประกาศรองรับการยืนยันตัวตนโดยใช้หลายปัจจัย (multi-factor authentication) ใน Office 365 รุ่นสำหรับองค์กร ได้แก่ Office 365 Midsize Business, Enterprise, Academic, Nonprofit, และบริการเดี่ยวสำหรับลูกค้าองค์กรทั้งหมดในกลุ่ม Office 365

แอดมินขององค์กรที่ใช้ Office 365 สามารถเข้าไปเปิดใช้งาน multi-factor ได้แยกรายคน โดยผู้ใช้ที่ถูกแอดมินสั่งให้ใช้งานจะถูกบังคับให้เซ็ตอัพระบบ multi-factor ทันทีที่ล็อกอินครั้งต่อไป

กระบวนการ multi-factor ของ Office 365 มีแนวทางให้ใช้งานได้ 5 ช่องทาง ได้แก่ รับสายโทรศัพท์เพื่อกดรหัสตามที่ไมโครซอฟท์บอก, รับ SMS, รับโทรศัพท์จากหมายเลขอื่น, กดยืนยันจากแอพพลิเคชั่นบนโทรศัพท์, และใช้รหัสผ่านจากแอพพลิเคชั่นบนโทรศัพท์เพื่อยืนยัน

FIDO Alliance กลุ่มอุตสาหกรรมที่รวมบริษัททั้งผู้ให้บริการเว็บ และผู้ผลิตฮาร์ดแวร์รายสำคัญ เช่น Google, PayPal, NXP เปิดมาตรฐาน FIDO รุ่นแรกเพื่อรับความเห็นแล้วหลังตั้งกลุ่มมาได้ 9 เดือน

FIDO แก้ปัญหาที่ผู้ใช้ตั้งรหัสผ่านง่ายเกินไปด้วยการใช้กุญแจสาธารณะในการล็อกอินเสมอ เมื่อผู้ใช้ลงทะเบียนบริการใดๆ ครั้งแรก เครื่องของผู้ใช้จะต้องสร้างคู่กุญแจสำหรับบริการนั้นๆ ขึ้นมา แล้วส่งกุญแจสาธารณะไปยังผู้ให้บริการเช่นเว็บ หรือเซิร์ฟเวอร์ของแอพพลิเคชั่น

ศาลอุทธรณ์ของฝรั่งเศสได้ตัดสินลงโทษปรับเงินนักข่าว/แฮกเกอร์ชาวฝรั่งเศส จากการนำเอกสารในฐานข้อมูลภายในของหน่วยงานรัฐบาลไปเผยแพร่ ที่ได้มาจากการเข้า URL ที่ถูกต้องจากกูเกิล

Olivier Laurelli (ใช้ฉายาออนไลน์ว่า Bluetouff) ทำธุรกิจความปลอดภัยออนไลน์ที่ชื่อว่า Toonux และเป็นผู้ร่วมก่อตั้งเว็บไซต์ข่าว Reflets.info ได้เข้าอินเทอร์เน็ตผ่าน VPN ที่ใช้ IP address ของปานามา (เป็นบริการของ Toonux) ค้นหาข้อมูลผ่านเครื่องมือค้นหาของกูเกิล และได้บังเอิญเข้าไปเจอเอกสารภายในของหน่วยงานความปลอดภัยด้านอาหาร สิ่งแวดล้อม และอาชีพของฝรั่งเศส (ANSES)

การใช้งานบัตรเครดิตตามร้านค้าต่างๆ แบ่งออกเป็น 2 ระบบใหญ่ๆ คือ ใช้แถบแม่เหล็กที่อยู่ด้านหลังของบัตร (รูดบัตร) และการใช้ชิปที่ฝังอยู่บนบัตร (เสียบบัตรแล้วกด PIN code)

ระบบในยุโรปนั้นใช้แบบ PIN code กันมานานแล้ว แต่ในสหรัฐอเมริกา (รวมถึงประเทศไทย) ยังใช้ระบบแถบแม่เหล็กอยู่ ระบบแถบแม่เหล็กมีปัญหาเรื่องความปลอดภัยที่ถูกปลอมแปลงง่ายกว่าระบบ PIN มาก ซึ่งผู้ให้บริการบัตรเครดิตรายใหญ่ทั้ง Visa และ MasterCard ก็ประกาศให้ร้านค้าในอเมริกาเปลี่ยนไปใช้ระบบ PIN ในเดือนตุลาคม 2015

ดูเหมือน iOS 7 ที่แม้จะมีอัพเดตไปหลายครั้ง แต่ก็ยังมีบั๊กหลงเหลืออยู่ ล่าสุดมีรายงานว่าพบช่องโหว่ให้ผู้ใช้สามารถปิดฟีเจอร์ Find My iPhone โดยไม่ต้องรู้รหัสผ่านได้ (ปกติการจะปิดฟีเจอร์นี้ต้องใช้รหัสผ่าน iCloud ด้วย)

ช่องโหว่ดังกล่าวใช้ได้กับ iOS 7.0.4 ดังนั้นน่าจะอนุมานได้ว่าน่าจะมีผลกับ iOS 7.0.x ทุกรุ่น (ไม่มีข้อมูลว่าใช้กับ iOS 7.0.5 ด้วยได้ไหม) แต่จะไม่มีผลกับผู้ใช้ที่ตั้งค่า Touch ID หรือตั้งรหัสล็อกเครื่องไว้ เพราะผู้อื่นจะไม่สามารถเข้าไปถึงหน้าตั้งค่าได้นั่นเอง

ข่าวดีคือช่องโหว่นี้ใช้กับ iOS 7.1 ไม่ได้ ดังนั้นน่าจะมีแพตช์มาอัพเดตให้กับ iOS 7.0 เร็วๆ นี้ครับ

ที่มา - iDownloadBlog

Syrian Electronic Army (SEA) เจ้าเก่าทวีตว่าสามารถเข้าไปแก้ไขข้อมูล WHOIS ของโดเมน Facebook.com ได้ โดยเปลี่ยนอีเมลของแอดมินเป็นอีเมลของทาง SEA (แต่ ณ เวลาที่เขียนข่าวนี้ ข้อมูลบน WHOIS กลับเป็นดังเดิมแล้ว)

ถึงแม้เว็บไซต์เฟซบุ๊กจะยังใช้งานได้ตามปกติ SEA เคลมว่าได้เปลี่ยนชื่อเซิร์ฟเวอร์ต่างๆ เพื่อพยายามยึดครอง (hijack) เว็บไซต์ แต่ทีมก็เสียเวลาไปมากกับเรื่องนี้

ดูเหมือนว่าการบุกรุกครั้งนี้ผ่านมาทางบริษัทรับจัดการโดเมนชื่อ MarkMonitor ที่ดูแลโดเมน Facebook.com เนื่องจาก SEA ระบุว่า MarkMonitor ปิดเว็บท่าสำหรับจัดการโดเมนทันทีที่มีข่าวการบุกรุกนี้ พร้อมทั้งได้ทวีตภาพเว็บท่าสำหรับจัดการโดเมนดังกล่าวด้วย