แบรนด์ซอฟต์แวร์ด้านความปลอดภัย McAfee ที่เราคุ้นเคยกันมานาน มีวันต้องลาจากแล้วครับ เมื่ออินเทลที่ซื้อ McAfee มาตั้งแต่ปี 2010 ประกาศเปลี่ยนชื่อผลิตภัณฑ์ด้านความปลอดภัยทั้งหมดของตัวเองเป็น Intel Security
กระบวนการต่อเนื่องจากการระบุตัวตนแล้วโดยมากมักเป็นการรับรองตัวตนหรือ Authentication กระบวนการนี้เรามักทำอย่างไม่รู้ตัวกันตลอดเวลา เมื่อป้ายสินค้าชิ้นหนึ่งบอกชื่อสินค้าในห้างสรรพสินค้า เรามักตรวจสอบก่อนว่าสินค้าที่เรากำลังซื้อนั้นตรงกับสินค้าที่ป้ายบอกหรือไม่ หรือเมื่อเราพูดคุยกับใครสักคนทางโทรศัพท์ เมื่อเราได้ยินเสียงของคนที่เราคุยด้วยเราก็สามารถแน่ใจได้ว่าคนที่อยู่อีกฝั่งของคู่สายเป็นคนที่เราตั้งใจจะคุยด้วยจริงๆ เมื่อเราได้จดหมายของคนๆ หนึ่ง เราตรวจสอบดูว่ามีลายเซ็นหรือไม่ และลายเซ็นนั้นมีร่องรอยการปลอมแปลงหรือไม่
บริษัทความปลอดภัย Fox IT จากเนเธอร์แลนด์ พบว่าโฆษณาบนหน้าเว็บ yahoo.com (ซึ่งมาจากโดเมน ads.yahoo.com ของยาฮูเอง) จำนวนหนึ่งติดมัลแวร์
เมื่อผู้ชมเข้าหน้าเว็บ yahoo.com และเห็นโฆษณาที่อยู่ในแท็ก iframe ซึ่งโฆษณาเหล่านี้จะถูก redirect ไปยังโดเมนที่ผู้ประสงค์ร้ายจดขึ้นมาใช้เพื่อการนี้ (โดเมนทั้งหมดมาจากหมายเลขไอพีเดียวกันในเนเธอร์แลนด์) จากนั้นผู้ชมจะโดนฝังมัลแวร์ที่อาศัยช่องโหว่ของ Java หลายตัว เช่น ZeuS, Andromeda, Dorkbot
Fox IT พบว่าการโจมตีชุดนี้เกิดขึ้นตั้งแต่วันที่ 30 ธันวาคม 2013 และเนื่องจาก yahoo.com เป็นเว็บไซต์ที่มีคนเข้าเยอะ อัตราการติดมัลแวร์น่าจะสูงมากเป็นหลัก "หลายแสนคน" โดยผู้ใช้ที่ได้รับผลกระทบมากอยู่ในโรมาเนีย สหราชอาณาจักร ฝรั่งเศส และปากีสถาน
หนังสือพิมพ์ Der Spiegel ของเยอรมนีเปิดเผยข้อมูลจากเอกสารของ NSA ที่ระบุว่า มีปฎิบัติการ TAO (Tailored Access Operations) ที่เป็นความร่วมมือระหว่าง NSA, CIA และ FBI ในการลักลอบดึงแล็ปท็อปหรืออุปกรณ์เสริมคอมพิวเตอร์อื่นๆ ที่อยู่ระหว่างการส่งมอบให้ผู้ที่สั่งซื้อออนไลน์มาติดตั้งมัลแวร์หรือฝังฮาร์ดแวร์ที่ทำให้หน่วยงานของสหรัฐฯ สามารถรีโมตเข้าไปได้เป็นประจำ
จากข่าว Snapchat ถูกแฮ็ก ข้อมูลผู้ใช้หลุด 4.6 ล้านบัญชี ทางบริษัท Snapchat ออกมาชี้แจงผ่านบล็อกดังนี้ครับ
พบช่องโหว่ร้ายแรงในเราท์เตอร์ยี่ห้อ Linksys, Netgear, Cisco และ LevelOne หลายรุ่น โดยช่องโหว่นี้ทำให้สามารถเข้าควบคุมเราเตอร์ได้จากระยะไกลภายในเน็ตเวิร์คเดียวกัน แต่ที่ร้ายแรงกว่าคือสามารถดูรหัสผ่านของผู้ดูแลระบบและรหัสผ่านที่ใช้ในการเชื่อมต่ออินเทอร์เน็ตได้ด้วย ซึ่งจะอันตรายมากขึ้นหากผู้ดูแลระบบใช้รหัสผ่านชุดเดียวกันกับอุปกรณ์อื่นๆ ในเครือข่าย ช่องโหว่นี้ทำให้สามารถส่งคำสั่งควบคุมเราท์เตอร์ได้แทบทุกอย่าง ตั้งแต่การดึงข้อมูลการตั้งค่าต่างๆ การตั้งค่า การรีเซ็ตกลับสู่ค่าเริ่มต้นจากโรงงาน รวมไปถึงการเข้าถึง root shell ด้วย
ช่องโหว่ของตัวสร้างเลขสุ่มเทียม Dual_EC_DRBG นำเสนอโดยโปรแกรมเมอร์ของไมโครซอฟท์มาตั้งแต่ปี 2007 และเพิ่งได้รับความสนใจเป็นวงกว้างหลังพบว่า NSA เป็นผู้ออกแบบหลักของกระบวนการนี้ ตอนนี้โค้ดตัวอย่างของกระบวนการนี้ก็มีให้ดาวน์โหลดแล้วที่ GitHub
ช่องโหว่สำคัญของ Dual_EC_DRBG คือค่าคงที่ P และ Q ที่ต้องเลือก P = dQ จะทำให้ค่า d กลายเป็นกุญแจลับสำหรับการถอดรหัสค่าสุ่มใดๆ ที่เป็นผลลัพธ์ออกมา โดยต้องสังเกตค่าเพียง 32 ไบต์เท่านั้น
ที่งานสัมมนาด้านความปลอดภัย Chaos Computing Congress ในเยอรมนี มีนักวิจัย 2 รายเปิดเผยวิธีการแฮ็กตู้ ATM ของขบวนการอาชญากรรม ซึ่งถูกค้นพบเมื่อเดือนกรกฎาคม 2013 เป็นต้นมา (ไม่ระบุประเทศแต่บอกว่าอยู่ในยุโรป)
เรื่องเริ่มต้นจากธนาคารพบว่าตู้ ATM บางแห่งเงินหายไปทั้งหมดแม้ว่าจะเก็บรักษาเงินไว้ในตู้เซฟของ ATM แล้วก็ตาม หลังการสอบสวนพบว่าขบวนการอาชญากรรมใช้วิธีเจาะรูตู้ ATM เพื่อเสียบแฟลชไดรฟ์ที่ติดตั้งมัลแวร์สำหรับเจาะระบบความปลอดภัยของคอมพิวเตอร์ในตู้โดยเฉพาะ จากนั้นก็ปิดรูเพื่อไม่ให้ถูกพบเห็นได้ง่ายว่า ATM เครื่องนี้โดนแฮ็กแล้ว
แอพแชทยอดนิยมอย่าง Snapchat "ดูเหมือนว่า" จะถูกแฮ็กเสียแล้วครับ ล่าสุดมีเว็บไซต์แห่งหนึ่งชื่อ SnapchatDB อ้างว่าแฮ็กข้อมูลของผู้ใช้จำนวน 4.6 ล้านบัญชีมาได้ และนำข้อมูลบางส่วนคือชื่อ username และหมายเลขโทรศัพท์ (เซ็นเซอร์ 2 ตัวท้ายออก) มาเผยแพร่สู่สาธารณะเพื่อกระตุ้นให้ Snapchat สนใจเรื่องความปลอดภัยมากขึ้น
ผู้สร้างเว็บไซต์ SnapchatDB อ้างว่าตั้งใจเผยแพร่ข้อมูลชุดนี้เพื่อให้คนสนใจโดยไม่คิดมูลค่า แต่ก็รับบริจาคเงินสนับสนุนผ่าน BitCoin และระบุว่าอาจให้ข้อมูลทั้งหมดกับผู้สนใจในบางกรณี
ตอนนี้ยังไม่มีคำยืนยันจาก Snapchat ว่าถูกแฮ็กจริงหรือไม่ครับ
เอกสารรายการซอฟต์แวร์และฮาร์ดแวร์ของ NSA หลุดมาได้วันเดียวก็สร้างเรื่องวุ่นให้กับแอปเปิลทันที เมื่อหนึ่งในซอฟต์แวร์ที่ NSA ใช้งานคือ DROPOUTJEEP ที่ฝังตัวไว้ในโทรศัพท์ไอโฟน เพื่อดึงข้อมูลกลับไปยังศูนย์ของ NSA ตอนนี้ทางแอปเปิลออกจดหมายข่าว แถลงว่าแอปเปิลไม่มีความเกี่ยวข้องใดๆ กับโครงการนี้
แถลงการของแอปเปิลเต็มๆ แปลได้ว่า
เอกสารของ Edward Snowden รอบล่าสุดเปิดเผยถึงฝ่าย ANT ของ NSA ที่เป็นฝ่ายพัฒนาฮาร์ดแวร์และซอฟต์แวร์เพื่อสร้างจุดดักฟังขึ้นทั่วโลก กระบวนการสร้างจุดดักฟังเหล่านี้มีตั้งแต่การวางไมโครโฟนในห้องของเป้าหมายแบบเดียวกับที่เราเห็นในหนังสายลับทั่วไป จนถึงการฝังมัลแวร์ไว้ในไบออสของไฟร์วอลขนาดใหญ่สำหรับองค์กร
การใช้งานอุปกรณ์หรือซอฟต์แวร์เหล่านี้ หน่วยงานภายในของ NSA ด้วยกันเองต้องซื้อสินค้าจากหน่วย ANT โดยแต่ละชิ้นมีราคาตั้งแต่ฟรีไปจนถึง 250,000 ดอลลาร์
หน่วย ANT เป็นมันสมองของปฎิบัติการ TAO หรือ Tailored Access Operations ที่วางจุดดักฟังให้กับโครงการอื่นๆ เช่น PRISM
รายชื่อสินค้าของ ANT อยู่ท้ายข่าว
งาน CCC เป็นงานสัมมนาความปลอดภัยคอมพิวเตอร์ที่สำคัญที่สุดงานหนึ่งของโลก ตอนนี้งานก็เริ่มขึ้นแล้วและเริ่มมีช่องโหว่ใหม่ๆ ที่ถูกเปิดเผยออกมาในงาน ช่องโหว่แรกคือการ์ด SD ที่เราใช้กันทุกวันนี้ ภายในไม่ใช่แค่หน่วยความจำเพียงอย่างเดียว แต่มักมีซีพียูขนาดเล็กมาในตัว ในงาน 30C3 การนำเสนอ Andrew Huang และ xobs ตรวจพบว่าเราสามารถติดตั้งเฟิร์มแวร์ใหม่ลงไปยังการ์ด SD ได้โดยง่าย
การ์ด SD, microSD, และ MMC จำเป็นต้องมีซีพียูในตัวเพื่อจัดการกับส่วนของหน่วยความจำที่เริ่มเสียหาย การ์ดเหล่านี้สามารถทำงานต่อไปได้แม้จะมีส่วนที่เสียหายไปแล้วบางส่วน โค้ดที่รันอยู่บนซีพียูจะออกแบบมาเฉพาะสำหรับการ์ดแต่ละรุ่น โดยส่วนมากซีพียูที่ใช้มักเป็น 8051 หรือ ARM
Knox เป็นแพลตฟอร์มด้านความปลอดภัยบนสมาร์ทโฟนที่ซัมซุงตั้งใจใช้เป็นอาวุธเจาะเข้าไปยังตลาดองค์กร แต่ล่าสุดศูนย์วิจัย Cyber Security Labs จากมหาวิทยาลัย Ben-Gurion University of the Negev ออกมาประกาศว่าพบช่องโหว่ร้ายแรงของ Knox เสียแล้ว
ทีมวิจัยไม่เปิดเผยรายละเอียดของช่องโหว่นี้ บอกเพียงว่ามันสามารถใช้ลัดกระบวนการด้านความปลอดภัยทั้งหมดของ Knox ได้เลย เพียงแค่ติดตั้งแอพที่ใช้ช่องโหว่นี้บนมือถือที่มี Knox เท่านั้น
ทีมวิจัยได้ส่งข้อมูลช่องโหว่นี้กับซัมซุงแล้ว พร้อมวิจารณ์ว่าซัมซุงอาจต้องกลับไปทำการบ้านเรื่องสถาปัตยกรรมความปลอดภัยมาใหม่เพื่อไม่ให้มีปัญหาแบบนี้อีก
ปี 2013 นับเป็นปีที่ผู้ใช้ถูกรุกรานข้อมูลส่วนตัวบนโลกออนไลน์อย่างมากในหลายรูปแบบ ทาง Benenson Strategy Group และ American Viewpoint สององค์กรสำรวจความเห็นได้ไปเก็บความเห็นเกี่ยวกับความปลอดภัยบนอินเทอร์เน็ต จากผู้ใช้อินเทอร์เน็ตของสหรัฐฯ จำนวน 1,000 คน ได้ผลออกมาดังนี้
จากผลการสำรวจ ผู้ใช้ส่วนมากยังคงกังวลกับการถูกขโมยข้อมูลส่วนตัวบนอินเทอร์เน็ต มากกว่าการถูกดักข้อมูลส่วนตัว (เพื่อไปใช้ในการโฆษณา) ในสัดส่วน 75% ต่อ 54% โดยความกังวลอื่นๆ คือความปลอดภัยของเด็กในการใช้อินเทอร์เน็ต และการที่รัฐบาลสามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้บนอินเทอร์เน็ตได้ ส่วนความกังวลเรื่องข้อมูลส่วนตัวจะถูกนำไปใช้เพื่อแสดงผลโฆษณานั้นมีอยู่บ้าง แต่ยังไม่มากนัก
ข่าวชุดรักษาความปลอดภัย BSAFE ของ RSA (บริษัทลูกของ EMC) ที่ใช้ชุดสร้างตัวเลขสุ่ม Dual_EC_DRBG ที่น่าจะมีช่องโหว่ของ NSA ซ่อนอยู่ภายใน ที่แย่กว่านั้นคือ Reuters รายงานว่า RSA ใช่กระบวนการนี้เพราะรับเงินจาก NSA กว่า 10 ล้านดอลลาร์ ตอนนี้ทาง RSA ออกมาตอบข่าวนี้แล้ว
RSA ระบุว่าความสัมพันธ์ระหว่าง RSA และ NSA นั้นไม่เคยมีการปิดบังใดๆ RSA เป็นผู้ผลิตให้กับ NSA และทั้งสองหน่วยงานเป็นสมาชิกของวงการรักษาความปลอดภัยที่มีบทบาทมาต่อเนื่อง โดยเป้าหมายของความสัมพันธ์คือการสร้างความปลอดภัยให้กับหน่วยงานรัฐและเอกชน
RSA ระบุจุดสำคัญของการใช้งาน Dual_EC_DBRG สี่ข้อ
Windows XP จะสิ้นอายุขัยในวันที่ 8 เมษายน 2014 ซึ่งไมโครซอฟท์จะหยุดออกแพตช์ความปลอดภัยให้ และมีโอกาสสูงมากที่แฮ็กเกอร์จะนำข้อมูลจากแพตช์ของ Windows 7/8 มาดูว่ามีช่องโหว่แบบเดียวกันบน XP หรือไม่ ถ้าเจอก็จะเป็นช่องโหว่ที่ผู้ใช้ XP แทบไม่มีทางเลี่ยง (ข่าวเก่าที่ไมโครซอฟท์เตือนเรื่องนี้)
อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยและการอัพเกรดระบบไอทีหลายคนก็ลงความเห็นตรงกันว่า ลูกค้าองค์กรยังไม่ตื่นตัวเรื่อง Windows XP เท่าที่ควรเนื่องจากสาเหตุหลายอย่างประกอบกัน เช่น องค์กรไม่นิยมอัพเกรดระบบพีซีครั้งใหญ่ทั้งหมด, องค์กรเริ่มอัพเกรดพีซีช้าลงเพื่อประหยัดค่าใช้จ่าย จากเดิมอัพเกรดทุก 4 ปีก็ยืดเป็น 5-6 ปี
จากข่าวเก่าในประเด็นที่ NSA ได้ฝังช่องโหว่ความปลอดภัยในมาตรฐาน Dual_EC_DRBG ล่าสุดอ้างอิงจากแหล่งข่าวนิรนามของรอยเตอร์ว่า NSA ได้มีการจ่ายเงินให้กับ RSA กว่า 10 ล้านดอลลาร์เพื่อทำให้ช่องโหว่นี้คงอยู่
ThaiCERT ออกรายงานการวิเคราะห์การเข้ารหัสข้อความของแอพพลิเคชั่น LINE พบว่า ในการส่งข้อมูลผ่านเครือข่าย 2G/3G นั้น LINE จะไม่เข้ารหัสดังที่เป็นข่าวไปก่อนหน้านี้ แต่ที่สำคัญคือบนเครือข่าย Wi-Fi นั้น LINE เวอร์ชั่นเดสก์ทอปทั้งวินโดวส์และแมคต่างก็ไม่มีการตรวจสอบใบรับรองทั้งคู่ ทำให้เสี่ยงต่อการถูกโจมตีแบบ man-in-the-middle
ทาง ThaiCERT ได้ติดต่อ NAVER หลังจากพบช่องโหว่นี้ และตอนนี้เวอร์ชั่น 3.2.1.93 บนวินโดวส์ ก็แก้ไขช่องโหว่นี้แล้ว ผู้ใช้ทุกคนควรอัพเดตทันทีครับ
ที่มา - ThaiCERT
ไมโครซอฟท์เข้าร่วมกลุ่ม FIDO Alliance เป็นรายล่าสุด หลังจากที่กลุ่มนี้ตั้งขึ้นมาโดยบริษัท Lenovo, Infineon, และ PayPal และ Google, NXP สมัครเข้าเป็นสมาชิกเมื่อเดือนเมษายน
กลุ่ม FIDO หวังว่าจะสร้างมาตรฐานใหม่สำหรับการยืนยันตัวตนด้วยระบบกุญแจสาธารณะ (public key) โดยเมื่อผู้ใช้ยืนยันตัวตนกับบริการใดๆ เพียงแต่สร้างกุญแจสาธารณะส่งไปยังบริการนั้นๆ และเก็บกุญแจส่วนตัวไว้ในเครื่องที่ต้องการใช้งานก็จะใช้งานไปได้เรื่อยๆ โดยไม่ต้องพิมพ์รหัสผ่านใหม่ทุกครั้งไป
Egor Homakov นักวิจัยความปลอดภัยค้นพบช่องโหว่ใน Twitter ที่อนุญาตให้แอพสามารถส่งข้อความโดยตรงหรือที่เรียกว่า DM (direct message) ถึงผู้อื่นได้ โดยไม่ต้องขออนุญาตจากผู้ใช้
เว็บไซต์ The Next Web ได้ทดสอบตามคำกล่าวอ้างของ Homakov โดยใช้แอพ Twitpic ซึ่งเป็นแอพที่ไม่ได้ขอใช้สิทธิการเข้าถึง DM ของผู้ใช้ในระหว่างการเชื่อมต่อกับบัญชี Twitter ทว่าโดยการใช้คำสั่ง "d twitter_username message" ทำให้พวกเขาสามารถส่ง DM ถึงผู้ใช้อื่นด้วย Twitpic ได้
กระบวนการพื้นฐานที่สุดอย่างหนึ่งของกระบวนการความปลอดภัยข้อมูลไม่ว่าจะเป็นโลกดิจิตอลหรือโลกอนาล็อกที่เรามีชีวิตอยู่ก็ตาม คือ การระบุตัวตนของสิ่งต่างๆ ที่เราพบเจอทุกวัน เราพบกับสิ่งของ, ผู้คน, และสถานที่ต่างๆ มากมาย และเราต้องรู้ว่าสิ่งที่เราใช้งาน หรือคนที่เราพูดคุยด้วยนั้นเป็นคนที่เราต้องการคุยด้วยจริงหรือไม่
ฟีเจอร์ความปลอดภัยที่สำคัญของ Blackberry 10 คือการจัดการสิทธิของแอพพลิเคชั่นได้หลังจากติดตั้งไปแล้ว ทำให้เราสามารถจัดการปิดสิทธิบางอย่างได้ ช่วงที่ผ่านมาปรากฎว่ามี App Ops Launcher ปรากฎขึ้นมาใน Play Store และพบว่ามีฟีเจอร์ควบคุมสิทธินี้
App Ops Launcher ใช้งานได้เฉพาะ Android 4.3 แต่หลังจากปล่อย Android 4.4.2 ฟีเจอร์นี้ก็ถูกปิดออกไป โดยทางกูเกิลระบุว่าฟีเจอร์นี้ถูกปล่อยมาโดยไม่ตั้งใจ และยังไม่พร้อมสำหรับการใช้งาน
ภายใต้บรรยากาศของความไม่วางใจว่าระบบรักษาความปลอดภัยอะไรจะถูกสร้างช่องโหว่โดย NSA ไว้บ้าง ระบบยูนิกซ์ที่เน้นเรื่องความปลอดภัยอย่าง FreeBSD ก็ประกาศว่าจะไม่ใช้งานตัวสร้างเลขสุ่มในซีพียู มาเป็นตัวสร้างเลขสุ่มของระบบปฎิบัติการโดยตรงอีกต่อไป
อินเทลและ VIA มีชุดคำสั่งพิเศษสำหรับการสร้างเลขสุ่มด้วยฮาร์ดแวร์ในตัวซีพียูเอง ฟีเจอร์สำคัญของตัวสร้างเลขสุ่มฮาร์ดแวร์คือให้ค่าสุ่มที่ดีและสามารถปล่อยค่าออกมาได้รวดเร็ว ตัว RDRAND สามารถสร้างค่าสุ่มได้ถึง 800 เมกกะไบต์ต่อวินาที
กูเกิลประกาศว่าตรวจพบใบรับรอง SSL ที่ระบุถึงโดเมนของกูเกิลถูกรับรองจาก ANSSI หน่วยงานด้านความปลอดภัยคอมพิวเตอร์ของฝรั่งเศส ทำให้กูเกิลต้องเร่งอัพเดต Chrome เพื่อยกเลิกการยอมรับใบรับรองเหล่านั้นทั้งหมด
ทาง ANSSI ระบุว่าการปล่อยใบรับรองปลอมเหล่านี้ออกไปเป็น "ความผิดพลาดของผู้ใช้" (human error) ทำให้มีใบรับรองที่ไม่ได้อยู่ใต้รัฐบาลฝรั่งเศสถูกปล่อยออกไป
หากมีหน่วยงานใดได้รับใบรับรองและกุญแจส่วนลับของใบรับรองเหล่านี้ไปก็จะสามารถดักฟังข้อมูลเข้าออกโดเมนเหล่านี้ของกูเกิลได้ ด้วยการทำ man-in-the-middle
CyanogenMod ประกาศเพิ่มแอพพลิเคชั่น TextSecure เข้ามาเป็นตัวเลือกในการรับส่ง SMS แทนแอพพลิเคชั่นปกติ ทำให้สามารถเข้ารหัส SMS ทั้งหมดได้
ในความร่วมมือนี้ ทาง CyanogenMod จะตั้งเซิร์ฟเวอร์ TextSecure เองอีกหนึ่งชุดเพราะโปรโตคอล TextSecure เปิดให้ส่งข้อความได้ทั้งทางอินเทอร์เน็ตและทาง SMS
TextSecure เองเป็นโครงการที่มีมานานและมีผู้ใช้หลายแสนราย แต่การร่วมมือกับ CyanogenMod จะทำให้เข้าถึงผู้ใช้อีกนับล้านคน นับเป็นการเข้าถึงผู้ใช้ครั้งใหญ่ที่สุดของโครงการนี้
ที่มา - WhisperSystem