เมื่อวันที่ 12-13 มิถุนายนที่ผ่านมา เว็บไซต์สำนักข่าวในประเทศไทยหลายแห่ง ได้ถูกเจาะระบบเพื่อฝังโทรจันที่โจมตีผ่านช่องโหว่ของ Java

โทรจันตัวนี้จะไปแก้ไขหน้าเว็บไซต์ของธนาคารออนไลน์ในประเทศไทย ให้แสดงลิงก์สำหรับใส่เบอร์มือถือเพื่อรับ SMS ดาวน์โหลดโปรแกรม AVG AntiVirus Mobile Pro สำหรับติดตั้งใน Android โดยโปรแกรมดังกล่าวเป็นโปรแกรมแอนตี้ไวรัสปลอม จุดประสงค์เพื่อขโมย SMS OTP จากธนาคาร

สำหรับข้อมูลเพิ่มเติมของโทรจัน รวมถึงวิธีการตรวจสอบและแก้ไข สามารถอ่านได้จากที่มาครับ

ที่มา: ThaiCERT

Google ประกาศปรับอัตราเงินรางวัลสำหรับผู้แจ้งช่องโหว่ของเว็บเพิ่มขึ้นหลังจากที่เพิ่งปรับอัตราการจ่ายเงินรางวัลไปเมื่อไม่กี่เดือนก่อน

Google ได้ปรับเกณฑ์การให้รางวัลสำหรับผู้ค้นพบช่องโหว่โดยการทำ XSS (cross-site scrpting) ซึ่งเป็นการฝังโค้ดเข้าไปในหน้าเว็บไซต์ที่มีช่องโหว่นั้นเพื่อดักจับข้อมูลสำคัญในระหว่างที่ผู้ใช้งานเปิดเข้าใช้หน้าเว็บไซต์ดังกล่าว

นักวิจัยด้านความปลอดภัยเผยว่าเขาค้นพบวิธีการที่จะแฮ็กอุปกรณ์ที่ใช้ระบบปฏิบัติการ iOS ได้สำเร็จภายใน 1 นาที โดยใช้เพียงที่ชาร์จไฟซึ่งได้รับการดัดแปลงพิเศษเท่านั้น

ทีมนักวิจัยจากสถาบัน Georgia Institute of Technology เผยว่าต้นแบบที่ชาร์จไฟซึ่งได้รับการดัดแปลงแบบพิเศษซึ่งพวกเขาเรียกมันว่า "Mactans" สามารถปล่อยมัลแวร์เข้าสู่อุปกรณ์ iOS ได้หลังจากเสียบสายชาร์จดังกล่าวเข้ากับอุปกรณ์เป็นเวลา 1 นาทีเท่านั้น

ปัญหาความปลอดภัยของ Java ในรอบปีสองปีที่ผ่านมาสร้างชื่อเสียงทางลบอย่างมาก จนออราเคิลต้องออกมาประกาศนโยบายด้านความปลอดภัยใหม่ของ Java ชุดใหญ่ ดังนี้

LinkedIn เป็นบริการออนไลน์รายล่าสุดที่เริ่มใช้ระบบล็อกอินสองชั้น (two-step verification) เช่นเดียวกับบริการออนไลน์อีกหลายรายที่นำร่องไปก่อนแล้ว

กระบวนการทำงานก็ไม่ต่างจากยี่ห้ออื่นคือยืนยันตัวตนอีกชั้นผ่าน SMS และยังเป็นแค่ทางเลือก (optional) ให้ผู้ใช้เลือกเปิดใช้งานกันเองโดยไม่บังคับ วิธีการเปิดใช้คือเข้าไปยัง Settings > Account > Manage Security ครับ

ที่มา - LinkedIn Blog

ไมโครซอฟท์มีทีม Digital Crimes Unit ที่มีผลงานทลายกลุ่มเซิร์ฟเวอร์ติดโทรจัน (botnet) มาแล้วหลายครั้ง (ข่าวเก่า 1, ข่าวเก่า 2)

ทีมนี้ของไมโครซอฟท์ทำงานร่วมกับ ISP และหน่วยงานด้านความปลอดภัยไซเบอร์ (Computer Emergency Response Teams - CERT) ทั่วโลก มีการแชร์ข้อมูล botnet ระหว่างกันอยู่เสมอ แต่กระบวนการแชร์ข้อมูลยังล้าสมัย (ผ่านอีเมล) แถมการตรวจสอบเซิร์ฟเวอร์จำนวนมหาศาลทั่วโลก (วันละหลายร้อยล้านครั้ง) ก็ไม่ใช่เรื่องง่าย

ช่องโหว่ของ Ruby on Rails ที่ถูกค้นพบในเดือนมกราคมปีนี้ กลายเป็นช่องทางสำคัญให้แฮ็กเกอร์เจาะเข้าไปยังเซิร์ฟเวอร์ที่ติดตั้ง Rails เอาไว้ และเปลี่ยนเซิร์ฟเวอร์เหล่านี้เป็น botnet สำหรับอาชญากรรมคอมพิวเตอร์ด้านอื่นๆ (เช่น มัลแวร์) ต่อไป

ช่องโหว่ตัวนี้ของ Rails มีความรุนแรงในระดับสูง (critical) เพราะเปิดโอกาสให้แฮ็กเกอร์ส่งโค้ดอันตรายเข้ามารันบนเซิร์ฟเวอร์ได้จากระยะไกล ทางทีมพัฒนา Rails ออกแพตช์แก้นานแล้วแต่ก็ยังมีเซิร์ฟเวอร์อีกจำนวนมากที่ยังไม่ได้อัพแพตช์ตาม และกลายเป็นเหยื่อของช่องโหว่นี้ในที่สุด

ผู้ใช้ Rails ควรอัพเกรดเป็นเวอร์ชัน 3.2.11, 3.1.10, 3.0.19, 2.3.15 ขึ้นไปครับ

Evernote ถูกแฮ็กครั้งใหญ่ไปเมื่อต้นปี วันนี้บริษัทจึงประกาศฟีเจอร์ด้านความปลอดภัยเพิ่มขึ้นอีก 3 อย่าง

หลักจาก Paypal มีปัญหากับแฮกเกอร์อายุ 17 ปีที่ชื่อว่า Robert Kugler ตอนนี้ Paypal ก็ออกมาชี้แจงปัญหาว่าบั๊กนี้มีการค้นพบมาก่อนแล้วโดยนักวิจัยอื่นทำให้ไม่สามารถจ่ายรางวัลให้กับ Kugler ได้เพราะจะจ่ายให้กับผู้พบคนแรกเท่านั้น

Paypal ระบุว่ากรณีนี้ทำให้บริษัทได้เรียนรู้ว่าต้องมีกระบวนการรองรับในกรณีที่ผู้พบปัญหาเป็นผู้มีอายุน้อยกว่าในเงื่อนไข และกำลังส่งจดหมายอย่างเป็นทางการไปยัง Kugler เพื่อแสดงการยอมรับว่าเขาเป็นผู้หนึ่งที่แสดงปัญหาให้ Paypal ได้รับรู้

Paypal ไม่เปิดเผยว่ามีบั๊กใดได้รับแจ้งผ่านทางโครงการแจกรางวัลนี้แล้วบ้าง และไม่เปิดเผยรายชื่อผู้ได้รับรางวัลจากโครงการนี้

เว็บไซต์ Drupal.org ที่เป็นชุมชนนักพัฒนา Drupal ถูกแฮกเกอร์เจาะเข้าไปอ่านฐานข้อมูลชื่อผู้ใช้, อีเมล, ประเทศ, และรหัสผ่านที่แฮชแล้วออกมาทั้งหมด ทีมงานกำลังสอบสวนว่ามีข้อมูลอื่นหลุดไปหรือไม่ แต่ขณะนี้ผู้ใช้ทุกคนจะต้องรีเซ็ตรหัสผ่านใหม่ทันทีที่ล็อกอิน

รหัสผ่านบน Drupal.org ทั้งหมดเข้ารหัสแบบแฮชและมีการเติมค่า salt เพื่อป้องกันการย้อนกลับรหัสผ่าน แต่มีรหัสผ่านในบัญชีเก่าอาจจะไม่มีค่า salt ผู้ใช้ที่ใช้รหัสซ้ำกับบริการอื่นจึงควรเปลี่ยนรหัสบนบริการอื่นด้วยเพื่อความปลอดภัย (และควรฝึกเลิกใช้รหัสซ้ำกันไปพร้อมกัน)

ทีมงานระบุว่าช่องโหว่เกิดจากเครื่องมือของผู้ให้บริการรายอื่นทำให้แฮกเกอร์สามารถเข้าถึงฐานข้อมูลได้ ไม่ได้เข้ามาทางช่องโหว่ของ Drupal เองแต่อย่างใด

Paypal มีโครงการให้จ่ายเงินรางวัลสำหรับการค้นพบช่องโหว่ความปลอดภัยมาเกือบหนึ่งปี มีการค้นพบบั๊กและจ่ายเงินไปบ้าง แต่บั๊กล่าสุดกลับมีปัญหาเพราะเงื่อนไขอายุของผู้พบบั๊กไม่ถึงเกณฑ์

Robert Kugler นักเรียนอายุ 17 ปีเป็นผู้พบบั๊กในช่องค้นหาของ Paypal ที่สามารถใส่อินพุตเป็นจาวาสคริปต์เพื่อให้รันสคริปต์ได้ตามกำหนด แต่ข้อกำหนดของทาง Paypal ระบุให้ผู้รับรางวัลได้จะต้องมีอายุอย่างต่ำ 18 ปีขึ้นไป ความรำคาญระเบียบข้อนี้ทำให้ Kugler นำบั๊กนี้ออกประกาศสู่สาธารณะ

ในบรรดากระบวนการเข้ารหัสนั้น เราอาจจะบอกได้ว่าการเข้ารหัสแบบกุญแจสมมาตร (symmetric key) ที่เป็นกระบวนการการเข้ารหัสที่ทั้งสองฝ่าย มี “ความลับ” ร่วมกันอยู่ก่อน เมื่อส่งข้อมูลจริงแล้วจึงใช้ความลับนั้นถอดรหัสผ่านออกมาได้จึงได้ข้อความที่อ่านออกมาได้

กระบวนการป้องกันข้อความที่เป็นความลับนั้นมีมานานนับย้อนไปได้ถึงสมัยจูเลียส ซีซาร์ ที่อาศัยการสลับตัวอักษรด้วยตารางที่เป็นความลับ โดยทุกตัวในตารางจะมีตัวแทนของตัวเองทั้งหมด

Thai Netizen Network (TNN - @thainetizen) ออกหนังสือ คู่มือพลเมืองเน็ต: เข้าใจเน็ต และใช้เน็ตให้ปลอดภัย เป็นหนังสือคู่มือที่ผมและคุณสฤณี อาชวานันทกุล (@Fringer) เขียนร่วมกันเพื่อเผยแพร่ความรู้ให้ผู้ใช้ทั่วไปนะครับ ภายในจะอธิบายถึงกระบวนการเข้ารหัส การสังเกตเว็บเข้ารหัส การรักษารหัสผ่าน และความรู้อื่นๆ ที่จำเป็นเพื่อการใช้อินเทอร์เน็ตอย่างปลอดภัย

ในฝั่งตัวผมเองโครงการนี้จะเป็นส่วนการเขียนคู่มือสำหรับผู้ใช้ทั่วไป ส่วนในอนาคตถ้าเขียนสำเร็จน่าจะมีคู่มือฝั่งนักพัฒนาออกมา (ตามแต่ผมจะมีแรงเขียนบทความชุดความปลอดภัยที่เห็นกันเป็นพักๆ)

Twitter เป็นบริการออนไลน์รายล่าสุดที่เริ่มใช้ระบบยืนยันตัวตนสองชั้น (two-factor authentication) ผ่านรหัสที่ส่งทาง SMS

เมื่อยืนยันตัวตนแล้ว ในกรณีที่ต้องการล็อกอิน Twitter จากภายในแอพอื่นๆ เราสามารถสร้างรหัสผ่านชั่วคราวเพื่อล็อกอินเข้าไปอนุมัติการเชื่อมต่อกับ Twitter ได้

วิธีการเปิดใช้งานต้องเข้าไปตั้งค่า Account security ก่อน รายละเอียดดูในวิดีโอครับ

ที่มา - Twitter Blog

หลายเว็บทุกวันนี้จะมีมิเตอร์วัดความแข็งแรงของรหัสผ่านเพื่อจูงใจให้ผู้ใช้ตั้งรหัสผ่านให้ยากขึ้นกว่าเดิม แม้มิเตอร์นี้จะเตือนคนที่ระวังตัวได้ว่าให้ตั้งรหัสผ่านที่คาดเดาได้ยาก แต่ไม่เคยมีการศึกษาในวงกว้างว่ากับคนทั่วไปแล้วรหัสผ่านนั้นเดายากง่ายเพียงใดเทียบกับรหัสผ่านที่ไม่มีมิเตอร์บอกระดับความแข็งแรง

ทีมวิจัยร่วมระหว่างมหาวิทยาลัยแคลิฟอร์เนียเบิร์กลีย์, มหาวิทยาลัยบริติชโคลัมเบีย, และไมโครซอฟท์ ร่วมกันทำวิจัยวัดผลของการใส่มิเตอร์วัดความแข็งแรงเช่นนี้ลงในหน้าตั้งรหัสผ่าน โดยการทำหน้าเว็บพอร์ทัลสำหรับนักศึกษาของมหาวิทยาลัยบริติชโคลัมเบียให้แจ้งนักศึกษาให้เปลี่ยนรหัสผ่าน

Kaspersky ประกาศว่าได้ทำข้อตกลงกับ Qualcomm เพื่อปรับปรุงความปลอดภัยให้แก่สมาร์ทโฟนและแท็บเล็ตที่ใช้หน่วยประมวลผล Snapdragon ของ Qualcomm โดยจะเป็นการล้วงลึกลงไปทำงานตั้งแต่ "ส่วนล่างของระบบปฏิบัติการ"

แน่นอนว่าระบบปฏิบัติการที่ถูกกล่าวถึงนี้ก็คือ Android โดยแนวทางหนึ่งที่ Kaspersky เล็งไว้คือการใช้บางส่วนของระบบปฏิบัติการเพื่อดำเนินการด้านความปลอดภัยสำหรับอุปกรณ์ ซึ่งสามารถเก็บข้อมูลได้อย่างปลอดภัย และสามารถเชื่อมต่อกับข้อมูลบนกลุ่มเมฆที่มีความปลอดภัยได้

ช่วงหลังๆ เราได้เห็นรายการการเจาะฐานข้อมูลเว็บไซต์จำนวนมาก และรหัสผ่านมักหลุดออกมาสู่สาธารณะ แม้รหัสผ่านเหล่านี้จะแฮชเอาไว้แล้วก็ตามแต่ก็มักจะถูกแกะออกมาได้ในภายหลังด้วยการไล่ค่าที่เป็นไปได้ทั้งหมด ข้อเสนอใหม่จาก Ari Juels และ Ronald L. Rivest (ตัว R ใน RSA) เสนอแนวทางการตรวจจับการใช้รหัสผ่านที่หลุดออกไปในชื่อว่า "Honeywords"

Honeywords เสนอให้เก็บค่าแฮชของรหัสผ่านพร้อมๆ กันหลายๆ รหัส โดยเก็บกระบวนการเลือกว่ารหัสผ่านไหนเป็นรหัสจริงไว้อีกชั้นหนึ่งแยกออกไป ภายใต้กระบวนการนี้หากแฮกเกอร์ได้ค่าแฮชของรหัสผ่านไปแล้วพยายามล็อกอินเข้าระบบด้วยรหัสผ่านที่ย้อนกลับค่าแฮชมาได้ โอกาสที่จะใช้รหัสผ่านที่ผิดจะมีสสูงและผู้ให้บริการจะสามารถล็อกบัญชีผู้ใช้ที่ถูกโจมตีได้ทันท่วงที

McAfee (ปัจจุบันเป็นบริษัทลูกของอินเทล) ประกาศซื้อบริษัท Stonesoft จากฟินแลนด์ด้วยมูลค่า 389 ล้านดอลลาร์

Stonesoft เป็นบริษัทด้านซอฟต์แวร์ความปลอดภัยเครือข่าย (network security) โดยมีผลิตภัณฑ์อย่าง irewall, evasion prevention system, SSL VPN การซื้อกิจการครั้งนี้ช่วยให้ McAfee มีผลิตภัณฑ์กลุ่ม firewall สายองค์กรครบถ้วนมากขึ้น

ที่มา - McAfee

มีรายงานว่า ซัมซุงจะส่งอัพเดตแรกให้ Galaxy S4 ในเร็วๆ นี้ โดยเป็นอัพเดตเรื่องความปลอดภัยของตัวเครื่อง แต่ประเด็นสำคัญคือในอัพเดตนี้ซัมซุงจะเปลี่ยนเคอร์เนลของตัวเครื่อง Galaxy S4 ใหม่ และจะทำให้การรูทตัวเครื่องไม่สามารถทำได้อีกต่อไปครับ

ความสามารถสำคัญของคอมพิวเตอร์คือการทำตามคำสั่งที่ชัดเจนได้อย่างแม่นยำและคาดเดาผลลัพธ์ได้เป็นอย่างดี แต่ในโลกความเป็นจริง กระบวนการอย่างหนึ่งที่สำคัญมากคือการ "มั่ว" ที่ในแม้แต่มนุษย์เราเองก็ยังทำได้ลำบาก เราอาจจะขอให้ใครสักคนมั่วตัวเลขอะไรก็ได้สักสี่หลักให้เรา แต่เราอาจจะพบว่าเมื่อเราขอให้คนจำนวนมากๆ สุ่มเลข เราอาจจะพบว่าเลขที่เราได้มักเป็นเลขที่เราใช้งานบ่อยๆ เช่น "1234", "0000", หรือ "1111"

Facebook ปรับปรุงฟีเจอร์ Trusted Friends ที่เปิดตัวในปี 2011 และเปลี่ยนชื่อใหม่เป็น Trusted Contacts

รูปแบบการใช้งานยังคล้ายของเดิมคือเราต้องกำหนดตัว "เพื่อนที่เชื่อใจได้" จำนวน 3-5 คนจากหน้า Security Settings

จากนั้นถ้าเราเกิดปัญหาในการล็อกอินเข้าระบบ เราสามารถติดต่อเพื่อนๆ เหล่านี้ผ่านช่องทางอื่นๆ (เช่น โทรศัพท์) เพื่อขอให้ส่งโค้ดยืนยันตัวตนมาให้เราได้ เมื่อเราได้โค้ด 3 ชุดจากเพื่อน 3 คนก็นำมาป้อนเข้าระบบ Facebook เพื่อปลดล็อคบัญชีได้เลย

Facebook บอกว่าการปลดล็อคบัญชีด้วยวิธีนี้สะดวกกว่า security question เพราะไม่ต้องมานั่งจำคำถาม รวมถึงสะดวกกว่าการกรอกฟอร์มคำร้องยืนยันความเป็นเจ้าของบัญชีด้วย

บริษัท Core Security แจ้งเตือนรายการช่องโหว่ของอุปกรณ์ D-Link IP Cameras ซึ่งอาจส่งผลให้ผู้โจมตีสามารถเข้าถึงวีดิโอที่กำลังสตรีมอยู่ในขณะนั้นได้ โดยรายการของช่องโหว่ดังกล่าวนี้มีตั้งแต่ระดับทั่วไป (ข้ามผ่านการล็อกอิน) จนไปถึงการอัดฉีดคำสั่งเพื่อควบคุมได้

ตำรวจเนเธอแลนด์ยืนยันข่าวการเข้าจับกุมชายวัย 35 ซึ่งถูกกล่าวหาว่าเป็นผู้อยู่เบื้องหลังการ DDoS เว็บไซต์ Spamhaus ซึ่งเป็นโปรเจคการติดตามเว็บไซต์สแปมและเก็บข้อมูลของสแปมในเดือนมีนาคม โดยการโจมตีในครั้งนี้นับว่าเป็นการ DDoS ที่ใช้ปริมาณแบนด์วิดท์‎เยอะที่สุดในประวัติศาสตร์คือ 300Gbps

ในเบื้องต้นเชื่อกันว่าชายคนนี้คือ Sven Kamphuis เจ้าของและผู้ดูแลบริการเว็บโฮสติ้งที่มีบังเกอร์ป้องกันนิวเคลียร์ CyberBunker โดยน่าจะมีเหตุจูงใจจากการที่ Spamhaus ได้เพิ่มเว็บไซต์ของ CyberBunker เข้าสู่แบล็คลิสต์ว่าเป็นสแปม โดยชายคนนี้จะถูกดำเนินการตามกฎหมายต่อไป

เว็บไซต์โซเชียลคอมเมิร์ซรายใหญ่ LivingSocial (ที่ Amazon ถือหุ้นอยู่บางส่วน) ประกาศว่าระบบของตัวเองถูกแฮ็ก และมีข้อมูลบางส่วนถูกขโมย

ประเภทของข้อมูลผู้ใช้ที่ LivingSocial ระบุว่าถูกขโมยคือ ชื่อ อีเมล ที่อยู่ วันเกิด รวมถึงรหัสผ่านที่ถูกเข้ารหัสและ hash/salt ไว้แล้ว ส่วนข้อมูลบัตรเครดิตและข้อมูลที่เกี่ยวข้องกับผู้ขายสินค้าไม่ถูกขโมยไปด้วย

LivingSocial แจ้งให้ผู้ใช้ทุกคนเปลี่ยนรหัสผ่านโดยทันที รวมถึงเปลี่ยนรหัสผ่านเดียวกันที่ใช้บนเว็บไซต์อื่นๆ ด้วย ส่วนประเด็นว่าโดนเจาะระบบได้อย่างไรกำลังอยู่ระหว่างการสอบสวน

กรมตำรวจออสเตรเลียได้ประกาศการจับกุม Matthew Flannery หรือ Aush0k วัย 24 ปี ผู้อ้างตัวว่าเป็นหัวหน้ากลุ่ม LulzSec ซึ่งเคยฝากผลงานไว้มากมายก่อนจะยุบกลุ่มไป (ดูข่าวเก่า)

จากข้อมูลเบื้องต้นบน LinkedIn ผู้ต้องหาเคยเป็นวิศวกรด้านความปลอดภัย Tenable Network Security มาก่อน และมีความสามารถด้านความปลอดภัยในระบบคอมพิวเตอร์อยู่ในระดับสูง