บริษัทด้านความปลอดภัย Bkav ได้แจ้งเตือนช่องโหว่ด้านความปลอดภัยของแอพ Viber ซึ่งสามารถใช้ข้ามผ่านการล็อกหน้าจอบนอุปกรณ์แอนดรอยด์ได้

นาย Nguyen Minh Duc หัวหน้าฝ่ายความปลอดภัยของ Bkav กล่าวว่า วิธีการจัดการป๊อบอัพของ Viber บนอุปกรณ์นั้นทำงานผิดพลาดจนทำให้เกิดช่องโหว่ดังกล่าวได้ ซึ่งในการทดสอบนั้นได้มีการใช้ช่องโหว่นี้บนอุปกรณ์ Google Nexus 4, Samsung Galaxy S2, Sony Xperia Z และ HTC Sensation XE และพบว่าสามารถใช้ประโยชน์ช่องโหว่ได้ทั้งหมด (ดูวีดีโอการทดสอบ)

โดยทางผู้ผลิต Viber ได้แนะนำให้ผู้ใช้งานทำการปิดการทำงานของฟังก์ชัน "Unlock for popups" จนกว่าจะมีการแพตซ์ช่องโหว่ดังกล่าวนี้

Internet Corporation for Assigned Names and Numbers (ICANN) ได้เผยแพร่เนื้อหาเกี่ยวกับคำแนะนำในการรับมือการโจมตีแบบ DDoS ในกรณีที่เกิดขึ้นกับองค์กรต่างๆ โดยภาพรวมนั้นจะเป็นขั้นตอนการป้องกันเบื้องต้น การติดต่อไปยังผู้ให้บริการทั้ง ISP และเว็บโฮสติ้ง ซึ่งยังรวมไปถึงการติดต่อทางด้านกฎหมายเพื่อเอาผิดในกรณีที่การโจมตีสร้างความเสียหายมากด้วย

ในปัจจุบันทางเลือกสุดท้ายของแฮกเกอร์หากไม่สามารถระงับการให้บริการของเว็บไซต์หรือเซิร์ฟเวอร์โดยช่องโหว่ด้านความปลอดภัย ก็มักที่จะเลือกการโจมตีแบบ DDoS เป็นไม้ตายก้นหีบ เนื่องจากเป็นวิธีที่ง่ายและค่อนข้างได้ผลหากมีประสิทธิภาพในการโจมตีที่สูง

มีรายงานถึงช่องโหว่ของการทำงานของปลั๊กอิน WP Super Cache และ W3 Total Cache ที่ทำให้ผู้ไม่ประสงค์ดีสามารถแทรกโค้ดแปลกปลอมขึ้นไปทำงานบนเครื่องเซิร์ฟเวอร์ได้โดยไม่ได้รับอนุญาต (Remote code execution exploit) โดยเกิดจากช่องโหว่ในระบบที่อนุญาตให้บางส่วนของหน้าเว็บสามารถรัน PHP code ได้แม้ว่าปลั๊กอินดังกล่าวทำงานอยู่ก็ตาม

ทั้งนี้ผู้สร้างปลั๊กอินทั้งสองแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้วครับ สามารถอัพเดตผ่านส่วนจัดการปลั๊กอินใน WordPress ได้เลยครับ

ที่มา: WordPress support ผ่าน reddit/netsec

การใช้รหัสผ่านเป็นวิธีการยืนยันตัวตนที่ใช้กันมานานมาก จุดอ่อนของมันคือความยุ่งยากของฝั่งผู้ใช้เองที่ต้องจำรหัสผ่านหลายๆ ชุด และถูกเจาะหรือขโมยได้ง่ายมาก

ทางออกที่ปลอดภัยกว่าคือการใช้วิธียืนยันตัวตนแบบอื่นๆ (เช่น ลายนิ้วมือ เสียง หรืออุปกรณ์ฮาร์ดแวร์) เข้าช่วยยืนยันอีกชั้นหนึ่ง แต่ปัญหาคือยังไม่มีมาตรฐานกลางสำหรับการยืนยันตัวตน 2 ชั้นลักษณะนี้ ทำให้ผู้ใช้ยุ่งยากและพลอยไม่ใช้งานไปในที่สุด

บริษัทไอทีอย่าง Lenovo, Infineon, PayPal จึงรวมกันตั้งกลุ่มมาตรฐานอุตสาหกรรมชื่อ FIDO Alliance ขึ้นมาเพื่อสร้างแพลตฟอร์มกลางสำหรับเว็บไซต์หรือเบราว์เซอร์ เพื่อให้รองรับวิธีการยืนยันตัวตนที่หลากหลายมากขึ้น

เมื่อต้นปีที่ผ่านมา ซัมซุงเปิดตัวฟีเจอร์ด้านความปลอดภัยบนมือถือชื่อ Knox (เน้นสำหรับองค์กรที่จะให้พนักงานนำมือถือของตัวเองมาใช้หรือ BYOD - ข่าวเก่า) โดยมือถือตัวแรกที่จะได้ฟีเจอร์นี้คือ Galaxy S4

แต่ล่าสุดมีข้อมูลว่า Knox ยังไม่พร้อม และซัมซุงตัดสินใจเลื่อนการออก Knox ไปเป็นช่วงเดือนกรกฎาคม ซึ่งคาดว่าจะมาบน S4 ในรูปของซอฟต์แวร์อัพเดต

ในกระบวนการรักษาความปลอดภัยคอมพิวเตอร์ นอกเหนือจากการดูแลระบบให้ควบคุมสิ่งที่ผู้ใช้หรือผู้บุกรุกให้ไม่สามารถทำงานใดๆ นอกเหนือจากที่กำหนดไว้ กระบวนการเข้ารหัส (Cryptography) นับเป็นสิ่งสำคัญที่ช่วยให้กระบวนการควบคุมนั้นเป็นไปได้จริง กระบวนการเข้ารหัสทุกวันนี้มักสร้างจากตัวประกอบสามตัวหลักได้แก่ ฟังก์ชั่นแฮช, การเข้ารหัสแบบกุญแจสมมาตร (symmetric key), และการเข้ารหัสแบบกุญแจอสมมาตร (asymmetric key) ในตอนแรกจะพูดถึงฟังก์ชั่นแฮชก่อน

สำนักข่าว Wired รายงานข่าวว่า ตอนนี้ทวิตเตอร์กำลังทดสอบระบบล็อกอินสองชั้น (two-step authentication หรือ two-factor authentication) เป็นการภายใน และเตรียมปล่อยให้ผู้ใช้ทั่วไปได้ใช้กันเร็ว ๆ นี้

เนื่องจากบัญชีทวิตเตอร์ของคนดังนั้นถูกแฮกหลายคน เช่น Barack Obama (@ BarackObama) ประธานาธิบดีสหรัฐฯ, นางสาวยิ่งลักษณ์ ชินวัตร (@PouYingluck) นายกรัฐมนตรี และเหยื่อรายล่าสุดคือสำนักข่าว AP (@AP) ที่ถูกแฮกแล้วทวีตข่าวปลอมว่านาย Barack Obama ประธานาธิบดีสหรัฐฯ โดนระเบิด เป็นต้น จึงไม่แปลกที่ทวิตเตอร์จะต้องนำระบบล็อกอินสองชั้นออกมาใช้

Symantec ออกรายงาน Internet Security Threat ฉบับล่าสุด มีข้อมูลที่น่าสนใจคือการจารกรรมข้อมูลหรือทรัพย์สินทางปัญญาเพิ่มขึ้น 42% จากปีก่อน

กลุ่มเป้าหมายหลักของการจารกรรมข้อมูลคืออุตสาหกรรมการผลิตและธุรกิจ SME ที่ลงทุนกับระบบความปลอดภัยไม่เยอะนัก

บริษัทความปลอดภัย Lookout เผยข้อมูลของมัลแวร์ตัวใหม่ชื่อ "BadNews" บนแพลตฟอร์ม Android ซึ่งประเมินว่ามีคนโหลดแอพที่ฝัง BadNews ไปแล้ว 2-9 ล้านครั้ง โดยส่วนใหญ่อยู่ในรัสเซียและกลุ่มประเทศในเครือโซเวียตเก่า

ความน่าสนใจของ BadNews อยู่ที่ผู้สร้างมัลแวร์นั้นสร้าง "เครือข่ายโฆษณาบนมือถือ" (ลักษณะเดียวกับ AdMob หรือ iAd) ที่ทำงานได้จริงๆ และเชิญชวนให้ผู้สร้างแอพหันมาแปะโฆษณาของตัวเอง ทำให้การส่งแอพขึ้น Google Play ตรวจไม่พบโค้ดของมัลแวร์เพราะตอนแรก BadNews แปะมาแต่โฆษณาตามอย่างแอพทั่วไป

รายงานจากทีม Hashcat รายงานระบบการเข้ารหัสผ่าน พบว่ารหัสผ่านหลัก (master password) ของ 1Password ที่เข้ารหัสแบบทางเดียวด้วย PBKDF2-HMAC-SHA1 จากเดิมที่ต้องคำนวณ SHA1 ถึงกว่า 8,000 รอบซึ่งเปลืองรอบการคำนวณอย่างมาก แต่หลังจากวิเคราะห์ระบบการเข้ารหัสของ 1Password แล้วกลับพบว่าการคำนวณจริงๆ ต้องการการคำนวณเพียง 4000 รอบก็เพียงพอแล้ว

Oracle ออกมาประกาศว่า Java 8 ที่มีกำหนดออกเดือนกันยายนนี้ จะถูกเลื่อนออกไปเป็นปี 2014 (กำหนดเวลายังไม่ชัดเจน แต่น่าจะเป็นไตรมาสแรกของปี 2014)

เหตุผลที่เลื่อนเป็นเพราะปัญหาด้านความปลอดภัยของ Java ที่รุมเร้าอยู่ในตอนนี้ ทำให้ทีมงานต้องการเวลาเพิ่มเติมในการปรับปรุงกระบวนการพัฒนา Java ให้ปลอดภัยกว่าเดิม

Cody Kretsinger หนึ่งในสมาชิกกลุ่ม LulzSec ซึ่งเคยสร้างผลงานทั้งการแฮ็กเว็บไซต์ Sony Pictures รวมไปถึงการ DDoS ใส่เว็บไซต์ CIA และถูกจับในเวลาต่อมา โดยมีแนวโน้มว่าจะมีการตัดสินจำคุกผู้กระทำความผิดถึง 15 ปี แต่ผู้กระทำความผิดได้รับสารภาพและยอมที่จะบำเพ็ญสาธารณประโยชน์เป็น 1,000 ชั่วโมง ทำให้โทษจำคุกเหลือ 1 ปี และจะต้องจ่ายค่าเสียหายให้กับทาง Sony Pictures เป็นจำนวน $605,663 ด้วย

ที่มา - PC World

Cody Kretsinger หนึ่งในสมาชิกกลุ่ม LulzSec ซึ่งเคยสร้างผลงานทั้งการแฮ็กเว็บไซต์ Sony Pictures รวมไปถึงการ DDoS ใส่เว็บไซต์ CIA และถูกจับในเวลาต่อมา โดยมีแนวโน้มว่าจะมีการตัดสินจำคุกผู้กระทำความผิดถึง 15 ปี แต่ผู้กระทำความผิดได้รับสารภาพและยอมที่จะบำเพ็ญสาธารณประโยชน์เป็น 1,000 ชั่วโมง ทำให้โทษจำคุกเหลือ 1 ปี และจะต้องจ่ายค่าเสียหายให้กับทาง Sony Pictures เป็นจำนวน $605,663 ด้วย

ที่มา - PC World

นักวิจัยจาก Independent Security Evaluators (ISE) ได้เปิดเผยรุ่นเราเตอร์ชื่อดังหลังจากพบช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถใช้โจมตีและขโมยข้อมูลได้ภายในเครือข่าย LAN เดียวกัน และ 11 รุ่นจาก 13 รุ่นสามารถเข้าควบคุมอุปกรณ์ได้จากเครือข่าย WAN

โดยรุ่นเราเตอร์ที่ถูกประกาศออกมาก็ได้แก่ Linksys WRT310Nv2, Belkin F5D8236-4 v2, Belkin N300, Belkin N900, Netgear WNDR4700, TP-Link WR1043N, Verizon Actiontec, D-Link DIR-865L เป็นต้น ซึ่งการโจมตียังสามารถแบบออกได้เป็นสามรูปแต่ที่อันตรายที่สุดคือแฮกเกอร์สามารถเข้าถึงอุปกรณ์เหล่านั้นได้โดยไม่ต้องอาศัยการตอบสนองของมนุษย์ หรือการพิสูจน์ตัวตนใดๆ เลย

ออราเคิลปล่อยแพตซ์ความปลอดภัยจำนวนมากให้กับสินค้าหลายตัว ตั้งแต่ระบบฐานข้อมูล, แอพพลิเคชั่นเซิร์ฟเวอร์, มิดเดิลแวร์, และซอฟต์แวร์จัดการเช่น Siebel/PeopleSoft รวมไปถึงขาประจำอย่างจาวาไปพร้อมกัน

แพตซ์ทั้งหมดเป็นแพตซ์ความปลอดภัยในระดับ critical ออราเคิลแนะนำให้ลูกค้าทุกรายอัพเดตให้เร็วที่สุดเท่าที่เป็นไปได้ บั๊กหลายตัวสามารถข้ามผ่านระบบการล็อกอินเพื่อโจมตีได้

ใครดูแลระบบไหนกันอยู่ตอนนี้อาจจะต้องเร่งมาทดสอบเพื่อเอาตัวใหม่ขึ้นกันเร็วสักหน่อยครับ

ออราเคิลออก Java 7u21 และ Java 6u45 บนแพลตฟอร์มอื่นๆ ไปแล้ว ทางฝั่งแอปเปิลที่ออก Java 6 เวอร์ชันของตัวเองบน OS X ก็อัพเดตตามเรียบร้อย (สำหรับผู้ที่ใช้ Java 7 ต้องอัพผ่านระบบของออราเคิลกันเองเหมือนระบบปฏิบัติการอื่นๆ)

อัพเดตของแอปเปิลตัวนี้ใช้ชื่อว่า Java for OS X 2013-003 (สำหรับ Lion ขึ้นไป) หรือ Java for Mac OS X 10.6 Update 15 (สำหรับ Snow Leopard) ผู้ใช้แมคที่ยังใช้ Java 6 ก็อัพเดตกันได้ผ่าน Software Update เพื่อความปลอดภัยครับ

ในโอกาสเดียวกัน แอปเปิลยังออก Safari 6.0.4 (Lion ขึ้นไป) และ Safari 5.1.9 (Snow Leopard) ซึ่งเพิ่มตัวเลือกการปิด Java เป็นรายเว็บไซต์ด้วย

ตรงตามข่าวหลุดก่อนหน้านี้ ไมโครซอฟท์ออกมาประกาศใช้ระบบล็อกอินสองชั้น (two-step verification) แล้ว ซึ่งจะมีผลกับบริการทั้งหมดที่ใช้ Microsoft Account เช่น Windows 8, Windows Phone, Xbox, Outlook.com, Skype, SkyDrive เป็นต้น

ระบบล็อกอินสองชั้นของไมโครซอฟท์ก็เหมือนกับระบบอื่นๆ คือผู้ใช้ยังต้องเปิดใช้งานเอง (optional) ใช้วิธีส่งโค้ดยืนยันตัวตนผ่านอีเมลหรือ SMS นอกจากนี้ยังมีแอพ Microsoft Authenticator สำหรับยืนยันตัวตนแบบออฟไลน์ได้ด้วย (ยังมีเฉพาะบน Windows Phone)

ออราเคิลออกแพตช์ให้ Java SE รอบเดือนเมษายน 2013 (นับเวอร์ชันเป็น Java 7 update 21 และ Java 6 update 45) ซึ่งแพตช์นี้แก้ปัญหาเรื่องช่องโหว่ใน Java ไปถึง 42 จุด ถือเป็นการอุดรูรั่วความปลอดภัยครั้งใหญ่สำหรับโลกของ Java

แพตช์ชุดนี้ยังเพิ่มหน้าต่าง dialog box แจ้งเตือนเมื่อผู้ใช้รัน Java applet ที่มีความเสี่ยงด้วย (เมื่อก่อนเคยมีหน้าต่างนี้ แต่มีบั๊กไม่ยอมเช็คใบรับรองดิจิทัลที่ถูกเพิกถอน)

ผู้ให้บริการโฮสติ้งขนาดใหญ่ของโลกหลายราย ให้ข้อมูลว่าพบความพยายามเจาะระบบ CMS ที่เป็น WordPress และ Joomla! (ส่วนใหญ่เป็น WordPress) ครั้งใหญ่

รูปแบบการโจมตีครั้งนี้ไม่ซับซ้อน โดยเป็นการคาดเดารหัสผ่านแอดมินของ WordPress/Joomla! ด้วยรหัสผ่านที่พบบ่อย (dictionary attack) เช่น 123456, password, 1234, qwerty เพื่อหวังฟลุคจะเข้าบัญชีแอดมินของเว็บไซต์ต่างๆ ได้นั่นเอง

พฤติกรรมของการโจมตีใช้เวลาสั้นๆ ต่อหนึ่งเว็บไซต์แต่หว่านเป็นวงกว้างแทน ส่วนจำนวนเครื่อง botnet ที่ใช้เป็นฐานโจมตีมีราวๆ 100,000 เครื่อง

เจ้าของเว็บที่ใช้ CMS เหล่านี้สามารถป้องกันตัวโดยการเปลี่ยนชื่อผู้ดูแลระบบจาก admin เป็นชื่ออื่นๆ ที่คาดเดาได้ยาก และตั้งรหัสผ่านที่แข็งแรง ไม่ใช่คำพื้นฐานที่พบบ่อยครับ

ข่าวนี้ต่อเนื่องจากข่าวนักวิจัยชี้แค่ใช้สมาร์ทโฟน Android ก็แฮ็กระบบเครื่องบินโดยสารได้ โดยหลังจากที่ได้รับการตรวจสอบเรียบร้อยแล้ว FAA หรือทบวงการบินสหรัฐได้ออกมายืนยันแล้วว่าสมาร์ทโฟน Android ไม่สามารถนำมาใช้แฮ็กเครื่องบินโดยสารได้จริงอย่างที่นักวิจัยได้สาธิตไว้ โดย FAA ให้เหตุผลว่าการสาธิตของนักวิจัยนั้นทำกับระบบ ACARS ที่ติดตั้งอยู่บนพีซีที่ใช้สำหรับฝึกซ้อม และช่องโหว่ที่นักวิจัยใช้นั้นมีอยู่ในระบบ ACARS บนพีซีเท่านั้น ไม่สามารถนำเทคนิคดังกล่าวนี้มาใช้กับอุปกรณ์บนเครื่องบินที่ได้รับการรับรองแล้ว

ผู้ใช้ของ Mt.Gox ที่ชื่อว่า bitbully รายงานว่ามีเว็บระบุตัวเองว่าเป็นบริการแชตเพื่อเชื่อมต่อกับ Mt.Gox เขาจึงลองเข้าเว็บดูแต่ปรากฎว่าหน้าเว็บมีเพียง applet ที่โหลดไม่ขึ้น แต่หลังจากนั้นมีรายงานจาก Mt.Gox ว่าเขาสั่งโอนเงินจำนวน 34 BTC ออกจากบัญชี ในเวลาเดียวกับที่เขาเข้าเว็บนั้น จึงรู้ว่าถูกขโมยเงินไปเสียแล้ว

แม้จะเสียเงินไปแล้ว แต่ bitbully ยังเข้าเว็บเดิมเพื่อไปดาวน์โหลด applet ในเว็บกลับออกมา แล้วนำไปให้เพื่อนจาวาโปรแกรมเมอร์ตรวจ พบว่ามี applet ที่อาศัยบั๊กความปลอดภัยของจาวาเพื่อทำ Cross Site Injection แล้วสั่งโอนเงินโดยไม่ต้องให้ผู้ใช้เข้าไปยุ่งเกี่ยวอะไรด้วย

ในงานสัมมนาว่าด้วยเรื่องความปลอดภัยที่ชื่อ Hack in the Box ซึ่งจัดขึ้นใน Amsterdam เมื่อไม่นานมานี้ มีการเปิดเผยความจริงที่น่าสนใจเรื่องหนึ่งว่าการแฮ็กระบบควบคุมเครื่องบินโดยสารด้วยสมาร์ทโฟน Android เพียงหนึ่งเครื่องนั้นสามารถทำได้จริงโดยนักวิจัยด้านความปลอดภัย

Hugo Teso นักวิจัยด้านความปลอดภัยใช้สมาร์ทโฟนยี่ห้อ Samsung รุ่นหนึ่งทำการแฮ็กและเข้ายึดระบบควบคุมเครื่องและระบบการแสดงผลของหน้าจอในห้องควบคุมการบิน โดยเขาสามารถเปลี่ยนเส้นทางการบิน และความเร็วในการเดินทางโดยใช้เซ็นเซอร์วัดอัตราเร่ง (accelerometer) ที่อยู่ในสมาร์ทโฟน หรือกล่าวอีกอย่างได้ว่าเขาสามารถแก้ไขข้อมูลเกี่ยวกับระบบนำร่องของเครื่องบินได้แทบทุกอย่าง

เว็บไซต์ LiveSide ได้รับข้อมูลระบบล็อกอินสองชั้น (two-step authentication) เพื่อเข้าสู่บริการจากไมโครซอฟท์มา โดยหลักการทำงานระบบดังกล่าวนั้น หลังจากผู้ใช้ตั้งค่าใช้ล็อกอินสองชั้นแล้วเมื่อล็อกอินจากอุปกรณ์ใดที่ไม่ได้ถูกระบุว่าเป็นอุปกรณ์ที่เชื่อถือได้ (trusted PC) จะต้องกรอกรหัสที่ถูกสุ่มแฮชอิงตามเวลามา จากแอพ Authenticator บนมือถือ

แม้ปัญหาความปลอดภัยจะเริ่มต้นในยุคแรกๆ ในโลกด้วยปัญหา buffer overflow แต่เมื่อโลกเข้าสู่ยุคของเว็บ และโดยเฉพาะเมื่อเว็บเริ่มไม่ใช่ไฟล์ html เปล่าๆ แต่เป็นเว็บที่สามารถปรับตามผู้ใช้งานได้ เริ่มจากยุคของ CGI ที่เป็นโปรแกรมภาษาต่างๆ เรื่อยมาถึงเว็บเซิร์ฟเวอร์แบบอื่นไม่ว่าจะเป็น J2EE หรือระบบ fastcgi ปัญหาความปลอดภัยของเว็บก็กลายเป็นปัญหาใหญ่ที่โลกเจอกันเรื่อยมาจนทุกวันนี้

ปัญหา script injection หรือการใส่สคริปต์เข้ามาในเซิร์ฟเวอร์นั้นเป็นการโจมตีที่ตรงตัวกับชื่อของมัน เมื่อเซิร์ฟเวอร์เปิดให้อัพโหลดไฟล์เข้าไปยังเซิร์ฟเวอร์ ไม่ว่าจะเป็นการอัพโหลดภาพ หรือการอัพโหลดไฟล์อื่นๆ ในเว็บเซิร์ฟเวอร์ที่รันไฟล์ภาษาสคริปต์นั้น โดยทั่วไปแล้วจะถูกคอนฟิกให้รันทุกไฟล์สคริปต์ เช่น เว็บเซิร์ฟเวอร์ Apache ที่ติดตั้ง PHP ทุกวันนี้จะถูกคอนฟิกให้รันทุกไฟล์ที่ลงท้ายชื่อไฟล์ด้วย ".php"

WordPress.com เป็นบริการออนไลน์รายล่าสุดที่เริ่มใช้ระบบล็อกอินสองชั้น (two-factor authentication)

WordPress.com เรียกบริการนี้ว่า Two Step Authentication โดยเบื้องต้นเป็นบริการเสริมที่ต้องเปิดใช้เองในหน้า Settings > Security ส่วนกระบวนการล็อกอินสองชั้นก็เหมือนกับรายอื่นๆ คือใช้รหัสผ่านควบคู่ไปกับ One-time Password (OTP)

จุดที่น่าสนใจคือ WordPress.com เลือกได้ว่าจะส่ง OTP ผ่านทาง SMS ตามปกติ หรือจะสร้างรหัสผ่านจากแอพ Google Authenticator ที่ใช้ได้บน Android, iOS และ BlackBerry อีกทางเลือกหนึ่งด้วย