หลังจากที่มีข่าวช่องโหว่หน้าจอล็อครหัสใน iOS 6 และ Samsung Galaxy Note II ทาง Amazon เองก็คงกลัวผู้ใช้ Kindle จะไม่มีอะไรทำขณะอยู่หน้าล็อกรหัส เตรียมของเล่นไว้ให้เรียบร้อยครับ

หลายครั้งที่ปัญหาความปลอดภัย เกิดจากระบบรักษาความปลอดภัยหลายตัวทำงานขัดแย้งกันเอง โดยอาศัยความแตกต่างกันของระดับสิทธิ์แต่ละตัว

วันที่ 30 มีนาคมที่ผ่านมาเว็บไซต์หลักของนักร้องสาวชื่อดัง Jessie J ได้ถูกแฮกโดยการใส่ข้อความที่ไม่เหมาะสมเกี่ยวกับนักร้องสาว Lady Gaga ลงไปในเว็บว่า “The whole Universal Republic (Universal Music) can suck Lady Gaga’s d**k” โดยผลงานการแฮกครั้งนี้เป็นของกลุ่มที่มีชื่อว่า ‘Killuminati’ครับ

มีรายงานว่าผู้ใช้ iMessage บนระบบ iOS โดนถล่มด้วยข้อความจนแอพใช้งานไม่ได้ ต้นเหตุของปัญหาน่าจะเกิดจากการส่งข้อความด้วยแอพ Messages บน OS X (ที่ส่งข้ามกับ iMessage ได้) เป็นจำนวนมากด้วย AppleScript

กลุ่มผู้ใช้ที่โดนถล่มเป็นนักพัฒนาแอพบน iOS ที่ถูกกลุ่มป่วนทราบ iMessage ID และส่งข้อความมาให้ชุดใหญ่ ตัวอย่างข้อความได้แก่ "We are Anomymous, We are legion, We do not forget, We do not forget, Expect us." ซึ่งยังไม่แน่ชัดว่ามาจากกลุ่มแฮ็กเกอร์ Anonymous จริงหรือไม่

ผมได้รับข่าวสารจากทางทวิตเตอร์ว่าในช่วงเที่ยงคืนของวันที่ 29 มีนาคม ได้มีแฮกเกอร์ทำการเจาะระบบของเว็บไซต์กระทรวงศึกษาธิการ และได้ทำการแก้บริเวณหน้าเว็บไซต์โดยขึ้นข้อความว่า "พวกเราเด็กรุ่นใหม่ กรุณาสอนในเรื่องที่ต้องใช้ในอนาคต ไม่ใช่สอนเอาไปแค่สอบแข่งขัน BY MRHOP3R" ซึ่งในตอนนี้ก็เป็นที่คาดเดากันไปต่างๆ นานาว่าแฮกเกอร์คนนี้ใช้วิธีหรือช่องโหว่ใดในการเจาะระบบ

บริษัทความปลอดภัย Doctor Web ของรัสเซียออกมาเตือนภัยโทรจันชื่อ Trojan.Yontoo.1 ซึ่งจะหลอกผู้ใช้ Mac OS X ให้ติดตั้งโทรจันตัวนี้ลงไปในฐานะปลั๊กอินของเบราว์เซอร์สำหรับดูเทรลเลอร์ภาพยนตร์หรือปรับปรุงคุณภาพวิดีโอ (ใช้ชื่อหลอกๆ ว่า Free Twit Tube)

ถ้าผู้ใช้งานหลงเชื่อและติดตั้งมันลงไปในเครื่อง เบราว์เซอร์ในเครื่องไม่ว่าจะเป็น Safari, Firefox, Chrome จะได้รับผลกระทบทั้งหมด โทรจันตัวนี้จะได้ข้อมูลการท่องเว็บของเราไป และแอบฝังโฆษณาลงในเว็บไซต์โดยที่เราไม่รู้ตัว ซึ่งเว็บไซต์ apple.com ของแอปเปิลเองก็โดนฝังโฆษณาด้วย

โทรจันตัวนี้ไม่ได้เจาะผ่านช่องโหว่ของ Mac OS X แต่ใช้วิธี social engineering หลอกผู้ใช้ให้ติดตั้ง ตัวโทรจันมีเวอร์ชันบนวินโดวส์ด้วยเช่นกันครับ

แอปเปิลตามหลังผู้ให้บริการออนไลน์ชื่อดังๆ ที่นำร่องระบบล็อกอินสองชั้น (two-step authentication) กับบริการ iCloud และ Apple ID ของตัวเองแล้ว

ในเบื้องต้นระบบล็อกอินสองชั้นของแอปเปิลยังเป็นแค่ทางเลือกให้ผู้ใช้ ไม่ได้บังคับใช้งาน ส่วนวิธีการก็คล้ายๆ ระบบล็อกอินของธนาคารออนไลน์ในปัจจุบัน นั่นคือล็อกอินด้วยรหัสผ่านปกติหนึ่งชั้น จากนั้นแอปเปิลจะส่งโค้ด 4 ตัวมาทาง SMS หรือ Find My iPhone มายังอุปกรณ์ iOS ที่เรายืนยันได้ว่าเป็นของเรา (trusted device) ให้ยืนยันตัวตนอีกครั้งหนึ่ง

การล็อกอินสองชั้นจะถูกใช้ต่อเมื่อเราเข้าไปแก้ไขข้อมูลในหน้า My Apple ID หรือสั่งซื้อสินค้าจาก iTunes, App Store, iBookstore เท่านั้น

ผู้อ่าน Blognone คงรู้จักหรือเคยใช้บริการ Google Public DNS (8.8.8.8 และ 8.8.4.4) กันมาบ้าง

ล่าสุดกูเกิลประกาศว่าบริการ Public DNS ของตัวเองรองรับการตรวจสอบและยืนยันตัวตนของเซิร์ฟเวอร์ DNS หรือที่รู้จักกันในชื่อ DNSSEC validation แล้ว

DNSSEC เป็นส่วนขยายด้านความปลอดภัยของโพรโทคอล DNS เพื่อช่วยแก้ปัญหาการปลอมเซิร์ฟเวอร์ DNS ต้นทาง เพราะเครื่องลูกข่ายที่ขอข้อมูล DNS จะมีวิธีตรวจสอบว่าเซิร์ฟเวอร์ (ในที่นี้คือ Google Public DNS) เป็นเครื่องจริงหรือไม่ และโดนแอบหยอดข้อมูลระหว่างทาง (DNS cache poisoning) ระหว่างทางหรือไม่

หลังผ่านมาได้สองสัปดาห์จากมีคนพบช่องโหว่บน iOS 6.1 ทำให้เข้าถึงข้อมูลได้แม้ iPhone ตั้งรหัสล็อค ทางแอปเปิลได้ปล่อยอัพเดตของ iPhone เพื่ออุดช่องโหว่ดังกล่าว และในอัพเดตเวอร์ชั่นนี้ได้มีการปรับปรุงเพิ่มความถูกต้องของแผนที่ประเทศญี่ปุ่นมากขึ้น

ในไทยก็เห็นแจ้งเตือนการอัพเดตแล้วครับ สามารถอัพเดตกันได้เลย

ที่มา - Apple Support

สำหรับผู้ที่มีอาชีพในการทดสอบเจาะระบบเพื่อตรวจสอบความปลอดภัย รวมไปถึงผู้ที่สนใจย่อมคุ้นเคยกับชื่อ BackTrack ดีอยู่แล้ว มันเป็นระบบปฏิบัติการลินุกซ์ซึ่งได้รับความนิยมอย่างแพร่หลายในการใช้งานด้านความปลอดภัย สำหรับตอนนี้ทาง Offensive Security ทีมผู้พัฒนา BackTrack ได้เปิดตัวระบบปฏิบัติการขึ้นใหม่ภายใต้ชื่อ Kali Linux โดยมุ่งไปยังกลุ่มเป้าหมายระดับในธุรกิจ

Symantec ได้ค้นพบหลักฐานใหม่ที่เชื่อมโยงกับข้อมูลของมัลแวร์ Stuxnet ว่าข้อมูลล่าสุดเบื้องต้นนั้น Stuxnet เวอร์ชัน 1.001 ถูกสร้างขึ้นในปี 2009 แต่หลักฐานใหม่พบว่า Stuxnet เคยมีเวอร์ชัน 0.5 ในช่วงปี 2007-2009 ดังนั้นการพัฒนามัลแวร์ตัวนี้น่าจะมาก่อนปี 2007 เสียอีก

เว็บไซต์ NIST National Vulnerability Database (NVD) ถูกแฮกโดยแฮกเกอร์นิรนามในช่วงสัปดาห์ที่แล้ว อ้างอิงจาก +Kim Halavakoski CSO ของ Crosskey Banking Solutions และ BlackCat Security ว่าเขาได้ทำการเมลสอบถามไปยังผู้ดูแลระบบของ NIST ถึงข้อความการปิดปรับปรุงชั่วคราวของทางเว็บไซต์ว่าเกิดจากสาเหตุใด ซึ่งภายในเมลตอบกลับจาก Gail Porter ซึ่งเป็นโฆษกของทาง NIST ว่าไฟร์วอลได้ทำการตรวจพบการเชื่อมต่อที่น่าสงสัย แล้วจึงทำการบล็อคการเข้าถึงจากภายนอกทำให้เว็บไซต์ไม่สามารถเข้าถึงได้

ทีมนักวิจัยจากอิสราเอล Skycure ได้เปิดเผยช่องโหว่ที่อนุญาตให้แฮกเกอร์สามารถควบคุมและขโมยข้อมูลจากอุปกรณ์ที่ใช้ iOS ได้ โดยช่องโหว่นี้อยู่ในไฟล์ mobileconf ซึ่งถูกใช้โดยผู้ให้บริการของโทรศัพท์มือถือในการเข้าจัดการระบบในสิทธิ์ของผู้ดูแล รวมไปถึงข้อมูลการใช้งานเครือข่ายไร้สายต่างๆ ซึ่งมักถูกนำไปใช้ในการออกแพตซ์และอัพเดตของทางแอปเปิลและผู้ให้บริการเอง

พบช่องโหว่แบบ backdoor ในเราท์เตอร์ TP-Link TL-WDR4300 และ TL-WR743ND มีช่องโหวทำให้สร้าง URL ที่สั่งให้เราท์เตอร์ดาวน์โหลดไฟล์ทาง TFTP ขึ้นมาเพื่อรันในสิทธิ root

บั๊กนี้มีผลให้แฮกเกอร์แม้อยู่ภายนอกก็สามารถโจมตีเราท์เตอร์ได้หากเปิดพอร์ต HTTP บนขา WAN เอาไว้ และแม้จะปิดพอร์ตบนขา WAN ก็ยังมีความเสี่ยงบ้างที่แฮกเกอร์จะอาศัยช่องโหว่ CSRF เพื่อเปิดช่องโหว่นี้ขึ้นมาได้ (แต่จะอัพโหลด TFTP ต้องใช้ช่องโหว่อื่น)

ปัญหานี้ถูกแจกไปยังทาง TP-Link เมื่อวันที่ 12 กุมภาพันธ์ที่ผ่านมา จนกระทั่งเมื่อครบ 30 วันหลังการแจ้งแล้วไม่มีการตอบกลับ ทีมงานจึงเปิดเผยปัญหาสู่สาธารณะ

ที่มา - Sekurak

Matthew Keys ผู้ช่วยบรรณาธิการโซเชียลมีเดียของสำนักข่าวรอยเตอร์สถูกตั้งข้อหาช่วยเหลือแฮ็กเกอร์ในกลุ่ม Anonymous เพื่อเข้าไปยัง CMS ของ Tribune Company ที่เป็นเจ้าของหลายสื่อ รวมถึง Los Angeles Times เพื่อโพสข่าวปลอมบนหน้าเว็บ

Matthew Keys เคยทำงานเป็นเว็บโปรดิวเซอร์ของสถานี KTXL FOX 40 ในเครือ Tribune Company ในคำฟ้องของสำนักงานอัยการ ระบุว่าเขาเป็นผู้ใช้ที่ชื่อว่า AESCracked ที่ระบุตัวว่าเคยใช้งาน CMS ของ Tribune Company มาก่อนและสร้างชื่อผู้ใช้เตรียมไว้ จากนั้นจึงนำรหัสผ่านไปส่งให้แฮ็กเกอร์ที่ใช้ชื่อ sharpie ซึ่งต่อมาถูกจับ และได้รับข้อเสนอจาก FBI แลกการลดโทษกับการช่วยจับแฮกเกอร์รายอื่นๆ ในกลุ่ม LulzSec และ AntiSec อีกหลายคน

แพตซ์ MS13-027 เพิ่งออกมาเมื่อสองวันก่อน ทางไมโครซอฟท์ก็ออกมาอธิบายว่าบั๊กเป็นบั๊กในการอ่าน USB descriptors ที่อุปกรณ์ USB ทุกตัวจะส่งให้กับเครื่องแม่ (USB Host) เพื่อประกาศตัวเองว่าเป็นอุปกรณ์ชนิดใด

บั๊กนี้ทำให้แฮกเกอร์สามารถสร้างอุปกรณ์ USB ที่ประกาศตัวเองในรูปแบบที่มุ่งร้าย สามารถส่งโค้ดเข้ามารันในเครื่องได้ ที่แย่กว่านั้น คือ กระบวนการตรวจสอบอุปกรณ์ USB นั้นอยู่ในเคอร์เนล โค้ดที่ส่งเข้ามาจึงถูกรันในสิทธิเคอร์เนลไปด้วย โดยผู้ใช้ไม่ต้องรันหรือคลิกใดๆ และแม้แต่กรณีที่ผู้ใช้ยังไม่ได้ล็อกอินหรือล็อกหน้าจอไว้ แฮกเกอร์ก็ยังโจมตีได้

FBI เร่งตรวจสอบกรณีที่มีแฮกเกอร์ได้ทำการเปิดเผยข้อมูลสำคัญของทั้งดารานักแสดง เจ้าหน้าที่รัฐฯ ระดับสูง รวมไปถึงสตรีหมายเลขหนึ่ง ซึ่งข้อมูลดังกล่าวนั้นประกอบไปด้วยชื่อ วันเดือนปีเกิด หมายเลขประกันสังคม ที่อยู่ทั้งในอดีตและปัจจุบัน รวมไปถึงข้อมูลทางการเงินด้วย

โดยผู้ตกเป็นเหยื่อในครั้งนี้ได้แก่สตรีหมายเลขหนึ่ง Michelle Obama, Robert Mueller หัวหน้า FBI, Hillary Clinton รัฐมนตรีว่าการกระทรวงการต่างประเทศ รวมไปถึงศิลปิน ดาราและนักแสดงอย่าง Ashton Kutcher, Jay Z, Beyonce, Paris Hilton, Britney Spears เป็นต้น

ผู้ใช้ลินุกซ์คงคุ้นเคยกับข้อความอบรมเมื่อเรียกใช้โปรแกรม sudo ครั้งแรกกันดี (ความสามารถนี้ไม่ได้ถูกเปิดไว้แต่ต้นใน Ubuntu ครับ)

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

ข้อความนี้จะปรากฏให้เห็นเพียงแค่ครั้งแรกเท่านั้น โดยระบบจะจดบันทึกเวลาที่เราได้เรียกโปรแกรม sudo ลงในไฟล์ timestamp และจะไม่แสดงข้อความอบรมนี้อีกถ้าพบว่าไฟล์นี้มีอยู่

ผู้เชี่ยวชาญด้านความปลอดภัย Eric Romang พบช่องโหว่ใหม่ของ Java ที่เกี่ยวข้องกับใบรับรองดิจิทัล (digital certification)

ตามปกติแล้ว แอพเพล็ต Java ที่ถูก sign ด้วยใบรับรองดิจิทัลจะถูกมองว่าเชื่อถือได้ และสามารถทำงานได้ทันที (โดยผู้ใช้ไม่ต้องกดยินยอมก่อน) ในระดับความปลอดภัยแบบ High ซึ่งเป็นค่าดีฟอลต์ของ Java SE อยู่แล้ว

แต่ล่าสุดมีคนพบว่าแอพเพล็ตที่ถูก sign ด้วยใบรับรองดิจิทัลจากบริษัทที่มีตัวตนจริงแห่งหนึ่ง กลับเป็นมัลแวร์ที่ปลอมตัวมาด้วยใบรับรองที่ถูกขโมยไป ทำให้มัลแวร์ตัวนี้สามารถทำงานได้ทันทีถ้าหากผู้ใช้เข้าเว็บไซต์ที่ฝังแอพเพล็ตเอาไว้ โดย Java จะไม่ขึ้นคำเตือนใดๆ เพราะถือว่าเป็นแอพเพล็ตที่เชื่อถือได้

แอปเปิลเปลี่ยนมาใช้วิธีส่งข้อมูลแบบเข้ารหัส HTTPS สำหรับการเชื่อมต่อทั้งหมดของ App Store บนแพลตฟอร์ม iOS แล้ว

ก่อนหน้านี้การส่งข้อมูลระหว่าง App Store ไปยังอินเทอร์เน็ตไม่ถูกเข้ารหัส (หรือเข้ารหัสเพียงบางส่วน) ทำให้ผู้ใช้งานมีโอกาสโดนดักข้อมูลระหว่างทาง (เช่น Wi-Fi สาธารณะ หรือ spoofing) และนำข้อมูลไปใช้งานต่อได้ทันที

การเปลี่ยนแปลงครั้งนี้ย่อมช่วยให้ผู้ใช้ iOS ปลอดภัยกันมากขึ้นครับ

ที่มา - Ars Technica

งาน Pwn2Own เป็นงานแข่งขันเจาะระบบรักษาความปลอดภัยของเบราว์เซอร์ที่จัดมาแล้วหลายปี ในปีนี้เบราว์เซอร์ทั้งหมดล้วนไม่พ้นมือของนักวิจัยด้านความปลอดภัยไปได้

Chrome บน Windows นั้นถูกนักวิจัยจาก MWR Labs สองคนคือ Nils (@nils) และ Jon (@securitea) แฮ็กทะลุจาก sandbox ของ Chome เองออกมารันคำสั่งในโปรเซสของตัวเรนเดอร์ได้สำเร็จ ต่อจากนั้นยังอาศัยช่องโหว่ในเคอร์เนลของวินโดวส์เข้าไปรันคำสั่งในระดับ system ได้อีกด้วย โดยต้องอาศัยการหลบระบบรักษาความปลอดภัยทั้ง ASLR ที่ซ่อนแอดเดรสของฟังก์ชั่นต่างๆ เอาไว้ และ DEP ที่ป้องกันการรันคำสั่งนอกพื้นที่ที่กำหนด

ทีมวิจัยจากมหาวิทยาลัย Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) ในเยอรมันค้นพบวิธีเลี่ยงระบบเข้ารหัสข้อมูลที่ถูกเพิ่มมาใน Android 4.0 Ice Cream Sandwich โดยการนำมือถือระบบปฏิบัติการ Android (ในที่นี้ใช้ Galaxy Nexus) ไปแช่แข็งจนกระทั่งอุณหภูมิของเครื่องต่ำกว่า -10 °C แล้วถอดและใส่แบตเตอรี่อย่างรวดเร็ว ส่งผลให้เครื่องเกิดช่องโหว่ นำไปสู่การแทรกแซงให้รันซอฟต์แวร์ภายนอกแทนที่ซอฟต์แวร์ Android ในเครื่อง กระบวนการดังกล่าวทำให้เราสามารถคัดลอกข้อมูลในเครื่องออกไปวิเคราะห์ถอดรหัสในคอมพิวเตอร์เครื่องอื่นได้

หลังจากการแข่งขันด้านความปลอดภัย Pwn2Own ประจำปี 2013 จบไปในวันแรก ผลปรากฎว่าทั้ง IE, Firefox และ Chrome ถูกแฮกเกอร์เจาะสำเร็จทั้งสามผลิตภัณฑ์ โดยรายละเอียดมีดังนี้

IE10 ที่ถูกติดตั้งบน Surface Pro ได้ถูกเจาะโดยทีม VUPEN ด้วยช่องโหว่จำนวนสองตัวซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบรวมถึงข้ามผ่านการทำงานของ sandbox ได้ โดย VUPEN ได้รับเงินรางวัลจากช่องโหว่นี้เป็นจำนวน $100,000

นอกจาก iOS 6.1 จะพบช่องโหว่ที่เข้าถึงข้อมูลได้แม้ตั้งรหัสล็อคแล้ว ก็มีผู้ค้นพบช่องโหว่แบบเดียวกันนี้บน Galaxy S III ช่องโหว่นี้ ทำให้สามารถผ่านหน้าจอล็อคของ Galaxy S III ไปได้ และเข้าถึงได้ทุกฟังก์ชันของเครื่อง ผู้ค้นพบช่องโหว่นี้คือ Sean McMillan เขาได้แนะนำวิธีไว้ ดังนี้

1. กดปุ่มโทรฉุกเฉินในหน้า lockscreen
2. กดปุ่ม Emergency Contacts
3. กดปุ่มโฮมและตามด้วยปุ่ม power ทันที
4. หน้าจอจะดับ
5. กดปุ่ม power อีกที จะปรากฏหน้าจอ home screen ของ Galaxy S III

แต่ Sean McMillian บอกไว้ว่า

ตัวแทนของ Evernote ให้สัมภาษณ์กับ InformationWeek ว่าบริษัทจะนำระบบล็อกอินสองชั้น (Two-Factor Authentication) มาใช้ในเร็วๆ นี้ หลังกรณีโดนแฮ็กเมื่อไม่กี่วันที่แล้วจนต้องรีเซ็ตรหัสผ่านของผู้ใช้ทุกราย

Evernote บอกว่ามีแผนจะทำระบบ Two-Factor Authentication อยู่แล้ว แต่เมื่อโดนแฮ็กก็ต้องเร่งทำระบบนี้ให้เสร็จเร็วกว่าเดิม ในเบื้องต้นระบบนี้จะยังเป็นทางเลือก (optional) ให้ผู้ใช้ที่ต้องการความปลอดภัยระดับสูงกว่าการใช้รหัสผ่านอย่างเดียว

ต่อจาก พบอีก 2 ช่องโหว่ใหม่ใน Java รุ่นล่าสุด 7u15 ออราเคิลก็ประกาศออก Java 7u17 (ข้ามเลข 16) เพื่อแก้ปัญหาทั้ง 2 จุดแล้ว

ออราเคิลให้ข้อมูลว่าได้รับรายงานช่องโหว่ดังกล่าวเมื่อวันที่ 1 กุมภาพันธ์ ซึ่งช้าไปสำหรับการออกแพตช์รอบ 19 กุมภาพันธ์ และตั้งใจจะรวมแพตช์ไว้ในการออกรอบ 16 เมษายนแทน แต่เมื่อมีรายงานว่าช่องโหว่นี้ถูกใช้งานในวงกว้าง บริษัทจึงตัดสินใจออกแพตช์ชุดนี้ทันที

อย่างไรก็ตาม ผู้เชี่ยวชาญความปลอดภัย Security Explorations จากโปแลนด์ ก็ประกาศว่าพบช่องโหว่ใหม่ของ Java อีก 5 จุด ตอนนี้ยังไม่มีรายงานการโจมตีด้วยช่องโหว่ชุดใหม่นี้ และส่งข้อมูลให้ออราเคิลเรียบร้อยแล้ว