Kali Linux โครงการลินุกซ์เพื่อการทดสอบความปลอดภัยเครือข่ายออกรอม Kali Linux Nexus NetHunter รอมสำหรับอุปกรณ์ในตระกูล Nexus เพื่อการตรวจสอบความปลอดภัยของเครือข่าย

NetHunter สามารถยิงแพ็กเก็ตออกสู่เครือข่าย Wi-Fi ได้, ปลอมตัวเป็นคีย์บอร์ดและการ์ดแลนเพื่อการโจมตีเครื่องเป้าหมาย, และรองรับ HackRF เพื่อการทำงานกับคลื่นวิทยุย่านอื่นๆ

รองรับ Nexus 10, Nexus 7, และ Nexus 5 ดาวน์โหลดได้ทันที

ไมโครซอฟท์เปิดโครงการให้รางวัลกับนักวิจัยที่แจ้งบั๊กความปลอดภัย (bug bounty) โดยรวมบริการสำคัญๆ เช่น live.com, office.com, sharepoint.com, outlook.com โดยไม่รวมถึงโดเมนที่ไมโครซอฟท์ให้บริการแก่ลูกค้า

บั๊กที่สามารถขอรับรางวัลได้ เช่น Cross Site Scripting, Cross Site Request Forgery, ความผิดพลาดในการยืนยันตัวตน, การนำโค้ดมารันบนเซิร์ฟเวอร์, และการยกสิทธิของผู้ใช้

บริษัท RiskIQ รายงานว่าเว็บ jQuery.com ถูกวางไฟล์จาวาสคริปต์เพื่อล่อผู้ใช้ให้เข้าไปยังหน้าดาวน์โหลดมัลแวร์ โดยหน้าเว็บของ jQuery ถูกเพิ่มสคริปต์จากเว็บ jquery-cdn.com ที่เพิ่งจดทะเบียนเข้ามา

เมื่อผู้ใช้เปิดเว็บจะถูก redirect ไปยังเว็บ bestamazontips.com เพื่อดาวน์โหลดมัลแวร์ที่สร้างจากชุดพัฒนา RIG ที่เพิ่งค้นพบเมื่อต้นปีที่ผ่านมา โดยมัลแวร์ในกลุ่มนี้ใช้เพื่อขโมยข้อมูลธนาคารและข้อมูลส่วนบุคคลอื่นๆ

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) เปิดให้บริการแบบเข้ารหัสโดยที่ลูกค้าไม่ต้องส่งกุญแจ SSL ไปให้ทาง CloudFlare เรียกว่า Keyless SSL

แต่เดิมบริการ CDN ที่จะเข้ารหัส ลูกค้าจะต้องส่งทั้งกุญแจและใบรับรองไปให้บริการ CDN ทั้งคู่ บริการใหม่ของ CloudFlare จะทำให้ลูกค้าสามารถส่งเฉพาะใบรับรอง SSL ไปยัง CloudFlare และเมื่อเบราว์เซอร์เชื่อมต่อเข้าไปยัง CloudFlare ทาง CloudFlare จะขอให้เซิร์ฟเวอร์ของลูกค้าถอดรหัสเพื่อเอากุญแจแบบสมมาตรออกมาให้เป็นครั้งๆ ไปไป จากนั้นทาง CloudFlare จึงส่งข้อมูลไปยังเบราว์เซอร์ด้วยกุญแจแบบสมมาตรที่ได้จากเซิร์ฟเวอร์ของลูกค้า

มีรายงานช่องโหว่ของหน้าเว็บอเมซอนในส่วนของรายการหนังสือที่อัพโหลดโดยผู้ใช้ ทำให้แฮกเกอร์ที่ล่อให้ผู้ใช้อัพโหลดหนังสือเอง เช่น หนังสือเถื่อน สามารถขโมยบัญชีอเมซอนออกไปได้

ช่องโหว่นี้เป็นเพราะอเมซอนนำชื่อหนังสือไปแสดงบนหน้าเว็บโดยตรง ทำให้แฮกเกอร์สามารถตั้งชื่อหนังสือกลายเป็น <script src="https://www.example.org/script.js"></script> เพื่อให้หน้าเว็บโหลดเอาสคริปต์ขึ้นไปรัน

ความน่ากลัวของคนทำเว็บในตอนนี้คือหากมีใครใส่ภาพหรือ iframe จากเว็บที่มีมัลแวร์ Chrome จะบล็อคเว็บที่ใช้ภาพเหล่านั้นไปด้วยเพื่อป้องกันผู้ใช้ ฟีเจอร์นี้มีมาตั้งแต่ Chrome รุ่นแรกๆ และมีการถกเถียงมาตลอดเวลาเป็นมาตรการที่สมเหตุสมผลหรือไม่ โดยมีการพูดคุยกันในทีมงาน Chrome เองในบั๊ก 16245

เมื่อไม่กี่วันที่ผ่านมา วงการเว็บโดยเฉพาะผู้ที่ทำเว็บแบบเข้ารหัส HTTPS ทั้งหลายอาจจะได้อ่านข่าวเล็กๆ ข่าวหนึ่ง คือ Chrome กำลังจะประกาศว่าใบรับรองดิจิตอลที่ยืนยันความถูกต้องด้วย SHA-1 จะถือว่าไม่ปลอดภัยอีกต่อไป ความโหดร้ายของกูเกิลคือทางกูเกิลประกาศมาโดยให้เวลาเพียงไม่กี่วันก่อนที่จะเริ่มบังคับใช้กฎใหม่นี้ ดังนั้นภายในสิ้นเดือนนี้เราอาจจะพบว่าเว็บที่เข้ารหัสได้รับผลกระทบกันเป็นวงกว้าง

มีรายงานจากสำนักข่าว RT ในรัสเซียระบุว่าเว็บบอร์ดบิทคอยน์เผยแพร่ฐานข้อมูลรหัสผ่านของ Gmail เกือบห้าล้านรายการ โดยบนบอร์ดโพสเฉพาะรายชื่ออีเมลที่ได้รับผลกระทบแต่ไม่มีการเปิดเผยรหัสผ่าน ขณะที่สมาชิกบอร์ดที่อ้างว่าได้เห็นฐานข้อมูลนี้แล้วระบุว่ารหัสผ่านใช้งานได้จริงประมาณ 60% และน่าจะเป็นฐานข้อมูลเก่าสักหน่อย

กูเกิลรัสเซียระบุว่ากำลังสอบสวนเรื่องนี้อยู่ พร้อมกับแนะนำให้ตั้งรหัสผ่านให้หนาแน่นพร้อมกับใช้การล็อกอินแบบ 2-step (เพิ่มความปลอดภัยให้บัญชี Google ด้วยการเปิดใช้ระบบล็อกอินสองชั้น (2-Step Verification))

ส่วนประกอบของใบรับรอง SSL มีสองส่วนสำคัญได้แก่ กุญแจสาธารณะ และลายเซ็นดิจิตอล โดยลายเซ็นดิจิตอลที่ได้รับความนิยมกันมากคือการใช้ค่าแฮช SHA-1 มาเข้ารหัสด้วยกุญแจ RSA ของหน่วยงานที่รับรองใบรับรองนั้นๆ ที่ผ่านมา SHA-1 เริ่มมีงานวิจัยแสดงว่ามันอ่อนแอกว่าที่ออกแบบไว้ ตอนนี้ทางกูเกิลประกาศแล้วว่าจะเริ่มถือว่าใบรับรองที่ใช้ SHA-1 ไม่ปลอดภัยตั้งแต่ปี 2015 เป็นต้นไป

กูเกิลระบุแผนบันไดสามขั้นเพื่อกดดันให้เว็บที่เข้ารหัสเปลี่ยนใบรับรองเป็นใบรับรองใหม่ที่ใช้ลายเซ็นดิจิตอลที่หนาแน่นกว่าเดิม