หน่วยงานความมั่นคงของสหรัฐฯ (National Security Agency - NSA) กำลังเข้าตรวจสอบกรณีที่ตลาดหลักทรัพย์ Nasdaq ถูกเจาะระบบได้เมื่อเดือนตุลาคมปีที่แล้ว ซึ่งอาจจะหมายถึงการโจมตีนั้นเกิดจากองค์กรข้ามชาติหรือหน่วยงานก่อการร้ายขนาดใหญ่
ซอฟต์แวร์ที่ถูกโจมตีนั้นไม่ใช่ตัวหน้าจอซื้อขายหลักทรัพย์โดยตรง แต่เป็นซอฟต์แวร์ที่ชื่อว่า Directors Desk โดยบริษัท Nasdaq OMX Group ได้ออกมาแจ้งปัญหานี้ โดยระบบ Directors Desk จะเป็นพื้นที่ให้ผู้บริหารบริษัทต่างๆ มาแลกเปลี่ยนข้อมูลที่เป็นความลับหรือจัดการประชุมออนไลน์ ซึ่งทำข้อมูลที่อยู่ในระบบนี้เองก็อาจจะนำไปใช้ในการทำกำไรจากการซื้อขายหลักทรัพย์ได้แล้ว
ต่อจากข่าว ไมโครซอฟท์แอบถอด HTTPS ออกจาก Hotmail ในบางประเทศ หลังจากเรื่องดังขึ้นมา ไมโครซอฟท์ได้แก้ไขให้ผู้ใช้ Hotmail ทุกคนสามารถใช้ HTTPS ได้ดังเดิมแล้ว
ไมโครซอฟท์อธิบายเรื่องนี้ว่าถือเป็น "บั๊กลึกลับ" ที่ไมโครซอฟท์เองก็หาสาเหตุไม่เจอ แต่ก็ยืนยันว่าไม่ได้ตั้งใจปิดตัวเลือก HTTPS ในบางประเทศแต่อย่างใด
ที่มา - Windows Live Help, The Register
Hotmail Wave 4 เพิ่งมีฟีเจอร์เชื่อมต่อผ่าน HTTPS/SSL ตลอดเวลา ไปเมื่อปีที่แล้ว แต่ล่าสุดทาง Electronic Frontier Foundation หรือ EFF ออกมาเปิดเผยว่าไมโครซอฟท์แอบถอดฟีเจอร์นี้ออกไปเงียบๆ สำหรับผู้ใช้ในบางประเทศ
ประเทศที่ไม่สามารถต่อผ่าน HTTPS ได้ ส่วนมากได้แก่ ประเทศกลุ่มตะวันออกกลาง แอฟริกาเหนือ และเอเชียกลาง โดยมีเพื่อนบ้านของเราคือพม่ารวมอยู่ด้วย ประเทศทั้งหมดมีดังนี้ Bahrain, Morocco, Algeria, Syria, Sudan, Iran, Lebanon, Jordan, Congo, Myanmar, Nigeria, Kazakhstan, Uzbekistan, Turkmenistan, Tajikistan, Kyrgyzstan
นอกจากไมโครซอฟท์ได้ปล่อยอัพเดตรายการยกเลิกใบรับรอง (Certificate Revocation List - CRL) เพื่อแก้ปัญหาใบรับรองปลอม บน Windows แล้ว ไมโครซอฟท์ยังยืนยันว่ากำลังทำแพตช์เพื่ออัพเดตรายการยกเลิกใบรับรองดังกล่าวสำหรับ Windows Phone 7 เช่นกัน แต่ไมโครซอฟท์ยังไม่เปิดเผยวันเวลาที่จะปล่อยอัพเดตดังกล่าวแต่อย่างไร
มีความเป็นไปได้สูงที่ไมโครซอฟท์จะปล่อยแพตช์ผ่าน OTA ซึ่งจะเป็นการทดสอบฟีเจอร์ Windows Update บน Windows Phone 7 ด้วย (อัพเดตก่อนหน้านี้รวมถึง "NoDo" นั้นผู้ใช้จะต้องติดตั้งผ่านโปรแกรม Zune บนคอมพิวเตอร์)
บริษัท Comodo ผู้ให้บริการด้านความปลอดภัย และเป็นผู้ให้บริการรับรองตัวตน (certificate) สำหรับการเข้ารหัสแบบ SSL ได้แจ้งข่าวว่าบริษัทได้ออกใบรับรองแก่ผู้ไม่หวังดีไปจำนวน 9 ใบ ทำให้ผู้ใช้อาจถูกหลอกลวงให้เข้าเว็บปลอมได้
ระบบการเข้ารหัสแบบ SSL ต้องการใบรับรองตัวตนที่ได้รับการรับรองจากหน่วยงานที่เชื่อถือได้ (Trusted Root Certification Authorities) ไม่เช่นนั้นเบราเซอร์จะแจ้งเตือนผู้ใช้เมื่อผู้ใช้พยายามเข้าเว็บที่มีการเข้ารหัสแบบ SSL ว่าใบรับรองตัวตนของเว็บนั้นไม่ถูกต้อง โดยระบบปฎิบัติการต่างๆ จะมีรายชื่อของหน่วยงานให้บริการรับรองที่เชื่อถือได้แตกต่างกันไป
Luigi Auriemma นักวิจัยด้านความปลอดภัยชาวรัสเซียได้ทดสอบความปลอดภัยของซอฟต์แวร์ควบคุมอุปกรณ์ SCADA หลายยี่ห้อ เช่น Siemens, Iconics, 7-Technologies, และ DATAC พบว่าทั้งหมดมีปัญหาความปลอดภัยหลายต่อหลายประการ
ปัญหาที่พบในซอฟต์แวร์เหล่านี้มีตั้งแต่ Stack Overflow, Heap Overflow, Integer Overflow, การสั่งรันคำสั่งภายนอก, การจัดรูปแบบสตริง, การคืนหน่วยความจำซ้ำซ้อน, หน่วยความจำผิดพลาด, การเข้าถึงไดเรกทอรี, ตลอดจนปัญหาจากการออกแบบอื่นๆ จากซอฟต์แวร์ทั้งหมดรวมกว่า 30 จุด
ระบบ SCADA เป็นระบบที่นิยมใช้งานเพื่อตรวจสอบสถานะและควบคุมการทำงานของระบบสาธารณูปโภคเช่น ไฟฟ้า, น้ำประปา, ท่อก๊าซ, ท่อน้ำมัน, ระบบบำบัดน้ำเสีย หรือกระทั่งโรงงานไฟฟ้านิวเคลียร์
สินค้าที่ได้รับความนิยมมากตัวหนึ่งของ RSA คือ SecurID ที่ช่วยเพิ่มความปลอดภัยเพิ่มจากการใส่รหัสผ่านตามปรกติ โดย SecurID จะมาในรูปแบบของพวงกุญแจที่แสดงตัวเลขสี่หลักที่จะเปลี่ยนไปทุกๆ 30 วินาที แต่ Arthur W. Coviello ก็เขียนบล็อกแถลงในวันนี้ว่าแฮกเกอร์ได้เจาะเข้าไปในเซิร์ฟเวอร์ของ RSA เพื่อขโมยข้อมูลบางอย่างที่ถูกใช้เพื่อลดความปลอดภัยของ SecurID ลงได้
ทาง RSA กำลังติดต่อลูกค้าเพื่อแจ้งขั้นตอนการเสริมความปลอดภัยให้กับ SecurID ต่อไป และบริษัทยืนยันว่าข้อมูลที่หลุดออกไปนั้นไม่เกี่ยวข้องกับสินค้าอื่นๆ
บ้านเราก็เห็นมีบริษัทใช้ SecurID อยู่หลายเจ้า อาจจะต้องติดต่อตัวแทนขายเพื่ออัพเดตปัญหาและทางแก้กันก่อนที่จะถูกบุกรุกครับ
จากข่าวที่แล้ว: Pwn2Own วันที่สอง iPhone 4, BlackBerry Torch ร่วง Firefox, Android, WP7 ยังอยู่รอด ที่ใช้ช่องโหว่ของ Browser ของ OS 6.0.0.246 ที่พัฒนาโดยใช้ Webkit
โดยช่องโหว่อยู่ใน JavaScript ซึ่งหากโจมตีจากจุดนี้ผลที่ได้คือการเข้าถึงข้อมูลในโทรศัพท์ทั้งใน media card และ built-in storage แต่ไม่นับข้อมูลที่เก็บไว้สำหรับแอพพลิเคชันเช่น อีเมลหรือข้อมูลในการติดต่อ (contact information)
ก่อนหน้านี้ Facebook เพิ่มตัวเลือกให้ใช้งาน HTTPS ตลอดเวลา ตอนนี้ถึงคราวของ Twitter บ้าง
ผู้ที่ต้องการใช้งาน Twitter ผ่าน HTTPS ต้องเข้าไปที่หน้า Settings และเลือก Always use HTTPS ซึ่งเป็นตัวเลือกใหม่ที่เพิ่มเข้ามา
ต่อให้ไม่เลือกตัวเลือกนี้ ตอนใส่รหัสผ่านบนเว็บไซต์ Twitter จะใช้ HTTPS อยู่แล้ว ส่วนคนที่เข้าเว็บเวอร์ชันมือถือจะต้องเข้าผ่าน https://mobile.twitter.com/ ด้วยตัวเอง
ตอนนี้มีเว็บไซต์หลายแห่งที่เปิดให้ใช้ HTTPS เข้าเว็บตลอดเวลา ดูได้จากข่าวเก่าหมวด SSL ครับ
การแข่งขัน Pwn2Own 2011 วันแรก ผู้พ่ายแพ้ต่อการถล่มของเหล่าแฮ็กเกอร์คือ Safari และ IE8
ส่วนการแข่งขันในวันที่สองเริ่มเปิดให้เจาะระบบสมาร์ทโฟนกันบ้าง สมาร์ทโฟนที่ถูกเจาะในวันนี้คือ iPhone 4 และ BlackBerry Torch 9800
ที่งาน pwn2own ซึ่งเป็นงานแข่งขันการแฮกเบราว์เซอร์ประจำปี มีเบราว์เซอร์สามตัวที่ถูกทดสอบในวันแรกคือ Safari 5.0.4, IE8, และ Chrome 10
ตัว Safari นั้นถูกแฮกโดยบริษัทด้านความปลอดภัยจากฝรั่งเศสที่ชื่อว่า VUPEN โดยเมื่อผู้ทดสอบเข้าหน้าเว็บที่เตรียมเจาะเอาไว้ ทำให้โปรแกรมเครื่องคิดเลขถูกรันขึ้นมา และไฟล์ถูกเขียนลงดิสก์ โดย VUPEN สามารถเจาะผ่านโครงสร้างรักษาความปลอดภัยเช่น Data Execution Prevention (DEP) และ Address Space Layout Randomization (ASLR) ของตัว OS X ไปได้ ทีมงานต้องใช้เวลาสองสัปดาห์เพื่อเตรียมการแฮกนี้
Dan Summers บุรุษไปรษณีย์ชาวอังกฤษที่เคยทำงานบริษัทไอทีมาก่อน เข้าร่วมการแข่งขันรักษาความปลอดภัยทางคอมพิวเตอร์ที่จัดโดยรัฐบาลอังกฤษ และได้รับรางวัลชนะเลิศมูลค่า 37,000 ปอนด์ครับ
การแข่งขันนี้ถูกจัดขึ้นเพื่อค้นหาผู้เชี่ยวชาญสมัครเล่น และเพื่อกระตุ้นตลาดแรงงานด้านนี้ที่ข่าวบอกว่าซบเซาลงกว่า 50% ในช่วงห้าปีที่ผ่านมา
ส่วนอันดับสองของการแข่งขันนั้น เป็นเด็กนักเรียนอายุ 17 ปีครับ
แถวนี้มีใครที่เป็นทั้งบุรุษไปรษณีย์และโปรแกรมเมอร์ไหมหว่า :P
ที่มา - BBC
เมื่อสัปดาห์ก่อนมีผู้ใช้จากเว็บ Android Police ค้นพบแอพปลอมจำนวนหลายสิบตัวบน Android Market ที่ก็อปปี้แอพตัวอื่นแล้วแอบใส่ root exploit ซึ่งจะส่งข้อมูล IMEI/IMSI ของเครื่องมือถือไปยังที่หมายปลายทางแห่งหนึ่ง (รายชื่อแอพได้จาก Android Police ส่วน root exploit ตัวนี้จะมีผลเฉพาะ Android รุ่นที่เก่ากว่า 2.2.2)
ไม่ทันไรหลัง WordPress.com ถูกโจมตีด้วย DDoS ครั้งใหญ่ วันถัดมา WordPress.com ก็โดนถล่มซ้ำอีกรอบ และเพิ่งกลับมาให้บริการเต็มรูปแบบได้อีกครั้ง
Matt Mullenweg ผู้สร้าง WordPress และบริษัท Automattic ให้ข้อมูลว่าต้นตอจากการยิงถล่มด้วย DDoS มาจากประเทศจีน 98% ที่เหลืออีกเล็กน้อยมาจากเกาหลีและญี่ปุ่น เป้าหมายที่แท้จริงคือบล็อกภาษาจีนที่ใช้บริการบน WordPress.com ซึ่งคาดว่าเหตุผลมาจากเรื่องการเมือง ทาง Matt ไม่เปิดเผยชื่อบล็อกแห่งนี้แต่ระบุว่าบล็อกแห่งนี้โดน Baidu เว็บค้นหารายใหญ่ของจีนบล็อคการเข้าถึง
เมื่อคืนนี้มีรายงานว่า WordPress.com ผู้ให้บริการบล็อกรายใหญ่ของโลกถูกโจมตีด้วยวิธี DDoS ซึ่งทางบริษัทต้นสังกัด Automattic ระบุว่าขนาดใหญ่มาก (extremely large) และถือเป็นการโจมตีที่ใหญ่ที่สุดที่ WordPress.com เคยเจอ
ในหน้าสถานะของ Automattic ระบุว่าการโจมตีครั้งนี้มีขนาดหลายกิกะบิตต่อวินาที และถ้านับเป็นจำนวนแพคเค็ตที่ถูกส่งผ่านเครือข่ายก็หลักสิบล้านแพ็คเก็ตต่อวินาที ทำให้ผู้ใช้บางรายอาจเจอปัญหาเรื่องการเข้าใช้ WordPress.com บ้าง แต่ตอนนี้สถานการณ์โดยรวมกลับมาเป็นปกติแล้ว
ปัจจัยชี้ขาดสำหรับการใช้มือถือสำหรับองค์กรคือความปลอดภัยของข้อมูล และความสามารถในการจัดการจากระยะไกล แชมป์ในวงการนี้ยังเป็นของ BlackBerry (มี Windows Mobile ตามมาห่างๆ และ iPhone ที่มาแรงในระยะหลัง) ส่วน Android แม้จะมีฟีเจอร์ด้านความปลอดภัยอยู่บางส่วน แต่ถ้าเทียบกับผู้นำแล้วยังตามอีกไกล
Motorola ซึ่งจับตลาดระบบสื่อสารขององค์กรมานาน หวังจะบุกตลาดนี้โดยยกเครื่องระบบความปลอดภัยของ Android เสียใหม่ โดยผ่านบริษัท 3LM ที่เพิ่งซื้อมา แนวทางคือเพิ่ม API ด้านความปลอดภัยและการบริหารจัดการลงไปที่ระดับระบบปฏิบัติการ เพื่อให้มือถือของ Motorola สามารถควบคุมจากซอฟต์แวร์บริหารจัดการอุปกรณ์พกพาที่นิยมในท้องตลาด เช่น Good Technology, MobileIron, Zenprise ได้
ตลาดหุ้นลอนดอน (London Stock Exchange - LSE) มีข่าวอีกครั้งหลังจากเพิ่งเปลี่ยนระบบจับคู่ซื้อขายไปเมื่อไม่กี่วันก่อน โดยคราวนี้เป็นที่ตัวเว็บเซิร์ฟเวอร์ที่บริการโฆษณาส่งโฆษณาหลอกใช้ผู้ใช้ดาวน์โหลดมัลแวร์ที่แจ้งว่าตัวเองเป็นซอฟต์แวร์แอนตี้ไวรัส
แม้เนื้อหาบนเว็บจะไม่มีอันตราย แต่เมื่อมีโฆษณาอันตรายบริการเตือนเว็บอันตรายเช่น Chrome และ Firefox นั้นเตือนผู้ใช้ไม่ให้เข้าถึงเว็บนี้ในเวลาต่อมา จนทาง LSE ต้องเอาโฆษณาออกไป
ปัญหานี้เป็นคนละปัญหากับกระทรวงต่างประเทศของไทยที่ดูเหมือนจะถูกเจาะเข้ามาเพื่อวางลิงก์ ขณะที่ที่ปัญหาของ LSE นั้นคือผู้ให้บริการโฆษณากลับไปรับวางโฆษณาที่อันตราย
ส.ว.ชัค ชูเมอร์ (Chuck Schumer) ได้ออกมาเขียนจดหมายเปิดผนึกถึงเว็บยอดนิยมจำนวนมากเพื่อให้รองรับโปรโตคอล HTTPS เพื่อป้องกันผู้ใช้งานจากการถูกแฮกบัญชีในเว็บต่างๆ
ชัคระบุว่าผู้ใช้จำนวนมากกำลังใช้อินเทอร์เน็ตผ่านแลนไร้สายที่ไม่ได้เข้ารหัส และซอฟต์แวร์แฮกสมัยใหม่นั้นใช้งานได้ง่ายทำให้ผู้ใช้ต้องตกอยู่ในอันตราย โดยช่องโหว่ของ HTTP นั้นเป็นที่รู้กันมาตั้งแต่ปี 2007 และเว็บไซต์จำนวนมากยังไม่ได้แก้ไขเพื่อให้เว็บมีความปลอดภัยเพียงพอ
ไม่มีการแถลงว่าจดหมายเปิดผนึกนี้ถูกส่งไปยังเว็บใดบ้าง แต่มีการยกตัวอย่างเช่น อเมซอน, ทวิตเตอร์, และยาฮู
แม้ SSD จะมีข้อดีหลายประการที่เหนือกว่าฮาร์ดดิสก์ แต่ผลวิจัยล่าสุดชี้ว่าการ "ล้างข้อมูล" ออกจาก SSD ทำได้ยากกว่าฮาร์ดดิสก์มาก ซึ่งส่งผลต่อการนำ SSD ไปเก็บข้อมูลที่มีความสำคัญสูงอย่างแน่นอน
กลุ่มนักวิจัยจาก University of California at San Diego ได้ทดสอบ SSD จำนวน 12 รุ่น พบว่ามีเพียง 8 รุ่นที่รองรับคำสั่ง "ERASE UNIT" สำหรับลบข้อมูลแบบหมดจด (กู้คืนไม่ได้) และจากการทดสอบจริง มีเพียง 4 รุ่นที่ลบได้สำเร็จ
SUCURI ผู้ให้บริการซอฟต์แวร์ตรวจจับมัลแวร์ได้โพสต์บทความลงในบล็อก หลังตรวจพบความผิดปกติในเว็บไซต์กระทรวงการต่างประเทศของประเทศไทย
ที่งาน RSA Conference ปีนี้ออราเคิลเปิดตัวสินค้าใหม่คือ Oracle Database Firewall ที่ช่วยป้องกันการเข้าใช้ฐานข้อมูลโดยไม่ได้รับอนุญาต หรือ SQL ที่น่าจะถูกดัดแปลงผ่าน SQL injection มาตลอดจนการโจมตีฐานข้อมูลแบบอื่นๆ
ระบบการป้องกันจะอาศัยข้อมูลของการใช้งานตามปรกติ ผู้ดูแลระบบสามารถตั้งค่าเพิ่มเติมได้เช่นการรันคำสั่ง SQL บางอย่างอาจจะรันได้ในบางช่วงเวลา หรือจากบางไอพีเท่านั้น โดยสามารถติดตั้งได้ทั้งแบบ in-band ที่ช่วยสกัดคำสั่งที่น่าสงสัย หรืออาจจะติดตั้งแบบ out-of-band เพื่อการตรวจสอบและแจ้งเตือนเท่านั้น
Google ประกาศว่า Google กำลังจะเพิ่มระบบความปลอดภัยในการล็อกอินให้กับผู้ใช้
โดยระบบใหม่นี้ จะใช้การตรวจสอบผู้ใช้งานถึงสองตัวแปร - รหัสผ่านที่เรารู้ และ มือถือของเรา
ฟีเจอร์ AutoRun ของวินโดวส์เป็นช่องโหว่สำหรับไวรัสและมัลแวร์ที่แพร่กระจายผ่าน usb drive ซึ่งไมโครซอฟท์เองก็รู้ปัญหานี้ และปิดไม่ให้ใช้ AutoRun ใน Windows 7
แต่วินโดวส์รุ่นก่อนหน้านั้นยังใช้งาน AutoRun ได้อยู่ ซึ่งไมโครซอฟท์ก็ประสบปัญหาว่าพาร์ทเนอร์หลายรายยังต้องการฟีเจอร์นี้เพื่อติดตั้งโปรแกรมอัตโนมัติ แต่สถานการณ์ล่าสุดคือไมโครซอฟท์ได้ออกแพตช์ให้กับวินโดวส์รุ่นเก่าๆ เพื่อปิด AutoRun แล้ว
แพตช์นี้ไม่ถือว่าเป็น security fix เพราะไม่เกี่ยวกับความปลอดภัยโดยตรง และการปิด AutoRun จะปิดเฉพาะ usb drive และฮาร์ดดิสก์เท่านั้น ไม่รวมซีดีหรือดีวีดีซึ่งไมโครซอฟท์ระบุว่ายังไม่เคยพบปัญหา
ออราเคิลออกประกาศ Security Alert for CVE-2010-4476 พร้อมโปรแกรมแก้ไขบัก
ซึ่งเป็นบักในส่วนการแปลงข้อความตัวอักษรเลขฐาน 10 ไปเป็นเลขฐาน 2 จำนวนจริงแบบความละเอียดสองเท่า (double-precision binary floating-point) ที่เมื่อเจอเลข 2.2250738585072012e-308 จะวนติดอยู่ในลูปและไม่สามารถทำงานคำสั่งถัดไปได้
บักนี้ร้ายขนาดไหน? ยกตัวอย่างง่ายๆ ก็ทำให้โปรแกรมอย่าง "javac" ค้างได้ รายละเอียดลองอ่าน "Java Hangs When Converting 2.2250738585072012e-308" ดู
ตลาดหุ้น NASDAQ ซึ่งเป็นตลาดหุ้นใหญ่อันดับสองของสหรัฐ (รองจากตลาดนิวยอร์กหรือ NYSE) โดนดีเข้าเสียแล้ว
มีรายงานว่าแฮ็กเกอร์ได้เจาะระบบคอมพิวเตอร์ของบริษัท NASDAQ OMX Group ซึ่งให้บริการกับองค์กร NASDAQ อีกทีหนึ่ง อย่างไรก็ตาม ระบบค้าหุ้นยังไม่ถูกเจาะเข้าไปได้ และยังไม่มีรายงานความเสียหายใดๆ จาก NASDAQ OMX Group
ตามข่าวบอกว่าแฮ็กเกอร์รายนี้เข้าระบบได้แต่ไม่ได้ล้วงข้อมูลหรือทำลายระบบแต่อย่างใด และระบบของ NASDAQ OMX ถูกเจาะเข้าไปหลายครั้งในปี 2010 ที่ผ่านมา ส่วนแรงจูงใจก็ยังไม่ชัดว่าเป็นอะไร