ข่าวใหญ่วันนี้คือ App Store ของแอปเปิลโดนแฮ็ก และมีเจ้าของบัญชี iTunes จำนวนมากรายงานว่าถูกใช้บัตรเครดิตสั่งซื้อโปรแกรมปลอมๆ แอปเปิลยังไม่ออกแถลงการณ์อะไร ดังนั้นใครมี iTunes Account ควรเปลี่ยนรหัสผ่าน+เอาข้อมูลบัตรเครดิตออกด่วน

เรื่องค่อนข้างซับซ้อน ขอสรุปเป็นประเด็นๆ จะดีกว่า

ต้นเรื่องมาจาก Twitter และ forum ของเว็บแมคหลายแห่ง

หลายคนคงรู้จักโปรแกรมลักษณะนี้อย่าง Find My Phone ของแอปเปิลมาแล้ว ตอนนี้บนคอมพิวเตอร์มีโปรแกรม Prey สำหรับทำงานแบบเดียวกัน

Prey เป็นโปรแกรมโอเพนซอร์ส ทำงานได้บน 3 แพลตฟอร์มหลัก มันสามารถส่งข้อมูลของคอมพิวเตอร์เครื่องใดๆ เช่น ตำแหน่ง ภาพหน้าจอ รายชื่อโปรแกรม ฯลฯ กลับมายังเจ้าของได้ ไม่ว่าจะผ่าน Wi-Fi หรือ Ethernet (ค้นหาตำแหน่งด้วย Google Location API) และถ้าคอมเครื่องนั้นมีเว็บแคม ก็สามารถถ่ายภาพซึ่งอาจจะติดหน้าของขโมยได้ด้วย

ที่มา - OMG Ubuntu

ทีมงาน Chromium ประกาศแนวทางเพิ่มความปลอดภัยให้ผู้ใช้ โดยปรับฟีเจอร์-นโยบายที่เกี่ยวข้องกับปลั๊กอินใหม่ ดังนี้

ข่าวสำคัญอีกข่าวของวันนี้ กูเกิลเขียนลงบล็อกของ Android ว่าได้สั่งลบโปรแกรมจากระยะไกล (remotely remove) 2 ตัวจากมือถือ Android ของเราๆ ท่านๆ

โปรแกรมสองตัวนี้เป็นโปรแกรมเก็บข้อมูลเพื่อการวิจัย ซึ่งไม่มีประโยชน์ในการใช้งานจริง แต่ข้อความโฆษณาบางส่วนของโปรแกรมได้เชิญชวนให้ผู้ใช้ดาวน์โหลดไปลองติดตั้ง หลังจากกูเกิลทราบเรื่องนี้ได้คุยกับนักพัฒนาเพื่อเอาโปรแกรมออกจาก Market ส่วนโปรแกรมที่ติดตั้งไปในเครื่องแล้ว กูเกิลใช้วิธี remotely remove นั่นเอง (ผู้ที่โดนจะได้รับข้อความเตือนว่าโปรแกรมโดนลบ)

มาตรฐาน DNSSEC (rfc2535) เป็นมาตรฐานที่มาขยายมาตรฐาน DNS เพื่อให้ผู้ร้องขอข้อมูล DNS สามารถตรวจสอบได้ว่าข้อมูลที่ได้รับมานั้นถูกต้องหรือไม่ ด้วยปัญหาหลายประการ โดยเฉพาะปัญหาทำงานบนเครือข่ายขนาดใหญ่ของมาตรฐานรุ่นแรก ทำให้ DNSSEC ถูกละเลยเรื่อยมาจนวันนี้ .org ก็เป็นโดเมนชั้นต้น (TLD - Top Level Domain) กลุ่มแรกที่จะใช้งาน DNSSEC เต็มรูปแบบ

กระบวนการนี้เป็นขั้นแรกของการปรับปรุงให้อินเทอร์เน็ตปลอดภัยขึ้น โดยในเดือนหน้า root server ทั้งหมดจะเริ่มมีการลงลายเซ็นอิเล็กทรอนิกส์ เพื่อตรวจสอบข้อมูลที่ส่งผ่านระหว่างกัน

คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ได้ออกประกาศเรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ ซึ่งได้ประกาศในราชกิจจานุเบกษา เมื่อวันที่ 23 มิถุนายน 2553 ที่ผ่านมา ในประกาศฉบับนี้ก็ไม่ได้พูดถึงรายละเอียดมากมายนัก ส่วนใหญ่ก็เป็นเพียงแค่หลักการคร่าวๆ ถึงแม้จะคลอดออกมาช้ากว่าตัว พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ เกือบ 10 ปี แต่มาช้าก็ยังดีกว่าไม่มาครับ ^^

โดยเนื้อหาของประกาศฉบับนี้ไม่ได้มีเรื่องอะไรที่ทำให้แปลกใจ แต่ก็ศึกษาไว้เป็นความรู้นะครับ อาจจะใช้เป็นแนวทางในการจัดการระบบสารสนเทศในองค์กรได้

เมื่อทุกอย่างคือธุรกิจความปลอดภัยจึงเป็นส่วนสำคัญในเรื่องของการพัฒนาซอฟต์แวร์ ก็ต้องมีระบบเตือนการหลอกลวงครับ และเมื่อเร็วๆ นี้ทาง FTC หรือคณะกรรมการการค้าของสหรัฐ และบริษัทต่างๆ ได้ร่วมกันสร้างระบบเตือนการหลอกลวง ที่ชื่อว่า Internet Fraud Alert ระบบนี้มีผู้สนใจเข้าร่วมหลายค่ายครับ ประกอบด้วย Microsoft ซึ่งพัฒนาซอฟต์แวร์และให้บริการ, National Cyber-Forensics and Training Alliance (NCFTA), American Bankers Association, Anti-Phishing Working Group, Citizens Bank, eBay, the Federal Trade Commission, PayPal

EFF ได้ออกส่วนเสริม (extension) สำหรับไฟร์ฟอกซ์เพื่อให้เบราเซอร์เรียกเว็บผ่านทางโปรโตคอล HTTPS ก่อน HTTP เสมอ พร้อมกับแจ้งเตือนเราเมื่อเว็บที่เราใช้งานไม่รองรับ HTTPS หรือรองรับเพียงบางส่วน โดยใช้ชื่อโครงการว่า HTTPS Everywhere

ทุกวันนี้การเข้าเว็บผ่านทางโปรโตคอล HTTP นั้นไม่มีการเข้ารหัสใดๆ และผู้ที่มีความรู้สักหน่อยก็สามารถแอบดูและชิงรหัสผ่านเว็บต่างๆ ของเราไปได้โดยง่าย หรือแม้การแอบเก็บข้อมูลเช่นการเข้าค้นหาข้อมูลผ่านกูเกิลเองก็มักไม่มีการเข้ารหัส จนกูเกิลต้องเปิดบริการผ่าน HTTPS ไปก่อนหน้านี้

ผู้ใช้ iPad 3G ในสหรัฐ ซึ่งต้องเชื่อมต่อกับเครือข่าย AT&T อาจมีหนาวๆ ร้อนๆ เพราะล่าสุด AT&T เผลอปล่อยข้อมูลอีเมลของลูกค้ากว่า 114,000 รายหลุดออกสู่สาธารณะ โดยสาเหตุเกิดจากช่องโหว่ของระบบ AT&T เอง

ไม่มีใครรู้ว่ามีกลุ่มแฮกเกอร์ไหนได้ข้อมูลชุดนี้ไปหรือไม่ แต่มันเป็นข่าวเพราะกลุ่มนักวิจัยด้านความปลอดภัยไปพบเข้า และตอนนี้รายชื่ออีเมลยังคงถูกเก็บอยู่ในวงการนักวิจัยด้านความปลอดภัยเท่านั้น อย่างไรก็ตาม ข้อมูลที่หลุดมีเฉพาะอีเมล แปลว่าอย่างมากก็โดนสแปมเพิ่มขึ้นเท่านั้น

ในลูกค้า 114,000 รายนี้มี CEO และผู้บริหารของบริษัทชั้นนำทั่วอเมริกา รวมถึงเจ้าหน้าที่ระดับสูงของทำเนียบขาว และกองทัพสหรัฐด้วย (แปลว่ามี iPad ใช้กันถ้วนหน้า)

ผมเชื่อว่าผู้อ่าน Blognone คงไม่มีใครไม่รู้จัก Norton โดยเฉพาะผลิตภัณฑ์ยอดนิยม Norton Antivirus (หรือถ้าใครแก่พอจะทัน Norton Commander ก็ไม่ว่ากันนะครับ :P)

แม้ว่าจะเป็นเจ้าตลาดมานาน แต่ภาพลักษณ์ของผลิตภัณฑ์ตรา Norton ในสายตาของพวกเรา คงหนีไม่พ้นประโยคทำนองว่า "ช้า กินแรงเครื่องมาก น่ารำคาญ จับไวรัสได้น้อย" อันเนื่องมาจากความประทับใจใน Norton รุ่นเดิมๆ ที่สร้างชื่อ (เสีย) ไว้มาก

หลายคนจึงหนีไปใช้ผลิตภัณฑ์แอนตี้ไวรัส (หรือรักษาความปลอดภัยที่เป็นมากกว่าแอนตี้ไวรัส) ค่ายอื่นๆ ซึ่งก็มีตัวเลือกมากมายในตลาด รวมไปถึงผลิตภัณฑ์ฟรีอย่าง Microsoft Security Essentials, AVG หรือ Avast! เป็นต้น

หลังจากมีข่าว กูเกิลห้ามพนักงานใช้วินโดวส์ ด้วยเหตุผลด้านความปลอดภัย ไมโครซอฟท์ก็ออกมาตอบโต้ตามความคาดหมาย

Brandon LeBlanc พนักงานของไมโครซอฟท์ได้เขียนชี้แจงลงใน Windows Blog เขาบอกว่าข้อกล่าวหาว่า "วินโดวส์ไม่ปลอดภัย" นั้นไม่จริง โดยอ้างคำให้สัมภาษณ์ของแฮกเกอร์บางคน และรายงานจากองค์กรบางแห่ง (เช่น Cisco) นอกจากนี้ยังยกประเด็นเรื่องมัลแวร์ของแมคที่กำลังเพิ่มขึ้นเรื่อยๆ มาเทียบ

สุดท้ายเขายังยกกรณีของ มหาวิทยาลัยเลิกใช้ Gmail เหตุเพราะกลัวปัญหาความเป็นส่วนตัว มาเทียบให้เห็นว่ากูเกิลก็มีปัญหาเหมือนกัน

หนังสือพิมพ์ FT ของอังกฤษอ้างข้อมูลจากพนักงานกูเกิลว่า ตอนนี้กูเกิลกำลังพยายามลดการใช้ระบบปฏิบัติการวินโดวส์กับคอมพิวเตอร์ภายในองค์กรอยู่ โดยเหตุผลที่สำคัญคือการที่กูเกิลถูกแฮกจากจีนเมื่อปีที่แล้ว

ตอนนี้พนักงานเข้าใหม่ของกูเกิลสามารถเลือกได้ว่าจะใช้แมคหรือลินุกซ์ ก่อนหน้านี้มีรายงานว่าพนักงานยังสามารถลงวินโดวส์ได้บนโน้ตบุ๊ก แต่ถ้าเป็นคอมพิวเตอร์ตั้งโต๊ะจะไม่สามารถลงได้แล้ว ถ้าพนักงานคนไหนอยากลงวินโดวส์จริงๆ ต้องทำเรื่องขออนุมัติจากผู้บริหารระดับสูงเสียก่อน

นอกจากนี้ยังมีประเด็นว่า กูเกิลพยายามผลักดันให้พนักงานบางส่วนใช้ Chrome OS เพื่อทดสอบระบบด้วยเช่นกัน

ที่มา - FT

HTC EVO 4G เป็นเครื่องที่กูเกิลแจกให้กับผู้เข้าร่วมงาน Google I/O ทุกคนในปีนี้ เมื่อมีการแจกเครื่องให้กับเหล่าแฮกเกอร์ก็ไม่แปลกที่จะมีบางคนตั้งหน้าตั้งตาเจาะสิทธิ์ root ทันทีที่ได้รับเครื่องมา และทีมสามคนประกอบด้วย @mmastrac, ozzeh, และ Joshua Wise ก็ประสบความสำเร็จเป็นทีมแรก

ทีมงานระบุว่าจะยังไม่มีการเปิดเผยรายละเอียดขั้นตอนในตอนนี้ แต่จะเปิดเผยแต่ภาพและวีดีโอเครื่องที่ถูกเจาะแล้วออกมาเท่านั้น ส่วนวีดีโอดูได้ในท้ายข่าว

ที่มา - grack.com

ช่วงหลังๆ กูเกิลเริ่มให้ความสำคัญกับการเข้ารหัสข้อมูลมากขึ้นเรื่อยๆ นับแต่การปรับค่าพื้นฐานของ GMail ให้เป็น SSL มาถึงวันนี้ก็ได้เวลาของ Google Search

อย่างไรก็ตาม เราควรตระหนักว่าข้อมูลที่ส่งผ่าน SSL นั้นไม่ได้ทำให้ข้อมูลที่เราส่งไปยังกูเกิลน้อยลงแต่อย่างใด กูเกิลยังคงเก็บพฤติกรรมการใช้งานของเราเช่นเดิม แต่ผู้ให้บริการและผู้ไม่หวังดี (รวมถึงรัฐบาล) จะเข้ามาดูพฤติกรรมการใช้งานของเราได้ลำบากขึ้น

เริ่มใช้งานได้ทันที โดยพิมพ์ https ขึ้นต้น URL หรือเข้าที่นี่

ที่หลายคนอาจจะไม่รู้อีกคือทั้ง Facebook และ Twitter ก็รองรับ HTTPS แล้วเช่นกัน

ศาลประเทศเยอรมนีได้ตัดสินว่า ประชาชนทั่วไปจะต้องดูแลความปลอดภัยของเครือข่ายเชื่อมต่ออินเทอร์เน็ตแบบไร้สายของตนเอง ป้องกันไม่ให้มีบุคคลที่สามมาใช้งานในการกระทำความผิดกฎหมาย

ในคดีนี้ นักดนตรีคนหนึ่ง ได้ฟ้องผู้ใช้อินเทอร์เน็ต เจ้าของ WLAN ที่ดาวน์โหลดเพลงและแชร์ไฟล์ให้กับผู้อื่น แต่เจ้าของได้พิสูจน์ว่า ตนเองไม่ได้อยู่บ้านในขณะเกิดเหตุ

ศาลตัดสินว่า เจ้าของเครือข่ายไม่มีความผิดฐานละเมิดลิขสิทธิ์ แต่ระบุว่า เจ้าของเครือข่ายต้องทำให้เครือข่ายปลอดภัยเพียงพอ โดยอาจโดนโทษปรับไม่เกิน 100 ยูโร (ประมาณ 4000 บาท ตามอัตราแลกเปลี่ยนปัจจุบัน) ทั้งนี้ หน้าที่ความปลอดภัยอย่างเพียงพอดังกล่าว ไม่รวมถึงว่าจะต้องอัปเดตระบบความปลอดภัยตลอดเวลา แต่จะต้องตั้งรหัสผ่านไว้ตอนเริ่มติดตั้งเท่านั้น

เฟซบุ๊กได้ปล่อยฟีเจอร์ด้านความปลอดภัยใหม่ โดยใช้หลักการจดจำคอมพิวเตอร์ที่ผู้ใช้งานล็อกอินเข้าระบบเป็นประจำ ซึ่งจะช่วยป้องกันผู้อื่นล็อกอินโดยใช้บัญชีผู้ใช้ (account) ของเราได้

โดยในหน้า Account Settings (ตั้งค่าบัญชีผู้ใช้) ให้ดูที่ Account Security (ความปลอดภัยของบัญชีผู้ใช้) ผู้ใช้สามารถตั้งค่าได้ว่าจะให้ระบบส่งอีเมลแจ้งเตือนเมื่อบัญชีผู้ใช้ของเราได้มีการเข้าถึงผ่านคอมพิวเตอร์หรืออุปกรณ์ซึ่งเราไม่เคยใช้มาก่อน (ในต่างประเทศสามารถเลือกให้แจ้งผ่านเอสเอ็มเอสได้ด้วย)

นักวิจัยด้านความปลอดภัยของไซแมนเทคและ BKIS (Bach Khoa Internetwork Security) ออกมาระบุว่าสไกป์และยาฮูเมสเซนเจอร์ถูกโจมตีระลอกใหม่โดยการส่งลิงก์ไปกับ IM อาทิ "Does my new hairstyle look good? bad? perfect?" หรือ "My printer is about to be thrown through a window if this pic won't come our right. You see anything wrong with it?" หากผู้ใช้ติดเวิร์มดังกล่าว เวิร์มจะกระจายตัวผ่านรายชื่อผู้ติดต่อในสไกป์หรือยาฮูเมสเซนเจอร์ บล็อคการทำงานของโปรแกรมป้องกันไวรัส ใช้เทคนิครูทคิทเพื่อซ้อนเร้นไฟล์ รวมถึงอาจดาวน์โหลดไฟล์ที่ไม่ประสงค์ดีอื่นๆ อีกด้วย

ข่าวนี้ตั้งแต่วันที่ 5 ที่ผ่านมา ซึ่งบั๊กนี้ได้ถูกแก้ไขไปแล้ว แต่ขอนำมาลงเพื่อให้ทราบกัน

บั๊กนี้อยู่ในหน้า Privacy Settings ซึ่งจะมีปุ่ม "Preview my Profile.." เพื่อดูว่าหากเพื่อนเรามาดูโปรไฟล์ของเราจะเห็นเป็นอย่างไร แต่ปรากฎว่านอกจากจะเห็นหน้าโปรไฟล์ของเราในแบบที่เพื่อนเห็นแล้ว เราจะเห็นไลฟ์แชทของเพื่อน รวมไปถึง Friends Requests ของเพื่อนได้อีกด้วย

ข่าวนี้คงช่วยให้คนตื่นตัวเรื่องความเป็นส่วนตัวกับ Facebook อีกครั้ง หลังจากข่าวก่อนหน้านี้เรื่องการตั้งค่าความเป็นส่วนตัว

ที่มา - TechCrunch

เมื่อต้นปี LiveSide.net ได้รายงานว่าไมโครซอฟท์อาจเพิ่มฟีเจอร์ด้านความปลอดภัยให้กับ Windows Live ID ในชื่อ Single-use code หรือฟีเจอร์ที่ช่วยเพิ่มความปลอดภัยให้กับผู้ใช้ที่จำเป็นต้องล็อกอินจากคอมพิวเตอร์สาธารณะ โดยผู้ใช้จะพิมพ์โค้ดที่ได้รับจากระบบแทนที่จะพิมพ์รหัสผ่านของแอ็กเคานต์ที่จะล็อกอิน ล่าสุด LiveSide.net ได้รายงานว่ายังมีฟีเจอร์ใหม่สำหรับ Windows Live ID อีกอันชื่อ Account Proofs ซึ่งจะใช้โทรศัพท์มือถือหรือคอมพิวเตอร์เป็นตัวยืนยันความเป็นเจ้าของแอ็กเคานต์ โดยหากเราจำรหัสผ่านไม่หรือมีคนยึ

ผู้เชี่ยวชาญด้านความปลอดภัยเตือน Zeus botnet ใช้ช่องโหว่ของเอกสาร Adobe PDF เพื่อโจมตีผู้ใช้งาน

การโจมตีครั้งนี้เกิดขึ้นในเวลาเพียงไม่นาน หลังจากที่ผู้เชี่ยวชาญออกมาชี้ว่าบรรดาแฮกเกอร์อาจใช้ช่องโหว่ในฟีเจอร์ Launch ของเอกสาร PDF เพื่อลงโปรแกรมมัลแวร์บนเครื่องของผู้ใช้

ในโจมตีครั้งนี้ เมื่อผู้ใช้เปิดเอกสาร PDF ซึ่งแนบมากับอีเมล โปรแกรมจะแสดงหน้าต่างให้บันทึกเอกสาร PDF อีกครั้ง ซึ่งความจริงแล้วเป็นโปรแกรม Zeus botnet ซึ่งพยายามเข้ายึดครองเครื่องคอมพิวเตอร์ เพื่อขโมยข้อมูลส่วนตัว รวมทั้งรหัสผ่านของบัญชีธนาคารออนไลน์ของเครื่องเหยื่อ

รัฐบาลเวียดนามออกมาปฏิเสธข้อหาที่ว่ามีส่วนรู้เห็นกับการโจมตีระบบเครือข่ายโทรคมนาคมและคอมพิวเตอร์ (cyberattack) ล่าสุดที่ใช้ในการข่มขู่ฝ่ายตรงข้ามของโครงการเหมืองแร่ในเวียดนาม

ระบบรักษาความปลอดภัยในอินเทอร์เน็ตทุกวันนี้อาศัยการเชื่อใจเป็นทอดๆ จากหน่วยงานออกใบรับรองความปลอดภัยกว่าสองร้อยหน่วยงานทั่วโลก งานวิจัยล่าสุดแสดงหลักฐานว่ามีความพยายามจากรัฐบาลที่จะเข้ามาแทรกแซงหน่วยงานเหล่านี้เพื่อดักจับข้อมูลที่ได้รับการเข้ารหัส โดยที่ผู้ใช้ไม่สามารถรับรู้ได้ว่าเกิดความผิดปรกติในการเชื่อมต่อ

ในงาน Pwn2Own 2009 Safari, IE8, Firefox ตายเรียบ เหลือเพียง Chrome ที่ยังอยู่รอดมาได้ ในปีนี้สถานการณ์เหมือนเดิมทุกอย่าง Chrome ยังเป็นเบราว์เซอร์ตัวเดียวที่ไม่ถูกแฮก แถมยังเป็นปีที่สองติดต่อกัน

หลังจากผ่านมือแฮกเกอร์มาอย่างปลอดภัยได้ในปีก่อน ปีนี้บรรดาแฮกเกอร์ต่างหมายมั่นปั้นมือจะโค่น Chrome ลงให้ได้ แต่สุดท้ายแล้วกลับไม่มีใครทำสำเร็จ แม้ว่าก่อนแข่งกูเกิลจะรีบออกแพตช์มาป้องกัน Chrome เป็นจำนวนมาก แต่เมื่อเทียบกับ Safari ก็ได้รับแพตช์ในสัปดาห์เดียวกัน กลับโดนสอยติดต่อกันเป็นปีที่สาม

อัพเดตเมื่อวันเสาร์ที่ผ่านมาของ BitDefender ตั้งแต่รุ่น 2008 เป็นต้นมาเกิดความผิดพลาดทำให้โปรแกรมตรวจว่าไฟล์ของวินโดวส์ และของตัว BitDefender เองเป็นไฟล์อันตราย ตัวโปรแกรมจึงจับไฟล์ทั้งหมดเข้าเขตกักกัน (quarantine) ทำให้เครื่องบูตไม่ขึ้น

การแก้ไขในกรณีที่ยังไม่ได้อัพเดตให้ปิดการแสกนไวรัสและสั่งอัพเดตล่าสุดเสียก่อนที่จะใช้งานต่อ หรือผู้ที่ถูกผลกระทบแล้วให้เข้าไปยังเว็บของ BitDefender เพื่อโหลดซีดีกู้ระบบมาแก้ไขต่อไป

งานนี้อาจจะร้ายกว่าไวรัสจริงๆ ซะอีก

Skipfish ซอฟต์แวร์โอเพนซอร์สตัวล่าสุดจากกูเกิล ใช้สำหรับตรวจสอบความปลอดภัยของเว็บแอพพลิเคชัน เขียนโดยใช้ภาษา C ล้วน สามารถใช้งานได้บน Linux, FreeBSD 7.0+, Mac OS X และ Windows (ผ่าน Cygwin) โปรแกรมลักษณะเดียวกันนี้มีอยู่บ้างแล้วเช่น Nikto และ Nessus แน่นอนโปรแกรมอยู่บน Google Code ใช้สัญญาอนุญาตแบบ Apache 2.0

การตรวจสอบมีหลายระดับ มีชุดทดสอบเกือบ 60 แบบ หลักๆ ก็เช่น SQL Injection, คำสั่ง SQL ผ่าน GET/POST พารามิเตอร์, Shell Injection, XSS, SSL ดูรายละเอียดเต็มๆ ที่ Wiki