Tags:
Mark Zuckerberg

ในงาน MWC 2015 ปีนี้นอกจากจะมีบรรดาแบรนด์ใหญ่มาร่วมเปิดตัวสินค้าแล้ว Facebook ที่ไม่มีสินค้าเป็นชิ้นๆ แต่ก็มีเวทีเช่นกัน และเป็น Mark Zuckerberg ซีอีโอที่มาพูดถึงทิศทาง มุมมอง และอนาคตของบริษัทให้ฟัง คัดเฉพาะส่วนที่น่าสนใจมาแบบย่อๆ มีดังนี้

  • Zuckerberg บอกว่า Facebook เป็นบริการติดต่อสื่อสารขนาดใหญ่ที่สุดตั้งแต่เคยมีมา มีผู้ใช้มากกว่า 1.2 พันล้านราย เป็นแอพที่มีผู้ใช้บนอุปกรณ์พกพามากที่สุด แต่ก็ยังมีผู้คนอีกจำนวนมากที่ยังเข้าถึงอินเทอร์เน็ตไม่ได้ และ Facebook เองก็กำลังหาทางช่วยเหลือให้คนกลุ่มนั้นสามารถใช้งานอินเทอร์เน็ตได้ในอนาคตง
  • หนทางที่ว่าคือการสร้างพันธมิตรขนาดใหญ่ที่จะขับเคลื่อนการเชื่อมไปในวงกว้าง ซึ่งโครงการ Internet.org เป็นกระบวนการที่ทำให้อินเทอร์เน็ตสามารถเข้าสู่ผู้คนได้ในต้นทุนที่ลดลง จากพัฒนาชิ้นส่วนต่างๆ ให้คุ้มค่ายิ่งขึ้น เหมือนกับที่กูเกิลวางแผนจะใช้บอลลูนในการเชื่อมต่ออินเทอร์เน็ต
Tags:
SSL

เมื่อวานนี้เพิ่งมีข่าวช่องโหว่ FREAK ที่ค้นพบบนไลบรารี OpenSSL ซึ่งส่งผลกระทบต่อเซิร์ฟเวอร์และระบบปฏิบัติการฝั่งยูนิกซ์ แต่ล่าสุดไมโครซอฟท์ออกมายอมรับแล้วว่าระบบปฏิบัติการวินโดวส์ทุกรุ่นก็มีช่องโหว่ลักษณะนี้เช่นกัน

อย่างไรก็ตาม ช่องโหว่นี้จะใช้งานได้ต่อเมื่อวินโดวส์เปิดใช้งานฟีเจอร์ RSA key exchange export ciphers ซึ่งปิดมาเป็นค่าดีฟอลต์ ไมโครซอฟท์แนะนำให้แอดมินระบบตรวจเช็คค่านี้ และสั่งปิดได้จากโปรแกรม Group Policy Object Editor (ใช้ได้เฉพาะ Windows Vista เป็นต้นไป, Windows Server 2003 ทำไม่ได้) ส่วนในระยะยาว ไมโครซอฟท์กำลังตรวจสอบรายละเอียดและอาจออกแพตช์ตามมา

ที่มา - Microsoft, Ars Technica

Tags:
Qualcomm

นอกจากจะเปิดตัว SoC รุ่นใหม่อย่าง Snapdragon 820 ในงาน MWC ปีนี้ของ Qualcomm ยังมีอีกทีเด็ดที่เปิดตัวมาพร้อมกันอย่าง Snapdragon Sense ID เทคโนโลยีสแกนลายนิ้วมือสำหรับอุปกรณ์ที่ใช้ชิป Snapdragon โดยเฉพาะ

การทำงานของ Sense ID จะต่างกับรายอื่นตรงที่ไม่ได้ใช้เซนเซอร์รับสัมผัสความละเอียดสูง แต่ใช้คลื่นเสียงความถี่สูงเพื่อตรวจจับพื้นผิวของนิ้วแทน ทำให้สามารถจดจำส่วนที่ละเอียดมากขึ้นอย่างรูขุมขน และลายนิ้วมือได้ดีขึ้น และลดความคลาดเคลื่อนจากความชื้นที่ผิวสัมผัส รวมถึงใช้งานผ่านแก้ว พลาสติก หรือแม้แต่โลหะก็ได้เช่นกัน และรองรับมาตรฐานด้านการยืนยันตัวตนอย่าง FIDO อีกด้วย

Sense ID จะเริ่มปล่อยให้กับอุปกรณ์ที่ใช้ชิป Snapdragon 810 และ 425 ก่อน และจะขยายให้รองรับกับชิปรุ่นอื่นๆ ในซีรีส์ 400, 600 และ 800 ในภายหลัง

ที่มา - Qualcomm

Tags:
SSL

French Institute for Research in Computer Science and Automation (Inria) และ Microsoft ค้นพบช่องโหว่ของ SSL/TLS ที่เกิดขึ้นมาเป็นเวลานับ 10 ปี พบในไลบรารี OpenSSL เวอร์ชัน 1.01k หรือเก่ากว่า และ Secure Transport ของ Apple กระทบทั้งผู้ใช้ Apple และ Android หลายล้านคน รวมถึงเว็บไซต์ทางการของทำเนียบขาว, FBI หรือแม้แต่ NSA

ช่องโหว่นี้มีชื่อว่า FREAK (CVE-2015-0204) หรือ Factoring Attack on RSA-EXPORT Keys การทำงานของช่องโหว่นี้อนุญาตให้ผู้ไม่ประสงค์ดีบังคับใช้กระบวนการเข้ารหัสที่ล้าสมัย เช่น 512-bit export RSA key ที่ในอดีตจำเป็นต้องใช้ซุปเปอร์คอมพิวเตอร์ในการถอดรหัส แต่ปัจจุบันสามารถถอดรหัสได้เพียงใช้เงิน 100 ดอลลาร์กับเวลา 7 ชั่วโมงต่อเว็บ ผู้ใช้จึงมีความเสี่ยงถูกโจมตีแบบ man-in-the-middle attack

จากการตรวจสอบเว็บไซต์ 14 ล้านแห่งที่รองรับ SSL/TLS พบว่า 36% รองรับการเข้ารหัสที่ไม่ปลอดภัย ทำให้มีความเสี่ยงถูกโจมตี ส่วนฝั่งผู้ใช้ที่ตกอยู่ในความเสี่ยงมีทั้ง Android, iOS, OS X หากเข้าเว็บไซต์ที่มีความเสี่ยงเมื่อไรมีอาจถูกโจมตีได้ทันที

เบื้องต้น ทีมวิจัยแนะนำให้เว็บที่ตกอยู่ในความเสี่ยงปิดการเข้ารหัสที่ล้าสมัย และทำให้เว็บรองรับ forward secrecy ส่วน Google ได้ส่งแพตซ์ไปให้พาร์ทเนอร์แล้ว และ Apple ก็เตรียมปิดช่องโหว่นี้ในอัพเดตถัดไปของ iOS และ OS X ที่จะออกสัปดาห์หน้า

ที่มา - The Hacker News

Tags:

บริษัทซีเคียว เน็ตเวิร์ค โอเปอเรชั่น เซ็นเตอร์ หรือ Snoc ประกาศความร่วมมือกับบริษัท NexusGuard ผู้ให้บริการระบบป้องกัน DDoS ผ่านกลุ่มเมฆรายใหญ่ของโลก ตั้ง node สำหรับบริการป้องกัน DDoS ในประเทศไทย

ปัจจุบันเราจะเห็นข่าวการโจมตีแบบ DDoS ถล่มให้เว็บไซต์ล่มหรือระบบคอมพิวเตอร์ใช้งานไม่ได้กันอยู่เรื่อยๆ วิธีการป้องกันแบบหนึ่งคือวางระบบกรองทราฟฟิกไว้ด้านหน้าเซิร์ฟเวอร์ ซึ่งปัจจุบันระบบกรองทราฟฟิกผ่านกลุ่มเมฆก็ได้รับความนิยมมากขึ้น เพราะมีขีดความสามารถในการป้องกัน DDoS ได้เยอะกว่า

Tags:
SSL

กระบวนการรักษาความปลอดภัยเว็บในช่วงหลังๆ เราเห็นผลงานของฝั่งเบราว์เซอร์กันค่อนข้างชัดเจนจากการออกมาตรฐานใหม่ๆ มากมายและร่วมกันรองรับมาตรฐานในเวลาใกล้เคียงกัน แต่ฝั่งผู้รับรองหรือ Certification Authorities (CAs) เองก็เริ่มรายงานความคืบหน้าฝั่งตัวเองออกมากันแล้ว ผ่านทางกลุ่มของ CAs ออกมาจากกลุ่ม Certificate Authority Security Council (CASC) ที่ก่อตั้งเมื่อปี 2013

มาตรฐานที่กำลังจะมีผลเร็วๆ นี้ คือ Certificate Authority Authorization (CAA - rfc6844) ที่เปิดให้เจ้าของเว็บประกาศตัวได้ว่าจะขอใบรับรอง SSL จากผู้ให้บริการรายใด ผ่าน DNS ในฟิลด์ CAA เป้าหมายหลักคือมันจะเป็นเครื่องมือให้ CA รายอื่นๆ รับรู้ว่าจะคำร้องขอใบรับรอง SSL นี้เป็นคำร้องจริงหรือไม่ หากมีการประกาศ CAA ไว้ใน DNS ที่ไม่ตรงกับตน ทาง CA ก็สามารถปฎิเสธการออกใบรับรอง SSL ได้ทันที มาตรฐานนี้เป็นส่วนกลับกับ HPKP ที่เปิดให้เว็บประกาศไปยังเบราว์เซอร์ให้เชื่อใบรับรองจาก CA บางรายเท่านั้น ทางฝั่งผู้ออกใบรับรองอย่าง Godaddy ระบุว่า CAA นั้นปลอดภัยกับเว็บกว่า HPKP ที่มีความเสี่ยงว่าหากคอนฟิกผิด เว็บอาจจะเข้าไม่ได้เป็นเวลานาน

Tags:
Xen

Amazon EC2 และ Rackspace ประกาศเตือนลูกค้าว่าจะมีลูกค้าบางส่วนถูกรีบูตเครื่องเนื่องจากช่องโหว่ชุดใหม่ของ Xen ที่ยังไม่เปิดเผย ทำให้ต้องมีการอัพเดตเร่งด่วน โดยเครื่องที่ได้รับผลกระทบจะถูกรีบูตภายในวันที่ 10 มีนาคมนี้

โครงการ Xen มีกำหนดการเปิดเผยบั๊กวันที่ 10 มีนาคมนี้ 2 ตัว ได้แก่ XSA-120 และ XSA-123

อเมซอนระบุว่าเครื่องที่ได้รับผลกระทบจะเป็นลูกค้าที่ใช้เซิร์ฟเวอร์ เพราะเครื่องรุ่นใหม่จะมีระบบอัพเดตโดยไม่ต้องรีบูตเครื่องแล้ว โดยรวมจะมีผู้ได้รับผลกระทบไม่ถึง 10% ของเซิร์ฟเวอร์ทั้งหมด ส่วนทาง Rackspace ไม่ระบุว่าลูกค้าได้รับผลกระทบมากน้อยแค่ไหน ระบุเพียงว่าเซิร์ฟเวอร์ที่อยู่คนละเขตจะไม่ถูกรีบูตพร้อมกัน ส่วนลูกค้าที่วางเซิร์ฟเวอร์ไว้ในเขตเดียวจะได้รับแจ้งข้อมูลเพิ่มเติมเร็วๆ นี้

ส่วนใครใช้ Xen ในองค์กร ก็เตรียมรับแพตช์ชุดใหม่ แล้ววางแผนทดสอบกันได้เลยครับ

ที่มา - The Register

Tags:
Uber

วันนี้ตามเวลาบ้านเรา ทาง Uber ออกมาแถลงข่าวอย่างเป็นทางการว่า บริษัทตรวจพบการเข้าถึงฐานข้อมูลคนขับและอดีตคนขับรถของบริษัทโดยไม่ได้รับอนุญาตจากบุคคลภายนอก โดยเกิดขึ้นเมื่อเดือนพฤษภาคมปีที่แล้ว แต่ทางบริษัทเพิ่งตรวจพบเมื่อเดือนกันยายน และมีคนขับรถได้รับผลกระทบมากกว่า 50,000 คน

จากที่ Uber ระบุออกมา ฐานข้อมูลดังกล่าวมีคนขับที่อาศัยอยู่ในมลรัฐแคลิฟอร์เนียมากกว่า 21,000 คน ซึ่งทำให้ทางบริษัท ต้องรีบแจ้งกับอัยการของมลรัฐโดยทันที นอกจากนั้นแล้วยังต้องดำเนินคดีโดยยื่นฟ้องบุคคลที่ยังไม่สามารถระบุตัวตนได้ ("John Doe" lawsuit) เพื่อเปิดทางให้บริษัทหาข้อมูลเพิ่มเติมเกี่ยวกับการรั่วไหลของข้อมูลครั้งนี้

ทาง Uber ระบุว่าได้เริ่มติดต่อผู้ได้รับผลกระทบแล้ว และมอบสมาชิกจากบริษัทปกป้องตัวตนส่วนบุคคล ฟรีเป็นระยะเวลาหนึ่งปี นอกจากนั้นแล้วยังระบุว่าได้แก้ไขเรื่องความปลอดภัยแล้ว ทั้งนี้ทางบริษัทได้ออกมา "ขออภัยในความไม่สะดวก" (sorry for any inconvenience) ในครั้งนี้

ที่มา - Engadget

Tags:

นอกจากประเทศไทยที่จริงจังกับการยืนยันตัวตนผู้ใช้โทรศัพท์แล้ว (อ่านเพิ่มเติม) ประเทศร่วมทวีปอย่างปากีสถานก็จริงจังกับเรื่องนี้เช่นกัน หลังจากเหตุการณ์สังหารหมู่เมื่อเดือนธันวาคมที่ใช้การติดต่อผ่านซิมลงทะเบียนโดยผู้ไม่เกี่ยวข้องเมื่อปลายปีก่อน ทางการจึงยกระดับความปลอดภัยของการลงทะเบียนซิมไปอีกขั้น

โดยข้อบังคับล่าสุดที่เพิ่งเริ่มบังคับใช้ ทำให้ผู้ใช้งานโทรศัพท์ทุกคนในปากีสถานต้องลงทะเบียนซิมที่ใช้งานด้วยการสแกนลายนิ้วมือเพื่อยืนยันตัวตน ซึ่งต้องทำให้แล้วเสร็จก่อนวันที่ 15 เมษายนนี้ มิฉะนั้นจะถูกยกเลิกการใช้งาน ซึ่งจากการประเมินโดยภาครัฐคาดว่ามีซิมอยู่ราว 103 ล้านซิม และจากการส่งรถตู้ไปช่วยลงทะเบียนตั้งแต่รอบแรกเมื่อวันที่ 12 มกราคม ตอนนี้มีซิมลงทะเบียนแบบสแกนลายนิ้วมือมากกว่า 72 ล้านซิมแล้ว

การลงทะเบียนของปากีสถานต้องใช้ทั้งบัตรประชาชน และสแกนลายนิ้วมือ ซึ่งต้องตรงกับฐานข้อมูลเดิมที่มีอยู่แล้วจึงจะเสร็จสมบูรณ์ โดยทางการระบุว่าวิธีนี้จะช่วยลดการก่อเหตุการณ์ไม่สงบไม่ให้เกิดขึ้นอีก

ที่มา - Mashable

Tags:
Brian Krebs

KrebsOnSecurity อ้างแหล่งข่าวไม่เปิดเผยตัว ระบุว่าเหตุการณ์แฮกโดเมนสำคัญ คือ Google.com.vn และ Lenovo.com ถูกเจาะมาทางผู้ให้บริการจดโดเมนในมาเลเซียที่ชื่อว่า Webnic.cc

ตอนนี้เว็บหลักของ Webnic.cc ยังไม่สามารถใช้งานได้ โดยฝ่ายซัพพอร์ตตอบคำถามเพียงว่ากำลังอยู่ระหว่างการสอบสวน

ทาง Webnic ให้บริการโดเมนทั้งหมดกว่าหกแสนโดเมนทั่วโลก โดยแฮกเกอร์ได้วาง rootkit ไว้ในเซิร์ฟเวอร์ได้สำเร็จ และทำให้เข้าถึงเซิร์ฟเวอร์ที่เก็บ EPP code สำหรับการยืนยันการโอนโดเมนได้ แต่ตอนนี้ rootkit ได้ถูกลบออกไปแล้ว

ที่มา - KrebsOnSecurity

Tags:

เอกสารของ Snowden ชุดล่าสุดที่เปิดเผยความพยายามของหน่วยงานข่าวกรองที่พยายามขโมยกุญแจเข้ารหัสในซิมการ์ดจำนวนมาก โดยเฉพาะจากบริษัท Gemalto ผู้ผลิตซิมรายใหญ่ที่ถูกแฮกเพื่อขโมยข้อมูลโดยเฉพาะ ตอนนี้ทางบริษัทออกรายงานสอบสวนภายใน ระบุว่ามีการแฮกเครือข่ายภายในบริษัทตรงกับช่วงเวลาตามรายงานจริง

Gemalto ระบุว่าบริษัทไม่สามารถยืนยันได้ว่าการแฮกที่บริษัทพบเป็นฝืมือของ NSA และ GCHQ ตามรายงานจริงหรือไม่ โดยตัวบริษัทเองที่เป็นบริษัทด้านความปลอดภัยก็ถูกโจมตีรูปแบบต่างๆ กันเรื่อยๆ อยู่แล้ว อย่างไรก็ดีมีการโจมตีสองครั้งในช่วงปี 2010 และ 2011 ที่อาศัยเทคนิคชั้นสูงที่อาจจะเกี่ยวข้องกับการโจมตีตามเอกสาร

Tags:
Apple

สำนักข่าว Independent ของสหราชอาณาจักร เปิดเผยข่าวใหม่ว่าในขณะนี้แอปเปิลกำลังเตรียมพัฒนาฟังก์ชันใหม่ที่ชื่อว่า Zombie Mode ให้กับ iOS และ OS X ในเร็วๆ นี้ครับ

โดยจุดประสงค์หลักของฟังก์ชันนี้ก็คือ เพื่อเป็นการบังคับให้อุปกรณ์ของแอปเปิลทั้ง iPhone, iPod Touch, iPad และ MacBook สามารถส่งข้อมูลพิกัดที่อยู่ของตัวเครื่องออกมาได้ทุกเวลา แม้กระทั่งผู้ใช้ปิดเครื่องอยู่ก็ตาม ซึ่งจะช่วยให้ทั้งแอปเปิล และทางการของแต่ละประเทศสามารถติดตามเครื่องได้ทันทีเมื่อถูกโจรกรรม อีกทั้งยังช่วยให้ตามหาเครื่องได้ง่ายขึ้นด้วย

อย่างไรก็ตาม Independent ชี้ว่าฟังก์ชันดังกล่าวอาจจะฟังดูดีเป็นอย่างมากในทางเทคนิค (เพราะยังเป็นสิทธิบัตรอยู่) แต่เมื่อถึงขั้นปฏิบัติจริง อาจจะต้องให้เวลา Apple ในการแก้ไขปัญหาการใช้พลังงานของตัวเครื่องด้วย เพราะเมื่ออุปกรณ์สามารถส่งพิกัดออกมาได้ตลอดเวลา นั่นก็หมายถึงพลังงานที่จะถูกใช้งานอย่างต่อเนื่องแม้ปิดเครื่องอยู่นั่นเอง

ทั้งนี้ Independent ระบุทิ้งท้ายว่า สิทธิบัตรใบนี้แอปเปิลยื่นขอเมื่อเดือนเมษายนปีที่แล้ว และเพิ่งได้รับอนุมัติเมื่อวันที่ 29 มกราคมที่ผ่านมานี้เองครับ

ที่มา - Independent

Tags:
Chromium

กูเกิลเป็นสปอนเซอร์ของงานแฮกเบราว์เซอร์ Pwnium มาหลายปี ปีนี้ก็ใกล้ถึงรอบจัดงานอีกครั้ง ทางกูเกิลก็ออกมาประกาศกติกาใหม่ สำหรับการส่งรายงานบั๊กนอกช่วงเวลางาน โดยจะปรับกติกาของโครงการ Vulnerability Reward Program (VRP) ของโครม ให้มีรางวัลคล้ายกับการแข่งขันในงาน Pwnium มากขึ้น และรางวัลก็เพิ่มขึ้น

ปัญหาของการแข่งขันก่อนหน้านี้คือนักวิจัยจำเป็นต้องเดินทางไปที่งานด้วยตัวเอง และรางวัลใหญ่จำเป็นต้องใช้บั๊กต่อเนื่อง (bug-chain) เพื่อเจาะให้ได้ตามกติกาของงาน Pwnium นักวิจัยจึงสะสมบั๊กไว้กับตัวไม่ยอมรายงานทันทีที่พบ แถมหลายครั้งสะสมบั๊กมาทั้งปีพอถึงวันงานแพตช์ก่อนงานอาจจะปิดบั๊กบางตัวทำให้อดรางวัลใหญ่ นักวิจัยที่ไปร่วมงานก็เคยบอกกับกูเกิลว่าถ้ามีทางเลือกให้รายงานออนไลน์ได้ทันทีก็เป็นเรื่องที่ดี

กูเกิลระบุว่าจะเพิ่มรางวัลสำหรับบั๊กต่อเนื่องแบบ Pwnium นี้และให้รางวัลสูงสุด 50,000 ดอลลาร์ต่อการรายงานแต่ละครั้ง ซึ่งยังน้อยกว่ารางวัลในงาน Pwnium ที่สูงสุดถึง 150,000 ดอลลาร์มาก แต่ข้อดีสำคัญคือนักวิจัยไม่ต้องถือบั๊กรองานแข่งหลายๆ เดือน และบั๊กอาจจะถูกรายงานไปก่อนงานแข่งเพียงไม่กี่วัน

ที่มา - Chromium Blog

Tags:
CloudFlare

กระบวนการเข้ารหัสเว็บก่อนหน้านี้เราได้ยินกันบ่อยๆ เช่น RC4 ถูกเตือนว่าไม่ปลอดภัยมาเป็นเวลานาน ทำให้เว็บส่วนใหญ่เน้นใช้งาน AES ที่เป็นมาตรฐานกว่า แต่ AES เองก็มีปัญหากินซีพียูสูง ทำให้ไม่เหมาะกับการใช้งานบนโทรศัพท์มือถือที่ซีพียูประสิทธิภาพไม่ดีนัก ทาง CloudFlare ก็ออกมาประกาศชุดเข้ารหัสทางเลือก คือ ChaCha20/Poly1305 ที่ให้ความปลอดภัยที่ดี ยังไม่พบช่องโหว่ร้ายแรง และกินพลังประมวลผลต่ำ

ChaCha20/Poly1305 เสนอโดยกูเกิลเมื่อต้นปี 2014 ที่ผ่านมา จนตอนนี้มีเพียงเว็บในเครือกูเกิลเป็นเครือเว็บขนาดใหญ่เดียวที่รองรับมาตรฐานนี้ โดยกูเกิลผลักดันมาตรฐานนี้เข้าไปใน Chrome รุ่นเดสก์ทอปตั้งแต่ปี 2013, และใส่ไว้ใน Chrome for Android/iOS ตั้งแต่เดือนเมษายน 2014 ความได้เปรียบสำคัญคือความเร็วในการเข้ารหัสเมื่อใช้ซีพียูที่ไม่มีโมดูลเข้ารหัสโดยเฉพาะจะทำความเร็วได้ดีขึ้นถึงสามเท่าตัว

ซีพียูเดสก์ทอปรุ่นใหม่ๆ มักมีฮาร์ดแวร์เฉพาะสำหรับเร่งความเร็ว AES อยู่แล้ว ดังนั้นการใช้ ChaCha20/Poly1305 จึงไม่จำเป็นนัก

มาตรฐานนี้ยังอยู่ระหว่างการพัฒนาและยังไม่สมบูรณ์ ไฟร์ฟอกอยู่ระหว่างการเสนอแพตช์ แต่เมื่อทาง CloudFlare รองรับมาตรฐานนี้ก็มีผู้ใช้เชื่อมต่อผ่านการเข้ารหัสนี้ 10% ทันที

ทาง CloudFlare ยังประกาศนโยบายว่าจะรองรับมาตรฐานการเข้ารหัสใหม่ๆ อย่างต่อเนื่องเพื่อให้ทำงานกับเครื่องที่มีข้อจำกัดต่างๆ กันได้ดี และในกรณีที่มาตรฐานการเข้ารหัสแบบใดมีช่องโหว่ จะได้มีแบบอื่นมาทดแทนได้

ที่มา - CloudFlare

Tags:
Yahoo!

Alex Stamos ผู้บริหารฝ่ายความมั่นคงปลอดภัย (Chief Information Security Officer - CISO) ของยาฮู ถามคำถามสดกับคำพูดของ Mike Rogers ผู้อำนวยการ NSA ที่งาน Cybersecurity for a New America

Rogers พูดถึงความจำเป็นของรัฐบาลที่จะเข้าถึงข้อมูลได้ ทำให้ Stamos ลุกขึ้นถามว่าคำพูดนั้นแปลว่า NSA ต้องการให้เอกชนฝังช่องโหว่ไว้ในการเข้ารหัส เพื่อให้รัฐบาลเข้าถึงข้อมูลได้ใช่หรือไม่

Tags:
Lenovo

Jessica Bennett บล็อกเกอร์ที่ใช้ Lenovo Yoga 2 ยื่นฟ้องต่อศาลแคลิฟอร์เนียเรียกร้องค่าเสียหายจากเลอโนโวและ Superfish ที่ติดตั้ง Superfish ลงในเครื่องโดยไม่ได้บอกล่วงหน้า

เธอระบุว่า Superfish ดักฟังการสื่อสารที่เข้ารหัส, ทำให้คอมพิวเตอร์มีความเสี่ยงต่อการโจมตี, ใช้ทรัพยากรในเครื่อง

เธอเสนอให้คดีนี้เป็นคดีแบบกลุ่ม (class-action) ซึ่งหากศาลอนุมัติและเธอชนะคดี เลอโนโวจะต้องชดเชยให้กับลูกค้าที่ได้รับผลกระทบทั้งหมด โดยคำฟ้องเรียกร้องค่าเสียหาย 100 ดอลลาร์ต่อวันต่อคน รวมไม่เกิน 10,000 ดอลลาร์ต่อคน

ที่มา - PC World, The Register

Tags:
SSL

ช่องโหว่ของ Superfish นอกจากประเด็นการดักฟังแล้ว ยังมีปัญหาการใช้กุญแจ CA เหมือนกันทุกเครื่องและระบบตรวจสอบใบรับรองมีบั๊กทำให้เซิร์ฟเวอร์ภายนอกหลอกได้โดยง่าย ตอนนี้บั๊กคล้ายกันถูกพบใน PrivDog ซอฟต์แวร์สแกนความปลอดภัยเว็บจาก Comodo

PrivDog จะสร้าง CA ใหม่ทุกครั้งที่ติดตั้งและจะดักฟังแบบเดียวกับ Superfish จากนั้นจึงแทนที่โฆษณาบนเว็บด้วยโฆษณาจากบริษัทโฆษณาที่ชื่อว่า Adtrustmedia

แม้จะสร้าง CA ขึ้นใหม่ในทุกเครื่องแต่ PrivDog รุ่น 3.0.96.0 และ 3.0.97.0 กลับไม่ตรวจสอบใบรับรองแบบ self-signed ทำให้เซิร์ฟเวอร์ที่มุ่งร้ายสามารถปลอมเว็บได้โดยที่เบราว์เซอร์ไม่รับรู้ด้วย

PrivDog ยอมรับปัญหานี้ และออกคำเตือนเป็นอันตรายระดับต่ำ โดยระบุว่ามีผู้ได้รับผลกระทบไม่เกิน 57,568 คน และตอนนี้ทาง PrivDog ได้ออกอัพเดตแล้ว

นอกจาก PrivDog แล้ว ชุดพัฒนาของ Komodia ที่ใช้อยู่ใน Superfish ก็มีใช้งานในโปรแกรมจำนวนมาก เช่น โปรแกรมควบคุมการใช้งานสำหรับผู้ปกครอง, โปรแกรมโฆษณาอื่นๆ, โปรแกรมรักษาความปลอดภัย Lavasoft

ที่มา - PC World

Tags:
NSA

หลังสัปดาห์ที่แล้วมีข่าว NSA และ GCHQ ร่วมกันเจาะเครือข่ายของ Gemalto ผู้ผลิตซิมการ์ดรายใหญ่ของโลก กระบวนการเจาะเครือข่ายก็มีรายละเอียดเพิ่มมา

NSA ดักฟังอีเมลภายในของ Gemalto ผ่านระบบ XKEYSCORE เพื่อติดตามว่ามีใครพูดคุยกันอยู่บ้าง และพบผู้จัดการฝ่ายขายของ Gemalto สาขาประเทศไทย กำลังส่งอีเมลที่เข้ารหัส PGP โน้ตของ NSA ระบุว่าเขาน่าจะเป็น "จุดเริ่มต้นที่ดี" อย่างไรก็ดีไม่มีรายงานถึงความสำเร็จจากการดึงข้อมูลกุญแจซิมออกจากอีเมลของ Gemalto แต่อย่างใด และรายงานของ GCHQ กลับรายงานว่าสามารถตรวจข้อมูลได้จากการดักฟังจำนวนมาก

Tags:
App Engine

กูเกิลเปิดเครื่องมือ Google Cloud Security Scanner ที่สามารถสแกนเว็บหาช่องโหว่หลักคือ cross-site scripting (XSS) และ mixed content scripting ความพิเศษของเครื่องมือนี้คือมันสามารถสแกนได้แม้แต่เว็บที่ใช้จาวาสคริปต์อย่างหนัก

กระบวนการสแกน XSS จะส่งข้อมูลที่ยิงกลับไปยัง Chrome DevTools หากตัวสแกนสามารถโพสข้อความใดๆ ที่กระตุ้นให้ DevTools ทำงานได้ก็แสดงว่ามีช่องโหว่ XSS

ตัวสแกนอัตโนมัติเช่นนี้คงไม่ได้ช่วยกวาดล้างช่องโหว่ให้หมดไป แต่ช่องโหว่ง่ายๆ ที่รู้จักกันดีก็น่าจะช่วยแจ้งเตือนล่วงหน้าได้มาก

ใช้ได้เฉพาะ URL ที่เป็น App Engine เท่านั้น

ที่มา - Google Cloud Platform, The Hacker News

Tags:
Google

โดเมนของกูเกิลเวียดนาม (www.google.com.vn) ถูก resolve ไปยังหมายเลขไอพี 104.27.142.97 และ 104.27.143.97 ซึ่งเป็นเซิร์ฟเวอร์ของ CloudFlare แทนที่จะเป็นเซิร์ฟเวอร์ของกูเกิลเอง

ความเป็นไปได้อย่างหนึ่งคือ NIC ของเวียดนามถูกแฮกโดยตรง เพราะข้อมูลโดเมนก็ถูกแก้ไขไปด้วย หรืออีกทางหนึ่งกูเกิลเองอาจจะถูกขโมยข้อมูลยืนยันตัวตนเพื่อเข้าไปแก้ไขข้อมูลโดเมน

ที่มา - tinhte, Hacker News