Tags:
Flash

ผลกระทบจากกรณี Hacking Team ถูกแฮก ยังตามมาอย่างต่อเนื่อง หลังข้อมูลช่องโหว่ของระบบปฏิบัติการถูกเผยแพร่ออกมาส่วนหนึ่ง ก็มีข้อมูลชุดใหม่ตามมาอีก

บริษัทความปลอดภัย Trend Micro ขุดข้อมูลของ Hacking Team แล้วพบช่องโหว่ของ Flash Player สองตัว ตัวหนึ่งถูกแพตช์แก้ไปแล้ว ส่วนตัวที่ค้นพบใหม่ยังไม่มีแพตช์แก้ใดๆ แถมการทดสอบกับ Flash เวอร์ชันล่าสุดก็ยังใช้งานช่องโหว่นี้ได้อยู่

เอกสารภายในของ Hacking Team ระบุว่าช่องโหว่ตัวนี้เป็น "บั๊กที่สวยงามที่สุด" ของ Flash ในรอบ 4 ปีที่ผ่านมา โดยทีมงานสามารถใช้ช่องโหว่นี้ควบคุมและสั่งงาน Windows ได้จากระยะไกล (โค้ดตัวอย่างใช้เรียก Calculator ได้)

ระหว่างนี้คงต้องอยู่กันแบบหวาดหวั่น และรอ Adobe รีบออกแพตช์มาแก้ครับ

ที่มา - Trend Micro

Tags:

ข้อมูลจาก Hacking Team หลุดออกมาจำนวนมาก ตอนนี้หลายคนก็เริ่มขุดหาว่าฟีเจอร์ของ Hacking Team นั้นสามารถเจาะเข้าแพลตฟอร์มใดได้บ้าง ปรากฎว่ารายการสินค้าและราคานั้นบอกข้อจำกัดไว้ทั้งหมด

จากรายการสินค้า แพลตฟอร์มต่างๆ จะมีฟีเจอร์ต่างกันไป

  • วินโดวส์: รองรับตั้งแต่ Windows XP SP3 ขึ้นมาทั้งหมด สามารถดัก Skype ทั้งเสียงและแชต, เฟซบุ๊กแชตและเช็คอิน, จีเมล, Outlook.com, Bitcoin, Litecoin, จับไฟล์ในเครื่อง, เปิดกล้องขึ้นถ่ายภาพ, อัดเสียง, ตรวจจับตำแหน่ง
  • OS X: รองรับตั้งแต่ 10.6 ขึ้นไป สามารถดัก Skype ทั้งเสียงและแชต, อัดเสียงจากไมโครโฟน, Bitcoin, Litecoin, Apple Mail, เปิดกล้องขึ้นถ่ายภาพ, บันทึกการกดคีย์บอร์ด
  • ลินุกซ์: รองรับ Ubuntu, Fedora, Debian, Mageia, และ Mint สามารถดัก Skype เฉพาะแชต, เก็บบัญชีที่เซฟไว้ใน Firefox/Thunderbird, Bitcoin, Litecoin, เปิดกล้องขึ้นถ่ายภาพ, บันทึกการกดคีย์บอร์ด
  • แอนดรอยด์: รองรับรุ่น 2.3 ถึง 5.0 สามารถจับรายการ contact ของเฟซบุ๊ก/Skype/Hangouts, อัดเสียงการสนทนาทั้ง GSM/Skype/Viber, บันทึกแชต Skype/WhatsApp/Viber/เฟซบุ๊ก/Hangouts/Telegram, อีเมลใน Gmail, รหัสผ่าน Wi-Fi, อัดเสียงจากไมโครโฟน, ตำแหน่งเครื่องปัจจุบัน, สามารถพยายามรูตเครื่องได้อัตโนมัติ
  • iOS: รองรับ iOS 4.x ขึ้นไป แต่ต้อง jailbreak ก่อนเท่านั้น สามารถบันทึกแชต Skype/ WhatsApp/Viber, ตำแหน่งเครื่อง, รายชื่อติดต่อ, รายการโทร
  • BlackBerry: รองรับ BlackBerry OS 4.5 ถึง 7.1 สามารถบันทึกแชต BBM, อีเมล/SMS, รายการโทร, ตำแหน่งเครื่อง, เปิดไมโครโฟนขึ้นอัดเสียง
  • Windows Phone รองรับรุ่น 8.0/8.1 เท่านั้น ต้องเข้าถึงตัวเครื่องโดยตรงเพื่อติดตั้งใบรับรอง สามารถเปิดไมโครโฟนขึ้นอัดเสียง, บอกตำแหน่งเครื่อง, รายการติดต่อ, ปฎิทิน

จากข้อจำกัดการติดตั้ง ตอนนี้คงต้องบอกว่าสองแพลตฟอร์มที่รอดจาก Hacking Team คือ Windows Phone และ iOS ถ้าใครกังวลเรื่องการถูกดักฟังก็น่าจะพิจารณาจากรายการนี้ประกอบครับ

ที่มา - MacRumors

Tags:

ไม่กี่ชั่วโมงหลังจากแฮกเกอร์นิรนามยึดทวิตเตอร์ของ Hacking Team แล้วโพสลิงก์ไปยังข้อมูลจำนวนมาก ตอนนี้ก็มีคนแกะเอาซอร์สโค้ดออกมาอัพโหลดขึ้น GitHub แล้ว

โค้ดที่อัพโหลดแสดงช่องโหว่ของระบบปฎิบัติการต่างๆ จำนวนมาก กระบวนการแฮกแยกตามระบบปฎิบัติการ, รุ่นที่ใช้ เช่นแอนดรอยด์จะแยกที่ก่อน 4.1 กับหลัง 4.2 เพราะ SELinux โค้ดหลายส่วนแยกตามรุ่นโทรศัพท์มือถือ

ตอนนี้ยังไม่มีความเห็นจากทางบริษัท แต่ Daniel Veditz หัวหน้าฝ่ายความปลอดภัยซอฟต์แวร์ของมอสซิลล่าก็ออกมาระบุว่าผู้ที่รายงานช่องโหว่เข้าไปยังมอสซิลล่าเป็นคนแรกจะได้รางวัลตามโครงการให้รางวัลช่องโหว่

ที่มา - Slashdot

Tags:

บริษัท Hacking Team ผู้ผลิตซอฟต์แวร์อาศัยช่องโหว่เพื่อขายกับหน่วยงานรัฐบาลทั่วโลกกลับถูกแฮกทวิตเตอร์ในวันนี้พร้อมกับข้อความระบุว่า "เราไม่มีอะไรต้องปิดบัง และเราจะเปิดเผยอีเมล, เอกสาร, และซอร์สโค้ดของเราทั้งหมด"

เอกสารที่ปล่อยออกมามีขนาดถึง 500GB ระบุถึงรายได้, รายชื่อลูกค้า, รวมไปถึงรหัสผ่านเซิร์ฟเวอร์ทั่วโลก หนึ่งในรายชื่อลูกค้ามีหน่วยงานไทยหนึ่งหน่วยงาน โดยระบุว่าซ่อมบำรุงไปครั้งสุดท้ายเมื่อช่วงกลางปีที่แล้ว และไลเซนส์ซอฟต์แวร์ได้หมดอายุไปแล้ว สำหรับประเทศอื่นๆ ในอาเซียนก็อยู่ในรายชื่อ เช่น มาเลเซียมีสามหน่วยงาน นอกจากนี้ยังมี เกาหลีใต้, สหรัฐฯ, รัสเซีย อยู่ในรายชื่อลูกค้า

ก่อนหน้านี้ Citizen Labs เคยรายงานว่าไทยเป็นหนึ่งใน 21 ชาติที่น่าจะใช้งานมัลแวร์ Remote Control System (RCS) เพื่อบุกรุกเข้าไปยังเครื่องของเป้าหมาย พร้อมกับตั้งข้อสังเกตุว่า Hacking Team มีความสัมพันธ์ที่ดีกับ VUPEN บริษัทขายช่องโหว่ซอฟต์แวร์รายสำคัญจากฝรั่งเศส (อ่านเพิ่มเติมรายงาน Citizen Lab)

การรั่วไหลครั้งนี้น่าจะทำให้เอกสารอื่นๆ ที่สาธารณะสามารถเข้าไปดูได้ถูกเปิดเผยมาอีกเรื่อยๆ

ความเห็นจากผู้เชี่ยวชาญความปลอดภัยหลายฝ่ายเห็นตรงกันว่าการถูกแฮกรอบนี้เป็นหายนะครั้งใหญ่ Raj Samani จาก Intel Security ตั้งข้อสังเกตว่าแฮกเกอร์มุ่งจะเผยแพร่เอกสารทั้งหมดในทีเดียวโดยไม่ได้นำไปขายในตลาดมืด แนวโน้มเช่นนี้ดูจะเกิดขึ้นบ่อยขึ้นเรื่อยๆ ในช่วงหลังๆ

ที่มา - The Hacker News, Net-Security.org

Tags:

Peiter Zatko นักวิจัยด้านความปลอดภัยระบบคอมพิวเตอร์ หนึ่งในบุคลากรสำคัญของทีม Google ATAP ตัดสินใจลาออกจากงานปัจจุบัน เพื่อตั้ง CyberUL หน่วยงานสนับสนุนมาตรฐานกลางด้านความปลอดภัยของซอฟต์แวร์

กล่าวถึง CyberUL มันคือองค์กรในฝันที่มีการเรียกร้องจากหลายฝ่ายทั้งภาครัฐและภาคธุรกิจให้จัดตั้งกันมานานกว่า 20 ปี โดยได้แนวคิดมาจากการทำงานบริษัท Underwriters Laboratories (เรียกกันย่อๆ ว่า UL) ซึ่งดำเนินธุรกิจด้านการทดสอบความปลอดภัยของผลิตภัณฑ์ต่างๆ มายาวนานกว่า 100 ปี จึงเกิดมีแนวคิดเรื่องการสร้างองค์กรที่ทำหน้าที่นี้สำหรับซอฟต์แวร์โดยเฉพาะ อันกลายเป็นที่มาของชื่อ CyberUL ที่จะรับหน้าที่ผลักดันข้อกำหนดต่างๆ เกี่ยวกับความปลอดภัยของซอฟต์แวร์ให้เป็นมาตรฐานเดียวกันทั้งวงการอุตสาหกรรมไอที ทั้งนี้ CyberUL จะถือเป็นองค์กรอิสระไม่ใช่หน่วยงานหนึ่งของภาครัฐ

Tags:
Thailand

เมื่อ 4 ชั่วโมงที่ผ่านมานับตั้งแต่ข่าวนี้เริ่มเขียน กลุ่มแฮกเกอร์ซึ่งใช้ชื่อว่า GhostShell ได้มีการเผยแพร่ข้อมูลการโจมตีโดยมีเป้าหมายส่วนหนึ่งเป็นเว็บไซต์สถาบันการศึกษาและบริษัทห้างร้านในไทย โดยในข้อมูลที่เผยแพร่ออกมานั้นได้มีการบอกถึงช่องโหว่ที่ใช้ในการโจมตี และข้อมูลบางส่วนที่ถูกขโมยมาจากฐานข้อมูลด้วย

ในตอนนี้ถือได้ว่าเว็บไซต์เหล่านี้ได้ถูกโจมตีแล้วและไม่สามารถทราบความเสียหายได้อย่างแน่ชัดจนกว่าจะมีการตรวจสอบ ขอความร่วมมือผู้ดูแลระบบและผู้ที่เกี่ยวข้องทุกคนช่วยตรวจสอบ แก้ไขเบื้องต้นและป้องกันโดยด่วนที่สุด รายชื่อเว็บไซต์ที่ถูกแฮกทั้งหมดมีอยู่ในส่วนท้ายของข่าวครับ

เพิ่มเติมข้อแนะนำสำหรับผู้ใช้และหน่วยงานที่ได้รับผลกระทบจากการเจาะระบบของกลุ่มแฮกเกอร์ GhostShell โดย ThaiCERT ครับ

Tags:
FBI

ผู้อ่าน Blognone คงคุ้นเคยกับข่าวการโจมตีระบบคอมพิวเตอร์ด้วยเทคนิคด้านซอฟต์แวร์สารพัดรูปแบบ แต่ล่าสุดในสหรัฐอเมริกา เกิดการโจมตีรูปแบบใหม่ที่มุ่งไปตัดสายเคเบิลเพื่อให้อินเทอร์เน็ตใช้งานไม่ได้

การสืบสวนของ FBI พบว่ามีการทำลายสายเคเบิลเชื่อมต่อเน็ตในพื้นที่ Bay Area อย่างน้อย 11 ครั้งในรอบ 1 ปีที่ผ่านมา (รอบล่าสุดเมื่อวันอังคารนี้เอง) รูปแบบการโจมตีคือมีคนบุกเข้าไปยังอุโมงค์ใต้ดิน และตัดสายไฟเบอร์ออปติก 3 เส้นของบริษัท Level 3 และ Zayo

การตัดสายเคเบิล (อย่างจงใจ) ไม่ใช่เรื่องใหม่ และเกิดเหตุการณ์ลักษณะนี้จนทำให้ระบบสื่อสารใช้งานไม่ได้อยู่บ่อยครั้ง อย่างไรก็ตาม การโจมตีครั้งนี้มีลักษณะพิเศษคือกระจายกันอยู่ในพื้นที่เดียว ซึ่ง JJ Thompson ผู้เชี่ยวชาญด้านความปลอดภัยวิตกว่า "ใครสักคน" กำลังทดสอบการโจมตีที่ใหญ่กว่านั้น โดยลองตัดสายเพื่อดูผลกระทบและระยะเวลาการตอบสนองของเจ้าหน้าที่ในการแก้ไข

การตัดสายไฟเบอร์ออปติกจำเป็นต้องใช้เครื่องมือพิเศษ เพราะสายมีฉนวนที่แข็งแรงห่อหุ้มไว้ ซึ่งทาง FBI ยังไม่เปิดเผยรายละเอียดของการตัดสายว่าทำได้อย่างไรบ้าง

ที่มา - USA Today

Tags:
Amazon

อเมซอนเปิดตัวไลบรารี TLS ของตัวเองในชื่อ s2n โดยเน้นความเล็กและเร็ว จุดเด่นสำคัญที่สุดคือโค้ดที่สั้นกว่า OpenSSL อย่างมาก โดยโค้ดในส่วน TLS นั้น s2n มีโค้ด 6,000 บรรทัด เทียบกับ OpenSSL ที่มีโค้ด 70,000 บรรทัด

ตัวไลบรารีไม่ได้ออกแบบมาเพื่อใช้ทดแทน OpenSSL โดยตรง ต่างจากโครงการไลบรารีอื่น เช่น BoringSSL ของกูเกิล และ LibreSSL ของ OpenBSD โดยทั่วไปโครงการไลบรารี TLS/SSL นั้นจะต้องมีไลบรารีสองตัว คือ libssl สำหรับตัวโปรโตคอล และ libcrypto สำหรับกระบวนการเข้ารหัส ตัว s2n นั้นจะมีเฉพาะ libssl และกระบวนการคอมไพล์จะสามารถใช้ร่วมกับ OpenSSL, BoringSSL, หรือ LibreSSL ก็ได้ เพื่อไปใช้กระบวนการเข้ารหัสในไลบรารีเหล่านั้น

ชื่อ s2n มาจาก signal-to-noise แปลว่าโค้ดทุกบรรทัดในโครงการมีความหมาย สำหรับ OpenSSL นั้นทางอเมซอนยืนยันว่าจะสนับสนุนผ่านทางกองทุน Core Infrastructure Initiative ต่อไป

ที่มา - Amazon

Tags:
Medium

Medium บริการเว็บบล็อคที่สามารถคอมเมนต์ได้แยกรายย่อหน้าเพิ่มวิธีการล็อกอินแบบใหม่ผ่านอีเมลเท่านั้น หลังจากก่อนหน้านี้รองรับการล็อกอินผ่านทวิตเตอร์และเฟซบุ๊กไปก่อนแล้ว

เรื่องน่าแปลกใจของ Medium คือแม้จะสร้างบัญชีด้วยอีเมลได้ แต่กระบวนการล็อกอินจะบังคับให้ใช้ลิงก์ล็อกอินเสมอ ไม่สามารถตั้งรหัสผ่านได้ ทาง Medium ระบุว่าการตั้งรหัสให้ดีนั้นยาก และคนจำนวนมากเลือกจะใช้รหัสผ่านซ้ำกันไปมา

แนวทางนี้เปิดให้สำหรับผู้ที่สร้างบัญชีด้วยทวิตเตอร์หรือเฟซบุ๊กด้วยเช่นกัน

ที่มา - Medium

Tags:
Medium

Medium บล็อกแพลตฟอร์มออนไลน์ประกาศเพิ่มทางเลือกในการล็อกอินแบบใหม่ โดยไม่ต้องใช้รหัสผ่าน ไม่ต้องเชื่อมต่อบัญชีเครือข่ายสังคมอื่น เพียงแค่คลิกลิงก์จากอีเมลเท่านั้น

แม้ว่าก่อนหน้านี้บริษัทได้อนุญาตให้ผู้ใช้สามารถใช้บัญชีของ Twitter หรือ Facebook เชื่อมต่อเครือข่ายในการล็อกอิน แต่หลังจากได้รับ Feedback จากผู้ใช้หลายคนว่า พวกเขาต้องการที่จะเข้า Medium โดยที่ไม่ต้องเชื่อมต่อกับบัญชีอื่น หรือในบางกรณีที่ผู้ใช้ไม่มีบัญชี Twitter หรือ Facebook ก็ไม่ต้องการสร้างเพียงเพื่อเอามาใช้เข้า Medium

และการล็อกอินแบบใหม่ก็ไม่ยุ่งยาก เพียงแค่กรอกที่อยู่อีเมลลงไป ทางระบบก็จะส่งลิงก์ที่ใช้ในการเข้ามาให้ เพียงแค่คลิกก็ล็อกอินได้โดยที่ไม่ต้องใส่รหัสเลย ซึ่งลิงก์นั้นจะมีอายุเพียงแค่ 15 นาทีเท่านั้น แต่หากใช้แอพจัดการรหัสผ่าน เช่น LastPass หรือ Dashlane ก็อาจจะต้องผ่านขั้นตอนพิเศษสักหน่อย

ตอนนี้การล็อกอินแบบใหม่ ทำได้เพียงบนเว็บไซต์และ iOS เท่านั้น ส่วน Android กำลังจะตามมาในเร็วๆ นี้

ที่มา : TechCrunch

Tags:
Chrome

วันนี้ผมพบปัญหาการเข้าไปอ่านกระทู้ใน pantip.com หากเข้าชมด้วย Chrome และเป็นกระทู้ที่มีลิงก์ภายนอกหรือลิงก์ไปยังกระทู้อื่น หากคลิกลิงก์ดังกล่าว (ซึ่งพันทิปจะ redirect ไปยัง http://pantip.com/l/<url> ก่อน แล้วถึงจะเปิดลิงก์ดังกล่าวอีกทีหนึ่ง) Chrome จะเตือนทันทีว่า http://pantip.com/l/ ไม่ปลอดภัย

ยังไม่พบปัญหานี้หากเข้าใช้งานด้วยเบราว์เซอร์อื่น

Update- ขณะนี้พันทิปได้ทำการแก้ไขปัญหาดังกล่าวแล้ว ด้วยการ redirect ไปยังเว็บปลายทางโดยตรง โดยไม่ผ่าน http://pantip.com/l/

ที่มา - ค้นพบด้วยตัวเอง

Tags:
OpenDNS

Cisco ประกาศเข้าซื้อบริษัท OpenDNS ที่เรารู้จักกันดีในฐานะผู้ให้บริการ DNS Server ฟรี แต่จริงๆ แล้ว OpenDNS ทำธุรกิจด้านความปลอดภัยบนกลุ่มเมฆ โดยป้องกันการโจมตีจาก DDoS, มัลแวร์ และบ็อตเน็ตต่างๆ

Cisco ระบุว่าซื้อ OpenDNS เพื่อมาเสริมโครงการ Security Everywhere ของตนเอง และเตรียมความพร้อมสำหรับโลกในยุค IoT (Cisco เรียก IoE) ในอนาคตอันใกล้นี้ มูลค่าการซื้อกิจการรอบนี้ 635 ล้านดอลลาร์

OpenDNS เองก็ออกมาเผยสถิติว่าปกป้องผู้ใช้เน็ตมากกว่า 65 ล้านคนทั่วโลก มีลูกค้าเกิน 10,000 องค์กร ส่วนบริการ OpenDNS แบบฟรีจะยังคงให้บริการเหมือนเดิมไม่เปลี่ยนแปลง

ที่มา - Cisco, OpenDNS

Tags:
USA

ด้วยความที่อุบัติเหตุบนท้องถนนเกิดจากความผิดพลาดของผู้ขับขี่เป็นหลัก จึงมีความพยายามใช้เทคโนโลยีต่างๆ ที่น่าจะผิดพลาดน้อยกว่ามาช่วยเพื่อแก้ปัญหา อย่างเช่นรถไร้คนขับ

ระบบสื่อสารระหว่างรถยนต์ (vehicle-to-vehicle communication) ก็เป็นอีกหนึ่งช่องทางที่ถูกคาดว่าจะช่วยแก้ปัญหาดังกล่าว ซึ่งหน่วยงานด้านความปลอดภัยทางจราจรบนถนนหลวงแห่งชาติของสหรัฐอเมริกา (the National Highway Traffic Safety Administration - NHTSA) ได้พยายามผลักดันร่างกฎหมายนี้ แต่ก็มีอีกปัญหาที่ตามมา คือความปลอดภัยของข้อมูลที่ส่งกันไปมาระหว่างรถยนต์ ซึ่งหากถูกเจาะอาจนำไปสู่การก่อการร้ายได้ด้วยซ้ำไป

Tags:
NIST

หลังการเปิดเผยเอกสารของ Snowden มาตรฐานความปลอดภัยส่วนหนึ่งที่ถูกโจมตีอย่างหนักคือ Dual_EC_DRBG ที่เอกสารของ NSA ระบุว่าทาง NSA เป็นผู้วางมาตรฐานนี้เองทั้งหมด เมื่อมีการค้นคว้าเพิ่มเติมพบว่ามาตรฐานนี้ได้เข้ามาในคำแนะนำของ NIST อย่างน่าสงสัยเพราะประสิทธิภาพแย่และมีความเป็นไปได้ที่จะวางช่องโหว่เอาไว้ เมื่อปีที่แล้วทาง NIST พยายามรักษาหน้าด้วยการออกร่างคำแนะนำใหม่ที่ถอด Dual_EC_DRBG ออกไปจากมาตรฐาน และตอนนี้ร่างคำแนะนำก็กลายเป็นเอกสารทางการแล้ว

Dual_EC_DRBG ถูกคัดค้านมาก่อนที่จะเข้าเป็นส่วนหนึ่งของคำแนะนำของ NIST คำแก้ตัวของ NSA ที่ผลักดันมาตรฐานนี้คือทาง NSA ใช้งานมันอยู่ในองค์กรอยู่แล้วและต้องการผลักดันออกมาเป็นมาตรฐาน

ที่มา - ThreatPost

Tags:
Samsung

จากกรณี โน้ตบุ๊กของซัมซุงสุ่มปิด Windows Update โดยไม่แจ้งผู้ใช้ ล่าสุดทางซัมซุงออกมาแถลงว่าจะปิดระบบตัวนี้ และกลับไปตั้งค่า Windows Update แบบปกติแล้ว

ซัมซุงบอกว่าจะออกแพตช์ผ่าน Samsung Software Update ในอีกไม่กี่วันข้างหน้า ซึ่งจะทำให้ค่าของ Windows Update กลับมาเป็นการติดตั้งอัพเดตอัตโนมัติดังเดิม

ที่มา - VentureBeat

Tags:
Cisco

ซิสโก้ประกาศแจ้งเตือนว่าซอฟต์แวร์รักษาความปลอดภัยสามตัว ได้แก่ Web Security Virtual Appliance (WSAv), Email Security Virtual Appliance (ESAv), และ Security Management Virtual Appliance (SMAv) มีช่องโหว่ใช้กุญแจ SSH เป็นค่าเริ่มต้นตรงกันทำให้เสี่ยงต่อการถูกเข้าควบคุมโดยแฮกเกอร์ หากแฮกเกอร์สามารถเชื่อมต่อเข้ามายังพอร์ต SSH ได้

ซิสโก้แจ้งให้ลูกค้าติดตั้งอัพเดตที่ออกมาในวันนี้ โดยสามารถสั่งอัพเดตผ่านกระบวนการปกติ แต่ให้ตรวจสอบว่ามีรายการ "cisco-sa-20150625-ironport SSH Keys Vulnerability Fix" อยู่ในรายชื่อแพตช์ที่อัพเดต

ที่มา - Cisco, The Register

Tags:

Alex Stamos หัวหน้าฝ่ายความปลอดภัยข้อมูลของ Yahoo! ประกาศว่าวันจันทร์นี้เขาจะย้ายไปทำงานกับเฟซบุ๊กในตำแหน่งหัวหน้าฝ่ายความปลอดภัย

Stamos เป็นหนึ่งในผู้ก่อตั้ง iSEC Partner ก่อนจะย้ายไปอยู่ Artemis Internet บริษัทลูกของ NCC Group ที่ยื่นขอโดเมน .SECURE แต่สุดท้ายได้เป็น .TRUST ไปแทน จากนั้นจึงย้ายมาอยู่ Yahoo! มีผลงานในการปรับการเข้ารหัสบริการจำนวนมาก ประกาศรองรับ End-to-End บน Yahoo Mail

ผลงานสำคัญอีกอย่างของ Stamos คือการไปปะทะคารมกับผู้อำนวยการ NSA กลางงานสัมมนา

เขาระบุเหตุผลที่เข้าทำงานเฟซบุ๊กว่าไม่มีบริษัทอื่นที่จะมีโอกาสเข้าไปพบปัญหาการเชื่อมต่อคนอีก 2 ใน 3 ของประชากรโลกที่ยังเข้าไม่ถึงอินเทอร์เน็ต และทีมงานความปลอดภัยของเฟซบุ๊กก็แสดงให้เห็นนวัตกรรมมาแล้วเป็นเวลานาน

ที่มา - Facebook: Alex Stamos

Tags:
Linux Foundation

กองทุน Core Infrastructure Initiative (CII) เกิดมาหลังบั๊ก Heartbleed เมื่อปีที่แล้ว โดยกองทุนจะสนับสนุนโครงการสำคัญๆ ด้านความปลอดภัยให้มีนักพัฒนามากเพียงพอ ตอนนี้กองทุนมีเงินค่อนข้างเหลือเฟือ โดยยอดล่าสุดอยู่ที่ 5.5 ล้านดอลลาร์ โดยบริษัทให้คำสัญญาว่าจะจ่ายเงินต่างกันไปในระยะเวลาสามปีข้างหน้า ตอนนี้ทางกองทุนก็เริ่มสนับสนุนโครงการใหม่ๆ เพิ่มเติม โดยรอบนี้ประกาศออกมาสามโครงการ

  • การคอมไพล์ที่ทำซ้ำได้: สำหรับ Debian และ Fedora พยายามลดความแตกต่างระหว่างสภาพแวดล้อมที่ใช้คอมไพล์ในแต่ละครั้ง เพื่อให้ยืนยันได้ว่าไบนารีที่ได้มาจากซอร์สโค้ดที่ระบุเอาไว้จริง เพราะสามารถคอมไพล์เองเพื่อยืนยันซ้ำได้ โดรงการนี้ได้รับเงินทุน 200,000 ดอลลาร์
  • The Fuzzing Project: โครงการค้นหาช่องโหว่ความปลอดภัยพัฒนาโดย Hanno Böck ที่พบช่องโหว่สำคัญหลายรายการใน GnuPG และ OpenSSL ทาง CII จ่ายเงิน 60,000 ดอลลาร์เพื่อให้ Böck ทำงานบนโครงการนี้ต่อไป
  • False-Positive-Free Testing - จากบริษัท TrustInSoft จะพัฒนา tis-interpreter ช่วยค้นหาบั๊กโดยไม่มี false positive ทำให้นักพัฒนาทำงานได้ง่ายขึ้น ทาง CII ให้ทุนพัฒนา tis-interpreter ไป 192,000 ดอลลาร์ คาดว่าจะโอเพนซอร์สในต้นปี 2016

แนวทางของ CII นับว่าต่างจากการให้รางวัลจากบริษัทต่างๆ ที่มักให้รางวัลสำหรับการค้นพบช่องโหว่ แต่ CII ให้ทุนนักพัฒนาเพื่อหาทางอุดช่องโหว่ก่อนที่จะเกิดขึ้นในซอฟต์แวร์เลย ในอนาคตถ้าใครมีไอเดียอะไรแปลกๆ และน่าจะใช้งานได้จริงก็คงเขียนไปขอทุนกันได้

ที่มา - Linux Foundation

Tags:
Flash

Adobe ออกแพตช์ความปลอดภัยของ Flash Player แก้ช่องโหว่ระดับ "ร้ายแรง" (critical) ที่ถูกใช้โดยกลุ่มแฮ็กเกอร์ชาวจีน APT3

ช่องโหว่หมายเลข CVE-2015-3113 นี้ถูกค้นพบโดยบริษัท FireEye จากร่องรอยการโจมตีของ APT3 ส่งผลให้ Adobe ต้องออก Flash Player เวอร์ชัน 18.0.0.194 (วินโดวส์/แมค) และ 11.2.202.468 (ลินุกซ์) มาแก้ไข

ผู้ใช้ Chrome และ IE บน Windows 8.x ไม่ต้องทำอะไรเพิ่มเพราะ Flash อัพเดตผ่านเบราว์เซอร์อยู่แล้ว ส่วนผู้ใช้เบราว์เซอร์อื่นๆ ก็ตามไปดาวน์โหลด Flash Player เวอร์ชันล่าสุด มาติดตั้งเพื่อความปลอดภัยกันครับ

ที่มา - Adobe, Computerworld

Tags:
ESET

Tavis Ormandy หนึ่งในสมาชิกของ Google Project Zero ได้รายงานช่องโหว่ของผลิตภัณฑ์ ESET วันนี้ โดยช่องโหว่ดังกล่าวส่งผลให้ผู้โจมตีสามารถส่งคำสั่งเพื่อควบคุมเครื่องเป้าหมายได้จากระยะไกลในสิทธิ์ root/SYSTEM ช่องโหว่นี้ถูกจัดความสำคัญอยู่ในระดับ critical หรือร้ายแรงที่สุด

รายละเอียดของช่องโหว่เบื้องต้นนั้น เกิดจากวิธีการที่ซอฟต์แวร์แอนติไวรัสใช้ในการจำลองโค้ด โดยใน ESET NOD32 จะมีการดักจับข้อมูลที่ได้จาก I/O ของดิสก์เพื่อเอาไปตรวจสอบและจำลองเมื่อพบส่วนของโค้ดที่สามารถเอ็กซีคิวต์ได้

ช่องโหว่นี้ถูกรายงานว่าส่งผลกระทบต่อผลิตภัณฑ์ ESET ทุกตัวไม่ว่าจะเป็น ESET Smart Security for Windows, ESET NOD32 Antivirus for Windows, ESET Cyber Security Pro for OS X, ESET NOD32 For Linux Desktop, ESET Endpoint Security for Windows and OSX และ ESET NOD32 Business Edition โดยช่องโหว่สามารถโจมตีได้บนการตั้งค่าเริ่มต้นของซอฟต์แวร์ถึงแม้ว่าจะมีการปิดฟังก์ชันในการสแกนแบบ Real time ก็ตาม

ทาง ESET ได้มีการปล่อยอัพเดตแล้วเมื่อสองวันที่ผ่านมา ผู้อ่านท่านใดที่ต้องการศึกษาช่องโหว่เพิ่มเติม ทาง Project Zero ก็ใจดีแนบเครื่องมือที่ใช้ในการโจมตีเพื่อให้ได้สิทธิ์ของ root/SYSTEM (ไม่ใช่ RCE) มาให้ด้วยพร้อมกับรายงานช่องโหว่และวีดิโอทดสอบการโจมตี สามารถดาวโหลดได้จากแหล่งที่มาครับ

ที่มา - Google Security Research