Tags:
Xiaomi

เนื่องจากชะตาฟ้ากำหนดว่าจะโดนหลอก ต้นเดือนที่ผ่านมาก็เลยได้ Xiaomi Mi 3 เสิ่นเจิ้นเวอร์ชั่นมาได้ครอบครอง

สงสัยชะตามันจะได้ Mi 3 มาแต่ต้น เพราะเมื่อเดินไปถาม Mi 4 แล้วแพง (13k) พอจะซื้อ Mi 3 (9.9k) ของก็หมด ก็เลยไปเดินวนดูรุ่นอื่น พอกำลังจะกลับก็เดินสวนกับเจ้าของร้านพอดี เขาบอกว่าสต๊อกของพึ่งมาส่ง พี่จะรอไหม กำลังจะเดินไปเอา ก็เลยตกลงรอ พอได้ของ เขาบอกว่าล็อตนี้ราคาลงพอดี ได้มาที่ราคา 7k

Tags:
China

กูเกิลออกประกาศเตือนว่ามีใบรับรอง SSL ปลอมออกโดย MCS Holdings หน่วยงานรับรองระหว่างกลาง (intermediate CA) ตั้งอยู่ในอียิปต์ ได้ออกใบรับรองโดเมนของกูเกิลหลายโดเมนทำให้มีความเสี่ยงว่าโดเมนเหล่านั้นจะถูกดักฟังโดยคนที่ได้รับกุญแจและใบรับรองเหล่านี้

โครมและไฟร์ฟอกซ์รุ่นใหม่ๆ จะได้รับแจ้งเตือนหากถูกดักฟังโดยเครื่องที่ใช้ใบรับรองเหล่านี้ เพราะมีการล็อกใบรับรองเอาไว้ แต่สำหรับผู้ใช้เบราว์เซอร์เก่าก็ยังมีความเสี่ยงอยู่

MCS Holdings เป็นหน่วยงานรับรองที่ได้รับรองจาก CNNIC หน่วยงานออกใบรับรองระดับ root CA และดูแลระบบโดเมนของจีน ทาง MCS Holdings ได้ติดตั้งพรอกซี่ดักฟัง (แบบเดียวกับ mitmproxy) โดยใช้ CA ที่ได้รับการรับรองจาก root CA แทนที่จะใช้ CA ที่สร้างขึ้นใหม่แล้วติดตั้งเฉพาะเครื่องในหน่วยงานเท่านั้น ทำให้เครื่องลูกข่ายที่ถูกดักฟังด้วยพรอกซี่ไม่จำเป็นต้องติดตั้ง CA ใหม่ลงในเครื่อง แนวทางนี้ขัดต่อหลักการดำเนินการของ CA และแสดงให้เห็นว่า CNNIC ออกใบรับรองให้กับหน่วยงานที่ไม่ยึดตามแนวทางที่ถูกต้อง

อย่างไรก็ดีคาดว่า MCS Holdings ใช้ใบรับรองเหล่านี้ในเครือข่ายของตัวเองเท่านั้น และใบรับรอง CA ที่ CNNIC ออกให้กับ MCS Holdings มีอายุเพียงสองสัปดาห์ จะหมดอายุในวันที่ 3 เมษายนนี้พร้อมกับระบุว่าเป็นใบรับรองทดสอบ

ใครรับได้กับความปลอดภัยแบบไหนคงแล้วแต่ความเสี่ยงของแต่ละคน แต่ตัวผมเองคงถอด root CA ของ CNNIC ออกจากเครื่องไปก่อน

ที่มา - ArsTechnica, Google Online Security

Tags:
Twitch

เว็บถ่ายทอดสดเกม Twitch ประกาศข่าวว่าโดนแฮ็กระบบ และข้อมูลผู้ใช้บางส่วนอาจถูกขโมย ทางเว็บไซต์จึงบังคับผู้ใช้ทุกคนเปลี่ยนรหัสผ่านใหม่ รวมถึงเปลี่ยนคีย์ที่ใช้เชื่อมต่อกับ Twitter/YouTube ด้วย

Twitch ขอให้ผู้ใช้ทุกคนเปลี่ยนรหัสผ่านทันที รวมถึงเปลี่ยนรหัสผ่านเดียวกันที่ใช้บนเว็บไซต์อื่นๆ ด้วย

ที่มา - Twitch

Tags:
EGA

เพิ่มเติมจากที่คณะกรรมการเตรียมการด้านดิจิทัลฯ ประกาศแผนจัดตั้งศูนย์ข้อมูลแห่งชาติ ในงานสัมมนาที่จัดขึ้นโดยสำนักงานรัฐบาลอิเล็กทรอนิกส์ (สรอ.) ว่าด้วยการปูแผนงานเพื่อรับกับการก้าวไปสู่รัฐบาลดิจิทัลยังมีรายละเอียดเพิ่มเติมที่น่าสนใจอีกดังนี้

เริ่มต้นด้วยเรื่องการขยายการเข้าถึงอินเทอร์เน็ต ได้มีการจัดตั้งบรอดแบนด์แห่งชาติสำหรับติดตั้งเครือข่ายใยแก้วนำแสงให้เข้าถึงได้จากทุกพื้นที่ทั้งสถานประกอบการ หรือพื้นที่พักอาศัยของประชาชน โดยไม่ต้องออกกฎหมายมารองรับ ซึ่งคาดการณ์ว่าจะแล้วเสร็จภายในปี 2560 นี้

ส่วนต่อมาคือการยกระดับระบบบริการของภาครัฐให้มาใช้งานศูนย์ข้อมูลแห่งเดียว ด้วยแผนการสร้างศูนย์ข้อมูลแห่งชาติ ที่จะเปิดให้เอกชนเข้ามาประมูลลงทุน โดยคาดว่าจะแล้วเสร็จภายใน 12 เดือน

Tags:
Go Daddy

Vinny Troia ซีอีโอของบริษัท Night Lion Security สาธิตการขโมยบัญชีลูกค้า GoDaddy ด้วยกระบวนการวิศวกรรมสังคม (social engineering) โดยที่แฮกเกอร์ไม่สามารถเข้าถึงอีเมลของเหยื่อ หรือทราบรหัสอื่นๆ รู้เพียงข้อมูลส่วนตัวของเหยื่อเล็กน้อย

Troia สาธิตการเข้าควบคุมบัญชีโดเมนของ Steve Ragan นักข่าวจาก CSO Online ด้วยการโทรหาฝ่ายซัพพอร์ต โกหกว่าเขาไม่สามารถเข้าถึงบัญชีบน GoDaddy และอีเมลของเขาเองได้

เจ้าหน้าที่ GoDaddy ถามข้อมูลส่วนตัว นับแต่ PIN ของเว็บและ หมายเลขบัตรเครดิตสี่หลักสุดท้ายแต่ Troia ไม่สามารถตอบคำถามได้ และอ้างว่าผู้ช่วยของเขาเป็นคนเปิดบัญชีให้ ซัพพอร์ตของ GoDaddy จึงให้เว็บแบบฟอร์มการขอเข้าถึงบัญชี ตัวแบบฟอร์มต้องการบัตรประจำตัวที่ออกโดยหน่วยงานรัฐ Troia ปลอมภาพใบขับขี่จากรัฐอินเดียน่า

สี่วันต่อมา GoDaddy ติดต่อกลับมาระบุว่าข้อมูลบัญชีระบุว่าเป็นข้อมูลบริษัทและต้องการเอกสารเพิ่มเติม Troia โกหกกลับไปว่าชื่อบริษัทนั้นเขาใส่ไปมั่วๆ เพราะคิดว่าต้องกรอกให้ครบ เจ้าหน้าที่เชื่อตามนั้นและส่งลิงก์รีเซ็ตรหัสผ่านมาให้ทางอีเมล

ปัญหาสำคัญของกระบวนการนี้ คือทาง GoDaddy พยายามแจ้งเจ้าของบัญชีเดิมว่ามีความพยายามขอเข้าถึงบัญชี แต่กลับแจ้งหลังจากรีเซ็ตรหัสผ่านบัญชีไปเรียบร้อยแล้ว Ragan ระบุว่าอีเมลมาถึงเขาเก้าชั่วโมงหลังจากรหัสผ่านถูกรีเซ็ตไปแล้ว หากเป็นการแฮกจริงโดเมนทั้งหมดในบัญชีอาจจะถูกโอนไปเรียบร้อยแล้วกว่าเจ้าของบัญชีที่แท้จริงจะได้รับแจ้ง

Troia ระบุว่ากระบวนการป้องกันช่องโหว่นี้แบบหนึ่งคือการเปิดบริการรักษาความเป็นส่วนตัวของโดเมนเพื่อปกปิดข้อมูลส่วนตัวออกจากฐานข้อมูล WHOIS เสีย

ที่มา - CSO Online

Tags:
SSL

Qualys ผู้ให้บริการ SSL Labs เปิดซอร์สโค้ดของโปรแกรม ssllabs-scan เพื่อให้ผู้ดูแลระบบสามารถเข้าถึง API ของ SSL Labs ได้ผ่าน command-line ทำให้ตั้งช่วงเวลาให้ตรวจสอบเซิร์ฟเวอร์เป็นระยะ และรายงานผลเป็นไฟล์ JSON ได้

ก่อนหน้านี้ Qualys เปิดหน้าเว็บ SSL Pulse แล้วตั้งการสแกนเว็บไซต์ประมาณ 200,000 เว็บแรกบนรายการ Alexa เพื่อรายงานสถานการณ์การคอนฟิก SSL อย่างถูกต้อง รายงานฉบับล่าสุดของเดือนนี้มีเว็บไซต์ที่คอนฟิกอย่างปลอดภัย (เกรด A- ขึ้นไป) อยู่ที่ 18.2% เท่านั้น

กระบวนการดูแลเว็บไซต์ที่เข้ารหัสด้วย SSL/TLS จำเป็นต้องมีการดูแลอย่างต่อเนื่อง เพราะช่องโหว่ใหม่ๆ มีการรายงานเข้ามาแทบทุกเดือน แม้ว่าบางช่องโหว่อาจจะไม่อันตรายนัก

ตั้ง cron รายงานผลกันทุกเว็บที่ดูแลอยู่เข้าอีเมลเดือนละครั้งน่าจะเป็นทางที่ดีสำหรับผู้ดูแลระบบครับ

ที่มา - eWeek

Tags:
Lollipop

ฟีเจอร์ใหม่ของ Android 5.0 คือ Smart Lock ที่ช่วยให้เราใส่รหัสปลดล็อคมือถือน้อยลง เพราะมือถือจะนำข้อมูลหลายอย่างมาวิเคราะห์ว่าเราอยู่ในสภาพแวดล้อมที่ "น่าเชื่อถือ" จนไม่ต้องใส่รหัสซ้ำอีกรอบ

ตัวอย่างข้อมูลที่ Android ใช้วิเคราะห์คือ trusted places ถ้าเป็นสถานที่ที่เรามั่นใจ (เช่น บ้านหรือที่ทำงาน) ก็ตั้งค่าให้ไม่ต้องล็อครหัส, trusted devices ถ้าอยู่ใกล้กับอุปกรณ์บางอย่าง (เช่น นาฬิกา Android Wear ที่เชื่อมต่อผ่านบลูทูธ) ก็ยืนยันได้ว่าเป็นตัวเราเองใช้งานมือถือ

ล่าสุดมีคนค้นพบว่ากูเกิลเพิ่มข้อมูลชนิดใหม่ที่เรียกว่า On-body Detection ให้กับ Smart Lock หลักการทำงานของมันคือถ้าเราใส่รหัสปลดล็อคหน้าจอแล้วถืออุปกรณ์นั้นอยู่ตลอดเวลา ต่อให้จอดับไป เปิดจอขึ้นมาก็ไม่ต้องปลดล็อคใหม่อีกรอบ แต่เมื่อไรที่วางอุปกรณ์นั้นทิ้งไว้ ก็จะกลับสู่การล็อคเครื่องตามปกติอีกครั้ง

Tags:

ไมโครซอฟท์ผลักดันระบบยืนยัน bootloader ด้วย Secure Boot มาตั้งแต่ช่วงออก Windows 8 ตอนนี้สเปคฮาร์ดแวร์ของ Windows 10 ในงาน WinHEC ทางไมโครซอฟท์เปิดช่องให้ผู้ผลิตฮาร์ดแวร์ล็อกการลงระบบปฎิบัติการบนเครื่องของตัวเองว่าต้องผ่านการรับรองจาก Secure Boot เท่านั้น

สเปคเดิมของ Windows 8 ระบุว่า Secure Boot จะต้องอนุญาตให้ผู้ใช้ปิดการใช้งาน Secure Boot เองได้ แต่ใน Windows 10 นี้ให้ทางเลือกผู้ผลิตฮาร์ดแวร์ว่าจะปิดได้หรือไม่ หากผู้ผลิตบังคับว่าต้องใช้ Secure Boot เท่านั้น ผู้ใช้จะไม่สามารถติดตั้งระบบปฎิบัติการตามใจชอบได้อีกต่อไป แต่ติดตั้งได้เฉพาะระบบปฎิบัติการที่ผู้ผลิตฮาร์ดแวร์เชื่อถือเท่านั้น

สำหรับพีซีที่ผลิตมาสำหรับ Windows 10 Mobile จะต้องเปิด Secure Boot ตลอดเวลา และผู้ใช้ปิดการใช้งานเองไม่ได้

ไมโครซอฟท์กำหนดมาตรฐานว่าฐานข้อมูลของ Secure Boot ในเครื่องที่จะได้รับการรับรองต้องมีใบรับรองของ CA ใดบ้าง ในตอนนี้ยังไม่มีรายชื่อทั้งหมด แต่กรณีก่อนหน้านี้ Ubuntu ก็สร้าง GRUB แล้วไปขอรับรองจากไมโครซอฟท์ เพราะเครื่องที่รองรับ Secure Boot ส่วนมากรองรับ "Microsoft Corporation UEFI CA"

กระบวนการนี้ทำให้ระบบปฎิบัติการอิสระค่ายเล็กๆ ที่เคยแก้ไขเคอร์เนลหรือปรับแต่งระบบปฎิบัติการ จะติดตั้งในพีซีทั่วไปได้ยากขึ้น

ที่มา - ArsTechnica

Tags:
Pwn2Own

Pwn2Own งานแข่งขันแฮกเบราว์เซอร์จบงานแข่งสองวันลงแล้ว โดยเบราว์เซอร์ทั้งสี่ตัว คือ Internet Explorer, Firefox, Safari, และ Chrome ถูกแฮกได้สำเร็จทุกตัว

รางวัลใหญ่ที่สุดตกเป็นของ JungHoon Lee ที่สามารถแฮก Chrome ได้สำเร็จคนเดียวในงาน ได้รางวัล 75,000 ดอลลาร์จากการแฮกเบราว์เซอร์, 25,000 ดอลลาร์จากการรันโค้ดใน system level, และอีก 10,000 ดอลลาร์จากการเจาะ Chrome Beta นอกจากนี้ JungHoon ยังเจาะ Safari ได้อีกหนึ่งครั้ง ได้เงิน 50,000 ดอลลาร์ และ IE11 อีกครั้งเป็นเงิน 65,000 ดอลลาร์ รวมคนเดียวได้รางวัลไป 225,000 ดอลลาร์ เกือบครึ่งหนึ่งของทั้งงาน

งานสองวันมีการจ่ายรางวัลรวมทั้งหมด 557,500 ดอลลาร์

หลังจากจ่ายรางวัลกันแล้ว หลังจากนี้เบราว์เซอร์ต่างๆ จะรีบนำบั๊กกลับไปแพตช์เบราว์เซอร์ต่อไป Mozilla ระบุว่าจะแพตช์ภายในวันแข่ง

ที่มา - TechCrunch

Tags:
OpenSSL

OpenSSL ประกาศบั๊กตามที่แจ้งไว้ล่วงหน้า แก้บั๊กความร้ายแรงสูงสองตัว ได้แก่ บั๊ก FREAK ที่เป็นข่าวไปเมื่อต้นเดือนที่ผ่านมา และบั๊กใหม่ที่ทำให้เซิร์ฟเวอร์ล่มได้จากการเชื่อมต่อจากภายนอก

บั๊ก FREAK (CVE-2015-0204) เป็นบั๊กของ OpenSSL ร่วมกับการคอนฟิกแบบเก่าๆ ที่เปิดชุดการเข้ารหัสแบบอ่อนแอเอาไว้ แฮกเกอร์จะสามารถบังคับให้ผู้ใช้เชื่อมต่อการเข้ารหัสที่อ่อนแอเหล่านั้นได้ หากอัพเดตบั๊กนี้แม้จะเปิดการเข้ารหัสเหล่านั้นไว้ แฮกเกอร์ก็ไม่สามารถบังคับให้ผู้ใช้ไปเชื่อมต่อด้วยชุดการเข้ารหัสที่่อ่อนแอเหล่านั้นได้อีกต่อไป บั๊กนี้มีผลกับ OpenSSL 3 ตระกูลได้แก่ 1.0.1, 1.0.0, และ 0.9.8

ส่วนบั๊กใหม่คือ ClientHello sigalgs DoS (CVE-2015-0291) เป็นบั๊กที่หากเครื่องไคลเอนต์เชื่อมต่อเข้ามาโดยเลือกใช้กระบวนวิธีที่ไม่ถูกต้อง (invalid signature algorithms) จะทำให้เกิดการคืนหน่วยความจำที่ค่า NULL (NULL pointer dereference) ส่งผลให้โปรเซสเซิร์ฟเวอร์อาจจะล่มไป แฮกเกอร์จะยิงให้บริการล่มได้โดยง่าย บั๊กนี้มีผลเฉพาะรุ่น 1.0.2 เท่านั้น

ในแพตช์ชุดเดียวกันยังมีบั๊กร้ายแรงระดับกลางและต่ำอีกหลายตัว บั๊กบางตัวสามารถทำให้เซิร์ฟเวอร์ล่มได้เหมือนกัน อย่างไรเสียควรรีบติดตั้งแพตช์กันโดยเร็ว

ที่มา - OpenSSL

Tags:
Cisco

ในเอกสารของ Edward Snowden ชุดที่เผยแพร่โดยนักข่าว Glenn Greenwald เมื่อปีที่แล้ว เปิดเผยว่า NSA แอบดักเอาอุปกรณ์เครือข่ายระหว่างการจัดส่ง เพื่อฝังช่องโหว่ลงในอุปกรณ์เครือข่ายสำหรับดักฟังหน่วยงานผู้ซื้ออุปกรณ์นั้น

ข่าวนี้สร้างความตื่นตระหนกให้กับบริษัทอุปกรณ์เครือข่ายอย่างมาก (เพราะของถูกดักเอากลางทาง ไม่สามารถการันตีลูกค้าได้ว่าสินค้าปลอดภัย) บริษัทรายใหญ่อย่าง Cisco เคยออกมาส่งจดหมายถึงประธานาธิบดีโอบามาให้แก้ปัญหาเรื่องนี้

แต่เรื่องบางเรื่องโอบามาอาจช่วยไม่ได้ ทางออกที่เหลือคือพึ่งตัวเอง ทางแก้ของ Cisco จึงเป็นการส่งสวิตช์และเราเตอร์ของบริษัทไปยัง "ที่อยู่ปลอม" เพื่อไม่ให้ NSA สามารถรู้ได้ว่าอุปกรณ์ชิ้นนั้นจะส่งไปที่บริษัทไหนกันแน่

Tags:
OpenSSL

OpenSSL ประกาศว่าวันพฤหัสที่ 19 มีนาคม ระหว่างเวลา 11.00-15.00 นาฬิกาตามเวลา UTC จะประกาศแพตช์ชุดใหม่แก้บั๊กความปลอดภัยหลายตัว และตัวที่ร้ายแรงที่สุดอยู่ในระดับร้ายแรงสูง

บั๊กนี้ทำให้ OpenSSL ออกรุ่นใหม่เป็น 1.0.2a, 1.0.1m, 1.0.0r, และ 0.9.8zf

ระหว่างนี้ผู้ดูแลระบบควรเตรียมพร้อม หากระบบยังมีแพตช์ไม่ได้อัพเดตควรรีบทดสอบอัพเดตรอรับ OpenSSL รุ่นใหม่

จากประวัติบั๊ก Heartbleed ที่ผ่านมา OpenSSL ใช้เวลาประมาณสองถึงสามสัปดาห์นับจากการค้นพบบั๊กจนกระทั่งการแก้ไข แต่บริษัทขนาดใหญ่มักได้รับข้อมูลและแพตช์ระบบของตัวเองก่อน เช่น CloudFlare แพตช์บั๊ก Hearbleed ในระบบของตัวเองล่วงหน้าคนอื่นๆ ไปหนึ่งสัปดาห์เต็มโดยไม่บอกข้อมูลว่ารู้ว่ามีบั๊กได้อย่างไร ส่วน Akamai แพตช์ระบบของตัวเองหลัง CloudFlare ไปสี่วันโดยระบุว่ามีสมาชิกใน OpenSSL นำบั๊กมาบอก

ที่มา - openssl-announce, Krebs on Security

Tags:

หลังจากที่เมื่อช่วงปลายปีที่แล้ว มีรายงานข่าวว่าระบบสมาชิกสะสมแต้ม HHonors ของเครือโรงแรม Hilton โดนเจาะ มาบัดนี้ทางเครือโรงแรมได้ประกาศแจกแต้มให้กับสมาชิก เพื่อจูงใจให้เปลี่ยนรหัสผ่านของตนเองในระบบสมาชิกดังกล่าวแล้ว

สำหรับการแจกแต้มนี้ จะแจกให้กับสมาชิกที่มีบัญชีเป็นสมาชิกก่อนวันที่ 12 มีนาคม (ที่ผ่านมา) และต้องเปลี่ยนรหัสผ่านก่อนวันที่ 25 นี้ โดยจะได้รับแต้มจำนวน 1,000 คะแนน โดยระบุเหตุผลว่า การเปลี่ยนแปลงรหัสผ่านในครั้งนี้ เป็นผลมาจากการเปลี่ยนแปลงให้เข้ากับมาตรฐานของอุตสาหกรรม และปฏิบัติตามคำแนะนำจากคณะกรรมการพาณิชย์กลางของสหรัฐ (Federal Trade Commission: FTC) ซึ่งรหัสผ่านเก่าทุกอันจะถูกยกเลิกในวันที่ 1 เมษายนนี้ และจะยกเลิกการใช้รหัสสี่ตัว (PIN) ในการเข้าสู่ระบบ

อย่างไรก็ดี ทางเครือโรงแรม Hilton ไม่ได้ออกมาระบุแต่อย่างใดว่า ทำไมถึงต้องให้มีการเปลี่ยนรหัสผ่านและสร้างแรงจูงใจเช่นนี้ โดยระบุแต่เพียงว่า ที่ทำไปเพราะความปลอดภัยของลูกค้าเป็นเรื่องที่มีความสำคัญ

ที่มา - HHonors

Tags:

ไมโครซอฟท์เปิดตัวฟีเจอร์ใหม่ด้านการตรวจสอบตัวตนและการให้สิทธิใช้งานของ Windows 10 โดยแบ่งเป็น 2 ส่วนคือ Windows Hello และ Microsoft Passport (อันหลังนี่เป็นโค้ดเนม และไม่เกี่ยวอะไรกับสมัย Windows Live นะครับ)

เริ่มจาก Windows Hello เป็นชื่อของระบบตรวจสอบตัวตนด้วยข้อมูลชีวภาพ (biometric authentication) แบ่งออกได้ 3 วิธีคือลายนิ้วมือ ใบหน้า และนัยน์ตา ไมโครซอฟท์บอกว่าการใช้ข้อมูลชีวภาพนั้นปลอดภัยกว่ารหัสผ่านแบบเดิมๆ มาก ช่วยให้ Windows 10 ปลอดภัยยิ่งขึ้น

Tags:
Microsoft

live.fi เว็บหนึ่งของไมโครซอฟท์ถูกจดทะเบียนขอใบรับรอง SSL จากทาง Comodo ผู้ให้บริการรับรองเว็บรายใหญ่ ตอนนี้ทางไมโครซอฟท์รับทราบปัญหานี้แล้วและกำลังออกอัพเดตเพื่อบล็อคใบรับรองนี้อยู่ ทางฝั่ง Comodo เองประกาศยกเลิกใบรับรองนี้แล้ว

สำหรับ Windows 8, Windows Server 2012, และ Windows Phone 8 กระบวนการอัพเดตจะทำโดยอัตโนมัติ (ถ้าไม่ได้ไปปิดไว้) แต่สำหรับ Windows 7 และ Windows Server 2008 ต้องดาวน์โหลดตัวอัพเดตใบรับรองมาติดตั้งเองก่อน

ใบรับรองปลอมทำให้ผู้ใช้เสี่ยงกับการถูกดักฟังแม้จะเข้ารหัส (อ่านเพิ่มเติมบทความ mitmproxy)

ไมโครซอฟท์ระบุว่าสาเหตุของการออกใบรับรองปลอมเป็นเพราะความผิดพลาดในการคอนฟิก ทำให้ผู้ร้ายสามารถสมัครอีเมลฟรีด้วยชื่ออีเมลสำหรับผู้ดูแลระบบ กรณีของ Comodo จะรองรับการยืนยันความเป็นเจ้าของโดเมนด้วยอีเมลห้าแบบ ได้แก่ admin, administrator, postmaster, hostmaster, และ webmaster

เมื่อกลางปีที่แล้วกูเกิลก็ถูกปลอมใบรับรองจากหน่วยงานราชการในอินเดีย โดยยังไม่ทราบสาเหตุว่ามีการปล่อยใบรับรองไปได้อย่างไร

ที่มา - Arstechnica

Tags:
Superfish

ความคืบหน้าเพิ่มเติมจากกรณี Superfish หลังจากไมโครซอฟท์อัพเดต Windows Defender ให้ลบ Superfish ออกจากระบบได้ ก็มีสถิติของการลบ Superfish ออกมาให้ดูกันครับ (ข้อมูลเฉพาะฝั่งไมโครซอฟท์)

กราฟของไมโครซอฟท์ชี้ให้เห็นว่าช่วง 4 วันแรกที่ออกเครื่องมือลบ Superfish นั้นมีลูกค้าของ Lenovo ใช้ลบไฟล์วันละประมาณ 60,000 เครื่อง จากนั้นกราฟเริ่มตกลง และถ้านับตัวเลขที่ไมโครซอฟท์นำมาโชว์ก็มีพีซีที่ติด Superfish ประมาณ 250,000 เครื่อง

ไมโครซอฟท์ยังวาดแผนผังอธิบายการทำงานของ Superfish เผื่อใครที่สนใจความรู้ด้านการโจมตีแบบ man-in-the-middle ครับ

ที่มา - Microsoft, Computerworld

Tags:
Mozilla

Mozilla ผู้พัฒนาเบราว์เซอร์ไฟร์ฟอกซ์รายงานผลสำเร็จจากโครงการ Winter of Security ที่เปิดให้นักศึกษาสี่คนจากมหาวิทยาลัยบัวโนสไอเรสมาพัฒนาเครื่องมือสำรวจความปลอดภัยของซอฟต์แวร์ ในชื่อว่า MASCHE หรือ Memory Analysis Suite for Checking the Harmony of Endpoints

MASCHE สร้าง API กลางสำหรับการเข้าค้นหาหน่วยความจำของโปรเซสที่กำลังรันอยู่บนสามแพลตฟอร์มหลัก ได้แก่ Windows, OS X, และ Linux สามารถค้นหาธรรมดาและค้นหาด้วย Regular Expression ก็ได้

โครงการพัฒนาด้วยภาษา Go และ C ซอร์สโค้ดเปิดให้ดาวน์โหลดใน GitHub

ที่มา - Mozilla

Tags:
Yahoo!

ยาฮูออกมาประกาศความคืบหน้าด้านความปลอดภัยของบริการตัวเองสองอย่างหลัก คือ การล็อกอินเข้าบริการทั้งหมด หลังจากนี้จะสามารถล็อกอินผ่านโทรศัพท์มือถือโดยไม่ต้องจำรหัสผ่านเองอีกต่อไป คล้ายกับการล็อกอินแอพพลิเคชั่นแชตทั้งหมดที่มักยืนยันบัญชีด้วยหมายเลขโทรศัพท์เช่นกัน

ผู้ใช้ต้องเลือกเข้าร่วมโครงการนี้เอง โดยเลือก On-demand passwords ทางยาฮูจะส่งรหัสยืนยันมาให้ก่อนหนึ่งครั้ง และหลังจากนั้นหากต้องการล็อกอินก็จะส่งข้อความผ่านโทรศัพท์มือถือ บริการนี้ยังจำกัดอยู่ในสหรัฐฯ เท่านั้น

อีกส่วนหนึ่งคือ End-To-End รุ่นสำหรับ Yahoo! Mail เองที่แยกโครงการออกมาจาก End-To-End ของกูเกิลอีกที ตอนนี้โครงการนี้อยู่ระหว่างรอการตรวจสอบจากอุตสาหกรรมโดยรวม โดยสามารถนำไปใช้งานได้แล้ว และมีสิทธิได้รับเงินรางวัลจากโครงการสนับสนุนการหาช่องโหว่ความปลอดภัยของ Yahoo!

ที่มา - Yahoo! Tumblr (1),(2)

Tags:
Google

กูเกิลประกาศปรับปรุง Google Safe Browsing จากเดิมที่เคยเตือนเฉพาะ "เว็บไซต์อันตราย" จะเพิ่มเป็นการเตือนว่า "เว็บไซต์นี้มีโปรแกรมอันตราย" (harmful programs) หรือโปรแกรมไม่พึงประสงค์/น่ารำคาญ (unwanted software) และพยายามหลอกให้ผู้ใช้ติดตั้งโปรแกรมเหล่านี้

ปีที่แล้ว Chrome สามารถช่วยกรองไฟล์ไม่พึงประสงค์ได้แล้ว แต่จะช่วยกรองเฉพาะก่อนดาวน์โหลดไฟล์ลงเครื่องเท่านั้น คราวนี้ Safe Browsing จะเตือนตั้งแต่เข้าเว็บเป็นหน้าเพจสีแดงเลย ซึ่ง API นี้ถูกเรียกใช้งานโดย Chrome, Firefox และ Safari อยู่แล้ว

กูเกิลยังเผยสถิติของ Safe Browsing บอกว่าแจ้งเตือนผู้ใช้วันละ 5 ล้านครั้ง, ค้นพบเว็บที่มีมัลแวร์ 50,000 เว็บต่อเดือน, เว็บที่มีซอฟต์แวร์ไม่พึงประสงค์ 90,000 เว็บต่อเดือน

ที่มา - Official Google Blog

Tags:
BlackBerry

BlackBerry เผยแท็บเล็ตรุ่นใหม่ SecuTablet ซึ่งเป็นการนำฮาร์ดแวร์ Samsung Galaxy Tab S 10.5 มาดัดแปลงโดยเพิ่มระบบความปลอดภัยของตัวเองเข้ามา

SecuTablet เป็นผลงานของบริษัทลูก Secusmart ของ BlackBerry ที่เพิ่งซื้อกิจการเมื่อปีที่แล้ว ผ่านความร่วมมือกับซัมซุงและไอบีเอ็ม โดยซัมซุงทำฮาร์ดแวร์และซอฟต์แวร์ KNOX, BlackBerry ทำเรื่องการเข้ารหัส SecuSUITE กับ microSD แบบพิเศษที่เข้ารหัสแล้ว, ไอบีเอ็มทำเรื่องการแบ่งแยกแอพขององค์กรออกจากแอพส่วนตัวของผู้ใช้งาน

จุดเด่นของ SecuTablet คือความปลอดภัยของข้อมูลที่สูงมาก แต่ยังใช้ง่ายเพราะเป็น Android ส่วนกลุ่มเป้าหมายคือหน่วยงานภาครัฐ และตอนนี้รัฐบาลเยอรมนีกำลังอยู่ระหว่างกระบวนการทดสอบ-อนุมัติการใช้งานแท็บเล็ตรุ่นนี้ ส่วนลูกค้านอกเยอรมนีจะได้ไอบีเอ็มช่วยขายให้