ที่งาน RSA Conference ปีนี้ออราเคิลเปิดตัวสินค้าใหม่คือ Oracle Database Firewall ที่ช่วยป้องกันการเข้าใช้ฐานข้อมูลโดยไม่ได้รับอนุญาต หรือ SQL ที่น่าจะถูกดัดแปลงผ่าน SQL injection มาตลอดจนการโจมตีฐานข้อมูลแบบอื่นๆ

ระบบการป้องกันจะอาศัยข้อมูลของการใช้งานตามปรกติ ผู้ดูแลระบบสามารถตั้งค่าเพิ่มเติมได้เช่นการรันคำสั่ง SQL บางอย่างอาจจะรันได้ในบางช่วงเวลา หรือจากบางไอพีเท่านั้น โดยสามารถติดตั้งได้ทั้งแบบ in-band ที่ช่วยสกัดคำสั่งที่น่าสงสัย หรืออาจจะติดตั้งแบบ out-of-band เพื่อการตรวจสอบและแจ้งเตือนเท่านั้น

งาน BlackHat DC 2011 กำลังจะเริ่มขึ้นในวันศุกร์นี้ หัวข้อหนึ่งที่อยู่ในรายการอาจจะสร้างความปวดหัวให้กับผู้ดูแลระบบทั่วโลกได้ในเร็ว เมื่อนักวิจัยด้านความปลอดภัยกำลังนำเสนอช่องโหว่ในการยืนยันบุคคล (authentication)

นักวิจัยความปลอดภัยจากบริษัท FireEye นำเสนอถึงความเป็นไปได้ในการโจมตีองค์กรด้วยไฟล์ PDF ที่ถูกต้องตามมาตรฐาน โดยหนึ่งในความเป็นไปได้ที่น่ากังวลเช่นการโจมตีฐานระบบฐานข้อมูลเมื่อไฟล์ PDF ถูกพิมพ์ออกจากเครื่องพิมพ์ที่เชื่อมต่อกับเครือข่ายอยู่หลังไฟล์วอลล์

Julia Wolf นักวิจัยจากบริษัท FireEye ยังระบุว่าสาเหตุของความเป็นไปได้เหล่านี้เกิดจากทาง Adobe พยายามใส่ฟีเจอร์ต่างๆ มากเกินไป โดยไฟล์ PDF สามารถใส่โค้ด JavaScript หรือรวมเอา Flash ไว้ในไฟล์ PDF

ผู้เชี่ยวชาญระบุว่าองค์กรควรหาเครื่องมือที่ลบข้อมูลเสริม เช่น สคริปต์ต่างๆ ออกจากไฟล์ PDF ก่อนการใช้งานเพื่อความปลอดภัย

Collin Mulliner นักวิจัยจาก Berlin’s Technical University ได้นำเสนอในงาน 27C3 ถึงบั๊กใหม่ในโทรศัพท์จำนวนมากในเครือข่าย GSM ที่มีบั๊กเสี่ยงต่อ SMS ที่ถูกออกแบบมาเจาะช่องโหว่จากบั๊กในโทรศัพท์หลายรุ่น ทำให้โทรศัพท์เหล่านั้นหลุดจากเครือข่ายทันที และบูตเครื่อง

การทำให้เครื่องปลายทางบูตเครื่องอาจจะไม่ใช่ปัญหาที่น่ากลัวนัก แต่ในทางปฎิบัติเครื่องเหล่านี้จะบูตทันทีที่ได้รับ SMS ทำให้ผู้ให้บริการไม่รับรู้ว่าเครื่องได้รับข้อความไปแล้ว และพยายามส่งข้อความที่เป็นอันตรายนั้นอีกครั้งจนเครื่องบูตใหม่แทบจะทันที ทางแก้ทางเดียวคือการย้ายซิมการ์ดไปใช้เครื่องที่ไม่มีบั๊กนี้

หลังจาก PS3 Slim ถอดการรองรับลินุกซ์ออกไป แฮกเกอร์ทั่วโลกก็สนใจที่จะแฮก PS3 กันมากขึ้น ในงาน 27C3 ทีม fail0verflow ก็ประกาศว่าทีมงานสามารถถอดรหัสกุญแจสำหรับลงลายเซ็นเพื่อตรวจสอบความถูกต้องของซอฟต์แวร์ที่จะนำไปรันบน PS3 เป็นผลสำเร็จ

ทีมงานพบว่าระบบการเข้ารหัสของโซนี่อาศัยตัวเลขพารามิเตอร์สำหรับเข้ารหัสที่ควรจะเป็นตัวเลขสุ่มกลับเป็นตัวเลขคงที่ ทำให้ทีมงานสามารถถอดสมการจนได้คีย์เริ่มต้นที่ควรจะถูกเก็บรักษาไว้ในโซนี่เท่านั้น

เป็นที่รู้กันมานานแล้วว่าเครือข่าย 2G ในมาตรฐาน A5/1 นั้นเป็นการเข้ารหัสด้วยกุญแจขนาด 64 บิตซึ่งเล็กเกินกว่าจะป้องกันคอมพิวเตอร์ทุกวันนี้ได้ โดยเมื่อปลายปีที่แล้วนักวิจัยได้นำเสนอผลงานในงาน Chaos Communication Congress ถึงความอ่อนแอของการป้องกันนี้ แต่ผู้ให้บริการก็ยังอ้างว่าอุปกรณ์สำหรับดักฟังในระดับฮาร์ดแวร์นั้นหาได้ยาก, มีราคาแพง, และยังผิดกฏหมายในหลายๆ ประเทศทำให้ความเสี่ยงที่จะถูกดักฟังจริงๆ นั้นต่ำมาก แต่ในงานปีนี้ นักวิจัยได้นำเสนอผลงานอีกชิ้นที่อาศัยช่องโหว่เดิม แต่ลดเวลาการเจาะรหัสเหลือเพียง 20 วินาที และใช้โทรศัพท์ราคา 15 ดอลลาร์หรือ 450 บาทเท่านั้น