Tags:
FireEye

Project Zero ของกูเกิลแจ้งเตือนว่าเซิร์ฟเวอร์ตรวจสอบข้อมูลของ FireEye มีช่องโหว่ทำให้แฮกเกอร์สามารถส่งโค้ดขึ้นไปรันบนเซิร์ฟเวอร์ได้ ช่องโหว่นี้มีความร้ายแรงสูงและทาง FireEye ปล่อยอัพเดตตั้งแต่ไม่กี่ชั่วโมงหลังได้รับแจ้ง หากใครไม่ได้เปิดระบบอัพเดตอัตโนมัติไว้ควรเร่งอัพเดต

ช่องโหว่อยู่ในส่วนการตรวจสอบไฟล์ .jar ของ FireEye ที่ดีคอมไพล์โค้ดออกมาตรวจสอบ และหากพบว่าโค้ดมีความพยายามซ่อนสตริง ตัวดีคอมไพล์จะพยายามรันโค้ดเพื่อดึงเอาสตริงออกมา แนวทางนี้กลายเป็นช่องทางให้แฮกเกอร์สามารถสร้างไฟล์ jar เพื่อกระตุ้นให้ FireEye รันโค้ดที่ต้องการ

โค้ดนี้จะรันในผู้ใช้ mip ของไฟร์วอล ทาง Project Zero ยังพบช่องโหว่อีกช่องที่ทำให้โค้ดที่รันนี้สามารถยกระดับขึ้นเป็น root ได้โดยง่าย (บั๊กนี้ยังไม่เปิดเผยเนื่องจากทาง FireEye ขอเวลาแก้ไขเพิ่มเติม)

อัพเดต Security Content เวอร์ชั่น 427.334 แก้ปัญหานี้แล้ว และปล่อยอัพเดตมาตั้งแต่วันที่ 7 ที่ผ่านมา

ที่มา - FireEye, Project Zero

Tags:
Internet

การโจรกรรมข้อมูลผ่านการกระจายมัลแวร์บนอินเทอร์เน็ตไม่ใช่เรื่องแปลกในสมัยนี้แต่อย่างใด แต่สิ่งที่เราไม่เคยรู้คือกลุ่มคนที่เผยแพร่มัลแวร์ดังกล่าวได้ค่าตอบแทนไปมากแค่ไหนจากความพยายามเหล่านี้ ล่าสุดมีรายงานเกี่ยวกับเรื่องนี้ออกมาแล้ว

ตัวผลการศึกษานี้ใช้ชื่อว่า Digital Bait เก็บข้อมูลโดยบริษัทวิจัยด้านความปลอดภัยบนอินเทอร์เน็ต RiskIQ อ้างอิงจากเว็บไซต์กระจายเนื้อหาละเมิดลิขสิทธิ์กว่า 800 แห่ง พบว่าราว 1 ใน 3 ของเว็บไซต์ที่ว่ามาพร้อมกับมัลแวร์ ซึ่งนำมาสู่การโจรกรรมข้อมูลไปขายต่อ แฮกข้อมูลในเครื่อง หรือแม้แต่การล็อกไฟล์เพื่อเรียกค่าไถ่ (ransomware) ซึ่งแทบไม่ต้องแปลกใจว่าเว็บไซต์ที่เสี่ยงสุดต่อการถูกโจรกรรมข้อมูลคือเว็บไซต์เผยแพร่เนื้อหาผ่าน bittorrent นั่นเอง

สำหรับมูลค่าความเสียหาย หรือรายได้ที่ผู้เผยแพร่มัลแวร์ได้รับ ในการศึกษาดังกล่าวประเมินว่าอยู่ที่ประมาณ 70 ล้านเหรียญ จากทั้งการขายข้อมูลเหยื่อโดยตรง โดนลวงไปสร้างรายได้ทางอ้อมผ่านโฆษณา หรือถูกใช้เป็นเครื่องมือกระทำผิด (เช่น DDoS) และยังมีแนวโน้มจะเพิ่มขึ้นเรื่อยๆ ในอนาคตอีกด้วย

ที่มา - Variety

Tags:
Joomla!

Joomla! รายงานช่องโหว่ remote code execution จากการตรวจสอบข้อมูล session ก่อนเซฟลงฐานข้อมูลไม่ดีพอ ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันได้ และปัญหาใหญ่คือช่องโหว่นี้ถูกโจมตีเป็นวงกว้างแล้วตั้งแต่วันเสาร์ที่ผ่านมา

Securi รายงานพบการโจมตีครั้งแรกเมื่อวันที่ 12 ธันวาคมที่ผ่านมา และจนตอนนี้เกือบทุกเว็บไซต์และเว็บล่อที่บริษัทวางไว้กำลังถูกโจมตีช่องโหว่นี้ทั้งหมด ทำให้อนุมานได้ว่าตอนนี้แฮกเกอร์กำลังโจมตีเป็นวงกว้าง ถ้าใครยังใช้รุ่นที่มีช่องโหว่อยู่ก็อาจจะตกเป็นเหยื่อในไม่ช้า

ทางแก้ตอนนี้คือทุกคนควรอัพเดตไปใช้ Joomla! 3.4.6 ทันที

ที่มา - Securi

Tags:
Symantec

VeriSign CA ที่ดำเนินการโดย Symantec ประกาศยกเลิก "Class 3 Public Primary Certification Authority" สำหรับการใช้งานเว็บ ซึ่งเป็น root CA ที่ใช้งานมาตั้งแต่ปี 1996 จากเดิมที่ใบรับรองจะหมดอายุในวันที่ 8 กุมภาพันธ์ 2028 แต่คาดว่า Symantec ไม่ได้ออกใบรับรองใดๆ ด้วย CA นี้นานแล้ว จึงไม่น่ามีผลกระทบ

ใบรับรองนี้เป็นใบรับรองที่ยังใช้ RSA 1024 ซึ่งในสมัยปี 1996 ถือว่ามีความแข็งแรงเพียงพอต่อการใช้งาน แต่เมื่อเวลาผ่านไป RSA 1024 กลับเสี่ยงต่อการถูกถอดรหัสได้เร็วกว่าที่คาดไว้ในยุคนั้น ใบรับรองสมัยใหม่ถูกแนะนำให้ใช้งาน RSA 2048/4096 หรือใช้กระบวนการเข้ารหัสแบบ elliptic curve แทนที่

ทาง Symantec แจ้ง CA/Browser Forum ตั้งแต่วันที่ 1 ธันวาคมที่ผ่านมาว่าจะยกเลิกการใช้งานรับรองเว็บ แต่อาจจะยังมีงานประเภทอื่น เช่นการเซ็นรับรองโค้ดที่ต้องใช้งานต่อไป

ที่มา - Google Online Security, Symantec

Tags:
Steam

Valve ออกมาประกาศปรับเปลี่ยนนโยบายเพื่อความปลอดภัยสำหรับการแลกเปลี่ยนไอเทม และการ์ดของเกมในแพลตฟอร์ม Steam หลังจากสถิติการถูกโกงเพิ่มขึ้นอย่างต่อเนื่อง ด้วยการไอเทมในเกมมีมูลค่าเป็นเงินจริง บางชิ้นเรียกได้ว่าแพงเอาเรื่องอีกด้วย

จากสถิติที่ Valve ออกมาเปิดเผย ในช่วงที่ผ่านมีการโกงการแลกเปลี่ยนใน Steam เพิ่มขึ้นราว 20 เท่าตัว หรือประมาณ 77,000 บัญชีต่อเดือน ถึงกับเคลมว่าทุกบัญชี Steam ที่เคยแลกเปลี่ยนไอเทมในระบบก็มีความเสี่ยงจะถูกแฮกได้แล้ว

เพื่อรับมือกับเหตุการณ์นี้ Valve ได้เพิ่มกระบวนการในการแลกเปลี่ยนให้มากขั้นตอนขึ้น และไอเทมที่แลกเปลี่ยนจะอยู่กับส่วนกลางเป็นเวลาสูงสุด 3 วัน เพื่อให้ทีมีเวลาตรวจสอบบัญชีก่อนว่าการแลกเปลี่ยนคร้งนี้ชอบมาพากลหรือไม่ แต่ถ้าเป็นเพื่อนที่รู้จักกันมาเกินปีแล้ว เวลาตรงนี้จะลดลงเหลือวันเดียวแทน และยังอาจจะบังคับให้ทุกบัญชีที่จะแลกเปลี่ยน ต้องเปิดการยืนยันตัวสองชั้นในนอาคตอีกด้วย

ที่มา - Ars Technica

Tags:
Gmail

กูเกิลออกเครื่องมือช่วยป้องกันข้อมูลรั่วไหล (Data Loss Prevention หรือ DLP) ให้กับลูกค้าองค์กรที่ใช้ Google Apps แบบ Unlimited โดยเริ่มจากตัว Gmail ก่อน

Gmail DLP จะสแกนอีเมลของพนักงานที่ถูกส่งออกจากองค์กร โดยพิจารณาเงื่อนไขตามที่แอดมินระบุ เช่น กำหนดว่าห้ามฝ่ายขายส่งข้อมูลบัตรเครดิตของลูกค้าออกนอกองค์กร ระบบ Gmail DLP จะตรวจสอบเนื้อหาอีเมลรวมถึงไฟล์แนบ ช่วยป้องกันปัญหาข้อมูลสำคัญรั่วไหลออกนอกองค์กร ทั้งกรณีที่ตั้งใจและไม่ตั้งใจ (เช่น ไม่ทราบหรือเผลอ)

กูเกิลระบุว่าจะขยายฟีเจอร์ DLP ไปยัง Google Drive สำหรับตลาดองค์กรต่อไป

ที่มา - Google for Work

Tags:
Microsoft

ไมโครซอฟท์ออกแพตช์ประจำเดือน (Patch Tuesday) รอบสุดท้ายของปี 2015 จำนวน 11 แพตช์ อุดช่องโหว่มากถึง 71 จุด ในจำนวนนี้มีแพตช์ระดับ critical จำนวน 8 แพตช์ และแพตช์ระดับ important อีก 3 แพตช์ (หนึ่งแพตช์แก้หลายช่องโหว่)

แพตช์ตัวสำคัญที่ควรอัพเดตทันทีคือ MS15-131 ที่ใช้แก้ไขช่องโหว่ที่ถูกใช้โจมตีจริงๆ แล้ว 2 จุด ซึ่งจุดแรกเป็นช่องโหว่ของ Microsoft Office และจุดที่สองเกี่ยวกับเคอร์เนลของ Windows (เนื่องจากรายละเอียดของแพตช์แต่ละตัวมีค่อนข้างมาก อ่านต่อกันได้ตามต้นทางนะครับ)

ประเด็นด้านความปลอดภัยที่น่าสนใจอีกเรื่องคือ Internet Explorer เวอร์ชันเก่าทั้งหมด (ที่ต่ำกว่า 11) จะหมดระยะซัพพอร์ตในวันที่ 12 มกราคม 2016 แล้ว ดังนั้นคนที่ใช้ IE เวอร์ชันเก่าจะมีความเสี่ยงเรื่องช่องโหว่ความปลอดภัยในอีกไม่ช้าครับ

ที่มา - ThreatPost, Computerworld

Tags:
Lenovo

ผู้เชี่ยวชาญความปลอดภัย Slipstream ออกมาเตือนช่องโหว่ในซอฟต์แวร์ของผู้ผลิตพีซีสามรายคือ Lenovo, Dell, Toshiba โดยเป็นช่องโหว่ของซอฟต์แวร์ระบบที่ติดตั้งมาพร้อมกับเครื่อง

  • Lenovo ช่องโหว่อยู่ที่ Lenovo Solution Center มีโพรเซสชื่อ LSCTaskService รันอยู่โดยเข้าถึงสิทธิแอดมินเต็มรูปแบบ โพรเซสตัวนี้สามารถเขียนไฟล์และรันโค้ดได้ แถมตัวมันเองมีช่องโหว่แบบ CSRF ด้วย
  • Dell ซอฟต์แวร์ Dell System Detect สามารถเข้าถึงสิทธิแอดมินและรันโค้ดมัลแวร์ได้
  • Toshiba ซอฟต์แวร์ Service Station ที่พรีโหลดมากับเครื่อง สามารถอ่านค่า registry เกือบทั้งหมดในเครื่องด้วยสิทธิระดับ SYSTEM-level

กรณีของ Lenovo นั้น US CERT หน่วยงานความปลอดภัยของรัฐบาลสหรัฐออกมาเตือนภัยช่องโหว่ตัวนี้แล้ว และ Lenovo ก็ประกาศให้ผู้ใช้ลบซอฟต์แวร์ตัวนี้ออกไปก่อนเพื่อความปลอดภัย ส่วนแพตช์จะออกตามหลังมาให้

ส่วนกรณีของ Dell ซอฟต์แวร์ตัวเดียวกันนี้เพิ่งมีปัญหาเรื่องแอบติดตั้งใบรับรอง Root CA

ที่มา - US CERT, The Register

Tags:
France

หลังเหตุการณ์ระเบิดครั้งใหญ่ในกรุงปารีสในช่วงกลางเดือนพฤศจิกายน นอกจากจะสร้างความโกลาหลให้มวลชนแล้ว ฝั่งราชการเองก็หัวปั่นกับการป้องกันไม่ให้เหตุการณ์ไม่สงบเกิดขึ้นอีก ล่าสุดมีรายงานว่ากรมตำรวจฝรั่งเศสมีแผนรับมือมาแล้ว

แผนดังกล่าวเขียนอยู่ในเอกสารภายใน พบเห็นโดยนักข่าวของหนังสือพิมพ์ Le Monde ซึ่งระบุถึงมาตรการวัดผลการจัดการด้านความปลอดภัยที่จะเสนอร่างกฎหมายในปี 2016 นี้ โดยหนึ่งในนั้นคือการปิดกั้นช่องทางที่ผู้ก่อการร้ายใช้ติดต่อกันตั้งแต่ Free Wi-Fi ที่มีอยู่เกลื่อนเมือง และความพยายามจะแบนการใช้งาน Tor ซึ่งคาดว่าเป็นอีกหนึ่งวิธีที่คนร้ายใช้ติดต่อเช่นกัน

แนวทางของฝรั่งเศสแม้จะมาในทางการปิดกั้นการเข้าถึงบริการอินเทอร์เน็ตคล้ายกับที่ประเทศในแถบยุโรปพยายามทำกัน แต่ก็ต่างกับประเทศอื่นๆ เอาเรื่อง ด้วยการมุ่งเป้าไปที่เทคโนโลยีโดยตรง ในขณะที่อังกฤษกำลังร่างกฎหมาย Power Bill ที่ไม่ได้ปิดกั้นการใช้งาน แต่จะสามารถเข้าถึงข้อมูลเข้ารหัสของบริษัทไอที และผู้ให้บริการเครือข่ายเสียแทน

ตามรายงานที่ออกมา ฝรั่งเศสมีแผนจะบังคับใช้จริงอย่างไวเดือนมกราคมนี้ ถ้าหากทำได้จริงจะเป็นชาติแรกในยุโรปที่แบน Tor ได้สำเร็จอีกด้วย

ที่มา - Telegraph

Tags:

Google Authenticator โปรแกรมสร้างโค้ดยืนยันตัวตนสองขั้นตอนที่เคยรองรับมาตรฐาน HOTP และ TOTP ในเวอร์ชั่นล่าสุดหันมารองรับมาตรฐาน U2F ของ FIDO Alliance แล้ว โดยสามารถทำงานด้วยการวางโทรศัพท์บนเครื่องอ่าน NFC เพื่อยืนยันตัวตน

มาตรฐาน U2F กำหนดโปรโตคอลการแลกกุญแจในระดับสูง พร้อมๆ กับกำหนดแนวทางการสื่อสารไว้ทั้ง USB HID และสมาร์ตการ์ด โทรศัพท์แอนดรอยด์มี API ในการทำตัวเองเป็นสมาร์ตการ์ดจึงสามารถจำลองตัวเองเป็นการ U2F ได้ในตัว

นอกจากรองรับ U2F แล้ว แอปรุ่นใหม่ยังรองรับการทำงานผ่าน Android Wear อีกด้วย คนใช้งานนาฬิกาก็น่าจะมีประโยชน์ใช้สอยเพิ่มขึ้น

ที่มา - Google Online Security

Tags:
Chrome

ผู้ใช้ Chrome บนพีซีคงคุ้นเคยกับหน้าจอเตือนภัยมัลแวร์สีแดง หรือชื่ออย่างเป็นทางการคือ Google Safe Browsing กันมาพอสมควร คราวนี้กูเกิลขยายฟีเจอร์นี้มาใช้กับ Chrome for Android แล้ว

การใช้งาน Google Safe Browsing ต้องใช้ Chrome 46 และ Google Play Services 8.1 ที่ออกมานานแล้วทั้งคู่ (ดังนั้นแทบทุกคนน่าจะใช้ได้กันหมดแล้ว) การเตือนภัยจะถูกเปิดใช้เป็นค่าดีฟอลต์ ส่วนรูปแบบการเตือนภัยก็ยังเหมือนเดิมคือเป็นหน้าสีแดงที่บอกว่าเว็บนั้นอันตราย

ที่มา - Google Online Security

Tags:

ปัญหาความปลอดภัยพื้นฐานที่สุดที่เราพบกันได้เสมอในทุกวันนี้ไม่ใช่ช่องโหว่ซอฟต์แวร์ที่ต้องอาศัยความรู้ทางเทคนิค แต่ยังคงเป็นการขโมยรหัสผ่านด้วยวิธีการต่างๆ ไม่ว่าจะเป็นผู้ใช้บอกให้ผู้อื่นรับรู้ หรือแม้แต่เก็บรหัสผ่านไว้อย่างไม่ปลอดภัย ไม่ว่าจะเป็นการจดไว้ตามที่ต่างๆ หรือเก็บไว้ในไฟล์ หรือกระทั่งการตั้งรหัสผ่านี่ง่ายมากๆ เช่น "1234" หรือ "password"

ความพยายามแก้ปัญหาที่ผ่านมาไม่ประสบความสำเร็จนัก เพราะเซิร์ฟเวอร์สามารถบังคับได้เพียงความซับซ้อนของรหัสผ่าน และกำหนดนโยบายการเปลี่ยนรหัสผ่านตามช่วงเวลาเท่านั้น แต่เราไม่สามารถบังคับให้ผู้ใช้รักษาความลับของรหัสผ่านเป็นอย่างดีได้ แนวทางในช่วงหลายปีที่ผ่านมาจึงเปลี่ยนไป คำแนะนำใหม่ๆ ระบุให้ไม่ต้องบีบบังคับผู้ใช้จนเกินไปนัก แต่แนะนำให้เปิดให้ผู้ใช้สามารถเลือกใช้ขั้นตอนที่สองในการยืนยันตัวตน (2-factor authentication)

Tags:

hashcat โปแกรมแกะรหัสผ่านจากค่าแฮชประกาศโอเพนซอร์สให้คนนำไปใช้งานต่อได้ โดยใช้สัญญาอนุญาตแบบ MIT ทำให้คนที่นำไปใช้ต่อมีอิสระแทบทุกอย่าง

ผู้ดูแลโครงการระบุว่าก่อนหน้านี้เคยพิจารณาจะเปิดซอร์สของ hashcat มาแล้วหลายครั้ง แต่ติดปัญหาเช่นผู้ใช้บางส่วนติดสัญญาไม่เปิดเผยข้อมูล ขณะเดียวกันการเปิดซอร์สก็จะทำให้โครงการ hashcat ใช้ทรัพยากรโอเพนซอร์สได้อีกมาก เช่นโครงการ GPG การตัดสินใจครั้งล่าสุดมาจากการอิมพลีเมนต์เคอร์เนล DES GPU ที่จำเป็นต้องคอมไพล์ค่า salt เข้าไปในโค้ดเพื่อรีดประสิทธิภาพสูงสุด

โค้ดทั้งหมดอยู่ใน GitHub โครงการหลักคือ hashcat และ oclHashcat

ที่มา - hashcat

Tags:
Let's Encrypt

หลังจากเลื่อนมาหลายรอบ วันนี้ก็เป็นวันแรกที่ Let's Encrypt บริการออกใบรับรองดิจิตอลสำหรับเว็บที่ให้บริการฟรี เริ่มให้บริการต่อสาธารณะ จากช่วงบริการในวงปิดที่มีโดเมนต่างๆ ใช้งานอยู่ก่อนแล้วกว่า 26,000 โดเมน หลังจากเปิดบริการไม่ถึงวัน ตอนนี้ทางโครงการก็ออกใบรับรองไปแล้วกว่า 36,000 โดเมน

รายชื่อโดเมนที่ออกใบรับรองโดย Let's Encrypt เปิดเผยผ่านกระบวนการ Certificate Transparency โดยโพสอยู่ที่ crt.sh

หลังจากเปิดบริการวันแรก ทางเฟซบุ๊กก็เข้าร่วมสนับสนุนโครงการในระดับ Gold (จ่าย 150,000 ดอลลาร์ต่อปีขึ้นไป) ขณะที่สปอนเซอร์ระดับ Platinum มีสี่รายได้แก่ มอซิลล่า, Akamai, ซิสโก้, EFF

ใครใช้แล้วผ่านกันแล้วก็มาเล่าสู่กันฟังได้ครับ

ที่มา - Let's Encrypt

Tags:
Raspberry Pi

มีรายงานช่องโหว่ใน Raspbian ทำให้ค่าสุ่มของกุญแจ Secure Shell (SSH) สามารถคาดเดาได้ ทำให้แฮกเกอร์อาจจะคั่นกลางการเชื่อมต่อเพื่อปลอมตัวเองเป็นตัว Raspberry Pi ปลายทางได้

ช่องโหว่เช่นนี้เป็นปัญหาของลินุกซ์ที่สร้างกุญแจ SSH ใหม่ทันทีหลังการบูต เพราะเครื่องยังทำงานมาไม่นานพอที่จะสะสมความยุ่งเหยิง (entropy) ของระบบ แต่สำหรับเครื่องขนาดเล็กอย่าง Raspberry Pi ที่มีอุปกรณ์และ I/O ในเครื่องไม่เยอะนักเมื่อเทียบกับพีซี ปัญหานี้จะรุนแรงกว่าปกติ ทำให้กุญแจที่สร้างขึ้นมาคาดเดาได้ง่ายมาก

สำหรับผู้ที่กังวลกับปัญหานี้สามารถสร้างกุญแจ SSH ขึ้นใหม่หลัง Raspbian ทำงานไปแล้วเป็นเวลานานๆ เพราะตัวลินุกซ์จะเก็บความยุ่งเหยิงจากอินเทอร์รัปต์ เช่น การส่งข้อมูลจากเครือข่าย สำหรับคนที่ติดตั้งเครื่องใหม่สามารถสร้างกุญแจจากพีซีเพื่อไปติดตั้งบน SSH ในตัว Raspberry Pi ก็ได้เช่นกัน

กระบวนการสร้างค่าสุ่มเป็นกระบวนการสำคัญในระบบความปลอดภัยคอมพิวเตอร์ ผู้สนใจสามารถอ่านเพิ่มเติมได้ในบทความเก่า

ที่มา - The Register

Tags:
Hong Kong

VTech ผู้ผลิตของเล่นอิเล็กทรอนิกส์จากฮ่องกง ถูกแฮกทำให้ฐานข้อมูลผู้ใช้ ได้แก่ ชื่อ, อีเมล, รหัสผ่าน, คำถามขอรหัส, ที่อยู่, และประวัติการดาวน์โหลด โดยแฮกเกอร์ได้ติดต่อกับเว็บไซต์ Motherboard เพื่อแจ้งช่องโหว่ของระบบนี้ และส่งตัวอย่างข้อมูลบางส่วนให้ทางเว็บไซต์

นอกจากข้อมูลบัญชีผู้ใช้จากบริการ Learning Lodge แล้ว บริการแชตกับผู้ปกครอง Kid Connect ก็รั่วด้วยเช่นกัน ส่งผลให้ให้มีภาพเด็กนับหมื่นภาพ และวิดีโอการสนทนารั่วออกมาด้วย

ข้อมูลทั้งหมด 190GB ถูกดาวน์โหลดออกจากเซิร์ฟเวอร์ของบริษัท และส่งตัวอย่างให้ทาง Motherboard ไปแล้ว 3,832 ภาพ พร้อมไฟล์เสียงจากวิดีโอ โดยแฮกเกอร์ยืนยันว่าไม่ได้ต้องการเปิดเผยข้อมูลสู่สาธารณะหรือขายข้อมูลเหล่านี้แต่อย่างใด

ทาง VTech ออกแถลงการณ์ยอมรับว่าฐานข้อมูลรั่วจริง และย้ำว่าไม่มีข้อมูลบัตรเครดิต และข้อมูลหมายเลขบัตรประจำตัวในฐานข้อมูลนี้ และขณะนี้กำลังติดต่อบัญชีผู้ใช้ทั้งหมดเพื่อแจ้งว่าข้อมูลรั่วไหล

ที่มา - VTech, Motherboard

Tags:

SEC Consult ที่ปรึกษาด้านความปลอดภัยรายงานผลการวิจัยพบว่าผู้ผลิตอุปกรณ์เครือข่ายจำนวนมากไม่ได้สร้างกุญแจลับสำหรับการเข้ารหัสเว็บและ SSH ขึ้นใหม่ แต่ใช้กุญแจตัวอย่างจากชุดพัฒนาโดยตรงทำให้อุปกรณ์เหล่านี้เสี่ยงต่อการถูกคั่นกลางการเชื่อมต่อ (man-in-the-middle attack)

กุญแจที่ตรวจสอบมีทั้งหมด 580 ชุด มีการใช้ซ้ำกันจำนวนมาก เช่นกุญแจสำหรับเข้ารหัสเว็บประมาณ 150 ชุดมีการใช้ซ้ำในอุปกรณ์ถึง 3.2 ล้านเครื่อง ขณะที่กุญแจ SSH ประมาณ 80 ชุดมีการใช้งาน 0.9 ล้านเครื่อง ตัวอย่างกุญแจจาก Broadcom SDK ถูกใช้งานโดยไม่ได้สร้างกุญแจใหม่ และฝังอยู่ในเฟิร์มแวร์ของ Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone, และ ZyXEL

อุปกรณ์เหล่านี้มักถูกแถมไปกับบริการอินเทอร์เน็ต เช่น CenturyLink ผู้ให้บริการอินเทอร์เน็ตในสหรัฐฯ แจกเราท์เตอร์ที่เปิดพอร์ต HTTPS ทิ้งไว้เพื่อการเข้าไปดูแลระบบ โดยพบอุปกรณ์ที่ใช้กุญแจซ้ำเช่นนี้กว่า 500,000 เครื่อง หรือ Telstra จากออสเตรเลียแจกเราท์เตอร์ซิสโก้ที่เปิดพอร์ต SSH ไว้ประมาณ 26,000 เครื่อง

แม้ว่าผลกระทบจากช่องโหว่นี้จะเป็นวงกว้าง แต่ความเสี่ยงก็ไม่สูงนัก คะแนนระดับความเสี่ยงตาม CVSS อยู่ที่ 5.0 โดยแฮกเกอร์อาจจะหลอกผู้ที่พยายามล็อกอินเข้าเราท์เตอร์เพื่อดักฟังเอารหัสผ่าน ทางแก้สำหรับเครื่องบางรุ่นที่คอนฟิกกุญแจใหม่เข้าไปได้ผู้ใช้อาจจะสร้างกุญแจใหม่เข้าไปเอง หรือหากทำไม่ได้ก็ควรปิดการเข้าถึงเราท์เตอร์จากอินเทอร์เน็ตเสีย

สำหรับนักพัฒนาระบบ IoT ทั้งหลาย บทเรียนครั้งนี้เป็นบทเรียนสำคัญที่ต้องระวังถึงการสร้างกุญแจใหม่เพื่อติดตั้งลงในเครื่องเสมอ

ที่มา - SEC Consult, CERT.org

Tags:
Microsoft

ศูนย์วิจัย Microsoft Research-Inria Joint Centre สร้างไลบรารี TLS ที่ตั้งเป้าหมายว่าจะตรวจสอบทางคณิตศาสตร์ได้ว่าไม่มีช่องโหว่ให้โจมตีได้ ใช้ชื่อว่า miTLS

ตัวไลบรารีเขียนด้วยภาษา F# และสร้างสเปคการตรวจสอบด้วยภาษา F7 และเวอร์ชั่นใหม่จะพัฒนาด้วยภาษา F*

ก่อนหน้านี้ทีมงานวิจัยนี้ได้ตีพิมพ์รายงานวิจัย FlexTLS เครื่องมือตรวจสอบความปลอดภัยของ TLS โดยโมเดลการโจมตี TLS ขึ้นมา 7 รูปแบบ เช่น ช่องโหว่ข้ามการแลกกุญแจ (SKIP), ช่องโหว่การย้อนเวอร์ชั่น TLS เป็นต้น FlexTLS ถูกรวมไว้ในซอร์สโค้ดที่เปิดเผยออกมาในครั้งนี้ด้วย รายงานนี้ได้รับรางวัล Best Paper Award ในงาน WOOT 2015 ที่ผ่านมา

เป้าหมายการอิมพลีเมนต์ไลบรารี TLS ที่ตรวจสอบได้ว่าไร้ช่องโหว่ยังเป็นเป้าหมายระยะยาวที่ต้องพัฒนาต่อไปในระยะยาว

ที่มา - Microsoft Blog

Tags:
NSA

NSA ปล่อยหนังสือเรียนประวัติศาสตร์การรักษาความปลอดภัยการสื่อสาร (A History of U.S. Communications Security) ที่ใช้มาตั้งแต่ปี 1973 และเคยเปิดเผยบางส่วนในปี 2008 ก่อนจะมีการยื่นอุทธรณ์ในปี 2009 และเพิ่งได้รับอนุมัติให้เปิดเผยเนื้อหาเกือบทั้งหมดในเดือนที่แล้ว

เนื้อหาหนังสือสรุปบทเรียนของกระบวนการเข้ารหัสการสื่อสารในยุคต่างๆ ระบบการเข้ารหัสหลายอย่างมีพื้นฐานคล้ายกับที่เราเคยรู้จักกันอยู่แล้ว เช่น กลุ่มเข้ารหัสแบบ rotor ที่ใช้งานในเครื่อง Enigma อันโด่งดัง ไปจนถึงระบบเข้ารหัสด้วยคอมพิวเตอร์ระบบแรกๆ ในโลก อย่าง BRN-3 ที่ติดตั้งบนเรือรบเมื่อปี 1963 เพื่อถอดรหัสข้อมูลพิกัดจากดาวเทียม

เนื้อหาในหนังสือยังวิจารณ์ถึงบทบาทของ NSA ในยุคนั้นว่ามักเชี่ยวชาญในการค้นหาช่องโหว่ของระบบคอมพิวเตอร์มากกว่าจะที่สร้างระบบป้องกันที่มีประสิทธิภาพ

เอกสารความยาว 316 หน้า ถ้าใครอยากรู้ว่าสมัยสงครามโลกและสงครามเย็น กระบวนการเข้ารหัสเป็นอย่างไรกัน หนังสือเล่มนี้น่าจะให้รายละเอียดได้ดีที่สุดเล่มหนึ่งในตอนนี้

ที่มา - Schneier on Security

Tags:
Symantec

Candid Wueest จาก Symantec รายงานถึงม้ลแวร์เรียกค่าไถ่ (ransomware) ที่ล็อกหน้าจอสมาร์ตทีวีจนใช้งานไม่ได้ โดยตัวแอปที่ติดตั้งเข้ามาจะเด้งขึ้นมาทุกสองวินาที และเริ่มต้นทำงานหลังบูตขึ้นมาเพียง 20 วินาทีทำให้ผู้ใช้ไม่สามารถเข้าเมนูไปลบแอปออกจากระบบได้ทัน

กระบวนการถอนการติดตั้งมัลแวร์เหล่านี้ที่ได้ผลที่สุดคือต่อสาย USB และใช้ adb เข้าไปสั่งถอนการติดตั้ง แต่หากผู้ใช้ไม่ได้เปิดโหมดนักพัฒนาไว้ก็จะยิ่งกลายเป็นเรื่องยุ่งยาก

จนตอนนี้ยังมัลแวร์กลุ่มนี้ยังไม่มีตัวไหนระบาดเป็นวงกว้าง อาจจะเพราะสมาร์ตทีวีเองยังไม่ได้รับความนิยมนัก แต่อย่างไรการใช้งานสมาร์ตทีวีก็ไม่ต่างจากคอมพิวเตอร์อื่นๆ ที่ควรดูแลความปลอดภัยให้ดี เช่น เปิดระบบตรวจสอบแอปก่อนติดตั้งเสมอ, ปิดฟีเจอร์ที่ไม่ได้ใช้งาน, หรือพิจารณาแยกอุปกรณ์เหล่านี้ออกจากเครือข่ายปกติ

ที่มา - Symantec