Tags:
McAfee

Intel Security หรือ McAfee เดิม ประกาศความร่วมมือกับซัมซุง โดยจะพรีโหลดแอพ McAfee VirusScan Mobile มากับ Samsung Galaxy S6 และ S6 edge ด้วย

Henry Lee ตัวแทนฝ่ายความปลอดภัยของซัมซุงให้สัมภาษณ์ว่าการพรีโหลด McAfee จะช่วยป้องกันอันตรายให้กับลูกค้า ส่วนตัวแทนฝั่งอินเทลก็ให้ข้อมูลว่าไวรัสและมัลแวร์บนอุปกรณ์พกพาเพิ่มขึ้นอย่างต่อเนื่อง รวมถึงการแฮ็กจากผู้ไม่ประสงค์ดี ดังกรณี Celebgate ที่เคยเกิดขึ้นเมื่อปีที่แล้ว

นอกจาก McAfee แล้ว ผู้ที่ได้ลองจับ Galaxy S6 เครื่องจริงก็ยืนยันข่าวพรีโหลดแอพจากไมโครซอฟท์ด้วย

ที่มา - McAfee via SamMobile, Engadget

Tags:
Xiaomi

มีอัพเดตเพิ่มเติมจากทาง Xiaomi ท้ายข่าว

นักวิจัยด้านความมั่นคงปลอดภัยจาก Bluebox เปิดเผยว่าโทรศัพท์มือถือ Xiaomi Mi4 มีมัลแวร์ฝังมาพร้อมเครื่อง และใช้ Android รุ่นดัดแปลงที่มีช่องโหว่จำนวนมาก

มัลแวร์ตัวแรกคือแอพ Yt Service ซึ่งจะรัน service ชื่อ DarthPusher เพื่อทำหน้าที่แสดงโฆษณา แอพนี้จงใจตั้งชื่อแพคเกจเพื่อหลอกให้ผู้ใช้เข้าใจว่าตัวแอพถูกพัฒนาขึ้นมาโดย Google (ชื่อแพคเกจของแอพนี้คือ com.google.hfapservice) มัลแวร์ตัวต่อมาคือแอพ PhoneGuardService (com.egame.tonyCore.feicheng) เป็นโทรจัน และตัวสุดท้ายคือแอพ AppStats (org.zxl.appstats) เป็นมัลแวร์ SMSreg

นอกจากนี้ตัวระบบปฏิบัติการ MIUI ที่ใช้ในมือถือรุ่นนี้ยังเป็น Android รุ่นดัดแปลง (fork) ที่เป็นการเอาโค้ดของ Android เวอร์ชันต่างๆ มายำใส่รวมกันทั้ง KitKat, Jelly Bean และ Android เวอร์ชันก่อนหน้านั้นด้วย ทำให้ตัวระบบปฏิบัติการยังมีช่องโหว่ด้านความมั่นคงปลอดภัยอยู่เป็นจำนวนมากเช่นช่องโหว่ Master Key หรือ Towelroot เป็นต้น รวมถึงตัวอุปกรณ์ยังถูก root และเปิดโหมด USB debugging มาไว้แต่แรกด้วย

ทาง Bluebox ได้ติดต่อ Xiaomi เพื่อขอความชัดเจนในเรื่องนี้แล้ว แต่ไม่ได้รับการตอบสนองใดๆ จึงตัดสินใจเปิดเผยข้อมูลสู่สาธารณะ

update: หลังจากข่าวนี้ออกไป ทาง Xiaomi ได้ติดต่อกลับไปทาง Bluebox ระบุว่ารอม Xiaomi ไม่มีการติดตั้งแอพพลิเคชั่นที่ทาง Bluebox ระบุอย่างแน่นอน และทาง Xiaomi ไม่ได้ขายสินค้าผ่านร้านค้าภายนอก แต่ผ่านร้านออนไลน์และหน้าร้านของเครือข่ายเท่านั้น

ตอนนี้ทาง Xiaomi กำลังตรวจสอบภายในว่าทำไมทาง Bluebox จึงไม่สามารถติดต่อทาง Xiaomi ได้จนกระทั่งเปิดเผยรายงานนี้ออกมา

ทาง Bluebox ยังคงยกประเด็นว่าโทรศัพท์ของ Xiaomi สามารถดัดแปลงได้ง่าย หากร้านค้าทั่วไปสามารถดัดแปลงได้ ก็สามารถดัดแปลงระหว่างขนส่งได้เช่นกัน นอกจากนี้แอพพลิเคชั่นตรวจสอบของแท้ของทาง Xaiomi ก็ไม่แจ้งเตือนลูกค้าว่ารอมถูกดัดแปลง

ที่มา - TechWorm, Bluebox

Tags:
Mark Zuckerberg

ในงาน MWC 2015 ปีนี้นอกจากจะมีบรรดาแบรนด์ใหญ่มาร่วมเปิดตัวสินค้าแล้ว Facebook ที่ไม่มีสินค้าเป็นชิ้นๆ แต่ก็มีเวทีเช่นกัน และเป็น Mark Zuckerberg ซีอีโอที่มาพูดถึงทิศทาง มุมมอง และอนาคตของบริษัทให้ฟัง คัดเฉพาะส่วนที่น่าสนใจมาแบบย่อๆ มีดังนี้

  • Zuckerberg บอกว่า Facebook เป็นบริการติดต่อสื่อสารขนาดใหญ่ที่สุดตั้งแต่เคยมีมา มีผู้ใช้มากกว่า 1.2 พันล้านราย เป็นแอพที่มีผู้ใช้บนอุปกรณ์พกพามากที่สุด แต่ก็ยังมีผู้คนอีกจำนวนมากที่ยังเข้าถึงอินเทอร์เน็ตไม่ได้ และ Facebook เองก็กำลังหาทางช่วยเหลือให้คนกลุ่มนั้นสามารถใช้งานอินเทอร์เน็ตได้ในอนาคตง
  • หนทางที่ว่าคือการสร้างพันธมิตรขนาดใหญ่ที่จะขับเคลื่อนการเชื่อมไปในวงกว้าง ซึ่งโครงการ Internet.org เป็นกระบวนการที่ทำให้อินเทอร์เน็ตสามารถเข้าสู่ผู้คนได้ในต้นทุนที่ลดลง จากพัฒนาชิ้นส่วนต่างๆ ให้คุ้มค่ายิ่งขึ้น เหมือนกับที่กูเกิลวางแผนจะใช้บอลลูนในการเชื่อมต่ออินเทอร์เน็ต
Tags:
SSL

เมื่อวานนี้เพิ่งมีข่าวช่องโหว่ FREAK ที่ค้นพบบนไลบรารี OpenSSL ซึ่งส่งผลกระทบต่อเซิร์ฟเวอร์และระบบปฏิบัติการฝั่งยูนิกซ์ แต่ล่าสุดไมโครซอฟท์ออกมายอมรับแล้วว่าระบบปฏิบัติการวินโดวส์ทุกรุ่นก็มีช่องโหว่ลักษณะนี้เช่นกัน

อย่างไรก็ตาม ช่องโหว่นี้จะใช้งานได้ต่อเมื่อวินโดวส์เปิดใช้งานฟีเจอร์ RSA key exchange export ciphers ซึ่งปิดมาเป็นค่าดีฟอลต์ ไมโครซอฟท์แนะนำให้แอดมินระบบตรวจเช็คค่านี้ และสั่งปิดได้จากโปรแกรม Group Policy Object Editor (ใช้ได้เฉพาะ Windows Vista เป็นต้นไป, Windows Server 2003 ทำไม่ได้) ส่วนในระยะยาว ไมโครซอฟท์กำลังตรวจสอบรายละเอียดและอาจออกแพตช์ตามมา

ที่มา - Microsoft, Ars Technica

Tags:
Qualcomm

นอกจากจะเปิดตัว SoC รุ่นใหม่อย่าง Snapdragon 820 ในงาน MWC ปีนี้ของ Qualcomm ยังมีอีกทีเด็ดที่เปิดตัวมาพร้อมกันอย่าง Snapdragon Sense ID เทคโนโลยีสแกนลายนิ้วมือสำหรับอุปกรณ์ที่ใช้ชิป Snapdragon โดยเฉพาะ

การทำงานของ Sense ID จะต่างกับรายอื่นตรงที่ไม่ได้ใช้เซนเซอร์รับสัมผัสความละเอียดสูง แต่ใช้คลื่นเสียงความถี่สูงเพื่อตรวจจับพื้นผิวของนิ้วแทน ทำให้สามารถจดจำส่วนที่ละเอียดมากขึ้นอย่างรูขุมขน และลายนิ้วมือได้ดีขึ้น และลดความคลาดเคลื่อนจากความชื้นที่ผิวสัมผัส รวมถึงใช้งานผ่านแก้ว พลาสติก หรือแม้แต่โลหะก็ได้เช่นกัน และรองรับมาตรฐานด้านการยืนยันตัวตนอย่าง FIDO อีกด้วย

Sense ID จะเริ่มปล่อยให้กับอุปกรณ์ที่ใช้ชิป Snapdragon 810 และ 425 ก่อน และจะขยายให้รองรับกับชิปรุ่นอื่นๆ ในซีรีส์ 400, 600 และ 800 ในภายหลัง

ที่มา - Qualcomm

Tags:
SSL

French Institute for Research in Computer Science and Automation (Inria) และ Microsoft ค้นพบช่องโหว่ของ SSL/TLS ที่เกิดขึ้นมาเป็นเวลานับ 10 ปี พบในไลบรารี OpenSSL เวอร์ชัน 1.01k หรือเก่ากว่า และ Secure Transport ของ Apple กระทบทั้งผู้ใช้ Apple และ Android หลายล้านคน รวมถึงเว็บไซต์ทางการของทำเนียบขาว, FBI หรือแม้แต่ NSA

ช่องโหว่นี้มีชื่อว่า FREAK (CVE-2015-0204) หรือ Factoring Attack on RSA-EXPORT Keys การทำงานของช่องโหว่นี้อนุญาตให้ผู้ไม่ประสงค์ดีบังคับใช้กระบวนการเข้ารหัสที่ล้าสมัย เช่น 512-bit export RSA key ที่ในอดีตจำเป็นต้องใช้ซุปเปอร์คอมพิวเตอร์ในการถอดรหัส แต่ปัจจุบันสามารถถอดรหัสได้เพียงใช้เงิน 100 ดอลลาร์กับเวลา 7 ชั่วโมงต่อเว็บ ผู้ใช้จึงมีความเสี่ยงถูกโจมตีแบบ man-in-the-middle attack

จากการตรวจสอบเว็บไซต์ 14 ล้านแห่งที่รองรับ SSL/TLS พบว่า 36% รองรับการเข้ารหัสที่ไม่ปลอดภัย ทำให้มีความเสี่ยงถูกโจมตี ส่วนฝั่งผู้ใช้ที่ตกอยู่ในความเสี่ยงมีทั้ง Android, iOS, OS X หากเข้าเว็บไซต์ที่มีความเสี่ยงเมื่อไรมีอาจถูกโจมตีได้ทันที

เบื้องต้น ทีมวิจัยแนะนำให้เว็บที่ตกอยู่ในความเสี่ยงปิดการเข้ารหัสที่ล้าสมัย และทำให้เว็บรองรับ forward secrecy ส่วน Google ได้ส่งแพตซ์ไปให้พาร์ทเนอร์แล้ว และ Apple ก็เตรียมปิดช่องโหว่นี้ในอัพเดตถัดไปของ iOS และ OS X ที่จะออกสัปดาห์หน้า

ที่มา - The Hacker News

Tags:

บริษัทซีเคียว เน็ตเวิร์ค โอเปอเรชั่น เซ็นเตอร์ หรือ Snoc ประกาศความร่วมมือกับบริษัท NexusGuard ผู้ให้บริการระบบป้องกัน DDoS ผ่านกลุ่มเมฆรายใหญ่ของโลก ตั้ง node สำหรับบริการป้องกัน DDoS ในประเทศไทย

ปัจจุบันเราจะเห็นข่าวการโจมตีแบบ DDoS ถล่มให้เว็บไซต์ล่มหรือระบบคอมพิวเตอร์ใช้งานไม่ได้กันอยู่เรื่อยๆ วิธีการป้องกันแบบหนึ่งคือวางระบบกรองทราฟฟิกไว้ด้านหน้าเซิร์ฟเวอร์ ซึ่งปัจจุบันระบบกรองทราฟฟิกผ่านกลุ่มเมฆก็ได้รับความนิยมมากขึ้น เพราะมีขีดความสามารถในการป้องกัน DDoS ได้เยอะกว่า

Tags:
SSL

กระบวนการรักษาความปลอดภัยเว็บในช่วงหลังๆ เราเห็นผลงานของฝั่งเบราว์เซอร์กันค่อนข้างชัดเจนจากการออกมาตรฐานใหม่ๆ มากมายและร่วมกันรองรับมาตรฐานในเวลาใกล้เคียงกัน แต่ฝั่งผู้รับรองหรือ Certification Authorities (CAs) เองก็เริ่มรายงานความคืบหน้าฝั่งตัวเองออกมากันแล้ว ผ่านทางกลุ่มของ CAs ออกมาจากกลุ่ม Certificate Authority Security Council (CASC) ที่ก่อตั้งเมื่อปี 2013

มาตรฐานที่กำลังจะมีผลเร็วๆ นี้ คือ Certificate Authority Authorization (CAA - rfc6844) ที่เปิดให้เจ้าของเว็บประกาศตัวได้ว่าจะขอใบรับรอง SSL จากผู้ให้บริการรายใด ผ่าน DNS ในฟิลด์ CAA เป้าหมายหลักคือมันจะเป็นเครื่องมือให้ CA รายอื่นๆ รับรู้ว่าจะคำร้องขอใบรับรอง SSL นี้เป็นคำร้องจริงหรือไม่ หากมีการประกาศ CAA ไว้ใน DNS ที่ไม่ตรงกับตน ทาง CA ก็สามารถปฎิเสธการออกใบรับรอง SSL ได้ทันที มาตรฐานนี้เป็นส่วนกลับกับ HPKP ที่เปิดให้เว็บประกาศไปยังเบราว์เซอร์ให้เชื่อใบรับรองจาก CA บางรายเท่านั้น ทางฝั่งผู้ออกใบรับรองอย่าง Godaddy ระบุว่า CAA นั้นปลอดภัยกับเว็บกว่า HPKP ที่มีความเสี่ยงว่าหากคอนฟิกผิด เว็บอาจจะเข้าไม่ได้เป็นเวลานาน

Tags:
Xen

Amazon EC2 และ Rackspace ประกาศเตือนลูกค้าว่าจะมีลูกค้าบางส่วนถูกรีบูตเครื่องเนื่องจากช่องโหว่ชุดใหม่ของ Xen ที่ยังไม่เปิดเผย ทำให้ต้องมีการอัพเดตเร่งด่วน โดยเครื่องที่ได้รับผลกระทบจะถูกรีบูตภายในวันที่ 10 มีนาคมนี้

โครงการ Xen มีกำหนดการเปิดเผยบั๊กวันที่ 10 มีนาคมนี้ 2 ตัว ได้แก่ XSA-120 และ XSA-123

อเมซอนระบุว่าเครื่องที่ได้รับผลกระทบจะเป็นลูกค้าที่ใช้เซิร์ฟเวอร์ เพราะเครื่องรุ่นใหม่จะมีระบบอัพเดตโดยไม่ต้องรีบูตเครื่องแล้ว โดยรวมจะมีผู้ได้รับผลกระทบไม่ถึง 10% ของเซิร์ฟเวอร์ทั้งหมด ส่วนทาง Rackspace ไม่ระบุว่าลูกค้าได้รับผลกระทบมากน้อยแค่ไหน ระบุเพียงว่าเซิร์ฟเวอร์ที่อยู่คนละเขตจะไม่ถูกรีบูตพร้อมกัน ส่วนลูกค้าที่วางเซิร์ฟเวอร์ไว้ในเขตเดียวจะได้รับแจ้งข้อมูลเพิ่มเติมเร็วๆ นี้

ส่วนใครใช้ Xen ในองค์กร ก็เตรียมรับแพตช์ชุดใหม่ แล้ววางแผนทดสอบกันได้เลยครับ

ที่มา - The Register

Tags:
Uber

วันนี้ตามเวลาบ้านเรา ทาง Uber ออกมาแถลงข่าวอย่างเป็นทางการว่า บริษัทตรวจพบการเข้าถึงฐานข้อมูลคนขับและอดีตคนขับรถของบริษัทโดยไม่ได้รับอนุญาตจากบุคคลภายนอก โดยเกิดขึ้นเมื่อเดือนพฤษภาคมปีที่แล้ว แต่ทางบริษัทเพิ่งตรวจพบเมื่อเดือนกันยายน และมีคนขับรถได้รับผลกระทบมากกว่า 50,000 คน

จากที่ Uber ระบุออกมา ฐานข้อมูลดังกล่าวมีคนขับที่อาศัยอยู่ในมลรัฐแคลิฟอร์เนียมากกว่า 21,000 คน ซึ่งทำให้ทางบริษัท ต้องรีบแจ้งกับอัยการของมลรัฐโดยทันที นอกจากนั้นแล้วยังต้องดำเนินคดีโดยยื่นฟ้องบุคคลที่ยังไม่สามารถระบุตัวตนได้ ("John Doe" lawsuit) เพื่อเปิดทางให้บริษัทหาข้อมูลเพิ่มเติมเกี่ยวกับการรั่วไหลของข้อมูลครั้งนี้

ทาง Uber ระบุว่าได้เริ่มติดต่อผู้ได้รับผลกระทบแล้ว และมอบสมาชิกจากบริษัทปกป้องตัวตนส่วนบุคคล ฟรีเป็นระยะเวลาหนึ่งปี นอกจากนั้นแล้วยังระบุว่าได้แก้ไขเรื่องความปลอดภัยแล้ว ทั้งนี้ทางบริษัทได้ออกมา "ขออภัยในความไม่สะดวก" (sorry for any inconvenience) ในครั้งนี้

ที่มา - Engadget

Tags:

นอกจากประเทศไทยที่จริงจังกับการยืนยันตัวตนผู้ใช้โทรศัพท์แล้ว (อ่านเพิ่มเติม) ประเทศร่วมทวีปอย่างปากีสถานก็จริงจังกับเรื่องนี้เช่นกัน หลังจากเหตุการณ์สังหารหมู่เมื่อเดือนธันวาคมที่ใช้การติดต่อผ่านซิมลงทะเบียนโดยผู้ไม่เกี่ยวข้องเมื่อปลายปีก่อน ทางการจึงยกระดับความปลอดภัยของการลงทะเบียนซิมไปอีกขั้น

โดยข้อบังคับล่าสุดที่เพิ่งเริ่มบังคับใช้ ทำให้ผู้ใช้งานโทรศัพท์ทุกคนในปากีสถานต้องลงทะเบียนซิมที่ใช้งานด้วยการสแกนลายนิ้วมือเพื่อยืนยันตัวตน ซึ่งต้องทำให้แล้วเสร็จก่อนวันที่ 15 เมษายนนี้ มิฉะนั้นจะถูกยกเลิกการใช้งาน ซึ่งจากการประเมินโดยภาครัฐคาดว่ามีซิมอยู่ราว 103 ล้านซิม และจากการส่งรถตู้ไปช่วยลงทะเบียนตั้งแต่รอบแรกเมื่อวันที่ 12 มกราคม ตอนนี้มีซิมลงทะเบียนแบบสแกนลายนิ้วมือมากกว่า 72 ล้านซิมแล้ว

การลงทะเบียนของปากีสถานต้องใช้ทั้งบัตรประชาชน และสแกนลายนิ้วมือ ซึ่งต้องตรงกับฐานข้อมูลเดิมที่มีอยู่แล้วจึงจะเสร็จสมบูรณ์ โดยทางการระบุว่าวิธีนี้จะช่วยลดการก่อเหตุการณ์ไม่สงบไม่ให้เกิดขึ้นอีก

ที่มา - Mashable

Tags:
Brian Krebs

KrebsOnSecurity อ้างแหล่งข่าวไม่เปิดเผยตัว ระบุว่าเหตุการณ์แฮกโดเมนสำคัญ คือ Google.com.vn และ Lenovo.com ถูกเจาะมาทางผู้ให้บริการจดโดเมนในมาเลเซียที่ชื่อว่า Webnic.cc

ตอนนี้เว็บหลักของ Webnic.cc ยังไม่สามารถใช้งานได้ โดยฝ่ายซัพพอร์ตตอบคำถามเพียงว่ากำลังอยู่ระหว่างการสอบสวน

ทาง Webnic ให้บริการโดเมนทั้งหมดกว่าหกแสนโดเมนทั่วโลก โดยแฮกเกอร์ได้วาง rootkit ไว้ในเซิร์ฟเวอร์ได้สำเร็จ และทำให้เข้าถึงเซิร์ฟเวอร์ที่เก็บ EPP code สำหรับการยืนยันการโอนโดเมนได้ แต่ตอนนี้ rootkit ได้ถูกลบออกไปแล้ว

ที่มา - KrebsOnSecurity

Tags:

เอกสารของ Snowden ชุดล่าสุดที่เปิดเผยความพยายามของหน่วยงานข่าวกรองที่พยายามขโมยกุญแจเข้ารหัสในซิมการ์ดจำนวนมาก โดยเฉพาะจากบริษัท Gemalto ผู้ผลิตซิมรายใหญ่ที่ถูกแฮกเพื่อขโมยข้อมูลโดยเฉพาะ ตอนนี้ทางบริษัทออกรายงานสอบสวนภายใน ระบุว่ามีการแฮกเครือข่ายภายในบริษัทตรงกับช่วงเวลาตามรายงานจริง

Gemalto ระบุว่าบริษัทไม่สามารถยืนยันได้ว่าการแฮกที่บริษัทพบเป็นฝืมือของ NSA และ GCHQ ตามรายงานจริงหรือไม่ โดยตัวบริษัทเองที่เป็นบริษัทด้านความปลอดภัยก็ถูกโจมตีรูปแบบต่างๆ กันเรื่อยๆ อยู่แล้ว อย่างไรก็ดีมีการโจมตีสองครั้งในช่วงปี 2010 และ 2011 ที่อาศัยเทคนิคชั้นสูงที่อาจจะเกี่ยวข้องกับการโจมตีตามเอกสาร

Tags:
Apple

สำนักข่าว Independent ของสหราชอาณาจักร เปิดเผยข่าวใหม่ว่าในขณะนี้แอปเปิลกำลังเตรียมพัฒนาฟังก์ชันใหม่ที่ชื่อว่า Zombie Mode ให้กับ iOS และ OS X ในเร็วๆ นี้ครับ

โดยจุดประสงค์หลักของฟังก์ชันนี้ก็คือ เพื่อเป็นการบังคับให้อุปกรณ์ของแอปเปิลทั้ง iPhone, iPod Touch, iPad และ MacBook สามารถส่งข้อมูลพิกัดที่อยู่ของตัวเครื่องออกมาได้ทุกเวลา แม้กระทั่งผู้ใช้ปิดเครื่องอยู่ก็ตาม ซึ่งจะช่วยให้ทั้งแอปเปิล และทางการของแต่ละประเทศสามารถติดตามเครื่องได้ทันทีเมื่อถูกโจรกรรม อีกทั้งยังช่วยให้ตามหาเครื่องได้ง่ายขึ้นด้วย

อย่างไรก็ตาม Independent ชี้ว่าฟังก์ชันดังกล่าวอาจจะฟังดูดีเป็นอย่างมากในทางเทคนิค (เพราะยังเป็นสิทธิบัตรอยู่) แต่เมื่อถึงขั้นปฏิบัติจริง อาจจะต้องให้เวลา Apple ในการแก้ไขปัญหาการใช้พลังงานของตัวเครื่องด้วย เพราะเมื่ออุปกรณ์สามารถส่งพิกัดออกมาได้ตลอดเวลา นั่นก็หมายถึงพลังงานที่จะถูกใช้งานอย่างต่อเนื่องแม้ปิดเครื่องอยู่นั่นเอง

ทั้งนี้ Independent ระบุทิ้งท้ายว่า สิทธิบัตรใบนี้แอปเปิลยื่นขอเมื่อเดือนเมษายนปีที่แล้ว และเพิ่งได้รับอนุมัติเมื่อวันที่ 29 มกราคมที่ผ่านมานี้เองครับ

ที่มา - Independent

Tags:
Chromium

กูเกิลเป็นสปอนเซอร์ของงานแฮกเบราว์เซอร์ Pwnium มาหลายปี ปีนี้ก็ใกล้ถึงรอบจัดงานอีกครั้ง ทางกูเกิลก็ออกมาประกาศกติกาใหม่ สำหรับการส่งรายงานบั๊กนอกช่วงเวลางาน โดยจะปรับกติกาของโครงการ Vulnerability Reward Program (VRP) ของโครม ให้มีรางวัลคล้ายกับการแข่งขันในงาน Pwnium มากขึ้น และรางวัลก็เพิ่มขึ้น

ปัญหาของการแข่งขันก่อนหน้านี้คือนักวิจัยจำเป็นต้องเดินทางไปที่งานด้วยตัวเอง และรางวัลใหญ่จำเป็นต้องใช้บั๊กต่อเนื่อง (bug-chain) เพื่อเจาะให้ได้ตามกติกาของงาน Pwnium นักวิจัยจึงสะสมบั๊กไว้กับตัวไม่ยอมรายงานทันทีที่พบ แถมหลายครั้งสะสมบั๊กมาทั้งปีพอถึงวันงานแพตช์ก่อนงานอาจจะปิดบั๊กบางตัวทำให้อดรางวัลใหญ่ นักวิจัยที่ไปร่วมงานก็เคยบอกกับกูเกิลว่าถ้ามีทางเลือกให้รายงานออนไลน์ได้ทันทีก็เป็นเรื่องที่ดี

กูเกิลระบุว่าจะเพิ่มรางวัลสำหรับบั๊กต่อเนื่องแบบ Pwnium นี้และให้รางวัลสูงสุด 50,000 ดอลลาร์ต่อการรายงานแต่ละครั้ง ซึ่งยังน้อยกว่ารางวัลในงาน Pwnium ที่สูงสุดถึง 150,000 ดอลลาร์มาก แต่ข้อดีสำคัญคือนักวิจัยไม่ต้องถือบั๊กรองานแข่งหลายๆ เดือน และบั๊กอาจจะถูกรายงานไปก่อนงานแข่งเพียงไม่กี่วัน

ที่มา - Chromium Blog

Tags:
CloudFlare

กระบวนการเข้ารหัสเว็บก่อนหน้านี้เราได้ยินกันบ่อยๆ เช่น RC4 ถูกเตือนว่าไม่ปลอดภัยมาเป็นเวลานาน ทำให้เว็บส่วนใหญ่เน้นใช้งาน AES ที่เป็นมาตรฐานกว่า แต่ AES เองก็มีปัญหากินซีพียูสูง ทำให้ไม่เหมาะกับการใช้งานบนโทรศัพท์มือถือที่ซีพียูประสิทธิภาพไม่ดีนัก ทาง CloudFlare ก็ออกมาประกาศชุดเข้ารหัสทางเลือก คือ ChaCha20/Poly1305 ที่ให้ความปลอดภัยที่ดี ยังไม่พบช่องโหว่ร้ายแรง และกินพลังประมวลผลต่ำ

ChaCha20/Poly1305 เสนอโดยกูเกิลเมื่อต้นปี 2014 ที่ผ่านมา จนตอนนี้มีเพียงเว็บในเครือกูเกิลเป็นเครือเว็บขนาดใหญ่เดียวที่รองรับมาตรฐานนี้ โดยกูเกิลผลักดันมาตรฐานนี้เข้าไปใน Chrome รุ่นเดสก์ทอปตั้งแต่ปี 2013, และใส่ไว้ใน Chrome for Android/iOS ตั้งแต่เดือนเมษายน 2014 ความได้เปรียบสำคัญคือความเร็วในการเข้ารหัสเมื่อใช้ซีพียูที่ไม่มีโมดูลเข้ารหัสโดยเฉพาะจะทำความเร็วได้ดีขึ้นถึงสามเท่าตัว

ซีพียูเดสก์ทอปรุ่นใหม่ๆ มักมีฮาร์ดแวร์เฉพาะสำหรับเร่งความเร็ว AES อยู่แล้ว ดังนั้นการใช้ ChaCha20/Poly1305 จึงไม่จำเป็นนัก

มาตรฐานนี้ยังอยู่ระหว่างการพัฒนาและยังไม่สมบูรณ์ ไฟร์ฟอกอยู่ระหว่างการเสนอแพตช์ แต่เมื่อทาง CloudFlare รองรับมาตรฐานนี้ก็มีผู้ใช้เชื่อมต่อผ่านการเข้ารหัสนี้ 10% ทันที

ทาง CloudFlare ยังประกาศนโยบายว่าจะรองรับมาตรฐานการเข้ารหัสใหม่ๆ อย่างต่อเนื่องเพื่อให้ทำงานกับเครื่องที่มีข้อจำกัดต่างๆ กันได้ดี และในกรณีที่มาตรฐานการเข้ารหัสแบบใดมีช่องโหว่ จะได้มีแบบอื่นมาทดแทนได้

ที่มา - CloudFlare

Tags:
Yahoo!

Alex Stamos ผู้บริหารฝ่ายความมั่นคงปลอดภัย (Chief Information Security Officer - CISO) ของยาฮู ถามคำถามสดกับคำพูดของ Mike Rogers ผู้อำนวยการ NSA ที่งาน Cybersecurity for a New America

Rogers พูดถึงความจำเป็นของรัฐบาลที่จะเข้าถึงข้อมูลได้ ทำให้ Stamos ลุกขึ้นถามว่าคำพูดนั้นแปลว่า NSA ต้องการให้เอกชนฝังช่องโหว่ไว้ในการเข้ารหัส เพื่อให้รัฐบาลเข้าถึงข้อมูลได้ใช่หรือไม่

Tags:
Lenovo

Jessica Bennett บล็อกเกอร์ที่ใช้ Lenovo Yoga 2 ยื่นฟ้องต่อศาลแคลิฟอร์เนียเรียกร้องค่าเสียหายจากเลอโนโวและ Superfish ที่ติดตั้ง Superfish ลงในเครื่องโดยไม่ได้บอกล่วงหน้า

เธอระบุว่า Superfish ดักฟังการสื่อสารที่เข้ารหัส, ทำให้คอมพิวเตอร์มีความเสี่ยงต่อการโจมตี, ใช้ทรัพยากรในเครื่อง

เธอเสนอให้คดีนี้เป็นคดีแบบกลุ่ม (class-action) ซึ่งหากศาลอนุมัติและเธอชนะคดี เลอโนโวจะต้องชดเชยให้กับลูกค้าที่ได้รับผลกระทบทั้งหมด โดยคำฟ้องเรียกร้องค่าเสียหาย 100 ดอลลาร์ต่อวันต่อคน รวมไม่เกิน 10,000 ดอลลาร์ต่อคน

ที่มา - PC World, The Register

Tags:
SSL

ช่องโหว่ของ Superfish นอกจากประเด็นการดักฟังแล้ว ยังมีปัญหาการใช้กุญแจ CA เหมือนกันทุกเครื่องและระบบตรวจสอบใบรับรองมีบั๊กทำให้เซิร์ฟเวอร์ภายนอกหลอกได้โดยง่าย ตอนนี้บั๊กคล้ายกันถูกพบใน PrivDog ซอฟต์แวร์สแกนความปลอดภัยเว็บจาก Comodo

PrivDog จะสร้าง CA ใหม่ทุกครั้งที่ติดตั้งและจะดักฟังแบบเดียวกับ Superfish จากนั้นจึงแทนที่โฆษณาบนเว็บด้วยโฆษณาจากบริษัทโฆษณาที่ชื่อว่า Adtrustmedia

แม้จะสร้าง CA ขึ้นใหม่ในทุกเครื่องแต่ PrivDog รุ่น 3.0.96.0 และ 3.0.97.0 กลับไม่ตรวจสอบใบรับรองแบบ self-signed ทำให้เซิร์ฟเวอร์ที่มุ่งร้ายสามารถปลอมเว็บได้โดยที่เบราว์เซอร์ไม่รับรู้ด้วย

PrivDog ยอมรับปัญหานี้ และออกคำเตือนเป็นอันตรายระดับต่ำ โดยระบุว่ามีผู้ได้รับผลกระทบไม่เกิน 57,568 คน และตอนนี้ทาง PrivDog ได้ออกอัพเดตแล้ว

นอกจาก PrivDog แล้ว ชุดพัฒนาของ Komodia ที่ใช้อยู่ใน Superfish ก็มีใช้งานในโปรแกรมจำนวนมาก เช่น โปรแกรมควบคุมการใช้งานสำหรับผู้ปกครอง, โปรแกรมโฆษณาอื่นๆ, โปรแกรมรักษาความปลอดภัย Lavasoft

ที่มา - PC World

Tags:
NSA

หลังสัปดาห์ที่แล้วมีข่าว NSA และ GCHQ ร่วมกันเจาะเครือข่ายของ Gemalto ผู้ผลิตซิมการ์ดรายใหญ่ของโลก กระบวนการเจาะเครือข่ายก็มีรายละเอียดเพิ่มมา

NSA ดักฟังอีเมลภายในของ Gemalto ผ่านระบบ XKEYSCORE เพื่อติดตามว่ามีใครพูดคุยกันอยู่บ้าง และพบผู้จัดการฝ่ายขายของ Gemalto สาขาประเทศไทย กำลังส่งอีเมลที่เข้ารหัส PGP โน้ตของ NSA ระบุว่าเขาน่าจะเป็น "จุดเริ่มต้นที่ดี" อย่างไรก็ดีไม่มีรายงานถึงความสำเร็จจากการดึงข้อมูลกุญแจซิมออกจากอีเมลของ Gemalto แต่อย่างใด และรายงานของ GCHQ กลับรายงานว่าสามารถตรวจข้อมูลได้จากการดักฟังจำนวนมาก