Tags:
Google

กูเกิลเพิ่มรายงานปริมาณมัลแวร์และเว็บฟิชชิ่งเข้าใน Transparency Report หรือรายงานความโปร่งใสของบริษัท

รายงานนี้จะอยู่ในหัวข้อ Safe Browsing แยกออกจาก หัวข้อ Traffic รายงานการเข้าถึงกูเกิลซึ่งอาจจะสะท้อนการบล็อกเว็บของรัฐบาล, Removal Requests รายงานการขอลบข้อมูลออกจากกูเกิล, และ User Data Requests การขอข้อมูลผู้ใช้โดยรัฐบาล

สำหรับข้อมูลของไทยในปัจจุบัน มีเว็บไซต์ที่มีมัลแวร์ถึง 13% จากเว็บที่กูเกิลสแกนกว่า 62,000 ไซต์ ส่วนมากอยู่ในกลุ่มไอพีของ CAT และ CS-LOXINFO คิดเป็น 15% ของเว็บไซต์ในเครือข่ายทั้งสอง แต่ส่วนมากเป็นเว็บไซต์ที่ถูกโจมตีอีกทีหนึ่ง (compromised sites) ขณะที่เว็บที่เป็นต้นทางมัลแวร์ในไทยส่วนมากต่ำกว่า 1% ของไซต์ทั้งหมด สัดส่วนเว็บถูกโจมตีในบ้านเรานับว่าเป็นอันดับสามในอาเซียนรองจากมาเลเซียและฟิลิปปินส์

เครือข่ายที่น่าสนใจเช่น Petersburg Internet Network ในรัสเซียนั้นเป็นเว็บต้นทางของมัลแวร์ถึงร้อยละ 47

ช่วงเดือนที่ผ่านมากูเกิลตรวจพบเว็บที่ถูกโจมตีพิ่มขึ้นอย่างมาก ผู้ดูแลระบบควรตรวจสอบอยู่เสมอว่ามีจุดไหนที่ถูกโจมตีหรือไม่ เพราะฐานข้อมูลนี้ใช้งานร่วมกันทั้ง Chrome, Firefox, และ Safari

ที่มา - Transparency Report, Google Online Security Blog

Tags:
HP

เว็บ lolware รายงานถึงบัญชี "HPSupport" ที่ถูกใส่ไว้ในสตอเรจเซิร์ฟเวอร์ตระกูล StoreOnce หรือชื่อเดิม D2D เป็นบัญชีผู้ดูแลระบบที่ไม่ได้แจ้งผู้ใช้ไว้ล่วงหน้าว่ามีปัญชีนี้อยู่

รหัสผ่านของบัญชีนี้ถูกเก็บเป็นค่า SHA1 78a7ecf065324604540ad3c41c3bb8fe1d084c50 โดยตอนนี้ยังไม่พบว่าคำก่อนแฮชคืออะไร แต่หลังจากนี้คงมีการแข่งกันแฮ็กรหัสผ่านนี้ในเร็วๆ นี้

ในรายงานระบุว่าผู้ค้นพบได้รายงานปัญหานี้ไปยังเอชพีก่อนหน้านี้แล้วสามสัปดาห์แต่เอชพีไม่ยอมรับว่ามีปัญหา ทำให้ผู้พบปัญหาสามารถแจ้งสู่สาธารณะได้ทันที

ยังไม่ยืนยันว่ามีบัญชีนี้ในสินค้ารุ่นใดบ้าง ระหว่างนี้ผู้ใช้ควรป้องกันล่วงหน้าด้วยการจำกัดการเข้าถึงพอร์ต SSH ของเซิร์ฟเวอร์ให้อยู่ในวงจำกัด

ที่มา - lolware, The Register

Tags:
Facebook

Facebook ออกมาประกาศบั๊กของระบบ ที่สร้างผลกระทบให้ผู้ใช้สามารถดูข้อมูลที่อยู่ติดต่อ (เบอร์โทรศัพท์และอีเมล) ของผู้ใช้คนอื่นๆ ที่มีเพื่อนคนเดียวกันได้

บั๊กนี้เกิดจากระบบ friend recommendation ของ Facebook ที่จะอ่านข้อมูลจากสมุดที่อยู่ของเราเพื่อเช็คว่าตรงกับผู้ใช้คนใดในระบบบ้าง (สมมติว่าเป็นผู้ใช้ A) ในกรณีที่มีคนอัพโหลดข้อมูลจากสมุดที่อยู่ขึ้นไปพร้อมกันหลายคน (เช่น ผู้ใช้ B และผู้ใช้ C ที่เป็นเพื่อนของ A ทั้งคู่ แต่อาจไม่รู้จักกันเอง) Facebook จะรวมเอาข้อมูลของ A ที่มาจาก B และ C ไว้ด้วยกันบนเซิร์ฟเวอร์ของตัวเอง (ซึ่ง B อาจไม่มีข้อมูลบางอย่างของ A แต่ C มีข้อมูลนั้น) โดยมีแค่ Facebook เท่านั้นที่เห็นข้อมูลทั้งหมด

ปัญหาจะเกิดเมื่อ B หรือ C ใช้เครื่องมือดาวน์โหลดข้อมูลบัญชี Facebook ที่ชื่อ Download Your Information (DYI) โหลดข้อมูลกลับมาเก็บไว้บนเครื่องตัวเอง บั๊กที่เกิดขึ้นทำให้ B ได้ข้อมูลทั้งหมดของ A กลับไปด้วย (มีข้อมูลของ A ที่มาจาก C กลับมาด้วย) ทำให้ B อาจเข้าถึงข้อมูลบางอย่างของ A ที่ไม่ได้รับอนุญาตให้เข้าถึงมาก่อน

Windows 8.1

ยิ่งใกล้ช่วงที่ไมโครซอฟท์จะปล่อยตัวพรีวิวแรกของ Windows 8.1 ไมโครซอฟท์ก็จัดแคมเปญเรียกขวัญนักพัฒนา แฮคเกอร์ หรือแม้แต่ผู้ดูแลระบบทั่วโลก โดยให้เข้าทดสอบ Windows 8.1 พร้อมกัน และยื่นคำท้าว่า ถ้าหาบั๊กใน Windows 8.1 เจอและส่งรายงานให้ไมโครซอฟท์ตรวจสอบเป็นคนแรก ถ้าไมโครซอฟท์เจอจริง รับเงินรางวัลกลับไปนอนกอดได้เลยครับ

โดยหัวข้อที่ไมโครซอฟท์จะเปิดรับแจ้งเพื่อชิงเงินรางวัล จะมีดังต่อไปนี้

  • ส่วนที่เกี่ยวข้องกับการเจาะช่องโหว่เข้าระบบ (Mitigation Bypass Bounty) ถ้าหาเจอ ไมโครซอฟท์จะจ่ายให้ 100,000 ดอลล่าร์สหรัฐฯ ต่อ 1 ช่องโหว่
  • ช่องโหว่ของระบบที่เกี่ยวข้องกับ BlueHat (BlueHat Bonus for Defense) ถ้าหาเจอ ไมโครซอฟท์จะจ่ายให้ 50,000 ดอลล่าร์สหรัฐฯ ต่อ 1 รายงาน
  • บั๊กและช่องโหว่สำหรับการโจมตีเข้าระบบผ่าน Internet Explorer 11 (Internet Explorer 11 Preview Bug Bounty) ไมโครซอฟท์จะจ่ายให้ 11,000 ดอลล่าร์สหรัฐฯ ต่อ 1 ช่องโหว่ โดยกรณี IE จะต้องเป็นช่องโหว่ที่ถูกโจมตีได้จริง และสำหรับกรณีนี้ ไมโครซอฟท์จะเปิดรับรายงานจนถึงวันที่ 26 กรกฎาคมเท่านั้น

ใครที่สนใจติดตามรายละเอียดได้จากที่มาครับ

ที่มา - Microsoft Security Respond Center

Tags:
iOS

ทีมนักวิจัยจากมหาวิทยาลัยเออร์ลานเกน ประเทศเยอรมนีเผยผลการวิจัยเกี่ยวกับความปลอดภัยในการตั้งรหัสผ่าน พบว่าสามารถเดารหัสผ่านของ Mobile Hotspot ใน iOS ได้ภายในเวลาสั้นๆ

โดยทีมนักวิจัยดังกล่าวได้อธิบายถึงระบบเดารหัสผ่าน Mobile Hotspot ใน iOS ด้วยคำศัพท์จากเกม Scrabble จำนวนกว่า 52,500 รูปแบบ จากการโจมตีด้วยโดยใช้คำดังกล่าว สามารถเดารหัสผ่านของ Mobile Hotspot ใน iOS ได้อย่างสมบูรณ์ และพบว่าแอปเปิลเลือกใช้ชุดคำมาตั้งเป็นรหัสผ่านเพียง 1,842 รูปแบบเท่านั้น

สำหรับระยะเวลาในความพยายามเดารหัสผ่านนั้น ทีมนักวิจัยได้ทดลองโดยใช้การ์ดจอ AMD Radeon HD 7970s สี่ตัว พบว่าสามารถเดารหัสผ่านได้ภายใน 50 วินาที

Tags:
Android

pod2g นักแฮก iOS ชื่อก้อง เจ้าของแอพสามัญประจำคน jailbreak อย่าง Installous, No SIM Unlock ฯลฯ ประกาศผ่านทวิตเตอร์ว่า pod2g เตรียมอำลาวงการ jailbreak บน iOS อย่างเป็นทางการ หลังจากที่ iOS 7 ได้สร้างความผิดหวังกับเขาไว้อย่างมาก พร้อมทั้งบอกว่า เตรียมย้ายไปใช้ Android แทน สุดท้ายเขายังบอกว่า นี่แค่รุ่นทดสอบแรก และคาดว่ายังคงรอรุ่นทดสอบตัวต่อไป แต่ส่วนตัวคิดว่า ถ้ารุ่นต่อมายังไม่ประทับใจอีก ก็คงหนีไปซบ Android ถาวรก็เป็นได้

และนี่คงเป็นหนึ่งในสัญญาณความไม่พอใจของนักพัฒนาและนักออกแบบที่เคยรุมสวดไปแล้วรอบหนึ่ง

ที่มา: Redmond Pie

Tags:

กระบวนการเข้ารหัสที่สำคัญอย่างแบบกุญแจสมมาตร (symmetic key encryption) ในตอนที่แล้วแม้จะสามารถป้องกันการดักฟังได้อย่างมีประสิทธิภาพ แต่ข้อจำกัดคือทั้งสองฝ่ายต้องรับรู้ “ความลับ” ร่วมกัน และข้อจำกัดที่สำคัญมากคือ ผู้ที่รู้ความลับนี้ทุกคนจะเข้าไปอ่านข้อความได้ทั้งหมด

การใช้งานในอินเทอร์เน็ตนั้นต่างออกไป ส่วนมากเรามักจะรับรู้ว่าเราต้องการติดต่อกับใคร เช่น เราต้องการเข้าเว็บไซต์ซักเว็บและเราต้องการแน่ใจว่าเว็บนั้นเป็นเว็บที่เราตั้งใจจะเข้าใช้งานจริง ต้องไม่มีใครปลอมตัวเป็นเว็บนั้นได้ หรือไม่มีใครอ่านข้อความที่เรากับเว็บนั้นๆ สื่อสารถึงกันได้ กระบวนการเข้ารหัสแบบกุญแจไม่สมมาตร (asymmetric key encryption) เป็นกระบวนการเข้ารหัสที่เปิดให้ผู้ส่งข้อมูลกับผู้รับข้อมูลสามารถใช้กุญแจคนละชุดกัน ที่สร้างมาคู่กันโดยเฉพาะ แล้วสร้างการเชื่อมต่อที่เข้ารหัสถึงกันได้

Tags:
Japan

โครงการ PRISM ของสหรัฐฯ กำลังถูกวิจารณ์จากทั่วโลกว่าละเมิดต่อประชาชนของตัวเองและชาติอื่นๆ แต่ร่างกฎหมายความมั่นคงทางไซเบอร์ (Cyber Security 2013) กำลังเปิดโอกาสให้กองกำลังป้องกันตนเองของญี่ปุ่น (เพราะญี่ปุ่นไม่มีกองทัพอย่างเป็นทางการ แต่หน้าที่ของกองกำลังคล้ายกัน) ตั้งศูนย์ตรวจสอบข้อมูลอินเทอร์เน็ตได้

กฎหมายฉบับนี้อยู่ในขั้นของการร่าง และมันถูกเสนอโดยศูนย์ความมั่นคงข้อมูลข่าวสารแห่งชาติ (National Information Security Centre - NISC) ที่เป็นหน่วยงานที่ปรึกษาของรัฐบาล ระบุว่าศูนย์นี้จะตรวจสอบเฉพาะ "ข้อมูลการส่งต่อ" เช่น header ของแพ็กเก็ตโดยไม่ลงลึกไปมากกว่านั้น การอ้างเหตุผลของการมีศูนย์นี้คือรัฐบาลจะสามารถจัดการกับการโจมตีบางอย่างเช่น DoS ได้

ร่างกฎหมายฉบับนี้เผยแพร่ลงเว็บเมื่อวันจันทร์ที่ผ่านมา นับว่าเป็นช่วงเวลาที่ไม่ดีนักหากต้องการเสียงสนับสนุน

ที่มา - The Register

Tags:
Java

ปัญหาความปลอดภัยของ Java Applet เป็นปัญหาต่อเนื่องในปีที่ผ่านมา ล่าสุดช่องโหว่ถูกปรับแต่งมาใช้เพื่อโจมตีคนไทยโดยเฉพาะ Ask Blognone ตอนนี้ขอเชิญทุกท่านมาช่วยกันให้ข้อมูล ว่ายังมีบริการใดสำหรับคนทั่วไป ไม่ว่าฟรี, เสียเงิน, ต้องสมัครสมาชิก ฯลฯ (ไม่นับบริการภายในองค์กรที่ให้เฉพาะพนักงานใช้งาน) ที่ยังให้ผู้ใช้ต้องติดตั้ง Java เพื่อรัน Java Applet อยู่บ้าง

Tags:
Apple

เมื่อคืนวันจันทร์ที่ผ่านมา Apple เปิดตัว iOS 7 ในงาน WWDC และได้เปิดให้โหลดรุ่น Beta สำหรับนักพัฒนา เมื่อจบงาน WWDC ก็มีมือดีสามารถค้นหาช่องโหว่ที่สามารถเข้าถึงรูปภาพในเครื่องโดยไม่ต้องใส่รหัสผ่าน

ทาง Forbe ได้เปิดเผยวิดีโอช่องโหว่ของ Lock Screen เพื่อที่จะเข้าถึงภาพในอัลบัมภาพของเครื่องโดยไม่ต้องใส่รหัสผ่าน ซึ่งสามารถเข้าดูภาพได้ทั้งเครื่อง สั่งลบ หรือแชร์ออกโซเชียลมีเดียก็ได้

ชายวัย 36 ปีที่พบช่องโหว่ใน Lock Screen ของ iOS 7 กล่าวว่า "เราสามารถใช้ช่องว่างของ Lock Screen โดยเข้า Control Center และกดเข้าเครื่องคิดเลข ก่อนที่จะเข้าโหมดกล้องถ่ายรูป เท่านี้เราก็จะสามารถเข้าดูรูปในมือถือได้แล้ว"

อย่างไรก็ตาม iOS 7 ยังอยู่ในสถานะ Beta และไม่ได้ให้คนทั่วไปโหลด คนที่ใช้ได้มีเพียงนักพัฒนาที่ลงทะเบียนกับทาง Apple ไว้เท่านั้น และช่องว่างดังกล่าวไม่สามารถปิดโหมด Lost ของ iOS 7 ได้อยู่ดี

ที่มา - The Hacker News

Tags:
Java

เมื่อวันที่ 12-13 มิถุนายนที่ผ่านมา เว็บไซต์สำนักข่าวในประเทศไทยหลายแห่ง ได้ถูกเจาะระบบเพื่อฝังโทรจันที่โจมตีผ่านช่องโหว่ของ Java

โทรจันตัวนี้จะไปแก้ไขหน้าเว็บไซต์ของธนาคารออนไลน์ในประเทศไทย ให้แสดงลิงก์สำหรับใส่เบอร์มือถือเพื่อรับ SMS ดาวน์โหลดโปรแกรม AVG AntiVirus Mobile Pro สำหรับติดตั้งใน Android โดยโปรแกรมดังกล่าวเป็นโปรแกรมแอนตี้ไวรัสปลอม จุดประสงค์เพื่อขโมย SMS OTP จากธนาคาร

สำหรับข้อมูลเพิ่มเติมของโทรจัน รวมถึงวิธีการตรวจสอบและแก้ไข สามารถอ่านได้จากที่มาครับ

ที่มา: ThaiCERT

Tags:
Google

Google ประกาศปรับอัตราเงินรางวัลสำหรับผู้แจ้งช่องโหว่ของเว็บเพิ่มขึ้นหลังจากที่เพิ่งปรับอัตราการจ่ายเงินรางวัลไปเมื่อไม่กี่เดือนก่อน

Google ได้ปรับเกณฑ์การให้รางวัลสำหรับผู้ค้นพบช่องโหว่โดยการทำ XSS (cross-site scrpting) ซึ่งเป็นการฝังโค้ดเข้าไปในหน้าเว็บไซต์ที่มีช่องโหว่นั้นเพื่อดักจับข้อมูลสำคัญในระหว่างที่ผู้ใช้งานเปิดเข้าใช้หน้าเว็บไซต์ดังกล่าว

  • ช่องโหว่เว็บบัญชีผู้ใช้งาน accounts.google.com จะได้รับเงินรางวัล 7,500 ดอลลาร์ (จากเดิม 3,133.70 ดอลลาร์)
  • ช่องโหว่เว็บบริการสำคัญ เช่น Gmail และ Google Wallet จะได้รับเงินรางวัล 5,000 ดอลลาร์ (จากเดิม 1,337 ดอลลาร์)
  • ช่องโหว่ของหน้าเว็บอื่นๆ จะได้รับเงินรางวัล 3,133.70 ดอลลาร์ (จากเดิม 500 ดอลลาร์)

นอกเหนือจากนี้ Google ยังเพิ่มอัตราเงินรางวัลสำหรับการเจาะระบบโดยลัดขั้นตอนยืนยันตัวบุคคลของผู้ใช้งาน หรือการดึงข้อมูลรั่วไหลจากส่วนดังกล่าวได้เป็น 7,500 ดอลลาร์ (จากเดิม 5,000 ดอลลาร์)

ในช่วงไม่กี่ปีมานี้ Google อัดฉีดเงินรางวัลสำหรับผู้คนพบบั๊กและช่องโหว่ต่างๆ ในบริการของตนเองเพิ่มมากขึ้นเรื่อยๆ ใครที่มีความสามารถและเวลาเพียงพอก็น่าจะลองหารายได้จากทางนี้ได้เช่นกัน สามารถดูรายละเอียดเพิ่มเติมได้ที่นี่

ที่มา - ZDNet

Tags:
iOS

นักวิจัยด้านความปลอดภัยเผยว่าเขาค้นพบวิธีการที่จะแฮ็กอุปกรณ์ที่ใช้ระบบปฏิบัติการ iOS ได้สำเร็จภายใน 1 นาที โดยใช้เพียงที่ชาร์จไฟซึ่งได้รับการดัดแปลงพิเศษเท่านั้น

ทีมนักวิจัยจากสถาบัน Georgia Institute of Technology เผยว่าต้นแบบที่ชาร์จไฟซึ่งได้รับการดัดแปลงแบบพิเศษซึ่งพวกเขาเรียกมันว่า "Mactans" สามารถปล่อยมัลแวร์เข้าสู่อุปกรณ์ iOS ได้หลังจากเสียบสายชาร์จดังกล่าวเข้ากับอุปกรณ์เป็นเวลา 1 นาทีเท่านั้น

ซอฟต์แวร์ที่ Mactans ปล่อยเข้าสู่อุปกรณ์ iOS นั้นสามารถทำงานได้อย่างอัตโนมัติโดยไม่ต้องหลอกล่อผู้ใช้อุปกรณ์ให้ติดตั้งหรืออนุญาตให้ซอฟต์แวร์ดำเนินการใดๆ นอกจากนี้ไม่ว่าเครื่องจะผ่านการ jailbreak มาหรือไม่ ต่างก็โดนเล่นงานได้เหมือนกัน ที่สำคัญก็คือ ภายหลังจากที่มันติดตั้งตัวเองในระบบ iOS เสร็จสิ้นแล้ว มันสามารถซ่อนตัวเองได้ด้วย ซึ่งหากผู้ใช้ไม่ตรวจสอบให้ถี่ถ้วนก็จะไม่มีทางรู้ได้เลยว่าโดนเล่นงานเข้าแล้ว

Mactans ที่ถูกสร้างขึ้นโดยใช้ BeagleBoard ซึ่งเป็นพีซีขนาดเล็กประมาณบัตรเครดิต ใช้ระบบปฏิบัติการ Linux ถูกผลิตโดย Texas Instrument และมีราคาเพียง 45 ดอลลาร์ ซึ่งแน่นอนว่าเมื่อถูกจับมายัดใส่ที่ชาร์จไฟย่อมทำให้มีขนาดใหญ่ผิดสังเกต แต่ก็ไม่แน่ว่าหากมีคนจงใจสร้างเครื่องมือแฮ็กอุปกรณ์ iOS จริง มันอาจมาในรูปแบบของแท่นชาร์จ หรืออาจมีการดัดแปลงชิ้นงานให้มีขนาดเล็กลงก็เป็นได้

ทีมงานวิจัยระบุว่าได้ติดต่อไปยัง Apple และแจ้งช่องโหว่ดังกล่าวให้ทราบแล้ว แต่ยังไม่มีการตอบรับใดๆ

ที่มา - Cult of Mac, The Verge

Tags:
Java

ปัญหาความปลอดภัยของ Java ในรอบปีสองปีที่ผ่านมาสร้างชื่อเสียงทางลบอย่างมาก จนออราเคิลต้องออกมาประกาศนโยบายด้านความปลอดภัยใหม่ของ Java ชุดใหญ่ ดังนี้

  • แยกรุ่นของ JRE เป็น Server JRE โดยไม่มี Java Plug-in ที่เป็นปัญหาโดนเจาะมาตลอด เพื่อให้ปัญหาช่องโหว่ไม่กระทบงานด้านเซิร์ฟเวอร์ (เริ่มใช้ตั้งแต่ Java 7u21 เป็นต้นไป)
  • แยกกระบวนการออกแพตช์ความปลอดภัยเป็น 2 ประเภท คือ Critical Patch Update รุ่นมาตรฐานออกปีละ 4 ครั้งตามรอบซอฟต์แวร์ตัวอื่นของบริษัท และ Security Alert สำหรับแก้ปัญหาเฉพาะหน้าเป็นจุดๆ ไปเมื่อค้นพบช่องโหว่สำคัญ
  • เปลี่ยนเงื่อนไขการรัน Java applet โดย applet ที่ถูก sign จะไม่จำเป็นต้องได้สิทธิรันนอก sandbox อัตโนมัติเหมือนก่อน และตัวปลั๊กอินจะตั้งค่าห้ามไม่ให้รัน applet ที่ไม่ถูก sign ตามกระบวนการของออราเคิลแล้ว
  • ในอนาคต Java applet ที่ไม่ได้ sign ตามกระบวนการที่ถูกต้อง จะรันไม่ได้เลย
  • จากปัญหา Java ไม่เช็คใบรับรองดิจิทัลที่ถูกเพิกถอนแล้ว ออราเคิลจะปรับปรุงวิธีการตรวจสอบใบรับรองดิจิทัลใหม่ในอนาคต แต่ในระยะสั้นจะปิดฟีเจอร์ด้านการตรวจสอบนี้ทิ้งไปก่อนด้วยเหตุผลด้านประสิทธิภาพ

ที่มา - The Oracle Software Security Assurance Blog

Tags:
LinkedIn

LinkedIn เป็นบริการออนไลน์รายล่าสุดที่เริ่มใช้ระบบล็อกอินสองชั้น (two-step verification) เช่นเดียวกับบริการออนไลน์อีกหลายรายที่นำร่องไปก่อนแล้ว

กระบวนการทำงานก็ไม่ต่างจากยี่ห้ออื่นคือยืนยันตัวตนอีกชั้นผ่าน SMS และยังเป็นแค่ทางเลือก (optional) ให้ผู้ใช้เลือกเปิดใช้งานกันเองโดยไม่บังคับ วิธีการเปิดใช้คือเข้าไปยัง Settings > Account > Manage Security ครับ

ที่มา - LinkedIn Blog

Tags:
Microsoft

ไมโครซอฟท์มีทีม Digital Crimes Unit ที่มีผลงานทลายกลุ่มเซิร์ฟเวอร์ติดโทรจัน (botnet) มาแล้วหลายครั้ง (ข่าวเก่า 1, ข่าวเก่า 2)

ทีมนี้ของไมโครซอฟท์ทำงานร่วมกับ ISP และหน่วยงานด้านความปลอดภัยไซเบอร์ (Computer Emergency Response Teams - CERT) ทั่วโลก มีการแชร์ข้อมูล botnet ระหว่างกันอยู่เสมอ แต่กระบวนการแชร์ข้อมูลยังล้าสมัย (ผ่านอีเมล) แถมการตรวจสอบเซิร์ฟเวอร์จำนวนมหาศาลทั่วโลก (วันละหลายร้อยล้านครั้ง) ก็ไม่ใช่เรื่องง่าย

ไมโครซอฟท์แก้ปัญหาข้างต้นโดยสร้างระบบการวิเคราะห์และแชร์ข้อมูลบนกลุ่มเมฆ (แน่นอนว่าเป็น Azure) ทำให้รองรับโหลดมหาศาลและสามารถวิเคราะห์ botnet ได้แบบ (เกือบ) เรียลไทม์แล้ว ระบบวิเคราะห์ข้อมูลแบบใหม่นี้เรียกว่า Cyber Threat Intelligence Program (C-TIP)

ตอนนี้ C-TIP ถูกใช้งานโดยทีม CERT จากหลายประเทศในยุโรปแล้ว อีกไม่ช้าคงขยายไปยังประเทศอื่นๆ มากขึ้นครับ

ที่มา - Microsoft on Safety and Defense Blog

Tags:
Rails

ช่องโหว่ของ Ruby on Rails ที่ถูกค้นพบในเดือนมกราคมปีนี้ กลายเป็นช่องทางสำคัญให้แฮ็กเกอร์เจาะเข้าไปยังเซิร์ฟเวอร์ที่ติดตั้ง Rails เอาไว้ และเปลี่ยนเซิร์ฟเวอร์เหล่านี้เป็น botnet สำหรับอาชญากรรมคอมพิวเตอร์ด้านอื่นๆ (เช่น มัลแวร์) ต่อไป

ช่องโหว่ตัวนี้ของ Rails มีความรุนแรงในระดับสูง (critical) เพราะเปิดโอกาสให้แฮ็กเกอร์ส่งโค้ดอันตรายเข้ามารันบนเซิร์ฟเวอร์ได้จากระยะไกล ทางทีมพัฒนา Rails ออกแพตช์แก้นานแล้วแต่ก็ยังมีเซิร์ฟเวอร์อีกจำนวนมากที่ยังไม่ได้อัพแพตช์ตาม และกลายเป็นเหยื่อของช่องโหว่นี้ในที่สุด

ผู้ใช้ Rails ควรอัพเกรดเป็นเวอร์ชัน 3.2.11, 3.1.10, 3.0.19, 2.3.15 ขึ้นไปครับ

ที่มา - Ars Technica

Tags:
Evernote

Evernote ถูกแฮ็กครั้งใหญ่ไปเมื่อต้นปี วันนี้บริษัทจึงประกาศฟีเจอร์ด้านความปลอดภัยเพิ่มขึ้นอีก 3 อย่าง

  • Two-Step Verification ระบบล็อกอินสองชั้นด้วยโค้ดที่ส่งทาง SMS เหมือนกับบริการออนไลน์อื่นๆ ที่ทำกันไปก่อนแล้ว ระบบนี้ยังเป็นตัวเลือกที่ผู้ใช้ต้องเปิดใช้งานเอง ไม่บังคับใช้แต่อย่างใด (เบื้องต้นยังใช้ได้เฉพาะ Evernote Premium/Evernote Business แต่อนาคตจะขยายไปยังผู้ใช้ทุกคน)
  • Authorized Applications แสดงรายชื่อของแอพที่ขอสิทธิเข้าถึงข้อมูลใน Evernote และสามารถยกเลิกการเข้าถึงได้จากหน้าเว็บ
  • Access History แสดงประวัติการล็อกอินใช้งาน Evernote เพื่อดูว่ามีใครแปลกปลอมเข้ามาในบัญชีของเราหรือไม่

ที่มา - Evernote Blog

Tags:
PayPal

หลักจาก Paypal มีปัญหากับแฮกเกอร์อายุ 17 ปีที่ชื่อว่า Robert Kugler ตอนนี้ Paypal ก็ออกมาชี้แจงปัญหาว่าบั๊กนี้มีการค้นพบมาก่อนแล้วโดยนักวิจัยอื่นทำให้ไม่สามารถจ่ายรางวัลให้กับ Kugler ได้เพราะจะจ่ายให้กับผู้พบคนแรกเท่านั้น

Paypal ระบุว่ากรณีนี้ทำให้บริษัทได้เรียนรู้ว่าต้องมีกระบวนการรองรับในกรณีที่ผู้พบปัญหาเป็นผู้มีอายุน้อยกว่าในเงื่อนไข และกำลังส่งจดหมายอย่างเป็นทางการไปยัง Kugler เพื่อแสดงการยอมรับว่าเขาเป็นผู้หนึ่งที่แสดงปัญหาให้ Paypal ได้รับรู้

Paypal ไม่เปิดเผยว่ามีบั๊กใดได้รับแจ้งผ่านทางโครงการแจกรางวัลนี้แล้วบ้าง และไม่เปิดเผยรายชื่อผู้ได้รับรางวัลจากโครงการนี้

ที่มา - The Register

Tags:
Drupal

เว็บไซต์ Drupal.org ที่เป็นชุมชนนักพัฒนา Drupal ถูกแฮกเกอร์เจาะเข้าไปอ่านฐานข้อมูลชื่อผู้ใช้, อีเมล, ประเทศ, และรหัสผ่านที่แฮชแล้วออกมาทั้งหมด ทีมงานกำลังสอบสวนว่ามีข้อมูลอื่นหลุดไปหรือไม่ แต่ขณะนี้ผู้ใช้ทุกคนจะต้องรีเซ็ตรหัสผ่านใหม่ทันทีที่ล็อกอิน

รหัสผ่านบน Drupal.org ทั้งหมดเข้ารหัสแบบแฮชและมีการเติมค่า salt เพื่อป้องกันการย้อนกลับรหัสผ่าน แต่มีรหัสผ่านในบัญชีเก่าอาจจะไม่มีค่า salt ผู้ใช้ที่ใช้รหัสซ้ำกับบริการอื่นจึงควรเปลี่ยนรหัสบนบริการอื่นด้วยเพื่อความปลอดภัย (และควรฝึกเลิกใช้รหัสซ้ำกันไปพร้อมกัน)

ทีมงานระบุว่าช่องโหว่เกิดจากเครื่องมือของผู้ให้บริการรายอื่นทำให้แฮกเกอร์สามารถเข้าถึงฐานข้อมูลได้ ไม่ได้เข้ามาทางช่องโหว่ของ Drupal เองแต่อย่างใด

ที่มา - Drupal.org