Tags:
Heartbleed

OpenSSH เริ่มคอมไพล์โดยไม่มี OpenSSL ได้แล้วในรุ่นล่าสุดที่เพิ่งส่งโค้ดเข้าโครงการเมื่อวันที่ 29 เมษายนที่ผ่านมา อย่างไรก็ดีเพื่อคอมไพล์โดยไม่ใช้ OpenSSL จะทำให้กระบวนการเข้ารหัสลดลงเหลือเพียงไม่กี่รูปแบบเท่านั้น

กระบวนการเข้ารหัสที่รองรับหากไม่คอมไพล์กับ OpenSSL ได้แก่ AES-CTR, ChaCha + Poly1305 และกระบวนการแลกกุญแจจะเหลือเพียง ECDH/Curve25519 เท่านั้น

การลดกระบวนการเข้ารหัสที่รองรับเช่นนี้ทำให้ OpenSSH ที่คอมไพล์รูปแบบนี้อาจทำงานเข้ากับเครื่องอื่นๆ ที่รองรับกระบวนการเข้ารหัสไม่ตรงกัน แต่การทดสอบการใช้งานโดยไม่มี OpenSSL ก็เปิดทางให้นักพัฒนาสามารถเพิ่มกระบวนการเข้ารหัสอื่นๆ เข้าไปยัง OpenSSH โดยตรงโดยไม่ต้องมี OpenSSL อนาคตอาจจะมีนักพัฒนาสนใจพอร์ตกระบวนการเข้ารหัสอื่นๆ มาใส่ใน OpenSSH โดยตรง แต่สำหรับคนใช้งานทั่วที่ใช้ผ่านดิสโทร์ต่างๆ ตัวดิสโทร์คงไม่นิยมคอมไพล์โดยไม่มี OpenSSL นัก

โครงการ OpenSSH ดูแลโดย OpenBSD ที่เพิ่งประกาศแยกโครงการ LibreSSL ของตัวเองออกมาจาก OpenSSL

ที่มา - gmane.os.openbsd.cvs

Tags:
Bitly

Bitly บริการย่อ URL ชื่อดัง ออกมาประกาศว่าถูกแฮ็ก แต่ยังไม่ทราบรายละเอียดว่ามีข้อมูลของผู้ใช้ถูกเจาะออกไปด้วยหรือไม่

Bitly จึงใช้มาตรการความปลอดภัยเบื้องต้นคือถอดการเชื่อมต่อบัญชีผู้ใช้กับ Facebook/Twitter ทั้งหมด ซึ่งผู้ใช้สามารถเชื่อมกลับคืนได้

นอกจากนี้ Bitly ยังขอให้ผู้ใช้ทุกคนรีเซ็ตรหัสผ่าน และถ้าใช้ API key หรือ OAuth token เชื่อมต่อกับบริการอื่น ก็ขอให้เปลี่ยนไปใช้ key/token ตัวใหม่ วิธีการสามารถอ่านได้ตามลิงก์

ที่มา - Bitly Blog

Tags:

เอกสารงานวิจัยที่เพิ่งได้รับการเผยแพร่ใหม่ระบุว่า ภาพถ่ายดิจิทัลแต่ละภาพมีลักษณะเฉพาะซึ่งรวมถึงรูปแบบของ noise ที่เกิดในภาพแตกต่างกันออกไป ซึ่งอาจทำให้ระบุได้ว่าภาพถ่ายนั้นถูกถ่ายโดยใคร และงานวิจัยนี้อาจเป็นประโยชน์ต่องานสืบสวนหาผู้กระทำผิด (เช่น ถ่ายภาพอนาจารเด็ก, ขโมยสมาร์ทโฟนแล้วมาใช้งานถ่ายภาพ) ในอนาคต

งานวิจัยนี้เป็นผลงานของ Riccardo Satta และ Pasquale Stirparo ซึ่งเป็นนักวิจัยจากสถาบันเพื่อการป้องกันและความปลอดภัยพลเมืองของคณะกรรมการยุโรป มีเนื้อหาเกี่ยวกับการศึกษาลักษณะเฉพาะของภาพถ่ายดิจิทัล โดยระบุว่าภาพที่ถูกถ่ายมาจากอุปกรณ์ตัวเดียวกัน จะมีลักษณะเฉพาะซึ่งรวมถึงรูปแบบของ noise เกิดขึ้นในรูปแบบเดียวกันในทุกภาพ ทว่าภาพที่ถ่ายมาจากอุปกรณ์ต่างชิ้นกันจะมีลักษณะดังกล่าวแตกต่างกัน

ทีมวิจัยได้ทดลองรวบรวมข้อมูลภาพถ่ายจากเครือข่ายสังคมออนไลน์อย่าง Facebook, Google+, Tumblr, Flickr รวมถึงบล็อกต่างๆ และทำการจับคู่ภาพถ่ายที่มีลักษณะเฉพาะแบบเดียวกันเพื่อระบุตัวผู้ถ่ายภาพ ผลการทดสอบมีความถูกต้องราว 56%

แม้ว่าผลการทดสอบที่ออกมายังถือว่าการระบุผู้ถ่ายภาพจากภาพถ่ายยังไม่แม่นยำนัก แต่ผู้วิจัยก็มองว่าอย่างน้อยเทคนิคนี้ก็ยังคงเป็นประโยชน์สำหรับงานสืบสวนหาผู้กระทำผิดบนอินเทอร์เน็ตได้โดยการจำกัดวงผู้ต้องสงสัยให้แคบลง ซึ่งก็ถือว่ายังดีกว่าการสุ่มไล่ตรวจสอบรายละเอียดข้อมูลของทุกคนบนอินเทอร์เน็ต

ที่มา - The Verge, เอกสารงานวิจัย

Tags:
Chrome

Chrome รุ่น Canary มีความสามารถ "origin chip" ให้เลือกเปิดมาทดสอบการใช้งานได้ โดยหลังจากเปิดใช้งานแล้ว Omnibox ที่เคยแสดง URL จะแสดงเฉพาะชื่อโดเมนเท่านั้น ไม่แสดง URL เต็มอีกต่อไป ในส่วนกล่องจะอินพุตจะใช้เพื่อค้นหาหรือใส่ URL ใหม่เท่านั้น

เหตุผลของแนวทางนี้คือความปลอดภัยของผู้ใช้เวลาเจอกับเว็บฟิชชิ่ง (phishing) เทคนิคการปลอม URL แบบหนึ่งคือการสร้าง subdomain ที่หน้าตาเหมือนโดเมนที่จะปลอม ทำให้ผู้ใช้ที่ไม่ทันระวังเผลอเข้าใช้งานเว็บปลอม

เนื่องจาก origin chip จะไม่แสดง URL เต็มอีกต่อไป แต่แสดงโดเมนอย่างชัดเจน ผู้ใช้จะสามารถสังเกตได้ทันทีว่าโดเมนที่ใช้งานเปลี่ยนไป สำหรับการคัดลอก URL เต็ม ผู้ใช้จะต้องคลิกที่ตัว origin chip ก่อนจึงจะคัดลอกไปได้

ฟีเจอร์นี้ยังเป็นฟีเจอร์ทดสอบเท่านั้น การออกแบบยังไม่เสร็จและยังไม่ได้เปิดใช้งานเป็นมาตรฐาน ที่ผ่านมาเคยมีฟีเจอร์คล้ายกันถูกยกเลิกการพัฒนาไปบ้าง อย่างไรก็ดีแนวทางการออกแบบนี้ Safari บน iOS 7 ใช้งานมาก่อนแล้ว

ที่มา - The Register, Jake Archibald

Tags:
Target

ปัญหาห้าง Target ถูกเจาะจนข้อมูลบัตรเครดิตรั่วจำนวนมาก ส่งผลให้ ซีอีโอ Gregg Steinhafel และซีไอโอ (Chief Information Officer - CIO) ของห้าง คือ Beth M. Jacob ต้องยื่นใบลาออกจากบริษัทแล้ว โดยตอนนี้จะหาผู้บริหารคนนอกมานั่งแทนชั่วคราว พร้อมกับเตรียมยกเครื่องระบบรักษาความปลอดภัยข้อมูลลูกค้าเสียใหม่

ซีอีโอ Steinhafel ทำงานห้าง Target มานานถึง 35 ปี เขานั่งสามตำแหน่งพร้อมกันได้แก่ ประธานบอร์ดบริหาร, ประธานบริษัท, และซีอีโอ โดยการลาออกครั้งนี้จะลาออกจากทุกตำแหน่งพร้อมกัน โดยตำแหน่งซีอีโอจะให้หัวหน้าฝ่ายการเงิน (CFO) John Mulligan เข้ามาดูแลชั่วคราว

Jacob ไม่มีประวัติการศึกษาทางด้านคอมพิวเตอร์โดยตรง แต่จบปริญญาโทด้านการบริหารธุรกิจ เข้ามาดูแลระบบคอลเซ็นเตอร์ในปี 2002 เลื่อนเป็นซีไอโอตั้งแต่ปี 2008 ปกติ Target มักเลื่อนตำแหน่งคนในขึ้นมาเป็นผู้บริหาร แต่ในกรณีนี้บริษัทระบุชัดเจนว่าจะหาคนนอกเข้ามา อีกตำแหน่งหนึ่งที่โดนปรับพร้อมกับคือ ซีซีโอ (Chief Compliance Officer - CCO) ผู้ดูแลมาตรฐานการทำงานและความเสี่ยงต่างๆ ของบริษัทที่ผู้บริหารคนปัจจุบันกำลังเกษียณอายุ ก็จะปรับแยกออกเป็นสองตำแหน่ง

นอกจากเปลี่ยนตัวผู้บริหารแล้ว Target ระบุว่าจะตั้งตำแหน่งระดับสูงสำหรับดูแลความปลอดภัยของเว็บเป็นการเฉพาะ

ปัญหาข้อมูลบัตรเครดิตรั่วของห้าง Target ถูกเปิดเผยออกมาช่วงปลายปีพอดี ทำให้ผลกำไรไตรมาสสุดท้ายลดลงถึง 46% เทียบกับช่วงเดียวกันของปีที่แล้ว และตอนนี้ปัญหาทำให้มีค่าใช้จ่ายไปแล้ว 61 ล้านดอลลาร์ ขณะที่บริษัทคาดว่าจะได้รับเงินประกัน 44 ล้านดอลลาร์

ที่มา - Target, New York Times

Tags:
OAuth

Wang Jing นักศึกษาปริญญาเอกจาก Nanyang Technology University ในสิงคโปร์ ประกาศค้นพบช่องโหว่ในระบบล็อกอิน OAuth 2.0 และ OpenID ที่ส่งผลกระทบต่อเว็บไซต์ชื่อดังเป็นจำนวนมาก

Jing เรียกช่องโหว่นี้ว่า "Covert Redirect" เพราะมันอาศัยการที่ระบบล็อกอินทั้งสองตัวจะยืนยันตัวตนผู้ใช้แล้ว redirect ไปยังเว็บไซต์ปลายทาง แต่กลับไม่ตรวจสอบเว็บไซต์ปลายทางให้ดีก่อน จึงอาจถูกใช้ในการปลอม redirect ไปยังเว็บไซต์ของผู้โจมตีแทนได้ (และเว็บไซต์ที่โจมตีจะได้ข้อมูลส่วนตัวจากเว็บไซต์ต้นทางไป แล้วแต่สิทธิที่ผู้ใช้อนุญาตให้)

ทางแก้ไขช่องโหว่นี้คือเว็บไซต์ที่เปิดให้ล็อกอินผ่าน OAuth/OpenID เช่น Facebook, Google, LinkedIn จะต้องเพิ่มมาตรการตรวจสอบเว็บไซต์ปลายทางด้วยวิธีการ whitelist ซึ่งตอนนี้เว็บไซต์ชื่อดังหลายแห่งก็ได้รับข้อมูลช่องโหว่โดยละเอียดจาก Jing แล้ว และกำลังสอบสวนหรือหามาตรการแก้ไขอยู่ เช่น LinkedIn ประกาศให้เว็บปลายทางที่อยากล็อกอินผ่านตัวเองต้องลงทะเบียนใน whitelist เสมอ

Jing ไม่ได้เผยข้อมูลรายละเอียดของช่องโหว่นี้ต่อสาธารณะ แต่ผู้เชี่ยวชาญความปลอดภัยหลายๆ คนเห็นรายละเอียดแล้วก็ลงความเห็นว่าเป็นช่องโหว่จริงๆ ที่ส่งผลกระทบในวงกว้าง แม้จะไม่เท่ากับปัญหา Heartbleed ก็ตาม

ที่มา - Wang Jing, CNET

Tags:
iOS

ฟีเจอร์สำคัญของ iOS นับแต่เวอร์ชั่น 4.0 เป็นต้นมาคือไอโฟนมีฮาร์ดแวร์สำหรับเข้ารหัสมาโดยเฉพาะ ระบบป้องกันข้อมูลจะเข้ารหัสไฟล์แนบของอีเมล และข้อมูลของแอพพลิเคชั่นอื่นๆ แต่ใน iOS 7.1.1 แอปเปิลกลับเลิกใช้กระบวนการเข้ารหัสนี้เสียดื้อๆ

ก่อนหน้านี้แฮกเกอร์อ่านไฟล์อีเมลในไอโฟนได้ยากมากเพราะไฟล์ถูกเข้ารหัสโดยผูกกับ passcode ของเครื่อง แต่หลังจากแอปเปิลเลิกเข้ารหัส หากแฮกเกอร์ได้ไอโฟนไปจะสามารถเปิดไฟล์แนบของอีเมลออกมาอ่านได้โดยง่าย

นักวิจัยความปลอดภัย Andreas Kurtz เป็นผู้พบปัญหานี้ เขารายงานปัญหานี้กับแอปเปิลโดยทางแอปเปิลตอบกลับมาว่ารับรู้ปัญหานี้แล้ว

ที่มา - Andreas Kurtz, The Hacker News

Tags:
IETF

มาตรฐาน TLS 1.3 มีข้อเสนอที่ได้รับเสียงสนับสนุนในการประชุมครั้งที่ผ่านมา (IETF 89) ว่าจะเริ่มถอดกระบวนการเข้ารหัสที่ไม่รับประกันความเป็นความลับในอนาคต (forward secrecy) ออกจากมาตรฐาน ได้แก่การแลกกุญแจลับแบบ RSA

ภายใต้มาตรฐานรุ่นใหม่หากประกาศใช้จริงจะทำให้การเชื่อมต่อ TLS 1.3 จะต้องแลกกุญแจเชื่อมต่อแบบกุญแจสมมาตรด้วยกระบวนการ DH, ECDH, DHE, หรือ ECDHE เท่านั้น ตอนนี้ดูแพตซ์ร่างมาตรฐานที่ถอดกระบวนการแลกกุญแจได้ใน GitHub แพตซ์นี้ยังไม่ได้รับการรวมเข้าในร่างมาตรฐานตัวหลัก และหลักจากมีการเสนอเข้ามา (โดยอ้างเสียงสนับสนุนในที่ประชุม) ก็มีการโต้แย้งกันจำนวนมากว่าควรจะ "ลดฟีเจอร์" ของมาตรฐานลงหรือไม่

การรับประกันความเป็นความลับในอนาคตจะทำให้แฮกเกอร์ที่สามารถดักฟังการเชื่อมต่อไว้ล่วงหน้า และไปแฮกเอากุญแจลับ RSA มาได้ในภายหลัก เช่นการเจาะผ่านบั๊ก Heartbleed ไม่สามารถถอดรหัสข้อมูลกลับออกมาได้ กระบวนการแลกกุญแจแบบไม่รับประกันความเป็นความลับในอนาคตสามารถใช้กุญแจลับมาถอดรหัสออกได้ทั้งหมด เช่นใน Wireshark โปรแกรมดักข้อมูลยอดนิยมนั้นมีฟีเจอร์นี้ในตัว ให้เราใส่กุญแจลับเพื่อถอดรหัสข้อมูลออกมาได้

ที่มา - เมลลิ่งลิสต์กลุ่ม TLS ของ IETF

Tags:
Internet Explorer

เมื่อไม่กี่วันนี้เพิ่งมีข่าว อันตรายร้ายแรง! แจ้งเตือนช่องโหว่ IE กระทบทุกเวอร์ชันและทุกรุ่นของวินโดวส์ ล่าสุดไมโครซอฟท์ออกแพตช์แก้แล้ว ผู้ใช้วินโดวส์สามารถอัพเดตได้ผ่านกระบวนการของ Windows Update ตามปกติ

ไมโครซอฟท์ยังประกาศว่าบั๊กนี้เป็นกรณีพิเศษที่จะออกแพตช์ให้กับผู้ใช้ Windows XP ด้วย แม้ XP จะหมดระยะการสนับสนุนไปแล้วก็ตาม

ส่วนผู้ใช้ Windows 7 จำเป็นต้องติดตั้ง IE11 Update ก่อน ถ้าไม่ติดตั้งแล้วอัพเดตแพตช์ตัวนี้จะทำให้ IE แครชได้ครับ

ที่มา - Technet, PC Mag

Tags:

หนึ่งในวัตถุประสงค์ของการพัฒนาเทคโนโลยีเพื่อบ้านอัจฉริยะที่นอกเหนือไปจากการอำนวยความสะดวกในการใช้ชีวิตประจำวันแล้ว ก็เพื่อเพิ่มความปลอดภัยให้แก่ผู้อยู่อาศัยภายในบ้าน และ Chui กริ่งประตูหน้าบ้านอัจฉริยะก็ได้รับการพัฒนามาเพื่อการนี้เช่นกัน

Chui เป็นผลงานการพัฒนาของบริษัท 214 Technologies ซึ่งมันคือกริ่งหน้าบ้านที่มีกล้องตรวจจับใบหน้าอยู่ภายในตัวของมันเอง เมื่อผู้มาเยือนเอานิ้วกดบริเวณช่องกดกริ่งที่ตัว Chui ตัวกล้องภายในตัว Chui ก็จะตรวจจับใบหน้าของผู้มาเยือนและส่งการแจ้งเตือนไปยังหน้าจอสมาร์ทโฟนของผู้ใช้ที่เป็นเจ้าของบ้าน

ผู้ใช้สามารถบันทึกใบหน้าของแขกไว้ในรายชื่อผู้ที่ได้รับอนุญาตให้เข้าบ้านเอาไว้ได้ ซึ่งหากมีการต่อ Chui เอาไว้กับระบบล็อกประตู มันก็จะสามารถปลดล็อกและอนุญาตให้บุคคลที่อยู่ในรายชื่อนั้นผ่านไปได้โดยอัตโนมัติ ในทางกลับกันผู้ใช้สามารถบันทึกใบหน้าของแขกไม่พึงประสงค์ไว้ในบัญชีดำได้ด้วยเช่นกัน ซึ่งผู้ที่อยู่ในรายชื่อกลุ่มนี้ก็จะไม่ได้อนุญาตให้ผ่านประตูเข้าไปนั่นเอง ส่วนในกรณีที่ผู้มาเยือนไม่ได้อยู่ในรายชื่อใด Chui จะส่งการแจ้งเตือนไปยังสมาร์ทโฟนของผู้ใช้ ซึ่งผู้ใช้สามารถสั่งเปิดระบบสนทนาผ่านวิดีโอได้ ก่อนจะตัดสินใจต่อไปว่าจะอนุญาตให้อาคันตุกะเข้ามาในบ้านตนเองหรือไม่

Tags:
Flash

นักวิจัยจาก Kaspersky Lab ได้ตรวจพบช่องโหว่บน Flash Player ที่มีความร้ายแรง โค้ด CVE-2014-0515 ซึ่งช่องโหว่นี้อยู่ในส่วน Pixel Blender ที่ออกแบบมาในการประมวลผลภาพและวิดีโอ โดยผู้บุกรุกสามารถใช้ช่องโหว่นี้เข้าควบคุมเครื่องระยะไกลได้

ช่องโหว่นี้จะมีผลกระทบกับผู้ใช้ Flash Player บน Mac เวอร์ชัน 13.0.0.201 และเก่ากว่า, บน Windows เวอร์ชัน 13.0.0.182 และเก่ากว่า และบน Linux เวอร์ชัน 11.2.202.350 และเก่ากว่า

สำหรับผู้ที่อยู่ในกลุ่มเสี่ยง Adobe แนะนำให้อัพเดตทันที โดยผู้ใช้ Chrome/IE11/Windows/Mac จะได้อัพเดตเวอร์ชัน 13.0.0.206 (Chrome และ IE11 อัพเดตอัตโนมัติ) และผู้ใช้ Linux จะได้อัพเดตเวอร์ชัน 11.2.202.356 ส่วนผู้ที่ต้องดาวน์โหลดเองเชิญที่ Adobe Flash Player Download ได้เลยครับ

ที่มา - Apple Insider, Adobe

Tags:

ความเชื่อใจในความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ที่เลียนแบบมาจากโลกความเป็นจริงอย่างสุดท้าย นั่นคือการทำสัญญา ในโลกความเป็นจริงคนเราทำสัญญากันทุกวันตลอดเวลา เมื่อเราสั่งสินค้ากับแม่ครัวในร้านอาหาร แม่ค้าต้องนำอาหารที่เราสั่งมาเสิร์ฟให้อย่างถูกต้อง เมื่อเราทานแล้วเราต้องจ่ายเงินตามค่าอาหารที่ระบุไว้ หากแม่ครัวทำอาหารมาผิด เรามีสิทธิที่จะปฎิเสธไม่รับอาหาร และไม่จ่ายเงินค่าอาหารนั้นๆ

Tags:

การรักษาความปลอดภัยของบ้านพักอาศัยในปัจจุบันนั้นมีช่องทางและเครื่องมือที่ช่วยให้เราดูแลบ้านในยามที่เราอยู่ข้างนอกได้ง่ายขึ้น และหนึ่งในทางเลือกสำหรับระบบเซ็นเซอร์ภายในบ้านก็รวม Korner เอาไว้ด้วย มันคือเซ็นเซอร์ตรวจจับผู้บุกรุกผ่านทางประตูหรือหน้าต่างที่สามารถส่งสัญญาณเตือนเจ้าของบ้านได้ผ่านทางสมาร์ทโฟน

Korner เป็นโครงการระดมเงินทุนผ่าน Indiegogo เพื่อสร้างเซ็นเซอร์สำหรับใช้ติดตั้งบริเวณมุมของบานประตูหรือบานหน้าต่าง มาพร้อมตัวรับสัญญาณอีก 1 ชิ้นไว้ทำงานคู่กัน

การใช้งานนั้นก็ไม่ยาก ผู้พัฒนาอ้างว่าใช้เวลาในการติดตั้งอุปกรณ์ไม่ถึง 2 นาที เพียงแค่เสียบครื่องรับสัญญาณเข้ากับเราท์เตอร์เพื่อให้อุปกรณ์เชื่อมต่อกับอินเทอร์เน็ตได้ จากนั้นติดเซ็นเซอร์ Korner เข้าที่บริเวณมุมของบานประตูหรือบานหน้าต่างที่เราต้องการตรวจจับผู้บุกรุก แล้วติดตั้งแอพของ Korner ในสมาร์ทโฟนก็เป็นอันเสร็จ โดยไม่มีการคิดค่าบริการรายเดือนหรือรายปี (อย่างที่แอพอื่นอาจจะมี) แต่อย่างใด

Tags:
Internet Explorer

ทีมนักวิจัยจาก FireEye ได้ประกาศการค้นพบช่องโหว่ใหม่ของ IE ในรหัส CVE-2014-1776 ซึ่งส่งผลกระทบในทุกๆ เวอร์ชันของ IE โดยช่องโหว่นี้สามารถทำให้แฮกเกอร์สามารถโจมตีผู้ใช้โดยการสั่งรันคำสั่งอันตรายได้จากระยะไกล ยกระดับสิทธิ์ และควบคุมเครื่องของเหยื่อได้อย่างสมบูรณ์

แฮกเกอร์จะใช้วิธีในการสร้างหน้าเว็บไซต์ปลอมที่ฝังโค้ดสำหรับโจมตีช่องโหว่ไว้ เมื่อผู้ใช้งานคลิกเข้าไปดูก็จะถูกโจมตีในทันที ดังนั้นขอให้ผู้ใช้งานระวังการคลิกลิงก์แปลกๆ ที่อาจส่งมาทางเครือข่ายสังคมออนไลน์หรืออีเมลด้วย

รายละเอียดเชิงลึกของช่องโหว่นี้ เป็นช่องโหว่ที่เกิดขึ้นเมื่อ IE ทำการเข้าถึงพื้นที่หรือออบเจ็กต์ในหน่วยความจำที่ไม่มีอยู่จริง (use-after-free) ซึ่งเกิดขึ้นได้จากการถูก free ไปแล้ว ทำให้เกิดเป็นพื้นที่หน่วยความจำว่างๆ หลังจากนั้นอาจมีการใช้ช่องโหว่ของแฟลชในการเข้าถึงหน่วยความจำและข้ามผ่านการทำงานของฟังก์ชัน DEP และ ASLR การโจมตีจะสำเร็จได้ขึ้นอยู่กับสองปัจจัยคือแฮกเกอร์สามารถรันคำสั่งได้ รวมไปถึงมีการใช้ vector markup language (VML) และแฟลชอยู่

การโจมตีนี้สามารถป้องกันได้หากมีการเปิดใช้งาน EMET หรือมีการปิดการทำงานของ VML และแฟลชใน IE ไว้ ขั้นตอนในการป้องกันจากการถูกโจมตี รายละเอียดของช่องโหว่ และรุ่นของวินโดวส์ที่ได้รับผลกระทบสามารถอ่านได้จากประกาศนี้

ที่มา - FireEye

Tags:
Symantec

ปกติแล้ว Symantec ซึ่งเป็นบริษัทที่ทำผลิตภัณฑ์เกี่ยวกับความปลอดภัยบนคอมพิวเตอร์ จะเผยแพร่รายงานฉบับหนึ่งที่รู้จักกันในชื่อว่า ISTR (ย่อมาจาก Internet Security Threat Report) หรือในภาษาไทยคือ รายงานภัยคุกคามด้านความปลอดภัยบนอินเทอร์เน็ต (ในข่าวจะขอใช้ตัวย่อภาษาอังกฤษ เพื่อความกระชับ) โดยจะรวบรวมเกี่ยวกับแนวโน้มและภัยคุกคามที่เกี่ยวเนื่องกับความปลอดภัยในโลกอินเทอร์เน็ตตลอดปีที่ผ่านมา และจะเผยแพร่ในทุกช่วงต้นปีถัดมาให้กับสาธารณชนรับทราบ ซึ่งทำมาอย่างต่อเนื่องจนถึงปีนี้ ซึ่งเป็นปีที่ 19 แล้ว

สำหรับในไทยเอง มีการแถลงรายงานฉบับนี้อย่างเป็นทางการเมื่อวันพุธที่ผ่านมา โดยจัดขึ้นที่โรงแรมเดอะ เซนต์ รีจิส ถนนราชดำริ ซึ่งผมมีโอกาสไปเก็บข้อมูลที่น่าสนใจมาฝากผู้อ่านทุกท่านครับ

Tags:
FBI

ย้อนกลับไปเมื่อช่วงต้นปี 2012 กลุ่มแฮกเกอร์ LulzSec ได้ถูกจับกุมโดย FBI และมีการเปิดเผยว่าสาเหตุของการจับกุมในครั้งนั้นเกิดจากการทรยศของ Hector Xavier Monsegur หรือ Sabu ซึ่งเป็นผู้นำของ LulzSec เอง ล่าสุดทาง New York Times ได้รับเอกสารซึ่งอ้างว่า FBI มีส่วนรู้เห็นกับการโจมตีบางปฏิบัติการของ Sabu และ LulzSec มาตั้งแต่ต้น

เป้าหมายของ LulzSec ในตอนนั้นนอกจากเว็บไซต์ยักษ์ใหญ่อย่าง MasterCard หรือ PayPal แล้ว ยังมีเว็บไซต์ของรัฐบาลอิหร่าน, ซีเรีย และบราซิลอีกด้วย เอกสารดังกล่าวอ้างว่าข้อมูลที่ได้จากการแฮกนั้นอาจถูกส่งต่อและใช้โดยหน่วยข่าวกรองสหรัฐผ่านทาง FBI เอง แฮกเกอร์ Jeremy Hammond หรือ Anarchos ซึ่งถูกจับจากการซัดทอดโดย Sabu ได้ให้สัมภาษณ์ว่า เขาและ Sabu ได้ทำการเจาะโดยใช้ช่องโหว่ของ Plesk (CVE-2012-1557) ที่ได้รับมาจากแฮกเกอร์คนอื่นอีกต่อนึง และ Sabu ก็เป็นคนให้รายชื่อของเว็บไซต์เป้าหมายเพื่อให้เขาแฮกเอง

ช่องโหว่ของ Plesk เคยถูกใช้มาแล้วโดยแฮกเกอร์ซึ่งอ้างว่ามาจาก Anonymous เพื่อแฮกเว็บไซต์ของคณะกรรมาธิการการค้าแห่งชาติหรือ FTC ในปี 2012 ช่องโหว่นี้ไม่เคยถูกเปิดเผยออกมาภายนอกเลยจนกระทั่งมีการปล่อยแพตซ์ หมายความว่า FBI อาจรู้จักช่องโหว่นี้อยู่แล้วก่อนถูกประกาศออกมา

ที่มา - Ars Technica

Tags:

ปัญหา Heartbleed ที่ส่งผลกระทบและสร้างความเสียหายมหาศาล มีเหตุผลหนึ่งที่ปัญหานี้อยู่มานานคือโครงการต้นน้ำอย่าง OpenSSL นั้นมีทุนดำเนินการไม่มากนัก นักพัฒนาส่วนมากเป็นนักพัฒนาอาสาสมัคร ตอนนี้บริษัทไอทีขนาดใหญ่ที่ใช้งานซอฟต์แวร์โอเพนซอร์สตระหนักกันแล้วว่าการปล่อยให้โครงการต้นน้ำมีปัญหาทางการเงินนั้นส่งผลเสียได้อย่างไร ก็ได้เวลาตั้งกองทุนที่ชื่อว่า Core Infrastructure Initiative

โครงการนี้จะให้ทุนแก่โครงการโอเพนซอร์สเพื่อจ้างนักพัฒนาหลักให้หันมาพัฒนาโอเพนซอร์สเต็มเวลา, จ้างตรวจสอบความปลอดภัยโค้ด (ก่อนหน้านี้มีการระดมทุนตรวจสอบความปลอดภัย Cryptocat), โครงการพื้นฐานและระบบทดสอบ, ค่าเดินทาง, ค่าร่วมประชุม, และความช่วยเหลืออื่นๆ

บริษัทที่ร่วมในโครงการนี้ได้แก่ Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace, และ VMware โดยตอนนี้จะมีโครงการเดียวที่ได้รับความช่วยเหลือคือ OpenSSL แต่อาจจะมีโครงการอื่นๆ โดยไม่จำเป็นว่าต้องเป็นโครงการด้านความปลอดภัยเสมอไป

พนักงานจำนวนหนึ่งต้องทำงานเป็นที่ปรึกษาให้กับลูกค้าของ OpenSSL Foundation โดยคิดค่าที่ปรึกษาชั่วโมงละ 250 ดอลลาร์ ตอนนี้มีพนักงานที่ทำงานเต็มเวลาให้กับโครงการ OpenSSL จริงๆ เพียงคนเดียวเท่านั้น โดยปกติทางโครงการได้รับเงินสนับสนุนจากรายย่อยปีละ 2,000 ดอลลาร์ แต่หลังจากเหตุการณ์ Heartbleed ก็ได้รับแล้วกว่า 9,000 ดอลลาร์

ที่มา - Core Infrastructure Initiative, Steve Marquess

Tags:
Viber

นักวิจัยจากมหาวิทยาลัย University of New Haven นาย Ibrahim Baggili และนาย Jason Moore ได้ทดลองใช้พีซี Windows 7 เป็นจุดปล่อยสัญญาณอินเทอร์เน็ตไร้สายโดยโทรศัพท์มือถือหนึ่งเครื่องใช้สัญญาณอินเทอร์เน็ตไร้สายที่ปล่อยมาจากจากพีซี Windows 7 และโทรศัพท์มือถืออีกเครื่องใช้สัญญาณจากเครือข่ายโทรศัพท์

นักวิจัยได้ทดลองส่งรูปภาพหรือตำแหน่งบนแผนที่ผ่านแอพ Viber แล้วใช้โปรแกรม NetworkMiner 1.5 ดักจับข้อมูล พบว่ารูปภาพที่ส่งออกไปนั้นเป็นแบบสาธารณะ (public) บนเซิร์ฟเวอร์ของ Viber ซึ่งใครที่มีลิงก์สามารถเข้าถึงรูปภาพได้ทันที

นักวิจัยยังพบอีกว่า Viber จะเก็บรูปภาพหรือวิดีโอเป็นแบบสาธารณะบนเซิร์ฟเวอร์อีกอย่างน้อยหนึ่งสัปดาห์ ซึ่งทาง CNET ได้ติดต่อ Viber แล้ว ทาง Viber ก็ได้บอกว่า "ปัญหานี้จะได้รับการแก้ไขเร็วๆ นี้"

ที่มา : CNET

Tags:

TrueCrypt ซึ่งรู้จักกันในฐานะโปรแกรมโอเพนซอร์สที่ใช้ในการสร้างไดรฟ์เข้ารหัสเสมือนจริง, เข้ารหัสพาร์ติชัน และเข้ารหัสอุปกรณ์จัดเก็บข้อมูลเริ่มเข้ารับการตรวจสอบซอร์สโค้ดแล้ว หลังจากมีการเปิดโครงการ The TrueCrypt Audit Project ขึ้นเพื่อระดมทุนในปี 2013

เป้าหมายของการตรวจสอบครั้งนี้นั้นคือการตรวจสอบสถานะของใบอนุญาต เนื่องจาก TrueCrypt ยังไม่ได้ถูกจัดอยู่ในกลุ่มโปรแกรมโอเพนซอร์สอย่างแท้จริงเพราะไม่ได้ตาม GPL, ตรวจสอบและปรับปรุงขั้นตอนการสร้างไบนารีเพื่อให้แน่ใจว่าไม่มีการพยายามสอดแทรกโค้ดอันตรายใดๆ ลงไป รวมไปถึงการตรวจสอบซอร์สโค้ดเพื่อหาช่องโหว่ การตรวจสอบนี้จะทำโดยนักวิทยาการการเข้ารหัสจาก Open Crypto Audit Project ได้แก่ Kenneth White และ Matthew Green อีกทั้งยังเปิดโครงการ Bug bounty ให้คนภายนอกได้ร่วมตรวจสอบด้วย

Tags:
Heartbleed

ปัญหา Heartbleed สร้างความไม่พอใจให้กับ Theo de Raadt อย่างมากตั้งแต่วันแรกๆ เขาระบุว่าปัญหา Heartbleed จะไม่รุนแรงเท่านี้หากทีมงาน OpenSSL ออปติไมซ์ประสิทธิภาพอย่างรับผิดชอบ ไม่ข้ามกระบวนการรักษาความปลอดภัยของระบบปฎิบัติการไปจัดการเอง ช่วงไม่กี่วันมานี้ OpenBSD ก็เริ่มเข้าล้างบางโค้ด OpenSSL เวอร์ชั่นของตัวเองอย่างหนัก โดยลบโค้ดสำหรับแพลตฟอร์มอื่นออกไป และปรับแก้สไตล์โค้ดจำนวนมาก ตอนนี้โครงการนี้ได้ชื่อว่า LibreSSL

OpenSSL ระบุในคอมเมนต์ว่าที่ไม่ยอมใช้ malloc และ free โดยตรงเพราะบางแพลตฟอร์ม ฟังก์ชั่น malloc มีประสิทธิภาพแย่ ทาง OpenBSD แก้ปัญหาด้วยการลบโค้ดสำหรับแพลตฟอร์มเก่าๆ ออกไป ตอนนี้โครงการ LibreSSL รองรับเฉพาะ OpenBSD แต่ทางโครงการสัญญาว่าจะเริ่มซัพพอร์ตระบบปฏิบัติการอื่นๆ หากโครงการเริ่มเข้าที่และมีเงินทุนมากพอ

LibreSSL จะเริ่มใช้งานจริงครั้งแรกใน OpenBSD 5.6 (รุ่น 5.4 ออกเดือนพฤศจิกายน 2013 ส่วนรุ่น 5.5 จะออกเดือนพฤษภาคมนี้)

ที่มา - LibreSSL, Slashdot