Tags:
Skype

กระบวนการรวมบัญชีระหว่าง Skype และ MSN Messenger สร้างปัญหาใหญ่ เมื่อมีคนพบว่า ใครก็ตามที่สร้างบัญชีบน Skype โดยใช้อีเมลเป็น Hotmail สามารถขโมยบัญชีผู้ใช้ไปได้ด้วยการสั่งรีเซ็ตรหัสผ่าน

กระบวนการรีเซ็ตรหัสผ่านของ Skype แทนที่จะส่งลิงก์ไปยังอีเมลเหมือนบริการอื่นๆ กลับส่งไปที่แอพของ Skype เอง และเมื่อรีเซ็ตแล้วจะส่งผลทั้งอีเมลและ Skype

ไมโครซอฟท์ออกมาประกาศปิดกระบวนการรีเซ็ตรหัสผ่านออกไปชั่วคราว และกำลังติดต่อผู้ใช้ที่ได้รับผลกระทบจากปัญหานี้ทั้งหมด ที่ไมโครซอฟท์ระบุว่ามีจำนวน "ไม่มากนัก" (a small number)

อันนี้เป็นบทเรียนของการรวมบริการขนาดใหญ่ที่ซับซ้อนสองบริการเข้าด้วยกัน ว่าอาจจะมีปัญหาที่ไม่คาดคิด เช่นปัญหานี้คนทั่วไปอาจจะคิดว่าบริการส่วนใหญ่ก็มักรีเซ็ตรหัสผ่านด้วยการส่งอีเมลทั้งนั้น ทำให้ไม่ทันคิดถึงช่องโหว่ที่เกิดขึ้น

ที่มา - The Register

Tags:
Chrome

Chrome บนวินโดวส์และลินุกซ์ เริ่มเปลี่ยนการทำงานของปลั๊กอิน Flash Player ให้รันในโหมด sandbox ตั้งแต่เดือนสิงหาคมที่ผ่านมา (ข่าวเก่า: Flash บน Chrome ทำงานในโหมด sandbox แล้ว) ประโยชน์ของการทำงานแบบนี้ช่วยให้ระบบปลอดภัยมากขึ้น และลดการแครชของ Flash แล้วพาเบราว์เซอร์พังไปด้วย

ล่าสุดกูเกิลประกาศว่า Chrome บนแมคก็เริ่มใช้งาน Flash แบบ sandbox แล้วเช่นกัน ทำให้ตอนนี้ Chrome แบบเดสก์ท็อปบนระบบปฏิบัติการหลักทั้งสามตัวก็เปลี่ยนมารัน Flash ในโหมด sandbox ทั้งหมดแล้ว

ที่มา - Google Chrome Blog

Tags:
Windows Phone 8

นักวิจัยด้านความปลอดภัย Shantanu Gawde วัย 16 ปีชาวอินเดียได้อ้างว่า เขาได้ทำการพัฒนามัลแวร์ตัวแรกบน Windows Phone 8 สำเร็จแล้ว โดยมัลแวร์ตัวนี้มีความสามารถในการขโมยข้อมูลส่วนตัวของผู้ใช้งาน เช่น รายชื่อในสมุดโทรศัพท์, ข้อความ และสามารถอัพโหลดรูปภาพหรือข้อมูลจากอุปกรณ์ของเหยื่อได้ด้วย

จากการสัมภาษณ์ภายในงาน Malcon Security ทาง Gawde ยังไม่ได้เปิดเผยรายละเอียดใดๆ เกี่ยวกับมัลแวร์ตัวนี้มากนัก รวมถึงประเด็นเรื่องช่องโหว่ด้านความปลอดภัยใน Windows Phone 8 เมื่อปีที่แล้ว Gawd ได้เผยแพร่ผลงานมัลแวร์บน Kinect และเป็นบุคคลที่อายุน้อยที่สุดที่ได้รับ Microsoft Certified Application Developer อีกด้วย

ทางไมโครซอฟท์ยังไม่มีข้อมูลใดๆ เกี่ยวกับมัลแวร์ตัวนี้

ที่มา - SC Magazine

Tags:

คำเตือน: บทความในชุดการรักษาความปลอดภัยคอมพิวเตอร์ มีจุดประสงค์หลักเพื่อการศึกษา และการระมัดระวังของนักพัฒนา การทดสอบต้องทำในสภาพแวดล้อมปิดเท่านั้น (ตั้งเซิร์ฟเวอร์เฉพาะเอง ทดสอบเสร็จแล้วปิดบริการ) ห้ามทดสอบในเว็บจริงที่ให้บริการอยู่ หากผมทราบว่าสมาชิก Blognone มีการทดลอง โทษคือแบนถาวรอย่างเดียวไม่ว่าจะเกิดความเสียหายหรือไม่

ต่อจาก CSRF ปัญหาความปลอดภัยในเว็บที่พบได้มาก แต่ปัญหาอีกอย่างหนึ่งที่พบได้และมักมีอันตรายมากกว่าคือปัญหาความปลอดภัย Cross Site Scripting (XSS หรือบางครั้งเรียกว่า CSS) ที่เป็นช่องให้แฮกเกอร์สามารถนำสคริปต์อยากที่แฮกเกอร์ต้องการไปวางบนหน้าเว็บเป้าหมายได้

ปัญหา XSS เกิดจากเมื่อเว็บรับข้อมูลจากผู้ใช้โดยไม่มีการกรองสคริปต์ออกจากอินพุตของผู้ใช้ก่อน ไม่ว่าจะเป็นการรับผ่านยูอาร์แอล หรือจะรับผ่านแบบฟอร์มต่างๆ

Tags:

ความปลอดภัยคอมพิวเตอร์ในสมัยใหม่เปลี่ยนจากการโจมตีช่องโหว่ของบริการต่างๆ หรือบั๊กของซอฟต์แวร์โดยตรงมาเป็นการโจมตีจากกระบวนการตรวจสอบความปลอดภัยที่ตามไม่ทันกับรูปแบบการใช้งานที่หลากหลายขึ้นเรื่อยๆ เช่น การใช้งานเว็บยุคใหม่ที่มีความซับซ้อน มีการวางไฟล์จากเซิร์ฟเวอร์จำนวนมากเข้ามาแสดงผลบนหน้าเว็บเดียวกัน, มีการรันสคริปต์บนหน้าเว็บ, และมีการใช้งานเพื่อการทำงานสำคัญกว่าการเข้าอ่านเนื้อหาบนเว็บไปอีกมากมาย

การโจมตีเว็บสามารถถูกโจมตีจากช่องโหว่เช่น Buffer Overflow ได้เช่นเดียวกันกับซอฟต์แวร์ทุกตัวในโลก แต่ช่องโหว่ที่เฉพาะสำหรับเว็บนั้นมีอยู่จำนวนหนึ่ง นับแต่บั๊กที่เปิดให้ผู้ใช้อัพโหลดสคริปต์ขึ้นไปรันบนเว็บได้ด้วยตัวเอง ไปจนถึงการตรวจสอบสิทธิผู้ใช้ด้วยยูอาร์แอลเพียงอย่างเดียว ทำให้เมื่อผู้ใช้แชร์ยูอาร์แอลไป เกิดเหตุการณ์ข้อมูลส่วนตัวรั่วไปได้อย่างง่ายดาย

Tags:

แอปเปิลเพิ่งปล่อย QuickTime 7.7.3 เพื่ออุดช่องโหว่บน Windows ที่สำคัญ 9 จุด ที่ทำให้ผู้ไม่ประสงค์ดีสามารถโจมตีทำให้โปรแกรมแครชหรือรันโค้ดไม่พึงประสงค์บนเครื่องเหยื่อได้

ช่องโหว่เหล่านี้ มีทั้งปัญหาการจัดการหน่วยความจำ และ buffer overflow เมื่อเปิดไฟล์ PICT ปัญหาการใช้หน่วยความจำหลังจากคืนพื้นที่และขอบเขตการรันโปรแกรม ปัญหาการทำงานกับไฟล์ TeXML ที่ก่อให้เกิด buffer overflow หากการโจมตีประสบผลสำเร็จ ผู้ใช้จะถูกบังคับให้เปิดเว็บและไฟล์ไม่พึงประสงค์ได้ ผู้ใช้จึงควรอัพเดต QuickTime

QuickTime 7.7.3 รองรับ Windows XP Service Pack 2 หรือใหม่กว่า, Windows Vista และ Windows 7 โดยสามารถโหลดตัวอัพเดตจากหน้า Apple Support หรือผู้ใช้ที่มี Apple Software Update สามารถเปิดโปรแกรมและอัพเดตได้ทันที

ที่มา - The H

Tags:
F-Secure

บริษัทความปลอดภัย F-Secure ออกรายงานสรุปสถิติความปลอดภัยบนอุปกรณ์พกพา (Mobile Threat Report) ประจำไตรมาสที่สามของปี 2012 มีประเด็นที่น่าสนใจดังนี้

  • จุดหลักๆ ของภัยคุกคามบนมือถือยังอยู่บน Android (66.8%) และ Symbian (29.8%) ส่วน iOS มีเพียง 1.1% เท่านั้น (แต่ iOS ก็มีภัยคุกคามเพิ่มขึ้นเช่นกัน)
  • มัลแวร์ของ Symbian ส่วนใหญ่มาจากจีน และเน้นการส่ง SMS เพื่อหาเงินเป็นหลัก
  • F-Secure พบตัวอย่างแอพ Android จำนวน 51,447 ตัวอย่างในไตรมาสที่สาม เทียบกับตัวเลข 5,033 ตัวอย่างในไตรมาสที่สอง ก็เพิ่มขึ้นกว่าสิบเท่า
  • F-Secure บอกว่าปัญหาเรื่องภัยคุกคามของ Android โตตามส่วนแบ่งตลาด และถึงแม้กูเกิลจะเริ่มใช้ตัวช่วยกรองแอพ Bouncer ใน Play Store ก็ไม่ได้ช่วยให้ภัยคุกคามลดลง เพราะผู้ใช้ยังติดตั้งแอพด้วยวิธีการอื่นๆ ได้
  • มัลแวร์ Android ช่วงหลังๆ เน้นการส่ง SMS เพื่อหาเงินเช่นกัน ซึ่งต่างไปจากมัลแวร์ที่ค้นพบในช่วงต้นปี
  • ระบบปฏิบัติการรุ่นใหม่ๆ อย่าง Android 4.1 มีมาตรการด้านความปลอดภัยแบบใหม่ๆ ช่วยลดปัญหาภัยคุกคามมากขึ้น
  • โทรจันที่น่าจับตาคือ FinSpy ซึ่งทำงานได้หลายแพลตฟอร์ม รวมถึง iOS และ Windows Mobile ด้วย

ที่มา - F-Secure (PDF), TechCrunch

Tags:
Microsoft

เรื่องความปลอดภัยของ Windows เป็นสิ่งที่หละหลวมมาหลายทศวรรษ ถึงขั้นที่ช่วงหนึ่งแอปเปิลตอกย้ำ Windows ว่า Mac OS นั้นไม่มีไวรัส แต่เมื่อมาถึงยุคของ Windows 8 ที่ถูกพอร์ตออกไปยังอุปกรณ์พกพาประเภทแท็บเล็ตเพิ่มเติมนั้น สิ่งที่ไมโครซอฟท์พยายามทำมาตลอดนั้นคือทำให้ Windows 8 กลายเป็นระบบปิด ความปลอดภัยจึงค่อนข้างเข้มงวดกว่าพอสมควร

ดังนั้นเพื่อเอาแน่เอานอนว่า Windows 8 ปลอดภัยชัวร์ ทาง BitDefender จึงได้ทำการทดสอบด้วยการยิงมัลแวร์ใส่ตัว Windows 8 ที่เพิ่งจะถูกติดตั้งเสร็จหมาดๆ ไป 385 ตัว พบว่า 61 ตัวยังคงทำงานได้ครับ นั่นหมายความว่า อีก 324 ตัวหรือประมาณ 85% ถูกตัว Windows Defender (หรือ MSE เดิม) ทำการบล็อคเอาไว้ทั้งหมดครับ

นอกจากนี้ทาง Softpedia ยังได้ทดสอบในรูปแบบเดียวกัน แต่ปลายทางของตัวเครื่องเป็น Windows 7 พบว่า มัลแวร์กว่า 262 ตัว สามารถทำงานได้ และเมื่อทดสอบต่อไปโดยการปิด Windows Defender ลง Windows 8 ยังคงบล็อคมัลแวร์ได้พอสมควรครับ โดยสามารถทำงานไปได้กว่า 234 ตัว โดยส่วนที่โดนบล็อค นั่นก็คือติดคำสั่ง User Account Control ของ Windows 8 นั่นเองครับ

แต่อย่างไรก็ตาม เพื่อความปลอดภัยสูงสุด ผมแนะนำว่าควรหา Anti-virus ที่ไว้ใจได้มาใช้งานครับ

ที่มา - Softpedia ผ่าน Neowin

Tags:
Twitter

เมื่อวานนี้ผู้ใช้งานทวิตเตอร์จำนวนหนึ่งได้เกิดปัญหาเมื่อพวกเขาได้รับเมลแจ้งเตือนว่าบัญชีเหล่านี้ถูกเข้าถึงโดยบริการที่ไม่ใช่ของทวิตเตอร์หรือไม่เกี่ยวข้องกับทวิตเตอร์ ซึ่งทำให้เกิดข้อสงสัยต่อผู้ใช้ว่าบัญชีของพวกเขานั้นได้ถูกแฮกหรือไม่

ต่อมาทางทวิตเตอร์ได้ออกมาขอโทษผู้ใช้งานพร้อมทั้งกล่าวถึงปัญหาตรงจุดนี้ว่า สิ่งที่ทำให้ผู้ใช้งานจำนวนหนึ่งได้รับการแจ้งเตือนในรูปแบบนี้เกิดจากการที่ทางทวิตเตอร์ "เผลอ" รีเซ็ตรหัสผ่านของผู้ใช้เหล่านี้ไป ไม่ได้เกิดจากการถูกโจมตีหรือแฮกใดๆ แน่นอน โดยผู้ใช้งานที่พบปัญหานี้ก็ได้รับคำแนะนำในการเปลี่ยนรหัสผ่านใหม่แล้ว

มีกลุ่มของผู้ใช้งานจำนวนหนึ่งเรียกร้องให้ทางทวิตเตอร์เริ่มใช้ two-factor authentication ด้วย

ที่มา - TechCrunch (1,2), Yahoo!

Tags:

กลุ่มของนักวิจัยจากมหาวิทยาลัยนอร์ทแคโรไลนา มหาวิทยาลัยวิสคอนซินและ RSA Security ค้นพบช่องโหว่บน cloud แบบสาธารณะที่ช่วยให้ผู้โจมตีสามารถเข้าถึง 4096-bit private ElGamal decryption key ที่เข้ารหัสโดย libgcrypt v1.5.0 จากเซิร์ฟเวอร์ที่มีการแชร์กันได้แบบ Cross-VM

นักวิจัยกลุ่มนี้ได้ทำการทดสอบช่องโหว่นี้โดยใช้ Xen Hypervisor เลียนแบบสิ่งแวดล้อมของระบบ Amazon EC2 และใช้การโจมตีแบบ Side channel attack โดยปัจจัยที่ต้องการในการโจมตีนั้นแค่เพียงว่าผู้โจมตีจะต้องมี VM รันอยู่ในเซิร์ฟเวอร์เดียวกันกับเหยื่อเพื่อเข้าถึง cache ของระบบ ซึ่ง ณ จุดนี้ผู้โจมตีจะใช้อีกช่องโหว่ในการวิเคราะห์หาเหยื่อควบคู่ไปด้วย (ดูเอกสารช่องโหว่นี้)

นักวิจัยกล่าวปิดท้ายว่าการโจมตีเป็นไปได้จริงแต่ซับซ้อนมาก ผู้ที่จะก่อการโจมตีในลักษณะนี้ได้ต้องเป็นองค์กรที่มีประสิทธิภาพสูง รวมถึงองค์กรทางราชการระดับประเทศด้วย (ดูเอกสารการโจมตีเพิ่มเติมที่นี่)

ที่มา - Threatpost

Tags:
Python

หลังจากได้รับรายงานจุดที่เสี่ยงต่อการถูกเจาะระบบเป็นจำนวน 24 รายการโดยทีมรักษาความปลอดภัยและผู้ใช้งาน ตอนนี้ Plone ก็ได้ออก hotfix ปิดจุดเสี่ยงเหล่านั้นแล้วครับ

ดาวน์โหลด hotfix และอ่านวิธีติดตั้งได้ที่นี่ โดยมันถูกทดสอบแล้วว่าสามารถใช้ได้กับ Plone เวอร์ชั่น 4 และ 3 (ส่วนรุ่นต่ำกว่านั้นต้องทดสอบกันเอง) สำหรับรายงานจุดเสี่ยงทั้งหมดที่ถูกจัดการในคราวนี้สามารถอ่านได้จากที่นี่

Plone เป็น CMS ยอดนิยมตัวหนึ่งจากฝั่ง Python ครับ

ที่มา: The H

Tags:
Adobe

ปัญหาเรื่องรอบการอัพเดตแพตช์ความปลอดภัยที่ไม่ตรงกันของ Flash/Windows 8 จนเกิดช่องโหว่ให้ผู้ใช้ กำลังจะถูกแก้ไข เพราะ Adobe ประกาศปรับรอบการออกแพตช์ของตัวเองให้ตรงกับรอบการออกแพตช์ในวันอังคารของไมโครซอฟท์ (Patch Tuesday) แล้ว

การออกแพตช์รอบล่าสุดของ Adobe อุดช่องโหว่ใน Flash ไปอีก 7 จุด และไมโครซอฟท์ก็ออกแพตช์ให้ IE10 โดยผนวกเอา Flash รุ่นล่าสุดของ Adobe เข้ามาในตัว

สำหรับผู้ที่ใช้ Flash บนแพลตฟอร์มอื่นๆ ต้องตามอัพเดตกันเองครับ เลขเวอร์ชันล่าสุดคือ 11.5.502.110 (วินโดวส์-แมค) 11.2.202.251 (ลินุกซ์) และ 11.1.115.27 (แอนดรอยด์)

ที่มา - Sophos, Computerworld

Tags:
SSL

ปัญหาการทำใบรับรองปลอมจาก DigiNotar สร้างความกังวลทั่วโลกว่าระบบใบรับรองทุกวันนี้มีความน่าเชื่อถือเพียงใด รายงานการสำรวจความเสียหายโดยบริษัท Fox IT เพื่อส่งให้กับกระทรวงมหาดไทยของเนเธอร์แลนด์ได้รายงานถึงกระบวนการที่แฮกเกอร์เข้ามาสร้างใบรับรองปลอมจำนวน 531 ใบ

เครือข่ายของ DigiNotar ภายในแบ่งออกเป็น 24 ส่วน เซิร์ฟเวอร์สำหรับสร้างใบรับรองที่ติดตั้งสมาร์ตการ์ดที่ใช้รับรองนั้นตั้งอยู่ในห้องรักษาความปลอดภัยสูงแยกออกไป

Tags:
Anonymous

กลุ่มของแฮกเกอร์ที่เรียกตัวเองว่า HTP ได้อ้างถึงการโจมตีเว็บไซต์ ImageShack และ Symantec ทำให้สามารถเข้าถึงฐานข้อมูลได้ หรือในกรณีของ ImageShack ได้มีการอ้างว่าสามารถเข้าถึงเซิร์ฟเวอร์ทุกตัวรวมไปถึงอุปกรณ์เครือข่ายด้วย

สำหรับเหยื่อสองเว็บแรกนั้นทาง HTP ได้มีการโพสต์หลักฐานการเข้าถึงไดเรกทอรี่ ไฟล์ และฐานข้อมูลลงบนเว็บไซต์ pastebin อีกทั้งยังกล่าวสบประมาทประสิทธิภาพของระบบรักษาความปลอดภัยของทั้งสองเว็บไซต์อีกด้วย

อีกสองเว็บไซต์คือ PayPal และ NBC นั้นถูกแฮกโดยกลุ่มของแฮกเกอร์ที่อ้างว่าเกี่ยวข้องกับกลุ่ม Anonymous จากการโจมตีครั้งนี้เว็บไซต์ของ NBC ถูกแฮกเกอร์เปลี่ยนหน้าเว็บและในส่วนของ PayPal ได้อ้างว่ามีการเผยแพร่บัญชีของผู้ใช้งานที่อยู่ในฐานข้อมูลออกมาบางส่วนด้วย (ไฟล์ paste ถูกลบไปแล้ว)

อัพเดท (16:21) - ทาง PayPal ได้ออกมาปฏิเสธข่าวการถูกแฮกแล้ว

ที่มา - NetworkWorld

Tags:
Firefox

มาตรฐาน HSTS เป็นส่วนเสริมของ HTTP/HTTPS ที่เปิดให้เว็บบังคับให้เบราว์เซอร์เชื่อมต่อกันแบบเข้ารหัสเสมอ (ดูข่าวเก่า) โดยสัปดาห์นี้ทาง Mozilla ได้ประกาศว่า Firefox ในรุ่นถัดไปจะบังคับให้ใช้มาตรฐาน HSTS แล้ว

มาตราฐาน HSTS จะช่วยให้ผู้ใช้งานสามารถเพิ่มเว็บไซต์ที่เราต้องการเชื่อมต่อผ่านทาง HTTPS ได้ผ่านทาง preload list (ดูตัวอย่างจาก Chrome) ผู้ใช้งานสามารถดาวน์โหลดเวอร์ชันเบต้ามาทดลองใช้งานก่อนได้ โดยในเวอร์ชันเต็มคาดว่าจะออกมาในเร็วๆ นี้ครับ

ที่มา - Mozilla Security Blog via Ars Technica, Threatpost

Tags:
Android

ล่าสุดมีนักวิจัยจาก NC State University พบช่องโหว่บนระบบแอนดรอยด์ ช่องโหว่ที่ว่าสามารถทำให้แอพพลิเคชันปลอม SMS เข้าได้ทั้งฉบับ ไม่ว่าจะทั้งเนื้อหารวมจนถึงสามารถปลอมว่ามาจากหมายเลขโทรศัพท์ใดก็ได้ โดยแอพไม่ต้องขอสิทธิ์ใดก็สามารถใช้ช่องโหว่นี้ได้

ซึ่งช่องโหว่นี้พบในโค้ดแอนดรอยด์ต้นน้ำ (Android Open-Source Project) ตั้งแต่รุ่น 1.6 (Donut) ไปจนถึง 4.1 (Jelly Bean) และมือถือรุ่นหลายตัวได้รับการยืนยันแล้วว่ามีปัญหานี้ ไม่ว่าจะเป็น Galaxy Nexus, Nexus S, Galaxy S III, HTC One X, HTC Inspire และ Xiaomi MI-One

ทางนักวิจัยได้ติดต่อกับกูเกิลแล้วและได้รับยืนยันว่าเป็นปัญหาจริง ขณะนี้ทางกูเกิลกำลังแก้ไขอยู่ ดังนั้นระหว่างนี้ ถ้าเจอข้อความเข้าแปลกๆ น่าสงสัย ก็ขอให้ฉุกคิดไว้สักนิดหนึ่งก่อนที่จะเชื่อเนื้อหาในข้อความจริงๆ โดยเฉพาะเรื่องเงินๆ ทองๆ หรือเรื่องเกี่ยวกับความปลอดภัยต่างๆ

คำเตือน: แม้บั๊กตัวนี้มีอยู่จริง แต่มันไม่สามารถใช้เป็นข้ออ้างแก้ตัวสำหรับหนุ่มๆ เวลาแฟนสาวเปิดมือถือไปเจอ SMS จากกิ๊ก เพราะว่า นักวิจัยบอกว่ายังไม่พบแอพใดที่ใช้ช่องว่างตัวนี้ ดังนั้นข้ออ้างว่าข้อความที่เห็นมาจากกิ๊กก็เพราะโดนบั๊กตัวนี้เล่นงาน คงจะไม่ช่วยชีวิตได้อย่างแน่นอน งานนี้ตัวใครตัวมันนะครับ

ที่มา: Computer World UK, Android Community

Tags:

เมื่อเวลา 6 โมงเย็นวันนี้รายการเจาะข่าวเด่นทางไทยทีวีสีช่อง 3 ได้นำเสนอเกี่ยวกับภัยมิจฉาชีพออนไลน์ซึ่งผมพบว่าในข้อมูลที่นำเสนอนั้นมีบางส่วนที่อาจสร้างความไม่เข้าใจผ่านทางทวิตเตอร์เรื่องเล่าเช้านี้ เนื่องจากมีการทวีตในเรื่องนี้อยู่หลายทวีต แต่ผู้อ่านไม่ได้ทำการรีทวีตทั้งหมด เพียงแต่มีการรีทวีตที่ทำให้ข่าวนั้นเกิดการแตกประเด็นและอาจทำให้เกิดการเข้าใจผิดได้ ในฐานะที่ Blognone ก็เป็นหนึ่งในสื่อที่นำเสนอข่าวด้านเทคโนโลยีและความปลอดภัย การนำเสนอข่าวสารและข้อมูลที่ถูกต้องจึงเป็นเรื่องที่สำคัญมาก ดังนั้นผมขออนุญาตในการชี้แจงและแก้ไขข้อมูลบางส่วนให้ถูกต้องครับ

Tags:
Kaspersky

เราอาจต้องทิ้งภาพลักษณ์เดิมๆ ว่า "ผลิตภัณฑ์ของไมโครซอฟท์ไม่ปลอดภัย" เพราะข้อมูลล่าสุดของบริษัท Kaspersky ชี้ว่าซอฟต์แวร์ของไมโครซอฟท์ที่เคยติด 10 อันดับแรกของซอฟต์แวร์ที่มีโอกาสถูกโจมตีมากที่สุดประจำไตรมาส (top 10 vulnerabilities) กลับตกจากชาร์ทไปเรียบร้อยแล้ว

เหตุผลก็เพราะว่าผลิตภัณฑ์ของไมโครซอฟท์เข้มแข็งขึ้นมาก การอัพเดตช่องโหว่ต่างๆ ทำได้รวดเร็ว ซึ่งเป็นผลมาจาก Windows Update ที่พัฒนาขึ้นเรื่อยๆ ในวินโดวส์นับตั้งแต่ Vista เป็นต้นมา

การจัดอันดับของ Kaspersky อิงจากสถิติของผู้ใช้งาน Kaspersky เอง โดยนับสัดส่วนของโปรแกรมที่ติดตั้งในเครื่องของผู้ใช้ ที่ยังมีช่องโหว่ไม่ได้รับการแพตช์

Tags:
Android

Hiroshi Lockheimer ผู้บริหารของกูเกิลให้สัมภาษณ์กับเว็บไซต์ Computerworld เกี่ยวกับฟีเจอร์ความปลอดภัยของ Android 4.2 ซึ่งเคยมีข่าวมาแล้วก่อนหน้านี้

ประเด็นสำคัญอยู่ที่ฟีเจอร์ verify apps ซึ่งเป็นตัวเลือกที่เพิ่มเข้ามาในหน้า Settings โดยไม่ได้เปิดใช้ตั้งแต่แรก แต่เมื่อเราเปิดฟีเจอร์นี้เมื่อไร กูเกิลจะสแกนแอพทุกตัวที่ติดตั้งเพิ่มเข้ามาในเครื่อง (ไม่ว่าจะผ่าน Play Store, ลง apk เองแบบ sideload หรือลงผ่านแอพภายนอกอย่าง Amazon Appstore) ว่าเข้าข่ายแอพอันตรายตามฐานข้อมูลของกูเกิลหรือไม่ (วิธีการเช็คคือตรวจ apk signature กับเซิร์ฟเวอร์ของกูเกิล) ถ้าพบแล้วจะป้องกันไม่ให้เราติดตั้งแอพดังกล่าวลงในเครื่อง

Lockheimer อธิบายว่ากูเกิลรู้จัก signature ของแอพกว่า 700,000 แอพใน Play Store เป็นอย่างดี และยังคอยสแกนไฟล์ .apk จากทั่วอินเทอร์เน็ตเพื่ออัพเดตฐานข้อมูลแอพอยู่ตลอดเวลาด้วย

ฟีเจอร์นี้เป็นส่วนหนึ่งของโครงการ Bouncer ที่สแกนแอพอันตรายในเซิร์ฟเวอร์ Play Store ของกูเกิลซึ่งเริ่มใช้ตั้งแต่ช่วงต้นปีที่ผ่านมา แต่ไม่เกี่ยวกับการซื้อกิจการ VirusTotal เมื่อเร็วๆ นี้

Tags:

Blognone เสนอข่าว "ช่องโหว่" ความปลอดภัยซอฟต์แวร์เป็นจำนวนมาก แม้ช่องโหว่หลายอย่างมาจากการวิเคราะห์ทางคณิตศาสตร์ของกระบวนการเข้ารหัสที่ซับซ้อนแต่ในความเป็นจริงแล้ว ช่องโหว่ส่วนมากมาจากปัญหาเหมือนๆ กันคือการไม่ระวังการใช้บัฟเฟอร์ ทำให้ข้อมูลที่วางลงไปยังบัฟเฟอร์มีขนาดเกินที่เผื่อไว้ ทำให้แฮกเกอร์เข้ามาวางโค้ดเอาไว้ และควบคุมให้มีการรันโค้ดนั้นๆ ได้

กระบวนการแฮกจากช่องโหว่บัฟเฟอร์เป็นกระบวนพื้นฐานอันหนึ่งที่ควรรู้เพื่อจะศึกษาและป้องกันช่องโหว่ในซอฟต์แวร์