Tags:
Chrome

กูเกิลเริ่มโครงการแจกรางวัลให้ผู้ค้นพบบั๊กด้านความปลอดภัย (bug bounty program) ของ Chrome มาตั้งแต่ปี 2010 (ข่าวเก่า) และขยายมายัง Chrome OS ในปี 2012

ล่าสุดกูเกิลประกาศขยายโครงการอีกรอบ โดยรอบนี้จะรวมถึงส่วนเสริม (extension) และแอพ (Chrome apps) ที่สร้างโดยกูเกิลเองด้วย (รายการส่วนเสริมจาก Chrome Web Store ที่สร้างโดยกูเกิล)

กูเกิลอธิบายว่าส่วนเสริมหลายตัวอย่าง Hangouts หรือ Gmail Checker มีฐานผู้ใช้เป็นหลักล้าน การมีบั๊กความปลอดภัยจึงมีโอกาสส่งผลกระทบต่อผู้ใช้จำนวนมาก จึงตัดสินใจขยายโครงการ bug bounty ให้ครอบคลุมมากขึ้น

อัตราการจ่ายเงินรางวัลอยู่ที่ 500-10,000 ดอลลาร์ ถ้าพบปัญหาด้านความปลอดภัย สามารถแจ้งได้ที่ Vulnerability Submission Form for Google Products

ที่มา - Google Online Security Blog

Tags:
Flash

Adobe ประกาศข่าวช่องโหว่ความปลอดภัยระดับร้ายแรง (critical) ของ Flash Player ทุกเวอร์ชันทุกแพลตฟอร์ม โดยแฮ็กเกอร์อาจใช้ช่องโหว่ตัวนี้เข้ามาควบคุมเครื่องจากระยะไกลได้

Adobe แนะนำให้อัพเดต Flash Player เป็นรุ่นใหม่ล่าสุดโดยด่วน

  • ผู้ใช้ Flash Player ทั้งบนวินโดวส์และแมค ให้อัพเดตเป็น 12.0.0.44
  • ผู้ใช้ Flash Player บนลินุกซ์ ให้อัพเดตเป็น 11.2.202.336
  • ผู้ใช้ Google Chrome จะได้อัพเดต Flash Player เป็น 12.0.0.44 โดยอัตโนมัติ
  • ผู้ใช้ IE บน Windows 8.x จะได้อัพเดต Flash Player เป็น 12.0.0.44 โดยอัตโนมัติ

คนที่ไม่ได้ใช้ Chrome/IE เข้าไปดาวน์โหลดได้เลยที่ Adobe Flash Player

ที่มา - Adobe Security Bulletin

Tags:
Tumblr

ตามนโยบายของ Marissa Mayer ที่ประกาศให้บริการทั้งหมดของ Yahoo! ต้องรองรับการเข้ารหัส ตอนนี้บริการที่เพิ่งซื้อมาอย่าง Tumblr ก็รองรับ HTTPS แล้ว แต่ยังรองรับเฉพาะผู้ใช้ที่ล็อกอินแล้วเท่านั้น

สำหรับผู้ใช้ทั่วไปที่อ่านอย่างเดียว ยังไม่สามารถเปิดใช้ HTTPS ได้ แม้แต่หน้าประกาศนี้เองก็ไม่รองรับ HTTPS

อย่างไรก็ดี กระบวนการเข้ารหัสของ Tumblr ค่อนข้างหนาแน่นกว่าบริการอื่นๆ ที่ถูกวิจารณ์ว่าเก่าเกินไป และไม่รักษาความลับในอนาคต โดยใช้กระบวนการ AES_128_GCM และแลกกุญแจด้วยกระบวนการ ECDHE_RSA

ผู้ใช้ Tumblr ทุกคนสามารถใช้งานได้ทันทีโดยเข้าไปตั้งค่าในหน้า Account Settings

ที่มา - Tumblr

Tags:
EMC

ในปี 2013 ที่ผ่านมา ภาคธุรกิจมีการเปลี่ยนแปลงให้ธุรกิจนั้นมีความต้องการให้ระบบสามารถใช้งานได้ตลอดเวลามากขึ้น (Business Continuity) ด้วยสาเหตุที่ทำให้ระบบนั้นล่มลงไปนั้นมีหลากหลายตั้งแต่ปัจจัยภายในอย่างความผิดพลาดของการทำงาน ระบบไฟเสียหาย ไปจนถึงปัจจัยภายนอกอย่างภัยธรรมชาติ แลพการประท้วง EMC เองเป็นบริษัทที่มีโซลูชันในการรับมือกับปัญหาที่คาดไม่ถึงเหล่านี้อยู่แล้ว จึงมีแนวทางรับมือ โดยเฉพาะกับธุรกิจที่เกิดความเสียหายเมื่อระบบนั้นล่มลง

ในเคสแรกที่ประเทศไทยให้ความสำคัญกันมากในช่วงหลังคือการทำให้ระบบสามารถใช้งานได้ แม้ว่าจะเกิดภัยธรรมชาติขึ้น แนวทางที่ใช้ในการรับมือกับระบบล่มที่เกิดจากภัยธรรมชาติคือการทำไซต์สำรอง (DR site) โดยมีระดับของการใช้งานตั้งแต่ แบบทั่วไปคือการใช้ไซต์สำรองเพื่อทำงานแทนเมื่อไซต์หลักทำงานไม่ได้, แบบ Active-Active ที่เมื่อไซต์หลักล่ม ไซต์สำรองสามารถทำงานได้ทันที

Tags:

รายงานการแฮ็กช่วงหลังๆ เริ่มเข้ามาสู่บ้านผู้ใช้ทั่วไปมากขึ้นเรื่อยๆ จากปัญหาความปลอดภัยของเราเตอร์ ตอนนี้ ตอนนี้ก็มีนักวิจัยเตือนว่าโมเด็ม USB บางรุ่นก็มีปัญหาแบบเดียวกันแล้ว

ปัญหานี้เกิดในโมเด็ม USB 3G และ 4G ราคาแพงบางรุ่นที่มีหน้าเว็บเพื่อให้ใช้งานบางอย่าง เช่น รับส่ง SMS, ปรับแต่งค่า, อ่านข้อมูลจากซิมการ์ด

ช่องโหว่ของการ์ด USB เหล่านี้คือหน้าเว็บเหล่านี้ไม่ต้องล็อกอินเพื่อใช้งาน เพราะคนออกแบบคิดว่าทำมาเพื่อใช้งานคนเดียว แถมแบบฟอร์มสั่งงานแต่ละครั้งยังไม่มีการป้องกัน CSRF ทำให้สามารถเข้าเว็บที่ส่งคำสั่งไปสั่งให้โมเด็มส่ง SMS ออกไปได้

ช่องโหว่เช่นนี้สามารถสร้างปัญหาได้ตั้งแต่การสมัครบริการ SMS ราคาแพง ไปจนถึงการขโมยล็อกอินบริการต่างๆ เมื่อใช้ร่วมกับการทำ phishing

สำหรับคนใช้โมเด็มราคาถูกทั่วไปที่ไม่มีหน้าเว็บก็ไม่ต้องตกใจกับช่องโหว่นี้ครับ ส่วนคนที่ใช้งานโมเด็มที่มีปัญหานี้คงต้องรอผู้ผลิตอัพเดตเฟิร์มแวร์

ที่มา - The Register, 3VILDATA

Tags:
EU

หนังสือพิมพ์ The Telegraph เปิดเผยเอกสารลับที่ระบุว่า สหภาพยุโรปจะพัฒนาระบบที่ตำรวจสามารถสั่งการจากส่วนกลางให้ดับเครื่องยนต์ของรถยนต์ได้ทันที

ถึงแม้ระบบสั่งดับเครื่องยนต์จากระยะไกลจะไม่ใช่เรื่องแปลกใหม่ เพราะผู้ผลิตรถยนต์บางรายได้พัฒนาและติดตั้งระบบนี้ในรถยนต์ของตนแล้ว อาทิ ฟีเจอร์ Stolen Vehicle Slowdown ในระบบนำทางอัจฉริยะและสั่งงานด้วยเสียงภายในรถยนต์ที่ชื่อ OnStar ของเครือรถยนต์ GM แต่เป้าหมายของสหภาพยุโรปคือจะทำให้ระบบนี้เป็นมาตรฐานในรถยนต์ทุกคันที่ขายในประเทศในสหภาพยุโรปและสามารถสั่งการจากตำรวจได้โดยตรง ไม่ใช่สั่งการจากผู้ผลิตรถยนต์

โครงการนี้เป็นส่วนหนึ่งของ ENLETS (ชื่อเต็ม European Network of Law Enforcement Technology Services) มีแผนพัฒนาระบบข้างต้นใน 6 ปี และคาดว่าภายในทศวรรษนี้รถยนต์ทุกคันจะได้รับการติดตั้งอุปกรณ์นี้

โครงการนี้และแผนเฝ้าระวังภัยอื่นได้รับการอนุมัติโดย COSI (ชื่อเต็ม Standing Committee on Operational Cooperation on Internal Security) นั่นหมายความว่ามีการสนับสนุนโครงการนี้จากข้าราชการระดับสูงและเจ้าหน้าที่ตำรวจของ Home Office ของสหราชอาณาจักร

มีการวิพากษ์วิจารณ์ในเชิงลบอย่างกว้างขวางเมื่อโครงการนี้ถูกเปิดเผย

ที่มา: The Telegraph

Tags:
Yahoo!

ยาฮูประกาศว่าพบการล็อกอินเข้าใช้งาน Yahoo Mail แบบผิดปกติในบัญชีผู้ใช้จำนวนหนึ่ง ซึ่งข้อมูลบัญชีและรหัสผ่านของผู้ใช้กลุ่มนี้น่าจะถูกแฮ็กมาจากฐานข้อมูลที่ดูแลโดยบริษัทอื่น (third-party database) ที่ยังไม่มีข้อมูลแน่ชัด ส่วนระบบความปลอดภัยของ Yahoo Mail นั้นไม่ได้รับผลกระทบใดๆ

ในเบื้องต้น ยาฮูจึงรีเซ็ตรหัสผ่านของผู้ใช้กลุ่มนี้ และแจ้งเตือนผู้ใช้ผ่าน SMS หรืออีเมลสำรองให้เข้าไปตั้งรหัสผ่านใหม่ นอกจากนี้ยาฮูจะทำงานร่วมกับหน่วยงานภาครัฐในการสอบสวนหาข้อมูลเพิ่มเติมของกรณีนี้ต่อไป

ผมลองล็อกอินเข้า Yahoo Mail ของตัวเองแล้วพบว่าไม่โดนครับ แต่เพื่อความชัวร์ก็แนะนำให้ทุกท่านลองล็อกอิน Yahoo Mail เพื่อเช็คดูว่าโดนบังคับรีเซ็ตรหัสผ่านหรือไม่ ถ้าโดนก็คงต้องรีบเปลี่ยนรหัสผ่านชุดเดียวกันที่ใช้กับเว็บอื่นๆ โดยด่วน

ที่มา - Yahoo Tumblr

Tags:
GitHub

GitHub เปิดตัว Bug Bounty Program แล้วโดยมีเงื่อนไขเหมือนกับโปรแกรม Bug Bounty อื่นๆ คือการสนับสนุนให้ผู้ใช้งานหาบั๊กหรือช่องโหว่ด้านความปลอดภัยของ GitHub โดยมีผลตอบแทนเป็นเงินรางวัลตั้งแต่ $100 ถึง $5,000 ขึ้นอยู่กับความร้ายแรงและผลกระทบที่เกิดขึ้น

โปรแกรม Bug Bounty นี้ครอบคลุมไปยัง GitHub API, Gist, GitHub.com รวมไปถึงซอฟต์แวร์อื่นๆ ของทาง GitHub โดยกฎ การจ่ายเงิน หรือรายละเอียดอื่นๆ สามารถดูเพิ่มเติมได้จากเว็บไซต์หลักได้เลยครับ

ขอให้มีความสุขกับการล่าบั๊กนะครับ :)

ที่มา - GitHub Blog

Tags:
Angry Birds

แฮ็กเกอร์โจมตีและแก้หน้าเว็บไซต์หลักของ Angry Birds หลังจากมีรายงานข่าวว่าหน่วยข่าวกรองทั้งจากอเมริกาและอังกฤษใช้ข้อมูลจากเกมในการสอดแนม โดยหน้าเว็บไซต์ได้ถูกเปลี่ยนเป็นรูปภาพของ Angry Birds พร้อมด้วยข้อความว่า "Spying Birds" แทน (ดูหน้า cache ที่นี่)

ทางด้านกลุ่ม Syrian Electronic Army ได้ออกมาทวีตอ้างว่าการแฮ็กครั้งนี้เป็นผลงานของกลุ่ม "Anti-NSA" เพราะแฮ็กเกอร์ที่ทำการแฮ็กในครั้งนี้มีการอีเมลลิงก์ของหน้าเว็บไซต์มายังอีเมลของ SEA โดยตรง

Angry Birds ตกเป็นเป้าหมายหลังจากมีการเปิดเผยว่า NSA และ GCHQ ได้เอาข้อมูลส่วนบุคคลของผู้ใช้งานผ่านทางแอพนี้ ซึ่งทาง Rovio ยังคงปฏิเสธว่าไม่มีส่วนร่วมกับการสอดแนมข้อมูลแต่อย่างใด

ที่มา - Softpedia

Tags:
MediaWiki

บริษัท Check Point Software Technologies ได้แจ้งเตือนการค้นพบช่องโหว่ประเภท remote code execution บนซอฟต์แวร์ MediaWiki ซึ่งส่งผลกระทบตั้งแต่เวอร์ชัน 1.8 เป็นต้นมา

ช่องโหว่ CVE-2014-1610 นี้ทำให้ผู้โจมตีสามารถรันคำสั่งเพื่อโจมตีจากระยะไกลได้ผ่านทางพารามิเตอร์ในไฟล์ thumb.php ซึ่งอาจนำไปสู่การแฮ็กเว็บไซต์ที่ติดตั้งซอฟต์แวร์นี้และการนำไปใช้เพื่อกระจายมัลแวร์ต่อไปได้

ในขณะนี้ทางทีม MediaWiki ได้ออกเวอร์ชันใหม่เป็นเวอร์ชัน 1.22.2, 1.21.5 และ 1.19.11 ซึ่งได้มีการแพตซ์ช่องโหว่นี้เป็นที่เรียบร้อยแล้ว ผู้ใช้งานควรมีการอัพเดตตามโดยด่วนที่สุดครับ

ที่มา - The Hacker News

Tags:

ช่วงหลังมานี้ กระแสความนิยมของสมาร์ทโฟน ทำให้มีผู้ประกอบการหลายเจ้าเริ่มเปิดลองนำสมาร์ทโฟนมาใช้งานกับบริการของตัวเองกันมากขึ้น อย่างบ้านเรามี AIS mPay Rabbit ไว้จ่ายค่ารถไฟฟ้า ที่สหรัฐฯ ก็มีโรงแรมบางแห่งใช้งานสมาร์ทโฟนแทนกุญแจห้องพักแล้ว

บริการนี้เป็นของโรงแรม Aloft ในเมืองนิวยอร์กที่เปิดให้ผู้เข้าพักสามารถใช้สมาร์ทโฟนแทนกุญแจห้องได้ ด้วยการใช้งานในรูปแบบนี้ ผู้เข้าพักสามารถข้ามขั้นตอนการเช็คอิน และเดินตรงดิ่งไปยังห้องพักโดยใช้สมาร์ทโฟนเปิดห้องได้ทันที โดยผู้ใช้จะทำได้ก็ต่อเมื่อจองห้องมาก่อน ซึ่งจะได้กุญแจจำลองในสมาร์ทโฟน ส่วนการเปิดประตูนั้นทำผ่านบลูทูธนั่นเอง

บริษัทแม่ของ Aloft พูดถึงการใช้สมาร์ทโฟนแทนกุญแจห้องว่าน่าจะเป็นการปรับเอาเทคโนโลยีมาใช้กับอุตสาหกรรมโรงแรมครั้งใหญ่ต่อจากบริการ Free Wi-Fi เลยทีเดียว โดยการนำสมาร์ทโฟนมาใช้นั้นช่วยลดคอขวดที่ต้องเช็คอินตรงเคาท์เตอร์ ซึ่งดำเนินมามากกว่าร้อยปีแล้วได้

ที่มา - The Wall Street Journal

Tags:

กระบวนการรักษาความปลอดภัยในระบบคอมพิวเตอร์ที่สำคัญอีกอย่างหนึ่งคือการให้อำนาจ (Authorization) กระบวนการนี้เมื่อเทียบกับชีวิตประจำวันคือการที่เราเข้าถึงพื้นที่ในอาคารต่างๆ ได้จำกัด หลังร้านอาหารอาจจะจำกัดเฉพาะพนักงานเข้าได้เท่านั้นขณะที่ลูกค้าทั่วไปจะต้องอยู่ในบริเวณที่นั่งที่จัดไว้ หรือบริเวณชั้นผู้บริหารที่พนักงานทั่วไปไม่สามารถเข้าใช้งานได้

Tags:
FileZilla

Avast! ได้เปิดเผยการวิเคราะห์หลังจากมีการตรวจพบว่า ตัวติดตั้งของโปรแกรม FileZilla ถูกปลอมแปลงและมีการฝังมัลแวร์เพื่อใช้ในการขโมยข้อมูลส่งกลับไปให้แฮ็กเกอร์

จากการตรวจสอบพบว่าแฮ็กเกอร์ได้ทำการสร้างเว็บไซต์ปลอมขึ้น และมีการอัพโหลดตัวติดตั้งของโปรแกรมนี้ไว้ ความแตกต่างภายนอกของตัวติดตั้งปลอมกับตัวติดตั้งจริงนั้นอย่างแรกคือขนาดไฟล์ที่เพิ่มจากประมาณ 6MB ไปเป็น 8MB เนื่องจากมีการเพิ่ม DLL บางไฟล์เข้ามา และรายละเอียดในหน้าต่าง About ซึ่งมีการใช้ SQLite/GnuTLS เวอร์ชันเก่าเพื่อป้องกันไม่ให้ผู้ใช้งานนั้นอัพเดตโปรแกรม

เมื่อมีการตามรอยการส่งข้อมูลของมัลแวร์นี้พบว่า มัลแวร์ได้ทำการเก็บข้อมูลที่ใช้ในการล็อกอิน FTP เช่นชื่อผู้ใช้, รหัสผ่าน, โดเมนและพอร์ต ส่งกลับไปให้กับโฮสต์ซึ่งตั้งอยู่ในประเทศเยอรมนี อีกทั้งยังพบอีกว่าตัวติดตั้งแฝงมัลแวร์ตัวนี้ได้ถูกคอมไพล์ไว้ตั้งแต่เดือนกันยายน 2012 แล้ว และพึ่งมีการตรวจพบเร็วๆ นี้นี่เอง

สำหรับวิธีการป้องกันตัวติดตั้งปลอมนี้ ทาง Avast! ได้ทำการโพสต์ SHA256 ของตัวติดตั้งปลอมไว้ให้ตรวจสอบกัน รวมไปถึงแนะนำให้ดาวโหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้และควรสแกนไวรัสก่อนด้วยครับ (SHA256 และบันทึกการตรวจสอบเต็มดูได้จากแหล่งที่มา)

ที่มา - Avast! Blog

Tags:
Foursquare

Jamal Eddine แฮ็กเกอร์ชาวโมรอคโคได้เปิดเผยช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถเข้าถึงอีเมลหลักของผู้ใช้งาน Foursquare ได้ โดยช่องโหว่นี้สามารถกระทบผู้ใช้งานได้กว่า 45 ล้านคน

ช่องโหว่ดังกล่าวอยู่ในระบบเชิญชวนของแอพ Foursquare โดยผู้โจมตีสามารถแก้ไขพารามิเตอร์ uid ของ URL เพื่อแสดงผลอีเมลตามรหัสบัญชีของผู้ใช้นั้นๆ ออกมา ซึ่งแน่นอนว่าหากมีการกระทำซ้ำในขั้นตอนนี้โดยไล่ค่าของ uid ไปเรื่อยๆ ก็จะสร้างความเสียหายได้อย่างมากแน่นอน

การหลุดของอีเมลนั้นมักจะถูกนำไปสู่การสแปม, การกระจายมัลแวร์ผ่านทางอีเมล หรือแม้กระทั่งการฟิชชิ่ง โดยในขณะนี้ทีมด้านความปลอดภัยของ Foursquare ก็ได้ปิดช่องโหว่นี้เป็นที่เรียบร้อยแล้วครับ

ที่มา - The Hacker News

Tags:
Android

Symantec รายงานมัลแวร์ตัวใหม่ Trojan.Droidpak ที่ทำงานบนระบบปฏิบัติการวินโดวส์ (ปลอมตัวเป็น DLL) เมื่อมันแฝงตัวบนเครื่องวินโดวส์แล้ว จะดาวน์โหลดไฟล์ .apk และเครื่องมืออย่าง Android Debug Bridge (ADB) เพื่อติดตั้งไฟล์ .apk ลงในอุปกรณ์แอนดรอยด์ถ้ามีโอกาส (เสียบแอนดรอยด์เข้ากับเครื่องวินโดวส์ที่ติดมัลแวร์)

มัลแวร์ที่ติดบนเครื่องแอนดรอยด์จะปลอมตัวเป็น Google Play โดยใช้ไอคอนเดียวกัน และใช้ชื่อคล้ายๆ กันคือ "Google App Store"

Symantec แนะนำให้เลี่ยงมัลแวร์ตัวนี้โดยปิดโหมด USB debugging ถ้าไม่ใช้งาน และติดตั้งซอฟต์แวร์ด้านความปลอดภัยของ Symantec ทั้งบนวินโดวส์และแอนดรอยด์

ก่อนหน้านี้ มีคนเคยพบมัลแวร์คล้ายๆ กันแต่เป็นมัลแวร์แอนดรอยด์ที่พยายามวางไฟล์ autorun.inf บน SD เพื่อให้ไปติดวินโดวส์

ที่มา - Symantec

Tags:

Dashlane บริษัทพัฒนาซอฟต์แวร์เก็บรหัสผ่าน ทำรายงานวิเคราะห์นโยบายรหัสผ่านของเว็บอีคอมเมิร์ซจำนวน 100 เว็บ โดยวิเคราะห์ตั้งแต่นโยบายการตั้งรหัสว่ายอมรับรหัสผ่านที่อันตรายเช่น "123456" หรือ "password" หรือไม่ ไปจนถึงการส่งรหัสผ่านไปยังผู้ใช้ว่ามีการส่งรหัสผ่านไปหาผู้ใช้ทางอีเมลโดยตรงหรือไม่

รายงานระบุว่ามีเงื่อนไขการให้คะแนนทั้งหมด 24 เงื่อนไข โดยให้คะแนนตั้งแต่ -100 ถึง 100 โดยให้คะแนนเว็บอีคอมเมิร์ซยอดนิยม 100 เว็บ ตัวเลขที่น่าสนใจจากการสำรวจ เช่น

  • เว็บ 55% ยังรับรหัสผ่านที่ง่ายมาก เช่น "123456" และ "password"
  • เว็บ 51% ไม่ล็อกบัญชีผู้ใช้แม้มีความพยายามล็อกอินด้วยรหัสที่ผิดไปแล้วสิบครั้ง
  • มี 8 เว็บไซต์ ส่งรหัสผ่านให้กับผู้ใช้ผ่านอีเมล

เมื่อคิดคะแนนออกมาแล้วแอปเปิลเป็นเว็บเดียวที่ได้คะแนนเต็มตามรายงานฉบับนี้ และที่สองตามมาด้วย Newegg, Chegg, และไมโครซอฟท์ ได้คะแนนเท่ากัน

กระบวนการให้คะแนนของ Dashlane จำกัดอยู่เฉพาะนโยบายรหัสผ่านเท่านั้น กระบวนการรักษาความปลอดภัยยังมีกระบวนการอื่นๆ ที่ควรพิจารณาอีกมาก เช่น การเข้ารหัสทางเดียวด้วยกระบวนการที่แข็งแกร่งและทำงานได้ช้า เช่น PBKDF2, bcrypt, scrypt หรือการเชื่อมต่อด้วย HTTPS ที่แต่ละเว็บมีนโยบายไม่เหมือนกัน ไปจนถึงการรองรับ two-factor authentication ที่เพิ่มความปลอดภัยได้ดี แต่การมีนโยบายรหัสผ่านที่ดีก็นับเป็นจุดเริ่มต้นที่สำคัญแม้ว่าเกณฑ์การให้คะแนนบางข้ออาจจะถูกตั้งคำถามว่าเหมาะสมหรือไม่ เช่น การล็อกบัญชีอาจจะทำให้ผู้ใช้ตัวจริงทำงานได้ลำบากเมื่อมีคนกลั่นแกล้งด้วยการล็อกอินด้วยรหัสมั่วๆ เพื่อให้บัญชีถูกล็อก

ที่มา - ArsTechnica, Dashlane (PDF)

Tags:
Android

นักวิจัยจากบริษัท Trustlook ผู้ผลิตซอฟต์แวร์แอนตี้ไวรัส ได้ค้นพบช่องโหว่ Remote Code Execution ในแอพ Bing บน Android โดยช่องโหว่นี้แฮ็กเกอร์สามารถสั่งติดตั้งแอพอะไรก็ได้ลงในเครื่องของเหยื่อ ดักฟังโทรศัพท์ หรือควบคุมเครื่องของเหยื่อให้ทำงานอื่นๆ ตามที่แฮ็กเกอร์ต้องการ (คลิปตัวอย่างการโจมตีดูได้ท้ายข่าว)

ทางนักวิจัยยังไม่ได้เปิดเผยรายละเอียดวิธีการโจมตีผ่านช่องโหว่นี้ บอกคร่าวๆ เพียงว่าเป็นการปลอม DNS response ซึ่งหากมีแฮ็กเกอร์ใช้วิธีนี้โจมตีในเครือข่าย Wi-Fi สาธารณะ (เช่น ตามร้านอาหาร) ก็จะสามารถควบคุมเครื่องของเหยื่อที่เชื่อมต่อกับ Wi-Fi นั้นๆ ได้

Tags:
Facebook

Reginaldo Silva นักวิจัยความปลอดภัยคอมพิวเตอร์ ผู้ค้นพบบั๊กในโมดูล OpenID ของ Drupal เมื่อปี 2012 รายงานบั๊กในระบบ OpenID ของเฟซบุ๊ก ทำให้ผู้ใช้สามารถรันคำสั่งใดๆ ก็ได้บนเซิร์ฟเวอร์ของเฟซบุ๊ก (remote code execution) จากระดับความร้ายแรงของบั๊กทำให้เขาได้รับเงินรางวัลถึง 33,500 ดอลลาร์ หรือประมาณหนึ่งล้านบาท

ทีมวิศวกรของเฟซบุ๊กแก้ปัญหานี้ภายในเวลาไม่กี่ชั่วโมงหลังได้รับรายงาน โดย Silva บันทึกเวลาของการรายงานบั๊กนี้ทั้งหมดไว้ เมื่อวันที่ 19 พฤศจิกายนที่ผ่านมา เขารายงานบั๊กไปยังเฟซบุ๊กครั้งแรกและเกือบสองชั่วโมงต่อมาเฟซบุ๊กก็ติดต่อกลับมาซึ่งทาง Silva ส่งตัวอย่างการโจมตีไปให้ภายในสิบนาที ทีมงานแก้ปัญหาภายในสองชั่วโมงและตอบมาว่ากำลังนำขึ้นระบบจริงภายในครึ่งชั่วโมง

กระบวนการที่ช้าคือการพิจารณาเงินรางวัล เฟซบุ๊กใช้เวลากว่าหนึ่งเดือนในการพิจารณาความร้ายแรงของปัญหา และตัดสินใจจัดเป็นบั๊กที่มีโอกาสจะเป็นบั๊ก remote code execution (RCE) โดยไม่ยอมรับว่าเป็นบั๊ก RCE ตรงๆ

ที่มา - Facebook, The Hacker News, Ubercomb

Tags:
BitDefender

BitDefender เป็นผู้พัฒนาซอฟต์แวร์ด้านความปลอดภัยอีกรายที่ออกมาประกาศนโยบายต่อ Windows XP

  • ซอฟต์แวร์สายคอนซูเมอร์ จะได้รับบริการอัพเดตและสนับสนุนหลังขายไปจนถึงเดือนมกราคม 2016 (32 เดือนหลัง Windows XP หมดอายุ)
  • ซอฟต์แวร์สายองค์กร จะได้ถึงเดือนมกราคม 2017

อย่างไรก็ตาม Windows XP ที่ BitDefender สนับสนุนหมายถึง XP SP3 เท่านั้น ส่วนรุ่น SP1/SP2 หมดอายุไปแล้วตั้งแต่ปี 2011 ครับ

ที่มา - BitDefender

Tags:

Phil Zimmermann ผู้สร้างซอฟต์แวร์เข้ารหัสอีเมล Pretty Good Privacy (PGP) นำทีมผู้เชี่ยวชาญด้านความปลอดภัยมาร่วมกันสร้างสมาร์ทโฟนเน้นความปลอดภัยที่มาพร้อมกับเครื่องมือในตัวหลายอย่าง โดยใช้ชื่อว่า Blackphone

รายละเอียดของ Blackphone ตอนนี้ยังออกมาไม่มากนัก ทีมผู้สร้างบอกว่าทำมือถือรุ่นนี้มาโดยคำนึงถึงการควบคุมการเป็นส่วนตัวเป็นหลักเหนือสิ่งอื่นใด เพื่อสร้างความปลอดภัยให้กับผู้ใช้ในทุกกิจกรรมบนมือถือ โดยตัวเครื่องสามารถใช้ได้กับทุกเครือข่ายที่เป็น GSM สเปคตอนนี้ยังไม่ออกมา แต่ก็บอกคร่าวๆ ว่าอยู่ในระดับเดียวกับผู้ผลิตรายอื่น

ตอนนี้มีภาพแรกของตัวเครื่องออกมาแล้ว (ดูจากเว็บไซต์ Blackphone ได้) ส่วนรายละเอียดอื่นๆ คงต้องรอดูในงาน MWC 2014 วันที่ 24 กุมภาพันธ์นี้ครับ

ที่มา - Ars Technica