Tags:
App Engine

กูเกิลเปิดเครื่องมือ Google Cloud Security Scanner ที่สามารถสแกนเว็บหาช่องโหว่หลักคือ cross-site scripting (XSS) และ mixed content scripting ความพิเศษของเครื่องมือนี้คือมันสามารถสแกนได้แม้แต่เว็บที่ใช้จาวาสคริปต์อย่างหนัก

กระบวนการสแกน XSS จะส่งข้อมูลที่ยิงกลับไปยัง Chrome DevTools หากตัวสแกนสามารถโพสข้อความใดๆ ที่กระตุ้นให้ DevTools ทำงานได้ก็แสดงว่ามีช่องโหว่ XSS

ตัวสแกนอัตโนมัติเช่นนี้คงไม่ได้ช่วยกวาดล้างช่องโหว่ให้หมดไป แต่ช่องโหว่ง่ายๆ ที่รู้จักกันดีก็น่าจะช่วยแจ้งเตือนล่วงหน้าได้มาก

ใช้ได้เฉพาะ URL ที่เป็น App Engine เท่านั้น

ที่มา - Google Cloud Platform, The Hacker News

Tags:
Google

โดเมนของกูเกิลเวียดนาม (www.google.com.vn) ถูก resolve ไปยังหมายเลขไอพี 104.27.142.97 และ 104.27.143.97 ซึ่งเป็นเซิร์ฟเวอร์ของ CloudFlare แทนที่จะเป็นเซิร์ฟเวอร์ของกูเกิลเอง

ความเป็นไปได้อย่างหนึ่งคือ NIC ของเวียดนามถูกแฮกโดยตรง เพราะข้อมูลโดเมนก็ถูกแก้ไขไปด้วย หรืออีกทางหนึ่งกูเกิลเองอาจจะถูกขโมยข้อมูลยืนยันตัวตนเพื่อเข้าไปแก้ไขข้อมูลโดเมน

ที่มา - tinhte, Hacker News

Mac OS X

ผู้ใช้งานระบบปฏิบัติการ Mac OS X และ iOS จากค่ายแอปเปิล มักจะยืนยันถึงความปลอดภัยของระบบปฏิบัติการของตนที่เหนือชั้นกว่าระบบปฏิบัติการ Windows และ Android อยู่อย่างสม่ำเสมอ แต่จากข้อมูลล่าสุดที่ปรากฏดูเหมือนจะทำให้ผู้ใช้กลุ่มนี้เสียหน้ากันไปไม่น้อย

เว็บไซต์ GFI รายงาน จากฐานข้อมูลของ National Vulnerability Database (NVD) ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (National Institute of Standards and Technology - NIST) พบว่า ปี 2014 ที่ผ่านมาเป็นปีที่ผู้ใช้ต่างต้องเผชิญกับปัญหาช่องโหว่ด้านความปลอดภัยอย่างหนัก คือพบช่องโหว่ด้านความปลอดภัยตลอดทั้งปี 7,038 จุด หรือเฉลี่ย 19 จุดต่อวัน ซึ่งสูงกว่าปี 2013 และปีก่อนๆ เกือบเท่าตัว

Tags:

หลักการความปลอดภัยข้อหนึ่งที่ดูจะไม่เกี่ยวกับความปลอดภัยนัก คือ availability หรือสถานะพร้อมใช้งาน แม้ว่าแฮกเกอร์อาจจะไม่ได้ขโมยข้อมูลออกไปจากระบบ หรือทำลายข้อมูลสร้างความเสียหายโดยตรง แต่ทุกวันนี้เพียงแค่การทำให้ระบบไม่สามารถใช้งานได้โดยผู้ใช้ที่ถูกต้อง ก็สร้างความเสียหายได้มากมาย ระบบสำคัญอย่างสาธารณูปโภค เช่น ไฟฟ้า, โทรศัพท์, หรือน้ำประปา หากไม่สามารถใช้งานเพียงไม่กี่ชั่วโมง ความเสียหายอาจจะสูงจนคาดไม่ถึง ในโลกอินเทอร์เน็ต ธนาคารออนไลน์อาจจะถูกโจมตีจนกระทั่งไม่สามาถใช้งานได้สร้างความเสียหายให้กับลูกค้าของธนาคารและความน่าเชื่อถือของธนาคารเอง

Tags:
Lenovo

หลังกรณี Superfish เป็นข่าวใหญ่โตไปทั่วโลก บริษัท Superfish ที่เงียบมาโดยตลอดก็ออกแถลงการณ์ชี้แจงในนามซีอีโอ Adi Pinhas มีใจความโดยสรุปคือ

  • สื่อมวลชนและบล็อกเกอร์มีความเข้าใจผิดๆ เกี่ยวกับซอฟต์แวร์ของ Superfish ที่ติดตั้งในโน้ตบุ๊ก Lenovo บางรุ่น
  • ซอฟต์แวร์ของ Superfish ติดตั้งบนโน้ตบุ๊ก Lenovo จำนวนไม่มากนัก (a limited number of computers) เป้าหมายเพื่อยกระดับประสบการณ์ช็อปปิ้งออนไลน์แก่ลูกค้า
  • Superfish ไม่ได้สร้างความเสี่ยงด้านความปลอดภัย และไม่ได้เก็บข้อมูลส่วนตัวของผู้ใช้งาน รวมถึงไม่แชร์ไปยังหน่วยงานอื่นใด
  • การค้นพบช่องโหว่ของ Superfish ที่เป็นข่าว ถูกค้นพบอย่างไม่ตั้งใจโดยบุคคลอื่น ซึ่งทั้ง Superfish และ Lenovo ได้ตรวจสอบซอฟต์แวร์อย่างละเอียด (extensive testing) แต่ก็ไม่เคยพบปัญหานี้
  • Superfish ภูมิใจในคุณภาพของซอฟต์แวร์ตัวเอง มั่นใจว่าทำธุรกิจอย่างโปร่งใส ความสำเร็จของบริษัทมาจากการตอบสนองของลูกค้าว่าใช้ระบบค้นหา visual search แล้วได้ประโยชน์จริงๆ

เว็บไซต์ Ars Technica ตั้งข้อสังเกตว่าตอนแรก Lenovo ก็ออกแถลงการณ์แบบเดียวกันว่าไม่พบช่องโหว่ที่ผู้เชี่ยวชาญกังวล แต่หลังจากนั้นไม่นาน Lenovo ก็ถอดข้อความนี้ออก และ CTO ของบริษัทก็ออกมายอมรับความผิดพลาด

ที่มา - Ars Technica

Tags:
Superfish

ประเด็นปัญหา Lenovo/Superfish ยังได้รับความสนใจอย่างต่อเนื่อง ล่าสุดมีผู้เชี่ยวชาญความปลอดภัยแจ้งว่า ไมโครซอฟท์อัพเดต Windows Defender ซอฟต์แวร์ความปลอดภัยที่มากับ Windows ให้ถอนการติดตั้ง Superfish รวมถึงลบใบรับรองดิจิทัลแล้ว

สำหรับผู้ที่สนใจว่าตัวเองติด Superfish หรือไม่ สามารถเช็คได้จาก Superfish CA test

ฝั่งของ Lenovo เองเพิ่งออกเครื่องมือลบ Superfish ตามที่สัญญาไว้ และบอกว่ากำลังทำงานร่วมกับ McAfee ในเรื่องนี้ด้วยเช่นกัน

ที่มา - Neowin, Lenovo

Tags:
Lenovo

ท่าทางปัญหาเรื่อง Lenovo ใส่โปรแกรมสแปม Superfish เข้ามาในเครื่องลูกค้านั้นใกล้จะจบแล้วนะครับ (ข่าวเก่า) ล่าสุด Lenovo ได้ปล่อยเครื่องมือสำหรับถอนการติดตั้ง Superfish แบบอัตโนมัติออกมาแล้ว ผู้ใช้สามารถดาวน์โหลดได้ที่นี่ ซึ่งถ้าไม่ต้องการใช้โปรแกรมดังกล่าวก็สามารถดำเนินการลบเองได้เช่นกัน โดย Lenovo ได้ทำคู่มือการถอนการติดตั้งอย่างละเอียดไว้ในลิงค์ข้างต้น และถ้ามีเบราว์เซอร์อื่นเช่น Firefox ติดตั้งอยู่ก็ต้องไปไล่ลบในตัวเบราว์เซอร์ด้วย

นอกจากนี้ Lenovo ยังออกแถลงการณ์เพิ่มเติมว่าบริษัทกำลังทำงานร่วมกับ Microsoft และ McAfee เพื่อให้ทั้งสองเจ้าทำการลบ Superfish และใบรับรองดิจิทัลออกจากคอมพิวเตอร์ของผู้ใช้ที่ยังไม่ทราบปัญหานี้อีกด้วย ซึ่งตอนนี้ Microsoft ได้อัพเดต Windows Defender ให้ตรวจจับ Superfish ได้แล้ว

สุดท้าย Lenovo ยังย้ำว่าปัญหานี้ไม่มีผลกระทบต่อผู้ใช้ ThinkPad, แท็บเล็ต, คอมพิวเตอร์ตั้งโต๊ะ, สมาร์ทโฟน และอุปกรณ์ฝั่งองค์กรทุกรุ่น

ที่มา - Lenovo, Windows Central

Tags:
DHS

ปัญหา Lenovo/Superfish กลายเป็นเรื่องระดับชาติไปแล้ว เมื่อหน่วยงานด้านความปลอดภัยไซเบอร์ของสหรัฐ (US-CERT) สังกัดกระทรวงความมั่นคงแห่งมาตุภูมิ ได้ออกประกาศเตือนภัย Lenovo Superfish Adware ว่ามีความเสี่ยงต่อการดักข้อมูลผ่าน HTTPS (HTTPS spoofing)

ประเด็นของ US-CERT คือการที่ Superfish ติดตั้งใบรับรองดิจิทัลของตัวเอง และตัวรหัสถูกเปิดเผยแล้ว ทำให้แฮ็กเกอร์สามารถใช้ประโยชน์จากช่องโหว่นี้ได้ ทางแก้คือให้ถอนการติดตั้ง Superfish ออกจากระบบ และลบใบรับรอง Superfish ออกด้วย

ที่มา - US-CERT

Tags:
Lenovo

จากกรณีปัญหา Lenovo/Superfish ทางเว็บไซต์ Wall Street Journal ได้สัมภาษณ์ Peter Hortensius ซีทีโอของ Lenovo ในประเด็นนี้ครับ

  • Lenovo กำลังสร้างเครื่องมือลบ Superfish แบบล้างบางอยู่ น่าจะเสร็จในอีกไม่กี่วันนี้
  • เขาบอกว่า Lenovo ยังไม่พบปัญหาการดักข้อมูลผู้ใช้ และบทวิเคราะห์ของผู้เชี่ยวชาญถือเป็นความเสี่ยงที่เป็นไปได้ในทางทฤษฎี แต่บริษัทก็ยอมรับว่าพฤติกรรมแบบ Superfish ถือเป็นสิ่งที่เราไม่อยากให้มีในระบบ
  • Lenovo ตรวจสอบซอฟต์แวร์ที่จะพรีโหลดลงบนเครื่องเสมอ แต่กรณีนี้บริษัทยอมรับว่าตรวจสอบไม่ดีพอ (we didn't do enough) ความตั้งใจของบริษัทคือช่วยเพิ่มประสบการณ์ช็อปปิ้งออนไลน์แก่ลุกค้า แต่เมื่อลูกค้าบอกว่ามันไม่มีประโยชน์ บริษัทก็ปิดมันทันที
  • เขาบอกว่าชื่อเสียงของบริษัทคือสิ่งสำคัญที่สุด (our reputation is everything) และผลิตภัณฑ์ของเราคือสิ่งที่สร้างชื่อเสียงให้เรา
  • เขาเลี่ยงจะตอบคำถามว่าทำไมไม่เลิกพรีโหลดซอฟต์แวร์ทั้งหมดไปเลย แต่บอกอ้อมๆ ว่าปกติแล้วซอฟต์แวร์ที่พรีโหลดก็ได้รับเสียงตอบรับในทางที่ดี หลังกรณีปัญหาครั้งนี้ บริษัทจะรีวิวดูว่าสามารถปรับปรุงเรื่องการพรีโหลดซอฟต์แวร์ได้อย่างไรบ้าง

ที่มา - Wall Street Journal

Tags:
Lenovo

จากปัญหาโน้ตบุ๊ก Lenovo แอบฝัง Superfish และมีความเสี่ยงที่จะถูกดักข้อมูล ทางบริษัท Lenovo ก็ออกแถลงการณ์โดยมีใจความดังนี้ครับ

  • Superfish ถูกติดตั้งมาในโน้ตบุ๊กบางรุ่นที่ขายระหว่างเดือนกันยายน-ธันวาคม 2014 (รายชื่อท้ายข่าว) เป้าหมายเพื่อช่วยให้ลูกค้าค้นพบสินค้าที่น่าสนใจได้ง่ายขึ้น
  • หลังจากลูกค้าแสดงความไม่พอใจ Lenovo ก็ตอบสนองอย่างรวดเร็วโดยปิดเซิร์ฟเวอร์ของ Superfish ตั้งแต่เดือนมกราคม 2015 บริษัทก็ไม่ได้พรีโหลด Superfish ในสินค้าล็อตเดือนมกราคม และสัญญาว่าจะไม่พรีโหลด Superfish อีกในอนาคต
  • Lenovo ยืนยันว่า Superfish ไม่ได้ดักข้อมูลของผู้ใช้เพื่อเลือกโฆษณา แต่ใช้วิธีประมวลจากบริบทข้อความหรือภาพบนหน้าเว็บนั้นๆ
  • Lenovo บอกว่าได้รับผลตอบแทนจาก Superfish แต่ไม่มากนัก เหตุผลที่ใส่เข้ามาเพื่อยกระดับประสบการณ์ให้ผู้ใช้ แต่เมื่อ Superfish ทำไม่ได้ตามเป้า ก็รีบจัดการอย่างรวดเร็ว
  • Lenovo ออกประกาศเตือนภัยความปลอดภัย LEN-2015-010 ระดับความรุนแรง High รูปแบบการโจมตี Man-in-the-Middle Attack และบอกวิธีลบ Superfish ออกจากระบบ โดยต้อง uninstall โปรแกรมตามปกติ และลบใบรับรองในหน้า Manage computer certificates ด้วย
Tags:
Lenovo

หลังรายงานโปรแกรมโฆษณา Superfish ถูกติดตั้งมากับโน้ตบุ๊กเลอโนโวหลายรุ่น โดย Superfish จะคั่นกลางเว็บทุกเว็บแม้แต่เว็บที่เข้ารหัส และแทรกโฆษณาเข้าไปในหน้าเว็บเหล่านั้น ตอนนี้ทุกเครื่องที่มี Superfish อยู่ในเครื่องเสี่ยงต่อการถูกดักฟังทั้งหมด

สาเหตุเพราะตัว Superfish ทำตัวเองเป็นพรอกซี่คั่นกลางแบบเดียวกับ mitmproxy และกระบวนการติดตั้งจะใส่ไฟล์ CA ของ Superfish ลงไปในวินโดวส์ แต่กุญแจของ CA นี้ก็อยู่ในไฟล์ exe ของ Superfish นั่นเองเพราะตัวโปรแกรมทำหน้าที่คั่นกลางเว็บที่ผู้ใช้เปิดขึ้นมา

Robert Graham จาก Errata Security แกะหาไฟล์กุญแจของ CA ในไฟล์ exe ของ Superfish พบว่าเป็นไฟล์ที่เข้ารหัสไว้ด้วยรหัสผ่าน และเมื่อพยายามหาคำสำคัญที่น่าจะเป็นรหัสผ่านจากไฟล์ exe เองก็พบว่ารหัสผ่านคือ "komodia" ทำให้สามารถดึงเอากุญแจของ Superfish ออกมาได้

แฮกเกอร์ที่ต้องการดักฟังเครื่องที่มี Superfish สามารถใช้กุญแจนี้กับโปรแกรมคั่นกลางเว็บเข้ารหัส เช่น mitmproxy เพื่อดักฟังเว็บทั้งหมดได้ แม้ว่า Chrome และ Firefox จะเริ่มล็อกใบรับรองในเว็บจำนวนหนึ่งแต่ก็ไม่ควรวางใจ เพราะเว็บจำนวนมากยังไม่ได้ล็อกใบรับรอง และ Internet Explorer เองก็เพิ่งทดสอบฟีเจอร์นี้

สำหรับคนที่สงสัยว่าจะมี Superfish หรือไม่ ตรวจสอบเบื้องต้นได้ในเว็บ Superfish CA Test

แนวทางแก้ปัญหาเบื้องต้น คือ ถอดใบรับรองของ Superfish ออกจากเครื่อง ด้วยการรัน mmc แล้วเข้าจัดการ CA หรือหากยังไม่แน่ใจอาจจะต้องล้างเครื่องลงใหม่ครับ

ที่มา - Errata Security

Tags:
Lenovo

มีลูกค้าโน้ตบุ๊กค่าย Lenovo บางรุ่นแจ้งว่าพบโปรแกรมสแปม-โฆษณา (adware) ชื่อ Superfish ถูกติดตั้งมาในเครื่องตั้งแต่โรงงาน เมื่อใช้คอมพิวเตอร์เหล่านี้เข้าเว็บแล้วจะพบโฆษณาของบริษัท VisualDiscovery ฝังเข้ามาบนหน้าเว็บต่างๆ

ปัญหานี้ถูกพบมาตั้งแต่เดือนกันยายน 2014 โดยลูกค้าเข้าไปแจ้งในฟอรั่มของ Lenovo ส่วนตัวแทนของบริษัทก็ตอบกระทู้ว่าลบ Superfish ออกจากระบบของเครื่องในสต๊อกชั่วคราว ส่วนกรณีของเครื่องที่ขายไปแล้ว ทางบริษัทได้ขอให้ Superfish อัพเดตเพื่อแก้ปัญหาของลูกค้า อย่างไรก็ตาม ตัวแทนของ Lenovo ก็โพสต์สนับสนุนว่า Superfish ช่วยให้ลูกค้าค้นหาสินค้าที่ต้องการได้ง่ายขึ้น

ประเด็นที่น่าสนใจคือ Superfish ติดตั้งใบรับรองดิจิทัลที่ตัวเองรับรองเอง (self-signed certificate) ทำให้ Superfish สามารถล้วงข้อมูลลูกค้าแบบ man-in-the-middle ได้

เว็บไซต์ The Next Web สอบถามไปยังโฆษกของ Lenovo ในประเด็นนี้แล้วยังไม่ได้รับคำตอบครับ

ที่มา - The Next Web, กระทู้ (1), กระทู้ (2)

Tags:
Android

แอพอีเมล (ไม่ใช่ Gmail) ในแอนดรอยด์มีช่องโหว่ในการอ่านอีเมลที่มีข้อมูล Content-Disposition ในหัวอีเมล ทำให้แอพจะแครชทันทีที่แอพได้รับอีเมล

ทางแก้ปัญหาที่ง่ายที่สุดคือการล็อกอินเข้าระบบเมลผ่านเว็บหรือช่องทางอื่นๆ เพื่อไปลบอีเมลนั้นออก จึงสามารถใช้งานแอพได้ตามปกติ

ผู้ใช้แอพเวอร์ชั่น 4.2.2.0400 ขึ้นไปจะไม่ได้รับผลกระทบจากบั๊กนี้ ผู้ใช้ที่ใช้แอนดรอยด์รุ่นใหม่ๆ น่าจะใช้แอพรุ่น 6.0 ขึ้นไปแล้วจึงไม่ได้รับผลกระทบเช่นกัน แต่สำหรับผู้ใช้แอนดรอยด์รุ่นที่เลิกซัพพอร์ตไปแล้ว อาจจะแก้ปัญหาได้ยาก

บั๊กนี้ได้รับหมายเลขเป็น CVE-2015-1574 เป็นบั๊กในกลุ่ม Denial of Service ที่แม้จะไม่ได้ดึงข้อมูลของผู้ใช้หรือเปิดให้คนร้ายเข้ามาควบคุมเครื่อง แต่ก็ทำให้ผู้ใช้ไม่สามารถใช้งานได้ตามปกติ

ที่มา - Packet Storm Security, The Register

Tags:
Internet Explorer

เมื่อวานนี้ (17 กุมภาพันธ์) ไมโครซอฟท์ประกาศออกมาว่า Internet Explorer รุ่นที่อยู่ใน Windows 10 Technical Preview ได้รองรับมาตรฐาน HSTS หรือ HTTP Strict Transport Security ที่ใช้บังคับให้เบราว์เซอร์ให้เชื่อมต่อกับเว็บไซต์แบบเข้ารหัสเสมอแล้ว

การรองรับมาตรฐานนี้จะช่วยให้ผู้ใช้ที่ใช้งาน Internet Explorer สามารถเข้าใช้งานเว็บที่เข้ารหัสได้อย่างปลอดภัยมากขึ้นด้วยการบังคับให้เว็บไซต์ที่ประกาศ HSTS ไว้ จะเชื่อมต่อแบบเข้ารหัสเสมอตั้งแต่ต้น โดยเจ้าของเว็บไซต์สามารถเปิด HSTS ได้ด้วยตัวเองผ่านการประกาศ header Strict-Transport-Security หรือลงทะเบียนกับ Chromium HSTS preload list (ในเว็บมีวิธีการตั้งค่า header ด้วย) ที่เบราว์เซอร์ทั้ง Chrome และ Firefox ต่างก็ใช้ข้อมูลนี้ด้วยกันอยู่แล้ว ทั้งนี้ยังไม่ระบุว่ารองรับการปักหมุดใบรับรองตามร่างมาตรฐาน HTTP Public Key Pinning ตามที่ใน preload list มีอยู่ด้วยหรือไม่ครับ

ใครสนใจทดสอบสามารถทดลองใช้งานจริงได้บน Windows 10 Technical Preview โดยการลงทะเบียนใน Windows Insider Program ได้เลยครับ

ที่มา: MSDN Blog

Tags:

หน่วยงานวิจัยของ GE หรือที่เคยรู้จักกันในชื่อ General Electric ได้ผลิตแท็ก RFID ที่มีความสามารถในการตรวจจับวัตถุระเบิดและสาร oxidizer (ซึ่งเป็นตัวช่วยเพิ่มความรุนแรงแก่การเผาไหม้) โดยได้รับความร่วมมือในการพัฒนาจาก Technical Support Working Group (TSWG) อันเป็นหน่วยงานต่อต้านการก่อการร้ายของสหรัฐอเมริกา

แท็ก RFID แบบพิเศษของ GE นี้มีขนาดพอๆ กับแสตมป์ดวงหนึ่งเท่านั้น มันประกอบด้วยส่วนของวงจร RFID ที่จะใช้สำหรับการส่งสัญญาณด้วยคลื่นวิทยุ (พร้อมตอบรับเครื่องสแกนทันทีโดยที่ตัวมันเองไม่ต้องการพลังงานจากแบตเตอรี่แต่อย่างใด) และมีสารเคมีที่เป็นตัวตรวจจับวัตถุระเบิดเคลือบแท็กเอาไว้ เมื่อมีผู้เอาเครื่องสแกนแบบพกพามาใกล้แท็กก็จะรู้ได้ว่ามีวัตถุอันตรายอยู่ตรงบริเวณนั้น

การพัฒนาแท็ก RFID นี้จะช่วยให้งานด้านความมั่นคง โดยเฉพาะในขั้นตอนการตรวจหาวัตถุระเบิดนั้นทำได้อย่างมีประสิทธิภาพและครอบคลุมพื้นที่ต่างๆ มากยิ่งขึ้น เนื่องด้วยแท็กที่มีขนาดเล็กและราคาถูก (อยู่ในช่วง 0.05-0.50 ดอลลาร์) ทำให้สามารถผลิตเป็นจำนวนมากและนำไปติดตั้งไว้ได้สารพัดสถานที่ เป็นต้นว่า ตู้คอนเทนเนอร์, กระเป๋าเดินทาง, ตู้ล็อกเกอร์ เป็นต้น ทั้งยังช่วยให้การเฝ้าระวังวัตถุระเบิดทำได้ง่ายและสะดวกกว่าการใช้สุนัขดมกลิ่นหรือเครื่องสแกนวัตถุระเบิด

GE ระบุว่าแท็กตรวจหาวัตถุระเบิดนี้จะพร้อมผลิตขายจริงในอีก 2-3 ปีข้างหน้า และในอนาคต GE ก็ตั้งใจว่าจะพัฒนาแท็ก RFID แบบอื่นที่จะสามารถตรวจหาอาวุธชีวภาพ, ก๊าซอันตราย รวมทั้งตรวจการเสื่อมสภาพของฉนวนไฟฟ้าด้วย

ที่มา - Phys.Org

Tags:
Tim Cook

ทิม คุก ขึ้นพูดสุนทรพจน์ในงาน "White House Summit on Cybersecurity and Consumer Protection" (ที่ซีอีโอบริษัทอื่นหลายบริษัทไม่ยอมไป) สุนทรพจน์ของทิม คุก เน้นยำถึงความสำคัญของข้อมูลส่วนตัว

สุนทรพจน์ของเขาระบุว่า บริษัทจำเป็นต้องใช้เทคโนโลยีที่ดีที่สุดเพื่อรักษาทั้งความมั่นคงปลอดภัยและความเป็นส่วนตัวของลูกค้า การไม่สนใจความเป็นส่วนตัวสร้างผลกระทบที่เป็นหายนะได้ เพราะคนจำนวนมากไม่ได้รับการปฎิบัติอย่างเท่าเทียม ไม่สามารถเลือกนับถือศาสนา ไม่สามารถแสดงความคิดเห็น หรือไม่สามารถเลือกรักคนที่ต้องการได้ ข้อมูลเหล่านี้ตัดสินความเป็นความตายของคนได้ หากบริษัทล้มเหลวที่จะรักษาความเป็นส่วนตัว ความเสียหายไม่ใช่แค่เงินที่บริษัทจะได้รับ แต่เป็นวิถีชีวิตที่จะเสียไป

Tags:
USA

โอบามาประกาศคำสั่งทางบริหาร (Executive Order) สั่งให้หน่วยงานรัฐบาลกลางสร้างศูนย์แลกเปลี่ยนข้อมูล (clearing house) แลกเปลี่ยนข้อมูลการโจมตีทางไซเบอร์ โดยเอกชนจะสามารถเข้าร่วมในศูนย์นี้ได้โดยสมัครใจ

เอกชนที่เข้าร่วมจะสามารถรับข้อมูลเตือนภัย หรือส่งข้อมูลเตือนภัยเข้ามาด้วยก็ได้ อย่างไรก็ดีเจ้าหน้าที่รัฐและเอกชนตามคำสั่งนี้ยังคงมีความรับผิดชอบต่อความเป็นส่วนตัวของผู้ใช้ที่ข้อมูลอาจจะถูกแชร์กันไปมาในศูนย์นี้

ก่อนหน้านี้รัฐบาลสหรัฐฯ พยายามผ่านกฎหมายแชร์ข้อมูลการโจมตีมาหลายครั้ง กฎหมาย CISPA สร้างศูนย์คล้ายกันแต่ให้ความคุ้มครองต่อบริษัทที่แชร์ข้อมูลเข้าศูนย์นี้ แม้จะมีข้อกำหนดว่าข้อมูลที่แชร์จะต้องถูกลบข้อมูลส่วนบุคคลออกไปแล้วก็ตาม แต่กฎหมายยังถูกต่อต้านเพราะความเสี่ยงต่อการรั่วไหลของข้อมูลส่วนตัว การออกคำสั่งฝ่ายบริหารแทนที่จะเป็นการออกกฎหมายผ่านสภาทำให้มีอำนาจจำกัดกว่า

ความสัมพันธ์ต่อรัฐบาลสหรัฐฯ และภาคเอกชนแย่ลงอย่างรวดเร็วในช่วงปีที่ผ่านมาจากการเปิดเผยข้อมูลของ Edward Snowden แม้ศูนย์แลกเปลี่ยนข้อมูลนี้จะเกิดขึ้นจริงก็น่าสงสัยว่าจะมีเอกชนรายสำคัญเข้าร่วมมากน้อยแค่ไหน

ที่มา - The Register

Tags:
Google

หลังจากโครงการค้นหาช่องโหว่ความปลอดภัย Project Zero ของกูเกิลสร้างความปั่นป่วนให้วงการซอฟต์แวร์ โดยเปิดเผยช่องโหว่ของ Windows และ OS X ตามกำหนด 90 วัน โดยไม่สนใจว่าไมโครซอฟท์และแอปเปิลกำลังทดสอบแพตช์แก้ไข

ล่าสุดทางทีม Project Zero ยอมปรับเงื่อนไข 90 วันให้ยืดหยุ่นขึ้นแล้ว โดยยังคงระยะเวลา 90 วันเท่าเดิม แต่เพิ่มเงื่อนไขอื่นๆ ดังนี้

  • ถ้าวันที่ 90 ตรงกับวันหยุดสุดสัปดาห์ หรือวันหยุดราชการของสหรัฐอเมริกา กูเกิลจะเผยช่องโหว่ในวันทำงานวันถัดไป
  • ถ้าหน่วยงานเจ้าของซอฟต์แวร์กำลังทดสอบแพตช์อยู่ แต่ไม่เสร็จทันระยะเวลา 90 วัน บริษัทนั้นสามารถร้องขอให้กูเกิลยืดเวลาให้อีก 14 วันได้ (grace period) โดยกูเกิลสงวนสิทธิเป็นฝ่ายพิจารณาว่าจะยืดให้หรือไม่
  • โลกความปลอดภัยระบุช่องโหว่แต่ละตัวเป็นเลข CVE (Common Vulnerabilities and Exposures) ในกรณีบริษัทเจ้าของซอฟต์แวร์กำลังออกแพตช์อยู่แต่ยังไม่เสร็จดี กูเกิลจะจองเลข CVE ไว้ให้ แล้วค่อยเปิดเผยข้อมูลช่องโหว่พร้อมเลข CVE นั้นเมื่อแพตช์ออกแล้ว

กูเกิลยังเผยสถิติของ Project Zero ว่าที่ผ่านมาเผยบั๊กแล้ว 154 ตัว และ 85% ถูกแก้ภายใน 90 วัน นอกจากนี้กูเกิลยังชมเชยทีม Adobe Flash ว่าผลงานดีเยี่ยม แก้บั๊ก 37 ตัวที่ Project Zero เปิดเผยได้ภายใน 90 วันทั้งหมด (สถิติ 100%)

ที่มา - Google Online Security

Tags:
FIDO

ไมโครซอฟท์เผยว่า Windows 10 จะรองรับมาตรฐานการล็อกอินที่ไม่ใช้รหัสผ่าน (passwordless authentication) FIDO 2.0 ที่บริษัทมีส่วนร่วมในการร่างมาตรฐาน โดยโซลูชันของบริษัทคือการผนวกการล็อกอินบน Windows 10, Azure Active Directory และบริการ SaaS ชื่อดัง อาทิ Office 365 Exchange Online, Salesforce, Citrix, Box และ Concur

อนึ่ง FIDO Alliance เป็นกลุ่มของบริษัทไอทีหลายราย (อาทิ กูเกิล, ไมโครซอฟท์, เลอโนโว, ซัมซุง) ที่รวมตัวกันเพื่อสร้างมาตรฐานการล็อกอินที่ไม่ใช้รหัสผ่าน โดยกลุ่มเพิ่งปล่อยมาตรฐาน FIDO 1.0 ไปเมื่อปลายปีที่แล้วครับ - Windows For Your Business

ในเรื่องของการปล่อยรุ่นทดสอบใหม่ของ Windows 10 สำหรับพีซีนั้น Gabriel Aul เจ้าเก่าเผยว่าจะยังไม่มีการปล่อยรุ่นทดสอบใหม่ในวันนี้หรือสัปดาห์หน้า (following week) แต่จะมีการปล่อยอัพเดตผ่าน Windows Update สัปดาห์หน้าครับ - @GabeAul

Tags:
Apple

แอปเปิลเริ่มรองรับการยืนยันตัวตนด้วยรหัสผ่านเฉพาะแอพพลิเคชั่น (app-specific password) บนสองบริการใหม่ คือ FaceTime และ iMessage แล้ว

ผู้ใช้ที่เปิดการยืนยันตัวตนสองปัจจัย (2-factor authentication) จะมีป๊อบอัพเตือนให้สร้างรหัสผ่าน แต่ต้องสร้างจากหน้าจอเดสก์ทอป เพื่อนำไปล็อกอินบนโทรศัพท์อีกครั้ง

ตอนนี้แอปเปิลยังรองรับการยืนยันตัวตนแบบนี้ไม่ครบทุกแอพพลิเคชั่น บริการสำคัญ เช่น iTunes และ App Store ยังคงสามารถใช้รหัสผ่านธรรมดาล็อกอินได้ต่อไป

การใช้รหัสผ่านเพื่อล็อกอินโดยตรงเป็นประเด็นที่สงสัยกันว่าเป็นต้นตอของเหตุการณ์ภาพหลุดดาราครั้งใหญ่ เพราะบางบริการที่เข้าถึงฐานข้อมูลรหัสผ่านได้ไม่มีการป้องกันการยิงรหัสผ่านที่ดีพอ การสร้างรหัสผ่านเฉพาะแอพทำให้ผู้ใช้ที่อาจจะตั้งรหัสผ่านไม่ดีนักยังใช้รหัสผ่านคุณภาพสูงกับแอพพลิเคชั่นที่มาเชื่อมต่อกับฐานข้อมูลหลัก

ที่มา - ArsTechnica