Tags:

เมื่อสัปดาห์ที่ผ่านมามัลแวร์เข้ารหัสไฟล์เรียกค่าไถ่ Locker ที่ติดอยู่ในเครื่องนับร้อยเครื่องถูกกระตุ้นให้ตื่นขึ้นมาเข้ารหัสไฟล์สำคัญในเครื่องทั้งหมด พร้อมกับเรียกค่าไถ่ 0.1BTC หรือประมาณ 24 ดอลลาร์

มัลแวร์ Locker ฝังอยู่ในเครื่องมากับไฟล์ติดตั้ง MineCraft ที่ถูกฝังมัลแวร์เอาไว้แล้วรอเวลาอยู่ในเครื่องนานนับเดือนก่อนจะกระตุ้นทุกเครื่องที่ติดมัลแวร์เปิดการทำงานขึ้นมาพร้อมๆ กัน

เมื่อวานนี้ Poka BrightMinds ผู้ใช้รายหนึ่งใน Pastebin โพสระบุว่าเขาเป็นผู้สร้างมัลแวร์ Locker และเขาขอโทษที่ทำให้ทุกคนเดือดร้อน พร้อมกับแจ้ง URL ของไฟล์ CSV ขนาด 127MB ที่ระบุบิทคอยด์, กุญแจสาธารณะ, กุญแจลับ พร้อมกับบอกโครงสร้างของไฟล์ที่ถูกเข้ารหัสว่า 4 ไบต์แรกเป็นความยาวของส่วนหัวไฟล์ ให้ใช้กุญแจลับ RSA จากไฟล์เพื่อถอดรหัสเพื่อให้ได้ ค่า initial vector และกุญแจ AES-256 กลับมาสำหรับถอดรหัสไฟล์ที่เหลือทั้งหมด

ไม่มีใครเข้าใจว่าหาก Poka เป็นนักพัฒนาจริงแล้วเขาจะปล่อยกุญแจถอดรหัสทั้งหมดออกมาเพื่ออะไร

ที่มา - NetworkWorld

Tags:
Paysbuy

อัพเดต: Paysbuy ชี้แจงอย่างไม่เป็นทางการเกี่ยวกับกรณีถูกแฮกข้อมูล

จากข่าวเก่าที่ Paysbuy งดรับบริการผูกบัตรเครดิต หลังมีผู้ร้องเรียนว่าถูกแฮก โดยผู้เสียหายทั้งหมดเป็นลูกค้า Paysbuy ที่ผูกบัตรเครดิตของตนเองไว้กับบริการ E-Wallet ของทาง Paysbuy และบัตรส่วนมากถูกนำไปใช้กับร้านค้าออนไลน์ต่างๆ ในต่างประเทศ

หลังจากการยกเลิกบริการดังกล่าว ผมได้รวมรวมข้อมูลผู้เสียหายจากสื่อสังคมออนไลน์ต่างๆ และติดต่อขอข้อมูลเพิ่มเติมจากผู้เสียหาย โดยถึง ณ วันนี้ (2 มิถุนายน 2558) มีรายงานความเสียหายที่ผมรวบรวมข้อมูลมาได้ทั้งสิ้นประมาณ 30 ราย โดยเกือบทั้งหมดเป็นลูกค้าที่ผูกบัตรเครดิตไว้กับบริการ E-Wallet ของ Paysbuy แม้ว่าบางรายจะไม่แน่ใจว่าเคยผูกบัตรเครดิตไว้กับบริการ E-Wallet หรือไม่ แต่ไม่มีรายใดที่สามารถยืนยันได้ว่ามีข้อมูลที่รั่วจากบริการรับจ่ายเงินผ่านบัตรเครดิต (payment gateway) ของ Paysbuy แต่อย่างใด

Tags:
Facebook

เฟซบุ๊กประกาศรองรับการส่งอีเมลถึงผู้ใช้แบบเข้ารหัสทั้งหมดตามฟอร์แมต PGP ทำให้อีเมลจากเฟซบุ๊กไม่สามารถอ่านโดยผู้ให้บริการหรือคนร้ายที่ดักฟังระหว่างเซิร์ฟเวอร์ได้อีกต่อไป

ปัญหาของระบบอีเมลคือการเชื่อมต่อระหว่างเซิร์ฟเวอร์ถึงเซิร์ฟเวอร์มักไม่มีการเข้ารหัส หากคนร้ายดักฟังการเชื่อมต่อระหว่างเซิร์ฟเวอร์ได้ก็จะเห็นเนื้อหาอีเมลทั้งหมด เมื่อปีที่แล้วผู้ให้บริการรายหลักๆ เช่น ไมโครซอฟท์ และยาฮู หันมาเข้ารหัสการเชื่อมต่อเพื่อส่งอีเมลระหว่างเซิร์ฟเวอร์ทำให้อีเมลที่ออกไปจากเฟซบุ๊กถึง 95% มีการเข้ารหัสไปจนถึงเซิร์ฟเวอร์ของปลายทาง

การเปิดใช้บริการอีเมลเข้ารหัสผู้ใช้จะต้องใส่กุญแจสาธารณะ PGP ลงในข้อมูลส่วนตัวพื้นฐานเสียก่อน จากนั้นจึงเลือกให้เฟซบุ๊กเข้ารหัสอีเมลด้วยกุญแจที่ใส่ไว้

ตอนนี้เฟซบุ๊กยังรองรับเฉพาะ RSA และ ElGamal และเตรียมรองรับอัลกอริธึมในกลุ่ม elliptic curve ในเร็วๆ นี้

ที่มา - Facebook

Tags:
Google I/O

ในงาน Google I/O 2015 วันที่ 2 ซึ่งจัดขึ้นเมื่อวันศุกร์ที่ผ่านมา Google ได้เปิดตัวคอมพิวเตอร์ขนาดเล็กพิเศษในชื่อ Project Vault โดยเจ้าเครื่องคอมพิวเตอร์ที่ว่านี้มีขนาดและรูปร่างเหมือนการ์ด microSD

ผลงาน Project Vault ถูกออกแบบโดยทีม ATAP (Advanced Technology and Projects) ของ Google ในทางเทคนิคแล้วมันก็คือคอมพิวเตอร์เครื่องนึง แต่ออกแบบมาเพื่อใช้งานลักษณะเฉพาะสำหรับการติดต่อสื่อสารที่ต้องการความมั่นคงปลอดภัยสูงและใช้วิธีการยืนยันตัวตนที่ไม่ใช่รหัสผ่าน

Project Vault ใช้ชิปประมวลผลของ ARM, มี NFC, มีเสาอากาศ, มีพื้นที่เก็บข้อมูลแยกต่างหากให้ 4 GB มีฮาร์ดแวร์พิเศษที่ใช้สำหรับคำนวณค่าแฮช เข้ารหัสลับข้อมูล และสร้างตัวเลขสุ่ม ทั้งหมดนี้รันบนระบบปฏิบัติการที่ออกแบบมาเฉพาะเพื่อทำงานแบบเรียลไทม์ (Real Time Operating System หรือ RTOS)

Tags:
North Korea

สำนักข่าวบีบีซีของอังกฤษ เปิดเผยบทสัมภาษณ์พิเศษของศาสตราจารย์ Kim Heung-Kwang ซึ่งเคยสอนด้านวิทยาการคอมพิวเตอร์ (computer science) ที่มหาวิทยาลัย Hamheung Computer Technology University ของเกาหลีเหนือ ก่อนที่จะหลบหนีออกนอกประเทศเมื่อปี 2004 โดยระบุว่าศักยภาพของหน่วยงานโจมตีทางไซเบอร์ของเกาหลีเหนือนั้น อาจรุนแรงถึงขั้นฆ่าคนหรือทำลายเมืองทั้งเมืองได้ไม่ยากนัก (แนะนำให้อ่านฉบับเต็มจากที่มา)

Kim ระบุว่าหน่วยงานโจมตีทางไซเบอร์ของเกาหลีเหนือ (ตามเนื้อหาระบุว่าเป็น Bureau 121) มีเจ้าหน้าที่ประมาณ 6,000 คน และกองทัพได้ใช้เงินลงทุนไปคิดเป็นร้อยละ 10-20 ของงบประมาณทั้งหมด เป้าหมายหลักคือความพยายามในการสำแดงความสามารถของเกาหลีเหนือที่จะเปิดสงครามทางไซเบอร์ ซึ่งเขาเตือนว่าศักยภาพนั้นมีสูงมาก จนอาจทำให้การโจมตีทางไซเบอร์ธรรมดาๆ มีผลถึงกับฆ่าคนหรือทำลายเมืองทั้งเมืองได้ไม่ยาก โดยเขายกตัวอย่างในกรณีโครงสร้างพื้นฐานเช่นโรงงานไฟฟ้านิวเคลียร์ ซึ่งหากถูกเจาะระบบจริง ผลที่ตามมาอาจจะรุนแรงมากกว่าที่คาดการณ์ไว้

Kim เรียกร้องให้องค์การนานาชาติเข้ามาติดตามสถานการณ์ รวมถึงใช้อำนาจเท่าที่จำเป็น อย่างเช่นการแบนระบบโดเมนของเกาหลีเหนือ (.kp) ออกไป ซึ่งทางหน่วยงานรับผิดชอบอย่าง ICANN ระบุว่าการแบนโดเมนแทบจะไม่มีผลอะไร เพราะการแฮกมักเกิดขึ้นนอกเกาหลีเหนือ และ ICANN ก็ไม่มีอำนาจด้วยเช่นกัน ด้าน Martyn Williams ผู้สื่อข่าวที่ติดตามเรื่องเกาหลีเหนือ ระบุว่าจากกรณีที่สถานีโทรทัศน์เกาหลีใต้ถูกแฮกเมื่อปี 2013 ก็ทำให้อาจเชื่อได้ว่า หากเกิดขึ้นกับระบบที่สำคัญ อาจทำให้ผู้คนแตกตื่นได้

ที่มา - BBC

Tags:
Bitcoin

แอพ Blockchain ที่ใช้สร้างบัญชีบิทคอยด์ในโทรศัพท์มือถือมีบั๊กสำคัญในส่วนการสุ่มค่าทำให้สร้างบัญชีหมายเลขเดียวกัน ส่งผลให้ผู้ใช้หลายคนมีเลขบัญชีเดียวกันโดยไม่รู้ตัว ทาง Blockchain รายงานว่ามีผู้ใช้เสียเงินจากบั๊กนี้แล้ว

ผู้ใช้ murbul กลุ่ม r/bitcoin รายงานว่าบั๊กนี้เกิดจากสองบั๊กต่อเนื่องกัน โดย Blockchain จะใช้คลาส LinuxSecureRandom ของตัวเองเพื่อดึงค่าสุ่มจาก /dev/urandom มารวมเข้ากับค่าสุ่มจาก random.org เสียก่อน แล้วจึงใช้ค่านี้เป็น seed ให้กับคลาส SecureRandom อีกครั้ง แต่ปรากฎว่าในบางครั้งซอฟต์แวร์กลับไม่สามารถอ่านค่าจาก /dev/urandom ได้ ทำให้ต้องใช้ค่าจาก random.org อย่างเดียว แต่เมื่อต้นปีที่ผ่านมา random.org บังคับว่าจะต้องเข้าเว็บผ่าน HTTPS เท่านั้น ทำให้โค้ดที่ดึงค่าสุ่มได้รับตอบกลับเป็น HTTP 301 เพื่อ redirect ไปยังหน้า HTTPS โค้ดของ Blockchain ไม่ได้ตรวจสอบโค้ดที่ได้รับกลับมาและใช้ข้อความ HTTP 301 นั้นเป็นค่าเริ่มต้นการสุ่มเพื่อสร้างบัญชีบิทคอยด์

Tags:
FireEye

มัลแวร์เข้ารหัสไฟล์เรียกค่าไถ่ (ransomware) มีหลายตัวระบาดทั่วโลกและมักดัดแปลงต่อๆ กันมาเป็นตระกูลต่างๆ ทีมงานของ FireEye เข้าใช้งานเว็บถอดรหัสไฟล์ของมัลแวร์ TesaCrypt พบว่าหน้าเว็บพยายามล่อให้เหยื่อของมัลแวร์จ่ายเงินด้วยการเปิดบริการถอดรหัสฟรีหนึ่งไฟล์ขนาดไม่เกิน 512KB ที่สำคัญคือมีหน้าเว็บ Message Center ให้บริการถามตอบกับเหยื่อ

เหยื่อจำนวนมากเข้าไปด่าทอคนร้ายซึ่งมักไม่ได้อะไรนอกจากคำด่ากลับมา บางคนยังไม่เข้าใจว่าเกิดอะไรขึ้นกับเครื่องของตัวเอง คนจำนวนหนึ่งพยายามต่อรองค่าไถ่บางคนสามารถต่อรองได้ถึง 150 ดอลลาร์ บางคนกลับต่อรองได้เพียง 250 ดอลลาร์ ทาง FireEye ระบุว่ามีกรณีที่จ่ายราคาเต็ม 1,000 ดอลลาร์ถึง 19 คน

FireEye พบว่ามีบัญชีบิทคอยน์ถูกสร้างขึ้นมาจากกลุ่ม TeslaCrypt จำนวน 1,231 บัญชีซึ่งอาจจะไม่เท่ากับจำนวนเหยื่อทั้งหมดแต่น่าจะใกล้เคียงกับจำนวนเหยื่อที่เข้าเว็บไปพยายามจ่ายเงิน ในจำนวนนี้มีคนจ่ายเงินจริง 163 รายการรวมเงิน 254.6 BTC หรือ 57,272 ดอลลาร์ และยังมีเหยื่อที่จ่ายเงินผ่าน PayPal My Cash Card อีก 19,250 ดอลลาร์ รวมช่วงเวลาเกือบสามเดือน คนร้ายกลุ่มนี้ได้เงินไป 76,522 ดอลลาร์

รายงานนี้พบว่าเหยื่อบางรายจ่ายเงินแล้วก็ยังไม่สามารถถอดรหัสได้ โดย TeslaCrypt อ้างว่าเหยื่อถูกมัลแวร์หลายตัวพร้อมกัน

ก่อนหน้านี้ทางซิสโก้รายงานกระบวนการทำงานของ TeslaCrypt พร้อมกับแจกเครื่องมือเพื่อกู้ไฟล์ในบางกรณีที่มัลแวร์ยังไม่ได้ลบกุญแจเข้ารหัสทิ้งไป

ที่มา - FireEye

Tags:
ASUS

จากข่าว ASUS เริ่มวางขาย Zenfone 2 ในไทย 25 พ.ค. นี้ ช่วงแรกผ่านหน้าร้านออนไลน์เท่านั้น วันนี้ทาง ASUS Thailand ออกมาเตือนว่ามีคนทำหน้าเว็บปลอมที่เป็น phishing เลียนแบบหน้าเว็บของ ASUS Online Store เพื่อหลอกให้ผู้สนใจจ่ายเงินซื้อ Zenfone 2 แล้ว

เว็บปลอมที่ว่าใช้ URL ว่า asusthai.com (ขณะที่เขียนนี้เข้าไม่ได้แล้ว) ส่วนเว็บของจริงต้องใช้ URL ว่า http://store.asus.com/th เท่านั้น

จากการตรวจสอบข้อมูลที่ยังอยู่ใน Google Search พบว่าเว็บเมื่อ 7 วันก่อนยังเป็นหน้ามาตรฐานของ WordPress และมีหน้า "แจ้งโอนเงิน" ด้วย ส่วนข้อมูลโดเมนเนมจาก whois เพิ่งจดทะเบียนเมื่อ 7 พ.ค. 2558 นี้เอง กรณีนี้ถือเป็นกรณีศึกษาที่น่าสนใจของการทำ phishing ในไทย โดยอาศัยกระแสของสินค้าที่ได้รับความนิยมสูงครับ

ที่มา - อีเมลประชาสัมพันธ์ ASUS Thailand

Tags:
ThaiCERT

ThaiCERT ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย ภายใต้สำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์ (องค์การมหาชน) เตรียมเข้าไปช่วยหน่วยงานภาครัฐไทยเพิ่มระบบความปลอดภัยไซเบอร์มากขึ้น หลังหน่วยงานภาครัฐถูกโจมตีอย่างมากในช่วงหลัง

โครงการของ ThaiCERT จะเรียกว่า ThaiCERT Government Monitoring System (ThaiCERT GMS) แบ่งออกเป็น 2 ส่วน

  • Government Threat Monitoring System (GTM) ช่วยวิเคราะห์รูปแบบการโจมตีที่เกิดกับระบบไอทีของหน่วยงานภาครัฐ ตั้งเป้าหน่วยงานที่เข้าร่วมโครงการ 40 แห่ง
  • Government Website Protection System (GWP) ช่วยป้องกันการโจมตีเว็บไซต์ของหน่วยงานภาครัฐ ตั้งเป้าหน่วยงานที่เข้าร่วมโครงการ 80 แห่ง

สำหรับหน่วยงานภาครัฐที่สนใจให้ ThaiCERT เข้าไปช่วยดูแล สามารถติดต่อได้ที่อีเมล thaicert-gms@thaicert.or.th หรือโทร 0-2123-1212

ที่มา - อีเมลประชาสัมพันธ์ ThaiCERT

Tags:
PCI-DSS

Payment Card Industry Security Standards Council หรือที่เราเรียกกันว่า PCI หน่วยงานวางมาตรฐานความปลอดภัยสำหรับหน่วยงานที่รับจ่ายเงินผ่านบัตรเครดิตเตรียมหาทางให้ธุรกิจขนาดเล็กปรับมาตรฐาน PCI-DSS ให้หน่วยงานเหล่านี้เข้าถึงได้ง่ายขึ้น

ทุกวันนี้มีเว็บจำนวนมากที่ไม่ได้อยู่ภายใต้มาตรฐาน PCI-DSS แต่ยังสามารถให้บริการรับจ่ายเงินผ่านบัตรเครดิตได้ แต่อยู่ในกลุ่ม non-compliance ที่อาจจะถูกปรับรายเดือน หรือเสี่ยงต่อการถูกยกเลิกการให้บริการ

ตอนนี้ยังไม่มีความชัดเจนว่ากลุ่มทำงานนี้จะออกมาตรการอะไรออกมา แต่ก็เป็นสัญญาณแรกว่าทาง PCI พยายามทำให้ธุรกิจขนาดเล็กที่มีบุคลากรไม่มากนักสามารถปรับตัวให้มีความปลอดภัยได้

ที่มา - The Register

Tags:
Android

ทีมนักวิจัยจากมหาวิทยาลัยเคมบริดจ์ ทดสอบความปลอดภัยของฟีเจอร์ Factory Data Reset ของสมาร์ทโฟน Android หลายเวอร์ชัน (ตั้งแต่ 2.3 ถึง 4.3 แต่ไม่รวมรุ่นที่ใหม่กว่านั้น) และพบว่าสามารถกู้คืนข้อมูลได้มากถึง 80% ของอุปกรณ์ที่นำมาทดสอบ

สาเหตุสำคัญคือหน่วยความจำแบบแฟลชนั้นลบข้อมูลทิ้ง 100% ได้ยากเป็นทุนเดิมอยู่แล้ว และผู้ผลิตสมาร์ทโฟนก็ไม่ได้ใส่ไดรเวอร์สำหรับการลบข้อมูลแบบ full wipe มาด้วย ทำให้นักวิจัยสามารถอ่านข้อมูลดิบจาก flash ที่ถูก wipe และแกะข้อมูลตามแพทเทิร์นที่ทราบ เพื่อหาค่า token ของบัญชี Google Account และนำ token นี้มาซิงก์ข้อมูลกลับคืนจากเซิร์ฟเวอร์ของกูเกิลได้

จุดที่น่าสนใจคือต่อให้เข้ารหัสดิสก์ (full-disk encryption) ก็ยังไม่รอด เพราะตัวคีย์ที่ใช้ถอดรหัสไม่ถูกลบทิ้งไป 100% ระหว่างการรีเซ็ต ทำให้สามารถกู้คืนคีย์มาเพื่อถอดรหัสข้อมูลได้อีกชั้นหนึ่ง

Tags:
Anonymous

ในช่วงเมื่อวานนี้ เว็บไซต์กระจายข่าวที่สนับสนุนกลุ่ม Anonymous ได้มีการเผยแพร่ปฏิบัติการโจมตีเว็บไซต์ทางราชการของไทย โดยมีเว็บที่ถูกโจมตีและมีข้อมูลรั่วไหลออกไปแล้วคือเว็บไซต์ของสำนักงานเลขาธิการวุฒิสภาและเว็บไซต์ของกระทรวงสาธารณสุข ซึ่งผู้โจมตีเป็นกลุ่ม OpIsrael ที่พุ่งเป้าไปที่ประเด็นของสิทธิมนุษยชนโดยเฉพาะในเรื่องของประเด็นการค้ามนุษย์ที่มีชาวโรฮีนจาตกเป็นเหยื่อที่ผ่านมา

Tags:
FIDO

มาตรฐานความปลอดภัยแบบไม่ต้องใช้รหัสผ่าน FIDO ออกสเปกเวอร์ชัน 1.0 มาเมื่อปลายปี 2014 วันนี้ทางหน่วยงานก็เผยรายชื่อผลิตภัณฑ์ชุดแรกที่ผ่านการตรวจสอบและได้ใบรับรอง FIDO Certified แล้ว

ผลิตภัณฑ์ FIDO ชุดแรกมีทั้งหมด 31 รายการ ส่วนใหญ่เป็นระบบยืนยันตัวตนที่ใช้ในตลาดองค์กร แต่ก็มีผลิตภัณฑ์จากบริษัทที่ชื่อคุ้นเคยอย่าง Google (Google Login Service รองรับ FIDO แล้ว), Qualcomm, Samsung, Yahoo! Japan อยู่ด้วย

ไมโครซอฟท์เคยประกาศว่า Windows 10 จะรองรับ FIDO ด้วย แต่เป็น FIDO เวอร์ชัน 2.0 ที่ต้องรอกระบวนการออกมาตรฐานอีกระยะเวลาหนึ่ง

ที่มา - FIDO

Tags:
Microsoft

ไมโครซอฟท์ออกรายงานความปลอดภัยไซเบอร์ระหว่างเดือนกรกฎาคมถึงเดือนธันวาคมปีที่แล้วแสดงถึงเหตุการณ์สำคัญในโลกความปลอดภัยในปีที่ผ่านมา

เหตุการณ์หนึ่งคือการปล่อยแพตช์ประจำรอบปกติวันที่ 11 พฤศจิกายน บั๊กความร้ายแรงระดับวิกฤติ MS14-064 ถูกปล่อยออกมาเพียงวันเดียว ก็มีรายงานจากนักวิจัยชาวจีนระบุว่ามันสามารถใช้เจาะระบบได้อย่างง่ายดาย และสามารถข้ามระบบป้องกันแทบทุกรูปแบบไปได้

Tags:
Brian Krebs

Brian Krebs บล็อกเกอร์ด้านความปลอดภัยคอมพิวเตอร์ชื่อดังที่โซนี่ติดต่อนำเรื่องราวของเขาไปสร้างภาพยนตร์ ออกหนังสือ Spam Nation เมื่อปลายปีที่แล้วเล่าเรื่องราวขององค์กรอาชญากรรมข้ามชาติที่ดำเนินการแฮกเครื่องของเหยื่ออย่างเป็นระบบโดยเริ่มต้นจากการส่งสแปมเมลไปยังเครื่องของเหยื่อ

วันนี้หนังสือ Spam Nation แบบเสียง (audiobook) ลดราคาจาก 20 ดอลลาร์เหลือ 2.95 ดอลลาร์บน Audible.com ถ้าใครสนใจก็เป็นโอกาสที่ดีที่จะซื้อมาฟังกัน

ที่มา - Audible

Tags:
SSL

ทีมวิจัยจากมหาวิทยาลัยหลายแห่งและไมโครซอฟท์ประกาศช่องโหว่ของ TLS ที่ชื่อว่า Logjam สามารถเจาะการเชื่อมต่อทำให้การเชื่อมต่อไปใช้มาตรฐานการเชื่อมต่อ Diffie-Hellman ขนาด 512 บิต หรือ DHE_EXPORT และสามารถถอดรหัสได้โดยง่าย

DHE_EXPORT กระบวนการแลกกุญแจเข้ารหัสที่ใช้จำนวนเฉพาะขนาดไม่เกิน 512 บิต การเชื่อมต่อเช่นนี้เป็นที่กังวลมานานแล้วว่าไม่มีความปลอดภัยเพียงพอ แต่เซิร์ฟเวอร์และเบราว์เซอร์จำนวนมากรองรับเพราะในยุคหนึ่งสหรัฐฯ เคยมีกฎหมายห้ามส่งออกกระบวนการเข้ารหัสที่มีความแข็งแกร่งสูง แบบเดียวกับช่องโหว่ FREAK ที่ห้ามส่งออกกระบวนการเข้ารหัส RSA เกิน 512 บิต ทีมงานพบว่าค่าจำนวนเฉพาะสำหรับกระบวนการแลกกุญแจ DH ที่ใช้งานในเซิร์ฟเวอร์ส่วนใหญ่ในโลกมีเพียงสองค่าเท่านั้น กินส่วนแบ่งเซิร์ฟเวอร์ 92% และเซิร์ฟเวอร์ทั้งหมดที่ตรวจสอบมีค่าจำนวนเฉพาะแตกต่างกันเพียง 465 ค่า

Tags:
Internet.org

โครงการ Internet.org ของ Facebook ดูจะเริ่มมีปัญหาซะแล้ว เมื่อองค์กรรณรงค์สิทธิด้านดิจิทัล 67 รายจากหลายประเทศ เข้าชื่อกันเขียนจดหมายเปิดผนึกถึง Mark Zuckerberg ว่ามีปัญหาหลายอย่างกับโครงการนี้

ประเด็นขัดแย้งหลักของ Internet.org คือ Facebook ใช้วิธีจับมือกับผู้ให้บริการมือถือในบางประเทศ ทำดีลพิเศษให้ลูกค้าเข้าถึงเว็บไซต์ "บางแห่ง" ได้ฟรี ตัวอย่างเว็บไซต์ที่เข้าข่ายคือ Facebook เอง, Wikipedia, BBC, Accuweather และเว็บท้องถิ่นบางแห่ง โดยมีเงื่อนไขว่าผู้ใช้ต้องติดตั้งแอพ Internet.org ด้วย

การจำกัดการเข้าถึงเฉพาะบางเว็บ เป็นเหตุทำให้เว็บและสตาร์ตอัพท้องถิ่นบางราย (โดยเฉพาะจากอินเดีย) ไม่พอใจ และมองว่าเป็นประเด็นการกีดกันการแข่งขันและการเข้าถึงอย่างเท่าเทียม (net neutrality)

Tags:
Google

กูเกิลเปิดเผยข้อมูลของ "ทีมลับ" ที่ทำหน้าที่ตรวจสอบขบวนการอาชญากรรม ที่สร้าง botnet เพื่อหารายได้จากการคลิกโฆษณาออนไลน์บนเว็บไซต์ต่างๆ (ad fraud)

ทีมลับ antifraud นี้มีพนักงานมากกว่า 100 คน นั่งทำงานอยู่ที่กรุงลอนดอน ทำหน้าที่ตรวจหาแพทเทิร์นของ botnet ที่มาคลิกโฆษณา

กระบวนการทำงานของกลุ่ม ad fraud คือเจาะระบบพีซีผ่านช่องโหว่ต่างๆ ติดตั้งซอฟต์แวร์ควบคุม ใช้เป็น botnet กระจายตัวอยู่ทั่วโลก ไม่ให้จับได้ง่ายๆ ว่าเป็นคนหรือเป็นบ็อต โดยเครื่องที่ถูกควบคุมจะรันเว็บเบราว์เซอร์ (ส่วนใหญ่เป็น IE) แบบซ่อนหน้าต่าง แล้วคลิกเมาส์แบบสุ่มเพื่อให้โดนโฆษณา

Tags:
Uber

เว็บไซต์รายงานข่าวไอที Motherboard ออกมาเปิดเผยว่าในช่วงที่ผ่านมา มีบัญชีของผู้ใช้ Uber ถูกแฮก แล้วนำเอาไปขายต่อในเว็บไซต์ตลาดมืดออนไลน์ โดยมีราคาต่อชื่อผู้ใช้งานอยู่ในระดับที่ถูกมาก (ประมาณ 1 เหรียญสหรัฐ) และเริ่มมีผู้ได้รับผลกระทบบ้างแล้ว (1, 2) ซึ่งทาง Motherboard ระบุว่าวิธีการแก้ไขปัญหาของทาง Uber นั้น ถือว่าไม่ดี และแสดงออกถึงการไม่สนใจในประเด็นความปลอดภัย

Motherboard ยกกรณีตัวอย่างของ Isabelle Berner ซึ่งเธออาศัยในสหรัฐอเมริกา แต่ปรากฏว่ามีคนเอาชื่อผู้ใช้ Uber ของเธอไปใช้ที่สหราชอาณาจักร (UK) โดยไม่ได้รับอนุญาต ซึ่งเมื่อเธอเปลี่ยนรหัสผ่าน ก็ถูกล็อคชื่อผู้ใช้งานอีก โดยระหว่างนั้นเธอได้ติดต่อหน่วยบริการและสนับสนุนจากทาง Uber ซึ่งกว่าจะติดต่อกลับมาก็ใช้เวลานานมาก ซึ่งเมื่อได้รับการติดต่อ ทางเจ้าหน้าที่ของ Uber ได้ส่งรหัสผ่านชุดใหม่ให้เธอ ซึ่งรหัสผ่านดังกล่าวส่งมาเป็นข้อความธรรมดาผ่านทางอีเมลและระบบของ Uber แทน ทำให้เธอติดต่อกลับไปใหม่ โดยระบุว่าขอให้ทาง Uber ลบชื่อผู้ใช้งานของเธอไปเลย

Per Thorshiem ซึ่งเป็นผู้ก่อตั้งการประชุมด้านความปลอดภัย Passwords Conference ออกมาระบุว่าการส่งรหัสผ่านเช่นนี้ของ Uber ทำให้สามารถบอกได้ว่าพนักงานหรือบริษัทไม่มีแนวทางหรือมาตรการในการจัดการที่ดีพอ ส่วน George Rosamond ผู้ดูแลระบบที่ดูแลด้านความปลอดภัย ระบุว่าบริษัทเหล่านี้มักจะเน้นนวัตกรรม แต่ในความเป็นจริงกลับใช้โครงสร้างและแนวทางปฏิบัติเดิมๆ

อัพเดต (20/05/2015 14:38) Uber ออกมาปฏิเสธแล้ว โดยระบุว่าเกิดจากผู้ใช้งานเอง (อ่านได้ที่ความเห็นของคุณ tana)

ที่มา - Motherboard

Tags:
Whitehouse

ทั้ง FBI และ NSA ออกมาแสดงท่าทีว่าต้องการบังคับให้มีช่องทางเข้าถึงข้อมูลที่เข้ารหัส และโต้เถียงกับกลุ่มผู้บริหารบริษัทไอทีและองค์กรต่างๆ หลายครั้ง ตอนนี้องค์กรเหล่านั้นก็รวมตัวกันส่งจดหมายเปิดผนึกถึงโอบามา ข้อความส่วนหนึ่งระบุว่า

เราเตือนให้ท่านปฎิเสธข้อเสนอใดๆ ที่บังคับให้บริษัทสหรัฐฯ ทำให้สินค้าของพวกเขาอ่อนแอลงอย่างจงใจ เราเรียกร้องต่อทำเนียบขาวให้สร้างนโยบายที่สนับสนุนการเข้ารหัสที่แข็งแกร่งแทนที่จะขัดขวาง นโยบายนี้จะช่วยให้มีการปกป้องความปลอดภัยไซเบอร์, การเติบโตทางเศรษฐกิจ, และสิทธิมนุษยชน ทั้งในประเทศและต่างประเทศ

บริษัทไอทีใหญ่ๆ ที่ร่วมลงนาม เช่น แอปเปิล, CloudFlare, LinkedIn, ซิสโก้, เอชพี, เฟซบุ๊ก, และไมโครซอฟท์ หน่วยงานไม่แสวงผลกำไรอย่าง EFF, OSI (Open Source Initiative), Free Software Foundation, GNOME Foundation, Human Right Watch รวมถึงผู้เชี่ยวชาญอย่าง Whitfield Diffie, Ronald L. Rivest, Bruce Schneier, และ Alex Stamos ที่เคยโต้เถียงกับ Mike Rogers กลางงานสัมมนา

ที่มา - New America, Threat Post