Tags:

Zerodium บริษัทรับซื้อช่องโหว่ซอฟต์แวร์ที่ประกาศจ่ายเงินล้านดอลลาร์สำหรับช่องโหว่ iOS และเพิ่งได้จ่ายไปไม่นานนี้ ออกมาประกาศรายการราคาช่องโหว่ซอฟต์แวร์ประเภทต่างๆ ที่รับซื้อ

  • ช่องโหว่ราคาถูกที่สุดได้แก่ช่องโหว่ของระบบจัดการเนื้อหา (CMS) ต่างๆ เช่น Drupal, Joomla, WordPress, phpBB มีราคาเพียงไม่เกิน 5,000 ดอลลาร์
  • ช่องโหว่เบราว์เซอร์, ออฟฟิศ, และระบบปฏิบัติการลินุกซ์, วินโดวส์, และ OS X ราคาไม่เกิน 30,000 ดอลลาร์
  • ช่องโหว่ระบบป้องกัน ASLR, ซอฟต์แวร์ป้องกันไวรัส, OpenSSL, PHP, และอีเมลเซิร์ฟเวอร์รายหลัก เช่น sendmail, dovecot, postfix, และ Microsoft Exchange ราคาไม่เกิน 40,000 ดอลลาร์
  • ช่องโหว่เจาะทะลุ VM, ทะลุเบราว์เซอร์และทะลุ sandbox และช่องโหว่ Flash ราคาไม่เกิน 50,000-80,000 ดอลลาร์ขึ้นกับประเภท
  • ช่องโหว่ Android, Windows Phone ราคาไม่เกิน 100,000 ดอลลาร์
  • ช่องโหว่ iOS ราคาไม่เกิน 500,000 ดอลลาร์

ทาง Zerodium ระบุว่าราคาที่เสนอให้นี้เป็นราคาที่สูงสุดในท้องตลาด อีเมลของ Hacking Team แสดงว่าราคาของช่องโหว่ Flash เคยซื้อขายกันที่ 45,000 ดอลลาร์เมื่อปี 2013 ขณะที่ Zerodium เสนอให้สูงสุด 50,000 ดอลลาร์หากยิงโค้ดเข้าไปรันได้ และเพิ่มเป็น 80,000 ดอลลาร์หากทะลุ sandbox ได้

ที่มา - Zerodium, Wired

Tags:
Amazon

อเมซอนฝั่งค้าปลีกเปิดบริการการยืนยันตัวตนผู้ใช้สองขั้นตอนสำหรับลูกค้าทั่วไปแล้ว โดยต้องยืนยันหมายเลขโทรศัพท์ก่อน จึงสามารถขอข้อมูลสำหรับการยืนยันตัวตนผ่านแอป เช่น Google Authenticator ได้

ผมเองลองเข้าเว็บอเมซอนวันนี้ก็สังเกตว่าแทบทุกหน้าสามารถใช้งานผ่าน HTTPS ได้ทั้งหมดแล้ว จากเดิมที่หน้าส่วนใหญ่ไม่รองรับและหากพยายามเข้าผ่าน HTTPS ก็จะถูก redirect มายังหน้า HTTP แม้จะยังสามารถเข้าผ่าน HTTP ได้ด้วยก็ตาม สำหรับผู้ใช้ที่กังวลว่าจะมีข้อมูลรั่วไหลก็สามารถใช้ปลั๊กอิน SSL Enforcer มาบังคับให้เบราว์เซอร์ใช้ HTTPS ตลอดเวลาได้

การยืนยันตัวตนสองขั้นตอนในหมู่เว็บค้าปลีกยังไม่เป็นที่นิยมนัก ในเว็บ twofactorauth.org ระบุว่ามีเว็บหลักๆ เพียงสี่เว็บเท่านั้นที่รองรับ

ที่มา - Engadget

Tags:
Tor

โครงการ Tor ออกมาระบุว่าทีมวิจัยจากมหาวิทยาลัย Carnegie Mellon (CMU) ได้รับเงินทุนจาก FBI ให้มาเจาะ Tor มูลค่าอย่างน้อยหนึ่งล้านดอลลาร์ วันนี้ทางมหาวิทยาลัยก็ออกมาโต้ข่าวแล้ว

ทางมหาวิทยาลัยไม่ได้ระบุข่าวโดยตรง แต่ระบุเพียงว่าสถาบันวิศวกรรมซอฟต์แวร์ (Software Engineering Institute - SEI) ได้รับเงินทุนจากรัฐบาลกลาง และศูนย์ CERT ก็เป็นศูนย์ภายใต้สถาบันที่ทำหน้าที่วิจัยหาช่องโหว่ซอฟต์แวร์ ทางศูนย์ได้รับหมายศาลเพื่อขอข้อมูลงานวิจัยอยู่เป็นระยะและเป็นหน้าที่ของมหาวิทยาลัยที่จะทำตามหมายเหล่านั้น โดยไม่ได้รับเงินตอบแทนแต่อย่างใด

ที่มา - CMU

Tags:
Office 365

ต่อจากข่าว ไมโครซอฟท์ตั้งศูนย์ปฏิบัติการความปลอดภัย ทำงาน 24 ชั่วโมง ในโอกาสเดียวกัน บริษัทก็เปิดตัวฟีเจอร์ด้านความปลอดภัยและการทำตามข้อกำหนด (compliance) ให้ Office 365 ดังนี้

  • Advanced Threat Protection (ATP) ตัวช่วยกรองมัลแวร์และไวรัสที่มากับไฟล์แนบ โดยใช้เทคนิคการวิเคราะห์พฤติกรรมของมัลแวร์เข้าช่วย
  • Customer Lockbox เป็นระบบที่ช่วยกำหนดสิทธิการเข้าถึงเอกสารใน Office 365 ว่าต้องได้รับคำยินยอมอย่างชัดแจ้ง (explicit approval) โดยเจ้าของเอกสารก่อน จึงจะเข้าถึงเอกสารได้ แม้จะเป็นเจ้าหน้าที่ของไมโครซอฟท์ที่ช่วยเข้าไปซัพพอร์ตระบบก็ตาม
  • Advanced eDiscovery ระบบช่วยวิเคราะห์ข้อมูลภายในเอกสาร (eDiscovery ที่มักใช้เวลามีคดี และต้องค้นเอกสารภายในบริษัท) ใช้เทคนิคการวิเคราะห์จากบริษัท Equivio ที่ไมโครซอฟท์ซื้อมาเมื่อปีที่แล้ว

ฟีเจอร์เหล่านี้แสดงให้เห็นว่าไมโครซอฟท์พยายามขยายกลุ่มลูกค้า Office 365 ให้ครอบคลุมหน่วยงานที่ต้องปฏิบัติตามข้อกำหนด เงื่อนไข กฎระเบียบต่างๆ ของรัฐบาลนั่นเอง

ที่มา - Office Blogs

Tags:
Microsoft

ในอดีต ระบบปฏิบัติการของไมโครซอฟท์มีชื่อเสียงในทางลบเมื่อพูดถึง "ความปลอดภัย" อย่างไรก็ตาม ช่วงหลังมานี้ ไมโครซอฟท์หันมาใส่ใจเรื่องความปลอดภัยมากขึ้นมาก และล่าสุดซีอีโอ Satya Nadella ก็ออกมาแถลงเรื่องยุทธศาสตร์ความปลอดภัยแบบใหม่ของบริษัท สำหรับยุค mobile-first, cloud-first

นโยบายใหม่ของไมโครซอฟท์จะใช้หลักการ 3 ข้อคือ Protect ปกป้องคุ้มครองจุดปลายทาง (endpoint), Detect ตรวจสอบหาภัยคุกคามด้วยเทคนิคใหม่ๆ ทั้ง cloud และ machine learning, Response ตอบสนองต่อปัญหาที่ค้นพบอย่างรวดเร็ว

ส่วนผลงานที่เป็นรูปธรรมคือ ไมโครซอฟท์ประกาศตั้งศูนย์ปฏิบัติการด้านความปลอดภัย Cyber Defense Operations Center ทำงานตลอด 7 วัน 24 ชั่วโมง รวมผู้เชี่ยวชาญด้านความปลอดภัยหลายพันคนจากฝ่ายต่างๆ ทั่วบริษัท เพื่อรับมือปัญหาความปลอดภัยยุคหน้าอย่างเป็นระบบ

นอกจากนี้ไมโครซอฟท์ยังตั้งกลุ่ม Enterprise Cybersecurity Group (ECG) เพื่อให้บริการด้านความปลอดภัยกับลูกค้าองค์กรของไมโครซอฟท์ด้วย

ไมโครซอฟท์ยังเปิดตัวฟีเจอร์ด้านความปลอดภัยของซอฟต์แวร์บางตัว เดี๋ยวเขียนเป็นข่าวแยกครับ

ที่มา - Microsoft

Tags:
Docker

Yubico ผู้ผลิตกุญแจอิเล็กทรอนิกส์เพื่อการยืนยันตัวตนหลายรูปแบบ โดยเฉพาะ U2F ที่ Yubico เป็นผู้ร่วมพัฒนากับกูเกิล ตอนนี้กุญแจ Yubikey สินค้าสำคัญของบริษัทก็ออกรุ่น 4 ออกมาแล้ว โดยมีความสามารถสำคัญได้แก่

  • รองรับ Yubico OTP, smartcard, และ U2F
  • มี secure element ในตัว
  • รองรับกุญแจ RSA 4096 บิต
  • รองรับ PKCS#11

Yubico เลือกเปิดตัว Yubikey 4 ในงาน DockerCon โดยทาง Docker ออกมารองรับ Yubikey 4 สำหรับการเซ็นรับรอง Content Trust ทำให้คนที่ดาวน์โหลดอิมเมจสามารถยืนยันได้ว่ามาจากนักพัฒนาจริง

ในงาน DockerCon ทางผู้จัดแจก Yubikey 4 ให้กับผู้ร่วมงานทุกคน สำหรับคนทั่วไปสามารถสั่งซื้อได้ในราคา 40 ดอลลาร์ ทาง Yubikey ยังประกาศว่าองค์กรสามารถปรับแต่งฟีเจอร์ได้ตามต้องการหากซื้อ 500 ชิ้นขึ้นไป

ที่มา - Yubico, Docker

Tags:
Chrome

ชาว Blognone อาจเคยเจอกับเว็บหรือโฆษณาที่ปลอมตัวเป็นบริษัทซอฟต์แวร์ชื่อดัง แจ้งเตือนว่าซอฟต์แวร์ของเราไม่อัพเดตแล้ว และให้ดาวน์โหลดไฟล์ (ซึ่งจริงๆ เป็นมัลแวร์) เพื่ออัพเดต

ในบางกรณี เว็บไซต์บางแห่งยังปลอมเป็นหน้าแจ้งเตือนมัลแวร์ของ Chrome ซะเองว่าคอมพิวเตอร์ของเราติดมัลแวร์แล้ว และให้ติดต่อกูเกิลตามที่อยู่ที่ระบุ (แน่นอนว่าเป็นที่อยู่ปลอม) บางครั้งอาจเป็นเบอร์โทรศัพท์ที่คิดเรตการโทรแพงๆ

ผู้ใช้คอมพิวเตอร์ที่มีประสบการณ์มากหน่อยคงไม่มีปัญหา แต่ปฏิเสธไม่ได้ว่ามีผู้ใช้ที่พลาดพลั้ง ตกเป็นเหยื่อของเว็บไซต์เหล่านี้อยู่เรื่อยๆ

ระบบเตือนภัย Google Safe Browsing ของกูเกิลจะเพิ่มการแจ้งเตือนเว็บไซต์หลอกหลวง (Deceptive Site) เหล่านี้ โดยขึ้นหน้าเตือนภัยสีแดงเพื่อบอกว่าเว็บไซต์ที่เราเข้า ถูกแจ้งว่าเป็นเว็บไซต์หลอกหลวง เพื่อความปลอดภัยที่มากขึ้นของผู้ใช้งานทุกท่าน

ที่มา - Google Chrome Blog

Tags:
CoreOS

การใช้คอนเทนเนอร์มาช่วยแยกระบบออกเป็นส่วนๆ อาจจะช่วยเพิ่มความปลอดภัยให้กับระบบโดยรวมได้ในบางกรณี แต่ปัญหาการที่นักพัฒนาไม่อัพเกรดซอฟต์แวร์ในคอนเทนเนอร์เป็นปัญหาเรื้อรัง และสร้างช่องโหว่ให้กับระบบ ล่าสุดบริการเก็บอิมเมจ Quay.io ของ CoreOS ตรวจสอบพบว่าอิมเมจที่เก็บไว้ยังมีช่องโหว่ Heartbleed ถึง 80% ทาง CoreOS จึงเปิดซอร์ส Clair เครื่องมือเตือนให้นักพัฒนารู้ว่าควรอัพเดตซอฟต์แวร์ได้หรือยัง

Clair รองรับ Debian, Ubuntu, และ CentOS และใช้ตัวจัดการแพ็กเกจพื้นฐานของระบบ (dpkg, yum) และในอนาคตจะรองรับระบบจัดการ package เพิ่มเติม

ที่มา - CoreOS

Tags:
Let's Encrypt

Let's Encrypt เปิดตัวโครงการมาครบรอบหนึ่งปีพอดี กำหนดการเดิมที่จะปล่อยใบรับรองให้กับสาธารณะวันจันทร์นี้ก็เลื่อนไปเป็นวันที่ 3 ธันวาคมที่จะถึงนี้ แม้จะเปิดให้คนทั่วไปใช้งาน แต่ทางโครงการก็ยังระบุว่าเป็นช่วงทดสอบระบบ (เบต้า) เท่านั้น และยังมีงานต้องทำก่อนจะพร้อมใช้งานจริงสำหรับคนทั่วไป

จนตอนนี้ทาง Let's Encrypt ปล่อยใบรับรองให้กับผู้ที่เข้าร่วมโครงการเบต้าแล้วกว่า 11,000 ใบ

ที่มา - Let's Encrypt

Tags:
Gmail

กูเกิลออกมาเผยสถิติเรื่องการเข้ารหัสการส่งอีเมลผ่าน TLS เพื่อป้องกันการดักข้อมูลระหว่างทาง

  • รอบสองปีที่ผ่านมา (2013-2015) อีเมลที่ส่งเข้าหา Gmail และถูกเข้ารหัส เพิ่มสัดส่วนจาก 33% เป็น 61%
  • ในช่วงเวลาเดียวกัน อีเมลที่ถูกส่งจาก Gmail และเข้ารหัส เพิ่มจาก 60% เป็น 80% (Gmail จะเลือกเข้ารหัสเมื่อโฮสต์ปลายทางรองรับการเข้ารหัส แปลว่าโฮสต์ที่รองรับเพิ่มจำนวนมากขึ้น)
  • ตอนนี้ 94% ของอีเมลขาเข้า Gmail มีระบบตรวจสอบตัวตนผู้ส่ง เพื่อป้องกันปัญหา phishing หรือปลอมตัวแล้ว

Gmail ยังจะเพิ่มมาตรการด้านความปลอดภัย โดยแจ้งเตือนผู้ใช้เมื่อได้รับอีเมลจากเครือข่ายที่ไม่ได้เข้ารหัส เพื่อให้ผู้ใช้ระมัดระวังในความปลอดภัยของอีเมลฉบับนั้นด้วย

ที่มา - Google Online Security Blog

Tags:
Tor

โครงการ Tor เป็นไม้เบื่อไม้เมากับ FBI มานานเพราะคนร้ายใช้ Tor ในการปกปิดตัวตน ก่อนหน้านี้มีหลายคดีที่ FBI สามารถเปิดเผยไอพีของผู้ใช้เครือข่าย Tor ออกมา โดยไม่ได้ระบุรายละเอียดว่าหาไอพีได้อย่างไร ตอนนี้ทาง Tor ออกมาระบุว่า FBI จ้างนักวิจัยจากมหาวิทยาลัย Carnegie Mellon (CMU) ให้เจาะระบบ Tor เพื่อหาไอพีให้ โดยจ่ายค่าจ้างอย่างน้อยหนึ่งล้านดอลลาร์

Alexander-Volynkin จาก CERT และ Michael-McCord จาก CMU CERT เคยมีกำหนดการนำเสนอช่องโหว่ของ Tor ในงาน Black Hat 2014 แต่ถอนการนำเสนอออกไปภายหลัง ระบุว่าการหาตัวตนของผู้ใช้ Tor แต่ละครั้งใช้ต้นทุนเพียง 3,000 ดอลลาร์ และทำสำเร็จแล้วนับสิบครั้ง ช่วยแก้คดี botnet, การค้ายา, และผู้ใช้เว็บเผยแพร่ภาพอนาจารเด็ก

ทาง Tor เคยรายงานเมื่อปีที่แล้ว ระบุว่ามีเครื่อง relay ที่มุ่งร้ายเข้ามาร่วมในเครือข่ายตั้งแต่ต้นปี 2014 และถูกถอดออกไปในช่วงกลางปีพร้อมกับการออกอัพเดตซอฟต์แวร์

ทางโครงกร Tor ตั้งคำถามต่อการจ้างนักวิจัยให้เปิดเผยตัวคนของผู้ใช้เช่นนี้ว่ามีการขอหมายศาลหรือทีมวิจัยได้รับการตรวจสอบจากกรรมการตรวจสอบของมหาวิทยาลัยหรือไม่ เพราะการเจาะระบบนี้ไม่ได้เจาะจงเฉพาะคนร้ายแต่มีผู้อื่นได้รับผลกระทบไปจำนวนมาก

ที่มา - Tor

Tags:
Flash

Adobe ปล่อย Flash รุ่น 19.0.0.245 และ 18.0.0.261 แก้ไขช่องโหว่ความปลอดภัยจำนวน 17 รายการ แบ่งออกเป็นช่องโหว่รันโค้ดด้วยช่องโหว่ type confusion 1 รายการ, ช่องโหว่เขียนไฟล์ด้วยสิทธิ์ของผู้ใช้ 1 รายการ, และช่องโหว่การใช้หน่วยความจำหลังคืนความจำ (use-after-free) อีก 15 รายการ

ช่องโหว่รอบนี้รายงานโดย HP ZDI และ Google Project Zero เป็นส่วนใหญ่ นอกจากนั้นมีนักวิจัยจาก Endgame 1 รายการ และ Jordan Rabet นักวิจัยอิสระอีก 1 รายการ เทียบกับรอบเดือนตุลาคมและรอบเดือนกันยายนที่มีนักวิจัยหลากหลายกลุ่มส่งช่องโหว่เข้ามา โดยเฉพาะจากจีนที่มีทั้ง Alibaba, Tencent, Qihoo 360

ที่มา - Adobe, ThreatPost

Tags:
Microsoft

ไมโครซอฟท์แพตช์ความปลอดภัยรอบเดือนพฤศจิกายน จำนวน 12 ชุด เป็นช่องโหว่ร้ายแรง 4 รายการ ได้แก่

  • MS15-112, MS15-113: ช่องโหว่ใน Windows และ Internet Explorer ทำให้เว็บมุ่งร้ายสามารถเข้าควบคุมเครื่องด้วยสิทธิของผู้ใช้ที่กำลังรันเบราว์เซอร์ MS15-113 เป็นช่องโหว่แบบเดียวกันแต่สำหรับ Edge
  • MS15-114: ช่องโหว่ในตัวอ่านไฟล์ Windows Journal ทำให้ไฟล์สามารถรันโค้ดเพื่อควบคุมเครื่องได้
  • MS15-115: ช่องโหว่ของ Windows ที่เว็บสามารถส่งฟอนต์ที่ออกแบบมาเฉพาะเพื่อยิงโค้ดเข้ามารันในเครื่อง

ช่องโหว่ประเภท remote code execution ยังมี MS15-116 ที่ไมโครซอฟท์จัดเป็นระดับสำคัญ โดยแฮกเกอร์สามารถส่งโค้ดเข้ามารันด้วยไฟล์ออฟฟิศได้ ส่วนช่องโหว่อื่นๆ เป็นการยกระดับสิทธิ หรือการข้ามระบบความปลอดภัย

ที่มา - Technet, ThreatPost

Tags:
ARM

ARM เปิดสถาปัตยกรรมชุดคำสั่งใหม่ ARMv8-M สำหรับอุปกรณ์ IoT โดยเฉพาะ แม้จะเป็นสถาปัตยกรรมตระกูล ARMv8 แต่ ARMv8-M จะรับคำสั่ง 32 บิตเท่านั้น โดยจะนำสถาปัตยกรรมนี้มาใช้กับซีพียูในตระกูล Cortex-M ที่มีราคาถูกขนาดเล็ก เช่น ชิป EMW3165 ก็ใช้ Cortex-M4

ความเปลี่ยนแปลงสำคัญ ARMv8-M จะมีฟีเจอร์ TrustZone มาในตัว ทำให้ชิปรุ่นเล็กๆ ก็สามารถใส่ความสามารถด้านความปลอดภัยเพิ่มเติม แยกโซนระหว่างฟีเจอร์ปกติกับฟีเจอร์สำคัญ เช่น การสร้างกุญแจเข้ารหัส หรือการตรวจสอบซอฟต์แวร์อัพเดต

พร้อมกับ TrustZone ในตัวซีพียู ARMv8-M กำหนดมาตรฐานบัส ARM AMBA 5 AHB5 ที่สามารถเชื่อมต่อกับอุปกรณ์ภายนอกซีพียูแล้วระบุได้ว่าอุปกรณ์ชิ้นใดเป็นอุปกรณ์ที่ไว้ใจได้

ตอนนี้ ARMv8-M ยังเป็นเพียงสถาปัตยกรรมชุดคำสั่ง ยังไม่มีพิมพ์เขียวซีพียูเปิดตัวออกมา กว่าจะออกมาเป็นสินค้าให้เราได้เห็นกันจริงๆ น่าจะกินเวลาอีกนับปี

ที่มา - ARM, AnandTech

Tags:
Linux

Linux.Encoder.1 เป็นมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ที่มุ่งเป้ามาที่เว็บเซิร์ฟเวอร์ลินุกซ์โดยเฉพาะ ตอนนี้แม้จะยังไม่มีรายงานการระบาดมากนัก แต่ทาง BitDefender ก็วิเคราะห์พบว่าการพัฒนามีช่องโหว่ทำให้ถอดรหัสได้โดยง่าย

ช่องโหว่สำคัญคือการสร้างกุญแจ AES ด้วยการใช้ฟังก์ชั่น rand() ของ libc เพียงอย่างเดียว ฟังก์ชั่นนี้อาศัยเวลาของตัวเครื่องเพื่อคำนวณค่าสุ่มและไม่เหมาะสำหรับการใช้สร้างกุญแจเข้ารหัส (อ่านเพิ่มเติมบทความแฮช และคำถามใน StackExchange) ทางทีมงานของ BitDefender ดูพฤติกรรมของมัลแวร์และพบว่าหากดูช่วงเวลาที่เข้ารหัสไฟล์ก็จะหากุญแจ AES ออกมาได้

ทาง BitDefender ปล่อยสคริปต์ตัวนี้ออกมาให้ดาวน์โหลดแล้ว พร้อมกับเตือนว่าอย่าเอาอะไรไปรันในสิทธิ์ root โดยไม่แน่ใจอีก ตัวสคริปต์เป็นภาษาไพธอน ถ้าใครโดนมัลแวร์ตัวนี้ไปแล้วก่อนรันก็เอาโค้ดมานั่งอ่านก่อนเสียหน่อยนะครับ

ที่มา - BitDefender

Tags:
Linus Torvalds

Linus Torvalds ออกมาตอบโต้ผู้เชี่ยวชาญด้านความปลอดภัยหลายคน ที่บอกว่าเขาและทีมพัฒนาเคอร์เนลลินุกซ์ "ไม่ใส่ใจเรื่องความปลอดภัยเท่าที่ควร" โดยไม่สนใจแก้ปัญหาหรือบั๊กด้านความปลอดภัยที่มีคนแจ้งเข้ามามากนัก

Torvalds ตอบว่าหลักการพื้นฐานคือไม่มีระบบใดปลอดภัย 100% และความปลอดภัยเป็นเพียงแค่แง่มุมหนึ่งในการพัฒนา ที่ต้องแบ่งให้น้ำหนักกับมิติอื่นๆ อย่างประสิทธิภาพ ความยืดหยุ่น ความง่ายในการใช้งานด้วย เขายังวิจารณ์คนที่บอกว่า "ความปลอดภัยสำคัญที่สุด" ว่าบ้าไปแล้ว (completely crazy) โลกไม่ได้มีแค่ขาวกับดำสักหน่อย

Tags:
IETF

BLAKE2 เป็นอัลกอริทึมแฮชที่เข้าแข่งขันให้เป็นมาตรฐาน SHA-3 ของ NIST (องค์กรมาตรฐานทางเทคโนโลยีของสหรัฐฯ) และเข้ารอบไปถึงรอบสุดท้ายที่อัลกอริทึมเข้ารอบ 5 อัลกอริทึม แม้สุดท้าย Keccak จะเป็นผู้ชนะได้เป็นมาตรฐาน SHA-3 แต่ผู้สร้าง BLAKE2 ก็เสนอให้เป็นมาตรฐานทางเลือกหนึ่งของ IETF

กระบวนการเสนอมาตรฐานมีการเสนอมาตั้งแต่ต้นปีที่ผ่านมา ตอนนี้เอกสารก็ตีพิมพ์เป็น RFC7693 เรียบร้อยแล้ว

เอกสารของ IETF นั้นเปิดกว้างให้หลายกลุ่มเสนอมาตรฐาน และจัดเตรียมความเข้ากันได้กับมาตรฐานอื่นๆ เช่น เมื่อปี 2012 ทาง RSA เสนอมาตรฐาน AES-GCM ก็ต้องมีการกำหนดหมายเลขโปรโตคอล ส่วน NIST นั้นดูแลคำแนะนำในการอิมพลีเมนต์มาตรฐานความปลอดภัยสำหรับหน่วยงานรัฐ โปรโตคอลที่รองรับก็จะจำกัดไว้เฉพาะอัลกอริทึมที่ NIST ยอมรับเท่านั้น

สำหรับคนที่ไม่ไว้ใจ NIST จากเหตุการณ์ความเกี่ยวข้องกับ NSA และความพยายามลดความแข็งแรงของ SHA-3 ถ้า BLAKE2 ได้รับการยอมรับในซอฟต์แวร์และโปรโตคอลเช่น TLS ก็จะมีตัวเลือกเพิ่มเติม

ที่มา - IETF

Tags:

ไมโครซอฟท์เข้าซื้อบริษัทซอฟต์แวร์ความปลอดภัย Secure Islands จากอิสราเอล เจ้าของผลิตภัณฑ์ด้านความปลอดภัยข้อมูล (data security) ชื่อ IQProtector เพื่อนำมาใช้กับ Azure Rights Management Service บริการคลาวด์ของไมโครซอฟท์เอง

ไมโครซอฟท์ไม่ได้เปิดเผยมูลค่าการซื้อกิจการครั้งนี้ บอกแค่ว่า Secure Islands เป็นพาร์ทเนอร์ใกล้ชิดกับไมโครซอฟท์มานาน หลังการซื้อกิจการแล้ว Secure Islands จะยังขายผลิตภัณฑ์ของตัวเองและให้บริการลูกค้าเดิมต่อไป

ที่ผ่านมา ไมโครซอฟท์ซื้อบริษัทความปลอดภัยจากอิสราเอลมาแล้วหลายราย เช่น Aorato ในปี 2014 และ Adallom เมื่อเดือนกันยายน 2015

ที่มา - Microsoft, ZDNet, Secure Islands

Tags:
PuTTY

ผู้ดูแลระบบลินุกซ์แต่ใช้งานผ่านเดสก์ทอปวินโดวส์คงรู้จัก PuTTY กันแทบทุกคน เมื่อสองวันก่อนทางโครงการก็ออกเวอร์ชั่นใหม่แก้ช่องโหว่สำคัญออกมาแล้ว ควรรีบอัพเดตกัน

ช่องโหว่นี้อาศัยการวางอักขระที่เป็น escape sequence อย่างจงใจไปในไฟล์เพื่อกระตุ้นบั๊ก integer overflow การโจมตีจึงทำได้ในกรณีที่ผู้โจมตีสามารถวางไฟล์บนเซิร์ฟเวอร์ และล่อให้ผู้ดูแลระบบล็อกอินเข้าไปสั่ง cat ไฟล์เหล่านั้นขึ้นมาดู โดยช่องโหว่กระทบตั้งแต่เวอร์ชั่น 0.54 มาจนถึง 0.65

แม้จะเป็นการออกเวอร์ชั่นใหม่เพื่อแก้ช่องโหว่ แต่ก็มีอัพเดตบั๊กเล็กๆ น้อยๆ เช่น การส่ง Unicode และเพิ่มฟีเจอร์การออกล็อกไฟล์

ที่มา - putty-announce, PuTTY

Tags:

มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ที่แพร่ระบาดหนักและสร้างความเสียหายได้มากตระกูลหนึ่งคือกลุ่ม CryptoWall ที่ประมาณการว่าสร้างความเสียหายไปแล้วเป็นมูลค่าถึง 325 ล้านดอลลาร์ ตอนนี้ทาง Heimdal Security ก็รายงานวิเคราะห์ถึง Cryptowall 4.0 ที่มีการปรับปรุงใหม่ เปลี่ยนแปลงสำคัญ 3 ด้าน ได้แก่

  1. ปรับปรุงกระบวนการสื่อสารกลับเซิร์ฟเวอร์ เพื่อหลบเลี่ยงไฟร์วอลล์ขององค์กร รายงานตอนนี้ระบุว่าไฟร์วอลล์ที่เคยกั้นการสื่อสารของ CryptoWall 3.0 ได้กลับไม่สามารถตรวจจับการสื่อสารของรุ่น 4.0 ได้อีกต่อไป
  2. เปลี่ยนข้อความแจ้งเหยื่อ ข้อความอ่อนลง, ข้อมูลครบถ้วนขึ้น, แถมมีส่วน FAQ ตอบข้อสงสัยให้กับเหยื่อ
  3. เข้ารหัสชื่อไฟล์ จากเดิมที่เข้ารหัสเฉพาะเนื้อไฟล์เท่านั้น

โครงสร้างอื่นๆ ของ CryptoWall เช่นการสื่อสารกลับเซิร์ฟเวอร์, ระบบแจ้งจ่ายเงินผ่าน TOR, และกระบวนการแพร่มัลแวร์ด้วยสแปมเมล ยังคงเหมือนเดิม

ที่มา - Heimdal Security