Tags:
Google

เมื่อครั้งกูเกิลอัพเดต Google Play Services 6.5 นอกจากจะมีฟีเจอร์ตามที่ข่าวรายงานมา ยังมีฟีเจอร์เพื่อความปลอดภัยที่ถูกปรับปรุงให้ใช้งานง่ายขึ้นอย่าง Smart Lock ที่ถูกอัพเดตมาพร้อมกันด้วย

ฟีเจอร์ Smart Lock อันใหม่ที่มาพร้อมกับ Google Play Services 6.5 ซึ่งเปิดตัวมาพร้อมกับ Android Lollipop ช่วยให้ผู้ใช้งานที่ตั้งค่าล็อกหน้าจอไว้ สามารถปลดล็อกตัวเครื่องได้สะดวกขึ้นตามสถานที่ที่เลือกได้เอง โดยเริ่มต้นระบบจะตั้งให้สามารถใช้ได้กับที่ทำงาน และที่บ้าน แต่สามารถเพิ่มเข้าไปด้วยตัวเองได้

ตัวระบบอยู่ในหมวดตั้งค่าของ Smart Lock เพิ่มเติมจากเดิมที่มีการใช้งานการปลดล็อกผ่านอุปกรณ์บลูทูธ (Trusted devices) และการปลดล็อกด้วยใบหน้า (Trusted face) โดยจะเป็นเมนูชื่อว่า Trusted places โดยอิงจากพิกัดบน Google Maps นั่นเอง

เท่าที่สังเกตดูจากในภาพประกอบ น่าจะใช้ข้ามการล็อกเครื่องได้ในระยะประมาณ 100 เมตรจากสถานที่ที่เลือกไว้ครับ

ที่มา - Android Police

Tags:
USB

หลายคนคงคุ้นเคยกับโฆษณาของโทษและอันตรายของบุหรี่ทั้งต่อตัวผู้สูบเองและคนรอบข้างแล้ว แต่โทษของมันกลับข้ามมากระทบกับคอมพิวเตอร์ด้วยเมื่อมีข่าวลือว่ามีการฝัง malware เข้าไปในบุหรี่ไฟฟ้าที่ผลิตจากประเทศจีน

มีผู้ใช้งาน Reddit ชื่อ Jrockilla ได้ตั้งกระทู้บอกว่าคอมพิวเตอร์ของผู้บริหารคนหนึ่งติด malware โดยที่ไม่สามารถหาสาเหตุได้ว่าติดได้อย่างไร และคอมพิวเตอร์ดังกล่าวก็ติดตั้งอัพเดตของ OS และ anti-virus อยู่เสมอ จึงทำให้แผนก IT ถามผู้บริหารว่าเขาได้เปลี่ยนพฤติกรรมการใช้ชีวิตหรือเปล่า เขาก็ตอบว่าเลิกสูบบุหรี่ได้ 2 สัปดาห์และเปลี่ยนไปสูบบุหรี่ไฟฟ้าแทน ซึ่งหลังจากตรวจสอบบุหรี่ไฟฟ้าแล้วพบว่ามี malware ฝังอยู่กับที่ชาร์จของบุหรี่ไฟฟ้า โดยเมื่อเสียบที่ชาร์จดังกล่าวเข้ากับคอมพิวเตอร์ ที่ชาร์จจะติดต่อกลับไปที่ศูนย์ควบคุมและสั่งงานของ malware (ต้นฉบับใช้คำว่า phoned home) และส่งผลให้คอมพิวเตอร์เครื่องดังกล่าวติด malware ในที่สุด

Pierluigi Paganini หัวหน้าแผนกความปลอดภัยทางสารสนเทศของบริษัท Bit4Id ได้บอกว่าถึงแม้ไม่มีรายงานเกี่ยวกับความถูกต้องว่าเรื่องนี้เป็นเรื่องจริงหรือเปล่า แต่เขาก็บอกว่าการโจมตีแบบนี้เป็นไปได้ในทางปฏิบัติหากนำ BadUSB หรือ Mactans มาประยุกต์ใช้เพื่อใช้โจมตีเหยื่อ

ที่มา - Security Affairs ผ่าน Yahoo! Tech

Tags:
Google

กูเกิลเพิ่มหน้า Devices & Activity ในหน้า Google Account เพื่อบอกให้ผู้ใช้ทราบว่าบัญชีของตัวเองมีอุปกรณ์ใดเข้าถึงได้บ้าง และมีการล็อกอินครั้งล่าสุดเมื่อไร-จากสถานที่ใด (นับรอบ 28 วันล่าสุด)

ฟีเจอร์นี้ใช้ได้กับ Google Account สำหรับผู้ใช้ทั่วไป และบัญชี Google Apps สำหรับผู้ใช้กลุ่มองค์กรด้วย ช่วยให้ผู้ใช้บัญชีกูเกิลทั้งสองแบบตรวจสอบการเข้าถึงบัญชีของตัวเองได้ง่ายขึ้น เพิ่มความปลอดภัยขึ้นในภาพรวม

นอกจากนี้กูเกิลยังเพิ่ม Security Wizard สำหรับผู้ใช้กลุ่มองค์กร ช่วยให้ผู้ใช้กรอกข้อมูลสำคัญด้านความปลอดภัยได้ง่ายขึ้น (เช่น อีเมลสำรอง คำใบ้รหัสผ่าน) เป็นการจูงใจให้ผู้ใช้เพิ่มมาตรการความปลอดภัยกับบัญชีของตัวเองเช่นกัน

ที่มา - Google for Work Blog

Tags:
Xperia

โซนี่และผู้ใช้ Xperia พบปัญหาใหญ่ เมื่อแอพ Backup & Restore ของโซนี่ถูกเปลี่ยนมือ ชื่อนักพัฒนากลายเป็น Nirav Patel Kanudo มีข้อความแจ้งว่าควบคุมโดย HeArT HaCkEr Group และที่ทำให้สถานการณ์แย่ลงไปอีกคือด้วยความที่แอพนี้เป็นแอพระบบ ทำให้ผู้ใช้ไม่สามารถลบแอพนี้ออกจากเครื่องเองได้

ณ จุดนี้ ยังไม่สามารถระบุได้ว่าแอพนี้ทำอันตรายอะไรหรือไม่ แต่ด้วยสิทธิ์ของแอพที่มากพอสมควรอาจทำให้ข้อมูลของผู้ใช้อยู่ในภาวะไม่ปลอดภัย ทั้งนี้ได้มีการแจ้งให้ทางโซนี่ทราบแล้ว และทางกูเกิลก็ได้ถอดแอพนี้ออกจากระบบไปแล้ว

โซนี่ได้ออกมาประกาศว่าทางโซนี่จริงจังกับความปลอดภัยและความเป็นส่วนตัวของข้อมูลลูกค้าอย่างมาก และกำลังสืบสวนรายงานนี้อยู่ โดยข้อมูลเพิ่มเติมจะตามมาเร็วๆ นี้หลังจากที่เข้าใจสถานการณ์แล้ว

ดูภาพเพิ่มเติมได้ท้ายข่าวครับ

Tags:
Symantec

ทีมวิจัยด้านความปลอดภัยของ Symantec ได้เปิดเผยข้อมูลเรื่องมัลแวร์ที่ถูกสร้างมาสำหรับการจารกรรมข้อมูล พบหลายหน่วยงานซึ่งมีทั้งองค์กรด้านพลังงานและโทรคมนาคมในหลายประเทศตกเป็นเป้าหมายด้วย โดยมีการตั้งชื่อมัลแวร์ตัวนี้ว่า Regin

Symantec วิเคราะห์ว่า Regin ถูกพัฒนาโดยหน่วยงานรัฐของประเทศใดประเทศหนึ่งมาตั้งแต่ปี 2006 และมีการนำมาใช้งานจริงเพื่อล้วงข้อมูลจากหน่วยงานรัฐบาล, องค์กรพลังงาน, ผู้ให้บริการเครือข่ายโทรคมนาคม, หน่วยงานวิจัย, โรงพยาบาล, ผู้ให้บริการอินเทอร์เน็ต, สายการบิน และบุคคลสำคัญในหลายประเทศ โดยเป้าหมายเกินกว่าครึ่งของ Regin นั้นเป็นหน่วยงานและบุคคลในรัสเซียและซาอุดิอาระเบีย ส่วนเป้าหมายอื่นมีกระจายกันทั้งในเม็กซิโก, ไอร์แลนด์, อินเดีย, อาฟกานิสถาน, อิหร่าน, เบลเยี่ยม, ออสเตรีย และปากีสถาน

Regin เป็นมัลแวร์ที่โจมตีทาง back door ของระบบ มันจะปรับเปลี่ยนระดับความสามารถในการทำงานได้หลากหลายขึ้นอยู่กับเป้าหมายในการโจมตีของมันซึ่งกระบวนการปรับเปลี่ยนดังกล่าวอาจใช้เวลานานหลายเดือนหรือเป็นปี เพื่อทำให้ผู้ที่ควบคุมมันสามารถเข้าสอดส่องข้อมูลปริมาณมหาศาลของเป้าหมายได้ ทั้งนี้ Symantec ระบุว่าผู้ที่ควบคุม Regin ได้ทำการกำจัดร่องรอยของมัลแวร์ตัวนี้เป็นอย่างดี

Tags:
Russia

คนที่มีกล้องเว็บแคม หรือกล้องวงจรปิดแบบเชื่อมต่ออินเทอร์เน็ตได้ควรอ่านข่าวนี้ให้ดี เพื่อจะได้ดูแลระวังกล้องของตนเองไม่ให้ตกเป็นเหยื่อเหมือนเจ้าของกล้องวงจรปิดนับหมื่นตัวจากทั่วทุกมุมโลกที่โดนผู้ไม่หวังดีทำการแฮคดึงเอาภาพไปแสดงบนเว็บไซต์ในประเทศรัสเซีย

เว็บไซต์ที่นำเอาภาพที่แฮคได้จากกล้องไปเผยแพร่นั้นเปิดให้เข้าชมมานานราว 1 เดือนแล้ว โดยมีรายงานข่าวระบุว่ามีกล้องในสหรัฐอเมริกามากกว่า 4,000 ตัว ถูกแฮคสัญญาณภาพ ส่วนในฝรั่งเศสนั้นโดนแฮคไปราว 2,000 ตัว ทั้งยังมีกล้องในสหราชอาณาจักรอีกมากกว่า 500 ตัวที่อยู่ในข่ายโดนแฮค ส่วนที่เหลือนั้นอยู่กระจัดกระจายในอีกหลายประเทศทั่วโลก ทั้งนี้สัญญาณภาพที่โดนดึงไปมีทั้งภาพจากกล้องภายในบ้านที่ใช้สำหรับจับตาดูเด็กทารก, กล้องภายในสำนักงาน, ร้านค้า และอาคารสถานที่หลากหลายแห่ง

ทั้งนี้แหล่งข่าวไม่เปิดเผยตัวซึ่งอ้างว่าเป็นผู้ดูแลเว็บไซต์ดังกล่าวได้ติดต่อ Sky News และเปิดเผยว่า สาเหตุที่กล้องวงจรปิดถูกแฮคได้เป็นจำนวนมากนั้นมาจากการไม่ใส่ใจเปลี่ยนรหัสผ่านโดยผู้ใช้งาน (หรือตั้งรหัสผ่านที่ง่ายเกินไป) และนี่เองคือเหตุผลเบื้องหลังการสร้างเว็บไซต์นี้ที่ต้องการให้เกิดการตื่นตัวของผู้คนเรื่องการระวังรักษาความเป็นส่วนตัว และหันมาใส่ใจในการปกป้องข้อมูลตนเองในขณะใช้งานกล้องเชื่อมต่ออินเทอร์เน็ตด้วยการตั้งรหัสผ่านที่รัดกุมยิ่งขึ้น เพราะนี่คือทางเดียวที่จะปลุกให้สื่อหลักได้ช่วยกระตุ้นผู้คนให้หันมามองเรื่องนี้อย่างจริงจัง

แม้จะเริ่มมีหน่วยงานในบางประเทศที่พยายามติดต่อทางการรัสเซียเพื่อเร่งหาตัวการและปิดเว็บไซต์นี้อย่างรวดเร็ว แต่ผู้ที่อ้างตัวว่าเป็นผู้ดูแลเว็บไซต์ยังบอกอีกว่าทางเดียวที่เว็บนี้จะถูกปิดลง ก็ต่อเมื่อกล้องทุกตัวที่โดนแฮคถูกตั้งรหัสผ่านใหม่อย่างรัดกุมแล้วเท่านั้น

ที่มา - Sky News, Newsweek

Tags:
Windows

ไมโครซอฟท์ออกแพตช์รุ่นพิเศษ (นอกรอบแพตช์ประจำเดือน) รหัส MS14-068 เพื่ออุดช่องโหว่หมายเลข CVE-2014-6324 ที่มีความร้ายแรงระดับ critical และมีผลต่อ Windows Server ทุกรุ่น (ที่ยังอยู่ในระยะสนับสนุนคือ Windows Server 2003 เป็นต้นมา)

ช่องโหว่ตัวนี้เกี่ยวกับโพรโทคอล Kerberos ซึ่งเป็นโพรโทคอลสำหรับยืนยันตัวตนผ่านเครือข่าย โดยผู้ประสงค์ร้ายสามารถใช้ช่องโหว่นี้ล็อกอินเป็นผู้ใช้ปกติ แล้วเลื่อนสิทธิ (elevate privilege) เป็นผู้ดูแลระบบได้

ผู้ใช้ Windows ฝั่งไคลเอนต์คงไม่ต้องทำอะไร แต่คนที่เป็นผู้ดูแลระบบ Windows Server ก็ควรอัพแพตช์กันด่วนครับ

ที่มา - MS14-068, รายละเอียดของช่องโหว่ดูใน TechNet Blog

Tags:

ปัญหาการเข้ารหัสเว็บทุกวันนี้ถูกแก้ไปหลายอย่าง เซิร์ฟเวอร์รุ่นใหม่ๆ รองรับการเข้ารหัสได้โดยไม่เพิ่มโหลดมากเกินไป แต่เว็บจำนวนมากก็ยังไม่เข้ารหัสเพราะการขอใบรับรองดิจิตอลมีค่าใช้จ่าย ปีหน้าโครงการ Let's Encrypt เตรียมแก้ปัญหานี้ด้วยการเปิดหน่วยงานออกใบรับรองที่แจกใบรับรองดิจิตอลฟรี

โครงการนี้เกิดจากความร่วมมือของ มอซิลล่า, ซิสโก้, Akamai, EFF, และกลุ่มนักวิจัย Internet Security Research Group (ISRG) ตัวโครงการจะดูแลโดย ISRG ที่เป็นองค์กรไม่แสวงหากำไรตามกฎหมายอยู่แล้ว

Let's Encrypt จะเป็นหน่วยงานออกใบรับรอง (Certification Authority - CA) ที่แจกใบรับรองฟรีหลังการตรวจสอบความเป็นเจ้าของโดเมนด้วยระบบอัตโนมัติ รายการใบรับรองทั้งหมดที่แจกออกไปจะเปิดเผยสู่สาธารณะ

เริ่มเปิดบริการไตรมาสสองของปีหน้า ถึงตอนนั้นคงมีแคมเปญให้เว็บทั่วโลกช่วยกันเข้ารหัส หลังจาก New York Times ประกาศชวนสำนักข่าวให้เข้ารหัสภายในปีหน้า

ที่มา - Let's Encrypt

Tags:
WhatsApp

เหตุการณ์ KakaoTalk ส่งข้อมูลให้รัฐบาลเกาหลีใต้เป็นตัวอย่างที่ดีสำหรับข้อเท็จจริงที่ว่าเราไม่ควรไว้วางใจผู้ให้บริการมากจนเกินไป แม้ว่าจะมีการเรียกคืนความเชื่อมั่นแต่ก็ไม่มีอะไรเป็นหลักประกันว่าจะไม่เกิดเหตุการณ์แบบนี้ขึ้นอีก ทำให้แอพส่งข้อความที่เน้นการเข้ารหัสและความปลอดภัยอย่าง Telegram และ TextSecure มียอดผู้ใช้งานเพิ่มขึ้นอยู่เรื่อยๆ

มาถึงวันนี้ ทาง WhatsApp ได้ประกาศความร่วมมือกับ Open Whisper Systems ผู้พัฒนาแอพ TextSecure เพื่อเข้าถึงเทคโนโลยีเข้ารหัสของ TextSecure โดยข้อความที่รับ-ส่งผ่าน WhatsApp บน Android นั้นได้เริ่มใช้การเข้ารหัสนี้แล้ว และทาง WhatsApp จะขยายการเข้ารหัสนี้ไปยังแพลตฟอร์มอื่นๆ ต่อไป (อ่านรายละเอียดการเข้ารหัสของ TextSecure ได้จากบทความแนะนำด้านล่าง)

ทาง Open Whisper Systems ได้ออกมาบอกว่าการร่วมมือกับ WhatsApp ตลอดครึ่งปีที่ผ่านมานี้ทำให้ได้เรียนรู้อะไรหลายๆ อย่างจากการนำโปรโตคอล TextSecure ไปใช้กับผู้ใช้ที่มีจำนวนหลักร้อยล้าน และตื่นเต้นที่จะนำสิ่งที่ได้เรียนรู้ในครั้งนี้ไปใช้ และนำประสบการณ์ครั้งนี้ไปใช้กับบริษัทและผลิตภัณฑ์อื่นๆ ในอนาคต ทั้งยังยืนยันว่าจะยังพัฒนาแอพ TextSecure และผลิตภัณฑ์อื่นๆ ของตนเองต่อไปตามแผนการณ์เดิม

การเข้ารหัสแบบปลายทางถึงปลายทางนั้นมีข้อดีที่แม้แต่ผู้ให้บริการเองก็ไม่สามารถอ่านข้อความของเราได้ แต่ในกรณีของแอพที่ไม่เปิดซอร์สนั้นเราก็ยังต้องอาศัยความเชื่อใจกับผู้ให้บริการว่าจะไม่ตุกติกอะไรเพิ่มเติมจากนี้อีกเช่นกัน

บทความแนะนำ - รู้จักกับ End-to-End Encryption ด้วย TextSecure

ที่มา - Open Whisper Systems ผ่าน Re/code

Tags:
iOS

หลังจากมัลแวร์ WireLurker ที่แพร่ระบาดไปกับแอพบน OS X และติดต่อไปยังอุปกรณ์ iOS ผ่านการเชื่อมต่อ USB โดยอาศัยจุดอ่อนจากช่องโหว่ Masque Attack ได้ถูกตรวจพบมานานนับสัปดาห์ ตอนนี้ทางการจีนก็มีการสืบสาวราวเรื่องและได้เข้าจับกุมชาวจีน 3 ราย ในฐานะผู้ต้องสงสัยว่าอยู่เบื้องหลังเหตุการณ์ระบาดของมัลแวร์ WireLurker ในหมู่ผู้ใช้ผลิตภัณฑ์ Apple ในประเทศจีน

การเข้าจับกุมผู้ต้องสงสัยครั้งนี้เกิดขึ้นได้จากความช่วยเหลือของ Qihoo 360 บริษัทซอฟต์แวร์แอนตี้ไวรัสของจีนที่ติดตามแกะรอยย้อนเส้นทางการแพร่กระจายของ WireLurker จนพบว่ามันมีต้นตอมาจากเว็บไซต์สนทนาแห่งหนึ่งที่ชื่อ "Maiyadi" จนนำไปสู่การเข้าจับกุมนาย Chen, Li และ Wang โดยตำรวจปักกิ่งในที่สุด

แม้ตอนนี้จะมีการควบคุมตัวผู้ต้องสงสัยว่าอยู่เบื้องหลังการแพร่ระบาดของมัลแวร์ชื่อดังสำหรับ iOS ไปแล้ว แต่ผู้ใช้ก็ควรระมัดระวังเรื่องการติดตั้งแอพน่าสงสัยอยู่เสมอ เพราะอาจมีคนหาทางสร้างมัลแวร์ตัวใหม่มาใช้ช่องโหว่ของ Masque Attack อีกก็เป็นได้

ที่มา - SlashGear

Tags:

งานดูแลรักษาความปลอดภัยเรียกได้ว่าเป็นหนึ่งในงานที่ทั้งเหนื่อย และอันตราย จนมีความพยายามจะใช้หุ่นยนต์เข้ามาช่วยงานในส่วนนี้อยู่หลายครั้ง และตอนนี้ก็มี Knightscope บริษัทหน้าใหม่ที่เปิดตัว K5 หุ่นยนต์รักษาความปลอดภัยกึ่งอัตโนมัติออกมาแล้ว

Knightscope K5 เป็นหุ่นยนต์สีขาวความสูงประมาณเมตรครึ่ง หนักราว 130 กก. มีกล้องความละเอียดสูง และไมโครโฟนอย่างละสี่ตัว ที่ออกแบบมาเพื่อรักษาความปลอดภัยโดยเฉพาะ รวมถึงเซนเซอร์วัดสภาพอากาศ ตัว K5 ไม่ติดตั้งอาวุธ และมีระบบที่ไม่ทำร้ายผู้คน การทำงานหลักๆ คือส่งเสียงเตือนอย่างต่อเนื่อง (และกะพริบไฟ) เมื่อมีบุคคลพยายามบุกรุกสถานที่ และส่งสัญญาณเตือนไปยังศูนย์ฯ รวมถึงมีบริการเรียกความช่วยเหลือจากเจ้าหน้าที่ด้วยการกดปุ่มที่หัวของเจ้า K5

นอกจากจะทำงานแบบเดี่ยวได้แล้ว K5 ยังสามารถทำงานเป็นทีมร่วมกับ K5 ตัวอื่นๆ ด้วยการติดต่อกันผ่าน Wi-Fi และมีระบบสำหรับควบคุมโดยมนุษย์ในตัวอีกด้วย

ทาง Knightscope ไม่ได้ระบุว่า K5 ค่าตัวเท่าไหร่ แต่น่าจะราคาสูงเอาเรื่อง ตอนนี้เริ่มใช้แล้วที่สำนักงานไมโครซอฟท์ที่ซิลิคอน วัลเลย์ครับ

ที่มา - ReadWrite

Tags:

เว็บ The Register สัมภาษณ์ Paul Campbell ผู้ออกแบบ OneRNG เครื่องสร้างเลขสุ่มแบบ USB เพื่อให้คอมพิวเตอร์สามารถสร้างเลขสุ่มได้อย่างมีประสิทธิภาพ และเชื่อได้ว่าเลขสุ่มที่ได้จะเป็นเลขสุ่มจริง ไม่สามารถหารูปแบบได้

OneRNG จะสร้างเลขสุ่มจากสองแหล่ง คือ avalanche diode ที่สร้างสัญญาณรบกวนขึ้นมาเอง อีกส่วนคือภาครับสัญญาณวิทยุ ใช้ชิป CC2531 ของ Texas Instrument เพื่อรับสัญญาณรบกวน

Campbell ยืนยันว่าโครงการนี้ตรวจสอบและยืนยันได้ว่าเลขสุ่มที่ได้มีความน่าเชื่อถือ โดยพอร์ตสำหรับการอัพเดตโค้ดจะแยกออกจากพอร์ต USB ที่ใช้รับเลขสุ่มเพื่อความปลอดภัยจากการถูกแฮกอุปกรณ์

ตัว Campbell ยืนยันว่า ไม่มีใครควรไว้ใจเขา ผู้ที่ซื้อฮาร์ดแวร์ไปสามารถตรวจสอบได้ว่าฮาร์ดแวร์ทำตามแผนผังที่แจกจ่ายมาหรือไม่หรือกระทั่งเพิ่มเติมซอฟต์แวร์ด้วยตัวเอง

ที่จริงแล้วคอมพิวเตอร์ยุคใหม่มักมีฮาร์ดแวร์สร้างเลขสุ่มมาให้ในตัว เช่นซีพียูของอินเทลนั้นมีตัวสร้างเลขสุ่มมานาน แต่ความไม่ไว้ใจหลังการเปิดเผยเอกสารของ Snowden ทำให้ซอฟต์แวร์หลักๆ เช่น OpenSSL เลิกใช้งานเลขสุ่มจากชิปโดยตรง แต่ใช้มาผสมกับเลขสุ่มอื่นๆ แทน สำหรับความยุ่งยากในการสร้างเลขสุ่มสามารถอ่านกระบวนการสร้างเลขสุ่มในคอมพิวเตอร์ได้ในบทความของผมครับ

ราคาขาย OneRNG น่าจะอยู่ที่ 50 ดอลลาร์ต่อชิ้น

ที่มา - The Register

Tags:
Snapchat

หลังจากที่ Snapchat ได้เกิดเหตุการณ์หลุดครั้งใหญ่แบบทั้งภาพและวิดีโอเมื่อเดือนที่แล้ว ทาง Snapchat โทษปัญหาและช่องโหว่ว่ามาจากบรรดาแอพทางเลือกที่ใช้ API ที่ได้จากการทำวิศวกรรมย้อนกลับ และเริ่มจัดการปัญหานี้แล้วครับ

ในเบื้องต้นผู้ใช้แอพทางเลือกเหล่านี้จะถูกล็อกบัญชี ซึ่งสามารถปลดล็อกได้โดยการหยุดใช้แอพทางเลือกและเข้าไปเปลี่ยนรหัสผ่าน แต่หากยังดื้อดึงที่จะใช้แอพทางเลือกต่อไปอาจทำให้บัญชีถูกล็อกอย่างถาวร

Snapchat บอกว่ากำลังพัฒนา public API สำหรับแอพทางเลือกเพื่อหลีกเลี่ยงปัญหาด้านความปลอดภัยในอนาคต อย่างไรก็ตาม ยังไม่มีกำหนดว่าการพัฒนานี้มีกำหนดเสร็จเมื่อไหร่

สำหรับผู้ใช้ iOS และ Android นั้นการหยุดใช้แอพทางเลือกอาจเป็นเรื่องง่าย แต่สำหรับผู้ใช้ Windows Phone ที่ไม่มีแอพทางการและต้องพึ่งพาแอพทางเลือก (เช่น 6snap) นั้นคงต้องรอ public API ต่อไปครับ

ที่มา - Windows Central

Tags:
iOS

เป็นข่าวใหญ่ด้านความปลอดภัยของผู้ใช้ iOS ไปเมื่อหลายวันก่อนกับ Masque Attack หรือช่องโหว่ที่จะทำให้แอพที่ไม่พึงประสงค์สามารถปลอมตัวเป็นแอพอื่น และล้วงข้อมูลทุกอย่างในเครื่องผู้ใช้ไปได้ วันนี้ทางแอปเปิลได้ชี้แจงถึงปัญหานี้แล้วครับ

แอปเปิลบอกว่าทั้ง OS X และ iOS มีระบบรักษาความปลอดภัยที่จะป้องกันและแจ้งเตือนผู้ใช้ทุกครั้งที่จะลงแอพที่มีความเสี่ยง และชี้ว่ายังไม่มีผู้ใช้รายใดที่ได้รับผลกระทบจากช่องโหว่นี้ รวมไปถึงแนะนำว่าให้ดาวน์โหลดแอพจากแหล่งที่เชื่อถือได้อย่าง App Store เท่านั้น

นอกจากนั้นแอปเปิลยังชี้แจงว่าการจะได้รับผลกระทบจาก Masque Attack นั้น จะเกิดจากตัวผู้ใช้เอง ที่เลือกกด 'Trust' เมื่อเครื่องแจ้งเตือนเพื่อลงแอพจากแหล่งอื่นที่ไม่ใช่ App Store นั่นเองครับ

ที่มา - MacRumors

Tags:
SSL

Eitan Konigsburg วิศวกรซอฟต์แวร์ของ New York Times ออกมาเขียนบล็อกถึงประเด็นความเป็นส่วนตัวของผู้อ่านว่ามีความสำคัญมากขึ้นเรื่อยๆ จากการโจมตีรูปแบบต่างๆ ตั้งแต่การติดตามผู้ใช้ทำให้เสียความเป็นส่วนตัว ไปจนถึงการเปลี่ยนข้อมูลบนเว็บข่าว นอกจากนี้อุปสรรคที่เคยทำให้การวางเซิร์ฟเวอร์ที่เป็น HTTPS ก็เริ่มลดลงไป ทาง New York Times จึงชวนให้สำนักข่าวและทุกเว็บไซต์หันมาให้บริการบน HTTPS เต็มรูปแบบภายในปี 2015 หากใครรับคำท้าก็ให้ทวีตใส่แฮชแท็ก #https2015

คำท้าทายนี้ระบุว่าเว็บที่เข้าร่วมจะต้องย้ายไป HTTPS ทั้งหมด นับตั้งแต่ตัวเว็บเอง ไปจนถึงไฟล์จาวาสคริปต์ และโฆษณาทั้งหมด

ในบล็อกของ Eitan ยอมรับว่าเว็บข่าวอาจจะเจออุปสรรคอยู่บ้าง โดยเฉพาะบริษัทโฆษณาที่หลายแห่งยังไม่รองรับ HTTPS ทำให้โฆษณาไม่แสดง

เว็บไทยมีเว็บไหนจะเอาด้วยก็ไปทวีตแสดงตัวกันได้ครับ ส่วนในเครือ Blognone เองรองรับ HTTPS ทั้งหมดมาระยะหนึ่งแล้ว

ที่มา - New York Times

Tags:
Windows

ไมโครซอฟท์ออกแพตช์ความปลอดภัยประจำเดือนพฤศจิกายนจำนวน 16 ตัว โดยเป็นช่องโหว่ระดับ "ร้ายแรง" (critical) จำนวน 4 ตัว

แพตช์ตัวที่น่าจับตาที่สุดคือ MS14-066 ซึ่งอุดช่องโหว่ของแพ็กเกจ Schannel (Microsoft Secure Channel) ส่วนประกอบของวินโดวส์ที่ทำหน้าที่สื่อสารผ่าน TLS/SSL ในวินโดวส์ทุกรุ่น นับตั้งแต่ Windows Server 2003 เป็นต้นมา โดยช่องโหว่นี้จะเปิดโอกาสให้ผู้ประสงค์ร้ายสามารถเข้ามารันโค้ดบนเครื่องของเราได้ รูปแบบของช่องโหว่จะใกล้เคียงกับบั๊ก Heartbleed ของฝั่ง OpenSSL ที่เคยเป็นข่าวใหญ่ระดับโลกมาแล้ว - Ars Technica

แพตช์อีกตัวที่น่าสนใจไม่แพ้กันคือ MS14-064 แก้ช่องโหว่เก่าแก่ของ IE นับตั้งแต่ IE 3.0 บน Windows 95 เป็นต้นมา (แต่ระบบปฏิบัติการที่ยังอยู่ในระยะสนับสนุนและมีแพตช์คือ Windows Server 2003 หรือใหม่กว่า) โดยช่องโหว่นี้เกี่ยวข้องกับการรันโค้ด Windows OLE (Object Linking and Embedding) ตัวอย่างที่พบบ่อยคือมาโครในไฟล์ Excel - Krebs on Security

เอาเป็นว่าใครเป็นผู้ดูแลระบบวินโดวส์ควรติดตั้งแพตช์กันด่วน ส่วนผู้ใช้ทั่วไปก็อัพเดตผ่าน Windows Update กันตามปกติครับ

ที่มา - Microsoft

Tags:
Kaspersky

Kaspersky ออกรายงานการโจมตีเครือข่าย Wi-Fi ของโรงแรมหลายแห่ง โดยพยายามติดตั้งมัลแวร์ลงในเครื่องของเหยื่อด้วยการดาวน์โหลดอัพเดตปลอมที่อ้างว่าเป็นอัพเดตของ GoogleToolbar, Adobe Flash, หรือ Windows Messenger

ความพิเศษของ Darkhotel คือการเลือกเหยื่อมีการเลือกอย่างเจาะจงไม่ใช่การหว่านแหทั่วไป เหยื่อที่ถูกติดตามเมื่อพยายามล็อกอินเพื่อเข้าใช้งาน Wi-Fi จะได้รับ iframe พิเศษเพื่อล่อให้ติดตั้งซอฟต์แวร์ ขณะที่ระบบตรวจสอบไม่สามารถล่อให้ Darkhotel แสดง iframe เหมือนที่แสดงกับเหยื่อได้ แม้จะยังสรุปแน่ชัดไม่ได้แต่ทีมงาน Kaspersky ระบุว่ามันบ่งชี้ว่ามีการใช้ข้อมูลการเช็คอินโรงแรมเพื่อเลือกเหยื่อ

เมื่อเหยื่อติดตั้งซอฟต์แวร์ชุดแรกแล้ว Darkhotel จะดึงซอฟต์แวร์เพิ่มเติมมาติดตั้ง เช่น keyloggger เพื่อขโมยรหัสผ่าน, ค้นหารหัสผ่านในเบราว์เซอร์, และข้อมูลการล็อกอินในซอฟต์แวร์อื่นๆ

ทีมงานตรวจสอบหลักฐานการโจมตีโรงแรมหนึ่งในช่วงปลายปี 2013 ถึงต้นปี 2014 พบว่าผู้โจมตีลบร่องรอยออกจากเซิร์ฟเวอร์หลังเหยื่อเช็คเอาท์ออกจากโรงแรมแล้ว แสดงให้เห็นว่าผู้ที่โจมตีนี้ระวังเป็นอย่างมากที่จะไม่ให้จับได้ ทาง Kaspersky ระบุว่าจากข้อมูลที่มีบ่งชี้ว่าผู้ควบคุม Darkhotel เป็นกลุ่มที่พูดภาษาเกาหลี

ที่มา - Kaspersky

Tags:
iOS

ผู้ใช้ iOS พึงระวังการหลอกล่อให้ติดตั้งมัลแวร์ ซึ่งมันอาจอาศัยช่องโหว่ที่ชื่อ Masque Attack และติดตั้งตัวเองแบบเนียนๆ (ทำได้ทั้งวิธีการผ่านช่องทาง USB และการเชื่อมต่อแบบไร้สาย) เพื่อทำการสูบเอาทุกสิ่งทุกอย่างใน iPhone ไปให้ผู้ไม่หวังดีได้

จากรายงานของบริษัทวิจัยด้านความปลอดภัย FireEye ระบุว่า iOS มีช่องโหว่อันหนึ่งที่หากมีแอพไม่พึงประสงค์ถูกติดตั้งลงใน iPhone (หรือ iPad) มันสามารถอาศัยจุดบอดนี้ทำการปลอมตัวเป็นแอพตัวอื่น และติดตั้งตัวเองแทนที่แอพแท้นั้นเพื่อทำการสูบข้อมูลส่วนบุคคลของผู้ใช้ไป (มีข้อยกเว้นเฉพาะแอพที่ถูกติดตั้งมาในอุปกรณ์โดย Apple เอง ที่มัลแวร์ตัวนี้ไม่สามารถปลอมตัวไปแทนที่ได้)

Tags:
Windows

เมื่อไม่กี่วันที่ผ่านมา Home Depot บริษัทเจ้าของห้างค้าปลีกเครื่องมือและวัสดุก่อสร้างรายใหญ่โดนแฮคข้อมูลเลขบัตรเครดิตของลูกค้ากว่า 56 ล้านราย รวมทั้งอีเมลแอดเดรสของลูกค้าอีก 53 ล้านคน ซึ่งทาง Home Depot ได้ออกมาเผยว่าช่องโหว่ที่ถูกเจาะนั้นมาจากระบบปฏิบัติการ Windows

เจ้าหน้าที่ของ Home Depot ที่สืบสวนเรื่องนี้ได้เผยว่าทันทีที่ทราบเรื่องข้อมูลรั่วไหล Microsoft ก็รีบออกแพตช์มาอุดช่องโหว่ และ Home Depot ก็รีบติดตั้งแพตช์ดังกล่าวทันที แต่ทั้งหมดนั้นก็ไม่ทันการณ์ เพราะเมื่อแฮคเกอร์สามารถเข้ามาสู่ระบบของ Home Depot โดยการขโมยรหัสผ่านมาจากร้านค้าในเครือแล้วก็อาศัยช่องโหว่ของ Windows ในการเข้าถึงข้อมูลสำคัญภายในระบบของ Home Depot ได้หมด ทำได้แม้กระทั่งการเข้าถึงเครื่องคิดเงินทุกเครื่องของร้านค้าในเครือทั้งหมด ราวกับว่าแฮคเกอร์รายนั้นคือเจ้าหน้าที่ระดับสูงของ Home Depot

ภายหลังเหตุการณ์ข้างต้น Home Depot เร่งดำเนินการหลายอย่างเพื่อแก้ไขปัญหา ซึ่งนอกเหนือไปจากการติดตั้งแพตช์ที่ Microsoft ให้มาแล้ว Home Depot ได้ไล่กำจัดมัลแวร์ที่ถูกใช้ในการแฮคออกจนหมด รวมทั้งปรับปรุงการเข้ารหัสข้อมูลการจ่ายเงินให้แก่ทุกร้านค้าในเครือ ที่น่าสนใจก็คือฝ่ายไอทีของบริษัทได้เร่งสั่งซื้อ MacBook และ iPhone มากกว่า 20 ชุด เพื่อให้ผู้บริหารระดับสูงใช้งานแทนอุปกรณ์ชุดเดิมแทบจะในทันที

งานนี้ Microsoft ถือว่าเสียรังวัดไปไม่ใช่น้อย

ที่มา - 9to5Mac, Ubergizmo

Tags:

เว็บไซต์ Krebs on Security ซึ่งเป็นเว็บไซต์รายงานข่าวด้านความปลอดภัยเชิงลึก ออกมาระบุว่ามีความเป็นไปได้ที่บัญชีของสมาชิก HHonors ซึ่งเป็นโปรแกรมสะสมแต้มสำหรับการเข้าพักของเครือโรงแรม Hilton (ประกอบไปด้วย Hilton, Conrad, Double Tree และอื่นๆ) ถูกเจาะ โดยมีรายงานจากหนึ่งในสมาชิกที่ระบุว่าแต้มของตนเองนั้น "หาย" ไปกว่า 250,000 แต้ม

ในรายงานระบุว่า บัญชีของสมาชิก HHonors หลายรายนั้นถูกระบุว่ามีการซื้อขายกันอยู่เป็นการแพร่หลาย โดยหนึ่งในสมาชิกที่โดนเจาะบัญชี ระบุว่า เขาถูกกลุ่มผู้ประสงค์ร้าย ใช้แต้มในการจองห้องพักของเขาจนเกลี้ยง และในกรณีที่แต้มไม่พอ ก็ใช้บัตรเครดิตของบริษัท (corporate card) ในการเข้าไปซื้อแต้มสะสมเพิ่ม ทั้งหมดดำเนินการไปโดยที่เขาไม่รู้เรื่อง เพราะผู้ประสงค์ร้ายทำการเปลี่ยนแปลงอีเมลของเขาที่ผูกอยู่กับสมาชิกบัตร

ทาง Krebs on Security ระบุว่าปัญหานี้อาจเกิดจากการที่ระบบสมาชิก ปล่อยให้มีการลงชื่อเข้าใช้ (login) ด้วยรหัสตัวเลข (PIN) เท่านั้น และเนื่องจากใช้รหัสเพียง 4 ตัว จึงทำให้การเจาะระบบทำได้โดยง่าย เพียงแค่รู้รหัสสมาชิก และใช้วิธีโจมตีแบบ brute force เท่านั้น ก็สามารถเข้าสู่ระบบได้แล้ว ด้านโรงแรมเครือ Hilton ยังไม่ออกมาให้สัมภาษณ์ในประเด็นนี้แต่อย่างไร

ที่มา - Krebs on Security