Tags:
Google Drive

Google เสนอให้ผู้ใช้บริการของ Google ทำรายการตรวจสอบความปลอดภัยเกี่ยวกับบัญชีใช้งานของตนเอง โดยมีข้อแลกเปลี่ยนเป็นพื้นที่เก็บข้อมูลบน Google Drive เพิ่มให้คนละ 2GB (เฉพาะคนที่ทำรายการภายในวันที่ 17 กุมภาพันธ์นี้เท่านั้น)

ผู้ใช้เพียงเข้าไปทำรายการตรวจสอบที่นี่ ซึ่งเป็นการตรวจสอบทั้งข้อมูลสำหรับการกู้บัญชีผู้ใช้ในยามฉุกเฉิน, บันทึกการเข้าระบบของบัญชีผู้ใช้ในระยะหลัง, การให้สิทธิ์แก่แอพและอุปกรณ์ต่างๆ ในการเข้าถึงข้อมูล รวมทั้งการตั้งค่าการเข้าระบบด้วยวิธียืนยันตัวตน 2 ขั้นตอน (อย่างหลังสุดนี้หากไม่ต้องการใช้งานก็ปล่อยว่างไว้ได้)

หลังทำรายการตรวจสอบความปลอดภัยเสร็จสิ้นแล้ว ผู้ใช้จะยังไม่ได้พื้นที่เก็บข้อมูลบน Google Drive เพิ่มเติมทันที หากแต่จะได้รับภายหลังในวันที่ 28 กุมภาพันธ์ ซึ่งทาง Google จะส่งอีเมลไปยังผู้ใช้เพื่อให้ยืนยันเรื่องนี้อีกครั้ง

ที่มา - The Next Web

Tags:

โปรแกรมเมอร์ที่มีประสบการณ์สักหน่อยคงเข้าใจได้ไม่ยากว่าซอฟต์แวร์ที่ไม่มีบั๊กนั้นแทบไม่มีจริงอยู่ในโลก หนังสือ Code Complete ของ Steve McConnell ระบุว่าโดยทั่วไปแล้วโค้ดทุกๆ 1000 บรรทัด (KLOC: kilo lines of code) จะมีข้อผิดพลาดประมาณ 15-50 จุด ซอฟต์แวร์ที่คุณภาพสูงมากๆ อาจจะมีกระบวนการตรวจสอบที่รัดกุม อาจจะทำให้คุณภาพซอฟต์แวร์ดีขึ้น จุดผิดพลาดต่ำลงต่ำ แต่ซอฟต์แวร์สมัยใหม่ที่มีความซับซ้อนสูง พึ่งพิงกับไลบรารีภายนอกจำนวนมาก แทบเป็นไปไม่ได้ที่จะอ้างว่าซอฟต์แวร์เหล่านี้ไม่มีความผิดพลาดอยู่เลย ในบางกรณีอาจมีผู้อ้างว่าทำได้เช่นในโครงการอวกาศบางโครงการ แต่ซอฟต์แวร์เหล่านั้นมักเป็นงานเฉพาะทาง ไม่ต้องรองรับฮาร์ดแวร์ที่หลากหมายและมาตรฐานการเชื่อมต่อกับภายนอกจำนวนมาก

Tags:
Thailand

ที่งาน MHCon 2015 เมื่อวานนี้นอกจากมีการบรรยายจากวิทยากรแล้วพ.อ.ชาติชาย ชัยเกษม ผู้อำนวยการกองสงครามเครือข่าย (บ้านเรามีหน่วย Cyberwarfare แล้ว) ประกาศว่ากำลังรับสมัครพลเรือนเข้าไปทำงานด้านความปลอดภัยคอมพิวเตอร์ทั้งหมด 7 ตำแหน่ง

ตำแหน่งที่เปิดมีตั้งแต่ penetration testing officer, digital forensics officer, และ cyber security auditing officer คงครอบคลุมงานด้านความปลอดภัยคอมพิวเตอร์ส่วนใหญ่ แต่จำนวนตำแหน่งไม่มากนัก หากใครสนใจทำงานด้านความปลอดภัยคอมพิวเตอร์ในหน่วยราชการคงเป็นโอกาสที่ดีครับ

ยังไม่เปิดรับสมัคร โดยจะเปิดรับจริงวันที่ 15 กุมภาพันธ์นี้ไปจนถึงวันที่ 1 มีนาคม ทางเว็บกรมยุทธการทหาร

ที่มา - Facebook: MHCon 2015

Tags:

GPG หรือ Gnu Privacy Guard เริ่มพัฒนามาตั้งแต่ปี 1997 และออกรุ่น 1.0 ในปี 1999 โดย Werner Koch นักพัฒนาหลักมาตลอดโดยตั้งบริษัท g10code ขึ้นมาเพื่อรับเงินและตัว Werner เองก็ออกมาทำงานเต็มเวลาในบริษัทนี้ แต่ปรากฎว่าบริษัทนี้อยู่ในสภาพย่ำแย่มาโดยตลอด ฐานะทางการเงินติดลบ ช่วงสองปีหลังเหลือ Werner เป็นนักพัฒนาเต็มเวลาเพียงคนเดียว จนกระทั่งคิดว่าจะเลิกทำโครงการนี้เต็มเวลาแล้วไปทำงานบริษัทในช่วงปี 2013

แต่หลังจาก Edward Snowden เปิดเผยข้อมูลจำนวนมากโดยอาศัย GPG เป็นส่วนสำคัญในการสื่อสาร Werner ก็ตัดสินใจเดินหน้าพัฒนาต่อ และพยายามระดมทุนเพื่อให้มีนักพัฒนาเพิ่มเติม โดยตั้งเป้าระดมทุน 137,000 ดอลลาร์ แต่ก็ยังไม่ได้ตามที่หวัง

ทาง Linux Foundation เข้ามาช่วยเหลือด้วยการให้ทุน 60,000 ดอลลาร์เมื่อสัปดาห์ที่แล้ว และหลังจากบทความของ Propublica เผยแพร่บทความเรื่องนี้ออกไปไม่นานเงินบริจาคก็เข้าบริษัท g10code ไปแล้ว 120,000 ดอลลาร์

PGP ที่ใช้เข้ารหัสอีเมลแบบเดียวกันถูกพัฒนาโดย Phil Zimmermann และเปิดให้ดาวน์โหลดฟรี แต่ Phil กลับถูกดำเนินคดีเพราะทำผิดกฎหมายการส่งออกเทคโนโลยีการเข้ารหัสที่สหรัฐฯ มีกฎหมายห้ามในยุคหนึ่ง Werner จึงคุยกับ Richard Stallman และพบว่าหากซอฟต์แวร์พัฒนาในเยอรมันที่ไม่มีกฎหมายห้ามส่งออกเทคโนโลยีเข้ารหัส คนสหรัฐฯ เองก็สามารถใช้งานได้เพราะเป็นการนำเข้าเทคโนโลยี

ปัญหาโครงการพื้นฐานที่ไม่ดังไม่ได้รับความสนใจและเงินทุนเพียงพอเป็นปัญหาใหญ่สำหรับความปลอดภัยคอมพิวเตอร์ ปีที่แล้วปัญหา Heartbleed ส่วนหนึ่งก็เกิดจากปัญหาแบบเดียวกันจนเกิดโครงการ Core Infrastructure Initiative

ที่มา - Propublica

Tags:
Adobe

วันก่อนมีรายงานถึงบั๊ก CVE-2015-313 ของ Adobe Flash ตอนนี้ทาง Adobe ก็ปล่อยแพตช์ออกมาแล้ว และยังแก้บั๊กอื่นๆ อีกนับสิบตัว รวมถึงบั๊กจาก Project Zero ของกูเกิลและบั๊กที่ได้รับจากโครงการให้รางวัลบั๊ก Chromium

ทางฝั่งกูเกิลระบุว่าบั๊กทั้งหมดของ Project Zero ทาง Adobe สามารถแก้ไขได้ภายใน 90 วันตามกำหนดของโครงการ

ที่มา - Adobe, Chris Evans

Tags:
SSL

Venefi และ DigiCert บริษัทให้บริการรับรองตัวตน (Certification Authority - CA) ประกาศเข้าร่วมกับโครงการ Certificate Transparency ที่ก่อตั้งโดยกูเกิล ที่ชักชวนให้ CA ทั้งหลายเปิดเผยข้อมูลการออกใบรับรองสู่สาธารณะ

ทาง DigiCert ระบุว่าจะเปิดเผยเฉพาะใบรับรองระดับ EV (Extended Validation ที่มีชื่อบริษัทอยู่ในช่อง URL) แต่ไม่รวมถึงใบรับรองทั่วไป ส่วน Venafi ไม่ได้ระบุว่าจะเปิดเผยข้อมูลมากแค่ไหน

การเปิดเผยข้อมูลแค่บางส่วนคงทำให้โครงการ Certificate Transparency ของกูเกิลมีประโยชน์จำกัด เพราะแฮกเกอร์ที่ต้องการใบรับรองปลอมสามารถไปหลอกเอาใบรับรองจากผู้ให้บริการที่ไม่ได้เปิดเผยข้อมูลได้

CA ที่เข้าโครงการ Certificate Transparency จะออกใบรับรองที่มีข้อมูล signed certificate timestamp (SCT) เพิ่มเข้ามา เบราว์เซอร์จะสามารถใช้ข้อมูลนี้ไปตรวจสอบกับเซิร์ฟเวอร์ล็อกได้ว่ามีการประกาศการออกใบรับรองสู่สาธารณะจริงหรือไม่ ถ้าประกาศแล้วก็แสดงว่าใบรับรองน่าเชื่อถือ เพราะถ้าออกใบรับรองไม่ถูกต้องเจ้าของโดเมนควรทักท้วงแล้ว

ที่มา - eWeek

Tags:
Sony Pictures

โซนี่แถลงผลประกอบการไปเมื่อวันพุธที่ผ่านมา ข้อมูลอีกอย่างหนึ่งที่อยู่ในรายงานคือการแฮกข้อมูลครั้งใหญ่ของ Sony Pictures นอกจากจะทำให้บริษัทเสียหายครั้งใหญ่ รายได้ลดลง 23% และกำไรแทบไม่เหลือแล้วยังต้องจ่ายค่าสอบสวนและฟื้นฟูระบบที่เสียหายไปอีก 15 ล้านดอลลาร์ในไตรมาสที่ผ่านมา

ระหว่างนี้การสอบสวนยังไม่จบ โซนี่คาดว่าจะต้องจ่ายเพิ่มอีก 20 ล้านดอลลาร์ รวมเป็นค่าใช้จ่าย 35 ล้านดอลลาร์ ทางโซนี่ไม่ตอบคำถามว่าหลังจากนี้จะมีค่าใช้จ่ายเพิ่มเติมหรือไม่

ความเสียหายของโซนี่แม้จะใหญ่หลวง แต่เมื่อเทียบกับเหตุการณ์ห้าง Target เมื่อปีที่แล้ว ทำให้ผู้บริหารต้องลาออก และมูลค่าความเสียหายรวมถึง 148 ล้านดอลลาร์ ก็ยังไม่ใช่ความเสียหายสูงสุดที่เคยเกิดมา

ที่มา - eWeek

Tags:
Trend Micro

Trend Micro รายงานถึงมัลแวร์ XAgent มัลแวร์ที่เจาะจงเป้าหมายในกลุ่มการทหาร, รัฐบาล, อุตสาหกรรมที่เกี่ยวกับความมั่นคง, และสื่อ ทาง Trend Micro เชื่อว่าเป็นปฎิบัติการต่อเนื่องมาจากปีที่แล้ว ที่ Trend Micro เรียกชื่อว่า Pawn Storm ที่พบเมื่อปีที่แล้ว

XAgent มีสองรุ่น คือ แอพพลิเคชั่นที่ชื่อว่า XAgent และเวอร์ชั่นปลอมตัวเป็นเกม MadCap กระบวนการติดมัลแวร์นี้ยังไม่แน่ชัดนัก แต่อุปกรณ์ที่ติดไม่จำเป็นต้องเจลเบรกแต่อย่างใด แต่บน iOS 8 นั้นการติดตั้งจะไม่สมบูรณ์ ตัวมัลแวร์ไม่สามารถทำงานได้อัตโนมัติ และไอคอนที่ซ่อนไว้ก็แสดงออกมา

มัลแวร์ทำหน้าที่หลักคือเก็บข้อมูลจากเครื่องของเหยื่อ ทั้งข้อความ, รายชื่อติดต่อ, ภาพถ่าย, ตำแหน่งเครื่อง, เปิดไมค์บันทึกเสียง, รายชื่อแอพพลิเคชั่นในเครื่อง, รายชื่อโปรแกรมที่ทำงานอยู่, และสถานะ Wi-Fi

ทาง Trend Micro เชื่อว่ามัลแวร์ตัวนี้มีกลุ่มดูแลอย่างดี มีการอัพเดตโค้ดต่อเนื่อง

ที่มา - Trend Micro, The Register

Tags:
SSL

หมายเหตุ บทความนี้ไม่เกี่ยวกับข่าว "กระทรวงไอซีทีพยายามตรวจสอบและปิดกั้นเว็บเข้ารหัส ทดสอบที่เกตเวย์" แต่อย่างใด

เว็บและบริการคอมพิวเตอร์ยุคใหม่ส่วนมากมักเข้ารหัสอย่างแน่นหนาขึ้นเรื่อยๆ ในช่วงเวลาไม่กี่ปีที่ผ่านมา กระบวนการเข้ารหัสเหล่านี้คุ้มครองความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ได้เป็นอย่างดี แต่แน่นอน หากวันดีคืนดีเราเป็นเจ้าของบ้านที่ควบคุมเกตเวย์อินเทอร์เน็ต "ที่บ้าน" ได้โดยไม่มีการตรวจสอบ ไม่มีการถ่วงดุล สามารถทำอะไรได้ตามใจชอบ เราอาจจะเริ่มสงสัยว่าจริงๆ แล้วเราอยากส่องข้อความที่ทุกคนส่งเข้าออกจากบ้านของเราแม้จะเข้ารหัสได้หรือไม่

Tags:
Avast

บริษัทความปลอดภัย Avast รายงานพฤติกรรมของเกมไพ่ Durak บน Google Play ที่มีคนดาวน์โหลดไปแล้ว 5-10 ล้านครั้ง (ตามสถิติของกูเกิล)

เกมนี้ฉากหน้าเป็นเกมไพ่ธรรมดา เล่นได้ปกติ แต่เมื่อลงเกมผ่านไปหลายๆ วัน (เช่น 7 วัน) แล้วบูตเครื่องใหม่จะพบข้อความแจ้งเตือนว่าเครื่องเราโดนแฮ็ก ติดไวรัส หรือไม่อัพเดต (ข้อความแตกต่างกันออกไปแบบสุ่ม) ข้อความเหล่านี้เป็นข้อความหลอกให้เรากดอัพเดต ซึ่งจะพาเราไปยังเว็บเพจที่หลอกให้ดาวน์โหลดแอพหรือสมัคร SMS แบบเสียเงินราคาแพงอีกชั้นหนึ่ง

Avast พบพฤติกรรมแบบนี้กับแอพหลายตัวบน Google Play นอกจาก Durak แล้วยังมีแอพชื่อ IQ Test และ History (แต่ Durak มีคนดาวน์โหลดมากที่สุด)

ตอนนี้แอพทั้งหมดถูกกูเกิลลบไปจาก Play Store แล้ว แต่น่าจะเป็นการแพร่ระบาดของมัลแวร์-แอพติดโฆษณาครั้งใหญ่ครั้งหนึ่งของ Google Play

ที่มา - Avast

Tags:
Flash

Symantec รายงานช่องโหว่ใหม่ของ Flash Player (รหัส CVE-2015-0313) และพบการโจมตีผ่านช่องโหว่นี้แล้ว ช่องโหว่นี้มีใน Flash Player ทุกรุ่น รวมถึงรุ่นล่าสุด 16.0.0.296 ที่เพิ่งออกมาไม่กี่วันก่อน

Adobe รับทราบปัญหานี้แล้ว และบอกว่าจะรีบออกแพตช์ภายในสัปดาห์นี้ นั่นแปลว่าผู้ใช้ Flash Player มีความเสี่ยง วิธีป้องกันตัวชั่วคราวคือปิดการทำงานของ Flash Player ไปก่อนจนกว่าจะมีแพตช์ครับ

จากข้อมูลของ Symantec บอกว่าแฮ็กเกอร์เริ่มรันแคมเปญโฆษณาให้ดาวน์โหลดไฟล์มัลแวร์ เพื่อโจมตีคอมพิวเตอร์ผ่านช่องโหว่นี้ ผลกระทบคือทำให้เครื่องแครชและอาจถูกแฮ็กเกอร์ควบคุมเครื่องได้จากระยะไกล

ที่มา - Symantec

Tags:
BMW

วงการรถยนต์ยุคสมาร์ทคาร์ ย่อมมีปัญหาเรื่องช่องโหว่ความปลอดภัย ล่าสุด BMW ประกาศออกแพตช์ความปลอดภัยให้รถยนต์ยี่ห้อ BMW, Mini, Rolls Royce ในเครือของตัวเองรวม 2.2 ล้านคัน

ซอฟต์แวร์ที่พบปัญหาคือ ConnectedDrive รุ่นที่รองรับซิมการ์ดเพื่อสั่งงานรถยนต์จากระยะไกล ซอฟต์แวร์ตัวนี้สามารถควบคุมการล็อคประตูรถ เปิดปิดแอร์ และดึงข้อมูลจราจร แต่ไม่สามารถเข้าถึงระบบขับเคลื่อนรถยนต์ได้ ส่วนช่องโหว่ที่อาจถูกแฮ็กเกอร์เจาะแล้วสั่งการรถยนต์ได้ (เช่น ล็อคประตูรถไม่ให้เจ้าของใช้งาน)

ช่องโหว่นี้ถูกค้นพบโดยสมาคมผู้ผลิตรถยนต์ของเยอรมนี และยังไม่มีรายงานว่าถูกนำไปใช้งานจริง ส่วนวิธีการอัพเดตแพตช์จะดาวน์โหลดอัตโนมัติผ่าน OTA โดยเข้ารหัส HTTPS และรถยนต์จะเช็คว่าเป็นเซิร์ฟเวอร์ของ BMW จริงๆ ก่อนดาวน์โหลดเสมอ

ที่มา - BBC

Tags:
Google

กูเกิลประกาศผลงานของโครงการ Vulnerability Reward Program (VRP) ที่ให้เงินรางวัลกับนักวิจัยที่หาช่องโหว่ในแอพพลิเคชั่นหรือบริการของกูเกิล โดยปีที่แล้วกูเกิลจ่ายเงินไปมากกว่า 1,500,000 ดอลลาร์ รวมนักวิจัยที่ได้เงินรางวัลมากกว่า 200 คน

เฉพาะบั๊กความปลอดภัยของ Chrome ที่พบในโครงการ VRP มีมากกว่า 500 บั๊ก และครึ่งหนึ่งพบจากเวอร์ชั่น beta หรือ dev ทำให้กูเกิลสามารถแก้บั๊กความปลอดภัยก่อนที่จะกระทบคนส่วนใหญ่

ในปีนี้กูเกิลประกาศโครงการใหม่ Vulnerability Research Grants (VRG) ให้ทุนกับนักวิจัยที่ได้รับเชิญหรือมีผลงานชัดเจน นักวิจัยที่เคยได้รับรางวัลจาก VRP สามารถส่งข้อเสนองานวิจัย โดยนักวิจัยที่สนใจจะทำวิจัยความปลอดภัยให้กับบริการของกูเกิลสามารถขอทุนระหว่าง 500 ดอลลาร์ถึง 3,133.7 ดอลลาร์ เพื่อเป็นทุนในการหาบั๊กความปลอดภัย และหากพบบั๊กก็จะได้รางวัลจาก VRP อีกทางด้วย แม้จะวิจัยจนเสร็จแล้วไม่พบบั๊กยังไม่มีผลกระทบต่อการขอทุนในครั้งต่อไป

นอกจากกนี้กูเกิลประกาศว่าแอพพลิเคชั่นของกูเกิลเองทั้งหมดใน Google Play และ iTunes ยังมีสิทธิ์ได้รับรางวัลตาม VRP ทั้งหมด

ที่มา - Google Online Security

Tags:
Chrome

หน้าจอเตือนการเข้ารหัส TLS/SSL ผิดพลาดของ Chrome เปลี่ยนมาตั้งแต่ Chrome 37 โดยเปลี่ยนข้อความเป็น "Your connection is not private" หรือ "การเชื่อมต่อของคุณไม่เป็นส่วนตัว" จากเดิมที่ข้อความเตือนการเชื่อมต่อผิดพลาดมักเป็นข้อความทางเทคนิคระบุความผิดพลาด เช่น ใบรับรองเป็นแบบรับรองตัวเอง

ทีมความปลอดภัยของ Chrome เตรียมนำเสนอที่มาของข้อความนี้ในการประชุมวิชาการ CHI 2015 (Google Presentation) ที่กรุงโซล เกาหลีใต้ในเดือนเมษายนนี้ โดยตอนนี้ก็นำร่างเอกสารนำเสนอมาให้เราอ่านกันก่อน

Tags:
China

จีนออกกฎหมายความมั่นคงไซเบอร์ฉบับใหม่ แสดงความพยายามเข้าควบคุมคอมพิวเตอร์ทั้งระบบที่ใช้งานในอุตสาหกรรมการเงินของจีนโดยระบุว่าต้องส่งซอร์สโค้ดของซอฟต์แวร์และเฟิร์มแวร์ให้รัฐบาลจีนตรวจสอบจึงสามารถใช้งานได้ และคอมพิวเตอร์เหล่านี้จำเป็นต้องใช้กระบวนการเข้ารหัสที่ได้รับอนุมัติโดยรัฐบาลเท่านั้น

รัฐบาลจีนระบุชัดในกฎมายว่าต้องการเข้าถึงข้อมูลทั้งหมดในคอมพิวเตอร์ที่ขายให้กับภาคการเงิน โดยจำเป็นต้องมีพอร์ตพิเศษเพื่อเข้าจัดการและมอนิเตอร์การทำงานได้ เป้าหมายของรัฐบาลจีนตามกฎหมายนี้ คือ การเข้าควบคุมซอฟต์แวร์ 75% ที่ให้บริการในภาคการเงินของจีนภายในปี 2019

ส่วนร่างกฎหมายต่อต้านการก่อการร้ายอีกฉบับที่กำลังจะผ่านระบุให้ทุกบริษัทที่ให้บริการชาวจีนจะต้องเก็บข้อมูลไว้ในประเทศจีน และเปิดช่องทางให้รัฐบาลเข้าสอดส่อง รวมถึงการมอบกุญแจถอดรหัสให้รัฐบาลได้

หอการค้าสหรัฐฯ และกลุ่มบริษัทในจีนส่งจดหมายคัดค้านกฎหมายเหล่านี้ไปยังพรรคคอมมิวนิสต์จีน ระบุว่ากฎหมาย เช่นนี้ต้องมีการพูดคุยกัน และหากใช้กฎหมายเช่นนี้ไปจะทำให้บริษัทต่างชาติไม่สามารถทำธุรกิจในจีนได้อีกต่อไป บริษัทหนึ่งที่ได้รับผลกระทบจากกฎหมายชุดนี้คือแอปเปิลที่ให้บริการ iMessage กับลูกค้าจำนวนมากในจีนโดยเข้ารหัสแบบ end-to-end ทำให้ไม่สามารถถอดรหัสจากเซิร์ฟเวอร์ได้ แต่ก่อนหน้านี้แอปเปิลก็ย้ายเซิร์ฟเวอร์เข้าไปไว้ในจีนแล้ว

ขอให้ชาวจีนโชคดี

ที่มา - New York Times, ArsTechnica, Sci-Tech Today

Tags:
Yosemite

จากข่าวกูเกิลเผยช่องโหว่ OS X แอปเปิลแก้แล้วแต่ยังไม่ปล่อยอัพเดต วันนี้แอปเปิลออก OS X Yosemite 10.10.2 ที่แก้ช่องโหว่ตัวนี้ (รวมถึงช่องโหว่และบั๊กอื่นๆ) มาแล้ว รายการแก้ไขคือ

  • แก้บั๊ก Wi-Fi หลุด
  • แก้บั๊กเว็บเพจโหลดช้าในบางกรณี
  • แก้บั๊ก Spotlight อ่านอีเมลจากเซิร์ฟเวอร์ แม้จะปิดตัวเลือกนี้ในโปรแกรม Mail.app แล้ว
  • ปรับปรุงการซิงก์เสียง-วิดีโอเมื่อใช้หูฟัง Bluetooth
  • เพิ่มฟีเจอร์เลือกดูไฟล์ iCloud Drive ใน Time Machine
  • ปรับปรุงประสิทธิภาพของฟีเจอร์อ่านออกเสียง VoiceOver และแก้บั๊ก
  • แก้บั๊กปุ่มเปลี่ยนภาษา (input method) ทำงานผิดพลาด เปลี่ยนภาษาเองโดยไม่ต้องการ
  • ปรับปรุงเสถียรภาพและความปลอดภัยของ Safari

ที่มา - MacRumors

นอกจากนี้แอปเปิลก็ออก iOS 8.1.3 ปรับปรุงเสถียรภาพและความปลอดภัยมาพร้อมกันด้วยครับ - 9to5mac

Tags:

บริษัท Qualys รายงานบั๊กในไลบรารี glibc ให้ชื่อช่องโหว่ว่า GHOST (CVE-2015-0235) มีความร้ายแรงระดับสูงมาก กระทบลินุกซ์ตั้งแต่ปี 2000 และสามารถยิงช่องโหว่นี้ได้จากระยะไกล บั๊กนี้แก้ไขไปแล้วตั้งแต่สองปีก่อน แต่ไม่ได้ระบุว่าเป็นบั๊กความปลอดภัยร้ายแรงเนื่องจากยังไม่มีรายงานว่าสามารถอาศัยบั๊กนี้โจมตีเครื่องเซิร์ฟเวอร์ได้

ช่องโหว่นี้เป็นบั๊กของฟังก์ชั่น gethostbyname และ gethostbyname2 ของ glibc ตั้งแต่เวอร์ชั่น 2.2 ที่ออกมาตั้งแต่ปี 2000 เป็นต้นไป ความร้ายแรงของบั๊กนี้อยู่ที่การรันบั๊กจากระยะไกลได้ง่าย เพราะฟังก์ชั่นทั้งสองฟังก์ชั่นมักใช้งานในเซิร์ฟเวอร์อยู่แล้ว ทีมงานสามารถสร้างอีเมลที่มุ่งร้ายขึ้นมาเพื่อส่งเข้าไปรันโค้ดบนเซิร์ฟเวอร์ได้สำเร็จ เพียงแค่ส่งอีเมลเข้าเมลเซิร์ฟเวอร์

สำหรับคนที่ติดตั้งลินุกซ์ที่ใช้ glibc รุ่นตั้งแต่ 2.18 เป็นต้นไป (ออกเมื่อกลางปี 2013) จะไม่ได้รับผลกระทบจากบั๊กนี้อยู่แล้ว แต่เนื่องจากการแก้บั๊กไม่ได้เป็นการแก้ด้านความปลอดภัย คนที่ใช้ลินุกซ์รุ่นที่ออกก่อนหน้านั้นอาจจะไม่ได้รับแพตช์ โดยรุ่นที่มีบั๊กแต่ยังไม่ได้แพตช์ เช่น Debian 7, RHEL 6 และ 7, CentOS 6 และ 7, และ Ubuntu 12.04 เป็นต้น ผู้ดูแลระบบทุกคนควรรีบตรวจสอบและอัพเดตเมื่อผู้ผลิตปล่อยแพตช์ออกมาครับ

ทาง Qualys รายงานโค้ดทดสอบบั๊กเอาไว้ด้วย สามารถนำไปคอมไพล์ทดสอบบั๊กกันได้

ชื่อบั๊กเป็นการย่อมาจากคำว่า GetHOST

update: ทั้ง RHEL และ CentOS ออกแพตช์แล้วนะครับ กำลังอยู่ระหว่างการซิงค์ไฟล์ระหว่างเซิร์ฟเวอร์

ที่มา - Qualys

Tags:
NIST

หลังการเปิดเผยเอกสารของ Edward Snowden ข้อมูลส่วนใหญ่จะเป็นข้อมูลของหน่วยงานข่าวกรองอย่าง NSA, GCHQ, และ DSD แต่อีกหน่วยงานที่ได้รับผลกระทบอย่างหนักคือ NIST ที่เป็นหน่วยงานมาตรฐานอุตสาหกรรม แต่มีงานสำคัญคือการออกมาตรฐานการเข้ารหัสสำหรับหน่วยงานรัฐ ซึ่งมักได้รับความไว้วางใจและนำมาตรฐานเดียวกันไปใช้งานในภาคเอกชนโดยทั่วไป แต่มาตรฐาน Dual_EC_DRBG กลับถูกผลักดันโดย NSA เป็นหลักแม้จะมีปัญหาทางเทคนิคหลายประการ เมื่อปีที่แล้ว NIST ร่างเอกสารแนวทางการออกมาตรฐานเสียใหม่เพื่อเรียกความเชื่อมั่นกลับมา และตอนนี้ร่างนี้ก็มาถึงร่างที่สอง

ร่างใหม่นี้มีความเปลี่ยนแปลงสำคัญ คือ การจัดความสัมพันธ์กับ NSA เสียใหม่ ตามกฎหมายของสหรัฐฯ บังคับให้ NIST ต้องปรึกษา NSA ก่อนออกมาตรฐาน ตามร่างใหม่นี้ระบุว่า NIST จะประชุมร่วมกับ NSA ในที่ประชุมกรรมการระบบความมั่นคงปลอดภัยแห่งชาติ (Committee on National Security Systems - CNSS) จากนั้น NIST จึงนำข้อเสนอมาพิจารณา

อีกแนวทางหนึ่งคือ NIST จะระบุชื่อคนพัฒนามาตรฐานไว้เสมอ หากไม่สามารถระบุได้ก็จะระบุเป็นชื่อหน่วยงานแทน ในกรณีของ Dual_EC_DRBG ชื่อมาตรฐานก็ระบุตั้งแต่ช่วงเสนอและช่วงประกาศใช้ว่าเป็นมาตรฐานโดย NSA

ที่มา - GovInfo Security, NIST

Tags:
Minecraft

หลังจากมีข่าวบัญชีพร้อมรหัสผ่านของเกม Minecraft หลุดออกมากว่า 1,800 ชุดจนผู้ใช้เกิดความตระหนกขึ้นนั้น ขณะนี้ทาง Mojang ผู้พัฒนาและให้บริการเกม Minecraft ออกมาชี้แจงข้อมูลเพิ่มเติมแล้วครับ

Mojang ยืนยันว่าระบบของ Minecraft นั้นไม่ได้ถูกเจาะ ไม่มีใครสามารถเข้าถึงเมนเฟรมของ Mojang ได้ (ยกเว้นคนใน) และต่อให้มีคนเข้าถึงได้ ทาง Mojang ก็เก็บรหัสผ่านของผู้ใช้ไว้ในรูปแบบที่เข้ารหัสไว้อย่างดี (ต้นทางใช้คำว่า super encrypted format) จึงไม่จำเป็นต้องตระหนกต่อเหตุการณ์นี้

เรื่องนี้เกิดขึ้นจากการที่ผู้ใช้บางส่วนถูกหลอกให้ป้อนข้อมูลดังกล่าวให้กับคนร้ายโดยอาศัยเทคนิคฟิชชิ่ง ซึ่งโดยทั่วไปหมายถึงการปลอมตัวเป็น Mojang และหลอกผู้คนให้ป้อนข้อมูลส่วนตัวผ่านทางหน้าเว็บปลอม โดยขณะนี้ทาง Mojang ได้ส่งอีเมลไปแจ้งเตือนรวมถึงรีเซ็ตรหัสผ่านของบัญชีที่ได้รับผลกระทบทั้งหมดแล้ว แต่หากใครต้องการรีเซ็ตรหัสผ่านเพื่อความปลอดภัย (แม้จะไม่อยู่ในรายชื่อที่ถูกปล่อยข้อมูลออกมา) ก็สามารถดำเนินการได้ที่ https://minecraft.net/resetpassword หรือถ้าต้องการความช่วยเหลือก็ให้ติดต่อผ่านทาง https://help.mojang.com/ ได้

ที่มา - Mojang

Tags:
Android

จากกรณี Google บอกจะไม่แก้ไขช่องโหว่ WebView ใน Android เวอร์ชัน 4.3 หรือต่ำกว่า สร้างเสียงวิจารณ์อย่างมากว่าจะทำให้ผู้ใช้ Android จำนวนมากตกอยู่ใต้ความเสี่ยง

Adrian Ludwig วิศวกรของกูเกิลออกมาชี้แจงประเด็นนี้ผ่าน Google+ ดังนี้

  • นโยบายของกูเกิลคือออกแพตช์ความปลอดภัยให้ Android รุ่นใหญ่ (major release) อย่างน้อย 2 รุ่นก่อนหน้ารุ่นปัจจุบันเสมอ
  • Android 4.4 เปิดให้ผู้ผลิตฮาร์ดแวร์อัพเดตไบนารีของ WebView ที่กูเกิลส่งให้ ส่วน Android 5.0 แยก WebView มาอัพเดตผ่าน Google Play Services ช่วยให้กระบวนการอัพเดตง่ายสุดๆ เพราะผู้ผลิตฮาร์ดแวร์ไม่ต้องทำอะไรเลย
  • ก่อนหน้านี้กูเกิลนำแพตช์ของ WebView มาอัพเดตให้รุ่นเก่า (backport) ด้วย แต่เนื่องจาก WebKit/WebView มีขนาดใหญ่มาก มีการอัพเดตตลอดเวลา การนำแพตช์กลับมาแก้ให้ซอฟต์แวร์เวอร์ชันเก่าเกิน 2 ปีจึงเริ่มเป็นภาระหนักของทีมงาน เป็นเหตุให้กูเกิลตัดสินใจหยุดอัพเตด WebView บน Android 4.3 ลงไปในที่สุด