Tags:

Chaos Computer Club หรือที่บางคนเรียกด้วยชื่อย่อว่า CCC คือสมาพันธ์แฮคเกอร์ที่ใหญ่ที่สุดในยุโรป ได้จัดงานสัมมนา "31c3" ซึ่งว่าด้วยเรื่องความปลอดภัยของระบบไอทีขึ้นใน Hamburg ประเทศเยอรมนี และในงานดังกล่าวมีการบรรยายว่าด้วยเรื่องการปลอมลายนิ้วมือโดยอาศัยข้อมูลที่ได้จากภาพถ่ายเท่านั้น

ที่ผ่านมาเราเคยเห็นข่าวการสาธิตวิธีการปลอมลายนิ้วมือโดยการสร้างลายนิ้วมือเทียม (ตัวอย่างเช่น การปลอมลายนิ้วมือเพื่อหลอก Touch ID ของ iPhone 6) ซึ่งกระบวนการดังกล่าวต้องใช้ลายนิ้วมือแฝงที่เหยื่อทิ้งหลงเหลือไว้บนพื้นผิวของวัตถุบางอย่าง จากนั้นผู้ปลอมลายนิ้วมือต้องทำการ "ยก" ลายนิ้วมือนั้นเพื่อใช้เป็นภาพตั้งต้นสำหรับการขึ้นรูปชิ้นงานลายนิ้วมือเทียม และด้วยเงื่อนไขที่ว่ามานั่นหมายความว่าหากเราไม่ทิ้งลายนิ้วมือแบบชัดเจนไว้ให้ผู้ไม่หวังดีเก็บรอยเอาไปได้โดยง่ายก็ย่อมวางใจได้ในระดับหนึ่งว่าจะไม่กลายเป็นเหยื่อของการปลอมลายนิ้วมือ

อย่างไรก็ตาม แฮคเกอร์นาม Starbug (ชื่อจริงคือ Jan Krissler) ได้บรรยายในงานสัมมนานี้เพื่ออธิบายว่าเขาสามารถทลายข้อจำกัดในการปลอมลายนิ้วมือได้โดยไม่ต้องเข้าถึงตัวหรือวัตถุที่เหยื่อสัมผัสโดยตรง โดย Starbug ได้สร้างลายนิ้วมือเทียมของ Ursula von der Leyen รัฐมนตรีความมั่นคงของเยอรมนี โดยอาศัยเพียงภาพถ่ายของเธอที่ปรากฏในข่าวเท่านั้น

Tags:
Sony Pictures

Steven Sinofsky อดีตผู้บริหารของไมโครซอฟท์ (หัวหน้าทีม Windows 7-8, ลาออกจากไมโครซอฟท์ในปี 2012) และปัจจุบันมาอยู่กับบริษัทลงทุน Andreessen Horowitz เขียนบล็อกแสดงความเห็นเกี่ยวกับกรณีการแฮ็กระบบ Sony Pictures ในมิติเรื่อง "ความปลอดภัย" ของระบบคอมพิวเตอร์ที่ต่างยุคสมัยกัน ผมเห็นว่ามีประเด็นน่าสนใจจึงนำเนื้อหาบางส่วนมาสรุปนะครับ (แนะนำให้อ่านต้นฉบับด้วย)

มุมมองของ Sinofsky คือ "โครงสร้างพื้นฐานทางไอทียุคปัจจุบัน" (พีซี-เซิร์ฟเวอร์) ถึงขีดจำกัดด้านความปลอดภัยแล้ว ปรับปรุงอย่างไรก็คงแก้ไขไม่ได้มากไปกว่านี้ (กรณีของ Sony Pictures ก็ถือว่าเข้าข่ายนี้) แต่มองโลกในแง่ดีคือผู้ใช้จำนวนมากย้ายไปใช้โครงสร้างพื้นฐานไอทีแบบใหม่ที่อิงอยู่บน mobile/cloud ซึ่งใช้โมเดลด้านความปลอดภัยที่เข้มแข็งกว่าเดิมมาก

Tags:
NSA

การเข้ารหัสเป็นข้อจำกัดของ NSA มานาน เอกสารที่เปิดเผยออกมาโดย Edward Snowden ก่อนหน้านี้มักแสดงความพยายามของ NSA ที่จะหลบหลีกการเข้ารหัส เช่น ดักฟังการเชื่อมต่อระหว่างเซิร์ฟเวอร์ที่ก่อนหน้านี้ไม่เข้ารหัส แต่เอกสารล่าสุดแสดงว่า NSA ยังมีอีกทีมหนึ่งที่ช่วยถอดรหัสให้กับฝ่ายอื่นๆ ที่ต้องการได้ ชื่อทีมว่า S31176

ทีมงานนี้ให้บริการถอดรหัสข้อมูลสี่ประเภท ได้แก่ IPSec, PPTP, SSL/TLS, และ Secure Shell (SSH) แม้จะไม่สามารถถอดรหัสได้ทั้งหมด แต่ทีมงานนี้ก็หาช่องทางที่เป็นไปได้ในการเจาะรหัส โดยมีการรวบรวมฐานข้อมูลของ VPN ไว้ในฐานข้อมูลหลายชุด เช่น TOYGRIPPE เก็บ metadata ของ VPN, VULCANDEATHGRIP เก็บข้อมูล VPN, FOURSCORE เก็บข้อมูล PPTP

ทีม S31176 จะพยายามหาทางถอดรหัสข้อมูลเข้ารหัสให้ตามที่ร้องขอ โดยอาจจะต้องหาค่าคอนฟิกของ VPN เพื่อดึงเอากุญแจของ VPN มาถอดรหัส

ที่สำคัญคือการนำเสนอยังระบุถึงเครือข่าย VPN ที่สามารถเจาะได้สำเร็จแล้ว เช่น สายการบินอิหร่าน, Mir Telematiki (บริษัทสื่อสารในรัสเซีย), สถานทูตแม็กซิโก, รัฐบาลอัฟกานิสถาน, ธนาคาร Kabul, ธนาคาร BNI อินโดนีเซีย, บริษัทพลังงานในไนจีเรีย

ที่มา - Intro to the VPN Exploitation Process (PDF)

Tags:
Anonymous

บัญชี Twitter ที่มีชื่อว่า @AnonymousGlobo ซึ่งอ้างตัวว่าเป็นตัวแทนกลุ่มแฮคเกอร์ Anonymous ได้ทวีตข้อความพร้อมลิงก์เผยแพร่ข้อมูลหลายอย่างที่ถูกแฮคมา ทั้งบัญชีผู้ใช้พร้อมรหัสผ่านของบริการจากหลายบริษัท รวมถึงเลขบัตรเครดิตของผู้ใช้ราว 13,000 คน

ตามคำกล่าวอ้างของ @AnonymousGlobo มีบริการต่างๆ ของหลายบริษัทที่โดนเจาะล้วงเอาข้อมูลมาเผยแพร่ มีทั้ง VPNCyberGhost, UbiSoft, VCC, Brazzers, UFC TV, PSN, XBox Live, Twitch TV, Amazon, Hulu Plus, Dell, Walmart และ EA Games (CyberGhost ออกมายืนยันภายหลังว่าข้อมูลลูกค้าไม่ได้โดนขโมยไป โดยระบุว่าแฮคเกอร์ได้ไปเพียงรหัสเปิดใช้งานซอฟต์แวร์ที่แจกฟรีอยู่แล้วเท่านั้น) นอกจากนี้มีรายงานว่าพบข้อมูลของเว็บไซต์ลามกอนาจารปะปนรวมอยู่กับข้อมูลบัญชีผู้ใช้และเลขบัตรเครดิตที่โดนแฮคมาเผยแพร่นี้ด้วย

@AnonymousGlobo ยังนำเอาลิงก์ไฟล์ภาพยนตร์ The Interview ที่ฝากไฟล์ไว้บน Mega มาทวีตด้วยตามที่เคยขู่ Sony Pictures ไว้ว่าจะเอาภาพยนตร์เรื่องนี้มาปล่อยให้ดาวน์โหลดฟรี ซึ่งนี่อาจเป็นส่วนหนึ่งที่ทำให้เกิดการดาวน์โหลดไฟล์ภาพยนตร์ผ่านเว็บ torrent ต่างๆ สูงถึง 750,000 ครั้งภายในเวลาไม่ถึง 24 ชั่วโมงหลังเปิดบริการดูภาพยนตร์ผ่านหลายช่องทางบนอินเทอร์เน็ต

ที่มา - TechCrunch

Tags:

ปัจจุบันมีแอพช่วยจัดการรหัสผ่าน (password manager) ให้เลือกใช้หลายตัว แอพที่ชื่อดังหน่อยคือ LastPass และ 1Password แต่ก็ยังมีแอพทางเลือกอื่นๆ เช่น KeePass และ Dashlane ด้วย

ล่าสุดสมรภูมินี้เริ่มร้อนระอุ เมื่อ Dashlane เปิดตัวฟีเจอร์ Password Changer ที่ช่วยให้เรากดปุ่มเดียว เปลี่ยนรหัสผ่านของเว็บไซต์และบริการต่างๆ มากกว่า 50 แห่ง (ซึ่งครอบคลุมเว็บใหญ่ๆ แทบทั้งหมด ไม่ว่าจะเป็น Google, Facebook, Amazon, Apple, LinkedIn, PayPal - รายชื่อทั้งหมด)

Dashlane ระบุว่าฟีเจอร์นี้ออกมาสำหรับแก้ปัญหาเว็บดังถูกเจาะระบบบ่อยครั้ง รวมถึงช่องโหว่ยอดฮิตอย่าง Heartbleed ที่สร้างผลกระทบเป็นวงกว้างด้วย (ในระยะยาวแล้วยังจะช่วยให้ผู้ใช้สามารถเปลี่ยนรหัสผ่านได้บ่อยๆ ซึ่งเป็นสิ่งที่ควรทำแต่ไม่ค่อยมีใครทำกันเพราะยุ่งยาก) เบื้องต้นฟีเจอร์ Password Changer ใช้ได้กับแอพ Dashlane บนพีซีและแมค ส่วนเวอร์ชันมือถือจะตามมาในอนาคต

คู่แข่งอย่าง LastPass ก็ออกมาตอบโต้ด้วยฟีเจอร์แบบเดียวกันที่ใช้ชื่อว่า Auto-Password Change โดยเปิดให้ทดสอบรุ่นเบต้าแล้ว ฝั่งของ LastPass ระบุว่ารองรับเว็บชื่อดังรวมแล้ว 75 แห่ง

ที่มา - Dashlane, LastPass

Tags:

อุปสรรคใหญ่ในการทำการค้าออนไลน์ของเมืองไทยอย่างหนึ่งที่ทุกคนเจอกันคือการรับจ่ายเงินที่ยังทำได้ยาก การค้าออนไลน์จำนวนมากทุกวันนี้ยังอาศัยการโอนเงินแบบตัวต่อตัว ทำให้ไม่มีกระบวนการคืนเงิน เรายังคงได้ยินข่าวการหลอกลวงทั้งลูกค้าถูกพ่อค้าแม่ค้าหลอกลวง หรือฝั่งพ่อค้าแม่ค้าเองที่ถูกลูกค้าหลอกว่าโอนเงินแล้ว

วันนี้เราจึงมาคุยกับ Omise ผู้ให้บริการ payment gateway ที่จะเปิดโอกาสให้ร้านค้าออนไลน์สามารถรับจ่ายเงินผ่านบัตรเครดิตได้โดยง่าย สามารถตรวจสอบย้อนหลังได้ ฝั่งลูกค้าก็สามารถทำเรื่องขอคืนเงินได้ อุปสรรคสำคัญที่ทำให้บริการเช่นนี้ไม่สามารถเปิดให้บริการโดยคนทั่วไปเพราะต้องผ่านการรับรอง PCI-DSS ที่มีกระบวนการตรวจสอบเข้มงวด หลายแห่งใช้เวลาขอรับรองนานนับปี และปีนี้ก็เริ่มมีการปรับไปสู่ PCI-DSS 3.0

Tags:
Apple

บั๊กร้ายแรงใน ntpd ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันบนเครื่องได้รายงานเมื่อสัปดาห์ที่แล้ว ตอนนี้มันกลายเป็นบั๊กแรกที่แอปเปิลตัดสินใจอัพเดตแบบอัตโนมัติ โดยไม่ต้องรอการอนุมัติจากผู้ใช้

การอัพเดตปกติของ OS X ต้องให้ผู้ใช้อนุมัติการอัพเดต แต่การอัพเดตครั้งนี้แทบไม่มีผลใดๆ ต่อผู้ใช้ โดยไม่ต้องรีสตาร์ทเครื่องแต่อย่างใด

แอปเปิลใส่ฟีเจอร์อัพเดตแบบไม่ต้องขออนุมัติเช่นนี้ไว้ใน OS X มาสองปีแล้ว แต่ครั้งนี้เป็นการใช้งานครั้งแรก

ที่มา - Reuters

Tags:

ทีมความปลอดภัยของกูเกิลแจ้งบั๊กใน ntpd รุ่นก่อนหน้า 4.2.8 (ที่เพิ่งออกมาเมื่อวันที่ 19 ธันวาคมที่ผ่านมา) ทุกรุ่น มีบั๊กความปลอดภัยสำคัญคือแฮกเกอร์สามารถยิงโค้ดเข้ามารันในเครื่องที่รัน ntpd อยู่ได้

ICS-CERT ไม่ได้ให้รายละเอียดของบั๊กทั้งหมด โดยการแจ้งเตือนแจ้งเป็นกลุ่มของบั๊ก ได้แก่

  • CVE-2014-9293 ปัญหาของการสร้างเลขสุ่มในกรณีที่ไม่มีไฟล์กุญแจ
  • CVE-2014-9294 ปัญหาการสร้างเลขสุ่มเนื่องจากการใช้ค่าเริ่มต้นที่อ่อนแอ
  • CVE-2014-9295 การรันโค้ดจากเครื่องรีโมตที่ยิงโค้ดเข้ามา ผ่านบั๊ก stack overflow
  • CVE-2014-9296 ความผิดพลาดของโค้ดบางส่วนที่ไม่คืนค่าหลังทำงานเสร็จ

ทาง ICS-CERT ระบุว่าการโจมตีบั๊กนี้ใช้ความสามารถระดับต่ำ โดยคะแนนความร้ายแรงตามมาตรฐาน CVSS อยู่ที่ 7.3 ดังนั้นควรรีบอัพเดตหรืออย่างน้อยๆ ก็ปิดไม่ให้โลกภายนอกเข้าถึง ntpd กันได้

ทาง Theo de Raadt ผู้ดูแลโครงการ OpenBSD ออกมาระบุว่าซอฟต์แวร์ OpenNTPD ไม่มีปัญหานี้เพราะเขียนซอฟต์แวร์ขึ้นใหม่ทั้งหมด มีการป้องกันที่ดี โค้ดเขียนด้วยแนวทางที่ดีที่สุดเท่าที่รู้กันในยุคใหม่ โดยตัวโค้ดมีความยาวไม่ถึง 5,000 บรรทัดเทียบกับ ntpd ที่ยาวประมาณ 100,000 บรรทัด

ที่มา - ICS-CERT

Tags:
BlackBerry

ข่าวสั้นทันโลกครับ สำนักข่าว Reuters รายงานว่า John Chen ซีอีโอของ BlackBerry บริษัทผลิตสมาร์ทโฟนและผลิตภัณฑ์ในระดับองค์กรจากแคนาดา เปิดเผยข้อมูลระหว่างการแถลงข่าวและประชุมกับนักวิเคราะห์ถึงผลประกอบการไตรมาสล่าสุดของบริษัทว่า ทาง BlackBerry กำลังมีความร่วมมือกับ Boeing บริษัทผู้ผลิตเครื่องบินและอาวุธจากอเมริกา เพื่อสร้างโซลูชันด้านความปลอดภัยสำหรับสมาร์ทโฟนที่ใช้ระบบปฏิบัติการแอนดรอยด์ ที่ใช้งานกับโซลูชั่น BES 12 ของทางบริษัท แต่ยังไม่ได้ระบุว่าจะเป็นอะไร

ทั้งนี้ในปัจจุบัน Boeing มีสมาร์ทโฟนเพื่อใช้ในทางการทหารและราชการวางจำหน่ายอยู่แล้วที่เรียกว่า Boeing Black ซึ่งมีคุณสมบัติรักษาความปลอดภัยจำนวนมาก น่าสนใจว่าความร่วมมือในครั้งนี้จะออกมาในทิศทางใด

ที่มา - Reuters

Tags:
FBI

สำนักงานสอบสวนกลางของสหรัฐหรือ FBI ออกมาแถลงข้อมูลเรื่องการแฮ็กระบบของ Sony Pictures ที่ได้ขอความช่วยเหลือจาก FBI เข้าไปช่วยตรวจสอบหลังเกิดเหตุ

FBI ฟันธงว่ารัฐบาลเกาหลีเหนืออยู่เบื้องหลังการแฮ็กครั้งนี้ โดยมีหลักฐานบ่งชี้ 3 ประเด็นคือ

  • มัลแวร์ที่ใช้ลบข้อมูลในระบบคอมพิวเตอร์ของ Sony Pictures คล้ายกับมัลแวร์ที่เกาหลีเหนือเคยพัฒนา ความคล้ายคลึงลงลึกถึงระดับโค้ดบางบรรทัด และอัลกอริทึม
  • FBI พบว่าระบบคอมพิวเตอร์ต้นทางที่ใช้แฮ็ก มีหมายเลขไอพีตรงกับไอพีที่เกาหลีเหนือเคยใช้งาน
  • ชุดซอฟต์แวร์ที่ใช้โจมตี Sony Pictures มีความคล้ายคลึงกับการโจมตีธนาคารและบริษัทสื่อของเกาหลีใต้เมื่อเดือนมีนาคม 2013 ซึ่งเป็นฝีมือของเกาหลีเหนือเช่นกัน

FBI แสดงความกังวลว่าการแฮ็ก Sony Pictures เป็นตัวอย่างของภัยคุกคามต่อความมั่นคงของสหรัฐ และขอให้บริษัทเอกชนทุกแห่งติดต่อมายัง FBI ในทันทีเมื่อถูกโจมตี

ที่มา - FBI

Tags:
North Korea

ความคืบหน้าล่าสุดของกรณีแฮ็ก Sony Pictures คือสำนักข่าว Reuters อ้างข้อมูลจาก "เจ้าหน้าที่" ของรัฐบาลสหรัฐว่าต้นทางของการแฮ็กมาจากเกาหลีเหนือ ตามที่เคยพูดกันก่อนหน้านี้ และอาจมีความเกี่ยวข้องกับแฮ็กเกอร์ในจีนด้วย โดยยังไม่ชัดเจนว่ามีคนของจีนมาเกี่ยวข้อง หรือเป็นแค่การใช้เซิร์ฟเวอร์จากจีนเพื่อพรางตัว

รัฐบาลสหรัฐโดยประธานาธิบดีบารัค โอบามา จะแถลงเรื่องนี้อย่างเป็นทางการคืนนี้ ถ้ามีรายละเอียดจะมาอัพเดตต่อไปครับ

ที่มา - Reuters, The Verge

Tags:
Git

ช่องโหว่บนไคลเอนต์ของ Git หลายตัวบน OS X และวินโดวส์ทำให้การโคลนจาก repository ที่มุ่งร้ายสามารถรันโค้ดบนเครื่องของเหยื่อได้ ตอนนี้มีผลกับ OS X และวินโดวส์เท่านั้น เนื่องจากใช้ระบบไฟล์ที่ไม่สนใจตัวใหญ่หรือตัวเล็กในภาษาอังกฤษและการแปลงค่า unicode

ช่องโหว่นี้อาศัยการโคลนโฟลเดอร์ .Git (G ตัวใหญ่) ทำให้บนระบบไฟล์ที่ไม่สนตัวใหญ่ตัวเล็กจะวางโฟลเดอร์ทับโฟลเดอร์เดิมของ Git ไป อีกส่วนหนึ่งคือแนวทางการแปลง unicode ของระบบไฟล์ HFS+ ที่ไม่สนใจ unicode บางตัว ทำให้แฮกเกอร์สามารถสร้างโฟลเดอร์เช่น .g\u200cit แล้วยังวางไฟล์ทับโฟลเดอร์ .git อยู่ดี

Git ทุกสายนับแต่ 1.8, 1.9, 2.0, 2.1, และ 2.2 รวมถึงไลบรารี JGit และ libgit2 ออกเวอร์ชั่นแก้บั๊กนี้หมดแล้ว ทุกคนควรรีบอัพเดต โดยเฉพาะคนที่ชอบไปโคลนซอร์สโค้ดแปลกๆ มาดูเล่น

ที่มา - Git Blame, GitHub

Tags:

End-To-End ระบบเข้ารหัสอีเมลจากกูเกิลเปิดตัวไปเมื่อกลางปี ตอนนี้อัพเดตเวอร์ชั่นใหม่แล้วโดยกูเกิลยังยืนยันว่าโครงการนี้ยังอยู่ในระดับอัลฟ่าเท่านั้น แต่ก็มีข้อมูลเพิ่มเติมอีกหลายอย่าง ได้แก่

  • กูเกิลจะย้ายโค้ดทั้งหมดไปยัง GitHub เพื่อให้ทำงานร่วมกับชุมชนได้ดียิ่งขึ้น
  • ยาฮูประกาศว่าสนใจร่วมมือกับกูเกิลในโครงการนี้ เวอร์ชั่นใหม่จะได้รับโค้ดจาก Alex Stamos หัวหน้าฝ่ายความปลอดภัยของยาฮูเข้ามาหลายส่วน
  • กูเกิลให้รางวัลจากบั๊กความปลอดภัยไปแล้วสองรางวัล ตามที่ประกาศแต่แรกว่าโครงการนี้อยู่ในข่ายโครงการที่ให้เงินรางวัลเมื่อพบบั๊กความปลอดภัย
  • กูเกิลเปิดเอกสารการออกแบบมาหลายส่วน นับแต่การออกแบบระบบการยืนยันและแจกจ่ายกุญแจ (key distribution), กระบวนการเว็บไซต์ต่างๆ จะเข้าถึง API ของ End-To-End, หรือการวิเคราะห์ภัยที่จะถูกโจมตี

แม้ตัว End-To-End จะพบบั๊กไปบ้างแต่ในส่วนไลบรารีเข้ารหัสกลับพบบั๊กไม่มากนัก กูเกิลระบุว่าเริ่มมีโครงการอื่นๆ สนใจจะทำไลบรารีเข้ารหัสจาก End-To-End ไปใช้งานบ้างแล้ว

ตอนนี้กูเกิลยังไม่เปิดให้ดาวน์โหลด End-To-End จาก Webstore แต่คาดว่าตัวเต็มจะเปิดตัวในปีหน้า

ที่มา - Google Online Security, TechCrunch

Tags:
Uber

ได้รับการติติงอย่างต่อเนื่องด้านความปลอดภัยจากทั้งทางภาครัฐ และฝั่งผู้ใช้มาพักใหญ่ๆ ล่าสุด Uber ประกาศนโยบายด้านความปลอดภัยชุดใหม่สำหรับการตรวจสอบผู้ขับขี่รถยนต์ในแพลตฟอร์มเรียกรถของตัวเองครั้งใหญ่

การปรับปรุงส่วนแรกคือการนำเอาเทคโนโลยีเข้ามาร่วมกับการตรวจสอบ นอกจากเหนือจากการตรวจประวัติย้อนหลังให้เข้มงวดมากขึ้นแล้ว ระบบรักษาความปลอดภัยชุดใหม่จะใช้ชุดข้อมูลทางชีวภาพ (เช่น ลายนิ้วมือ) ร่วมกับการยืนยันตัวด้วยเสียง รวมถึงกำลังลงทุนเพื่อเปิดบริการผู้ขับขี่สามารถติดต่อกับทางบริษัทได้ทันที หากมีอุบัติเหตุเกิดขึ้น

สำหรับกรณีการข่มขืนผู้โดยสารนั้น Uber ได้ขอความร่วมมือจากองค์กร RAINN เพื่อร่วมฝึกฝนบุคลากรในทีมเพื่อเพิ่มความปลอดภัยให้กับผู้โดยสารผู้หญิงอีกด้วย

ทั้งนี้ทั้งนั้นยังไม่มีรายละเอียดว่า Uber จะเริ่มใช้นโยบายดังกล่าวเมื่อไร บอกคร่าวๆ คือภายในปี 2015 ครับ

ที่มา - Uber

Tags:
Palo Alto Networks

โดยปกติแล้วมัลแวร์มักจะมาจากภายนอก หรือมาในรูปแบบของ third-party app ที่พยายามจะขอสิทธิ์ในการเข้าถึงข้อมูลต่างๆ ทั้งที่ไม่จำเป็น แต่มีผู้ผลิตสมาร์ทโฟนสัญชาติจีนรายหนึ่งที่มีแนวคิดแตกต่างออกไปครับ

Palo Alto Networks ผู้ค้นพบมัลแวร์ WireLurker รายงานว่า Coolpad ผู้ผลิตสมาร์ทโฟนรายใหญ่อันดับ 3 ของจีนและเป็นอันดับ 6 ของโลก เป็นผู้ที่อยู่เบื้องหลัง Backdoor ที่มีชื่อว่า "CoolReaper" ซึ่งฝังตัวไว้ในอุปกรณ์ของทาง Coolpad และเชื่อว่ามีผลกระทบต่อความปลอดภัยของผู้ใช้งานกว่า 10 ล้านคนอยู่ในขณะนี้

Tags:
ICANN

ICANN ประกาศเตือนว่าถูกโจมตีด้วยการสร้างอีเมลที่หลอกว่ามาจากคนในองค์กร (spear phishing) ส่งผลให้แฮกเกอร์เข้าถึงข้อมูลภายในได้

ข้อมูลหลักที่แฮกเกอร์ได้ไปคือ Centralized Zone Data System เซิร์ฟเวอร์โซนไฟล์จากผู้ให้บริการโดเมนระดับบนสุด (top level domain - TLD เช่น .com, .net) ข้อมูลที่หลุดไปเป็นโซนไฟล์ และฐานข้อมูลผู้ใช้ที่มีรายละเอียด เช่น องค์กร, ที่อยู่, เบอร์โทรศัพท์, และรหัสผ่านที่แฮชแล้ว

เซิร์ฟเวอร์ GAC Wiki ก็ถูกดาวน์โหลดออกไปเช่นกัน แต่ข้อมูลเหล่านี้เป็นข้อมูลสาธารณะอยู่แล้ว ทาง ICANN ยืนยันว่าแฮกเกอร์ไม่ได้เข้าถึงข้อมูลภายใน เซิร์ฟเวอร์ ICANN Blog และ WHOIS ถูกดาวน์โหลดข้อมูลผู้ใช้ไปด้วย

ทาง ICANN ระบุว่าได้กำหนดมาตรการความปลอดภัยเพิ่มเติมมาตั้งแต่ต้นปี พอเกิดเหตุการณ์นี้ก็มีมาตรการเพิ่มเติมเพื่อป้องกันเหตุในอนาคตแล้ว

ที่มา - ICANN, ArsTechnica

Tags:
Android Wear

IP Cam Viewer แอพสำหรับดูกล้องวงจรปิดที่ชาวแอนดรอยด์รู้จักกันดีแม้จะมีส่วนติดต่อผู้ใช้ที่หน้าตาไม่น่าใช้นัก วันนี้ออกอัพเดตใหม่ให้ผู้ใช้สามารถดูกล้องวงจรปิดของตัวได้จาก Android Wear แล้วครับ

นอกจากจะอัพเดตให้ดูกล้องวงจรปิดจาก Android Wear ได้แล้ว ก็ยังมีอัพเดตอื่นๆ ที่เป็นประโยชน์แก่ผู้ใช้อีกมาก อาทิ เพิ่มการผนวกเข้ากับ Dropbox, รองรับการใช้งานกับ TV และ Chromecast, ดูกิจกรรมการเคลื่อนไหวที่ผ่านมาผ่านทางตัวบันทึกย้อนหลัง ฯลฯ

ตัวแอพสามารถดาวน์โหลดได้จาก Google Play โดยมี 2 เวอร์ชัน คือเวอร์ชัน Lite หรือแบบฟรี และเวอร์ชันตัวเต็มในราคา 3.99 ดอลลาร์ หรือประมาณ 180 บาท

ที่มา - 9to5google

Tags:

มาตรฐานการดูแลข้อมูลการจ่ายเงิน PCI DSS (Payment Card Industry Data Security Standard) เป็นมาตรฐานการเก็บรักษาข้อมูลให้ปลอดภัยที่บริษัทบัตรเครดิตอย่าง Visa และ Mastercard บังคับใช้กับผู้ให้บริการและร้านค้าจำนวนมาก โดยปัจจุบันเราใช้งานเวอร์ชั่น 2.0 อยู่และตามรอบสามปีของมาตรฐานแต่ละรุ่น ปีใหม่นี้มาตรฐาน PCI DSS 3.0 (PDF) ก็จะเริ่มใช้งานแทนโดยมีการปรับเปลี่ยนหลายอย่าง

มาตรฐานที่เปลี่ยนไปมีหลายอย่าง เช่น เครื่องอ่านบัตรต้องถูกตรวจสอบได้ว่าไม่ถูกแก้ไขหรือสลับเครื่องอ่าน, ควบคุมสิทธิการเข้าถึงเซิร์ฟเวอร์ที่เก็บข้อมูลและสิทธิที่เข้าถึงต้องยกเลิกทันทีที่งานเสร็จ, หรือการทดสอบความปลอดภัยจะต้องทดสอบในกรณีที่แฮกเกอร์บุกเข้ามายังระบบภายในบางส่วนได้แล้ว

กฎใหม่ๆ หลายข้อยังไม่เริ่มบังคับใช้วันที่ 1 มกราคมนี้ทันที แต่เลื่อนไปบังคับใช้วันที่ 1 กรกฎาคม แทนเช่นการจำลองการแฮกข้อมูลบัตรจากภายในหน่วยงาน ถ้าใครต้องขอรับรอง PCI DSS ช่วงนี้อาจจะต้องดูว่ามีอะไรที่ต้องทำเพิ่มบ้างครับ

ที่มา - eWeeek

Tags:
Gmail

เมื่อต้นปีนี้ Gmail ประกาศใช้การเชื่อมต่อแบบ HTTPS ในทุกกรณี เพื่อความปลอดภัยและความเป็นส่วนตัวของผู้ใช้งาน

อย่างไรก็ตาม นโยบายนี้ยังมีช่องโหว่จากการใช้งานส่วนเสริมของเบราว์เซอร์ที่ออกแบบมาสำหรับปรับแต่ง Gmail ให้มีฟีเจอร์มากขึ้น เพราะส่วนเสริมหลายตัวใช้วิธีโหลดเนื้อหาของตัวเองผ่าน HTTP เข้าไปแทรกในเพจ Gmail ซึ่งเสี่ยงต่อการถูกฝังมัลแวร์ระหว่างทาง (เช่น cross site scripting)

ล่าสุดกูเกิลแก้ปัญหาด้วยการเปิดใช้ Content Security Policy (CSP) ซึ่งเป็นมาตรฐานที่กำลังเสนอเข้า W3C ที่กำหนดข้อมูลใน HTTP header บอกเบราว์เซอร์ว่าเพจนั้นอนุญาตดึงข้อมูลจากโดเมนใดได้บ้าง ผลคือส่วนเสริมบางตัวที่ไม่ปฏิบัติตามมาตรฐานของกูเกิลจะใช้งานไม่ได้อีกต่อไป

กูเกิลบอกว่าส่วนเสริมยอดฮิตส่วนใหญ่รองรับ CSP หมดแล้ว ผู้ใช้ไม่น่าจะมีปัญหาอะไร และนโยบายนี้จะช่วยป้องกันผู้ใช้จากส่วนเสริมแย่ๆ (ทั้งจงใจแทรกโค้ดมัลแวร์และสะเพร่าไม่ตรวจสอบช่องโหว่) ได้มากขึ้น

ที่มา - Gmail Blog, VentureBeat

Tags:

ความลักลั่นอย่างหนึ่งในระบบความปลอดภัยเว็บคือเว็บที่เข้ารหัสอย่างไม่ถูกต้อง เช่น ใช้ใบรับรองที่ไม่น่าเชื่อถือ หรือเข้ารหัสด้วยกระบวนการที่ล้าสมัย จะถูกแจ้งเตือนว่าเป็นเว็บที่ไม่ปลอดภัย พร้อมหน้าจอเตือนผู้ใช้อย่างชัดเจน ขณะที่เว็บทั่วไปที่ไม่ได้เข้ารหัสกลับสามารถใช้งานได้โดยไม่มีการเตือนใดๆ ทั้งที่จริงมีความเสี่ยงมากกว่าคือสามารถโดนโจมตีทั้งแบบคั่นกลาง (man-in-the-middle) หรือดักฟังโดยไม่แก้ไขข้อมูลก็ได้ ตอนนี้มีข้อเสนอจากทั้งฝั่งโครมและไฟร์ฟอกซ์ ให้แจ้งเตือนเว็บไม่เข้ารหัสในระดับเดียวกับการเข้ารหัสอย่างไม่ปลอดภัย

ข้อเสนอนี้ที่จริงแล้วเริ่มต้นจากฝั่ง Firefox เมื่อกลางปีที่ผ่านมาโดย Daniel Roesler (ไม่มีข้อมูลบนเว็บของไฟร์ฟอกซ์ แต่น่าจะเป็นผู้ก่อตั้งบริษัท UtilityAPI) เปิดบั๊กหมายเลข 1041087 ขอให้ไฟร์ฟอกซ์พิจารณาแสดงไอคอนเตือนผู้ใช้ว่าเว็บที่ไม่ได้เข้ารหัสแต่ข้อเสนอนี้ถูกปฎิเสธและปิดบั๊กไป แต่ตอนนี้บั๊กกลับมาเปิดใหม่อีกครั้งเพราะทางกูเกิลเสนอข้อเสนอแบบเดียวกันบนเว็บของโครม