Tags:
LINE

ThaiCERT ออกรายงานการวิเคราะห์การเข้ารหัสข้อความของแอพพลิเคชั่น LINE พบว่า ในการส่งข้อมูลผ่านเครือข่าย 2G/3G นั้น LINE จะไม่เข้ารหัสดังที่เป็นข่าวไปก่อนหน้านี้ แต่ที่สำคัญคือบนเครือข่าย Wi-Fi นั้น LINE เวอร์ชั่นเดสก์ทอปทั้งวินโดวส์และแมคต่างก็ไม่มีการตรวจสอบใบรับรองทั้งคู่ ทำให้เสี่ยงต่อการถูกโจมตีแบบ man-in-the-middle

ทาง ThaiCERT ได้ติดต่อ NAVER หลังจากพบช่องโหว่นี้ และตอนนี้เวอร์ชั่น 3.2.1.93 บนวินโดวส์ ก็แก้ไขช่องโหว่นี้แล้ว ผู้ใช้ทุกคนควรอัพเดตทันทีครับ

ที่มา - ThaiCERT

Tags:
FIDO

ไมโครซอฟท์เข้าร่วมกลุ่ม FIDO Alliance เป็นรายล่าสุด หลังจากที่กลุ่มนี้ตั้งขึ้นมาโดยบริษัท Lenovo, Infineon, และ PayPal และ Google, NXP สมัครเข้าเป็นสมาชิกเมื่อเดือนเมษายน

กลุ่ม FIDO หวังว่าจะสร้างมาตรฐานใหม่สำหรับการยืนยันตัวตนด้วยระบบกุญแจสาธารณะ (public key) โดยเมื่อผู้ใช้ยืนยันตัวตนกับบริการใดๆ เพียงแต่สร้างกุญแจสาธารณะส่งไปยังบริการนั้นๆ และเก็บกุญแจส่วนตัวไว้ในเครื่องที่ต้องการใช้งานก็จะใช้งานไปได้เรื่อยๆ โดยไม่ต้องพิมพ์รหัสผ่านใหม่ทุกครั้งไป

มาตรฐานฐานเช่นนี้มีมาก่อนแล้ว เช่นในมาตรฐาน TLS มีการกำหนด Client-authenticated TLS เอาไว้ ในกรณีที่เครื่องลูกข่ายมีใบรับรอง SSL สำหรับบุคคล (ลองขอได้ฟรีด้วยการลงทะเบียน startssl) จะสามารถยืนยันตัวตนกับเว็บที่รองรับได้ แต่ไม่ได้รับความนิยมนักจากความไม่สะดวกหลายๆ อย่าง กระบวนการของ FIDO หากเข้ามาแก้ไขความยุ่งยากของ TLS ไปได้ก็น่าจะช่วยให้เรามีกระบวนการยืนยันตัวตนที่ดีกว่ารหัสผ่านใช้กันเสียที

ที่มา - ArsTechnica

Tags:
Twitter

Egor Homakov นักวิจัยความปลอดภัยค้นพบช่องโหว่ใน Twitter ที่อนุญาตให้แอพสามารถส่งข้อความโดยตรงหรือที่เรียกว่า DM (direct message) ถึงผู้อื่นได้ โดยไม่ต้องขออนุญาตจากผู้ใช้

เว็บไซต์ The Next Web ได้ทดสอบตามคำกล่าวอ้างของ Homakov โดยใช้แอพ Twitpic ซึ่งเป็นแอพที่ไม่ได้ขอใช้สิทธิการเข้าถึง DM ของผู้ใช้ในระหว่างการเชื่อมต่อกับบัญชี Twitter ทว่าโดยการใช้คำสั่ง "d twitter_username message" ทำให้พวกเขาสามารถส่ง DM ถึงผู้ใช้อื่นด้วย Twitpic ได้

จากสภาพการณ์ข้างต้น ผู้ใช้จะไม่ทราบเลยว่ามีการส่ง DM ออกไปในนามของตนเอง จนกว่าจะมีติดต่อกลับจากผู้รับ DM หรือมีการเข้าไปตรวจสอบ DM ที่ถูกส่งออกไปโดยผู้ใช้เอง (ซึ่งผู้ใช้บางรายอาจไม่ได้ตรวจสอบเลยหากไม่มีการแจ้งเตือน) ทำให้นี่อาจกลายเป็นช่องทางของสแปม หรือการหลอกลวงเอาข้อมูลต่างๆ

นักวิจัยด้านความปลอดภัยอีกรายที่ใช้ชื่อว่า DaKnOb อ้างว่าเขาได้เจอปัญหานี้ตั้งแต่ปีก่อนและได้แจ้ง Twitter ไปแล้ว แต่ทาง Twitter กลับตอบเขาว่ามันเป็นฟีเจอร์ที่ควรจะทำงานเช่นนั้นอยู่แล้ว

ที่มา - The Next Web

Tags:

กระบวนการพื้นฐานที่สุดอย่างหนึ่งของกระบวนการความปลอดภัยข้อมูลไม่ว่าจะเป็นโลกดิจิตอลหรือโลกอนาล็อกที่เรามีชีวิตอยู่ก็ตาม คือ การระบุตัวตนของสิ่งต่างๆ ที่เราพบเจอทุกวัน เราพบกับสิ่งของ, ผู้คน, และสถานที่ต่างๆ มากมาย และเราต้องรู้ว่าสิ่งที่เราใช้งาน หรือคนที่เราพูดคุยด้วยนั้นเป็นคนที่เราต้องการคุยด้วยจริงหรือไม่

กระบวนการระบุตัวตน (identification) ในโลกความเป็นจริง เราระบุตัวตนกันด้วยข้อมูลหลายอย่าง เพื่อนของเราอาจจะถูกระบุตัวตนด้วย ชื่อจริง ชื่อเล่น (หรือชื่อพ่อชื่อแม่?) เราระบุตัวคนที่เรารู้จักด้วยใบหน้า หากหน้าเหมือนกันเราก็อนุมานได้ทันทีว่าคนที่เราพบคือคนๆ เดียวกับที่เราต้องการพูดคุยหรือไม่ ซึ่งหลายครั้งก็ผิดพลาดเพราะเราทักคนผิด หรือบางครั้งก็มีปัจจัยอื่นเช่นเราไปทักพี่น้องฝาแฝดของเพื่อนของเราได้ง่ายๆ หากไม่ใช่คนรู้จักสนิทสนมกัน แต่ได้รับการแนะนำมา เราอาจจะ "รู้จัก" คนๆ หนึ่งผ่านทางชื่อของเขา แต่เมื่อเราไปหาคนตามที่อยู่ที่เราได้รับ อาจจะเป็นสำนักงาน, คอนโด, บางครั้งการระบุตัวตนด้วยชื่ออาจจะผิดพลาดเพราะชื่อซ้ำซ้อนกันมากมาย เราไม่อาจจะหาตัวตนของเพื่อนของเราจากชื่อเล่นได้ หากชื่อเล่นของเพื่อนของเราอยู่บนขวดหรือกระป๋องโค้กในทุกวันนี้ เพราะคนที่ใช้ชื่อเดียวกันมีจำนวนมากมายมหาศาล

Tags:
Android

ฟีเจอร์ความปลอดภัยที่สำคัญของ Blackberry 10 คือการจัดการสิทธิของแอพพลิเคชั่นได้หลังจากติดตั้งไปแล้ว ทำให้เราสามารถจัดการปิดสิทธิบางอย่างได้ ช่วงที่ผ่านมาปรากฎว่ามี App Ops Launcher ปรากฎขึ้นมาใน Play Store และพบว่ามีฟีเจอร์ควบคุมสิทธินี้

App Ops Launcher ใช้งานได้เฉพาะ Android 4.3 แต่หลังจากปล่อย Android 4.4.2 ฟีเจอร์นี้ก็ถูกปิดออกไป โดยทางกูเกิลระบุว่าฟีเจอร์นี้ถูกปล่อยมาโดยไม่ตั้งใจ และยังไม่พร้อมสำหรับการใช้งาน

ทาง EFF ซึ่งนำฟีเจอร์นี้ออกมาเผยแพร่ก่อนหน้านี้ระบุว่าเหตุผลของกูเกิลดูน่าสงสัย และฟีเจอร์นี้เป็นฟีเจอร์สำคัญมากที่จะให้ผู้ใช้ดูแลความเป็นส่วนตัวของตัวเองได้ และ EFF แนะนำให้ผู้ใช้ไม่อัพเดตไปยัง Android 4.4.2 เพื่อใช้ฟีเจอร์นี้ต่อไป

ตัวอย่างหนึ่งของการใช้งานฟีเจอร์นี้ เช่น เมื่อเราลงแอพพลิเคชั่น LINE แล้วต้องเปิดสิทธิอ่าน SMS เมื่อลงทะเบียนเสร็จแล้วเราอาจจะปิดสิทธินี้ออกไปได้

ที่มา - EFF

Tags:
FreeBSD

ภายใต้บรรยากาศของความไม่วางใจว่าระบบรักษาความปลอดภัยอะไรจะถูกสร้างช่องโหว่โดย NSA ไว้บ้าง ระบบยูนิกซ์ที่เน้นเรื่องความปลอดภัยอย่าง FreeBSD ก็ประกาศว่าจะไม่ใช้งานตัวสร้างเลขสุ่มในซีพียู มาเป็นตัวสร้างเลขสุ่มของระบบปฎิบัติการโดยตรงอีกต่อไป

อินเทลและ VIA มีชุดคำสั่งพิเศษสำหรับการสร้างเลขสุ่มด้วยฮาร์ดแวร์ในตัวซีพียูเอง ฟีเจอร์สำคัญของตัวสร้างเลขสุ่มฮาร์ดแวร์คือให้ค่าสุ่มที่ดีและสามารถปล่อยค่าออกมาได้รวดเร็ว ตัว RDRAND สามารถสร้างค่าสุ่มได้ถึง 800 เมกกะไบต์ต่อวินาที

การที่ FreeBSD ไม่ใช้ชุดคำสั่งจากซีพียูโดยตรง ไม่ได้แปลว่าจะทิ้งไม่ใช้คำสั่งเหล่านี้ไปเสียหมด โดยจะเปลี่ยนไปใช้ค่าสุ่มจากฮาร์ดแวร์เหล่านี้ เข้าไปเป็นค่าเริ่มต้นของการสร้างเลขสุ่มเทียมที่ใช้อัลกอริทึม Yarrow เพื่อเพิ่มความสุ่มในกรณีให้ปลอดภัยขึ้น

คำสั่งการดึงค่าสุ่มจากซีพียูโดยตรงยังสามารถทำได้ด้วยการเรียกคำสั่งแอสแซมบลี ไลบรารีบางตัวที่ไม่ได้ใช้ค่าจาก /dev/random ก็อาจจะใช้ค่าโดยตรงจากซีพียูต่อไป

กระบวนการผสมค่าสุ่มมีความพิเศษอย่างหนึ่ง คือ เราสามารถสร้างค่าสุ่มใหม่ด้วยการใช้แหล่งค่าสุ่มสองแหล่งมา XOR กัน แล้วจะได้ค่าสุ่มที่ดีกว่าเดิมหรือเท่ากับค่าเดิมเสมอ ไม่มีทางแย่ลง

ที่มา - ArsTechnica

Tags:
France

กูเกิลประกาศว่าตรวจพบใบรับรอง SSL ที่ระบุถึงโดเมนของกูเกิลถูกรับรองจาก ANSSI หน่วยงานด้านความปลอดภัยคอมพิวเตอร์ของฝรั่งเศส ทำให้กูเกิลต้องเร่งอัพเดต Chrome เพื่อยกเลิกการยอมรับใบรับรองเหล่านั้นทั้งหมด

ทาง ANSSI ระบุว่าการปล่อยใบรับรองปลอมเหล่านี้ออกไปเป็น "ความผิดพลาดของผู้ใช้" (human error) ทำให้มีใบรับรองที่ไม่ได้อยู่ใต้รัฐบาลฝรั่งเศสถูกปล่อยออกไป

หากมีหน่วยงานใดได้รับใบรับรองและกุญแจส่วนลับของใบรับรองเหล่านี้ไปก็จะสามารถดักฟังข้อมูลเข้าออกโดเมนเหล่านี้ของกูเกิลได้ ด้วยการทำ man-in-the-middle

ที่มา - Google Online Security, ANSSI

Tags:
CyanogenMod

CyanogenMod ประกาศเพิ่มแอพพลิเคชั่น TextSecure เข้ามาเป็นตัวเลือกในการรับส่ง SMS แทนแอพพลิเคชั่นปกติ ทำให้สามารถเข้ารหัส SMS ทั้งหมดได้

ในความร่วมมือนี้ ทาง CyanogenMod จะตั้งเซิร์ฟเวอร์ TextSecure เองอีกหนึ่งชุดเพราะโปรโตคอล TextSecure เปิดให้ส่งข้อความได้ทั้งทางอินเทอร์เน็ตและทาง SMS

TextSecure เองเป็นโครงการที่มีมานานและมีผู้ใช้หลายแสนราย แต่การร่วมมือกับ CyanogenMod จะทำให้เข้าถึงผู้ใช้อีกนับล้านคน นับเป็นการเข้าถึงผู้ใช้ครั้งใหญ่ที่สุดของโครงการนี้

ที่มา - WhisperSystem

Tags:
Microsoft

ในยุคของ Windows 8.x บัญชี Microsoft Account มีความสำคัญมากขึ้นเรื่อยๆ เพราะสามารถใช้ล็อกอินเป็นบัญชีผู้ใช้ของ Windows ได้ด้วย

เพื่อลดปัญหาการถูกแฮ็กบัญชี ไมโครซอฟท์จึงเพิ่มฟีเจอร์ด้านความปลอดภัยให้บัญชี Microsoft Account จากการล็อกอินสองชั้นที่เคยประกาศไปแล้ว ดังนี้

  • Recent activity แสดงรายการการล็อกอินเข้ามาใช้งานครั้งล่าสุด เพื่อตรวจสอบว่ามีการใช้งานแปลกๆ ที่ไม่ใช่ของเราหรือไม่
  • Recovery codes สำหรับคนที่เปิดใช้ระบบการล็อกอินสองชั้น ก็มีโค้ดสำหรับกู้คืนบัญชีในกรณีที่ไม่สามารถกู้คืนด้วยวิธีอื่นได้
  • เพิ่มตัวเลือกในการแจ้งเตือนที่เกี่ยวข้องกับความปลอดภัย (เช่น เปลี่ยนรหัสผ่าน) ไปยังอีเมลหรือเบอร์โทรศัพท์ที่ลงทะเบียนไว้

ที่มา - The Official Microsoft Blog

Tags:
Gmail

ปัญหาอย่างหนึ่งของอีเมลคือมันสามารถปลอมแปลงตัวตนของผู้ส่ง เพื่อหลอกลวงในลักษณะ phishing ได้ง่าย หน่วยงานในโลกไอทีต่างๆ จึงพยายามแก้ปัญหาด้วยระบบการยืนยันตัวตนของผู้ส่ง ซึ่งที่ได้รับความนิยมมี 2 มาตรฐานคือ DKIM (DomainKey Identified Email) และ SPF (Sender Policy Framework)

ความยากของการบังคับใช้มาตรฐานเหล่านี้คือโฮสต์ที่ใช้ส่งอีเมลมีเป็นจำนวนมาก และไม่มีใครรู้ว่าปัจจุบันนี้โฮสต์หรือเซิร์ฟเวอร์อีเมลเหล่านี้ใช้งานมาตรฐานเหล่านี้มากน้อยแค่ไหน

สถิติล่าสุดของกูเกิลในฐานะผู้ให้บริการ Gmail แสดงทิศทางในเชิงบวก เพราะ 91.4% ของอีเมลที่ส่งเข้ามายัง Gmail (ไม่นับรวมพวกอีเมลสแปม) ใช้งาน DKIM หรือ SPF แล้ว (ใช้ทั้งสองอย่างเยอะถึง 74.7%) เหลืออีเมลเพียง 8.6% ที่ยังไม่มีระบบยืนยันตัวตนของผู้ส่งเท่านั้น

กูเกิลให้ความเห็นว่ายิ่งมีโดเมนอีเมลที่ใช้ระบบยืนยันตัวตนมากเท่าไร ก็ยิ่งทำให้โดเมนที่ไม่มีระบบเหล่านี้กลายเป็นเป้าหมายของผู้ส่ง phishing มากขึ้นเรื่อยๆ ดังนั้นใครที่ดูแลระบบอีเมลอยู่ก็ควรเปลี่ยนมาใช้ระบบ DKIM/SPF กันโดยด่วน

ที่มา - Google Online Security

Tags:
Microsoft

ปัญหาการตั้งรหัสผ่านไม่ดี ทำให้แฮกเกอร์ถอดรหัสผ่านออกมาได้ง่ายเป็นปัญหาที่ยังแก้ไม่ตกของระบบรักษาความปลอดภัยคอมพิวเตอร์ แม้ที่ผ่านมาจะมีกระบวนการ "วัด" ความแข็งแรงของรหัสผ่านกันออกมาหลายรูปแบบ ตอนนี้ Microsoft Research เสนอแนวทางใหม่ในการแนะนำผู้ใช้ให้สร้างรหัสผ่านให้ปลอดภัย ด้วยการแนะนำผู้ใช้ทีละตัวอักษรว่าไม่ควรใช้ตัวอักษรใดต่อไป ในชื่อว่า Telepathwords

ด้วยวิธีการนี้ ทุกครั้งที่ผู้ใช้พิมพ์รหัสผ่านเพื่อตั้งรหัสผ่านครั้งแรก ซอฟต์แวร์จะแนะนำว่าไม่ควรใช้ตัวอักษรใดเป็นตัวต่อไป เพราะคาดเดาได้ง่ายเกินไป เช่น เมื่อพิมพ์ตัว "t" จะแนะนำว่าไม่ควรใช้ตัว "h", "o", และ "v" ต่อ เพราะพบบ่อยในภาษาอังกฤษ

ผมอ่านแนวคิดของงานวิจัยนี้แล้ว มันคือการกลับข้างของ "คีย์บอร์ดแม่นแม่น" ที่พยายามแนะนำว่าคนทั่วไปมักพิมพ์ตัวอักษรใดเป็นตัวต่อไปนั่นเอง

Telepathwords เป็นงานวิจัยร่วมระหว่างนักวิจัยของไมโครซอฟท์และนักศึกษาปริญญาเอกจากมหาวิทยาลัย Carnegie Mellon (รายชื่ออยู่ในที่มา)

ที่มา - Telepathwords, Schneier on Security

Tags:
CNN

มีรายงานข่าวผ่าน CNNMoney ว่ามีแฮกเกอร์ได้ทำการดักข้อมูลผู้ใช้ด้วยวิธี keylogging ทำให้แฮกเกอร์ได้ข้อมูลบัญชีผู้ใช้เวบไซต์ต่างๆ เกือบ 2 ล้านบัญชี เช่น Facebook Twitter Yahoo Google และอื่นๆ

นักวิจัยความปลอดภัยทางไซเบอร์จากบริษัท Trustwave ได้ให้ข้อมูลว่าไวรัส(น่าจะเป็นมัลแวร์ - ผู้เขียน)นี้จะทำการดักจับข้อมูลการล็อคอินเว็บไซต์ของผู้ใช้ในช่วงเดือนที่ผ่านมา และทำการส่งชื่อผู้ใช้และรหัสผ่านกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ โดยจำนวนคอมพิวเตอร์ที่ติดไวรัสนี้ยังไม่ทราบจำนวนแน่ชัดว่ามีจำนวนเท่าใด

Tags:
Obama

ประธานาธิบดีบารัค โอบามา ตอบคำถามระหว่างการพบปะกับกลุ่มเยาวชน ในประเด็นเรื่องอุปกรณ์ไอทีที่เขาใช้งาน

เขาบอกว่าไม่ได้รับอนุญาตให้ใช้ iPhone ได้เพราะเหตุผลด้าน "ความปลอดภัย" (security reasons) แต่เขาก็ยังมีผลิตภัณฑ์อื่นของแอปเปิลคือ iPad ไว้ใช้งาน

เป็นที่รู้กันดีว่าโอบามาใช้มือถือ BlackBerry มานาน และเมื่อเขาชนะการเลือกตั้งได้เป็นประธานาธิบดี ทางทีมของทำเนียบขาวก็อนุญาตให้เขายังใช้ BlackBerry ต่อไปได้ (แต่ไม่มีข้อมูลว่าปัจจุบันเขาใช้ BlackBerry รุ่นไหนกันแน่)

ที่มา - Reuters

Tags:
Microsoft

หลังจากกูเกิลและยาฮูประกาศเข้ารหัสข้อมูลทั้งหมดไปก่อนแล้ว ตอนนี้ไมโครซอฟท์ก็ออกมาแถลงถึงกำหนดการการเข้ารหัส โดยไมโครซอฟท์แสดงถึงความโปร่งใสสามส่วนเพื่อรับประกันว่าข้อมูลผู้ใช้จะไม่ถูกดักฟังโดยรัฐ ได้แก่ การเข้ารหัสระหว่างศูนย์ข้อมูล, การเข้ารหัสการรับส่งข้อมูลจากลูกค้า, การเปิดเผยโค้ดในซอฟต์แวร์เพื่อรับประกันว่าจะไม่มีการใส่ประตูลับไว้ในโค้ด

ไมโครซอฟท์สัญญาว่าภายในปี 2014 จะปรับบริการหลักๆ ได้แก่ Outlook.com, Office365, SkyDrive, และ Windows Azure ให้รองรับการเข้ารหัสที่แข็งแกร่งขึ้น

  • บริการหลักเหล่านี้จะเข้ารหัสเมื่อติดต่อกับลูกค้าเสมอ
  • การเข้ารหัสจะปรับไปใช้กุญแจขนาด 2048 บิต และรองรับความเป็นความลับในอนาคตแม้กุญแจหลุดออกไป
  • บริการจะมีตัวเลือกให้เข้ารหัสข้อมูลที่เก็บบนเซิร์ฟเวอร์ไมโครซอฟท์ได้
  • ไมโครซอฟท์จะทำความร่วมมือกับผู้ให้บริการภายนอกที่ไมโครซอฟท์ต้องเชื่อมต่อด้วย เช่น อีเมล ให้เชื่อมต่อกันแบบมีการเข้ารหัส

ที่น่าสนใจคือไมโครซอฟท์ออกมาระบุว่าจะมีการเคลื่อนไหว "ทางกฎหมาย" เพื่อปกป้องความเป็นส่วนตัวของลูกค้า ไมโครซอฟท์จะแจ้งลูกค้าที่เป็นองค์กรและรัฐบาลหากมีคำขอค้นข้อมูลที่เกี่ยวข้องกับลูกค้าเหล่านี้ และไมโครซอฟท์จะยื่นคำคัดค้านหากมีการขอค้นข้อมูลที่อยู่นอกอำนาจศาลของแต่ละประเทศ

สำหรับประเด็นความโปร่งใส ไมโครซอฟท์จะเปิดให้หน่วยงานรัฐของประเทศต่างๆ เข้าตรวจสอบซอร์สโค้ดของซอฟต์แวร์เพื่อยืนยันว่าจะไม่มีประตูลับสำหรับรัฐบาลใดๆ

ที่มา - TechNet

Tags:
D-Link

เมื่อสองเดือนก่อนมีรายงานถึงช่องโหว่ของเรท์เตอร์หลายรุ่นของ D-Link ที่มีช่องทางลับสามารถเข้าไปจัดการระบบได้โดยไม่ต้องมีรหัสผ่าน ตอนนี้ทาง D-Link ก็ปล่อยแพตซ์แก้ปัญหานี้ออกมาแล้ว

พร้อมกับปล่อยแพตซ์ ทาง D-Link ระบุว่าตอนนี้มีอีเมลลวงให้ผู้ใช้กดลิงก์เพื่อเข้าจัดการเราท์เตอร์ ทาง D-Link จึงออกประกาศว่าทางบริษัทไม่ได้ส่งอีเมลเหล่านั้น และเตือนให้ผู้ใช้ปิดช่องทางเข้าแอดมินทางพอร์ต WAN

รายชื่อเราท์เตอร์ที่ได้รับแพตซ์ในรอบนี้ได้แก่ DI-524, DI-524UP, DIR-604+, DIR-604UP, DIR-624S, TM-G5240, DIR-100, และ DIR-120

ช่องโหว่แบบเดียวกันยังมีรายงานในเราท์เตอร์ Planex และ Alpha Networks แต่ยังไม่มีแพตซ์ออกมาแต่อย่างใด

ที่มา - D-Link, Net-Security

Tags:
Akamai

Akamai ผู้ให้บริการ CDN ที่ใหญ่ที่สุดในโลก (ไม่นับบริษัทที่สร้าง CDN ใช้เอง) ครองทราฟิกอินเทอร์เน็ตทั้งโลกเกือบ 20% เข้าซื้อบริษัทให้บริการป้องกันการโจมตีออนไลน์ Prolexic Technologies ผู้ให้บริการป้องกัน DDoS ด้วยมูลค่าประมาณ 370 ล้านดอลลาร์ เป็นเงินสด

การเข้าซื้อครั้งนี้มีเหตุผลชัดเจน คือ Akamai ต้องการเทคโนโลยีต่อสู้กับ DDoS ของ Prolexic เพื่อมาประกอบเข้ากับบริการ CDN ของตัวเอง ให้บริการเว็บประสิทธิภาพสูงแก่ลูกค้า แบบเดียวกับ CloudFlare ทุกวันนี้

ที่มา - Prolexic, Reuters

Tags:
Linux

Symantec ค้นพบเวิร์มบนลินุกซ์ชื่อ Linux.Darlloz ที่อาศัยช่องโหว่เก่าของ PHP (ถูกแพตช์ตั้งแต่เดือน พ.ค. 2012) ในการแพร่กระจายตัวไปยังอุปกรณ์ต่างๆ

เวิร์มตัวนี้ยังไม่สร้างอันตรายให้กับระบบมากนัก เป็นแค่การทดสอบของแฮ็กเกอร์ผู้สร้างเวิร์มว่ามันทำงานได้จริงหรือไม่ (ตอนนี้ยังมีผลเฉพาะอุปกรณ์ที่เป็น x86 เท่านั้น) แต่ก็จะเริ่มมีเวิร์มเวอร์ชันกลายพันธุ์ที่มุ่งโจมตีอุปกรณ์ที่ใช้ซีพียูสถาปัตยกรรมอื่นแล้ว

เป้าหมายของมันคืออุปกรณ์ฝังตัวขนาดเล็กที่เชื่อมต่อเน็ตแต่ไม่ใช่พีซี (internet of things) และรันระบบปฏิบัติการลินุกซ์และมีเว็บเซิร์ฟเวอร์ฝังติดมาด้วย (เช่น wireless router ตามบ้านที่หน้า admin เป็น PHP รุ่นเก่าๆ และไม่เคยถูกอัพเดตเลย) เบื้องต้น Symantec แนะนำให้อัพเดตอุปกรณ์เหล่านี้เป็นเฟิร์มแวร์เวอร์ชันล่าสุดจากผู้ผลิต ตั้งรหัสผ่านให้แข็งแรง และบล็อคทราฟฟิก HTTP POST ที่โจมตีเข้ามายังพาธของระบบที่ระบุ (ดูรายละเอียดในที่มา)

ที่มา - Symantec via Ars Technica

Tags:

มัลแวร์รูปแบบใหม่ที่ระบาดมากในช่วงหลังคือมัลแวร์แบบเรียกค่าไถ่ข้อมูล หรือ ransomware ที่เข้ารหัสข้อมูลในเครื่องแล้วแจ้งให้จ่ายเงินเพื่อขอรหัสผ่านมาปลดล็อกไฟล์ในเครื่อง

ก่อนหน้านี้มัลแวร์เหล่านี้มักใช้กระบวนการที่อ่อนแอ มัลแวร์บางตัวใช้กุญแจเข้ารหัสเดิมเสมอ ทำให้สามารถหากุญแจมาถอดรหัสได้ตามอินเทอร์เน็ต บางตัวอาจจะใช้กุญแจขนาดเล็ก ทำให้ถอดรหัสได้ง่าย หลายตัวติดต่อเซิร์ฟเวอร์เดิมตลอดเวลา

แต่ CryptoLocker ซึ่งเป็น ransomware ตัวหนึ่งที่เคยเข้ารหัสข้อมูลผู้ใช้อย่างอ่อนแอเช่นกัน ในรุ่นล่าสุดกลับพัฒนาขึ้นอย่างรวดเร็ว มันใช้กระบวนกวนสร้างโดเมนใหม่ทุกครั้งสำหรับการติดต่อกับเซิร์ฟเวอร์ ทำให้บล็อคโดเมนได้ยาก และกระบวนการเข้ารหัสจะติดต่อกับเซิร์ฟเวอร์เพื่อขอดาวน์โหลดกุญแจมาทางช่องทางเข้ารหัส

OpenDNS ระบุว่าเริ่มแกะกระบวนการสร้างโดเมนมาได้บางส่วนแล้ว และบล็อคการเชื่อมต่อไปได้บ้าง โดยเมื่อมัลแวร์ยังติดต่อเซิร์ฟเวอร์ไม่ได้ก็จะไม่เข้ารหัสไฟล์ในเครื่องเพราะยังไม่ได้รับกุญแจ แม้เครื่องผู้ใช้จะติดมัลแวร์ไปแล้วก็ตาม

ทางแก้ปัญหาในเรื่องนี้ที่ดีที่สุดคงเป็นการสำรองไฟล์ให้สม่ำเสมอครับ แต่อีกทางคือการป้องกันตัวเองจากมัลแวร์กันให้ดี

ที่มา - eWeek

Tags:
Google Nexus

Bogdan Alecu พนักงานด้านไอทีของบริษัท Levi9 ในเนเธอร์แลนด์ ค้นพบช่องโหว่ใหม่ในมือถือตระกูล Nexus ของกูเกิล (ไม่เกิดกับ Android ยี่ห้ออื่น) ที่รัน Android 4.x ขึ้นไป (รวมถึง KitKat ด้วย)

ช่องโหว่นี้ต้องใช้ร่วมกับการส่ง SMS Class 0 หรือที่เรียกกันทั่วไปว่า Flash SMS ซึ่งเป็น SMS แบบพิเศษตามมาตรฐาน GSM ที่ส่งแล้วแสดงผลขึ้นจอทันทีและไม่เก็บในกล่องข้อความของเครื่อง (มักใช้ในการแจ้งเตือนภัยพิบัติต่างๆ)

เมื่อมือถือ Nexus ได้ข้อความประเภท Flash SMS แล้วจะแสดงกล่องข้อความขึ้นจอแบบเงียบๆ (ไม่มีเสียงแจ้งเตือน SMS) และถ้าส่ง Flash SMS เข้ามาเยอะๆ (ประมาณ 20-30 ข้อความ) โดยที่ผู้ใช้ไม่กดปิดข้อความเดิม ก็จะทำให้ Nexus เริ่มรวนจนไม่สามารถรับสายหรือต่ออินเทอร์เน็ตได้ ทางแก้เดียวคือต้องรีบูตเครื่องเท่านั้น

Alecu บอกว่าพยายามแจ้งบั๊กนี้ไปยังกูเกิลแต่ก็ไม่ค่อยได้รับการตอบสนอง ทีม Android คนหนึ่งเคยแจ้งว่าจะแก้ใน Android 4.3 แต่ก็ไม่ได้แก้ เขาจึงเปิดเผยข้อมูลบั๊กนี้ต่อสาธารณะแทน ส่วนโฆษกของกูเกิลก็ให้ข้อมูลหลังจากข่าวนี้แพร่ออกไปว่ากำลังสอบสวนอยู่

ที่มา - PC World

Tags:
Ruby

ปัญหาความปลอดภัยจากการออกแบบของ Ruby on Rails (RoR) อาจจะทำให้หลายบริการตกอยู่ในความเสี่ยงที่แฮกเกอร์สามารถนำ cookie เดิมมาใช้งานซ้ำได้ เพราะการจัดเก็บข้อมูลซ้ำ ทำให้เว็บแอพพลิเคชั่นที่ไม่ระวัง กลับใส่ข้อมูลการล็อกอินเอาไว้ใน CookieStore ทำให้แฮกเกอร์ที่ดักจับ cookie จากเบราว์เซอร์ผู้ใช้ได้สามารถนำกลับมาใช้ใหม่ได้เรื่อยๆ แม้ว่าผู้ใช้จะล็อกเอาต์ไปแล้ว

กระบวนการนี้ไม่ได้เป็นปัญหาของ Rails โดยตรงเพราะที่จริงแล้วมี ActiveRecordStore ให้เลือกใช้ และลบข้อมูลออกไปเมื่อผู้ใช้ล็อกเอาต์ แต่ค่าเริ่มต้นของ Rails ที่ใช้ CookieStore แล้วยืนยันว่า cookie เป็นข้อมูลที่ได้รับจากเซิร์ฟเวอร์ด้วยกระบวนการ "เซ็น" (sign) จากการแฮชข้อมูลรวมกับค่าข้อมูลลับ การยกเลิกข้อมูลที่เซ็นไปแล้วนี้มีทางเดียวคือการขอให้เบราว์เซอร์ลบข้อมูลนี้ทิ้งไป แต่เมื่อแฮกเกอร์ดักข้อมูลนี้ได้ แฮกเกอร์ก็สามารถนำค่านี้กลับมาใช้งานได้เรื่อยๆ

ปัญหานี้มีผลกระทบตั้งแต่ Rails รุ่น 2.0 ถึง 4.0 การแก้ไปใช้ ActiveRecordStore จะมีปัญหาต้องแก้แอพพลิเคชั่นและต้องวางแผนเมื่อใช้งานข้อมูลจากหลายฐานข้อมูล

ที่มา - Maverick Blogging, Threat Post