ปัญหาโน้ตบุ๊ก Dell แอบติดตั้งใบรับรอง Root CA ยังไม่จบง่ายๆ หลังการค้นพบ Root CA ชื่อ eDellRoot จนเป็นข่าวใหญ่ไปทั่วโลกเมื่อวานนี้ วันนี้มีคนค้นพบว่าแอพอีกตัวของ Dell จะติดตั้งใบรับรองอีกใบด้วยเหมือนกัน
โชคดีว่าแอพตัวนี้ไม่ถูกติดตั้งมากับเครื่อง แต่ถ้าผู้ใช้เข้าเว็บ Dell Support แล้วเลือกให้เว็บตรวจสอบว่าเครื่องที่ใช้เป็นรุ่นอะไร เว็บจะขอให้ผู้ใช้ติดตั้งแอพชื่อ Dell System Detect (DSD) ซึ่งจะมาพร้อมกับใบรับรองชื่อ DSDTestProvider
หลังจากเมื่อวานนี้มีรายงานพบใบรับรอง root CA ที่ชื่อว่า eDellRoot ในคอมพิวเตอร์เดลล์หลายรุ่น และทางโฆษกของเดลล์ออกมาให้สัมภาษณ์นักข่าวบางสำนัก ตอนนี้ทางเดลล์ก็เขียนบล็อกเรื่องนี้เป็นทางการ โดยทางเดลล์ชี้แจงว่าติดตั้งใบรับรองนี้เพื่อส่งค่า service tag กลับไปยังระบบซัพพอร์ตของเดลล์
ทางเดลล์แก้ปัญหาครั้งนี้ด้วยการ ออกเอกสารแนะนำขั้นตอนการถอนใบรับรองออกจากระบบ และสำหรับคนที่ติดตั้ง Dell Updates จะมีอัพเดตใหม่ที่ตรวจสอบ root CA นี้และถอนการติดตั้งให้กับผู้ใช้โดยอัตโนมัติ
ผู้ใช้เว็บ reddit ชื่อว่า rotorcowboy และผู้ใช้ทวิตเตอร์ @jhnord รายงานว่าเครื่อง Dell XPS 15 ของเขามี root CA แปลกๆ ติดตั้งมาด้วยในเครื่อง ใช้ชื่อว่า eDellRoot พร้อมกับติดตั้งกุญแจลับ (private key) เอาไว้ในเครื่อง
สำนักงานความปลอดภัยข้อมูลของรัฐบาลกลางเยอรมัน (Federal Office for Information Security) ปล่อยรายงานการตรวจสอบความปลอดภัยของซอฟต์แวร์เข้ารหัสดิสก์ TrueCrypt ตรวจสอบโดยสถาบัน Fraunhofer SIT
ทางสำนักงานเข้าตรวจสอบ TrueCrypt เนื่องจากซอฟท์แวร์ Trusted Disk ที่ผนวก TrueCrypt เข้าเป็นส่วนหนึ่งได้รับการรับรองให้ใช้งานในรัฐบาล
รายงานศึกษารายงานจากโครงการตรวจสอบความปลอดภ้ัย Open Crypto Audit Project ที่ปล่อยรายงานออกมาตั้งแต่ปีที่แล้ว และศึกษาโค้ดเพิ่มเติม
ทีมงานพบว่ามีกระบวนการบางจุดที่มีความอ่อนแอ เช่น กระบวนการสร้างเลขสุ่ม โค้ดมีคุณภาพไม่ดีนักในลินุกซ์ แต่โดยทั่วไปแล้วไม่พบช่องโหว่ร้ายแรงแต่อย่างใด
Nmap ออกรุ่นใหญ่ครั้งสุดท้ายคือ 6.00 เมื่อปี 2012 ตอนนี้ถึงรอบการออกเวอร์ชั่นใหม่ Nmap 7 ความเปลี่ยนแปลงหลักๆ ได้แก่
Zerodium บริษัทรับซื้อช่องโหว่ซอฟต์แวร์ที่ประกาศจ่ายเงินล้านดอลลาร์สำหรับช่องโหว่ iOS และเพิ่งได้จ่ายไปไม่นานนี้ ออกมาประกาศรายการราคาช่องโหว่ซอฟต์แวร์ประเภทต่างๆ ที่รับซื้อ
อเมซอนฝั่งค้าปลีกเปิดบริการการยืนยันตัวตนผู้ใช้สองขั้นตอนสำหรับลูกค้าทั่วไปแล้ว โดยต้องยืนยันหมายเลขโทรศัพท์ก่อน จึงสามารถขอข้อมูลสำหรับการยืนยันตัวตนผ่านแอป เช่น Google Authenticator ได้
ผมเองลองเข้าเว็บอเมซอนวันนี้ก็สังเกตว่าแทบทุกหน้าสามารถใช้งานผ่าน HTTPS ได้ทั้งหมดแล้ว จากเดิมที่หน้าส่วนใหญ่ไม่รองรับและหากพยายามเข้าผ่าน HTTPS ก็จะถูก redirect มายังหน้า HTTP แม้จะยังสามารถเข้าผ่าน HTTP ได้ด้วยก็ตาม สำหรับผู้ใช้ที่กังวลว่าจะมีข้อมูลรั่วไหลก็สามารถใช้ปลั๊กอิน SSL Enforcer มาบังคับให้เบราว์เซอร์ใช้ HTTPS ตลอดเวลาได้
โครงการ Tor ออกมาระบุว่าทีมวิจัยจากมหาวิทยาลัย Carnegie Mellon (CMU) ได้รับเงินทุนจาก FBI ให้มาเจาะ Tor มูลค่าอย่างน้อยหนึ่งล้านดอลลาร์ วันนี้ทางมหาวิทยาลัยก็ออกมาโต้ข่าวแล้ว
ทางมหาวิทยาลัยไม่ได้ระบุข่าวโดยตรง แต่ระบุเพียงว่าสถาบันวิศวกรรมซอฟต์แวร์ (Software Engineering Institute - SEI) ได้รับเงินทุนจากรัฐบาลกลาง และศูนย์ CERT ก็เป็นศูนย์ภายใต้สถาบันที่ทำหน้าที่วิจัยหาช่องโหว่ซอฟต์แวร์ ทางศูนย์ได้รับหมายศาลเพื่อขอข้อมูลงานวิจัยอยู่เป็นระยะและเป็นหน้าที่ของมหาวิทยาลัยที่จะทำตามหมายเหล่านั้น โดยไม่ได้รับเงินตอบแทนแต่อย่างใด
ต่อจากข่าว ไมโครซอฟท์ตั้งศูนย์ปฏิบัติการความปลอดภัย ทำงาน 24 ชั่วโมง ในโอกาสเดียวกัน บริษัทก็เปิดตัวฟีเจอร์ด้านความปลอดภัยและการทำตามข้อกำหนด (compliance) ให้ Office 365 ดังนี้
ในอดีต ระบบปฏิบัติการของไมโครซอฟท์มีชื่อเสียงในทางลบเมื่อพูดถึง "ความปลอดภัย" อย่างไรก็ตาม ช่วงหลังมานี้ ไมโครซอฟท์หันมาใส่ใจเรื่องความปลอดภัยมากขึ้นมาก และล่าสุดซีอีโอ Satya Nadella ก็ออกมาแถลงเรื่องยุทธศาสตร์ความปลอดภัยแบบใหม่ของบริษัท สำหรับยุค mobile-first, cloud-first
นโยบายใหม่ของไมโครซอฟท์จะใช้หลักการ 3 ข้อคือ Protect ปกป้องคุ้มครองจุดปลายทาง (endpoint), Detect ตรวจสอบหาภัยคุกคามด้วยเทคนิคใหม่ๆ ทั้ง cloud และ machine learning, Response ตอบสนองต่อปัญหาที่ค้นพบอย่างรวดเร็ว
Yubico ผู้ผลิตกุญแจอิเล็กทรอนิกส์เพื่อการยืนยันตัวตนหลายรูปแบบ โดยเฉพาะ U2F ที่ Yubico เป็นผู้ร่วมพัฒนากับกูเกิล ตอนนี้กุญแจ Yubikey สินค้าสำคัญของบริษัทก็ออกรุ่น 4 ออกมาแล้ว โดยมีความสามารถสำคัญได้แก่
Yubico เลือกเปิดตัว Yubikey 4 ในงาน DockerCon โดยทาง Docker ออกมารองรับ Yubikey 4 สำหรับการเซ็นรับรอง Content Trust ทำให้คนที่ดาวน์โหลดอิมเมจสามารถยืนยันได้ว่ามาจากนักพัฒนาจริง
ชาว Blognone อาจเคยเจอกับเว็บหรือโฆษณาที่ปลอมตัวเป็นบริษัทซอฟต์แวร์ชื่อดัง แจ้งเตือนว่าซอฟต์แวร์ของเราไม่อัพเดตแล้ว และให้ดาวน์โหลดไฟล์ (ซึ่งจริงๆ เป็นมัลแวร์) เพื่ออัพเดต
ในบางกรณี เว็บไซต์บางแห่งยังปลอมเป็นหน้าแจ้งเตือนมัลแวร์ของ Chrome ซะเองว่าคอมพิวเตอร์ของเราติดมัลแวร์แล้ว และให้ติดต่อกูเกิลตามที่อยู่ที่ระบุ (แน่นอนว่าเป็นที่อยู่ปลอม) บางครั้งอาจเป็นเบอร์โทรศัพท์ที่คิดเรตการโทรแพงๆ
ผู้ใช้คอมพิวเตอร์ที่มีประสบการณ์มากหน่อยคงไม่มีปัญหา แต่ปฏิเสธไม่ได้ว่ามีผู้ใช้ที่พลาดพลั้ง ตกเป็นเหยื่อของเว็บไซต์เหล่านี้อยู่เรื่อยๆ
การใช้คอนเทนเนอร์มาช่วยแยกระบบออกเป็นส่วนๆ อาจจะช่วยเพิ่มความปลอดภัยให้กับระบบโดยรวมได้ในบางกรณี แต่ปัญหาการที่นักพัฒนาไม่อัพเกรดซอฟต์แวร์ในคอนเทนเนอร์เป็นปัญหาเรื้อรัง และสร้างช่องโหว่ให้กับระบบ ล่าสุดบริการเก็บอิมเมจ Quay.io ของ CoreOS ตรวจสอบพบว่าอิมเมจที่เก็บไว้ยังมีช่องโหว่ Heartbleed ถึง 80% ทาง CoreOS จึงเปิดซอร์ส Clair เครื่องมือเตือนให้นักพัฒนารู้ว่าควรอัพเดตซอฟต์แวร์ได้หรือยัง
Clair รองรับ Debian, Ubuntu, และ CentOS และใช้ตัวจัดการแพ็กเกจพื้นฐานของระบบ (dpkg, yum) และในอนาคตจะรองรับระบบจัดการ package เพิ่มเติม
Let's Encrypt เปิดตัวโครงการมาครบรอบหนึ่งปีพอดี กำหนดการเดิมที่จะปล่อยใบรับรองให้กับสาธารณะวันจันทร์นี้ก็เลื่อนไปเป็นวันที่ 3 ธันวาคมที่จะถึงนี้ แม้จะเปิดให้คนทั่วไปใช้งาน แต่ทางโครงการก็ยังระบุว่าเป็นช่วงทดสอบระบบ (เบต้า) เท่านั้น และยังมีงานต้องทำก่อนจะพร้อมใช้งานจริงสำหรับคนทั่วไป
จนตอนนี้ทาง Let's Encrypt ปล่อยใบรับรองให้กับผู้ที่เข้าร่วมโครงการเบต้าแล้วกว่า 11,000 ใบ
ที่มา - Let's Encrypt
กูเกิลออกมาเผยสถิติเรื่องการเข้ารหัสการส่งอีเมลผ่าน TLS เพื่อป้องกันการดักข้อมูลระหว่างทาง
Gmail ยังจะเพิ่มมาตรการด้านความปลอดภัย โดยแจ้งเตือนผู้ใช้เมื่อได้รับอีเมลจากเครือข่ายที่ไม่ได้เข้ารหัส เพื่อให้ผู้ใช้ระมัดระวังในความปลอดภัยของอีเมลฉบับนั้นด้วย
โครงการ Tor เป็นไม้เบื่อไม้เมากับ FBI มานานเพราะคนร้ายใช้ Tor ในการปกปิดตัวตน ก่อนหน้านี้มีหลายคดีที่ FBI สามารถเปิดเผยไอพีของผู้ใช้เครือข่าย Tor ออกมา โดยไม่ได้ระบุรายละเอียดว่าหาไอพีได้อย่างไร ตอนนี้ทาง Tor ออกมาระบุว่า FBI จ้างนักวิจัยจากมหาวิทยาลัย Carnegie Mellon (CMU) ให้เจาะระบบ Tor เพื่อหาไอพีให้ โดยจ่ายค่าจ้างอย่างน้อยหนึ่งล้านดอลลาร์
Adobe ปล่อย Flash รุ่น 19.0.0.245 และ 18.0.0.261 แก้ไขช่องโหว่ความปลอดภัยจำนวน 17 รายการ แบ่งออกเป็นช่องโหว่รันโค้ดด้วยช่องโหว่ type confusion 1 รายการ, ช่องโหว่เขียนไฟล์ด้วยสิทธิ์ของผู้ใช้ 1 รายการ, และช่องโหว่การใช้หน่วยความจำหลังคืนความจำ (use-after-free) อีก 15 รายการ
ไมโครซอฟท์แพตช์ความปลอดภัยรอบเดือนพฤศจิกายน จำนวน 12 ชุด เป็นช่องโหว่ร้ายแรง 4 รายการ ได้แก่
ARM เปิดสถาปัตยกรรมชุดคำสั่งใหม่ ARMv8-M สำหรับอุปกรณ์ IoT โดยเฉพาะ แม้จะเป็นสถาปัตยกรรมตระกูล ARMv8 แต่ ARMv8-M จะรับคำสั่ง 32 บิตเท่านั้น โดยจะนำสถาปัตยกรรมนี้มาใช้กับซีพียูในตระกูล Cortex-M ที่มีราคาถูกขนาดเล็ก เช่น ชิป EMW3165 ก็ใช้ Cortex-M4
ความเปลี่ยนแปลงสำคัญ ARMv8-M จะมีฟีเจอร์ TrustZone มาในตัว ทำให้ชิปรุ่นเล็กๆ ก็สามารถใส่ความสามารถด้านความปลอดภัยเพิ่มเติม แยกโซนระหว่างฟีเจอร์ปกติกับฟีเจอร์สำคัญ เช่น การสร้างกุญแจเข้ารหัส หรือการตรวจสอบซอฟต์แวร์อัพเดต
พร้อมกับ TrustZone ในตัวซีพียู ARMv8-M กำหนดมาตรฐานบัส ARM AMBA 5 AHB5 ที่สามารถเชื่อมต่อกับอุปกรณ์ภายนอกซีพียูแล้วระบุได้ว่าอุปกรณ์ชิ้นใดเป็นอุปกรณ์ที่ไว้ใจได้
Linux.Encoder.1 เป็นมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ที่มุ่งเป้ามาที่เว็บเซิร์ฟเวอร์ลินุกซ์โดยเฉพาะ ตอนนี้แม้จะยังไม่มีรายงานการระบาดมากนัก แต่ทาง BitDefender ก็วิเคราะห์พบว่าการพัฒนามีช่องโหว่ทำให้ถอดรหัสได้โดยง่าย
Linus Torvalds ออกมาตอบโต้ผู้เชี่ยวชาญด้านความปลอดภัยหลายคน ที่บอกว่าเขาและทีมพัฒนาเคอร์เนลลินุกซ์ "ไม่ใส่ใจเรื่องความปลอดภัยเท่าที่ควร" โดยไม่สนใจแก้ปัญหาหรือบั๊กด้านความปลอดภัยที่มีคนแจ้งเข้ามามากนัก
Torvalds ตอบว่าหลักการพื้นฐานคือไม่มีระบบใดปลอดภัย 100% และความปลอดภัยเป็นเพียงแค่แง่มุมหนึ่งในการพัฒนา ที่ต้องแบ่งให้น้ำหนักกับมิติอื่นๆ อย่างประสิทธิภาพ ความยืดหยุ่น ความง่ายในการใช้งานด้วย เขายังวิจารณ์คนที่บอกว่า "ความปลอดภัยสำคัญที่สุด" ว่าบ้าไปแล้ว (completely crazy) โลกไม่ได้มีแค่ขาวกับดำสักหน่อย
BLAKE2 เป็นอัลกอริทึมแฮชที่เข้าแข่งขันให้เป็นมาตรฐาน SHA-3 ของ NIST (องค์กรมาตรฐานทางเทคโนโลยีของสหรัฐฯ) และเข้ารอบไปถึงรอบสุดท้ายที่อัลกอริทึมเข้ารอบ 5 อัลกอริทึม แม้สุดท้าย Keccak จะเป็นผู้ชนะได้เป็นมาตรฐาน SHA-3 แต่ผู้สร้าง BLAKE2 ก็เสนอให้เป็นมาตรฐานทางเลือกหนึ่งของ IETF
กระบวนการเสนอมาตรฐานมีการเสนอมาตั้งแต่ต้นปีที่ผ่านมา ตอนนี้เอกสารก็ตีพิมพ์เป็น RFC7693 เรียบร้อยแล้ว
ไมโครซอฟท์เข้าซื้อบริษัทซอฟต์แวร์ความปลอดภัย Secure Islands จากอิสราเอล เจ้าของผลิตภัณฑ์ด้านความปลอดภัยข้อมูล (data security) ชื่อ IQProtector เพื่อนำมาใช้กับ Azure Rights Management Service บริการคลาวด์ของไมโครซอฟท์เอง
ไมโครซอฟท์ไม่ได้เปิดเผยมูลค่าการซื้อกิจการครั้งนี้ บอกแค่ว่า Secure Islands เป็นพาร์ทเนอร์ใกล้ชิดกับไมโครซอฟท์มานาน หลังการซื้อกิจการแล้ว Secure Islands จะยังขายผลิตภัณฑ์ของตัวเองและให้บริการลูกค้าเดิมต่อไป
ที่ผ่านมา ไมโครซอฟท์ซื้อบริษัทความปลอดภัยจากอิสราเอลมาแล้วหลายราย เช่น Aorato ในปี 2014 และ Adallom เมื่อเดือนกันยายน 2015
ผู้ดูแลระบบลินุกซ์แต่ใช้งานผ่านเดสก์ทอปวินโดวส์คงรู้จัก PuTTY กันแทบทุกคน เมื่อสองวันก่อนทางโครงการก็ออกเวอร์ชั่นใหม่แก้ช่องโหว่สำคัญออกมาแล้ว ควรรีบอัพเดตกัน
ช่องโหว่นี้อาศัยการวางอักขระที่เป็น escape sequence อย่างจงใจไปในไฟล์เพื่อกระตุ้นบั๊ก integer overflow การโจมตีจึงทำได้ในกรณีที่ผู้โจมตีสามารถวางไฟล์บนเซิร์ฟเวอร์ และล่อให้ผู้ดูแลระบบล็อกอินเข้าไปสั่ง cat ไฟล์เหล่านั้นขึ้นมาดู โดยช่องโหว่กระทบตั้งแต่เวอร์ชั่น 0.54 มาจนถึง 0.65
แม้จะเป็นการออกเวอร์ชั่นใหม่เพื่อแก้ช่องโหว่ แต่ก็มีอัพเดตบั๊กเล็กๆ น้อยๆ เช่น การส่ง Unicode และเพิ่มฟีเจอร์การออกล็อกไฟล์
มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ที่แพร่ระบาดหนักและสร้างความเสียหายได้มากตระกูลหนึ่งคือกลุ่ม CryptoWall ที่ประมาณการว่าสร้างความเสียหายไปแล้วเป็นมูลค่าถึง 325 ล้านดอลลาร์ ตอนนี้ทาง Heimdal Security ก็รายงานวิเคราะห์ถึง Cryptowall 4.0 ที่มีการปรับปรุงใหม่ เปลี่ยนแปลงสำคัญ 3 ด้าน ได้แก่