Nmap ออกรุ่นใหญ่ครั้งสุดท้ายคือ 6.00 เมื่อปี 2012 ตอนนี้ถึงรอบการออกเวอร์ชั่นใหม่ Nmap 7 ความเปลี่ยนแปลงหลักๆ ได้แก่

Zerodium บริษัทรับซื้อช่องโหว่ซอฟต์แวร์ที่ประกาศจ่ายเงินล้านดอลลาร์สำหรับช่องโหว่ iOS และเพิ่งได้จ่ายไปไม่นานนี้ ออกมาประกาศรายการราคาช่องโหว่ซอฟต์แวร์ประเภทต่างๆ ที่รับซื้อ

อเมซอนฝั่งค้าปลีกเปิดบริการการยืนยันตัวตนผู้ใช้สองขั้นตอนสำหรับลูกค้าทั่วไปแล้ว โดยต้องยืนยันหมายเลขโทรศัพท์ก่อน จึงสามารถขอข้อมูลสำหรับการยืนยันตัวตนผ่านแอป เช่น Google Authenticator ได้

ผมเองลองเข้าเว็บอเมซอนวันนี้ก็สังเกตว่าแทบทุกหน้าสามารถใช้งานผ่าน HTTPS ได้ทั้งหมดแล้ว จากเดิมที่หน้าส่วนใหญ่ไม่รองรับและหากพยายามเข้าผ่าน HTTPS ก็จะถูก redirect มายังหน้า HTTP แม้จะยังสามารถเข้าผ่าน HTTP ได้ด้วยก็ตาม สำหรับผู้ใช้ที่กังวลว่าจะมีข้อมูลรั่วไหลก็สามารถใช้ปลั๊กอิน SSL Enforcer มาบังคับให้เบราว์เซอร์ใช้ HTTPS ตลอดเวลาได้

โครงการ Tor ออกมาระบุว่าทีมวิจัยจากมหาวิทยาลัย Carnegie Mellon (CMU) ได้รับเงินทุนจาก FBI ให้มาเจาะ Tor มูลค่าอย่างน้อยหนึ่งล้านดอลลาร์ วันนี้ทางมหาวิทยาลัยก็ออกมาโต้ข่าวแล้ว

ทางมหาวิทยาลัยไม่ได้ระบุข่าวโดยตรง แต่ระบุเพียงว่าสถาบันวิศวกรรมซอฟต์แวร์ (Software Engineering Institute - SEI) ได้รับเงินทุนจากรัฐบาลกลาง และศูนย์ CERT ก็เป็นศูนย์ภายใต้สถาบันที่ทำหน้าที่วิจัยหาช่องโหว่ซอฟต์แวร์ ทางศูนย์ได้รับหมายศาลเพื่อขอข้อมูลงานวิจัยอยู่เป็นระยะและเป็นหน้าที่ของมหาวิทยาลัยที่จะทำตามหมายเหล่านั้น โดยไม่ได้รับเงินตอบแทนแต่อย่างใด

ต่อจากข่าว ไมโครซอฟท์ตั้งศูนย์ปฏิบัติการความปลอดภัย ทำงาน 24 ชั่วโมง ในโอกาสเดียวกัน บริษัทก็เปิดตัวฟีเจอร์ด้านความปลอดภัยและการทำตามข้อกำหนด (compliance) ให้ Office 365 ดังนี้

ในอดีต ระบบปฏิบัติการของไมโครซอฟท์มีชื่อเสียงในทางลบเมื่อพูดถึง "ความปลอดภัย" อย่างไรก็ตาม ช่วงหลังมานี้ ไมโครซอฟท์หันมาใส่ใจเรื่องความปลอดภัยมากขึ้นมาก และล่าสุดซีอีโอ Satya Nadella ก็ออกมาแถลงเรื่องยุทธศาสตร์ความปลอดภัยแบบใหม่ของบริษัท สำหรับยุค mobile-first, cloud-first

นโยบายใหม่ของไมโครซอฟท์จะใช้หลักการ 3 ข้อคือ Protect ปกป้องคุ้มครองจุดปลายทาง (endpoint), Detect ตรวจสอบหาภัยคุกคามด้วยเทคนิคใหม่ๆ ทั้ง cloud และ machine learning, Response ตอบสนองต่อปัญหาที่ค้นพบอย่างรวดเร็ว

Yubico ผู้ผลิตกุญแจอิเล็กทรอนิกส์เพื่อการยืนยันตัวตนหลายรูปแบบ โดยเฉพาะ U2F ที่ Yubico เป็นผู้ร่วมพัฒนากับกูเกิล ตอนนี้กุญแจ Yubikey สินค้าสำคัญของบริษัทก็ออกรุ่น 4 ออกมาแล้ว โดยมีความสามารถสำคัญได้แก่

• รองรับ Yubico OTP, smartcard, และ U2F
• มี secure element ในตัว
• รองรับกุญแจ RSA 4096 บิต
• รองรับ PKCS#11

Yubico เลือกเปิดตัว Yubikey 4 ในงาน DockerCon โดยทาง Docker ออกมารองรับ Yubikey 4 สำหรับการเซ็นรับรอง Content Trust ทำให้คนที่ดาวน์โหลดอิมเมจสามารถยืนยันได้ว่ามาจากนักพัฒนาจริง

ชาว Blognone อาจเคยเจอกับเว็บหรือโฆษณาที่ปลอมตัวเป็นบริษัทซอฟต์แวร์ชื่อดัง แจ้งเตือนว่าซอฟต์แวร์ของเราไม่อัพเดตแล้ว และให้ดาวน์โหลดไฟล์ (ซึ่งจริงๆ เป็นมัลแวร์) เพื่ออัพเดต

ในบางกรณี เว็บไซต์บางแห่งยังปลอมเป็นหน้าแจ้งเตือนมัลแวร์ของ Chrome ซะเองว่าคอมพิวเตอร์ของเราติดมัลแวร์แล้ว และให้ติดต่อกูเกิลตามที่อยู่ที่ระบุ (แน่นอนว่าเป็นที่อยู่ปลอม) บางครั้งอาจเป็นเบอร์โทรศัพท์ที่คิดเรตการโทรแพงๆ

ผู้ใช้คอมพิวเตอร์ที่มีประสบการณ์มากหน่อยคงไม่มีปัญหา แต่ปฏิเสธไม่ได้ว่ามีผู้ใช้ที่พลาดพลั้ง ตกเป็นเหยื่อของเว็บไซต์เหล่านี้อยู่เรื่อยๆ

การใช้คอนเทนเนอร์มาช่วยแยกระบบออกเป็นส่วนๆ อาจจะช่วยเพิ่มความปลอดภัยให้กับระบบโดยรวมได้ในบางกรณี แต่ปัญหาการที่นักพัฒนาไม่อัพเกรดซอฟต์แวร์ในคอนเทนเนอร์เป็นปัญหาเรื้อรัง และสร้างช่องโหว่ให้กับระบบ ล่าสุดบริการเก็บอิมเมจ Quay.io ของ CoreOS ตรวจสอบพบว่าอิมเมจที่เก็บไว้ยังมีช่องโหว่ Heartbleed ถึง 80% ทาง CoreOS จึงเปิดซอร์ส Clair เครื่องมือเตือนให้นักพัฒนารู้ว่าควรอัพเดตซอฟต์แวร์ได้หรือยัง

Clair รองรับ Debian, Ubuntu, และ CentOS และใช้ตัวจัดการแพ็กเกจพื้นฐานของระบบ (dpkg, yum) และในอนาคตจะรองรับระบบจัดการ package เพิ่มเติม

Let's Encrypt เปิดตัวโครงการมาครบรอบหนึ่งปีพอดี กำหนดการเดิมที่จะปล่อยใบรับรองให้กับสาธารณะวันจันทร์นี้ก็เลื่อนไปเป็นวันที่ 3 ธันวาคมที่จะถึงนี้ แม้จะเปิดให้คนทั่วไปใช้งาน แต่ทางโครงการก็ยังระบุว่าเป็นช่วงทดสอบระบบ (เบต้า) เท่านั้น และยังมีงานต้องทำก่อนจะพร้อมใช้งานจริงสำหรับคนทั่วไป

จนตอนนี้ทาง Let's Encrypt ปล่อยใบรับรองให้กับผู้ที่เข้าร่วมโครงการเบต้าแล้วกว่า 11,000 ใบ

ที่มา - Let's Encrypt

กูเกิลออกมาเผยสถิติเรื่องการเข้ารหัสการส่งอีเมลผ่าน TLS เพื่อป้องกันการดักข้อมูลระหว่างทาง

• รอบสองปีที่ผ่านมา (2013-2015) อีเมลที่ส่งเข้าหา Gmail และถูกเข้ารหัส เพิ่มสัดส่วนจาก 33% เป็น 61%
• ในช่วงเวลาเดียวกัน อีเมลที่ถูกส่งจาก Gmail และเข้ารหัส เพิ่มจาก 60% เป็น 80% (Gmail จะเลือกเข้ารหัสเมื่อโฮสต์ปลายทางรองรับการเข้ารหัส แปลว่าโฮสต์ที่รองรับเพิ่มจำนวนมากขึ้น)
• ตอนนี้ 94% ของอีเมลขาเข้า Gmail มีระบบตรวจสอบตัวตนผู้ส่ง เพื่อป้องกันปัญหา phishing หรือปลอมตัวแล้ว

Gmail ยังจะเพิ่มมาตรการด้านความปลอดภัย โดยแจ้งเตือนผู้ใช้เมื่อได้รับอีเมลจากเครือข่ายที่ไม่ได้เข้ารหัส เพื่อให้ผู้ใช้ระมัดระวังในความปลอดภัยของอีเมลฉบับนั้นด้วย

โครงการ Tor เป็นไม้เบื่อไม้เมากับ FBI มานานเพราะคนร้ายใช้ Tor ในการปกปิดตัวตน ก่อนหน้านี้มีหลายคดีที่ FBI สามารถเปิดเผยไอพีของผู้ใช้เครือข่าย Tor ออกมา โดยไม่ได้ระบุรายละเอียดว่าหาไอพีได้อย่างไร ตอนนี้ทาง Tor ออกมาระบุว่า FBI จ้างนักวิจัยจากมหาวิทยาลัย Carnegie Mellon (CMU) ให้เจาะระบบ Tor เพื่อหาไอพีให้ โดยจ่ายค่าจ้างอย่างน้อยหนึ่งล้านดอลลาร์

Adobe ปล่อย Flash รุ่น 19.0.0.245 และ 18.0.0.261 แก้ไขช่องโหว่ความปลอดภัยจำนวน 17 รายการ แบ่งออกเป็นช่องโหว่รันโค้ดด้วยช่องโหว่ type confusion 1 รายการ, ช่องโหว่เขียนไฟล์ด้วยสิทธิ์ของผู้ใช้ 1 รายการ, และช่องโหว่การใช้หน่วยความจำหลังคืนความจำ (use-after-free) อีก 15 รายการ

ไมโครซอฟท์แพตช์ความปลอดภัยรอบเดือนพฤศจิกายน จำนวน 12 ชุด เป็นช่องโหว่ร้ายแรง 4 รายการ ได้แก่

ARM เปิดสถาปัตยกรรมชุดคำสั่งใหม่ ARMv8-M สำหรับอุปกรณ์ IoT โดยเฉพาะ แม้จะเป็นสถาปัตยกรรมตระกูล ARMv8 แต่ ARMv8-M จะรับคำสั่ง 32 บิตเท่านั้น โดยจะนำสถาปัตยกรรมนี้มาใช้กับซีพียูในตระกูล Cortex-M ที่มีราคาถูกขนาดเล็ก เช่น ชิป EMW3165 ก็ใช้ Cortex-M4

ความเปลี่ยนแปลงสำคัญ ARMv8-M จะมีฟีเจอร์ TrustZone มาในตัว ทำให้ชิปรุ่นเล็กๆ ก็สามารถใส่ความสามารถด้านความปลอดภัยเพิ่มเติม แยกโซนระหว่างฟีเจอร์ปกติกับฟีเจอร์สำคัญ เช่น การสร้างกุญแจเข้ารหัส หรือการตรวจสอบซอฟต์แวร์อัพเดต

พร้อมกับ TrustZone ในตัวซีพียู ARMv8-M กำหนดมาตรฐานบัส ARM AMBA 5 AHB5 ที่สามารถเชื่อมต่อกับอุปกรณ์ภายนอกซีพียูแล้วระบุได้ว่าอุปกรณ์ชิ้นใดเป็นอุปกรณ์ที่ไว้ใจได้

Linux.Encoder.1 เป็นมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ที่มุ่งเป้ามาที่เว็บเซิร์ฟเวอร์ลินุกซ์โดยเฉพาะ ตอนนี้แม้จะยังไม่มีรายงานการระบาดมากนัก แต่ทาง BitDefender ก็วิเคราะห์พบว่าการพัฒนามีช่องโหว่ทำให้ถอดรหัสได้โดยง่าย

Linus Torvalds ออกมาตอบโต้ผู้เชี่ยวชาญด้านความปลอดภัยหลายคน ที่บอกว่าเขาและทีมพัฒนาเคอร์เนลลินุกซ์ "ไม่ใส่ใจเรื่องความปลอดภัยเท่าที่ควร" โดยไม่สนใจแก้ปัญหาหรือบั๊กด้านความปลอดภัยที่มีคนแจ้งเข้ามามากนัก

Torvalds ตอบว่าหลักการพื้นฐานคือไม่มีระบบใดปลอดภัย 100% และความปลอดภัยเป็นเพียงแค่แง่มุมหนึ่งในการพัฒนา ที่ต้องแบ่งให้น้ำหนักกับมิติอื่นๆ อย่างประสิทธิภาพ ความยืดหยุ่น ความง่ายในการใช้งานด้วย เขายังวิจารณ์คนที่บอกว่า "ความปลอดภัยสำคัญที่สุด" ว่าบ้าไปแล้ว (completely crazy) โลกไม่ได้มีแค่ขาวกับดำสักหน่อย

BLAKE2 เป็นอัลกอริทึมแฮชที่เข้าแข่งขันให้เป็นมาตรฐาน SHA-3 ของ NIST (องค์กรมาตรฐานทางเทคโนโลยีของสหรัฐฯ) และเข้ารอบไปถึงรอบสุดท้ายที่อัลกอริทึมเข้ารอบ 5 อัลกอริทึม แม้สุดท้าย Keccak จะเป็นผู้ชนะได้เป็นมาตรฐาน SHA-3 แต่ผู้สร้าง BLAKE2 ก็เสนอให้เป็นมาตรฐานทางเลือกหนึ่งของ IETF

กระบวนการเสนอมาตรฐานมีการเสนอมาตั้งแต่ต้นปีที่ผ่านมา ตอนนี้เอกสารก็ตีพิมพ์เป็น RFC7693 เรียบร้อยแล้ว

ไมโครซอฟท์เข้าซื้อบริษัทซอฟต์แวร์ความปลอดภัย Secure Islands จากอิสราเอล เจ้าของผลิตภัณฑ์ด้านความปลอดภัยข้อมูล (data security) ชื่อ IQProtector เพื่อนำมาใช้กับ Azure Rights Management Service บริการคลาวด์ของไมโครซอฟท์เอง

ไมโครซอฟท์ไม่ได้เปิดเผยมูลค่าการซื้อกิจการครั้งนี้ บอกแค่ว่า Secure Islands เป็นพาร์ทเนอร์ใกล้ชิดกับไมโครซอฟท์มานาน หลังการซื้อกิจการแล้ว Secure Islands จะยังขายผลิตภัณฑ์ของตัวเองและให้บริการลูกค้าเดิมต่อไป

ที่ผ่านมา ไมโครซอฟท์ซื้อบริษัทความปลอดภัยจากอิสราเอลมาแล้วหลายราย เช่น Aorato ในปี 2014 และ Adallom เมื่อเดือนกันยายน 2015

ผู้ดูแลระบบลินุกซ์แต่ใช้งานผ่านเดสก์ทอปวินโดวส์คงรู้จัก PuTTY กันแทบทุกคน เมื่อสองวันก่อนทางโครงการก็ออกเวอร์ชั่นใหม่แก้ช่องโหว่สำคัญออกมาแล้ว ควรรีบอัพเดตกัน

ช่องโหว่นี้อาศัยการวางอักขระที่เป็น escape sequence อย่างจงใจไปในไฟล์เพื่อกระตุ้นบั๊ก integer overflow การโจมตีจึงทำได้ในกรณีที่ผู้โจมตีสามารถวางไฟล์บนเซิร์ฟเวอร์ และล่อให้ผู้ดูแลระบบล็อกอินเข้าไปสั่ง cat ไฟล์เหล่านั้นขึ้นมาดู โดยช่องโหว่กระทบตั้งแต่เวอร์ชั่น 0.54 มาจนถึง 0.65

แม้จะเป็นการออกเวอร์ชั่นใหม่เพื่อแก้ช่องโหว่ แต่ก็มีอัพเดตบั๊กเล็กๆ น้อยๆ เช่น การส่ง Unicode และเพิ่มฟีเจอร์การออกล็อกไฟล์

มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ที่แพร่ระบาดหนักและสร้างความเสียหายได้มากตระกูลหนึ่งคือกลุ่ม CryptoWall ที่ประมาณการว่าสร้างความเสียหายไปแล้วเป็นมูลค่าถึง 325 ล้านดอลลาร์ ตอนนี้ทาง Heimdal Security ก็รายงานวิเคราะห์ถึง Cryptowall 4.0 ที่มีการปรับปรุงใหม่ เปลี่ยนแปลงสำคัญ 3 ด้าน ได้แก่

มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่มีเทคนิคสารพัดเพื่อขู่ให้เหยื่อจ่ายค่าไถ่ ก่อนหน้านี้มักเป็นการขู่ว่าพบข้อมูลผิดกฎหมายในเครื่อง แต่โดยทั่วไปแล้วหากเราสำรองข้อมูลเอาไว้ มัลแวร์เหล่านี้ก็สร้างความเสียหายได้ไม่มากนัก ล่าสุดมัลแวร์ Chimera เลือกขู่ที่จะเปิดเผยข้อมูลสู่สาธารณะเพื่อกดดันให้เหยื่อจ่ายเงินค่าไถ่

รายงานการแพร่กระจายของ Chimera อาศัยการส่งลิงก์ทางอีเมล และระบุว่าข้อมูลเพิ่มเติมอยู่ใน Dropbox เมื่อเหยื่อดาวน์โหลดและรันโปรแกรม มัลแวร์ก็จะเริ่มเข้ารหัสไฟล์ทั้งหมดในเครื่องและในไดรฟ์ที่เชื่อมต่อผ่านเครือข่ายทันที เมื่อบูตเครื่องใหม่มัลแวร์จะแสดงหน้าจอเตือนว่าข้อมูลถูกเข้ารหัส ให้จ่ายเงินเพื่อถอดรหัส

ไมโครซอฟท์มีกำหนดการหยุดรองรับใบรับรองที่ใช้ SHA-1 ในการรับรองในวันที่ 1 มกราคม 2017 แต่งานวิจัยใหม่ๆ ก็แสดงความน่ากลัวของการใช้ SHA-1 มากขึ้นเรื่อยๆ เมื่อเดือนที่แล้วมอซิลล่าประกาศว่าอาจจะร่นระยะเวลายกเลิก SHA-1 ขึ้นมาเป็นวันที่ 1 กรกฎาคม ตอนนี้ทางไมโครซอฟท์ก็ออกมาประกาศแนวทางเดียวกันแล้ว

ทางไมโครซอฟท์ระบุว่าจะประเมินความจำเป็นร่วมกับเบราว์เซอร์อื่นๆ ต่อไป ระหว่างนี้ผู้ดูแลระบบทั้งหลายก็ควรเร่งอัพเดตใบรับรองของตัวเองกันโดยเร็ว

การกดดันจากผู้ผลิตเบราว์เซอร์รายใหญ่อย่างต่อเนื่องทำให้การอัพเดตใบรับรองเป็นไปอย่างรวดเร็ว ในช่วงเวลาไม่ถึงสองปี ใบรับรองที่เคยใช้ SHA-1 กว่า 70% ถูกอัพเดตเป็น SHA-2 แล้ว

ProtonMail ผู้ให้บริการอีเมลเข้ารหัส ถูกขู่จากกลุ่มแฮกเกอร์เรียกค่าคุ้มครองก่อนจะถูกยิง DDoS เป็นการเตือน จนกระทั่งเว็บเข้าใช้งานไม่ได้ไป 15 นาที และหลังจากนั้นอีกวันก็เริ่มถูกโจมตีอย่างต่อเนื่อง จนกระทั่งแบนวิดท์เกิน 100Gbps ต่อเนื่อง กระทบผู้ใช้บริการศูนย์ข้อมูลเดียวกันทั้งหมด

ทาง ProtonMail ระบุว่าถูกกดดันให้ยอมจ่ายค่าคุ้มครองนี้ไปเสีย และสุดท้ายทางบริษัทก็ยอมจ่าย แต่การโจมตีก็ยังไม่หยุด จนกระทั่งทาง ISP ตัดสินใจหยุดประกาศเน็ตเวิร์คของ ProtonMail แทนเพื่อให้หยุดทราฟิกที่ยิงเข้ามา

บริษัทความปลอดภัย Lookout ตรวจสอบแอพชื่อดังบน Android ที่ถูกดูดไฟล์จาก Google Play Store ไปไว้บนร้านขายแอพ third party รายอื่นๆ และพบว่าแอพกว่า 20,000 ตัวถูกฝังโฆษณา (adware/malware แล้วแต่จะเรียก) ที่เข้าถึงสิทธิ root ของระบบได้ด้วย

Lookout พบว่ามัลแวร์รุ่นใหม่ซ่อนตัวเนียนกว่าเดิมมาก มิหนำซ้ำ เมื่อติดตั้งแอพลงในเครื่องแล้ว มันจะแอบ root เครื่องเราโดยไม่ให้รู้ตัว (โดยใช้ช่องโหว่ของ Android ที่รู้จักกันในวงการ root อยู่แล้ว) ส่งผลให้ผู้ใช้ไม่สามารถลบมัลแวร์เหล่านี้ทิ้งได้ง่ายๆ และถ้าแฟลชรอมใหม่ไม่เป็นก็จำเป็นต้องซื้อเครื่องใหม่เลยด้วยซ้ำ