เมื่อวานนี้กลุ่ม F5CyberArmy เผยแพร่บัญชีลูกค้าบางส่วนของ CAT Telecom วันนี้ทวิตเตอร์ ZeroFlops ออกมาระบุว่าเว็บกองทัพภาคที่ 3 รั่วออกมาแล้ว โดยแสดงภาพเป็นชื่อฐานข้อมูล แต่ไม่ได้โพสตัวฐานข้อมูลแต่อย่างใด และลบทวีตนี้ออกไปภายหลัง
ZeroFlops ระบุว่ารัฐบาลควรปรับปรุงความปลอดภัยของตัวเองก่อนจะมายุ่งกับความเป็นส่วนตัว
ทางฝั่งดร.อุตตม สาวนายน รัฐมนตรีกระทรวงไอซีทีโพสทวิตเตอร์ระบุว่า ระบุว่าข้อมูลที่เก็บรักษาเป็นไปตามมาตรฐานความปลอดภัยคอมพิวเตอร์ แลข้อมูลในส่วนที่ให้บริการนั้นมีการสำรองข้อมูลไว้เป็นระยะอยู่แล้ว ทางฝั่งนายกรัฐมนตรีสั่งให้หน่วยงานรัฐประสานงานกันเพื่อให้บริการได้ต่อเนื่อง
ตามที่กลุ่มแฮกเกอร์นิรนาม (Anonymous) ประกาศไว้เมื่อวานจะเข้าจู่โจม CAT Telecom หน่วยงานที่เห็นชอบกับแผนการ Single Gateway โดยระบุว่าเป็นแผนการต่อต้านนโยบายข้างต้นผ่าน #OpSingleGateway ตอนนี้ปฏิบัติการดังกล่าวได้เริ่มต้นแล้ว
เบราว์เซอร์หลักๆ จากกูเกิล, มอซิลล่า, และไมโครซอฟท์ล้วนประกาศแนวทางการเลิกรองรับใบรับรองดิจิตอลที่ใช้ SHA-1 (อ่านบทความอธิบาย) แต่การโจมตีรอบล่าสุดแสดงว่าต้นทุนการโจมตีกำลังถูกลงอย่างรวดเร็ว และเป็นไปได้ที่เราจะเห็น SHA-1 ค่าซ้ำกันในเร็วๆ นี้ ทางมอซิลล่าจึงออกมาแจ้งเตือนว่าอาจจะร่นกำหนดเวลาการหยุดรองรับ SHA-1 เข้ามา เป็นวันที่ 1 กรกฎาคม 2016 หรือเลื่อนขึ้นมา 6 เดือน
นอกจากนี้ ในไฟร์ฟอกซ์เวอร์ชั่น 43 จะเริ่มเตือนใบรับรองที่ใช้ SHA-1 ที่ออกใบรับรองหลังวันที่ 1 มกราคม 2016 แนวทางนี้จะเร็วกว่ากำหนดการของโครมขึ้นมาอีกหลายเดือน
Richard Barnes หัวหน้าฝ่ายความปลอดภัยของไฟร์ฟอกซ์ ทวีตประกาศมาตรการความปลอดภัยล่าสุดในไฟร์ฟอกซ์เวอร์ชั่น 44 ที่จะเตือนผู้ใช้ว่าเว็บไม่ปลอดภัย หากหน้าเว็บนั้นๆ มีแบบฟอร์มรหัสผ่านอยู่ในเว็บ และตัวเว็บเชื่อมต่อแบบไม่เข้ารหัส
แนวทางนี้เป็นเพียงการทดสอบในรุ่น Nightly เท่านั้น รุ่นที่เราใช้งานกันทั่วไปยังเป็นรุ่น 41 และกว่ารุ่น 44 จะออกมาจริงยังต้องใช้เวลาอีกหลายเดือน และยังไม่มีการยืนยันว่าแนวทางนี้จะใช้งานในรุ่นจริง
พล.อ.สมหมาย เกาฏีระ ผู้บัญชาการทหารสูงสุดคนใหม่ (รับตำแหน่ง 1 ตุลาคม 2558) นัดประชุมผู้บัญชาการเหล่าทัพครั้งแรกของปีงบประมาณ 2559 เมื่อวันที่ 19 ตุลาคมที่ผ่านมา มีประเด็นหารือหลายอย่าง
ประเด็นที่น่าสนใจคือ พล.อ.สมหมาย ย้ำว่าจะต้องตั้ง "กองสงครามไซเบอร์" ควบคู่กับยุทธศาสตร์ไซเบอร์ของกองทัพไทย เพื่อรับมือกับสงครามไซเบอร์ที่มีความรุนแรงเพิ่มขึ้น อย่างไรก็ตาม ตอนนี้ยังไม่มีรายละเอียดของกองสงครามไซเบอร์ว่าจะมีลักษณะเป็นอย่างไร
พล.อ. ประวิตร วงษ์สุวรรณ รองนายกรัฐมนตรี และรัฐมนตรีว่าการกระทรวงกลาโหม ให้สัมภาษณ์ในประเด็นนี้ว่าเป็นนโยบายเรื่องปฏิรูปกองทัพ โดยกระทรวงกลาโหมจะต้องรับผิดชอบการป้องกันภัยคุกคามรูปแบบใหม่ และไม่เกี่ยวกับนโยบาย Single Gateway แต่อย่างใด
บัตรเครดิตแบบชิปที่บ้านเราใช้งานโดยทั่วไปยังคงไม่มีรายงานการปลอมแปลงในโลกความเป็นจริง ช่วยลดปริมาณการใช้บัตรโดยอาชญากรได้อย่างมาก ในยุโรปหลายประเทศบังคับให้ต้องยืนยันตัวตนด้วยสองปัจจัย เช่น ตัวบัตรชิป และรหัสผ่าน (PIN) ทำให้แม้บัตรจะสูญหายแต่อาชญากรก็นำไปใช้งานไม่ได้ แต่รายงานล่าสุดพบว่าอาชญากรสามารถข้ามระบบตรวจสอบรหัสผ่านได้สำเร็จ ทำให้สามารถใช้บัตรที่ขโมยมาไปจ่ายเงินได้แล้ว
Android 6.0 Marshmallow เปิดตัวมาได้สักระยะ ความเปลี่ยนแปลงสำคัญของรุ่นนี้คือกูเกิลพยายามทำให้อุปกรณ์ส่วนใหญ่เข้ารหัสข้อมูลเป็นมาตรฐาน
ข้อกำหนดความเข้ากันได้กับแอนดรอยด์ (Android Compatibility Definition) ระบุให้อุปกรณ์ทุกชิ้นมีความสามารถเข้ารหัส AES สูงกว่า 50MiB/s จะต้องเข้ารหัสเป็นค่าเริ่มต้นเสมอ ยกเว้นเฉพาะในกรณีที่เป็นอุปกรณ์ที่มีหน่วยความจำต่ำ
ซีพียูสถาปัตยกรรม ARMv8 และ Atom รุ่นใหม่ๆ ล้วนรองรับชุดคำสั่งเร่งความเร็วเข้ารหัส AES ทั้งหมดแล้วในแง่ประสิทธิภาพการเข้ารหัสจึงไม่น่าเป็นคอขวดอีกต่อไป (Apple A7 เข้ารหัส AES ได้สูงสุดถึง 1.6GiB/s) ข้อจำกัดประการเดียวคือเรื่องแรมเท่านั้น
Let's Encrypt ปล่อยใบรับรองทดสอบมาแล้วหนึ่งเดือนเต็ม ตอนนี้ทางโครงการก็ประกาศว่าทาง IdenTrust มารับรอง root CA ของโครงการ (cross-sign) ทำให้ใบรับรองทั้งหมดได้รับความเชื่อถือจากเบราว์เซอร์แล้ว
ทาง IdenTrust รับรองให้ intermediate CA ของ Let's Encrypt สองชุด ได้แก่ Let’s Encrypt Authority X1 และ Let’s Encrypt Authority X2 ตอนนี้ถ้าใครเข้าเว็บทดสอบก็จะไม่มีคำเตือนจากเบราว์เซอร์แล้ว
กำหนดการเริ่มปล่อยใบรับรองฟรีจะเริ่มวันที่ 16 พฤศจิกายนนี้
ที่มา - Let's Encrypt
มีแฮ็กเกอร์รายหนึ่งอ้างว่าแฮ็กบัญชีอีเมลส่วนตัวบน AOL ของ John Brennan ผู้อำนวยการหน่วยข่าวกรองสหรัฐ (CIA) และปล่อยข้อมูลที่ได้จากบัญชี AOL ของเขาสู่สาธารณะ
จุดที่น่าสนใจคือบัญชี AOL ของ Brennan เป็นบัญชีส่วนตัว แต่กลับมีข้อมูลเกี่ยวข้องกับงานของรัฐบาลอยู่จำนวนหนึ่ง เช่น ข้อมูลส่วนตัวของผู้บริหารระดับสูงของ CIA และเอกสารสำคัญอื่นๆ
แฮ็กเกอร์รายนี้ให้สัมภาษณ์กับหนังสือพิมพ์ New York Post ว่ายังเป็นนักเรียนชั้นไฮสกูล ไม่ใช่คนมุสลิม แต่ไม่เห็นด้วยกับนโยบายต่างประเทศของสหรัฐ และสนับสนุนปาเลสไตน์ ส่วนวิธีการแฮ็กใช้กระบวนการ social engineering โดยหลอกพนักงานของบริษัท Verizon ให้บอกข้อมูลส่วนตัวของ Brennan เพื่อใช้รีเซ็ตรหัสผ่านเข้าบัญชี AOL อีกทีหนึ่ง
มาช้าแต่ยังดีกว่าไม่มาสำหรับซัมซุง ที่เพิ่งประกาศอัพเดตเพื่อความปลอดภัยทุกเดือนตามแนวทางของกูเกิลที่มีต่อช่องโหว่ Stagefright ที่มีข่าวมาได้พักใหญ่แล้ว
รายละเอียดการอัพเดตของซัมซุงละเอียดกว่ารายอื่นๆ เพราะนอกจากจะสัญญาแล้ว ยังมาพร้อมกับรายชื่อรุ่นที่จะได้อัพเดตรายเดือนด้วย ทั้งหมดเป็นรุ่นเรือธงที่วางขายในปี 2014-2015 ทั้งสิ้น รายชื่อเต็มๆ ตามนี้
เมื่อวาน Trend Micro รายงานช่องโหว่ใหม่ของ Flash คือช่องโหว่ CVE-2015-7645 ซึ่งมีวิกฤตระดับที่มีการโจมตีโดยใช้ช่องโหว่นี้มาแล้ว ตอนนี้ Adobe ก็ออกแพทซ์มาแล้ว เร็วกว่าที่คาดไว้คือวันที่ 19 ตุลาคมนี้
สำหรับช่องโหว่นี้ Adobe ให้อยู่ในความสำคัญระดับ 1 ทุกแพลตฟอร์ม (ยกเว้นบน Linux ให้ความสำคัญระดับ 3) จึงแนะนำให้ผู้ใช้ Flash ทุกคนและทุกแพลตฟอร์มอัพเดตทันทีครับ
Chrome 46 ประกาศนโยบายใหม่ให้กับเว็บที่ปรับไปใช้ HTTPS แต่มีความผิดพลาดเล็กน้อย เช่นการใส่ภาพจากเว็บที่เป็น HTTP (mixed content) แม้ว่าการที่มีเนื้อหาบางส่วนส่งมายังเบราว์เซอร์โดยไม่เข้ารหัส แต่โดยทั่วไปแล้วก็ยังปลอดภัยกว่าเว็บที่เป็น HTTP
แนวทางนี้เว็บที่เป็น HTTPS แต่ดึงเนื้อหาจาก HTTP จะไม่แสดงกุญแจสีเขียวแต่เป็นโลโก้รูปเอกสารพร้อมกับบอกว่าส่งข้อมูลผ่าน HTTPS ทางทีมงานเชื่อว่าการเปลี่ยนแปลงเช่นนี้ทำให้ผู้ใช้โดยทั่วไปไม่รู้สึกว่าเป็นการเตือนว่าอันตราย เป็นการสนับสนุนให้เว็บที่อาจจะยังปรับปรุงไปใช้ HTTPS ทั้งหมดไม่ได้ ตัดสินใจเปิด HTTPS ตลอดเวลาได้ง่ายขึ้น
หลังจากเมื่อวานนี้ทางอโดบีออกแพตช์ Flash ช่องโหว่สำคัญ ทาง Trend Micro ก็ออกมารายงานช่องโหว่อีกตัวหนึ่ง คือ CVE-2015-7645 เป็นช่องโหว่ระดับวิกฤติที่มีการโจมตีแล้ว
กลุ่มที่ใช้ช่องโหว่นี้ทาง Trend Micro ตั้งชื่อให้ว่ากลุ่ม Pawn Storm อาศัยการส่งอีเมลข่าวการเมืองระหว่างประเทศไปยังเป้าหมายอย่างเจาะจงกลุ่ม เช่น หน่วยงานรัฐและสื่อมวลชนในสหรัฐฯ และประเทศพันธมิตร, กลุ่มต่อต้านรัฐบาลรัสเซีย, สื่อ ทหาร และหน่วยงานรัฐบาลยูเครน, กลุ่มชาตินาโต้
ทางอโดบีออกมารับทราบช่องโหว่นี้แล้ว โดยยืนยันว่ากระทบ Adobe Flash Player บนวินโดวส์ แมค และลินุกซ์ คาดว่าจะออกแพตช์ได้ภายในวันที่ 19 ตุลาคมนี้
กลุ่ม Bufferbloat และผู้เชี่ยวชาญอินเทอร์เน็ตหลายรายรวมถึง Vint Cerf ลงนามในจดหมายเปิดผนึกถึง FCC เรียกร้องให้แก้ไขร่างข้อบังคับการขออนุญาตเราท์เตอร์ที่ปรับแต่งคลื่นด้วยซอฟต์แวร์ได้ (software defined radio - SDR) เพื่อให้อินเทอร์เน็ตมีความปลอดภัยมากยิ่งขึ้น
ก่อนหน้านี้การนำเสนอข้อบังคับนี้ มีข้อหนึ่งระบุว่าผู้ผลิตต้องมีมาตรการป้องกันการปรับแต่งซอฟต์แวร์ในตัวเราท์เตอร์ รวมถึงการห้ามติดตั้งเฟิร์มแวร์อิสระอย่าง OpenWRT ทำให้ผู้สนับสนุนเฟิร์มแวร์โอเพนซอร์สแสดงความไม่พอใจ
ข้อเสนอของกลุ่ม Bufferbloat มีด้วยกัน 5 ข้อ
ไมโครซอฟท์ปล่อยอัพเดตความปลอดภัยสำหรับเดือนตุลาคม มีอัพเดตทั้งหมด 6 รายการเป็นอัพเดตสำคัญระดับวิกฤติ 4 รายการ และระดับสำคัญ 2 รายการ ช่องโหว่ส่วนมากเกี่ยวกับวินโดวส์และเบราว์เซอร์ทั้ง IE และ Edge ก็ควรรีพอัพเดตกันครับ
Netgear ปล่อยเฟิร์มแวร์รุ่นอัพเดตแก้ช่องโหว่ที่ทำให้เราท์เตอร์ถูกเจาะเพื่อส่งข้อมูล DNS ของผู้ใช้ไปยังเซิร์ฟเวอร์ที่แฮกเกอร์ควบคุม โดยเฟิร์มแวร์รุ่นใหม่ เป็นรุ่น N300-1.1.0.32_101.img
เราท์เตอร์ที่ได้รับผลกระทบได้แก่ JNR1010v2, WNR614, WNR618, JWNR2000v5, WNR2020, JWNR2010v5, WNR1000v4, และ WNR2020v2 ในข่าวเก่าที่รายงานช่องโหว่นี้ ผู้ใช้ pattharaphol ใน Blognone ได้เข้ามาระบุในข่าวเก่าระบุไว้ว่ามีรุ่นที่เข้าไทยรุ่นเดียวคือ JWNR2010v5 ก็ขอให้ตรวจสอบและรีบอัพเดตกันครับ
ผู้ที่สนใจด้านความปลอดภัยคอมพิวเตอร์ต้องมีความรู้หลากหลาย แต่ความรู้ความเชี่ยวชาญสำคัญคือการสอบสวนและแกะรอยการบุกรุก (computer forensic) เดือนนี้ทาง CAT cyfence เปิดโอกาสให้นักศึกษาระดับมหาวิทยาลัยทั่วประเทศ เข้าทดสอบฝึมือในการสอบสวนแกะรอยการกระทำผิด ในงาน CAT CYFENCE CYBERCOP CONTEST 2015 หรือ C4:2015
งาน C4:2015 จะแบ่งเป็นสองรอบ คือรอบออนไลน์ในวันที่ 20-21 ตุลาคมนี้ และรอบตัดเชือกในวันที่ 4 พฤศจิกายนนี้
ได้เวลา Patch Tuesday ของไมโครซอฟท์ประจำเดือนตุลาคม 2015 มีแพตช์ใหม่หลายตัว ตัวที่น่าสนใจคือช่องโหว่หมายเลข MS15-106 ระดับรุนแรง (critical) กระทบ IE ทุกรุ่นย้อนไปตั้งแต่ Windows Vista (XP ก็น่าจะโดนด้วยแต่หมดอายุขัยแล้ว)
อย่างไรก็ตาม ช่องโหว่นี้ไม่มีผลกับ Microsoft Edge ซึ่งเป็นเบราว์เซอร์คนละตัวกัน
LINE เปิดตัวฟีเจอร์ Letter Sealing เข้ารหัสข้อความเมื่อแชตห้องแยกและแชร์ตำแหน่งระหว่างกัน ฟีเจอร์นี้ทำให้เนื้อหาในแชตแบบไม่เข้ารหัสถูกเก็บอยู่ในอุปกรณ์ของผู้ใช้เท่านั้น โดยผู้ใช้ที่แชตห้องแยกหนึ่งต่อหนึ่งโดยสองฝ่ายเปิดฟีเจอร์นี้จะถูกเข้ารหัสโดยอัตโนมัติ
สำหรับผู้ใช้บนแอนดรอยด์ที่ใช้บนสมาร์ตโฟนอย่างเดียวทาง LINE จะเปิดฟีเจอร์นี้โดยอัตโนมัติ ส่วนผู้ใช้บน iOS และแอนดรอยด์ที่ใช้บนหลายอุปกรณ์จะเริ่มเปิดใช้งานอัตโนมัติในอนาคต
รองรับสำหรับผู้ใช้ LINE 5.3.0 ขึ้นไปเท่านั้น คนส่วนมากน่าจะได้รับอัพเดตกันแล้ว ก็สามารถเปิดใช้งานได้ผ่านเมนู More > Settings > Chats & Voice Calls > Letter Sealing
Daniel Haake และ ShellShock Labs พบช่องโหว่ของเราท์เตอร์ Netgear ในเฟิร์มแวร์ N300_1.1.0.31_1.0.1.img และ N300-1.1.0.28_1.0.1 ทำให้แฮกเกอร์สามารถเข้าควบคุมเครื่องได้โดยไม่ต้องรู้รหัสผ่าน
ทาง Compass Security พบช่องโหว่นี้เมื่อเข้าตรวจสอบเราท์เตอร์ของเหยื่อรายหนึ่งที่พบว่าเราท์เตอร์ไม่เสถียรและพบว่าตัวเราท์เตอร์ส่ง DNS Query ไปยังเซิร์ฟเวอร์แห่งหนึ่ง เมื่อทางทีมงานสำรวจเซิร์ฟเวอร์พบว่ามีเครื่องถูกโจมตีแบบเดียวกันกว่าหมื่นเครื่อง
ทาง Compass Security พยายามติดต่อทาง Netgear ตั้งแต่เดือนกรกฎาคมที่ผ่านมา และทาง Netgear ส่งเฟิร์มแวร์รุ่นใหม่มาให้ทดสอบเมื่อเดือนกันยายน แต่ยังไม่ปล่อยเฟิร์มแวร์นี้สู่สาธารณะ จนกระทั่งทาง ShellShock Labs เปิดเผยช่องโหว่นี้ออกมาก่อน
บริการใหม่จาก AWS ที่เปิดตัวมาเมื่อวานนี้มีบริการน่าสนใจตัวหนึ่งคือ Amazon Inspector เป็นเครื่องมือสแกนความปลอดภัย แม้จะไม่ได้สแกนระดับลึกนัก แต่การที่มันพร้อมใช้งานในคอนโซลของ AWS เลยก็น่าจะทำให้มันได้รับความนิยม
ทีมวิจัยร่วมกันสามชาติ เนเธอร์แลนด์, ฝรั่งเศส, และสิงคโปร์ แถลงผลงานวิจัยการสร้างค่าที่มีค่าแฮช SHA1 ตรงกัน (SHA1 collision) ด้วยต้นทุนเพียง 75,000 ถึง 120,000 ดอลลาร์หากเช่าเครื่องจาก Amazon EC2 จากเดิมที่ Bruce Schneier เคยประมาณการณ์ว่าปี 2015 จะใช้ทุนประมาณ 700,000 ดอลลาร์
งานวิจัยนี้แสดงความง่ายของการสร้างข้อมูลที่มีค่าแฮชตรงกัน จากฟังก์ชั่น SHA1 compression function โดยคลัสเตอร์ของทีมวิจัยสามารถปลอมค่าแฮชจากฟังก์ชั่นนี้ได้ในเวลาเพียง 10 วัน แม้ว่าจะไม่ได้แสดงการปลอม SHA1 โดยตรง แต่ทีมงานวิจัยก็ระบุว่ากระบวนการปลอมค่าจากฟังก์ชั่นที่นำเสนอแสดงให้เห็นว่าเป็นไปได้ที่จะปลอมค่า SHA1 โดยตรงด้วยต้นทุนที่ต่ำกว่าที่เคยคาดกันมาก
สิ่งหนึ่งที่คนทั่วไปชอบทำกันเวลาจะโชว์ว่าตัวเองได้ขึ้นเครื่องบินนั้นก็คือการถ่ายรูปตั๋ว (boarding pass) แล้วอัพโหลดขึ้น social network แต่การทำอย่างนั้นอาจเป็นการเปิดเผยข้อมูลส่วนตัวโดยที่เราคาดไม่ถึงได้
Brian Krebs บล็อกเกอร์ด้านความปลอดภัยชื่อดังที่เคยมีข่าวน่าตื่นเต้นเกี่ยวกับตัวเขามากมาย (อ่านเพิ่มได้จากข่าวเก่า) เขียนเล่าว่ามีผู้อ่านบล็อกของเขาคนหนึ่งชื่อ Cory ได้สงสัยว่าบาร์โค้ดที่ปรากฎบนตั๋วเครื่องบินนั้นบอกอะไรได้บ้างหลังจากที่มีเพื่อนบนเฟซบุ๊กคนหนึ่งโพสรูปตั๋ว เขาจึงสแกนบาร์โค้ดบนตั๋วเพื่อหาข้อมูลนี้
จากกรณีการรวมตัว DDoS ใส่เว็บไซต์หน่วยงานภาครัฐเมื่อคืนวันที่ 30 กันยายน 2558 เพื่อเป็นสัญลักษณ์ประท้วงต่อต้านโครงการ Single Gateway ของรัฐบาล เมื่อวานนี้ พล.ต.สรรเสริญ แก้วกำเนิด โฆษกประจำสำนักนายกรัฐมนตรี ได้ออกชี้แจงภายหลังการประชุมว่า จากการรวมตัวกันกระทำการดังกล่าว เป็นการทำผิดกฎหมายตาม พรบ.คอมพิวเตอร์ โดยชัดเจน ซึ่งขณะนี้ได้ให้เจ้าหน้าที่ทำการเก็บร่องรอยการทำ DDoS เอาไว้ และถ้ามีเหตุการณ์เช่นนี้เกิดขึ้นอีก ก็พร้อมที่จะฟ้องเอาผิดต่อผู้กระทำทุกราย
ไม่ถึงหนึ่งสัปดาห์หลังบริษัท Zimperium ค้นพบช่องโหว่ Stagefright 2.0 ที่เปิดโอกาสให้อุปกรณ์ที่รัน Android ถูกควบคุมได้เมื่อเปิดไฟล์ MP3 หรือ MP4 ที่ถูกทำขึ้นมาเป็นพิเศษ วันนี้กูเกิลปล่อยแพตช์อุดช่องโหว่ดังกล่าวให้อุปกรณ์ Nexus เรียบร้อยแล้วผ่าน OTA และจะปล่อยลงโครงการ AOSP ภายใน 48 ชั่วโมงข้างหน้า เพื่อให้ผู้ผลิตและนักพัฒนารอมเอาไปแพตช์ผลิตภัณฑ์ของตนต่อไป
ที่มา - Infosecurity