ในงานสัมมนาประจำปีด้านแฮกเกอร์ที่ลาสเวกัส Def Con ได้มีการประกาศมอบรางวัลให้กับ CrowdStrike โดย Michael Sentonas ประธานบริษัทได้รับรางวัลนี้บนเวทีด้วย

รางวัลที่มอบให้เป็นของ Pwnie Awards ที่มอบให้ผู้เกี่ยวข้องกับระบบด้านข้อมูลความปลอดภัยต่าง ๆ สำหรับ CrowdStrike ได้รับรางวัล Most Epic Fail (ความล้มเหลวครั้งใหญ่ที่สุด) จากเหตุการณ์อัปเดตซอฟต์แวร์ที่ทำให้ระบบปฏิบัติการ Windows จอฟ้าไปทั่วโลกสร้างผลกระทบในวงกว้าง ซึ่ง CrowdStrike ก็รับรางวัลนี้เพื่อบอกว่าบริษัทรับทราบต่อเหตุการณ์ที่เกิดขึ้น

Hyrum Anderson นักวิจัยด้านความปลอดภัยจากบริษัท Endgame โชว์ผลงานวิจัยการใช้ AI สร้างมัลแวร์ที่แอนตี้ไวรัสจับไม่ได้

แนวคิดของเรื่องนี้คือนำโค้ดมัลแวร์เดิมที่เป็นไบนารี มาดัดแปลงเพียงเล็กน้อย (น้อยมากๆ ระดับแก้ไม่กี่ไบต์) โดยให้ AI ทดลองหาวิธีแปลงที่น่าจะหลุดรอดการตรวจจับไปเรื่อยๆ จนกว่าจะได้วิธีการที่ดีที่สุด เช่น เติมเลขศูนย์ เติมไบต์สุ่ม เปลี่ยนชื่อบางเซคชั่นในไฟล์ ฯลฯ

AI ตัวนี้ใช้เวลาเทรน 15 ชั่วโมงกับตัวอย่างโค้ด 100,000 ตัวอย่าง (ไม่ระบุว่าทดสอบกับแอนตี้ไวรัสตัวไหน) ผลคือ AI สามารถสร้างโค้ดมัลแวร์ที่มีโอกาสรอดการตรวจจับได้ถึง 60%

ที่งาน DEFCON นักพัฒนาสองคนคือ Ryan Lackey จาก Cloudflare และ Marc Rogers จาก Lookout นำเสนองานพัฒนาเฟิร์มแวร์เราท์เตอร์เพื่อความเป็นส่วนตัวที่ชื่อว่า PORTAL (Personal Onion Router To Assure Liberty)

จุดเด่นของ PORTAL คือมันใช้ติดตั้งบนเราท์เตอร์ราคาถูก โดยมีเงื่อนไขว่าอาจจะต้องดัดแปลงชิปบางตัว (ติดตั้งแบบไม่ดัดแปลงได้แต่จะต้องใช้ microSD ประกอบ) เมื่อติดตั้งแล้ว PORTAL จะป้องกันข้อมูลไว้ด้วยมาตรการหลายอย่าง เช่น

Def Con Hacking Conference เป็นงานสัมมนาด้านความปลอดภัยงานสำคัญของโลก (ดูข่าวเก่าของ Blognone จากแท็ก DefCon) งานครั้งต่อไปจะจัดที่ลาสเวกัสช่วงเดือนสิงหาคมนี้

อย่างไรก็ตาม ด้วยความสัมพันธ์ที่ย่ำแย่ระหว่างสหรัฐและจีนในประเด็นเรื่องการจารกรรมไซเบอร์ในช่วงหลัง ทำให้ทางการสหรัฐอาจพิจารณาไม่ให้วีซ่ากับแฮ็กเกอร์ชาวจีนที่จะเข้าร่วมงานสัมมนาครั้งนี้ (รวมถึงงาน Black Hat ที่จัดขึ้นพร้อมกันที่ลาสเวกัสด้วย)

ท่าทีของรัฐบาลสหรัฐแสดงออกชัดเจนว่า ต้องการกดดันให้ทางการจีนควบคุมอาชญากรรมไซเบอร์ที่บุกเข้ามาขโมยข้อมูลในสหรัฐ

ที่มา - Reuters

โทรศัพท์ของเรากลายเป็นของสำคัญขึ้นเรื่อยๆ เมื่อเราเก็บข้อมูลส่วนตัวไว้ในโทรศัพท์จำนวนมาก คำแนะนำทั่วไปคือให้ล็อกโทรศัพท์ไว้เสมอด้วยรหัสจะได้ป้องกันได้ในกรณีที่โทรศัพท์หายไป แต่การทดลองล่าสุดแสดงให้เห็นว่าระบบการล็อกนี้ใช้ไม่ได้กับแอนดรอยด์

ระบบล็อกด้วย PIN เพียงสี่หลักไม่สามารถป้องกันการไล่เดาทีละหมายเลขได้คงไม่ใช่เรื่องแปลก แอนดรอยด์และ iOS ต่างแก้ปัญหาด้วยการเพิ่มเวลาดีเลย์เมื่อกดรหัสผิดพลาด แต่ในกรณี iOS นั้นเวลาจะเพิ่มขึ้นเรื่อยๆ ทุกครั้งที่กดผิด จนกระทั่งอาจจะต้องรอหลายชั่วโมงต่อการกดแต่ละครั้ง แต่แอนดรอยด์กลับมีรูปแบบการรอเพียง 30 วินาทีทุกๆ รอบที่กดผิด 5 ครั้ง เมื่อรูปแบบของรหัสผ่านมีได้เพียง 10,000 รูปแบบ การกดรหัสทั้งหมดก็ทำได้ในเวลาเพียง 19 ชั่วโมง 24 นาทีเท่านั้น

โครงการ PRISM ทำให้แฮคเกอร์ทั่วโลกไม่พอใจรัฐบาลสหรัฐฯ ที่มีโครงการดักฟัง แม้จะอ้างว่าไม่ได้ดักฟังประชาชนสหรัฐฯ เองก็ตามที งานประชุมด้านความปลอดภัย DEF CON ที่จัดมาถึง 21 ปี มักจะมีเจ้าหน้าที่รัฐเข้ามาร่วมงานด้วยเสมอๆ จนกระทั่งมีเกมตามหาตัว ในปีนี้ท่าทีของงานกลายเป็นการประกาศไม่ต้อนรับ

Jeff Moss ผู้จัดงาน DEF CON ระบุว่างานจัดขึ้นมาด้วยความเชื่อใจกันและกัน แ่ต่การเปิดเผยข้อมูลช่วงหลังทำให้ชุมชนแฮคเกอร์ไม่สะดวกใจกับความสัมพันธ์กับหน่วยงานรัฐอีกต่อไป และทางที่ดีกับทุกคนคือให้เจ้าหน้าที่รัฐถอยออกไปจากงานนี้สักระยะ

ในความเป็นจริงคงไม่มีใครห้ามไม่ให้เจ้าหน้าที่รัฐไปงานได้ แต่ท่าทีเช่นนี้ก็เป็นการแสดงความไม่ต้อนรับอย่างชัดเจน

Huawei เป็นแบรนด์ที่จีนที่เริ่มบุกตลาดระดับผู้ให้บริการได้มากขึ้นเรื่อยๆ จากการตัดราคาคู่แข่งอย่างหนักในช่วงหลัง แต่ที่งาน DefCon นักวิจัยด้านความปลอดภัย Felix Lindner ก็ขึ้นเวทีชำแหละปัญหาความปลอดภัยของสินค้า Huawei ทีละจุดอย่างมาก

การนำเสนอของ Felix (PDF) ไล่ประเด็นนับแต่กระบวนการจัดการกับปัญหาความปลอดภัย โดยเขาชี้ว่า Huawei ไม่มีการรายงานและคำแนะนำด้านความปลอดภัยออกมาสู่สาธารณะ ไม่มีการอัพเดตตามรายการคำแนะนำความปลอดภัยเหล่านั้น โดยลูกค้าต้องติดต่อเป็นกรณีไปเพื่อขออัพเดตด้านความปลอดภัย

ที่งาน DefCon ปีนี้ Moxie Marlinspike ทีมงาน CloudCracker ได้นำเสนอช่องโหว่ใหม่ของ MS-CHAPv2 ที่นิยมใช้กับการยืนยันตัวผู้ใช้ก่อนเชื่อมต่อ VPN และ WPA2-Enterprise โดยทีมงานได้วิเคราะห์จุดอ่อนของ MS-CHAPv2 แล้วพบว่าแกนกลางของการป้องกันข้อมูลเชื่อมต่อนั้นอยู่ที่การเข้ารหัส DES ของ ChallengeHash โดยใช้คีย์เป็นค่า MD4 ของรหัสผ่าน ปัญหาคือในการเข้ารหัส DES นั้น MS-CHAPv2 กลับใช้ค่าของ MD4 เพียง 7 ไบต์ ทำให้จำนวนคีย์ที่เป็นไปได้มีแค่ 2^56

พร้อมกับการพบช่องโหว่นี้ บริษัท Pico Computing ของ David Hulton ได้สร้างเครื่องคอมพิวเตอร์เฉพาะที่ใช้เจาะรหัส DES ได้ 18,000 ล้านคีย์ต่อวินาที ทำให้สามารถแครก DES ที่มีคีย์ 2^56 นี้ได้ภายในเวลา 23 ชั่วโมง โดยเฉลี่ยอยู่ที่ 12 ชั่วโมงเท่านั้น

ในงานสัมมนาแฮกเกอร์ DefCon 20 ที่เพิ่งจบลงเมื่อวันที่ 29 กรกฎาคมที่ผ่านมา มีกลุ่มแฮกเกอร์ผู้เข้าร่วมงานอย่าง Ninja Networks ได้สร้างเครือข่ายสำหรับมือถือขึ้นมาเองด้วยเครื่องมือที่อยู่ในรถตู้ โดยใช้ชื่อเครือข่ายว่า "Ninja-Tel"

แต่ด้วยความที่เครือข่าย Ninja-Tel นั้นไม่สามารถใช้ร่วมกับมือถือทั่วไปได้ จึงแจกมือถือสำหรับใช้กับเครือข่าย Ninja-Tel โดยเฉพาะ นั่นก็คือ HTC One V รุ่นใช้แอนดรอยด์ปรับแต่งชื่อว่า "Ninja OS" สำหรับใช้ในงาน DefCon 20 จำนวน 650 เครื่อง โดยตัวเครือข่ายใช้ได้เฉพาะในโรงแรม Rio ซึ่งเป็นสถานที่จัดงานเท่านั้น