เป็นประจำสำหรับ Patch Tuesday ซึ่งจะเป็นการอัพเดตแพตซ์ด้านความปลอดภัยของค่ายไมโครซอฟท์ครับ สำหรับวันอังคารนี้ค่อนข้างพิเศษเพราะมีแพตซ์จากอโดบี และจากกูเกิลด้วย ผู้ใช้ควรจะรีบอัพเดตทันทีเพื่อความปลอดภัยนะครับ

แฮกเกอร์กลุ่ม Ghostshell ทำการเผยแพร่ฐานข้อมูลของนาซา เพนตากอน เอฟบีไอ รวมไปถึงองค์การอวกาศแห่งยุโรป (ESA) จำนวนกว่า 1.6 ล้านรายการ โดยอ้างว่าเป็นผลจากการปฏิบัติการภายใต้โครงการที่ชื่อว่า ProjectWhiteFox แฮกเกอร์กลุ่มนี้ยังอ้างอีกด้วยว่าปฏิบัติการใช้เวลากว่าหนึ่งปีโดยได้รับการสนับสนุนจากกลุ่มแฮกเกอร์ทั่วโลกด้วย

ที่ประชุมวิชาการ Password^12 บริษัท Stricture Consulting Group ได้นำเสนอการสร้างคลัสเตอร์ GPU เจาะรหัสผ่าน NTLM ทุกรูปแบบที่เป็นไปได้ของตัวอักษรเล็ก/ใหญ่, ตัวเลข, และสัญลักษณ์ที่ความยาวไม่เกิน 8 อักขระ ได้ในเวลาเพียง 5.5 ชั่วโมงเท่านั้น

หัวใจของโครงการนี้คือ VCL ที่สร้างให้ลินุกซ์ที่รันแอพพลิเคชั่น OpenCL สามารถรันบนคลัสเตอร์ได้เหมือนรันบนเครื่องเดียวกัน มีข้อจำกัดเพียงแค่เครื่องหลักต้องมีหน่วยความจำมากๆ กับเน็ตเวิร์คต้องมี latency ต่ำๆ เท่านั้น

ปัญหาของ NTLM คือ มันเป็นอัลกอริทึมแฮชที่ทำงานได้เร็วเกินไป คลัสเตอร์ที่ใช้การ์ดกราฟิก 25 คอร์สามารถแฮชได้ถึง 350 พันล้านแฮชต่อวินาที ขณะที่อัลกอลิทึมที่ช้าๆ เช่น bcrypt สามารถทำได้เพียง 71,000 แฮชต่อวินาทีเท่านั้น

ในปี 2006 ขณะที่ไมโครซอฟท์กำลังเตรียมวางตลาด Windows Vista ได้จ้างแฮกเกอร์เข้ามาตรวจสอบความปลอดภัยอีกครั้ง โดยมั่นใจว่าจะเจอปัญหาไม่มากนัก แต่ปรากฎว่าเจอช่องโหว่จำนวนมากจนกระทั่งมีผลสำคัญให้ไมโครซอฟท์ต้องเลื่อนการวางจำหน่ายออกไป

แฮกเกอร์คนนั้น คือ Kristin Paget ที่เพิ่งหมดสัญญาไม่เปิดเผยข้อมูลกับไมโครซอฟท์เมื่อปีที่แล้ว จึงสามารถเปิดเผยได้ว่าทำอะไรไปบ้างระหว่างการทำงานกับไมโครซอฟท์ (วิดีโอ WMV) และตอนนี้เธอก็ไปทำงานกับแอปเปิลในตำแหน่ง Core OS Security Researcher

Kristin Paget เป็นหญิงข้ามเพศที่เปลี่ยนเพศมาเมื่อปีที่แล้ว ก่อนหน้านี้เธอชื่อ Chris Paget

Facebook จัด Hacktober ซึ่งเป็นกิจกรรมที่จะมุ่งฝึกสอนพนักงานให้สามารถรับมือเกี่ยวกับปัญหาด้านความปลอดภัยได้ โดยการจัดตั้งนี้ได้รับผลมาจากการทำ "National Cyber Security Awareness Month" ของสภาความมั่งคงแห่งชาติสหรัฐอเมริกาในปี 2004

Ryan McGeehan หัวหน้าด้านความปลอดภัยกล่าวว่ากิจกรรม Hacktober จะถึงจัดขึ้นในเดือนตุลาคมของทุกปี โดยหลักๆ จะเป็นการสอนที่เน้นไปทางความสนุกสนานและได้ความรู้เพิ่มขึ้นด้วย รูปแบบหนึ่งคือการจำลองแผนการโจมตีเพื่อฝึกประสิทธิภาพในการรับมือ เช่น สร้างเวิร์มขึ้นมาและให้โจมตีโดยดูว่าพนักงานมีการตอบสนองอย่างไรบ้าง

กลุ่ม Anonymous ได้แฮกอีเมลของรัฐมนตรีกระทรวงต่างประเทศ และได้ข้อมูลต่างๆ ประกอบด้วยบทสนทนาระหว่างเจ้าหน้าที่ระดับสูงของซีเรีย, ภาพสแกนพาสปอร์ตของรัฐมนตรีซีเรีย, เอกสารการซื้อขายอาวุธและข้อมูลการขนส่งจากยูเครน และรายละเอียดการส่งธนบัตรซีเรียจำนวน 200 ตันจากรัสเซีย จากนั้นก็เผยแพร่ข้อมูลดังกล่าวทางอินเทอร์เน็ต

Yahoo! ตกเป็นเป้าการโจมตีของแฮกเกอร์อีกครั้งหลังจากที่มีคนพบช่องโหว่ XSS ของบริการเมลถูกขายบนเว็บไซต์ใต้ดินในราคากว่า 700 เหรียญ ช่องโหว่นี้ได้รับการอธิบายไว้ว่าสามารถใช้ในการขโมย session ของผู้ใช้งานได้ซึ่งแฮกเกอร์สามารถเข้าถึงบัญชีของผู้ใช้งานนั้นได้ทันที

แฮกเกอร์ผู้ใช้นามแฝงว่า TheHell ผู้เป็นเจ้าของและขายช่องโหว่นี้ได้เผยแพร่วีดีโอตัวอย่างของการใช้ช่องโหว่นี้ พร้อมทั้งอ้างว่านี่เป็นลักษณะการโจมตีในรูปแบบ XSS ที่สามารถข้ามผ่านการตรวจสอบของเบราว์เซอร์ที่มีฟีเจอร์การป้องกัน XSS ได้

Ramses Martinez หัวหน้าด้านความปลอดภัยของ Yahoo! ได้ทำการตรวจสอบช่องโหว่นี้จากวีดีโอตัวอย่างดังกล่าวแล้ว คาดว่าน่าจะสามารถปิดช่องโหว่ได้เร็วๆ นี้

ปกติแล้วเราท์เตอร์ที่เราซื้อมามักไม่ได้เข้ารหัส Wi-Fi เอาไว้หากผู้ใช้ไม่ทันระวังแล้วใช้งานไปทั้งอย่างนั้นก็อาจจะมีอันตรายจากการถูกดักฟังได้ เราท์เตอร์รุ่นใหม่ๆ หลายรุ่นจึงตั้งรหัสผ่านมาให้จากโรงงานเป็น WPA2-PSK แม้ผู้ใช้จะไม่ได้ตั้งรหัสใหม่ แต่การใช้รหัสเดิมก็ยังมีความปลอดภัยพอสมควร ปัญหาคือแนวทางการตั้งรหัสผ่านของเราท์เตอร์ Belkin กลับสามารถคาดเดาได้จากหมายเลข MAC Address ทำให้คนร้ายสามารถบุกเครือข่ายได้อยู่ดี

Symantec ค้นพบมัลแวร์ตัวใหม่ชื่อ W32.Narilam ซึ่งมุ่งเป้าทำลายข้อมูลในฐานข้อมูล Microsoft SQL Server ที่เชื่อมต่อแบบ OLEDB โดยเฉพาะ

มัลแวร์ตัวนี้ระบาดในประเทศอิหร่าน โดยมีแพร่หลายอยู่ในสหรัฐอเมริกาบ้างเล็กน้อย มันจะค้นหาชื่อตารางหรือวัตถุในฐานข้อมูลด้วยคำที่พบบ่อยในภาษาอังกฤษและเปอร์เซีย (เช่น buyername, holiday, person) แล้วจะเปลี่ยนค่าพวกนี้ด้วยคำอื่นแบบสุ่ม หรือลบตารางทิ้งในบางกรณี

Mozilla ออกประกาศว่าจะบล็อคการทำงานของปลั๊กอิน Java 7 update 7 ลงไป ด้วยเหตุผลว่า Java 7u7 มีช่องโหว่ด้านความปลอดภัยร้ายแรง

ผู้ใช้ยังสามารถสั่งเปิดการทำงานของ Java 7u7 บน Firefox ได้เองในหน้าตั้งค่าปลั๊กอิน แต่ตอนนี้ Oracle ออกอัพเดต Java 7 update 9 ที่แก้ปัญหานี้มาแล้ว ทางออกที่ถูกต้องคืออัพเดตปลั๊กอินเป็นเวอร์ชันล่าสุด

ช่วงหลังๆ มานี้ Java มีปัญหาเรื่องความปลอดภัยเยอะ และเว็บไซต์ที่จำเป็นต้องใช้งาน Java ก็ลดจำนวนลงเรื่อยๆ ดังนั้นใครที่ไม่จำเป็นต้องใช้ Java บนเว็บจริงๆ ก็ควรปิดการทำงานโดยถาวรไปเลย

ที่มา - Mozilla

มีรายงานจากผู้ดูแลระบบที่ใช้ Debian Squeeze และ niginx 1.2.3 พบผู้ใช้เว็บของตัวเองรายงานว่าเว็บมีการ redirect ไปยังเว็บมัลแวร์ในบางครั้ง โดยเมื่อตรวจสอบซ้ำก็พบว่ามีการแทรก iframe ของเว็บมัลแวร์เข้าไปใน HTTP Reply จริง

เมื่อผู้ดูแลระบบคนนี้เข้าตรวจสอบ nginx ของตัวเองด้วยคำสั่ง strace กลับไม่พบว่า nginx พยายามส่งข้อมูลออกไปยังเน็ตเวิร์คที่พยายามเขียน iframe ดังกล่าวแต่อย่างใด จึงเข้าตรวจสอบ kernel แล้วจึงพบว่ามี rootkit ในเคอร์เนลเรียกฟังก์ชั่น write_startup_c และ get_http_inj_fr ที่ถูกฝังเข้ามา จากการวิเคราะห์พบว่า rootkit นี้ยังอยู่ระหว่างการพัฒนา มันมีขนาดถึง 500KB แต่ส่วนใหญ่เป็นข้อมูลดีบัก

ช่วงหลังๆ บริการสำคัญที่มีข้อมูลส่วนตัวสูง เช่น เว็บเมล หรือบริการเครือข่ายสังคมออนไลน์ เช่น Gmail ที่เริ่มมีให้เลือกใช้ HTTPS ตลอดเวลาในตอนแรก และสุดท้ายก็เปิด HTTPS เป็นค่ามาตรฐาน ตอนนี้บริการอื่นๆ เช่น Hotmail, Twitter, Google+, และ Facebook ล้วนเป็นแนวทางเดียวกันคือมี HTTPS ให้เลือกใช้ทั้งหมด แต่สัปดาห์ที่ผ่านมา Facebook ก็ประกาศเปลี่ยนค่าเริ่มต้นของผู้ใช้ในสหรัฐฯ ให้ไปใช้งาน HTTPS เป็นค่าเริ่มต้น และต้องยกเลิกด้วยตัวเองหากไม่ต้องการ

ผู้ใช้กลุ่มแรกที่พบความเปลี่ยนแปลงนี้คือผู้ใช้ในสหรัฐฯ ส่วนผู้ใช้ที่เหลือทั่วโลกก็จะเปลี่ยนตามมา แต่ยังไม่กำหนดวันแน่ชัด

มาตรฐาน HTTP Strict Transport Security หรือ HSTS ที่เปิดให้เว็บ "บังคับ" ให้เบราว์เซอร์เชื่อมต่อกับเว็บแบบเข้ารหัสเสมอ (ข่าวเก่า) The Internet Engineering Task Force หรือ IETF ประกาศใน RFC 6797 อย่างเป็นทางการ ให้ HSTS ขึ้นเป็นมาตรฐานสำหรับอินเทอร์เน็ตเรียบร้อยแล้ว

มาตรฐาน HSTS ถูกร่างโดย Jeff Hodges พนักงาน PayPal, Collin Jackson จากมหาวิทยาลัย Carnegie Mellon และ Adam Barth จากกูเกิล ซึ่งเป็นผู้ร่วมสร้าง RFC 6797

ที่มา - The H

บัญชี Facebook, Twitter, LinkedIn และ YouTube ของรองนายกรัฐมนตรีอิสราเอล Silvan Shalom ถูกแฮ็กและนำเอาข้อความที่สนับสนุนปาเลสไตน์มาใส่ โดยกลุ่มแฮกเกอร์ที่ชื่อว่า ZCompanyHackingCrew อ้างว่าเป็นผู้กระทำการครั้งนี้ แฮ็กเกอร์กลุ่มนี้ยังอ้างอีกว่าแฮ็กอีเมลของ Shalom และได้ดึงเอาอีเมลส่วนตัว, รายชื่อผู้ติดต่อ และเอกสารไป ทางกลุ่มประกาศว่ามีแผนที่จะเอาเอกสารมาเผยแพร่ในเร็วๆ นี้

ก่อนหน้านี้กลุ่ม Anonymous ก็ได้แฮ็กเอาข้อมูลรายชื่อ, หมายเลข ID และอีเมลส่วนบุคคลของเจ้าหน้าที่อิสราเอลไปเป็นจำนวน 5,000 คน

รัฐมนตรีว่าการกระทรวงการคลังของอิสราเอลบอกว่ารัฐบาลตอนนี้เหมือนเจอกับแนวรบที่สอง ก่อนหน้านี้รัฐบาลก็ต้องเจอกับการโจมตีทางไซเบอร์เป็นจำนวน 44 ล้านครั้ง

ดูเหมือนว่าไมโครซอฟท์จะเจอปัญหาหนักเข้าให้แล้ว หลังจากที่ครั้งที่แล้วที่มีคีย์ของโปรโมชันการอัพเกรด Windows 8 ในราคา 499 บาท หลุดออกมา ซึ่งภายหลังไมโครซอฟท์อุดช่องโหว่นี้ไปเรียบร้อย โดยไม่มีการไล่บล็อคคีย์ที่หลุดออกไปในภายหลัง ข่าวนี้ดูเหมือนจะเป็นการซ้ำเติมไมโครซอฟท์แบบเต็มๆ อีกครั้งครับ

กระบวนการรวมบัญชีระหว่าง Skype และ MSN Messenger สร้างปัญหาใหญ่ เมื่อมีคนพบว่า ใครก็ตามที่สร้างบัญชีบน Skype โดยใช้อีเมลเป็น Hotmail สามารถขโมยบัญชีผู้ใช้ไปได้ด้วยการสั่งรีเซ็ตรหัสผ่าน

กระบวนการรีเซ็ตรหัสผ่านของ Skype แทนที่จะส่งลิงก์ไปยังอีเมลเหมือนบริการอื่นๆ กลับส่งไปที่แอพของ Skype เอง และเมื่อรีเซ็ตแล้วจะส่งผลทั้งอีเมลและ Skype

ไมโครซอฟท์ออกมาประกาศปิดกระบวนการรีเซ็ตรหัสผ่านออกไปชั่วคราว และกำลังติดต่อผู้ใช้ที่ได้รับผลกระทบจากปัญหานี้ทั้งหมด ที่ไมโครซอฟท์ระบุว่ามีจำนวน "ไม่มากนัก" (a small number)

Chrome บนวินโดวส์และลินุกซ์ เริ่มเปลี่ยนการทำงานของปลั๊กอิน Flash Player ให้รันในโหมด sandbox ตั้งแต่เดือนสิงหาคมที่ผ่านมา (ข่าวเก่า: Flash บน Chrome ทำงานในโหมด sandbox แล้ว) ประโยชน์ของการทำงานแบบนี้ช่วยให้ระบบปลอดภัยมากขึ้น และลดการแครชของ Flash แล้วพาเบราว์เซอร์พังไปด้วย

ล่าสุดกูเกิลประกาศว่า Chrome บนแมคก็เริ่มใช้งาน Flash แบบ sandbox แล้วเช่นกัน ทำให้ตอนนี้ Chrome แบบเดสก์ท็อปบนระบบปฏิบัติการหลักทั้งสามตัวก็เปลี่ยนมารัน Flash ในโหมด sandbox ทั้งหมดแล้ว

นักวิจัยด้านความปลอดภัย Shantanu Gawde วัย 16 ปีชาวอินเดียได้อ้างว่า เขาได้ทำการพัฒนามัลแวร์ตัวแรกบน Windows Phone 8 สำเร็จแล้ว โดยมัลแวร์ตัวนี้มีความสามารถในการขโมยข้อมูลส่วนตัวของผู้ใช้งาน เช่น รายชื่อในสมุดโทรศัพท์, ข้อความ และสามารถอัพโหลดรูปภาพหรือข้อมูลจากอุปกรณ์ของเหยื่อได้ด้วย

จากการสัมภาษณ์ภายในงาน Malcon Security ทาง Gawde ยังไม่ได้เปิดเผยรายละเอียดใดๆ เกี่ยวกับมัลแวร์ตัวนี้มากนัก รวมถึงประเด็นเรื่องช่องโหว่ด้านความปลอดภัยใน Windows Phone 8 เมื่อปีที่แล้ว Gawd ได้เผยแพร่ผลงานมัลแวร์บน Kinect และเป็นบุคคลที่อายุน้อยที่สุดที่ได้รับ Microsoft Certified Application Developer อีกด้วย

คำเตือน: บทความในชุดการรักษาความปลอดภัยคอมพิวเตอร์ มีจุดประสงค์หลักเพื่อการศึกษา และการระมัดระวังของนักพัฒนา การทดสอบต้องทำในสภาพแวดล้อมปิดเท่านั้น (ตั้งเซิร์ฟเวอร์เฉพาะเอง ทดสอบเสร็จแล้วปิดบริการ) ห้ามทดสอบในเว็บจริงที่ให้บริการอยู่ หากผมทราบว่าสมาชิก Blognone มีการทดลอง โทษคือแบนถาวรอย่างเดียวไม่ว่าจะเกิดความเสียหายหรือไม่

ต่อจาก CSRF ปัญหาความปลอดภัยในเว็บที่พบได้มาก แต่ปัญหาอีกอย่างหนึ่งที่พบได้และมักมีอันตรายมากกว่าคือปัญหาความปลอดภัย Cross Site Scripting (XSS หรือบางครั้งเรียกว่า CSS) ที่เป็นช่องให้แฮกเกอร์สามารถนำสคริปต์อยากที่แฮกเกอร์ต้องการไปวางบนหน้าเว็บเป้าหมายได้

ความปลอดภัยคอมพิวเตอร์ในสมัยใหม่เปลี่ยนจากการโจมตีช่องโหว่ของบริการต่างๆ หรือบั๊กของซอฟต์แวร์โดยตรงมาเป็นการโจมตีจากกระบวนการตรวจสอบความปลอดภัยที่ตามไม่ทันกับรูปแบบการใช้งานที่หลากหลายขึ้นเรื่อยๆ เช่น การใช้งานเว็บยุคใหม่ที่มีความซับซ้อน มีการวางไฟล์จากเซิร์ฟเวอร์จำนวนมากเข้ามาแสดงผลบนหน้าเว็บเดียวกัน, มีการรันสคริปต์บนหน้าเว็บ, และมีการใช้งานเพื่อการทำงานสำคัญกว่าการเข้าอ่านเนื้อหาบนเว็บไปอีกมากมาย

แอปเปิลเพิ่งปล่อย QuickTime 7.7.3 เพื่ออุดช่องโหว่บน Windows ที่สำคัญ 9 จุด ที่ทำให้ผู้ไม่ประสงค์ดีสามารถโจมตีทำให้โปรแกรมแครชหรือรันโค้ดไม่พึงประสงค์บนเครื่องเหยื่อได้

ช่องโหว่เหล่านี้ มีทั้งปัญหาการจัดการหน่วยความจำ และ buffer overflow เมื่อเปิดไฟล์ PICT ปัญหาการใช้หน่วยความจำหลังจากคืนพื้นที่และขอบเขตการรันโปรแกรม ปัญหาการทำงานกับไฟล์ TeXML ที่ก่อให้เกิด buffer overflow หากการโจมตีประสบผลสำเร็จ ผู้ใช้จะถูกบังคับให้เปิดเว็บและไฟล์ไม่พึงประสงค์ได้ ผู้ใช้จึงควรอัพเดต QuickTime

บริษัทความปลอดภัย F-Secure ออกรายงานสรุปสถิติความปลอดภัยบนอุปกรณ์พกพา (Mobile Threat Report) ประจำไตรมาสที่สามของปี 2012 มีประเด็นที่น่าสนใจดังนี้

เรื่องความปลอดภัยของ Windows เป็นสิ่งที่หละหลวมมาหลายทศวรรษ ถึงขั้นที่ช่วงหนึ่งแอปเปิลตอกย้ำ Windows ว่า Mac OS นั้นไม่มีไวรัส แต่เมื่อมาถึงยุคของ Windows 8 ที่ถูกพอร์ตออกไปยังอุปกรณ์พกพาประเภทแท็บเล็ตเพิ่มเติมนั้น สิ่งที่ไมโครซอฟท์พยายามทำมาตลอดนั้นคือทำให้ Windows 8 กลายเป็นระบบปิด ความปลอดภัยจึงค่อนข้างเข้มงวดกว่าพอสมควร

ดังนั้นเพื่อเอาแน่เอานอนว่า Windows 8 ปลอดภัยชัวร์ ทาง BitDefender จึงได้ทำการทดสอบด้วยการยิงมัลแวร์ใส่ตัว Windows 8 ที่เพิ่งจะถูกติดตั้งเสร็จหมาดๆ ไป 385 ตัว พบว่า 61 ตัวยังคงทำงานได้ครับ นั่นหมายความว่า อีก 324 ตัวหรือประมาณ 85% ถูกตัว Windows Defender (หรือ MSE เดิม) ทำการบล็อคเอาไว้ทั้งหมดครับ

เมื่อวานนี้ผู้ใช้งานทวิตเตอร์จำนวนหนึ่งได้เกิดปัญหาเมื่อพวกเขาได้รับเมลแจ้งเตือนว่าบัญชีเหล่านี้ถูกเข้าถึงโดยบริการที่ไม่ใช่ของทวิตเตอร์หรือไม่เกี่ยวข้องกับทวิตเตอร์ ซึ่งทำให้เกิดข้อสงสัยต่อผู้ใช้ว่าบัญชีของพวกเขานั้นได้ถูกแฮกหรือไม่

ต่อมาทางทวิตเตอร์ได้ออกมาขอโทษผู้ใช้งานพร้อมทั้งกล่าวถึงปัญหาตรงจุดนี้ว่า สิ่งที่ทำให้ผู้ใช้งานจำนวนหนึ่งได้รับการแจ้งเตือนในรูปแบบนี้เกิดจากการที่ทางทวิตเตอร์ "เผลอ" รีเซ็ตรหัสผ่านของผู้ใช้เหล่านี้ไป ไม่ได้เกิดจากการถูกโจมตีหรือแฮกใดๆ แน่นอน โดยผู้ใช้งานที่พบปัญหานี้ก็ได้รับคำแนะนำในการเปลี่ยนรหัสผ่านใหม่แล้ว

กลุ่มของนักวิจัยจากมหาวิทยาลัยนอร์ทแคโรไลนา มหาวิทยาลัยวิสคอนซินและ RSA Security ค้นพบช่องโหว่บน cloud แบบสาธารณะที่ช่วยให้ผู้โจมตีสามารถเข้าถึง 4096-bit private ElGamal decryption key ที่เข้ารหัสโดย libgcrypt v1.5.0 จากเซิร์ฟเวอร์ที่มีการแชร์กันได้แบบ Cross-VM