หลังจากได้รับรายงานจุดที่เสี่ยงต่อการถูกเจาะระบบเป็นจำนวน 24 รายการโดยทีมรักษาความปลอดภัยและผู้ใช้งาน ตอนนี้ Plone ก็ได้ออก hotfix ปิดจุดเสี่ยงเหล่านั้นแล้วครับ

ดาวน์โหลด hotfix และอ่านวิธีติดตั้งได้ที่นี่ โดยมันถูกทดสอบแล้วว่าสามารถใช้ได้กับ Plone เวอร์ชั่น 4 และ 3 (ส่วนรุ่นต่ำกว่านั้นต้องทดสอบกันเอง) สำหรับรายงานจุดเสี่ยงทั้งหมดที่ถูกจัดการในคราวนี้สามารถอ่านได้จากที่นี่

Plone เป็น CMS ยอดนิยมตัวหนึ่งจากฝั่ง Python ครับ

ปัญหาเรื่องรอบการอัพเดตแพตช์ความปลอดภัยที่ไม่ตรงกันของ Flash/Windows 8 จนเกิดช่องโหว่ให้ผู้ใช้ กำลังจะถูกแก้ไข เพราะ Adobe ประกาศปรับรอบการออกแพตช์ของตัวเองให้ตรงกับรอบการออกแพตช์ในวันอังคารของไมโครซอฟท์ (Patch Tuesday) แล้ว

การออกแพตช์รอบล่าสุดของ Adobe อุดช่องโหว่ใน Flash ไปอีก 7 จุด และไมโครซอฟท์ก็ออกแพตช์ให้ IE10 โดยผนวกเอา Flash รุ่นล่าสุดของ Adobe เข้ามาในตัว

สำหรับผู้ที่ใช้ Flash บนแพลตฟอร์มอื่นๆ ต้องตามอัพเดตกันเองครับ เลขเวอร์ชันล่าสุดคือ 11.5.502.110 (วินโดวส์-แมค) 11.2.202.251 (ลินุกซ์) และ 11.1.115.27 (แอนดรอยด์)

ปัญหาการทำใบรับรองปลอมจาก DigiNotar สร้างความกังวลทั่วโลกว่าระบบใบรับรองทุกวันนี้มีความน่าเชื่อถือเพียงใด รายงานการสำรวจความเสียหายโดยบริษัท Fox IT เพื่อส่งให้กับกระทรวงมหาดไทยของเนเธอร์แลนด์ได้รายงานถึงกระบวนการที่แฮกเกอร์เข้ามาสร้างใบรับรองปลอมจำนวน 531 ใบ

เครือข่ายของ DigiNotar ภายในแบ่งออกเป็น 24 ส่วน เซิร์ฟเวอร์สำหรับสร้างใบรับรองที่ติดตั้งสมาร์ตการ์ดที่ใช้รับรองนั้นตั้งอยู่ในห้องรักษาความปลอดภัยสูงแยกออกไป

กลุ่มของแฮกเกอร์ที่เรียกตัวเองว่า HTP ได้อ้างถึงการโจมตีเว็บไซต์ ImageShack และ Symantec ทำให้สามารถเข้าถึงฐานข้อมูลได้ หรือในกรณีของ ImageShack ได้มีการอ้างว่าสามารถเข้าถึงเซิร์ฟเวอร์ทุกตัวรวมไปถึงอุปกรณ์เครือข่ายด้วย

สำหรับเหยื่อสองเว็บแรกนั้นทาง HTP ได้มีการโพสต์หลักฐานการเข้าถึงไดเรกทอรี่ ไฟล์ และฐานข้อมูลลงบนเว็บไซต์ pastebin อีกทั้งยังกล่าวสบประมาทประสิทธิภาพของระบบรักษาความปลอดภัยของทั้งสองเว็บไซต์อีกด้วย

มาตรฐาน HSTS เป็นส่วนเสริมของ HTTP/HTTPS ที่เปิดให้เว็บบังคับให้เบราว์เซอร์เชื่อมต่อกันแบบเข้ารหัสเสมอ (ดูข่าวเก่า) โดยสัปดาห์นี้ทาง Mozilla ได้ประกาศว่า Firefox ในรุ่นถัดไปจะบังคับให้ใช้มาตรฐาน HSTS แล้ว

มาตราฐาน HSTS จะช่วยให้ผู้ใช้งานสามารถเพิ่มเว็บไซต์ที่เราต้องการเชื่อมต่อผ่านทาง HTTPS ได้ผ่านทาง preload list (ดูตัวอย่างจาก Chrome) ผู้ใช้งานสามารถดาวน์โหลดเวอร์ชันเบต้ามาทดลองใช้งานก่อนได้ โดยในเวอร์ชันเต็มคาดว่าจะออกมาในเร็วๆ นี้ครับ

ล่าสุดมีนักวิจัยจาก NC State University พบช่องโหว่บนระบบแอนดรอยด์ ช่องโหว่ที่ว่าสามารถทำให้แอพพลิเคชันปลอม SMS เข้าได้ทั้งฉบับ ไม่ว่าจะทั้งเนื้อหารวมจนถึงสามารถปลอมว่ามาจากหมายเลขโทรศัพท์ใดก็ได้ โดยแอพไม่ต้องขอสิทธิ์ใดก็สามารถใช้ช่องโหว่นี้ได้

ซึ่งช่องโหว่นี้พบในโค้ดแอนดรอยด์ต้นน้ำ (Android Open-Source Project) ตั้งแต่รุ่น 1.6 (Donut) ไปจนถึง 4.1 (Jelly Bean) และมือถือรุ่นหลายตัวได้รับการยืนยันแล้วว่ามีปัญหานี้ ไม่ว่าจะเป็น Galaxy Nexus, Nexus S, Galaxy S III, HTC One X, HTC Inspire และ Xiaomi MI-One

เมื่อเวลา 6 โมงเย็นวันนี้รายการเจาะข่าวเด่นทางไทยทีวีสีช่อง 3 ได้นำเสนอเกี่ยวกับภัยมิจฉาชีพออนไลน์ซึ่งผมพบว่าในข้อมูลที่นำเสนอนั้นมีบางส่วนที่อาจสร้างความไม่เข้าใจผ่านทางทวิตเตอร์เรื่องเล่าเช้านี้ เนื่องจากมีการทวีตในเรื่องนี้อยู่หลายทวีต แต่ผู้อ่านไม่ได้ทำการรีทวีตทั้งหมด เพียงแต่มีการรีทวีตที่ทำให้ข่าวนั้นเกิดการแตกประเด็นและอาจทำให้เกิดการเข้าใจผิดได้ ในฐานะที่ Blognone ก็เป็นหนึ่งในสื่อที่นำเสนอข่าวด้านเทคโนโลยีและความปลอดภัย การนำเสนอข่าวสารและข้อมูลที่ถูกต้องจึงเป็นเรื่องที่สำคัญมาก ดังนั้นผมขออนุญาตในการชี้แจงและแก้ไขข้อมูลบางส่วนให้ถูกต้องครับ

เราอาจต้องทิ้งภาพลักษณ์เดิมๆ ว่า "ผลิตภัณฑ์ของไมโครซอฟท์ไม่ปลอดภัย" เพราะข้อมูลล่าสุดของบริษัท Kaspersky ชี้ว่าซอฟต์แวร์ของไมโครซอฟท์ที่เคยติด 10 อันดับแรกของซอฟต์แวร์ที่มีโอกาสถูกโจมตีมากที่สุดประจำไตรมาส (top 10 vulnerabilities) กลับตกจากชาร์ทไปเรียบร้อยแล้ว

เหตุผลก็เพราะว่าผลิตภัณฑ์ของไมโครซอฟท์เข้มแข็งขึ้นมาก การอัพเดตช่องโหว่ต่างๆ ทำได้รวดเร็ว ซึ่งเป็นผลมาจาก Windows Update ที่พัฒนาขึ้นเรื่อยๆ ในวินโดวส์นับตั้งแต่ Vista เป็นต้นมา

การจัดอันดับของ Kaspersky อิงจากสถิติของผู้ใช้งาน Kaspersky เอง โดยนับสัดส่วนของโปรแกรมที่ติดตั้งในเครื่องของผู้ใช้ ที่ยังมีช่องโหว่ไม่ได้รับการแพตช์

Hiroshi Lockheimer ผู้บริหารของกูเกิลให้สัมภาษณ์กับเว็บไซต์ Computerworld เกี่ยวกับฟีเจอร์ความปลอดภัยของ Android 4.2 ซึ่งเคยมีข่าวมาแล้วก่อนหน้านี้

ประเด็นสำคัญอยู่ที่ฟีเจอร์ verify apps ซึ่งเป็นตัวเลือกที่เพิ่มเข้ามาในหน้า Settings โดยไม่ได้เปิดใช้ตั้งแต่แรก แต่เมื่อเราเปิดฟีเจอร์นี้เมื่อไร กูเกิลจะสแกนแอพทุกตัวที่ติดตั้งเพิ่มเข้ามาในเครื่อง (ไม่ว่าจะผ่าน Play Store, ลง apk เองแบบ sideload หรือลงผ่านแอพภายนอกอย่าง Amazon Appstore) ว่าเข้าข่ายแอพอันตรายตามฐานข้อมูลของกูเกิลหรือไม่ (วิธีการเช็คคือตรวจ apk signature กับเซิร์ฟเวอร์ของกูเกิล) ถ้าพบแล้วจะป้องกันไม่ให้เราติดตั้งแอพดังกล่าวลงในเครื่อง

Blognone เสนอข่าว "ช่องโหว่" ความปลอดภัยซอฟต์แวร์เป็นจำนวนมาก แม้ช่องโหว่หลายอย่างมาจากการวิเคราะห์ทางคณิตศาสตร์ของกระบวนการเข้ารหัสที่ซับซ้อนแต่ในความเป็นจริงแล้ว ช่องโหว่ส่วนมากมาจากปัญหาเหมือนๆ กันคือการไม่ระวังการใช้บัฟเฟอร์ ทำให้ข้อมูลที่วางลงไปยังบัฟเฟอร์มีขนาดเกินที่เผื่อไว้ ทำให้แฮกเกอร์เข้ามาวางโค้ดเอาไว้ และควบคุมให้มีการรันโค้ดนั้นๆ ได้

กระบวนการแฮกจากช่องโหว่บัฟเฟอร์เป็นกระบวนพื้นฐานอันหนึ่งที่ควรรู้เพื่อจะศึกษาและป้องกันช่องโหว่ในซอฟต์แวร์

Stack Buffer Overflow

{syntaxhighlighter brush:cpp}#include <string.h>

void foo (char *bar)
{
char c[12];
strcpy(c, bar); // ไม่ตรวจขนาด input
}

หลังจากเมื่อสัปดาห์ที่แล้วที่มีการเปิดตัว Windows 8 ให้ผู้ใช้งานทั่วโลกได้ตื่นตาตื่นใจกัน ทางด้านโลกแห่งความปลอดภัยก็มีอะไรให้ตื่นตาตื่นใจเช่นกัน เมื่อบริษัท VUPEN บริษัทสัญชาติฝรั่งเศสผู้เคยฝากผลงานไว้ในการแข่งขัน Pwn2Own ได้เปิดเผยว่าพวกเขาสามารถแฮกเข้าควบคุมอุปกรณ์ที่ติดตั้ง Windows 8 พร้อม IE 10 ได้แล้ว

Chaouki Bekrar ผู้บริหาร VUPEN ได้ทวีตต้อนรับ Windows 8 พร้อมทั้งกล่าวด้วยว่าบริษัทของเขาได้ครอบครองโค้ดที่สามารถนำมาใช้ในการโจมตี Windows 8 ทุกรุ่นแล้ว โดยยังกล่าวอีกว่าในวันแรกที่ไมโครซอฟท์เปิดตัวนั้นพวกเขาก็ได้เปิดตัวช่องโหว่นี้ให้กับลูกค้าของเขาเช่นกัน

มีกลุ่มแฮกเกอร์ค้นพบว่าหากค้นหาด้วยคำว่า "inurl:bcode=[*]+n_m=[*] site:facebook.com." ในกูเกิล จะเกิดผลการค้นหาเป็นลิงก์ที่เชื่อมไปยังบัญชีของเฟซบุ๊กรายบุคคล และบางลิงก์เป็นลิงก์ชั่วคราวที่สามารถเข้าบัญชีเฟซบุ๊กของผู้นั้นได้โดยไม่จำเป็นต้องใช้รหัสผ่านแต่อย่างใด

Mozilla ได้ปล่อยแพตซ์อุดช่องโหว่ให้กับไฟร์ฟ็อกซ์แล้วหลังจากมีการค้นพบช่องโหว่ประเภท Cross-Site Scripting (XSS) บนเบราว์เซอร์ โดยไฟร์ฟ็อกซ์รุ่นที่มีช่องโหว่ดังกล่าวได้แก่เวอร์ชัน 16.0.2, ESR 10.0.10, Thunderbird 16.0.2, Thunderbird ESR 10.0.10 และ SeaMonkey 2.13.2

สำนักงานสอบสวนกลางแห่งสหรัฐอเมริกาหรือ FBI แผนกความปลอดภัยทางไซเบอร์ได้เริ่มวิเคราะห์ภัยทางอินเทอร์เน็ต และพิสูจน์ตัวตนของแฮกเกอร์แบบ 24 ชั่วโมง ตลอด 7 วันโดยผู้เชี่ยวชาญระดับพิเศษแล้ว ซึ่งการวิเคราะห์ภัยทางอินเทอร์เน็ตนั้นครอบคลุมทั้งฟิชชิ่ง, มัลแวร์ และอาชญากรรมทางคอมพิวเตอร์อื่นๆ

การอัพเกรดไปยัง Windows 8 อาจจะทำให้คนตื่นเต้นกับหน้าจอ Windows 8 UI แต่จริงๆ แล้วการอัพเกรดระบบปฎิบัติการ มีส่วนสำคัญคือการอัพเกรดเคอร์เนลภายในที่ต้องมีการยกเครื่องกันจำนวนมาก ตอนนี้หลายเว็บก็เริ่มมีรายงานว่าภายในมีอะไรปรับปรุงกันบ้างแล้ว

นักวิจัยจากบริษัทที่ให้บริการโซลูชันด้านความปลอดภัย Core Security ได้เปิดเผยว่าพบช่องโหว่ "out-of-bounds read error condition" ในเฟิร์มแวร์ของชิป Broadcom รุ่น BCM4325 และ BCM4329 ที่อาจถูกใช้โจมตีแบบ DoS จนไม่สามารถเชื่อมต่อเครือข่าย Wi-Fi ได้ โดยที่ฟังก์ชันอื่นไม่ได้รับผลกระทบแต่อย่างใด แต่นักวิจัยก็กล่าวว่ากำลังตรวจสอบอยู่ว่าช่องโหว่นี้จะทำให้สามารถดึงข้อมูลส่วนตัวออกมาได้หรือไม่

อุปกรณ์ที่ได้รับผลกระทบประกอบด้วย iPhone 4, iPad, iPad 2, Droid Incredible 2, Droid X2 และรถยนต์ฟอร์ดรุ่น Edge สำหรับรายชื่ออุปกรณ์ทั้งหมดสามารถดูได้ที่เว็บไซต์ Core Security

Craig Mundie ประธานฝ่ายวิจัยและกลยุทธ์ของไมโครซอฟท์ได้ให้สัมภาษณ์กับสื่อแห่งหนึ่งในเยอรมนี โดยกล่าวว่าการที่ผลิตภัณฑ์ของบริษัทได้รับการนำไปใช้อย่างกว้างขวางทำให้เป็นเป้าหมายของอาชญากรรมบนโลกไซเบอร์ และการที่บริษัทต้องต่อสู้กับเรื่องนี้ทำให้บริษัทไม่ได้ทุ่มเทไปกับอุปกรณ์พกพาที่บริษัทคิดค้นขึ้นมาก่อนและเคยเป็นผู้นำ (เครื่องเล่นเพลงก็มาก่อนไอพอด และอุปกรณ์ที่มีหน้าจอรองรับการสัมผัสก็มาก่อนไอแพด) ดังนั้นการที่บริษัทสูญเสียความเป็นผู้นำไม่ใช่เพราะบริษัทขาดวิสัยทัศน์หรือการมองการณ์ไกลในด้านเทคโนโลยีแต่อย่างใด แต่เขาก็ยอมรับว่าไมโครซอฟท์ก้าวพลาดไปในช่วงที่แอปเปิลเปิดตัวไอโฟน ทำให้ดูเหมือนบริษัทตามหลังไปหนึ่งเจนเนอเรชัน

เราเห็นข่าวคล้ายๆ กันแต่เป็นคู่ของ Verizon กับ McAfee กันไปแล้ว วันนี้เป็นคิวของโอเปอเรเตอร์อีกรายอย่าง T-Mobile USA และบริษัทความปลอดภัย Lookout กันบ้าง

จากข้อตกลงระหว่างสองบริษัทนี้ มือถือที่ใช้ Android ของ T-Mobile จะพรีโหลดแอพความปลอดภัย Lookout Automatic App Security มาให้พร้อมกับเครื่องฟรี เพื่อช่วยป้องกันความปลอดภัย และความเป็นส่วนตัวให้กับลูกค้าของ T-Mobile

แอพของ Lookout จะสแกนภัยคุกคามให้กับลูกค้าของ T-Mobile โดยอัตโนมัติ นอกจากนี้ยังเปิดโอกาสให้ Lookout ขยายฐานลูกค้าสำหรับเวอร์ชันพรีเมียม ที่มีฟีเจอร์แบ็คอัพไฟล์และลบข้อมูลจากระยะไกล โดยคิดค่าบริการ 2.99 ดอลลาร์ต่อเดือน

ระบบรักษาความปลอดภัยของเครื่องคอนโซลนั้นนับเป็นหนึ่งในรูปแบบการรักษาความปลอดภัยที่ซับซ้อนที่สุด จากการต่อสู้กับความพยายามแฮกเครื่องเพื่อติดตั้งระบบปฎิบัติการอื่นเพื่อนำไปใช้งานนอกเหนือการเล่นเกม หรือการแฮกเพื่อลงเกมผิดลิขสิทธิ์เองก็ตาม ที่ผ่านมาโซนี่ได้ต่อสู้กับความพยายามเหล่านี้ด้วยการปิดช่องโหว่ทุกครั้งที่มีการพบช่องโหว่ใหม่ แต่ล่าสุดก็มีการเปิดเผยกุญแจ LV0

คงไม่มีใครปฏิเสธได้ครับว่า SSL คือเทคโนโลยีหนึ่งที่สำคัญมากแบบขาดเสียไม่ได้ ทั้งในด้านธุรกรรมการเงิน การส่งต่อข้อมูลความลับต่างๆ ซึ่งเหตุผลหลักคือเพื่อป้องกันการโจมตีจากเหล่าบรรดาแฮกเกอร์ แต่เมื่อไม่นานมานี้ได้มีการเปิดเผยว่า SSL เมื่อถูกใช้งานในบางสถานการณ์นั้นอาจไม่ปลอดภัยอย่างที่เคยคิดกัน

เว็บไซต์แมคโดนัลด์ประเทศไทยถูกแฮกโดยแฮกเกอร์ผู้ใช้ชื่อว่า Maxney ซึ่งเป็นหนึ่งกลุ่มแฮกเกอร์ชาวตุรกี จากการโจมตี Maxney ได้เข้าถึงส่วนควบคุมระบบซึ่งทำให้เขาสามารถเข้าถึงข้อมูลลูกค้าได้ โดยข้อมูลที่เผยแพร่ออกมานั้นเป็นชื่อ ที่อยู่ หมายเลขโทรศัพท์กว่า 1,901 รายการ

ทางเว็บไซต์ Cyber War News ได้อ้างว่า Maxney เปิดเผยข้อบกพร่องของระบบความปลอดภัยว่า เว็บไซต์ดังกล่าวนี้มีการใช้รหัสผ่านที่ง่ายต่อการคาดเดามากส่งผลให้ผู้โจมตีเข้าถึงระบบได้อย่างง่ายดาย

ใกล้ถึงวันที่ Windows 8 ออกมาเรื่อย ตอนนี้ข่าวที่เจาะรายละเอียดของ Windows 8 ก็เริ่มออกมา มาถึงฟีเจอร์สำคัญ คือ Picture Passwords การปลดล็อกเครื่องด้วยการ "วาด" รูปบนภาพถ่าย ที่ดูแล้วน่าจะทำให้คนจำรหัสผ่านได้ง่ายขึ้น ขณะที่รหัสผ่านมีความซับซ้อนกว่าการจำรหัสผ่านแบบเดิมๆ

ปัญหาคือการเทียบรูปวาดนั้นบีบให้ข้อมูลรหัสผ่านของ Picture Passwords ต้องถูกเข้ารหัสด้วยการเข้ารหัสแบบสองทาง แทนที่จะเป็นการเข้ารหัสทางเดียวซึ่งเป็นแนวทางมาตรฐานในการเก็บรหัสผ่านทั่วไป ที่แม้แต่ผู้ดูแลระบบก็ไม่สามารถดูรหัสผ่านได้ แต่สามารถสั่งเปลี่ยนรหัสผ่านได้ แต่สำหรับ Picture Passwords ภาพรหัสผ่านจะถูกเก็บอยู่ใน System Vault ที่เป็นไฟล์เข้ารหัสแบบ AES และตัวกุญแจถอดรหัสไฟล์สามารถเข้าถึงได้โดยผู้ดูแลระบบ

บริการย่อลิงก์ 1.usa.gov ถูกตรวจพบโดย Symantec ว่ามีการนำไปใช้ในการสแปมหรือหลอกลวง ด้วยวิธีการใช้ลิงก์ต่อเนื่องเป็นทอดๆ ส่งต่อไปยังปลายทางที่เป็นเว็บสแปมหรือหลอกลวง โดยผู้ไม่ประสงค์ดีจะใช้ลิงก์ 1.usa.gov หลอกให้ผู้รับเชื่อว่าเป็นข้อความมาจากหน่วยงานรัฐบาลที่เชื่อถือได้ ทำให้หลงกลคลิกลิงก์เหล่านั้นอย่างไม่ยากนัก

ผมเชื่อว่าใครหลายคนในที่นี้คงอยากซื้อ Windows RT แท็บเล็ต ผมเลยขอเสนอข่าวนี้เพื่อให้ผู้อ่านฉุกคิดสักเล็กน้อย

ข่าวแรก ผู้ผลิตโซลูชันป้องกันมัลแวร์กล่าวว่า ไมโครซอฟท์ไม่อนุญาตให้ขายแอพป้องกันมัลแวร์บน Windows Store นอกจากนั้น ทาง McAfee เสริมว่า Windows RT ยังไม่มี API แบบเดียวกับ Win32 API บน Windows ปกติ ทำให้ไม่มีทางเลยที่พวกเขาจะสามารถพัฒนาแอพลักษณะดังกล่าวได้

แล้วจะมีใครพัฒนาแอพป้องกันมัลแวร์บน Windows RT หรือไม่? อย่างน้อยที่สุด Symantec ก็ยืนยันว่าจะพัฒนา โดยกล่าวว่าบริษัทจะทำงานร่วมกับไมโครซอฟท์เพื่อหาหนทางในการพัฒนาแอพขึ้นมาโดยที่เป็นไปตามกฎเกณฑ์ของของ Windows Store ส่วน AVG และ Kaspersky Lab นั้น ทั้งสองบริษัทยังไม่ยืนยันว่าจะพัฒนาแอพบน Windows บน ARM หรือไม่

แพตซ์ความปลอดภัยของจาวานั้นมีรอบการปล่อยปีละสามรอบ แม้ก่อนหน้านี้จะมีกรณียกเว้นที่ออราเคิลยอมปล่อยแพตซ์พิเศษในเดือนกันยายน แต่ก็ยังเหลือบั๊กมาถึงรอบปกติเดือนตุลาคม ข่าวร้ายคือแม้จะปล่อยแพตซ์ตามรอบออกมา ปัญหาก็ยังไม่หมด ทำให้บั๊กที่เหลือต้องรอรอบเดือนกุมภาพันธ์ปีหน้า

บั๊กที่ยังแก้ไม่หมดนี้เพิ่งพบในช่วงปลายเดือนกันยายนที่ผ่านมา โดยบริษัท Security Explorations ที่ออกมารายงานบั๊กรอบที่แล้ว โดยกระทบตั้งแต่ Java 5 ถึง Java 7 รวมผู้ใช้ที่ได้รับผลกระทบประมาณพันล้านคน