ขอแสดงความยินดีกับ Mozilla Firefox ซึ่งเป็นเบราว์เซอร์ตัวล่าสุดที่ถูกแฮ็กในการแข่งขัน Pwn2Own ประจำปี 2012 ครับ สำหรับแฮกเกอร์ผู้ประสบความสำเร็จในการแฮ็กครั้งนี้ได้แก่ Willem Pinckaers และ Vincenzo Iozzo ซึ่งสามารถค้นพบและโจมตีช่องโหว่ของ Firefox เวอร์ชัน 10.0.2 เป็นที่สำเร็จ โดยได้รับเงินรางวัลครั้งนี้เป็นจำนวนเงิน $30,000 ครับ

รายงานจากเว็บไซต์ Bits อีกครั้ง หลังจากครั้งก่อนรายงานว่า นักพัฒนาแอพของ iOS สามารถเข้าถึง photo library เมื่อมีการอนุญาตให้เข้าถึงข้อมูล location

แต่ทางฝั่งของ Android เหนือกว่าหนึ่งก้าวโดย Android ไม่ต้องมีการอนุญาตใดๆ เพื่อเข้าถึงรูปถ่ายของผู้ใช้ เพียงแค่แอพนั้นสามารถเชื่อมต่อ Internet ได้ก็สามารถ copy รูปถ่ายไปยัง Server โดยไม่ต้องมีการแจ้งเตือนใดๆ (มีเพียงการขออนุญาตเชื่อมต่อ Internet ก่อนการติดตั้ง) ยังไม่แน่ชัดว่ามีแอพใดใช้ประโยชน์จากช่องโหว่นี้แล้ว

ทาง Google รับรู้ปัญหานี้แล้ว และแจ้งว่าอยู่ระหว่างการพิจารณาแนวทางแก้ไข

ข่าวนี้แม่นยิ่งกว่าเลขเด็ดครับ เมื่อ Internet Explorer 9 ถูกแฮ็กร่วงอีกครั้งในการแข่งขัน Pwn2Own ประจำปี 2012 ซึ่งกลุ่มแฮกเกอร์ที่ประสบความสำเร็จในการแฮ็กครั้งนี้ก็ไม่ใช่ใครที่ไหน นั่นคือกลุ่ม VUPEN เจ้าเก่าที่ประสบความสำเร็จในแฮ็ก Google Chrome นั่นเอง

เว็บไซต์ Bits รายงานว่ามีบางแอพที่ทำงานบนอุปกรณ์ของ Apple ทำการดึงข้อมูล Address Book ของผู้ใช้โดยไม่ขออนุญาต และไม่เพียงแต่ Address Book เท่านั้นที่จะสามารถถูกขโมยได้ ไฟล์รูปถ่ายและไฟล์วีดิโอก็อันตรายเช่นกัน

โดยเมื่อแอพมีการร้องขอเข้าถึงข้อมูล location ของไฟล์รูปถ่ายและไฟล์วีดิโอ หากเราทำการอนุญาต แอพจะสามารถเข้าถึงข้อมูลทั้ง photo library ได้โดยไม่มีการแจ้งเตือนผู้ใช้แต่อย่างใด

แม้จะมีการแพตซ์ช่องโหว่ของเบราว์เซอร์ไปแล้วก่อนการแข่งขันจะเริ่ม แต่ไม่สามารถที่จะแพตซ์ความทะเยอทะยานของเหล่าแฮกเกอร์ได้แน่นอนครับ เมื่อ Chrome เบราว์เซอร์ที่อยู่รอดมาจากการแฮ็กในครั้งก่อนๆ กลับกลายเป็นเบราว์เซอร์ตัวแรกในปีนี้ที่โดนแฮ็ก

มีปัญหากับการตั้งรหัสผ่านที่แข็งแรงจนจำมันไม่ได้หรือเปล่า? บางทีคุณอาจต้องการผู้ช่วยเป็นกุญแจ USB ที่คอยช่วยจดจำและป้อนรหัสผ่านแทนคุณครับ

ผลงานชิ้นนี้เป็นของนาย Joonas Pihlajamaa โดยสร้างจากชิปวงจร ATtiny85 ความสามารถของมันนอกจากคอยป้อนรหัสผ่านให้ มันยังสามารถสร้างรหัสผ่านชุดใหม่ได้อีกด้วยครับ

สนใจอยากลองทำเองบ้าง? หาลายวงจรและซอร์สได้จากที่มาเลยครับ

ที่มา: Code and Life ผ่าน Engadget

จากปฏิบัติการ LulzXmas ในช่วงคริสมาสต์ปีที่แล้ว ไม่ได้มีเพียง

จากข่าว Google พร้อมจ่าย $60,000 สำหรับใครก็ตามที่แฮก Chrome ได้ใน Pwnium Contest ที่อาจมีใครหลายคนเก็บไปนอนฝันหวานหวังจะได้กอดเงินก้อนโต แต่ลองอ่านข่าวนี้ก่อนครับ เมื่อ Chrome ได้ออกเวอร์ชันล่าสุดซึ่งเป็นเวอร์ชันที่ 17.0.963.65 stable ซึ่งสำหรับเวอร์ชันนี้ได้แพตซ์ช่องโหว่ด้านความปลอดภัยถึง 17 แห่ง โดยสา

GitHub เว็บฝากซอร์สโค้ดชื่อดังโดนแฮ็กเข้าเสียแล้ว โดยผ่านช่องโหว่ของโค้ดที่เขียนด้วย Ruby on Rails

เรื่องนี้จะซับซ้อนกว่าการแฮ็กทั่วๆ ไปอยู่สักหน่อย เพราะผู้ใช้ชื่อ homakov ได้แจ้งข่าวกับทีมงานของ GitHub ไปเมื่อ 3 วันก่อนว่าพบช่องโหว่ในระบบ ซึ่งทั้งสองฝ่ายก็ทำงานร่วมกันเพื่อปิดช่องโหว่นี้จนสำเร็จ

Symantec บริษัทด้านความปลอดภัยทางคอมพิวเตอร์ชื่อดังได้ออกมาเปิดเผยข้อเท็จจริงว่า โปรแกรมสำหรับการโจมตีแบบ DDoS ที่กลุ่มแฮกเกอร์ชื่อดัง Anonymous ได้ทำการเผยแพร่ให้ดาวน์โหลดนั้นมีการติดตั้งโทรจัน 'Zeus' แฝงอยู่

ในบางปฏิบัติการของ Anonymous ได้มีการขอความช่วยเหลือไปยังผู้สนับสนุนเพื่อสร้างการโจมตีแบบ DDoS ไปยังเป้าหมาย และได้มีการแจกจ่ายโปรแกรมที่เชื่อกันว่าเป็นโปรแกรมที่ Anonymous ใช้งานในการโจมตีเป้าหมาย เช่น Low Orbit Ion Canon (LOIC), Slowloris ทำให้มีทั้งผู้สนับสนุนและผู้หลงเชื่อจำนวนมากดาวน์โหลดโปรแกรมไปใช้งาน

Hoax Slayer เว็บไซต์ด้านข่าวสารของ Hoax ได้แจ้งเตือนไปยังผู้ใช้งาน Facebook เกี่ยวกับ Hoax ตัวใหม่ที่กำลังแพร่ระบาดอยู่ในตอนนี้ โดยมีลักษณะการอ้างอิงไปยังเว็บไซต์ชื่อดังโดยมีหัวข้อข่าวว่า 'Facebook บังคับให้ใส่หมายเลขประกันสังคมเพื่อเข้าสู่ระบบ'

ซึ่งข้อเท็จจริงในเรื่องนี้คือ ทาง Facebook ไม่ได้ต้องการข้อมูลหมายเลขประกันสังคมแต่อย่างใด หลายครั้งที่ผู้ใช้งานกดแชร์ข้อมูลโดยความไม่รู้ ซึ่งอาจก่อให้เกิดความตื่นตระหนกและความวุ่นวายในสังคมออนไลน์นั้นๆ ได้

คนที่สนใจเรื่องการเข้ารหัส-ถอดรหัสคงรู้จัก NSA (National Security Agency) หน่วยงานด้านความมั่นคงของสหรัฐอเมริกา ซึ่งเป็นเจ้าพ่อในเรื่องการเข้ารหัส-ความปลอดภัยของข้อมูลมานาน

ตอนนี้ NSA กำลังมีโครงการใหม่คือสร้างโทรศัพท์มือถือ Android ของตัวเอง เพื่อเป็นมือถือ "สุดยอดปลอดภัย" สำหรับงานด้านความมั่นคงของรัฐบาลสหรัฐ

แต่ที่น่าสนใจคือเจ้ามือถือของ NSA ไม่ได้ใช้เทคโนโลยีอะไรพิสดาร ไม่มีส่วนประกอบพิเศษใดๆ เพราะ NSA เลือกชิ้นส่วนที่มีขายอยู่ในท้องตลาด และใช้ใน Android รุ่นปกติทั่วไปอยู่แล้ว ด้วยเหตุผลว่าต้องการกดราคาให้ต่ำ และใช้งานง่ายไม่ต่างจากมือถือในท้องตลาด

Steam ตกเป็นเป้าหมายโจมตีของแฮกเกอร์อีกครั้ง เมื่อมีผู้พบว่าได้มีการนำบัญชีและข้อมูลของผู้ใช้จำนวน 1,431 รายการเผยแพร่สู่สาธารณะ ซึ่ง pastebin ที่ได้มีการเผยแพร่บัญชีและข้อมูลผู้ใช้ลงไปพบว่าได้ถูก dump ออกไปจากฐานข้อมูลเมื่อวันที่ 26/01/2012 และเผยแพร่วันนี้โดยได้มีการทิ้งอีเมลไว้ด้วย ยังไม่มีการยืนยันแน่นอนว่ามีข้อมูลของผู้ใช้ที่ถูกแฮกออกมาเพียงเท่านี้หรือไม่ แต่ได้มีการแนะนำให้มีการเปลี่ยนรหัสผ่านเพื่อป้องกันเอาไว้ครับ

ที่มา - Cyber War News

คนที่ทันยุคของ Symbian คงรู้ซึ้งถึงการ signed app กันดี มันคือการนำคีย์ของนักพัฒนามาลงลายเซ็นไว้ที่ตัวแอพ ซึ่งมีข้อดีคือมันคือความปลอดภัย รับรองได้ว่าเป็นแอพแท้ๆ จากนักพัฒนาโดยตรง แต่กระบวนการของมันก็มีความยุ่งยากสูงต่อนักพัฒนา

ล่าสุดมีแววว่าแอปเปิลจะนำแนวคิดนี้กลับมาอีกครั้ง เพราะนักพัฒนาบน Mac App Store ได้อีเมลจากแอปเปิลว่าบริษัทต้องการป้องกันผู้ใช้จากมัลแวร์ที่ดาวน์โหลดมาจากนอก Mac App Store จึงเริ่มโครงการ Developer ID ให้นักพัฒนา signed แอพของตัวเองเพื่อรับรองว่าเป็นแอพตัวจริง ไม่ใช่มัลแวร์

จากนั้นจะเป็นหน้าที่ของ MSE Gatekeeper ฟีเจอร์ใหม่ของ Mountain Lion ที่จะคอยกรองแอพให้ผู้ใช้

ข่าวนี้ออกจะยากสักหน่อย แต่เป็นสำหรับผู้ที่ต้องระวังเรื่องความปลอดภัยข้อมูลมากๆ คือเมื่อเดือนที่ผ่านมา มีการตีพิมพ์งานวิจัยว่าในอินเทอร์เน็ตนั้น ใบรับรอง SSL จำนวนหนึ่งประมาณ 2 ใบในทุกๆ 1,000 ใบสามารถถูกเจาะได้โดยง่าย โดยมีสาเหตุมาจากตัวสุ่มเลขหลายๆ ครั้งมีความสามารถในการสุ่มไม่เพียงพอ ทำให้เกิดการใช้จำนวนเฉพาะ (prime number) ที่ซ้ำกันในใบรับรองหลายใบ ทำให้การแฮกข้อมูลที่เข้ารหัสด้วยใบรับรองเหล่านี้ทำได้ง่ายมาก

EFF (The Electronic Frontier Foundation) ได้เปิดตัวเวอร์ชัน 2.0 ของ "HTTPS Everywhere" สำหรับ Firefox และเวอร์ชันทดลองสำหรับ Chrome ซึ่งได้รวมเอาการอัพเดทที่สำคัญที่จะช่วยในการแจ้งเตือนผู้ใช้เกี่ยวกับความปลอดภัยในการใช้เว็บไซต์ต่างๆ

Cisco ปรับปรุงการสอบ CCNA และ CCNP รวมทั้งใบรับรองด้านความปลอดภัย เพื่อให้มีความทันสมัยและรองรับอุปกรณ์ด้านความปลอดภัยใหม่ๆ การปรับปรุงด้านการสอบครั้งนี้ล้วนเกิดขึ้นตามแนวโน้มของโลกอินเทอร์เน็ตที่มีความนิยมในการใช้อุปกรณ์พกพา และการประมวลผลบนกลุ่มเมฆที่มากขึ้น

แฮกเกอร์พบช่องโหว่ในเว็บไซต์ Ask.com, AOL.com, Cisco.com และ Intel.com โดยทั้งสี่เว็บเป็นช่องโหว่ Cross-site scripting (XSS) ที่มุ่งโจมตีไปในการดักจับและแก้ไข cookie ของผู้ใช้งาน ทำให้สามารถเข้าถึงบัญชีผู้ใช้รวมไปถึงข้อมูลส่วนตัวของผู้ใช้งานได้

Google เสนอรางวัลเป็นเงินจำนวนรวม $1,000,000 สำหรับใครก็ตามที่ประสบความสำเร็จในการแฮกเบราว์เซอร์ Google Chrome ในการแข่งขัน Pwnium Contest ที่กำลังจะจัดขึ้นในวันที่ 7 พฤษภาคมนี้ ซึ่งเป็นการแข่งขันที่แยกออกจากรายการ Pwn2Own โดยจากการแข่งขันครั้งที่แล้วมาใน Pwn2Own (

บริษัท Intego Security ผู้เชี่ยวชาญและผู้ผลิตโปรแกรมแอนตี้ไวรัสของแมคได้ออกมาประกาศเกี่ยวกับการค้นพบมัลแวร์ตัวใหม่ Flashback.G โดยมัลแวร์ตัวนี้มีความสามารถพิเศษคือสามารถติดตั้งและทำการโจมตีได้เลยโดยไม่ต้องอาศัยการโต้ตอบกับผู้ใช้ โดย Flashback.G จะมุ่งโจมตีไปที่บั๊กของจาวาซึ่งถูกค้นพบในปี 2008 ซึ่งทาง Apple ก็ได้ออกมาแพตซ์ช่องโหว่นี้แล้วเมื่อเดือนพฤศจิกายนที่ผ่านมา

หลังจาก Anonymous ได้แฮกเข้าบริษัท Stratfor ซึ่งเป็นบริษัทด้านการรักษาความปลอดภัยและเป็นหนึ่งในคู่สัญญาของกองทัพสหรัฐฯ และได้ข้อมูลไปเป็นจำนวนมาก เมื่อไม่กี่ชั่วโมงที่ผ่านมานี้ WikiLeaks (ซึ่งอย่างที่รู้ๆ กันว่ามี Anonymous คอยสนับสนุน) ได้ทำการเผยแพร่อีเมลภายในทั้งหมดของบริษัท Stratfor บนเว็บไซต์ของ Wi

นักวิจัยอิสระด้านความปลอดภัยของคอมพิวเตอร์ Ucha Gobejishvili ได้ตรวจพบช่องโหว่บนเว็บไซต์ของ Skype ทั้งใน shop.skype.com และ api.skype.com จากช่องโหว่นี้แฮกเกอร์สามารถเข้าดำเนินการกับ cookies/session ของผู้ใช้งานทันทีที่ผู้ใช้งานเผลอคลิกลิงก์ที่แฮกเกอร์ส่งให้ ง่ายๆ ว่าทันทีที่คลิกลิงก์แฮกเกอร์ก็สามารถปล้นข้อมูลส่วนตัวบนบัญชีของผู้ใช้งานได้ทันทีครับ

ตอนนี้หลาย ๆ คนคงรู้จักกับ Google Chrome เป็นอย่างดี เพราะถือเป็น Internet Browser ที่มาทีหลัง แต่กลับมาแรงแซงหน้ารุ่นพี่ที่มาก่อนหลาย ๆ เจ้าอย่างขาดลอยทั้งเรื่องความเร็ว หรือ ด้านอื่น ๆ และเวอร์ชั่นทดลองล่าสุด Chrome ได้เพิ่มฟังก์ชั่นปกป้องการดาวน์โหลดภัยคุกคามมาด้วย

Chrome มีเทคโนโลยี “Safe Browsing” ซึ่งแต่เดิมเน้นเฉพาะการปกป้องผู้ใช้จาก เว็บไซต์อันตรายที่แพร่กระจายภัยคุกคามได้โดยเพียงผู้ใช้คลิกเข้าไปดูเท่านั้น แต่ด้วยเวอร์ชั่นใหม่นี้ได้ครอบคลุมถึงการพยายามติดตั้งไฟล์อันตรายจากเว็บไซต์ เมือไฟล์หรือเว็บไซต์เหล่านั้นมีโอกาสที่จะเป็นอันตรายสูง Chrome ก็จะขึ้นเตือนผู้ใช้งานขึ้นมา ซึ่งผู้ใช้ก็ควรที่จะปฏิเสธในการติดตั้งไฟล์เหล่านั้นทิ้งเสีย

บริษัทวิจัยระบบเครือข่าย Arbor Networks รายงานข้อมูลว่าพบการยิง Distributed Denial of Service (DDoS) บนเครือข่าย IPv6 เป็นครั้งแรก

ถึงแม้จะฟังดูไม่ค่อยดีเท่าไร แต่การยิง DDoS ครั้งนี้เป็นสัญญาณบ่งชี้ว่า IPv6 เริ่มแพร่หลายมากขึ้น เพราะมีคอมพิวเตอร์จำนวนมากพอที่ผู้ประสงค์ร้ายจะสามารถใช้เป็นฐานในการยิง DDoS ได้

Arbor Networks เคยพยากรณ์ว่าจะมีการยิง DDoS บน IPv6 มาก่อนหน้านี้แล้ว และชี้ชัดว่าเราจะเห็น DDoS มากขึ้นเมื่อ IPv6 ขยายตัวมากขึ้น ซึ่งตรงนี้เป็นหน้าที่ของผู้ดูแลระบบเครือข่ายที่ต้องหาวิธีป้องกันกันต่อไป

ที่มา - ZDNet

Trend Micro ได้ทำการเผยแพร่ซอร์สโค้ดของโปรแกรมแอนตี้มัลแวร์ฟรี HijackThis แล้วผ่านทาง Sourceforge ภายใต้ GPL เวอร์ชัน 2

โดยทาง Merijn Bellekom ผู้สร้าง HijackThis ได้แสดงความคิดเห็นว่านี่จะเป็นผลดีต่อการพัฒนาของโปรแกรม เพราะจะทำให้ผู้ใช้งานสามารถพัฒนาโปรแกรมที่มีความเฉพาะเจาะจงต่อประเภทของมัลแวร์ได้ดียิ่งขึ้น โดยผลงานชิ้นนี้ของ Bellekom ถูกซื้อกิจการโดย Trend Micro ในปี 2007 และได้รับความแพร่หลายในการใข้งานอย่างสูง