คนที่ทันยุคของ Symbian คงรู้ซึ้งถึงการ signed app กันดี มันคือการนำคีย์ของนักพัฒนามาลงลายเซ็นไว้ที่ตัวแอพ ซึ่งมีข้อดีคือมันคือความปลอดภัย รับรองได้ว่าเป็นแอพแท้ๆ จากนักพัฒนาโดยตรง แต่กระบวนการของมันก็มีความยุ่งยากสูงต่อนักพัฒนา
ล่าสุดมีแววว่าแอปเปิลจะนำแนวคิดนี้กลับมาอีกครั้ง เพราะนักพัฒนาบน Mac App Store ได้อีเมลจากแอปเปิลว่าบริษัทต้องการป้องกันผู้ใช้จากมัลแวร์ที่ดาวน์โหลดมาจากนอก Mac App Store จึงเริ่มโครงการ Developer ID ให้นักพัฒนา signed แอพของตัวเองเพื่อรับรองว่าเป็นแอพตัวจริง ไม่ใช่มัลแวร์
จากนั้นจะเป็นหน้าที่ของ MSE Gatekeeper ฟีเจอร์ใหม่ของ Mountain Lion ที่จะคอยกรองแอพให้ผู้ใช้
ข่าวนี้ออกจะยากสักหน่อย แต่เป็นสำหรับผู้ที่ต้องระวังเรื่องความปลอดภัยข้อมูลมากๆ คือเมื่อเดือนที่ผ่านมา มีการตีพิมพ์งานวิจัยว่าในอินเทอร์เน็ตนั้น ใบรับรอง SSL จำนวนหนึ่งประมาณ 2 ใบในทุกๆ 1,000 ใบสามารถถูกเจาะได้โดยง่าย โดยมีสาเหตุมาจากตัวสุ่มเลขหลายๆ ครั้งมีความสามารถในการสุ่มไม่เพียงพอ ทำให้เกิดการใช้จำนวนเฉพาะ (prime number) ที่ซ้ำกันในใบรับรองหลายใบ ทำให้การแฮกข้อมูลที่เข้ารหัสด้วยใบรับรองเหล่านี้ทำได้ง่ายมาก
EFF (The Electronic Frontier Foundation) ได้เปิดตัวเวอร์ชัน 2.0 ของ "HTTPS Everywhere" สำหรับ Firefox และเวอร์ชันทดลองสำหรับ Chrome ซึ่งได้รวมเอาการอัพเดทที่สำคัญที่จะช่วยในการแจ้งเตือนผู้ใช้เกี่ยวกับความปลอดภัยในการใช้เว็บไซต์ต่างๆ
Cisco ปรับปรุงการสอบ CCNA และ CCNP รวมทั้งใบรับรองด้านความปลอดภัย เพื่อให้มีความทันสมัยและรองรับอุปกรณ์ด้านความปลอดภัยใหม่ๆ การปรับปรุงด้านการสอบครั้งนี้ล้วนเกิดขึ้นตามแนวโน้มของโลกอินเทอร์เน็ตที่มีความนิยมในการใช้อุปกรณ์พกพา และการประมวลผลบนกลุ่มเมฆที่มากขึ้น
แฮกเกอร์พบช่องโหว่ในเว็บไซต์ Ask.com, AOL.com, Cisco.com และ Intel.com โดยทั้งสี่เว็บเป็นช่องโหว่ Cross-site scripting (XSS) ที่มุ่งโจมตีไปในการดักจับและแก้ไข cookie ของผู้ใช้งาน ทำให้สามารถเข้าถึงบัญชีผู้ใช้รวมไปถึงข้อมูลส่วนตัวของผู้ใช้งานได้
บริษัท Intego Security ผู้เชี่ยวชาญและผู้ผลิตโปรแกรมแอนตี้ไวรัสของแมคได้ออกมาประกาศเกี่ยวกับการค้นพบมัลแวร์ตัวใหม่ Flashback.G โดยมัลแวร์ตัวนี้มีความสามารถพิเศษคือสามารถติดตั้งและทำการโจมตีได้เลยโดยไม่ต้องอาศัยการโต้ตอบกับผู้ใช้ โดย Flashback.G จะมุ่งโจมตีไปที่บั๊กของจาวาซึ่งถูกค้นพบในปี 2008 ซึ่งทาง Apple ก็ได้ออกมาแพตซ์ช่องโหว่นี้แล้วเมื่อเดือนพฤศจิกายนที่ผ่านมา
หลังจาก Anonymous ได้แฮกเข้าบริษัท Stratfor ซึ่งเป็นบริษัทด้านการรักษาความปลอดภัยและเป็นหนึ่งในคู่สัญญาของกองทัพสหรัฐฯ และได้ข้อมูลไปเป็นจำนวนมาก เมื่อไม่กี่ชั่วโมงที่ผ่านมานี้ WikiLeaks (ซึ่งอย่างที่รู้ๆ กันว่ามี Anonymous คอยสนับสนุน) ได้ทำการเผยแพร่อีเมลภายในทั้งหมดของบริษัท Stratfor บนเว็บไซต์ของ Wi
นักวิจัยอิสระด้านความปลอดภัยของคอมพิวเตอร์ Ucha Gobejishvili ได้ตรวจพบช่องโหว่บนเว็บไซต์ของ Skype ทั้งใน shop.skype.com และ api.skype.com จากช่องโหว่นี้แฮกเกอร์สามารถเข้าดำเนินการกับ cookies/session ของผู้ใช้งานทันทีที่ผู้ใช้งานเผลอคลิกลิงก์ที่แฮกเกอร์ส่งให้ ง่ายๆ ว่าทันทีที่คลิกลิงก์แฮกเกอร์ก็สามารถปล้นข้อมูลส่วนตัวบนบัญชีของผู้ใช้งานได้ทันทีครับ
ตอนนี้หลาย ๆ คนคงรู้จักกับ Google Chrome เป็นอย่างดี เพราะถือเป็น Internet Browser ที่มาทีหลัง แต่กลับมาแรงแซงหน้ารุ่นพี่ที่มาก่อนหลาย ๆ เจ้าอย่างขาดลอยทั้งเรื่องความเร็ว หรือ ด้านอื่น ๆ และเวอร์ชั่นทดลองล่าสุด Chrome ได้เพิ่มฟังก์ชั่นปกป้องการดาวน์โหลดภัยคุกคามมาด้วย
Chrome มีเทคโนโลยี “Safe Browsing” ซึ่งแต่เดิมเน้นเฉพาะการปกป้องผู้ใช้จาก เว็บไซต์อันตรายที่แพร่กระจายภัยคุกคามได้โดยเพียงผู้ใช้คลิกเข้าไปดูเท่านั้น แต่ด้วยเวอร์ชั่นใหม่นี้ได้ครอบคลุมถึงการพยายามติดตั้งไฟล์อันตรายจากเว็บไซต์ เมือไฟล์หรือเว็บไซต์เหล่านั้นมีโอกาสที่จะเป็นอันตรายสูง Chrome ก็จะขึ้นเตือนผู้ใช้งานขึ้นมา ซึ่งผู้ใช้ก็ควรที่จะปฏิเสธในการติดตั้งไฟล์เหล่านั้นทิ้งเสีย
บริษัทวิจัยระบบเครือข่าย Arbor Networks รายงานข้อมูลว่าพบการยิง Distributed Denial of Service (DDoS) บนเครือข่าย IPv6 เป็นครั้งแรก
ถึงแม้จะฟังดูไม่ค่อยดีเท่าไร แต่การยิง DDoS ครั้งนี้เป็นสัญญาณบ่งชี้ว่า IPv6 เริ่มแพร่หลายมากขึ้น เพราะมีคอมพิวเตอร์จำนวนมากพอที่ผู้ประสงค์ร้ายจะสามารถใช้เป็นฐานในการยิง DDoS ได้
Arbor Networks เคยพยากรณ์ว่าจะมีการยิง DDoS บน IPv6 มาก่อนหน้านี้แล้ว และชี้ชัดว่าเราจะเห็น DDoS มากขึ้นเมื่อ IPv6 ขยายตัวมากขึ้น ซึ่งตรงนี้เป็นหน้าที่ของผู้ดูแลระบบเครือข่ายที่ต้องหาวิธีป้องกันกันต่อไป
ที่มา - ZDNet
Trend Micro ได้ทำการเผยแพร่ซอร์สโค้ดของโปรแกรมแอนตี้มัลแวร์ฟรี HijackThis แล้วผ่านทาง Sourceforge ภายใต้ GPL เวอร์ชัน 2
โดยทาง Merijn Bellekom ผู้สร้าง HijackThis ได้แสดงความคิดเห็นว่านี่จะเป็นผลดีต่อการพัฒนาของโปรแกรม เพราะจะทำให้ผู้ใช้งานสามารถพัฒนาโปรแกรมที่มีความเฉพาะเจาะจงต่อประเภทของมัลแวร์ได้ดียิ่งขึ้น โดยผลงานชิ้นนี้ของ Bellekom ถูกซื้อกิจการโดย Trend Micro ในปี 2007 และได้รับความแพร่หลายในการใข้งานอย่างสูง
กูเกิลกำลังพยายามแก้ปัญหา "รหัสผ่านเดาง่าย" ในเว็บไซต์ต่างๆ โดยจะเพิ่มตัวช่วยตั้งรหัสผ่านเข้ามาใน Chrome
หลักการทำงานของมันคือ ถ้าเราใช้ Chrome เข้าหน้าเว็บที่ขอให้ตั้งรหัสผ่าน จะมีไอคอนรูปกุญแจเพิ่มเข้ามาในฟิลด์รหัสผ่าน (ภาพประกอบ) เมื่อกดแล้ว Chrome จะถามว่าต้องการให้ช่วยสร้างรหัสผ่านหรือไม่ ซึ่งรหัสผ่านที่ตั้งให้จะประกอบด้วยตัวอักษร ตัวเลข และอักขระพิเศษอื่นๆ เพื่อช่วยให้เจาะระบบได้ยากขึ้น
ทุกวันนี้กลุ่มแฮกเกอร์ Anonymous ใช้ WebLOIC (ทูลสำหรับ DDoS แบบใหม่) ในการยิงเครือข่ายเป้าหมาย เนื่องจากใช้งานได้ง่ายกว่า LOIC แบบเก่า เพราะไม่ต้องดาวน์โหลดแอพพลิเคชันมาใช้งาน โดย WebLOIC นั้นทำงานด้วยจาวาสคริปในเว็บเบราว์เซอร์ แต่มีลักษณะการทำงานเหมือนกัน LOIC คือสามารถยิงรีเควสท์หลายพันครั้งไปยังเหยื่อได้อย่างรวดเร็ว
หลังจากเว็บไซต์ของ Anonymous ถูกแฮกไปเมื่อสองวันที่แล้ว ทางเว็บไซต์ Cyber War News ได้ลองส่งอีเมลไปสัมภาษณ์ Exotz เจ้าของผลงานการแฮกในครั้งนี้ และก็ได้รับคำตอบกลับมายืนยันว่าตนไม่เคยมีส่วนเกี่ยวข้องกับ anonymous มาก่อน และเว็บไซต์ anonyops มีสคริปต์ห่วยๆ อยู่เพียบ เขาใช้เวลาเพียงนิดเดียวก็แฮกได้แล้ว โดยมีเนื้อหาดังนี้
CWN: คุณคิดว่าตัวเองเป็น anonymous หรือไม่?
Exotz: ผมไม่ได้เป็นส่วนหนึ่งของ anonymous ไม่เคยเป็นและไม่มีทางที่จะเป็น
CWN: คุณมีแรงจูงใจอะไรในการโจมตีในครั้งนี้?
Exotz: แรงจูงใจ? ก็แค่ขำๆ
CWN: คุณแฮกด้วยวิธีการอะไร?
Adobe Flash Player เจองานหนักอีกครั้ง เมื่อแฮกเกอร์ค้นพบช่องโหว่ (zero day bug) บน Adobe Flash Player 11.1.102.55 และในเวอร์ชันก่อนหน้านี้ทั้งบน Windows, Macintosh, Linux และ Solaris โดยมีเป้าหมายส่วนใหญ่เป็น Internet Explorer และมีรูปแบบการใช้ช่องโหว่ผ่านทางการคลิกลิงก์ที่แนบมากับอีเมล
ซึ่งผลกระทบของช่องโหว่นี้ทำให้ Adobe Flash Player บางเวอร์ชันบน Android 4.x และ 3.x มีความเสี่ยงสูงที่จะถูกโจมตีผ่านทางช่องโหว่นี้ด้วย โดยทาง Adobe ได้ออกอัพเดตเวอร์ชันใหม่ที่มีการแพตซ์ช่องโหว่เป็นที่เรียบร้อยแล้ว
ผู้อ่านสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ และดาวน์โหลด Adobe Flash Player เวอร์ชันล่าสุดได้จากแหล่งที่มาเลยครับ
หลังจากทวิตเตอร์และเฟชบุ๊กล้วนมีตัวเลือกให้เปิด HTTPS ตลอดการใช้งานได้ ตอนนี้ทางฝั่งทวิตเตอร์ก็เปิดตัวเลือกนี้ให้กับผู้ใช้ทุกคนแล้ว โดยหลังจากนี้ทุกคนที่ต้องการเชื่อมต่อแบบไม่เข้ารหัสจะต้องปิดตัวเลือกนี้ด้วยตัวเอง
แนวทางนี้เป็นแนวทางเดียวกับจีเมลที่ค่อยๆ ปรับมาใช้ HTTPS ในแบบเดียวกัน
ด้วยแนวทางนี้รัฐบาลหลายๆ ประเทศคงมีปัญหากับการตรวจจับข้อความในทวิตเตอร์ตามมาเช่นเดียวกับบริการที่เข้ารหัสตลอดเวลาอื่นๆ เราคงต้องรอดูกันว่าแนวทางการเปิดให้รัฐบาลต่างๆ เข้าถึงข้อมูลที่เข้ารหัสเหล่านี้จะเป็นอย่างไร
ที่มา - Twitter
เว็บไซต์ของ Nasdaq และเว็บไซต์ของตลาดหลักทรัพย์ BATS Inc. ถูกโจมตีอีกครั้งโดยแฮกเกอร์โดยผ่านทางการโจมตีแบบ DDoS เป็นระลอกใหญ่ในช่วง 24 ชั่วโมงที่ผ่านมา ส่งผลให้เว็บไซต์ไม่สามารถใช้การได้เป็นระยะเวลาหนึ่ง
ภายหลังการโจมตี L0NGwave99 แฮกเกอร์รายหนึ่งได้ออกมาแสดงความรับผิดชอบ และสรุปผลการโจมตีว่าประสบความสำเร็จด้วยดี ภายใต้การสนับสนุนของกลุ่มของเขา ผ่านทาง pastebin
ทางโฆษกของ Nasdaq ได้ออกมาให้การยืนยันถึงการโจมตีนี้พร้อมกล่าวว่า การโจมตีครั้งนี้ไม่ใช่การบุกรุกเพื่อการเข้าถึงข้อมูล และไม่มีข้อมูลใดถูกจารกรรมออกไป เพียงแค่เป็นการปิดกั้นการเข้าถึงเว็บไซต์จากผู้ใช้งาน และไม่มีผลกระทบต่อตลาดหุ้นของ Nasdaq แต่อย่างใด
ถึงแม้ PS Vita จะมีส่วนควบคุมและกรองเว็บไซต์สำหรับผู้ปกครองอยู่แล้ว แต่ Trend Micro ก็มีโปรแกรมที่จะช่วยสร้างความมั่นใจให้กับเจ้าของ PS Vita ว่าจะสามารถท่องโลกอินเทอร์เน็ตผ่านเว็บเบราว์เซอร์บนเครื่องเล่นเกมขนาดพกพานี้ได้อย่างปลอดภัยจากการโจมตีและการหลอกลวงทางอินเทอร์เน็ต ทั้ง phishing/scam ด้วย
โปรแกรมที่ Trend Micro นำเสนอ คือ Trend Micro Web Safety สำหรับป้องกันเว็บไซต์หลอกลวง และ Trend Micro Kids Safety สำหรับป้องกันเว็บไซต์ที่มีเนื้อหาที่ไม่เหมาะสมหรือเป็นอันตราย (โปรแกรมทั้งสองมีจำหน่ายสำหรับ PSP และ PS3 อยู่แล้ว)
กูเกิลเพิ่งมีข่าว Google Wallet โดนแฮ็ก ไปถึง
โครงการ Tor ที่ใช้ปกปิดตัวตนของผู้ใช้ที่ได้รับความนิยมค่อนข้างมากในประเทศที่ปิดกั้นอินเทอร์เน็ตสูงๆ เช่นอิหร่านและจีน ตอบโต้มาตรการปิดกั้น HTTPS ของอิหร่านด้วย obfsproxy ซึ่งเป็นพรอกซี่ที่จะปลอมข้อความที่เข้ารหัสแบบ SSL ให้เป็นข้อความที่ดูเหมือนกับข้อความที่ไม่ได้เข้ารหัสทั่วไป
วิธีการแก้ปัญหา "รูรั่ว" แบบหนึ่งที่ค่อนข้างประสบความสำเร็จด้วยดี คือการตั้งรางวัลนำจับช่องโหว่ ใครที่ค้นพบรูโหว่ด้านความปลอดภัยแล้วแจ้งกลับไปยังผู้พัฒนา ก็รับเงินสินน้ำใจตอบแทนไปตามความยากของบั๊ก
องค์กรหลายแห่งใช้วิธีนี้กันมานาน เช่น Mozilla หรือ กูเกิลกับกรณีของ Chrome ซึ่งกูเกิลทำโครงการนี้มาสองปี จ่ายเงินไปแล้วกว่า 700,000 ดอลลาร์สำหรับค่านำจับ ค้นพบช่องโหว่ 1,100 รายการ และมีผู้เข้าร่วมแจ้งบั๊กกว่า 200 ราย
จาก ข่าวเก่า
ที่ปรึกษาของประธานาธิบดี Bashar Assad ถูกเจาะโดยกลุ่ม Anonymous จำนวน 78 บัญชีทำให้มีเอกสารหลุดออกมาจำนวนมาก โดยเฉพาะอีเมลฉบับหนึ่งที่เป็นเอกสารแนะนำการเตรียมตัวตอบคำถามของสำนักข่าว ABC จาก Sheherazad Jaafari
อีเมลจำนวนมากใช้รหัสผ่าน 12345 ซึ่งฝ่ายเทคนิคได้เตือนให้ทุกคนเปลี่ยนรหัสผ่านหลังจากใช้งานแล้ว
คำแนะนำในอีเมลฉบับนั้นแนะนำประธานาธิบดีถึงกระบวนการโต้ตอบกับสื่อ โดยให้ยอมรับว่ามี ความผิดพลาด ในการจัดการกับผู้ชุมนุมและกำลังได้รับการแก้ไข พร้อมกับให้พยายามใช้สื่อเพื่อกดดันไม่ให้รัฐบาลสหรัฐฯ เข้ามายุ่งเกี่ยวกับซีเรีย
บ้านเราสมัยนายกถูกแฮกรหัสผ่านก็น่าจะเดาง่ายในระดับใกล้ๆ กัน
นักวิจัยด้านความปลอดภัยจาก zvelo เปิดเผยจุดอ่อนของ Google Wallet โดยระบุว่า จากการสืบค้นจาก source code ของแอพพลิเคชั่น ร่วมกับข้อมูลที่เปิดเผยต่อสาธารณะจาก Google สามารถเปิดเผยรหัสส่วนตัวของผู้ใช้, ชื่อบัญชี Google และ รหัสผ่าน 4 หลักในการเข้าใช้โปรแกรม ซึ่งรหัสผ่านนี้เนื่องจากรู้ว่าเป็นเลข 4 หลักจึงทำให้การเจาะรหัสโดยการสุ่มเลขรหัสจนถูก (brute-force) ได้ในไม่เกิน 10000 ครั้ง ซึ่งเพื่อสนับสนุนข้อมูลนี้ทีมนักวิจัยก็สร้างแอพพลิเคชันในการเจาะรหัสผ่านนี้อีกมาด้วย