งาน CCC ที่เยอรมันเป็นงานประชุมวิชาการของแฮกเกอร์ระดับโลกที่มักมีการเปิดเผยเทคนิคใหม่ๆ ในการเจาะระบบมากมาย และปีนี้งานก็เริ่มต้นขึ้นในชื่อ 28C3 (ตัวเลขเพิ่มขึ้นตามจำนวนครั้งของงาน) การบรรยายแรกที่เปิดเผยออกมาคือการวิเคราะห์รูปแบบของแพ็กเก็ตของโทรศัพท์ไอพี (Voice over IP) เช่น Skype และ GTalk ที่มักเข้ารหัสข้อมูลเสียง แต่แฮกเกอร์ก็ยังสามารถ "เดา" ได้ว่ามีการพูดประโยคบางประโยคหรือไม่ด้วยความแม่นยำสูง

กลุ่มแฮกเกอร์ Anonymous ได้ทำการแฮกระบบของบริษัท Stratfor ซึ่งเป็นบริษัทที่มีชื่อเสียงทางด้านการวิเคราะห์ข้อมูลและระบบความปลอดภัย โดยจุดประสงค์ของการแฮกในครั้งนี้คือการขโมยหมายเลขบัตรเครดิตเพื่อนำไปใช้บริจาคเงินให้กับองค์กรการกุศลต่างๆ เนื่องในโอกาสวันคริสต์มาสในปีนี้

ตัวแทนจาก Anonymous กล่าวว่าบริษัท Stratfor ได้ทำความผิดพลาดอย่างร้ายแรงโดยไม่เข้ารหัสข้อมูลที่สำคัญของลูกค้าและหมายเลขบัตรเครดิต นอกจากนี้แล้ว Anonymous ยังสามารถเข้าถึงข้อมูลลูกค้าสำคัญของ Stratfor อย่างเช่น กองทัพสหรัฐ, สำนักงานตำรวจไมแอมี และธนาคารหลายแห่งได้อีกด้วย

เมื่อกลางเดือนที่แล้ว ทีมวิจัยจากมหาวิทยาลัยโคลัมเบียได้เผยช่องโหว่ของพริ้นท์เตอร์ตระกูล LaserJet ของเอชพี ซึ่งผู้ไม่ประสงค์ดีสามารถส่งคำสั่งเข้าไปและทำให้เกิดความร้อนที่ตัว fuser (ตัวที่ทำให้หมึกแห้งสนิท) และเกิดควันจากกระดาษได้ (แต่ไม่ถึงขั้นระเบิดพริ้นท์เตอร์เนื่องจากตัวเครื่องมีระบบตัดการทำงานเมื่อพบว่ามีความร้อนมากเกินไป) ทีมวิจัยระบุว่าอุปกรณ์ใดก็ตามที่รองรับการอัพเกรดเฟิร์มแวร์และสามารถต่อเชื่อมกับเน็ตเวิร์คได้โดยตรงก็เสี่ยงที่จะถูกโจมตีในลักษณะนี้โดยที่ไม่มีอะไรสามารถปกป้องเอาไว้ได้

เดือนที่แล้วทวิตเตอร์เพิ่งเข้าซื้อบริษัท Whisper System บริษัทซอฟต์แวร์ด้านความปลอดภัยหลากหลายรูปแบบ โดยไม่บอกว่าจะซื้อไปโดยต้องการอะไร และวันนี้ทางทวิตเตอร์ก็ประกาศโอเพนซอร์สซอฟต์แวร์บางตัวออกมาแล้ว ตัวแรกคือ TextSecure

TextSecure คือโปรแกรมรับส่ง SMS สำหรับแอนดรอยด์ที่เพิ่มความปลอดภัยหลายด้าน ตั้งแต่การเข้ารหัสข้อความเวลาเก็บในเครื่อง, การเข้ารหัสข้อความที่ส่งออกไป, และการยืนยันตัวผู้ส่ง

นอกจาก TextSecure แล้วยังมีโครงการ อื่นๆ ที่ทางทวิตเตอร์ระบุว่าจะเปิดออกมาเรื่อยๆ แต่ยังไม่มีข้อมูลว่าจะมีอะไรบ้าง โดยซอฟต์แวร์ของ Whisper System นั้นยังมีระบบความปลอดภัยอื่นๆ เช่นระบบไฟล์ที่เข้ารหัส, ระบบตรวจสอบข้อมูลก่อนส่งออกจากเครื่อง

ข่าวการแฮ็กนี้เกิดตั้งแต่สัปดาห์ก่อน แต่บริษัทเพิ่งออกมาแถลงว่าไม่มีข้อมูลถูกจารกรรมไป ก็ขอเขียนข่าวเดียวรวบยอดเลยนะครับ

เมื่อสัปดาห์ก่อนคือช่วงวันที่ 12 ธันวาคม เซิร์ฟเวอร์ของบริการ Square Enix Members ซึ่งเป็นเว็บข่าว-บล็อกของค่ายเกม Square Enix ต้องปิดบริการชั่วคราวสำหรับลูกค้าในสหรัฐอเมริกาและญี่ปุ่น เนื่องจากค้นพบว่าเซิร์ฟเวอร์ถูกแฮ็ก

ล่าสุด Square Enix ออกมาแถลงแล้วว่าฐานข้อมูลที่เก็บข้อมูลส่วนบุคคลของลูกค้าไม่ถูกใช้งานในช่วงที่แฮ็กเกอร์บุกเข้ามา และตัวบริการจะกลับมาในปลายเดือนธันวาคมนี้

บริการ Square Enix Members ของฝั่งยุโรปไม่โดนผลกระทบจากการแฮ็กรอบนี้ อย่างไรก็ตาม ปีนี้เป็นปีแห่งการแฮ็กบริการออนไลน์ของค่ายเกมจริงๆ

ต่อเนื่องจากข่าว ไมโครซอฟท์แจก Windows Phone ให้ผู้ใช้ Android ที่เจอมัลแวร์ ซึ่งผู้ที่ต้องการเปลี่ยนมาใช้ Windows Phone จะต้องทวีตติดแท็ก #droidrage เพื่อร่วมสนุกรับเครื่องฟรีจำนวน 5 เครื่อง

หลังจากมีผู้โพสบนเว็บไซต์ WinRumors ว่าได้ค้นพบช่องโหว่บน Windows Phone ที่เมื่อถูกโจมตีด้วย SMS หรือข้อความผ่านเครือข่ายสังคมออนไลน์แล้วเครื่องจะรีบู๊ตเอง ล่าสุดคุณ Greg Sulivan ผู้จัดการอาวุโสด้านผลิตภัณฑ์ของไมโครซอฟท์ออกมายอมรับผ่าน The Verge ว่า บริษัทกำลังตรวจสอบปัญหานี้อยู่ เมื่อบริษัทมีข้อมูลมากกว่านี้แล้วจึงจะดำเนินการที่เหมาะสมเพื่อให้ผู้ใช้มั่นใจถึงความปลอดภัยต่อไป

Khaled Salameh ซึ่งเป็นผู้ที่เข้าอ่านเว็บไซต์ WinRumors เป็นประจำได้พบช่องโหว่ของ Windows Phone 7.5 โดยเขาสามารถโจมตีโทรศัพท์ที่ใช้ Windows Phone 7.5 ด้วยการส่ง SMS เท่านั้น (ไม่มีการเปิดเผยว่าใน SMS นั้นต้องมีอะไรอยู่บ้าง) หลังจากที่เครื่องได้รับ SMS แล้วก็จะรีบูตตัวเองหนึ่งรอบแล้วก็จะไม่สามารถใช้งาน messaging hub ได้อีกเลย ลองชมวีดีโอได้หลังข่าว

ทางเว็บไซต์ WinRumors ได้ทำการทดสอบการโจมตีด้วยช่องโหว่นี้กับโทรศัพท์ที่ทำงานด้วย Windows Phone 7.5 สำเร็จหลายเครื่องแล้ว ชี้ให้เห็นว่าเป็นข้อผิดพลาดของ Windows Phone 7.5 ไม่ใช่ของโทรศัพท์เครื่องใดเครื่องหนึ่ง

ขอรวมเป็นสองข่าวไว้ด้วยกันครับ

เริ่มจาก Adobe Reader ซึ่งทีมงานจาก Adobe โพสต์ลงในบล็อกเองว่า Adobe Reader เวอร์ชัน 10.1.1 สำหรับ Windows และ 9.4.6 สำหรับ UNIX รวมไปถึงเวอร์ชันที่ต่ำกว่าข้างต้น มีช่องโหว่ที่อันตราย สามารถทำให้คอมพิวเตอร์หยุดทำงาน (crash) และแฮกเกอร์สามารถที่จะอาศัยช่องโหว่เข้าควบคุมคอมพิวเตอร์ได้ โดย Adobe แนะนำให้เปิดใช้งาน Adobe Reader ในโหมด Protected View และจะปล่อยอัพเดตมาอุดช่องโหว่นี้ในวันที่ 10 ธันวาคม (ข่าวนี้ตั้งแต่วันที่ 6 ธันวาคม)

ทีมวิจัย Accuvant (ซึ่งได้รับทุนสนับสนุนจากกูเกิล) ชี้ว่าขณะนี้ Firefox มีความปลอดภัยน้อยกว่า Internet Explorer โดยสาเหตุมาจากการที่ Firefox ไม่สามารถทำ sandbox โค้ดในเบราว์เซอร์ได้ ทำให้เครื่องของผู้ใช้งานตกเป็นเป้าของการถูกโจมตีจากแฮกเกอร์ได้ง่ายกว่า ส่วนเบราว์เซอร์ที่ปลอดภัยที่สุดตอนนี้ก็คือ Chrome (ซึ่งเป็นของกูเกิล)

Accuvant อธิบายว่า Chrome นั้นเป็นโครงการที่เริ่มใหม่ทั้งหมด ทำให้กูเกิลมีโอกาสที่จะใส่ความสามารถทางด้านความปลอดภัยที่ดีกว่าเข้าไปได้ แตกต่างจากคู่แข่งอย่าง Firefox ที่อาศัยโค้ดที่ตกทอดมาเรื่อยๆ เป็นพื้นฐาน ซึ่ง Firefox นั้นเกิดขึ้นมาตั้งแต่ตอนที่ความปลอดภัยของเบราว์เซอร์ยังไม่เป็นปัญหามากนัก ผิดกับ Chrome ที่เกิดมาในเวลาที่เหมาะเจาะพอดี

หลังจากที่ไมโครซอฟท์เปิดตัว Windows Store ร้านขายแอพของ Windows 8 ไปเมื่อวันก่อน ก็มีคนตาดีไปเห็นข้อมูลในเงื่อนไขการใช้งาน (term of use) ว่าไมโครซอฟท์สามารถสั่งลบแอพที่เราติดตั้งไปแล้วได้

เงื่อนไขในการลบแอพที่ไมโครซอฟท์ระบุไว้คือ แอพมีผลต่อความปลอดภัย หรือแอพที่มีปัญหาทางกฎหมาย และในบางกรณีไมโครซอฟท์อาจคืนเงินค่าแอพที่ลบทิ้งให้ด้วย

มีคนค้นพบช่องโหว่ด้านการตั้งค่าความเป็นส่วนตัวของ Facebook โดยเข้าไปที่หน้าแจ้งภาพแสดงตนไม่เหมาะสม และเลือกว่าเป็นภาพเปลือยหรืออนาจาร จากนั้นระบบของ Facebook จะนำ "ภาพอื่นๆ" ของผู้ใช้คนนั้นขึ้นมาถามเราด้วยว่าเป็นภาพอนาจารหรือไม่ (แม้ว่าเราจะตั้งค่าความเป็นส่วนตัวเอาไว้ก็ตาม)

ช่องโหว่นี้ทำให้ใครก็ได้สามารถดูภาพใดๆ ของผู้ใช้คนใดก็ได้ และสามารถเซฟภาพออกนี้มาเผยแพร่ต่อสาธารณะได้ด้วย

คนที่โดนช่องโหว่นี้เล่นงานก็ไม่ใช่ใครอื่น เขาคือ Mark Zuckerberg

OpenDNS นั้นให้บริการ DNS ฟรีมาเป็นรายแรกๆ (ช่วงหลังมีกูเกิลลงมาแข่งด้วย) แต่ล่าสุด OpenDNS ก็เปิดบริการ DNSCrypt เพิ่มขึ้นมาแล้ว

บริการ DNSCrypt นี้จริงๆ ก็คือการเชื่อมต่อกับ OpenDNS ผ่าน SSL เพื่อป้องกันการปลอมแปลงข้อมูลหรือดักฟังการใช้งานเว็บ มันช่วยลดความเสี่ยงในบางกรณีเช่น DNS Poisoning ลงได้ แต่มันไม่ใช่การรักษาความปลอดภัยเต็มรูปแบบเหมือน DNSSEC คือหากข้อมูลฝั่ง OpenDNS ผิด เราก็จะได้ข้อมูลมาผิดด้วย

ตอนนี้มีเฉพาะรุ่นแมคเท่านั้นส่วนวินโดวส์และลินุกซ์จะตามมาเร็วๆ นี้ สำหรับบ้านเราระบบเข้ารหัสแบบนี้น่าจะมีปัญหากับระบบล็อกอิน Wi-Fi จำนวนมาก อาจจะต้องปิดโปรแกรมก่อนตอนจะล็อกอิน หรือไม่ก็จำ URL สำหรับล็อกอินเตรียมไว้

มีรายงานในห้องสินธรเว็บ Pantip.com ว่าบริการ EasyFund ของธนาคารไทยพาณิชย์ว่านั้นส่งข้อมูลสำคัญหลายอย่างไปกับ URL ที่อยู่ใน iframe ของเว็บธนาคาร ทำให้เมื่อลิงก์เหล่านี้หลุดออกสู่ภายนอก ผู้ที่รู้ค่าพารามิเตอร์ที่ถูกต้องจะสามารถเข้าใช้งานเว็บได้เสมือนเจ้าของบัญชี

ปรกติแล้วเว็บในส่วนของ EasyFund จะถูกรวมอยู่กับเว็บ SCB Easy ภายใต้ iframe ทำให้เบราเซอร์มองไม่เห็น URL จริงๆ แต่หากใครสามารถดึง URL เหล่านั้นออกมาได้ จะพบว่ามีค่าหลายอย่างเช่นหมายเลขบัญชี, หมายเลขผู้ใช้, ตลอดจนหมายเลขประจำ session ซึ่งโดยปรกติแล้วค่าเหล่านี้ควรถูกเก็บไว้กับ cookie มากกว่าที่จะส่งไปมากับ URL เช่นนี้

Ben Laurie และ Adam Langley นักวิจัยด้านความปลอดภัยจากกูเกิลได้ตีพิมพ์ข้อเสนอ (PDF) ปรับปรุงระบบโครงสร้างความปลอดภัยของอินเทอร์เน็ต (Public Key Infrastructure - PKI) จากบทเรียนที่เราพบกว่าหน่วยงานออกใบรับรอง (Certification Authorities - CA) นั้นกลายเป็นรูรั่วหลายครั้งทำให้ความปลอดภัยของอินเทอร์เน็ตโดยรวมมีอันตราย เพราะ CA อาจจะออกใบรับรองให้กับเว็บใดๆ ก็ได้

ข่าวนี้เป็นความเคลื่อนไหวทางยุทธศาสตร์ของ RIM ที่น่าสนใจมากครับ

จุดแข็งของแพลตฟอร์ม BlackBerry ที่ผ่านมาโดยตลอดคือการใช้งานในองค์กร ซึ่งมีฟีเจอร์ด้านความปลอดภัย การเข้ารหัสข้อมูล การดูแลจากระยะไกล ฯลฯ (ต้องทำงานร่วมกันระหว่างตัวมือถือ BlackBerry และเซิร์ฟเวอร์ BES) แต่ตอนหลังเราก็เห็นข่าวว่ามือถือแพลตฟอร์มอื่นๆ โดยเฉพาะ iOS/Android เริ่มเจาะตลาดเดิมของ RIM มากขึ้นเรื่อยๆ (ถึงแม้ว่าจะมีฟีเจอร์ด้านองค์กรเยอะไม่เท่า BlackBerry ก็ตาม)

นี่คือวิกฤตหรือโอกาส? อันนี้ขึ้นอยู่กับมุมมองของแต่ละคน แต่ท่าทีของ RIM รอบนี้ บริษัทมองว่ามันคือ "โอกาส"

บริษัท Prolexic ซึ่งเป็นบริษัทรักษาความปลอดภัยให้กับเว็บไซต์ต่าง ๆ เปิดเผยว่าโลกได้เผชิญกับการโจมตีด้วยวิธี DDoS ที่รุนแรงที่สุดแห่งปี 2011 ไปเมื่อต้นเดือนพฤศจิกายนนี้เอง

การโจมตีครั้งนี้มีทั้งหมด 4 ระลอกและกินระยะเวลาหนึ่งสัปดาห์ คือระหว่างวันที่ 5 ถึง 12 พฤศจิกายนที่ผ่านมา โดยสิ่งที่เกิดขึ้นก็คือมีเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ราว 250,000 เครื่องได้สร้างการเชื่อมต่อมาถล่มเครื่องเป้าหมายสูงสุดถึง 15,000 ครั้งต่อวินาที ซึ่งทำให้มีปริมาณข้อมูลสูงสุดถึง 45 Gbps

Peter Kleissner ได้พบช่องโหว่ที่เป็นปัญหาในด้านของความปลอดภัยใน Windows Developer Preview โดยเขาได้สร้าง bootkit ที่สามารถข้ามผ่านการตรวจสอบของ User Account Control (ไม่มีการถามผู้ใช้งานเลยว่าต้องการจะรันโปรแกรมนี้หรือไม่) ไปได้ด้วยโค้ดขนาดเพียง 14KB เท่านั้น การโจมตีแบบนี้ทำให้สามารถใช้งาน Command Prompt ได้ภายใต้ SYSTEM account ได้ ลองชมวีดีโอสาธิตได้ที่นี่ครับ

ข่าวนี้เป็นภาคต่อของข่าว มัลแวร์ใน Android เพิ่มขึ้นกว่า 472 เปอร์เซ็นต์ตามรายงานของ Juniper นะครับ

เรื่องมีอยู่ว่า Chris DiBona พนักงานฝ่ายโอเพนซอร์สของกูเกิลออกมาตอบโต้ข้อกล่าวหาเหล่านี้ ผ่าน Google+ ของเขาเอง มีประเด็นดังนี้

ข่าวนี้ต่อเนื่องจากข่าวแฮกเกอร์เจาะระบบ SCADA แล้วทำลายปั๊มน้ำไป มาวันนี้กระทรวงความมั่นคง (Department of Homeland Security - DHS) และ FBI ได้ตรวจสอบแล้วพบว่าไม่มีหลัก

เราเคยได้ยินประเด็นความปลอดภัยของระบบ SCADA มาหลายครั้งนับแต่นักวิจัยชาวรัสเซียออกเตือนเรื่องช่องโหว่ และการพบหน้าเว็บควบคุมระบบ SCADA ในเสิร์ชเอนจินต์ แต่ครั้งล่าสุดแฮกเกอร์ก็สามารถเข้าควบคุมปั๊มน้ำของเมืองสปริงฟิลด์ รัฐอิลลินอยส์ได้เป็นผลสำเร็จ และสั่งเปิดปิดปั๊มสลับไปมาจนกระทั่งปั๊มเสียหาย

ผลสำรวจจาก Juniper ตั้งแต่เดือนกรกฎาคมจนถึงกลางเดือนพฤศจิกายนที่ผ่านมานั้น ชี้ให้เห็นว่าปริมาณของมัลแวร์ใน Android นั้นเพิ่มมากขึ้นถึง 472 เปอร์เซ็นต์ โดยในเดือนตุลาคมนั้นเพิ่มขึ้นมาถึง 110 เปอร์เซ็นต์

Juniper กล่าวว่าสาเหตุหลักนั้นมาจากความสะดวกในการอัพโหลดแอพพลิเคชันของผู้พัฒนาประกอบกับความล้มเหลวของกูเกิลในการตรวจสอบแอพพลิเคชันก่อนที่จะให้มีการดาวน์โหลดไปใช้กัน แม้กระทั่งการตรวจสอบว่าแอพพลิเคชันที่อัพโหลดมานั้นทำงานได้ตามที่ผู้พัฒนากล่าวอ้างหรือไม่ ถึงแม้ว่ากูเกิลจะลบแอพพลิเคชันที่ถือว่าเป็นมัลแวร์ทิ้งทันทีหลังจากที่ถูกพบ แต่ก็มักจะถูกพบหลังจากที่ผู้ใช้งาน Android หลายคนได้ดาวน์โหลดไปใช้กันก่อนแล้ว

Valve ยืนยันข่าวว่าร้านขายเกมออนไลน์ Steam ถูกแฮ็ก โดยแฮ็กเกอร์ได้ "สิทธิเข้าถึง" ฐานข้อมูลที่ถูกเข้ารหัสไป แต่ไม่สามารถยืนยันได้ว่าแฮ็กเกอร์ได้ดาวน์โหลดข้อมูลออกมา และสามารถถอดรหัสฐานข้อมูลนี้หรือไม่

ฐานข้อมูลนี้เก็บชื่อผู้ใช้, รหัสผ่าน (ที่ถูกเข้ารหัสและ salted), ประวัติการซื้อเกม, อีเมล, ที่อยู่ออกใบเสร็จ, ข้อมูลบัตรเครดิต (ที่ถูกเข้ารหัส)

Valve บอกว่า ณ ตอนนี้ยังไม่พบหลักฐานว่าข้อมูลบัตรเครดิตและข้อมูลบ่งชี้ตัวตนต่างๆ ถูกเจาะไปด้วย แต่ก็จะสืบสวนเรื่องนี้ต่อไป

Valve เตือนให้ผู้ใช้ Steam เปลี่ยนรหัสผ่าน และบังคับให้ผู้ใช้ Steam forum (ที่ถูกเจาะก่อนหน้านั้น และมีฐานข้อมูลแยกกัน) เปลี่ยนรหัสผ่านทุกคน

ผู้อ่าน Blognone คงคุ้นชื่อของ Charlie Miller แฮ็กเกอร์-ผู้เชี่ยวชาญด้านความปลอดภัยที่ชนะการแข่ง Pwn2Own หลายครั้ง (ดูข่าวเก่าในหมวดกันเอง) Miller เชี่ยวชาญเทคโนโลยีของฝั่งแอปเปิล เคยเจาะได้ทั้ง Safari และ iOS 4 รับของรางวัลเป็นผลิตภัณฑ์ของแอปเปิล (ที่ตัวเองเจาะได้) รวมกันแล้วหลายชิ้น

ล่าสุด Miller ไปพูดที่งานสัมมนาด้านความปลอดภัย SysCan ที่ไต้หวัน และเขาได้เดโมการเจาะช่องโหว่ของระบบ code signing ใน iOS ให้แก่ผู้เข้าร่วมงานดู

แนวทางการพัฒนาให้แอนดรอยด์ได้รับการยอมรับในตลาดองค์กรนั้นเป็นแนวทางที่ชัดเจน แต่ฟีเจอร์ที่ถูกเรียกร้องมายาวนานอย่างการรองรับ Cisco AnyConnect ที่ต้องการโปรโตคอล IPSec โดยฟีเจอร์นี้ถูกเรียกร้องมาตั้งแต่ปี 2009 หรือช่วงแรกๆ ของแอนดรอยด์

บั๊กนี้ถูกปล่อยให้อยู่ในสถานะ New มาตลอดเวลาจนหลายคนบ่นว่ากูเกิลปล่อยบั๊กนี้โดยไม่สนใจ แต่ล่าสุดหลังการปล่อย Android 4.0 Ice-Cream Sandwich กูเกิลก็ออกมาบอกสั้นๆ ว่าบั๊กนี้ถูกแก้ไปแล้ว

อย่างไรก็ดีแม้บั๊กนี้จะถูกแก้ไปแล้ว แต่ก็แสดงความ "ปิด" ของแอนดรอยด์ที่ไม่มีการเปิดเผยว่าบั๊กนี้มีการรับไปทำแล้วหรืออยู่ระหว่างการแก้ไข แต่บั๊กถูกปล่อยในสถานะ New แล้วเปิดเผยมาอีกครั้งว่าแก้แล้ว