หลังจากมีข่าวที่ว่า iOS 4 เก็บประวัติข้อมูลพิกัดของผู้ใช้ไว้โดยตั้งใจ ทาง Gizmodo จึงได้สอบถามไปยังบริษัทเจ้่าของระบบปฏิบัติการของ smart phone เจ้าอื่นๆ เกี่ยวกับประเด็นนี้ ซึ่งได้ผลตอบกลับดังนี้

รัฐบาลกลางสหรัฐฯ ได้เสนอให้มีการจัดตั้งศูนย์ยืนยันตัวบุคคลออนไลน์ทั่วประเทศขึ้นเพือลดปัญหาการปลอมแปลงบุคคลบนอินเทอร์เน็ต โดยข้อเสนอข้อให้มีการจัดตั้งศูนย์กลางเพื่อออก อุปกรณ์ยืนยันตัวบุคคลเช่นสมาร์ทการ์ด

ชื่อแผนงานคือ National Strategy for Trusted Identities in Cyberspace (NSTIC) เป็นแผนสำหรับการออกอุปกรณ์ยืนยันบุคคลออนไลน์ เพื่อให้บริการต่างๆ เช่นบริการจ่ายเงินออนไลน์ที่ต้องการข้อมูลยีนยันตัวบุคคล สามารถยืนยันตัวบุคลลได้อย่างมั่นใจยิ่งขึ้น เนื่องจากข้อมูลที่ใช้ยืนยันได้รับการรับรองจากรัฐบาล

ที่งาน Where 2.0 โดย O'Reilly แฮกเกอร์สองคนคือ Alasdair Allan และ Pete Warden ได้เปิดเผยว่ามีไฟล์ฐานข้อมูล "พิกัด" ของทุกอุปกรณ์ที่ใช้ iOS ซ่อนอยู่ในเครื่องโดยที่แอปเปิลตั้งใจจะเก็บข้อมูลนี้เอาไว้

ทั้งคู่พบว่าข้อมูลนั้นไม่เคยถูกล้างออกเลยตั้งแต่มีการออก iOS 4 มานั่นคือหากคุณใช้ iPhone รุ่นใดๆ ที่ใช้ iOS 4 อยู่แสดงว่าภายในอุปกรณ์ของคุณมีพิกัดของคุณตลอดมา ที่สำคัญคือตัวไฟล์ไม่ได้ถูกเข้ารหัสไว้ และเก็บเอาไว้ภายในไฟล์ RootDomain::Library/Caches/locationd/consolidated.db

โครงการ The Guardian Project เป็นโครงการสร้าง Android รุ่นพิเศษที่ออกแบบทุกอย่างมาโดยคำนึงถึงความปลอดภัยเป็นหลัก ข้อมูลที่เก็บไว้ในโทรศัพท์ทุกอย่างใน Android รุ่นนี้จะถูกเข้ารหัสไว้ทั้งหมด

ตัวโครงการประกอบด้วยแอพลิเคชั่นจำนวนหนึ่ง

Facebook ประกาศเพิ่มฟีเจอร์ด้านความปลอดภัยใหม่ 4 อย่าง ดังนี้

เมื่อปีที่แล้วเรามีมหากาพย์ระหว่างรัฐบาลอินเดียกับ RIM เรื่องการเข้าถึงข้อมูลที่ถูกส่งผ่านเครือข่าย BlackBerry (รายอื่นที่โดนด้วยคือ Skype และ Gmail แต่ไม่เด่นเท่า RIM) ซึ่งปัจจุบันยังไม่ได้ข้อยุติ

ล่าสุดกรมโทรคมนาคม (Department of Telecommunications) ของอินเดียกำลังขยายผลจาก BlackBerry ไปยังระบบ push mail ของโนเกียด้วย โดยสั่งให้ผู้ให้บริการด้านโทรคมนาคมหยุดให้บริการ Nokia Push Mail จนกว่าโนเกียจะยอมให้หน่วยงานรัฐบาลเข้าถึงทราฟฟิกได้

โตชิบาเปิดตัวฮาร์ดดิสก์ในตระกูล MKxx61GSYG ขนาด 2.5" โดยมีความพิเศษคือเมื่อเปิดเครื่อง ฮาร์ดดิสก์จะตรวจสอบเครื่องที่มันเชื่อมต่ออยู่ด้วยว่าเป็นเครื่องที่ถูกต้องหรือไม่ และหากนำฮาร์ดดิสก์ไปต่อกับเครื่องอื่นที่ไม่ได้รับอนุญาต มันจะทำลายข้อมูลในตัวเองทั้งหมด

อย่างไรก็ดีผู้ใช้สามารถเลือกมาตรการรักษาความปลอดภัยแบบอื่นๆ เช่น ห้ามผู้ใช้เข้าใช้งานเท่านั้น หรือกระทั่งลบข้อมูลออกเพียงบางส่วน

ถ้าจะเปรียบกับชีวิตคนเรา ระยะนี้หุ่นเขียว Android ของเราคงกำลังดวงตกอย่างสุดๆ เพราะมีอันจะต้องเจอกับปัญหา หรือบักสารพัดรูปแบบ เพราะเพิ่งพบรูรั่วของ Flash มาหมาดๆ

และในตอนนี้กลุ่ม Android Police หนึ่งในกลุ่มนักพัฒนาอิสระได้พบกับช่องโหว่ใหม่ของ Skype บน Android ที่จะอนุญาตให้ผู้ไม่ประสงค์ดีทั้งหลายสามารถเข้าถึงข้อมูลต่างๆ ที่เราผูกไว้กับ Skype ได้ ทั้งชื่อจริง, หมายเลขโทรศัพท์, อีเมลแอดเดรส และรายชื่อผู้ติดต่อทั้งหมดใน Skype

Adobe แจ้งเตือนบั๊กความปลอดภัยที่จะเปิดช่องให้กับแฮกเกอร์สามารถเข้าควบคุมเครื่องได้ โดยทาง Adobe พบว่ามีแฮกเกอร์ใช้บั๊กนี้ในการเข้าควบคุมเครื่องปลายทางแล้วด้วยการฝังไฟล์ SWF เข้าไปในไฟล์ Word (.doc)

ดูเหมือนบั๊กนี้จะเป็นรูปแบบเดียวกับบั๊กที่ใช้เจาะบริษัท RSA (1, 2) โดยในครั้งนั้นแฮกเกอร์อาศัยการฝังไฟล์ SWF เข้าไปในไฟล์ Excel

Adobe อ้างว่า Adobe Reader X ไม่ได้รับอันตรายจากบั๊กนี้เนื่องจากไฟล์เอกสารถูกเปิดใน sandbox ทำให้แฮกเกอร์ไม่สามารถโจมตีระบบโดยรวมได้ อย่างไรก็ตามผู้เชี่ยวชาญด้านความปลอดภัยหลายคนไม่เห็นด้วยกับการเสนอข้อมูลเช่นนี้

หลังจากกลุ่ม Anonymous ประกาศสงครามกับโซนี่เพื่อล้างแค้นให้กับ GeoHot และ Graf_Chokolo ที่ถูกโซนี่ฟ้องร้อง ก็มีรายงานว่าเว็บไซต์หลายแห่งของโซนี่ได้ล่มลงหลังประกาศสงครามได้เพียงหนึ่งวัน โดยเว็บไซต์ที่ถูกโจมตีจนใช้การไม่ได้ได้แก่ Sony.com sonystyle.com และ Playstation U.S. ซึ่งแต่ละเว็บไซต์ที่เป็นเป้าหมายจะมีข้อมูลข่าวสารเกี่ยวกับ Playstation 3

หลังจากถูกโจมตีเข้าไปอย่างหนัก ทางโซนี่จึงได้ออกแถลงการณ์ตามมาทันที

ทั้ง Facebook และ Twitter ประกาศเปิดให้ใช้ HTTPS ตลอดเวลาเพื่อเพิ่มความปลอดภัยของผู้ใช้ คราวนี้ถึงคิวของ Foursquare บ้าง

Foursquare ประกาศผ่านการทวีตว่าการเชื่อมต่อทุกชนิดของตัวเอง ไม่ว่าจะเป็นเว็บหรือแอพ จะอยู่บน HTTPS ทั้งหมด ด้วยเหตุผลว่าข้อมูลสถานที่จากการเช็คอินเป็นข้อมูลสำคัญ ที่ไม่ควรจะมีใครดักจับไปได้นั่นเอง

ที่มา - Mashable

หลังจากบริษัท Comondo ถูกแฮกจนแฮกเกอร์ได้ใบรับรองการเข้ารหัส (SSL Certificate) ไปจำนวนหนึ่งวันนี้ทางนักวิเคราะห์เทคนิคของ EFF ก็ได้ออกมาเสนอข้อมูลการตรวจสอบว่า นอกจากกรณีที่มีการเข้าขอใบรับรองการเข้ารหัสโดยไม่ใช่เจ้าของโดเมนจริงแล้ว ยังมีกรณีการขอใบรับรองในชื่อโดเมนที่ไม่ถูกต้องอีกจำนวนมากถึง 37,000 ชื่อ

หลังจาก RSA ถูกแฮกและถูกขโมยข้อมูลเกี่ยวกับ SecurID ไปเมื่อเดือนที่แล้ว ทาง EMC ซึ่งเป็นบริษัทแม่ของ RSA ก็ได้ออกมาให้ข้อมูลเพิ่มเติมของการแฮกครั้งนี้แล้ว

คนที่ใช้ Firefox/Chrome/Safari อาจเคยเข้าเว็บไซต์บางแห่ง และพบคำเตือนจากเบราว์เซอร์ว่า "เว็บนี้เป็นอันตราย" ขึ้นเป็นจอสีแดงๆ กระบวนการตรวจสอบเว็บไซต์เหล่านี้ทำผ่าน Google Safe Browsing API ซึ่งเปิดให้นักพัฒนาภายนอกเรียกใช้ได้ด้วย

ล่าสุดกูเกิลกำลังขยาย Safe Browsing API ให้ครอบคลุมไปถึง "ไฟล์" ที่ดาวน์โหลดผ่านอินเทอร์เน็ตด้วย โดยเบื้องต้นจะเริ่มจากไฟล์ .exe ของวินโดวส์ และแน่นอนว่าเบราว์เซอร์ตัวแรกที่รองรับฟีเจอร์นี้ย่อมหนีไม่พ้น Chrome ซึ่งตอนนี้เข้ามาใน Dev Channel แล้ว

ฟีเจอร์นี้มีครั้งแรกใน IE9 เพียงแต่ไมโครซอฟท์ใช้ระบบตรวจจับของตัวเอง

กลุ่มแฮกเกอร์ที่ใช้ชื่อว่า Anonymous ได้ประกาศสงครามกับโซนี่เพื่อล้างแค้นให้กับ GeoHot ที่ถูกฟ้อง (1, 2) โดยใช้ชื่อปฎิบัติการว่า OpSony (ย่อมาจาก Operation Sony)

แถลงการของกลุ่ม Anonymous แสดงถึงความโกรธแค้นที่ GeoHot และ Graf_Chokolo ถูกฟ้องร้องจากโซนี่และขออำนาจศาลในการเข้าถึงข้อมูลส่วนบุคคลของคนนับพัน โดยกลุ่ม Anonymous ประกาศว่าจะสอนบทเรียนให้กับโซนี่สามเรื่องคือ

1. อย่าทำใครก่อนถ้าไม่อยากถูกกระทำ
2. ข้อมูลเป็นสิ่งเสรี
3. กลุ่ม Anonymous จะจำการกระทำนี้ตลอดไป

ในคำข่มขู่ค่อนข้างชัดว่ากลุ่ม Anonymous เตรียมการจะโจมตีเว็บโซนี่ในทางใดก็ทางหนึ่ง

ผู้เชี่ยวชาญด้านความปลอดภัยในแคนาดาชื่อ Mohamed Hassan ได้ค้นพบ rootkit หรือซอฟต์แวร์ที่แอบฝังอยู่ในโน้ตบุ๊กของซัมซุงบางรุ่น ซึ่งจะคอย "ดัก" ข้อมูลทุกอย่างที่ผู้ใช้ป้อนผ่านคีย์บอร์ด และอาจส่งกลับไปยังเซิร์ฟเวอร์บนอินเทอร์เน็ต

Hassan ใช้โน้ตบุ๊ก Samsung R525 ซื้อเมื่อเดือนกุมภาพันธ์ เขาพบพฤติกรรมแปลกๆ บนเครื่องจึงลองตรวจสอบ เขาพบว่ามีโปรแกรมชื่อ StarLogger แอบอยู่ที่ c:\windows\SL และเริ่มทำงานทุกครั้งที่เปิดเครื่อง

หน่วยงานความมั่นคงของสหรัฐฯ (National Security Agency - NSA) กำลังเข้าตรวจสอบกรณีที่ตลาดหลักทรัพย์ Nasdaq ถูกเจาะระบบได้เมื่อเดือนตุลาคมปีที่แล้ว ซึ่งอาจจะหมายถึงการโจมตีนั้นเกิดจากองค์กรข้ามชาติหรือหน่วยงานก่อการร้ายขนาดใหญ่

ซอฟต์แวร์ที่ถูกโจมตีนั้นไม่ใช่ตัวหน้าจอซื้อขายหลักทรัพย์โดยตรง แต่เป็นซอฟต์แวร์ที่ชื่อว่า Directors Desk โดยบริษัท Nasdaq OMX Group ได้ออกมาแจ้งปัญหานี้ โดยระบบ Directors Desk จะเป็นพื้นที่ให้ผู้บริหารบริษัทต่างๆ มาแลกเปลี่ยนข้อมูลที่เป็นความลับหรือจัดการประชุมออนไลน์ ซึ่งทำข้อมูลที่อยู่ในระบบนี้เองก็อาจจะนำไปใช้ในการทำกำไรจากการซื้อขายหลักทรัพย์ได้แล้ว

ต่อจากข่าว ไมโครซอฟท์แอบถอด HTTPS ออกจาก Hotmail ในบางประเทศ หลังจากเรื่องดังขึ้นมา ไมโครซอฟท์ได้แก้ไขให้ผู้ใช้ Hotmail ทุกคนสามารถใช้ HTTPS ได้ดังเดิมแล้ว

ไมโครซอฟท์อธิบายเรื่องนี้ว่าถือเป็น "บั๊กลึกลับ" ที่ไมโครซอฟท์เองก็หาสาเหตุไม่เจอ แต่ก็ยืนยันว่าไม่ได้ตั้งใจปิดตัวเลือก HTTPS ในบางประเทศแต่อย่างใด

ที่มา - Windows Live Help, The Register

Hotmail Wave 4 เพิ่งมีฟีเจอร์เชื่อมต่อผ่าน HTTPS/SSL ตลอดเวลา ไปเมื่อปีที่แล้ว แต่ล่าสุดทาง Electronic Frontier Foundation หรือ EFF ออกมาเปิดเผยว่าไมโครซอฟท์แอบถอดฟีเจอร์นี้ออกไปเงียบๆ สำหรับผู้ใช้ในบางประเทศ

ประเทศที่ไม่สามารถต่อผ่าน HTTPS ได้ ส่วนมากได้แก่ ประเทศกลุ่มตะวันออกกลาง แอฟริกาเหนือ และเอเชียกลาง โดยมีเพื่อนบ้านของเราคือพม่ารวมอยู่ด้วย ประเทศทั้งหมดมีดังนี้ Bahrain, Morocco, Algeria, Syria, Sudan, Iran, Lebanon, Jordan, Congo, Myanmar, Nigeria, Kazakhstan, Uzbekistan, Turkmenistan, Tajikistan, Kyrgyzstan

นอกจากไมโครซอฟท์ได้ปล่อยอัพเดตรายการยกเลิกใบรับรอง (Certificate Revocation List - CRL) เพื่อแก้ปัญหาใบรับรองปลอม บน Windows แล้ว ไมโครซอฟท์ยังยืนยันว่ากำลังทำแพตช์เพื่ออัพเดตรายการยกเลิกใบรับรองดังกล่าวสำหรับ Windows Phone 7 เช่นกัน แต่ไมโครซอฟท์ยังไม่เปิดเผยวันเวลาที่จะปล่อยอัพเดตดังกล่าวแต่อย่างไร

มีความเป็นไปได้สูงที่ไมโครซอฟท์จะปล่อยแพตช์ผ่าน OTA ซึ่งจะเป็นการทดสอบฟีเจอร์ Windows Update บน Windows Phone 7 ด้วย (อัพเดตก่อนหน้านี้รวมถึง "NoDo" นั้นผู้ใช้จะต้องติดตั้งผ่านโปรแกรม Zune บนคอมพิวเตอร์)

บริษัท Comodo ผู้ให้บริการด้านความปลอดภัย และเป็นผู้ให้บริการรับรองตัวตน (certificate) สำหรับการเข้ารหัสแบบ SSL ได้แจ้งข่าวว่าบริษัทได้ออกใบรับรองแก่ผู้ไม่หวังดีไปจำนวน 9 ใบ ทำให้ผู้ใช้อาจถูกหลอกลวงให้เข้าเว็บปลอมได้

ระบบการเข้ารหัสแบบ SSL ต้องการใบรับรองตัวตนที่ได้รับการรับรองจากหน่วยงานที่เชื่อถือได้ (Trusted Root Certification Authorities) ไม่เช่นนั้นเบราเซอร์จะแจ้งเตือนผู้ใช้เมื่อผู้ใช้พยายามเข้าเว็บที่มีการเข้ารหัสแบบ SSL ว่าใบรับรองตัวตนของเว็บนั้นไม่ถูกต้อง โดยระบบปฎิบัติการต่างๆ จะมีรายชื่อของหน่วยงานให้บริการรับรองที่เชื่อถือได้แตกต่างกันไป

Luigi Auriemma นักวิจัยด้านความปลอดภัยชาวรัสเซียได้ทดสอบความปลอดภัยของซอฟต์แวร์ควบคุมอุปกรณ์ SCADA หลายยี่ห้อ เช่น Siemens, Iconics, 7-Technologies, และ DATAC พบว่าทั้งหมดมีปัญหาความปลอดภัยหลายต่อหลายประการ

ปัญหาที่พบในซอฟต์แวร์เหล่านี้มีตั้งแต่ Stack Overflow, Heap Overflow, Integer Overflow, การสั่งรันคำสั่งภายนอก, การจัดรูปแบบสตริง, การคืนหน่วยความจำซ้ำซ้อน, หน่วยความจำผิดพลาด, การเข้าถึงไดเรกทอรี, ตลอดจนปัญหาจากการออกแบบอื่นๆ จากซอฟต์แวร์ทั้งหมดรวมกว่า 30 จุด

ระบบ SCADA เป็นระบบที่นิยมใช้งานเพื่อตรวจสอบสถานะและควบคุมการทำงานของระบบสาธารณูปโภคเช่น ไฟฟ้า, น้ำประปา, ท่อก๊าซ, ท่อน้ำมัน, ระบบบำบัดน้ำเสีย หรือกระทั่งโรงงานไฟฟ้านิวเคลียร์

สินค้าที่ได้รับความนิยมมากตัวหนึ่งของ RSA คือ SecurID ที่ช่วยเพิ่มความปลอดภัยเพิ่มจากการใส่รหัสผ่านตามปรกติ โดย SecurID จะมาในรูปแบบของพวงกุญแจที่แสดงตัวเลขสี่หลักที่จะเปลี่ยนไปทุกๆ 30 วินาที แต่ Arthur W. Coviello ก็เขียนบล็อกแถลงในวันนี้ว่าแฮกเกอร์ได้เจาะเข้าไปในเซิร์ฟเวอร์ของ RSA เพื่อขโมยข้อมูลบางอย่างที่ถูกใช้เพื่อลดความปลอดภัยของ SecurID ลงได้

ทาง RSA กำลังติดต่อลูกค้าเพื่อแจ้งขั้นตอนการเสริมความปลอดภัยให้กับ SecurID ต่อไป และบริษัทยืนยันว่าข้อมูลที่หลุดออกไปนั้นไม่เกี่ยวข้องกับสินค้าอื่นๆ

บ้านเราก็เห็นมีบริษัทใช้ SecurID อยู่หลายเจ้า อาจจะต้องติดต่อตัวแทนขายเพื่ออัพเดตปัญหาและทางแก้กันก่อนที่จะถูกบุกรุกครับ

จากข่าวที่แล้ว: Pwn2Own วันที่สอง iPhone 4, BlackBerry Torch ร่วง Firefox, Android, WP7 ยังอยู่รอด ที่ใช้ช่องโหว่ของ Browser ของ OS 6.0.0.246 ที่พัฒนาโดยใช้ Webkit

โดยช่องโหว่อยู่ใน JavaScript ซึ่งหากโจมตีจากจุดนี้ผลที่ได้คือการเข้าถึงข้อมูลในโทรศัพท์ทั้งใน media card และ built-in storage แต่ไม่นับข้อมูลที่เก็บไว้สำหรับแอพพลิเคชันเช่น อีเมลหรือข้อมูลในการติดต่อ (contact information)

ก่อนหน้านี้ Facebook เพิ่มตัวเลือกให้ใช้งาน HTTPS ตลอดเวลา ตอนนี้ถึงคราวของ Twitter บ้าง

ผู้ที่ต้องการใช้งาน Twitter ผ่าน HTTPS ต้องเข้าไปที่หน้า Settings และเลือก Always use HTTPS ซึ่งเป็นตัวเลือกใหม่ที่เพิ่มเข้ามา

ต่อให้ไม่เลือกตัวเลือกนี้ ตอนใส่รหัสผ่านบนเว็บไซต์ Twitter จะใช้ HTTPS อยู่แล้ว ส่วนคนที่เข้าเว็บเวอร์ชันมือถือจะต้องเข้าผ่าน https://mobile.twitter.com/ ด้วยตัวเอง

ตอนนี้มีเว็บไซต์หลายแห่งที่เปิดให้ใช้ HTTPS เข้าเว็บตลอดเวลา ดูได้จากข่าวเก่าหมวด SSL ครับ