เป็นที่รู้กันมานานแล้วว่าเครือข่าย 2G ในมาตรฐาน A5/1 นั้นเป็นการเข้ารหัสด้วยกุญแจขนาด 64 บิตซึ่งเล็กเกินกว่าจะป้องกันคอมพิวเตอร์ทุกวันนี้ได้ โดยเมื่อปลายปีที่แล้วนักวิจัยได้นำเสนอผลงานในงาน Chaos Communication Congress ถึงความอ่อนแอของการป้องกันนี้ แต่ผู้ให้บริการก็ยังอ้างว่าอุปกรณ์สำหรับดักฟังในระดับฮาร์ดแวร์นั้นหาได้ยาก, มีราคาแพง, และยังผิดกฏหมายในหลายๆ ประเทศทำให้ความเสี่ยงที่จะถูกดักฟังจริงๆ นั้นต่ำมาก แต่ในงานปีนี้ นักวิจัยได้นำเสนอผลงานอีกชิ้นที่อาศัยช่องโหว่เดิม แต่ลดเวลาการเจาะรหัสเหลือเพียง 20 วินาที และใช้โทรศัพท์ราคา 15 ดอลลาร์หรือ 450 บาทเท่านั้น

บริษัท McAfee ออกรายงาน 2011 Threat Predictions Report (PDF) พยากรณ์ภัยคุกคามบนโลกไอทีในปีหน้า แบ่งเป็นประเด็นต่างๆ ดังนี้

Social Media

ปี 2010 ภัยคุกคามจากอีเมลสแปมมีจำนวนลดลง เหตุเพราะคนหันไปใช้ social media กันแทน จุดที่เป็นเป้าหมายในปีหน้ามี 2 อย่างคือ

หลังจากเว็บเครือ Gizmodo เพิ่งถูกเจาะรหัสผ่านทำข้อมูลผู้ใช้ 270,000 รายหลุดออกมา และวันนี้ทาง Mozilla (หน่วยงานดูแลเบราเซอร์ไฟร์ฟอกซ์) ก็ส่งอีเมลแจ้งผู้ใช้ว่าบริษัทได้ทำผิดพลาดทำให้ฐานข้อมูลผู้ใช้ 44,000 คนของเว็บ addons.mozilla.org หลุดออกสู่เว็บสาธารณะ

ข้อมูลที่หลุดออกมาได้แก่ ชื่อจริง, นามสกุล, อีเมล, และตัวเลข MD5 ของรหัสผ่านทั้งหมด โดยฐานข้อมูลนี้เป็นฐานข้อมูลเก่าแต่ทาง Mozilla ต้องเมลแจ้งเตือนผู้ใช้เนื่องจาก MD5 อาจจะถูกย้อนกลับมาเป็นรหัสผ่าน และผู้ใช้จำนวนมากอาจจะใช้รหัสผ่านเดียวกันกับบริการอื่นๆ

Nick Kralevich วิศวกรด้านความปลอดภัยในทีม Android ออกมาตอบโต้ข่าว Nexus S ถูก root ได้ของ Engadget ซึ่งให้ความเห็นไว้ว่า Nexus S ถูก root ได้เพราะความปลอดภัยของ Android ไม่ดีพอ

Nick Kralevich โพสต์ผ่านบล็อก Android Developers ว่าทั้ง Nexus S และ Nexus One ถูกออกแบบมาให้ติดตั้งเฟิร์มแวร์อื่นๆ ได้ง่าย เพียงแค่สั่ง fastboot oem unlock เท่านั้นก็เรียบร้อย ดังนั้นไม่ได้แปลว่าระบบความปลอดภัยของ Android มีปัญหาแต่อย่างใด

นอกจากกูเกิลจะมีฟีเจอร์แจ้งเตือนว่าเว็บไซต์ที่เป็นผลลัพธ์การค้นหาอาจมีมัลแวร์ฝังอยู่ ล่าสุดกูเกิลได้เพิ่มฟีเจอร์แจ้งเตือนว่าเว็บไซต์ที่เป็นผลลัพธ์การค้นหาอาจถูกควบคุมโดยคนอื่นที่มิใช่เจ้าของเว็บไซต์ โดยจะมีข้อความปรากฏขึ้นใต้ลิงก์เว็บไซต์ในผลลัพธ์การค้นหาว่า "This site may be compromised" (ดูรูปท้ายข่าว)

Microsoft Security Essentials หรือ MSE ออกรุ่น 2.0 ตัวจริงในวันนี้ โดยผู้ใช้สามารถดาวน์โหลดได้ทันที หรือสั่งอัพเกรดแล้วบูตเครื่องอีกครั้ง โดยรุ่นนี้มีความสามารถสำคัญสามประการคือ

• การตรวจสอบแบบ heuristic ที่อาจช่วยตรวจสอบและหยุดไวรัสได้แม้จะไม่มีข้อมูลในฐานข้อมูลมาก่อน
• ตรวจสอบไวรัสจากการส่งข้อมูลผ่านเน็ตเวิร์ค ทำให้เราสามารถหยุดไวรัสได้ขณะที่มันกำลังพยายามเข้าหรือออกจากเครื่อง อย่างไรก็ตามฟีเจอร์นี้ไม่สามารถใช้กับ Windows XP ได้
• ทำงานร่วมกับ Internet Explorer เพื่อหยุดสคริปต์อันตราย

เช่นเดิมคือ MSE นั้นฟรีสำหรับผู้ใช้ตามบ้านและบริษัทที่เครื่องน้อยกว่า 10 เครื่อง

หลังจากข่าว Gizmodo และเว็บไซต์เครือ Gawker โดนเจาะ และรหัสผ่านของผู้ใช้ทั้งหมดกว่า 188,279 บัญชียังถูกเผยแพร่ออกบนอินเทอร์เน็ตอีกด้วย

ต่อมาทาง Wall Street Journal ได้รวบรวมสถิติจำนวนรหัสผ่านที่ยอดนิยมที่สุดของบัญชีผู้ใช้ (รหัสที่มักใช้ซ้ำกัน) ออกมา 50 แบบด้วยกันโดยรหัสผ่านที่เป็นยอดนิยมที่สุดได้แก่

• 123456 จำนวน 3,000 บัญชี
• password จำนวน 2,000 บัญชี
• 12345678 จำนวน 1,000 บัญชี
• lifehack จำนวน 1,000 บัญชี
• qwerty จำนวน 500 บัญชี
• abc123 จำนวน 500 บัญชี

ยังมีสถิติอื่นๆ ที่เกี่ยวข้องอีก ดูได้ในลิงค์ของที่มาครับ

Theo de Raadt หัวหน้าโครงการ BSD ได้รับอีเมลจาก Gregory Perry อดีต CTO ของบริษัท NETSEC ได้ส่งอีเมลระบุว่าบริษัทที่เขาเคยทำงานอยู่ได้รับการว่าจ้างจาก FBI ให้วางช่องโหว่ไว้ในระบบ IPsec ของโครงการ BSD ทำให้มีช่องโหว่ที่เปิดให้กุญแจดิจิตอลเหล่านี้รั่วไหลออกไปได้

นอกจากส่วน IPsec ของ BSD แล้ว Perry ยังอ้างว่า NETSEC เป็นที่ปรึกษาให้กับ FBI ในอีกหลายโครงการนับแต่บัตรสมาร์ทการ์ดไปจนถึงระบบเข้ารหัสด้วยฮาร์ดแวร์หลายตัว

เหตุการณ์ร้ายแรงบางด้านความปลอดภัยบางครั้งก็เกิดขึ้นได้ง่ายๆ เมื่อพนักงานของรัฐโคโลราโดเผลอสำรองข้อมูลผู้ที่เกี่ยวข้องกับคดีอาญาทั้งหมด รวมผู้เสียหาย, ผู้ต้องสงสัย, และพยาน กว่าสองแสนรายการไปวางไว้บนเว็บเซิร์ฟเวอร์จนถูกเสิร์ชเอนจินต์มาดูดข้อมูลไป

ข้อมูลที่หลุดออกมาได้แก่ ชื่อ, หมายเลขโทรศัพท์, ที่อยู่, หมายเลขประกันสังคม, ตลอดจนข้อมูลอื่นๆ ที่เกี่ยวข้องกับการสอบสวน

การหลุดของข้อมูลนี้ส่งผลร้ายแรงหลายด้าน นับแต่ความเป็นส่วนตัวของทุกคนรวมถึงผู้ต้องสงสัย, การที่ผู้ต้องสงสัยจะรู้ตัวว่าถูกตำรวจจับตามองอยู่, และพยานที่อาจมีอันตรายได้

เว็บไซต์ในเครือ Gawker Media (ที่ดังๆ ได้แก่ Gizmodo, Kotaku, Lifehacker) โดนเจาะ เป็นผลให้รหัสผ่านของผู้ใช้ 270,000 รายถูกเผยแพร่ออกมาบนอินเทอร์เน็ต

การเจาะระบบครั้งนี้ทำโดยกลุ่มแฮกเกอร์ที่เรียกตัวเองว่า Gnosis ซึ่งไม่พอใจที่ทีมงานของ Gawker ไปดูถูกเว็บบอร์ดและชุมชนแฮกเกอร์ 4chan จึงต้องการแก้แค้นกลับ

กลุ่ม Gnosis อธิบายว่าเจาะเข้าไปยังระบบ CMS ของ Gawker ได้ง่ายมาก (CMS พัฒนาขึ้นใช้เอง) เพราะตัว PHP framework มีรูรั่วมากมาย อีกทั้งเซิร์ฟเวอร์ก็ใช้ลินุกซ์เวอร์ชันเก่า

บริษัท VeriSign ประกาศว่าวันนี้บริษัทจะเริ่มรองรับ DNSSEC ในโซนของ .net แล้วนับเป็น TLD ที่ใหญ่ที่สุดนับแต่มีการเริ่มใช้ DNSSEC มา โดยก่อนหน้านี้ TLD ที่ใหญ่ที่สุดที่รองรับ DNSSEC คือ .org

ตามกำหนดการในปีหน้าทั้ง .com และ .edu น่าจะรองรับ DNSSEC ตามมาภายในปีหน้า ส่วน DNS ของแต่ละประเทศนั้นต้องให้ผู้ดูแล TLD เป็นผู้ฝากคีย์เพื่อเริ่มให้บริการ

แม้สหรัฐฯ จะอ้างว่าเอกสาร The Cables ที่หลุดออกมาทาง WikiLeaks นั้นไม่ได้สร้างความเสียหายมากมายอย่างที่อ้างกัน แต่การที่เอกสารเหล่านี้หลุดออกมาสู่สาธารณะก็ทำให้สหรัฐฯ เสียหน้าเป็นอย่างมากมาตรการใหม่จึงเป็นการห้ามใช้สื่อเก็บข้อมูลแบบถอดได้เช่น thumbdrive, CD, DVD บนคอมพิวเตอร์และเซิร์ฟเวอร์ทั้งหมด

ก่อนหน้านี้กระทรวงกลาโหมสหรัฐฯ ก็แบนสื่อเหล่านี้มาก่อนแล้ว แต่เป็นการแบนเพื่อหยุดการแพร่กระจายของเวิร์มมากกว่าจะป้องกันข้อมูลรั่วไหล และมาตรการนี้ถูกยกเลิกไปในต้นปีที่ผ่านมา

ที่มา - CRN

มาตรฐานการแฮช (hash) แบบ SHA นั้นเป็นการคัดเลือกมาจากอัลกอลิธึ่มจำนวนมากที่ส่งเข้าประกวด จนตอนนี้ก็ถึงรอบสุดท้ายของการแข่งขันมาตรฐาน SHA-3 ที่มีผู้เข้ารอบทั้งหมด 5 อัลกอลิธึ่ม จากรอบที่สองนั้นที่มีผู้ผ่านเข้ารอบ 14 อัลกอลิธึ่ม

อัลกอลิธึ่มทั้ง 5 ได้แก่

• BLAKE จากสวิสเซอร์แลนด์
• Grøstl จากเดนมาร์ก
• Keccak จากเนเธอร์แลนด์
• JH จากสิงค์โปร์
• Skein จากสหรัฐฯ (มี Bruce Schneier สนับสนุนอยู่เบื้องหลัง)

ผู้เข้าแข่งขันมีเวลาแก้ไขปรับปรุงอัลกอลิธึ่มจนถึง 16 มกราคมนี้ ส่วนการประกาศผลจะต้องรอจนปี 2012

บริษัทไอทีบ้านเราอาจจะไม่ค่อยเข้มงวดกันมากนักแต่ปัญหาโปรแกรมเมอร์ของบริษัทกลับกลายเป็นคนขโมยซอร์สโค้ดก็เกิดขึ้นหลายครั้งในสหรัฐฯ และครั้งนี้ Sergey Aleykinov โปรแกรมเมอร์ของบริษัท Goldman Sachs ก็ถูกตัดสินว่ามีความผิดฐานขโมยซอร์สโค้ดการซื้อขายความเร็วสูงของบริษัทไปขายให้กับบริษัท Teza Technologies

วัยรุ่นชาวเนเธอร์แลนด์อายุ 16 ปีถูกจับเป็นคนแรกในข้อหาโจมตี PayPal, Visa, และ MasterCard จนไม่สามารถใช้งานได้เป็นเวลาหลายชั่วโมงเพื่อตอบโต้การปฎิเสธการให้บริการกับ Wikileaks

เนื่องจากอายุของผู้ถูกจับยังอยู่ในช่วงเยาวชนจึงไม่มีการเปิดเผยชื่อ ทางการแจ้งเพียงว่าผู้ถูกจับกุมอยู่ระหว่างการสอบสวน และคอมพิวเตอร์ของเขาถูกยึดไว้เป็นของกลาง โดยทีมสืบสวนคิดว่าเขาอาจจะเป็นเพียงหนึ่งในสมาชิกของกลุ่มแฮกเกอร์ที่ร่วมกันก่อการครั้งนี้

ไม่มีความชัดเจนว่ากลุ่มผู้ร่วมการตอบโต้นี้มีกี่กลุ่ม โดยในตอนนี้เป้าหมายการตอบโต้เดียวที่ยังถูกโจมตีไม่สำเร็จคือ Amazon

ระบบปฏิบัติการ BlackBerry 6 ผ่านมาตรฐานด้านการเข้ารหัสของรัฐบาลสหรัฐที่เรียกว่า FIPS 140-2 ทำให้หน่วยงานรัฐบาลที่ต้องทำงานในเชิง "ลับ" หรือมีมาตรฐานด้านความมั่นคงสารสนเทศ สามารถใช้ BlackBerry 6 ได้แล้ว

ข่าวนี้ไม่น่าตื่นเต้นมาก เพราะ BlackBerry รุ่นก่อนๆ ก็ได้ใบรับรอง FIPS 140-2 มากันหมดแล้ว เพียงแต่ช่วงนี้ RIM โดนรุกหนักในตลาดองค์กร การที่ได้ใบรับรองนี้มา ย่อมช่วยเพิ่มแต้มต่อในตลาดหน่วยงานรัฐบาลมากขึ้น

ที่มา - CIO.com, BGR

กูเกิลประกาศแผนนี้ไว้ตั้งแต่ต้นปี เมื่อบอกว่าจะรวม Flash Player มากับ Chrome ตอนนี้มันเริ่มแล้ว

Chrome รุ่น Dev Channel บนวินโดวส์จะรัน Flash Player ในโหมด sandbox เพื่อจำกัดความเสียหาย ในกรณีที่มีช่องโหว่ใน Flash และมีโค้ดประสงค์ร้ายเจาะเข้ามา อ่านหลักการทำงานได้จาก Chromium Blog

วินโดวส์ในที่นี้หมายถึง XP, Vista และ 7 ซึ่งกูเกิลระบุว่าผู้ใช้ XP จะได้ประโยชน์สูงสุด เพราะ Chrome จะเป็นเบราว์เซอร์ตัวเดียวบน XP ที่รัน Flash แบบ sandbox

ผู้เชี่ยวชาญด้านความปลอดภัย Thomas Cannon ค้นพบช่องโหว่ในเบราว์เซอร์ของ Android แม้จะไม่สามารถทำอันตรายกับเครื่องได้เพราะเบราว์เซอร์รันใน sandbox แต่ก็สามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้ได้

ช่องโหว่นี้ใช้ประโยชน์จากการที่เบราว์เซอร์ Android ไม่แจ้งเตือนผู้ใช้เมื่อดาวน์โหลดไฟล์ ทำให้ผู้ประสงค์ร้ายสามารถวางลิงก์ล่อไว้ เมื่อกดแล้วจะดาวน์โหลดไฟล์ HTML ที่มีโค้ด JavaScript มาไว้บนเครื่อง ซึ่งโค้ด JavaScript สามารถเข้าถึงไฟล์ส่วนตัวอื่นๆ บนเครื่องได้

Thomas Cannon ทดสอบช่องโหว่นี้บน HTC Desire โดยระบุว่าพบกับ Android ทุกรุ่น ส่วนกูเกิลรับทราบแล้ว และจะแก้ใน Android 2.3 ระหว่างนี้ก็ระวังตัวเองไปก่อน อย่ากดลิงก์แปลกๆ ที่ไม่รู้จัก

ผู้ใช้วินโดวส์รุ่นหลังๆ คงคุ้นเคยกับ Windows Genuine Advantage ซึ่งคอยตรวจสอบว่าวินโดวส์ที่เราใช้เป็นของแท้หรือไม่ สำหรับ WP7 ก็มีระบบคล้ายๆ กัน

รอมของ WP7 จะถูกเข้ารหัสไว้ โดยใช้กุญแจที่ไมโครซอฟท์เรียกว่า PVK (ย่อมาจาก private key) ซึ่งจะผูกกับเมนบอร์ดของเครื่องมือถืออีกทีหนึ่ง และถ้าไม่มีกุญแจอันนี้ จะต้องเปลี่ยนบอร์ดหรือไม่ก็ส่งศูนย์บริการ

WP7 ที่ไม่มีกุญแจจะสามารถทำงานได้บางส่วน แต่ส่วนที่ต้องติดต่อกับอินเทอร์เน็ต เช่น Xbox, Zune, Marketplace จะใช้งานไม่ได้เลย กลุ่มนักพัฒนารอมคงต้องยุ่งกันอีกเยอะกว่าจะแกะได้

ที่มา - WPCentral

บริษัทผู้พัฒนาโซลูชั่นด้านความปลอดภัย Bit9 ได้เผย "Dirty Dozen" หรือรายชื่อแอพพลิเคชันที่มีช่องโหว่ที่มีความร้ายแรงสูง (high severity) มากที่สุด โดยอาศัยข้อมูลจากฐานข้อมูล National Vulnerability Database ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (National Institute of Standards and Technology) ระหว่าง 1 ม.ค.-21 ต.ค. โดยระบุว่า Google Chrome ที่มีช่องโหว่มากถึง 76 รายการ มาเป็นอันดับหนึ่ง ตามด้วย Apple Safari และ Microsoft Office มาเป็นสองและสามตามลำดับ ส่วน Microsoft Internet Explorer นั้นอยู่ที่อันดับ 8 (อย่างไม่น่าเชื่อ!) โดยพบช่องโหว่ลักษณะข้างต้นเพียง 32 รายการเท่านั้น

สำหรับรายชื่อทั้งหมดใน Dirty Dozen มีดังนี้

ประเทศที่ภาวะทางการเมืองค่อนข้างตึงเครียดทั้งภายในและภายนอกอย่างไต้หวันนั้น หน่วยงานความมั่นคงกลาง (National Security Bureau - NSB) ย่อมเป็นเป้าหมายการโจมตีมากเป็นพิเศษ ที่น่าสนใจคือการแถลงตัวเลขการโจมตีหน้าเว็บในช่วงสิบเดือนที่ผ่านมา พบว่าต้นกำเนิดจากโจมตีส่วนมากมาจากในประเทศเอง

จำนวนการโจมตีที่มีต้นกำเนิดจากจีนนั้นคิดเป็น 598,000 ครั้ง หรือประมาณ 12% เทียบกับ 3,040,000 ครั้งที่มาจากในเกาะไต้หวันเอง อย่างไรก็ตามเว็บของ NSB รอดการโจมตีทุกครั้งมาได้

เป็นเรื่องปรกติที่การโจมตีมักมาจากภายในเอง แม้แต่ในหน่วยงานต่างๆ ก็มักเป็นการละเมิดสิทธิ์การใช้งานจากคนในหน่วยงานมากกว่าจะเป็นจากการโจมตีจากภายนอก

อ่านหัวข่าวก็น่าจะเดาเรื่องกันต่อได้นะครับ บริษัทแอนตี้ไวรัส AVG เข้าซื้อกิจการบริษัทหน้าใหม่ DroidSecurity จากอิสราเอล คิดเป็นมูลค่า 4.1 ล้านดอลลาร์

DroidSecurity ก็ทำธุรกิจตามชื่อบริษัท โดยโปรแกรม ANTIVIRUSFree เป็นหนึ่งในโปรแกรมยอดนิยมบน Android Market มียอดดาวน์โหลดเกิน 4.5 ล้านครั้งแล้ว

อีกไม่นานเราคงเห็นมันเปลี่ยนชื่อเป็น AVG for Android

ที่มา - TechCrunch

เมื่อ 5 พฤศจิกายนที่ผ่านมา TinKode แฮกเกอร์ชาวโรมาเนียได้ใช้วิธี SQL injection เจาะเว็บไซต์กองทัพเรือสหราชอาณาจักรสำเร็จ

ต่อมา TinKode ได้เผยแพร่ข้อมูลที่เจาะมาได้ คือรายการฐานข้อมูลต่าง ๆ ร่วมทั้งตารางชื่อผู้ใช้และ hash รหัสผ่าน (มี hash หนึ่งอันถูกถอดกลับเป็นรหัสผ่านของจริงได้แล้ว)

การเจาะระบบครั้งนี้ทำให้หน้าเว็บกองทัพเรือสหราชอาณาจักรต้องปิดให้บริการ และแสดงข้อความ "ซ่อมบำรุง" แทน (ขณะที่เขียนนี้ก็ยังปิดอยู่)

หน่วยงานด้านความมั่นคงเครือข่ายและสารสนเทศของยุโรป ได้จัดทดสอบจำลองการโจมตีไซเบอร์ในระดับทวีปเป็นครั้งแรก เพื่อวัดและหาจุดบกพร่องของระบบภาครัฐในการรับมือ

การทดสอบในครั้งนี้ เป็น "ก้าวที่สำคัญในการร่วมมือต่อสู้กับภัยออนไลน์ที่มีต่อโครงสร้างพื้นฐานที่สำคัญ" Neelie Kroes คณะกรรมาธิการของยุโรปกล่าว

ในการทดสอบในครั้งนี้ จำลองสถานการณ์ว่า หากระบบของแต่ละประเทศค่อยๆ ถูกโจมตีจนประชาชน ภาคธุรกิจ และภาคสาธารณะ ประสบปัญหาในการเชื่อมต่อเข้าระบบที่จำเป็น ซึ่งแต่ละประเทศจะต้องร่วมมือในการแก้ไขปัญหาด้วย

ในที่สุด Hotmail ก็เปิดให้ใช้ HTTPS แบบ full-session (ตลอดการใช้งานเมื่อล็อกอินเข้าสู่ระบบ) แล้ว โดยผู้ใช้จะต้องล็อกอินผ่าน https://www.hotmail.com หลังจากล็อกอินจะมีหน้าเว็บถามว่า "Trying to use Hotmail with HTTPS?" (ภาษาไทย: "ลองใช้ Hotmail ด้วย HTTPS หรือไม่") หากต้องการใช้งาน HTTPS ทุกครั้งที่ล็อกอินให้คลิกปุ่ม "Always use HTTPS (recommended)" (ภาษาไทย: "ใช้ HTTPS เสมอ (แนะนำ)") ซึ่งหลังจากนี้หากผู้ใช้เข้าใช้บริการต่างๆ บน Windows Live ก็จะใช้โปรโตคอล HTTPS เสมอ แต่หากต้องการใช้เฉพาะการล็อกอินครั้งนี้เท่านั้นให้คลิกลิงก์ "Continue to Hotmail" (ภาษาไทย: "ดำเนินการต่อใน Hotmail")