เดลล์ตรวจพบเมนบอร์ดที่ส่งไปเปลี่ยนให้ลูกค้าบางส่วน ติดเวิร์ม W32.Spybot.Worm โดยทางเดลล์ได้เริ่มโทรหาลูกค้าที่เปลี่ยนเมนบอร์ดและได้รับผลกระทบนี้เพื่อเปลี่ยนเมนบอร์ดอีกครั้ง

เมนบอร์ดจากเครื่องใหม่ที่ส่งตรงจากโรงงานไม่ได้รับผลกระทบนี้ อย่างไรก็ตามเมนบอร์ดที่ติดเวิร์มเหล่านี้ได้แก่ PowerEdge R310, R410, R510, และ T410 โดยหากผู้ใช้กำลังใช้เมนบอร์ดเหล่านี้บนเครื่องที่ติดตั้ง Windows Server ก็อาจจะทำให้เครื่องติดเวิร์มเหล่านี้ไปด้วย

ใครเพิ่งเปลี่ยนเมนบอร์ดไป และเข้าข่ายรุ่นข้างบน อาจจะได้เวลาคุยกับซัพพอร์ตอีกรอบ

มีคนพบช่องโหว่ของฟีเจอร์กรอกฟอร์มอัตโนมัติ หรือ AutoFill ของ Safari เวอร์ชัน 4 และ 5 ซึ่งจะดึงข้อมูลส่วนตัวของเรา เช่น ชื่อ อีเมล องค์กร จาก Address Book ของระบบ (ผมหาไม่เจอว่าเป็นเฉพาะแมค หรือรวมเวอร์ชันวินโดวส์ด้วย) ไปกรอกฟอร์มให้อัตโนมัติ

แฮ็กเกอร์สามารถใช้ช่องโหว่ที่ว่า สร้างเว็บไซต์ปลอมๆ ขึ้นมาดึงเอาข้อมูลส่วนตัวจาก Safari ไปได้เลย ตอนนี้มีคนสร้างเว็บตัวอย่างที่ทำงานขโมยข้อมูลได้จริงแล้ว แต่ยังไม่มีรายงานว่ามีแฮ็กเกอร์ประสงค์ร้าย ใช้โอกาสจากช่องโหว่นี้มาก่อนหรือไม่

ตามการสำรวจของบริษัทผู้ผลิตโซลูชันด้านความปลอดภัย Secunia แอปเปิลได้ก้าวขึ้นมาแทนที่ออราเคิลเป็นเบอร์หนึ่งซอฟต์แวร์ที่มีช่องโหว่ด้านความปลอดภัย โดยรายงานดังกล่าวระบุว่า ในช่วงครึ่งปีแรกนั้นแอปเปิลได้รับรายงานข้อผิดพลาดมากกว่าบริษัทอื่นๆ ส่วนไมโครซอฟท์นั้นยังรั้งอันดับสามเช่นเคย

เมื่อวานนี้เดลล์ได้เผยซีเคียวเว็บเบราว์เซอร์ Dell KACE Secure Browser หรือ Firefox 3.6 ที่เสริมด้วยปลั๊กอิน Adobe Reader, Adobe Flash และใช้เทคโนโลยีเวอร์ชวลไลเซชั่น "Virtual Kontainer" ในการจำลอง virtual instance โดยขณะใช้งาน Secure Browser นั้น การเปลี่ยนแปลงที่เกิดขึ้นหรือไฟล์ที่ดาวน์โหลดโดยไม่ได้ตั้งใจจะถูกกักกันไว้ในเว็บเบราว์เซอร์ ทำให้ระบบปฏิบัติการและคอมพิวเตอร์ปลอดภัยจากภัยคุกคามเหล่านั้น

จากข่าวเดิมเมื่อต้นปี พบช่องโหว่ใน Chrome? กูเกิลแจกเงินรางวัลไปเลย โดยให้เงิน 500 ดอลลาร์สำหรับช่องโหว่ระดับธรรมดา และ 1337 ดอลลาร์สำหรับช่องโหว่ร้ายแรง

ตอนนี้กูเกิลมั่นใจในความปลอดภัยของ Chrome มากขึ้นกว่าเดิม โดยให้เหตุผลว่าระบบ sandbox ของตัวเองทำให้เกิดช่องโหว่ระดับร้ายแรงได้ยากกว่าเดิมมาก ดังนั้นจึงเพิ่มราคาจาก 1337 ดอลลาร์ เป็น 3133.70 ดอลลาร์ ส่วนบั๊กระดับ 500 ดอลลาร์ยังจ่ายเท่าเดิม

ผมว่าไม่ต้องอธิบายความหมายของตัวเลข มันเท่กว่านะ

ไมโครซอฟท์ได้ปล่อย Microsoft Security Essentials (MSE) 2.0 เบต้า รายละเอียดมีดังนี้

ไฟล์อย่าง PDF ได้รับความนิยมสูงมากในปัจจุบัน แต่ด้วยความสามารถในไฟล์ที่ค่อนข้างมากกว่าที่หลายๆ คนคิด เช่นสามารถรันสคริปต์ได้ ก็ทำให้มันเป็นช่องโหว่ด้านความปลอดภัยช่องใหญ่อีกอันหนึ่ง แต่ล่าสุดไมโครซอฟท์ก็ร่วมมือกับอโดบีสร้าง Adobe Reader Protected Mode ซึ่งก็คือการย้ายตัว Reader เข้าไปทำงานใน sandbox นั่นเอง

การสร้าง sandbox ของ Reader นั้นทำผ่าน API มาตรฐานของไมโครซอฟท์เอง ทำให้สามารถจำกัดการทำงานของ Reader ได้เช่นไม่สามารถเขียนข้อมูลใดๆ ลงในระบบ หรือสามารถอ่านไฟล์ได้อย่างจำกัดตามการอนุญาตของผู้ใช้เท่านัั้น

รุ่นอัพเดตความสามารถนี้รุ่นแรกจะมีแค่ความสามารถในการจำกัดการเขียนเพียงอย่างเดียว ส่วนการจำกัดการอ่านจะเพิ่มเข้ามาในภายหลัง

Mozilla ได้ออกมาเปิดเผยว่าพบ add-on ที่อยู่บนเว็บไซต์ addons.mozilla.org แอบขโมยรหัสผ่านของผู้ใช้

Add-on ที่ว่าได้แก่ Mozilla Sniffer ซึ่งถูกดาวน์โหลดไปแล้ว 1,800 ครั้ง ตอนนี้ Mozilla ได้ลบมันออกจากระบบแล้ว และแจ้งเตือนไปยังผู้ใช้ Firefox ที่ติดตั้งมันไปแล้ว ให้ถอนการติดตั้งออกทันที ทาง Mozilla ยอมรับว่าทำพลาดที่ไม่ได้ตรวจสอบโค้ดของ add-on บน addons.mozilla.org ก่อน และบอกว่าจะปรับปรุงนโยบายการส่ง add-on ใหม่ให้ปลอดภัยมากขึ้น ระหว่างนี้ผู้ใช้เองคงต้องระวัง ไม่ติดตั้ง add-on แปลกๆ ที่ไม่เคยเห็นชื่อมาก่อน

นอกจากนี้ยังค้นพบช่องโหว่ใน add-on (จริงแท้ไม่ปลอม) อีกตัวคือ CoolPreviews ซึ่งแนะนำให้ผู้ใช้ทุกคนอัพเดตรุ่นโดยพลัน

คนอ่าน Blognone คงอัพเกรดไปใช้ Windows 7 กันเยอะแล้ว ก็ใกล้จะถึงรอบเวลาของการอัพเกรดใหญ่อีกครั้งด้วย Service Pack 1 (SP1) สำหรับ Windows 7 และ Windows Server 2008 R2

SP1 จะไม่มีการเพิ่มฟีเจอร์ใหม่ใดๆ เข้ามานอกจากการรวมแพตซ์ต่างๆ เข้าเป็นชุดเดียวกันเท่านั้น ทำใหสามารถเลือกจัดการแพตซ์ได้ง่ายขึ้นสำหรับลูกค้าองค์กร

ที่มา - TechNet

หลังจากมีข่าว อันตราย! App Store โดนแฮ็ก iTunes Account โดนขโมยเงิน มาได้สองสามวัน ตอนนี้ยังไม่มีแถลงการณ์ใดๆ อย่างเป็นทางการจากแอปเปิล (และดูท่าทางไม่น่าจะมี) แต่เว็บไซต์หลายแห่งได้รับคำยืนยันจากบุคคลากรของแอปเปิลกันมาบ้างแล้ว

Engadget คุยกับคนของแอปเปิลได้คำตอบมาว่า app หลอกๆ ทั้งหมดถูกแบนจาก App Store หมดแล้ว และข้อมูลส่วนตัวของผู้ใช้จะไม่ถูกส่งให้นักพัฒนาไม่ว่ากรณีใดๆ ส่วนคนที่รหัสผ่านหรือหมายเลขบัตรเครดิตโดนขโมย ให้ติดต่อธนาคารเจ้าของบัตรกันเองเพื่อยกเลิกบัตร และขอเงินคืน

วิศวกรของ Royal Military College of Canada มีรายงานว่า อุปกรณ์ต่างๆ ที่มีการใช้งานผ่านพอร์ต USB เมื่อเสียบเข้าไปแล้ว เครื่องของเราก็จะมองว่าเป็น Trusted Device โดยอัตโนมัติ แม้แต่ Flash Drive ที่เก็บมาจากข้างถนนก็ตาม

พวกเขาทดลองเสียบ Spy Keyboard เข้ากับเครื่องของเพื่อนที่ออฟฟิศ และพบว่า Keyboard นั้นกระพริบไฟ LED ขึ้นมาเป็นจังหวะ หรือไม่ก็ส่งเสียงสัญญาณตามที่ได้ออกแบบไว้ เป็นการส่งสัญญาณ หรือรหัสข้อมูลที่ขโมยออกมาจากเครื่องนั้นๆ

วันนี้เว็บใหญ่สองแห่งโดนแฮ็กกันทั้งคู่ครับ อันนี้เป็นของ YouTube แต่ไม่ร้ายแรงนักเมื่อเทียบกับกรณี App Store

ปัญหาของ YouTube คือมีคนไปค้นพบช่องโหว่ของตัวอ่านโค้ด HTML ในช่องคอมเมนต์ของ YouTube โดยสามารถทำ HTML injection ผ่านแท็กบางตัวเช่น marquee (คงเก่าเกินจนคนตรวจโค้ดลืมไปแล้ว) และฝัง XSS ลงในหน้าวิดีโอบางคลิป (ส่วนมากเป็นคลิปของนักร้อง Justin Bieber) ผลที่เกิดขึ้นคือเข้าหน้าวิดีโอเหล่านี้ จะเจอคำเตือนแปลกๆ เช่นบอกว่านักร้องคนนี้เสียชีวิตแล้ว หรือไม่ก็แสดงข้อความตรงๆ ว่า "เว็บนี้โดนแฮ็ก"

ข่าวใหญ่วันนี้คือ App Store ของแอปเปิลโดนแฮ็ก และมีเจ้าของบัญชี iTunes จำนวนมากรายงานว่าถูกใช้บัตรเครดิตสั่งซื้อโปรแกรมปลอมๆ แอปเปิลยังไม่ออกแถลงการณ์อะไร ดังนั้นใครมี iTunes Account ควรเปลี่ยนรหัสผ่าน+เอาข้อมูลบัตรเครดิตออกด่วน

เรื่องค่อนข้างซับซ้อน ขอสรุปเป็นประเด็นๆ จะดีกว่า

ต้นเรื่องมาจาก Twitter และ forum ของเว็บแมคหลายแห่ง

หลายคนคงรู้จักโปรแกรมลักษณะนี้อย่าง Find My Phone ของแอปเปิลมาแล้ว ตอนนี้บนคอมพิวเตอร์มีโปรแกรม Prey สำหรับทำงานแบบเดียวกัน

Prey เป็นโปรแกรมโอเพนซอร์ส ทำงานได้บน 3 แพลตฟอร์มหลัก มันสามารถส่งข้อมูลของคอมพิวเตอร์เครื่องใดๆ เช่น ตำแหน่ง ภาพหน้าจอ รายชื่อโปรแกรม ฯลฯ กลับมายังเจ้าของได้ ไม่ว่าจะผ่าน Wi-Fi หรือ Ethernet (ค้นหาตำแหน่งด้วย Google Location API) และถ้าคอมเครื่องนั้นมีเว็บแคม ก็สามารถถ่ายภาพซึ่งอาจจะติดหน้าของขโมยได้ด้วย

ที่มา - OMG Ubuntu

ทีมงาน Chromium ประกาศแนวทางเพิ่มความปลอดภัยให้ผู้ใช้ โดยปรับฟีเจอร์-นโยบายที่เกี่ยวข้องกับปลั๊กอินใหม่ ดังนี้

ข่าวสำคัญอีกข่าวของวันนี้ กูเกิลเขียนลงบล็อกของ Android ว่าได้สั่งลบโปรแกรมจากระยะไกล (remotely remove) 2 ตัวจากมือถือ Android ของเราๆ ท่านๆ

โปรแกรมสองตัวนี้เป็นโปรแกรมเก็บข้อมูลเพื่อการวิจัย ซึ่งไม่มีประโยชน์ในการใช้งานจริง แต่ข้อความโฆษณาบางส่วนของโปรแกรมได้เชิญชวนให้ผู้ใช้ดาวน์โหลดไปลองติดตั้ง หลังจากกูเกิลทราบเรื่องนี้ได้คุยกับนักพัฒนาเพื่อเอาโปรแกรมออกจาก Market ส่วนโปรแกรมที่ติดตั้งไปในเครื่องแล้ว กูเกิลใช้วิธี remotely remove นั่นเอง (ผู้ที่โดนจะได้รับข้อความเตือนว่าโปรแกรมโดนลบ)

มาตรฐาน DNSSEC (rfc2535) เป็นมาตรฐานที่มาขยายมาตรฐาน DNS เพื่อให้ผู้ร้องขอข้อมูล DNS สามารถตรวจสอบได้ว่าข้อมูลที่ได้รับมานั้นถูกต้องหรือไม่ ด้วยปัญหาหลายประการ โดยเฉพาะปัญหาทำงานบนเครือข่ายขนาดใหญ่ของมาตรฐานรุ่นแรก ทำให้ DNSSEC ถูกละเลยเรื่อยมาจนวันนี้ .org ก็เป็นโดเมนชั้นต้น (TLD - Top Level Domain) กลุ่มแรกที่จะใช้งาน DNSSEC เต็มรูปแบบ

กระบวนการนี้เป็นขั้นแรกของการปรับปรุงให้อินเทอร์เน็ตปลอดภัยขึ้น โดยในเดือนหน้า root server ทั้งหมดจะเริ่มมีการลงลายเซ็นอิเล็กทรอนิกส์ เพื่อตรวจสอบข้อมูลที่ส่งผ่านระหว่างกัน

คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ได้ออกประกาศเรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ ซึ่งได้ประกาศในราชกิจจานุเบกษา เมื่อวันที่ 23 มิถุนายน 2553 ที่ผ่านมา ในประกาศฉบับนี้ก็ไม่ได้พูดถึงรายละเอียดมากมายนัก ส่วนใหญ่ก็เป็นเพียงแค่หลักการคร่าวๆ ถึงแม้จะคลอดออกมาช้ากว่าตัว พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ เกือบ 10 ปี แต่มาช้าก็ยังดีกว่าไม่มาครับ ^^

โดยเนื้อหาของประกาศฉบับนี้ไม่ได้มีเรื่องอะไรที่ทำให้แปลกใจ แต่ก็ศึกษาไว้เป็นความรู้นะครับ อาจจะใช้เป็นแนวทางในการจัดการระบบสารสนเทศในองค์กรได้

เมื่อทุกอย่างคือธุรกิจความปลอดภัยจึงเป็นส่วนสำคัญในเรื่องของการพัฒนาซอฟต์แวร์ ก็ต้องมีระบบเตือนการหลอกลวงครับ และเมื่อเร็วๆ นี้ทาง FTC หรือคณะกรรมการการค้าของสหรัฐ และบริษัทต่างๆ ได้ร่วมกันสร้างระบบเตือนการหลอกลวง ที่ชื่อว่า Internet Fraud Alert ระบบนี้มีผู้สนใจเข้าร่วมหลายค่ายครับ ประกอบด้วย Microsoft ซึ่งพัฒนาซอฟต์แวร์และให้บริการ, National Cyber-Forensics and Training Alliance (NCFTA), American Bankers Association, Anti-Phishing Working Group, Citizens Bank, eBay, the Federal Trade Commission, PayPal

EFF ได้ออกส่วนเสริม (extension) สำหรับไฟร์ฟอกซ์เพื่อให้เบราเซอร์เรียกเว็บผ่านทางโปรโตคอล HTTPS ก่อน HTTP เสมอ พร้อมกับแจ้งเตือนเราเมื่อเว็บที่เราใช้งานไม่รองรับ HTTPS หรือรองรับเพียงบางส่วน โดยใช้ชื่อโครงการว่า HTTPS Everywhere

ทุกวันนี้การเข้าเว็บผ่านทางโปรโตคอล HTTP นั้นไม่มีการเข้ารหัสใดๆ และผู้ที่มีความรู้สักหน่อยก็สามารถแอบดูและชิงรหัสผ่านเว็บต่างๆ ของเราไปได้โดยง่าย หรือแม้การแอบเก็บข้อมูลเช่นการเข้าค้นหาข้อมูลผ่านกูเกิลเองก็มักไม่มีการเข้ารหัส จนกูเกิลต้องเปิดบริการผ่าน HTTPS ไปก่อนหน้านี้

ผู้ใช้ iPad 3G ในสหรัฐ ซึ่งต้องเชื่อมต่อกับเครือข่าย AT&T อาจมีหนาวๆ ร้อนๆ เพราะล่าสุด AT&T เผลอปล่อยข้อมูลอีเมลของลูกค้ากว่า 114,000 รายหลุดออกสู่สาธารณะ โดยสาเหตุเกิดจากช่องโหว่ของระบบ AT&T เอง

ไม่มีใครรู้ว่ามีกลุ่มแฮกเกอร์ไหนได้ข้อมูลชุดนี้ไปหรือไม่ แต่มันเป็นข่าวเพราะกลุ่มนักวิจัยด้านความปลอดภัยไปพบเข้า และตอนนี้รายชื่ออีเมลยังคงถูกเก็บอยู่ในวงการนักวิจัยด้านความปลอดภัยเท่านั้น อย่างไรก็ตาม ข้อมูลที่หลุดมีเฉพาะอีเมล แปลว่าอย่างมากก็โดนสแปมเพิ่มขึ้นเท่านั้น

ในลูกค้า 114,000 รายนี้มี CEO และผู้บริหารของบริษัทชั้นนำทั่วอเมริกา รวมถึงเจ้าหน้าที่ระดับสูงของทำเนียบขาว และกองทัพสหรัฐด้วย (แปลว่ามี iPad ใช้กันถ้วนหน้า)

ผมเชื่อว่าผู้อ่าน Blognone คงไม่มีใครไม่รู้จัก Norton โดยเฉพาะผลิตภัณฑ์ยอดนิยม Norton Antivirus (หรือถ้าใครแก่พอจะทัน Norton Commander ก็ไม่ว่ากันนะครับ :P)

แม้ว่าจะเป็นเจ้าตลาดมานาน แต่ภาพลักษณ์ของผลิตภัณฑ์ตรา Norton ในสายตาของพวกเรา คงหนีไม่พ้นประโยคทำนองว่า "ช้า กินแรงเครื่องมาก น่ารำคาญ จับไวรัสได้น้อย" อันเนื่องมาจากความประทับใจใน Norton รุ่นเดิมๆ ที่สร้างชื่อ (เสีย) ไว้มาก

หลายคนจึงหนีไปใช้ผลิตภัณฑ์แอนตี้ไวรัส (หรือรักษาความปลอดภัยที่เป็นมากกว่าแอนตี้ไวรัส) ค่ายอื่นๆ ซึ่งก็มีตัวเลือกมากมายในตลาด รวมไปถึงผลิตภัณฑ์ฟรีอย่าง Microsoft Security Essentials, AVG หรือ Avast! เป็นต้น

หลังจากมีข่าว กูเกิลห้ามพนักงานใช้วินโดวส์ ด้วยเหตุผลด้านความปลอดภัย ไมโครซอฟท์ก็ออกมาตอบโต้ตามความคาดหมาย

Brandon LeBlanc พนักงานของไมโครซอฟท์ได้เขียนชี้แจงลงใน Windows Blog เขาบอกว่าข้อกล่าวหาว่า "วินโดวส์ไม่ปลอดภัย" นั้นไม่จริง โดยอ้างคำให้สัมภาษณ์ของแฮกเกอร์บางคน และรายงานจากองค์กรบางแห่ง (เช่น Cisco) นอกจากนี้ยังยกประเด็นเรื่องมัลแวร์ของแมคที่กำลังเพิ่มขึ้นเรื่อยๆ มาเทียบ

สุดท้ายเขายังยกกรณีของ มหาวิทยาลัยเลิกใช้ Gmail เหตุเพราะกลัวปัญหาความเป็นส่วนตัว มาเทียบให้เห็นว่ากูเกิลก็มีปัญหาเหมือนกัน

หนังสือพิมพ์ FT ของอังกฤษอ้างข้อมูลจากพนักงานกูเกิลว่า ตอนนี้กูเกิลกำลังพยายามลดการใช้ระบบปฏิบัติการวินโดวส์กับคอมพิวเตอร์ภายในองค์กรอยู่ โดยเหตุผลที่สำคัญคือการที่กูเกิลถูกแฮกจากจีนเมื่อปีที่แล้ว

ตอนนี้พนักงานเข้าใหม่ของกูเกิลสามารถเลือกได้ว่าจะใช้แมคหรือลินุกซ์ ก่อนหน้านี้มีรายงานว่าพนักงานยังสามารถลงวินโดวส์ได้บนโน้ตบุ๊ก แต่ถ้าเป็นคอมพิวเตอร์ตั้งโต๊ะจะไม่สามารถลงได้แล้ว ถ้าพนักงานคนไหนอยากลงวินโดวส์จริงๆ ต้องทำเรื่องขออนุมัติจากผู้บริหารระดับสูงเสียก่อน

นอกจากนี้ยังมีประเด็นว่า กูเกิลพยายามผลักดันให้พนักงานบางส่วนใช้ Chrome OS เพื่อทดสอบระบบด้วยเช่นกัน

ที่มา - FT

HTC EVO 4G เป็นเครื่องที่กูเกิลแจกให้กับผู้เข้าร่วมงาน Google I/O ทุกคนในปีนี้ เมื่อมีการแจกเครื่องให้กับเหล่าแฮกเกอร์ก็ไม่แปลกที่จะมีบางคนตั้งหน้าตั้งตาเจาะสิทธิ์ root ทันทีที่ได้รับเครื่องมา และทีมสามคนประกอบด้วย @mmastrac, ozzeh, และ Joshua Wise ก็ประสบความสำเร็จเป็นทีมแรก

ทีมงานระบุว่าจะยังไม่มีการเปิดเผยรายละเอียดขั้นตอนในตอนนี้ แต่จะเปิดเผยแต่ภาพและวีดีโอเครื่องที่ถูกเจาะแล้วออกมาเท่านั้น ส่วนวีดีโอดูได้ในท้ายข่าว

ที่มา - grack.com