เมื่อสัปดาห์ที่แล้วมีการค้นพบบั๊กใน Password Manager ทำให้เว็บของแฮกเกอร์สามารถเข้าถึงรหัสผ่านของเว็บอื่นๆ ได้ โดยแฮกเกอร์สามารถปลอมแบบฟอร์มในเว็บของตนว่าเป็นแบบฟอร์มของเว็บอื่น ทำให้ Firefox จะเติมรหัสผ่านเข้าไปให้เอง โดยผู้ใช้อาจะไม่ทันรู้ตัวเนื่องจากช่องรหัสผ่านนั้นอาจจะมองไม่เห็นก็ได้ หลังจากการยืนยันบั๊กหมายเลข 360493

ผู้เชี่ยวาญระบุว่าผู้ใช้ Firefox ควรหยุดใช้งาน Password Manager จนกว่าจะมีการแก้ไข และเว็บมาสเตอร์ควรตรวจสอบการโพสข้อความของผู้ใช้เว็บ เนื่องจากอาจมีการดักเอาข้อมูลของผู้เข้าชมเว็บไปใช้ได้

Mozilla ออกมาสวนหมัดไมโครซอฟท์ในสงครามเบราว์เซอร์ล่าสุด โดยเปิดเผยว่าจากการศึกษาเครื่องมือป้องกันการหลอกลวงทางอินเทอร์เน็ต (antiphishing tools) ในไฟร์ฟ็อกซ์ 2 ทำงานได้ถูกต้องแม่นยำกว่า IE7 รายงานนี้ออกมาหลังจากที่ไมโครซอฟท์ได้อ้างผลการทดสอบบน IE7 ในทำนองเดียวกันนี้เมื่อเดือนกันยายนที่ผ่านมา

Mozilla อ้างผลการทดสอบจากบริษัท SmartWare Consulting จากการทดสอบเว็บไซต์หลอกลวง 1,040 แห่ง ไฟร์ฟ็อกซ์บล๊อกได้ถูกต้อง 78.85% โดยใช้ข้อมูลที่ติดตั้งอยู่ในตัวเบราว์เซอร์เอง (local mode) แต่ถ้าใช้ข้อมูลจากฐานข้อมูลออนไลน์ผ่าน Ask Google จะสามารถบล๊อกถูกต้องถึง 81.5%

เมื่อไม่นานมานี้ เกิดการปล้นตู้ ATM เพื่อเอาหมายเลขบัตรเครดิตด้วยเครื่องเล่นเอ็มพีสามธรรมดาๆ ซึ่งเป็นการโจรกรรมเงินถึง 200,000 ปอนด์ (อ่าน: 14 ล้านบาท) ผู้กระทำผิดในครั้งนี้ถูกจำคุกทั้งสิ้นเป็นเวลา 32 เดือน

วิธีการที่คนกลุ่มนี้ใช้ คือการเอาเครื่องเล่นเอ็มพีสามต่อเข้ากับสายโทรศัพท์ที่ใช้เชื่อมต่อตู้ ATM สู่ระบบเครือข่าย หลังจากนั้นนำข้อมูลเสียงที่ได้ (ถ้านึกไม่ออก มันจะประมาณเสียงโมเด็ม) ไปถอดรหัส โดยใช้เทคนิคคล้ายๆ กันกับการดักฟัง เพื่อเอาหมายเลขเครดิตการ์ด และวันหมดอายุออกมาทำการ์ดปลอม

แต่ผู้กระทำผิดในครั้งนี้ ถูกจับเพราะคนขับรถ กลับรถผิดกฎหมาย

ที่มา: TimesOnline

Windows Defender โปรแกรมป้องกัน Spyware จาก Microsoft ออกตัวเต็มแล้วครับ

แต่ว่าจากรายการ Features ที่อ่านมา มีการตรวจเช็ค WGA เยอะมากครับ เพราะฉะนั้นใครที่ไม่ได้ใช้ของแท้ก็เลือกโปรแกรมอื่นแล้วกันครับ

โหลดที่นี่

ปัญหาโน้ตบุ๊กสูญหายหรือถูกขโมยเริ่มเป็นเรื่องที่บริษัทต่างๆ วิตกกังวลกันมากขึ้น สมัยก่อนเป็นประเด็นที่ว่าโน้ตบุ๊กนั้นราคาแพง แต่สมัยนี้ความน่ากลัวคือข้อมูลที่มีมูลค่ามากกว่าตัวโน้ตบุ๊กเองหลายเท่าตัวนั้นถูกพาไปกับตัวโน้ตบุ๊กด้วย ทางแก้ปัญหาในทุกวันนี้ที่มีใช้กันคือการเข้ารหัสที่ตัว File System เช่น NTFS แต่กรณีเช่นนี้ถ้าผู้ใช้เผลอเอาไฟล์สำคัญไปวางไว้นอกส่วนที่เข้ารหัส ข้อมูลนั้นก็มีความเสี่ยงอยู่ดี แถมการเข้ารหัสที่ระบบปฏิบัิิติการนั้นช้าอย่างไม่น่าให้อภัยกันทีเดียว

นักวิจัยด้านความปลอดภัย Christopher Soghoian จากมหาวิทยาลัยอินเดียนา ได้พยายามชี้ให้เห็นถึงรูโหว่ด้านความปลอดภัยของระบบการบิน ด้วยการทำเว็บไซต์สำหรับพิมพ์บัตรขึ้นเครื่อง (boarding pass) ของสายการบินนอร์ทเวสให้ผู้โดยสารชื่ออะไรก็ได้ โดยปกติแล้วบัตรขึ้นเครื่องจะใช้รหัสบาร์โค้ดเพื่อยืนยันว่าเป็นบัตรจริง

หน่วยงานรัฐของอเมริกาได้ยินชัดเจน และสั่งปิดเว็บไซต์นี้ รวมถึงมีความพยายามจะสั่งจับกุม Soghoian แล้ว

ที่มา --- wired news

Video iPod ที่ผลิตหลังวันที่ 12 กันยายนมาพร้อมกับไวรัส RavMonE ซึ่งไวรัสนี้ติดกับพวกอุปกรณ์ USB Mass Stroage และมีผลกับระบบปฏิบัิติการ Windows เท่านั้น

Apple ได้ขอโทษไว้ในเว็บ Apple และได้แนะนำวิธีการแก้พร้อมกับ restore firmware โดยใช้ iTunes ไว้แล้ว

ที่มา: C|Net

หลังจากโดนบริษัทซอฟต์แวร์รักษาความปลอดภัยทั้งหลายบ่นกระจาย เรื่องของการป้องกันการเข้าถึงเคอร์เนลของผู้ผลิตซอฟต์แวร์อื่นนอกจากไมโครซอฟท์เอง วันนี้ไมโครซอฟท์ก็ยอมที่จะเปิดให้ผู้ผลิตสามารถเข้าถึงเคอร์เนล ซึ่งทำให้ผู้ใช้อย่างเราๆ ท่านๆ สามารถเลือกใช้ซอฟต์แวร์รักษาความปลอดภัยจากผู้ผลิตหลายเจ้าในตลาดได้ แทนที่จะถูกบังคับให้ใช้ OneCare ของไมโครซอฟต์อย่างเดียว

ทางด้านไซแมนเทคซึ่งแสดงความไม่พอใจในเรื่องนี้มาตั้งแต่ต้นระบุว่าทางบริษัทยินดีกับการประกาศครั้งนี้ แต่ยังไม่ได้รับรายละเอียดทางเทคนิคแต่อย่างใด

การประกาศครั้งนี้เดาได้ไม่ยากว่าเกิดจากการกดดันในด้านกฏหมายของสหภาพยุโรป และเกาหลีที่เอาผิดกับไมโครซอฟต์ในเรื่องของการผูกขาดอย่างหนัก ทำให้ไมโครซอฟต์ยอมเปิดกว้างมากขึ้น

ข่าวที่ว่า Firefox มีรูรั่วด้านความปลอดภัยที่ทำให้ผู้ประสงค์ร้ายสามารถควบคุมพีซีที่ใช้งาน Firefox ได้ กลับกลายเป็นเรื่องไม่จริง (แต่สามารถทำให้ Firefox crash ได้จริง ปัญหาอยู่ใน Javascript VM)

ที่มา - Mozilla, ZDnet

ทุกวันนี้หลายๆ คนอาจจะริปดีวีดีไว้ดูในเครื่องกันเป็นเรื่องปรกติ ทั้งที่แผ่นดีวีดีนั้นมีมาตรฐานการเข้ารหัสที่ค่อนข้างแน่นหนา เรื่องนี้สำเร็จได้เพราะชาวนอร์เวย์ที่ชื่อว่า Jon Lech Johnasen หรือที่รู้จักกันในชื่อว่า DVD Jon ในเวลานั้นเขาถูกฟ้องจากอุตสาหกรรมภาพยนตร์อย่างหนัก แต่สุดท้ายก็หลุดจากข้อกล่าวหานั้นมาได้

ในตอนนี้ DVD Jon ก็กลับมาอีกครั้ง ด้วยการแกะมาตรฐาน FairPlay ของแอปเปิล แต่ในครั้งนี้เขาไม่ได้แกะมาตรฐานนี้เพื่อที่จะถอดระบบป้องกันการทำสำเนานี้แต่อย่างใด แต่เป็นการแกะมาตรฐานเพื่อขายให้บริษัทที่ต้องการขายบริษัทที่ต้องการให้เพลง หรือภาพยนตร์ของตนสามารถใช้งานบนไอพ็อดได้โดยไม่ต้องผ่านทางแอปเปิลอีกต่อไป

ใน Vista นั้นไมโครซอฟท์ปรับกลยุทธด้านความปลอดภัยของตัวเองเสียใหม่ จากเดิมที่ไม่ได้ยุ่งเกี่ยวอะไรก็ลงมาทำธุรกิจอย่างเต็มตัว จะเห็นได้จากการรวมเอา Windows Defender (Anti-Spyware) มาใน Vista และขายแอนตี้ไวรัสแยกในชื่อ Windows Live OneCare

มองในแง่ผู้บริโภคก็อาจจะดี แต่คู่แข่งอย่าง McAfee หรือ Symantec/Norton คงไม่ยอมแน่นอน เรื่องยิ่งเลวร้ายเมื่อผู้พัฒนาโปรแกรมด้านความปลอดภัยไม่สามารถเข้าถึงเคอร์เนลของ Vista ได้ด้วยเหตุผลที่ไมโครซอฟท์บอกว่าเป็นเรื่องความปลอดภัย (แต่ทีม OneCare ของไมโครซอฟท์เองย่อมทำได้) ทำให้ทั้ง McAfee และ Symantec ออกมาโวยวายในเรื่องนี้แล้ว

มีรายงานจาก Blog Poptech ว่า จริงๆ แล้วเมื่อนับรวมปัญหาในปี 2006 IE 6 นั้นปลอดภัยกว่า Firefox โดยนำผลจากเวบ Secunia ซึ่งรายงานปัญหารูโหว่ในโปรแกรมต่างๆ พบว่า ในปีนี้ Firefox มีปัญหาถึง 64 รายการ ส่วน IE 6 มีแค่ 30 รายการ ดังนั้น IE จึงปลอดภัยกว่า Firefox

ที่แน่ๆ คือ Comment ใน OSNews และ Poptech นี่อ่วมเลยทีเดียว

ที่มา - OSNews

สงสัยว่าผู้ให้บริการอินเทอร์เน็ตอย่าง AOL จะรำคาญเหล่าเวิร์มที่วิ่งไปมาเต็มอินเทอร์เน็ต เลยลงทุนออกโปรแกรม Active Virus Shield มาให้เล่นกันฟรีๆ อีกเจ้า

ที่น่าสนใจคือเจ้า Active Virus Shield นี้เป็นการพัฒนาร่วมกับทาง Kaspersky Lab หนึ่งในผู้ผลิตซอฟต์แวร์แอนตี้ไวรัสที่ได้ชื่อว่ามีคุณภาพสูงสุดรายหนึ่งในตลาดตอนนี้ ทำให้โปรแกรมตัวนี้น่าสนใจขึ้นมาเป็นเท่าตัว

งานนี้ผมยังสงสัยว่าทาง AOL จะทำเอาหน้ากันอย่างเดียวเลยหรือ เพราะไม่จำเป็นต้องเป็นสมาชิก AOL ก็สามารถใช้งานได้

บริษัท Panda Software ได้แจ้งเตือนความปลอดภัยว่า "zCodec" ซึ่งอ้างตัวว่าเป็น codec ที่เพิ่มคุณภาพของวิดีโอได้ถึง 40% นั้นจริงๆ เป็นโปรแกรมประสงค์ร้ายที่จะเปลี่ยนค่า DNS ของเครื่องเรา และดาวน์โหลดโทรจันมาติดตั้งเพิ่มเติมด้วย

เว็บไซต์ของ zCodec ดูหรูหรามีชาติตระกูลพอสมควร และตัวไฟล์ที่ให้ดาวน์โหลดมีขนาดเล็กเพียง 100K ซึ่งส่งผลให้ผู้ใช้ตัดสินใจดาวน์โหลดมาได้ง่ายมาก

ที่มา - Techworld

ระบบป้องกันการละเมิดลิขสิทธิ์เพลงของไมโครซอฟท์หรือ DRM 10 ที่ใช้กับบริการ PlayForSure ในที่สุดก็ถูกแครกจนได้โดยโปรแกรมที่มีชื่อว่า FairUse4WM (จากฟอรั่มใน doom9.org)

ซึ่งตอนนี้ใครที่ใช้บริการของ Napster To Go หรือ Rhapsody To Go คงจะสะดวกสบาย ไร้ปัญหากับการย้ายเพลงไปฟังยังเครื่องเล่น MP3

เรื่องนี้ไม่รู้จะส่งผลกระทบกับโครงการ Zune อย่างไรบ้าง

เรื่อง security update คงเป็นเรื่ีองธรรมดาของไมโครซอฟท์ แต่จะไม่ธรรมดาถ้าเป็นของวินโดวส์วิสต้าเบต้า 2!!

patch ที่จะออกมาจะแก้ไข 2 จุดคือ MS06-042 สำหรับ Internet Explorer และ MS06-051 สำหรับ Windows Kernel ซึ่งทั้งสองตัวมีระดับความสำคัญเป็น "Critical"

กระทรวงความมั่นคงภายในของสหรัฐ (DHS) ออกประกาศเตือนผู้ใช้ Windows ทุกรุ่น ให้ติดตั้ง critical security patch ชื่อ MS06-040 โดยด่วน

"Users are encouraged to avoid delay in applying this security patch," the Department of Homeland Security said in the statement. The patch fixes a serious flaw that, if exploited, could enable an attacker to remotely take complete control of an affected system, the agency said.

บริษัทที่ปรึกษาด้านความปลอดภัย SPI Dynamics เริ่มออกมาเตือนให้ผู้ใช้ระวังอันตรายที่อาจแฝงมากับเทคโนโลยีใหม่ๆ อย่าง Feed

ผู้ประสงค์ร้ายอาจใช้วิธีสร้างบล็อกขึ้นมาให้คนรับ Feed จากนั้นแอบยัดจาวาสคริปต์ที่ทำความเสียหายมาด้วย ถ้าตัว reader ไม่ระวังเรื่องนี้ ก็ย่อมมีสิทธิ์โดนได้ SPI ยังเตือนว่ามี Feed reader หลายตัวบนวินโดวส์ที่เรียกใช้ IE เป็นตัวแสดงผลเนื้อหา แต่ดันไม่ได้ดึงเอาค่าด้านความปลอดภัยของ IE ตามมาใช้ด้วย

ใน DVD นั้นใช้การเข้ารหัสเนื้อหาที่เรียกว่า CSS (คนละอันกับที่ใช้ทำเว็บ ย่อมาจาก Content-scrambling system) ซึ่งมันโดนแกะได้ง่ายมาก ถ้าใครยังจำข่าว DVD Jon ได้คงจะนึกออกกัน ในแผ่นยุคถัดมาจึงใช้การเข้ารหัสแบบใหม่ที่เรียกว่า AACS ซึ่งทางผู้ผลิตภูมิใจกับมันมาก (แผ่นทั้งสองแบบใช้ AACS เหมือนกัน)

Patch นี้ชื่อ 2006-004 ติดตั้งได้ผ่าน System Preferences (ภายใต้ Apple menu) แล้วเลือก Software Update แก้ปัญหา 26 จุดใน AFP Server Bluetooth Bom DHCP dyld fetchmail gnuzip ImageIO LaunchServices OpenSSH telnet และ WebKit ติดตั้งเสร็จแล้ว จะต้อง Restart

ที่มา: Apple

ไม่ว่าเทคโนโลยีจะเปลี่ยนไปแค่ไหน ก็ยังมีคนอาศัยช่องโหว่จากรูรั่วของเทคโนโลยีใหม่อยู่ตลอด หลังจากมีอีเมลหลอกลวง, Paypal ปลอม ก็ถึงคิวของทูลบาร์และ extension ปลอมบ้าง

รายงานล่าสุดจาก McAfee คือมีโทรจันตัวใหม่ชื่อ FormSpy จะแนบไฟล์มากับอีเมลสแปม เมื่อผู้ใช้เปิดไฟล์แนบก็จะพบการติดตั้ง extension ปลอมๆ ของ Firefox (ซึ่งมี extension นั้นจริงๆ) โดย extension ปลอมจะแอบหาข้อมูลในเครื่องผู้ใช้ และส่งกลับไปยังสแปมเมอร์ กรณีคล้ายๆ กันแบบนี้เกิดกับ Google Toolbar ด้วย

แม้ลินุกซ์จะมีชื่อเสียงด้านความปลอดภัยที่ค่อนข้างดี แต่ความผิดพลาดก็ยังมีอยู่เสมอๆ โดยในวันนี้ Debian ซึ่งเป็นดิสโทรฐานของดิสโทรยอดนิยมอย่าง Ubuntu ก็โดนแฮกเซิร์ฟเวอร์ตัวหนึ่งจนต้องปลดการทำงานลง พร้อมกับเพิ่มมาตรการความปลอดภัยให้กับเซิร์ฟเวอร์ทุกตัวของ Debian เป็นการชั่วคราว ส่งผลให้บริการหลายๆ อย่างใช้การไม่ได้

James Troup หนึ่งในนักพัฒนา Debian เขียนอีเมลประกาศถึงการสร้างความเสียหายครั้งนี้ว่า อยู่ระหว่างการตรวจสอบว่าและจะมีการประกาศถึงรายละเอียดให้เร็วที่สุด

ก่อนหน้านี้ในปี 2003 เคยเกิดเหตุการณ์แบบเดียวกันนี้ โดย Troup ก็เป็นหนึ่งในผู้ที่ร่วมตรวจสอบสาเหตุเช่นกัน

ตั้งแต่ปีที่แล้ว เวลาเราจะโหลดโปรแกรมใหม่ๆ จากไมโครซอฟท์ เราคงได้เห็นตรา WGA หรืือ Windows Genuine Advantage กันมาบ้าง โดยหลักๆ มันคือโปรแกรมที่ไมโครซอฟท์ขอลงที่เครื่องของเรา เพื่อตรวจสอบว่าวินโดวส์ที่เราใช้นั้นเป็นของแท้จากทางไมโครซอฟท์

ตามกำหนดการเดิม ไมโครซอฟท์จะหยุดสนับสนุนทางเทคนิคแก่ Win98, Win98 SE และ Win ME ในวันที่ 11 กรกฎาคม 2006 นี้ ซึ่งในกรณีนี้รวมถึงการออกแพตช์ด้วย แต่เอาเข้าจริง แค่เดือนมิถุนายน รูรั่วบางตัวที่ค้นพบอย่างเช่น MS06-015 ก็มีแต่แพตช์สำหรับวินโดวส์เวอร์ชันใหม่ๆ เท่านั้น

ไมโครซอฟต์ให้เหตุผลว่าต้องการลดภาระในการออกแพตช์ข้ามแพลตฟอร์มลง เพราะความแตกต่างระหว่างรุ่นวินโดวส์นั้นทำให้การแพตช์บนวินโดวส์เวอร์ชันใหม่ๆ ยากขึ้นอีกมาก

ที่มา - Microsoft Technet Blog

ไหนๆ แล้วพ่วงอีกข่าว

Data on 2.2M Active Troops Stolen From Veterans Affairs

ข้อมูลส่วนตัวของทหารประจำการของสหรัฐถูกขโมยจากกิจการทหารผ่านศึก (Veterans Affairs) ข้อมูลที่ถูกขโมยเหล่านี้ทำให้ทหารประจำการสองล้านสองแสนคนเสี่ยงต่อการถูกการนำเอาข้อมูลส่วนตัวอันประกอบไปด้วย ชื่อ วันเกิด รหัสประกันสังคม (social security number) ไปใช้ในในทางที่มิชอบ

ที่มา -- the Guardian Unlimited