Google Cloud เปิดตัวบริการความปลอดภัยองค์กร BeyondCorp Enterprise ซึ่งจะมาแทน BeyondCorp Remote Access ที่ออกในปี 2020 โดยครอบคลุมฟีเจอร์มากกว่า

กูเกิลมีแนวคิดยกบริการภายในทั้งหมดของตัวเองออกสู่อินเทอร์เน็ต พนักงานเข้าถึงได้โดยไม่ต้องใช้ VPN มาตั้งแต่ปี 2015 โดยใช้ชื่อโครงการว่า BeyondCorp แนวคิดเบื้องหลังคือไม่ว่าเครือข่ายภายในหรือภายนอกบริษัทมีความเสี่ยงเท่ากัน เชื่อถือใครไม่ได้เลย (zero trust) และใช้วิธีตรวจสอบความปลอดภัยหลายๆ อย่างช่วยกันประเมินความเสี่ยง แทนความเชื่อว่าเข้า VPN ได้แล้วจะปลอดภัยเสมอ

Google Cloud เปิดบริการใหม่ VM Manager ที่เข้าไปจัดการภายใน virtual machine ของลูกค้าเพื่อให้ติดตั้งแพตช์และคอนฟิกตรงตามนโยบายความปลอดภัย โดยอาศัยการติดตั้ง agent ลงใน Compute Engine เพื่อให้ Google Cloud เข้าไปจัดการแพตช์ในเครื่องได้

บริการนี้เหมาะสำหรับองค์กรที่ต้องจัดการเซิร์ฟเวอร์จำนวนมาก โดยมีรายงานว่าเซิร์ฟเวอร์ทั้งหมดที่ดูแลอยู่ยังไม่ได้ติดตั้งแพตช์ระดับใดบ้าง และสามารถตั้งเวลาติดตั้งแพตช์ได้จากศูนย์กลาง

บริการนี้ให้บริการฟรี 100 VM แรก จากนั้นคิดค่าบริการตามจำนวนเครื่องชั่วโมงละ 0.003 ดอลลาร์ หรือประมาณเดือนละ 70 บาท

ที่มา - Google Cloud

กูเกิลรายงานถึงแคมเปญของกลุ่มแฮกเกอร์ที่เกี่ยวข้องกับรัฐบาลเกาหลีเหนือกลุ่มใหม่ที่มุ่งเป้านักวิจัยความปลอดภัยโดยเฉพาะ โดยแฮกเกอร์กลุ่มนี้ทำทีเป็นนักวิจัยอยู่บนทวิตเตอร์ เขียนบล็อกถึงช่องโหว่ที่เคยเปิดเผยมาก่อนแล้วเพื่อสร้างความน่าเชื่อถือให้ตัวเอง หลังจากนั้นหากมีนักวิจัยเข้าไปพูดคุยก็จะชวนไปทำวิจัยช่องโหว่ใหม่แล้วส่งโค้ดหลอกให้ไปรันในเครื่อง

หลังจากที่กูเกิลได้เปิดบริการ Rich Communication Service (RCS) อย่างเป็นทางการไปเมื่อปลายปีที่แล้ว รวมถึงในประเทศไทยด้วย ตอนนี้กูเกิลก็ได้ทำตามสัญญาที่จะเพิ่มการเข้ารหัส end-to-end มาแล้ว

เนื่องจาก RCS นั้นไม่ได้ให้บริการโดยกูเกิลเองทั้งหมดแต่อาจเป็นโอเปอเรเตอร์ให้บริการเองในบางเครือข่ายทำให้บางคนอาจยังไม่ได้รับฟีเจอร์เข้ารหัสนี้ แต่สามารถบอกได้ว่าแชตนั้นๆ รองรับการเข้ารหัส end-to-end นี้หรือไม่โดยสังเกตปุ่มส่งข้อความได้ทั้งสองฝ่าย โดยแชตที่มีการเข้ารหัส end-to-end นั้นจะมีรูปแม่กุญแจแสดงอยู่ที่ปุ่มส่งข้อความด้วย

สถานการณ์ COVID-19 ทำให้นักเรียนทั่วโลกต้องเรียนจากที่บ้าน และมีปัญหาด้านอุปกรณ์-การเชื่อมต่อตามมา รัฐบาลอังกฤษมีโครงการชื่อ Get Help with Technology (GHWT) ที่ซื้อโน้ตบุ๊กแจกให้นักเรียนใช้เรียนออนไลน์

ปัญหาคือโน้ตบุ๊กจำนวนหนึ่งกลับมีแถมมัลแวร์ติดไปด้วย โดยเป็นเวิร์มชื่อ Gamarue ที่มีตัวตนอยู่นานมากแล้ว

โน้ตบุ๊กที่เป็นปัญหาคือ GeoBook 1E โน้ตบุ๊กเพื่อการศึกษาของแบรนด์ท้องถิ่น Geo ของอังกฤษ (แต่ผลิตโดยโรงงานของ Tactus Group ในเซินเจิ้น) สเปกคร่าวๆ คือหน้าจอ 11.6", แรม 4GB, สตอเรจ 64GB, รัน Windows 10 Pro Education

กรณี SolarWinds เป็นการแฮ็กครั้งใหญ่ที่สะเทือนหน่วยงานจำนวนมาก แถมยังตรวจจับได้ยากมาก เพราะมัลแวร์แฝงตัวมากับซอฟต์แวร์ที่ถูกเผยแพร่อย่างเป็นทางการ (แฮ็กตั้งแต่ระบบซัพพลายเชน) ล่าสุดยังมี MalwareBytes ที่โดนโจมตีจากแฮ็กเกอร์กลุ่มเดียวกัน

FireEye ในฐานะบริษัทที่ตรวจพบมัลแวร์ที่แอบใน SolarWinds ออกเครื่องมือช่วยตรวจจับการโจมตีของแฮ็กเกอร์กลุ่มนี้ (ถูกตั้งชื่อว่ากลุ่ม UNC2452) ที่หันมานิยมการโจมตีผ่านคลาวด์ Azure โดยเริ่มจากการขโมยโทเคนล็อกอิน Active Directory Federation Services ก่อน เมื่อเข้ามาได้แล้วจะฝังแบ็คดอร์ไว้บนแอพพลิเคชันภายในที่รันบน Microsoft 365 อีกที

บริษัทความปลอดภัยไซเบอร์จากอิสราเอล JSOF รายงานถึงชุดช่องโหว่ของโปรแกรม dnsmasq ที่ใช้งานกันเป็นวงกว้างในเราท์เตอร์และอุปกรณ์เน็ตเวิร์คขนาดเล็ก โดยช่องโหว่มีตั้งแต่ buffer overflow ที่อาจทำให้แฮกเกอร์ยึดอุปกรณ์ได้ ไปจนถึงช่องโหว่การยืนยันที่มาของ DNS ไม่ดีพอทำให้แฮกเกอร์ปลอมแปลงค่า DNS ได้ง่ายขึ้น โดยทาง JSOF เรียกชุดช่องโหว่นี้ว่า DNSpooq โดยแยกเป็นช่องโหว่ได้อีกสองชุด

ช่องโหว่ชุดแรก ได้แก่ CVE-2020-25681, CVE-2020-25682, CVE-2020-25683, และ CVE-2020-25687 เป็นช่องโหว่ buffer overflow เมื่อใช้งาน DNSSEC ทำให้แฮกเกอร์อาจยิง dnsmasq ให้แครชได้

บริษัท Malwarebytes เปิดเผยว่าโดนเจาะเข้าระบบ โดยแฮ็กเกอร์กลุ่มเดียวกับที่เจาะระบบ SolarWinds (ซึ่งในวงการความปลอดภัยประเมินกันว่าเป็นแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย แต่ก็ไม่มีหลักฐานชี้ชัด)

Malwarebytes บอกว่าไม่ได้ใช้ซอฟต์แวร์ของ SolarWinds เจ้าปัญหา แต่โดนแฮ็กจากช่องโหว่ของแอพพลิเคชันไม่ระบุชื่อ ที่มีสิทธิเข้าถึงบน Microsoft Office 365 และ Azure อีกที (Malwarebytes ทราบเรื่องนี้เพราะได้รับแจ้งจากทีมความปลอดภัยของไมโครซอฟท์ ที่มอนิเตอร์ระบบแล้วเห็นความผิดปกติ)

Alex Murray ทีมงานความมั่นคงปลอดภัยของลินุกซ์ประกาศเปลี่ยนค่าสิทธิ์เริ่มต้นของ home folder ใน Ubuntu 21.04 จากเดิมก่อนหน้าที่ทุกเวอร์ชั่นใช้สิทธิ์แบบ 0755 หมายถึงทุกคนในเครื่องสามารถอ่านข้อมูลของผู้ใช้อื่นได้ มาเป็นสิทธิ์แบบ 0750 นั่นคือเฉพาะผู้ใช้ในกลุ่มเดียวกันเท่านั้นจึงอ่านข้อมูลได้

DataBreaches.net รายงานข่าวการแฮกข้อมูลบริษัท Jasmine International บริษัทแม่ของ 3BB และ Mono Group ของกลุ่มแฮกเกอร์ Altdos พร้อมหลักฐานข้อมูลที่เจาะมาได้ ทั้งข้อมูลด้านการเงินของบริษัท, ฐานข้อมูล HR, ไปจนถึงข้อมูลลูกค้าของ 3BB และช่องทีวี Mono รวมทั้งหมดกว่า 8 ล้านรายการ

อย่างไรก็ตามทาง Mono Group แถลงกับ DataBreaches ว่าบริษัทมีการวางมาตรการป้องกันเอาไว้แล้ว ทั้งเซิร์ฟเวอร์ในศูนย์ข้อมูลบริษัทและบนคลาวด์ ขณะที่ข้อมูลที่หลุดออกไปนั้นไม่มีข้อมูลด้านการเงิน บัตรเครดิตหรือภาพบัตรประชาชน ส่วนข้อมูลด้านการเงิน Mono Group ระบุว่าเป็นข้อมูลที่เปิดเผยต่อสาธารณะอยู่แล้ว

ข้อมูลทางการเงินที่ Altdos อ้างว่าดึงออกไปได้ ได้แก่ ราคาค่าโฆษณาย้อนหลังไปจนถึงปี 2014, รายการโอนเงิน, ยอดเงินคงเหลือในบัญชีแต่ละวันย้อนหลัง 6 ปี

RedHat ประกาศซื้อกิจการ StackRock สตาร์ตอัพด้านความปลอดภัยสำหรับคอนเทนเนอร์ ที่ระบุว่าเป็น Kubernetes-native security platform ด้วยแนวคิดการฝังคอมโพเนนต์ตรวจสอบความปลอดภัยไว้ในแต่ละคลัสเตอร์ ช่วยให้การตรวจสอบความปลอดภัยของทั้งระบบทำได้ง่ายขึ้น

ซอฟต์แวร์ของ StackRock จะถูกผนวกเข้าเป็นส่วนหนึ่งของ Red Hat OpenShift แต่ซอฟต์แวร์เก่าก็ยังซัพพอร์ตต่อไป และใช้งานได้กับแพลตฟอร์ม Kubernetes ตัวอื่นๆ เช่น Google (GKE), Amazon (EKS), Azure (AKS)

เมื่อเดือนธันวาคมที่ผ่านมาทาง Zyxel ได้ออกแพตช์เฟิร์มแวร์อุปกรณ์เน็ตเวิร์คในกลุ่มไฟร์วอลล์และ Access Point controller หลังนักวิจัยพบว่าเฟิร์มแวร์เวอร์ชั่น 4.60 มีบัญชีผู้ใช้ zyfwp พร้อมรหัสผ่านแบบ hardcode ทำให้แฮกเกอร์สามารถล็อกอินเข้าไปยังอุปกรณ์ หากเปิดบริการ Secure Shell หรือเว็บอินเทอร์เฟซให้เข้าจากภายนอก

Niels Teusink นักวิจัยที่เปิดเผยช่องโหว่นี้ระบุว่าเฟิร์มแวร์เวอร์ชั่นก่อนๆ ก็มีบัญชีผู้ใช้ zyfwp นี้อยู่ในระบบแต่ไม่ได้ตั้งรหัสผ่านเอาไว้ ทำให้ใช้ล็อกอินไม่ได้ แต่ทาง Zyxel กลับไปตั้งรหัสผ่านในเวอร์ชั่นหลังๆ และรหัสผ่านนี้เหมือนกันทุกอุปกรณ์

ซัมซุงเพิ่มความสามารถของ Samsung Pass ในโทรศัพท์ Samsung Galaxy ให้ออกใบรับรองตัวตนสำหรับการยืนยันตัวตนออนไลน์ให้ชาวเกาหลีเข้าใช้งานบริการออนไลน์ของภาครัฐ เริ่มจากการยื่นขอคืนภาษีช่วงต้นปี 2021 นี้

แม้จะมีเอกชนยื่นขอให้บริการยืนยันตัวตนออนไลน์อยู่หลายราย แต่กระทรวงมหาดไทยของเกาหลีใต้ก็เลือกผู้ให้บริการมาทั้งหมด 5 ราย ได้แก่ Samsung Electronics, Kakao, KB Kookmin Bank, NHN Payco, และ PASS

ไมโครซอฟท์รายงานถึงการตรวจสอบมัลแวร์ที่คนร้ายฝังไปกับซอฟต์แวร์ SolarWinds ที่ไมโครซอฟท์ก็ได้รับผลกระทบไปด้วย โดยพบว่ามีบัญชีภายในบัญชีหนึ่งเข้าถึงซอร์สโค้ดภายในของไมโครซอฟท์

ไมโครซอฟท์ระบุว่าบัญชีนี้ไม่มีสิทธิ์แก้ไขซอร์สโค้ด และวิศวกรก็ตรวจซ้ำอีกทีแล้วว่าไม่มีซอร์สโค้ดถูกแก้ไขอย่างผิดปกติ สำหรับซอร์สโค้ดที่คนร้ายอาจจะดาวน์โหลดออกไปได้ ไมโครซอฟท์ระบุว่าแนวทางการรักษาความปลอดภัยของไมโครซอฟต์ไม่ได้อาศัยการปิดบังซอร์สโค้ดเป็นความลับอยู่แล้ว การทำงานของทีมพัฒนาเองก็พยายามเลียนแบบโลกโอเพนซอร์สโดยเปิดซอร์สโค้ดให้ภายในบริษัทด้วยกันสามารถมองเห็นซอร์สโค้ดของโครงการอื่นๆ ได้

จากกรณี SMS Phishing หลอกเข้าบัญชีของ SCB และ ธนาคารกรุงศรีอยุธยา ทำให้สัปดาห์นี้ ธนาคารไทยหลายแห่งออกประกาศเตือนภัยเรื่อง SMS Phishing รวมถึงการหลอกผ่าน social media หรือแชทด้วยเช่นกัน

ตัวอย่างธนาคารอื่นที่เตือนภัยเรื่อง SMS Phishing ได้แก่ KBank, Krungthai, TMB/Thanachart, LH Bank เป็นต้น

ตัวแทนฝ่ายประชาสัมพันธ์ของธนาคารกสิกรไทย แจ้งกับ Blognone ว่ายังไม่พบความเสียหายเกิดขึ้นกับลูกค้าของ KBank โดยตรง จึงประกาศแจ้งเตือนล่วงหน้าเพื่อให้ลูกค้าตื่นตัวและระมัดระวังกันมากขึ้น

หลังจาก Cellebrite ผู้ผลิตเครื่องเก็บหลักฐานจากโทรศัพท์มือถือเปิดฟีเจอร์เก็บข้อมูลแชต Signal มีสื่อหลายแห่งรายงานเรื่องนี้อย่างผิดพลาดว่า Cellebrite สามารถแฮก Signal ได้แล้ว ตอนนี้ทาง Signal ก็ออกมาชี้แจงโดยระบุว่าฟีเจอร์ของ Cellebrite นั้นใช้ได้กับโทรศัพท์ที่ปลดล็อกแล้วเท่านั้น

Cellebrite ขายซอฟต์แวร์เก็บหลักฐานจากโทรศัพท์เรียกว่า Cellebrite Physical Analyzer ที่ต้องเชื่อมต่อกับโทรศัพท์เป้าหมายโดยตรง และตัวโทรศัพท์ต้องปลดล็อกหน้าจอไว้ด้วย

Nathaniel Gleicher หัวหน้าฝ่ายนโยบายความปลอดภัยของ Facebook ให้สัมภาษณ์กับเว็บไซต์ Axios ว่าบริษัทจะเพิ่มช่องทางการล็อกอินที่ปลอดภัยมากขึ้นในปี 2021 เพื่อรับมือปัญหาความปลอดภัย การแฮ็กบัญชีที่เพิ่มขึ้นเรื่อยๆ

ก่อนหน้านี้ Facebook มีโครงการพิเศษชื่อ Facebook Protect คอยช่วยเฝ้าระวังการแฮ็กบัญชีให้เป็นพิเศษ แต่เปิดเฉพาะผู้ใช้ที่เป็นนักการเมือง พนักงานของรัฐที่เกี่ยวกับการเลือกตั้ง คนดัง นักสิทธิมนุษยชน และสื่อมวลชนในบางประเทศเท่านั้น

หลังจาก Let's Encrypt ประกาศเลิกทำ cross-sign จาก IdenTrust แล้วใช้ ISRG Root X1 ของตัวเองเป็น root CA ที่ระบบปฎิบัติการของไคลเอนต์ต้องเชื่อถือ แต่ระบบปฎิบัติการเก่าโดยเฉพาะแอนดรอยด์ที่เก่ากว่าเวอร์ชั่น 7.1.1 จะไม่เชื่อถือใบรับรอง ตอนนี้ทาง Let's Encrypt ก็ออกแนวทางใหม่ออกมา ทำให้ใบรับรองหลังจากนี้สามารถใช้กับอุปกรณ์รุ่นเก่าได้ต่อไป

Cellebrite ผู้ผลิตเครื่องเก็บหลักฐานจากโทรศัพท์มือถือเพิ่มฟีเจอร์ดึงข้อความแชตออกจากไฟล์ฐานข้อมูลของตัวแอป Signal แอปแชตที่ได้รับความนิยมสูงจากการเข้ารหัสจากปลายทางถึงปลายทาง ทำให้หน่วยงานรัฐจำนวนมากต้องการเข้าถึงข้อความของแชตนี้

การดึงข้อความเข้า Cellebrite ไม่ใช่การแฮก Signal โดยทาง Cellebrite สามารถดึงข้อความออกมาได้ต่อเมื่อเจ้าหน้าที่สามารถปลดล็อกโทรศัพท์เพื่อเข้าถึงไฟล์ได้แล้วเท่านั้น แต่ตัว Signal เก็บข้อความแชตไว้ในฐานข้อมูลเข้ารหัส พร้อมเก็บกุญแจเข้ารหัสไว้ในระบบ Keystore ของแอนดรอยด์ทำให้แม้จะได้ไฟล์ฐานข้อมูลออกมาก็ถอดรหัสได้ยาก

บริษัทไอทีขนาดใหญ่ได้แก่ ไมโครซอฟท์, ซิสโก้, กูเกิล, เดลล์, และ Internet Association ร่วมมือกับเฟซบุ๊กในการยื่นฟ้องบริษัท NSO Group บริษัทความมั่นคงไซเบอร์จากอิสราเอล ที่เฟซบุ๊กระบุว่าเป็นผู้แฮกโทรศัพท์ ผ่านทางบริการ WhatsApp

NSO Group อ้างว่าให้บริการแฮกโทรศัพท์ของตนนั้นขายให้กับหน่วยงานรัฐเท่านั้น เจ้าหน้าที่รัฐจึงสามารถใช้งานได้ตามกฎหมายทำให้ NSO Group ก็ไม่ใช่ผู้กระทำความผิด แต่ทางบริษัทก็ไม่ยอมเปิดเผยว่ารัฐบาลใดเป็นผู้แฮกโทรศัพท์กว่า 1,400 รายการตามรายงานของเฟซบุ๊ก

ธนาคารกรุงศรีอยุธยาแจ้งเตือนลูกค้าถึงการระบาดของ SMS หลอกเอารหัส OTP จากผู้ใช้ หลังจากก่อนหน้านี้ธนาคารไทยพาณิชย์ถูกโจมตีอย่างหนักจนต้องปิดบริการลงแอปบนเครื่องใหม่ด้วยตัวเอง ทางธนาคารกรุงศรีอยุธยาระบุว่าโดเมนของธนาคารนั้นมีเพียงสองโดเมนคือ krungsri.com และ krungsrionline.com เท่านั้น

จุดเริ่มต้นของการค้นพบว่า SolarWinds โดนแฮ็ก แล้วระบาดไปยังลูกค้าของบริษัท เริ่มจากบริษัทความปลอดภัยชื่อดัง FireEye โดนแฮ็กก่อน แล้วสอบสวนไปมาถึงค่อยพบว่าสาเหตุมาจากซอฟต์แวร์ SolarWinds Orion ฝังมัลแวร์เอาไว้

มาถึงตอนนี้เรารู้แล้วว่ามัลแวร์ Solorigate หรือ Sunburst ทำงานอย่างไร มีกระบวนการที่แนบเนียนมาก แต่ถ้ามองย้อนกลับไปถึงตอนแรกสุด การค้นพบของ FireEye ต้องเรียกได้ว่า "โชคช่วย" ค้นพบโดยบังเอิญ และถ้าไม่เกิดเหตุการณ์นี้ ป่านนี้ก็ยังไม่มีใครรู้ว่า Solorigate ฝังตัวอยู่ในหน่วยงานนับหมื่นแห่งด้วยซ้ำ

กรณี SolarWinds โดนแฮ็กซัพพลายเชนจนลามไปยังหน่วยงานลูกค้าจำนวนมาก ยังเป็นประเด็นข่าวสำคัญในแวดวงความปลอดภัยไซเบอร์ปีนี้

ทีมความปลอดภัยของไมโครซอฟท์ เขียนบล็อกอธิบายการทำงานของมัลแวร์ตัวนี้ (ถูกตั้งชื่อว่า Solorigate น่าจะมาจาก Sol arWinds Ori on + gate) อย่างละเอียด ตั้งแต่กระบวนการฝังมัลแวร์ตั้งแต่ต้นทาง ไปจนถึงการทำงานของมัลแวร์ที่ส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ถึง 2 ตัวเพื่อเลี่ยงการตรวจจับ

ไมโครซอฟท์ผลักดันการยืนยันตัวตนด้วยวิธีอื่นๆ แทนรหัสผ่าน (เช่น ไบโอเมทริก, Authenticator, การตั้ง PIN หรือคีย์ฮาร์ดแวร์) มาสักพักใหญ่ๆ โดยฝั่งคอนซูเมอร์ทำผ่านฟีเจอร์ Windows Hello และฝั่งลูกค้าองค์กรผ่าน Azure Active Directory

สัปดาห์ที่ผ่านมา ไมโครซอฟท์เผยสถิติเพิ่มเติมของการล็อกอินแบบ "passwordless" คือ

Cisco เป็นบริษัทใหญ่อีกรายที่ออกมายอมรับว่า ได้รับผลกระทบจากไบนารีของ SolarWinds โดนสับเปลี่ยน โดยบอกว่าตรวจพบไบนารีที่ฝังมัลแวร์ในเครือข่ายของ Cisco จริง แต่มีเป็นจำนวนน้อย ถูกแก้ไขโดยเร็ว และไม่ส่งผลกระทบอะไรต่อผลิตภัณฑ์ของ Cisco ที่ส่งให้ลูกค้า

Reuters อ้างแหล่งข่าวใกล้ชิดกับ Cisco ระบุว่าเครื่องที่ตรวจพบมัลแวร์มีประมาณ 50 เครื่องเท่านั้น และเป็นเครื่องที่ใช้ในห้องแล็บ