Cloudflare ประกาศให้บริการเครื่องมือและบริการด้านความปลอดภัยสำหรับแคมเปญการเมืองในสหรัฐฯ ฟรี เพื่อป้องกันการโจมตีทางไซเบอร์และการแทรกแซงการเลือกตั้งที่อาจเกิดขึ้นก่อนการเลือกตั้งประธานาธิบดีสหรัฐฯ ปีนี้

Cloudflare ระบุว่า บริการใหม่ Cloudflare for Campaigns นี้จะมาพร้อมบริการแบ่งเบาการโจมตีแบบ DDoS, load balancing สำหรับเว็บไซต์ที่รันแคมเปญ, ไฟร์วอลสำหรับเว็บไซต์ และระบบต่อต้านบอท

Brian Krebs อ้างแหล่งข่าวไม่เปิดเผยตัวตน ระบุว่าแพตช์รายเดือนของไมโครซอฟท์ หรือ Patch Tuesday ที่กำลังจะปล่อยออกมาคืนนี้ จะมีช่องโหว่ร้ายแรงเป็นพิเศษ (extraordinarily serious) ในโมดูล cypto32.dll หรือ CryptoAPI สำหรับการเข้าและถอดรหัสลับ

ทางไมโครซอฟท์ตอบกลับ Krebs อย่างเป็นทางการว่าบริษัทไม่พูดถึงช่องโหว่ก่อนการปล่อยแพตช์ แต่ระบุว่าแพตช์นั้นมีการปล่อยให้พันธมิตรในโครงการ Security Update Validation Program (SVUP) เพื่อทดสอบความเข้ากันได้ล่วงหน้า โดยพันธมิตรในกลุ่มนี้ต้องใช้เพื่อการทดสอบเท่านั้น ห้ามแพตช์ระบบโปรดักชั่นก่อนคนอื่น

ผู้ใช้ Google Pixel 4 หลายคนพบปัญหาปลดล็อคด้วยใบหน้าของ Pixel 4 ไม่ทำงาน ถึงจะลบแล้วสแกนใบหน้าใหม่หรือ Factory reset แล้วก็ใช้ไม่ได้ และมีข้อความแจ้งว่า “Can't verify face. Hardware not available” หรือ “Can't verify face. Try again.” เกิดขึ้นราว 1-2 ครั้งต่อวัน ทำให้ผู้ใช้ต้องปลดล็อคเครื่องด้วยวิธีอื่นเช่นกด PIN, กรอกรหัสผ่านหรือลากนิ้วเป็นแพทเทิร์นแทน

ถึง Pixel 4 จะปลดล็อคด้วยใบหน้าไม่ได้แต่แอปอื่น ๆ ที่ใช้ระบบสแกนใบหน้ายังทำงานได้ปกติ Android Police ระบุว่าแจ้งกูเกิลไปแล้ว ซึ่งปัญหานี้ต้องรอการแก้ไขจากทางกูเกิลในภายหลัง

ที่มา: Android Police via 9to5Google

เมื่อวานนี้นักวิจัยจำนวนหนึ่งเริ่มปล่อยโค้ดโจมตีช่องโหว่รันโค้ดระยะไกลบน Citrix ADC และ NetScaler หลังพบว่ามีคอมพิวเตอร์จำนวนหนึ่งเริ่มสแกนช่องโหว่บนเซิร์ฟเวอร์ทั่วโลก โดยสคริปต์ที่ปล่อยออกมามักไม่ได้โจมตีจริง แต่ทดสอบเบื้องต้นว่าเซิร์ฟเวอร์มีช่องโหว่หรือไม่

ทาง Citrix ออกมาเขียนบล็อกรายงานความคืบหน้า ว่าหลังจากแนะนำให้ลูกค้าคอนฟิกลดผลกระทบช่องโหว่ไปก่อนหน้านี้แล้วตอนนี้บริษัทกำลังพัฒนาแพตช์ถาวรอยู่ แต่แพตช์เหล่านั้นต้องผ่านกระบวนการทดสอบก่อนปล่อยออกมา กำหนดการปล่อยแต่ละเวอร์ชั่นต่างกันไป แต่ทั้งหมดจะปล่อยในช่วงวันที่ 20 ถึง 31 มกราคมนี้

Johannes Ullrich จาก SANS ISC รายงานถึงการตั้งเซิร์ฟเวอร์ honeypot เพื่อดักการโจมตีช่องโหว่บน Citrix ADC และ NetScaler ที่มีช่องโหว่ระดับวิกฤติเปิดทางรันโค้ดระยะไกล ว่าเริ่มมีการสแกนจากจีนและฝรั่งเศส แม้รูปแบบการสแกนจะไม่ได้มุ่งร้ายชัดเจนมากก็ตาม

ช่องโหว่ CVE-2019-19781 นี้ทาง Citrix ได้ออกแนวทางการลดผลกระทบ (mitigation) ออกมาแล้วแม้ยังไม่ได้ออกแพตช์โดยตรงก็ตาม โดย NIST ให้คะแนนความร้ายแรง ตาม CVSS 3.1 ไว้ที่ 9.8 คะแนน นับเป็นช่องโหว่ระดับวิกฤติ

ทีมวิจัยจากมหาวิทยาลัยพรินซ์ตันเปิดเผยร่างรายงานวิจัยทดสอบความปลอดภัยของกระบวนการออกซิมโทรศัพท์มือถือใหม่ในสหรัฐฯ โดยทดสอบกับค่ายใหญ่ 3 ค่าย คือ T-Mobile, AT&T, และ Verizon และ MVNO อีก 2 ค่าย คือ Tracfone และ US Mobile พบว่าทั้งหมดล้วนไม่ปลอดภัยเพียงพอ

งานวิจัยใช้เบอร์โทรศัพท์ที่ทีมงานซื้อมาด้วยตัวเอง โดยสร้างตัวตนผู้ใช้ขึ้นมา 10 รายชื่อ สำหรับหมายเลขโทรศัพท์ 10 หมายเลข ระบุข้อมูล เช่น วันเกิด, ที่อยู่, อีเมล จากนั้นซื้อโทรศัพท์ 10 เครื่องจำลองเป็นเครื่องของเหยื่อ และอีก 10 เครื่องจำลองเป็นเครื่องของผู้โจมตี โดยไม่มีการใช้โทรศัพท์ซ้ำกันเลย โดยเครื่องของเหยื่อนั้นจะโทรเข้าออกเป็นระยะเวลาหนึ่งสัปดาห์เพื่อให้เหมือนหมายเลขที่มีการใช้งานจริง

เว็บไซต์ ABACUS ของจีน รายงานว่าตอนนี้มีปัญหาความปลอดภัยกล้องวงจรปิดในบ้าน คือแฮกเกอร์เข้าขโมยข้อมูลบัญชีและเอาบัญชีนั้นๆ ไปขายลงออนไลน์ และขายได้ในราคาเพียงแค่ 50 หยวน หรือราว 218 บาท ตำรวจบอกว่ามีผู้ได้รับผลกระทบเป็นหมื่นบัญชีเลยทีเดียว

เมื่อปลายปีที่แล้วเราเพิ่งเห็นข่าว Symantec ขายธุรกิจความปลอดภัยฝั่งองค์กรให้ Broadcom โดยบริษัท Symantec เดิมจะเหลือแต่ธุรกิจฝั่งคอนซูเมอร์ และเปลี่ยนชื่อบริษัทเป็น NortonLifeLock (มาจากแอนตี้ไวรัส Norton และบริการป้องกันข้อมูลส่วนตัว LifeLock)

เวลาผ่านมาเพียงไม่กี่เดือน Broadcom ก็ขายธุรกิจ (บางส่วน) ของ Symantec เดิมต่อไปให้ Accenture อีกทอด

ธุรกิจที่ว่าคือฝ่าย Cyber Security Services ที่เน้นเรื่องบริการด้านความปลอดภัยให้กับลูกค้าองค์กร การวิเคราะห์ข้อมูลและเฝ้าระวังภัยคุกคาม ซึ่งครอบคลุมศูนย์ปฏิบัติการ 6 แห่งทั่วโลก รวมพนักงานประมาณ 300 คน จะย้ายมาอยู่ภายใต้ร่มของ Accenture Security แทน

Project Zero โครงการรายงานช่องโหว่สาธารณะของกูเกิลเปลี่ยนนโยบายการเปิดเผยช่องโหว่หลังรายงาน 90 จากเดิมหากซอฟต์แวร์ออกแพตช์เร็วกว่า 90 วันก็จะเปิดเผยช่องโหว่หลังจากออกแพตช์ มาเป็นการเปิดเผยหลังรายงาน 90 วันเสมอ แม้ผู้ผลิตจะออกแพตช์เร็วกว่ากำหนด

นโยบายใหม่ยังเปลี่ยนรายละเอียดเพิ่มเติม อีก 3 ประเด็น ได้แก่

Kevin Beaumont นักเขียนด้านความปลอดภัยไซเบอร์รายงานลงเว็บไซต์ DoublePulsar ของเขาถึงเหตุที่ Travelex บริษัทแลกเงินในอังกฤษถูกมัลแวร์ช่วงปีใหม่ โดยพบว่าทาง Travelex มีเซิร์ฟเวอร์ VPN จาก Pulse Secure ที่ยังไม่ได้แพตช์อยู่หลายตัว

หลังจากเขาทวีตถึงเรื่องนี้ ทาง Bad Packets บริษัทข่าวกรองความมั่นคงปลอดภัยไซเบอร์ก็ออกมาตอบว่า สแกนพบเซิร์ฟเวอร์ที่มีช่องโหว่เหมือนกัน และได้แจ้งทาง Travelex ไปแล้วตั้งแต่เดือนกันยายน แต่ทาง Travelex ไม่ได้ตอบอะไรกลับมา

กูเกิลปล่อยแพตช์ความปลอดภัยประจำเดือนมกราคม 2020 (รอบแพตช์ 2020-01-01) ให้กับสมาร์ทโฟนแบรนด์ Pixel ที่ยังซัพพอร์ตในปัจจุบัน (Pixel 2 ไปจนถึง Pixel 4)

แพตช์รอบนี้อุดช่องโหว่ระดับ critical 1 ตัว (เกี่ยวกับไดรเวอร์ Wi-Fi ของ Realtek), ช่องโหว่ระดับ high 3 ตัว และช่องโหว่ที่เกี่ยวข้องกับ Qualcomm อีกชุดใหญ่

นอกจากช่องโหว่แล้ว อัพเดตรอบเดือนมกราคม 2020 ยังแก้บั๊กอื่นๆ ของ Pixel หลายอย่าง เช่น ปัญหาการเชื่อมต่อ Wi-Fi กับเราเตอร์บางรุ่น, ปรับปรุงคุณภาพเสียง, แก้ปัญหาสีเพี้ยนของ Pixel 4 เป็นต้น

Gaëtan Leurent จากสถาบัน INRIA ในฝรั่งเศสและ Thomas Peyrin จากมหาวิทยาลัยเทคโนโลยีนันยางในสิงคโปร์ ประกาศเทคนิคการโจมตีกระบวนการแฮชข้อมูลแบบ SHA-1 ครั้งใหม่ในงานวิจัย "SHA-1 is a Shambles" โดยลดความซับซ้อนในการสร้างเอกสารที่ค่าแฮช SHA-1 ตรงกัน จากเดิมเป็น 2^64.7 เหลือ 2^61.2 ทำให้ต้นทุนการสร้างเอกสารที่ค่าแฮชตรงกันเหลือ 11,000 ดอลลาร์เท่านั้น นับเป็นครั้งแรกที่การสร้างค่าแฮชชนกันมีต้นทุนต่ำกว่าแสนดอลลาร์

หลังจากธนาคารแห่งประเทศไทยประกาศ "แนวนโยบายการรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและขำระเงินบนอุปกรณ์เคลื่อนที่" วันนี้ประกาศฉบับเต็มก็ออกมาแล้ว โดยประกาศมีมาตรการขั้นต่ำ 12 ประการ

ทีมวิจัยความปลอดภัย Tencent Blade ในสังกัด Tencent เปิดเผยข้อมูลช่องโหว่ Magellen 2.0 เปิดให้ยิงโค้ด SQL เข้าไปยัง Chrome ได้

กูเกิลแก้ไขช่องโหว่นี้แล้วใน Chrome 79.0.3945.79 ที่ออกตัวจริงเมื่อช่วงต้นเดือนธันวาคม ผู้ที่ใช้ Chrome/Chromium เวอร์ชันก่อนหน้านี้ (รวมถึงเว็บเบราว์เซอร์ที่พัฒนาบน Chromium อย่าง Opera) ควรอัพเดตเป็นเวอร์ชันล่าสุด

บริษัทด้านความปลอดภัย SplashData ที่เป็นผู้ให้บริการแอปจัดการรหัสผ่าน SplashID ประกาศอันดับรหัสผ่านยอดแย่ประจำปี 2019 ซึ่งปีนี้จัดอันดับเป็นปีที่ 9 แล้ว โดยรวบรวมรหัสผ่านยอดแย่ (หรือยอดนิยมมาก) ที่ค้นพบจากรหัสผ่านที่มีการหลุดออกมา และเสี่ยงต่อการนำไปทดลองใช้ล็อกอิน

อันดับ 1 คือ 123456 ซึ่งยังครองแชมป์ต่อเนื่องจากปีที่แล้ว ส่วนอันดับ 2 ขยับขึ้นมาหนึ่งอันดับจากปีก่อนคือ 123456789 ที่ทาง SplashData ให้ข้อสังเกตว่าเป็นแนวโน้มที่ดีก็คือ password ตกไปอยู่อันดับที่ 4

หนังสือพิมพ์ The New York Times (NYT) อ้างเอกสารข่าวกรองของรัฐบาลสหรัฐฯ ระบุว่าแอปแชต ToTok ที่ได้รับความนิยมสูงในภูมิภาคตะวันออกกลาง ที่จริงแล้วเป็นเครื่องมือสอดแนมของรัฐบาล United Arab Emirates (UAE) ที่พยายามจำกัดการใช้แอปจากนอกประเทศ เช่น WhatsApp หรือ Skype

NYT ระบุว่า Breej Holding ผู้พัฒนา ToTok น่าจะเป็นบริษัทบังหน้าของกลุ่มผู้เกี่ยวข้องกับบริษัทข่าวกรองไซเบอร์ DarkMatter ที่ตั้งอยู่ในเมือง Abu Dhabi และเอกสารข่าวกรองที่ NYT ได้มายังระบุว่าแอปมีความเกี่ยวข้องกับบริษัท Pax AI ที่ให้บริการ data mining อยู่ในเครือข่าย DarkMatter เช่นกัน

นักวิจัยจาก Positive Technologies รายงานถึงช่องโหว่ในซอฟต์แวร์ Citrix Application Delivery Controller (ADC) และ NetScaler Gateway เปิดทางให้แฮกเกอร์รันโค้ดจากระยะไกลโดยไม่ได้เป็นผู้ใช้ของระบบแต่อย่างใด (unauthenticated remote code execution)

ช่องโหว่ได้หมายเลข CVE-2019-19781 และทาง Citrix ยังไม่ได้ให้คะแนนความร้ายแรง CVSS แต่อย่างใด แต่ทาง Positive เชื่อว่าน่าจะถึง 10 คะแนนเต็ม

ทาง Citrix ยังไม่ได้ออกแพตช์สำหรับช่องโหว่นี้ แต่ออกแนวทางลดผลกระทบ (mitigation) มาแล้ว โดยบริษัทระบุว่าจะแจ้งลูกค้าโดยเร็วเมื่อแพตช์พร้อมแล้ว แนวทางลดผลกระทบเป็นการป้องกันการเรียก URL "/vpns/" และมี "/../" อยู่ใน URL

Twitter ประกาศข่าวช่องโหว่ของแอพ Twitter for Android ที่อาจเปิดให้ผู้ประสงค์ร้ายเข้ามาควบคุมบัญชีของเราได้ (โพสต์ข้อความหรือส่ง DM ได้) ผ่านการฝังโค้ดในพื้นที่สตอเรจของแอพ

Twitter อุดช่องโหว่นี้เรียบร้อยแล้ว และระบุว่าไม่พบการใช้งานช่องโหว่นี้ขึ้นจริงๆ (เพราะกระบวนการซับซ้อน ต้องเข้าถึงเครื่องของผู้ใช้ด้วย) แต่บริษัทก็ส่งอีเมลแจ้งเตือนผู้ใช้ที่น่าจะได้รับผลกระทบให้อัพเดตแอพเป็นเวอร์ชันล่าสุดแล้ว

แอพเวอร์ชัน iOS ไม่มีช่องโหว่ลักษณะเดียวกันนี้

Apple ประกาศขยายโครงการ bug bounty ใหม่ให้เป็นโครงการเปิดอย่างสมบูรณ์แบบ เพื่อให้นักวิจัยด้านความปลอดภัยหรือบุคคลที่สนใจเข้ามาร่วมได้ โดยเงินรางวัลสูงสุดของโครงการในเกณฑ์มาตรฐานอยู่ที่ 1 ล้านดอลลาร์ บวกกับรางวัลโบนัสสูงสุด 50% เป็น 1.5 ล้านดอลลาร์

F5 Networks บริษัทด้านเครือข่ายที่มีผลิตภัณฑ์หลักเป็น load balancer และ application firewall ประกาศเข้าซื้อบริษัทสตาร์ทอัพ Shape Security ด้วยมูลค่าราว 1 พันล้านดอลลาร์ เพื่อเสริมความแข็งแกร่งด้านความปลอดภัยของบริษัท

Shape เป็นบริษัทสตาร์ทอัพที่เปิดตัวตั้งแต่ปี 2011 ระดมทุนไปแล้ว 183 ล้านดอลลาร์ มีสำนักงานอยู่ที่ Santa Clara รัฐแคลิฟอร์เนีย โดยเน้นที่การขายผลิตภัณฑ์ด้านความปลอดภัยที่เน้นกลุ่มลูกค้าองค์กร เช่น ธนาคาร, สายการบิน, ค้าปลีก, เชนโรงแรม, หน่วยงานภาครัฐ และอื่น ๆ โดยเน้นที่การป้องกันการหลอกลวงและการคุกคามแบบอัตโนมัติในส่วนของเว็บหรือแอปมือถือที่ผู้บริโภคใช้งานโดยตรง

วันนี้ (20 ธันวาคม 2562) นางสาวสิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการสายนโยบายระบบการชำระเงินและเทคโนโลยีการเงิน ธนาคารแห่งประเทศไทย ประกาศว่าทางหน่วยงานได้ออกแนวทางเรื่องความปลอดภัย mobile banking

แนวนโยบาย “การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและขำระเงินบนอุปกรณ์เคลื่อนที่” จะกำหนดให้ธนาคารต้องวางมาตรการขั้นต่ำ เช่น การบล็อคไม่ให้อุปกรณ์ที่ไม่ปลอดภัย (ใช้ระบบปฎิบัติการเก่าเกินไป หรือ jailbreak) ไม่ให้ใช้งาน, มีการจำกัดการเข้าถึงเซิร์ฟเวอร์, เข้ารหัสข้อมูล นอกจากนี้ยังกำหนดมาตรการเพิ่มเติม เช่น ความซับซ้อนรหัสผ่าน, และการตรวจสอบแอปพลิเคชั่นปลอม สร้างความรู้ความเข้าใจเทคโนโลยีการเงินให้ประชาชน

การใช้รูปหรือตัวปลอมหลอกระบบ Facial Recognition เป็นประเด็นที่ถูกหยิบยกมาพูดถึงอยู่บ่อยครั้งในแง่ความปลอดภัยและความน่าไว้วางใจของเทคโนโลยี ล่าสุด Kneron บริษัทที่พัฒนา AI ได้ทดสอบหลอกระบบ Facial Recognition ที่ถูกใช้งานในที่สาธารณะด้วยหน้ากาก 3 มิติที่พิมพ์หน้าบุคคลอื่นไว้

นักวิจัยทดสอบทั้งระบบตรวจคนเข้าเมืองในสนามบิน Schiphol กรุงอัมสเตอร์ดัมและระบบจ่ายเงินด้วยใบหน้าของทั้ง Alipay และ WeChat ในจีน ซึ่งทุกระบบถูกหลอกได้ด้วยหน้ากาก 3 มิติที่นักวิจัยพิมพ์มา และแน่นอนว่าการทดสอบทั้งหมดได้รับอนุญาตจากเจ้าหน้าที่แล้ว นักวิจัยก็ย้ำด้วยว่าการมีเจ้าหน้าที่คอยดูแลบริเวณระบบตรวจสอบน่าจะช่วยป้องกันการใช้หน้ากากแบบนี้ได้

LaToya Cantrell นายกเทศมนตรีเมืองนิวออร์ลีนส์ รัฐลุยเซียนา ต้องประกาศภาวะฉุกเฉิน (state of emergency) หลังระบบคอมพิวเตอร์ของรัฐบาลท้องถิ่นโดนโจมตี

แถลงการณ์ของเมืองนิวออร์ลีนส์ระบุว่าตรวจพบความผิดปกติในเครือข่าย ตอนช่วงประมาณตี 5 ตามเวลาท้องถิ่น หลังเจ้าหน้าที่เทคนิคเข้าไปสอบสวนก็พบว่าเป็นการโจมตีไซเบอร์ ทำให้เมืองต้องปิดระบบเซิร์ฟเวอร์และคอมพิวเตอร์เพื่อป้องกันความเสียหาย

เจ้าหน้าที่ยังตรวจพบการใช้ ransomware เรียกค่าไถ่ด้วย แต่ยังไม่พบการเรียกร้องให้จ่ายค่าไถ่แต่อย่างใด