Cloudflare ประกาศให้บริการเครื่องมือและบริการด้านความปลอดภัยสำหรับแคมเปญการเมืองในสหรัฐฯ ฟรี เพื่อป้องกันการโจมตีทางไซเบอร์และการแทรกแซงการเลือกตั้งที่อาจเกิดขึ้นก่อนการเลือกตั้งประธานาธิบดีสหรัฐฯ ปีนี้
Cloudflare ระบุว่า บริการใหม่ Cloudflare for Campaigns นี้จะมาพร้อมบริการแบ่งเบาการโจมตีแบบ DDoS, load balancing สำหรับเว็บไซต์ที่รันแคมเปญ, ไฟร์วอลสำหรับเว็บไซต์ และระบบต่อต้านบอท
ประเด็นด้านความมั่นคงปลอดภัยคอมพิวเตอร์ หรือ security ในแง่โลกเทคโนโลยีอาจดูเป็นเรื่องไกลตัวสำหรับคนทั่วไปและหลายครั้งความปลอดภัยระบบก็ถูกฝากไว้กับทีมรักษาความมั่นคงปลอดภัยขององค์กร แต่ในโลกสมัยใหม่โดยเฉพาะบริษัทชั้นนำด้านเทคโนโลยีผู้ให้ข้อมูลด้านการเงินอย่าง Refinitiv ความมั่นคงปลอดภัยของระบบเป็นความรับผิดชอบของทุกคน
Refinitiv เป็นผู้ให้บริการแพลตฟอร์มด้านการเงินและการจัดการความเสี่ยง ที่มีกลุ่มลูกค้าเป็นธนาคาร สถาบันการเงิน ไปจนถึงนักเทรดมืออาชีพในกว่า 190 ประเทศทั่วโลก และแน่นอนว่า security สำหรับแพลตฟอร์มข้อมูลและการซื้อขายเงินตราต่างประเทศแบบนี้ ยิ่งต้องให้ความสำคัญเป็นอันดับต้น ๆ ทุกระบบต้องปลอดภัยได้มาตรฐานระดับโลก
Brian Krebs อ้างแหล่งข่าวไม่เปิดเผยตัวตน ระบุว่าแพตช์รายเดือนของไมโครซอฟท์ หรือ Patch Tuesday ที่กำลังจะปล่อยออกมาคืนนี้ จะมีช่องโหว่ร้ายแรงเป็นพิเศษ (extraordinarily serious) ในโมดูล cypto32.dll หรือ CryptoAPI สำหรับการเข้าและถอดรหัสลับ
ทางไมโครซอฟท์ตอบกลับ Krebs อย่างเป็นทางการว่าบริษัทไม่พูดถึงช่องโหว่ก่อนการปล่อยแพตช์ แต่ระบุว่าแพตช์นั้นมีการปล่อยให้พันธมิตรในโครงการ Security Update Validation Program (SVUP) เพื่อทดสอบความเข้ากันได้ล่วงหน้า โดยพันธมิตรในกลุ่มนี้ต้องใช้เพื่อการทดสอบเท่านั้น ห้ามแพตช์ระบบโปรดักชั่นก่อนคนอื่น
ผู้ใช้ Google Pixel 4 หลายคนพบปัญหาปลดล็อคด้วยใบหน้าของ Pixel 4 ไม่ทำงาน ถึงจะลบแล้วสแกนใบหน้าใหม่หรือ Factory reset แล้วก็ใช้ไม่ได้ และมีข้อความแจ้งว่า “Can't verify face. Hardware not available” หรือ “Can't verify face. Try again.” เกิดขึ้นราว 1-2 ครั้งต่อวัน ทำให้ผู้ใช้ต้องปลดล็อคเครื่องด้วยวิธีอื่นเช่นกด PIN, กรอกรหัสผ่านหรือลากนิ้วเป็นแพทเทิร์นแทน
ถึง Pixel 4 จะปลดล็อคด้วยใบหน้าไม่ได้แต่แอปอื่น ๆ ที่ใช้ระบบสแกนใบหน้ายังทำงานได้ปกติ Android Police ระบุว่าแจ้งกูเกิลไปแล้ว ซึ่งปัญหานี้ต้องรอการแก้ไขจากทางกูเกิลในภายหลัง
ที่มา: Android Police via 9to5Google
เมื่อวานนี้นักวิจัยจำนวนหนึ่งเริ่มปล่อยโค้ดโจมตีช่องโหว่รันโค้ดระยะไกลบน Citrix ADC และ NetScaler หลังพบว่ามีคอมพิวเตอร์จำนวนหนึ่งเริ่มสแกนช่องโหว่บนเซิร์ฟเวอร์ทั่วโลก โดยสคริปต์ที่ปล่อยออกมามักไม่ได้โจมตีจริง แต่ทดสอบเบื้องต้นว่าเซิร์ฟเวอร์มีช่องโหว่หรือไม่
ทาง Citrix ออกมาเขียนบล็อกรายงานความคืบหน้า ว่าหลังจากแนะนำให้ลูกค้าคอนฟิกลดผลกระทบช่องโหว่ไปก่อนหน้านี้แล้วตอนนี้บริษัทกำลังพัฒนาแพตช์ถาวรอยู่ แต่แพตช์เหล่านั้นต้องผ่านกระบวนการทดสอบก่อนปล่อยออกมา กำหนดการปล่อยแต่ละเวอร์ชั่นต่างกันไป แต่ทั้งหมดจะปล่อยในช่วงวันที่ 20 ถึง 31 มกราคมนี้
Johannes Ullrich จาก SANS ISC รายงานถึงการตั้งเซิร์ฟเวอร์ honeypot เพื่อดักการโจมตีช่องโหว่บน Citrix ADC และ NetScaler ที่มีช่องโหว่ระดับวิกฤติเปิดทางรันโค้ดระยะไกล ว่าเริ่มมีการสแกนจากจีนและฝรั่งเศส แม้รูปแบบการสแกนจะไม่ได้มุ่งร้ายชัดเจนมากก็ตาม
ช่องโหว่ CVE-2019-19781 นี้ทาง Citrix ได้ออกแนวทางการลดผลกระทบ (mitigation) ออกมาแล้วแม้ยังไม่ได้ออกแพตช์โดยตรงก็ตาม โดย NIST ให้คะแนนความร้ายแรง ตาม CVSS 3.1 ไว้ที่ 9.8 คะแนน นับเป็นช่องโหว่ระดับวิกฤติ
ทีมวิจัยจากมหาวิทยาลัยพรินซ์ตันเปิดเผยร่างรายงานวิจัยทดสอบความปลอดภัยของกระบวนการออกซิมโทรศัพท์มือถือใหม่ในสหรัฐฯ โดยทดสอบกับค่ายใหญ่ 3 ค่าย คือ T-Mobile, AT&T, และ Verizon และ MVNO อีก 2 ค่าย คือ Tracfone และ US Mobile พบว่าทั้งหมดล้วนไม่ปลอดภัยเพียงพอ
งานวิจัยใช้เบอร์โทรศัพท์ที่ทีมงานซื้อมาด้วยตัวเอง โดยสร้างตัวตนผู้ใช้ขึ้นมา 10 รายชื่อ สำหรับหมายเลขโทรศัพท์ 10 หมายเลข ระบุข้อมูล เช่น วันเกิด, ที่อยู่, อีเมล จากนั้นซื้อโทรศัพท์ 10 เครื่องจำลองเป็นเครื่องของเหยื่อ และอีก 10 เครื่องจำลองเป็นเครื่องของผู้โจมตี โดยไม่มีการใช้โทรศัพท์ซ้ำกันเลย โดยเครื่องของเหยื่อนั้นจะโทรเข้าออกเป็นระยะเวลาหนึ่งสัปดาห์เพื่อให้เหมือนหมายเลขที่มีการใช้งานจริง
เว็บไซต์ ABACUS ของจีน รายงานว่าตอนนี้มีปัญหาความปลอดภัยกล้องวงจรปิดในบ้าน คือแฮกเกอร์เข้าขโมยข้อมูลบัญชีและเอาบัญชีนั้นๆ ไปขายลงออนไลน์ และขายได้ในราคาเพียงแค่ 50 หยวน หรือราว 218 บาท ตำรวจบอกว่ามีผู้ได้รับผลกระทบเป็นหมื่นบัญชีเลยทีเดียว
เมื่อปลายปีที่แล้วเราเพิ่งเห็นข่าว Symantec ขายธุรกิจความปลอดภัยฝั่งองค์กรให้ Broadcom โดยบริษัท Symantec เดิมจะเหลือแต่ธุรกิจฝั่งคอนซูเมอร์ และเปลี่ยนชื่อบริษัทเป็น NortonLifeLock (มาจากแอนตี้ไวรัส Norton และบริการป้องกันข้อมูลส่วนตัว LifeLock)
เวลาผ่านมาเพียงไม่กี่เดือน Broadcom ก็ขายธุรกิจ (บางส่วน) ของ Symantec เดิมต่อไปให้ Accenture อีกทอด
ธุรกิจที่ว่าคือฝ่าย Cyber Security Services ที่เน้นเรื่องบริการด้านความปลอดภัยให้กับลูกค้าองค์กร การวิเคราะห์ข้อมูลและเฝ้าระวังภัยคุกคาม ซึ่งครอบคลุมศูนย์ปฏิบัติการ 6 แห่งทั่วโลก รวมพนักงานประมาณ 300 คน จะย้ายมาอยู่ภายใต้ร่มของ Accenture Security แทน
Project Zero โครงการรายงานช่องโหว่สาธารณะของกูเกิลเปลี่ยนนโยบายการเปิดเผยช่องโหว่หลังรายงาน 90 จากเดิมหากซอฟต์แวร์ออกแพตช์เร็วกว่า 90 วันก็จะเปิดเผยช่องโหว่หลังจากออกแพตช์ มาเป็นการเปิดเผยหลังรายงาน 90 วันเสมอ แม้ผู้ผลิตจะออกแพตช์เร็วกว่ากำหนด
นโยบายใหม่ยังเปลี่ยนรายละเอียดเพิ่มเติม อีก 3 ประเด็น ได้แก่
Kevin Beaumont นักเขียนด้านความปลอดภัยไซเบอร์รายงานลงเว็บไซต์ DoublePulsar ของเขาถึงเหตุที่ Travelex บริษัทแลกเงินในอังกฤษถูกมัลแวร์ช่วงปีใหม่ โดยพบว่าทาง Travelex มีเซิร์ฟเวอร์ VPN จาก Pulse Secure ที่ยังไม่ได้แพตช์อยู่หลายตัว
หลังจากเขาทวีตถึงเรื่องนี้ ทาง Bad Packets บริษัทข่าวกรองความมั่นคงปลอดภัยไซเบอร์ก็ออกมาตอบว่า สแกนพบเซิร์ฟเวอร์ที่มีช่องโหว่เหมือนกัน และได้แจ้งทาง Travelex ไปแล้วตั้งแต่เดือนกันยายน แต่ทาง Travelex ไม่ได้ตอบอะไรกลับมา
กูเกิลปล่อยแพตช์ความปลอดภัยประจำเดือนมกราคม 2020 (รอบแพตช์ 2020-01-01) ให้กับสมาร์ทโฟนแบรนด์ Pixel ที่ยังซัพพอร์ตในปัจจุบัน (Pixel 2 ไปจนถึง Pixel 4)
แพตช์รอบนี้อุดช่องโหว่ระดับ critical 1 ตัว (เกี่ยวกับไดรเวอร์ Wi-Fi ของ Realtek), ช่องโหว่ระดับ high 3 ตัว และช่องโหว่ที่เกี่ยวข้องกับ Qualcomm อีกชุดใหญ่
นอกจากช่องโหว่แล้ว อัพเดตรอบเดือนมกราคม 2020 ยังแก้บั๊กอื่นๆ ของ Pixel หลายอย่าง เช่น ปัญหาการเชื่อมต่อ Wi-Fi กับเราเตอร์บางรุ่น, ปรับปรุงคุณภาพเสียง, แก้ปัญหาสีเพี้ยนของ Pixel 4 เป็นต้น
Gaëtan Leurent จากสถาบัน INRIA ในฝรั่งเศสและ Thomas Peyrin จากมหาวิทยาลัยเทคโนโลยีนันยางในสิงคโปร์ ประกาศเทคนิคการโจมตีกระบวนการแฮชข้อมูลแบบ SHA-1 ครั้งใหม่ในงานวิจัย "SHA-1 is a Shambles" โดยลดความซับซ้อนในการสร้างเอกสารที่ค่าแฮช SHA-1 ตรงกัน จากเดิมเป็น 264.7 เหลือ 261.2 ทำให้ต้นทุนการสร้างเอกสารที่ค่าแฮชตรงกันเหลือ 11,000 ดอลลาร์เท่านั้น นับเป็นครั้งแรกที่การสร้างค่าแฮชชนกันมีต้นทุนต่ำกว่าแสนดอลลาร์
หลังจากธนาคารแห่งประเทศไทยประกาศ "แนวนโยบายการรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและขำระเงินบนอุปกรณ์เคลื่อนที่" วันนี้ประกาศฉบับเต็มก็ออกมาแล้ว โดยประกาศมีมาตรการขั้นต่ำ 12 ประการ
ทีมวิจัยความปลอดภัย Tencent Blade ในสังกัด Tencent เปิดเผยข้อมูลช่องโหว่ Magellen 2.0 เปิดให้ยิงโค้ด SQL เข้าไปยัง Chrome ได้
กูเกิลแก้ไขช่องโหว่นี้แล้วใน Chrome 79.0.3945.79 ที่ออกตัวจริงเมื่อช่วงต้นเดือนธันวาคม ผู้ที่ใช้ Chrome/Chromium เวอร์ชันก่อนหน้านี้ (รวมถึงเว็บเบราว์เซอร์ที่พัฒนาบน Chromium อย่าง Opera) ควรอัพเดตเป็นเวอร์ชันล่าสุด
บริษัทด้านความปลอดภัย SplashData ที่เป็นผู้ให้บริการแอปจัดการรหัสผ่าน SplashID ประกาศอันดับรหัสผ่านยอดแย่ประจำปี 2019 ซึ่งปีนี้จัดอันดับเป็นปีที่ 9 แล้ว โดยรวบรวมรหัสผ่านยอดแย่ (หรือยอดนิยมมาก) ที่ค้นพบจากรหัสผ่านที่มีการหลุดออกมา และเสี่ยงต่อการนำไปทดลองใช้ล็อกอิน
อันดับ 1 คือ 123456 ซึ่งยังครองแชมป์ต่อเนื่องจากปีที่แล้ว ส่วนอันดับ 2 ขยับขึ้นมาหนึ่งอันดับจากปีก่อนคือ 123456789 ที่ทาง SplashData ให้ข้อสังเกตว่าเป็นแนวโน้มที่ดีก็คือ password ตกไปอยู่อันดับที่ 4
หนังสือพิมพ์ The New York Times (NYT) อ้างเอกสารข่าวกรองของรัฐบาลสหรัฐฯ ระบุว่าแอปแชต ToTok ที่ได้รับความนิยมสูงในภูมิภาคตะวันออกกลาง ที่จริงแล้วเป็นเครื่องมือสอดแนมของรัฐบาล United Arab Emirates (UAE) ที่พยายามจำกัดการใช้แอปจากนอกประเทศ เช่น WhatsApp หรือ Skype
NYT ระบุว่า Breej Holding ผู้พัฒนา ToTok น่าจะเป็นบริษัทบังหน้าของกลุ่มผู้เกี่ยวข้องกับบริษัทข่าวกรองไซเบอร์ DarkMatter ที่ตั้งอยู่ในเมือง Abu Dhabi และเอกสารข่าวกรองที่ NYT ได้มายังระบุว่าแอปมีความเกี่ยวข้องกับบริษัท Pax AI ที่ให้บริการ data mining อยู่ในเครือข่าย DarkMatter เช่นกัน
นักวิจัยจาก Positive Technologies รายงานถึงช่องโหว่ในซอฟต์แวร์ Citrix Application Delivery Controller (ADC) และ NetScaler Gateway เปิดทางให้แฮกเกอร์รันโค้ดจากระยะไกลโดยไม่ได้เป็นผู้ใช้ของระบบแต่อย่างใด (unauthenticated remote code execution)
ช่องโหว่ได้หมายเลข CVE-2019-19781 และทาง Citrix ยังไม่ได้ให้คะแนนความร้ายแรง CVSS แต่อย่างใด แต่ทาง Positive เชื่อว่าน่าจะถึง 10 คะแนนเต็ม
ทาง Citrix ยังไม่ได้ออกแพตช์สำหรับช่องโหว่นี้ แต่ออกแนวทางลดผลกระทบ (mitigation) มาแล้ว โดยบริษัทระบุว่าจะแจ้งลูกค้าโดยเร็วเมื่อแพตช์พร้อมแล้ว แนวทางลดผลกระทบเป็นการป้องกันการเรียก URL "/vpns/" และมี "/../" อยู่ใน URL
Twitter ประกาศข่าวช่องโหว่ของแอพ Twitter for Android ที่อาจเปิดให้ผู้ประสงค์ร้ายเข้ามาควบคุมบัญชีของเราได้ (โพสต์ข้อความหรือส่ง DM ได้) ผ่านการฝังโค้ดในพื้นที่สตอเรจของแอพ
Twitter อุดช่องโหว่นี้เรียบร้อยแล้ว และระบุว่าไม่พบการใช้งานช่องโหว่นี้ขึ้นจริงๆ (เพราะกระบวนการซับซ้อน ต้องเข้าถึงเครื่องของผู้ใช้ด้วย) แต่บริษัทก็ส่งอีเมลแจ้งเตือนผู้ใช้ที่น่าจะได้รับผลกระทบให้อัพเดตแอพเป็นเวอร์ชันล่าสุดแล้ว
แอพเวอร์ชัน iOS ไม่มีช่องโหว่ลักษณะเดียวกันนี้
Apple ประกาศขยายโครงการ bug bounty ใหม่ให้เป็นโครงการเปิดอย่างสมบูรณ์แบบ เพื่อให้นักวิจัยด้านความปลอดภัยหรือบุคคลที่สนใจเข้ามาร่วมได้ โดยเงินรางวัลสูงสุดของโครงการในเกณฑ์มาตรฐานอยู่ที่ 1 ล้านดอลลาร์ บวกกับรางวัลโบนัสสูงสุด 50% เป็น 1.5 ล้านดอลลาร์
F5 Networks บริษัทด้านเครือข่ายที่มีผลิตภัณฑ์หลักเป็น load balancer และ application firewall ประกาศเข้าซื้อบริษัทสตาร์ทอัพ Shape Security ด้วยมูลค่าราว 1 พันล้านดอลลาร์ เพื่อเสริมความแข็งแกร่งด้านความปลอดภัยของบริษัท
Shape เป็นบริษัทสตาร์ทอัพที่เปิดตัวตั้งแต่ปี 2011 ระดมทุนไปแล้ว 183 ล้านดอลลาร์ มีสำนักงานอยู่ที่ Santa Clara รัฐแคลิฟอร์เนีย โดยเน้นที่การขายผลิตภัณฑ์ด้านความปลอดภัยที่เน้นกลุ่มลูกค้าองค์กร เช่น ธนาคาร, สายการบิน, ค้าปลีก, เชนโรงแรม, หน่วยงานภาครัฐ และอื่น ๆ โดยเน้นที่การป้องกันการหลอกลวงและการคุกคามแบบอัตโนมัติในส่วนของเว็บหรือแอปมือถือที่ผู้บริโภคใช้งานโดยตรง
วันนี้ (20 ธันวาคม 2562) นางสาวสิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการสายนโยบายระบบการชำระเงินและเทคโนโลยีการเงิน ธนาคารแห่งประเทศไทย ประกาศว่าทางหน่วยงานได้ออกแนวทางเรื่องความปลอดภัย mobile banking
แนวนโยบาย “การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและขำระเงินบนอุปกรณ์เคลื่อนที่” จะกำหนดให้ธนาคารต้องวางมาตรการขั้นต่ำ เช่น การบล็อคไม่ให้อุปกรณ์ที่ไม่ปลอดภัย (ใช้ระบบปฎิบัติการเก่าเกินไป หรือ jailbreak) ไม่ให้ใช้งาน, มีการจำกัดการเข้าถึงเซิร์ฟเวอร์, เข้ารหัสข้อมูล นอกจากนี้ยังกำหนดมาตรการเพิ่มเติม เช่น ความซับซ้อนรหัสผ่าน, และการตรวจสอบแอปพลิเคชั่นปลอม สร้างความรู้ความเข้าใจเทคโนโลยีการเงินให้ประชาชน
การใช้รูปหรือตัวปลอมหลอกระบบ Facial Recognition เป็นประเด็นที่ถูกหยิบยกมาพูดถึงอยู่บ่อยครั้งในแง่ความปลอดภัยและความน่าไว้วางใจของเทคโนโลยี ล่าสุด Kneron บริษัทที่พัฒนา AI ได้ทดสอบหลอกระบบ Facial Recognition ที่ถูกใช้งานในที่สาธารณะด้วยหน้ากาก 3 มิติที่พิมพ์หน้าบุคคลอื่นไว้
นักวิจัยทดสอบทั้งระบบตรวจคนเข้าเมืองในสนามบิน Schiphol กรุงอัมสเตอร์ดัมและระบบจ่ายเงินด้วยใบหน้าของทั้ง Alipay และ WeChat ในจีน ซึ่งทุกระบบถูกหลอกได้ด้วยหน้ากาก 3 มิติที่นักวิจัยพิมพ์มา และแน่นอนว่าการทดสอบทั้งหมดได้รับอนุญาตจากเจ้าหน้าที่แล้ว นักวิจัยก็ย้ำด้วยว่าการมีเจ้าหน้าที่คอยดูแลบริเวณระบบตรวจสอบน่าจะช่วยป้องกันการใช้หน้ากากแบบนี้ได้
LaToya Cantrell นายกเทศมนตรีเมืองนิวออร์ลีนส์ รัฐลุยเซียนา ต้องประกาศภาวะฉุกเฉิน (state of emergency) หลังระบบคอมพิวเตอร์ของรัฐบาลท้องถิ่นโดนโจมตี
แถลงการณ์ของเมืองนิวออร์ลีนส์ระบุว่าตรวจพบความผิดปกติในเครือข่าย ตอนช่วงประมาณตี 5 ตามเวลาท้องถิ่น หลังเจ้าหน้าที่เทคนิคเข้าไปสอบสวนก็พบว่าเป็นการโจมตีไซเบอร์ ทำให้เมืองต้องปิดระบบเซิร์ฟเวอร์และคอมพิวเตอร์เพื่อป้องกันความเสียหาย
เจ้าหน้าที่ยังตรวจพบการใช้ ransomware เรียกค่าไถ่ด้วย แต่ยังไม่พบการเรียกร้องให้จ่ายค่าไถ่แต่อย่างใด
โทรศัพท์ทุกวันนี้มีประสิทธิภาพแทบไม่ต่างจากพีซี และในองค์กรต่างๆ เราคงเห็นการใช้งานโทรศัพท์เพื่อทำงานมากขึ้นเรื่อยๆ ไม่ว่าจะเป็นการสื่อสารพื้นๆ เช่น แชต, อีเมล, หรือโทรศัพท์ หรือในอุปรณ์ที่ทรงพลังมากขึ้น การทำเอกสาร, สเปรตชีต, หรือจุดรับชำระเงิน (point-of-sale, POS) การใช้งานเหล่านี้ทำให้โทรศัพท์กลายเป็นอุปกรณ์ที่มีข้อมูลสำคัญขององค์กรอยู่จำนวนมาก ซอฟต์แวร์ต่างๆ ไม่ว่าจะเป็นซอฟท์แวร์ที่องค์กรจัดหามา หรือพัฒนาใช้งานเองภายในจำเป็นต้องได้ติดตั้งซอฟท์แวร์ให้ทั่วถึง อัพเดตเมื่อตามรอบที่กำหนด ไปจนถึงการคอนฟิกค่าตามความจำเป็น