ต่อจากข่าว Blackphone สมาร์ทโฟนเพื่อความปลอดภัยจากผู้สร้าง PGP (คนละตัวกับ Boeing Black นะครับ) ผู้สร้าง Blackphone ก็เปิดตัวมันที่งาน MWC 2014 เป็นที่เรียบร้อย

จากกรณีบั๊ก SSL ใน OS X แอปเปิลออกแพตช์แก้ให้กับ OS X เรียบร้อยแล้ว และในโอกาสเดียวกัน แอปเปิลก็ออกแพตช์ความปลอดภัยอื่นๆ ให้กับ 10.7 Lion และ 10.8 Mountain Lion ด้วย

OS X เวอร์ชันที่ไม่ได้รับแพตช์ในรอบนี้คือ OS X 10.6 Snow Leopard ซึ่งเป็นสัญญาณว่าแอปเปิลหยุดสนับสนุนระบบปฏิบัติการตัวนี้แล้ว

ตามปกติแล้วแอปเปิลจะออกแพตช์ให้ระบบปฏิบัติการ 2 รุ่นล่าสุด (รุ่น n และ n-1) แต่กรณีของ Snow Leopard กลับมีระยะการสนับสนุนที่ยาวนานกว่าปกติมาก (สถานะตอนนี้นับเป็นรุ่น n-3 แล้ว) การหยุดสนับสนุนในตอนนี้จึงไม่ใช่สิ่งที่น่าแปลกใจนัก

โบอิ้ง ผู้ผลิตเครื่องบินและอาวุธชื่อดัง เผย Boeing Black สมาร์ทโฟนที่ได้รับการผลิตในสหรัฐและสามารถทำลายข้อมูลในเครื่องเองเมื่อมีคนพยายามงัดแงะเครื่อง

ในเอกสารที่ยื่นขออนุมัติจาก FCC ระบุว่ามือถือนี้ใช้อีพอกซี่ (epoxy) ซึ่งเป็นเรซินสังเคราะห์ที่มีความเหนียวมากและจะแข็งตัวหลังผ่านความร้อนและสกรูยึดกรอบตัวเครื่อง โดยหัวสกรูมีตัวครอบที่ทำให้สังเกตได้ว่ามีคนพยายามงัดแงะเครื่องหรือไม่ หากมีการงัดแงะเครื่องจะกระตุ้นฟังก์ชันให้ลบข้อมูลและซอฟต์แวร์ที่อยู่ในเครื่องและทำให้เครื่องใช้การไม่ได้อีกต่อไป (แต่เอกสารไม่ให้รายละเอียดวิธีการกระตุ้นให้ลบข้อมูลและทำให้เครื่องใช้การไม่ได้ดังกล่าว) ส่วนสเปคเป็นดังนี้

บริษัทผลิตอากาศยานอันดับหนึ่งของโลกอย่าง Boeing เปิดตัว Boeing Black มือถือความปลอดภัยสูงซึ่งถูกออกแบบมาสำหรับลูกค้าสายงานความปลอดภัยและกลาโหม ซึ่งมีฟีเจอร์ที่สำคัญคือทำลายข้อมูลภายในเครื่องได้เมื่อตรวจพบความพยายามในการงัดแงะตัวเครื่อง โดย Black รันบนแอนดรอยด์ที่ถูกดัดแปลง และมีสเปกที่สำคัญดังนี้

• สูง 5.2 นิ้ว (131.9 มม.)
• จอขนาด 4.3 นิ้วที่ความละเอียด 540 x 960 พิกเซล
• แบตเตอรี่ความจุ 1590 mAh
• สองซิมรองรับ LTE, WCDMA และ GSM
• ซีพียู Dual ARM Cortex-A9 ที่ความถี่ 1.2 GHz

นอกจากนี้ตัวเครื่องยังรองรับการต่อเติมเช่นเพิ่มเซนเซอร์ทางชีวมิติ (เช่น เซนเซอร์สแกนลายนิ้วมือ) แผงโซลาร์สำหรับชาร์จ ตัวรับส่งสัญญาณดาวเทียม หรืออื่นๆ

EC-Council องค์กรให้บริการฝึกและทดสอบแฮกเกอร์ โดยมีใบรับรองสำคัญคือ Certified Ethical Hacker (CEH) ถูกแฮกเว็บและเปลี่ยนหน้าเว็บโดยนำอีเมลสมัครสอบของ Edward Snowden มาแสดงบนหน้าเว็บ พร้อมกับข้อความว่า "ดีมากที่กลับมาใช้รหัส jack67834# อีกรอบ"

แฮกเกอร์ยังแสดงเอกสารของ Edward Snowden จากอีเมลสมัครสอบ มีทั้งหน้าหนังสือเดินทาง, จดหมายรับรองจากกระทรวงกลาโหม, และหน้าจออีเมล เป็นอีเมลสมัครสอบจากปี 2010 นอกจากข้อมูลของ Snowden แล้ว แฮกเกอร์ยังระบุว่าเขามีข้อมูลของเจ้าหน้าที่รัฐและทหารอีกนับพันราย

ภาพหน้าจอแสดงว่า EC-Council ใช้บริการอีเมลของกูเกิล โดยคาดว่าแฮกเกอร์จะขโมยโดเมนไปก่อนแล้วจึงรีเซ็ตรหัสอีเมลเพื่อดึงข้อมูลออกไป

MasterCard ประกาศความร่วมมือกับบริษัท Syniverse เปิดให้ผู้ใช้เข้าร่วมโครงการทดสอบการใช้งานบัตรเครดิตว่ามีพื้นที่ใช้งานตรงกับพื้นที่ที่ลูกค้าอยู่จริงหรือไม่

แนวทางนี้จะแก้ปัญหาความยุ่งยากของลูกค้าที่ถูกบัตรเครดิตปฎิเสธการจ่ายเงินเพราะมีพฤติกรรมผิดปกติ โดยรายงานระบุว่ารายการต้องสงสัยประมาณร้อยละ 50 ถึงร้อยละ 80 ที่ธนาคารปฎิเสธ ที่จริงแล้วเป็นรายการที่ถูกต้องแต่ลูกค้าเดินทางไปใช้งานต่างประเทศ ผู้ที่เข้าร่วมโครงการนี้แม้จะเดินทางไปต่างประเทศแต่หากโทรศัพท์อยู่กับตัวตอนที่ใช้บัตรเครดิต โอกาสที่รายการจะถูกสงสัยว่าเป็นรายการปลอมก็จะน้อยลง

จากปัญหาช่องโหว่ SSL ของ iOS/OS X ที่ส่งผลกระทบในวงกว้าง (ข่าวเก่า 1, 2, 3) ล่าสุดแอปเปิลออก OS X Mavericks 10.9.2 ที่แก้ไขช่องโหว่นี้แล้ว

คนที่อัพเดตแล้วอยากทดสอบว่าช่องโหว่หายไปเพื่อความสบายใจ สามารถใช้ Safari เข้าไปทดสอบได้ที่ Apple SSL bug test site

OS X 10.9.2 ยังเพิ่มฟีเจอร์ด้านอื่นๆ ที่เกี่ยวข้องกับ FaceTime (โทรด้วยเสียง) และ iMessages (บล็อค SMS) มาอีกเล็กน้อย และปรับปรุงเสถียรภาพของแอพบน OS X ของแอปเปิลเองอีกหลายจุด รายการเปลี่ยนแปลงฉบับเต็มอ่านได้ตามลิงก์ที่มา

หลังจากที่ WhatsApp บริการส่งข้อความที่มีจำนวนผู้ใช้สูงที่สุดในโลกได้ถูก Facebook ซื้อกิจการไปที่ราคาสูงลิ่ว ได้มีปรากฏการณ์ “ย้ายค่าย” โดยกลุ่มผู้ใช้งานที่เชื่อว่า Facebook ไม่สามารถที่จะให้บริการส่งข้อความโดยไม่อาจส่งผลกระทบกับความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ได้ โดยแอพที่ผู้ใช้เปลี่ยนมาใช้บริการมากจนลำดับความนิยมอยู่สูงกว่า WhatsApp บน App Store แล้ว คือ Telegram

หนังสือพิมพ์ The New York Times สัมภาษณ์ Brian Krebs เจ้าของบล็อก Krebs on Security ที่เป็นแหล่งข้อมูลหลักของการโจมตีครั้งสำคัญหลายครั้ง เขาไม่ได้มีวุฒิด้านคอมพิวเตอร์โดยตรง แต่ได้ทำงานในห้องจดหมายที่หนังสือพิมพ์ The Washington Post มาตั้งแต่ปี 1995 และเริ่มสนใจที่จะเขียนบทความด้านเทคโนโลยีมาตั้งแต่ปี 1998

จากนั้นในปี 2001 คอมพิวเตอร์ของเขาติดเวิร์มจึงเป็นจุดเริ่มต้นของความสนใจในโลกใต้ดินของคอมพิวเตอร์ เขาเริ่มมีบล็อกด้านความปลอดภัยของตัวเองบน Washington Post ในปี 2005 หลังจากนั้นเขาเริ่มเข้าไปอ่านฟอรั่มของแฮกเกอร์, เรียนเขียนโปรแกรม, และเรียนภาษารัสเซียด้วยตัวเอง

จากเหตุการณ์ที่ Apple ใส่โค้ด goto fail; เกินมา 1 บรรทัด จนทำให้เกิดช่องโหว่ในการตรวจสอบใบรับรอง SSL ซึ่งช่องโหว่ที่ว่านี้ถูกแก้ไปแล้วใน iOS 7.0.6 และ 6.1.6 แต่ OS X 10.9.x ยังไม่แก้ ในเบื้องต้นเชื่อกันว่าช่องโหว่นี้มีผลกระทบแค่ Safari ใน OS X แต่ล่าสุดพบว่าช่องโหว่นี้มีผลกระทบกับแอพพลิเคชันอื่นๆ ด้วย

หลังจากที่แอปเปิลนั้นได้ออกอัพเดต iOS 7.0.6 และ iOS 6.1.6 เพื่อแก้ไขข้อผิดพลาดเกี่ยวกับความปลอดภัยในการเชื่อมต่อแบบ SSL (ข่าวเก่า) ทำให้มีผู้พัฒนาหลายๆ คนได้ไปตรวจสอบโค้ดในส่วนนี้สำหรับ OS X Mavericks (10.9.x) และพบว่าข้อบกพร่องนี้ก็ปรากฏอยู่ใน Mavericks ด้วยเช่นเดียวกัน

ทำให้มีผู้พัฒนาชาวเยอรมันคนหนึ่งได้ทำการแพชต์ Mavericks ตัวนี้เพื่อแก้ไขข้อบกพร่องที่เกิดขึ้น โดยแพชต์ตัวนี้รองรับเฉพาะ Mavericks แบบ 64 บิตเท่านั้น หากนำไปใช้กับเครื่อง 32 บิต จะต้องทำการพอร์ตก่อน

สิ่งที่ผู้พัฒนาค้นพบก็คือโค้ดในไฟล์ sslKeyExchange.c นั่นเอง เพราะว่ามีคำสั่ง goto fail; ถึง 2 ครั้ง

จากปัญหา Apple ใส่โค้ด goto fail; เกินมา 1 บรรทัด ทำให้ไม่สามารถตรวจสอบใบรับรอง SSL ที่ผิดพลาดได้ ซึ่งปัญหาที่ว่าเกิดขึ้นทั้งใน iOS และ OS X นักวิจัยได้ตรวจสอบข้อมูลซอร์สโค้ดย้อนหลังแล้วพบว่าโค้ดเจ้าปัญหานี้ถูกใส่เข้ามาในระบบตั้งแต่ช่วงก่อนหน้าเดือนตุลาคม ปี 2013 ทำให้ iOS 6.1, iOS 7 และ OS X 10.9 ได้รับผลกระทบจากช่องโหว่ที่ว่านี้ (@thegrugq, @Pod2G)

หลังจากที่เมื่อเช้านี้ Apple ได้ปล่อยอัพเดต iOS 7.0.6 ออกมาเพื่อแก้ไขปัญหาช่องโหว่การตรวจสอบ SSL แต่ไม่ได้ลงรายละเอียดอะไรมากกว่านั้น นักวิจัยด้านความมั่นคงปลอดภัยหลายรายก็เลยพยายามที่จะวิเคราะห์ว่าปัญหาของช่องโหว่นี้เกิดจากอะไร และมีผลกระทบมากน้อยแค่ไหน

จนในที่สุดก็มีคนไปไล่ดูซอร์สโค้ดของฟังก์ชันที่ใช้แลกเปลี่ยนกุญแจ SSL เลยพบว่า สาเหตุของปัญหานี้เกิดจากการที่ Apple ใส่คำสั่ง goto fail; เกินมา 1 บรรทัด เลยทำให้ระบบไม่ตรวจสอบค่า hostname ที่ผิดพลาดในใบรับรอง SSL

กูเกิลประกาศซื้อ Spider.io บริษัทไซเบอร์รักษาความปลอดภัยที่ต่อสู้กับการทุจริตโฆษณาออนไลน์ บริษัทนี้ตั้งอยู่ที่กรุงลอนดอน ประเทศอังกฤษ

โดย Neal Mohan รองประธานกูเกิลฝ่ายโฆษณากล่าวว่า การซื้อบริษัท Spider.io ครั้งนี้เป็นเพราะว่าบริษัทนี้ มีความเชี่ยวชาญในด้านการต่อสู้กับการทุจริตโฆษณา และการปรับปรุงผลิตภัณฑ์ ซึ่งทำให้มีความพยายามที่จะสามารถขจัดผู้ประสงค์ร้ายต่อระบบของการโฆษณา และปรับปรุงระบบนิเวศแบบเป็นดิจิตัลทั้งหมด

ส่วนข้อมูลเงื่อนไขและมูลค่าในการสั่งซื้อกูเกิลยังไม่มีการเปิดเผยถึงเรื่องนี้ แต่ทางกูเกิลได้บอกว่าจะเอาไว้ใช้กับระบบตรวจจับเกี่ยวกับการแสดงและวิดีโอโฆษณาบริการต่างๆ นั่นเอง

ไมโครซอฟท์ประกาศพบช่องโหว่ของ IE9 (Vista/7/2008 R2) และ IE10 (7/8/2012) โดยพบหลักฐานว่า IE10 ถูกโจมตีผ่านช่องโหว่นี้แล้ว (IE9 ยังไม่โดนแต่มีช่องโหว่ลักษณะเดียวกัน)

เบื้องต้น ไมโครซอฟท์ได้ออกแพตช์ฉุกเฉิน (fix it) เพื่อลดความเสี่ยงจากช่องโหว่นี้เป็นการชั่วคราวแล้ว แต่แพตช์ตัวเต็มยังต้องรออีกสักระยะหนึ่ง ดังนั้นผู้ที่ใช้ระบบปฏิบัติการข้างต้นก็ควรดาวน์โหลดแพตช์นี้มาติดตั้งกันไปก่อน (ดาวน์โหลดจาก TechNet)

Adobe ออกประกาศด้านความปลอดภัยด่วน (emergency update) แจ้งเตือนช่องโหว่ใน Flash Player ทุกเวอร์ชัน (12.0.0.44 หรือเก่ากว่า, บนลินุกซ์คือ 11.2.202.336 หรือเก่ากว่า, รวมถึง Adobe AIR 3.9/4.0 ด้วย)

ช่องโหว่นี้ (มีโค้ดว่า CVE-2014-0502) เกี่ยวข้องกับการข้ามระบบความปลอดภัยที่ใช้เทคนิคหน่วยความจำแบบสุ่ม (ASLR) ถูกค้นพบโดยบริษัทความปลอดภัย FirmEye โดยผู้ประสงค์ร้ายสามารถฝังมัลแวร์ลงในคอมพิวเตอร์ของผู้ใช้ได้ และปัจจุบันมีเว็บไซต์ที่ถูกใช้เป็นฐานสำหรับการโจมตีด้วยช่องโหว่นี้บ้างแล้ว

บล็อกที่เขียนข่าวเกี่ยวกับซัมซุงเป็นประจำ SamMobile อ้างว่ามือถือตัวชูโรงของซัมซุงประจำปีนี้ “Galaxy S5” จะมาพร้อมกับเซ็นเซอร์อ่านลายนิ้วมือจริง โดยเช่นเดียวกับมือถือคู่แข่งอย่าง iPhone 5S เซ็นเซอร์อ่านลายนิ้วมือของ S5 จะอยู่ที่ปุ่มโฮม

อย่างไรก็ตาม ในรายงานระบุว่าการใช้งานเซ็นเซอร์อ่านลายนิ้วมือของซัมซุง จะแตกต่างไปจาก Touch ID ของแอปเปิล ตรงที่ผู้ใช้จะต้องสแกนลายนิ้วมือด้วยวิธี Swipe จากบนลงล่างด้วยความเร็วที่เหมาะสม แต่เช่นเดียวกับ Touch ID เซ็นเซอร์อ่านลายนิ้วมือของซัมซุง ก็จะมีปัญหาในการอ่านลายนิ้วมือจากนิ้วที่เปียก หรือชุ่มชื้น

ความน่ากลัวของการดักฟังที่ได้รับการสนับสนุนจากรัฐแบบที่เปิดเผยโดย NSA ทำให้ผู้ให้บริการที่เคยไว้ใจการเชื่อมต่อระดับศูนย์ ที่ไม่น่ามีใครดักฟังได้ ไม่เชื่อใจกันอีกต่อไป CloudFlare ผู้ให้บริการกระจายข้อมูลไปยังผู้ใช้จึงเพิ่มบริการเชื่อมต่อ SSL แบบใหม่เพิ่มเติม

ก่อนหน้านี้ CloudFlare ให้บริการความปลอดภัยสามแบบ คือ ปิดการเข้ารหัส ไม่มีการยืนยันใดๆ, เปิดการเข้ารหัสเฉพาะข้อมูลที่กระจายออก แต่รับข้อมูลจากเซิร์ฟเวอร์โดยไม่เข้ารหัส (Flexible SSL), และเข้ารหัสเต็ม (Full SSL) แต่แม้จะเป็น Full SSL ทาง CloudFlare ก็ไม่ได้ยืนยันใบรับรองการเข้ารหัสกับเซิร์ฟเวอร์ลูกค้าแต่อย่างใด ทำให้มีความเสี่ยงที่จะถูกทำ man-in-the-middle

Sense6 บริษัทหน้าใหม่สัญชาติอเมริกาเปิดตัว Artemis เครื่องประดับอัจฉริยะที่สามารถเชื่อมต่อกับสมาร์ทโฟนเพื่อแจ้งเตือนไปยังเจ้าหน้าที่ หากำบว่าเจ้าของอยู่ในสถานการณ์อันตราย

Jeff Axup ซีอีโอ Sense6 พูดถึง Artemis ว่าออกแบบมาเพื่อให้คุณผู้หญิงสามารถเอาตัวรอดจากสถานการณ์ฉุกเฉินได้ไวขึ้น ตัวเครื่องประดับออกแบบมาให้เชื่อมต่อกับสมาร์ทโฟนผ่านบลูทูธ สามารถอัดเสียง และส่งเสียงผ่านระบบกลุ่มเมฆ และส่งข้อมูลสถานที่ปัจจุบันได้แบบเรียลไทม์ ซึ่งเร็วกว่าวิธีแบบเดิมที่ใช้การโทรศัพท์อย่างมาก

รายงานบั๊กที่ใช้ในเวิร์ม The Moon ที่เริ่มระบาดเมื่อสัปดาห์ที่แล้ว แสดงให้เห็นว่าเราเตอร์หลายรุ่นมีปัญหาความปลอดภัยเพราะไม่ตรวจสอบรหัสผ่านในบาง URL ที่ใชัจัดการเราเตอร์

URL เหล่านี้เป็นโปรโตคอล Home Network Administration Protocol (HNAP) ที่พัฒนาโดย Pure Network และถูกซื้อไปโดยซิสโก้ในภายหลัง เราเตอร์ที่มีบั๊กนี้ได้แก่ 4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, และ E900

เมื่อเวิร์มติดไปยังเราเตอร์แล้วจะแสกนพอร์ต 80 และ 8080 เพื่อหาเหยื่อรายใหม่ต่อไปเรื่อยๆ

ที่มา - The Register

กูเกิลเข้าซื้อบริษัท SlickLogin ที่เพิ่งเปิดตัวมาไม่กี่เดือน โดยระบุว่าจะไปพัฒนาความปลอดภัยให้

SlickLogin พัฒนาระบบล็อกอินด้วยเสียงที่มนุษย์ไม่ได้ยิน โดยผู้ใช้ที่ต้องการล็อกอินเว็บสามารถนำโทรศัพท์ไปจ่อกับลำโพงโน้ตบุ๊กเพื่อล็อกอิน

ส่วนกูเกิลเองก็พยายามอย่างมากที่จะพัฒนามาตรฐานการล็อกอินที่ปลอดภัยกว่ารหัสผ่าน พร้อมกับยังใช้งานได้ง่ายอยู่ โดยความคืบหน้าล่าสุดคือการก่อตั้งกลุ่ม FIDO การเข้าซื้อ SlickLogin คงเป็นการเข้าซื้อตัวนักพัฒนาและสิทธิบัตรของ SlickLogin

สำนักงานของ SlickLogin ยังคงอยู่ในอิสราเอลเช่นเดิม

ที่มา - SlickLogin

Kickstarter แถลงยอมรับว่าเมื่อวันพุธที่ผ่านมาหน่วยงานบังคับใช้กฏหมายแจ้งว่าระบบของบริษัทถูกเจาะ และทางบริษัทก็รีบแก้ไขอย่างเร็วที่สุด แต่ก็ไม่ได้ระบุวิธีการที่เจาะเข้ามาขโมยข้อมูล

ถึงแม้ข้อมูลบัตรเครดิตของผู้ใช้จะไม่ถูกขโมยไป แต่ข้อมูลชื่อผู้ใช้ รหัสผ่านที่ถูกเข้ารหัสไว้ อีเมล ที่อยู่ และเบอร์โทรศัพท์ของผู้ใช้บางส่วนถูกขโมยไป (Kickstarter ไม่ได้เปิดเผยว่ามีข้อมูลของผู้ใช้กี่รายที่หลุดออกไป) บริษัทแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านใหม่ทั้งของบนเว็บไซต์ของบริษัทเองและเว็บไซต์อื่นที่ใช้รหัสเดียวกัน

ที่มา: Kickstarter

Kickstarter ประกาศว่าตัวเองถูกแฮ็กเข้าซะแล้ว และข้อมูลของผู้ใช้บางส่วนถูกแฮ็กเกอร์ขโมยไป โดยข้อมูลที่ถูกขโมยคือข้อมูลส่วนตัว ชื่อ อีเมล ที่อยู่ และรหัสผ่านที่ถูกเข้ารหัสแล้ว (ใช้ SHA-1/salted หรือ bcrypt) ส่วนข้อมูลบัตรเครดิตไม่ถูกเจาะไปด้วย

Kickstarter แนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านโดยทันที และเปลี่ยนรหัสผ่านชุดเดียวกันที่ใช้กับเว็บไซต์อื่นๆ ด้วย ส่วนผู้ใช้ที่ล็อกอินด้วย Facebook Connect จะถูกรีเซ็ตสิทธิการเข้าถึง และผู้ใช้สามารถอนุมัติสิทธิใหม่อีกครั้งด้วยตนเอง

ที่มา - Kickstarter

เว็บไซต์ thehackernews.com ได้ประกาศข่าวว่าพวกเขาได้รับ E-mail จากแฮคเกอร์ชาวอียิปต์ที่ใช้นางแฝงว่า Dr.FarFar ซึ่งเขาอ้างว่าเป็นคนแฮคหน้าโปรไฟล์ และลบรูป Cover ของ Mark Zuckerberg เจ้าของและผู้ก่อตั้งเว็บไซต์เฟสบุ๊ค

เหล่าแฮกเกอร์ซีเรียยังคงซ่าไม่หยุด ซึ่งเหยื่อรายล่าสุดคือ Forbes นิตยสารด้านเศรษฐกิจชื่อดังของสหรัฐ โดย Forbes เปิดเผยว่าเว็บไซต์ของตัวเองและทวิตเตอร์ในเครือของ Forbes อีก 3 บัญชี ได้แก่ @TheAlexKnapp , @Samsharf และ @ForbesTech เป็นเหยื่อการถูกโจมตีโดยกลุ่ม Syrian Electronic Army (SEA) โดยมีรหัสผ่านผู้ใช้หลุดออกไปนับล้านบัญชี