นักวิจัยเครือข่ายไม่เปิดเผยชื่อรายหนึ่งได้เปิดเผยข้อมูลมาว่า เขาได้ตรวจพบว่าเมื่อใช้งาน LINE ผ่าน 3G โปรแกรมจะไม่เข้ารหัสข้อความ และส่งออกไปแบบข้อความเปิดทันที เป็นผลให้ข้อมูลผู้ใช้งานกว่า 230 ล้านคน (เป็นคนไทย 18 ล้านคน) ตกอยู่ในความเสี่ยงต่อการถูกดักฟังได้

นอกจากนี้ จากการทดสอบของนักวิจัยดังกล่าว ด้วยการเขียนโปรแกรมประมาณ 20 บรรทัดเพื่อดึงเลข Cafe-ID (เลขประจำแต่ละการสนทนา) ยังทำให้พบว่าผู้ไม่ประสงค์ดีสามารถย้อนดูประวัติข้อความในการสนทนาย้อนหลังได้ถึงสองเดือนได้โดยไม่จำเป็นต้องได้รับอนุญาตใดๆ อีกด้วย

มีรายงานว่าตั้งแต่ช่วงเวลาประมาณ 2.00 น. ของวันอาทิตย์ที่ผ่านมา (25 ส.ค.) ระบบอินเทอร์เน็ตจีนมีปัญหาครั้งใหญ่ (อาจใหญ่ที่สุดในประวัติศาสตร์เว็บจีน) โดยผู้ใช้งานจำนวนมากไม่สามารถเข้าเว็บโดเมน .cn ของจีนได้

เหตุผลมาจาก registry ที่เก็บข้อมูลโดเมนเนม .cn ของจีน (ชื่อหน่วยงานคือ China Internet Network Information Center) ถูกถล่มด้วย DDos ขนาดใหญ่ถึงสองรอบคือช่วง 2.00 น. และ 4.00 น. ของวันเดียวกัน จนระบบล่มไปนาน 2-4 ชั่วโมง

ผลคือผู้ใช้เน็ตจีนจำนวนมากเข้าเว็บ .cn ไม่ได้ แต่ก็ยังมี ISP บางแห่งเก็บข้อมูลโดเมนไว้ในแคชของตัวเองอีกช่วงเวลาหนึ่ง ทำให้ผู้ใช้บางส่วนยังพอใช้งานเว็บจีนได้

League of Legends เกมออนไลน์แบบ MMO ชื่อดังอีกเกมหนึ่ง ประกาศว่าโดนแฮ็กเซิร์ฟเวอร์ฝั่งอเมริกาเหนือ (ไม่กระทบกับเซิร์ฟเวอร์ในภูมิภาคอื่นๆ รวมถึงไทยด้วย) ส่งผลให้ข้อมูลผู้ใช้ได้แก่ อีเมล ชื่อจริง และรหัสผ่านที่เข้ารหัสแล้ว (salted+hash) หลุดออกไป

นอกจากนี้ League of Legends ยังพบว่าข้อมูลการเงินบางส่วนที่มีหมายเลขบัตรเครดิตที่ถูกเข้ารหัส (salted+hashed) ถูกเจาะออกไปเช่นกัน ซึ่งทางผู้ให้บริการเกมจะติดต่อกับผู้ใช้ที่ได้รับผลกระทบทางอีเมล

League of Legends จะบังคับให้ผู้เล่นในอเมริกาเหนือเปลี่ยนรหัสผ่าน และเตรียมเพิ่มระบบยืนยันตัวตนทั้งทางอีเมลและ SMS ด้วย

จากข่าว เจอบั๊กวอลล์ Facebook แต่บริษัทไม่สนใจ เลยโพสต์ลงหน้าวอลล์ Zuckerberg ซะเลย ที่จบลงด้วยนาย Khalil ไม่ได้รับเงินรางวัล 500 ดอลลาร์จาก Facebook เพราะทำผิดเงื่อนไข

ด้านนาย Khalil ก็ให้สัมภาษณ์หลังจากนั้นว่าเขาผิดหวังที่ไม่ได้เงินรางวัล เพราะเขาตกงานมา 2 ปีแล้ว และเขาก็สามารถขายช่องโหว่นี้ให้กับแฮ็กเกอร์สายมืดได้ในราคาที่แพงกว่า 500 ดอลลาร์มาก แต่เขาก็เลือกจะไม่ทำเพราะเขาเชื่อมั่นในความดี (I'm a good guy)

ฟีเจอร์การใช้งานหลายคนพร้อมกันนั้นมีใน Chrome มานานแล้ว แต่ผู้ใช้ทุกคนล้วนมีสิทธิ์เท่ากันทั้งหมด แต่รายงานจาก Browser Fame แสดงภาพใน Chrome รุ่นสำหรับนักพัฒนาเริ่มมีการใส่ฟีเจอร์ "ผู้ใช้แบบถูกควบคุม" (supervised user) แล้ว

ฟีเจอร์นี้ยังอยู่ระหว่างการพัฒนาและต้องเปิดขึ้นมาดูจาก flag พิเศษเท่านั้น โดยจะเพิ่มผู้ใช้ที่ถูกควบคุมนี้ได้ต่อเมื่อเราล็อกอิน Chrome แล้วเท่านั้นโดยหน้าควบคุมจะอยู่ที่ www.chrome.com/manage (ยังใช้งานไม่ได้)

ก่อนหน้านี้ผู้ใช้ Chrome แม้จะแยกผู้ใช้ได้หลายคน แต่ก็ไม่มีกระบวนการป้องกันไม่ให้ผู้ใช้แต่ละคนเข้าใช้บัญชีของคนอื่น กระบวนการผู้ใช้แบบถูกควบคุมนี้จะทำให้ต้องใส่รหัสผ่านเพื่อกลับไปยังผู้ใช้ที่เป็นผู้ควบคุมอีกครั้ง

ทีมพัฒนาโปรแกรม LastPass ซึ่งเป็นโปรแกรมช่วยจัดการรหัสผ่าน ได้ออกมาแจ้งเตือนบั๊กใน LastPass เวอร์ชั่น 2.0.20 โดยบั๊กที่ว่านี้จะเกิดเฉพาะผู้ที่ใช้ LastPass ร่วมกับ IE เนื่องจากรหัสผ่านที่ LastPass ใส่เข้าไปในหน้าฟอร์มของ IE นั้นจะถูกเก็บเป็น plaintext ในหน่วยความจำ ซึ่งผู้ไม่หวังดีสามารถใช้โปรแกรมประเภท memory dump เอารหัสผ่านออกมาดูได้

อย่างไรก็ตาม การจะขโมยรหัสผ่านด้วยวิธีนี้ได้ ผู้ไม่หวังดีต้องได้รับสิทธิ์ในการเข้าใช้งานเครื่องโดยตรง ดังนั้นแล้ว นอกจากจะอัพเดต LastPass ให้เป็นเวอร์ชันล่าสุด วิธีป้องกันตัวเองอีกทางคือไม่ควรยอมให้คนอื่นเข้ามาใช้เครื่องได้ง่ายๆ โดยเฉพาะเครื่องที่มีข้อมูลสำคัญเก็บไว้

ที่งาน USENIX 2013 มีการนำเสนองานวิจัยเปรียบเทียบการ "กดผ่าน" หน้าจอเตือนมัลแวร์และการเข้ารหัสที่ผิดพลาดของเบราว์เซอร์สองตัวคือไฟร์ฟอกซ์และ Chrome พบว่าผู้ใช้ Chrome นั้นมีแนวโน้มจะกดผ่านหน้าจอเตือนมากกว่าผู้ใช้ไฟร์ฟอกซ์กว่าสองเท่าตัว

รายงานพบว่าผู้ใช้มีพฤติกรรมต่างกันไปในแต่ละระบบปฎิบัติการ แต่เช่นผู้ใช้ไฟร์ฟอกซ์บนวินโดวส์จะกดผ่านหน้าเตือนมัลแวร์เพียง 7.1% เท่านั้น แต่ผู้ใช้ Chrome กลับกดผ่านหน้าเตือนสูงถึง 23.5% แนวโน้มที่คล้ายกันคือทั้งสองกลุ่มจะมีโอกาสกดผ่านมากขึ้นเรื่อยๆ หากใช้รุ่น "ไม่เสถียร" เช่น เบต้า, และรุ่นสำหรับนักพัฒนา

ไมโครซอฟท์ยังคงเดินหน้ากระทุ้งกลุ่มผู้ใช้งาน Windows XP ให้รีบอัพเกรดไปเป็น Windows เวอร์ชันใหม่ (7/8) อยู่เรื่อยๆ ล่าสุดไมโครซอฟท์ก็ยกประเด็น zero day exploit ขึ้นมาเล่น โดยกระทุ้งไปประมาณว่า ถ้ายังไม่อัพเกรดออกมาจาก Windows XP หลังวันที่ 8 เมษายน คุณจะต้องอยู่กับช่องโหว่นี้ไปตลอดกาล

โดย Tim Rains ได้อธิบายเพิ่มเติมว่า ช่องโหว่ zero day ถูกแก้ไขใน Windows 7 และ 8 ไปเยอะแล้ว ดังนั้นการอัพเกรดจาก Windows XP ขึ้นมาเป็น Windows 7 และ 8 จึงเป็นเรื่องที่ควรทำอย่างยิ่ง เพราะอย่างน้อยก็ช่วยให้อุ่นใจได้ว่าข้อมูลสำคัญต่างๆ ของตัวผู้ใช้เองก็ยังคงปลอดภัยเช่นเคย

ผู้เชี่ยวชาญด้านความปลอดภัยจากปาเลสไตน์ชื่อ Khalil ค้นพบช่องโหว่ของ Facebook ที่ทำให้เราโพสต์ข้อมูลบนหน้าวอลล์ของผู้ใช้คนใดก็ได้ เขาแจ้งข้อมูลช่องโหว่นี้ไปยังทีมความปลอดภัยของ Facebook แต่ทางทีมกลับบอกว่า "นี่ไม่ใช่บั๊ก" แม้ Khalil ยินดีจะสาธิตการทำงานของบั๊กก็ตาม

Khalil ไม่มีทางเลือกอื่น เขาจึงใช้ช่องโหว่ที่ค้นพบนี้โพสต์ข้อมูลบนหน้าวอลล์ของ Mark Zuckerberg มันเสียเลย ในโพสต์ของ Khalil เริ่มจากการขอโทษ Zuckerberg ที่บุกรุกความเป็นส่วนตัว ก่อนจะรายงานปัญหาและอธิบายว่าเขาแจ้งผ่านทีมความปลอดภัยแล้วไม่ได้รับการตอบสนอง

ข่าวนี้เป็นเรื่องของ "กระบวนการ" ไม่ใช่ปัญหาของระบบนะครับ

ทีมนักวิจัยด้านความปลอดภัยจากมหาวิทยาลัย Georgia Tech เปิดเผยว่าสามารถส่งแอพทดสอบที่ประสงค์ร้ายกับผู้ใช้งาน (สามารถแอบโพสต์ทวิตเตอร์, ส่งอีเมลและ SMS, ขโมยข้อมูลส่วนบุคคล, ถ่ายภาพ, สั่งเปิด Safari ให้เข้าเว็บที่มีมัลแวร์) ชื่อ Jekyll ขึ้นบน App Store โดยที่แอปเปิลไม่รู้ตัวได้แล้ว

ช่องโหว่นี้เกิดจากกระบวนการตรวจสอบแอพของแอปเปิลที่ทดสอบแอพ "เป็นระยะเวลาน้อยเกินไป"

Google Cloud Storage บริการคู่แข่งของ Amazon S3 (ข่าวเก่า) ประกาศนโยบายเข้ารหัสข้อมูลทุกอย่างที่ฝั่งเซิร์ฟเวอร์แล้ว

การเข้ารหัสของ Google Cloud Storage จะใช้ AES-128 เข้ารหัส 3 ชั้นด้วยคีย์ 3 ชุด โดยเริ่มจากระดับของข้อมูล (object) แต่ละชิ้นที่ถูกส่งขึ้นไปเก็บบนเซิร์ฟเวอร์, คีย์ของข้อมูลจะถูกเข้ารหัสชั้นที่สองด้วยคีย์เฉพาะของผู้ใช้ (object owner) และคีย์ทั้งหมดจะถูกเข้ารหัสด้วย master key ของระบบที่เปลี่ยนไปเรื่อยๆ ตลอดเวลา

ทุกวันนี้ ลินุกซ์ใช้งานง่ายและปลอดไวรัส แต่ต่อไปนี้ต้องระวังภัยร้ายใหม่กันแล้ว แหล่งข่าวจาก RSA อ้างว่ามีโทรจัน Hand of Thief มาขโมยรหัสผ่านเข้าธนาคารโดยเฉพาะ ซึ่งอาการที่ติด คือ ไปหน้าเว็บ Hand of Thief ทุกครั้งที่เปิดเบราว์เซอร์

บั๊กในตัวสร้างเลขสุ่มของแอนดรอยด์ทำให้กุญแจลับที่สร้างขึ้นมาไม่ปลอดภัย ทำให้แอพพลิเคชั่นหลายตัวต้องแก้ปัญหากันเอง ผลกระทบสุงสุดคงเป็นกลุ่มกระเป๋าเงิน BitCoin เพราะผู้ใช้ทั่วไปมักไม่ได้สร้างกุญแจลับกันบ่อยนัก

ทางโครงการแอนดรอยด์ออกมาระบุว่าบั๊กนี้ไม่มีผลต่อการใช้งาน HTTPS จากคลาส HttpClient และ java.net เพราะ OpenSSL ในกระบวนสร้างเลขสุ่มนั้นใช้กระบวนการอื่น สำหรับผู้ที่ใช้คลาส SecureRandom, KeyGenerator, KeyPairGenerator, KeyAgreement, และ Signature นั้นควรสำรวจความปลอดภัยและเตรียมการแก้ไขทั้งหมด

นักวิจัยของ Kaspersky ค้นพบว่ามีมัลแวร์หลายตัวถูกควบคุมและสั่งการผ่าน Google Cloud Messaging ระบบรับ-ส่งข้อความสำหรับแอพของ Android

Google Cloud Messaging หรือที่เรียกโดยย่อว่า GCM เป็นระบบรับ-ส่งข้อความที่ให้บริการโดย Google เพื่อให้นักพัฒนาแอพสามารถสั่งการให้แอพบนอุปกรณ์ Android สามารถส่งข้อความออกได้และรับข้อความต่างๆ เข้าสู่อุปกรณ์ได้ด้วยเช่นกัน

ตัวอย่างเช่น นักพัฒนาสามารถส่งข้อความที่มีขนาดข้อมูล 4KB ไปสู่แอพของตนที่อยู่บนอุปกรณ์ Android ทุกเครื่องได้ โดยการส่งข้อความนั้นผ่านเครื่องเซิร์ฟเวอร์ของ Google ที่ติดตั้ง GCM เอาไว้ ซึ่งข้อความที่ GCM อนุญาตให้ส่งได้นั้น อาจมีองค์ประกอบเป็นลิงก์, ข้อความโฆษณา หรือคำสั่งอื่นใด

แอพพลิเคชั่นบัญชี BitCoin บนแอนดรอยด์จำนวนมากเจอปัญหาบั๊กตัวสร้างตัวเลขสุ่ม ทำให้บัญชีที่สร้างจากแอพพลิเคชั่นเหล่านี้อยู่ในความเสี่ยงทั้งหมด โดยผู้ผลิตรายหลักได้แก้ปัญหาแล้ว โดยแอพพลิเคชั่นเหล่านี้ได้แก่

กระบวนการเข้ารหัสที่มีอยู่ในโลกมากมายและถูกพัฒนาอย่างต่อเนื่องจนทุกวันนี้ซับซ้อนในระดับที่ต้องการความรู้คณิตศาสตร์ระดับสูง เหตุผลสำคัญของการพัฒนาเหล่านี้คือการแข่งขันกับกระบวนการถอดรหัสที่พัฒนาอย่างต่อเนื่องเช่นเดียวกันศาสตร์ที่ว่าด้วยการถอดรหัสนี้เรียกว่า Cryptanalysis เป็นศาสตร์ที่อยู่คู่กับการเข้ารหัสมานาน เทคนิคและกระบวนการก็ซับซ้อนและใช้ในกรณีเฉพาะบางอย่างไปเรื่อยๆ

ในบทความนี้เราจะยกตัวอย่างบางเทคนิคที่ใช้กันในการถอดรหัส

ความถี่ของข้อมูล (Frequency Counting)

นักวิจัยด้านความปลอดภัยจากบริษัท Trustwave เตือนว่าส้วมอัตโนมัติรุ่น Satis จากบริษัท Inax (ผู้ผลิตเครื่องสุขภัณฑ์รายใหญ่ของญี่ปุ่น) อาจโดนโจมตีจากคนอื่นผ่านแอพชื่อ My Satis ได้ เนื่องจากส้วมตัวนี้สามารถเชื่อมต่อกับแอพดังกล่าวผ่านบลูทูธแล้วสั่งให้กดน้ำ, ฉีดน้ำล้างเวลาถ่ายเบาหรือหนัก, เป่าลมอุ่นหรือแม้กระทั่งดูบันทึกการถ่ายอุจจาระได้

ทาง Trustwave ได้เตือน Inax ถึงสามครั้งแล้วตั้งแต่เดือนมิถุนายนที่ผ่านมา ถึงตอนนี้ก็เป็นเวลาที่จะเผยแพร่ให้สาธารณชนได้รับรู้กัน

จากข่าว พบช่องโหว่บน Chrome เผยรหัสผ่านที่ถูกบันทึกไว้, กูเกิลบอกรับทราบแต่ไม่แก้ ทางทีมพัฒนาของ Google Chrome ได้ออกมาชี้แจงเหตุผลแล้ว

หนังสือพิมพ์ The Guardian รายงานว่า มีการค้นพบช่องโหว่ในเบราว์เซอร์ Chrome ที่ยอมให้ใครก็ได้ที่สามารถเข้าถึงคอมพิวเตอร์ได้สามารถดูรหัสผ่านเพื่อการล็อกอินเข้าโปรไฟล์อีเมล เว็บสังคมออนไลน์ ฯลฯ จากหน้าการตั้งค่าได้โดยที่ไม่ต้องระบุตัวตนก่อน

การเรียกดูรหัสผ่านนั้นก็ง่ายแสนง่าย โดยผู้ใช้เพียงไปที่หน้า Settings เลือกมุมมองการตั้งค่าขั้นสูง ไปที่ส่วน Passwords and forms คลิกปุ่ม Manage saved passwords เพื่อเข้าส่วนจัดการรหัสผ่านที่ถูกบันทึกไว้ ถึงแม้รหัสผ่านจะถูกซ่อนไว้ในรูปดอกจัน แต่หากผู้ใช้คลิกที่รหัสผ่านและคลิกปุ่ม Show ก็จะเห็นรหัสผ่านได้เลย

OpenX ซอฟต์แวร์โอเพนซอร์สสำหรับทำเซิร์ฟเวอร์โฆษณา พบว่าเว็บไซต์ openx.org ของตัวเองถูกเจาะ และไฟล์ไบนารีของ OpenX 2.8.10 เวอร์ชันล่าสุดที่แจกบนเว็บไซต์ถูกเปลี่ยนเป็นเวอร์ชันที่ฝังโค้ด backdoor เข้ามาด้วย

โครงการ OpenX จึงออกเวอร์ชัน 2.8.11 และเตือนให้ผู้ใช้ OpenX 2.8.10 อัพเดตกันทันที ส่วน OpenX รุ่นเสียเงิน (OpenX Enterprise หรือ OpenX Market) ไม่มีปัญหาจากกรณีนี้

ที่น่ากลัวคือ OpenX 2.8.10 ถูกเจาะตั้งแต่เดือนพฤศจิกายน 2012 ซึ่งแปลว่าระหว่างนี้มีผู้ใช้ OpenX จำนวนมากทั่วโลกที่มีรูรั่วให้แฮ็กเกอร์เข้าไปล้วงข้อมูลได้นั่นเองครับ

ทีมวิจัยความปลอดภัยจากบริษัท artemis นำเสนอความก้าวหน้าในวงการรหัสวิทยาในช่วงหลัง และคาดว่ากระบวนการแยกตัวประกอบตัวเลขขนาดใหญ่นั้นน่าจะมีการปรับปรุงประสิทธิภาพขึ้นอย่างมากภายในห้าปีข้างหน้า

กระบวนการแยกตัวประกอบเป็นกระบวนการสำคัญในการเข้ารหัสแบบกุญแจไม่สมมาตร RSA และการแลกเปลี่ยนกุญแจ (key exchange) แบบ Diffie Hellman โดย RSA นั้นประกาศ "ผลคูณ" ของเลขจำนวนเฉพาะสองจำนวนเป็นกุญแจสาธารณะ โดยเชื่อว่าการแยกตัวประกอบนั้นทำได้ยาก โดยยังไม่มีการพิสูจน์ว่าการแยกตัวประกอบนั้นเป็นงาน "ยาก" ในทางคณิตศาสตร์ จริงหรือไม่ และความเชื่อใจใน RSA ทุกวันนี้ก็มาจากความเชื่อว่ากระบวนการที่มีประสิทธิภาพนั้นยังไม่ถูกค้นพบ

จากข่าว FBI ใช้ช่องโหว่ Firefox ตามจับกุมผู้แพร่กระจายภาพอนาจารเด็กใน Tor ถือเป็นปัญหาสำคัญสำหรับเครื่องมือนิรนามอย่าง Tor ที่มีช่องโหว่จนตามเจอตัวผู้ใช้งานได้

ล่าสุด Tor รุ่นผนวกรวมเบราว์เซอร์ (Browser Bundle) ก็ออกอัพเดตแก้ช่องโหว่นี้แล้ว โดยโครงการ Tor เองแนะนำให้ผู้ใช้อัพเดตซอฟต์แวร์เป็นรุ่นล่าสุดเสมอ, ปิดการทำงานของ JavaScript ถ้าไม่จำเป็น, ควรใช้ระบบปฏิบัติการแบบ live image แทนการติดตั้งระบบปฏิบัติการตามปกติ, และหลีกเลี่ยงการท่องเว็บบนวินโดวส์

Twitter รองรับการล็อกอินสองชั้นหรือ two-step verification มาได้สักระยะหนึ่งแล้ว แต่กระบวนการยืนยันตัวตนยังจำกัดเฉพาะ SMS เท่านั้น ทำให้ยุ่งยากพอสมควรสำหรับคนที่อยู่ต่างประเทศ-ใช้งานหลายบัญชี-มือถือหาย

วันนี้ Twitter เพิ่มทางเลือกในการยืนยันตัวตนผ่านแอพ Official Twitter ของตัวเอง (เบื้องต้นใช้ได้บน iOS/Android ที่มีอัพเดตวันนี้เช่นกัน) กระบวนการคือเมื่อเราล็อกอินบนเว็บไซต์ twitter.com แล้วแอพจะขึ้นข้อความแจ้งเตือนให้ยืนยันว่าเป็นตัวเราจริงๆ หรือไม่ (จำเป็นต้องใช้อินเทอร์เน็ตด้วย)

Twitter for iOS/Android รุ่นล่าสุดยังเพิ่มหน้า Gallery เมื่อค้นหารูปภาพ และช่วยแนะนำ social context เวลาค้นหาข้อมูลด้วย

จากข่าวเก่าที่มีการอ้างอิงว่า FBI เป็นผู้ใช้ช่องโหว่ของ Firefox ในการจับกุมผู้แพร่กระจายภาพอนาจารเด็กใน Tor นักพัฒนาด้านความปลอดภัย Vlad Tsyrklevich ได้ทำการวิศวกรรมย้อนกลับกับตัว payload ซึ่งเป็นโปรแกรมขนาดเล็กที่มักใช้ในการเข้าถึงคอมพิวเตอร์เป้าหมายเมื่อมีการแฮกสำเร็จและพบว่า มีการให้ payload เชื่อมต่อไปยังไอพี 65.222.202.54:80 เนื่องจากเมื่อมีการเชื่อมต่อผ่าน HTTP โดยตรงหมายความว่าผู้เชื่อมต่อจะต้องเปิดเผยไอพีที่แท้จริงออกมาด้วย

ผู้ให้บริการทั่วโลกมีแนวทางการให้รางวัลกับผู้ที่พบบั๊กกันมากขึ้นเรื่อยๆ เฟซบุ๊กเองแม้มีโครงการนี้มานานแต่ก็ไม่ได้เปิดเผยออกมาภายนอกมากนัก รายงานล่าสุดระบุว่ามีการจ่ายเงินรางวัลไปแล้วกว่าล้านดอลลาร์ สรุปเป็นรายการได้ดังนี้