ในงานสัมมนาว่าด้วยเรื่องความปลอดภัยที่ชื่อ Hack in the Box ซึ่งจัดขึ้นใน Amsterdam เมื่อไม่นานมานี้ มีการเปิดเผยความจริงที่น่าสนใจเรื่องหนึ่งว่าการแฮ็กระบบควบคุมเครื่องบินโดยสารด้วยสมาร์ทโฟน Android เพียงหนึ่งเครื่องนั้นสามารถทำได้จริงโดยนักวิจัยด้านความปลอดภัย

Hugo Teso นักวิจัยด้านความปลอดภัยใช้สมาร์ทโฟนยี่ห้อ Samsung รุ่นหนึ่งทำการแฮ็กและเข้ายึดระบบควบคุมเครื่องและระบบการแสดงผลของหน้าจอในห้องควบคุมการบิน โดยเขาสามารถเปลี่ยนเส้นทางการบิน และความเร็วในการเดินทางโดยใช้เซ็นเซอร์วัดอัตราเร่ง (accelerometer) ที่อยู่ในสมาร์ทโฟน หรือกล่าวอีกอย่างได้ว่าเขาสามารถแก้ไขข้อมูลเกี่ยวกับระบบนำร่องของเครื่องบินได้แทบทุกอย่าง

เว็บไซต์ LiveSide ได้รับข้อมูลระบบล็อกอินสองชั้น (two-step authentication) เพื่อเข้าสู่บริการจากไมโครซอฟท์มา โดยหลักการทำงานระบบดังกล่าวนั้น หลังจากผู้ใช้ตั้งค่าใช้ล็อกอินสองชั้นแล้วเมื่อล็อกอินจากอุปกรณ์ใดที่ไม่ได้ถูกระบุว่าเป็นอุปกรณ์ที่เชื่อถือได้ (trusted PC) จะต้องกรอกรหัสที่ถูกสุ่มแฮชอิงตามเวลามา จากแอพ Authenticator บนมือถือ

แม้ปัญหาความปลอดภัยจะเริ่มต้นในยุคแรกๆ ในโลกด้วยปัญหา buffer overflow แต่เมื่อโลกเข้าสู่ยุคของเว็บ และโดยเฉพาะเมื่อเว็บเริ่มไม่ใช่ไฟล์ html เปล่าๆ แต่เป็นเว็บที่สามารถปรับตามผู้ใช้งานได้ เริ่มจากยุคของ CGI ที่เป็นโปรแกรมภาษาต่างๆ เรื่อยมาถึงเว็บเซิร์ฟเวอร์แบบอื่นไม่ว่าจะเป็น J2EE หรือระบบ fastcgi ปัญหาความปลอดภัยของเว็บก็กลายเป็นปัญหาใหญ่ที่โลกเจอกันเรื่อยมาจนทุกวันนี้

ปัญหา script injection หรือการใส่สคริปต์เข้ามาในเซิร์ฟเวอร์นั้นเป็นการโจมตีที่ตรงตัวกับชื่อของมัน เมื่อเซิร์ฟเวอร์เปิดให้อัพโหลดไฟล์เข้าไปยังเซิร์ฟเวอร์ ไม่ว่าจะเป็นการอัพโหลดภาพ หรือการอัพโหลดไฟล์อื่นๆ ในเว็บเซิร์ฟเวอร์ที่รันไฟล์ภาษาสคริปต์นั้น โดยทั่วไปแล้วจะถูกคอนฟิกให้รันทุกไฟล์สคริปต์ เช่น เว็บเซิร์ฟเวอร์ Apache ที่ติดตั้ง PHP ทุกวันนี้จะถูกคอนฟิกให้รันทุกไฟล์ที่ลงท้ายชื่อไฟล์ด้วย ".php"

WordPress.com เป็นบริการออนไลน์รายล่าสุดที่เริ่มใช้ระบบล็อกอินสองชั้น (two-factor authentication)

WordPress.com เรียกบริการนี้ว่า Two Step Authentication โดยเบื้องต้นเป็นบริการเสริมที่ต้องเปิดใช้เองในหน้า Settings > Security ส่วนกระบวนการล็อกอินสองชั้นก็เหมือนกับรายอื่นๆ คือใช้รหัสผ่านควบคู่ไปกับ One-time Password (OTP)

จุดที่น่าสนใจคือ WordPress.com เลือกได้ว่าจะส่ง OTP ผ่านทาง SMS ตามปกติ หรือจะสร้างรหัสผ่านจากแอพ Google Authenticator ที่ใช้ได้บน Android, iOS และ BlackBerry อีกทางเลือกหนึ่งด้วย

หลังจากที่มีข่าวช่องโหว่หน้าจอล็อครหัสใน iOS 6 และ Samsung Galaxy Note II ทาง Amazon เองก็คงกลัวผู้ใช้ Kindle จะไม่มีอะไรทำขณะอยู่หน้าล็อกรหัส เตรียมของเล่นไว้ให้เรียบร้อยครับ

หลายครั้งที่ปัญหาความปลอดภัย เกิดจากระบบรักษาความปลอดภัยหลายตัวทำงานขัดแย้งกันเอง โดยอาศัยความแตกต่างกันของระดับสิทธิ์แต่ละตัว

วันที่ 30 มีนาคมที่ผ่านมาเว็บไซต์หลักของนักร้องสาวชื่อดัง Jessie J ได้ถูกแฮกโดยการใส่ข้อความที่ไม่เหมาะสมเกี่ยวกับนักร้องสาว Lady Gaga ลงไปในเว็บว่า “The whole Universal Republic (Universal Music) can suck Lady Gaga’s d**k” โดยผลงานการแฮกครั้งนี้เป็นของกลุ่มที่มีชื่อว่า ‘Killuminati’ครับ

มีรายงานว่าผู้ใช้ iMessage บนระบบ iOS โดนถล่มด้วยข้อความจนแอพใช้งานไม่ได้ ต้นเหตุของปัญหาน่าจะเกิดจากการส่งข้อความด้วยแอพ Messages บน OS X (ที่ส่งข้ามกับ iMessage ได้) เป็นจำนวนมากด้วย AppleScript

กลุ่มผู้ใช้ที่โดนถล่มเป็นนักพัฒนาแอพบน iOS ที่ถูกกลุ่มป่วนทราบ iMessage ID และส่งข้อความมาให้ชุดใหญ่ ตัวอย่างข้อความได้แก่ "We are Anomymous, We are legion, We do not forget, We do not forget, Expect us." ซึ่งยังไม่แน่ชัดว่ามาจากกลุ่มแฮ็กเกอร์ Anonymous จริงหรือไม่

ผมได้รับข่าวสารจากทางทวิตเตอร์ว่าในช่วงเที่ยงคืนของวันที่ 29 มีนาคม ได้มีแฮกเกอร์ทำการเจาะระบบของเว็บไซต์กระทรวงศึกษาธิการ และได้ทำการแก้บริเวณหน้าเว็บไซต์โดยขึ้นข้อความว่า "พวกเราเด็กรุ่นใหม่ กรุณาสอนในเรื่องที่ต้องใช้ในอนาคต ไม่ใช่สอนเอาไปแค่สอบแข่งขัน BY MRHOP3R" ซึ่งในตอนนี้ก็เป็นที่คาดเดากันไปต่างๆ นานาว่าแฮกเกอร์คนนี้ใช้วิธีหรือช่องโหว่ใดในการเจาะระบบ

บริษัทความปลอดภัย Doctor Web ของรัสเซียออกมาเตือนภัยโทรจันชื่อ Trojan.Yontoo.1 ซึ่งจะหลอกผู้ใช้ Mac OS X ให้ติดตั้งโทรจันตัวนี้ลงไปในฐานะปลั๊กอินของเบราว์เซอร์สำหรับดูเทรลเลอร์ภาพยนตร์หรือปรับปรุงคุณภาพวิดีโอ (ใช้ชื่อหลอกๆ ว่า Free Twit Tube)

ถ้าผู้ใช้งานหลงเชื่อและติดตั้งมันลงไปในเครื่อง เบราว์เซอร์ในเครื่องไม่ว่าจะเป็น Safari, Firefox, Chrome จะได้รับผลกระทบทั้งหมด โทรจันตัวนี้จะได้ข้อมูลการท่องเว็บของเราไป และแอบฝังโฆษณาลงในเว็บไซต์โดยที่เราไม่รู้ตัว ซึ่งเว็บไซต์ apple.com ของแอปเปิลเองก็โดนฝังโฆษณาด้วย

โทรจันตัวนี้ไม่ได้เจาะผ่านช่องโหว่ของ Mac OS X แต่ใช้วิธี social engineering หลอกผู้ใช้ให้ติดตั้ง ตัวโทรจันมีเวอร์ชันบนวินโดวส์ด้วยเช่นกันครับ

แอปเปิลตามหลังผู้ให้บริการออนไลน์ชื่อดังๆ ที่นำร่องระบบล็อกอินสองชั้น (two-step authentication) กับบริการ iCloud และ Apple ID ของตัวเองแล้ว

ในเบื้องต้นระบบล็อกอินสองชั้นของแอปเปิลยังเป็นแค่ทางเลือกให้ผู้ใช้ ไม่ได้บังคับใช้งาน ส่วนวิธีการก็คล้ายๆ ระบบล็อกอินของธนาคารออนไลน์ในปัจจุบัน นั่นคือล็อกอินด้วยรหัสผ่านปกติหนึ่งชั้น จากนั้นแอปเปิลจะส่งโค้ด 4 ตัวมาทาง SMS หรือ Find My iPhone มายังอุปกรณ์ iOS ที่เรายืนยันได้ว่าเป็นของเรา (trusted device) ให้ยืนยันตัวตนอีกครั้งหนึ่ง

การล็อกอินสองชั้นจะถูกใช้ต่อเมื่อเราเข้าไปแก้ไขข้อมูลในหน้า My Apple ID หรือสั่งซื้อสินค้าจาก iTunes, App Store, iBookstore เท่านั้น

ผู้อ่าน Blognone คงรู้จักหรือเคยใช้บริการ Google Public DNS (8.8.8.8 และ 8.8.4.4) กันมาบ้าง

ล่าสุดกูเกิลประกาศว่าบริการ Public DNS ของตัวเองรองรับการตรวจสอบและยืนยันตัวตนของเซิร์ฟเวอร์ DNS หรือที่รู้จักกันในชื่อ DNSSEC validation แล้ว

DNSSEC เป็นส่วนขยายด้านความปลอดภัยของโพรโทคอล DNS เพื่อช่วยแก้ปัญหาการปลอมเซิร์ฟเวอร์ DNS ต้นทาง เพราะเครื่องลูกข่ายที่ขอข้อมูล DNS จะมีวิธีตรวจสอบว่าเซิร์ฟเวอร์ (ในที่นี้คือ Google Public DNS) เป็นเครื่องจริงหรือไม่ และโดนแอบหยอดข้อมูลระหว่างทาง (DNS cache poisoning) ระหว่างทางหรือไม่

หลังผ่านมาได้สองสัปดาห์จากมีคนพบช่องโหว่บน iOS 6.1 ทำให้เข้าถึงข้อมูลได้แม้ iPhone ตั้งรหัสล็อค ทางแอปเปิลได้ปล่อยอัพเดตของ iPhone เพื่ออุดช่องโหว่ดังกล่าว และในอัพเดตเวอร์ชั่นนี้ได้มีการปรับปรุงเพิ่มความถูกต้องของแผนที่ประเทศญี่ปุ่นมากขึ้น

ในไทยก็เห็นแจ้งเตือนการอัพเดตแล้วครับ สามารถอัพเดตกันได้เลย

ที่มา - Apple Support

สำหรับผู้ที่มีอาชีพในการทดสอบเจาะระบบเพื่อตรวจสอบความปลอดภัย รวมไปถึงผู้ที่สนใจย่อมคุ้นเคยกับชื่อ BackTrack ดีอยู่แล้ว มันเป็นระบบปฏิบัติการลินุกซ์ซึ่งได้รับความนิยมอย่างแพร่หลายในการใช้งานด้านความปลอดภัย สำหรับตอนนี้ทาง Offensive Security ทีมผู้พัฒนา BackTrack ได้เปิดตัวระบบปฏิบัติการขึ้นใหม่ภายใต้ชื่อ Kali Linux โดยมุ่งไปยังกลุ่มเป้าหมายระดับในธุรกิจ

Symantec ได้ค้นพบหลักฐานใหม่ที่เชื่อมโยงกับข้อมูลของมัลแวร์ Stuxnet ว่าข้อมูลล่าสุดเบื้องต้นนั้น Stuxnet เวอร์ชัน 1.001 ถูกสร้างขึ้นในปี 2009 แต่หลักฐานใหม่พบว่า Stuxnet เคยมีเวอร์ชัน 0.5 ในช่วงปี 2007-2009 ดังนั้นการพัฒนามัลแวร์ตัวนี้น่าจะมาก่อนปี 2007 เสียอีก

เว็บไซต์ NIST National Vulnerability Database (NVD) ถูกแฮกโดยแฮกเกอร์นิรนามในช่วงสัปดาห์ที่แล้ว อ้างอิงจาก +Kim Halavakoski CSO ของ Crosskey Banking Solutions และ BlackCat Security ว่าเขาได้ทำการเมลสอบถามไปยังผู้ดูแลระบบของ NIST ถึงข้อความการปิดปรับปรุงชั่วคราวของทางเว็บไซต์ว่าเกิดจากสาเหตุใด ซึ่งภายในเมลตอบกลับจาก Gail Porter ซึ่งเป็นโฆษกของทาง NIST ว่าไฟร์วอลได้ทำการตรวจพบการเชื่อมต่อที่น่าสงสัย แล้วจึงทำการบล็อคการเข้าถึงจากภายนอกทำให้เว็บไซต์ไม่สามารถเข้าถึงได้

ทีมนักวิจัยจากอิสราเอล Skycure ได้เปิดเผยช่องโหว่ที่อนุญาตให้แฮกเกอร์สามารถควบคุมและขโมยข้อมูลจากอุปกรณ์ที่ใช้ iOS ได้ โดยช่องโหว่นี้อยู่ในไฟล์ mobileconf ซึ่งถูกใช้โดยผู้ให้บริการของโทรศัพท์มือถือในการเข้าจัดการระบบในสิทธิ์ของผู้ดูแล รวมไปถึงข้อมูลการใช้งานเครือข่ายไร้สายต่างๆ ซึ่งมักถูกนำไปใช้ในการออกแพตซ์และอัพเดตของทางแอปเปิลและผู้ให้บริการเอง

พบช่องโหว่แบบ backdoor ในเราท์เตอร์ TP-Link TL-WDR4300 และ TL-WR743ND มีช่องโหวทำให้สร้าง URL ที่สั่งให้เราท์เตอร์ดาวน์โหลดไฟล์ทาง TFTP ขึ้นมาเพื่อรันในสิทธิ root

บั๊กนี้มีผลให้แฮกเกอร์แม้อยู่ภายนอกก็สามารถโจมตีเราท์เตอร์ได้หากเปิดพอร์ต HTTP บนขา WAN เอาไว้ และแม้จะปิดพอร์ตบนขา WAN ก็ยังมีความเสี่ยงบ้างที่แฮกเกอร์จะอาศัยช่องโหว่ CSRF เพื่อเปิดช่องโหว่นี้ขึ้นมาได้ (แต่จะอัพโหลด TFTP ต้องใช้ช่องโหว่อื่น)

ปัญหานี้ถูกแจกไปยังทาง TP-Link เมื่อวันที่ 12 กุมภาพันธ์ที่ผ่านมา จนกระทั่งเมื่อครบ 30 วันหลังการแจ้งแล้วไม่มีการตอบกลับ ทีมงานจึงเปิดเผยปัญหาสู่สาธารณะ

ที่มา - Sekurak

Matthew Keys ผู้ช่วยบรรณาธิการโซเชียลมีเดียของสำนักข่าวรอยเตอร์สถูกตั้งข้อหาช่วยเหลือแฮ็กเกอร์ในกลุ่ม Anonymous เพื่อเข้าไปยัง CMS ของ Tribune Company ที่เป็นเจ้าของหลายสื่อ รวมถึง Los Angeles Times เพื่อโพสข่าวปลอมบนหน้าเว็บ

Matthew Keys เคยทำงานเป็นเว็บโปรดิวเซอร์ของสถานี KTXL FOX 40 ในเครือ Tribune Company ในคำฟ้องของสำนักงานอัยการ ระบุว่าเขาเป็นผู้ใช้ที่ชื่อว่า AESCracked ที่ระบุตัวว่าเคยใช้งาน CMS ของ Tribune Company มาก่อนและสร้างชื่อผู้ใช้เตรียมไว้ จากนั้นจึงนำรหัสผ่านไปส่งให้แฮ็กเกอร์ที่ใช้ชื่อ sharpie ซึ่งต่อมาถูกจับ และได้รับข้อเสนอจาก FBI แลกการลดโทษกับการช่วยจับแฮกเกอร์รายอื่นๆ ในกลุ่ม LulzSec และ AntiSec อีกหลายคน

แพตซ์ MS13-027 เพิ่งออกมาเมื่อสองวันก่อน ทางไมโครซอฟท์ก็ออกมาอธิบายว่าบั๊กเป็นบั๊กในการอ่าน USB descriptors ที่อุปกรณ์ USB ทุกตัวจะส่งให้กับเครื่องแม่ (USB Host) เพื่อประกาศตัวเองว่าเป็นอุปกรณ์ชนิดใด

บั๊กนี้ทำให้แฮกเกอร์สามารถสร้างอุปกรณ์ USB ที่ประกาศตัวเองในรูปแบบที่มุ่งร้าย สามารถส่งโค้ดเข้ามารันในเครื่องได้ ที่แย่กว่านั้น คือ กระบวนการตรวจสอบอุปกรณ์ USB นั้นอยู่ในเคอร์เนล โค้ดที่ส่งเข้ามาจึงถูกรันในสิทธิเคอร์เนลไปด้วย โดยผู้ใช้ไม่ต้องรันหรือคลิกใดๆ และแม้แต่กรณีที่ผู้ใช้ยังไม่ได้ล็อกอินหรือล็อกหน้าจอไว้ แฮกเกอร์ก็ยังโจมตีได้

FBI เร่งตรวจสอบกรณีที่มีแฮกเกอร์ได้ทำการเปิดเผยข้อมูลสำคัญของทั้งดารานักแสดง เจ้าหน้าที่รัฐฯ ระดับสูง รวมไปถึงสตรีหมายเลขหนึ่ง ซึ่งข้อมูลดังกล่าวนั้นประกอบไปด้วยชื่อ วันเดือนปีเกิด หมายเลขประกันสังคม ที่อยู่ทั้งในอดีตและปัจจุบัน รวมไปถึงข้อมูลทางการเงินด้วย

โดยผู้ตกเป็นเหยื่อในครั้งนี้ได้แก่สตรีหมายเลขหนึ่ง Michelle Obama, Robert Mueller หัวหน้า FBI, Hillary Clinton รัฐมนตรีว่าการกระทรวงการต่างประเทศ รวมไปถึงศิลปิน ดาราและนักแสดงอย่าง Ashton Kutcher, Jay Z, Beyonce, Paris Hilton, Britney Spears เป็นต้น

ผู้ใช้ลินุกซ์คงคุ้นเคยกับข้อความอบรมเมื่อเรียกใช้โปรแกรม sudo ครั้งแรกกันดี (ความสามารถนี้ไม่ได้ถูกเปิดไว้แต่ต้นใน Ubuntu ครับ)

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

ข้อความนี้จะปรากฏให้เห็นเพียงแค่ครั้งแรกเท่านั้น โดยระบบจะจดบันทึกเวลาที่เราได้เรียกโปรแกรม sudo ลงในไฟล์ timestamp และจะไม่แสดงข้อความอบรมนี้อีกถ้าพบว่าไฟล์นี้มีอยู่

ผู้เชี่ยวชาญด้านความปลอดภัย Eric Romang พบช่องโหว่ใหม่ของ Java ที่เกี่ยวข้องกับใบรับรองดิจิทัล (digital certification)

ตามปกติแล้ว แอพเพล็ต Java ที่ถูก sign ด้วยใบรับรองดิจิทัลจะถูกมองว่าเชื่อถือได้ และสามารถทำงานได้ทันที (โดยผู้ใช้ไม่ต้องกดยินยอมก่อน) ในระดับความปลอดภัยแบบ High ซึ่งเป็นค่าดีฟอลต์ของ Java SE อยู่แล้ว

แต่ล่าสุดมีคนพบว่าแอพเพล็ตที่ถูก sign ด้วยใบรับรองดิจิทัลจากบริษัทที่มีตัวตนจริงแห่งหนึ่ง กลับเป็นมัลแวร์ที่ปลอมตัวมาด้วยใบรับรองที่ถูกขโมยไป ทำให้มัลแวร์ตัวนี้สามารถทำงานได้ทันทีถ้าหากผู้ใช้เข้าเว็บไซต์ที่ฝังแอพเพล็ตเอาไว้ โดย Java จะไม่ขึ้นคำเตือนใดๆ เพราะถือว่าเป็นแอพเพล็ตที่เชื่อถือได้

แอปเปิลเปลี่ยนมาใช้วิธีส่งข้อมูลแบบเข้ารหัส HTTPS สำหรับการเชื่อมต่อทั้งหมดของ App Store บนแพลตฟอร์ม iOS แล้ว

ก่อนหน้านี้การส่งข้อมูลระหว่าง App Store ไปยังอินเทอร์เน็ตไม่ถูกเข้ารหัส (หรือเข้ารหัสเพียงบางส่วน) ทำให้ผู้ใช้งานมีโอกาสโดนดักข้อมูลระหว่างทาง (เช่น Wi-Fi สาธารณะ หรือ spoofing) และนำข้อมูลไปใช้งานต่อได้ทันที

การเปลี่ยนแปลงครั้งนี้ย่อมช่วยให้ผู้ใช้ iOS ปลอดภัยกันมากขึ้นครับ

ที่มา - Ars Technica

งาน Pwn2Own เป็นงานแข่งขันเจาะระบบรักษาความปลอดภัยของเบราว์เซอร์ที่จัดมาแล้วหลายปี ในปีนี้เบราว์เซอร์ทั้งหมดล้วนไม่พ้นมือของนักวิจัยด้านความปลอดภัยไปได้

Chrome บน Windows นั้นถูกนักวิจัยจาก MWR Labs สองคนคือ Nils (@nils) และ Jon (@securitea) แฮ็กทะลุจาก sandbox ของ Chome เองออกมารันคำสั่งในโปรเซสของตัวเรนเดอร์ได้สำเร็จ ต่อจากนั้นยังอาศัยช่องโหว่ในเคอร์เนลของวินโดวส์เข้าไปรันคำสั่งในระดับ system ได้อีกด้วย โดยต้องอาศัยการหลบระบบรักษาความปลอดภัยทั้ง ASLR ที่ซ่อนแอดเดรสของฟังก์ชั่นต่างๆ เอาไว้ และ DEP ที่ป้องกันการรันคำสั่งนอกพื้นที่ที่กำหนด

ทีมวิจัยจากมหาวิทยาลัย Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) ในเยอรมันค้นพบวิธีเลี่ยงระบบเข้ารหัสข้อมูลที่ถูกเพิ่มมาใน Android 4.0 Ice Cream Sandwich โดยการนำมือถือระบบปฏิบัติการ Android (ในที่นี้ใช้ Galaxy Nexus) ไปแช่แข็งจนกระทั่งอุณหภูมิของเครื่องต่ำกว่า -10 °C แล้วถอดและใส่แบตเตอรี่อย่างรวดเร็ว ส่งผลให้เครื่องเกิดช่องโหว่ นำไปสู่การแทรกแซงให้รันซอฟต์แวร์ภายนอกแทนที่ซอฟต์แวร์ Android ในเครื่อง กระบวนการดังกล่าวทำให้เราสามารถคัดลอกข้อมูลในเครื่องออกไปวิเคราะห์ถอดรหัสในคอมพิวเตอร์เครื่องอื่นได้