Valve ยืนยันข่าวว่าร้านขายเกมออนไลน์ Steam ถูกแฮ็ก โดยแฮ็กเกอร์ได้ "สิทธิเข้าถึง" ฐานข้อมูลที่ถูกเข้ารหัสไป แต่ไม่สามารถยืนยันได้ว่าแฮ็กเกอร์ได้ดาวน์โหลดข้อมูลออกมา และสามารถถอดรหัสฐานข้อมูลนี้หรือไม่

ฐานข้อมูลนี้เก็บชื่อผู้ใช้, รหัสผ่าน (ที่ถูกเข้ารหัสและ salted), ประวัติการซื้อเกม, อีเมล, ที่อยู่ออกใบเสร็จ, ข้อมูลบัตรเครดิต (ที่ถูกเข้ารหัส)

Valve บอกว่า ณ ตอนนี้ยังไม่พบหลักฐานว่าข้อมูลบัตรเครดิตและข้อมูลบ่งชี้ตัวตนต่างๆ ถูกเจาะไปด้วย แต่ก็จะสืบสวนเรื่องนี้ต่อไป

Valve เตือนให้ผู้ใช้ Steam เปลี่ยนรหัสผ่าน และบังคับให้ผู้ใช้ Steam forum (ที่ถูกเจาะก่อนหน้านั้น และมีฐานข้อมูลแยกกัน) เปลี่ยนรหัสผ่านทุกคน

ผู้อ่าน Blognone คงคุ้นชื่อของ Charlie Miller แฮ็กเกอร์-ผู้เชี่ยวชาญด้านความปลอดภัยที่ชนะการแข่ง Pwn2Own หลายครั้ง (ดูข่าวเก่าในหมวดกันเอง) Miller เชี่ยวชาญเทคโนโลยีของฝั่งแอปเปิล เคยเจาะได้ทั้ง Safari และ iOS 4 รับของรางวัลเป็นผลิตภัณฑ์ของแอปเปิล (ที่ตัวเองเจาะได้) รวมกันแล้วหลายชิ้น

ล่าสุด Miller ไปพูดที่งานสัมมนาด้านความปลอดภัย SysCan ที่ไต้หวัน และเขาได้เดโมการเจาะช่องโหว่ของระบบ code signing ใน iOS ให้แก่ผู้เข้าร่วมงานดู

แนวทางการพัฒนาให้แอนดรอยด์ได้รับการยอมรับในตลาดองค์กรนั้นเป็นแนวทางที่ชัดเจน แต่ฟีเจอร์ที่ถูกเรียกร้องมายาวนานอย่างการรองรับ Cisco AnyConnect ที่ต้องการโปรโตคอล IPSec โดยฟีเจอร์นี้ถูกเรียกร้องมาตั้งแต่ปี 2009 หรือช่วงแรกๆ ของแอนดรอยด์

บั๊กนี้ถูกปล่อยให้อยู่ในสถานะ New มาตลอดเวลาจนหลายคนบ่นว่ากูเกิลปล่อยบั๊กนี้โดยไม่สนใจ แต่ล่าสุดหลังการปล่อย Android 4.0 Ice-Cream Sandwich กูเกิลก็ออกมาบอกสั้นๆ ว่าบั๊กนี้ถูกแก้ไปแล้ว

อย่างไรก็ดีแม้บั๊กนี้จะถูกแก้ไปแล้ว แต่ก็แสดงความ "ปิด" ของแอนดรอยด์ที่ไม่มีการเปิดเผยว่าบั๊กนี้มีการรับไปทำแล้วหรืออยู่ระหว่างการแก้ไข แต่บั๊กถูกปล่อยในสถานะ New แล้วเปิดเผยมาอีกครั้งว่าแก้แล้ว

หลังจาก Mac OS X เจอโทรจัน/มัลแวร์หลายตัวในช่วงหลัง (แมคไม่มีไวรัส?) ทางแอปเปิลก็ปรับข้อกำหนดให้แอพที่จะขายบนร้านออนไลน์ Mac App Store จะต้องทำงานในโหมด sandbox เพื่อจำกัดขอบเขตความเสียหาย ในกรณีที่แอพมีปัญหาด้านความปลอดภัย

เดิมทีแอปเปิลกำหนดเส้นตายไว้ที่เดือนพฤศจิกายนนี้ แต่ก็ตัดสินใจเลื่อนเป็นเดือนมีนาคม 2012 ด้วยเหตุผลว่านักพัฒนายังไม่พร้อม

DigiCert Sdn. Bhd เป็นหน่วยงานออกใบรับรองแบบตัวกลาง (Intermediate CA) ที่ได้รับการรับรองจาก Entrust และ Verizon มาอีกที แต่หลังจากพบการออกใบรับรองอย่างหละหลวมหลายใบจนมีการนำใบรับรองเหล่านั้นไปโจมตีผู้อื่น ทางมอซซิลล่าและไมโครซอฟท์ก็ประกาศยกเลิกสถานะของ CA นี้

ในประกาศเผยฟีเจอร์ใหม่ด้านความปลอดภัยของ Facebook เพื่อนปลดล็อกบัญชีของเราได้, ตั้งรหัสผ่านเพื่อล็อกอินผ่านแอพอื่น บริษัทยังได้เผยแพร่สถิติด้านความปลอดภัยและสแปมของตัวเอง เป็น infographic สวยงาม (ดูท้ายข่าว)

แผนภาพ infographic ชิ้นนี้แสดงให้เห็นกระบวนการด้านความปลอดภัยของ Facebook ตั้งแต่ล็อกอินยันล็อกเอาท์ รวมถึงอวดว่าข้อความใน Facebook มีสแปมเพียง 4% เมื่อเทียบกับอีเมลที่มีสแปมถึง 89%

จุดสำคัญคือ Facebook ระบุว่ามีการล็อกอินเพียง 0.06% ที่ถูกเจาะบัญชีในแต่ละวัน อย่างไรก็ตาม จำนวนเต็มของการล็อกอินต่อวันคือ 1 พันล้านครั้ง ถ้าคำนวณกลับมาเป็นตัวเลข จะได้ว่าบัญชีของ Facebook ถูกเจาะถึงวันละ 600,000 ครั้งเลยทีเดียว

ที่มา - Facebook, Sophos

เฟซบุ๊กได้เผยฟีเจอร์ใหม่ด้านความปลอดภัย ดังนี้

• Trusted Friends ให้ผู้ใช้เลือกเพื่อนที่จะสามารถปลดล็อกบัญชีของผู้ใช้เมื่อผู้ใช้ลืมรหัสผ่านและไม่สามารถเข้าถึงอีเมลเพื่อปลดล็อกรหัสผ่านด้วยตัวเองได้ โดยผู้ใช้สามารถระบุเพื่อนได้ 3-5 คน
• App Passwords ให้ผู้ใช้กำหนดรหัสผ่านเข้าแอพฯ อื่นที่ใช้บัญชีผู้ใช้เฟซบุ๊กในการล็อกอินได้

ที่มา: เฟซบุ๊ก ผ่าน Neowin.net

เมื่อเกือบสิบปีที่แล้ว มีโทรจันตัวหนึ่งชื่อว่า Tsunami (ESET เรียกว่า Linux/Tsunami, ส่วน Sophos เรียกว่า Troj/Kaiten) ออกอาละวาดบนระบบปฏิบัติการลินุกซ์ วันนี้คนใช้ Mac ไม่ต้องกลัวน้อยหน้าเพราะในที่สุดก็มีผู้ใจดีจับ Tsunami มาใส่ตะกร้าล้างน้ำแบ่งปันให้กับผู้ใช้ Mac OS X แล้ว

กลุ่มแฮกเกอร์ Anonymous เริ่มปฎิบัติการต่อสู้กับภาพอนาจารเด็กภายในเครือข่าย Tor ด้วยการปิดเว็บ Freedom Hosting ที่ให้บริการกับเว็บอนาจารเด็กกว่า 40 เว็บ

แม้รัฐบาลสหรัฐฯ จะพยายามอย่างหนักในการต่อต้านภาพอาจารเด็ก แต่เครือข่าย Tor นั้นสามารถปิดบังที่ตั้งที่แท้จริงของเซิร์ฟเวอร์และผู้เข้าใช้งานเว็บได้อย่างค่อนข้างสมบูรณ์ ทำให้รัฐบาลไม่สามารถปิดเว็บหรือตรวจจับผู้อัพโหลดภาพได้

กลุ่ม Anonymous อาศัยวิธีการนอกกฏหมายด้วยการเจาะเว็บผ่านช่องโหว่ PHP แล้วใช้ SQL injection เพื่อดึงฐานข้อมูลผู้ใช้ออกมา จากนั้นจึงยิง DoS เพื่อให้เซิร์ฟเวอร์ปิดตัวลง

ก่อนหน้านี้กูเกิลเคยเปิดหน้าค้นหาแบบเข้ารหัสผ่านทาง encrypted.google.com มาก่อนแล้ว แต่หลังจากนี้กูเกิลก็ระบุว่าแผนการคือเว็บค้นหาทั้งหมดสำหรับผู้ใช้ที่ล็อกอินกับ Google Account จะกลายเป็น HTTPS โดยผู้ใช้ไม่ต้องทำอะไรเพิ่มเติม

ผู้ใช้ที่ไม่ได้ล็อกอินสามารถใช้ https://www.google.com เพื่อค้นหาแบบเข้ารหัสได้เช่นกัน หรือหากกลัวลืมก็ควรใช้ SSL enforcer ทั้งหลายเพื่อให้แน่ใจว่าการค้นหาจะเข้ารหัสทุกครั้ง

ที่มา - Google Blog

บัตร Mifare เป็นบัตร RFID ที่ใช้กันในการตรวจคนเข้าออกประตูหรือเพื่อการจ่ายเงินที่ค่อนข้างปลอดภัย โดยมีการเก็บข้อความลับไว้ภายในตัวบัตรและอาศัยซีพียูภายในประมวลผลข้อความที่ส่งเข้าไปเพื่อยืนยันตัวตน แต่ล่าสุดนักวิจัยก็สามารถดึงเอาข้อความลับในตัวบัตรออกมาได้แล้ว ทำให้สามารถปลอมแปลงบัตรได้อย่างสมบูรณ์ ในบัตรรุ่น MF3ICD40 ของ NXP

เหตุการณ์ RSA ถูกแฮกข้อมูล SecurID จนกระทั่งต้องเปลี่ยนแท็กให้ลูกค้า มาถึงตอนนี้ทาง RSA ก็เริ่มพูดเรื่องนี้มากขึ้น โดยระบุว่าการโจมตีเกิดจากกลุ่มสองกลุ่มที่ปรกติทำงานแยกจากกัน แต่มาร่วมมือกันในครั้งนี้ โดยการเตรียมการนั้นต้องเตรียมการหลายอย่างและผู้ที่จะมีทรัพยากรระดับนี้ได้ต้องเป็นหน่วยงานระดับชาติเท่านั้น

ทาง RSA ไม่ได้พูดว่าชาติใดเป็นผู้อยู่เบื้องหลังการแฮกครั้งนี้

ย้ำก่อนข่าวว่านี่เป็น "แคมเปญการตลาด" ของไมโครซอฟท์ครับ

ไมโครซอฟท์เปิดเว็บชื่อ Your Browser Matters เพื่อโปรโมทฟีเจอร์ด้านความปลอดภัยของ IE ในด้านต่างๆ จุดที่น่าสนใจคงเป็นการ "ให้คะแนน" ด้านความปลอดภัยของเบราว์เซอร์ โดยแบ่งเป็น 4 ด้าน คือ ตรวจสอบการดาวน์โหลดไฟล์อันตราย, ตรวจสอบเว็บปลอม, ความปลอดภัยของตัวเบราว์เซอร์เอง (เช่น sandbox และตรวจสอบ extension) และป้องกันการโจมตีจากหน้าเว็บ

คะแนนเต็มของการทดสอบคือ 4 คะแนน ซึ่ง Firefox ได้ 2 คะแนน และ Chrome ได้ 2.5 คะแนน (ส่วน IE คงเดากันเองได้ว่ากี่คะแนน) ถ้าใช้เบราว์เซอร์นอกจากนี้จะไม่สามารถทดสอบได้ครับ

ยักษ์สีฟ้า IBM ประกาศข่าวซื้อกิจการบริษัท Q1 Labs ซึ่งทำซอฟต์แวร์ด้านความปลอดภัย โดยใช้การวิเคราะห์ข้อมูลที่เกี่ยวข้องกันมาช่วยประเมินความเสี่ยงด้านความปลอดภัยขององค์กร

ในโอกาสเดียวกันนี้ IBM ก็ประกาศตั้งฝ่ายธุรกิจด้านความปลอดภัย (IBM Security Systems) โดยรวมผลิตภัณฑ์ด้านความปลอดภัยที่เกี่ยวข้องมาไว้ด้วยกัน และมอบหมายให้ Brendan Hannigan ซีอีโอของ Q1 Labs เป็นหัวหน้า

ซอฟต์แวร์ของ IBM ที่จะเข้ามาอยู่ใต้ IBM Security Systems ได้แก่ Tivoli, Rational, i2 และซอฟต์แวร์อื่นๆ รวม 10 แบรนด์ นอกจากนี้ยังมีศูนย์วิจัย ศูนย์ปฏิบัติการด้านความปลอดภัยของ IBM อีกหลายแห่ง

ที่มา - IBM

หลังจากมีข่าวการค้นพบช่องโหว่สำคัญในมือถือเอชทีซีบางรุ่นไปไม่นาน ล่าสุดเอชทีซีได้ออกมายอมรับแล้วว่ามีช่องโหว่ดังกล่าวจริง แต่ก็ยืนยันว่าข้อมูลผู้ใช้จะไม่ได้รับผลกระทบจากซอฟต์แวร์ของเอชทีซีเอง หากจะมีปัญหาก็จะเกิดจากแอพฯ ไม่ประสงค์ดีที่ผู้ใช้ติดตั้ง ส่วนแพตช์อัพเดตนั้นเอชทีซีบอกว่าเมื่อมันได้รับการทดสอบจากผู้ให้บริการเ

Wikimedia Foundation องค์กรแม่ของ Wikipedia ประกาศว่าเว็บไซต์ทั้งหมดในเครือ (ได้แก่ Wikipedia, Wiktionary, Wikisource, Wikiquote, etc.) รองรับการเรียกข้อมูลผ่านโพรโตคอล HTTPS แล้ว ช่วยให้ผู้ใช้เว็บไซต์เหล่านี้ปลอดภัยมากขึ้น

ก่อนหน้านี้ Wikimedia Foundation เคยมีเว็บ secure.wikimedia.org ซึ่งมีข้อจำกัดทางเทคนิคหลายประการ ตอนนี้เปลี่ยนมาเป็น URL แบบปกติแต่ใช้ https:// แทน ช่วยให้ระบบความปลอดภัยและการใช้งานสมบูรณ์ขึ้น

ตอนนี้เว็บใหญ่ๆ หลายแห่งของโลกไม่ว่าจะเป็น Google, Facebook, Twitter, Hotmail, Foursquare เปิดใช้ HTTPS กันหมดแล้ว (ติดตามอ่านได้จากข่าวหมวด SSL) อย่าลืมใช้งานเพื่อความปลอดภัยของข้อมูลของท่าน

เมื่อวันที่ 30 ก.ย.ที่ผ่านมา มีผู้ใช้จำนวนหนึ่งรายงานว่าไม่สามารถเข้าถึง Google Chrome ได้หรือกระทั่งไฟล์โปรแกรมดังกล่าวหายไปจากเครื่อง หลังจาก Microsoft Security Essentials (MSE) แจ้งเตือนว่าพบมัลแวร์ PWS:Win32/Zbot และผู้ใช้ทำการสั่งลบมัลแวร์ดังกล่าวออกไป

ทีมงานเว็บไซต์ Android Police ค้นพบช่องโหว่ในมือถือ HTC บางรุ่น (ที่ยืนยันตอนนี้ได้แก่ EVO 3D, EVO 4G, Thunderbolt ส่วนรุ่นอื่นๆ ยังไม่ยืนยัน ซึ่งน่าจะรวม Sensation ด้วย)

ช่องโหว่นี้เกิดจากระบบการเก็บ log ภายในมือถือของ HTC (ไม่มีใน stock Android) ซึ่งหวังดีเก็บข้อมูลหลายอย่างของมือถือ สำหรับดีบั๊กและตรวจสอบระบบ (ในกรณีส่งเครื่องซ่อม) แต่กลับมีช่องโหว่ว่า แอพที่ขอสิทธิ android.permission.internet (ซึ่งเป็นสิทธิที่พบได้ทั่วไปในแอพปกติ) กลับสามารถเข้าถึงข้อมูลเหล่านี้ที่อยู่บนเครื่องมือถือได้ (รายละเอียดแบบยาวมากๆ อ่านตามลิงก์ที่มา)

บริษัทด้านความปลอดภัย Armorize ได้รายงานเรื่องเว็บไซต์ MySQL ถูกเจาะเมื่อประมาณ 11 โมงเช้าของวันจันทร์ (เวลามาตรฐานแปซิฟิก) โดยผู้ไม่ประสงค์ดีได้ทำการติดตั้งโค้ด JavaScript และโจมตีผู้เยี่ยมชมเว็บไซต์ผ่านทางช่องโหว่ของตัวเบราว์เซอร์ในหลายๆ ช่องทาง เช่น ช่องโหว่จากเบราว์เซอร์ในเวอร์ชั่นเก่า หรือตัวติดตั้งเสริมอย่าง Adobe Flash, Adobe Reader และ Java ที่ไม่ได้อัพเดต เป็นต้น

เมื่อสัปดาห์ที่แล้ว FBI ของสหรัฐจับกุมแฮกเกอร์ผู้ต้องสงสัยที่เกี่ยวกับกลุ่ม LulzSec/Anonymous เพิ่มอีกสองราย

แฮกเกอร์รายหนึ่งคือ Cody Kretsinger จะโดนข้อหาเจาะระบบของโซนี่และเปิดเผยข้อมูลส่วนตัวของผู้ใช้ และอาจโดนตัดสินให้จำคุกนาน 15 ปี

ประเด็นที่น่าสนใจคือ Kretsinger ใช้บริการพร็อกซีชื่อ Hidemyass.com เพื่อซ่อนตัวเองจากทางการขณะปฏิบัติการโจมตี แต่ภายหลัง Hidemyass.com ให้ความร่วมมือกับ FBI เพื่อตามรอยของ Kretsinger ซึ่งนำไปสู่การจับกุมตัว

กระทรวงพาณิชย์และกระทรวงความมั่นคงภายในของสหรัฐฯ กำลังขอข้อมูลจากภาคเอกชนเพื่อหาความเป็นไปได้ที่จะให้มีแนวทางปฎิบัติสำหรับผู้ให้บริการอินเทอร์เน็ตที่จะช่วยเตือนผู้ใช้บริการที่เสี่ยงต่อการติด Botnet ให้อัพเดตระบบให้ปลอดภัย, แจ้งเดือนผู้ใช้ด้วยวิธีการต่างๆ เมื่อติด Botnet แล้ว, และหาทางบรรเทาปัญหาเมื่อพบคอมพิวเตอร์ที่ติด Botnet

การเก็บข้อมูลครั้งนี้ทั้งสองกระทรวงหวังให้มีการสร้างหลักจรรยาบรรณในการดำเนินกิจการให้กับผู้ให้บริการอินเทอร์เน็ตโดยไม่บังคับ

ข่าวใบรับรอง SSL ถูกเจาะในรูปแบบต่างๆ นั้นเริ่มเกิดขึ้นบ่อยครั้งในช่วงหลัง เพราะเว็บต่างๆ ก็เริ่มใช้ HTTPS มากขึ้นเรื่อยๆ เช่นกรณีล่าสุดของ DigiNotar ทำให้ EFF (Electronic Frontier Foundation) อัพเดตปลั๊กอิน HTTPS Everywhere สำหรับไฟร์ฟอกซ์ที่แต่เดิมจะทำหน้าที่เลือกบริการเข้ารหัสในกรณีที่เว็บมีบริการทั้งแบบเข้ารหัสและไม่เข้ารหัส มาเป็นการตรวจสอบใบรับรองการเข้ารหัสด้วยว่าปลอดภัยดีหรือไม่

โครงการนี้ต่อยอดมาจากโครงการ EFF SSL Observatory ที่ตั้งข้อสังเกตว่ามีหน่วยงานที่ไม่น่าเชื่อถือจำนวนหนึ่งมีสถานะเป็นหน่วยงานออกใบรับรองได้ และเบราเซอร์หลักๆ ก็เชื่อใบรับรองจากหน่วยงานเหล่านี้อีกด้วย

นักวิจัยด้านความปลอดภัยสองคนคือ Juliano Rizzo และ Thai Duong ได้นำเสนองานวิจัยที่งาน Ekoparty สาธิตความเป็นไปได้ในการเจาะเว็บที่มีการรวมโค้ดจากภายนอกที่ไม่ได้เข้ารหัส SSL แม้ตัวเว็บหลักจะส่งข้อมูลผ่าน SSL ก็ตาม

เทคนิคนี้อาศัยการส่งจาวาสคริปต์ปลอมด้วยการดักกลาง (man in the middle) ระหว่างการโหลดจาวาสคริปต์จากเว็บภายนอกที่ไม่ได้เข้ารหัส ตัวจาวาสริปต์นั้นจะส่งข้อความที่แฮกเกอร์รู้ล่วงหน้า (known text) กลับไปยังเว็บหลัก เมื่อแฮกเกอร์จับข้อความแบบเข้ารหัสแล้วจึงนำมาเข้ากระบวนการย้อนกลับ เพื่อหากุญแจเข้ารหัสของ session นั้นๆ ได้

หลังจากใบรับรอง SSL ของกูเกิลถูกปลอมได้สำเร็จ บริษัทผู้ออกใบรับรองคือ DigiNotar ก็ถูกสอบสวนอย่างหนักรายงานหลายฉบับแสดงถึงความหละหลวมภายใน (รายงานจากไฟร์ฟอกซ์, รายงานจาก Fox-IT ตัวแทนรัฐบาล) ความน่าเชื่อถือของ DigiNotar ถูกทำลายอย่างรวดเร็วส่งผลให้ลูกค้าโดยเฉพาะรัฐบาลเนเธอร์แลนด์เองต้องประกาศยกเลิกใบรับรองทั้งหมด ธุรกิจที่ถูกทำลายจ

ไมโครซอฟท์เขียนบล็อกอธิบายข้อมูลเรื่องความปลอดภัยของ Windows 8 โดยเฉพาะการป้องกันอันตรายจากมัลแวร์ โดยรวมแล้วไม่มีอะไรแปลกใหม่มากนัก (โลกของความปลอดภัยก็ไม่จำเป็นต้องแปลกใหม่?) แต่เป็นการพัฒนาระบบความปลอดภัยเดิมของ Windows 7 ให้ครอบคลุมส่วนต่างๆ ของ Windows 8 มากขึ้น

สิ่งที่ปรับปรุงใน Windows 8 แบ่งออกเป็น 3 ส่วน

ระดับแกนหลักของระบบปฏิบัติการ