บริษัทด้านความปลอดภัยในประเทศจีน ค้นพบมัลแวร์ชนิดใหม่ชื่อ Mebromi ซึ่งกำลังระบาดในประเทศจีน ที่น่าสนใจคือมันเล่นงานคอมพิวเตอร์ตั้งแต่ระดับ BIOS ขึ้นมาเลยทีเดียว

กระบวนการทำงานของมันจะซับซ้อนหน่อย เริ่มจากมันจะหาทางติดตั้งไดรเวอร์ปลอมๆ ที่ทำงานในระดับเคอร์เนล (kernel mode driver) เพื่อเข้าถึง physical memory ในเครื่อง เมื่อติดตั้งไดรเวอร์และเข้าถึง physical memory ได้แล้ว มันจะตรวจสอบที่ตำแหน่ง 0xF0000 ว่ามี BIOS อยู่หรือไม่ (ซึ่งส่วนมากมักจะใช่) และเรียกโปรแกรมเขียน BIOS (ซึ่งเป็นของแท้จากบริษัทผลิต BIOS เสียด้วย) มาเขียนโค้ด rootkit ลงไปที่ BIOS

จากที่ เซิร์ฟเวอร์ในโครงการ Linux Kernel โดนแฮค และสถานะตอนนี้ทางผู้ดูแล kernel.org ยังปิดเว็บเพื่อตรวจสอบระบบอยู่

ล่าสุดทาง Linux Foundation ซึ่งเป็นหน่วยงานที่ดูแลชื่อ Linux และเป็นเจ้าของเว็บไซต์ linux.com ได้ค้นพบการเจาะระบบ linux.com และ linuxfoundation.org เมื่อวันที่ 8 กันยายนนี้ ซึ่งคาดว่ามีส่วนเกี่ยวข้องกับการเจาะ kernel.org

ปัญหาจาก DigiNotar ดูจะยังไม่จบง่ายๆ เมื่อแฮกเกอร์ที่แฮก Comodo ได้โพสต์ข้อความลง PasteBin ว่าเขาเป็นผู้แฮก DigiNotar เองโดยอาศัยบั๊กที่ยังไม่ได้แพตซ์ (zero day bug) จำนวนมากพร้อมกับประกาศว่าเขายังสามารถเข้าถึง CA อื่นๆ เช่น GlobalSign

ทาง GlobalSign หลังจากได้รับคำเตือนนี้ก็หยุดให้บริการออกใบรับรองทันทีและดำเนินการตรวจสอบภายใน แม้จนตอนนี้ยังไม่มีรายงานว่าพบใบรับรองปลอมจาก GlobalSign ก็ตาม

หลังข่าว DigiNotar ซึ่งเป็น root CA ที่ได้รับการยอมรับในเบราเซอร์ทั้วไปถูกโจมตีจนกระทั่งออกใบรับรองปลอมให้กับแฮกเกอร์ไปได้นั้น รัฐมนตรีกระทรวงมหาดไทยของเนเธอร์แลนด์ก็ออกมาสั่งให้หน่วยงานรองรัฐทั้งหมดยกเลิกใบรับรองที่ได้มาจาก DigiNotar ทั้งหมด และเตรียมการขอใบรับรองใหม่จากบริษัทอื่น

นอกจากนี้ Piet Hein Donner รัฐมนตรีกระทรวงมหาดไทยยังออกมาเตือนประชาชนว่าหากเบราเซอร์ขึ้นคำเตือนว่าเว็บไซต์อาจจะไม่ปลอดภัย ประชาชนก็ไม่ควรเข้าใช้งานเว็บไซต์นั้นๆ

นี่อาจเป็นข่าวใหญ่ประจำปีของ Linux เลยก็ว่าได้ เมื่อเซิร์ฟเวอร์หลายตัวในโครงการ Linux Kernel ซึ่งเป็นแกนหลักของ Linux ทุกตัวบนโลก กลับถูกเจาะและฝังโทรจันไว้เป็นเวลานานกว่าครึ่งเดือนก่อนจะถูกตรวจพบ

เมื่อวันที่ 28 สิงหาคม ทีมงานคนหนึ่งในโครงการ ได้ตรวจพบโทรจันในเซิร์ฟเวอร์หลายตัวของโครงการ Linux Kernel จากการตรวจสอบพบว่า การบุกรุกนั้นเกิดขึ้นก่อนวันที่ 12 สิงหาคม โดยผู้บุกรุกได้เข้าระบบด้วยบัญชีที่ขโมยมา แล้วใช้ local exploit bug เพื่อทำให้ได้สิทธิ root มา

เนื่องจากวันนี้มีข่าวกูเกิลถูกโจมตี เลยอยากพูดถึงความเปลี่ยนแปลงด้านความปลอดภัยหลายๆ เรื่องพร้อมๆ กันในข่าวเดียวเนื่องจากค่อนข้างเกี่ยวเนื่องกัน

เริ่มจากทางกูเกิลได้อัพเดตเรื่องนี้ว่าบริษัทได้รับรายงานว่ามีความพยายามจะโจมตีแบบ man-in-the-middle (MITM) บ้างแล้ว โดยเป้าหมายหลักคือกลุ่มผู้ใช้ในอิหร่าน อย่างไรก็ดีกูเกิลยืนยันว่าผู้ใช้ Chrome นั้นปลอดภัยจากการโจมตีครั้งนี้ และฝั่งไฟร์ฟอกซ์เองก็รีบออกอัพเดตเพื่อลดผลกระทบของการโจมตี พร้อมกับออกคำแนะนำสำหรับการยกเลิกใบรับรองของ DigiNotar ในกรณีที่ไม่ต้องการอัพเดต

แฮกเกอร์สามารถขอใบรับรอง SSL จากผู้ให้บริการรับรองในเนเธอร์แลนด์ที่ชื่อว่า DigiNotar ให้กับโดเมน *.google.com เป็นผลสำเร็จ ทำให้แฮกเกอร์ที่ถือใบรับรองนี้สามารถปลอมตัวเป็นกูเกิลและดักฟังหรือดัดแปลงข้อมูลได้โดยเบราเซอร์ไม่มีคำเตือนใดๆ

ยังไม่มีข้อมูลจากทาง DigiNator ว่าการออกใบรับรองอย่างไม่ถูกต้องนี้เป็นความผิดพลาดของการยืนยันเจ้าของโดเมน หรือแฮกเกอร์แฮกเอาจากระบบออกใบรับรองโดยตรง รวมถึงไม่มีการยืนยันว่ามีโดเมนอื่นๆ ที่ถูกปลอมใบรับรองแบบเดียวกันหรือไม่

ใบรับรองถูกโพสไว้ที่ Pastebin.com และภายในไม่กี่วันนี้ระบบปฎิบัติการต่างๆ น่าจะออกอัพเดตออกมาเมื่อยกเลิกใบรับรองเหล่านี้ ดังนั้นควรรีบอัพเดตเพื่อความปลอดภัย

McAfee ออกรายงานสรุปสถานการณ์ด้านความปลอดภัยในโลกไซเบอร์ ประจำไตรมาสที่สองของปี 2011

ส่วนของความปลอดภัยบนมือถือ ปรากฏว่า Android ก้าวขึ้นมาเป็นเบอร์หนึ่ง (ที่ไม่น่าจะอยากได้นัก) เรื่องมัลแวร์บนมือถือแล้ว โดยแชมป์เก่าเป็นของ Symbian ที่ตอนนี้ตกไปอยู่อันดับสาม ส่วนอันดับสองเป็น Java ME อันดับสี่เป็น BlackBerry ส่วน iOS และ Windows Phone ไม่ติดโผ

ปัจจัยหลักของมัลแวร์บน Android คือบรรดาแอพปลอมทั้งหลายที่ตั้งชื่อคล้ายๆ แอพชื่อดัง และหลอกให้ผู้ใช้ติดตั้งลงในเครื่อง

มีรายงานบั๊กความปลอดภัยของ PHP 5.3.7 ในส่วนของการเข้ารหัสที่อาจทำให้ข้อมูลสำคัญรั่วไหลได้

เหตุเกิดที่ฟังก์ชัน crypt() สำหรับเข้ารหัส โดยจะเกิดเฉพาะการเข้ารหัสแบบ MD5 เท่านั้น บั๊กนี้จะเกี่ยวกับการใช้ salt ในการเข้ารหัส โดยฟังก์ชันจะคืนค่าผิดคือคืนค่า salt ที่ใช้ แทนที่จะเป็นค่า hash ที่ถูกเข้ารหัสด้วย salt เรียบร้อยแล้ว (ใครไม่เข้าใจลองอ่านข้อมูลกันเองตามลิงก์)

ทางโครงการ PHP รู้เรื่องนี้ก่อนออกหนึ่งวัน แต่ก็ยังตัดสินใจจะออก 5.3.7 ตามกำหนด โดยเตือนไม่ให้ผู้ใช้อัพเดตเป็นรุ่นนี้ และแนะนำให้ข้ามมาเป็น 5.3.8 แทน (เท่าที่เช็คดู ตอนนี้ 5.3.8 ออกแล้ว)

ยักษ์ใหญ่แห่งโลกซอฟต์แวร์ความปลอดภัย Symantec บุกโลก Android อย่างเป็นทางการแล้ว โดยออก Norton Mobile Security ตัวจริงเป็นรุ่นฟรี

Symantec ทดสอบ Norton Mobile Security (NMS) รุ่นเบต้ามาสักระยะหนึ่งแล้ว ล่าสุดปลดป้ายเบต้าออก และแยกรุ่นเป็นแบบ LITE ไม่คิดเงิน กับรุ่นเต็มที่เสียค่าบริการปีละ 29.99 ดอลลาร์พร้อมฟีเจอร์ที่เพิ่มขึ้น

NMS Lite มีฟีเจอร์ด้านความปลอดภัยพื้นฐานครบครัน มีทั้งส่วนแอนตี้ไวรัส และการป้องกันขโมย ส่วนรุ่นเต็มจะเพิ่มการล็อค-ค้นหาเครื่องจากระยะไกล การแบ็คอัพ และการบล็อคโทรศัพท์

Symantec สัญญาว่า NMS Lite จะไม่ทำให้เครื่องช้า หรือกินแบตเตอรี่ อันนี้จะจริงแค่ไหนต้องลองกันเองครับ

HTTPS Everywhere เป็นส่วนเสริมของ Firefox ที่ช่วยให้เราเข้าเว็บผ่านโพรโตคอลเข้ารหัส HTTPS เพื่อความปลอดภัยที่ดีขึ้น ส่วนเสริมนี้ออกมาตั้งแต่ปีที่แล้ว (ข่าวเก่า)

โครงการ HTTPS Everywhere เป็นความร่วมมือของมูลนิธิ Electronic Frontier Foundation กับ Tor Project และมันเดินทางมาถึงรุ่น 1.0 แล้ว

การเปลี่ยนแปลงที่สำคัญในรุ่น 1.0 คือรองรับเว็บไซต์เพิ่มขึ้นอีกมาก (ตัวเลขของ EFF บอกว่ามากกว่า 1,000 เว็บไซต์) ผู้ที่ใช้ Firefox สามารถติดตั้งได้จากลิงก์แรกสุดของข่าวครับ

ที่มา - EFF

ที่งานประชุมวิชาการ Black Hat ปีนี้ ทีมนักวิจัยด้านความปลอดภัยจากบริษัท Red Tiger Security ได้ขึ้นเวทีนำเสนอการค้นพบว่าอุปกรณ์ SCADA ที่มีเว็บเซิร์ฟเวอร์ในตัวถูกปล่อยให้เชื่อมต่อกับอินเทอร์เน็ตเอาไว้อย่างหละหลวม และอุปกรณ์หลายตัวสามารถค้นหาผ่านกูเกิลได้

ทีมวิจัยคือ Jonathan Pollet และ Daniel Michaud-Soucy ไม่เปิดเผยว่าพวกเขาใช้คำค้นหาใดในที่จะเจออุปกรณ์ SCADA เหล่านี้ แต่บอกเพียงว่าบางรายการ ผลการค้นหาระบุว่ารหัสผ่านของอุปกรณ์คือ "1234" อุปกรณ์ที่ค้นพบเช่น "RTU pump status" ซึ่งเป็นระบบรายงานผลระบบท่อน้ำ อีกรายการหนึ่งคือหม้อแปลงของบริษัท ABB Transformer ที่ไม่มีรหัสผ่านใดๆ ทำให้ทุกคนสามารถเข้าไปดูสถานะของเบรกเกอร์แต่ละตัวที่บริษัทนี้ดูแลอยู่ในลอนดอนได้

บริษัทความปลอดภัย Avast เก็บสถิติพีซีที่ใช้วินโดวส์กว่า 600,000 เครื่อง และพบว่า 74% ของ rootkit ที่พบอยู่บน Windows XP

สถิติของ Avast บอกว่า XP มีส่วนแบ่ง 58% ของวินโดวส์ทั้งหมด ในขณะที่ Windows 7 ซึ่งมีส่วนแบ่ง 31% นั้นติด rootkit เพียง 12% ของคอมพิวเตอร์ที่สำรวจ

Avast บอกว่าเหตุผลของตัวเลขนี้มาจาก Windows 7 มีระบบความปลอดภัยดีกว่า และผู้ใช้ XP จำนวนมากละเมิดลิขสิทธิ์ ทำให้ไม่กล้าอัพจาก SP2 เป็น SP3 ที่แก้ปัญหาด้านความปลอดภัยไปมาก (ไมโครซอฟท์หยุดออกแพตช์ให้ XP SP2 มาประมาณหนึ่งปีแล้ว)

ปกติเรามีแต่ข่าวส่วนแบ่งตลาดมือถือ ระบบปฏิบัติการ เว็บเบราว์เซอร์ คราวนี้มาดูส่วนแบ่งตลาดซอฟต์แวร์ด้านความปลอดภัยกันบ้างครับ

ข้อมูลนี้มาจาก Gartner โดยเปรียบเทียบส่วนแบ่งตลาดซอฟต์แวร์ความปลอดภัยในปี 2006 กับ 2010 ซึ่งก็พบว่าเดิมทีส่วนแบ่งตลาดไม่ค่อยกระจายตัวมากนัก ผู้เล่น 5 อันดับแรกมีส่วนแบ่งตลาดรวมกัน 50% แต่พอมาเป็นปี 2010 ส่วนแบ่งของ 5 อันดับแรกเหลือแค่ 44.3%

แนวโน้มตลาดแบบนี้แปลว่า ซอฟต์แวร์ความปลอดภัยยังเป็นตลาดที่เติบโตได้อีกมาก และมีช่องว่างให้บริษัทหน้าใหม่เข้ามาชิงส่วนแบ่งตลาดกันมากขึ้น

ส่วนแบ่งตลาด 5 อันดับแรกของปี 2010 ได้แก่

Chet Wisniewski นักวิจัยด้านความปลอดภัยจากบริษัท Sophos ออกเตือนผู้ใช้อุปกรณ์ iOS ให้รีบอัพเกรด iOS ไปยังรุ่นล่าสุดเนื่องจากมันได้รับการแก้บั๊ก SSL ทำให้ผู้ใช้ปลอดภัยจากการถูกดักฟังข้อมูลที่เข้ารหัส

บั๊กรูปแบบเดียวกันนี้ถูกค้นพบตั้งแต่ปี 2002 ในวินโดวส์โดย Moxie Marlinspike ปัญหาอยู่ที่ตัวอ่านใบรับรอง SSL ผิดพลาดในการตรวจสอบเงื่อนไงบางอย่างทำให้ผู้โจมตีสามารถปลอมใบรับรอง SSL สำหรับโดเมนใดๆ ก็ได้

แอปเปิลระบุว่านักวิจัยสองคนคือ Paul Kehrer จาก Trustwave และ Gregor Kopf จาก Recurity Lab เป็นคนรายงานข้อผิดพลาดดังกล่าว

บริษัท Passware ผู้ผลิตซอฟต์แวร์สำหรับการกู้คืนรหัสผ่านระบุว่าบริษัทพบว่าใน Mac OS X รุ่น Snow Leopard และ Lion นั้นผู้บุกรุกสามารถอ่านรหัสผ่านของเครื่องผ่านทางพอร์ต Firewire ได้แม้เครื่องจะอยู่ในโหมด sleep ก็ตาม

นานๆ ที มีข่าวดีของค่าย RIM มาให้ชื่นใจกันหน่อยนะครับ

ถึงแม้แท็บเล็ต PlayBook จะได้เสียงวิจารณ์ไม่ดีมากนัก แต่ในตลาดองค์กรซึ่งเป็นตลาดที่ RIM เชี่ยวชาญ มันก็เป็นแท็บเล็ตตัวแรกที่ผ่านมาตรฐานความปลอดภัยของข้อมูล Federal Information Processing Standard (FIPS) ของรัฐบาลสหรัฐ

การผ่านมาตรฐานนี้แปลว่าข้าราชการและพนักงานของรัฐสามารถใช้ PlayBook ในการทำงานได้อย่างเป็นทางการ ซึ่งก็แปลต่อว่า RIM จะมีตลาดใหม่ที่ไร้คู่แข่งไปอีกพักใหญ่

ที่มา - Inside BlackBerry, Informationweek

แนะนำดิสโทรตัวใหม่ที่น่าสนใจทั้งแนวคิดและชื่อผู้สร้าง

Anti-Tamper/Software Protection Initiative Technology Office (AT/SPI) ห้องวิจัยด้านความปลอดภัยของกองทัพอากาศสหรัฐ ใต้การดูแลของกระทรวงกลาโหมสหรัฐ ได้พัฒนาดิสโทรลินุกซ์ชื่อ Lightweight Portable Security (LPS) สำหรับเปลี่ยนคอมพิวเตอร์ที่ "ไม่รู้ว่าปลอดภัยหรือไม่" ให้มีสถานะเป็น "ปลอดภัยต่อการส่งข้อมูลสำคัญ"

หลายครั้งที่เราติดไวรัสหรือมัลแวร์ต่างๆ แต่เราไม่รู้ตัวเพราะมัลแวร์เหล่านั้นอาจจะไม่ได้มารบกวนการใช้งานของเราโดยตรงแต่กลับไปรบกวนการทำงานของเว็บต่างๆ แทน กูเกิลซึ่งเป็นเว็บขนาดใหญ่ก็พบกับรูปแบบทราฟิกแปลกๆ เช่นนี้เสมอก็ประกาศใช้ข้อมูลเหล่านี้เพื่อเตือนผู้ใช้กูเกิลแล้ว

ในตอนนี้บริการแจ้งเตือนมัลแวร์จะตรวจสอบมัลแวร์บางตัวที่ดึงผู้ใช้เข้าพรอกซีเพื่อแล้วจึงส่งข้อมูลต่อไปยังกูเกิล กรณีเช่นนี้ยังคงช่วยผู้ใช้ได้จำกัดมาก แต่ก็เป็นอีกทางหนึ่งที่บริการที่ไม่ได้อยู่บนเครื่องโดยตรงจะช่วยเราได้

เปิดใช้แล้วตอนนี้ อยากลองต้องไปหามัลแวร์มาติดตั้งในเครื่องกันเอง

ที่มา - Google Blog

แม้จะเพิ่มเลขรุ่นแค่ 0.01 แต่ PuTTY รุ่นใหม่ก็ใช้เวลาถึง 4 ปีในการพัฒนา (ถ้าเป็น Chrome จะวิ่งไปแล้ว 32 รุ่น) จนกระทั่งหลายคนถามกันว่า PuTTY นั้นเลิกพัฒนากันไปหรือยัง และวันนี้รุ่นใหม่ก็ออกมายืนยันแล้วว่า "มันยังอยู่"

ความสามารถในรุ่นใหม่นี้มีดังนี้

กลุ่ม Anonymous ประกาศความสำเร็จในการแฮกเซิร์ฟเวอร์ของบริษัท Booz Allen Hamilton ได้ข้อมูลอีกเมล, และรหัสผ่านแบบผ่านฟังก์ชั่นแฮชแล้วจำนวนกว่า 90,000 รายชื่อ โดยมาจากระบบฐานข้อมูลการฝึกและการทดสอบของกองทัพ

บริษัท Booz Allen Hamilton รับงานจากกองทัพสหรัฐฯ มูลค่ากว่า 3.7 พันล้านดอลลาร์ในปี 2010 แต่ทางกลุ่ม Anonymous ก็อ้างว่าสามารถเจาะฐานข้อมูลนี้ได้ภายในเวลาสี่ชั่วโมงเท่านั้น พร้อมกับส่งใบเสร็จล้อเลียนบริษัทโดยขอเก็บค่าตรวจสอบความปลอดภัยเป็นเงิน 310 ดอลลาร์

Booz Allen Hamilton เป็นบริษัทที่บริหารงานโดยอดีตผู้บริหารหน่วยงานด้านความมั่นคงสหรัฐฯ จำนวนมากเช่น อดีตผู้อำนวยการ NSA, อดีตผู้อำนวยการ CIA, หรือบางคนก็นั่งควบทั้งตำแหน่งบริหารหน่วยงานและตำแหน่งผู้บริหารบริษัท

ถ้าใครติดตามข่าวมาตลอด กลุ่มแฮ็กเกอร์ LulzSec นั้นฝากผลงานที่อาละวาดไว้มากมาย เช่น แฮ็กข้อมูล Sony Pictures ถล่มเว็บไซต์ CIA หรือเจาะหน่วยงานด้านความปลอดภัยของรัฐแอริโซนา ซึ่งการกระทำดังกล่าวทำให้แฮ็กเกอร์กลุ่มอื่นที่อยู่อย่างเงียบๆ ตอนนี้ต้องมาอาละวาดคืนใส่ LulzSec เสียแล้ว

ปฏิบัติการแฮ็กภายใต้ชื่อ #AntiSec ของกลุ่มแฮ็กเกอร์ LulzSec และ Anonymous ได้เผยแพร่เอกสารซึ่งอ้างว่าเป็นบัญชีผู้ใช้งานและรหัสผ่านของผู้ดูแลระบบในเซิร์ฟเวอร์แอปเปิลจำนวน 26 บัญชีที่เจาะออกมาได้ ทั้งหมดเป็นบัญชีสำหรับใช้งานภายในแอปเปิลเองไม่ใช่บัญชีข้อมูลลูกค้าแต่อย่างใดและถือเป็นจำนวนที่น้อยมากหากเทียบกับปฏิบัติการก่อนหน้านี้

พวกเขายังได้อัพเดททางทวิตเตอร์ว่า "แอปเปิลก็เป็นเป้าหมายหนึ่งเช่นกัน แต่ไม่ต้องห่วง ตอนนี้เรากำลังวุ่นกับที่อื่นอยู่" โดยก่อนหน้านี้พวกเขาได้เจาะระบบของรัฐแอริโซนาสำเร็จ

แอปเปิลยังไม่ได้ออกมาให้ความเห็นในข่าวดังกล่าว

Robert Morris เป็นนักวิทยาการเข้ารหัส (cryptographer) ยุคบุกเบิกของช่วงการสร้าง Unix เขาทำงานกับ Bell Labs ตั้งแต่ปี 1960 ถึงปี 1986 ก่อนจะย้ายไปทำงานที่ NSA (National Security Agency) จนถึงปี 1994 ช่วยงาน FBI ในการถอดรหัสในคดีสำคัญ แต่ในวันที่ 26 ที่ผ่านมาเขาก็เสียชีวิตลงจากภาวะสมองเสื่อม (complication of dementia) ด้วยอายุ 78 ปี

ผลงานของเขาที่สำคัญและยังใช้งานอยู่จนทุกวันนี้คือระบบการเข้ารหัสในไฟล์ /etc/passwd ของระบบ Unix จำนวนมาก

ปัญหาความปลอดภัยเกิดขึ้นจำนวนมากในช่วงหลังทั้งการโจมตีเพื่อให้ระบบใช้งานไม่ได้ งานนี้ U.S. Department of Homeland Security (แปลชื่อไทยคงประมาณกระทรวงความมั่นคงภายใน) ได้ทดลองเอาไดรฟ์ USB ไปวางทิ้งไว้ในที่จอดรถของตึกราชการ พบว่าร้อยละ 60 ของผู้ที่พบจะเอาไดรฟ์เหล่านั้นไปเสียบคอมพิวเตอร์ที่ใช้งาน และหากมีโลโก้หน่วยงานราชการบนไดรฟ์โอกาสจะเพิ่มขึ้นเป็นร้อยละ 90