Skipfish ซอฟต์แวร์โอเพนซอร์สตัวล่าสุดจากกูเกิล ใช้สำหรับตรวจสอบความปลอดภัยของเว็บแอพพลิเคชัน เขียนโดยใช้ภาษา C ล้วน สามารถใช้งานได้บน Linux, FreeBSD 7.0+, Mac OS X และ Windows (ผ่าน Cygwin) โปรแกรมลักษณะเดียวกันนี้มีอยู่บ้างแล้วเช่น Nikto และ Nessus แน่นอนโปรแกรมอยู่บน Google Code ใช้สัญญาอนุญาตแบบ Apache 2.0

การตรวจสอบมีหลายระดับ มีชุดทดสอบเกือบ 60 แบบ หลักๆ ก็เช่น SQL Injection, คำสั่ง SQL ผ่าน GET/POST พารามิเตอร์, Shell Injection, XSS, SSL ดูรายละเอียดเต็มๆ ที่ Wiki

เมื่อปีที่แล้ว แฮกเกอร์อาชีพคนหนึ่งคือนาย Charlie Miller เคยประกาศก่อนเทศกาลแข่งแฮกระบบประจำปี Pwn2Own ว่า "Safari เจาะง่ายที่สุด" ซึ่งผลก็คือเขาทำได้จริงๆ ภายในเวลาไม่กี่นาที (แต่เบราว์เซอร์ตัวอื่นก็โดนเหมือนกัน)

ใน Pwn2Own 2009 มีโจทย์ให้แฮกระบบปฏิบัติการของมือถือด้วย ผลปรากฎว่าไม่มีใครเจาะได้สำเร็จเลย ในปีนี้ หลายคนจึงหวังจะแก้มือ

ต่อจาก กูเกิลเปิด HTTPS ใน Gmail เป็น Default ทางคณะกรรมการการค้าของสหรัฐหรือ FTC (ชื่อนี้จะเห็นบ่อยขึ้นเรื่อยๆ ในอนาคต) ได้ส่งสัญญาณเตือนให้เว็บไซต์อื่นๆ ใช้ HTTPS กันมากขึ้น

หนึ่งในกรรมการของ FTC คือ Pamela Jones Harbour กล่าวในปาฐกถาก่อนเริ่มประชุม FTC ว่าเว็บไซต์อย่าง Yahoo, Hotmail, Facebook ควรใช้ HTTPS ให้เป็นมาตรฐาน เพื่อความปลอดภัยของผู้ใช้ เธอยังแสดงความเห็นอีกว่า การเข้ารหัสข้อมูลเป็นการป้องกันที่ทำได้ง่าย และบริการบน cloud ทั้งหมดควรหันมาใช้กันได้แล้ว

ที่มา - EFF

Twitter นั้นมีปัญหาผู้ใช้ได้รับลิงก์ที่ชี้ไปยังเว็บล่อลวง (phishing/scam) ทาง Direct Message (และแน่นอนว่าไปถึงอีเมล) อยู่เรื่อยๆ ที่ผ่านมาลิงก์หลอกเหล่านี้จะปลอมตัวเป็นหน้าเว็บ Twitter เพื่อหลอกเอารหัสผ่านบัญชี Twitter ของเรา

มาตรการล่าสุดของ Twitter คือเพิ่มระบบกรองลิงก์ทั้งหมดที่ถูกส่งเข้าไปยังเซิร์ฟเวอร์ของ Twitter ซึ่งถ้าลิงก์ไหนมีปัญหา ทางบริษัทจะได้สามารถตรวจสอบได้

ทาง Twitter บอกว่าในแง่การใช้งานแล้ว ผู้ใช้จะรู้สึกไม่แตกต่างจากเดิมเลย (ยกเว้นลิงก์ที่มากับอีเมล จะถูกย่อเป็น twt.tl) เพียงแต่จะวางใจได้มากขึ้นว่าลิงก์ที่กดจะปลอดภัย ในระยะแรกระบบนี้จะเริ่มใช้กับ Direct Message เป็นหลัก

เมื่อวันพุธที่ผ่านมา ผู้อำนวยการ Microsoft Security Response Center (MSRC) ได้ออกมายืนยันผ่านเว็บไซต์ว่า BSOD และอาการรีบู๊ตเครื่องที่เกิดขึ้นหลังจากติดตั้งแพตช์อัพเดท MS10-015 (977165) กับผู้ใช้จำนวนหนึ่งนั้นเครื่องนั้นเกิดจากรูทคิท Alureon ไม่ได้เกิดจากแพตช์อัพเดทดังกล่าวแต่อย่างไร

Jerry Bryant ผู้จัดการอาวุโสฝ่ายประชาสัมพันธ์ด้านการรักษาความปลอดภัย ให้ข้อมูลเพิ่มเติมใน Microsoft Security Response Center (MSRC) ว่า Blue Screen Of Death (BSOD) ที่อาจเกิดจากการอัพเดตแพตช์หมายเลข 977165 (ดูข่าวเก่า โดยคุณ lew) อาจเกิดจากมัลแวร์ในคอมพิวเตอร์ที่ติดตั้งแพตช์นั้น เขายังกล่าวเสริมว่าบริษัทกำลังค้นหาสาเหตุที่แท้จริงและยังไม่ตัดประเด็นอื่นที่อาจทำให้เกิด BSOD ออกไป

เมื่อวันอังคารที่ผ่านมาไมโครซอฟท์ได้ปล่อยแพตซ์ความปลอดภัยตามรอบเวลาปรกติ แต่ปรากฏว่ามันทำให้ผู้ใช้ Windows XP จำนวนหนึ่งเครื่องขึ้นจอฟ้าและไม่สามารถบูตเครื่องได้อีกเลย

แพตซ์เจ้าปัญหานี้คือแพตซ์หมายเลข 977165 ที่แก้บั๊กในเคอร์เนลเพื่อป้องกันการเข้าถึงสิทธิ์ที่สูงกว่าปรกติ ส่วนการแก้ปัญหาจำเป็นต้องบูตเครื่องใหม่ผ่านทางซีดีรอมเพื่อไปพิมพ์คำสั่งถอนแพตซ์นี้ออกด้วยมือ (ดูวิธีได้ในที่มา) สำหรับคนที่ใช้เน็ตบุ๊กนั้นปัญหาจะยากขึ้นไปอีกเพราะต้องหาแฟลชไดร์ฟมาใช้งานเพื่อบูตกัน

ว่าแล้วก็ระวังแพตซ์ตัวนี้ให้ดีๆ ใครดูแล Windows Server Update Services อยู่ก็อย่าปล่อยออกไปนะครับ

เมื่อสองวันก่อนไมโครซอฟท์ได้ปล่อยคำแนะนำด้านความปลอดภัย MSA-980088 ที่เปิดเผยบั๊กใหม่ของ IE นับแต่เวอร์ชั่นที่ 4 เป็นต้นมาว่ามีช่องโหว่ทำให้แฮกเกอร์สามารถเข้าถึงไฟล์ในเครื่องได้โดยมีเงื่อนไขบ้าง เช่น

• ต้องเป็นไฟล์ที่แฮกเกอร์รู้ชื่อและที่อยู่ของไฟล์ล่วงหน้า
• เบราเซอร์ต้องทำงานนอก Restricted Mode หรือ Protected Mode (อันหลังมีเฉพาะ IE7/8)
• แฮกกเกอร์จะมีสิทธิ์เท่าๆ กับผู้ใช้ที่กำลังใช้เบราเซอร์อยู่ (ใครไม่เข้าเป็น Administrator บ้าง?)

พร้อมๆ กับการเปิดเผยบั๊กนี้ก็มีทางแก้ออกมาพร้อมๆ กัน แนะนำให้อัพเดตทันทีตามลิงก์นี้

กูเกิลเริ่มโครงการมอบเงินรางวัลให้กับผู้ที่ค้นพบช่องโหว่ด้านความปลอดภัยใน Chrome และ Chromium โดยผู้ที่ค้นพบบั๊กด้านความปลอดภัยจะได้เงินตอบแทน 500 ดอลลาร์ และถ้าพบบั๊กร้ายแรง เอาไปเลย 1337 ดอลลาร์ ให้เป็นเกียรติเป็นศรีแก่วงศ์ตระกูล

โครงการลักษณะนี้เริ่มโดย Mozilla มานานแล้ว (Bug Bounty) กูเกิลเห็นว่าที่ผ่านมา มีนักวิจัยด้านความปลอดภัยจากองค์กรอื่นๆ ค้นพบช่องโหว่ใน Chrome และแจ้งเข้ามายังกูเกิลอยู่เรื่อยๆ จึงตัดสินใจทำตาม Mozilla ให้รางวัลตอบแทนเป็นสินน้ำใจ

ในกติกาบอกว่า คนไทยมีสิทธิ์เข้าร่วมครับ

หลายเว็บไซต์ของนักสิทธิมนุษยชนที่เคลื่อนไหวในจีนถูกโจมตีโดยแฮกเกอร์ ท่ามกลางความไม่ลงรอยระหว่าง Google และ จีน (ดูข่าวเก่า)

หนึ่งในนั้นก็คือ เว็บไซต์ Chinese Human Rights Defenders ซึ่งถูกโจมตีด้วย DDoS (distributed denial of service) เป็นผลให้ระบบอีเมลเป็นอัมพาต เป็นเวลา 16 ชั่วโมงในช่วงบ่ายวันเสาร์ที่ผ่านมา (23 มกราคม) "เราสงสัยว่ารัฐบาลจีนจะเป็นผู้อยู่เบื้องหลัง" เว็บไซต์ดังกล่าวพาดพิง

เมื่อวานนี้ไมโครซอฟท์ก็ได้ปล่อยแพตช์อุดช่องโหว่ที่ถูกใช้ถล่มกูเกิลและบริษัทอื่นๆ รวม 33 บริษัทแล้ว แต่ใน Microsoft Security Response Center (MSRC) ไมโครซอฟท์ได้แจ้งว่าช่องโหว่ดังกล่าวตรงกับช่องโหว่ที่เคยได้รับรายงานตอนต้นเดือนกันยายนเมื่อปีที่แล้ว หลายคนคงอดคิดไม่ได้ว่า หากไมโครซอฟท์แพตช์ช่องโหว่นี้เร็วกว่านี้ อินเทอร์เน็ตเอ็กซ์พลอเรอร์คงไม่กลายเป็นหนึ่งในช่องทางที่เหล่าแฮกเกอร์ชาวจีนใช้ถล่มบริษัทเหล่านั้น

ไมโครซอฟท์ประกาศแล้วว่าจะปล่อยแพตช์อุดรูที่ถูกใช้ถล่มกูเกิลวันพรุ่งนี้ (21 ม.ค.) ตามเวลาสหรัฐฯ ถ้าเวลาไทยคงประมาณเที่ยงคืนของวันนี้

อินเทอร์เน็ตเอ็กซ์พลอเรอร์ 5.01 เซอร์วิสแพ็ค 4 เป็นต้นมาได้รับผลกระทบจากช่องโหว่ดังกล่าว

แพตช์ดังกล่าวเป็น out-of-band security bulletin คือไม่ได้ถูกปล่อยตามช่วงเวลาปกติที่ไมโครซอฟท์จะปล่อยแพตช์อัพเดตเป็นประจำ

ที่มา: TechNet Security Center ผ่านทวิตเตอร์ @microsoft

หลังจากที่หน่วยงานรัฐบาลเยอรมนีออกประกาศเตือนเรื่องการใช้ Internet Explorer มาก่อนหน้านี้ หน่วยงานรัฐบาลของฝรั่งเศส ก็ได้ออกมาเตือนในลักษณะเดียวกัน

ในประกาศของ Certa ซึ่งเป็นหน่วยงานที่ดูแลด้านความปลอดภัยของระบบสารสนเทศ ระบุว่าในระหว่างที่รอแพตช์จากผู้ผลิต [ไมโครซอฟท์] ผู้ใช้ควรหันไปใช้เบราว์เซอร์อื่นๆ แทน

อย่างไรก็ตาม หัวหน้าฝ่ายด้านความปลอดภัยของไมโครซอฟท์ออกมายืนยันว่า ปัญหาที่พบยังมีเป้าหมายโจมตีเพียง IE6 เท่านั้น และจากการทดสอบ IE8 เป็นเว็บเบราว์เซอร์ที่ปลอดภัยที่สุดในตลาด

ความเคลื่อนไหวต่อเนื่องของข่าว "กูเกิล vs จีน" ครับ ผมรวบสองข่าวเพื่อประหยัดที่เช่นเดิม

ข่าวแรก Carlos Carrillo จากบริษัท Mandiant ซึ่งกูเกิลจ้างมาเป็นหัวหน้าทีมสืบสวนกรณีกูเกิลโดนโจมตี พูดง่ายๆ ว่าเป็นคนที่เห็นหลักฐานจากเซิร์ฟเวอร์ของกูเกิล ให้สัมภาษณ์กับนักข่าวว่า มัลแวร์ตัวนี้มีเอกลักษณ์เฉพาะตัวที่ไม่เหมือนใคร และเป็นการโจมตีที่ซับซ้อนที่สุดเท่าที่เขาเคยเห็นมาในรอบหลายปีนี้ เป็นไปไม่ได้แน่นอนว่านี่คือการทดลองแฮกเล่นๆ ของแฮกเกอร์วัยรุ่น เขาเชื่อว่าโค้ดของมัลแวร์นี้ได้รับการสนับสนุนจากทางการจีน

จาก McAfee เผย การโจมตีกูเกิลใช้ช่องโหว่จาก IE และล่าสุดช่องโหว่ของ "Operation Aurora" นี้ถูกเปิดเผยต่อสาธารณะแล้ว

BSI (หน่วยงานด้านความปลอดภัยของข้อมูลข่าวสาร ของรัฐบาลกลางเยอรมนี) ได้ออกประกาศเตือนอย่างเป็นทางการว่า ไม่ควรใช้ IE จนกว่าไมโครซอฟท์จะออกแพตช์แก้ช่องโหว่นี้ และการใช้ IE แบบ protected mode ก็ยังมีความเสี่ยงอยู่ดี

คำแนะนำของไมโครซอฟท์ในตอนนี้คือ ให้เปิด Data Execution Prevention (DEP) ซึ่งใน IE8 เปิดมาให้แล้ว แต่เวอร์ชันก่อนหน้าต้องเปิดกันเอง, ปิด Active Scripting และตั้งค่า Internet Security เป็น "High"

ประเด็นเรื่อง กูเกิลจีนถูกโจมตี, ประกาศจะไม่สนับสนุนการบล็อคเว็บในจีนอีกต่อไป ยังเป็นข่าวต่อเนื่องไปได้อีกนาน เพราะรายละเอียดค่อยๆ ทยอยออกมาอย่างต่อเนื่อง

McAfee Labs ออกมาเปิดเผยว่า มัลแวร์ตัวใหม่ที่ใช้โจมตีกูเกิล ได้อาศัยช่องโหว่ค้นพบใหม่ใน Internet Explorer ของเครื่องเป้าหมาย โดยหลอกให้เจ้าของเครื่องคลิกไฟล์ที่ดูเหมือนว่ามาจากแหล่งที่เชื่อถือได้ เมื่อคลิกแล้ว มัลแวร์จะเริ่มเปิด backdoor ไว้ในเครื่องนั้น และเปิดโอกาสให้แฮกเกอร์เข้ามาควบคุมเครื่องได้

หลังจากกูเกิลจีนถูกโจมตี, ประกาศจะไม่สนับสนุนการบล็อคเว็บในจีนอีกต่อไป ซึ่งอาจส่งผลให้กูเกิลต้องออกจากการทำตลาดในจีน หลายคนตั้งคำถามว่าผู้ให้บริการค้นหาข้อมูลอย่างไมโครซอฟท์กับยาฮูนั้นจะร่วมวงกับกูเกิลไม่สนับสนุนการบล็อคเว็บในจีนด้วยหรือไม่ คุณสตีฟ บัลเมอร์ให้สัมภาษณ์กับสำนักข่าว CNBC ในขณะที่เข้าไปพบกับประธานาธิบดีบารัค โอบามาในทำเนียบขาว โดยบอกว่าเราจะยังคงดำเนินธุรกิจในจีนและปฏิบัติตามกฎหมายของทางรัฐบาลต่อไป

นอกจากนั้นคุณบัลเมอร์ยังปฏิเสธที่จะกล่าวถึงรายงานที่ว่าช่องโหว่ที่ยังไม่ได้รับการแก้ไขในอินเทอร์เน็ตเอ็กซ์พลอเรอร์ถูกใช้โจมตีกูเกิลและบริษัทอื่นๆ

ข่าวต่อเนื่องจาก กูเกิลจีนถูกโจมตี, ประกาศจะไม่สนับสนุนการบล็อคเว็บในจีนอีกต่อไป และ Adobe ออกมาเปิดเผย ถูกจีนโจมตีด้วยเช่นกัน ตอนนี้สำนักข่าว Bloomberg ได้เผยชื่อของบริษัทรายที่สามที่โดนโจมตี ไม่ใช่ใครที่ไหนไกล ยาฮูนั่นเอง

ยาฮูไม่ได้เปิดเผยข้อมูลนี้ออกมาอย่างเป็นทางการ แต่ Bloomberg รายงานโดยอ้างแหล่งข่าวที่ไม่เปิดเผยตัวซึ่งใกล้ชิดกับเรื่องนี้ ยาฮูไม่มีกิจการในประเทศจีนแล้ว แต่ยังมีหุ้นในบริษัท Alibaba ของจีนอยู่

Facebook จับมือกับ McAfee แจก McAfree Internet Security พร้อมอายุใช้งานฟรี 6 เดือน เพียงแค่กดเป็น fan ในหน้าของ McAfeeเท่านั้น (6 เดือนต่อจากนั้นได้ส่วนลด 30%)

ในหน้าของ McAfee บน Facebook ไม่มีประเทศไทยให้เลือก แต่ผมลองกดๆ ดูก็ดาวน์โหลดไฟล์ได้ไม่มีปัญหาอะไร เพียงแต่ต้องใส่ข้อมูลที่อยู่และบัตรเครดิตบ้างตามสมควร (ของฟรีนิ แต่ใส่มั่วๆ ได้นะ) ไฟล์ติดตั้งเป็น .exe ขนาด 1.2MB แปลว่าเป็น networked install โหลดไฟล์กันเพิ่มต่อไป นี่เป็นแผนการตลาดที่น่าสนใจอันหนึ่งของ McAfee

กูเกิลเปิดบริการ HTTPS ใน Gmail มาได้สักระยะแล้ว โดยผู้ใช้สามารถเลือกได้ระหว่าง HTTP และ HTTPS เนื่องจากการใช้ HTTPS มีข้อด้อยคือช้ากว่า HTTP (เราสามารถเลือกใช้ HTTPS แบบถาวรโดยต้องตั้งค่าใน Settings)

แต่ไม่รู้ว่าเกี่ยวกับ Gmail ในจีนโดนโจมตี หรือเปล่า วันนี้กูเกิลออกมาประกาศว่า ต่อจากนี้ไป Gmail จะเปลี่ยนมาใช้ HTTPS เป็นค่า default แล้ว โดยกูเกิลยอมแลกความเร็วกับความปลอดภัยที่เพิ่มมากขึ้น

ผู้ใช้ยังสามารถปิด HTTPS ได้ผ่านตัวเลือก "Don't always use https" และถ้าใครใช้ Gears แล้วเกิดปัญหากับ HTTPS อ่านวิธีแก้ไขได้ครับ

จากข่าว กูเกิลจีนถูกโจมตี, ประกาศจะไม่สนับสนุนการบล็อคเว็บในจีนอีกต่อไป กูเกิลบอกว่ามีบริษัทที่ถูกโจมตีทางเครือข่ายถึง 20 บริษัท แต่ไม่ได้เปิดเผยว่ามีบริษัทใดบ้าง

ตอนนี้มี Adobe ออกมาเผยตัวเองแล้วหนึ่งราย โดยบอกว่า Adobe ถูกโจมตีในวันที่ 2 มกราคม และกำลังประสานงานกับบริษัทอื่นๆ เพื่อแลกเปลี่ยนข้อมูลกันต่อไป Adobe ประกาศว่าเท่าที่สืบสวนดู ยังไม่มีข้อมูลใดของ Adobe หลุดออกไปจากการโจมตีครั้งนี้ แต่ก็ยังต้องสืบสวนต่อไปอีกระยะหนึ่ง

ที่มา - Adobe

ดังที่ปรากฏไปแล้วในข่าวเก่า ที่เทคนิคการเข้ารหัสแบบ A5/1 บนเครือข่ายจีเอสเอ็มนั้นถูกเจาะได้แล้ว ซึ่งก็หวังกันว่าเมื่อเปลี่ยนไปใช้เครือข่าย 3G แล้วจะสามารถลดผลกระทบดังกล่าวได้ แต่ดูท่าคงจะต้องเปลี่ยนความคิดกันใหม่แล้วเมื่ออ่านข่าวนี้

บริษัท Intevydis เป็นบริษัทวิจัยช่องโหว่ของซอฟต์แวร์จากรัสเซีย ระบุว่าบริษัทกำลังเตรียมเผยแพร่ช่องโหว่ที่ยังไม่ได้รับการแก้ไข้จำนวนมากภายในเดือนนี้เนื่องจากหมดความอดทนที่จะทำงานร่วมกับผู้ผลิตแล้ว

โดยปรกติแล้วหลักจริยธรรมของนักวิจัยด้านความปลอดภัยทั่วโลกจะให้โอกาสผู้ผลิตในการแก้ไขช่องโหว่ก่อนที่เปิดเผยข้อมูลเหล่านั้นสู่สาธารณะ ทำให้ช่องโหว่ที่ถูกโจมตีมักเป็นเพราะลูกค้าไม่ได้อัพเดตซอฟต์แวร์อย่างถูกต้อง

Evgeny Legerov ผู้ก่อตั้งบริษัท Intevydis ระบุว่าการรอผู้ผลิตแก้ไขนั้นเสียเวลามาก และผู้ผลิตไม่ได้ใส่ใจที่จะแก้ไขบั๊กที่ไม่ได้รับการเปิดเผยเหล่านี้ เช่น บั๊กของ RealPlayer ตัวหนึ่งที่บริษัทค้นพบตั้งแต่สองปีก่อน ยังไม่ได้รับการแก้ไขแม้จะมีการติดต่อแจ้งไปแล้ว

รากฐานแห่งการเข้ารหัสทุกวันนี้ส่วนหนึ่งเริ่มมาจากแนวคิดง่ายๆ คือหากเราคูณเลขขนาดใหญ่มากๆ สองตัวเข้าด้วยกันนั้นมักจะไม่ยากมาก แต่การแยกตัวประกอบออกมานั้นทำได้ยากและช้ามากๆ ประเด็นสำคัญคือถ้ามีใครสักคนสามารถแยกตัวประกอบได้เร็วก็หมายถึงว่าเขาสามารถถอดรหัสได้เร็วด้วยเช่นกัน และงานวิจัยล่าสุดได้มีการแสดงให้เห็นว่า RSA-768 นั้นสามารถถอดรหัสได้ภายในเวลาเพียงสองชั่วโมงเท่านั้น

เลข RSA นั้นเป็นเลขกึ่งจำนวนเฉพาะ คือเป็นตัวเลขที่คูณขึ้นมาจากจำนวนเฉพาะสองตัว จัดสร้างขึ้นมาเฉพาะเพื่อการแข่งขันทั้งสิ้น 54 จำนวน ปัจจุบันการแข่งขันนี้ได้ยกเลิกไปแล้วตั้งแต่ปี 2007 แต่ตัวเลขทั้ง 54 ชุดที่ตีพิมพ์ออกมายังเป็นโจทย์ที่สร้างความท้าทายให้กับผู้ท้าชิงต่อไป

ตอนที่ประธานาธิบดีโอบามาเข้ารับตำแหน่งใหม่ๆ เกิดข้อถกเถียงกันว่าเขาสามารถใช้ BlackBerry ต่อไปได้หรือไม่ เพราะข้อมูลต้องวิ่งผ่านเซิร์ฟเวอร์ของ RIM ซึ่งเป็นบริษัทแคนาดา และอาจมีปัญหาด้านความมั่นคงของชาติ สุดท้ายแล้ว โอบามาได้รับอนุญาตให้ใช้ BlackBerry ต่อไป โดยเปลี่ยนเป็น BlackBerry รุ่นพิเศษสำหรับประธานาธิบดีสหรัฐ