กูเกิลประกาศถอด Entrust root CA ออกจากฐานข้อมูล Chrome ภายในสิ้นเดือนตุลาคมนี้ เริ่มจาก Chrome 127 หลังจากทาง Entrust มีปัญหาการดำเนินงานไม่ได้ตามมาตรฐานหลายครั้ง

ปัญหาของ Entrust ไม่ได้มีครั้งใดครั้งหนึ่งร้ายแรงเป็นพิเศษ แต่มีความผิดพลาดต่อเนื่องตั้งแต่ปี 2022 เป็นต้นมา เช่น การตอบสนองต่อการขอยกเลิกใบรับรองล่าช้า, ใบรับรองพิมพ์ผิด, ออกใบรับรองโดยฟิลด์ผิดพลาด, หรือแม้แต่ส่งรายงานการตรวจสอบระบบล่าช้า

ใบรับรอง root CA ของ Entrust จะถูกถอดออกทั้งหมด 9 ใบ โดย Chrome จะไม่ยอมรับใบรับรองใดๆ ที่ได้รับรองโดย root CA เหล่านี้และมีค่า Signed Certificate Timestamp (SCT) หลังจากวันที่ 31 ตุลาคม 2024 เป็นต้นไป

บริษัท 0patch (อ่านว่า zero patch) ที่ทำธุรกิจด้านดูแลแพตช์ความปลอดภัยซอฟต์แวร์ ประกาศออกบริการซัพพอร์ต Windows 10 ต่อให้อีกอย่างน้อย 5 ปี ในราคาที่ถูกกว่าการซื้อบริการจากไมโครซอฟท์

Windows 10 จะหมดระยะซัพพอร์ตในเดือนตุลาคม 2025 ถ้าองค์กรต้องการแพตช์ความปลอดภัยต่อ สามารถซื้อ Extended Security Updates (ESU) ต่อจากไมโครซอฟท์ได้อีก 3 ปี ในราคารวม 427 ดอลลาร์

TeamViewer เปิดเผยว่าโดนเจาะระบบไอทีภายในบริษัท โดยระบุว่าเป็นแก๊งอาชญากรไซเบอร์ APT29 / Midnight Blizzard กลุ่มเดียวกับที่เจาะระบบของไมโครซอฟท์เมื่อต้นปีนี้

ตอนนี้ยังมีรายละเอียดของการเจาะระบบครั้งนี้ไม่เยอะนัก บอกเพียงว่าทีมของ TeamViewer พบเจอการเจาะระบบในวันที่ 26 มิถุนายนที่ผ่านมา และเจาะเข้าไปยังระบบไอทีสำนักงาน (Corporate IT environment) ยังไม่กระทบไปถึงส่วนผลิตภัณฑ์และข้อมูลลูกค้า ซึ่งถูกออกแบบมาให้แยกส่วนกันแต่แรกอยู่แล้ว

Cloudflare ประกาศเพิ่มฟีเจอร์แก้ไขโดเมน polyfill.io ให้ชี้ไปยัง https://cdnjs.cloudflare.com/polyfill/ โดยอัตโนมัติ หลังจากเจ้าของโดเมนปัจจุบันแทรกโค้ดเพื่อ redirect ผู้ใช้ไปยังเว็บพนัน แสดงให้เห็นเจตนาไม่ดี หากในอนาคตมีการแทรกโค้ดที่มุ่งร้ายยิ่งกว่านี้ก็จะสร้างความเสียหายได้มหาศาลเพราะยังมีเว็บไซต์นับแสนใช้สคริปต์ polyfill อยู่

กระบวนการแก้ HTML ที่ CDN นี้ใช้พลังประมวลผลสูง แต่ Cloudflare อาศัยโมดูล ROFL (Response Overseer for FL) โมดูลแก้ไฟล์ HTML ประสิทธิภาพสูงเขียนด้วย Rust มา parse ไฟล์ HTML และแก้แท็ก script ให้ชี้ไปยังโดเมนใหม่ได้อย่างมีประสิทธิภาพ

Polyfill โครงการจาวาสคริปต์สำหรับอิมพลีเมนต์ฟีเจอร์ใหม่ๆ ในเบราว์เซอร์ให้กับเบราว์เซอร์เก่าๆ ถูกแทรกโค้ดดึงผู้ใช้เข้าเว้บพนันหากเว็บเหยื่อดึงจาวาสคริปต์ผ่านโดเมน cdn.polyfill.io ที่เป็นเว็บเริ่มต้นแต่เดิม

Andrew Betts ผู้สร้างโครงการ Polyfill ออกมาระบุว่าเขาไม่ใช่เจ้าของโเดมนแต่แรก และต่อมาโดเมนถูกขายไปยังบริษัทจีนแห่งหนึ่งโดยเขาไม่รับรู้ด้วย อีกเหตุผลที่ควรเลิกใช้ Polyfill คือเบราว์เซอร์ยุคใหม่มีฟีเจอร์ครบถ้วนใกล้เคียงกันหมดแล้ว

Project Zero รายงานถึงแนวทางการทดสอบประสิทธิภาพ AI ในกลุ่ม LLM ว่าสามารถนำมาใช้ทดสอบความปลอดภัยซอฟต์แวร์ได้ดีเพียงใด โดยวางเฟรมเวิร์คให้ LLM เข้าถึงเครื่องมือที่จำเป็นสำหรับการเจาะระบบจริงๆ ได้แก่

กระทรวงพาณิชย์สหรัฐอเมริกา ออกคำสั่งแบน Kaspersky ไม่ให้ขายซอฟต์แวร์ความปลอดภัยให้กับลูกค้าในสหรัฐ ด้วยเหตุผลด้านความมั่นคงเพราะ Kaspersky เป็นบริษัทจากรัสเซีย และมีความเชื่อมโยงกับกองทัพ-หน่วยข่าวกรองของรัสเซียในปฏิบัติการไซเบอร์

คำสั่งแบนนี้รวมถึงการอัพเดตซอฟต์แวร์ให้ลูกค้าเก่าด้วย คำสั่งนี้จะมีผลในวันที่ 29 กันยายน 2024 เพื่อให้ลูกค้าของ Kaspersky ในสหรัฐมีระยะเวลาหาตัวเลือกอื่นทดแทน

AWS ประกาศเพิ่มฟีเจอร์ Passkey สำหรับการล็อกอินเข้าระบบด้วยกุญแจ USB, โทรศัพท์มือถือผ่านบัญชี Google/Apple, ล็อกบัญชีเข้ากับอุปกรณ์ที่รองรับ FIDO

แม้ว่า Passkey จะใช้แทนรหัสผ่านไปได้เลย แต่ตอนนี้ AWS ก็เลือกที่จะใช้รหัสผ่านต่อไป โดยใช้ Passkey เป็นแค่การล็อกอินขั้นที่สอง หน้าจอคอนโซลของ AWS เปิดให้เพิ่ม Passkey เข้าระบบเพิ่มขึ้นได้เรื่อยๆ ไม่จำกัดจำนวนอุปกรณ์

การเพิ่มฟีเจอร์ครั้งนี้มาพร้อมกับการบังคับว่า root account จะต้องล็อกอินสองขั้นตอนเท่านั้น โดยยังบังคับเฉพาะ root account ของ AWS Organization ก่อนโดยจะค่อยๆ ไล่บังคับไปจนครบภายในปีนี้

ศาลสิงคโปร์สั่งจำคุก Kandula Nagaraju เจ้าหน้าที่ฝ่าย Quality Assurance (QA) ของบริษัท NCS ผู้ให้บริการไอทีในสิงคโปร์ หลังจากที่ Kandula ล็อกอินเข้าระบบเพื่อลบ virtual machine ของบริษัทออกจากระบบไปถึง 180 เครื่องล้างแค้นที่ถูกไล่ออก

Kandula ทำงานกับ NCS ตั้งแต่ปลายปี 2021 จนถึงปลายปี 2022 และเมื่อครบสัญญาบริษัทก็แจ้งไม่ต่อสัญญากับเขา ทำให้ Kandula ผิดหวังเพราะมองว่าทำงานได้ดี หลังจากนั้น Kandula กลับไปยังอินเดียแต่ก็ได้รหัสผ่านระบบของ NCS กลับไปด้วย เขาทดลองล็อกอินหลายครั้งจนะกระทั่งกลับมาหางานที่สิงคโปร์ในช่วงเดือนมีนาคม 2023 เขาเขียนสคริปต์ลบเซิร์ฟเวอร์ของ NCS ทั้งระบบที่เขาเข้าถึงได้ 180 เครื่อง

ในการบรรยายคีย์โน้ตของงาน Apple WWDC 2024 เมื่อคืนที่ผ่านมาระหว่างการเปิดตัวชุดบริการ Apple Intelligence นั้นแอปเปิลยอมรับว่าต้องส่งข้อมูลบางส่วนขึ้นคลาวด์เนื่องจากต้องการประสิทธิภาพการประมวลผลที่สูงขึ้นเกินกว่าชิปบนอุปกรณ์จะรับไหว แต่แอปเปิลก็พยายามรักษาความเป็นส่วนตัวให้ใกล้เคียงกับการประมวลผลบนอุปกรณ์โดยตรงด้วย Private Cloud Compute คอมพิวเตอร์บนคลาวด์ออกแบบเฉพาะสำหรับการประมวลผลที่ยืนยันได้ว่าปลอดภัย

กสทช. สหรัฐฯ หรือ FCC ประกาศเริ่มกระบวนการร่างกฎควบคุมความปลอดภัยของบริษัทโทรคมนาคมให้มีการรักษาความปลอดภัยโปรโตคอล BGP

BGP เป็นโปรโตคอลสำหรับการประกาศว่าเส้นทางใดสามารถไปยังเน็ตเวิร์คใดได้บ้าง ซึ่งหากคนร้ายประกาศว่ามีช่องทางความเร็วสูงเพื่อเชื่อมต่อไปยังเน็ตเวิร์คของบริษัทเป้าหมาย ก็จะมีคนส่งทราฟิกไปยังคนร้ายได้ เรียกว่าการโจมตีแบบ BGP hijacks

Pavan Davuluri หัวหน้าฝ่าย Windows + Devices ชี้แจงประเด็นฟีเจอร์ Recall ใน Windows 11 ที่เปิดตัวในงาน Copilot+ PC ให้ผู้ใช้งานสามารถย้อนเวลาได้ว่าเคยใช้งาน Windows 11 ทำอะไรตอนไหน ซึ่งนักวิจัยด้านความปลอดภัยต่างแสดงความกังวล รวมทั้งออกเครื่องมือเพื่อพิสูจน์ว่าการเข้าถึงข้อมูลนี้ทำได้ไม่ยาก

Davuluri บอกว่าไมโครซอฟท์ต้องการแสดงความชัดเจนถึงฟีเจอร์นี้ หลังจากมีความคิดเห็นจากลูกค้า ซึ่งจะเริ่มอัปเดตให้กับกลุ่มพรีวิวในวันที่ 18 มิถุนายน

ที่ผ่านมา แอปเปิลไม่เคยประกาศนโยบายออกมาชัดเจนว่า iPhone จะได้รับซัพพอร์ตแพตช์ความปลอดภัยนานเท่าไร ถึงแม้ประวัติของแอปเปิลค่อนข้างดีเรื่องการซัพพอร์ตที่ยาวนานก็ตาม

ล่าสุดมีความชัดเจนขึ้นในเรื่องนี้ หลังสหราชอาณาจักรออกกฎ Product Security and Telecommunications Infrastructure กำหนดให้ผู้ผลิตอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตได้ ต้องแถลงนโยบายด้านแพตช์ความปลอดภัยของตัวเอง ซึ่งรวมถึง iPhone ด้วย

แอปเปิลได้ปฏิบัติตามกฎข้อนี้ และชี้แจงว่า iPhone 15 Pro Max ที่เริ่มวางขายในเดือนกันยายน 2023 มีระยะซัพพอร์ต "อย่างน้อย 5 ปี" (minimum five years) หลังวันวางขาย ซึ่งถือเป็นครั้งแรกที่แอปเปิลประกาศตัวเลขนี้ออกมาชัดๆ ให้เห็นกัน

Kevin Beaumont นักวิจัยด้านความปลอดภัย มีโอกาสลองเล่นฟีเจอร์ Recall ของ Windows 11 ที่เปิดตัวในงาน Copilot+ PC และพบว่ามีความเสี่ยงที่จะทำให้ข้อมูลส่วนบุคคลรั่วไหล หรือถูกขโมยข้อมูลได้

หลักการทำงานของ Recall คือบันทึกภาพหน้าจอเป็นระยะๆ แล้วใช้ OCR อ่านหน้าจอว่ามีข้อความอะไรบ้าง (ถ้าเป็นภาพก็จะใช้โมเดลจาก Azure AI อ่านภาพเพื่อดูว่าเป็นภาพอะไร ประมวลผลในเครื่อง) ข้อความเหล่านี้จะถูกเก็บลงฐานข้อมูล SQLite ในเครื่องเพื่อให้มาคุ้ยหาภายหลังได้ง่าย

บริษัทความปลอดภัย Kaspersky ออกเครื่องมือจัดการไวรัสและมัลแวร์บนลินุกซ์ Kaspersky Virus Removal Tool (KVRT) for Linux ซึ่งเคยมีเวอร์ชันบนวินโดวส์มาก่อนแล้ว

KVRT ไม่ได้เป็นแอนตี้ไวรัสเต็มรูปแบบที่คอยมอนิเตอร์เครื่องของเราอยู่ตลอดเวลา แต่ใช้สแกนดูได้ว่าเครื่องลินุกซ์ของเรามีไวรัสหรือมัลแวร์แอบแฝงอยู่หรือไม่ โปรแกรมตัวนี้เปิดให้ดาวน์โหลดฟรีบนเว็บไซต์ Kaspersky สิ่งที่ต้องแลกมาคือมันไม่อัพเดตฐานข้อมูลไวรัสให้อัตโนมัติ หากต้องการให้ข้อมูลอัพเดตก็ต้องขยันดาวน์โหลดไฟล์ใหม่มาเรื่อยๆ (Kaspersky บอกว่าเวอร์ชันไฟล์เปลี่ยนบ่อยๆ วันละหลายครั้ง)

ไมโครซอฟท์เปิดเผยรายละเอียดฝั่งความปลอดภัยของ Copilot+ PC ว่าจำเป็นต้องผ่านสเปก Secured-core PC มีความปลอดภัยระดับสูงตั้งแต่ขั้นของเฟิร์มแวร์ ต้องมีชิปความปลอดภัย Pluton ที่ไมโครซอฟท์ออกแบบ และเปิดใช้งานเป็นค่าดีฟอลต์

เงื่อนไขอื่นๆ คือต้องมี Windows Hello Enhanced Sign-in Security (ESS) โหมดความปลอดภัยขั้นสูงของ Windows Hello ที่เปิดใช้ฟีเจอร์ Virtualization Based Security (VBS) เก็บรักษาข้อมูลไบโอเมตริกแยกเฉพาะด้วย

สัปดาห์ที่ผ่านมา Cisco เปิดตัว Hypershield โซลูชันความปลอดภัยยุคใหม่ ที่คุยว่าสามารถป้องกัน "ช่องโหว่ความปลอดภัยที่ยังไม่รู้จัก" (Unknown Vulnerabilities) ได้ด้วย

ในโลกความปลอดภัยปัจจุบัน เมื่อมีการค้นพบช่องโหว่ใหม่ๆ จะรายงานเข้าฐานข้อมูล Common Vulnerabilities and Exposures (CVE) เพื่อให้ผู้ผลิตซอฟต์แวร์ออกแพตช์แก้ไข และเข้าสู่กระบวนการอัพเดตแพตช์ตามมา ลำพังแค่การค้นพบ CVE และอัพเดตแพตช์เป็นเรื่องที่ยุ่งยากซับซ้อนมากขึ้นเรื่อยๆ อยู่แล้ว แต่ก็ยังมีช่องโหว่ความปลอดภัยอีกแบบที่ผู้ผลิตซอฟต์แวร์ยังไม่รู้จักมาก่อนด้วย ที่สำคัญคือแฮ็กเกอร์บางกลุ่มอาจรู้แล้วและใช้ช่องโหว่กลุ่มนี้แบบเงียบๆ

GitHub เดินหน้าแก้ปัญหา supply chain attack หรือการยัดไส้มัลแวร์ลงในซอฟต์แวร์ยอดนิยมเพื่อกระจายต่อ ฟีเจอร์ของ GitHub ที่ออกแบบมาแก้ปัญหานี้เรียกว่า Artifact Attestations

Artifact Attestations อิงอยู่บนโครงการ Sigstore ของ Linux Foundation ที่ใช้วิธี sign ไฟล์ต่างๆ ทุกครั้งที่ออกเวอร์ชันใหม่ แล้วนำลายเซ็นดิจิทัลเหล่านี้ไปเก็บไว้ใน log ที่เปิดเผยต่อสาธารณะ ให้ตรวจสอบย้อนกลับได้ว่าเป็นไฟล์แท้จากนักพัฒนาต้นฉบับ

หลังจากเหตุการณ์คนร้ายส่งโค้ดมุ่งร้ายเข้าโครงการ XZ โดยคนร้ายแฝงตัวเป็นนักพัฒนาไปช่วยส่งโค้ดเล็กๆ น้อยสร้างความไว้วางใจให้กับผู้ดูแลโครงการเพื่อให้ยกสิทธิ์ส่งโค้ดให้คนร้าย ทาง OpenSSF และ OpenJS ก็ออกมาเตือนว่ามีคนร้ายใช้วิธีการแบบนี้กับโครงการอื่นๆ เหมือนกัน

รูปแบบการโจมตีเหมือนกับที่คนร้ายทำกับโครงการ XZ อย่างมาก ได้แก่ส่งโค้ดเข้ามาเล็กๆ น้อยๆ แม้จะดูเป็นมิตรแต่ก็พยายามเร่งให้โค้ดได้เข้าโครงการเร็วๆ จากนั้นจะมีบัญชีอื่นๆ ช่วยกันโวยวายว่าโค้ดเข้าโครงการช้า โดยโค้ดที่ส่งเข้ามามักจะอ่านยาก, มีไบนารีเป็นก้อนถูกส่งเข้ามาด้วย, หรือบางครั้งก็พยายามเปลี่ยนกระบวนการคอมไพล์โครงการ

Cisco ประกาศแผนการเชื่อมต่อซอฟต์แวร์ Cisco XDR ของตัวเอง เข้ากับ Splunk ที่เพิ่งซื้อกิจการเสร็จในเดือนมีนาคม 2024 ด้วยราคา 2.8 หมื่นล้านดอลลาร์ (1 ล้านล้านบาท)

Cisco อธิบายว่าวิสัยทัศน์ในการซื้อ Splunk คือต้องการสร้างโซลูชันการให้บริการความปลอดภัย (Security Operation Center หรือ SOC) บริษัทมองว่าต้องมีบริการที่ครอบคลุมทั้ง ตรวจจับ สืบค้น รับมือต่อภัยคุกคาม (Threat Detection, Investigation, and Response ตัวย่อ TDIR)

กูเกิลเปิดตัว Google Threat Intelligence บริการสารสนเทศความปลอดภัยไซเบอร์แบบครบวงจร ที่รวมร่างผลิตภัณฑ์ด้านความปลอดภัยในเครือกูเกิล ได้แก่ Mandiant (ซื้อมาปี 2022), VirusTotal (ซื้อมาปี 2012) และพ่วงด้วยพลัง Gemini เข้ามาอีกอย่าง

ไมโครซอฟท์ประกาศยกระดับนโยบายด้านความปลอดภัยครั้งใหญ่ หลังโดนแฮ็กเกอร์กลุ่ม Storm-0558 ขโมยกุญแจ Azure AD ในเดือนกรกฎาคม 2023 และ กลุ่ม Midnight Blizzard โจมตีระบบภายใน และขโมยข้อมูลบางส่วนของบริษัทเมื่อต้นปี 2024

ไมโครซอฟท์มีนโยบายความปลอดภัยในภาพใหญ่ชื่อ Secure Future Initiative (SFI) เปิดตัวในเดือนพฤศจิกายน 2023 แต่ล่าสุดทีมบริหารของไมโครซอฟท์บอกว่ายังไม่เพียงพอ ประกาศรอบนี้คือการขยาย SFI ให้ครอบคลุมทั่วทั้งบริษัทในทุกแง่มุม

กูเกิลสรุปสถิติการต่อสู้กับแอพประสงค์ร้าย แอพเสี่ยงภัยต่างๆ บน Google Play ในปี 2023 ดังนี้

วันนี้กฎหมาย Product Security and Telecommunications Infrastructure (PSTI) ที่ตราเป็นกฎหมายสหราชอาณาจักรตั้งแต่ปี 2022 เริ่มบังคับใช้เป็นวันแรก (29 เมษายน 2024) ส่งผลให้สินค้าที่เชื่อมต่ออินเทอร์เน็ตในสหราชอาณาจักรต้องมีมาตรการความปลอดภัยเพิ่มเติม 3 ประการ ได้แก่

ที่งาน Money 20/20 Asia ที่กรุงเทพฯ สัปดาห์ที่ผ่านมา Tony Petrov ประธานเจ้าหน้าที่ฝ่ายกฎหมายของบริษัท Sumsub ผู้ให้บริการยืนยันตัวตนลูกค้า (know-your-customer - KYC) ระบุถึงความก้าวหน้าของเทคโนโลยี AI ทุกวันนี้ว่าก้าวหน้าขึ้นเรื่อยๆ แต่เทคโนโลยีการตรวจสอบก็ได้รับการพัฒนาเช่นกัน

Sumsub พยายามพัฒนาระบบตรวจจับภาพ Deepfake ของตัวเองโดยมีทีมสร้างภาพ Deepfake เพื่อมาหลอกระบบตรวจสอบไปพร้อมกัน โดยลูกค้าจำนวนมากเป็นกลุ่มบริการคริปโต เช่นตลาดคริปโตอย่าง Binance