บริษัทรักษาความปลอดภัย Trend Micro รายงานว่า พบมัลแวร์ แฝงตัวอยู่ในโปรแกรม Autocad ที่มีลิขสิทธิ์ถูกต้องตามกฏหมาย โดยมัลแวร์ดังกล่าวจะฝังตัวอยู่ในไฟล์ที่ใช้นามสกุล .FAS

หากเป้าหมายมีการใช้งานพอร์ต 137 to 139 และ 445 ซึ่งเป็นพอร์ตที่เกี่ยวกับ NETBIOS ที่จะอนุญาตให้ผู้ใช้ที่อยู่บนเครื่องหนึ่งสามารถใช้ไฟล์ที่อยู่ในอีกเครื่องหนึ่งโดยเปรียบเสมือนว่าไฟล์นั้นอยู่ในเครื่องของผู้ใช้เองได้ (Share)

ดังนั้น มัลแวร์ดังกล่าวจะทำการแพร่กระจายไปยังเครื่องคอมพิวเตอร์ต่างๆที่มีการแชร์ข้อมูลร่วมกันได้ และผู้โจมตีสามารถที่จะเข้าถึง หรือขโมยข้อมูลที่สำคัญของเป้าหมายได้โดยง่าย

ที่มา : ehackingnews

Oren Hafif นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ในขั้นตอนการรีเซ็ต password ของบัญชี Google ที่ช่วยให้ผู้โจมตีสามารถ Hijack ไปยังบัญชีของผู้ใช้อื่น ๆ ได้

วิธีการคือ ผู้โจมตีจะส่งอีเมล “Confirm account ownership” ที่อ้างว่ามาจาก Google ไปยังเหยื่อ ซึ่งในอีเมลจะมีลิงค์ไปยังเว็บเพจเพื่อใช้ในการยืนยันตัวตนและข้อความเตือนให้เหยื่อทำการเปลี่ยนรหัสผ่าน เมื่อเหยื่อทำการคลิกลิงค์สามารถสังเกตุได้ว่า URL ที่ปรากฏจะเป็น HTTPS Google.

Oren Hafif นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ในขั้นตอนการรีเซ็ต password ของบัญชี Google ที่ช่วยให้ผู้โจมตีสามารถ Hijack ไปยังบัญชีของผู้ใช้อื่น ๆ ได้

วิธีการคือ ผู้โจมตีจะส่งอีเมล “Confirm account ownership” ที่อ้างว่ามาจาก Google ไปยังเหยื่อ ซึ่งในอีเมลจะมีลิงค์ไปยังเว็บเพจเพื่อใช้ในการยืนยันตัวตนและข้อความเตือนให้เหยื่อทำการเปลี่ยนรหัสผ่าน เมื่อเหยื่อทำการคลิกลิงค์สามารถสังเกตุได้ว่า URL ที่ปรากฏจะเป็น HTTPS Google.

การรักษาความปลอดภัยขั้นสุดท้ายเป็นปัญหาสำคัญขององค์กรจำนวนมาก เช่น รหัส root ของเครื่องเซิร์ฟเวอร์หลักในระบบ รหัสผ่านเพื่อเข้าถึง private key บนสมาร์ทการ์ด การเก็บรักษาข้อมูลเหล่านี้ส่วนมากต้องอาศัยการพิมพ์ออกมาเป็นกระดาษแล้วนำไปเก็บรักษาไว้ที่ปลอดภัยเช่นตู้เซฟธนาคารที่ต้องการกุญแจสองดอกให้เปิดพร้อมกันจึงนำข้อมูลออกมาใช้งานได้ ตอนนี้ CloudFlare ผู้ให้บริการ reverse proxy รายใหญ่ก็นำโครงการภายในที่ชื่อว่า Red October ออกมาให้ใช้งานกัน
Red October คือเซิร์ฟเวอร์เข้ารหัสและถอดรหัส โดยไม่มีข้อมูลที่ต้องการเก็บรักษาอยู่บนเซิร์ฟเวอร์จริง ในตัวเซิร์ฟเวอร์ของ Red October นั้นจะเก็บกุญแจ RSA ของผู้ใช้ทุกคนเอาไว้ เมื่อมีการร้องขอให้เข้ารหัสข้อมูลใดๆ เซิร์ฟเวอร์จะ

สร้างกุญแจสมมาตรโดยสุ่มเลขขึ้นมาใหม่
เข้ารหัสข้อมูลด้วยกุญแจสมมาตรนั้น
จับกลุ่มทุกกลุ่มที่เป็นไปได้ ตามที่ผู้ขอให้เข้ารหัสกำหนด เช่น กำหนดผู้ใช้ที่มีสิทธิ์ถอดรหัส 3 คน โดยต้องใช้ 2 คนถอดรหัส จะจับได้ 3 กลุ่ม (3 เลือก 2)
ใช้กุญแจสาธารณะของแต่ละคนในแต่ละกลุ่มเข้ารหัสกุญแจสมมาตรเป็นชั้นๆ จนครบจำนวนคนแล้วจัดเก็บ

กระบวนการถอดรหัสนั้นกลับข้างกัน โดยผู้ใช้จะต้องล็อกอินในระบบแล้ว "ให้สิทธิ์" (delegate) ในการเข้าถึงกุญแจส่วนตัว (private key) กับเซิร์ฟเวอร์โดยระบุระยะเวลา การให้สิทธิ์ต้องระบุระยะเวลาและจำนวนครั้งที่ใช้งานได้ เมื่อมีผู้ใช้ร้องขอการถอดรหัสข้อมูล ข้อมูลที่ใส่เข้ามาจะมีข้อมูลอยู่แล้วว่าใครเป็นผู้ถอดรหัสได้บ้าง เซิร์ฟเวอร์จะเข้าไปตามหาว่าผู้ใช้เหล่านั้นได้ให้สิทธิ์ไว้หรือไม่ หากให้สิทธิ์ไว้ครบจำนวนคนก็จะถอดรหัสไปได้

ในการใช้งานจริง เช่น ผู้ดูแลระบบต้องการเข้าถึงรหัส root ของเซิร์ฟเวอร์ตัวหนึ่ง เขาอาจจะต้องเดินไปบอกหัวหน้าฝ่ายสองคนพร้อมกัน หัวหน้าฝ่ายทั้งสองคนก็ล็อกอินเข้ามาให้สิทธิ์กับเซิร์ฟเวอร์คนละสิบนาที เราสามารถดึงไฟล์รหัสผ่านที่เข้ารหัสไว้ แล้วนำมาขอถอดรหัสได้

กระบวนการนี้เลียนแบบการปล่อยอาวุธนิวเคลียร์ที่มีกฎ two-man rule คือ ห้ามมีใครคนใดคนหนึ่งมีสิทธิ์ปล่อยอาวุธนิวเคลียร์ด้วยตัวเอง Red October คงมีจุดอ่อนสำคัญคือการวางกุญแจส่วนตัว RSA ไว้ในเซิร์ฟเวอร์ หากเซิร์ฟเวอร์ถูกเจาะไปได้และมีการดัดแปลงโค้ดเพื่อเก็บรหัสผ่านสำหรับการเปิดไฟล์กุญแจลับนี้ก็คงทำให้แฮกเกอร์ดึงข้อมูลออกไปได้ แต่ทั้งนี้มันเป็นระบบจัดการสิทธิ์ที่พึ่งรหัสวิทยาอย่างมากเทียบกับระบบ workflow อื่นๆ ที่มักไม่มีการเข้ารหัสใดๆ ทาง CloudFlare เปิดให้ดาวน์โหลด Red October ไปใช้งานได้ฟรี รวมถึงนำซอร์สโค้ดไปตรวจสอบความปลอดภัยได้

ที่มา : blognone

การรักษาความปลอดภัยขั้นสุดท้ายเป็นปัญหาสำคัญขององค์กรจำนวนมาก เช่น รหัส root ของเครื่องเซิร์ฟเวอร์หลักในระบบ รหัสผ่านเพื่อเข้าถึง private key บนสมาร์ทการ์ด การเก็บรักษาข้อมูลเหล่านี้ส่วนมากต้องอาศัยการพิมพ์ออกมาเป็นกระดาษแล้วนำไปเก็บรักษาไว้ที่ปลอดภัยเช่นตู้เซฟธนาคารที่ต้องการกุญแจสองดอกให้เปิดพร้อมกันจึงนำข้อมูลออกมาใช้งานได้ ตอนนี้ CloudFlare ผู้ให้บริการ reverse proxy รายใหญ่ก็นำโครงการภายในที่ชื่อว่า Red October ออกมาให้ใช้งานกัน
Red October คือเซิร์ฟเวอร์เข้ารหัสและถอดรหัส โดยไม่มีข้อมูลที่ต้องการเก็บรักษาอยู่บนเซิร์ฟเวอร์จริง ในตัวเซิร์ฟเวอร์ของ Red October นั้นจะเก็บกุญแจ RSA ของผู้ใช้ทุกคนเอาไว้ เมื่อมีการร้องขอให้เข้ารหัสข้อมูลใดๆ เซิร์ฟเวอร์จะ

สร้างกุญแจสมมาตรโดยสุ่มเลขขึ้นมาใหม่
เข้ารหัสข้อมูลด้วยกุญแจสมมาตรนั้น
จับกลุ่มทุกกลุ่มที่เป็นไปได้ ตามที่ผู้ขอให้เข้ารหัสกำหนด เช่น กำหนดผู้ใช้ที่มีสิทธิ์ถอดรหัส 3 คน โดยต้องใช้ 2 คนถอดรหัส จะจับได้ 3 กลุ่ม (3 เลือก 2)
ใช้กุญแจสาธารณะของแต่ละคนในแต่ละกลุ่มเข้ารหัสกุญแจสมมาตรเป็นชั้นๆ จนครบจำนวนคนแล้วจัดเก็บ

กระบวนการถอดรหัสนั้นกลับข้างกัน โดยผู้ใช้จะต้องล็อกอินในระบบแล้ว "ให้สิทธิ์" (delegate) ในการเข้าถึงกุญแจส่วนตัว (private key) กับเซิร์ฟเวอร์โดยระบุระยะเวลา การให้สิทธิ์ต้องระบุระยะเวลาและจำนวนครั้งที่ใช้งานได้ เมื่อมีผู้ใช้ร้องขอการถอดรหัสข้อมูล ข้อมูลที่ใส่เข้ามาจะมีข้อมูลอยู่แล้วว่าใครเป็นผู้ถอดรหัสได้บ้าง เซิร์ฟเวอร์จะเข้าไปตามหาว่าผู้ใช้เหล่านั้นได้ให้สิทธิ์ไว้หรือไม่ หากให้สิทธิ์ไว้ครบจำนวนคนก็จะถอดรหัสไปได้

ในการใช้งานจริง เช่น ผู้ดูแลระบบต้องการเข้าถึงรหัส root ของเซิร์ฟเวอร์ตัวหนึ่ง เขาอาจจะต้องเดินไปบอกหัวหน้าฝ่ายสองคนพร้อมกัน หัวหน้าฝ่ายทั้งสองคนก็ล็อกอินเข้ามาให้สิทธิ์กับเซิร์ฟเวอร์คนละสิบนาที เราสามารถดึงไฟล์รหัสผ่านที่เข้ารหัสไว้ แล้วนำมาขอถอดรหัสได้

กระบวนการนี้เลียนแบบการปล่อยอาวุธนิวเคลียร์ที่มีกฎ two-man rule คือ ห้ามมีใครคนใดคนหนึ่งมีสิทธิ์ปล่อยอาวุธนิวเคลียร์ด้วยตัวเอง Red October คงมีจุดอ่อนสำคัญคือการวางกุญแจส่วนตัว RSA ไว้ในเซิร์ฟเวอร์ หากเซิร์ฟเวอร์ถูกเจาะไปได้และมีการดัดแปลงโค้ดเพื่อเก็บรหัสผ่านสำหรับการเปิดไฟล์กุญแจลับนี้ก็คงทำให้แฮกเกอร์ดึงข้อมูลออกไปได้ แต่ทั้งนี้มันเป็นระบบจัดการสิทธิ์ที่พึ่งรหัสวิทยาอย่างมากเทียบกับระบบ workflow อื่นๆ ที่มักไม่มีการเข้ารหัสใดๆ ทาง CloudFlare เปิดให้ดาวน์โหลด Red October ไปใช้งานได้ฟรี รวมถึงนำซอร์สโค้ดไปตรวจสอบความปลอดภัยได้

ที่มา : blognone

การรักษาความปลอดภัยขั้นสุดท้ายเป็นปัญหาสำคัญขององค์กรจำนวนมาก เช่น รหัส root ของเครื่องเซิร์ฟเวอร์หลักในระบบ รหัสผ่านเพื่อเข้าถึง private key บนสมาร์ทการ์ด การเก็บรักษาข้อมูลเหล่านี้ส่วนมากต้องอาศัยการพิมพ์ออกมาเป็นกระดาษแล้วนำไปเก็บรักษาไว้ที่ปลอดภัยเช่นตู้เซฟธนาคารที่ต้องการกุญแจสองดอกให้เปิดพร้อมกันจึงนำข้อมูลออกมาใช้งานได้ ตอนนี้ CloudFlare ผู้ให้บริการ reverse proxy รายใหญ่ก็นำโครงการภายในที่ชื่อว่า Red October ออกมาให้ใช้งานกัน
Red October คือเซิร์ฟเวอร์เข้ารหัสและถอดรหัส โดยไม่มีข้อมูลที่ต้องการเก็บรักษาอยู่บนเซิร์ฟเวอร์จริง ในตัวเซิร์ฟเวอร์ของ Red October นั้นจะเก็บกุญแจ RSA ของผู้ใช้ทุกคนเอาไว้ เมื่อมีการร้องขอให้เข้ารหัสข้อมูลใดๆ เซิร์ฟเวอร์จะ

สร้างกุญแจสมมาตรโดยสุ่มเลขขึ้นมาใหม่
เข้ารหัสข้อมูลด้วยกุญแจสมมาตรนั้น
จับกลุ่มทุกกลุ่มที่เป็นไปได้ ตามที่ผู้ขอให้เข้ารหัสกำหนด เช่น กำหนดผู้ใช้ที่มีสิทธิ์ถอดรหัส 3 คน โดยต้องใช้ 2 คนถอดรหัส จะจับได้ 3 กลุ่ม (3 เลือก 2)
ใช้กุญแจสาธารณะของแต่ละคนในแต่ละกลุ่มเข้ารหัสกุญแจสมมาตรเป็นชั้นๆ จนครบจำนวนคนแล้วจัดเก็บ

กระบวนการถอดรหัสนั้นกลับข้างกัน โดยผู้ใช้จะต้องล็อกอินในระบบแล้ว "ให้สิทธิ์" (delegate) ในการเข้าถึงกุญแจส่วนตัว (private key) กับเซิร์ฟเวอร์โดยระบุระยะเวลา การให้สิทธิ์ต้องระบุระยะเวลาและจำนวนครั้งที่ใช้งานได้ เมื่อมีผู้ใช้ร้องขอการถอดรหัสข้อมูล ข้อมูลที่ใส่เข้ามาจะมีข้อมูลอยู่แล้วว่าใครเป็นผู้ถอดรหัสได้บ้าง เซิร์ฟเวอร์จะเข้าไปตามหาว่าผู้ใช้เหล่านั้นได้ให้สิทธิ์ไว้หรือไม่ หากให้สิทธิ์ไว้ครบจำนวนคนก็จะถอดรหัสไปได้

ในการใช้งานจริง เช่น ผู้ดูแลระบบต้องการเข้าถึงรหัส root ของเซิร์ฟเวอร์ตัวหนึ่ง เขาอาจจะต้องเดินไปบอกหัวหน้าฝ่ายสองคนพร้อมกัน หัวหน้าฝ่ายทั้งสองคนก็ล็อกอินเข้ามาให้สิทธิ์กับเซิร์ฟเวอร์คนละสิบนาที เราสามารถดึงไฟล์รหัสผ่านที่เข้ารหัสไว้ แล้วนำมาขอถอดรหัสได้

กระบวนการนี้เลียนแบบการปล่อยอาวุธนิวเคลียร์ที่มีกฎ two-man rule คือ ห้ามมีใครคนใดคนหนึ่งมีสิทธิ์ปล่อยอาวุธนิวเคลียร์ด้วยตัวเอง Red October คงมีจุดอ่อนสำคัญคือการวางกุญแจส่วนตัว RSA ไว้ในเซิร์ฟเวอร์ หากเซิร์ฟเวอร์ถูกเจาะไปได้และมีการดัดแปลงโค้ดเพื่อเก็บรหัสผ่านสำหรับการเปิดไฟล์กุญแจลับนี้ก็คงทำให้แฮกเกอร์ดึงข้อมูลออกไปได้ แต่ทั้งนี้มันเป็นระบบจัดการสิทธิ์ที่พึ่งรหัสวิทยาอย่างมากเทียบกับระบบ workflow อื่นๆ ที่มักไม่มีการเข้ารหัสใดๆ ทาง CloudFlare เปิดให้ดาวน์โหลด Red October ไปใช้งานได้ฟรี รวมถึงนำซอร์สโค้ดไปตรวจสอบความปลอดภัยได้

ที่มา : blognone

รายงานข่าวจาก The Sydney Morning Herald อ้างถึงเอกสารฉบับหนึ่งของ Edward Snowden แต่ไม่เปิดเผยเอกสารโดยตรง ระบุว่า NSA มีโครงการพันธมิตร ทำให้สามารถเข้าถึงสายไฟเบอร์ได้โดยตรง 20 จุดทั่วโลก นอกจากนี้ยังมีคอมพิวเตอร์ที่ติดมัลแวร์อีกจำนวนมากทำหน้าที่เป็นจุดดักฟังให้กับ NSA

จุดดักฟังของ NSA ส่วนมากอยู่ในสหรัฐฯ แต่มีบางจุดที่อยู่ในยุโรป, เกาหลีใต้, ตะวันออกกลาง และแถบอินโดนีเซีย โดยรวมทำให้การเชื่อมต่อข้ามทวีปแทบทั้งหมดต้องผ่านจุดดักฟังเหล่านี้

ในเอกสารอีกฉบับระบุถึงโครงการ Five Eyes เป็นข้อเสนอเพื่อขยายความร่วมมือระหว่างอังกฤษและสหรัฐฯ ตั้งแต่ปี 1946 โดยเสนอให้ขยายไปยัง ออสเตรเลีย, นิวซีแลนด์, และแคนาดา ข้อตกลงนี้คือการแชร์เครือข่ายดักฟังกันและกัน โดยไม่ดักฟังประชาชนอีกฝ่าย แต่หากจำเป็นก็สามารถดักฟังโดยไม่แจ้งได้

สำหรับประเทศไทยถูกจัดให้เป็นศูนย์ระดับภูมิภาค มีจุดบริการดักฟังพิเศษ (Special Collection Service - SCS) อยู่มากกว่า 80 จุดในกรุงเทพฯ เช่นเดียวกับเมืองสำคัญทั่วโลก เช่น เบอร์ลิน, นิวเดลี, โรม, สิงคโปร์ แต่ยังไม่มีบริการดักฟังเคเบิลขนาดใหญ่ จุดดักฟังเหล่านี้อาจจะเป็นการวางมัลแวร์ไว้ในคอมพิวเตอร์ของผู้ให้บริการ เพื่อให้ส่งข้อมูลกลับไปยัง NSA ได้เมื่อมีการร้องขอ ในปี 2008 NSA วางจุดเช่นนี้ไว้มากกว่า 20,000 จุดทั่วโลก และในเอกสารล่าสุดที่หนังสือพิมพ์ NRC ของเนเธอร์แลนด์อ้างถึง (แต่ไม่เปิดเผย) ก็ระบุว่ามีถึง 50,000 จุดแล้ว

ที่มา : theguardian

DoctorBeet ได้พบว่า LG's smart TVs นั้น จะเก็บข้อมูลทั้งหมดที่เราเคยใช้งานใน LG's smart TVs หรือข้อมูลต่างๆ ที่มาจากอุปกรณ์ USB ทั้งหมด จากนั้นจะส่งข้อมูลทั้งหมดไปยังเซิร์ฟเวอร์ของ LG โดยที่เราไม่รู้ตัว

ทาง LG จะเก็บรวบรวมข้อมูลทั้งหมดที่ได้มา แล้วนำไปสรุปสร้างเป็นโฆษณาเพื่อส่งเสริมการขาย ทั้งนี้ทาง LG อาจนำข้อมูลที่ได้มาไปใช้ในทางที่ไม่พึงประสงค์ได้

ที่มา :  thehackernews

หน่วยงาน National Crime Agency (NCA) ของประเทศสหรัฐได้ออกมาแจ้งเตือนให้ระวังภัยคุกคามทางอีเมล โดยในปัจจุบันพบว่าผู้ใช้ในประเทศสหรัฐจำนวน 10 ล้านคนได้ตกเป็นเป้าหมายของภัยคุกคามครั้งนี้ ซึ่งเป้าหมายของการโจมตีครั้งนี้คือ บังคับให้เป้าหมายจ่ายเงินเพื่อแลกกับข้อมูลที่อยู่ในเครื่องคอมพิวเตอร์ของเป้าหมาย มัลแวร์ที่ใช้ในการโจมตีครั้งนี้มีมีชื่อว่า CryptoLocker ซึ่งจะเข้ารหัสข้อมูลในเครื่องของเป้าหมาย มัลแวร์ตัวนี้ได้ถูกเผยแพร่ผ่านทางไฟล์แนบในอีเมลที่มีความน่าเชื่อถือ จึงทำให้เป้าหมายหลงเชื่อได้ง่าย หากเป้าหมายกดลิงค์ที่มาพร้อมอีเมลนั้น มัลแวร์ดังกล่าวจะแพร่กระจายไปยังเครื่องคอมพิวเตอร์ทันที จึงทำให้ไม่สามารถเข้าถึงข้อมูลต่างๆในคอมพิวเตอร์ได้ ถ้าต้องการที่จะได้ข้อมูลนั้นคืนมา เป้าหมายจะต้องจ่ายเงินจำนวน 2 Bitcoins เพื่อแลกกับข้อมูล หน่วยงาน National Crime Agency (NCA) ของประเทศสหรัฐ ได้แจ้งว่าหากผู้ใดพบเหตุการณ์ดังกล่างให้แจ้งเรื่องกลับมาที่ www.

นักวิจัยของ Trend Micro ได้พบการทำงานร่วมกันที่น่าสนใจของมัลแวร์ โดยการโจมตีเริ่มที่แฮกเกอร์ส่งอีเมล์ที่มีการแนบไฟล์มายังเป้าหมาย เมื่อเป้าหมายกดดาวน์โหลดไฟล์แนบขึ้นมาเปิดดูจะเป็นการลง Backdoor ที่มีชื่อว่า Andromeda เมื่อ Backdoor Andromeda ถูกลงและรันแล้วมันจะสั่งดาวน์โหลดโทรจัน Zeus และ Sinowal มาลงที่เครื่องของเป้าหมาย โดยโทรจัน Sinowal จะทำหน้าที่ปิดการทำงานของโปรแกรม Trusteer’s Rapport ซึ่งเป็นโปรแกรมที่จะปกป้องผู้ใช้จาก phishing และการโจมตีแบบ man-in-the-browser โดยโปรแกรมตัวนี้เป็นโปรแกรมยอดนิยมที่ธนาคารจะแนะนำให้ผู้ใช้ลง ถ้าโทรจัน Sinowal ทำสำเร็จโทรจันก็จะทำการโจมตีแบบ Man-in-the-Browser เพื่อดักจับข้อมูลของเป้าหมายเมื่อเป้าหมายใช้งานอินเตอร์เน็ต แต่จากรายงานของ Trusteer ได้ระบุว่าการทำงานของ โทรจัน Sinowal ไม่สามารถปิดการทำงานของโปรแกรม Trusteer’s Rapport ได้

ที่มา : net-security