นักวิจัยด้านความปลอดภัยชื่อว่า  Aaron Grattafiori และ Josh Yavor ได้สาธิตวิธีการเจาะระบบของสมาร์ททีวียี่ห้อซัมซุงในรุ่นปี 2012 ในงานสัมมนาด้านความปลอดภัย Black Hat เพื่อบังคับให้เปิดกล้องของตัวเครื่องสมาร์ททีวีและเข้าไปล้วงข้อมูลในแอพสังคมออนไลน์ต่าง ๆ เช่น Facebook, Twitter หรือแม้แต่ Skype
นอกจากนี้ยังสามารถเข้าถึงไฟล์และระบบการทำงานเบื้องต้นของสมาร์ททีวีได้อีกด้วย

แอพของเครื่องสมาร์ททีวีนั้น ส่วนใหญ่ก็เขียนด้วยแพลตฟอร์ม JavaScript หรือ HTML5 และตอนที่กำลังจะเจาะระบบนั้น ก็จะเจาะเข้าไปอย่างง่ายดาย ย่อมส่งผลไปยัง API ต่าง ๆ ที่อยู่ในระบบ

โดยนักวิจัย Grattafiori และ Yavor เจาะระบบผ่านระบบแชท หรือผ่านบราว์เซอร์ ซึ่งเมื่อแฮกเกอร์เจาะระบบได้แล้ว ก็เท่ากับว่าแฮกเกอร์สามารถควบคุมทีวีได้ทันที และก็เปรียบเสมือนว่า มันคือไวรัสประจำทีวีก็ว่าได้

ส่วนวิธีการป้องกันการเจาะระบบทีวีนั้นนักวิจัย Grattafiori และ Yavor บอกว่า หมั่นตรวจสอบอัพเดทแอพเป็นประจำ คอยระมัดระวังไม่ให้เข้าเว็บที่เราไม่รู้จักเป็นอันขาด

สำหรับตัวสมาร์ททีวีนั้นมีจำนวนกว่า 67 ล้านเครื่องทั่วโลกในปี 2012 และคาดว่าจะเพิ่มขึ้นเป็น 85 ล้านเครื่องในสิ้นปีนี้ ซึ่งนี่อาจจะกลายเป็นการเจาะระบบตามบ้านเรือนใหญ่ที่สุดเลยก็ว่าได้

ที่มา : mashable

นักวิจัยด้านความปลอดภัยชื่อว่า  Aaron Grattafiori และ Josh Yavor ได้สาธิตวิธีการเจาะระบบของสมาร์ททีวียี่ห้อซัมซุงในรุ่นปี 2012 ในงานสัมมนาด้านความปลอดภัย Black Hat เพื่อบังคับให้เปิดกล้องของตัวเครื่องสมาร์ททีวีและเข้าไปล้วงข้อมูลในแอพสังคมออนไลน์ต่าง ๆ เช่น Facebook, Twitter หรือแม้แต่ Skype
นอกจากนี้ยังสามารถเข้าถึงไฟล์และระบบการทำงานเบื้องต้นของสมาร์ททีวีได้อีกด้วย

แอพของเครื่องสมาร์ททีวีนั้น ส่วนใหญ่ก็เขียนด้วยแพลตฟอร์ม JavaScript หรือ HTML5 และตอนที่กำลังจะเจาะระบบนั้น ก็จะเจาะเข้าไปอย่างง่ายดาย ย่อมส่งผลไปยัง API ต่าง ๆ ที่อยู่ในระบบ

โดยนักวิจัย Grattafiori และ Yavor เจาะระบบผ่านระบบแชท หรือผ่านบราว์เซอร์ ซึ่งเมื่อแฮกเกอร์เจาะระบบได้แล้ว ก็เท่ากับว่าแฮกเกอร์สามารถควบคุมทีวีได้ทันที และก็เปรียบเสมือนว่า มันคือไวรัสประจำทีวีก็ว่าได้

ส่วนวิธีการป้องกันการเจาะระบบทีวีนั้นนักวิจัย Grattafiori และ Yavor บอกว่า หมั่นตรวจสอบอัพเดทแอพเป็นประจำ คอยระมัดระวังไม่ให้เข้าเว็บที่เราไม่รู้จักเป็นอันขาด

สำหรับตัวสมาร์ททีวีนั้นมีจำนวนกว่า 67 ล้านเครื่องทั่วโลกในปี 2012 และคาดว่าจะเพิ่มขึ้นเป็น 85 ล้านเครื่องในสิ้นปีนี้ ซึ่งนี่อาจจะกลายเป็นการเจาะระบบตามบ้านเรือนใหญ่ที่สุดเลยก็ว่าได้

ที่มา : mashable

นักวิจัยความปลอดภัยนำเสนอกระบวนการเจาะการเข้ารหัสเพื่อหาข้อความในเว็บที่เข้ารหัส HTTPS ได้ภายใน 30 วินาทีที่งาน Black Hat

BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) อาศัยการดักฟังผู้ใช้ที่เข้าเว็บที่เข้ารหัสและบีบอัดข้อมูลแบบ DEFLATE ซึ่งเบราว์เซอร์รองรับเป็นมาตรฐาน และต้องบังคับให้ผู้ใช้เข้าเว็บที่มีสคริปต์ฝังอยู่
ซึ่งหากดักฟังแล้วก็ทำได้ง่าย เพราะใช้การโจมตีแบบ man-in-the-middle แทรกโค้ดเข้าไปยังเว็บอื่นๆ ที่ไม่ได้เข้ารหัสได้

หลังจากที่ฝังสคริปต์ได้แล้ว สคริปต์จะเรียกหน้าข้อความโดยพยายามให้มีเนื้อความเป็นข้อความที่กำหนดได้ เช่นสั่งเรียกหน้า reply โดยกำหนดอีเมลลงไป หลังจากนั้นจึงดูขนาดของเนื้อหาที่ส่งกลับมาว่ามีขนาดเท่าใด

หากแฮกเกอร์คาดเดาอีเมล์ได้ถูกต้อง ขนาดไฟล์ที่ส่งกลับมาจะมีขนาดเล็กลง แฮ็กเกอร์สามารถค่อยๆ เดาทีละตัวอักษรเพื่อรู้อีเมลแอดเดรสได้

กระบวนการนี้เป็นการโจมตีรูปแบบเดียวกับ CRIME ที่ใช้โจมตี SDPY เพียงแต่รอบนั้นเป็นการโจมตีที่การบีบอัดส่วนหัว (header) ของข้อความ การปิดการบีบอัดไม่เสียหายอะไรมากนัก แต่การบีบอัดเว็บนั้นมีการใช้งานกันโดยทั่วไป และช่วยให้เว็บทำงานได้เร็วขึ้นมาก
การปิดการทำงานของการบีบอัดคงเป็นเรื่องยากกว่ามาก

ที่มา : thehackernews

Facebook มีโครงการให้รางวัลกับผู้ที่พบบั๊กนี้มานาน แต่ก็ไม่ได้เปิดเผยออกมาภายนอกมากนัก รายงานล่าสุดระบุว่ามีการจ่ายเงินรางวัลไปแล้วกว่าล้านดอลลาร์ สรุปเป็นรายการได้ดังนี้
•    มีผู้ได้รับรางวัลทั้งหมด 329 คน
•    มี 2 คนในจำนวนนี้เข้าเป็นพนักงานในทีมระบบความปลอดภัย
•    ผู้รับรางวัลที่อายุน้อยที่สุดคือ 13 ปี
•    จำนวนผู้ได้รับรางวัลมาจาก สหรัฐฯ, อินเดีย, อังกฤษ, ตุรกี, และเยอรมัน ตามลำดับ
•    รางวัลที่ใหญ่ที่สุดคือ 20,000 ดอลลาร์
•    แต่ผู้ที่ได้รับรางวัลรวมกันสูงสุด ได้รับเกิน 100,000 ดอลลาร์แล้ว

ตัวอย่างบั๊กหนึ่งที่เคยมีการจ่ายเงินรางวัล คือ บั๊กการบล็อคผู้ใช้อื่นในกรุ๊ป เมื่อผู้ใช้เข้าร่วมกรุ๊ป แล้วบล็อคผู้ใช้คนอื่นออกทั้งหมด เฟซบุ๊กจะคิดว่าเหลือผู้ใช้ในกรุ๊ปคนเดียว และให้สิทธิแอดมินกับผู้ใช้คนนั้นโดยอัตโนมัติ บั๊กนี้ผู้รายงานได้รับรางวัล 10,000 ดอลลาร์

ที่มา : facebook

Eric Eoin Marques วัย 28 ปีชาวไอริชถูก FBI จับกุมด้วยความผิดฐานเผยแพร่ภาพอนาจารเด็ก ซึ่งเชื่อกันว่า Marques เป็นผู้ดูแลของ Freedom Hosting ซึ่งเป็นโฮสต์ที่ให้บริการในเครือข่าย Tor ที่ใหญ่ที่สุด และยังเชื่อกันว่าเป็นผู้เผยแพร่สื่อลามกเด็กที่ใหญ่ที่สุดในโลกด้วย

สิ่งที่น่าสนใจคือเครือข่าย Tor นั้นถูกพังทลายลงได้อย่างไร จากการตรวจสอบจากผู้ใช้ทั่วโลกพบว่า มีการฝังโค้ดเพื่อใช้การโจมตีช่องโหว่ของ Firefox ESR เวอร์ชัน 17 ในเว็บไซต์โดเมน .onion ซึ่งทำงานอยู่ในเครือข่าย Tor กว่าครึ่งของเครือข่ายทั้งหมด เนื่องจากชุดโปรแกรม Browser Bundle ของ Tor นั้นใช้ Firefox ESR รุ่นเดียวกันนี้เป็น Client ในการเชื่อมต่อ เมื่อผู้ใช้งานมีการคลิ๊กเข้าหน้าเพจเหล่านี้จะมีการเก็บค่า MAC Address และ Host Name ของเครื่องผู้ใช้เอาไว้เพื่อแกะรอยหาไอพีที่แท้จริง โดยเชื่อกันว่านี่เป็นฝีมือของ FBI

ในขณะนี้ทาง Tor Project ได้มีการปล่อยชุดโปรแกรม Browser Bundle หลังจากแพตซ์ช่องโหว่ดังกล่าวแล้ว ส่วนในเรื่องทางกฎหมายนั้นก็จะมีการส่งตัว Marques มาดำเนินคดีในสหรัฐฯ ต่อไป

ที่มา : thehackernews

Eric Eoin Marques วัย 28 ปีชาวไอริชถูก FBI จับกุมด้วยความผิดฐานเผยแพร่ภาพอนาจารเด็ก ซึ่งเชื่อกันว่า Marques เป็นผู้ดูแลของ Freedom Hosting ซึ่งเป็นโฮสต์ที่ให้บริการในเครือข่าย Tor ที่ใหญ่ที่สุด และยังเชื่อกันว่าเป็นผู้เผยแพร่สื่อลามกเด็กที่ใหญ่ที่สุดในโลกด้วย

สิ่งที่น่าสนใจคือเครือข่าย Tor นั้นถูกพังทลายลงได้อย่างไร จากการตรวจสอบจากผู้ใช้ทั่วโลกพบว่า มีการฝังโค้ดเพื่อใช้การโจมตีช่องโหว่ของ Firefox ESR เวอร์ชัน 17 ในเว็บไซต์โดเมน .onion ซึ่งทำงานอยู่ในเครือข่าย Tor กว่าครึ่งของเครือข่ายทั้งหมด เนื่องจากชุดโปรแกรม Browser Bundle ของ Tor นั้นใช้ Firefox ESR รุ่นเดียวกันนี้เป็น Client ในการเชื่อมต่อ เมื่อผู้ใช้งานมีการคลิ๊กเข้าหน้าเพจเหล่านี้จะมีการเก็บค่า MAC Address และ Host Name ของเครื่องผู้ใช้เอาไว้เพื่อแกะรอยหาไอพีที่แท้จริง โดยเชื่อกันว่านี่เป็นฝีมือของ FBI

ในขณะนี้ทาง Tor Project ได้มีการปล่อยชุดโปรแกรม Browser Bundle หลังจากแพตซ์ช่องโหว่ดังกล่าวแล้ว ส่วนในเรื่องทางกฎหมายนั้นก็จะมีการส่งตัว Marques มาดำเนินคดีในสหรัฐฯ ต่อไป

ที่มา : thehackernews

ตามที่ Chris Mannon นักวิจัยด้านความปลอดภัยของ Z-Scaler ได้เปิดเผยวิธีการที่แฮกเกอร์กำลังใช้เว็บไซต์ Google Code เป็นกลยุทธ์ในการโจมตีและแพร่กระจายมัลแวร์ ซึ่งเขาได้โพสต์ไว้ในบล็อกของบริษัทว่า ผู้เขียนมัลแวร์กำลังเปลี่ยนเป้าหมายไปยังเว็บโฮสติ้งที่ให้บริการเชิงพาณิชย์ที่มีชื่อเสียงในการแพร่กระจายมัลแวร์ ถ้าไฟล์โฮสเหล่านั้นถูกต้องตามกฎหมายพวกเขาจะไม่ถูกการสแกนเนื้อหาทีอาจทำให้ผู้ดูแลระบบบล็อกการให้บริการทั้งหมด ซึ่งดูเหมือนว่าในขณะนี้เว็บไซต์ Google Code กำลังถูกแฮกเกอร์นำไปใช้ในทางที่ผิด

ที่มา : hack in the box

AdWords เป็นบริการที่ทำรายได้สำคัญให้แก่ Google โดยในแต่ละวันมีลูกค้าจำนวนมากที่ต้องการจะลงโฆษณาที่ส่งตรงสู่ผู้ใช้คอมพิวเตอร์ผ่านเว็บเบราว์เซอร์อันนี้ ด้วยเหตุดังกล่าว Google จึงต้องพัฒนาเครื่องมือที่จะช่วยคัดกรองเนื้อหาโฆษณาอันไม่พึงประสงค์ออกจากข้อมูลจำนวนมากเหล่านี้
จนเป็นที่มาของอัลกอริทึมที่ใช้ตรวจสอบหาโฆษณาขายสินค้าที่เป็นสินค้าปลอม หรือสินค้าเลียนแบบ รวมทั้งตรวจสอบโฆษณาที่จะนำผู้ใช้งานอินเทอร์เน็ตไปยังเว็บไซต์อันตราย และกรองสแปมต่างๆ ออกไปจากระบบ

ในปี 2010 วิศวกรของ Google ต้องประหลาดใจเมื่อพบว่า อัลกอริทึมของ AdWords นี้ได้แจ้งเตือนให้ระวังโฆษณารถยนต์มือสองหลายรายการ ทั้งที่ดูไปแล้วรถยนต์เหล่านั้นไม่มีทางเป็นของปลอมหรือสินค้าเลียนแบบได้ อีกทั้งเว็บไซต์ปลายทางของโฆษณาก็ไม่ได้มีปัญหาด้านความปลอดภัยของระบบเครือข่ายคอมพิวเตอร์ ทว่าเมื่อตรวจสอบลึกลงไป
จึงพบได้ว่าข้อมูลโฆษณารถยนต์มือสองเหล่านั้นคือส่วนหนึ่งของเครือข่ายมิจฉาชีพขนาดใหญ่ในประเทศจีน ขบวนการของมิจฉาชีพนั้นทำงานโดยการหลอกลวงด้วยการโฆษณาขายรถยนต์มือสองผ่านทางอินเทอร์เน็ต โดยใช้ภาพถ่ายรถยนต์ของประชาชนทั่วไปที่จอดอยู่ตามท้องถนนมาประกอบโฆษณา จนเมื่อมีผู้ตกหลุมเชื่อติดต่อเพื่อขอซื้อรถคันดังกล่าว ขบวนการมิจฉาชีพก็จะขโมยรถยนต์คันนั้นมาขายให้ กว่าเหยื่อจะรู้ตัวว่าซื้อของโจรมาก็โดนเชิดเงินหนีหายไปแล้ว

ที่มา : theverge

นักศึกษาจากมหาวิทยาลัยของเท็กซัสแสดงให้เห็นถึงการแฮกระบบนำทางของเรือยอร์ชโดยสร้างสัญญาณ GPS ปลอมขึ้นมา แล้วส่งไปยังระบบนำทางของเรือยอร์ช เพื่อให้เรือยอร์ชแล่นออกนอกเส้นทาง

ที่มา : engadget

นักศึกษาจากมหาวิทยาลัยของเท็กซัสแสดงให้เห็นถึงการแฮกระบบนำทางของเรือยอร์ชโดยสร้างสัญญาณ GPS ปลอมขึ้นมา แล้วส่งไปยังระบบนำทางของเรือยอร์ช เพื่อให้เรือยอร์ชแล่นออกนอกเส้นทาง

ที่มา : engadget