นักวิจัยของ Symantec ได้คนพบเวิร์มที่ทำงานบนระบบปฎิบัติการลีนุกซ์ตัวใหม่ โดยตั้งชื่อว่า “Darlloz” เวิร์มตัวนี้ไม่ได้แค่โจมตีคอมพิวเตอร์ของผู้ใช้ทั่วไปเท่านั้น แต่มันยังโจมตีไปยังอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตแบบอื่นๆ ด้วย อย่างเช่น เราเตอร์ที่ใช้ตามบ้าน, กล้องวงจรปิดที่มีการเชื่อมต่อกับอินเทอร์เน็ต, กล่องรับสัญญาณ TV ที่สามารถเชื่อมต่อกับอินเทอร์เน็ตได้ และ ระบบควบคุมในอุตสาหกรรมต่างๆ เป็นต้น เวิร์มตัวนี้จะเริ่มทำการโจมตีโดยแทรกตัวเองไปยังอุปกรณ์เป้าหมายผ่านช่องโหว่ PHP ที่ถูกแพทช์แก้ไขไปในเดือนพฤษภาคมปี 2012 ตอนนี้เวิร์มจะโจมตีเฉพาะเครื่องที่ใช้ระบบ Intel x86 เท่านั้น แต่นักวิจัยได้พบว่าแฮกเกอร์สร้างเวิร์มชนิดอื่นๆที่สามารถโจมตีเครื่องที่ใช้ระบบ ARM, PPC, MIPS และ MIPSEL ได้ โชคดีที่เวิร์มตัวนี้ยังไม่พบการแพร่กระจายในวงกว้าง ดังนั้นนักวิจัยจึงแนะนำให้ผู้ใช้อัพเดทแพทช์โปรแกรมในเครื่อง, ใช้รหัสที่มีความแข็งแกร่ง และ บล็อคการร้องขอ HTTP POST ที่ร้องขอมาจากภายนอก เพื่อไม่ให้เวิร์มตัวนี้สามารถแพร่กระจายได้

ที่มา : net-security

เครื่องคอมพิวเตอร์ทั่วโลกประมาณ 5 หมื่นเครื่องที่ติดมัลแวร์ซึ่งมัลแวร์จะทำการขโมยข้อมูลต่างๆที่เป็นความลับ  ตามรายงานจาก NRC.nl ระบุว่าเอกสารที่ได้รับโดย US whistleblower Edward Snowden มีการรายงานถึงการปฏิบัติการที่เรียกว่า Computer Network Exploitation (CNE) ซึ่งมีมัลแวร์ที่กำลังถูกอ้างถึงคือ "digital Sleeper cell" โดยมัลแวร์ตัวนี้จะถูกควบคุมภายใต้หน่วยงานของ NSA ซึ่งพวกเขาสามารถที่จะเข้าถึงโดยการรีโมทเพื่อที่จะควบคุมการเปิดหรือปิดเครื่อง โดยจำนวนเครื่องที่ติดมัลแวร์ตัวนี้ในปี 2008 มีเกินกว่า 2 หมื่นเครื่อง และประมาณกลางปี 2012 จำนวนเครื่องที่ติดมัลแวร์ตัวนี้เพิ่มขึ้นไปถึง 5 หมื่นเครื่อง

ที่มา : ehackingnews

เครื่องคอมพิวเตอร์ทั่วโลกประมาณ 5 หมื่นเครื่องที่ติดมัลแวร์ซึ่งมัลแวร์จะทำการขโมยข้อมูลต่างๆที่เป็นความลับ  ตามรายงานจาก NRC.nl ระบุว่าเอกสารที่ได้รับโดย US whistleblower Edward Snowden มีการรายงานถึงการปฏิบัติการที่เรียกว่า Computer Network Exploitation (CNE) ซึ่งมีมัลแวร์ที่กำลังถูกอ้างถึงคือ "digital Sleeper cell" โดยมัลแวร์ตัวนี้จะถูกควบคุมภายใต้หน่วยงานของ NSA ซึ่งพวกเขาสามารถที่จะเข้าถึงโดยการรีโมทเพื่อที่จะควบคุมการเปิดหรือปิดเครื่อง โดยจำนวนเครื่องที่ติดมัลแวร์ตัวนี้ในปี 2008 มีเกินกว่า 2 หมื่นเครื่อง และประมาณกลางปี 2012 จำนวนเครื่องที่ติดมัลแวร์ตัวนี้เพิ่มขึ้นไปถึง 5 หมื่นเครื่อง

ที่มา : ehackingnews

บริษัทรักษาความปลอดภัย Trend Micro รายงานว่า พบมัลแวร์ แฝงตัวอยู่ในโปรแกรม Autocad ที่มีลิขสิทธิ์ถูกต้องตามกฏหมาย โดยมัลแวร์ดังกล่าวจะฝังตัวอยู่ในไฟล์ที่ใช้นามสกุล .FAS

หากเป้าหมายมีการใช้งานพอร์ต 137 to 139 และ 445 ซึ่งเป็นพอร์ตที่เกี่ยวกับ NETBIOS ที่จะอนุญาตให้ผู้ใช้ที่อยู่บนเครื่องหนึ่งสามารถใช้ไฟล์ที่อยู่ในอีกเครื่องหนึ่งโดยเปรียบเสมือนว่าไฟล์นั้นอยู่ในเครื่องของผู้ใช้เองได้ (Share)

ดังนั้น มัลแวร์ดังกล่าวจะทำการแพร่กระจายไปยังเครื่องคอมพิวเตอร์ต่างๆที่มีการแชร์ข้อมูลร่วมกันได้ และผู้โจมตีสามารถที่จะเข้าถึง หรือขโมยข้อมูลที่สำคัญของเป้าหมายได้โดยง่าย

ที่มา : ehackingnews

Oren Hafif นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ในขั้นตอนการรีเซ็ต password ของบัญชี Google ที่ช่วยให้ผู้โจมตีสามารถ Hijack ไปยังบัญชีของผู้ใช้อื่น ๆ ได้

วิธีการคือ ผู้โจมตีจะส่งอีเมล “Confirm account ownership” ที่อ้างว่ามาจาก Google ไปยังเหยื่อ ซึ่งในอีเมลจะมีลิงค์ไปยังเว็บเพจเพื่อใช้ในการยืนยันตัวตนและข้อความเตือนให้เหยื่อทำการเปลี่ยนรหัสผ่าน เมื่อเหยื่อทำการคลิกลิงค์สามารถสังเกตุได้ว่า URL ที่ปรากฏจะเป็น HTTPS Google.

Oren Hafif นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ในขั้นตอนการรีเซ็ต password ของบัญชี Google ที่ช่วยให้ผู้โจมตีสามารถ Hijack ไปยังบัญชีของผู้ใช้อื่น ๆ ได้

วิธีการคือ ผู้โจมตีจะส่งอีเมล “Confirm account ownership” ที่อ้างว่ามาจาก Google ไปยังเหยื่อ ซึ่งในอีเมลจะมีลิงค์ไปยังเว็บเพจเพื่อใช้ในการยืนยันตัวตนและข้อความเตือนให้เหยื่อทำการเปลี่ยนรหัสผ่าน เมื่อเหยื่อทำการคลิกลิงค์สามารถสังเกตุได้ว่า URL ที่ปรากฏจะเป็น HTTPS Google.

การรักษาความปลอดภัยขั้นสุดท้ายเป็นปัญหาสำคัญขององค์กรจำนวนมาก เช่น รหัส root ของเครื่องเซิร์ฟเวอร์หลักในระบบ รหัสผ่านเพื่อเข้าถึง private key บนสมาร์ทการ์ด การเก็บรักษาข้อมูลเหล่านี้ส่วนมากต้องอาศัยการพิมพ์ออกมาเป็นกระดาษแล้วนำไปเก็บรักษาไว้ที่ปลอดภัยเช่นตู้เซฟธนาคารที่ต้องการกุญแจสองดอกให้เปิดพร้อมกันจึงนำข้อมูลออกมาใช้งานได้ ตอนนี้ CloudFlare ผู้ให้บริการ reverse proxy รายใหญ่ก็นำโครงการภายในที่ชื่อว่า Red October ออกมาให้ใช้งานกัน
Red October คือเซิร์ฟเวอร์เข้ารหัสและถอดรหัส โดยไม่มีข้อมูลที่ต้องการเก็บรักษาอยู่บนเซิร์ฟเวอร์จริง ในตัวเซิร์ฟเวอร์ของ Red October นั้นจะเก็บกุญแจ RSA ของผู้ใช้ทุกคนเอาไว้ เมื่อมีการร้องขอให้เข้ารหัสข้อมูลใดๆ เซิร์ฟเวอร์จะ

สร้างกุญแจสมมาตรโดยสุ่มเลขขึ้นมาใหม่
เข้ารหัสข้อมูลด้วยกุญแจสมมาตรนั้น
จับกลุ่มทุกกลุ่มที่เป็นไปได้ ตามที่ผู้ขอให้เข้ารหัสกำหนด เช่น กำหนดผู้ใช้ที่มีสิทธิ์ถอดรหัส 3 คน โดยต้องใช้ 2 คนถอดรหัส จะจับได้ 3 กลุ่ม (3 เลือก 2)
ใช้กุญแจสาธารณะของแต่ละคนในแต่ละกลุ่มเข้ารหัสกุญแจสมมาตรเป็นชั้นๆ จนครบจำนวนคนแล้วจัดเก็บ

กระบวนการถอดรหัสนั้นกลับข้างกัน โดยผู้ใช้จะต้องล็อกอินในระบบแล้ว "ให้สิทธิ์" (delegate) ในการเข้าถึงกุญแจส่วนตัว (private key) กับเซิร์ฟเวอร์โดยระบุระยะเวลา การให้สิทธิ์ต้องระบุระยะเวลาและจำนวนครั้งที่ใช้งานได้ เมื่อมีผู้ใช้ร้องขอการถอดรหัสข้อมูล ข้อมูลที่ใส่เข้ามาจะมีข้อมูลอยู่แล้วว่าใครเป็นผู้ถอดรหัสได้บ้าง เซิร์ฟเวอร์จะเข้าไปตามหาว่าผู้ใช้เหล่านั้นได้ให้สิทธิ์ไว้หรือไม่ หากให้สิทธิ์ไว้ครบจำนวนคนก็จะถอดรหัสไปได้

ในการใช้งานจริง เช่น ผู้ดูแลระบบต้องการเข้าถึงรหัส root ของเซิร์ฟเวอร์ตัวหนึ่ง เขาอาจจะต้องเดินไปบอกหัวหน้าฝ่ายสองคนพร้อมกัน หัวหน้าฝ่ายทั้งสองคนก็ล็อกอินเข้ามาให้สิทธิ์กับเซิร์ฟเวอร์คนละสิบนาที เราสามารถดึงไฟล์รหัสผ่านที่เข้ารหัสไว้ แล้วนำมาขอถอดรหัสได้

กระบวนการนี้เลียนแบบการปล่อยอาวุธนิวเคลียร์ที่มีกฎ two-man rule คือ ห้ามมีใครคนใดคนหนึ่งมีสิทธิ์ปล่อยอาวุธนิวเคลียร์ด้วยตัวเอง Red October คงมีจุดอ่อนสำคัญคือการวางกุญแจส่วนตัว RSA ไว้ในเซิร์ฟเวอร์ หากเซิร์ฟเวอร์ถูกเจาะไปได้และมีการดัดแปลงโค้ดเพื่อเก็บรหัสผ่านสำหรับการเปิดไฟล์กุญแจลับนี้ก็คงทำให้แฮกเกอร์ดึงข้อมูลออกไปได้ แต่ทั้งนี้มันเป็นระบบจัดการสิทธิ์ที่พึ่งรหัสวิทยาอย่างมากเทียบกับระบบ workflow อื่นๆ ที่มักไม่มีการเข้ารหัสใดๆ ทาง CloudFlare เปิดให้ดาวน์โหลด Red October ไปใช้งานได้ฟรี รวมถึงนำซอร์สโค้ดไปตรวจสอบความปลอดภัยได้

ที่มา : blognone

การรักษาความปลอดภัยขั้นสุดท้ายเป็นปัญหาสำคัญขององค์กรจำนวนมาก เช่น รหัส root ของเครื่องเซิร์ฟเวอร์หลักในระบบ รหัสผ่านเพื่อเข้าถึง private key บนสมาร์ทการ์ด การเก็บรักษาข้อมูลเหล่านี้ส่วนมากต้องอาศัยการพิมพ์ออกมาเป็นกระดาษแล้วนำไปเก็บรักษาไว้ที่ปลอดภัยเช่นตู้เซฟธนาคารที่ต้องการกุญแจสองดอกให้เปิดพร้อมกันจึงนำข้อมูลออกมาใช้งานได้ ตอนนี้ CloudFlare ผู้ให้บริการ reverse proxy รายใหญ่ก็นำโครงการภายในที่ชื่อว่า Red October ออกมาให้ใช้งานกัน
Red October คือเซิร์ฟเวอร์เข้ารหัสและถอดรหัส โดยไม่มีข้อมูลที่ต้องการเก็บรักษาอยู่บนเซิร์ฟเวอร์จริง ในตัวเซิร์ฟเวอร์ของ Red October นั้นจะเก็บกุญแจ RSA ของผู้ใช้ทุกคนเอาไว้ เมื่อมีการร้องขอให้เข้ารหัสข้อมูลใดๆ เซิร์ฟเวอร์จะ

สร้างกุญแจสมมาตรโดยสุ่มเลขขึ้นมาใหม่
เข้ารหัสข้อมูลด้วยกุญแจสมมาตรนั้น
จับกลุ่มทุกกลุ่มที่เป็นไปได้ ตามที่ผู้ขอให้เข้ารหัสกำหนด เช่น กำหนดผู้ใช้ที่มีสิทธิ์ถอดรหัส 3 คน โดยต้องใช้ 2 คนถอดรหัส จะจับได้ 3 กลุ่ม (3 เลือก 2)
ใช้กุญแจสาธารณะของแต่ละคนในแต่ละกลุ่มเข้ารหัสกุญแจสมมาตรเป็นชั้นๆ จนครบจำนวนคนแล้วจัดเก็บ

กระบวนการถอดรหัสนั้นกลับข้างกัน โดยผู้ใช้จะต้องล็อกอินในระบบแล้ว "ให้สิทธิ์" (delegate) ในการเข้าถึงกุญแจส่วนตัว (private key) กับเซิร์ฟเวอร์โดยระบุระยะเวลา การให้สิทธิ์ต้องระบุระยะเวลาและจำนวนครั้งที่ใช้งานได้ เมื่อมีผู้ใช้ร้องขอการถอดรหัสข้อมูล ข้อมูลที่ใส่เข้ามาจะมีข้อมูลอยู่แล้วว่าใครเป็นผู้ถอดรหัสได้บ้าง เซิร์ฟเวอร์จะเข้าไปตามหาว่าผู้ใช้เหล่านั้นได้ให้สิทธิ์ไว้หรือไม่ หากให้สิทธิ์ไว้ครบจำนวนคนก็จะถอดรหัสไปได้

ในการใช้งานจริง เช่น ผู้ดูแลระบบต้องการเข้าถึงรหัส root ของเซิร์ฟเวอร์ตัวหนึ่ง เขาอาจจะต้องเดินไปบอกหัวหน้าฝ่ายสองคนพร้อมกัน หัวหน้าฝ่ายทั้งสองคนก็ล็อกอินเข้ามาให้สิทธิ์กับเซิร์ฟเวอร์คนละสิบนาที เราสามารถดึงไฟล์รหัสผ่านที่เข้ารหัสไว้ แล้วนำมาขอถอดรหัสได้

กระบวนการนี้เลียนแบบการปล่อยอาวุธนิวเคลียร์ที่มีกฎ two-man rule คือ ห้ามมีใครคนใดคนหนึ่งมีสิทธิ์ปล่อยอาวุธนิวเคลียร์ด้วยตัวเอง Red October คงมีจุดอ่อนสำคัญคือการวางกุญแจส่วนตัว RSA ไว้ในเซิร์ฟเวอร์ หากเซิร์ฟเวอร์ถูกเจาะไปได้และมีการดัดแปลงโค้ดเพื่อเก็บรหัสผ่านสำหรับการเปิดไฟล์กุญแจลับนี้ก็คงทำให้แฮกเกอร์ดึงข้อมูลออกไปได้ แต่ทั้งนี้มันเป็นระบบจัดการสิทธิ์ที่พึ่งรหัสวิทยาอย่างมากเทียบกับระบบ workflow อื่นๆ ที่มักไม่มีการเข้ารหัสใดๆ ทาง CloudFlare เปิดให้ดาวน์โหลด Red October ไปใช้งานได้ฟรี รวมถึงนำซอร์สโค้ดไปตรวจสอบความปลอดภัยได้

ที่มา : blognone

การรักษาความปลอดภัยขั้นสุดท้ายเป็นปัญหาสำคัญขององค์กรจำนวนมาก เช่น รหัส root ของเครื่องเซิร์ฟเวอร์หลักในระบบ รหัสผ่านเพื่อเข้าถึง private key บนสมาร์ทการ์ด การเก็บรักษาข้อมูลเหล่านี้ส่วนมากต้องอาศัยการพิมพ์ออกมาเป็นกระดาษแล้วนำไปเก็บรักษาไว้ที่ปลอดภัยเช่นตู้เซฟธนาคารที่ต้องการกุญแจสองดอกให้เปิดพร้อมกันจึงนำข้อมูลออกมาใช้งานได้ ตอนนี้ CloudFlare ผู้ให้บริการ reverse proxy รายใหญ่ก็นำโครงการภายในที่ชื่อว่า Red October ออกมาให้ใช้งานกัน
Red October คือเซิร์ฟเวอร์เข้ารหัสและถอดรหัส โดยไม่มีข้อมูลที่ต้องการเก็บรักษาอยู่บนเซิร์ฟเวอร์จริง ในตัวเซิร์ฟเวอร์ของ Red October นั้นจะเก็บกุญแจ RSA ของผู้ใช้ทุกคนเอาไว้ เมื่อมีการร้องขอให้เข้ารหัสข้อมูลใดๆ เซิร์ฟเวอร์จะ

สร้างกุญแจสมมาตรโดยสุ่มเลขขึ้นมาใหม่
เข้ารหัสข้อมูลด้วยกุญแจสมมาตรนั้น
จับกลุ่มทุกกลุ่มที่เป็นไปได้ ตามที่ผู้ขอให้เข้ารหัสกำหนด เช่น กำหนดผู้ใช้ที่มีสิทธิ์ถอดรหัส 3 คน โดยต้องใช้ 2 คนถอดรหัส จะจับได้ 3 กลุ่ม (3 เลือก 2)
ใช้กุญแจสาธารณะของแต่ละคนในแต่ละกลุ่มเข้ารหัสกุญแจสมมาตรเป็นชั้นๆ จนครบจำนวนคนแล้วจัดเก็บ

กระบวนการถอดรหัสนั้นกลับข้างกัน โดยผู้ใช้จะต้องล็อกอินในระบบแล้ว "ให้สิทธิ์" (delegate) ในการเข้าถึงกุญแจส่วนตัว (private key) กับเซิร์ฟเวอร์โดยระบุระยะเวลา การให้สิทธิ์ต้องระบุระยะเวลาและจำนวนครั้งที่ใช้งานได้ เมื่อมีผู้ใช้ร้องขอการถอดรหัสข้อมูล ข้อมูลที่ใส่เข้ามาจะมีข้อมูลอยู่แล้วว่าใครเป็นผู้ถอดรหัสได้บ้าง เซิร์ฟเวอร์จะเข้าไปตามหาว่าผู้ใช้เหล่านั้นได้ให้สิทธิ์ไว้หรือไม่ หากให้สิทธิ์ไว้ครบจำนวนคนก็จะถอดรหัสไปได้

ในการใช้งานจริง เช่น ผู้ดูแลระบบต้องการเข้าถึงรหัส root ของเซิร์ฟเวอร์ตัวหนึ่ง เขาอาจจะต้องเดินไปบอกหัวหน้าฝ่ายสองคนพร้อมกัน หัวหน้าฝ่ายทั้งสองคนก็ล็อกอินเข้ามาให้สิทธิ์กับเซิร์ฟเวอร์คนละสิบนาที เราสามารถดึงไฟล์รหัสผ่านที่เข้ารหัสไว้ แล้วนำมาขอถอดรหัสได้

กระบวนการนี้เลียนแบบการปล่อยอาวุธนิวเคลียร์ที่มีกฎ two-man rule คือ ห้ามมีใครคนใดคนหนึ่งมีสิทธิ์ปล่อยอาวุธนิวเคลียร์ด้วยตัวเอง Red October คงมีจุดอ่อนสำคัญคือการวางกุญแจส่วนตัว RSA ไว้ในเซิร์ฟเวอร์ หากเซิร์ฟเวอร์ถูกเจาะไปได้และมีการดัดแปลงโค้ดเพื่อเก็บรหัสผ่านสำหรับการเปิดไฟล์กุญแจลับนี้ก็คงทำให้แฮกเกอร์ดึงข้อมูลออกไปได้ แต่ทั้งนี้มันเป็นระบบจัดการสิทธิ์ที่พึ่งรหัสวิทยาอย่างมากเทียบกับระบบ workflow อื่นๆ ที่มักไม่มีการเข้ารหัสใดๆ ทาง CloudFlare เปิดให้ดาวน์โหลด Red October ไปใช้งานได้ฟรี รวมถึงนำซอร์สโค้ดไปตรวจสอบความปลอดภัยได้

ที่มา : blognone

รายงานข่าวจาก The Sydney Morning Herald อ้างถึงเอกสารฉบับหนึ่งของ Edward Snowden แต่ไม่เปิดเผยเอกสารโดยตรง ระบุว่า NSA มีโครงการพันธมิตร ทำให้สามารถเข้าถึงสายไฟเบอร์ได้โดยตรง 20 จุดทั่วโลก นอกจากนี้ยังมีคอมพิวเตอร์ที่ติดมัลแวร์อีกจำนวนมากทำหน้าที่เป็นจุดดักฟังให้กับ NSA

จุดดักฟังของ NSA ส่วนมากอยู่ในสหรัฐฯ แต่มีบางจุดที่อยู่ในยุโรป, เกาหลีใต้, ตะวันออกกลาง และแถบอินโดนีเซีย โดยรวมทำให้การเชื่อมต่อข้ามทวีปแทบทั้งหมดต้องผ่านจุดดักฟังเหล่านี้

ในเอกสารอีกฉบับระบุถึงโครงการ Five Eyes เป็นข้อเสนอเพื่อขยายความร่วมมือระหว่างอังกฤษและสหรัฐฯ ตั้งแต่ปี 1946 โดยเสนอให้ขยายไปยัง ออสเตรเลีย, นิวซีแลนด์, และแคนาดา ข้อตกลงนี้คือการแชร์เครือข่ายดักฟังกันและกัน โดยไม่ดักฟังประชาชนอีกฝ่าย แต่หากจำเป็นก็สามารถดักฟังโดยไม่แจ้งได้

สำหรับประเทศไทยถูกจัดให้เป็นศูนย์ระดับภูมิภาค มีจุดบริการดักฟังพิเศษ (Special Collection Service - SCS) อยู่มากกว่า 80 จุดในกรุงเทพฯ เช่นเดียวกับเมืองสำคัญทั่วโลก เช่น เบอร์ลิน, นิวเดลี, โรม, สิงคโปร์ แต่ยังไม่มีบริการดักฟังเคเบิลขนาดใหญ่ จุดดักฟังเหล่านี้อาจจะเป็นการวางมัลแวร์ไว้ในคอมพิวเตอร์ของผู้ให้บริการ เพื่อให้ส่งข้อมูลกลับไปยัง NSA ได้เมื่อมีการร้องขอ ในปี 2008 NSA วางจุดเช่นนี้ไว้มากกว่า 20,000 จุดทั่วโลก และในเอกสารล่าสุดที่หนังสือพิมพ์ NRC ของเนเธอร์แลนด์อ้างถึง (แต่ไม่เปิดเผย) ก็ระบุว่ามีถึง 50,000 จุดแล้ว

ที่มา : theguardian