ทีม Startup ของแคนาดาที่ชื่อ Bionym ได้นำเสนออุปกรณ์ที่ชื่อว่า Nymi โดยอุปกรณ์ตัวนี้จะอยู่ในรูปร่างของสายรัดข้อมือหรือกำไลข้อมือที่ฝังระบบ ECG (electrocardiogram) เซนเซอร์ ซึ่งเป็นเซนเซอร์ที่ใช้ในการอ่าน รูปแบบจังหวะการเต้นหัวใจของผู้สวมใส่ เพื่อใช้ในการปลดล็อคระบบอุปกรณ์อิเล็คโทรนิกส์ Karl Martin ซึ่งเป็น CEO ของทีมนี้ได้กล่าวว่า เรารู้มาตั้งแต่ 40 ปีก่อนแล้วว่า รูปแบบจังหวะการเต้นหัวใจของแต่ละคนจะมีลักษณะเฉพาะตัว และ การวิจัยย้อนหลังไปประมาณ 10 ปีได้สามารถคิดค้นอัลกอรึทึมในการจับรูปแบบจังหวะการเต้นหัวใจที่เที่ยงตรงและเชื่อถือได้ หลักการทำงานของ Nymi คือ ผู้ใช้ต้องใส่ Nymi แล้วเปิดเครื่อง หลังจากนั้นวางนิ้วลงบนส่วนบนสุดของเซนเซอร์ในขณะที่ข้อมือแตะส่วนล่างของเซนเซอร์ รอซักพักเครื่องก็จะสั่นและไฟ LED ก็จะสว่างขึ้น และตอนนี้ Nymi จะรู้แล้วว่ารูปแบบจังหวะการเต้นหัวใจแบบนี้คือผู้ใช้ และ ผู้ใช้จะอยู่ในสถานะ authenticated จนกว่าจะถอด Nymi ออก Nymi ถูกออกแบบมาโดยต้องใช้ระบบ 3-factor security ในการควบคุมโดยประกอบไปด้วย ตัวอุปกรณ์ Nymi, รูปแบบจังหวะการเต้นหัวใจของผู้ใช้ และ Authorized Authentication Device(ADD): อุปกรณ์ยืนยันการ Authentication ซึ่งอาจจะเป็นสมาร์ทโฟนหรือ อุปกรณ์ที่ลงแอพพลิเคชั้นของทางทีม Bionym ไว้ ตอนนี้ยังไม่มีรายละเอียดเกี่ยวกับระบบรักษาความปลอดภัยที่ Nymi ใช้ แต่ Dan Goodin IT Security Editor ของบริษัท Ars Technica ได้กล่าวว่าระบบ elliptic curve cryptography ซึ่งเป็นอัลกอรึทึมที่ใช้ในการเข้ารหัสสัญญาณที่ใช้ในการยืนยันความถูกต้องในการส่งข้อมูลระหว่างเซนเซอร์กับอุปกรณ์ ยังไม่สามารถดักจับเพื่อขโมยหรือดูข้อมูลได้ และรูปแบบการเข้ารหัสที่ใช้ยังไม่สามารถถอดรหัสได้

ที่มา : net-security

สภาของเมือง Aberdeen ถูกปรับเป็นเงินจำนวน 100,000 ยูโรจากทาง Information Commissioner's Office (ICO) หลังจากที่หนึ่งในพนักงานของสภานำข้อมูลที่เป็นความลับกลับไปที่บ้านและข้อมูลเหล่านั้นถูกอัพโหลดขึ้นเว็บไซด์โดยผ่านทางโปรแกรมเก่าที่เจ้าของเครื่องคนเก่าลงไว้และโปรแกรมนั้นทำงานโดยอัตโนมัติหรือพนักงานเผลอไปกดเปิดการทำงานโดยไม่ตั้งใจ ข้อมูลเหล่านั้นประกอบไปด้วย ข้อมูลของเด็กและข้อกล่าวหาทางอาชญากรรมที่เด็กถูกกล่าวหา ข้อมูลเหล่านี้ถูกโพสอยู่บนเว็บไซด์นานถึง 3 เดือนกว่าจะโดนตรวจพบ โดยข้อมูลเหล่านี้ถูกโพสตั้งแต่เดือนพฤศจิกายนปี 2011 จนถึงเดือนกุมภาพันธ์ปี 2012 ทาง ICO ได้พบช่องโหว่ใหญ่ในข้อบังคับของสภาในการทำงานจากที่บ้าน โดยช่องโหว่ที่พบ คือ ทางสภาของ Aberdeen ไม่มีการจับตาดูการใช้ข้อมูลที่เป็นความลับและไม่มีคำแนะนำให้กับพนักงานเกี่ยวกับการดูแลข้อมูลเหล่านั้น และทางสภายังไม่มีการเช็คว่าข้อมูลที่เป็นความลับที่ถูกนำออกจากสภาได้มีการป้องกันไว้หรือไม่ ปัญหาเหล่านี้เกิดจากการที่อนุญาตให้มีการนำอุปกรณ์ส่วนตัวมาใช้ในสำนักงาน(Bring Your Own Device(BYOD)) และการอนุญาตให้ทำงานจากที่บ้านได้ วิธีการป้องกันข้อมูลที่เป็นความลับรั่วไหลโดยไม่ตั้งใจจากทางพนักงานที่ดีที่สุดคือ การอบรมพนักงานให้ระมัดระวังในการนำข้อมูลที่เป็นความลับไปใช้

ที่มา : nakedsecurity

บริษัท FireEye ได้นำเสนอผลิตภัณฑ์ใหม่ที่ชื่อว่า “Oculus” โดยผลิตภัณฑ์ใหม่นี้ประกอบไปด้วย 3 ฟังก์ชั่นหลักดังนี้
•    Threat prevention platform – ระบบนี้จะมีระบบ Multi-Vector Virtual Execution (MVX) engine เป็นพื้นฐาน โดยระบบ MVX นี้ถูกออกแบบมาเพื่อช่วยลดเวลาและเพิ่มความแม่นยำในการตรวจพบภัยคุกคาม โดยตรวจพบได้ทั้งใน เว็บไซด์, อีเมล์ และ ไฟล์ต่างๆ ทาง FireEye ได้วางแผนจะออกระบบที่ชื่อว่า FireEye Mobile Threat Prevention ภายในต้นปีหน้าโดยระบบที่จะออกมาใหม่นี้จะใช้ระบบ MVX เป็นพื้นฐาน
•    Dynamic Threat Intelligence (DTI) – ระบบนี้จะทำให้ “Oculus” ติดต่อกับระบบ threat intelligence ที่มีอยู่ทั่วโลกเพื่อเพิ่มความสามารถในการตรวจจับภัยคุกคามใหม่ๆได้ตลอดเวลา
•    Support and services – ระบบนี้จะทำให้ผู้ใช้สามารถเข้าถึงการสนับสนุนจากทาง FireEye ได้ตลอด 24 ชม.โดยไม่มีวันหยุด

ที่มา : net-security

ฝ่ายวิจัยด้านความปลอดภัยของ ESET ได้สำรวจผลกระทบ  banking trojan ที่มีเป้าหมายเป็นผู้ใช้งานธนาคารและโจมตี multi-factor authentication บนโทรศัพท์
Hesperbot ได้ทำการตรวจพบ Win32/Spy.

The Guardian เปิดเผยเอกสารเพิ่มเติมจาก Edward Snowden เป็นเอกสารแนะนำระดับชั้นความปลอดภัยของข้อมูลต่างๆ เกี่ยวกับระบบคอมพิวเตอร์ Bullrun

เนื้อหาระบุว่าโครงการ Bullrun ได้รับข้อมูลจากหลายแหล่ง และความร่วมมือจากหลายหน่วยงาน และความสามารถดึงข้อมูลจากเทคโนโลยีต่างๆ นั้นอาจจะไม่ได้หมายถึงการถอดรหัสโดยตรงเสมอไป

เอกสารนี้ระบุว่า ชื่อ Bullrun นั้นไม่เป็นความลับแต่ต้องใช้งานในหน่วยงานที่เกี่ยวข้องเท่านั้น แต่ความสามารถของ Bullrun ที่สามารถ "เข้าถึงได้บางส่วน" สำหรับโปรโตคอล TLS/SSL, HTTPS, SSH, VPNs, VoIP, เว็บเมล, และเทคโนโลยีอื่นๆ นั้นเป็นระดับชั้นความลับสูงสุด (TOP SECRET)

เอกสารไม่ได้บอกถึงกระบวนการภายในของ Bullrun ว่าทำงานอย่างไร มันอาจจะเป็นการทำ man-in-the-middle ที่ใช้งานกันทั่วไป, อาจจะอาศัยความร่วมมือจากบริษัทต่างๆ เพื่อมอบกุญแจลับให้ตรงๆ, ไปจนถึงการพัฒนากระบวนการทางคณิตศาสตร์เพื่อถอดรหัสได้ตรงๆ แล้ว แม้กระทั่งอาจจะผสมกระบวนการทุกแบบเข้าด้วยกัน เพื่อถอดรหัสจากแหล่งต่างๆ ด้วยเทคนิคที่ต่างกันไป

ความลับนี้มีอายุการรักษาความลับ 25 ปี และเอกสารนี้ส่งออกมาเมื่อปี 2010 หากต้องรอเอกสารเปิดเผยตามรอบปกติจะต้องรอถึงปี 2035

ที่มา : blognone

The Guardian เปิดเผยเอกสารเพิ่มเติมจาก Edward Snowden เป็นเอกสารแนะนำระดับชั้นความปลอดภัยของข้อมูลต่างๆ เกี่ยวกับระบบคอมพิวเตอร์ Bullrun

เนื้อหาระบุว่าโครงการ Bullrun ได้รับข้อมูลจากหลายแหล่ง และความร่วมมือจากหลายหน่วยงาน และความสามารถดึงข้อมูลจากเทคโนโลยีต่างๆ นั้นอาจจะไม่ได้หมายถึงการถอดรหัสโดยตรงเสมอไป

เอกสารนี้ระบุว่า ชื่อ Bullrun นั้นไม่เป็นความลับแต่ต้องใช้งานในหน่วยงานที่เกี่ยวข้องเท่านั้น แต่ความสามารถของ Bullrun ที่สามารถ "เข้าถึงได้บางส่วน" สำหรับโปรโตคอล TLS/SSL, HTTPS, SSH, VPNs, VoIP, เว็บเมล, และเทคโนโลยีอื่นๆ นั้นเป็นระดับชั้นความลับสูงสุด (TOP SECRET)

เอกสารไม่ได้บอกถึงกระบวนการภายในของ Bullrun ว่าทำงานอย่างไร มันอาจจะเป็นการทำ man-in-the-middle ที่ใช้งานกันทั่วไป, อาจจะอาศัยความร่วมมือจากบริษัทต่างๆ เพื่อมอบกุญแจลับให้ตรงๆ, ไปจนถึงการพัฒนากระบวนการทางคณิตศาสตร์เพื่อถอดรหัสได้ตรงๆ แล้ว แม้กระทั่งอาจจะผสมกระบวนการทุกแบบเข้าด้วยกัน เพื่อถอดรหัสจากแหล่งต่างๆ ด้วยเทคนิคที่ต่างกันไป

ความลับนี้มีอายุการรักษาความลับ 25 ปี และเอกสารนี้ส่งออกมาเมื่อปี 2010 หากต้องรอเอกสารเปิดเผยตามรอบปกติจะต้องรอถึงปี 2035

ที่มา : blognone

GitHub ได้เพิ่มฟีเจอร์การทำงานที่เกี่ยวกับการรักษาความปลอดภัย two-factor authentication ในการเข้าใช้งานใน GitHub โดยมีการเพิ่มระบบรักษาความปลอดภัย  token จาก SMS หรือแอพพลิเคชั่นบนมือถือของผู้ใช้งาน

เมื่อผู้ใช้ต้องการเข้าใช้งาน นอกจากจะมี ชื่อผู้ใช้ และ รหัสผ่านแล้ว ผู้ใช้นั้นจะต้องมีรหัส ที่เรียกว่า two-factor authentication ซึ่งจะถูกส่งกลับมายัง SMS บนมือถือของคุณเพื่อเป็นการยืนยันตัวตนในการเข้าใช้งานอีกระดับหนึ่ง

จากรายงานทาง GitHub กล่าววว่าในการใช้บริการ two-factor authentication สามารถใช้งานได้ฟรี

ที่มา : pinoyhacknews

 

BitDefender ได้ออกมาเตือนสำหรับคนที่ดาว์โหลดเกมส์ Gran theft Auto V(GTA 5) ว่ามี GTA 5 เวอร์ชั่นปลอมออกมาให้ดาวน์โหลดกัน โดยที่เวอร์ชั่นที่ปลอมขึ้นมามีมัลแวร์แฝงมาด้วย โดยที่ระหว่างการลงติดตั้งเกมส์โดยจะให้กรอกข้อมูลและส่งข้อความออกไปเพื่อที่จะขอรับ Serial number  ซึ่งคุณจะโดนเรียกเก็บเงินวันละ 1 ปอนด์ จาก บิลค่าโทรศัพท์ และใน PC เวอร์ชั่น มัลแวร์จะทำการ สแกน การใช้งานในการเปิดเว็บบราวเซอร์  และขโมยข้อมูล Username, Password  โดยที่มัลแวร์ คือ โทรจันท์ที่มีชื่อว่า Trojan.

รัฐบาลอินเดียเตรียมประกาศห้ามข้าราชการและพนักงานของรัฐ ไม่ให้ใช้บริการอีเมล์จากต่างประเทศในการติดต่อสื่อสารงานของรัฐ หลังจากมีข่าวการสอดแนมครั้งใหญ่ของรัฐบาลสหรัฐผ่าน National Security Agency  (NSA)
ทางออกของรัฐบาลอินเดียคือ ให้ใช้ระบบอีเมล์ของรัฐที่ให้บริการโดยศูนย์ National Informatics Centre แทน
ตัวแทนของรัฐบาลอินเดียยอมรับว่าอีเมล์อย่าง Gmail ใช้ง่ายกว่าอีเมล์ของรัฐบาล และไม่ต้องผ่านกระบวนการขอเปิดบัญชีผู้ใช้ที่ยุ่งยาก แต่การเลือกเก็บข้อมูลสำคัญๆ บนเซิร์ฟเวอร์ภายในประเทศก็เป็นสิ่งสำคัญกว่าการยอมให้ข้อมูลเหล่านี้อยู่บนเซิร์ฟเวอร์นอกประเทศ

ที่มา : timesofindia

เมื่อวันศุกร์ที่ 29 สิงหาคม ที่ผ่านมากลุ่ม Phantom Hackers ที่ใช้ชื่อว่า Kh4lifax ได้ทำการ hacked 5 เว็บไซต์ ดังนี้

- http://www.