AWS ประกาศเพิ่มฟีเจอร์ Passkey สำหรับการล็อกอินเข้าระบบด้วยกุญแจ USB, โทรศัพท์มือถือผ่านบัญชี Google/Apple, ล็อกบัญชีเข้ากับอุปกรณ์ที่ีรองรับ FIDO
แม้ว่า Passkey จะใช้แทนรหัสผ่านไปได้เลย แต่ตอนนี้ AWS ก็เลือกที่จะใช้รหัสผ่านต่อไป โดยใช้ Passkey เป็นแค่การล็อกอินขั้นที่สอง หน้าจอคอนโซลของ AWS เปิดให้เพิ่ม Passkey เข้าระบบเพิ่มขึ้นได้เรื่อยๆ ไม่จำกัดจำนวนอุปกรณ์
การเพิ่มฟีเจอร์ครั้งนี้มาพร้อมกับการบังคับว่า root account จะต้องล็อกอินสองขั้นตอนเท่านั้น โดยยังบังคับเฉพาะ root account ของ AWS Organization ก่อนโดยจะค่อยๆ ไล่บังคับไปจนครบภายในปีนี้
ศาลสิงคโปร์สั่งจำคุก Kandula Nagaraju เจ้าหน้าที่ฝ่าย Quality Assurance (QA) ของบริษัท NCS ผู้ให้บริการไอทีในสิงคโปร์ หลังจากที่ Kandula ล็อกอินเข้าระบบเพื่อลบ virtual machine ของบริษัทออกจากระบบไปถึง 180 เครื่องล้างแค้นที่ถูกไล่ออก
Kandula ทำงานกับ NCS ตั้งแต่ปลายปี 2021 จนถึงปลายปี 2022 และเมื่อครบสัญญาบริษัทก็แจ้งไม่ต่อสัญญากับเขา ทำให้ Kandula ผิดหวังเพราะมองว่าทำงานได้ดี หลังจากนั้น Kandula กลับไปยังอินเดียแต่ก็ได้รหัสผ่านระบบของ NCS กลับไปด้วย เขาทดลองล็อกอินหลายครั้งจนะกระทั่งกลับมาหางานที่สิงคโปร์ในช่วงเดือนมีนาคม 2023 เขาเขียนสคริปต์ลบเซิร์ฟเวอร์ของ NCS ทั้งระบบที่เขาเข้าถึงได้ 180 เครื่อง
ในการบรรยายคีย์โน้ตของงาน Apple WWDC 2024 เมื่อคืนที่ผ่านมาระหว่างการเปิดตัวชุดบริการ Apple Intelligence นั้นแอปเปิลยอมรับว่าต้องส่งข้อมูลบางส่วนขึ้นคลาวด์เนื่องจากต้องการประสิทธิภาพการประมวลผลที่สูงขึ้นเกินกว่าชิปบนอุปกรณ์จะรับไหว แต่แอปเปิลก็พยายามรักษาความเป็นส่วนตัวให้ใกล้เคียงกับการประมวลผลบนอุปกรณ์โดยตรงด้วย Private Cloud Compute คอมพิวเตอร์บนคลาวด์ออกแบบเฉพาะสำหรับการประมวลผลที่ยืนยันได้ว่าปลอดภัย
กสทช. สหรัฐฯ หรือ FCC ประกาศเริ่มกระบวนการร่างกฎควบคุมความปลอดภัยของบริษัทโทรคมนาคมให้มีการรักษาความปลอดภัยโปรโตคอล BGP
BGP เป็นโปรโตคอลสำหรับการประกาศว่าเส้นทางใดสามารถไปยังเน็ตเวิร์คใดได้บ้าง ซึ่งหากคนร้ายประกาศว่ามีช่องทางความเร็วสูงเพื่อเชื่อมต่อไปยังเน็ตเวิร์คของบริษัทเป้าหมาย ก็จะมีคนส่งทราฟิกไปยังคนร้ายได้ เรียกว่าการโจมตีแบบ BGP hijacks
Microsoft ชี้แจงฟีเจอร์จับหน้าจอ Recall ใน Windows 11 ย้ำว่าถูกปิดเป็นดีฟอลต์, ข้อมูลเข้ารหัสอีกชั้น
Pavan Davuluri หัวหน้าฝ่าย Windows + Devices ชี้แจงประเด็นฟีเจอร์ Recall ใน Windows 11 ที่เปิดตัวในงาน Copilot+ PC ให้ผู้ใช้งานสามารถย้อนเวลาได้ว่าเคยใช้งาน Windows 11 ทำอะไรตอนไหน ซึ่งนักวิจัยด้านความปลอดภัย ต่างแสดงความกังวล รวมทั้งออกเครื่องมือเพื่อพิสูจน์ว่าการเข้าถึงข้อมูลนี้ทำได้ไม่ยาก
Davuluri บอกว่าไมโครซอฟท์ต้องการแสดงความชัดเจนถึงฟีเจอร์นี้ หลังจากมีความคิดเห็นจากลูกค้า ซึ่งจะเริ่มอัปเดตให้กับกลุ่มพรีวิวในวันที่ 18 มิถุนายน
ที่ผ่านมา แอปเปิลไม่เคยประกาศนโยบายออกมาชัดเจนว่า iPhone จะได้รับซัพพอร์ตแพตช์ความปลอดภัยนานเท่าไร ถึงแม้ประวัติของแอปเปิลค่อนข้างดีเรื่องการซัพพอร์ตที่ยาวนานก็ตาม
ล่าสุดมีความชัดเจนขึ้นในเรื่องนี้ หลังสหราชอาณาจักรออกกฎ Product Security and Telecommunications Infrastructure กำหนดให้ผู้ผลิตอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตได้ ต้องแถลงนโยบายด้านแพตช์ความปลอดภัยของตัวเอง ซึ่งรวมถึง iPhone ด้วย
แอปเปิลได้ปฏิบัติตามกฎข้อนี้ และชี้แจงว่า iPhone 15 Pro Max ที่เริ่มวางขายในเดือนกันยายน 2023 มีระยะซัพพอร์ต "อย่างน้อย 5 ปี" (minimum five years) หลังวันวางขาย ซึ่งถือเป็นครั้งแรกที่แอปเปิลประกาศตัวเลขนี้ออกมาชัดๆ ให้เห็นกัน
Kevin Beaumont นักวิจัยด้านความปลอดภัย มีโอกาสลองเล่น ฟีเจอร์ Recall ของ Windows 11 ที่เปิดตัวใน งาน Copilot+ PC และพบว่ามีความเสี่ยงที่จะทำให้ข้อมูลส่วนบุคคลรั่วไหล หรือถูกขโมยข้อมูลได้
หลักการทำงานของ Recall คือบันทึกภาพหน้าจอเป็นระยะๆ แล้วใช้ OCR อ่านหน้าจอว่ามีข้อความอะไรบ้าง (ถ้าเป็นภาพก็จะใช้โมเดลจาก Azure AI อ่านภาพเพื่อดูว่าเป็นภาพอะไร ประมวลผลในเครื่อง) ข้อความเหล่านี้จะถูกเก็บลงฐานข้อมูล SQLite ในเครื่องเพื่อให้มาคุ้ยหาภายหลังได้ง่าย
บริษัทความปลอดภัย Kaspersky ออกเครื่องมือจัดการไวรัสและมัลแวร์บนลินุกซ์ Kaspersky Virus Removal Tool (KVRT) for Linux ซึ่งเคยมีเวอร์ชันบนวินโดวส์มาก่อนแล้ว
KVRT ไม่ได้เป็นแอนตี้ไวรัสเต็มรูปแบบที่คอยมอนิเตอร์เครื่องของเราอยู่ตลอดเวลา แต่ใช้สแกนดูได้ว่าเครื่องลินุกซ์ของเรามีไวรัสหรือมัลแวร์แอบแฝงอยู่หรือไม่ โปรแกรมตัวนี้ เปิดให้ดาวน์โหลดฟรีบนเว็บไซต์ Kaspersky สิ่งที่ต้องแลกมาคือมันไม่อัพเดตฐานข้อมูลไวรัสให้อัตโนมัติ หากต้องการให้ข้อมูลอัพเดตก็ต้องขยันดาวน์โหลดไฟล์ใหม่มาเรื่อยๆ (Kaspersky บอกว่าเวอร์ชันไฟล์เปลี่ยนบ่อยๆ วันละหลายครั้ง)
ไมโครซอฟท์เปิดเผยรายละเอียดฝั่งความปลอดภัยของ Copilot+ PC ว่าจำเป็นต้องผ่านสเปก Secured-core PC มีความปลอดภัยระดับสูงตั้งแต่ขั้นของเฟิร์มแวร์ ต้องมี ชิปความปลอดภัย Pluton ที่ไมโครซอฟท์ออกแบบ และเปิดใช้งานเป็นค่าดีฟอลต์
เงื่อนไขอื่นๆ คือต้องมี Windows Hello Enhanced Sign-in Security (ESS) โหมดความปลอดภัยขั้นสูงของ Windows Hello ที่เปิดใช้ฟีเจอร์ Virtualization Based Security (VBS) เก็บรักษาข้อมูลไบโอเมตริกแยกเฉพาะด้วย
สัปดาห์ที่ผ่านมา Cisco เปิดตัว Hypershieldโซลูชันความปลอดภัยยุคใหม่ ที่คุยว่าสามารถป้องกัน "ช่องโหว่ความปลอดภัยที่ยังไม่รู้จัก" (Unknown Vulnerabilities) ได้ด้วย
ในโลกความปลอดภัยปัจจุบัน เมื่อมีการค้นพบช่องโหว่ใหม่ๆ จะรายงานเข้าฐานข้อมูล Common Vulnerabilities and Exposures (CVE) เพื่อให้ผู้ผลิตซอฟต์แวร์ออกแพตช์แก้ไข และเข้าสู่กระบวนการอัพเดตแพตช์ตามมา ลำพังแค่การค้นพบ CVE และอัพเดตแพตช์เป็นเรื่องที่ยุ่งยากซับซ้อนมากขึ้นเรื่อยๆ อยู่แล้ว แต่ก็ยังมีช่องโหว่ความปลอดภัยอีกแบบที่ผู้ผลิตซอฟต์แวร์ยังไม่รู้จักมาก่อนด้วย ที่สำคัญคือแฮ็กเกอร์บางกลุ่มอาจรู้แล้วและใช้ช่องโหว่กลุ่มนี้แบบเงียบๆ
GitHub เดินหน้าแก้ปัญหา supply chain attack หรือการยัดไส้มัลแวร์ลงในซอฟต์แวร์ยอดนิยมเพื่อกระจายต่อ ฟีเจอร์ของ GitHub ที่ออกแบบมาแก้ปัญหานี้เรียกว่า Artifact Attestations
Artifact Attestations อิงอยู่บน โครงการ Sigstore ของ Linux Foundation ที่ใช้วิธี sign ไฟล์ต่างๆ ทุกครั้งที่ออกเวอร์ชันใหม่ แล้วนำลายเซ็นดิจิทัลเหล่านี้ไปเก็บไว้ใน log ที่เปิดเผยต่อสาธารณะ ให้ตรวจสอบย้อนกลับได้ว่าเป็นไฟล์แท้จากนักพัฒนาต้นฉบับ
หลังจากเหตุการณ์คนร้ายส่งโค้ดมุ่งร้ายเข้าโครงการ XZ โดยคนร้ายแฝงตัวเป็นนักพัฒนาไปช่วยส่งโค้ดเล็กๆ น้อยสร้างความไว้วางใจให้กับผู้ดูแลโครงการเพื่อให้ยกสิทธิ์ส่งโค้ดให้คนร้าย ทาง OpenSSF และ OpenJS ก็ออกมาเตือนว่ามีคนร้ายใช้วิธีการแบบนี้กับโครงการอื่นๆ เหมือนกัน
รูปแบบการโจมตีเหมือนกับที่คนร้ายทำกับโครงการ XZ อย่างมาก ได้แก่ส่งโค้ดเข้ามาเล็กๆ น้อยๆ แม้จะดูเป็นมิตรแต่ก็พยายามเร่งให้โค้ดได้เข้าโครงการเร็วๆ จากนั้นจะมีบัญชีอื่นๆ ช่วยกันโวยวายว่าโค้ดเข้าโครงการช้า โดยโค้ดที่ส่งเข้ามามักจะอ่านยาก, มีไบนารีเป็นก้อนถูกส่งเข้ามาด้วย, หรือบางครั้งก็พยายามเปลี่ยนกระบวนการคอมไพล์โครงการ
Cisco ประกาศแผนการเชื่อมต่อซอฟต์แวร์ Cisco XDR ของตัวเอง เข้ากับ Splunk ที่เพิ่งซื้อกิจการเสร็จในเดือนมีนาคม 2024 ด้วยราคา 2.8 หมื่นล้านดอลลาร์ (1 ล้านล้านบาท)
Cisco อธิบายว่าวิสัยทัศน์ในการซื้อ Splunk คือต้องการสร้างโซลูชันการให้บริการความปลอดภัย (Security Operation Center หรือ SOC) บริษัทมองว่าต้องมีบริการที่ครอบคลุมทั้ง ตรวจจับ สืบค้น รับมือต่อภัยคุกคาม (Threat Detection, Investigation, and Response ตัวย่อ TDIR)
กูเกิลเปิดตัว Google Threat Intelligence บริการสารสนเทศความปลอดภัยไซเบอร์แบบครบวงจร ที่รวมร่างผลิตภัณฑ์ด้านความปลอดภัยในเครือกูเกิล ได้แก่ Mandiant ( ซื้อมาปี 2022 ), VirusTotal ( ซื้อมาปี 2012 ) และพ่วงด้วยพลัง Gemini เข้ามาอีกอย่าง
ไมโครซอฟท์ประกาศยกระดับนโยบายด้านความปลอดภัยครั้งใหญ่ หลัง โดนแฮ็กเกอร์กลุ่ม Storm-0558 ขโมยกุญแจ Azure AD ในเดือนกรกฎาคม 2023 และ กลุ่ม Midnight Blizzard โจมตีระบบภายใน และขโมยข้อมูลบางส่วนของบริษัทเมื่อต้นปี 2024
ไมโครซอฟท์มีนโยบายความปลอดภัยในภาพใหญ่ชื่อ Secure Future Initiative (SFI) เปิดตัวในเดือนพฤศจิกายน 2023 แต่ล่าสุดทีมบริหารของไมโครซอฟท์บอกว่ายังไม่เพียงพอ ประกาศรอบนี้คือการขยาย SFI ให้ครอบคลุมทั่วทั้งบริษัทในทุกแง่มุม
กูเกิลสรุปสถิติการต่อสู้กับแอพประสงค์ร้าย แอพเสี่ยงภัยต่างๆ บน Google Play ในปี 2023 ดังนี้
วันนี้กฎหมาย Product Security and Telecommunications Infrastructure (PSTI) ที่ตราเป็นกฎหมายสหราชอาณาจักรตั้งแต่ปี 2022 เริ่มบังคับใช้เป็นวันแรก (29 เมษายน 2024) ส่งผลให้สินค้าที่เชื่อมต่ออินเทอร์เน็ตในสหราชอาณาจักรต้องมีมาตรการความปลอดภัยเพิ่มเติม 3 ประการ ได้แก่
ที่งาน Money 20/20 Asia ที่กรุงเทพฯ สัปดาห์ที่ผ่านมา Tony Petrov ประธานเจ้าหน้าที่ฝ่ายกฎหมายของบริษัท Sumsub ผู้ให้บริการยืนยันตัวตนลูกค้า (know-your-customer - KYC) ระบุถึงความก้าวหน้าของเทคโนโลยี AI ทุกวันนี้ว่าก้าวหน้าขึ้นเรื่อยๆ แต่เทคโนโลยีการตรวจสอบก็ได้รับการพัฒนาเช่นกัน
Sumsub พยายามพัฒนาระบบตรวจจับภาพ Deepfake ของตัวเองโดยมีทีมสร้างภาพ Deepfake เพื่อมาหลอกระบบตรวจสอบไปพร้อมกัน โดยลูกค้าจำนวนมากเป็นกลุ่มบริการคริปโต เช่นตลาดคริปโตอย่าง Binance
Shopify ออกมาเตือนถึงความเปลี่ยนแปลงหนึ่งของมาตรฐาน PCI-DSS v4 ที่ออกมาตั้งแต่ปี 2022 แต่จะเริ่มบังคับ 31 มีนาคม 2025 นี้ โดยข้อ 6.4.3 บังคับเรื่องการโหลดสคริปต์บนเบราว์เซอร์ของผู้ใช้ต้องมีการตรวจสอบความถูกต้องเสมอ
ข้อบังคับนี้พยายามแก้ปัญหาการฝังสคริปต์เพื่อดูดหมายเลขบัตรเครดิต (digital skimming) ที่คนร้ายฝังสคริปต์ไว้ในเว็บร้านค้า เมื่อผู้ใชักรอกเลขบัตรลงในฟอร์มแล้วสคริปต์จะดูดหมายเลขส่งไปยังเซิร์ฟเวอร์ของตัวเอง
ข้อบังคับของ PCI-DSS v4 จึงบังคับให้ร้านค้า ต้องทำเอกสารระบุว่าสคริปต์ใดใช้เพื่อเหตุผลใดบ้าง, มีมาตรการบังคับว่าเว็บจะโหลดเฉพาะสคริปต์ที่ได้รับอนุญาตเท่านั้น และสคริปต์ที่โหลดต้องถูกต้อง
ทีมวิจัยความปลอดภัยรายงานถึงการเจาะเซิร์ฟเวอร์ Minecraft ให้สามารถทำนายตำแหน่งของผู้เล่นทั้งแผนที่ได้สำเร็จ เนื่องจากเซิร์ฟเวอร์ Minecraft มีการใช้งานระบบสุ่มค่าที่ไม่ปลอดภัยพอ
ช่องโหว่นี้กระทบเฉพาะเซิร์ฟเวอร์ 2b2t ที่ได้รับความนิยมสูงและมีคุณสมบัติคือแผนที่มีขนาดใหญ่มากๆ ถึง 3.6 พันล้านล้านแผ่น การรู้ตำแหน่งผู้เล่นอื่นจึงมีผลมาก โดยความผิดพลาดของนักพัฒนาคือใช้ java.util.Random
ที่ไม่ปลอดภัยอยู่แล้ว แต่ยังอาศัยตำแหน่งของผู้เล่นเข้าไปเป็นอินพุตของตัวสุ่มค่าอีกด้วย เมื่อคนร้ายเห็นตำแหน่งของที่ดรอปในแผนที่มากพอก็จะคำนวณถึงสถานะภายในของตัวสุ่มค่าได้ในที่สุด และทำนายตำแหน่งของผู้เล่นอื่นได้
ช่องโหว่นี้กระทบ Minecraft 1.8 Beta จนถึง 1.12.2
LastPass รายงานเหตุการณ์ที่เกิดขึ้นกับบริษัท จากการที่คนร้ายใช้โปรแกรมปลอมเสียง Deepfake โดยพนักงานคนหนึ่งของบริษัทได้รับการติดต่อทั้งในรูปแบบโทรศัพท์เสียง ข้อความ และวอยซ์เมล ผ่าน WhatsApp โดยทั้งหมดปลอมตัวเป็นซีอีโอของ LastPass
อย่างไรก็ตามพนักงานคนดังกล่าวก็ไม่ได้เชื่อว่าเป็นซีอีโอตัวจริง เนื่องจากมีลักษณะแปลกหลายอย่าง เช่น ติดต่อนอกเวลางาน ไม่ได้ใช้ช่องทางติดต่อทางการของบริษัท พยายามแจ้งสถานการณ์ที่มีความเร่งด่วนสูง เพื่อหวังใช้ Social Engineering สุดท้ายพนักงานก็ไม่ได้สนใจข้อความ และรายงานเหตุการณ์ให้กับฝ่ายความปลอดภัยของบริษัทตามขั้นตอน
บริษัท OZ-IT จากสโลวีเนียเปิดตัวกล้องรักษาความปลอดภัยภายในบ้านที่ใช้ AI ประมวลผล สามารถยิงลูกเพนท์บอลใส่ผู้บุกรุกที่คาดว่าเป็นอันตรายกับผู้อยู่อาศัยได้ มีชื่อว่า PaintCam Eve โชว์อยู่บน kickstarter แต่ยังไม่เปิดให้ระดมทุน
PaintCam Eve มี 3 รุ่นได้แก่ Eve (Standard), Eve+ (Advance) และ Eve Pro (Elite) โดยรุ่นสูงสุดจะมีระบบจดจำใบหน้าบุคคล และสัตว์ได้ ในขณะที่รุ่น Eve จะมีระบบป้องกันอัจฉริยะ และเปิดปิดกล้องผ่านแอปพลิเคชัน
Cloudflare ออกรายงานการโจมตีด้วยวิธี DDoS ประจำไตรมาสที่ 1 ปี 2024 โดยระบบของ Cloudflare สามารถแก้ไขปัญหาการถูกโจมตี DDoS ได้อัตโนมัติ 4.5 ล้านครั้ง เป็นตัวเลขที่เพิ่มขึ้น 50% เมื่อเทียบกับไตรมาสเดียวกันในปีก่อน (year-over-year - YoY)
การโจมตีขนาดใหญ่ที่สุดที่พบในไตรมาส มีขนาดระดับ 2Tbps โดยใช้บอตเนตที่ปรับแต่งจาก Mirai โจมตีโฮสต์ในภูมิภาคเอเชีย แต่ภาพรวมนั้นการโจมตี DDoS ระดับ 1Tbps ก็มีอยู่ทุกสัปดาห์
อีกข้อมูลน่าสนใจ Cloudflare พบว่าการโจมตี DDoS ที่ระดับโดเมนมีจำนวนมากขึ้น เพิ่มขึ้นถึง 80% จากปีก่อน อย่างไรก็ตามการโจมตีที่เลเยอร์ 3/4 วิธีอื่นก็เพิ่มขึ้นเช่นกัน
Yilei Chen นักวิจัยจาก Tsinghua University เผยแพร่รายงานวิจัยถึงอัลกอริทึมใหม่ที่สามารถเร่งความเร็วในการแก้ปัญหา Lattice บางส่วนได้ เปิดทางสู่การพัฒนากระบวนการเจาะการเข้ารหัสที่เคยเชื่อกันว่าทนทานต่อคอมพิวเตอร์ควอนตัม
ปัญหา Lattice เป็นปัญหาที่กระบวนการเข้ารหัสแบบทนทานต่อคอมพิวเตอร์ควอนตัมนิยมใช้งานกัน เปรียบได้กับปัญหาการแยกตัวประกอบที่นิยมใช้งานในกระบวนการเข้ารหัสแบบปกติที่ผ่านๆ มา กระบวนการของ Chen ระบุว่าสามารถใช้คอมพิวเตอร์ควอนตัมแก้ปัญหา learning with errors (LWE) ภายในเวลา polynomial ได้สำเร็จ และปัญหา LWE นั้นเทียบเท่ากับปัญหา Lattice ในบางรูปแบบ
Roku แพลตฟอร์มสมาร์ททีวีและกล่องชมรายการสตรีมมิ่งในสหรัฐ รายงานปัญหาข้อมูลผู้ใช้งานรั่วไหล กระทบ 576,000 บัญชี ซึ่งเป็นการรายงานปัญหานี้ครั้งที่สอง หลังจากพบปัญหาเดียวกันในเดือนมีนาคม โดยตอนนั้นมีบัญชีที่ได้รับผลกระทบ 15,000 บัญชี แต่หลังตรวจสอบเพิ่มเติมจึงรายงานผลกระทบที่มากขึ้น
สิ่งที่ Roku พบคือผู้โจมตีใช้วิธีนำล็อกอินและรหัสผ่าน ที่มีข้อมูลหลุดออกมาจากแหล่งอื่น มาทดลองใช้ล็อกอินซ้ำบน Roku วิธีการนี้เรียกว่า credential stuffing ซึ่ง Roku ย้ำว่าแหล่งข้อมูลนั้นไม่ได้มาจาก Roku ส่วนผลกระทบนั้นพบว่ามี 400 บัญชี ที่สามารถซื้อคอนเทนต์บนแพลตฟอร์มสำเร็จด้วย แต่ไม่สามารถเข้าถึงข้อมูลส่วนตัวที่สำคัญ และหมายเลขบัตรเครดิตทั้งหมดได้
