Tags:
Node Thumbnail

วันนี้ Intel โดย Navin Shenoy รองประธานฝ่ายบริหารและผู้จัดการทั่วไปฝ่ายศูนย์ข้อมูลของบริษัท ออกมาโพสต์ถึงรายละเอียดและผลกระทบจาก Spectre และ Meltdown โดยยอมรับว่าประสิทธิภาพตกลงบ้างในบางกรณี และมีการรายงานว่าพบการรีสตาร์ทตัวเองของเครื่องบ่อยด้วย (เข้าใจว่าคงหมายถึงที่รายงานในศูนย์ข้อมูล)

Tags:
Node Thumbnail

ช่องโหว่ Spectre/Meltdown เป็นช่องโหว่ที่ Project Zero ของกูเกิลเจอตั้งแต่กลางปี 2017 (เป็นหนึ่งในไม่กี่ช่องโหว่ที่ Project Zero ยอมเลื่อนกำหนดเปิดเผยเกิน 90 วัน) ระหว่างนั้นโครงการสำคัญๆ เช่น เคอร์เนลลินุกซ์และวินโดวส์ รวมถึงผู้ให้บริการคลาวด์ขนาดใหญ่ tier-1 ได้รู้ข้อมูลช่องโหว่นี้ก่อน และมีเวลาเตรียมแพตช์นานหลายเดือน วันนี้ ArsTechnica รายงานถึงชีวิตของผู้ให้บริการรายเล็กที่ไม่มีโอกาสรู้ข้อมูลช่องโหว่นี้ก่อน

Tags:
Node Thumbnail

นักวิจัยจาก ICEBRG บริษัทด้านความปลอดภัยได้เปิดเผยรายงานการค้นพบส่วนเสริม Chrome 4 ตัวได้แก่ HTTP Request Header, Nyoogle, Stickies และ Lite Bookmarks ที่มียอดดาวน์โหลดรวมกันกว่า 5 แสนครั้ง แฝงมาด้วยมัลแวร์ ขณะที่ทาง Google ลบส่วนเสริมทั้ง 4 ตัวแล้วหลังได้รับการแจ้งไปก่อนหน้านี้

ICEBRG ระบุว่าพบทราฟฟิคน่าสงสัยจากเครื่องเวิร์คสเตชันลูกค้า เลยตรวจสอบก่อนจะพบว่ามาจากส่วนเสริมที่ชื่อ HTTP Request Header ซึ่งจะแอบเปิดหน้าเว็บโฆษณาขึ้นมา ขณะที่ส่วนเสริมอีก 3 ตัวก็มีพฤติกรรมลักษณะเดียวกัน

Tags:
Node Thumbnail

Jordan Evan Bloom ชายชาวแคนาดาถูกจับจากการให้บริการเว็บไซต์ LeakedSource.com แหล่งรวมข้อมูลรั่วที่มีข่าวมาแล้วหลายครั้งโดยเฉพาะในช่วงปี 2016 (ข่าวบน Blognone 1, 2, 3, 4)

ตำรวจแคนาดาระบุว่า Bloom ซื้อข้อมูลที่ถูกแฮกจากเว็บใต้ดินแล้วนำมาขายบน LeakedSource.com โดยได้เงินไปแล้วถึง 247,000 ดอลลาร์ ข้อมูลที่ยึดได้จากเซิร์ฟเวอร์มีถึง 3,000 ล้านรายการ

Tags:
Node Thumbnail

BlackBerry ประกาศเปิดตัวบริการใหม่ในชื่อว่า Jarvis เพื่อช่วยให้ผู้ผลิตรถยนต์ทดสอบหาช่องโหว่ด้านความปลอดภัยของซอฟต์แวร์ที่จะใช้กับระบบภายในรถยนต์ ก่อนที่จะโหลดโค้ดเข้าไปยังรถยนต์

ระบบ Jarvis ของ BlackBerry จะใช้เทคนิค static analysis ในการค้นหาบั๊กจากไบนารีของแอพพลิเคชั่นที่ผู้ใช้ใส่เข้ามา จากนั้นจะให้ข้อมูลที่สำคัญในการค้นหาบั๊กให้เจอเพื่อให้ผู้ผลิตรถยนต์สามารถตรวจสอบได้ทันท่วงที ก่อนที่ช่องโหว่จะถูกนำไปใช้เพื่อโจมตีจริง ๆ ซึ่งระบบนี้มีประโยชน์กับผู้ผลิตรถยนต์อย่างมาก เนื่องจากผู้ผลิตรถยนต์มักจะใช้ส่วนของซอฟต์แวร์จากต่างที่ ซึ่งรวมถึงซอฟต์แวร์ที่มักจะพรีแพคเกจมาจากที่อื่นแล้ว ซึ่ง Jarvis สามารถตรวจสอบได้

Tags:
Node Thumbnail

Google Cloud Platform อธิบายวิธีการแก้ปัญหาช่องโหว่ Spectre และ Meltdown (ที่ค้นพบโดย Project Zero ของกูเกิลเอง) ว่าสามารถแพตช์ป้องกันโดยไม่สูญเสียประสิทธิภาพ

กูเกิลบอกว่าเริ่มงานพัฒนาแพตช์หลังค้นพบช่องโหว่ชุดนี้ไม่นาน ช่องโหว่ Spectre ส่วนแรก (Variant 1) และ Meltdown (Variant 3) และสามารถปิดช่องโหว่ได้ตั้งแต่เดือนกันยายน 2017 โดยไม่ต้องให้ลูกค้าปิดเครื่อง และไม่พบปัญหาประสิทธิภาพแต่อย่างใด

Tags:
Node Thumbnail

แฮกเกอร์ไม่ทราบกลุ่มสามารถแฮกเว็บ BlackWallet.co บริการกระเป๋าเงินออนไลน์ด้วย DNS injection เพื่อนำผู้ใช้ไปยังเว็บปลอมได้สำเร็จ และเมื่อผู้ใช้ล็อกอินเว็บปลอมจะโดนสั่งโอนเงินไปยังกระเป๋าเงินของคนร้าย

BlackWallet เป็นบริการกระเป๋าเงินสกุล Stellar Lumen (XLM) โดยยอดเงินในบัญชีคนร้าย ได้เงินไปกว่า 600,000 XLM หรือมูลค่า ณ เวลาแฮกสูงกว่า 400,000 ดอลลาร์ และตอนนี้ถูกถอนออกไปจนเหลือไม่ถึง 100 XLM โดยโอนเงินออกไปยัง Bittrex ตลาดซื้อขายเงินดิจิตอลในสหรัฐ คาดว่าจะแลกเปลี่ยนเงินเป็นสกุลอื่นเพื่อซ่อนตัวต่อไป

Tags:
Node Thumbnail

ถึงแม้ซีพียูค่าย AMD จะไม่ได้รับผลกระทบจากช่องโหว่ Meltdown แต่ก็ยังมีช่องโหว่ Spectre ที่ค้นพบโดย Project Zero เช่นกัน

AMD ประกาศข้อมูลเกี่ยวกับแพตช์ของซีพียูตัวเอง ดังนี้

Tags:
Topics: 
Node Thumbnail

สำนักข่าว Bloomberg รายงานถึงเครื่องมือพิเศษอีกตัวของ Uber คือ Ripley ซอฟต์แวร์สำหรับควบคุมเครื่องจากระยะไกล ในกรณีที่สำนักงาน Uber ถูกบุกค้นจากเจ้าหน้าที่

รายงานนี้ระบุว่าผู้จัดการประจำสำนักงานจะได้รับการฝึกมาตรการในกรณีถูกบุกค้นสำนักงาน เรียกว่า "unexpected visitor protocol" ให้โทรศัพท์กลับสำนักงานใหญ่เพื่อแจ้งเตือน เจ้าหน้าที่ในสำนักงานใหญ่จะรีโมตเข้ามาล็อกหน้าจอ, เปลี่ยนรหัสผ่าน, และปิดเครื่อง โดยเครื่องเหล่านี้รวมตั้งแต่เดสก์ทอป, โน้ตบุ๊ก, ไปจนถึงสมาร์ตโฟน

Tags:
Node Thumbnail

Microsoft ได้เพิ่มฟีเจอร์ใหม่บน Skype ในชื่อว่า Private Conversations ซึ่งเป็นการส่งข้อความแบบเข้ารหัส โดยร่วมมือกับ Open Whisper Systems นำโปรโตคอลเข้ารหัสของ Signal มาใช้งาน ซึ่งจะทำให้ Skype เป็นอีกหนึ่งแพลตฟอร์มแชทขนาดใหญ่ที่มีฟีเจอร์เข้ารหัสให้ใช้งานโดยใช้โปรโตคอลของ Signal เพิ่มเติมจากปัจจุบันที่มี WhatsApp, Google Allo และ Facebook Messenger

หากเปิดใช้งาน Private Conversations แล้ว Skype จะเข้ารหัสทุกอย่างตั้งแต่ข้อความแชท, ไฟล์ และข้อความเสียงที่ส่งหากัน แต่จะไม่เข้ารหัสการโทรด้วยเสียงหรือวิดีโอคอล

Tags:
Node Thumbnail

มีผู้พบบั๊กใน macOS High Sierra เวอร์ชันล่าสุด ซึ่งสามารถเข้าไปแก้ไขข้อมูล System Preferences ส่วน App Store ได้ โดยไม่จำเป็นต้องทราบรหัสผ่านที่ถูกต้อง

โดยวิธีการนั้นผู้ใช้งานต้องล็อกอิน macOS ในระดับแอดมิน แล้วไปที่ System Preferences > App Store กดเลือกไอคอนล็อกด้านล่าง แล้วกดปลดล็อก จะมี pop-up ให้ใส่ชื่อผู้ใช้และรหัสผ่าน ซึ่งพบว่าสามารถใส่รหัสผ่านใดก็ได้ จะสามารถปลดล็อกได้เสมอ อย่างไรก็ตามการแก้ไขข้อมูล App Store นี้ได้ไม่ถือเป็นช่องโหว่ที่รุนแรง

บั๊กดังกล่าวพบใน macOS เวอร์ชันล่าสุด 10.13.2 แต่ไม่พบใน macOS 10.12.6 หรือเก่ากว่า แต่มีการแก้ไขแล้วใน 10.13.3 ซึ่งอยู่ในสถานะเบต้า ฉะนั้นปัญหานี้ก็น่าจะถูกแก้ไขในอัพเดตถัดไปของ macOS

Tags:
Node Thumbnail

การโจมตี Meltdown/Spectre มีรายละเอียดออกมาตั้งแต่สัปดาห์ที่แล้ว หลังจากผู้ผลิตเริ่มปล่อยแพตช์เนื่องจากข่าวเริ่มรั่ว แต่รายงานแรกๆ จาก Project Zero ที่รายงานต่อผู้ผลิตชิปเปิดต่อสาธารณะตามกำหนดเดิมคือวันที่ 9 มกราคม

การเปิดเผยรายงานนี้ทำให้เรารู้ว่ากูเกิลรายงานการโจมตีนี้ตั้งแต่วันที่ 1 มิถุนายน 2017 และการโจมตีนี้ได้รับสิทธิพิเศษในการเปิดเผยการโจมตีหลังรายงานนานกว่า 90 วันตามปกติ

รายงานนี้มาพร้อมโค้ดตัวอย่างสำหรับ AMD, Intel, และ ARM รวมถึงโค้ดตัวอย่างสำหรับการเจาะ KVM และ Xen

Jann Horn นักวิจัย Project Zeroที่รายงานการโจมตีนี้เขียนไว้ตั้งแต่ปลายเดือนมิถุนายนว่าแพตช์ KAISER (ภายหลังกลายเป็นแพตช์ KPTI) น่าจะช่วยป้องกันการโจมตีนี้ได้บางส่วน

Tags:
Node Thumbnail

โครงการ Let's Encrypt ได้รับรายงานว่าบริการเว็บโฮสติ้งรายใหญ่บางรายมีช่องโหว่ทำให้แฮกเกอร์สามารถขอใบรับรองรับปลอมจากเว็บอื่นๆ ที่อยู่บนไอพีเดียวกันได้ ทำให้โครงการตัดสินใจปิดการยืนยันตัวตนเว็บแบบ TLS-SNI-01 ออกไป

TLS-SNI-01 ยืนยันความเป็นเจ้าของโดเมนด้วยการแจ้งชื่อโดเมนที่ไม่มีจริง เช่น 773c7d.13445a.acme.invalid จากนั้นเซิร์ฟเวอร์ของ Let's Encrypt จะเชื่อมต่อเข้าไปยังไอพีโดยแจ้งโดเมนเป็นโดเมนที่ได้รับแจ้งมา หากใบรับรองที่ได้รับระบุโดเมนถูกต้องก็จะถือว่าผู้ขอใบรับรองเป็นเจ้าของโดเมนจริง

แต่บริการเว็บโฮสติ้งส่วนหนึ่งปล่อยให้ผู้ใช้อัพโหลดใบรับรองของเว็บใดๆ ก็ได้เข้าไป ทำให้เมื่อคนร้ายอยู่บนไอพีใดก็สามารถออกใบรับรองของทุกโดเมนที่อยู่บนไอพีนั้นได้

Tags:
Node Thumbnail

Brian Krzanich ซีอีโอของ Intel ขึ้นกล่าวบนเวทีงาน CES 2018 เมื่อเช้านี้ (ตามเวลาในประเทศไทย) โดยกล่าวเกี่ยวกับปัญหาของช่องโหว่ Meltdown และ Spectre ตอนเริ่มการปาฐกถา (keynote) แต่ไม่มีการกล่าวขอโทษแต่อย่างใด (ข้อมูลเพิ่มเติมเกี่ยวกับ Meltdown อ่านได้ที่นี่)

Krzanich ระบุว่าช่องโหว่ดังกล่าวไม่ได้เกิดขึ้นกับ Intel เพียงรายเดียว แต่เกิดขึ้นกับโครงสร้างประมวลแบบอื่น (processing architecture) ด้วย และการแก้ไขปัญหาของอุตสาหกรรมก็ทำไปด้วยดี เพื่อให้ข้อมูลลูกค้าปลอดภัย โดยระบุว่าบริษัทยังไม่ได้รับรายงานว่าช่องโหว่นี้ได้มีการใช้งานจริงเพื่อขโมยข้อมูลของลูกค้า

Tags:
Topics: 
Node Thumbnail

Wi-Fi Alliance เปิดร่างมาตรฐานความปลอดภัย Wi-Fi รุ่นล่าสุดคือ WPA3 โดยร่างมี 4 ฟีเจอร์ใหม่ที่คาดว่าจะเพิ่มเข้ามา

Tags:
Node Thumbnail

Accenture บริษัทที่ปรึกษาและพัฒนาระบบไอทีชื่อดัง ได้เผลอนำข้อมูลส่วนตัว เช่น คีย์ อีเมล รหัสผ่าน และข้อมูลส่วนตัวของบริษัทลูกค้า ไปไว้บน Amazon S3 ของตนเอง แล้วเผลอเปิดให้ทุกคนเข้าถึงได้ โดยไม่ต้องใช้รหัสผ่านใดๆ

เหตุการณ์นี้เกิดขึ้นมาตั้งแต่ราวๆ กันยายน 2017 และเพิ่งเริ่มเป็นข่าวเมื่อ ตุลาคม 2017 ที่ผ่านมา

เรื่องนี้ถูกค้นพบโดยบริษัท UpGuard ซึ่งเป็น startup ด้านความปลอดภัย โดยเมื่อ UpGuard พบเรื่องนี้ก็แจ้ง Accenture ทันทีและ Accenture ก็แก้ไขเรื่องนี้ในวัดถัดไป

Tags:
Node Thumbnail

แอปเปิลออกอัพเดต iOS เวอร์ชัน 11.2.2 ซึ่งถือเป็นการอัพเดตครั้งที่ 9 ของระบบปฏิบัติการ iOS 11 รอบนี้ทิ้งช่วงจาก iOS 11.2.1 ไปเกือบหนึ่งเดือน

ในรายละเอียดส่วนผู้ใช้นั้นแอปเปิลไม่ได้ระบุมากไปกว่า บอกว่าเป็นการอัพเดตเรื่องความปลอดภัย และแนะนำให้ผู้ใช้ทุกคนอัพเดต แต่อัพเดตครั้งนี้ก็เป็นการแก้ไขปัญหาเพิ่มเติมของ Meltdown และ Spectre ซึ่งมีการแก้ไขไปแล้วใน 11.2 โดยใน 11.2.2 เป็นการปรับปรุงส่วนของ Safari และ Webkit เพื่อปิดช่องโหว่ Spectre

ที่มา: MacRumors

Tags:
Node Thumbnail

ไมโครซอฟท์ออกแพตช์ Meltdown/Spectre มาตั้งแต่วันที่ 3 มกราคมที่ผ่านมา เนื่องจากเป็นแพตช์ที่แก้ไขการทำงานเคอร์เนล ทำให้มีปัญหากับซอฟต์แวร์ป้องกันไวรัสบางตัวโดยไมโครซอฟท์รับรู้ปัญหานี้ตั้งแต่ระหว่างทดสอบแพตช์

ทางแก้คือไมโครซอฟต์กำหนดให้เครื่องที่จะได้รับแพตช์วันที่ 3 มกราคม ต้องตั้งค่าในรีจิสตรี SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat เอาไว้ล่วงหน้า ไม่เช่นนั้นจะไม่ได้รับแพตช์ หากติดตั้งซอฟต์แวร์ป้องกันไวรัสเอาไว้ แม้จะเป็นของฟรีเช่น Microsoft Security Essentials เมื่ออัพเดตซอฟต์แวร์ที่รองรับแพตช์ใหม่เรียบร้อยแล้ว ตัวป้องกันไวรัสก็จะเขียนรีจิสตรีนี้ให้เอง แต่หากไม่ได้ติดตั้งตัวป้องกันไวรัสใดๆ เลยจะต้องตั้งค่ารีจิสตรีนี้ด้วยตัวเอง

Tags:
Node Thumbnail

การโจมตี Meltdown ที่เริ่มมีรายงานในสัปดาห์นี้เปิดทางให้แฮกเกอร์ที่สามารถรันโปรแกรมบนเครื่องของเหยื่อ สามารถอ่านข้อมูลบนหน่วยความจำได้ทั้งหมด แม้จะไม่มีสิทธิ์อ่านหน่วยความจำส่วนนั้นๆ เช่น หน่วยความจำของเคอร์เนล และโปรเซสอื่นๆ

การสาธิตที่ชัดเจนที่สุดคงเป็นการขโมยรหัสผ่านที่ผู้ใช้พิมพ์บนโปรแกรมอื่นดังวิดีโอต่อไปนี้

Tags:
Node Thumbnail

แอปเปิลออกเอกสารยืนยันว่าปัญหาช่องโหว่ความปลอดภัยซีพียู Meltdown นั้น ได้ถูกแก้ไขไปเรียบร้อยแล้วในระบบปฏิบัติการทุกตัว ตั้งแต่ iOS 11.2, macOS 10.13.2 และ tvOS 11.2 ส่วน watchOS ไม่ได้รับผลกระทบจากปัญหานี้ ส่วนปัญหา Spectre จะมีการแก้ไขในอัพเดตถัดไปของ Safari

Tags:
Node Thumbnail

จากประเด็นช่องโหว่ความปลอดภัยซีพียู Spectre และ Meltdown ที่เป็นข่าวใหญ่เมื่อวานนี้ ล่าสุดอินเทลแถลงข้อมูลเพิ่มเติมเกี่ยวกับการออกแพตช์ให้ซีพียูที่ได้รับผลกระทบ

อินเทลบอกว่าตอนนี้ได้ออกแพตช์ให้กับ "ซีพียูส่วนใหญ่" ที่วางขายในรอบ 5 ปีที่ผ่านมาแล้ว และภายในสิ้นสัปดาห์หน้า ปริมาณแพตช์จะครอบคลุม 90% ของซีพียูที่วางขายในรอบ 5 ปี

อินเทลไม่ได้ระบุชื่อรุ่นของซีพียูที่ได้รับแพตช์ และไม่บอกว่าซีพียูที่มีอายุเก่ากว่า 5 ปีจะได้รับแพตช์หรือไม่

Tags:
Node Thumbnail

ศูนย์ไซเบอร์ทหาร กองบัญชาการกองทัพไทย ประกาศรับสมัครพลเรือนรับราชการสองตำแหน่ง ได้แก่ เจ้าหน้าที่ปฏิบัติการด้านการตรวจประเมินมาตรฐานการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (security audit) และเจ้าหน้าที่ปฏิบัติการด้านเทคนิค

แนวทางการสอบค่อนข้างน่าสนใจ เจ้าหน้าที่ปฏิบัติการด้านเทคนิคมีการสอบให้เจาะระบบเพื่อดึงข้อมูลที่ซ่อนไว้ในระบบ, พิสูจน์หลักฐานดิจิทัลเพื่อหาข้อมูลตามที่โจทย์กำหนด, ทดสอบเขียนโปรแกรม ส่วนฝั่ง security audit เป็นการทดสอบความรู้มาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ ISO 27000

Tags:
Node Thumbnail

เอเอ็มดีออกประกาศผลกระทบของช่องโหว่ speculated execution ที่กระทบซีพียูแทบทุกตระกูล และรายงานของ Project Zero ยืนยันว่าซีพียูเอเอ็มดีกระทบบางส่วน โดยระบุว่าส่วนที่ซีพียูเอเอ็มดีได้รับผลกระทบสามารถแก้ไขได้ด้วยซอฟต์แวร์ และคาดว่าจะมีผลกระทบต่อประสิทธิภาพเพียงเล็กน้อย

เอเอ็มดีชี้แจงถึงช่องโหว่ทั้งสาม ระบุว่า

Tags:
Node Thumbnail

Project Zero รายงานช่องโหว่ซีพียูที่พบตั้งแต่ปลายปีที่แล้ว และกลายเป็นต้นกำเนิดของแพตช์ KPTI ที่ทำให้ประสิทธิภาพของเครื่องลดลง ตอนนี้ทางโครงการก็ปล่อยรายละเอียดออกมาแล้ว โดยมีการโจมตีสองแบบ สาม CVE และสี่รูปแบบการโจมตี

Tags:
Node Thumbnail

Intel ได้อธิบายอย่างเป็นทางการถึงช่องโหว่ความปลอดภัยบนชิพซึ่งเกิดจากการออกแบบ โดยช่องโหว่นี้เปิดให้แฮกเกอร์ที่รันโค้ดในระดับผู้ใช้สามารถรู้ตำแหน่งของฟังก์ชั่นต่าง ๆ ในเคอร์เนลได้ ซึ่งตำแหน่งของเคอร์เนลนี้ควรจะถูกซ่อนไว้จากระดับผู้ใช้ โดยในคำอธิบาย Intel ไม่ใช่คำว่าช่องโหว่ แต่ใช้คำว่า software analysis method ซึ่งทำให้สามารถเห็นและเก็บข้อมูลสำคัญจากอุปกรณ์ได้ แต่ก็ยังไม่สามารถที่จะใส่สิ่งเจือปน, ลบ หรือแก้ไขข้อมูลได้ และตอนนี้ยังไม่มีหลักฐานการใช้ช่องโหว่นี้ในการโจมตี

Pages