Tags:
Node Thumbnail

เมื่อต้นปีนี้ Gmail ประกาศใช้การเชื่อมต่อแบบ HTTPS ในทุกกรณี เพื่อความปลอดภัยและความเป็นส่วนตัวของผู้ใช้งาน

อย่างไรก็ตาม นโยบายนี้ยังมีช่องโหว่จากการใช้งานส่วนเสริมของเบราว์เซอร์ที่ออกแบบมาสำหรับปรับแต่ง Gmail ให้มีฟีเจอร์มากขึ้น เพราะส่วนเสริมหลายตัวใช้วิธีโหลดเนื้อหาของตัวเองผ่าน HTTP เข้าไปแทรกในเพจ Gmail ซึ่งเสี่ยงต่อการถูกฝังมัลแวร์ระหว่างทาง (เช่น cross site scripting)

Tags:
Node Thumbnail

ความลักลั่นอย่างหนึ่งในระบบความปลอดภัยเว็บคือเว็บที่เข้ารหัสอย่างไม่ถูกต้อง เช่น ใช้ใบรับรองที่ไม่น่าเชื่อถือ หรือเข้ารหัสด้วยกระบวนการที่ล้าสมัย จะถูกแจ้งเตือนว่าเป็นเว็บที่ไม่ปลอดภัย พร้อมหน้าจอเตือนผู้ใช้อย่างชัดเจน ขณะที่เว็บทั่วไปที่ไม่ได้เข้ารหัสกลับสามารถใช้งานได้โดยไม่มีการเตือนใดๆ ทั้งที่จริงมีความเสี่ยงมากกว่าคือสามารถโดนโจมตีทั้งแบบคั่นกลาง (man-in-the-middle) หรือดักฟังโดยไม่แก้ไขข้อมูลก็ได้ ตอนนี้มีข้อเสนอจากทั้งฝั่งโครมและไฟร์ฟอกซ์ ให้แจ้งเตือนเว็บไม่เข้ารหัสในระดับเดียวกับการเข้ารหัสอย่างไม่ปลอดภัย

Tags:
Node Thumbnail

Sony พัฒนาตัวล็อกประตูอัจฉริยะ Qrio สามารถนำไปติดตั้งกับประตูที่มีอยู่แล้ว โดยใช้ควบคุมการล็อกประตูได้ผ่านทางแอพในสมาร์ทโฟน

Qrio เป็นตัวล็อกประตูที่ใช้อะลูมิเนียมเป็นวัสดุหลักของตัวเครื่อง ใช้พลังงานจากแบตเตอรี่ CR123A ที่สามารถจ่ายไฟเลี้ยงอุปกรณ์ได้นานกว่า 1,000 วัน ผู้ใช้สามารถนำ Qrio ไปติดตั้งกับมือจับหรือตัวลูกบิดล็อกประตูที่มีอยู่แล้วได้หลายรูปแบบ โดยสำหรับผู้ที่อยู่ในห้องสามารถใช้มือจับส่วนลูกบิดด้านหน้าของ Qrio เพื่อล็อกหรือเปิดประตูได้เหมือนกับการใช้ลูกบิดประตูทั่วไป ส่วนผู้ที่อยู่นอกห้องสามารถใช้แอพในสมาร์ทโฟน ซึ่งก็มีทั้งรุ่นสำหรับ iOS 7 (หรือใหม่กว่า) และแอพสำหรับ Android 4.4 (หรือใหม่กว่า) เพื่อทำการปลดล็อก Qrio ได้ผ่านการสื่อสารด้วยบลูทูธพลังงานต่ำ

Tags:
Node Thumbnail

เมื่อวันที่ 10 ธันวาคมที่ผ่านมา ไมโครซอฟท์ได้ปล่อยแพตช์หมายเลข KB3004394 ผ่านระบบ Windows Update ซึ่งหลังจากที่ปล่อยออกไปก็มีผู้ใช้หลายรายแจ้งว่าแพตช์นี้มีปัญหากับซอฟต์แวร์อื่นๆ ในระบบ รวมถึงไม่สามารถเข้า Windows Update เพื่อติดตั้งแพตช์อื่นๆ ได้ ในเบื้องต้นทางไมโครซอฟท์ได้ถอดแพตช์นี้ออกจาก Windows Update และแนะนำให้ผู้ใช้ที่มีปัญหาลบแพตช์นี้ออกไปก่อน

Tags:
Node Thumbnail

BitDefender บริษัทที่ทำธุรกิจด้านความปลอดภัย เผยแพร่บทความในบล็อกของตัวเองที่มีชื่อว่า Hot for Security โดยระบุว่าอุปกรณ์สาย Wearable Computing สามารถที่จะดักฟังข้อมูลได้ง่ายกว่าที่หลายคนคิดเอาไว้มาก

ในการทดลองของทางบริษัท นักวิจัยใช้ Nexus 4 ที่ลง Android L Preview และ LG G Watch (ดูในคลิปวิดีโอท้ายข่าว) เพื่อที่จะทดลองความเป็นไปได้ (proof of concept) ว่าทำได้จริง ซึ่งผลก็คือสามารถดักฟังข้อมูลที่ส่งจากโทรศัพท์ไปยัง LG G Watch ได้ โดยนักวิจัยอธิบายว่า เนื่องจากการเข้ารหัสในการส่งข้อมูลของ Bluetooth อาศัยตัวเลขเพียงหกหลักเท่านั้น ซึ่งถ้าใช้วิธีการโจมตีแบบ brute force ในเวลาไม่นาน ก็จะสามารถอ่านข้อมูลต่างๆ ได้ทันที

Tags:
Node Thumbnail

ฟีเจอร์ใหม่ด้านความปลอดภัยของ Android 5.0 Lollipop คือ Smart Lock ปลดล็อคเครื่องมือถือด้วยอุปกรณ์อื่นๆ (เช่น อุปกรณ์ Bluetooth) ซึ่งภายหลังกูเกิลก็ขยายฟีเจอร์นี้ให้สามารถปลดล็อค Chrome OS ได้ในลักษณะเดียวกัน (ด้วยสมาร์ทโฟน Android)

กูเกิลโชว์การปลดล็อค Chrome OS ที่งาน Google I/O เมื่อกลางปีแล้วเงียบหายไปเลย ล่าสุดโค้ดส่วนนี้เริ่มโผล่เข้ามาใน Chrome OS Dev Channel แล้ว โดยผู้ใช้ต้องเปิดใช้งานในหน้า chrome:///flags ก่อนด้วย (ในหน้าอธิบายฟีเจอร์ของ Chrome OS ก็ยังเรียกมันว่า Smart Lock Beta)

Tags:
Node Thumbnail

จากกรณี POODLE ช่องโหว่ร้ายแรงใน SSL 3.0 เบราว์เซอร์หลายยี่ห้อเริ่มอัพเดตปิดการใช้งาน SSL 3.0 กันบ้างแล้ว ความเคลื่อนไหวล่าสุดมาจากทีม IE ครับ

ไมโครซอฟท์เคยประกาศว่าจะปิด SSL 3.0 บน IE ในเดือนกุมภาพันธ์ 2015 แต่ระหว่างนี้ไมโครซอฟท์ออกแพตช์แก้ IE11 ให้สามารถเลือกปิดการทำงานของโหมด SSL 3.0 fallback (กลับไปใช้ SSL 3.0 อัตโนมัติ หากเว็บไซต์ไม่มีการเชื่อมต่อที่ใหม่กว่าอย่าง TLS) ได้เองก่อน

แพตช์ตัวนี้หมายเลข KB3008923 ออกแล้ว (ชื่อเต็มคือ December 2014 Internet Explorer Cumulative Update) หน่วยงานไหนที่ใช้ IE กับเว็บไซต์ในองค์กรที่อาจมีปัญหา SSL เก่าเกินไปก็สามารถอัพเดตแพตช์เพื่อไปทดสอบกันได้เลย

Tags:
Node Thumbnail

หลังจากที่ทาง FIDO เพิ่งออกมาตรฐานรุ่น 1.0 มา ทาง Synaptics ที่เป็นหนึ่งในสมาชิกระดับบอร์ดก็ได้ออกอุปกรณ์มารองรับทันทีในชื่อ SecurePad

Tags:
Node Thumbnail

FIDO Alliance เป็นกลุ่มของบริษัทไอทีหลายราย (เช่น กูเกิล ไมโครซอฟท์ เลอโนโว ซัมซุง) ที่รวมตัวกันเพื่อสร้างมาตรฐานการล็อกอินที่ไม่ใช้รหัสผ่าน (passwordless authentication)

หลังจากร่างมาตรฐานและเปิดรับความเห็นกันอยู่พักใหญ่ วันนี้ FIDO ออกเอกสารสเปกเวอร์ชัน 1.0 มาแล้ว โดยเอกสารถูกแบ่งเป็น 2 ส่วนสำคัญคือ

Tags:
Node Thumbnail

ช่องโหว่ POODLE ที่ได้รับการเปิดเผยเมื่อเดือนตุลาคมที่ผ่านมา ดูเหมือนจะกระทบการใช้งานมากกว่าที่คิดครับ จากที่ก่อนหน้านี้พบว่าช่องโหว่ดังกล่าวกระทบเพียง SSL 3.0 เท่านั้น แต่ล่าสุดมีนักวิจัยด้านความปลอดภัยพบโอกาสที่จะเกิดช่องโหว่เดียวกันนี้บน TLS 1.0 แล้วครับ

Tags:
Node Thumbnail

Bruce Schneier นักวิจัยด้านความปลอดภัยออกมาเรียกร้องให้บริษัทความปลอดภัยปล่อยข้อมูลของมัลแวร์ให้เร็วกว่าเดิม หลังจากพบว่าบริษัทเหล่านี้ถือข้อมูลมัลแวร์สำคัญที่อาจจะเกี่ยวข้องกับรัฐบาลไว้นานนับปี

กรณีที่เกิดขึ้นคือมัลแวร์ Regin ที่เพิ่งมีรายงานกันช่วงเดือนที่แล้ว แต่ปรากฎว่าบริษัทความปลอดภัยทั้งหมดมีตัวอย่างมัลแวร์มาตั้งแต่ปี 2008 หรือ 2009 บริการอย่าง VirusTotal ก็มีข้อมูลของมัลแวร์ตัวนี้อยู่เงียบๆ ตั้งแต่ปี 2011 ส่วน Microsoft security และ F-Secure ก็ป้องกันมัลแวร์ตัวนี้ได้ตั้งแต่ 2011 เช่นกัน แต่ไม่มีใครเผยแพร่รายละเอียดออกมา

Tags:
Node Thumbnail

สำนักข่าว Bloomberg อ้างแหล่งข่าวที่เกี่ยวข้องกับการสืบสวนระบุว่าข้อมูลจำนวนมากของ Sony Pictures ที่หลุดออกมานั้นมีจุดเริ่มต้นมาจากโรงแรม St. Regis ในประเทศไทย แต่ยังไม่สามารถระบุได้ว่าเครือข่ายของโรงแรมถูกแฮก, แฮกเกอร์เป็นแขกของโรงแรมจริงๆ, หรือแฮกเกอร์เพียงแต่มาใช้เครือข่ายเท่านั้น

ตัวมัลแวร์มีรายงานว่าดัดแปลงมาเป็นตระกูลของมัลแวร์เริ่มต้นปี 2009 โดยตอนนั้นมัลแวร์ตัวนี้ใช้ยิง DoS ไปยังเกาหลีใต้และกองทัพสหรัฐฯ

Tags:
Node Thumbnail

กระบวนการยืนยันตัวตน (Authentication) เป็นปัญหาสำคัญในโครงสร้างความปลอดภัยคอมพิวเตอร์มาตั้งแต่เริ่มต้นยุคแรกๆ จนถึงทุกวันนี้ที่ปัญหาการขโมยตัวตนผู้ใช้ออนไลน์ยังเป็นปัญหาอยู่เรื่อยมา การยืนยันตัวตนที่ใช้งานเป็นวงกว้างทุกวันนี้คงเป็นรหัสผ่านที่มีคุณสมบัติการยืนยันตัวตนที่ดีพอสมควร เช่น เป็นความลับส่วนตัวกับเจ้าของตัวตน, และสามารถยกเลิกได้เมื่อความลับรั่วไหล แต่อย่างไรก็ตาม เราพบว่าผู้ใช้จำนวนมากมีแนวโน้มจะใช้รหัสผ่านอย่างไม่ปลอดภัย เช่น การใช้รหัสผ่านที่ง่ายต่อการคาดเดาจนเกินไป รวมถึงการใช้รหัสผ่านร่วมกันกับบริการอื่นๆ ทำให้รหัสผ่านตกอยู่ในความเสี่ยงเมื่อบริการใดบริการหนึ่งถูกเจาะจนข้อมูลรั่วไหล แฮกเกอร์มีแนวโน้มจะนำรหัสผ่านเหล่านั้นไปใช้งาน

Tags:
Node Thumbnail

เมื่อเวลาประมาณ 16.00 น.ขณะที่ผมเข้าเว็บไซต์ขององค์การขนส่งมวลชนกรุงเทพ (ขสมก.) เพื่อดูรายละเอียดเส้นทางรถเมล์บริเวณที่จะไปทำธุระส่วนตัวในกรุงเทพมหานครนั้น ก็พบว่า หน้าแรกของเว็บไซต์ ดังกล่าว และลิงก์ภายในเว็บไซต์ของเวอร์ชันใหม่รวมถึง ลิงก์ที่ดูรายละเอียดของสายรถประจำทาง ด้วย ถูกแฮกจากกลุ่ม Arab Security Team ให้ redirect ไปยังเว็บเพจที่มีโลโก้ของกลุ่มผู้กระทำการแฮก และระบุข้อความว่า "Hacked By Arab Security Team" (ตามภาพแรก)

Tags:
Node Thumbnail

Facebook ประกาศความร่วมมือกับบริษัทความปลอดภัย ESET (เจ้าของแอนตี้ไวรัส NOD32 ที่คนไทยน่าจะคุ้นเคยกันดี) เพื่อตรวจสอบมัลแวร์ในระบบของ Facebook

ถ้าหากผู้ใช้ติดมัลแวร์อยู่ก่อนและระบบของ Facebook ตรวจเจอ ก็จะแสดงข้อความเตือนให้สแกนมัลแวร์ ซึ่งกดแล้ว ESET จะทำงานเบื้องหลังเพื่อสแกนและตรวจจับมัลแวร์ในเครื่อง โดยไม่ต้องออกจาก Facebook เลย

Facebook เคยประกาศความร่วมมือแบบเดียวกันกับ F-Secure และ Trend Micro มาก่อนแล้ว โดยบริษัทบอกว่าระบบความปลอดภัยของทั้ง 3 ค่ายจะช่วยกันตรวจหามัลแวร์ทั้งใน News Feed และ Messages เพื่อป้องกันผู้ใช้งานให้มากที่สุด

Tags:
Node Thumbnail

Intel Security หน่วยธุรกิจซอฟต์แวร์ด้านความปลอดภัยของอินเทล (หรือ McAfee เดิม) ประกาศเข้าซื้อบริษัท PasswordBox ผู้สร้างแอพจัดการรหัสผ่านบนพีซีและอุปกรณ์พกพา (แบบเดียวกับ LastPass หรือ 1Password)

แอพ PasswordBox จะยังให้บริการต่อตามปกติ และอินเทลก็ใจป้ำแจกของขวัญแรกพบ โดยแจกฟีเจอร์พรีเมียมของ PasswordBox ฟรีทั้งหมด ส่วนทีมงาน PasswordBox จะเข้าร่วมทำงานกับฝ่าย Safe Identity ของอินเทลต่อไป

อินเทลระบุเหตุผลของการซื้อกิจการครั้งนี้ว่าต้องการพัฒนาระบบตัวตนดิจิทัล (digital identity) ให้ก้าวหน้ากว่าเดิม และเทคโนโลยีของ PasswordBox ช่วยลดภาระการดูแลรหัสผ่าน (password fatigue) ได้ทั้งบนพีซีและอุปกรณ์พกพา

Tags:
Node Thumbnail

เอกสาร draft-ietf-tls-prohibiting-rc4-01 ที่เสนอโดยไมโครซอฟท์กำลังเข้าสู่กระบวนการสุดท้ายก่อนออกเป็นมาตรฐาน เพื่อยกเลิกการใช้กระบวนการเข้ารหัสแบบ RC4 ในการเชื่อมต่อแบบ TLS ทุกรูปแบบ

มาตรฐานนี้ระบุว่าไคลเอนต์ทุกตัวจะต้องไม่รองรับการเข้ารหัสแบบ RC4 ในเมสเสจ ClientHello อีกต่อไป ขณะที่เซิร์ฟเวอร์ก็จะไม่เสนอ RC4 ให้ไคลเอนต์เลือก ที่สำคัญคือหากไคลเอนต์ระบุว่าเชื่อมต่อได้เฉพาะการเข้ารหัสแบบ RC4 เซิร์ฟเวอร์จะต้องยกเลิกการเชื่อมต่อทันที

Tags:
Node Thumbnail

หลังจากที่เป็นข่าวว่าโซนี่ถูกแฮกเกอร์ชิงแอพ Backup & Restore กลาง Google Play Store ไปก่อนหน้านี้จนผู้ใช้บางกลุ่มออกมาแสดงความเป็นกังวลเกี่ยวกับความเป็นส่วนตัวของข้อมูล ทางโซนี่จึงทำการสืบสวนถึงสาเหตุและได้ออกมาให้ข้อมูลถึงสิ่งที่เกิดขึ้น โดยทางโซนี่ระบุว่ามีนักพัฒนาได้สร้างแอพขึ้นมาโดยใช้ชื่อและการระบุตัวตนของแอพเดียวกันกับแอพ "Backup & Restore" ของทางโซนี่ และอัพโหลดแอพดังกล่าวขึ้นสู่ Google Play

Tags:
Node Thumbnail

ในรอบปีที่ผ่านมาเราพบกับปัญหาความปลอดภัย และช่องโหว่ของระบบเข้ารหัสแบบ SSL จำนวนมาก อีกทั้งยังทั่วถึงกันแทบจะทุกระบบปฏิบัติการที่มีใช้งานกันอยู่ (Windows, iOS+OSX, SSLv3 ทุก OS, Heartbleed ใน OpenSSL) ทั้งที่ส่งผลโดยตรงต่อผู้ใช้ และส่งผลโดยตรงต่อผู้ดูแลระบบ ไม่นับปัญหาที่ “อาจ” มีผลกระทบต่อผู้ใช้งานจำนวนมาก และเมื่อการทำธุรกรรมทางการเงินผ่านอินเทอร์เน็ตได้รับความนิยมมากขึ้นเรื่อยๆ เราจึงควรทราบข้อมูลทางด้านความปลอดภัยของเว็บไซต์ระบบธนาคารออนไลน์ต่างๆ ที่เปิดให้ใช้งานอยู่ในประเทศไทยไว้บ้างคร

Tags:
Node Thumbnail

Uber ยังคงมีปัญหาเรื่องข้อมูลส่วนตัวของผู้ใช้อย่างต่อเนื่อง หลังจากเพิ่งมีผู้บริหารหลุดมาว่า "ติดตามใครก็ได้ที่ใช้บริการ" ไม่กี่วัน ก็โดนซ้ำจากนักวิจัยด้านความปลอดภัยว่าแอพ Uber นั้นเก็บข้อมูลจากผู้ใช้จำนวนมาก

Joe Giron นักวิจัยด้านความปลอดภัยจากรัฐแอริโซนาได้นำแอพ Uber บนแอนดรอยด์มาแยกส่วน และพบว่ามีรายการเรียกข้อมูลจากตัวเครื่องจำนวนมากที่ดูแล้วน่าจะไม่เกี่ยวกับการให้บริการ ตั้งแต่การเข้าถึงโทรศัพท์ ประวัติการโทร และส่งข้อความ ประวัติการใช้ Wi-Fi รวมถึง Device ID ที่มักถูกใช้ในการโฆษณาแบบระบุตัวตน หรือแม้แต่กล้องก็ด้วย

Tags:
Node Thumbnail

วันนี้บริษัท Siemens ปล่อยแพตช์อุดช่องโหว่ซอฟต์แวร์ WinCC ที่ใช้ควบคุมและมอนิเตอร์ระบบ SCADA โดยอุดรูรั่วไปสองบั๊ก มีความร้ายแรงสูงทั้งคู่

ช่องโหว่ CVE-2014-8551 ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันในระบบได้จากระยะไกล (remote code execution) โดยไม่ต้องยืนยันตัวตนผู้ใช้ แฮกเกอร์เพียงแต่สร้างแพ็กเก็ตข้อมูลพิเศษขึ้นมา ช่องโหว่นี้มีความร้ายแรงตามระบบให้คะแนน CVSS อยู่ที่ 10.0 คะแนน

Tags:
Node Thumbnail

เมื่อครั้งกูเกิลอัพเดต Google Play Services 6.5 นอกจากจะมีฟีเจอร์ตามที่ข่าวรายงานมา ยังมีฟีเจอร์เพื่อความปลอดภัยที่ถูกปรับปรุงให้ใช้งานง่ายขึ้นอย่าง Smart Lock ที่ถูกอัพเดตมาพร้อมกันด้วย

ฟีเจอร์ Smart Lock อันใหม่ที่มาพร้อมกับ Google Play Services 6.5 ซึ่งเปิดตัวมาพร้อมกับ Android Lollipop ช่วยให้ผู้ใช้งานที่ตั้งค่าล็อกหน้าจอไว้ สามารถปลดล็อกตัวเครื่องได้สะดวกขึ้นตามสถานที่ที่เลือกได้เอง โดยเริ่มต้นระบบจะตั้งให้สามารถใช้ได้กับที่ทำงาน และที่บ้าน แต่สามารถเพิ่มเข้าไปด้วยตัวเองได้

Tags:
Node Thumbnail

หลายคนคงคุ้นเคยกับโฆษณาของโทษและอันตรายของบุหรี่ทั้งต่อตัวผู้สูบเองและคนรอบข้างแล้ว แต่โทษของมันกลับข้ามมากระทบกับคอมพิวเตอร์ด้วยเมื่อมีข่าวลือว่ามีการฝัง malware เข้าไปในบุหรี่ไฟฟ้าที่ผลิตจากประเทศจีน

Tags:
Node Thumbnail

กูเกิลเพิ่มหน้า Devices & Activity ในหน้า Google Account เพื่อบอกให้ผู้ใช้ทราบว่าบัญชีของตัวเองมีอุปกรณ์ใดเข้าถึงได้บ้าง และมีการล็อกอินครั้งล่าสุดเมื่อไร-จากสถานที่ใด (นับรอบ 28 วันล่าสุด)

ฟีเจอร์นี้ใช้ได้กับ Google Account สำหรับผู้ใช้ทั่วไป และบัญชี Google Apps สำหรับผู้ใช้กลุ่มองค์กรด้วย ช่วยให้ผู้ใช้บัญชีกูเกิลทั้งสองแบบตรวจสอบการเข้าถึงบัญชีของตัวเองได้ง่ายขึ้น เพิ่มความปลอดภัยขึ้นในภาพรวม

Tags:
Node Thumbnail

โซนี่และผู้ใช้ Xperia พบปัญหาใหญ่ เมื่อแอพ Backup & Restore ของโซนี่ถูกเปลี่ยนมือ ชื่อนักพัฒนากลายเป็น Nirav Patel Kanudo มีข้อความแจ้งว่าควบคุมโดย HeArT HaCkEr Group และที่ทำให้สถานการณ์แย่ลงไปอีกคือด้วยความที่แอพนี้เป็นแอพระบบ ทำให้ผู้ใช้ไม่สามารถลบแอพนี้ออกจากเครื่องเองได้

ณ จุดนี้ ยังไม่สามารถระบุได้ว่าแอพนี้ทำอันตรายอะไรหรือไม่ แต่ด้วยสิทธิ์ของแอพที่มากพอสมควรอาจทำให้ข้อมูลของผู้ใช้อยู่ในภาวะไม่ปลอดภัย ทั้งนี้ได้มีการแจ้งให้ทางโซนี่ทราบแล้ว และทางกูเกิลก็ได้ถอดแอพนี้ออกจากระบบไปแล้ว

Pages