Tags:
Node Thumbnail

หลังจากที่ไม่กี่วันก่อน Google ได้เปิดเผยข้อมูลช่องโหว่ของ Windows 8.1 ตามกำหนดเงื่อนไขที่ตั้งไว้ว่าถ้าครบ 90 วันแล้วยังไม่มีแพตช์มาแก้ ล่าสุดเมื่อวันที่ 15 มกราคม ทาง Google ได้ปล่อยข้อมูลอีกช่องโหว่หนึ่งของ Windows 7 และ Windows 8.1 ออกมาเนื่องจากครบเงื่อนไขเวลา 90 วันแล้วอีกเช่นกัน

Tags:
Node Thumbnail

Arnaud Coustilliere หัวหน้าฝ่ายป้องกันตนเองทางไซเบอร์ของกองทัพฝรั่งเศสได้ออกมารายงานว่านับแต่เหตุการณ์ก่อการร้ายยิงผู้คนที่สำนักงานของ Charlie Hebdo เมื่อวันที่ 7 มกราคมเป็นต้นมา มีการโจมตีเว็บไซต์ในฝรั่งเศสกว่า 19,000 แห่ง

การโจมตีดังกล่าวใช้วิธี DDoS โดยเป้าหมายมีตั้งแต่เว็บไซต์หน่วยงานของกองทัพไปจนถึงเว็บไซต์ของร้านพิซซ่า โดยถึงตอนนี้พบว่าการโจมตีมาจากผู้ลงมือหลายกลุ่ม โดยบางส่วนเป็นกลุ่มแฮคเกอร์ชาวมุสลิมที่กองทัพฝรั่งเศสรู้จักดีอยู่แล้ว

Coustilliere กล่าวว่าแม้การโจมตีเหล่านี้จะไม่รุนแรง และยังไม่พบรายงานความเสียหายจากการโจมตีเหล่านี้ แต่จำนวนของการโจมตีนั้นสูงจนน่าตกใจ โดยกล่าวว่าฝรั่งเศสกำลังเผชิญกับคลื่นการโจมตีทางไซเบอร์ที่มากอย่างที่ไม่เคยเจอมาก่อน

Tags:
Node Thumbnail

ประเด็นอื้อฉาวของมาตรฐานกระบวนการสร้างเลขสุ่ม Dual_EC_DRBG ที่พัฒนาโดย NSA เป็นหลักและมีช่องโหว่หากเลือกค่าคงที่ในมาตรฐานอย่างจงใจจะสามารถทำนายค่าสุ่มได้จากการสังเกตค่าสุ่มที่เพียงช่วงสั้นๆ ที่ผ่านมา NSA เงียบกับเรื่องนี้มาโดยตลอด ตอนนี้ Michael Wertheimer ผู้อำนวยการฝ่ายวิจัยของ NSA ก็ออกมาเขียนบทความถึงบทบาทของ NSA ในการออกมาตรฐานการเข้ารหัส

Tags:
Node Thumbnail

บริการ Peerio บริการที่เน้นความปลอดภัยด้วยการเข้ารหัสแบบ end-to-end เปิดตัวแบบเบต้าให้คนทั่วไปสมัครใช้งานได้แล้วในวันนี้

ตัวบริการ Peerio เองจะเป็นลูกผสมระหว่างแชตและอีเมลโดยข้อความที่ส่งไปมามีหัวข้อและเนื้อหาแบบเดียวกับอีเมล ขณะเดียวกันก็สามารถส่งข้อความบรรทัดเดียวแบบแชตไปเลยได้ และที่สำคัญคือสามารถแนบไฟล์ไปได้สูงสุดถึง 400 เมกะไบต์

หนึ่งในกลุ่มผู้สร้าง Peerio คือ Nadim Kobeissi ผู้สร้าง Cryptocat และ miniLock ก่อนหน้านี้ Cryptocat เคยมีบั๊กทำให้สามารถถอดรหัสการแชตแบบกลุ่มได้ รอบนี้ Peerio จ้างบริษัทความปลอดภัย Cure53 มาตรวจสอบโค้ดเพื่อหาช่องโหว่ก่อนเปิดตัวเพื่อไม่ให้พลาดซ้ำสอง

Tags:
Node Thumbnail

ต่อจากกรณีปัญหา กูเกิลเผยช่องโหว่ความปลอดภัยที่ไมโครซอฟท์ยังไม่แพตช์แก้ วันนี้ไมโครซอฟท์ออกแพตช์เรียบร้อยแล้ว โดยรวมเป็นชุดแพตช์ประจำเดือนมกราคม 2015 ตามธรรมเนียมของไมโครซอฟท์ที่จะออกแพตช์เดือนละครั้ง

แพตช์ชุดนี้แก้ช่องโหว่รวมทั้งหมด 8 ตัว โดยมีช่องโหว่ที่กูเกิลเปิดเผยสองตัวคือ MS15-001 และ MS15-003 ที่ไมโครซอฟท์จัดความร้ายแรงเป็น Important ทั้งคู่ (ยังไม่ถึงขั้น Critical)

ในแพตช์ชุดนี้ยังมี MS15-002 ที่อุดช่องโหว่ร้ายแรง (Critical) โดยเป็นบั๊กเกี่ยวกับ Telnet บนวินโดวส์ด้วย

แอดมินทั้งหลายก็อัพเดตกันด่วนครับ

Tags:
Node Thumbnail

บริษัท Rapid7 ผู้พัฒนา Metasploit ได้เขียนบล็อกแจ้งเตือนผู้ใช้งานระบบปฏิบัติการ Android เวอร์ชัน 4.3 หรือต่ำกว่า ให้ระมัดระวังในการใช้งานแอปพลิเคชันที่มีการเรียกใช้คอมโพเนนต์ WebView เนื่องจากมีช่องโหว่ด้านความมั่นคงปลอดภัยหลายจุดและ Google บอกจะไม่แก้ไขช่องโหว่เหล่านี้แล้ว

Tags:
Node Thumbnail

เมื่อวันที่ 11 มกราคมที่ผ่านมา Google ได้เปิดเผยช่องโหว่ของ Windows 8.1 ซึ่งช่องโหว่นี้มีผลให้ผู้ใช้ทั่วไปสามารถยกระดับสิทธิ์ตัวเองขึ้นมาเป็นผู้ดูแลระบบได้ ทาง Microsoft ได้ออกมาแสดงความไม่พอใจต่อการกระทำดังกล่าว โดยบอกว่าเป็นการสร้างความไม่ปลอดภัยให้กับผู้ใช้ ทั้งที่ Microsoft จะปล่อยแพตช์มาแก้ปัญหาดังกล่าวในวันที่ 13 มกราคมที่จะถึงนี้อยู่แล้ว

Tags:
Node Thumbnail

Seth Schoen จาก EFF บรรยายรายละเอียดของโครงการ Let's Encrypt ที่งาน 31C3 เตรียมให้บริการเดือนมิถุนายนนี้

โครงการ Let's Encrypt ตั้งใจจะทำให้กระบวนการเข้ารหัสเว็บกลายเป็นกระบวนการอัตโนมัติทั้งหมด โดยผู้ใช้สามารถติดตั้งแพ็กเกจ lets-encrypt แล้วสั่งรันเพื่อขอใบรับรองและเริ่มเข้ารหัสได้ทันที

Tags:
Topics: 
Node Thumbnail

ที่งาน 31C3 นักวิจัย Lior Oppenheim และ Shahar Tal นำเสนองานวิจัยช่องโหว่ของเว็บเซิร์ฟเวอร์ RomPager 4.07 ที่วางตลาดมาตั้งแต่ปี 2002 ทำให้แฮกเกอร์สามารถข้ามระบบล็อกอินของเราเตอร์จำนวนมาก

ทีมงานสแกน HTTP บนพอร์ต 7547 ที่ใช้ในมาตรฐาน TR-069 และพบว่ามีไอพีถึง 1.18% หรือมากกว่า 46 ล้านไอพี ที่ฟัง HTTP บนพอร์ตนี้ และเว็บเซิร์ฟเวอร์ที่ให้บริการบนพอร์ตนี้ถึง 52% เป็นเซิร์ฟเวอร์ RomPager เกือบทั้งหมดเป็นรุ่น 4.07 (98.04%)

ทีมงานหาช่องโหว่ของ RomPager 4.07 และพบว่ามีช่องโหว่มากมาย ระบบ cookie ของ RomPager 4.07 เป็นเพียงค่าอาเรย์ง่ายๆ ทำให้ง่ายต่อการเจาะระบบอย่างมาก ทีมงานสาธิตกระบวนการข้ามการล็อกอินหน้าจอแอดมินด้วยส่วนขยายของ Chrome เพียงตัวเดียว

Tags:
Node Thumbnail

Gogo ผู้ให้บริการอินเทอร์เน็ตบนเครื่องบินเริ่มปล่อยใบรับรองสำหรับโดเมน *.google.com ปลอมให้ลูกค้าโดยระบุว่าต้องปลอมใบรับรองนี้เพื่อ "บังคับใช้นโยบาย" โดยไม่ได้ตั้งใจจะละเมิดความเป็นส่วนตัวของผู้ใช้แต่อย่างใด

ทาง Gogo ออกแถลงการณ์ระบุว่าจำเป็นต้องใช้กระบวนการนี้เพื่อจะจำกัดการใช้งานและการสตรีมวิดีโอ โดยซื้อระบบจัดการที่มีขายสำเร็จรูปในตลาด และบังคับใช้แนวทางนี้กับเว็บวิดีโอที่เข้ารหัสบางส่วนเท่านั้น โดยไม่ได้เข้าดักฟังเว็บอื่นๆ ที่เข้ารหัสแต่อย่างใด

Tags:
Node Thumbnail

หลังอินเทลซื้อแอพจัดการรหัสผ่าน PasswordBox ได้ไม่นาน ในที่สุดอินเทลก็เปิดตัวบริการใหม่ True Key ที่รวมเอาเทคโนโลยีของ PasswordBox กับ Intel Security ไว้ด้วยกัน

แนวคิดของ True Key คือเก็บรหัสผ่านของบริการทุกตัวไว้ที่แอพเดียวเหมือน PasswordBox แต่แทนที่จะใช้รหัสผ่านหลัก (master password) คอยคุ้มครองคลังรหัสผ่านเพียงอย่างเดียว ก็เปลี่ยนมาใช้วิธีการอื่นๆ เช่น การแยกแยะใบหน้า หรือการใช้อุปกรณ์อื่นๆ ช่วยยืนยันตัวตนอีกชั้นหนึ่ง

Tags:
Node Thumbnail

ที่งาน 31C3 Tobias Engel แฮกเกอร์ขึ้นเวทีอธิบายกระบวนการติดตามเจ้าของหมายเลขจากที่ใดก็ได้ในโลก โดยต้องการเพียงหมายเลขโทรศัพท์เท่านั้น

Engel ระบุว่างานวิจัยนี้ได้แรงบัลดาลใจมาจากนักข่าวรายหนึ่งที่ถามว่า บริษัท Verint มีสินค้าเครื่องติดตามคนโดยอาศัยเพียงหมายเลขโทรศัพท์ได้อย่างไร ทำให้ Engel เข้าไปดูโปรโตคอล SS7 ที่เข้าสอบถามที่อยู่ของหมายเลขต่างๆ ได้ทั่วโลก โดยไม่ต้องยืนยันตัวตนของผู้ที่สอบถามข้อมูล

เครือข่าย SS7 นั้นแต่เดิมจะเปิดให้เฉพาะผู้ให้บริการโทรศัพท์ด้วยกันเท่านั้น แต่เครือข่ายทุกวันนี้มีส่วนที่เข้าถึงเครือข่าย SS7 ได้โดยมีค่าใช้จ่ายไม่สูงมาก รวมไปถึง Femtocell ที่ใช้งานตามบ้านก็สามารถเข้าถึงเครือข่ายนี้ด้วยเช่นกัน แม้จะมีการป้องกันเอาไว้อีกชั้น

Tags:
Node Thumbnail

นักวิจัยด้านความปลอดภัยจากกูเกิล James Forshaw ได้ประกาศการค้นพบช่องโหว่ทางด้านความปลอดภัยบน Windows 8.1 ซึ่งอนุญาตให้ผู้โจมตีสามารถยกระดับสิทธิ์ของผู้ใช้เพื่อแก้ไขและควบคุมระบบได้ ช่องโหว่นี้ได้รับการค้นพบตั้งแต่ช่วงเดือนกันยายนและมีการเผยแพร่โค้ดที่ใช้ในการโจมตี (PoC — Proof of Concept program) ในวันพุธที่ผ่านมา

สำหรับ PoC ที่ใช้ในการทดสอบกับช่องโหว่ดังกล่าวได้มีการทดสอบทั้งบน Windows 8.1 แบบ 32-bit และ 64-bit ซึ่งพบว่าสามารถทำงานได้ในทั้งสองรุ่น ส่วน Windows 7 และเวอร์ชันก่อนหน้านี้นั้นยังไม่มีการยืนยันว่าสามารถโจมตีได้หรือไม่

Tags:
Node Thumbnail

มีรายงานข่าวจากสำนักข่าว Deutsche Welle ของเยอรมนี ที่อ้างหนังสือพิมพ์ในท้องถิ่นอีกทีหนึ่งว่า มีการตรวจพบสปายแวร์ในไดรฟ์ USB ของเจ้าหน้าที่ระดับสูงผู้ทำงานใกล้ชิดกับนายกรัฐมนตรีของเยอรมนี Angela Merkel ซึ่งเป็นสปายแวร์ที่มีชื่อว่า "Regin" ที่มีความสลับซับซ้อนในการทำงาน

จากรายงานระบุว่า เจ้าหน้าที่รายดังกล่าวได้บันทึกร่างสุนทรพจน์ของนายกรัฐมนตรีลงไดรฟ์ USB จากนั้นก็นำกลับไปทำงานที่บ้านด้วยคอมพิวเตอร์ส่วนตัว ก่อนที่จะกลับมาเปิดร่างดังกล่าวที่สำนักงานอีกครั้ง จึงพบว่าโปรแกรมป้องกันไวรัสแจ้งเตือนว่าพบสปายแวร์ Regin ดังกล่าว ทำให้ฝ่ายที่รับผิดชอบ ต้องทำการตรวจสอบเครื่องคอมพิวเตอร์พกพาที่ใช้งานอยู่เครื่องอื่นๆ (ซึ่งมีความปลอดภัยสูง) ก่อนจะพบว่าไม่ได้รับผลกระทบในครั้งนี้

Tags:
Node Thumbnail

Chaos Computer Club หรือที่บางคนเรียกด้วยชื่อย่อว่า CCC คือสมาพันธ์แฮคเกอร์ที่ใหญ่ที่สุดในยุโรป ได้จัดงานสัมมนา "31c3" ซึ่งว่าด้วยเรื่องความปลอดภัยของระบบไอทีขึ้นใน Hamburg ประเทศเยอรมนี และในงานดังกล่าวมีการบรรยายว่าด้วยเรื่องการปลอมลายนิ้วมือโดยอาศัยข้อมูลที่ได้จากภาพถ่ายเท่านั้น

Tags:
Node Thumbnail

Steven Sinofsky อดีตผู้บริหารของไมโครซอฟท์ (หัวหน้าทีม Windows 7-8, ลาออกจากไมโครซอฟท์ในปี 2012) และปัจจุบันมาอยู่กับบริษัทลงทุน Andreessen Horowitz เขียนบล็อกแสดงความเห็นเกี่ยวกับกรณีการแฮ็กระบบ Sony Pictures ในมิติเรื่อง "ความปลอดภัย" ของระบบคอมพิวเตอร์ที่ต่างยุคสมัยกัน ผมเห็นว่ามีประเด็นน่าสนใจจึงนำเนื้อหาบางส่วนมาสรุปนะครับ (แนะนำให้อ่านต้นฉบับด้วย)

Tags:
Node Thumbnail

การเข้ารหัสเป็นข้อจำกัดของ NSA มานาน เอกสารที่เปิดเผยออกมาโดย Edward Snowden ก่อนหน้านี้มักแสดงความพยายามของ NSA ที่จะหลบหลีกการเข้ารหัส เช่น ดักฟังการเชื่อมต่อระหว่างเซิร์ฟเวอร์ที่ก่อนหน้านี้ไม่เข้ารหัส แต่เอกสารล่าสุดแสดงว่า NSA ยังมีอีกทีมหนึ่งที่ช่วยถอดรหัสให้กับฝ่ายอื่นๆ ที่ต้องการได้ ชื่อทีมว่า S31176

ทีมงานนี้ให้บริการถอดรหัสข้อมูลสี่ประเภท ได้แก่ IPSec, PPTP, SSL/TLS, และ Secure Shell (SSH) แม้จะไม่สามารถถอดรหัสได้ทั้งหมด แต่ทีมงานนี้ก็หาช่องทางที่เป็นไปได้ในการเจาะรหัส โดยมีการรวบรวมฐานข้อมูลของ VPN ไว้ในฐานข้อมูลหลายชุด เช่น TOYGRIPPE เก็บ metadata ของ VPN, VULCANDEATHGRIP เก็บข้อมูล VPN, FOURSCORE เก็บข้อมูล PPTP

Tags:
Node Thumbnail

บัญชี Twitter ที่มีชื่อว่า @AnonymousGlobo ซึ่งอ้างตัวว่าเป็นตัวแทนกลุ่มแฮคเกอร์ Anonymous ได้ทวีตข้อความพร้อมลิงก์เผยแพร่ข้อมูลหลายอย่างที่ถูกแฮคมา ทั้งบัญชีผู้ใช้พร้อมรหัสผ่านของบริการจากหลายบริษัท รวมถึงเลขบัตรเครดิตของผู้ใช้ราว 13,000 คน

Tags:
Node Thumbnail

ปัจจุบันมีแอพช่วยจัดการรหัสผ่าน (password manager) ให้เลือกใช้หลายตัว แอพที่ชื่อดังหน่อยคือ LastPass และ 1Password แต่ก็ยังมีแอพทางเลือกอื่นๆ เช่น KeePass และ Dashlane ด้วย

ล่าสุดสมรภูมินี้เริ่มร้อนระอุ เมื่อ Dashlane เปิดตัวฟีเจอร์ Password Changer ที่ช่วยให้เรากดปุ่มเดียว เปลี่ยนรหัสผ่านของเว็บไซต์และบริการต่างๆ มากกว่า 50 แห่ง (ซึ่งครอบคลุมเว็บใหญ่ๆ แทบทั้งหมด ไม่ว่าจะเป็น Google, Facebook, Amazon, Apple, LinkedIn, PayPal - รายชื่อทั้งหมด)

Tags:
Node Thumbnail

อุปสรรคใหญ่ในการทำการค้าออนไลน์ของเมืองไทยอย่างหนึ่งที่ทุกคนเจอกันคือการรับจ่ายเงินที่ยังทำได้ยาก การค้าออนไลน์จำนวนมากทุกวันนี้ยังอาศัยการโอนเงินแบบตัวต่อตัว ทำให้ไม่มีกระบวนการคืนเงิน เรายังคงได้ยินข่าวการหลอกลวงทั้งลูกค้าถูกพ่อค้าแม่ค้าหลอกลวง หรือฝั่งพ่อค้าแม่ค้าเองที่ถูกลูกค้าหลอกว่าโอนเงินแล้ว

Tags:
Node Thumbnail

บั๊กร้ายแรงใน ntpd ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันบนเครื่องได้รายงานเมื่อสัปดาห์ที่แล้ว ตอนนี้มันกลายเป็นบั๊กแรกที่แอปเปิลตัดสินใจอัพเดตแบบอัตโนมัติ โดยไม่ต้องรอการอนุมัติจากผู้ใช้

การอัพเดตปกติของ OS X ต้องให้ผู้ใช้อนุมัติการอัพเดต แต่การอัพเดตครั้งนี้แทบไม่มีผลใดๆ ต่อผู้ใช้ โดยไม่ต้องรีสตาร์ทเครื่องแต่อย่างใด

แอปเปิลใส่ฟีเจอร์อัพเดตแบบไม่ต้องขออนุมัติเช่นนี้ไว้ใน OS X มาสองปีแล้ว แต่ครั้งนี้เป็นการใช้งานครั้งแรก

ที่มา - Reuters

Tags:
Node Thumbnail

ทีมความปลอดภัยของกูเกิลแจ้งบั๊กใน ntpd รุ่นก่อนหน้า 4.2.8 (ที่เพิ่งออกมาเมื่อวันที่ 19 ธันวาคมที่ผ่านมา) ทุกรุ่น มีบั๊กความปลอดภัยสำคัญคือแฮกเกอร์สามารถยิงโค้ดเข้ามารันในเครื่องที่รัน ntpd อยู่ได้

ICS-CERT ไม่ได้ให้รายละเอียดของบั๊กทั้งหมด โดยการแจ้งเตือนแจ้งเป็นกลุ่มของบั๊ก ได้แก่

Tags:
Node Thumbnail

ข่าวสั้นทันโลกครับ สำนักข่าว Reuters รายงานว่า John Chen ซีอีโอของ BlackBerry บริษัทผลิตสมาร์ทโฟนและผลิตภัณฑ์ในระดับองค์กรจากแคนาดา เปิดเผยข้อมูลระหว่างการแถลงข่าวและประชุมกับนักวิเคราะห์ถึงผลประกอบการไตรมาสล่าสุดของบริษัทว่า ทาง BlackBerry กำลังมีความร่วมมือกับ Boeing บริษัทผู้ผลิตเครื่องบินและอาวุธจากอเมริกา เพื่อสร้างโซลูชันด้านความปลอดภัยสำหรับสมาร์ทโฟนที่ใช้ระบบปฏิบัติการแอนดรอยด์ ที่ใช้งานกับโซลูชั่น BES 12 ของทางบริษัท แต่ยังไม่ได้ระบุว่าจะเป็นอะไร

Tags:
Node Thumbnail

สำนักงานสอบสวนกลางของสหรัฐหรือ FBI ออกมาแถลงข้อมูลเรื่องการแฮ็กระบบของ Sony Pictures ที่ได้ขอความช่วยเหลือจาก FBI เข้าไปช่วยตรวจสอบหลังเกิดเหตุ

FBI ฟันธงว่ารัฐบาลเกาหลีเหนืออยู่เบื้องหลังการแฮ็กครั้งนี้ โดยมีหลักฐานบ่งชี้ 3 ประเด็นคือ

Tags:
Node Thumbnail

ความคืบหน้าล่าสุดของกรณีแฮ็ก Sony Pictures คือสำนักข่าว Reuters อ้างข้อมูลจาก "เจ้าหน้าที่" ของรัฐบาลสหรัฐว่าต้นทางของการแฮ็กมาจากเกาหลีเหนือ ตามที่เคยพูดกันก่อนหน้านี้ และอาจมีความเกี่ยวข้องกับแฮ็กเกอร์ในจีนด้วย โดยยังไม่ชัดเจนว่ามีคนของจีนมาเกี่ยวข้อง หรือเป็นแค่การใช้เซิร์ฟเวอร์จากจีนเพื่อพรางตัว

รัฐบาลสหรัฐโดยประธานาธิบดีบารัค โอบามา จะแถลงเรื่องนี้อย่างเป็นทางการคืนนี้ ถ้ามีรายละเอียดจะมาอัพเดตต่อไปครับ

Pages