Tags:
Node Thumbnail

แอพอีเมล (ไม่ใช่ Gmail) ในแอนดรอยด์มีช่องโหว่ในการอ่านอีเมลที่มีข้อมูล Content-Disposition ในหัวอีเมล ทำให้แอพจะแครชทันทีที่แอพได้รับอีเมล

ทางแก้ปัญหาที่ง่ายที่สุดคือการล็อกอินเข้าระบบเมลผ่านเว็บหรือช่องทางอื่นๆ เพื่อไปลบอีเมลนั้นออก จึงสามารถใช้งานแอพได้ตามปกติ

ผู้ใช้แอพเวอร์ชั่น 4.2.2.0400 ขึ้นไปจะไม่ได้รับผลกระทบจากบั๊กนี้ ผู้ใช้ที่ใช้แอนดรอยด์รุ่นใหม่ๆ น่าจะใช้แอพรุ่น 6.0 ขึ้นไปแล้วจึงไม่ได้รับผลกระทบเช่นกัน แต่สำหรับผู้ใช้แอนดรอยด์รุ่นที่เลิกซัพพอร์ตไปแล้ว อาจจะแก้ปัญหาได้ยาก

Tags:
Node Thumbnail

เมื่อวานนี้ (17 กุมภาพันธ์) ไมโครซอฟท์ประกาศออกมาว่า Internet Explorer รุ่นที่อยู่ใน Windows 10 Technical Preview ได้รองรับมาตรฐาน HSTS หรือ HTTP Strict Transport Security ที่ใช้บังคับให้เบราว์เซอร์ให้เชื่อมต่อกับเว็บไซต์แบบเข้ารหัสเสมอแล้ว

Tags:
Node Thumbnail

หน่วยงานวิจัยของ GE หรือที่เคยรู้จักกันในชื่อ General Electric ได้ผลิตแท็ก RFID ที่มีความสามารถในการตรวจจับวัตถุระเบิดและสาร oxidizer (ซึ่งเป็นตัวช่วยเพิ่มความรุนแรงแก่การเผาไหม้) โดยได้รับความร่วมมือในการพัฒนาจาก Technical Support Working Group (TSWG) อันเป็นหน่วยงานต่อต้านการก่อการร้ายของสหรัฐอเมริกา

Tags:
Node Thumbnail

ทิม คุก ขึ้นพูดสุนทรพจน์ในงาน "White House Summit on Cybersecurity and Consumer Protection" (ที่ซีอีโอบริษัทอื่นหลายบริษัทไม่ยอมไป) สุนทรพจน์ของทิม คุก เน้นยำถึงความสำคัญของข้อมูลส่วนตัว

Tags:
Node Thumbnail

โอบามาประกาศคำสั่งทางบริหาร (Executive Order) สั่งให้หน่วยงานรัฐบาลกลางสร้างศูนย์แลกเปลี่ยนข้อมูล (clearing house) แลกเปลี่ยนข้อมูลการโจมตีทางไซเบอร์ โดยเอกชนจะสามารถเข้าร่วมในศูนย์นี้ได้โดยสมัครใจ

เอกชนที่เข้าร่วมจะสามารถรับข้อมูลเตือนภัย หรือส่งข้อมูลเตือนภัยเข้ามาด้วยก็ได้ อย่างไรก็ดีเจ้าหน้าที่รัฐและเอกชนตามคำสั่งนี้ยังคงมีความรับผิดชอบต่อความเป็นส่วนตัวของผู้ใช้ที่ข้อมูลอาจจะถูกแชร์กันไปมาในศูนย์นี้

Tags:
Node Thumbnail

หลังจากโครงการค้นหาช่องโหว่ความปลอดภัย Project Zero ของกูเกิลสร้างความปั่นป่วนให้วงการซอฟต์แวร์ โดยเปิดเผยช่องโหว่ของ Windows และ OS X ตามกำหนด 90 วัน โดยไม่สนใจว่าไมโครซอฟท์และแอปเปิลกำลังทดสอบแพตช์แก้ไข

ล่าสุดทางทีม Project Zero ยอมปรับเงื่อนไข 90 วันให้ยืดหยุ่นขึ้นแล้ว โดยยังคงระยะเวลา 90 วันเท่าเดิม แต่เพิ่มเงื่อนไขอื่นๆ ดังนี้

Tags:
Node Thumbnail

ไมโครซอฟท์เผยว่า Windows 10 จะรองรับมาตรฐานการล็อกอินที่ไม่ใช้รหัสผ่าน (passwordless authentication) FIDO 2.0 ที่บริษัทมีส่วนร่วมในการร่างมาตรฐาน โดยโซลูชันของบริษัทคือการผนวกการล็อกอินบน Windows 10, Azure Active Directory และบริการ SaaS ชื่อดัง อาทิ Office 365 Exchange Online, Salesforce, Citrix, Box และ Concur

Tags:
Node Thumbnail

แอปเปิลเริ่มรองรับการยืนยันตัวตนด้วยรหัสผ่านเฉพาะแอพพลิเคชั่น (app-specific password) บนสองบริการใหม่ คือ FaceTime และ iMessage แล้ว

ผู้ใช้ที่เปิดการยืนยันตัวตนสองปัจจัย (2-factor authentication) จะมีป๊อบอัพเตือนให้สร้างรหัสผ่าน แต่ต้องสร้างจากหน้าจอเดสก์ทอป เพื่อนำไปล็อกอินบนโทรศัพท์อีกครั้ง

ตอนนี้แอปเปิลยังรองรับการยืนยันตัวตนแบบนี้ไม่ครบทุกแอพพลิเคชั่น บริการสำคัญ เช่น iTunes และ App Store ยังคงสามารถใช้รหัสผ่านธรรมดาล็อกอินได้ต่อไป

Tags:
Node Thumbnail

ประธานาธิบดีบารัค โอบามา เคยได้รับการสนับสนุนอย่างท้วมท้นจากบริษัทไฮเทคในซิลิคอนวัลเลย์ แต่งานประชุมด้านความมั่นคงไซเบอร์ที่รัฐบาลจัดขึ้นที่มหาวิทยาลัยสแตนฟอร์ดในวันนี้ (โอบามาบินมาพูดเอง รัฐมนตรีเข้าร่วมเพียบ และเชิญแขกสำคัญรับประทานอาหารเที่ยงร่วมกัน) กลับไม่มีผู้นำโลกไอทีหลายคนเข้าร่วม

ตามรายงานข่าวบอกว่าบรรดาซีอีโอชื่อดัง Mark Zuckerberg, Marissa Mayer, Larry Page, Eric Schmidt ได้รับเชิญให้มางานนี้ แต่คนกลุ่มนี้ปฏิเสธไม่เข้าร่วมงานโดยตรง โดยส่งตัวแทนเป็นผู้บริหารฝ่ายความปลอดภัยของข้อมูลไปร่วมงานแทน

Tags:
Node Thumbnail

Pwn2Own การแข่งขันแฮกเบราว์เซอร์รายการสำคัญโดย ZDI ของเอชพีที่ผู้ผลิตร่วมเข้าเป็นสปอนเซอร์มากมายปีนี้ประกาศกติกาการแข่งขันแล้ว รวมรางวัลทุกรายการมากกว่า 500,000 ดอลลาร์

เป้าหมายการแฮกในการแข่งขันรอบนี้ ได้แก่

Tags:
Node Thumbnail

เฟซบุ๊กประกาศบริการ ThreatExchange ระบบแลกเปลี่ยนภัยออนไลน์โดยเฉพาะการแพร่กระจายมัลแวร์และเว็บฟิชชิ่ง โดยจะเปิด API ให้สมาชิกเข้ามาแชร์ภัยออนไลน์ให้กับสมาชิกรายอื่นๆ เป็นมาตรฐาน

ThreatExchange จะเปิดให้ผู้รายงานสามารถกำหนดได้ว่าสมาชิกคนใดจะได้รับรายงาน เพราะบางครั้งรายงานมีข้อมูลสำคัญอยู่ด้วย และการแชร์ข้อมูลเป็นวงกว้างอาจจะเป็นผลเสีย

ฐานข้อมูลเริ่มต้นจะมาจากจากเฟซบุ๊กเองที่มีระบบ ThreatData อยู่ก่อนแล้ว และบริษัทที่ประกาศร่วมมือกันได้แก่ Bitly, Dropbox, Tumblr, เฟซบุ๊ก, ทวิตเตอร์, และยาฮู

Tags:
Node Thumbnail

วันนี้มีรายงานว่าเว็บสำนักข่าว กรมประชาสัมพันธ์ถูกแฮกโดยกลุ่ม Indonesian Cyber Crash โดยหน้าเว็บปกติและข่าวทั่วไปยังคงอ่านได้ตามปกติ แต่ปรากฎหน้าใหม่ขึ้นมาแสดงข้อความของแฮกเกอร์ระบุชื่อ INDONESIAN CYBER CRASH Mr.xSaputra_AttackeR

ท้ายข้อความยังมีวิดีโอ "Sleeping With Sirens covers "Iris" by The Goo Goo Dolls" แนบท้าย

ที่มา - Facebook: 2600 Thailand

Tags:
Node Thumbnail

Google เสนอให้ผู้ใช้บริการของ Google ทำรายการตรวจสอบความปลอดภัยเกี่ยวกับบัญชีใช้งานของตนเอง โดยมีข้อแลกเปลี่ยนเป็นพื้นที่เก็บข้อมูลบน Google Drive เพิ่มให้คนละ 2GB (เฉพาะคนที่ทำรายการภายในวันที่ 17 กุมภาพันธ์นี้เท่านั้น)

ผู้ใช้เพียงเข้าไปทำรายการตรวจสอบที่นี่ ซึ่งเป็นการตรวจสอบทั้งข้อมูลสำหรับการกู้บัญชีผู้ใช้ในยามฉุกเฉิน, บันทึกการเข้าระบบของบัญชีผู้ใช้ในระยะหลัง, การให้สิทธิ์แก่แอพและอุปกรณ์ต่างๆ ในการเข้าถึงข้อมูล รวมทั้งการตั้งค่าการเข้าระบบด้วยวิธียืนยันตัวตน 2 ขั้นตอน (อย่างหลังสุดนี้หากไม่ต้องการใช้งานก็ปล่อยว่างไว้ได้)

Tags:
Node Thumbnail

โปรแกรมเมอร์ที่มีประสบการณ์สักหน่อยคงเข้าใจได้ไม่ยากว่าซอฟต์แวร์ที่ไม่มีบั๊กนั้นแทบไม่มีจริงอยู่ในโลก หนังสือ Code Complete ของ Steve McConnell ระบุว่าโดยทั่วไปแล้วโค้ดทุกๆ 1000 บรรทัด (KLOC: kilo lines of code) จะมีข้อผิดพลาดประมาณ 15-50 จุด ซอฟต์แวร์ที่คุณภาพสูงมากๆ อาจจะมีกระบวนการตรวจสอบที่รัดกุม อาจจะทำให้คุณภาพซอฟต์แวร์ดีขึ้น จุดผิดพลาดต่ำลงต่ำ แต่ซอฟต์แวร์สมัยใหม่ที่มีความซับซ้อนสูง พึ่งพิงกับไลบรารีภายนอกจำนวนมาก แทบเป็นไปไม่ได้ที่จะอ้างว่าซอฟต์แวร์เหล่านี้ไม่มีความผิดพลาดอยู่เลย ในบางกรณีอาจมีผู้อ้างว่าทำได้เช่นในโครงการอวกาศบางโครงการ แต่ซอฟต์แวร์เหล่านั้นมักเป็นงานเฉพาะทาง ไม่ต้องรองรับฮาร์ดแวร์ที่หลากหมายและมาตรฐานการเชื่อมต่

Tags:
Node Thumbnail

ที่งาน MHCon 2015 เมื่อวานนี้นอกจากมีการบรรยายจากวิทยากรแล้วพ.อ.ชาติชาย ชัยเกษม ผู้อำนวยการกองสงครามเครือข่าย (บ้านเรามีหน่วย Cyberwarfare แล้ว) ประกาศว่ากำลังรับสมัครพลเรือนเข้าไปทำงานด้านความปลอดภัยคอมพิวเตอร์ทั้งหมด 7 ตำแหน่ง

ตำแหน่งที่เปิดมีตั้งแต่ penetration testing officer, digital forensics officer, และ cyber security auditing officer คงครอบคลุมงานด้านความปลอดภัยคอมพิวเตอร์ส่วนใหญ่ แต่จำนวนตำแหน่งไม่มากนัก หากใครสนใจทำงานด้านความปลอดภัยคอมพิวเตอร์ในหน่วยราชการคงเป็นโอกาสที่ดีครับ

ยังไม่เปิดรับสมัคร โดยจะเปิดรับจริงวันที่ 15 กุมภาพันธ์นี้ไปจนถึงวันที่ 1 มีนาคม ทางเว็บกรมยุทธการทหาร

Tags:
Node Thumbnail

GPG หรือ Gnu Privacy Guard เริ่มพัฒนามาตั้งแต่ปี 1997 และออกรุ่น 1.0 ในปี 1999 โดย Werner Koch นักพัฒนาหลักมาตลอดโดยตั้งบริษัท g10code ขึ้นมาเพื่อรับเงินและตัว Werner เองก็ออกมาทำงานเต็มเวลาในบริษัทนี้ แต่ปรากฎว่าบริษัทนี้อยู่ในสภาพย่ำแย่มาโดยตลอด ฐานะทางการเงินติดลบ ช่วงสองปีหลังเหลือ Werner เป็นนักพัฒนาเต็มเวลาเพียงคนเดียว จนกระทั่งคิดว่าจะเลิกทำโครงการนี้เต็มเวลาแล้วไปทำงานบริษัทในช่วงปี 2013

แต่หลังจาก Edward Snowden เปิดเผยข้อมูลจำนวนมากโดยอาศัย GPG เป็นส่วนสำคัญในการสื่อสาร Werner ก็ตัดสินใจเดินหน้าพัฒนาต่อ และพยายามระดมทุนเพื่อให้มีนักพัฒนาเพิ่มเติม โดยตั้งเป้าระดมทุน 137,000 ดอลลาร์ แต่ก็ยังไม่ได้ตามที่หวัง

Tags:
Node Thumbnail

วันก่อนมีรายงานถึงบั๊ก CVE-2015-313 ของ Adobe Flash ตอนนี้ทาง Adobe ก็ปล่อยแพตช์ออกมาแล้ว และยังแก้บั๊กอื่นๆ อีกนับสิบตัว รวมถึงบั๊กจาก Project Zero ของกูเกิลและบั๊กที่ได้รับจากโครงการให้รางวัลบั๊ก Chromium

ทางฝั่งกูเกิลระบุว่าบั๊กทั้งหมดของ Project Zero ทาง Adobe สามารถแก้ไขได้ภายใน 90 วันตามกำหนดของโครงการ

ที่มา - Adobe, Chris Evans

Tags:
Node Thumbnail

Venefi และ DigiCert บริษัทให้บริการรับรองตัวตน (Certification Authority - CA) ประกาศเข้าร่วมกับโครงการ Certificate Transparency ที่ก่อตั้งโดยกูเกิล ที่ชักชวนให้ CA ทั้งหลายเปิดเผยข้อมูลการออกใบรับรองสู่สาธารณะ

ทาง DigiCert ระบุว่าจะเปิดเผยเฉพาะใบรับรองระดับ EV (Extended Validation ที่มีชื่อบริษัทอยู่ในช่อง URL) แต่ไม่รวมถึงใบรับรองทั่วไป ส่วน Venafi ไม่ได้ระบุว่าจะเปิดเผยข้อมูลมากแค่ไหน

Tags:
Node Thumbnail

โซนี่แถลงผลประกอบการไปเมื่อวันพุธที่ผ่านมา ข้อมูลอีกอย่างหนึ่งที่อยู่ในรายงานคือการแฮกข้อมูลครั้งใหญ่ของ Sony Pictures นอกจากจะทำให้บริษัทเสียหายครั้งใหญ่ รายได้ลดลง 23% และกำไรแทบไม่เหลือแล้วยังต้องจ่ายค่าสอบสวนและฟื้นฟูระบบที่เสียหายไปอีก 15 ล้านดอลลาร์ในไตรมาสที่ผ่านมา

ระหว่างนี้การสอบสวนยังไม่จบ โซนี่คาดว่าจะต้องจ่ายเพิ่มอีก 20 ล้านดอลลาร์ รวมเป็นค่าใช้จ่าย 35 ล้านดอลลาร์ ทางโซนี่ไม่ตอบคำถามว่าหลังจากนี้จะมีค่าใช้จ่ายเพิ่มเติมหรือไม่

Tags:
Node Thumbnail

Trend Micro รายงานถึงมัลแวร์ XAgent มัลแวร์ที่เจาะจงเป้าหมายในกลุ่มการทหาร, รัฐบาล, อุตสาหกรรมที่เกี่ยวกับความมั่นคง, และสื่อ ทาง Trend Micro เชื่อว่าเป็นปฎิบัติการต่อเนื่องมาจากปีที่แล้ว ที่ Trend Micro เรียกชื่อว่า Pawn Storm ที่พบเมื่อปีที่แล้ว

XAgent มีสองรุ่น คือ แอพพลิเคชั่นที่ชื่อว่า XAgent และเวอร์ชั่นปลอมตัวเป็นเกม MadCap กระบวนการติดมัลแวร์นี้ยังไม่แน่ชัดนัก แต่อุปกรณ์ที่ติดไม่จำเป็นต้องเจลเบรกแต่อย่างใด แต่บน iOS 8 นั้นการติดตั้งจะไม่สมบูรณ์ ตัวมัลแวร์ไม่สามารถทำงานได้อัตโนมัติ และไอคอนที่ซ่อนไว้ก็แสดงออกมา

Tags:
Node Thumbnail

หมายเหตุ บทความนี้ไม่เกี่ยวกับข่าว "กระทรวงไอซีทีพยายามตรวจสอบและปิดกั้นเว็บเข้ารหัส ทดสอบที่เกตเวย์" แต่อย่างใด

เว็บและบริการคอมพิวเตอร์ยุคใหม่ส่วนมากมักเข้ารหัสอย่างแน่นหนาขึ้นเรื่อยๆ ในช่วงเวลาไม่กี่ปีที่ผ่านมา กระบวนการเข้ารหัสเหล่านี้คุ้มครองความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ได้เป็นอย่างดี แต่แน่นอน หากวันดีคืนดีเราเป็นเจ้าของบ้านที่ควบคุมเกตเวย์อินเทอร์เน็ต "ที่บ้าน" ได้โดยไม่มีการตรวจสอบ ไม่มีการถ่วงดุล สามารถทำอะไรได้ตามใจชอบ เราอาจจะเริ่มสงสัยว่าจริงๆ แล้วเราอยากส่องข้อความที่ทุกคนส่งเข้าออกจากบ้านของเราแม้จะเข้ารหัสได้หรือไม่

Tags:
Node Thumbnail

บริษัทความปลอดภัย Avast รายงานพฤติกรรมของเกมไพ่ Durak บน Google Play ที่มีคนดาวน์โหลดไปแล้ว 5-10 ล้านครั้ง (ตามสถิติของกูเกิล)

เกมนี้ฉากหน้าเป็นเกมไพ่ธรรมดา เล่นได้ปกติ แต่เมื่อลงเกมผ่านไปหลายๆ วัน (เช่น 7 วัน) แล้วบูตเครื่องใหม่จะพบข้อความแจ้งเตือนว่าเครื่องเราโดนแฮ็ก ติดไวรัส หรือไม่อัพเดต (ข้อความแตกต่างกันออกไปแบบสุ่ม) ข้อความเหล่านี้เป็นข้อความหลอกให้เรากดอัพเดต ซึ่งจะพาเราไปยังเว็บเพจที่หลอกให้ดาวน์โหลดแอพหรือสมัคร SMS แบบเสียเงินราคาแพงอีกชั้นหนึ่ง

Avast พบพฤติกรรมแบบนี้กับแอพหลายตัวบน Google Play นอกจาก Durak แล้วยังมีแอพชื่อ IQ Test และ History (แต่ Durak มีคนดาวน์โหลดมากที่สุด)

Tags:
Node Thumbnail

Symantec รายงานช่องโหว่ใหม่ของ Flash Player (รหัส CVE-2015-0313) และพบการโจมตีผ่านช่องโหว่นี้แล้ว ช่องโหว่นี้มีใน Flash Player ทุกรุ่น รวมถึงรุ่นล่าสุด 16.0.0.296 ที่เพิ่งออกมาไม่กี่วันก่อน

Adobe รับทราบปัญหานี้แล้ว และบอกว่าจะรีบออกแพตช์ภายในสัปดาห์นี้ นั่นแปลว่าผู้ใช้ Flash Player มีความเสี่ยง วิธีป้องกันตัวชั่วคราวคือปิดการทำงานของ Flash Player ไปก่อนจนกว่าจะมีแพตช์ครับ

จากข้อมูลของ Symantec บอกว่าแฮ็กเกอร์เริ่มรันแคมเปญโฆษณาให้ดาวน์โหลดไฟล์มัลแวร์ เพื่อโจมตีคอมพิวเตอร์ผ่านช่องโหว่นี้ ผลกระทบคือทำให้เครื่องแครชและอาจถูกแฮ็กเกอร์ควบคุมเครื่องได้จากระยะไกล

Tags:
Node Thumbnail

วงการรถยนต์ยุคสมาร์ทคาร์ ย่อมมีปัญหาเรื่องช่องโหว่ความปลอดภัย ล่าสุด BMW ประกาศออกแพตช์ความปลอดภัยให้รถยนต์ยี่ห้อ BMW, Mini, Rolls Royce ในเครือของตัวเองรวม 2.2 ล้านคัน

ซอฟต์แวร์ที่พบปัญหาคือ ConnectedDrive รุ่นที่รองรับซิมการ์ดเพื่อสั่งงานรถยนต์จากระยะไกล ซอฟต์แวร์ตัวนี้สามารถควบคุมการล็อคประตูรถ เปิดปิดแอร์ และดึงข้อมูลจราจร แต่ไม่สามารถเข้าถึงระบบขับเคลื่อนรถยนต์ได้ ส่วนช่องโหว่ที่อาจถูกแฮ็กเกอร์เจาะแล้วสั่งการรถยนต์ได้ (เช่น ล็อคประตูรถไม่ให้เจ้าของใช้งาน)

Tags:
Node Thumbnail

กูเกิลประกาศผลงานของโครงการ Vulnerability Reward Program (VRP) ที่ให้เงินรางวัลกับนักวิจัยที่หาช่องโหว่ในแอพพลิเคชั่นหรือบริการของกูเกิล โดยปีที่แล้วกูเกิลจ่ายเงินไปมากกว่า 1,500,000 ดอลลาร์ รวมนักวิจัยที่ได้เงินรางวัลมากกว่า 200 คน

เฉพาะบั๊กความปลอดภัยของ Chrome ที่พบในโครงการ VRP มีมากกว่า 500 บั๊ก และครึ่งหนึ่งพบจากเวอร์ชั่น beta หรือ dev ทำให้กูเกิลสามารถแก้บั๊กความปลอดภัยก่อนที่จะกระทบคนส่วนใหญ่

Pages