หัวหน้าความปลอดภัย Android ถอนตัวงาน Black Hat เรียกร้องเลิกใช้คำ Black/White Hat

By mk Founder on Tag: Black Hat, Racism, Security
Black Hat

เกิดการถกเถียงกันในวงการความปลอดภัยไซเบอร์ (infosec หรือ information security) หลัง David Kleidermacher หัวหน้าทีมความปลอดภัย Android ประกาศถอนตัวจากเวทีงานสัมมนาความปลอดภัย Black Hat 2020 พร้อมกับเรียกร้องให้เลิกใช้คำว่า black hat/white hat รวมถึงคำที่แบ่งแยกเพศอย่าง man in the middle (MITM)

คำประกาศของ Kleidermacher สร้างเสียงวิพากษ์วิจารณ์ทั้งฝั่งที่เห็นด้วยและไม่เห็นด้วย โดยฝ่ายที่ไม่เห็นด้วยมองคำว่า black hat ว่าเป็นสีของหมวกคาวบอยฝ่ายผู้ร้ายในภาพยนตร์ ไม่เกี่ยวกับการแบ่งแยกสีผิว และมีความหมายที่ต่างจาก blacklist/whitelist ที่เป็นประเด็นในช่วงก่อนหน้านี้

Read more

บริษัทซอฟต์แวร์เข้ารหัสฟ้องผู้จัดงาน Black Hat หลังโดนโห่ขณะนำเสนอในช่วงผู้สนับสนุนงาน

By lew Founder on Tag: Cryptography, Black Hat
Cryptography

Crown Sterling บริษัทผู้สร้างระบบเข้ารหัส ยื่นฟ้องบริษัท UBM LLC ผู้จัดงานสัมมนา Black Hat USA 2019 พร้อมผู้ร่วมงานไม่ระบุชื่ออีก 10 คน หลังจากโดนโห่ขณะนำเสนอระบบเข้ารหัสของบริษัท

Robert E. Grant ผู้ก่อตั้งบริษัทนำเสนอในงานหัวข้อ การค้นพบ Quasi-Prime Number และผลกระทบต่อระบบการเข้ารหัส โดยหลักๆ แล้วงานวิจัยเสนอว่าเขาค้นพบกระบวนการแยกตัวประกอบเฉพาะได้อย่างรวดเร็ว ซึ่งเป็นหัวใจของการเข้ารหัสยอดนิยมอย่าง RSA ซึ่งหากทำได้จริงก็จะทำให้การเข้ารหัสส่วนมากในโลกถูกแกะออกมาได้โดยง่าย

Read more

นักวิจัยยกเลิกงานเสวนาเรื่องการแฮ็ก Face ID ที่งาน Black Hat เหตุงานวิจัยยังไม่สมบูรณ์

By nismod Writer on Tag: Black Hat, Face ID, Apple, Security, Ant Group
Black Hat

Face ID เทคโนโลยีด้านความปลอดภัยด้วยการสแกนใบหน้า 3 มิติที่แอปเปิลระบุว่าปลอดภัยกว่า Touch ID หลายเท่า ตอนนี้มีนักวิจัยด้านความปลอดภัยที่อาจจจะสามารถเจาะผ่าน (bypass) ระบบของ Face ID นี้ได้แล้ว

Wish Wu นักวิจัยความปลอดภัยของบริษัท Ant Financial (บริษัทแม่ Alipay) เตรียมจะไปพูดในงานเสวนาหัวข้อ Bypass Strong Face ID: Everyone Can Deceive Depth and IR Camera and Algorithms ที่งาน Black Hat ในสิงคโปร์เดือนมีนาคมนี้ ก่อนที่ทาง Ant Financial จะขอให้ยกเลิกการไปพูดหัวข้อดังกล่าว

Read more

หัวหน้าทีมความปลอดภัย Android อธิบายแนวคิดหลักในการป้องกัน คือลด Attack Surface

By mk Founder on Tag: Android, Security, Black Hat
Android

Nick Kralevich หัวหน้าทีมความปลอดภัย Android ไปพูดที่งาน Black Hat และเล่าประวัติความเป็นมาของระบบความปลอดภัยใน Android

เขาบอกว่าการที่มีอุปกรณ์รัน Android มากถึง 2 พันล้านเครื่อง เป็นทั้งเรื่องที่น่าดีใจและน่าหวาดหวั่นไปพร้อมกัน แนวทางของกูเกิลในอดีตคือการลดผลกระทบจากช่องโหว่ (exploit mitigation) เช่น การสุ่มตำแหน่งหน่วยความจำ address space layout randomization (ASLR) เพื่อให้แฮ็กเกอร์ไม่สามารถหาตำแหน่งที่ตายตัวในหน่วยความจำได้ เจาะเข้ามาก็อาจเจอแต่ข้อมูลอะไรก็ไม่รู้

Read more

เมื่อปัญหาด้านความปลอดภัยทางไซเบอร์ขององค์กร เกิดจากการละเลยการป้องกันขั้นพื้นฐาน

By nismod Writer on Tag: Cybersecurity, Black Hat, Security
Cybersecurity

หนึ่งในช่องโหว่สำคัญของความปลอดภัยทางไซเบอร์ขององค์กร คือความผิดพลาดของผู้ใช้ (human error) เพียงแต่ว่าความผิดพลาดและความไม่รู้นี้ หาใช่เป็นความผิดของตัวบุคลากรในองค์กรแต่เพียงอย่างเดียวไม่

ผลจากการหารือและเสวนาในงาน Black Hat ที่จัดขึ้นล่าสุดได้ข้อสรุปว่า ปัจจัยสำคัญของช่องโหว่ด้านความปลอดภัย คือการละเลย มองข้ามและไม่ให้ความสำคัญเท่าที่ควรของผู้บริหารองค์กร

Read more

ผู้เชี่ยวชาญความปลอดภัยชี้ Bash on Windows เพิ่มความเสี่ยงเกิดช่องโหว่

By mk Founder on Tag: Windows 10, Security, Black Hat, Linux
Windows 10

Alex Ionescu ผู้เชี่ยวชาญความปลอดภัยจากบริษัท Crowdstrike พูดในงานสัมมนาความปลอดภัย Black Hat USA ว่าฟีเจอร์ Bash on Windows ของ Windows 10 มีผลต่อความปลอดภัยของ Windows 10 ในภาพรวม

เขาบอกว่าไมโครซอฟท์ฝังลินุกซ์ลงใน Windows 10 ให้ทำงานแบบเนทีฟ เข้าถึงฮาร์ดแวร์โดยตรง ไม่ได้รันอยู่ใน virtual machine ดังนั้นถ้าพบช่องโหว่ความปลอดภัยขึ้น แฮ็กเกอร์ก็สามารถเข้าถึงตัวระบบได้ทันที

Read more

แฮกเกอร์เตรียมเปิดเผยช่องโหว่รถยนต์ Chrysler ที่ติดตั้งระบบ Uconnect ควบคุมรถได้จากระยะไกล

By lew Founder on Tag: Security, Automobile, Fiat Chrysler, Black Hat
Security

Charlie Miller และ Chris Valasek นักวิจัยด้านความปลอดภัยเตรียมเปิดเผยช่องโหว่ของรถยนต์ Chrysler ที่ติดตั้งระบบ Uconnect ระบบคอมพิวเตอร์เพื่อให้บริการด้านความบันเทิง, ระบบนำทาง, ระบบแนะนำการขับอย่างประหยัดน้ำมัน

นักวิจัยทั้งสองคนสามารถเจาะเข้าไปแก้ไขเฟิร์มแวร์ของ Uconnect ให้ส่งคำสั่งเข้าไปยังระบบควบคุมรถผ่าน CAN bus ได้สำเร็จ ทำให้สามารถเข้าควบคุมความเร็วรถ และเป็นไปได้ว่าจะควบคุมพวงมาลัย

ความน่ากลัวของช่องโหว่นี้คือระบบ Uconnect นั้นเชื่อมต่ออินเทอร์เน็ตผ่านเครือข่ายโทรศัพท์มือถือ ทำให้แฮกเกอร์ควบคุมรถจากระยะไกลหลายกิโลเมตร

Read more

[Black Hat] BREACH กระบวนการเจาะเว็บเข้ารหัสแบบใหม่, ป้องกันได้ยาก

By lew Founder on Tag: Security, Hacking, SSL, HTTPS, Black Hat
Security

นักวิจัยความปลอดภัยนำเสนอกระบวนการเจาะการเข้ารหัสเพื่อหาข้อความในเว็บที่เข้ารหัส HTTPS ได้ภายใน 30 วินาทีที่งาน Black Hat

BREACH อาศัยการดักฟังผู้ใช้ที่เข้าเว็บที่เข้ารหัสและบีบอัดข้อมูลแบบ DEFLATE ซึ่งเบราว์เซอร์รองรับเป็นมาตรฐาน และต้องบังคับให้ผู้ใช้เข้าเว็บที่มีสคริปต์ฝังอยู่ ซึ่งหากดักฟังแล้วก็ทำได้ง่ายเพราะใช้การโจมตีแบบ man-in-the-middle แทรกโค้ดเข้าไปยังเว็บอื่นๆ ที่ไม่ได้เข้ารหัสได้

Read more
Subscribe to Black Hat