ไม่เสียวเท่า HPKP, มาตรฐาน CAA บังคับ CA ตรวจสิทธิ์การออกใบรับรองบังคับกันยานี้ เจ้าของโดเมนจำกัด CA ได้

By lew Founder on Tag: Digital Certificate, Security, CA Browser Forum
Digital Certificate

กระบวนการออกใบรับรองดิจิตอลทุกวันนี้มีช่องว่างสำคัญคือหน่วยงานออกใบรับรองดิจิตอล (certification authority - CA) ทุกรายสามารถออกใบรับรองให้กับโดเมนใดๆ ก็ได้ ตอนนี้มาตรการเพิ่มเติมในการจำกัดสิทธิ์ของ CA ก็เตรียมบังคับใช้เดือนกันยายนนี้ หลังการโหวตมาตรฐาน Certification Authority Authorization (CAA) โดย CA/Browser Forum ผ่านไปแล้ว

Read more

Google เพิ่มฟีเจอร์ความปลอดภัยให้ระบบคลาวด์: API ป้องกันข้อมูลรั่วไหล, ฮาร์ดแวร์พัฒนาเอง

By nutmos Writer on Tag: Google Cloud, G Suite, Security, Google
Google Cloud

ในงาน Google Cloud Next นั้น Google ได้ประกาศเพิ่มความสามารถด้านความปลอดภัยใหม่ให้กับ Google Cloud Platform และ G Suite หลายอย่าง ดังนี้

Identity-Aware Proxy (IAP) สำหรับ Google Cloud Platform (ตอนนี้อยู่ในช่วงเบต้า) ให้ผู้ใช้จัดการการเข้าถึงแอพพลิเชั่นที่รันบน Google Cloud Platform ทีละตัวได้โดยขึ้นกับความเสี่ยง แทนที่จะใช้แนวคิดแบบ all-or-nothing

Read more

ช่องโหว่ใน Apache Struts 2 เปิดทางรันโค้ดจากระยะไกล มีการโจมตีแล้ว

By lew Founder on Tag: Apache, Security
Apache

โครงการ Apache Struts 2 ปล่อยแพตช์สำหรับช่องโหว่ CVE-2017-5638 เปิดทางให้รันโค้ดจากระยะไกลได้ และตอนนี้โครงการ Talos ของซิสโก้ก็รายงานว่าหลังปล่อยแพตช์ไม่นานก็เริ่มมีการโจมตีแล้ว

CVE-2017-5638 เปิดให้แฮกเกอร์สามารถสั่งคำสั่งใดๆ บนเครื่องปลายทางได้ จาก HTTP request ที่สร้างขึ้นมาเฉพาะ โดยแพตช์ปล่อยเมื่อวันจันทร์ที่ผ่านมา และช่วงวันพฤหัสก็เริ่มมีการโจมตี

ทีมงาน Talos พบว่าแฮกเกอร์มักอาศัยช่องโหว่นี้เข้ามารันคำสั่งง่ายๆ เช่น whoami หรือ ifconfig ก่อนเพื่อเก็บข้อมูล จากนั้นจึงปิดไฟร์วอลล์ แล้วดาวน์โหลดตัวมัลแวร์

Read more

แอปเปิลระบุ ช่องโหว่ใน Vault 7 ของ CIA ถูกแก้ไขไปตั้งแต่ก่อนเปิดเผยแล้วจำนวนมาก

By lew Founder on Tag: Apple, CIA, Security
Apple

วันนี้ WikiLeaks เปิดเผยช่องโหว่ของ CIA ชุดใหญ่ กระทบต่อระบบปฎิบัติการจำนวนมาก ทาง TechCrunch ก็สอบถามไปยังแอปเปิลว่าจะทำอย่างไรกับช่องโหว่เหล่านี้ ตอนนี้แอปเปิลก็ตอบกลับมาว่าช่องโหว่จำนวนมากถูกแก้ไขไปตั้งแต่ก่อนเปิดเผยมาแล้ว

โฆษกของแอปเปิลระบุว่ากำลังเร่งทำงานเพื่อหาทางแก้ช่องโหว่ที่เปิดเผยออกมาต่อไป พร้อมกับย้ำว่าลูกค้า 80% ของแอปเปิลใช้อัปเดตล่าสุด และเตือนให้ลูกค้าที่เหลือเปิดอัพเดตเสมอ

Read more

WikiLeaks แฉเอกสารลับ รวมช่องโหว่ที่ CIA ใช้แฮ็กคนอื่นเกือบ 9 พันรายการ

By mk Founder on Tag: CIA, Hacking, Wikileaks, Security
CIA

เป็นที่รู้กันว่าหน่วยงานด้านข่าวกรองอย่าง NSA และ CIA มีเครื่องมือแฮ็กระบบของตัวเองใช้งานอยู่เงียบๆ เครื่องมือเหล่านี้ประกอบด้วยช่องโหว่ที่ยังไม่เปิดเผยต่อสาธารณะ (zero day) เพื่อใช้เจาะระบบ รวมถึงมัลแวร์ ไวรัส โทรจัน ที่ใช้เผยแพร่ต่อผ่านช่องโหว่เหล่านี้

เครื่องมือการแฮ็กของ NSA ถูกนำมาแฉโดย Edward Snowden จนเป็นเหตุให้เขาต้องลี้ภัยไปนอกสหรัฐ ล่าสุดเว็บไซต์ WikiLeaks เผยแพร่ข้อมูลของเครื่องมือแบบเดียวกันในฝั่ง CIA บ้าง

Read more

WordPress ออกเวอร์ชัน 4.7.3 แล้ว ควรอัพเดตทันที

By maeklong Contributor on Tag: WordPress, Security, CMS
WordPress

WordPress ซึ่งเป็น CMS ยอดนิยมออกเวอร์ชันใหม่ (4.7.3) เพื่อแก้ไขช่องโหว่ทางด้านความมั่นคงปลอดภัยในเวอร์ชัน 4.7.2 และเวอร์ชันก่อนหน้านั้นแล้ว

ช่องโหว่ที่ถูกแก้ไขได้แก่

Read more

กูเกิลออกแพตช์ความปลอดภัย Pixel/Nexus รอบมีนาคม 2017

By tekkasit Contributor on Tag: Nougat, Android, Security, Google Nexus, Google Pixel
Nougat

พบกันเป็นประจำทุกต้นเดือนครับ กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนมีนาคม 2017 รอบนี้แพตช์มี 2 ชุด ได้แก่ชุด 1 มี.ค. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน และชุด 5 มี.ค. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 มี.ค.มาด้วย)

สำหรับแพตช์ 1 มี.ค. แก้ช่องโหว่ด้านความปลอดภัย 36 จุด (CVE) เป็นระดับร้ายแรง (critical) 11 จุด ส่วนแพตช์ 5 มี.ค. แก้เพิ่มอีก 70 จุด ส่วนมากแก้ปัญหาช่องโหว่บนไดรเวอร์ของผู้ผลิตฮาร์ดแวร์อย่าง Qualcomm, Broadcom, MediaTek, Synaptics และ NVIDIA

ผลิตภัณฑ์ในกลุ่ม Pixel/Nexus ที่ได้รับแพตช์ จะมีดังนี้ครับ

Read more

Consumer Reports จะปรับวิธีให้คะแนนผลิตภัณฑ์ นำปัจจัยด้านความปลอดภัยมาคิดด้วย

By nutmos Writer on Tag: Consumer Reports, Security, Privacy
Consumer Reports

Consumer Reports นิตยสารเพื่อผู้บริโภคในสหรัฐฯ ที่มักจะนำสินค้าต่าง ๆ มารีวิวพร้อมให้คะแนน ตอนนี้กำลังจะปรับเปลี่ยนวิธีการให้คะแนนการรีวิวผลิตภัณฑ์ใหม่ โดยจะนำปัจจัยด้านความปลอดภัยและการป้องกันความเป็นส่วนตัวของผลิตภัณฑ์มาเป็นเกณฑ์การให้คะแนนแล้ว

ทางนิตยสารได้กล่าวว่า ตอนนี้กำลังร่วมมือกับองค์กรนอกเพื่อทำการพัฒนาวิธีการศึกษาว่า ผลิตภัณฑ์นั้นง่ายต่อการแฮกแค่ไหน และข้อมูลของผู้ใช้จะปลอดภัยแค่ไหน โดยวิธีการศึกษาผลิตภัณฑ์แบบใหม่นี้จะเริ่มใช้ทดสอบกับผลิตภัณฑ์เพียงจำนวนน้อย ๆ ก่อน เนื่องจากเป็นส่วนที่ซับซ้อน จึงต้องใช้ความประณีตอย่างมากในการทดสอบ

Read more

DataOne Asia จับมือ i-Sprint นำเสนอโซลูชันยืนยันตัวตนแบบดิจิทัล (Digital Identity)

By nismod Writer on Tag: Security
Security

DataOne Asia ผู้ให้บริการปรึกษาและออกแบบระบบไอที บริษัทลูกของ SVOA ประกาศความร่วมมือกับ i-Sprint Innovation ผู้ให้บริการโซลูชันด้านความปลอดภัยอย่างการยืนยันตัวตนและการจัดการสิทธิในการใช้งานจากสิงคโปร์ เปิดตัวโซลูชันยืนยันตัวตนดิจิทัลสำหรับกลุ่มธุรกิจในประเทศไทย

โซลูชันและผลิตภัณฑ์ที่ DataOne Asia และ i-Sprint นำมาให้บริการในไทยมี

Read more

พบช่องโหว่ Slack ทำให้ผู้โจมตีเข้าถึงข้อมูลของผู้ใช้และอ่านข้อความแชทได้ ตอนนี้แก้ไขแล้ว

By nutmos Writer on Tag: Slack, Security
Slack

มีผู้ค้นพบช่องโหว่ Slack ซึ่งจะทำให้ผู้โจมตีสามารถยึดบัญชีและอ่านข้อความได้ โดยใช้วิธีการขโมยโทเคนการยืนยันตัวตนของผู้ใช้

Frans Rosen ผู้ค้บพบช่องโหว่นี้กล่าวว่า ตัวเขาสังเกต Slack ใช้หน้าต่างป๊อปอัพในลักษณะที่สุ่มเสี่ยง คือเมื่อเริ่มต้นการโทรจะเปิดหน้าต่างป๊อปอัพแต่ไม่ได้ยืนยันกันระหว่างหน้าต่างใหม่และหน้าต่างแชทเดิม

Read more

CloudFlare คาดการณ์ผลกระทบจากบั๊ก Cloudbleed ทำข้อมูลรั่วไปกว่า 1.2 ล้านครั้ง

By nutmos Writer on Tag: Cloudflare, Security
Cloudflare

CloudFlare ได้พบกับบั๊กที่ทำให้ข้อมูลสำคัญรั่วไหลจากเว็บไซต์ที่ฝากไว้ หรือ Cloudbleed ตอนนี้กำลังอยู่ในขั้นตอนการสืบสวน โดย CloudFlare ก็ได้ประกาศข้อมูลออกมาเพิ่มเติมเกี่ยวกับผลกระทบจากบั๊กดังกล่าว

CloudFlare ประมาณการว่า บั๊กดังกล่าวน่าจะทำให้ข้อมูลรั่วไหลไปแล้วประมาณ 1,242,071 ครั้ง ในช่วงวันที่ 22 กันยายน 2016 - 18 กุมภาพันธ์ 2017 โดยเฉพาะในช่วงเดือนกุมภาพันธ์ที่ parser แบบใหม่ซึ่งเป็นสาเหตุของปัญหานี้ได้เริ่มใช้กันอย่างแพร่หลายแล้ว

Read more

สถาบัน Fraunhofer รายงานช่องโหว่แอปเก็บรหัสผ่าน มีช่องโหว่หนักเบาต่างกันไป

By lew Founder on Tag: Security, Password Manager, Password
Security

TeamSIK กลุ่มวิจัยความปลอดภัยจาก Fraunhofer Institute for Secure Information Technology เข้าตรวจสอบความปลอดภัยของแอปเก็บรหัสผ่านยอดนิยม 7 รายการ พบว่าแอปทั้งหมดมีช่องโหว่หนักเบาต่างกันไป

ช่องโหว่เหล่านี้ส่วนมากถือว่าแอปเก็บรหัสผ่านต้องช่วยปกป้องผู้ใช้แม้จะไม่ล็อกเครื่อง หรือยกเครื่องให้ผู้อื่นใช้งาน หรือแม้แต่ทำข้อมูลส่วนตัวของผู้ใช้หลุดออกไปเช่นการรายงาน URL ที่ผู้ใช้เพิ่มรหัสผ่าน หลายแอปเทียบ URL ผิดพลาดทำให้เติมรหัสผ่านอัตโนมัติทั้งที่เป็นคนละโดเมนกัน

Read more

กูเกิลทิ้งโครงการ End-to-End ปล่อยให้นักพัฒนาภายนอกดูแลต่อ

By lew Founder on Tag: Google, Security, Encryption, Open Source
Google

กูเกิลเปิดตัวโครงการ End-to-End สำหรับการเข้ารหัสอีเมลมาตั้งแต่ปี 2014 แม้จะเป็นโครงการโอเพนซอร์ส แต่ก็เป็นโครงการที่กูเกิลดูและให้รางวัลตามโครงการรายงานช่องโหว่ของกูเกิล ล่าสุดกูเกิลก็ประกาศว่า End-to-End จะไม่ใช่โครงการของกูเกิลอีกต่อไป

Matthew Green นักวิชาการด้านวิทยาการเข้ารหัสลับแสดงความผิดหวังที่กูเกิลปล่อยโครงการไปเช่นนี้ หลังจากโปรโมทโครงการมาในช่วงแรก

Read more

ระบบตุ๊กตา CloudPets รั่ว ข้อมูลบัญชีผู้ใช้ 8 แสนรายพร้อมไฟล์เสียงกว่า 2 ล้านไฟล์

By tekkasit Contributor on Tag: Security, Toys, Privacy
Security

สองสัปดาห์ก่อนประเทศเยอรมันสั่งห้ามขายตุ๊กตา Cayla อ้างเพราะมีอุปกรณ์เข้าข่ายจารกรรมข้อมูล ด้วยห่วงความเป็นส่วนตัวของผู้ใช้งาน มาวันนี้ เหตุการณ์ลักษณะคล้ายกันเกิดขึ้นแล้วครับ แต่แย่กว่าตรงที่เกิดความเสียหายขึ้นแล้วจริงๆ

ในอเมริกามีบริษัทที่ชื่อ CloudPets ที่ขายตุ๊กตาหมีไฮเทคสำหรับเด็กๆ สำหรับผู้ปกครองสามารถอัดเสียงตัวเองผ่านแอพบนสมาร์ทโฟนส่งไปยังตุ๊กตาหมีผ่านระบบคลาวด์ รวมทั้งเด็กๆ สามารถอัดเสียงตัวเองสั้นๆ ที่ตัวตุ๊กตา ส่งไปหาผู้ปกครองผ่านแอพบนสมาร์ทโฟนได้

Read more

สนามบินในนิวยอร์คเปิดเซิร์ฟเวอร์ออกอินเทอร์เน็ต ข้อมูล 760GB ดาวน์โหลดได้โดยไม่ต้องใช้รหัสผ่าน

By lew Founder on Tag: USA, Security
USA

สนามบินนานาชาติ Stewart ในนิวยอร์คคอนฟิกเซิร์ฟเวอร์ผิดพลาด ทำให้เซิร์ฟเวอร์สำรองข้อมูลเปิดข้อมูลออกสู่อินเทอร์เน็ตโดยไม่ต้องใช้รหัสผ่านใดๆ และปิดพอร์ตนั้นลงหลังจากได้รับแจ้งนานถึง 3 ชั่วโมงครึ่ง

Chris Vickery นักวิจัยจาก MacKeeper พบเซิร์ฟเวอร์สำรองนี้เปิดพอร์ต 873 ออกสู่อินเทอร์เน็ต และแจ้งให้กับบริษัทบริหารสนามบินทราบ หลังจากสนามบินได้ทราบเรื่องแล้วก็ต้องรอถึงสามชั่วโมงครึ่ง เซิร์ฟเวอร์นั้นจึงปิดพอร์ตไป และหลังจากนั้น Vickery ก็ได้รับโทรศัพท์จากสนามบนระบุว่าเขาทำผิดอาญาที่ดาวน์โหลดข้อมูลออกจากเซิร์ฟเวอร์ไป ตัว Vickery เองแจ้งกลับไปว่าตัวเซิร์ฟเวอร์ทำตัวเป็นเว็บสาธารณะเอง

Read more

Apple เลิกใช้เซิร์ฟเวอร์จาก Supermicro ในศูนย์ข้อมูล เพราะตรวจพบมัลแวร์ติดตั้งในเฟิร์มแวร์

By nutmos Writer on Tag: Apple, Supermicro, Server, Security, Data Center
Apple

สำนักข่าว The Information รายงานว่า Apple ปลดอุปกรณ์เซิร์ฟเวอร์ที่ผลิตโดยบริษัท Supermicro ออกจากศูนย์ข้อมูลของตัวเอง และคืนอุปกรณ์ที่เพิ่งซื้อมาให้กับบริษัท เนื่องจากพบปัญหามัลแวร์ฝังตัวอยู่ในเฟิร์มแวร์ที่ติดตั้งบนเซิร์ฟเวอร์

Apple ตรวจพบปัญหาขณะกำลังพัฒนาระบบของ App Store โดยในรายงานบอกว่าเซิร์ฟเวอร์ที่จัดการคำสั่งจาก Siri ก็มีการใช้งานเซิร์ฟเวอร์ของบริษัท Supermicro ด้วย ในขณะที่แหล่งข่าวของ Ars Technica เผยว่าปัญหาดังกล่าวเกิดเฉพาะเซิร์ฟเวอร์ที่ใช้งานในห้องปฏิบัติการออกแบบเท่านั้น

Read more

พบบั๊กบน CloudFlare ทำให้ข้อมูลสำคัญหลุดจากเว็บไซต์ที่ฝากไว้ได้ ตอนนี้แก้ไขแล้ว

By nutmos Writer on Tag: Cloudflare, Security
Cloudflare

CloudFlare บริการ CDN ชื่อดังได้เปิดเผยบั๊กล่าสุด ซึ่งเป็นบั๊กที่มีความเสี่ยงจะทำให้ข้อมูลสำคัญอย่างรหัสผ่าน, คุกกี้ และโทเคนสำหรับการยืนยันตัวตนรั่วไหลจากเว็บไซต์ของลูกค้าได้ ทำให้ผู้ที่ค้นพบช่องโหว่นี้สามารถเก็บข้อมูลส่วนตัวที่ถูกเข้ารหัสแล้วได้ รวมถึงข้อมูลบางอย่างจะถูกแคชไว้ด้วยเสิร์ชเอนจิน ทำให้แม้ว่าหลังจาก CloudFlare จะแก้ปัญหาเองแล้วก็จะต้องขอความร่วมมือกับผู้ให้บริการเสิร์ชเอนจินในการล้างข้อมูลเหล่านี้ด้วย

Read more

กูเกิลเปิดตัวระบบแชร์ไฟล์ Upspin แชร์ไฟล์แบบเข้ารหัสปลายทางถึงปลายทาง

By lew Founder on Tag: Google, Security, Open Source
Google

กูเกิลเปิดตัวโครงการทดลองสำหรับการแชร์ไฟล์แบบเข้ารหัสจากปลายทางถึงปลายทาง ในชื่อโครงการว่า Upspin โดยกระบวนการเข้ารหัสแทบทั้งหมดจะทำที่เครื่องไคลเอนต์ ทำให้ไม่ต้องระแวงว่าเซิร์ฟเวอร์จะเข้ารหัสจริงหรือไม่

ผู้แชร์ไฟล์สามารถกำหนดผู้ที่มีสิทธิ์อ่านไฟล์ได้ด้วยการเขียนไฟล์กำหนดสิทธิ์ เช่น สิทธิ์ในการอ่าน, เขียน, สร้างไฟล์, และลบไฟล์

กระบวนการยืนยันตัวตนในระบบของ Upspin ใช้การเปิดเผยกุญแจของผู้ใช้ที่เข้ามาร่วมระบบ และคาดว่าในอนาคตจะไปร่วมกับโครงการ Key Transparency ของกูเกิลเองต่อไป

Read more

NetBSD ประกาศความสำเร็จ ระบบคอมไพล์สามารถทำซ้ำได้ทั้งหมดแล้ว

By lew Founder on Tag: NetBSD, Compiler, Security
NetBSD

เป้าหมายสำคัญอย่างหนึ่งในการรักษาความปลอดภัยซอฟต์แวร์โอเพนซอร์ส คือการทำให้การคอมไพล์สามารถทำซ้ำได้ (reproducible builds) เพื่อให้คนภายนอกแน่ใจได้ว่าซอร์สโค้ดที่เปิดเผยออกมาตรงกับซอฟต์แวร์ที่กำลังใช้งานอยู่ แต่กระบวนการทำจริงนั้นมีเงื่อนไขหลายอย่างที่ทำให้โค้ดไม่สามารถคอมไพล์ออกมาให้ตรงกันทุกครั้ง แต่วันนี้ทาง NetBSD ก็ออกมาระบุว่าตอนนี้การคอมไพล์บนสถาปัตยกรรม amd64 และ sparc64 สามารถทำซ้ำได้แล้ว

ทาง NetBSD แจงรายการปัญหาที่พบจากการพยายามทำให้การคอมไพล์ทำซ้ำได้ ได้แก่

Read more

GlobalSign รองรับโปรโตคอล ACME บนเกตเวย์จัดการใบรับรองสำหรับองค์กร

By lew Founder on Tag: GlobalSign, Digital Certificate, Security
GlobalSign

Let's Encrypt นอกจากจะเป็นหน่วยงานออกใบรับรองดิจิตอลฟรีแล้ว ยังออกแบบโปรโตคอล ACME สำหรับการยืนยันตัวตนของเจ้าของโดเมนเพื่อออกใบรับรองอัตโนมัติไปพร้อมกัน แม้ว่าจะเกิดมาคู่กันแต่โปรโตคอล ACME ก็สามารถนำไปใช้งานกับหน่วยงานออกใบรับรองอื่นๆ ที่อาจจะเก็บเงินก็ได้ ตอนนี้ GlobalSign ก็ประกาศรองรับ ACME บน Auto Enrollment Gateway (AEG) เกตเวย์สำหรับออกใบรับรองในองค์กร

Read more
Subscribe to Security