Security

เลิกรีเซ็ตรหัสผ่านด้วยอีเมล Facebook เปิดบริการ Delegated Recovery โปรโตคอลการกู้บัญชี

By lew

on 31 January 2017 - 13:42 Tag: Security, Facebook

Security

เฟซบุ๊กเปิดทดสอบบริการกู้บัญชีผู้ใช้สำหรับบริการอื่นๆ นอกเฟซบุ๊ก ในชื่อว่า Delegated Recovery มาแทนที่การรีเซ็ตรหัสผ่านด้วยอีเมลหรือ SMS

ทุกวันนี้ระบบกู้รหัสผ่านนับเป็นจุดอ่อนสำคัญ บริการจำนวนมากใช้คำถามสำหรับการกู้รหัสผ่านที่อ่อนแอ กลายเป็นจุดโจมตี บริการสมัยใหม่มักใช้อีเมลสำหรับส่งลิงก์รีเซ็ตรหัสผ่าน หรือ SMS แต่แนวทางเช่นนี้ไม่แข็งแกร่งเท่ากับการล็อกอินสองขั้นตอนตามปกติ

ระบบบันทึกภาพกล้องวงจรปิดเมืองวอชิงตันดีซีดับ 2 ใน 3 หลัง Ransomware เล่นงาน

By lew

on 30 January 2017 - 13:52 Tag: USA, Ransomware, Security

USA

ตำรวจเมืองวอชิงตันดีซีรายงานถึงเหตุการณ์โจมตีระบบบันทึกภาพจากกล้องวงจรปิดทำให้ไม่สามารถบันทึกภาพได้ตั้งแต่วันที่ 12 ถึง 15 มกราคมที่ผ่านมา โดยกระทบกล้องทั้งหมด 123 ตัวจากทั้งหมด 187 ตัว

ระบบบันทึกภาพถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ ทางตำรวจตัดสินใจไม่จ่ายค่าไถ่แต่เลือกล้างซอฟต์แวร์แล้วรีสตาร์ตใหม่ พร้อมกับยืนยันว่าระบบอื่นๆ ที่ลึกกว่านี้ไม่ได้รับผลกระทบ

ที่มา - Washington Post

กูเกิลแถลงเทคนิครักษาความปลอดภัย KVM บนคลาวด์ ไม่ใช้ QEMU, ถอดโมดูลที่ไม่จำเป็นออก

By lew

on 30 January 2017 - 13:23 Tag: Google Cloud, Security, KVM

Google Cloud

กูเกิลใช้งาน KVM สำหรับการให้บริการคลาวด์ Google Compute Engine แต่ระบบที่ขนาดใหญ่สำหรับผู้ให้บริการคลาวด์เช่นนี้มักต้องการความปลอดภัยสูงกว่าการใช้งาน virtualization ทั่วๆ ไป เมื่อสัปดาห์ที่ผ่านมากูเกิลแถลงถึงกระบวนการต่างๆ เพื่อรักษาความปลอดภัยเพิ่มเติม

ขั้นแรกของการรักษาความปลอดภัยคือการหาช่องโหว่ของซอฟต์แวร์ด้วยตัวเอง กูเกิลมีทีมงานความปลอดภัยของตัวเองที่ไล่หาช่องโหว่ของ KVM, Xen, หรือ VMware จนถึงตอนนี้กูเกิลพบช่องโหว่ KVM ไปแล้ว 9 รายการ จากนั้นจึงลดความเสี่ยงด้วยการถอดโมดูลที่ไม่จำเป็นออก เช่น ไดร์เวอร์เมาส์รุ่นเก่าๆ และยังมีการแก้ไขโมดูลที่ใช้งานเพื่อให้ปลอดภัยขึ้น

โรงแรมหรูในออสเตรียโดน Ransomware จนระบบคีย์การ์ดไม่ทำงาน ประตูห้องพักถูกล็อค

By mk

on 29 January 2017 - 14:26 Tag: Ransomware, Security, Austria, Hotel

Ransomware

Romantik Seehotel Jaegerwirt โรงแรมหรูระดับ 4 ดาว ริมทะเลสาบในประเทศออสเตรีย มีระบบกุญแจคีย์การ์ดทันสมัยเฉกเช่นเดียวกับโรงแรมยุคใหม่ แต่เมื่อระบบไอทีของโรงแรมโดนปัญหา ransomware เข้าไป ส่งผลให้ระบบกุญแจไม่ทำงาน แขกจึงติดอยู่ในห้อง และกลุ่มที่ออกนอกห้องไปแล้วก็เปิดประตูเข้าห้องไม่ได้

โรงแรมจึงไม่มีทางเลือกอื่นนอกจากยอมจ่ายค่าไถ่เป็น Bitcoin เท่ากับมูลค่า 1,500 ยูโร (ประมาณ 60,000 บาท) เพื่อแก้ปัญหาเฉพาะหน้าให้กับแขกที่เข้าพักทั้งหมด 180 ห้อง สุดท้ายเมื่อจ่ายเงินแล้ว ระบบไอทีก็กลับมาได้ปกติ (แต่แฮ็กเกอร์ก็วาง backdoor เอาไว้และพยายามเจาะเข้ามาอีกครั้งในภายหลัง)

กูเกิลเปิดตัว root CA ของตัวเอง, ซื้อ root CA จาก GlobalSign อีกสองชุด

By lew

on 27 January 2017 - 08:34 Tag: Google, Digital Certificate, Security

Google

กูเกิลประกาศสร้าง root CA ของตัวเองสำหรับการเชื่อมต่อกับบริการของกูเกิลโดยใช้ชื่อว่า Google Trust Services ชื่อในใบรับรอง ได้แก่ GTS Root R1, R2, R3, และ R4

ใบรับรองสำหรับเว็บกูเกิลเองก่อนหน้านี้ออกใบรับรองผ่าน intermediate CA ของกูเกิลเอง ที่ชื่อว่า Google Internet Authority G2 (GIAG2) ที่ได้รับการรับรองจาก GeoTrust มาอีกที ตอนนี้กูเกิลระบุว่ายังคงใช้ GIAG2 ต่อไปแต่หลังจากนี้จะเริ่มกระบวนการย้ายมาใช้โครงสร้างของตัวเอง

Facebook รองรับ FIDO U2F แล้ว

By lew

on 26 January 2017 - 23:05 Tag: FIDO, Security, Facebook

FIDO

เฟซบุ๊กประกาศรองรับมาตรฐาน FIDO U2F นับเป็นบริการขนาดใหญ่ล่าสุดที่ประกาศรองรับ หลังจากกูเกิล, Dropbox, และ GitHub

เฟซบุ๊กรองรับการล็อกอินเฉพาะเว็บเท่านั้น ทำให้ต้องล็อกอินด้วย U2F เป็นทางเลือกเพิ่มเติมไปก่อน แต่เว็บสำหรับโทรศัพท์มือถือก็สามารถใช้งานได้ หากตัวโทเค็น U2F รองรับ NFC

U2F มีความได้เปรียบกว่าการล็อกอินสองขั้นตอนอื่นๆ ที่มันสามารถป้องกันการโจมตี phishing ได้เพราะตัวกุญแจจะไม่ส่งรหัสผ่านจากเว็บหนึ่งไปยังเว็บอื่นๆ โดยตัวเบราว์เซอร์เป็นผู้แจ้งชื่อเว็บเข้าไปยังกุญแจ USB

Gmail จะบล็อคไม่ให้แนบไฟล์ JavaScript ด้วยเหตุผลด้านความปลอดภัย

By mk

on 26 January 2017 - 10:47 Tag: Gmail, JavaScript, G Suite, Google, Security

Gmail

กูเกิลประกาศบล็อคการแนบไฟล์ประเภท JavaScript ใน Gmail เพื่อความปลอดภัยของผู้ใช้งาน มีผลวันที่ 13 กุมภาพันธ์ 2017 เป็นต้นไป

ก่อนหน้านี้ Gmail บล็อคไฟล์ประเภท executable อย่าง .exe, .msc, .bat, .vb อยู่แล้ว คราวนี้เพิ่ม .js เข้ามา คนที่แนบไฟล์นี้จะเห็นว่าไฟล์ถูกบล็อคจาก security reasons และกดดูคำอธิบายเพิ่มเติมได้ตามภาพ

กูเกิลแนะนำว่าถ้าจำเป็นต้องส่งไฟล์ .js จริงๆ ให้ส่งผ่าน Google Drive หรือบริการฝากไฟล์ยี่ห้ออื่นแทน การเปลี่ยนแปลงนี้จะมีผลทั้ง Gmail แบบปกติและ G Suite (Google Apps เดิม)

Privacy International ชี้ ไมโครซอฟท์รับ root CA ของรัฐบาลไทยตั้งแต่ปลายปีที่แล้ว

By lew

on 26 January 2017 - 09:23 Tag: Thailand, Security, Privacy, Microsoft

Thailand

Privacy International ออกรายงาน "Who's That Knocking At My Door?" รายงานถึงความพยายามในการบล็อคเว็บและการเข้าถึงข้อมูลส่วนตัวของรัฐบาลไทยในช่วงหลายปีที่ผ่านมา ในรายงานระบุถึงประเด็นสำคัญคือตอนนี้__ไมโครซอฟท์เป็นผู้ผลิตซอฟต์แวร์หลักรายเดียวที่ยอมรับ root CA ของรัฐบาลไทย__

หนีไม่พ้น ฐานข้อมูล CouchDB ที่ไม่ปลอดภัยโดนเจาะและเรียกค่าไถ่ข้อมูลด้วย

By mk

on 23 January 2017 - 08:01 Tag: CouchDB, NoSQL, Database, Hacking, Security

CouchDB

เราเห็นข่าวฐานข้อมูล MongoDB และ Hadoop โดนเจาะกันไปแล้ว ฐานข้อมูลรายล่าสุดที่หนีไม่พ้นชะตากรรมนี้คือ CouchDB ฐานข้อมูลแบบ NoSQL ชื่อดังอีกราย ที่มีรายงานว่าโดนเจาะไปแล้ว 450 เครื่องแล้ว

รูปแบบการเจาะก็คล้ายกันคือเป็น CouchDB ที่ต่อตรงออกอินเทอร์เน็ตและไม่ได้ตั้งรหัสผ่านไว้ (หรือเดารหัสผ่านได้ง่าย) โดยแฮ็กเกอร์ใช้วิธีเรียกค่าไถ่ข้อมูลเป็นเงิน 0.1 BTC (เทียบอัตราปัจจุบันคือประมาณ 100 ดอลลาร์)

Brian Krebs พบความเชื่อมโยงผู้สร้างมัลแวร์ Mirai ที่ใช้โจมตี DDoS ขนานใหญ่ อาจเป็นประธานบริษัทป้องกัน DDoS

By lew

on 22 January 2017 - 23:46 Tag: Security, DDoS, Internet, Malware, Mirai, Brian Krebs

Security

มัลแวร์ Mirai สำหรับการเจาะเข้าอุปกรณ์ IoT ที่เปิดทางเข้าผ่านอินเทอร์เน็ต ถูกปล่อยซอร์สมาตั้งแต่ต้นเดือนตุลาคม และภายในเวลาไม่ถึงเดือน ก็มีคนนำมัลแวร์ไปควบคุมบอตเน็ตขนาดใหญ่เพื่อโจมตี Dyn ปริศนาจนถึงตอนนี้คือผู้สร้าง Mirai เป็นใครก็ยังไม่สามารถยืนยันได้ แต่ Brian Krebs ระบุว่าเขาพบความเชื่อมโยงกับ Paras Jha ประธานบริษัท ProTraf ผู้ให้บริการ (เว็บบริษัทเข้าไม่ได้แล้วตอนนี้ แต่มี Link

กูเกิลตรวจจับมัลแวร์ Android ด้วยหลักทางสถิติ ช่วยให้ค้นเจอมัลแวร์ที่หลุดรอด

By mk

on 21 January 2017 - 20:37 Tag: Android, Malware, Google, Security

Android

กูเกิลอธิบายเทคนิคการตรวจจับมัลแวร์บน Android ด้วยหลักการทางสถิติ ช่วยให้ค้นพบมัลแวร์ที่ไม่สามารถตรวจจับได้โดยตรง

ปกติแล้ว กูเกิลมีระบบที่เรียกว่า Verify Apps ที่ผูกกับบัญชีกูเกิลของผู้ใช้ ระบบนี้จะคอยตรวจสอบแอพที่ติดตั้งภายในเครื่องเป็นระยะ (แม้ไม่ได้ติดตั้งแอพผ่าน Google Play ก็ตรวจสอบได้) ถ้าตรวจพบมัลแวร์ก็จะแจ้งเตือนผู้ใช้ให้ถอนการติดตั้งออก

นักวิจัยลงชื่อเรียกร้อง The Guardian ให้ถอนรายงานช่องโหว่ WhatsApp

By nutmos

on 21 January 2017 - 12:29 Tag: WhatsApp, Security

นักวิจัยด้านความปลอดภัยหลายคนได้ร่วมกันลงนามในจดหมายเปิดผนึกถึง The Guardian เรียกร้องให้ถอนรายงานปัญหาช่องโหว่ของ WhatsApp ที่ทางสำนักข่าวกล่าวว่า WhatsApp นั้นมี backdoor ในขณะที่ Open Whisper System เจ้าของโปรโตคอลเข้ารหัสที่ WhatsApp ใช้งานออกมาให้เหตุผลว่าเป็นลักษณะการออกแบบของ WhatsApp (ข่าวเก่า)

Zeynep Tufekci ผู้ที่จัดทำจดหมายเปิดฉบับนี้ให้ความเห็นเรื่องของ The Guaridan ว่า ทางสำนักข่าวไม่ควรจะรายงานปัญหาระดับร้ายแรงโดยไม่มีการสัมภาษณ์ผู้เชี่ยวชาญที่เพียงพอ

พี่ไม่ได้มาเล่นๆ นักวิจัยรายงานช่องโหว่ กองทัพบกสหรัฐฯ 118 จุด จ่ายเงินรางวัลไปแสนดอลลาร์

By lew

on 21 January 2017 - 02:53 Tag: USA, Military, Security, Bug Bounty

USA

ปีที่แล้วนอกจากกระทรวงกลาโหมสหรัฐฯ ตั้งรางวัลสำหรับผู้ที่แฮกระบบที่เชื่อมต่ออินเทอร์เน็ต กองทัพบกสหรัฐฯ เองก็ตั้งรางวัลแบบเดียวกัน และตอนนี้ทางกองทัพก็รายงานผลออกมา

รายการของกองทัพบกเป็นการเชิญนักวิจัยภายนอกมาร่วมรายการ ผู้รับเชิญตอบรับมาทั้งหมด 371 คน เป็นเจ้าหน้าที่รัฐ 25 คน ในจำนวนนี้ 17 คนทำงานในกองทัพ รายงานช่องโหว่ทั้งหมดมากกว่า 416 รายการแต่มีช่องโหว่ไม่ซ้ำกัน 118 รายการ รายการแรกส่งเข้ามาหลังเปิดโครงการ 5 นาที

ออราเคิลออกแพตช์ความปลอดภัยไตรมาสแรกรวม 270 ช่องโหว่ เฉพาะจาวามี 17 จุด

By lew

on 19 January 2017 - 19:21 Tag: Oracle, Security

Oracle

ออราเคิลออกแพตช์ความปลอดภัยประจำไตรมาสแรกปี 2017 รวมช่องโหว่ 270 จุดจากซอฟต์แวร์ 45 รายการ เฉพาะจาวาอย่างเดียวมีแพตช์ 17 รายการ ในจำนวนนี้มี 16 รายการที่จากระยะไกลได้

นับความสำคัญตามคะแนน CVSS จาวาจะมีแพตช์ร้ายแรง 4 รายการ (คะแนนเกิน 8) ขณะที่ซอฟต์แวร์จัดการโครงการ Primavera มีช่องโหว่ร้ายแรงสูงสุดคะแนน CVSS 10.0 มาหนึ่งรายการ

ที่มา - Oracle, The Register

แฮกเกอร์เปิดรายละเอียดช่องโหว่รันโค้ดบนเซิร์ฟเวอร์เฟซบุ๊ก ได้รางวัลไป 40,000 ดอลลาร์

By lew

on 18 January 2017 - 18:53 Tag: Security, Facebook

Security

Andrey Leonov รายงานถึงช่องโหว่ ImageMagick ที่พบบนเซิร์ฟเวอร์ของเฟซบุ๊ก ช่วงเดือนตุลาคมปีที่แล้ว โดยเฟซบุ๊กจ่ายเงินรางวัลสำหรับรายงานนี้ถึง 40,000 ดอลลาร์ นับเป็นการรายช่องโหว่ความร้ายแรงงสูง

ช่องโหว่ ImageTragick เปิดให้แฮกเกอร์สามารถสั่งรันคำสั่งใดๆ บนเครื่องเซิร์ฟเวอร์ก็ได้ ตัว Leonov ทดสอบช่องโหว่นี้บนภาพจากภายนอกที่ส่งลิงก์เข้าไปยังเฟซบุ๊ก ทำให้เฟซบุ๊กดึงภาพเข้ามาแล้วปรับขนาด

นักวิจัยศูนย์ความปลอดภัยไซเบอร์อังกฤษ เรียกร้องเว็บไซต์เลิกห้ามผู้ใช้แปะรหัสผ่านจากคลิปบอร์ด

By lew

on 18 January 2017 - 12:52 Tag: Password, United Kingdom, Security

Password

ศูนย์ความปลอดภัยไซเบอร์อังกฤษ (National Cyber Security Centre - NCSC) เผยแพร่บทความโดย Sacha B เรียกร้องให้เว็บไซต์ต่างๆ เลิกมาตรการห้ามผู้ใช้แปะรหัสผ่านจากคลิปบอร์ด

เว็บไซต์จำนวนมากพยายามเพิ่มมาตรการความปลอดภัยด้วยการห้ามไม่ให้ผู้ใช้แปะรหัสผ่านด้วยคำสั่ง Copy และ Paste อย่างไรก็ดี แนวทางเช่นนี้ไม่เคยมีงานวิจัยรองรับจริงจัง ไม่เคยมีการถกเถียงถึงประโยชน์ที่แท้จริงใน RFC หรือมาตรฐานความปลอดภัยใดๆ

ผลสำรวจแอปแอนดรอยด์ 16,000 ตัว พบกุญแจ API ฝังอยู่ในโค้ด 304 รายการ

By lew

on 17 January 2017 - 19:48 Tag: Security, Development

Security

ความผิดพลาดของนักพัฒนาที่อาจจะนำกุญแจ API ที่สำคัญๆ ไปอัพโหลดขึ้น GitHub หรือปล่อยหลุดไปตามช่องทางอื่นๆ เกิดขึ้นได้เรื่อยๆ ล่าสุดบริษัท Fallible สำรวจแอปแอนดรอยด์ถึง 16,000 รายการว่ามีความลับใดฝังอยู่ในโค้ดหรือไม่ และพบว่ามีกุญแจ API สำคัญๆ อยู่ถึง 304 รายการ

รายการกุญแจ API ที่หลุดมากับโค้ดแอนดรอยด์ ได้แก่ Twitter, Urban Airship, Flickr, Dropbox, Instagram, Uber, ไปจนถึง AWS ที่อาจจะทำให้นักพัฒนาหมดตัวด้วยการเปิดเครื่องมาใช้งานจำนวนมาก

กูเกิลแสดงศักยภาพด้านความปลอดภัย เปิดรายงานการออกแบบโครงสร้างของบริษัท

By lew

on 17 January 2017 - 12:05 Tag: Google, Security

Google

กูเกิลเปิดรายงานการออกแบบโครงสร้างพื้นฐานของบริษัทเพื่อความมั่นคงปลอดภัย แสดงข้อมูลตั้งแต่ฮาร์ดแวร์และซอฟต์แวร์เพื่อการรักษาความปลอดภัยทั้งบริการลูกค้าบุคคลอย่าง Gmail, Search, หรือ Photos ไปจนถึงลูกค้าองค์กร เช่น Google Cloud Platform หรือ G Suite

กูเกิลเปิดตัว Key Transparency ซอฟต์แวร์ช่วยยืนยันกุญแจสาธารณะ

By lew

on 16 January 2017 - 10:45 Tag: Google, Security

Google

กระบวนการเข้ารหัสจากปลายทางถึงปลายทาง เช่น อีเมล PGP หรือการแชตที่เข้ารหัสจากปลายทางถึงปลายทาง ล้วนมีข้อจำกัดสำคัญคือการรับประกันความปลอดภัยเต็มที่ต้องมีการยืนยันกุญแจสาธารณะของผู้ที่เรากำลังสื่อสารด้วยเสมอ กระบวนการยืนยันกุญแจเช่นนี้เป็นเรื่องลำบากและทำให้คนจำนวนมากเลือกที่จะไม่สนใจยืนยันหรือแม้แต่ไม่สนใจการเข้ารหัสจากปลายทางถึงปลายทางไปเลย แต่ตอนนี้กูเกิลก็เปิดตัวซอฟต์แวร์ต้นแบบเพื่อทดสอบแนวทางการช่วยยืนยันกุญแจ เรียกว่า Key Transparency

ยังเหมือนเดิม ยังไงก็ยังอย่างนั้น รหัสผ่านยอดนิยมปี 2016 ยังเป็นรหัสผ่านเดิมๆ

By mk

on 14 January 2017 - 21:19 Tag: Password, Security, Keeper

Password

Keeper Seecurity แอพจัดการรหัสผ่าน รวบรวมสถิติรหัสผ่านที่หลุดในปี 2016 รวมกว่า 10 ล้านบัญชี เพื่อมาวิเคราะห์ดูแนวโน้มว่า "รหัสผ่านยอดนิยม" ของประชากรชาวโลกคืออะไรกันแน่

ผลลัพธ์ยังเป็นเหมือน ไม่ได้แตกต่างอะไรจากสถิติในปี 2015 มากนัก รหัสผ่านยอดนิยมยังเป็น 123456 ที่มีคนใช้มากถึง 17% ของรหัสผ่านทั้งหมด และอันดับ Top 10 ก็เต็มไปด้วยรหัสผ่านที่คาดเดาได้ง่าย เช่น password, qwerty, 111111, 123123 เป็นต้น

Subscribe to Security