Dropbox ยืนยัน ถูกแฮกจริงเมื่อเดือนที่แล้ว

By Pup Writer on Tag: Security, Spam, Hacking, Dropbox
Security

ในเดือนที่ผ่านมา มีผู้ใช้งาน Dropbox หลายคน (ส่วนใหญ่เป็นผู้ใช้งานในแถบยุโรป) เข้าไปรายงานในฟอรั่มของเว็บไซต์ Dropbox ว่าได้รับอีเมลสแปมเข้ามาในกล่องขาเข้าของตนเอง ซึ่งเกิดขึ้นกับบัญชีอีเมลที่ผู้ใช้งานเหล่านี้นำไปลงทะเบียนกับ Dropbox เพียงอย่างเดียวเท่านั้น ไม่ได้เอาไปใช้ทำอะไรอย่างอื่น

Read more

แฮกเกอร์เจาะ KT Telecom เอาข้อมูลผู้ใช้กว่า 8.7 ล้านคนไปขาย

By Blltz Writer on Tag: Security, Telecom, South Korea, Hacking
Security

KT Telecom ผู้ให้บริการเครือข่ายมือถือใหญ่อันดับสองของเกาหลีใต้ ออกมาขอโทษผู้ใช้งานหลังจากที่ทราบว่าถูกมือดีแฮกเอาข้อมูลส่วนตัวผู้ใช้ในระบบเป็นเวลากว่า 5 เดือน โดยคาดว่ามีข้อมูลผู้ใช้ถูกแฮกไปมากถึง 8.7 ล้านคน นับเป็นครึ่งหนึ่งจาก 16 ล้านรายชื่อที่ KT Telecom มีอยู่ด้วยซ้ำ

Read more

ไมโครซอฟท์เตือน ควรปิดการใช้งาน Java ถ้าไม่จำเป็น

By mk Founder on Tag: Java, Security, Microsoft
Java

ช่วงหลังๆ เราพบปัญหาด้านความปลอดภัยของ Java มากขึ้นเรื่อยๆ โดยกรณีล่าสุดคือมัลแวร์ Flashback ของแมคที่ใช้ช่องโหว่ของ Java บนแมค ส่งผลให้มีคนติดมัลแวร์ตัวนี้มากกว่า 600,000 ราย

Read more

ซอฟต์แวร์ DRM ของ Ubisoft มีช่องโหว่ทำให้แฮกเกอร์ควบคุมเครื่องได้

By lew Founder on Tag: Security, DRM, Ubisoft
Security

ช่องโหว่ในซอฟต์แวร์ DRM ของ Ubisoft อาจจะทำให้แฮกเกอร์สามารถเข้าควบคุมเครื่องได้เพียงแค่ผู้ใช้คลิกเปิดลิงก์บนเว็บเท่านั้น โดยซอฟต์แวร์ Uplay ที่มากับเกม Assassin's Creed Revelations ของ Ubisoft จะไปเพิ่มปลั๊กอินให้กับเบราว์เซอร์ และฟังก์ชั่นที่เพิ่มขึ้นมาทำให้แฮกเกอร์สามารถเรียกโปรแกรมใดๆ ในเครื่องขึ้นมาใช้งานได้

Tavis Ormandy วิศวกรด้านความปลอดภัยของกูเกิล เขาได้โพสโค้ดจาวาสคริปต์ตัวอย่างที่ใช้เรียกโปรแกรมเครื่องคิดเลขไว้ในโพสของเขาด้วย

ที่มา - SecLists

Read more

กลุ่มแฮกเกอร์เปิดเครือข่ายมือถือ Ninja-Tel สำหรับใช้ฟรีในงาน DefCon 20

By Blltz Writer on Tag: Security, Operator, Hacker, Defcon, Mobile
Security

ในงานสัมมนาแฮกเกอร์ DefCon 20 ที่เพิ่งจบลงเมื่อวันที่ 29 กรกฎาคมที่ผ่านมา มีกลุ่มแฮกเกอร์ผู้เข้าร่วมงานอย่าง Ninja Networks ได้สร้างเครือข่ายสำหรับมือถือขึ้นมาเองด้วยเครื่องมือที่อยู่ในรถตู้ โดยใช้ชื่อเครือข่ายว่า "Ninja-Tel"

แต่ด้วยความที่เครือข่าย Ninja-Tel นั้นไม่สามารถใช้ร่วมกับมือถือทั่วไปได้ จึงแจกมือถือสำหรับใช้กับเครือข่าย Ninja-Tel โดยเฉพาะ นั่นก็คือ HTC One V รุ่นใช้แอนดรอยด์ปรับแต่งชื่อว่า "Ninja OS" สำหรับใช้ในงาน DefCon 20 จำนวน 650 เครื่อง โดยตัวเครือข่ายใช้ได้เฉพาะในโรงแรม Rio ซึ่งเป็นสถานที่จัดงานเท่านั้น

Read more

ประกาศผลแล้ว การแข่งขันด้านความปลอดภัย Microsoft BlueHat Prize

By pe3z Writer on Tag: Security, Microsoft
Security

อีกกิจกรรมหนึ่งที่จบลงไปพร้อมกับงานประชุม Black Hat 2012 คือการแข่งขัน Microsoft BlueHat Prize ซึ่งเป็นการแข่งขันด้านความปลอดภัยโดยให้ผู้เข้าแข่งขันทำการออกแบบโครงการด้านความปลอดภัยที่ช่วยป้องกันการโจมตีที่มุ่งไปยังหน่วยความจำ โดยรางวัลอันดับหนึ่งนั้นมีมูลค่าสูงถึง $200,000

Read more

GM กำลังพัฒนาระบบเตือนภัยบนท้องถนนด้วย Wi-Fi Direct กับสมาร์ทโฟน

By Blltz Writer on Tag: Security, Wi-Fi, Smartphone, GM, Automobile
Security

General Motors (GM) เผยเทคโนโลยีตัวใหม่จากนักวิจัยภายในที่จะใช้เทคโนโลยี Wi-Fi Direct ร่วมกับรถยนต์ เพื่อตรวจจับผู้คนเดินเท้า หรือคนปั่นจักรยานที่ใช้สมาร์ทโฟน ซึ่งทาง GM อ้างว่าสามารถตรวจจับคนกลุ่มดังกล่าวได้ภายในเวลาประมาณ 1 วินาที (เทียบกับระบบไร้สายอื่นๆ ที่ใช้เวลาประมาณ 7-8 วินาที)

จากงานวิจัยครั้งนี้ GM ตั้งใจว่าจะพัฒนาแอพลงบนสมาร์ทโฟนสำหรับกลุ่มคนที่สัญจรบนท้องถนน และมีเป้าหมายเพื่อรวมระบบนี้เข้าไปกับระบบแจ้งเตือนในรถยนต์อีกด้วย

Read more

[BlackHat2012] นักวิจัยด้านความปลอดภัยสาธิตการใช้ NFC โจมตี Android และ MeeGo

By pe3z Writer on Tag: Security, NFC
Security

ในงาน Black Hat 2012 Charlie Miller ผู้ที่เคยฝากผลงานมากมายไว้ในการแข่งขัน Pwn2Own ได้ออกมาสาธิตการใช้งานเทคโนโลยี NFC ซึ่งช่วยให้ผู้โจมตีสามารถส่งไฟล์หรือช่องโหว่ที่เป็นอันตรายไปยังอุปกรณ์ของเหยื่อได้ง่ายขึ้น

การทดลองนั้นได้มีการสาธิตวิธีการส่งหน้าเว็บเพจที่มีช่องโหว่ของเบราว์เซอร์ควบคู่ไปในการโจมตี ซึ่งส่งผลให้ผู้โจมตีสามารถเข้าถึงคุกกี้รวมไปถึงสามารถส่งคำสั่งต่างๆ เพื่อควบคุมเครื่องเป้าหมายได้ โดยในส่วนของ MeeGo ใช้ช่องโหว่ของเอกสารในการโจมตีแทน

Read more

Trustwave เผยบั๊กบน Play Store ทำให้อัพเดตแอพพร้อมโค้ดอันตรายได้

By Blltz Writer on Tag: Security, Android, Google Play, Trustwave
Security

Trustwave บริษัทให้บริการด้านความปลอดภัยสำหรับธุรกิจออกมาเผยว่าพบข้อผิดพลาดของระบบความปลอดภัยบน Play Store ที่ทำให้สามารถอัพเดตแอพที่เคยผ่านการตรวจของ Google Bouncer พร้อมกับโค้ดที่เป็นอันตรายได้

การทดสอบของ Trustwave ทำโดยสร้างแอพตัวหนึ่งชื่อว่า SMS Blocker สำหรับบล็อคข้อความ ซึ่งก็ผ่านการตรวจสอบของ Bouncer มาได้อย่างไม่มีปัญหา หลังจากนั้นได้อัพเดตแอพอีกถึง 11 ครั้ง โดยแต่ละครั้งจะสั่งให้แอพเข้าถึงรูปภาพ รายการโทรศัพท์ หรือแม้กระทั่งให้เปิดเว็บอันตรายต่างๆ

Read more

แอปเปิลส่งคนไปพูดในงานสัมมนาด้านความปลอดภัย Black Hat

By arjin Writer on Tag: Apple, Security, iOS
Apple

มีรายงานว่าในงานสัมมนาด้านความปลอดภัยของซอฟต์แวร์ Black Hat ซึ่งจัดกันทุกปีในลาสเวกัส ในปีนี้มีคนจากแอปเปิลคือ Dallas De Atley ผู้จัดการฝ่ายความปลอดภัยขึ้นพูดบนเวทีในงานด้วย โดยเนื้อหาจะเน้นไปที่ความปลอดภัยของระบบปฏิบัติการ iOS

Read more

Qualys เตรียมเปิดเฟรมเวิร์ครายงานความปลอดภัยสำหรับแอนดรอยด์

By lew Founder on Tag: Security, Android, Mobile
Security

ที่งาน Black Hat ปีนี้บริษัท Qualys ประกาศเปิดตัว Android Security Evaluation Framework (ASEF) สำหรับดักจับการทำงานของแอพพลิเคชั่นทั้งการเข้าถึงระบบและการส่งข้อมูลออกสู่อินเทอร์เน็ต

ASEF จะช่วยให้ผู้ใช้รู้ได้ว่าแอพพลิเคชั่นในเครื่องของตัวเองทำอะไรอยู่บ้าง มันยังตรวจสอบ URL ที่แอพพลิเคชั่นเรียกใช้ว่าเป็นอันตรายหรือไม่ และตรวจสอบข้อมูลที่ส่งมาว่าตรงกับมัลแวร์ด้วยหรือไม่

Read more

ไมโครซอฟท์จดสิทธิบัตร การระบุตัวตนโดยการสแกนลายนิ้วมือหรือลายฝ่ามือบนหน้าจอสัมผัส

By nuntawat Writer on Tag: Security, Patent, Touchscreen, Microsoft
Security

ไมโครซอฟท์ได้จดสิทธิบัตร "User Identification with Biokinematic Input" ซึ่งกล่าวถึงการระบุตัวตนโดยใช้ข้อมูลอย่างลายนิ้วมือหรือลายฝ่ามือที่ได้รับจากหน้าจอสัมผัสของอุปกรณ์โดยตรง

Read more

แอปเปิลปิดรูรั่ว App Store แต่แฮ็กเกอร์รัสเซียก็เจาะได้อีก

By mk Founder on Tag: Apple, Security, App Store
Apple

ต่อจากกรณี App Store รั่ว แฮกเกอร์รัสเซียพบช่องโหว่กดซื้อแอพโดยไม่จ่ายเงิน ทางแอปเปิลก็ออกมาประกาศปิดรูรั่วนี้ด้วยวิธีการชั่วคราวแล้ว และให้ข้อมูลว่าใน iOS 6 จะแก้ปัญหานี้อย่างถาวร - ZDNet

Read more

ผู้เชี่ยวชาญความปลอดภัยชี้ Android 4.1 ปลอดภัยขึ้นเพราะสุ่มตำแหน่งหน่วยความจำ

By mk Founder on Tag: Security, Android, Jelly Bean
Security

กูเกิลไม่ได้พูดเรื่องนี้ชัดเจนมากนัก แต่ผู้เชี่ยวชาญด้านความปลอดภัย Jon Oberheide ให้ข้อมูลว่า Android 4.1 Jelly Bean ถูกเจาะได้ยากขึ้นมาก เพราะเพิ่มฟีเจอร์ด้านการสุ่มตำแหน่งของหน่วยความจำ (address space layout randomization หรือ ASLR) ซึ่งเป็นฟีเจอร์ที่มีในระบบปฏิบัติการที่พัฒนามานานพอสมควรแล้ว

ASLR จะจัดวางตำแหน่งขององค์ประกอบแต่ละชนิดของระบบปฏิบัติการ (เช่น heap, stack, library) แบบสุ่ม ทำให้ที่อยู่อ้างอิงในหน่วยความจำไม่คงตัว ดังนั้นต่อให้แฮ็กเกอร์เจาะระบบผ่านบั๊กด้านหน่วยความจำได้ ก็จะไม่รู้ว่าต้องฝังโค้ดเอาไว้ที่ตำแหน่งไหน

Read more

Chrome เพิ่มตัวเลือกป้องกันไม่ให้ลงส่วนเสริมนอก Web Store

By mk Founder on Tag: Google, Security, Chrome, Chrome Web Store
Google

ส่วนเสริมหรือ extension ของเบราว์เซอร์อาจเป็นที่มาของภัยคุกคามแบบใหม่ๆ ล่าสุดกูเกิลปรับนโยบายการติดตั้งส่วนเสริมของ Chrome ให้ปลอดภัยมากขึ้นแล้ว

เดิมทีเว็บไซต์ทุกแห่งสามารถขอติดตั้งส่วนเสริมลงบน Chrome ได้เลย (ขอแค่มีไฟล์ .crx) แต่นี่อาจเป็นช่องโหว่ให้เว็บไซต์ประสงค์ร้ายติดตั้งส่วนเสริมที่มีอันตรายเข้ามาได้ กูเกิลจึงเปลี่ยนค่าของ Chrome ให้รับเฉพาะส่วนเสริมจาก Chrome Web Store (ที่ผ่านการกรองจากกูเกิลแล้วเท่านั้น) เพื่อความปลอดภัยที่มากขึ้น

Read more

App Store รั่ว แฮกเกอร์รัสเซียพบช่องโหว่กดซื้อแอพโดยไม่จ่ายเงิน

By pe3z Writer on Tag: Apple, Security, App Store, In-app Purchase
Apple

แฮกเกอร์ชาวรัสเซีย Alexey Borodin (ZonD80) ได้เผยแพร่วิธีการของเขาซึ่งอ้างว่าเป็นเทคนิคที่จะช่วยให้ผู้ใช้งานสามารถกดซื้อแอพที่ต้องซื้อได้โดยไม่เสียเงิน และสามารถทำได้โดยไม่ต้องเจลเบรคอุปกรณ์ใดๆ เพียงแค่เปลี่ยนการตั้งค่าเล็กน้อยเท่านั้น โดยแอพดังกล่าวนั้นเป็น in-app คือเป็นของที่อยู่ในแอพอีกที (เช่นการซื้อของจากเกม)

สำหรับวิธีการคร่าวๆ คือการติดตั้งใบรับรองสองใบและการเปลี่ยนค่า DNS เพื่อให้เชื่อมต่อไปยังเซิร์ฟเวอร์ของแฮกเกอร์ซึ่งทำหน้าที่เป็นตัวกลางโดยตัวกลางนี้ก็จะส่งค่า (ที่ถูกแก้ไขแล้ว) กลับไปยัง App Store ตัวจริงเพื่อหลอกว่าได้สั่งซื้อเป็นที่เรียบร้อยแล้ว

Read more

THNIC ชี้้แจงเพิ่ม รหัสผ่านชุดเดิมเข้ารหัสแบบสองทาง ระบบใหม่แก้ไขแล้ว

By Zerothman Writer on Tag: Security, THNIC
Security

จากที่ข่าวเดิมผมได้ระบุไปว่ารหัสผ่านได้ถูกเข้ารหัสแบบทางเดียว (hash) ไว้ ปรากฎว่าเป็นความเข้าใจผิด เนื่องจากต้นฉบับอีเมลใช้คำว่า "เข้ารหัส" ไว้เฉยๆ แต่ผมอนุมานไปเองว่าเป็นแบบทางเดียว โดยอันที่จริงแล้วรหัสผ่านชุดเก่าถูกเข้ารหัสไว้แบบสองทาง อย่างไรก็ตามสำหรับระบบใหม่ที่ทาง THNIC ปรับปรุงได้เปลี่ยนระบบการจัดเก็บรหัสผ่านเป็นแบบทางเดียวเรียบร้อยแล้ว

ทั้งนี้ไม่มีรายงานว่ากุญแจ (key) ของรหัสผ่านชุดเดิมถูกนำออกไปด้วยหรือไม่อย่างไรครับ

ที่มา - อีเมลจาก THNIC

Read more

Yahoo! Voices โดนแฮก รหัสผ่านของ 450,000 บัญชีผู้ใช้ถูกเปิดเผย

By kobkrit Contributor on Tag: Yahoo!, Security, Hacking, Password
Yahoo!

Yahoo! Voices ซึ่งเป็นระบบจัดการงานเขียนออนไลน์ ที่ใช้ส่งงานเขียนไปยังบริการต่างๆ ของยาฮู อาทิเช่น Yahoo! News ได้ถูกแฮกเกอร์ผู้ไม่ประสงค์ออกนามเจาะระบบและเปิดเผยรหัสผ่านมากกว่า 450,000 บัญชีผู้ใช้บนเว็บไซต์แห่งหนึ่ง จุดประสงค์เพื่อเป็นการเตือนยาฮูให้ปิดช่องโหว่ที่เกิดขึ้น แถมยังทิ้งท้ายว่ายังมีช่องโหว่อีกจำนวนมากบนเว็บเซิร์ฟเวอร์ของยาฮู ที่สามารถสร้างความเสียหายได้รุนแรงกว่านี้

Read more

มาตรฐาน HSTS เข้าสู่ช่วงการให้ความเห็นสุดท้าย เตรียมโหวต

By lew Founder on Tag: Security, HTTPS, IETF
Security

มาตรฐาน HTTP Strict Transport Security (HSTS) เป็นส่วนเสริมของ HTTP/HTTPS ที่เปิดให้เว็บ "บังคับ" ให้เบราว์เซอร์เชื่อมต่อกับเว็บแบบเข้ารหัสเสมอ แม้ผู้ใช้จะไม่ระบุว่าต้องการใช้ HTTPS ก็ตามที กระบวนการนี้ทำให้ไม่มีการเชื่อมต่อแบบ HTTP ที่ดักฟังได้เลย ช่วยลดความเสี่ยงของผู้ใช้ลง

ที่ผ่านมามาตรฐานนี้ยังอยู่ในช่วงรับฟังความคิดเห็น แม้ว่ากูเกิลจะนำไปใช้งานในโครมอยู่นานแล้วก็ตาม โดยการโจมตีผ่านใบรับรองของ DigiNotar รอบล่าสุดเว็บจำนวนมากของกูเกิลก็รอดมาได้เพราะ HSTS

Read more

THNIC ชี้แจงเพิ่มเติม รหัสผ่านเดิมถูกเข้ารหัส และกำลังประสานงานกับ DSI

By Zerothman Writer on Tag: Security, THNIC
Security

จากกรณีที่ THNIC ออกมาประกาศว่าพบร่องรอยการเจาะระบบของ THNIC และประกาศให้ผู้ใช้ดำเนินการเปลี่ยนรหัสผ่าน ผมได้ทำการสอบถามเพิ่มเติมไปทาง THNIC และรับคำตอบมาดังต่อไปนี้ครับ

Read more
Subscribe to Security