Security

Amazon CodeGuru เพิ่มฟีเจอร์ Secrets Detector สแกนรหัสผ่านและคีย์ที่เผลอฝังไว้ในโค้ด

By mk

on 3 December 2021 - 10:12 Tag: AWS, Amazon, Development, Security

AWS

Amazon CodeGuru Reviewer บริการบน AWS ที่ใช้รีวิวคุณภาพของโค้ดที่เขียน เพิ่มฟีเจอร์ Secrets Detector ช่วยตรวจหาว่าโปรแกรมเมอร์เผลอฝังรหัสผ่านหรือคีย์ API/SSH ลงไปในโค้ดหรือไม่

ฟีเจอร์นี้เชื่อมต่อกับ AWS Secrets Manager ซึ่งเป็นบริการจัดการรหัสผ่านและคีย์ของ AWS ที่สามารถช่วยหมุนสลับคีย์ (rotate) ให้เปลี่ยนไปเรื่อยๆ ได้

Amazon บอกว่าฟีเจอร์สแกนคีย์ รู้จักประเภทคีย์ยอดนิยม เช่น Atlassian, GitHub, Mailchimp, Salesforce, SendGrid, Shopify, Slack, Stripe, Tableau, Telegram, Twilio รวมถึงอ่านค่าไฟล์คอนฟิกหลากหลายประเภท เช่น .json, .yml, .yaml, .conf, .ini เป็นต้น

BadgerDAO ถูกแฮก คนฝากเงินโดดดูดออกจาก DeFi เกือบ 4,000 ล้านบาท

By lew

on 3 December 2021 - 09:57 Tag: Cryptocurrency, Security

Cryptocurrency

BadgerDAO บริการ DeFi สำหรับฟาร์มเงิน รายงานว่าเงินผู้ใช้ถูกถอนโดยไม่ได้รับอนุญาต และตอนนี้ยังไม่แน่ชัดว่าคนร้ายถอนเงินออกไปได้อย่างไร หรือมูลค่าเงินที่ถูกขโมยเงินออกไปเป็นมูลค่าเท่าใด แต่บริษัทวิเคราะห์บล็อคเชน PeckShield ออกมารายงานว่ามูลค่ารวมน่าจะอยู่ที่ 2,100 BTC กับอีก 151 ETH รวมมูลค่าประมาณ 120 ล้านดอลลาร์หรือประมาณ 4,000 ล้านบาท

ตอนนี้ทาง BadgerDAO ยังไม่ระบุว่าช่องโหว่ที่คนร้ายโจมตีนั้นใช่ช่องทางใด แต่ทีมงานก็บอกกับผู้ใช้ว่ากำลังสงสัยว่าคนร้ายแฮกมาทางหน้าเว็บ ไม่ใช่ตัว smart contract โดยตรง และตอนนี้กำลังทำงานร่วมกับ Chainslysis เพื่อสอบสวนเหตุการณ์

Synology Surveillance ครบจบทุกความต้องการเรื่องระบบเฝ้าระวังธุรกิจ

By sponsored on 30 November 2021 - 09:46 Tag: Synology, Security, Advertorial

Synology

เทรนด์ปัจจุบันจะเห็นได้ว่า องค์กรต่าง ๆ เริ่มปรับใช้ระบบเฝ้าระวัง (Surveillance) ที่มีความซับซ้อน เพื่อเสริมกำลังให้กับโครงสร้างพื้นฐานด้านไอทีของตน แต่การเลือกระบบที่เหมาะสมและเข้ากันได้กับความต้องการนั้นกลับเป็นเรื่องที่ท้าทายสำหรับธุรกิจ มีหลายปัจจัยที่ต้องนำมาพิจารณา ไม่ว่าจะเป็นข้อจำกัดด้านความเข้ากันได้ของตัวอุปกรณ์ พื้นที่จัดเก็บฟุตเทจ ความสามารถในการจัดการระบบจากที่เดียว ในกรณีที่มีห้างร้านหลายสาขา เป็นต้น

Markets and Markets ผู้วิเคราะห์ตลาดของระบบรักษาความปลอดภัยเชิงพาณิชย์ คาดการณ์ว่าขนาดของตลาดจะสูงถึง 342.6 พันล้านในปี 2026 ซึ่งเติบโตขึ้นถึง 50% อย่างมีนัยสำคัญจากปี 2021 โดยสาเหตุส่วนใหญ่นั้นมาจากอาชญากรรมที่เพิ่มมากขึ้น และความพยายามตามให้ทันกฎหมายกำกับดูแลข้อมูลและความปลอดภัยที่หลาย ๆ ประเทศเริ่มให้ความสำคัญและเสนอเป็นกฎหมายคุ้มครองข้อมูล

อันดับ Password ยอดนิยมปี 2021 - 123456 ยังครองแชมป์อีกสมัย ส่วนในไทย 12345 นิยมมากที่สุด

By arjin

on 27 November 2021 - 09:43 Tag: Password, Security, Ranking

Password

NordPass บริษัทพัฒนาแอปช่วยเก็บรหัสผ่าน ออกรายงานประจำปีรหัสผ่านที่มีคนใช้กันมากที่สุด Top 200 Most Common Passwords ของปี 2021 โดย 123456 ยังคงเป็นรหัสผ่านยอดนิยมสูงสุดอีกปี เช่นเดียวกับ 2020, 2019, 2018 (และน่าจะก่อนหน้านั้นด้วย)

ที่มาข้อมูลรหัสผ่านยอดนิยมนั้น NordPass บอกว่าได้ร่วมมือกับทีมงานอิสระ รวมรวมข้อมูลรหัสผ่านที่หลุดออกมาเพื่อใช้ในการจัดอันดับ

นักกิจกรรมไทยโดนด้วย ได้แจ้งเตือนจาก Apple ว่าถูกมัลแวร์สนับสนุนโดยรัฐโจมตี

By mheevariety

on 24 November 2021 - 11:57 Tag: Apple, NSO Group, Privacy, Security, Thailand

Apple

หลัง Apple ฟ้อง NSO Group บริษัทอิสราเอลผู้สร้างมัลแวร์ Pegasus และการเจาะช่องโหว่ด้วย FORCEDENTRY พร้อมระบุในแถลงการณ์ ว่า Apple กำลังส่งแจ้งเตือนผู้ใช้ที่บริษัทพบว่าอาจตกเป็นเป้าหมายของ FORCEDENTRY และเมื่อตรวจพบการดำเนินการที่เข้าข่ายว่าเป็นการโจมตีโดยสปายแวร์ที่ได้รับการสนับสนุนจากรัฐ Apple จะแจ้งให้ผู้ใช้ที่ได้รับผลกระทบทราบ

GitHub ออกตัวช่วย Security Enforcer บังคับ Repository ใหม่ให้ปลอดภัยสูงตั้งแต่สร้าง

By mk

on 24 November 2021 - 09:20 Tag: GitHub, Security

GitHub

GitHub ออกฟีเจอร์ใหม่ชื่อ Advanced Security Enforcer เป็นสคริปต์เวิร์คโฟลว์ภายใต้ GitHub Actions ที่ช่วยบังคับให้โค้ด repository มีความปลอดภัยสูงขึ้นตั้งแต่แรกเริ่มโครงการ ตามมาตรฐานความปลอดภัยที่ GitHub เตรียมไว้ให้แล้ว

แอปเปิลฟ้อง NSO Group ฐานเจาะผู้ใช้ iOS ขอศาลสั่งห้ามใช้สินค้าใดๆ ของแอปเปิลอีก

By lew

on 24 November 2021 - 02:08 Tag: Apple, NSO Group, Privacy, Security

Apple

แอปเปิลยื่นฟ้องบริษัท NSO Group ผู้สร้างมัลแวร์ Pegasus ที่สามารถเข้าควบคุมเครื่องเหยื่อได้อย่างสมบูรณ์โดยที่เหยื่อไม่รู้ตัว และสามารถแฮกได้ทั้ง Android และ iOS โดยแอปเปิลนับเป็นบริษัทล่าสุดที่ยื่นฟ้อง หลังจาก WhatsApp ของเฟซบุ๊กฟ้องเป็นบริษัทแรกๆ เมื่อปี 2019 และตามมาด้วยบริษัทไอทีใหญ่ๆ เช่น ไมโครซอฟท์, ซิสโก้, กูเกิล, และเดลล์ เมื่อปลายปี 2020

Homebrew จะกลับมา? นักพัฒนาอ้างว่าดึงกุญแจซีพียู Nintendo Switch สำเร็จ

By lew

on 23 November 2021 - 19:00 Tag: Nintendo Switch, Security

Nintendo Switch

ผู้ใช้ GitHub ชื่อบัญชี plutooo ประกาศความสำเร็จในการดึงกุญแจ TSEC ออกจากซีพียู Tegra ใน Nintendo Switch ซึ่งหากเป็นกุญแจจริงก็น่าจะเปิดทางให้เครื่องรุ่นใหม่ๆ ติดตั้ง Homebrew กันได้อีกครั้ง

plutooo เล่าถึงช่องโหว่ของ Switch ว่าตัวเฟิร์มแวร์ bootloader นั้นมีช่องโหว่จนเปิดทางให้แฮกเกอร์รันโค้ดได้ตามใจชอบ แต่ Nintendo ก็ออกอัพเดต 6.2.0 ในปี 2018 เปลี่ยนเส้นทางการบูต ไปบูตในซีพียู TSEC ที่เป็นซีพียูย่อยอยู่ใน Tegra อีกที โดยซีพียูตัวนี้จะตรวจสอบโค้ดก่อนรัน และสั่งบูตซีพียูหลักอีกครั้งด้วย bootloader ที่ตรวจสอบแล้ว

Kraken สาธิตการปลอมลายนิ้วมือราคาถูก ใช้แค่เครื่องพิมพ์เลเซอร์และกาวลาเท็กซ์

By lew

on 23 November 2021 - 10:00 Tag: Security, Fingerprint

Security

Kraken ศูนย์แลกเปลี่ยนเงินคริปโต สาธิตถึงกระบวนการปลอมลายนิ้วมือเพื่อล็อกอินโทรศัพท์และโน้ตบุ๊กในราคาประหยัด ต้นทุนโดยรวมเพียง 5 ดอลลาร์หรือ 160 บาทเท่านั้น

การสาธิตเริ่มจากเก็บภาพลายนิ้วมือด้วยกล้องโทรศัพท์มือถือธรรมดา โดยไม่ต้องเก็บภาพจากนิ้วมือโดยตรงแต่เก็บจากจุดที่ลายนิ้วมือไปติด เช่น พื้นโต๊ะ จากนั้นอาศัยการแต่งภาพเพื่อปรับภาพให้ชัดขึ้นแล้วพิมพ์ลงบนแผ่นใสด้วยเครื่องพิมพ์เลเซอร์ สุดท้ายคือการทากาวลาเท็กซ์ลงไปบนแผ่นใส รอให้แห้งก็จะได้ลายนิ้วมือปลอมออกมา

GoDaddy ถูกเจาะระบบโฮสติ้ง WordPress กระทบลูกค้า 1.2 ล้านคน รหัสผ่าน-คีย์หลุด

By mk

on 23 November 2021 - 09:13 Tag: GoDaddy, Data Breach, Security, Hacking, WordPress

GoDaddy

GoDaddy เว็บโฮสติ้งรายใหญ่ของโลก แจ้งข้อมูลต่อ ก.ล.ต. สหรัฐ (SEC) ว่าบริษัทโดนเจาะระบบให้บริการโฮสติ้ง WordPress เป็นระยะเวลาประมาณ 2 เดือน กระทบลูกค้าอย่างน้อย 1.2 ล้านราย

รายงานของ GoDaddy บอกว่าเหตุการณ์เจาะระบบเกิดขึ้นเมื่อ 6 กันยายน แต่บริษัทเพิ่งมาพบร่องรอยเมื่อ 17 พฤศจิกายนที่ผ่านมา ระบบที่ได้รับผลกระทบคือส่วน Managed WordPress ที่เป็นบริการรับฝากเว็บที่ใช้ WordPress โดยทีมงานของ GoDaddy ดูแลระบบหลังบ้านให้เสร็จสรรพ (ลักษณะเดียวกับ WordPress.com)

สหรัฐฯ สั่งธนาคารต้องรายงานเหตุถูกแฮกภายใน 36 ชั่วโมง

By lew

on 22 November 2021 - 19:50 Tag: Banking, USA, Security

Banking

Federal Deposit Insurance Corporation (FDIC) หน่วยงานกำกับดูแลธนาคารสหรัฐฯ ออกกฎบังคับให้ธนาคารต้องแจ้งเหตุความมั่นคงปลอดภัยคอมพิวเตอร์ไปยังหน่วยงานกำกับดูแลภายใน 36 ชั่วโมง

กฎนี้ไม่ได้บังคับให้แจ้งทุกครั้ง แต่บังคับเฉพาะเหตุที่มีความรุนแรงอย่างมีนัยสำคัญ โดยเฉพาะเหตุที่กระทบต่อการให้บริการ หรือเสถียรภาพของระบบการเงิน นอกจากนี้ผู้ให้บริการแทนธนาคาร (bank service provider) ก็จะถูกบังคับให้ต้องแจ้งเหตุความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ไปยังธนาคารเช่นกัน

อย่าพิมพ์ผิด พบแพ็กเกจฝังมัลแวร์ตั้งชื่อคล้ายแพ็กเกจจริงใน PyPI ถูกดาวน์โหลดกว่า 41,000 ครั้ง

By lew

on 22 November 2021 - 11:01 Tag: Python, Security

Python

JFrog บริษัทความปลอดภัยรายงานถึงแพ็กเกจมุ่งร้าย 11 รายการที่อัพโหลดอยู่ใน PyPI โดยตั้งชื่อให้คล้ายกับแพ็กเกจยอดนิยม เพื่อล่อให้โปรแกรมเมอร์ที่พิมพ์ผิดดาวน์โหลดไปใช้งาน

รายชื่อแพ็กเกจที่พบได้แก่ importantpackage, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10, yandex-yt, และ yiffparty แต่ละแพ็กเกจมีการดาวน์โหลดหลักร้อยถึงระดับหมื่นครั้ง รวมกว่า 41,000 ครั้ง

พบนักพัฒนา 4,500 คนอัพโหลด cookie ในเบราว์เซอร์ตัวเองเข้า GitHub

By lew

on 21 November 2021 - 16:49 Tag: Security, GitHub

Security

Aidan Marlin นักวิจัยด้านความปลอดภัยรายงานว่านักพัฒนาจำนวนเกือบ 4,500 คนอัพโหลดไฟล์ cookie จากเบราว์เซอร์ที่ตัวเองใช้งานอยู่เข้าไปยัง GitHub ส่งผลให้คนร้ายสามารถสวมรอยแทนนักพัฒนาเหล่านี้ไปยังทุกบริการที่ล็อกอินทิ้งไว้ได้

ไฟล์ฐานข้อมูล cookie ในไฟร์ฟอกซ์คือ cookies.sqlite ปกติแล้วจะอยู่ในโฟลเดอร์ของไฟร์ฟอกซ์เอง ไม่แน่ชัดว่าทำไมนักพัฒนาจำนวนหนึ่งจึงอัพโหลดไฟล์เหล่านี้ขึ้น GitHub

GitHub บังคับบัญชีแพ็กเกจ npm ยอดนิยม ล็อกอิน 2FA ป้องกันการแฮ็กแล้วปล่อยมัลแวร์

By mk

on 18 November 2021 - 09:12 Tag: NPM, GitHub, Security, Authentication

NPM

ความนิยมของแพ็กเกจ npm ในโลก JavaScript กลายเป็นช่องโหว่ด้านความปลอดภัยหลายครั้ง เพราะแฮ็กเกอร์สามารถยึดบัญชีนักพัฒนาแพ็กเกจ npm ชื่อดัง แล้วอัพเดตแพ็กเกจที่ฝังมัลแวร์เพื่อแพร่กระจายในวงกว้างอย่างรวดเร็ว (กรณีของ ua-parser-js และ coa)

GitHub ซึ่งปัจจุบันเป็นเจ้าของบริษัท npm Inc. จึงออกมาประกาศมาตรการความปลอดภัยของ npm เพื่อป้องกันปัญหาเหล่านี้ ได้แก่

นักวิจัยระบุช่องโหว่ Rowhammer ยังเปลี่ยนค่าในแรมได้แทบทุกยี่ห้อ แม้ผู้ผลิตพยายามปิดช่องโหว่แล้ว

By lew

on 17 November 2021 - 02:12 Tag: Memory, Security

Memory

การโจมตีแรมแบบ Rowhammer เป็นช่องโหว่ที่ทีม Project Zero ของกูเกิลสาธิตมาตั้งแต่ปี 2015 โดยอาศัยการเปลี่ยนค่าในหน่วยความจำซ้ำๆ จนกระทั่งหน่วยความจำแถว "ข้างๆ" นั้นเปลี่ยนค่าไปด้วย และหลังมีรายงานออกมาผู้ผลิตแรมก็พยายามเพิ่มกระบวนการป้องกันการเปลี่ยนข้อมูลเช่นนี้ ล่าสุดทีมวิจัย COMSEC จากมหาวิทยาลัย ETH Zürich ก็ประสบความสำเร็จในการโจมตีแบบ Blacksmith ที่พัฒนาเทคนิคต่อจาก Rowhammer จนเปลี่ยนค่าในแรมได้แทบทุกยี่ห้อในตลาด

รัฐบาลสหรัฐฯ ปรับการจ้างบุคลากรด้านความมั่นคงไซเบอร์ กระบวนการกระชับ เงินเดือนแข่งขันได้

By lew

on 16 November 2021 - 12:48 Tag: USA, Security

USA

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ ประกาศปรับกับกระบวนการจ้างบุคลากรด้านความมั่นคงไซเบอร์ใหม่ทั้งชุด โดยปรับ 3 ด้านจากการจ้างงานราชการอื่นๆ ได้แก่

Cloudflare รายงานการโจมตี DDoS เกือบ 2 เทราบิตต่อวินาที อาศัยเซิร์ฟเวอร์ GitLab ที่ถูกแฮกร่วมด้วย

By lew

on 15 November 2021 - 22:49 Tag: Cloudflare, DDoS, Security

Cloudflare

Cloudflare รายงานถึงการโจมตีแบบ DDoS ครั้งใหญ่ที่สุดที่เคยพบเมื่อสัปดาห์ที่ผ่านมา ปริมาณข้อมูลสูงสุดเกือบ 2 เทราบิตต่อวินาที โดยอาศัย botnet จำนวน 15,000 เครื่องที่ส่วนใหญ่เป็นอุปกรณ์ IoT ที่ถูกแฮก รอบนี้พบว่ามีเซิร์ฟเวอร์ GitLab ที่ไม่ได้แพตช์ถูกใช้งานร่วมด้วย

การโจมตีกินเวลาเพียงนาทีเดียวเท่านั้น แต่ก็เป็นสัญญาณว่าแฮกเกอร์สามารถโจมตีรุนแรงขึ้นเรื่อยๆ อย่างต่อเนื่อง เมื่อเดือนตุลาคมที่ผ่านมา Azure ก็เคยรายงานการโจมตีขนาด 2.4 เทราบิตต่อวินาทีมาแล้ว

Costco ถูกวางยาติดตั้งเครื่องขโมยข้อมูลบัตรเครดิต แจ้งเตือนลูกค้าแล้ว

By lew

on 13 November 2021 - 23:16 Tag: Security, Credit Card, Skimmer

Security

Costco ร้านค้าส่งยอดนิยมในสหรัฐฯ แจ้งเตือนลูกค้าว่ามีข้อมูลรั่วไหล หลังจากตรวจพบว่าเครื่องรับบัตรเครดิตถูกติดตั้งเครื่องขโมยข้อมูลบัตรเครดิต/เดบิต (skimmer) ทำให้คนร้ายอาจจะได้ข้อมูลบัตรของลูกค้าทุกคนที่เคยรูดจ่ายเงินผ่านเครื่องรับบัตรนั้น

ดูเหมือนว่าทาง Costco ยังไม่สามารถยืนยันได้ว่าคนร้ายเคยดึงข้อมูลบัตรออกไปจากเครื่องหรือยัง ประกาศแจ้งเตือนจึงเพียงคาดการณ์ผลกระทบว่าหากคนร้ายดึงข้อมูลออกไปแล้ว จะได้ข้อมูล หมายเลขบัตร, ชื่อ-นามสกุล, วันหมดอายุ, และหมายเลข CVV ในแถบแม่เหล็ก

ไมโครซอฟท์แจ้งเตือนแฮกเกอร์ซ่อนมัลแวร์ด้วยเทคนิค HTML smuggling หลบไฟร์วอลล์ป้องกันเว็บและอีเมล

By lew

on 13 November 2021 - 00:57 Tag: Microsoft, Security

Microsoft

ทีมวิจัยความปลอดภัยของไมโครซอฟท์รายงานถึงการโจมตีแบบเจาะจงเป้าหมายจากกลุ่มแฮกเกอร์หลายกลุ่มว่าเริ่มใช้เทคนิค HTML smuggling เพื่อเจาะเข้าเครื่องของเหยื่อมากขึ้นเรื่อยๆ โดยอาศัยการหลอกล่อผู้ใช้ให้คลิกหรือเปิดไฟล์หลายครั้งเพื่อหลบหลีกการตรวจสอบของไฟร์วอลล์แบบต่างๆ ที่อาจจะตรวจสอบอีเมลและเนื้อหาในเว็บ

กระบวนการ HTML smuggling อาศัยการส่งอีเมลหาเหยื่อเหมือน phishing ทั่วๆ ไป แต่แทนที่จะหลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์โดยตรงก็อาศัยผู้ใช้ให้ดาวน์โหลดไฟล์จาวาสคริปต์ที่อยู่ในไฟล์ zip มารันในเครื่องตัวเอง แล้วค่อยใช้จาวาสคริปต์นั้นดาวน์โหลดมัลแวร์มายังเครื่องผู้ใช้อีกต่อหนึ่ง

Facebook เข้าร่วม GitHub Secret Scanning ช่วยตรวจหา Access Token ที่ฝังในซอร์สโค้ด

By mk

on 12 November 2021 - 09:28 Tag: GitHub, Facebook, Security, Meta

GitHub

ปัญหาการฝังรหัสผ่านหรือคีย์ไว้ในซอร์สโค้ด ถือเป็นช่องโหว่ความปลอดภัยที่มักพลาดกันบ่อยๆ ทำให้บริการฝากซอร์สโค้ดอย่าง GitHub มีฟีเจอร์ชื่อ Secret Scanning คอยไล่ตรวจว่าในโค้ดมีการฝังคีย์ลักษณะนี้หรือไม่ (บังคับเฉพาะโค้ดแบบ public ส่วนโค้ดแบบ private เป็นฟีเจอร์แบบเสียเงิน และต้องเลือกเปิดเอง)

Subscribe to Security