Security

ระวัง! พบความพยายามเจาะรหัสผ่านแอดมิน WordPress และ Joomla ครั้งใหญ่

By mk

on 14 April 2013 - 08:04 Tag: Security, WordPress, CMS, Joomla!

Security

ผู้ให้บริการโฮสติ้งขนาดใหญ่ของโลกหลายราย ให้ข้อมูลว่าพบความพยายามเจาะระบบ CMS ที่เป็น WordPress และ Joomla! (ส่วนใหญ่เป็น WordPress) ครั้งใหญ่

รูปแบบการโจมตีครั้งนี้ไม่ซับซ้อน โดยเป็นการคาดเดารหัสผ่านแอดมินของ WordPress/Joomla! ด้วยรหัสผ่านที่พบบ่อย (dictionary attack) เช่น 123456, password, 1234, qwerty เพื่อหวังฟลุคจะเข้าบัญชีแอดมินของเว็บไซต์ต่างๆ ได้นั่นเอง

พฤติกรรมของการโจมตีใช้เวลาสั้นๆ ต่อหนึ่งเว็บไซต์แต่หว่านเป็นวงกว้างแทน ส่วนจำนวนเครื่อง botnet ที่ใช้เป็นฐานโจมตีมีราวๆ 100,000 เครื่อง

หน่วยงานการบินยืนยัน สมาร์ทโฟน Android ไม่สามารถแฮ็กระบบเครื่องบินโดยสารได้

By Pup

on 13 April 2013 - 22:23 Tag: Security, Safety, Hacking, Android, FAA

Security

ข่าวนี้ต่อเนื่องจากข่าวนักวิจัยชี้แค่ใช้สมาร์ทโฟน Android ก็แฮ็กระบบเครื่องบินโดยสารได้ โดยหลังจากที่ได้รับการตรวจสอบเรียบร้อยแล้ว FAA หรือทบวงการบินสหรัฐได้ออกมายืนยันแล้วว่าสมาร์ทโฟน Android ไม่สามารถนำมาใช้แฮ็กเครื่องบินโดยสารได้จริงอย่างที่นักวิจัยได้สาธิตไว้ โดย FAA ให้เหตุผลว่าการสาธิตของนักวิจัยนั้นทำกับระบบ ACARS ที่ติดตั้งอยู่บนพีซีที่ใช้สำหรับฝึกซ้อม และช่องโหว่ที่นักวิจัยใช้นั้นมีอยู่ในระบบ ACARS บนพีซีเท่านั้น ไม่สามารถนำเทคนิคดังกล่าวนี้มาใช้กับอุปก

BitCoin เริ่มตกเป็นเป้าอาชญากร ผู้ใช้ Mt.Gox ถูกขโมยเงินจากการคลิกลิงก์

By lew

on 12 April 2013 - 00:56 Tag: Security, Bitcoin, MtGox

Security

ผู้ใช้ของ Mt.Gox ที่ชื่อว่า bitbully รายงานว่ามีเว็บระบุตัวเองว่าเป็นบริการแชตเพื่อเชื่อมต่อกับ Mt.Gox เขาจึงลองเข้าเว็บดูแต่ปรากฎว่าหน้าเว็บมีเพียง applet ที่โหลดไม่ขึ้น แต่หลังจากนั้นมีรายงานจาก Mt.Gox ว่าเขาสั่งโอนเงินจำนวน 34 BTC ออกจากบัญชี ในเวลาเดียวกับที่เขาเข้าเว็บนั้น จึงรู้ว่าถูกขโมยเงินไปเสียแล้ว

แม้จะเสียเงินไปแล้ว แต่ bitbully ยังเข้าเว็บเดิมเพื่อไปดาวน์โหลด applet ในเว็บกลับออกมา แล้วนำไปให้เพื่อนจาวาโปรแกรมเมอร์ตรวจ พบว่ามี applet ที่อาศัยบั๊กความปลอดภัยของจาวาเพื่อทำ Cross Site Injection แล้วสั่งโอนเงินโดยไม่ต้องให้ผู้ใช้เข้าไปยุ่งเกี่ยวอะไรด้วย

นักวิจัยชี้แค่ใช้สมาร์ทโฟน Android ก็แฮ็กระบบเครื่องบินโดยสารได้

By ตะโร่งโต้ง

on 11 April 2013 - 23:34 Tag: Security, Hacking, Android

Security

ในงานสัมมนาว่าด้วยเรื่องความปลอดภัยที่ชื่อ Hack in the Box ซึ่งจัดขึ้นใน Amsterdam เมื่อไม่นานมานี้ มีการเปิดเผยความจริงที่น่าสนใจเรื่องหนึ่งว่าการแฮ็กระบบควบคุมเครื่องบินโดยสารด้วยสมาร์ทโฟน Android เพียงหนึ่งเครื่องนั้นสามารถทำได้จริงโดยนักวิจัยด้านความปลอดภัย

ข้อมูลหลุด ระบบล็อกอินสองชั้นของไมโครซอฟท์

By nuntawat

on 10 April 2013 - 07:53 Tag: Security, Leak, Microsoft

Security

เว็บไซต์ LiveSide ได้รับข้อมูลระบบล็อกอินสองชั้น (two-step authentication) เพื่อเข้าสู่บริการจากไมโครซอฟท์มา โดยหลักการทำงานระบบดังกล่าวนั้น หลังจากผู้ใช้ตั้งค่าใช้ล็อกอินสองชั้นแล้วเมื่อล็อกอินจากอุปกรณ์ใดที่ไม่ได้ถูกระบุว่าเป็นอุปกรณ์ที่เชื่อถือได้ (trusted PC) จะต้องกรอกรหัสที่ถูก~~สุ่ม~~แฮชอิงตามเวลามา จากแอพ Authenticator บนมือถือ

Script Injection/SQL Injection ความปลอดภัยพื้นฐานสำหรับเว็บ

By lew

on 8 April 2013 - 23:08 Tag: Security, Development, In-Depth

Security

แม้ปัญหาความปลอดภัยจะเริ่มต้นในยุคแรกๆ ในโลกด้วยปัญหา buffer overflow แต่เมื่อโลกเข้าสู่ยุคของเว็บ และโดยเฉพาะเมื่อเว็บเริ่มไม่ใช่ไฟล์ html เปล่าๆ แต่เป็นเว็บที่สามารถปรับตามผู้ใช้งานได้ เริ่มจากยุคของ CGI ที่เป็นโปรแกรมภาษาต่างๆ เรื่อยมาถึงเว็บเซิร์ฟเวอร์แบบอื่นไม่ว่าจะเป็น J2EE หรือระบบ fastcgi ปัญหาความปลอดภัยของเว็บก็กลายเป็นปัญหาใหญ่ที่โลกเจอกันเรื่อยมาจนทุกวันนี้

WordPress.com เริ่มใช้ระบบล็อกอินสองชั้น

By mk

on 7 April 2013 - 09:47 Tag: Security, Blogging, WordPress

Security

WordPress.com เป็นบริการออนไลน์รายล่าสุดที่เริ่มใช้ระบบล็อกอินสองชั้น (two-factor authentication)

WordPress.com เรียกบริการนี้ว่า Two Step Authentication โดยเบื้องต้นเป็นบริการเสริมที่ต้องเปิดใช้เองในหน้า Settings > Security ส่วนกระบวนการล็อกอินสองชั้นก็เหมือนกับรายอื่นๆ คือใช้รหัสผ่านควบคู่ไปกับ One-time Password (OTP)

iMessage เจอปัญหา DDoS ด้วยข้อความ

By mk

on 31 March 2013 - 22:09 Tag: Apple, Security, iOS, DDoS, iMessage

Apple

มีรายงานว่าผู้ใช้ iMessage บนระบบ iOS โดนถล่มด้วยข้อความจนแอพใช้งานไม่ได้ ต้นเหตุของปัญหาน่าจะเกิดจากการส่งข้อความด้วยแอพ Messages บน OS X (ที่ส่งข้ามกับ iMessage ได้) เป็นจำนวนมากด้วย AppleScript

กลุ่มผู้ใช้ที่โดนถล่มเป็นนักพัฒนาแอพบน iOS ที่ถูกกลุ่มป่วนทราบ iMessage ID และส่งข้อความมาให้ชุดใหญ่ ตัวอย่างข้อความได้แก่ "We are Anomymous, We are legion, We do not forget, We do not forget, Expect us." ซึ่งยังไม่แน่ชัดว่ามาจากกลุ่มแฮ็กเกอร์ Anonymous จริงหรือไม่

เว็บไซต์กระทรวงศึกษาธิการถูกแฮก แก้หน้าเว็บไซต์ ..อีกครั้ง

By pe3z

on 29 March 2013 - 02:07 Tag: Security, Thailand

Security

ผมได้รับข่าวสารจากทางทวิตเตอร์ว่าในช่วงเที่ยงคืนของวันที่ 29 มีนาคม ได้มีแฮกเกอร์ทำการเจาะระบบของเว็บไซต์กระทรวงศึกษาธิการ และได้ทำการแก้บริเวณหน้าเว็บไซต์โดยขึ้นข้อความว่า "พวกเราเด็กรุ่นใหม่ กรุณาสอนในเรื่องที่ต้องใช้ในอนาคต ไม่ใช่สอนเอาไปแค่สอบแข่งขัน BY MRHOP3R" ซึ่งในตอนนี้ก็เป็นที่คาดเดากันไปต่างๆ นานาว่าแฮกเกอร์คนนี้ใช้วิธีหรือช่องโหว่ใดในการเจาะระบบ

ระวังโทรจันใหม่บนแมค แอบฝังโฆษณาลงเว็บไซต์แอปเปิล

By mk

on 22 March 2013 - 21:57 Tag: Apple, Security, Mac OS X, Trojan, Doctor Web

Apple

บริษัทความปลอดภัย Doctor Web ของรัสเซียออกมาเตือนภัยโทรจันชื่อ Trojan.Yontoo.1 ซึ่งจะหลอกผู้ใช้ Mac OS X ให้ติดตั้งโทรจันตัวนี้ลงไปในฐานะปลั๊กอินของเบราว์เซอร์สำหรับดูเทรลเลอร์ภาพยนตร์หรือปรับปรุงคุณภาพวิดีโอ (ใช้ชื่อหลอกๆ ว่า Free Twit Tube)

ถ้าผู้ใช้งานหลงเชื่อและติดตั้งมันลงไปในเครื่อง เบราว์เซอร์ในเครื่องไม่ว่าจะเป็น Safari, Firefox, Chrome จะได้รับผลกระทบทั้งหมด โทรจันตัวนี้จะได้ข้อมูลการท่องเว็บของเราไป และแอบฝังโฆษณาลงในเว็บไซต์โดยที่เราไม่รู้ตัว ซึ่งเว็บไซต์ apple.com ของแอปเปิลเองก็โดนฝังโฆษณาด้วย

แอปเปิลเริ่มใช้ระบบล็อกอินสองชั้นกับ iCloud และ Apple ID แล้ว

By mk

on 22 March 2013 - 10:15 Tag: Apple, Security, iCloud

Apple

แอปเปิลตามหลังผู้ให้บริการออนไลน์ชื่อดังๆ ที่นำร่องระบบล็อกอินสองชั้น (two-step authentication) กับบริการ iCloud และ Apple ID ของตัวเองแล้ว

ในเบื้องต้นระบบล็อกอินสองชั้นของแอปเปิลยังเป็นแค่ทางเลือกให้ผู้ใช้ ไม่ได้บังคับใช้งาน ส่วนวิธีการก็คล้ายๆ ระบบล็อกอินของธนาคารออนไลน์ในปัจจุบัน นั่นคือล็อกอินด้วยรหัสผ่านปกติหนึ่งชั้น จากนั้นแอปเปิลจะส่งโค้ด 4 ตัวมาทาง SMS หรือ Find My iPhone มายังอุปกรณ์ iOS ที่เรายืนยันได้ว่าเป็นของเรา (trusted device) ให้ยืนยันตัวตนอีกครั้งหนึ่ง

Google Public DNS รองรับ DNSSEC เต็มรูปแบบแล้ว

By mk

on 20 March 2013 - 09:24 Tag: Google, Security, DNS, DNSSEC

Google

ผู้อ่าน Blognone คงรู้จักหรือเคยใช้บริการ Google Public DNS (8.8.8.8 และ 8.8.4.4) กันมาบ้าง

ล่าสุดกูเกิลประกาศว่าบริการ Public DNS ของตัวเองรองรับการตรวจสอบและยืนยันตัวตนของเซิร์ฟเวอร์ DNS หรือที่รู้จักกันในชื่อ DNSSEC validation แล้ว

แอปเปิลออกอัพเดต iOS 6.1.3 ให้ iPhone แก้ปัญหาความปลอดภัยและปรับปรุงแผนที่ญี่ปุ่น

By iPongHD on 20 March 2013 - 02:34 Tag: Apple, Security, iOS 6, iPhone

Apple

หลังผ่านมาได้สองสัปดาห์จากมีคนพบช่องโหว่บน iOS 6.1 ทำให้เข้าถึงข้อมูลได้แม้ iPhone ตั้งรหัสล็อค ทางแอปเปิลได้ปล่อยอัพเดตของ iPhone เพื่ออุดช่องโหว่ดังกล่าว และในอัพเดตเวอร์ชั่นนี้ได้มีการปรับปรุงเพิ่มความถูกต้องของแผนที่ประเทศญี่ปุ่นมากขึ้น

ในไทยก็เห็นแจ้งเตือนการอัพเดตแล้วครับ สามารถอัพเดตกันได้เลย

ที่มา - Apple Support

ผู้ผลิต BackTrack เปิดตัวระบบปฏิบัติการ Kali Linux สำหรับการทดสอบเจาะระบบ

By pe3z

on 16 March 2013 - 04:08 Tag: Kali, Security, Operating System, Linux

Kali

สำหรับผู้ที่มีอาชีพในการทดสอบเจาะระบบเพื่อตรวจสอบความปลอดภัย รวมไปถึงผู้ที่สนใจย่อมคุ้นเคยกับชื่อ BackTrack ดีอยู่แล้ว มันเป็นระบบปฏิบัติการลินุกซ์ซึ่งได้รับความนิยมอย่างแพร่หลายในการใช้งานด้านความปลอดภัย สำหรับตอนนี้ทาง Offensive Security ทีมผู้พัฒนา BackTrack ได้เปิดตัวระบบปฏิบัติการขึ้นใหม่ภายใต้ชื่อ Kali Linux โดยมุ่งไปยังกลุ่มเป้าหมายระดับในธุรกิจ

Symantec พบหลักฐานใหม่ มัลแวร์ Stuxnet อาจเก่ากว่าที่คิด

By pe3z

on 16 March 2013 - 03:44 Tag: Security, Symantec, Malware

Security

Symantec ได้ค้นพบหลักฐานใหม่ที่เชื่อมโยงกับข้อมูลของมัลแวร์ Stuxnet ว่าข้อมูลล่าสุดเบื้องต้นนั้น Stuxnet เวอร์ชัน 1.001 ถูกสร้างขึ้นในปี 2009 แต่หลักฐานใหม่พบว่า Stuxnet เคยมีเวอร์ชัน 0.5 ในช่วงปี 2007-2009 ดังนั้นการพัฒนามัลแวร์ตัวนี้น่าจะมาก่อนปี 2007 เสียอีก

เว็บไซต์ NIST ฐานข้อมูลด้านช่องโหว่ความปลอดภัยถูกแฮก

By pe3z

on 16 March 2013 - 03:42 Tag: Security, USA

Security

เว็บไซต์ NIST National Vulnerability Database (NVD) ถูกแฮกโดยแฮกเกอร์นิรนามในช่วงสัปดาห์ที่แล้ว อ้างอิงจาก +Kim Halavakoski CSO ของ Crosskey Banking Solutions และ BlackCat Security ว่าเขาได้ทำการเมลสอบถามไปยังผู้ดูแลระบบของ NIST ถึงข้อความการปิดปรับปรุงชั่วคราวของทางเว็บไซต์ว่าเกิดจากสาเหตุใด ซึ่งภายในเมลตอบกลับจาก Gail Porter ซึ่งเป็นโฆษกของทาง NIST ว่าไฟร์วอลได้ทำการตรวจพบการเชื่อมต่อที่น่าสงสัย แล้วจึงทำการบล็อคการเข้าถึงจากภายนอกทำให้เว็บไซต์ไม่สามารถเข้าถึงได้

เผยช่องโหว่อันตรายร้ายแรงบน iOS แฮกเกอร์สามารถควบคุมและขโมยข้อมูลจากอุปกรณ์ได้

By pe3z

on 16 March 2013 - 03:41 Tag: Security, iOS

Security

ทีมนักวิจัยจากอิสราเอล Skycure ได้เปิดเผยช่องโหว่ที่อนุญาตให้แฮกเกอร์สามารถควบคุมและขโมยข้อมูลจากอุปกรณ์ที่ใช้ iOS ได้ โดยช่องโหว่นี้อยู่ในไฟล์ mobileconf ซึ่งถูกใช้โดยผู้ให้บริการของโทรศัพท์มือถือในการเข้าจัดการระบบในสิทธิ์ของผู้ดูแล รวมไปถึงข้อมูลการใช้งานเครือข่ายไร้สายต่างๆ ซึ่งมักถูกนำไปใช้ในการออกแพตซ์และอัพเดตของทางแอปเปิลและผู้ให้บริการเอง

ช่องโหว่ในเราท์เตอร์ TP-Link แฮกเกอร์สามารถเข้าถึง root ได้จากภายนอก

By lew

on 16 March 2013 - 02:50 Tag: Security, Wireless Router, TP-Link

Security

พบช่องโหว่แบบ backdoor ในเราท์เตอร์ TP-Link TL-WDR4300 และ TL-WR743ND มีช่องโหวทำให้สร้าง URL ที่สั่งให้เราท์เตอร์ดาวน์โหลดไฟล์ทาง TFTP ขึ้นมาเพื่อรันในสิทธิ root

บั๊กนี้มีผลให้แฮกเกอร์แม้อยู่ภายนอกก็สามารถโจมตีเราท์เตอร์ได้หากเปิดพอร์ต HTTP บนขา WAN เอาไว้ และแม้จะปิดพอร์ตบนขา WAN ก็ยังมีความเสี่ยงบ้างที่แฮกเกอร์จะอาศัยช่องโหว่ CSRF เพื่อเปิดช่องโหว่นี้ขึ้นมาได้ (แต่จะอัพโหลด TFTP ต้องใช้ช่องโหว่อื่น)

ปัญหานี้ถูกแจกไปยังทาง TP-Link เมื่อวันที่ 12 กุมภาพันธ์ที่ผ่านมา จนกระทั่งเมื่อครบ 30 วันหลังการแจ้งแล้วไม่มีการตอบกลับ ทีมงานจึงเปิดเผยปัญหาสู่สาธารณะ

พนักงานรอยเตอร์ถูกตั้งข้อหาช่วยเหลือกลุ่ม Anonymous

By lew

on 15 March 2013 - 17:13 Tag: Security, Crime, Anonymous

Security

Matthew Keys ผู้ช่วยบรรณาธิการโซเชียลมีเดียของสำนักข่าวรอยเตอร์สถูกตั้งข้อหาช่วยเหลือแฮ็กเกอร์ในกลุ่ม Anonymous เพื่อเข้าไปยัง CMS ของ Tribune Company ที่เป็นเจ้าของหลายสื่อ รวมถึง Los Angeles Times เพื่อโพสข่าวปลอมบนหน้าเว็บ

บั๊กในระบบ USB ของวินโดวส์ทำให้แฮกเกอร์รันโค้ดในเคอร์เนลได้ด้วยการเสียบอุปกรณ์ USB

By lew

on 15 March 2013 - 02:12 Tag: Windows, Security, USB, Microsoft

Windows

แพตซ์ MS13-027 เพิ่งออกมาเมื่อสองวันก่อน ทางไมโครซอฟท์ก็ออกมาอธิบายว่าบั๊กเป็นบั๊กในการอ่าน USB descriptors ที่อุปกรณ์ USB ทุกตัวจะส่งให้กับเครื่องแม่ (USB Host) เพื่อประกาศตัวเองว่าเป็นอุปกรณ์ชนิดใด