Security

AIG เปิดบริการประกันภัยไซเบอร์ ครอบคลุมการคุกคามออนไลน์-เรียกค่าไถ่-กู้ข้อมูล

By lew

on 4 April 2017 - 17:41 Tag: AIG, Security, Insurance

AIG

บริษัทประกันภัย AIG หันมาเปิดบริการประกันภัยไซเบอร์ ครอบคลุมตั้งแต่การคุกคามออนไลน์ (online bully) การขู่เรียกเงินค่าไถ่ ไปจนถึงภัยไซเบอร์แบบอื่นๆ

บริการ Family CyberEdge เปิดให้กับลูกค้าระดับสูง (Private Client Group) เท่านั้น โดยบริการลูกค้ากลุ่มนี้มักมีบริการเฉพาะ เช่น การประกันไวน์หรืองานศิลปะมูลค่าสูงๆ

นอกจากการประกันความเสียหายแล้ว บริการนี้ยังเข้าตรวจสอบอุปกรณ์อิเล็กทรอนิกส์ในบ้าน, มอนิเตอร์ความปลอดภัย, และรวมค่าบริการในการกู้คืนข้อมูล

กูเกิลปล่อยแพตช์ความปลอดภัย Pixel/Nexus รอบเมษายน 2017

By tekkasit

on 4 April 2017 - 05:16 Tag: Nougat, Android, Security, Google Nexus, Google Pixel

Nougat

พบกันเป็นประจำทุกต้นเดือนครับ กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนเมษายน 2017 รอบนี้แพตช์มี 2 ชุด ได้แก่ชุด 1 เม.ย. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน และชุด 5 เม.ย. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 เม.ย. มาด้วย)

สำหรับแพตช์ 1 เม.ย. แก้ช่องโหว่ด้านความปลอดภัย 23 จุด (CVE) เป็นระดับร้ายแรง (critical) 6 จุด ส่วนแพตช์ 5 เม.ย. แก้เพิ่มอีก 79 จุด ส่วนมากแก้ปัญหาช่องโหว่บนไดรเวอร์ของผู้ผลิตฮาร์ดแวร์อย่าง Qualcomm, Broadcom, MediaTek, Synaptics และ NVIDIA

ผลิตภัณฑ์ในกลุ่ม Pixel/Nexus ที่ได้รับแพตช์ จะมีดังนี้ครับ

นักวิจัยสาธิตการแฮกทีวีต่ออินเทอร์เน็ตผ่านสัญญาณทีวี ทีวี 85% มีความเสี่ยง

By lew

on 3 April 2017 - 19:23 Tag: Security, Smart TV

Security

Rafael Scheel นักวิจัยจาก Oneconsult AG รายงานถึงความเสี่ยงของสมาร์ตทีวีที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ ว่าอาจจะถูกแฮกผ่านข้อมูลสัญญาณทีวีโดยตรง ทำให้ผู้ใช้สมาร์ตทีวีที่ไม่ได้เปิดเว็บเองก็ถูกแฮกได้ โดยมีสมาร์ตทีวีที่เข้าข่ายมีความเสี่ยงถึง 85%

Scheel อาศัยโปรโตคอล HbbTV ที่เปิดทางให้ทีวีสามารถหลอมรวมกับคอนเทนต์แบบอื่นๆ เช่น เว็บ ทำให้สามารถส่งข้อมูลทางคลื่น DVB-T สำหรับดิจิตอลทีวีเพื่อกระตุ้นให้ทีวีไปเปิดเว็บที่มุ่งร้ายโดยผู้ใช้ไม่รู้ตัวได้

เมื่อเปิดเว็บที่มุ่งร้ายแล้ว แฮกเกอร์จะเข้าถึงสิทธิ์ root ของตัวทีวี สามารถใช้ทีวีเป็น botnet หรือดักจับข้อมูลพฤติกรรมของผู้ใช้ได้

พบสาเหตุที่ Chrome 57 ไม่โชว์ Green Bar สำหรับเว็บไซต์หลายแห่งที่ใช้ใบรับรองแบบ EV

By jedi

on 29 March 2017 - 17:55 Tag: Chrome, Digital Certificate, Google, Symantec, Security

Chrome

กรณีปัญหาระหว่างกูเกิลกับไซแมนเทคเกี่ยวกับการออกใบรับรองดิจิตอลที่ไม่เป็นไปตามมาตรฐานมาเป็นเวลานาน (ทั้งที่ออกโดยไซแมนเทคเองและที่ออกโดย (อดีต) ตัวแทนของไซแมนเทค) ซึ่งทำให้กูเกิลได้เตรียมมาตรการเพื่อปกป้องผู้ใช้งานเว็บเบราว์เซอร์ Chrome เอาไว้แล้วนั้น ได้พบว่าการยกเลิกการโชว์สถานะ EV หรือที่เรียกกันว่าแถบ Green Bar ซึ่งเป็นหนึ่งในมาตรการที่กูเกิลได้เตรีย

แอปเปิลอัพเดตเอกสารอธิบายความปลอดภัย iOS: อธิบาย ApplePay, TouchID, HomeKit เพิ่มเติม

By lew

on 29 March 2017 - 13:39 Tag: Apple, Security

Apple

แอปเปิลอัพเดตเอกสาร iOS Security อธิบายกระบวนการรักษาความมั่นคงปลอดภัยของตัว iOS เองและอุปกรณ์ที่มาเชื่อมต่อรอบข้าง สำหรับผู้ใช้ที่ต้องการรู้ว่าแอปเปิลมีมาตรการรักษาความปลอดภัยข้อมูลและความปลอดภัยผู้ใช้อย่างไรบ้าง

ข้อมูลเพิ่มเติมกูเกิลและ CA ไซแมนเทค: กูเกิลนับรวมใบรับรองทั้งหมดที่ออกโดยพันธมิตรที่ถูกถอนสิทธิ์ไปแล้ว

By lew

on 27 March 2017 - 20:21 Tag: Symantec, Google, Chrome, Security, Digital Certificate

Symantec

หลังจากกูเกิลประกาศเตรียมลดระดับความเชื่อถือของหน่วยงานออกใบรับรองจากไซแมนเทคทั้งหมด ให้สามารถออกใบรับรองได้ไม่เกินเพียง 9 เดือนและไม่สามารถออกใบรับรองระดับ EV ได้อีกต่อไป คำถามหนึ่งคือใบรับรองที่ออกผิดพลาดทั้งหมดเป็นเท่าใด เพราะกูเกิลอ้างว่ามีใบรับรองผิดพลาดถึง 30,000 ใบ แต่ไซแมนเทคยืนยันว่ามีเพียง 127 ใบเท่านั้น

แจ้งเตือนการรั่วไหลข้อมูลจากบริการ Office 365 ผ่านฟังก์ชันค้นหาของ Docs.com

By pe3z

on 27 March 2017 - 16:33 Tag: Security, Privacy, Office 365

Security

นักวิจัยด้านความปลอดภัย Kevin Beaumont ได้ค้นพบว่าที่หน้าเว็บไซต์ Docs.com ซึ่งเป็นเว็บไซต์ที่ใช้แสดงตัวอย่างของฟีเจอร์และการใช้งานบริการ Office 365 มีฟังก์ชันค้นหาที่เมื่อทำการค้นหาด้วยคีย์เวิร์ดเฉพาะบางอย่างแล้ว จะทำให้เขาสามารถเข้าถึงไฟล์เอกสารของผู้ใช้งานอื่นได้

สรุปความปลอดภัย Android ปี 2016 - อัตราการติดมัลแวร์ลดลง, การอัพเดตแพตช์ยังแย่ แต่ดีขึ้นเรื่อยๆ

By mk

on 25 March 2017 - 19:14 Tag: Android, Google, Malware, Security

Android

กูเกิลออกรายงาน Android Security 2016 Year in Review สรุปสถานการณ์ความปลอดภัยของ Android ตลอดทั้งปี 2016 ว่าเกิดอะไรขึ้นบ้าง

ในภาพรวม มาตรการต่างๆ ที่กูเกิลนำมาช่วยกรองไม่ให้ผู้ใช้ติดมัลแวร์ได้ผลดี อัตราการติดมัลแวร์ลดจำนวนลงจากในปี 2015 แต่อัตราการอัพเดตแพตช์ความปลอดภัยของผู้ผลิตฮาร์ดแวร์ต่างๆ ยังไม่ดีนัก กูเกิลก็พยายามเลี่ยงข้อมูลนี้โดยไม่เผยข้อมูลอุปกรณ์ที่ได้แพตช์ "ล่าสุด" (บอกอ้อมๆ ว่า "เคยได้แพตช์อย่างน้อยหนึ่งครั้งในปี 2016") แต่ในภาพรวมก็ถือว่าดีขึ้นจากปี 2015

[Ask Blognone] ธนาคารไทยยังแสดงแถบเขียว EV กันอยู่หรือไม่

By lew

on 25 March 2017 - 16:46 Tag: Thailand, Banking, Security, Ask Blognone

Thailand

ประเด็นความขัดแย้งระหว่างกูเกิลและไซแมนเทค ที่กูเกิลระบุว่าไซแมนเทคออกใบรับรองผิดพลาดจำนวนมาก ตอนนี้ยังไม่แน่ชัดว่ากูเกิลจะตัดสินใจแบนไซแมนเทคจากการออกใบรับรองแบบ Extended Validation (EV) เมื่อใด

ใบรับรอง EV ช่วยยืนยันตัวหน่วยงานว่าเป็นองค์กรที่มีตัวตนอยู่จริง ดำเนินการในประเทศที่ระบุจริง เบราว์เซอร์จะช่วยแสดงผล green bar ด้วยการแสดงชื่อองค์กรพร้อมกับประเทศที่องค์กรเหล่านั้นตั้งอยู่ ทำให้กระบวนการหลอกผู้ใช้ (phishing) ลดความเสี่ยงลง

กลุ่มแฮ็กเกอร์อ้างได้รหัสผ่าน iCloud 250 ล้านบัญชี, รหัสผ่านบางส่วนเป็นของจริง

By mk

on 25 March 2017 - 16:38 Tag: iCloud, Security, Apple

iCloud

สัปดาห์ที่ผ่านมา มีแฮ็กเกอร์กลุ่มหนึ่งชื่อ Turkish Crime Family ที่อาศัยอยู่ในลอนดอน อ้างว่าได้บัญชี iCloud จำนวน 250 ล้านบัญชี และเรียกค่าไถ่จากแอปเปิลเพื่อแลกกับการไม่เปิดเผยข้อมูลก้อนนี้ ฝั่งของแอปเปิลตอบโต้ว่าตัวเองไม่ได้โดนแฮ็ก และข้อมูลก้อนนี้มาจากบริษัทอื่นที่โดนแฮ็กแทน

ฝั่งแฮ็กเกอร์ยืนยันว่าข้อมูลก้อนนี้ไม่ได้มาจากการแฮ็กระบบของแอปเปิล แต่ข้อมูลนี้เป็นของจริง และจะเปิดเผยถ้าแอปเปิลไม่ยอมจ่ายเงินภายในวันที่ 7 เมษายนนี้ ทางเว็บไซต์ ZDNet จึงติดต่อไปยังแฮ็กเกอร์เพื่อขอตัวอย่างข้อมูลมา 54 บัญชี

CERT ปล่อยมาตรฐานการเขียนโค้ด C++ อย่างปลอดภัยให้อ่านฟรี

By lew

on 25 March 2017 - 02:11 Tag: CERT, C++, Security, Programming

CERT

CERT หน่วยงานแจ้งเตือนช่องโหว่ความปลอดภัยซอฟต์แวร์ภายใต้สถาบันวิศวกรรมซอฟต์แวร์ (Software Engineering Institute - SEI) ประกาศปล่อยมาตรฐานการเขียนโค้ดให้ปลอดภัยสำหรับภาษา C++ ที่รวมกฎ 83 รายการสำหรับการเขียนโค้ดให้ปลอดภัย หลังจากก่อนหน้านี้ทาง CERT เคยปล่อยคู่มือสำหรับ ภาษา C, ภาษาจาวา, ภาษา Perl, และการเขียนแอปบนแอนดรอยด์

กฎบางข้อจะตรงกันหลายภาษาเช่นเช็คอินพุตว่าปิดท้ายสตริงด้วย null เสมอ แต่บางข้อก็จะค่อนข้างเฉพาะเช่นการใช้ lambda ในภาษา C++14

ทุกกฎมีตัวอย่างโค้ดที่มักเขียนผิดให้ แม้จะค่อนข้างยาวแต่ก็อ่านไม่ยากนัก ผู้สนใจน่าลองไล่จากต้นจนจบกัน

ไซแมนเทคโต้กูเกิล "เขียนอย่างไร้ความรับผิดชอบ" ยืนยันออกใบรับรองผิดพลาดเพียงเล็กน้อย

By lew

on 25 March 2017 - 01:40 Tag: Symantec, Google, Digital Certificate, Security

Symantec

หลังจากเมื่อวานนี้กูเกิลออกมาระบุว่าไซแมนเทคและหน่วยงานออกใบรับรองในเครือ ได้ออกใบรับรองผิดพลาดรวมกว่า 30,000 ใบ ตอนนี้ทางฝั่งไซแมนเทคก็ออกมาโต้ตอบว่าการเขียนข้อความของกูเกิลเป็นการระบุปัญหาใหญ่เกินจริง และใบรับรองที่ออกผิดพลาดมีทั้งหมด 127 ใบ ไม่ใช่ 30,000 ใบ

กูเกิลพบใบรับรอง Symantec/GeoTrust/Thawe ออกผิดกว่า 30,000 ใบ, บีบอายุใบรับรองเหลือ 9 เดือน, ไม่แสดง EV

By lew

on 24 March 2017 - 00:32 Tag: Digital Certificate, Chrome, Symantec, Security

Digital Certificate

เมื่อเดือนมกราคมที่ผ่านมามีรายงานใบรับรองจาก Symantec ที่ออกโดยไม่ได้รับอนุญาตรวม 108 ใบ ล่าสุดกูเกิลออกมารายงานว่าการสอบสวนขยายผลไปจนพบว่ามีใบรับรองที่ออกโดยไม่ได้รับอนุญาตอย่างน้อย 30,000 ใบ และตอนนี้กูเกิลเตรียมประกาศบทลงโทษด้วยการบีบอายุใบรับรองจาก Symantec ซึ่งรวมถึง GeoTrust และ Thawe ทั้งหมดเหลือไม่เกิน 9 เดือน (279 วัน)

Project Zero รายงานช่องโหว่ LastPass เปิดทางรันโค้ดในเครื่อง

By lew

on 24 March 2017 - 00:01 Tag: LastPass, Security, Project Zero

LastPass

Tavis Ormandy จาก Project Zero รายงานช่องโหว่ของปลั๊กอิน LastPass ที่ใช้เติมรหัสผ่านให้กับเว็บเบราว์เซอร์ ที่เปิดทางให้เว็บ lastpass.com เชื่อมต่อข้อมูลกับตัวปลั๊กอินได้ แต่กระบวนการมีช่องโหว่ทำให้เว็บใดๆ สามารถเข้าถึงตัวปลั๊กอินได้ทั้งหมด หากติดตั้ง LastPass Binary Component ไว้ด้วยก็จะเสียหายถึงขั้นแฮกเกอร์เรียกโปรแกรมใดๆ ในสิทธิ์ของผู้ใช้ได้

ระบบไอทีรุ่นเก่าที่เขียนด้วย Cobol/Fortran เป็นจุดเสี่ยงที่จะโดนแฮ็กสูงสุด

By mk

on 21 March 2017 - 17:43 Tag: Enterprise, Security, COBOL, Fortran

Enterprise

นักวิจัยจาก Temple University และ University of Texas at Austin ศึกษาปัญหาการแฮ็กระบบไอทีของหน่วยงานรัฐบาลสหรัฐ และพบว่าระบบไอทีเก่าๆ (legacy IT systems) ที่เขียนด้วยภาษา Cobol หรือ Fortran เป็นจุดที่มีความเสี่ยงต่อการถูกแฮ็กมากที่สุด

ทีมนักวิจัยพบว่าหน่วยงานที่ยังรักษาระบบเก่าแก่เหล่านี้ไว้ มักถูกแฮ็กอยู่บ่อยๆ เพราะใช้สถาปัตยกรรมความปลอดภัยแบบเก่า (เช่น ไม่เข้ารหัสข้อมูล) ซึ่งขัดแย้งกับความเชื่อ (ผิดๆ) ว่าระบบเก่าแก่เหล่านี้ปลอดภัย เนื่องจากแฮ็กเกอร์ยุคปัจจุบันไม่รู้จักภาษา Cobol/Fortran

ระวังการเชื่อมต่อ telnet, ซิสโก้แจ้งเตือนช่องโหว่จาก Vault 7 แฮกเกอร์รันโค้ดจากระยะไกลได้ ยังไม่มีแพตช์

By lew

on 20 March 2017 - 20:00 Tag: Cisco, CIA, Wikileaks, Security

Cisco

Wikileaks เปิดเผยช่องโหว่ Vault 7 จาก CIA ออกมาชุดใหญ่ ล่าสุดทางซิสโก้ได้ไปไล่ตรวจสอบช่องโหว่ที่เปิดเผยออกมาและแจ้งเตือนลูกค้าว่าโค้ดส่วน Cisco Cluster Management Protocol (CMP) มีช่องโหว่เปิดทางให้แฮกเกอร์นำโค้ดมารันบนตัวเราท์เตอร์ได้

CMP ใช้การเชื่อมต่อแบบ telnet เพื่อส่งสัญญาณภายในคลัสเตอร์ แต่บั๊กทำให้แฮกเกอร์สามารถส่งข้อมูลที่สร้างขึ้นมาเฉพาะเพื่อรันโค้ดบนเราท์เตอร์ได้

ตอนนี้ยังไม่มีแพตช์สำหรับช่องโหว่นี้ แต่ผู้ดูแลเราท์เตอร์สามารถปิดการเชื่อมต่อ telnet ทั้งหมด หรือจำกัดการเข้าถึงพอร์ต telnet เพื่อลดความเสี่ยงลงไปได้

CA Browser Forum ได้ข้อยุติ จำกัดอายุใบรับรองเหลือ 825 วัน

By lew

on 19 March 2017 - 16:09 Tag: CA Browser Forum, Digital Certificate, Browser, Security

CA Browser Forum

CA Browser Forum ผ่านมติการปรับอายุใบรับรองจากเดิมออกได้สูงสุด 39 เดือน มาเหลือ 825 วัน (27 เดือน) เป็นข้อตกลงร่วมกันที่ฝั่งเบราว์เซอร์และหน่วยงานออกใบรับรองเห็นชอบแทบทั้งหมด มีหน่วยงานงดออกเสียงเพียงผู้ออกใบรับรอง 3 หน่วย และฝั่งผู้ผลิตเบราว์เซอร์มีเพียงมอซิลล่าผู้ผลิตไฟร์ฟอกซ์เท่านั้น

Pwn2Own 2017 ทีมวิจัยจากจีนครองที่ 1 ถึง 5 สองอันดับแรกเจาะทะลุ VMware Workstation มาเครื่องแม่ได้ทั้งสองทีม

By lew

on 19 March 2017 - 01:54 Tag: Pwn2Own, Security

Pwn2Own

การแข่งขัน Pwn2Own 2017 ปีนี้เพิ่งจบลงไปเมื่อวาน ทีม 360vulcan จาก Qihoo360 และ Team Sniper จาก Tencent ครองอันดับ 1 และ 2 ด้วยคะแนนรวม 63 คะแนน และ 60 คะแนนตามลำดับ

การแข่งขันในวันที่สาม 360vulcan เจาะทะลุ Microsoft Edge จากช่องโหว่ heap overflow และช่องโหว่ type confusion ลงไปยังเคอร์เนล จากนั้นเจาะทะลุ VMware Workstation ออกไปยังเครื่องแม่ด้วยช่องโหว่ uninitialized buffer โดยการเจาะจากเริ่มจนสำเร็จใช้เวลาเพียง 90 วินาที การเจาะครั้งนี้ได้รางวัลไป 105,000 ดอลลาร์

กระทรวงยุติธรรมสหรัฐ เผยชื่อคนแฮ็ก Yahoo ปี 2014 เป็นเจ้าหน้าที่ข่าวกรองรัสเซีย

By mk

on 16 March 2017 - 11:58 Tag: Yahoo!, Crime, Security, DoJ, Russia, Hacking

Yahoo!

ถ้ายังจำกันได้ Yahoo เคยถูกแฮ็กครั้งใหญ่ 2 ครั้งคือ ข้อมูลหลุด 500 ล้านบัญชีในปี 2014 (พบการแฮ็กครั้งนี้ก่อน) และ อีก 1,000 ล้านบัญชีในปี 2013

เมื่อคืนนี้ กระทรวงยุติธรรมของสหรัฐ เปิดเผยรายชื่อผู้กระทำผิดในเหตุการณ์แฮ็กปี 2014 (กรณีแรก) จำนวน 4 ราย ในจำนวนนี้ประกอบด้วยเจ้าหน้าที่ของหน่วยข่าวกรองรัสเซีย (Federal Security Service หรือ FSB) 2 ราย, ชาวรัสเซีย 1 ราย และชาวแคนาดาเชื้อสายคาซัคสถานอีก 1 ราย โดยสองรายหลังได้รับการว่าจ้างจากเจ้าหน้าที่ข่าวกรอง 2 รายแรก ให้แฮ็กระบบของ Yahoo

ไมโครซอฟท์ออก Patch Tuesday รอบ มี.ค. 2017 รวบยอดแพตช์จากเดือน ก.พ. ด้วย

By mk

on 15 March 2017 - 09:19 Tag: Windows 10, Security, Microsoft

Windows 10

หลังจากไมโครซอฟท์เลิกออก Patch Tuesday รอบเดือน ก.พ. 2017 เมื่อวานนี้ (14 มี.ค.) ก็วนมาครบรอบ Patch Tuesday ประจำเดือน มี.ค. 2017 คราวนี้ไมโครซอฟท์ทำตามสัญญา ออกแพตช์รวมก้อนใหญ่ที่อุดช่องโหว่ของทั้งสองเดือนมาแล้ว

ผู้ใช้ Windows 10 Anniversary Update จะได้อัพเดตเป็นเลข Build 14393.953 (KB4013429, KB4013418 และอัพเดต Flash Player) ที่อุดช่องโหว่ระดับร้ายแรง (critical) จำนวน 8 ช่องโหว่ และช่องโหว่อื่นๆ อีกจำนวนมาก รวมถึงช่องโหว่ที่เปิดเผยโดย Project Zero ของกูเกิลด้วย

ใครที่อัพเดตกันแล้วก็อย่าลืม restart กันนะครับ

Subscribe to Security