KasperskyOS ระบบปฏิบัติการสุดปลอดภัยสำหรับอุปกรณ์เครือข่ายและ IoT

By mk Founder on Tag: Kaspersky, Internet of Things, Operating System, Security
Kaspersky

บริษัทแอนตี้ไวรัส Kaspersky เปิดตัวระบบปฏิบัติการของตัวเองในชื่อ KasperskyOS

KasperskyOS เป็นระบบปฏิบัติการที่ออกแบบมาสำหรับอุปกรณ์ฝังตัว, อุปกรณ์ IoT และอุปกรณ์เครือข่าย (เช่น เราเตอร์) มันเป็นระบบปฏิบัติการที่เขียนขึ้นมาใหม่ทั้งตัว และมุ่งเป้าเรื่อง "ความปลอดภัย" เป็นอันดับแรก

Read more

Project Zero ออกมาเปิดเผยช่องโหว่ในไลบรารี gdi32.dll ของ Windows

By cc-sky Contributor on Tag: Project Zero, Windows, Security
Project Zero

ทาง Project Zero ของกูเกิลเปิดเผยช่องโหว่ในไลบรารี gdi32.dll ของระบบปฏิบัติการ Windows โดยช่องโหว่ดังกล่าวพบในระบบปฏิบัติการหลายรุ่นตั้งแต่ Windows Vista Service Pack 2 จนถึง Windows 10

ตามรายงานบอกว่า ช่องโหว่เปิดช่องให้แฮคเกอร์ขโมยข้อมูลจากหน่วยความจำได้ และมีผลถึงทุกแอพที่ใช้ไลบรารีดังกล่าว อย่างไรก็ตาม การโจมตีช่องโหว่นี้ต้องเข้าถึงไลบรารีโดยตรงเท่านั้น (Physical Access)

Read more

ไมโครซอฟท์เลิกออก Patch Tuesday รอบเดือน ก.พ. 2017 ข้ามไปรอบ มี.ค. เลย

By mk Founder on Tag: Security, Microsoft
Security

ต่อจากข่าว บั๊กทำพิษ ไมโครซอฟท์เลื่อนอัพเดต Patch Tuesday รอบเดือนกุมภาพันธ์ 2017 ไมโครซอฟท์อัพเดตประกาศเดิมสั้นๆ ว่ายกเลิกการออกแพตช์รอบเดือนกุมภาพันธ์ 2017 ไปทั้งหมด และจะนำแพตช์รอบนี้ไปรวมกับแพตช์รอบเดือนมีนาคม 2017 ทีเดียวเลย (ออก 14 มีนาคม)

ประกาศนี้สร้างความตื่นตะลึงให้กับโลกความปลอดภัยไม่น้อย เพราะไมโครซอฟท์ไม่เคยพลาดรอบการออกแพตช์ Patch Tuesday เลย (เคยมีบางเดือนที่ไม่ออก แต่ก็ประกาศล่วงหน้าว่าจะไม่ออก) และผู้เชี่ยวชาญหลายรายก็กังวลว่าระบบของไมโครซอฟท์มีความเสี่ยงจากช่องโหว่บางตัวที่รู้ข้อมูลแล้วแต่ยังไม่มีแพตช์

Read more

กูเกิลเสนอจำกัดอายุใบรับรองดิจิตอลเหลือ 398 วัน แม้โหวตไม่ผ่านก็จะบังคับใน Chrome

By lew Founder on Tag: Google, Security, Chrome, Browser, Digital Certificate
Google

กูเกิลส่งข้อเสนอเข้าไปยัง CA/Browser Forum ในการโหวตครั้งที่ 185 เสนอให้แก้ข้อกำหนดในเอกสาร Baseline Requirement (BR) เพิ่มเติม โดยกำหนดให้ใบรับรองทั้งหมดที่ออกหลังวันที่ 24 สิงหาคมนี้ ต้องมีอายุใช้งานไม่เกิน 398 วัน จากเดิมกำหนดอายุให้ 39 เดือน แต่หลังจากการโหวตมีทีท่าว่าจะไม่ผ่าน กูเกิลก็แสดงท่าทีว่าอาจจะบีบหน่วยงานออกใบรับรองด้วยการบังคับกฏนี้ใน Chrome เสียเอง

Read more

Wickr แอปแชตเน้นความปลอดภัย เปิดโค้ดให้เข้าตรวจสอบได้

By lew Founder on Tag: Wickr, Security, Chat
Wickr

แอปแชตจำนวนมากเน้นโฆษณาถึงความปลอดภัยระดับสูงแต่การอ้างเช่นนี้หากเป็นซอฟต์แวร์ที่ปิดโค้ดก็ตรวจสอบได้ยากว่าได้ทำตามที่อ้างไว้จริงหรือไม่ ตอนนี้แอปแชตสำหรับองค์กรอย่าง Wickr ก็ทำตามแนวทางความปลอดภัยที่ดี คือเปิดโค้ดให้คนภายนอกเข้าตรวจสอบได้อย่างอิสระ

โค้ดของ Wickr อยู่ใน GitHub แต่ไม่ใช่โครงการโอเพนซอร์สที่เปิดให้คนทั่วไปพัฒนาต่อได้ โค้ดส่วนโปรโตคอล wickr-crypto-c เปิดออกมาเพื่อให้นักวิจัยภายนอกตรวจว่ามีความผิดพลาดหรือไม่เท่านั้น โดยเปิดมาพร้อมกับเอกสารอธิบายโปรโตคอลของ Wickr เอง

Read more

HP เปิดตัว Sure Click แยก VM ทุกเว็บในเบราว์เซอร์

By lew Founder on Tag: HP, Security, Browser, Chromium
HP

HP ร่วมกับ Bromium เปิดตัว HP Sure Click ระบบแบ่งโซนความปลอดภัยระหว่างเว็บต่างๆ ในเบราว์เซอร์ที่ระดับฮาร์ดแวร์ ทำให้โค้ดในเว็บต่างๆ ไม่สามารถเข้าไปยุ่งกับข้อมูลในเว็บอื่นๆ หรือในระบบปฏิบัติการได้

Sure Click จะทำงานได้กับ Internet Explorer และ Chromium (น่าสนใจว่าไม่ใช่ Chrome ปกติ) และจะทำงานได้บนเครื่อง HP EliteBook x360 1030 G2 ตัวเดียวก่อนในช่วงแรก

ซอฟต์แวร์จะเปิดให้ดาวน์โหลดในช่วงฤดูใบไม้ผลินี้

ที่มา - Market Wired

Read more

บั๊กทำพิษ ไมโครซอฟท์เลื่อนอัพเดต Patch Tuesday รอบเดือนกุมภาพันธ์ 2017

By mk Founder on Tag: Security, Microsoft
Security

ปกติแล้วไมโครซอฟท์มีรอบการออกแพตช์ความปลอดภัยประจำเดือน หรือที่เรียกกันว่า Patch Tuesday ทุกวันอังคารที่สองของเดือนในเวลา 10.00 น. (ตรงกับวันพุธในเวลาบ้านเรา)

Patch Tuesday ในเดือนกุมภาพันธ์ 2017 ตรงกับวันวาเลนไทน์พอดี แต่ Patch Tuesday รอบนี้มีเหตุให้ต้องเลื่อนออกไปอย่างไม่มีกำหนด ด้วยเหตุผลว่าค้นพบบั๊กในนาทีสุดท้าย และไม่สามารถแก้ปัญหาได้ทันเวลา จึงขอเลื่อนออกไปก่อน

เดือนนี้ยังเป็นเดือนแรกที่ไมโครซอฟท์ปรับระบบรายงานช่องโหว่ จากเดิมที่แสดงรายการช่องโหว่ทั้งหมดเป็นไฟล์ (security bulletin) ที่ใช้มาตั้งแต่ปี 1998 เปลี่ยนมาเป็นระบบฐานข้อมูลช่องโหว่ที่สามารถค้นหาได้ง่ายขึ้น

Read more

libssh2 ได้รับแจ้งช่องโหว่ความปลอดภัย แต่ผู้ดูแลไม่ว่างแก้บั๊ก

By lew Founder on Tag: Open Source, Security
Open Source

Daniel Stenberg จากโครงการ libssh2 ไลบรารีสำหรับการเชื่อมต่อผ่านโปรโตคอล SSH สำหรับการใช้งานผ่านซอฟต์แวร์อื่นๆ เช่น SFTP บน curl ได้รับแจ้งช่องโหว่ความปลอดภัยจากนักวิจัยภายนอก แต่นักพัฒนากลับไม่มีเวลาจัดการช่องโหว่นี้

ตอนนี้ผู้ดูแลโครงการคือ Stenberg เอง และ Alexander
Lamaison ขออาสาสมัครเพื่อช่วยเข้ามาสร้างแพตช์สำหรับช่องโหว่นี้ ไม่เช่นนั้นหากปล่อยให้เนิ่นนานไป ช่องโหว่จะถูกเปิดเผยต่อสาธารณะ

Read more

กลายเป็นไวรัล แฮ็กเกอร์แห่เจาะ WordPress เวอร์ชันเก่า โดนกันไปแล้ว 2 ล้านเพจ

By mk Founder on Tag: WordPress, Security
WordPress

จากปัญหาช่องโหว่ความปลอดภัยใน WordPress ที่เก่ากว่า 4.7.2 ล่าสุดมีรายงานว่าจำนวนเว็บไซต์ที่ถูกโจมตีมีมากขึ้นเรื่อยๆ ตัวเลขเว็บที่ถูกแฮ็กทะลุ 2 ล้านเพจแล้ว

เหตุผลที่ยอดการโจมตีช่องโหว่รอบนี้สูงมาก เป็นเพราะมันกลายเป็น "ไวรัล" สำหรับบรรดาแฮ็กเกอร์ในการแฮ็ก WordPress ผ่านช่องโหว่นี้กัน โดยแฮ็กเกอร์กลุ่มที่ทำแต้มสูงสุดคือ "Hacked by MuhmadEmad" มียอดโจมตีเกือบ 4 แสนเพจ ตามด้วย "Hacked by SA3D HaCk3D" ราว 2.5 แสนเพจ ส่วนเว็บไซต์ที่ได้รับผลกระทบก็มีเว็บไซต์ดังๆ จำนวนมาก รวมถึงเว็บของดิสโทรลินุกซ์ news.opensuse.org ด้วย

Read more

คำเตือน Windows Vista จะหมดระยะซัพพอร์ตในเดือนเมษายน 2017

By mk Founder on Tag: Windows Vista, Operating System, Security, Microsoft
Windows Vista

Windows XP หมดอายุซัพพอร์ตตั้งแต่เดือนเมษายน 2014 และในเดือนเมษายนปีนี้ ก็ถึงคิวของ Windows Vista บ้าง

Windows Vista หมดระยะ mainstream support (แพตช์ความปลอดภัย+แก้บั๊ก) ไปตั้งแต่เดือนเมษายน 2012 และเข้าระยะ extended support (แพตช์ความปลอดภัยอย่างเดียว) เป็นเวลาอีก 5 ปี ซึ่งจะครบกำหนดในวันที่ 11 เมษายน 2017 หลังจากนี้ถือว่า Vista หมดระยะการซัพพอร์ตอย่างสมบูรณ์ ไม่มีการออกแพตช์ความปลอดภัยใดๆ ให้อีกแล้ว และผู้ใช้ Vista จะมีความเสี่ยงทันที

ถึงแม้ Vista มีผู้ใช้น้อยกว่า Windows XP และ Windows 7 มาก แต่ผู้ที่ยังใช้ Vista อยู่ในปัจจุบันก็ควรรีบหาทางอัพเกรดในทันที

Read more

HackerOne เปิดให้โครงการโอเพนซอร์สใช้รุ่น Professional ฟรี

By lew Founder on Tag: HackerOne, Hacking, Security, Bug Bounty
HackerOne

HackerOne บริการประสานงานระหว่างนักวิจัยความปลอดภัยและธุรกิจต่างๆ เปิดให้โครงการโอเพนซอร์สเข้าใช้งานฟีเจอร์รุ่น Professional ได้ฟรี เรียกว่า HackerOne Community Edition

เว็บของ HackerOne มีรุ่นฟรีสำหรับโครงการทั่วไป แต่จะมีข้อจำกัดเช่นไม่สามารถเลือกเชิญแฮกเกอร์ตามระดับความน่าเชื่อถือหรือตาม username ในเว็บ HackerOne ได้ ตลอดจนไม่สามารถดึงข้อมูลของเว็บออกไปทาง API ได้ ที่ผ่านมาลูกค้าที่ซื้อแพ็กเกจพิเศษของ HackerOne มักเป็นบริษัทขนาดใหญ่

Read more

WhatsApp เปิดใช้งานระบบยืนยันตัวตนสองขั้นตอนแล้ว

By nutmos Writer on Tag: WhatsApp, Security
WhatsApp

WhatsApp ได้เปิดให้ผู้ใช้ทั่วไปได้ใช้งานระบบยืนยันตัวตนสองชั้นแล้ว หลังจากที่เริ่มทดสอบระบบนี้ในแอพเวอร์ชันเบต้ามาตั้งแต่เดือนพฤศจิกายนที่ผ่านมา

สำหรับระบบยืนยันตัวตนสองขั้นตอนของ WhatsApp นั้นก็จะเป็นทางเลือกเพื่อเพิ่มความปลอดภัยให้กับผู้ใช้ โดยเมื่อเปิดใช้งานแล้ว ผู้ใช้จะต้องใส่รหัสผ่านหกหลักเพิ่มเติมนอกเหนือจากการยืนยันตัวตนด้วยเบอร์โทรศัพท์เพียงอย่างเดียว นอกจากนั้นผู้ใช้สามารถใส่อีเมลไว้เพื่อทำการรีเซ็ทรหัสผ่านเมื่อลืมรหัสผ่านด้วย

Read more

อัพเดตกันด่วน พบการโจมตี WordPress เวอร์ชันที่เก่ากว่า 4.7.2 แล้ว

By mk Founder on Tag: WordPress, Security, CMS, Sucuri
WordPress

CMS ยอดนิยม WordPress เพิ่งอัพเดตความปลอดภัยเวอร์ชัน 4.7.2 ไปเมื่อไม่กี่วันก่อน ล่าสุดบริษัทวิจัยด้านความปลอดภัย Sucuri ประกาศว่าพบการโจมตีเว็บไซต์เวอร์ชันเก่าที่ไม่ถูกแพตช์แล้ว

Sucuri เป็นผู้ค้นพบช่องโหว่ตัวหนึ่งของ WordPress 4.7.1 (แพตช์ 4.7.2 อุดทั้งหมด 4 ช่องโหว่) บริษัทระบุว่าการโจมตีระลอกนี้ใช้วิธีสแกนหาเว็บไซต์จำนวนมาก (mass scan) เพื่อดูว่ายังใช้ WordPress เวอร์ชันที่มีช่องโหว่หรือไม่ ถ้าหากพบก็จะพยายามเจาะเข้าไปยังช่องโหว่นี้

Read more

อย่าเปิดพรินเตอร์ออกเน็ต แฮกเกอร์สร้างบอตสั่งพรินเตอร์พิมพ์ภาพหุ่นยนต์

By lew Founder on Tag: Hacking, Internet, Security, Botnet, Printer
Hacking

การเชื่อมต่อพรินเตอร์กับเน็ตเวิร์คส่วนมากมักใช้งานในเครือข่ายออฟฟิศเป็นหลัก แต่พรินเตอร์จำนวนมากก็เปิดพอร์ตสั่งพิมพ์ เช่น 9100, 631, และ 515 ออกสู่อินเทอร์เน็ตเอาไว้ ตอนนี้แฮกเกอร์ที่ใช้ชื่อว่า stackoverflowin ก็เขียนบอตสั่งพรินเตอร์ทั่วโลกพิมพ์ภาพ ASCII ออกมา

มีรายงานภาพที่ถูกสั่งพิมพ์ผ่านอินเทอร์เน็ตตั้งแต่ 3 วันที่ผ่านมา

Read more

กูเกิลออกแพตช์ความปลอดภัย Pixel/Nexus รอบกุมภาพันธ์ 2017

By tekkasit Contributor on Tag: Nougat, Android, Security, Google Nexus, Google Pixel
Nougat

พบกันเป็นประจำทุกต้นเดือนครับ กูเกิลเลยออกแพตช์ความปลอดภัย Android ประจำเดือนกุมภาพันธ์ 2017 รอบนี้แพตช์มี 2 ชุด ได้แก่ชุด 1 ก.พ. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน และชุด ก.พ. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 ก.พ.มาด้วย)

สำหรับแพตช์ 1 ก.พ. แก้ช่องโหว่ด้านความปลอดภัย 23 จุด (CVE) เป็นระดับร้ายแรง (critical) 2 จุด หนึ่งในนั้นเป็นเรื่องของ Mediaserver เจ้าเก่า (StageFright เดิม) ส่วนแพตช์ ก.พ. แก้เพิ่มอีก 35 จุด ส่วนมากแก้ปัญหาช่องโหว่บนไดรเวอร์ของผู้ผลิตฮาร์ดแวร์อย่าง Qualcomm, Broadcom, Synaptics และ NVIDIA

Read more

มาตรฐานความปลอดภัยสูง ตลาดมืด HANSA ประกาศรับรายงานช่องโหว่เว็บ รางวัลสูงสุด 10BTC

By lew Founder on Tag: Tor, Bug Bounty, Security
Tor

แนวทางการรักษาความปลอดภัยซอฟต์แวร์และบริการคงเป็นมาตรฐานสำหรับผู้ผลิตซอฟต์แวร์รายใหญ่ๆ ในโลกจำนวนมาก แต่โครงการรายงานช่องโหว่แลกเงินรางวัลรอบล่าสุดกลับมาจากตลาดมืดใต้ดินที่ชื่อว่า HANSA (http://hansamkt2rr6nfg3.onion)

ประกาศของ HANSA แบ่งช่องโหว่ออกเป็นสามระดับ ได้แก่ ระดับสำคัญยิ่งยวด โดยอาจจะเปิดเผยหมายเลขไอพีผู้ใช้หรือเซิร์ฟเวอร์หรือเปิดเผยข้อมูลส่วนตัวอื่นๆ ได้รางวัล 10BTC, รางวัลสำคัญรองๆ ลงมา 1BTC, และบั๊กเล็กน้อยรางวัล 0.05BTC

Read more

InterContinental ยืนยันถูกมัลแวร์โจมตีระบบจ่ายเงิน กระทบโรงแรมในเครือกว่า 12 แห่งในสหรัฐฯ

By nutmos Writer on Tag: Security, Lifestyle, Hotel
Security

InterContinental Hotels Group Plc ได้ยืนยันว่า ทางบริษัทถูกโจมตีระบบจ่ายเงิน จนทำให้ข้อมูลบัตรเครดิตในโรงแรมกว่า 12 แห่งในสหรัฐฯ รั่วออกไป หลังจากที่ใช้เวลาสอบสวนประมาณ 1 เดือน โดยโรงแรมที่ได้รับผลกระทบในครั้งนี้ เช่น InterContinental Chicago Magnificent Mile, the InterContinental San Francisco, Holiday Inn Resort - Aruba

เซิร์ฟเวอร์ของ InterContinental นั้นถูกมัลแวร์เข้าไปในเครื่อง ทำให้สามารถค้นหาและติดตามข้อมูลบัตรได้ ไม่ว่าจะเป็นชื่อผู้ถือบัตร, เลขบัตร, วันหมดอายุ และรหัสยืนยันตัวตน ซึ่งข้อมูลที่รั่วไหลนี้คือข้อมูลบัตรเครดิตที่ถูกใช้ในช่วงเดือนสิงหาคมถึงธันวาคมปี 2016

Read more

กูเกิลรองรับอีเมลเข้ารหัส S/MIME บน G Suite Enterprise

By lew Founder on Tag: G Suite, Google, Security
G Suite

กูเกิลประกาศรองรับมาตรฐาน S/MIME (rfc5751) สำหรับการเข้ารหัสอีเมลไปจนถึงเซิร์ฟเวอร์ปลายทาง โดยเปิดใช้งานเฉพาะลูกค้า G Suite Enterprise เท่านั้น

มาตรฐาน S/MIME ต่างจาก SMTP over TLS (ที่ Gmail เริ่มแสดงเครื่องหมายว่าอีเมลใดรองรับ) เพราะอีเมลจะถูกเข้ารหัสจนถึงเซิร์ฟเวอร์ขององค์กรฝั่งรับอีเมลเสมอ ขณะที่ SMTP over TLS จะเข้ารหัสระหว่างส่งต่ออีเมลเท่านั้น เซิร์ฟเวอร์ระหว่างทาง เช่น forwarder, relay จะเห็นเนื้อหาในอีเมลทั้งหมด

Read more

เราท์เตอร์ NETGEAR มีช่องทางกู้รหัสผ่าน admin จากหน้าเว็บ ควรปิด admin ผ่านอินเทอร์เน็ตและรีบอัพเดต

By lew Founder on Tag: NETGEAR, Security
NETGEAR

หน้าเว็บแอดมินของเราท์เตอร์ NETGEAR นับสิบรุ่นมีช่องโหว่ในหน้าแสดงข้อความผิดพลาด แสดงข้อมูลตัวเลขที่ใช้กู้รหัสผ่านแอดมินได้

ช่องโหว่ CVE-2017-5521 พบโดย Simon Kenin จากบริษัท Trustwave ระบว่าเมื่อเราท์เตอร์รุ่นที่มีช่องโหว่ได้รับ URL ที่ผิดพลาดจะแสดงแบบฟอร์มพร้อมกับระบุตัวเลข id มาชุดหนึ่ง ที่สามารถใช้กู้รหัสผ่านแอดมินได้แบบเดียวกับช่องโหว่เมื่อปี 2014

กรณีที่ร้ายแรงที่สุดคือแฮกเกอร์สามารถเข้าควบคุมเราท์เตอร์ผ่านอินเทอร์เน็ตได้ อย่างไรก็ตามการเข้าถึงเราท์เตอร์ผ่านอินเทอร์เน็ตถูกปิดไว้เป็นค่าเริ่มต้น

Read more

กูเกิลรายงานยอดเงินรางวัลจากรายงานช่องโหว่ ปี 2016 จ่ายรวม 3 ล้านดอลลาร์

By lew Founder on Tag: Google, Security, Bug Bounty
Google

กูเกิลรายงานสรุปโครงการรายงานช่องโหว่ซอฟต์แวร์โดยมีเงินรางวัล (bug bounty) สรุปยอดรวมของปี 2016 จ่ายเงินไปทั้งสิ้นกว่า 3 ล้านดอลลาร์

ข้อมูลเพิ่มเติมของเงินรางวัลในปี 2016 ได้แก่

Read more
Subscribe to Security