Security

The Guardian รายงานช่องโหว่ WhatsApp, Open Whisper ออกมาโต้แย้งแล้ว

By lew

on 14 January 2017 - 12:47 Tag: WhatsApp, Privacy, Security

เมื่อวานนี้ WhatsApp กลายเป็นประเด็นข่าวใหญ่เมื่อหนังสือพิมพ์ The Guardian รายงานถึงช่องโหว่ลับ (backdoor) ของ WhatsApp ว่าทำให้ผู้ใช้ถูกดักฟังได้ และวันนี้ทาง Open Whisper System ผู้พัฒนาโปรโตคอล Signal ก็ออกมาวิจารณ์ว่าเป็นการรายงานที่ไม่ตรงความเป็นจริง

แม้ว่า WhatsApp จะเข้ารหัสจากปลายทางถึงปลายทางเสมอ แต่กระบวนการยืนยันตัวตนถูกซ่อนเอาไว้ ทำให้หากตั้งค่าปกติ หากกุญแจฝ่ายใดฝ่ายหนึ่งเปลี่ยนไป ซึ่งอาจจะแปลว่ามีการเปลี่ยนเครื่องหรือลงแอปใหม่ หรืออาจจะหมายถึงการแชตกำลังถูกดักฟัง กุญแจที่เปลี่ยนไปก็เปลี่ยนโดยอัตโนมัติ

นักวิจัยญี่ปุ่นเตือนการถ่ายภาพชูสองนิ้ว อาจถูกสำเนาลายนิ้วมือจากระยะไกล

By lew

on 11 January 2017 - 22:55 Tag: Fingerprint, Security, Privacy

Fingerprint

Isao Echizen ศาสตรจารย์จากห้องปฎิบัติการวิจัย ELAB Content Security แห่ง National Institute of Informatics ออกมาเตือนว่าการถ่ายภาพเล่นๆ อย่างการชูสองนิ้วใส่กล้องอาจจะทำให้ข้อมูลลายนิ้วมือรั่วไหลไปได้

เขาระบุว่าที่ห้องวิจัยของเขา สามารถทำสำเนาลายนิ้วมือจากกล้องดิจิตอลที่ถ่ายออกไปไกลถึงสามเมตรได้สำเร็จแล้ว ขณะที่กระบวนการทำสำเนาลายนิ้วมือไม่ได้ต้องการเทคโนโลยีระดับสูงอีกต่อไป

ไมโครซอฟท์ปล่อยแพตช์วินโดวส์เดือนมกราคม มีเพียง 4 ช่องโหว่

By lew

on 11 January 2017 - 11:42 Tag: Security, Microsoft

Security

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยประจำเดือนมกราคม และรอบนี้มีแพตช์เพียง 4 ชุด นับว่าน้อยที่สุดตั้งแต่ไมโครซอฟท์ปล่อยแพตช์ตามรอบรายเดือนมา

แพตช์ทั้ง 4 ชุดได้แก่ ช่องโหว่ยกระดับสิทธิ์ซอฟต์แวร์ของ Edge, ช่องโหว่รันโค้ดของ Office, ช่องโหว่ Adobe Flash, และช่องโหว่ DoS ของวินโดวส์ โดยมีช่องโหว่ Flash ตัวเดียวที่เป็นระดับวิกฤติ ที่เหลือเป็นระดับสำคัญทั้งหมด

ที่มา - Microsoft, ThreatPost

ฐานข้อมูล MongoDB ถูกเจาะเป็นจำนวนมาก ข้อมูลถูกล้างและเรียกค่าไถ่

By mk

on 8 January 2017 - 11:11 Tag: MongoDB, Security, Hacking, Database, NoSQL, Ransomware

MongoDB

มีรายงานว่าฐานข้อมูล MongoDB จำนวนมากบนอินเทอร์เน็ตถูกเจาะ โดยแฮ็กเกอร์ลบข้อมูลทั้งหมดในฐานข้อมูลเดิมออก และเรียกค่าไถ่ข้อมูลที่ขโมยออกไป

ตอนนี้ยังไม่มีตัวเลขแน่ชัดว่า ฐานข้อมูล MongoDB ที่ได้รับผลกระทบมีจำนวนเท่าไรกันแน่ แถมจำนวนก็เพิ่มขึ้นเรื่อยๆ ตัวเลขล่าสุดคือ 2,000 แห่ง ผู้ที่เจาะฐานข้อมูลเป็นรายแรกใช้นามแฝงว่า “Harak1r1” โดยเรียกค่าไถ่จำนวน 0.2 BTC (ประมาณ 220 ดอลลาร์หรือ 8,000 บาท) แต่เมื่อข่าวแพร่กระจายออกไป ก็มีแฮ็กเกอร์รายอื่นๆ มาร่วมเจาะ MongoDB อีกเช่นกัน

Netgear เปิดโครงการ Bug Bounty เงินรางวัลสูงสุด $15,000

By frameonthai

on 8 January 2017 - 03:14 Tag: NETGEAR, Bug Bounty, Security

NETGEAR

Netgear บริษัทพัฒนาและผลิตอุปกรณ์เครือข่ายได้ร่วมมือกับ Bugcrowd เปิดโครงการ Bug Bounty หรือช่องโหว่แลกเงินรางวัล

โครงการนี้ครอบคลุมตั้งแต่เว็บไซต์ของ Netgear เองจนไปถึงผลิตภัณฑ์ต่างๆ มีเงินรางวัลเริ่มต้นที่ $150 สำหรับช่องโหว่ประเภท Redirection (การเปลี่ยนเส้นทางไปที่อื่น) จนถึงเงินรางวัลสูงสุด $15,000 ได้แก่ การเข้าถึงระบบ Cloud เก็บวีดีโอของ Netgear ของลูกค้าอย่างมิชอบ เป็นต้น

ก่อนหน้านี้อุปกรณ์ของ Netgear ได้ถูกพบช่องโหว่สำคัญในหลายๆ รุ่น

FTC ยื่นฟ้อง D-Link ว่าจัดการช่องโหว่ความปลอดภัยได้ไม่ดีพอ

By lew

on 7 January 2017 - 12:21 Tag: FTC, USA, D-Link, Security

FTC

ช่องโหว่ของเราท์เตอร์และอุปกรณ์ IoT อื่นๆ เช่น กล้องวงจรปิดต่ออินเทอร์เน็ต เป็นปัญหาสำคัญของอินเทอร์เน็ตและผู้ใช้ตามบ้านในช่วงหลัง ที่ผ่านมาก็มักเป็นการเตือนกันเองในหมู่นักวิจัยว่าผู้ผลิตรายใดมีปัญหาบ้าง แต่ล่าสุดคณะกรรมการการค้าสหรัฐฯ (FTC) ก็เข้ามายื่นฟ้อง D-Link ที่จัดการความปลอดภัยของอุปกรณ์ตัวเองได้ไม่ดีพอ ขัดกับคำโฆษณาของตัวเองที่อ้างว่ามีความปลอดภัยสูง

ผู้พัฒนายืนยัน เว็บไซต์ FBI ไม่ได้ถูกแฮก เป็นการแอบอ้างว่าแฮกได้เพื่อหลอกขายช่องโหว่ 0-day

By Bigta

on 6 January 2017 - 23:58 Tag: Security, FBI

Security

เมื่อต้นเดือนมกราคม 2560 กลุ่มแฮกเกอร์ที่ใช้ชื่อว่า CyberZeist อ้างว่าสามารถเจาะระบบเว็บไซต์ของ FBI ได้สำเร็จผ่านทางช่องโหว่ 0-day ของระบบ CMS พร้อมทั้งได้ขโมยข้อมูลอีเมลและรหัสผ่านของเจ้าหน้าที่ FBI ออกมาเผยแพร่ในอินเทอร์เน็ต จากการสืบสวน มูลนิธิ Plone ผู้พัฒนา CMS ที่ใช้ในเว็บไซต์ของ FBI และเว็บไซต์หน่วยงานภาครัฐจำนวนมากของสหรัฐฯ ได้ออกมาตอบโต้ว่าสิ่งที่แฮกเกอร์กลุ่มนี้กล่าวอ้างนั้นเป็นเรื่องหลอกลวง

บริษัท ; DROP TABLE "COMPANIES";-- LTD จดทะเบียนในอังกฤษเมื่อปลายปีที่ผ่านมา

By lew

on 5 January 2017 - 10:05 Tag: United Kingdom, Security, SQL Injection

United Kingdom

Samuel Thomas โปรแกรมเมอร์ชาวอังกฤษจดทะเบียนบริษัท ; DROP TABLE "COMPANIES";-- LTD อย่างเป็นทางการในอังกฤษเมื่อวันที่ 29 ธันวาคมที่ผ่านมา โดยบริษัทตั้งอยู่ในเมือง Suffolk ทางชายฝั่งตะวันออกของอังกฤษ

บริษัท ; DROP TABLE "COMPANIES";-- LTD มีทุนจดทะเบียน 1 ปอนด์ (44 บาท) รวม 1 หุ้น

Norton Core เราท์เตอร์เพื่อความปลอดภัยอุปกรณ์ IoT

By lew

on 4 January 2017 - 12:40 Tag: Norton, Security, Internet of Things

Norton

รายงานอุปกรณ์ IoT ถูกแฮกกันเป็นวงกว้างเป็นเรื่องน่ากังวลตราบใดที่ผู้ผลิตยังไม่สามารถปกป้องสินค้าของตัวเองได้ดีพอ แต่ทางออกชั่วคราวอาจจะพอแก้ได้ด้วยการใช้เราท์เตอร์ที่มีไฟร์วอลมาช่วยปกป้องการเข้าถึงอุปกรณ์ในเครือข่าย ผู้ผลิตซอฟต์แวร์ความปลอดภัยอย่าง Norton ก็ออกเราท์เตอร์ที่ติดตั้งไฟร์วอลล์เต็มรูปแบบสำหรับผู้ใช้ตามบ้านในชื่อ Norton Core

ตัวฮาร์ดแวร์ Norton Core เป็นเราท์เตอร์ประสิทธิภาพสูง ซีพียูสองคอร์ 1.7GHz และแรมในตัว 1GB พร้อมหน่วยความจำแฟลชอีก 4GB มี USB 3.0 สองพอร์ต และกิกะบิตอีเธอร์เน็ตอีก 4 ช่อง เชื่อมต่อไร้สายแบบ 802.11 a/b/g/n/ac เสาอากาศ MIMO 4x4 และ Bluetooth LE

กูเกิลออกแพตช์ความปลอดภัย Pixel/Nexus รอบมกราคม 2017

By tekkasit

on 4 January 2017 - 06:10 Tag: Nougat, Android, Security, Google Nexus, Google Pixel

Nougat

พบกันเป็นประจำทุกต้นเดือนครับ (รอบนี้พิเศษตรงติดหยุดปีใหม่ เลยเลื่อนออกมาหนึ่งวัน) กูเกิลเลยออกแพตช์ความปลอดภัย Android ประจำเดือนมกราคม 2017 เดือนนี้กลับมาแยกแพตช์เหลือ 2 ชุด ได้แก่ชุด 1 ม.ค. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน และชุด 5 ม.ค. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 ม.ค.มาด้วย)

อัพด่วน SwiftMailer มีช่องโหว่เดียวกับ PHPMailer

By lew

on 30 December 2016 - 14:21 Tag: PHP, Security

PHP

ช่องโหว่รันโค้ดในระบบจาก PHPMailer เพิ่งแก้ไขไปไม่กี่วัน ตอนนี้ Dawid Golunski ก็รายงานว่า SwiftMailer ไลบรารีแบบเดียวกันก็มีช่องโหว่แบบเดียวกันด้วย โดยหมายเลขช่องโหว่เป็น CVE-2016-10074

ตัว Golunski ระบุว่าเขารายงานช่องโหว่นี้ไปตั้งแต่ต้นเดือนธันวาคม แต่ทางโครงการไม่ตอบกลับ และเขาพยายามเตือนว่าช่องโหว่แบบเดียวกันนี้อยู่ใน PHPMailer ที่กำลังแก้ไขด้วย แต่ก็ผู้ผลิตก็ยังไม่ตอบรับคำเตือน จนกระทั่งเขาออกประกาศออกมาเมื่อวานนี้

สหรัฐเผยข้อมูลการโจมตีไซเบอร์จากรัสเซีย ไล่เจ้าหน้าที่ข่าวกรองรัสเซียออกนอกประเทศ

By mk

on 30 December 2016 - 10:14 Tag: USA, Russia, Cybersecurity, Whitehouse, Barack Obama, Security

USA

ต่อจากข่าว โอบามาสั่งหน่วยข่าวกรองสหรัฐ สอบสวนการโจมตีไซเบอร์ช่วงการเลือกตั้งปี 2016 วันนี้ ทำเนียบขาวออกมาแถลงข่าวอย่างเป็นทางการ ยืนยันการโจมตีไซเบอร์จากรัฐบาลรัสเซียแล้ว

ประธานาธิบดีบารัค โอบามา ระบุว่าการโจมตีไซเบอร์เพื่อขโมยข้อมูลในช่วงเลือกตั้ง ถูกขับเคลื่อนโดยเจ้าหน้าที่ระดับสูงสุดของรัฐบาลรัสเซีย อีกทั้งเจ้าหน้าที่ด้านการทูตของสหรัฐในกรุงมอสโก ก็ถูกกลั่นแกล้งจากเจ้าหน้าที่ความปลอดภัยและตำรวจรัสเซียมาตั้งแต่ปีที่แล้ว

[33C3] นักวิจัยเตือนระบบของตั๋วเครื่องบินถูกแฮกง่ายกว่าที่คิด

By lew

on 29 December 2016 - 12:37 Tag: 33C3, CCC, Security

33C3

ที่งาน 33C3 นักวิจัยจาก SRLabs รายงานถึงความปลอดภัยของระบบจองตั๋วเครื่องบิน Global Distribution System (GDS) ที่เกือบทั้งโลกมีใช้งานเพียงสามระบบ คือ Amadeus, Sabre, และ Galileo

นักวิจัยพบว่าระบบเหล่านี้เป็นระบบเก่าและความปลอดภัยมักไม่เพียงพอ ตัวแทนจำหน่ายตั๋วเครื่องบินที่ต่อเข้าระบบเหล่านี้มักใช้รหัสผ่านที่คาดเดาได้ง่าย และเมื่อล็อกอินแล้วการควบคุมข้อมูลกลับไม่ดีเท่าที่ควร ข้อมูลของลูกค้าสามารถเข้าถึงได้โดย พนักงานของบริษัทขายตั๋วเครื่องบิน, พนักงานของสายการบิน, พนักงานของบริษัท GDS, และพนักงานบริษัทที่ให้บริการระบบอื่นๆ ข้อมูลที่แต่ละคนเห็นมีจำนวนมาก รวมถึงข้อมูลบัตรเครดิต

อย. สหรัฐฯ ออกแนวทางการรักษาความปลอดภัยไซเบอร์เครื่องมือทางการแพทย์

By lew

on 29 December 2016 - 12:08 Tag: FDA, Security, USA

FDA

ความปลอดภัยไซเบอร์มีความสำคัญกับเครื่องมือทางการแพทย์มากขึ้นเรื่อยๆ เมื่ออุปกรณ์จำนวนมากสามารถเชื่อมต่อเน็ตเวิร์คได้ แต่อุปกรณ์เหล่านี้กลับไม่มีแนวทางการรักษาความปลอดภัยนัก อุปกรณ์หลายชิ้นยังคงมีใช้งานในโรงพยาบาลแม้จะมีรายงานช่องโหว่ความปลอดภัยออกมาแล้วก็ตาม ตอนนี้องค์การอาหารและยาของสหรัฐฯ (FDA) ก็ออกประกาศแนวทางการรักษาความปลอดภัยไซเบอร์ของอุปกรณ์ทางการแพทย์มาแล้ว

ประกาศนี้ยังเป็นประกาศที่ไม่มีผลบังคับ (non-binding) แต่การออกแนวทางก็เป็นตัวบ่งชี้ได้ว่าอุปกรณ์ที่รักษาความปลอดภัยได้ดีนั้นควรทำอย่างไร

ประกาศระบุสี่สิ่งหลักที่ผู้ผลิตควรทำ ได้แก่

แพตช์ PHPMailer ไม่สมบูรณ์ แฮกเกอร์โจมตีช่องโหว่ได้อีกครั้ง อัพเกรดเป็นรุ่น 5.2.20 ด่วน

By lew

on 28 December 2016 - 23:25 Tag: Security, PHP

Security

ช่องโหว่ระดับวิกฤติของ PHPMailer เพิ่งแพตช์ไปเมื่อวันก่อน ตอนนี้มีแฮกเกอร์พบว่าแพตช์ในรุ่น 5.2.17 ที่ผ่านมายังไม่สมบูรณ์ ทำให้แฮกเกอร์สามารถโจมตีช่องโหว่เดิมได้อีกครั้ง หมายเลขประจำช่องโหว่ใหม่เป็น CVE-2016-10045

ทาง PHPMailer ออกเวอร์ชั่นล่าสุด 5.2.20 เมื่อสามชั่วโมงที่ผ่านมา (มีเวอร์ชั่น 5.2.21 ที่แก้ไขไฟล์ข้อมูลเล็กน้อย ไม่เกี่ยวกับช่องโหว่) ผู้ดูแลที่ซอฟต์แวร์ที่ใช้ PHPMailer ควรอัพเดตโดยเร็ว

PHPMailer มีช่องโหว่ระดับวิกฤติ มีการโจมตีแล้ว อัพเดตเป็นเวอร์ชั่น 5.2.18 ขึ้นไปโดยด่วน

By lew

on 27 December 2016 - 08:54 Tag: Security, PHP

Security

PHPMailer ไลบรารีสร้างและส่งอีเมล มีช่องโหว่ระดับวิกฤติที่เปิดทางให้แฮกเกอร์สามารถรันโค้ดใดๆ บนเซิร์ฟเวอร์ได้ ตัวไลบรารีถูกใช้งานบนเว็บไซต์มากกว่า 9 ล้านเว็บทั่วโลก ทำให้ตอนนี้เว็บจำนวนมากตกอยู่ในความเสี่ยง

ช่องโหว่ CVE-2016-10033 รายงานโดย Dawid Golunski เมื่อสองวันก่อน ตัวช่องโหว่ถูกจัดความเสี่ยงโดยทีมความปลอดภัยซอฟต์แวร์ของ Drupal ไว้ที่ระดับ 23/25 จากการโจมตีที่เข้าถึงได้ง่าย และมีการโจมตีในโลกความเป็นจริงแล้ว

Trinity เซ็ง OpenSSH ประกาศวันเลิกรองรับ SSHv1 เดือนสิงหาคม 2017

By lew

on 20 December 2016 - 12:33 Tag: OpenSSH, Cryptography, Security

OpenSSH

OpenSSH เซิร์ฟเวอร์สำหรับการเข้าจัดการเครื่องจากระยะไกลที่ได้รับความนิยมสูง ปรับปรุงโปรโตคอลเป็น SSHv2 มานานและคอนฟิกเริ่มต้นก็มักจะรองรับ SSHv2 อย่างเดียว แต่ตัวซอฟต์แวร์ก็ยังรองรับ SSHv1 เรื่อยมา แม้ว่าจะลินุกซ์หลายรายจะปิดฟีเจอร์นี้ตั้งแต่การคอมไพล์ก็ตาม

ตอนนี้ OpenSSH ออกเวอร์ชั่น 7.4 พร้อมกับประกาศยกเลิกการซัพพอร์ต SSHv1 ออกทั้งหมดภายในเดือนสิงหาคม 2017 ทำให้หลังจากกำหนดนี้ จะไม่มีตัวเลือกใดๆ ให้ใช้งาน SSHv1 อีก

ช่องโหว่ของ SSHv1 CRC32 เป็นช่องโหว่ที่ Trinity ใช้เจาะเข้าเครือข่ายของโรงงานไฟฟ้าในภาพยนตร์เรื่อง The Matrix

ช่องโหว่ Joomla! ทำให้ผู้ใช้เข้ายึดเว็บได้ เว็บที่เปิดรับสมาชิกควรเร่งอัพเดต

By lew

on 20 December 2016 - 12:23 Tag: Joomla!, Security

Joomla!

Joomla! ออกอัพเดตเวอร์ชั่น 3.6.5 แก้ไขช่องโหว่ความปลอดภัยหลังจากออกเวอร์ชั่น 3.6.4 ไปเมื่อสองเดือนก่อน รอบนี้ช่องโหว่ระดับสูงทำให้สมาชิกในระบบสามารถแก้ไขสิทธิ์ของตัวเองเพื่อยึดเว็บได้

ช่องโหว่นี้กระทบ Joomla! ตั้งแต่เวอร์ชั่น 1.6.0 เป็นต้นมา เว็บจำนวนมากน่าจะได้รับผลกระทบอยู่ เว็บที่เปิดให้คนทั่วไปเป็นสมาชิกได้ควรเร่งอัพเดตโดยเร็ว

นอกจากช่องโหว่ระดับสูงนี้แล้ว การอัพเดตครั้งนี้ยังแก้ช่องโหว่ระดับต่ำอีกสองช่อง ที่เปิดทางให้มีผู้ใช้อัพโหลดไฟล์ PHP ได้ และเปิดทางให้ผู้ใช้ที่ไม่มีสิทธิ์เข้าดูเนื้อหาบางหน้าสามารถเข้าดูได้

หน้ามืด Shopify Scripts จ่ายรางวัลรายงานช่องโหว่วันเดียวกว่าสิบล้านบาท ประกาศลดรางวัลเหลือ 1 ใน 10

By lew

on 18 December 2016 - 23:17 Tag: Shopify, Bug Bounty, Security

Shopify

แนวทางการประกาศรางวัลเพื่อการรายงานช่องโหว่ความปลอดภัยซอฟต์แวร์เป็นแนวทางที่ได้ผลอย่างดีในช่วงหลายปีที่ผ่านมา นักล่ารางวัล (และล่าชื่อเสียง) รายงานช่องโหว่สำคัญๆ ก่อนที่จะมีการโจมตีเป็นวงกว้างจำนวนมาก แต่ Shopify Scripts โครงการ sandbox เพื่อการรันโค้ด Ruby ในสภาพแวดล้อมจำกัดของ Shopify ต้องจ่ายเงินรางวัลในวันเดียวกว่า 350,000 ดอลลาร์ จากการประกาศโครงการรายงานช่องโหว่นี้

แฮกเกอร์เปิดเผยฐานข้อมูลสำนักงานตรวจคนเข้าเมืองประท้วงพรบ.คอมพิวเตอร์

By lew

on 17 December 2016 - 23:28 Tag: Security, Thailand, Hacking

Security

ผู้ใช้ทวิตเตอร์ @blackplans เปิดเผยฐานข้อมูลโดยระบุว่ามาจากสำนักงานตรวจคนเข้าเมืองของไทย เพื่อประท้วงกรณีที่พรบ.คอมพิวเตอร์ฯ ผ่านออกมาเป็นกฎหมาย

Subscribe to Security