กสทช. เตรียมเปิดระบบเก็บลายนิ้วมือเมื่อลงทะเบียนซิม ข้อมูลอยู่ในเซิร์ฟเวอร์ของกสทช.

By lew Founder on Tag: NBTC, Thailand, Fingerprint, Security
NBTC

กสทช. เตรียมเปิดระบบเก็บข้อมูลลายนิ้วมือสำหรับการเปิดซิมใหม่ภายในเดือนกุมภาพันธ์ที่จะถึงนี้ โดยเป็นไปตามความสมัครใจของผู้ใช้บริการ

ทางกสทช. ระบุว่าการเก็บลายนิ้วมือเช่นนี้จะเป็นประโยชน์ต่อผู้ใช้บริการเอง โดยเฉพาะการใช้บริการธนาคารออนไลน์ในอนาคต สำหรับตัวฐานข้อมูลของกสทช. จะพัฒนาโดยคณะวิศวกรรมศาสตร์ มหาวิทยาลัยเกษตรศาสตร์ มีค่าใช้จ่ายในการพัฒนา 15 ล้านบาท ส่วนระบบการยืนยันตัวตนของผู้ใช้นั้น ค่ายมือถือจะต้องเป็นผู้พัฒนาด้วยตัวเอง โดยทางกสทช. อาจจะสนับสนุนค่าใช้จ่ายส่วนนี้ด้วยการลดค่าธรรมเนียมส่วนแบ่งรายได้ลงบางส่วน

Read more

[ไม่ยืนยัน] ระบบเน็ตเวิร์คกองกำลังป้องกันตนเองญี่ปุ่นถูกแฮก

By lew Founder on Tag: Japan, Security, Hacking
Japan

หนังสือพิมพ์ South China Morning Post อ้างแหล่งข่าวภายในกระทรวงกลาโหมญี่ปุ่น ระบุว่าเครือข่าย Defence Information Infrastructure (DII) ที่เชื่อมต่อระหว่างกระทรวงกลาโหมและกองกำลังป้องกันตัวเองถูกแฮก

แหล่งข่าวระบุว่าแฮกเกอร์ที่เจาะเข้าเครือข่ายมาได้มีความสามารถสูง และเป็นไปได้ว่าจะเป็นกลุ่มแฮกเกอร์ในระดับรัฐ ขณะที่เจ้าหน้าที่ของทางกระทรวงปฏิเสธที่จะแสดงความเห็นในเรื่องนี้

ความเสียหายจากการแฮกครั้งนี้แหล่งข่าวระบุว่ามีข้อมูลบางส่วนหลุดออกไปแล้ว และยังไม่สามารถหาความเสียหายโดยรวมได้ครบ ตอนนี้เจ้าหน้าที่ของกระทรวงและกองกำลังป้องกันตนเองถูกสั่งห้ามไม่ให้ใช้อินเทอร์เน็ตชั่วคราว

Read more

ระบบขนส่งมวลชนซานฟรานซิสโกโดน Ransomware, ทางเมืองตัดสินใจเปิดบริการฟรี

By lew Founder on Tag: USA, Ransomware, Security
USA

ระบบคอมพิวเตอร์ของรถไฟฟ้าในซานฟรานซิสโกถูก ransomware โจมตี ทำให้ทางหน่วยงานตัดสินใจเปิดให้บริการฟรีตลอดวันเสาร์ที่ผ่าน

ทาง SFMTA หน่วยงานดูแลรถไฟฟ้าระบุว่า ransomware ไม่ได้กระทบต่อการให้บริการ แต่ทางหน่วยงานตัดสินใจเปิดให้บริการฟรีป้องกันไว้ก่อน

ยังไม่แน่ชัดว่า ransomware แพร่ไปในระบบใดของหน่วยงานบ้าง แต่ระบุว่าระบบอีเมลถูกโจมตี พนักงานบางคนกลัวว่าทางหน่วยงานจะไม่สามารถจ่ายเงินเดือนตามกำหนด

ที่มา - CBS Local

Read more

ช่องโหว่อัพเดต RHEL บน Azure, แฮกเกอร์สามารถส่งแพ็กเกจเข้าเครื่องลูกค้าได้

By lew Founder on Tag: RHEL, Security, Red Hat, Microsoft Azure
RHEL

Ian Duffy วิศวกรซอฟต์แวร์พบช่องโหว่ของโครงสร้างการอัพเดต Red Hat Enterprise Linux (RHEL) บน Azure

อิมเมจ RHEL บน Azure จะถูกคอนฟิกให้อัพเดตจาก repository ภายในของ Azure เอง โดยค่าเริ่มต้นจะปิดการตรวจสอบแพ็กเกจด้วย gpg เอาไว้ แต่ตรวจสอบการเชื่อมต่อด้วย SSL อย่างเดียว

Ian พบว่าตัวเซิร์ฟเวอร์อัพเดตเปิดให้คนภายนอกเข้าถึง API ได้ และยังมีช่องโหว่ทำให้แฮกเกอร์สามารถอัพโหลดแพ็กเกจใหม่ขึ้นไปได้ ช่องโหว่นี้ทำให้แฮกเกอร์สามารถปลอมแพ็กเกจแล้วส่งเข้าเครื่องที่รัน RHEL บน Azure จำนวนมาก ทันทีที่เครื่องเหล่านั้นสั่ง yum update

Read more

Oracle เปิดตัว Identity Cloud Service บริการคลาวด์สำหรับจัดการตัวตน

By mk Founder on Tag: Oracle, Enterprise, Security, Authentication
Oracle

Oracle เปิดตัวบริการคลาวด์ตัวใหม่ Identity Cloud Service (IDCS) ซึ่งเป็นการนำระบบจัดการตัวตน Identity and Access Management ขึ้นไปรันบนคลาวด์ทั้งหมด 100%

แนวคิดของ Oracle คือตลาดไอทีองค์กรกำลังขยับไปสู่คลาวด์ เดิมทีตลาดระบบจัดการตัวตนแบบ on premise มีผู้เล่นเจ้าตลาดอยู่เยอะแล้ว แต่พอเข้าสู่ยุคคลาวด์ แนวคิดเรื่องความปลอดภัยเปลี่ยนไปจากยุคเก่ามาก เพราะบริการคลาวด์ส่วนใหญ่อยู่นอกไฟร์วอลล์ขององค์กร แนวคิดการใช้ไฟร์วอลล์ป้องกันทุกอย่างเริ่มใช้ไม่ได้อีกแล้ว ต้องหันมาเข้มงวดเรื่องการจำกัดสิทธิการเข้าถึงเป็นรายบุคคลแทน

Read more

นักวิจัยเสนอการให้คะแนนช่องโหว่แบบใหม่ คิดคะแนนตามสภาพแวดล้อมจริง

By lew Founder on Tag: Security, Research
Security

ช่องโหว่ความปลอดภัยคอมพิวเตอร์มีความสำคัญไม่เท่ากัน ที่ผ่านมาระบบการจัดลำดับความสำคัญมักใช้ระบบคะแนน CVSS (Common Vulnerability Scoring System) ที่พิจารณาความเสี่ยงของช่องโหว่ตามความยากง่ายในการโจมตี และผลความเสียหายจาการโจมตี ตอนนี้นักวิจัยเสนอแนวทางใหม่ในการประเมินความเสี่ยงของช่องโหว่โดยอาศัยสภาพแวดล้อมการทำงานจริงเข้ามาคำนวณด้วย

Read more

ผู้เชี่ยวชาญคอมพิวเตอร์ชี้ ระบบคอมสำหรับเลือกตั้งสหรัฐอาจโดนมัลแวร์ เสนอนับคะแนนใหม่

By mk Founder on Tag: USA, Election, Security, Hillary Clinton
USA

J. Alex Halderman อาจารย์ด้านความปลอดภัยคอมพิวเตอร์ของมหาวิทยาลัยมิชิแกน เสนอทฤษฎีว่าระบบคอมพิวเตอร์ที่ใช้นับคะแนนเลือกตั้งของสหรัฐอาจมีปัญหา จนเป็นเหตุให้นับคะแนนผิดพลาดจน Hillary Clinton พ่ายแพ้ และเสนอให้นับคะแนนใหม่จากบัตรเลือกตั้งกระดาษ

ระบบการเลือกตั้งในสหรัฐใช้คอมพิวเตอร์เข้าช่วย แม้รูปแบบของแต่ละรัฐแตกต่างกัน แต่แบ่งได้ใหญ่ๆ 2 กลุ่มคือ ลงคะแนนบนกระดาษแล้วนำไปอ่านด้วยเครื่องคอมพิวเตอร์ที่มีสแกนเนอร์เพื่อนับคะแนนเข้าระบบ หรือ ลงคะแนนในคอมพิวเตอร์เลยแต่พิมพ์ยืนยันการโหวตลงกระดาษเป็นหลักฐาน

Read more

แก๊งวางมัลแวร์เข้าตู้ ATM บุกยุโรป NCR และ Diebold แจ้งเตือนลูกค้าให้ระวังแล้ว

By lew Founder on Tag: Europe, Security, ATM, Banking
Europe

บริษัทความปลอดภัยไซเบอร์ Group-IB ระบุว่ากลุ่มอาชญากรที่มุ่งโจมตีตู้เอทีเอ็มด้วยมัลแวร์ให้จ่ายเงินออกมาเริ่มบุกหลายธนาคารในยุโรป

ทางบริษัทไม่ได้ระบุชื่อธนาคารที่ได้รับผลกระทบ แต่ระบุว่ากลุ่มอาชญากรโจมตีในยุโรป เช่น สหราชอาณาจักร, สเปน, รัสเซีย, โปแลนด์, เนเธอร์แลนด์ นอกจากนี้ยังระบุว่ามาเลเซียก็ถูกโจมตีด้วยเช่นเดียวกัน

ผู้ผลิตตู้เอทีเอ็มรายใหญ่อย่าง Diebold Nixdorf และ NCR ระบุว่าได้แจ้งไปยังธนาคารถึงวิธีการป้องกันการโจมตีแล้ว

Read more

Qualcomm เปิดโครงการรายงานช่องโหว่แลกรางวัล ยังเปิดเฉพาะนักวิจัยรับเชิญ

By lew Founder on Tag: Qualcomm, Bug Bounty, Security
Qualcomm

โครงการหาช่องโหว่ความปลอดภัยแลกรางวัลได้รับความนิยมในหมู่ผู้ผลิตซอฟต์แวร์ และผู้ให้บริการผ่านอินเทอร์เน็ตจำนวนมาก แต่ตอนนี้ผู้ผลิตฮาร์ดแวร์อย่าง Qualcomm ก็หันมาเปิดโครงการเช่นนี้บ้างแล้ว

ทาง Qualcomm จะจำกัดเฉพาะนักวิจัยที่ได้รับเชิญเท่านั้น โดยระบุว่าบริษัทจะเชิญนักวิจัยเข้าร่วมโครงการเพิ่มเติมเรื่อยๆ ตัวโครงการครอบคลุมฮาร์ดแวร์ Snapdragon 400, 615, 801, 808, 810, 820, 821 และโมเด็ม X5, X7, X12, X16 พร้อมกับซอฟต์แวร์ทั้งตัวลินุกซ์เคอร์เนลและเฟิร์มแวร์ ตลอดจนระบบ TrustZone และซอฟต์แวร์อื่นๆ ที่รันในสิทธิ์ root

Read more

เซิร์ฟเวอร์ WordPress มีช่องโหว่ แฮกเกอร์ยิงอัพเดตเข้าเว็บทั่วโลกได้, Automattic แก้ไขแล้ว

By lew Founder on Tag: WordPress, Security
WordPress

Wordfence ผู้ให้บริการความปลอดภัยสำหรับ WordPress รายงานถึงช่องโหว่ของเซิร์ฟเวอร์ api.wordpress.com ที่มีช่องโหว่นำโค้ดขึ้นไปรันบนเซิร์ฟเวอร์ได้ จนกระทั่งแฮกเกอร์สามารถสั่งเว็บ WordPress ทั่วโลกให้อัพเดตซอฟต์แวร์ที่มุ่งร้ายได้

ช่องโหว่นี้เริ่มต้นจากโค้ด webhook ของ WordPress ที่ใช้เชื่อมต่อไปยัง GitHub โดยเมื่อรับค่าจาก GitHub แล้วจะสั่ง shell_exec แม้ว่าจะมีการตรวจค่าแฮชเพื่อยืนยันว่าข้อมูลมาจาก GitHub แต่ตัว webhook กลับยอมรับค่าแฮชแบบอื่น เช่น crc32 และ adler32 ทั้งที่ GitHub จะส่งค่าแฮชเฉพาะ SHA1 เท่านั้น ทำให้ทาง Wordfence สามารถปลอมค่าแฮช

Read more

Drupal ออกแพตช์สำหรับ Drupal 7 และ 8 ความร้ายแรงปานกลาง

By lew Founder on Tag: Drupal, Security, Security Patch
Drupal

Drupal ออกแพตช์รวมช่องโหว่ความปลอดภัยตามรอบ (ที่สลับเดือนระหว่างการแก้บั๊กและการอุดช่องโหว่ความปลอดภัย) โดยรอบนี้ช่องโหว่มีความร้ายแรงระดับปานปลาง

ช่องโหว่ที่ร้ายแรงสักหน่อยใน Drupal 7 คือการฝัง URL ของหน้าเว็บภายนอกลงในแบบฟอร์มได้ ทำให้ผู้ใช้อาจจะถูกหลอกให้เข้าเว็บปลอมโดยไม่รู้ตัว ขณะที่ Drupal 8 มีช่องโหว่ที่โจมตีแบบให้ล่มได้เมื่อสร้าง URL อย่างจงใจ

แพตช์ชุดนี้มีช่องโหว่รวม 4 ช่องโหว่ อีก 2 ช่องโหว่เป็นช่องโหว่ระดับความร้ายแรงต่ำ อย่างไรผู้ดูแลก็ควรรีบแพตช์กันครับ

ที่มา - Drupal Security

Read more

IBM ตั้งศูนย์บัญชาการ Command Centers รับมือภัยคุกคามไซเบอร์

By mk Founder on Tag: IBM, Security
IBM

IBM Security ประกาศตั้งศูนย์บัญชาการ X-Force Command Centers เพื่อรับมือกับภัยคุกคามด้านความมั่นคงไซเบอร์โดยเฉพาะ

ศูนย์บัญชาการแห่งนี้ตั้งอยู่ที่เมือง Cambridge รัฐแมสซาชูเซตส์ จุดเด่นของศูนย์แห่งนี้คือมีระบบซิมูเลเตอร์ Cyber Range จำลองภัยคุกคามด้านความปลอดภัยไซเบอร์ให้ลูกค้าภาคเอกชนทดสอบ เช่น ลองยิงถล่มหรือแฮกระบบ เพื่อทดสอบความพร้อมของลูกค้า และฝึกฝนเจ้าหน้าที่ฝ่ายความปลอดภัยของลูกค้า ให้รับมือกับภัยคุกคามของจริง ตัวซิมูเลเตอร์ Cyber Range จะใช้ไวรัสหรือมัลแวร์ของจริงเฉกเช่นเดียวกับบรรดาแฮกเกอร์

Read more

Microsoft Edge จะเตือนเว็บที่ใช้ใบรับรอง SHA-1 ว่าไม่ปลอดภัย หลัง 14 ก.พ. 2017

By Lamicrosz Contributor on Tag: Microsoft Edge, Internet Explorer, SSL, Security, HTTPS
Microsoft Edge

ไมโครซอฟท์ประกาศจะเริ่มแจ้งเตือนเว็บไซต์ที่ใช้ใบรับรอง SHA-1 ในวันที่ 14 กุมภาพันธ์ 2017 ซึ่งจะมีผลทั้งบนเบราว์เซอร์ Microsoft Edge และ Internet Explorer 11 แต่ในส่วนของผู้ใช้ยังคงมีตัวเลือกในการเข้าชมหน้าเว็บได้อยู่

ใบรับรอง SHA-1 ที่ได้รับผลกระทบคือ ใบรับรองที่เกี่ยวข้อง (chain to) กับ Microsoft Trusted Root CA เท่านั้น แต่ทั้งนี้ไมโครซอฟท์ก็ยังแนะนำให้รีบย้ายไปใช้ใบรับรอง SHA-256 แทน

ที่มา - Microsoft Edge Developer

Read more

อังกฤษผ่านกฎหมายให้เจ้าหน้าเข้าถึงข้อมูลส่วนตัว เพื่อประโยชน์ต่อการสืบสวน

By sunnywalker Writer on Tag: Law, Privacy, United Kingdom, Security, Terrorism, Surveillance
Law

สถานการณ์การรักษาความมั่นคงในอังกฤษมีความคืบหน้าในวันนี้ คือ ร่างกฎหมาย Investigatory Powers ที่ให้อำนาจเจ้าหนาที่สืบสวนในการเข้าถึงข้อมูลอุปกรณ์ไอทีต่างๆ ผ่านสภาในอังกฤษทั้งสองสภาแล้ว ขั้นตอนสุดท้ายเหลือเพียงพระราชินีลงนามยอมรับเท่านั้น

กฎหมายตัวนี้มีการถกเถียงกันมานานเป็นปี เพราะฝั่งปกป้องสิทธิมนุษยชนเห็นว่ากฎหมายนี้ละเมิดความเป็นส่วนตัว เนื้อหาของกฎหมายฉบับนี้ครอบคลุมและมีอำนาจจัดการในเรื่องต่างๆ ดังนี้

Read more

LinkedIn ถูกบล็อคในรัสเซีย เหตุละเมิดกฎหมายด้านการเก็บข้อมูล

By nismod Writer on Tag: LinkedIn, Russia, Government, Security
LinkedIn

สถานีโทรทัศน์ในรัสเซียพร้อมกันรายงานข่าวว่า LinkedIn โซเชียลมีเดียด้านการหางานถูกศาลรัสเซียสั่งบล็อค หลังละเมิดกฎหมายไซเบอร์ฉบับใหม่ ที่บังคับให้ผู้ให้บริการเก็บล็อกข้อมูลไว้ในรัสเซีย 6 เดือน

Read more

วิศวกรกูเกิลระบุ ตัวป้องกันไวรัสมีผลเพียงเล็กน้อย ลงทุนกับการป้องกันอื่นดีกว่า

By lew Founder on Tag: Google, Security, Antivirus
Google

Darren Bilby วิศวกรความปลอดภัยของกูเกิลออกมาแนะนำในงาน Kiwicon ให้วงการความปลอดภัยไซเบอร์ลงทุนกับการป้องกันที่ได้ผลสูงดีกว่าการป้องกันที่ได้ผลน้อยอย่าง ระบบป้องกันการบุกรุก (intrusion detection system - IDS) หรือตัวป้องกันไวรัส

เขาระบุว่าวิศวกรถูกบังคับให้ติดตั้งเครื่องมือเหล่านี้เพื่อทำตามมาตรฐาน แทนที่จะลงแรงไปกับมาตรการป้องกันที่ได้ผลจริง เช่น การทำรายการแอปพลิเคชั่นที่ยอมรับได้ (whitelisting)

Read more

นักวิจัยพบ backdoor แอบส่งข้อมูลกลับจีนฝังอยู่ในสมาร์ทโฟนแอนดรอยด์กว่า 700 ล้านเครื่อง

By BlackMiracle Writer on Tag: Android, Security, Blu
Android

นักวิจัยด้านความปลอดภัยจาก Kryptowire รายงานว่าพวกเขาค้นพบโปรแกรม backdoor ฝังอยู่ในสมาร์ทโฟนแอนดรอยด์ราคาถูกกว่า 700 ล้านเครื่อง คอยแอบส่งข้อมูลกลับประเทศจีนทุก 72 ชั่วโมง

โปรแกรม backdoor ดังกล่าวเป็นของบริษัท AdUps Technology มีสำนักงานอยู่ที่นครเซี่ยงไฮ้ ประเทศจีน ซึ่งบริษัทฯ บอกว่ามีโปรแกรมของตนรันอยู่บนสมาร์ทโฟนทั่วโลกกว่า 700 ล้านเครื่อง นอกจากนี้ AdUps ยังให้ซอฟต์แวร์ของตนแก่ ZTE และ Huawei ด้วย

Read more

ง่ายกว่าทำเอง DNSimple ผู้ให้บริการ DNS ประกาศรองรับ Let's Encrypt ในตัว ผู้ใช้รอโหลดใบรับรองได้เลย

By lew Founder on Tag: Let's Encrypt, Security, DNS
Let's Encrypt

Let's Encrypt เปิดให้บริการใบรับรองฟรีจนกระทั่งมีเว็บจำนวนมากอัพเกรดขึ้นมา แต่การขอใบรับรองผ่านโปรโตคอล ACME ก็อาจจะยุ่งยากสำหรับนักพัฒนาเว็บจำนวนหนึ่ง กลายเป็นอุปสรรคสำหรับการใช้งาน ที่ผ่านมาการใช้งานที่สะดวกที่สุดคือบริการโฮสต์รองรับ Let's Encrypt ให้เองทำให้นักพัฒนาไม่ต้องทำอะไร แต่ตอนนี้ผู้ให้บริการ DNS อย่าง DNSimple ก็ประกาศเพิ่มทางอำนวยความสะดวกอีกทาง

Read more

Omise ผ่านการรับรอง PCI-DSS 3.2 เป็นบริษัทแรกในไทย

By lew Founder on Tag: Omise, Thailand, FinTech, PCI-DSS, Security
Omise

Omise บริการ payment gateway ที่ผ่านการรับรอง PCI-DSS 3.0 มาตั้งแต่ปี 2014 ผ่านมาสองปีทางบริษัทก็ระบุว่าผ่านการรับรอง PCI-DSS 3.2 เรียบร้อยแล้ว พร้อมระบุว่าเป็นบริษัทแรกในไทยที่ผ่านการรับรองมาตรฐานรุ่นล่าสุดนี้ ทั้งการจัดเก็บ, การประมวลผล, และการส่งข้อมูลบัตร

มาตรฐานความปลอดภัย PCI-DSS 3.2 เพิ่มความเข้มงวดในการเข้าถึงระบบเพิ่มเติม และต้องรายงานกระบวนการย้ายออกจาก SSL และ TLS รุ่นเก่าหากยังมีการใช้งานอยู่

Read more

ลายนิ้วมือเปลี่ยนไม่ได้, Kaspersky ระบุโลกใต้ดินเริ่มขาย Skimmer สำหรับลายนิ้วมือและม่านตา

By lew Founder on Tag: Biometric, Security, Kaspersky
Biometric

Kaspersky Lab รายงานการติดตามตลาดใต้ดิน พบว่าเริ่มมีผู้ผลิต skimmer สำหรับการขโมยข้อมูลชีวภาพ (biometric) จากเหยื่อเพื่อไปใช้ในอาชญากรรม หลังจากหลายอุตสาหกรรมเพิ่มมาตรการการยืนยันตัวตนผู้ใช้ด้วยข้อมูลอื่นนอกจากรหัสผ่าน

ปัญหาของการใช้ข้อมูลชีวภาพ ไม่ว่าจะเป็นลายนิ้วมือ, ใบหน้า, ม่านตา คือข้อมูลเหล่านี้หากหลุดไปยังคนร้ายและสามารถทำสำเนาได้สำเร็จ เหยื่อเองก็จะไม่มีทางเปลี่ยนข้อมูลเหล่านี้ได้อีกเลยตลอดชีวิต ต่างจากการถูกขโมยข้อมูลแถบแม่เหล็กบัตรเครดิต หรือรหัสผ่านบัญชีต่างๆ

Read more
Subscribe to Security