Security

เจ็บหนัก WoSign ยอมรับปัญหา: ปลด CEO ออก, แยก StartCom กลับเป็นบริษัทแยก

By lew

on 10 October 2016 - 13:27 Tag: WoSign, China, Security, Qihoo

WoSign

นับแต่ WoSign ถูกจับได้ว่าออกใบรับรองผิดพลาด ทางมอซิลล่าก็เตรียมลงโทษอย่างหนัก จนกระทั่งแอปเปิลออกมาประกาศไม่รับใบรับรองจากบริษัท ตอนนี้ปัญหาก็เกือบได้ข้อสรุป เมื่อตัวแทนจากทาง WoSign และ Qihoo 360 ผู้ลงทุนใน WoSign ได้เข้าพบกับมอซิลล่า

ทาง WoSign ยอมรับปัญหาหลายประการที่เกิดขึ้น และเตรียมมาตรการเพื่อจัดการปัญหา ได้แก่

Bruce Schneier เรียกร้อง ภาครัฐต้องมาคุมเข้มระบบความปลอดภัย IoT เพราะเอกชนไม่แคร์

By mk

on 8 October 2016 - 17:32 Tag: Internet of Things, Security

Internet of Things

Bruce Schneier ผู้เชี่ยวชาญความปลอดภัยคอมพิวเตอร์และการเข้ารหัส ออกมาเขียนบทความถึง กรณี Brian Krebs ถูกถล่มด้วย DDoS ครั้งใหญ่ด้วยอุปกรณ์ IoT ที่ถูกแฮ็กอย่างกล้องวงจรปิดต่อเน็ต เราเตอร์ที่ใช้ในบ้าน และอุปกรณ์ฝังตัวอื่นๆ ว่านี่จะกลายเป็นปัญหาใหญ่ของอินเทอร์เน็ตในอนาคต

NIST รายงานการศึกษาพฤติกรรม ระบบต้องระวังไม่ให้ผู้ใช้ "เหนื่อยล้ากับความมั่นคงปลอดภัย"

By lew

on 8 October 2016 - 14:30 Tag: NIST, Security, Psychology

NIST

เจ้าหน้าที่ฝ่ายไอทีกับผู้ใช้ในองค์กรคงมีปัญหากันบ่อยๆ เมื่อผู้ใช้ไม่ได้ระมัดระวังตัวเองกับความปลอดภัยต่างๆ หรือหาทางข้ามมาตรการที่องค์กรวางไว้อยู่เรื่อยๆ แต่รายงานใหม่ของ NIST ระบุว่าปัญหานี้อาจจะไม่ใช่ปัญหาของตัวผู้ใช้เองแต่เป็นระบบที่ออกแบบไม่ได้คำนึงถึงผู้ใช้

รายงาน "Security Fatigue" เป็นการสำรวจผู้ใช้ด้วยการสัมภาษณ์ผู้ใช้งาน 40 คน คนละ 45-60 นาที โดยสอบถามถึงการใช้งานระบบความปลอดภัย ตั้งแต่ไอคอน เครื่องมือ และคำศัพท์ต่างๆ ที่ผู้ใช้ต้องเจอ และวิเคราะห์ว่าอะไรเป็นสาเหตุทำให้ผู้ใช้เหนื่อยล้ากับความมั่นคงปลอดภัย และผลเมื่อผู้ใช้เหนื่อยล้ากับระบบขึ้นมา

รายงานแจ้งเตือนปั๊มอินซูลินอาจถูกแฮก แต่ความเสี่ยงต่ำ

By lew

on 6 October 2016 - 18:45 Tag: Medical, Security

Medical

Rapid7 ออกรายงานแจ้งเตือนช่องโหว่ของ Animas OneTouch Ping ปั๊มอินซูลินพร้อมเครื่องวัดระดับกลูโคส โดยเครื่องวัดและตัวปั๊มแยกจากกันและสื่อสารผ่านคลื่นวิทยุ

รายงานระบุว่าอุปกรณ์ทั้งสองชิ้นสื่อสารกันโดยไม่ได้เข้ารหัส และแฮกเกอร์สามารถปลอมข้อมูลจากเครื่องวัดระดับกลูโคสได้ ทำให้ตัวปั๊มอินซูลินทำงานผิดพลาด อย่างไรก็ดีความเสี่ยงที่จะมีการโจมตีเป็นวงกว้างค่อนข้างต่ำ

กูเกิลออกแพตช์ความปลอดภัย Android เดือนตุลาคม 2016, Nexus 6 ได้อัพเป็น Nougat แล้ว

By mk

on 4 October 2016 - 15:02 Tag: Nexus 6, Nougat, Android, Security

Nexus 6

กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนตุลาคม 2016 โดยเดือนนี้แยกแพตช์เป็น 2 ชุดคือชุด 1 ต.ค. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน และชุด 5 ต.ค. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 ต.ค. มาด้วย)

ฝั่งของผู้ใช้งาน Nexus จะได้อัพเดต OTA ตัวเดียวเป็นแพตช์เวอร์ชัน 5 ต.ค. (แพตช์ 1 ต.ค. ไม่ออก OTA ให้ผู้ใช้โดยตรง แต่ออกแพตช์ให้ผู้ผลิตเท่านั้น และจะเปิดซอร์สโค้ดบน AOSP ในภายหลัง)

แฮกเกอร์ปล่อยซอร์สโค้ดมัลแวร์ Mirai สำหรับทำ DDoS ด้วยการแฮกอุปกรณ์ IoT

By lew

on 3 October 2016 - 12:59 Tag: Malware, DDoS, Brian Krebs, Security, Mirai

Malware

ผู้ใช้ Anna-senpai ในบอร์ด Hackforums ประกาศออกจากวงการด้วยการปล่อยซอร์สโค้ดมัลแวร์ Mirai สำหรับเข้าควบคุมอุปกรณ์ IoT ผ่านทางรหัสผ่านมาตรฐาน หรือบัญชีผู้ใช้ที่ฮาร์ดโค้ดเอาไว้

Mirai จะเข้าควบคุมอุปกรณ์จำนวนมาก สั่งให้อุปกรณ์เหล่านั้นรับคำสั่งจากเซิร์ฟเวอร์สั่งการ Anna ระบุว่าสามารถดึงบอทได้สูงสุดถึง 380,000 เครื่อง แต่หลังจากมีผู้ให้บริการปรับปรุงเน็ตเวิร์คหลังการโจมตี Brian Krebs ตอนนี้มัลแวร์สามารถดึงบอทได้ประมาณ 300,000 เครื่อง

Chrome OS อัพเดตล่าสุดแก้ช่องโหว่ฝังโค้ดจากโหมด guest ข้ามการรีบูตเครื่อง จ่ายรางวัล 100,000 ดอลลาร์

By lew

on 2 October 2016 - 01:19 Tag: Chrome, Security, Bug Bounty

Chrome

Chrome OS ออกอัพเดต 53.0.2785.144 แก้ไขชุดช่องโหว่ระดับสูงสุด คือสามารถฝังโค้ดไว้ในเครื่องเมื่อรันจากโหมด guest และโค้ดนี้สามารถใช้งานได้แม้จะบูตเครื่องใหม่แล้วก็ตาม

ปกติแล้ว Chrome OS มีระบบการตรวจสอบความถูกต้องของซอฟต์แวร์ระหว่างการบูตที่แน่นหนาอย่างมาก โครงการให้รางวัลรายงานช่องโหว่ของ Chrome นั้นจัดรางวัลสำหรับช่องโหว่แบบนี้แยกจากช่องโหว่อื่นๆ ให้รางวัลถึง 100,000 ดอลลาร์ ขณะที่ช่องโหว่อื่นมีรางวัลไม่เกิน 15,000 ดอลลาร์เท่านั้น

พนักงาน Verizon แอบขายข้อมูลการโทรและที่อยู่ลูกค้าให้นักสืบเอกชน

By nismod

on 29 September 2016 - 21:41 Tag: Verizon, Security, Privacy, Crime

Verizon

Daniel Eugene Traeger เจ้าหน้าทีเทคนิคของ Verizon ถูกจับกุมและยอมรับผิด ฐานแฮกและขโมยข้อมูลการโทรและที่อยู่ของลูกค้า Verizon และนำไปขายให้กับนักสืบเอกชนในช่วงปี 2009-2014 ซึ่งทำเงินได้มากกว่า 1 หมื่นเหรียญสหรัฐ

Verizon ระบุว่า Traeger แอบล็อกอินเข้าระบบ MARS ของ Verizon ก่อนจะใช้ระบบ Real Time Tool ยิง ping ไปยังเครื่องลูกค้าที่อยู่บนเครือข่าย และส่งข้อมูลที่อยู่ตำแหน่งที่ตั้งในรูปแบบ spreadsheet ไปให้นักสืบเอกชน

Traeger อาจถูกจำคุกสูงสุดถึง 5 ปีจากข้อหาแฮกและบุกรุกคอมพิวเตอร์

นักศึกษาในสหรัฐถูกจับ ฐานแฮกระบบแก้เกรดให้ตนเองและเพื่อน

By nismod

on 28 September 2016 - 17:15 Tag: USA, Security, Hacking

USA

Chase Arthur Huges นักศึกษาวัย 19 ปีจากมหาวิทยาลัย Kennesaw State University ในรัฐจอร์เจีย ถูกจับกุมหลังเจาะเข้าระบบคอมพิวเตอร์ของมหาวิทยาลัย เพื่อแก้เกรดให้ตนเองและเพื่อนรวม 3 คนให้เป็นเกรด A

จากการสอบสวน ตำรวจพบว่า Hughes เคยแฮกมาแล้วหลายครั้ง ผ่านการเชื่อมต่ออินเทอร์เน็ตของแฟน ก่อนที่จะพบยูสเซอร์เนมและพาสเวิร์ดของเจ้าหน้าที่คณะ ไม่ต่ำกว่า 36 คนในโน้ตบุ๊คที่ตำรวจยึดได้ ขณะที่การแฮกครั้งนี้ ตำรวจได้รับแจ้งหลังอาจารย์ได้รับอีเมลว่ามีเกรดถูกแก้ในระบบ

เสริมกำแพงเหล็ก ไมโครซอฟท์เพิ่มโหมด Edge รันใน VM จำกัดความเสียหายจากมัลแวร์

By mk

on 27 September 2016 - 10:02 Tag: Microsoft Edge, Hyper-V, Virtualization, Security, Enterprise, Windows 10, Microsoft

Microsoft Edge

ไมโครซอฟท์ประกาศฟีเจอร์ใหม่ของ Windows 10 ชื่อ Windows Defender Application Guard for Microsoft Edge มันคือการนำเบราว์เซอร์ Edge ไปรันใน VM เพื่อยกระดับความปลอดภัยอีกชั้น

เบราว์เซอร์รุ่นใหม่ๆ ทำงานใน sandbox เพื่อจำกัดความเสียหายของมัลแวร์ที่อาจทะลุช่องโหว่ของเบราว์เซอร์เข้ามา แต่ sandbox ที่ว่านี้คือซอฟต์แวร์ที่ยังอาจมีช่องโหว่ได้ แต่ฟีเจอร์ตัวใหม่นี้แยก Edge ไปรันใน VM ที่ใช้เทคโนโลยี Hyper-V ของไมโครซอฟท์ ซึ่งรันบนฮาร์ดแวร์ที่รองรับ (Intel VT-d) อีกทีหนึ่ง การแยกส่วนหรือ isolation ตัวเบราว์เซอร์ออกจากระบบปฏิบัติการหลัก จึงเข้มแข็งกว่ากันมาก ต่อให้มัลแวร์ทะลุเข้ามาก็ถูกจำกัดวงอยู่แต่ใน VM เท่านั้น

Mozilla เตรียมเลิกเชื่อถือใบรับรองจาก WoSign, เลิกเชื่อถือ Ernst & Young ฮ่องกงไปพร้อมกัน

By lew

on 27 September 2016 - 02:21 Tag: Security, Digital Certificate, China, Mozilla

Security

เหตุการณ์ CA จีน WoSign ออกใบรับรองผิดพลาด ถูกขยายผลต่อเนื่องมาถึงการควบรวมกิจการโดยไม่ได้แจ้งให้ผู้ผลิตเบราว์เซอร์รับทราบ ตอนนี้ทาง Mozilla ก็ออกมาแถลงถึงมาตรการต่อ WoSign แล้ว

เอกสารของ Mozilla ระบุว่ากำลังจะถอน WoSign และ StartCom ออกจากการเชื่อถือของเบราว์เซอร์เป็นเวลาอย่างน้อยหนึ่งปี โดยหากต้องการกลับเข้ามาเป็น root CA อีกครั้งจะต้องผ่านกระบวนการใหม่ทั้งหมด มาตรการเพิ่มเติมได้แก่

พลิกวิกฤติเป็นหายนะ OpenSSL ออกแพตช์ฉุกเฉิน หลังแพตช์ชุดที่แล้วสร้างบั๊กระดับวิกฤติ

By lew

on 27 September 2016 - 01:42 Tag: OpenSSL, Security

OpenSSL

เมื่อสัปดาห์ที่แล้ว OpenSSL ออกแพตช์อัพเดตความปลอดภัยโดยช่องโหว่สำคัญที่สุดอยู่ที่ระดับ "สูง" แต่ปรากฎว่าแพตช์ชุดหนึ่งกลับสร้างช่องโหว่ระดับวิกฤติขึ้นมา ทำให้ต้องเร่งออกแพตช์อีกครั้ง

แพตช์ที่สร้างปัญหาคือแพตช์อุดช่องโหว่ระดับต่ำ CVE-2016-6307 ที่มีการจองหน่วยความจำมากเกินความจำเป็น ช่องโหว่นี้โจมตีได้จำกัด ในบางกรณีอาจจะนำให้ระบบที่หน่วยความจำจำกัดเกิดซอฟต์แวร์ล่มไปได้

แต่ปรากฎว่าแพตช์กลับสร้างช่องโหว่ use-after-free โดยทั่วไปแล้วช่องโหว่นี้น่าจะทำให้ซอฟต์แวร์แครช แต่มีความเสี่ยงที่แฮกเกอร์จะไปใช้รันโค้ดได้

เครือข่ายกล้องวงจรปิดที่ถูกแฮ็ก ถูกใช้ยิง DDoS ขนาดใหญ่เป็นประวัติการณ์ถึง 1Tbps

By mk

on 26 September 2016 - 08:09 Tag: DDoS, Security, Hosting, Botnet

DDoS

ต่อจากข่าว เว็บไซต์ KrebsOnSecurity ถูกถล่มด้วย DDoS ขนาดใหญ่ที่สุดในประวัติศาสตร์ สถิติก็ถูกทำลายอย่างรวดเร็ว เมื่อ OVH เว็บโฮสติ้งรายใหญ่จากฝรั่งเศส รายงานว่าถูกโจมตีด้วย DDoS ทราฟฟิกมหึมาถึง 1Tbps เลยทีเดียว (ของ Krebs คือ 665Gbps) โดยทราฟฟิกก้อนใหญ่ที่สุดที่ถูกยิงเข้ามามีขนาด 799Gbps

Octave Klaba ผู้ก่อตั้ง OVH เผยข้อมูลเรื่องนี้บน Twitter ของเขาเอง โดยระบุว่าตัว botnet ที่ใช้ยิง DDoS เป็นเครือข่ายกล้องวงจรปิดหรือเครื่องบันทึกวิดีโอ (DVR) ที่ติดมัลแวร์จำนวน 1.45 แสนเครื่อง ศักยภาพของมันสามารถยิงทราฟฟิกขนาดมากกว่า 1.5Tbps

Street Fighter V แอบฝังไฟล์ Capcom.sys ลงในเครื่องของผู้ใช้ เข้าถึงระดับเคอร์เนล

By mk

on 24 September 2016 - 21:28 Tag: Street Fighter, Capcom, Rootkit, Security, Games

Street Fighter

กลายเป็นเรื่องขึ้นมา เมื่อมีคนไปค้นพบว่า Capcom แอบไปฝัง rootkit ไว้ในเกม Street Fighter V เวอร์ชันล่าสุดบนพีซี โดยบริษัทอ้างว่าฝังไว้เพื่อป้องกันไม่ให้ผู้เล่นโกงเกม แต่ผลกลับเป็นว่าตัวซอฟต์แวร์เขียนมาไม่ดีพอ และกลายเป็น backdoor ให้กับคอมพิวเตอร์ของผู้เล่นได้

ตามปกติแล้ว ซีพียูยุคปัจจุบันมีชุดคำสั่งชื่อ SMEP (Supervisor Mode Execution Protection) เอาไว้ "ป้องกัน" การรันโค้ดในหน่วยความจำโดยตรง เพื่อปิดโอกาสไม่ให้แฮ็กเกอร์หลอกระบบปฏิบัติการ แล้วนำโค้ดไปรันได้ง่าย

เว็บผู้เชี่ยวชาญความปลอดภัย Brian Krebs ถูกถล่มด้วย DDoS ครั้งใหญ่ที่สุดในประวัติศาสตร์

By mk

on 24 September 2016 - 21:04 Tag: Brian Krebs, DDoS, Security

Brian Krebs

Brian Krebs ผู้เชี่ยวชาญความปลอดภัยชื่อดัง (Blognone เขียนถึงเขามาหลายครั้ง ถึงขั้นมีแท็กของตัวเอง) เผยว่าบล็อก KrebsOnSecurity.com ถูกถล่มด้วยการยิง DDoS ครั้งใหญ่ที่สุดเป็นประวัติการณ์ นับทราฟฟิกได้มากถึง 665 Gbps

5 เทคนิคการใช้บริการธนาคารอินเทอร์เน็ตให้ปลอดภัย

By advertorial on 24 September 2016 - 10:28 Tag: CAT Telecom, Advertorial, Internet Banking, Security

CAT Telecom

ทุกวันนี้ ผู้อ่านหลายท่านน่าจะใช้บริการธนาคารผ่านอินเทอร์เน็ต (internet banking) ผ่านอุปกรณ์ต่างๆ ไม่มากก็น้อย บทความชิ้นนี้จะมาแนะนำ 5 ข้อหลักๆ ที่เป็นเทคนิคในการใช้งานบริการธนาคารผ่านอินเทอร์เน็ตให้ปลอดภัยและไร้ปัญหาครับ

บัญชี Yahoo! ที่หลุดไปมีจำนวนมากถึง 500 ล้านบัญชี และนี่อาจเป็นการแฮ็กที่ยิ่งใหญ่ที่สุดตลอดกาล

By BlackMiracle

on 23 September 2016 - 09:40 Tag: Yahoo!, Hacking, Security

Yahoo!

เมื่อต้นเดือนสิงหาคมที่ผ่านมา มีข่าวว่าบัญชีผู้ใช้ Yahoo! จำนวน 200 ล้านบัญชีถูกขโมยออกไปขายบนเว็บใต้ดิน แต่ล่าสุด Yahoo! ได้ออกแถลงการณ์เกี่ยวกับเรื่องนี้ ระบุว่าแท้จริงแล้วมีบัญชีถูกขโมยออกไปอย่างน้อย 500 ล้านบัญชีเลยทีเดียว

ข้อมูลบัญชีดังกล่าวถูกขโมยออกไปตั้งแต่ปี 2014 (ข่าวเก่าบอกว่าปี 2012) ประกอบด้วยชื่อเจ้าของ, อีเมล, เบอร์โทรศัพท์, วันเกิด, รหัสผ่านที่ "ส่วนใหญ่" แฮชไว้ด้วย bcrypt และคำถาม-คำตอบความปลอดภัยที่มีทั้งแบบเข้ารหัสไว้และไม่ได้เข้ารหัส โดย Yahoo! ระบุว่าจากการสอบสวนขณะนี้ไม่มีข้อมูลบัตรเครดิต หรือบัญชีธนาคารหลุดออกไปด้วย และกล่าวว่าเหตุการณ์นี้น่าจะเป็นการแฮ็กที่ได้รับการสนับสนุนจากรัฐบาล

SWIFT เตือนยังมีลูกค้าถูกโจมตีต่อเนื่อง ออกรายงานข้อความประจำวันลดความเสี่ยง

By lew

on 22 September 2016 - 15:04 Tag: SWIFT Messaging, Security, Banking

SWIFT Messaging

Alain Desausoi หัวหน้าฝ่ายความมั่นคงปลอดภัยข้อมูล (CISO) ให้สัมภาษณ์ในงาน Financial Times Cyber Security Summit Europe ระบุว่าการโจมตีและพยายามส่งข้อความปลอมในระบบ SWIFT ยังมีอย่างต่อเนื่อง

Desausoi ระบุว่าตอนนี้ยังไม่มีข้อมูลใดแสดงให้เห็นว่าระบบแกนของ SWIFT ถูกโจมตี และทาง SWIFT กำลังพยายามช่วยให้ลูกค้าปรับปรุงความปลอดภัยของตัวเองผ่านทางโครงการ Customer Security Programme (CSP)

Gmail เตรียมยกเลิก OAuth สำหรับแอปภายนอกทุกครั้งที่เปลี่ยนรหัสผ่าน

By lew

on 22 September 2016 - 13:39 Tag: Gmail, Google, Security, OAuth

Gmail

กูเกิลออกประกาศแจ้งเตือนนักพัฒนาว่าการเข้าถึงข้อมูลผู้ใช้ผ่าน OAuth 2.0 จะมีการเปลี่ยนนโยบายในวันที่ 5 ตุลาคมนี้ โดยหากผู้ใช้เปลี่ยนรหัสผ่าน จะยกเลิก OAuth Token ทั้งหมดไปพร้อมกัน

ปกตินักพัฒนาจะต้องรองรับกรณีที่ผู้ใช้ยกเลิก token อยู่แล้ว แต่การเปลี่ยนนโยบายเช่นนี้หากแอปพลิเคชั่นรองรับไว้ครบถ้วนแล้วก็น่าจะทำงานได้ถูกต้องเหมือนเดิม สำหรับผู้ใช้ทั่วไปก็จะไม่พบความเปลี่ยนแปลงใด

นักวิจัยจีนโชว์แฮกรถ Tesla ควบคุมได้ตั้งแต่การเลื่อนเบาะไปจนถึงสั่งเบรกจากระยะไกล

By BlackMiracle

on 21 September 2016 - 23:24 Tag: Automobile, Hacking, Security, China, Tesla

Automobile

ในยุคที่อะไรๆ ก็สมาร์ท ย่อมหนีไม่พ้นการตกเป็นเป้าโจมตีอย่างแน่นอน รถยนต์ไฟฟ้า Tesla ที่เชื่อมต่ออินเทอร์เน็ตได้ก็หนีไม่พ้น โดยกลุ่มนักวิจัยชาวจีนจาก Keen Security Lab ได้อัพโหลดวิดีโอสาธิตการแฮกรถยนต์ Tesla Model S หลากหลายรูปแบบ ตั้งแต่การเลื่อนเบาะไปจนถึงสั่งให้รถเบรกจากระยะไกล

ทีมนักวิจัยนำโดย Sen Nie นักวิจัยอาวุโสของ Keen Security Lab ได้สาธิตการแฮก Tesla Model S P85 เดิมๆ ไม่ได้ปรับแต่งใดๆ เริ่มด้วยการสั่งเปิดหลังคาซันรูฟจากระยะไกล จากนั้นก็โชว์เปิดไฟเลี้ยวและปรับเบาะ

Subscribe to Security