Tags:
Node Thumbnail

กูเกิลลืมเปลี่ยนใบรับรองรับ CA ระหว่างกลาง (intermediate CA) ชื่อว่า Google Internet Authority G2 หมายเลขประจำใบรับรอง 0x023A69 ที่หมดอายุไปเมื่อวันที่ 4 เมษายนที่ผ่านมา ส่งผลให้ผู้ใช้ที่ล็อกอินผ่าน SMTP ที่ใช้ใบรับรองนี้เข้าใช้งานไม่ได้เพราะโปรแกรมอ่านเมลอย่าง Thunderbird หรือโปรแกรมอื่นๆ จะเตือนว่าใบรับรองไม่น่าเชื่อถือ

บริการอื่นๆ ของกูเกิลเปลี่ยนใบรับรองเป็นใบรับรองหมายเลข 0x023A76 มาตั้งแต่ปี 2013 และจะหมดอายุในปี 2017 กูเกิลไม่ได้ให้ความเห็นว่าทำไมใบรับรองนี้จึงถูกลืมเปลี่ยนจนหมดอายุ

หน้าจอสถานะบริการของกูเกิลยืนยันปัญหานี้ตั้งแต่เริ่มเข้าวันที่ 5 เมษายนเวลา 12.21 น. เมื่อใบรับรองหมดอายุไป 21 นาที และเปลี่ยนใบรับรองให้ใหม่ในอีกสองชั่วโมงต่อมา

Tags:
Node Thumbnail

NCC Group ออกรายงานการตรวจสอบ TrueCrypt รอบที่สอง (PDF) หลังจากตรวจสอบรอบแรกไปเมื่อปีที่แล้ว รายงานฉบับนี้ตรวจสอบ TrueCrypt รุ่น 7.1a เฉพาะบนวินโดวส์เท่านั้น

รายงานพบช่องโหว่กระบวนการเข้ารหัสความร้ายแรงสูงสองจุด ระดับต่ำหนึ่งจุด และยังไม่สามารถจัดระดับได้อีกหนึ่งจุด แต่โดยรวมแล้วทีมงานไม่พบว่ามีช่องโหว่ร้ายแรงที่วางไว้อย่างจงใจแต่อย่างใด

Tags:
Topics: 
Node Thumbnail

รัฐบาลโอบามาประกาศคำสั่งฝ่ายบริหาร (Executive Order) ให้อำนาจกับรัฐมนตรีกระทรวงการคลังร่วมกับอัยการสูงสุดและรัฐมนตรีกระทรวงต่างประเทศ สามารถสั่งคว่ำบาตรบุคคลหรือหน่วยงานที่เป็นภัยต่อความมั่นคงไซเบอร์ของสหรัฐฯ

หลังการประกาศมาตรการนี้ทางรัฐบาลไม่ได้ประกาศคว่ำมาตรใครตามออกมา แต่ทางทำเนียบขาวระบุว่าอำนาจใหม่นี้จะใช้เฉพาะกรณีที่ประเทศปลายทางมีกฎหมายความมั่นคงไซเบอร์ที่อ่อนแอ หรือไม่ตอบสนองต่อช่องทางปกติ

ก่อนหน้านี้สหรัฐฯ เคยระบุว่าเกาหลีเหนือเป็นผู้รับผิดชอบต่อการแฮกโซนี่ และเพิ่มมาตรการคว่ำบาตร

ที่มา - BBC

Tags:
Node Thumbnail

เมื่อวานนี้กูเกิลประกาศถอด root CA ของ CNNIC หน่วยงานรับรองตัวตนจากจีน วันนี้ทางมอสซิลล่าก็ออกมาประกาศแบบเดียวกัน

ประกาศของมอสซิลล่ามีรายละเอียดมากกว่าของกูเกิลเล็กน้อย โดยระบุว่าใบรับรองจาก CNNIC ทั้งหมดที่เริ่มใช้งานก่อนวันที่ 1 เมษายนที่ผ่านมา (ดูจากข้อมูล notBefore) จะยังคงใช้งานได้ต่อไป แต่ทั้งนี้ CNNIC จะต้องเปิดเผยรายชื่อใบรับรองเหล่านี้ให้กับทางมอสซิลล่า และหากมอสซิลล่าพบใบรับรองอื่นๆ ที่ไม่อยู่ในรายการที่ CNNIC ให้มา (แม้จะเป็นใบรับรองที่ถูกต้อง) ทางมอสซิลล่าอาจจะมีมาตรการเพิ่มเติมต่อไป

Tags:
Node Thumbnail

Firefox 37 เตรียมรองรับมาตรฐาน HTTP/2 มีฟีเจอร์หนึ่งเพิ่มเข้ามาสำหรับเซิร์ฟเวอร์ทั่วไป คือ opportunistic encryption (OE) เป็นการเข้ารหัสจากใบรับรองแบบรับรองตนเอง (self-signed) ที่แม้ว่าจะไม่ได้ช่วยยืนยันว่าเรากำลังเชื่อมต่อกับเซิร์ฟเวอร์อยู่จริง แต่ก็ป้องกันการดักฟังปกติที่ไม่ได้คั่นกลางการเชื่อมต่อ

เซิร์ฟเวอร์ที่รองรับมาตรฐานนี้จะต้องเป็นเซิร์ฟเวอร์ HTTP/2 และคอนฟิกให้รองรับการเชื่อมต่อแบบเข้ารหัสที่พอร์ต 443 โดยใช้ใบรับรองอะไรก็ได้ แม้แต่ใบรับรองแบบรับรองตัวเอง จากนั้นเพิ่มฟิลด์ Alt-Svc: h2=":443" เข้าไปใน HTTP header ของการเชื่อมต่อพอร์ต 80 ธรรมดา

Tags:
Node Thumbnail

รัฐบาลสิงคโปร์ตั้งหน่วยงานใหม่ Cyber Security Agency of Singapore (CSA) สนับสนุนการให้พัฒนาระบบไอทีของหน่วยงานรัฐและเอกชนมีความมั่นคงปลอดภัยดีขึ้น

หน้าที่ของ CSA มีสี่อย่าง ได้แก่ สนับสนุนให้อุตสาหกรรมตระหนักถึงความสำคัญของความมั่นคงปลอดภัยไซเบอร์, พัฒนาอุตสาหกรรมความมั่นคงปลอดภัยไซเบอร์ให้มีกำลังคนเพียงพอต่อความต้องการ, ปกป้องโครงสร้างพื้นฐานของประเทศเช่นพลังงานและธนาคาร, อำนวยการให้มีความร่วมมือในการรับมือกับภัยต่างๆ

Tags:
Node Thumbnail

กูเกิลอัพเดตการตกลงระหว่างกูเกิลและ CNNIC ที่ออกใบรับรองให้กับ MCS Holdingsไปใส่พรอกซี่ดักฟัง ล่าสุดกูเกิลประกาศว่าจะถอด root CA ทั้งสองตัวของ CNNIC ออกจาก Chrome แล้ว แม้จะให้เวลาอีกระยะหนึ่งกับลูกค้าของ CNNIC ก่อนหน้านี้ให้เปลี่ยน CA โดยระหว่างนี้ถือว่าใบรับรองของลูกค้า CNNIC ที่ออกมาก่อนหน้านี้ยังคงน่าเชื่อถือไปอีกระยะหนึ่ง

CNNIC สัญญาว่าจะรองรับ Certificate Transparency กับใบรับรองทุกใบที่ออกมา จากที่ก่อนหน้านี้ CA รายอื่นๆ มักรองรับเฉพาะใบรับรองแบบ EV เมื่อรับรองเรียบร้อยทาง CNNIC จึงดำเนินการขอให้กูเกิลกลับเข้ามารองรับ CA ของ CNNIC อีกครั้ง

Tags:
Node Thumbnail

ข่าวนี้ต่อจากข่าวการโจมตี GitHub โดยแก้สคริปต์โฆษณาของไป่ตู้ และทางไป่ตู้จีนก็ออกมายืนยันแล้วว่าระบบของบริษัทไม่ได้ถูกแฮก วันนี้ทางไป่ตู้ประเทศไทยออกข่าวประกาศแบบเดียวกันว่าระบบของบริษัทไม่ได้ถูกแฮกและวิศวกรของไป่ตู้กำลังทำงานร่วมกับองค์กรรักษาความปลอดภัยเพื่อหาสาเหตุต่อไป

Tags:
Node Thumbnail

ต่อจากข่าว จีนดักแก้ทราฟฟิกโฆษณาจากเว็บ Baidu ให้กลายเป็นสคริปต์​โจมตี DDoS เว็บ GitHub ทางฝั่งของ GitHub ก็ออกมาเผยข้อมูลว่าถูกโจมตีจริงๆ โดยเริ่มตั้งแต่วันที่ 26 มีนาคมที่ผ่านมา

GitHub บอกว่าการโจมตีมีทั้งเทคนิคแบบเดิมๆ ที่เคยพบมา และเทคนิคใหม่ที่ใช้คนที่ไม่มีส่วนเกี่ยวข้องช่วยกันยิง GitHub (ซึ่งก็คือเทคนิคในข่าวก่อนหน้านี้) ส่วนแรงจูงใจของการโจมตีคาดว่าน่าจะต้องการให้ GitHub ลบเนื้อหาบางอย่างออกจากเว็บ (หน้าเพจของ GitHub ที่โดนยิง คือเนื้อหาจากเว็บที่โดนแบนในประเทศจีน ได้แก่เว็บ Greatfire.org และ Chinese New York Times) ทางเว็บทิ้งท้ายว่าจะทำงานเต็มที่เพื่อให้ GitHub ใช้งานได้อย่างต่อเนื่อง

Tags:
Node Thumbnail

Slack หนึ่งในบริการและแอพพลิเคชันสำหรับการทำงานร่วมกัน (อ่านรายละเอียดเพิ่มเติมที่นี่) ออกมาประกาศเมื่อกลางดึกที่ผ่านมา (ตามเวลาในประเทศไทย) ว่าระบบฐานข้อมูลผู้ใช้งานถูกแฮกในเดือนกุมภาพันธ์ ซึ่งกินระยะเวลานาน 4 วัน

Slack ระบุว่าฐานข้อมูลดังกล่าวบรรจุทั้งชื่อผู้ใช้, อีเมล, รหัสผ่านที่ถูกเข้ารหัส (hashed) อีกชั้นหนึ่ง และข้อมูลอื่นๆ ซึ่งผู้ใช้เลือกที่จะใส่เอาไว้ (เช่น ชื่อผู้ใช้ Skype) โดยระบุว่าไม่มีผู้ได้รับผลกระทบในด้านการเงินจากการถูกแฮก รวมไปถึงผู้เจาะระบบไม่สามารถถอดรหัสของรหัสผ่านเอาไว้ได้ แต่มีผู้ใช้บางรายที่อาจจะได้รับผลกระทบ และทาง Slack ได้ติดต่อเพื่อขอให้เปลี่ยนรหัสผ่านบ้างแล้ว

Tags:
Node Thumbnail

หลังจาก MCS Holdings ออกใบรับรองของกูเกิลโดยไม่ได้รับอนุญาต รายงานข่าวนี้กำลังถูกเซ็นเซอร์อย่างหนักในจีน ทาง GreatFire รายงานข่าวสี่แหล่งสำคัญที่ถูกกดดันให้ลบข้อมูล

Tags:
Node Thumbnail

หมายเหตุ: ข่าวก่อนหน้านี้มีความผิดพลาดในการแปล ต้องขออภัยเป็นอย่างสูงครับ

ผู้ใช้ชื่อ Anthr@X ได้โพสต์ในบล็อก insight-lab.org ว่าหลายเว็บไซต์ในประเทศจีนที่มีการลงโฆษณาจากเว็บ Baidu เมื่อเข้าเว็บไซต์ดังกล่าวจากนอกประเทศจีน จะพบหน้าจอป๊อบอัพเด้งขึ้นมาทุกๆ 5 วินาที ในเบื้องต้นเขาคาดว่าน่าจะเป็นการโจมตีประเภท Cross-Site Scripting (XSS) จึงได้ตรวจสอบโค้ดดังกล่าวแล้วพบว่ามีการเรียกไปยัง URL ของ GitHub จำนวนสอง URL คือ github.com/greatfire และ github.com/cn-nytimes

Tags:
Topics: 
Node Thumbnail

Cisco ออกมาเตือนช่องโหว่ในระบบโทรศัพท์ Cisco IP Phone รุ่น SPA300/SPA500 ที่ผู้ประสงค์ร้ายสามารถดักฟังการสนทนา รวมถึงสั่งโทรออกจากเครื่องที่โดนเจาะได้

อย่างไรก็ตาม การโจมตีผ่านช่องโหว่นี้จะต้องเข้าถึงเครือข่ายผ่านในบริษัท (หลังไฟร์วอลล์) ให้ได้ก่อน จากนั้นถึงค่อยส่งไฟล์ XML ที่ออกแบบมาเพื่อโจมตีไปยังเครื่องโทรศัพท์นั้น เงื่อนไขนี้ทำให้โอกาสที่เครื่องจะโดนโจมตีลดลงมาก

ตอนนี้ Cisco ยังไม่ออกแพตช์แก้ และแนะนำให้แอดมินระบบเปลี่ยนค่า XML execution authentication เป็น trusted users เท่านั้น

Tags:
Node Thumbnail

เนื่องจากชะตาฟ้ากำหนดว่าจะโดนหลอก ต้นเดือนที่ผ่านมาก็เลยได้ Xiaomi Mi 3 เสิ่นเจิ้นเวอร์ชั่นมาได้ครอบครอง

สงสัยชะตามันจะได้ Mi 3 มาแต่ต้น เพราะเมื่อเดินไปถาม Mi 4 แล้วแพง (13k) พอจะซื้อ Mi 3 (9.9k) ของก็หมด ก็เลยไปเดินวนดูรุ่นอื่น พอกำลังจะกลับก็เดินสวนกับเจ้าของร้านพอดี เขาบอกว่าสต๊อกของพึ่งมาส่ง พี่จะรอไหม กำลังจะเดินไปเอา ก็เลยตกลงรอ พอได้ของ เขาบอกว่าล็อตนี้ราคาลงพอดี ได้มาที่ราคา 7k

สิ่งที่ข้าพเจ้าทำตอนรับเครื่อง

Tags:
Node Thumbnail

กูเกิลออกประกาศเตือนว่ามีใบรับรอง SSL ปลอมออกโดย MCS Holdings หน่วยงานรับรองระหว่างกลาง (intermediate CA) ตั้งอยู่ในอียิปต์ ได้ออกใบรับรองโดเมนของกูเกิลหลายโดเมนทำให้มีความเสี่ยงว่าโดเมนเหล่านั้นจะถูกดักฟังโดยคนที่ได้รับกุญแจและใบรับรองเหล่านี้

โครมและไฟร์ฟอกซ์รุ่นใหม่ๆ จะได้รับแจ้งเตือนหากถูกดักฟังโดยเครื่องที่ใช้ใบรับรองเหล่านี้ เพราะมีการล็อกใบรับรองเอาไว้ แต่สำหรับผู้ใช้เบราว์เซอร์เก่าก็ยังมีความเสี่ยงอยู่

Tags:
Node Thumbnail

เว็บถ่ายทอดสดเกม Twitch ประกาศข่าวว่าโดนแฮ็กระบบ และข้อมูลผู้ใช้บางส่วนอาจถูกขโมย ทางเว็บไซต์จึงบังคับผู้ใช้ทุกคนเปลี่ยนรหัสผ่านใหม่ รวมถึงเปลี่ยนคีย์ที่ใช้เชื่อมต่อกับ Twitter/YouTube ด้วย

Twitch ขอให้ผู้ใช้ทุกคนเปลี่ยนรหัสผ่านทันที รวมถึงเปลี่ยนรหัสผ่านเดียวกันที่ใช้บนเว็บไซต์อื่นๆ ด้วย

ที่มา - Twitch

Tags:
Node Thumbnail

เพิ่มเติมจากที่คณะกรรมการเตรียมการด้านดิจิทัลฯ ประกาศแผนจัดตั้งศูนย์ข้อมูลแห่งชาติ ในงานสัมมนาที่จัดขึ้นโดยสำนักงานรัฐบาลอิเล็กทรอนิกส์ (สรอ.) ว่าด้วยการปูแผนงานเพื่อรับกับการก้าวไปสู่รัฐบาลดิจิทัลยังมีรายละเอียดเพิ่มเติมที่น่าสนใจอีกดังนี้

เริ่มต้นด้วยเรื่องการขยายการเข้าถึงอินเทอร์เน็ต ได้มีการจัดตั้งบรอดแบนด์แห่งชาติสำหรับติดตั้งเครือข่ายใยแก้วนำแสงให้เข้าถึงได้จากทุกพื้นที่ทั้งสถานประกอบการ หรือพื้นที่พักอาศัยของประชาชน โดยไม่ต้องออกกฎหมายมารองรับ ซึ่งคาดการณ์ว่าจะแล้วเสร็จภายในปี 2560 นี้

Tags:
Node Thumbnail

Vinny Troia ซีอีโอของบริษัท Night Lion Security สาธิตการขโมยบัญชีลูกค้า GoDaddy ด้วยกระบวนการวิศวกรรมสังคม (social engineering) โดยที่แฮกเกอร์ไม่สามารถเข้าถึงอีเมลของเหยื่อ หรือทราบรหัสอื่นๆ รู้เพียงข้อมูลส่วนตัวของเหยื่อเล็กน้อย

Troia สาธิตการเข้าควบคุมบัญชีโดเมนของ Steve Ragan นักข่าวจาก CSO Online ด้วยการโทรหาฝ่ายซัพพอร์ต โกหกว่าเขาไม่สามารถเข้าถึงบัญชีบน GoDaddy และอีเมลของเขาเองได้

Tags:
Node Thumbnail

Qualys ผู้ให้บริการ SSL Labs เปิดซอร์สโค้ดของโปรแกรม ssllabs-scan เพื่อให้ผู้ดูแลระบบสามารถเข้าถึง API ของ SSL Labs ได้ผ่าน command-line ทำให้ตั้งช่วงเวลาให้ตรวจสอบเซิร์ฟเวอร์เป็นระยะ และรายงานผลเป็นไฟล์ JSON ได้

ก่อนหน้านี้ Qualys เปิดหน้าเว็บ SSL Pulse แล้วตั้งการสแกนเว็บไซต์ประมาณ 200,000 เว็บแรกบนรายการ Alexa เพื่อรายงานสถานการณ์การคอนฟิก SSL อย่างถูกต้อง รายงานฉบับล่าสุดของเดือนนี้มีเว็บไซต์ที่คอนฟิกอย่างปลอดภัย (เกรด A- ขึ้นไป) อยู่ที่ 18.2% เท่านั้น

Tags:
Node Thumbnail

ฟีเจอร์ใหม่ของ Android 5.0 คือ Smart Lock ที่ช่วยให้เราใส่รหัสปลดล็อคมือถือน้อยลง เพราะมือถือจะนำข้อมูลหลายอย่างมาวิเคราะห์ว่าเราอยู่ในสภาพแวดล้อมที่ "น่าเชื่อถือ" จนไม่ต้องใส่รหัสซ้ำอีกรอบ

ตัวอย่างข้อมูลที่ Android ใช้วิเคราะห์คือ trusted places ถ้าเป็นสถานที่ที่เรามั่นใจ (เช่น บ้านหรือที่ทำงาน) ก็ตั้งค่าให้ไม่ต้องล็อครหัส, trusted devices ถ้าอยู่ใกล้กับอุปกรณ์บางอย่าง (เช่น นาฬิกา Android Wear ที่เชื่อมต่อผ่านบลูทูธ) ก็ยืนยันได้ว่าเป็นตัวเราเองใช้งานมือถือ

Tags:
Topics: 
Node Thumbnail

ไมโครซอฟท์ผลักดันระบบยืนยัน bootloader ด้วย Secure Boot มาตั้งแต่ช่วงออก Windows 8 ตอนนี้สเปคฮาร์ดแวร์ของ Windows 10 ในงาน WinHEC ทางไมโครซอฟท์เปิดช่องให้ผู้ผลิตฮาร์ดแวร์ล็อกการลงระบบปฎิบัติการบนเครื่องของตัวเองว่าต้องผ่านการรับรองจาก Secure Boot เท่านั้น

Tags:
Node Thumbnail

Pwn2Own งานแข่งขันแฮกเบราว์เซอร์จบงานแข่งสองวันลงแล้ว โดยเบราว์เซอร์ทั้งสี่ตัว คือ Internet Explorer, Firefox, Safari, และ Chrome ถูกแฮกได้สำเร็จทุกตัว

รางวัลใหญ่ที่สุดตกเป็นของ JungHoon Lee ที่สามารถแฮก Chrome ได้สำเร็จคนเดียวในงาน ได้รางวัล 75,000 ดอลลาร์จากการแฮกเบราว์เซอร์, 25,000 ดอลลาร์จากการรันโค้ดใน system level, และอีก 10,000 ดอลลาร์จากการเจาะ Chrome Beta นอกจากนี้ JungHoon ยังเจาะ Safari ได้อีกหนึ่งครั้ง ได้เงิน 50,000 ดอลลาร์ และ IE11 อีกครั้งเป็นเงิน 65,000 ดอลลาร์ รวมคนเดียวได้รางวัลไป 225,000 ดอลลาร์ เกือบครึ่งหนึ่งของทั้งงาน

งานสองวันมีการจ่ายรางวัลรวมทั้งหมด 557,500 ดอลลาร์

Tags:
Node Thumbnail

OpenSSL ประกาศบั๊กตามที่แจ้งไว้ล่วงหน้า แก้บั๊กความร้ายแรงสูงสองตัว ได้แก่ บั๊ก FREAK ที่เป็นข่าวไปเมื่อต้นเดือนที่ผ่านมา และบั๊กใหม่ที่ทำให้เซิร์ฟเวอร์ล่มได้จากการเชื่อมต่อจากภายนอก

Tags:
Node Thumbnail

ในเอกสารของ Edward Snowden ชุดที่เผยแพร่โดยนักข่าว Glenn Greenwald เมื่อปีที่แล้ว เปิดเผยว่า NSA แอบดักเอาอุปกรณ์เครือข่ายระหว่างการจัดส่ง เพื่อฝังช่องโหว่ลงในอุปกรณ์เครือข่ายสำหรับดักฟังหน่วยงานผู้ซื้ออุปกรณ์นั้น

ข่าวนี้สร้างความตื่นตระหนกให้กับบริษัทอุปกรณ์เครือข่ายอย่างมาก (เพราะของถูกดักเอากลางทาง ไม่สามารถการันตีลูกค้าได้ว่าสินค้าปลอดภัย) บริษัทรายใหญ่อย่าง Cisco เคยออกมาส่งจดหมายถึงประธานาธิบดีโอบามาให้แก้ปัญหาเรื่องนี้

Pages