Security

ชายหนุ่มถ่ายคลิปลองเล่นโปเกมอนในรถ Tesla ขณะเปิดโหมดขับเคลื่อนอัตโนมัติ

By sunnywalker

on 29 July 2016 - 12:15 Tag: Pokemon, Security, Tesla

Pokemon

เราเห็นตัวอย่างคนที่ประสบอุบัติเหตุหรือเจออะไรไม่คาดฝันระหว่างเล่นเกมโปเกมอนโกกันมาพอสมควรแล้ว และสำหรับรถยนต์อัตโนมัติ Tesla เราก็ได้ยินข่าวอุบัติเหตุด้วย ซึ่งล่าสุด ชายหนุ่มคนหนึ่งลองเล่นโปเกมอนในรถ Tesla เลย และให้รถบังคับตัวเองทั้งหมด โดยเขาใช้ทั้งสองมือในการจับโปเมอน และเขายังถ่ายคลิปวิดีโอไปด้วย แต่คลิปถูกลบออกไปแล้วเพราะมีกระแสด้านลบมากเหลือเกินต่อพฤติกรรมของเขา

ในคลิปเขาบอกว่า การเล่นโปเกมอนใน Tesla เป็นอะไรที่ดีมาก Tesla วิ่งไปบนถนนโดยไม่เกิดปัญหาอะไรเลย ทำให้คนดูคลิปเป็นกังวล จึงเกิดเสียงวิพากษ์วิจารณ์ว่าอันตรายเกินไป อีกอย่างยังขัดต่อเงื่อนไขการใช้งานของ Tesla เองด้วย

ที่มา - Carscoop

อดีตพนักงาน Citibank ถูกจำคุก 21 เดือน หลังลบคอนฟิกเราท์เตอร์หลัก 9 ตัว

By lew

on 28 July 2016 - 12:16 Tag: Citigroup, Security

Citigroup

Lennon Ray Brown อดีตพนักงาน Citibank ถูกตัดสินโทษจำคุก 21 เดือนจากการลบคอนฟิกคอร์เราท์เตอร์ 9 ตัวหลัก ทำให้เน็ตเวิร์คของ Citibank ดับไป 90% ของเครือข่ายธนาคารในอเมริกาเหนือ ในเดือนธันวาคม ปี 2013

Brown ส่งคำสั่งลบข้อมูลหลังได้รับผลประเมินประสิทธิภาพการทำงานไม่ดี เขาส่งข้อความไปหาเพื่อนร่วมงานระบุว่ากำลังถูกไล่ออก พร้อมกับแสดงเจตนาว่าจะแก้แค้น

นอกจากโทษจำคุกแล้ว Brown ยังถูกปรับเป็นเงิน 77,200 ดอลลาร์

พบช่องโหว่ LastPass เว็บมุ่งร้ายดึงรหัสผ่านได้ทุกเว็บ

By lew

on 28 July 2016 - 00:50 Tag: Security, LastPass

Security

Detectify รายงานช่องโหว่ของซอฟต์แวร์เก็บรหัสผ่าน LastPass ที่มีบริการเติมรหัสผ่านลงเว็บอัตโนมัติ

ช่องโหว่นี้เกิดจากตัวอ่าน URL ของ LastPass มีบั๊กไม่อ่านตัว at-sign (@) ทำให้เมื่อแฮกเกอร์สร้าง URL อย่างจงใจหลอก LastPass เช่น http://avlidienbrunn.se/@twitter.com/@hehe.php จะสามารถหลอกปลั๊กอินว่าเป็นเว็บ twitter.com ได้ และ LastPass จะถูกหลอกให้ใส่รหัสผ่านของ twitter.com ลงเว็บอื่นได้โดยง่าย

แป้นพิมพ์ไร้สาย ความสะดวกที่มาพร้อมกับภัยเงียบ โดนดักข้อมูลกลางทางที่ไม่ได้เข้ารหัส

By MaarKiin

on 27 July 2016 - 19:30 Tag: Keyboard, Security, Encryption, Wireless

Keyboard

ต้องยอมรับว่าในปัจจุบันแป้นพิมพ์ไร้สายเป็นที่นิยมอย่างมาก เนื่องจากความสะดวกสบายและง่ายต่อการพกพา แต่ใครจะรู้ว่าภายใต้สิ่งเหล่านี้กลับมีภัยร้ายที่แอบซ่อนเอาไว้อยู่

จากการตรวจสอบพบว่า ณ ขณะนี้มีบริษัทผลิตแป้นพิมพ์ไร้สายมากถึง 12 บริษัท ที่ไม่มีการเข้ารหัสข้อมูลที่ถูกส่งออกมา สามารถถูกดักจับข้อมูลได้ด้วยการใช้เพียงแค่ USB ที่มีเสารับคลื่นวิทยุ แม้ว่าจะอยู่ห่างจากแป้นพิมพ์เป็นระยะ 76 เมตร หรือมีกำแพงมาขวางก็ตาม ทำให้ผู้ใช้เสี่ยงต่อการถูกเข้าถึงความลับต่างๆ ในขณะใช้งานแป้นพิมพ์เหล่านี้ได้

Motorola บอกจะอัพเดตแพตช์ความปลอดภัยให้ลูกค้า แต่ไม่ออกให้ทุกเดือน

By mk

on 27 July 2016 - 15:02 Tag: Motorola, Security, Android, Moto Z

Motorola

ยังเปลี่ยนไปเปลี่ยนมาได้ตลอดกับ Motorola ในยุค Lenovo หลังจากมีประเด็นความถี่ในการออกแพตช์ความปลอดภัยของ Moto Z ล่าสุด Motorola ออกมาชี้แจงข้อมูลเพิ่มเติมดังนี้

Interpark บริษัทรับจองบัตรเกาหลีถูกแฮก ข้อมูลลูกค้ารั่วกว่า 10 ล้านรายการ

By lew

on 26 July 2016 - 15:48 Tag: South Korea, Data Breach, Security

South Korea

Interpark บริษัทรับจองบัตรการแสดงรายใหญ่ในเกาหลีถูกแฮกข้อมูลลูกค้า ได้รายชื่อ, อีเมล, วันเกิด, และหมายเลขโทรศัพท์ของลูกค้าไป 10.3 ล้านรายการ อย่างไรก็ดีข้อมูลสำคัญอย่างรหัสผ่านและหมายเลขบัตรประชาชนไม่ถูกขโมยไปด้วย

บริษัทระบุว่าแฮกเกอร์เข้าถึงคอมพิวเตอร์บางเครื่องของบริษัทได้ และเห็นรูปแบบการส่งอีเมลในบริษัท จึงปลอมอีเมลพร้อมมัลแวร์เข้าไปยังพนักงานของ Interpark พนักงานเชื่ออีเมลจึงรันมัลแวร์ขึ้นมา สร้างช่องทางลับให้กับแฮกเกอร์

Vine เผลอเปิด Docker Registry ออกอินเทอร์เน็ต ดาวน์โหลดซอร์สโค้ดได้ทั้งหมด

By lew

on 26 July 2016 - 10:59 Tag: Vine, Twitter, Data Breach, Security

Vine

แฮกเกอร์ที่ใช้ชื่อว่า avicoder ทดสอบความปลอดภัยของ Vine ที่อยู่ภายใต้โครงการหาช่องโหว่ความปลอดภัยของทวิตเตอร์ และพบว่า Vine เปิด Docker Registry ออกสู่อินเทอร์เน็ต ทำให้ใครก็ได้สามารถดาวน์โหลดอิมเมจ 82 รายการมาลองรันในเครื่อง

อิมเมจที่สำคัญมากอันหนึ่งคือ vinewww เป็นซอร์สโค้ดของ Vine ทั้งหมด พัฒนาด้วย Python Flask ภายใน พร้อมด้วย API key บริการภายนอกอื่นๆ ตัวอิมเมจสามารถรันได้ทันทีและจะได้ Vine มารันบนเครื่องได้เอง

avicoder รายงานการค้นพบนี้ให้กับทวิตเตอร์ตั้งแต่เดือนมีนาคมที่ผ่านมา และทางทวิตเตอร์จ่ายรางวัล 10,080 ดอลลาร์

สหภาพยุโรปเตรียมจัดตรวจสอบความปลอดภัย KeePass และ Apache HTTP Server

By lew

on 25 July 2016 - 13:36 Tag: Europe, European Commission, Security, Open Source, Apache, KeePass

Europe

การตรวจสอบโค้ดเพื่อหาช่องโหว่ความปลอดภัยเป็นระยะเพื่อป้องกันแฮกเกอร์พบช่องโหว่เหล่านี้ก่อนเป็นแนวทางที่เอกชนเริ่มให้ความใส่ใจมากขึ้นในช่วงหลัง เช่น Core Infrastructure Initiative หรือ Secure Open Source ตอนนี้ภาครัฐอย่างสหภาพยุโรปก็เริ่มเข้ามามีบทบาทโดยจัดสรรงบประมาณมาตรวจสอบโค้ดโครงการโอเพนซอร์ส

NIST เปิดร่างมาตรฐานการยืนยันตัวตนดิจิตอล เตรียมยกเลิกการใช้ SMS

By lew

on 25 July 2016 - 09:56 Tag: NIST, Information Security, Security, SMS

NIST

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมที่เป็นผู้ออกมาตรฐานการเข้ารหัสจำนวนมากในทุกวันนี้ เปิดรับฟังความเห็นร่างเอกสาร NIST SP 800-63B มาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ เพื่อรับฟังความเห็นจากสาธารณะ

เอกสารนี้กำหนดมาตรฐานกระบวนการยืนยันตัวตนให้ปลอดภัย ตั้งแต่กระบวนการเบื้องต้นเช่นการจำกัดจำนวนครั้งที่การยืนยันตัวตนล้มเหลว, การใช้งานการยืนยันตัวตนหลายขั้นตอน แต่ความเปลี่ยนแปลงที่สำคัญคือการเตรียมยกเลิกการยืนยันตัวตนด้วย SMS

การยืนยันตัวตนด้วย SMS ยังคงยอมรับได้ในร่างเอกสาร แต่ประกาศสถานะเป็น deprecated และจะไม่รวมอยู่ในเอกสารนี้เวอร์ชั่นต่อไป

Edward Snowden เผยแนวคิดอุปกรณ์เสริม iPhone ตรวจจับการดักข้อมูล

By nismod

on 25 July 2016 - 09:10 Tag: Edward Snowden, Security, iPhone

Edward Snowden

Edward Snowden ได้ไลฟ์สตรีมวิดีโอนำเสนอแนวคิดในการสร้างอุปกรณ์เสริมสำหรับ iPhone ในตรวจจับและแจ้งเตือนหา iPhone ถูกดักฟังข้อมูล ภายในงาน Forbidden Research ที่จัดขึ้น ณ สถาบันเทคโนโลยีแมสซาชูเซตส์

Snowden ระบุว่ากำลังร่วมงานกับ Andrew Huang ในการพัฒนาและวิจัยอุปกรณ์ชิ้นนี้ ที่จะแจ้งเตือนผู้ใช้เมื่อข้อมูลตำแหน่งที่ตั้ง (location) ถูกแฮ็ก โดย Snowden ระบุว่าอุปกรณ์ชิ้นนี้ยังอยู่ในขั้นทดลองเท่านั้น และคาดว่าภายในปีหน้า น่าจะมีอุปกรณ์รุ่นต้นแบบออกมาให้เห็น

สมาธิดีเลิศ แฮกเกอร์พบช่องโหว่รันโค้ดบน Pornhub ได้สำเร็จ ได้รางวัล 20,000 ดอลลาร์

By lew

on 24 July 2016 - 23:16 Tag: Pornhub, Security, Bug Bounty

Pornhub

Pornhub ประกาศให้รางวัลกับแฮกเกอร์ที่พบช่องโหว่ของเว็บมาตั้งแต่เดือนพฤษภาคม และเพิ่มเงินรางวัลหลังเริ่มโครงการไปไม่นาน ตอนนี้ผู้ใช้ static บนเว็บ HackerOne ก็ออกมาเปิดเผยข้อมูลช่องโหว่สำคัญที่ทำให้ Pornhub ให้เงินรางวัลถึง 20,000 ดอลลาร์

พบช่องโหว่ใหม่บน OS X และ iOS เพียงส่งภาพก็ทำให้รันโค้ดจากระยะไกลได้

By nutmos

on 24 July 2016 - 14:13 Tag: Apple, Security

Apple

Tyler Bohan นักวิจัยจาก Cisco Talos ได้ค้นพบช่องโหว่ใหม่บนแพลตฟอร์มของ Apple โดยเป็นช่องโหว่ที่อนุญาตให้แฮกเกอร์สามารถรันโค้ดจากระยะไกลได้เพียงแค่ส่งไฟล์ภาพที่อันตราย ซึ่งมีหลายช่องโหว่ด้วยกัน ได้แก่

CVE-2016-4631 เป็นช่องโหว่ที่เมื่อส่งไฟล์ภาพ TIFF ที่ทำให้ ImageIO ของ Apple เรนเดอร์แล้วเกิดการ heap based buffer overflow ทำให้รันโค้ดจากระยะไกลได้ เกิดบน OS X, iOS, watchOS, tvOS

iOS 10 จะเตือนผู้ใช้เมื่อเชื่อมต่อเครือข่ายที่ไม่ปลอดภัย

By nutmos

on 23 July 2016 - 20:35 Tag: iOS 10, Security

iOS 10

มีผู้ที่ทดสอบ iOS 10 เวอร์ชันเบต้าได้ค้นพบฟีเจอร์ใหม่ที่จะมีการแจ้งเตือนผู้ใช้เมื่อผู้ใช้ได้ใช้ Wi-Fi ที่ไม่ปลอดภัย โดยหลังจากเชื่อมต่อไปยังเครือข่ายแล้ว ตัว iOS 10 จะแสดงการแจ้งเตือน Security Recommendation ภายในเมนูการตั้งค่า Wi-Fi

การแจ้งเตือนนี้จะเกิดขึ้นเมื่อเราเชื่อมต่อเครือข่ายเปิดที่ไม่มีการรักษาความปลอดภัย โดยจะมีการแจ้งเตือนว่า "open networks provide no security and expose all network traffic." และแนะนำให้ผู้ใช้ทำการตั้งค่าเราท์เตอร์ให้ใช้การเข้ารหัส WPA2 Personal (AES) ด้วย

คอมไพล์เลอร์ ASN.1 ตัวสำคัญมีบั๊ก อาจสร้างช่องโหว่ให้ซอฟต์แวร์ในระบบเครือข่ายเป็นวงกว้าง

By lew

on 23 July 2016 - 03:38 Tag: Security, Communications

Security

มาตรฐาน ASN.1 เป็นมาตรฐานสำหรับการเข้ารหัส (encode) และส่งข้อมูลระหว่างอุปกรณ์ที่ได้รับความนิยมในกระบวนการเข้ารหัส การสร้างโปรโตคอลเข้ามักกำหนดข้อมูลหลายอย่างด้วย ASN.1 เช่นใบรับรองดิจิตอลที่เราเห็นไฟล์นามสกุล .DER เป็นต้น ตอนนี้คอมไพล์เลอร์ที่คอมไพล์จากฟอร์แมต ASN.1 เป็นไลบรารีสำหรับอ่านข้อมูลในภาษาต่างๆ จากบริษัท Objective Systems ชื่อว่า ASN1C มีบั๊กทำให้แฮกเกอร์สามารถสร้างข้อมูลพิเศษเพื่อรันโค้ดบนเครื่องที่ใช้ไลบรารีจาก ASN1C ได้

ตำรวจรัฐมิชิแกนพยายามใช้เครื่องพิมพ์ 3 มิติพิมพ์ลายนิ้วมือผู้ตาย เพื่อปลดล็อกโทรศัพท์

By nismod

on 22 July 2016 - 15:06 Tag: Fingerprint, 3D Printing, Security, USA

Fingerprint

มีประเด็นเรื่องความปลอดภัยของการใช้ลายนิ้วมือในการปกป้องข้อมูลขึ้นมาอีกครั้ง เมื่อตำรวจของรัฐมิชิแกนติดต่อไปยัง Anil Jain ศาสตราจารย์ด้านวิศวกรรมศาสตร์และวิทยาศาสตร์คอมพิวเตอร์ มหาวิทยาลัยรัฐมิชิแกน ให้ช่วยพิมพ์ลายนิ้วมือของผู้เสียชีวิตจากเหตุอาชญากรรมจากเครื่องพิมพ์ 3 มิติ เพื่อปลดล็อกโทรศัพทฺ์สอบสวนหาสาเหตุต่อไป

ศ. Anil Jain ได้รับลายนิ้วมือของผู้เสียชีวิตทั้ง 10 นิ้ว จากแฟ้มประจำตัวของผู้ตายที่ทางการเก็บไว้ โดยขณะนี้กำลังพยายามนำลายนิ้วมือที่พิมพ์ออกมาได้ ไปเคลือบด้วยอนุภาคโลหะที่นำไฟฟ้า เพื่อให้เซ็นเซอร์สแกนลายนิ้วมือสามารถตรวจจับได้เหมือนนิ้วคนจริงๆ

Android 7.0 Nougat ตรวจสอบความปลอดภัยตอนบูทเครื่อง ป้องกันถูกฝังมัลแวร์

By mk

on 21 July 2016 - 23:09 Tag: Nougat, Android, Security

Nougat

Android มีฟีเจอร์ตรวจสอบความปลอดภัยตอนบูทเครื่องชื่อ Verified Boot มาได้สักพักแล้ว หน้าที่ของมันคือตรวจสอบค่าแฮชของพาร์ทิชันระบบว่าถูกเปลี่ยนแปลงไปจากเดิมหรือไม่ ช่วยป้องกันปัญหาโดนมัลแวร์เข้ามาแก้ไขข้อมูลในเครื่อง แล้วบูทติดมัลแวร์ทุกครั้งไป

แต่ถ้าหากตรวจพบว่าพาร์ทิชันมีการเปลี่ยนแปลง ใน Android 6.0 Marshmallow ยังแค่ "เตือน" ว่าเกิดการเปลี่ยนแปลงเท่านั้น นโยบายนี้ถูกเปลี่ยนแปลงใน Android 7.0 Nougat โดยอุปกรณ์ใหม่ที่มาพร้อมกับ Nougat จะไม่อนุญาตให้บูทเลยถ้าตรวจพบความเปลี่ยนแปลงลักษณะนี้

หน้าหนังสือเดินทางและข้อมูลลูกค้า Asiana Airlines หลายหมื่นฉบับหลุดสู่อินเทอร์เน็ต

By nuntawat

on 21 July 2016 - 13:30 Tag: Asiana Airlines, Security, Data Breach

Asiana Airlines

วิศวกรด้านคอมพิวเตอร์รายหนึ่งพบว่า หน้าหนังสือเดินทางและข้อมูลลูกค้า อาทิ ที่อยู่ ข้อมูลบัญชีการเงิน ที่บินกับสายการบิน Asiana Airlines (ลูกค้าสายการบินเองและลูกค้าจากสายการบินอื่นผ่าน Star Alliance) ถูกโพสต์บนอินเทอร์เน็ตกว่าหลายหมื่นฉบับ โดยข้อมูลดังกล่าวมาจากการที่ลูกค้าสอบถามข้อมูลกับสายการบินซึ่งถูกเก็บไว้ในเซิร์ฟเวอร์ที่ให้ข้อมูล FAQ ของเว็บไซต์ของสายการบินเอง

ระบบปฎิบัติการ Junos ของ Juniper มีบั๊ก สร้างใบรับรองหลอกได้

By lew

on 20 July 2016 - 23:50 Tag: Juniper, VPN, Security

Juniper

Juniper ผู้ผลิตเราท์เตอร์รายสำคัญแจ้งเตือนลูกค้าว่าระบบปฎิบัติการ Junos มีบั๊กความปลอดภัย ทำให้การเชื่อมต่อ VPN แบบ IKE/IPsec รับใบรับรองแบบ self-sign ที่ปลอมตัวมาได้

ทาง Juniper ระบุว่าการเชื่อมต่อ VPN แบบอื่นๆ ไม่ได้รับผลกระทบจากช่องโหว่นี้ และตอนนี้ทางแก้ปัญหาชั่วคราวคือการคอนฟิกให้ PKI-VPN ต้องใช้ ID จาก Distinguished Name (DN) เท่านั้น

ทาง Juniper จัดช่องโหว่นี้เป็นอันตรายระดับปานกลาง คะแนน CVSS 6.5 แต่ถ้าใครใช้ Junos เป็นไฟร์วอล VPN ก็ควรรีบตรวจสอบให้เรียบร้อยครับ

นักวิจัยทดสอบ smart watch และสายรัดข้อมือฟิตเนส พบหลายรุ่นความปลอดภัยต่ำ ไม่เข้ารหัสข้อมูล

By nutmos

on 19 July 2016 - 22:17 Tag: Security, Smart Watch, Fitness Tracker

Security

นักวิจัยความปลอดภัยจาก AV-Test ได้ทำการทดสอบ smart watch รวมถึงสายรัดข้อมือฟิตเนสหลายรุ่น โดยเน้นไปที่ความปลอดภัยของข้อมูล

สำหรับ smart watch นั้น ทางนักวิจัยได้บอกว่า Apple Watch ถือเป็นผลิตภัณฑ์ที่มีความปลอดภัยสูง คือเข้ารหัสการเชื่อมต่อเกือบทุกอย่าง แม้ว่าจะมีช่องโหว่ทางทฤษฎีบ้าง ทำให้การติดตามแทบเป็นไปไม่ได้ ส่วนอุปกรณ์ Android อีก 7 เครื่องนั้นมีความปลอดภัยที่แตกต่างกันไป ซึ่งมีบางเครื่องที่เปิดโอกาสให้แฮกเกอร์เข้าถึงข้อมูลของผู้ใช้ได้บ้าง

Android 7.0 แสดงข้อมูลแอพในเครื่อง ว่าติดตั้งผ่าน Store หรือ Sideload เอง

By mk

on 19 July 2016 - 09:27 Tag: Nougat, Android, Security

Nougat

Android 7.0 Nougat รุ่นพรีวิว 5 ที่ออกวันนี้ มีฟีเจอร์ใหม่ที่น่าสนใจคือในหน้า Settings > App info ที่เป็นรายละเอียดของแอพแต่ละตัวในเครื่อง เพิ่มข้อมูลบอกให้ผู้ใช้รับทราบว่าแอพตัวนี้ติดตั้งผ่าน Play Store หรือติดตั้งเองผ่าน APK (จะขึ้นบอกว่าเป็น Package Installer)

เดิมทีข้อมูลนี้มีอยู่แล้ว แต่ต้องดึงผ่านเมธอด getInstallerPackageName ที่ต้องเขียนโปรแกรมเรียกดูเท่านั้น การมี UI เพื่อโชว์ข้อมูลนี้แบบดูง่ายๆ ช่วยให้การตรวจเช็คความปลอดภัยว่ามีแอพประสงค์ร้ายแอบติดตั้งตัวเองไว้ในเครื่องหรือไม่ ได้ง่ายขึ้นมาก

Subscribe to Security