Ubuntu ปล่อยแพตช์ลินุกซ์เคอร์เนลแล้ว หลัง Project Zero เปิดเผยข้อมูลสี่วัน

By lew Founder on Tag: Ubuntu, Security, Project Zero, Linux
Ubuntu

เมื่อสัปดาห์ที่แล้ว Project Zero พบช่องโหว่ในเคอร์เนลลินุกซ์ และติดต่อหลังไมค์ไปยังทีมงานเคอร์เนล จนกระทั่งทีมงานตอบกลับว่าให้ส่งข้อมูลเป็นสาธารณะได้เลย ตอนนี้แพตช์ก็ออกมาแล้วและ Ubuntu ก็ปล่อยแพตช์ชุดนี้เป็นที่เรียบร้อย

ช่องโหว่นี้เป็นช่องโหว่สำหรับที่เปิดโอกาสให้ผู้โจมตีที่รันซอฟต์แวร์บนเครื่องได้แต่มีสิทธิ์จำกัด (local unprivileged attacker) สามารถทำให้เครื่องแครช หรือยกสิทธิ์ตัวเองขึ้นเป็นผู้ดูแลระบบได้

Read more

กูเกิลเพิ่มเงินรางวัลแฮก Chromebook เป็น 100,000 ดอลลาร์

By lew Founder on Tag: Google, Chromebook, Security
Google

กูเกิลปรับเงื่อนไขการรายงานช่องโหว่ความปลอดภัยสำหรับ Chrome Reward Program (CRP) โดยขยายขอบเขตและเพิ่มเงินรางวัล

เงินรางวัลสูงสุดของ CRP ตอนประกาศอยู่ที่ 50,000 ดอลลาร์ แต่ปีนี้จะเพิ่มเป็น 100,000 ดอลลาร์ กูเกิลระบุว่าจนถึงตอนนี้ยังไม่มีนักวิจัยที่ได้รับเงินรางวัลสูงสุดตามที่ประกาศไว้ โดยรางวัลสูงสุดนี้จะได้ต่อเมื่อสามารถแฮก Chromebook ที่คงอยู่ในเครื่องแม้จะบูตเครื่องไปแล้วก็ตาม

อีกส่วนหนึ่งคือการเพิ่มขอบเขตให้ครอบคลุมการป้องกันไฟล์ดาวน์โหลดที่เป็นฟีเจอร์ใหม่

Read more

นักวิจัยรายงาน ลายนิ้วมือปลอมที่พิมพ์จากเครื่องพิมพ์อิงค์เจ็ตหลอกโทรศัพท์มือถือได้

By lew Founder on Tag: Fingerprint, Security
Fingerprint

กระบวนการรักษาความปลอดภัยโทรศัพท์มือถือในช่วงสองปีที่ผ่านมาเริ่มนิยมใช้ลายนิ้วมือมากขึ้นเรื่อยๆ จากความสะดวกของผู้ใช้ที่ไม่ต้องใส่รหัสผ่านเพื่อปลดล็อคเครื่อง แต่อันตรายจากการปลอมแปลงลายนิ้วมือก็เป็นปัญหามาตลอด ล่าสุดนักวิจัยจากมหาวิทยาลัย Michigan State ก็ออกมารายงานกระบวนการพิมพ์ลายนิ้วมือจากเครื่องพิมพ์อิงค์เจ็ตได้สำเร็จ

กระบวนการปลอมแปลงก่อนหน้านี้มักใช้กระบวนการที่ไม่ซับซ้อนนัก เช่นใช้กาวลาเท็กซ์ลอกลายนิ้วมือออกมา แต่ข้อเสียสำคัญคือกระบวนการเช่นนี้ต้องอาศัยฝีมือเป็นพิเศษ กระบวนการใหม่ที่ทีมงานเสนอใช้หมึกนำกระแสไฟฟ้าเป็นอุปกรณ์พิเศษเพียงอย่างเดียว

Read more

[ลือ] กระทรวงยุติธรรมสหรัฐ เตรียมหาวิธีเข้าถึงข้อความที่เข้ารหัสใน WhatsApp

By mk Founder on Tag: WhatsApp, Government, Cryptography, Security, DoJ
WhatsApp

ความขัดแย้งระหว่างหน่วยงานภาครัฐของสหรัฐ (FBI + กระทรวงยุติธรรม) กับแอปเปิลในกรณีถอดรหัส iPhone เป็นเพียงตัวอย่างของปัญหาใหญ่เรื่องการเข้ารหัสข้อมูลเท่านั้น บริษัทด้านไอทีทุกแห่งมีโอกาสเจอปัญหาแบบเดียวกัน และล่าสุดมีข่าวว่ารายต่อไปที่จะโดนกดดันจากภาครัฐคือ WhatsApp

หนังสือพิมพ์ The New York Times รายงานข่าววงในว่า เจ้าหน้าที่ในกระทรวงยุติธรรมกำลังถกเถียงว่าจะแก้ปัญหาเรื่องการเข้าถึงข้อความใน WhatsApp อย่างไร ความนิยมใน WhatsApp เริ่มสร้างปัญหาในวงกว้าง เพราะรัฐบาลไม่สามารถดักฟังข้อความที่ถูกเข้ารหัสใน WhatsApp ได้

Read more

ไม่ได้มาเล่นๆ BlackBerry Priv อัพเดตความปลอดภัยในวันเดียวกับ Nexus ทุกรอบ

By mk Founder on Tag: Security, Android, BlackBerry
Security

การอัพเดตแพตช์ความปลอดภัยของ Android ยังเป็นปัญหาเรื้อรัง ถึงแม้กูเกิลหันมาใช้นโยบายออกแพตช์ความปลอดภัยทุกเดือน แต่มือถือของบริษัทอื่นๆ ที่ไม่ใช่ Nexus ก็เจอปัญหาอัพเดตล่าช้าอยู่ดี (เช่น Nexus อัพเดตต้นเดือน แพตช์ของเจ้าอื่นมาปลายเดือน หรือไม่ได้เลยด้วยซ้ำ)

อย่างไรก็ตาม มีผู้ผลิตอยู่หนึ่งรายที่จริงจังกับเรื่องนี้ นั่นคือ BlackBerry

BlackBerry ออกมาคุยว่า BlackBerry Priv มือถือ Android ตัวแรกของบริษัท สามารถอัพเดตแพตช์ความปลอดภัยในวันเดียวกับ Nexus มาตั้งแต่เดือนธันวาคมปีที่แล้ว นับเป็นเวลา 4 เดือน 4 รอบแพตช์แล้ว แสดงให้เห็นว่า BlackBerry พูดจริงทำจริง และเป็นจุดขายสำหรับคนที่อยากใช้มือถือ Android ที่เน้นความปลอดภัยมากๆ ซึ่งบริษัทอื่นทำให้แบบนี้ไม่ได้

Read more

เคราะห์ดีที่โจรโง่! เพราะแฮคเกอร์สะกดคำผิด เลยถูกหยุดได้ก่อนขโมยเงินเกือบพันล้านสำเร็จ

By ตะโร่งโต้ง Writer on Tag: Security, Hacking, Banking
Security

แฮคเกอร์ลึกลับเจาะเข้าเซิร์ฟเวอร์ธนาคาร และสวมรอยส่งคำร้องไปยังแหล่งเงินนอกประเทศให้ทำการโอนเงินเกือบพันล้านดอลลาร์กระจายไปยังหลายบัญชี เดชะบุญที่หลังการโอนเงินผ่านไปเพียง 80 ล้านดอลลาร์ ระบบได้ตรวจพบชื่อบัญชีที่สะกดผิดทำให้สามารถยับยั้งความเสียหายของมหกรรมแฮคครั้งมโหฬารนี้ไว้ได้เสียก่อน

Read more

อย่าไปกลัว! Project Zero พบช่องโหว่เคอร์เนลลินุกซ์ ทีมงานบอกเปิดสาธารณะเลย เดี๋ยวรีบแก้

By lew Founder on Tag: Security, Kernel, Project Zero, Linux
Security

Project Zero ของกูเกิลตรวจสอบช่องโหว่ความปลอดภัยของโครงการหลากหลาย โดยมีนโยบายว่าจะติดต่อกับเจ้าของโครงการเป็นการลับและให้เวลา 90 วันก่อนเปิดข้อมูลสู่สาธารณะ และผู้ได้รับแจ้งมักขอเวลาปิดเป็นความลับจนกว่าแพตช์เสร็จสิ้น

แต่ช่องโหว่ล่าสุดที่ Project Zero แจ้งไปยังทีมงานเคอร์เนลลินุกซ์ ทีมงานผู้ดูแลโมดูลเครือข่ายกลับแจ้งมายัง Project Zero ว่า "ขอให้โพสต์เป็นสาธารณะได้เลย" ทีมงานจะรีบแก้ไขต่อไป

Read more

ปลดล็อกไร้สัมผัส! NEC โชว์โซลูชันยืนยันตัวตนด้วยหู แม่นยำ 99%

By Blltz Writer on Tag: Security, NEC, Bioinformatics
Security

ในยุคที่การใช้นิ้วเพื่อปลดล็อกมือถือ หรือยืนยันตัวตนเริ่มจะตกเทรนด์ไปตั้งแต่การมาของระบบสแกนหน้า วิเคราะห์เสียง และญาติใกล้นิ้วอย่างลายนิ้วมือ กำลังได้รับความนิยมเพิ่มขึ้นอย่างต่อเนื่อง หลายคนอาจคิดว่าจะมีอะไรอีกบ้างที่สามารถนำมาปลดล็อกมือถือได้อีก

วันนี้เองโลกก็ได้พบกับโซลูชันใหม่สำหรับการยืนยันตัวตนด้วยหูของผู้ใช้ จากผลงานวิจัยของ NEC บริษัทไอทีสัญชาติญี่ปุ่นที่พัฒนาหูฟังพิเศษพร้อมไมโครโฟนในตัวที่สามารถส่งเสียงเบาๆ เข้าไปยังหู และวิเคราะห์เสียงสะท้อนกลับมาว่าใช่เจ้าของหรือไม่ โดย NEC ยืนยันความแม่นยำว่าสูงถึง 99% ด้วยกัน

Read more

Snowden ระบุ การที่ FBI บอกปลดล็อค iPhone ไม่ได้นั้นเป็นเรื่อง "เหลวไหล"

By nrad6949 Writer on Tag: Apple, Security, USA, FBI, Edward Snowden
Apple

เว็บไซต์ข่าวไอที The Intercept รายงานว่า Edward Snowden ได้กล่าวผ่านระบบวิดีโอคอลจากรัสเซียในงานประชุม Common Cause Blueprint for a Great Democracy ที่จัดโดยองค์กร Common Cause องค์กรการกุศลด้านการเมืองของอเมริกา ระบุว่าการที่ FBI พยายามกดดันให้ Apple ปลดล็อค iPhone โดยอ้างว่า FBI ไม่มีความสามารถในการทำนั้น เป็นเรื่องที่เหลวไหล

Read more

บิล เกตส์ตอบคำถามผ่าน Reddit: ท่าที FBI/Apple, เปลี่ยนมาใช้ Surface Book

By nuntawat Writer on Tag: Apple, Security, FBI, Bill Gates, Augmented Reality, Virtual Reality, Quantum Computer, Windows 10, Surface Book, Microsoft
Apple

บิล เกตส์ตอบคำถามผ่าน Reddit เป็นครั้งที่สี่ มีประเด็นด้านไอทีที่น่าสนใจ ดังนี้

Read more

Transmission ระบุ มีคนดาวน์โหลดไฟล์ที่ถูกฝังมัลแวร์ไปแล้ว 6,500 ครั้ง

By mk Founder on Tag: Security, Malware, Ransomware, Transmission
Security

จากปัญหา พบมัลแวร์เรียกค่าไถ่บน Mac มาพร้อมอัพเดตของ Transmission ตัวแทนของโครงการ Transmission ให้สัมภาษณ์กับสำนักข่าว Reuters ว่ามีคนดาวน์โหลดไฟล์เวอร์ชันที่มีปัญหาไปแล้ว 6,500 ครั้ง

ส่วนสาเหตุของมัลแวร์ ransomware มาจากเว็บเซิร์ฟเวอร์ของ Transmission โดนแฮ็ก ซึ่งทางผู้ดูแลได้เสริมระบบความปลอดภัยให้เว็บเซิร์ฟเวอร์แล้ว

โครงการยังแนะนำให้ผู้ใช้ทุกคนอัพเดตเป็นเวอร์ชัน 2.92 ซึ่งเป็นเวอร์ชันล่าสุดด้วย

Read more

Let's Encrypt ออกใบรับรองครบ 1 ล้านใบแล้ว รวม 2.5 ล้านโดเมน

By lew Founder on Tag: Security, HTTPS, Let's Encrypt
Security

หน่วยงานออกใบรับรองฟรี Let's Encrypt เปิดบริการมาเพียงสามเดือนกว่าๆ ตอนนี้ EFF หนึ่งในหน่วยงานร่วมก่อตั้งก็ออกมาประกาศว่าใบรับรองฟรีถูกออกใบแล้วครบ 1 ล้านใบ

จำนวนใบรับรองที่ออกใหม่เพิ่มขึ้นด้วยอันตราเร่ง จากช่วงแรกที่ใช้เวลา 20 กว่าวันจึงออกใบรับรองได้สองแสนใบ โดยผู้ใช้ส่วนมากมักใส่ข้อมูลติดต่อไว้ในการร้องขอใบรับรองด้วย

จากโดเมน 2.5 ล้านโดเมนที่ขอใบรับรองใหม่ ทาง EFF ระบุว่า 90% เป็นโดเมนที่ไม่เคยมีใบรับรองอย่างถูกต้องมาก่อน

Read more

ทางการจีนเตรียมสร้างระบบวิเคราะห์การก่อการร้าย นักวิเคราะห์กังวลอาจใช้ไปในทางที่ผิด

By nrad6949 Writer on Tag: Security, China, Big Data, Surveillance
Security

สำนักข่าว Bloomberg รายงานว่า ทางการจีนได้สั่งให้ China Electronics Technology Group ซึ่งเป็นหนึ่งในรัฐวิสาหกิจ ทำการพัฒนาระบบวิเคราะห์แนวโน้มการก่อการร้ายและอาชญากรรม โดยใช้ข้อมูลส่วนตัวที่เก็บได้จากประชาชนเป็นฐานข้อมูลในการวิเคราะห์

ระบบดังกล่าวนี้จะใช้ข้อมูลทั้งเรื่องของอาชีพ งานอดิเรก พฤติกรรมการบริโภค และตัวบ่งชี้พฤติกรรมอื่นๆ ของประชาชนในรัฐ เพื่อวิเคราะห์หาแนวโน้มของการก่อการร้ายหรืออาชญากรรมก่อนที่จะเกิดขึ้นจริง โดยตัวแทนของรัฐวิสาหกิจดังกล่าวระบุว่าเป็นความจำเป็นที่จะต้องมีการสร้างระบบป้องกันที่ดีพอ เพื่อไม่ให้เกิดเหตุแล้วต้องมาตามแก้ไขกันในภายหลัง

Read more

รายงานจาก Verizon เผยโจรสลัดหันมาแฮคบริษัทขนส่งเพื่อกำหนดเป้าเรือและตู้สินค้าที่จะปล้น

By ตะโร่งโต้ง Writer on Tag: Security, Hacking, Transportation, Verizon, Logistics
Security

ในงานสัมมนาด้านความปลอดภัย RSA มีการเผยแพร่รายงานจากทีม RISK ทีมวิจัยด้านความปลอดภัยของ Verizon ว่าในปัจจุบันกลุ่มโจรสลัดได้พัฒนากระบวนการทำงานด้วยการแฮคเซิร์ฟเวอร์ของบริษัทผู้ประกอบการขนส่งสินค้าทางทะเล เพื่อหาข้อมูลไว้สำหรับกำหนดเป้าหมายว่าจะเลือกปล้นสินค้าจากตู้สินค้าใดบนเรือลำใด

Read more

สัมภาษณ์ Bitdefender Thailand แนวโน้มวงการความปลอดภัยและการป้องกัน Ransomware

By mk Founder on Tag: Security, Interview, BitDefender, Ransomware
Security

Bitdefender เป็นซอฟต์แวร์แอนตี้ไวรัสชื่อดังที่โดดเด่นด้านคะแนนการตรวจจับไวรัสมาโดยตลอด ถ้าใครติดตามเรื่องผลการทดสอบแอนตี้ไวรัสจากเว็บไซต์ AV-Test มาบ้าง ก็คงพอทราบว่า Bitdefender ได้คะแนนอันดับต้นๆ (ผลัดกันแพ้ชนะกับ Kaspersky อยู่เรื่อยๆ)

แต่นอกจากคะแนนแอนตี้ไวรัสแล้ว Bitdefender ยังมีแง่มุมที่น่าสนใจอีกหลายอย่าง (เช่น ต้นกำเนิดของบริษัทที่มาจากประเทศโรมาเนีย) ผมมีโอกาสได้สัมภาษณ์__คุณ Michal Dominik ผู้จัดการ Bitdefender ประจำประเทศไทย__ มีประเด็นมาเล่าดังนี้ครับ

Read more

ระวัง! Accessibility Clickjacking บนแอนดรอยด์ ดักอ่านข้อมูลบนจอและดักฟังการพิมพ์ได้

By tekkasit Contributor on Tag: Security, Android, Accessibility
Security

บริษัทรักษาความปลอดภัยอุปกรณ์พกพา Skycure ออกมาเปิดเผยในงาน RSA Conference ว่ามีมัลแวร์ประเภทใหม่ "accessibility clickjacking" บนแอนดรอยด์ที่ทำให้คนร้ายสามารถดักอ่านข้อมูลบนแอพและดักฟังการพิมพ์ได้ โดยที่มีอุปกรณ์แอนดรอยด์ที่รุ่นต่ำกว่า Lollipop กว่าห้าร้อยล้านเครื่องตกอยู่ในความเสี่ยงนี้

Read more

เวลาไม่ช่วยอะไร ปลั๊กอินยอดฮิตใน Wordpress เปิดช่องทางสำหรับแฮกเว็บ

By lew Founder on Tag: Security, WordPress
Security

ปกติแล้วคำแนะนำในการลงปลั๊กอินสำหรับคนทั่วไปคงเป็นการเลือกปลั๊กอินที่เป็นที่รู้จักพอสมควร, มีการใช้งานกว้างขวาง, และมีประวัติยาวนาน แต่ปลั๊กอิน Custom Content Type Manager (CCTM) สำหรับ WordPress กลับมีพฤติกรรมแฮกเว็บของผู้ใช้ (ทั้งที่มีคุณสมบัติปลั๊กอินที่น่าเชื่อถือแทบทุกประการ) แต่ทีมงานบริษัทความปลอดภัย Sucuri ก็พบว่ามันใส่ช่องโหว่ให้กับเว็บที่ดาวน์โหลดไปใช้งานอย่างจงใจ

Read more

ซิสโก้ปล่อยแพตช์ NX-OS หลังมีบัญชีผู้ใช้และรหัสผ่านตายตัว เข้าใช้งานจากระยะไกลได้

By lew Founder on Tag: Cisco, Security
Cisco

ซิสโก้ปล่อยแพตช์ NX-OS สำหรับสวิตช์ Nexus ตระกูล 3000 และ 3500 หลังพบว่ามีบัญชีผู้ใช้ในระบบพร้อมรหัสผ่านที่ไม่สามารถเปลี่ยนได้มาแต่แรก

บัญชีที่ล็อกมากับตัวโค้ดนี้ทำให้แฮกเกอร์ที่รู้ชื่อบัญชีและรหัสผ่านสามารถล็อกอินเข้าตัวสวิตช์ได้ทั้งคอนโซล, telnet, และ SSH โดย NX-OS รุ่น 6.0(2)A6(1) จะใช้บัญชีเหล่านี้ผ่าน SSH ได้ขณะที่รุ่นอื่นๆ จะเข้าใช้งานระยะไกลผ่าน telnet ได้เท่านั้น ทางแก้ไขชั่วคราวสำหรับหน่วยงานที่ยังไม่พร้อมจะอัพเกรดคือการปิด telnet เสีย

ช่องโหว่นี้ได้หมายเลข CVE-2016-1329 มีความเสี่ยงตาม CVSS ระดับ 10.0 ควรแก้ไขโดยเร็วครับ

Read more

กลาโหมสหรัฐฯ เปิดโครงการแฮกเว็บได้ให้รางวัล

By lew Founder on Tag: Security, USA
Security

กระทรวงกลาโหมสหรัฐฯ หรือเพนตากอนประกาศโครงการ "Hack the Pentagon" เปิดโอกาสให้แฮกเกอร์ภายนอกสามารถสำรวจหาช่องโหว่ของเว็บเพนตากอนพร้อมเงินรางวัลเมื่อพบช่องโหว่

แม้จะเปิดให้คนนอกหน่วยงานเข้าร่วมได้ แต่คนที่จะเข้าร่วมก็จำกัดเฉพาะพลเมืองสหรัฐฯ และต้องส่งประวัติให้ตรวจสอบก่อนเท่านั้น เซิร์ฟเวอร์ที่เข้าร่วมจะเป็นเว็บที่เชื่อมต่ออินเทอร์เน็ตเท่านั้น ห้ามไปแฮกเครือข่ายหลังบ้านของเพนตากอน

Read more

กระทรวงกลาโหมสหรัฐฯ เปิดเผยว่ากำลังทำสงครามไซเบอร์ในเมือง Mosul ที่ประเทศอิรัก

By nrad6949 Writer on Tag: Security, USA, Iraq, Cyberwarfare
Security

เมื่อวันจันทร์ที่ผ่านมาตามเวลาในสหรัฐฯ กระทรวงกลาโหมของสหรัฐฯ ออกมาเปิดเผยว่ากำลังร่วมมือกับกองทัพอิรักและกองกำลังชาวเคิร์ดในอิรัก เพื่อต่อสู้กับกองกำลังรัฐอิสลาม (ISIS, ISIL หรือ IS แล้วแต่สื่อมวลชนจะเรียก) เพื่อที่จะยึดคืนเมือง Mosul ของอิรักกลับคืนมาให้อยู่ในการควบคุมของกองทัพรัฐบาลอิรักอีกครั้ง แต่การเข้าร่วมสู้ในครั้งนี้ สหรัฐฯ ใช้วิธีการเปิดสงครามไซเบอร์อย่างเป็นทางการ

Read more
Subscribe to Security