กระทรวงยุติธรรมสหรัฐฯ ยื่นขอศาลให้บังคับ Apple ทำตามคำสั่ง สร้างรอมพิเศษให้ FBI

By nrad6949 Writer on Tag: DoJ, Apple, Security, USA, FBI, iPhone
DoJ

เรื่องราวที่ศาลมีคำสั่งให้ Apple ต้องทำรอมพิเศษเพื่อใช้ในการข้ามการตั้งค่าความปลอดภัยในกรณีกราดยิงที่เมือง San Bernardino นั้นยังไม่จบ เมื่อกระทรวงยุติธรรมของรัฐบาลกลางสหรัฐฯ (Department of Justice) ได้ยื่นต่อศาลกลางของมลรัฐแคลิฟอร์เนีย เพื่อขอให้ Apple ดำเนินการตามคำสั่งศาลก่อนหน้าแล้วอย่างเป็นทางการ

Read more

สามธนาคารไทยปรับปรุง HTTPS ในสัปดาห์เดียวกัน ไม่มีใครมีช่องโหว่ร้ายแรงแล้ว

By lew Founder on Tag: Security, Thailand, Banking
Security

เมื่อวันเสาร์ที่แล้วมีรายงานทดสอบความปลอดภัยของการตั้งค่า TLS โดย rtsp จาก INOX สำหรับการเข้าเว็บธนาคารออนไลน์ของธนาคารในไทย และถูกแชร์ไปตามเว็บเครือข่ายสังคมออนไลน์หลายแห่ง วันนี้รายงานล่าสุดหลายธนาคารปรับปรุงจนไม่มีใครมีช่องโหว่ร้ายแรงแล้ว

Read more

เราอยู่ข้างเดียวกัน! ไมโครซอฟท์, เฟซบุ๊ก และซีอีโอทวิตเตอร์ ออกมาสนับสนุนแอปเปิลต่อสู้กับศาล

By magnamonkun on Tag: Apple, Security, Lawsuits, Twitter, Microsoft, Facebook
Apple

จากกรณีที่แอปเปิลประกาศต่อสู้กับศาล เราเห็นแนวร่วมในวงการไอทีสนับสนุนกันมาแล้วถึง 3 ราย คือ กูเกิล, EFF และ WhatsApp ล่าสุดมีแนวร่วมเพิ่มมาอีก 3 ราย คือ ไมโครซอฟท์, เฟซบุ๊ก และ ทวิตเตอร์ ที่ออกมาสนับสนุนแอปเปิลในเรื่องนี้

Read more

ศาลสหรัฐฯ สั่งแอปเปิลทำรอมพิเศษข้ามการตั้งค่าความปลอดภัย, แอปเปิลเตรียมสู้คดี

By lew Founder on Tag: Apple, Security, USA, FBI, iPhone
Apple

เอฟบีไอยื่นคำร้องต่อศาลแคลิฟอร์เนียร์ออกคำสั่งให้แอปเปิลต้องทำรอมรุ่นพิเศษเพื่อให้เอฟบีไอสามารถเข้าถึงข้อมูลในโทรศัพท์ที่ยึดมาได้จากคดี San Bernardino ที่เกิดเหตุยิงกราดจนมีผู้เสียชีวิตถึง 14 คน โดยโทรศัพท์นั้นถูกล็อกรหัสผ่านเอาไว้

โดยปกติแล้ว iOS จะมีระบบป้องกันความพยายามเดารหัสผ่านโดยจะหน่วงเวลาช้าลงเรื่อยๆ เมื่อใส่รหัสผ่านผิดซ้ำ และเมื่อถึงจำนวนครั้งที่กำหนดก็สามารถตั้งให้ลบข้อมูลออกจากเครื่องได้ทันที

Read more

1Password ออกบริการเก็บรหัสผ่านเหมาจ่ายสำหรับครอบครัว ราคา 5 ดอลลาร์ต่อเดือน

By mk Founder on Tag: Security, Password, 1Password
Security

หลังๆ เราเริ่มเห็นบริการ Family Share Plan กันมากขึ้น โดยส่วนใหญ่มักเป็นบริการความบันเทิงแบบเหมาจ่าย ทั้งดูหนังและฟังเพลงออนไลน์ แต่ล่าสุดเรากำลังมีบริการเก็บรหัสผ่านแบบแชร์บ้างแล้วครับ

แอพจัดการรหัสผ่าน 1Password เปิดตัวบริการใหม่ 1Password for Families ที่ต่อยอดจากบริการ 1Password for Teams เดิมที่เป็นบริการแบบเหมาจ่ายสำหรับองค์กร โดยบริการตัวใหม่สามารถใช้กับคนในครอบครัวได้สูงสุด 5 คน ในราคาไม่แพงที่ 5 ดอลลาร์ต่อครอบครัวต่อเดือน

Read more

Instagram เริ่มเปิดใช้การล็อกอินสองปัจจัย (two-factor authentication) แก่ผู้ใช้แล้ว

By nrad6949 Writer on Tag: Security, Instagram, Authentication
Security

หลังจากที่มีการปรับปรุงเรื่องของการล็อกอินหลายบัญชีไป ล่าสุด Instagram เริ่มเปิดใช้การล็อกอินสองปัจจัย (two-factor authentication) แก่ผู้ใช้ Instagram แล้ว

ขั้นตอนก็ไม่ต่างจากการล็อกอินสองปัจจัยปกติ คือการยืนยันหมายเลขโทรศัพท์ที่จะส่งรหัสยืนยันการเข้าระบบ (OTP) ไปยังโทรศัพท์มือถือของผู้ใช้ เพื่อให้กระบวนการลงชื่อเข้าใช้งานเสร็จสมบูรณ์

ทาง Instagram ระบุกับ The Verge ว่าจะทยอยเปิดคุณสมบัติดังกล่าวนี้ให้กับผู้ใช้งานอย่างค่อยเป็นค่อยไป (slowly) ครับ

Read more

บั๊กใน glibc กลายเป็นช่องโหว่ความปลอดภัย, แพตช์ออกแล้ว

By lew Founder on Tag: Google, Security, Red Hat, glibc
Google

ทีมงานกูเกิลและ Redhat พบช่องโหว่ความปลอดภัยในไลบรารี glibc ในช่วงเวลาคาบเกี่ยวกันโดยไม่ได้นัดหมาย กูเกิลระบุว่าวิศวกรพบพฤติกรรมแปลกๆ ว่าซอฟต์แวร์ SSH client จะแครชทุกครั้งที่พยายามเชื่อมต่อไปยังเครื่องๆ หนึ่ง เมื่อตรวจสอบบั๊กนี้จึงพบว่าเป็นช่องโหว่ความปลอดภัย

Read more

PadCrypt มัลแวร์เข้ารหัสเรียกค่าไถ่ พร้อมบริการซัพพอร์ตแบบแชต, ตัวถอนการติดตั้ง

By lew Founder on Tag: Security, Ransomware
Security

มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ (ransomware) ไม่ได้มุ่งหมายจะทำลายข้อมูลของเหยื่อเป็นหลักแต่มุ่งเรียกเงินจากเหยื่อ ปัญหาคือเหยื่อจำนวนมากจ่ายบิตคอยน์ไม่เป็นทำให้อาชญากรเสียรายได้ ก่อนหน้านี้ก็เคยมีรายงานว่ามัลแวร์เหล่านี้เปิดเว็บบอร์ดให้เหยื่อเข้าไปสอบถามข้อมูลได้ รายงานล่าสุดคือมัลแวร์ PadCrypt นั้นถึงกับมีบริการแชตแล้ว

Read more

Trend Micro สรุปสถานการณ์ความปลอดภัยไซเบอร์ปี 2558 และพยากรณ์แนวโน้มปี 2559

By mk Founder on Tag: Security, Trend Micro
Security

สัปดาห์ที่แล้ว Trend Micro ประเทศไทย แถลงภาพรวมด้านความปลอดภัยไซเบอร์ในปี 2558 รวมถึงพยากรณ์แนวโน้มความปลอดภัยในปี 2559 และทิศทางธุรกิจของ Trend Micro ในบ้านเรา

งานนี้ได้__คุณปิยธิดา ตันตระกูล__ ผู้จัดการประจำประเทศไทยคนใหม่ของ Trend Micro มาเป็นผู้แถลงเอง รวมถึง__คุณคงศักดิ์ ก่อตระกูล__ ผู้จัดการอาวุโสด้านเทคนิค มาให้ข้อมูลเรื่องสถานการณ์ความปลอดภัยด้วย (คุณคงศักดิ์ เคยมาเป็นวิทยากรในงาน Blognone Quest ปี 2014)

Read more

Debian 6.0 squeeze หมดระยะซัพพอร์ต 29 กุมภาพันธ์ 2016 ไม่มีแพตช์ความปลอดภัยแล้ว

By mk Founder on Tag: Security, Debian, Linux
Security

ทีมงาน Debian แจ้งเตือนระยะซัพพอร์ตของ Debian 6.0 squeeze ว่าจะสิ้นสุดลงในวันที่ 29 กุมภาพันธ์ 2016 (5 ปีหลังออกเวอร์ชันแรก) หลังจากนั้น Debian จะไม่ออกแพตช์ความปลอดภัยใดๆ ให้กับ Debian 6.0 อีกแล้ว

Debian 7 wheezy จะกลายมาเป็นดิสโทรแบบ Long Term Support (LTS) แทน ยาวนานไปถึงเดือนพฤษภาคม 2018

ใครที่ยังรัน Debian 6 อยู่ก็ได้เวลาเตรียมอัพเกรดครับ

ที่มา - Debian

Read more

พบช่องโหว่ร้ายแรงบน Cisco ASA Firewall ผู้บุกรุกยึดระบบได้

By icez Contributor on Tag: Cisco, Security
Cisco

ใครใช้ Cisco ASA Firewall รุ่นตามรายการด้านล่างนี้รีบอัพเกรด Firmware กันด่วนครับ เนื่องจากนักวิจัยความปลอดภัยจาก Exodus Intelligence ประกาศค้นพบช่องโหว่ร้ายแรงบนอุปกรณ์ Cisco ASA Firewall หลายรุ่นบน CVE-2016-1287 ที่ได้รับคะแนนความรุนแรงของช่องโหว่ 10 เต็ม (ไม่ต้องยืนยันตัวตน โจมตีผ่านเครือข่ายได้ระยะไกล ความซับซ้อนต่ำ และบุกรุกเข้าไปยึดระบบได้สมบูรณ์)

Read more

ไมโครซอฟท์ปล่อยแพตช์รอบเดือนกุมภาพันธ์: IE, Edge, Windows, Office แก้ช่องโหว่ร้ายแรง พร้อมแพตช์ Flash

By lew Founder on Tag: Security, Microsoft
Security

ไมโครซอฟท์ปล่อยแพตช์ตามรอบปกติให้กับวินโดวส์ ช่องโหว่ร้ายแรงระดับวิกฤติยังคงเป็นของเบราว์เซอร์ทั้ง Internet Explorer (MS16-009) และ Edge (MS16-011) ขณะที่ตัววินโดวส์เองมีช่องโหว่ทำให้แฮกเกอร์รันโค้ดได้จากไฟล์ PDF (MS16-012) หรือไฟล์ Windows Journal (MS16-013) สำหรับเซิร์ฟเวอร์ช่องโหว่ในการจัดการไฟล์ออฟฟิศ (MS16-015) อาจจะทำให้แฮกเกอร์เข้ามารันโค้ดได้ กระทบไปถึง SharePoint Server 2013

นอกจากซอฟต์แวร์ของไมโครซอฟท์เอง ยังมีแพตช์ให้กับ Adobe Flash (MS16-022) มาด้วยพร้อมกัน

Read more

พบช่องโหว่บนเฟรมเวิร์คอัพเดตซอฟต์แวร์สำหรับแอพภายนอกบน Mac ชื่อ Sparkle กระทบ Mac จำนวนมาก

By nutmos Writer on Tag: Security, OS X, Mac
Security

ปัจจุบัน แอพที่ไม่ได้ปล่อยให้ดาวน์โหลดจาก App Store (หรือที่เรียกว่าแอพภายนอก) มักจะใช้เฟรมเวิร์คสำหรับการอัพเดตซอฟต์แวร์ที่ชื่อว่า Sparkle ในการตรวจสอบและอัพเดตแอพ โดยมีผู้ค้นพบค้นพบช่องโหว่บนเฟรมเวิร์คว่าสามารถโดนโจมตีแบบ man-in-the-middle attack ได้

Ars Technica รายงานว่าพบช่องโหว่บนเอนจินเรนเดอร์ WebKit บน Sparkle โดยขณะกำลังตรวจสอบการอัพเดตซอฟต์แวร์เมื่อเชื่อมต่อไปยังเซิร์ฟเวอร์ภายนอกผ่านช่องทาง HTTP ที่ไม่มีการเข้ารหัส ผู้ไม่ประสงค์ดีสามารถตรวจจับทราฟฟิกของเครือข่าย Wi-Fi และส่งโค้ดอันตรายไปรันบนเครื่องเหยื่อได้

Read more

รัฐบาลสหรัฐประกาศแผนความมั่นคงไซเบอร์แห่งชาติ สนับสนุนการใช้การล็อกอินหลายปัจจัย

By mk Founder on Tag: Security, USA, Barack Obama, Government, Whitehouse, Authentication, Cybersecurity
Security

ประธานาธิบดีบารัค โอบามา ประกาศแผนปฏิบัติการความมั่นคงไซเบอร์แห่งชาติ (Cybersecurity National Action Plan หรือ CNAP) เพื่อให้หน่วยงานรัฐบาลของสหรัฐ มีความมั่นคงปลอดภัยทางไซเบอร์มากยิ่งขึ้น ใจความสำคัญของแผนนี้ได้แก่

Read more

วันปรับปรุงความปลอดภัยอินเทอร์เน็ต #SaferInternetDay บริษัทไอทีร่วมแนะนำเทคนิคความปลอดภัย แสดงวิสัยทัศน์

By lew Founder on Tag: Security, Internet
Security

วันนี้เป็นวันปรับปรุงความปลอดภัยอินเทอร์เน็ต หรือ Safer Internet Day ที่จัดโดยสหภาพยุโรป เรียกร้องให้ทุกคนตระหนักถึงการมีส่วนร่วมช่วยกันทำให้อินเทอร์เน็ตปลอดภัยขึ้นในทุกมิติ ตั้งแต่การระมัดระวังการกลั่นแกล้งออนไลน์ (cyberbullying) ไปจนถึงความมั่นคงปลอดภัย ในโลกไอทีเองบริษัทต่างๆ ก็ออกมาร่วมกันเปิดตัวโครงการใหม่ๆ และแนะนำเทคนิคในการป้องกันตัวเอง

Read more

Gmail เริ่มเตือนการส่งเมลไปยังปลายทางที่ไม่เข้ารหัส, รับเมลจากผู้ส่งที่ยืนยันตัวตนไม่ได้

By mk Founder on Tag: Google, Security, Gmail, E-mail, TLS
Google

Gmail ออกมาตรการเพิ่มความปลอดภัยให้ผู้ใช้ 2 อย่างดังนี้

  • ถ้ารับหรือส่งเมลไปยังปลายทาง ที่เมลเซิร์ฟเวอร์ไม่รองรับการเข้ารหัสผ่าน TLS เราจะเห็นไอคอนแม่กุญแจสีแดงโผล่ขึ้นมาในหน้าจอเขียนเมล พร้อมคำเตือนว่าเนื้อหาในอีเมลอาจถูกดักฟังได้
  • ถ้าได้รับเมลจากผู้ส่งที่ยืนยันตัวตนไม่ได้ (authentication) ไอคอนประจำตัวผู้ส่งจะกลายเป็นรูปเครื่องหมายคำถามสีแดง เพื่อให้เรารู้ว่าอาจเป็นผู้ส่งตัวปลอม

ที่มา - Gmail Blog

Read more

แฮ็กเกอร์เจาะข้อมูลพนักงาน FBI และกระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐ

By mk Founder on Tag: Security, Hacking, FBI, DHS
Security

มีแฮ็กเกอร์รายหนึ่งชื่อใช้บัญชี @DotGovs บนทวิตเตอร์ ปล่อยข้อมูลส่วนตัวของพนักงาน FBI จำนวนกว่า 20,000 คน และพนักงานของกระทรวงความมั่นคงแห่งมาตุภูมิ (Department of Homeland Security หรือ DHS) อีก 9,000 คน

ข้อมูลที่ปล่อยออกมาประกอบด้วยชื่อ ตำแหน่ง อีเมล ที่อยู่ และหมายเลขโทรศัพท์ ทางเว็บไซต์ Motherboard ที่ได้รับการติดต่อจากแฮ็กเกอร์รายนี้ ลองตรวจสอบเบอร์โทรศัพท์เทียบกับรายชื่อ และพบว่าข้อมูลจำนวนหนึ่งเป็นของจริง แม้ว่าข้อมูลบางส่วนจะล้าสมัยไปบ้างแล้ว

Read more

รับพื้นที่ Google Drive 2GB ฟรี เพียงทำรายการตรวจสอบความปลอดภัย

By BlackMiracle Writer on Tag: Google, Security, Google Drive
Google

ปีที่แล้วกูเกิลจัดกิจกรรมแจกพื้นที่ Google Drive ให้ผู้ใช้ฟรีๆ 2GB เมื่อทำรายการตรวจสอบความปลอดภัยของบัญชีตนเอง (security checkup) เนื่องในวันความปลอดภัยอินเทอร์เน็ตโลก (Safer Internet Day)

วันนี้กิจกรรมดังกล่าวกลับมาอีกแล้ว โดยสิ่งที่ต้องทำก็เช่นตรวจสอบความถูกต้องของอีเมลสำรอง, เบอร์โทรศัพท์ และคำถามความปลอดภัย รวมถึงตรวจสอบว่าเราต้องการถอนการเข้าใช้งาน (revoke access) ของแอพไหนบ้างหรือไม่

Read more

ทีมวิจัย MIT สาธิต RFID ปลอดภัยมีแบตเตอรี่ในตัว

By lew Founder on Tag: Security, RFID, MIT
Security

ที่งาน ISSC ปีนี้ ทีมวิจัยจาก MIT ร่วมกับ Texas Instruments (TI) สาธิตชิป RFID รุ่นใหม่ที่มีแหล่งพลังงานในตัวเพื่อประเด็นความปลอดภัย

RFID ที่มีแหล่งพลังงานในตัวไม่ใช่เรื่องใหม่ แต่แนวคิดการออกแบบ RFID เช่นนี้มักใช้งานเพื่อการสื่อสารทางไกล เช่นการอ่านค่าจากระยะทางหลายๆ เมตร แต่ครั้งนี้ข้อเสนอมาจากงานวิจัยการโจมตีบัตร RFID ด้วยการตัดพลังงานอย่างแม่นยำ ทำให้บัตรหยุดเขียนข้อมูลลงไปยังหน่วยความจำได้

Read more

Project Zero เปิดเผยช่องโหว่ Malwarebytes ปลอมข้อมูลไวรัสได้, เบราว์เซอร์ Chromodo มีช่องโหว่หลายจุด

By lew Founder on Tag: Security, Project Zero, Comodo, Malwarebytes
Security

Project Zero ของกูเกิลเปิดเผยช่องโหว่ของซอฟต์แวร์ป้องกันมัลแวร์ Malwarebytes ที่ดาวน์โหลดข้อมูลไวรัสผ่าน HTTP ไม่เข้ารหัส แม้ว่าตัวข้อมูลในไฟล์จะเข้ารหัส RC4 ไว้ตัวกุญแจก็หาจากซอฟต์แวร์ในเครื่องได้ไม่ยาก (ทาง Project Zero ยังเซ็นเซอร์กุญแจอยู่) ทำให้แฮกเกอร์สามารถส่งไฟล์ข้อมูลไวรัสปลอมเข้าไปยังเครื่องของเหยื่อได้

ข้อมูลไวรัสมีตั้งแต่ข้อมูลสำหรับค้นหาไวรัส และคำสั่งที่ต้องรันเพื่อถอนไวรัสออกจากเครื่อง เมื่อแฮกเกอร์สามารถส่งคำสั่งเหล่านี้เป็นคำสั่งปลอมเข้าไปยังเครื่องปลายทางได้ แฮกเกอร์ก็จะสามารถรันคำสั่งใดๆ ที่ต้องการในเครื่องของเหยื่อได้

Read more
Subscribe to Security