Security

กูเกิลเปิดตัวบริการ Chrome Enterprise Premium ยกระดับความปลอดภัยสำหรับองค์กร

By mk

on 10 April 2024 - 16:48 Tag: Chrome, Enterprise, Google, Security

Chrome

กูเกิลเปิดตัวแพ็กเกจ Chrome Enterprise Premium สำหรับลูกค้าองค์กร เป็นการยกระดับความปลอดภัยของ Chrome สำหรับใช้ในองค์กรขนาดใหญ่

กูเกิลมีบริการชื่อ Chrome Enterprise ทำตลาดองค์กรมานานแล้ว ภายหลังกูเกิลแยกส่วนเป็นบริการจัดการเครื่องระดับพื้นฐานชื่อ Chrome Enterprise Core และล่าสุดเพิ่มบริการเสริมตัวนี้ Chrome Enterprise Premium เข้ามาในราคา 6 ดอลลาร์ต่อผู้ใช้ต่อเดือน

BlOgNoNe.CoM กูเกิลเริ่มสุ่มตัวใหญ่เล็กใน DNS Query ป้องกัน DNS Cache Poisoning

By lew

on 8 April 2024 - 01:57 Tag: DNS, Security

DNS

บริการ Google Public DNS ประกาศเพิ่มมาตรการป้องกัน DNS Cache Poisoning ที่คนร้ายสร้าง DNS Reply โดยปลอมไอพีเป็น authoritive server มาตอบไอพีแทนเซิร์ฟเวอร์จริง หากสามารถยิง reply เข้าไปถึงกูเกิลก่อนที่ข้อความจากเซิร์ฟเวอร์จริงไปถึง ก็จะกลายเป็นว่าผู้ใช้จำนวนมากถูกส่งไปยังเซิร์ฟเวอร์ปลอมเป็นระยะเวลาหนึ่ง

หน่วยงานโอเพนซอร์สร่วมวางสเปกการพัฒนาซอฟต์แวร์ให้ปลอดภัย แก้ปัญหาแบบ xz

By mk

on 6 April 2024 - 11:40 Tag: Eclipse Foundation, Open Source, Apache, Europe, EU, Security

Eclipse Foundation

ปัญหาเรื่องความปลอดภัยของซอฟต์แวร์โอเพนซอร์สมีความรุนแรงขึ้นเรื่อยๆ (กรณีล่าสุดของ xz ที่เกือบสร้างผลกระทบในวงกว้าง โชคดีที่ตรวจเจอกันก่อน) ล่าสุดกลุ่มมูลนิธิผู้พัฒนาซอฟต์แวร์โอเพนซอร์สหลายราย ประกาศจับมือกันเพื่อวาง "กระบวนการพัฒนาซอฟต์แวร์ที่ปลอดภัย" แล้ว

โครงการนี้มี Eclipse Foundation เป็นเจ้าภาพ ร่วมด้วยองค์กรอีกจำนวนมาก ได้แก่ Apache Software Foundation, Blender Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation, Rust Foundation

สหราชอาณาจักรออกแนวทางรักษาความปลอดภัยสำหรับกลุ่มเสี่ยงสูง ต้องเปิด Lockdown Mode เริ่มบังคับกับเจ้าหน้าที่เลือกตั้ง

By lew

on 5 April 2024 - 20:33 Tag: Security, United Kingdom

Security

ศูนย์ความมั่นคงไซเบอร์แห่งชาติสหราชอาณาจักร (National Cyber Security Centre - NCSC) ออกคำแนะนำการป้องกันภัยไซเบอร์สำหรับกลุ่มผู้มีความเสี่ยงสูงเป็นพิเศษ เช่น นักการเมือง, นักวิชาการ, นักข่าว, หรือคนทำงานกฎหมาย โดยคำแนะนำนี้เป็นคำแนะนำที่เหนือกว่าการรักษาความปลอดภัยไซเบอร์ทั่วไป

คำแนะนำในเอกสารนี้ ได้แก่

Andres Freund วิศวกรผู้พบโค้ดช่องทางลับในโครงการ xz ขอสื่ออย่าลงรูป พบช่องโหว่เพราะ SSH กินซีพียู

By lew

on 4 April 2024 - 18:36 Tag: Security

Security

กระบวนการวางช่องโหว่ในโครงการ xz นับเป็นความพยายามโจมตีครั้งใหญ่ของโลกไซเบอร์ หากการโจมตีครั้งนี้สำเร็จก็จะเป็นการสร้างช่องทางลับให้คนร้ายสามารถเข้าถึงเซิร์ฟเวอร์จำนวนมหาศาลได้โดยง่าย โดยผู้พบช่องทางนี้ครั้งแรกคือ Andres Freund โปรแกรมเมอร์ของไมโครซอฟท์ ที่พบช่องโหว่ระหว่างการทดสอบ PostgreSQL ที่เป็นงานหลักของเขา หลักจากรายงานช่องโหว่นี้หลายคนก็ยกย่องให้เขาเป็นฮีโร่แห่งอินเทอร์เน็ต

ย้อนรอยการฝังโค้ดโครงการ xz คนร้ายทำกันเป็นกระบวนการ ส่งโค้ดเล็กๆ น้อยๆ รอนับปีขอสิทธิ์เป็นผู้ดูแลโครงการ

By lew

on 3 April 2024 - 15:11 Tag: Open Source, Security

Open Source

โครงการ xz ถูกฝังโค้ดวางทางเข้าเซิร์ฟเวอร์ผ่านช่องทาง secure shell นับเป็นเรื่องน่าตระหนก Russ Cox ก็ออกมาเรียบเรียงช่วงเวลาการทำงานของคนร้ายกลุ่มนี้

xz เป็นโครงการโดย Lasse Collin ที่ออกแบบไฟล์โดยใช้กระบวนการบีบอัดแบบ LZMA โดยรวมแล้วมันบีบอัดได้ดีกว่า gzip พอสมควร ไฟล์โดยรวมมีขนาดเพียง 70% ของ gzip จึงได้รับความนิยมสูง ตัวเคอร์เนลลินุกซ์เองก็ใช้กระบวนการบีบอัดนี้ แต่โครงการเริ่มมาตั้งแต่ปี 2005 และ Lasse ก็ดูแลโครงการเรื่อยมา

ไมโครซอฟท์ประกาศราคาแพตช์ Windows 10 หลังหมดอายุ ซื้อต่อได้ที่ 61 ดอลลาร์ต่อเครื่องต่อปี

By mk

on 3 April 2024 - 09:22 Tag: Windows 10, Security, Microsoft, Operating System, Enterprise

Windows 10

Windows 10 จะหมดระยะซัพพอร์ตในเดือนตุลาคม 2025 หลังซัพพอร์ตมายาวนานครบ 10 ปี โดยไมโครซอฟท์เคยประกาศว่าจะออก Windows 10 Extended Security Updates แบบเสียเงิน เพื่อต่ออายุแพตช์ความปลอดภัยได้อีก 3 ปี แบบเดียวกับกรณีของ Windows 7

Snapcraft โดนโจมตีด้วยแพ็กเกจกระเป๋าคริปโตปลอม, Canonical ปรับนโยบายตรวจด้วยมนุษย์

By mk

on 2 April 2024 - 09:12 Tag: Ubuntu, Canonical, Linux, Security

Ubuntu

Canonical ประกาศนโยบายรีวิวทุกแพ็กเกจที่ส่งเข้าระบบ Snap Store หรือรู้จักกันในชื่อ Snapcraft (สำหรับใช้ใน Ubuntu) ด้วยมนุษย์ หลังจากถูกโจมตีด้วยการส่งแพ็กเกจแอพ crypto wallet ปลอมเข้ามาในระบบ และมีผู้ใช้ถูกขโมยเหรียญคริปโตไปบ้างแล้ว

การลงทะเบียนแพ็กเกจ snap ใหม่จำเป็นต้องกรอกฟอร์ม อธิบายรูปแบบการทำงานของแพ็กเกจ และรอการรีวิวจากวิศวกรของ Canonical ก่อน (ใช้เวลา 2 วันทำการ) เมื่อผ่านแล้วจึงสามารถส่งแพ็กเกจเข้าระบบได้

พบซอร์สโค้ดไลบรารีบีบอัด xz วางช่องโหว่เจาะ Secure Shell คาดนักพัฒนาวางช่องเอง

By lew

on 30 March 2024 - 14:47 Tag: Open Source, Security, OpenSSH

Open Source

Andres Freund นักพัฒนาจากไมโครซอฟท์รายงานถึงโค้ดของโครงการ xz โปรแกรมบีบอัดที่ได้รับความนิยมกว้างขวาง แต่มีสัปดาห์ที่ออกมามีเวอร์ชั่นใหม่ 5.6.0 และ 5.6.1 ที่มีพฤติกรรมแปลกๆ เมื่อสอบสวนเพิ่มเติมกลับพบว่าโค้ดเหล่านี้ถูกใส่เพิ่มเข้ามาในสคริปต์ build จาก tarball โดยไม่มีโค้ดใน repository จริง

PyPI ปิดรับผู้ใช้ใหม่ชั่วคราว หลังโดนโจมตีสร้างแพ็กเกจปลอมฝังมัลแวร์ หวังดักคนสะกดชื่อแพ็กเกจผิด

By mk

on 29 March 2024 - 09:14 Tag: Python, Security, Malware

Python

Python Package Index หรือ PyPI คลังซอฟต์แวร์ภาษา Python ยังตกเป็นเป้าโจมตีของแฮ็กเกอร์อย่างต่อเนื่อง ตามกระแสการโจมตี supply chain attack คลังแพ็กเกจยี่ห้อต่างๆ เพราะสามารถกระจายมัลแวร์ได้ในวงกว้าง

ล่าสุด PyPI ต้องประกาศปิดรับสมัครบัญชีผู้ใช้ใหม่ และการสร้างโครงการในระบบใหม่เป็นเวลาราว 10 ชั่วโมง โดยระบุคร่าวๆ ว่าเป็นเพราะโดนโจมตีด้วยการสร้างบัญชีผู้ใช้จำนวนมากเพื่ออัพโหลดมัลแวร์เข้าระบบ

ธนาคาร Westpac ในออสเตรเลียเพิ่มแบบสอบถามเมื่อผู้ใช้โอนเงินต้องสงสัย ช่วยป้องกันลูกค้าถูกหลอกโอนเงิน

By lew

on 26 March 2024 - 13:36 Tag: Banking, Security, Australia

Banking

ธนาคาร Westpac ในออสเตรเลียเปิดฟีเจอร์ SaferPay หน้าจอแสดงแบบสอบถามเมื่อผู้ใช้ทำธุรกรรมต้องสงสัย แอปของ Westpac จะแสดงคำถามขึ้นมาย้ำถึงเหตุผลของการโอนเงิน

เมื่อผู้ใช้ทำธุรกรรมที่เข้ารูปแบบต้องสงสัยแอปจะแสดงแบบสอบถาม และหากผู้ใช้ตอบคำถามแสดงให้เห็นว่ากำลังถูกหลอกก็จะบล็อครายการโอนเงินเอาไว้ รูปแบบนี้คล้ายกับพนักงานธนาคารที่อาจจะพบธุรกรรมต้องสงสัยเมื่อลูกค้ามาทำธุรกรรมที่สาขา แล้วตัวพนักงานแจ้งเตือนลูกค้า

ฟีเจอร์ SaferPay นี้จะเริ่มเปิดใช้งานในบริการธนาคารผ่านโทรศัพท์มือถือก่อน จากนั้นจะเปิดทุกช่องทางดิจิทัลภายในปี 2025

ทีมนักวิจัยพบช่องโหว่ในซีพียู Apple Silicon เปิดทางขโมยข้อมูลในแคชของซีพียูได้

By mk

on 24 March 2024 - 10:46 Tag: Apple Silicon, Apple M1, Apple M2, Apple M3, Security, CPU, Apple

Apple Silicon

ทีมนักวิจัยจากมหาวิทยาลัยชื่อดังในสหรัฐหลายแห่ง ค้นพบช่องโหว่ในชิปตระกูล Apple Silicon เปิดทางให้เข้าไปขโมยกุญแจเข้ารหัสจากซีพียูได้ ด้วยวิธี side channel attack

ช่องโหว่นี้ถูกตั้งชื่อว่า GoFetch อาศัยการทำงานของฟีเจอร์ซีพียูชื่อ data memory-dependent prefetcher (DMP) ใช้พยากรณ์ตำแหน่งหน่วยความจำที่จะถูกเรียกใช้ในอนาคต แล้วดึงข้อมูลตรงนั้นมารอในแคชเพื่อเร่งประสิทธิภาพในการประมวลผล

GitHub เปิดตัวฟีเจอร์ AI ตรวจสอบและแก้ไขช่องโหว่ความปลอดภัยในโค้ด

By arjin

on 21 March 2024 - 06:43 Tag: GitHub, Security, Programming, Artificial Intelligence

GitHub

GitHub เปิดตัวฟีเจอร์ใหม่ Code scanning autofix ซึ่งเป็น AI ช่วยค้นหาและแก้ไขช่องโหว่ในโค้ดได้เร็วขึ้น โดยตอนนี้อยู่ในสถานะพับลิกเบต้า และเปิดใช้งานอัตโนมัติมีผลทันทีกับ Repository ที่ตั้งค่า Private เฉพาะลูกค้า GitHub Advanced Security (GHAS)

Code scanning autofix เป็นระบบที่สนับสนุนโดย GitHub Copilot และ CodeQL ระบุว่ารองรับมากกว่า 90% ของคำเตือนในภาษา JavaScript, Typescript, Java และ Python สามารถให้คำแนะนำแก้ไขได้มากกว่า 2 ใน 3 ของช่องโหว่ที่พบ ซึ่งโปรแกรมเมอร์สามารถเลือกทำตามคำแนะนำหรือไม่ทำก็ได้เช่นกัน

CSA ประกาศมาตรฐานความปลอดภัยอุปกรณ์ IoT และสมาร์ทโฮม เวอร์ชัน 1.0

By arjin

on 20 March 2024 - 19:16 Tag: CSA, Internet of Things, Cybersecurity, Security, Standard, Smart Home

CSA

CSA หน่วยงานกำหนดมาตรฐานอุปกรณ์ Internet of Things หรือ IoT ที่เป็นผู้ออกมาตรฐาน Matter ประกาศรายละเอียดความปลอดภัยอุปกรณ์ IoT เวอร์ชัน 1.0 (IoT Device Security Specification 1.0) ซึ่งเป็นเวอร์ชันแรกด้านความปลอดภัย เพื่อให้ผู้ผลิตได้มาตรฐานเดียวกันในการกำกับดูแล ตลอดจนการขอรับการรับรองอุปกรณ์ สร้างความเชื่อมั่นให้กับผู้ซื้อ

มาตรฐานความปลอดภัยเวอร์ชันแรกนี้ CSA ได้ทำงานและออกแบบร่วมกับสมาชิกกว่า 200 หน่วยงาน ซึ่งรวมทั้งรายใหญ่อย่าง Amazon, Arm, Comcast, Google, NXP Semiconductors, Schneider Electric, Signify (Philips Hue กับ WiZ) และอื่น ๆ

ทีมวิจัยฮ่องกงสร้าง LLM สำหรับ decompile โค้ดโดยเฉพาะ มุ่งวัดเป้ารันได้เหมือนโค้ดเดิม

By lew

on 18 March 2024 - 21:53 Tag: LLM, Security, Hong Kong

LLM

ทีมวิจัยจาก Hong Kong Polytechnic University รายงานถึงการพัฒนาโมเดลปัญญาประดิษฐ์ LLM4Decompile โมเดลเฉพาะทางสำหรับการแปลงไฟล์ assembly ให้กลับมาเป็นโค้ดภาษา C อีกครั้ง จากเดิมที่เคยมีรายงานกันก่อนหน้านี้แล้วว่า LLM ทั่วไป เช่น GPT-4 ก็สามารถ decompile โค้ดได้

Windows 11 เลิกใช้กุญแจ RSA แบบ 1024 บิต เปลี่ยนมาใช้ 2048 บิตที่แข็งแรงขึ้น

By mk

on 16 March 2024 - 21:25 Tag: Windows 11, Encryption, Security, Cryptography

Windows 11

ไมโครซอฟท์ประกาศยกเลิกการใช้กุญแจเข้ารหัสด้วยอัลกอริทึม RSA ที่ความยาวต่ำกว่า 2048 บิต ส่งผลให้กุญแจ RSA 1024 บิตที่ใช้กันมายาวนาน ไม่สามารถใช้ได้อีกต่อไป

กุญแจเข้ารหัส RSA แบบ 1024 บิต มีความยาวของกุญแจ ทนทานต่อการเจาะเพียง 80 บิต ซึ่งถือว่าน้อยแล้วในปัจจุบัน และ NIST หน่วยงานด้านมาตรฐานอุตสาหกรรมของสหรัฐอเมริกา เพิ่งยกเลิกการใช้กุญแจ RSA 1024 บิต ไปเมื่อปี 2013 และให้เป็นเปลี่ยนกุญแจ RSA 2048 บิต หรือกุญแจที่ใช้อัลกอริทึม ECDSA 256 บิตแทน

กูเกิลปรับระบบ Google Safe Browsing เช็คเว็บอันตรายกับเซิร์ฟเวอร์ ทำงานเรียลไทม์

By mk

on 15 March 2024 - 08:30 Tag: Chrome, Google, Security, Browser

Chrome

กูเกิลประกาศปรับกระบวนการทำงานของ Google Safe Browsing ใน Chrome ทั้งบนเดสก์ท็อปและมือถือ ที่ผ่านมาการทำงานของ Safe Browsing ใช้วิธีดาวน์โหลดรายชื่อเว็บไซต์อันตรายมาเก็บไว้ในเครื่องเป็น local list แล้วค่อยตรวจสอบว่าเว็บที่ผู้ใช้เข้าตรงกับรายชื่อหรือไม่ รายชื่อจะอัพเดตทุกๆ 30-60 นาที ทำให้เกิด "ช่องว่างเวลา" ที่อาจมีเว็บเกิดใหม่ขึ้นมา หรือเว็บอันตรายที่ใช้วิธีเปิดๆ ปิดๆ เพื่อหลบการตรวจจับ (สถิติของกูเกิลบอกว่าเว็บอันตรายเหล่านี้จะเปิดมาเฉลี่ยประมาณ 10 นาทีแล้วปิดไป)

Google จ่ายเงินให้นักวิจัยในโครงการ Bug Bounty ปีที่ผ่านมา 10 ล้านดอลลาร์

By arjin

on 13 March 2024 - 12:38 Tag: Google, Bug Bounty, Security

Google

กูเกิลรายงานการจ่ายเงินรางวัล สำหรับผู้แจ้งบั๊กช่องโหว่ของโครงการ Vulnerability Reward Program (VRP) ในปี 2023 โดยจ่ายเงินไป 10 ล้านดอลลาร์ ให้นักวิจัย 632 ราย ใน 68 ประเทศ

ตัวเลขนี้ลดลงจากปี 2022 ซึ่งกูเกิลจ่ายเงินไป 12 ล้านดอลลาร์ โดยในปีที่ผ่านมา การจ่ายเงินสูงสุดกับนักวิจัยหนึ่งการรายงานคือ 113,337 ดอลลาร์ ตัวเลขสะสมที่กูเกิลจ่ายมาตลอดโครงการนี้ตั้งแต่ปี 2010 คือ 59 ล้านดอลลาร์

ไมโครซอฟท์ระบุกลุ่ม Midnight Blizzard ยังโจมตีต่อเนื่อจากข้อมูลที่ได้ไป ล่าสุดเข้าถึงซอร์สโค้ดบางส่วน

By lew

on 10 March 2024 - 22:09 Tag: Microsoft, Security, Hacking, Data Breach

Microsoft

ไมโครซอฟท์อัพเดตถึงเหตุการณ์ถูกกลุ่ม Midnight Blizzard แฮกเมื่อต้นปีที่ผ่านมา โดนล่าสุดพบว่ากลุ่มแฮกเกอร์ยังใช้ข้อมูลที่ได้ไปก่อนหน้านี้พยายามเจาะเข้าระบบของบริษัทอยู่เรื่อยๆ และสามารถเข้าถึงซอร์สโค้ดบางส่วน และระบบภายในได้สำเร็จ โดยไม่มีหลักฐานว่าระบบที่เกี่ยวข้องได้รับผลกระทบแต่อย่างใด

รายงานระบุว่าแฮกเกอร์หาค่า secret ที่พนักงานไมโครซอฟท์ส่งไปมากับลูกค้า โดยตอนนี้ไมโครซอฟท์ติดต่อลูกค้าที่อาจจะได้รับผลกระทบแล้ว

GitHub เปิดใช้ฟีเจอร์ Secret Scanning ตรวจจับคีย์หลุดเป็นค่าดีฟอลต์

By mk

on 2 March 2024 - 19:00 Tag: GitHub, Security

GitHub

GitHub ประกาศเปิดใช้ฟีเจอร์ secret scanning ตรวจจับว่าในโค้ดที่ส่งขึ้นระบบมี key, token, secret หรือไม่ โดยเป็นค่าดีฟอลต์

ฟีเจอร์นี้เริ่มใช้งานมาตั้งแต่ปี 2022 แต่เป็น opt-in คือผู้ใช้ต้องเลือกเปิดเอง ผลคือยังมีการส่ง key เหล่านี้ขึ้นระบบ GitHub จำนวนมหาศาล เอาแค่ปี 2024 อย่างเดียว เพียงไม่กี่สัปดาห์ก็มี key ลับหลุดเกิน 1 ล้าน key เข้าไปแล้ว จึงทำให้ GitHub ตัดสินใจเปิดฟีเจอร์นี้เป็นค่าดีฟอลต์สำหรับ public repository ทั้งหมด

Subscribe to Security