Tags:
Node Thumbnail

ทั้ง Facebook และ Twitter ประกาศเปิดให้ใช้ HTTPS ตลอดเวลาเพื่อเพิ่มความปลอดภัยของผู้ใช้ คราวนี้ถึงคิวของ Foursquare บ้าง

Foursquare ประกาศผ่านการทวีตว่าการเชื่อมต่อทุกชนิดของตัวเอง ไม่ว่าจะเป็นเว็บหรือแอพ จะอยู่บน HTTPS ทั้งหมด ด้วยเหตุผลว่าข้อมูลสถานที่จากการเช็คอินเป็นข้อมูลสำคัญ ที่ไม่ควรจะมีใครดักจับไปได้นั่นเอง

ที่มา - Mashable

Tags:
Node Thumbnail

หลังจากบริษัท Comondo ถูกแฮกจนแฮกเกอร์ได้ใบรับรองการเข้ารหัส (SSL Certificate) ไปจำนวนหนึ่งวันนี้ทางนักวิเคราะห์เทคนิคของ EFF ก็ได้ออกมาเสนอข้อมูลการตรวจสอบว่า นอกจากกรณีที่มีการเข้าขอใบรับรองการเข้ารหัสโดยไม่ใช่เจ้าของโดเมนจริงแล้ว ยังมีกรณีการขอใบรับรองในชื่อโดเมนที่ไม่ถูกต้องอีกจำนวนมากถึง 37,000 ชื่อ

Tags:
Node Thumbnail

หลังจาก RSA ถูกแฮกและถูกขโมยข้อมูลเกี่ยวกับ SecurID ไปเมื่อเดือนที่แล้ว ทาง EMC ซึ่งเป็นบริษัทแม่ของ RSA ก็ได้ออกมาให้ข้อมูลเพิ่มเติมของการแฮกครั้งนี้แล้ว

Tags:
Node Thumbnail

คนที่ใช้ Firefox/Chrome/Safari อาจเคยเข้าเว็บไซต์บางแห่ง และพบคำเตือนจากเบราว์เซอร์ว่า "เว็บนี้เป็นอันตราย" ขึ้นเป็นจอสีแดงๆ กระบวนการตรวจสอบเว็บไซต์เหล่านี้ทำผ่าน Google Safe Browsing API ซึ่งเปิดให้นักพัฒนาภายนอกเรียกใช้ได้ด้วย

ล่าสุดกูเกิลกำลังขยาย Safe Browsing API ให้ครอบคลุมไปถึง "ไฟล์" ที่ดาวน์โหลดผ่านอินเทอร์เน็ตด้วย โดยเบื้องต้นจะเริ่มจากไฟล์ .exe ของวินโดวส์ และแน่นอนว่าเบราว์เซอร์ตัวแรกที่รองรับฟีเจอร์นี้ย่อมหนีไม่พ้น Chrome ซึ่งตอนนี้เข้ามาใน Dev Channel แล้ว

ฟีเจอร์นี้มีครั้งแรกใน IE9 เพียงแต่ไมโครซอฟท์ใช้ระบบตรวจจับของตัวเอง

Tags:
Node Thumbnail

กลุ่มแฮกเกอร์ที่ใช้ชื่อว่า Anonymous ได้ประกาศสงครามกับโซนี่เพื่อล้างแค้นให้กับ GeoHot ที่ถูกฟ้อง (1, 2) โดยใช้ชื่อปฎิบัติการว่า OpSony (ย่อมาจาก Operation Sony)

แถลงการของกลุ่ม Anonymous แสดงถึงความโกรธแค้นที่ GeoHot และ Graf_Chokolo ถูกฟ้องร้องจากโซนี่และขออำนาจศาลในการเข้าถึงข้อมูลส่วนบุคคลของคนนับพัน โดยกลุ่ม Anonymous ประกาศว่าจะสอนบทเรียนให้กับโซนี่สามเรื่องคือ

  1. อย่าทำใครก่อนถ้าไม่อยากถูกกระทำ
  2. ข้อมูลเป็นสิ่งเสรี
  3. กลุ่ม Anonymous จะจำการกระทำนี้ตลอดไป

ในคำข่มขู่ค่อนข้างชัดว่ากลุ่ม Anonymous เตรียมการจะโจมตีเว็บโซนี่ในทางใดก็ทางหนึ่ง

Tags:
Node Thumbnail

ผู้เชี่ยวชาญด้านความปลอดภัยในแคนาดาชื่อ Mohamed Hassan ได้ค้นพบ rootkit หรือซอฟต์แวร์ที่แอบฝังอยู่ในโน้ตบุ๊กของซัมซุงบางรุ่น ซึ่งจะคอย "ดัก" ข้อมูลทุกอย่างที่ผู้ใช้ป้อนผ่านคีย์บอร์ด และอาจส่งกลับไปยังเซิร์ฟเวอร์บนอินเทอร์เน็ต

Hassan ใช้โน้ตบุ๊ก Samsung R525 ซื้อเมื่อเดือนกุมภาพันธ์ เขาพบพฤติกรรมแปลกๆ บนเครื่องจึงลองตรวจสอบ เขาพบว่ามีโปรแกรมชื่อ StarLogger แอบอยู่ที่ c:\windows\SL และเริ่มทำงานทุกครั้งที่เปิดเครื่อง

Tags:
Node Thumbnail

หน่วยงานความมั่นคงของสหรัฐฯ (National Security Agency - NSA) กำลังเข้าตรวจสอบกรณีที่ตลาดหลักทรัพย์ Nasdaq ถูกเจาะระบบได้เมื่อเดือนตุลาคมปีที่แล้ว ซึ่งอาจจะหมายถึงการโจมตีนั้นเกิดจากองค์กรข้ามชาติหรือหน่วยงานก่อการร้ายขนาดใหญ่

ซอฟต์แวร์ที่ถูกโจมตีนั้นไม่ใช่ตัวหน้าจอซื้อขายหลักทรัพย์โดยตรง แต่เป็นซอฟต์แวร์ที่ชื่อว่า Directors Desk โดยบริษัท Nasdaq OMX Group ได้ออกมาแจ้งปัญหานี้ โดยระบบ Directors Desk จะเป็นพื้นที่ให้ผู้บริหารบริษัทต่างๆ มาแลกเปลี่ยนข้อมูลที่เป็นความลับหรือจัดการประชุมออนไลน์ ซึ่งทำข้อมูลที่อยู่ในระบบนี้เองก็อาจจะนำไปใช้ในการทำกำไรจากการซื้อขายหลักทรัพย์ได้แล้ว

Tags:
Node Thumbnail

ต่อจากข่าว ไมโครซอฟท์แอบถอด HTTPS ออกจาก Hotmail ในบางประเทศ หลังจากเรื่องดังขึ้นมา ไมโครซอฟท์ได้แก้ไขให้ผู้ใช้ Hotmail ทุกคนสามารถใช้ HTTPS ได้ดังเดิมแล้ว

ไมโครซอฟท์อธิบายเรื่องนี้ว่าถือเป็น "บั๊กลึกลับ" ที่ไมโครซอฟท์เองก็หาสาเหตุไม่เจอ แต่ก็ยืนยันว่าไม่ได้ตั้งใจปิดตัวเลือก HTTPS ในบางประเทศแต่อย่างใด

ที่มา - Windows Live Help, The Register

Tags:
Node Thumbnail

Hotmail Wave 4 เพิ่งมีฟีเจอร์เชื่อมต่อผ่าน HTTPS/SSL ตลอดเวลา ไปเมื่อปีที่แล้ว แต่ล่าสุดทาง Electronic Frontier Foundation หรือ EFF ออกมาเปิดเผยว่าไมโครซอฟท์แอบถอดฟีเจอร์นี้ออกไปเงียบๆ สำหรับผู้ใช้ในบางประเทศ

ประเทศที่ไม่สามารถต่อผ่าน HTTPS ได้ ส่วนมากได้แก่ ประเทศกลุ่มตะวันออกกลาง แอฟริกาเหนือ และเอเชียกลาง โดยมีเพื่อนบ้านของเราคือพม่ารวมอยู่ด้วย ประเทศทั้งหมดมีดังนี้ Bahrain, Morocco, Algeria, Syria, Sudan, Iran, Lebanon, Jordan, Congo, Myanmar, Nigeria, Kazakhstan, Uzbekistan, Turkmenistan, Tajikistan, Kyrgyzstan

Tags:
Node Thumbnail

นอกจากไมโครซอฟท์ได้ปล่อยอัพเดตรายการยกเลิกใบรับรอง (Certificate Revocation List - CRL) เพื่อแก้ปัญหาใบรับรองปลอม บน Windows แล้ว ไมโครซอฟท์ยังยืนยันว่ากำลังทำแพตช์เพื่ออัพเดตรายการยกเลิกใบรับรองดังกล่าวสำหรับ Windows Phone 7 เช่นกัน แต่ไมโครซอฟท์ยังไม่เปิดเผยวันเวลาที่จะปล่อยอัพเดตดังกล่าวแต่อย่างไร

มีความเป็นไปได้สูงที่ไมโครซอฟท์จะปล่อยแพตช์ผ่าน OTA ซึ่งจะเป็นการทดสอบฟีเจอร์ Windows Update บน Windows Phone 7 ด้วย (อัพเดตก่อนหน้านี้รวมถึง "NoDo" นั้นผู้ใช้จะต้องติดตั้งผ่านโปรแกรม Zune บนคอมพิวเตอร์)

Tags:
Node Thumbnail

บริษัท Comodo ผู้ให้บริการด้านความปลอดภัย และเป็นผู้ให้บริการรับรองตัวตน (certificate) สำหรับการเข้ารหัสแบบ SSL ได้แจ้งข่าวว่าบริษัทได้ออกใบรับรองแก่ผู้ไม่หวังดีไปจำนวน 9 ใบ ทำให้ผู้ใช้อาจถูกหลอกลวงให้เข้าเว็บปลอมได้

ระบบการเข้ารหัสแบบ SSL ต้องการใบรับรองตัวตนที่ได้รับการรับรองจากหน่วยงานที่เชื่อถือได้ (Trusted Root Certification Authorities) ไม่เช่นนั้นเบราเซอร์จะแจ้งเตือนผู้ใช้เมื่อผู้ใช้พยายามเข้าเว็บที่มีการเข้ารหัสแบบ SSL ว่าใบรับรองตัวตนของเว็บนั้นไม่ถูกต้อง โดยระบบปฎิบัติการต่างๆ จะมีรายชื่อของหน่วยงานให้บริการรับรองที่เชื่อถือได้แตกต่างกันไป

Tags:
Node Thumbnail

Luigi Auriemma นักวิจัยด้านความปลอดภัยชาวรัสเซียได้ทดสอบความปลอดภัยของซอฟต์แวร์ควบคุมอุปกรณ์ SCADA หลายยี่ห้อ เช่น Siemens, Iconics, 7-Technologies, และ DATAC พบว่าทั้งหมดมีปัญหาความปลอดภัยหลายต่อหลายประการ

ปัญหาที่พบในซอฟต์แวร์เหล่านี้มีตั้งแต่ Stack Overflow, Heap Overflow, Integer Overflow, การสั่งรันคำสั่งภายนอก, การจัดรูปแบบสตริง, การคืนหน่วยความจำซ้ำซ้อน, หน่วยความจำผิดพลาด, การเข้าถึงไดเรกทอรี, ตลอดจนปัญหาจากการออกแบบอื่นๆ จากซอฟต์แวร์ทั้งหมดรวมกว่า 30 จุด

ระบบ SCADA เป็นระบบที่นิยมใช้งานเพื่อตรวจสอบสถานะและควบคุมการทำงานของระบบสาธารณูปโภคเช่น ไฟฟ้า, น้ำประปา, ท่อก๊าซ, ท่อน้ำมัน, ระบบบำบัดน้ำเสีย หรือกระทั่งโรงงานไฟฟ้านิวเคลียร์

Tags:
Node Thumbnail

สินค้าที่ได้รับความนิยมมากตัวหนึ่งของ RSA คือ SecurID ที่ช่วยเพิ่มความปลอดภัยเพิ่มจากการใส่รหัสผ่านตามปรกติ โดย SecurID จะมาในรูปแบบของพวงกุญแจที่แสดงตัวเลขสี่หลักที่จะเปลี่ยนไปทุกๆ 30 วินาที แต่ Arthur W. Coviello ก็เขียนบล็อกแถลงในวันนี้ว่าแฮกเกอร์ได้เจาะเข้าไปในเซิร์ฟเวอร์ของ RSA เพื่อขโมยข้อมูลบางอย่างที่ถูกใช้เพื่อลดความปลอดภัยของ SecurID ลงได้

ทาง RSA กำลังติดต่อลูกค้าเพื่อแจ้งขั้นตอนการเสริมความปลอดภัยให้กับ SecurID ต่อไป และบริษัทยืนยันว่าข้อมูลที่หลุดออกไปนั้นไม่เกี่ยวข้องกับสินค้าอื่นๆ

บ้านเราก็เห็นมีบริษัทใช้ SecurID อยู่หลายเจ้า อาจจะต้องติดต่อตัวแทนขายเพื่ออัพเดตปัญหาและทางแก้กันก่อนที่จะถูกบุกรุกครับ

Tags:
Node Thumbnail

จากข่าวที่แล้ว: Pwn2Own วันที่สอง iPhone 4, BlackBerry Torch ร่วง Firefox, Android, WP7 ยังอยู่รอด ที่ใช้ช่องโหว่ของ Browser ของ OS 6.0.0.246 ที่พัฒนาโดยใช้ Webkit

โดยช่องโหว่อยู่ใน JavaScript ซึ่งหากโจมตีจากจุดนี้ผลที่ได้คือการเข้าถึงข้อมูลในโทรศัพท์ทั้งใน media card และ built-in storage แต่ไม่นับข้อมูลที่เก็บไว้สำหรับแอพพลิเคชันเช่น อีเมลหรือข้อมูลในการติดต่อ (contact information)

Tags:
Node Thumbnail

ก่อนหน้านี้ Facebook เพิ่มตัวเลือกให้ใช้งาน HTTPS ตลอดเวลา ตอนนี้ถึงคราวของ Twitter บ้าง

ผู้ที่ต้องการใช้งาน Twitter ผ่าน HTTPS ต้องเข้าไปที่หน้า Settings และเลือก Always use HTTPS ซึ่งเป็นตัวเลือกใหม่ที่เพิ่มเข้ามา

ต่อให้ไม่เลือกตัวเลือกนี้ ตอนใส่รหัสผ่านบนเว็บไซต์ Twitter จะใช้ HTTPS อยู่แล้ว ส่วนคนที่เข้าเว็บเวอร์ชันมือถือจะต้องเข้าผ่าน https://mobile.twitter.com/ ด้วยตัวเอง

ตอนนี้มีเว็บไซต์หลายแห่งที่เปิดให้ใช้ HTTPS เข้าเว็บตลอดเวลา ดูได้จากข่าวเก่าหมวด SSL ครับ

Tags:
Node Thumbnail

การแข่งขัน Pwn2Own 2011 วันแรก ผู้พ่ายแพ้ต่อการถล่มของเหล่าแฮ็กเกอร์คือ Safari และ IE8

ส่วนการแข่งขันในวันที่สองเริ่มเปิดให้เจาะระบบสมาร์ทโฟนกันบ้าง สมาร์ทโฟนที่ถูกเจาะในวันนี้คือ iPhone 4 และ BlackBerry Torch 9800

Tags:
Node Thumbnail

ที่งาน pwn2own ซึ่งเป็นงานแข่งขันการแฮกเบราว์เซอร์ประจำปี มีเบราว์เซอร์สามตัวที่ถูกทดสอบในวันแรกคือ Safari 5.0.4, IE8, และ Chrome 10

ตัว Safari นั้นถูกแฮกโดยบริษัทด้านความปลอดภัยจากฝรั่งเศสที่ชื่อว่า VUPEN โดยเมื่อผู้ทดสอบเข้าหน้าเว็บที่เตรียมเจาะเอาไว้ ทำให้โปรแกรมเครื่องคิดเลขถูกรันขึ้นมา และไฟล์ถูกเขียนลงดิสก์ โดย VUPEN สามารถเจาะผ่านโครงสร้างรักษาความปลอดภัยเช่น Data Execution Prevention (DEP) และ Address Space Layout Randomization (ASLR) ของตัว OS X ไปได้ ทีมงานต้องใช้เวลาสองสัปดาห์เพื่อเตรียมการแฮกนี้

Tags:
Topics: 
Node Thumbnail

Dan Summers บุรุษไปรษณีย์ชาวอังกฤษที่เคยทำงานบริษัทไอทีมาก่อน เข้าร่วมการแข่งขันรักษาความปลอดภัยทางคอมพิวเตอร์ที่จัดโดยรัฐบาลอังกฤษ และได้รับรางวัลชนะเลิศมูลค่า 37,000 ปอนด์ครับ

การแข่งขันนี้ถูกจัดขึ้นเพื่อค้นหาผู้เชี่ยวชาญสมัครเล่น และเพื่อกระตุ้นตลาดแรงงานด้านนี้ที่ข่าวบอกว่าซบเซาลงกว่า 50% ในช่วงห้าปีที่ผ่านมา

ส่วนอันดับสองของการแข่งขันนั้น เป็นเด็กนักเรียนอายุ 17 ปีครับ

แถวนี้มีใครที่เป็นทั้งบุรุษไปรษณีย์และโปรแกรมเมอร์ไหมหว่า :P

ที่มา - BBC

Tags:
Node Thumbnail

เมื่อสัปดาห์ก่อนมีผู้ใช้จากเว็บ Android Police ค้นพบแอพปลอมจำนวนหลายสิบตัวบน Android Market ที่ก็อปปี้แอพตัวอื่นแล้วแอบใส่ root exploit ซึ่งจะส่งข้อมูล IMEI/IMSI ของเครื่องมือถือไปยังที่หมายปลายทางแห่งหนึ่ง (รายชื่อแอพได้จาก Android Police ส่วน root exploit ตัวนี้จะมีผลเฉพาะ Android รุ่นที่เก่ากว่า 2.2.2)

Tags:
Node Thumbnail

ไม่ทันไรหลัง WordPress.com ถูกโจมตีด้วย DDoS ครั้งใหญ่ วันถัดมา WordPress.com ก็โดนถล่มซ้ำอีกรอบ และเพิ่งกลับมาให้บริการเต็มรูปแบบได้อีกครั้ง

Matt Mullenweg ผู้สร้าง WordPress และบริษัท Automattic ให้ข้อมูลว่าต้นตอจากการยิงถล่มด้วย DDoS มาจากประเทศจีน 98% ที่เหลืออีกเล็กน้อยมาจากเกาหลีและญี่ปุ่น เป้าหมายที่แท้จริงคือบล็อกภาษาจีนที่ใช้บริการบน WordPress.com ซึ่งคาดว่าเหตุผลมาจากเรื่องการเมือง ทาง Matt ไม่เปิดเผยชื่อบล็อกแห่งนี้แต่ระบุว่าบล็อกแห่งนี้โดน Baidu เว็บค้นหารายใหญ่ของจีนบล็อคการเข้าถึง

Tags:
Node Thumbnail

เมื่อคืนนี้มีรายงานว่า WordPress.com ผู้ให้บริการบล็อกรายใหญ่ของโลกถูกโจมตีด้วยวิธี DDoS ซึ่งทางบริษัทต้นสังกัด Automattic ระบุว่าขนาดใหญ่มาก (extremely large) และถือเป็นการโจมตีที่ใหญ่ที่สุดที่ WordPress.com เคยเจอ

ในหน้าสถานะของ Automattic ระบุว่าการโจมตีครั้งนี้มีขนาดหลายกิกะบิตต่อวินาที และถ้านับเป็นจำนวนแพคเค็ตที่ถูกส่งผ่านเครือข่ายก็หลักสิบล้านแพ็คเก็ตต่อวินาที ทำให้ผู้ใช้บางรายอาจเจอปัญหาเรื่องการเข้าใช้ WordPress.com บ้าง แต่ตอนนี้สถานการณ์โดยรวมกลับมาเป็นปกติแล้ว

Tags:
Node Thumbnail

ปัจจัยชี้ขาดสำหรับการใช้มือถือสำหรับองค์กรคือความปลอดภัยของข้อมูล และความสามารถในการจัดการจากระยะไกล แชมป์ในวงการนี้ยังเป็นของ BlackBerry (มี Windows Mobile ตามมาห่างๆ และ iPhone ที่มาแรงในระยะหลัง) ส่วน Android แม้จะมีฟีเจอร์ด้านความปลอดภัยอยู่บางส่วน แต่ถ้าเทียบกับผู้นำแล้วยังตามอีกไกล

Motorola ซึ่งจับตลาดระบบสื่อสารขององค์กรมานาน หวังจะบุกตลาดนี้โดยยกเครื่องระบบความปลอดภัยของ Android เสียใหม่ โดยผ่านบริษัท 3LM ที่เพิ่งซื้อมา แนวทางคือเพิ่ม API ด้านความปลอดภัยและการบริหารจัดการลงไปที่ระดับระบบปฏิบัติการ เพื่อให้มือถือของ Motorola สามารถควบคุมจากซอฟต์แวร์บริหารจัดการอุปกรณ์พกพาที่นิยมในท้องตลาด เช่น Good Technology, MobileIron, Zenprise ได้

Tags:
Node Thumbnail

ตลาดหุ้นลอนดอน (London Stock Exchange - LSE) มีข่าวอีกครั้งหลังจากเพิ่งเปลี่ยนระบบจับคู่ซื้อขายไปเมื่อไม่กี่วันก่อน โดยคราวนี้เป็นที่ตัวเว็บเซิร์ฟเวอร์ที่บริการโฆษณาส่งโฆษณาหลอกใช้ผู้ใช้ดาวน์โหลดมัลแวร์ที่แจ้งว่าตัวเองเป็นซอฟต์แวร์แอนตี้ไวรัส

แม้เนื้อหาบนเว็บจะไม่มีอันตราย แต่เมื่อมีโฆษณาอันตรายบริการเตือนเว็บอันตรายเช่น Chrome และ Firefox นั้นเตือนผู้ใช้ไม่ให้เข้าถึงเว็บนี้ในเวลาต่อมา จนทาง LSE ต้องเอาโฆษณาออกไป

ปัญหานี้เป็นคนละปัญหากับกระทรวงต่างประเทศของไทยที่ดูเหมือนจะถูกเจาะเข้ามาเพื่อวางลิงก์ ขณะที่ที่ปัญหาของ LSE นั้นคือผู้ให้บริการโฆษณากลับไปรับวางโฆษณาที่อันตราย

Tags:
Node Thumbnail

ส.ว.ชัค ชูเมอร์ (Chuck Schumer) ได้ออกมาเขียนจดหมายเปิดผนึกถึงเว็บยอดนิยมจำนวนมากเพื่อให้รองรับโปรโตคอล HTTPS เพื่อป้องกันผู้ใช้งานจากการถูกแฮกบัญชีในเว็บต่างๆ

ชัคระบุว่าผู้ใช้จำนวนมากกำลังใช้อินเทอร์เน็ตผ่านแลนไร้สายที่ไม่ได้เข้ารหัส และซอฟต์แวร์แฮกสมัยใหม่นั้นใช้งานได้ง่ายทำให้ผู้ใช้ต้องตกอยู่ในอันตราย โดยช่องโหว่ของ HTTP นั้นเป็นที่รู้กันมาตั้งแต่ปี 2007 และเว็บไซต์จำนวนมากยังไม่ได้แก้ไขเพื่อให้เว็บมีความปลอดภัยเพียงพอ

ไม่มีการแถลงว่าจดหมายเปิดผนึกนี้ถูกส่งไปยังเว็บใดบ้าง แต่มีการยกตัวอย่างเช่น อเมซอน, ทวิตเตอร์, และยาฮู

Tags:
Node Thumbnail

แม้ SSD จะมีข้อดีหลายประการที่เหนือกว่าฮาร์ดดิสก์ แต่ผลวิจัยล่าสุดชี้ว่าการ "ล้างข้อมูล" ออกจาก SSD ทำได้ยากกว่าฮาร์ดดิสก์มาก ซึ่งส่งผลต่อการนำ SSD ไปเก็บข้อมูลที่มีความสำคัญสูงอย่างแน่นอน

กลุ่มนักวิจัยจาก University of California at San Diego ได้ทดสอบ SSD จำนวน 12 รุ่น พบว่ามีเพียง 8 รุ่นที่รองรับคำสั่ง "ERASE UNIT" สำหรับลบข้อมูลแบบหมดจด (กู้คืนไม่ได้) และจากการทดสอบจริง มีเพียง 4 รุ่นที่ลบได้สำเร็จ

Pages