Tags:
Node Thumbnail

หัวข้อข่าวอาจจะดูน่าสับสนไปสักนิดแต่ผมขออนุญาตรวมไว้ด้วยกันนะครับ สำหรับข่าวแรกแฮ็กเกอร์นิรนามวัย 16 ปีถูกจับกุมหลังจากได้ทำการโจมตี DDoS 300Gbps ครั้งใหญ่ที่สุดในโลกไปยัง Spamhaus โดยเขาได้ถูกจับกุมตั้งแต่ช่วงเดือนเมษายนแต่เพิ่งมีประกาศอย่างเป็นทางการเมื่อวันพฤหัสบดีที่ผ่านมา ซึ่งตอนนี้ก็ยังไม่แน่ชัดว่าเขาใช้วิธีการใดในการสร้างการโจมตีครั้งใหญ่นั้น

Tags:
Topics: 
Node Thumbnail

นักวิจัยด้านความปลอดภัย G.S. McNamara ค้นพบช่องโหว่ภายในฟังก์ชัน CookieStore ที่ใช้ในการจัดการเซสชั่นโดยจะทำการแฮชเซสชั่นดังกล่าวนั้นในรูปแบบของคุกกี้ และไม่มีการเก็บเซสชั่นใดๆ ลงในฐานข้อมูล ซึ่งอาจส่งผลให้ผู้ประสงค์ร้ายสามารถขโมยคุกกี้ได้

Tags:
Node Thumbnail

รายงานการฝังช่องโหว่ไว้ในตัวสร้างเลขสุ่ม Dual_EC_DRBG สร้างความตระหนกให้กับทั้งอุตสาหกรรมความปลอดภัย คำถามสำคัญคือมาตรฐานเปิดที่ผ่านกระบวนการสร้างมาตรฐานของ NIST นี้ทำไมจึงหลุดรอดสายตาของนักคณิตศาสตร์และนักรหัสวิทยาทั่วโลกไปได้ วันนี้ทาง WIRED ลงบทความเล่าถึงการนำเสนอความยาว 5 นาทีด้วยสไลด์ 9 หน้าที่งาน Crypto ในปี 2007 ระบุถึงความเป็นไปได้ในการฝังช่องโหว่เอาไว้

Tags:
Node Thumbnail

เตือนภัยจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) เนื่องจากมีผู้รายงานว่ามีแอพพลิเคชันชื่อ iMessage Chat ปรากฏอยู่ใน Play Store ซึ่งอ้างว่าสามารถส่งข้อความผ่านระบบ iMessage ของ Apple ได้ ทาง ThaiCERT ได้ตรวจสอบแอพพลิเคชันดังกล่าวแล้วพบว่าสามารถส่งได้จริง

แต่สิ่งที่น่าสงสัยในแอพพลิเคชันนี้คือ มีการส่งข้อมูลไปยังเซิร์ฟเวอร์ที่อยู่ในประเทศจีน (น่าจะใช้เป็นตัวกลางในการรับส่งข้อมูล) ซึ่งอาจมีความเสี่ยงว่าผู้ใช้จะถูกขโมยข้อมูลสำคัญ เช่น Apple ID หรือข้อมูลอื่นๆ ได้

Tags:
Node Thumbnail

Android Device Manager บริการช่วยเหลือผู้ใช้ให้ตามหาเครื่องยามลืมหรือถูกขโมยที่เปิดตัวมาเมื่อเดือนสิงหาคมที่ผ่านมา ตอนนี้กูเกิลเพิ่มฟีเจอร์ใหม่เข้ามาแบบเงียบๆ อีกสองฟีเจอร์แล้ว

ฟีเจอร์แรกเป็นการต่อยอดจากเดิมที่เครื่องสามารถสั่งลบข้อมูลระยะไกลได้ ของใหม่สามารถสั่งล็อกเครื่องจากระยะไกลได้ด้วย และยังสามารถเปลี่ยนรหัสผ่าน โดยรหัสใหม่จะไปทับทั้งรหัสผ่านเดิมและการปลดล็อกแบบการวาดนิ้วของตัวเครื่องไปเลย

เมื่อสั่งล็อกไปแล้ว ตัวเครื่องจะถามหารหัสผ่านใหม่ทันที ถ้าหากมีความพยายามจะปรับไปเป็นโหมด Airplane ตัวเครื่องจะล็อกอัตโนมัติ และกลับมาถามรหัสผ่านอีกครั้งเมื่อเชื่อมต่อกับอินเทอร์เน็ต

Tags:
Node Thumbnail

เตือนภัยจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย เนื่องจากทางไมโครซอฟท์พบการโจมตีช่องโหว่ของ Internet Explorer ทุกรุ่นตั้งแต่วันที่ 17 กันยายนที่ผ่านมา (แม้แต่ตัวใหม่อย่าง IE 11 ก็โดน) ซึ่งช่องโหว่นี้ถูกขึ้นทะเบียนฐานข้อมูลช่องโหว่ที่หมายเลข CVE-2013-3893

ช่องโหว่ตัวนี้เกิดจากการจัดการหน่วยความจำที่ผิดพลาด เป็นเหตุให้สามารถใช้สั่งการให้เครื่องคอมพิวเตอร์ที่โดนบุกรุกประมวลผลคำสั่งใดๆ ก็ได้ (Remote Code Execution) ในสิทธิ์ของผู้ใช้ที่รัน IE ขึ้นมา เช่นการดาวน์โหลดมัลแวร์มาติดตั้ง

Tags:
Node Thumbnail

ช่วงสองวันที่ผ่านมา มีรายงานความพยายามแฮกครั้งใหญ่ทั่วภูมิภาคเอเซีย โดยเฉพาะในจีนและญี่ปุ่น

การแฮกครั้งหนึ่งเป็นการติดตั้งซอฟต์แวร์ลงบนเครื่องผ่านทางบั๊กของ Internet Explorer ที่เพิ่งได้รับแพตซ์เมื่อสัปดาห์ก่อน เครื่องของเหยื่อจะถูกหลอกให้ดาวน์โหลดไฟล์ jpg มาไฟล์หนึ่งซึ่งจริงๆ แล้วไฟล์นั้นเป็นซอฟต์แวร์ที่รันได้ เมื่อรันแล้วซอฟต์แวร์จะส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ในเกาหลี

ทางกลุ่ม FireEye ผู้รายงานการโจมตีครั้งนี้ระบุว่าหมายเลขไอพีเครื่องที่มัลแวร์ส่งข้อมูลกลับไป เป็นเครื่องกลุ่มเดียวกับที่ใช้ส่งข้อมูลกลับ เมื่อตอนที่บริษัท Bit9 ถูกแฮก การแฮกสองครั้งนี้จึงอาจจะมาจากกลุ่มเดียวกัน

Tags:
Node Thumbnail

มีการเปิดเผยจาก นางพุทธชาด มุกดาประกร ผู้ช่วยกรรมการผู้จัดการใหญ่สื่อสารองค์กรและกิจการเพื่อสังคม บริษัท ปตท.จำกัด (มหาชน) ว่าได้มีผู้แอบอ้างสร้างบัญชี ปตท. ในแอพพลิเคชันแชร์รูปยอดนิยมอย่าง Instagram ซึ่งใช้ชื่อว่า PTT_Thailand หรือที่ http://instagram.com/ptt_thailand โดยหลอกให้ติดตามแล้วจะได้เติมน้ำมันฟรี

เบื้องต้นผมได้ทดสอบเข้าหน้าเว็บ http://instagram.com/ptt_thailand แต่ไม่สามารถเข้าได้อาจจะมีการปิดบัญชีไปเรียบร้อยแล้วครับ

ที่มา - ผู้จัดการออนไลน์

Tags:
Node Thumbnail

ข่าวการแทรกกระบวนการพิเศษเข้าไปในการสร้างเลขสุ่ม Dual_EC_DRBG ทำให้ RSA ต้องออกมาเตือนลูกค้าที่ใช้ไลบรารี BSAFE Toolkit ให้ยกเลิกการใช้งานแล้วไปใช้ตัวสร้างเลขสุ่มแบบอื่นๆ เพื่อความปลอดภัย

BSAFE รองรับ Dual_EC_DRBG มาตั้งแต่ปี 2004 ก่อนที่จะเป็นมาตรฐานในปี 2006 และยังใช้เป็นตัวสร้างเลขสุ่มมาตรฐานในหลายกรณี แต่กำลังพิจารณาเปลี่ยนตัวสร้างเลขสุ่มนี้ต่อไป โดยตอนนี้แนะนำให้ลูกค้าเป็นผู้เปลี่ยนกระบวนการสร้างเลขสุ่มนี้ด้วยตัวเองเนื่องจากตัว BSAFE เองก็รองรับกระบวนการสร้างเลขสุ่มถึง 6 แบบ

Sam Curry หัวหน้าฝ่ายเทคนิคของ RSA ออกมายืนยันว่า RSA เลือก Dual_EC_DRBG เพราะฟีเจอร์ความปลอดภัยเช่นการทดสอบเอาต์พุตและฟีเจอร์ความปลอดภัยอื่นๆ

Tags:
Node Thumbnail

มีรายงานช่องโหว่ใหม่ของ iOS 7 ที่สามารถเข้าถึงภาพถ่ายภาพในเครื่องได้แม้ตั้ง lockscreen ไว้ วิธีการคือให้เข้าหน้า control center จาก lockscreen, เลือกนาฬิกาปลุก, กดปุ่ม power ค้างไว้เพื่อให้ขึ้นหน้าจอถามการปิดเครื่อง, กด cancel, กด home สองทีเพื่อเข้าหน้ารายการแอพ ก็จะสามารถเข้าถึงภาพถ่ายและกล้องถ่ายรูปได้

โฆษกของแอปเปิลระบุว่าทราบปัญหานี้แล้ว และจะรีบแก้ไขต่อไป ระหว่างนี้สามารถปิดการเข้าถึง control center จากหน้า lockscreen ไปพลางๆ ได้ก่อน

Tags:
Node Thumbnail

บริษัท VUPEN เป็นบริษัทความปลอดภัยคอมพิวเตอร์จากฝรั่งเศสที่มีชื่อเสียงมาก จากการนำเสนอช่องโหว่ครั้งใหญ่ๆ หลายครั้ง หลายคนอาจจะสงสัยว่าบริษัทที่จ้างผู้เชี่ยวชาญระดับสูงไว้จำนวนมากเช่นนี้ได้เงินมาจากไหนนอกเหนือจากการแข่งซึ่งสร้างรายได้ไม่แน่นอน คำตอบส่วนหนึ่งคือการรับเงินรายปีจากหน่วยงานของรัฐบาลทั่วโลก เช่น NSA

เอกสารการสั่งซื้อรายงานตรวจวิเคราะห์ช่องโหว่ซอฟต์แวร์จาก VUPEN เป็นระยะเวลา 12 เดือนถูกเปิดเผยจากการร้องขอของโครงการ MuckRock ผ่านกระบวนการเปิดเผยข้อมูลภาครัฐตามกฎหมาย (แบบเดียวกับกฎหมายข้อมูลข่าวสารบ้านเรา) เริ่มต้นมีผลเมื่อเดือนกันยายนปี 2012 และเพิ่งครบกำหนดไป โดยส่วนของราคานั้นถูกปิดเอาไว้

Tags:
Node Thumbnail

บริษัทให้คำปรึกษาด้านความปลอดภัยและผู้พัฒนาอุปกรณ์ฝังตัว Int3.cc วางขาย USB Condoms อุปกรณ์เสริมที่ทำให้ผู้ใช้สามารถชาร์จไฟอุปกรณ์ผ่านพอร์ตยูเอสบีใดก็ได้โดยไม่ต้องกังวลว่าข้อมูลจะรั่วไหลออกไปหรือจะติดไวรัสเข้ามาในอุปกรณ์ที่ชาร์จไฟอยู่

หลักการทำงานของ USB Condoms คือมันจะไม่มี pin สำหรับรับส่งข้อมูลตามมาตรฐานพอร์ตยูเอสบีทั่วไป ทำให้เฉพาะกระแสไฟฟ้าเท่านั้นที่สามารถไหลไปยังอุปกรณ์ที่ผู้ใช้ต้องการชาร์จไฟได้

ใครที่สนใจสามารถสั่งซื้ออุปกรณ์นี้ผ่านเว็บไซต์ int3.cc ตามที่มาของข่าวได้ตั้งแต่วันที่ 16 กันยายนนี้เป็นต้นไป อย่างไรก็ตามมีแต่การเปิดเผยแผงวงจรเท่านั้น ยังไม่มีการเปิดเผยหน้าตาของอุปกรณ์นี้

Tags:
Node Thumbnail

งานแข่งขันแฮกเกอร์ทั่วโลกอย่าง Pwn2Own กำลังจะจัดแข่งในงาน PacSec ที่โตเกียวเดือนพฤศจิกายนนี้ ตอนนี้ได้สปอนเซอร์หลักเป็นเอชพีที่ให้รางวัลรวม 300,000 ดอลลาร์

งานนี้ไม่ได้จำกัดเฉพาะเบราว์เซอร์ แต่สามารถแฮกผ่านอะไรก็ได้ของโทรศัพท์มือถือ การแฮกผ่านการเชื่อมต่อเช่น NFC, USB, Wi-Fi, หรือ Bluetooth จะได้รางวัล 50,000 ดอลลาร์ การแฮกผ่าน SMS, MMS, และ CMAS (ข้อความเตือนภัยพิบัติ) จะได้รางวัล 70,000 ดอลลาร์ และการแฮกผ่านเบราว์เซอร์จะได้รางวัล 40,000 ดอลลาร์

Tags:
Node Thumbnail

บริการ Wi-Fi บ้านเราที่ให้บริการกันส่วนมากเป็นบริการไม่เข้ารหัสมานาน แต่วันนี้ DTAC ก็เปิดบริการ Wi-Fi แบบเข้ารหัสแล้ว โดยล็อกอินแบบ EAP-SIM ทำให้ไม่ต้องใส่รหัสผ่านทุกครั้งอีกด้วย

ก่อนหน้านี้บริการที่ต้องเข้าหน้าเว็บเพื่อล็อกอินนั้นเป็นการใช้ Wi-Fi แบบไม่มีการเข้ารหัส แม้จะเข้ารหัสในหน้าเว็บล็อกอินก็ตาม ทำให้ผู้ใช้มีความเสี่ยงถูกดักฟังในเว็บที่ไม่ได้เข้ารหัสเอาไว้เช่นการใช้เฟซบุ๊กในยุคหนึ่ง ที่อาจจะถูกขโมยบัญชีผู้ใช้ได้ง่าย (ภายหลังเฟซบุ๊กปรับมาเข้ารหัสแทบทั้งหมดแล้ว)

สำหรับบริการ EAP-SIM จะต้องใช้ผ่าน SSID ที่ชื่อว่า "@ dtac wifi auto" และปรับการใช้งานเป็น EAP-SIM

สงครามชื่อ Wi-Fi อยู่บนยังเป็นเรื่องน่าสนุกสำหรับเมืองไทยเสมอ :/

Tags:
Topics: 
Node Thumbnail

ปัญหาความปลอดภัยของ Java เกิดจากเหตุผลหนึ่งคือแอพหรือแอพเพล็ตเขียนขึ้นสำหรับ Java เวอร์ชันเก่าที่เลิกสนับสนุนไปแล้ว (ข่าวเก่า) แต่หน่วยงานก็ไม่ยินดีจะปรับแก้แอพเพื่อรับ Java เวอร์ชันใหม่ๆ ด้วยเหตุผลด้านการลงทุนหรือบุคคลากร

Oracle พยายามแก้ปัญหานี้ด้วยวิธีการอื่นๆ แทน โดย Java 7 update 40 รุ่นล่าสุดที่เพิ่งออก ได้เพิ่มฟีเจอร์ Deployment Rule Set เพื่อให้แอดมินของเครื่องนั้นๆ สามารถกำหนดได้ว่าแอพหรือแอพเพล็ตตัวไหน สามารถรันเฉพาะบน JRE เวอร์ชันไหน เช่น แอพเก่าบางตัวรันบน Java 6 เท่านั้น ส่วนแอพที่ไม่ระบุให้รันบน Java 7 เป็นค่าตั้งต้น

Tags:
Node Thumbnail

Christopher Budd ผู้บริหารของบริษัทความปลอดภัย Trend Micro เปิดเผยข้อมูลผ่านบล็อกของบริษัทว่า ลูกค้าองค์กรที่ใช้งาน Java 6 (ที่ออราเคิลหยุดสนับสนุนไปแล้ว) กำลังมีความเสี่ยงที่จะถูกโจมตีจากบรรดาแฮ็กเกอร์มากขึ้น

Budd บอกว่าแฮ็กเกอร์ใช้วิธีนำแพตช์ของ Java 7 (ที่ออราเคิลยังสนับสนุนอยู่) มาแกะหรือ reverse engineering เพื่อดูว่ามีช่องโหว่อะไรบ้าง จากนั้นก็นำข้อมูลที่ได้ไปเจาะกับ Java 6 (ที่มีช่องโหว่ลักษณะเดียวกัน แต่ไม่ถูกอุด) ซึ่งตอนนี้มีการโจมตีลักษณะนี้เกิดขึ้นจริงแล้ว

Tags:
Node Thumbnail

กระบวนการดักฟังข้อความแม้มีการเข้ารหัสของ NSA ยังคงเป็นปริศนาว่า NSA มีความสามารถแค่ไหนบ้าง ล่าสุดหนังสือพิมพ์ The New York Times ระบุว่ามีเอกสารจาก Edward Snowden ระบุว่ามาตรฐาน Dual_EC_DRBG ที่ใช้สร้างเลขสุ่มนั้นมีช่องโหว่ที่รู้เฉพาะ NSA อยู่ และ NSA เป็นผู้ผลักดันมาตรฐานนี้ให้กับ NIST (หน่วยงานด้านมาตรฐานเทคโนโลยีสำหรับหน่วยงานรัฐ) เป็นผู้ประกาศมาตรฐาน

Tags:
Node Thumbnail

ข่าวความสามารถในการดักฟังของ NSA ที่มีรายละเอียดมากขึ้นเรื่อยๆ ในช่วงหลัง ทำให้บริษัทต่างๆ ต้องกลับมาสร้างความมั่นใจให้กับผู้ใช้กันอีกครั้ง หนึ่งในผู้ให้บริการที่ NSA ระบุว่าสามารถดึงข้อมูลออกมาได้คือกูเกิล และตอนนี้กูเกิลก็ระบุว่าในอีกไม่กี่เดือนข้างหน้าจะเข้ารหัสระหว่างศูนย์ข้อมูลแล้ว

แม้ว่ากูเกิลจะเข้ารหัสในบริการต่างๆ เป็นส่วนใหญ่ ทั้ง Gmail และ Google+ แต่การเชื่อมต่อระหว่างศูนย์ข้อมูลทั่วโลกที่เช่าสายไฟเบอร์ออปติกส์ไว้เฉพาะนั้นมักไม่ได้เข้ารหัสเพราะโดยมากแล้วความเสี่ยงจากการดักฟังโดยผู้ให้บริการเช่าสายไฟเบอร์นั้นค่อนข้างต่ำ แต่มุมมองของกูเกิลตอนนี้มองว่าต้องเตรียมพร้อมกับรัฐบาลของตัวเอง (ที่มีความสามารถในการดักฟังเครือข่ายไฟเบอร์)

Tags:
Node Thumbnail

The Guardian เปิดเผยเอกสารเพิ่มเติมจาก Edward Snowden เป็นเอกสารแนะนำระดับชั้นความปลอดภัยของข้อมูลต่างๆ เกี่ยวกับระบบคอมพิวเตอร์ Bullrun

เนื้อหาระบุว่าโครงการ Bullrun ได้รับข้อมูลจากหลายแหล่ง และความร่วมมือจากหลายหน่วยงาน และความสามารถดึงข้อมูลจากเทคโนโลยีต่างๆ นั้นอาจจะไม่ได้หมายถึงการถอดรหัสโดยตรงเสมอไป

เอกสารนี้ระบุว่า ชื่อ Bullrun นั้นไม่เป็นความลับแต่ต้องใช้งานในหน่วยงานที่เกี่ยวข้องเท่านั้น แต่ความสามารถของ Bullrun ที่สามารถ "เข้าถึงได้บางส่วน" สำหรับโปรโตคอล TLS/SSL, HTTPS, SSH, VPNs, VoIP, เว็บเมล, และเทคโนโลยีอื่นๆ นั้นเป็นระดับชั้นความลับสูงสุด (TOP SECRET)

Tags:
Topics: 
Node Thumbnail

บริการฝากไฟล์ MEGA ของ Kim Dotcom (ที่เพิ่งลาออกไป) นั้นมีฟีเจอร์สำคัญคือความปลอดภัยที่ทาง MEGA โฆษณาว่าสูงกว่าผู้ให้บริการรายอื่นๆ เพราะทาง MEGA เองก็ไม่มีกุญแจลับสำหรับการถอดรหัสไฟล์ ตอนนี้ Michael Koziarski นักพัฒนารายหนึ่งก็ออกมาสร้าง bookmarklet เพื่อดึงกุญแจลับออกมาจากบริการ MEGA แล้ว (ดูภาพอธิบายกระบวนการที่ Fortinet)

Tags:
Node Thumbnail

บริษัท T-NET Security แปลเอกสารมาตรฐานความปลอดภัยสารสนเทศ ISO/IEC 27001 ให้ดาวน์โหลดมาอ่านศึกษาได้ฟรี

ตัวมาตรฐาน ISO/IEC 27001 นั้นเป็นกรอบกว้างๆ ว่าในระบบสารสนเทศที่ต้องการความปลอดภัยสูงต้องมีการตรวจสอบและกระบวนการรักษาความปลอดภัยเช่นใดบ้าง กระบวนการรวมตั้งแต่การพัฒนา, การจัดเก็บข้อมูล, ไปจนถึงการรักษาความปลอดภัยทางกายภาพ เช่น สถานที่ต้องมั่นคงปลอดภัย และการสำรองข้อมูล

เวลาที่เราพูดกันเรื่องความปลอดภัยคอมพิวเตอร์ เรามักจะคุยกันแต่เรื่องความปลอดภัยซอฟต์แวร์ เอกสารนี้จะระบุถึงความต้องการรอบด้านกว่า ถ้าใครสนใจความปลอดภัยคอมพิวเตอร์ก็ควรศึกษาไว้ครับ ดาวน์โหลดได้ตามลิงก์ (PDF)

Tags:
Node Thumbnail

ซัมซุงโชว์ฟีเจอร์ของแพลตฟอร์มความปลอดภัยบนมือถือ KNOX มาตั้งแต่ต้นปี แต่การเปิดใช้ก็เลื่อนมาเรื่อยๆ เพราะบริษัทไม่พร้อม (แม้จะผ่านการรับรองจากกระทรวงกลาโหมสหรัฐเรียบร้อย)

เมื่อคืนนี้ซัมซุงก็ประกาศว่า KNOX พร้อมให้บริการสำหรับลูกค้าทั่วไปแล้ว โดยจะเริ่มจาก Galaxy Note III และ Galaxy Note 10.1 2014 เป็นสองรุ่นแรกที่มีฝังมาให้ในตัว ส่วนมือถือรุ่นเรือธงที่เก่ากว่านั้นคือ S III, S4, Note II ได้อัพเดตชัวร์แต่จะประกาศช่วงเวลาในภายหลัง

Tags:
Node Thumbnail

รายงานบั๊กล่าสุดของเฟซบุ๊ก พบว่ากระบวนการรายงานขอให้ลบรูปสามารถใช้ไปลบรูปใครก็ได้ ด้วยการสร้างบัญชีผู้ใช้ขึ้นมาสองบัญชี แล้วสร้างข้อความแจ้งขอให้ลบรูปไปยังบัญชีที่สร้างขึ้นมา จากนั้นจึงนำหมายเลขประจำรูปของใครก็ได้มาใส่แทน

เมื่อส่งข้อความขอลบรูปไปแล้ว กระบวนการของเฟซบุ๊กจะส่งข้อความแจ้งไปยังบัญชีปลายทางว่ามีผู้ต้องการลบโพสของเราเข้ามา และให้เราเลือกได้ว่าจะยอมลบตามที่แจ้งมาหรือไม่

แต่เฟซบุ๊กกลับไม่ได้ตรวจสอบว่าหมายเลขโพสที่แจ้งไปนั้นเป็นบัญชีของผู้ใช้ที่ถูกแจ้งจริงหรือไม่ เราจึงสามารถหมายเลขประจำรูปภาพใดๆ ก็ได้ไปสร้าง URL แจ้งลบ แล้วล็อกอินด้วยอีกบัญชีที่เราสร้างขึ้นมาเพื่อยืนยันขอลบภาพ

Tags:
Node Thumbnail

อย่างที่เราทราบกันดีว่าความปลอดภัยของเครือข่ายโทรศัพท์ไร้สาย GSM นั้นไว้วางใจไม่ได้มาตั้งนานแล้ว แต่นักวิจัยด้านความปลอดภัยชาวเยอรมัน 3 คน ได้แก่ Nico Golde, Kévin Redon และ Jean-Pierre Seifert ค้นพบวิธีแฮ็กที่สามารถล่มระบบเครือข่าย GSM ทั้งเมืองได้อย่างประหยัดด้วยโทรศัพท์มือถือธรรมดาเพียง 11 เครื่อง และรายงานวิธีดังกล่าวในงาน USENIX Security Symposium ครั้งที่ 22

ก่อนที่จะเข้าใจว่าวิธีของพวกเขาทั้งสามทำกันอย่างไร เราต้องทราบก่อนว่าโทรศัพท์มือถือของเราไม่ได้เปิดการเชื่อมต่อแนบชิดกับเครือข่ายตลอดเวลา แต่ส่วนใหญ่มันจะอยู่ในสภาวะ standby รอว่าเครือข่ายจะเรียกหาเมื่อไร ฉะนั้นเมื่อมีคนโทรศัพท์หรือส่งข้อความ sms หาเรา มันจะมีขั้นตอนที่สามารถสรุปคร่าวๆ ได้ดังนี้

Tags:
Node Thumbnail

ก่อนหน้า เคยมีข่าว พบช่องโหว่เข้าถึงสิทธิ์ root ของ Linux ด้วยการตั้งเวลาใหม่และรีเซ็ต sudo ซึ่งนอกจาก Linux จะได้รับผลกระทบแล้ว Mac ก็ได้รับผลกระทบกับเขาไปด้วย! (แนะนำให้อ่านรายละเอียดของช่องโหว่จากข่าวเก่าประกอบ)

นักพัฒนาจาก Metasploit ได้เพิ่ม module ในการทดลองเจาะช่องโหว่ของ sudo บน Mac แล้ว และถึงแม้บั๊กนี้จะมีผลกระทบกับ Linux หลายแขนง แต่ส่วนใหญ่ก็ต้องใช้รหัสผ่านในการแก้ไขนาฬิกาของคอมพิวเตอร์ แต่ Mac สามารถแก้ไขเวลาของระบบได้โดยไม่ต้องใช้รหัสผ่าน! ซึ่ง OS X ที่ได้รับผลกระทบนี้คือ OS X 10.7 ถึง OS X 10.8.4

Pages