Tags:
Topics: 
Node Thumbnail

ดังที่ปรากฏไปแล้วในข่าวเก่า ที่เทคนิคการเข้ารหัสแบบ A5/1 บนเครือข่ายจีเอสเอ็มนั้นถูกเจาะได้แล้ว ซึ่งก็หวังกันว่าเมื่อเปลี่ยนไปใช้เครือข่าย 3G แล้วจะสามารถลดผลกระทบดังกล่าวได้ แต่ดูท่าคงจะต้องเปลี่ยนความคิดกันใหม่แล้วเมื่ออ่านข่าวนี้

Tags:
Node Thumbnail

บริษัท Intevydis เป็นบริษัทวิจัยช่องโหว่ของซอฟต์แวร์จากรัสเซีย ระบุว่าบริษัทกำลังเตรียมเผยแพร่ช่องโหว่ที่ยังไม่ได้รับการแก้ไข้จำนวนมากภายในเดือนนี้เนื่องจากหมดความอดทนที่จะทำงานร่วมกับผู้ผลิตแล้ว

โดยปรกติแล้วหลักจริยธรรมของนักวิจัยด้านความปลอดภัยทั่วโลกจะให้โอกาสผู้ผลิตในการแก้ไขช่องโหว่ก่อนที่เปิดเผยข้อมูลเหล่านั้นสู่สาธารณะ ทำให้ช่องโหว่ที่ถูกโจมตีมักเป็นเพราะลูกค้าไม่ได้อัพเดตซอฟต์แวร์อย่างถูกต้อง

Evgeny Legerov ผู้ก่อตั้งบริษัท Intevydis ระบุว่าการรอผู้ผลิตแก้ไขนั้นเสียเวลามาก และผู้ผลิตไม่ได้ใส่ใจที่จะแก้ไขบั๊กที่ไม่ได้รับการเปิดเผยเหล่านี้ เช่น บั๊กของ RealPlayer ตัวหนึ่งที่บริษัทค้นพบตั้งแต่สองปีก่อน ยังไม่ได้รับการแก้ไขแม้จะมีการติดต่อแจ้งไปแล้ว

Tags:
Node Thumbnail

รากฐานแห่งการเข้ารหัสทุกวันนี้ส่วนหนึ่งเริ่มมาจากแนวคิดง่ายๆ คือหากเราคูณเลขขนาดใหญ่มากๆ สองตัวเข้าด้วยกันนั้นมักจะไม่ยากมาก แต่การแยกตัวประกอบออกมานั้นทำได้ยากและช้ามากๆ ประเด็นสำคัญคือถ้ามีใครสักคนสามารถแยกตัวประกอบได้เร็วก็หมายถึงว่าเขาสามารถถอดรหัสได้เร็วด้วยเช่นกัน และงานวิจัยล่าสุดได้มีการแสดงให้เห็นว่า RSA-768 นั้นสามารถถอดรหัสได้ภายในเวลาเพียงสองชั่วโมงเท่านั้น

เลข RSA นั้นเป็นเลขกึ่งจำนวนเฉพาะ คือเป็นตัวเลขที่คูณขึ้นมาจากจำนวนเฉพาะสองตัว จัดสร้างขึ้นมาเฉพาะเพื่อการแข่งขันทั้งสิ้น 54 จำนวน ปัจจุบันการแข่งขันนี้ได้ยกเลิกไปแล้วตั้งแต่ปี 2007 แต่ตัวเลขทั้ง 54 ชุดที่ตีพิมพ์ออกมายังเป็นโจทย์ที่สร้างความท้าทายให้กับผู้ท้าชิงต่อไป

Tags:
Node Thumbnail

ตอนที่ประธานาธิบดีโอบามาเข้ารับตำแหน่งใหม่ๆ เกิดข้อถกเถียงกันว่าเขาสามารถใช้ BlackBerry ต่อไปได้หรือไม่ เพราะข้อมูลต้องวิ่งผ่านเซิร์ฟเวอร์ของ RIM ซึ่งเป็นบริษัทแคนาดา และอาจมีปัญหาด้านความมั่นคงของชาติ สุดท้ายแล้ว โอบามาได้รับอนุญาตให้ใช้ BlackBerry ต่อไป โดยเปลี่ยนเป็น BlackBerry รุ่นพิเศษสำหรับประธานาธิบดีสหรัฐ

Tags:
Topics: 
Node Thumbnail

NY Times ได้รายงานว่า อัลกอริทึม A5/1 ที่ใช้เข้ารหัสการโทรของระบบโทรศัพท์จีเอสเอ็มราวร้อยละ 80 ทั่วโลก ได้โดนแครกและเปิดเผยออกสู่สาธารณะแล้ว

อัลกอริทึมดังกล่าวเริ่มถูกนำมาใช้ตั้งแต่พ.ศ.2531 แต่เมื่อสัปดาห์ที่แล้วที่งาน Chaos Communication Congress งานสัมมนาของชาวแฮกเกอร์ที่จัดขึ้นที่กรุงเบอร์ลิน คุณ Karsten Nohl และทีมได้นำเสนอว่าได้แครกอัลกอริทึมดังกล่าวเป็นผลสำเร็จแล้ว และโค้ดดังกล่าวก็ถูกปล่อยเข้าสู่โลกบิตทอเรนต์ไปเป็นที่เรียบร้อยแล้วเช่นกัน

ในระหว่างที่เขาให้สัมภาษณ์อยู่นั้น คุณ Nohl ได้บอกว่าพวกเขาไม่ต้องการให้นำโค้ดดังกล่าวไปใช้ในทางผิดกฎหมาย แต่ต้องการกระตุ้นให้ผู้ให้บริการโทรศัพท์ใช้ระบบรักษาความปลอดภัยที่ดีกว่าในปัจจุบันนี้

Tags:
Node Thumbnail

ไมโครซอฟท์ออกมาปฎิเสธว่าแพตช์อัพเดตล่าสุดไม่ได้ทำให้คอมพิวเตอร์เกิด "หน้าจอดำ" (Black Screen of Death หรือ BSOD)** ตามที่เป็นข่าวก่อนหน้านี้ (ดูข่าวเก่า โดยคุณ mk) โดยไมโครซอฟท์ได้แจงว่า หลังจากการตรวจสอบแล้วว่าพบว่ารายงานฉบับดังกล่าว "มีความคลาดเคลื่อน" (inaccurate) พร้อมทั้งระบุว่าไม่พบแพตช์อัพเดตใดๆ ที่เพึ่งออกมาล่าสุดนั้นเกี่ยวข้องกับอาการปัญหาที่ระบุไว้ในรายงานฉบับดังกล่าว

Tags:
Node Thumbnail

มีรายงานว่าแพตช์ด้านความปลอดภัยตัวล่าสุดจากไมโครซอฟท์ ทำเอาพีซีหน้าจอดำ ใช้งานไม่ได้ไปหลายราย

แพตช์นี้ออกสู่ผู้ใช้เมื่อวันที่ 10 พ.ย. โดยเป็นการแก้ไข Access Control List (ACL) ของวินโดวส์ ซึ่งเข้าไปแก้ข้อมูลใน registry บางส่วน แต่ปรากฎว่าโปรแกรมบางตัวโดยเฉพาะโปรแกรมด้านความปลอดภัยมีปัญหากับแพตช์นี้ ทำให้วินโดวส์ค้างและเกิดหน้าจอสีดำ วินโดวส์ที่ได้รับผลกระทบคือ XP, Vista และ 7

ใครเจอปัญหานี้ลองดูตัวแก้ของบริษัท Prevx

ที่มา - PC World

Tags:
Node Thumbnail

Computerworld ได้รายงานว่า ไมโครซอฟท์ได้ออกมาปฏิเสธการฝัง backdoors ลงวินโดวส์ 7 สืบเนื่องจากความกังวลที่เกิดขึ้นหลังจากสำนักงานความมั่นคงแห่งชาติของสหรัฐฯ (National Security Agency หรือย่อว่า NSA) ได้บอกวุฒิสภาว่าหน่วยงานของตนได้มีส่วนร่วมการพัฒนาวินโดวส์ 7

เรื่องราวคือ เมื่อวันจันทร์ที่ผ่านมา (ตามเวลาสหรัฐฯ) คุณ Richard Schaeffer จากสำนักงานความมั่นคงแห่งชาติได้บอกคณะกรรมการที่ดูแลเรื่องการก่อการร้ายและความมั่นคงแห่งมาตุภูมิของสหรัฐฯ (Terrorism and Homeland Security) ของวุฒิสภาว่าหน่วยงานของตนได้มีส่วนร่วมในการให้คำปรึกษาในระหว่างการพัฒนาวินโดวส์ 7 (ดูข่าวประกอบ)

Tags:
Node Thumbnail

บริษัทซอฟต์แวร์ความปลอดภัย Symantec ออกรายงาน Security Trends to Watch in 2010 กล่าวถึงแนวโน้มของวงการความปลอดภัย 13 ข้อดังนี้

Tags:
Topics: 
Node Thumbnail

เพียงไม่กี่วันหลังจากพบบั๊กในมาตรฐาน TLS นักศึกษาจากตุรกีก็สามารถอาศัยช่องโหว่ดังกล่าวในการขโมยข้อมูล Cookie และข้อมูลการล็อกอินไปจากเจ้าของข้อมูลได้แล้ว

การโจมตีดังกล่าวอาศัยการแทรกข้อมูล HTTP GET ลงไปก่อนหน้าข้อมูลจริงของเหยื่อ ทำให้สามารถโอนข้อมูลจาก URL และค่าบัญชีผู้ใช้ของเหยื่อไปยังบัญชีผู้ใช้ของผู้โจมตีได้

รายงานดังกล่าวโจมตีเว็บที่ใช้ HTTP Basic Auth เช่น Twitter โดยผู้โจมตีสามารถขโมยทั้งชื่อผู้ใช้และรหัสผ่านไปได้แม้จะใช้ HTTPS ก็ตามที

ระหว่างนี้ยังไม่มีมาตรการใดนอกจากการยกเลิกฟังก์ชั่น Renegotiating

Tags:
Node Thumbnail

ในที่สุด เวิร์มตัวแรกบนแพลตฟอร์ม iPhone OS ก็ได้เผยโฉมโดยแฮกเกอร์นามว่า ikex ได้สร้างเวิร์มที่จะเปลี่ยนภาพพื้นหลังของเครื่องเป็น Rick Astley ดาราเพลงป๊อปในยุค 1980 ผู้เป็นเจ้าของเพลง "Never Gonna Give You Up" ซึ่งเวิร์มตัวนี้ก็มีข้อความติดมาด้วยว่า "ikee is never gonna give you up." โดยที่เวิร์มตัวนี้จะแพร่กระจายเฉพาะใน iPhone ที่ jailbreak แล้วเท่านั้น

เวิร์มขี้เล่นตัวนี้ถูกพัฒนาขึ้นโดยอาศัยช่องโหว่ที่ผู้ใช้ส่วนใหญ่ไม่เปลี่ยนพาสเวิร์ดของ root เครื่องตัวเองหลังจาก jailbreak แล้ว จึงทำให้ไวรัสสามารถส่งไฟล์คำสั่งมาทำงานผ่าน SSH ได้ ซึ่งช่องโหว่นี้จะไม่มีใน iPhone ปกติที่ไม่ได้ทำการ jailbreak เพราะจะไม่มีการเปิด SSH แต่แรกอยู่แล้ว

Tags:
Node Thumbnail

ชุดเครื่องมือรวบรวมหลักฐานจากคอมพิวเตอร์ ที่ชื่อว่า COFEE เป็นซอฟต์แวร์ที่ไมโครซอฟท์สร้างขึ้นเพื่อมอบให้กับหน่วยงานรักษากฏหมายทั่วโลกเพื่อใช้ในการเก็บหลักฐานจากคอมพิวเตอร์ ปัจจุบันมีตำรวจมากกว่า 15 ประเทศรวมถึง Interpol ใช้งานซอฟต์แวร์ชุดนี้อยู่ ข่าวร้ายคือคนข้างๆ คุณอาจจะใช้งานมันอยู่ เพราะว่าชุดเครื่องมือจำนวน 150 คำสั่งนี้ได้ถูกอัพโหลดเข้าไปยังบิตทอร์เรนต์แล้ว

ไฟล์ขนาด 15 เมกกะไบต์ ถูกอัพโหลดขึ้นไปยังเว็บบิตทอร์เรนต์ปิดที่ชื่อว่า What.cd ส่วนทางผู้ดูแลเว็บนั้นตัดสินใจที่จะเอาไฟล์นี้ออกจากระบบในเวลาต่อมา

Tags:
Node Thumbnail

เมื่อวันพฤหัสบดีที่ผ่านมามีการรายงานถึงปัญหาของมาตรฐาน TLS ทำให้เสี่ยงต่อการถูกโจมตี แบบ MITM (man-in-the-middle) ทำให้การเชื่อมต่อแม้จะเป็นแบบเข้ารหัสจะเสี่ยงต่อการแก้ไขข้อความที่ใช้ในการเชื่อมต่อ SSL ซึ่งสร้างความเสี่ยงอื่นๆ ตามมาในอนาคต

ปัญหานี้เกิดขึ้นจากความสามารถในการทำ Renegotiating ซึ่งมีระบุไว้ในมาตรฐาน TLS โดยกระบวนการโจมตีดังนี้

Tags:
Node Thumbnail

บริษัท AV-Comparatives ทดสอบโปรแกรมแก้มัลแวร์เกือบทุกตัวในท้องตลาด ว่าสามารถตรวจจับและลบมัลแวร์ได้มากน้อยขนาดไหน

ผมข้ามรายละเอียดของการทดสอบไปเลย มาดูกันที่ผลลัพธ์ซึ่งแบ่งออกเป็น 4 ระดับ กลุ่มที่ได้คะแนนสูงสุดคือ Advanced+ ครับ

  • Advanced+: eScan, Symantec, Microsoft, F-Secure, Kaspersky, Bitdefender
  • Advanced: ESET, Sophos, AVG, McAfee, Avast, AVIRA, Trustport
  • Standard: Norman, G DATA
  • Tested: Kingsoft

ที่มา - Ars Technica

Tags:
Node Thumbnail

นับแต่ WPA-TKIP ถูกเจาะได้เมื่อช่วงปลายปีที่แล้วจากงานวิจัยของ Beck และ Tewson ก็มีการพัฒนาเทคนิคขึ้นเรื่อยๆ อย่างต่อเนื่อง ล่าสุดในงาน NordSec 2009 ก็มีการนำเสนองานวิจัยที่พัฒนาเทคนิคให้สามารถปลอมแปลงแพ็กเก็ต DHCP ACK ได้สำเร็จ

ก่อนหน้านี้ช่องโหว่ที่ Beck และ Tewson นำเสนอนั้นมีข้อจำกัดอยู่ที่การปลอมแปลงแพ็กเก็ตจะทำได้กับแพ็กเก็ตที่มีขนาดเล็กมากๆ เช่น ARP (48 ไบต์) เท่านั้น แต่งานวิจัยจากมหาวิทยาลัยวิทยาศาสตร์และเทคโนโลยีแห่งนอร์เวย์ก็พัฒนาเทคนิคให้สามารถปลอมแพ็กเก็ตขนาด 596 ไบต์ได้สำเร็จ ซึ่งเพียงพอที่จะปลอมแพ็กเก็ต DHCP ได้

Tags:
Node Thumbnail

มีรายงานออกมาว่าแม้ iPhone 3GS ล็อตล่าสุดจะมาพร้อมกับ iBoot-359.3.2 ที่ไม่สามารถทำ jailbreak ได้อีกต่อไป เนื่องจาก bootloader ตัวนี้ได้แก้บั๊ก 24kPwn แล้ว

บั๊ก 24kPwn เป็นบั๊กที่เกิดจากการโหลด Low-Level Bootloader (LLB) ของ iPhone ไม่ได้ตรวจสอบขนาดของข้อมูลผ่านทางข้อมูลที่มีการเข้ารหัส แต่กลับไปอ่านจากหน่วยความจำที่เขียนได้ เมื่อมีการใส่ตัวเลขนี้ผิดพลาดอย่างจงใจทำให้การโหลด LLB ผิดพลาดจนกระทั่งไปลบตัว Secure ROM ซึ่งใช้ป้องกันการโหลด OS ที่ไม่ได้รับอนุญาตในที่สุด

ระหว่างนี้ยังไม่มีรายงานบั๊กอื่นที่จะใช้ทำ jailbreak ได้

Tags:
Node Thumbnail

ข้อดีของการ์ดจอในทุกวันนี้คงเป็นการประมวลผลแบบขนานที่สามารถทำให้พร้อมๆ กันนับร้อยงานในการ์ดจอราคาถูกๆ การย้ายงานที่เคยทำในซีพียูแต่ต้องการการประมวลผลแบบขนานลงไปในการ์ดจอจึงเป็นเรื่องที่เกิดขึ้นเรื่อยๆ เช่นการถอดรหัสภาพแบบ MPEG ที่ใช้กันมานานแล้ว แต่งานล่าสุดของการ์ดจอคือการตรวจจับไวรัส

เรื่องนี้เป็นข่าวจากบริษัท Fudzilla ที่ออกมาให้ข่าวว่าทาง Nvidia กำลังพัฒนาระบบช่วยเร่งความเร็วในการตรวจจับไวรัส ผ่านทาง CUDA ซึ่งจะเป็นการย้ายงานการแสกนหาไวรัสไปอยู่ใน GPU

ทาง Nvidia ยังไม่ได้ทำความร่วมมือกับบริษัทซอฟต์แวร์ตรวจจับไวรัสใดเป็นพิเศษดังนั้นกว่าเทคโนโลยีนี้จะมีใช้งานทั่วไปอาจจะต้องใช้เวลา

แต่ถ้าออกมาเมื่อใหร่คงมีเหตุผลให้ซื้อการ์ดจอแรงๆ ใช้งานในบริษัทซักที

Tags:
Node Thumbnail

เมื่อสองเดือนก่อนมีรายงานช่องโหว่ของ Certificate ที่สามารถปลอมตัวเป็นเว็บอื่นได้จากปัญหาการนิยามมาตรฐาน ในวันนี้ก็เริ่มมีรายงานว่ามีการสร้าง Certificate ปลอมของ Paypal ทำให้เว็บตัวปลอมสามารถสวมรอยตัวเองเป็น Paypal ได้โดยเบราเซอร์ไม่เตือนใดๆ

ปัญหา Null Prefix เป็นปัญหาที่เกิดขึ้นจากการนิยามมาตรฐานของ Certificate ที่ใช้ภาษา ASN.1 ในการนิยาม แต่การนิยามแบบนี้อนุญาตให้มีการใส่อักขระ '\0' ลงในช่องอักษรได้ ขณะที่การเขียนโปรแกรมในภาษาซีนั้นจะมองอักขระ '\0' เป็นการจบสตริง

Tags:
Node Thumbnail

กูเกิลได้เพิ่มฟีเจอร์ป้องกัน Cross-Site Request Forgery (CSRF) ในส่วนการล็อกอินเข้า Gmail โดยจะมีโทเคนเฉพาะ (unique token) ที่เก็บในคุ้กกี้เพื่อเอาไว้ตรวจสอบว่ามีการร้องขอ (request) การล็อกอินเข้ามาจริงหรือไม่

Tags:
Node Thumbnail

AV-Test องค์กรทดสอบและให้คำปรึกษาระบบรักษาความปลอดภัยของเทคโนโลยีสารสนเทศระดับสากล ได้ทดสอบ Microsoft Security Essentials (MSE) ตัวจริง เมื่อวันที่ 29-30 ก.ย. ที่ผ่านมา มีการทดสอบและผลการทดสอบดังนี้

Tags:
Node Thumbnail

หลังจากไมโครซอฟท์เปิดตัว Microsoft Security Essentials (MSE) รุ่นจริง ให้ดาวน์โหลดฟรี คำถามที่หลายๆ คนมีแน่คือผู้ผลิตซอฟต์แวร์แอนตี้ไวรัสตัวอื่นๆ จะว่ายังไงกันบ้าง คำตอบมาแล้วไม่ต้องรอนาน

Symantec ผู้ผลิตโปรแกรมตระกูล Norton มองโลกในแง่ดีว่า MSE จะไม่มีที่ยืนในตลาดแอนตี้ไวรัสที่แข่งกันรุนแรง เพราะ MSE พัฒนามาจาก OneCare ที่ได้รับเสียงตอบรับด้านความปลอดภัยและการตรวจเจอไวรัสไม่ดีนัก

ESET เจ้าของ NOD32 บอกว่าการมีโปรแกรมฟรีให้ผู้ใช้ติดตั้งย่อมดีกว่าไม่ติดตั้งอะไรป้องกันเลย และ MSE ไม่กระทบอะไรกับ NOD32 เนื่องจากจับคนละตลาด NOD32 นั้นแข่งในตลาดผลิตภัณฑ์เสียเงินที่ปรับแต่งได้มากกว่าและมีฟีเจอร์มากกว่า

Tags:
Node Thumbnail

ในที่สุดหลังจากเริ่มต้น Microsoft Security Essentials (MSE) เบต้ามาได้สามเดือน (ดูข่าวเก่า 1, ข่าวเก่า 2) ไมโครซอฟท์ก็ได้เปิดตัวชุดป้องกันมัลแวร์ฟรีอย่างเป็นทางการ เพียงแค่ผู้ใช้งานติดตั้งวินโดวส์มีลิขสิทธิ์ถูกต้องเท่านั้นก็สามารถใช้ MSE ได้ฟรี ไม่ต้องลงทะเบียนแต่อย่างไร

Tags:
Node Thumbnail

เมื่อสองวันที่แล้วกูเกิลเพึ่งปล่อย Google Chrome Frame ปลั๊กอินเรนเดอร์ของ Chrome บนอินเทอร์เน็ตเอกซ์พลอเรอร์ไป แต่วันนี้ไมโครซอฟท์ได้ออกมาแจ้งเตือนไม่ให้ติดตั้งปลั๊กอินดังกล่าว

โดยโฆษกไมโครซอฟท์ได้กล่าวกับ Ars Technica ว่า "Google Chrome Frame จะเพิ่มความเสี่ยงจากมัลแวร์และ malicious script เป็นสองเท่า" โดยไมโครซอฟท์ได้อ้างผลการทดสอบด้านปลอดภัยของเบราว์เซอร์จาก NSS Labs

แต่ทาง Ars Technica กลับไม่เชื่อเช่นนั้น! เพราะอะไร?

Tags:
Node Thumbnail

เชื่อว่าผู้อ่านหลายๆ ท่านคงคุ้นเคยกันดีกับโฆษณาของแอปเปิลที่บอกว่าระบบ Mac OS X ของตนนั้นมีความปลอดภัยกว่าระบบของ Windows แต่ในข่าวนี้ คุณแฮกเกอร์ออกมาบอกเองเลยครับว่า มันไม่ได้ปลอดภัยไปกว่าของคู่แข่ง โดยเฉพาะ Windows 7 ที่กำลังจะวางจำหน่ายสักเท่าไหร่หรอก

หลังจากก่อนหน้านี้มีข่าวปัญหาเรื่องความปลอดภัยของ Flash (ซึ่งได้รับการแก้ไขแล้ว) ผู้เชี่ยวชาญทางด้านความปลอดภัยยังวิจารณ์จุดอ่อนอื่นๆ อีกเช่น firewall ถูกปิดเป็นค่าเริ่มต้น, ขาดระบบ Full automatic update และ ระบบการป้องกัน phishing ที่อ่อนแอของซาฟารี

Tags:
Node Thumbnail

พบบั๊กในไฟล์ SMB2.SYS ซึ่งเป็นไฟล์ที่ใช้สำหรับโพรโตคอลแชร์ไฟล์ SMB2 ส่งผลถึงระบบปฎิบัติการของไมโครซอฟท์นับแต่วิสต้าเป็นต้นมาเสี่ยงต่อการถูกยิงจากเครื่องในเครือข่ายจนทำให้ระบบล่ม

ลงลึกไปกว่านั้น บั๊กนี้พบในส่วนของการเจรจาเพื่อเปิดการเชื่อมต่อ SMB โดยในฟิลด์ Process ID High นั้นหากมีอักขระ "&" เข้าไปก็จะทำให้ระบบในส่วนนี้ล้มเหลวจนพาทั้งระบบปฎิบัติการล่มและนำไปสู่ "จอฟ้า" ในที่สุด

คาดว่าทุกเครื่องที่เปิดการทำงานของโพรโตคอล SMB2 ไว้จะเสี่ยงต่อบั๊กนี้ทั้งหมด อย่างไรก็ตามยังไม่มีการรายงานว่าบั๊กนี้ส่งผลถึง Windows Server 2008 แน่หรือไม่

Pages