Security

พบมัลแวร์ KeyRaider และ ransomware ระบาดบน iOS ที่เจลเบรค มีผู้ได้รับผลกระทบแล้ว

By nrad6949

on 1 September 2015 - 09:46 Tag: Security, Malware, iOS

Security

เว็บไซต์นิตยสาร Forbes รายงานข่าวโดยระบุว่า Palo Alto Networks บริษัทวิจัยด้านความปลอดภัย ได้ออกประกาศเมื่อช่วงสุดสัปดาห์ที่ผ่านมา ระบุว่ามีการตรวจพบมัลแวร์ที่ชื่อ "KeyRider" แพร่ระบาดบนแพลตฟอร์มของ iOS โดยผู้ใช้งานที่จะได้รับผลกระทบจากการแพร่ระบาดในครั้งนี้ คือคนที่ทำการเจลเบรคอุปกรณ์สาย iOS นั่นเอง

Uber จ้างนักวิจัยความปลอดภัยที่เผยช่องโหว่ควบคุมรถยนต์ Chrysler

By mk

on 30 August 2015 - 11:11 Tag: Security, Automobile, Uber

Security

เมื่อเดือนที่แล้ว มีข่าวนักวิจัยด้านความปลอดภัยเผยช่องโหว่ของรถยนต์ Chrysler จนเป็นข่าวดังไปทั่วโลก ล่าสุดนักวิจัยทั้งสองคนได้งานทำแล้วที่ Uber ครับ

นักวิจัยด้านความปลอดภัยทั้งสองคนคือ Charlie Miller (เคยทำงานกับ Twitter) และ Chris Valasek (บริษัทความปลอดภัย IOActive) ยื่นใบลาออกและเตรียมเริ่มงานกับ Uber ในสัปดาห์หน้า โดย Uber ระบุว่าจะส่งเข้าศูนย์วิจัย Advanced Technologies Center ที่เมือง Pittsburgh ซึ่งบริษัทจ้างนักวิจัยด้านรถยนต์จำนวนมากมาจากมหาวิทยาลัย Carnegie Mellon

นักศึกษาอดีตเด็กฝึกงาน FireEye ยอมรับผิดฐานสร้าง Dendroid อาจเจอโทษจำคุก 10 ปี

By ตะโร่งโต้ง

on 30 August 2015 - 02:29 Tag: Security, Lawsuits, Android, Malware

Security

เมื่อเดือนมีนาคมปีก่อน มีข่าวการพบมัลแวร์ของ Android ที่มีการตั้งชื่อให้มันว่า Dendroid ซึ่งแท้จริงคือชุดเครื่องมือสร้างมัลแวร์สำหรับการล้วงข้อมูลจากผู้ใช้ มาวันนี้หน้ากากของผู้ที่สร้างมันได้ถูกฉีกออกมาแล้ว และโฉมหน้าที่แท้จริงของผู้สร้าง Dendroid นั้นเป็นนักศึกษาวัย 20 ปี โดยหลังการจับกุมและถูกไต่สวนในศาล ตอนนี้เขาอาจต้องเจอโทษจำคุก 10 ปีสำหรับสิ่งที่เขาทำ

พบมัลแวร์ที่ใช้ช่องโหว่ Certifi-Gate ควบคุมระบบ, อาศัยปลั๊กอิน TeamViewer รุ่นเก่า

By mk

on 26 August 2015 - 17:00 Tag: Security, Android, Check Point, TeamViewer

Security

เมื่อต้นเดือนนี้ นักวิจัยจากบริษัท Check Point รายงานช่องโหว่ของแอพ Android (ไม่ใช่ตัวระบบปฏิบัติการนะครับ) ที่เรียกว่า Certifi-Gate (ข่าวเก่า) ซึ่งเป็นช่องโหว่ของแอพกลุ่ม remote สั่งงานมือถือจากระยะไกล ที่กลับไม่ตรวจสอบการเชื่อมต่อแอพหลักของตัวเองมากนัก

ล่าสุดมีรายงานว่าพบแอพที่ใช้ช่องโหว่นี้แล้ว และกูเกิลถอดออกจาก Google Play Store แล้วเช่นกัน

แม้แต่ฝาแฝดก็หลอก Windows Hello ระบบยืนยันตัวตนใหม่ใน Windows 10 ไม่ได้

By Blltz

on 26 August 2015 - 16:39 Tag: Windows Hello, Security, Windows 10

Windows Hello

ใครที่ติดตามข่าวของ Windows 10 มาตลอดน่าจะคุ้นชื่อกับ Windows Hello ฟีเจอร์ยืนยันตัวตนแบบใหม่ที่ไม่ได้ใช้รหัสผ่าน แต่ใช้ข้อมูลทางชีวภาพอย่างลายนิ้วมือ ใบหน้า และนัยน์ตาในการล็อกอินแทน เนื่องในโอกาสที่ไมโครซอฟท์ปล่อย Windows 10 ให้ดาวน์โหลดกันแล้ว ก็ถึงเวลามาทดสอบความสามารถของเจ้า Windows Hello กัน

ThaiCERT สรุปข้อมูล เว็บหน่วยงานไทยโดน FallagaTeam เจาะจำนวน 106 เว็บ

By mk

on 25 August 2015 - 23:55 Tag: Security, Thailand, Hacking, ThaiCERT

Security

ต่อจากข่าว เว็บไซต์ของส่วนราชการและหน่วยงานเอกชนไทย ถูกแฮคโดยแฮคเกอร์กลุ่ม Fallaga Team จากตูนีเซีย

วันนี้ทาง ThaiCERT ออกมาเผยแพร่รายละเอียดของการแฮ็กครั้งนี้ โดยระบุว่าจากการรวบรวมข้อมูลย้อนไปถึงวันที่ 25 พฤษภาคม 2558 พบว่ามีเว็บไซต์ในไทยโดนโจมตีจาก Fallaga Team จำนวน 106 เว็บ รูปแบบการโจมตีเว็บไซต์หน่วยงานรัฐคล้ายกันคือ เปลี่ยนหน้าแรกของเว็บ (web defacement)

แฮ็กเกอร์กลุ่มนี้เคยมีประวัติร่วมมือกับกลุ่มแฮกเกอร์อื่นโจมตีเว็บไซต์ของประเทศฝรั่งเศสกว่า 19,000 เว็บไซต์ ช่วงเหตุการณ์หนังสือพิมพ์ Charlie Hebdo เมื่อต้นปีนี้

ศาลอุทธรณ์สหรัฐฯ ยืนยัน กรรมการการค้ามีอำนาจเอาผิดบริษัทที่มาตรการความปลอดภัยไซเบอร์หละหลวม

By lew

on 25 August 2015 - 19:48 Tag: Security, FTC

Security

ศาลอุทธรณ์เขตที่สามของสหรัฐฯ (U.S. Court of Appeals for the Third Circuit) ตีความกฎหมายยืนยันว่าคณะกรรมการการค้า (Federal Trade Comission - FTC) สามารถกำกับดูแลและเอาผิดกับบริษัทที่มาตรการความปลอดภัยไซเบอร์หละหลวมได้

FTC อาศัยอำนาจการกำกับดูแลการค้าให้เป็นธรรม ฟ้องกลุ่มโรงแรม Wyndham Worldwide ที่ถูกแฮกในช่วงปี 2008 และ 2009 ทำให้ข้อมูลส่วนตัวและข้อมูลบัตรเครดิตลูกค้าหลุดออกมาเป็นจำนวนมาก รวมมูลค่าความเสียหายจากการจ่ายบัตรเครดิต 10.6 ล้านดอลลาร์ ทาง Wyndham ต่อสู้ว่าการที่บริษัทถูกแฮกไม่ได้อยู่ในอำนาจของ FTC และขอให้ศาลจำหน่ายคดีออก

จีนคุมเข้มอาชญากรรมออนไลน์ จับกุมผู้ต้องหาไปแล้วกว่า 15,000 ราย

By Blltz

on 24 August 2015 - 13:26 Tag: Security, China, Government

Security

ตั้งแต่ที่สี จิ้นผิง ผู้นำสูงสุดของสาธารณรัฐประชาชนจีน ออกนโยบายตรวจเข้มความปลอดภัยบนโลกอินเทอร์เน็ตเมื่อปี 2013 เป็นผลให้มีการสืบสวนคดีความคิดออนไลน์กว่า 7,400 รายการเมื่อปีก่อน จนเมื่อช่วงต้นปีที่ผ่านมา จีนเพิ่งประกาศแผนกวาดล้างอาชญากรรมอินเทอร์เน็ตครั้งใหญ่ และออกมารายงานผลอย่างเป็นทางการแล้ว

ตัว L คือรหัส 1234 แห่งโลกแอนดรอยด์, งานวิจัยแสดงให้เห็นว่าคนเรามักตั้งรูปวาดล็อกหน้าจอคล้ายกัน

By lew

on 24 August 2015 - 08:36 Tag: Security, Research, Android, Password

Security

ที่งาน PasswordCon เมื่อต้นเดือนที่ผ่านมา Marte Løge นักวิจัยจากมหาวิทยาลัยเทคโนโลยีและวิทยาศาสตร์นอร์เวย์นำเสนอการศึกษาการตั้งรูปวาดล็อกหน้าจอแอนดรอยด์ (Android Lock Pattern - ALP) จากผู้ใช้จำนวน 3,400 คน แสดงให้เห็นว่าในโลกความเป็นจริง ALP มีความปลอดภัยไม่สูงนัก แม้โดยตัวรหัสแล้วจะมีความเป็นไปได้ถึง 389,112 รูปแบบก็ตาม

งานวิจัยแสดงให้เห็นว่าคนส่วนมากมักตั้ง ALP ไว้เพียงสี่จุดซึ่งเป็นจำนวนจุดน้อยที่สุดที่แอนดรอยด์ยอมรับ และมีรูปแบบที่วิเคราะห์ได้ง่าย

รับมือช่องโหว่ Zero-Day แบบทันท่วงที ด้วย Trend Micro Connected Threat Defense

By advertorial on 20 August 2015 - 17:30 Tag: Security, Trend Micro, Advertorial

Security

ปัญหาช่องโหว่ความปลอดภัยแบบ Zero-Day หรือช่องโหว่ที่แฮ็กเกอร์ค้นพบ แล้วสร้างมัลแวร์โจมตีผ่านช่องโหว่นั้นโดยที่ผู้พัฒนาซอฟต์แวร์ไม่ทราบมาก่อน กำลังเป็นเรื่องใหญ่มากขึ้นเรื่อยๆ โดยเฉพาะซอฟต์แวร์ยอดนิยมที่ใช้กันในวงกว้าง ตัวอย่างล่าสุดในปีนี้คือ กรณีของ Flash Player จากช่องโหว่ที่ค้นพบโดย Hacking Team

แฮกเกอร์ปล่อยข้อมูลผู้ใช้เว็บหาชู้ Ashley Madison สู่อินเทอร์เน็ต

By lew

on 19 August 2015 - 21:46 Tag: Security, Privacy, Hacking, Ashley Madison

Security

แฮกเกอร์กลุ่ม Impact Team ทำตามคำขู่ว่าจะโพสข้อมูลทั้งหมดของผู้ใช้เว็บหาชู้ Ashley Madison หลังจากทางเว็บเลือกที่จะต่อสู้ด้วยการสั่งลบข้อมูลบางส่วนที่แฮกเกอร์ปล่อยออกมาก่อนหน้านี้

ฐานข้อมูลขนาดกว่า 10 กิกะไบต์ มีข้อมูลอีเมล, ที่อยู่, น้ำหนัก, ส่วนสูง, ข้อมูลรายการจ่ายเงิน แต่ไม่มีข้อมูลหมายเลขบัตรเครดิตและที่อยู่ในการเรียกเก็บเงิน ส่วนรหัสผ่านผู้ใช้นั้นเข้ารหัสแบบ bcrypt

ไมโครซอฟท์ออกแพตช์ฉุกเฉิน แก้ปัญหาช่องโหว่ร้ายแรงของ IE ทุกรุ่น

By mk

on 19 August 2015 - 09:05 Tag: Security, Browser, Internet Explorer, Microsoft

Security

ไมโครซอฟท์ออกแพตช์ฉุกเฉิน (emergency patch) นอกรอบการออกแพตช์ปกติ แก้ช่องโหว่ที่พบใน Internet Explorer ทุกรุ่น รวมถึง IE11 บน Windows 10 ด้วย

ช่องโหว่ตัวนี้ครอบคลุม IE7 บน Windows Vista เป็นต้นมา (XP ก็น่าจะโดนด้วยแต่หมดอายุซัพพอร์ตแล้วนะครับ) และมีความร้ายแรงระดับ critical รูปแบบของช่องโหว่คือเปิดโอกาสให้รันโค้ดจากระยะไกล (remote code execution) ได้

ผู้ใช้ Windows ทุกคนก็อัพเดตแพตช์หมายเลข 3088903 กันด่วนครับ

ค้นพบช่องโหว่ใหม่ Android MediaServer จุดเดียวกับปัญหา StageFright

By mk

on 19 August 2015 - 08:41 Tag: Security, Android, Trend Micro

Security

บั๊ก StageFright ของ Android โด่งดังเป็นข่าวใหญ่ทั่วโลกเพราะส่งผลกระทบต่อฮาร์ดแวร์ Android เป็นจำนวนมาก ถึงแม้กูเกิลจะออกแพตช์แก้ไขแล้ว แต่กระบวนการอัพเดตของผู้ผลิตฮาร์ดแวร์ยังต้องใช้เวลาอีกมาก

ล่าสุด Trend Micro ค้นพบช่องโหว่ใหม่ในโค้ดของ MediaServer ตัวเดียวกับที่เกิดปัญหา StageFright โดย Android ที่ได้รับผลกระทบมีตั้งแต่เวอร์ชัน 2.3-5.1.1

พบช่องโหว่ใหม่ OS X Yosemite เปิดทางให้มัลแวร์เข้าถึงสิทธิ Root

By mk

on 18 August 2015 - 18:34 Tag: Apple, Security, OS X, Yosemite

Apple

ผู้ใช้แมคต้องระวัง พบช่องโหว่ใหม่ของ OS X ครอบคลุมตั้งแต่เวอร์ชัน 10.9.5-10.10.5 เวอร์ชันล่าสุด (OS X 10.11 El Capitan ไม่โดน) ช่องโหว่ตัวนี้เปิดให้ซอฟต์แวร์ประสงค์ร้ายสามารถเข้าถึงสิทธิ root ของระบบปฏิบัติการ ได้ผ่าน IOKitLib ไลบรารีของระบบสำหรับเรียกใช้ฮาร์ดแวร์

ช่องโหว่นี้ถูกค้นพบโดย Luca Todesco หนุ่มอิตาลีวัย 18 ปีเท่านั้น เขาแจ้งช่องโหว่ให้ทางแอปเปิล และตัดสินใจเผยรายละเอียดของช่องโหว่ต่อสาธารณะ เพื่อกระตุ้นให้ทุกคนเกิดความสนใจในช่องโหว่ตัวนี้

ตอนนี้แอปเปิลยังไม่ออกแพตช์แก้ ใครใช้ระบบปฏิบัติการที่เข้าข่ายก็ต้องระวังตัวกันหน่อยครับ

โกหกทั้งเพ ผู้ก่อตั้ง Kaspersky ตอบโต้ข่าวปล่อยมัลแวร์ปลอม

By mk

on 17 August 2015 - 08:18 Tag: Security, Malware, Kaspersky

Security

จากข่าว Kaspersky โดนอดีตพนักงานแฉว่าปล่อยมัลแวร์ปลอมมานานนับ 10 ปี ล่าสุด Eugene Kaspersky ผู้ก่อตั้งและซีอีโอของบริษัทออกมาตอบโต้ข่าวนี้แล้วว่าไม่เป็นความจริงอย่างแน่นอน

Eugene บอกว่ารายงานของ Reuters ไม่มีหลักฐานใดๆ อย่างสิ้นเชิง รวมถึงแหล่งข่าวที่ Reuters อ้างก็ไม่เปิดเผยชื่อว่าเป็นใครด้วย ซึ่งเขาไม่เข้าใจว่าสื่อระดับโลกมีมาตรฐานแย่ขนาดนี้ได้อย่างไร ถึงอ้างแหล่งข่าวไร้ตัวตนมากล่าวหาในเรื่องใหญ่แบบนี้

OnePlus ออก OxygenOS 1.0.2 แก้ช่องโหว่ StageFright

By mk

on 15 August 2015 - 09:41 Tag: Security, Android, OnePlus

Security

ค่าย OnePlus ตอบสนองปัญหาช่องโหว่ StageFright ของ Android ด้วยการออก OxygenOS 1.0.2 ที่แพตช์อุดช่องโหว่เรียบร้อยแล้ว ทางบริษัทแนะนำว่าถ้าเจ้าของ OnePlus คนใดเปลี่ยนมาใช้รอม OxygenOS อยู่แล้วก็ควรอัพเดตแพตช์ทันที

ฝั่งของผู้ใช้รอม Cyanogen ตอนนี้ทางโครงการ CyanogenMod แพตช์ช่องโหว่ในซอร์สโค้ดแล้ว แต่ตัวไบนารีรุ่นเสถียร (ทั้ง 11.0, 12.0, 12.1) จะออกอัพเดตช่วงปลายเดือนนี้ทีเดียวเลย

แพตช์ช่องโหว่ StageFright มีช่องโหว่เสียเอง ผู้ใช้แอนดรอยด์โปรดระมัดระวัง

By tgst

on 14 August 2015 - 22:04 Tag: Security, Android, Malware

Security

ช่องโหว่ของแอนดรอยด์ที่ชื่อ StageFright มีความสามารถทำให้ผู้ไม่ประสงค์ดีสามารถบุกเข้าสมาร์ทโฟนโดยมัลแวร์ที่ฝังมากับ MMS รวมถึงผ่านทางแอพและเว็บไซต์ แม้ตอนนี้จะมีแพตช์ออกมาอุดช่องโหว่แล้วก็เหมือนเรื่องราวจะยังไม่จบ เมื่อแพตช์ที่ออกมาอุดช่องโหว่กลับมีช่องโหว่เสียเอง

Apple ออกอัพเดต OS X 10.10.5 อุดช่องโหว่ DYLD_PRINT_TO_FILE

By nutmos

on 14 August 2015 - 06:38 Tag: Apple, Security, OS X, Yosemite

Apple

Apple ได้ปล่อยอัพเดต OS X 10.10.5 ออกมาแล้ว โดยรอบนี้มาพร้อมกับการอุดช่องโหว่ของฟังก์ชัน DYLD_PRINT_TO_FILE ที่สามารถแก้ไขสิทธิ์ sudo โดยไม่ต้องใช้รหัสผ่าน และติดตั้งแอพใดๆ ก็ได้ (ข่าวเก่า)

นอกจากนี้ Apple ยังมีการแก้บั๊กหลายประการ เช่น ปรับปรุง Mail ให้ใช้งานกับอีเมลเซิร์ฟเวอร์บางแห่งได้ดีขึ้น, แก้บั๊ก Photos ที่ไม่สามารถนำเข้าวิดีโอจาก GoPro ได้, แก้บั๊ก QuickTime Player ที่ไม่สามารถเล่นไฟล์ Windows Media ได้ และแก้บั๊กอื่นๆ อีกหลายรายการ

ปกป้องยิ่งกว่า Dropbox เพิ่มการยืนยันตัวตนสองชั้นด้วย USB Key

By mk

on 13 August 2015 - 18:45 Tag: Security, Dropbox, Authentication, FIDO, Yubico

Security

Dropbox ประกาศรองรับการใช้ USB key เป็นการยืนยันตัวตนสองชั้น (two factors authentication) นอกเหนือจากการใส่รหัส PIN จากมือถือแบบของเดิม วิธีใช้งานคือเสียบ USB key (เป็นอุปกรณ์เฉพาะ คนละอย่างกับไดรฟ์ USB ทั่วไป) ที่ลงทะเบียนไว้กับ Dropbox ค้างไว้ แล้วป้อนรหัสผ่านได้เลย

Dropbox บอกว่าการยืนยันตัวตนด้วยฮาร์ดแวร์นั้นปลอดภัยว่าการป้อน PIN เพราะในบางกรณี เราอาจโดนหลอกให้เข้าหน้าเว็บ Dropbox ปลอม เพื่อแฮ็กเกอร์จะได้รหัส PIN ของเราไปกรอกเข้าเว็บ Dropbox ของจริงอีกทีหนึ่ง แต่ถ้าเป็นการใช้ฮาร์ดแวร์ด้วยก็ไม่สามารถหลอกข้อมูลแบบนี้ได้

สำนักข่าวกรองแห่งชาติเปิดรับเจ้าหน้าที่ด้านความมั่นคงปลอดภัยไซเบอร์ 10 ตำแหน่ง เงินเดือน 15,000-16,500 บาท

By lew

on 13 August 2015 - 11:15 Tag: Security, Thailand

Security

สำนักข่าวกรองแห่งชาติประกาศเปิดรับสมัครนักการข่าวปฏิบัติการ ด้านความมั่นคงปลอดภัยไซเบอร์ มีหน้าที่จัดทำข่าวกรอง, ต่อต้านการหาข่าว, การจารกรรม, ไปจนถึงการทดสอบเครือข่าย

ผู้เข้าสมัครต้องสามารถทำงานในต่างจังหวัดรวมถึงพื้นที่เสี่ยงภัยและทุรกันดาร สามารถทำหน้าที่ตลอด 24 ชั่วโมง และต้องจบการศึกษาปริญญาตรีในสาขาวิชาที่เกี่ยวข้องกับคอมพิวเตอร์หรือเทคโนโลยีสารสนเทศ

เริ่มรับสมัครวันที่ 20 สิงหาคมนี้ถึงวันที่ 10 กันยายน รวม 10 ตำแหน่ง เงินเดือน 15,000-16,500 บาท

Subscribe to Security