Facebook จะเลิกสนับสนุนใบรับรอง SSL ที่ใช้ SHA-1 ในเดือนตุลาคมนี้

By MrNonz Contributor on Tag: Security, SSL, HTTPS, Facebook
Security

ส่วนประกอบที่สำคัญสำหรับ SSL นั้นมีสองส่วนหลักๆ คือ กุญแจสาธารณะ และลายเซ็นดิจิทัล ซึ่งในปัจจุบันนิยมใช้ค่าแฮชของ SHA-1 มาเข้ารหัสด้วยกุญแจ RSA จาก CA (Certificate Authority) จึงจะได้ลายเซ็นดิจิทัลออกมา

หลังจากที่ Google ประกาศนโยบายให้ SHA-1 ไม่ปลอดภัยตั้งแต่ต้นปี 2015 เป็นต้นไป

รวมถึงข่าวเก่าได้ระบุว่า SHA-1 นั้น เริ่มไม่ปลอดภัยมากขึ้นตามเทคโนโลยีที่ก้าวกระโดด

Read more

{ซ้ำ} ช่องโหว่ Mac OS X ปล่อยให้แฟลช BIOS ได้ผ่านเว็บบราวเซอร์

By terminus Contributor on Tag: Security, Mac OS X, UEFI, Rootkit, BIOS, BIOS
Security

เมื่อวันที่ 29 พฤษภาคม 2015 นักวิจัยด้านความปลอดภัย Pedro Vilaca ได้โพสต์เปิดเผยช่องโหว่ของ Mac OS X ที่ปล่อยให้ผู้ไม่ประสงค์ดีสามารถเข้ามาแฟลช BIOS และฝัง rootkit ได้ผ่านการโจมตีระยะไกล

Read more

พบช่องโหว่ความปลอดภัยบน Mac อนุญาตให้แฮกเกอร์โจมตีทางไกลได้ ลง OS X ใหม่ก็ไม่หาย

By nutmos Writer on Tag: Apple, Security, Mac
Apple

มีการค้นพบช่องโหว่ความปลอดภัยของ Mac ที่อายุเกิน 1 ปีแล้ว โดยอนุญาตให้ผู้ไม่ประสงค์ดีควบคุมเครื่องได้ แม้จะติดตั้ง OS X ใหม่หรือฟอร์แมตฮาร์ดดิสก์ก็ไม่ช่วยอะไร

Pedro Vilaca นักวิจัยความปลอดภัย พบว่าช่องโหว่นี้ทำให้ reflash ตัว BIOS และฝังโค้ดที่ไม่ประสงค์ดีเข้าไปได้ ซึ่งโค้ดนี้จะฝังอยู่ใน flash memory ไม่ใช่ฮาร์ดดิสก์ที่ใช้งาน ซึ่งหมายความว่าแม้จะลง OS X ใหม่, ฟอร์แมต หรือเปลี่ยนฮาร์ดดิสก์ก็ไม่ช่วยอะไร

Read more

Paysbuy ชี้แจงอย่างไม่เป็นทางการเกี่ยวกับกรณีถูกแฮกข้อมูล

By Ford AntiTrust Contributor on Tag: Security, dtac, Payment, Paysbuy
Security

หลังจากช่วงเช้าวันนี้ (2 มิถุนายน 2558) สมาชิก Writer ใน Blognone.com ซึ่งใช้นามแฝงว่า Zerothman ได้นำเสนอข่าวต่อเนื่องในหัวข้อ "บัตรเครดิตลูกค้า Paysbuy ยังถูกแฮกอย่างต่อเนื่อง, Paysbuy ยังไม่ชี้แจงใดๆ" ไปแล้ว

Read more

Facebook ปล่อย Security Checkup ศูนย์รวมการตั้งค่าความเป็นส่วนตัวครบวงจร

By Blltz Writer on Tag: Security, Privacy, Facebook
Security

ในยุคที่ผู้คนใช้งานสมาร์ทโฟนกันมากขึ้น ข้อมูลส่วนตัวหลายอย่างถูกใช้ผ่านสมาร์ทโฟน โดยที่ไม่ได้คำนึงถึงการป้องกันเมื่อยามสูญหาย หรือถูกโจรกรรม ทำให้นอกจากจะเสียของแล้ว อาจเสียข้อมูลที่มีค่าต่อเนื่องไปด้วย

เพื่อให้ผู้ใช้สามารถควบคุมข้อมูลของตัวเองได้ละเอียดขึ้น Facebook ปล่อยเครื่องมือตัวใหม่สำหรับให้ผู้ใช้สามารถจัดการความเป็นส่วนตัวของบัญชีได้ทั้งหมดในชื่อ Security Checkup สำหรับตั้งค่าความเป็นส่วนตัวของ Facebook และไว้จัดการบริการที่เชื่อมโยงกับ Facebook และไม่ได้ใช้งานมาเกินเดือนได้พร้อมๆ กัน

Read more

ผู้ใช้ Pastebin อ้างตัวเป็นผู้สร้างมัลแวร์เข้ารหัส Locker กล่าวขอโทษพร้อมเปิดรหัสปลดล็อก

By lew Founder on Tag: Security, Ransomware
Security

เมื่อสัปดาห์ที่ผ่านมามัลแวร์เข้ารหัสไฟล์เรียกค่าไถ่ Locker ที่ติดอยู่ในเครื่องนับร้อยเครื่องถูกกระตุ้นให้ตื่นขึ้นมาเข้ารหัสไฟล์สำคัญในเครื่องทั้งหมด พร้อมกับเรียกค่าไถ่ 0.1BTC หรือประมาณ 24 ดอลลาร์

มัลแวร์ Locker ฝังอยู่ในเครื่องมากับไฟล์ติดตั้ง MineCraft ที่ถูกฝังมัลแวร์เอาไว้แล้วรอเวลาอยู่ในเครื่องนานนับเดือนก่อนจะกระตุ้นทุกเครื่องที่ติดมัลแวร์เปิดการทำงานขึ้นมาพร้อมๆ กัน

Read more

บัตรเครดิตลูกค้า Paysbuy ยังถูกแฮกอย่างต่อเนื่อง, Paysbuy ยังไม่ชี้แจงใดๆ

By Zerothman Writer on Tag: Security, Payment, Paysbuy
Security

อัพเดต: Paysbuy ชี้แจงอย่างไม่เป็นทางการเกี่ยวกับกรณีถูกแฮกข้อมูล

จากข่าวเก่าที่ Paysbuy งดรับบริการผูกบัตรเครดิต หลังมีผู้ร้องเรียนว่าถูกแฮก โดยผู้เสียหายทั้งหมดเป็นลูกค้า Paysbuy ที่ผูกบัตรเครดิตของตนเองไว้กับบริการ E-Wallet ของทาง Paysbuy และบัตรส่วนมากถูกนำไปใช้กับร้านค้าออนไลน์ต่างๆ ในต่างประเทศ

Read more

เฟซบุ๊กรองรับอีเมลถึงผู้ใช้แบบเข้ารหัสทั้งหมด, ต้องใส่กุญแจ PGP บนหน้าโปรไฟล์

By lew Founder on Tag: Security, PGP, Facebook
Security

เฟซบุ๊กประกาศรองรับการส่งอีเมลถึงผู้ใช้แบบเข้ารหัสทั้งหมดตามฟอร์แมต PGP ทำให้อีเมลจากเฟซบุ๊กไม่สามารถอ่านโดยผู้ให้บริการหรือคนร้ายที่ดักฟังระหว่างเซิร์ฟเวอร์ได้อีกต่อไป

Read more

Google เปิดตัว Project Vault คอมพิวเตอร์ขนาด microSD สำหรับรับส่งข้อมูลที่ต้องการความมั่นคงปลอดภัยสูง

By Bigta Contributor on Tag: Google, Security, Google I/O, Single Board Computer, Google ATAP, Project Vault
Google

ในงาน Google I/O 2015 วันที่ 2 ซึ่งจัดขึ้นเมื่อวันศุกร์ที่ผ่านมา Google ได้เปิดตัวคอมพิวเตอร์ขนาดเล็กพิเศษในชื่อ Project Vault โดยเจ้าเครื่องคอมพิวเตอร์ที่ว่านี้มีขนาดและรูปร่างเหมือนการ์ด microSD

ผลงาน Project Vault ถูกออกแบบโดยทีม ATAP (Advanced Technology and Projects) ของ Google ในทางเทคนิคแล้วมันก็คือคอมพิวเตอร์เครื่องนึง แต่ออกแบบมาเพื่อใช้งานลักษณะเฉพาะสำหรับการติดต่อสื่อสารที่ต้องการความมั่นคงปลอดภัยสูงและใช้วิธีการยืนยันตัวตนที่ไม่ใช่รหัสผ่าน

Read more

บีบีซีเผยบทสัมภาษณ์พิเศษ ศาสตราจารย์ด้านคอมพิวเตอร์ที่เคยสอนในเกาหลีเหนือ ระบุอาจมีศักยภาพพอที่จะฆ่าคนหรือทำลายทั้งเมืองได้

By nrad6949 Writer on Tag: Security, North Korea
Security

สำนักข่าวบีบีซีของอังกฤษ เปิดเผยบทสัมภาษณ์พิเศษของศาสตราจารย์ Kim Heung-Kwang ซึ่งเคยสอนด้านวิทยาการคอมพิวเตอร์ (computer science) ที่มหาวิทยาลัย Hamheung Computer Technology University ของเกาหลีเหนือ ก่อนที่จะหลบหนีออกนอกประเทศเมื่อปี 2004 โดยระบุว่าศักยภาพของหน่วยงานโจมตีทางไซเบอร์ของเกาหลีเหนือนั้น อาจรุนแรงถึงขั้นฆ่าคนหรือทำลายเมืองทั้งเมืองได้ไม่ยากนัก (แนะนำให้อ่านฉบับเต็มจากที่มา)

Read more

แอพ Blockchain มีบั๊ก สร้างบัญชีบิทคอยด์ซ้ำกันทำให้ผู้ใช้ถูกขโมยเงิน

By lew Founder on Tag: Security, Bitcoin
Security

แอพ Blockchain ที่ใช้สร้างบัญชีบิทคอยด์ในโทรศัพท์มือถือมีบั๊กสำคัญในส่วนการสุ่มค่าทำให้สร้างบัญชีหมายเลขเดียวกัน ส่งผลให้ผู้ใช้หลายคนมีเลขบัญชีเดียวกันโดยไม่รู้ตัว ทาง Blockchain รายงานว่ามีผู้ใช้เสียเงินจากบั๊กนี้แล้ว

Read more

FireEye รายงานฝ่ายซัพพอร์ตลูกค้าของมัลแวร์เข้ารหัสไฟล์เรียกค่าไถ่ ต่อรองราคาได้

By lew Founder on Tag: Security, Ransomware, FireEye
Security

มัลแวร์เข้ารหัสไฟล์เรียกค่าไถ่ (ransomware) มีหลายตัวระบาดทั่วโลกและมักดัดแปลงต่อๆ กันมาเป็นตระกูลต่างๆ ทีมงานของ FireEye เข้าใช้งานเว็บถอดรหัสไฟล์ของมัลแวร์ TesaCrypt พบว่าหน้าเว็บพยายามล่อให้เหยื่อของมัลแวร์จ่ายเงินด้วยการเปิดบริการถอดรหัสฟรีหนึ่งไฟล์ขนาดไม่เกิน 512KB ที่สำคัญคือมีหน้าเว็บ Message Center ให้บริการถามตอบกับเหยื่อ

Read more

ASUS Thailand เตือน มีเว็บปลอมหน้าตา ASUS Online Store หลอกขาย Zenfone

By mk Founder on Tag: Security, ASUS, Thailand, Phishing, Zenfone
Security

จากข่าว ASUS เริ่มวางขาย Zenfone 2 ในไทย 25 พ.ค. นี้ ช่วงแรกผ่านหน้าร้านออนไลน์เท่านั้น วันนี้ทาง ASUS Thailand ออกมาเตือนว่ามีคนทำหน้าเว็บปลอมที่เป็น phishing เลียนแบบหน้าเว็บของ ASUS Online Store เพื่อหลอกให้ผู้สนใจจ่ายเงินซื้อ Zenfone 2 แล้ว

เว็บปลอมที่ว่าใช้ URL ว่า asusthai.com (ขณะที่เขียนนี้เข้าไม่ได้แล้ว) ส่วนเว็บของจริงต้องใช้ URL ว่า http://store.asus.com/th เท่านั้น

Read more

ThaiCERT เตรียมช่วยดูแลความปลอดภัยระบบไอที-เว็บไซต์ของหน่วยงานภาครัฐไทย

By mk Founder on Tag: Security, Thailand, Government, ThaiCERT
Security

ThaiCERT ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย ภายใต้สำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์ (องค์การมหาชน) เตรียมเข้าไปช่วยหน่วยงานภาครัฐไทยเพิ่มระบบความปลอดภัยไซเบอร์มากขึ้น หลังหน่วยงานภาครัฐถูกโจมตีอย่างมากในช่วงหลัง

โครงการของ ThaiCERT จะเรียกว่า ThaiCERT Government Monitoring System (ThaiCERT GMS) แบ่งออกเป็น 2 ส่วน

Read more

PCI หาทางให้ SME ปรับปรุงกระบวนการความปลอดภัย

By lew Founder on Tag: Security, PCI-DSS
Security

Payment Card Industry Security Standards Council หรือที่เราเรียกกันว่า PCI หน่วยงานวางมาตรฐานความปลอดภัยสำหรับหน่วยงานที่รับจ่ายเงินผ่านบัตรเครดิตเตรียมหาทางให้ธุรกิจขนาดเล็กปรับมาตรฐาน PCI-DSS ให้หน่วยงานเหล่านี้เข้าถึงได้ง่ายขึ้น

ทุกวันนี้มีเว็บจำนวนมากที่ไม่ได้อยู่ภายใต้มาตรฐาน PCI-DSS แต่ยังสามารถให้บริการรับจ่ายเงินผ่านบัตรเครดิตได้ แต่อยู่ในกลุ่ม non-compliance ที่อาจจะถูกปรับรายเดือน หรือเสี่ยงต่อการถูกยกเลิกการให้บริการ

Read more

นักวิจัยสามารถกู้คืนข้อมูลใน Android รุ่นเก่าที่ Factory Data Reset ไปแล้ว

By mk Founder on Tag: Security, Android
Security

ทีมนักวิจัยจากมหาวิทยาลัยเคมบริดจ์ ทดสอบความปลอดภัยของฟีเจอร์ Factory Data Reset ของสมาร์ทโฟน Android หลายเวอร์ชัน (ตั้งแต่ 2.3 ถึง 4.3 แต่ไม่รวมรุ่นที่ใหม่กว่านั้น) และพบว่าสามารถกู้คืนข้อมูลได้มากถึง 80% ของอุปกรณ์ที่นำมาทดสอบ

สาเหตุสำคัญคือหน่วยความจำแบบแฟลชนั้นลบข้อมูลทิ้ง 100% ได้ยากเป็นทุนเดิมอยู่แล้ว และผู้ผลิตสมาร์ทโฟนก็ไม่ได้ใส่ไดรเวอร์สำหรับการลบข้อมูลแบบ full wipe มาด้วย ทำให้นักวิจัยสามารถอ่านข้อมูลดิบจาก flash ที่ถูก wipe และแกะข้อมูลตามแพทเทิร์นที่ทราบ เพื่อหาค่า token ของบัญชี Google Account และนำ token นี้มาซิงก์ข้อมูลกลับคืนจากเซิร์ฟเวอร์ของกูเกิลได้

Read more

ด่วน! เว็บไซต์ของสำนักงานเลขาธิการวุฒิสภาและกระทรวงสาธารณสุขถูกแฮ็ก

By pe3z Writer on Tag: Security, Anonymous
Security

ในช่วงเมื่อวานนี้ เว็บไซต์กระจายข่าวที่สนับสนุนกลุ่ม Anonymous ได้มีการเผยแพร่ปฏิบัติการโจมตีเว็บไซต์ทางราชการของไทย โดยมีเว็บที่ถูกโจมตีและมีข้อมูลรั่วไหลออกไปแล้วคือเว็บไซต์ของสำนักงานเลขาธิการวุฒิสภาและเว็บไซต์ของกระทรวงสาธารณสุข ซึ่งผู้โจมตีเป็นกลุ่ม OpIsrael ที่พุ่งเป้าไปที่ประเด็นของสิทธิมนุษยชนโดยเฉพาะในเรื่องของประเด็นการค้ามนุษย์ที่มีชาวโรฮีนจาตกเป็นเหยื่อที่ผ่านมา

Read more

Qualcomm, Google, Samsung ได้ใบรับรองจากระบบยืนยันตัวตน FIDO

By mk Founder on Tag: Google, Security, Samsung, Qualcomm, FIDO
Google

มาตรฐานความปลอดภัยแบบไม่ต้องใช้รหัสผ่าน FIDO ออกสเปกเวอร์ชัน 1.0 มาเมื่อปลายปี 2014 วันนี้ทางหน่วยงานก็เผยรายชื่อผลิตภัณฑ์ชุดแรกที่ผ่านการตรวจสอบและได้ใบรับรอง FIDO Certified แล้ว

ผลิตภัณฑ์ FIDO ชุดแรกมีทั้งหมด 31 รายการ ส่วนใหญ่เป็นระบบยืนยันตัวตนที่ใช้ในตลาดองค์กร แต่ก็มีผลิตภัณฑ์จากบริษัทที่ชื่อคุ้นเคยอย่าง Google (Google Login Service รองรับ FIDO แล้ว), Qualcomm, Samsung, Yahoo! Japan อยู่ด้วย

Read more

ไมโครซอฟท์ออกรายงานความปลอดภัยครึ่งปีหลังปี 2014 - จากแพตช์สู่การเจาะระบบในเพียงสามวัน

By lew Founder on Tag: Security, Microsoft
Security

ไมโครซอฟท์ออกรายงานความปลอดภัยไซเบอร์ระหว่างเดือนกรกฎาคมถึงเดือนธันวาคมปีที่แล้วแสดงถึงเหตุการณ์สำคัญในโลกความปลอดภัยในปีที่ผ่านมา

เหตุการณ์หนึ่งคือการปล่อยแพตช์ประจำรอบปกติวันที่ 11 พฤศจิกายน บั๊กความร้ายแรงระดับวิกฤติ MS14-064 ถูกปล่อยออกมาเพียงวันเดียว ก็มีรายงานจากนักวิจัยชาวจีนระบุว่ามันสามารถใช้เจาะระบบได้อย่างง่ายดาย และสามารถข้ามระบบป้องกันแทบทุกรูปแบบไปได้

upic.me

Read more

Spam Nation หนังสือโดย Brian Krebs ลดราคาเหลือ 2.95 ดอลลาร์วันนี้

By lew Founder on Tag: Security, Spam, Audio Books, Brian Krebs
Security

Brian Krebs บล็อกเกอร์ด้านความปลอดภัยคอมพิวเตอร์ชื่อดังที่โซนี่ติดต่อนำเรื่องราวของเขาไปสร้างภาพยนตร์ ออกหนังสือ Spam Nation เมื่อปลายปีที่แล้วเล่าเรื่องราวขององค์กรอาชญากรรมข้ามชาติที่ดำเนินการแฮกเครื่องของเหยื่ออย่างเป็นระบบโดยเริ่มต้นจากการส่งสแปมเมลไปยังเครื่องของเหยื่อ

วันนี้หนังสือ Spam Nation แบบเสียง (audiobook) ลดราคาจาก 20 ดอลลาร์เหลือ 2.95 ดอลลาร์บน Audible.com ถ้าใครสนใจก็เป็นโอกาสที่ดีที่จะซื้อมาฟังกัน

Read more
Subscribe to Security