Security

Windows 10 จะรองรับมาตรฐาน FIDO 2.0, รุ่นทดสอบถัดไปไม่มาสัปดาห์หน้าแน่นอน

By nuntawat

on 14 February 2015 - 06:32 Tag: Security, Password, FIDO, Windows 10, Microsoft

Security

ไมโครซอฟท์เผยว่า Windows 10 จะรองรับมาตรฐานการล็อกอินที่ไม่ใช้รหัสผ่าน (passwordless authentication) FIDO 2.0 ที่บริษัทมีส่วนร่วมในการร่างมาตรฐาน โดยโซลูชันของบริษัทคือการผนวกการล็อกอินบน Windows 10, Azure Active Directory และบริการ SaaS ชื่อดัง อาทิ Office 365 Exchange Online, Salesforce, Citrix, Box และ Concur

แอปเปิลรองรับรหัสผ่านเฉพาะแอพบน FaceTime และ iMessage

By lew

on 13 February 2015 - 15:47 Tag: Apple, Security, FaceTime, iMessage

Apple

แอปเปิลเริ่มรองรับการยืนยันตัวตนด้วยรหัสผ่านเฉพาะแอพพลิเคชั่น (app-specific password) บนสองบริการใหม่ คือ FaceTime และ iMessage แล้ว

ผู้ใช้ที่เปิดการยืนยันตัวตนสองปัจจัย (2-factor authentication) จะมีป๊อบอัพเตือนให้สร้างรหัสผ่าน แต่ต้องสร้างจากหน้าจอเดสก์ทอป เพื่อนำไปล็อกอินบนโทรศัพท์อีกครั้ง

ตอนนี้แอปเปิลยังรองรับการยืนยันตัวตนแบบนี้ไม่ครบทุกแอพพลิเคชั่น บริการสำคัญ เช่น iTunes และ App Store ยังคงสามารถใช้รหัสผ่านธรรมดาล็อกอินได้ต่อไป

ส่งสารถึงท่านผู้นำ ซีอีโอบริษัทไอทีไม่ร่วมงานสัมมนาความมั่นคงไซเบอร์ เพื่อประท้วง NSA

By mk

on 13 February 2015 - 10:51 Tag: Security, NSA, Barack Obama, Eric Schmidt, Mark Zuckerberg, Larry Page, Marissa Mayer

Security

ประธานาธิบดีบารัค โอบามา เคยได้รับการสนับสนุนอย่างท้วมท้นจากบริษัทไฮเทคในซิลิคอนวัลเลย์ แต่งานประชุมด้านความมั่นคงไซเบอร์ที่รัฐบาลจัดขึ้นที่มหาวิทยาลัยสแตนฟอร์ดในวันนี้ (โอบามาบินมาพูดเอง รัฐมนตรีเข้าร่วมเพียบ และเชิญแขกสำคัญรับประทานอาหารเที่ยงร่วมกัน) กลับไม่มีผู้นำโลกไอทีหลายคนเข้าร่วม

ตามรายงานข่าวบอกว่าบรรดาซีอีโอชื่อดัง Mark Zuckerberg, Marissa Mayer, Larry Page, Eric Schmidt ได้รับเชิญให้มางานนี้ แต่คนกลุ่มนี้ปฏิเสธไม่เข้าร่วมงานโดยตรง โดยส่งตัวแทนเป็นผู้บริหารฝ่ายความปลอดภัยของข้อมูลไปร่วมงานแทน

Pwn2Own 2015 ประกาศกติกาแล้ว Project Zero ร่วมเป็นสปอนเซอร์

By lew

on 13 February 2015 - 01:09 Tag: Google, HP, Security, Pwn2Own, Project Zero

Google

Pwn2Own การแข่งขันแฮกเบราว์เซอร์รายการสำคัญโดย ZDI ของเอชพีที่ผู้ผลิตร่วมเข้าเป็นสปอนเซอร์มากมายปีนี้ประกาศกติกาการแข่งขันแล้ว รวมรางวัลทุกรายการมากกว่า 500,000 ดอลลาร์

เป้าหมายการแฮกในการแข่งขันรอบนี้ ได้แก่

Facebook ตั้งกลุ่ม ThreatExchange ศูนย์แลกเปลี่ยนข้อมูลความปลอดภัย

By lew

on 12 February 2015 - 11:47 Tag: Security, Malware, Phishing, Facebook

Security

เฟซบุ๊กประกาศบริการ ThreatExchange ระบบแลกเปลี่ยนภัยออนไลน์โดยเฉพาะการแพร่กระจายมัลแวร์และเว็บฟิชชิ่ง โดยจะเปิด API ให้สมาชิกเข้ามาแชร์ภัยออนไลน์ให้กับสมาชิกรายอื่นๆ เป็นมาตรฐาน

ThreatExchange จะเปิดให้ผู้รายงานสามารถกำหนดได้ว่าสมาชิกคนใดจะได้รับรายงาน เพราะบางครั้งรายงานมีข้อมูลสำคัญอยู่ด้วย และการแชร์ข้อมูลเป็นวงกว้างอาจจะเป็นผลเสีย

ฐานข้อมูลเริ่มต้นจะมาจากจากเฟซบุ๊กเองที่มีระบบ ThreatData อยู่ก่อนแล้ว และบริษัทที่ประกาศร่วมมือกันได้แก่ Bitly, Dropbox, Tumblr, เฟซบุ๊ก, ทวิตเตอร์, และยาฮู

เว็บสำนักข่าว กรมประชาสัมพันธ์ถูกแฮก โดยกลุ่ม Indonesian Cyber Crash

By lew

on 10 February 2015 - 23:08 Tag: Security, Thailand, Hacking

Security

วันนี้มีรายงานว่าเว็บสำนักข่าว กรมประชาสัมพันธ์ถูกแฮกโดยกลุ่ม Indonesian Cyber Crash โดยหน้าเว็บปกติและข่าวทั่วไปยังคงอ่านได้ตามปกติ แต่ปรากฎหน้าใหม่ขึ้นมาแสดงข้อความของแฮกเกอร์ระบุชื่อ INDONESIAN CYBER CRASH Mr.xSaputra_AttackeR

ท้ายข้อความยังมีวิดีโอ "Sleeping With Sirens covers "Iris" by The Goo Goo Dolls" แนบท้าย

Google แจกพื้นที่ Google Drive ฟรี 2GB เพียงทำรายการตรวจสอบความปลอดภัยให้ครบ

By ตะโร่งโต้ง

on 10 February 2015 - 21:07 Tag: Google, Security, Google Drive

Google

Google เสนอให้ผู้ใช้บริการของ Google ทำรายการตรวจสอบความปลอดภัยเกี่ยวกับบัญชีใช้งานของตนเอง โดยมีข้อแลกเปลี่ยนเป็นพื้นที่เก็บข้อมูลบน Google Drive เพิ่มให้คนละ 2GB (เฉพาะคนที่ทำรายการภายในวันที่ 17 กุมภาพันธ์นี้เท่านั้น)

ผู้ใช้เพียงเข้าไปทำรายการตรวจสอบที่นี่ ซึ่งเป็นการตรวจสอบทั้งข้อมูลสำหรับการกู้บัญชีผู้ใช้ในยามฉุกเฉิน, บันทึกการเข้าระบบของบัญชีผู้ใช้ในระยะหลัง, การให้สิทธิ์แก่แอพและอุปกรณ์ต่างๆ ในการเข้าถึงข้อมูล รวมทั้งการตั้งค่าการเข้าระบบด้วยวิธียืนยันตัวตน 2 ขั้นตอน (อย่างหลังสุดนี้หากไม่ต้องการใช้งานก็ปล่อยว่างไว้ได้)

ซัพพอร์ต: กระบวนการดูแลความปลอดภัยตลอดอายุใช้งาน

By lew

on 9 February 2015 - 00:54 Tag: Security, In-Depth

Security

โปรแกรมเมอร์ที่มีประสบการณ์สักหน่อยคงเข้าใจได้ไม่ยากว่าซอฟต์แวร์ที่ไม่มีบั๊กนั้นแทบไม่มีจริงอยู่ในโลก หนังสือ Code Complete ของ Steve McConnell ระบุว่าโดยทั่วไปแล้วโค้ดทุกๆ 1000 บรรทัด (KLOC: kilo lines of code) จะมีข้อผิดพลาดประมาณ 15-50 จุด ซอฟต์แวร์ที่คุณภาพสูงมากๆ อาจจะมีกระบวนการตรวจสอบที่รัดกุม อาจจะทำให้คุณภาพซอฟต์แวร์ดีขึ้น จุดผิดพลาดต่ำลงต่ำ แต่ซอฟต์แวร์สมัยใหม่ที่มีความซับซ้อนสูง พึ่งพิงกับไลบรารีภายนอกจำนวนมาก แทบเป็นไปไม่ได้ที่จะอ้างว่าซอฟต์แวร์เหล่านี้ไม่มีความผิดพลาดอยู่เลย ในบางกรณีอาจมีผู้อ้างว่าทำได้เช่นในโครงการอวกาศบางโค

กองทัพไทยรับสมัครนายทหารด้านความปลอดภัยคอมพิวเตอร์ 7 ตำแหน่ง

By lew

on 8 February 2015 - 13:45 Tag: Security, Thailand

Security

ที่งาน MHCon 2015 เมื่อวานนี้นอกจากมีการบรรยายจากวิทยากรแล้วพ.อ.ชาติชาย ชัยเกษม ผู้อำนวยการกองสงครามเครือข่าย (บ้านเรามีหน่วย Cyberwarfare แล้ว) ประกาศว่ากำลังรับสมัครพลเรือนเข้าไปทำงานด้านความปลอดภัยคอมพิวเตอร์ทั้งหมด 7 ตำแหน่ง

ตำแหน่งที่เปิดมีตั้งแต่ penetration testing officer, digital forensics officer, และ cyber security auditing officer คงครอบคลุมงานด้านความปลอดภัยคอมพิวเตอร์ส่วนใหญ่ แต่จำนวนตำแหน่งไม่มากนัก หากใครสนใจทำงานด้านความปลอดภัยคอมพิวเตอร์ในหน่วยราชการคงเป็นโอกาสที่ดีครับ

ชะตากรรมผู้พัฒนา GPG เงินเกือบหมด เกือบเลิกพัฒนาเต็มเวลา

By lew

on 6 February 2015 - 18:12 Tag: Security, Cryptography

Security

GPG หรือ Gnu Privacy Guard เริ่มพัฒนามาตั้งแต่ปี 1997 และออกรุ่น 1.0 ในปี 1999 โดย Werner Koch นักพัฒนาหลักมาตลอดโดยตั้งบริษัท g10^code ขึ้นมาเพื่อรับเงินและตัว Werner เองก็ออกมาทำงานเต็มเวลาในบริษัทนี้ แต่ปรากฎว่าบริษัทนี้อยู่ในสภาพย่ำแย่มาโดยตลอด ฐานะทางการเงินติดลบ ช่วงสองปีหลังเหลือ Werner เป็นนักพัฒนาเต็มเวลาเพียงคนเดียว จนกระทั่งคิดว่าจะเลิกทำโครงการนี้เต็มเวลาแล้วไปทำงานบริษัทในช่วงปี 2013

Adobe ปล่อยแพตช์บั๊กความปลอดภัยรอบใหม่ แก้ช่องโหว่ 0-day ที่มีการโจมตีแล้ว

By lew

on 6 February 2015 - 12:27 Tag: Security, Adobe Flash, Project Zero, Adobe

Security

วันก่อนมีรายงานถึงบั๊ก CVE-2015-313 ของ Adobe Flash ตอนนี้ทาง Adobe ก็ปล่อยแพตช์ออกมาแล้ว และยังแก้บั๊กอื่นๆ อีกนับสิบตัว รวมถึงบั๊กจาก Project Zero ของกูเกิลและบั๊กที่ได้รับจากโครงการให้รางวัลบั๊ก Chromium

ทางฝั่งกูเกิลระบุว่าบั๊กทั้งหมดของ Project Zero ทาง Adobe สามารถแก้ไขได้ภายใน 90 วันตามกำหนดของโครงการ

ที่มา - Adobe, Chris Evans

Venafi และ DigiCert ประกาศเข้าร่วมโครงการ Certificate Transparency เปิดเผยการออกใบรับรอง

By lew

on 6 February 2015 - 11:51 Tag: Security, SSL, TLS, HTTPS

Security

Venefi และ DigiCert บริษัทให้บริการรับรองตัวตน (Certification Authority - CA) ประกาศเข้าร่วมกับโครงการ Certificate Transparency ที่ก่อตั้งโดยกูเกิล ที่ชักชวนให้ CA ทั้งหลายเปิดเผยข้อมูลการออกใบรับรองสู่สาธารณะ

ทาง DigiCert ระบุว่าจะเปิดเผยเฉพาะใบรับรองระดับ EV (Extended Validation ที่มีชื่อบริษัทอยู่ในช่อง URL) แต่ไม่รวมถึงใบรับรองทั่วไป ส่วน Venafi ไม่ได้ระบุว่าจะเปิดเผยข้อมูลมากแค่ไหน

โซนี่เตรียมจ่ายค่าสอบสวนการแฮก 35 ล้านดอลลาร์

By lew

on 6 February 2015 - 11:18 Tag: Security, Financial Report, Sony Pictures

Security

โซนี่แถลงผลประกอบการไปเมื่อวันพุธที่ผ่านมา ข้อมูลอีกอย่างหนึ่งที่อยู่ในรายงานคือการแฮกข้อมูลครั้งใหญ่ของ Sony Pictures นอกจากจะทำให้บริษัทเสียหายครั้งใหญ่ รายได้ลดลง 23% และกำไรแทบไม่เหลือแล้วยังต้องจ่ายค่าสอบสวนและฟื้นฟูระบบที่เสียหายไปอีก 15 ล้านดอลลาร์ในไตรมาสที่ผ่านมา

ระหว่างนี้การสอบสวนยังไม่จบ โซนี่คาดว่าจะต้องจ่ายเพิ่มอีก 20 ล้านดอลลาร์ รวมเป็นค่าใช้จ่าย 35 ล้านดอลลาร์ ทางโซนี่ไม่ตอบคำถามว่าหลังจากนี้จะมีค่าใช้จ่ายเพิ่มเติมหรือไม่

XAgent มัลแวร์เฉพาะกลุ่ม เก็บข้อมูลจากอุปกรณ์ iOS

By lew

on 5 February 2015 - 18:26 Tag: Security, Malware, Trend Micro, iOS

Security

Trend Micro รายงานถึงมัลแวร์ XAgent มัลแวร์ที่เจาะจงเป้าหมายในกลุ่มการทหาร, รัฐบาล, อุตสาหกรรมที่เกี่ยวกับความมั่นคง, และสื่อ ทาง Trend Micro เชื่อว่าเป็นปฎิบัติการต่อเนื่องมาจากปีที่แล้ว ที่ Trend Micro เรียกชื่อว่า Pawn Storm ที่พบเมื่อปีที่แล้ว

XAgent มีสองรุ่น คือ แอพพลิเคชั่นที่ชื่อว่า XAgent และเวอร์ชั่นปลอมตัวเป็นเกม MadCap กระบวนการติดมัลแวร์นี้ยังไม่แน่ชัดนัก แต่อุปกรณ์ที่ติดไม่จำเป็นต้องเจลเบรกแต่อย่างใด แต่บน iOS 8 นั้นการติดตั้งจะไม่สมบูรณ์ ตัวมัลแวร์ไม่สามารถทำงานได้อัตโนมัติ และไอคอนที่ซ่อนไว้ก็แสดงออกมา

สร้างระบบดักฟังเว็บเข้ารหัส (เช่น เฟซบุ๊ก) ที่บ้านด้วย mitmproxy

By lew

on 5 February 2015 - 01:27 Tag: Security, In-Depth, Privacy, SSL, TLS, HTTPS

Security

หมายเหตุ บทความนี้__ไม่เกี่ยว__กับข่าว "กระทรวงไอซีทีพยายามตรวจสอบและปิดกั้นเว็บเข้ารหัส ทดสอบที่เกตเวย์" แต่อย่างใด

พบเกมฝังมัลแวร์โผล่บน Google Play คนดาวน์โหลดไปแล้วหลายล้านครั้ง

By mk

on 4 February 2015 - 10:58 Tag: Security, Android, Malware, Avast, Google Play

Security

บริษัทความปลอดภัย Avast รายงานพฤติกรรมของเกมไพ่ Durak บน Google Play ที่มีคนดาวน์โหลดไปแล้ว 5-10 ล้านครั้ง (ตามสถิติของกูเกิล)

เกมนี้ฉากหน้าเป็นเกมไพ่ธรรมดา เล่นได้ปกติ แต่เมื่อลงเกมผ่านไปหลายๆ วัน (เช่น 7 วัน) แล้วบูตเครื่องใหม่จะพบข้อความแจ้งเตือนว่าเครื่องเราโดนแฮ็ก ติดไวรัส หรือไม่อัพเดต (ข้อความแตกต่างกันออกไปแบบสุ่ม) ข้อความเหล่านี้เป็นข้อความหลอกให้เรากดอัพเดต ซึ่งจะพาเราไปยังเว็บเพจที่หลอกให้ดาวน์โหลดแอพหรือสมัคร SMS แบบเสียเงินราคาแพงอีกชั้นหนึ่ง

พบช่องโหว่ใหม่ Flash Player และยังไม่มีแพตช์

By mk

on 3 February 2015 - 09:38 Tag: Security, Adobe Flash, Adobe

Security

Symantec รายงานช่องโหว่ใหม่ของ Flash Player (รหัส CVE-2015-0313) และพบการโจมตีผ่านช่องโหว่นี้แล้ว ช่องโหว่นี้มีใน Flash Player ทุกรุ่น รวมถึงรุ่นล่าสุด 16.0.0.296 ที่เพิ่งออกมาไม่กี่วันก่อน

Adobe รับทราบปัญหานี้แล้ว และบอกว่าจะรีบออกแพตช์ภายในสัปดาห์นี้ นั่นแปลว่าผู้ใช้ Flash Player มีความเสี่ยง วิธีป้องกันตัวชั่วคราวคือปิดการทำงานของ Flash Player ไปก่อนจนกว่าจะมีแพตช์ครับ

จากข้อมูลของ Symantec บอกว่าแฮ็กเกอร์เริ่มรันแคมเปญโฆษณาให้ดาวน์โหลดไฟล์มัลแวร์ เพื่อโจมตีคอมพิวเตอร์ผ่านช่องโหว่นี้ ผลกระทบคือทำให้เครื่องแครชและอาจถูกแฮ็กเกอร์ควบคุมเครื่องได้จากระยะไกล

BMW ออกแพตช์อุดช่องโหว่ความปลอดภัยให้รถยนต์ 2.2 ล้านคัน

By mk

on 3 February 2015 - 09:25 Tag: Security, Automobile, BMW

Security

วงการรถยนต์ยุคสมาร์ทคาร์ ย่อมมีปัญหาเรื่องช่องโหว่ความปลอดภัย ล่าสุด BMW ประกาศออกแพตช์ความปลอดภัยให้รถยนต์ยี่ห้อ BMW, Mini, Rolls Royce ในเครือของตัวเองรวม 2.2 ล้านคัน

ซอฟต์แวร์ที่พบปัญหาคือ ConnectedDrive รุ่นที่รองรับซิมการ์ดเพื่อสั่งงานรถยนต์จากระยะไกล ซอฟต์แวร์ตัวนี้สามารถควบคุมการล็อคประตูรถ เปิดปิดแอร์ และดึงข้อมูลจราจร แต่ไม่สามารถเข้าถึงระบบขับเคลื่อนรถยนต์ได้ ส่วนช่องโหว่ที่อาจถูกแฮ็กเกอร์เจาะแล้วสั่งการรถยนต์ได้ (เช่น ล็อคประตูรถไม่ให้เจ้าของใช้งาน)

กูเกิลจ่ายรางวัลช่องโหว่ความปลอดภัยปี 2014 ไป 1,500,000 ดอลลาร์ ให้ทุนหาช่องโหว่เพิ่ม

By lew

on 2 February 2015 - 15:30 Tag: Google, Security

Google

กูเกิลประกาศผลงานของโครงการ Vulnerability Reward Program (VRP) ที่ให้เงินรางวัลกับนักวิจัยที่หาช่องโหว่ในแอพพลิเคชั่นหรือบริการของกูเกิล โดยปีที่แล้วกูเกิลจ่ายเงินไปมากกว่า 1,500,000 ดอลลาร์ รวมนักวิจัยที่ได้เงินรางวัลมากกว่า 200 คน

เฉพาะบั๊กความปลอดภัยของ Chrome ที่พบในโครงการ VRP มีมากกว่า 500 บั๊ก และครึ่งหนึ่งพบจากเวอร์ชั่น beta หรือ dev ทำให้กูเกิลสามารถแก้บั๊กความปลอดภัยก่อนที่จะกระทบคนส่วนใหญ่

กว่าจะมาเป็นหน้าจอเตือน TLS/SSL ของ Chrome, รายงานวิจัยการเลือกหน้าจอเพื่อผู้ใช้

By lew

on 2 February 2015 - 11:14 Tag: Security, Usability, Chrome

Security

หน้าจอเตือนการเข้ารหัส TLS/SSL ผิดพลาดของ Chrome เปลี่ยนมาตั้งแต่ Chrome 37 โดยเปลี่ยนข้อความเป็น "Your connection is not private" หรือ "การเชื่อมต่อของคุณไม่เป็นส่วนตัว" จากเดิมที่ข้อความเตือนการเชื่อมต่อผิดพลาดมักเป็นข้อความทางเทคนิคระบุความผิดพลาด เช่น ใบรับรองเป็นแบบรับรองตัวเอง

Subscribe to Security