[เศรษฐกิจดิจิทัลแบบจีน] จีนออกกฎหมายความมั่นคงไซเบอร์ รัฐบาลขอซอร์สโค้ด, จำกัดกระบวนการเข้ารหัส

By lew Founder on Tag: Security, Privacy, Law, China
Security

จีนออกกฎหมายความมั่นคงไซเบอร์ฉบับใหม่ แสดงความพยายามเข้าควบคุมคอมพิวเตอร์ทั้งระบบที่ใช้งานในอุตสาหกรรมการเงินของจีนโดยระบุว่าต้องส่งซอร์สโค้ดของซอฟต์แวร์และเฟิร์มแวร์ให้รัฐบาลจีนตรวจสอบจึงสามารถใช้งานได้ และคอมพิวเตอร์เหล่านี้จำเป็นต้องใช้กระบวนการเข้ารหัสที่ได้รับอนุมัติโดยรัฐบาลเท่านั้น

รัฐบาลจีนระบุชัดในกฎมายว่าต้องการเข้าถึงข้อมูลทั้งหมดในคอมพิวเตอร์ที่ขายให้กับภาคการเงิน โดยจำเป็นต้องมีพอร์ตพิเศษเพื่อเข้าจัดการและมอนิเตอร์การทำงานได้ เป้าหมายของรัฐบาลจีนตามกฎหมายนี้ คือ การเข้าควบคุมซอฟต์แวร์ 75% ที่ให้บริการในภาคการเงินของจีนภายในปี 2019

Read more

แอปเปิลออก OS X 10.10.2 และ iOS 8.1.3 แก้ปัญหาความปลอดภัย

By mk Founder on Tag: Apple, Security, iOS, OS X, Yosemite
Apple

จากข่าวกูเกิลเผยช่องโหว่ OS X แอปเปิลแก้แล้วแต่ยังไม่ปล่อยอัพเดต วันนี้แอปเปิลออก OS X Yosemite 10.10.2 ที่แก้ช่องโหว่ตัวนี้ (รวมถึงช่องโหว่และบั๊กอื่นๆ) มาแล้ว รายการแก้ไขคือ

Read more

พบบั๊ก GHOST ใน glibc ความร้ายแรงระดับสูง กระทบลินุกซ์รุ่นเก่าจำนวนมาก

By lew Founder on Tag: Open Source, Security, Linux
Open Source

บริษัท Qualys รายงานบั๊กในไลบรารี glibc ให้ชื่อช่องโหว่ว่า GHOST (CVE-2015-0235) มีความร้ายแรงระดับสูงมาก กระทบลินุกซ์ตั้งแต่ปี 2000 และสามารถยิงช่องโหว่นี้ได้จากระยะไกล บั๊กนี้แก้ไขไปแล้วตั้งแต่สองปีก่อน แต่ไม่ได้ระบุว่าเป็นบั๊กความปลอดภัยร้ายแรงเนื่องจากยังไม่มีรายงานว่าสามารถอาศัยบั๊กนี้โจมตีเครื่องเซิร์ฟเวอร์ได้

Read more

NIST ออกร่างการพัฒนามาตรฐานใหม่ จัดความสัมพันธ์กับ NSA, ระบุชื่อคนพัฒนามาตรฐาน

By lew Founder on Tag: Security, Open Standard, Information Security, NIST
Security

หลังการเปิดเผยเอกสารของ Edward Snowden ข้อมูลส่วนใหญ่จะเป็นข้อมูลของหน่วยงานข่าวกรองอย่าง NSA, GCHQ, และ DSD แต่อีกหน่วยงานที่ได้รับผลกระทบอย่างหนักคือ NIST ที่เป็นหน่วยงานมาตรฐานอุตสาหกรรม แต่มีงานสำคัญคือการออกมาตรฐานการเข้ารหัสสำหรับหน่วยงานรัฐ ซึ่งมักได้รับความไว้วางใจและนำมาตรฐานเดียวกันไปใช้งานในภาคเอกชนโดยทั่วไป แต่มาตรฐาน Dual_EC_DRBG กลับถูกผลักดันโดย NSA เป็นหลักแม้จะมีปัญหาทางเทคนิคหลายประการ เมื่อปีที่แล้ว NIST ร่างเอกสารแนวทางการออกมาตรฐานเสียใหม่เพื่อเรียกความเชื่อมั่นกลับมา และตอนนี้ร่างนี้ก็มาถึงร่างที่สอง

Read more

Mojang ชี้แจง Minecraft ไม่ได้ถูกเจาะ เก็บรหัสผ่านผู้ใช้โดยเข้ารหัสไว้อย่างดี

By hisoft Contributor on Tag: Security, Phishing, Minecraft, Mojang, Games
Security

หลังจากมีข่าวบัญชีพร้อมรหัสผ่านของเกม Minecraft หลุดออกมากว่า 1,800 ชุดจนผู้ใช้เกิดความตระหนกขึ้นนั้น ขณะนี้ทาง Mojang ผู้พัฒนาและให้บริการเกม Minecraft ออกมาชี้แจงข้อมูลเพิ่มเติมแล้วครับ

Mojang ยืนยันว่าระบบของ Minecraft นั้นไม่ได้ถูกเจาะ ไม่มีใครสามารถเข้าถึงเมนเฟรมของ Mojang ได้ (ยกเว้นคนใน) และต่อให้มีคนเข้าถึงได้ ทาง Mojang ก็เก็บรหัสผ่านของผู้ใช้ไว้ในรูปแบบที่เข้ารหัสไว้อย่างดี (ต้นทางใช้คำว่า super encrypted format) จึงไม่จำเป็นต้องตระหนกต่อเหตุการณ์นี้

Read more

กูเกิลชี้แจง เหตุใดถึงหยุดออกแพตช์ความปลอดภัย WebView รุ่นเก่า

By mk Founder on Tag: Google, Security, Browser, WebKit, Android, Jelly Bean
Google

จากกรณี Google บอกจะไม่แก้ไขช่องโหว่ WebView ใน Android เวอร์ชัน 4.3 หรือต่ำกว่า สร้างเสียงวิจารณ์อย่างมากว่าจะทำให้ผู้ใช้ Android จำนวนมากตกอยู่ใต้ความเสี่ยง

Adrian Ludwig วิศวกรของกูเกิลออกมาชี้แจงประเด็นนี้ผ่าน Google+ ดังนี้

Read more

จีนเริ่มบล็อค VPN บางส่วน

By lew Founder on Tag: Security, China, VPN
Security

แนวทางการบล็อคเว็บอย่างต่อเนื่องของรัฐบาลจีนไม่ใช่เรื่องแปลกนัก แต่เมื่อวานนี้ผู้ให้บริการ VPN เริ่มถูกบล็อคบางส่วนจากจีนไปพร้อมๆ กัน โดยตอนนี้สามโปรโตคอลสำคัญ ได้แก่ IPSec, L2TP/IPSec, และ PPTP เริ่มถูกบล็อคอย่างรวดเร็ว

ผู้ให้บริการหลายรายระบุว่าน่าจะมีการอัพเกรด The Great Firewall ของจีนในช่วงสิ้นปีที่ผ่านมา ทำให้ตรวจจับการเชื่อมต่อ VPN และแบนไอพีเหล่านี้ได้มีประสิทธิภาพมากขึ้น

Read more

กูเกิลเผยช่องโหว่ OS X แอปเปิลแก้แล้วแต่ยังไม่ปล่อยอัพเดต

By mk Founder on Tag: Google, Apple, Security, OS X, Project Zero, Mac
Google

จากกรณีปัญหาไมโครซอฟท์ไม่พอใจกูเกิลเผยช่องโหว่ Windows เมื่อถึงกำหนด 90 วัน คราวนี้กูเกิลเผยช่องโหว่ของระบบปฏิบัติการ OS X ในลักษณะเดียวกันแล้ว

โครงการความปลอดภัย Project Zero ของกูเกิลเผยช่องโหว่ OS X จำนวน 3 จุด โดยกูเกิลรายงานข้อมูลของช่องโหว่เหล่านี้ไปยังแอปเปิลตั้งแต่เดือนตุลาคม และเปิดเผยข้อมูลต่อสาธารณะเมื่อครบ 90 วันตามเงื่อนไข

Read more

Starwood แจ้งเตือนเจ้าของบัญชี SPG ให้เปลี่ยนรหัสผ่าน

By Zerothman Writer on Tag: Security, Password
Security

ในวันนี้ทาง Starwood ส่งอีเมลให้กับลูกค้าที่มีบัญชี Starwood Preferred Guest (SPG) โดยระบุว่าในช่วงสัปดาห์ที่ผ่านมา ทาง Starwood พบการเข้าถึงระบบโดยไม่ได้รับอนุญาตโดยอาจจะส่งผลกระทบต่อผู้ใช้จำนวนน้อย (low number of SPG accounts) โดยคาดว่าเป็นช่องโหว่ที่เกิดจากบริษัทอื่นแล้วนำรหัสผ่านมาใช้กับบัญชีของ SPG ทาง Starwood จึงแนะนำให้ผู้ใช้ SPG ทุกคนเปลี่ยนรหัสผ่านโดยทันที และรหัสผ่านใหม่ควรเป็นรหัสผ่านที่ไม่ซ้ำกับบริการอื่นๆ

ข้อความจากอีเมลต้นฉบับสามารถดูได้หลังเบรกครับ

CHANGE YOUR PASSWORD TODAY TO HELP PROTECT YOUR INFORMATION.

Read more

Baidu Antivirus ได้ประกาศนียบัตรรับรองมาตรฐาน ISO/IEC 27001 ด้านความปลอดภัย

By Blltz Writer on Tag: Security, China, Antivirus, Baidu
Security

Baidu ผู้ให้บริการเสิร์ชเอนจินรายใหญ่จากประเทศจีน และมีซอฟต์แวร์ในเครือจำนวนมากได้ประกาศว่า Baidu Antivirus ได้รับประกาศนียบัตรรับรองมาตรฐาน ISO/IEC 27001 เป็นที่เรียบร้อย

ISO/IEC 27001 เป็นมาตรฐานความปลอดภัยระดับโลก ออกโดย BSI Group จากความเป็นเลิศในการบริหารจัดการความปลอดภัยของข้อมูล

Read more

บัญชีผู้ใช้ Minecraft พร้อมรหัสผ่านกว่า 1,800 ชุดหลุดออกสู่อินเทอร์เน็ต

By hisoft Contributor on Tag: Security, Minecraft, Games
Security

Minecraft เกมเก่าแก่ที่ครองอันดับ 5 ของเกมขายดีในสหรัฐอเมริกาประจำปี 2014 ที่ถูก Microsoft ซื้อทีมพัฒนาไปปลายปีที่ผ่านมางานเข้าเสียแล้ว เมื่อมีคนโพสต์บัญชีและรหัสผ่านของเกมกว่า 1,800 ชุดบน Pastebin โดยในขณะนี้ยังไม่มีรายงานว่าบัญชีและรหัสผ่านดังกล่าวได้มาด้วยวิธีใด โดยอาจได้มาจากการโจมตีด้วยการฟิชชิง, มัลแวร์ หรือคีย์ล็อกเกอร์ก็ได้ แต่ในกรณีที่แย่ที่สุดคือเซิร์ฟเวอร์ของผู้ให้บริการถูกโจมตีโดยตรง ซึ่งจะทำให้ข้อมูลของผู้ใช้กว่า 100 ล้านรายตกอยู่ในอันตรายทันที

Read more

"123456" ยังคงเป็นรหัสผ่านยอดนิยมประจำปี 2014 ต่อเนื่องอีกปี

By arjin Writer on Tag: Security, Password

บริษัทผู้พัฒนาซอฟต์แวร์จัดการรหัสผ่าน SplashData เปิดเผยรหัสผ่านยอดนิยมประจำปี 2014 โดยอาศัยข้อมูลจากรหัสผ่านที่หลุดออกมาจำนวน 3.3 ล้านรหัสในช่วงปีที่ผ่านมา

สำหรับรหัสผ่านยอดนิยมอันดับหนึ่งในปีนี้ยังเหมือนเดิมคือ "123456" ตามมาด้วย "password" ในอันดับที่สอง

SplashData ยังให้ข้อมูลเพิ่มเติมว่าเว็บไซต์ปัจจุบันมักบังคับให้ใช้รหัสผ่านที่ผสมทั้งตัวเลขและตัวอักษร จึงมีผู้ใช้หลายคนตั้งรหัสผ่านด้วยลำดับตำแหน่งบนคีย์บอร์ด ซึ่งก็ควรหลีกเลี่ยงเช่นกันอย่าง "1qaz2wsx"

รหัสผ่านยอดนิยม 25 อันดับแรกดูได้ท้ายข่าวครับ

Read more

พบ Micromax บางรุ่นมากับตัวอัพเดต OTA ที่สามารถรีโมตติดตั้งแอพและปล่อยโฆษณาบนมือถือได้

By nuntawat Writer on Tag: Security, Micromax
Security

XDA Developers เผยว่ามือถือ Micromax บางรุ่นมากับตัวอัพเดตเฟิร์มแวร์ OTA ที่ไม่ใช่ดีฟอลต์ของ Android แต่เป็นแอพที่ถูกพัฒนาโดยบริษัทสัญชาติจีนชื่อ Adups แทน โดยที่ผู้ใช้ไม่สามารถถอนการติดตั้งแอพที่ว่านี้ได้

จากการศึกษาของ XDA Developers พบว่า ตัวอัพเดตนี้ติดตั้งเฟิร์มแวร์ด้วยคำสั่ง command line ดังนั้นจึงไม่มีการแจ้งเตือนผู้ใช้ และด้วยคำสั่งแบบนี้จึงเป็นไปได้ที่ Micromax จะสามารถแอบติดตั้งแอพบนมือถือโดยที่ผู้ใช้ไม่รู้ตัว

Read more

อีกรอบ Google ปล่อยข้อมูลช่องโหว่ใหม่ของ Windows 7 และ 8.1 หลังครบเส้นตาย 90 วัน

By Bigta Contributor on Tag: Google, Security, Windows 7, Windows 8.1, Project Zero, Microsoft
Google

หลังจากที่ไม่กี่วันก่อน Google ได้เปิดเผยข้อมูลช่องโหว่ของ Windows 8.1 ตามกำหนดเงื่อนไขที่ตั้งไว้ว่าถ้าครบ 90 วันแล้วยังไม่มีแพตช์มาแก้ ล่าสุดเมื่อวันที่ 15 มกราคม ทาง Google ได้ปล่อยข้อมูลอีกช่องโหว่หนึ่งของ Windows 7 และ Windows 8.1 ออกมาเนื่องจากครบเงื่อนไขเวลา 90 วันแล้วอีกเช่นกัน

Read more

เว็บไซต์กว่า 19,000 แห่งในฝรั่งเศสโดนโจมตีหลังเหตุการณ์ยิงถล่ม Charlie Hebdo

By ตะโร่งโต้ง Writer on Tag: Security, Internet, France, Hacking, DDoS
Security

Arnaud Coustilliere หัวหน้าฝ่ายป้องกันตนเองทางไซเบอร์ของกองทัพฝรั่งเศสได้ออกมารายงานว่านับแต่เหตุการณ์ก่อการร้ายยิงผู้คนที่สำนักงานของ Charlie Hebdo เมื่อวันที่ 7 มกราคมเป็นต้นมา มีการโจมตีเว็บไซต์ในฝรั่งเศสกว่า 19,000 แห่ง

การโจมตีดังกล่าวใช้วิธี DDoS โดยเป้าหมายมีตั้งแต่เว็บไซต์หน่วยงานของกองทัพไปจนถึงเว็บไซต์ของร้านพิซซ่า โดยถึงตอนนี้พบว่าการโจมตีมาจากผู้ลงมือหลายกลุ่ม โดยบางส่วนเป็นกลุ่มแฮคเกอร์ชาวมุสลิมที่กองทัพฝรั่งเศสรู้จักดีอยู่แล้ว

Read more

ผู้อำนวยการฝ่ายวิจัย NSA ระบุ "น่าเสียใจที่เราไม่หยุดสนับสนุน Dual_EC_DRBG แต่เนิ่นๆ"

By lew Founder on Tag: Security, USA, NSA
Security

ประเด็นอื้อฉาวของมาตรฐานกระบวนการสร้างเลขสุ่ม Dual_EC_DRBG ที่พัฒนาโดย NSA เป็นหลักและมีช่องโหว่หากเลือกค่าคงที่ในมาตรฐานอย่างจงใจจะสามารถทำนายค่าสุ่มได้จากการสังเกตค่าสุ่มที่เพียงช่วงสั้นๆ ที่ผ่านมา NSA เงียบกับเรื่องนี้มาโดยตลอด ตอนนี้ Michael Wertheimer ผู้อำนวยการฝ่ายวิจัยของ NSA ก็ออกมาเขียนบทความถึงบทบาทของ NSA ในการออกมาตรฐานการเข้ารหัส

Read more

อดีตผู้สร้าง Cryptocat เปิดบริการใหม่ Peerio เข้ารหัสแบบ end-to-end

By lew Founder on Tag: Security, Cryptography
Security

บริการ Peerio บริการที่เน้นความปลอดภัยด้วยการเข้ารหัสแบบ end-to-end เปิดตัวแบบเบต้าให้คนทั่วไปสมัครใช้งานได้แล้วในวันนี้

ตัวบริการ Peerio เองจะเป็นลูกผสมระหว่างแชตและอีเมลโดยข้อความที่ส่งไปมามีหัวข้อและเนื้อหาแบบเดียวกับอีเมล ขณะเดียวกันก็สามารถส่งข้อความบรรทัดเดียวแบบแชตไปเลยได้ และที่สำคัญคือสามารถแนบไฟล์ไปได้สูงสุดถึง 400 เมกะไบต์

Read more

ไมโครซอฟท์ออกแพตช์อุดช่องโหว่ที่กูเกิลเปิดเผยตามกำหนด 90 วันแล้ว

By mk Founder on Tag: Google, Windows, Security, Microsoft
Google

ต่อจากกรณีปัญหา กูเกิลเผยช่องโหว่ความปลอดภัยที่ไมโครซอฟท์ยังไม่แพตช์แก้ วันนี้ไมโครซอฟท์ออกแพตช์เรียบร้อยแล้ว โดยรวมเป็นชุดแพตช์ประจำเดือนมกราคม 2015 ตามธรรมเนียมของไมโครซอฟท์ที่จะออกแพตช์เดือนละครั้ง

แพตช์ชุดนี้แก้ช่องโหว่รวมทั้งหมด 8 ตัว โดยมีช่องโหว่ที่กูเกิลเปิดเผยสองตัวคือ MS15-001 และ MS15-003 ที่ไมโครซอฟท์จัดความร้ายแรงเป็น Important ทั้งคู่ (ยังไม่ถึงขั้น Critical)

ในแพตช์ชุดนี้ยังมี MS15-002 ที่อุดช่องโหว่ร้ายแรง (Critical) โดยเป็นบั๊กเกี่ยวกับ Telnet บนวินโดวส์ด้วย

แอดมินทั้งหลายก็อัพเดตกันด่วนครับ

Read more

Google บอกจะไม่แก้ไขช่องโหว่ WebView ใน Android เวอร์ชัน 4.3 หรือต่ำกว่า

By Bigta Contributor on Tag: Google, Security, Android
Google

บริษัท Rapid7 ผู้พัฒนา Metasploit ได้เขียนบล็อกแจ้งเตือนผู้ใช้งานระบบปฏิบัติการ Android เวอร์ชัน 4.3 หรือต่ำกว่า ให้ระมัดระวังในการใช้งานแอปพลิเคชันที่มีการเรียกใช้คอมโพเนนต์ WebView เนื่องจากมีช่องโหว่ด้านความมั่นคงปลอดภัยหลายจุดและ Google บอกจะไม่แก้ไขช่องโหว่เหล่านี้แล้ว

Read more

Microsoft ไม่พอใจที่ Google เปิดเผยช่องโหว่ของ Windows ทั้งที่กำลังจะออกแพตช์มาแก้

By Bigta Contributor on Tag: Google, Security, Windows 8.1, Project Zero, Microsoft
Google

เมื่อวันที่ 11 มกราคมที่ผ่านมา Google ได้เปิดเผยช่องโหว่ของ Windows 8.1 ซึ่งช่องโหว่นี้มีผลให้ผู้ใช้ทั่วไปสามารถยกระดับสิทธิ์ตัวเองขึ้นมาเป็นผู้ดูแลระบบได้ ทาง Microsoft ได้ออกมาแสดงความไม่พอใจต่อการกระทำดังกล่าว โดยบอกว่าเป็นการสร้างความไม่ปลอดภัยให้กับผู้ใช้ ทั้งที่ Microsoft จะปล่อยแพตช์มาแก้ปัญหาดังกล่าวในวันที่ 13 มกราคมที่จะถึงนี้อยู่แล้ว

Read more
Subscribe to Security