Security

Microsoft ไม่พอใจที่ Google เปิดเผยช่องโหว่ของ Windows ทั้งที่กำลังจะออกแพตช์มาแก้

By Bigta

on 12 January 2015 - 22:04 Tag: Google, Security, Windows 8.1, Project Zero, Microsoft

Google

เมื่อวันที่ 11 มกราคมที่ผ่านมา Google ได้เปิดเผยช่องโหว่ของ Windows 8.1 ซึ่งช่องโหว่นี้มีผลให้ผู้ใช้ทั่วไปสามารถยกระดับสิทธิ์ตัวเองขึ้นมาเป็นผู้ดูแลระบบได้ ทาง Microsoft ได้ออกมาแสดงความไม่พอใจต่อการกระทำดังกล่าว โดยบอกว่าเป็นการสร้างความไม่ปลอดภัยให้กับผู้ใช้ ทั้งที่ Microsoft จะปล่อยแพตช์มาแก้ปัญหาดังกล่าวในวันที่ 13 มกราคมที่จะถึงนี้อยู่แล้ว

เปิดรายละเอียดโครงการ Let's Encrypt ระบบอัตโนมัติทั้งหมด ให้บริการจริงมิถุนายนนี้

By lew

on 7 January 2015 - 12:50 Tag: Security, EFF, HTTPS, CCC

Security

Seth Schoen จาก EFF บรรยายรายละเอียดของโครงการ Let's Encrypt ที่งาน 31C3 เตรียมให้บริการเดือนมิถุนายนนี้

โครงการ Let's Encrypt ตั้งใจจะทำให้กระบวนการเข้ารหัสเว็บกลายเป็นกระบวนการอัตโนมัติทั้งหมด โดยผู้ใช้สามารถติดตั้งแพ็กเกจ lets-encrypt แล้วสั่งรันเพื่อขอใบรับรองและเริ่มเข้ารหัสได้ทันที

เราเตอร์จำนวนมากใช้เว็บเซิร์ฟเวอร์มีบั๊กตั้งแต่ปี 2002 ในไทยยังระบาดเป็นวงกว้าง

By lew

on 7 January 2015 - 02:06 Tag: Security, CCC

Security

ที่งาน 31C3 นักวิจัย Lior Oppenheim และ Shahar Tal นำเสนองานวิจัยช่องโหว่ของเว็บเซิร์ฟเวอร์ RomPager 4.07 ที่วางตลาดมาตั้งแต่ปี 2002 ทำให้แฮกเกอร์สามารถข้ามระบบล็อกอินของเราเตอร์จำนวนมาก

ทีมงานสแกน HTTP บนพอร์ต 7547 ที่ใช้ในมาตรฐาน TR-069 และพบว่ามีไอพีถึง 1.18% หรือมากกว่า 46 ล้านไอพี ที่ฟัง HTTP บนพอร์ตนี้ และเว็บเซิร์ฟเวอร์ที่ให้บริการบนพอร์ตนี้ถึง 52% เป็นเซิร์ฟเวอร์ RomPager เกือบทั้งหมดเป็นรุ่น 4.07 (98.04%)

Gogo ส่งใบรับรองปลอมสำหรับกูเกิลให้ลูกค้า

By lew

on 6 January 2015 - 11:46 Tag: Security, Privacy, HTTPS, Gogo

Security

Gogo ผู้ให้บริการอินเทอร์เน็ตบนเครื่องบินเริ่มปล่อยใบรับรองสำหรับโดเมน *.google.com ปลอมให้ลูกค้าโดยระบุว่าต้องปลอมใบรับรองนี้เพื่อ "บังคับใช้นโยบาย" โดยไม่ได้ตั้งใจจะละเมิดความเป็นส่วนตัวของผู้ใช้แต่อย่างใด

ทาง Gogo ออกแถลงการณ์ระบุว่าจำเป็นต้องใช้กระบวนการนี้เพื่อจะจำกัดการใช้งานและการสตรีมวิดีโอ โดยซื้อระบบจัดการที่มีขายสำเร็จรูปในตลาด และบังคับใช้แนวทางนี้กับเว็บวิดีโอที่เข้ารหัสบางส่วนเท่านั้น โดยไม่ได้เข้าดักฟังเว็บอื่นๆ ที่เข้ารหัสแต่อย่างใด

อินเทลเปิดตัว True Key บริการจัดเก็บรหัสผ่าน ปลดล็อคด้วยใบหน้า

By mk

on 6 January 2015 - 10:36 Tag: Security, Intel, Password

Security

หลังอินเทลซื้อแอพจัดการรหัสผ่าน PasswordBox ได้ไม่นาน ในที่สุดอินเทลก็เปิดตัวบริการใหม่ True Key ที่รวมเอาเทคโนโลยีของ PasswordBox กับ Intel Security ไว้ด้วยกัน

แนวคิดของ True Key คือเก็บรหัสผ่านของบริการทุกตัวไว้ที่แอพเดียวเหมือน PasswordBox แต่แทนที่จะใช้รหัสผ่านหลัก (master password) คอยคุ้มครองคลังรหัสผ่านเพียงอย่างเดียว ก็เปลี่ยนมาใช้วิธีการอื่นๆ เช่น การแยกแยะใบหน้า หรือการใช้อุปกรณ์อื่นๆ ช่วยยืนยันตัวตนอีกชั้นหนึ่ง

แฮกเกอร์สาธิตการติดตามเหยื่อและดักฟังได้จากหมายเลขโทรศัพท์อย่างเดียว

By lew

on 5 January 2015 - 12:51 Tag: Security, GSM, UMTS, CCC

Security

ที่งาน 31C3 Tobias Engel แฮกเกอร์ขึ้นเวทีอธิบายกระบวนการติดตามเจ้าของหมายเลขจากที่ใดก็ได้ในโลก โดยต้องการเพียงหมายเลขโทรศัพท์เท่านั้น

Engel ระบุว่างานวิจัยนี้ได้แรงบัลดาลใจมาจากนักข่าวรายหนึ่งที่ถามว่า บริษัท Verint มีสินค้าเครื่องติดตามคนโดยอาศัยเพียงหมายเลขโทรศัพท์ได้อย่างไร ทำให้ Engel เข้าไปดูโปรโตคอล SS7 ที่เข้าสอบถามที่อยู่ของหมายเลขต่างๆ ได้ทั่วโลก โดยไม่ต้องยืนยันตัวตนของผู้ที่สอบถามข้อมูล

นักวิจัยจากกูเกิลแจ้งเตือนช่องโหว่อันตรายกระทบ Windows 8.1

By pe3z

on 4 January 2015 - 18:50 Tag: Windows, Security

Windows

นักวิจัยด้านความปลอดภัยจากกูเกิล James Forshaw ได้ประกาศการค้นพบช่องโหว่ทางด้านความปลอดภัยบน Windows 8.1 ซึ่งอนุญาตให้ผู้โจมตีสามารถยกระดับสิทธิ์ของผู้ใช้เพื่อแก้ไขและควบคุมระบบได้ ช่องโหว่นี้ได้รับการค้นพบตั้งแต่ช่วงเดือนกันยายนและมีการเผยแพร่โค้ดที่ใช้ในการโจมตี (PoC — Proof of Concept program) ในวันพุธที่ผ่านมา

สำหรับ PoC ที่ใช้ในการทดสอบกับช่องโหว่ดังกล่าวได้มีการทดสอบทั้งบน Windows 8.1 แบบ 32-bit และ 64-bit ซึ่งพบว่าสามารถทำงานได้ในทั้งสองรุ่น ส่วน Windows 7 และเวอร์ชันก่อนหน้านี้นั้นยังไม่มีการยืนยันว่าสามารถโจมตีได้หรือไม่

พบสปายแวร์ในไดรฟ์ USB ของเจ้าหน้าที่ผู้ใกล้ชิดนายกรัฐมนตรีเยอรมนี

By nrad6949

on 1 January 2015 - 01:25 Tag: Security, Germany, Government

Security

มีรายงานข่าวจากสำนักข่าว Deutsche Welle ของเยอรมนี ที่อ้างหนังสือพิมพ์ในท้องถิ่นอีกทีหนึ่งว่า มีการตรวจพบสปายแวร์ในไดรฟ์ USB ของเจ้าหน้าที่ระดับสูงผู้ทำงานใกล้ชิดกับนายกรัฐมนตรีของเยอรมนี Angela Merkel ซึ่งเป็นสปายแวร์ที่มีชื่อว่า "Regin" ที่มีความสลับซับซ้อนในการทำงาน

ระวัง! แค่มีภาพถ่ายที่เห็นนิ้ว แฮคเกอร์ก็ปลอมลายนิ้วมือได้แล้ว

By ตะโร่งโต้ง

on 30 December 2014 - 04:23 Tag: Security, Hacking, CCC, Authentication, Fingerprint

Security

Chaos Computer Club หรือที่บางคนเรียกด้วยชื่อย่อว่า CCC คือสมาพันธ์แฮคเกอร์ที่ใหญ่ที่สุดในยุโรป ได้จัดงานสัมมนา "31c3" ซึ่งว่าด้วยเรื่องความปลอดภัยของระบบไอทีขึ้นใน Hamburg ประเทศเยอรมนี และในงานดังกล่าวมีการบรรยายว่าด้วยเรื่องการปลอมลายนิ้วมือโดยอาศัยข้อมูลที่ได้จากภาพถ่ายเท่านั้น

Steven Sinofsky: โมเดลความปลอดภัยแบบใหม่ เราเรียนรู้อะไรจากการแฮ็ก Sony Pictures

By mk

on 29 December 2014 - 15:46 Tag: Security, Enterprise, Sony Pictures, Steven Sinofsky

Security

Steven Sinofsky อดีตผู้บริหารของไมโครซอฟท์ (หัวหน้าทีม Windows 7-8, ลาออกจากไมโครซอฟท์ในปี 2012) และปัจจุบันมาอยู่กับบริษัทลงทุน Andreessen Horowitz เขียนบล็อกแสดงความเห็นเกี่ยวกับกรณีการแฮ็กระบบ Sony Pictures ในมิติเรื่อง "ความปลอดภัย" ของระบบคอมพิวเตอร์ที่ต่างยุคสมัยกัน ผมเห็นว่ามีประเด็นน่าสนใจจึงนำเนื้อหาบางส่วนมาสรุปนะครับ (แนะนำให้อ่านต้นฉบับด้วย)

ทีม S31176 ของ NSA ทำหน้าที่เจาะ VPN, SSH, และ HTTPS โดยเฉพาะ

By lew

on 29 December 2014 - 12:43 Tag: Security, NSA, VPN, Edward Snowden

Security

การเข้ารหัสเป็นข้อจำกัดของ NSA มานาน เอกสารที่เปิดเผยออกมาโดย Edward Snowden ก่อนหน้านี้มักแสดงความพยายามของ NSA ที่จะหลบหลีกการเข้ารหัส เช่น ดักฟังการเชื่อมต่อระหว่างเซิร์ฟเวอร์ที่ก่อนหน้านี้ไม่เข้ารหัส แต่เอกสารล่าสุดแสดงว่า NSA ยังมีอีกทีมหนึ่งที่ช่วยถอดรหัสให้กับฝ่ายอื่นๆ ที่ต้องการได้ ชื่อทีมว่า S31176

แฮคเกอร์ Anonymous ปล่อยข้อมูลรหัสผ่านหลายบริการพร้อมเลขบัตรเครดิตจำนวนมาก

By ตะโร่งโต้ง

on 29 December 2014 - 02:27 Tag: Security, Hacking, Sony Pictures, Anonymous

Security

บัญชี Twitter ที่มีชื่อว่า @AnonymousGlobo ซึ่งอ้างตัวว่าเป็นตัวแทนกลุ่มแฮคเกอร์ Anonymous ได้ทวีตข้อความพร้อมลิงก์เผยแพร่ข้อมูลหลายอย่างที่ถูกแฮคมา ทั้งบัญชีผู้ใช้พร้อมรหัสผ่านของบริการจากหลายบริษัท รวมถึงเลขบัตรเครดิตของผู้ใช้ราว 13,000 คน

Dashlane, LastPass ออกฟีเจอร์กดปุ่มเดียว เปลี่ยนรหัสผ่านแทบทุกเว็บไซต์

By mk

on 28 December 2014 - 09:56 Tag: Security, LastPass, Password Manager, Password, Dashlane

Security

ปัจจุบันมีแอพช่วยจัดการรหัสผ่าน (password manager) ให้เลือกใช้หลายตัว แอพที่ชื่อดังหน่อยคือ LastPass และ 1Password แต่ก็ยังมีแอพทางเลือกอื่นๆ เช่น KeePass และ Dashlane ด้วย

ล่าสุดสมรภูมินี้เริ่มร้อนระอุ เมื่อ Dashlane เปิดตัวฟีเจอร์ Password Changer ที่ช่วยให้เรากดปุ่มเดียว เปลี่ยนรหัสผ่านของเว็บไซต์และบริการต่างๆ มากกว่า 50 แห่ง (ซึ่งครอบคลุมเว็บใหญ่ๆ แทบทั้งหมด ไม่ว่าจะเป็น Google, Facebook, Amazon, Apple, LinkedIn, PayPal - รายชื่อทั้งหมด)

สัมภาษณ์ Omise บริษัท Payment Gateway ที่ได้รับรอง PCI-DSS 3.0 รายแรกในไทย

By lew

on 25 December 2014 - 15:24 Tag: Security, Interview, Information Security

Security

อุปสรรคใหญ่ในการทำการค้าออนไลน์ของเมืองไทยอย่างหนึ่งที่ทุกคนเจอกันคือการรับจ่ายเงินที่ยังทำได้ยาก การค้าออนไลน์จำนวนมากทุกวันนี้ยังอาศัยการโอนเงินแบบตัวต่อตัว ทำให้ไม่มีกระบวนการคืนเงิน เรายังคงได้ยินข่าวการหลอกลวงทั้งลูกค้าถูกพ่อค้าแม่ค้าหลอกลวง หรือฝั่งพ่อค้าแม่ค้าเองที่ถูกลูกค้าหลอกว่าโอนเงินแล้ว

แอปเปิลปล่อยแพตช์แบบอัตโนมัติครั้งแรก แก้บั๊ก ntpd

By lew

on 24 December 2014 - 01:32 Tag: Apple, Security, OS X

Apple

บั๊กร้ายแรงใน ntpd ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันบนเครื่องได้รายงานเมื่อสัปดาห์ที่แล้ว ตอนนี้มันกลายเป็นบั๊กแรกที่แอปเปิลตัดสินใจอัพเดตแบบอัตโนมัติ โดยไม่ต้องรอการอนุมัติจากผู้ใช้

การอัพเดตปกติของ OS X ต้องให้ผู้ใช้อนุมัติการอัพเดต แต่การอัพเดตครั้งนี้แทบไม่มีผลใดๆ ต่อผู้ใช้ โดยไม่ต้องรีสตาร์ทเครื่องแต่อย่างใด

แอปเปิลใส่ฟีเจอร์อัพเดตแบบไม่ต้องขออนุมัติเช่นนี้ไว้ใน OS X มาสองปีแล้ว แต่ครั้งนี้เป็นการใช้งานครั้งแรก

กูเกิลแจ้งเตือนบั๊กร้ายแรงสูงใน ntpd รุ่นก่อน 4.2.8 ควรรีบอัพเดต

By lew

on 22 December 2014 - 21:59 Tag: Open Source, Security

Open Source

ทีมความปลอดภัยของกูเกิลแจ้งบั๊กใน ntpd รุ่นก่อนหน้า 4.2.8 (ที่เพิ่งออกมาเมื่อวันที่ 19 ธันวาคมที่ผ่านมา) ทุกรุ่น มีบั๊กความปลอดภัยสำคัญคือแฮกเกอร์สามารถยิงโค้ดเข้ามารันในเครื่องที่รัน ntpd อยู่ได้

ICS-CERT ไม่ได้ให้รายละเอียดของบั๊กทั้งหมด โดยการแจ้งเตือนแจ้งเป็นกลุ่มของบั๊ก ได้แก่

BlackBerry และ Boeing กำลังร่วมมือกันสร้างโซลูชันด้านความปลอดภัยสำหรับสมาร์ทโฟน

By nrad6949

on 21 December 2014 - 22:35 Tag: Security, Boeing, BlackBerry, Mobile

Security

ข่าวสั้นทันโลกครับ สำนักข่าว Reuters รายงานว่า John Chen ซีอีโอของ BlackBerry บริษัทผลิตสมาร์ทโฟนและผลิตภัณฑ์ในระดับองค์กรจากแคนาดา เปิดเผยข้อมูลระหว่างการแถลงข่าวและประชุมกับนักวิเคราะห์ถึงผลประกอบการไตรมาสล่าสุดของบริษัทว่า ทาง BlackBerry กำลังมีความร่วมมือกับ Boeing บริษัทผู้ผลิตเครื่องบินและอาวุธจากอเมริกา เพื่อสร้างโซลูชันด้านความปลอดภัยสำหรับสมาร์ทโฟนที่ใช้ระบบปฏิบัติการแอนดรอยด์ ที่ใช้งานกับโซลูชั่น BES 12 ของทางบริษัท แต่ยังไม่ได้ระบุว่าจะเป็นอะไร

FBI ฟันธง เกาหลีเหนืออยู่เบื้องหลังการแฮ็กระบบ Sony Pictures

By mk

on 20 December 2014 - 08:46 Tag: Security, Hacking, FBI, North Korea, Sony Pictures

Security

สำนักงานสอบสวนกลางของสหรัฐหรือ FBI ออกมาแถลงข้อมูลเรื่องการแฮ็กระบบของ Sony Pictures ที่ได้ขอความช่วยเหลือจาก FBI เข้าไปช่วยตรวจสอบหลังเกิดเหตุ

FBI ฟันธงว่า__รัฐบาลเกาหลีเหนือ__อยู่เบื้องหลังการแฮ็กครั้งนี้ โดยมีหลักฐานบ่งชี้ 3 ประเด็นคือ

[ข่าวยังไม่เป็นทางการ] เจ้าหน้าที่สหรัฐประเมิน การแฮ็ก Sony Pictures มีต้นทางจากเกาหลีเหนือ

By mk

on 19 December 2014 - 22:33 Tag: Security, Sony, Hacking, North Korea, Rumor

Security

ความคืบหน้าล่าสุดของกรณีแฮ็ก Sony Pictures คือสำนักข่าว Reuters อ้างข้อมูลจาก "เจ้าหน้าที่" ของรัฐบาลสหรัฐว่าต้นทางของการแฮ็กมาจากเกาหลีเหนือ ตามที่เคยพูดกันก่อนหน้านี้ และอาจมีความเกี่ยวข้องกับแฮ็กเกอร์ในจีนด้วย โดยยังไม่ชัดเจนว่ามีคนของจีนมาเกี่ยวข้อง หรือเป็นแค่การใช้เซิร์ฟเวอร์จากจีนเพื่อพรางตัว

รัฐบาลสหรัฐโดยประธานาธิบดีบารัค โอบามา จะแถลงเรื่องนี้อย่างเป็นทางการคืนนี้ ถ้ามีรายละเอียดจะมาอัพเดตต่อไปครับ

พบช่องโหว่ร้ายแรงในไคลเอนต์ Git ผู้ใช้บน OS X และวินโดวส์ควรอัพเดตโดยเร็ว

By lew

on 19 December 2014 - 08:15 Tag: Security, Git

Security

ช่องโหว่บนไคลเอนต์ของ Git หลายตัวบน OS X และวินโดวส์ทำให้การโคลนจาก repository ที่มุ่งร้ายสามารถรันโค้ดบนเครื่องของเหยื่อได้ ตอนนี้มีผลกับ OS X และวินโดวส์เท่านั้น เนื่องจากใช้ระบบไฟล์ที่ไม่สนใจตัวใหญ่หรือตัวเล็กในภาษาอังกฤษและการแปลงค่า unicode

ช่องโหว่นี้อาศัยการโคลนโฟลเดอร์ .Git (G ตัวใหญ่) ทำให้บนระบบไฟล์ที่ไม่สนตัวใหญ่ตัวเล็กจะวางโฟลเดอร์ทับโฟลเดอร์เดิมของ Git ไป อีกส่วนหนึ่งคือแนวทางการแปลง unicode ของระบบไฟล์ HFS+ ที่ไม่สนใจ unicode บางตัว ทำให้แฮกเกอร์สามารถสร้างโฟลเดอร์เช่น .g\u200cit แล้วยังวางไฟล์ทับโฟลเดอร์ .git อยู่ดี

Subscribe to Security