Security

New York Times ชวนสำนักข่าวทุกสำนัก เปิด HTTPS ภายในปี 2015 ตอบรับด้วย #https2015

By lew

on 14 November 2014 - 09:30 Tag: Security, Privacy, SSL, HTTPS

Security

Eitan Konigsburg วิศวกรซอฟต์แวร์ของ New York Times ออกมาเขียนบล็อกถึงประเด็นความเป็นส่วนตัวของผู้อ่านว่ามีความสำคัญมากขึ้นเรื่อยๆ จากการโจมตีรูปแบบต่างๆ ตั้งแต่การติดตามผู้ใช้ทำให้เสียความเป็นส่วนตัว ไปจนถึงการเปลี่ยนข้อมูลบนเว็บข่าว นอกจากนี้อุปสรรคที่เคยทำให้การวางเซิร์ฟเวอร์ที่เป็น HTTPS ก็เริ่มลดลงไป ทาง New York Times จึงชวนให้สำนักข่าวและทุกเว็บไซต์หันมาให้บริการบน HTTPS เต็มรูปแบบภายในปี 2015 หากใครรับคำท้าก็ให้ทวีตใส่แฮชแท็ก #https2015

อัพเดตกันด่วน ไมโครซอฟท์ออกแพตช์ชุดใหญ่ พบช่องโหว่เก่าตั้งแต่ Windows 95

By mk

on 12 November 2014 - 20:58 Tag: Windows, Security, Microsoft

Windows

ไมโครซอฟท์ออกแพตช์ความปลอดภัยประจำเดือนพฤศจิกายนจำนวน 16 ตัว โดยเป็นช่องโหว่ระดับ "ร้ายแรง" (critical) จำนวน 4 ตัว

Kaspersky รายงานมัลแวร์ Darkhotel เจาะระบบลูกค้าโรงแรมอย่างเจาะจง

By lew

on 12 November 2014 - 06:36 Tag: Security, Malware, Kaspersky

Security

Kaspersky ออกรายงานการโจมตีเครือข่าย Wi-Fi ของโรงแรมหลายแห่ง โดยพยายามติดตั้งมัลแวร์ลงในเครื่องของเหยื่อด้วยการดาวน์โหลดอัพเดตปลอมที่อ้างว่าเป็นอัพเดตของ GoogleToolbar, Adobe Flash, หรือ Windows Messenger

ความพิเศษของ Darkhotel คือการเลือกเหยื่อมีการเลือกอย่างเจาะจงไม่ใช่การหว่านแหทั่วไป เหยื่อที่ถูกติดตามเมื่อพยายามล็อกอินเพื่อเข้าใช้งาน Wi-Fi จะได้รับ iframe พิเศษเพื่อล่อให้ติดตั้งซอฟต์แวร์ ขณะที่ระบบตรวจสอบไม่สามารถล่อให้ Darkhotel แสดง iframe เหมือนที่แสดงกับเหยื่อได้ แม้จะยังสรุปแน่ชัดไม่ได้แต่ทีมงาน Kaspersky ระบุว่ามันบ่งชี้ว่ามีการใช้ข้อมูลการเช็คอินโรงแรมเพื่อเลือกเหยื่อ

ผู้ใช้ iOS พึงระวัง Masque Attack หากโดนหลอกให้ลงแอพแล้วอาจถูกล้วงทุกอย่างใน iPhone

By ตะโร่งโต้ง

on 11 November 2014 - 03:16 Tag: Security, Information Security, iOS

Security

ผู้ใช้ iOS พึงระวังการหลอกล่อให้ติดตั้งมัลแวร์ ซึ่งมันอาจอาศัยช่องโหว่ที่ชื่อ Masque Attack และติดตั้งตัวเองแบบเนียนๆ (ทำได้ทั้งวิธีการผ่านช่องทาง USB และการเชื่อมต่อแบบไร้สาย) เพื่อทำการสูบเอาทุกสิ่งทุกอย่างใน iPhone ไปให้ผู้ไม่หวังดีได้

Home Depot โบ้ยเพราะ Windows ทำให้ข้อมูลบัตรเครดิตลูกค้า 56 ล้านคนโดนแฮค

By ตะโร่งโต้ง

on 10 November 2014 - 19:40 Tag: Windows, Security

Windows

เมื่อไม่กี่วันที่ผ่านมา Home Depot บริษัทเจ้าของห้างค้าปลีกเครื่องมือและวัสดุก่อสร้างรายใหญ่โดนแฮคข้อมูลเลขบัตรเครดิตของลูกค้ากว่า 56 ล้านราย รวมทั้งอีเมลแอดเดรสของลูกค้าอีก 53 ล้านคน ซึ่งทาง Home Depot ได้ออกมาเผยว่าช่องโหว่ที่ถูกเจาะนั้นมาจากระบบปฏิบัติการ Windows

[ไม่ยืนยัน] บัญชีสมาชิก HHonors ของโรงแรมเครือ Hilton ถูกเจาะ สมาชิกบางคนแต้มหาย

By nrad6949

on 8 November 2014 - 17:28 Tag: Security, Lifestyle, Hotel, Hilton

Security

เว็บไซต์ Krebs on Security ซึ่งเป็นเว็บไซต์รายงานข่าวด้านความปลอดภัยเชิงลึก ออกมาระบุว่ามีความเป็นไปได้ที่บัญชีของสมาชิก HHonors ซึ่งเป็นโปรแกรมสะสมแต้มสำหรับการเข้าพักของเครือโรงแรม Hilton (ประกอบไปด้วย Hilton, Conrad, Double Tree และอื่นๆ) ถูกเจาะ โดยมีรายงานจากหนึ่งในสมาชิกที่ระบุว่าแต้มของตนเองนั้น "หาย" ไปกว่า 250,000 แต้ม

ผอ. NSA ยืนยัน แจ้งช่องโหว่ "เกือบ" ทั้งหมดให้กับผู้ผลิต

By lew

on 6 November 2014 - 20:23 Tag: Security, NSA, Government

Security

Mike Rogers ผู้อำนวยการ NSA ที่เพิ่งรับตำแหน่งเมื่อเดือนเมษายนที่ผ่านมาไปพูดที่มหาวิทยาลัยสแตนฟอร์ดในประเด็นที่ NSA ใช้ช่องโหว่ซอฟต์แวร์เพื่อเจาะเอาข่าวกรอง (มีหลายโครงการ แต่โครงการที่ใช้แนวทางนี้โดยเฉพาะคือ FOXACID)

EFF ทดสอบความปลอดภัยแอพแชท, FaceTime/iMessage ได้คะแนนดีสุดในกลุ่มแอพยอดฮิต

By mk

on 6 November 2014 - 10:04 Tag: Security, Privacy, Instant Messenger, EFF, FaceTime, iMessage

Security

Electronic Frontier Foundation (EFF) ออกรายงานเปรียบเทียบความปลอดภัยของแอพแชทในท้องตลาดเกือบ 40 ตัว ว่ามีความปลอดภัยของข้อมูลผู้ใช้มากน้อยแค่ไหน โดยแบ่งการทดสอบออกเป็น 7 ส่วน

Palo Alto Networks พบมัลแวร์ WireLurker ติดได้ทั้ง OS X และ iOS

By nrad6949

on 6 November 2014 - 08:51 Tag: Apple, Security, iOS, OS X

Apple

แม้ที่ผ่านมา OS X และ iOS มักจะได้รับการยกย่องถึงเรื่องความปลอดภัยอยู่เสมอ แต่ล่าสุดบริษัทวิจัยด้านความปลอดภัย Palo Alto Networks ออกมาตรวจพบมัลแวร์ตัวล่าสุดที่เรียกว่า "WireLurker" ซึ่งโจมตีทั้งระบบปฏิบัติการ OS X และ iOS โดยระบุว่าเกิดขึ้นแล้วตลอดระยะเวลา 6 เดือนที่ผ่านมา

กูเกิลปล่อย nogotofail, เครื่องมือทดสอบความปลอดภัย TLS/SSL

By lew

on 5 November 2014 - 00:36 Tag: Google, Security, TLS

Google

กูเกิลโดยทีมแอนดรอยด์ปล่อยชุดทดสอบการเชื่อมต่อแบบ TLS/SSL ว่าปลอดภัยต่อช่องโหว่ที่รู้กันดีหรือไม่ ใช้ชื่อชุดทดสอบว่า nogotofail ล้อเลียนบั๊ก goto fail; ใน iOS เมื่อต้นปีนี้

nogotofail จะทดสอบช่องโหว่ TLS/SSL ที่พบบ่อยได้แก่ การไม่ตรวจสอบใบรับรอง, บั๊กต่างๆ ของไลบรารี HTTPS/TLS/SSL, SSL stripping, STARTTLS, และปัญหาอื่นๆ

LastPass เปิดไคลเอนต์แบบ command line โอเพนซอร์ส

By lew

on 3 November 2014 - 10:02 Tag: Security, LastPass, Password

Security

LastPass บริการเก็บรหัสผ่านชื่อดังเปิดไคลเอนต์สำหรับดึงรหัสผ่านมาใช้งานเป็น command line รองรับทั้งลินุกซ์, แมค, และวินโดวส์ (ผ่าน Cygwin)

คำสั่งแบบนี้ทำให้ผู้ดูแลระบบสามารถดูแลรหัสผ่านเป็นกระบวนการอัตโนมัติได้ง่ายขึ้น ตัวอย่างที่ LastPass แนะนำมาคือการเขียนสคริปต์เปลี่ยนรหัสผ่าน SSH ทุกวันแล้วเก็บรหัสผ่านขึ้น LastPass

ตัวไคลเอนต์เขียนด้วยภาษา C เปิดให้ดาวน์โหลดบน GitHub

ที่มา - LastPass

360 Browser แก้ไขกรณีมีเซิร์ฟเวอร์คั่นกลาง iCloud ในจีน

By lew

on 1 November 2014 - 09:54 Tag: Security, Browser, China

Security

หลังจากเกิดเหตุการณ์มีคนตั้งเซิร์ฟเวอร์คั่นกลางการเชื่อมต่อ iCloud ในจีน คนที่ถูกจับตามองคือ 360 Browser ที่รายงานของ GreatFire.org ระบุว่าแสดงหน้าเว็บทันทีแม้จะมีใบรับรองที่ไม่ถูกต้อง และตอนนี้ทาง 360 ก็ออกมาระบุว่าแก้ไขปัญหานี้ไปแล้ว

Drupal ประกาศช่องโหว่ร้ายแรง เว็บไซต์จำนวนมากเสี่ยงโดน SQL Injection

By mk

on 31 October 2014 - 22:41 Tag: Security, Drupal

Security

เมื่อวันที่ 15 ตุลาคมที่ผ่านมา Drupal ประกาศช่องโหว่ร้ายแรงหมายเลข SA-CORE-2014-005 ที่ทำให้ระบบโดน SQL injection ได้ และรีบออก Drupal 7.32 มาแก้ไข

อย่างไรก็ตาม แฮ็กเกอร์ไม่พลาดโอกาสนี้ และรีบสแกนหาเว็บที่ยังไม่อัพเดตแพตช์อย่างรวดเร็ว คล้อยหลังการประกาศแพตช์เพียงแค่ 7 ชั่วโมงเท่านั้น ผลคือเว็บ Drupal 7 ที่อัพเดตเป็น 7.32 ไม่ทันในช่วงเวลา 7 ชั่วโมงนี้ มีความเสี่ยงสูงที่จะโดนแฮ็กไปเรียบร้อยแล้ว

กูเกิลประกาศแผนปิดการใช้งาน SSLv3 ใน Chrome 39, เตรียมเลิกซัพพอร์ตใน Chrome 40

By lew

on 31 October 2014 - 06:46 Tag: Security, Chrome

Security

ปัญหาช่องโหว่ POODLE ในโปรโตคอล SSLv3 ทำให้มีทางแก้เดียวคือการเปลี่ยนไปใช้ TLS 1.0 ขึ้นไปเท่านั้น ตอนนี้ทาง Chrome ก็ออกมาประกาศแล้วว่าใน Chrome 39 ที่กำลังจะออกเร็วๆ นี้จะปิดการใช้งาน SSLv3 เป็นค่าเริ่มต้น

กูเกิลให้เวลาเว็บต่างๆ ที่ยังต้องใช้เวลาปรับตัวอีกสองเวอร์ชั่น โดยใน Chrome 39 ทุกเว็บที่มีการเชื่อมต่อเป็น SSLv3 (แม้จะเป็นภาพใดภาพหนึ่งในเว็บ) ไอคอนหน้า URL จะกลายเป็นไอคอนเตือนสีเหลืองว่ามีข้อผิดพลาด ส่วนใน Chrome 40 จะไม่สามารถเข้าใช้งานได้เลย

เคราะห์ซ้ำกรรมซัด CurrentC โดนแฮกอีเมลลูกค้าบางส่วน

By Be1con

on 30 October 2014 - 00:08 Tag: Security, Hacking, Mobile Payment, MCX

Security

จากกระแสที่ร้านค้ารายใหญ่ต่าง ๆ ในสหรัฐฯ ปิดช่องทางการชำระเงินผ่านทาง NFC เพื่อเปิดทางให้ CurrentC ของ MCX ซึ่งเป็นบริการการชำระเงินซึ่งเป็นคู่แข่งโดยตรงของ Apple Pay และบริการการชำระเงินอื่น ๆ จนส่งผลไปให้ผู้ใช้รวมกลุ่มกันเพื่อคว่ำบาตรร้านค้าเหล่านั้น รวมไปถึงมีการตอบโต้ระหว่าง Walmart (ซึ่งเกาะกลุ่มกับ MCX) กับแอปเปิล

รวมฟีเจอร์ความปลอดภัยของ Android 5.0 - เพิ่มวิธีปลดล็อคเครื่อง, เข้ารหัสข้อมูลทั้งเครื่อง

By mk

on 29 October 2014 - 08:41 Tag: Security, Android, Lollipop

Security

เว็บไซต์ Computerworld มีโอกาสคุยกับ Adrian Ludwig หัวหน้าทีมวิศวกรรมความปลอดภัยของ Android เกี่ยวกับฟีเจอร์ด้านความปลอดภัยที่เพิ่มเข้ามาใน Android 5.0 Lollipop ดังนี้

นักวิจัยความปลอดภัยเตือน Find My Mobile ของซัมซุงมีช่องโหว่ ข้อมูลผู้ใช้อาจหลุดได้

By LazarusSP1

on 28 October 2014 - 22:02 Tag: Security, Samsung, Hacking, NIST, Mobile

Security

ทาง NIST (National Institute of Standards and Technology) ได้ออกมาเตือนผู้ใช้โทรศัพท์เคลื่อนที่ซัมซุงที่มีบริการ Find My Mobile ถึงช่องโหว่ระดับร้ายแรง ผ่านการ Cross-Site Request Forgery (CSRF) เพื่อหลอกเครื่องโทรศัพท์เป้าหมายว่าผู้ใช้ตัวจริงได้คำสั่งล็อกเครื่องมาจากเว็บไซต์ Find My Mobile และส่งชุดคำสั่งไปทำงานยังเครื่องเป้าหมายโดยปลอมการยืนยันตัวตน

นักวิจัยจากอินเทลเตรียมประกาศรายละเอียดช่องโหว่ระบบเข้ารหัสของไฟร์ฟอกซ์

By lew

on 28 October 2014 - 19:24 Tag: Security, Intel, Firefox

Security

นักวิจัยของอินเทลสองคนเตรียมประกาศรายละเอียดบั๊กในไลบรารี NSS ของไฟร์ฟอกซ์ที่ทำให้ระบบตรวจสอบใบรับรองผิดพลาด และส่งผลให้แฮกเกอร์สามารถดักการสื่อสารได้ในที่สุด

รายละเอียดเบื้องต้นระบบว่าไลบรารี NSS มีความผิดพลาดเมื่ออ่านไฟล์ที่เข้ารหัสแบบ ASN.1 ทำให้แฮกเกอร์สามารถข้ามกระบวนการยืนยันความถูกต้องของไฟล์ได้

ก่อนหน้านี้เคยมีบั๊กในการอ่านฟอร์แมต ASN.1 มาแล้วหลายครั้ง ทั้งใน NSS, CryptoAPI ของวินโดวส์, หรือ OpenSSL ช่องโหว่เหล่านี้โจมตีได้ง่ายและได้ผลดี

แฮกเกอร์สแกน Shellshock ในระบบเมลเป็นวงกว้าง

By lew

on 28 October 2014 - 13:37 Tag: Security

Security

บั๊ก Shellshock ทำให้ซอฟต์แวร์จำนวนมากมีช่องโหว่ ตอนนี้เริ่มมีรายงานการโจมตีเป็นวงกว้าง โดย SANS Internet Storm Center รายงานพบการสแกนช่องโหว่หลายครั้ง

การสแกนช่องโหว่อาศัยเซิร์ฟเวอร์อีเมลทางพอร์ต SMTP แฮกเกอร์เชื่อมต่อเข้ามาแล้วพยายามส่งอีเมลเข้ามาในระบบ แต่อีเมลจะทดสอบ Shellshock ในทุกฟิลด์ สคริปต์ที่รันจะพยายามดาวน์โหลดไฟล์ perl เพื่อมารันต่อเพื่อรอรับคำสั่งจาก IRC

รู้จัก Pradeo บริษัทความปลอดภัยจากฝรั่งเศส เจ้าของเอนจินสแกนความเสี่ยงจากแอพมือถือ

By mk

on 27 October 2014 - 22:56 Tag: Security, Interview, France

Security

เราเห็นข่าวบริษัทไอทีฝั่งอเมริกากันมาเยอะ คราวนี้มารู้จักกับบริษัทไอทีจากฝรั่งเศสกันบ้างครับ ผมมีโอกาสได้คุยกับคุณ Vincent Roux จากบริษัท Pradeo Security Systems ซึ่งเป็นบริษัทด้านซอฟต์แวร์ความปลอดภัยของฝรั่งเศส
Pradeo เปิดกิจการเมื่อปี 2010 เนื่องจากมองเห็นโอกาสธุรกิจในตลาดความปลอดภัยบนอุปกรณ์พกพา สิ่งที่ Pradeo ทำคือระบบสแกนแอพว่ามีความเสี่ยงด้านความปลอดภัย และความเสี่ยงด้านข้อมูลส่วนตัวหลุดมากน้อยแค่ไหน (security & privacy)

Subscribe to Security