Security

Avast เตือน ล้างข้อมูลส่วนตัวจากมือถือ Android แล้วยังสามารถกู้คืนได้

By mk

on 10 July 2014 - 15:44 Tag: Security, Privacy, Android, Avast

Security

บริษัทความปลอดภัย Avast ลองซื้อมือถือ Android มือสองจำนวน 20 เครื่องมาจาก eBay และพบว่ามือถือเหล่านี้แม้ถูก wipe ล้างข้อมูลออกจากเครื่อง (หรือบางคนเรียก factory reset) กลับยังสามารถกู้คืนข้อมูลได้ง่ายๆ ด้วยซอฟต์แวร์กู้คืนข้อมูลทั่วไปในท้องตลาด (เพราะเป็นการลบข้อมูลที่ระดับแอพพลิเคชัน ไม่ใช่ระดับดิสก์) ทำให้เจ้าของมือถือที่ขายต่อเหล่านี้อาจมีปัญหาเรื่องข้อมูลส่วนตัวหลุดได้

กูเกิลเตือนใบรับรองดิจิตอลปลอมจากอินเดีย

By lew

on 9 July 2014 - 14:58 Tag: Google, Security, SSL

Google

กูเกิลประกาศเตือนว่าเมื่อสัปดาห์ที่ผ่านมา มีใบรับรองจาก National Informatics Centre (NIC) หน่วยงานของรัฐบาลอินเดียออกใบรับรองในโดเมนของกูเกิลมาหลายฉบับ

ใบรับรองของ NIC ได้รับการรับรองโดย India CCA อีกทีหนึ่ง ตัว India CCA นั้นอยู่ในรายชื่อของ root CA ที่ไมโครซอฟท์ยอมรับ ทำให้ใบรับรองโดเมนของกูเกิลที่ออกโดย NIC ใช้งานได้ใน Internet Explorer และ Chrome ขณะที่ไฟร์ฟอกซ์ใช้ API ของตัวเอง ส่วน Chrome นั้นล็อกใบรับรองของตัวเอง (public-key pinning) ไว้ในหลายโดเมนทำให้ไม่ได้รับผลกระทบจากปัญหานี้ ส่วนระบบปฎิบัติการอื่นๆ ไม่ได้รับผลกระทบแต่อย่างใด

Project Zero เมื่อกูเกิลช่วยรักษาความปลอดภัยให้ลูกค้าแอปเปิล

By lew

on 8 July 2014 - 17:35 Tag: Google, Apple, Security, OS X, Project Zero, Microsoft

Google

แอปเปิลปล่อยอัพเดต OS X 10.9.4 มาเมื่อสัปดาห์ที่แล้วเพื่อแก้ปัญหาความปลอดภัยไปหลายจุด แต่ที่น่าสนใจคือการแพตช์ปัญหารอบนี้มีช่องโหว่ความปลอดภัย 21 จุด ในจำนวนนี้ 9 จุดพบโดย Ian Beer จาก Google Project Zero

Project Zero ยังมีผลงานการรายงานช่องโหว่ในซอฟต์แวร์ของแอปเปิลอีกหลายตัว เช่น launchd ของแอปเปิลที่ได้รับรายงานบั๊ก 4 ตัว ซึ่งมีผลกระทบทั้ง OS X และ iOS และช่องโหว่ของซอฟต์แวร์ป้องกันมัลแวร์ของไมโครซอฟท์ก็ได้รับรายงานจาก Tavis Ormandy จาก Project Zero เช่นกัน

บินไปอเมริกา? อย่าลืมชาร์จมือถือก่อนขึ้นเครื่องบิน!

By toandthen

on 7 July 2014 - 11:58 Tag: Security, USA, TSA, Travel

Security

กรมรักษาความปลอดภัยการคมนาคมของสหรัฐฯ (TSA) ได้ออกมาประกาศว่าต่อไปนี้ผู้โดยสารที่ขึ้นเครื่องบินจากสนามบินบางแห่งในต่างประเทศ เพื่อที่จะบินเข้ามาในสหรัฐ จะต้องสามารถแสดงให้เห็นได้ว่าอุปกรณ์อิเล็กทรอนิกส์ที่จะนำติดขึ้นเครื่องมาด้วยสามารถใช้งานได้จริง

นั่นหมายความว่า หากอุปกรณ์ดังกล่าวไม่สามารถเปิดใช้งานได้ เช่น แบตเตอรี่หมด ผู้โดยสารคนนั้นอาจจะต้องโดนตรวจเพิ่มเติม หรือไม่ก็ต้องไม่นำอุปกรณ์ดังกล่าวขึ้นเครื่องบิน

หลุดซอร์สโค้ดโครงการลับ XKeyscore ของ NSA เชื่อมุ่งโจมตี Tor

By pe3z

on 5 July 2014 - 02:48 Tag: Security, Privacy, Tor, NSA

Security

สื่อเยอรมัน ARD ได้มีการเผยแพร่รายงานการวิเคราะห์และซอร์สโค้ดที่เชื่อกันว่าเป็นโครงการ XKeyscore ของ NSA ที่บ่งชี้ถึงความพยายามในการที่จะสะกดรอยผู้ใช้งานเครือข่ายนิรนาม Tor และบริการเพิ่มความเป็นส่วนตัวอื่นๆ

บั๊ก phpinfo ทำให้เว็บสามารถอ่านหน่วยความจำใดๆ ในเซิร์ฟเวอร์ได้

By lew

on 5 July 2014 - 02:12 Tag: Security, PHP

Security

รายงานช่องโหว่ความปลอดภัยของ PHP จากบริษัท SektionEins GmbH แสดงช่องให้เห็นว่าฟังก์ชั่น phpinfo มีปัญหาความปลอดภัย ทำให้แฮกเกอร์ที่สามารถรันโค้ดได้ สามารถอ่านหน่วยความจำจุดใดๆ ก็ได้ในโปรเซส

ทีมงาน SektionEins สาธิตให้ดูด้วยการรันสคริปต์เพื่อดึงกุญแจ SSL จาก mod_ssl ที่รันภายใต้โปรเซส Apache ตัวเดียวกัน ทำให้แฮกเกอร์ที่รันสคริปต์ในเครื่องได้สามารถดึงกุญแจ SSL ออกมาได้ทันที แม้จะเป็นเพียงแอพพลิเคชั่นหนึ่งที่ไม่มีสิทธิจัดการเซิร์ฟเวอร์ก็ตามที

No-IP ได้โดเมนกลับมา 18 โดเมนแล้ว เหลือ .org

By lew

on 3 July 2014 - 18:26 Tag: Security, DNS, No-IP, Microsoft

Security

No-IP แจ้งว่าสามารถขอเข้าควบคุมโดเมนที่ถูกไมโครซอฟท์ยึดไปก่อนหน้านี้ มาได้ทั้งหมด 18 โดเมน จากโดเมนที่ไมโครซอฟท์ยึดไป 22 โดเมน (บางข่าวระบุว่า 23 โดเมน) อย่างไรก็ดีโดเมนในกลุ่ม .org ทั้งหมดยังอยู่ระหว่างกระบวนการขอคืน ทำให้โดเมน no-ip.org ที่มีผู้ใช้มากที่สุดยังไม่ได้รับคืนมาด้วย

ไมโครซอฟท์ยอมรับว่าแม้จะไม่ได้ตั้งใจทำให้ผู้ใช้บริการทั่วไปเดือดร้อนแต่ก็มีผู้ใช้จำนวนหนึ่งที่ใช้บริการไม่ได้ไปด้วย

Cisco วางกุญแจ SSH ไว้ใน Unified CDM ผู้ใช้อาจถูกเจาะระบบ

By lew

on 3 July 2014 - 15:13 Tag: Cisco, Security

Cisco

ซิสโก้ออกประกาศแจ้งเตือนลูกค้าว่าทางบริษัทได้ใส่กุญแจ SSH ไว้ใน Cisco Unified Communications Domain Manager หรือ Unified CDM รุ่น 4.4.2 หรือเก่ากว่า สำหรับให้ซัพพอร์ตของทางซิสโก้รีโมตเข้าไปแก้ไขปัญหาให้ลูกค้า

ปกติแล้วการล็อกอินเข้า SSH ผ่านกุญแจดิจิตอลนั้นต้องวางกุญแจสาธารณะ (ซึ่งมักตั้งชื่อไฟล์ว่า id_rsa.pub) ไว้ในเครื่อง แต่ทางซิสโก้กลับวางทั้งกุญแจสาธารณะและกุญแจลับไว้คู่กัน ซ้ำร้าย ทุกเครื่องยังใช้กุญแจเดียวกัน ทำให้ผู้ที่ติดตั้ง Unified CDM นี้สามารถดึงกุญแจลับเพื่อไปล็อกอินเครื่องอื่นๆ ได้ทั้งหมด

ทางซิสโก้ออกแพตช์สำหรับปัญหานี้แล้ว ผู้ดูแลระบบควรรีบอัพเดตโดยด่วนครับ

ไมโครซอฟท์เข้ารหัสทราฟฟิก Outlook.com, เปิดศูนย์ตรวจสอบซอร์สโค้ด

By mk

on 2 July 2014 - 14:33 Tag: Security, Outlook, Transparency Report, Microsoft

Security

ไมโครซอฟท์ประกาศมาตรการด้านความปลอดภัยและการเข้ารหัสข้อมูลเพิ่มเติม

พบช่องโหว่ใน Android KeyStore ส่งผลกระทบตั้งแต่ Android 4.3 ลงไป

By mk

on 29 June 2014 - 10:37 Tag: IBM, Security, Android

IBM

ทีมนักวิจัยความปลอดภัยจาก IBM ค้นพบช่องโหว่ของ Android ในส่วนที่เกี่ยวข้องกับการเก็บคีย์ (Android KeyStore service)

Android KeyStore เป็นเซอร์วิสของระบบปฏิบัติการ Android ให้แอพสามารถเก็บข้อมูลสำคัญ (เช่น คีย์ที่ใช้ถอดรหัสข้อมูล) ไว้ในพื้นที่ปลอดภัยของระบบ อย่างไรก็ตาม ทีมวิจัยพบบั๊กในโค้ดของ KeyStore ที่อาจถูกจู่โจมด้วยวิธี buffer overflow ได้

กูเกิลรับทราบปัญหานี้มานานแล้ว แต่กลับแพตช์แก้บั๊กนี้ให้เฉพาะ Android 4.4 KitKat เท่านั้น ในขณะที่ Android 4.3 ลงไปยังมีความเสี่ยงจากบั๊กนี้อยู่

กสทช. เปิดตัวแอพ "2 แชะ" ส่งภาพบัตรประชาชนกลับไปลงทะเบียนซิม

By lew

on 27 June 2014 - 19:39 Tag: Security, NBTC

Security

วันนี้ทางกสทช. เปิดตัวแอพพลิเคชั่น "2 แชะ" (Google Play) เพื่อสนับสนุนให้มีการลงทะเบียนซิมการ์ดกันมากขึ้น จากปัญหาการใช้ซิมไปก่ออาชญากรรมหลายรูปแบบ และซิมเติมเงิน 90% ยังคงไม่ได้ลงทะเบียน

แอพพลิเคชั่นตัวนี้จะเปิดให้ตัวแทนจำหน่ายซิมโทรศัพท์เข้าใช้งานเท่านั้น เพื่อให้ตัวแทนจำหน่ายเหล่านี้สามารถอำนวยความสะดวกลูกค้าในการลงทะเบียนได้ โดยก่อนหน้านี้การลงทะเบียนต้องส่งสำเนาบัตรประชาชนไปกับผู้จำหน่ายซิมการ์ด แต่สำหรับ "2 แชะ" จะส่งข้อมูลตรงกลับไปยังเซิร์ฟเวอร์ของผู้ให้บริการโทรศัพท์มือถือ

ระบบ 2-factor ของ PayPal มีช่องโหว่ แฮกเกอร์ข้ามการยืนยันชั้นสองได้

By lew

on 27 June 2014 - 14:32 Tag: Security, PayPal

Security

บริษัท Duo Security Research รายงานช่องโหว่ของระบบยืนยันตัวตนด้วยปัจจัยที่สอง (2-factor authentication) ของ PayPal ทำให้แอพพลิเคชั่น PayPal บนโทรศัพท์มือถือเข้าใจว่าได้รับโค้ดยืนยันถูกต้องแล้วจนกระทั่งสามารถโอนเงินได้สำเร็จ

ปัญหาของระบบ 2-factor ของทาง PayPal คือทางบริษัทไม่ได้ยืนยันตัวตนของผู้ใช้ หรือยืนยันการสั่งโอนเงินด้วยการยืนยันด้วยปัจจัยที่สองเป็นโค้ดจาก SMS จริงๆ แต่การเปิดบริการ 2-factor ของ PayPal คือการเพิ่มข้อมูลผู้ใช้ว่าผู้ใช้คนใดต้องยืนยันตัวตนด้วยปัจจัยที่สองบ้าง จากนั้นเป็นหน้าที่ของตัวแอพพลิเคชั่นเองที่จะล็อกหน้าจอแอพพลิเคชั่นแล้วถามปัจจัยที่สองต่อไป

ไมโครซอฟท์เปิด Interflow แลกเปลี่ยนสารสนเทศด้านความปลอดภัยสำหรับนักวิจัย

By mk

on 25 June 2014 - 00:55 Tag: Security, Microsoft

Security

ไมโครซอฟท์เปิดตัว Interflow แพลตฟอร์มสำหรับแลกเปลี่ยนสารสนเทศด้านความปลอดภัย (threat information exchange platform) สำหรับนักวิเคราะห์ นักวิจัย และผู้เชี่ยวชาญด้านความปลอดภัยทั่วโลก

สารสนเทศที่วิ่งอยู่ใน Interflow จะเป็นข้อมูลอัตโนมัติที่สร้างขึ้นให้คอมพิวเตอร์อ่าน (machine-readable) ตามมาตรฐานเปิดในวงการความปลอดภัยอย่าง STIX, TAXII, CybOX โดยข้อมูลเหล่านี้จะแลกเปลี่ยนกับแบบเรียลไทม์ เพื่อให้นักวิเคราะห์-วิจัยด้านความปลอดภัยสามารถอ่านค่าและแปลผล เพื่อตรวจจับภัยคุกคามไซเบอร์ได้เร็วกว่าเดิม

บริษัทวิจัยเผย จะ iOS หรือ Android ก็มีปัญหาด้านความปลอดภัยไม่ต่างกัน

By Blltz

on 24 June 2014 - 19:30 Tag: Security, Android, iOS, Mobile

Security

ความเชื่อของผู้ใช้สมาร์ทโฟนหลายคนในปัจจุบันเรื่องความปลอดภัยคือคิดว่า iOS นั้นปลอดภัยกว่าคู่แข่งอย่าง Android อยู่มาก แต่จากผลการทดสอบของแลปเพื่อความปลอดภัยอย่าง Marble Security Labs พบว่า iOS เองก็มีปัญหาเรื่องความปลอดภัยเช่นกัน

สองเดือนหลังการเปิดเผย Heartbleed เซิร์ฟเวอร์ยังมีบั๊กกว่าสามแสนเครื่อง

By lew

on 24 June 2014 - 01:33 Tag: Security, Heartbleed

Security

เมื่อเดือนเมษายนที่ผ่านมามีการเปิดเผยบั๊ก Heartbleed ที่นับว่าร้ายแรงที่สุดเท่าที่เคยมีมา เพราะบั๊กนี้ทำให้แฮกเกอร์สามารถเจาะเอากุญแจลับออกไปจากหน่วยความจำของเซิร์ฟเวอร์ได้โดยตรง ทำให้มีความเสี่ยงทั้งการเชื่อมต่อในอนาคต และการเชื่อมต่อในอดีตหากมีคนดักฟังเก็บข้อมูลเอาไว้และไม่ได้เชื่อมต่อแบบรับประกันความเป็นความลับในอนาคต

Cisco ปล่อยไลบรารีเข้ารหัสสำหรับข้อมูลขนาดเล็ก

By lew

on 23 June 2014 - 14:04 Tag: Open Source, Cisco, Security, Cryptography

Open Source

ซิสโก้ปล่อยไลบรารี Flexible Naor and Reingold หรือ FNR รูปแบบการเข้ารหัสสำหรับข้อมูลขนาดเล็กมากๆ เช่น หมายเลขไอพี, หมายเลข MAC, หรือหมายเลขบัตรเครดิต

ข้อเสียของกระบวนการเข้ารหัสทุกวันนี้คือมาตรฐานส่วนมากมักกำหนดขนาดบล็อคข้อมูลเอาไว้ตายตัว เช่น AES นั้นข้อมูลที่ใช้เข้ารหัสต้องมีขนาด 128/192/256 บิต หากขนาดข้อมูลไม่ลงตัวตามขนาดบล็อคก็ต้องเติมค่าว่างให้เต็มก่อนเข้ารหัส

กูเกิลแตกโครงการ OpenSSL ของตัวเอง ใช้ชื่อ BoringSSL

By lew

on 21 June 2014 - 12:40 Tag: Google, Security, SSL, Cryptography, OpenSSL

Google

หลังจากปัญหา Heartbleed ใน OpenSSL สร้างความเสียหายเป็นวงกว้าง ตอนนี้กูเกิลก็เปิดโครงการ BoringSSL ของตัวเองออกสู่สาธารณะแล้ว

ก่อนหน้านี้กูเกิลมีแพตซ์ของ OpenSSL ของตัวเองมาเสมอ แต่อาศัยการดึงโค้ดจาก OpenSSL มาแพตซ์เป็นครั้งๆ ไป จนตอนนี้มีแพตซ์ของกูเกิลเองมากกว่า 70 ชุดที่ต้องรวมเข้ากับโครงการ OpenSSL ทุกครั้งที่มีเวอร์ชั่นใหม่ ตอนนี้กูเกิลตัดสินใจที่จะแยกโครงการออกมาเป็นของตัวเองเพื่อความสะดวกในการจัดการ

เมนบอร์ด Supermicro วางไฟล์คอนฟิกผ่าน IPMI แฮกเกอร์อ่านรหัสผ่านได้

By lew

on 21 June 2014 - 12:30 Tag: Security, Server, Supermicro

Security

มีรายงานถึงช่องโหว่ของเมนบอร์ด Supermicro ที่มักเป็นเมนบอร์ดสำหรับเซิร์ฟเวอร์ประกอบ โดยมีเว็บเซิร์ฟเวอร์รันบนไบออส IPMI ที่พอร์ต 49152 และวางไฟล์ IPMIdevicedesc.xml ที่เก็บข้อมูลคอนฟิกรวมถึงรหัสผ่านเอาไว้ให้ดาวน์โหลดออกไปได้

ช่องโหว่นี้ทำให้หากแฮกเกอร์สามารถเข้าถึงเครือข่ายที่ IPMI ทำงานอยู่ได้ก็จะสามารถเข้าควบคุมเครื่องได้ทั้งหมดทันที

ระหว่างนี้ยังไม่มีแพตช์มาจากทาง Supermicro โดยทาง CARISIRT หน่วยแจ้งเตือนปัญหาความปลอดภัยของผู้ให้บริการคลาวด์ CARI ระบุว่าได้ติดต่อกับทาง Supermicro มาแล้วตั้งแต่ปลายปีที่แล้ว

Yo โดนแฮ็กเรียบร้อย เข้าถึงหมายเลขโทรศัพท์ของผู้ใช้งานทุกคน

By mk

on 21 June 2014 - 08:50 Tag: Security, Privacy, Instant Messenger, Hacking, Yo

Security

Yo แอพแชตดาวรุ่งที่กำลังมาแรง โดน "ลองของ" เรียบร้อยโดยนักศึกษาจากมหาวิทยาลัย Georgia Tech แถมผู้แฮ็กยังระบุว่าสามารถดูหมายเลขโทรศัพท์ของผู้ใช้ Yo ที่กรอกข้อมูลไว้กับระบบได้ด้วย

นอกจากนี้ยังมีผู้ใช้อีกคนที่โพสต์วิดีโอการใช้ Yo ด้วยเสียงข้อความแบบอื่น ซึ่งก็แปลว่า Yo โดนแฮ็กจากอีกทางนั่นเอง

Or Arbel ผู้ก่อตั้ง Yo ยอมรับว่าถูกแฮ็กจริง และทีมงานกำลังเร่งแก้ไขอย่างเต็มกำลัง

ที่มา - TechCrunch

Android 4.4.4 ออกแล้ว แก้ปัญหาช่องโหว่ความปลอดภัย OpenSSL

By mk

on 20 June 2014 - 17:57 Tag: Security, Android, Google Nexus, KitKat, OpenSSL

Security

กูเกิลเพิ่งออก Android 4.4.3 มาไม่นาน ล่าสุดมี 4.4.4 (KTU84P) ตามมาอีกแล้วครับ เวอร์ชันนี้เป็นการแก้ช่องโหว่ความปลอดภัยล่าสุดที่พบใน OpenSSL เพียงอย่างเดียว (คนละบั๊กกับ Heartbleed ที่แก้ไปแล้วใน 4.4.3)

ตอนนี้อุปกรณ์ที่ได้อัพเดต 4.4.4 แบบ OTA ยังมีแค่ตัวเดียวคือ Nexus 5 แต่กูเกิลก็ออก factory image ของ Nexus 4, Nexus 7 และ Nexus 10 มาแล้วเช่นกัน ใครใจร้อนอยากอัพเองก็สามารถดาวน์โหลดได้ตามลิงก์ที่มาครับ

Subscribe to Security