Security

LINE อาจโดนเจาะระบบ แนะนำให้เปลี่ยนรหัสผ่านโดยเร็วที่สุด

By nrad6949

on 19 June 2014 - 15:05 Tag: Security, LINE

Security

ที่ผ่านมา LINE พยายามเน้นย้ำถึงเรื่องของความปลอดภัยในการใช้งาน โดยเฉพาะอย่างยิ่งกับข้อความต่างๆ ที่ถูกส่งผ่านแพลตฟอร์มของบริษัท แต่จากรายงานข่าวจากหนังสือพิมพ์ South China Morning Post ที่อ้างจากรายงานข่าวของสำนักข่าว AFP อีกที อาจจะทำให้ผู้ใช้ LINE เกิดอาการหนาวๆ ร้อนๆ เมื่อมีข่าวออกมาอย่างเป็นทางการว่า LINE อาจจะถูกเจาะระบบในช่วงปลายเดือนพฤษภาคมจนถึงช่วงต้นมิถุนายนที่ผ่านมา

พบมือถือ Android แบรนด์จีน ถูกฝังมัลแวร์มาตั้งแต่โรงงาน

By mk

on 18 June 2014 - 23:21 Tag: Security, Android, Malware

Security

บริษัทด้านความปลอดภัย G DATA จากเยอรมนี รายงานว่าค้นพบมือถือ Android จากจีนยี่ห้อ Star รุ่น N9500 ซึ่งขายผ่านร้านค้าปลีกในยุโรปในราคา 130-165 ยูโร (5,800-6,300 บาท) ฝังมัลแวร์ที่ปลอมตัวเป็นแอพ Google Play Store มาตั้งแต่แรก

มัลแวร์ตัวนี้ชื่อว่า Android.Trojan.Uupay.D จะส่งข้อมูลส่วนบุคคลของผู้ใช้กลับไปยังแฮ็กเกอร์ในเมืองจีน มันสามารถอ่านอีเมล, SMS รวมถึงดักสายโทรเข้า (intercept calls) นอกจากนี้ผู้ใช้ยังไม่สามารถลบมันออกได้ง่ายๆ เพราะเป็นส่วนหนึ่งของเฟิร์มแวร์

Evernote แจ้งเตือนเซิร์ฟเวอร์กระทู้ถูกเจาะ ข้อมูลผู้ใช้อาจหลุดได้

By LazarusSP1

on 17 June 2014 - 22:10 Tag: Security, Hacker, Evernote

Security

ในหน้ากระทู้ของ Evernote ได้ประกาศเตือนเกี่ยวกับระบบกระทู้ของ Evernote ถูกเจาะโดยแฮคเกอร์ที่ไม่ทราบกลุ่ม โดยส่งผลให้แฮคเกอร์สามารถเข้ามาดูข้อมูลในบัญชีผู้ใช้ได้บางส่วน แต่ทาง Evernote ให้การยืนยันว่าไม่มีข้อความส่วนตัวรั่วไหลอย่างแน่นอน รวมไปถึงเซิร์ฟเวอร์ของบริการแอพพลิเคชัน Evernote ที่ตั้งอยู่คนละส่วนกันก็ไม่ได้รับผลกระทบจากช่องโหว่นี้ด้วย

BBM Protected เปิดให้ดาวน์โหลดสำหรับเครื่อง Blackberry แล้ว iOS และ Android ภายในปีนี้

By lew

on 17 June 2014 - 13:30 Tag: Security, Instant Messenger, Enterprise, Cryptography, BBM, BlackBerry

Security

BBM Protected เปิดตัวไปตั้งแต่ต้นปีที่ผ่านมา วันนี้ก็เริ่มเปิดให้ดาวน์โหลดแล้วสำหรับคนที่ใช้ฮาร์ดแวร์ของ Blackberry เอง โดยรองรับในเครื่องแทบทุกรุ่น ตั้งแต่ Blackbery OS 6.0 ขึ้นไป

Dropbox ยินยอมให้ผู้ใช้งานอัพโหลดไฟล์ที่ฝังจาวาสคริปต์ได้ เสี่ยงต่อการโจมตีแบบ XSS

By pe3z

on 17 June 2014 - 00:38 Tag: Security, Dropbox

Security

Mohamed Ramadan ผู้เชี่ยวชาญด้านความปลอดภัยได้ทำการเปิดเผยปัญหาด้านความปลอดภัยของ Dropbox ซึ่งกระทบต่อทั้งผู้ใช้งานบนเว็บและแอพบน iOS ในขณะที่ Dropbox ปฏิเสธว่าเป็น "ช่องโหว่" ด้านความปลอดภัย

ปัญหานี้คือการยินยอมให้มีการเอ็กซีคิวต์จาวาสคริปต์ที่ถูกฝังอยู่ในไฟล์ประเภท HTML และ SWF ได้เมื่อมีการอัพโหลดและแชร์ไปยังผู้ใช้งานอื่น การโจมตีอย่าง XSS มักจะใช้วิธีเดียวกันนี้ในการโจมตีและขโมยข้อมูลของผู้ใช้งาน

สัมภาษณ์คุณชิดชนก จึงเสถียรทรัพย์ ทีมงานวิจัย BADA55 ข้อระวังการสุ่มที่ยืนยันได้

By lew

on 16 June 2014 - 12:22 Tag: Security, Interview, Cryptography

Security

เมื่อเดือนที่แล้วมีงานวิจัยด้านวิทยาการเข้ารหัสลับชิ้นหนึ่งนำเสนอในงาน Eurocrypt 2014 เกี่ยวกับการยืนยันได้ว่าค่าพารามิเตอร์ของกระบวนการเข้ารหัสนั้นเป็นค่าที่สุ่มจริง (verifiably random) ผมได้อ่านงานวิจัยนี้แล้วพบว่าหนึ่งในทีมงานนั้นเป็นคนไทย คือคุณชิดชนก จึงเสถียรทรัพย์ ที่กำลังศึกษาในระดับปริญญาเอกที่มหาวิทยาลัย Eindhoven ในโอกาสนี้ผมจึงอีเมลไปติดต่อขอสัมภาษณ์ และก็ได้มาเป็นบทสัมภาษณ์ฉบับนี้กันครับ

LG G3 พรีโหลด McAfee Mobile Security ช่วยป้องกันข้อมูลเมื่อมือถือหาย-ถูกขโมย

By mk

on 14 June 2014 - 18:12 Tag: Security, LG, McAfee, LG G3, Mobile

Security

LG ประกาศความร่วมมือกับ McAfee (ที่เปลี่ยนชื่อบริษัทเป็น Intel Security แล้ว) ว่ามือถือเรือธงตัวล่าสุด LG G3 จะพรีโหลดแอพความปลอดภัย McAfee Mobile Security รุ่นดัดแปลงพิเศษมาให้ด้วย

ฟีเจอร์เด่นของ McAfee Mobile Security คือเทคโนโลยีด้านการควบคุมจากระยะไกลในกรณีที่มือถือหาย ผู้ใช้สามารถสั่งให้โทรศัพท์ใช้งานไม่ได้ (kill switch) เพื่อป้องกันไม่ให้โทรศัพท์ถูก factory reset แล้วนำไปขายต่อ หรือจะสั่งลบข้อมูลทั้งหมดจากระยะไกล (remote wipe) เพื่อรักษาความลับของข้อมูลได้เช่นกัน

1Password 4 for Android มาแล้ว ยกเครื่องใหม่หมด พร้อมใช้ฟรีถึง 1 สิงหาคม

By Blltz

on 13 June 2014 - 15:33 Tag: Security, Mobile App, Password, 1Password

Security

หลังจาก 1Password แอพจัดการรหัสผ่านพร้อมเข้ารหัสแน่นหนา ปล่อยแอพเวอร์ชัน Android มาตั้งแต่ปี 2010 และขาดการอัพเดตครั้งใหญ่มาตั้งแต่ครั้งนั้น จนล่วงเลยมาเกือบสี่ปี วันนี้ 1Password ได้ปล่อยอัพเดตใหญ่ของแอพ Android เวอร์ชัน 4.0 มาแล้ว

การยกเครื่องใหม่ของ 1Password ไม่ได้สวยจนน่าตกใจ แต่ถ้าหากนำไปเทียบกับของเดิมแล้ว คงต้องยอมรับว่าดีขึ้นอย่างมาก

ระบบสิทธิของแอพพลิเคชั่นใน Google Play ใหม่อันตรายกว่าเดิม

By lew

on 12 June 2014 - 19:28 Tag: Google, Security, Google Play

Google

Google Play เพิ่งอัพเกรดไปไม่กี่วันก่อนโดยมีความเปลี่ยนแปลงสำคัญคือการจัดสิทธิของแอพพลิเคชั่นให้เป็นหมวดหมู่ ผู้ใช้เวลาลงแอพพลิเคชั่นแทนที่จะเห็นรายการสิทธิแบบแจกแจงรายละเอียดก็จะเห็นเป็นหมวดเช่นของสิทธิ SMS โดยไม่ระบุว่าเป็นสิทธิอ่าน หรือสิทธิส่งเหมือนแต่ก่อน

แนวคิดนี้โดยทั่วไปเป็นแนวคิดที่ดีเพราะผู้ใช้จำนวนมากไม่สนใจอ่านรายละเอียดปลีกย่อยของแอพพลิเคชั่น การยุบสิทธิให้เหลือไม่กี่ข้อทำให้ผู้ใช้อ่านสิทธิกันมากขึ้นและเข้าใจว่าการลงแอพพลิเคชั่นมีความเสี่ยงอะไรบ้าง

Feedly ถูกโจมตี DDoS พร้อมขู่เรียกเงิน

By idewz

on 12 June 2014 - 17:45 Tag: Security, DDoS, Feedly

Security

ช่วงค่ำเมื่อวานนี้หลายคนอาจจะประสบปัญหาเข้าใช้งาน Feedly ไม่ได้เป็นเวลาหลายชั่วโมง นั่นเป็นเพราะ Feedly ถูกโจมตีด้วย DDoS แถมผู้โจมตียังได้เรียกเงินสำหรับการหยุดยิง DDoS ถล่มอีกด้วย

ตอนนี้ Feedly กลับมาใช้งานได้ปกติแล้วโดยไม่ได้เสียเงินแต่อย่างใด แต่เป็นการปรับโครงสร้างของระบบ และทาง Feedly แจ้งว่าไม่มีข้อมูลใดๆ รั่วไหลจากการโจมตีครั้งนี้ พร้อมทั้งกำลังรวมกลุ่มกับผู้ที่ถูกโจมตีเพื่อดำเนินการทางกฎหมายกับผู้กระทำผิดต่อไป

แจ้งเตือนช่องโหว่ XSS บน TweetDeck ผู้ใช้ควรยกเลิกการใช้แอพก่อนชั่วคราว

By pe3z

on 12 June 2014 - 00:49 Tag: Security, Twitter, TweetDeck

Security

มีการค้นพบช่องโหว่ใหม่บนแอพ TweetDeck ซึ่งส่งผลให้แฮ็กเกอร์หรือผู้ไม่หวังดีสามารถสั่งรันสคริปต์อันตรายจากระยะไกลได้ผ่านทางช่องโหว่ประเภท XSS เพื่อขโมยข้อมูลผู้ใช้งานได้ มีการยืนยันแล้วว่าช่องโหว่นี้มีผลกระทบต่อทั้งเว็บแอพพลิเคชันและแอพบนวินโดวส์

พบช่องโหว่ในมาตรฐานทีวีดิจิตอล HbbTV สามารถตั้งเสา-กระจายคลื่น-แฮ็กทีวีเป็นวงกว้าง

By mk

on 10 June 2014 - 10:08 Tag: Security, Hacking, Broadcast, Digital TV, Smart TV

Security

อธิบายก่อนว่า มาตรฐาน HbbTV (Hybrid Broadcast Broadband TV) คือมาตรฐานสำหรับ "ฟีเจอร์เสริม" ของทีวีดิจิตอล (DVB) ที่ช่วยให้ส่งข้อมูล (data) ไปแสดงเป็นเนื้อหาเสริมจากการแพร่ภาพปกติ

ตัวอย่างบริการที่ส่งผ่าน HbbTV ได้แก่ ผังตารางอิเล็กทรอนิกส์ (EPG), รายการย้อนหลัง, การแสดงข้อความบนจอ (teletex), โฆษณา, โหวตความคิดเห็น เป็นต้น

อย่าลืมอัพเกรด พบบั๊กสำคัญใน OpenSSL และ GnuTLS

By lew

on 6 June 2014 - 12:20 Tag: Security, HTTPS, OpenSSL, GnuTLS

Security

รายงานบั๊กในซอฟต์แวร์เข้ารหัสสัปดาห์นี้สร้างความวิตกเป็นวงกว้างเมื่อทั้งโครงการ OpenSSL และ GnuTLS พบบั๊กสำคัญใกล้ๆ กันทั้งสองโครงการ

บั๊กที่ร้ายแรงที่สุดของ OpenSSL คือบั๊ก CVE-2014-0224 ที่เปิดให้คนร้ายสามารถดักฟังกลางทางได้ หากทั้งไคลเอนต์และเซิร์ฟเวอร์มีบั๊กเดียวกัน โดย OpenSSL รุ่นที่มีปัญหา ได้แก่ 0.9.8, 1.0.0, และ 1.0.1 กระทบวงกว้างทั้งลินุกซ์รุ่นใหม่และเก่า แม้จะไม่ร้ายแรงเท่า Heartbleed แต่ทุกคนควรอัพเกรดครับ

เยอรมนีเริ่มสอบสวน กรณี NSA สอดแนมนายกหญิง

By nismod

on 5 June 2014 - 00:25 Tag: Security, Privacy, Germany, NSA, Edward Snowden

Security

จากกรณีช็อกโลกที่ NSA ถูก Edward Snowden เปิดเผยว่าแอบสอดแนมทั้งประชาชนชาวอเมริกัน รวมไปถึงผู้นำของกลุ่มประเทศพันธมิตรของสหรัฐนั้น Angela Merkel นายกหญิงของเยอรมนี ก็ตกเป็นข่าวว่าถูก NSA ดักฟังทางโทรศัพท์เช่นกัน ล่าสุดสำนักอัยการของเยอรมนีเริ่มการสืบสวนกรณีดังกล่าวแล้ว

รายงานอ้างว่าสำนักงานอัยการมีหลักฐานเพียงพอที่จะสนับสนุนข้อกล่าวหาข้างต้น ขณะเดียวกันก็กำลังจับตาดูว่ารัฐบาลสหรัฐยังคงสอดแนมชาวเยอรมันอยู่หรือไม่ ซึ่งในกรณีนี้ Edward Snowden อ้างว่ามีข้อมูลหลักฐานยืนยันได้ว่ารัฐบาลสหรัฐละเมิดสิทธิส่วนบุคคลของคนเยอรมันจริง และพร้อมจะมอบหลักฐานดังกล่าวให้คณะกรรมการสอบสวนของเยอรมนี

กูเกิลเผยสถิติ อีเมล 50% ไม่ได้เข้ารหัสระหว่างส่งผ่านผู้ให้บริการ

By mk

on 4 June 2014 - 18:59 Tag: Google, Security, Gmail, E-mail, Transparency Report

Google

กูเกิลมีธรรมเนียมการออกรายงานความโปร่งใสของการให้บริการ (Google Transparency Report เป็นประจำทุกปี และทยอยเพิ่มข้อมูลเซคชั่นใหม่เข้ามาเรื่อยๆ

ล่าสุดกูเกิลเพิ่มข้อมูลหมวด "ความปลอดภัยของอีเมล" โดยเผยสถิติในภาพรวมว่าการส่งอีเมลระหว่างเซิร์ฟเวอร์ของกูเกิลเอง (Gmail) ไปยังเซิร์ฟเวอร์อีเมลของผู้ให้บริการรายอื่นๆ นั้นถูกเข้ารหัสมากน้อยแค่ไหน

กูเกิลเปิดโครงการ End-to-end เตรียมรองรับ PGP ใน Gmail

By lew

on 4 June 2014 - 14:27 Tag: Google, Security, Gmail, PGP

Google

กูเกิลเปิดตัวโครงการ End-to-end เป็นส่วนเสริมของ Chrome เพื่อเข้ารหัสและถอดรหัสอีเมลที่รับส่งในจีเมล

ตัว End-to-end ทำงานตามมาตรฐาน OpenPGP (RFC 4880) สามารถทำได้ทั้งการสร้างคู่กุญแจ, เข้ารหัส, ถอดรหัส, เซ็นลายเซ็นดิจิตอล, และยืนยันลายเซ็นดิจิตอล โดยรองรับเฉพาะการเข้ารหัสแบบ Elliptic Curve เท่านั้น (RFC 6637)

ไมโครซอฟท์เตือน อย่าใช้วิธีแก้ Registry เพื่ออัพเดต Windows XP

By mk

on 2 June 2014 - 07:25 Tag: Security, Windows XP, Microsoft

Security

ถึงแม้ Windows XP หมดระยะสนับสนุนและออกแพตช์ไปแล้ว แต่วินโดวส์รุ่นใกล้เคียงสำหรับงานเฉพาะทางอย่าง Windows Embedded POSReady 2009 ยังมีอัพเดตอยู่ เลยมีคนค้นพบว่าถ้าเข้าไปแก้ registry ของระบบให้จำลองตัวเป็น Windows Embedded ก็จะสามารถอัพเดตแพตช์ต่อไปได้ โดยเพิ่มไฟล์ .reg ที่มีข้อความสั้นๆ เท่านั้น

โทรศัพท์มือถือส่วนตัวในสำนักงาน ใช้อย่างไรให้ปลอดภัย

By advertorial on 30 May 2014 - 20:18 Tag: Security, Advertorial, Mobile

Security

โลกไอทีที่เปลี่ยนไปอย่างรวดเร็วในช่วงสองสามปีมานี้ทำให้เรามีทั้งโทรศัพท์มือถือและแท็บเล็ตราคาถูก มีความสามารถสูงจนใช้ทำงานได้สะดวกกว่าบนพีซีเองเสียอีก หลายองค์กรเริ่มเห็นการสั่งงานกันทางซอฟต์แวร์หรือแอพพลิเคชั่นสำหรับแชต ที่ใช้งานกันโดยทั่วไป เช่น WhatsApp หรือ LINE การแชร์เอกสารเริ่มมีการแชร์ผ่านทาง Gmail, Hotmail, Dropbox, Office 365, หรือ Google Drive

กระบวนการเหล่านี้หลายครั้งเพิ่มประสิทธิภาพการทำงานได้เป็นอย่างดี จากการที่พนักงานสามารถแชร์ข้อมูลระหว่างกันได้รวดเร็วและง่ายดาย ขณะที่พนักงานเองก็ได้ใช้อุปกรณ์ที่ตัวเองถนัดแทนคอมพิวเตอร์หรือโทรศัพท์ที่ตัวพนักงานเองอาจจะไม่ถนัดนัก

เว็บไซต์ TrueCrypt ขึ้นเตือน "เลิกพัฒนาแล้ว ไม่ปลอดภัย"

By willwill on 29 May 2014 - 12:58 Tag: Security, TrueCrypt

Security

โปรแกรม TrueCrypt เครื่องมือเข้ารหัสไฟล์โอเพนซอร์สขึ้นเตือนในหน้าเว็บไซต์ว่า "คำเตือน: การใช้งาน TrueCrypt ไม่ปลอดภัยเนื่องจากอาจมีช่องโหว่ที่ไม่ได้แก้ไขอยู่" และอธิบายว่าการพัฒนา TrueCrypt นั้นสิ้นสุดลงหลังจาก Microsoft เลิกรองรับ Windows XP เนื่องจาก Windows Vista เป็นต้นไปมีระบบการเข้ารหัสดิสก์ภายในตัวอยู่แล้ว รวมถึงในระบบปฏิบัติการอื่นๆ ด้วย และในหน้าเว็บยังมีคำแนะนำสำหรับการย้ายไฟล์ไปยังระบบเข้ารหัสอื่นๆ

คำแนะนำต่อผู้ใช้เน็ตไทย เพื่อการสื่อสารผ่านอินเทอร์เน็ตอย่างปลอดภัย

By mk

on 28 May 2014 - 23:48 Tag: Blognone, Announcement, Security, Privacy

Blognone

เหตุการณ์ Facebook ใช้งานไม่ได้ในช่วงบ่ายของวันนี้ ถือเป็นตัวอย่างที่ดีของ "สถานการณ์จริง" ว่าถ้าช่องทางการสื่อสารผ่านอินเทอร์เน็ตเกิดปัญหาขึ้นแล้วส่งผลกระทบในวงกว้างแค่ไหน และในช่วงที่บ้านเมืองยังไม่กลับสู่ภาวะปกติเช่นนี้ ผลกระทบยิ่งรุนแรงขึ้นทั้งในแง่การสื่อสารที่ส่งหากันไม่ถึง และความหวาดระแวงหรือสงสัยต่อสิ่งต่างๆ ที่เกิดขึ้นโดยไม่มีคำอธิบายที่ชัดเจนนัก

ในฐานะเว็บไซต์ข่าวไอที Blognone ขอแนะนำเทคนิคสำหรับ "การสื่อสารผ่านอินเทอร์เน็ตในสถานการณ์พิเศษ" ต่อผู้ใช้อินเทอร์เน็ตชาวไทยจำนวน 3 ข้อใหญ่ ดังนี้

Subscribe to Security