Security

OpenSSH สามารถทำงานโดยไม่มี OpenSSL แล้ว

By lew

on 9 May 2014 - 20:51 Tag: Security, OpenBSD, Heartbleed, OpenSSH

Security

OpenSSH เริ่มคอมไพล์โดยไม่มี OpenSSL ได้แล้วในรุ่นล่าสุดที่เพิ่งส่งโค้ดเข้าโครงการเมื่อวันที่ 29 เมษายนที่ผ่านมา อย่างไรก็ดีเพื่อคอมไพล์โดยไม่ใช้ OpenSSL จะทำให้กระบวนการเข้ารหัสลดลงเหลือเพียงไม่กี่รูปแบบเท่านั้น

กระบวนการเข้ารหัสที่รองรับหากไม่คอมไพล์กับ OpenSSL ได้แก่ AES-CTR, ChaCha + Poly1305 และกระบวนการแลกกุญแจจะเหลือเพียง ECDH/Curve25519 เท่านั้น

Bitly โดนแฮ็ก ผู้ใช้เปลี่ยนรหัสผ่านด่วน

By mk

on 9 May 2014 - 10:33 Tag: Security, Hacking, Bitly

Security

Bitly บริการย่อ URL ชื่อดัง ออกมาประกาศว่าถูกแฮ็ก แต่ยังไม่ทราบรายละเอียดว่ามีข้อมูลของผู้ใช้ถูกเจาะออกไปด้วยหรือไม่

Bitly จึงใช้มาตรการความปลอดภัยเบื้องต้นคือถอดการเชื่อมต่อบัญชีผู้ใช้กับ Facebook/Twitter ทั้งหมด ซึ่งผู้ใช้สามารถเชื่อมกลับคืนได้

นอกจากนี้ Bitly ยังขอให้ผู้ใช้ทุกคนรีเซ็ตรหัสผ่าน และถ้าใช้ API key หรือ OAuth token เชื่อมต่อกับบริการอื่น ก็ขอให้เปลี่ยนไปใช้ key/token ตัวใหม่ วิธีการสามารถอ่านได้ตามลิงก์

ที่มา - Bitly Blog

งานวิจัยลักษณะเฉพาะภาพถ่ายดิจิทัล อาจช่วยในการหาผู้กระทำผิดออนไลน์ได้

By ตะโร่งโต้ง

on 7 May 2014 - 11:21 Tag: Security, Research, Image Processing

Security

เอกสารงานวิจัยที่เพิ่งได้รับการเผยแพร่ใหม่ระบุว่า ภาพถ่ายดิจิทัลแต่ละภาพมีลักษณะเฉพาะซึ่งรวมถึงรูปแบบของ noise ที่เกิดในภาพแตกต่างกันออกไป ซึ่งอาจทำให้ระบุได้ว่าภาพถ่ายนั้นถูกถ่ายโดยใคร และงานวิจัยนี้อาจเป็นประโยชน์ต่องานสืบสวนหาผู้กระทำผิด (เช่น ถ่ายภาพอนาจารเด็ก, ขโมยสมาร์ทโฟนแล้วมาใช้งานถ่ายภาพ) ในอนาคต

Chrome เริ่มทดสอบแสดง "origin chip" แทน URL

By lew

on 6 May 2014 - 02:14 Tag: Security, Chrome, Phishing

Security

Chrome รุ่น Canary มีความสามารถ "origin chip" ให้เลือกเปิดมาทดสอบการใช้งานได้ โดยหลังจากเปิดใช้งานแล้ว Omnibox ที่เคยแสดง URL จะแสดงเฉพาะชื่อโดเมนเท่านั้น ไม่แสดง URL เต็มอีกต่อไป ในส่วนกล่องจะอินพุตจะใช้เพื่อค้นหาหรือใส่ URL ใหม่เท่านั้น

เหตุผลของแนวทางนี้คือความปลอดภัยของผู้ใช้เวลาเจอกับเว็บฟิชชิ่ง (phishing) เทคนิคการปลอม URL แบบหนึ่งคือการสร้าง subdomain ที่หน้าตาเหมือนโดเมนที่จะปลอม ทำให้ผู้ใช้ที่ไม่ทันระวังเผลอเข้าใช้งานเว็บปลอม

ผู้บริหารห้าง Target ลาออก สังเวยปัญหาข้อมูลรั่วไหล

By lew

on 5 May 2014 - 23:42 Tag: Security, Privacy, Target

Security

ปัญหาห้าง Target ถูกเจาะจนข้อมูลบัตรเครดิตรั่วจำนวนมาก ส่งผลให้ ซีอีโอ Gregg Steinhafel และซีไอโอ (Chief Information Officer - CIO) ของห้าง คือ Beth M. Jacob ต้องยื่นใบลาออกจากบริษัทแล้ว โดยตอนนี้จะหาผู้บริหารคนนอกมานั่งแทนชั่วคราว พร้อมกับเตรียมยกเครื่องระบบรักษาความปลอดภัยข้อมูลลูกค้าเสียใหม่

ซีอีโอ Steinhafel ทำงานห้าง Target มานานถึง 35 ปี เขานั่งสามตำแหน่งพร้อมกันได้แก่ ประธานบอร์ดบริหาร, ประธานบริษัท, และซีอีโอ โดยการลาออกครั้งนี้จะลาออกจากทุกตำแหน่งพร้อมกัน โดยตำแหน่งซีอีโอจะให้หัวหน้าฝ่ายการเงิน (CFO) John Mulligan เข้ามาดูแลชั่วคราว

พบช่องโหว่ความปลอดภัยในระบบล็อกอิน OAuth และ OpenID เว็บใหญ่โดนกันถ้วนหน้า

By mk

on 5 May 2014 - 07:56 Tag: Security, OpenID, OAuth

Security

Wang Jing นักศึกษาปริญญาเอกจาก Nanyang Technology University ในสิงคโปร์ ประกาศค้นพบช่องโหว่ในระบบล็อกอิน OAuth 2.0 และ OpenID ที่ส่งผลกระทบต่อเว็บไซต์ชื่อดังเป็นจำนวนมาก

Jing เรียกช่องโหว่นี้ว่า "Covert Redirect" เพราะมันอาศัยการที่ระบบล็อกอินทั้งสองตัวจะยืนยันตัวตนผู้ใช้แล้ว redirect ไปยังเว็บไซต์ปลายทาง แต่กลับไม่ตรวจสอบเว็บไซต์ปลายทางให้ดีก่อน จึงอาจถูกใช้ในการปลอม redirect ไปยังเว็บไซต์ของผู้โจมตีแทนได้ (และเว็บไซต์ที่โจมตีจะได้ข้อมูลส่วนตัวจากเว็บไซต์ต้นทางไป แล้วแต่สิทธิที่ผู้ใช้อนุญาตให้)

แอปเปิลเลิกเข้ารหัสไฟล์แนบของอีเมลใน iOS 7.1.1

By lew

on 5 May 2014 - 03:33 Tag: Apple, Security, iOS

Apple

ฟีเจอร์สำคัญของ iOS นับแต่เวอร์ชั่น 4.0 เป็นต้นมาคือไอโฟนมีฮาร์ดแวร์สำหรับเข้ารหัสมาโดยเฉพาะ ระบบป้องกันข้อมูลจะเข้ารหัสไฟล์แนบของอีเมล และข้อมูลของแอพพลิเคชั่นอื่นๆ แต่ใน iOS 7.1.1 แอปเปิลกลับเลิกใช้กระบวนการเข้ารหัสนี้เสียดื้อๆ

ก่อนหน้านี้แฮกเกอร์อ่านไฟล์อีเมลในไอโฟนได้ยากมากเพราะไฟล์ถูกเข้ารหัสโดยผูกกับ passcode ของเครื่อง แต่หลังจากแอปเปิลเลิกเข้ารหัส หากแฮกเกอร์ได้ไอโฟนไปจะสามารถเปิดไฟล์แนบของอีเมลออกมาอ่านได้โดยง่าย

นักวิจัยความปลอดภัย Andreas Kurtz เป็นผู้พบปัญหานี้ เขารายงานปัญหานี้กับแอปเปิลโดยทางแอปเปิลตอบกลับมาว่ารับรู้ปัญหานี้แล้ว

IETF อาจบังคับการเข้ารหัสแบบ Forward Secrecy ใน TLS 1.3

By lew

on 5 May 2014 - 03:23 Tag: Security, Cryptography, IETF

Security

มาตรฐาน TLS 1.3 มีข้อเสนอที่ได้รับเสียงสนับสนุนในการประชุมครั้งที่ผ่านมา (IETF 89) ว่าจะเริ่มถอดกระบวนการเข้ารหัสที่ไม่รับประกันความเป็นความลับในอนาคต (forward secrecy) ออกจากมาตรฐาน ได้แก่การแลกกุญแจลับแบบ RSA

ไมโครซอฟท์ออกแพตช์แก้ช่องโหว่ร้ายแรง IE แล้ว, Windows XP ได้ด้วย

By mk

on 2 May 2014 - 08:42 Tag: Security, Windows XP, Internet Explorer, Microsoft

Security

เมื่อไม่กี่วันนี้เพิ่งมีข่าว อันตรายร้ายแรง! แจ้งเตือนช่องโหว่ IE กระทบทุกเวอร์ชันและทุกรุ่นของวินโดวส์ ล่าสุดไมโครซอฟท์ออกแพตช์แก้แล้ว ผู้ใช้วินโดวส์สามารถอัพเดตได้ผ่านกระบวนการของ Windows Update ตามปกติ

ไมโครซอฟท์ยังประกาศว่าบั๊กนี้เป็นกรณีพิเศษที่จะออกแพตช์ให้กับผู้ใช้ Windows XP ด้วย แม้ XP จะหมดระยะการสนับสนุนไปแล้วก็ตาม

ส่วนผู้ใช้ Windows 7 จำเป็นต้องติดตั้ง IE11 Update ก่อน ถ้าไม่ติดตั้งแล้วอัพเดตแพตช์ตัวนี้จะทำให้ IE แครชได้ครับ

Chui กริ่งประตูหน้าบ้านอัจฉริยะที่เป็นกล้องวงจรปิดภายในตัว

By ตะโร่งโต้ง

on 30 April 2014 - 03:25 Tag: Security, Smart Home, Crowdfunding

Security

หนึ่งในวัตถุประสงค์ของการพัฒนาเทคโนโลยีเพื่อบ้านอัจฉริยะที่นอกเหนือไปจากการอำนวยความสะดวกในการใช้ชีวิตประจำวันแล้ว ก็เพื่อเพิ่มความปลอดภัยให้แก่ผู้อยู่อาศัยภายในบ้าน และ Chui กริ่งประตูหน้าบ้านอัจฉริยะก็ได้รับการพัฒนามาเพื่อการนี้เช่นกัน

พบบั๊กร้ายแรงใน Flash Player ผู้ใช้ทุกคนควรอัพเดตด่วน

By nutmos

on 29 April 2014 - 10:59 Tag: Security, Adobe Flash, Adobe

Security

นักวิจัยจาก Kaspersky Lab ได้ตรวจพบช่องโหว่บน Flash Player ที่มีความร้ายแรง โค้ด CVE-2014-0515 ซึ่งช่องโหว่นี้อยู่ในส่วน Pixel Blender ที่ออกแบบมาในการประมวลผลภาพและวิดีโอ โดยผู้บุกรุกสามารถใช้ช่องโหว่นี้เข้าควบคุมเครื่องระยะไกลได้

ช่องโหว่นี้จะมีผลกระทบกับผู้ใช้ Flash Player บน Mac เวอร์ชัน 13.0.0.201 และเก่ากว่า, บน Windows เวอร์ชัน 13.0.0.182 และเก่ากว่า และบน Linux เวอร์ชัน 11.2.202.350 และเก่ากว่า

Non-Repudiation: สัญญาต้องเป็นสัญญา

By lew

on 28 April 2014 - 02:38 Tag: Security, In-Depth

Security

ความเชื่อใจในความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ที่เลียนแบบมาจากโลกความเป็นจริงอย่างสุดท้าย นั่นคือการทำสัญญา ในโลกความเป็นจริงคนเราทำสัญญากันทุกวันตลอดเวลา เมื่อเราสั่งสินค้ากับแม่ครัวในร้านอาหาร แม่ค้าต้องนำอาหารที่เราสั่งมาเสิร์ฟให้อย่างถูกต้อง เมื่อเราทานแล้วเราต้องจ่ายเงินตามค่าอาหารที่ระบุไว้ หากแม่ครัวทำอาหารมาผิด เรามีสิทธิที่จะปฎิเสธไม่รับอาหาร และไม่จ่ายเงินค่าอาหารนั้นๆ

Korner เซ็นเซอร์ตรวจจับผู้บุกรุกในราคาแค่ 100 ดอลลาร์

By ตะโร่งโต้ง

on 27 April 2014 - 23:42 Tag: Security, Smart Home, Indiegogo, Crowdfunding, Gadget

Security

การรักษาความปลอดภัยของบ้านพักอาศัยในปัจจุบันนั้นมีช่องทางและเครื่องมือที่ช่วยให้เราดูแลบ้านในยามที่เราอยู่ข้างนอกได้ง่ายขึ้น และหนึ่งในทางเลือกสำหรับระบบเซ็นเซอร์ภายในบ้านก็รวม Korner เอาไว้ด้วย มันคือเซ็นเซอร์ตรวจจับผู้บุกรุกผ่านทางประตูหรือหน้าต่างที่สามารถส่งสัญญาณเตือนเจ้าของบ้านได้ผ่านทางสมาร์ทโฟน

อันตรายร้ายแรง! แจ้งเตือนช่องโหว่ IE กระทบทุกเวอร์ชันและทุกรุ่นของวินโดวส์

By pe3z

on 27 April 2014 - 18:58 Tag: Security, Internet Explorer

Security

ทีมนักวิจัยจาก FireEye ได้ประกาศการค้นพบช่องโหว่ใหม่ของ IE ในรหัส CVE-2014-1776 ซึ่งส่งผลกระทบในทุกๆ เวอร์ชันของ IE โดยช่องโหว่นี้สามารถทำให้แฮกเกอร์สามารถโจมตีผู้ใช้โดยการสั่งรันคำสั่งอันตรายได้จากระยะไกล ยกระดับสิทธิ์ และควบคุมเครื่องของเหยื่อได้อย่างสมบูรณ์

แฮกเกอร์จะใช้วิธีในการสร้างหน้าเว็บไซต์ปลอมที่ฝังโค้ดสำหรับโจมตีช่องโหว่ไว้ เมื่อผู้ใช้งานคลิกเข้าไปดูก็จะถูกโจมตีในทันที ดังนั้นขอให้ผู้ใช้งานระวังการคลิกลิงก์แปลกๆ ที่อาจส่งมาทางเครือข่ายสังคมออนไลน์หรืออีเมลด้วย

งานแถลงรายงานภัยคุกคามด้านความปลอดภัยบนอินเทอร์เน็ตของ Symantec ที่ประเทศไทย

By nrad6949

on 25 April 2014 - 23:13 Tag: Security, Symantec, ISTR

Security

ปกติแล้ว Symantec ซึ่งเป็นบริษัทที่ทำผลิตภัณฑ์เกี่ยวกับความปลอดภัยบนคอมพิวเตอร์ จะเผยแพร่รายงานฉบับหนึ่งที่รู้จักกันในชื่อว่า ISTR (ย่อมาจาก Internet Security Threat Report) หรือในภาษาไทยคือ รายงานภัยคุกคามด้านความปลอดภัยบนอินเทอร์เน็ต (ในข่าวจะขอใช้ตัวย่อภาษาอังกฤษ เพื่อความกระชับ) โดยจะรวบรวมเกี่ยวกับแนวโน้มและภัยคุกคามที่เกี่ยวเนื่องกับความปลอดภัยในโลกอินเทอร์เน็ตตลอดปีที่ผ่านมา และจะเผยแพร่ในทุกช่วงต้นปีถัดมาให้กับสาธารณชนรับทราบ ซึ่งทำมาอย่างต่อเนื่องจนถึงปีนี้ ซึ่งเป็นปีที่ 19 แล้ว

FBI อาจให้เป้าหมายและใช้ประโยชน์จากกลุ่มแฮกเกอร์ LulzSec ก่อนจับกุม

By pe3z

on 25 April 2014 - 18:10 Tag: Security, FBI, LulzSec, Antisec

Security

ย้อนกลับไปเมื่อช่วงต้นปี 2012 กลุ่มแฮกเกอร์ LulzSec ได้ถูกจับกุมโดย FBI และมีการเปิดเผยว่าสาเหตุของการจับกุมในครั้งนั้นเกิดจากการทรยศของ Hector Xavier Monsegur หรือ Sabu ซึ่งเป็นผู้นำของ LulzSec เอง ล่าสุดทาง New York Times ได้รับเอกสารซึ่งอ้างว่า FBI มีส่วนรู้เห็นกับการโจมตีบางปฏิบัติการของ Sabu และ LulzSec มาตั้งแต่ต้น

กลุ่มบริษัทไอทีรายใหญ่ตั้งกองทุนสนับสนุนนักพัฒนา เลี่ยงปัญหา Heartbleed ซ้ำสอง

By lew

on 24 April 2014 - 22:08 Tag: Open Source, Security, Heartbleed

Open Source

ปัญหา Heartbleed ที่ส่งผลกระทบและสร้างความเสียหายมหาศาล มีเหตุผลหนึ่งที่ปัญหานี้อยู่มานานคือโครงการต้นน้ำอย่าง OpenSSL นั้นมีทุนดำเนินการไม่มากนัก นักพัฒนาส่วนมากเป็นนักพัฒนาอาสาสมัคร ตอนนี้บริษัทไอทีขนาดใหญ่ที่ใช้งานซอฟต์แวร์โอเพนซอร์สตระหนักกันแล้วว่าการปล่อยให้โครงการต้นน้ำมีปัญหาทางการเงินนั้นส่งผลเสียได้อย่างไร ก็ได้เวลาตั้งกองทุนที่ชื่อว่า Core Infrastructure Initiative

แอพแชท Viber ส่งรูปภาพและวิดีโอโดยไม่มีการเข้ารหัส

By thanathornboss

on 24 April 2014 - 20:11 Tag: Security, Viber

Security

นักวิจัยจากมหาวิทยาลัย University of New Haven นาย Ibrahim Baggili และนาย Jason Moore ได้ทดลองใช้พีซี Windows 7 เป็นจุดปล่อยสัญญาณอินเทอร์เน็ตไร้สายโดยโทรศัพท์มือถือหนึ่งเครื่องใช้สัญญาณอินเทอร์เน็ตไร้สายที่ปล่อยมาจากจากพีซี Windows 7 และโทรศัพท์มือถืออีกเครื่องใช้สัญญาณจากเครือข่ายโทรศัพท์

นักวิจัยได้ทดลองส่งรูปภาพหรือตำแหน่งบนแผนที่ผ่านแอพ Viber แล้วใช้โปรแกรม NetworkMiner 1.5 ดักจับข้อมูล พบว่ารูปภาพที่ส่งออกไปนั้นเป็นแบบสาธารณะ (public) บนเซิร์ฟเวอร์ของ Viber ซึ่งใครที่มีลิงก์สามารถเข้าถึงรูปภาพได้ทันที

โครงการตรวจสอบโปรแกรม TrueCrypt ผ่านรอบแรกแล้ว ไม่พบช่องโหว่อันตรายใดๆ

By pe3z

on 23 April 2014 - 00:51 Tag: Security, TrueCrypt

Security

TrueCrypt ซึ่งรู้จักกันในฐานะโปรแกรมโอเพนซอร์สที่ใช้ในการสร้างไดรฟ์เข้ารหัสเสมือนจริง, เข้ารหัสพาร์ติชัน และเข้ารหัสอุปกรณ์จัดเก็บข้อมูลเริ่มเข้ารับการตรวจสอบซอร์สโค้ดแล้ว หลังจากมีการเปิดโครงการ The TrueCrypt Audit Project ขึ้นเพื่อระดมทุนในปี 2013

OpenBSD ประกาศแตกโครงการ OpenSSL เป็น LibreSSL

By lew

on 22 April 2014 - 23:41 Tag: Security, OpenBSD, OpenSSL, Heartbleed

Security

ปัญหา Heartbleed สร้างความไม่พอใจให้กับ Theo de Raadt อย่างมากตั้งแต่วันแรกๆ เขาระบุว่าปัญหา Heartbleed จะไม่รุนแรงเท่านี้หากทีมงาน OpenSSL ออปติไมซ์ประสิทธิภาพอย่างรับผิดชอบ ไม่ข้ามกระบวนการรักษาความปลอดภัยของระบบปฎิบัติการไปจัดการเอง ช่วงไม่กี่วันมานี้ OpenBSD ก็เริ่มเข้าล้างบางโค้ด OpenSSL เวอร์ชั่นของตัวเองอย่างหนัก โดยลบโค้ดสำหรับแพลตฟอร์มอื่นออกไป และปรับแก้สไตล์โค้ดจำนวนมาก ตอนนี้โครงการนี้ได้ชื่อว่า LibreSSL

Subscribe to Security