OpenSSH เตรียมเพิ่มฟีเจอร์ล็อกเวลาส่งข้อมูลคีย์บอร์ดทุก 20ms ป้องกันการคาดเดาคำที่พิมพ์อยู่

By lew Founder on Tag: OpenSSH, Security
OpenSSH

Damien Miller นักพัฒนาโครงการ OpenSSH ส่งโค้ดเพิ่มฟีเจอร์ ObscureKeystrokeTiming เพื่อล็อกห้วงเวลาส่งข้อมูลคีย์บอร์ด จากเดิมที่ส่งทันที ให้ส่งทุกห้วงเวลาที่กำหนด เช่น 20ms เท่านั้น นอกจากนี้ยังส่งข้อมูลคีย์ปลอมเพื่อสร้างความสับสนเพิ่มเติม

Read more

Gmail เพิ่มความปลอดภัย ให้ยืนยัน 2 ขั้นตอน เมื่อพยายามแก้ไข Filter หรือ Forwarding

By arjin Writer on Tag: Gmail, Google Workspace, Security
Gmail

กูเกิลเพิ่มความปลอดภัยของ Gmail โดยให้ผู้ใช้งานต้องยืนยันตัวตน 2 ขั้นตอน ทุกครั้งที่มีการแก้ไขการตั้งค่า (Settings) ในส่วนที่กูเกิลมองว่าเป็นความเสี่ยงสูง ได้แก่

  • Filters: สร้าง Filter, แก้ไข Filter หรือนำเข้า Filter
  • Forwarding: สร้างที่อยู่ที่ส่งต่อเพิ่มเติมในส่วนการตั้งค่า Forwarding หรือ POP/IMAP
  • IMAP access: เพิ่มการเข้าถึงของ IMAP (หากผู้ดูแลระบบ Workspace เปิดให้ผู้ใช้แก้ไขได้เอง)
Read more

WinRAR ออกอัพเดตซอฟต์แวร์ แก้ไขช่องโหว่ที่สามารถรันโค้ดได้ หากเปิดไฟล์ RAR ที่ฝังมัลแวร์

By arjin Writer on Tag: WinRAR, Security
WinRAR

มีรายงานช่องโหว่ระดับความร้ายแรงสูง CVE-2023-40477 ซึ่งผู้โจมตีสามารถฝังโค้ดผ่านไฟล์ RAR ที่หากเปิดด้วย WinRAR จะเข้าถึงหน่วยความจำของคอมพิวเตอร์ได้ อย่างไรก็ตามด้วยวิธีการที่ค่อนข้างเฉพาะจึงทำให้การโจมตีอาจทำได้ยาก

ทั้งนี้ RARLAB ผู้พัฒนา WinRAR ได้ออกอัพเดตซอฟต์แวร์เวอร์ชัน 6.23 ซึ่งระบุว่าแก้ไขช่องโหว่ดังกล่าวแล้ว ผู้ใช้งาน WinRAR จึงควรอัพเดตโปรแกรมทันทีเพื่อป้องกันปัญหาดังกล่าว

ไมโครซอฟท์เองก็เริ่มทดสอบการรองรับไฟล์ RAR รวมถึง 7-Zip และ GZ ใน Windows 11 จึงทำให้ความจำเป็นในการใช้โปรแกรม WinRAR โดยเฉพาะมีน้อยลงอีกด้วย

Read more

คอมไพล์ผ่านรันได้ กูเกิลทดลองใช้ AI เขียนโค้ดทดสอบความปลอดภัยโครงการโอเพนซอร์ส

By lew Founder on Tag: Google, Security, Artificial Intelligence, LLM, Programming
Google

กูเกิลแสดงผลการทดลองใช้ปัญญาประดิษฐ์ในกลุ่ม Large Language Model (LLM) มาเขียนโค้ดยิงไลบรารีต่างๆ ภายใต้โครงการ OSS-Fuzz เพื่อหาช่องโหว่ซอฟต์แวร์

การทดสอบแบบ fuzzing ช่วยให้พบช่องโหว่แบบที่คนคิดไม่ถึงโดยเฉพาะช่องโหว่หน่วยความจำ ด้วยการอาศัยการยิงอินพุตแบบสุ่ม อย่างไรก็ดีโค้ดที่ใช้ทดสอบนั้นต้องเขียนด้วยมือทำให้ชุดทดสอบต่างๆ มักครอบคลุมโค้ดที่ต้องการทดสอบไม่มากนัก โดยเฉลี่ยครอบคลุมเพียง 30% เท่านั้น

Read more

กูเกิลปล่อยเฟิร์มแวร์กุญแจ FIDO แบบเข้ารหัสทนทานคอมพิวเตอร์ควอนตัม

By lew Founder on Tag: Google, FIDO, Security, Quantum Cryptography, Quantum Computer
Google

กูเกิลร่วมกับทีมวิจัยจาก ETH Zürich พัฒนาเฟิร์มแวร์กุญแจยืนยันตัวตน FIDO รุ่นพิเศษ ที่ใช้กระบวนการเข้ารหัสลับที่ทนทานต่อคอมพิวเตอร์ควอนตัม เป็นการเตรียมทางสู่การวางมาตรฐาน FIDO รุ่นต่อๆ ไปที่จะรองรับกระบวนการนี้ในอนาคต

เฟิร์มแวร์นี้มีลายเซ็นดิจิทัลยืนยันข้อมูลซ้อนกันสองชั้น คือ ECDSA แบบเดิมๆ และ Dilithium ที่ NIST เลือกเป็นมาตรฐานการเซ็นลายเซ็นดิจิทัลแบบทนทานคอมพิวเตอร์ควอนตัม ความยากในการอิมพลีเมนต์คือโค้ดทั้งหมดต้องรันด้วยแรมเพียง 20KB เท่านั้น และตัวกุญแจต้องตอบผลลัพธ์ต่างๆ ภายในเวลาที่กำหนดไว้ในมาตรฐาน

Read more

Chrome จะอัพเกรดลิงก์ HTTP เป็น HTTPS ให้อัตโนมัติ, แจ้งเตือนถ้าดาวน์โหลดไฟล์ผ่าน HTTP

By mk Founder on Tag: Chrome, HTTPS, HTTP, Browser, Security
Chrome

Chrome ประกาศมาตรการหลายอย่างเพื่อผลักดันการใช้ HTTPS แทน HTTP ให้เกิดขึ้นได้จริง หลังจากพบว่าทราฟฟิกเว็บ 5-10% ยังเป็น HTTP อยู่ตลอดมา ไม่ยอมอัพเกรดเป็น HTTPS สักที ซึ่งมีผลต่อความปลอดภัยของผู้ใช้

  • การคลิกลิงก์เก่าที่เป็น http:// จะถูกอัพเกรดเป็น https:// โดยอัตโนมัติ หากเชื่อมต่อ https:// ไม่สำเร็จถึงค่อยกลับมาเป็น http:// แปลว่าผู้ใช้จะเข้าเว็บผ่าน HTTP ในกรณีที่ไม่มี HTTPS ให้ใช้งานเท่านั้น ไม่ได้เข้า HTTP โดยบังเอิญหรือไม่ตั้งใจ (แม้มี HTTPS ให้ใช้) อีกต่อไป
  • การดาวน์โหลดไฟล์ผ่าน HTTP จะเห็นข้อความแจ้งเตือนว่าไฟล์อาจไม่ปลอดภัย การเตือนจะมีผลกับไฟล์ทุกประเภท ยกเว้นไฟล์ภาพ เสียง วิดีโอ ที่ค่อนข้างปลอดภัยในตัวเองอยู่แล้ว
Read more

Android 14 เพิ่มตัวเลือกเชื่อมต่อเครือข่ายโทรศัพท์แบบเข้ารหัสเท่านั้น ป้องกันเสาสัญญาณโทรศัพท์ปลอม

By lew Founder on Tag: Android, Security
Android

กูเกิลประกาศเพิ่มฟีเจอร์ใน Android 14 เปิดให้ผู้ใช้บังคับว่าจะเชื่อมต่อกับเสาสัญญาณโทรศัพท์มือถือที่เข้ารหัสเท่านั้น หลังจากการโจมตีเสาสัญญาณโทรศัพท์ปลอม (False Base Station - FBS) ระบาดเป็นวงกว้างรวมถึงในประเทศไทย

ที่ผ่านมาการโจมตี FBS มักจะอาศัยเครือข่าย 2G แต่ที่จริงแล้วเครือข่ายรุ่นใหม่ๆ ก็สามารถเชื่อมต่อแบบไม่เข้ารหัสได้เช่นกันหากเครือข่ายคอนฟิกไว้ผิดพลาด ก่อนหน้านี้ Android มีตัวเลือกสำหรับปิดการเชื่อมต่อแบบ 2G ทั้งหมดเพื่อลดความเสี่ยง FBS

Read more

พบช่องโหว่ Downfall ในซีพียูอินเทล Gen 6-11 ขโมยข้อมูลของผู้ใช้ในเครื่องเดียวกันได้

By mk Founder on Tag: Intel, CPU, Bug, Security, Processor, Skylake, Tiger Lake
Intel

Daniel Moghimi นักวิจัยความปลอดภัยของกูเกิล ค้นพบช่องโหว่ในซีพียูอินเทลจำนวนมาก ตั้งแต่ Core 6th Gen (Skylake) มาถึง Core 11th Gen (Tiger Lake) รวมถึงซีพียูกลุ่มเซิร์ฟเวอร์ Xeon, ซีพียู Atom ที่ออกขายในช่วงเดียวกัน รายชื่อทั้งหมด

Read more

ไมโครซอฟท์ร่วมมือซัมซุง เปิดให้องค์กรตรวจสอบความปลอดภัยโทรศัพท์ผ่าน Samsung Knox

By lew Founder on Tag: Microsoft, Samsung, Security, Knox, Intune, Enterprise
Microsoft

ไมโครซอฟท์ประกาศความร่วมมือกับซัมซุงประกาศรองรับ Samsung Knox ใน Microsoft Intune ทำให้องค์กรสามารถตรวจสอบความปลอดภัยของอุปกรณ์ที่จะเข้าถึงระบบต่างๆ ได้ที่ระดับฮาร์ดแวร์

ประกาศระบุว่าปกติการยืนยันความปลอดภัยอุปกรณ์อย่างโทรศัพท์มือถือต้อง enroll ทั้งเครื่องเข้าเป็นส่วนหนึ่งของเครื่องที่องค์กรจัดการอยู่ แต่เมื่อใช้งาน Samsung Knox องค์กรจะสามารถอนุญาตให้พนักงานใช้งานเครื่องส่วนตัวทำงานได้โดยไม่ต้อง enroll ทั้งเครื่อง แต่ยืนยันได้ว่าเครื่องปลอดภัยผ่านทาง Intune mobile application management (MAM)

Read more

พบภาษา Vyper สำหรับพัฒนาแอปพลิเคชั่นบนบล็อคเชนมีช่องโหว่ smart contract หลายตัวโดนโจมตีความเสียหายรวมเกิน 25 ล้านดอลลาร์

By lew Founder on Tag: Blockchain, Security
Blockchain

โครงการภาษา Vyper ภาษาสำหรับพัฒนาแอปพลิเคชั่นบนบล็อคเชน มีช่องโหว่เวอร์ชั่น 0.2.15, 0.2.16, และ 0.3.0 แม้ว่าจะแก้ไขไปตั้งแต่ 2 ปีก่อนแต่โค้ด smart contract หลายตัวก็ยังใช้เวอร์ชั่นคอมไพลเลอร์เวอร์ชั่นเหล่านี้อยู่

ตอนนี้มีรายงานว่าบล็อคเชนต่างๆ ถูกโจมตีจากช่องโหว่นี้ เช่น AlchemixFi ถูกโจมตี 13 ล้านดอลลาร์, JPEG'd 11 ล้านดอลลาร์, MetronomeDAO 1.6 ล้านดอลลาร์, Ellipsis Finance 68,600 ดอลลาร์, และ Debridge Finance 24,600 ดอลลาร์

Read more

กูเกิลสำรวจการโจมตีด้วยช่องโหว่ 0-day พบแอนดรอยด์ยังแก้ไขช้า บางช่องโหว่ใช้เวลาครึ่งปี

By lew Founder on Tag: Security, Google, Android
Security

Threat Analysis Group (TAG) กลุ่มวิจัยความปลอดภัยไซเบอร์ของกูเกิล รายงานถึงการโจมตีระบบคอมพิวเตอร์ด้วยช่องโหว่ที่ยังไม่ได้แพตช์ หรือช่องโหว่ 0-day ในช่วงปีที่ผ่านมา พบการโจมตีจากช่องโหว่ 41 รายการตลอดปี 2022 ลดลง 40% จากปี 2021 แต่สภาพการณ์โดยรวมยังไม่ดีนัก เนื่องจากช่องโหว่บางตัวใช้เวลาแพตช์นาน รายงานระบุเหตุการณ์โดยรวมไว้ 4 ประเด็น ได้แก่

Read more

พบช่องโหว่ Zenbleed เปิดให้ดึงข้อมูลจากซีพียู Zen 2 ได้, AMD ออกแพตช์อุดแล้ว

By mk Founder on Tag: AMD, Zen, Security, CPU, Google, EPYC, Ryzen
AMD

Tavis Ormandy นักวิจัยความปลอดภัยของกูเกิล เปิดเผยช่องโหว่ Zenbleed ของซีพียูตระกูล AMD Zen 2 ทุกรุ่น ตั้งแต่ Ryzen, Ryzen Pro, Threadripper, EPYC (ในข่าวไม่ได้ระบุถึงแต่มีโอกาสโดนด้วยคือ PS5, Xbox Series และ Steam Deck ที่เป็นแกน Zen 2 ทั้งหมด)

Read more

VirusTotal เผลออัปโหลดข้อมูลลูกค้า VirusTotal ขึ้นไปแชร์บน VirusTotal

By Bigta Contributor on Tag: VirusTotal, Data Breach, Antivirus, Security
VirusTotal

VirusTotal เป็นบริการสำหรับตรวจสอบไฟล์และ URL ที่อาจเป็นอันตราย โดยผู้ใช้สามารถส่งค่า hash ของไฟล์ต้องสงสัยขึ้นไปตรวจสอบ หรือจะอัปโหลดตัวไฟล์ขึ้นไปเพื่อวิเคราะห์ก็ได้ โดยไฟล์ที่ถูกอัปโหลดขึ้นไปจะมีการแชร์ให้กับบริษัทแอนติไวรัสหรือนักวิเคราะห์ที่สมัครบริการ VirusTotal แบบ Premium ทำให้หนึ่งในข้อควรตระหนักในการใช้งาน VirusTotal คือไม่ควรอัปโหลดไฟล์ที่มีข้อมูลสำคัญที่เป็นความลับ เนื่องจากอาจส่งผลให้ข้อมูลรั่วไหลได้

Read more

กูเเกิลประกาศใช้โปรโตคอล MLS เพื่อเข้ารหัสแบบ end-to-end ใน Google Message, เตรียมเปิดซอร์สให้คนอื่นใช้

By lew Founder on Tag: Google Messages, Google, Cryptography, Security, Encryption, RCS
Google Messages

กูเกิลประกาศเตรียมใช้โปรโตคอล Message Layer Security (MLS) หรือ RFC9420 ที่เพิ่งออกมาตรฐานตัวจริงเมื่อต้นปีที่ผ่านมา โดยจะใช้งานในแอป Google Messages เพื่อการเข้ารหัสแบบ end-to-end

การใช้โปรโตคอล MLS เปิดโอกาสให้แอปต่างๆ ที่รันบน MLS เหมือนกันสามารถส่งข้อความข้ามแอปกันโดยตัวข้อความยังเข้ารหัส end-to-end อยู่ไม่ต้องถอดรหัสออกมาแปลงโปรโตคอลก่อน ตัวโปรโตคอลรองรับการส่งข้อมูลเป็นกลุ่มระดับหลายพันคน และยังรองรับกระบวนการเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม

Read more

รัฐบาลสหรัฐเปิดตัวตราสัญลักษณ์ U.S. Cyber Trust Mark บอกว่าอุปกรณ์ IoT ปลอดภัย

By mk Founder on Tag: FCC, USA, Cybersecurity, Internet of Things, Security, NIST, Whitehouse
FCC

รัฐบาลสหรัฐอเมริกา นำโดยประธานาธิบดีไบเดน เปิดตัวตราสัญลักษณ์รูปโล่ U.S. Cyber Trust Mark เพื่อบ่งชี้ว่าอุปกรณ์ IoT มีความปลอดภัยไซเบอร์มากเพียงพอ ไม่กลายเป็นช่องโหว่ให้ถูกโจมตี

โครงการตราสัญลักษณ์ U.S. Cyber Trust Mark ริเริ่มโดย FCC หรือ กสทช. สหรัฐ จะใช้งานกับอุปกรณ์ทุกรูปแบบที่เชื่อมต่อเครือข่าย เช่น สมาร์ททีวี, ตู้เย็นอัจฉริยะ, เตาไมโครเวฟ, ฟิตเนสแทร็คเกอร์, สมาร์ทมิเตอร์ ฯลฯ โดยมีแบรนด์สินค้าบางราย เช่น Amazon, Best Buy, Google, LG, Logitech, Samsung Electronics ประกาศเข้าร่วมโครงการแล้ว โครงการจะเริ่มดำเนินการจริงในปีหน้า 2024

แบรนด์ที่จะได้ตราสัญลักษณ์ U.S. Cyber Trust Mark จำเป็นต้องผ่านเกณฑ์ด้านความปลอดภัยที่กำหนดโดย National Institute of Standards and Technology (NIST) ซึ่งยังไม่เปิดเผยรายละเอียดในตอนนี้

Read more

ไมโครซอฟท์เปิดบริการเก็บล็อก Purview Audit ให้ใช้ฟรี หลังกรณีถูกแฮ็กระบบอีเมลรัฐบาล

By mk Founder on Tag: Microsoft, Enterprise, Security, CISA, Purview
Microsoft

ไมโครซอฟท์ประกาศข่าวว่าลูกค้าทุกรายจะสามารถใช้บริการเก็บล็อก (cloud logging) ที่ปัจจุบันอยู่ใต้แบรนด์ Microsoft Purview Audit ได้ฟรี เพื่อยกระดับความปลอดภัยของลูกค้าองค์กรที่ใช้คลาวด์

ประกาศนี้เป็นผลต่อเนื่องจากกรณี ไมโครซอฟท์ถูกแฮกกุญแจเซ็นโทเค็น Azure AD แฮกเกอร์เข้าดาวน์โหลดเมลรัฐบาลสหรัฐฯ สำเร็จ ทำให้ไมโครซอฟท์ได้รับแรงกดดันจากหน่วยงานภาครัฐของสหรัฐ โดยเฉพาะ Cybersecurity and Infrastructure Security Agency (CISA) ให้เปิดฟีเจอร์ด้าน cloud logging แก่ลูกค้าในวงกว้างมากขึ้น เพื่อให้สามารถตรวจสอบการแฮ็กได้เร็วขึ้น

Read more

Kevin Mitnick แฮกเกอร์ดังยุค 90 เสียชีวิตด้วยวัย 59 ปี

By lew Founder on Tag: Person, Security, Hacking
Person

Kevin David Mitnick แฮกเกอร์ชื่อดัง ที่เคยแฮกบริษัทใหญ่ๆ ในช่วงปี 1979-1995 เสียชีวิตด้วยโรคมะเร็งตับอ่อน เมื่อวันที่ 16 กรกฎาคมที่ผ่านมาด้วยวัย 59 ปี หลังจากป่วยอยู่นาน 14 เดือน

Mitnick เคยแฮกเข้าระบบคอมพิวเตอร์ของบริษัท Digital Equipment Corporation (DEC) เพื่อเข้าไปดาวน์โหลดซอฟต์แวร์จนถูกจับ จากนั้นเขาก็แฮกบริษัทโทรศัพท์ ปลอมแปลงหมายเลขโทรศัพท์เพื่อซ่อนตัว ตัว Mitnick มีชื่อเสียงขึ้นมา จากหนังสือของ Tsutomu Shimomura แม้ว่าภายหลัง Mitnick จะออกมาตอบโต้เนื้อหาในหนังสือว่าไม่จริงหลายส่วน

Read more

TikTok ประกาศรองรับ Passkey เริ่มจากบน iOS ก่อน

By nismod Writer on Tag: TikTok, Passkey, Security
TikTok

TikTok ประกาศเข้าร่วมเป็นสมาชิก FIDO Alliance พร้อมประกาศการล็อกอินแบบไม่ต้องใช้รหัสผ่านด้วย Passkey โดยเริ่มจากบน iOS ก่อน

ส่วนการเปิดการใช้งาน Passkey ให้ไปที่โปรไฟล์ล่างขวา เลือก Menu แถบขวาบน เลือก Settings and Privacy (การตั้งค่าและความเป็นส่วนตัว) เลือก Account (บัญชี) แล้วเลือก iCloud Passkey (พาสคีย์ iCloud) เป็นอันเรียบร้อย

ที่มา - TikTok

Read more

ไมโครซอฟท์ถูกแฮกกุญแจเซ็นโทเค็น Azure AD แฮกเกอร์เข้าดาวน์โหลดเมลรัฐบาลสหรัฐฯ สำเร็จ

By lew Founder on Tag: Security, Microsoft 365, Data Breach, Microsoft Azure
Security

ไมโครซอฟท์ออกรายงานถึงกลุ่มแฮกเกอร์ Storm-0558 ที่โจมตีจากประเทศจีนโดยมีแนวทางมุ่งขโมยข้อมูล โดยคนร้ายสามารถขโมยกุญแจเซ็นโทเค็นของ Azure AD ออกไปจากไมโครซอฟท์ได้ ทำให้สามารถเซ็นโทเค็นปลอมตัวเป็นบัญชีผู้ใช้อะไรก็ได้ของเหยื่อ

หน่วยงานที่ถูกโจมตีคือฝ่ายบริหารฝั่งพลเรือนของรัฐบาลกลางสหรัฐฯ (Federal Civilian Executive Branch - FCEB) โดยพบล็อกใน Microsoft 365 ว่ามีรายงาน MailItemsAccessed ซึ่งเป็นการเข้าอ่านเมลจากไคลเอนต์ต่างๆ แต่ที่แปลกออกไปคือค่า AppID นั้นไม่เคยพบ แปลว่าอยู่ๆ ก็มีคนใช้อีเมลไคลเอนต์ประหลาดเข้ามาอ่านอีเมล

Read more

AIOS ปลั๊กอินความปลอดภัยของ WordPress ออกอัพเดต หลังพบช่องโหว่เก็บรหัสผ่านเป็น Plaintext

By arjin Writer on Tag: WordPress, Security
WordPress

All-In-One Security (AIOS) ปลั๊กอินด้านความปลอดภัยของ WordPress ออกอัพเดตเวอร์ชันล่าสุด 5.2.0 ระบุว่าแก้ไขบั๊กสำคัญในเวอร์ชันก่อนหน้า 5.1.9 โดยพบว่ามีการเก็บ log ในฐานข้อมูล เมื่อมีคนล็อกอินเข้าเว็บไซต์ ส่วนของรหัสผ่านเป็น plaintext ซึ่งผู้ใช้งานสิทธิระดับ Admin เท่านั้นที่เข้าถึง log นี้ได้ แต่ถือเป็นความเสี่ยงสูงด้านความปลอดภัย

Log Table ของฐานข้อมูล ที่เก็บรายละเอียดนี้คือ aiowps_audit_log ซึ่งเก็บข้อมูลกิจกรรมการล็อกอิน-ล็อกเอาท์ รวมทั้งการล็อกอินทีไม่สำเร็จ แต่เวอร์ชัน 5.1.9 พบว่าบันทึกข้อมูลรหัสผ่านที่กรอกเข้ามาด้วย

Read more
Subscribe to Security