iPhone 5, Galaxy S4 และ Nexus 4 โดนเจาะร่วงในงาน Mobile Pwn2Own 2013

By pe3z Writer on Tag: Security, Pwn2Own, iPhone 5, Galaxy S4, Nexus 4
Security

จากข่าวประกาศการแข่งขัน Mobile Pwn2Own 2013 ซึ่งจัดขึ้นที่การประชุม PacSec กลุ่มแฮ็กเกอร์จากญี่ปุ่นและอีกกลุ่มหนึ่งจากจีนได้ประสบความสำเร็จในการแฮ็ก Galaxy S4 และ iPhone 5 แล้ว โดยแต่ละรายการมีรายละเอียดดังนี้

Read more

IETF ยังไม่ได้ข้อสรุปความปลอดภัยใน HTTP 2.0

By lew Founder on Tag: Security, Open Standard, HTTP, IETF
Security

หลังจากงาน IETF-88 การโต้เถียงประเด็นความปลอดภัยของ HTTP 2.0 ยังคงไม่ได้ข้อสรุป โดยมีแนวทางสำคัญ การเข้ารหัสเท่าที่เป็นไปได้ และการบังคับเข้ารหัสเต็มรูปแบบ

กระบวนการเข้ารหัสเท่าที่เป็นไปได้ (opportunistic encryption) คือการเปิดให้เบราว์เซอร์พยายามเข้ารหัสก่อนเสมอ แม้จะไม่มีใบรับรองดิจิตอลเต็มรูปแบบก็ตาม เบราว์เซอร์ก็ยังยอมรับการเข้ารหัสกับเซิร์ฟเวอร์เหล่านี้ แต่จะแสดงผลกับผู้ใช้ว่ากำลังใช้งานเป็น HTTP และไม่แจ้งผู้ใช้ว่ากำลังเข้ารหัสอยู่

Read more

เฟซบุ๊กแจ้งเตือนให้ผู้ใช้ที่ข้อมูลหลุดจากฐานข้อมูล Adobe เปลี่ยนรหัส

By lew Founder on Tag: Security, Adobe, Facebook
Security

ปัญหาความปลอดภัยของ Adobe ที่ทำข้อมูลผู้ใช้และรหัสผ่านหลุดมาเป็นจำนวนมาก ยิ่งกว่านั้นรหัสผ่านเหล่านั้นยังไม่ได้แฮชค่าเอาไว้ ทำให้ผู้ใช้ตกในความเสี่ยงเป็นวงกว้าง ปัญหาสำคัญคือผู้ใช้หลายคนมักใช้รหัสผ่านเดียวกันในหลายบริการ ทำให้รหัสผ่านเหล่านี้อาจจะถูกใช้ซ้ำในบริการของเฟซบุ๊ก ทางเฟซบุ๊กจึงป้องกันไว้ก่อนด้วยการแจ้งเตือนให้ผู้ใช้ที่มีความเสี่ยงเปลี่ยนรหัสผ่านทันที

Read more

ไมโครซอฟท์ประกาศไม่ยอมรับ SHA-1 หลังปี 2016

By lew Founder on Tag: Security, Microsoft
Security

ค่าแฮช SHA-1 ถูกใช้งานมาตั้งแต่ปี 1995 โดยทั่วไปแล้วยังมีความแข็งแกร่งดี แต่งานวิจัยช่วงหลังๆ แสดงให้เห็นว่าการสร้างค่าที่ทำให้ค่าแฮชชนกันด้วย SHA-1 นั้นง่ายกว่าที่ออกแบบไว้อย่างมาก และมีความเสี่ยงที่จะถูกปลอมใบรับรองได้ทำให้ไมโครซอฟท์ออกมาประกาศแล้วว่าจะเลิกยอมรับใบรับรองที่เซ็นไว้ด้วย SHA-1

เมื่อปีที่แล้วมีงานวิจัยตีพิมพ์ออกมาว่าสามารถสร้างค่าแฮช SHA-1 ที่ชนกันได้ด้วยการคำนวณเพียง 2^61 รอบเท่านั้น แม้ค่าแฮชของ SHA-1 จะมีขนาดถึง 160 บิตก็ตาม

Read more

เป็นเรื่อง สถานีอวกาศนานาชาติติดไวรัสจาก USB drive ที่นักบินรัสเซียนำไปใช้

By mk Founder on Tag: Virus, Security, Space, Russia, Kaspersky
Virus

Eugene Kaspersky ผู้เชี่ยวชาญด้านความปลอดภัย (ตามนามสกุลก็คงรู้ว่าจากบริษัทอะไร) เปิดเผยข้อมูลว่าสถานีอวกาศนานาชาติ (ISS) เคยประสบปัญหาไวรัสคอมพิวเตอร์ไปเยือน โดยสาเหตุมาจากนักบินอวกาศรัสเซียนำ USB drive ที่ติดไวรัสจากโลกขึ้นไปใช้งาน

Kaspersky ไม่ได้บอกว่าเหตุการณ์ไวรัสระบาดบนสถานีอวกาศนานาชาติเกิดขึ้นเมื่อไร แต่คาดว่าน่าจะเกิดขึ้นก่อนเดือนพฤษภาคมปีนี้ เพราะเป็นช่วงที่คอมพิวเตอร์ทั้งหมดบนสถานีอวกาศถูกเปลี่ยนเป็นลินุกซ์ (ก่อนหน้านี้เป็น Windows XP)

Read more

รหัสผ่านของ Adobe ที่หลุดออกมาไม่ได้แฮชแต่เข้ารหัสแบบ ECB, นักวิจัยถอดรหัสออกแล้ว

By lew Founder on Tag: Security, Password, Adobe
Security

ข่าวเว็บ Adobe ถูกแฮ็กเมื่อเดือนที่แล้วมีปัญหามากกว่าที่รายงานออกมาในตอนแรก เพราะฐานข้อมูลรหัสผ่านที่รั่วออกมากลับมีกระบวนการเข้ารหัสที่ไม่ได้มาตรฐาน โดยฐานข้อมูลรหัสผ่านนั้นไม่ได้เป็นค่าแฮชของรหัสผ่านเอาไว้ แต่กลับเข้ารหัสแบบกุญแจสมมาตร และใช้กระบวนการเข้ารหัสแบบ Electronic Code Book (ECB) ทำให้นักวิจัยสามารถเข้าหารหัสผ่านที่ซ้ำกัน และวิเคราะห์ย้อนกลับหารหัสผ่านที่แท้จริงได้

Read more

ระวัง ไมโครซอฟท์เตือนช่องโหว่สำคัญใน Windows, Office รุ่นเก่า

By mk Founder on Tag: Security, Windows Vista, Windows Server 2008, Microsoft Lync, Microsoft, Microsoft Office
Security

ไมโครซอฟท์ออกมาเตือนว่าค้นพบช่องโหว่ด้านความปลอดภัยสำคัญที่กระทบกับ

  • Windows Vista, Windows Server 2008
  • Office 2003, Office 2007, Office 2010
  • Lync 2010, Lync 2013

ต้นเหตุของปัญหาคือบั๊กในระบบกราฟิกของไมโครซอฟท์ (ที่รู้จักกันในชื่อ graphics device interface หรือ GDI) ทำให้แฮ็กเกอร์สามารถรันโค้ดผ่านช่องโหว่นี้ได้

Read more

Chrome เตรียมเพิ่มระบบป้องกันการเข้าถึงรหัสผ่านที่เก็บไว้ในเบราว์เซอร์

By ตะโร่งโต้ง Writer on Tag: Google, Security, Chrome, Password, Mac
Google

หลังจากได้รับเสียงวิพากษ์วิจารณ์รุนแรงเรื่องความหละหลวมในการเก็บรักษารหัสผ่านเว็บไซต์และบริการต่างๆ บนตัวเว็บเบราว์เซอร์ ดูเหมือน Chrome เตรียมจะเพิ่มระบบยืนยันตัวตนของผู้ใช้เพื่อป้องกันการเข้าถึงบรรดารหัสผ่านทั้งหลายโดยง่ายแล้ว

Read more

Chrome เพิ่มฟีเจอร์รีเซ็ตเบราว์เซอร์และสแกนไฟล์ที่ดาวน์โหลด

By lew Founder on Tag: Security, Browser, Chrome
Security

แม้ว่า Chrome จะพยายามเพิ่มฟีเจอร์ความปลอดภัยที่ซับซ้อนขึ้นเรื่อยๆ เช่น sandbox แต่ช่องโหว่สำคัญคือหากผู้ใช้ลงซอฟต์แวร์ภายนอกที่เข้ามาเปลี่ยนค่าต่างๆ ใน Chrome เสียเองแล้วกระบวนการป้องกันก็แทบหมดความหมาย ทางแก้ของเรื่องนี้คือทำเหมือนแท็บเล็ตและโทรศัพท์มือถือที่เราสามารถตั้งค่ากลับไปค่าเริ่มต้นของโรงงานได้ และติดตั้งทุกอย่างใหม่อีกครั้ง ตอนนี้การล้างค่าแบบเดียวกันนี้ก็มีใน Chrome แล้ว

ปุ่ม "Reset browser settings" จะอยู่ในหน้า "Advanced Settings" ให้ผู้ใช้กดปุ่มเพื่อล้างทุกอย่างเหมือนลงเบราว์เซอร์ใหม่

Read more

Silent Circle และ Lavabit ร่วมมือสร้างอีเมลแบบเข้ารหัส สร้างพันธมิตร Dark Mail Alliance

By lew Founder on Tag: Security, Privacy, E-mail
Security

ผู้ให้บริการอีเมลแบบมีความเป็นส่วนตัวสูง Silent Circle และ Lavabit (หยุดให้บริการไปแล้วเนื่องจากถูกกดดันให้เปิดเผยกุญแจเข้ารหัส) ประกาศสร้างพันธมิตรสำหรับพัฒนาอีเมลรูปแบบใหม่ จุดสำคัญคือมันต้องออกแบบให้ปลอดภัยอย่างสมบูรณ์ และทั้งสองบริษัทจะตั้งเป็นพันธมิตรเพื่อดึงสบริษัทอื่นๆ เข้ามาร่วมในภายหลัง ใช้ชื่อว่า Dark Mail Alliance

Read more

แจ้งเตือนช่องโหว่ระดับร้ายแรงของ PHP เวอร์ชัน 5.x บน Apache

By pe3z Writer on Tag: Security, PHP
Security

แฮ็กเกอร์ king cope ซึ่งรู้จักกันดีว่าเป็นนักปล่อยช่องโหว่ประเภท 0-day สู่สาธารณะตัวยงได้ออกมาเปิดเผยช่องโหว่ระดับร้ายแรงของ PHP 5.x ที่รันบน Apache ซึ่งอาจส่งผลให้แฮ็กเกอร์ที่ใช้ช่องโหว่นี้สามารถรันคำสั่งอันตรายไปยังเป้าหมายจากระยะไกลได้

Read more

กรณีเว็บ Adobe ถูกแฮ็ก กระทบผู้ใช้ 38 ล้านราย, ซอร์สโค้ด Photoshop อาจถูกขโมย

By mk Founder on Tag: Security, Photoshop, Hacking, Data Breach, Adobe
Security

จากกรณี Adobe ถูกแฮก ผู้ใช้บางส่วนและซอร์สโค้ดของโปรแกรมถูกขโมย เมื่อต้นเดือนนี้ ตอนแรก Adobe ระบุว่าน่าจะกระทบกับผู้ใช้ประมาณ 2.9 ล้านบัญชี แต่ข้อมูลใหม่ล่าสุดหลังการตรวจสอบอย่างละเอียดแล้ว พบว่าอาจกระทบกับผู้ใช้มากถึง 38 ล้านบัญชีเลยทีเดียว

ล่าสุดมีรายงานว่าไฟล์บัญชีและรหัสผ่านของผู้ใช้ (ที่เข้ารหัสแบบ hash) ถูกปล่อยออกมาบนอินเทอร์เน็ตแล้ว ไฟล์นี้มีขนาด 3.8GB และมีข้อมูลผู้ใช้กว่า 150 ล้านบัญชี แต่ก็ยังไม่ชัดเจนว่าเป็นไฟล์จริงหรือไม่ และเป็นบัญชีที่ถูกใช้งาน (active) มากน้อยแค่ไหน

Read more

ซีอีโอ Buffer ยอมรับว่าถูกแฮกจริง แต่ข้อมูลสำคัญไม่ได้รับผลกระทบแต่อย่างใด

By Blltz Writer on Tag: Security, Social Network, Buffer
Security

เมื่อช่วงวันหยุดที่ผ่านมา Buffer บริการจัดการโซเชียลเน็ตเวิร์คแบบหลายแพลตฟอร์มเพิ่งถูกแฮก และมีบัญชีผู้ใช้บางส่วนถูกนำไปโพสต์ข้อความสแปม และตอนนี้ Joel Gascoigne ซีอีโอของ Buffer ก็ออกมายอมรับสถานการณ์ดังกล่าวแล้ว

Gascoigne บอกว่า Buffer นั้นถูกแฮกจริง แต่ข้อมูลสำคัญจำพวกรหัสผ่าน และข้อมูลการเงินนั้นไม่มีผลกระทบจากการแฮกครั้งนี้แต่อย่างใด

Read more

บัญชีทวิตเตอร์, เฟซบุ๊ก, อีเมลและเว็บไซต์รณรงค์แคมเปญของโอบามาถูกแฮก

By pe3z Writer on Tag: Security, Hacking, Barack Obama
Security

กลุ่ม Syrian Electronic Army (SEA) ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่อยู่ภายใต้เงาของรัฐบาลซีเรียได้ออกมาประกาศการโจมตีไปยังบัญชีผู้ใช้ส่วนตัวหลายรายการของประธานาธิบดีโอบามา เช่น ทวิตเตอร์, เฟซบุ๊ก, อีเมล รวมไปถึงเว็บไซต์ซึ่งถูกใช้ในการรณรงค์แคมเปญต่างๆ ของโอบามาด้วย

เว็บไซต์ดังกล่าวได้ถูกแก้ไขหน้าเว็บไซต์เป็นข้อความว่า Hacked by SEA ซึ่งจากการตรวจสอบเบื้องต้นนั้นพบว่า หน้าเว็บไซต์ดังกล่าวนั้นเป็นหน้าที่ถูกใช้เป็นเวลานานมากแล้วแต่ยังคงออนไลน์บนเซิร์ฟเวอร์อยู่

Read more

กลุ่ม Anonymous ใช้เด็ก 12 ขวบแฮกเว็บไซต์รัฐบาลเพื่อแลกกับวิดีโอเกม

By gandtha on Tag: Security, Anonymous
Security

เด็กชายอายุ 12 ขวบ ยอมรับว่าเขาเป็นผู้แฮกเว็บไซต์หลายเว็บให้กับกลุ่ม Anonymous ได้แก่ กรมตำรวจแห่งเมืองมอนทรีออล, สถาบันสาธารณสุขแห่งรัฐควิเบก และเว็บไซต์รัฐบาลประเทศชิลี เป็นต้น ซึ่งเขาได้ถล่ม (flooding) เซิร์ฟเวอร์จนเว็บไซต์ล่ม, แก้ไขหน้าเว็บ และเข้าถึงข้อมูลของผู้ใช้ เขาจะได้รับวิดีโอเกมเป็นการตอบแทนจากการแฮกเว็บไซต์ของรัฐบาลในครั้งนี้

คาดว่าความเสียหายในเหตุการณ์นี้เป็นจำนวนเงิน 60,000 ดอลลาร์สหรัฐ โดยศาลเยาวชนจะตัดสินคดีนี้ในเดือนหน้า

Read more

reCAPTCHA ปรับอัลกอริทึมใหม่ อ่านง่ายขึ้นสำหรับคน อ่านยากกว่าเดิมสำหรับบ็อต

By mk Founder on Tag: Google, Security, reCAPTCHA, CAPTCHA
Google

หลายคนแถวนี้คงคุ้นเคยกับ reCAPTCHA บริการตรวจสอบความเป็นมนุษย์ผ่านการอ่านตัวอักษรบิดๆ เบี้ยวๆ ที่กูเกิลซื้อไปเมื่อหลายปีก่อน และคง "รู้ซึ้ง"​ ถึงความยากของมันเป็นอย่างดี

ล่าสุดทีม reCAPTCHA ออกมาให้ข้อมูลว่าเทคโนโลยีด้าน AI ทำให้บ็อตเก่งขึ้นเรื่อยๆ จน reCAPTCHA ต้องสร้างรหัสที่ยากขึ้นเรื่อยๆ จนเป็นปัญหาว่ามนุษย์เองก็เริ่มอ่านไม่ออก ทางทีมจึงต้องวิจัยหาแนวทางแก้ไขปัญหาที่ดีขึ้นกว่าเดิม

Read more

เด็กไทยอายุ 18-19 ปี ร่วมขบวนการโจรกรรมเงินทาง E-Banking มูลค่า 1.8 ล้านบาท

By modeQ Writer on Tag: Security, Thailand, Privacy, Crime, Banking
Security

เมื่อวานนี้ตำรวจ สน.ประเวศ ได้แถลงข่าวจับกุมวัยรุ่นไทยสองคน อายุ 18 ปี และ 19 ปี ในข้อหาโจรกรรมเงินทาง E-Banking ของผู้เสียหายเป็นจำนวนมากถึง 1.8 ล้านบาท

จากการแถลงข่าวพอสรุปวิธีการโจรกรรมคือ ผู้ต้องหานำสำเนาบัตรประจำตัวประชาชนของผู้เสียหาย (ดำมาก) ไปแจ้งผู้ให้บริการโทรศัพท์ว่าซิมการ์ดหายแล้วขอซิมการ์ดใหม่ (โดยผู้เสียหายใช้โทรศัพท์ 2 ซิม) ทำให้ซิมเก่าที่ผู้เสียหายใช้อยู่ถูกระงับทันที โดยไม่มีความผิดปกติเกิดขึ้น (เพราะอีกซิมใช้ได้)

Read more

BitLock : กุญแจล็อกจักรยานอัจฉริยะ

By ตะโร่งโต้ง Writer on Tag: Security, Kickstarter, Gadget
Security

ในเมื่อสมัยนี้เราสามารถติดเครื่องรถยนต์หลายรุ่นได้โดยไม่ต้องใช้ลูกกุญแจ ก็คงไม่ใช่เรื่องแปลกที่จะมีคนคิดค้นระบบล็อกจักรยานแบบไม่ง้อลูกกุญแจบ้างเช่นกัน และ BitLock คือชื่อโครงการสร้างผลิตภัณฑ์นี้ที่กำลังระดมทุนเพื่อผลิตออกวางจำหน่าย

BitLock เป็นกุญแจรูปตัวยูสำหรับใช้ล็อกจักรยานไว้กับที่จอดหรือเสาในบริเวณต่างๆ ซึ่งคุณสมบัติพิเศษของมันคือไม่จำเป็นต้องอาศั้ยลูกกุญแจเพื่อปลดล็อกแต่อย่างใด โดยผู้ใช้เพียงแค่เปิดแอป BitLock ในสมาร์ทโฟนระบบ iOS หรือ Android ก็สามารถปลดล็อกแม่กุญแจอัจฉริยะตัวนี้ได้โดยสะดวก

Read more

กูเกิลต่ออายุอัพเดต Chrome บน Windows XP ไปถึงปี 2015

By lew Founder on Tag: Google, Security, Chrome
Google

Windows XP นั้นเป็นวินโดวส์ที่ดีที่สุดรุ่นหนึ่ง (เป็นวินโดวส์รุ่นแรกที่ผมอัพเกรดแล้วพบว่าคอมพิวเตอร์ของผม "เร็วขึ้น") แม้ว่ามันจะวางตลาดมาตั้งแต่ปี 2001 แต่ผู้ใช้จำนวนมากก็ยังใช้งานอยู่จนทุกวันนี้ ในอีกไม่กี่เดือนข้างหน้าไมโครซอฟท์ก็จะหยุดการอัพเดตทั้งหมดของ Windows XP ซึ่งจะทำให้บั๊กใหม่ๆ ไม่ได้รับการแก้ไขอีกต่อไป แต่ทางกูเกิลกลับออกมาประกาศว่าจะซัพพอร์ต Chrome บน Windows XP ต่อไปจนถึงเดือนเมษายน 2015 หนึ่งปีหลังไมโครซอฟท์หยุดซัพพอร์ต

Read more

แอนดรอยด์ปรับ SSL ให้อ่อนแอลงตั้งแต่รุ่น 2.3 เป็นต้นมา

By lew Founder on Tag: Security, SSL, Android
Security

Georg Lukas นักพัฒนาโอเพนซอร์สรายหนึ่งสำรวจการทำงานของแอนดรอยด์แล้วพบพฤติกรรมที่แปลกของแอนดรอยด์คือการเลือกใช้กระบวนการเข้ารหัสแบบ RC4-MD5 ซึ่งค่อนข้างอ่อนแอ จึงได้สำรวจดูว่าพฤติกรรมเช่นนี้เป็นมานานเพียงใด และพบว่าแอนดรอยด์ถูกปรับให้ใช้การเข้ารหัสที่อ่อนแอลงตั้งแต่รุ่น 2.3.4 เป็นต้นมา

Read more
Subscribe to Security