Yahoo! Mail เพิ่มตัวเลือกให้เชื่อมต่อแบบ HTTPS แล้ว

By mk Founder on Tag: Yahoo!, Security, SSL, E-mail, HTTPS
Yahoo!

Yahoo! Mail เป็นผู้ให้บริการอีเมลรายล่าสุดที่เปิดให้ใช้การเชื่อมต่อแบบ HTTPS เพื่อความปลอดภัยที่มากขึ้น โดยตอนนี้ยังเป็นตัวเลือกที่ต้องเข้าไปตั้งค่าเองในหน้า Advanced Settings

การเปลี่ยนแปลงนี้ถือว่าเป็นเรื่องดี แม้ว่าจะช้าไปนิดเพราะคู่แข่งอย่าง Gmail เปิด HTTPS เป็นค่าดีฟอลต์มาตั้งแต่ปี 2010 ส่วน Outlook.com ก็เปิดเป็นค่าดีฟอลต์แล้วเช่นกัน

ที่มา - Threatpost

Read more

เราท์เตอร์ D-Link หลายรุ่นมีช่องทางล็อกอินลับ

By lew Founder on Tag: Security, D-Link
Security

รายงานวิเคราะห์เฟิร์มแวร์ของเราท์เตอร์ D-Link จากเว็บ /dev/ttyS0 พบว่าในเว็บเซิร์ฟเวอร์สำหรับการเข้าแก้ไขค่าคอนฟิกมีสตริงแปลกๆ คือ “xmlset_roodkcableoj28840ybtide” ระบุไว้ในโค้ด เมื่อวิเคราะห์ย้อนกลับดูพบว่าเบราว์เซอร์ที่มี User-Agent มีสตริงนี้จะสามารถเข้าควบคุมเราท์เตอร์ได้โดยไม่ต้องล็อกอิน

Read more

ไมโครซอฟท์จ่ายรางวัลรายงานบั๊กความปลอดภัยระดับ 100,000 ดอลลาร์คนแรก

By lew Founder on Tag: Security, Internet Explorer, Microsoft
Security

James Forshaw นักวิจัยความปลอดภัยจาก Context Information Security รายงานบั๊กความปลอดภัยที่มีปัญหาระดับสูง IE11 Preview ทำให้ได้รับเงินจากโครงการตามล่าบั๊ก IE11 ทำให้ได้รับเงินรวม 109,400 โดยเป็นรายงานบั๊ก "Mitigation Bypass" ที่มีรางวัลสูงสุด 100,000 ดอลลาร์ และบั๊กอื่นๆ อีก 5 รายการ

ถึงตอนนี้ไมโครซอฟท์จ่ายเงินรางวัลล่าบั๊กใน IE11 ไปแแล้ว 128,000 ดอลลาร์ให้กับนักวิจัย 6 คน (สองคนทำงานกูเกิล และบริจาคเงินเข้าการกุศลแทน)

Read more

Evernote เปิดให้ใช้ระบบล็อกอินสองชั้น Two-Step Verification สำหรับทุกคนแล้ว

By modeQ Writer on Tag: Security, Evernote, Authentication
Security

หลังจากเปิดตัวระบบล็อกอินสองชั้น Two-Step Verification ไปเมื่อกลางปี แต่ตอนนั้นคนที่จะใช้ได้มีเพียงลูกค้าที่เสียเงินเท่านั้นหรือกลุ่ม Evernote Premium และ Evernote Business ล่าสุดได้เปิดให้ลูกค้าที่ใช้บริการฟรี ใช้งานระบบล็อกอินสองชั้นได้เช่นกัน

Read more

กูเกิลบอกมีมัลแวร์ Android เพียง 0.001% เท่านั้นที่หลุดระบบป้องกันและอาจเกิดอันตราย

By mk Founder on Tag: Security, Android, Malware, Google Play
Security

Adrian Ludwig หัวหน้าฝ่ายความปลอดภัยของ Android ไปพูดที่งาน Virus Bulletin ที่เยอรมนี และเผยสถิติด้านความปลอดภัยที่น่าสนใจของ Android หลายอย่าง

Ludwig บอกว่าสภาพแวดล้อมแบบเปิดของ Android ไม่สามารถใช้วิธีป้องกันมัลแวร์แบบก่อกำแพงกั้น (walled garden) แบบเดียวกับคู่แข่งได้ แต่วิธีที่กูเกิลใช้จะเหมือนกับการป้องกันโรคระบาดของวงการสาธารณสุขมากกว่า โดยแนวคิดของการป้องกันโรคระบาดคือไม่สามารถปิดกั้นโรคทั้งหมดได้ 100% แต่จะใช้วิธีเฝ้าระวังจากข้อมูล เมื่อพบโรคเริ่มระบาดก็จะสกัดกั้นไม่ให้เกิดการระบาดในวงกว้างแทน

Read more

Adobe ถูกแฮก ผู้ใช้บางส่วนและซอร์สโค้ดของโปรแกรมถูกขโมย

By nutmos Writer on Tag: Security, Creative Cloud, Adobe
Security

Brad Arkin ประธานฝ่ายความปลอดภัยได้เขียนบล็อกแจ้งเตือนลูกค้าเรื่องความปลอดภัย โดยกล่าวว่าเซิร์ฟเวอร์ของบริษัทถูกบุกรุก และผู้บุกรุกได้เข้าถึงข้อมูลบางส่วนของบริษัทและข้อมูลส่วนตัวของลูกค้าด้วย

Read more

NIST ปรับมาตรฐาน SHA-3 ให้อ่อนแอลงโดยอ้างประสิทธิภาพ

By lew Founder on Tag: Security, USA, Open Standard, NSA, Government, Cryptography, NIST
Security

มาตรฐานการแฮชข้อมูล SHA-3 เพิ่งได้ผู้ชนะเป็น Keccak ไปเมื่อปีที่แล้ว แต่หลังจากการเปิดเผยข้อมูลของ Edward Snowden ทำให้ NIST หน่วยงานกลางผู้ออกมาตรฐานมีปัญหาความน่าเชื่อถืออย่างหนัก จากข่าวความร่วมมือกับ NSA ตอนนี้มาตรฐาน SHA-3 ที่กำลังอยู่ระหว่างกระบวนการปรับมาตรฐาน และเขียนเอกสารในฟอร์แมตที่ชัดเจนกลับมีปัญหาว่าทาง NIST กำลังลดความปลอดภัยของมันอย่างจงใจ

Read more

Windows Azure เปิดบริการยืนยันตัวตนสองชั้น Multi-Factor Authentication

By mk Founder on Tag: Security, Authentication, Microsoft, Microsoft Azure
Security

ช่วงหลังๆ เราเห็นบริการออนไลน์ชื่อดังมากมายรองรับการยืนยันตัวตนสองชั้น (two-step verification หรือบ้างก็เรียก multi-factor authentication) ซึ่งช่วยแก้ปัญหาเรื่องความปลอดภัย-แฮ็กบัญชีไปได้มาก

คำถามก็คือผู้สร้างบริการรายเล็กๆ ที่อยากมีระบบ multi-factor authentication บ้างจะต้องทำอย่างไร? ไมโครซอฟท์มีคำตอบให้กับเรื่องนี้ด้วยบริการ Windows Azure Multi-Factor Authentication

Read more

ปิดสองคดีแฮ็กเกอร์วัยรุ่น มือโจมตี DDoS ครั้งใหญ่ที่สุดและมือแฮ็กเว็บแคมดูสาวเปลือย

By pe3z Writer on Tag: Security, Hacker
Security

หัวข้อข่าวอาจจะดูน่าสับสนไปสักนิดแต่ผมขออนุญาตรวมไว้ด้วยกันนะครับ สำหรับข่าวแรกแฮ็กเกอร์นิรนามวัย 16 ปีถูกจับกุมหลังจากได้ทำการโจมตี DDoS 300Gbps ครั้งใหญ่ที่สุดในโลกไปยัง Spamhaus โดยเขาได้ถูกจับกุมตั้งแต่ช่วงเดือนเมษายนแต่เพิ่งมีประกาศอย่างเป็นทางการเมื่อวันพฤหัสบดีที่ผ่านมา ซึ่งตอนนี้ก็ยังไม่แน่ชัดว่าเขาใช้วิธีการใดในการสร้างการโจมตีครั้งใหญ่นั้น

Read more

แจ้งเตือนช่องโหว่ของ Ruby on Rails เสี่ยงถูกขโมยคุกกี้ได้

By pe3z Writer on Tag: Security, Rails
Security

นักวิจัยด้านความปลอดภัย G.S. McNamara ค้นพบช่องโหว่ภายในฟังก์ชัน CookieStore ที่ใช้ในการจัดการเซสชั่นโดยจะทำการแฮชเซสชั่นดังกล่าวนั้นในรูปแบบของคุกกี้ และไม่มีการเก็บเซสชั่นใดๆ ลงในฐานข้อมูล ซึ่งอาจส่งผลให้ผู้ประสงค์ร้ายสามารถขโมยคุกกี้ได้

Read more

โปรแกรมเมอร์ไมโครซอฟท์รายงานช่องโหว่ Dual_EC_DRBG มาตั้งแต่ปี 2007 (และไม่มีใครสนใจ)

By lew Founder on Tag: Security, NSA, Cryptography
Security

รายงานการฝังช่องโหว่ไว้ในตัวสร้างเลขสุ่ม Dual_EC_DRBG สร้างความตระหนกให้กับทั้งอุตสาหกรรมความปลอดภัย คำถามสำคัญคือมาตรฐานเปิดที่ผ่านกระบวนการสร้างมาตรฐานของ NIST นี้ทำไมจึงหลุดรอดสายตาของนักคณิตศาสตร์และนักรหัสวิทยาทั่วโลกไปได้ วันนี้ทาง WIRED ลงบทความเล่าถึงการนำเสนอความยาว 5 นาทีด้วยสไลด์ 9 หน้าที่งาน Crypto ในปี 2007 ระบุถึงความเป็นไปได้ในการฝังช่องโหว่เอาไว้

Read more

เตือนแอพ iMessage (ตัวปลอม) ใน Play Store อาจดักข้อมูล

By Bigta Contributor on Tag: Security, iMessage, Google Play
Security

เตือนภัยจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) เนื่องจากมีผู้รายงานว่ามีแอพพลิเคชันชื่อ iMessage Chat ปรากฏอยู่ใน Play Store ซึ่งอ้างว่าสามารถส่งข้อความผ่านระบบ iMessage ของ Apple ได้ ทาง ThaiCERT ได้ตรวจสอบแอพพลิเคชันดังกล่าวแล้วพบว่าสามารถส่งได้จริง

แต่สิ่งที่น่าสงสัยในแอพพลิเคชันนี้คือ มีการส่งข้อมูลไปยังเซิร์ฟเวอร์ที่อยู่ในประเทศจีน (น่าจะใช้เป็นตัวกลางในการรับส่งข้อมูล) ซึ่งอาจมีความเสี่ยงว่าผู้ใช้จะถูกขโมยข้อมูลสำคัญ เช่น Apple ID หรือข้อมูลอื่นๆ ได้

Read more

สั่งล็อกเครื่องระยะไกล และเปลี่ยนรหัสผ่านด้วย Android Device Manager ได้แล้ว

By Blltz Writer on Tag: Google, Security, Android, Google Play
Google

Android Device Manager บริการช่วยเหลือผู้ใช้ให้ตามหาเครื่องยามลืมหรือถูกขโมยที่เปิดตัวมาเมื่อเดือนสิงหาคมที่ผ่านมา ตอนนี้กูเกิลเพิ่มฟีเจอร์ใหม่เข้ามาแบบเงียบๆ อีกสองฟีเจอร์แล้ว

ฟีเจอร์แรกเป็นการต่อยอดจากเดิมที่เครื่องสามารถสั่งลบข้อมูลระยะไกลได้ ของใหม่สามารถสั่งล็อกเครื่องจากระยะไกลได้ด้วย และยังสามารถเปลี่ยนรหัสผ่าน โดยรหัสใหม่จะไปทับทั้งรหัสผ่านเดิมและการปลดล็อกแบบการวาดนิ้วของตัวเครื่องไปเลย

Read more

เตือนพบช่องโหว่ระดับร้ายแรงใน IE ทุกรุ่น

By icez Contributor on Tag: Security, Internet Explorer
Security

เตือนภัยจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย เนื่องจากทางไมโครซอฟท์พบการโจมตีช่องโหว่ของ Internet Explorer ทุกรุ่นตั้งแต่วันที่ 17 กันยายนที่ผ่านมา (แม้แต่ตัวใหม่อย่าง IE 11 ก็โดน) ซึ่งช่องโหว่นี้ถูกขึ้นทะเบียนฐานข้อมูลช่องโหว่ที่หมายเลข CVE-2013-3893

ช่องโหว่ตัวนี้เกิดจากการจัดการหน่วยความจำที่ผิดพลาด เป็นเหตุให้สามารถใช้สั่งการให้เครื่องคอมพิวเตอร์ที่โดนบุกรุกประมวลผลคำสั่งใดๆ ก็ได้ (Remote Code Execution) ในสิทธิ์ของผู้ใช้ที่รัน IE ขึ้นมา เช่นการดาวน์โหลดมัลแวร์มาติดตั้ง

Read more

หน่วยงานรัฐในเอเชียถูกแฮกพร้อมกันจำนวนมาก

By lew Founder on Tag: Security, Hacking, Asia, Trend Micro
Security

ช่วงสองวันที่ผ่านมา มีรายงานความพยายามแฮกครั้งใหญ่ทั่วภูมิภาคเอเซีย โดยเฉพาะในจีนและญี่ปุ่น

การแฮกครั้งหนึ่งเป็นการติดตั้งซอฟต์แวร์ลงบนเครื่องผ่านทางบั๊กของ Internet Explorer ที่เพิ่งได้รับแพตซ์เมื่อสัปดาห์ก่อน เครื่องของเหยื่อจะถูกหลอกให้ดาวน์โหลดไฟล์ jpg มาไฟล์หนึ่งซึ่งจริงๆ แล้วไฟล์นั้นเป็นซอฟต์แวร์ที่รันได้ เมื่อรันแล้วซอฟต์แวร์จะส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ในเกาหลี

Read more

เตือนภัย มีผู้แอบอ้าง ปตท. ผ่านแอพ Instagram

By modeQ Writer on Tag: Security, Mobile App, Instagram
Security

มีการเปิดเผยจาก นางพุทธชาด มุกดาประกร ผู้ช่วยกรรมการผู้จัดการใหญ่สื่อสารองค์กรและกิจการเพื่อสังคม บริษัท ปตท.จำกัด (มหาชน) ว่าได้มีผู้แอบอ้างสร้างบัญชี ปตท. ในแอพพลิเคชันแชร์รูปยอดนิยมอย่าง Instagram ซึ่งใช้ชื่อว่า PTT_Thailand หรือที่ http://instagram.com/ptt_thailand โดยหลอกให้ติดตามแล้วจะได้เติมน้ำมันฟรี

เบื้องต้นผมได้ทดสอบเข้าหน้าเว็บ http://instagram.com/ptt_thailand แต่ไม่สามารถเข้าได้อาจจะมีการปิดบัญชีไปเรียบร้อยแล้วครับ

Read more

RSA แจ้งลูกค้าให้หยุดใช้อัลกอริทึมที่เกี่ยวข้องกับ NSA

By lew Founder on Tag: Security, RSA, NSA, Enterprise
Security

ข่าวการแทรกกระบวนการพิเศษเข้าไปในการสร้างเลขสุ่ม Dual_EC_DRBG ทำให้ RSA ต้องออกมาเตือนลูกค้าที่ใช้ไลบรารี BSAFE Toolkit ให้ยกเลิกการใช้งานแล้วไปใช้ตัวสร้างเลขสุ่มแบบอื่นๆ เพื่อความปลอดภัย

BSAFE รองรับ Dual_EC_DRBG มาตั้งแต่ปี 2004 ก่อนที่จะเป็นมาตรฐานในปี 2006 และยังใช้เป็นตัวสร้างเลขสุ่มมาตรฐานในหลายกรณี แต่กำลังพิจารณาเปลี่ยนตัวสร้างเลขสุ่มนี้ต่อไป โดยตอนนี้แนะนำให้ลูกค้าเป็นผู้เปลี่ยนกระบวนการสร้างเลขสุ่มนี้ด้วยตัวเองเนื่องจากตัว BSAFE เองก็รองรับกระบวนการสร้างเลขสุ่มถึง 6 แบบ

Read more

พบช่องโหว่ iOS 7 เข้าถึงภาพถ่ายในเครื่องได้จาก Lockscreen

By mk Founder on Tag: Apple, Security, iOS, iOS 7
Apple

มีรายงานช่องโหว่ใหม่ของ iOS 7 ที่สามารถเข้าถึงภาพถ่ายภาพในเครื่องได้แม้ตั้ง lockscreen ไว้ วิธีการคือให้เข้าหน้า control center จาก lockscreen, เลือกนาฬิกาปลุก, กดปุ่ม power ค้างไว้เพื่อให้ขึ้นหน้าจอถามการปิดเครื่อง, กด cancel, กด home สองทีเพื่อเข้าหน้ารายการแอพ ก็จะสามารถเข้าถึงภาพถ่ายและกล้องถ่ายรูปได้

โฆษกของแอปเปิลระบุว่าทราบปัญหานี้แล้ว และจะรีบแก้ไขต่อไป ระหว่างนี้สามารถปิดการเข้าถึง control center จากหน้า lockscreen ไปพลางๆ ได้ก่อน

Read more

NSA ซื้อช่องโหว่ซอฟต์แวร์จาก VUPEN เป็นรายปี

By lew Founder on Tag: Security, NSA, VUPEN
Security

บริษัท VUPEN เป็นบริษัทความปลอดภัยคอมพิวเตอร์จากฝรั่งเศสที่มีชื่อเสียงมาก จากการนำเสนอช่องโหว่ครั้งใหญ่ๆ หลายครั้ง หลายคนอาจจะสงสัยว่าบริษัทที่จ้างผู้เชี่ยวชาญระดับสูงไว้จำนวนมากเช่นนี้ได้เงินมาจากไหนนอกเหนือจากการแข่งซึ่งสร้างรายได้ไม่แน่นอน คำตอบส่วนหนึ่งคือการรับเงินรายปีจากหน่วยงานของรัฐบาลทั่วโลก เช่น NSA

Read more

มาแล้ว USB Condoms ช่วยให้ผู้ใช้ชาร์จไฟอุปกรณ์ได้โดยไม่โดนดูดข้อมูล

By nuntawat Writer on Tag: Security, USB, Gadget
Security

บริษัทให้คำปรึกษาด้านความปลอดภัยและผู้พัฒนาอุปกรณ์ฝังตัว Int3.cc วางขาย USB Condoms อุปกรณ์เสริมที่ทำให้ผู้ใช้สามารถชาร์จไฟอุปกรณ์ผ่านพอร์ตยูเอสบีใดก็ได้โดยไม่ต้องกังวลว่าข้อมูลจะรั่วไหลออกไปหรือจะติดไวรัสเข้ามาในอุปกรณ์ที่ชาร์จไฟอยู่

หลักการทำงานของ USB Condoms คือมันจะไม่มี pin สำหรับรับส่งข้อมูลตามมาตรฐานพอร์ตยูเอสบีทั่วไป ทำให้เฉพาะกระแสไฟฟ้าเท่านั้นที่สามารถไหลไปยังอุปกรณ์ที่ผู้ใช้ต้องการชาร์จไฟได้

Read more
Subscribe to Security