Security

ผู้ใช้ Chrome มีแนวโน้มกดผ่านหน้าเตือนสูง

By lew

on 19 August 2013 - 11:59 Tag: Security, Usability, Chrome

Security

ที่งาน USENIX 2013 มีการนำเสนองานวิจัยเปรียบเทียบการ "กดผ่าน" หน้าจอเตือนมัลแวร์และการเข้ารหัสที่ผิดพลาดของเบราว์เซอร์สองตัวคือไฟร์ฟอกซ์และ Chrome พบว่าผู้ใช้ Chrome นั้นมีแนวโน้มจะกดผ่านหน้าจอเตือนมากกว่าผู้ใช้ไฟร์ฟอกซ์กว่าสองเท่าตัว

รายงานพบว่าผู้ใช้มีพฤติกรรมต่างกันไปในแต่ละระบบปฎิบัติการ แต่เช่นผู้ใช้ไฟร์ฟอกซ์บนวินโดวส์จะกดผ่านหน้าเตือนมัลแวร์เพียง 7.1% เท่านั้น แต่ผู้ใช้ Chrome กลับกดผ่านหน้าเตือนสูงถึง 23.5% แนวโน้มที่คล้ายกันคือทั้งสองกลุ่มจะมีโอกาสกดผ่านมากขึ้นเรื่อยๆ หากใช้รุ่น "ไม่เสถียร" เช่น เบต้า, และรุ่นสำหรับนักพัฒนา

ไมโครซอฟท์: ถ้าไม่หนีจาก Windows XP ก่อน 8 เมษายน คุณต้องอยู่กับช่องโหว่ "Zero Day" ไปตลอดกาล

By magnamonkun on 19 August 2013 - 00:33 Tag: Security, Windows XP, Microsoft

Security

ไมโครซอฟท์ยังคงเดินหน้ากระทุ้งกลุ่มผู้ใช้งาน Windows XP ให้รีบอัพเกรดไปเป็น Windows เวอร์ชันใหม่ (7/8) อยู่เรื่อยๆ ล่าสุดไมโครซอฟท์ก็ยกประเด็น zero day exploit ขึ้นมาเล่น โดยกระทุ้งไปประมาณว่า ถ้ายังไม่อัพเกรดออกมาจาก Windows XP หลังวันที่ 8 เมษายน คุณจะต้องอยู่กับช่องโหว่นี้ไปตลอดกาล

โดย Tim Rains ได้อธิบายเพิ่มเติมว่า ช่องโหว่ zero day ถูกแก้ไขใน Windows 7 และ 8 ไปเยอะแล้ว ดังนั้นการอัพเกรดจาก Windows XP ขึ้นมาเป็น Windows 7 และ 8 จึงเป็นเรื่องที่ควรทำอย่างยิ่ง เพราะอย่างน้อยก็ช่วยให้อุ่นใจได้ว่าข้อมูลสำคัญต่างๆ ของตัวผู้ใช้เองก็ยังคงปลอดภัยเช่นเคย

เจอบั๊กวอลล์ Facebook แต่บริษัทไม่สนใจ เลยโพสต์ลงหน้าวอลล์ Zuckerberg ซะเลย

By mk

on 18 August 2013 - 20:52 Tag: Security, Mark Zuckerberg, Facebook

Security

ผู้เชี่ยวชาญด้านความปลอดภัยจากปาเลสไตน์ชื่อ Khalil ค้นพบช่องโหว่ของ Facebook ที่ทำให้เราโพสต์ข้อมูลบนหน้าวอลล์ของผู้ใช้คนใดก็ได้ เขาแจ้งข้อมูลช่องโหว่นี้ไปยังทีมความปลอดภัยของ Facebook แต่ทางทีมกลับบอกว่า "นี่ไม่ใช่บั๊ก" แม้ Khalil ยินดีจะสาธิตการทำงานของบั๊กก็ตาม

Khalil ไม่มีทางเลือกอื่น เขาจึงใช้ช่องโหว่ที่ค้นพบนี้โพสต์ข้อมูลบนหน้าวอลล์ของ Mark Zuckerberg มันเสียเลย ในโพสต์ของ Khalil เริ่มจากการขอโทษ Zuckerberg ที่บุกรุกความเป็นส่วนตัว ก่อนจะรายงานปัญหาและอธิบายว่าเขาแจ้งผ่านทีมความปลอดภัยแล้วไม่ได้รับการตอบสนอง

กระบวนการตรวสอบแอพบน App Store มีช่องโหว่ เปิดช่องส่งมัลแวร์ขึ้นไปได้

By mk

on 18 August 2013 - 11:55 Tag: Apple, Security, Research, App Store

Apple

ข่าวนี้เป็นเรื่องของ "กระบวนการ" ไม่ใช่ปัญหาของระบบนะครับ

ทีมนักวิจัยด้านความปลอดภัยจากมหาวิทยาลัย Georgia Tech เปิดเผยว่าสามารถส่งแอพทดสอบที่ประสงค์ร้ายกับผู้ใช้งาน (สามารถแอบโพสต์ทวิตเตอร์, ส่งอีเมลและ SMS, ขโมยข้อมูลส่วนบุคคล, ถ่ายภาพ, สั่งเปิด Safari ให้เข้าเว็บที่มีมัลแวร์) ชื่อ Jekyll ขึ้นบน App Store โดยที่แอปเปิลไม่รู้ตัวได้แล้ว

ช่องโหว่นี้เกิดจากกระบวนการตรวจสอบแอพของแอปเปิลที่ทดสอบแอพ "เป็นระยะเวลาน้อยเกินไป"

Google Cloud Storage เริ่มเข้ารหัสข้อมูลทั้งหมดที่ฝั่งเซิร์ฟเวอร์

By mk

on 16 August 2013 - 09:34 Tag: Google, Security, Enterprise, Cloud Storage

Google

Google Cloud Storage บริการคู่แข่งของ Amazon S3 (ข่าวเก่า) ประกาศนโยบายเข้ารหัสข้อมูลทุกอย่างที่ฝั่งเซิร์ฟเวอร์แล้ว

การเข้ารหัสของ Google Cloud Storage จะใช้ AES-128 เข้ารหัส 3 ชั้นด้วยคีย์ 3 ชุด โดยเริ่มจากระดับของข้อมูล (object) แต่ละชิ้นที่ถูกส่งขึ้นไปเก็บบนเซิร์ฟเวอร์, คีย์ของข้อมูลจะถูกเข้ารหัสชั้นที่สองด้วยคีย์เฉพาะของผู้ใช้ (object owner) และคีย์ทั้งหมดจะถูกเข้ารหัสด้วย master key ของระบบที่เปลี่ยนไปเรื่อยๆ ตลอดเวลา

ระวัง! โทรจัน Hand of Thief มาในลินุกซ์ เพื่อขโมยรหัสผ่านเข้าธนาคาร

By doanga2007 on 15 August 2013 - 23:09 Tag: Security, Banking, Trojan, Linux

Security

ทุกวันนี้ ลินุกซ์ใช้งานง่ายและปลอดไวรัส แต่ต่อไปนี้ต้องระวังภัยร้ายใหม่กันแล้ว แหล่งข่าวจาก RSA อ้างว่ามีโทรจัน Hand of Thief มาขโมยรหัสผ่านเข้าธนาคารโดยเฉพาะ ซึ่งอาการที่ติด คือ ไปหน้าเว็บ Hand of Thief ทุกครั้งที่เปิดเบราว์เซอร์

แอนดรอยด์ออกแพตซ์แก้บั๊กตัวสร้างเลขสุ่มแล้ว พร้อมคลาส PRNGFixes ใช้แก้ปัญหาชั่วคราว

By lew

on 15 August 2013 - 15:20 Tag: Security, Android

Security

บั๊กในตัวสร้างเลขสุ่มของแอนดรอยด์ทำให้กุญแจลับที่สร้างขึ้นมาไม่ปลอดภัย ทำให้แอพพลิเคชั่นหลายตัวต้องแก้ปัญหากันเอง ผลกระทบสุงสุดคงเป็นกลุ่มกระเป๋าเงิน BitCoin เพราะผู้ใช้ทั่วไปมักไม่ได้สร้างกุญแจลับกันบ่อยนัก

นักวิจัยชี้มัลแวร์บน Android หลายตัวถูกควบคุมผ่าน Google Cloud Messaging

By ตะโร่งโต้ง

on 15 August 2013 - 10:14 Tag: Security, Android, Malware

Security

นักวิจัยของ Kaspersky ค้นพบว่ามีมัลแวร์หลายตัวถูกควบคุมและสั่งการผ่าน Google Cloud Messaging ระบบรับ-ส่งข้อความสำหรับแอพของ Android

Google Cloud Messaging หรือที่เรียกโดยย่อว่า GCM เป็นระบบรับ-ส่งข้อความที่ให้บริการโดย Google เพื่อให้นักพัฒนาแอพสามารถสั่งการให้แอพบนอุปกรณ์ Android สามารถส่งข้อความออกได้และรับข้อความต่างๆ เข้าสู่อุปกรณ์ได้ด้วยเช่นกัน

BitCoin เจอปัญหาในแอพพลิเคชั่นแอนดรอยด์ ควรย้ายบัญชีทันที, Baidu รายงานการจารกรรมบนพีซี

By lew

on 13 August 2013 - 16:04 Tag: Security, Baidu, Cryptography, Bitcoin

Security

แอพพลิเคชั่นบัญชี BitCoin บนแอนดรอยด์จำนวนมากเจอปัญหาบั๊กตัวสร้างตัวเลขสุ่ม ทำให้บัญชีที่สร้างจากแอพพลิเคชั่นเหล่านี้อยู่ในความเสี่ยงทั้งหมด โดยผู้ผลิตรายหลักได้แก้ปัญหาแล้ว โดยแอพพลิเคชั่นเหล่านี้ได้แก่

Cryptanalysis ศาสตร์แห่งการถอดรหัส

By lew

on 12 August 2013 - 19:56 Tag: Security, In-Depth, SSL, Cryptography, HTTPS

Security

กระบวนการเข้ารหัสที่มีอยู่ในโลกมากมายและถูกพัฒนาอย่างต่อเนื่องจนทุกวันนี้ซับซ้อนในระดับที่ต้องการความรู้คณิตศาสตร์ระดับสูง เหตุผลสำคัญของการพัฒนาเหล่านี้คือการแข่งขันกับกระบวนการถอดรหัสที่พัฒนาอย่างต่อเนื่องเช่นเดียวกันศาสตร์ที่ว่าด้วยการถอดรหัสนี้เรียกว่า Cryptanalysis เป็นศาสตร์ที่อยู่คู่กับการเข้ารหัสมานาน เทคนิคและกระบวนการก็ซับซ้อนและใช้ในกรณีเฉพาะบางอย่างไปเรื่อยๆ

ในบทความนี้เราจะยกตัวอย่างบางเทคนิคที่ใช้กันในการถอดรหัส

ส้วมอัตโนมัติจากญี่ปุ่นเสี่ยงโดนโจมตีทางบลูทูธ

By BlackMiracle

on 9 August 2013 - 10:07 Tag: Security, Toilet, Bluetooth

Security

นักวิจัยด้านความปลอดภัยจากบริษัท Trustwave เตือนว่าส้วมอัตโนมัติรุ่น Satis จากบริษัท Inax (ผู้ผลิตเครื่องสุขภัณฑ์รายใหญ่ของญี่ปุ่น) อาจโดนโจมตีจากคนอื่นผ่านแอพชื่อ My Satis ได้ เนื่องจากส้วมตัวนี้สามารถเชื่อมต่อกับแอพดังกล่าวผ่านบลูทูธแล้วสั่งให้กดน้ำ, ฉีดน้ำล้างเวลาถ่ายเบาหรือหนัก, เป่าลมอุ่นหรือแม้กระทั่งดูบันทึกการถ่ายอุจจาระได้

ทาง Trustwave ได้เตือน Inax ถึงสามครั้งแล้วตั้งแต่เดือนมิถุนายนที่ผ่านมา ถึงตอนนี้ก็เป็นเวลาที่จะเผยแพร่ให้สาธารณชนได้รับรู้กัน

Google บอก Chrome โชว์รหัสผ่านไม่ถือเป็นช่องโหว่, ไม่คิดทำฟังก์ชัน master password

By Bigta

on 8 August 2013 - 23:44 Tag: Google, Security, Chrome

Google

จากข่าว พบช่องโหว่บน Chrome เผยรหัสผ่านที่ถูกบันทึกไว้, กูเกิลบอกรับทราบแต่ไม่แก้ ทางทีมพัฒนาของ Google Chrome ได้ออกมาชี้แจงเหตุผลแล้ว

พบช่องโหว่บน Chrome เผยรหัสผ่านที่ถูกบันทึกไว้, กูเกิลบอกรับทราบแต่ไม่แก้

By nuntawat

on 8 August 2013 - 09:24 Tag: Google, Security, Chrome

Google

หนังสือพิมพ์ The Guardian รายงานว่า มีการค้นพบช่องโหว่ในเบราว์เซอร์ Chrome ที่ยอมให้ใครก็ได้ที่สามารถเข้าถึงคอมพิวเตอร์ได้สามารถดูรหัสผ่านเพื่อการล็อกอินเข้าโปรไฟล์อีเมล เว็บสังคมออนไลน์ ฯลฯ จากหน้าการตั้งค่าได้โดยที่ไม่ต้องระบุตัวตนก่อน

การเรียกดูรหัสผ่านนั้นก็ง่ายแสนง่าย โดยผู้ใช้เพียงไปที่หน้า Settings เลือกมุมมองการตั้งค่าขั้นสูง ไปที่ส่วน Passwords and forms คลิกปุ่ม Manage saved passwords เพื่อเข้าส่วนจัดการรหัสผ่านที่ถูกบันทึกไว้ ถึงแม้รหัสผ่านจะถูกซ่อนไว้ในรูปดอกจัน แต่หากผู้ใช้คลิกที่รหัสผ่านและคลิกปุ่ม Show ก็จะเห็นรหัสผ่านได้เลย

OpenX โดนฝังโค้ดอันตราย ผู้ใช้เวอร์ชัน 2.8.10 อัพเดตด่วน

By mk

on 7 August 2013 - 21:24 Tag: Security, OpenX

Security

OpenX ซอฟต์แวร์โอเพนซอร์สสำหรับทำเซิร์ฟเวอร์โฆษณา พบว่าเว็บไซต์ openx.org ของตัวเองถูกเจาะ และไฟล์ไบนารีของ OpenX 2.8.10 เวอร์ชันล่าสุดที่แจกบนเว็บไซต์ถูกเปลี่ยนเป็นเวอร์ชันที่ฝังโค้ด backdoor เข้ามาด้วย

โครงการ OpenX จึงออกเวอร์ชัน 2.8.11 และเตือนให้ผู้ใช้ OpenX 2.8.10 อัพเดตกันทันที ส่วน OpenX รุ่นเสียเงิน (OpenX Enterprise หรือ OpenX Market) ไม่มีปัญหาจากกรณีนี้

ที่น่ากลัวคือ OpenX 2.8.10 ถูกเจาะตั้งแต่เดือนพฤศจิกายน 2012 ซึ่งแปลว่าระหว่างนี้มีผู้ใช้ OpenX จำนวนมากทั่วโลกที่มีรูรั่วให้แฮ็กเกอร์เข้าไปล้วงข้อมูลได้นั่นเองครับ

นักวิจัยความปลอดภัยคาด RSA และ Diffie-Hellman จะไม่ปลอดภัยภายใน 5 ปี

By lew

on 7 August 2013 - 15:05 Tag: Security, SSL, Cryptography, HTTPS

Security

ทีมวิจัยความปลอดภัยจากบริษัท artemis นำเสนอความก้าวหน้าในวงการรหัสวิทยาในช่วงหลัง และคาดว่ากระบวนการแยกตัวประกอบตัวเลขขนาดใหญ่นั้นน่าจะมีการปรับปรุงประสิทธิภาพขึ้นอย่างมากภายในห้าปีข้างหน้า

Tor อัพเดตแก้ช่องโหว่ Firefox, เตือนให้ปิด JavaScript, เลี่ยงใช้บนวินโดวส์

By mk

on 7 August 2013 - 10:40 Tag: Security, Firefox, Tor

Security

จากข่าว FBI ใช้ช่องโหว่ Firefox ตามจับกุมผู้แพร่กระจายภาพอนาจารเด็กใน Tor ถือเป็นปัญหาสำคัญสำหรับเครื่องมือนิรนามอย่าง Tor ที่มีช่องโหว่จนตามเจอตัวผู้ใช้งานได้

ล่าสุด Tor รุ่นผนวกรวมเบราว์เซอร์ (Browser Bundle) ก็ออกอัพเดตแก้ช่องโหว่นี้แล้ว โดยโครงการ Tor เองแนะนำให้ผู้ใช้อัพเดตซอฟต์แวร์เป็นรุ่นล่าสุดเสมอ, ปิดการทำงานของ JavaScript ถ้าไม่จำเป็น, ควรใช้ระบบปฏิบัติการแบบ live image แทนการติดตั้งระบบปฏิบัติการตามปกติ, และหลีกเลี่ยงการท่องเว็บบนวินโดวส์

Twitter เพิ่มการยืนยันตัวตนผ่านแอพบน iOS/Android

By mk

on 7 August 2013 - 08:07 Tag: Security, Twitter, Mobile App

Security

Twitter รองรับการล็อกอินสองชั้นหรือ two-step verification มาได้สักระยะหนึ่งแล้ว แต่กระบวนการยืนยันตัวตนยังจำกัดเฉพาะ SMS เท่านั้น ทำให้ยุ่งยากพอสมควรสำหรับคนที่อยู่ต่างประเทศ-ใช้งานหลายบัญชี-มือถือหาย

วันนี้ Twitter เพิ่มทางเลือกในการยืนยันตัวตนผ่านแอพ Official Twitter ของตัวเอง (เบื้องต้นใช้ได้บน iOS/Android ที่มีอัพเดตวันนี้เช่นกัน) กระบวนการคือเมื่อเราล็อกอินบนเว็บไซต์ twitter.com แล้วแอพจะขึ้นข้อความแจ้งเตือนให้ยืนยันว่าเป็นตัวเราจริงๆ หรือไม่ (จำเป็นต้องใช้อินเทอร์เน็ตด้วย)

ไม่ใช่แค่ FBI! ผลการตรวจสอบโค้ดที่ใช้โจมตี Firefox พบไอพีเชื่อมโยงกับ NSA

By pe3z

on 6 August 2013 - 13:02 Tag: Security, Tor, NSA, FBI

Security

จากข่าวเก่าที่มีการอ้างอิงว่า FBI เป็นผู้ใช้ช่องโหว่ของ Firefox ในการจับกุมผู้แพร่กระจายภาพอนาจารเด็กใน Tor นักพัฒนาด้านความปลอดภัย Vlad Tsyrklevich ได้ทำการวิศวกรรมย้อนกลับกับตัว payload ซึ่งเป็นโปรแกรมขนาดเล็กที่มักใช้ในการเข้าถึงคอมพิวเตอร์เป้าหมายเมื่อมีการแฮกสำเร็จและพบว่า มีการให้ payload เชื่อมต่อไปยังไอพี 65.222.202.54:80 เนื่องจากเมื่อมีการเชื่อมต่อผ่าน HTTP โดยตรงหมายความว่าผู้เชื่อมต่อจะต้องเปิดเผยไอพีที่แท้จริงออกมาด้วย

เฟซบุ๊กรายงานสองปีโครงการรายงานบั๊ก จ่ายเงินรางวัลแล้วกว่าล้านดอลลาร์

By lew

on 5 August 2013 - 21:28 Tag: Security, Facebook

Security

ผู้ให้บริการทั่วโลกมีแนวทางการให้รางวัลกับผู้ที่พบบั๊กกันมากขึ้นเรื่อยๆ เฟซบุ๊กเองแม้มีโครงการนี้มานานแต่ก็ไม่ได้เปิดเผยออกมาภายนอกมากนัก รายงานล่าสุดระบุว่ามีการจ่ายเงินรางวัลไปแล้วกว่าล้านดอลลาร์ สรุปเป็นรายการได้ดังนี้

FBI ใช้ช่องโหว่ Firefox ตามจับกุมผู้แพร่กระจายภาพอนาจารเด็กใน Tor

By pe3z

on 5 August 2013 - 19:33 Tag: Security, Tor, FBI

Security

Eric Eoin Marques วัย 28 ปีชาวไอริชถูก FBI จับกุมด้วยความผิดฐานเผยแพร่ภาพอนาจารเด็ก ซึ่งเชื่อกันว่า Marques เป็นผู้ดูแลของ Freedom Hosting ซึ่งเป็นโฮสต์ที่ให้บริการในเครือข่าย Tor ที่ใหญ่ที่สุด และยังเชื่อกันว่าเป็นผู้เผยแพร่สื่อลามกเด็กที่ใหญ่ที่สุดในโลกด้วย

Subscribe to Security