Security

ภัยข้างตัว! แฮกเกอร์สามารถเจาะระบบสมาร์ททีวีของซัมซุงให้สามารถเปิดกล้องตลอดเวลาได้แล้ว

By Be1con

on 5 August 2013 - 17:57 Tag: Security, Samsung, Hacking, Smart TV

Security

ในงานสัมมนาด้านความปลอดภัย Black Hat ที่จัดขึ้นที่ลาส เวกัส สหรัฐอเมริกา นักวิจัยด้านความปลอดภัยนามว่า Aaron Grattafiori และ Josh Yavor แห่ง iSEC Partners ได้สาธิตวิธีการเจาะระบบของสมาร์ททีวียี่ห้อซัมซุงในรุ่นปี 2012 เพื่อบังคับให้เปิดกล้องของตัวเครื่องสมาร์ททีวีและเข้าไปล้วงข้อมูลในแอพสังคมออนไลน์ต่าง ๆ เช่น Facebook, Twitter หรือแม้แต่ Skype นอกจากนี้ยังสามารถเข้าถึงไฟล์และระบบการทำงานเบื้องต้นของสมาร์ททีวีได้อีกด้วย

กูเกิลเริ่มส่ง Android Device Manager ให้ผู้ใช้แล้วแต่ยังไม่มีความคืบหน้าฝั่งเว็บ

By magnamonkun on 4 August 2013 - 01:18 Tag: Google, Security, Android, Google Play

Google

หลังจากที่กูเกิลเซอร์ไพรส์ผู้พัฒนาแอพพลิเคชันสายความปลอดภัยด้วยการประกาศเปิดตัว Android Device Manager ไปเมื่อวานนี้ ในวันนี้กูเกิลก็เริ่มส่งแอพพลิเคชันให้ผู้ใช้งานแล้วครับ

โดยแอพพลิเคชันนี้จะฝังมากับ Google Play Service ตัวใหม่ที่อัพเดตตัวเองตลอดเวลา ผู้ใช้ที่ได้อัพเดตนี้แล้ว ในหน้าเมนูการตั้งค่า จะมีเมนูที่ชื่อว่า Device Manager ขึ้นมาเพิ่มเติม ซึ่งเมื่อเลือกไปแล้ว ครั้งแรกตัว Android จะสั่งให้เราทำการเพิ่ม Android Device Manager เข้าเป็น Device Administrator ถึงจะเริ่มใช้งานได้ครับ

[Black Hat] BREACH กระบวนการเจาะเว็บเข้ารหัสแบบใหม่, ป้องกันได้ยาก

By lew

on 3 August 2013 - 16:32 Tag: Security, Hacking, SSL, HTTPS, Black Hat

Security

นักวิจัยความปลอดภัยนำเสนอกระบวนการเจาะการเข้ารหัสเพื่อหาข้อความในเว็บที่เข้ารหัส HTTPS ได้ภายใน 30 วินาทีที่งาน Black Hat

BREACH อาศัยการดักฟังผู้ใช้ที่เข้าเว็บที่เข้ารหัสและบีบอัดข้อมูลแบบ DEFLATE ซึ่งเบราว์เซอร์รองรับเป็นมาตรฐาน และต้องบังคับให้ผู้ใช้เข้าเว็บที่มีสคริปต์ฝังอยู่ ซึ่งหากดักฟังแล้วก็ทำได้ง่ายเพราะใช้การโจมตีแบบ man-in-the-middle แทรกโค้ดเข้าไปยังเว็บอื่นๆ ที่ไม่ได้เข้ารหัสได้

Mozilla จับมือ BlackBerry ร่วมพัฒนาเครื่องมือตรวจสอบช่องโหว่ของซอฟต์แวร์

By mk

on 2 August 2013 - 09:49 Tag: Security, Mozilla, BlackBerry

Security

Mozilla ประกาศความร่วมมือกับ BlackBerry ด้านการวิจัย-พัฒนาเครื่องมือช่วยค้นหาช่องโหว่ของซอฟต์แวร์

เทคนิคที่ทั้งสององค์กรใช้คือ "Fuzzing" หรือ fault injection ซึ่งเป็นการทดลองยิง malformed data แบบต่างๆ ที่คนทั่วไปคิดไม่ถึงไปยังซอฟต์แวร์ที่ต้องการทดสอบ ทั้งสองจะร่วมกันพัฒนาเครื่องมือโอเพนซอร์สที่ชื่อ Peach แต่ก็จะขยายผลไปยังเครื่องมือตัวอื่นๆ ด้วย

โครงการ XKeyscore ของ NSA ค้นหาแทบทุกอย่างที่คนทำบนอินเทอร์เน็ต

By lew

on 1 August 2013 - 14:50 Tag: Security, Privacy, USA, NSA

Security

หนังสือพิมพ์ The Guardian เปิดเผยเอกสารฝึกอบรมนักวิเคราะห์ของ NSA ในโครงการ XKeyscore เพื่อค้นหากิจกรรมของผู้ใช้ใดๆ จากตามเวลาจริง โดยสามารถค้นหาจากชื่อล็อกอิน, เบอร์โทรศัพท์, อีเมล, และภาษาที่ใช้งาน

ระบบค้นหาเปิดให้ผู้ใช้ตั้งช่วงเวลาที่ค้นหาโดยต้องใส่ "เหตุผล" (justification) ของการค้นหา และเลือกเหตุผลที่ทำให้เชื่อได้ว่าผู้ที่กำลังถูกค้นนั้นเป็นชาวต่างชาติ (เพราะหากเป็นการดักฟังพลเมืองสหรัฐฯ จะต้องเข้ากระบวนการขอหมายศาล) จากนั้น Xkeyscore จะดักค้นทุกจุดดักฟังเพื่อจับทุกอย่างที่ "ดูเหมือน" อีเมลที่กำลังค้นหานั้น

เฟซบุ๊กใช้ HTTPS เป็นมาตรฐานแล้ว

By lew

on 1 August 2013 - 11:46 Tag: Security, HTTPS, Facebook

Security

หลังจากเฟซบุ๊กเปิดให้ผู้ใช้เลือกเปิด HTTPS ใช้งานเป็นรายคนมาเป็นเวลาสองปี ตอนนี้การเข้าถึง www.facebook.com จะกลายเป็น HTTPS ทั้งหมด แต่ยังไม่เปิดบริการสำหรับ m.facebook.com ที่ยังเป็น HTTPS อยู่ 80%

กระบวนการอัพเกรดแบบบังคับเริ่มมาตั้งแต่ต้นปีที่ผ่านมา จนกระทั่งผู้ใช้กลุ่มสุดท้ายเพิ่งถูกบังคับจนครบ

กูเกิลเตรียมเปลี่ยนใบรับรอง SSL ไปเป็น 2048 บิตทั้งหมด

By lew

on 31 July 2013 - 16:02 Tag: Google, Security, SSL, Cryptography, HTTPS

Google

กูเกิลประกาศเปลี่ยนใบรับรอง SSL จาก 1024 บิตไปเป็นแบบ 2048 บิตทั้งหมดพร้อมกับเปลี่ยนสา่ยการรับรอง (certificate chain) ไปพร้อมกัน

กระบวนการนี้ไม่น่าจะกระทบผู้ใช้ นอกจากผู้ใช้ที่ใช้ไม่ได้อัพเดตระบบปฎิบัติการหรือใช้ไลบรารี SSL ของตัวเองรุ่นเก่า หรือซอฟต์แวร์ที่ฝังใบรับรองเข้ากับโค้ด ก็จะทำงานไม่ได้จากการอัพเดตครั้งนี้

แม้จะอัพเดตขนาดกุญแจไปเป็นขนาด 2048 บิต แต่ทุกวันนี้กระบวนการเข้ารหัสแบบกุญแจสมมาตรก็ยังใช้การเข้ารหัส RC4 แบบ 128 อยู่

Steve Condik เผยแผน CyanogenMod รุ่นปราศจาก root

By Blltz

on 30 July 2013 - 16:06 Tag: Security, Android, CyanogenMod

Security

ก่อนหน้านี้ CyanogenMod ได้ปิด root เป็นค่าเริ่มต้นสำหรับรอม CyanogenMod ไป ตอนนี้คนในทีมก็ได้คุยถึงขั้นตอนต่อยอดจากแนวทางเดิม คือการใช้งานรอม CyanogenMod โดยไม่ต้อง root จากการที่ Android 4.3 ที่จะเป็นฐานของ CM10.2 เพิ่มฟีเจอร์เกี่ยวกับความปลอดภัยแบบใหม่เข้ามาโดยไม่ต้อง root

โพสต์ต้นทางบน +Steve Condik ผู้ก่อตั้ง CyanogenMod ได้คุยกันถึงเรื่องของฟีเจอร์ที่ยังจำเป็นต้อง root ซึ่งก็จะเป็นฟีเจอร์จำพวกแบ็คอัพ และแก้ไขเกี่ยวกับระบบภายในต่างๆ

นักวิจัยความปลอดภัยกูเกิลได้รับรางวัลงานวิจัยจาก NSA, ระบุสังคมเสรีเข้ากันไม่ได้กับ NSA

By lew

on 29 July 2013 - 12:25 Tag: Security, Internet, Privacy, NSA

Security

Joseph Bonneau นักวิจัยความปลอดภัยจากกูเกิล ได้รับรางวัลงานวิจัยด้านความปลอดภัยไซเบอร์จากงานวิจัยหัวข้อ "The science of guessing: analyzing an anonymized corpus of 70 million passwords" ที่ตีพิมพ์ลง IEEE เมื่อปีที่แล้ว

หลังการรับรางวัลเขาเขียนบล็อกถึงความรู้สึกจากรางวัลที่ได้รับความมีความรู้สึกขัดแย้งกันเอง เมื่อคิดถึง NSA ที่กำลังดักฟังการสื่อสารเป็นวงกว้างโดยไม่มีการตรวจสอบย้อนกลับที่ชัดเจน เขารู้สึกอับอายในฐานะพลเมืองสหรัฐฯ ที่มีนักการเมืองที่ปล่อยให้เกิดเหตุการณ์เช่นนี้

Google Play Service ตัวใหม่ รวมเอาตัวสแกนมัลแวร์เข้ามาด้วยแล้ว ทำงานบน 2.3 ขึ้นไป

By magnamonkun on 29 July 2013 - 11:34 Tag: Security, Android, Google Play, Google Play Services

Security

กูเกิลเคยบอกใบ้เรื่องตัวแสกนมัลแวร์ที่ผนวกมากับ Google Play มาแล้วรอบนึง แต่เรายังไม่เห็นว่ามันทำงานจริงหรือไม่ นอกจากบน Android 4.2

ล่าสุดกูเกิลปรับแผนการทำงานใหม่ โดยโยกเอาฟีเจอร์นี้ออกมาจาก Android 4.2 แล้วใส่ไปใน Google Play Service แทน ซึ่งจะมีผลให้ Android 2.3/4.0 และ 4.1 ได้ใช้งานฟังก์ชันนี้ด้วยนั่นเองครับ

เหล่าสายลับจากหลายประเทศต่างพากันแบนพีซี Lenovo เพราะเสี่ยงต่อการถูกล้วงข้อมูล

By ตะโร่งโต้ง

on 29 July 2013 - 04:23 Tag: Security, Lenovo

Security

สื่อออสเตรเลียรายงานว่า หน่วยงานสายลับของหลายประเทศตัดสินใจแบนการใช้งานพีซี Lenovo ด้วยเหตุผลด้านความปลอดภัยของข้อมูล

แหล่งข่าวระบุถึงผลการทดสอบในห้องปฏิบัติการของหน่วยงานสายลับซึ่งพบว่าพีซี Lenovo มีช่องโหว่ที่เกี่ยวโยงกับชิปที่ Lenovo เลือกใช้ ซึ่งหากผู้ใช้พีซี Lenovo ถูกโจมตีผ่านช่องดังกล่าวแล้ว จะทำให้พีซีถูกควบคุมจากระยะไกลโดยคอมพิวเตอร์เครื่องอื่นได้ และนั่นทำให้ข้อมูลสำคัญของเจ้าหน้าที่สายลับตกอยู่ในความเสี่ยง ทั้งนี้รายละเอียดของช่องโหว่ดังกล่าวยังคงถูกเก็บไว้เป็นความลับของหน่วยงานทดสอบ

ศาลสูงอังกฤษคุ้มครองชั่วคราว ห้ามเผยแพร่จุดอ่อนการเข้ารหัสกุญแจรถ

By lew

on 28 July 2013 - 18:26 Tag: Security, United Kingdom, Automobile, USENIX

Security

งาน USENIX 13 ที่กำลังจะมีขึ้นกลางเดือนสิงหาคมนี้มีงานนำเสนออันหนึ่งเป็นการนำเสนอช่องโหว่ของ Megamos Crypto ระบบเข้ารหัสของกุญแจแบบ immobilizer ที่รถราคาแพงหลายรุ่นใช้งานเพื่อยืนยันตัวกุญแจ แต่ Volkswagen ฟ้องต่อศาลอังกฤษว่างานวิจัยนี้ยังไม่ควรถูกเปิดเผยต่อสาธารณะเนื่องจากทำอันตรายให้กับเจ้าของรถที่อาจถูกขโมยรถได้โดยง่าย

PayPal ปรับนโยบาย แจกรางวัลผู้แจ้งบั๊กความปลอดภัยอายุ 14 ปีขึ้นไป

By mk

on 26 July 2013 - 15:59 Tag: Security, PayPal

Security

จากกรณี Paypal เจอปัญหา XSS, ผู้พบอายุไม่ถึงเกณ์รับรางวัล และ Paypal ชี้แจงปัญหาไม่จ่ายรางวัลเด็กอายุ 17 ระบุมีผู้แจ้งก่อนแล้ว

ล่าสุดทาง PayPal ประกาศปรับนโยบายเรื่องอายุของผู้แจ้งบั๊กความปลอดภัยแล้ว โดยเปลี่ยนจากเดิมอายุ 18 ปีขึ้นไป มาเป็น 14 ปีขึ้นไปแทน (ในทางปฏิบัติ ผู้เข้าร่วมโครงการจะต้องสมัครบัญชี PayPal แบบ Student)

เป้าหมายของ PayPal ก็ชัดเจนว่าต้องการกระตุ้นให้ผู้สนใจด้านความปลอดภัยรุ่นใหม่ๆ เข้าร่วมมากขึ้น

มาอุดช่องโหว่ความปลอดภัยของ Android คุณกันเถอะ

By sudloa

on 25 July 2013 - 22:13 Tag: Security, Android

Security

หลายๆ คนคงทราบกันแล้วว่าตอนนี้มีผู้พบช่องโหว่บน Android OS ที่สำคัญอยู่ 2 ช่องโหว่ด้วยกันนั่นคือบั๊กหมายเลข 9695860 และ หมายเลข 8219321 (หรือที่หลายคนคุ้นหูว่า Master Key Exploit)

Symantec ค้นพบมัลแวร์ Android ที่ปลอมตัวด้วยช่องโหว่ Master Key แล้ว

By mk

on 24 July 2013 - 23:57 Tag: Security, Symantec, Android

Security

จากกรณี พบช่องโหว่ใหม่บน Android, 99% อยู่ในข่ายได้รับผลกระทบ โดยช่องโหว่นี้รู้จักกันในชื่อ Master Key

สถานการณ์ล่าสุด บริษัท Symantec ประกาศว่าค้นพบแอพจีน 2 ตัวที่เป็นแอพด้านสุขภาพที่แจกจ่ายผ่านร้านขายแอพในจีน (ไม่ใช่ Google Play) ตามปกติ แต่ก็โดนแฮกเกอร์แอบฝังโค้ดที่ขโมยข้อมูลสำคัญในเครื่องลงไป แล้วเผยแพร่ไฟล์นี้ออกไปโดยใช้ช่องโหว่ Master Key ส่งผลให้ตัวระบบ Android คิดว่าแอพดังกล่าวไม่เกิดการเปลี่ยนแปลง

Cisco เข้าซื้อ Sourcefire

By lew

on 24 July 2013 - 00:39 Tag: Open Source, Cisco, Security, Enterprise, Sourcefire

Open Source

Cisco ประกาศเข้าซื้อ Sourcefire บริษัทระบบตรวจสอบความปลอดภัยเครือข่าย (intrusion detection systems - IDS) ด้วยมูลค่าถึง 2,700 ล้านดอลลาร์

Sourcefire นั้นเป็นบริษัทผู้พัฒนา Snort ระบบ IPS แบบโอเพนซอร์สที่ได้รับความนิยมสูง โดยหลังจาก Martin Roesch สร้าง Snort ในปี 1998 ก็มาตั้งบริษัท Sourcefire ในปี 2001 หลังจากนั้นบริษัทก็มีรายได้เติบโตต่อเนื่องจนตอนนี้มีพนักงานถึง 650 คนและรายได้ปีที่แล้ว 220 ล้านดอลลาร์

สินค้าของ Sourcefire ในทุกวันนี้ยังพัฒนาอยู่บนฐานของ Snort แต่มีการปรับปรุงทั้งการออปติไมซ์ด้วยฮาร์ดแวร์และการปรับปรุงเพิ่มเติมอื่นๆ เข้าไป

[DefCon] ปลดรหัสล็อกแอนดรอยด์ด้วยหุ่นยนต์

By lew

on 23 July 2013 - 23:03 Tag: Security, Android, Password, Defcon

Security

โทรศัพท์ของเรากลายเป็นของสำคัญขึ้นเรื่อยๆ เมื่อเราเก็บข้อมูลส่วนตัวไว้ในโทรศัพท์จำนวนมาก คำแนะนำทั่วไปคือให้ล็อกโทรศัพท์ไว้เสมอด้วยรหัสจะได้ป้องกันได้ในกรณีที่โทรศัพท์หายไป แต่การทดลองล่าสุดแสดงให้เห็นว่าระบบการล็อกนี้ใช้ไม่ได้กับแอนดรอยด์

Tango ถูกแฮก ข้อมูลถูกขโมยกว่า 1.5 เทระไบต์!

By nutmos

on 23 July 2013 - 19:32 Tag: Security, Hacking, Tango

Security

The Syrian Electronic Army รายงานว่า พวกเขาได้แฮก Tango บริการวิดีโอแชทที่โด่งดัง แถมทวีตรูปเย้ยพร้อมบอกว่าสามารถขโมยข้อมูลไปได้ 1.5 เทระไบต์!

แฮกเกอร์กลุ่มนี้ได้บอกว่า ข้อมูลที่พวกเขาขโมยไปนั้นมีทั้งเบอร์โทรศัพท์, ข้อมูลที่อยู่ติดต่อ และอีเมลผู้ใช้ Tango กว่าล้านราย แต่ยังไม่เป็นที่แน่ชัดว่าฐานข้อมูลผู้ใช้ของ Tango นั้นได้รับผลกระทบมากเท่าไร และข้อมูลที่ถูกขโมยไปนั้นได้รับการเข้ารหัสหรือไม่

Tango ได้ทวีตว่ามีข้อมูลถูกขโมยจริง รายละเอียดทวีตดูได้ท้ายข่าวครับ

NAVER Japan โดนแฮก แจ้งผู้ใช้เปลี่ยนรหัสผ่าน

By mrmamon

on 23 July 2013 - 18:56 Tag: Security, Hacking, LINE

Security

NAVER Japan (ซึ่งตอนนี้เป็น LINE Corporation แล้ว) ผู้ให้บริการสนทนาผ่านมือถือชื่อดัง ได้ตรวจพบการเข้าถึงของแฮกเกอร์จากภายนอกไปยังบริการได้แก่ NAVER Matome, N Drive, NAVER Photo Album และ pick and cafe ซึ่ง NAVER ได้ระงับบริการดังกล่าวในทันทีเพื่อไม่ให้มีผลกระทบต่อผู้ใช้งาน ผู้ใช้งานที่ได้รับผลกระทบจะไม่สามารถเข้าสู่ระบบได้จนกว่าจะเปลี่ยนรหัสผ่านที่ NAVER ได้ส่งอีเมลเตือนผู้ใช้ที่คาดว่าจะได้รับผลกระทบเพื่อเปลี่ยนรหัสผ่านแล้วและได้แนะนำให้เปลี่ยนรหัสผ่านของบริการอื่นๆ ที่ตั้งรหัสผ่านเดียวกันด้วย เท่าที่ทราบตอนนี้ยังไม่มีข้อมูลว่า LINE โดนแฮคนะครับ ส่วนท่านใดที่ใช้งานบริการดังที่กล่าวไปข้างต้

พบช่องโหว่การเข้ารหัสของซิมการ์ดมือถือ สหภาพโทรคมนาคมนานาชาติออกประกาศเตือน

By nrad6949

on 22 July 2013 - 07:56 Tag: Security, Telecom, ITU, GSMA, SIM card

Security

รายงานข่าวจากเว็บไซต์ของหนังสือพิมพ์ The New York Times ระบุว่า บริษัทวิจัยด้านความปลอดภัยในประเทศเยอรมนีตรวจพบช่องโหว่ในการเข้ารหัสของซิมการ์ดโทรศัพท์มือถือที่ใช้การเข้ารหัสแบบ D.E.S. (Data Encryption Standard) ที่ใช้มาตั้งแต่ช่วงปี 1970 ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถดึงเอารหัสดิจิตอลของซิมการ์ดจำนวน 56 หลักออกมา และสามารถใช้ซิมการ์ดนั้นเสมือนว่าเป็นของตนเองได้ทันที

Subscribe to Security