Google, NXP เข้าร่วมกลุ่ม FIDO Alliance สร้างระบบยืนยันตัวตนที่ไม่ใช้รหัสผ่าน

By mk Founder on Tag: Google, Security, NXP Semiconductors, Authentication, FIDO
Google

การใช้รหัสผ่านเป็นวิธีการยืนยันตัวตนที่ใช้กันมานานมาก จุดอ่อนของมันคือความยุ่งยากของฝั่งผู้ใช้เองที่ต้องจำรหัสผ่านหลายๆ ชุด และถูกเจาะหรือขโมยได้ง่ายมาก

ทางออกที่ปลอดภัยกว่าคือการใช้วิธียืนยันตัวตนแบบอื่นๆ (เช่น ลายนิ้วมือ เสียง หรืออุปกรณ์ฮาร์ดแวร์) เข้าช่วยยืนยันอีกชั้นหนึ่ง แต่ปัญหาคือยังไม่มีมาตรฐานกลางสำหรับการยืนยันตัวตน 2 ชั้นลักษณะนี้ ทำให้ผู้ใช้ยุ่งยากและพลอยไม่ใช้งานไปในที่สุด

Read more

Galaxy S4 ยังไม่มีฟีเจอร์ความปลอดภัย Knox เพราะซัมซุงยังไม่พร้อม

By mk Founder on Tag: Security, Samsung, Galaxy S4, Knox
Security

เมื่อต้นปีที่ผ่านมา ซัมซุงเปิดตัวฟีเจอร์ด้านความปลอดภัยบนมือถือชื่อ Knox (เน้นสำหรับองค์กรที่จะให้พนักงานนำมือถือของตัวเองมาใช้หรือ BYOD - ข่าวเก่า) โดยมือถือตัวแรกที่จะได้ฟีเจอร์นี้คือ Galaxy S4

แต่ล่าสุดมีข้อมูลว่า Knox ยังไม่พร้อม และซัมซุงตัดสินใจเลื่อนการออก Knox ไปเป็นช่วงเดือนกรกฎาคม ซึ่งคาดว่าจะมาบน S4 ในรูปของซอฟต์แวร์อัพเดต

Read more

Hash: ไม่รู้ว่ามันคืออะไรแต่มันใช่

By lew Founder on Tag: Security, In-Depth, Cryptography
Security

ในกระบวนการรักษาความปลอดภัยคอมพิวเตอร์ นอกเหนือจากการดูแลระบบให้ควบคุมสิ่งที่ผู้ใช้หรือผู้บุกรุกให้ไม่สามารถทำงานใดๆ นอกเหนือจากที่กำหนดไว้ กระบวนการเข้ารหัส (Cryptography) นับเป็นสิ่งสำคัญที่ช่วยให้กระบวนการควบคุมนั้นเป็นไปได้จริง กระบวนการเข้ารหัสทุกวันนี้มักสร้างจากตัวประกอบสามตัวหลักได้แก่ ฟังก์ชั่นแฮช, การเข้ารหัสแบบกุญแจสมมาตร (symmetric key), และการเข้ารหัสแบบกุญแจอสมมาตร (asymmetric key) ในตอนแรกจะพูดถึงฟังก์ชั่นแฮชก่อน

Read more

ทวิตเตอร์เตรียมเข็นระบบล็อกอินสองชั้นออกมาใช้ หลังบัญชีของคนดังหลายคนถูกแฮก

By nutmos Writer on Tag: Security, Twitter
Security

สำนักข่าว Wired รายงานข่าวว่า ตอนนี้ทวิตเตอร์กำลังทดสอบระบบล็อกอินสองชั้น (two-step authentication หรือ two-factor authentication) เป็นการภายใน และเตรียมปล่อยให้ผู้ใช้ทั่วไปได้ใช้กันเร็ว ๆ นี้

Read more

Symantec เตือนภัย การจารกรรมข้อมูลเพิ่มขึ้น 42% โดยเฉพาะธุรกิจ SME

By mk Founder on Tag: Security, Symantec
Security

Symantec ออกรายงาน Internet Security Threat ฉบับล่าสุด มีข้อมูลที่น่าสนใจคือการจารกรรมข้อมูลหรือทรัพย์สินทางปัญญาเพิ่มขึ้น 42% จากปีก่อน

กลุ่มเป้าหมายหลักของการจารกรรมข้อมูลคืออุตสาหกรรมการผลิตและธุรกิจ SME ที่ลงทุนกับระบบความปลอดภัยไม่เยอะนัก

Read more

BadNews มัลแวร์พันธุ์ใหม่บน Android ยอดดาวน์โหลดอาจสูงถึง 9 ล้านครั้ง

By mk Founder on Tag: Security, Android, Malware, Lookout
Security

บริษัทความปลอดภัย Lookout เผยข้อมูลของมัลแวร์ตัวใหม่ชื่อ "BadNews" บนแพลตฟอร์ม Android ซึ่งประเมินว่ามีคนโหลดแอพที่ฝัง BadNews ไปแล้ว 2-9 ล้านครั้ง โดยส่วนใหญ่อยู่ในรัสเซียและกลุ่มประเทศในเครือโซเวียตเก่า

ความน่าสนใจของ BadNews อยู่ที่ผู้สร้างมัลแวร์นั้นสร้าง "เครือข่ายโฆษณาบนมือถือ" (ลักษณะเดียวกับ AdMob หรือ iAd) ที่ทำงานได้จริงๆ และเชิญชวนให้ผู้สร้างแอพหันมาแปะโฆษณาของตัวเอง ทำให้การส่งแอพขึ้น Google Play ตรวจไม่พบโค้ดของมัลแวร์เพราะตอนแรก BadNews แปะมาแต่โฆษณาตามอย่างแอพทั่วไป

Read more

นักวิเคราะห์พบ 1Password อ่อนแอกว่าที่คิด แต่ยังไม่อันตราย

By lew Founder on Tag: Security, Password
Security

รายงานจากทีม Hashcat รายงานระบบการเข้ารหัสผ่าน พบว่ารหัสผ่านหลัก (master password) ของ 1Password ที่เข้ารหัสแบบทางเดียวด้วย PBKDF2-HMAC-SHA1 จากเดิมที่ต้องคำนวณ SHA1 ถึงกว่า 8,000 รอบซึ่งเปลืองรอบการคำนวณอย่างมาก แต่หลังจากวิเคราะห์ระบบการเข้ารหัสของ 1Password แล้วกลับพบว่าการคำนวณจริงๆ ต้องการการคำนวณเพียง 4000 รอบก็เพียงพอแล้ว

Read more

Java 8 เลื่อนเป็นปี 2014 เนื่องจากปัญหาความปลอดภัยเป็นเหตุ

By mk Founder on Tag: Java, Security, Oracle
Java

Oracle ออกมาประกาศว่า Java 8 ที่มีกำหนดออกเดือนกันยายนนี้ จะถูกเลื่อนออกไปเป็นปี 2014 (กำหนดเวลายังไม่ชัดเจน แต่น่าจะเป็นไตรมาสแรกของปี 2014)

เหตุผลที่เลื่อนเป็นเพราะปัญหาด้านความปลอดภัยของ Java ที่รุมเร้าอยู่ในตอนนี้ ทำให้ทีมงานต้องการเวลาเพิ่มเติมในการปรับปรุงกระบวนการพัฒนา Java ให้ปลอดภัยกว่าเดิม

Read more

ตัดสินแล้ว! หนึ่งในสมาชิก LulzSec โดนจำคุกหนึ่งปีหลังแฮ็กเว็บไซต์โซนี่

By pe3z Writer on Tag: Security, Hacker, Anonymous, LulzSec
Security

Cody Kretsinger หนึ่งในสมาชิกกลุ่ม LulzSec ซึ่งเคยสร้างผลงานทั้งการแฮ็กเว็บไซต์ Sony Pictures รวมไปถึงการ DDoS ใส่เว็บไซต์ CIA และถูกจับในเวลาต่อมา โดยมีแนวโน้มว่าจะมีการตัดสินจำคุกผู้กระทำความผิดถึง 15 ปี แต่ผู้กระทำความผิดได้รับสารภาพและยอมที่จะบำเพ็ญสาธารณประโยชน์เป็น 1,000 ชั่วโมง ทำให้โทษจำคุกเหลือ 1 ปี และจะต้องจ่ายค่าเสียหายให้กับทาง Sony Pictures เป็นจำนวน $605,663 ด้วย

Read more

แจ้งเตือน 13 รุ่นเราเตอร์ชื่อดัง หลังพบช่องโหว่ให้แฮกเกอร์ใช้ขโมยข้อมูลได้

By pe3z Writer on Tag: Security, Wireless Router
Security

นักวิจัยจาก Independent Security Evaluators (ISE) ได้เปิดเผยรุ่นเราเตอร์ชื่อดังหลังจากพบช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถใช้โจมตีและขโมยข้อมูลได้ภายในเครือข่าย LAN เดียวกัน และ 11 รุ่นจาก 13 รุ่นสามารถเข้าควบคุมอุปกรณ์ได้จากเครือข่าย WAN

Read more

ออราเคิลปล่อยแพตซ์ความปลอดภัยชุดใหญ่

By lew Founder on Tag: Security, Oracle
Security

ออราเคิลปล่อยแพตซ์ความปลอดภัยจำนวนมากให้กับสินค้าหลายตัว ตั้งแต่ระบบฐานข้อมูล, แอพพลิเคชั่นเซิร์ฟเวอร์, มิดเดิลแวร์, และซอฟต์แวร์จัดการเช่น Siebel/PeopleSoft รวมไปถึงขาประจำอย่างจาวาไปพร้อมกัน

แพตซ์ทั้งหมดเป็นแพตซ์ความปลอดภัยในระดับ critical ออราเคิลแนะนำให้ลูกค้าทุกรายอัพเดตให้เร็วที่สุดเท่าที่เป็นไปได้ บั๊กหลายตัวสามารถข้ามผ่านระบบการล็อกอินเพื่อโจมตีได้

ใครดูแลระบบไหนกันอยู่ตอนนี้อาจจะต้องเร่งมาทดสอบเพื่อเอาตัวใหม่ขึ้นกันเร็วสักหน่อยครับ

Read more

แอปเปิลอัพเดต Java 6 บน OS X ตามออราเคิลแล้ว

By mk Founder on Tag: Apple, Java, Security, Mac OS X, Safari
Apple

ออราเคิลออก Java 7u21 และ Java 6u45 บนแพลตฟอร์มอื่นๆ ไปแล้ว ทางฝั่งแอปเปิลที่ออก Java 6 เวอร์ชันของตัวเองบน OS X ก็อัพเดตตามเรียบร้อย (สำหรับผู้ที่ใช้ Java 7 ต้องอัพผ่านระบบของออราเคิลกันเองเหมือนระบบปฏิบัติการอื่นๆ)

อัพเดตของแอปเปิลตัวนี้ใช้ชื่อว่า Java for OS X 2013-003 (สำหรับ Lion ขึ้นไป) หรือ Java for Mac OS X 10.6 Update 15 (สำหรับ Snow Leopard) ผู้ใช้แมคที่ยังใช้ Java 6 ก็อัพเดตกันได้ผ่าน Software Update เพื่อความปลอดภัยครับ

Read more

Microsoft Account เริ่มใช้ระบบล็อกอินสองชั้นแล้ว

By mk Founder on Tag: Security, Microsoft
Security

ตรงตามข่าวหลุดก่อนหน้านี้ ไมโครซอฟท์ออกมาประกาศใช้ระบบล็อกอินสองชั้น (two-step verification) แล้ว ซึ่งจะมีผลกับบริการทั้งหมดที่ใช้ Microsoft Account เช่น Windows 8, Windows Phone, Xbox, Outlook.com, Skype, SkyDrive เป็นต้น

ระบบล็อกอินสองชั้นของไมโครซอฟท์ก็เหมือนกับระบบอื่นๆ คือผู้ใช้ยังต้องเปิดใช้งานเอง (optional) ใช้วิธีส่งโค้ดยืนยันตัวตนผ่านอีเมลหรือ SMS นอกจากนี้ยังมีแอพ Microsoft Authenticator สำหรับยืนยันตัวตนแบบออฟไลน์ได้ด้วย (ยังมีเฉพาะบน Windows Phone)

Read more

ออราเคิลออกแพตช์ Java อุดรูรั่วชุดใหญ่ หวังกู้ภาพลักษณ์ด้านความปลอดภัย

By mk Founder on Tag: Java, Security, Oracle
Java

ออราเคิลออกแพตช์ให้ Java SE รอบเดือนเมษายน 2013 (นับเวอร์ชันเป็น Java 7 update 21 และ Java 6 update 45) ซึ่งแพตช์นี้แก้ปัญหาเรื่องช่องโหว่ใน Java ไปถึง 42 จุด ถือเป็นการอุดรูรั่วความปลอดภัยครั้งใหญ่สำหรับโลกของ Java

แพตช์ชุดนี้ยังเพิ่มหน้าต่าง dialog box แจ้งเตือนเมื่อผู้ใช้รัน Java applet ที่มีความเสี่ยงด้วย (เมื่อก่อนเคยมีหน้าต่างนี้ แต่มีบั๊กไม่ยอมเช็คใบรับรองดิจิทัลที่ถูกเพิกถอน)

Read more

ระวัง! พบความพยายามเจาะรหัสผ่านแอดมิน WordPress และ Joomla ครั้งใหญ่

By mk Founder on Tag: Security, WordPress, CMS, Joomla!
Security

ผู้ให้บริการโฮสติ้งขนาดใหญ่ของโลกหลายราย ให้ข้อมูลว่าพบความพยายามเจาะระบบ CMS ที่เป็น WordPress และ Joomla! (ส่วนใหญ่เป็น WordPress) ครั้งใหญ่

รูปแบบการโจมตีครั้งนี้ไม่ซับซ้อน โดยเป็นการคาดเดารหัสผ่านแอดมินของ WordPress/Joomla! ด้วยรหัสผ่านที่พบบ่อย (dictionary attack) เช่น 123456, password, 1234, qwerty เพื่อหวังฟลุคจะเข้าบัญชีแอดมินของเว็บไซต์ต่างๆ ได้นั่นเอง

พฤติกรรมของการโจมตีใช้เวลาสั้นๆ ต่อหนึ่งเว็บไซต์แต่หว่านเป็นวงกว้างแทน ส่วนจำนวนเครื่อง botnet ที่ใช้เป็นฐานโจมตีมีราวๆ 100,000 เครื่อง

Read more

หน่วยงานการบินยืนยัน สมาร์ทโฟน Android ไม่สามารถแฮ็กระบบเครื่องบินโดยสารได้

By Pup Writer on Tag: Security, Safety, Hacking, Android, FAA
Security

ข่าวนี้ต่อเนื่องจากข่าวนักวิจัยชี้แค่ใช้สมาร์ทโฟน Android ก็แฮ็กระบบเครื่องบินโดยสารได้ โดยหลังจากที่ได้รับการตรวจสอบเรียบร้อยแล้ว FAA หรือทบวงการบินสหรัฐได้ออกมายืนยันแล้วว่าสมาร์ทโฟน Android ไม่สามารถนำมาใช้แฮ็กเครื่องบินโดยสารได้จริงอย่างที่นักวิจัยได้สาธิตไว้ โดย FAA ให้เหตุผลว่าการสาธิตของนักวิจัยนั้นทำกับระบบ ACARS ที่ติดตั้งอยู่บนพีซีที่ใช้สำหรับฝึกซ้อม และช่องโหว่ที่นักวิจัยใช้นั้นมีอยู่ในระบบ ACARS บนพีซีเท่านั้น ไม่สามารถนำเทคนิคดังกล่าวนี้มาใช้กับอุปก

Read more

BitCoin เริ่มตกเป็นเป้าอาชญากร ผู้ใช้ Mt.Gox ถูกขโมยเงินจากการคลิกลิงก์

By lew Founder on Tag: Security, Bitcoin, MtGox
Security

ผู้ใช้ของ Mt.Gox ที่ชื่อว่า bitbully รายงานว่ามีเว็บระบุตัวเองว่าเป็นบริการแชตเพื่อเชื่อมต่อกับ Mt.Gox เขาจึงลองเข้าเว็บดูแต่ปรากฎว่าหน้าเว็บมีเพียง applet ที่โหลดไม่ขึ้น แต่หลังจากนั้นมีรายงานจาก Mt.Gox ว่าเขาสั่งโอนเงินจำนวน 34 BTC ออกจากบัญชี ในเวลาเดียวกับที่เขาเข้าเว็บนั้น จึงรู้ว่าถูกขโมยเงินไปเสียแล้ว

แม้จะเสียเงินไปแล้ว แต่ bitbully ยังเข้าเว็บเดิมเพื่อไปดาวน์โหลด applet ในเว็บกลับออกมา แล้วนำไปให้เพื่อนจาวาโปรแกรมเมอร์ตรวจ พบว่ามี applet ที่อาศัยบั๊กความปลอดภัยของจาวาเพื่อทำ Cross Site Injection แล้วสั่งโอนเงินโดยไม่ต้องให้ผู้ใช้เข้าไปยุ่งเกี่ยวอะไรด้วย

Read more

นักวิจัยชี้แค่ใช้สมาร์ทโฟน Android ก็แฮ็กระบบเครื่องบินโดยสารได้

By ตะโร่งโต้ง Writer on Tag: Security, Hacking, Android
Security

ในงานสัมมนาว่าด้วยเรื่องความปลอดภัยที่ชื่อ Hack in the Box ซึ่งจัดขึ้นใน Amsterdam เมื่อไม่นานมานี้ มีการเปิดเผยความจริงที่น่าสนใจเรื่องหนึ่งว่าการแฮ็กระบบควบคุมเครื่องบินโดยสารด้วยสมาร์ทโฟน Android เพียงหนึ่งเครื่องนั้นสามารถทำได้จริงโดยนักวิจัยด้านความปลอดภัย

Read more

ข้อมูลหลุด ระบบล็อกอินสองชั้นของไมโครซอฟท์

By nuntawat Writer on Tag: Security, Leak, Microsoft
Security

เว็บไซต์ LiveSide ได้รับข้อมูลระบบล็อกอินสองชั้น (two-step authentication) เพื่อเข้าสู่บริการจากไมโครซอฟท์มา โดยหลักการทำงานระบบดังกล่าวนั้น หลังจากผู้ใช้ตั้งค่าใช้ล็อกอินสองชั้นแล้วเมื่อล็อกอินจากอุปกรณ์ใดที่ไม่ได้ถูกระบุว่าเป็นอุปกรณ์ที่เชื่อถือได้ (trusted PC) จะต้องกรอกรหัสที่ถูกสุ่มแฮชอิงตามเวลามา จากแอพ Authenticator บนมือถือ

Read more

Script Injection/SQL Injection ความปลอดภัยพื้นฐานสำหรับเว็บ

By lew Founder on Tag: Security, Development, In-Depth
Security

แม้ปัญหาความปลอดภัยจะเริ่มต้นในยุคแรกๆ ในโลกด้วยปัญหา buffer overflow แต่เมื่อโลกเข้าสู่ยุคของเว็บ และโดยเฉพาะเมื่อเว็บเริ่มไม่ใช่ไฟล์ html เปล่าๆ แต่เป็นเว็บที่สามารถปรับตามผู้ใช้งานได้ เริ่มจากยุคของ CGI ที่เป็นโปรแกรมภาษาต่างๆ เรื่อยมาถึงเว็บเซิร์ฟเวอร์แบบอื่นไม่ว่าจะเป็น J2EE หรือระบบ fastcgi ปัญหาความปลอดภัยของเว็บก็กลายเป็นปัญหาใหญ่ที่โลกเจอกันเรื่อยมาจนทุกวันนี้

Read more
Subscribe to Security