Tags:
Node Thumbnail

Oracle เปิดตัวบริการคลาวด์ตัวใหม่ Identity Cloud Service (IDCS) ซึ่งเป็นการนำระบบจัดการตัวตน Identity and Access Management ขึ้นไปรันบนคลาวด์ทั้งหมด 100%

แนวคิดของ Oracle คือตลาดไอทีองค์กรกำลังขยับไปสู่คลาวด์ เดิมทีตลาดระบบจัดการตัวตนแบบ on premise มีผู้เล่นเจ้าตลาดอยู่เยอะแล้ว แต่พอเข้าสู่ยุคคลาวด์ แนวคิดเรื่องความปลอดภัยเปลี่ยนไปจากยุคเก่ามาก เพราะบริการคลาวด์ส่วนใหญ่อยู่นอกไฟร์วอลล์ขององค์กร แนวคิดการใช้ไฟร์วอลล์ป้องกันทุกอย่างเริ่มใช้ไม่ได้อีกแล้ว ต้องหันมาเข้มงวดเรื่องการจำกัดสิทธิการเข้าถึงเป็นรายบุคคลแทน

Tags:
Node Thumbnail

ช่องโหว่ความปลอดภัยคอมพิวเตอร์มีความสำคัญไม่เท่ากัน ที่ผ่านมาระบบการจัดลำดับความสำคัญมักใช้ระบบคะแนน CVSS (Common Vulnerability Scoring System) ที่พิจารณาความเสี่ยงของช่องโหว่ตามความยากง่ายในการโจมตี และผลความเสียหายจาการโจมตี ตอนนี้นักวิจัยเสนอแนวทางใหม่ในการประเมินความเสี่ยงของช่องโหว่โดยอาศัยสภาพแวดล้อมการทำงานจริงเข้ามาคำนวณด้วย

ระบบคะแนน Non-Intrusive and Context-Based Vulnerability Scoring (NCVS) พิจารณาจากการติดตั้งระบบจริง เช่นซอฟต์แวร์บางตัวอาจจะติดตั้งไว้หลังไฟร์วอลล์หลายชั้น และผู้ใช้เข้าถึงผ่านเซิร์ฟเวอร์ตัวอื่นๆ แม้ช่องโหว่จะมีความเสี่ยงสูง แต่ในระบบจริงช่องโหว่ก็ไม่ได้สร้างอันตรายให้กับระบบสูงนัก

Tags:
Node Thumbnail

J. Alex Halderman อาจารย์ด้านความปลอดภัยคอมพิวเตอร์ของมหาวิทยาลัยมิชิแกน เสนอทฤษฎีว่าระบบคอมพิวเตอร์ที่ใช้นับคะแนนเลือกตั้งของสหรัฐอาจมีปัญหา จนเป็นเหตุให้นับคะแนนผิดพลาดจน Hillary Clinton พ่ายแพ้ และเสนอให้นับคะแนนใหม่จากบัตรเลือกตั้งกระดาษ

ระบบการเลือกตั้งในสหรัฐใช้คอมพิวเตอร์เข้าช่วย แม้รูปแบบของแต่ละรัฐแตกต่างกัน แต่แบ่งได้ใหญ่ๆ 2 กลุ่มคือ ลงคะแนนบนกระดาษแล้วนำไปอ่านด้วยเครื่องคอมพิวเตอร์ที่มีสแกนเนอร์เพื่อนับคะแนนเข้าระบบ หรือ ลงคะแนนในคอมพิวเตอร์เลยแต่พิมพ์ยืนยันการโหวตลงกระดาษเป็นหลักฐาน

Tags:
Node Thumbnail

บริษัทความปลอดภัยไซเบอร์ Group-IB ระบุว่ากลุ่มอาชญากรที่มุ่งโจมตีตู้เอทีเอ็มด้วยมัลแวร์ให้จ่ายเงินออกมาเริ่มบุกหลายธนาคารในยุโรป

ทางบริษัทไม่ได้ระบุชื่อธนาคารที่ได้รับผลกระทบ แต่ระบุว่ากลุ่มอาชญากรโจมตีในยุโรป เช่น สหราชอาณาจักร, สเปน, รัสเซีย, โปแลนด์, เนเธอร์แลนด์ นอกจากนี้ยังระบุว่ามาเลเซียก็ถูกโจมตีด้วยเช่นเดียวกัน

ผู้ผลิตตู้เอทีเอ็มรายใหญ่อย่าง Diebold Nixdorf และ NCR ระบุว่าได้แจ้งไปยังธนาคารถึงวิธีการป้องกันการโจมตีแล้ว

การโจมตีตู้เอทีเอ็มด้วยมัลแวร์มีการรายงานครั้งแรกในไต้หวัน ส่วนในไทยธนาคารออมสินเพิ่งถูกโจมตีไปเมื่อเดือนสิงหาคมที่ผ่านมา

Tags:
Node Thumbnail

โครงการหาช่องโหว่ความปลอดภัยแลกรางวัลได้รับความนิยมในหมู่ผู้ผลิตซอฟต์แวร์ และผู้ให้บริการผ่านอินเทอร์เน็ตจำนวนมาก แต่ตอนนี้ผู้ผลิตฮาร์ดแวร์อย่าง Qualcomm ก็หันมาเปิดโครงการเช่นนี้บ้างแล้ว

ทาง Qualcomm จะจำกัดเฉพาะนักวิจัยที่ได้รับเชิญเท่านั้น โดยระบุว่าบริษัทจะเชิญนักวิจัยเข้าร่วมโครงการเพิ่มเติมเรื่อยๆ ตัวโครงการครอบคลุมฮาร์ดแวร์ Snapdragon 400, 615, 801, 808, 810, 820, 821 และโมเด็ม X5, X7, X12, X16 พร้อมกับซอฟต์แวร์ทั้งตัวลินุกซ์เคอร์เนลและเฟิร์มแวร์ ตลอดจนระบบ TrustZone และซอฟต์แวร์อื่นๆ ที่รันในสิทธิ์ root

Tags:
Node Thumbnail

Wordfence ผู้ให้บริการความปลอดภัยสำหรับ WordPress รายงานถึงช่องโหว่ของเซิร์ฟเวอร์ api.wordpress.com ที่มีช่องโหว่นำโค้ดขึ้นไปรันบนเซิร์ฟเวอร์ได้ จนกระทั่งแฮกเกอร์สามารถสั่งเว็บ WordPress ทั่วโลกให้อัพเดตซอฟต์แวร์ที่มุ่งร้ายได้

ช่องโหว่นี้เริ่มต้นจากโค้ด webhook ของ WordPress ที่ใช้เชื่อมต่อไปยัง GitHub โดยเมื่อรับค่าจาก GitHub แล้วจะสั่ง shell_exec แม้ว่าจะมีการตรวจค่าแฮชเพื่อยืนยันว่าข้อมูลมาจาก GitHub แต่ตัว webhook กลับยอมรับค่าแฮชแบบอื่น เช่น crc32 และ adler32 ทั้งที่ GitHub จะส่งค่าแฮชเฉพาะ SHA1 เท่านั้น ทำให้ทาง Wordfence สามารถปลอมค่าแฮช

Tags:
Node Thumbnail

Drupal ออกแพตช์รวมช่องโหว่ความปลอดภัยตามรอบ (ที่สลับเดือนระหว่างการแก้บั๊กและการอุดช่องโหว่ความปลอดภัย) โดยรอบนี้ช่องโหว่มีความร้ายแรงระดับปานปลาง

ช่องโหว่ที่ร้ายแรงสักหน่อยใน Drupal 7 คือการฝัง URL ของหน้าเว็บภายนอกลงในแบบฟอร์มได้ ทำให้ผู้ใช้อาจจะถูกหลอกให้เข้าเว็บปลอมโดยไม่รู้ตัว ขณะที่ Drupal 8 มีช่องโหว่ที่โจมตีแบบให้ล่มได้เมื่อสร้าง URL อย่างจงใจ

แพตช์ชุดนี้มีช่องโหว่รวม 4 ช่องโหว่ อีก 2 ช่องโหว่เป็นช่องโหว่ระดับความร้ายแรงต่ำ อย่างไรผู้ดูแลก็ควรรีบแพตช์กันครับ

ที่มา - Drupal Security

Tags:
Topics: 
Node Thumbnail

IBM Security ประกาศตั้งศูนย์บัญชาการ X-Force Command Centers เพื่อรับมือกับภัยคุกคามด้านความมั่นคงไซเบอร์โดยเฉพาะ

ศูนย์บัญชาการแห่งนี้ตั้งอยู่ที่เมือง Cambridge รัฐแมสซาชูเซตส์ จุดเด่นของศูนย์แห่งนี้คือมีระบบซิมูเลเตอร์ Cyber Range จำลองภัยคุกคามด้านความปลอดภัยไซเบอร์ให้ลูกค้าภาคเอกชนทดสอบ เช่น ลองยิงถล่มหรือแฮกระบบ เพื่อทดสอบความพร้อมของลูกค้า และฝึกฝนเจ้าหน้าที่ฝ่ายความปลอดภัยของลูกค้า ให้รับมือกับภัยคุกคามของจริง ตัวซิมูเลเตอร์ Cyber Range จะใช้ไวรัสหรือมัลแวร์ของจริงเฉกเช่นเดียวกับบรรดาแฮกเกอร์

นอกจากนี้ IBM ยังตั้งหน่วยรับมือภัยคุกคามชื่อ IBM X-Force Incident Response and Intelligence Services (IRIS) คอยให้คำปรึกษากับลูกค้า และช่วยสอบสวนหลักฐานในกรณีโดนแฮกไปแล้ว

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศจะเริ่มแจ้งเตือนเว็บไซต์ที่ใช้ใบรับรอง SHA-1 ในวันที่ 14 กุมภาพันธ์ 2017 ซึ่งจะมีผลทั้งบนเบราว์เซอร์ Microsoft Edge และ Internet Explorer 11 แต่ในส่วนของผู้ใช้ยังคงมีตัวเลือกในการเข้าชมหน้าเว็บได้อยู่

ใบรับรอง SHA-1 ที่ได้รับผลกระทบคือ ใบรับรองที่เกี่ยวข้อง (chain to) กับ Microsoft Trusted Root CA เท่านั้น แต่ทั้งนี้ไมโครซอฟท์ก็ยังแนะนำให้รีบย้ายไปใช้ใบรับรอง SHA-256 แทน

ที่มา - Microsoft Edge Developer

บทความที่เกียวข้อง: เตรียมลา SHA-1 ตอบคำถามทำไมเข้ารหัสยุ่งยากแล้วต้องอัพเดตใหม่

Tags:
Node Thumbnail

สถานการณ์การรักษาความมั่นคงในอังกฤษมีความคืบหน้าในวันนี้ คือ ร่างกฎหมาย Investigatory Powers ที่ให้อำนาจเจ้าหนาที่สืบสวนในการเข้าถึงข้อมูลอุปกรณ์ไอทีต่างๆ ผ่านสภาในอังกฤษทั้งสองสภาแล้ว ขั้นตอนสุดท้ายเหลือเพียงพระราชินีลงนามยอมรับเท่านั้น

กฎหมายตัวนี้มีการถกเถียงกันมานานเป็นปี เพราะฝั่งปกป้องสิทธิมนุษยชนเห็นว่ากฎหมายนี้ละเมิดความเป็นส่วนตัว เนื้อหาของกฎหมายฉบับนี้ครอบคลุมและมีอำนาจจัดการในเรื่องต่างๆ ดังนี้

Tags:
Node Thumbnail

สถานีโทรทัศน์ในรัสเซียพร้อมกันรายงานข่าวว่า LinkedIn โซเชียลมีเดียด้านการหางานถูกศาลรัสเซียสั่งบล็อค หลังละเมิดกฎหมายไซเบอร์ฉบับใหม่ ที่บังคับให้ผู้ให้บริการเก็บล็อกข้อมูลไว้ในรัสเซีย 6 เดือน

ถึงแม้ศาลจะอ้างว่าละเมิดกฎหมาย แต่หลายฝ่ายก็คาดว่าเป็นความพยายามของรัฐบาลรัสเซีย ที่จะปิดกั้นการเข้าถึงสื่อโซเชียลมีเดียต่างๆ เนื่องจากถูกใช้เป็นเครื่องมือในการปลุกปั่นและนัดประท้วงต่อต้านรัฐบาล ซึ่ง LinkedIn เป็นสื่อโซเชียลมีเดียแรกที่โดน ขณะเดียวกันเจ้าหน้าที่ของรัฐก็อ้างด้วยว่า LinkedIn เคยมีประวัติเสียเรื่องการเก็บล็อกข้อมูลเก่าและข้อมูลผู้ใช้รั่วไหลด้วย

Tags:
Node Thumbnail

Darren Bilby วิศวกรความปลอดภัยของกูเกิลออกมาแนะนำในงาน Kiwicon ให้วงการความปลอดภัยไซเบอร์ลงทุนกับการป้องกันที่ได้ผลสูงดีกว่าการป้องกันที่ได้ผลน้อยอย่าง ระบบป้องกันการบุกรุก (intrusion detection system - IDS) หรือตัวป้องกันไวรัส

เขาระบุว่าวิศวกรถูกบังคับให้ติดตั้งเครื่องมือเหล่านี้เพื่อทำตามมาตรฐาน แทนที่จะลงแรงไปกับมาตรการป้องกันที่ได้ผลจริง เช่น การทำรายการแอปพลิเคชั่นที่ยอมรับได้ (whitelisting)

ในแง่ความปลอดภัยของผู้ใช้ เขาระบุว่าคำแนะนำผู้ใช้ให้ไม่คลิกลิงก์ที่แปลก หรือดาวน์โหลดไฟล์ที่ไม่น่าไว้ใจเป็นคำแนะนำที่เลวร้ายและเป็นการโทษผู้ใช้ทั้งที่สาเหตุมาจากผู้ผลิตที่ผลิตสินค้าที่ไม่ปลอดภัยเพียงพอ

Tags:
Node Thumbnail

นักวิจัยด้านความปลอดภัยจาก Kryptowire รายงานว่าพวกเขาค้นพบโปรแกรม backdoor ฝังอยู่ในสมาร์ทโฟนแอนดรอยด์ราคาถูกกว่า 700 ล้านเครื่อง คอยแอบส่งข้อมูลกลับประเทศจีนทุก 72 ชั่วโมง

โปรแกรม backdoor ดังกล่าวเป็นของบริษัท AdUps Technology มีสำนักงานอยู่ที่นครเซี่ยงไฮ้ ประเทศจีน ซึ่งบริษัทฯ บอกว่ามีโปรแกรมของตนรันอยู่บนสมาร์ทโฟนทั่วโลกกว่า 700 ล้านเครื่อง นอกจากนี้ AdUps ยังให้ซอฟต์แวร์ของตนแก่ ZTE และ Huawei ด้วย

Tags:
Node Thumbnail

Let's Encrypt เปิดให้บริการใบรับรองฟรีจนกระทั่งมีเว็บจำนวนมากอัพเกรดขึ้นมา แต่การขอใบรับรองผ่านโปรโตคอล ACME ก็อาจจะยุ่งยากสำหรับนักพัฒนาเว็บจำนวนหนึ่ง กลายเป็นอุปสรรคสำหรับการใช้งาน ที่ผ่านมาการใช้งานที่สะดวกที่สุดคือบริการโฮสต์รองรับ Let's Encrypt ให้เองทำให้นักพัฒนาไม่ต้องทำอะไร แต่ตอนนี้ผู้ให้บริการ DNS อย่าง DNSimple ก็ประกาศเพิ่มทางอำนวยความสะดวกอีกทาง

DNSimple สามารถขอใบรับรองแทนเจ้าของโดเมนได้ เพราะ ACME รองรับการยืนยันตัวตนแบบ DNS challenge ทำให้นักพัฒนาเว็บสามารถสมัครใช้บริการและดาวน์โหลดใบรับรองออกไปติดตั้งได้ทันที โดยไม่ต้องพยายามเชื่อมต่อ ACME ด้วยตัวเอง

Tags:
Node Thumbnail

Omise บริการ payment gateway ที่ผ่านการรับรอง PCI-DSS 3.0 มาตั้งแต่ปี 2014 ผ่านมาสองปีทางบริษัทก็ระบุว่าผ่านการรับรอง PCI-DSS 3.2 เรียบร้อยแล้ว พร้อมระบุว่าเป็นบริษัทแรกในไทยที่ผ่านการรับรองมาตรฐานรุ่นล่าสุดนี้ ทั้งการจัดเก็บ, การประมวลผล, และการส่งข้อมูลบัตร

มาตรฐานความปลอดภัย PCI-DSS 3.2 เพิ่มความเข้มงวดในการเข้าถึงระบบเพิ่มเติม และต้องรายงานกระบวนการย้ายออกจาก SSL และ TLS รุ่นเก่าหากยังมีการใช้งานอยู่

ที่มา - Omise

Tags:
Node Thumbnail

Kaspersky Lab รายงานการติดตามตลาดใต้ดิน พบว่าเริ่มมีผู้ผลิต skimmer สำหรับการขโมยข้อมูลชีวภาพ (biometric) จากเหยื่อเพื่อไปใช้ในอาชญากรรม หลังจากหลายอุตสาหกรรมเพิ่มมาตรการการยืนยันตัวตนผู้ใช้ด้วยข้อมูลอื่นนอกจากรหัสผ่าน

ปัญหาของการใช้ข้อมูลชีวภาพ ไม่ว่าจะเป็นลายนิ้วมือ, ใบหน้า, ม่านตา คือข้อมูลเหล่านี้หากหลุดไปยังคนร้ายและสามารถทำสำเนาได้สำเร็จ เหยื่อเองก็จะไม่มีทางเปลี่ยนข้อมูลเหล่านี้ได้อีกเลยตลอดชีวิต ต่างจากการถูกขโมยข้อมูลแถบแม่เหล็กบัตรเครดิต หรือรหัสผ่านบัญชีต่างๆ

ทาง Kaspersky ยังเตือนว่าหากเกิดข้อมูลรั่วไหลในอนาคต เช่น การที่หน่วยงานการเงินถูกแฮก หน่วยงานจะไม่มีทางชดใช้ความเสียหายได้แบบก่อนหน้านี้ที่หากข้อมูลบัตรเครดิตรั่วไหลก็อาจจะมีการออกบัตรใหม่ให้ลูกค้าไป

Tags:
Topics: 
Node Thumbnail

ปัญหาแรงงานด้านความปลอดภัยไซเบอร์ไม่เพียงพอทำให้หลายหน่วยงานไม่สามารถป้องกันระบบของตัวเองได้ แม้แต่ประเทศต้นกำเนิดอย่างสหรัฐฯ เองก็ยังเป็นปัญหา หน่วยงานออกมาตรฐานความปลอดภัยไซเบอร์อย่าง NIST เองก็ต้องลงมาเว็บ CyberSeek แสดงโอกาสความก้าวหน้าในอาชีพด้านนี้

ในสหรัฐฯ มีตำแหน่งงานด้านความปลอดภัยไซเบอร์ที่เปิดรับอยู่ถึงกว่าเจ็ดแสนตำแหน่ง เฉพาะงาน Incident Analyst ที่เป็นระดับเริ่มต้นก็มีรายได้เฉลี่ยปีละ 70,000 ดอลลาร์ นับว่าต่ำที่สุดในสายงานเดียวกัน

เว็บ CyberSeek แสดงให้ผู้สนใจเห็นว่าตำแหน่งงานในสายความมั่นคงปลอดภัยไซเบอร์ต้องมีความรู้ด้านใด มีวุฒิระดับใด ไปจนถึงผู้ว่าจ้างมักต้องการใบรับรองประเภทใดบ้าง

Tags:
Node Thumbnail

ระบบรักษาความปลอดภัยเซิร์ฟเวอร์ที่เราเห็นกันบ่อยๆ คงเป็นไฟร์วอลล์หรือตัวป้องกันเน็ตเวิร์ค แต่ความปลอดภัยพื้นฐานที่สุดคือการรักษาความปลอดภัยการเข้าถึงตัวตู้เซิร์ฟเวอร์เอง ผู้ผลิตอย่าง Schneider Electric ก็เปิดตัว NetBotz ระบบมอนิเตอร์ตู้แร็คและการเข้าถึงตัวตู้

ตัว NetBotz เป็นเหมือน IoT gateway ที่ออกแบบมาเฉพาะสำหรับตู้เซิร์ฟเวอร์ มันรองรับเซ็นเซอร์แบบมีสายได้ 42 ตัวและเซ็นเซอร์ไร้สาย 47 ตัว ตั้งแต่ความชื้น, อุณหภูมิ, ของเหลว, การสัมผัสตัวตู้, ความสั่นไหว, ควันไฟ

นอกจากเซ็นเซอร์ยังมีระบบควบคุมการเข้าถึงตู้เป็นส่วนขยาย สามารถเปลี่ยนตัวล็อกประตูเพื่อควบคุมการเข้าถึงตัวตู้ด้วย RFID มีให้เลือกทั้งบัตรแบบ 125khz และบัตร MIFARE

Tags:
Node Thumbnail

ร่างกฎหมายความมั่นคงปลอดภัยไซเบอร์ฉบับใหม่ของไต้หวันกำลังอยู่ระหว่างการพิจารณา แต่เนื้อหาเบื้องต้นก็ออกมาแล้วว่าจะมีการแบ่งหน่วยงานรัฐออกเป็นสามระดับ A, B, และ C

หน่วยงานระดับ A เป็นหน่วยงานที่มีข้อมูลสำคัญยิ่งยวด เช่น สำนักงานประธานาธิบดี, สำนักงานความมั่นคง, กระทรวงกลาโหม หน่วยงานเหล่านี้ทั้งหมด 123 หน่วยงานจะถูกตรวจสอบความมั่นคงปลอดภัยปีละสองครั้ง และจะต้องจัดซ้อมการโจมตีไซเบอร์เองอีกปีละครั้ง และการเข้าถึงข้อมูลทั้งหมดจะต้องมีการยืนยันตัวตนก่อนเข้าถึงทุกกรณี รวมถึงผู้ใช้งานระบบจะต้องได้รับการรับรองก่อนทั้งหมด

แม้แต่หน่วยงานที่สำคัญน้อยลงมา เช่น สำนักงานการบินพลเรือน, กรมอุตุนิยมวิทยา, หรือระบบคอมพิวเตอร์ของส่วนปกครองท้องถิ่นขนาดใหญ่ ก็จะอยู่ใต้ระดับ A เช่นกัน

Tags:
Topics: 
Node Thumbnail

ModSecurity CRS (Core Rule Set) กฎตรวจจับการบุกรุกสำหรับ ModSecurity ออกเวอร์ชั่น 3.0.0 ปรับปรุงใหม่ให้มีการแจ้งเตือนผิดพลาด (false positive) ต่ำลง พร้อมโหมดใหม่ๆ สำหรับการสำรวจการใช้งาน

CRS ใช้แจ้งเตือนหรือบล็อคการเชื่อมต่อเมื่อมีความพยายามจะบุกรุกด้วยเทคนิคที่พบได้ทั่วไป เช่น SQL injection, PHP injection, Remote Code Execution, หรือการสแกนเว็บ

ในเวอร์ชั่นใหม่นี้นอกจากการปรับปรุงกฎให้ลดการแจ้งเตือนผิดพลาด ยังมีกฎเฉพาะสำหรับ WordPress และ Drupal ทำให้การติดตั้งมาตรฐานทั้งสองแอปจะไม่มีการรายงานผิดพลาดเลย นอกจากนี้ยังมีโหมด "วิตกจริต" (paranoia) สำหรับการตั้งค่าหนาแน่นเป็นพิเศษ และโหมด sampling สำหรับการสำรวจการใช้งานผู้ใช้บางส่วน

Tags:
Node Thumbnail

เกิดปัญหาข้อมูลผู้ใช้หลุดครั้งใหญ่อีกรอบ เมื่อบริษัท Friend Finder Network เจ้าของเว็บหาคู่นอน AdultFriendFinder.com และเว็บไซต์สำหรับผู้ใหญ่ Penthouse.com กับ Cams.com โดนแฮ็ก และมีบัญชีมากถึง 412 ล้านบัญชีถูกเผย

บัญชีเหล่านี้เป็นข้อมูลที่ Friend Finder Network สะสมมาตลอด 20 ปี ที่น่าสนใจคือบัญชีที่ลูกค้าสั่งลบข้อมูลตัวเองไปยังค้างอยู่ในฐานข้อมูลจำนวน 15 ล้านบัญชี (และแน่นอนว่าหลุดออกมาด้วย) ตอนนี้ยังไม่มีข้อมูลแน่ชัดว่าแฮ็กเกอร์กลุ่มใดอยู่เบื้องหลังการแฮ็กครั้งนี้

ข้อมูลที่หลุดออกมาได้แก่ username, อีเมล, รหัสผ่าน (ทั้งแบบ plaintext และเข้ารหัสด้วย SHA-1 ซึ่งสามารถถอดรหัสได้ไม่ยาก), หมายเลขไอพี และข้อมูลอื่นๆ เกี่ยวกับสถานภาพสมาชิก

Tags:
Node Thumbnail

ทีมแฮ็กเกอร์จากจีนในนาม Qihoo 360 โชว์ผลงานการแฮ็กสมาร์ทโฟน Google Pixel ที่งาน PwnFest ณ กรุงโซล ประเทศเกาหลีใต้ ด้วยการใช้ช่องโหว่ zero-day เพื่อรันโค้ดประสงค์ร้ายบนสมาร์ทโฟนดังกล่าว โดยสามารถสั่งเปิด Google Play Store ขึ้นมา พร้อมเปิดเบราว์เซอร์ Google Chrome และแสดงข้อความว่า "Pwned by 360 Alpha Team" โดยทั้งหมดนี้ใช้เวลาไม่ถึง 60 วินาที (ดูภาพได้จากที่มา)

ทีมงานได้รับเงินรางวัลจากการโจมตีดังกล่าวไปถึง 120,000 ดอลลาร์สหรัฐ และต้องส่งรายละเอียดการแฮ็กทั้งหมดให้กูเกิลเพื่อออกแพตช์แก้ไขต่อไป

หลังจากนั้นทีมเดียวกันนี้ก็ไปโชว์แฮ็ก Adobe Flash โดยใช้ช่องโหว่เก่าร่วมกับช่องโหว่เคอร์เนล win32k และสุดท้ายได้แฮ็กเบราว์เซอร์ Microsoft Edge รวมแล้วได้เงินรางวัลกลับไปมากถึง 520,000 ดอลลาร์สหรัฐ หรือราว 18.4 ล้านบาท

ที่มา - The Register

Tags:
Node Thumbnail

ไลบรารี SSL กลายเป็นจุดโจมตีสำคัญนับแต่ช่องโหว่ Heartbleed เป็นต้นมา ก็มีความพยายามแยกสายการพัฒนาออกมาเป็น LibreSSL โดยทีมงาน OpenBSD หรือ BoringSSL ของกูเกิล ตอนนี้มีโครงการใหม่ในชื่อ BearSSL

BearSSL มีนักพัฒนาหลักคือ Thomas Pornin โปรแกรมเมอร์ด้านวิทยาการเข้ารหัสลับ (เขาเป็นผู้ใช้ระดับ top 0.03% ของ Security StackExchange) โดยมีแนวทางคือการรักษาความเรียบง่ายเพื่อให้มีความปลอดภัยสูงสุด ฟีเจอร์หลักๆ เช่น

Tags:
Node Thumbnail

Google Chrome for Android มีอัพเดตในวันนี้แก้ไขช่องโหว่ที่เปิดทางให้แฮกเกอร์สามารถสั่งติดตั้ง apk โดยไม่ได้รับความยินยอมจากผู้ใช้ ทาง Kaspersky คาดว่ามีผู้ถูกโจมตีจากช่องโหว่นี้ไปแล้วกว่าสามแสนราย

ทาง Kaspersky รายงานการโจมตีนี้มาตั้งแต่เดือนสิงหาคมที่ผ่านมาว่ามีการโจมตีโดยส่ง apk มาทางเครือข่ายโฆษณา รวมถึง AdSense ของกูเกิลเอง ตัวมัลแวร์มีความสามารถในการหลอกล่อผู้ใช้ให้ใส่ข้อมูลส่วนตัว ดักรับข้อความ SMS

Tags:
Node Thumbnail

Tesco Bank ประกาศเปิดให้บริการตามปกติหลังปิดบริการไปบางส่วนเมื่อวันจันทร์ที่ผ่านมา รวมค่าเสียหาย 2.5 ล้านปอนด์ หรือราวๆ ร้อยล้านบาท จากทั้งหมด 9,000 บัญชี โดยตอนนี้ทางธนาคารได้คืนเงินไปยังบัญชีผู้เสียหายแล้ว

ตอนนี้ศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (National Cyber Security Centre - NCSC) กำลังเข้าสอบสวนเหตุการณ์ครั้งนี้ โดยยังไม่มีรายละเอียดเพิ่มเติมว่าผู้ร้ายนำเงินออกไปได้อย่างไร

ที่มา - Taipei Times

Pages