Tags:
Node Thumbnail

แฮกเกอร์ที่ใช้ชื่อว่า avicoder ทดสอบความปลอดภัยของ Vine ที่อยู่ภายใต้โครงการหาช่องโหว่ความปลอดภัยของทวิตเตอร์ และพบว่า Vine เปิด Docker Registry ออกสู่อินเทอร์เน็ต ทำให้ใครก็ได้สามารถดาวน์โหลดอิมเมจ 82 รายการมาลองรันในเครื่อง

อิมเมจที่สำคัญมากอันหนึ่งคือ vinewww เป็นซอร์สโค้ดของ Vine ทั้งหมด พัฒนาด้วย Python Flask ภายใน พร้อมด้วย API key บริการภายนอกอื่นๆ ตัวอิมเมจสามารถรันได้ทันทีและจะได้ Vine มารันบนเครื่องได้เอง

avicoder รายงานการค้นพบนี้ให้กับทวิตเตอร์ตั้งแต่เดือนมีนาคมที่ผ่านมา และทางทวิตเตอร์จ่ายรางวัล 10,080 ดอลลาร์

Tags:
Node Thumbnail

การตรวจสอบโค้ดเพื่อหาช่องโหว่ความปลอดภัยเป็นระยะเพื่อป้องกันแฮกเกอร์พบช่องโหว่เหล่านี้ก่อนเป็นแนวทางที่เอกชนเริ่มให้ความใส่ใจมากขึ้นในช่วงหลัง เช่น Core Infrastructure Initiative หรือ Secure Open Source ตอนนี้ภาครัฐอย่างสหภาพยุโรปก็เริ่มเข้ามามีบทบาทโดยจัดสรรงบประมาณมาตรวจสอบโค้ดโครงการโอเพนซอร์ส

Tags:
Node Thumbnail

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมที่เป็นผู้ออกมาตรฐานการเข้ารหัสจำนวนมากในทุกวันนี้ เปิดรับฟังความเห็นร่างเอกสาร NIST SP 800-63B มาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ เพื่อรับฟังความเห็นจากสาธารณะ

เอกสารนี้กำหนดมาตรฐานกระบวนการยืนยันตัวตนให้ปลอดภัย ตั้งแต่กระบวนการเบื้องต้นเช่นการจำกัดจำนวนครั้งที่การยืนยันตัวตนล้มเหลว, การใช้งานการยืนยันตัวตนหลายขั้นตอน แต่ความเปลี่ยนแปลงที่สำคัญคือการเตรียมยกเลิกการยืนยันตัวตนด้วย SMS

การยืนยันตัวตนด้วย SMS ยังคงยอมรับได้ในร่างเอกสาร แต่ประกาศสถานะเป็น deprecated และจะไม่รวมอยู่ในเอกสารนี้เวอร์ชั่นต่อไป

Tags:
Node Thumbnail

Edward Snowden ได้ไลฟ์สตรีมวิดีโอนำเสนอแนวคิดในการสร้างอุปกรณ์เสริมสำหรับ iPhone ในตรวจจับและแจ้งเตือนหา iPhone ถูกดักฟังข้อมูล ภายในงาน Forbidden Research ที่จัดขึ้น ณ สถาบันเทคโนโลยีแมสซาชูเซตส์

Snowden ระบุว่ากำลังร่วมงานกับ Andrew Huang ในการพัฒนาและวิจัยอุปกรณ์ชิ้นนี้ ที่จะแจ้งเตือนผู้ใช้เมื่อข้อมูลตำแหน่งที่ตั้ง (location) ถูกแฮ็ก โดย Snowden ระบุว่าอุปกรณ์ชิ้นนี้ยังอยู่ในขั้นทดลองเท่านั้น และคาดว่าภายในปีหน้า น่าจะมีอุปกรณ์รุ่นต้นแบบออกมาให้เห็น

Tags:
Topics: 
Node Thumbnail

Tyler Bohan นักวิจัยจาก Cisco Talos ได้ค้นพบช่องโหว่ใหม่บนแพลตฟอร์มของ Apple โดยเป็นช่องโหว่ที่อนุญาตให้แฮกเกอร์สามารถรันโค้ดจากระยะไกลได้เพียงแค่ส่งไฟล์ภาพที่อันตราย ซึ่งมีหลายช่องโหว่ด้วยกัน ได้แก่

CVE-2016-4631 เป็นช่องโหว่ที่เมื่อส่งไฟล์ภาพ TIFF ที่ทำให้ ImageIO ของ Apple เรนเดอร์แล้วเกิดการ heap based buffer overflow ทำให้รันโค้ดจากระยะไกลได้ เกิดบน OS X, iOS, watchOS, tvOS

Tags:
Node Thumbnail

มีผู้ที่ทดสอบ iOS 10 เวอร์ชันเบต้าได้ค้นพบฟีเจอร์ใหม่ที่จะมีการแจ้งเตือนผู้ใช้เมื่อผู้ใช้ได้ใช้ Wi-Fi ที่ไม่ปลอดภัย โดยหลังจากเชื่อมต่อไปยังเครือข่ายแล้ว ตัว iOS 10 จะแสดงการแจ้งเตือน Security Recommendation ภายในเมนูการตั้งค่า Wi-Fi

การแจ้งเตือนนี้จะเกิดขึ้นเมื่อเราเชื่อมต่อเครือข่ายเปิดที่ไม่มีการรักษาความปลอดภัย โดยจะมีการแจ้งเตือนว่า "open networks provide no security and expose all network traffic." และแนะนำให้ผู้ใช้ทำการตั้งค่าเราท์เตอร์ให้ใช้การเข้ารหัส WPA2 Personal (AES) ด้วย

Tags:
Node Thumbnail

มาตรฐาน ASN.1 เป็นมาตรฐานสำหรับการเข้ารหัส (encode) และส่งข้อมูลระหว่างอุปกรณ์ที่ได้รับความนิยมในกระบวนการเข้ารหัส การสร้างโปรโตคอลเข้ามักกำหนดข้อมูลหลายอย่างด้วย ASN.1 เช่นใบรับรองดิจิตอลที่เราเห็นไฟล์นามสกุล .DER เป็นต้น ตอนนี้คอมไพล์เลอร์ที่คอมไพล์จากฟอร์แมต ASN.1 เป็นไลบรารีสำหรับอ่านข้อมูลในภาษาต่างๆ จากบริษัท Objective Systems ชื่อว่า ASN1C มีบั๊กทำให้แฮกเกอร์สามารถสร้างข้อมูลพิเศษเพื่อรันโค้ดบนเครื่องที่ใช้ไลบรารีจาก ASN1C ได้

Tags:
Node Thumbnail

มีประเด็นเรื่องความปลอดภัยของการใช้ลายนิ้วมือในการปกป้องข้อมูลขึ้นมาอีกครั้ง เมื่อตำรวจของรัฐมิชิแกนติดต่อไปยัง Anil Jain ศาสตราจารย์ด้านวิศวกรรมศาสตร์และวิทยาศาสตร์คอมพิวเตอร์ มหาวิทยาลัยรัฐมิชิแกน ให้ช่วยพิมพ์ลายนิ้วมือของผู้เสียชีวิตจากเหตุอาชญากรรมจากเครื่องพิมพ์ 3 มิติ เพื่อปลดล็อกโทรศัพทฺ์สอบสวนหาสาเหตุต่อไป

ศ. Anil Jain ได้รับลายนิ้วมือของผู้เสียชีวิตทั้ง 10 นิ้ว จากแฟ้มประจำตัวของผู้ตายที่ทางการเก็บไว้ โดยขณะนี้กำลังพยายามนำลายนิ้วมือที่พิมพ์ออกมาได้ ไปเคลือบด้วยอนุภาคโลหะที่นำไฟฟ้า เพื่อให้เซ็นเซอร์สแกนลายนิ้วมือสามารถตรวจจับได้เหมือนนิ้วคนจริงๆ

Tags:
Node Thumbnail

Android มีฟีเจอร์ตรวจสอบความปลอดภัยตอนบูทเครื่องชื่อ Verified Boot มาได้สักพักแล้ว หน้าที่ของมันคือตรวจสอบค่าแฮชของพาร์ทิชันระบบว่าถูกเปลี่ยนแปลงไปจากเดิมหรือไม่ ช่วยป้องกันปัญหาโดนมัลแวร์เข้ามาแก้ไขข้อมูลในเครื่อง แล้วบูทติดมัลแวร์ทุกครั้งไป

แต่ถ้าหากตรวจพบว่าพาร์ทิชันมีการเปลี่ยนแปลง ใน Android 6.0 Marshmallow ยังแค่ "เตือน" ว่าเกิดการเปลี่ยนแปลงเท่านั้น นโยบายนี้ถูกเปลี่ยนแปลงใน Android 7.0 Nougat โดยอุปกรณ์ใหม่ที่มาพร้อมกับ Nougat จะไม่อนุญาตให้บูทเลยถ้าตรวจพบความเปลี่ยนแปลงลักษณะนี้

Tags:
Node Thumbnail

วิศวกรด้านคอมพิวเตอร์รายหนึ่งพบว่า หน้าหนังสือเดินทางและข้อมูลลูกค้า อาทิ ที่อยู่ ข้อมูลบัญชีการเงิน ที่บินกับสายการบิน Asiana Airlines (ลูกค้าสายการบินเองและลูกค้าจากสายการบินอื่นผ่าน Star Alliance) ถูกโพสต์บนอินเทอร์เน็ตกว่าหลายหมื่นฉบับ โดยข้อมูลดังกล่าวมาจากการที่ลูกค้าสอบถามข้อมูลกับสายการบินซึ่งถูกเก็บไว้ในเซิร์ฟเวอร์ที่ให้ข้อมูล FAQ ของเว็บไซต์ของสายการบินเอง

Tags:
Node Thumbnail

Juniper ผู้ผลิตเราท์เตอร์รายสำคัญแจ้งเตือนลูกค้าว่าระบบปฎิบัติการ Junos มีบั๊กความปลอดภัย ทำให้การเชื่อมต่อ VPN แบบ IKE/IPsec รับใบรับรองแบบ self-sign ที่ปลอมตัวมาได้

ทาง Juniper ระบุว่าการเชื่อมต่อ VPN แบบอื่นๆ ไม่ได้รับผลกระทบจากช่องโหว่นี้ และตอนนี้ทางแก้ปัญหาชั่วคราวคือการคอนฟิกให้ PKI-VPN ต้องใช้ ID จาก Distinguished Name (DN) เท่านั้น

ทาง Juniper จัดช่องโหว่นี้เป็นอันตรายระดับปานกลาง คะแนน CVSS 6.5 แต่ถ้าใครใช้ Junos เป็นไฟร์วอล VPN ก็ควรรีบตรวจสอบให้เรียบร้อยครับ

Tags:
Node Thumbnail

นักวิจัยความปลอดภัยจาก AV-Test ได้ทำการทดสอบ smart watch รวมถึงสายรัดข้อมือฟิตเนสหลายรุ่น โดยเน้นไปที่ความปลอดภัยของข้อมูล

สำหรับ smart watch นั้น ทางนักวิจัยได้บอกว่า Apple Watch ถือเป็นผลิตภัณฑ์ที่มีความปลอดภัยสูง คือเข้ารหัสการเชื่อมต่อเกือบทุกอย่าง แม้ว่าจะมีช่องโหว่ทางทฤษฎีบ้าง ทำให้การติดตามแทบเป็นไปไม่ได้ ส่วนอุปกรณ์ Android อีก 7 เครื่องนั้นมีความปลอดภัยที่แตกต่างกันไป ซึ่งมีบางเครื่องที่เปิดโอกาสให้แฮกเกอร์เข้าถึงข้อมูลของผู้ใช้ได้บ้าง

Tags:
Node Thumbnail

Android 7.0 Nougat รุ่นพรีวิว 5 ที่ออกวันนี้ มีฟีเจอร์ใหม่ที่น่าสนใจคือในหน้า Settings > App info ที่เป็นรายละเอียดของแอพแต่ละตัวในเครื่อง เพิ่มข้อมูลบอกให้ผู้ใช้รับทราบว่าแอพตัวนี้ติดตั้งผ่าน Play Store หรือติดตั้งเองผ่าน APK (จะขึ้นบอกว่าเป็น Package Installer)

เดิมทีข้อมูลนี้มีอยู่แล้ว แต่ต้องดึงผ่านเมธอด getInstallerPackageName ที่ต้องเขียนโปรแกรมเรียกดูเท่านั้น การมี UI เพื่อโชว์ข้อมูลนี้แบบดูง่ายๆ ช่วยให้การตรวจเช็คความปลอดภัยว่ามีแอพประสงค์ร้ายแอบติดตั้งตัวเองไว้ในเครื่องหรือไม่ ได้ง่ายขึ้นมาก

Tags:
Node Thumbnail

ช่องโหว่ HTTPOXY อาศัยการอิมพลีเมนต์เซิร์ฟเวอร์ CGI หลายตัวที่รับค่า Proxy จาก HTTP header เมื่อเซิร์ฟเวอร์เหล่านี้กำลัง ดาวน์โหลด ข้อมูลผ่าน HTTP เมื่อได้รับค่า Proxy มาแล้วกลับตั้งค่าเป็น environment variable ในชื่อ HTTP_PROXY ทำให้การดาวน์โหลดครั้งอื่นๆ จะถูกส่งไปยังเซิร์ฟเวอร์ที่แฮกเกอร์ต้องการได้ทันที

โครงการ Drupal จัดช่องโหว่นี้เป็นช่องโหว่ "วิกฤติระดับสูง" (highly critical) เพราะสามารถโจมตีได้โดยง่าย และหลังจากโจมตีแล้วเซิร์ฟเวอร์ของแฮกเกอร์สามารถดักการดาวน์โหลดจากเซิร์ฟเวอร์ที่ตกเป็นเหยื่อได้ทั้งหมด

Tags:
Node Thumbnail

คดีแฮกเกอร์ติดตั้งมัลแวร์ในตู้เอทีเอ็มไต้หวันมีความคืบหน้า เมื่อตำรวจไต้หวันจับกุมผู้ต้องสงสัยสามคนแรก หลังจากตำรวจไทเปนายหนึ่งที่กำลังพักผ่อนพบผู้ต้องสงสัยชาวลัตเวียในร้านอาหารในมณฑลอี้หลาน ส่วนผู้ต้องสงสัยชาวโรมาเนียอีกสองคนถูกจับในไทเป พร้อมกับพบเงิน 50 ล้านดอลลาร์ไต้หวันในโรงแรม จากเงินที่ถูกขโมยไปทั้งหมด 80 ล้านดอลลาร์ไต้หวัน

ตำรวจระบุว่านี่เป็นครั้งแรกที่กลุ่มอาชญากรรมข้ามชาติมาก่อเหตุกับระบบเอทีเอ็มในไต้หวัน โดยกลุ่มอาชญากรใช้มัลแวร์สามตัวเพื่อกระตุ้นให้เครื่องเอทีเอ็มจ่ายเงิน มัลแวร์กระทบตู้เอทีเอ็มที่ผลิตโดย Wincor Nixdorf กว่าพันตู้

Tags:
Node Thumbnail

นักวิจัยความปลอดภัยจากบริษัท Fidelis Cybersecurity และ Exatel พบว่าเว็บเบราว์เซอร์สัญชาติจีน Maxthon แอบส่งไฟล์กลับไปยังเซิร์ฟเวอร์ในจีนเป็นระยะ โดยข้อมูลในไฟล์มีตั้งแต่ระบบปฏิบัติการ ซีพียู แอพพลิเคชันที่ติดตั้งในเครื่อง การตั้งค่าบล็อคโฆษณา รวมถึงเว็บไซต์ที่ผู้ใช้เคยเข้าชมด้วย

นักวิจัยพบว่า Maxthon เก็บข้อมูลเหล่านี้ไว้ในไฟล์ dat.txt แล้วเข้ารหัสอีกชั้น แต่นักวิจัยก็สามารถถอดรหัสได้ไม่ยากนัก

Maxthon เคยประกาศไว้ว่าไฟล์ที่ส่งกลับจีนอยู่ภายใต้โครงการ User Experience Improvement Program (UEIP) ที่ให้ผู้ใช้สมัครใจยอมให้เก็บข้อมูลเพื่อใช้พัฒนาผลิตภัณฑ์ และสามารถปิดได้ แต่ทีมนักวิจัยพบว่าแม้ปิด UEIP แล้วก็ยังโดนเก็บข้อมูลอยู่ ทางทีมวิจัยติดต่อไปยัง Maxthon แล้วและยังไม่ได้รับการชี้แจงในเรื่องนี้

Tags:
Node Thumbnail

Ubuntu Forums ถูกแฮกจากช่องโหว่ในส่วนเสริม Forumrunner ที่ยังไม่ได้แพตช์ช่องโหว่ ทำให้แฮกเกอร์เข้าถึงฐานข้อมูลได้ จากการตรวจสอบ ทาง Canonical เชื่อว่าแฮกเกอร์เข้าถึงเฉพาะตาราง user เท่านั้น โดยดาวน์โหลดข้อมูลออกไปสองล้านรายการ

ข้อมูลที่หลุดออกไปได้แก่ ชื่อผู้ใช้, อีเมล, หมายเลขไอพีของผู้ใช้ อย่างไรก็ดีไม่มีรหัสผ่านหลุดออกไป โดย Ubuntu Forums เก็บข้อมูลล็อกอินเป็นตัวเลขสุ่มสำหรับการทำ single sign-on กับเว็บอื่นๆ แฮกเกอร์ดาวน์โหลดตัวเลขเหล่านี้ที่แฮชแล้วไป

Tags:
Node Thumbnail

นาย Su Bin นักธุรกิจชาวจีนถูกศาลแขวงในลอสแอนเจลิสสั่งจำคุก 48 เดือน ปรับอีก 10,000 เหรียญสหรัฐ หลังเจ้าตัวยอมรับสารภาพว่าช่วยเหลือแฮ็กเกอร์ของกองทัพจีน ในการล้วงข้อมูลด้านความมั่นคงจากบริษัทคู่สัญญาของกระทรวงกลาโหมสหรัฐ

นาย Su ที่ถูกจับเมื่อปี 2014 ในแคนาดา ก่อนถูกส่งตัวมายังสหรัฐ ยอมรับว่าร่วมกับแฮ็กเกอร์อีก 2 คนวางแผนขโมยดีไซน์เครื่องบินของกองทัพ ทั้งเครื่องบินขนส่งทางทหาร C-17 รวมถึงเครื่องบินเจ็ต F-22 และ F-35 ในช่วงปี 2008-2014 โดยรัฐบาลจีนปฏิเสธว่าไม่ได้มีส่วนเกี่ยวข้องในเรื่องนี้

ที่มา - Venturebeat

Tags:
Node Thumbnail

สมาชิกวุฒิสภาสหรัฐอเมริกาคุณ Al Franken ผู้เป็นตัวแทนจากรัฐมินนิโซตา เขียนจดหมายเปิดผนึกถึง CEO ของบริษัทผู้พัฒนา Pokémon Go ถึงความกังวลของวิธีการในการเก็บข้อมูลของผู้เล่นและการนำไปใช้งาน [จดหมายดังกล่าว]

เป็นที่ทราบกันว่า Pokémon Go ถูกใช้เป็นเครื่องมือในการก่ออาชญกรรมมาแล้ว และเมื่อเร็ว ๆ นี้เอง ก็ถูกค้นพบว่าตัวแอพสามารถเข้าถึงข้อมูลของ Gmail ของผู้ใช้งานได้เกินความจำเป็น ด้วยเหตุดังกล่าวจึงก่อให้เกิดความกังวลขึ้น ถึงความปลอดภัยของผู้ใช้งาน โดยเฉพาะอย่างยิ่งผู้ใช้งานที่เป็นผู้เยาว์

Tags:
Node Thumbnail

ปัญหาความปลอดภัยของระบบคอมพิวเตอร์ในรถร้ายแรงขึ้นเรื่อยๆ ในช่วงหลัง ตอนนี้ผู้ผลิตรถยนต์อันดับเจ็ดของโลกอย่าง Fiat Chrysler (FCA) ก็เปิดโครงการรวมกับเว็บ Bugcrowd

โครงการนี้เกิดขึ้นเกือบหนึ่งปีหลังจากรถยนต์ของ FCA เองมีช่องโหว่ร้ายแรงจนกระทั่งแฮกเกอร์สามารถเข้าควบคุมรถจากระยะไกล และบริษัทต้องอัพเดตรถจำนวน 1.4 ล้านคัน

FCA เป็นบริษัทรถยนต์บริษัทที่สองที่เปิดโครงการกับ Bugcrowd ตามหลัง Tesla ที่เปิดโครงการตั้งแต่ต้นปี โดยบั๊กของ FCA มีเงินรางวัล 150 ถึง 1,500 ดอลลาร์ เทียบกับ Tesla ที่มีเงินรางวัล 100 ถึง 10,000 ดอลลาร์

Tags:
Node Thumbnail

Adobe ออกแพตช์ความปลอดภัยให้ Flash ครั้งใหญ่ รอบนี้อุดช่องโหว่ถึง 52 จุด ถือว่าเป็นแพตช์ที่ใหญ่ที่สุดในปีนี้ อย่างไรก็ตาม ช่องโหว่รอบนี้ยังไม่มีรายงานว่าถูกใช้งานจริงแต่อย่างใด

เลขเวอร์ชันของ Flash ตอนนี้ขยับขึ้นมาเป็น 22.0.0.209 แล้ว (ของเดิม 22.0.0.192) คนที่ใช้ Chrome, IE, Edge สามารถอัพเดตจากตัวเบราว์เซอร์หรือระบบปฏิบัติการได้โดยตรง ส่วนเบราว์เซอร์ตัวอื่นๆ ก็รีบดาวน์โหลดอัพเดตแยกกันนะครับ

ในโอกาสเดียวกัน Adobe ยังออก Acrobat Reader เวอร์ชันใหม่ที่อุดช่องโหว่อีก 30 จุดเช่นกัน เลขเวอร์ชันขยับเป็น 15.017.20050 (DC) และ 11.0.17 (XI) แนะนำให้รีบอัพเดตามครับ

Tags:
Node Thumbnail

ทีมงานความปลอดภัยของ Drupal ออกประกาศแจ้งเตือนว่ามีช่องโหว่ในโมดูลหลายตัวของ Drupal 7 มีช่องโหว่ระดับวิกฤติขั้นสูง (highly critical) เปิดช่องให้แฮกเกอร์สามารถรันโค้ด PHP บนเครื่องของเหยื่อได้ ผู้ดูแลระบบควรเตรียมอัพเดตโดย Drupal จะปล่อยอัพเดตคืนนี้ห้าทุ่มตรง ตามเวลาประเทศไทย

ประกาศไม่ได้บอกรายชื่อโมดูลที่ได้รับผลกระทบ แต่ระบุว่าโมดูลเหล่านี้มีเว็บไซต์ติดตั้งอยู่ 1,000 ถึง 10,000 ไซต์ แสดงว่าได้รับความนิยมสูงพอสมควร

ประกาศระดับนี้จาก Drupal มีไม่บ่อยนัก ปี 2015 ทั้งปีมีการประกาศช่องโหว่ระดับวิกฤติเพียงครั้งเดียว และการประกาศระดับวิกฤติขั้นสูงครั้งสุดท้ายคือปี 2014

คืนนี้ผู้ดูแล Drupal ควรเตรียมประจำการกันได้ครับ

Tags:
Node Thumbnail

ไมโครซอฟท์อัพเดต Windows 10 ทั้งรุ่นปัจจุบัน (1511) และรุ่นอนาคต (Insider) ดังนี้ครับ

Tags:
Node Thumbnail

ก่อนหน้านี้ผู้เชี่ยวชาญด้านความปลอดภัยได้ค้นพบว่า Pokemon Go มีสิทธิเข้าถึงข้อมูลในบัญชีที่ล็อกอินบน iOS ทุกอย่าง และตอนนี้ทาง Niantic Labs ก็ได้ออกอัพเดตใหม่เวอร์ชัน 1.0.1 เพื่อแก้ปัญหานี้แล้ว โดยจะเหลือเพียงสิทธิสองอย่างที่จะขอ คือต้องการทราบว่าคุณเป็นใครบน Google และดูที่อยู่อีเมลเท่านั้น

นอกจากปัญหาการขอสิทธิการเข้าถึงข้อมูลมากเกินไปก็มีการแก้บั๊กและปรับปรุงความเสถียรด้วย โดยผู้ใช้ที่ใช้ Pokemon Go ผ่าน iOS สามารถดาวน์โหลดอัพเดตนี้ผ่าน App Store ได้เลย

ที่มา - The Verge

Pages