Tags:
Fedora

Fedora 21 กำลังจะออกตัวจริงเร็วๆ นี้มีฟีเจอร์น่าสนใจคือการรวมระบบคอนฟิกการเข้ารหัสไว้ที่เดียวกันทั้งระบบครับ โดยจะรวมไว้ในไฟล์ /etc/crypto-profiles/config โดยเข้ามาแก้ปัญหาการคอนฟิกระบบเข้ารหัสที่ก่อนหน้านี้มีหลากหลายแยกไปตามแอพพลิเคชั่น เช่น เว็บเซิร์ฟเวอร์, เซิร์ฟเวอร์ VPN, หรือเมลเซิร์ฟเวอร์ บางแอพพลิเคชั่นอาจจะคอนฟิกผิดพลาดทำให้รับการเชื่อมต่อที่เข้ารหัสไม่แข็งแกร่งนัก

ปัญหาคือแต่ละแอพพลิเคชั่นนั้นใช้ไลบรารีเข้ารหัสต่างกันไป เช่น OpenSSL, GnuTLS, และ NSS ทางโครงการ Fedora จะแพตซ์ไลบรารีเหล่านี้ทั้งหมดให้เชื่อฟังคอนฟิกกลางของระบบเท่านั้น

ภายใต้ระบบนี้ผู้ดูแลระบบจะสามารถกำหนดความ "แข็งแกร่ง" (ไม่อ่อนหัด) ของการเข้ารหัสได้ง่ายๆ เช่น LEVEL-80, LEVEL-112, LEVEL-128, LEVEL-256 หรือจะกำหนดชุดของการเข้ารหัสตามมาตรฐานเช่น SUITEB-128 หรือ SUITEB-256 ตามมาตรฐาน NIST ได้ทันที รวมถึงสามารถรับหรือไม่รับพารามิเตอร์บางอย่างเช่นกระบวนการแลกกุญแจลับ, ฟังก์ชั่นแฮช, หรือเวอร์ชั่นและพารามิเตอร์ของ TLS

ยังไม่ยืนยันว่าจะออกทัน Fedora 21 หรือไม่ ตัวโครงการนี้ไม่ได้เป็น blocker ดังนั้นอาจจะถูกเลื่อนไปในรุ่นต่อไปได้ครับ

ที่มา - The Register, Fedora Wiki

Tags:

Adobe ColdFusion เป็นเทคโนโลยีสำหรับสร้างเว็บไซต์-เว็บแอพอีกตัวหนึ่ง (แต่เป็นเทคโนโลยีที่ต่างไปจากพวก PHP/ASP/JSP โดยใช้ภาษา CFML และมีเซิร์ฟเวอร์-เครื่องมือ IDE ของตัวเอง)

ColdFusion ถูกสร้างขึ้นในปี 1995 โดยบริษัท Allaire จากนั้นโดน Macromedia ซื้อกิจการ (และโดน Adobe ซื้ออีกทีหนึ่งในปี 2005) ปัจจุบันอยู่ที่เวอร์ชัน 10 แล้ว (ออกเมื่อปี 2012 แต่ก็มีอัพเดตย่อยอยู่ตลอด)

แต่ล่าสุดเว็บไซต์ Krebs on Security รายงานข้อมูลว่าเว็บไซต์หลายแห่งที่สร้างด้วย ColdFusion ถูกแฮ็กผ่านช่องโหว่ที่ไม่ได้อัพเดตแพตซ์ และเว็บไซต์เหล่านี้ส่วนใหญ่เป็นเว็บขายสินค้าด้วย ทำให้ข้อมูลบัตรเครดิตของลูกค้าถูกขโมยไปด้วย

บริษัทที่เปิดเผยข้อมูลกับ Krebs ว่าถูกแฮ็กเป็นบริษัทขายหลอดไฟออนไลน์ 2 ราย ซึ่งทราบว่าตัวเองถูกแฮ็กจากบริษัทบัตรเครดิตอีกทอดหนึ่ง นอกจากนี้ยังมีข่าวว่าบริษัทยักษ์ใหญ่อย่าง Citroen ก็โดนแฮ็กจากช่องโหว่ลักษณะนี้เช่นกัน

ที่มา - Krebs on Security

Tags:
Target

เหตุการณ์แฮกเครื่องรับจ่ายเงิน (POS) ของห้าง Target ผ่านไปสามเดือนกว่าแล้วตอนนี้เข้าสู่ช่วง "เก็บกวาด" ก็มีข้อมูลให้ปะติดปะต่อเรื่องราวกันมากขั้น รายงานล่าสุดจาก Bloomberg ระบุว่ากลุ่มแฮกเกอร์ได้บุกเข้ามาวางมัลแวร์ตั้งแต่วันที่ 27 พฤศจิกายน โดยซอฟต์แวร์ FireEye ที่ห้าง Target ซื้อมาสามารถแจ้งเตือนได้ตั้งแต่วันที่ 30 พฤศจิกายน ทีมงานที่ดูแลการแจ้งเตือนในอินเดียแจ้งเตือนกลับมายังทีมงานความปลอดภัยในสหรัฐฯ แต่ปรากฎว่าไม่มีใครตอบรับการแจ้งเตือนแต่อย่างใด

แฮกเกอร์กลับมาอีกครั้งในวันที่ 2 ธันวาคมเพื่อติดตั้งมัลแวร์รุ่นใหม่ ทาง FireEye และทีมงานในอินเดียก็แจ้งเตือนกลับมาอีกครั้ง แต่ทีมงานก็ยังคงเงียบ

FireEye สามารถทำหน้าที่เป็นไฟร์วอลได้ในตัวเองทำให้สามารถบล็อคการอัพโหลดมัลแวร์ได้ทันทีหากเปิดความสามารถนี้เอาไว้ แต่ทีมงานความปลอดภัยของ Target เลือกที่จะปิดความสามารถนี้

Tags:
Google

เซิร์ฟเวอร์ DNS ฟรีของกูเกิลคือ 8.8.8.8 ถูกขโมยไปยังเซิร์ฟเวอร์ใน AS7908 แทนที่จะเป็น AS15169 ตามปกติ โดยมีผลต่อเครือข่าย 8.8.8.0/24

ผลของการแฮกครั้งนี้ทำให้ผู้ใช้ที่ใช้บริการ DNS ของกูเกิลนับล้านในช่วงเวลานั้นอาจจะถูกดึงหน้าเว็บไปยังเซิร์ฟเวอร์ปลอม ทำให้ เผลอใส่ข้อมูลสำคัญเช่นรหัสผ่านธนาคาร

การเปลี่ยนแปลง AS มีผลกระทบต่อผู้ใช้ในเวเนซูเอล่า โดยการประกาศเปลี่ยนแปลง AS ออกมาจากเครือข่ายในประเทศเอง มีผลกระทบไปถึงผู้ใช้ในบราซิล

ที่มา - The Hacker News

Tags:
Google

ไซแมนเทคออกรายงานเตือนหน้าจอล็อกอินกูเกิลปลอม ที่อันตรายกว่าปกติคือรอบนี้เว็บถูกวางไว้บนเซิร์ฟเวอร์ของกูเกิลเอง อาจจะทำให้ผู้ใช้สับสนได้

งานนี้คนร้ายวางไฟล์หน้าเว็บปลอมไว้บน Google Docs แล้วตั้ง public ไว้ จากนั้นจึงส่งลิงก์ให้กับเหยื่อ ทำให้หน้าลิงก์ดูน่าเชื่อถือมากขึ้นเพราะ URL เป็นเซิร์ฟเวอร์ของกูเกิลเอง แต่เมื่อใส่รหัสผ่านไปแล้ว รหัสผ่านจะถูกส่งไปยังเซิร์ฟเวอร์อื่น

รหัสผ่านกูเกิลเก็บข้อมูลส่วนตัวไว้หลายอย่าง รวมถึงการซื้อแอพพลิเคชั่นบน Google Play ต่อจากนี้เวลาจะกรอกรหัสผ่านกันก็ระวังโดยสังเกตว่าโฮสต์ต้องเป็น https://accounts.google.com/ServiceLogin นะครับ

ที่มา - Symantec

Tags:
Apple

ทีมวิจัยจาก Azimuth Security ออกรายงานวิเคราะห์ความปลอดภัยของตัวสร้างเลขสุ่มในฟังก์ชั่น early_random() พบว่าฟังก์ชั่นอ่อนแออย่างมาก และไม่ควรนำมาใช้งานกับงานด้านความปลอดภัย

รายงานระบุว่าโครงสร้างภายในของฟังก์ชั่นอาศัย linear congruential generator (LCG) ที่เป็นตัวสร้างเลขสุ่มที่เก่าที่สุดตัวหนึ่ง และใช้งานในฟังก์ชั่นมาตรฐานอย่าง rand ใน glibc อย่างไรก็ดี การอิมพลีเมนต์ใน iOS 7 มีเอาท์พุตที่เป็นไปได้น้อยมาก โดยมีรูปแบบเอาท์พุตที่เป็นไปได้เพียง 2^19 รูปแบบเท่านั้น และแต่ละรูปแบบมีเอาท์พุตยาวที่สุดที่เป็นไปได้เพียง 2^17 รูปแบบ

แอปเปิลพยายามปรับปรุงฟังก์ชั่นนี้จากเดิมที่เคยมีปัญหาความปลอดภัยอยู่แล้วใน iOS 6 แต่ฟังก์ชั่นใหม่นี้อ่อนแอกว่าเดิมเสียอีก ส่วน OS X นั้นอาศัยฮาร์ดแวร์สร้างเลขสุ่มของซีพียูอินเทลเข้ามาช่วยสร้างเลขสุ่มทำให้กระบวนการปลอดภัยกว่า

ที่มา - Azimuth Security, The Register

Tags:
Pwn2Own

กลับมาอีกครั้งกับงาน Pwn2Own ประจำปี 2014 ครับ ต้องขออภัยด้วยที่ในปีนี้ผมไม่ได้เขียนแยกเป็นข่าวแต่ละข่าวแต่จับทั้งหมดมารวมกันแทน สำหรับการแข่งขันในปีนี้นั้นจัดขึ้นในวันที่ 12-13 มีนาคมที่ผ่านมาพร้อมกับงานประชุมด้านความปลอดภัย CanSecWest Vancouver 2014

สำหรับกฏการแข่งขันในปีนี้ก็ยังคงเป็นเช่นเดิม โดยมีการแบ่งออกเป็นสามประเภทคือเบราว์เซอร์, ปลั๊กอินและ Grand Prize ซึ่งเป็นการเจาะผ่านช่องโหว่ของ Windows 8.1 ที่มีฟังก์ชัน Enhanced Mitigation Experience Toolkit (EMT) เงินรางวัลสำหรับผู้ที่สามารถเจาะระบบในแต่ละรายการสามารถดูได้จากที่นี่ครับ

นอกเหนือจากการแข่งขัน Pwn2Own แล้วทาง ZDI ผู้จัดงานร่วมกับสปอนเซอร์ทั้ง HP และ Google ได้ร่วมกันจัดการแข่งขัน Pwn4Fun โดยให้พนักงานทั้งจากสองบริษัทเข้าร่วมการแข่งขัน Pwn2Own และถ้าหากบริษัทใดชนะในการแข่งขันก็จะมีการมอบเงินรางวัล 50% เพื่อบริจาคให้กับ Canadian Red Cross ด้วย

Tags:

จากข่าวเก่า (แฮกเกอร์เข้าโจมตีเราเตอร์กว่า 300,000 เครื่อง) ตอนนี้ปัญหาดังกล่าวเริ่มส่งผลจนมีผู้ใช้ออกมารายงานปัญหานี้แล้วครับ

โดยผู้ใช้ 'จอมยุทธเฮง' และ 'สมาชิกหมายเลข 1301045' ในเว็บไซต์พันทิปได้ออกมารายงานปัญหาการเข้าเว็บไซต์ชื่อดังบางเว็บแล้วจะพบหน้าจอแจ้งเตือนว่า Flash Player เป็นรุ่นเก่า พร้อมเข้าหน้าเว็บให้ดาวน์โหลดตัวติดตั้ง Flash Player (ปลอม) โดยเมื่อตรวจสอบการตั้งค่าเราเตอร์แล้วพบว่ามีการเปลี่ยนแปลงให้ใช้ DNS ที่หมายเลข IP 199.223.212.99 และเมื่อแก้ไขกลับแล้ว ก็โดนแก้ไขอีกเป็นหมายเลข IP 74.82.207.26

Tags:
Blognone

งานสัมมา Blognone Quest เป็นงานเสวนาเทคโนโลยีคอมพิวเตอร์ที่ Blognone ตั้งใจจะจัดให้ได้ปีละ 2-3 ครั้งโดยเปลี่ยนหัวข้อไปตามเรื่องราวที่น่าสนใจ ปลายปีที่แล้วเราจัดงาน Blognone Quest for High Scalabilty Computing เป็นครั้งแรกที่จัดงานกันแบบทดลองเลยไม่ได้ประกาศต่อสาธารณะ รอบนี้เรากลับมาจัดอีกรอบเป็นงาน Blognone Quest for Modern Security

งานนี้เราจะมาพูดคุยกับคนจากหน่วยงานรอบด้าน ในโลกความปลอดภัยของเมืองไทยว่าคนที่ทำงานในวงการนี้ต้องพบอะไรกันมาบ้าง เราเชิญวิทยากรได้จากทั้งผู้ผลิตซอฟต์แวร์ความปลอดภัย, ผู้ให้บริการ, และบริการที่ต้องการความปลอดภัยสูง

Tags:
Vodafone

Vodafone ประเทศเยอรมันเริ่มให้บริการซิมแบบใหม่จากบริษัท G&D มันมีความสามารถในการเข้ารหัส, และเซ็นลายเซ็นดิจิตอล ทำให้ผู้ใช้สามารถเข้ารหัสอีเมล, ลงลายเซ็นดิจิตอลในอีเมล, และล็อกอิน VPN ได้โดยใช้ซิมเป็นเครื่องยืนยันตัวตน

ซิมนี้รองรับแอนดรอยด์ ส่วน BB10 และ Windows Phone มีแผนจะรองรับเร็วๆ นี้ ส่วน iOS ยังไม่มีแผน

ลูกค้าที่ต้องการใช้ซิมรุ่นนี้จะต้องจ่ายเงินเพิ่มเติม โดยยังไม่ประกาศราคา

ที่มา - The Register

Tags:
WordPress

ก่อนอื่นต้องบอกว่า WordPress ไม่ได้โดนเจาะนะครับ แต่เป็นเรื่องฟีเจอร์ (?) ของ WordPress ถูกนำไปใช้ในทางเสียหาย

บริษัทความปลอดภัย Sucuri รายงานว่าพบเว็บไซต์ WordPress มากถึง 162,000 เว็บถูกใช้เป็นฐานยิง DDoS ถล่มเว็บไซต์บางแห่งจนไม่สามารถใช้งานได้ จากการตรวจสอบว่าสาเหตุเกิดจากฟีเจอร์ XML-RPC ซึ่งเป็นช่องทางให้แอพภายนอกเรียกใช้งาน WordPress (เช่น การเขียนบล็อกด้วยแอพ, pingback, trackback) ที่ถูกเปิดมาเป็นค่าดีฟอลต์ของ WordPress ทุกเว็บไซต์อยู่แล้ว

ช่องโหว่ของ WordPress คือเปิดให้ "ใครก็ได้" ที่รู้ URL สามารถรันคำสั่งผ่าน XML-RPC บนเว็บไซต์ของเราได้ ซึ่งในกรณีนี้ แฮ็กเกอร์เรียก XML-RPC บนเว็บไซต์จำนวนมากให้ pingback ไปยังเว็บไซต์เป้าหมายแห่งเดียวกันจนเว็บล่มนั่นเอง (ตรวจสอบเว็บไซต์ของเราว่าถูกใช้เป็นฐานสำหรับ DDoS หรือไม่)

ปัญหานี้วงการ WordPress รับทราบกันมานานแล้ว แต่ก็ไม่ได้แก้ไขเพราะถือว่าเป็น "ฟีเจอร์" ตอนนี้คนที่อยากปิดการทำงานของ XML-RPC คงต้องใช้วิธีอื่น เช่น ลบหรือเปลี่ยนชื่อไฟล์ xmlrpc.php หรือสร้างปลั๊กอินเล็กๆ มาปิดการทำงานของมันไปก่อน รายละเอียดดูได้ตามลิงก์ที่มา

ที่มา - Sucuri

Tags:
Windows XP

นับถึงวันนี้เหลือเวลาอีก 1 เดือนพอดี ที่ Windows XP จะหมดอายุ (8 เม.ย.)

เว็บไซต์ Infoworld ได้แนะนำเทคนิคการใช้งาน Windows XP ให้ปลอดภัยหลังวันหมดอายุ ซึ่งเทคนิคเหล่านี้พอจะช่วยให้คนที่ยังจำเป็นต้องใช้ Windows XP มีความปลอดภัยมากขึ้นในระดับหนึ่ง (แต่ก็ไม่ใช่ทั้งหมด) รายละเอียดมีดังนี้ครับ

Tags:
Android

บริษัทความปลอดภัย Lookout Security รายงานมัลแวร์สายพันธุ์ใหม่ที่มีชื่อว่า Dendroid

Dendroid ไม่ใช่ชื่อของมัลแวร์โดยตรง แต่เป็นชุดคิตสำหรับสร้างมัลแวร์ที่ฝังแล้วควบคุมได้จากระยะไกล (Remote Access Toolkit หรือ RAT) ขายในตลาดมืดราคาชุดละ 300 ดอลลาร์ โดยโฆษณามัลแวร์ที่สร้างจากชุด Dendroid สามารถเข้าถึงกล้องของโทรศัพท์เพื่อถ่ายภาพ/วิดีโอ ดาวน์โหลดภาพในเครื่อง บันทึกการสนทนา และส่งข้อความ SMS ได้

จุดที่ทำให้ Dendroid น่ากลัวคือมันถูกออกแบบเพื่อหลบเลี่ยงระบบตรวจจับของกูเกิลบน Play Store (ที่เรียกว่า Bouncer) โดยแนวทางของ Bouncer คือทดลองรันแอพ (emulation) ที่ถูกส่งขึ้น Play Store แล้วดูพฤติกรรมว่ามีความเสี่ยงแค่ไหน แต่ Dendroid ใช้เทคนิคหลบเลี่ยงที่เรียกว่า anti-emulation ซึ่งสามารถหลอก Bouncer ได้ว่าไม่มีโค้ดอันตรายแฝงอยู่

Lookout ระบุว่าพบแอพอย่างน้อย 1 ตัวบน Play Store ที่ถูกสร้างด้วย Dendroid และปัจจุบันแอพตัวนี้ถูกกูเกิลแบนไปแล้ว การที่เทคนิคของ Dendroid ถูกค้นพบทำให้มันมีความเสี่ยงต่ำที่จะสร้างอันตรายในอนาคต แต่ก็ถือเป็นสัญญาณว่าเริ่มเกิดมัลแวร์แบบใหม่ๆ ที่มีความซับซ้อนมากขึ้น

ที่มา - Lookout Blog

Tags:

เมื่อเดือนมกราคมที่ผ่านมา Team Cymru ซึ่งเป็นองค์กรไม่แสวงหากำไรเกี่ยวกับความปลอดภัยทางอินเทอร์เน็ต ค้นพบการโจมตีเราเตอร์กว่า 300,000 เครื่องทั่วโลกที่โดนโจมตี

รูปแบบของการโจมตีคือเมื่อแฮกเกอร์สามารถเข้ามายังเราเตอร์ได้แล้ว ก็จะทำการเปลี่ยนหมายเลข IP ของ DNS ให้เป็นหมายเลข 5.45.75.11 และ 5.45.75.36 ทำให้แทนที่จะเข้าเว็บไซต์จริงอาจจะเข้าเว็บไซต์อื่น ซึ่งอาจเป็นเว็บไซต์ปลอมไว้หลอกเอาพาสเวิร์ด

Tags:
Android

CERT-IN หน่วยงานด้านความปลอดภัยไซเบอร์ของรัฐบาลอินเดีย ประกาศเตือนว่ามีช่องโหว่ด้านความปลอดภัยของ VPN บน Android 4.3 (Jelly Bean) และ Android 4.4 (KitKat) ซึ่งทำให้แฮกเกอร์เลี่ยง (bypass) การตั้งค่า VPN ที่ใช้งานอยู่, เปลี่ยนเส้นทางการเชื่อมต่อ VPN ไปยังเซิร์ฟเวอร์อื่น หรือเข้าถึงอ่านข้อมูลที่ไม่ถูกเข้ารหัสได้

CERT-IN ยังเตือนว่า หากมือถือ Android ถูกเจาะผ่านช่องโหว่ VPN แฮกเกอร์อาจเข้าถึงข้อความ อีเมล และรายชื่อผู้ติดต่อในมือถือได้ด้วย

ช่องโหว่ด้านความปลอดภัยนี้ถูกพบครั้งแรกบน KNOX (แพลตฟอร์มด้านความปลอดภัยบนสมาร์ทโฟนของซัมซุง) โดยกลุ่มนักวิจัยจากมหาวิทยาลัยในอิสราเอล ต่อมานักวิจัยกลุ่มนี้พบว่าช่องโหว่นี้กระทบถึงมือถือ Android ทุกเครื่องไม่ใช่เฉพาะมือถือซัมซุงเท่านั้น

กูเกิลรับทราบช่องโหว่นี้แล้วและเป็นไปได้ที่บริษัทจะอุดช่องโหว่นี้ใน Android รุ่นถัดไป ส่วนซัมซุงแก้ข่าวช่องโหว่ KNOX ว่าแท้จริงแล้วเป็นการดักจับข้อมูลระหว่างทาง

ที่มา: The Times of India

Tags:
GNU

รายงานบั๊กใหม่จากวิศวกรของ Red Hat พบว่าชุดเครื่องมือความปลอดภัย GnuTLS มีบั๊กในการจัดการกับความผิดพลาดของใบรับรอง SSL หากแฮกเกอร์สามารถสร้างใบรับรองได้อย่างถูกต้อง จะสามารถข้ามการตรวจสอบทั้งหมดได้ทันทีแม้จะไม่ได้รับรองจากหน่วยงานออกใบรับรองใดๆ

ที่เลวร้ายคือบั๊กนี้อาจจะมีมาตั้งแต่ปี 2005 นานกว่าบั๊ก goto fail; ของแอปเปิลมาก ที่สำคัญคือมีซอฟต์แวร์อาศัยโค้ดของ GnuTLS ในการตรวจสอบใบรับรอง SSL มากมาย นับแต่ curl ที่ Debian และ Ubuntu มีตัวเลือกใช้ GnuTLS แทน OpenSSL ใน libcurl3-gnutls ไปจนถึงระบบ VPN ของซิสโก้ที่ใช้งานไลบรารีนี้เช่นกัน

กระบวนการมาตรฐานตอนนี้คือผู้ดูแลระบบทุกคนควรเร่งอัพเกรดซอฟต์แวร์โดยด่วน ทาง GnuTLS นั้นเปิดรุ่น 3.2.12 ให้ดาวน์โหลดแล้ว ส่วนดิสโทรเก่าๆ ที่ใช้รุ่น 2.x นั้นคงต้องรอให้ดิสโทรแพตซ์ให้และอัพเกรดกันต่อไป

ที่มา - ArsTechnica

Tags:

การเปิดเผยเอกสารของ Snowden มีประเด็นสำคัญคือความร่วมมือระหว่าง NSA และ NIST ที่ทำให้ NSA มีบทบาทในการออกแบบกระบวนการเข้ารหัสจนกระทั่งสามารถออกแบบการเข้ารหัสได้ตามใจชอบใน[กระบวนการสร้างตัวเลขสุ่ม Dual_EC_DRBG ทำให้คนตั้งคำถามว่าตอนนี้เราวางใจ NIST (ซึ่งเป็นคนละหน่วยงาน มีหน้าที่ออกมาตรฐานอย่างเดียว) ได้อย่างไร NIST พยายามสร้างความไว้ใจกลับมาโดยประกาศว่าจะเปิดกระบวนการสร้างมาตรฐาน ตอนนี้ร่างเอกสารนี้ก็เปิดเผยออกมาแล้ว

ร่างเอกสารฉบับนี้แสดงที่มาของมาตรฐานของ NIST ว่าอาจจะมาจากการแข่งขัน มาจากมาตรฐานที่มีอยู่แล้วและใช้โดยองค์กรอื่น หรือมาจากการสร้างขึ้นใหม่ทั้งหมด NIST ยังสัญญาว่าจะมีการประกาศย่อยๆ บนเว็บของ NIST เอง หรือบนเว็บของรัฐบาลกลาง ตลอดจนจะเปิดเมลลิ่งลิสต์เพื่อให้สาธารณะเข้าตรวจสอบได้ว่าจะมีการเปลี่ยนแปลงอะไรบ้าง

เอกสารนี้ยังเป็นร่าง และความน่าเชื่อถือของ NIST นั้นเสียหายไปมาก เราคงต้องดูว่า NIST นั้นจะกอบกู้ชื่อเสียงที่เสียไปกลับมาได้อย่างไร

ที่มา - NIST Cryptographic Standards and Guidelines Development Process (PDF),Schneier on Security

Tags:
Starbucks

จากกระทู้ต้นเรื่องใน Pantip.com หัวข้อ Starbucks Thailand ทำแบบนี้ได้ไง โดยสมาชิกชื่อ boatiso9002 ตรวจสอบพบว่า Starbucks ไม่เข้ารหัสข้อมูลรหัสผ่านของลูกค้าอย่างรัดกุม และสามารถแสดงผลรหัสผ่านได้โดยไม่มีกระบวนการอื่นในการกู้คืนรหัสผ่านที่จะช่วยปกป้องรหัสผ่านที่มีอยู่ อาจทำให้ข้อมูลลูกค้าในบริการอื่นๆ ที่ใช้งานรหัสผ่านชุดดังกล่าวตกอยู่ในความเสี่ยงได้

ทางผู้เขียนข่าวแนะนำให้ทำการเปลี่ยนรหัสผ่านที่ใช้งานร่วมกับเว็บ Starbucks Thailand (https://www.starbuckscard.in.th) เพื่อความปลอดภัยของบริการอื่นๆ ในอนาคต

Tags:
Sourcefire

ทีมงานประเทศไทยของบริษัทความปลอดภัยเครือข่าย Sourcefire (ที่เพิ่งถูก Cisco ซื้อกิจการเมื่อปีที่แล้ว) แถลงข่าวแนะนำแนวคิดด้านการรักษาความปลอดภัย ในยุคที่อุปกรณ์ทุกอย่างเชื่อมต่อเน็ตได้ (Internet of Things หรือบางที่เรียก Internet of Everything) ซึ่งจะต่างไปจากแนวคิดด้านความปลอดภัยแบบเดิมๆ

Tags:
Android

ช่วงนี้วงการด้านความปลอดภัยไอทีมีงานสัมมนาใหญ่ประจำปี RSA Conference 2014 (จัดโดย RSA ที่เป็นบริษัทลูกของ EMC) ทำให้มีข่าวด้านเทคโนโลยีความปลอดภัยใหม่ๆ ออกมาพอสมควร

Adrian Ludwig หัวหน้าทีมวิศวกรด้านความปลอดภัย Android ไปพูดที่งานนี้ และเผยแพร่สไลด์นำเสนอเรื่องความปลอดภัยของ Android ทั้งแพลตฟอร์ม (รวม Google Play Services, Google Play Store และบริการอื่นๆ ด้วย ไม่ใช่แค่ตัว AOSP) ผมดูแล้วเห็นว่ามีประโยชน์และเป็นความรู้เชิงเทคนิคที่มีคุณค่า เลยนำมาเผยแพร่ต่อครับ