Tags:
Brian Krebs

หมายเหตุ: ใครยังไม่ได้อ่าน ชีวิตบล็อกเกอร์ความปลอดภัยคอมพิวเตอร์: ถูกตำรวจใส่กุญแจมือ, มียาเสพติดส่งมาที่บ้าน ให้ย้อนกลับไปอ่านก่อนครับ

Brian Krebs บล็อกเกอร์ด้านความปลอดภัยเจ้าของบล็อก Krebs on Security เริ่มเป็นที่สนใจจากสื่อ หลังจากที่เขาเป็นคนแรกที่ออกมาเปิดเผยเรื่องการแฮ็กข้อมูลบัตรเครดิตครั้งใหญ่ของห้าง Target และล่าสุด Sony Pictures เตรียมนำชีวิตอันโลดโผนของเขาไปทำเป็นภาพยนตร์แล้ว

ตามข่าวบอกว่า Sony Pictures ซื้อลิขสิทธิ์บทความ The New York Times ตามลิงก์ข้างต้น (คือแทนที่จะซื้อลิขสิทธิ์หนังสือไปทำเป็นหนัง ก็ใช้วิธีซื้อลิขสิทธิ์บทความไปทำเป็นหนังแทน) และจะมี Richard Wenk ผู้เขียนบทภาพยนตร์เรื่อง The Equalizer มาเขียนบทหนังให้ หนังจะเป็นแนว cyber-thriller โดยมีวงการอาชญากรรมไซเบอร์เป็นฉากหลัง

Tags:
Facebook

Joe Sullivan ประธานเจ้าหน้าที่ด้านความปลอดภัย (chief security officer) ของ Facebook ให้สัมภาษณ์เชิงลึกถึงนโยบายด้านความปลอดภัยของบริษัท

Sullivan บอกว่าเรื่องความปลอดภัยไม่สามารถทำให้สมบูรณ์ 100% ได้ แต่เป็นสิ่งที่ต้องพยายามปรับปรุงให้ดีขึ้นอยู่เสมอ (constant state of improvement) และ Facebook ก็พยายามสร้างวัฒนธรรมของการปรับปรุงด้านความปลอดภัยขึ้นมาในหมู่พนักงานขององค์กร

ข้อกำหนดขั้นต่ำของพนักงาน Facebook คือต้องเปิดใช้ Login Approval (2-step verification) เสมอ นอกจากนี้บริษัทส่วนใหญ่มักมีทีมด้านความปลอดภัยเพียงทีมเดียว แต่ Facebook มีถึง 4 ทีม (technical security, security infrastructure, site integrity, safety)

เขายังพูดถึงการเข้ารหัส HTTPS ของ Facebook ว่าผู้ใช้งาน 1/3 เปิดใช้ทันทีเมื่อเริ่มมีฟีเจอร์นี้ ซึ่งเยอะกว่าที่เขาคาด และแสดงให้เห็นว่าผู้ใช้เองก็มีความตื่นตัวต่อความปลอดภัยของตัวเองมากขึ้น

ที่มา - ZDNet

Tags:

ธุรกิจสมัยใหม่คงหลีกเลี่ยงไม่ได้ที่จะต้องนำธุรกิจขึ้นสู่ระบบออนไลน์ ไม่ว่าจะเป็นการเปิดเว็บประชาสัมพันธ์เล็กๆ น้อยๆ ไปจนถึงธุรกิจที่ให้บริการธุรกรรมออนไลน์ครบวงจร แต่ขณะที่การให้บริการออนไลน์สร้างประโยชน์ให้ธุรกิจได้มากมาย แต่หลายครั้งเมื่อเราใช้ประโยชน์จากบริการออนไลน์ เช่น การประชาสัมพันธ์ผ่านเว็บ หรือการสร้างบัญชีบนบริการเครือข่ายสังคมออนไลน์เพื่อสื่อสารกับลูกค้า หรือเพียงแค่การเชื่อมต่ออินเทอร์เน็ตในองค์กรเพื่อให้พนักงานทำงานได้มีประสิทธิภาพดีขึ้น สิ่งที่ควรคิดถึงทันทีคือความปลอดภัย เพื่อป้องกันไม่ให้บริการเหล่านี้กลับมาเป็นภัยทำให้ธุรกิจเราเสียหายเสียเอง

Tags:
Trend Micro

ปัญหาเรื่อง Windows XP หมดอายุ 8 เม.ย. เป็นเรื่องใหญ่ของฝ่ายไอทีในองค์กรทั่วโลก แต่ "ความเป็นจริง" ที่พบก็คือการย้ายจาก XP เป็นเรื่องไม่ง่ายเพราะติดอยู่กับแอพพลิเคชันหลายตัวที่เขียนขึ้นมาสำหรับ XP เท่านั้น

สำหรับคนที่จำเป็นต้องอยู่กับ XP ต่อไปจริงๆ สิ่งที่กังวลที่สุดคงเป็นเรื่องช่องโหว่ zero-day ที่จะถูกค้นพบในอนาคต (และประกาศต่อสาธารณะ) แต่ไมโครซอฟท์จะไม่ออกแพตช์บน XP ให้อีกแล้ว คำถามคือจะเอาตัวรอดจากช่องโหว่เหล่านี้ได้อย่างไร

บริษัทความปลอดภัยหลายค่ายก็มีโซลูชันเฉพาะในแบบของตัวเอง ซึ่งค่าย Trend Micro เจ้าของซอฟต์แวร์แอนตี้ไวรัสชื่อดังก็มีผลิตภัณฑ์ที่เรียกว่า Virtual Patching หรือ Intrusion Defense Firewall (IDF)

Tags:
ESET

นักวิจัยจาก ESET ร่วมกับ CERT-Bund เปิดโปงปฏิบัติการที่มีชื่อว่า WINDIGO ซึ่งเป็นปฏิบัติการในการโจมตีที่คอมพิวเตอร์ส่วนบุคคลและเซิร์ฟเวอร์เพื่อทำการสแปมและแพร่กระจายต่อไปเรื่อยๆ ในตอนนี้ทาง ESET คาดการณ์ว่ามีคอมพิวเตอร์ที่ติดมัลแวร์ตัวนี้แล้ววันละกว่า 5 แสนเครื่องผ่านทาง 25,000 เซิร์ฟเวอร์ที่ถูกโจมตีก่อนหน้าเพื่อใช้ในการแพร่กระจาย

WINDIGO ถูกระบุว่าเริ่มทำการโจมตีตั้งแต่ปี 2011 โดยมีเว็บไซต์ใหญ่ๆ ที่แพร่กระจายมัลแวร์ตัวนี้อยู่ด้วย เช่น cPanel.net หรือแม้กระทั่ง Kernel.org โดยตัวมัลแวร์ประกอบด้วยสามส่วนแบ่งเป็นส่วนที่ใช้ในการโจมตีและขโมยข้อมูลที่ใช้ใน OpenSSH, ส่วนที่ใช้ในควบคุมทราฟิกของเว็บและสคริปต์ที่ใช้ในการส่งสแปม

สำหรับวิธีการตรวจสอบว่ามีการติดมัลแวร์หรือไม่รวมไปถึงวิธีการแก้ไขสามารถดูได้จากแหล่งที่มา รายละเอียดทางด้านเทคนิครวมไปถึงไทม์ไลน์ของการแพร่กระจายสามารถดูได้จากเอกสารนี้ (PDF)

ที่มา - ESET Blog

Tags:
PayPal

บริษัทด้านความปลอดภัย MWR InfoSecurity ได้ปล่อยรายละเอียดช่องโหว่บนแอพพลิเคชั่น PayPal บนแอนดรอยด์ ซึ่งทำให้ผู้โจมตีสามารถสั่งรันคำสั่งอันตรายได้จากระยะไกลผ่านทางช่องโหว่ man-in-the-middle ช่องโหว่นี้ยังคงมีอยู่ในแอพพลิเคชั่นที่มีเวอร์ชันน้อยกว่า 5.3 และบนแอนดรอยด์เวอร์ชันน้อยกว่า 4.2

ในรายละเอียดที่ถูกปล่อยมานั้นกล่าวว่า ปัญหาของช่องโหว่นี้เกิดจาก PayPal มีการใช้ WebView เพื่อตรวจสอบใบอนุญาต SSL แต่ยังมีการทำงานต่อแม้ว่าจะตรวจเจอข้อผิดพลาดของใบอนุญาต SSL แทนที่จะทำการแสดงข้อความผิดพลาดหรือปิดการเชื่อมต่อนั้นทิ้งไป (CVE-2013-7201) อีกทั้งยังมีการอิมพลีเมนต์จาวาสคริปต์อินเตอร์เฟสใน WebView ซึ่งจะทำให้สั่งรันคำสั่งต่างๆ ได้ด้วย (CVE-2013-7202)

ทาง PayPal ปฏิเสธที่จะจ่ายเงินตามโปรแกรม Bug Bounty ให้เนื่องจากปัญหา SSL ไม่ได้อยู่ในขอบเขตของโปรแกรมนี้ แม้ว่าทาง MWR จะมีการส่งรายละเอียดของช่องโหว่หรือแม้กระทั่งวีดิโอที่มีการทำ PoC ไปแล้ว แต่ทาง PayPal อ้างว่าไม่มีผลกระทบต่อแบรนด์ของ PayPal

สำหรับการป้องกันการโจมตีผ่านทางช่องโหว่นี้นั้น แนะนำให้ผู้ใช้งานทำการอัพเดตแอพเป็นเวอร์ชันล่าสุด (5.4) โดยด่วนครับ

ที่มา - MWR Labs

Tags:

Josh Davis เป็นโปรแกรมเมอร์ที่กำลังเรียนจะจบในเดือนพฤษภาคม หลังจากอ่านเรื่องของ @N ที่ทวิตเตอร์แก้ปัญหาได้ล่าช้า จึงลองค้นหาเว็บเพื่อรวบรวมว่าบริการใดรองรับการยืนยันตัวตนด้วยปัจจัยที่สอง (two-factor authentication) บ้าง และพบว่าเว็บจำนวนมากยังไม่รองรับบริการนี้

Davis สร้างเว็บ TwoFactorAuth.org รายงานว่ามีเว็บใดบ้างที่รองรับการยืนยันตัวตนด้วยปัจจัยที่สองและรองรับผ่านช่องทางใดบ้าง เช่น ผ่าน SMS, ใช้แอพพลิเคชั่น Google Authenticator, ใช้แอพพลิเคชั่น Authy, หรือมีช่องทางอื่นๆ

เว็บไซต์ที่มีช่องทางยืนยันตัวตนด้วยปัจจัยที่สองไม่ว่าเป็นช่องทางใดๆ จะขึ้นสีเขียวพร้อมลิงก์ไปหน้าเอกสารแสดงวิธีการเปิดใช้งาน ส่วนเว็บใดยังไม่รองรับจะมีลิงก์ให้กดทวีตข้อความไปเรียกร้องให้บริการ

Davis กำลังจะไปทำงานกับอเมซอนเดือนพฤษภาคมนี้ และอเมซอนเป็นหนึ่งในบริการที่ไม่รองรับการยืนยันตัวตนด้วยปัจจัยที่สอง

ที่มา - Josh Davis

Tags:

แฮ็กเกอร์ชื่อดัง "Diabl0" หรือ Farid Essebar วัย 27 ปีถูกหน่วยประสานงานร่วมเฉพาะกิจระหว่าง DSI และทางการสวิตเซอร์แลนด์จับกุมได้คาคอนโดที่พักบนถนนพระราม 4 เมื่อวานนี้ หลังจากเขาได้ทำการปลอมแปลงหน้าเว็บไซต์ของแบงค์สัญชาติสวิสทำให้มีผู้ตกเป็นเหยื่อกว่าหนึ่งพันคนและมีมูลค่าความเสียหายทั้งหมดกว่า 4 พันล้านเหรียญในปี 2011

ย้อนกลับไปในปี 2005 Farid Essebar ในวัย 18 ปียังเคยถูกจับกุมตามหมายจับของ FBI และถูกจำคุก 2 ปีในข้อหาเกี่ยวกับการจารกรรมข้อมูลของธนาคารยักษ์ใหญ่ พร้อมทั้งเป็นผู้พัฒนาและแพร่กระจายเวิร์มที่มีชื่อว่า Zotob ด้วย

Farid Essebar จะถูกส่งตัวกลับไปดำเนินคดีในอีก 90 วันตามกฎหมายการส่งผู้ร้ายข้ามแดน ในขณะเดียวกันสมาชิกในทีมแฮ็กครั้งนี้ก็ยังคงเป็นที่ต้องการตัวอยู่และเชื่อว่าน่าจะอยู่ในประเทศไทย

ที่มา - The Hacker News

Tags:
Fedora

Fedora 21 กำลังจะออกตัวจริงเร็วๆ นี้มีฟีเจอร์น่าสนใจคือการรวมระบบคอนฟิกการเข้ารหัสไว้ที่เดียวกันทั้งระบบครับ โดยจะรวมไว้ในไฟล์ /etc/crypto-profiles/config โดยเข้ามาแก้ปัญหาการคอนฟิกระบบเข้ารหัสที่ก่อนหน้านี้มีหลากหลายแยกไปตามแอพพลิเคชั่น เช่น เว็บเซิร์ฟเวอร์, เซิร์ฟเวอร์ VPN, หรือเมลเซิร์ฟเวอร์ บางแอพพลิเคชั่นอาจจะคอนฟิกผิดพลาดทำให้รับการเชื่อมต่อที่เข้ารหัสไม่แข็งแกร่งนัก

ปัญหาคือแต่ละแอพพลิเคชั่นนั้นใช้ไลบรารีเข้ารหัสต่างกันไป เช่น OpenSSL, GnuTLS, และ NSS ทางโครงการ Fedora จะแพตซ์ไลบรารีเหล่านี้ทั้งหมดให้เชื่อฟังคอนฟิกกลางของระบบเท่านั้น

ภายใต้ระบบนี้ผู้ดูแลระบบจะสามารถกำหนดความ "แข็งแกร่ง" (ไม่อ่อนหัด) ของการเข้ารหัสได้ง่ายๆ เช่น LEVEL-80, LEVEL-112, LEVEL-128, LEVEL-256 หรือจะกำหนดชุดของการเข้ารหัสตามมาตรฐานเช่น SUITEB-128 หรือ SUITEB-256 ตามมาตรฐาน NIST ได้ทันที รวมถึงสามารถรับหรือไม่รับพารามิเตอร์บางอย่างเช่นกระบวนการแลกกุญแจลับ, ฟังก์ชั่นแฮช, หรือเวอร์ชั่นและพารามิเตอร์ของ TLS

ยังไม่ยืนยันว่าจะออกทัน Fedora 21 หรือไม่ ตัวโครงการนี้ไม่ได้เป็น blocker ดังนั้นอาจจะถูกเลื่อนไปในรุ่นต่อไปได้ครับ

ที่มา - The Register, Fedora Wiki

Tags:

Adobe ColdFusion เป็นเทคโนโลยีสำหรับสร้างเว็บไซต์-เว็บแอพอีกตัวหนึ่ง (แต่เป็นเทคโนโลยีที่ต่างไปจากพวก PHP/ASP/JSP โดยใช้ภาษา CFML และมีเซิร์ฟเวอร์-เครื่องมือ IDE ของตัวเอง)

ColdFusion ถูกสร้างขึ้นในปี 1995 โดยบริษัท Allaire จากนั้นโดน Macromedia ซื้อกิจการ (และโดน Adobe ซื้ออีกทีหนึ่งในปี 2005) ปัจจุบันอยู่ที่เวอร์ชัน 10 แล้ว (ออกเมื่อปี 2012 แต่ก็มีอัพเดตย่อยอยู่ตลอด)

แต่ล่าสุดเว็บไซต์ Krebs on Security รายงานข้อมูลว่าเว็บไซต์หลายแห่งที่สร้างด้วย ColdFusion ถูกแฮ็กผ่านช่องโหว่ที่ไม่ได้อัพเดตแพตซ์ และเว็บไซต์เหล่านี้ส่วนใหญ่เป็นเว็บขายสินค้าด้วย ทำให้ข้อมูลบัตรเครดิตของลูกค้าถูกขโมยไปด้วย

บริษัทที่เปิดเผยข้อมูลกับ Krebs ว่าถูกแฮ็กเป็นบริษัทขายหลอดไฟออนไลน์ 2 ราย ซึ่งทราบว่าตัวเองถูกแฮ็กจากบริษัทบัตรเครดิตอีกทอดหนึ่ง นอกจากนี้ยังมีข่าวว่าบริษัทยักษ์ใหญ่อย่าง Citroen ก็โดนแฮ็กจากช่องโหว่ลักษณะนี้เช่นกัน

ที่มา - Krebs on Security

Tags:
Target

เหตุการณ์แฮกเครื่องรับจ่ายเงิน (POS) ของห้าง Target ผ่านไปสามเดือนกว่าแล้วตอนนี้เข้าสู่ช่วง "เก็บกวาด" ก็มีข้อมูลให้ปะติดปะต่อเรื่องราวกันมากขั้น รายงานล่าสุดจาก Bloomberg ระบุว่ากลุ่มแฮกเกอร์ได้บุกเข้ามาวางมัลแวร์ตั้งแต่วันที่ 27 พฤศจิกายน โดยซอฟต์แวร์ FireEye ที่ห้าง Target ซื้อมาสามารถแจ้งเตือนได้ตั้งแต่วันที่ 30 พฤศจิกายน ทีมงานที่ดูแลการแจ้งเตือนในอินเดียแจ้งเตือนกลับมายังทีมงานความปลอดภัยในสหรัฐฯ แต่ปรากฎว่าไม่มีใครตอบรับการแจ้งเตือนแต่อย่างใด

แฮกเกอร์กลับมาอีกครั้งในวันที่ 2 ธันวาคมเพื่อติดตั้งมัลแวร์รุ่นใหม่ ทาง FireEye และทีมงานในอินเดียก็แจ้งเตือนกลับมาอีกครั้ง แต่ทีมงานก็ยังคงเงียบ

FireEye สามารถทำหน้าที่เป็นไฟร์วอลได้ในตัวเองทำให้สามารถบล็อคการอัพโหลดมัลแวร์ได้ทันทีหากเปิดความสามารถนี้เอาไว้ แต่ทีมงานความปลอดภัยของ Target เลือกที่จะปิดความสามารถนี้

Tags:
Google

เซิร์ฟเวอร์ DNS ฟรีของกูเกิลคือ 8.8.8.8 ถูกขโมยไปยังเซิร์ฟเวอร์ใน AS7908 แทนที่จะเป็น AS15169 ตามปกติ โดยมีผลต่อเครือข่าย 8.8.8.0/24

ผลของการแฮกครั้งนี้ทำให้ผู้ใช้ที่ใช้บริการ DNS ของกูเกิลนับล้านในช่วงเวลานั้นอาจจะถูกดึงหน้าเว็บไปยังเซิร์ฟเวอร์ปลอม ทำให้ เผลอใส่ข้อมูลสำคัญเช่นรหัสผ่านธนาคาร

การเปลี่ยนแปลง AS มีผลกระทบต่อผู้ใช้ในเวเนซูเอล่า โดยการประกาศเปลี่ยนแปลง AS ออกมาจากเครือข่ายในประเทศเอง มีผลกระทบไปถึงผู้ใช้ในบราซิล

ที่มา - The Hacker News

Tags:
Google

ไซแมนเทคออกรายงานเตือนหน้าจอล็อกอินกูเกิลปลอม ที่อันตรายกว่าปกติคือรอบนี้เว็บถูกวางไว้บนเซิร์ฟเวอร์ของกูเกิลเอง อาจจะทำให้ผู้ใช้สับสนได้

งานนี้คนร้ายวางไฟล์หน้าเว็บปลอมไว้บน Google Docs แล้วตั้ง public ไว้ จากนั้นจึงส่งลิงก์ให้กับเหยื่อ ทำให้หน้าลิงก์ดูน่าเชื่อถือมากขึ้นเพราะ URL เป็นเซิร์ฟเวอร์ของกูเกิลเอง แต่เมื่อใส่รหัสผ่านไปแล้ว รหัสผ่านจะถูกส่งไปยังเซิร์ฟเวอร์อื่น

รหัสผ่านกูเกิลเก็บข้อมูลส่วนตัวไว้หลายอย่าง รวมถึงการซื้อแอพพลิเคชั่นบน Google Play ต่อจากนี้เวลาจะกรอกรหัสผ่านกันก็ระวังโดยสังเกตว่าโฮสต์ต้องเป็น https://accounts.google.com/ServiceLogin นะครับ

ที่มา - Symantec

Tags:
Apple

ทีมวิจัยจาก Azimuth Security ออกรายงานวิเคราะห์ความปลอดภัยของตัวสร้างเลขสุ่มในฟังก์ชั่น early_random() พบว่าฟังก์ชั่นอ่อนแออย่างมาก และไม่ควรนำมาใช้งานกับงานด้านความปลอดภัย

รายงานระบุว่าโครงสร้างภายในของฟังก์ชั่นอาศัย linear congruential generator (LCG) ที่เป็นตัวสร้างเลขสุ่มที่เก่าที่สุดตัวหนึ่ง และใช้งานในฟังก์ชั่นมาตรฐานอย่าง rand ใน glibc อย่างไรก็ดี การอิมพลีเมนต์ใน iOS 7 มีเอาท์พุตที่เป็นไปได้น้อยมาก โดยมีรูปแบบเอาท์พุตที่เป็นไปได้เพียง 2^19 รูปแบบเท่านั้น และแต่ละรูปแบบมีเอาท์พุตยาวที่สุดที่เป็นไปได้เพียง 2^17 รูปแบบ

แอปเปิลพยายามปรับปรุงฟังก์ชั่นนี้จากเดิมที่เคยมีปัญหาความปลอดภัยอยู่แล้วใน iOS 6 แต่ฟังก์ชั่นใหม่นี้อ่อนแอกว่าเดิมเสียอีก ส่วน OS X นั้นอาศัยฮาร์ดแวร์สร้างเลขสุ่มของซีพียูอินเทลเข้ามาช่วยสร้างเลขสุ่มทำให้กระบวนการปลอดภัยกว่า

ที่มา - Azimuth Security, The Register

Tags:
Pwn2Own

กลับมาอีกครั้งกับงาน Pwn2Own ประจำปี 2014 ครับ ต้องขออภัยด้วยที่ในปีนี้ผมไม่ได้เขียนแยกเป็นข่าวแต่ละข่าวแต่จับทั้งหมดมารวมกันแทน สำหรับการแข่งขันในปีนี้นั้นจัดขึ้นในวันที่ 12-13 มีนาคมที่ผ่านมาพร้อมกับงานประชุมด้านความปลอดภัย CanSecWest Vancouver 2014

สำหรับกฏการแข่งขันในปีนี้ก็ยังคงเป็นเช่นเดิม โดยมีการแบ่งออกเป็นสามประเภทคือเบราว์เซอร์, ปลั๊กอินและ Grand Prize ซึ่งเป็นการเจาะผ่านช่องโหว่ของ Windows 8.1 ที่มีฟังก์ชัน Enhanced Mitigation Experience Toolkit (EMT) เงินรางวัลสำหรับผู้ที่สามารถเจาะระบบในแต่ละรายการสามารถดูได้จากที่นี่ครับ

นอกเหนือจากการแข่งขัน Pwn2Own แล้วทาง ZDI ผู้จัดงานร่วมกับสปอนเซอร์ทั้ง HP และ Google ได้ร่วมกันจัดการแข่งขัน Pwn4Fun โดยให้พนักงานทั้งจากสองบริษัทเข้าร่วมการแข่งขัน Pwn2Own และถ้าหากบริษัทใดชนะในการแข่งขันก็จะมีการมอบเงินรางวัล 50% เพื่อบริจาคให้กับ Canadian Red Cross ด้วย

Tags:

จากข่าวเก่า (แฮกเกอร์เข้าโจมตีเราเตอร์กว่า 300,000 เครื่อง) ตอนนี้ปัญหาดังกล่าวเริ่มส่งผลจนมีผู้ใช้ออกมารายงานปัญหานี้แล้วครับ

โดยผู้ใช้ 'จอมยุทธเฮง' และ 'สมาชิกหมายเลข 1301045' ในเว็บไซต์พันทิปได้ออกมารายงานปัญหาการเข้าเว็บไซต์ชื่อดังบางเว็บแล้วจะพบหน้าจอแจ้งเตือนว่า Flash Player เป็นรุ่นเก่า พร้อมเข้าหน้าเว็บให้ดาวน์โหลดตัวติดตั้ง Flash Player (ปลอม) โดยเมื่อตรวจสอบการตั้งค่าเราเตอร์แล้วพบว่ามีการเปลี่ยนแปลงให้ใช้ DNS ที่หมายเลข IP 199.223.212.99 และเมื่อแก้ไขกลับแล้ว ก็โดนแก้ไขอีกเป็นหมายเลข IP 74.82.207.26

Tags:
Blognone

งานสัมมา Blognone Quest เป็นงานเสวนาเทคโนโลยีคอมพิวเตอร์ที่ Blognone ตั้งใจจะจัดให้ได้ปีละ 2-3 ครั้งโดยเปลี่ยนหัวข้อไปตามเรื่องราวที่น่าสนใจ ปลายปีที่แล้วเราจัดงาน Blognone Quest for High Scalabilty Computing เป็นครั้งแรกที่จัดงานกันแบบทดลองเลยไม่ได้ประกาศต่อสาธารณะ รอบนี้เรากลับมาจัดอีกรอบเป็นงาน Blognone Quest for Modern Security

งานนี้เราจะมาพูดคุยกับคนจากหน่วยงานรอบด้าน ในโลกความปลอดภัยของเมืองไทยว่าคนที่ทำงานในวงการนี้ต้องพบอะไรกันมาบ้าง เราเชิญวิทยากรได้จากทั้งผู้ผลิตซอฟต์แวร์ความปลอดภัย, ผู้ให้บริการ, และบริการที่ต้องการความปลอดภัยสูง

Tags:
Vodafone

Vodafone ประเทศเยอรมันเริ่มให้บริการซิมแบบใหม่จากบริษัท G&D มันมีความสามารถในการเข้ารหัส, และเซ็นลายเซ็นดิจิตอล ทำให้ผู้ใช้สามารถเข้ารหัสอีเมล, ลงลายเซ็นดิจิตอลในอีเมล, และล็อกอิน VPN ได้โดยใช้ซิมเป็นเครื่องยืนยันตัวตน

ซิมนี้รองรับแอนดรอยด์ ส่วน BB10 และ Windows Phone มีแผนจะรองรับเร็วๆ นี้ ส่วน iOS ยังไม่มีแผน

ลูกค้าที่ต้องการใช้ซิมรุ่นนี้จะต้องจ่ายเงินเพิ่มเติม โดยยังไม่ประกาศราคา

ที่มา - The Register

Tags:
WordPress

ก่อนอื่นต้องบอกว่า WordPress ไม่ได้โดนเจาะนะครับ แต่เป็นเรื่องฟีเจอร์ (?) ของ WordPress ถูกนำไปใช้ในทางเสียหาย

บริษัทความปลอดภัย Sucuri รายงานว่าพบเว็บไซต์ WordPress มากถึง 162,000 เว็บถูกใช้เป็นฐานยิง DDoS ถล่มเว็บไซต์บางแห่งจนไม่สามารถใช้งานได้ จากการตรวจสอบว่าสาเหตุเกิดจากฟีเจอร์ XML-RPC ซึ่งเป็นช่องทางให้แอพภายนอกเรียกใช้งาน WordPress (เช่น การเขียนบล็อกด้วยแอพ, pingback, trackback) ที่ถูกเปิดมาเป็นค่าดีฟอลต์ของ WordPress ทุกเว็บไซต์อยู่แล้ว

ช่องโหว่ของ WordPress คือเปิดให้ "ใครก็ได้" ที่รู้ URL สามารถรันคำสั่งผ่าน XML-RPC บนเว็บไซต์ของเราได้ ซึ่งในกรณีนี้ แฮ็กเกอร์เรียก XML-RPC บนเว็บไซต์จำนวนมากให้ pingback ไปยังเว็บไซต์เป้าหมายแห่งเดียวกันจนเว็บล่มนั่นเอง (ตรวจสอบเว็บไซต์ของเราว่าถูกใช้เป็นฐานสำหรับ DDoS หรือไม่)

ปัญหานี้วงการ WordPress รับทราบกันมานานแล้ว แต่ก็ไม่ได้แก้ไขเพราะถือว่าเป็น "ฟีเจอร์" ตอนนี้คนที่อยากปิดการทำงานของ XML-RPC คงต้องใช้วิธีอื่น เช่น ลบหรือเปลี่ยนชื่อไฟล์ xmlrpc.php หรือสร้างปลั๊กอินเล็กๆ มาปิดการทำงานของมันไปก่อน รายละเอียดดูได้ตามลิงก์ที่มา

ที่มา - Sucuri

Tags:
Windows XP

นับถึงวันนี้เหลือเวลาอีก 1 เดือนพอดี ที่ Windows XP จะหมดอายุ (8 เม.ย.)

เว็บไซต์ Infoworld ได้แนะนำเทคนิคการใช้งาน Windows XP ให้ปลอดภัยหลังวันหมดอายุ ซึ่งเทคนิคเหล่านี้พอจะช่วยให้คนที่ยังจำเป็นต้องใช้ Windows XP มีความปลอดภัยมากขึ้นในระดับหนึ่ง (แต่ก็ไม่ใช่ทั้งหมด) รายละเอียดมีดังนี้ครับ