Security

นักวิจัยพบช่องโหว่ด้านการล็อกอินของ Android, กระทบ Android 2.3.3 ลงไป

By mk

on 18 May 2011 - 21:16 Tag: Google, Security, Android

Google

นักวิจัยสามคนจากมหาวิทยาลัย Ulm ในเยอรมนี ได้แก่ Bastian Könings, Jens Nickels, Florian Schaub ได้ค้นพบช่องโหว่ของระบบล็อกอิน ที่แอพใช้เช็คข้อมูลการล็อกอินกับเซิร์ฟเวอร์กูเกิล ซึ่งอาจเป็นช่องทางให้แฮ็กเกอร์เข้าถึงบัญชีกูเกิลของเราได้

ซอฟต์แวร์ที่เป็นข่าวชื่อว่า ClientLogin ซึ่งเป็นบริการพื้นฐานตัวหนึ่งของ Android ที่แอพอื่นๆ (ทั้งแอพของกูเกิลเองอย่าง Gmail/Calendar และแอพที่ล็อกอินด้วยบัญชีกูเกิล) เรียกใช้ได้

กระบวนการทำงานของ ClientLogin เป็นดังนี้ (ดูภาพประกอบ)

ญี่ปุ่นไม่ยอมให้โซนี่เปิด PlayStation Network จนกว่าจะให้ความเชื่อมั่นว่าปลอดภัยแล้ว

By nuntawat

on 17 May 2011 - 11:10 Tag: Security, Sony, Japan, PlayStation Network

Security

ถึงแม้โซนี่ได้เริ่มทยอยเปิดบริการ PlayStation Network (PSN) ในบางรัฐของประเทศสหรัฐฯ แล้ว แต่ในประเทศบ้านเกิดของตนเองนั้นโซนี่กลับยังไม่สามารถเปิดบริการ PSN กลับขึ้นมาใหม่ได้

[ข่าวลือ] แฮ็กเกอร์เช่า Amazon EC2 เป็นฐานถล่ม PlayStation Network

By mk

on 15 May 2011 - 01:10 Tag: Security, Sony, Amazon, Hacking, AWS, PlayStation Network

Security

สำนักข่าว Bloomberg รายงานข่าววงในว่า กลุ่มแฮ็กเกอร์ที่ถล่ม PlayStation Network และขโมยข้อมูลส่วนตัวออกไป ใช้วิธีเช่าเครื่องคอมพิวเตอร์ผ่าน Amazon EC2 เพื่อเป็นฐานในการโจมตี PSN อีกทอดหนึ่ง

ตามข่าวบอกว่า แฮ็กเกอร์เหล่านี้ใช้ชื่อปลอมไปเปิดบัญชี EC2 ใช้งานเหมือนบุคคลอื่นทั่วไป ไม่ได้แฮ็กเข้าระบบ EC2 แต่อย่างใด ตอนนี้บัญชีปลอมเหล่านี้ถูกปิดไปแล้ว ส่วน Amazon ยังไม่มีแถลงการณ์ต่อข่าวนี้

ถ้าข่าวนี้เป็นจริง ก็จะเกิดคำถามต่อบริการแบบ EC2 และ cloud computing อีกเช่นกัน ว่าจะป้องกันการนำคอมพิวเตอร์พลังสูงไปใช้ในทางที่เป็นภัยต่อผู้อื่นได้อย่างไร

แฉ Dropbox โกหก! ไม่ได้เข้ารหัสกับไฟล์ที่อัพโหลด

By pawinpawin

on 14 May 2011 - 07:33 Tag: Security, Dropbox

Security

เชื่อว่าหลายคนคงจะใช้บริการฝากไฟล์ออนไลน์ที่ใช้งานง่ายและมีโปรแกรมให้ใช้หลายแพลตฟอร์มอย่าง Dropbox มาวันนี้คุณอาจเปลี่ยนใจเลิกใช้ไปเลยก็ได้

Christopher Soghoain นักวิจัยด้านความปลอดภัย ได้ทำการร้องต่อคณะกรรมการด้านการค้าของสหรัฐหรือ FTC ว่า Dropbox นั้นหลอกลวงต่อผู้ใช้ที่ทำการเข้ารหัสกับข้อมูลที่อัพโหลด โดยเขาพบว่า ไฟล์ที่เคยมีอยู่แล้วของผู้ใช้รายอื่นบนเซอร์เวอร์ของ Dropbox นั้นจะไม่ได้ถูกอัพโหลดจริงๆ แต่อย่างใด แต่จะถูกลิงก์ไปแทน ซึ่งหมายความว่า Dropbox นั้นสามารถเข้าถึงข้อมูลของผู้ใช้ได้โดยง่าย

ผู้เชี่ยวชาญด้านความปลอดภัยบอกมัลแวร์ Android เพิ่มขึ้น 400% ในรอบครึ่งปี

By mk

on 13 May 2011 - 21:27 Tag: Security, Android, Malware, Juniper

Security

ศูนย์วิจัยด้านความปลอดภัย Global Threat Center New Window (GTC) ของบริษัท Juniper ออกรายงานชื่อ Malicious Mobile Threats Report 2010/2011 ซึ่งระบุว่าภัยคุกคามของอุปกรณ์พกพาเพิ่มสูงขึ้นเป็นประวัติการณ์ในทุกๆ ด้าน ไม่ว่าจะเป็นเรื่องไวรัส มัลแวร์ ถูกแฮ็ก มือถือหายหรือถูกขโมย ข้อมูลถูกดักฟัง ไปจนถึงการใช้มือถือในทางที่ผิด

ในส่วนของมัลแวร์บนมือถือโตขึ้น 250% ถ้านับจากปี 2009-2010 ส่วนที่โตขึ้นชัดเจนคือมัลแวร์บน Android ที่โตขึ้นถึง 400% ในช่วงครึ่งหลังของปี 2010 ซึ่ง GTC ระบุว่าสาเหตุเป็นเพราะตลาด Android ที่เติบโตอย่างรวดเร็ว และระบบรักษาความปลอดภัยที่ยังมีจุดอ่อน

Facebook เปิดให้ล็อกอินด้วยรหัสผ่าน 2 ชั้น เพื่อความปลอดภัยที่มากขึ้น

By mk

on 13 May 2011 - 15:39 Tag: Security, Facebook

Security

ก่อนหน้านี้ Facebook เคยประกาศไปแล้วว่าจะเพิ่มระบบล็อกอิน 2 ชั้น วันนี้มันมาแล้วในชื่อ "Login Approvals"

การทำงานของ Login Approvals ก็ตรงไปตรงมาคือหลังจากใส่รหัสผ่านเสร็จแล้ว Facebook จะส่งโค้ดอีกชุดมาให้เราผ่าน SMS และเราต้องป้อนโค้ดชุดนี้เพื่อยืนยันตัวตนอีกครั้งหนึ่ง (กระบวนการนี้จะต้องทำเฉพาะล็อกอินในคอมพิวเตอร์เครื่องที่ไม่เคยเล่น Facebook มาก่อนเท่านั้น)

บริษัทความปลอดภัยอ้าง Chrome ถูกเจาะแล้ว

By lew

on 11 May 2011 - 04:11 Tag: Security, Chrome

Security

บริษัทวิจัยด้านความปลอดภัย VUPEN อ้างว่าประสบความสำเร็จในการทะลวง sandbox ของ Chrome เป็นที่เรียบร้อยแล้ว โดยไม่ต้องอาศัยบั๊กของตัววินโดวส์เองแต่อย่างใด

ทาง VUPEN ยืนยันช่องโหว่นี้ด้วยการแสดงวิดีโอสาธิตการเจาะเบราเซอร์แต่ไม่ได้ให้รายละเอียดเพิ่มเติมโดยระบุว่างานวิจัยนี้เป็นการว่าจ้างจากรัฐบาล (วิดีโออยู่ท้ายข่าว)

ที่มา - VUPEN

โครงการ Tor จะเลิกทำ Add-on, เปลี่ยนมาสร้าง Tor Browser แทน

By mk

on 8 May 2011 - 16:52 Tag: Security, Privacy, Firefox, Browser, Tor

Security

โครงการ Tor ซึ่งเป็นเครือข่ายสำหรับซ่อนตัวตนบนโลกออนไลน์เพื่อรักษาความเป็นส่วนตัว เดิมที Tor แนะนำให้ติดตั้ง add-on ชื่อ Torbutton สำหรับ Firefox ซึ่งติดตั้งแล้วจะมีปุ่มเข้าโหมด Tor เพื่อท่องเว็บแบบตามรอยไม่ได้

แต่ล่าสุดโครงการ Tor ประกาศเปลี่ยนแนวทางการพัฒนาแล้ว โดยเลิกทำ Torbutton เป็น add-on และเปลี่ยนมาสร้างชุดเบราว์เซอร์ Tor Browser Bundle โดยอิงฐานจาก Firefox แทน

ระวังอันตรายจากการค้นหารูปใน Google Image Search

By mk

on 8 May 2011 - 16:26 Tag: Google, Security, Search Engine

Google

ช่วง 2-3 สัปดาห์ที่ผ่านมาเริ่มมีคำเตือนว่าแฮ็กเกอร์กำลังใช้ Google Image Search ชักจูงผู้ใช้ไปยังเว็บที่มีอันตรายแฝงอยู่

กระบวนการทำงานของแฮ็กเกอร์คือแฮ็กเว็บไซต์จำนวนหนึ่ง (ตามข่าวคือ WordPress แต่ CMS ตัวอื่นก็มีสิทธิโดนเหมือนกัน) แล้วฝังสคริปต์ PHP ลงไป สคริปต์ตัวนี้จะคอยตรวจสอบว่า "คำค้น" ไหนใน Google Image Search ที่กำลังนิยม (เช่น รูปภาพของบิน ลาเดน) จากนั้นมันจะไปดูดรูปภาพที่เกี่ยวข้องมาเก็บไว้

รัฐบาลซีเรียสร้าง "เว็บหลอก" ให้ใส่รหัสผ่าน Facebook

By mk

on 8 May 2011 - 10:09 Tag: Security, Syria, EFF, Government, Facebook

Security

พักหลังนี้เราจะเห็นความพยายามแบบใหม่ๆ ของรัฐบาลหลายประเทศในการปิดกั้นอินเทอร์เน็ต (อย่างของบ้านเราก็คือการสร้างหน้า 404 ปลอม) กรณีล่าสุดคือประเทศซีเรียซึ่งกำลังมีเหตุวุ่นวายทางการเมืองกับ Facebook

Microsoft Security Essentials ได้คะแนนทดสอบป้องกันไวรัสไม่ดีนัก

By mk

on 6 May 2011 - 14:59 Tag: Security, Antivirus, MSE, Microsoft

Security

เว็บไซต์ AV-Test ซึ่งเป็นสถาบันทดสอบโปรแกรมแอนตี้ไวรัสอิสระ นำซอฟต์แวร์แอนตี้ไวรัสจำนวน 22 ตัวมาทดสอบ โดยใช้กรณีทดสอบตามสภาพใช้งานจริงๆ ของผู้ใช้ (real world test) ผลปรากฏว่ามีซอฟต์แวร์ที่ "ผ่านเกณฑ์" ขั้นต่ำของ AV-Test จำนวน 17 ตัว

สำหรับ Microsoft Security Essentials หรือ MSE ซึ่งเป็นซอฟต์แวร์ที่ไมโครซอฟท์แจกฟรีสำหรับผู้ใช้วินโดวส์แท้ ผ่านเกณฑ์ขั้นต่ำของ AV-Test แต่กลับได้คะแนนส่วนของการป้องกันไวรัสและมัลแวร์ใหม่ๆ ไม่เยอะนัก (2.5 เต็ม 6 อันดับรองบ๊วย) ได้คะแนนส่วนการซ่อมแซมระดับปานกลางคือ 3.5 เต็ม 6 และได้คะแนน usability (ไม่หน่วงเครื่องและไม่แจ้งผิด) เกือบเต็ม 5.5 เต็ม 6

โซนี่เสนอการป้องกันบัตรเครดิตให้กับเหยื่อจากการโจมตี PSN

By KimhunCPE

on 6 May 2011 - 12:11 Tag: Security, Sony, Qriocity, PlayStation Network

Security

ภายหลังที่ รองประธานโซนี่ออกแถลงเกี่ยวกับการล่มของ PlayStation Network ซึ่งโซนี่ก็ได้ให้บริการ PlayStation Plus หรือ Qriocity เป็นเวลา 30 วัน แต่นั่นก็ไม่ได้ช่วยเหล่าผู้เสียหายที่โดนขโมยข้อมูลบัตรเครดิตไปแล้วได้อุ่นใจขึ้น

โซนี่จึงได้เสนอ "AllClear ID Plus" การป้องกันบัตรเครดิตจากบริษัท Debix ฟรีเป็นเวลาหนึ่งปีเต็มให้กับเหยื่อที่ถูกโจมตี PSN และ Qriocity เฉพาะผู้ที่อยู่ในสหรัฐ

Anonymous บอกไม่ได้โจมตี PSN, อาจมีการโจมตีระลอกสาม

By mk

on 6 May 2011 - 09:48 Tag: Security, Sony, Hacking, PlayStation Network, Anonymous

Security

รวมสามข่าวที่เกี่ยวกับกรณีเซิร์ฟเวอร์ของโซนี่ถูกแฮ็กนะครับ

ข่าวแรก หลังโซนี่ชี้แจ้งกับวุฒิสภาของสหรัฐว่า กลุ่ม Anonymous อาจเป็นคนเจาะระบบของ PlayStation Network ทางกลุ่ม Anonymous ก็ออกแถลงการณ์ว่าไม่เกี่ยวข้องกับกรณีดังกล่าว และยืนยันว่าแกนนำของกลุ่มไม่มีนโยบายขโมยข้อมูลบัตรเครดิต

LastPass อาจถูกแฮ็ก ผู้ใช้ต้องเปลี่ยนรหัสผ่านหลักโดยด่วน

By mk

on 5 May 2011 - 22:54 Tag: Security, Cryptography, LastPass

Security

หมายเหตุ: ข่าวนี้มีศัพท์เทคนิคด้านการเข้ารหัสค่อนข้างมาก อ่านรายละเอียดกันเองตามลิงก์ Wikipedia ที่ให้ไว้นะครับ

LastPass ซอฟต์แวร์ช่วยจัดการรหัสผ่านแบบข้ามแพลตฟอร์ม รายงานว่ามีทราฟฟิกไม่ปกติเข้ามายังเซิร์ฟเวอร์ของตัวเอง และแปลว่าข้อมูลของผู้ใช้ซึ่งได้แก่ อีเมล, salt ของเซิร์ฟเวอร์ และ hash ของรหัสผ่านที่ถูก salt แล้ว __อาจจะ__ถูกเจาะไปด้วย (ยังพิสูจน์ไม่ได้ว่าถูกเจาะไปจริง)

ผู้ใช้แมคพึงระวัง แฮ็กเกอร์เริ่มปล่อย "ชุดสร้างมัลแวร์" สำหรับแมคแล้ว

By mk

on 5 May 2011 - 15:39 Tag: Security, Malware, Mac

Security

ใครที่ยังคิดว่า "แมคไม่มีไวรัส" แบบที่แปะตามหน้าร้านขายแมคในบ้านเรา อาจจะต้องเปลี่ยนความคิดกันใหม่แล้ว

ผู้เชี่ยวชาญด้านความปลอดภัย CSIS Security Group ออกมาเตือนภัยว่าตอนนี้ในบอร์ดใต้ดินของแฮ็กเกอร์ มีคนสร้าง "ชุดสร้างมัลแวร์" สำหรับแมคขึ้นมาขายแล้ว ชุดเครื่องมือนี้มีชื่อว่า Weyland-Yutani BOT ประกอบด้วยเครื่องมือพื้นฐานหลายอย่างสำหรับการสร้างมัลแวร์ โดยผู้ที่ซื้อชุดเครื่องมือนี้ไปจะสามารถปรับแต่งเพื่อสร้างมัลแวร์ของตัวเองได้ง่าย

“อย่าไปโทษ Sony เลย เพราะไม่มีระบบใดๆ ที่ปลอดภัยอย่างแท้จริงหรอก”

By raindrop

on 5 May 2011 - 10:39 Tag: Security, Sony

Security

เว็บไซต์เกมชื่อดัง Kotaku.com ได้เผยบทสัมภาษณ์ของคุณ Bruce Schneier ซึ่งเป็นผู้เชี่ยวชาญทางด้านความปลอดภัยและเป็นนักถอดรหัสที่มีชื่อเสียงคนหนึ่งในวงการ

คุณ Schneier กล่าวว่าการถูกโจมตีของ Sony ในครั้งนี้ ก็เป็นเพียงแค่การถูกเจาะระบบอีกครั้งหนึ่งเท่านั้น ซึ่งเรื่องแบบนี้ก็เกิดขึ้นอยู่เป็นประจำอยู่แล้ว

เมื่อทาง Kotaku ถามไปว่าคิดเห็นอย่างไรกับการถูกเจาะระบบของ Sony มีความผิดพลาดในการระบบรักษาข้อมูลส่วนตัวของลูกค้าตรงไหนหรือเปล่าถึงได้เกิดเหตุการณ์แบบนี้ได้นั้น คุณ Bruce กลับตอบว่า

“ที่ถามนั่นหมายความว่ายังไงครับ? มีด้วยหรือครับ สถานที่ที่ปลอดภัยจริงๆน่ะ”

MS ปล่อยอัพเดตปลด Certificate ปลอมให้ WP7, ChevronWP7 พบเป็นมากกว่าอัพเดตปลด Certificate

By nuntawat

on 5 May 2011 - 07:39 Tag: Security, SSL, Windows Phone 7, Microsoft

Security

หลังจากมีผู้ไม่หวังดีจดทะเบียน certificate ปลอม ไมโครซอฟท์จึงรีบปล่อยอัพเดตบน Windows แพลตฟอร์มแทบจะในทันที ล่าสุดไมโครซอฟท์ก็ได้ปล่อยอัพเดตรายการยกเลิกใบรับรอง (Certificate Revocation List - CRL) ให้กับ Windows Phone 7 ที่ผ่านการอัพเกรด NoDo มาแล้ว สำหรับเครื่องใดที่ยังไม่ได้รับการอัพเกรด NoDo ก็ได้ถูกอัพเกรด NoDo ให้ด้วยเลย - WMPoweruser

โซนี่ซวยซ้ำซ้อน Sony Online โดนเจาะและขโมยข้อมูลบัตรเครดิตไปอีกชุด

By mk

on 4 May 2011 - 15:56 Tag: Security, Sony, Privacy, Games

Security

ปัญหา PlayStation Network โดนโจมตีและเจาะข้อมูล ยังไม่ทันจะเรียบร้อยดี โซนี่ก็ออกมาประกาศว่าระบบเซิร์ฟเวอร์ของ Sony Online Entertainment (บริษัทเกมออนไลน์ของโซนี่ พวก Everquest และ DC Universe Online) โดนโจมตีและแฮ็กเกอร์อาจได้ข้อมูลบัตรเครดิตไปอีกจำนวนหนึ่ง

หน่วยงานความมั่นคงสหรัฐฯ แนะนำให้ผู้ใช้เลิกใช้ Windows XP ได้แล้ว

By Pinery

on 4 May 2011 - 00:13 Tag: Security, USA, Windows XP

Security

หน่วยงานความมั่นคงสหรัฐฯ (The National Security Agency หรือ NSA) ได้แนะนำให้ผู้ที่กำลังใช้ Windows XP อัพเกรดไปใช้ Windows Vista หรือ Windows 7 แทนได้แล้ว และถ้าเป็นไปได้ให้เลือกเวอร์ชันระบบ 64 บิตไปเลย

แฮ็กเกอร์อ้าง ได้ข้อมูลบัตรเครดิตจาก PSN ไป 2.2 ล้านใบ

By mk

on 30 April 2011 - 10:36 Tag: Security, Sony, Hacking, Trend Micro, PlayStation Network

Security

นักวิเคราะห์ด้านความปลอดภัยจาก Trend Micro รายงานว่าแฮ็กเกอร์กลุ่มหนึ่งได้กล่าวอ้างในเว็บบอร์ดเฉพาะแห่งหนึ่ง ได้โพสต์ข้อความประกาศขายข้อมูลบัตรเครดิตที่แฮ็กได้จาก PlayStation Network จำนวน 2.2 ล้านใบ โดยข้อมูลจำนวนนี้มีรหัส 3 ตัวของบัตรที่เรียกว่า CVV/CSC อยู่ด้วย

อย่างไรก็ตาม Trend Micro ยังไม่สามารถพิสูจน์ได้ว่าคำกล่าวอ้างนี้จริงหรือไม่

Subscribe to Security