Security

Mozilla ทำฐานข้อมูลผู้ใช้ 44,000 รายหลุดออกสู่อินเทอร์เน็ต

By lew

on 28 December 2010 - 21:07 Tag: Security, Mozilla

Security

หลังจากเว็บเครือ Gizmodo เพิ่งถูกเจาะรหัสผ่านทำข้อมูลผู้ใช้ 270,000 รายหลุดออกมา และวันนี้ทาง Mozilla (หน่วยงานดูแลเบราเซอร์ไฟร์ฟอกซ์) ก็ส่งอีเมลแจ้งผู้ใช้ว่าบริษัทได้ทำผิดพลาดทำให้ฐานข้อมูลผู้ใช้ 44,000 คนของเว็บ addons.mozilla.org หลุดออกสู่เว็บสาธารณะ

วิศวกร Android บอกว่า "เราจงใจให้ Root เครื่อง Nexus S ได้"

By mk

on 21 December 2010 - 09:51 Tag: Security, Android, Nexus S

Security

Nick Kralevich วิศวกรด้านความปลอดภัยในทีม Android ออกมาตอบโต้ข่าว Nexus S ถูก root ได้ของ Engadget ซึ่งให้ความเห็นไว้ว่า Nexus S ถูก root ได้เพราะความปลอดภัยของ Android ไม่ดีพอ

Nick Kralevich โพสต์ผ่านบล็อก Android Developers ว่าทั้ง Nexus S และ Nexus One ถูกออกแบบมาให้ติดตั้งเฟิร์มแวร์อื่นๆ ได้ง่าย เพียงแค่สั่ง fastboot oem unlock เท่านั้นก็เรียบร้อย ดังนั้นไม่ได้แปลว่าระบบความปลอดภัยของ Android มีปัญหาแต่อย่างใด

กูเกิลเพิ่มการแจ้งเตือน "เว็บไซต์ดังกล่าวอาจถูกควบคุมโดยคนอื่น" ลงผลลัพธ์การค้นหา

By nuntawat

on 19 December 2010 - 06:44 Tag: Google, Security, Search Engine

Google

นอกจากกูเกิลจะมีฟีเจอร์แจ้งเตือนว่าเว็บไซต์ที่เป็นผลลัพธ์การค้นหาอาจมีมัลแวร์ฝังอยู่ ล่าสุดกูเกิลได้เพิ่มฟีเจอร์แจ้งเตือนว่าเว็บไซต์ที่เป็นผลลัพธ์การค้นหาอาจถูกควบคุมโดยคนอื่นที่มิใช่เจ้าของเว็บไซต์ โดยจะมีข้อความปรากฏขึ้นใต้ลิงก์เว็บไซต์ในผลลัพธ์การค้นหาว่า "This site may be compromised" (ดูรูปท้ายข่าว)

Microsoft Security Essentials 2.0 ออกแล้ว

By lew

on 18 December 2010 - 02:34 Tag: Security, Antivirus, Microsoft

Security

Microsoft Security Essentials หรือ MSE ออกรุ่น 2.0 ตัวจริงในวันนี้ โดยผู้ใช้สามารถดาวน์โหลดได้ทันที หรือสั่งอัพเกรดแล้วบูตเครื่องอีกครั้ง โดยรุ่นนี้มีความสามารถสำคัญสามประการคือ

เผยรหัสผ่านยอดนิยมของผู้ใช้เว็บไซต์เครือ Gawker ที่โดนเจาะแล้วถูกนำออกมาเผยแพร่

By tana

on 16 December 2010 - 22:20 Tag: Security, Gawker

Security

หลังจากข่าว Gizmodo และเว็บไซต์เครือ Gawker โดนเจาะ และรหัสผ่านของผู้ใช้ทั้งหมดกว่า 188,279 บัญชียังถูกเผยแพร่ออกบนอินเทอร์เน็ตอีกด้วย

ต่อมาทาง Wall Street Journal ได้รวบรวมสถิติจำนวนรหัสผ่านที่ยอดนิยมที่สุดของบัญชีผู้ใช้ (รหัสที่มักใช้ซ้ำกัน) ออกมา 50 แบบด้วยกันโดยรหัสผ่านที่เป็นยอดนิยมที่สุดได้แก่

อดีต CTO บริษัท NETSEC อ้าง "FBI จ้างให้บริษัทแอบใส่ช่องโหว่ในระบบ IPsec ของ OpenBSD"

By lew

on 15 December 2010 - 22:20 Tag: Open Source, Security, OpenBSD

Open Source

Theo de Raadt หัวหน้าโครงการ BSD ได้รับอีเมลจาก Gregory Perry อดีต CTO ของบริษัท NETSEC ได้ส่งอีเมลระบุว่าบริษัทที่เขาเคยทำงานอยู่ได้รับการว่าจ้างจาก FBI ให้วางช่องโหว่ไว้ในระบบ IPsec ของโครงการ BSD ทำให้มีช่องโหว่ที่เปิดให้กุญแจดิจิตอลเหล่านี้รั่วไหลออกไปได้

นอกจากส่วน IPsec ของ BSD แล้ว Perry ยังอ้างว่า NETSEC เป็นที่ปรึกษาให้กับ FBI ในอีกหลายโครงการนับแต่บัตรสมาร์ทการ์ดไปจนถึงระบบเข้ารหัสด้วยฮาร์ดแวร์หลายตัว

รัฐโคโลราโดทำข้อมูลผู้เกี่ยวข้องกับคดีความกว่า 200,000 รายหลุดสู่อินเทอร์เน็ต

By lew

on 15 December 2010 - 01:40 Tag: Security, Internet, USA

Security

เหตุการณ์ร้ายแรงบางด้านความปลอดภัยบางครั้งก็เกิดขึ้นได้ง่ายๆ เมื่อพนักงานของรัฐโคโลราโดเผลอสำรองข้อมูลผู้ที่เกี่ยวข้องกับคดีอาญาทั้งหมด รวมผู้เสียหาย, ผู้ต้องสงสัย, และพยาน กว่าสองแสนรายการไปวางไว้บนเว็บเซิร์ฟเวอร์จนถูกเสิร์ชเอนจินต์มาดูดข้อมูลไป

ข้อมูลที่หลุดออกมาได้แก่ ชื่อ, หมายเลขโทรศัพท์, ที่อยู่, หมายเลขประกันสังคม, ตลอดจนข้อมูลอื่นๆ ที่เกี่ยวข้องกับการสอบสวน

การหลุดของข้อมูลนี้ส่งผลร้ายแรงหลายด้าน นับแต่ความเป็นส่วนตัวของทุกคนรวมถึงผู้ต้องสงสัย, การที่ผู้ต้องสงสัยจะรู้ตัวว่าถูกตำรวจจับตามองอยู่, และพยานที่อาจมีอันตรายได้

Gizmodo และเว็บไซต์เครือ Gawker โดนเจาะ รหัสผ่านของผู้ใช้ถูกเผยแพร่!

By mk

on 13 December 2010 - 23:17 Tag: Security, Hacking, Gizmodo, Gawker

Security

เว็บไซต์ในเครือ Gawker Media (ที่ดังๆ ได้แก่ Gizmodo, Kotaku, Lifehacker) โดนเจาะ เป็นผลให้รหัสผ่านของผู้ใช้ 270,000 รายถูกเผยแพร่ออกมาบนอินเทอร์เน็ต

การเจาะระบบครั้งนี้ทำโดยกลุ่มแฮกเกอร์ที่เรียกตัวเองว่า Gnosis ซึ่งไม่พอใจที่ทีมงานของ Gawker ไปดูถูกเว็บบอร์ดและชุมชนแฮกเกอร์ 4chan จึงต้องการแก้แค้นกลับ

กลุ่ม Gnosis อธิบายว่าเจาะเข้าไปยังระบบ CMS ของ Gawker ได้ง่ายมาก (CMS พัฒนาขึ้นใช้เอง) เพราะตัว PHP framework มีรูรั่วมากมาย อีกทั้งเซิร์ฟเวอร์ก็ใช้ลินุกซ์เวอร์ชันเก่า

.net เริ่มใช้งาน DNSSEC ได้แล้ว

By lew

on 11 December 2010 - 19:45 Tag: Security, DNS, VeriSign, DNSSEC

Security

บริษัท VeriSign ประกาศว่าวันนี้บริษัทจะเริ่มรองรับ DNSSEC ในโซนของ .net แล้วนับเป็น TLD ที่ใหญ่ที่สุดนับแต่มีการเริ่มใช้ DNSSEC มา โดยก่อนหน้านี้ TLD ที่ใหญ่ที่สุดที่รองรับ DNSSEC คือ .org

ตามกำหนดการในปีหน้าทั้ง .com และ .edu น่าจะรองรับ DNSSEC ตามมาภายในปีหน้า ส่วน DNS ของแต่ละประเทศนั้นต้องให้ผู้ดูแล TLD เป็นผู้ฝากคีย์เพื่อเริ่มให้บริการ

ทหารสหรัฐฯ เริ่มมาตรการห้ามใช้สื่อเก็บข้อมูลแบบถอดได้บนคอมพิวเตอร์ทั้งหมด

By lew

on 11 December 2010 - 16:03 Tag: Security, USA, Military

Security

แม้สหรัฐฯ จะอ้างว่าเอกสาร The Cables ที่หลุดออกมาทาง WikiLeaks นั้นไม่ได้สร้างความเสียหายมากมายอย่างที่อ้างกัน แต่การที่เอกสารเหล่านี้หลุดออกมาสู่สาธารณะก็ทำให้สหรัฐฯ เสียหน้าเป็นอย่างมากมาตรการใหม่จึงเป็นการห้ามใช้สื่อเก็บข้อมูลแบบถอดได้เช่น thumbdrive, CD, DVD บนคอมพิวเตอร์และเซิร์ฟเวอร์ทั้งหมด

ก่อนหน้านี้กระทรวงกลาโหมสหรัฐฯ ก็แบนสื่อเหล่านี้มาก่อนแล้ว แต่เป็นการแบนเพื่อหยุดการแพร่กระจายของเวิร์มมากกว่าจะป้องกันข้อมูลรั่วไหล และมาตรการนี้ถูกยกเลิกไปในต้นปีที่ผ่านมา

การคัดเลือก SHA-3 เข้าสู่รอบสุดท้าย

By lew

on 11 December 2010 - 15:53 Tag: Security, Cryptography

Security

มาตรฐานการแฮช (hash) แบบ SHA นั้นเป็นการคัดเลือกมาจากอัลกอลิธึ่มจำนวนมากที่ส่งเข้าประกวด จนตอนนี้ก็ถึงรอบสุดท้ายของการแข่งขันมาตรฐาน SHA-3 ที่มีผู้เข้ารอบทั้งหมด 5 อัลกอลิธึ่ม จากรอบที่สองนั้นที่มีผู้ผ่านเข้ารอบ 14 อัลกอลิธึ่ม

อัลกอลิธึ่มทั้ง 5 ได้แก่

BLAKE จากสวิสเซอร์แลนด์
Grøstl จากเดนมาร์ก
Keccak จากเนเธอร์แลนด์
JH จากสิงค์โปร์
Skein จากสหรัฐฯ (มี Bruce Schneier สนับสนุนอยู่เบื้องหลัง)

ผู้เข้าแข่งขันมีเวลาแก้ไขปรับปรุงอัลกอลิธึ่มจนถึง 16 มกราคมนี้ ส่วนการประกาศผลจะต้องรอจนปี 2012

โปรแกรมเมอร์บริษัท Goldman Sachs ขโมยซอร์สโค้ดบริษัท โทษสูงสุด 15 ปี

By lew

on 11 December 2010 - 15:39 Tag: Security, Crime

Security

บริษัทไอทีบ้านเราอาจจะไม่ค่อยเข้มงวดกันมากนักแต่ปัญหาโปรแกรมเมอร์ของบริษัทกลับกลายเป็นคนขโมยซอร์สโค้ดก็เกิดขึ้นหลายครั้งในสหรัฐฯ และครั้งนี้ Sergey Aleykinov โปรแกรมเมอร์ของบริษัท Goldman Sachs ก็ถูกตัดสินว่ามีความผิดฐานขโมยซอร์สโค้ดการซื้อขายความเร็วสูงของบริษัทไปขายให้กับบริษัท Teza Technologies

แฮกเกอร์ที่ตอบโต้แทน Wikileaks ถูกจับเป็นคนแรก

By lew

on 10 December 2010 - 12:30 Tag: Security, Hacking, Netherlands, Wikileaks, Anonymous

Security

วัยรุ่นชาวเนเธอร์แลนด์อายุ 16 ปีถูกจับเป็นคนแรกในข้อหาโจมตี PayPal, Visa, และ MasterCard จนไม่สามารถใช้งานได้เป็นเวลาหลายชั่วโมงเพื่อตอบโต้การปฎิเสธการให้บริการกับ Wikileaks

เนื่องจากอายุของผู้ถูกจับยังอยู่ในช่วงเยาวชนจึงไม่มีการเปิดเผยชื่อ ทางการแจ้งเพียงว่าผู้ถูกจับกุมอยู่ระหว่างการสอบสวน และคอมพิวเตอร์ของเขาถูกยึดไว้เป็นของกลาง โดยทีมสืบสวนคิดว่าเขาอาจจะเป็นเพียงหนึ่งในสมาชิกของกลุ่มแฮกเกอร์ที่ร่วมกันก่อการครั้งนี้

ไม่มีความชัดเจนว่ากลุ่มผู้ร่วมการตอบโต้นี้มีกี่กลุ่ม โดยในตอนนี้เป้าหมายการตอบโต้เดียวที่ยังถูกโจมตีไม่สำเร็จคือ Amazon

BlackBerry 6 ผ่านมาตรฐานด้านการเข้ารหัสของรัฐบาลสหรัฐ

By mk

on 2 December 2010 - 09:10 Tag: Security, USA, RIM, BlackBerry

Security

ระบบปฏิบัติการ BlackBerry 6 ผ่านมาตรฐานด้านการเข้ารหัสของรัฐบาลสหรัฐที่เรียกว่า FIPS 140-2 ทำให้หน่วยงานรัฐบาลที่ต้องทำงานในเชิง "ลับ" หรือมีมาตรฐานด้านความมั่นคงสารสนเทศ สามารถใช้ BlackBerry 6 ได้แล้ว

ข่าวนี้ไม่น่าตื่นเต้นมาก เพราะ BlackBerry รุ่นก่อนๆ ก็ได้ใบรับรอง FIPS 140-2 มากันหมดแล้ว เพียงแต่ช่วงนี้ RIM โดนรุกหนักในตลาดองค์กร การที่ได้ใบรับรองนี้มา ย่อมช่วยเพิ่มแต้มต่อในตลาดหน่วยงานรัฐบาลมากขึ้น

Chrome เริ่มรัน Flash ในโหมด Sandbox

By mk

on 2 December 2010 - 09:02 Tag: Security, Adobe Flash, Browser, Chrome

Security

กูเกิลประกาศแผนนี้ไว้ตั้งแต่ต้นปี เมื่อบอกว่าจะรวม Flash Player มากับ Chrome ตอนนี้มันเริ่มแล้ว

Chrome รุ่น Dev Channel บนวินโดวส์จะรัน Flash Player ในโหมด sandbox เพื่อจำกัดความเสียหาย ในกรณีที่มีช่องโหว่ใน Flash และมีโค้ดประสงค์ร้ายเจาะเข้ามา อ่านหลักการทำงานได้จาก Chromium Blog

พบช่องโหว่ในเบราว์เซอร์ Android สามารถเข้าถึงข้อมูลของผู้ใช้ได้

By mk

on 26 November 2010 - 14:17 Tag: Security, Browser, Android

Security

ผู้เชี่ยวชาญด้านความปลอดภัย Thomas Cannon ค้นพบช่องโหว่ในเบราว์เซอร์ของ Android แม้จะไม่สามารถทำอันตรายกับเครื่องได้เพราะเบราว์เซอร์รันใน sandbox แต่ก็สามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้ได้

ช่องโหว่นี้ใช้ประโยชน์จากการที่เบราว์เซอร์ Android ไม่แจ้งเตือนผู้ใช้เมื่อดาวน์โหลดไฟล์ ทำให้ผู้ประสงค์ร้ายสามารถวางลิงก์ล่อไว้ เมื่อกดแล้วจะดาวน์โหลดไฟล์ HTML ที่มีโค้ด JavaScript มาไว้บนเครื่อง ซึ่งโค้ด JavaScript สามารถเข้าถึงไฟล์ส่วนตัวอื่นๆ บนเครื่องได้

WP7 มีระบบเช็ค Genuine Software ป้องกันการนำไปใช้บนเครื่องอื่น

By mk

on 23 November 2010 - 07:12 Tag: Security, Windows Phone 7

Security

ผู้ใช้วินโดวส์รุ่นหลังๆ คงคุ้นเคยกับ Windows Genuine Advantage ซึ่งคอยตรวจสอบว่าวินโดวส์ที่เราใช้เป็นของแท้หรือไม่ สำหรับ WP7 ก็มีระบบคล้ายๆ กัน

รอมของ WP7 จะถูกเข้ารหัสไว้ โดยใช้กุญแจที่ไมโครซอฟท์เรียกว่า PVK (ย่อมาจาก private key) ซึ่งจะผูกกับเมนบอร์ดของเครื่องมือถืออีกทีหนึ่ง และถ้าไม่มีกุญแจอันนี้ จะต้องเปลี่ยนบอร์ดหรือไม่ก็ส่งศูนย์บริการ

WP7 ที่ไม่มีกุญแจจะสามารถทำงานได้บางส่วน แต่ส่วนที่ต้องติดต่อกับอินเทอร์เน็ต เช่น Xbox, Zune, Marketplace จะใช้งานไม่ได้เลย กลุ่มนักพัฒนารอมคงต้องยุ่งกันอีกเยอะกว่าจะแกะได้

Google Chrome เป็นอันดับหนึ่งในรายชื่อแอพฯ ที่มีช่องโหว่ที่มีความร้ายแรงสูง

By nuntawat

on 18 November 2010 - 13:23 Tag: Security, Chrome, Application

Security

บริษัทผู้พัฒนาโซลูชั่นด้านความปลอดภัย Bit9 ได้เผย "Dirty Dozen" หรือรายชื่อแอพพลิเคชันที่มีช่องโหว่ที่มีความร้ายแรงสูง (high severity) มากที่สุด โดยอาศัยข้อมูลจากฐานข้อมูล National Vulnerability Database ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (National Institute of Standards and Technology) ระหว่าง 1 ม.ค.-21 ต.ค.

เว็บหน่วยงานความมั่นคงไต้หวันถูกโจมตีเดือนละ 500,000 ครั้ง กว่าครึ่งมาจากในประเทศ

By lew

on 15 November 2010 - 17:32 Tag: Security, Internet, China

Security

ประเทศที่ภาวะทางการเมืองค่อนข้างตึงเครียดทั้งภายในและภายนอกอย่างไต้หวันนั้น หน่วยงานความมั่นคงกลาง (National Security Bureau - NSB) ย่อมเป็นเป้าหมายการโจมตีมากเป็นพิเศษ ที่น่าสนใจคือการแถลงตัวเลขการโจมตีหน้าเว็บในช่วงสิบเดือนที่ผ่านมา พบว่าต้นกำเนิดจากโจมตีส่วนมากมาจากในประเทศเอง

จำนวนการโจมตีที่มีต้นกำเนิดจากจีนนั้นคิดเป็น 598,000 ครั้ง หรือประมาณ 12% เทียบกับ 3,040,000 ครั้งที่มาจากในเกาะไต้หวันเอง อย่างไรก็ตามเว็บของ NSB รอดการโจมตีทุกครั้งมาได้

AVG ซื้อบริษัท DroidSecurity

By mk

on 11 November 2010 - 08:10 Tag: Security, Israel, Antivirus, Android, AVG

Security

อ่านหัวข่าวก็น่าจะเดาเรื่องกันต่อได้นะครับ บริษัทแอนตี้ไวรัส AVG เข้าซื้อกิจการบริษัทหน้าใหม่ DroidSecurity จากอิสราเอล คิดเป็นมูลค่า 4.1 ล้านดอลลาร์

DroidSecurity ก็ทำธุรกิจตามชื่อบริษัท โดยโปรแกรม ANTIVIRUSFree เป็นหนึ่งในโปรแกรมยอดนิยมบน Android Market มียอดดาวน์โหลดเกิน 4.5 ล้านครั้งแล้ว

อีกไม่นานเราคงเห็นมันเปลี่ยนชื่อเป็น AVG for Android

ที่มา - TechCrunch

Subscribe to Security