Security

เด็กออสเตรเลียวัย 17 เป็นคนโจมตี Twitter

By mk

on 23 September 2010 - 13:54 Tag: Security, Twitter, XSS

Security

จากกรณี Twitter โดน Cross-Site Scripting โจมตี รอบล่าสุด ก็มีการเปิดเผยแล้วว่าเป็นผลงานของ Pearce Delphin ชาวออสเตรเลียวัย 17 ปี

Delphin ให้สัมภาษณ์กับ AFP ว่าเขาต้องการทดลองดูว่าสามารถรันโค้ด JavaScript จากข้อความทวีตได้หรือไม่ (ซึ่งผลก็เห็นๆ กันแล้วว่าได้) แต่เขาไม่นึกว่ามันจะสร้างผลสะเทือนมากถึงขนาดนี้ ตอนที่เขาทวีตไม่เคยนึกเรื่องนี้มาก่อนเลย Delphin พัฒนาโค้ดนี้ขึ้นมาจากโค้ดของคนอื่น ที่ใช้สำหรับเปลี่ยนสีของหน้า profile ให้เป็นไปตามต้องการ

McAf.ee บริการย่อ URL สั้นแบบปลอดภัย

By mk

on 22 September 2010 - 11:56 Tag: Security, McAfee, URL Shortening

Security

จริงๆ ไม่ต้องอธิบายกันมาก ทุกคนน่าจะรู้แล้วว่า McAf.ee เป็นบริการย่อ URL จาก McAfee ส่วนจุดขายนั้นย่อมเป็นเรื่องความปลอดภัยในการกรอง URL ที่อาจเป็นอันตรายผ่าน McAfee Global Threat Intelligence

นี่อาจเป็นโอกาสอันดีของ McAfee เพราะ Twitter เพิ่งโดน XSS ไปพอดี อย่างไรก็ตาม บริการนี้ McAfee อาจไม่เน้นบริการนี้มากนัก แต่เป็นเหมือนเดโมช่วยประชาสัมพันธ์แบรนด์ของบริษัทมากกว่า

Twitter ละเลยการรายงานช่องโหว่จึงถูกโจมตี

By wiennat

on 22 September 2010 - 08:20 Tag: Security, Spam, Twitter

Security

หลังจากที่เมื่อวานช่วงค่ำๆ มีการแพร่กระจายของ XSS ใน Twitter โดยใช้ช่องโหว่ของเว็บไซต์ twitter.com ทำให้มีการ RT ข้อความต่างๆ ที่ผู้ไม่หวังดีกำหนดไว้ได้ ถึงช่องโหว่นี้จะถูกแก้ไขไปในเวลาไม่กี่ชั่วโมงแต่เป็นที่น่าตกใจว่าแท้จริงแล้ว Twitter รู้ว่ามีช่องโหว่นี้อยู่แล้วเป็นเดือนแต่กลับละเลยไม่แก้ไขทันที

Twitter โดน Cross-Site Scripting โจมตีอีกแล้ว

By magnamonkun on 21 September 2010 - 23:52 Tag: Virus, Security, Spam, Twitter, XSS

Virus

หลังจากเหตุการณ์ที่ Twitter โดน XSS Attack ไปครั้งแรกเมื่อปีที่แล้ว วันนี้เว็บ Twitter ก็โดน XSS Attack กันอีกรอบ โดยอาการของการถูกโจมตีในรอบนี้คือ เมื่อเหยื่อเข้าไปที่หน้าเว็บหลัก ก็จะติด Worm ในเครื่องทันที และเมื่อทำการอัพเดทสถานะ สถานะก็จะไม่ใช่ข้อความที่เหยื่อพิมพ์เข้าไป แต่จะเป็นลักษณะ Code HTML ออกมาแทน และเมื่อทำการลากเมาส์ผ่าน ก็จะถูก RT ข้อความนี้โดยอัตโนมัติ

กูเกิลเพิ่ม Two-step Verification, Google Docs แก้ไขไฟล์บน iPad, Android ได้เร็วๆ นี้

By nuntawat

on 21 September 2010 - 08:25 Tag: Google, Security, Google Docs

Google

ขอรวบสองข่าวเป็นข่าวเดียวเลยนะครับ

ข่าวแรก กูเกิลได้เพิ่มฟีเจอร์ two-step verification หรือการพิสูจน์ตัวตน (authentication) โดยใช้รหัสผ่าน (สิ่งที่คุณรู้: something you know) และ OTP ที่ได้รับผ่านโทรศัพท์มือถือ (สิ่งที่คุณมี: something you have) ในการเข้าสู่บริการของกูเกิล โดยเริ่มต้นจะเพิ่มฟีเจอร์นี้ให้กับ Google Apps Premier, Education and Government Edition ก่อน และไม่กี่เดือนหลังจากนั้นกูเกิลจะเพิ่มฟีเจอร์นี้ให้กับ Standard Edition และบัญชีผู้ใช้ส่วนบุคคลที่เหลือ

ข่าวต่อมา กูเกิลประกาศว่าได้ในไม่กี่สัปดาห์หน้าข้างหน้า Google Docs จะสามารถแก้ไขไฟล์บน iPad, Android ได้

อินเทลยืนยันคีย์หลักของ HDCP ที่หลุดออกมาเป็นของจริง, Blu-ray ทุกแผ่นไร้การป้องกันแล้ว

By lew

on 17 September 2010 - 10:46 Tag: Security, DRM, HDCP

Security

เมื่อมีทวิตเตอร์ @IntelGlobalPR ออกมาประกาศว่ามีการแครกเอาคีย์หลักของมาตรฐาน HDCP ออกมาได้นั้น คำถามคือคีย์นั้นเป็นของจริงหรือไม่ และวันนี้ทางอินเทลผู้ประดิษฐ์มาตรฐาน HDCP ก็ออกมายืนยันแล้วว่าคีย์นี้เป็นของจริง

คีย์หลักของ HDCP หลุดแล้ว?

By lew

on 15 September 2010 - 09:33 Tag: Security, DRM, HDCP

Security

ระบบรักษาความปลอดภัยในไฟล์ระดับ HD มักได้รับการเข้ารหัสผ่านทางมาตรฐาน HDCP แต่วันนี้ก็มีข่าวออกมาว่าคีย์หลัก (Master Key) ของ HDCP หลุดออกมายังอินเทอร์เน็ต ทำให้ทุกคนสามารถเข้าใช้อุปกรณ์ที่ไม่ได้รับการรับรองกับมาตรฐาน HDCP ได้ทันที

[ข่าวลือ] HP ซื้ออีก คราวนี้บริษัทความปลอดภัย ArcSight

By mk

on 13 September 2010 - 10:09 Tag: HP, Security, Merging

หลังจากเสร็จศึกชิงนางระหว่าง HP และ Dell โดย HP เป็นฝ่ายชนะ ซื้อ 3PAR สำเร็จในราคา 2.35 พันล้านดอลลาร์ ก็มีข่าวว่า HP เดินหน้าช็อปปิ้งต่อทันที คราวนี้เป็นบริษัทด้านความปลอดภัยองค์กร ArcSight

ตามข่าวบอกว่ามูลค่าการซื้อรอบนี้จะอยู่ที่ 1.5 พันล้านดอลลาร์ ตอนนี้ยังไม่มีคำยืนยันจากทั้ง HP และ ArcSight

ที่มา - AP

เป้าหมายต่อไปของอินเดีย: กูเกิล และ Skype

By nuntawat

on 3 September 2010 - 05:12 Tag: Google, Security, Skype, India

Google

หลังจากอินเดียประสบความสำเร็จกับ RIM ผู้ผลิต BlackBerry ที่จะยอมให้หน่วยงานด้านความปลอดภัยสามารถเข้าถึงคอนเทนต์ที่ถูกเข้ารหัสไว้ได้ตามกฎหมาย อินเดียก็มีเป้าหมายต่อไปที่จะเข้าไปบังคับให้ตนสามารถเข้าไปติดตามคอนเทนต์ได้ คือ กูเกิล และ Skype

ที่อินเดียสนใจทั้งสองบริษัทก็ด้วยเหตุผลเช่นเดียวกับ BlackBerry คือ หน่วยงานด้านความปลอดภัยประสบปัญหาในการติดตามคอนเทนต์ที่วิ่งผ่านบริการดังกล่าว อันเนื่องมาจากการเข้ารหัสที่บริการเหล่านั้นใช้

RIM ได้เวลา 60 วันระหว่างอินเดียพิจารณาข้อเสนอ

By lew

on 31 August 2010 - 10:37 Tag: Security, India, RIM, BlackBerry

Security

ทางการอินเดียยืดเวลาให้บริการ BBM แก่ RIM ไปอีก 60 วันระหว่างที่รัฐบาลอินเดียกำลังพิจารณาข้อเสนอของ RIM นอกจากนี้ทางการอินเดียระบุว่าแผนการของ RIM ที่เสนอมานั้นกำลังถูกวางระบบเพื่อใช้งานในทันที

อย่างไรก็ตามอินเดียไม่ได้ยอมรับว่าข้อเสนอของ RIM เป็นที่น่าพอใจหรือไม่ โดยระบุว่ารัฐบาลอินเดียจะประเมินอีกครั้งหลังจากระบบทั้งหมดวางเสร็จแล้ว

รัฐมนตรีกระทรวงมหาดไทยของอินเดียระบุว่าเจ้าหน้าที่ควรสามารถเข้าถึงข้อมูลของเครือข่ายโทรคมนาคมใดๆ ก็ได้รวมไปถึงผู้ให้บริการที่ทำงานอยู่บนเครือข่ายโทรคมอื่นๆ (เช่น RIM)

Symantec เริ่มโดนกดดันจากกรณีอินเทลซื้อ McAfee

By mk

on 21 August 2010 - 11:39 Tag: Security, Symantec

Security

จากข่าว อินเทลซื้อ McAfee ด้วยเงินสูงถึง 7.68 พันล้านดอลลาร์ ทำให้รายใหญ่ของวงการความปลอดภัยคือ Symantec เริ่มถูกกดดัน เพราะคู่แข่ง McAfee ไปรวมกับยักษ์อย่างอินเทลเรียบร้อยแล้ว

นักวิเคราะห์จาก Goldman Sachs แสดงความเห็นว่า Symantec ควรสร้างพันธมิตรกับบริษัทไอทีรายใหญ่อื่นๆ เช่น HP, IBM, Oracle เพื่อขายโซลูชันด้านความปลอดภัยร่วมกัน เนื่องจากบริษัทเหล่านี้คงไม่ต้องการซื้อกิจการบริษัทความปลอดภัยเพื่อไปชนกับอินเทลตรงๆ

รหัสผ่านควรมีความยาวไม่ต่ำกว่า 12 ตัวอักษร

By kittipat on 21 August 2010 - 06:42 Tag: Security, GPU

Security

Joshua Davis และ Richard Boyd นักวิจัยจาก Georgia Tech Research Institute รายงานว่ารหัสผ่านความยาว 8 ตัวอักษรที่ใช้กันโดยทั่วไปนั้นไม่ปลอดภัยเพียงพอแล้ว เพราะพวกเค้าสามารถแกะรหัสผ่านได้ภายในเวลาไม่ถึง 2 ชั่วโมง โดยใช้เพียง GPU หลายตัวๆ มาร่วมกันถอดรหัสลองทุกรูปแบบ (brute force) ส่วนการถอดรหัสผ่าน 12 ตัวอักษรด้วยพลังการประมวลผลขนาดเท่ากันนี้ จะต้องใช้เวลาถึง 17,134 ปี แต่หากลดลงมาเหลือ 11 ตัวอักษรจะใช้เวลาเพียงแค่ 180 ปีเท่านั้น ดังนั้นความยาว 12 ตัวอักษรจึงเป็นความยาวที่ไม่มากไม่น้อยเกินไป

ระวัง! Facebook ไม่มีปุ่ม Dislike (ถ้าเจอแปลว่าโดนหลอกเข้าแล้ว)

By mk

on 17 August 2010 - 20:47 Tag: Security, Scam, Facebook

Security

ช่วงนี้มี scam ใหม่ระบาดในหมู่ผู้ใช้ Facebook โดยมีลักษณะที่เห็นได้ชัดเจนว่าจะหลอกเราให้กดเพื่อใช้งานปุ่ม Dislike ของ Facebook (ซึ่งไม่มีอยู่จริง ณ ขณะนี้)

เมื่อกดที่ลิงก์ในข้อความ scam เราจะพบหน้าติดตั้งแอพพลิเคชัน Dislike (ซึ่งเป็นหน้าเว็บปลอมๆ) ซึ่งจะหลอกให้ตอบแบบสอบถาม และส่งข้อความ scam ต่อเนื่องบน Facebook status ของเรา

RIM ยอมให้ข้อมูลกับเครื่องมือติดตามการสื่อสารในบริการอีเมลและแชตแก่อินเดีย

By nuntawat

on 16 August 2010 - 06:02 Tag: Security, Internet Censorship, India, RIM, BlackBerry

Security

Wall Street Journal (WSJ) ได้รายงานเมื่อวันเสาร์ที่ผ่านมาว่า บริษัท RIM ได้ยอมให้ข้อมูลและเครื่องมือเพื่อให้หน่วยงานรัฐเข้าไปติดตามการสื่อสารในบริการอีเมลและแชตของ BlackBerry ได้

WSJ ยังอ้างสรุปผลการเจรจาครั้งหนึ่งด้วยว่า RIM ตกลงที่จะเปิดเผยข้อมูลจากอีเมลองค์กรที่ถูกเข้ารหัสไว้ (อาทิ ใครเป็นผู้ส่ง ส่งเมื่อไร ส่งไปถึงใคร) และ RIM ยังยอมที่จะพัฒนาเครื่องมือเพื่อให้หน่วยงานรัฐตรวจดูข้อมูลบนบริการแชตของ third-party อย่าง Gmail อีกด้วย

WSJ กล่าวทิ้งท้ายว่าความพยายามของ RIM นั้นมากเพียงพอที่จะไม่ให้บริการบน BlackBerry ถูกแบนหรือไม่ยังคงไม่มีความแน่นอน

EFF ส่งจดหมายเปิดผนึกถึง Verizon ขอให้ทบทวนสถานะ CA ของ Etisalat

By lew

on 14 August 2010 - 21:04 Tag: Security, SSL, EFF, UAE

Security

ก่อนหน้าข่าวการขู่ปิดบริการ BlackBerry ใน UAE นั้นข่าวใหญ่อีกข่าวหนึ่งคืออัพเดตที่ผู้ใช้บริการได้รับจาก Etisalat นั้นมีมัลแวร์อยู่ภายใน เหตุการณ์นี้เกิดขึ้นได้เพราะ Etisalat นั้นเป็น CA ระดับกลางทีี่ได้รับการรับรองจาก Verizon ที่เป็น root CA อีกทีหนึ่ง

การอัพเดตเครื่อง BlackBerry โดยส่งมัลแวร์ไปอย่างจงใจจากผู้ให้บริการเองทำให้ EFF ขอให้ Verizon พิจารณาที่จะถอดความเป็น CA ออกจาก Etisalat เนื่องจากสถานะ CA ชั้นกลางนี้ทำให้ Etisalat สามารถปลอมแปลงหน้าจอ HTTPS ของเว็บที่เข้ารหัสเช่น Gmail, EFF, Google จนถึงเว็บ Verizon เองได้

แอปเปิลออก iOS 4.0.2 ปิดรูรั่ว PDF

By mk

on 12 August 2010 - 14:43 Tag: Apple, Security, iOS

Apple

หลังจากมีการค้นพบรูโหว่ด้าน PDF ใน iOS ซึ่งเป็นรูที่โปรแกรม JailbreakMe ใช้ ทางแอปเปิลก็ได้แถลงเมื่อไม่กี่วันก่อนว่าจะรีบอุดช่องโหว่นี้โดยเร็ว

วันนี้มันมาแล้วในรูป iOS 4.0.2 สำหรับ iPod และ iPhone ส่วนคนที่ใช้ iPad จะต้องใช้ iOS 3.2.2 แทน อันนี้ก็อัพกันเองตามสะดวกครับ

ที่มา - Redmond Pie

Kaspersky ประกาศเตือนพบโทรจันบน Android

By pawinpawin

on 10 August 2010 - 23:42 Tag: Security, Android, Trojan

Security

ปกติเราไม่ค่อยได้ยินข่าวไม่ดีเกี่ยวกับความปลอดภัยของโปรแกรมบน Android กันสักเท่าไหร่ แต่วันนี้เหล่าผู้ใช้ Android ที่ชอบลองโปรแกรมใหม่ๆ ก็คงต้องเริ่มระวังตัวกันบ้างแล้วครับ

Kaspersky ได้เปิดเผยว่าได้ค้นพบโทรจันตัวแรกที่ทำงานบนระบบปฏิบัติการ Android ที่ชื่อว่า Trojan-SMS.AndroidOS.FakePlayer.a ซึ่งจะมาในรูปของโปรแกรมเล่นไฟล์มัลติมีเดียธรรมดาๆ แต่โปรแกรมนี้จะแอบส่ง SMS โดยไม่บอกผู้่ใช้ ทำให้เกิดค่าใช้จ่ายขึ้นโดยที่ผู้ใช้นั้นไม่ทันรู้ตัว เป็นที่คาดกันว่าโปรแกรมนี้จะแพร่กระจายทางการดาวน์โหลดไฟล์นามสกุล .APK ผ่านหน้าเว็บ (ไม่ได้ผ่าน Android Market ที่น่าจะปลอดภัยกว่า)

ระบบจัดการเนื้อหาโอเพนซอร์สไม่ปลอดภัย ... จริงเหรอ

By overbid

on 10 August 2010 - 12:28 Tag: Open Source, Security, Drupal, WordPress, CMS

Open Source

BlindElephant เป็นซอฟต์แวร์ command-line โอเพนซอร์สสำหรับดูรายละเอียดเว็บอื่น ๆ ว่าใช้ระบบจัดการเนื้อหาตัวใดและรุ่นไหน และได้มีการทดสอบเรียกใช้งานกับคอมพิวเตอร์แม่ข่ายล้านกว่าตัว ดังผลที่ปรากฏในรายงาน Web Application Fingerprinting and Vulnerability Inferencing และจากการที่เรารู้ว่าใช้ระบบจัดการเนื้อหาตัวใดและใช้รุ่นไหน แล้วถ้าผู้ดูแลระบบไม่มีการปรับปรุงตัวซอฟต์แวร์ไปใช้รุ่นที่ปลอดภัย จะทำให้สามารถสามารถเจาะระบบเข้าไปอย่างไม่ยาก

RIM อาจตั้งเซิร์ฟเวอร์ในซาอุดีอาระเบียเพื่อแก้ปัญหาการแบน BlackBerry

By nuntawat

on 7 August 2010 - 10:50 Tag: Security, RIM, Saudi Arabia, BlackBerry

Security

หลังจาก BlackBerry โดนแบนในสหรัฐอาหรับเอมิเรตส์กับซาอุดีอาระเบีย (และอาจรวมอินโดนีเซียกับเลบานอนในอนาคต) ล่าสุดแหล่งข่าวได้บอกสำนักข่าวรอยเตอร์ว่า RIM มีแนวคิดที่จะตั้งเซิร์ฟเวอร์ในซาอุดีอาระเบียเพื่อแก้ปัญหาดังกล่าว โดยข้อเสนอที่ส่งให้กับคณะกรรมการการสื่อสารและเทคโนโลยีสารสนเทศ (Communications and Information Technology Commission) มี 2 แนวทาง ค

ซีอีโอ RIM: "ถ้าไม่สามารถจัดการกับอินเทอร์เน็ตได้ พวกเขาก็ควรปิดมันซะ!"

By nuntawat

on 5 August 2010 - 14:46 Tag: Security, RIM, BlackBerry

Security

ซีอีโอร่วมบริษัท RIM คุณ Mike Lazaridis ได้กล่าวตอบโต้ประเด็นที่ BlackBerry โดนแบนใน UAE และซาอุดีอาระเบีย (และอินโดนีเซียอาจแบนด้วยในอนาคต) รวมถึงอินเดียที่ตอนนี้ RIM ยอมที่จะเปิดให้รัฐบาลเข้าตรวจสอบข้อความในระบบนั้นผ่านไปแล้ว โดยเขากล่าวว่า

Subscribe to Security