Tailscale เปิดบริการ Funnel เปิดทางเชื่อมต่อเข้าเซิร์ฟเวอร์ผ่านอินเทอร์เน็ต

By lew Founder on Tag: Tailscale, HTTPS, Security
Tailscale

Tailscale ผู้ให้บริการเครือข่ายส่วนตัวผ่านอินเทอร์เน็ต (คล้าย VPN) เปิดบริการ Tailscale Funnel เพื่อให้เครื่องอื่นๆ นอกเครือข่าย tailnet สามารถเข้าถึงเซิร์ฟเวอร์ภายในได้ด้วย

บริการ Funnel ทำให้ Tailscale ให้บริการคล้ายกับบริการอย่าง Cloudflare Tunnel ยิ่งขึ้นโดยผู้ใช้ไม่ต้องมีโดเมนเป็นของตัวเอง แต่ใช้โดเมน .ts.net ของ Tailscale

ทาง Tailscale จะส่งแพ็กเก็ตของผู้ใช้แบบที่เข้ารหัสไปยังโหนดของลูกค้าโดยตรงไม่มีการถอดรหัสระหว่างทาง และทาง Tailscale ยืนยันว่าลูกค้าสามารถตรวจสอบได้ว่าทางบริษัทไม่ได้ออกใบรับรองเข้ารหัสสำหรับโดเมน .ts.net เพื่อดักฟังข้อมูล

Read more

1Password เปิดตัว Passkeys ระบบล็อกอินไม่ต้องใช้รหัสผ่าน

By nismod Writer on Tag: 1Password, Security, Authentication, Passkey
1Password

1Password ผู้ให้บริการ Password Manager เปิดตัวระบบ Passkey ซึ่งเป็นมาตรฐาน WebAuthen ที่ FIDO Alliance พัฒนาร่วมกับ W3C ให้ผู้ใช้สามารถล็อกอินบริการต่างๆ ได้โดยไม่ต้องใช้พาสเวิร์ดอีกต่อไป

จุดที่ 1Password โชว์คือการรองรับการซิงก์ข้ามแพลตฟอร์ม, แชร์ Passkeys กับครอบครัวหรือการพอร์ตข้อมูล โดยลูกค้า 1Password จำเป็นจะต้องใช้ส่วนเสริมบน Chrome เพื่อใช้งาน Passkeys และจะเริ่มให้บริการจริงช่วงต้นปี 2023

ที่มา - 1Password

Read more

ดราม่ายังไม่จบ FTX Wallet โดนแฮ็ก แฮ็กเกอร์โอนถ่ายเหรียญออกไปมูลค่า 600 ล้านดอลลาร์

By mk Founder on Tag: FTX, Cryptocurrency, Hacking, Security
FTX

ดราม่า FTX ยังไม่จบลงง่ายๆ แม้ยื่นขอล้มละลายไปแล้ว ล่าสุด FTX รายงานปัญหาผ่านห้องแชทใน Telegram ว่าโดนแฮ็กที่แอพ FTX Wallet ทำให้แฮ็กเกอร์สามารถโอนเงินคริปโตออกไปได้เป็นมูลค่า 600 ล้านดอลลาร์ (บางแห่งก็บอก 400 ล้านดอลลาร์)

Read more

นักวิจัยพบช่องโหว่ปลดล็อคหน้าจอมือถือ Pixel แบบไม่ต้องรู้รหัส, กูเกิลแก้แล้วในแพทช์ล่าสุด

By BlackMiracle Writer on Tag: Google Pixel 7, Security, Google
Google Pixel 7

David Schütz นักวิจัยด้านความปลอดภัยจากฮังการีได้เปิดเผยช่องโหว่บนมือถือ Google Pixel ทุกรุ่น สามารถปลดล็อคหน้าจอมือถือของเหยื่อได้โดยไม่ต้องทราบรหัส ล่าสุดกูเกิลอุดช่องโหว่นี้แล้วในแพทช์ล่าสุดเดือนพฤศจิกายน

Read more

อัพเดตด่วน Patch Tuesday เดือน พ.ย. 2022 มีช่องโหว่ Windows 4 ตัวที่พบการโจมตีแล้ว

By mk Founder on Tag: Microsoft, Windows, Security Patch, Security, Exchange
Microsoft

เมื่อคืนนี้ ไมโครซอฟท์ออกแพตช์ความปลอดภัย Patch Tuesday รอบเดือนพฤศจิกายน 2022 มีแพตช์สำคัญ 4 ตัวของ Windows และ 2 ตัวของ Exchange Server ที่ควรอัพเดตกันด่วน เนื่องจากพบการโจมตีช่องโหว่เหล่านี้แล้ว

ช่องโหว่ 4 ตัวของ Windows กระจายกันไปหลายด้าน เช่น Windows Scripting Languages, Web Security, Print Spooler, CNG Key Isolation กระทบกับ Windows ทุกเวอร์ชัน (ที่ยังอยู่ในระยะซัพพอร์ตคือ 10, 11 และ Windows Server 2016, 2019, 2022) ส่วนช่องโหว่ของ Microsoft Exchange กระทบตั้งแต่เวอร์ชัน 2013, 2016, 2019

Read more

ไมโครซอฟท์ออกรายงานการโจมตีไซเบอร์ปี 2022 พบชาตินาโต้ถูกโจมตีโครงสร้างสำคัญเพิ่มขึ้น แฮกเกอร์จีนใช้ zero-day มากขึ้น

By lew Founder on Tag: Microsoft, Security
Microsoft

ไมโครซอฟท์ออกรายงาน Microsoft Digital Defense Report 2022 รายงานถึงภัยไซเบอร์และการป้องกันในช่วงปีที่ผ่านมา ความเปลี่ยนแปลงสำคัญคือการโจมตีโครงสร้างพื้นฐานสำคัญยิ่งยวด (critical infrastructure) เพิ่มขึ้นอย่างรวดเร็ว ในช่วงหลังจากรัสเซียเริ่มโจมตียูเครน ทำให้โครงสร้างไอทีในชาตินาโต้ถูกโจมตีไปด้วย

รายงานยังระบุถึงกลุ่มแฮกเกอร์จีนว่าใช้งานช่องโหว่ที่ไม่เคยมีรายงานมาก่อน (zero-day) เพิ่มขึ้นเรื่อยๆ โดยการใช้ช่องโหว่เหล่านี้เพิ่มขึ้นสอดคล้องกับการประกาศกฎหมายรายงานช่องโหว่ซอฟต์แวร์ที่ต้องแจ้งรัฐบาลก่อนเสมอ

Read more

systemd ออกเวอร์ชั่น 252 ล็อกเคอร์เนลเข้ากับดิสก์เข้ารหัส

By lew Founder on Tag: systemd, Security
systemd

systemd ออกเวอร์ชั่น 252 เมื่อสัปดาห์ที่ผ่านมา โดยเปลี่ยนระบบการบูตใหม่ ไปใช้ unified kernel image (UKI) อิมเมจของเคอร์เนลลินุกซ์ที่รวมกับอิมเมจของ /initrd/, และ UEFI boot stub เข้าไว้ด้วยกัน เพื่อปิดช่องโหว่การโจมตีดิสก์เข้ารหัสด้วยการเปลี่ยนเคอร์เนลระหว่างรัน

Read more

Dropbox ถูกเจาะระบบผ่าน Phishing แฮ็กเกอร์เข้าถึงซอร์สโค้ดบางส่วน-ข้อมูลพนักงาน

By mk Founder on Tag: Dropbox, Phishing, Security, Hacking, Data Breach
Dropbox

Dropbox เปิดเผยว่าถูกแฮ็กเข้าระบบจัดการซอร์สโค้ดภายใน (เป็น GitHub แบบบัญชีองค์กร) โดยแฮ็กเกอร์ใช้วิธี phishing หลอกเอาล็อกอิน สามารถเข้าถึงซอร์สโค้ดจำนวน 130 repositories และข้อมูลพนักงาน-คู่ค้าจำนวนหนึ่ง แต่เข้าไม่ถึงซอร์สโค้ดของแอพหลัก และข้อมูลทั้งหมดของลูกค้า

Dropbox บอกว่าได้รับแจ้งเตือนจาก GitHub ที่ตรวจพบความเคลื่อนไหวผิดปกติของบัญชีนักพัฒนา หลังสอบสวนแล้วพบว่าบัญชีถูกแฮ็ก โดยแฮ็กเกอร์ปลอมตัวเป็นอีเมลของระบบ CircleCI บริการ CI/CD ที่ Dropbox ใช้งาน หลอกเอา API key ของบัญชีพนักงานรายหนึ่งไปได้

Read more

OpenSSL ออกอัพเดต 3.0.7 ช่องโหว่เปิดทางยิงใบรับรองรันโค้ดบนเครื่องของเหยื่อแต่โจมตียาก ลดความร้ายแรงเหลือระดับสูง

By lew Founder on Tag: OpenSSL, Security
OpenSSL

OpenSSL ออกอัพเดต 3.0.7 ตามที่ประกาศไว้ก่อนหน้านี้ อย่างไรก็ดีทางโครงการระบุว่าเมื่อวิเคราะห์ช่องโหว่แล้วพบว่าการโจมตีทำได้ยากกว่าที่คิดตอนแรก ทำให้ความร้ายแรงจากระดับวิกฤติเหลือระดับร้ายแรงสูง

Read more

mitmproxy ออกเวอร์ชั่น 9 มี Wireguard VPN มาให้ในตัว, รองรับ UDP

By lew Founder on Tag: HTTP, Security, Open Source
HTTP

mitmproxy พรอกซี่สำหรับตรวจสอบข้อมูลที่เข้ารหัส เช่น HTTPS เปิดตัวเวอร์ชั่น 9 โดยเพิ่มฟีเจอร์สำคัญสองอย่างคือการดัก UDP และมี Wireguard มาในตัว

การดักฟัง UDP นั้นใช้ได้ทั้ง UDP ธรรมดา และ DTLS ที่เข้ารหัส ทำให้โดยรวมแล้วผู้ใช้จะสามารถส่องข้อมูลการเชื่อมต่อโปรโตคอลเข้ารหัสได้เหมือน TLS ปกติ

Read more

Fedora 37 เลื่อนวันออก เพราะรอแพตช์ความปลอดภัย OpenSSL ระดับวิกฤต

By mk Founder on Tag: Fedora, Linux, OpenSSL, Open Source, Security
Fedora

โครงการ Fedora ประกาศเลื่อนการออก Fedora 37 เป็นกรณีพิเศษ เนื่องจากช่องโหว่ระดับวิกฤตของ OpenSSL ที่จะเปิดเผยต่อสาธารณะในวันอังคารหน้า ทำให้ทีม Fedora ตัดสินใจรอแพตช์ OpenSSL ให้เรียบร้อยก่อนออกเวอร์ชัน 37 ตัวจริง (เดิมมีกำหนดออก 8 พฤศจิกายน)

ทีม Fedora บอกว่าตอนนี้ยังไม่รู้ข้อมูลที่ชัดเจนว่าช่องโหว่ OpenSSL ร้ายแรงแค่ไหน แต่การที่ระดับของช่องโหว่เป็น critical ทำให้ทีมงานตัดสินใจรอแพตช์ก่อน เพื่อลดผลกระทบของการใช้ดิสโทรที่มีช่องโหว่ติดไปด้วย ซึ่งเป็นการตัดสินใจเลือกระหว่างเวลา-คุณภาพ

Read more

OpenSSL แจ้งเตือน เตรียมปล่อยแพตช์อุดช่องโหว่ความปลอดภัยระดับวิกฤติ วันอังคารหน้า

By lew Founder on Tag: OpenSSL, Security
OpenSSL

OpenSSL ประกาศแจ้งเตือนล่วงหน้าว่าโครงการกำลังออกแพตช์ความปลอดภัยแก้ไขช่องโหว่ระดับวิกฤติ โดยช่องโหว่นี้กระทบ OpenSSL ในตระกูล 3.0 เท่านั้น และจะออกแพตช์เป็น OpenSSL 3.0.7

เวลาที่ออกแพตช์คือวันที่ 1 พฤศจิกายนที่จะถึงนี้ ช่วงเวลาระหว่าง 2 ทุ่มถึงเที่ยงคืนตามเวลาประเทศไทย

Read more

Microsoft ทำข้อมูลภายในและข้อมูลสำคัญของลูกค้าหลุดออกไป 2.4 TB

By ตะโร่งโต้ง Writer on Tag: Microsoft Azure, Microsoft, Security, Data Breach
Microsoft Azure

SOCRadar บริษัทด้านความปลอดภัยไซเบอร์ได้เปิดเผยรายงานระบุว่า Microsoft ทำข้อมูลภายในรั่วไหล ซึ่งเป็นข้อมูลที่เก็บตั้งแต่ปี 2017 มาจนถึงเดือนสิงหาคมปีนี้ รวมปริมาณ 2.4 TB

Read more

พบช่องโหว่ Buffer Overflow ในโค้ด SHA-3 ตัวดั้งเดิม

By lew Founder on Tag: Security, Hash
Security

Nicky Mouha นักวิจัยกระบวนการเข้ารหัสลับรายงานถึงช่องโหว่ buffer overflow ในฟังก์ชั่นแฮช SHA-3 ของไลบรารี XKCP ซึ่งเป็นไลบรารีดั้งเดิมของทีมงานออกแบบกระบวนการแฮช Keccak และเสนอเข้าแข่งขัน SHA-3 จนชนะเป็นมาตรฐาน

ช่องโหว่นี้อาศัยการเรียกฟังก์ชั่นแฮช SHA-3 ด้วยข้อมูลขนาด 4GB จนซอฟต์แวร์ภายในเกิด integer overflow ความน่ากังวลของช่องโหว่นี้คือโค้ดถูกเขียนตั้งแต่ปี 2011 และมีการตรวจสอบจากหลายคนในช่วงแข่งขันเลือก SHA-3 และโค้ดนี้ถูกนำไปใช้ในไลบรารีจำนวนมาก

Read more

Open Compute เปิดตัวโครงการ Caliptra สเปกกลางใช้ตรวจสอบ Root of Trust ของชิป

By mk Founder on Tag: Open Compute, Security, Hardware, SoC
Open Compute

โครงการโอเพนซอร์สฮาร์ดแวร์ Open Compute Project (OCP) ร่วมกับบริษัทยักษ์ใหญ่หลายรายคือ AMD, Google, Microsoft, NVIDIA เปิดตัวโครงการ Caliptra การสร้าง "รากแห่งความเชื่อถือ" (root of trust หรือ RoT) ลงไปที่ระดับชิปทุกประเภท

Read more

SCB Easy ปล่อยอัพเดตป้องกันการบันทึกหน้าจอระหว่างทำธุรกรรม

By lew Founder on Tag: SCB, Security
SCB

ธนาคารไทยพาณิชย์ประกาศอัพเดตแอป SCB Easy เวอร์ชั่นใหม่ห้ามไม่ให้บันทึกหน้าจอระหว่างการทำธุรกรรม โดยจะเริ่มปล่อยอัพเดตตั้งแต่วันที่ 17 ตุลาคมนี้

Read more

กูเกิลเปิดบริการ Passkey บนแอนดรอยด์และ Chrome ล็อกอินไม่ต้องใช้รหัสผ่านอีกต่อไป

By lew Founder on Tag: Android, Security, Authentication, Passkey, Chrome, Google
Android

กูเกิลประกาศรองรับการล็อกอินแบบ Passkey บนโทรศัพท์แอนดรอยด์และเบราว์เซอร์โครม หลังจากก่อนหน้านี้แอปเปิลรองรับไปก่อนแล้ว ทำให้สามารถใช้โทรศัพท์ล็อกอินบริการต่างๆ ได้โดยไม่ต้องตั้งรหัสผ่านอีกต่อไป

Read more

หลุดซอร์สโค้ด BIOS/UEFI ของซีพียู​ Alder Lake, อินเทลบอกถ้าหาช่องโหว่เจอ เชิญรับรางวัล

By mk Founder on Tag: Intel, Security, BIOS, UEFI, Alder Lake
Intel

ก่อนหน้านี้ไม่นานมีคนอ้างว่าได้ซอร์สโค้ด BIOS/UEFI ของซีพียู​ Alder Lake (12th Gen) หลุดออกมาเผยแพร่ตามเว็บบอร์ดต่างๆ ล่าสุดอินเทลยืนยันแล้วว่าเป็นซอร์สโค้ดที่หลุดมาจริงๆ

อินเทลบอกว่าการหลุดของซอร์สโค้ดรอบนี้จะไม่กระทบกับช่องโหว่ความปลอดภัยใดๆ และบอกว่าซอร์สโค้ดอยู่ภายใต้โครงการ Bug Bounty อยู่แล้ว ดังนั้นถ้านักวิจัยความปลอดภัยมาอ่านซอร์สโค้ดแล้วเจอช่องโหว่ใหม่ ก็มารับรางวัลได้เลย (สูงสุด 100,000 ดอลลาร์ต่อช่องโหว่)

Read more

Binance บอกบล็อกเชนกระจายศูนย์ไม่ได้ออกแบบมาให้หยุดรัน แต่เราหยุดมันเพื่อป้องกันการแฮ็ก

By mk Founder on Tag: Binance, Blockchain, Security, Hacking
Binance

Binance อัพเดตความคืบหน้าของเหตุการณ์การแฮ็ก Binance Smart Chain ที่เกิดขึ้นเมื่อวานนี้

บริการเหรียญ BNB ของ Binance มีบล็อกเชนอยู่สองสายเชนคือ BNB Beacon Chain (BEP2) ที่มีเฉพาะเหรียญตัวเอง และ BNB Smart Chain (BEP20 หรือ BSC) ที่เข้ากันได้กับ Ethereum และใช้กับเหรียญอื่นได้ด้วย

Read more

Meta เตือน พบแอปมือถือกว่า 400 แอป พยายามเข้าถึง Full Access ผ่าน Facebook Login

By arjin Writer on Tag: Meta, Facebook, Security, Mobile App
Meta

Meta ออกคำเตือนด้านความปลอดภัย ระบุว่าทีมวิจัยพบแอปใน Android และ iOS มากกว่า 400 แอป ที่ออกมาในปีนี้ มีเป้าหมายเพื่อขโมยข้อมูลล็อกอิน Facebook และเข้าถึงการใช้งานแบบ Full Access ซึ่งแอปเหล่านี้สามารถดาวน์โหลดได้ผ่าน Google Play Store หรือ Apple App Store จำนวนผู้ใช้งานที่ได้รับผลกระทบมีประมาณ 1 ล้านคน

ทีมวิจัยของ Meta ไม่ได้ระบุรายชื่อแอปที่พบปัญหาดังกล่าว แต่ยกตัวอย่างการทำงานของแอปกลุ่มนี้ เช่น แอปแต่งรูป ที่บอกว่าเปลี่ยนรูปเซลฟี่ให้เป็นตัวการ์ตูน, แอป VPN ที่บอกว่าทำให้เล่นเน็ตเร็วขึ้น, แอปที่บอกว่าแฟลชมือถือจะสว่างขึ้น, แอปเกมที่พูดคุณสมบัติกราฟิก 3D เกินจริง, แอปดูดวง ฯลฯ

Read more
Subscribe to Security