Security

กูเกิลแจกฮาร์ดแวร์คีย์ 10,000 ชิ้นให้นักข่าว-นักเคลื่อนไหว ป้องกันภัยจากการสอดส่อง

By mk

on 9 October 2021 - 15:14 Tag: Google, Security, Authentication

Google

กูเกิลประกาศแจกคีย์ความปลอดภัย 10,000 ชิ้นให้กับนักข่าว นักการเมือง นักเคลื่อนไหวทั่วโลก ที่กำลังเผชิญการสอดส่องโดยรัฐ และอาจถูกแฮ็กบัญชีเพื่อดูว่าทำอะไรอยู่

บัญชีกูเกิลมีฟีเจอร์ใช้งานความปลอดภัยระดับสูง (Advanced Protection Program หรือ APP) ที่บังคับต้องล็อกอินด้วยคีย์ฮาร์ดแวร์เท่านั้น ช่วยยกระดับความปลอดภัยของบัญชีเพิ่มอีกมาก กูเกิลจึงตัดสินใจแจกคีย์เพื่อให้คนที่มีความเสี่ยงสูงเหล่านี้ สามารถใช้งาน APP ได้ด้วย

Apache แก้ไขช่องโหว่อ่านไฟล์อีกรอบ หลังแพตช์ที่แล้วแก้ไขไม่ครบถ้วน

By lew

on 8 October 2021 - 08:10 Tag: Apache, Security

Apache

Apache ออกแพตช์ให้ Apache HTTP Server อีกครั้งหลังแพตช์ก่อนหน้านี้ที่แก้ไขช่องโหว่อ่านไฟล์นอก document root (CVE-2021-41773) เพียงสามวันเนื่องจากแพตช์ก่อนหน้านี้ไม่สมบูรณ์ทำให้คนร้ายยังคงโจมตีได้อยู่

ช่องโหว่นี้ถูกโจมตีไปแล้วในสัปดาห์นี้ และมีการสแกนเซิร์ฟเวอร์ที่ได้รับผลกระทบอย่างต่อเนื่อง ควรรีบติดตั้งแพตช์ทันที

ที่มา - Apache

ไมโครซอฟท์รายงานภัยไซเบอร์ปี 2021 การโจมตีส่วนมากมาจากรัสเซีย, Ransomware โจมตีกลุ่มค้าปลีกหนักสุด

By lew

on 8 October 2021 - 01:32 Tag: Microsoft, Security, Ransomware

Microsoft

ไมโครซอฟท์ออกรายงานการป้องกันภัยไซเบอร์ประจำปี 2021 ซึ่งครอบคลุมเหตุการณ์ช่วงกลางปี 2020 จนถึงกลางปี 2021 ที่ผ่านมา แสดงถึงระดับภัยที่สูงขึ้นในปีที่ผ่านมา ระบบเศรษฐกิจของกลุ่มคนร้ายในโลกไซเบอร์มีระบบเศรษฐกิจหมุนเวียนในตัวเอง

การโจมตีรูปแบบต่างๆ มีค่าใช้จ่ายเฉลี่ย เช่น ค่าเจาะระบบ 250 ดอลลาร์ (8,000 บาท), ค่าใช้มัลแวร์เรียกค่าไถ่ 66 ดอลลาร์ (2,000 บาท), ค่ารหัสผ่านที่ถูกเจาะ 0.97 ดอลลาร์ (30 บาท) ต่อ 1,000 รายการ, ค่าส่งเมลหลอกลวงแบบเจาะจง (spearphishing) ครั้งละ 100 - 1,000 ดอลลาร์ (3,400 - 34,000 บาท)

Google เตรียมบังคับเปิดการยืนยันตัวตน 2 ขั้นผ่านมือถือ ภายในสิ้นปีนี้

By nismod

on 6 October 2021 - 09:08 Tag: Google, Authentication, Security

Google

Google เคยประกาศช่วงเดือนพฤษภาคมว่าจะบังคับการยืนยันตัวตน 2 ขั้น (2FA/2SV) แบบดีฟอลต์ แต่ยังไม่ระบุช่วงเวลา

พบช่องโหว่ใน Apache HTTP Server อ่านไฟล์นอกโฟลเดอร์ที่กำหนดได้ เริ่มถูกโจมตีแล้ว

By lew

on 6 October 2021 - 00:46 Tag: Apache, Security

Apache

Apache รายงานแก้ไขช่องโหว่ CVE-2021-41773 ของ Apache HTTP Server ที่เปิดทางให้คนร้ายสามารถเข้าถึงไฟล์นอก document root ได้ เปิดทางให้คนร้ายอ่านข้อมูลที่ไม่ควรอ่านได้ เช่น สคริปต์ CGI จนอาจนำไปสู่การโจมตีส่วนอื่นๆ ของระบบในที่สุด

ช่องโหว่นี้เกิดจากโค้ดที่เพิ่งใส่เข้ามาในเวอร์ชั่น 2.4.49 ที่เพิ่งออกเมื่อกลางเดือนกันยายนที่ผ่านมา โดยโค้ดส่วนตรวจสอบตำแหน่ง (path) ของไฟล์ ไม่ได้ตรวจสอบในกรณีที่ URL เข้ารหัส (encode) มา ทำให้แฮกเกอร์สามารถใช้ "%2E" แทนจุดเพื่อออกนอกโฟลเดอร์ที่กำหนดได้

YubiKey Bio กุญแจล็อกอินพร้อมสแกนลายนิ้วมือจาก Yubico พร้อมวางจำหน่ายแล้ว เริ่มต้น 80 ดอลลาร์

By nutmos

on 5 October 2021 - 21:38 Tag: Yubico, Security, Authentication, U2F

Yubico

Yubico เปิดตัวกุญแจ YubiKey Bio Series กุญแจล็อกอินสองขั้นตอนตามมาตรฐาน FIDO ที่จะตรวจสอบลายนิ้วมือผู้ใช้ก่อนที่จะล็อกอินมาแล้วก่อนหน้านี้ ล่าสุด Yubico ก็ได้ประกาศเปิดวางจำหน่ายอย่างเป็นทางการแล้ว

Yubico ระบุว่า ตัว YubiKey Bio รองรับทั้ง FIDO2/WebAuthn, U2F และ YubiKey Enterprise โดยภายในตัวกุญแจใช้ three-chip architecture โดยตัวเก็บลายนิ้วมือจะแยกออกจาก secure element เพื่อป้องกันการโจมตีทาง physical ได้ดียิ่งขึ้น

ผลทดสอบ Windows 11 ประสิทธิภาพเล่นเกมตกลง 25% เพราะฟีเจอร์ความปลอดภัย VBS

By mk

on 4 October 2021 - 10:17 Tag: Windows 11, Security, Operating System, Games, Benchmark

Windows 11

เว็บไซต์ PCGamer ลองทดสอบการเล่นเกมบน Windows 11 แล้วพบว่าฟีเจอร์ความปลอดภัย Virtualization-Based Security (VBS) ส่งผลต่อประสิทธิภาพของเกม ทำเฟรมเรตลดลงเฉลี่ยประมาณ 25%

Virtualization-Based Security (VBS) เป็นชุดฟีเจอร์ความปลอดภัยที่อิงกับ hypervisor มีมาตั้งแต่ Windows 10 แต่ไม่ถูกเปิดใช้เป็นดีฟอลต์ (อยู่ในหมวด Device Security) หากอัพเกรดเครื่องจาก Windows 10 เป็น Windows 11 ก็จะยังไม่เปิดใช้งาน แต่ถ้าเป็น Windows 11 ที่มาพร้อมเครื่อง OEM จะถูกเปิดเป็นดีฟอลต์

1Password เปิดตัว Masked Email ฟีเจอร์ generate อีเมลแอดเดรสใช้กับบริการออนไลน์ ไม่ต้องกรอกอีเมลจริง

By nutmos

on 28 September 2021 - 21:36 Tag: 1Password, Email, Security, Privacy

1Password

1Password เปิดตัวฟีเจอร์ Masked Email เป็นฟีเจอร์ generate อีเมลแอดเดรสสำหรับใช้ล็อกอินบนเว็บไซต์ต่าง ๆ เพื่อให้ฟอร์เวิร์ดอีเมลเข้าอีเมลอีกทีหนึ่งโดยไม่ต้องกรอกอีเมลจริง ซึ่งฟีเจอร์นี้ 1Password ร่วมมือกับ Fastmail เพื่อให้บริการนี้ สามารถใช้งานได้ผ่าน 1Password ทุกแพลตฟอร์ม

ฟีเจอร์ Masked Email ของ 1Password จะเหมือนกับ Hide My Email ของ Sign in with Apple คือจะสร้างอีเมลแอดเดรสขึ้นมาเพื่อให้เอาไปใส่ในเว็บไซต์ที่ต้องการอีเมลโดยไม่ต้องใส่อีเมลจริง แต่ถ้ามีอีเมลส่งเข้ามาที่อีเมลแอดเดรสนี้ Fastmail จะฟอร์เวิร์ดเข้าอีเมลหลักอีกทีหนึ่ง

นักวิจัยโวยแอปเปิลไม่แพตช์ช่องโหว่ iOS แม้รายงานไปแล้วครึ่งปี

By lew

on 28 September 2021 - 13:38 Tag: Apple, Security, iOS

Apple

Denis Tokarev นักวิจัยความปลอดภัยเปิดเผยช่องโหว่ช่อง 3 รายการของ iOS กระทบถึง iOS 15.0 ทำให้แอปในเครื่องสามารถเข้าถึงข้อมูลผู้ใช้โดยไม่ได้รับอนุญาต โดยเขาส่งรายงานไปยังแอปเปิลในช่วง 10 มีนาคม ถึง 29 เมษายนที่ผ่านมา แต่แอปเปิลกลับไม่แพตช์ช่องโหว่เหล่านี้

แอปเปิลตอบกลับ Tokarev ครั้งสุดท้ายเมื่อวันที่ 25 สิงหาคมที่ผ่านมา และเขายื่นคำขาดว่าจะเปิดเผยช่องโหว่ในวันที่ 13 กันยายน (เขาเปิดเผยซอร์สโค้ดในวันที่ 24 กันยายน) หลังจากช่องโหว่ถูกเปิดเผยแล้วทางแอปเปิลจึงติดต่อกลับ พร้อมกับขออภัยที่ตอบล่าช้าและระบุว่ากำลังสอบสวนช่องโหว่นี้อยู่

Apple ออกอัพเดต iOS 12.5.5 สำหรับ iPhone และ iPad รุ่นเก่า แก้ไขช่องโหว่ Zero-Day

By arjin

on 24 September 2021 - 08:30 Tag: iOS 12, iOS, Security, Apple, Catalina

iOS 12

แอปเปิลออกอัพเดตระบบปฏิบัติการ iOS 12.5.5 สำหรับ iPhone และ iPad รุ่นเก่า ที่ไม่สามารถอัพเดตเป็น iOS เวอร์ชันล่าสุด iOS 15 ได้

ผู้ใช้งานสามารถอัพเดตแบบ OTA ได้ที่ Settings > General > Software Update

แอปเปิลระบุว่าอัพเดตนี้เป็นการแก้ไขช่องโหว่ความปลอดภัย ทั้ง CoreGraphics, WebKit และ XNU ซึ่งมีรายงานการโจมตีแล้ว จึงแนะนำให้ผู้ใช้งานอัพเดตทันที

อุปกรณ์รุ่นเก่าที่สามารถอัพเดต iOS 12.5.5 นี้ได้ ได้แก่ iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch (6th Gen)

นักวิจัยไล่จดโดเมน Autodiscover พบไคลเอนต์อีเมลส่งรหัสผ่าน Exchange เข้ามาจำนวนมาก

By lew

on 23 September 2021 - 09:26 Tag: Exchange, Security

Exchange

Amit Serper จากบริษัทความปลอดภัย Guardicore รายงานถึงปัญหาของโปรโตคอล Autodiscover ที่ใช้เชื่อมต่อเข้าไปยังเซิร์ฟเวอร์ Exchange เนื่องจากไคลเอนต์พยายามคาดเดาโดเมนที่ใช้ล็อกอิน

ตัวอย่างเช่นเมื่อผู้ใช้ที่ใช้อีเมล john.doe@example.com อีเมลไคลเอนต์จะพยายามล็อกอินทางโดเมน autodiscover.example.com แล้วถอยไปยัง example.com จากนั้นจะถอยไปยัง autodiscover.com อีกครั้ง ทำให้ผู้ที่ถือโดเมน autodiscover.com ได้ชื่อผู้ใช้และรหัสผ่านไป

ลิทัวเนียพบโทรศัพท์ Xiaomi 10T มีฟีเจอร์กรองคำต้องห้าม แนะนำให้อย่าซื้อ ถ้าใช้อยู่ให้เลิกใช้

By lew

on 23 September 2021 - 00:26 Tag: Xiaomi, Security

Xiaomi

ศูนย์ความปลอดภัยไซเบอร์กระทรวงกลาโหมลิทัวเนียออกรายงานวิเคราะห์ความปลอดภัยของโทรศัพท์มือถือจากผู้ผลิตจีน 3 ราย คือ Huawei P40 4G, Xiaomi Mi 10T 5G, และ OnePlus 8T 5G ถึงความเสี่ยงความปลอดภัย และความเป็นส่วนตัวของผู้ใช้ โดยรายงานระบุถึงความเสี่ยงของโทรศัพท์จาก Huawei ที่ใช้ AppGallery แทน Google Play Store และความเสี่ยงของโทรศัพท์ Xiaomi ที่ส่งข้อมูลกลับเซิร์ฟเวอร์, มีฟีเจอร์กรองคำในรายการคำต้องห้ามของจีน, และกระบวนการลงทะเบียนเครื่องที่ส่ง SMS ออกจากเครื่องโดยไม่แสดงให้ผู้ใช้เห็น

ตามล่ากระเป๋าเงิน สหรัฐฯ เตรียมคว่ำบาตรทุกคนที่เกี่ยวข้องกับเงินคริปโตของกลุ่ม Ransomware

By lew

on 22 September 2021 - 17:54 Tag: USA, Ransomware, Security, Cryptocurrency

USA

สหรัฐฯ ออกมาตรการคว่ำบาตร (sanction) บุคคลใดๆ, บริการแลกเปลี่ยนเงินคริปโต, หรือผู้ให้บริการกระเป๋าเงินคริปโต ที่เกี่ยวข้องกับกลุ่มมัลแวร์เรียกค่าไถ่ นับเป็นมาตรการล่าสุดที่สหรัฐฯ ใช้จัดการกับกลุ่มมัลแวร์เหล่านี้หลังจัดความร้ายแรงของปัญหามัลแวร์เรียกค่าไถ่ว่าเทียบเท่าการก่อการร้าย

VMware แจ้งเตือนช่องโหว่ อัพโหลดโค้ดเข้ามารันได้เพียงแค่เข้าถึงพอร์ต 443

By lew

on 22 September 2021 - 17:20 Tag: VMware, Security

VMware

VMware แจ้งเตือนช่องโหว่ชุดใหญ่ในซอฟต์แวร์ vCenter Server แต่ช่องโหว่ที่กระทบรุนแรงที่สุดคือ CVE-2021-22005 ที่ทำให้คนร้ายสามารถอัพโหลดไฟล์เข้ามารันโค้ดในเซิร์ฟเวอร์ได้เพียงแค่เข้าถึงพอร์ต 443 ของเซิร์ฟเวอร์

ช่องโหว่นี้กระทบ vSphere 6.7 และ 7.0 ความร้ายแรงตามคะแนน CVSSv3 อยู่ที่ 9.8 ทาง VMware จัดให้เป็นช่องโหว่ระดับวิกฤติควรอัพเดตโดยเร็ว อย่างไรก็ดีสำหรับช่องโหว่นี้ทาง VMware ออกสคริปต์สำหรับบรรเทาช่องโหว่สำหรับผู้ที่ไม่พร้อมอัพเดตไว้ด้วย แต่ก็ย้ำว่าควรใช้ชั่วคราวเท่านั้น

กูเกิลโอเพนซอร์ส HIBA ระบบจัดการกุญแจล็อกอิน Secure Shell เข้าเซิร์ฟเวอร์

By lew

on 21 September 2021 - 10:01 Tag: Google, OpenSSH, Security

Google

กูเกิลโอเพนซอร์สโครงการ HIBA สำหรับการจำกัดสิทธิ์ (authorization) การเข้าถึงเซิร์ฟเวอร์ผ่านทาง Secure Shell โดยอาศัยการออกใบรับรองสำหรับล็อกอินให้ผู้ใช้แต่ละคน และตรวจสอบสิทธิ์การเข้าถึงเซิร์ฟเวอร์แต่ละตัวด้วยข้อมูลในใบรับรอง

การล็อกอิน Secure Shell เช่น OpenSSH นั้นรองรับการล็อกอินด้วยคู่กุญแจ public/private key เป็นเรื่องปกติ ทำให้ผู้ดูแลระบบสามารถล็อกอินโดยไม่ต้องใส่รหัสผ่าน แต่ฟีเจอร์ที่ OpenSSH รองรับแต่ไม่ได้รับความนิยมนักคือการตรวจสอบกุญแจผ่าน CA กลาง ทำให้ไม่ต้องวาง public key ในเซิร์ฟเวอร์ครั้งแรกด้วยการล็อกอินรหัสผ่าน หรือวางไว้ตั้งแต่ตอนสร้างเครื่อง

iOS 15 แก้ไขช่องโหว่ ที่สามารถใช้โมเดล 3D หลอกยืนยันตัวตน Face ID ได้

By arjin

on 21 September 2021 - 06:06 Tag: Face ID, iOS 15, iPadOS 15, Security, Apple

Face ID

แอปเปิลรายงานการแก้ไขช่องโหว่ด้านความปลอดภัยใน iOS 15 และ iPadOS 15 ที่เพิ่งออกอัพเดตเมื่อคืนนี้ หลายรายการ โดยมีช่องโหว่ที่น่าสนใจคือ Face ID

โดยเอกสารระบุว่าช่องโหว่ CVE-2021-30863 นั้น สามารถใช้โมเดล 3D ที่สร้างขึ้นมาเหมือนกับผู้ใช้งาน เพื่อยืนยันตัวตนและปลดล็อก Face ID ได้ รายงานโดย Wish Wu จาก Light-Year Security Lab ของ Ant-financial ซึ่งช่องโหว่นี้ได้ทำการปรับปรุงแล้ว

ทั้งนี้ช่องโหว่ดังกล่าวมีผลกับ iPhone และ iPad ทุกรุ่นที่รองรับ Face ID

Chrome และ Edge หยุดรองรับการเข้ารหัสแบบ 3DES

By lew

on 20 September 2021 - 21:11 Tag: Cryptography, Security, Chrome, Microsoft Edge

Cryptography

Chrome และ Edge เตรียมถอดการเข้ารหัส TLS แบบ TLS_RSA_WITH_3DES_EDE_CBC_SHA ออกจากระบบ ทำให้อาจจะเข้าเว็บเก่าๆ ที่ใช้กระบวนการเชื่อมต่อแบบนี้ไม่ได้อีกต่อไป

3DES (อ่านว่า ทริป-เปิล-เดส) เป็นมาตรฐานที่พัฒนาขึ้นมาเพื่อแก้ไขความอ่อนแอของกระบวนการเข้ารหัสแบบ DES ที่มีกุญแจเพียง 56 บิต โดยเพิ่มกุญแจเป็น 168 บิต หรือสามเท่าของ DES การเข้ารหัสนี้เข้าเป็นมาตรฐาน RFC1851 ในปี 1995

สหรัฐฯ ปรับอดีตเจ้าหน้าที่ข่าวกรอง 3 รายฐานไปรับจ้างทำเครื่องมือแฮกสมาร์ตโฟนให้รัฐบาลต่างชาติ

By lew

on 17 September 2021 - 01:18 Tag: Security, USA

Security

กระทรวงยุติธรรมสหรัฐฯ ลงโทษ Marc Baier, Ryan Adams, และ Daniel Gericke อดีตเจ้าหน้าที่ข่าวกรองฐานฝ่าฝืนกฎหมายควบคุมการส่งออกยุทโธปกรณ์ โดยทั้งสามไปพัฒนาเครื่องมือแฮกคอมพิวเตอร์ให้กับรัฐบาลสหรัฐอาหรับเอมิเรตส์ โดยมีโทษปรับ 1.68 ล้านดอลลาร์ หรือประมาณ 50 ล้านบาท

กรรมการมั่นคงไซเบอร์เปิดโครงการพัฒนาบุคลากรด้านความปลอดภัย 2,250 คน

By lew

on 16 September 2021 - 13:17 Tag: Thailand, Security

Thailand

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช. ชื่อภาษาอังกฤษว่า National Cyber Security Agency - NCSA) ประกาศเปิดโครงการเร่งรัดการพัฒนาบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ (Intensive Cybersecurity Capacity Building Program) เพื่อพัฒนาบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ 2,250 คนภายในปี 2022

โปรแกรมจัดการ VM บน Azure มีช่องโหว่ กระทบลินุกซ์จำนวนมากที่รันบน Azure

By lew

on 16 September 2021 - 00:13 Tag: Microsoft Azure, Security

Microsoft Azure

ทีมวิจัยจาก Wiz.io รายงานถึงช่องโหว่ของโปรแกรม OMI (Open Management Infrastructure) ที่ช่วยจัดการโครงสร้างใน Azure โดยไมโครซอฟต์ติดตั้ง OMI ไปกับบริการจำนวนมากที่รันลินุกซ์บน Azure รวมถึง virtual machine ที่เลือกระบบปฎิบัติการลินุกซ์

Subscribe to Security