Tags:
Node Thumbnail

whynotsecurity นักวิจัยความปลอดภัยที่ไม่เปิดเผยตัวตนรายงานถึงกระบวนการเก็บรหัสผ่านของโปรแกรม TeamViewer ที่ใช้สำหรับการล็อกอินระยะไกลที่นิยมใช้ในการซัพพอร์ตระบบไอที โดยพบว่ารหัสผ่านของผู้ใช้จะถูกเข้ารหัสแบบ AES-128-CBC ด้วยกุญแจและค่า IV เดียวกันทั้งหมด หากผู้ใช้ตั้งรหัสผ่านซ้ำกันระหว่างเครื่องต่างๆ ก็มีโอกาสที่แฮกเกอร์จะเข้าถึงบางเครื่องและกู้รหัสผ่านกลับออกมาได้

Tags:
Topics: 
Node Thumbnail

ทีมงาน WebKit ของแอปเปิลเสนอฟอร์แมตมาตรฐานสำหรับการส่ง SMS รหัสแบบใช้ครั้งเดียว (one-time code) ที่เว็บต่างๆ มักใช้ SMS สำหรับการล็อกอินขั้นตอนที่สอง แต่มีข้อจำกัดว่าฟอร์แมตข้อความที่ส่งนั้นไม่ตรงกัน ทำให้เขียนโปรแกรมอ่านได้ยาก แม้แอนดรอยด์ช่วงหลังจะเริ่มคาดเดาตัวรหัสได้ แต่ก็ไม่สามารถอ่านได้ว่าเป็นรหัสผ่านของเว็บใดทำให้ระบบล็อกอินให้บริการอัตโนมัติไม่สมบูรณ์

แนวทางของ WebKit คือเสนอให้บรรทัดสุดท้ายของ SMS ต้องขึ้นต้นด้วย "@" แล้วระบุโดเมนเว็บ จากนั้นใส่เครื่องหมาย "#" แล้วตามด้วยรหัส เช่น

19320624 is OTP for Blognone.

@blognone.com #19320624

Tags:
Node Thumbnail

Check Point Research รายงานถึงช่องโหว่ของชุดซอฟต์แวร์ Azure Stack ที่ใช้สร้างคลาวด์ on-premise ของไมโครซอฟท์โดยมีช่องโหว่รันโค้ดที่ร้ายแรงระดับวิกฤติด้วย

ช่องโหว่ CVE-2019-1372 เป็นช่องโหว่ระดับวิกฤติจากการจัดการความจำบัฟเฟอร์ของ Azure Stack ในส่วนของ Azure App Service ที่ใช้รันโค้ดจากผู้ใช้หลายๆ รายบนโครงสร้างร่วมกัน การจัดการหน่วยความจำผิดพลาดทำให้แฮกเกอร์สามารถรันโค้ดนอก sandbox และได้สิทธิ์ NT AUTHORITY/SYSTEM ในเครื่อง

ส่วนช่องโหว่ CVE-2019-1234 เป็นช่องโหว่ของ DataService ที่เรียกใช้งานได้โดยไม่ต้องล็อกอิน ช่องโหว่เปิดทางให้แฮกเกอร์เข้าถึงข้อมูลของเซิร์ฟเวอร์อื่นที่ใช้งานในคลาวด์เดียวกัน และสามารถดูภาพ screenshot ของเครื่องอื่นๆ ที่ไม่มีสิทธิ์ได้

Tags:
Node Thumbnail

จากกรณี Avast ถูกแฉว่านำข้อมูลผู้ใช้ไปขายต่อ สร้างความตื่นตัวให้กับผู้ใช้ Avast พร้อมเกิดคำถามว่า "ไม่ใช้ Avast แล้วไปใช้แอนตี้ไวรัสตัวไหนดี" (กรณีนี้รวมถึง AVG ที่เป็นบริษัทลูกของ Avast ด้วย)

บทความนี้จึงเป็นการสำรวจการจัดอันดับแอนตี้ไวรัสของสื่อต่างประเทศสำนักต่างๆ ที่ค่อนข้างน่าเชื่อถือ เพื่อเป็นข้อมูลประกอบการตัดสินใจเลือกแอนตี้ไวรัส ที่อาจใช้แทน Avast/AVG ได้ (บทความนี้เน้นเฉพาะแอนตี้ไวรัสบน Windows เพียงอย่างเดียว นับข้อมูล ณ เดือนกุมภาพันธ์ 2020)

Tags:
Node Thumbnail

Google ออกรายงานโครงการ bug bounty หรือรายงานช่องโหว่รับเงินรางวัลประจำปี ซึ่งโครงการนี้จัดมาตั้งแต่ปลายปี 2010 โดยตลอดระยะเวลา 9 ปีกว่า ๆ Google ได้มอบรางวัลให้นักวิจัยกว่า 21 ล้านดอลลาร์

Google เผยว่า เมื่อปีที่แล้วทั้งปี โครงการนี้จ่ายเงินให้นักวิจัยไปแล้วกว่า 6.5 ล้านดอลลาร์ กับนักวิจัย 461 คน ทำลายสถิติเดิมของปี 2018 ที่ 3.4 ล้านดอลลาร์กับนักวิจัย 317 คน

Tags:
Node Thumbnail

มีเอกสารภายในขององค์การสหประชาชาติ (United Nations) หลุดออกมาทางเว็บไซต์ข่าวด้านสิทธิมนุษยชน The New Humanitarian ว่าระบบเครือข่ายของ UN ในเจนีวาและเวียนนา โดนแฮ็กในช่วงเดือนกรกฎาคม 2019 และมีข้อมูลถูกขโมยออกมาจำนวนหนึ่ง แต่ UN ปิดข่าวเรื่องนี้ไว้ แม้แต่พนักงานของ UN เองก็ไม่ทราบเรื่องนี้

หลังจาก The New Humanitarian รายงานข่าวนี้ โฆษกของ UN ก็ยอมรับว่าเป็นเหตุการณ์ที่เกิดขึ้นจริง แต่บอกว่ายังไม่สามารถประเมินความเสียหายได้ชัด ทำให้ UN ตัดสินใจไม่เปิดเผยเรื่องนี้ต่อสาธารณะ

Tags:
Node Thumbnail

ไมโครซอฟท์เปิดโครงการ Xbox Bug Bounty โดยจะเน้นไปที่ช่องโหว่บนเครือข่ายและบริการของ Xbox Live โดยเงินรางวัลจะจ่ายให้ตามความรุนแรงของช่องโหว่ตั้งแต่ 500 เหรียญไปจนถึงสูงสุดอย่างช่องโหว่รันโค้ดทางไกลระดับร้ายแรงที่ 20,000 เหรียญ

ไมโครซอฟท์ระบุไว้ด้วยว่าช่องโหว่หรือปัญหาที่ไม่เข้าข่ายรับเงินรางวัล อาทิ DDoS, CSRF ที่ผลกระทบต่ำ หรือ URL Redirects เป็นต้น สามารถดูรายละเอียดและช่องทางการรายงานช่องโหว่ได้ที่นี่

ที่มา - Microsoft

Tags:
Node Thumbnail

กูเกิลเปิดซอร์สโค้ด OpenSK เฟิร์มแวร์กุญแจล็อกอินขั้นตอนที่สอง FIDO U2F และ FIDO2 โดยเขียนด้วยภาษา Rust และรองรับชิป Nordic nRF52840 โดยระบุว่าเลือกชิปตัวนี้เพราะมันรองรับการเชื่อมต่อวิธีหลักๆ แทบทั้งหมด ทั้ง NFC, Bluetooth LE, และ USB นอกจากนี้ยังมีวงจรเร่งความเร็วเข้ารหัสไว้ให้ด้วย

ในชิป nRF52840 มีคอร์ ARM CryptoCell-310 อยู่ภายในแต่ตอนนี้เฟิร์มแวร์ที่เปิดเผยออกมายังไม่ได้ใช้ความสามารถส่วนนี้ แต่ใช้โค้ดเข้ารหัสภาษา Rust ไปก่อน แม้โค้ดจะใช้งานได้แต่กูเกิลเตือนว่ายังไม่ได้ตรวจสอบการโจมตีแบบ side channel และไม่ได้ผ่านการรับรองจาก FIDO แต่อย่างใด

Tags:
Node Thumbnail

ผู้ให้บริการเครือข่ายโทรศัพท์มือถือในประเทศไทยทั้ง 5 ราย ได้แก่ CAT, dtac, TOT, True, และ AIS ลงนามบันทึกความร่วมมือศึกษาและพัฒนาการพิสูจน์และยืนยันตัวตนดิจิทัล เปิดทางการใช้โทรศัพท์มือถือยืนยันตัวตน

การใช้โทรศัพท์มือถือเพื่อยืนยันตัวตนได้รับความนิยมสูงอยู่แล้วในปัจจุบัน จากการที่ประเทศไทยมีหมายเลขโทรศัพท์ใช้งานอยู่ถึง 130 ล้านเลขหมาย แต่ก็มีข่าวถึงการขโมยเบอร์โทรศัพท์มือถือ หรือการออกซิมโดยไม่ได้รับอนุญาตในประเทศไทยอยู่เนืองๆ

Tags:
Node Thumbnail

ในบล็อก Medium ที่พนักงาน Amazon ออกมาเขียนข้อความประท้วงบริษัทเรื่อง Climate Change วิศวกรซอฟต์แวร์ Max Eliaser ที่มาร่วมเขียนด้วยนั้น ได้ใช้โอกาสนี้วิจารณ์ Ring บริษัทสมาร์ทโฮมของ Amazon เรื่องความปลอดภัย ความเป็นส่วนตัว พร้อมเรียกร้องให้ยุบบริษัทนี้ทิ้ง

ใจความสำคัญที่ Eliaser โจมตีคือเรื่องการที่แฮกเกอร์สามารถแฮกเข้าระบบ Ring ของผู้ใช้คนหนึ่ง ๆ แล้วเข้าถึงฟีดกล้องได้ทั้งหมด และประเด็นความเป็นส่วนตัวไม่ได้สามารถแก้ไขได้ด้วยแค่กฎระเบียบ Ring ควรปิดตัวในทันทีและไม่ถูกนำกลับมาเปิดให้บริการใหม่อีกเลย

Tags:
Node Thumbnail

กรมตำรวจนครบาลของกรุงลอนดอน (London's Metropolitan Police Service) ประกาศจะเริ่มใช้เทคโนโลยีการจดจำใบหน้า หรือ LFR (live facial recognition) ในพื้นที่สำคัญของเมือง

ตัวกล้องจะตรวจจับคนที่เดินผ่านไปมา และจะส่งคำแจ้งเตือนเจ้าหน้าที่หากจับคู่ใบหน้ากับอาชญากร คนที่ต้องการตัวอยู่ได้ โดยทางกรมตำรวจคาดหวังว่า ระบบจดจำใบหน้าจะช่วยให้ตำรวจจัดการกับคดีอาชญากรรมร้ายแรงได้

Tags:
Node Thumbnail

Google Cloud เปิดตัวบริการใหม่ Secret Manager บริการสำหรับเก็บ secret ต่าง ๆ ทั้ง credential สำหรับเชื่อมต่อกับฐานข้อมูล, API key, ใบรับรอง และอื่น ๆ พร้อมระบบจัดการ secret ทั้งหมดที่สามารถใช้งานได้ง่ายและสะดวกกว่าเครื่องมือจัดการ secret ที่มีอยู่เดิมบน Google Cloud

ฟีเจอร์สำคัญของ Secret Manager มีหลายอย่าง คือมีระบบจัดการเวอร์ชันในตัว, กำหนดสิทธิ์ผ่าน Cloud IAM, รองรับการใช้ Cloud Audit Logging ที่สามารถนำไปใช้วิเคราะห์ด้านความปลอดภัยต่อได้ โดยข้อมูล secret จะส่งผ่านการเชื่อมต่อ TLS และเข้ารหัสด้วยกุญแจ AES-256-bit ในอนาคตจะรองรับระบบกุญแจเข้ารหัสแบบให้ผู้ใช้จัดการเอง

Tags:
Node Thumbnail

ผู้ใช้ LastPass บางส่วนรายงานว่าช่วงสุดสัปดาห์ที่ผ่านมา ทำให้ไม่สามารถล็อกอินบริการทั้งหมด โดยช่วงกลางวัน (เวลาประเทศไทย) ที่ผ่านมา ทางบริษัทออกมาทวีตรับทราบปัญหาแต่ระบุว่าไม่พบปัญหาฝั่งเซิร์ฟเวอร์แต่อย่างใด จนกระทั่งล่าสุดก็ตรวจพบปัญหาว่าเป็นบั๊กที่กระทบผู้ใช้ส่วนน้อย และแก้ปัญหาสำเร็จแล้ว

LastPass เป็นซอฟต์แวร์เก็บรหัสผ่านที่มาพร้อมกับบริการซิงก์ข้ามเครื่องอัตโนมัติ เมื่อบริการฝั่งเซิร์ฟเวอร์มีปัญหาก็กระทบการใช้งานทันที

Tags:
Node Thumbnail

Citrix ประกาศออกแพตช์ช่องโหว่ Citrix ADC และ Citrix Gateway ในเวอร์ชั่น 11.1 และ 12.0 สองตัวแรก พร้อมกับเร่งความเร็วแพตช์รุ่นอื่นๆ ให้เร็วกว่าที่ประกาศตอนแรกอีกหนึ่งสัปดาห์ เป็นวันที่ 24 มกราคมนี้

ช่องโหว่นี้เป็นช่องโหว่รันโค้ดระยะไกล โดยไม่ต้องล็อกอินก่อนโจมตี (unauthenticated remote code execution) โดยช่องโหว่ถูกเปิดเผยมาตั้งแต่ปลายเดือนที่แล้ว และที่ผ่านมามีแต่กระบวนการลดความเสี่ยง (mitigation) เท่านั้น โดยก่อนหน้านี้มีรายงานถึงการสแกนเซิร์ฟเวอร์ที่มีความเสี่ยงและตัวอย่างโค้ดสำหรับการโจมตีเผยแพร่ออกมาแล้ว

Tags:
Node Thumbnail

ไมโครซอฟท์แจ้งเตือนช่องโหว่ CVE-2020-0674 กระทบ Internet Explorer เวอร์ชั่น 9 ถึง 11 โดยเป็นช่องโหว่ระดับวิกฤติเปิดทางให้แฮกเกอร์รันโค้ดในเครื่องของเหยื่อได้ เพียงล่อล่วงให้เหยื่อเปิดเว็บหรือส่งอีเมลเพื่อให้เบราว์เซอร์ทำงาน

ไมโครซอฟท์ระบุว่าช่องโหว่นี้มีการโจมตีอย่างเจาะจงเป้าหมายแล้ว และแพตช์กำลังอยู่ระหว่างการพัฒนา โดยระหว่างนี้การใช้ Internet Explorer สามารถลดความเสี่ยงด้วยการเปิดโหมด Enhanced Security Configuration หรือบนวินโดวส์ทุกรุ่นสามารถปิดการเข้าถึงไฟล์ jscript.dll ด้วยคำสั่ง

Tags:
Node Thumbnail

Cloud Native Computing Foundation (CNCF) ร่วมมือกับ Hacker One ประกาศโครงการ Bug Bounty สำหรับ Kubernetes อย่างเป็นทางการแล้วหลังทดสอบเวอร์ชันเบต้ามาสักพัก

CNCF ระบุว่า bounty นี้ครอบคลุมทุก repo ทุก component ของ Kubernetes บน GitHub แต่ที่ทางองค์กรอยากให้ช่วยคือช่องโหว่ในกระบวนการยืนยันตัวตน, ช่องโหว่ที่ยกระดับสิทธิ์และ RCE ทั้งใน Kubelet และเซิร์ฟเวอร์ API

โครงการนี้มีเงินรางวัลตั้งแต่ 100-10,000 เหรียญสหรัฐ ดูรายละเอียดทั้งหมดได้ที่นี่

ที่มา - Hacker One

Tags:
Node Thumbnail

กูเกิลประกาศรองรับการใช้ไอโฟนเป็นโทเค็นล็อกอินขั้นตอนที่สองตามมาตรฐาน FIDO ทำให้การล็อกอินเว็บหรือบริการที่รองรับ FIDO ใช้สามารถกดแอปบนไอโฟนเพื่อยืนยันการล็อกอินได้ทันที

การเปิดใช้งานต้องเปิดด้วยแอป Smart Lock ของกูเกิล และระหว่างใช้งานต้องเปิด Bluetooth ไว้ แต่ไม่ต้อง pair อุปกรณ์แต่อย่างใด และไอโฟนต้องรัน iOS 10.0 ขึ้นไปเท่านั้น

Tags:
Node Thumbnail

Cloudflare ประกาศให้บริการเครื่องมือและบริการด้านความปลอดภัยสำหรับแคมเปญการเมืองในสหรัฐฯ ฟรี เพื่อป้องกันการโจมตีทางไซเบอร์และการแทรกแซงการเลือกตั้งที่อาจเกิดขึ้นก่อนการเลือกตั้งประธานาธิบดีสหรัฐฯ ปีนี้

Cloudflare ระบุว่า บริการใหม่ Cloudflare for Campaigns นี้จะมาพร้อมบริการแบ่งเบาการโจมตีแบบ DDoS, load balancing สำหรับเว็บไซต์ที่รันแคมเปญ, ไฟร์วอลสำหรับเว็บไซต์ และระบบต่อต้านบอท

Tags:
Node Thumbnail

Brian Krebs อ้างแหล่งข่าวไม่เปิดเผยตัวตน ระบุว่าแพตช์รายเดือนของไมโครซอฟท์ หรือ Patch Tuesday ที่กำลังจะปล่อยออกมาคืนนี้ จะมีช่องโหว่ร้ายแรงเป็นพิเศษ (extraordinarily serious) ในโมดูล cypto32.dll หรือ CryptoAPI สำหรับการเข้าและถอดรหัสลับ

ทางไมโครซอฟท์ตอบกลับ Krebs อย่างเป็นทางการว่าบริษัทไม่พูดถึงช่องโหว่ก่อนการปล่อยแพตช์ แต่ระบุว่าแพตช์นั้นมีการปล่อยให้พันธมิตรในโครงการ Security Update Validation Program (SVUP) เพื่อทดสอบความเข้ากันได้ล่วงหน้า โดยพันธมิตรในกลุ่มนี้ต้องใช้เพื่อการทดสอบเท่านั้น ห้ามแพตช์ระบบโปรดักชั่นก่อนคนอื่น

Tags:
Node Thumbnail

ผู้ใช้ Google Pixel 4 หลายคนพบปัญหาปลดล็อคด้วยใบหน้าของ Pixel 4 ไม่ทำงาน ถึงจะลบแล้วสแกนใบหน้าใหม่หรือ Factory reset แล้วก็ใช้ไม่ได้ และมีข้อความแจ้งว่า “Can't verify face. Hardware not available” หรือ “Can't verify face. Try again.” เกิดขึ้นราว 1-2 ครั้งต่อวัน ทำให้ผู้ใช้ต้องปลดล็อคเครื่องด้วยวิธีอื่นเช่นกด PIN, กรอกรหัสผ่านหรือลากนิ้วเป็นแพทเทิร์นแทน

ถึง Pixel 4 จะปลดล็อคด้วยใบหน้าไม่ได้แต่แอปอื่น ๆ ที่ใช้ระบบสแกนใบหน้ายังทำงานได้ปกติ Android Police ระบุว่าแจ้งกูเกิลไปแล้ว ซึ่งปัญหานี้ต้องรอการแก้ไขจากทางกูเกิลในภายหลัง

ที่มา: Android Police via 9to5Google

Tags:
Node Thumbnail

เมื่อวานนี้นักวิจัยจำนวนหนึ่งเริ่มปล่อยโค้ดโจมตีช่องโหว่รันโค้ดระยะไกลบน Citrix ADC และ NetScaler หลังพบว่ามีคอมพิวเตอร์จำนวนหนึ่งเริ่มสแกนช่องโหว่บนเซิร์ฟเวอร์ทั่วโลก โดยสคริปต์ที่ปล่อยออกมามักไม่ได้โจมตีจริง แต่ทดสอบเบื้องต้นว่าเซิร์ฟเวอร์มีช่องโหว่หรือไม่

ทาง Citrix ออกมาเขียนบล็อกรายงานความคืบหน้า ว่าหลังจากแนะนำให้ลูกค้าคอนฟิกลดผลกระทบช่องโหว่ไปก่อนหน้านี้แล้วตอนนี้บริษัทกำลังพัฒนาแพตช์ถาวรอยู่ แต่แพตช์เหล่านั้นต้องผ่านกระบวนการทดสอบก่อนปล่อยออกมา กำหนดการปล่อยแต่ละเวอร์ชั่นต่างกันไป แต่ทั้งหมดจะปล่อยในช่วงวันที่ 20 ถึง 31 มกราคมนี้

Tags:
Node Thumbnail

Johannes Ullrich จาก SANS ISC รายงานถึงการตั้งเซิร์ฟเวอร์ honeypot เพื่อดักการโจมตีช่องโหว่บน Citrix ADC และ NetScaler ที่มีช่องโหว่ระดับวิกฤติเปิดทางรันโค้ดระยะไกล ว่าเริ่มมีการสแกนจากจีนและฝรั่งเศส แม้รูปแบบการสแกนจะไม่ได้มุ่งร้ายชัดเจนมากก็ตาม

ช่องโหว่ CVE-2019-19781 นี้ทาง Citrix ได้ออกแนวทางการลดผลกระทบ (mitigation) ออกมาแล้วแม้ยังไม่ได้ออกแพตช์โดยตรงก็ตาม โดย NIST ให้คะแนนความร้ายแรง ตาม CVSS 3.1 ไว้ที่ 9.8 คะแนน นับเป็นช่องโหว่ระดับวิกฤติ

Tags:
Topics: 
Node Thumbnail

ทีมวิจัยจากมหาวิทยาลัยพรินซ์ตันเปิดเผยร่างรายงานวิจัยทดสอบความปลอดภัยของกระบวนการออกซิมโทรศัพท์มือถือใหม่ในสหรัฐฯ โดยทดสอบกับค่ายใหญ่ 3 ค่าย คือ T-Mobile, AT&T, และ Verizon และ MVNO อีก 2 ค่าย คือ Tracfone และ US Mobile พบว่าทั้งหมดล้วนไม่ปลอดภัยเพียงพอ

งานวิจัยใช้เบอร์โทรศัพท์ที่ทีมงานซื้อมาด้วยตัวเอง โดยสร้างตัวตนผู้ใช้ขึ้นมา 10 รายชื่อ สำหรับหมายเลขโทรศัพท์ 10 หมายเลข ระบุข้อมูล เช่น วันเกิด, ที่อยู่, อีเมล จากนั้นซื้อโทรศัพท์ 10 เครื่องจำลองเป็นเครื่องของเหยื่อ และอีก 10 เครื่องจำลองเป็นเครื่องของผู้โจมตี โดยไม่มีการใช้โทรศัพท์ซ้ำกันเลย โดยเครื่องของเหยื่อนั้นจะโทรเข้าออกเป็นระยะเวลาหนึ่งสัปดาห์เพื่อให้เหมือนหมายเลขที่มีการใช้งานจริง

Tags:
Node Thumbnail

เว็บไซต์ ABACUS ของจีน รายงานว่าตอนนี้มีปัญหาความปลอดภัยกล้องวงจรปิดในบ้าน คือแฮกเกอร์เข้าขโมยข้อมูลบัญชีและเอาบัญชีนั้นๆ ไปขายลงออนไลน์ และขายได้ในราคาเพียงแค่ 50 หยวน หรือราว 218 บาท ตำรวจบอกว่ามีผู้ได้รับผลกระทบเป็นหมื่นบัญชีเลยทีเดียว

Pages