Tags:
Node Thumbnail

ไลบรารี SSL กลายเป็นจุดโจมตีสำคัญนับแต่ช่องโหว่ Heartbleed เป็นต้นมา ก็มีความพยายามแยกสายการพัฒนาออกมาเป็น LibreSSL โดยทีมงาน OpenBSD หรือ BoringSSL ของกูเกิล ตอนนี้มีโครงการใหม่ในชื่อ BearSSL

BearSSL มีนักพัฒนาหลักคือ Thomas Pornin โปรแกรมเมอร์ด้านวิทยาการเข้ารหัสลับ (เขาเป็นผู้ใช้ระดับ top 0.03% ของ Security StackExchange) โดยมีแนวทางคือการรักษาความเรียบง่ายเพื่อให้มีความปลอดภัยสูงสุด ฟีเจอร์หลักๆ เช่น

Tags:
Node Thumbnail

Google Chrome for Android มีอัพเดตในวันนี้แก้ไขช่องโหว่ที่เปิดทางให้แฮกเกอร์สามารถสั่งติดตั้ง apk โดยไม่ได้รับความยินยอมจากผู้ใช้ ทาง Kaspersky คาดว่ามีผู้ถูกโจมตีจากช่องโหว่นี้ไปแล้วกว่าสามแสนราย

ทาง Kaspersky รายงานการโจมตีนี้มาตั้งแต่เดือนสิงหาคมที่ผ่านมาว่ามีการโจมตีโดยส่ง apk มาทางเครือข่ายโฆษณา รวมถึง AdSense ของกูเกิลเอง ตัวมัลแวร์มีความสามารถในการหลอกล่อผู้ใช้ให้ใส่ข้อมูลส่วนตัว ดักรับข้อความ SMS

Tags:
Node Thumbnail

Tesco Bank ประกาศเปิดให้บริการตามปกติหลังปิดบริการไปบางส่วนเมื่อวันจันทร์ที่ผ่านมา รวมค่าเสียหาย 2.5 ล้านปอนด์ หรือราวๆ ร้อยล้านบาท จากทั้งหมด 9,000 บัญชี โดยตอนนี้ทางธนาคารได้คืนเงินไปยังบัญชีผู้เสียหายแล้ว

ตอนนี้ศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (National Cyber Security Centre - NCSC) กำลังเข้าสอบสวนเหตุการณ์ครั้งนี้ โดยยังไม่มีรายละเอียดเพิ่มเติมว่าผู้ร้ายนำเงินออกไปได้อย่างไร

ที่มา - Taipei Times

Tags:
Node Thumbnail

บริการ Safe Browsing ของกูเกิลนับเป็นบริการที่น่ากลัวสำหรับคนทำเว็บ เพราะหากพลาดท่าเว็บกลายเป็นแหล่งแพร่มัลแวร์ กูเกิลจะบล็อคผู้ใช้ไม่ได้เข้าถึงหน้าเว็บพร้อมกับแจ้งเตือนว่าเว็บมีอันตราย ที่ผ่านมาหากแก้ปัญหาได้สำเร็จก็จะจบปัญหาเป็นรอบๆ ไป แต่นโยบายใหม่ของ Safe Browsing จะตรวจสอบว่าเว็บที่เป็นแหล่งแพร่มัลแวร์บ่อยเกินไปหรือไม่ หากบ่อยเกินไปจะถูกปรับสถานะใหม่เป็น Repeat Offenders

เว็บที่ถูกปรับเป็น Repeat Offenders จะไม่สามารถยื่นคำร้องขอให้ Safe Browsing เข้าตรวจสอบเว็บอีกครั้งนานถึง 30 วัน โดยระหว่างนั้นจะมีคำเตือนแสดงให้ผู้ใช้เห็นตลอดเวลา

Tags:
Node Thumbnail

พบกันเป็นประจำทุกจันทร์แรกต้นเดือนครับ รอบนี้กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนพฤศจิกายน 2016 โดยเดือนนี้พิเศษหน่อย มีแยกแพตช์เป็นถึง 3 ชุด ได้แก่ชุด 1 พ.ย. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน ชุด 5 พ.ย. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 พ.ย. มาด้วย) และชุดพิเศษ 6 พ.ย. ที่รวมการแก้ไขช่องโหว่ "Dirty COW" ที่เปิดเผยเร็วๆ นี้

ผลิตภัณฑ์ในกลุ่ม Pixel/Nexus ที่ได้รับแพตช์จะมีดังนี้ครับ

Tags:
Node Thumbnail

ศูนย์ไซเบอร์กองทัพบกเพิ่งจัดตั้งมาตั้งแต่เดือนตุลาคมที่ผ่านมา ตอนนี้เว็บไซต์กองทัพบกก็เผยแพร่หลักสูตรอบรมต่างๆ ของศูนย์นี้ ทั้งหมด 5 หลักสูตร ได้แก่

Tags:
Node Thumbnail

Tesco Bank ในสหราชอาณาจักรประกาศปิดบริการจ่ายเงินออนไลน์ หลังช่วงเสาร์อาทิตย์ที่ผ่านมามีบัญชีถูกเข้าถึงอย่างน่าสงสัยถึง 40,000 บัญชี และครึ่งหนึ่งถูกโอนเงินออกไปแล้ว

ลูกค้าของ Tesco Bank มีมากถึงกว่าเจ็ดล้านบัญชี ตอนนี้ลูกค้าทั้งหมดสามารถถอนเงินที่สาขา หรือจ่ายผ่านบัตรชิปได้ รวมถึงระบบจ่ายเงินแบบตัดบัญชีก็ยังคงทำงานตามปกติ แต่ไม่สามารถจ่ายเงินซื้อสินค้าออนไลน์ได้

Tags:
Node Thumbnail

Adrian Ludwig ผู้อำนวยการฝ่ายความปลอดภัยของ Android ให้สัมภาษณ์กับเว็บ Motherboard ถึงประเด็นถกเถียงเรื่อง iOS กับ Android ใครปลอดภัยมากกว่ากัน มุมมองของเขาคือ Android มีระดับความปลอดภัยทัดเทียมกับ iOS ในปัจจุบัน และจะดีกว่าในอนาคต

Ludwig กล่าวถึงฟีเจอร์ด้านความปลอดภัยของแพลตฟอร์ม Android (ที่คนมักไม่ค่อยรู้จักกัน) คือ SafetyNet ระบบสแกนความปลอดภัยของกูเกิล ที่ตรวจสอบอุปกรณ์ 400 ล้านชิ้นต่อวันว่ามีมัลแวร์ฝังอยู่หรือไม่ และกูเกิลสามารถใช้เทคนิคลดความเสี่ยง (exploit mitigation) แบบต่างๆ เข้าช่วยป้องกัน จากสถิติของกูเกิลมีอุปกรณ์เพียง 1% เท่านั้นที่พบมัลแวร์

Tags:
Topics: 
Node Thumbnail

Dawud Golunski นักวิจัยความปลอดภัยรายงานถึงช่องโหว่ race condition ในระบบฐานข้อมูลของ MySQL ทำให้ผู้ใช้ที่มีสิทธิ์เพียงพื้นฐาน เช่น SELECT, INSERT, CREATE สามารถเข้ายึดเซิร์ฟเวอร์ฐานข้อมูลได้ทั้งหมด และมีโอกาสทีแฮกเกอร์จะรันโค้ดด้วยสิทธิ์ระดับเดียวกับเซิร์ฟเวอร์ของ MySQL ได้

Golunski เคยรายงานช่องโหว่ CVE-2016-6662 เมื่อเดือนกันยายนที่ผ่านมา

Tags:
Node Thumbnail

ช่องโหว่ Dirty COW เพิ่งมีรายงานเมื่อปลายเดือนตุลาคมที่ผ่านมา เป็นการรายงานหลังพบการโจมตีทำให้จำเป็นต้องเร่งแก้ไข การแก้ไขเคอร์เนลทำให้เซิร์ฟเวอร์ส่วนมากต้องรีบูตจนเสีย uptime ตอนนี้ทาง Canonical ก็ออกมาระบุว่าผู้ใช้ Ubuntu ที่เปิดบริการ Livepatch ได้รับแพตช์โดยไม่ต้องบูตเครื่องหลังแพตช์ออกเพียงไม่กี่ชั่วโมงเท่านั้น

Canonical Livepatch Service เป็นบริการเฉพาะของ Canonical ที่ต้องสมัครบริการก่อนจึงใช้งานได้ โดยผู้ใช้ทั่วไปสามารถใช้งานได้ 3 เครื่องฟรี (ซื้อเพิ่มเครื่องละ 150 ดอลลาร์ต่อปี) เมื่อสมัครแล้วจะได้ token มาเซ็ตอัพในเครื่อง

Tags:
Node Thumbnail

จากข่าว กูเกิลเปิดเผยช่องโหว่ Windows แฮกเกอร์สามารถเข้าถึงสิทธิ์ระดับสูง หลังแจ้งไมโครซอฟท์ 10 วัน ซึ่งเป็นช่องโหว่ที่พบการโจมตีแล้ว ล่าสุดฝั่งไมโครซอฟท์ออกมาให้ข้อมูลแล้ว

หน่วยเฝ้าระวังด้านความปลอดภัย Microsoft Threat Intelligence อธิบายว่าพบกลุ่มแฮกเกอร์ที่ถูกเรียกว่า STRONTIUM โจมตีผ่านช่องโหว่นี้จริง

รูปแบบการโจมตีคือใช้ช่องโหว่ของ Flash ร่วมกับช่องโหว่เคอร์เนลของ Windows ทำงานร่วมกัน กระบวนการคือใช้ช่องโหว่ของ Flash เพื่อเข้าถึงโพรเซสของเบราว์เซอร์ก่อน แล้วใช้ช่องโหว่ของ Windows ยกระดับการเข้าถึงจากเบราว์เซอร์มายังเคอร์เนลอีกที

Tags:
Node Thumbnail

คดี WoSign ออกใบรับรองผิดพลาดและควบรวมกับ StartCom โดยไม่แจ้งผู้ผลิตเบราว์เซอร์ให้รับทราบใกล้มาถึงบทสรุปเมื่อทางกูเกิลประกาศหยุดเชื่อถือใบรับรองจากทั้งสองบริษัทที่ออกหลังวันที่ 21 ตุลาคมที่ผ่านมา

กูเกิลแจ้งเตือนว่ากระบวนการตรวจสอบเพื่อให้แน่ใจว่าเบราว์เซอร์จะไม่เชื่อถือใบรับรองจากทั้งสองบริษัทที่ออกมาหลังเส้นตายอีกจะหนาแน่นขึ้นเรื่อยๆ ทำให้เว็บที่ใช้ใบรับรองจากหนึ่งในสองบริษัทอาจจะไม่สามารถใช้งานได้อีกหลังจาก Chrome 56 เป็นต้นไป และการเชื่อถือใบรับรองตอนนี้ก็เป็นมาตรการชั่วคราวเพื่อให้เวลากับผู้ดูแลเว็บได้มีเวลาเปลี่ยนใบรับรองเท่านั้น

Tags:
Node Thumbnail

กูเกิลเปิดเผยช่องโหว่ของ Windows system call ในไฟล์ win32k.sys ทำให้แฮกเกอร์สามารถยกระดับสิทธิ์เป็นสิทธิ์ระดับสูงเพื่อเจาะออกจาก sandbox ของวินโดวส์

ช่องโหว่นี้เป็นช่องโหว่ชุดเดียวกับที่ Adobe เพิ่งออกแพตช์ไปก่อนหน้านี้ โดยกูเกิลระบุว่าตรวจพบการโจมตีบ้างแล้ว และเนื่องจากช่องโหว่มีการโจมตีแล้ว กูเกิลใช้นโยบายที่ต่างไปจากการแจ้งช่องโหว่ปกติ โดยจะให้เวลาผู้ผลิตเพียง 7 วันหลังการแจ้งเตือน

ไมโครซอฟท์ได้รับแจ้งไปตั้งแต่วันที่ 21 ตุลาคมที่ผ่านมา และตอนนี้กูเกิลก็เปิดเผยช่องโหว่นี้แล้วหลังแจ้งไปยังไมโครซอฟท์ 10 วัน

Tags:
Node Thumbnail

กูเกิลผลักดันแนวทางให้ CA ทั้งหลายเปิดเผยการออกใบรับรองมาหลายปี ตอนนี้กูเกิลก็ออกมาประกาศว่าภายในเดือนตุลาคม 2017 จะเริ่มบังคับให้ CA ทุกรายต้องเข้ากระบวนการ CT (Certification Transparency กระบวนการที่ CA เปิดเผยรายการใบรับรองที่ออกสู่สาธารณะ) ทั้งหมด ไม่เช่นนั้น Chrome จะไม่เชื่อถือใบรับรองอีกต่อไป

Tags:
Node Thumbnail

Adobe ออกแพตช์ให้กับ Flash สำหรับวินโดวส์, แมค, และลินุกซ์ แก้ช่องโหว่ CVE-2016-7855 เป็นช่องโหว่ระดับวิกฤติ แฮกเกอร์สามารถเข้าควบคุมเครื่องของเหยื่อได้

แม้ว่าช่องโหว่นี้จะกระทบแพลตทุกฟอร์ม แต่รายงานการโจมตีตอนนี้จำกัดอยู่ที่ Windows 7, 8.1, และ 10 โดยเป็นการโจมตีอย่างเจาะจง

ตอนนี้อัพเดตของแพลตฟอร์มต่างๆ ก็เปิดให้อัพเดตแล้ว ผมได้รับอัพเดต Chrome OS แล้ว ส่วนฝั่งไมโครซอฟท์ก็น่าจะได้รับ Windows Update กันแล้วเช่นกัน

ที่มา - Adobe

Tags:
Node Thumbnail

Joomla! ออกแพตช์ล่าสุดเมื่อสามทุ่มที่ผ่านมาแก้ไขช่องโหว่ระดับวิกฤติ ทำให้แฮกเกอร์สามารถเข้าควบบคุมเว็บไซต์ได้แม้เว็บไม่ได้เปิดรับสมัครสมาชิกเลยก็ตามที ตอนนี้ทุกคนควรอัพเดตเป็นรุ่น 3.6.4

แพตช์ครั้งนี้ประกอบด้วยช่องโหว่ CVE-2016-8870 ที่ทำให้แฮกเกอร์สามารถสร้างผู้ใช้ใหม่ในเว็บได้แม้จะปิดการลงทะเบียนผู้ใช้ก็ตามที และ CVE-2016-8869 ทำให้แฮกเกอร์สามารถลงทะเบียนผู้ใช้ด้วยสิทธิ์ระดับสูงได้

Tags:
Node Thumbnail

รายงานการแฮกรถยนต์เพิ่มขึ้นในช่วงหลังที่รถเริ่มมีความสามารถในการเชื่อมต่ออินเทอร์เน็ต ตอนนี้ขนส่งทางบกสหรัฐฯ (National Highway Traffic Safety Administration - NHTSA) ก็ออกเอกสารคำแนะนำการเพิ่มความปลอดภัยไซเบอร์ให้กับผู้ผลิตรถยนต์แล้ว

เอกสารฉบับนี้ยังไม่เป็นข้อบังคับแต่อย่างใดแต่เป็นเพียงคำแนะนำให้ผู้ผลิตทำตาม

คำแนะนำแบ่งเป็นส่วนๆ ตั้งแต่การออกแบบระบบความปลอดภัยไซเบอร์ในรถเบื้องต้น เช่น การรักษาความปลอดภัยของเฟิร์มแวร์, การสื่อสารในตัวรถ, ไปจนถึงการเข้าถึงพอร์ตซ่อมบำรุงของอุปกรณ์ต่างๆ และการเชื่อมต่อแบบไร้สาย นอกจากนี้ยังมีกระบวนการในระดับองค์กรที่เอกสารแนะนำให้มีการแบ่งปันข้อมูลอย่างรวดเร็ว

Tags:
Node Thumbnail

สืบเนื่องจากที่ DynDNS ถูก DDoS เมื่อวันศุกร์ที่ผ่านมา ล่าสุดบริษัท Hangzhou Xiongmai Technology ผู้ผลิตและจำหน่ายกล้องบันทึกวิดีโอ (DVR) และกล้องที่รองรับการเชื่อมต่อินเทอร์เน็ต ออกมายอมรับว่าผลิตภัณฑ์ที่มีช่องโหว่ จนถูกมัลแวร์ Miraiเจาะสินค้าของบริษัท มีส่วนรับผิดชอบในการโจมตีดังกล่าว

Tags:
Node Thumbnail

เหตุการณ์โจมตี Dyn เมื่อวานนี้ส่งผลกระทบเป็นวงกว้าง กระทบจากบริการ DNS ที่ดับไปทำให้บริการสำคัญๆ ใช้งานไม่ได้อีกหลายอย่าง Dan Drew หัวหน้าฝ่ายความมั่นคงปลอดภัยของ Level 3 ระบุว่าการโจมตีรอบนี้เกี่ยวข้องกับมัลแวร์ Mirai ที่เปิดซอร์สมาก่อนหน้านี้

ทาง ArsTechnica ระบุว่าการโจมตี Dyn ครั้งนี้อาจจะไม่ได้ตั้งใจโจมตี Dyn โดยตรงแต่เป็นการโจมตีไปที่โดเมนของลูกค้าบางราย เช่น Sony Playstation แต่ตอนนี้ทาง Ars ยังยืนยันเรื่องนี้ไม่ได้

Tags:
Topics: 
Node Thumbnail

ช่องโหว่ CVE-2016-5195 หรือชื่อเล่นว่า DirtyCow (COW จาก copy-on-write) ทำให้ผู้ใช้ทั่วไปสามารถเข้าถึงสิทธิ์ระดับสูงของลินุกซ์ได้

ช่องโหว่นี้มีความร้ายแรงตามคะแนน CVSS 3.0 อยู่ที่ 7.8 เป็นระดับสำคัญ แต่มีรายงานว่าเริ่มมีการโจมตีเซิร์ฟเวอร์ HTTP และเจาะเข้าถึงสิทธิ์ระดับสูงจากช่องโหว่นี้ ตัวช่องโหว่นี้อยู่ในโค้ดลินุกซ์มาตั้งแต่ปี 2007 ช่องโหว่กระทบทั้ง Redhat, Debian, และ Ubuntu

Phil Oester นักวิจัยผู้พบช่องโหว่นี้ระบุว่าช่องโหว่นี้โจมตีได้ง่าย และอาจจะมีการโจมตีมาแล้วหลายปี ตัวมัลแวร์ที่เขาได้มาคอมไพล์ด้วย GCC 4.8 ตอนนี้ผู้ดูแลระบบควรเร่งอัพเดตโดยเร็ว

Tags:
Node Thumbnail

กูเกิลประกาศจะเริ่มแจ้งเดือนเว็บที่ไม่ใช้ HTTPS และขอรหัสผ่านหรือข้อมูลสำคัญ เช่นบัตรเครดิตจากผู้ใช้ตั้งแต่ต้นเดือนกันยายน ตอนนี้ประกาศเริ่มเห็นผลจริงจังเมื่อ Chrome Canary 56.0.2896.0 เปิดฟีเจอร์นี้แล้ว

การแจ้งเตือนช่วงแรกเป็นการแจ้งเตือนสีเทา พร้อมคำอธิบายผู้ใช้ว่าไม่ควรใส่ข้อมูลสำคัญใดๆ ลงในเว็บเหล่านี้

หากไม่มีความผิดพลาดอะไร Chrome 56 ก็จะเข้าสู่เบต้าและออกเป็นตัวจริงในเดือนมกราคมนี้

ที่มา - Severtastic

Tags:
Node Thumbnail

เมื่อสัปดาห์ที่แล้วที่งาน GovernmentWare 2016 และ Singapore International Cyber Week ทาง Intel Security ได้มีการจัดบรรยายพิเศษเกี่ยวกับเรื่องของภัยคุกคามและความเสี่ยงของเทคโนโลยีและอุปกรณ์ Internet of Things (IoT) โดย JP Dunning นักวิจัยและให้คำปรึกษาด้านความปลอดภัยหลักของ Foundstone บริษัทในเครือของ Intel Security ซึ่งผมมีโอกาสไปนั่งฟังด้วย จึงขออนุญาตสรุปมาให้ผู้อ่านทุกท่านครับ

ข้อมูลเปิดเผย ผมเดินทางไปร่วมงานนี้ในฐานะแขกของ Intel Security ครับ

Tags:
Node Thumbnail

ประเด็นเรื่องความปลอดภัยของระบบอีเมล ถือเป็นประเด็นถกเถียงสำคัญในการเลือกตั้งประธานาธิบดีสหรัฐอเมริกาปีนี้ เพราะ Hillary Clinton ตัวแทนจากพรรคเดโมแครต เคยมีกรณีตั้งเซิร์ฟเวอร์อีเมลเอง ในช่วงที่ดำรงตำแหน่งรัฐมนตรีว่าการกระทรวงการต่างประเทศ ทำให้ถูกวิจารณ์หนักว่านำข้อมูลสำคัญของภาครัฐไปไว้ในที่ไม่ปลอดภัยเพียงพอ

ล่าสุดฝั่งของ Donald Trump ที่นำประเด็นนี้มาโจมตี Clinton ก็โดนผู้เชี่ยวชาญด้านความปลอดภัย Kevin Beaumont ออกมาแฉว่าระบบอีเมลของเว็บไซต์ TrumpOrg.com ใช้ระบบปฏิบัติการ Windows Server 2003 ที่หมดระยะซัพพอร์ตไปนานแล้ว ถือเป็นระบบซอฟต์แวร์ที่ไม่ปลอดภัยเช่น มิหนำซ้ำตัวเซิร์ฟเวอร์ยังไม่ติดตั้งแพตช์อีกด้วย

Tags:
Topics: 
Node Thumbnail

คอมพิวเตอร์ควันตัมสามารถประมวลผลข้อมูลบางรูปแบบได้เร็วกว่าคอมพิวเตอร์ทุกวันนี้เป็นอย่างมากทำให้กระบวนการเข้ารหัสที่เคยปลอดภัยในทุกวันนี้อาจจะใช้งานไม่ได้อีกต่อไป รายงานจากแคนาดาพยายามประเมินเวลาในการคำนวณหาข้อมูลที่ได้ค่าแฮชตามกำหนด (preimage attack)

Tags:
Node Thumbnail

ออราเคิลปล่อยแพตช์ประจำไตรมาสที่สามของปี มีการแก้ไขช่องโหว่ความปลอดภัยทั้งหมด 253 จุดในซอฟต์แวร์ 76 รายการ ในจำนวนนี้มีแพตช์ช่องโหว่ร้ายแรง (คะแนน CVSS เกิน 9.0) ทั้งหมด 15 รายการ

สำหรับแพตช์ที่กระทบคนทั่วไปมากที่สุดคงเป็น Java SE ที่มีแพตช์ทั้งหมด 7 รายการ เป็นช่องโหว่ร้ายแรง 3 รายการ ส่วนซอฟต์แวร์อื่นที่มีช่องโหว่ร้ายแรงได้แก่ Oracle Database Server (OJVM), Oracle Big Data Discovery, Oracle Web Services, Oracle WebLogic Server, Oracle Advanced Supply Chain Planning, Oracle Commerce Platform, Oracle Retail Customer Insights, Oracle Retail Merchandising Insights, Secure Global Desktop, Oracle VM VirtualBox

Pages