Tags:
App Engine

บริษัทความปลอดภัย Security Explorations จากประเทศโปแลนด์ เผยช่องโหว่ของบริการแอพบนกลุ่มเมฆ Google App Engine ทั้งหมด 7 จุด หลังจากติดต่อไปยังกูเกิลแล้วไม่ยอมแก้ไข และไม่สื่อสารกลับมาว่าจะดำเนินการอย่างไร

ช่องโหว่เหล่านี้เกี่ยวข้องกับการรันแอพ Java บน App Engine โดยระบบ sandbox ของกูเกิลเองเปิดช่องให้ถูกโจมตีได้ ทาง Security Explorations ส่งข้อมูลให้กูเกิลแต่ไม่ได้รับการติดต่อกลับ เมื่อรอเป็นเวลา 3 สัปดาห์ บริษัทจึงตัดสินใจเปิดเผยช่องโหว่นี้ต่อสาธารณะ

หลังข่าวนี้ออกมา โฆษกของกูเกิลออกมาแถลงว่าบริษัทรับทราบปัญหานี้แล้ว และกำลังเร่งแก้ไขอยู่

ช่วงไม่นานมานี้ กูเกิลดำเนินโครงการ Project Zero เผยช่องโหว่ของซอฟต์แวร์ต่างค่ายเมื่อครบกำหนด 90 วันหากไม่แก้ไข ซึ่งก็โดนวิพากษ์วิจารณ์อย่างมาก ข่าวนี้เป็นตัวอย่างที่ดีว่าเอาเข้าจริงแล้ว กูเกิลก็เพิกเฉยกับช่องโหว่ของซอฟต์แวร์ตัวเองเหมือนกัน

ที่มา - Ars Technica

Tags:
Google

ตามปกติแล้ว ระบบไอทีภายในองค์กรมักจำกัดการเข้าถึงเฉพาะเครือข่ายภายในองค์กร (ซึ่งเป็นเหตุให้พนักงานต้องเชื่อมต่อผ่าน VPN ก่อนชั้นหนึ่ง ถ้าต้องการใช้งานจากนอกองค์กร) แต่บริษัทที่ออกตัวว่า "เชื่อมั่นในอินเทอร์เน็ต" อย่างกูเกิลกำลังเปลี่ยนธรรมเนียมนี้ โดยย้ายระบบทั้งหมดขึ้นอินเทอร์เน็ต

โครงการนี้ของกูเกิลใช้ชื่อว่า BeyondCorp initiative แนวคิดของมันมีอยู่ว่า ไม่ว่าจะเป็นเครือข่ายภายในหรือภายนอกองค์กรล้วนแต่มีความเสี่ยงเท่ากัน (ต่างจากแนวคิดดั้งเดิมที่มองว่าเครือข่ายภายในปลอดภัยกว่า) ดังนั้นมาตรการด้านความปลอดภัยจึงไม่สนใจปัจจัยเรื่องเครือข่าย แต่ไปเน้นที่อุปกรณ์ของพนักงานที่ใช้เชื่อมต่อ และวิธีการตรวจสอบตัวตนของผู้ใช้แทน

ตอนนี้กูเกิลระบุว่าย้ายระบบแอพพลิเคชัน 90% ขึ้นไปอยู่บนอินเทอร์เน็ตเรียบร้อยแล้ว และกำลังทยอยย้ายส่วนที่เหลือ เพราะเป้าหมายคือระบบทั้งหมดต้องเข้าถึงได้จากอินเทอร์เน็ต ไม่ว่าพนักงานอยู่ที่ทำงานหรือที่ร้านกาแฟ ต้องเข้าถึงทรัพยากรได้เท่าเทียมกัน

Tags:
Starbucks

มีผู้ใช้แอพ Starbucks ในสหรัฐอเมริกาบางรายพบว่าถูกตัดเงินเพื่อซื้อบัตรของขวัญ Starbucks ซ้ำๆ กัน โดยหักเงินจากระบบของ PayPal อัตโนมัติ ความเสียหายอยู่ระหว่าง 100-550 ดอลลาร์ต่อราย

หลังจากการสอบสวนพบว่าบัญชี Starbucks ของผู้ใช้เหล่านี้ถูกแฮ็กจากหน้าเว็บ (Starbucks คาดว่าเป็นเพราะตั้งรหัสผ่านง่ายเกินไป และยืนยันว่าระบบของตัวเองไม่มีปัญหา) เมื่อบวกกับฟีเจอร์การซื้อบัตรของขวัญ Starbucks โดยไม่ต้องอาศัยคำยืนยันใดๆ ทำให้แฮ็กเกอร์ใช้ช่องว่างนี้เข้าบัญชีไปซื้อบัตร แล้วโอนมูลค่าบัตรให้ตัวเองอีกทีหนึ่ง

Starbucks และ PayPal ยืนยันว่าผู้เสียหายจะได้รับเงินคืนทั้งหมด อย่างไรก็ตาม ผู้เสียหายก็บ่นว่ากระบวนการรับแจ้งเรื่องของ Starbucks ล่าช้า และบางครั้งก็บอกให้ไปเรียกเงินคืนจาก PayPal เอาเอง

ที่มา - CNN Money

Tags:

สายการบิน United Airlines ประกาศโครงการให้รางวัลบั๊กความปลอดภัยกับนักวิจัยเป็นไมล์สะสม โดยรวมตั้งแต่หน้าเว็บ united.com, beta.united.com, และ mobile.united.com รวมถึงแอพพลิเคชั่นของบริษัท

ช่องโหว่ที่สามารถขอรับรางวัลได้มีตั้งแต่ การรันโค้ดบนเซิร์ฟเวอร์ (remote code execution - RCE), การปลอมการเรียกบริการจากเว็บอื่น (cross site request forgery - CSRF), การวางสตริปต์จากเว็บอื่น (cross site scripting - XSS) รวมไปถึงการเปิดเผยข้อมูลส่วนตัว และการยิงค้นหาหมายเลขสมาชิก, หมายเลขการจอง, และรหัสผ่าน

บั๊กระดับสูงสุดคือ RCE มีโอกาสได้รับรางวัลเป็นไมล์สะสมหนึ่งล้านไมล์ บั๊กระดับกลางเช่น การเปิดเผยข้อมูลส่วนตัวจะมีโอกาสได้รับไมล์สองแสนห้าหมื่นไมล์ และบั๊กเช่น XSS และ CSRF จะได้รับไมล์สูงสุดห้าหมื่นไมล์

ทางสายการบินเตือนว่าระบบเครือข่ายในเครื่องบินและระบบความบันเทิงในเครื่องบินไม่อยู่ในโครงการนี้ นอกจากนี้ยังห้ามข่มขู่เพื่อขอข้อมูลจากพนักงานของสายการบินรวมไปถึงเครือ Star Alliance และห้ามเข้าไปแก้ไขข้อมูลสมาชิกยกเว้นข้อมูลของบัญชีตัวเองเท่านั้น

ที่มา - United, The Stack

Tags:
Microsoft

ไมโครซอฟท์ออกอัพเดตให้กับ Windows 7 ขึ้นไป และ Windows Server 2008 ให้รองรับกระบวนการเข้ารหัสชุดใหม่เพิ่มเติมอีกสี่แบบ และจัดเรียงลำดับกระบวนการเข้ารหัสเสียใหม่ ทำให้เครื่องที่ติดตั้งอัพเดตนี้เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ที่รองรับ จะพยายามใช้กระบวนการเข้ารหัสที่รับประกันความลับในอนาคต (perfect forward secrecy - PFS)

กระบวนการเข้ารหัสที่เพิ่มขึ้นมามีทั้งหมดสี่แบบ ได้แก่ TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, และ TLS_RSA_WITH_AES_128_GCM_SHA256 ซึ่งเป็นการเพิ่มการรองรับการเข้ารหัสแบบกุญแจสมมาตร AES-GCM เป็นครั้งแรกของไมโครซอฟท์

กระบวนการแลกกุญแจในด้วยอัพเดตนี้จะทำให้แม้แฮกเกอร์จะดักฟังข้อมูลไว้ได้ และได้กุญแจเข้ารหัส SSL/TLS ในอนาคตก็ไม่สามารถถอดรหัสข้อมูลออกมาได้ เพราะกุญแจเข้ารหัสแบบสมมาตรถูกสร้างขึ้นใหม่ระหว่างการเชื่อมต่อโดยไม่มีกุญแจถูกส่งออกไปโดยตรง และเนื่องจากอัพเดตนี้มาพร้อมกับทั้งไคลเอนต์และเซิร์ฟเวอร์ ในอนาคตเราจึงน่าจะเจอเซิร์ฟเวอร์ที่รองรับการเชื่อมต่อที่ปลอดภัยสูงขึ้นแบบนี้มากขึ้น

ไมโครซอฟท์เตือนว่าการเชื่อมต่อแบบ PFS อาจจะใช้ซีพียูประมวลผลมากกว่าเดิม โดยเฉพาะในกรณีที่แอพพลิเคชั่นมีการเชื่ีอมต่อจำนวนมากๆ จึงควรทดสอบโหลดที่เพิ่มขึ้นเสียก่อนจะอัพเดตนี้

ที่มา - Microsoft Security Advisory 3042058, Threat Post

Tags:
Apple Watch

Jeff Benjamin แห่ง iDownloadBlog ได้เขียนบทความแสดงความกังวลต่อ Apple Watch ว่าคุณสมบัติหนึ่งที่ควรมีอย่างมากแต่ยังไม่มีคือ Activation Lock ซึ่งเป็นคุณสมบัติที่เริ่มมีใน iOS 7 ทั้งบน iPhone และ iPad ซึ่งทำให้หลังการรีเซ็ตเครื่อง ก็ยังต้องใส่รหัสผ่านอีกชั้นหากต้องการใช้ต่อ จึงเป็นการยากที่เครื่องถูกขโมยจะนำไปใช้งานต่อได้

Apple Watch ปัจจุบันมีการใช้รหัสผ่าน Passcode หากนาฬิกาไม่ถูกสวมใส่ ซึ่งทำได้เพื่อป้องกันข้อมูลใน Apple Watch เท่านั้น แต่ผลการทดสอบพบว่าเราสามารถสั่งลบข้อมูลทั้งเครื่องได้ง่ายมากโดยไม่ต้องใส่ Passcode เลยด้วยซ้ำ อีกทั้งยังสามารถนำไปจับคู่กับ iPhone เครื่องอื่นได้เลยด้วย

ด้วยคุณสมบัติดังกล่าว Benjamin จึงมองว่า Apple Watch โดยเฉพาะรุ่นหรู Apple Watch Edition อาจเป็นที่จับจ้องของหัวขโมยมากขึ้น

ที่มา: iDownloadBlog

Tags:

บริษัทความปลอดภัย CloudStrike ออกมาเตือนภัยช่องโหว่ใหม่ที่ตั้งชื่อว่า Venom มีผลกระทบกับซอฟต์แวร์ virtualization ฝั่งโอเพนซอร์สหลายตัว เช่น Xen, KVM, QEMU

ช่องโหว่นี้ช่วยให้แฮ็กเกอร์สามารถเจาะทะลุระบบปฏิบัติการ Guest OS ออกมายัง Host OS ได้ ซึ่งทำให้สามารถขยายผลเข้ามายังเครือข่ายภายในองค์กรได้อีกต่อหนึ่ง (การจำกัดความเสียหายไว้แค่ VM จึงไม่ปลอดภัยอีกต่อไป เพราะเจาะทะลุ VM ได้)

Tags:
Microsoft

ไมโครซอฟท์ปล่อยแพตช์ประจำเดือนพฤษภาคม รอบนี้มีบั๊กระดับวิกฤติสามตัวใน Internet Explorer, Font Drivers, และ Windows Journal โดยทั้งสามตัวมีบั๊กทำให้แฮกเกอร์สั่งรันโค้ดจากระยะไกลได้ (remote code excution) ผู้ดูแลระบบควรเร่งอัพเกรดให้เครื่องในองค์กรติดตั้งแพตช์เหล่านี้

บั๊กระดับวิกฤติเกี่ยวข้องกับฝั่งไคลเอนต์เป็นส่วนมากจึงดูจะไม่ร้ายแรงเท่ารอบที่แล้ว แต่บั๊กอื่นๆ ในรอบนี้ก็ยังเป็นบั๊กระดับสำคัญอีกหลายตัว แม้ว่าจะไม่ถึงระดับวิกฤติแต่ก็ควรเร่งอัพเดต เช่น บั๊ก MS15-047 เปิดช่องโหว่ให้รันโค้ดจากระยะไกล

ที่มา - Threat Post

Tags:

ภัยคุกคามออนไลน์เป็นสิ่งที่เกิดขึ้นได้ตลอดเวลาจากทั้งภายในและภายนอก ภัยรูปแบบใหม่ๆ ที่เกิดขึ้นเสมอทำให้องค์กรพบความเสี่ยงที่คาดไม่ถึง เช่น มัลแวร์เข้ารหัสไฟล์ทั้งหมดในเซิร์ฟเวอร์เพื่อเรียกค่าไถ่อาจจะสร้างความเสียหายได้มหาศาล หรือเจาะระบบอย่างเจาะจงเป้าหมายเพื่อสร้างความเสียหายให้กับองค์กรโดยตรง

ในปีที่แล้วเราได้สรุปรวม 10 ภัยออนไลน์ในปี 2013 ปีนี้เราจะมาดู 7 มาตรการที่องค์กรสามารถดูแลตัวเองเพื่อให้มีความปลอดภัย สามารถให้บริการได้อย่างต่อเนื่อง

Tags:
Microsoft Edge

ต่อเนื่องจากข่าว ล้างบ้าน Microsoft Edge จะไม่รองรับ ActiveX, VBSript, VML ไมโครซอฟท์ออกมาเผยฟีเจอร์ด้านความปลอดภัยของ Microsoft Edge โดยแยกออกเป็น 3 กลุ่มคือ ป้องกันปัญหา phishing (โดนหลอก), ป้องกันการถูกแฮ็ก (ไม่โดนหลอกแต่อยู่เฉยๆ ก็โดนโจมตี) และป้องกันปัญหาด้านหน่วยความจำ

ป้องกันปัญหา phishing

  • รองรับ Microsoft Passport ช่วยยืนยันตัวตนแทนการใช้รหัสผ่าน
  • ตัวกรองเว็บอันตราย SmartScreen จะถูกใช้งานกับทั้ง Microsoft Edge และ Windows Shell ป้องกันทั้งการเข้าเว็บอันตรายและดาวน์โหลดไฟล์อันตราย
  • รองรับ Certificate Reputation ช่วยเช็คความน่าเชื่อถือของใบรับรองดิจิทัลอีกชั้น นอกจากการเช็คว่าเว็บนั้นถูกเข้ารหัส (กุญแจเขียว) เพียงอย่างเดียว
  • รองรับมาตรฐานเว็บ Content Security Policy ลดการโจมตีจาก XSS และรองรับ HTTP Strict Transport Security บังคับเบราว์เซอร์เชื่อมต่อแบบเข้ารหัสเสมอ
Tags:
Russia

รัฐบาลรัสเซียออกมาเผยข้อมูลว่าได้เซ็นสัญญาความร่วมมือกับรัฐบาลจีน ประเด็นสำคัญคือทั้งสองประเทศตกลงจะไม่แฮ็กหรือดำเนินการโจมตีทางไซเบอร์ระหว่างกัน รวมถึงจะแลกเปลี่ยนข้อมูล-เทคโนโลยีด้านความมั่นคงไซเบอร์ระหว่างกันด้วย

ช่วงหลังความสัมพันธ์ของรัสเซียกับโลกตะวันตกย่ำแย่ลงมาก ทำให้รัสเซียต้องหันไปพึ่งพาจีนมากขึ้น นอกจากนี้ประเด็นเรื่องแผนการแฮ็กของ NSA ที่เปิดเผยโดย Edward Snowden ก็มีส่วนช่วยให้รัฐบาลประเทศต่างๆ ทั่วโลกตื่นตัวเรื่องภัยคุกคามไซเบอร์มากขึ้นเช่นกัน

ที่มา - Wall Street Journal

Tags:
Google

ผลพวงจาก Superfish ที่พยายามแทรกการเชื่อมต่อระหว่างเบราว์เซอร์กับเซิร์ฟเวอร์เพื่อแทรกโฆษณาและสร้างรายได้ให้กับผู้ผลิตซอฟต์แวร์ จนกลายเป็นช่องโหว่ความปลอดภัยขนานใหญ่ ทำให้กูเกิลเข้ามาสำรวจว่าจริงๆ แล้วมีซอฟต์แวร์ประเภทนี้ทำงานอยู่มากน้อยแค่ไหน ผลคือซอฟต์แวร์เหล่านี้ติดอยู่หมายเลขไอพีที่เชื่อมต่อเข้ามายังกูเกิลถึง 5.5%

ผลการวิจัยพบว่ามีส่วนเสริมเบราว์เซอร์มากกว่า 50,000 รายการ และแอพพลิเคชั่นอีกกว่า 34,000 รายการที่พยายามแทรกโฆษณาเช่นเดียวกับ Superfish ในจำนวนนี้ประมาณ 30% ร้ายแรงในระดับที่แสดงความมุ่งร้ายต่อเครื่อง ขโมยข้อมูลผู้ใช้, ขโมยหน้าจอค้นหา, รายงานพฤติกรรมผู้ใช้กลับเซิร์ฟเวอร์

Tags:
Google

จากข่าว กูเกิลเปิดศึกกับโฆษณาฝังเว็บเพจ (Ad Injector) โดยแบนส่วนเสริมบางตัวของ Chrome วันนี้กูเกิลออกมาเผยผลการศึกษาเรื่องวงการ Ad Injector ที่ร่วมกับมหาวิทยาลัย University of California, Berkeley และ Santa Barbara

วิธีเก็บสถิติของกูเกิลคือฝังโค้ดตรวจจับว่าผู้ใช้โดน Ad Injector หรือไม่ลงในเว็บเพจของกูเกิลเอง และได้ข้อมูลของ Ad Injector เป็นหลักสิบล้านรายไปวิเคราะห์ ผลออกมาว่าผู้ใช้เน็ตกลุ่มตัวอย่าง 5.5% โดน Ad Injector เข้าแล้ว (ถ้าแยกตามระบบปฏิบัติการคือ 5.1% ของเพจวิวจากผู้ใช้ Windows และ 3.4% จากแมค โดนฝังโฆษณา)

กูเกิลบอกว่าพบส่วนเสริมของเบราว์เซอร์กว่า 50,000 ตัวที่แอบฝังโฆษณาลงหน้าเว็บ และมีแอพกว่า 34,000 ตัวที่เข้าไปเปลี่ยนเนื้อหาบนเบราว์เซอร์ วิธีการทำงานของวงการนี้คือ สร้างซอฟต์แวร์ฝังโฆษณาด้วยไลบรารีเฉพาะทาง (เช่น Superfish) แล้วหลอกล่อให้ผู้ใช้ติดตั้งซอฟต์แวร์เหล่านี้ลงไปด้วยวิธีการต่างๆ เช่น ผนวกไปกับซอฟต์แวร์ชื่อดังที่ให้ดาวน์โหลดฟรี หรือทำตลาดผ่านโซเชียล

ที่ผ่านมากูเกิลใช้มาตรการหลายอย่างเพื่อคุมเข้มปัญหานี้ ทั้งการแบนส่วนเสริมของ Chrome และเตือนให้ผู้ลงโฆษณาผ่านเครือข่ายของกูเกิลรับทราบว่าโฆษณาอาจถูก Ad Injector นำไปใช้เพื่อหารายได้

ที่มา - Google Online Security Blog

Tags:
WordPress

ช่วงนี้มีข่าวช่องโหว่ของ WordPress ออกมาอย่างต่อเนื่อง วันนี้ทางโครงการ WordPress ก็ออกซอฟต์แวร์เวอร์ชัน 4.2.2 ซึ่งเป็นการอุดรูรั่วระดับ "ร้ายแรง" (critical) สองจุดของเวอร์ชัน 4.2.1 ที่เพิ่งออกเมื่อปลายเดือนที่แลว

  • ช่องโหว่ที่เป็นปัญหาในรอบนี้คือแพ็กเกจฟอนต์ genericons ที่ธีมหลายตัวเรียกใช้งาน มันมีรูรั่วที่เปิดให้ถูกโจมตีแบบ cross-site scripting (XSS) ซึ่งธีมที่โดนไปด้วยคือธีมดีฟอลต์ Twenty Fifteen ที่มากับ WordPress อยู่แล้ว (อย่าลืมอัพเดตธีมกันด้วยนะครับ)
  • ช่องโหว่อีกตัวที่อัพเดตพร้อมกันเป็นช่องโหว่เกี่ยวกับ XSS เช่นกัน โดยเปิดให้ผู้ใช้ที่ไม่ล็อกอินสามารถควบคุมเว็บไซต์ได้

นอกจากตัว WordPress โดยตรงแล้ว ปลั๊กอินยอดนิยมอย่าง JetPack ที่สร้างโดยบริษัท Automattic ก็ออกเวอร์ชันอุดช่องโหว่มาพร้อมกัน ใครใช้งานอยู่ก็อัพเดตกันด่วนครับ

ที่มา - WordPress.org, Sucuri

Tags:
Thailand

เมื่อวันที่ 29 เมษายนที่ผ่านมากรมสอบสวนคดีพิเศษหรือ DSI มีหนังสือแจ้งเตือนภายในหน่วยงานจากสำนักเทคโนโลยีและศูนย์ข้อมูลการตรวจสอบ ระบุถึงระดับการระบาดของมัลแวร์เรียกค่าไถ่ข้อมูล (ransomware) ที่กำลังระบาด ระบุว่าระบบเมลของ DSI เองสามารถลบกรองมัลแวร์เหล่านี้ได้ไปถึง 82 รายการ และยังมีการแจ้งปัญหาจากหน่วยงานต่างๆ อีกจำนวนมาก

ทาง DSI แนะนำในหน่วยงานว่าหากพบอีเมลจากคนที่ไม่รู้จัก หรือแม้จะรู้จักแต่ไม่รู้เหตุผลว่าจะส่งอีเมลมาทำไม ให้โทรสอบถามอีกครั้ง หากไม่สามารถยืนยันได้ว่าเจ้าตัวเป็นผู้ส่งจริงให้ลบอีเมลทิ้งเสีย

Tags:
Microsoft

ไมโครซอฟท์เปิดตัว Advanced Threat Analytics (ATA) ซอฟต์แวร์ตรวจจับการโจมตีเครือข่าย โดยใช้เทคโนโลยีจากบริษัท Aorato ที่ไมโครซอฟท์ซื้อมาเมื่อปลายปีที่แล้ว

ATA จะตรวจสอบข้อมูลจากทราฟิกการเชื่อมต่อ ล็อกของเซิร์ฟเวอร์ Active Directory และข้อมูลอื่นๆ เพื่อสรุปและแจ้งเตือนการโจมตี โดยสามารถเตือนได้ตั้งแต่พฤติกรรมน่าสงสัย, แจ้งเตือนการโจมตีที่เกิดขึ้นแล้ว, และจุดเสี่ยงต่อการโจมตีในระบบ โดยตัว ATA สามารถเรียนรู้พฤติกรรมผู้ใช้ในองค์กรว่าเข้าถึงทรัพยากรใดอย่างไรบ้าง จึงสามารถวิเคราะห์และแจ้งเตือนในกรณีที่มีความเปลี่ยนแปลงไปอย่างผิดสังเกตได้

ไมโครซอฟท์เปิดให้ดาวน์โหลด ATA ไปทดลองได้ฟรีเป็นเวลา 90 วัน ส่วนข้อมูลราคาและช่วงเวลาที่จะวางขาย ยังไม่มีข้อมูลในตอนนี้

ที่มา - Technet, Ars Technica

Tags:
Internet Explorer

เราเห็นข่าวกูเกิลปรับนโยบายของ Google Safe Browsing อยู่บ่อยๆ (ตัวอย่าง 1, ตัวอย่าง 2) ฝั่งของไมโครซอฟท์เองที่มีฟีเจอร์แบบเดียวกันชื่อ SmartScreen Filter ก็เริ่มเข้มงวดกับเว็บไซต์มากขึ้นเช่นกัน

สิ่งที่ไมโครซอฟท์ประกาศแบนเพิ่มเติมมีดังนี้

  • โฆษณาหลอกลวงที่ทำภาพเหมือนโปรแกรมบางตัวในเครื่องมีอัพเดต แล้วหลอกให้เรากด (ตามภาพด้านล่าง)
  • โฆษณาที่คลิกแล้วจะดาวน์โหลดไฟล์ทันที
  • โฆษณาที่แฝงตัวกับเนื้อหาในเว็บไซต์อย่างกลมกลืน จนไม่สามารถแยกได้
  • โฆษณาที่ฝังมัลแวร์
Tags:
Firefox

มอซิลล่าผู้พัฒนาเบราว์เซอร์ไฟร์ฟอกซ์ประกาศแผนการกดดันให้เว็บเลิกใช้งาน HTTP ที่ไม่เข้ารหัส โดยแบ่งแผนการออกมาเป็นสองลำดับ

  1. เมื่อถึงวันที่กำหนด ฟีเจอร์ใหม่ๆ ทั้งหมด ไม่ว่าจะเป็นฟีเจอร์ใดๆ จะไม่ทำงานบนเว็บ HTTP อีกต่อไป
  2. ค่อยๆ ปิดฟีเจอร์เดิมที่เกี่ยวข้องกับความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ออกไปจากเว็บที่ไม่เข้ารหัส

แนวทางนี้ยังคงเป็นกรอบกว้างๆ ที่สำคัญคือยังไม่มีการกำหนดวันที่ตัดฟีเจอร์ใหม่ออกจากเว็บ HTTP และยังต้องนิยามฟีเจอร์ใหม่ที่เว็บ HTTP จะใช้งานไม่ได้ให้ชัดเจน ฟีเจอร์ที่อาจจะใช้งานไม่ได้ เช่น การเข้าถึงฮาร์ดแวร์ด้วย API ใหม่ๆ

แนวทางนี้จะทำให้เว็บเก่าๆ เริ่มทำงานบางอย่างไม่ได้อีกต่อไป แต่ทางมอซิลล่าก็หวังว่าการประกาศแผนครั้งนี้จะส่งสัญญาณไปยังผู้พัฒนาเว็บให้ปรับเว็บให้เป็น HTTPS ได้แล้ว ก่อนที่จะถึงวันที่กำหนดจริงๆ

ที่มา - Mozilla Blog

Tags:
Google

กูเกิลออกส่วนเสริมของ Chrome ชื่อ Password Alert ที่ช่วยป้องกันไม่ให้เราป้อนรหัสผ่านบัญชี Google ใส่ในเว็บเพจอื่นที่อาจเป็น phishing หลอกขโมยรหัสผ่านของเรา

ส่วนเสริมตัวนี้จะช่วยเตือนทั้งกรณีที่เป็น phishing จริงๆ และช่วยกดดันให้เราไม่ใช้รหัสผ่านเดียวกับเว็บไซต์อื่นๆ ที่ไม่ใช่เว็บของกูเกิลเอง ซึ่งจะช่วยให้ความปลอดภัยของผู้ใช้เพิ่มขึ้นในภาพรวม

ขั้นตอนการทำงานของมันคือกูเกิลจะเก็บรหัสผ่านบัญชี Google ของเราที่เข้ารหัสแล้ว จากนั้นจะคอยเทียบกับรหัสผ่านที่เราป้อนลงในเว็บไซต์อื่นๆ ว่าตรงกันหรือไม่ ถ้าตรงกันก็จะแจ้งเตือนให้เราเปลี่ยนรหัสผ่าน Google ใหม่ครับ

ที่มา - Google Online Security Blog

Tags:
Cisco

ทีม Talos ของซิสโก้โพสบทความวิเคราะห์มัลแวร์เข้ารหัสไฟล์เรียกค่าไถ่ TeslaCrypt ที่เข้ารหัสไฟล์หลายประเภทรวมถึงเซฟเกมในเครื่อง พบว่ามันไม่ได้เข้ารหัสแบบ RSA-2048 อย่างที่อ้างไว้ในตัวมัลแวร์เอง แต่ใช้การเข้ารหัสแบบกุญแจสมมาตร AES-256 CBC และเก็บกุญแจเอาไว้ในไฟล์ ทำให้สามารถถอดรหัสด้วยตัวเองได้

ทีมงาน Talos พบว่ากุญแจเข้ารหัสของ TeslaCrypt เป็นค่า SHA-256 ของข้อมูลส่วนหนึ่งในไฟล์ key.dat ที่มัลแวร์สร้างขึ้นเอง ทำให้สามารถดึงข้อมูลมาคำนวณเพื่อถอดรหัสได้ อย่างไรก็ตาม TeslaCrypt รุ่นใหม่ๆ เข้ารหัสซับซ้อนขึ้นและทำลายไฟล์ key.dat ทิ้งไปในบางครั้ง ทางทีมงาน Talos กำลังศึกษากระบวนการใหม่และปรับปรุงซอฟต์แวร์ตามไป

ไฟล์เปิดให้ดาวน์โหลดได้จากที่มาข่าว

ที่มา - Cisco