Tags:
OpenSSL

OpenSSL รายงานช่องโหว่การตรวจสอบใบรับรองที่ไม่ถูกต้อง แต่กลับตรวจสอบว่าใช้งานได้ ความผิดพลาดสำคัญคือการที่ใบรับรองปกติที่ไม่มีสิทธิไปรับรองใบรับรองอื่นอีก เช่น ใบรับรองเว็บไซต์ทั่วไป กลับสามารถไปรับรองใบรับรองอื่นได้ แล้ว OpenSSL ยังคงเชื่อตามการรับรองนั้น

OpenSSL ไม่ได้ระบุรายละเอียดว่ามีกรณีใดบ้างที่กระบวนการตรวจสอบใบรับรองจึงผิดพลาดเช่นนี้ แต่ตัวอย่างในเทสเคสนั้นมีความซับซ้อนพอสมควร โดยจำเป็นต้องสร้าง sub intermediate CA (subinterCA) ขึ้นมาเพื่อรับรองใบรับรองปลายทาง (leaf) แถม subinterCA นั้นต้องอยู่ใน tustedd store ก่อน ใบรับรองปลายทางจึงสามารถไปรับรองใบรับรองอื่นๆ ได้

ช่องโหว่นี้กระทบกับ OpenSSL รุ่น 1.0.2c, 1.0.2b, 1.0.1n, และ 1.0.1o ระหว่างนี้ที่ยังไม่มีรายละเอียดชัดเจนนักว่าจะใช้โจมตีได้อย่างไรก็ควรรีบอัพเดตกัน

ช่องโหว่นี้ถูกค้นพบโดยทีมงาน BoringSSL ของกูเกิลที่แยกโครงการ OpenSSL ออกไปทำเองเมื่อปีที่แล้ว

ที่มา - OpenSSL

Tags:
BlackBerry

BlackBerry ได้จดทะเบียนโดเมน AndroidSecured.com และ AndroidSecured.net ซึ่งเมื่อเปิดเข้าไปจะพบกับหน้าเว็บไซต์ที่มีข้อมูลความร่วมมือระหว่าง BlackBerry และ Google เพื่อตลาดองค์กร

ข้อมูลการร่วมมือกันบนเว็บไซต์นี้คล้ายเป็นการยืนยันว่าจะมีอุปกรณ์ BlackBerry ที่รัน Android Lollipop ออกมาอย่างแน่นอน จากข้อความ “Bring Android to work” และทั้งคู่กำลังทำงานร่วมกันอย่างใกล้ชิดเพื่อสร้างมาตรฐานความปลอดภัยใหม่บนอุปกรณ์พกพาที่รัน Android สำหรับลูกค้าองค์กร อีกทั้งผู้บริหารของ BlackBerry ไม่ได้มีท่าทีคัดค้านหากมีการทำอุปกรณ์ที่รัน Android แทน BlackBerry OS เนื่องจากจุดขายของ BlackBerry ไม่ได้อยู่ที่ฮาร์ดแวร์ แต่อยู่ที่ซอฟต์แวร์ระบบความปลอดภัย

ล่าสุด BES12 (BlackBerry Enterprise Service) เวอร์ชัน 12.2 เพิ่มฟีเจอร์เด่นๆ อย่างการจัดการอุปกรณ์ที่ใช้งาน Samsung KNOX และ Android for Work ช่วยเพิ่มความปลอดภัยและทำให้การจัดการอุปกรณ์มีความง่ายมากขึ้น โดยผู้ที่สนใจสามารถทดลองใช้ BES12 ได้ 60 วัน

ที่มา – Android Authority

Tags:
Adobe

ข่าวช่องโหว่ Adobe Flash ของ Hacking Team ออกมาไม่กี่ชั่วโมง ตอนนี้ก็ร้อนไปถึง Adobe ต้องรีบออกมารายงานช่องโหว่นี้ โดยระบุว่าทาง Adobe รับรู้แล้ว และกำลังจะปล่อยแพตช์ออกมาภายในวันพรุ่งนี้ (ตามเวลาสหรัฐฯ)

ช่องโหว่นี้รายงานเข้าไปยังทาง Adobe โดย Project Zero และ Morgan Marquis-Boire จากเดิมที่ก่อนหน้านี้ Firefox เคยประกาศว่าจะให้รางวัลการรายงานช่องโหว่กับผู้ที่รายงานช่องโหว่คนแรก รายงานของ Adobe ทำให้เรารู้ว่าทาง Project Zero กำลังไล่ขุดช่องโหว่ออกมารายงานไปยังผู้ผลิตกันอยู่เช่นกัน

ที่มา - Adobe

Tags:
Chrome

Project Zero ของกูเกิลรายงานช่องโหว่ในส่วนการรับไฟล์รับรองการเข้ารหัสของ Chrome หากไฟล์ใบรับรองมีขนาดใหญ่มากเกิน 4GB จะเปิดช่องให้แฮกเกอร์สามารถส่งโค้ดมารันเบราว์เซอร์ได้

ความผิดพลาดนี้เกิดขึ้นเนื่องจากโค้ดส่วนที่อ่านค่าความยาวของไฟล์ใช้ตัวแปรชนิด size_t แต่เมื่อต้องนำข้อมูลไฟล์ใบรับรองมาต่อกันออปเจกต์ IOBuffer กลับรองรับความยาวเป็นตัวแปรชนิด int ทำให้ไฟล์ใบรับรองทะลุพื้นที่ของ heap ออกไปได้

ส่วนรองรับใบรับรองการเข้ารหัสนี้อยู่นอก sandbox ของ Chrome จึงมีความร้ายแรงแม้แฮกเกอร์จะต้องล่อให้เบราว์เซอร์โหลดไฟล์ x509 ขนาดใหญ่

โค้ดส่วนนี้เป็นการรองรับไฟล์ x509 ที่เซิร์ฟเวอร์ประกาศ MIME type เป็น application/x-x509-user-cert และ MIME อื่นๆ ในกลุ่มเดียวกัน การส่งไฟล์ผ่าน HTTP ทำให้สามารถสร้างไฟล์ที่บีบอัดแบบ Gzip ไว้แล้วได้ ตัวไฟล์จริงจึงอาจจะมีขนาดเล็กเพียง 4MB เท่านั้น

กระบวนการแฮกด้วยช่องโหว่นี้ยังคงเป็นเรื่องยากแม้ขนาดข้อมูลที่ส่งจะมีขนาดเล็ก แต่เบราว์เซอร์จะต้องขยายไฟล์ซึ่งใช้เวลานานกว่า 30 วินาที และการใช้หน่วยความจำอย่างหนักอาจจะทำให้โปรเซสอื่นๆ มีปัญหาได้

ช่องโหว่นี้แก้ไขไปแล้วตั้งแต่เดือนพฤษภาคมที่ผ่านมา แต่เพิ่งเปิดเผยสู่สาธารณะเมื่อวานนี้

ที่มา - Project Zero, Project Zero Blog

Tags:
Flash

ผลกระทบจากกรณี Hacking Team ถูกแฮก ยังตามมาอย่างต่อเนื่อง หลังข้อมูลช่องโหว่ของระบบปฏิบัติการถูกเผยแพร่ออกมาส่วนหนึ่ง ก็มีข้อมูลชุดใหม่ตามมาอีก

บริษัทความปลอดภัย Trend Micro ขุดข้อมูลของ Hacking Team แล้วพบช่องโหว่ของ Flash Player สองตัว ตัวหนึ่งถูกแพตช์แก้ไปแล้ว ส่วนตัวที่ค้นพบใหม่ยังไม่มีแพตช์แก้ใดๆ แถมการทดสอบกับ Flash เวอร์ชันล่าสุดก็ยังใช้งานช่องโหว่นี้ได้อยู่

เอกสารภายในของ Hacking Team ระบุว่าช่องโหว่ตัวนี้เป็น "บั๊กที่สวยงามที่สุด" ของ Flash ในรอบ 4 ปีที่ผ่านมา โดยทีมงานสามารถใช้ช่องโหว่นี้ควบคุมและสั่งงาน Windows ได้จากระยะไกล (โค้ดตัวอย่างใช้เรียก Calculator ได้)

ระหว่างนี้คงต้องอยู่กันแบบหวาดหวั่น และรอ Adobe รีบออกแพตช์มาแก้ครับ

ที่มา - Trend Micro

Tags:

ข้อมูลจาก Hacking Team หลุดออกมาจำนวนมาก ตอนนี้หลายคนก็เริ่มขุดหาว่าฟีเจอร์ของ Hacking Team นั้นสามารถเจาะเข้าแพลตฟอร์มใดได้บ้าง ปรากฎว่ารายการสินค้าและราคานั้นบอกข้อจำกัดไว้ทั้งหมด

จากรายการสินค้า แพลตฟอร์มต่างๆ จะมีฟีเจอร์ต่างกันไป

  • วินโดวส์: รองรับตั้งแต่ Windows XP SP3 ขึ้นมาทั้งหมด สามารถดัก Skype ทั้งเสียงและแชต, เฟซบุ๊กแชตและเช็คอิน, จีเมล, Outlook.com, Bitcoin, Litecoin, จับไฟล์ในเครื่อง, เปิดกล้องขึ้นถ่ายภาพ, อัดเสียง, ตรวจจับตำแหน่ง
  • OS X: รองรับตั้งแต่ 10.6 ขึ้นไป สามารถดัก Skype ทั้งเสียงและแชต, อัดเสียงจากไมโครโฟน, Bitcoin, Litecoin, Apple Mail, เปิดกล้องขึ้นถ่ายภาพ, บันทึกการกดคีย์บอร์ด
  • ลินุกซ์: รองรับ Ubuntu, Fedora, Debian, Mageia, และ Mint สามารถดัก Skype เฉพาะแชต, เก็บบัญชีที่เซฟไว้ใน Firefox/Thunderbird, Bitcoin, Litecoin, เปิดกล้องขึ้นถ่ายภาพ, บันทึกการกดคีย์บอร์ด
  • แอนดรอยด์: รองรับรุ่น 2.3 ถึง 5.0 สามารถจับรายการ contact ของเฟซบุ๊ก/Skype/Hangouts, อัดเสียงการสนทนาทั้ง GSM/Skype/Viber, บันทึกแชต Skype/WhatsApp/Viber/เฟซบุ๊ก/Hangouts/Telegram, อีเมลใน Gmail, รหัสผ่าน Wi-Fi, อัดเสียงจากไมโครโฟน, ตำแหน่งเครื่องปัจจุบัน, สามารถพยายามรูตเครื่องได้อัตโนมัติ
  • iOS: รองรับ iOS 4.x ขึ้นไป แต่ต้อง jailbreak ก่อนเท่านั้น สามารถบันทึกแชต Skype/ WhatsApp/Viber, ตำแหน่งเครื่อง, รายชื่อติดต่อ, รายการโทร
  • BlackBerry: รองรับ BlackBerry OS 4.5 ถึง 7.1 สามารถบันทึกแชต BBM, อีเมล/SMS, รายการโทร, ตำแหน่งเครื่อง, เปิดไมโครโฟนขึ้นอัดเสียง
  • Windows Phone รองรับรุ่น 8.0/8.1 เท่านั้น ต้องเข้าถึงตัวเครื่องโดยตรงเพื่อติดตั้งใบรับรอง สามารถเปิดไมโครโฟนขึ้นอัดเสียง, บอกตำแหน่งเครื่อง, รายการติดต่อ, ปฎิทิน

จากข้อจำกัดการติดตั้ง ตอนนี้คงต้องบอกว่าสองแพลตฟอร์มที่รอดจาก Hacking Team คือ Windows Phone และ iOS ถ้าใครกังวลเรื่องการถูกดักฟังก็น่าจะพิจารณาจากรายการนี้ประกอบครับ

ที่มา - MacRumors

Tags:

ไม่กี่ชั่วโมงหลังจากแฮกเกอร์นิรนามยึดทวิตเตอร์ของ Hacking Team แล้วโพสลิงก์ไปยังข้อมูลจำนวนมาก ตอนนี้ก็มีคนแกะเอาซอร์สโค้ดออกมาอัพโหลดขึ้น GitHub แล้ว

โค้ดที่อัพโหลดแสดงช่องโหว่ของระบบปฎิบัติการต่างๆ จำนวนมาก กระบวนการแฮกแยกตามระบบปฎิบัติการ, รุ่นที่ใช้ เช่นแอนดรอยด์จะแยกที่ก่อน 4.1 กับหลัง 4.2 เพราะ SELinux โค้ดหลายส่วนแยกตามรุ่นโทรศัพท์มือถือ

ตอนนี้ยังไม่มีความเห็นจากทางบริษัท แต่ Daniel Veditz หัวหน้าฝ่ายความปลอดภัยซอฟต์แวร์ของมอสซิลล่าก็ออกมาระบุว่าผู้ที่รายงานช่องโหว่เข้าไปยังมอสซิลล่าเป็นคนแรกจะได้รางวัลตามโครงการให้รางวัลช่องโหว่

ที่มา - Slashdot

Tags:

บริษัท Hacking Team ผู้ผลิตซอฟต์แวร์อาศัยช่องโหว่เพื่อขายกับหน่วยงานรัฐบาลทั่วโลกกลับถูกแฮกทวิตเตอร์ในวันนี้พร้อมกับข้อความระบุว่า "เราไม่มีอะไรต้องปิดบัง และเราจะเปิดเผยอีเมล, เอกสาร, และซอร์สโค้ดของเราทั้งหมด"

เอกสารที่ปล่อยออกมามีขนาดถึง 500GB ระบุถึงรายได้, รายชื่อลูกค้า, รวมไปถึงรหัสผ่านเซิร์ฟเวอร์ทั่วโลก หนึ่งในรายชื่อลูกค้ามีหน่วยงานไทยหนึ่งหน่วยงาน โดยระบุว่าซ่อมบำรุงไปครั้งสุดท้ายเมื่อช่วงกลางปีที่แล้ว และไลเซนส์ซอฟต์แวร์ได้หมดอายุไปแล้ว สำหรับประเทศอื่นๆ ในอาเซียนก็อยู่ในรายชื่อ เช่น มาเลเซียมีสามหน่วยงาน นอกจากนี้ยังมี เกาหลีใต้, สหรัฐฯ, รัสเซีย อยู่ในรายชื่อลูกค้า

ก่อนหน้านี้ Citizen Labs เคยรายงานว่าไทยเป็นหนึ่งใน 21 ชาติที่น่าจะใช้งานมัลแวร์ Remote Control System (RCS) เพื่อบุกรุกเข้าไปยังเครื่องของเป้าหมาย พร้อมกับตั้งข้อสังเกตุว่า Hacking Team มีความสัมพันธ์ที่ดีกับ VUPEN บริษัทขายช่องโหว่ซอฟต์แวร์รายสำคัญจากฝรั่งเศส (อ่านเพิ่มเติมรายงาน Citizen Lab)

การรั่วไหลครั้งนี้น่าจะทำให้เอกสารอื่นๆ ที่สาธารณะสามารถเข้าไปดูได้ถูกเปิดเผยมาอีกเรื่อยๆ

ความเห็นจากผู้เชี่ยวชาญความปลอดภัยหลายฝ่ายเห็นตรงกันว่าการถูกแฮกรอบนี้เป็นหายนะครั้งใหญ่ Raj Samani จาก Intel Security ตั้งข้อสังเกตว่าแฮกเกอร์มุ่งจะเผยแพร่เอกสารทั้งหมดในทีเดียวโดยไม่ได้นำไปขายในตลาดมืด แนวโน้มเช่นนี้ดูจะเกิดขึ้นบ่อยขึ้นเรื่อยๆ ในช่วงหลังๆ

ที่มา - The Hacker News, Net-Security.org

Tags:

Peiter Zatko นักวิจัยด้านความปลอดภัยระบบคอมพิวเตอร์ หนึ่งในบุคลากรสำคัญของทีม Google ATAP ตัดสินใจลาออกจากงานปัจจุบัน เพื่อตั้ง CyberUL หน่วยงานสนับสนุนมาตรฐานกลางด้านความปลอดภัยของซอฟต์แวร์

กล่าวถึง CyberUL มันคือองค์กรในฝันที่มีการเรียกร้องจากหลายฝ่ายทั้งภาครัฐและภาคธุรกิจให้จัดตั้งกันมานานกว่า 20 ปี โดยได้แนวคิดมาจากการทำงานบริษัท Underwriters Laboratories (เรียกกันย่อๆ ว่า UL) ซึ่งดำเนินธุรกิจด้านการทดสอบความปลอดภัยของผลิตภัณฑ์ต่างๆ มายาวนานกว่า 100 ปี จึงเกิดมีแนวคิดเรื่องการสร้างองค์กรที่ทำหน้าที่นี้สำหรับซอฟต์แวร์โดยเฉพาะ อันกลายเป็นที่มาของชื่อ CyberUL ที่จะรับหน้าที่ผลักดันข้อกำหนดต่างๆ เกี่ยวกับความปลอดภัยของซอฟต์แวร์ให้เป็นมาตรฐานเดียวกันทั้งวงการอุตสาหกรรมไอที ทั้งนี้ CyberUL จะถือเป็นองค์กรอิสระไม่ใช่หน่วยงานหนึ่งของภาครัฐ

Tags:
Thailand

เมื่อ 4 ชั่วโมงที่ผ่านมานับตั้งแต่ข่าวนี้เริ่มเขียน กลุ่มแฮกเกอร์ซึ่งใช้ชื่อว่า GhostShell ได้มีการเผยแพร่ข้อมูลการโจมตีโดยมีเป้าหมายส่วนหนึ่งเป็นเว็บไซต์สถาบันการศึกษาและบริษัทห้างร้านในไทย โดยในข้อมูลที่เผยแพร่ออกมานั้นได้มีการบอกถึงช่องโหว่ที่ใช้ในการโจมตี และข้อมูลบางส่วนที่ถูกขโมยมาจากฐานข้อมูลด้วย

ในตอนนี้ถือได้ว่าเว็บไซต์เหล่านี้ได้ถูกโจมตีแล้วและไม่สามารถทราบความเสียหายได้อย่างแน่ชัดจนกว่าจะมีการตรวจสอบ ขอความร่วมมือผู้ดูแลระบบและผู้ที่เกี่ยวข้องทุกคนช่วยตรวจสอบ แก้ไขเบื้องต้นและป้องกันโดยด่วนที่สุด รายชื่อเว็บไซต์ที่ถูกแฮกทั้งหมดมีอยู่ในส่วนท้ายของข่าวครับ

เพิ่มเติมข้อแนะนำสำหรับผู้ใช้และหน่วยงานที่ได้รับผลกระทบจากการเจาะระบบของกลุ่มแฮกเกอร์ GhostShell โดย ThaiCERT ครับ

Tags:
FBI

ผู้อ่าน Blognone คงคุ้นเคยกับข่าวการโจมตีระบบคอมพิวเตอร์ด้วยเทคนิคด้านซอฟต์แวร์สารพัดรูปแบบ แต่ล่าสุดในสหรัฐอเมริกา เกิดการโจมตีรูปแบบใหม่ที่มุ่งไปตัดสายเคเบิลเพื่อให้อินเทอร์เน็ตใช้งานไม่ได้

การสืบสวนของ FBI พบว่ามีการทำลายสายเคเบิลเชื่อมต่อเน็ตในพื้นที่ Bay Area อย่างน้อย 11 ครั้งในรอบ 1 ปีที่ผ่านมา (รอบล่าสุดเมื่อวันอังคารนี้เอง) รูปแบบการโจมตีคือมีคนบุกเข้าไปยังอุโมงค์ใต้ดิน และตัดสายไฟเบอร์ออปติก 3 เส้นของบริษัท Level 3 และ Zayo

การตัดสายเคเบิล (อย่างจงใจ) ไม่ใช่เรื่องใหม่ และเกิดเหตุการณ์ลักษณะนี้จนทำให้ระบบสื่อสารใช้งานไม่ได้อยู่บ่อยครั้ง อย่างไรก็ตาม การโจมตีครั้งนี้มีลักษณะพิเศษคือกระจายกันอยู่ในพื้นที่เดียว ซึ่ง JJ Thompson ผู้เชี่ยวชาญด้านความปลอดภัยวิตกว่า "ใครสักคน" กำลังทดสอบการโจมตีที่ใหญ่กว่านั้น โดยลองตัดสายเพื่อดูผลกระทบและระยะเวลาการตอบสนองของเจ้าหน้าที่ในการแก้ไข

การตัดสายไฟเบอร์ออปติกจำเป็นต้องใช้เครื่องมือพิเศษ เพราะสายมีฉนวนที่แข็งแรงห่อหุ้มไว้ ซึ่งทาง FBI ยังไม่เปิดเผยรายละเอียดของการตัดสายว่าทำได้อย่างไรบ้าง

ที่มา - USA Today

Tags:
Amazon

อเมซอนเปิดตัวไลบรารี TLS ของตัวเองในชื่อ s2n โดยเน้นความเล็กและเร็ว จุดเด่นสำคัญที่สุดคือโค้ดที่สั้นกว่า OpenSSL อย่างมาก โดยโค้ดในส่วน TLS นั้น s2n มีโค้ด 6,000 บรรทัด เทียบกับ OpenSSL ที่มีโค้ด 70,000 บรรทัด

ตัวไลบรารีไม่ได้ออกแบบมาเพื่อใช้ทดแทน OpenSSL โดยตรง ต่างจากโครงการไลบรารีอื่น เช่น BoringSSL ของกูเกิล และ LibreSSL ของ OpenBSD โดยทั่วไปโครงการไลบรารี TLS/SSL นั้นจะต้องมีไลบรารีสองตัว คือ libssl สำหรับตัวโปรโตคอล และ libcrypto สำหรับกระบวนการเข้ารหัส ตัว s2n นั้นจะมีเฉพาะ libssl และกระบวนการคอมไพล์จะสามารถใช้ร่วมกับ OpenSSL, BoringSSL, หรือ LibreSSL ก็ได้ เพื่อไปใช้กระบวนการเข้ารหัสในไลบรารีเหล่านั้น

ชื่อ s2n มาจาก signal-to-noise แปลว่าโค้ดทุกบรรทัดในโครงการมีความหมาย สำหรับ OpenSSL นั้นทางอเมซอนยืนยันว่าจะสนับสนุนผ่านทางกองทุน Core Infrastructure Initiative ต่อไป

ที่มา - Amazon

Tags:
Medium

Medium บริการเว็บบล็อคที่สามารถคอมเมนต์ได้แยกรายย่อหน้าเพิ่มวิธีการล็อกอินแบบใหม่ผ่านอีเมลเท่านั้น หลังจากก่อนหน้านี้รองรับการล็อกอินผ่านทวิตเตอร์และเฟซบุ๊กไปก่อนแล้ว

เรื่องน่าแปลกใจของ Medium คือแม้จะสร้างบัญชีด้วยอีเมลได้ แต่กระบวนการล็อกอินจะบังคับให้ใช้ลิงก์ล็อกอินเสมอ ไม่สามารถตั้งรหัสผ่านได้ ทาง Medium ระบุว่าการตั้งรหัสให้ดีนั้นยาก และคนจำนวนมากเลือกจะใช้รหัสผ่านซ้ำกันไปมา

แนวทางนี้เปิดให้สำหรับผู้ที่สร้างบัญชีด้วยทวิตเตอร์หรือเฟซบุ๊กด้วยเช่นกัน

ที่มา - Medium

Tags:
Medium

Medium บล็อกแพลตฟอร์มออนไลน์ประกาศเพิ่มทางเลือกในการล็อกอินแบบใหม่ โดยไม่ต้องใช้รหัสผ่าน ไม่ต้องเชื่อมต่อบัญชีเครือข่ายสังคมอื่น เพียงแค่คลิกลิงก์จากอีเมลเท่านั้น

แม้ว่าก่อนหน้านี้บริษัทได้อนุญาตให้ผู้ใช้สามารถใช้บัญชีของ Twitter หรือ Facebook เชื่อมต่อเครือข่ายในการล็อกอิน แต่หลังจากได้รับ Feedback จากผู้ใช้หลายคนว่า พวกเขาต้องการที่จะเข้า Medium โดยที่ไม่ต้องเชื่อมต่อกับบัญชีอื่น หรือในบางกรณีที่ผู้ใช้ไม่มีบัญชี Twitter หรือ Facebook ก็ไม่ต้องการสร้างเพียงเพื่อเอามาใช้เข้า Medium

และการล็อกอินแบบใหม่ก็ไม่ยุ่งยาก เพียงแค่กรอกที่อยู่อีเมลลงไป ทางระบบก็จะส่งลิงก์ที่ใช้ในการเข้ามาให้ เพียงแค่คลิกก็ล็อกอินได้โดยที่ไม่ต้องใส่รหัสเลย ซึ่งลิงก์นั้นจะมีอายุเพียงแค่ 15 นาทีเท่านั้น แต่หากใช้แอพจัดการรหัสผ่าน เช่น LastPass หรือ Dashlane ก็อาจจะต้องผ่านขั้นตอนพิเศษสักหน่อย

ตอนนี้การล็อกอินแบบใหม่ ทำได้เพียงบนเว็บไซต์และ iOS เท่านั้น ส่วน Android กำลังจะตามมาในเร็วๆ นี้

ที่มา : TechCrunch

Tags:
Chrome

วันนี้ผมพบปัญหาการเข้าไปอ่านกระทู้ใน pantip.com หากเข้าชมด้วย Chrome และเป็นกระทู้ที่มีลิงก์ภายนอกหรือลิงก์ไปยังกระทู้อื่น หากคลิกลิงก์ดังกล่าว (ซึ่งพันทิปจะ redirect ไปยัง http://pantip.com/l/<url> ก่อน แล้วถึงจะเปิดลิงก์ดังกล่าวอีกทีหนึ่ง) Chrome จะเตือนทันทีว่า http://pantip.com/l/ ไม่ปลอดภัย

ยังไม่พบปัญหานี้หากเข้าใช้งานด้วยเบราว์เซอร์อื่น

Update- ขณะนี้พันทิปได้ทำการแก้ไขปัญหาดังกล่าวแล้ว ด้วยการ redirect ไปยังเว็บปลายทางโดยตรง โดยไม่ผ่าน http://pantip.com/l/

ที่มา - ค้นพบด้วยตัวเอง

Tags:
OpenDNS

Cisco ประกาศเข้าซื้อบริษัท OpenDNS ที่เรารู้จักกันดีในฐานะผู้ให้บริการ DNS Server ฟรี แต่จริงๆ แล้ว OpenDNS ทำธุรกิจด้านความปลอดภัยบนกลุ่มเมฆ โดยป้องกันการโจมตีจาก DDoS, มัลแวร์ และบ็อตเน็ตต่างๆ

Cisco ระบุว่าซื้อ OpenDNS เพื่อมาเสริมโครงการ Security Everywhere ของตนเอง และเตรียมความพร้อมสำหรับโลกในยุค IoT (Cisco เรียก IoE) ในอนาคตอันใกล้นี้ มูลค่าการซื้อกิจการรอบนี้ 635 ล้านดอลลาร์

OpenDNS เองก็ออกมาเผยสถิติว่าปกป้องผู้ใช้เน็ตมากกว่า 65 ล้านคนทั่วโลก มีลูกค้าเกิน 10,000 องค์กร ส่วนบริการ OpenDNS แบบฟรีจะยังคงให้บริการเหมือนเดิมไม่เปลี่ยนแปลง

ที่มา - Cisco, OpenDNS

Tags:
USA

ด้วยความที่อุบัติเหตุบนท้องถนนเกิดจากความผิดพลาดของผู้ขับขี่เป็นหลัก จึงมีความพยายามใช้เทคโนโลยีต่างๆ ที่น่าจะผิดพลาดน้อยกว่ามาช่วยเพื่อแก้ปัญหา อย่างเช่นรถไร้คนขับ

ระบบสื่อสารระหว่างรถยนต์ (vehicle-to-vehicle communication) ก็เป็นอีกหนึ่งช่องทางที่ถูกคาดว่าจะช่วยแก้ปัญหาดังกล่าว ซึ่งหน่วยงานด้านความปลอดภัยทางจราจรบนถนนหลวงแห่งชาติของสหรัฐอเมริกา (the National Highway Traffic Safety Administration - NHTSA) ได้พยายามผลักดันร่างกฎหมายนี้ แต่ก็มีอีกปัญหาที่ตามมา คือความปลอดภัยของข้อมูลที่ส่งกันไปมาระหว่างรถยนต์ ซึ่งหากถูกเจาะอาจนำไปสู่การก่อการร้ายได้ด้วยซ้ำไป

Tags:
NIST

หลังการเปิดเผยเอกสารของ Snowden มาตรฐานความปลอดภัยส่วนหนึ่งที่ถูกโจมตีอย่างหนักคือ Dual_EC_DRBG ที่เอกสารของ NSA ระบุว่าทาง NSA เป็นผู้วางมาตรฐานนี้เองทั้งหมด เมื่อมีการค้นคว้าเพิ่มเติมพบว่ามาตรฐานนี้ได้เข้ามาในคำแนะนำของ NIST อย่างน่าสงสัยเพราะประสิทธิภาพแย่และมีความเป็นไปได้ที่จะวางช่องโหว่เอาไว้ เมื่อปีที่แล้วทาง NIST พยายามรักษาหน้าด้วยการออกร่างคำแนะนำใหม่ที่ถอด Dual_EC_DRBG ออกไปจากมาตรฐาน และตอนนี้ร่างคำแนะนำก็กลายเป็นเอกสารทางการแล้ว

Dual_EC_DRBG ถูกคัดค้านมาก่อนที่จะเข้าเป็นส่วนหนึ่งของคำแนะนำของ NIST คำแก้ตัวของ NSA ที่ผลักดันมาตรฐานนี้คือทาง NSA ใช้งานมันอยู่ในองค์กรอยู่แล้วและต้องการผลักดันออกมาเป็นมาตรฐาน

ที่มา - ThreatPost

Tags:
Samsung

จากกรณี โน้ตบุ๊กของซัมซุงสุ่มปิด Windows Update โดยไม่แจ้งผู้ใช้ ล่าสุดทางซัมซุงออกมาแถลงว่าจะปิดระบบตัวนี้ และกลับไปตั้งค่า Windows Update แบบปกติแล้ว

ซัมซุงบอกว่าจะออกแพตช์ผ่าน Samsung Software Update ในอีกไม่กี่วันข้างหน้า ซึ่งจะทำให้ค่าของ Windows Update กลับมาเป็นการติดตั้งอัพเดตอัตโนมัติดังเดิม

ที่มา - VentureBeat

Tags:
Cisco

ซิสโก้ประกาศแจ้งเตือนว่าซอฟต์แวร์รักษาความปลอดภัยสามตัว ได้แก่ Web Security Virtual Appliance (WSAv), Email Security Virtual Appliance (ESAv), และ Security Management Virtual Appliance (SMAv) มีช่องโหว่ใช้กุญแจ SSH เป็นค่าเริ่มต้นตรงกันทำให้เสี่ยงต่อการถูกเข้าควบคุมโดยแฮกเกอร์ หากแฮกเกอร์สามารถเชื่อมต่อเข้ามายังพอร์ต SSH ได้

ซิสโก้แจ้งให้ลูกค้าติดตั้งอัพเดตที่ออกมาในวันนี้ โดยสามารถสั่งอัพเดตผ่านกระบวนการปกติ แต่ให้ตรวจสอบว่ามีรายการ "cisco-sa-20150625-ironport SSH Keys Vulnerability Fix" อยู่ในรายชื่อแพตช์ที่อัพเดต

ที่มา - Cisco, The Register