Tags:

Panda Antivirus มีบั๊กในอัพเดตเมื่อวันพุธที่ผ่านมา โดยตัวซอฟต์แวร์จับบางไฟล์ในตัวแอนตี้ไวรัสเองว่าเป็นไวรัส และจับไฟล์เหล่านั้นเข้าสู่เขตกักกัน (quarantine) หากผู้ใช้สั่งให้กักกันไฟล์เหล่านั้นแล้วบูตเครื่องจะทำให้ไม่สามารถเชื่อมต่ออินเทอร์เน็ต

ตอนนี้ทาง Panda ออกอัพเดตรุ่นใหม่ออกมาแล้ว อัพเดตนี้จะนำไฟล์ที่ถูกกักกันอย่างผิดพลาดกลับไปวางที่เดิมพร้อมกันแก้ปัญหาการตรวจสอบผิดพลาด

หากผู้ใช้กักกันไฟล์และรีบูตเครื่องไปแล้ว ทาง Panda ได้ออกชุดซ่อมแซม pc-recovery.exe มาให้แล้ว สามารถไปดาวน์โหลดเพื่อซ่อมเครื่องกันได้

ที่มา - The Register

Tags:

มีคำเตือนจากผู้เคราะห์ร้ายว่า "หลังจากที่อัพเดต virus definition ตัวใหม่ของ Panda Antivirus แล้ว อย่ารีบูทเครื่องเด็ดขาด"

ตัวแทนจากบริษัท Panda Security บอกว่า virus definition ตัวดังกล่าวทำให้โปรแกรมตรวจไฟล์ระบบในโฟลเดอร์ system32 ของระบบปฏิบัติการ Windows ว่าเป็นไวรัส (.dll, .exe) และไฟล์ดังกล่าวจะถูกย้ายไปเก็บในส่วนกักกัน (quarantined) เขายังแนะนำด้วยว่า "อย่ารีบูทเครื่อง" ให้รออัพเดตตัวใหม่ที่จะมาแก้ปัญหาดังกล่าว และจะย้ายไฟล์ระบบจากส่วนกักกันไปอยู่ในที่ๆ มันควรอยู่ต่อไป

ที่มา - 9gag, The Register

Tags:
Dropbox

ไอบีเอ็มรายงานช่องโหว่ความปลอดภัยใน Dropbox SDK สำหรับแอนดรอยด์ตั้งแต่รุ่น 1.5.4 ไปจนถึง 1.6.1 ที่เปิดให้แฮกเกอร์สามารถล่อให้เหยื่อซิงก์ไฟล์เข้าไปยังบัญชีของแฮกเกอร์แทนที่บัญชีของผู้ใช้ที่กำลังล็อกอินได้

ปัญหาเกิดจาก SDK รุ่นที่ระบุรองรับค่าเพิ่มเติม (extra) ที่ชื่อว่า INTERNAL_WEB_HOST เพื่อบอก SDK ให้ส่งข้อมูลไปยังเซิร์ฟเวอร์ที่ระบุได้ โดย Intent นี้รับข้อมูลจากแอพพลิเคชั่นใดๆ ทำให้สามารถยิง Intent มาจากเบราว์เซอร์ได้ด้วย ทีมงานไอบีเอ็มสาธิตการโจมตีโดยเพิ่มค่าผ่านเว็บ และขโมยค่า nonce จาก SDK จากนั้นจึงสร้าง token+nonce ส่งกลับให้ตัวแอพพลิเคชั่น เมื่อผู้ใช้ล็อกอินภายหลังตัว SDK จะใช้ token+nonce ที่ได้รับมาจากแฮกเกอร์แทนที่จะสร้างใหม่ จะกลายเป็นการล็อกอินบัญชีของแฮกเกอร์แทนที่จะเป็นบัญชีของผู้ใช้เอง

ไอบีเอ็มระบุว่าทีมงาน Dropbox ใช้เวลาเพียงสี่วันแก้ปัญหาโดยไม่รับค่า INTERNAL_WEB_HOST อีกแล้ว สำหรับนักพัฒนาแอพพลิเคชั่นทั่วไปควรเร่งอัพเดต SDK โดยเร็ว สำหรับผู้ใช้ ช่องโหว่นี้จะไม่มีผลหากผู้ใช้ติดตั้งแอพพลิเคชั่น Dropbox ไว้ในเครื่อง แม้จะไม่ได้ล็อกอินก็ช่วยป้องกันได้เช่นกัน

ที่มา - Security Intelligence

Tags:
Fujitsu

เก็บตกจากงาน MWC เมื่อ Fujitsu ผู้ผลิตอุปกรณ์ไอทีสัญชาติญี่ปุ่น ออกมาโชว์เทคโนโลยีด้านความปลอดภัยสำหรับการยืนยันตัวตนด้วยการสแกนม่านตา (iris authentication) ที่เคยมีข่าวว่าซัมซุงอาจจะหยิบไปใช้กับซีรีส์ Galaxy S มาก่อน

ในงาน MWC ผู้ใช้สามารถทดสอบปลดล็อกหน้าจอได้ด้วยการสแกนม่านตา โดยการทำงานของระบบนี้ทำโดยการจับคู่กล้องอินฟราเรดกับไฟ LED อินฟราเรดเข้าด้วยกัน เริ่มต้นด้วยการส่องอินฟราเรดไปที่ดวงตา และให้กล้องเก็บลายของม่านตาเอาไว้ ซึ่ง Fujitsu บอกว่าเป็นวิธีการยืนยันตัวตนที่แน่นหนาต่างจากนิ้วมือ เนื่องจากม่านตานั้นเสี่ยงต่อการบาดเจ็บน้อยกว่า รวมถึงยากต่อการลอกแบบ และจะไม่เปลี่ยนลวดลายเลยตลอดชีวิต รวมถึงสามารถใช้ร่วมกับผู้ใช้ที่ใส่คอนแทคเลนส์ และใช้งานในที่มืดได้อีกด้วย (เพราะเป็นอินฟราเรด)

Fujitsu บอกว่าจะเริ่มนำฟีเจอร์นี้เข้าไปไว้ในอุปกรณ์ของตัวเองช่วงไตรมาสสองของปีนี้ แต่ยังไม่บอกว่าจะให้บริษัทอื่นซื้อสิทธิ์ไปใช้งานหรือไม่ครับ

ที่มา - Tech In Asia

Tags:
Internet Explorer

จากข่าว ไมโครซอฟท์ยอมรับ ช่องโหว่ FREAK มีผลกับวินโดวส์ด้วย กระทบวินโดวส์ทุกรุ่น วันนี้แพตช์มาแล้วครับ

แพตช์ตัวนี้หมายเลข MS15-018 ชื่อที่แสดงให้ผู้ใช้เห็นคือ Cumulative Security Update for Internet Explorer (3032359) ความรุนแรงระดับ critical ครอบคลุม IE ทุกรุ่นตั้งแต่ IE6-IE11

ในโอกาสเดียวกัน (รอบแพตช์วันอังคาร Patch Tuesday) ไมโครซอฟท์ยังออกแพตช์ของ Windows อีกหลายตัว ตัวที่สำคัญที่สุดคือ MS15-020 ซึ่งเป็นการปรับปรุงแพตช์แก้ปัญหาไวรัส Stuxnet อันโด่งดังในปี 2010 (MS10-046) ที่นักวิจัยเพิ่งค้นพบว่าไม่สามารถแก้ปัญหา Stuxnet ได้ทั้งหมด 100% ทำให้ไมโครซอฟท์ต้องปรับปรุงแพตช์กันอีกรอบ

ใครเป็นแอดมินระบบ Windows ก็รีบอัพเดตกันตามวิธีการปกตินะครับ

ที่มา - Ars Technica, Threatpost

Tags:
Heartbleed

หลังบั๊ก Heartbleed ที่ส่งผลกระทบเป็นวงกว้างต่อเซิร์ฟเวอร์จำนวนมากในเดือนเมษายนปีที่แล้ว บริษัทจำนวนมากระดมทุนเพื่อให้ OpenSSL มีทรัพยากรเพียงพอต่อการพัฒนา อีกส่วนหนึ่งก็จัดสรรมาให้โครงการ Open Crypto Audit เพื่อตรวจสอบโค้ดซอฟต์แวร์เข้ารหัส ตอนนี้ทาง OpenSSL และ Cryptography Services (CS) ผู้เข้าตรวจสอบก็พร้อมจะเริ่มกระบวนการตรวจสอบแล้ว

สาเหตุที่กระบวนการตรวจสอบเริ่มต้นช้าจนเกือบครบปีหลังพบบั๊ก Heartbleed เป็นเพราะคุณภาพโค้ดของ OpenSSL เองที่มีฟอร์ตแมตโค้ดไม่มาตรฐาน แนวทางการเขียนต่างกันไปทำให้อ่านและทำความเข้าใจได้ยาก ทางโครงการดึงเอาสไตล์โค้ดมาจากลินุกซ์และปรับเป็นสไตล์ของตัวเอง จากนั้นจึงเริ่มปรับโค้ดทั้งหมดจนเสร็จเมื่อเดือนกุมภาพันธ์ที่ผ่านมา

ทาง CS ระบุว่าที่ผ่านมา OpenSSL ถูกตรวจสอบโดยภายนอกอยู่ตลอดเวลาอยู่แล้ว แต่ทีมงานคาดว่าครั้งนี้จะเป็นการตรวจสอบจากภายนอกครั้งใหญ่ที่สุด ครอบคลุมชุด TLS ทั้งระบบ และการจัดการหน่วยความจำ นอกจากนี้ยังรวมไปถึงกระบวนวิธีเข้ารหัสสำคัญๆ หลายตัว และตัวอ่านข้อมูลแบบ ASN.1 และ x509

คาดว่าผลการตรวจสอบชุดแรกจะออกมาในเดือนมิถุนายนนี้

ที่มา - Cryptography Services, The Register

Tags:
Google

ทีม Project Zero ของกูเกิลเองสาธิตการใช้ช่องโหว่ "Rowhammer" (PDF) ที่ฮาร์ดแวร์ทำงานผิดพลาดเมื่อมีซอฟต์แวร์เข้าถึงหน่วยความจำตำแหน่งเดิมซ้ำๆ หลายๆ ครั้งทำให้สามารถเปลี่ยนค่าในแรมส่วนข้างๆ ของตำแหน่งหน่วยความจำที่เข้าถึงได้ โดยบั๊กนี้รายงานมาตั้งแต่ปีที่แล้วว่ามีผลกับโน้ตบุ๊กบางรุ่น แต่ยังไม่พบเดสก์ทอปที่ได้รับผลกระทบ และก่อนหน้านี้ยังไม่มีการรายงานถึงช่องทางเจาะระบบผ่านบั๊กนี้อย่างจริงจัง

การสาธิตแรกทีมงานทดสอบเจาะ NaCl ที่ใช้ใน Chrome เพราะ NaCl จะตรวจสอบโค้ดว่าปลอดภัยก่อนที่จะปล่อยให้โค้ดรัน โดยล็อกให้ส่วนของโค้ดนั้นอ่านได้อย่างเดียว แต่เมื่ออาศัยบั๊ก Rowhammer โปรแกรมที่รันผ่าน NaCl สามารถอ่านหน่วยความจำข้างๆ โค้ดที่ตรวจสอบมาแล้วซ้ำๆ จนกระทั่งคำสั่งที่ปลอดภัยกลายเป็นคำสั่งที่อันตราย ก่อนจะปล่อยให้รันต่อไป

ทีมงานพยายามลดความเสี่ยงของช่องโหว่นี้ด้วยการห้ามใช้คำสั่ง CLFLUSH ที่ใช้โจมตี Rowhammer นอกจากนี้โค้ดรุ่นใหม่ๆ ที่ใช้ PNaCl แทนที่ NaCl ธรรมดาจะโจมตีได้ยากขึ้นเพราะแฮกเกอร์ไม่สามารถควบคุมคำสั่งแอสเซมบลีโดยตรงได้

อีกแนวทางหนึ่งคือการยกระดับโปรแกรมทั่วไปให้ควบคุมเครื่องได้อย่างสมบูรณ์ ทีมงานอาศัยการอ่านค่า page table entry (PTE) เพื่อให้เปลี่ยนค่าจนกระทั่งตัวโปรแกรมสามารถอ่านและเขียนค่า PTE ของโปรเซสตัวเองได้ ส่งผลให้โปรแกรมสามารถเข้าถึงหน่วยความจำใดๆ ในเครื่องได้และเข้าควบคุมเครื่องในที่สุด

ทีมงานพบปัญหา Rowhammer ในโน้ตบุ๊ก 5 รุ่นจาก 8 รุ่นที่ทดสอบ โดยต้องใช้งานซีพียูและแรมบางรุ่นเท่านั้น ตอนนี้ยังไม่มีรายงานภาพรวมว่าโน้ตบุ๊กที่มีปัญหานี้จริงๆ เป็นส้ดส่วนเท่าใดของโน้ตบุ๊กในตลาด

เซิร์ฟเวอร์โดยทั่วไปไม่น่าจะได้รับผลกระทบจากบั๊กนี้เพราะระบบ ECC จะแก้ปัญหาให้โดยที่ตัวระบบปฎิบัติการไม่ทันได้รับรู้

ที่มา - Project Zero, ArsTechnica

Tags:
Xiaomi

หลังจากเมื่อปลายสัปดาห์ที่แล้ว นักวิจัยด้านความมั่นคงปลอดภัยจาก Bluebox เปิดเผยว่าโทรศัพท์มือถือ Xiaomi Mi4 มีมัลแวร์ฝังมาพร้อมเครื่อง และใช้ Android รุ่นดัดแปลงที่มีช่องโหว่จำนวนมาก แต่ภายหลังทาง Xiaomi ได้ออกมาปฏิเสธข่าวดังกล่าว ล่าสุดมีแถลงการณ์เพิ่มเติมในเรื่องนี้แล้ว

ทาง Xiaomi แจ้งว่าโทรศัพท์มือถือ Mi4 ที่ทาง Bluebox ซื้อมาจากตัวแทนจำหน่ายในประเทศจีนนั้นที่จริงแล้วเป็นเครื่องเลียนแบบ โดยตัวเครื่องมีจุดที่แตกต่างจากเครื่องจริงอย่างเห็นได้ชัด หมายเลขอีมี่ของเครื่องเป็นของปลอม และรอม MIUI ที่ติดตั้งในเครื่องไม่ใช่เวอร์ชันทางการ

นอกจากนี้ทาง Xiaomi ยังได้ยืนยันซ้ำอีกครั้งว่าโทรศัพท์ของแท้จะไม่ได้ถูก root มาตั้งแต่แรก ไม่ได้มีมัลแวร์ฝังมาในเครื่อง และใช้ Android เวอร์ชันที่ผ่านการรับรองมาตรฐาน CDD (Compatibility Definition Document) ของทาง Google แล้ว

ที่มา - The Hacker News

Tags:

เครือโรงแรมหรู Mandarin Oriental ประกาศว่าตนเองถูกจารกรรมข้อมูลบัตรเครดิตของลูกค้าโดยมัลแวร์ที่ติดตั้งอยู่ในระบบของโรงแรม และไม่สามารถตรวจสอบได้ด้วยระบบรักษาความปลอดภัยตามปกติ

ทางตัวแทนของโรงแรมออกมาระบุว่า การจารกรรมข้อมูลบัตรเครดิตดังกล่าวนี้ เกิดขึ้นกับโรงแรมในเครือบางแห่งที่ตั้งอยู่ในสหรัฐอเมริกาและยุโรป (เอเชียไม่ได้รับผลกระทบ) โดยระบุว่ารหัสรักษาความปลอดภัยของบัตร (ไม่ได้ระบุว่า CVV หรือ PIN) และข้อมูลอื่นๆ ไม่ได้ถูกจารกรรมไปด้วย ทั้งนี้ทางโรงแรมระบุว่ากำลังสืบสวนถึงปัญหาดังกล่าวอย่างเต็มที่ และได้นำเอามัลแวร์ดังกล่าวออกจากระบบแล้ว

สำหรับเครือโรงแรม Mandarin Oriental เป็นเครือโรงแรมหรูระดับ 5 ดาว ซึ่งมีสาขากระจายตัวอยู่ทั่วโลก ปัจจุบันมีสำนักงานใหญ่อยู่ที่ฮ่องกง ส่วนชื่อได้มาจากโรงแรมหลักสองแห่ง คือ The Mandarin ของฮ่องกง และ The Oriental ที่ตั้งอยู่ในกรุงเทพฯ (ปัจจุบันทั้งสองแห่งเปลี่ยนชื่อเป็น Mandarin Oriental หมดแล้ว)

ที่มา - Computerworld

Tags:
McAfee

Intel Security หรือ McAfee เดิม ประกาศความร่วมมือกับซัมซุง โดยจะพรีโหลดแอพ McAfee VirusScan Mobile มากับ Samsung Galaxy S6 และ S6 edge ด้วย

Henry Lee ตัวแทนฝ่ายความปลอดภัยของซัมซุงให้สัมภาษณ์ว่าการพรีโหลด McAfee จะช่วยป้องกันอันตรายให้กับลูกค้า ส่วนตัวแทนฝั่งอินเทลก็ให้ข้อมูลว่าไวรัสและมัลแวร์บนอุปกรณ์พกพาเพิ่มขึ้นอย่างต่อเนื่อง รวมถึงการแฮ็กจากผู้ไม่ประสงค์ดี ดังกรณี Celebgate ที่เคยเกิดขึ้นเมื่อปีที่แล้ว

นอกจาก McAfee แล้ว ผู้ที่ได้ลองจับ Galaxy S6 เครื่องจริงก็ยืนยันข่าวพรีโหลดแอพจากไมโครซอฟท์ด้วย

ที่มา - McAfee via SamMobile, Engadget

Tags:
Xiaomi

มีอัพเดตเพิ่มเติมจากทาง Xiaomi ท้ายข่าว

นักวิจัยด้านความมั่นคงปลอดภัยจาก Bluebox เปิดเผยว่าโทรศัพท์มือถือ Xiaomi Mi4 มีมัลแวร์ฝังมาพร้อมเครื่อง และใช้ Android รุ่นดัดแปลงที่มีช่องโหว่จำนวนมาก

มัลแวร์ตัวแรกคือแอพ Yt Service ซึ่งจะรัน service ชื่อ DarthPusher เพื่อทำหน้าที่แสดงโฆษณา แอพนี้จงใจตั้งชื่อแพคเกจเพื่อหลอกให้ผู้ใช้เข้าใจว่าตัวแอพถูกพัฒนาขึ้นมาโดย Google (ชื่อแพคเกจของแอพนี้คือ com.google.hfapservice) มัลแวร์ตัวต่อมาคือแอพ PhoneGuardService (com.egame.tonyCore.feicheng) เป็นโทรจัน และตัวสุดท้ายคือแอพ AppStats (org.zxl.appstats) เป็นมัลแวร์ SMSreg

นอกจากนี้ตัวระบบปฏิบัติการ MIUI ที่ใช้ในมือถือรุ่นนี้ยังเป็น Android รุ่นดัดแปลง (fork) ที่เป็นการเอาโค้ดของ Android เวอร์ชันต่างๆ มายำใส่รวมกันทั้ง KitKat, Jelly Bean และ Android เวอร์ชันก่อนหน้านั้นด้วย ทำให้ตัวระบบปฏิบัติการยังมีช่องโหว่ด้านความมั่นคงปลอดภัยอยู่เป็นจำนวนมากเช่นช่องโหว่ Master Key หรือ Towelroot เป็นต้น รวมถึงตัวอุปกรณ์ยังถูก root และเปิดโหมด USB debugging มาไว้แต่แรกด้วย

ทาง Bluebox ได้ติดต่อ Xiaomi เพื่อขอความชัดเจนในเรื่องนี้แล้ว แต่ไม่ได้รับการตอบสนองใดๆ จึงตัดสินใจเปิดเผยข้อมูลสู่สาธารณะ

update: หลังจากข่าวนี้ออกไป ทาง Xiaomi ได้ติดต่อกลับไปทาง Bluebox ระบุว่ารอม Xiaomi ไม่มีการติดตั้งแอพพลิเคชั่นที่ทาง Bluebox ระบุอย่างแน่นอน และทาง Xiaomi ไม่ได้ขายสินค้าผ่านร้านค้าภายนอก แต่ผ่านร้านออนไลน์และหน้าร้านของเครือข่ายเท่านั้น

ตอนนี้ทาง Xiaomi กำลังตรวจสอบภายในว่าทำไมทาง Bluebox จึงไม่สามารถติดต่อทาง Xiaomi ได้จนกระทั่งเปิดเผยรายงานนี้ออกมา

ทาง Bluebox ยังคงยกประเด็นว่าโทรศัพท์ของ Xiaomi สามารถดัดแปลงได้ง่าย หากร้านค้าทั่วไปสามารถดัดแปลงได้ ก็สามารถดัดแปลงระหว่างขนส่งได้เช่นกัน นอกจากนี้แอพพลิเคชั่นตรวจสอบของแท้ของทาง Xaiomi ก็ไม่แจ้งเตือนลูกค้าว่ารอมถูกดัดแปลง

ที่มา - TechWorm, Bluebox

Tags:
Mark Zuckerberg

ในงาน MWC 2015 ปีนี้นอกจากจะมีบรรดาแบรนด์ใหญ่มาร่วมเปิดตัวสินค้าแล้ว Facebook ที่ไม่มีสินค้าเป็นชิ้นๆ แต่ก็มีเวทีเช่นกัน และเป็น Mark Zuckerberg ซีอีโอที่มาพูดถึงทิศทาง มุมมอง และอนาคตของบริษัทให้ฟัง คัดเฉพาะส่วนที่น่าสนใจมาแบบย่อๆ มีดังนี้

  • Zuckerberg บอกว่า Facebook เป็นบริการติดต่อสื่อสารขนาดใหญ่ที่สุดตั้งแต่เคยมีมา มีผู้ใช้มากกว่า 1.2 พันล้านราย เป็นแอพที่มีผู้ใช้บนอุปกรณ์พกพามากที่สุด แต่ก็ยังมีผู้คนอีกจำนวนมากที่ยังเข้าถึงอินเทอร์เน็ตไม่ได้ และ Facebook เองก็กำลังหาทางช่วยเหลือให้คนกลุ่มนั้นสามารถใช้งานอินเทอร์เน็ตได้ในอนาคตง
  • หนทางที่ว่าคือการสร้างพันธมิตรขนาดใหญ่ที่จะขับเคลื่อนการเชื่อมไปในวงกว้าง ซึ่งโครงการ Internet.org เป็นกระบวนการที่ทำให้อินเทอร์เน็ตสามารถเข้าสู่ผู้คนได้ในต้นทุนที่ลดลง จากพัฒนาชิ้นส่วนต่างๆ ให้คุ้มค่ายิ่งขึ้น เหมือนกับที่กูเกิลวางแผนจะใช้บอลลูนในการเชื่อมต่ออินเทอร์เน็ต
Tags:
SSL

เมื่อวานนี้เพิ่งมีข่าวช่องโหว่ FREAK ที่ค้นพบบนไลบรารี OpenSSL ซึ่งส่งผลกระทบต่อเซิร์ฟเวอร์และระบบปฏิบัติการฝั่งยูนิกซ์ แต่ล่าสุดไมโครซอฟท์ออกมายอมรับแล้วว่าระบบปฏิบัติการวินโดวส์ทุกรุ่นก็มีช่องโหว่ลักษณะนี้เช่นกัน

อย่างไรก็ตาม ช่องโหว่นี้จะใช้งานได้ต่อเมื่อวินโดวส์เปิดใช้งานฟีเจอร์ RSA key exchange export ciphers ซึ่งปิดมาเป็นค่าดีฟอลต์ ไมโครซอฟท์แนะนำให้แอดมินระบบตรวจเช็คค่านี้ และสั่งปิดได้จากโปรแกรม Group Policy Object Editor (ใช้ได้เฉพาะ Windows Vista เป็นต้นไป, Windows Server 2003 ทำไม่ได้) ส่วนในระยะยาว ไมโครซอฟท์กำลังตรวจสอบรายละเอียดและอาจออกแพตช์ตามมา

ที่มา - Microsoft, Ars Technica

Tags:
Qualcomm

นอกจากจะเปิดตัว SoC รุ่นใหม่อย่าง Snapdragon 820 ในงาน MWC ปีนี้ของ Qualcomm ยังมีอีกทีเด็ดที่เปิดตัวมาพร้อมกันอย่าง Snapdragon Sense ID เทคโนโลยีสแกนลายนิ้วมือสำหรับอุปกรณ์ที่ใช้ชิป Snapdragon โดยเฉพาะ

การทำงานของ Sense ID จะต่างกับรายอื่นตรงที่ไม่ได้ใช้เซนเซอร์รับสัมผัสความละเอียดสูง แต่ใช้คลื่นเสียงความถี่สูงเพื่อตรวจจับพื้นผิวของนิ้วแทน ทำให้สามารถจดจำส่วนที่ละเอียดมากขึ้นอย่างรูขุมขน และลายนิ้วมือได้ดีขึ้น และลดความคลาดเคลื่อนจากความชื้นที่ผิวสัมผัส รวมถึงใช้งานผ่านแก้ว พลาสติก หรือแม้แต่โลหะก็ได้เช่นกัน และรองรับมาตรฐานด้านการยืนยันตัวตนอย่าง FIDO อีกด้วย

Sense ID จะเริ่มปล่อยให้กับอุปกรณ์ที่ใช้ชิป Snapdragon 810 และ 425 ก่อน และจะขยายให้รองรับกับชิปรุ่นอื่นๆ ในซีรีส์ 400, 600 และ 800 ในภายหลัง

ที่มา - Qualcomm

Tags:
SSL

French Institute for Research in Computer Science and Automation (Inria) และ Microsoft ค้นพบช่องโหว่ของ SSL/TLS ที่เกิดขึ้นมาเป็นเวลานับ 10 ปี พบในไลบรารี OpenSSL เวอร์ชัน 1.01k หรือเก่ากว่า และ Secure Transport ของ Apple กระทบทั้งผู้ใช้ Apple และ Android หลายล้านคน รวมถึงเว็บไซต์ทางการของทำเนียบขาว, FBI หรือแม้แต่ NSA

ช่องโหว่นี้มีชื่อว่า FREAK (CVE-2015-0204) หรือ Factoring Attack on RSA-EXPORT Keys การทำงานของช่องโหว่นี้อนุญาตให้ผู้ไม่ประสงค์ดีบังคับใช้กระบวนการเข้ารหัสที่ล้าสมัย เช่น 512-bit export RSA key ที่ในอดีตจำเป็นต้องใช้ซุปเปอร์คอมพิวเตอร์ในการถอดรหัส แต่ปัจจุบันสามารถถอดรหัสได้เพียงใช้เงิน 100 ดอลลาร์กับเวลา 7 ชั่วโมงต่อเว็บ ผู้ใช้จึงมีความเสี่ยงถูกโจมตีแบบ man-in-the-middle attack

จากการตรวจสอบเว็บไซต์ 14 ล้านแห่งที่รองรับ SSL/TLS พบว่า 36% รองรับการเข้ารหัสที่ไม่ปลอดภัย ทำให้มีความเสี่ยงถูกโจมตี ส่วนฝั่งผู้ใช้ที่ตกอยู่ในความเสี่ยงมีทั้ง Android, iOS, OS X หากเข้าเว็บไซต์ที่มีความเสี่ยงเมื่อไรมีอาจถูกโจมตีได้ทันที

เบื้องต้น ทีมวิจัยแนะนำให้เว็บที่ตกอยู่ในความเสี่ยงปิดการเข้ารหัสที่ล้าสมัย และทำให้เว็บรองรับ forward secrecy ส่วน Google ได้ส่งแพตซ์ไปให้พาร์ทเนอร์แล้ว และ Apple ก็เตรียมปิดช่องโหว่นี้ในอัพเดตถัดไปของ iOS และ OS X ที่จะออกสัปดาห์หน้า

ที่มา - The Hacker News

Tags:

บริษัทซีเคียว เน็ตเวิร์ค โอเปอเรชั่น เซ็นเตอร์ หรือ Snoc ประกาศความร่วมมือกับบริษัท NexusGuard ผู้ให้บริการระบบป้องกัน DDoS ผ่านกลุ่มเมฆรายใหญ่ของโลก ตั้ง node สำหรับบริการป้องกัน DDoS ในประเทศไทย

ปัจจุบันเราจะเห็นข่าวการโจมตีแบบ DDoS ถล่มให้เว็บไซต์ล่มหรือระบบคอมพิวเตอร์ใช้งานไม่ได้กันอยู่เรื่อยๆ วิธีการป้องกันแบบหนึ่งคือวางระบบกรองทราฟฟิกไว้ด้านหน้าเซิร์ฟเวอร์ ซึ่งปัจจุบันระบบกรองทราฟฟิกผ่านกลุ่มเมฆก็ได้รับความนิยมมากขึ้น เพราะมีขีดความสามารถในการป้องกัน DDoS ได้เยอะกว่า

Tags:
SSL

กระบวนการรักษาความปลอดภัยเว็บในช่วงหลังๆ เราเห็นผลงานของฝั่งเบราว์เซอร์กันค่อนข้างชัดเจนจากการออกมาตรฐานใหม่ๆ มากมายและร่วมกันรองรับมาตรฐานในเวลาใกล้เคียงกัน แต่ฝั่งผู้รับรองหรือ Certification Authorities (CAs) เองก็เริ่มรายงานความคืบหน้าฝั่งตัวเองออกมากันแล้ว ผ่านทางกลุ่มของ CAs ออกมาจากกลุ่ม Certificate Authority Security Council (CASC) ที่ก่อตั้งเมื่อปี 2013

มาตรฐานที่กำลังจะมีผลเร็วๆ นี้ คือ Certificate Authority Authorization (CAA - rfc6844) ที่เปิดให้เจ้าของเว็บประกาศตัวได้ว่าจะขอใบรับรอง SSL จากผู้ให้บริการรายใด ผ่าน DNS ในฟิลด์ CAA เป้าหมายหลักคือมันจะเป็นเครื่องมือให้ CA รายอื่นๆ รับรู้ว่าจะคำร้องขอใบรับรอง SSL นี้เป็นคำร้องจริงหรือไม่ หากมีการประกาศ CAA ไว้ใน DNS ที่ไม่ตรงกับตน ทาง CA ก็สามารถปฎิเสธการออกใบรับรอง SSL ได้ทันที มาตรฐานนี้เป็นส่วนกลับกับ HPKP ที่เปิดให้เว็บประกาศไปยังเบราว์เซอร์ให้เชื่อใบรับรองจาก CA บางรายเท่านั้น ทางฝั่งผู้ออกใบรับรองอย่าง Godaddy ระบุว่า CAA นั้นปลอดภัยกับเว็บกว่า HPKP ที่มีความเสี่ยงว่าหากคอนฟิกผิด เว็บอาจจะเข้าไม่ได้เป็นเวลานาน

Tags:
Xen

Amazon EC2 และ Rackspace ประกาศเตือนลูกค้าว่าจะมีลูกค้าบางส่วนถูกรีบูตเครื่องเนื่องจากช่องโหว่ชุดใหม่ของ Xen ที่ยังไม่เปิดเผย ทำให้ต้องมีการอัพเดตเร่งด่วน โดยเครื่องที่ได้รับผลกระทบจะถูกรีบูตภายในวันที่ 10 มีนาคมนี้

โครงการ Xen มีกำหนดการเปิดเผยบั๊กวันที่ 10 มีนาคมนี้ 2 ตัว ได้แก่ XSA-120 และ XSA-123

อเมซอนระบุว่าเครื่องที่ได้รับผลกระทบจะเป็นลูกค้าที่ใช้เซิร์ฟเวอร์ เพราะเครื่องรุ่นใหม่จะมีระบบอัพเดตโดยไม่ต้องรีบูตเครื่องแล้ว โดยรวมจะมีผู้ได้รับผลกระทบไม่ถึง 10% ของเซิร์ฟเวอร์ทั้งหมด ส่วนทาง Rackspace ไม่ระบุว่าลูกค้าได้รับผลกระทบมากน้อยแค่ไหน ระบุเพียงว่าเซิร์ฟเวอร์ที่อยู่คนละเขตจะไม่ถูกรีบูตพร้อมกัน ส่วนลูกค้าที่วางเซิร์ฟเวอร์ไว้ในเขตเดียวจะได้รับแจ้งข้อมูลเพิ่มเติมเร็วๆ นี้

ส่วนใครใช้ Xen ในองค์กร ก็เตรียมรับแพตช์ชุดใหม่ แล้ววางแผนทดสอบกันได้เลยครับ

ที่มา - The Register

Tags:
Uber

วันนี้ตามเวลาบ้านเรา ทาง Uber ออกมาแถลงข่าวอย่างเป็นทางการว่า บริษัทตรวจพบการเข้าถึงฐานข้อมูลคนขับและอดีตคนขับรถของบริษัทโดยไม่ได้รับอนุญาตจากบุคคลภายนอก โดยเกิดขึ้นเมื่อเดือนพฤษภาคมปีที่แล้ว แต่ทางบริษัทเพิ่งตรวจพบเมื่อเดือนกันยายน และมีคนขับรถได้รับผลกระทบมากกว่า 50,000 คน

จากที่ Uber ระบุออกมา ฐานข้อมูลดังกล่าวมีคนขับที่อาศัยอยู่ในมลรัฐแคลิฟอร์เนียมากกว่า 21,000 คน ซึ่งทำให้ทางบริษัท ต้องรีบแจ้งกับอัยการของมลรัฐโดยทันที นอกจากนั้นแล้วยังต้องดำเนินคดีโดยยื่นฟ้องบุคคลที่ยังไม่สามารถระบุตัวตนได้ ("John Doe" lawsuit) เพื่อเปิดทางให้บริษัทหาข้อมูลเพิ่มเติมเกี่ยวกับการรั่วไหลของข้อมูลครั้งนี้

ทาง Uber ระบุว่าได้เริ่มติดต่อผู้ได้รับผลกระทบแล้ว และมอบสมาชิกจากบริษัทปกป้องตัวตนส่วนบุคคล ฟรีเป็นระยะเวลาหนึ่งปี นอกจากนั้นแล้วยังระบุว่าได้แก้ไขเรื่องความปลอดภัยแล้ว ทั้งนี้ทางบริษัทได้ออกมา "ขออภัยในความไม่สะดวก" (sorry for any inconvenience) ในครั้งนี้

ที่มา - Engadget

Tags:

นอกจากประเทศไทยที่จริงจังกับการยืนยันตัวตนผู้ใช้โทรศัพท์แล้ว (อ่านเพิ่มเติม) ประเทศร่วมทวีปอย่างปากีสถานก็จริงจังกับเรื่องนี้เช่นกัน หลังจากเหตุการณ์สังหารหมู่เมื่อเดือนธันวาคมที่ใช้การติดต่อผ่านซิมลงทะเบียนโดยผู้ไม่เกี่ยวข้องเมื่อปลายปีก่อน ทางการจึงยกระดับความปลอดภัยของการลงทะเบียนซิมไปอีกขั้น

โดยข้อบังคับล่าสุดที่เพิ่งเริ่มบังคับใช้ ทำให้ผู้ใช้งานโทรศัพท์ทุกคนในปากีสถานต้องลงทะเบียนซิมที่ใช้งานด้วยการสแกนลายนิ้วมือเพื่อยืนยันตัวตน ซึ่งต้องทำให้แล้วเสร็จก่อนวันที่ 15 เมษายนนี้ มิฉะนั้นจะถูกยกเลิกการใช้งาน ซึ่งจากการประเมินโดยภาครัฐคาดว่ามีซิมอยู่ราว 103 ล้านซิม และจากการส่งรถตู้ไปช่วยลงทะเบียนตั้งแต่รอบแรกเมื่อวันที่ 12 มกราคม ตอนนี้มีซิมลงทะเบียนแบบสแกนลายนิ้วมือมากกว่า 72 ล้านซิมแล้ว

การลงทะเบียนของปากีสถานต้องใช้ทั้งบัตรประชาชน และสแกนลายนิ้วมือ ซึ่งต้องตรงกับฐานข้อมูลเดิมที่มีอยู่แล้วจึงจะเสร็จสมบูรณ์ โดยทางการระบุว่าวิธีนี้จะช่วยลดการก่อเหตุการณ์ไม่สงบไม่ให้เกิดขึ้นอีก

ที่มา - Mashable