Tags:
Topics: 
Node Thumbnail

เมื่อวานนี้ Laël Cellier รายงานช่องโหว่ remote code execution ซึ่งเป็นช่องโหว่บน Git ทุกรุ่นที่เก่ากว่า 2.7.1 ทำให้เกิด buffer overflow ได้เมื่อผู้ push หรือ clone โปรเจกต์ที่มีชื่อไฟล์ยาวหรือมีโครงสร้างไดเรกทอรีซ้อนกันมากๆ

ปัญหาดังกล่าวถูกแก้มาตั้งแต่ 8 กุมภาพันธ์ที่ผ่านมาในรุ่น 2.7.1 แต่ดูเหมือนว่าจะไม่ได้รับความสนใจเท่าใดนัก จนกระทั่งมีการนำช่องโหว่นี้ไปรายงานในเว็บไซต์ seclists ดังกล่าว

Tags:
Node Thumbnail

กูเกิลประกาศเพิ่มหมวดรายงานความโปร่งใส จากเดิมรายงานเน้นการขอข้อมูลผู้ใช้ และการขอลบข้อมูลออกจากระบบ ตอนนี้เพิ่มรายงานการเชื่อมต่อผ่าน HTTPS ของบริการต่างๆ

ข้อมูลของกูเกิลแสดงให้เห็นว่าโดยรวมแล้วตอนนี้จำนวนการเชื่อมต่อเข้ามายังเซิร์ฟเวอร์กูเกิล 75% เป็นการเชื่อมต่อแบบ HTTPS แล้วและแนวโน้มกำลังเพิ่มขึ้นเรื่อยๆ และข้อมูลแยกตามบริการแสดงให้เห็นว่าบริการโฆษณานั้นเพิ่มขึ้นเร็วที่สุด โดยตอนนี้เกิน 75% แล้วจากต้นปี 2014 ที่เชื่อมต่อผ่าน HTTPS เพียง 9% เท่านั้น

ที่มา - Google Security Blog, Google Transparency Report

Tags:
Topics: 
Node Thumbnail

ลินุกซ์รุ่น 2.6 เป็นรุ่นที่ได้รับความนิยมอย่างสูงในบรรดาลินุกซ์ทั้งหมด มันมีอายุการใช้งานยาวนานหลังออกมาครั้งแรกในปลายปี 2003 หรือ 13 ปีที่แล้ว จนถึงตอนนี้ทีมงานเคอร์เนลประกาศเลิกซัพพอร์ตอย่างเป็นทางการแล้ว

แพตช์สุดท้ายของ ลินุกซ์ 2.6 จะเป็นรุ่น 2.6.32.71 มีการแก้บั๊กทั่วไปไม่มากนัก ทางทีมงานระบุว่าไม่มีเหตุผลที่จะต้องติดตั้งเครื่องใหม่ด้วยเคอร์เนลรุ่นนี้แล้ว ยกเว้นหากติดค้างกระบวนการย้ายไปใช้เคอร์เนลรุ่นใหม่ และแนะนำว่าเคอร์เนลรุ่น 3.2 ยังเหลือเวลาซัพพอร์ตอีก 2 ปี

ที่มา - lkml

Tags:
Node Thumbnail

เมื่อสัปดาห์ที่แล้ว Project Zero พบช่องโหว่ในเคอร์เนลลินุกซ์ และติดต่อหลังไมค์ไปยังทีมงานเคอร์เนล จนกระทั่งทีมงานตอบกลับว่าให้ส่งข้อมูลเป็นสาธารณะได้เลย ตอนนี้แพตช์ก็ออกมาแล้วและ Ubuntu ก็ปล่อยแพตช์ชุดนี้เป็นที่เรียบร้อย

ช่องโหว่นี้เป็นช่องโหว่สำหรับที่เปิดโอกาสให้ผู้โจมตีที่รันซอฟต์แวร์บนเครื่องได้แต่มีสิทธิ์จำกัด (local unprivileged attacker) สามารถทำให้เครื่องแครช หรือยกสิทธิ์ตัวเองขึ้นเป็นผู้ดูแลระบบได้

Tags:
Node Thumbnail

กูเกิลปรับเงื่อนไขการรายงานช่องโหว่ความปลอดภัยสำหรับ Chrome Reward Program (CRP) โดยขยายขอบเขตและเพิ่มเงินรางวัล

เงินรางวัลสูงสุดของ CRP ตอนประกาศอยู่ที่ 50,000 ดอลลาร์ แต่ปีนี้จะเพิ่มเป็น 100,000 ดอลลาร์ กูเกิลระบุว่าจนถึงตอนนี้ยังไม่มีนักวิจัยที่ได้รับเงินรางวัลสูงสุดตามที่ประกาศไว้ โดยรางวัลสูงสุดนี้จะได้ต่อเมื่อสามารถแฮก Chromebook ที่คงอยู่ในเครื่องแม้จะบูตเครื่องไปแล้วก็ตาม

อีกส่วนหนึ่งคือการเพิ่มขอบเขตให้ครอบคลุมการป้องกันไฟล์ดาวน์โหลดที่เป็นฟีเจอร์ใหม่

ที่มา - Google Security Blog

Tags:
Node Thumbnail

กระบวนการรักษาความปลอดภัยโทรศัพท์มือถือในช่วงสองปีที่ผ่านมาเริ่มนิยมใช้ลายนิ้วมือมากขึ้นเรื่อยๆ จากความสะดวกของผู้ใช้ที่ไม่ต้องใส่รหัสผ่านเพื่อปลดล็อคเครื่อง แต่อันตรายจากการปลอมแปลงลายนิ้วมือก็เป็นปัญหามาตลอด ล่าสุดนักวิจัยจากมหาวิทยาลัย Michigan State ก็ออกมารายงานกระบวนการพิมพ์ลายนิ้วมือจากเครื่องพิมพ์อิงค์เจ็ตได้สำเร็จ

กระบวนการปลอมแปลงก่อนหน้านี้มักใช้กระบวนการที่ไม่ซับซ้อนนัก เช่นใช้กาวลาเท็กซ์ลอกลายนิ้วมือออกมา แต่ข้อเสียสำคัญคือกระบวนการเช่นนี้ต้องอาศัยฝีมือเป็นพิเศษ กระบวนการใหม่ที่ทีมงานเสนอใช้หมึกนำกระแสไฟฟ้าเป็นอุปกรณ์พิเศษเพียงอย่างเดียว

Tags:
Node Thumbnail

ความขัดแย้งระหว่างหน่วยงานภาครัฐของสหรัฐ (FBI + กระทรวงยุติธรรม) กับแอปเปิลในกรณีถอดรหัส iPhone เป็นเพียงตัวอย่างของปัญหาใหญ่เรื่องการเข้ารหัสข้อมูลเท่านั้น บริษัทด้านไอทีทุกแห่งมีโอกาสเจอปัญหาแบบเดียวกัน และล่าสุดมีข่าวว่ารายต่อไปที่จะโดนกดดันจากภาครัฐคือ WhatsApp

หนังสือพิมพ์ The New York Times รายงานข่าววงในว่า เจ้าหน้าที่ในกระทรวงยุติธรรมกำลังถกเถียงว่าจะแก้ปัญหาเรื่องการเข้าถึงข้อความใน WhatsApp อย่างไร ความนิยมใน WhatsApp เริ่มสร้างปัญหาในวงกว้าง เพราะรัฐบาลไม่สามารถดักฟังข้อความที่ถูกเข้ารหัสใน WhatsApp ได้

Tags:
Node Thumbnail

การอัพเดตแพตช์ความปลอดภัยของ Android ยังเป็นปัญหาเรื้อรัง ถึงแม้กูเกิลหันมาใช้นโยบายออกแพตช์ความปลอดภัยทุกเดือน แต่มือถือของบริษัทอื่นๆ ที่ไม่ใช่ Nexus ก็เจอปัญหาอัพเดตล่าช้าอยู่ดี (เช่น Nexus อัพเดตต้นเดือน แพตช์ของเจ้าอื่นมาปลายเดือน หรือไม่ได้เลยด้วยซ้ำ)

อย่างไรก็ตาม มีผู้ผลิตอยู่หนึ่งรายที่จริงจังกับเรื่องนี้ นั่นคือ BlackBerry

BlackBerry ออกมาคุยว่า BlackBerry Priv มือถือ Android ตัวแรกของบริษัท สามารถอัพเดตแพตช์ความปลอดภัยในวันเดียวกับ Nexus มาตั้งแต่เดือนธันวาคมปีที่แล้ว นับเป็นเวลา 4 เดือน 4 รอบแพตช์แล้ว แสดงให้เห็นว่า BlackBerry พูดจริงทำจริง และเป็นจุดขายสำหรับคนที่อยากใช้มือถือ Android ที่เน้นความปลอดภัยมากๆ ซึ่งบริษัทอื่นทำให้แบบนี้ไม่ได้

Tags:
Node Thumbnail

แฮคเกอร์ลึกลับเจาะเข้าเซิร์ฟเวอร์ธนาคาร และสวมรอยส่งคำร้องไปยังแหล่งเงินนอกประเทศให้ทำการโอนเงินเกือบพันล้านดอลลาร์กระจายไปยังหลายบัญชี เดชะบุญที่หลังการโอนเงินผ่านไปเพียง 80 ล้านดอลลาร์ ระบบได้ตรวจพบชื่อบัญชีที่สะกดผิดทำให้สามารถยับยั้งความเสียหายของมหกรรมแฮคครั้งมโหฬารนี้ไว้ได้เสียก่อน

Tags:
Node Thumbnail

Project Zero ของกูเกิลตรวจสอบช่องโหว่ความปลอดภัยของโครงการหลากหลาย โดยมีนโยบายว่าจะติดต่อกับเจ้าของโครงการเป็นการลับและให้เวลา 90 วันก่อนเปิดข้อมูลสู่สาธารณะ และผู้ได้รับแจ้งมักขอเวลาปิดเป็นความลับจนกว่าแพตช์เสร็จสิ้น

แต่ช่องโหว่ล่าสุดที่ Project Zero แจ้งไปยังทีมงานเคอร์เนลลินุกซ์ ทีมงานผู้ดูแลโมดูลเครือข่ายกลับแจ้งมายัง Project Zero ว่า "ขอให้โพสต์เป็นสาธารณะได้เลย" ทีมงานจะรีบแก้ไขต่อไป

ช่องโหว่อยู่ในโมดูล netfilter เมื่อเรียกใช้ออปชั่น IPT_SO_SET_REPLACE จากฟังก์ชั่น setsockopt จะทำให้แอปพลิเคชั่นที่ไม่มีสิทธิ์แก้ไขข้อมูลในเคอร์เนล สามารถแก้ไขข้อมูลในฮีป (heap) นอกพื้นที่ที่เกี่ยวข้องได้ ตอนนี้ยังไม่มีข้อมูลการโจมตีในทางปฎิบัติว่าช่องโหว่นี้เอาไปใช้ทำอะไรได้บ้าง

Tags:
Node Thumbnail

ในยุคที่การใช้นิ้วเพื่อปลดล็อกมือถือ หรือยืนยันตัวตนเริ่มจะตกเทรนด์ไปตั้งแต่การมาของระบบสแกนหน้า วิเคราะห์เสียง และญาติใกล้นิ้วอย่างลายนิ้วมือ กำลังได้รับความนิยมเพิ่มขึ้นอย่างต่อเนื่อง หลายคนอาจคิดว่าจะมีอะไรอีกบ้างที่สามารถนำมาปลดล็อกมือถือได้อีก

วันนี้เองโลกก็ได้พบกับโซลูชันใหม่สำหรับการยืนยันตัวตนด้วยหูของผู้ใช้ จากผลงานวิจัยของ NEC บริษัทไอทีสัญชาติญี่ปุ่นที่พัฒนาหูฟังพิเศษพร้อมไมโครโฟนในตัวที่สามารถส่งเสียงเบาๆ เข้าไปยังหู และวิเคราะห์เสียงสะท้อนกลับมาว่าใช่เจ้าของหรือไม่ โดย NEC ยืนยันความแม่นยำว่าสูงถึง 99% ด้วยกัน

Tags:
Node Thumbnail

เว็บไซต์ข่าวไอที The Intercept รายงานว่า Edward Snowden ได้กล่าวผ่านระบบวิดีโอคอลจากรัสเซียในงานประชุม Common Cause Blueprint for a Great Democracy ที่จัดโดยองค์กร Common Cause องค์กรการกุศลด้านการเมืองของอเมริกา ระบุว่าการที่ FBI พยายามกดดันให้ Apple ปลดล็อค iPhone โดยอ้างว่า FBI ไม่มีความสามารถในการทำนั้น เป็นเรื่องที่เหลวไหล

Snowden ระบุว่า FBI เองมีแนวทางในการข้ามการรักษาความปลอดภัยใน iPhone อยู่แล้ว ซึ่งสามารถทำได้ โดยเขายกตัวอย่างไว้หนึ่งวิธีการที่อาจจะทำให้เข้าถึง iPhone ได้ การที่อ้างว่า Apple เป็นคนเดียวที่ปลดล็อค iPhone ของกลางได้เท่านั้น จึงเป็นเรื่องที่เหลวไหล (ต้นฉบับใช้คำแรงกว่านี้มาก)

Node Thumbnail

บิล เกตส์ตอบคำถามผ่าน Reddit เป็นครั้งที่สี่ มีประเด็นด้านไอทีที่น่าสนใจ ดังนี้

Tags:
Node Thumbnail

จากปัญหา พบมัลแวร์เรียกค่าไถ่บน Mac มาพร้อมอัพเดตของ Transmission ตัวแทนของโครงการ Transmission ให้สัมภาษณ์กับสำนักข่าว Reuters ว่ามีคนดาวน์โหลดไฟล์เวอร์ชันที่มีปัญหาไปแล้ว 6,500 ครั้ง

ส่วนสาเหตุของมัลแวร์ ransomware มาจากเว็บเซิร์ฟเวอร์ของ Transmission โดนแฮ็ก ซึ่งทางผู้ดูแลได้เสริมระบบความปลอดภัยให้เว็บเซิร์ฟเวอร์แล้ว

โครงการยังแนะนำให้ผู้ใช้ทุกคนอัพเดตเป็นเวอร์ชัน 2.92 ซึ่งเป็นเวอร์ชันล่าสุดด้วย

Tags:
Node Thumbnail

หน่วยงานออกใบรับรองฟรี Let's Encrypt เปิดบริการมาเพียงสามเดือนกว่าๆ ตอนนี้ EFF หนึ่งในหน่วยงานร่วมก่อตั้งก็ออกมาประกาศว่าใบรับรองฟรีถูกออกใบแล้วครบ 1 ล้านใบ

จำนวนใบรับรองที่ออกใหม่เพิ่มขึ้นด้วยอันตราเร่ง จากช่วงแรกที่ใช้เวลา 20 กว่าวันจึงออกใบรับรองได้สองแสนใบ โดยผู้ใช้ส่วนมากมักใส่ข้อมูลติดต่อไว้ในการร้องขอใบรับรองด้วย

จากโดเมน 2.5 ล้านโดเมนที่ขอใบรับรองใหม่ ทาง EFF ระบุว่า 90% เป็นโดเมนที่ไม่เคยมีใบรับรองอย่างถูกต้องมาก่อน

ที่มา - EFF

Tags:
Node Thumbnail

สำนักข่าว Bloomberg รายงานว่า ทางการจีนได้สั่งให้ China Electronics Technology Group ซึ่งเป็นหนึ่งในรัฐวิสาหกิจ ทำการพัฒนาระบบวิเคราะห์แนวโน้มการก่อการร้ายและอาชญากรรม โดยใช้ข้อมูลส่วนตัวที่เก็บได้จากประชาชนเป็นฐานข้อมูลในการวิเคราะห์

ระบบดังกล่าวนี้จะใช้ข้อมูลทั้งเรื่องของอาชีพ งานอดิเรก พฤติกรรมการบริโภค และตัวบ่งชี้พฤติกรรมอื่นๆ ของประชาชนในรัฐ เพื่อวิเคราะห์หาแนวโน้มของการก่อการร้ายหรืออาชญากรรมก่อนที่จะเกิดขึ้นจริง โดยตัวแทนของรัฐวิสาหกิจดังกล่าวระบุว่าเป็นความจำเป็นที่จะต้องมีการสร้างระบบป้องกันที่ดีพอ เพื่อไม่ให้เกิดเหตุแล้วต้องมาตามแก้ไขกันในภายหลัง

Tags:
Node Thumbnail

ในงานสัมมนาด้านความปลอดภัย RSA มีการเผยแพร่รายงานจากทีม RISK ทีมวิจัยด้านความปลอดภัยของ Verizon ว่าในปัจจุบันกลุ่มโจรสลัดได้พัฒนากระบวนการทำงานด้วยการแฮคเซิร์ฟเวอร์ของบริษัทผู้ประกอบการขนส่งสินค้าทางทะเล เพื่อหาข้อมูลไว้สำหรับกำหนดเป้าหมายว่าจะเลือกปล้นสินค้าจากตู้สินค้าใดบนเรือลำใด

Tags:
Node Thumbnail

Bitdefender เป็นซอฟต์แวร์แอนตี้ไวรัสชื่อดังที่โดดเด่นด้านคะแนนการตรวจจับไวรัสมาโดยตลอด ถ้าใครติดตามเรื่องผลการทดสอบแอนตี้ไวรัสจากเว็บไซต์ AV-Test มาบ้าง ก็คงพอทราบว่า Bitdefender ได้คะแนนอันดับต้นๆ (ผลัดกันแพ้ชนะกับ Kaspersky อยู่เรื่อยๆ)

แต่นอกจากคะแนนแอนตี้ไวรัสแล้ว Bitdefender ยังมีแง่มุมที่น่าสนใจอีกหลายอย่าง (เช่น ต้นกำเนิดของบริษัทที่มาจากประเทศโรมาเนีย) ผมมีโอกาสได้สัมภาษณ์คุณ Michal Dominik ผู้จัดการ Bitdefender ประจำประเทศไทย มีประเด็นมาเล่าดังนี้ครับ

Tags:
Node Thumbnail

บริษัทรักษาความปลอดภัยอุปกรณ์พกพา Skycure ออกมาเปิดเผยในงาน RSA Conference ว่ามีมัลแวร์ประเภทใหม่ "accessibility clickjacking" บนแอนดรอยด์ที่ทำให้คนร้ายสามารถดักอ่านข้อมูลบนแอพและดักฟังการพิมพ์ได้ โดยที่มีอุปกรณ์แอนดรอยด์ที่รุ่นต่ำกว่า Lollipop กว่าห้าร้อยล้านเครื่องตกอยู่ในความเสี่ยงนี้

Tags:
Node Thumbnail

ปกติแล้วคำแนะนำในการลงปลั๊กอินสำหรับคนทั่วไปคงเป็นการเลือกปลั๊กอินที่เป็นที่รู้จักพอสมควร, มีการใช้งานกว้างขวาง, และมีประวัติยาวนาน แต่ปลั๊กอิน Custom Content Type Manager (CCTM) สำหรับ WordPress กลับมีพฤติกรรมแฮกเว็บของผู้ใช้ (ทั้งที่มีคุณสมบัติปลั๊กอินที่น่าเชื่อถือแทบทุกประการ) แต่ทีมงานบริษัทความปลอดภัย Sucuri ก็พบว่ามันใส่ช่องโหว่ให้กับเว็บที่ดาวน์โหลดไปใช้งานอย่างจงใจ

Tags:
Topics: 
Node Thumbnail

ซิสโก้ปล่อยแพตช์ NX-OS สำหรับสวิตช์ Nexus ตระกูล 3000 และ 3500 หลังพบว่ามีบัญชีผู้ใช้ในระบบพร้อมรหัสผ่านที่ไม่สามารถเปลี่ยนได้มาแต่แรก

บัญชีที่ล็อกมากับตัวโค้ดนี้ทำให้แฮกเกอร์ที่รู้ชื่อบัญชีและรหัสผ่านสามารถล็อกอินเข้าตัวสวิตช์ได้ทั้งคอนโซล, telnet, และ SSH โดย NX-OS รุ่น 6.0(2)A6(1) จะใช้บัญชีเหล่านี้ผ่าน SSH ได้ขณะที่รุ่นอื่นๆ จะเข้าใช้งานระยะไกลผ่าน telnet ได้เท่านั้น ทางแก้ไขชั่วคราวสำหรับหน่วยงานที่ยังไม่พร้อมจะอัพเกรดคือการปิด telnet เสีย

ช่องโหว่นี้ได้หมายเลข CVE-2016-1329 มีความเสี่ยงตาม CVSS ระดับ 10.0 ควรแก้ไขโดยเร็วครับ

ที่มา - Cisco

Tags:
Topics: 
Node Thumbnail

กระทรวงกลาโหมสหรัฐฯ หรือเพนตากอนประกาศโครงการ "Hack the Pentagon" เปิดโอกาสให้แฮกเกอร์ภายนอกสามารถสำรวจหาช่องโหว่ของเว็บเพนตากอนพร้อมเงินรางวัลเมื่อพบช่องโหว่

แม้จะเปิดให้คนนอกหน่วยงานเข้าร่วมได้ แต่คนที่จะเข้าร่วมก็จำกัดเฉพาะพลเมืองสหรัฐฯ และต้องส่งประวัติให้ตรวจสอบก่อนเท่านั้น เซิร์ฟเวอร์ที่เข้าร่วมจะเป็นเว็บที่เชื่อมต่ออินเทอร์เน็ตเท่านั้น ห้ามไปแฮกเครือข่ายหลังบ้านของเพนตากอน

ก่อนหน้านี้เพนตากอนมีทีมงานแฮกเกอร์ของตัวเองที่ชื่อว่า "red teams" ทำหน้าที่ตรวจสอบเครือข่ายของตัวเองอยู่แล้ว แต่ทางเพนตากอนมองว่าโลกกำลังเปลี่ยนแปลงอย่างรวดเร็วจนไม่สามารถใช้วิธีตรวจสอบโดยหน่วยงานภายในแบบเดิมๆ ได้อีกแล้ว

Tags:
Node Thumbnail

เมื่อวันจันทร์ที่ผ่านมาตามเวลาในสหรัฐฯ กระทรวงกลาโหมของสหรัฐฯ ออกมาเปิดเผยว่ากำลังร่วมมือกับกองทัพอิรักและกองกำลังชาวเคิร์ดในอิรัก เพื่อต่อสู้กับกองกำลังรัฐอิสลาม (ISIS, ISIL หรือ IS แล้วแต่สื่อมวลชนจะเรียก) เพื่อที่จะยึดคืนเมือง Mosul ของอิรักกลับคืนมาให้อยู่ในการควบคุมของกองทัพรัฐบาลอิรักอีกครั้ง แต่การเข้าร่วมสู้ในครั้งนี้ สหรัฐฯ ใช้วิธีการเปิดสงครามไซเบอร์อย่างเป็นทางการ

Tags:
Node Thumbnail

ทีมวิจัยรายงานการโจมตี DROWN ที่สามารถถอดรหัสการเชื่อมต่อ TLS รุ่นใหม่ๆ (ทดสอบใน TLS 1.2) ได้สำเร็จ โดยกระบวนการนี้แม้จะอันตรายมากแต่ก็มีเงื่อนไขหลายอย่าง ได้แก่

Tags:
Node Thumbnail

ไมโครซอฟท์เปิดตัวฟีเจอร์ความปลอดภัยตัวใหม่ล่าสุดของ Windows 10 ชื่อว่า Windows Defender Advanced Threat Protection ที่ช่วยให้ Windows Defender ขยายความสามารถจากการตรวจจับมัลแวร์ มาเป็นตรวจจับการโจมตีหรือการแฮ็กระบบได้ด้วย

เทคนิคที่ไมโครซอฟท์นำมาใช้คือการวิเคราะห์พฤติกรรม ผสมกับฐานข้อมูลความปลอดภัยขนาดใหญ่ที่ไมโครซอฟท์มี เมื่อตรวจจับการโจมตีหรือการแฮ็กระบบได้แล้ว บริการตัวนี้จะสามารถดูประวัติย้อนหลังของคอมพิวเตอร์ได้ว่าเกิดอะไรขึ้น และถ้าเครื่องที่โดนแฮ็กรันอยู่บน VM ก็สามารถแยก VM ตัวนั้นไม่ให้ยุ่งเกี่ยวกับ VM ตัวอื่นได้ด้วย

Pages