Tags:
Node Thumbnail

เมื่อวันเสาร์ที่แล้วมีรายงานทดสอบความปลอดภัยของการตั้งค่า TLS โดย rtsp จาก INOX สำหรับการเข้าเว็บธนาคารออนไลน์ของธนาคารในไทย และถูกแชร์ไปตามเว็บเครือข่ายสังคมออนไลน์หลายแห่ง วันนี้รายงานล่าสุดหลายธนาคารปรับปรุงจนไม่มีใครมีช่องโหว่ร้ายแรงแล้ว

Tags:
Node Thumbnail

จากกรณีที่แอปเปิลประกาศต่อสู้กับศาล เราเห็นแนวร่วมในวงการไอทีสนับสนุนกันมาแล้วถึง 3 ราย คือ กูเกิล, EFF และ WhatsApp ล่าสุดมีแนวร่วมเพิ่มมาอีก 3 ราย คือ ไมโครซอฟท์, เฟซบุ๊ก และ ทวิตเตอร์ ที่ออกมาสนับสนุนแอปเปิลในเรื่องนี้

ไมโครซอฟท์ใช้วิธีการสนับสนุนผ่าน Reform Government Surveillance (RGS) ซึ่งเป็นหน่วยงานที่ไมโครซอฟท์ตั้งขึ้น โดย RGS ระบุว่าเห็นด้วยกับความต้องการของ FBI แต่ก็ไม่เห็นด้วยที่จะต้องใช้วิธีการทำ Backdoor เพื่อเพิ่มความเสี่ยงให้กับข้อมูลของผู้ใช้ และ RGS จะร่วมสนับสนุนแอปเปิลในการต่อสู้คดีในครั้งนี้

Tags:
Node Thumbnail

เอฟบีไอยื่นคำร้องต่อศาลแคลิฟอร์เนียร์ออกคำสั่งให้แอปเปิลต้องทำรอมรุ่นพิเศษเพื่อให้เอฟบีไอสามารถเข้าถึงข้อมูลในโทรศัพท์ที่ยึดมาได้จากคดี San Bernardino ที่เกิดเหตุยิงกราดจนมีผู้เสียชีวิตถึง 14 คน โดยโทรศัพท์นั้นถูกล็อกรหัสผ่านเอาไว้

โดยปกติแล้ว iOS จะมีระบบป้องกันความพยายามเดารหัสผ่านโดยจะหน่วงเวลาช้าลงเรื่อยๆ เมื่อใส่รหัสผ่านผิดซ้ำ และเมื่อถึงจำนวนครั้งที่กำหนดก็สามารถตั้งให้ลบข้อมูลออกจากเครื่องได้ทันที

Tags:
Node Thumbnail

หลังๆ เราเริ่มเห็นบริการ Family Share Plan กันมากขึ้น โดยส่วนใหญ่มักเป็นบริการความบันเทิงแบบเหมาจ่าย ทั้งดูหนังและฟังเพลงออนไลน์ แต่ล่าสุดเรากำลังมีบริการเก็บรหัสผ่านแบบแชร์บ้างแล้วครับ

แอพจัดการรหัสผ่าน 1Password เปิดตัวบริการใหม่ 1Password for Families ที่ต่อยอดจากบริการ 1Password for Teams เดิมที่เป็นบริการแบบเหมาจ่ายสำหรับองค์กร โดยบริการตัวใหม่สามารถใช้กับคนในครอบครัวได้สูงสุด 5 คน ในราคาไม่แพงที่ 5 ดอลลาร์ต่อครอบครัวต่อเดือน

Tags:
Node Thumbnail

หลังจากที่มีการปรับปรุงเรื่องของการล็อกอินหลายบัญชีไป ล่าสุด Instagram เริ่มเปิดใช้การล็อกอินสองปัจจัย (two-factor authentication) แก่ผู้ใช้ Instagram แล้ว

ขั้นตอนก็ไม่ต่างจากการล็อกอินสองปัจจัยปกติ คือการยืนยันหมายเลขโทรศัพท์ที่จะส่งรหัสยืนยันการเข้าระบบ (OTP) ไปยังโทรศัพท์มือถือของผู้ใช้ เพื่อให้กระบวนการลงชื่อเข้าใช้งานเสร็จสมบูรณ์

ทาง Instagram ระบุกับ The Verge ว่าจะทยอยเปิดคุณสมบัติดังกล่าวนี้ให้กับผู้ใช้งานอย่างค่อยเป็นค่อยไป (slowly) ครับ

ที่มา - The Verge

Tags:
Node Thumbnail

ทีมงานกูเกิลและ Redhat พบช่องโหว่ความปลอดภัยในไลบรารี glibc ในช่วงเวลาคาบเกี่ยวกันโดยไม่ได้นัดหมาย กูเกิลระบุว่าวิศวกรพบพฤติกรรมแปลกๆ ว่าซอฟต์แวร์ SSH client จะแครชทุกครั้งที่พยายามเชื่อมต่อไปยังเครื่องๆ หนึ่ง เมื่อตรวจสอบบั๊กนี้จึงพบว่าเป็นช่องโหว่ความปลอดภัย

ช่องโหว่นี้รายงานโดย Robert Holiday มาตั้งแต่กลางปีที่แล้ว แต่เมื่อทีมงาน Redhat พบว่าเป็นช่องโหว่ความปลอดภัยภายหลัง การพูดคุยหลังจากนั้นจึงเป็นการพูดคุยนอกช่องทางสาธารณะทั้งหมด และทาง Redhat ก็ปล่อยแพตช์ออกมาในวันนี้พร้อมกันกับรายงานของกูเกิล

Tags:
Node Thumbnail

มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ (ransomware) ไม่ได้มุ่งหมายจะทำลายข้อมูลของเหยื่อเป็นหลักแต่มุ่งเรียกเงินจากเหยื่อ ปัญหาคือเหยื่อจำนวนมากจ่ายบิตคอยน์ไม่เป็นทำให้อาชญากรเสียรายได้ ก่อนหน้านี้ก็เคยมีรายงานว่ามัลแวร์เหล่านี้เปิดเว็บบอร์ดให้เหยื่อเข้าไปสอบถามข้อมูลได้ รายงานล่าสุดคือมัลแวร์ PadCrypt นั้นถึงกับมีบริการแชตแล้ว

Tags:
Node Thumbnail

สัปดาห์ที่แล้ว Trend Micro ประเทศไทย แถลงภาพรวมด้านความปลอดภัยไซเบอร์ในปี 2558 รวมถึงพยากรณ์แนวโน้มความปลอดภัยในปี 2559 และทิศทางธุรกิจของ Trend Micro ในบ้านเรา

งานนี้ได้คุณปิยธิดา ตันตระกูล ผู้จัดการประจำประเทศไทยคนใหม่ของ Trend Micro มาเป็นผู้แถลงเอง รวมถึงคุณคงศักดิ์ ก่อตระกูล ผู้จัดการอาวุโสด้านเทคนิค มาให้ข้อมูลเรื่องสถานการณ์ความปลอดภัยด้วย (คุณคงศักดิ์ เคยมาเป็นวิทยากรในงาน Blognone Quest ปี 2014)

Tags:
Node Thumbnail

ทีมงาน Debian แจ้งเตือนระยะซัพพอร์ตของ Debian 6.0 squeeze ว่าจะสิ้นสุดลงในวันที่ 29 กุมภาพันธ์ 2016 (5 ปีหลังออกเวอร์ชันแรก) หลังจากนั้น Debian จะไม่ออกแพตช์ความปลอดภัยใดๆ ให้กับ Debian 6.0 อีกแล้ว

Debian 7 wheezy จะกลายมาเป็นดิสโทรแบบ Long Term Support (LTS) แทน ยาวนานไปถึงเดือนพฤษภาคม 2018

ใครที่ยังรัน Debian 6 อยู่ก็ได้เวลาเตรียมอัพเกรดครับ

ที่มา - Debian

Tags:
Topics: 
Node Thumbnail

ใครใช้ Cisco ASA Firewall รุ่นตามรายการด้านล่างนี้รีบอัพเกรด Firmware กันด่วนครับ เนื่องจากนักวิจัยความปลอดภัยจาก Exodus Intelligence ประกาศค้นพบช่องโหว่ร้ายแรงบนอุปกรณ์ Cisco ASA Firewall หลายรุ่นบน CVE-2016-1287 ที่ได้รับคะแนนความรุนแรงของช่องโหว่ 10 เต็ม (ไม่ต้องยืนยันตัวตน โจมตีผ่านเครือข่ายได้ระยะไกล ความซับซ้อนต่ำ และบุกรุกเข้าไปยึดระบบได้สมบูรณ์)

ช่องโหว่ดังกล่าวเกิดในกระบวนการรองรับการจัดการแพคเก็ตของข้อมูลที่ถูกแตกเป็นชิ้นย่อยๆ (Fragment) ของส่วนจัดการ Internet Key Exchange โดยผู้โจมตีสามารถสร้างแพคเก็ตข้อมูลแบบพิเศษ เพื่อทำให้ระบบเกิดบัฟเฟอร์ล้น จนทำให้ระบบต้องรีโหลดใหม่ หรือสามารถสั่งทำงานโค้ดไม่พึงประสงค์ได้ครับ

Tags:
Node Thumbnail

ไมโครซอฟท์ปล่อยแพตช์ตามรอบปกติให้กับวินโดวส์ ช่องโหว่ร้ายแรงระดับวิกฤติยังคงเป็นของเบราว์เซอร์ทั้ง Internet Explorer (MS16-009) และ Edge (MS16-011) ขณะที่ตัววินโดวส์เองมีช่องโหว่ทำให้แฮกเกอร์รันโค้ดได้จากไฟล์ PDF (MS16-012) หรือไฟล์ Windows Journal (MS16-013) สำหรับเซิร์ฟเวอร์ช่องโหว่ในการจัดการไฟล์ออฟฟิศ (MS16-015) อาจจะทำให้แฮกเกอร์เข้ามารันโค้ดได้ กระทบไปถึง SharePoint Server 2013

นอกจากซอฟต์แวร์ของไมโครซอฟท์เอง ยังมีแพตช์ให้กับ Adobe Flash (MS16-022) มาด้วยพร้อมกัน

ช่องโหว่เหล่านี้ยังไม่มีรายงานว่าเคยถูกเปิดเผยมาก่อน และไม่มีรายงานว่ามีการเจาะระบบด้วยช่องโหว่เหล่านี้แล้ว ใครยังไม่อัพเดตก็น่าจะรีบอัพเดตให้เรียบร้อย

Tags:
Node Thumbnail

ปัจจุบัน แอพที่ไม่ได้ปล่อยให้ดาวน์โหลดจาก App Store (หรือที่เรียกว่าแอพภายนอก) มักจะใช้เฟรมเวิร์คสำหรับการอัพเดตซอฟต์แวร์ที่ชื่อว่า Sparkle ในการตรวจสอบและอัพเดตแอพ โดยมีผู้ค้นพบค้นพบช่องโหว่บนเฟรมเวิร์คว่าสามารถโดนโจมตีแบบ man-in-the-middle attack ได้

Ars Technica รายงานว่าพบช่องโหว่บนเอนจินเรนเดอร์ WebKit บน Sparkle โดยขณะกำลังตรวจสอบการอัพเดตซอฟต์แวร์เมื่อเชื่อมต่อไปยังเซิร์ฟเวอร์ภายนอกผ่านช่องทาง HTTP ที่ไม่มีการเข้ารหัส ผู้ไม่ประสงค์ดีสามารถตรวจจับทราฟฟิกของเครือข่าย Wi-Fi และส่งโค้ดอันตรายไปรันบนเครื่องเหยื่อได้

Tags:
Node Thumbnail

ประธานาธิบดีบารัค โอบามา ประกาศแผนปฏิบัติการความมั่นคงไซเบอร์แห่งชาติ (Cybersecurity National Action Plan หรือ CNAP) เพื่อให้หน่วยงานรัฐบาลของสหรัฐ มีความมั่นคงปลอดภัยทางไซเบอร์มากยิ่งขึ้น ใจความสำคัญของแผนนี้ได้แก่

Tags:
Node Thumbnail

วันนี้เป็นวันปรับปรุงความปลอดภัยอินเทอร์เน็ต หรือ Safer Internet Day ที่จัดโดยสหภาพยุโรป เรียกร้องให้ทุกคนตระหนักถึงการมีส่วนร่วมช่วยกันทำให้อินเทอร์เน็ตปลอดภัยขึ้นในทุกมิติ ตั้งแต่การระมัดระวังการกลั่นแกล้งออนไลน์ (cyberbullying) ไปจนถึงความมั่นคงปลอดภัย ในโลกไอทีเองบริษัทต่างๆ ก็ออกมาร่วมกันเปิดตัวโครงการใหม่ๆ และแนะนำเทคนิคในการป้องกันตัวเอง

Tags:
Node Thumbnail

Gmail ออกมาตรการเพิ่มความปลอดภัยให้ผู้ใช้ 2 อย่างดังนี้

  • ถ้ารับหรือส่งเมลไปยังปลายทาง ที่เมลเซิร์ฟเวอร์ไม่รองรับการเข้ารหัสผ่าน TLS เราจะเห็นไอคอนแม่กุญแจสีแดงโผล่ขึ้นมาในหน้าจอเขียนเมล พร้อมคำเตือนว่าเนื้อหาในอีเมลอาจถูกดักฟังได้
  • ถ้าได้รับเมลจากผู้ส่งที่ยืนยันตัวตนไม่ได้ (authentication) ไอคอนประจำตัวผู้ส่งจะกลายเป็นรูปเครื่องหมายคำถามสีแดง เพื่อให้เรารู้ว่าอาจเป็นผู้ส่งตัวปลอม

ที่มา - Gmail Blog

ไอคอนแม่กุญแจสีแดงที่มุมด้านขวามือของหน้า New Message กดแล้วจะขึ้นคำเตือน

Tags:
Node Thumbnail

มีแฮ็กเกอร์รายหนึ่งชื่อใช้บัญชี @DotGovs บนทวิตเตอร์ ปล่อยข้อมูลส่วนตัวของพนักงาน FBI จำนวนกว่า 20,000 คน และพนักงานของกระทรวงความมั่นคงแห่งมาตุภูมิ (Department of Homeland Security หรือ DHS) อีก 9,000 คน

ข้อมูลที่ปล่อยออกมาประกอบด้วยชื่อ ตำแหน่ง อีเมล ที่อยู่ และหมายเลขโทรศัพท์ ทางเว็บไซต์ Motherboard ที่ได้รับการติดต่อจากแฮ็กเกอร์รายนี้ ลองตรวจสอบเบอร์โทรศัพท์เทียบกับรายชื่อ และพบว่าข้อมูลจำนวนหนึ่งเป็นของจริง แม้ว่าข้อมูลบางส่วนจะล้าสมัยไปบ้างแล้ว

Tags:
Node Thumbnail

ปีที่แล้วกูเกิลจัดกิจกรรมแจกพื้นที่ Google Drive ให้ผู้ใช้ฟรีๆ 2GB เมื่อทำรายการตรวจสอบความปลอดภัยของบัญชีตนเอง (security checkup) เนื่องในวันความปลอดภัยอินเทอร์เน็ตโลก (Safer Internet Day)

วันนี้กิจกรรมดังกล่าวกลับมาอีกแล้ว โดยสิ่งที่ต้องทำก็เช่นตรวจสอบความถูกต้องของอีเมลสำรอง, เบอร์โทรศัพท์ และคำถามความปลอดภัย รวมถึงตรวจสอบว่าเราต้องการถอนการเข้าใช้งาน (revoke access) ของแอพไหนบ้างหรือไม่

Tags:
Node Thumbnail

ที่งาน ISSC ปีนี้ ทีมวิจัยจาก MIT ร่วมกับ Texas Instruments (TI) สาธิตชิป RFID รุ่นใหม่ที่มีแหล่งพลังงานในตัวเพื่อประเด็นความปลอดภัย

RFID ที่มีแหล่งพลังงานในตัวไม่ใช่เรื่องใหม่ แต่แนวคิดการออกแบบ RFID เช่นนี้มักใช้งานเพื่อการสื่อสารทางไกล เช่นการอ่านค่าจากระยะทางหลายๆ เมตร แต่ครั้งนี้ข้อเสนอมาจากงานวิจัยการโจมตีบัตร RFID ด้วยการตัดพลังงานอย่างแม่นยำ ทำให้บัตรหยุดเขียนข้อมูลลงไปยังหน่วยความจำได้

Tags:
Node Thumbnail

Project Zero ของกูเกิลเปิดเผยช่องโหว่ของซอฟต์แวร์ป้องกันมัลแวร์ Malwarebytes ที่ดาวน์โหลดข้อมูลไวรัสผ่าน HTTP ไม่เข้ารหัส แม้ว่าตัวข้อมูลในไฟล์จะเข้ารหัส RC4 ไว้ตัวกุญแจก็หาจากซอฟต์แวร์ในเครื่องได้ไม่ยาก (ทาง Project Zero ยังเซ็นเซอร์กุญแจอยู่) ทำให้แฮกเกอร์สามารถส่งไฟล์ข้อมูลไวรัสปลอมเข้าไปยังเครื่องของเหยื่อได้

ข้อมูลไวรัสมีตั้งแต่ข้อมูลสำหรับค้นหาไวรัส และคำสั่งที่ต้องรันเพื่อถอนไวรัสออกจากเครื่อง เมื่อแฮกเกอร์สามารถส่งคำสั่งเหล่านี้เป็นคำสั่งปลอมเข้าไปยังเครื่องปลายทางได้ แฮกเกอร์ก็จะสามารถรันคำสั่งใดๆ ที่ต้องการในเครื่องของเหยื่อได้

Tags:
Node Thumbnail

ใครที่เล่นเว็บฯ บ่อยๆ น่าจะคุ้นเคยกับกลวิธีการหลอกล่อผู้ใช้ในวิธีต่างๆ นานา โดยหนึ่งในวิธีที่พบเห็นได้บ่อยคือการสร้างปุ่มดาวน์โหลดปลอมขึ้นมา หรือหนักไปกว่านั้นอย่างการทำหน้าล็อกอินปลอมเพื่อหลอกเอาข้อมูลจากผู้ใช้ ในวันนี้กูเกิลประกาศฟีเจอร์เพื่อความปลอดภัยใหม่เพื่อเตือนผู้ใช้จากการหลอกลวงแบบนี้แล้ว

ฟีเจอร์ใหม่ที่ว่านี้จะเป็นส่วนหนึ่งของ Safe Browsing บนเบราว์เซอร์ Chrome โดยจะคอยตรวจสอบปุ่ม และภาพต่างๆ โดยเฉพาะที่เกี่ยวข้องกับการดาวน์โหลด และล็อกอินเพื่อเฝ้าระวังว่าเข้าข่ายการโจมตีแบบวิศวกรรมสังคม social engineering หรือไม่ ซึ่งถ้าตรวจพบจะแสดงหน้าเว็บฯ สีแดงพร้อมข้อความเตือน (ดูได้ท้ายข่าว)

Tags:
Node Thumbnail

กลุ่ม AnonSec อ้างว่าสามารถแฮกเข้าสู่เซิร์ฟเวอร์ของนาซ่าได้ และดาวน์โหลดข้อมูลได้ถึง 250GB เป็นรายชื่อพนักงานของนาซ่า 2,414 คน รายการบินของเครื่องบินนาซ่า 2,143 รายการ รวมถึงวิดีโอบันทึกการบินอีก 631 ชุด

ทางกลุ่มอ้างว่าซื้อช่องทางเข้าถึงเครือข่ายมาจากกลุ่มแฮกเกอร์จีนอีกทีหนึ่ง และเจาะเข้าไปจนถึงเซิร์ฟเวอร์ของโครงการ Global Hawk โดรนสำรวจและพบข้อมูลการบินในอดีตและอนาคต ทางกลุ่ม AnonSec จึงเปลี่ยนแผนการบินเพื่อหลอกให้โดรนบินไปตกกลางทะเล แต่เจ้าหน้าที่รู้ตัวและบังคับโดรนด้วยมือเสียก่อน

Tags:
Node Thumbnail

socat เครื่องมือในลินุกซ์สำหรับการสร้างช่องทางเน็ตเวิร์ค เช่นการรับส่งข้อมูลจาก TCP ลงไฟล์ หรือการเข้ารหัส TCP ถูกรายงานว่ามีช่องโหว่เนื่องจากเลือกใช้ค่าคงที่สำหรับการเชื่อมต่อแบบเข้ารหัสไว้ผิดพลาด

ค่าคงที่ p สำหรับการเชื่อมต่อ Diffie-Hellman ขนาด 1024 บิตถูกใช้ใน socat มาตั้งแต่ต้นปี 2015 ทุกเวอร์ชั่นตั้งแต่ 1.7.3.0 และ 2.0.0-b8 ลงไปได้รับผลกระทบทั้งหมด ทางโครงการออกเวอร์ชั่น 1.7.3.1 และ 2.0.0-b9 มาแก้ช่องโหว่นี้แล้ว

Tags:
Node Thumbnail

Justin Case นักวิจัยความปลอดภัยรายงานถึงช่องโหว่ของโทรศัพท์มือถือที่ใช้ชิป MediaTek แล้วกลับตั้งค่าคอนฟิกเครื่อง (device properties) ได้แม้จะเป็นค่าสำหรับอ่านอย่างเดียว ช่องโหว่เช่นนี้ทำให้การเข้าถึงสิทธิ์ root ในเครื่องทำได้อย่างง่ายดาย

ทาง MediaTek ระบุกับ GSMArena ว่าช่องโหว่นี้เกิดจากการเปิดใช้ฟีเจอร์ดีบั๊กขณะทดสอบโทรศัพท์ และผู้ผลิตควรจะปิดฟีเจอร์นี้ทิ้งก่อนจะส่งโทรศัพท์ให้ลูกค้า อย่างไรก็ตามมีผู้ผลิตบางรายเปิดฟีเจอร์นี้ทิ้งไว้ทำให้โทรศัพท์ถูกเจาะทะลุการรักษาความปลอดภัยได้โดยง่าย

Tags:
Node Thumbnail

พบกันทุกต้นเดือนกับ Nexus Security Update สำหรับอัพเดตรอบเดือนกุมภาพันธ์ 2016 แก้ช่องโหว่ 10 จุด โดยมีช่องโหว่ระดับร้ายแรง 5 จุด มีช่องโหว่เกี่ยวกับ Wi-Fi ที่ใช้ชิปของ Broadcom และ Qualcomm รวมถึงช่องโหว่ของ mediaserver (ตัวที่เคยมีปัญหา StageFright) ด้วย

ผู้ใช้ Android 5.1 จะได้อัพเดต OTA เป็น LMY49G ส่วนผู้ใช้ Android 6.0 จะได้อัพเดตความปลอดภัยเป็น Security Patch Level of February 1, 2016 (MMB29Q/MMB29U/MMB29R) ใครรอไม่ไหวก็สามารถดาวน์โหลด factory image กันก่อนได้

กูเกิลบอกว่าส่งแพตช์เหล่านี้ให้พาร์ทเนอร์ฮาร์ดแวร์มาแล้ว 1 เดือน (ก่อนวันที่ 4 มกราคม) พาร์ทเนอร์รายไหนอัพเดตกันช้าก็ต้องไปไล่บี้กันเอาเองครับ

Tags:
Node Thumbnail

ระบบ Single Sign-On ของ 3BB คือ ระบบสำหรับจัดการบริการต่างๆ ของผู้ใช้งาน 3BB ผ่านการใช้ Username และ Password

มีผู้ประสงค์ไม่ออกนามแจ้งว่าระบบ Forgot Password ของระบบ SSO นี้ จะทำการส่งรหัสผ่านตัวจริงให้ผ่านทางอีเมลที่ได้ลงทะเบียนไว้

ทางผู้เขียนข่าวจึงได้ทดสอบการทำงานของระบบดังกล่าวที่ Forgot Password

และตรวจสอบ Inbox ของอีเมลที่กรอกลงไปจากรูปภาพข้างต้น จึงได้รับอีเมลจาก contact@3bb.co.th ในหัวข้อว่า "Forgot 3BB SSO Password"

Pages