นักวิจัยพบแฮกเกอร์เริ่มเล่นงานกันเอง ฝังโทรจันในเครื่องมือที่ใช้แฮกเหยื่อ

By nismod Writer on Tag: Hacking, Security
Hacking

Cyberreason บริษัทวิจัยด้านความปลอดภัยออกรายงานฉบับใหม่ที่ชี้ว่า แฮกเกอร์เริ่มหันมาเล่นงานกันเองแล้ว จากการฝังโทรจันในเครื่องมือที่ใช้แฮกเหยื่ออีกที อาทิ เครื่องมือแคร็กซอฟต์แวร์, คีย์เจน เพื่อเข้าถึงเครื่องของแฮกเกอร์และเหยื่อที่ถูกแฮกอีกต่อ

โทรจันตัวนี้ชื่อว่า njRat เป็นโทรจันที่โผล่มาตั้งแต่ปี 2013 ใช้โจมตีเหยื่อไม่ว่าจะผ่านทาง phishing, แฟลชไดรฟ์ ไปจนถึงติดตั้งเว็บไซต์ที่ไม่ปลอดภัยอย่าง WordPress ที่มีช่องโหว่ เพื่อเข้าถึงเครื่องเหยื่อ ทั้งไฟล์ พาสเวิร์ด ไมโครโฟนและกล้อง รวมถึงใช้เป็นบ็อตเน็ตสำหรับ DDoS ด้วย ขณะที่ระยะหลัง ๆ njRat ถูกนำไปฝังในเครื่องมือสำหรับแฮกเกอร์อีกต่อ

Read more

Firefox เริ่มใช้ทำ Sandbox บางส่วนของโปรแกรม ด้วยวิธีแปลง C/C++ เป็น WebAssembly

By mk Founder on Tag: Firefox, Mozilla, Browser, Security, WebAssembly
Firefox

แนวคิดการทำ sandbox เพื่อจำกัดขอบเขตความเสียหายกรณีโปรแกรมโดนแฮ็ก กำลังได้รับความนิยมมากขึ้นเรื่อยๆ แต่หลายกรณีก็มีข้อจำกัด เช่น การเรียกใช้ไลบรารีที่มีขนาดเล็กจนไม่สามารถแยกโพรเซสได้ แต่ไลบรารีก็ไม่ได้เขียนเองทำให้ควบคุมคุณภาพโค้ดไม่ได้

Mozilla ร่วมกับทีมวิจัยจากมหาวิทยาลัย 3 แห่งคือ University of California San Diego, University of Texas Austin, Stanford University พัฒนาเทคนิคใหม่ชื่อ RLBox แก้ปัญหานี้ด้วยการแปลงโค้ด C/C++ เป็น WebAssembly ก่อน เพื่อรันใน sandbox ของ WebAssembly แทน

Read more

Google ให้เปิดใช้งานกุญแจ U2F บน Android และ Safari แล้ว

By nismod Writer on Tag: Google, Security, Android, Safari
Google

เดิมการเปิดใช้งาน (enroll) กุญแจ U2F เพื่อล็อกอิน 2 ชั้นบนแอคเคาท์ Google ต้องทำผ่าน Chrome เฉพาะพีซีหรือ macOS เท่านั้น ล่าสุด Google ให้เปิดใช้งานผ่าน Chrome บน Android และ Safari แล้ว

Android ต้องเป็นเวอร์ชัน 7.0 Nougat และ Chrome 70 ขึ้นไป ส่วน Safari ต้องเป็นเวอร์ชัน 13.0.4 ขึ้นไป ขณะที่การเปิด 2FA ด้วยกุญแจ ให้เข้าไปที่แอคเคาท์ Google >> เลือก Security >> เลือก 2-Step Verification และเลือก Add Secrutiy Key

Read more

ศูนย์มั่นคงไซเบอร์อังกฤษแนะนำการใช้กล้องวงจรปิดต่อเน็ต: เปลี่ยนรหัสผ่าน, อัพเดตเฟิร์มแวร์, ปิดฟีเจอร์ที่ไม่ใช้

By lew Founder on Tag: NCSC, United Kingdom, Security, Internet of Things
NCSC

ศูนย์ความมั่นคงปลอดภัยไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) ออกคำแนะนำการใช้กล้องวงจรปิดและกล้องดูแลเด็ก (baby monitor) ให้ปลอดภัย โดยแนะนำ 3 ข้อใหญ่ได้แก่

Read more

Let's Encrypt พบบั๊กระบบออกใบรับรอง เตรียมยกเลิกใบรับรอง 3 ล้านใบวันที่ 4 มีนาคมนี้

By lew Founder on Tag: Let's Encrypt, Security
Let's Encrypt

Let's Encrypt ประกาศพบบั๊กในระบบออกใบรับรอง ทำให้มีการออกใบรับรองโดยตรงสอบไม่ครบถ้วน และจำเป็นต้องยกเลิก (revoke) ใบรับรองที่ตรวจสอบไม่ครบนี้ออกจากระบบ รวมใบรับรองที่กระทบ 3,048,289 ใบ จากใบรับรองที่ยังใช้งานได้ตอนนี้ 116 ล้านใบ หรือคิดเป็น 2.6%

Read more

กสทช. ออสเตรเลียบังคับค่ายมือถือยืนยันตัวตนลูกค้าสองขั้นตอนก่อนออกซิมใหม่ วางค่าปรับ 5 ล้านบาทหากทำไม่ครบ

By lew Founder on Tag: Australia, SIM card, Security, Mobile Banking
Australia

Australian Communications and Media Authority (ACMA) หรือกสทช.ออสเตรเลียประกาศมาตรฐานการตรวจสอบผู้ใช้ก่อนออกซิมใหม่ หลังพบว่าประชาชนเป็นเหยื่อมากขึ้นและการถูกขโมยหมายเลขโทรศัพท์แต่ละครั้งทำให้เหยื่อเสียหายเฉลี่ยสูงกว่า 10,000 ดอลลาร์ออสเตรเลีย หรือมากกว่าสองแสนบาท

ทาง ACMA ไม่ได้แยกย่อยว่าความเสียหายส่วนใหญ่เกิดจากอะไร แต่ก็ระบุความสำคัญของการใช้บริการธนาคารบนโทรศัพท์มือถือ ที่หากคนร้ายควบคุมหมายเลขโทรศัพท์ได้ก็จะขโมยเงินได้

Read more

นักวิจัยพบมัลแวร์ Android แอบขโมยรหัส 2FA จากแอพ Google Authenticator ได้

By BlackMiracle Writer on Tag: Android, Security, Authentication
Android

นักวิจัยจากบริษัท ThreatFabric ประเทศเนเธอร์แลนด์พบมัลแวร์บน Android ชื่อ Cerberus ที่เป็นเวอร์ชันใหม่ มีความสามารถขโมยรหัส two-factor authentication (2FA) จากแอพ Google Authenticator ได้ แต่มัลแวร์ดังกล่าวยังมีข้อจำกัดอยู่ เพราะต้องหลอกเจ้าของเครื่องให้อนุญาตให้มัลแวร์เข้าถึงสิทธิ์ Accessibility (ฟีเจอร์ผู้พิการ) เสียก่อน แต่หากหลงเชื่อแล้ว มัลแวร์จะสามารถอ่านเนื้อหาบนหน้าจอได้

หลังจากนั้น เมื่อแอพ Google Authenticator ถูกเปิดขึ้นมา มัลแวร์จะอ่านตัวเลขรหัส OTP บนหน้าจอและส่งกลับไปยังเซิฟเวอร์ของตัวเอง

Read more

Let's Encrypt ประกาศออกใบรับรองครบพันล้านใบ

By lew Founder on Tag: Let's Encrypt, Security
Let's Encrypt

Let's Encrypt โครงการแจกใบรับรองเข้ารหัสฟรีประกาศออกใบรับรองครบ 1 พันล้านใบ รวมประมาณ 192 ล้านเว็บไซต์

Let's Encrypt เปิดแจกใบรับรองจริงครั้งแรกเมื่อเดือนธันวาคมปี 2015 ผ่านมาสี่ปี ตอนนี้โครงการมีพนักงานประจำ 11 คน และใช้งบประมาณปีละ 2.61 ล้านดอลลาร์สหรัฐฯ หรือประมาณ 82 ล้านบาท โดยเพิ่มพนักงานเพียงสองคนในช่วงเวลาสองปีที่ผ่านมา

ผลของการมี Let's Encrypt ทำให้การเข้าชมเว็บไซต์ 81% เป็นการเชื่อมต่อแบบเข้ารหัส เพิ่มขึ้นอย่างรวดเร็วจากสองปีก่อนที่อยู่ที่ 58% เท่านั้น

Read more

ซัมซุงเผย Galaxy S20 มีชิปความปลอดภัย Secure Element ฝังมาให้ด้วย

By mk Founder on Tag: Galaxy S20, Samsung, Security, Hardware
Galaxy S20

เราเริ่มเห็นการใช้ชิปเฉพาะทางเก็บข้อมูลสำคัญๆ บนสมาร์ทโฟน เพื่อการันตีความปลอดภัยที่เหนือกว่าการเก็บในหน่วยความจำแบบเดิม ตัวอย่างเช่น Titan M ของ Google Pixel หรือ Apple T2 ของ iPhone

ล่าสุดซัมซุงเปิดเผยว่ามือถือซีรีส์ Galaxy S20 ที่เพิ่งเปิดตัว มีชิปความปลอดภัยแบบเดียวกันชื่อ S3K250AF สำหรับเก็บกุญแจดิจิทัลและรหัสผ่านของผู้ใช้ เมื่อบวกกับซอฟต์แวร์ด้านความปลอดภัยของซัมซุง ที่ผ่านมาตรฐาน Common Criteria Evaluation Assurance Level (CC EAL) 5+ จะรวมเป็นโซลูชันด้านความปลอดภัย Secure Element (SE) ที่สมบูรณ์

Read more

อัพเดตกันด่วน Chrome 80 อุดช่องโหว่ความปลอดภัย Zero-Day ที่ถูกใช้โจมตีแล้ว

By mk Founder on Tag: Chrome, Google, Browser, Security
Chrome

กูเกิลออกอัพเดต Chrome 80.0.3987.122 เป็นการอุดช่องโหว่นอกรอบอัพเดตปกติ ให้กับ Chrome 80 ที่ออกรุ่นเสถียรเมื่อต้นเดือน

ช่องโหว่รอบนี้มี 3 ตัว มีความสำคัญระดับ High โดยช่องโหว่หนึ่งตัว (CVE-2020-6418) ที่เกี่ยวกับหน่วยความจำของเอนจิน V8 พบรายงานการโจมตีผ่านช่องโหว่นี้แล้ว

ผู้ใช้งาน Chrome บนเดสก์ท็อปทุกแพลตฟอร์มควรกดอัพเดตกันทันที

ที่มา - Chrome Releases, ZDNet

Read more

ไมโครซอฟท์โชว์ Microsoft Defender ATP for Linux รองรับดิสโทรหลักทุกตัว

By lew Founder on Tag: Microsoft, Security, Microsoft Defender, Linux
Microsoft

เมื่อสัปดาห์ที่แล้วไมโครซอฟท์ประกาศว่าจะขยาย Microsoft Defender ATP (MTP) ชุดซอฟต์แวร์ความปลอดภัยออกไปทุกแพลตฟอร์มรวมถึงลินุกซ์ วันนี้ไมโครซอฟท์ก็ออกมาให้รายละเอียดสำหรับเวอร์ชั่นลินุกซ์เพิ่มเติม

MTP รองรับลินุกซ์ดิสโทรหลักแทบทั้งหมด ได้แก่ RHEL 7+, CentOS Linux 7+, Ubuntu 16 LTS, or higher LTS, SLES 12+, Debian 9+, และ Oracle EL 7 โดยสามารถติดตั้งผ่าน Puppet หรือ Ansible ก็ได้

การควบคุม MTP จะสามารถควบคุมผ่าน command line ได้ทั้งหมดผ่านคำสั่ง mdatp และยังรายงานข้อมูลการการสแกนเครื่องกลับไปยัง Microsoft Defender Security Center

Read more

Firefox เปิดใช้งาน DNS over HTTPS เป็นค่าเริ่มต้นให้ผู้ใช้ในสหรัฐฯ, แนะนำ Cloudflare และ NextDNS

By nutmos Writer on Tag: Mozilla, DNS, Firefox, Security
Mozilla

วันนี้ Mozilla ประกาศเตรียมเปิดใช้งาน DNS over HTTPS ระบบ DNS เข้ารหัสเพื่อรักษาความปลอดภัยและความเป็นส่วนตัวให้ผู้ใช้งาน Firefox ในสหรัฐฯ อย่างเป็นทางการ โดยจะทยอยปล่อยฟีเจอร์นี้ให้ผู้ใช้งานทีละกลุ่ม

Mozilla ระบุว่า DNS ถูกออกแบบมานานหลายทศวรรษแล้ว ซึ่งแม้ว่าเบราว์เซอร์จะใช้ HTTPS แต่การ lookup เพื่อหาไอพีแอดเดรสโดย DNS ยังคงไม่ได้เข้ารหัส ซึ่งถือเป็นจุดอ่อนสำคัญเพราะอุปกรณ์อื่นสามารถเก็บ ไปจนถึงบล็อคหรือเปลี่ยนคำขอ DNS ก็ย่อมได้

Read more

นักพัฒนาซอฟต์แวร์พบช่องโหว่ในระบบ McDonald's สั่งอาหารได้ฟรีทุกครั้ง

By mk Founder on Tag: McDonalds, Hacking, Security
McDonalds

นักพัฒนาซอฟต์แวร์จากเยอรมนี ค้นพบช่องโหว่ในระบบไอทีของ McDonald's ประเทศเยอรมนี ทำให้เขาสามารถสั่งอาหารได้ฟรีทุกครั้งไป

ท้ายใบเสร็จของ McDonald's เยอรมนีมีลิงก์ไปยังเว็บเพจที่สอบถามความเห็นของลูกค้า ตอบแล้วจะได้โค้ดไปแลกรับเครื่องดื่มขนาดเล็กได้ฟรี ซึ่ง David Albert นักพัฒนาซอฟต์แวร์ในข่าวค้นพบแพทเทิร์นการออกโค้ดที่ซ้ำเดิมตลอดเวลา ทำให้เขาสามารถออกโค้ดแลกรับเครื่องดื่มได้เอง

Read more

Safari จะแจ้งเตือนใบรับรองอายุนานกว่า 13 เดือนว่าไม่ปลอดภัย เริ่มกันยายนนี้

By nutmos Writer on Tag: Safari, Security, Digital Certificate
Safari

ตอนนี้ Safari กำลังจะเริ่มบังคับใช้นโยบายใหม่ คือจะไม่ยอมรับใบรับรองเว็บไซต์ที่กำหนดวันหมดอายุไว้มากกว่า 13 เดือนนับจากวันสร้างใบรับรอง ซึ่งจะส่งผลโดยตรงต่อเว็บไซต์ที่ใช้ใบรับรองที่กำหนดวันหมดอายุไว้นาน ๆ

นโยบายใหม่นี้เสนอในที่ประชุม CA/Browser โดยเริ่มตั้งแต่วันที่ 1 กันยายน Safari จะไม่ยอมรับใบรับรองใดก็ตามที่มีอายุมากกว่า 398 วันนับจากวันออกใบรับรอง ลดลงจากเดิมที่กำหนดไว้ 825 วัน โดยจะขึ้นคำแจ้งเตือนผู้ใช้เหมือนกับเว็บไซต์ที่ใบรับรองไม่ปลอดภัย

Read more

ทั่วถึงทุกแพลตฟอร์ม Microsoft Defender ประกาศออกเวอร์ชันลินุกซ์, Android, iOS

By mk Founder on Tag: Microsoft Defender, Microsoft, Security, Linux, iOS, Android, Enterprise
Microsoft Defender

Microsoft Threat Protection (MTP) เป็นชื่อเรียกรวมๆ ของชุดฟีเจอร์-บริการด้านความปลอดภัยของไมโครซอฟท์แบบเสียเงินหลายตัว ประกอบด้วย Microsoft Defender ATP ที่คุ้มครองเครื่อง, Office 365 ATP คุ้มครองอีเมล, Azure ATP คุ้มครองบัญชี, Microsoft Cloud App Security คุ้มครองแอพ

วันนี้ไมโครซอฟท์ประกาศว่า Microsoft Threat Protection มีสถานะเปิดบริการเป็นการทั่วไป (generally available) องค์กรที่จ่ายแพ็กเกจ Microsoft 365 E5 อยู่แล้วสามารถเปิดใช้งานได้ทันทีผ่านหน้าแอดมินของระบบ

Read more

Akamai รายงานการโจมตีบริการทางการเงิน พบแฮกเกอร์ยิงล็อกอินผ่าน API มากขึ้น

By lew Founder on Tag: Akamai, Security
Akamai

Akamai เปิดรายงานความปลอดภัยของบริการทางการเงิน (Finnancial Service - FinServ) ในช่วง ปีปลายปี 2017 ถึงปลายปี 2019 พบว่ามีอัตราความพยายามล็อกอินผ่านทางเซิร์ฟเวอร์ที่เป็น API gateway มากขึ้นเรื่อยๆ

รายงานแสดงให้เห็นว่าอุตสาหกรรมอื่นนั้นแฮกเกอร์พยายามขโมยบัญชีผู้ใช้ผ่านทาง API มาต่อเนื่องระยะหนึ่งแล้ว โดยรวมช่วงที่สำรวจมีการยิงผ่าน API ประมาณ 20% จากการยิงรหัสผ่านทั้งหมด 85,422 ล้านครั้ง แต่สำหรับอุตสาหกรรมทางการเงินเริ่มมีปริมาณสูงขึ้นช่วงปลายปี 2019 ที่ผ่านมา รวมมีการยิงรหัสผ่าน 473 ล้านครั้ง

Read more

OpenSSH ออกรุ่น 8.2 รองรับกุญแจ FIDO เป็นทางการ หยุดรองรับกุญแจแบบ ssh-rsa

By lew Founder on Tag: OpenSSH, Security
OpenSSH

OpenSSH ออกรุ่น 8.2 โดยฟีเจอร์สำคัญคือมันรองรับกุญแจ FIDO/U2F อย่างเป็นทางการแล้ว ทำให้ผู้ดูแลระบบสามารถเพิ่มความปลอดภัยของไฟล์ private key สำหรับล็อกอินด้วยการยืนยันผ่านกุญแจ FIDO อีกชั้น

Read more

นโยบายกูเกิลได้ผล แอพบน Google Play ที่ขอสิทธิเข้าถึง SMS/Call Data หายไป 98%

By mk Founder on Tag: Google Play, Android, SMS, Google, Security, Privacy
Google Play

เมื่อต้นปี 2019 เราเห็นข่าว Google Play ห้ามแอพที่ขอสิทธิเข้าถึงบันทึกการโทรและ SMS โดยไม่จำเป็น โดยให้เหตุผลเรื่องความปลอดภัยและความเป็นส่วนตัว แต่ก็สร้างเสียงวิจารณ์ไม่น้อย

เวลาผ่านมาครบปี กูเกิลสรุปตัวเลขให้เห็นชัดๆ ว่าแอพที่ขอสิทธิการใช้งาน SMS และการโทร (call data) มีจำนวนลดลงถึง 98% โดย 2% ที่เหลือคือแอพที่ยังจำเป็นต้องใช้งานสิทธิเหล่านี้จริงๆ

กูเกิลยังให้ข้อมูลด้านความปลอดภัยอื่นๆ ของ Google Play ในปี 2019 ดังนี้

Read more

กูเกิลร่วมมือ Cisco ค้นพบส่วนขยายที่ไม่ปลอดภัยของ Chrome ถึง 500 ตัว

By mk Founder on Tag: Chrome, Google, Cisco, Security, Extension
Chrome

กูเกิลร่วมมือกับ Duo Security บริษัทความปลอดภัยในเครือ Cisco และ Jamila Kaya นักวิจัยด้านความปลอดภัยอิสระ ค้นพบและถอดส่วนขยายของ Chrome ที่ไม่ปลอดภัยออกจาก Chrome Web Store ประมาณ 500 ตัว

Read more

กูเกิลจะบังคับผู้ใช้บัญชี Nest ทุกคน ต้องล็อกอินด้วย Two-Factor Authentication

By mk Founder on Tag: Nest, Google, Security, Authentication
Nest

ประเด็นเรื่องความปลอดภัยของอุปกรณ์ IoT ยังมีเรื่องให้ถกเถียงกันเรื่อยๆ กูเกิลในฐานะเจ้าของแบรนด์ Nest และส่งเสริมให้ลูกค้าย้ายบัญชี Nest เดิมมาล็อกอินด้วยบัญชี Google Account (ตอนแรกบังคับย้าย แต่ตอนหลังยอมถอย ไม่บังคับแล้ว) ประกาศว่าจะบังคับการล็อกอินแบบสองปัจจัย (two-factor authentication) สำหรับบัญชี Nest เดิม

Read more
Subscribe to Security