Malwarebytes สรุปสถิติปี 2019 ภัยคุกคามบนแมคเยอะกว่าบนวินโดวส์ 2 เท่า

By mk Founder on Tag: Malwarebytes, Malware, Security, Mac
Malwarebytes

Malwarebytes บริษัทซอฟต์แวร์แอนตี้มัลแวร์ชื่อดัง ออกรายงานสรุปสถิติมัลแวร์ประจำปี 2019 พบว่าตรวจพบภัยคุกคามบนแมคเยอะกว่าบนวินโดวส์เป็นครั้งแรก แถมเจอเยอะกว่าถึงสองเท่าด้วย

สถิติของ Malwarebytes บอกว่าพบภัยคุกคามบนแมคเฉลี่ย 11 จุดต่อเครื่อง (threats per endpoint) ส่วนบนวินโดวส์พบเฉลี่ย 5.8 จุด ในรอบปีที่ผ่านมา ภัยคุกคามบนแมคโตขึ้นถึง 400%

สาเหตุที่ภัยคุกคามบนแมคเพิ่มสูงขึ้นมาก เป็นเพราะโปรแกรมกลุ่ม adware ที่ฝังโฆษณา (Malwarebytes นับรวมเป็นหนึ่งในภัยคุกคาม) ที่พบมากถึง 30 ล้านครั้งในปี 2019 (เทียบกับบนวินโดวส์ 24 ล้านครั้ง) โดยโปรแกรม adware ตระกูล NewTab ที่มาในรูปส่วนขยายของ Safari พบมากที่สุด 28 ล้านครั้ง หรือเท่ากับเกือบทั้งหมดของภัยคุกคามบนแมค

Read more

Apple เข้าร่วม FIDO Alliance เพื่อผลักดันมาตรฐานยืนยันตัวตนที่ปลอดภัยกว่ารหัสผ่าน

By nutmos Writer on Tag: Apple, FIDO, Security, Authentication
Apple

FIDO Alliance กลุ่มบริษัทเทคโนโลยีที่เน้นการหาระบบทดแทนรหัสผ่านได้ประกาศอย่างเป็นทางการว่า ตอนนี้ Apple ได้เข้าเป็นสมาชิกของกลุ่มอย่างเป็นทางการแล้ว โดยเป็นสมาชิกระดับบอร์ด (Board Level Members) ซึ่งเป็นระดับเดียวกับ Amazon, Arm, Facebook, Google, Intel, Lenovo, Microsoft และบริษัทเทคโนโลยีชื่อดังอื่น ๆ

แนวคิดของกลุ่ม FIDO คือการสร้างมาตรฐานกลางเพื่อการยืนยันตัวตนที่ปลอดภัยกว่าการใช้รหัสผ่าน เนื่องจากปัจจุบันรหัสผ่านนั้นเป็นระบบการยืนยันตัวตนรูปแบบเก่าที่มีจุดอ่อนหลายข้อ แต่ก็ยังไม่มีมาตรฐานกลางที่จะมาเสริมหรือทดแทนการยืนยันตัวตนแบบรหัสผ่านได้ดีพอ

Read more

Chrome 82 จะเริ่มบล็อคไฟล์ที่ดาวน์โหลดผ่าน HTTP แบบไม่เข้ารหัส ป้องกันถูกยัดไส้

By mk Founder on Tag: Chrome, HTTPS, HTTP, Security, Browser
Chrome

Chrome ประกาศแผนการบล็อคไม่ให้ดาวน์โหลดไฟล์ผ่าน HTTP แบบไม่เข้ารหัส โดยจะเริ่มจาก Chrome 82 ที่ออกช่วงเดือนเมษายน 2020

ปัจจุบัน Chrome ยอมให้เราเข้าเว็บที่เป็น HTTPS แล้วดาวน์โหลดบางไฟล์ผ่านโปรโตคอล HTTP (mixed content download) ซึ่งกูเกิลมองว่าไฟล์อาจถูกยัดไส้เป็นมัลแวร์ หรือโดนดักข้อมูลระหว่างทางได้ (เช่น ดาวน์โหลดไฟล์สรุปข้อมูลการเงินจากเว็บไซต์ธนาคาร)

Read more

Firefox ประกาศหยุดรองรับ TLS 1.0, 1.1 ต้นเดือนมีนาคม 2020, ต้องเป็น TLS 1.2 ขึ้นไป

By mk Founder on Tag: Firefox, Mozilla, HTTPS, TLS, Security
Firefox

Mozilla ประกาศแผนหยุดซัพพอร์ตโปรโตคอล Transport Layer Security (TLS) เวอร์ชันเก่า 1.0 และ 1.1 บน Firefox โดยจะเริ่มมีผลใน Firefox 74 ที่จะออกตัวจริงช่วงเดือนมีนาคม 2020

เหตุผลที่เลิกใช้ TLS 1.0 และ 1.1 เป็นเพราะพบช่องโหว่ที่ถูกใช้โจมตีมากขึ้นเรื่อยๆ เช่น ช่องโหว่ BEAST, CRIME, POODLE ในขณะที่โปรโตคอลเวอร์ชันใหม่ TLS 1.3 ออกตั้งแต่ปี 2018 และรองรับตั้งแต่ Firefox 63

Read more

TrueMoney Wallet แนะผู้ใช้อัพเดต Android 5.0 และ iOS 10.0 ขึ้นไป, เครื่องรูทหรือเจลเบรคไม่สามารถใช้งานได้

By Mekokung Contributor on Tag: TrueMoney, Security, Mobile Banking, Jailbreak
TrueMoney

TrueMoney Wallet ประกาศอย่างเป็นทางการทาง Facebook ให้ผู้ใช้งานอัพเดตเวอร์ชั่นระบบปฏิบัติการเป็นเวอร์ชั่นล่าสุดโดยจะต้องเป็นเวอร์ชั่น Android 5.0 และ iOS 10.0 ขึ้นไปเพื่อให้สามารถใช้งานแอพได้ต่อ และเครื่องที่มีการรูทหรือเจลเบรคจะไม่สามารถใช้งานได้ ตามประกาศของธนาคารแห่งประเทศไทย

โดยผู้ใช้ TrueMoney Wallet ที่ใช้งานระบบปฏิบัติการต่ำกว่า Android 5.0 และ iOS 10.0 จะทำให้การใช้งานไม่ได้ โดยจะเริ่มมีผลในวันที่ 9 มีนาคม 2563 เป็นต้นไป

Read more

Twitter แถลงพบแอคเคาท์ปลอมจำนวนมาก ค้นหาบัญชีผู้ใช้คนอื่นจากเบอร์โทร

By nismod Writer on Tag: Twitter, Security
Twitter

Twitter แถลงในบล็อกด้านความเป็นส่วนตัว (privacy blog) ของตัวเองเรื่องการค้นพบแอคเคาท์ปลอมจำนวนมาก ที่เกี่ยวโยงกับรัฐบาลอิหร่าน อิสราเอลและมาเลเซีย (state-sponsored actor) abuse ฟีเจอร์ของ Twitter นำเบอร์โทรศัพท์ไปค้นหาบัญชีผู้ใช้ พร้อมขอโทษถึงปัญหาที่เกิดขึ้น

Twitter มีฟีเจอร์ที่ให้ผูกเบอร์โทรศัพท์เข้ากับบัญชี เพื่อความง่ายในการค้นหาแนะนำเพื่อนที่อาจรู้จัก (let people who have your phone number find you on Twitter) ทว่าแอคเคาท์ปลอมจำนวนมากข้างต้น กลับนำเบอร์โทรศัพท์มาค้นหาตัวตนและบัญชีเจ้าของเบอร์โทรศัพท์ ซึ่งผิดวัตถุประสงค์ โดย Twitter บอกว่าได้แค่ไขแล้วว่าไม่ให้แสดงผลชื่อบัญชีบางอย่างเมื่อค้นหาด้วยวิธีนี้ (it could no longer return specific account names in response to queries)

Read more

รัฐ West Virginia เตรียมให้คนพิการโหวตเลือกประธานาธิบดีผ่านสมาร์ทโฟนได้

By sunnywalker Writer on Tag: USA, Election, Security
USA

ขณะนี้ เข้าสู่ฤดูกาลเลือกตั้งประธานาธิบดีสหรัฐฯ แล้ว โดยรัฐ West Virginia จะเป็นรัฐแรกของสหรัฐฯที่ให้ผู้พิการโหวตลือกตั้งประธานาธิบดีผ่านสมาร์ทโฟนได้

Jim Justice ผู้ว่าการรัฐ West Virginia สังกัดพรรครีพับลิกัน เตรียมลงนามในกฎหมายที่ให้แต่ละรัฐจัดทำการโหวตเลือกตั้งในรูปแบบออนไลน์ให้ผู้มีสิทธเิ์เลือกตั้งที่เป็นผู้พิการให้สามารถโหวตผ่านมือถือได้

ก่อนหน้านี้ รัฐ West Virginia เคยทดลองใช้การเลือกตั้งออนไลน์มาแล้วในการเลือกครั้งกลางเทอม โดยใช้บริการของบริษัทสตาร์ตอัพ Voatz ซึ่ง Mac Warner เลขาธิการรัฐระบุว่าคราวนี้ก็จะใช้บริการ Voatz หรือแอปอื่นที่คล้ายกันให้เป็นทางเลือกที่ง่ายขึ้น

Read more

นักวิจัยพบ TeamViewer เก็บรหัสผ่านไว้ใน registry แล้วกู้กลับออกมาได้ ควรระวังการใช้รหัสซ้ำ

By lew Founder on Tag: TeamViewer, Security
TeamViewer

whynotsecurity นักวิจัยความปลอดภัยที่ไม่เปิดเผยตัวตนรายงานถึงกระบวนการเก็บรหัสผ่านของโปรแกรม TeamViewer ที่ใช้สำหรับการล็อกอินระยะไกลที่นิยมใช้ในการซัพพอร์ตระบบไอที โดยพบว่ารหัสผ่านของผู้ใช้จะถูกเข้ารหัสแบบ AES-128-CBC ด้วยกุญแจและค่า IV เดียวกันทั้งหมด หากผู้ใช้ตั้งรหัสผ่านซ้ำกันระหว่างเครื่องต่างๆ ก็มีโอกาสที่แฮกเกอร์จะเข้าถึงบางเครื่องและกู้รหัสผ่านกลับออกมาได้

Read more

แอปเปิลเสนอมาตรฐาน SMS สำหรับส่งรหัสแบบใช้ครั้งเดียว เปิดทางเติมรหัสอัตโนมัติ

By lew Founder on Tag: Apple, Security
Apple

ทีมงาน WebKit ของแอปเปิลเสนอฟอร์แมตมาตรฐานสำหรับการส่ง SMS รหัสแบบใช้ครั้งเดียว (one-time code) ที่เว็บต่างๆ มักใช้ SMS สำหรับการล็อกอินขั้นตอนที่สอง แต่มีข้อจำกัดว่าฟอร์แมตข้อความที่ส่งนั้นไม่ตรงกัน ทำให้เขียนโปรแกรมอ่านได้ยาก แม้แอนดรอยด์ช่วงหลังจะเริ่มคาดเดาตัวรหัสได้ แต่ก็ไม่สามารถอ่านได้ว่าเป็นรหัสผ่านของเว็บใดทำให้ระบบล็อกอินให้บริการอัตโนมัติไม่สมบูรณ์

แนวทางของ WebKit คือเสนอให้บรรทัดสุดท้ายของ SMS ต้องขึ้นต้นด้วย "@" แล้วระบุโดเมนเว็บ จากนั้นใส่เครื่องหมาย "#" แล้วตามด้วยรหัส เช่น

19320624 is OTP for Blognone.

@blognone.com #19320624

Read more

Check Point รายงานช่องโหว่ Azure Stack: เก็บภาพหน้าจอเครื่องโดยไม่ต้องล็อกอิน, รันโค้ดทะลุ sandbox

By lew Founder on Tag: Microsoft Azure, Security
Microsoft Azure

Check Point Research รายงานถึงช่องโหว่ของชุดซอฟต์แวร์ Azure Stack ที่ใช้สร้างคลาวด์ on-premise ของไมโครซอฟท์โดยมีช่องโหว่รันโค้ดที่ร้ายแรงระดับวิกฤติด้วย

ช่องโหว่ CVE-2019-1372 เป็นช่องโหว่ระดับวิกฤติจากการจัดการความจำบัฟเฟอร์ของ Azure Stack ในส่วนของ Azure App Service ที่ใช้รันโค้ดจากผู้ใช้หลายๆ รายบนโครงสร้างร่วมกัน การจัดการหน่วยความจำผิดพลาดทำให้แฮกเกอร์สามารถรันโค้ดนอก sandbox และได้สิทธิ์ NT AUTHORITY/SYSTEM ในเครื่อง

Read more

ถ้าไม่ใช้ Avast แล้วใช้แอนตี้ไวรัสตัวไหนดี รวมแอนตี้ไวรัสแนะนำ รอบต้นปี 2020

By mk Founder on Tag: Avast, Antivirus, Security
Avast

จากกรณี Avast ถูกแฉว่านำข้อมูลผู้ใช้ไปขายต่อ สร้างความตื่นตัวให้กับผู้ใช้ Avast พร้อมเกิดคำถามว่า "ไม่ใช้ Avast แล้วไปใช้แอนตี้ไวรัสตัวไหนดี" (กรณีนี้รวมถึง AVG ที่เป็นบริษัทลูกของ Avast ด้วย)

บทความนี้จึงเป็นการสำรวจการจัดอันดับแอนตี้ไวรัสของสื่อต่างประเทศสำนักต่างๆ ที่ค่อนข้างน่าเชื่อถือ เพื่อเป็นข้อมูลประกอบการตัดสินใจเลือกแอนตี้ไวรัส ที่อาจใช้แทน Avast/AVG ได้ (บทความนี้เน้นเฉพาะแอนตี้ไวรัสบน Windows เพียงอย่างเดียว นับข้อมูล ณ เดือนกุมภาพันธ์ 2020)

Read more

Google ออกรายงานโครงการ bug bounty ประจำปี 2019 จ่ายเงินให้นักวิจัยทั้งปีรวม 6.5 ล้านดอลลาร์

By nutmos Writer on Tag: Google, Bug Bounty, Security
Google

Google ออกรายงานโครงการ bug bounty หรือรายงานช่องโหว่รับเงินรางวัลประจำปี ซึ่งโครงการนี้จัดมาตั้งแต่ปลายปี 2010 โดยตลอดระยะเวลา 9 ปีกว่า ๆ Google ได้มอบรางวัลให้นักวิจัยกว่า 21 ล้านดอลลาร์

Google เผยว่า เมื่อปีที่แล้วทั้งปี โครงการนี้จ่ายเงินให้นักวิจัยไปแล้วกว่า 6.5 ล้านดอลลาร์ กับนักวิจัย 461 คน ทำลายสถิติเดิมของปี 2018 ที่ 3.4 ล้านดอลลาร์กับนักวิจัย 317 คน

Read more

สหประชาชาติโดนแฮ็กระบบแต่ปิดข่าว สาเหตุมาจากไม่ยอมอัพเดตแพตช์ SharePoint

By mk Founder on Tag: United Nations, Hacking, Security, SharePoint
United Nations

มีเอกสารภายในขององค์การสหประชาชาติ (United Nations) หลุดออกมาทางเว็บไซต์ข่าวด้านสิทธิมนุษยชน The New Humanitarian ว่าระบบเครือข่ายของ UN ในเจนีวาและเวียนนา โดนแฮ็กในช่วงเดือนกรกฎาคม 2019 และมีข้อมูลถูกขโมยออกมาจำนวนหนึ่ง แต่ UN ปิดข่าวเรื่องนี้ไว้ แม้แต่พนักงานของ UN เองก็ไม่ทราบเรื่องนี้

หลังจาก The New Humanitarian รายงานข่าวนี้ โฆษกของ UN ก็ยอมรับว่าเป็นเหตุการณ์ที่เกิดขึ้นจริง แต่บอกว่ายังไม่สามารถประเมินความเสียหายได้ชัด ทำให้ UN ตัดสินใจไม่เปิดเผยเรื่องนี้ต่อสาธารณะ

Read more

ไมโครซอฟท์เปิดโครงการ Bug Bounty สำหรับ Xbox Live จ่ายเงินสูงสุด 20,000 เหรียญ

By nismod Writer on Tag: Xbox, Bug Bounty, Security, Xbox LIVE
Xbox

ไมโครซอฟท์เปิดโครงการ Xbox Bug Bounty โดยจะเน้นไปที่ช่องโหว่บนเครือข่ายและบริการของ Xbox Live โดยเงินรางวัลจะจ่ายให้ตามความรุนแรงของช่องโหว่ตั้งแต่ 500 เหรียญไปจนถึงสูงสุดอย่างช่องโหว่รันโค้ดทางไกลระดับร้ายแรงที่ 20,000 เหรียญ

ไมโครซอฟท์ระบุไว้ด้วยว่าช่องโหว่หรือปัญหาที่ไม่เข้าข่ายรับเงินรางวัล อาทิ DDoS, CSRF ที่ผลกระทบต่ำ หรือ URL Redirects เป็นต้น สามารถดูรายละเอียดและช่องทางการรายงานช่องโหว่ได้ที่นี่

Read more

กูเกิลเปิดซอร์สโค้ดกุญแจล็อกอิน FIDO2 เขียนด้วยภาษา Rust

By lew Founder on Tag: Google, FIDO, Security, Rust
Google

กูเกิลเปิดซอร์สโค้ด OpenSK เฟิร์มแวร์กุญแจล็อกอินขั้นตอนที่สอง FIDO U2F และ FIDO2 โดยเขียนด้วยภาษา Rust และรองรับชิป Nordic nRF52840 โดยระบุว่าเลือกชิปตัวนี้เพราะมันรองรับการเชื่อมต่อวิธีหลักๆ แทบทั้งหมด ทั้ง NFC, Bluetooth LE, และ USB นอกจากนี้ยังมีวงจรเร่งความเร็วเข้ารหัสไว้ให้ด้วย

Read more

ค่ายมือถือไทยเตรียมศึกษาตั้งบริษัทให้บริการ Digital ID

By lew Founder on Tag: Thailand, Mobile, Security, Authentication
Thailand

ผู้ให้บริการเครือข่ายโทรศัพท์มือถือในประเทศไทยทั้ง 5 ราย ได้แก่ CAT, dtac, TOT, True, และ AIS ลงนามบันทึกความร่วมมือศึกษาและพัฒนาการพิสูจน์และยืนยันตัวตนดิจิทัล เปิดทางการใช้โทรศัพท์มือถือยืนยันตัวตน

การใช้โทรศัพท์มือถือเพื่อยืนยันตัวตนได้รับความนิยมสูงอยู่แล้วในปัจจุบัน จากการที่ประเทศไทยมีหมายเลขโทรศัพท์ใช้งานอยู่ถึง 130 ล้านเลขหมาย แต่ก็มีข่าวถึงการขโมยเบอร์โทรศัพท์มือถือ หรือการออกซิมโดยไม่ได้รับอนุญาตในประเทศไทยอยู่เนืองๆ

Read more

วิศวกรซอฟต์แวร์ของ Amazon วิจารณ์ Ring ว่าควรยุบ เหตุมีประเด็นด้านความปลอดภัย

By nismod Writer on Tag: Ring, Amazon, Privacy, Security
Ring

ในบล็อก Medium ที่พนักงาน Amazon ออกมาเขียนข้อความประท้วงบริษัทเรื่อง Climate Change วิศวกรซอฟต์แวร์ Max Eliaser ที่มาร่วมเขียนด้วยนั้น ได้ใช้โอกาสนี้วิจารณ์ Ring บริษัทสมาร์ทโฮมของ Amazon เรื่องความปลอดภัย ความเป็นส่วนตัว พร้อมเรียกร้องให้ยุบบริษัทนี้ทิ้ง

ใจความสำคัญที่ Eliaser โจมตีคือเรื่องการที่แฮกเกอร์สามารถแฮกเข้าระบบ Ring ของผู้ใช้คนหนึ่ง ๆ แล้วเข้าถึงฟีดกล้องได้ทั้งหมด และประเด็นความเป็นส่วนตัวไม่ได้สามารถแก้ไขได้ด้วยแค่กฎระเบียบ Ring ควรปิดตัวในทันทีและไม่ถูกนำกลับมาเปิดให้บริการใหม่อีกเลย

Read more

ตำรวจลอนดอนประกาศใช้กล้องระบบจดจำใบหน้าในจุดสำคัญ ช่วยตรวจจับอาชญากร

By sunnywalker Writer on Tag: UK, London, Facial Recognition, Police, Crime, Privacy, Security
UK

กรมตำรวจนครบาลของกรุงลอนดอน (London's Metropolitan Police Service) ประกาศจะเริ่มใช้เทคโนโลยีการจดจำใบหน้า หรือ LFR (live facial recognition) ในพื้นที่สำคัญของเมือง

ตัวกล้องจะตรวจจับคนที่เดินผ่านไปมา และจะส่งคำแจ้งเตือนเจ้าหน้าที่หากจับคู่ใบหน้ากับอาชญากร คนที่ต้องการตัวอยู่ได้ โดยทางกรมตำรวจคาดหวังว่า ระบบจดจำใบหน้าจะช่วยให้ตำรวจจัดการกับคดีอาชญากรรมร้ายแรงได้

Read more

Google Cloud เปิดตัว Secret Manager ระบบจัดการ secret บนคลาวด์

By nutmos Writer on Tag: Google Cloud, Security
Google Cloud

Google Cloud เปิดตัวบริการใหม่ Secret Manager บริการสำหรับเก็บ secret ต่าง ๆ ทั้ง credential สำหรับเชื่อมต่อกับฐานข้อมูล, API key, ใบรับรอง และอื่น ๆ พร้อมระบบจัดการ secret ทั้งหมดที่สามารถใช้งานได้ง่ายและสะดวกกว่าเครื่องมือจัดการ secret ที่มีอยู่เดิมบน Google Cloud

ฟีเจอร์สำคัญของ Secret Manager มีหลายอย่าง คือมีระบบจัดการเวอร์ชันในตัว, กำหนดสิทธิ์ผ่าน Cloud IAM, รองรับการใช้ Cloud Audit Logging ที่สามารถนำไปใช้วิเคราะห์ด้านความปลอดภัยต่อได้ โดยข้อมูล secret จะส่งผ่านการเชื่อมต่อ TLS และเข้ารหัสด้วยกุญแจ AES-256-bit ในอนาคตจะรองรับระบบกุญแจเข้ารหัสแบบให้ผู้ใช้จัดการเอง

Read more

LastPass มีบั๊กผู้ใช้บางส่วนล็อกอินไม่ได้ในช่วงสองสามวันนี้ แก้ไขเรียบร้อยแล้ว

By lew Founder on Tag: LastPass, Security, Password, Password Manager
LastPass

ผู้ใช้ LastPass บางส่วนรายงานว่าช่วงสุดสัปดาห์ที่ผ่านมา ทำให้ไม่สามารถล็อกอินบริการทั้งหมด โดยช่วงกลางวัน (เวลาประเทศไทย) ที่ผ่านมา ทางบริษัทออกมาทวีตรับทราบปัญหาแต่ระบุว่าไม่พบปัญหาฝั่งเซิร์ฟเวอร์แต่อย่างใด จนกระทั่งล่าสุดก็ตรวจพบปัญหาว่าเป็นบั๊กที่กระทบผู้ใช้ส่วนน้อย และแก้ปัญหาสำเร็จแล้ว

LastPass เป็นซอฟต์แวร์เก็บรหัสผ่านที่มาพร้อมกับบริการซิงก์ข้ามเครื่องอัตโนมัติ เมื่อบริการฝั่งเซิร์ฟเวอร์มีปัญหาก็กระทบการใช้งานทันที

Read more
Subscribe to Security