Tags:
Node Thumbnail

Bank of America ประกาศเตรียมรองรับการยืนยันตัวตนผู้ใช้ด้วยลายนิ้วมือในปีหน้า โดยใช้เทคโนโลยี Intel Online Connect ทำให้ไม่ต้องส่งข้อมูลภาพลายนิ้วมือออกจากเครื่องผู้ใช้แต่อย่างใด บริการจะเริ่มให้บริการจริงในปี 2018 โดยตอนนี้ Bank of America มีผู้ใช้บริการธนาคารออนไลน์อยู่ 34 ล้านคน

ทางด้าน Visa เองก็ประกาศรองรับ Intel Online Connect โดยจะใช้ร่วมกับบริการ 3D Secure ทั้งรุ่นปัจจุบันและรุ่น 2.0 ที่ EMVco น่าจะออกมาตรฐานได้ภายในปีนี้

Tags:
Node Thumbnail

เมื่อวานนี้มีรายงานถึงมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ Bad Rabbit เริ่มระบาดในแถบรัสเซีย, เยอรมัน, ตุรกี, และยูเครน โดยอาศัยหน้าเว็บที่เผยแพร่ตัวติดตั้ง Adobe Flash ปลอม เพื่อให้เหยื่อติดตั้งมัลแวร์ด้วยตัวเอง และเมื่อติดตั้งแล้วจะเริ่มแพร่กระจายต่อไปยังเครื่องอื่นๆ ในเครือข่ายโดยอาศัยการยิงรหัสผ่านบัญชีที่ใช้งานบ่อยๆ

ตอนนี้ Bad Rabbit ยังไม่ระบาดออกนอกพื้นที่เริ่มต้นไปมากนัก บางรายงานระบุว่ามีการระบาดไปยัง บัลแกเรีย, โปแลนด์, และเกาลีใต้ โดยเว็บไซต์ที่ใช้เผยแพร่มัลแวร์ครั้งแรกๆ เป็นเว็บสื่อรัสเซียที่ถูกแฮก

Tags:
Node Thumbnail

ปัญหาผู้ใช้ทั่วไปไม่ทำตามแนวทางที่ดีสำหรับการรักษาความปลอดภัยไซเบอร์เป็นปัญหาที่เรื้อรังมานาน แต่รายงานล่าสุดของกูเกิลแสดงให้เห็นว่าต้นเหตุของปัญหาอย่างหนึ่งคือผู้เชี่ยวชาญเองก็มักให้คำแนะนำที่ต่างกันจนแทบไม่มีใครทำตามได้ โดยกูเกิลได้สำรวจความเห็นจากผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลจำนวน 231 คน และพบว่าคำแนะนำต่างกันจนแยกออกมาได้ถึง 152 คำแนะนำ และไม่มีคำแนะนำใดเห็นตรงกันเกิน 100 คนเลย

รายงานสำรวจนี้ขอความเห็นผู้เชี่ยวชาญให้แนะนำแนวทางที่สำคัญที่สุด 3 แนวทางสำหรับผู้ใช้ทั่วไป ทีมวิจัยแตกย่อยคำแนะนำออกมาเป็น 837 คำแนะนำ (บางคนตอบข้อเดียวแต่แยกได้หลายคำแนะนำ) เฉพาะคำแนะนำที่เห็นตรงกันอย่างน้อย 4 คนก็มีถึง 45 คำแนะนำ คำแนะนำที่เห็นตรงกัน 20 คน เช่น

Tags:
Node Thumbnail

APNIC แจ้งเหตุการณ์ทำข้อมูลหลุด โดยทำข้อมูลส่วน Maintainer และ Incident Response Team (IRT) หลุดไปกับข้อมูล WHOIS อื่นๆ Incident Response Team (IRT) ทำให้ค่าแฮชของรหัสผ่านหลุดไปด้วย และถูกเผยแพร่บนเว็บไซต์ของผู้ให้บริการ WHOIS บางราย โดยข้อมูลหลุดจากการอัพเกรดระบบเมื่อเดือนมิถุนายนและมีการคอนฟิกผิดพลาด

ผู้ค้นพบข้อมูลรั่วครั้งนี้คือ Red Team ของ eBay ที่ไปเห็นข้อมูลชุดนี้อยู่บนเว็บไซต์ภายนอก และแจ้งทาง APNIC เมื่อวันที่ 12 ตุลาคมที่ผ่านมา ทาง APNIC รีเซ็ตรหัสผ่านทั้งหมดและป้องกันข้อมูลรั่วในวันที่ 13 ตุลาคม

Tags:
Node Thumbnail

หลังจาก Kaspersky เจอปัญหารุมเร้าจากข้อกล่าวหาเรื่องรัฐบาลรัสเซีย จนส่งผลกระทบต่อธุรกิจ วันนี้บริษัทประกาศมาตรการกู้วิกฤตศรัทธา เรียกความเชื่อมั่นกลับคืนมา

แผนการของ Kaspersky มีชื่อว่า Global Transparency Initiative เน้นสร้างความโปร่งใสในผลิตภัณฑ์และกระบวนการทำงานของบริษัท ดังนี้

Tags:
Node Thumbnail

กูเกิล ปรับวิธีการยืนยันตัวตนแบบสองปัจจัย (2-Step Verification) จากเดิมที่ใช้ค่าดีฟอลต์เป็นการส่งโค้ดผ่าน SMS เปลี่ยนมาเป็นการยืนยันด้วยแอพบนมือถือแทน

ตอนนี้หลายคนที่ล็อกอินบัญชี Google Account น่าจะเคยเจอกับหน้าจอ Google Prompt บนมือถือ ที่ถามยืนยันเราว่าล็อกอินจากอุปกรณ์อื่นหรือไม่ ฟีเจอร์นี้เปิดใช้งานมาสักระยะหนึ่งแล้ว แต่เพิ่งกลายเป็นตัวเลือกหลัก (primary method) แทน SMS

ผู้ที่อยากใช้การยืนยันตัวตนด้วย SMS หรือกรอกโค้ดผ่าน Google Authenticator ยังใช้งานได้เหมือนเดิม ในข่าวนี้เปลี่ยนแค่ค่าดีฟอลต์สำหรับผู้ใช้ที่เพิ่งเปิดใช้ 2-Step Verification เท่านั้น ส่วนคนที่ใช้ 2-Step Verification อยู่แล้วก็จะใช้ค่าเดิมที่ตั้งไว้

Tags:
Node Thumbnail

Google กำลังผลักดันการใช้งาน HTTPS อยู่เรื่อย ๆ และล่าสุดข้อมูลจาก Transparency Report นั้น Google ก็ได้รายงานว่าทราฟฟิกการใช้งาน HTTPS โดยมีข้อมูลที่น่าสนใจดังนี้

Tags:
Node Thumbnail

กูเกิลเปิดโครงการ Google Play Security Reward Program สำหรับการจ่ายโบนัสให้กับนักวิจัยเมื่อได้รายงานช่องโหว่ร้ายแรงให้กับผู้ผลิตแอปใน Google Play ที่ไม่ใช่กูเกิล เป็นการจ่ายเงินเพิ่ม 1,000 ดอลลาร์จากที่ผู้พัฒนามีโครงการจ่ายเงินให้รางวัลอยู่ก่อน

ช่องโหว่ตอนนี้ต้องเป็นช่องโหว่รันโค้ดระยะไกล (remote code execution) เท่านั้น โดยครอบคลุมไปถึง Android 4.4 ขึ้นไป กูเกิลระบุว่าผู้ผลิตที่แสดงความตั้งใจว่าจะแก้ไขช่องโหว่จึงได้รับเชิญเข้าโครงการนี้

ผู้ผลิตแอปกลุ่มแรกที่เข้าร่วมโครงการได้แก่ Alibaba, Dropbox, Duolingo, Headspace, LINE, Mail.ru, Snapchat, และ Tinder โดยกูเกิลระบุว่าเปิดให้ผู้ผลิตรายอื่นสมัครเข้าร่วมโครงการได้เรื่อยๆ

Tags:
Node Thumbnail

ทีม Microsoft Offensive Security Research (OSR) ที่ทำงานคล้าย Project Zero ของกูเกิลรายงานถึงช่องโหว่รันโค้ดจากระยะไกลบนเบราว์เซอร์โครม แม้ว่าทีมงานโครมของกูเกิลจะตอบอย่างรวดเร็วและแก้ไขช่องโหว่ภายในไม่กี่วัน แต่กระบวนการเปิดเผยช่องโหว่กลับปล่อยโค้ดแก้ไขก่อนที่จะมีการปล่อยอัพเดต

Tags:
Node Thumbnail

จากประเด็นข่าวเรื่อง Kaspersky กับรัฐบาลรัสเซีย ที่ออกมาอย่างต่อเนื่องในรอบหลายเดือนมานี้ เว็บไซต์ข่าว The Daily Beast (สมัยก่อนเคยเป็นเครือเดียวกับ Newsweek) รายงานข้อมูลวงในว่า บริษัทอเมริกันหลายแห่งเลิกใช้ Kaspersky กันแล้ว โดยเฉพาะบริษัทสายการเงินที่เป็นห่วงเรื่องข้อมูลรั่วไหล

แหล่งข่าวของ The Daily Beast ยังบอกว่าบริษัทที่ปรึกษาด้านความปลอดภัยหลายแห่ง เลือกขายเฉพาะซอฟต์แวร์ความปลอดภัยของบริษัทสัญชาติอเมริกันเท่านั้น และธุรกิจของ Kaspersky ในสหรัฐเองก็ย่ำแย่ และต้องปิดบางฝ่ายงานด้วย

Tags:
Node Thumbnail

แวดวงลินุกซ์ดิสโทรค่ายใหญ่ๆ ต่างอัพเดตแพตช์ความปลอดภัย แก้ปัญหาช่องโหว่ KRACK ของ WPA2 กันแล้ว ใครเป็นแอดมินระบบก็อย่าลืมอัพเดตแพตช์กันครับ แพ็กเกจสาย Debian จะใช้ชื่อ "wpa" ส่วนสาย Red Hat จะเป็น "wpa_supplicant"

Tags:
Node Thumbnail

กูเกิลออกมาตรการใหม่ Advanced Protection Program สำหรับผู้ใช้งานที่ต้องการระดับความปลอดภัยขั้นสูงสุด โดยมีองค์ประกอบ 3 อย่างดังนี้

  • บังคับล็อกอิน 2-Step Verification ด้วยฮาร์ดแวร์ Security Keys เสมอ ถือเป็นการยืนยันตัวตนที่ปลอดภัยขั้นสูงสุด
  • ป้องกันการเผลอหลุดข้อมูลโดยไม่ตั้งใจ บริการอย่าง Gmail และ Google Drive จะไม่อนุญาตให้แอพภายนอกเข้าถึงได้ ยกเว้นแต่แอพของกูเกิลเองเท่านั้น
  • หน้ากู้คืนรหัสผ่านจะเพิ่มความเข้มงวดในการตรวจสอบ ถามคำถามหรือขอข้อมูลมากกว่าปกติ เพื่อยืนยันว่าเราเป็นเจ้าของบัญชีจริงๆ
Tags:
Node Thumbnail

ช่วง 1-2 วันนี้ กูเกิลประกาศฟีเจอร์ด้านความปลอดภัยหลายอย่าง ข่าวนี้เอาเฉพาะของ Chrome อย่างเดียวก่อนครับ

ฟีเจอร์แรกคือบางครั้งที่เราติดตั้งส่วนขยาย (Extension) แล้วมันมาเปลี่ยนค่าใน Settings โดยที่เราไม่รู้ตัว (เช่น เปลี่ยน search engine ไปเป็นยี่ห้ออื่น) ตอนนี้ Chrome สามารถตรวจจับการเปลี่ยนแปลงเหล่านี้ได้ และจะถามผู้ใช้ว่าต้องการรีเซ็ตกลับเป็นเหมือนเดิมหรือไม่

Tags:
Node Thumbnail

การโจมตี KRACK ทำให้การเชื่อมต่อ Wi-Fi แบบ WPA2 ที่เคยเชื่อกันว่าปลอดภัย กลับกลายเป็นมีช่องโหว่ร้ายแรงจนเปิดทางให้แฮกเกอร์สามารถอ่านข้อความภายในการเชื่อมต่อได้ นักวิชาการวิทยาการเข้ารหัสลับ (cryptographer) ชื่อดังอย่าง Matthew Green ก็ออกมาแสดงความเห็นว่าทำไมช่องโหว่ร้ายแรงระดับนี้จึงสามารถหลุดรอดได้เป็นเวลานานถึง 14 ปีเต็ม (ตัวมาตรฐานออกมาตั้งแต่ปี 2004)

Tags:
Node Thumbnail

จากข่าวดังเมื่อวานนี้เรื่อง "KRACK" ช่องโหว่ Wi-Fi ระดับโพรโทคอล ที่เปิดเผยโดย US-CERT แต่สามารถแก้ได้ในระดับซอฟต์แวร์ฝั่งไคลเอนต์

ล่าสุดไมโครซอฟท์เปิดเผยว่าได้อุดช่องโหว่นี้เรียบร้อยแล้ว ในอัพเดตของ Windows รอบเดือนตุลาคม (ที่ออกตั้งแต่วันที่ 10 ตุลาคมหรือ Patch Tuesday รอบล่าสุดที่ออกในสัปดาห์ที่แล้ว) ครอบคลุม Windows 7 SP1, 8.1, 10 และ Windows Server 2008, 2008 R2, 2012 R2, 2016 เรียกว่าใครอัพเดตไปแล้วก็อุ่นใจได้ (กรณีของ 2008 ต้องลงแพตช์เพิ่มเอง)

Tags:
Topics: 
Node Thumbnail

นักวิจัยเปิดรายละเอียดช่องโหว่ KRACKs ที่ US-CERT เริ่มแจ้งเตือนองค์กรตั้งแต่เมื่อเช้านี้ โดยตอนนี้ทาง US-CERT ยังไม่เปิดเผยรายละเอียด (กำหนดคือช่วงหนึ่งทุ่มตามเวลาไทย) แต่ทีมวิจัยก็เปิดเผยงานวิจัยออกมาก่อนแล้ว

Mathy Vanhoef นักวิจัยหลักอาศัยกระบวนการ 4 way handshake (ภาพประกอบด้านล่าง) โดยระหว่างเปิดการเชื่อมต่อ การส่งข้อความที่ 3 จาก access point ไปยังเครื่องลูกข่าย โดยตัวมาตรฐาน 802.11i ระบุให้เครื่องลูกข่ายต้องรองรับการส่งข้อความ 1-3 ซ้ำๆ แม้ว่าจะกระบวนการสร้างกุญแจเข้ารหัสข้อมูลจะเสร็จสิ้นไปแล้วก็ตาม

Tags:
Node Thumbnail

โมดูล TPM เป็นโมดูลที่ช่วยยืนยันความถูกต้องของเครื่องลูกข่าย และใช้ในกระบวนการเข้ารหัสดิสก์ที่แม้แต่ตัวระบบปฎิบัติการเองก็ไม่มีกุญแจถอดรหัส แต่โมดูล TPM จาก Infineon กลับมีช่องโหว่ในกระบวนการสร้างกุญแจทำให้กุญแจ RSA ที่ได้อ่อนแอกว่าที่ออกแบบไว้

ช่องโหว่จากการสร้างกุญแจที่อ่อนแอ ทำให้การเข้ารหัสดิสก์อาจถูกถอดรหัสได้ กระทบทั้ง Chrome OS และ Bitlocker ของวินโดวส์ ขณะที่ฟีเจอร์ Verified Access ของ Chrome OS ก็อาจะถูกโจมตีจากการปลอมตัวเป็นอุปกรณ์ที่ถูกต้อง

Tags:
Node Thumbnail

US-CERT ส่งประกาศแจ้งเตือนไปยังองค์กรสมาชิกประมาณ 100 องค์กร แจ้งเตือนว่าวันนี้จะมีการเปิดเผยช่องโหว่ของการเชื่อมต่อ Wi-Fi แบบ WPA2 ทำให้แฮกเกอร์อาจถอดรหัสการเชื่อมต่อได้สำเร็จ, นำข้อมูลเดิมมาส่งซ้ำ (replay), ขโมยการเชื่อมต่อ (TCP hijack), หรือใส่ข้อมูลเพิ่มเติมไปในการเชื่อมต่อ

รายงานนี้ระบุว่ากระบวนการเชื่อมต่อสี่ทาง (4-way handshake) ในขั้นที่สามอาจจะมีการขอให้ส่งกุญแจหลายครั้งได้ แต่การส่งหลายครั้งกลับใช้ค่า nonce เดียวกัน จนกระทั่งการเข้ารหัสอ่อนแอ

Tags:
Node Thumbnail

Hyatt เชนโรงแรมชื่อดังได้ประกาศว่า ระบบจ่ายเงินของบริษัทมีข้อมูลรั่วไป ซึ่งข้อมูลที่รั่วนี้มีส่วนสำคัญอย่างบัตรเครดิต ซึ่งการรั่วไหลของข้อมูลนี้ถูกตรวจพบครั้งแรกตั้งแต่เดือนกรกฎาคมที่ผ่านมา และได้สอบสวนจนได้ผลสรุปแล้ว

ข้อมูลบัตรเครดิตที่รั่วของ Hyatt นั้นกระทบกับโรงแรมทั้งหมด 41 แห่งใน 11 ประเทศ ซึ่งทาง Hyatt ได้จัดการกับปัญหาและอิมพลีเมนต์ระบบความปลอดภัยเพิ่มเติมเพื่อทำให้ระบบความปลอดภัยแข็งแกร่งมากยิ่งขึ้น ให้ความเชื่อมั่นกับลูกค้าในการจ่ายเงินผ่านบัตรกับโรงแรมในเครือ Hyatt ทั่วโลก

Tags:
Node Thumbnail

เมื่อสัปดาห์ที่ผ่านมาสำนักข่าวรอยเตอร์รายงานว่ารัฐบาลรัสเซียได้ดูซอร์สโค้ดของโปรแกรม ArcSight ของบริษัท HPE เพื่อให้ผ่านการรับรองสำหรับการขายซอฟต์แวร์ให้หน่วยงานรัฐบาล จนทำให้มีความกังวลว่าหากรัฐบาลรัสเซียพบช่องโหว่และไม่ได้แจ้งกับ HPE จะสามารถใช้ช่องโหว่เหล่านั้นกับหน่วยงานอื่น รวมถึงรัฐบาลสหรัฐฯ ได้

วันนี้ Greg Clark ซีอีโอของไซแมคเทคก็ออกมาให้สัมภาษณ์รอยเตอร์ว่าบริษัทไม่ให้รัฐบาลเข้าดูซอร์สโค้ดอีกต่อไป แม้ว่าก่อนหน้านี้จะเคยให้ดูก็ตาม แต่พบว่าความเสี่ยงจากการให้รัฐบาลดูซอร์สโค้ดนั้นสูงเกินไป โดยเฉพาะความเสี่ยงว่าลูกค้าจะเสียความมั่นใจในตัวซอฟต์แวร์

Tags:
Node Thumbnail

Google Thailand ได้จัดให้สื่อในไทยคุยกับ Adrian Ludwig ผู้อำนวยการฝ่ายความปลอดภัยของ Android เพื่อทำความเข้าใจกับสถาปัตยกรรมของ Android ว่ามีอะไรบ้าง

คนที่ติดตามข่าวความปลอดภัย Android หรือชมวิดีโอจากงาน Google I/O น่าจะพอทราบข้อมูลส่วนนี้กันอยู่แล้ว แต่ก็ขอมาสรุปอีกรอบสำหรับคนที่ไม่ได้ติดตามครับ

Tags:
Node Thumbnail

ธนาคาร Far Eastern International ในไต้หวันถูกแฮกเครือข่ายโดยติดตั้งมัลแวร์บนเครื่องพีซีบางเครื่องในธนาคารจนกระทั่งสามารถสั่งโอนเงินออกจากธนาคารผ่านเครือข่าย SWIFT ได้ถึง 60 ล้านดอลลาร์ ธนาคารปลายทางอยู่ในศรีลังกา, กัมพูชา, และสหรัฐฯ อย่างไรก็ตามทางธนาคารสามารถติดตามเงินเหล่านั้นและโอนคืนมาได้สำเร็จเกือบทั้งหมด เหลือที่สูญเสียจริง 500,000 ดอลลาร์เท่านั้น และอาจจะตามเงินกลับมาได้เพิ่มเติม

แหล่งข่าวไม่เปิดเผยตัวระบุกับ AFP ว่าเงิน 1.3 ล้านดอลลาร์ถูกโอนเข้าบัญชีในศรีลังกา 3 บัญชี และทางศรีลังกาตามจับกุมคนที่เกี่ยวข้องกับการขโมยเงินครั้งนี้ได้ 2 คน

กรณีนี้ทำให้นายกรัฐมนตรีไต้หวันต้องออกมาสั่งหน่วยงานรัฐบาลให้ตรวจสอบความปลอดภัยไซเบอร์ และปิดช่องโหว่ที่พบ

Tags:
Node Thumbnail

EFF (Electronic Frontier Foundation) ออกมาให้ความเห็นเกี่ยวกับการเปลี่ยนแปลงใน Control Center ของ iOS 11 ที่เมื่อปิด Wi-Fi หรือ Bluetooth แล้ว ไม่ได้ปิดการทำงานอย่างสมบูรณ์จริง (อยากปิดให้หมดต้องไปที่ Settings) ตามข่าวก่อนหน้านี้ว่า จะสร้างปัญหาทั้งความปลอดภัยและความเป็นส่วนตัวกับผู้ใช้งาน เนื่องจาก UI ไม่ได้ทำงานอย่างที่มันแสดงออกมา ผู้ใช้งานเองก็จะสับสนสถานะของอุปกรณ์ในตอนนั้น

นอกจากนี้ EFF ยังมองว่าการออกแบบที่ให้ iOS 11 พยายามเชื่อมต่อกับอุปกรณ์และบริการอื่นตลอดเวลานั้น ทำให้มีโอกาสถูกโจมตีจากบุคคลภายนอกได้ง่ายขึ้น ซึ่งมองว่าแอปเปิลสามารถแก้ไขเรื่องนี้ได้ไม่ยาก

Tags:
Node Thumbnail

Disqus บริการระบบคอมเมนต์สำหรับเว็บไซต์เปิดเผยว่าฐานข้อมูลผู้ใช้งานถูกแฮ็ก โดยข้อมูลที่หลุดออกไปเป็นข้อมูล snapshot ตั้งแต่ปี 2012 ย้อนไปจนถึงปี 2007 ประกอบด้วย อีเมล, username ใน Disqus, วันที่ลงทะเบียน, วันที่ล็อกอินครั้งล่าสุด ซึ่งข้อมูลเหล่านี้เป็น plain text กระทบ 17.5 ล้านบัญชี รวมทั้งข้อมูลรหัสผ่าน ที่ hash แล้ว (SHA1+Salt) จำนวน 1 ใน 3 ของบัญชีที่ถูกเจาะ

Jason Yan ผู้ก่อตั้ง Disqus บอกว่าเขาได้รับแจ้งจากนักวิจัยความปลอดภัยอิสระเมื่อวันที่ 5 ตุลาคม ว่าอาจมีข้อมูลหลุดออกไป และได้แจ้งเตือนผู้ใช้บัญชีทั้งหมดที่ได้รับผลกระทบในวันที่ 6 ตุลาคม ให้เปลี่ยนรหัสผ่าน จากนั้นจึงเปิดเผยปัญหานี้ต่อสาธารณะ

Tags:
Topics: 
Node Thumbnail

เมื่อต้นปีที่ผ่านมา Eddie Tipton หัวหน้าฝ่ายความปลอดภัยข้อมูลของ Multi-State Lottery Association (MSLA) สารภาพว่าได้เข้าไปแก้ไขซอฟต์แวร์สร้างเลขสุ่มเพื่อให้คาดเดาหมายเลขที่จะชนะรางวัลได้ โดยเป็นการเข้าไปแก้ไขตั้งแต่ช่วงปี 2005 ถึง 2011 เขาและผู้ร่วมสมคบคิดซื้อหวยที่รู้ว่าถูกรางวัลจำนวนมาก คดีตัดสินไปแล้วเขา Tipton ได้รับโทษจำคุก 25 ปี

Pages