Tags:
Node Thumbnail

เดิมทีเราคุ้นเคยกับการที่ Chrome แสดงรูปกุญแจสีเขียวเพื่อบอกว่าเป็นการเชื่อมต่อแบบ HTTPS ส่วนการเชื่อมต่อแบบ HTTP ปกติจะแสดงรูปกระดาษเปล่าสีขาว (ถ้าเป็น Firefox เป็นรูปลูกโลก) แต่แผนใหม่ของ Chrome จะไปไกลกว่านั้นคือแสดงกากบาทสีแดงให้ผู้ใช้มองเห็นเด่นชัดไปเลย

กูเกิลเคยนำเสนอไอเดียนี้ไปแล้วครั้งหนึ่ง และล่าสุดทีมงานด้านความปลอดภัยของกูเกิลไปพูดที่งาน Usenix Enigma ยืนยันว่าจะเดินหน้าตามแผนงานนี้ แต่ยังไม่บอกว่าจะใช้งานจริงเมื่อไร

ทิศทางของกูเกิลชัดเจนว่าต้องการผลักดัน HTTPS แทน HTTP โดยมีมาตรการกระตุ้นหลายอย่าง รวมถึงมีผลต่อ Google Search ด้วย

Tags:
Node Thumbnail

ไวรัสปกติแล้วหากแก้ไม่ได้ ทางออกสุดท้ายที่ทุกคนมักใช้งานกันคือล้างเครื่องลงซอฟต์แวร์ใหม่ทั้งหมด แต่บางครั้งมัลแวร์กลับฝังตัวอยู่ในเฟิร์มแวร์พร้อมจะรันตัวเองขึ้นมาอีกครั้งหลังจากติดตั้งซอฟต์แวร์ใหม่ ตอนนี้บริการสแกนไวรัสอย่าง VirusTotal ก็ออกมาเปิดบริการตรวจสอบเฟิร์มแวร์ก่อนแฟลชลงเครื่องกันแล้ว

Tags:
Node Thumbnail

ผู้เชี่ยวชาญความปลอดภัยค้นพบช่องโหว่ของ LG G3 มือถือเรือธงของ LG ในปี 2014 สาเหตุเกิดจากแอพชื่อ Smart Notice ที่มาพร้อมกับ LG G3 ทุกเครื่อง

Smart Notice ใช้ WebView เพื่อเรียกข้อมูลเว็บเพจจากเซิร์ฟเวอร์ แต่ไม่ตรวจสอบข้อมูล (payload) ที่ได้รับมาว่าปลอดภัยหรือไม่ แฮ็กเกอร์อาจใช้ช่องโหว่นี้ส่งโค้ด JavaScript จากเซิร์ฟเวอร์มารันใน WebView ได้

นักวิจัยส่งข้อมูลนี้ให้ LG แล้ว และ LG ก็ออกแพตช์เรียบร้อยแล้ว ใครที่มี G3 อยู่ก็ลองตรวจสอบว่ามีอัพเดตหรือไม่ครับ

ที่มา - Ars Technica

Tags:
Node Thumbnail

OpenSSL ออกแพตช์ความปลอดภัยเป็นรุ่น 1.0.2f และ 1.0.1r แก้ไขช่องโหว่ระดับสูง คือ CVE-2016-0701 ที่มีความหละหลวมในการเลือกจำนวนเฉพาะเพื่อเชื่อมต่อ Diffie Hellman (DH) ส่งผลให้เมื่อมีการใช้จำนวนเฉพาะเช่นนี้ซ้ำๆ สำหรับการเชื่อมต่อหลายๆ ครั้ง อาจจะทำให้แฮกเกอร์สามารถคำนวณหาค่า exponent ลับที่ใช้ในการเชื่อมต่อออกมาได้ ส่งผลให้สามารถใช้ค่าไปถอดรหัสการเชื่อมต่ออื่นๆ ได้

Tags:
Node Thumbnail

AWS เปิดบริการ AWS Certificate Manager ทำให้ลูกค้าที่ใช้ Elastic Load Balancing และ CloudFront สามารถให้บริการเว็บเข้ารหัสได้โดยไม่ต้องเสียเงินค่าใบรับรองเพิ่มเติมอีก

เมื่อปีที่แล้วอเมซอนยื่นเรื่องขอเป็น root CA ในฐานข้อมูลของมอซิลล่าและแอนดรอยด์ แต่ระหว่างนี้ใบรับรองจะได้รับการรับรองโดย "Amazon Root CA 1" ที่ถูกรับรองโดย "Starfield Services Root Certificate Authority - G2" ต่อมาอีกที

Tags:
Node Thumbnail

Sophos เป็นบริษัทความปลอดภัยชื่อดังอีกรายที่เราได้ยินชื่อกันบ่อยในช่วงหลัง ตัวบริษัทมีต้นกำเนิดมาจากอังกฤษ ก่อตั้งในปี 1985 และปัจจุบันเป็นบริษัทในตลาดหลักทรัพย์ลอนดอน เดิมทีธุรกิจของบริษัทเน้นแอนตี้ไวรัสเป็นหลัก แต่ช่วงหลังก็ขยับมาทำผลิตภัณฑ์ด้านความปลอดภัยอื่นๆ ด้วย (สำหรับคนที่สนใจเรื่องความปลอดภัย แนะนำให้ตามบล็อก Naked Security ของบริษัทนี้ครับ)

Blognone มีโอกาสสัมภาษณ์คุณ Sumit Bansal ผู้อำนวยการภูมิภาคอาเซียนและเกาหลีของ Sophos ทางอีเมล โดยมีประเด็นสั้นๆ เรื่องธุรกิจของ Sophos ในภาพรวม แผนธุรกิจในอนาคต และคำแนะนำต่อหน่วยงานภาครัฐของไทยต่อปัญหาการโจมตีไซเบอร์

Tags:
Node Thumbnail

Magento ซอฟต์แวร์ CMS ยอดนิยมสำหรับเปิดร้านค้าออนไลน์ ออกแพตช์ความปลอดภัยระดับร้ายแรง (critical) มาสองชุด ใครใช้อยู่ก็รีบอัพเดตกันด่วนครับ

แพตช์ชุดแรกสำหรับ Magento 1.x ใช้รหัสแพตช์ว่า SUPEE-7405 อุดช่องโหว่จำนวนมากพร้อมกัน ในจำนวนนี้มีช่องโหว่พวก Cross-site Scripting (XSS) หลายตัวด้วย

ส่วนคนที่ใช้ Magento 2.0 ก็มี Magento 2.0.1 อัพเดตอุดช่องโหว่ลักษณะเดียวกันออกมาด้วย

Tags:
Node Thumbnail

หลังกูเกิลประกาศนโยบายออกแพตช์ความปลอดภัย Android ให้ทุกเดือน ก็มีบริษัทมือถือประกาศเข้าร่วมโครงการนี้บางราย หนึ่งในนั้นคือซัมซุง โดยซัมซุงจะออกแพตช์ความปลอดภัยให้ทุกปลายเดือน คล้อยหลังจากกูเกิลที่ออกช่วงต้นเดือน

สำหรับแพตช์รอบเดือนมกราคม 2016 ของซัมซุงก็ออกมาแล้ว ในชื่อว่า SMR-JAN-2016 (SMR ย่อมาจาก Security Maintenance Release) อุดช่องโหว่ความปลอดภัยตามกูเกิล 6 จุด และช่องโหว่ที่ซัมซุงค้นพบเองอีก 7 จุด

อย่างไรก็ตาม ซัมซุงไม่ได้ระบุว่ามีมือถือรุ่นใดบ้างที่ได้อัพเดตครับ

Tags:
Node Thumbnail

งานสัมมนา PrivacyCon ที่จัดโดยคณะกรรมการการค้าของสหรัฐ (FTC) หัวข้อที่ได้รับความสนใจอย่างมากในปีนี้คือประเด็นเรื่องความปลอดภัยของ Internet of Things

งานวิจัยชื่อ The Internet of Unpatched Things ของนักศึกษาจากมหาวิทยาลัยพรินซ์ตัน เลือกอุปกรณ์ IoT มาจำนวนหนึ่ง (ในกลุ่มนี้มี Nest, SmartThing, Belkin WeMo) มาเชื่อมต่อกันผ่าน Wi-Fi และคลื่น Z-Wave แล้วพบว่าอุปกรณ์หลายชิ้นยังขาดระบบรักษาความปลอดภัยอยู่มาก เช่น ส่งข้อมูลผ่าน HTTP โดยไม่เข้ารหัสใดๆ, กล้องวงจรปิดเชื่อมต่อแบบ FTP ไม่เข้ารหัสที่พอร์ต 21 แม้กระทั่งอุปกรณ์ชื่อดังอย่าง Nest เอง ถึงแม้การส่งข้อมูลทั้งหมดต้องผ่าน HTTPS แต่ข้อมูลสภาพอากาศกลับอัพเดตผ่าน HTTP แทน (Nest แก้ปัญหานี้แล้ว)

Tags:
Node Thumbnail

India Times รายงานถึงสามองค์กรขนาดใหญ่ถูกโจมตีด้วยมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ (ransomware) โดยยังไม่สามารถยืนยันรายชื่อของบริษัทที่ถูกโจมตีครั้งนี้ได้

Mukul Shrivastava เจ้าหน้าที่สอบสวนของ Ernst & Young ระบุถึงเหตุการณ์ครั้งนี้ว่าบางบริษัทต้องยอมจ่ายเงินเพื่อปลดล็อกคอมพิวเตอร์ของผู้บริหาร บางกรณีต้องปลดทีละ 15 เครื่อง

มัลแวร์ที่ระบาดในอินเดียครั้งนี้คือ Lechiffre มันเรียกค่าไถ่ข้อมูล 1 BTC หรือประมาณ 400 ดอลลาร์สหรัฐฯ

ที่มา - India Times

Tags:
Node Thumbnail

จากข่าวพบรหัสผ่านฝังใน FortiGate และมีการแจกโค้ดภาษาไพธอน เพื่อให้สามารถใช้ Secure Shell (SSH) เข้าไปควบคุม firewall ได้นั้น
ทาง Fortinet ชี้แจงว่าไม่ใช่ Backdoor แต่เป็นช่องโหว่ของการ Authentication เท่านั้นและพบปัญหานี้ใน FortiOS รุ่น 4.3.0 ถึง 4.3.16 และ 5.0.0 ถึง 5.0.7 ซึ่งได้แก้ไขไปแล้วตั้งแต่เดือนกรกฎาคม 2557

แต่ทาง Fortinet พบว่าปัญหานี้ไม่ได้มีแค่อุปกรณ์ FortiGate เท่านั้น ปัญหานี้มีอยู่ในอุปกรณ์หลายตัวของ Fortinet เท่าที่มีการตรวจสอบแล้วจะมี

Tags:
Node Thumbnail

กูเกิลเผยสถิติการบล็อคโฆษณาแย่ๆ (bad ads ครอบคลุมโฆษณาที่แฝงมัลแวร์ เนื้อหาที่เราไม่ต้องการ รวมถึงสินค้าปลอม) ในปี 2015 ว่าบล็อคโฆษณาไปถึง 750 ล้านชิ้น สถิติอื่นๆ มีดังนี้

Tags:
Node Thumbnail

จากข่าวเมื่อวันก่อนว่า ช่องโหว่ลินุกซ์ตั้งแต่รุ่น 3.8 ขึ้นไปเปิดช่องให้เข้าถึง root ได้ ฝั่งของ Android กูเกิลก็ออกแพตช์ตามมาอย่างรวดเร็ว และส่งให้บรรดาผู้ผลิตฮาร์ดแวร์แล้ว แพตช์นี้จะรวมอยู่ในอัพเดตความปลอดภัยรอบเดือนมีนาคม 2016

ทีมความปลอดภัย Android บอกว่าบริษัท Perception Point ผู้ค้นพบช่องโหว่นี้แจ้งข้อมูลไปยัง Red Hat แต่ไม่แจ้งมายังกูเกิลด้วย ทำให้ทีมของกูเกิลต้องพัฒนาแพตช์หลังข้อมูลช่องโหว่เปิดเผยต่อสาธารณะแล้ว

Tags:
Node Thumbnail

สำนักงานล็อตเตอรี่ของประเทศไอร์แลนด์ (National Lottery) เจอปัญหาเซิร์ฟเวอร์โดนถล่มด้วย DDoS ระหว่างการออกรางวัลงวดล่าสุดเมื่อวานนี้ (20 ม.ค.) ส่งผลให้เว็บไซต์ใช้งานไม่ได้นาน 2 ชั่วโมง

อย่างไรก็ตาม การออกรางวัลไม่ได้รับผลกระทบอะไร ยังเดินหน้าไปตามปกติ และไม่มีรายงานว่าเซิร์ฟเวอร์ถูกแฮ็ก (สำหรับคนที่อยากรู้ เลขที่ออกคือ 3, 6, 17, 23, 27, 29 และเลขโบนัส 5) แต่ล็อตเตอรี่งวดนี้ไม่มีใครได้รางวัลแจ๊กพ็อต 12.5 ล้านยูโร เงินรางวัลจะสะสมไปยังงวดต่อไป

สำนักงานล็อตเตอรี่เคยถูกถล่มด้วย DDoS มาก่อนแล้วครั้งหนึ่ง และมีระบบป้องกัน DDoS ช่วยลดผลกระทบจากการโจมตีได้ ทางเจ้าหน้าที่จะสอบสวนหาที่มาการโจมตีครั้งนี้ต่อไป

Tags:
Node Thumbnail

บริษัทความปลอดภัยเครือข่าย FireEye ซื้อกิจการ iSIGHT Partners บริษัทด้านข้อมูลภัยคุกคามไซเบอร์ (cyber threat intelligence) ที่เน้นตลาดองค์กร ด้วยมูลค่า 275 ล้านดอลลาร์

รูปแบบธุรกิจของ iSIGHT คือมอนิเตอร์ภัยคุกคามใหม่ๆ ที่เกิดขึ้นตลอดเวลาทั่วโลก บริษัทมีนักวิเคราะห์ข้อมูล 250 คนใน 17 ประเทศ และขายบริการข้อมูลแบบจ่ายค่าสมาชิก (subscription) หลังขายให้ FireEye แล้ว ลูกค้าของ iSIGHT ยังใช้บริการได้ต่อไปดังเดิม แต่ FireEye ก็เตรียมขยายบริการข้อมูลเจาะเป็นรายอุตสาหกรรมมากขึ้น

Tags:
Node Thumbnail

เป็นธรรมเนียมทุกๆ ต้นปี บริษัทความปลอดภัย SplashData เจ้าของแอพจัดการรหัสผ่าน TeamsID จะออกมาเผยสถิติ "รหัสผ่านยอดแย่" อยู่เสมอ (อันดับของปี 2014) สำหรับสถิติของปี 2015 ที่เพิ่งผ่านพ้นไป รหัสผ่านยอดแย่อันดับหนึ่งตลอดกาลยังเป็นของ "123456" ตามด้วยอันดับสอง "password" ที่ยังยึดตำแหน่งแชมป์-รองแชมป์ได้อย่างเหนียวแน่น

อย่างไรก็ตาม อันดับสามเกิดการเปลี่ยนแปลงเล็กน้อย โดย "12345678" แซงขึ้นมาเป็นอันดับสาม ตามด้วย "qwerty" ในอันดับสี่ เบียดเอา "12345" ตกลงมาอยู่อันดับห้า

Tags:
Node Thumbnail

Oracle ออกแพตช์ความปลอดภัยรอบเดือนมกราคม 2016 ชุดใหญ่ มากถึง 248 แพตช์ ครอบคลุมผลิตภัณฑ์หลากหลาย ตั้งแต่ Oracle Database, Java SE, Oracle E-Business Suite, Fusion Middleware, PeopleSoft (รายชื่อทั้งหมดอ่านตามลิงก์ที่มา)

แพตช์ชุดนี้เรียกว่า Critical Patch Update (CPU) ซึ่งบริษัทจะออกปีละ 4 ครั้งเป็นปกติตามระยะเวลาที่ประกาศล่วงหน้า

Oracle ยังแนะนำให้ลูกค้าอัพเดตแพตช์ล่าสุดทันที และขอให้ผู้ใช้ Java ดาวน์โหลดเวอร์ชันล่าสุด (Java 8u71 ณ เวลาที่เขียนข่าว) เพื่อความปลอดภัยของตัวผู้ใช้เองด้วย

Tags:
Topics: 
Node Thumbnail

ทีมวิจัยจากบริษัท Perception Point รายงานถึงช่องโหว่ CVE-2016-0728 ในลินุกซ์เคอร์เนลรุ่น 3.8 ขึ้นไปที่ออกมาตั้งแต่ปี 2012 กระทบเซิร์ฟเวอร์และแอนดรอยด์จำนวนมาก เฉพาะแอนดรอยด์อย่างเดียวมีเครื่องที่ได้รับผลกระทบถึง 66% ของโทรศัพท์แอนดรอยด์ทั้งหมด

ช่องโหว่นี้อยู่ในระบบ keyring ที่อยู่ในเคอร์เนล มีโค้ดที่ใช้คำสั่ง goto ข้ามฟังก์ชั่น key_put ไป การโจมตีจากช่องโหว่นี้ทำให้แฮกเกอร์สามารถรันโค้ดใน root ได้ในที่สุด

กระบวนการป้องกันเพิ่มเติมในลินุกซ์ เช่น SMEP/SMAP และ SELinux ช่วยป้องกันช่องโหว่ทำให้การเจาะระบบยากขึ้น

ทางทีมงานทำงานร่วมกับทีมความปลอดภัยของ Red Hat และแพตช์ออกมาแล้ว

Tags:
Node Thumbnail

องค์การอาหารและยาของสหรัฐฯ (Food and Drug Administration - FDA) ประกาศร่างแนวทางความปลอดภัยไซเบอร์สำหรับอุปกรณ์ทางการแพทย์ หลังจากที่อุปกรณ์หลายตัวเริ่มสามารถเชื่อมต่อเครือข่ายได้ ทำให้ตกเป็นเป้าโจมตีของแฮกเกอร์

คำแนะนำวางหลักการหลายอย่างให้กับผู้ผลิตอุปกรณ์ทางการแพทย์ เช่น

Tags:
Node Thumbnail

Sean Cassidy นักวิจัยความปลอดภัยรายงานถึงแนวทางการโจมตี LastPass ด้วยการสร้างหน้าเว็บหลอก (phishing) เพื่อหลอกให้ผู้ใช้ใส่รหัสผ่านและ OTP เพื่อนำไปยิงเข้า API ของ LastPass

ตัว LastPass เองและเบราว์เซอร์โครมมีจุดที่ทำให้การโจมตีนี้มีผล เพราะลิงก์ล็อกเอาท์ของ LastPass สามารถถูกโจมตีแบบ CSRF ได้ทำให้เว็บไซต์มุ่งร้ายสามารถล็อกเอาท์จาก LastPass ได้จริงๆ และโลโก้ของ extension ก็จะแสดงว่าผู้ใช้ยังไม่ได้ล็อกอิน

Tags:
Node Thumbnail

เมื่อปีที่แล้วกลุ่มโรงแรม Hyatt ออกมารายงานว่าระบบจ่ายเงินของโรงแรมติดมัลแวร์ แต่ไม่ได้เปิดเผยรายละเอียด ตอนนี้ทางเครือก็ออกมารายงานเพิ่มเติม ระบุว่าช่วงที่ติดมัลแวร์ในระบบคือ 13 สิงหาคม ไปจนถึง 8 ธันวาคมปีที่แล้ว แต่บางโรงแรมก็ติดมัลแวร์มาตั้งแต่ปลายเดือนกรกฎาคม

ความเสียหายที่เกิดขึ้นส่วนมากกระทบบัตรที่จ่ายค่าอาหารในโรงแรมช่วงเวลาดังกล่าว แต่บางส่วนก็เป็นบัตรที่จ่ายค่าห้องพัก, ค่าสปา, หรือของที่ระลึก

ทางโรงแรมเปิดเว็บให้เช็ครายชื่อโรงแรมที่ได้รับผลกระทบแล้ว ในไทยมีสามโรงแรม

Tags:
Node Thumbnail

เมื่อวานนี้กลุ่มแฮกเกอร์ BLINK HACKER GROUP (BHG) อ้างความรับผิดชอบต่อการทำเว็บศาลยุติธรรมไทย ล่มจนใช้งานไม่ได้ช่วงหนึ่ง ล่าสุดทาง BHG ก็ออกมาปล่อยฐานข้อมูลขนาด 1.09 กิกะไบต์ ระบุว่าเป็นฐานข้อมูลที่ได้จากการเจาะเซิร์ฟเวอร์

นอกจากเนื้อหาบนเว็บไซต์แล้ว BHG ยังระบุว่าข้อมูลยังมีระบบจัดการภายใน เช่น ข้อมูลบุคคลากร, เงินเดือน, สวัสดิการ, งบประมาณ, การวางแผน อย่างไรก็ดีข้อมูลหลายส่วนเป็นข้อมูลที่เปิดเผยได้อยู่แล้ว ยังไม่แน่ชัดว่ามีข้อมูลความลับอะไรหรือไม่

ไฟล์ที่หลุดออกมาคือ mis_db.sql.gz มีขนาดหลังบีบอัดแล้ว 111.8MB ค่าแฮช 4c2cc51b93b1daa34c18d135765fa8e6c9edc52d

Tags:
Node Thumbnail

ไคลเอนต์ OpenSSH ตั้งแต่รุ่น 5.4 (ออกปี 2010) เป็นต้นไป มีฟีเจอร์ Roaming ที่เปิดเป็นค่าเริ่มต้น โดยหากเซิร์ฟเวอร์เปิดฟีเจอร์นี้ไว้เหมือนกันก็จะกลับมาเชื่อมต่อได้หลังจากการเชื่อมต่อหลุดไป

ฝั่งเซิร์ฟเวอร์ยังไม่ได้รองรับฟีเจอร์นี้ แต่ช่องโหว่ในโค้ดก็ทำให้คนร้ายสามารถสร้างเซิร์ฟเวอร์เพื่อดึงเอากุญแจลับออกจากไคลเอนต์ เพราะโค้ดเชื่อขนาดข้อมูลที่ได้รับจากเซิร์ฟเวอร์และอ่านข้อมูลส่งกลับไป

ทาง Qualys วิเคราะห์ช่องโหว่แล้วพบว่า จะใช้งานจริงได้ จำเป็นต้องเปิดออปชั่น ProxyCommand คู่กับ ForwardX11 หรือ ForwardAgent เอาไว้ ทำให้การแฮกจริงจังคงทำได้จำกัด

Tags:
Node Thumbnail

หลังจากพบโค้ดลับใน ScreenOS ของ Juniper NetScreen เมื่อไม่กี่อาทิตย์ที่ผ่านมา ปรากฏว่าพบช่องโหว่คล้ายๆกันในอุปกรณ์ firewall ของ Fortinet โดยอยู่ใน FortiOS รุ่น 4.x จนถึงรุ่น 5.0.7

และนาย Ralf-Philipp Weinmann ผู้ที่เคยเปิดเผยรหัสผ่านของ ScreenOS ก็มาเปิดเผยรหัสผ่านของ FortiOS ด้วย ซึ่งรหัสผ่านที่ฝังไว้ใน FortiOS คือ "FGTAbc11*xy+Qqz27" รวมทั้งมีการแจกโค้ดที่ผ่านการทดสอบแล้วไว้ที่ seclists.org แล้วด้วย

ใครใช้ FortiGate firewall อยู่ ควรตรวจสอบรุ่นและทำการอัพเดตกันโดยด่วนครับ

Tags:
Node Thumbnail

ไมโครซอฟท์ออกแพตช์ความปลอดภัยตามรอบเดือนมกราคม เป็นแพตช์ระดับวิกฤติ 6 รายการ กระทบแทบทุกส่วน เช่น Internet Explorer (MS16-001), Edge (MS16-002), Windows (MS16-003, MS16-005), Office (MS16-004), และ Silverlight (MS16-006)

ความสำคัญของการออกแพตช์รอบนี้นอกจากตัวบั๊กต่างๆ เองแล้ว ยังเป็นรอบการอัพเดตรอบสุดท้ายสำหรับ Internet Explorer รุ่นเก่าๆ ทั้งหมดตามที่ไมโครซอฟท์ประกาศไว้ล่วงหน้า

Pages