Security

Google Accounts เพิ่มตัวช่วยเช็ครหัสผ่านของเรา ตรงกับฐานข้อมูลรหัสผ่านหลุดหรือไม่

By mk

on 2 October 2019 - 20:14 Tag: Google, Password, Security

Google

กูเกิลเคยออกส่วนเสริมชื่อ Password Checkup เพื่อเช็ครหัสผ่านที่รั่วจากบริการออนไลน์ต่างๆ และเพิ่งประกาศว่าจะผนวกเข้ามาเป็นส่วนหนึ่งของ Chrome โดยจะเริ่มใน Chrome 78 (ปัจจุบันคือ Chrome 77)

วันนี้กูเกิลประกาศว่า Password Checkup กลายเป็นส่วนหนึ่งของ Password Manager ในหน้าเว็บ Google Account เรียบร้อยแล้ว (เข้าได้จาก passwords.google.com)

รัฐบาลสิงคโปร์เปิดโครงการรายงานช่องโหว่และปัญหา ในทุกบริการของรัฐบาล

By nismod

on 2 October 2019 - 15:52 Tag: Singapore, Security, HackerOne, Bug Bounty

Singapore

HackerOne ประกาศความร่วมมือกับ Government Technology Agency (GovTech) ของรัฐบาลสิงคโปร์ เปิดตัวโครงการ Vulnerability Disclosure Programme (VDP) โครงการที่เปิดให้แจ้งบั๊คและช่องโหว่ในทุกบริการของรัฐบาลไม่ว่าจะเว็บหรือแอปพลิเคชัน หลังจากก่อนหน้าคือ HackerOne เคยร่วมมือกับรัฐบาลทำ Government Bug Bounty Programme (BBP) มาแล้ว

โครงการ VDP เป็นเพียงโครงการที่เปิดให้คนทั่วไปรายงานปัญหาต่าง ๆ คนรายงานจะไม่ได้รับค่าตอบแทน แตกต่างจากโครงการ Bug Bounty ที่แฮกเกอร์จะได้เงินค่าตอบแทนตามความร้ายแรงของช่องโหว่ โดย HackerOne และ GovTech จะจัด Government BBP ครั้งที่ 3 ในเดือนพฤศจิกายนนี้

EA แจก Origin Access ฟรีหนึ่งเดือน สำหรับผู้ที่เปิดใช้งาน Two-Factor Authentication

By nostalgias

on 2 October 2019 - 09:22 Tag: EA Play, Origin, EA, Games, Security, Authentication

EA Play

ในโอกาสที่เดือนตุลาคม ถือเป็นเดือนแห่งการรณรงค์สร้างความตระหนักรู้เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ในสหรัฐอเมริกา (National Cybersecurity Awareness Month) ทาง EA ก็ได้มีส่วนร่วมโดยแจกบริการ Origin Access ให้แก่ทุกคนที่เปิดใช้บริการ Two-Factor Authentication หรือที่ EA เรียกว่า EA Login Verification ภายในเดือนตุลาคมนี้ โดยผู้ที่ไม่ได้ใช้บริการ Origin Access อยู่หรือใช้แพคเกจระดับ Basic ก็จะได้ใช้ฟรีไปอีก 1 เดือน แต่สำหรับผู้ที่ใช้งานระดับ Premier ก็จะได้ใช้งานระดับ Premier ฟรีอีก 1 เดือนเช่นกัน โดยจะได้รับสิทธิ์ในวันที่ 1 พฤศจิกายนเป็นต้นไป

OneDrive Personal Vault เก็บข้อมูลลับลงโฟลเดอร์ที่ต้องใส่รหัส เริ่มเปิดใช้งานแล้ว

By sunnywalker

on 1 October 2019 - 09:26 Tag: OneDrive, Microsoft, Privacy, Security

OneDrive

เมื่อเดือนมิถุนายนที่ผ่านมา ไมโครซอฟท์เปิดตัวฟีเจอร์ใหม่ OneDrive Personal Vault ให้เก็บข้อมูลลับลงในโฟลเดอร์ของ OneDrive โดยต้องใส่รหัสผ่าน, PIN, สแกนลายนิ้วมือหรือใบหน้า จึงจะปลดล็อคได้ ล่าสุดทางบริษัทเริ่มเปิดให้ใช้งานฟีเจอร์นี้แล้ว และจะขยายไปยังผู้ใช้งาน OneDrive ทั้งหมดภายในปี 2019 นี้

ข้อมูลเพิ่มเติมช่องโหว่ Checkm8: กระทบ Apple Watch, การแฮกถูกล้างออกเมื่อบูตเครื่อง, โทรศัพท์รุ่นใหม่เจาะข้อมูลในเครื่องไม่ได้

By lew

on 29 September 2019 - 20:45 Tag: iOS, Security, Apple

iOS

หลังจากนักวิจัยที่ใช้ชื่อในอินเทอร์เน็ตว่า axi0mX ประกาศช่องโหว่ Checkm8 ที่ใช้เจาะอุปกรณ์ iOS เปิดทางการทำ jailbreak และฝังซอฟต์แวร์ลงในเครื่องแม้จะเป็นระบบปฎิบัติการรุ่นล่าสุด ทาง ArsTechnica ได้ติดต่อสัมภาษณ์ axi0mX เพื่อขอข้อมูลเพิ่มเติม

ทาง ArsTechnica ยืนยันว่าช่องโหว่นี้ กระทบ Apple Watch 1/2/3 ด้วย

ช่องโหว่ checkm8 เปิดทางแฮกไอโฟนตั้งแต่ iPhone 4S จนถึง iPhone X นักวิจัยระบุแพตช์ไม่ได้

By lew

on 28 September 2019 - 22:19 Tag: iOS, Security

iOS

ผู้ใช้ทวิตเตอร์ชื่อว่า axi0mX ออกมาประกาศช่องโหว่ checkm8 (อ่านว่า เช็ค-เมด/checkmate) เป็นช่องโหว่ของซอฟต์แวร์ใน bootrom ทำให้แฮกเกอร์สามารถข้ามกระบวนการตรวจสอบความปลอดภัยของอุปกรณ์ที่ใช้ iOS ทั้งไอโฟนและไอแพดจำนวนมาก โดยอุปกรณ์จาก iPhone 4S ที่ใช้ชิป Apple A5 ไปจนถึง iPhone X ที่ใช้ชิป Apple A11

ช่องโหว่ใน bootrom จะเปิดทางให้แฮกเกอร์สามารถเปิดใช้ JTAG เพื่อดีบั๊กระบบ และแฮกซอฟต์แวร์ใดๆ บนเครื่อง หรือสามารถดึงข้อมูล SecureROM ออกมาได้ทั้งชุด เปิดทางอ่านกุญแจเข้ารหัสต่างๆ ของ iOS โดยความเสี่ยงของช่องโหว่นี้ ทำให้หากอุปกรณ์ตกอยู่ในมือคนร้าย คนร้ายจะสามารถฝังซอฟต์แวร์ลงไปในรอมได้

นักวิจัยเตือนช่องโหว่ Simjacker กระทบซิมโทรศัพท์กว้างกว่าที่คาด มีนักวิจัยอ้างพบมาสี่ปีแล้ว

By lew

on 28 September 2019 - 15:56 Tag: Security, Mobile, SMS

Security

เมื่อกลางเดือนกันยายนที่ผ่านมา AdaptiveMobile Security บริษัทวิจัยความปลอดภัยไซเบอร์รายงานถึงช่องโหว่ซอฟต์แวร์ในตัวซิมโทรศัพท์ ที่เปิดทางให้แฮกเกอร์ส่ง SMS เข้าไปรันโค้ดบนซิม ควบคุมการทำงาน เช่น การรายงานตำแหน่งโทรศัพท์ หรือการส่ง SMS แทนคนร้าย ล่าสุด Ginno Security Lab ก็แจ้งมายังเว็บไซต์ Hacker News ระบุว่านักวิจัยได้พบช่องโหว่แบบเดียวกันนี้บนซอฟต์แวร์อีกตัว คือ Wireless Internet Browser (WIB) ที่มีผู้ใช้นับร้อยล้านซิม

ไมโครซอฟท์เปิดตัว Azure Sentinel บริการวิเคราะห์ข้อมูลความปลอดภัย (SIEM)

By mk

on 25 September 2019 - 23:10 Tag: Microsoft Azure, Security, Microsoft, Enterprise

Microsoft Azure

ไมโครซอฟท์ประกาศเปิดบริการ Azure Sentinel ซึ่งเป็นบริการจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (ในวงการมีชื่อเรียกว่า security information and event management หรือตัวย่อ SIEM)

SIEM เป็นระบบวิเคราะห์ไฟล์ล็อกและข้อมูลอื่นๆ แบบเรียลไทม์ เพื่อตรวจจับว่าเกิดการโจมตีหรือมีข้อมูลรั่วออกไปหรือไม่ องค์กรจะได้มีเวลารับมืออย่างทันท่วงที ในตลาดเองมีผลิตภัณฑ์ SIEM หลายตัว ที่มีชื่อเสียงอย่างเช่น LogRythm, Splunk, ArcSight หรือ RSA NetWitness

ไต้หวันประกาศซ้อมรบไซเบอร์ร่วมกับ 15 ชาติในเดือนพฤศจิกายน

By lew

on 23 September 2019 - 08:05 Tag: Taiwan, Security

Taiwan

ไต้หวันประกาศจัดงานซ้อมรบไซเบอร์ครั้งแรกในเดือนพฤศจิกายนนี้ โดยรูปแบบการซ้อมถอดมาจากการซ้อม Cyber Storm ของสหรัฐฯ และการซ้อมครั้งนี้จะมี 15 ชาติจาก อาเซียน, ยุโรป, และสหรัฐฯ เข้าร่วม

การซ้อมแบ่งออกเป็นความระมัดระวัง phishing ของเจ้าหน้าที่ไต้หวันเอง อีกส่วนเป็นการจำลองการโจมตีจากเกาหลีเหนือ ที่จะโจมตีโครงสร้างพื้นฐานและสถาบันการเงิน

ในการซ้อมรบครั้งนี้ ทางไต้หวันจะทำหน้าที่ป้องกัน (blue team) และชาติอื่นๆ ที่เข้าร่วมจะทำหน้าที่โจมตี (red team)

ที่มา - Taipei Times

HP ซื้อบริษัทความปลอดภัย Bromium นำเทคโนโลยี VM ป้องกันมัลแวร์มาใช้กับโน้ตบุ๊ก

By mk

on 21 September 2019 - 09:09 Tag: HP, Acquisition, Virtualization, Security

HP Inc. ประกาศซื้อกิจการบริษัทความปลอดภัย Bromium โดยไม่เปิดเผยมูลค่า

Bromium เป็นบริษัทด้านความปลอดภัยที่เน้นเรื่องอุปกรณ์ปลายทาง (endpoint) โดยใช้เทคนิคการสร้าง virtual machine ขนาดเล็กขึ้นมาครอบงานย่อยๆ เช่น การดาวน์โหลดไฟล์ หรือการคลิกลิงก์ เพื่อแยกส่วน (isolate) ภัยคุกคามที่อาจเกิดขึ้น และปิด VM นั้นไปเมื่องานนั้นเสร็จเรียบร้อย

แบงก์ชาติขีดเส้นตายบัตรเอทีเอ็มแม่เหล็ก 15 มกราคมนี้ หลังจากนั้นกดเงินไม่ได้อีก ยังมีบัตรในระบบ 20 ล้านใบ

By lew

on 17 September 2019 - 17:44 Tag: Bank of Thailand, Security

Bank of Thailand

ธนาคารแห่งประเทศไทยประกาศตั้งเป้าเปลี่ยนบัตรเอทีเอ็มและบัตรเดบิตที่ยังเป็นบัตรแม่เหล็ก ให้เป็นบัตรชิป โดยธนาคารในประเทศไทยได้หยุดออกบัตรแม่เหล็กมาตั้งแต่ปี 2016 ตอนนี้ทางก็มีกำหนดออกมาว่าบัตรแม่เหล็กทั้งหมดจะใช้งานได้ถึงวันที่ 15 มกราคม 2020 เท่านั้น

ประกาศเดิมของธนาคารแห่งประเทศไทยระบุให้บัตรแม่เหล็กใช้งานได้ถึงวันที่ 31 ธันวาคม 2019 ประกาศล่าสุดนี้จึงเป็นการเลื่อนออกไปแล้วเล็กน้อย

Project Zero รายงานช่องโหว่ LastPass ทำรหัสผ่านล่าสุดที่เพิ่งใช้งานรั่วได้ แพตช์ออกแล้ว

By lew

on 17 September 2019 - 13:29 Tag: LastPass, Security, Project Zero

LastPass

Tavis Ormandy นักวิจัยจาก Project Zero รายงานช่องโหว่ของ LastPass เปิดทางให้แฮกเกอร์สามารถดึงรหัสผ่านล่าสุดที่ใช้ล็อกอินในเบราว์เซอร์แท็บเดียวกันออกมาได้ แม้จะเป็นคนละเว็บกัน

ผู้ใช้จะมีความเสี่ยงต่อเมื่อใช้ส่วนขยาย LastPass สำหรับ Chrome โดยตอนนี้เป็นส่วนขยายที่มีคนใช้งานอยู่ถึง 10 ล้านคน

ทาง LastPass แก้ไขในเวอร์ชั่น 4.33.0 เรียบร้อย โดยใช้เวลาสองสัปดาห์หลัง Project Zero แจ้งไป จึงเปิดเผยข้อมูลออกมา

ที่มา - Project Zero

พบช่องโหว่ซอฟต์แวร์ใน SIM โทรศัพท์มือมือ คนร้ายส่งคำสั่งเข้าไปส่ง SMS แทนเหยื่อได้

By lew

on 13 September 2019 - 19:09 Tag: Security, SIM card

Security

AdaptiveMobile Security บริษัทวิจัยความปลอดภัยไซเบอร์รายงานถึงช่องโหว่ Simjacker ที่เป็นช่องโหว่ของซอฟต์แวร์ในซิมการ์ด เปิดทางให้คนร้ายสร้าง SMS มุ่งร้ายเข้าไปสั่งงานในซิม เช่น การสั่งให้ส่ง SMS โดยเหยื่อไม่รู้ตัว

ช่องโหว่นี่เป็นของซอฟต์แวร์ S@T Browser ที่ไม่ตรวจสอบที่มาของคำสั่งอย่างถูกต้อง ทำให้เมื่อได้รับคำสั่งจาก SMS ที่ออกแบบมาเฉพาะ S@T Browser จะรันคำสั่งไปตามนั้น

คนร้ายสามารถสั่งให้ส่ง SMS ไปยังหมายเลขที่ต้องการ หรือสั่งเก็บข้อมูลเครือข่าย เช่น ตำแหน่งเสาสัญญาณโทรศัพท์ หรือหมายเลข IMEI เครื่อง

Microsoft Authenticator บน Android เพิ่มฟีเจอร์ Cloud Backup เก็บข้อมูลลงคลาวด์

By mk

on 13 September 2019 - 10:52 Tag: Microsoft, Authentication, Security, Mobile App

Microsoft

แอพกลุ่ม Authenticator สำหรับทำ Two factor authentication (TFA หรือ 2FA) จากสมาร์ทโฟน มีให้เลือกใช้งานกันมากมาย และแอพบางตัวมีฟีเจอร์การซิงก์ข้อมูล credential เก็บขึ้นคลาวด์ให้ด้วย ช่วยป้องกันปัญหากรณีมือถือหายแล้วไม่สามารถล็อกอินบัญชีต่างๆ ได้

Chrome 78 จะอัพเกรดไปใช้ DNS-over-HTTPS อัตโนมัติหากใช้ผู้ให้บริการที่รองรับอยู่แล้ว

By lew

on 12 September 2019 - 01:01 Tag: Chrome, DNS, Security

Chrome

กูเกิลประกาศ "ทดลอง" การใช้งาน DNS-over-HTTPS (DoH) บนเบราว์เซอร์ Chrome เช่นเดียวกับ Firefox ที่ประกาศไปก่อนหน้านี้ แต่แนวทางการทดลองนั้นต่างออกไป โดย Chrome จะยึดค่าเซิร์ฟเวอร์ DNS ตามเดิมที่ตั้งไว้ แต่หากพบว่าเซิร์ฟเวอร์นั้นรองรับ DoH ก็จะอัพเกรดไปใช้เอง

แนวทางนี้ทำให้ผู้ใช้น่าจะไม่ประสบปัญหาอื่น เช่น บางคนความเร็วอินเทอร์เน็ตตกเพราะคิวรี DNS ได้ค่าเปลี่ยนไปจากปกติ หรือปัญหากับโปรแกรมควบคุมเนื้อหาสำหรับผู้ปกครอง เนื่องจากตัวเบราว์เซอร์ยังเคารพการตั้งค่าของระบบอยู่

ZERODIUM ปรับราคารับซื้อการโจมตี Android แพงกว่า iOS เป็นครั้งแรก

By lew

on 9 September 2019 - 10:05 Tag: Zerodium, Security

Zerodium

ZERODIUM บริษัทนายหน้าซื้อขายช่องโหว่ซอฟต์แวร์ประกาศปรับราคารับซื้อ รอบใหม่ โดยเพิ่มหมวดการโจมตีแอนดรอยด์แบบผู้ใช้ไม่ต้องคลิกใดๆ ราคาแพงที่สุด 2.5 ล้านดอลลาร์ แซงหน้าช่องโหว่แบบเดียวกันของ iOS ที่รับซื้อราคาเดิม 2 ล้านดอลลาร์

นอกจากการเพิ่มช่องโหว่แอนดรอยด์แล้ว ZERODIUM ยังปรับลดราคาการโจมตีแบบคลิกเดียวสำหรับ iOS เหลือ 1 ล้านดอลลาร์จาก 1.5 ล้านดอลลาร์

Chaouki Bekrar ผู้ก่อตั้ง ZERODIUM ระบุกับ WIRED ว่าช่องโหว่ iOS เริ่มมีขายมากขึ้นในตลาดทำให้ราคาเริ่มปรับลด ขณะที่แอนดรอยด์มีการปรับปรุงต่อเนื่องทำให้การพัฒนาการโจมตีแบบผู้ใช้ไม่ต้องคลิกเลยนั้นทำได้ยากขึ้นมาก

ศูนย์ความปลอดภัยไซเบอร์อังกฤษแจ้งเตือน Python 2 หมดซัพพอร์ตมกราคม 2020 ควรเร่งย้ายไป Python 3

By lew

on 9 September 2019 - 08:23 Tag: Security, United Kingdom

Security

ศูนย์ความมั่นคงปลอดภัยไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) แจ้งเตือนว่า Python 2 จะหมดอายุซัพพอร์ตวันที่ 1 มกราคม 2020 นี้ ทำให้ไม่มีแพตช์อีกต่อไป แต่แอปพลิเคชั่นจำนวนมากยังคงทำงานบน Python 2

การแก้ไขที่ดีที่สุดคือการย้ายไปใช้ Python 3 ซึ่งมีหลายช่องทางนับแต่การใช้โปรแกรม 2to3 ของโครงการเอง หรือไลบรารี six ที่ช่วยรักษาความเข้ากันได้ระหว่างเวอร์ชั่น

Apple แถลงโต้รายงานของ Project Zero ยืนยันช่องโหว่ที่ระบุนั้น มีผลกระทบจำกัดมาก

By arjin

on 7 September 2019 - 06:11 Tag: iOS, Security, Project Zero, Apple

iOS

แอปเปิลออกแถลงการณ์ชี้แจง หลังนักวิจัยของกูเกิลใน Project Zero เผยแพร่รายงานการโจมตี iOS ก่อนมีแพตช์ออกมาเมื่อเดือนกุมภาพันธ์ โดยบอกว่าช่องโหว่ในรายงานฉบับนี้มีผลกระทบที่จำกัด ไม่ได้มีผลเป็นวงกว้างอย่างที่รายงานพยายามทำให้ผู้ใช้ iOS กลัว เว็บไซต์ที่มีการฝังมัลแวร์ผ่านช่องโหว่ก็มีเพียงไม่ถึง 10 เว็บไซต์ และมีเนื้อหาเฉพาะเจาะจงมาก

กลุ่มแฮกเกอร์เริ่มใช้ช่องโหว่ VPN ของ Fortinet และ Pulse Secure องค์กรจำนวนมากยังไม่แพตช์

By lew

on 6 September 2019 - 09:41 Tag: Security, VPN, Fortinet, Pulse Secure

Security

ZDNet อ้างแหล่งข่าวที่เกี่ยวข้องกับการโจมตี ระบุว่ากลุ่มแฮกเกอร์ APT5 หรือ Mananese เริ่มใช้ช่องโหว่ VPN ของ Fortinet และ Pulse Secure เพื่อโจมตีเป็นวงกว้าง โดยช่องโหว่ทั้งสองรายการนั้นมีแพตช์ออกมาหลายเดือนแล้ว

Twitter ปิดฟีเจอร์ทวีตจาก SMS หลังซีอีโอถูกแฮ็กเบอร์โทรศัพท์และทวีตผ่าน SMS

By nismod

on 5 September 2019 - 11:47 Tag: Twitter, Jack Dorsey, Security

Twitter

หลังแอคเคาท์ของ Jack Dorsey ซีอีโอ Twitter ถูกแฮ็กผ่านผ่านทางเบอร์โทรศัพท์ ล่าสุด Twitter ประกาศปิดฟีเจอร์ทวีตผ่าน SMS

Twitter บอกด้วยว่าจะปรับปรุงระบบยืนยันตัวตน 2 ขั้นผ่านทาง SMS ขณะเดียวกันก็ระบุว่าจะกลับมาเปิดฟีเจอร์นี้อีกครั้ง ในประเทศที่ใช้ SMS เป็นช่องทางการสื่อสารหลัก

ที่มา - @Twitter Support via The Verge

Subscribe to Security