ช่องโหว่ซอฟต์แวร์จัดการเซิร์ฟเวอร์ Supermicro เปิดทางแฮกเกอร์โจมตีช่องโหว่ USB เหมือนอยู่หน้าเครื่อง

By lew Founder on Tag: Supermicro, Security
Supermicro

บริษัทความปลอดภัย Eclypsium ออกรายงานช่องโหว่ชิปเซ็ตจัดการเซิร์ฟเวอร์ (baseboard management controller - BMC) ที่ช่วยให้ผู้ดูแลระบบสามารถเปิดปิดเซิร์ฟเวอร์, รีบูต, และอัพเดตเฟิร์มแวร์ได้จากระยะไกล โดย BMC ของเซิร์ฟเวอร์ Supermicro หลายรุ่นมีช่องโหว่ที่เปิดทางให้แฮกเกอร์สามารถยิงข้อมูลจนเหมือนมีอุปกรณ์ USB ไปเสียบอยู่หน้าเครื่องจริงๆ

Read more

ป้องกันไม่ให้บัญชี Instagram ถูกแฮ็ก ด้วยการเปิดใช้ Two-Factor Authentication

By mk Founder on Tag: Instagram, Howto, Authentication, Security
Instagram

Instagram ถือเป็นบริการโซเชียลที่ได้รับความนิยมอย่างสูง และมีคนไทยใช้กันเป็นจำนวนมาก รวมถึงผู้มีชื่อเสียง ดารา นักร้อง ฯลฯ และปัญหาที่เราพบได้บ่อยๆ ตามหน้าสื่อ คือ "บัญชี Instagram โดนแฮ็ก" (ไม่ว่าจะแฮ็กจริงหรือทำให้ดูเหมือนถูกแฮ็กก็ตาม)

ในฐานะที่ Blognone สนใจประเด็นเรื่องความปลอดภัยไซเบอร์ จึงขอนำเสนอ Howto ง่ายๆ ในการป้องกันบัญชี Instagram ของเรา

Read more

Jack Dorsey ซีอีโอทวิตเตอร์ถูกแฮ็กบัญชี ต้นทางมาจากการแฮ็กเบอร์โทรศัพท์

By mk Founder on Tag: Jack Dorsey, Twitter, Telecom, Security, Hacking
Jack Dorsey

เมื่อคืนนี้เกิดเหตุ Jack Dorsey ซีอีโอและผู้ร่วมก่อตั้ง Twitter ถูกแฮ็กบัญชี @jack และโพสต์ข้อความระบุว่าเป็นผลงานของกลุ่มแฮ็กเกอร์ Chuckling Squad

โฆษกของ Twitter รายงานว่าสาเหตุไม่ได้มาจากระบบของ Twitter ถูกแฮ็ก แต่เกิดจากการแฮ็กเบอร์โทรศัพท์ที่ผูกกับบัญชี @jack ทำให้แฮ็กเกอร์สามารถโพสต์ข้อความบนบัญชีของ @jack ได้ผ่าน SMS

ตอนนี้ยังไม่มีรายละเอียดว่าแฮ็กเกอร์เข้าถึงเบอร์โทรศัพท์ของ Dorsey ได้อย่างไร และเป็นโอเปอเรเตอร์รายใดในสหรัฐอเมริกา แต่ BuzzFeed รายงานโดยอ้างแหล่งข่าวใกล้ชิดว่า Dorsey เปลี่ยนซิมโทรศัพท์เรียบร้อยแล้ว

Read more

ศูนย์ไซเบอร์กองทัพบกรับสมัครผู้เชี่ยวชาญความปลอดภัยไซเบอร์ ประสบการณ์ขั้นต่ำ 12 ปีหรือมีใบรับรอง เงินเดือน 68,350 บาท สัญญาจ้าง 1 ปี

By lew Founder on Tag: Thailand, Security
Thailand

ศูนย์ไซเบอร์กองทัพบกประกาศรับสมัครตำแหน่งด้านความมั่นคงปลอดภัยไซเบอร์ระดับสูงรวม 3 ตำแหน่ง โดยทั้งสามตำแหน่งมี เงินเดือนเท่ากันคือ 68,350 บาท และระยะเวลาจ้างสิ้นสุดไม่เกินวันที่ 30 กันยายน 2563 โดยต้องการประสบการณ์ด้านเทคโนโลยีสารสนเทศและด้านความมั่นคงปลอดภัยไซเบอร์อย่างน้อย 12 ปี หรือมีใบรับรองด้านความมั่นคงปลอดภัยไซเบอร์ เช่น CISSP, CISM, CEH แล้วแต่ตำแหน่งงาน

ตำแหน่งงานทั้ง 3 ได้แก่

Read more

Project Zero มองย้อนช่องโหว่ 0-day ของ iOS ระบุแม้ค่าโจมตีแพงแต่ก็ยังมีคนใช้ติดตั้งมัลแวร์ในวงกว้าง

By lew Founder on Tag: Project Zero, iOS, Security
Project Zero

Project Zero รายงานย้อนหลังถึงการพบการโจมตี iOS ก่อนที่จะมีแพตช์ หรือช่องโหว่ 0-day ย้อนหลัง 5 รายการ นับแต่ปี 2016 ในสมัย iOS 10 มาจนถึง iOS 12 เมื่อต้นปีที่ผ่านมา

ตัวอย่างการวิเคราะห์ช่องโหว่ล่าสุดเมื่อต้นปีที่ผ่านมา แสดงให้เห็นว่ามีฟีเจอร์ในเคอร์เนลที่ยังอิมพลีเมนต์ไม่เสร็จ แต่โค้ดถูกรวมไปกับ iOS แล้ว และเข้าถึงจากตัว sandbox ของแอปพลิเคชั่นได้ การอิมพลีเมนต์ครึ่งๆ กลางๆ กลายเป็นช่องทางให้โค้ดมุ่งร้ายเจาะออกจาก sandbox ได้ในที่สุด

Read more

ไมโครซอฟท์ระบุ การเปิดใช้ multi-factor authentication ช่วยป้องกันการถูกแฮ็กบัญชีได้ถึง 99.9%

By BlackMiracle Writer on Tag: Microsoft, Authentication, Security
Microsoft

เวลาเราเห็นตามข่าวหรือมีเพื่อนมาโวยวายว่า "ถูกแฮ็กบัญชี" บ่อยครั้งมักเกิดจากความผิดพลาดของตัวเจ้าของบัญชีเองที่ไปล็อกอินค้างไว้หรือจดรหัสต่างๆ เก็บไว้แล้วมีผู้อื่นเข้าถึงได้ หรือเกิดเหตุการณ์ใดๆ ที่ทำให้รหัสผ่านหลุด เช่นผู้ให้บริการไม่ได้เก็บรหัสผ่านของผู้ใช้แบบเข้ารหัส หากบริการเหล่านั้นมีช่องโหว่ก็สามารถทำให้ผู้ไม่ประสงค์ดีเข้าถึงรหัสผ่านได้

Read more

นักวิจัยพบแอป CamScanner บนแอนดรอยด์ถูกฝังมัลแวร์ เปิดทางให้ติดตั้งโปรแกรมทางไกล

By nismod Writer on Tag: Security, Mobile App
Security

นักวิจัยจาก Kaspersky ค้นพบว่าแอปสแกนไฟล์เป็น PDF ชื่อดังอย่าง CamScanner เวอร์ชันฟรีถูกฝังมาด้วยโมดูล Trojan Dropper ที่เปิดทางให้แฮกเกอร์แอบดาวน์โหลดและติดตั้งไฟล์ได้จากทางไกลโดยที่เจ้าของเครื่องไม่รู้ Google ทราบเรื่องนี้และนำแอปออกจาก Play Store แล้ว

ปัญหานี้น่าจะไม่ได้เกิดจากตัว CamScanner โดยตรงแต่เกิดจากการที่นักพัฒนาของ CamScanner ไปใช้โมดูลโฆษณาภายนอกเจ้าหนึ่งซึ่งมาพร้อมโมดูล Trojan Dropper ตัวนี้ ซึ่งนักวิจัยจาก Kaspersky ระบุด้วยว่าเคยเจอโมดูลมัลแวร์ตัวนี้อยู่ในแอปที่ถูกติดตั้งมาในสมาร์ทโฟนราคาถูกจากจีน

Read more

Valve ออกมารับผิดหลังไม่รับแจ้งช่องโหว่ LPE บน Steam Client, แก้ไขกฎให้รับแล้ว

By nismod Writer on Tag: Valve, Steam, Security
Valve

สัปดาห์ก่อนประเด็นในแวดวงความปลอดภัยว่า Valve ปฏิเสธไม่รับแจ้งช่องโหว่ LPE ของ Steam Client ที่นักวิจัยแจ้งผ่านทาง HackerOne เพราะ Valve มองว่ากเป็นช่องโหว่ที่อยู่นอกสโคป ต้องวางไฟล์ในเครื่องเหยื่อก่อนจึงไม่เข้าข่ายที่จะรับรายงาน

ล่าสุด Valve แถลงการณ์ออกมายอมรับความผิดพลาดที่ปฏิเสธไม่รับแจ้งช่องโหว่ดังกล่าวแล้ว พร้อมแก้ไขกฎกติกาบน HackerOne ให้ครอบคลุมช่องโหว่ LPE และจะยอมรับการแจ้งช่องโหว่ลักษณะนี้แล้ว ขณะที่นักวิจัยที่เคยแจ้งช่องโหว่เหล่านี้มาก่อนหน้านี้ Valve ระบุว่าจะดำเนินการต่อไป

Read more

npm แจ้งเตือนแพ็กเกจ bb-builder มีโค้ดมุ่งร้าย ใครเคยลงควรถือว่าเครื่องถูกแฮก

By lew Founder on Tag: NPM, Security
NPM

npm แจ้งเตือนว่าแพ็กเกจ bb-builder มีโค้ดมุ่งร้ายที่มุ่งเป้าเหยื่อที่รันวินโดวส์ โดยพยายามอัพโหลดข้อมูลกลับไปยังเซิร์ฟเวอร์ของคนร้าย

ประกาศแจ้งว่าคอมพิวเตอร์ที่ติดตั้งแพ็กเกจนี้แล้วควรถือว่าถูกแฮกไปแล้ว และยกเลิกค่าความลับและกุญแจต่างๆ ที่อยู่บนเครื่องโดยเร็ว แม้แต่การลบแพ็กเกจไปแล้วก็ไม่รับประกันว่าคนร้ายติดตั้งโค้ดมุ่งร้ายอื่นลงบนเครื่องไปแล้วหรือไม่ โดยตอนนี้ bb-builder มีสถานะเป็น security holding ที่ทีมงาน npm ถือไว้เองไม่ให้ใครมาสร้างแพ็กเกจชื่อนี้

Read more

Mozilla, Google และ Apple จะบล็อคการดักฟังผ่าน root CA ของรัฐบาลคาซัคสถาน

By nutmos Writer on Tag: Security, Privacy, Apple, Google, Mozilla, Kazakhstan, Internet
Security

คาซัคสถานได้ออกนโยบายเชื่อมต่ออินเทอร์เน็ตต้องติดตั้ง root CA ของรัฐบาล โดยอ้างความปลอดภัย ซึ่งจะทำให้รัฐบาลดักฟังอินเทอร์เน็ตได้ทั่วประเทศ

แม้ว่าสุดท้าย คาซัคสถานจะประกาศหยุดระบบนี้ (โดยเรียกว่าเป็นการทดสอบ) และอนุญาตให้ประชาชนลบใบรับรองออกได้แล้ว แต่ Google และ Mozilla ได้เตรียมมาตรการขั้นถัดไป คือหยุดการเชื่อถือใบรับรองเหล่านี้แม้ว่าจะติดตั้งอยู่ในเครื่องของผู้ใช้ก็ตาม

Read more

บัญชีผู้ดูแลโครงการ rest-client ใน Rubygems ถูกแฮก คนร้ายใส่โค้ดเข้าคุมเครื่อง

By lew Founder on Tag: Ruby, Security
Ruby

สองวันก่อนมีรายงานถึงโครงการโมดูล rest-client ในที่เป็นไลบรารีภาษา Ruby ถูกเพิ่มโค้ดเข้ามาในเวอร์ชั่น 1.6.13 และเป็นโค้ดมุ่งร้าย ที่จะดาวน์โหลดไฟล์จากอินเทอร์เน็ตเข้ามารันบนเครื่อง จากการสอบสวนพบว่า Matthew Manning ผู้ดูแลโครงการถูกแฮกบัญชีใน Rubygems จนคนร้ายสามารถอัพโหลดโมดูลขึ้นไปได้เอง

ทาง Rubygems สอบสวนเพิ่มเติมและพบว่าที่จริงแล้วมีโมดูลอีกนับสิบที่มีโค้ดแบบเดียวกัน แต่โมดูลส่วนมากเป็นการนำโค้ดโมดูลอื่นมาเพิ่มโค้ดมุ่งร้ายและอัพโหลดไปใหม่ในชื่ออื่น โดยโค้ดเหล่านี้ถูกดาวน์โหลดไปบ้างระดับร้อยครั้งต่อโมดูล รวมแล้วมีโค้ดถูกดาวน์โหลดทั้งหมดหลายพันครั้ง

Read more

Future of Banking Security เสวนาอนาคตของความปลอดภัยภาคธนาคารไทย

By blognonetomorrow on Tag: Blognone Tomorrow, Banking, Security
Blognone Tomorrow

ธนาคารและสถาบันการเงินเป็นเป้าหมายโจมตีของแฮกเกอร์เสมอมา การแฮกสถาบันทางการเงินแต่ละครั้งสามารถสร้างความเสียหายได้มหาศาล ทั้งจากการเจาะระบบตัวธนาคารโดยตรงอย่างการแฮกเพื่อส่งคำสั่งในระบบ SWIFT ของธนาคารบังคลาเทศเมื่อปี 2016 หรือการโจมตีที่ตัวผู้ใช้ ทั้งการทำ skimming เพื่อสำเนาข้อมูลบัตร, การหลอกเอารหัส OTP ผ่านทางมัลแวร์บนโทรศัพท์ของผู้ใช้ ไปจนถึงการโจมตีที่ตัวผู้ปฎิบัติงาน ที่อาจจะพลาดพลั้ง

Read more

ศาลสั่งรัฐจอร์เจียเลิกใช้เครื่องลงคะแนนเสียงอายุมากกว่า 10 ปี เพราะมีช่องโหว่สำคัญและตรวจสอบไม่ได้

By nutmos Writer on Tag: USA, Election, Security
USA

ปัจจุบัน รัฐจอร์เจียใช้เครื่องลงคะแนนเสียงแบบไม่ใช้กระดาษ direct-recording electronic (DRE) ที่ฮาร์ดแวร์และซอฟต์แวร์ถูกใช้งานมานานกว่า 10 ปี ทั้งยังมีช่องโหว่สำคัญต่อระบบจนทำให้รัฐแคลิฟอร์เนียเลิกใช้เครื่อง DRE ในการเลือกตั้งภายในรัฐมาแล้ว แต่จอร์เจียก็ยังคงใช้อยู่มาจนถึงทุกวันนี้ จึงทำให้กลุ่มผู้มีสิทธิ์ลงคะแนนเสียงในรัฐจอร์เจียได้ฟ้องร้องให้รัฐจอร์เจียเลิกใช้ระบบลงคะแนนเสียง DRE ตั้งแต่ปี 2017 เนื่องจากระบบมีช่องโหว่ที่เสี่ยงต่อการแฮก

Read more

ส่วนเสริมเช็ครหัสผ่านรั่วบน Chrome จะกลายมาเป็นฟีเจอร์หลักใน Chrome 78

By nismod Writer on Tag: Chrome, Google, Security
Chrome

Google เปิดตัวส่วนเสริม Password Checkup สำหรับตรวจสอบรหัสผ่านที่หลุดออนไลน์, ตรวจสอบการล็อกอินเว็บที่ credential ไม่ปลอดภัย รวมถึงแนะนำให้เปลี่ยนรหัสผ่านทันที

ล่าสุดฟีเจอร์ที่ตรวจสอบรหัสผ่านว่ามีการรั่วไหลหรือไม่ จะกลายมาเป็นฟีเจอร์ดีฟอลต์บน Chrome คาดว่าน่าจะมาใน Chrome 78 เพื่อแก้ปัญหาที่เกิดกับส่วนเสริม ทั้งในแง่การเป็นฟีเจอร์แบบ opt-in ที่ต้องเป็นคนที่สนใจด้านความปลอดภัยหน่อยถึงจะเลือกใช้งาน (ทั้งที่เป็นฟีเจอร์สำคัญ) และการที่ Chrome บนแอนดรอยด์ไม่รองรับส่วนเสริม

Read more

ลาก่อน ไฟร์ฟอกซ์ประกาศเลิกแสดงชื่อองค์กรในใบรับรอง EV

By lew Founder on Tag: Firefox, Security
Firefox

ไฟร์ฟอกซ์ประกาศเดินตาม Chrome เลิกแสดงแถบชื่อองค์กรที่ใช้ใบรับรองแบบ Extended Validation (EV) ในเวอร์ชั่น 70 ที่มีกำหนดการออกเดือนตุลาคมนี้ อย่างไรก็ตาม แนวทางของไฟร์ฟอกซ์จะเพิ่มตัวเลือกให้สามารถแสดงชื่อองค์กรหน้า URL เหมือนเดิมได้

ตัวเลือก security.identityblock.show_extended_validation ถูกเพิ่มเข้ามาเพื่อให้คนที่ต้องการหน้าจอแบบเดิมสามารถใช้งานได้ต่อไป แต่ตัวเลือกนี้จะถูกปิดไว้เป็นค่าเริ่มต้น

Read more

นักวิจัยสาธิตวิธีเจาะช่องโหว่กล้อง Canon ผ่าน USB และ Wi-Fi ใช้เข้ารหัสไฟล์ภาพเรียกค่าไถ่ได้

By nutmos Writer on Tag: Security, Camera, Canon, Mirrorless, DSLR
Security

Eyal Itkin นักวิจัยด้านความปลอดภัยได้เสนอวิธีการเจาะช่องโหว่ของกล้อง Canon ผ่านทาง Wi-Fi และ USB ซึ่งช่องโหว่เหล่านี้เปิดให้ผู้บุกรุกสามารถใช้งานกล้องและฟีเจอร์ต่าง ๆ ได้

ช่องโหว่เหล่านี้ อยู่ภายใต้ Picture Transfer Protocol หรือ PTP ของ Canon ที่อยู่ในเฟิร์มแวร์ของตัวกล้อง โดยเป็นมาตรฐานของกล้อง DSLR ยุคใหม่ที่ใช้ในการถ่ายโอนไฟล์ภาพระหว่างตัวกล้องกับคอมพิวเตอร์หรืออุปกรณ์พกพาผ่าน USB หรือ Wi-Fi กระทบทั้ง Canon EOS ที่เป็น DSLR และ Mirrorless, PowerShot SX740 HS, PowerShot SX70 HS และ PowerShot G5X Mark II

Read more

Netflix รายงานช่องโหว่ HTTP/2 ทำเว็บล่ม กระทบทั้ง nginx, Apache, IIS

By lew Founder on Tag: Netflix, Security
Netflix

ทีมวิจัยความปลอดภัยไซเบอร์ของ Netflix รายงานถึงช่องโหว่ในโปรโตคอล HTTP/2 จำนวน 8 รายการ พร้อมๆ กับอีกช่องโหว่ที่พบโดยกูเกิล เป็นชุดของช่องโหว่ที่ไคลเอนต์มุ่งร้ายกำหนดพารามิเตอร์ให้กินทรัพยากรเซิร์ฟเวอร์จนหมด และเว็บล่มได้ในที่สุด

ช่องโหว่เหล่านี้ไม่มีช่องโหว่ใดทำให้ข้อมูลรั่วไหล หรือยึดเซิร์ฟเวอร์ได้แต่อย่างใด โดยช่องโหว่มี 8 รายการ ได้แก่

Read more

ไมโครซอฟท์แจ้งเตือน แพตช์เดือนนี้มีช่องโหว่กลุ่ม Bluekeep ควรเร่งอัพเดตก่อนเกิด Worm

By lew Founder on Tag: Microsoft, Security
Microsoft

แพตช์ความปลอดภัยตามรอบปกติ แต่รอบนี้มีความพิเศษที่ไมโครซอฟท์แจ้งเตือนสองช่องโหว่ คือ CVE-2019-1181 และ CVE-2019-1182 ว่าสามารถนำไปสร้างเวิร์มทำให้ติดมัลแวร์กันเป็นวงกว้างได้ เหมือนกับ CVE-2019-0708 หรือ Bluekeep ที่รายงานออกมาเมื่อเดือนพฤษภาคม

ช่องโหว่นี้ค้นพบโดยไมโครซอฟท์เอง ระหว่างที่เพิ่มความปลอดภัยให้ซอฟต์แวร์ และยังไม่มีรายงานถึงการโจมตีจากภายนอกไมโครซอฟท์

Read more

กูเกิลปล่อยฟีเจอร์ FIDO2 บนโทรศัพท์ ล็อกอินด้วยลายนิ้วมือได้ทันที

By lew Founder on Tag: FIDO, Google, Android, Security
FIDO

กูเกิลปล่อยฟีเจอร์ FIDO2 บนโทรศัพท์ ทำให้ผู้ใช้ที่เคยล็อกอินบริการและลงทะเบียนโทรศัพท์เอาไว้ สามารถล็อกอินซ้ำโดยไม่ต้องใส่รหัสผ่านอีกครั้งเมื่อใช้โทรศัพท์เครื่องเดิม (local user verification)

การปรับปรุงครั้งนี้ใช้ฟีเจอร์ของมาตรฐาน FIDO2, WebAuthn, และ FIDO CTAP เมื่อเข้าเว็บหรือแอปที่เคยลงทะเบียนโทรศัพท์ไว้ เว็บจะเรียก WebAuthn API เพื่อข้อข้อมูลเข้ารหัสลับยืนยันว่าเป็นโทรศัพท์เครื่องเดิมที่เคยลงทะเบียนไว้ ตัวโทรศัพท์จะขอให้ผู้ใช้ยืนยันลายนิ้วมือหรือปลดล็อกหน้าจอด้วยวิธีอื่น เช่น PIN หรือรหัสผ่านของโทรศัพท์

Read more

Valve ไม่รับแจ้งช่องโหว่บน Steam Client เพื่อรับรางวัล, แก้บั๊กหลังนักวิจัยเปิดช่องโหว่ออกสาธารณะ

By lew Founder on Tag: Valve, Security
Valve

Vasily Kravets นักวิจัยความปลอดภัยไซเบอร์จาก Amonitoring บริษัทความปลอดภัยไซเบอร์ในรัสเซีย รายงานถึงช่องโหว่การยกระดับสิทธิ์ซอฟต์แวร์ด้วย steam client ที่เป็นโปรแกรมหน้าร้านขายเกม

Read more
Subscribe to Security