Security

โอเปอเรเตอร์สหรัฐเสนอวิธีการยืนยันตัวตนแบบใหม่ ใช้พฤติกรรมการใช้มือถือแทนรหัสผ่าน

By mk

on 14 September 2018 - 22:32 Tag: Authentication, Telecom, Security, AT&T, Verizon, Sprint, T-Mobile

Authentication

เรารู้กันดีว่า "รหัสผ่าน" เป็นวิธีการยืนยันตัวตนที่มีช่องโหว่มาก และวงการไอทีก็มีความพยายามหาสิ่งอื่นมาทดแทนรหัสผ่านหลายอย่าง เช่น ไบโอเมตริก หรือสมาร์ทการ์ด

ล่าสุด โอเปอเรเตอร์สหรัฐ 4 รายใหญ่คือ AT&T, Verizon, Sprint, T-Mobile ร่วมกันเปิดตัว Project Verify วิธีการยืนยันตัวตนผ่านโทรศัพท์มือถือที่เราใช้งานอยู่

กูเกิลเผย การสั่งลบข้อมูลบน Google Cloud ข้อมูลจะอยู่บนระบบนานถึง 6 เดือน

By mk

on 14 September 2018 - 15:48 Tag: Google Cloud, Security, Google, Enterprise, Cloud Computing

Google Cloud

กูเกิลอธิบายกระบวนการลบข้อมูลบน Google Cloud Platform ว่าเมื่อลูกค้าสั่งลบข้อมูลของตัวเอง ข้อมูลนั้นจะอยู่บนเครื่องของกูเกิลไปอีกนานเท่าไร

คำตอบคืออาจนานถึง 6 เดือน

กระบวนการเก็บข้อมูลของ Google Cloud ค่อนข้างซับซ้อน เพราะมีทั้งระบบที่ใช้งานจริง (active) และระบบแบ็คอัพ ที่เก็บข้อมูลไว้นานไม่เท่ากัน

บริษัทดังก็ไม่รอด พบแอพจาก Trend Micro เวอร์ชันแมค แอบดักข้อมูลผู้ใช้แล้วส่งกลับบริษัท

By mk

on 10 September 2018 - 21:23 Tag: Trend Micro, Privacy, Security, Mac App Store

Trend Micro

เพิ่งมีข่าวว่า Apple ถอดแอป Adware Doctor ออกจาก Mac App Store หลังมีผู้พบการดักเก็บข้อมูลผู้ใช้งาน ไปหมาดๆ ล่าสุดมีแอพอีกชุดโดนถอดในลักษณะเดียวกัน แต่เป็นประเด็นน่าสนใจกว่าเพราะผู้พัฒนาคือ Trend Micro บริษัทซอฟต์แวร์ความปลอดภัยที่เราคุ้นชื่อกันดี

แอพชุดนี้ชื่อว่า Dr. Unarchiver และ Dr. Cleaner เป็นผลงานของบริษัท Trend Micro, Inc. ที่เผยแพร่บน Mac App Store โดยมีพฤติกรรมเก็บประวัติการท่องเว็บจากเบราว์เซอร์, รายชื่อแอพภายในเครื่อง แล้วรวมเป็นไฟล์ Zip ส่งกลับไปยังเซิร์ฟเวอร์ของบริษัท

British Airways พบข้อมูลบัตรเครดิตลูกค้าหลุด กระทบลูกค้าที่จองเที่ยวบินผ่านเว็บและแอพ

By nutmos

on 8 September 2018 - 10:37 Tag: British Airways, Airline, Security, Data Breach

British Airways

British Airways ออกประกาศเหตุการณ์ข้อมูลรั่วไหลบนเว็บไซต์และแอพของบริษัทกระทบกับลูกค้ากว่า 380,000 คนที่จองเที่ยวบินตั้งแต่วันที่ 21 สิงหาคมจนถึง 5 กันยายน

สำหรับข้อมูลที่หลุดไปนั้น British Airways ระบุว่าเป็นข้อมูลสำคัญ โดยมีทั้งชื่อ, ที่อยู่, อีเมล และข้อมูลบัตรเครดิต แต่ไม่มีข้อมูลพาสปอร์ตหรือข้อมูลเกี่ยวกับการเดินทางที่จองหลุดออกไปในครั้งนี้

British Airways ได้แจ้งลูกค้าที่ได้รับผลกระทบหลังตรวจพบข้อมูลรั่วไหลภายใน 1 วัน โดยทางสายการบินแนะนำให้ผู้ใช้ที่ได้รับผลกระทบติดต่อผู้ออกบัตรเครดิต โดยทางบริษัทจะจ่ายค่าตรวจสอบเครดิตให้ลูกค้ารวมถึงชดใช้ค่าเสียหายให้ด้วย

กูเกิลปล่อยแพตช์ความปลอดภัย Pixel/Nexus รอบกันยายน 2018

By tekkasit

on 6 September 2018 - 21:53 Tag: Android Pie, Android Oreo, Security, Google Pixel, Google Nexus, Android

Android Pie

อังคารบ้านเราที่ผ่านมา กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนกันยายน 2018 แพตช์รอบนี้เป็นแบบตามปกติมี 2 ชุด ได้แก่ชุด 1 ก.ย. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน ชุด 5 ก.ย. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 ก.ย. มาด้วย)

สิ้นอายุขัย Galaxy Note 5 และ S6 edge+ หมดระยะซัพพอร์ตความปลอดภัย

By mk

on 6 September 2018 - 16:37 Tag: Galaxy Note 5, Galaxy S6, Samsung, Mobile, Security

Galaxy Note 5

ซัมซุงประกาศว่า Galaxy Note 5 และ Galaxy S6 edge+ ที่เปิดตัวในช่วงเดือนสิงหาคม 2015 จะหมดระยะซัพพอร์ตด้านความปลอดภัย และไม่ได้อัพเดตแพตช์รายเดือนอีกแล้ว (แพตช์รอบเดือนสิงหาคม 2018 เป็นครั้งสุดท้าย)

ปกติแล้วซัมซุงมีระยะซัพพอร์ตด้านความปลอดภัยให้อย่างน้อย 2 ปี การที่มือถือทั้งสองรุ่นอยู่มาได้ถึง 3 ปีเต็มถือเป็นกรณีที่น่าสนใจ

ก่อนหน้านี้ Galaxy S6 และ S6 edge (รุ่นไม่ +) ก็หมดระยะซัพพอร์ตในเดือนมีนาคม 2018 ถือว่ามีอายุนาน 3 ปีเช่นกัน

ระบบประตูสำนักงานกูเกิลมีช่องโหว่ ถูกแฮกโดยพนักงานเอง

By lew

on 4 September 2018 - 01:55 Tag: Google, Security

Google

กูเกิลรายงานช่องโหว่ของซอฟต์แวร์และฮาร์ดแวร์แบรนด์ต่างๆ สู่โลกภายนอกเสมอๆ และในงาน DEF CON เมื่อต้นเดือนสิงหาคมที่ผ่านมา David Tomaschik วิศวกรอาวุโสฝ่ายตรวจสอบความปลอดภัยของกูเกิล รายงานถึงระบบจัดการผ่านเข้าออกสำนักงานของออฟฟิศกูเกิลเอง โดยสำนักงานของกูเกิลนั้นใช้ระบบควบคุมประตูที่ชื่อว่า iStar Ultra และ IP-ACM โดยบริษัท Software House

มาตามนัด แฮกเกอร์เริ่มยึดเซิร์ฟเวอร์ที่มีช่องโหว่ Struts 2 ใช้ขุดเงินคริปโต

By lew

on 30 August 2018 - 23:06 Tag: Apache, Struts, Security

Apache

หลังจากช่องโหว่ Struts 2 เผยแพร่ออกมาพร้อมกับโค้ด PoC ทาง Volexity ก็รายงานว่าเริ่มเห็นการสแกนหาช่องโหว่ และยึดเครื่องเพื่อขุดเงินคริปโตกันแล้ว โดยตอนนี้พบต้นทางการสแกนมาจากรัสเซียและฝรั่งเศส

ตัวอย่างการสแกนเป็นการลองยิงโค้ดเข้าไปยัง /struts3-showcase/ เพื่อให้ดาวน์โหลดสคริปต์มาจาก GitHub อีกครั้ง จากนั้นสคริปต์ค่อยดาวน์โหลด miner มารัน

ข้อสังเกตอย่างหนึ่งคือ miner ที่แฮกเกอร์ใช้นั้นมีสามไฟล์ รองรับทั้ง x86, ARM, และ MIPS ทำให้สามารถขุดได้แทบทุกที่ ทั้งพีซี, เซิร์ฟเวอร์, คอมพิวเตอร์ IoT, หรือเราท์เตอร์

Titan Security Key กุญแจ U2F ของ Google เริ่มวางขายบน Google Store แล้ว

By nismod

on 30 August 2018 - 18:17 Tag: Google, U2F, Security

Google

Titan Security Key กุญแจยืนยันตัวตนมาตรฐาน U2F ของ Google ที่เปิดตัวไปเมื่อเดือนกรกฎาคม วันนี้่เริ่มวางขายบน Google Store แล้ว สนนราคาอยู่ที่ 50 ดอลลาร์ต่อชุด ประกอบไปด้วยตัว NFC/Bluetooth LE และ USB/NFC

Google บอกว่าตัว NFC/Bluetooth LE สามารถใช้งานได้ราว 6 เดือนต่อการชาร์จ 1 ครั้ง สามารถใช้กับบัญชี Google ผ่าน Advanced Protection ไปจนถึงบริการอื่นๆ อย่าง Dropbox, GitHub, Twitter, หรือเฟซบุ๊กที่รองรับ FIDO2

Instagram ประกาศรองรับแอปยืนยันตัวตน 3rd Party แล้ว, ขอเครื่องหมายยืนยันตัวตนได้

By arjin

on 29 August 2018 - 06:35 Tag: Instagram, Security

Instagram

Instagram ประกาศการปรับปรุงด้านบัญชีผู้ใช้หลายอย่าง เพื่อให้มีความปลอดภัยในการใช้งานมากขึ้น โดยมีรายการสำคัญดังนี้

อย่างแรกคือ About This Account เป็นหัวข้อใหม่ในหน้าโปรไฟล์ ให้ผู้ติดตามดูข้อมูลเพิ่มเติมได้ เช่น วันที่สร้างบัญชี, ประเทศของบัญชีนี้, ผู้ติดตามร่วมกัน, ประวัติการเปลี่ยนชื่อบัญชี ตลอดจนโฆษณาที่บัญชีนี้ซื้อไว้ (คล้าย Facebook Page) หัวข้อนี้จะเริ่มแสดงในไม่กี่สัปดาห์ข้างหน้า โดยบัญชีที่มีผู้ติดตามจำนวนมาก จะได้รีวิวข้อมูลนี้ก่อนเปิดเผยกับสาธารณะ

ไม่พูดเยอะ บัญชีทวิตเตอร์โพสโค้ดช่องโหว่วินโดวส์แล้วลบบัญชี ซอฟต์แวร์มุ่งร้ายยกสิทธิ์เป็น SYSTEM ได้

By lew

on 28 August 2018 - 11:11 Tag: Windows, Security

Windows

เมื่อวานนี้บัญชีทวิตเตอร์ @SandboxEscaper ทวีตลิงก์ถึงไฟล์ rar ช่องโหว่ที่ไม่เคยมีการรายงานมาก่อน แล้วลบบัญชีทิ้งไป

ทวีตข้อวามระบุว่า "นี่ช่องโหว่ 0-day ของ ALPC https://t.co/m1T3wDSvPX ผมไม่สนแล้วว่าชีวิตจะเป็นยังไง ยังไงก็ไม่อยากส่งบั๊กนี้ให้ไมโครซอฟท์อยู่แล้ว ช่างแม่ง"

ทาง CERT ยืนยันว่าช่องโหว่นี้เป็นของจริง ซอฟต์แวร์สามารถยกระดับสิทธิ์ตัวเองขึ้นไปสู่ระดับ SYSTEM ได้บนวินโดวส์ที่แพตช์ครบถ้วน และยังไม่ทราบว่ามีทางแก้ไขใดหรือไม่

ช่องโหว่นี้จะทำงานได้แฮกเกอร์ต้องสามารถนำโปรแกรมมารันบนเครื่องเหยื่อได้ก่อน ความร้ายแรงตาม CVSS อยู่ที่ 6.8

พบช่องโหว่ในตัวติดตั้ง Fortnite Android โดยทีมงานกูเกิล, บั๊กถูกแก้ไขแล้ว

By mk

on 25 August 2018 - 10:00 Tag: Fortnite, Android, Security, Google, Epic Games

Fortnite

นโยบายของ Fortnite for Android ที่ไม่ให้ดาวน์โหลดผ่าน Play Store สร้างความกังวลในแง่ความปลอดภัย และล่าสุดก็มีคนค้นพบช่องโหว่ของตัวติดตั้ง Fortnite for Android แถมคนค้นพบก็คือ... กูเกิล

วิศวกรของกูเกิลลองดาวน์โหลด Fortnite Installer จากเว็บไซต์ของ Epic Games และพบว่าตัวติดตั้งดาวน์โหลดไฟล์ APK ของตัวเกมจริงมาไว้ที่ external storage ก่อน จากนั้นค่อยติดตั้งตัวเกมลงในระบบอีกทีหนึ่ง

ปัญหาคือแอพที่สามารถเข้าถึง external storage ได้สามารถสับเปลี่ยนหรือแก้ไขไฟล์ APK ได้ก่อนที่ Installer จะติดตั้งตัวเกม เปิดช่องให้เกิดการโจมตีได้

มิติใหม่แห่งการชักจูงคนเพิ่มความปลอดภัย Fornite แจกท่าเต้นใหม่ ถ้าผู้ใช้ล็อกบัญชีสองขั้นตอน

By lew

on 24 August 2018 - 19:45 Tag: Fortnite, Security, Authentication

Fortnite

การล็อกอินหลายขั้นตอนเพิ่มความปลอดภัยได้หลายกรณี เช่น ผู้ใช้ตั้งรหัสผ่านคาดเดาได้ง่าย, รหัสผ่านถูกแฮก, หรือการใช้รหัสผ่านซ้ำกันหลายบริการ แต่การเรียกร้องให้ผู้ใช้ปรับตัวมาใช้การล็อกอินหลายขั้นตอนนับเป็นเรื่องยากหากไม่ใช่องค์กรที่มีนโยบายบังคับโดยตรง แต่เกม Fortnite ก็มีเทคนิคใหม่ ด้วยการสร้างท่าเต้น Boogiedown Emote มาแจกสำหรับคนที่เปิดใช้การล็อกอินหลายขั้นตอนเท่านั้น

ตัวเกม Fortnite รองรับการล็อกอินขั้นที่สองอยู่สองแบบ ใช้แอป OTP เช่น Google Authenticator หรือ Authy และอีกวิธีคือการใช้อีเมล

ตำรวจสหรัฐฯ ยังไล่จับคนขโมยหมายเลขโทรศัพท์ ผู้ต้องหาล่าสุดเป็นชายอายุ 19 ร่วมมือร้านค้าออกซิม 28 เบอร์

By lew

on 23 August 2018 - 02:26 Tag: Security, SIM card

Security

ปัญหาการพึ่งพิงเบอร์โทรศัพท์เพื่อยืนยันตัวตนบัญชียังคงกลายเป็นประเด็นสำคัญกับความปลอดภัยออนไลน์ เพราะแฮกเกอร์จำนวนมากรู้ดีว่าบัญชีสำคัญๆ เช่น Gmail สามารถกู้บัญชีได้ด้วยหมายเลขโทรศัพท์ การขโมยหมายเลขโทรศัพท์จึงกลายเป็นการขโมยทุกอย่างในโลกออนไลน์ได้โดยง่าย ล่าสุดตำรวจสหรัฐฯ จับกุมชายอายุ 19 ปีที่ตกเป็นผู้ต้องหาการขโมยบัญชี

Ghostscript มีช่องโหว่ ไฟล์ PDF, PS, EPS, XPS สามารถสั่งรันโค้ดได้

By lew

on 22 August 2018 - 23:41 Tag: Ghostscript, Security, Project Zero, PostScript

Ghostscript

Tavis Ormandy จาก Project Zero รายงานถึงช่องโหว่ของโปร Ghostscript (คำสั่ง gs) สำหรับประมวลผลไฟล์ PostScript (.ps), PDF, EPS, และ XPS โดยตัว Ghostscript มีฟีเจอร์ sandbox สำหรับจำกัดการทำงาน (ออปชั่น SAFER) แต่กลับมีช่องโหว่กลายรายการทำให้ไฟล์ที่สร้างขึ้นมาเฉพาะสามารถใส่สคริปต์มุ่งร้ายเข้าไปได้

ความเสี่ยงในระดับเซิร์ฟเวอร์ที่อาจจะรับไฟล์ และต้องประมวลผลโดย Ghostscript เช่นการสร้างภาพ thumbnail ทำให้แฮกเกอร์สามารถสั่งรันสคริปต์บนเครื่องได้

ทรัมป์ลงนามกฎหมายใหม่ ให้ NIST วางมาตรฐานความปลอดภัยไซเบอร์ให้ธุรกิจขนาดเล็ก

By lew

on 21 August 2018 - 01:59 Tag: NIST, Security

NIST

ประธานาธิบดีโดนัลด์ ทรัมป์ ลงนามในกฎหมาย NIST Small Business Cybersecurity Act แล้วเมื่อสัปดาห์ที่ผ่านมา หลังจากกฎหมายผ่านโหวตในสภาตั้งแต่ต้นเดือนที่ผ่านมา ทำให้กฎหมายมีสภาพบังคับ ให้ NIST ที่เคยออกมาตรฐานความปลอดภัยให้รัฐบาลกลาง ต้องออกมาตรฐาน, แนวปฎิบัติ, คำแนะนำ, และเครื่องมือต่างๆ เพื่อช่วยให้ธุรกิจขนาดเล็กพัฒนาความปลอดภัยไซเบอร์ง

NIST ออกมาตรฐานความปลอดภัยหลายอย่าง ที่เป็นมาตรฐานสำคัญ เช่น NIST FIPS-140-2 มาตรฐานความปลอดภัยกระบวนการเข้ารหัสลับ หรือแนวปฎิบัติ NIST SP-800-63 ที่กำหนดแนวทางการพิสูจน์ตัวตนสำหรับบริการออนไลน์

นักลงทุนคริปโตฟ้อง AT&T ออกซิมใหม่ให้คนร้าย สูญโทเค็นคริปโต 800 ล้านบาท

By lew

on 18 August 2018 - 01:51 Tag: AT&T, Cryptocurrency, Security, SIM card

AT&T

Michael Terpin นักลงทุนด้านโทเค็นคริปโต และผู้ก่อตั้ง Transform Group บริษัทประชาสัมพันธ์ให้กับกลุ่ม ICO ต่างๆ ได้ยื่นฟ้อง AT&T ผู้ให้บริการโทรศัพท์ในสหรัฐฯ ที่ออกซิมใหม่ให้คนร้าย จนทำให้คนร้ายสามารถเข้าถึงบัญชีเงินคริปโตของเขาและขโมยโทเค็นออกไปได้มูลค่า 23.8 ล้านดอลลาร์ หรือประมาณ 800 ล้านบาท

ผู้ให้บริการคลาวด์รายงานผลกระทบช่องโหว่ L1TF: AWS/Google ไม่กระทบ, Azure เปิดการป้องกันแล้ว, คลาวด์รายเล็กแก้ไม่ทัน

By lew

on 17 August 2018 - 03:09 Tag: Intel, Security, Cloud Computing

Intel

ช่องโหว่ L1TF ในซีพียูอินเทลไม่ส่งผลกระทบต่อผู้ใช้เดสก์ทอปมากนัก เพราะส่วนที่กระทบสามารถแก้ไขได้ด้วยการอัพเดต microcode ในซีพียูและการอัพเดตระบบปฎิบัติการ แต่สำหรับผู้ให้บริการคลาวด์ที่รัน VM จากผู้ใช้คนละรายกันก็อาจจะมีผลกระทบ โดยเฉพาะผู้ให้บริการคลาวด์ที่แชร์ซีพียูระหว่าง VM ของผู้ใช้คนละรายการ ตอนนี้ผู้ให้บริการคลาวด์รายหลักๆ ก็ออกมารายงานผลกระทบ

ช่องโหว่ L1TF กระทบระบบ Hypervisor บนชิปอินเทลใครใช้รุ่นเก่าอาจจะต้องปิด Hyperthread

By lew

on 15 August 2018 - 01:25 Tag: Intel, Security

Intel

อินเทลเผยแพร่ช่องโหว่ L1 Terminal Fault ที่เป็นชุดช่องโหว่ 3 รายการ เปิดทางให้แฮกเกอร์สามารถอ่านข้อมูลที่ไม่สามารถอ่านได้ตามปกติ โดยอาศัยคุณสมบัติ speculative execution หรือการรันคำสั่งแบบคาดเดาล่วงหน้าของซีพียู แบบเดียวกับ Spectre หรือ Meltdown

ออราเคิลออกแพตช์นอกรอบ จากช่องโหว่รันโค้ดบนเซิร์ฟเวอร์ได้

By lew

on 14 August 2018 - 20:05 Tag: Oracle, Security

Oracle

ออราเคิลออกแพตช์สำหรับ Oracle Database Server ช่องโหว่ CVE-2018-3110 ที่เปิดทางให้ผู้ใช้ที่ล็อกอินด้วยสิทธิ์ระดับต่ำสามารถเจาะทะลุการป้องกันและรันสคริปต์บนเซิร์ฟเวอร์ได้ โดยเป็นช่องโหว่ความร้ายแรงระดับวิกฤติ ค่าคะแนน CVSSv3 อยู่ที่ 9.9

ช่องโหว่กระทบเซิร์ฟเวอร์ที่รันบนวินโดวส์และใช้ตัวเซิร์ฟเวอร์เวอร์ชั่น 11.2.0.4 และ 12.2.0.1 โดยเมื่อเดือนกรกฎาคมที่ผ่านมาออราเคิลเคยออกแพตช์ให้ช่องโหว่นี้สำหรับเวอร์ชั่น 12.1.0.2 บนวินโดวส์และรุ่นอื่นๆ บนลินุกซ์มาก่อนแล้ว

Subscribe to Security