Security

มาตามนัด Chrome 68 เริ่มปล่อยแล้ววันนี้ กาหัวเว็บ HTTP เป็น "Not secure" ทั้งหมด

By lew

on 24 July 2018 - 16:30 Tag: Chrome, Security, HTTPS, Browser

Chrome

Chrome 68 มีกำหนดปล่อยตัวจริงเดือนกรกฎาคม และวันนี้ทาง Chrome ก็เริ่มปล่อยตัวจริงออกมาแล้ว ความเปลี่ยนแปลงสำคัญที่สุดคือการแสดงข้อความ "Not secure" สีเทาหน้า URL ทุกเว็บที่ยังไม่เข้ารหัส นับเป็นขั้นตอนรองสุดท้าย ก่อน Chrome จะยกระดับคำเตือนเป็นสีแดง (ยังไม่กำหนดเวลา)

นอกจากการปรับการแสดง URL แล้ว Chrome 68 ยังปรับนโยบายใบรับรองที่ออกมาหลังจากเดือนเมษายน 2018 ทั้งหมด ต้องยืนยันว่ามีการบันทึกลง CT log อย่างน้อยสองแห่ง ส่วนบนแอนดรอยด์จะรองรับ Site Isolation เพิ่มความปลอดภัย (แต่กินแรมเพิ่ม) นอกจากนี้ยังบล็อค CA ที่ติดตั้งโดย Mitel VoIP

สนามบินสหรัฐฯ ทดลองใช้ CT scan ตรวจกระเป๋า อาจช่วยให้ยกเลิกข้อห้ามพกของเหลวได้

By ตะโร่งโต้ง

on 24 July 2018 - 01:13 Tag: Security, Scanner, USA

Security

สนามบิน JFK ใน New York ประเทศสหรัฐอเมริกาเริ่มนำเอาเครื่อง CT scan มาใช้เพื่อการตรวจกระเป๋าที่ผู้โดยสารต้องการถือขึ้นในห้องโดยสาร ทั้งนี้การใช้เครื่อง CT scan จะช่วยให้ตรวจหาวัตถุระเบิดได้ง่ายขึ้น และอาจเอื้อให้มีการปรับเปลี่ยนยกเลิกข้อห้ามการพกภาชนะบรรจุของเหลวขึ้นเครื่องบินได้ในอนาคต

กูเกิลระบุตั้งแต่บังคับใช้กุญแจ U2F ไม่พบพนักงานเป็นเหยื่อ Phishing อีกเลย

By lew

on 23 July 2018 - 19:03 Tag: U2F, Phishing, Security, Google

U2F

โฆษกกูเกิลให้สัมภาษณ์กับ KrebsOnSecurity ระบุว่าตั้งแต่บังคับใช้กุญแจ U2F กับบัญชีพนักงานเมื่อต้นปี 2017 เมื่อล็อกอินเข้าทำงาน พนักงานกว่า 85,000 คนก็ไม่มีรายงานว่าใครตกเป็นเหยื่ออีเมลหลอกแบบฟิชชิ่ง (phishing) อีกเลย

ระบบของกูเกิลจะขอตรวจสอบกุญแจในเหตุการณ์ต่างๆ กันไป ขึ้นกับงานที่กำลังทำและช่วงเวลาที่ใช้งาน

ธนาคารในรัสเซียถูกแฮกต่อเนื่อง ครั้งล่าสุดถูกขโมยเงินเกือบล้านดอลลาร์

By lew

on 22 July 2018 - 00:57 Tag: Hacking, Banking, Security, Russia

Hacking

PIR Bank ธนาคารในรัสเซียกลายเป็นเหยื่อรายล่าสุดของกลุ่ม MoneyTaker กลุ่มแฮกเกอร์ที่มุ่งเป้าไปที่ธนาคารในสหรัฐฯ และรัสเซียมาตั้งแต่ปี 2016 โดยคดีล่าสุดถูกสั่งโอนเงินไปยังธนาคารอื่นๆ 17 ธนาคาร มูลค่าอย่างน้อย 920,000 ดอลลาร์

Group-IB ผู้เข้าไปสอบสวนการแฮกครั้งนี้ระบุว่า ธนาคารรู้ตัวอีกทีเมื่อเห็นว่ามีการโอนเงินก้อนใหญ่ออกจากธนาคารไปแล้ว แม้จะพยายามหยุดการโอนและการถอนเงินแต่เงินส่วนใหญ่ก็ถูกถอนออกไปทางตู้เอทีเอ็ม โดยเหตุการณ์ครั้งนี้เป็นเหตุการณ์ครั้งที่สามในปีนี้ของรัสเซีย โดยครั้งนี้แฮกเกอร์เข้าถึงเครือข่ายของธนาคารผ่านทางเราท์เตอร์สาขา ก่อนจะส่งคำสั่งไปยังระบบโอนเงินระหว่างธนาคาร

คนดูแลไฟร์วอลเตรียมตัว IETF 102 เริ่มทดสอบ ESNI เข้ารหัสหัว TLS ไม่ให้รู้ว่าเข้าเว็บอะไร

By lew

on 19 July 2018 - 19:41 Tag: HTTPS, Security, Privacy

HTTPS

งานประชุม IETF 102 ปีนี้ กลุ่มวิศวกรจากแอปเปิล, มอซิลล่า, Fastly, Cloudflare ร่วมกันลองอิมพลีเมนต์ TLS ESNI ที่ยังเป็นร่างมาตรฐาน IETF อยู่ในตอนนี้ มาตรฐานนี้จะทำให้ผู้ให้บริการอินเทอร์เน็ตไม่รู้โดเมนที่ผู้ใช้กำลังเชื่อมต่ออยู่อีกต่อไป

กระทรวงความมั่นคงสหรัฐฯ เตือน Confidential Email ของ Gmail อาจถูกใช้เป็นช่องทางในการ phishing ได้

By nutmos

on 19 July 2018 - 09:16 Tag: Gmail, Google, DHS, Security, Phishing

Gmail

Google เปิดตัว Gmail แบบใหม่มาพร้อมกับระบบใหม่ที่ชื่อว่า Confidential Email ใช้สำหรับส่งอีเมลความลับ ซึ่งผู้รับจะได้รับลิงก์สำหรับอ่านอีเมล และอีเมลจะทำลายตัวเองเมื่อถึงเวลาที่กำหนดไว้

ล่าสุด ABC News รายงานว่ากระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ หรือ DHS ประกาศเตือนว่าฟีเจอร์ใหม่ของ Gmail นี้อาจใช้เป็นช่องทางในการ phishing ได้ ซึ่ง DHS ออกคำเตือนตั้งแต่ 24 พฤษภาคมที่ผ่านมาพร้อมส่งคำแจ้งเตือนไปยังผู้ดูแลความปลอดภัยระบบของภาครัฐและองค์กรขนาดใหญ่

Instagram เตรียมเพิ่มวิธียืนยันตัวตน 2 ปัจจัย ที่ไม่ต้องใช้ SMS

By arjin

on 18 July 2018 - 06:49 Tag: Instagram, Security

Instagram

ปัจจุบัน Instagram มีวิธียืนยันตัวตน 2 ปัจจัย (two-factor authentication) เมื่อล็อกอิน โดยเป็นการส่ง SMS รหัสที่สองเป็นวิธีการหลักเพียงวิธีเดียว (อีกวิธีคือสร้างชุดรหัส กรณีไม่สามารถใช้ SMS ได้) ซึ่งแนวทางของหลายเว็บตอนนี้หันมาใช้วิธีการอื่นแทน SMS มากขึ้น

ล่าสุด Instagram ได้ยืนยันว่า กำลังพัฒนาระบบล็อกอิน ในขั้นตอนการยืนยัน 2 ปัจจัยมาใช้วิธีการอื่นแทน SMS เช่นใช้ Google Authenticator หรือ Duo แทน

นักพัฒนาจาสาคริปต์ตรวจสอบด่วน โมดูลย่อย ESLint ถูกขโมยบัญชี ฝังโค้ดขโมยข้อมูล

By lew

on 17 July 2018 - 19:33 Tag: JavaScript, Security

JavaScript

นักพัฒนาโมดูลย่อยของโครงการ ESLint ถูกขโมยบัญชีใน npm แล้วฝังโค้ดเข้าไป กระทบ eslint-scope และ eslint-config-eslint ทำให้นักพัฒนารายอื่นๆ ที่ดาวน์โหลดโมดูลนี้ระหว่างวันที่ 11-12 ที่ผ่านมาได้รับโค้ดที่เป็นมัลแวร์ไป

ตัวโค้ดจะดาวน์โหลดโคดจาก pastebin มาอีกทีหนึ่งแล้วรันโค้ดตามนั้นทันที

ตอนนี้คาดว่ามีนักพัฒนาดาวน์โหลดโค้ดในช่วงเวลาดังกล่าวไปประมาณ 4,500 ราย ใครที่ใช้ ESLint ควรตรวจสอบว่าใช้โมดูลย่อยทั้งสองอยู่หรือไม่ และดาวน์เกรดโมดูลลงระหว่างรอทางโครงการปล่อยโมดูลเวอร์ชั่นใหม่ที่ลบโค้ดอันตรายออกแล้ว

Wireshark ครบรอบ 20 ปีแล้ว

By lew

on 17 July 2018 - 00:55 Tag: Wireshark, Security

Wireshark

Wireshark หรือชื่อเดิมคือ Ethereal โปรแกรมดักฟังเน็ตเวิร์คและดีบั๊กปัญหาเครือข่ายออกรุ่นแรกคือ Ethereal 0.2.0 เมื่อ 20 ปีก่อน โดย Gerald Combs เนื่องจากเขาทำงานในบริษัทผู้ให้บริการอินเทอร์เน็ต แต่ซอฟต์แวร์วิเคราะห์เครือข่ายกลับมีราคาแพง ทำให้ต้องเขียนขึ้นใหม่ด้วยตัวเอง

Combs เล่าถึงความหลังว่าการทำงานโอเพนซอร์สสมัยนั้นต้องออกเงินกันเอง เพราะไม่มีบริการโฮสต์ซอฟต์แวร์โอเพนซอร์สเช่นทุกวันนี้ หลัง Ethereal ออกรุ่น 0.2.0 ต่อสาธารณะ ในปีเดียวก็ออกรุ่นต่อๆ มาอีก 30 รุ่น โดยเขาทำหน้าที่ควบคุมเวอร์ชั่นด้วยมือ และมีนักพัฒนาจากทั่วโลกช่วยกันส่งแพตช์เข้ามา

Github เพิ่มภาษา Python ในบริการสแกนช่องโหว่อัตโนมัติ

By nismod

on 16 July 2018 - 16:32 Tag: GitHub, Security, Python

GitHub

หลังจากต้นปีที่ผ่านมา Github เปิดบริการสแกนช่องโหว่อัตโนมัติจากโครงการที่มีภาษา Ruby และ Javascript ล่าสุด Github ประกาศเพิ่มภาษา Python เข้าไปเป็นภาษาที่ 3 แล้ว

เช่นเดิม โครงการที่มีภาษา Python และเปิดเป็นสาธารณะจะสามารถเข้าถึง dependency graph พร้อมบริการแจ้งเตือนโดยอัตโนมัติ ส่วนโครงการแบบเสียเงินจะต้องเปิดสิทธิ์ให้ Github เข้าถึง โดยโครงการที่จะใช้ฟีเจอร์นี้ได้จะต้องมีไฟล์ requirements.txt และ Pipfile.lock อยู่ในโครงการด้วย

นักวิจัยพบช่องโหว่ Spectre 1.1 และ 1.2 ยังไม่มีแพตช์แก้

By nismod

on 16 July 2018 - 12:45 Tag: Meltdown, Security, CPU

Meltdown

นักวิจัยด้านความปลอดภัย 2 คนประกาศการค้นพบช่องโหว่ในกลุ่ม Spectre ใหม่ที่ตั้งชื่อว่า Spectre 1.1 และ 1.2

Spectre 1.1 อาศัยกระบวนการรันคำสั่งแบบคาดเดาล่วงหน้า (speculative execution) เพื่อรันโค้ดที่จะเข้าไปอ่านค่าในหน่วยความจำส่วนที่ไม่มีสิทธิอีกทีหนึ่ง ซึ่ง Spectre 1.1 มีความคล้ายคลึงกับ Spectre ประเภท 1 และ 4 ที่ถูกเปิดเผยก่อนหน้านี้ ทว่าเทคนิคการวิเคราะห์โค้ดและการป้องกันด้วยคอมไพล์เลอร์แบบเดิมๆ ที่เคยป้องกัน Spectre แบบอื่นไม่สามารถใช้กับ Spectre 1.1 ได้

Site Isolation บน Chrome 67 เปิดใช้งานดีฟอลต์แล้ว กินแรมเพิ่ม 10-13%

By nismod

on 13 July 2018 - 10:38 Tag: Chrome, Security, Browser

Chrome

Google ประกาศว่าฟีเจอร์ Site Isolation ที่จะแยกโพรเซสตามโดนเมนเว็บ เพื่อป้องกันการโจมตีแบบ Speculative Execution อย่าง Spectre ได้เปิดใช้งานเป็นค่าดีฟอลต์แล้วบน Chrome 67

ฟีเจอร์นี้อาจจะช่วยเพิ่มความปลอดภัย แต่ด้วยการที่ Chrome ต้องแยกโพรเซสมากยิ่งขึ้นทำให้จะกินแรมเพิ่มขึ้นราว 10-13% ในทุกๆ ระบบปฏิบัติการทั้ง Windows, Mac และ ChromeOS ซึ่งทาง Google ระบุว่ากำลังปรับปรุงและลดผลกระทบ (กับการใช้แรม) ที่เกิดจากฟีเจอร์นี้ให้ได้มากที่สุด

อดีตพนักงานแอปเปิลที่พัฒนารถขับอัตโนมัติถูกจับหลังขโมยข้อมูลลับและไปทำงานให้สตาร์ทอัพผลิตรถยนต์ไฟฟ้าจีน

By BlackMiracle

on 12 July 2018 - 13:29 Tag: Apple, Intellectual Property, Security, China, Self-Driving Car

Apple

ข่าวลือเรื่องที่แอปเปิลกำลังซุ่มพัฒนารถยนต์ขับอัตโนมัติมีมานาน ล่าสุดมีอดีตพนักงานแอปเปิลถูกจับหลังขโมยข้อมูลลับเกี่ยวกับโครงการนี้ออกมาและระบุว่าจะไปเข้าทำงานในสตาร์ทอัพทำรถยนต์ไฟฟ้าของจีน

Xiaolang Zhang เป็นอดีตพนักงานแอปเปิลที่อยู่ในทีมพัฒนารถยนต์ขับอัตโนมัติ (self-driving car) โดยเขารับหน้าที่ออกแบบและทดสอบแผงวงจรของรถขับอัตโนมัติ ต่อมาช่วงปลายเดือนเมษายน เขาได้ขอลางานเพื่อไปดูแลลูก และแจ้งกับหัวหน้าว่าจะขอลาออกเพื่อจะไปดูแลแม่ที่ป่วยที่ประเทศจีน พร้อมบอกว่าจะไปเข้าทำงานในบริษัทสตาร์ทอัพทำรถยนต์ไฟฟ้าชื่อ Xiaopeng Motors

Timehop รับต้องประกาศเรื่องข้อมูลรั่วไหลทั้งที่ยังตรวจสอบไม่หมด เพราะ GDPR

By nismod

on 12 July 2018 - 12:13 Tag: Timehop, Security, GDPR

Timehop

ไม่กี่วันก่อน Timehop แอปย้อนดูโพสต์โซเชียลในอดีตออกมาเปิดเผยเรื่องมีข้อมูลผู้ใช้รั่วไหล พร้อมระบุว่ายังคงอยู่ระหว่างการตรวจสอบปัญหาและจะอัพเดตให้เรื่อยๆ

ล่าสุด Timehop ให้สัมภาษณ์กับ Techcrunch ระบุว่า ต้องเปิดเผยเรื่องการถูกเจาะออกไปก่อน ทั้งที่ยังตรวจสอบข้อมูลและความเสียหายไม่เรียบร้อย เพราะกฎหมาย GDPR ของสหภาพยุโรปที่เพื่งบังคับใช้ ซึ่งที่ปรึกษาด้านความปลอดภัยยอมรับว่าประทับใจในท่าทีของ Timehop ที่ปฏิบัติตามกฎและแจ้งสาธารณะทันทีที่รู้เรื่อง รวมถึงประเด็นการรับมือกับสถานการณ์ที่รวดเร็ว ซึ่งดีกว่าหลายๆ บริษัทด้วย

พายุกำลังมา Intel จ่ายเงินรางวัลช่องโหว่ระดับสูงสุด 100,000 ดอลลาร์ พร้อมรายงานช่องโหว่ Spectre แบบใหม่

By lew

on 11 July 2018 - 18:46 Tag: Intel, Security

Intel

เมื่อวานนี้อินเทลจ่ายเงินรางวัลรายงานช่องโหว่ผ่านแพลตฟอร์ม HackerOne เป็นเงิน 100,000 ดอลลาร์ นับเป็นเงินรางวัลที่สูงที่สุดตั้งแต่เปิดโครงการมา โดยตอนนี้ยังไม่มีข้อมูลว่าเป็นช่องโหว่อะไร ในวันเดียวกันยังมีอีกช่องโหว่ได้เงินรางวัลไป 20,000 ดอลลาร์

MFEC เปิดตัว mDefense โซลูชัน Machine Learning ป้องกันและคาดการณ์ปัญหาหลังบ้านให้องค์กร

By nismod

on 11 July 2018 - 14:52 Tag: MFEC, Machine Learning, Security

MFEC

MFEC เปิดตัว mDefense โซลูชันวิเคราะห์และแจ้งเตือนล่วงหน้าด้วย Machine Learning เพื่อป้องกันปัญหาที่อาจจะเกิดกับระบบหลังบ้านของแอปพลิเคชันขององค์กร โดยโซลูชันนี้พัฒนาต่อยอดมาจากแพลตฟอร์ม Cisco Tetration

mDefense จะนำข้อมูลจาก Tetration Telemetry ร่วมกับ Application Performance Monitoring (APM) เพื่อสร้างโมเดลสำหรับ Machine Learning สำหรับคาดการณ์และแจ้งเตือนการเกิด downtime ของเซิร์ฟเวอร์และแอปขององค์กร รวมถึงแจ้งด้วยว่าจะส่งผลต่อผู้ใช้เท่าไหร่ จะสูญเสียเงินเท่าไหร่จากเหตุการณ์นี้ พร้อมบอกแนวทางแก้ไขก่อนเกิดเหตุ

Timehop รายงานปัญหาข้อมูลรั่วไหล กระทบผู้ใช้ 21 ล้านคน ไม่พบข้อมูลโพสต์บนโซเชียลหลุดออกไปด้วย

By arjin

on 9 July 2018 - 10:47 Tag: Timehop, Security, Social Media

Timehop

Timehop แอปย้อนเวลาเพื่อดูโพสต์ในอดีตของโซเชียลมีเดียต่าง ๆ เปิดเผยว่าเครือข่ายของระบบได้ถูกบุกรุก ทำให้ข้อมูลผู้ใช้งานบางส่วนหลุดรั่วออกไป กระทบกับผู้ใช้ทั้งหมด 21 ล้านคน ซึ่งจนถึงตอนนี้ Timehop ก็ยังตรวจสอบหาสาเหตุของปัญหาอยู่ แต่เพื่อให้ผู้ใช้งานและพาร์ทเนอร์ได้รับทราบสถานการณ์ล่าสุด Timehop ชี้แจงปัญหาล่าสุดว่าเป็นดังนี้

ซัมซุงไม่พบบั๊กส่งภาพโดยไม่ได้รับอนุญาต จะตรวจสอบต่อไป

By lew

on 5 July 2018 - 19:39 Tag: Samsung, Security, Privacy

Samsung

หลังจากมีรายงานว่า Samsung Note 8 และ S9+ ส่งภาพในเครื่องให้คนอื่นโดยสุ่มจากรายชื่อ contact วันนี้ทางซัมซุงก็ส่งแถลงถึง ThreatPost ว่าไม่พบปัญหา แม้พยายามตรวจสอบแล้ว

นอกจากไม่พบปัญหาในฮาร์ดแวร์และซอฟต์แวร์แล้ว ซัมซุงยังระบุว่าไม่พบรายงานปัญหาในภูมิภาคอื่นๆ แต่บริษัทจะตรวจสอบต่อไป

หากใครกังวลสามารถถอนสิทธิ์เข้าถึงสตอเรจออกจากแอป Samsung Message เพื่อป้องกันได้ ส่วนคำแนะนำอย่างเป็นทางการของซัมซุงคือให้ผู้ใช้ติดต่อศูนย์บริการลูกค้า

กูเกิลปล่อยแพตช์ความปลอดภัย Pixel/Nexus รอบกรกฎาคม 2018

By tekkasit

on 5 July 2018 - 16:36 Tag: Android Oreo, Security, Google Pixel, Google Nexus, Android

Android Oreo

อังคารบ้านเราที่ผ่านมา กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนกรกฎาคม 2018 แพตช์รอบนี้เป็นแบบตามปกติมี 2 ชุด ได้แก่ชุด 1 ก.ค. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน ชุด 5 ก.ค. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 ก.ค. มาด้วย)

สำหรับแพตช์ 1 ก.ค. แก้ช่องโหว่ด้านความปลอดภัย 11 จุด (CVE) เป็นระดับร้ายแรง (critical) 3 จุด ซึ่งเป็นเรื่องของ Mediaserver เจ้าเก่า 1 จุด ส่วนแพตช์ 5 ก.ค. แก้เพิ่มอีก 33 จุด ส่วนใหญ่แก้ปัญหาช่องโหว่บนไดรเวอร์ของผู้ผลิตฮาร์ดแวร์อย่าง Qualcomm โดยในจำนวนนี้มีระดับร้ายแรงถึง 8 จุด

กูเกิลแนะนำให้นักพัฒนาใช้ Feature Policy ปิดฟีเจอร์เว็บเพิ่มความปลอดภัยให้ผู้ใช้

By lew

on 4 July 2018 - 03:12 Tag: Browser, Security, Google

Browser

กูเกิลปล่อยบทความแนะนำ Feature Policy มาตรฐานเว็บที่อยู่ระหว่างการพัฒนา สำหรับการใช้ลดความสามารถของเบราว์เซอร์บางประการเพื่อเพิ่มความปลอดภัยให้กับผู้ใช้ เช่น ปิดกล้องและไมโครโฟน ทำให้แม้หากถูกฝังสคริปต์บนเว็บ สคริปต์ที่ฝังมาก็ไม่สามารถใช้ฟีเจอร์เหล่านี้ได้

นอกจากการเพิ่มความปลอดภัย มาตรฐาน Feature Policy ยังกำจัดความน่ารำคาญได้หลายอย่าง เช่น ห้ามเว็บเล่นวิดีโออัตโนมัติ, หรือการห้ามดาวน์โหลดภาพขนาดใหญ่มาย่อบนเบราว์เซอร์เกินสัดส่วนที่กำหนด

Subscribe to Security