Security

ป้องกันการปลอมแปลง บริการ e-KYC ของ SCB ใช้ระบบตรวจสอบกุญแจดิจิตอลจาก ICAO

By lew

on 3 July 2018 - 17:08 Tag: SCB, Security, PKI

SCB

วันนี้ทางธนาคารไทยพาณิชย์เปิดตัวบริการ e-KYC ที่เปิดให้ประชาชนสามารถเปิดบัญชีได้จากที่บ้านโดยไม่ต้องไปธนาคาร ข้อจำกัดอย่างหนึ่งคือต้องมีหนังสือเดินทางและต้องใช้งานกับโทรศัพท์ที่รองรับ NFC เท่านั้น ผมจึงสอบถามไปยังทีมงานได้รับคำยืนยันว่าในส่วนของการอ่านข้อมูลหนังสือเดินทางนั้นมีการตรวจสอบความถูกต้องด้วยระบบ public key ของ ICAO ที่เรียกว่า ePassport

Adidas แจ้งลูกค้าออนไลน์ในสหรัฐว่าข้อมูลอาจมีการรั่วไหล, ยืนยันไม่มีข้อมูลบัตรเครดิต

By nismod

on 29 June 2018 - 17:06 Tag: Adidas, Security

Adidas

Adidas ได้แจ้งเตือนลูกค้าในสหรัฐ ว่าบริษัทได้รับแจ้งเมื่อวันที่ 26 มิถุนายนที่ผ่านมาว่า มีผู้ไม่หวังดีสามารถเข้าถึงและได้รับข้อมูลส่วนหนึ่ง ซึ่งเกี่ยวข้องกับลูกค้าในช่องทางออนไลน์ของ Adidas

Adidas ยืนยันว่า ไม่มีเหตุผลเพียงพอที่ทำให้เชื่อว่าข้อมูลบัตรเครดิตของลูกค้าหลุดออกไปด้วย มีเพียงข้อมูลการติดต่อ, ยูสเซอร์เนมและรหัสผ่านที่ถูกเข้ารหัสเอาไว้เท่านั้น และระบุว่าบริษัทกำลังทำงานร่วมกับบริษัทด้านความปลอดภัยข้อมูลและเจ้าหน้าที่รัฐในประเด็นนี้อยู่

ที่มา - The Strait Times

รัฐบาลแคนาดาประกาศทุกเว็บรัฐต้องเป็น HTTPS, เปิด HSTS, รองรับ TLS 1.2 ภายใน 30 กันยายน 2019

By lew

on 29 June 2018 - 14:00 Tag: Canada, HTTPS, Security

Canada

รัฐบาลแคนาดาออกประกาศ Information Technology Policy Implementation Notice (ITPIN) บังคับให้เว็บหน่วยงานรัฐบาลทั้งหมดต้องให้บริการผ่านทางช่องทางเข้ารหัสที่ปลอดภัยเท่านั้น

แนวทางระบุข้อบังคับเอาไว้ 5 รายการ

Mozilla เปิดตัว FireFox Monitor เว็บไซต์ตรวจสอบแอคเคาท์ส่วนตัวว่าถูกแฮ็กหรือรั่วหรือไม่

By nismod

on 29 June 2018 - 13:16 Tag: Firefox, Mozilla, Security

Firefox

Mozilla ได้เปิดตัว FireFox Monitor เว็บไซต์สำหรับตรวจสอบการรั่วไหลของแอคเคาท์ส่วนตัว ด้วยการกรอกอีเมลที่ใช้งานกับแอคเคาท์ที่ต้องการตรวจสอบ โดยทางเว็บจะอ้างอิงกับฐานข้อมูลแอคเคาท์ที่มีการรั่วไหล (Data Breach) และระบุรายละเอียดว่าแอคเคาท์ที่กรอกนั้น รั่วไหลจากไหนและมีข้อมูลใดหลุดไปบ้าง พร้อมคำแนะนำในการป้องกันและรับมือ

บริการนี้ทาง Mozilla ร่วมมือกับ Have I Been Pawned ที่รวบรวมฐานข้อมูลบัญชีออนไลน์ต่างๆ ที่เคยรั่วไหล โดย Mozilla ยืนยันความปลอดภัยในกระบวนการตรวจสอบด้วยการแฮชข้อมูลจากเครื่องมือ k-Anonymity ของ CloudFlare

Gentoo Linux โดนแฮ็กบัญชี GitHub, แฮ็กเกอร์แอบเปลี่ยนไฟล์ในซอร์สโค้ด

By mk

on 29 June 2018 - 12:48 Tag: Gentoo, Linux, GitHub, Hacking, Security

Gentoo

โครงการลินุกซ์ดิสโทร Gentoo ประกาศว่าถูกแฮ็กบัญชี GitHub และแฮ็กเกอร์ได้เปลี่ยนแปลงข้อมูลใน GitHub ของ Gentoo ด้วย ผู้ที่สั่งดึงข้อมูลออกจาก GitHub ตั้งแต่เมื่อวานนี้จึงมีความเสี่ยงที่จะได้ไฟล์ประสงค์ร้ายติดไปด้วย

Gentoo ประกาศว่าโค้ดทั้งหมดของตัวเองบน GitHub ถือว่าไม่ปลอดภัยและไม่ควรเข้าไปยุ่งด้วย แต่โค้ดต้นฉบับของ Gentoo เก็บไว้บนเซิร์ฟเวอร์ของตัวเอง (GitHub เป็นแค่ mirror) และไม่ได้รับผลกระทบจากการแฮ็กครั้งนี้ ผู้ที่ต้องการใช้งานก็ยังสามารถดึงจาก gentoo.org ได้ตามปกติ

ไม่ใช่ Android One แต่ก็ใกล้เคียง OnePlus ประกาศปล่อยแพตช์ทุกสองเดือน นาน 3 ปี

By lew

on 29 June 2018 - 11:40 Tag: OnePlus, Android, Security

OnePlus

แนวทางที่กูเกิลกดดันให้ผู้ผลิตปล่อยแพตช์ผ่านโครงการต่างๆ เริ่มได้ผลนับแต่โนเกียประกาศให้โทรศัพท์ทั้งหมดเป็น Android One รวมถึงผู้ผลิตอื่นๆ ก็เริ่มเข้าโครงการมากขึ้น ตอนนี้ OnePlus ก็ประกาศตารางการอัพเดตของตัวเอง โดยระบุว่าจะซัพพอร์ตโทรศัพท์เป็นเวลา 3 ปี

แนวทางของ OnePlus ไม่เท่ากับ Android One และโครงการ AOSP ที่ปล่อยแพตช์ความปลอดภัยกันทุกเดือน โดย OnePlus สัญญาว่าจะได้อัพเกรดเวอร์ชั่นแอนดรอยด์นับจากช่วงเวลาเริ่มวางจำหน่ายไปสองปี และจะปล่อยแพตช์ความปลอดภัยทุกๆ สองเดือนนาน 3 ปีนับแต่เริ่มจำหน่าย

EFF เปิดตัวโครงการ STARTTLS Everywhere สนับสนุนเซิร์ฟเวอร์อีเมลให้เข้ารหัส

By lew

on 28 June 2018 - 10:37 Tag: EFF, Email, Security

EFF

EFF มูลนิธิสนับสนุนความเป็นส่วนตัวโลกออนไลน์ ประกาศโครงการ STARTTLS Everywhere สนับสนุนให้เซิร์ฟเวอร์อีเมลเข้ารหัส โดยตัวเว็บเปิดให้ผู้ใช้ตรวจสอบได้โดยง่ายว่าเซิร์ฟเวอร์อีเมลที่กำลังใช้งาน ไม่ว่าจะส่งหรือรับอีเมลนั้นรองรับการเข้ารหัสขณะเชื่อมต่อระหว่างเซิร์ฟเวอร์หรือไม่

แอคหลุมลำบาก ทวิตเตอร์บังคับยืนยันอีเมลหรือเบอร์โทรศัพท์ เพิ่มความปลอดภัยให้บัญชีเดิมไปพร้อมกัน

By lew

on 27 June 2018 - 13:00 Tag: Twitter, Security

Twitter

ทวิตเตอร์ประกาศมาตรการจัดการบัญชีปลอมที่สร้างขึ้นมาเพื่อการสแปมหรือมุ่งร้ายต่อผู้ใช้ โดยเพิ่มมาตรการสำคัญคือการยืนยันอีเมลหรือหมายเลขโทรศัพท์ก่อนเริ่มใช้งานเสมอ

อย่างไรก็ดี ทวิตเตอร์ระบุว่ายังให้ความสำคัญกับความเป็นส่วนตัวในกรณีที่ผู้ใช้ เข้าใช้งานจากพื้นที่เสี่ยง และจำเป็นต้องปิดบังตัวตน โดยมาตรการที่ชัดเจนจะเปิดเผยภายในปีนี้

ผลสำรวจเผย ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ใช้เฟซบุ๊กน้อยลง หรือไม่ใช้เลย

By nismod

on 27 June 2018 - 12:02 Tag: Facebook, Cybersecurity, Security, Privacy

Facebook

BlackHat ได้จัดทำผลสำรวจผู้ที่เข้าร่วมงาน 2018 BlackHat USA Conference ซึ่งส่วนใหญ่เป็นผู้เชี่ยวชาญด้านความปลอดภัย ปรากฎว่าเกือบ 65% ของผู้ตอบแบบสำรวจระบุว่า ลดการใช้งานเฟซบุ๊กหรือไม่ใช้งานไปเลย

เมื่อแยกย่อยออกมา 44% ระบุว่าจะยังเก็บแอคเคาท์เฟซบุ๊กต่อไป แต่ลดการใช้งานให้น้อยที่สุด, 14% บอกว่าไม่เคยใช้เลยเพราะกังวลเรื่องความเป็นส่วนตัว, ขณะที่ 7% บอกว่าจะลบแอคเคาท์เฟซบุ๊กทิ้ง โดยมีเพียง 25% ที่ระบุว่าจะใช้งานตามปกติต่อไป โดยมีการตั้งค่าความเป็นส่วนตัวที่เห็นว่าเหมาะสม

Wi-Fi Alliance ออกมาตรฐาน WPA3 ตัวจริงแล้ว รองรับอุปกรณ์ WPA2

By nismod

on 26 June 2018 - 23:13 Tag: Wi-Fi, Security

Wi-Fi

หลังปล่อยร่างมาตรฐาน WPA3 ไปเมื่อต้นปีที่ผ่านมา วันนี้ทาง Wi-Fi Alliance ได้ปล่อยมาตรฐาน WPA3 ตัวจริงออกมาแล้วโดยฟีเจอร์ไม่ได้หนีจากฉบับร่างนัก พร้อมเริ่มรับรองมาตรฐานใหม่นี้บนอุปกรณ์ทันที

Wi-Fi Alliance ระบุว่าจะยังไม่บังคับใช้งานมาตรฐานความปลอดภัยใหม่นี้กับอุปกรณ์ที่มีสัญลักษณ์ Wi-Fi CERTIFIED รวมถึงยืนยันว่าอุปกรณ์ที่มี WPA3 จะรองรับการเชื่อมต่อกับอุปกรณ์ที่ใช้มาตรฐาน WPA2 ด้วย

แอปเปิลก็พลาดได้ โดเมนย่อยของเว็บแอปเปิลเผลอเปิด S3 เป็นสาธารณะ บริษัทขอบคุณผู้รายงาน

By lew

on 25 June 2018 - 19:49 Tag: Apple, Security, AWS, Amazon S3

Apple

Jonathan Bouman นักวิจัยความปลอดภัยไซเบอร์รายงานถึงการทดลองสแกนหา S3 bucket ที่คอนฟิกผิดพลาดโดยเจาะจงโดเมนของแอปเปิลโดยเฉพาะ และพบว่าโดเมน live-promotions.apple.com นั้นเป็น AWS S3 ที่เปิดสิทธิให้ใครเขียนไฟล์ก็ได้ นับเป็นความผิดพลาดร้ายแรง

กระบวนการหาช่องโหว่นี้ Bouman โดยสแกนหาโดนเมนย่อยของ apple.com จากนั้นตรวจสอบ หาโดเมนย่อยของแอปเปิลทั้งหมด แล้วกรองเฉพาะเว็บที่มี header X-Amz-Bucket-Region ซึ่งแสดงว่าจริงๆ ภายในเป็น S3 จากนั้นตรวจดูว่าการเข้าเว็บจะเกิดอะไรขึ้น

ธนาคารกลางอินเดียขีดเส้นตาย ตู้เอทีเอ็มต้องเลิกใช้ Windows XP ภายในหนึ่งปี

By lew

on 25 June 2018 - 13:41 Tag: India, Banking, Security

India

Reserve Bank of India (RBI) หรือธนาคารกลางอินเดียออกประกาศมาตรการปรับปรุงความมั่นคงปลอดภัยของตู้เอทีเอ็ม หลังตู้จำนวนมากยังคงใช้ Windows XP โดยขีดเส้นตายให้ตู้ทั้งหมดต้องอัพเกรดภายในเดือนมิถุนายน 2019

กำหนดการแบ่งออกเป็น 4 ช่วงตามลำดับ เริ่มจากต้องอัพเกรด 25% ภายในเดือนกันยายนปีนี้ และเพิ่มทีละ 25% ทุกสามเดือนจนต้องครบทั้งหมดในปีหน้า

นอกจากบังคับอัพเกรด Windows XP แล้ว ประกาศนี้ยังระบุให้ธนาคารเพิ่มมาตรการอื่น เช่น ป้องกันการ skimming, ปิดพอร์ต USB, และอัพเดตซอฟต์แวร์อื่นๆ

Apple ตอบโต้ช่องโหว่ใส่รหัสผ่านต่อเนื่องบน iPhone บอกทำไม่ได้จริง

By arjin

on 24 June 2018 - 13:37 Tag: iOS, Apple, Security

iOS

จากเหตุการณ์ที่นักวิจัยค้นพบช่องโหว่ของ iOS ที่สามารถพิมพ์รหัสผ่านจากคีย์บอร์ดภายนอกที่ต่อผ่านพอร์ต Lightning แล้วยิงรหัสผ่านไปเรื่อย ๆ เป็นชุดยาวแบบ Brute Force แต่ตัว iOS กลับไม่ดีเลย์ หรือล้างเครื่องอย่างที่ควรจะเป็น ล่าสุดมีความเห็นจากฝั่งแอปเปิลออกมาแล้ว

โดยแอปเปิลไม่ได้ลงรายละเอียดมากนัก แต่ตอบโต้เพียงว่า รายงานเรื่องที่รหัสผ่านสามารถยิงซ้ำและข้ามการล็อกเครื่องได้นั้นมีข้อผิดพลาด ซึ่งเป็นผลมาจากวิธีการทดสอบที่ไม่ถูกต้อง

โค้งสุดท้าย มาตรการบังคับอัพเกรด TLS จาก PCI-DSS มีผลสิ้นเดือนนี้ PayPal แจ้งเว็บให้อัพเกรด

By lew

on 23 June 2018 - 15:31 Tag: PCI-DSS, PayPal, Security

PCI-DSS

มาตรฐานความปลอดภัยสำหรับการประมวลผลบัตรเครดิต PCI-DSS พยายามบังคับให้เลิกใช้งาน SSL และ TLS รุ่นเก่ามาตั้งแต่ปี 2015 แต่เนื่องจากผู้ประกอบการจำนวนมากยังคงไม่พร้อม ทำให้ทาง PCI SSC ยอมเลื่อนกำหนดการไปสองปี และตอนนี้เส้นตายก็กำลังมาถึงในสัปดาห์นี้แล้ว

สำหรับผู้ใช้ทั่วไปคงไม่มีผลนักเพราะเบราว์เซอร์รุ่นใหม่รองรับการเข้ารหัสรุ่นใหม่ทั้งหมดแล้ว สำหรับเว็บอีคอมเมิร์ชทั้งหลายคงต้องอัพเกรดทั้งหน้าบ้านและหลังบ้าน เพราะตลอดเส้นทางการเชื่อมต่อ จะไม่สามารถใช้การเชื่อมต่อรุ่นเก่าได้ทั้งหมด

นักวิจัยพบ iOS ไม่ล้างเครื่องหากพิมพ์ PIN ไม่หยุด ใช้แฮกไอโฟนได้

By lew

on 23 June 2018 - 15:00 Tag: iOS, Apple, Security

iOS

Matthew Hickey รายงานถึงช่องโหว่ของ iOS ที่มีมาตรการป้องกันความพยายามเดารหัสผ่านของ iOS ด้วยการดีเลย์การป้อนรหัสผ่านไว้นานสูงสุด 1 ชั่วโมง และหากพิมพ์ผิดครบสิบครั้งจะล้างเครื่องอัตโนมัติ

เขาพบว่าหากผู้ใช้พิมพ์รหัสผ่านจากคีย์บอร์ดภายนอกผ่านพอร์ต Lighting และยิงรหัสผ่านไปเรื่อยๆ ไม่หยุด อินเทอร์รัปต์จากคีย์บอร์ดจะทำให้ฟังก์ชั่นลบข้อมูลไม่ทำงาน และ iOS จะตรวจสอบรหัสผ่านไปเรื่อยๆ

อย่างไรก็ดี ระยะเวลาตรวจสอบรหัสผ่านแต่ละครั้งยังใช้เวลา 3-5 วินาที ทำให้การเดารหัส PIN ยาว 6 ตัว อาจจะต้องใช้เวลาหลายสัปดาห์

โฉมใหม่ Google Account พิมพ์ค้นหาส่วนที่อยากตั้งค่าได้ ดูข้อมูลบัญชีตัวเองได้จบในที่เดียว

By sunnywalker

on 22 June 2018 - 20:52 Tag: Google, Security

Google

Google ปรับโฉม Google Account ใหม่ ให้ใช้จัดการบัญชีตัวเองได้ง่ายขึ้น ผู้ใช้ยังสามารถค้นหาส่วนที่อยากตั้งค่าและเปลี่ยนแปลงได้ด้วยการพิมพ์ค้นหา โดยยังใช้ได้เฉพาะแอนดรอยด์เท่านั้นในตอนนี้ ส่วน iOS และเว็บจะใช้ได้ภายในปีนี้

ทีมงาน Chrome พบช่องโหว่ Firefox/Edge เว็บมุ่งร้ายอ่านค่าของเว็บอื่นได้ จากการ redirect ขณะโหลดกลางไฟล์

By lew

on 21 June 2018 - 02:28 Tag: Browser, Security, Firefox, Microsoft Edge

Browser

Jake Archibald ทีมงานสนับสนุนนักพัฒนาของ Google Chrome พบช่องโหว่ของ Firefox และ Edge ที่เปิดทางให้เว็บมุ่งร้ายอ่านค่าจากเว็บอื่นได้ โดยอาศัย media element เช่นแท็ก audio และ video

Archibald พบว่าการขอไฟล์บางประเภทจากแท็กนั้น เบราว์เซอร์รับไฟล์ไปเพียงบางส่วนได้ และหลังจากนั้นจะขอไฟล์ส่วนที่เหลือโดยใส่ HTTP Header แท็ก Range เพิ่มเข้าไป ปัญหาคือเมื่อเว็บเซิร์ฟเวอร์ที่มุ่งร้ายตอบกลับมา มันสามารถตอบ redirect เพื่อให้ไปอ่านค่าที่เหลือจากโดเมนเหยื่อใดๆ ก็ได้ และเมื่อเบราว์เซอร์ได้รับค่าจากโดเมนเหยื่อก็จะถือว่าข้อมูลที่อ่านมาได้ เป็นข้อมูลที่เว็บมุ่งร้ายนั้นอ่านได้

นักวิจัยรายงานช่องโหว่กล้องวงจรปิด Axis 390 รุ่น แฮกเกอร์ยึดกล้องแอบดูดภาพได้จากระยะไกล, ผู้ผลิตออกแพตช์แล้ว

By lew

on 20 June 2018 - 23:50 Tag: Security, Internet of Things, Axis

Security

ทีมวิจัยของบริษัท VDOO ผู้ผลิตระบบรักษาความมั่นคงปลอดภัยในคอมพิวเตอร์ขนาดเล็ก รายงานถึงช่องโหว่ของซอฟต์แวร์ในกล้องวงจรปิด Axis จำนวน 7 รายการ ส่งผลให้แฮกเกอร์สามารถเข้ายึดกล้องผ่านเครือข่าย เข้าควบคุมซอฟต์แวร์ได้ทั้งหมดรวมถึงการดูภาพวงจรปิด

การเข้ายึดกล้องใช้ช่องโหว่ซ้อนกัน ได้แก่

นักวิจัยรายงานช่องโหว่อุปกรณ์ Google Cast ทำให้เว็บมุ่งร้ายรู้ที่อยู่ผู้เข้าเว็บได้แม้ไม่ให้สิทธิ์ Location, กูเกิลกำลังออกแพตช์

By lew

on 19 June 2018 - 00:28 Tag: Google Cast, Google, Security

Google Cast

Craig Young นักวิจัยจากบริษัทความปลอดภัย Tripwire รายงานถึงช่องโหว่อุปกรณ์ Google Cast เช่น Google Home และ Chromecast ที่ทำให้ผู้ใช้เบราว์เซอร์ที่อยู่บนเน็ตเวิร์คเดียวกับอุปกรณ์เหล่านี้ถูกเปิดเผยตำแหน่งในที่ความแม่นยำสูง แม้ไม่ได้ให้สิทธิ์เว็บไซต์เข้าถึงตำแหน่งของอุปกรณ์ก็ตามที

พบอิมเมจ Docker บน Docker Hub ถูกฝัง Backdoor นานเป็นปี คนดาวน์โหลดกว่า 5 ล้านครั้ง

By mk

on 18 June 2018 - 10:21 Tag: Docker, Container, Security

Docker

ในยุคคอนเทนเนอร์ครองเมือง ไฟล์อิมเมจ Docker ถูกสร้างและแจกจ่ายบน Docker Hub อย่างแพร่หลาย ทำให้มันกลายเป็นช่องว่างให้แฮ็กเกอร์แอบฝัง backdoor มาในไฟล์เหล่านี้ด้วย

บริษัทความปลอดภัย Kromtech ประกาศพบไฟล์อิมเมจ 17 ไฟล์ถูกส่งขึ้น Docker Hub และปล่อยทิ้งไว้นานเป็นปี มีคนดาวน์โหลดมากถึง 5 ล้านครั้ง เปิดให้แฮ็กเกอร์สามารถควบคุมเซิร์ฟเวอร์จำนวนมาก และนำไปใช้ขุดเหมือง Monero ได้ถึง 544.74 เหรียญ คิดเป็นมูลค่าประมาณ 3 ล้านบาท

Subscribe to Security