Tags:
Brian Krebs

Brian Krebs บล็อกเกอร์ด้านความปลอดภัยคอมพิวเตอร์ชื่อดังที่โซนี่ติดต่อนำเรื่องราวของเขาไปสร้างภาพยนตร์ ออกหนังสือ Spam Nation เมื่อปลายปีที่แล้วเล่าเรื่องราวขององค์กรอาชญากรรมข้ามชาติที่ดำเนินการแฮกเครื่องของเหยื่ออย่างเป็นระบบโดยเริ่มต้นจากการส่งสแปมเมลไปยังเครื่องของเหยื่อ

วันนี้หนังสือ Spam Nation แบบเสียง (audiobook) ลดราคาจาก 20 ดอลลาร์เหลือ 2.95 ดอลลาร์บน Audible.com ถ้าใครสนใจก็เป็นโอกาสที่ดีที่จะซื้อมาฟังกัน

ที่มา - Audible

Tags:
SSL

ทีมวิจัยจากมหาวิทยาลัยหลายแห่งและไมโครซอฟท์ประกาศช่องโหว่ของ TLS ที่ชื่อว่า Logjam สามารถเจาะการเชื่อมต่อทำให้การเชื่อมต่อไปใช้มาตรฐานการเชื่อมต่อ Diffie-Hellman ขนาด 512 บิต หรือ DHE_EXPORT และสามารถถอดรหัสได้โดยง่าย

DHE_EXPORT กระบวนการแลกกุญแจเข้ารหัสที่ใช้จำนวนเฉพาะขนาดไม่เกิน 512 บิต การเชื่อมต่อเช่นนี้เป็นที่กังวลมานานแล้วว่าไม่มีความปลอดภัยเพียงพอ แต่เซิร์ฟเวอร์และเบราว์เซอร์จำนวนมากรองรับเพราะในยุคหนึ่งสหรัฐฯ เคยมีกฎหมายห้ามส่งออกกระบวนการเข้ารหัสที่มีความแข็งแกร่งสูง แบบเดียวกับช่องโหว่ FREAK ที่ห้ามส่งออกกระบวนการเข้ารหัส RSA เกิน 512 บิต ทีมงานพบว่าค่าจำนวนเฉพาะสำหรับกระบวนการแลกกุญแจ DH ที่ใช้งานในเซิร์ฟเวอร์ส่วนใหญ่ในโลกมีเพียงสองค่าเท่านั้น กินส่วนแบ่งเซิร์ฟเวอร์ 92% และเซิร์ฟเวอร์ทั้งหมดที่ตรวจสอบมีค่าจำนวนเฉพาะแตกต่างกันเพียง 465 ค่า

Tags:
Internet.org

โครงการ Internet.org ของ Facebook ดูจะเริ่มมีปัญหาซะแล้ว เมื่อองค์กรรณรงค์สิทธิด้านดิจิทัล 67 รายจากหลายประเทศ เข้าชื่อกันเขียนจดหมายเปิดผนึกถึง Mark Zuckerberg ว่ามีปัญหาหลายอย่างกับโครงการนี้

ประเด็นขัดแย้งหลักของ Internet.org คือ Facebook ใช้วิธีจับมือกับผู้ให้บริการมือถือในบางประเทศ ทำดีลพิเศษให้ลูกค้าเข้าถึงเว็บไซต์ "บางแห่ง" ได้ฟรี ตัวอย่างเว็บไซต์ที่เข้าข่ายคือ Facebook เอง, Wikipedia, BBC, Accuweather และเว็บท้องถิ่นบางแห่ง โดยมีเงื่อนไขว่าผู้ใช้ต้องติดตั้งแอพ Internet.org ด้วย

การจำกัดการเข้าถึงเฉพาะบางเว็บ เป็นเหตุทำให้เว็บและสตาร์ตอัพท้องถิ่นบางราย (โดยเฉพาะจากอินเดีย) ไม่พอใจ และมองว่าเป็นประเด็นการกีดกันการแข่งขันและการเข้าถึงอย่างเท่าเทียม (net neutrality)

Tags:
Google

กูเกิลเปิดเผยข้อมูลของ "ทีมลับ" ที่ทำหน้าที่ตรวจสอบขบวนการอาชญากรรม ที่สร้าง botnet เพื่อหารายได้จากการคลิกโฆษณาออนไลน์บนเว็บไซต์ต่างๆ (ad fraud)

ทีมลับ antifraud นี้มีพนักงานมากกว่า 100 คน นั่งทำงานอยู่ที่กรุงลอนดอน ทำหน้าที่ตรวจหาแพทเทิร์นของ botnet ที่มาคลิกโฆษณา

กระบวนการทำงานของกลุ่ม ad fraud คือเจาะระบบพีซีผ่านช่องโหว่ต่างๆ ติดตั้งซอฟต์แวร์ควบคุม ใช้เป็น botnet กระจายตัวอยู่ทั่วโลก ไม่ให้จับได้ง่ายๆ ว่าเป็นคนหรือเป็นบ็อต โดยเครื่องที่ถูกควบคุมจะรันเว็บเบราว์เซอร์ (ส่วนใหญ่เป็น IE) แบบซ่อนหน้าต่าง แล้วคลิกเมาส์แบบสุ่มเพื่อให้โดนโฆษณา

Tags:
Uber

เว็บไซต์รายงานข่าวไอที Motherboard ออกมาเปิดเผยว่าในช่วงที่ผ่านมา มีบัญชีของผู้ใช้ Uber ถูกแฮก แล้วนำเอาไปขายต่อในเว็บไซต์ตลาดมืดออนไลน์ โดยมีราคาต่อชื่อผู้ใช้งานอยู่ในระดับที่ถูกมาก (ประมาณ 1 เหรียญสหรัฐ) และเริ่มมีผู้ได้รับผลกระทบบ้างแล้ว (1, 2) ซึ่งทาง Motherboard ระบุว่าวิธีการแก้ไขปัญหาของทาง Uber นั้น ถือว่าไม่ดี และแสดงออกถึงการไม่สนใจในประเด็นความปลอดภัย

Motherboard ยกกรณีตัวอย่างของ Isabelle Berner ซึ่งเธออาศัยในสหรัฐอเมริกา แต่ปรากฏว่ามีคนเอาชื่อผู้ใช้ Uber ของเธอไปใช้ที่สหราชอาณาจักร (UK) โดยไม่ได้รับอนุญาต ซึ่งเมื่อเธอเปลี่ยนรหัสผ่าน ก็ถูกล็อคชื่อผู้ใช้งานอีก โดยระหว่างนั้นเธอได้ติดต่อหน่วยบริการและสนับสนุนจากทาง Uber ซึ่งกว่าจะติดต่อกลับมาก็ใช้เวลานานมาก ซึ่งเมื่อได้รับการติดต่อ ทางเจ้าหน้าที่ของ Uber ได้ส่งรหัสผ่านชุดใหม่ให้เธอ ซึ่งรหัสผ่านดังกล่าวส่งมาเป็นข้อความธรรมดาผ่านทางอีเมลและระบบของ Uber แทน ทำให้เธอติดต่อกลับไปใหม่ โดยระบุว่าขอให้ทาง Uber ลบชื่อผู้ใช้งานของเธอไปเลย

Per Thorshiem ซึ่งเป็นผู้ก่อตั้งการประชุมด้านความปลอดภัย Passwords Conference ออกมาระบุว่าการส่งรหัสผ่านเช่นนี้ของ Uber ทำให้สามารถบอกได้ว่าพนักงานหรือบริษัทไม่มีแนวทางหรือมาตรการในการจัดการที่ดีพอ ส่วน George Rosamond ผู้ดูแลระบบที่ดูแลด้านความปลอดภัย ระบุว่าบริษัทเหล่านี้มักจะเน้นนวัตกรรม แต่ในความเป็นจริงกลับใช้โครงสร้างและแนวทางปฏิบัติเดิมๆ

อัพเดต (20/05/2015 14:38) Uber ออกมาปฏิเสธแล้ว โดยระบุว่าเกิดจากผู้ใช้งานเอง (อ่านได้ที่ความเห็นของคุณ tana)

ที่มา - Motherboard

Tags:
Whitehouse

ทั้ง FBI และ NSA ออกมาแสดงท่าทีว่าต้องการบังคับให้มีช่องทางเข้าถึงข้อมูลที่เข้ารหัส และโต้เถียงกับกลุ่มผู้บริหารบริษัทไอทีและองค์กรต่างๆ หลายครั้ง ตอนนี้องค์กรเหล่านั้นก็รวมตัวกันส่งจดหมายเปิดผนึกถึงโอบามา ข้อความส่วนหนึ่งระบุว่า

เราเตือนให้ท่านปฎิเสธข้อเสนอใดๆ ที่บังคับให้บริษัทสหรัฐฯ ทำให้สินค้าของพวกเขาอ่อนแอลงอย่างจงใจ เราเรียกร้องต่อทำเนียบขาวให้สร้างนโยบายที่สนับสนุนการเข้ารหัสที่แข็งแกร่งแทนที่จะขัดขวาง นโยบายนี้จะช่วยให้มีการปกป้องความปลอดภัยไซเบอร์, การเติบโตทางเศรษฐกิจ, และสิทธิมนุษยชน ทั้งในประเทศและต่างประเทศ

บริษัทไอทีใหญ่ๆ ที่ร่วมลงนาม เช่น แอปเปิล, CloudFlare, LinkedIn, ซิสโก้, เอชพี, เฟซบุ๊ก, และไมโครซอฟท์ หน่วยงานไม่แสวงผลกำไรอย่าง EFF, OSI (Open Source Initiative), Free Software Foundation, GNOME Foundation, Human Right Watch รวมถึงผู้เชี่ยวชาญอย่าง Whitfield Diffie, Ronald L. Rivest, Bruce Schneier, และ Alex Stamos ที่เคยโต้เถียงกับ Mike Rogers กลางงานสัมมนา

ที่มา - New America, Threat Post

Tags:
Chrome

Chrome 43 เริ่มปล่อยอัพเดตเมื่อคืนที่ผ่านมา ความสามารถที่เพิ่มเติมโดยทั่วไปเหมือนตอนเบต้า เมื่อเลื่อน Chrome 43 ออกมาเป็นรุ่น stable ให้คนทั่วไป สิ่งที่ติดมาด้วยคือรายการแก้ไขบั๊กความปลอดภัยจำนวน 37 จุด โดยในจำนวนนี้ิเป็นช่องโหว่ที่รายงานโดยนักวิจัยนอกกูเกิลจำนวน 15 จุด เป็นช่องโหว่ระดับร้ายแรง 6 จุด รวมเงินรางวัลที่กูเกิลจ่ายให้กับนักพัฒนาภายนอกทั้งหมด 38337 ดอลลาร์ หรือ 1.28 ล้านบาท

บั๊กที่ร้ายแรงที่สุด คือ บั๊กหมายเลข 47409 ที่เปิดช่องให้แฮกเกอร์ทะลุช่อง sandbox ของเบราว์เซอร์ออกมาได้ บั๊กร้ายแรงอื่นทำให้แฮกเกอร์สามารถข้ามนโยบายการจำกัดโดเมนของเนื้อหา (Cross Origin)

ตอนนี้บั๊กเกือบทั้งหมดยังอยู่ในช่วงปกปิดข้อมูล ผมตรวจสอบดูพบว่ามีบั๊กเดียวที่เปิดเผยออกมาแล้ว เป็นบั๊กที่ทำให้เว็บสามารถส่ง dialog มาให้ผู้ใช้กดได้แม้ผู้ใช้จะสั่งให้หยุดเปิด dialog ใหม่แล้วก็ตาม

ที่มา - Chrome Release Blog

Tags:

มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ (ransomware) กลายเป็นธุรกิจใต้ดินทำเงินได้อย่างมีประสิทธิภาพไปทั่วโลก ก่อนหน้านี้คนร้ายมักอาศัยการส่งอีเมลมาหลอกล่อให้เหยื่อดาวน์โหลดซอฟต์แวร์มารันบนเครื่อง แต่เมื่อกำไรเริ่มดีขึ้นมากๆ ตอนนี้ ZScaler ก็รายงานว่าพบการซื้อแบนเนอร์มาเพื่อติดตั้ง ransomware เข้าเครื่องของเหยื่อ

ทาง ZScaler ระบุว่าเครือข่ายโฆษณาที่พบโฆษณานำไปสู่มัลแวร์เช่นนี้มาจาก Sunlight Media มากที่สุด เมื่อเหยื่อคลิกโฆษณาแล้วจะนำไปสู่เว็บที่มีโค้ดมุ่งร้ายเป็นแฟลชและจาวาสคริปต์เพื่อเจาะช่องโหว่ MS13-009 ซึ่งเป็นช่องโหว่ตั้งแต่ปี 2013 จากนั้นจะรันโค้ดเพื่อดาวน์โหลดมัลแวร์ Cryptowall 3.0 มาติดตั้งในเครื่อง

มัลแวร์เข้ารหัสเหล่านี้ทำกำไรสูงมาก Symantec เคยออกรายงานเตือนเมื่อปี 2012 (PDF) ระบุว่ามีเหยื่อประมาณ 2.9% ที่ตัดสินใจจ่ายค่าไถ่ข้อมูล ทำให้แฮกเกอร์อาจจะทำเงินได้วันละมากกว่าสามหมื่นดอลลาร์หรือหนึ่งล้านบาทในวันเดียว ทุกวันนี้ค่าไถ่ข้อมูลเริ่มมีราคาแพงขึ้นเรื่อยๆ รายได้ที่แฮกเกอร์ได้ก็มีแนวโน้มว่าจะสูงกว่าเดิม คนร้ายอาจจะใช้วิธิีใหม่ๆ เพื่อล่อเหยื่อได้มากขึ้น

ที่มา - Threat Post, ZScaler

Tags:
Cisco

ซิสโก้แจ้งเตือนมัลแวร์ MalPutty มัลแวร์ที่ปลอมตัวเป็น PuTTY โปรแกรมสำหรับเชื่อมต่อ Secure Shell จากวินโดวส์ที่ได้รับความนิยมสูง โดยแฮกเกอร์เข้ายึดเซิร์ฟเวอร์ที่มีช่องโหว่ แล้ววางไฟล์เว็บที่เหมือนหน้าเว็บของ PuTTY จริง แต่ตัว putty.exe กลับเป็นของปลอม

เมื่อเหยื่อดาวน์โหลด putty.exe ปลอมมารันจะสามารถใช้งานได้เหมือนรุ่นจริงทุกประการ แต่เมื่อผู้ใช้ล็อกอินเซิร์ฟเวอร์แล้ว MalPutty จะส่งข้อมูลการเชื่อมต่อ เป็นข้อความ ssh://[username]:[password]@[IP address or domain]:[port] กลับไปยังเซิร์ฟเวอร์ที่ตอนนี้พบแล้วสามตัวทั่วโลก

ด้วยข้อมูลทั้งหมดที่ส่งกลับไปยังเซิร์ฟเวอร์ทำให้แฮกเกอร์สามารถเข้าควบคุมเครื่องได้ตลอดเวลา แม้อาจจะไม่ถึงกับเจาะ root ได้ แต่ก็สามารถวางไฟล์สร้าง botnet บนเซิร์ฟเวอร์จำนวนมากได้สบายๆ

ทางซิสโก้รายงานว่า MalPutty มีค่า SHA1 เป็น 51c409b7f0c641ce3670b169b9a7515ac38cdb82 ผู้ดูแลระบบที่ต้องเชื่อมต่อกับเซิร์ฟเวอร์ที่มีความเสี่ยงสูงควรตรวจสอบ PuTTY ที่ดาวน์โหลดมาให้ถูกต้องแน่นอนเสียก่อน ทีมงานผู้พัฒนา PuTTY แนะนำให้ตรวจสอบ PuTTY รุ่นที่ถูกต้องด้วยลายเซ็นดิจิตอลแบบ RSA หรือ DSA แต่กระบวนการอาจจะยุ่งยากสำหรับผู้ดูแลระบบส่วนใหญ่ แนวทางที่ง่ายกว่าคือตรวจค่า SHA1 ด้วยโปรแกรม FCIV จากไมโครซอฟท์ putty.exe รุ่น 0.64 ล่าสุดมีค่า SHA1 เป็น 6c7ea23ca3b61fe4a5c88acd7132079a6c292e80

แนวทางการเจาะระบบเช่นนี้เคยเกิดมาก่อนแล้วในโปรแกรม FireZilla ที่แฮกเกอร์นำไปดัดแปลงเป็นมัลแวร์ StealZilla เพื่อส่งรหัสผ่านกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์เช่นกัน

ที่มา - Cisco Security Blog

Tags:
Paysbuy

update: แก้ไขข้อมูลผิดพลาด ส่วนที่หยุดให้บริการคือ e-wallet ไม่เกี่ยวกับแอพพลิเคชั่น

Paysbuy เปิดบริการแอพพลิเคชั่นรับจ่ายเงินโดยสามารถผูกบัตรเครดิตเข้าไว้เป็น e-wallet ได้ แต่มีผู้ใช้หลายรายแจ้งเข้ามาทางเว็บไซต์ Pantip.com ว่าเมื่อผูกบัตรเครดิตแล้วกลับถูกนำข้อมูลออกไปจ่ายเงินซื้อสินค้าโดยไม่รู้ตัว

ตอนนี้แม้ยังไม่มีข้อมูลยืนยันว่าข้อมูลหมายเลขบัตรเครดิตหลุดออกไปได้อย่างไร ทาง Paysbuy ประกาศกับผู้ใช้ว่ากำลังอยู่ระหว่างการตรวจสอบกับธนาคารและผู้ให้บริการที่เกี่ยวข้อง โดยเบื้องต้นจะปิดบริการผูกบัตรเครดิตเอาไว้ก่อน

นอกจากบริการผูกบัตรเครดิตบนแอพพลิเคชั่นแล้ว ทาง Paysbuy ยังมีบริการอื่นๆ เช่น payment gateway ที่ให้บริการกับร้านค้าจำนวนมาก ลูกค้ารายใหญ่รายหนึ่งก็คือ DTAC บริษัทแม่ของ Paysbuy ที่ใช้บริการจ่ายเงินออนไลน์บนหน้าเว็บผ่าน Paysbuy

ที่มา - Pantip.com, MXPhone

Tags:
App Engine

บริษัทความปลอดภัย Security Explorations จากประเทศโปแลนด์ เผยช่องโหว่ของบริการแอพบนกลุ่มเมฆ Google App Engine ทั้งหมด 7 จุด หลังจากติดต่อไปยังกูเกิลแล้วไม่ยอมแก้ไข และไม่สื่อสารกลับมาว่าจะดำเนินการอย่างไร

ช่องโหว่เหล่านี้เกี่ยวข้องกับการรันแอพ Java บน App Engine โดยระบบ sandbox ของกูเกิลเองเปิดช่องให้ถูกโจมตีได้ ทาง Security Explorations ส่งข้อมูลให้กูเกิลแต่ไม่ได้รับการติดต่อกลับ เมื่อรอเป็นเวลา 3 สัปดาห์ บริษัทจึงตัดสินใจเปิดเผยช่องโหว่นี้ต่อสาธารณะ

หลังข่าวนี้ออกมา โฆษกของกูเกิลออกมาแถลงว่าบริษัทรับทราบปัญหานี้แล้ว และกำลังเร่งแก้ไขอยู่

ช่วงไม่นานมานี้ กูเกิลดำเนินโครงการ Project Zero เผยช่องโหว่ของซอฟต์แวร์ต่างค่ายเมื่อครบกำหนด 90 วันหากไม่แก้ไข ซึ่งก็โดนวิพากษ์วิจารณ์อย่างมาก ข่าวนี้เป็นตัวอย่างที่ดีว่าเอาเข้าจริงแล้ว กูเกิลก็เพิกเฉยกับช่องโหว่ของซอฟต์แวร์ตัวเองเหมือนกัน

ที่มา - Ars Technica

Tags:
Google

ตามปกติแล้ว ระบบไอทีภายในองค์กรมักจำกัดการเข้าถึงเฉพาะเครือข่ายภายในองค์กร (ซึ่งเป็นเหตุให้พนักงานต้องเชื่อมต่อผ่าน VPN ก่อนชั้นหนึ่ง ถ้าต้องการใช้งานจากนอกองค์กร) แต่บริษัทที่ออกตัวว่า "เชื่อมั่นในอินเทอร์เน็ต" อย่างกูเกิลกำลังเปลี่ยนธรรมเนียมนี้ โดยย้ายระบบทั้งหมดขึ้นอินเทอร์เน็ต

โครงการนี้ของกูเกิลใช้ชื่อว่า BeyondCorp initiative แนวคิดของมันมีอยู่ว่า ไม่ว่าจะเป็นเครือข่ายภายในหรือภายนอกองค์กรล้วนแต่มีความเสี่ยงเท่ากัน (ต่างจากแนวคิดดั้งเดิมที่มองว่าเครือข่ายภายในปลอดภัยกว่า) ดังนั้นมาตรการด้านความปลอดภัยจึงไม่สนใจปัจจัยเรื่องเครือข่าย แต่ไปเน้นที่อุปกรณ์ของพนักงานที่ใช้เชื่อมต่อ และวิธีการตรวจสอบตัวตนของผู้ใช้แทน

ตอนนี้กูเกิลระบุว่าย้ายระบบแอพพลิเคชัน 90% ขึ้นไปอยู่บนอินเทอร์เน็ตเรียบร้อยแล้ว และกำลังทยอยย้ายส่วนที่เหลือ เพราะเป้าหมายคือระบบทั้งหมดต้องเข้าถึงได้จากอินเทอร์เน็ต ไม่ว่าพนักงานอยู่ที่ทำงานหรือที่ร้านกาแฟ ต้องเข้าถึงทรัพยากรได้เท่าเทียมกัน

Tags:
Starbucks

มีผู้ใช้แอพ Starbucks ในสหรัฐอเมริกาบางรายพบว่าถูกตัดเงินเพื่อซื้อบัตรของขวัญ Starbucks ซ้ำๆ กัน โดยหักเงินจากระบบของ PayPal อัตโนมัติ ความเสียหายอยู่ระหว่าง 100-550 ดอลลาร์ต่อราย

หลังจากการสอบสวนพบว่าบัญชี Starbucks ของผู้ใช้เหล่านี้ถูกแฮ็กจากหน้าเว็บ (Starbucks คาดว่าเป็นเพราะตั้งรหัสผ่านง่ายเกินไป และยืนยันว่าระบบของตัวเองไม่มีปัญหา) เมื่อบวกกับฟีเจอร์การซื้อบัตรของขวัญ Starbucks โดยไม่ต้องอาศัยคำยืนยันใดๆ ทำให้แฮ็กเกอร์ใช้ช่องว่างนี้เข้าบัญชีไปซื้อบัตร แล้วโอนมูลค่าบัตรให้ตัวเองอีกทีหนึ่ง

Starbucks และ PayPal ยืนยันว่าผู้เสียหายจะได้รับเงินคืนทั้งหมด อย่างไรก็ตาม ผู้เสียหายก็บ่นว่ากระบวนการรับแจ้งเรื่องของ Starbucks ล่าช้า และบางครั้งก็บอกให้ไปเรียกเงินคืนจาก PayPal เอาเอง

ที่มา - CNN Money

Tags:

สายการบิน United Airlines ประกาศโครงการให้รางวัลบั๊กความปลอดภัยกับนักวิจัยเป็นไมล์สะสม โดยรวมตั้งแต่หน้าเว็บ united.com, beta.united.com, และ mobile.united.com รวมถึงแอพพลิเคชั่นของบริษัท

ช่องโหว่ที่สามารถขอรับรางวัลได้มีตั้งแต่ การรันโค้ดบนเซิร์ฟเวอร์ (remote code execution - RCE), การปลอมการเรียกบริการจากเว็บอื่น (cross site request forgery - CSRF), การวางสตริปต์จากเว็บอื่น (cross site scripting - XSS) รวมไปถึงการเปิดเผยข้อมูลส่วนตัว และการยิงค้นหาหมายเลขสมาชิก, หมายเลขการจอง, และรหัสผ่าน

บั๊กระดับสูงสุดคือ RCE มีโอกาสได้รับรางวัลเป็นไมล์สะสมหนึ่งล้านไมล์ บั๊กระดับกลางเช่น การเปิดเผยข้อมูลส่วนตัวจะมีโอกาสได้รับไมล์สองแสนห้าหมื่นไมล์ และบั๊กเช่น XSS และ CSRF จะได้รับไมล์สูงสุดห้าหมื่นไมล์

ทางสายการบินเตือนว่าระบบเครือข่ายในเครื่องบินและระบบความบันเทิงในเครื่องบินไม่อยู่ในโครงการนี้ นอกจากนี้ยังห้ามข่มขู่เพื่อขอข้อมูลจากพนักงานของสายการบินรวมไปถึงเครือ Star Alliance และห้ามเข้าไปแก้ไขข้อมูลสมาชิกยกเว้นข้อมูลของบัญชีตัวเองเท่านั้น

ที่มา - United, The Stack

Tags:
Microsoft

ไมโครซอฟท์ออกอัพเดตให้กับ Windows 7 ขึ้นไป และ Windows Server 2008 ให้รองรับกระบวนการเข้ารหัสชุดใหม่เพิ่มเติมอีกสี่แบบ และจัดเรียงลำดับกระบวนการเข้ารหัสเสียใหม่ ทำให้เครื่องที่ติดตั้งอัพเดตนี้เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ที่รองรับ จะพยายามใช้กระบวนการเข้ารหัสที่รับประกันความลับในอนาคต (perfect forward secrecy - PFS)

กระบวนการเข้ารหัสที่เพิ่มขึ้นมามีทั้งหมดสี่แบบ ได้แก่ TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, และ TLS_RSA_WITH_AES_128_GCM_SHA256 ซึ่งเป็นการเพิ่มการรองรับการเข้ารหัสแบบกุญแจสมมาตร AES-GCM เป็นครั้งแรกของไมโครซอฟท์

กระบวนการแลกกุญแจในด้วยอัพเดตนี้จะทำให้แม้แฮกเกอร์จะดักฟังข้อมูลไว้ได้ และได้กุญแจเข้ารหัส SSL/TLS ในอนาคตก็ไม่สามารถถอดรหัสข้อมูลออกมาได้ เพราะกุญแจเข้ารหัสแบบสมมาตรถูกสร้างขึ้นใหม่ระหว่างการเชื่อมต่อโดยไม่มีกุญแจถูกส่งออกไปโดยตรง และเนื่องจากอัพเดตนี้มาพร้อมกับทั้งไคลเอนต์และเซิร์ฟเวอร์ ในอนาคตเราจึงน่าจะเจอเซิร์ฟเวอร์ที่รองรับการเชื่อมต่อที่ปลอดภัยสูงขึ้นแบบนี้มากขึ้น

ไมโครซอฟท์เตือนว่าการเชื่อมต่อแบบ PFS อาจจะใช้ซีพียูประมวลผลมากกว่าเดิม โดยเฉพาะในกรณีที่แอพพลิเคชั่นมีการเชื่ีอมต่อจำนวนมากๆ จึงควรทดสอบโหลดที่เพิ่มขึ้นเสียก่อนจะอัพเดตนี้

ที่มา - Microsoft Security Advisory 3042058, Threat Post

Tags:
Apple Watch

Jeff Benjamin แห่ง iDownloadBlog ได้เขียนบทความแสดงความกังวลต่อ Apple Watch ว่าคุณสมบัติหนึ่งที่ควรมีอย่างมากแต่ยังไม่มีคือ Activation Lock ซึ่งเป็นคุณสมบัติที่เริ่มมีใน iOS 7 ทั้งบน iPhone และ iPad ซึ่งทำให้หลังการรีเซ็ตเครื่อง ก็ยังต้องใส่รหัสผ่านอีกชั้นหากต้องการใช้ต่อ จึงเป็นการยากที่เครื่องถูกขโมยจะนำไปใช้งานต่อได้

Apple Watch ปัจจุบันมีการใช้รหัสผ่าน Passcode หากนาฬิกาไม่ถูกสวมใส่ ซึ่งทำได้เพื่อป้องกันข้อมูลใน Apple Watch เท่านั้น แต่ผลการทดสอบพบว่าเราสามารถสั่งลบข้อมูลทั้งเครื่องได้ง่ายมากโดยไม่ต้องใส่ Passcode เลยด้วยซ้ำ อีกทั้งยังสามารถนำไปจับคู่กับ iPhone เครื่องอื่นได้เลยด้วย

ด้วยคุณสมบัติดังกล่าว Benjamin จึงมองว่า Apple Watch โดยเฉพาะรุ่นหรู Apple Watch Edition อาจเป็นที่จับจ้องของหัวขโมยมากขึ้น

ที่มา: iDownloadBlog

Tags:

บริษัทความปลอดภัย CloudStrike ออกมาเตือนภัยช่องโหว่ใหม่ที่ตั้งชื่อว่า Venom มีผลกระทบกับซอฟต์แวร์ virtualization ฝั่งโอเพนซอร์สหลายตัว เช่น Xen, KVM, QEMU

ช่องโหว่นี้ช่วยให้แฮ็กเกอร์สามารถเจาะทะลุระบบปฏิบัติการ Guest OS ออกมายัง Host OS ได้ ซึ่งทำให้สามารถขยายผลเข้ามายังเครือข่ายภายในองค์กรได้อีกต่อหนึ่ง (การจำกัดความเสียหายไว้แค่ VM จึงไม่ปลอดภัยอีกต่อไป เพราะเจาะทะลุ VM ได้)

Tags:
Microsoft

ไมโครซอฟท์ปล่อยแพตช์ประจำเดือนพฤษภาคม รอบนี้มีบั๊กระดับวิกฤติสามตัวใน Internet Explorer, Font Drivers, และ Windows Journal โดยทั้งสามตัวมีบั๊กทำให้แฮกเกอร์สั่งรันโค้ดจากระยะไกลได้ (remote code excution) ผู้ดูแลระบบควรเร่งอัพเกรดให้เครื่องในองค์กรติดตั้งแพตช์เหล่านี้

บั๊กระดับวิกฤติเกี่ยวข้องกับฝั่งไคลเอนต์เป็นส่วนมากจึงดูจะไม่ร้ายแรงเท่ารอบที่แล้ว แต่บั๊กอื่นๆ ในรอบนี้ก็ยังเป็นบั๊กระดับสำคัญอีกหลายตัว แม้ว่าจะไม่ถึงระดับวิกฤติแต่ก็ควรเร่งอัพเดต เช่น บั๊ก MS15-047 เปิดช่องโหว่ให้รันโค้ดจากระยะไกล

ที่มา - Threat Post

Tags:

ภัยคุกคามออนไลน์เป็นสิ่งที่เกิดขึ้นได้ตลอดเวลาจากทั้งภายในและภายนอก ภัยรูปแบบใหม่ๆ ที่เกิดขึ้นเสมอทำให้องค์กรพบความเสี่ยงที่คาดไม่ถึง เช่น มัลแวร์เข้ารหัสไฟล์ทั้งหมดในเซิร์ฟเวอร์เพื่อเรียกค่าไถ่อาจจะสร้างความเสียหายได้มหาศาล หรือเจาะระบบอย่างเจาะจงเป้าหมายเพื่อสร้างความเสียหายให้กับองค์กรโดยตรง

ในปีที่แล้วเราได้สรุปรวม 10 ภัยออนไลน์ในปี 2013 ปีนี้เราจะมาดู 7 มาตรการที่องค์กรสามารถดูแลตัวเองเพื่อให้มีความปลอดภัย สามารถให้บริการได้อย่างต่อเนื่อง

Tags:
Microsoft Edge

ต่อเนื่องจากข่าว ล้างบ้าน Microsoft Edge จะไม่รองรับ ActiveX, VBSript, VML ไมโครซอฟท์ออกมาเผยฟีเจอร์ด้านความปลอดภัยของ Microsoft Edge โดยแยกออกเป็น 3 กลุ่มคือ ป้องกันปัญหา phishing (โดนหลอก), ป้องกันการถูกแฮ็ก (ไม่โดนหลอกแต่อยู่เฉยๆ ก็โดนโจมตี) และป้องกันปัญหาด้านหน่วยความจำ

ป้องกันปัญหา phishing

  • รองรับ Microsoft Passport ช่วยยืนยันตัวตนแทนการใช้รหัสผ่าน
  • ตัวกรองเว็บอันตราย SmartScreen จะถูกใช้งานกับทั้ง Microsoft Edge และ Windows Shell ป้องกันทั้งการเข้าเว็บอันตรายและดาวน์โหลดไฟล์อันตราย
  • รองรับ Certificate Reputation ช่วยเช็คความน่าเชื่อถือของใบรับรองดิจิทัลอีกชั้น นอกจากการเช็คว่าเว็บนั้นถูกเข้ารหัส (กุญแจเขียว) เพียงอย่างเดียว
  • รองรับมาตรฐานเว็บ Content Security Policy ลดการโจมตีจาก XSS และรองรับ HTTP Strict Transport Security บังคับเบราว์เซอร์เชื่อมต่อแบบเข้ารหัสเสมอ