Security

อย่าเชื่ออุปกรณ์ฉลาดไปเสียหมด นักวิจัยรายงานกุญแจล็อกบ้าน Tapplock Smart Lock อ่อนแออย่างมาก ใช้ MAC เป็นกุญแจปลดล็อก

By lew

on 17 June 2018 - 23:54 Tag: Internet of Things, Security

Internet of Things

Pen Test Partners ทีมวิจัยที่เคยรายงานช่องโหว่อุปกรณ์ Z-Wave รายงานถึงการทดสอบกุญแจล็อกบ้าน Tapplock Smart Lock ที่ปลดล็อกได้ทั้งจากโทรศัพท์มือถือและลายนิ้วมือ พบว่ามันไม่ปลอดภัยอย่างมาก

สภายุโรปผ่านญัตติว่า Kaspersky เป็นภัย ขอให้ชาติสมาชิกตรวจสอบและเลิกใช้งาน

By lew

on 15 June 2018 - 18:34 Tag: Kaspersky, Europe, Security

Kaspersky

สภายุโรป (European Paliament) ผ่านมติ P8-TA-2018-0258 เรื่องการเสริมความแข็งแกร่งของการป้องกันภัยไซเบอร์ โดยมีญัตติข้อ 76 ยืนยันว่าสินค้าทั้งซอฟต์แวร์และอุปกรณ์ของ Kaspersky Lab นั้นยืนยันแล้วว่าเป็นภัย (malicious) และให้ชาติสมาชิกตรวจสอบว่าไม่มีการใช้งานในระบบ

Pixelbook มีโทเคน U2F ติดตั้งมาในเครื่อง ใช้ยืนยันตน 2 ชั้นได้ด้วยการกดปุ่ม Power

By nismod

on 15 June 2018 - 14:39 Tag: U2F, Google, Pixelbook, Security

U2F

ถึงแม้จะเปิดตัวมาแล้วซักพักใหญ่ๆ และ Google ก็เก็บเงียบมาตลอด แต่ล่าสุดเพิ่งมีคนค้นพบว่า Google ติดตั้งโทเคน U2F สำหรับการยืนยันตน 2 ขั้นเอาไว้ให้ใน Pixelbook แต่แรกด้วย ลักษณะเดียวกับที่ Lenovo ติดตั้งมาในโน้ตบุ๊คบางรุ่น

พบช่องโหว่ในซีพียูอินเทลคล้าย Spectre แอบอ่านตัวแปรในโปรเซสอื่นได้ ผลกระทบไม่ร้ายแรง

By lew

on 15 June 2018 - 00:38 Tag: Intel, Security

Intel

อินเทลรายงานถึงช่องโหว่ INTEL-SA-00145 ในซีพียูสถาปัตยกรรม Core ที่ทำให้แฮกเกอร์สามารถสร้างโปรเซสที่แอบอ่านค่าตัวแปรจากโปรเซสอื่นที่รันบนซีพียูตัวเดียวกัน รูปแบบการโจมตีแบบเดียวกับช่องโหว่ Spectre เมื่อต้นปีที่ผ่านมา

ช่องโหว่นี้เกิดจากฟีเจอร์ Lazy FP ของซีพียูที่จะเก็บค่าออกจากรีจิสเตอร์เมื่อเกิดการเปลี่ยน context (หรือการเปลี่ยนโปรเซส) เฉพาะเวลาที่จำเป็น เมื่อโปรเซสของแฮกเกอร์เข้ามารันบนซีพียูก็สามารถสังเกตพฤติกรรมของซีพียูเพื่ออ่านค่าจากโปรเซสก่อนหน้าได้

iOS 12 จะปิดพอร์ต Data หลังล็อคเครื่องนานเกิน 1 ชั่วโมง ป้องกันการแฮ็กทางสาย

By mk

on 14 June 2018 - 07:35 Tag: iOS 12, iOS, Apple, iPhone, Security, FBI

iOS 12

แอปเปิลเตรียมออกอัพเดตให้ iOS 12 ปิดการใช้งานพอร์ต data ของ iPhone หลังล็อคเครื่องไปแล้ว 1 ชั่วโมง เพื่อป้องกันการแฮ็กข้อมูลในเครื่อง

ธนาคารกลางสิงคโปร์ ผลักดันตัวแพลตฟอร์มแลกเปลี่ยนการกำกับดูแลความปลอดภัยไซเบอร์สำหรับธนาคารกลาง

By lew

on 13 June 2018 - 19:20 Tag: Singapore, Security, Banking

Singapore

FS-ISAC ศูนย์แลกเปลี่ยนข้อมูลภัยไซเบอร์และภัยในโลกความเป็นจริงสำหรับธุรกิจการเงิน ประกาศเปิดตัว CERES Forum แพลตฟอร์มสำหรับหน่วยงานกำกับดูแลสถาบันการเงิน ที่จะแลกเปลี่ยนข้อมูลการกำกับดูแลความมั่นคงปลอดภัยทั้งจากไซเบอร์และโลกความเป็นจริง

ปกติ FS-ISAC จะเป็นพื้นที่แชร์การโจมตีแบบต่างๆ ระหว่างสถาบันการเงินด้วยกันเอง โดยมีกระบวนการปกปิดข้อมูลที่เป็นความลับ แต่ CERES จะเป็นแพลตฟอร์มสำหรับหน่วยงานกำกับดูแลที่จะแชร์แนวทางการกำกับดูแลและการควบคุม และพูดคุยกันว่าการควบคุมแบบใดที่ได้ผลดี และยังแชร์ข้อมูลการโจมตีที่บางครั้งมุ่งเป้าไปที่หน่วยงานกำกับดูแลและธนาคารกลางโดยตรง

ซอฟต์แวร์ตรวจสอบไบนารีบนแมคจำนวนมากใช้ API ผิด มัลแวร์ถูกหลอกว่าเป็นซอฟต์แวร์ของแอปเปิลได้

By lew

on 13 June 2018 - 00:55 Tag: OS X, Apple, Security, API

OS X

Okta ผู้ให้บริการยืนยันตัวตนบนคลาวด์รายงานถึงช่องโหว่ของซอฟต์แวร์ตรวจสอบลายเซ็นดิจิตอล สำหรับไบนารีบนแมค ที่มีโครงการจำนวนมากใช้ตรวจสอบไบนารีว่าผลิตโดยผู้ผลิตรายใด เนื่องจากผู้ผลิตเหล่านี้ใช้ API ของแมคผิด ทำให้แฮกเกอร์สามารถสร้างไบนารีปลอมที่หลอกว่าเป็นไบนารีจากผู้ผลิตใดก็ได้ รวมถึงปลอมตัวเป็นไบนารีของแอปเปิลเอง

ทำงานอยู่ที่บ้านรวยเป็นล้าน กลุ่มแฮก Ethereum ที่คอนฟิกผิดโอนเงินเข้าบัญชีต่อเนื่องกว่าสองปี รวม 20 ล้านดอลลาร์

By lew

on 12 June 2018 - 01:20 Tag: Ethereum, Security

Ethereum

บัญชี Ethereum 0x957cD4Ff9b3894FC78b5134A8DC72b032fFbC464 ไม่ใช่บัญชีธรรมดา เพราะตั้งแต่สองปีที่ผ่านมา มีรายงานว่าหากใครคอนฟิกโหนด Ethereum ผิด โดยเปิดพอร์ต RPC สู่อินเทอร์เน็ต สักพักหนึ่งเงินก็จะถูกโอนออกไป

โดยเริ่มมีรายงานตั้งแต่ช่วงปลายตุลาคม 2016 และจนตอนนี้บัญชีนี้ก็ยังสะสม ETH อย่างต่อเนื่อง มูลค่าล่าสุดครบ 20 ล้านดอลลาร์ไปแล้ว

กูเกิลปล่อยแพตช์ความปลอดภัย Pixel/Nexus รอบมิถุนายน 2018

By tekkasit

on 9 June 2018 - 10:22 Tag: Android Oreo, Security, Google Pixel, Google Nexus, Android

Android Oreo

กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนมิถุนายน 2018 แพตช์รอบนี้เป็นแบบตามปกติมี 2 ชุด ได้แก่ชุด 1 มิ.ย. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน ชุด 5 มิ.ย. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 มิ.ย. มาด้วย)

สำหรับแพตช์ 1 มิ.ย. แก้ช่องโหว่ด้านความปลอดภัย 20 จุด (CVE) เป็นระดับร้ายแรง (critical) 6 จุด ซึ่งเป็นเรื่องของ Mediaserver เจ้าเก่า 3 จุด ส่วนแพตช์ 5 มิ.ย. แก้เพิ่มอีก 38 จุด ส่วนมากแก้ปัญหาช่องโหว่บนไดรเวอร์ของผู้ผลิตฮาร์ดแวร์อย่าง LG, MediaTek, NVIDIA และ Qualcomm โดยในจำนวนนี้มีระดับร้ายแรง 6 จุด

เผยช่องโหว่ Zip Slip ไฟล์ Zip/Rar อาจถูกฝังสคริปต์ไม่ปลอดภัย กระทบไลบรารีหลายตัว

By mk

on 6 June 2018 - 10:03 Tag: Security

Security

บริษัทความปลอดภัย Snyk Security ประกาศข้อมูลช่องโหว่ชื่อ Zip Slip เปิดโอกาสให้ไฟล์บีบอัดข้อมูลประเภท zip, tar, jar, war, cpio, apk, rar, 7z อาจกลายเป็นเครื่องมือแพร่สคริปต์ประสงค์ร้ายได้

แกนหลักของช่องโหว่ Zip Slip คือการระบุชื่อไฟล์เป็นพาธของไดเรคทอรีย้อนกลับ (เช่น ../../../../evil.sh) เพื่อให้แตกไฟล์แล้วนำสคริปต์ประสงค์ร้ายไปวางในไดเรคทอรีชั้นนอกสุด (เช่น /) และหาโอกาสรันสคริปต์นี้ในภายหลัง

ปกติแล้ว โปรแกรมบีบอัดข้อมูลยอดนิยมทั่วไปมักกรองพาธแบบนี้ให้อยู่แล้ว แต่ไลบรารีบีบอัดข้อมูลบางตัวอาจไม่ได้ป้องกันไว้ จึงกลายเป็นช่องโหว่ได้

แอปเปิลประกาศบังคับใบรับรองเข้ารหัสต้องล็อก CT ทั้งหมดภายในเดือนตุลาคมนี้ ครอบคลุมแอปต่อตรงนอกเบราว์เซอร์ด้วย

By lew

on 6 June 2018 - 04:58 Tag: Apple, Security

Apple

แอปเปิลประกาศปรับนโยบายการเชื่อมต่อจากแอปไปยังเซิร์ฟเวอร์แบบเข้ารหัส ให้ใบรับรองเข้ารหัสต้องถูกล็อกลงเซิร์ฟเวอร์ Certificate Transparency (CT) ภายในวันที่ 15 ตุลาคมนี้ ไม่เช่นนั้นแอปจะเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ไม่ได้ หรือหากเป็นเว็บก็จะเชื่อมต่อกลับไม่ได้เช่นกัน

ใบรับรองต้องล็อกลงเซิร์ฟเวอร์ CT อย่างน้อยสองชุด (เพิ่มขึ้นหากอายุใบรับรองยาวขึ้น) นโยบายนี้มีผลครอบคลุมทุกแพลตฟอร์มของแอปเปิล

ก่อนหน้านี้แอปเปิลบังคับเพียงใบรับรองแบบ EV เท่านั้นที่ต้องล็อกลง CT

ที่มา - Apple Support

กูเกิลเปิดตัวโครงการ Capillary ไลบรารีเข้ารหัสข้อความไม่ให้เซิร์ฟเวอร์ push อ่านได้

By lew

on 6 June 2018 - 04:37 Tag: Android, Cryptography, Security, Privacy

Android

ผู้พัฒนาแอปจำนวนมากมักใช้บริการ push ข้อความจากบริการคลาวด์ต่างๆ เช่น Firebase Cloud Messaging (FCM) ปัญหาอย่างหนึ่งคือหากข้อความเป็นความลับมากๆ นักพัฒนาจะต้องเชื่อใจบริการ push เหล่านั้นไปด้วย ตอนนี้กูเกิลก็ออกไลบรารีเข้ารหัสจากปลายทางถึงปลายทาง ทำให้สามารถใช้ FCM ได้โดยไม่ต้องเปิดเผยข้อความให้เซิร์ฟเวอร์ของกูเกิลอีก โดยใช้ชื่อโครงการ Capillary

วิศวกรกูเกิลอ่านค่าใน iframe ของเว็บอื่นได้สำเร็จ จากการสังเกตเวลาเรนเดอร์ CSS3 Blend Mode

By lew

on 3 June 2018 - 01:11 Tag: CSS, Security, Privacy

CSS

Ruslan Habalov วิศวกรความปลอดภัยของกูเกิลรายงานถึงการโจมตีเบราว์เซอร์ ด้วยการอ่านค่าใน iframe ที่เป็นเนื้อหาของเว็บอื่น เช่น เฟซบุ๊กที่ปกติแล้ว แม้เราจะเห็นชื่อผู้ใช้ในเฟซบุ๊กของเราเองผู้ตามเว็บต่างๆ ที่ฝังกล่องเฟซบุ๊กเอาไว้ (ด้านขวาของ Blognone) แต่ตัวเว็บหลักจะไม่สามารถอ่านค่าในกล่องเฟซบุ๊กได้

การโจมตีนี้อาศัยข้อมูลรอบข้าง (side-channel) โดยอาศัยการสังเกตเวลาเรนเดอร์ iframe เหล่านี้ เมื่อ iframe เหล่านี้ถูกดัดแปลงสีด้วยฟีเจอร์ Blend Mode ของ CSS3

Git ออกเวอร์ชัน 2.17.1 อัพเดตช่องโหว่ความปลอดภัยสำคัญ

By mk

on 31 May 2018 - 08:52 Tag: Git, Security

Git

Git ออกเวอร์ชันใหม่ 2.17.1 แก้ช่องโหว่ด้านความปลอดภัยที่สำคัญ 2 ตัว (CVE-2018-11233 และ 11235) ผู้ใช้ทุกคนควรอัพเดตกันด่วน

ปกติแล้ว Git จะโคลน repository จากเซิร์ฟเวอร์ โดยไม่ดึงไฟล์คอนฟิกบางอย่าง (เช่น .git/config) มายังเครื่องโลคัลด้วยเหตุผลด้านความปลอดภัย เพราะไม่มีอะไรยืนยันได้ว่าไฟล์คอนฟิกบนเซิร์ฟเวอร์จะฝังคำสั่งประสงค์ร้าย ที่สามารถรันบนเครื่องโลคัลได้อัตโนมัติ

NTT เปิดตัว AI Guardman กล้องวงจรปิดสำหรับร้านค้า ช่วยตรวจตราระวังคนขโมยของ

By ตะโร่งโต้ง

on 31 May 2018 - 01:25 Tag: NTT, Artificial Intelligence, Security, CCTV, Japan, Crime

NTT

NTT ร่วมมือกับ Earth Eyes บริษัทด้านเทคโนโลยีปัญญาประดิษฐ์ของญี่ปุ่น เปิดตัว AI Guardman กล้องวงจรปิดที่มาพร้อมปัญญาประดิษฐ์ประมวลผลกับฐานข้อมูลบนคลาวด์สำหรับใช้งานในร้านค้าต่างๆ เพื่อช่วยตรวจตราระวังคนขโมยสินค้าภายในร้าน

AI Guardman เป็นกล้องวงจรปิดที่มีปัญญาประดิษฐ์วิเคราะห์ภาพภายในร้านค้า ตัวกล้องสามารถกวาดเก็บภาพได้เป็นมุม 144 องศา และวิเคราะห์ภาพคนรวมทั้งวัตถุต่างๆ ในระยะ 13 เมตรที่มันมองเห็นรอบตัวมัน ระบบปัญญาประดิษฐ์สามารถวิเคราะห์ท่าทางการเคลื่อนไหวร่างกายของคนได้ ทำให้มันสามารถจำแนกได้ว่าบุคคลใดในร้านค้าที่มีพฤติกรรมน่าสงสัยว่าจะขโมยสินค้า ซึ่งมักจะมีท่าทางที่สอดส่ายสายตามองหาว่ามีคนจับตาดูตนเองหรือไม่ หรือมักจะวนเวียนและใช้เวลาอยู่ในบริเวณจุดอับสายตาของพนักงานประจำร้านอยู่เป็นเวลานาน

นักวิจัยรายงานการโจมตีการเชื่อมต่อ Z-Wave แฮกเกอร์อาจเข้าควบคุมล็อกประตู, สัญญาณกันขโมยได้

By lew

on 31 May 2018 - 00:26 Tag: Z-Wave, Internet of Things, Security

Z-Wave

ทีมวิจัยจาก Pen Test Partners รายงานถึงการโจมตีโปรโตคอล Z-Wave ที่มักใช้งานในอุปกรณ์ IoT หลากหลายยี่ห้อ ช่องโหว่ทำให้แฮกเกอร์สามารถเข้าควบคุมอุปกรณ์ IoT ในบ้าน ไม่ว่าจะเป็น หลอดไฟ, ล็อกประตู, หรือแม้แต่สัญญาณกันขโมย

ผลสำรวจรหัสผ่านหลุด ผู้ใช้ 86% ใช้รหัสผ่านซ้ำกับบริการอื่น แม้รหัสผ่านจะซับซ้อน

By lew

on 25 May 2018 - 14:48 Tag: Password, Security

Password

Troy Hunt นักวิจัยความปลอดภัยไซเบอร์ผู้ก่อตั้งโครงการ Pwned Passwords นำรหัสผ่านหลุดจากเว็บ CashCrate ที่หลุดมาตั้งแต่ปี 2016 มาสำรวจพบว่า 86% ของรหัสผ่านที่หลุดออกมาซ้ำกับรหัสที่หลุดออกมาก่อนหน้านี้แล้ว

รหัสผ่านที่ซ้ำกับที่หลุดมาก่อนหน้าส่วนมากเป็นรหัสผ่านคุณภาพแย่ เช่น "123456", "qwerty", หรือ "password" แต่ที่น่าสนใจคือมีรหัสผ่านคุณภาพดีที่ยาวกว่าขั้นต่ำที่แนะนำ มีความซับซ้อนมากพอ แต่กลับมีการใช้งานในบริการที่รหัสผ่านหลุดมาก่อนแล้ว เช่น "D*lishmars3an0eei3", "20921147_bronzegoddess", "anchorage alaska", หรือ "i like to have sex"

FBI ยึดโดเมนกระจายโมดูลมัลแวร์ VPNFilter, ระบุกลุ่มในรัสเซียอยู่เบื้องหลัง

By lew

on 24 May 2018 - 13:50 Tag: FBI, Malware, Security, Cisco

FBI

หลังจาก Cisco Talos เผยแพร่รายงานมัลแวร์ VPNFilter เมื่อวานนี้ วันนี้ทาง FBI ก็ยื่นขอหมายยึดโดเมน toknowall.com ซึ่งเป็นหนึ่งในสามช่องทางสำหรับกระจายมัลแวร์ขั้นที่สอง

VPNFilter มีช่องทางแพร่มัลแวร์ขั้นที่สองด้วยการให้มัลแวร์ขั้นแรกดาวน์โหลดภาพจาก Photobucket หรือเว็บ ToKnowAll.com เมื่อดาวน์โหลดภาพที่ระบุได้แล้ว จะนำค่าไอพีจากใน EXIF มาดาวน์โหลดมัลแวร์ขั้นที่สองอีกครั้ง

Facebook ปรับปรุงการยืนยันตัวตน 2 ขั้นตอน ไม่ต้องใช้เบอร์โทรศัพท์ก็ได้

By arjin

on 24 May 2018 - 07:11 Tag: Facebook, Authentication, Security

Facebook

Facebook ประกาศปรับปรุงขั้นตอนการยืนยันตัวตนสองปัจจัย (Two-Factor Authentication) จากเดิมที่ต้องผูกบัญชีกับเบอร์โทรศัพท์มือถือ เพื่อใช้รับ sms ยืนยันตัวตนขั้นตอนสุดท้าย มาเป็นสามารถเลือกไม่ใส่เบอร์โทรศัพท์มือถือก็ได้ มีรายละเอียดดังนี้

Cisco Talos รายงานมัลแวร์ VPNFilter ระบาดในอุปกรณ์เน็ตเวิร์ค กระจายแล้วกว่า 500,000 อุปกรณ์ใน 54 ประเทศ

By lew

on 24 May 2018 - 00:52 Tag: Cisco, Security, Malware

Cisco

Cisco Talos เปิดเผยรายงานวิจัยที่อยู่ระหว่างการศึกษาถึงมัลแวร์ที่ชื่อว่า VPNFilter แพร่ระบาดในอุปกรณ์เน็ตเวิร์คสำหรับสำนักงานขนาดเล็ก เช่น แบรนด์ Linksys, Mikrotik, NETGEAR, TP-Link ไปจนถึงสตอเรจอย่าง QNAP การแพร่กระจายเป็นวงกว้างกระทบอุปกรณ์แล้วกว่า 500,000 ตัวใน 54 ประเทศ โดยยังไม่แน่ชัดว่าตัวมัลแวร์ใช้ช่องโหว่อะไรเจาะเข้าเครื่องเหยื่อ แต่เครื่องที่ตกเป็นเหยื่อมักใช้ซอฟต์แวร์เก่าที่มีช่องโหว่ที่รับรู้โดยทั่วกันอยู่แล้ว

Subscribe to Security