พบบั๊กเว็บลงทะเบียนเราท์เตอร์ Xfinity ของ Comcast ใส่ไอดีลูกค้าแล้วแสดงรหัส Wi-Fi

By nutmos Writer on Tag: Comcast, Bug, Security
Comcast

ZDNet รายงานว่า เว็บไซต์ของ Comcast ที่ไว้เปิดใช้งานเราท์เตอร์ Xfinity มีบั๊กที่สามารถเปิดเผยข้อมูลผู้ใช้และรหัสผ่าน Wi-Fi ของเราท์เตอร์ลงทะเบียนไว้ ซึ่ง Comcast ก็รับทราบและแก้ปัญหานี้เรียบร้อยแล้ว

Read more

YubiKey รองรับการแตะเพื่อยืนยันตัวตนโดยใช้ NFC บน iPhone แล้ว

By nutmos Writer on Tag: Yubico, Authentication, Security
Yubico

YubiKey อุปกรณ์ยืนยันตัวตนจาก Yubico ได้เพิ่มฟีเจอร์ใหม่คือการยืนยันตัวตนผ่านระบบ NFC ของ iPhone

ปกติแล้วตัว YubiKey นั้นจะออกแบบไว้ให้ใช้งานกับอุปกรณ์​ USB ซึ่งจะยากต่อการใช้งานบนอุปกรณ์พกพาที่ไม่มีพอร์ตเสียบ แต่ช่วงหลังก็เริ่มออก YubiKey NEO ที่รองรับ NFC แล้วก็ทำให้ผู้ใช้เพียงแตะอุปกรณ์เข้ากับสมาร์ทโฟน Android ก็ใช้เพื่อยืนยันตัวตนได้เลยทันที ซึ่งการเพิ่ม iPhone เข้ามาก็จะช่วยอำนวยความสะดวกในการใช้งานฮาร์ดแวร์ในการยืนยันตัวตนให้ใช้งานได้หลากหลายขึ้น

Read more

Qualcomm ประกาศใช้มาตรฐาน WPA3 กับชิปเซ็ตมือถือและอุปกรณ์เน็ตเวิร์คทั้งหมด

By nismod Writer on Tag: Qualcomm, Security
Qualcomm

Qualcomm ประกาศรองรับมาตรฐาน WPA3 ที่เพิ่งเปิดตัวเมื่อต้นปี บนผลิตภัณฑ์ของตัวเอง โดยเริ่มใช้มาตรฐานใหม่นี้แล้วกับชิปโมเด็ม WCN3998 และชิปเซ็ต AP ตระกูล IPQ807x ที่มาพร้อมกับมาตรฐาน 802.11ax

Qualcomm ระบุว่าผลิตภัณฑ์อื่นๆ ที่ใช้ WPA3 จะเริ่มออกสู่ผู้บริโภคในช่วงฤดูร้อนปีนี้ ซึ่งรวมถึง Snapdragon 845 ที่เปิดตัวไปแล้วด้วย

ที่มา - Qualcomm

Read more

พบช่องโหว่ Spectre แบบใหม่ ทั้งอินเทลและเอเอ็มดีตัดปัญหาด้วยการออกคำสั่งเพิ่ม ต้องคอมไพล์ระบบปฎิบัติการใหม่

By lew Founder on Tag: Spectre, Security, Intel, AMD, CPU, Project Zero
Spectre

Project Zero พบช่องโหว่ที่ดัดแปลงจากแนวทาง Spectre อีกรูปแบบหนึ่ง กลายเป็นรูปแบบที่สี่ ตอนนี้ทั้งอินเทลและเอเอ็มดีแก้ปัญหาด้วยการอัพเดต microcode เพื่อเพิ่มคำสั่ง (instruction) ใหม่ให้กับซีพียู และการอัพเดตแพตช์ของระบบปฎิบัติการต้องคอมไพล์ใหม่เพื่อใช้คำสั่งนี้

ช่องโหว่นี้เกิดขึ้นเนื่องจากพฤติกรรมของคำสั่ง LOAD ที่พยายามคาดเดาว่าค่าในหน่วยความจำถูกแก้ไขด้วยคำสั่ง STORE ไปหรือไม่ หากคาดว่าไม่ถูกแก้ไขก็จะโหลดจากแคช L1 ทำให้ได้ความเร็วสูง ทาง Project Zero สามารถเขียนตัวอย่างอ่านค่าที่ไม่ได้รับอนุญาตได้สำเร็จ

Read more

Tidal เริ่มสอบสวนความปลอดภัยภายในบริษัท หลังมีสำนักข่าวได้ฮาร์ดดิสก์บรรจุข้อมูลการเล่นเพลง

By nutmos Writer on Tag: Tidal, Security, Data Breach
Tidal

บริการสตรีมมิ่งเพลง Tidal เริ่มกระบวนการสอบสวนภายใน เนื่องจากสงสัยการหลุดของข้อมูลสถิติการเล่นเพลงต่าง ๆ

ก่อนหน้านี้ หนังสือพิมพ์นอร์เวย์ Dagens Næringsliv (DN) ได้นำฮาร์ดไดรฟ์ข้อมูลภายในของ Tidal ไปให้ Norwegian University of Science and Technology วิเคราะห์ข้อมูล และพบว่า Tidal ได้ปรับตัวเลขจำนวนครั้งในการเล่นเพลงของ Lemonard และ The Life of Pablo ให้ดูสูงขึ้นมาก (จากรายงานเขียนว่านับร้อยล้านครั้ง) และ Tidal ต้องจ่ายนักร้องทั้งสองคือ Beyoncé และ Kanye West สูงขึ้น

Read more

Chrome ประกาศเลิกแสดงกุญแจสีเขียวแสดงว่าเว็บเป็น HTTPS ตั้งแต่กันยายนนี้, อาจเลิกแสดง EV ด้วย

By lew Founder on Tag: Chrome, HTTPS, Security
Chrome

Chrome มีแนวทางการประกาศว่าเว็บ HTTP ปกติที่ไม่ได้เข้ารหัสเป็นเว็บที่ไม่ปลอดภัยมาตลอด ตอนนี้ส่วนกลับอีกด้านคือเว็บที่เข้ารหัสเป็น HTTPS จะเริ่มถูกปรับให้กลายเป็นเว็บธรรมดา ไม่มีคำรับรองว่าปลอดภัยอีกต่อไป

ตั้งแต่ Chrome 69 ที่กำลังจะออกเดือนกันยายนนี้ เว็บที่เป็น HTTPS จะไม่แสดงแถบสีเขียวและคำว่า "Secure" อีกต่อไป แต่จะเหลือเพียงกุญแจสีดำปกติเท่านั้น และหลังจากนี้จะไม่มีกุญแจอีกเลย เว็บเข้ารหัสจะกลายเป็นเพียงเว็บทั่วๆ ไป

Read more

Fraunhofer เสนอแนวทางเก็บกุญแจดิจิตอลที่อ่านไม่ได้ เพราะกล่องป้องกันคือกุญแจเอง

By lew Founder on Tag: Security, Hardware
Security

Applied and Integrated Security (AISEC) สถาบันวิจัยในเครือ Fraunhofer เสนอแนวทางการเก็บกุญแจลับในอุปกรณ์ ที่ผู้ครอบครองอุปกรณ์เองก็อ่านค่ากุญแจไม่ได้ ซึ่งมักใช้งานสำหรับเก็บกุญแจเข้ารหัสสำหรับงานที่มีมูลค่าสูงๆ เช่น เก็บกุญแจลับของหน่วยงานออกใบรับรอง

Read more

ธนาคารเม็กซิโกป่วนหนัก แฮกเกอร์เข้าถึงระบบโอนเงินข้ามธนาคารได้ ขโมยเงินออกไปแล้วกว่า 500 ล้านบาท

By lew Founder on Tag: Mexico, Banking, Hacking, Security
Mexico

ธนาคารหลายแห่งในเม็กซิโกถูกแฮกเกอร์ที่ยังจับตัวไม่ได้สั่งโอนเงินข้ามธนาคารไปยังบัญชีหลอก และถอนเงินออกไปอย่างรวดเร็วในช่วงสัปดาห์ที่ผ่านมา โดยธนาคารกลางเม็กซิโกออกมาระบุว่าเป็นเหตุการณ์ร้ายแรงอย่างที่ไม่เคยเกิดมาก่อน และยังไม่แน่ใจว่าหยุดยั้งแฮกเกอร์ได้หรือยัง

ระบบโอนเงินระหว่างธนาคารของเม็กซิโกมีชื่อว่า SPEI ทางธนาคารกลางเม็กซิโกยืนยันว่าระบบ SPEI ไม่ได้ถูกแฮกแต่อย่างใด แต่ปัญหาอยู่ที่ระบบรอบๆ ที่ธนาคารต่างๆ ใช้งาน

Read more

ช่องโหว่ EFAIL จากโปรแกรมเมลตรวจสอบการเข้ารหัส PGP ไม่สมบูรณ์ เปิดช่องให้แฮกเกอร์อ่านเมล

By lew Founder on Tag: Security, PGP
Security

เมื่อวานนี้มีรายงานถึงช่องโหว่ EFAIL ตอนนี้รายละเอียดก็ออกมาแล้ว โดยปัญหาสำคัญคือโปรแกรมเมลและปลั๊กอินสำหรับถอดรหัส PGP นั้นทำงานผิดพลาดที่ไม่ตรวจสอบสถานะการถอดรหัส ประกอบการโปรแกรมเมลเมื่อรับอีเมลเป็น HTML มักจะเรนเดอร์ HTML ทันที

การโจมตี EFAIL อาศัยช่องว่างนี้นำข้อความเข้ารหัสที่อ่านไม่ได้ ไปวางไว้ในอีเมลอีกฉบับ โดยทำเป็น URL ของภาพ ทำให้โปรแกรมอีเมลพยายามเรนเดอร์อีเมลและส่ง request ไปยังเซิร์ฟเวอร์ของแฮกเกอร์

คำแนะนำระหว่างนี้คือผู้ที่ใช้อีเมลเข้ารหัสควรปิดการเรนเดอร์ HTML ในโปรแกรมอีเมล และรอแพตช์จากผู้ผลิตต่อไป

Read more

[อัพเดต] พบช่องโหว่ความปลอดภัยระบบ PGP และ S/MIME อาจแสดง plaintext ของอีเมลที่เข้ารหัสแล้ว

By nutmos Writer on Tag: PGP, Encryption, Email, Security
PGP

Sebastian Schinzel นักวิจัยความปลอดภัยจาก Münster University of Applied Sciences พบช่องโหว่ความปลอดภัยของระบบ PGP และ S/MIME ที่ใช้เพื่อการส่งอีเมลเข้ารหัสซึ่งเป็นมาตรฐานที่ใช้กันอย่างแพร่หลาย

นักวิจัยที่ค้นพบช่องโหว่เผยว่า ช่องโหว่ที่ค้นพบล่าสุดนี้มีโอกาสที่จะแสดง plaintext ของข้อความเข้ารหัสที่เข้ารหัสแล้วออกมาได้ ซึ่งรวมถึงข้อความเข้ารหัสที่มีการส่งในอดีตด้วย และตอนนี้ยังไม่มีวิธีแก้ปัญหาดังกล่าว

Read more

Google เตรียมปรับข้อตกลงกับผู้ผลิตแอนดรอยด์ OEM แก้ปัญหาไม่ปล่อย Security Patch รายเดือน

By nismod Writer on Tag: Android, Google, Security
Android

ปัญหาการอัพเดตแพตช์รายเดือนบนแอนดรอยด์เป็น pain point ใหญ่อย่างหนึ่งที่ Google พยายามแก้ไขมาตลอด ซึ่งถึงแม้จะมี Project Treble บน Android Oreo จะออกมาช่วยแก้ปัญหาในเชิงเทคนิค แต่ก็ไม่ได้หมายความว่าผู้ผลิตแอนดรอยด์จะยอมทำตามกันทั้งหมด

ล่าสุด Google จริงจังที่จะแก้ปัญหานี้ไปอีกขึ้น จากการเตรียมจะแก้ไขรายละเอียดในข้อตกลง กับผู้ผลิตแอนดรอยด์ OEM (OEM Agreement) ให้ปล่อยแพตช์รายเดือนอย่างสม่ำเสมอมากขึ้น ทว่ายังไม่มีรายละเอียดออกมาว่าจะบังคับอะไรยังไง อุปกรณ์รุ่นไหนบ้าง

ที่มา - XDA

Read more

IBM สั่งพนักงานทั่วโลก ห้ามถ่ายโอนข้อมูลองค์กรลง Removable Device

By nismod Writer on Tag: IBM, Security
IBM

IBM ประกาศให้พนักงานของบริษัททั่วโลก ห้ามถ่ายโอนข้อมูลขององค์กรไปยังอุปกรณ์ Removable ต่างๆ อาทิ USB, SD Card หรือแฟลชไดร์ฟ และหันไปใช้ Sync and Share ของ IBM ในการถ่ายโอนข้อมูลแทน

Shamla Naidoo ผู้บริหารฝ่ายความปลอดภัยสารสนเทศของ IBM (Chief Information Security Officer - CISO) ระบุว่าเพื่อลดความเสียหายด้านการเงินและชื่อเสียง ที่อาจเกิดจากการที่พนักงานทำอุปกรณ์ removable ที่มีข้อมูลของบริษัทเหล่านั้นสูญหาย

Read more

พบช่องโหว่ความปลอดภัยใน 7-Zip อาจถูกโจมตีด้วยไฟล์ RAR ได้

By mk Founder on Tag: 7-Zip, Security
7-Zip

นักวิจัยความปลอดภัยที่ใช้ชื่อว่า LANDAVE ประกาศค้นพบช่องโหว่ในโปรแกรม 7-Zip เครื่องมือบีบอัดไฟล์ยอดนิยม

ปัญหาเกิดจากส่วนการบีบอัดไฟล์ RAR ซึ่ง 7-Zip เรียกใช้โค้ดจากโครงการโอเพนซอร์ส UnRAR อีกต่อหนึ่ง โค้ดส่วนนี้เขียนป้องกันเรื่องความปลอดภัยมาไม่ดีพอ เปิดโอกาสให้มัลแวร์สามารถแอบแฝงตัวมาอยู่ในไฟล์ RAR แล้วทำงานตอนที่ถูกคลายการบีบอัดได้

Read more

ครบรอบ 1 ปี WannaCry บทเรียนเมื่อเครื่องมือเจาะระบบระดับรัฐรั่วสู่โลกภายนอก

By lew Founder on Tag: WannaCrypt, NSA, Security
WannaCrypt

เมื่อวันที่ 13 พฤษภาคมปีที่แล้ว รายงานการระบาดของมัลแวร์ WannaCrypt หรือ WannaCry ปรากฎต่อสาธารณะเป็นครั้งแรก และภายในเวลาเพียงไม่กี่ชั่วโมง หน่วยงานจำนวนมากก็ตกเป็นเหยื่อของมัลแวร์ต้วนี้อย่างต่อเนื่อง สร้างความเสียหายมหาศาล มูลค่าความเสียหายรวมน่าจะเกิน 8,000 ล้านดอลลาร์สหรัฐฯ

Read more

พลเอกประยุทธประชุมเตรียมการไซเบอร์ พัฒนาบุคลากรทุกระดับ 1,000 คน งบกว่า 500 ล้านบาท

By lew Founder on Tag: Thailand, Security
Thailand

พลเอกประยุทธ์ จันทร์โอชา ร่วมประชุมคณะกรรมการเตรียมการไซเบอร์แห่งชาติ โดยมีประเด็นสำคัญคือการกำหนดโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และแผนการพัฒนาบุคลากรด้านความปลอดภัยไซเบอร์

การกำหนดโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (critical information infrastructure - CII) กำหนด 6 กลุ่ม ได้แก่ กลุ่มความมั่นคงและภาครัฐ, กลุ่มการเงิน, กลุ่มเทคโนโลยีสารสนเทศและโทรคมนาคม, กลุ่มการขนส่งและโลจิสติกส์, กลุ่มพลังงานและสาธารณูปโภค, และกลุ่มสาธารณสุข

Read more

ข้อความจาก Signal บน Mac จะถูกบันทึกไว้ใน Notification Center แม้จะถูกลบจากไปแอพแล้ว

By nutmos Writer on Tag: Signal, Security, Privacy
Signal

Alec Muffett นักวิจัยด้านความปลอดภัยรายงานช่องโหว่สำคัญของ Signal บน Mac คือแม้จะเป็นข้อความที่ถูกลบไปแล้วจากตัวแอพ (Signal มีฟีเจอร์ตั้งเวลาลบข้อความด้วย) แต่ข้อความจะยังคงอยู่ใน Notification Center รวมถึงบันทึกไว้ในฐานข้อมูลของตัวเครื่องด้วย ซึ่งอาจสร้างความกังวลให้ผู้ใช้แอพได้บ้าง

Read more

ระวัง Ransomware ใหม่ SynAck เริ่มระบาด ซ่อนตัวเองอยู่ใน NTFS transaction

By lew Founder on Tag: Ransomware, Security
Ransomware

Kaspersky รายงานแจ้งเตือนถึงมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ SynAck ที่เริ่มระบาดในบางภูมิภาค โดยความพิเศษของมันคือการซ่อนตัวจากการตรวจจับผ่านเทคนิคการทำ NTFS transaction หรือที่เรียกว่า Process Doppelgänging

Read more

สำนักข่าวกรองแห่งชาติรับสมัครเจ้าหน้าที่ความปลอดภัยไซเบอร์เพิ่ม 40 ตำแหน่ง เงินเดือน 16,500 บาทเท่าเดิม

By lew Founder on Tag: Thailand, Security
Thailand

สำนักข่าวกรองแห่งชาติประกาศรับสมัครนักการข่าวปฏิบัติการ ด้านความมั่นคงปลอดภัยไซเบอร์ หรือตำแหน่งเดิมที่เคยประกาศรับสมัครตั้งแต่ปี 2015 10 ตำแหน่ง โดยปีนี้รับสมัครเพิ่มเติมถึง 40 ตำแหน่ง

อัตราเงินเดือนรับสมัครยังคงอยู่ที่ 15,000-16,500 บาทเท่ากับเมื่อปี 2015 โดยระบุว่า "อาจ" ได้รับเงินเพิ่มสำหรับตำแหน่งพิเศษของผู้ปฎิบัติงานด้านการข่าวอีก 5,500 บาท

Read more

กูเกิลปล่อยแพตช์ความปลอดภัย Pixel/Nexus รอบพฤษภาคม 2018

By tekkasit Contributor on Tag: Android Oreo, Security, Google Pixel, Google Nexus, Google, Android
Android Oreo

พบกันเป็นประจำทุกเดือนครับ ครั้งนี้ออกก่อนงาน Google I/O หนึ่งวันพอดี รอบนี้กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนพฤษภาคม 2018 แพตช์รอบนี้เป็นแบบตามปกติมี 2 ชุด ได้แก่ชุด 1 พ.ค. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน ชุด 5 พ.ค. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 พ.ค. มาด้วย)

สำหรับแพตช์ 1 พ.ค. แก้ช่องโหว่ด้านความปลอดภัย 7 จุด (CVE) ส่วนแพตช์ 5 พ.ค. แก้เพิ่มอีก 16 จุด ส่วนมากแก้ปัญหาช่องโหว่บนไดรเวอร์ของผู้ผลิตฮาร์ดแวร์อย่าง Qualcomm, NVIDIA โดยในจำนวนนี้มีระดับร้ายแรง 2 จุด

Read more

ตัวแทน AWS อาเซียนยืนยัน ระบบคลาวด์ไม่ได้ถูกแฮกกรณีข้อมูลหลุด, มีการป้องกันและแจ้งเตือนหลายชั้น

By nismod Writer on Tag: AWS, Security, Thailand
AWS

เดือนที่แล้วมีประเด็นอื้อฉาวในวงการโทรคมนาคมและความปลอดภัยไซเบอร์ในบ้านเรา กรณีที่โอเปอเรเตอร์ทำข้อมูลบัตรประชาชนลูกค้าหลุด จากการเปิด bucket บน S3 เป็นพับลิกแล้วอ้างว่าถูกแฮก

วันนี้ Blognone ได้มีโอกาสพูดคุยกับ Santanu Dutt ตำแหน่ง Senior Manager ฝั่ง Solution Architecture ของ AWS ในอาเซียน ซึ่งคุณ Santanu ยืนยันว่ากรณีดังกล่าว AWS ไม่ได้ถูกแฮกและระบบก็มีโซลูชันความปลอดภัยที่แน่นหนา หลายชั้น รวมถึงมีการแจ้งเตือนความผิดพลาดหรือความเสี่ยงต่างๆ อยู่ตลอดเวลา

Read more
Subscribe to Security