พบเว็บไซต์ BlackBerry ฝังสคริปต์ขุดเหมืองไว้

By BlackMiracle Writer on Tag: BlackBerry, Cryptocurrency, Security
BlackBerry

ปัจจุบันเทคนิกการหาเงินเข้าเว็บเริ่มเปลี่ยนจากการโฆษณาไปเป็นการฝังสคริปต์ขุดเหมืองกันมากขึ้น ล่าสุดนักวิจัยด้านความปลอดภัยชื่อดัง Brian Krebs ทวีตว่าเขาพบว่าเว็บไซต์อย่างเป็นทางการของ BlackBerry ฝั่งธุรกิจสมาร์ทโฟนได้ฝังสคริปต์ดังกล่าวไว้

สคริปต์ที่ Krebs รายงานเป็นของ CoinHive เอาไว้ขุดเหมืองของสกุลเงิน Monero ซึ่งไม่เป็นที่แน่ชัดว่าเว็บไซต์ถูกแฮ็กหรือ BlackBerry ตั้งใจหาเงินด้วยวิธีดังกล่าว โดยขณะที่เขียนข่าวนี้ยังมีสคริปต์ขุดเหมืองนี้อยู่

ที่มา - @briankrebs

Read more

เตรียมพบแพตช์แก้ช่องโหว่ซีพียูอินเทลเร็วๆ นี้ ประสิทธิภาพอาจลดลงถึง 23%

By lew Founder on Tag: Intel, Linux, Security, Security Patch, Meltdown
Intel

ช่วงเดือนธันวาคมที่ผ่านมานักพัฒนาเคอร์เนลลินุกซ์กำลังเร่งพัฒนาแพตช์ชุดใหญ่ kernel page-table isolation (KPTI) ที่แก้ปัญหาช่องโหว่ของซีพียูอินเทล ที่เปิดให้แฮกเกอร์ที่รันโค้ดในระดับ user สามารถรู้ตำแหน่งของฟังก์ชั่นต่างๆ ในเคอร์เนลได้ จากเดิมที่ควรปกป้องไว้ด้วยระบบสุ่มตำแหน่งหน่วยความจำเคอร์เนล (KASLR)

Read more

กูเกิลปล่อยแพตช์ความปลอดภัย Pixel/Nexus รอบมกราคม 2018

By tekkasit Contributor on Tag: Android Oreo, Security, Google Pixel, Google Nexus, Google, Android
Android Oreo

สวัสดีปีใหม่ครับ พบกันเป็นประจำทุกเดือนครับ รอบนี้กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนมกราคม 2018 แพตช์รอบนี้เป็นแบบตามปกติมี 2 ชุด ได้แก่ชุด 1 ม.ค. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน ชุด 5 ม.ค. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 ม.ค. มาด้วย)

สำหรับแพตช์ 1 ม.ค. แก้ช่องโหว่ด้านความปลอดภัย 20 จุด (CVE) เป็นระดับร้ายแรง (critical) ถึง 4 จุด ซึ่ง 3 จุดเป็นเรื่องของ Mediaserver เจ้าเก่า ส่วนแพตช์ 5 ม.ค. แก้เพิ่มอีก 18 จุด ส่วนมากแก้ปัญหาช่องโหว่บนไดรเวอร์ของผู้ผลิตฮาร์ดแวร์อย่าง Qualcomm, NVIDIA, MediaTek, LG, HTC โดยมีระดับร้ายแรง 1 จุด

Read more

แล้วบอกคนอื่นว่าปลอดภัย Face ID ไม่สามารถใช้จ่ายเงินซื้อแอปแทนคนในครอบครัวเหมือน Touch ID

By lew Founder on Tag: Face ID, Apple, Security, Biometric
Face ID

ประเด็นความปลอดภัยของ Face ID ยังเป็นเรื่องน่ากังขา เมื่อมีรายงานการใช้ใบหน้าคนละคนสามารถปลดล็อกโทรศัพท์ แม้ว่าแอปเปิลจะอ้างความปลอดภัยว่าสูงกว่า (โอกาสปลดล็อกโดยคนอื่น 1 ใน 1,000,000 เทียบกับ Touch ID 1 ใน 50,000) และฟังก์ชั่นการใช้งานส่วนใหญ่ก็สามารถใช้ Face ID แทน Touch ID ได้ แต่ตอนนี้ผู้ใช้จำนวนหนึ่งก็รายงานว่าฟีเจอร์ให้พ่อแม่จ่ายเงินแทนคนในครอบครัวที่เคยใช้ Touch ID ได้ กลับไม่สามารถใช้ Face ID ได้

Read more

Snowden แนะนำแอปกล้องวงจรปิด Haven ทำงานผ่าน Signal เท่านั้น

By lew Founder on Tag: Edward Snowden, Mobile App, Privacy, Security, Signal
Edward Snowden

The Guardian Project โครงการแอนดรอยด์เพื่อความปลอดภัยตั้งแต่ปี 2011 เปิดตัวโครงการใหม่ Heaven แอปกล้องวงจรปิดที่ไม่เก็บข้อมูลไว้ในคลาวด์ แต่ส่งข้อมูลผ่าน Signal เท่านั้น โดยโครงการนี้เริ่มขึ้นมาโดย Micah F. Lee จาก EFF และ Edward Snowden ผู้เปิดเอกสาร NSA

โครงการเพื่อความเป็นส่วนตัวแต่กลับออกแอปกล้องวงจรปิดดูจะขัดความรู้สึกนักหน่อย แต่โครงการระบุว่าการมีกล้องวงจรปิดไว้ มีประโยชน์สำหรับสิทธิมนุษยชนในหลายกรณี เช่น เมื่อรัฐบาลบางชาติบุกจับผู้ต่อต้านหรือนักข่าว

Read more

ใกล้หมดยุคมัลแวร์เรียกค่าไถ่ เพราะผู้สร้างเปลี่ยนมาทำมัลแวร์ขุดเหมืองแทน

By mk Founder on Tag: Ransomware, Malware, Security, Cryptocurrency, Fortinet
Ransomware

กระแส cryptocurrency ระบาดไปทุกวงการ ไม่เว้นแม้แต่วงการผู้สร้างมัลแวร์ ที่กำลังเริ่มเปลี่ยนจากการเรียกค่าไถ่ข้อมูลของผู้ใช้ (ransomware) มาเป็นการยึดเครื่องมาเพื่อขุดเหมืองแทน

หน่วยวิจัยความปลอดภัย FortiGuard Labs ในเครือบริษัท Fortinet ค้นพบว่ากลุ่มแฮ็กเกอร์ผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ VenusLocker ปรับเปลี่ยนแนวทางใหม่ เปลี่ยนมาเป็นนำมัลแวร์ไปติดพีซี เพื่อใช้ขุดเหรียญ Monero

Read more

ArsTechnica ถูกบริษัทซอฟต์แวร์เก็บรหัสผ่าน Keeper ฟ้อง หลังรายงานช่องโหว่จาก Project Zero

By lew Founder on Tag: Security, Project Zero
Security

เมื่อสัปดาห์ที่ผ่านมา Project Zero รายงานถึงช่องโหว่ของซอฟต์แวร์เก็บรหัสผ่าน Keeper ที่ไมโครซอฟท์ติดตั้งไปกับ Windows 10 ตั้งแต่กลางปีที่ผ่านมา ปรากฎว่าเวอร์ชั่นที่ติดตั้งมาด้วยมีช่องโหว่ทำให้ผู้ใช้อาจถูกหลอกเอารหัสผ่านที่พบครั้งแรกเมื่อปี 2016 และทาง Keeper ได้ถอดฟีเจอร์ที่มีปัญหาออกไปแล้วครั้งหนึ่ง และตอนนี้ Keeper ก็ยื่นฟ้องต่อ ArsTechnica และ Dan Goodvin ผู้เขียนบทความว่าราย

Read more

รหัสผ่านยอดแย่ของปี 2017 "123456" กับ "password" ยังครองแชมป์ต่อไป ที่เพิ่มเติมคือ "starwars"

By arjin Writer on Tag: Security, Password
Security

บริษัทความปลอดภัย SplashData เจ้าของแอพจัดการรหัสผ่าน TeamsID เปิดเผยสถิติ รหัสผ่านยอดแย่ หรือพูดอีกอย่างก็คือรหัสผ่านยอดนิยม ประจำปี 2017

โดยอันดับ 1 และ 2 นั้น ก็ยังคงเดิมไม่เปลี่ยนแปลง นั่นคือ 123456 และ password ส่วนอันดับสามคือ 12345678 ภาพรวมนั้นก็เป็นรหัสผ่านที่คุ้นชิน แต่ Morgan Slain ซีอีโอของ SplashData ให้ข้อสังเกตในอันดับที่ 16 คือ starwars โดยแนะนำว่าแฮกเกอร์มักเลือกใช้คำที่เป็นกระแสนิยมในการคาดเดาะ เพราะผู้ใช้งานมักเลือกคำแนวนี้เป็นรหัสเนื่องจากจำได้ง่าย แต่จริงๆ ไม่ควรนำมาใช้

Read more

อภิมหาดีลวงการความปลอดภัยข้อมูล Thales บริษัทอาวุธเข้าซื้อ Gemalto ผู้ผลิตสินค้าด้านความปลอดภัยข้อมูล

By lew Founder on Tag: Gemalto, Information Security, Security
Gemalto

Thales บริษัทด้านอากาศยานและอาวุธจากฝรั่งเศสเข้าซื้อ Gemalto บริษัทด้านความปลอดภัยข้อมูล ที่อาจจะเกี่ยวข้องกับคนทั่วไปบ้างคือเป็นผู้ผลิตซิมการ์ดให้กับผู้ให้บริการโทรศัพท์มือถือทั่วโลก

Thales เข้าซื้อหุ้นในราคา 51 ปอนด์ต่อหุ้น รวมมูลค่า 1.77 แสนล้านบาท สูงกว่าราคาตลาด 57%

สินค้าของ Gemalto ส่วนใหญ่เกี่ยวข้องกับกระบวนการเข้ารหัส เช่น ซิมการ์ด, ฮาร์ดแวร์ยืนยันตัวตนขั้นที่สอง, พาสปอร์ต, บริการเข้ารหัสข้อมูลในคลาวด์ ขณะที่บริษัทอาวุธอย่าง Thales ก็พยายามขยายตลาดมาด้านความปลอดภัยข้อมูล โดยลงทุนไปแล้วพันล้านยูโร

Read more

BlackBerry หยุดออกแพตช์ให้ Priv มือถือ Android ตัวแรกของบริษัท หลังครบระยะ 24 เดือน

By mk Founder on Tag: BlackBerry, Android, Security, Mobile
BlackBerry

BlackBerry เพิ่งประกาศแผนการซัพพอร์ตอุปกรณ์ที่ใช้ระบบปฏิบัติการ BlackBerryOS ว่าจะอัพเดตต่อไปอีกสองปี

แต่สำหรับ BlackBerry Priv สมาร์ทโฟน Android ตัวแรกของบริษัท ที่ออกวางขายช่วงปลายปี 2015 กลับถูกประกาศลอยแพอย่างเป็นทางการแล้ว

Read more

Kaspersky ฟ้องรัฐบาลสหรัฐฯ ใช้ข้อมูลที่ยังไม่แน่ชัดเป็นหลักฐานสั่งแบนซอฟต์แวร์ของบริษัท

By nutmos Writer on Tag: Kaspersky, USA, Security
Kaspersky

Kaspersky Lab ผู้ผลิตซอฟต์แวร์ด้านความปลอดภัยจากรัสเซียได้ยื่นฟ้องเพื่อล้มคำสั่งการแบนซอฟต์แวร์ต่อศาลของสหรัฐฯ หลังจากที่กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ (DHS) สั่งแบนซอฟต์แวร์จาก Kaspersky ที่ใช้ในหน่วยงานรัฐบาลทั้งหมดตั้งแต่เดือนกันยายนที่ผ่านมาเนื่องจากกังวลว่าอาจมีจารกรรมข้อมูลจากรัสเซีย

ทางบริษัทกล่าวโทษว่ารัฐบาลเชื่อถือในข้อมูลข่าวสารที่ยังไม่แน่ชัด และใช้เป็นหลักฐานในการทบทวนการใช้งานซอฟต์แวร์ของ Kaspersky ทางบริษัทจึงขอให้ศาลสั่งให้ยกเลิกคำสั่งแบนที่ DHS ประกาศออกมาก่อนหน้านี้ และอธิบายว่าซอฟต์แวร์ของบริษัทไม่ได้เป็นภัยต่อคอมพิวเตอร์ของหน่วยงานรัฐบาลสหรัฐฯ

Read more

กูเกิลเปิดรายละเอียดกระบวนการเข้ารหัสระหว่างบริการภายใน ATLS

By lew Founder on Tag: Google Cloud, Security, Encryption
Google Cloud

กูเกิลเปิดเอกสารรายละเอียดในภาพใหญ่ของกระบวนการเข้ารหัสระหว่างบริการภายใน Application Layer Transport Security (ALTS) ที่ใช้ยืนยันตัวตนระหว่างบริการต่างๆ ของกูเกิลเอง

กูเกิลระบุว่าเหตุผลที่ต้องออกแบบ ATLS มาใช้งานเอง คือ การยืนยันที่ระดับแอปพลิเคชั่น ในขณะที่การเชื่อมต่อ TLS นั้นมักเป็นการยืนยันตัวตนในระดับเครื่อง, กระบวนการกลับมาส่งข้อมูลหลังเชื่อมต่อครั้งแรกไปแล้ว เพราะบริการภายในของกูเกิลมีการเรียกข้อมูลระหว่างเครื่องซ้ำๆ จำนวนมาก, และการลดค่าใช้จ่ายในการเข้ารหัสเมื่อต้องเปิดช่องทางเรียกข้อมูลเป็นเวลานานๆ

Read more

Avast เปิดซอร์ส RetDec ดีคอมไพเลอร์ที่แปลงไบนารีมัลแวร์กลับเป็นซอร์สโค้ด

By mk Founder on Tag: Avast, Security, Compiler, Open Source
Avast

Avast เปิดซอร์สโค้ดของ RetDec (Retargetable Decompiler) ดีคอมไพเลอร์ที่ช่วยแปลงไบนารีกลับเป็นซอร์สโค้ด

RetDec ถูกใช้งานภายในบริษัท Avast เพื่อใช้วิเคราะห์ไวรัส-มัลแวร์ที่มาในรูปของไบนารี สำหรับดูพฤติกรรมการทำงานของมัน รวมถึงหาวิธีแก้ไข (ในกรณีเป็น ransomware)

RetDec พัฒนาขึ้นจากโครงการคอมไพเลอร์โอเพนซอร์ส LLVM และเมื่อมันถูกเปิดซอร์สกลับมาอีกครั้ง (ใช้สัญญาอนุญาต MIT) ก็ช่วยให้เรามีดีคอมไพเลอร์ที่มีคุณภาพระดับใช้งานจริงเพิ่มอีกหนึ่งตัว

Read more

แอปเปิลคืนเงินให้สาวจีน หลังเพื่อนสามารถปลดล็อก iPhone X ผ่าน Face ID

By lew Founder on Tag: Face ID, iPhone X, Apple, Security
Face ID

ช่อง JSBC ของจีนรายงานข่าวสาวแซ่ Yan ที่ระบุว่าเธอได้รับเงินคืนจากแอปเปิลหลังจากเพื่อนของเธอสามารถปลดล็อก iPhone X ได้สำเร็จ

เธอระบุว่าคอลเซ็นเตอร์ไม่ยอมเชื่อเธอในตอนแรก จนกระทั่งเธอต้องเดินทางไปที่ร้าน หลังจากทางร้านพบว่าเพื่อนของเธอสามารถปลดล็อกเครื่องได้จริง จึงยอมคืนเงิน

เธอนำเงินที่ได้คืนมาไปซื้อ iPhone X อีกครั้งแต่ก็พบว่าเพื่อนของเธอสามารถปลดล็อกได้อยู่ดีจึงได้รับคืนเงินอีกครั้ง

Read more

ผู้สร้าง BickerBot บอตทำลายกล้องวงจรปิดที่มีช่องโหว่ ประกาศหยุดกิจกรรม เปิดโค้ดบางส่วน

By lew Founder on Tag: Security, Botnet
Security

Janit0r ผู้สร้างบอต BickerBot "เคมีบำบัดแห่งอินเทอร์เน็ต" ประกาศหยุดกิจกรรมพร้อมกับปล่อยซอร์สโค้ดบางส่วน พร้อมกับเรียกร้องว่า ISP และผู้ผลิตอุปกรณ์ IoT ทั้งหลายต้องรับผิดชอบต่อความปลอดภัยอินเทอร์เน็ต

BickerBot เริ่มปรากฎตัวครั้งแรกเมื่อเดือนมีนาคมที่ผ่านมา หลังมัลแวร์ Mirai ควบคุมระบบกล้องวงจรปิดจำนวนมาก และยิงข้อมูลไปยังบริการสำคัญๆ อย่าง Dyn จนล่มได้สำเร็จ Janit0r อ้างว่าหลายเดือนที่ผ่านมา BickerBot ทำลายอุปกรณ์ (จนต้องแฟลชเฟิร์มแวร์ใหม่) ไปแล้วกว่า 10 ล้านชุด

Read more

ForcePoint คาดการณ์ประเด็น Cybersecurity ในปีหน้า แนะควรพัฒนาคน

By nismod Writer on Tag: Cybersecurity, Security
Cybersecurity

ForcePoint บริษัทด้านโซลูชันความปลอดภัยไซเบอร์ได้ออกรายงาน 2018 Security Predictions Report คาดการณ์สถานการณ์ความปลอดภัยไซเบอร์ในปีหน้า โดยทาง ForcePoint เน้นย้ำว่าเทคโนโลยีและภัยคุกคามมีการเปลี่ยนแปลงไปตลอด แต่คนไม่เปลี่ยน ดังนั้นองค์กรต่างๆ ควรเน้นและลงทุนในการพัฒนาคนควบคู่ไปกันด้วย

ส่วน 2018 Security Predictions Report ทาง ForcePoint แบ่งเป็น 7 ประเด็นหลักดังนี้

Read more

Apple ออกอัพเดตเฟิร์มแวร์สินค้าตระกูล AirPort เพื่อปิดช่องโหว่ KRACK

By arjin Writer on Tag: Apple, AirPort Extreme, Wi-Fi, Security
Apple

แอปเปิลออกเฟิร์มแวร์อัพเดตสินค้ากลุ่ม Wi-Fi ได้แก่ AirPort Express, AirPort Extreme และ AirPort Time Capsule ในเวอร์ชัน 7.7.9 สำหรับอุปกรณ์ 802.11ac และ 7.6.9 สำหรับอุปกรณ์ 802.11n เพื่อปิดช่องโหว่ KRACK ที่มีการเปิดเผยเมื่อเดือนตุลาคม ซึ่งแอปเปิลได้ออกอัพเดตปิดช่องโหว่ในอุปกรณ์อื่นไปหมดแล้ว

ผู้ที่มีอุปกรณ์ดังกล่าวสามารถอัพเดตเฟิร์มแวร์ได้ผ่านแอพ AirPort Utility บน iOS หรือ macOS

Read more

ข้อจำกัดของใบรับรองแบบ EV, นักวิจัยขอใบรับรอง "Stripe, Inc" ได้สำเร็จ

By lew Founder on Tag: Digital Certificate, Security
Digital Certificate

เวลาเราเข้าเว็บธนาคาร ผู้ใช้มักถูกสอนให้มองหาใบรับรองแบบ EV (Extended Validation) ที่แสดงชื่อบริษัทเอาไว้หน้า URL โดยหน่วยงานใบรับรองจะต้องตรวจสอบชื่อบริษัทหรือหน่วยงานจากเอกสารรับรองของทางการในแต่ละประเทศ Ian Carroll นักวิจัยด้านความปลอดภัยแสดงให้เห็นว่าใบรับรองแบบ EV มีข้อจำกัดสำคัญที่คนสามารถขอใบรับรองที่ชื่อเหมือนกันได้ เพียงแค่ตั้งชื่อบริษัทให้เหมือนกันแต่อยู่คนละรัฐ โดยเขาสามารถขอใบรับรองของบริษัท Stripe บริษัทรับจ่ายเงินที่มีผู้ใช้จำนวนมากในสหรัฐฯ

Read more

ไต้หวันเตรียมยกระดับความปลอดภัยไซเบอร์ ป้องกันแฮกเกอร์โจมตีระบบการเงินการธนาคาร

By nutmos Writer on Tag: Taiwan, Cybersecurity, Security
Taiwan

ไต้หวันเตรียมแผนการปรับปรุงระบบความปลอดภัยเพิ่มเติม เพื่อป้องกันจากแฮกเกอร์ที่จะเข้ามาบุกรุกระบบการเงินและธนาคาร เนื่องจากก่อนหน้านี้ไต้หวันต้องพบกับการถูกแฮกเอทีเอ็มของธนาคารขนาดใหญ่เมื่อเดือนกรกฎาคมปีที่แล้ว, การโจมตีระบบของตลาดหลักทรัพย์เมื่อเดือนกุมภาพันธ์ และการจ้องเล่นงานระบบโอนเงินของ Taiwan Far Eastern Bank เมื่อเดือนตุลาคมที่ผ่านมา

Read more

Kaspersky จะปิดสำนักงานใน Washington D.C. แต่ยังทำธุรกิจกับลูกค้ารายอื่นในสหรัฐฯ ต่อไป

By nutmos Writer on Tag: Kaspersky, Security, USA, Russia
Kaspersky

Kaspersky Lab ผู้พัฒนาซอฟต์แวร์ด้านความปลอดภัยจากรัสเซียซึ่งถูกรัฐบาลสหรัฐฯ สั่งแบน เตรียมปิดออฟฟิศใน Washington D.C. ซึ่งเป็นสำนักงานที่ทำงานร่วมกับรัฐบาลสหรัฐฯ แต่ทางบริษัทจะยังคงการดำเนินธุรกิจกับลูกค้าที่ไม่ใช่รัฐบาลต่อไป และเตรียมจะเปิดออฟฟิศใน Chicago, Los Angeles และ Toronto เพิ่มเติมในปีหน้า

Read more
Subscribe to Security