ARM เสนอ 'PSA' สถาปัตยกรรมความปลอดภัยสำหรับอุปกรณ์ IoT ใช้ได้กับทุก OS

By mk Founder on Tag: Arm, Internet of Things, Security
Arm

ปัญหาเรื่องความปลอดภัยของอุปกรณ์ IoT ถือเป็นเรื่องใหญ่ เพราะมีประเด็นปลีกย่อยตั้งแต่การอัพเดตซอฟต์แวร์ ไปจนถึงส่วนประกอบจากผู้ผลิตหลายรายที่มีความซับซ้อนสูง

บริษัท ARM ในฐานะผู้ผลิตหน่วยประมวลผลรายสำคัญของโลก IoT จึงเสนอกรอบการทำงานด้านความปลอดภัย (common industry framework) เพื่อให้ผู้ผลิตรายต่างๆ ในแวดวง IoT ร่วมมือกันได้ง่ายขึ้น

Read more

Blink เตรียมถอดการรองรับ HPKP แนะนำเว็บให้ใช้ Expect-CT แทน

By lew Founder on Tag: Blink, Google, Security
Blink

มาตรฐานล็อกหน่วยงานออกใบรับรองสำหรับเว็บ หรือ HPKP (HTTP Public Key Pinning) ถูกเสนอโดยกูเกิลเองตั้งแต่ปี 2015 จนได้เข้าเป็นมาตรฐาน RFC7469 แต่ตอนนี้กูเกิลก็ประกาศเลิกรองรับแล้ว โดยจะมีผลใน Chrome 67 ที่จะออกช่วงกลางปี 2018

กูเกิลระบุว่าจนทุกวันนี้มีเว็บไซต์ใช้ HPKP เพียงจำนวนน้อย โดย 1 ล้านเว็บแรกของ Alexa มีใช้ HPKP เพียง 375 เว็บ และมี 76 เว็บใช้ในโหมด report-only ตอนนี้เบราว์เซอร์หลักที่รองรับ HPKP มีเพียงไฟร์ฟอกซ์, โอเปร่า (ที่ใช้ Blink ด้วย), และโครม

Read more

องค์กรความปลอดภัยอิสระทดสอบ Google Play Protect พบป้องกันมัลแวร์ได้ต่ำกว่าค่าเฉลี่ยมาก

By nutmos Writer on Tag: Google Play, Google, Security
Google Play

ช่วงกลางปี Google ได้เปิดตัว Google Play Protect ทางแล็บ AV-TEST ซึ่งเป็นองค์กรอิสระด้านความปลอดภัยจากเยอมันได้ทดสอบความสามารถของฟีเจอร์นี้ และพบว่า Google Play Protect ล้มเหลวในการปกป้องผู้ใช้เพราะป้องกันมัลแวร์ได้ต่ำกว่าค่าเฉลี่ยมาก

AV-TEST ได้ทดสอบระบบ โดยพบว่า Google Play Protect สามารถหยุดมัลแวร์ได้เพียง 65.8% ของมัลแวร์ใหม่ และ 79.2% ของมัลแวร์ที่มีอายุกว่า 4 สัปดาห์ ในขณะที่ค่าเฉลี่ยอยู่ที่ 95.7% และ 98.4% ตามลำดับ ทำให้ AV-TEST ให้คะแนนส่วนการป้องกันมัลแวร์ของ Google Play Protect ทั้งสิ้น 0 จาก 6 คะแนน

Read more

Chrome ออกอัพเดตนอกรอบแก้ช่องโหว่ denial-of-service

By lew Founder on Tag: Chrome, Security
Chrome

Chrome ประกาศอัพเดตนอกรอบหลังจากเพิ่งอัพเดตตามปกติเมื่อสิบวันก่อน โดยแก้ช่องโหว่ร้ายแรงสูงช่องโหว่เดียวเป็นช่องโหว่ stack overflow บน V8 (CVE-2017-15396) ที่ได้รับแจ้งจาก Yu Zhou นักวิจัยของ Ant Financial

เวอร์ชั่นใหม่นี้เป็นรุ่น 62.0.3202.75 ส่วนรุ่นปกติที่ออกมาก่อนหน้านี้จะเป็นรุ่น 62.0.3202.62 ที่แก้ช่องโหว่ไปถึง 35 รายการ เฉพาะช่องโหว่ระดับสูงก็มี 8 รายการ

Read more

McAfee ยืนยันเลิกนโยบายให้รัฐบาลดูซอร์สโค้ดของซอฟต์แวร์แล้ว

By nutmos Writer on Tag: McAfee, Security, Russia
McAfee

เมื่อช่วงกลางปี สำนักข่าว Reuters รายงานว่า McAfee (ซึ่งไม่มีความเกี่ยวข้องกับผู้ก่อตั้ง John McAfee แล้ว) และบริษัทเทคโนโลยีทางโลกตะวันตกหลายแห่งได้ให้รัฐบาลรัสเซียตรวจสอบซอร์สโค้ด เนื่องจากทางหน่วยงานต้องการตรวจสอบให้มั่นใจว่าไม่มี backdoor แอบแฝงในซอฟต์แวร์ก่อนที่จะตัดสินใจซื้อเข้ามาใช้งาน

Read more

Kaspersky อธิบาย ได้ข้อมูลจาก NSA เพราะพนักงานใช้ซอฟต์แวร์เถื่อนแล้วติดมัลแวร์

By mk Founder on Tag: Kaspersky, Security, Malware, NSA
Kaspersky

จากประเด็นเรื่องความเชื่อมโยงของ Kaspersky กับรัสเซีย จนบริษัทต้องประกาศสอบสวนข้อมูลเป็นการภายใน และ ออกมาตรการเรื่องความโปร่งใส

ล่าสุด Kaspersky ออกมาให้ข้อมูลในประเด็น ข้อมูลของพนักงาน NSA โดนล้วง โดยอ้างจากข้อมูล log ภายในของบริษัทเอง ว่าข้อมูลของ NSA ที่หลุดออกไปตามข่าว มีลักษณะตรงกับ มัลแวร์จากกลุ่ม Equation ที่ Kaspersky เคยรายงานการค้นพบในปี 2015 ทำให้ระบบของ Kaspersky พยายามตรวจจับมัลแวร์ที่คล้ายคลึงกันในเวลาต่อมา

Read more

ไม่ต้องซื้ออุปกรณ์เพิ่ม Lenovo ประกาศโน้ตบุ๊กชุดแรกที่ได้รับรองมาตรฐาน FIDO ใช้ได้ทั้ง UAF และ U2F

By lew Founder on Tag: Lenovo, Security, FIDO
Lenovo

Lenovo ประกาศตัวเป็นผู้ผลิตพีซีแบรนด์แรกที่ได้รับรอง FIDO มาในตัวทำให้ลูกค้าไม่ต้องซื้ออุปกรณ์ใดๆ เพิ่มเติมเพื่อล็อกอินบริการที่ใช้ FIDO ไม่ว่าจะเป็น U2F สำหรับการยืนยันตัวตนสองขั้นตอน หรือ UAF สำหรับการยืนยันตัวตนด้วยลายนิ้วมือ

รายชื่อโน้ตบุ๊กชุดแรกที่ได้รับรอง FIDO ได้แก่ Yoga 920, IdeaPad 720S, ThinkPad X1 Tablet (2nd generation), ThinkPad X1 Carbon (5th generation), ThinkPad Yoga 370, ThinkPad T570, ThinkPad P51s, ThinkPad T470s, ThinkPad X270, และ ThinkPad X270s โดยรุ่นที่จะใช้ UAF ได้ต้องติดตั้งเซ็นเซอร์ลายนิ้วมือของ Synaptics ด้วย

Read more

Bank of America, Visa ประกาศรองรับการล็อกอินเว็บและยืนยันการจ่ายเงินด้วยลายนิ้วมือ ใช้เทคโนโลยี Intel Online Connect

By lew Founder on Tag: Bank of America, Intel, Security, Payment, Visa
Bank of America

Bank of America ประกาศเตรียมรองรับการยืนยันตัวตนผู้ใช้ด้วยลายนิ้วมือในปีหน้า โดยใช้เทคโนโลยี Intel Online Connect ทำให้ไม่ต้องส่งข้อมูลภาพลายนิ้วมือออกจากเครื่องผู้ใช้แต่อย่างใด บริการจะเริ่มให้บริการจริงในปี 2018 โดยตอนนี้ Bank of America มีผู้ใช้บริการธนาคารออนไลน์อยู่ 34 ล้านคน

ทางด้าน Visa เองก็ประกาศรองรับ Intel Online Connect โดยจะใช้ร่วมกับบริการ 3D Secure ทั้งรุ่นปัจจุบันและรุ่น 2.0 ที่ EMVco น่าจะออกมาตรฐานได้ภายในปีนี้

Read more

ทุกคนระวังตัว Bad Rabbit มัลแวร์เข้าเรียกค่าไถ่ตัวใหม่ระบาดแถบรัสเซีย, ตุรกี, ยูเครน, เยอรมัน

By lew Founder on Tag: Ransomware, Security
Ransomware

เมื่อวานนี้มีรายงานถึงมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ Bad Rabbit เริ่มระบาดในแถบรัสเซีย, เยอรมัน, ตุรกี, และยูเครน โดยอาศัยหน้าเว็บที่เผยแพร่ตัวติดตั้ง Adobe Flash ปลอม เพื่อให้เหยื่อติดตั้งมัลแวร์ด้วยตัวเอง และเมื่อติดตั้งแล้วจะเริ่มแพร่กระจายต่อไปยังเครื่องอื่นๆ ในเครือข่ายโดยอาศัยการยิงรหัสผ่านบัญชีที่ใช้งานบ่อยๆ

ตอนนี้ Bad Rabbit ยังไม่ระบาดออกนอกพื้นที่เริ่มต้นไปมากนัก บางรายงานระบุว่ามีการระบาดไปยัง บัลแกเรีย, โปแลนด์, และเกาลีใต้ โดยเว็บไซต์ที่ใช้เผยแพร่มัลแวร์ครั้งแรกๆ เป็นเว็บสื่อรัสเซียที่ถูกแฮก

Read more

กูเกิลวิจัยแนวทางการรักษาความปลอดภัยจากผู้เชี่ยวชาญ ความเห็นกระจายได้ถึง 152 แนวทาง

By lew Founder on Tag: Google, Security
Google

ปัญหาผู้ใช้ทั่วไปไม่ทำตามแนวทางที่ดีสำหรับการรักษาความปลอดภัยไซเบอร์เป็นปัญหาที่เรื้อรังมานาน แต่รายงานล่าสุดของกูเกิลแสดงให้เห็นว่าต้นเหตุของปัญหาอย่างหนึ่งคือผู้เชี่ยวชาญเองก็มักให้คำแนะนำที่ต่างกันจนแทบไม่มีใครทำตามได้ โดยกูเกิลได้สำรวจความเห็นจากผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลจำนวน 231 คน และพบว่าคำแนะนำต่างกันจนแยกออกมาได้ถึง 152 คำแนะนำ และไม่มีคำแนะนำใดเห็นตรงกันเกิน 100 คนเลย

Read more

APNIC ทำแฮชรหัสผ่านผู้ดูแลระบบหลุดไปกับข้อมูล WHOIS ตั้งแต่เดือนมิถุนายน, รีเซ็ตรหัสแล้ว

By lew Founder on Tag: APNIC, Internet, Security
APNIC

APNIC แจ้งเหตุการณ์ทำข้อมูลหลุด โดยทำข้อมูลส่วน Maintainer และ Incident Response Team (IRT) หลุดไปกับข้อมูล WHOIS อื่นๆ Incident Response Team (IRT) ทำให้ค่าแฮชของรหัสผ่านหลุดไปด้วย และถูกเผยแพร่บนเว็บไซต์ของผู้ให้บริการ WHOIS บางราย โดยข้อมูลหลุดจากการอัพเกรดระบบเมื่อเดือนมิถุนายนและมีการคอนฟิกผิดพลาด

ผู้ค้นพบข้อมูลรั่วครั้งนี้คือ Red Team ของ eBay ที่ไปเห็นข้อมูลชุดนี้อยู่บนเว็บไซต์ภายนอก และแจ้งทาง APNIC เมื่อวันที่ 12 ตุลาคมที่ผ่านมา ทาง APNIC รีเซ็ตรหัสผ่านทั้งหมดและป้องกันข้อมูลรั่วในวันที่ 13 ตุลาคม

Read more

กู้คืนความเชื่อมั่น Kaspersky จะเปิดซอร์สโค้ด-กระบวนการพัฒนาซอฟต์แวร์ให้ตรวจสอบ

By mk Founder on Tag: Kaspersky, Security
Kaspersky

หลังจาก Kaspersky เจอปัญหารุมเร้าจากข้อกล่าวหาเรื่องรัฐบาลรัสเซีย จนส่งผลกระทบต่อธุรกิจ วันนี้บริษัทประกาศมาตรการกู้วิกฤตศรัทธา เรียกความเชื่อมั่นกลับคืนมา

แผนการของ Kaspersky มีชื่อว่า Global Transparency Initiative เน้นสร้างความโปร่งใสในผลิตภัณฑ์และกระบวนการทำงานของบริษัท ดังนี้

Read more

กูเกิลเปลี่ยนวิธีหลักในการยืนยันตัวตน 2-Step จาก SMS มาเป็น Google Prompt

By mk Founder on Tag: Google, Authentication, Security, SMS
Google

กูเกิล ปรับวิธีการยืนยันตัวตนแบบสองปัจจัย (2-Step Verification) จากเดิมที่ใช้ค่าดีฟอลต์เป็นการส่งโค้ดผ่าน SMS เปลี่ยนมาเป็นการยืนยันด้วยแอพบนมือถือแทน

ตอนนี้หลายคนที่ล็อกอินบัญชี Google Account น่าจะเคยเจอกับหน้าจอ Google Prompt บนมือถือ ที่ถามยืนยันเราว่าล็อกอินจากอุปกรณ์อื่นหรือไม่ ฟีเจอร์นี้เปิดใช้งานมาสักระยะหนึ่งแล้ว แต่เพิ่งกลายเป็นตัวเลือกหลัก (primary method) แทน SMS

Read more

Google รายงานทราฟฟิก HTTPS บน Chrome: Android 64%, Chrome OS 75%

By nutmos Writer on Tag: HTTPS, Google, Security, Transparency Report, Chrome
HTTPS

Google กำลังผลักดันการใช้งาน HTTPS อยู่เรื่อย ๆ และล่าสุดข้อมูลจาก Transparency Report นั้น Google ก็ได้รายงานว่าทราฟฟิกการใช้งาน HTTPS โดยมีข้อมูลที่น่าสนใจดังนี้

Read more

กูเกิลเปิดโครงการจ่ายโบนัสเมื่อรายงานช่องโหว่บนแอปแอนดรอยด์จากผู้ผลิตอื่น Dropbox/LINE/Snapchat/Tiner เข้าร่วม

By lew Founder on Tag: Google Play, Security
Google Play

กูเกิลเปิดโครงการ Google Play Security Reward Program สำหรับการจ่ายโบนัสให้กับนักวิจัยเมื่อได้รายงานช่องโหว่ร้ายแรงให้กับผู้ผลิตแอปใน Google Play ที่ไม่ใช่กูเกิล เป็นการจ่ายเงินเพิ่ม 1,000 ดอลลาร์จากที่ผู้พัฒนามีโครงการจ่ายเงินให้รางวัลอยู่ก่อน

ช่องโหว่ตอนนี้ต้องเป็นช่องโหว่รันโค้ดระยะไกล (remote code execution) เท่านั้น โดยครอบคลุมไปถึง Android 4.4 ขึ้นไป กูเกิลระบุว่าผู้ผลิตที่แสดงความตั้งใจว่าจะแก้ไขช่องโหว่จึงได้รับเชิญเข้าโครงการนี้

Read more

ทีมวิจัยไมโครซอฟท์รายงานช่องโหว่รันโค้ดบน Chrome, ติงกูเกิลว่าปล่อยโค้ดสู่สาธารณะทันทีแม้ยังไม่ส่งอัพเดต

By lew Founder on Tag: Microsoft, Chrome, Security
Microsoft

ทีม Microsoft Offensive Security Research (OSR) ที่ทำงานคล้าย Project Zero ของกูเกิลรายงานถึงช่องโหว่รันโค้ดจากระยะไกลบนเบราว์เซอร์โครม แม้ว่าทีมงานโครมของกูเกิลจะตอบอย่างรวดเร็วและแก้ไขช่องโหว่ภายในไม่กี่วัน แต่กระบวนการเปิดเผยช่องโหว่กลับปล่อยโค้ดแก้ไขก่อนที่จะมีการปล่อยอัพเดต

Read more

[ไม่ยืนยัน] ธุรกิจของ Kaspersky ในสหรัฐตกต่ำ หลังมีข่าวความเชื่อมโยงกับรัสเซีย

By mk Founder on Tag: Kaspersky, Security, USA, Russia
Kaspersky

จากประเด็นข่าวเรื่อง Kaspersky กับรัฐบาลรัสเซีย ที่ออกมาอย่างต่อเนื่องในรอบหลายเดือนมานี้ เว็บไซต์ข่าว The Daily Beast (สมัยก่อนเคยเป็นเครือเดียวกับ Newsweek) รายงานข้อมูลวงในว่า บริษัทอเมริกันหลายแห่งเลิกใช้ Kaspersky กันแล้ว โดยเฉพาะบริษัทสายการเงินที่เป็นห่วงเรื่องข้อมูลรั่วไหล

แหล่งข่าวของ The Daily Beast ยังบอกว่าบริษัทที่ปรึกษาด้านความปลอดภัยหลายแห่ง เลือกขายเฉพาะซอฟต์แวร์ความปลอดภัยของบริษัทสัญชาติอเมริกันเท่านั้น และธุรกิจของ Kaspersky ในสหรัฐเองก็ย่ำแย่ และต้องปิดบางฝ่ายงานด้วย

Read more

[ลินุกซ์] Ubuntu, Debian, Fedora, RHEL ออกแพตช์อุดช่องโหว่ KRACK กันหมดแล้ว

By mk Founder on Tag: Wi-Fi, Linux, Security
Wi-Fi

แวดวงลินุกซ์ดิสโทรค่ายใหญ่ๆ ต่างอัพเดตแพตช์ความปลอดภัย แก้ปัญหาช่องโหว่ KRACK ของ WPA2 กันแล้ว ใครเป็นแอดมินระบบก็อย่าลืมอัพเดตแพตช์กันครับ แพ็กเกจสาย Debian จะใช้ชื่อ "wpa" ส่วนสาย Red Hat จะเป็น "wpa_supplicant"

Read more

กูเกิลเพิ่มระดับความปลอดภัยขั้นสูงสุด Advanced Protection บังคับล็อกอินด้วยคีย์ฮาร์ดแวร์

By mk Founder on Tag: Google, Security, U2F, Authentication
Google

กูเกิลออกมาตรการใหม่ Advanced Protection Program สำหรับผู้ใช้งานที่ต้องการระดับความปลอดภัยขั้นสูงสุด โดยมีองค์ประกอบ 3 อย่างดังนี้

  • บังคับล็อกอิน 2-Step Verification ด้วยฮาร์ดแวร์ Security Keys เสมอ ถือเป็นการยืนยันตัวตนที่ปลอดภัยขั้นสูงสุด
  • ป้องกันการเผลอหลุดข้อมูลโดยไม่ตั้งใจ บริการอย่าง Gmail และ Google Drive จะไม่อนุญาตให้แอพภายนอกเข้าถึงได้ ยกเว้นแต่แอพของกูเกิลเองเท่านั้น
  • หน้ากู้คืนรหัสผ่านจะเพิ่มความเข้มงวดในการตรวจสอบ ถามคำถามหรือขอข้อมูลมากกว่าปกติ เพื่อยืนยันว่าเราเป็นเจ้าของบัญชีจริงๆ
Read more

ฟีเจอร์ใหม่ Chrome ตรวจจับซอฟต์แวร์ไม่พึงประสงค์ แล้วลบออกจากเครื่องได้เลย

By mk Founder on Tag: Chrome, Security, Phishing, Browser, Google, Google Safe Browsing
Chrome

ช่วง 1-2 วันนี้ กูเกิลประกาศฟีเจอร์ด้านความปลอดภัยหลายอย่าง ข่าวนี้เอาเฉพาะของ Chrome อย่างเดียวก่อนครับ

ฟีเจอร์แรกคือบางครั้งที่เราติดตั้งส่วนขยาย (Extension) แล้วมันมาเปลี่ยนค่าใน Settings โดยที่เราไม่รู้ตัว (เช่น เปลี่ยน search engine ไปเป็นยี่ห้ออื่น) ตอนนี้ Chrome สามารถตรวจจับการเปลี่ยนแปลงเหล่านี้ได้ และจะถามผู้ใช้ว่าต้องการรีเซ็ตกลับเป็นเหมือนเดิมหรือไม่

Read more
Subscribe to Security