Tags:
Node Thumbnail

ปัญหาโน้ตบุ๊ก Dell แอบติดตั้งใบรับรอง Root CA ยังไม่จบง่ายๆ หลังการค้นพบ Root CA ชื่อ eDellRoot จนเป็นข่าวใหญ่ไปทั่วโลกเมื่อวานนี้ วันนี้มีคนค้นพบว่าแอพอีกตัวของ Dell จะติดตั้งใบรับรองอีกใบด้วยเหมือนกัน

โชคดีว่าแอพตัวนี้ไม่ถูกติดตั้งมากับเครื่อง แต่ถ้าผู้ใช้เข้าเว็บ Dell Support แล้วเลือกให้เว็บตรวจสอบว่าเครื่องที่ใช้เป็นรุ่นอะไร เว็บจะขอให้ผู้ใช้ติดตั้งแอพชื่อ Dell System Detect (DSD) ซึ่งจะมาพร้อมกับใบรับรองชื่อ DSDTestProvider

Tags:
Node Thumbnail

หลังจากเมื่อวานนี้มีรายงานพบใบรับรอง root CA ที่ชื่อว่า eDellRoot ในคอมพิวเตอร์เดลล์หลายรุ่น และทางโฆษกของเดลล์ออกมาให้สัมภาษณ์นักข่าวบางสำนัก ตอนนี้ทางเดลล์ก็เขียนบล็อกเรื่องนี้เป็นทางการ โดยทางเดลล์ชี้แจงว่าติดตั้งใบรับรองนี้เพื่อส่งค่า service tag กลับไปยังระบบซัพพอร์ตของเดลล์

ทางเดลล์แก้ปัญหาครั้งนี้ด้วยการ ออกเอกสารแนะนำขั้นตอนการถอนใบรับรองออกจากระบบ และสำหรับคนที่ติดตั้ง Dell Updates จะมีอัพเดตใหม่ที่ตรวจสอบ root CA นี้และถอนการติดตั้งให้กับผู้ใช้โดยอัตโนมัติ

Tags:
Node Thumbnail

ผู้ใช้เว็บ reddit ชื่อว่า rotorcowboy และผู้ใช้ทวิตเตอร์ @jhnord รายงานว่าเครื่อง Dell XPS 15 ของเขามี root CA แปลกๆ ติดตั้งมาด้วยในเครื่อง ใช้ชื่อว่า eDellRoot พร้อมกับติดตั้งกุญแจลับ (private key) เอาไว้ในเครื่อง

Tags:
Node Thumbnail

สำนักงานความปลอดภัยข้อมูลของรัฐบาลกลางเยอรมัน (Federal Office for Information Security) ปล่อยรายงานการตรวจสอบความปลอดภัยของซอฟต์แวร์เข้ารหัสดิสก์ TrueCrypt ตรวจสอบโดยสถาบัน Fraunhofer SIT

ทางสำนักงานเข้าตรวจสอบ TrueCrypt เนื่องจากซอฟท์แวร์ Trusted Disk ที่ผนวก TrueCrypt เข้าเป็นส่วนหนึ่งได้รับการรับรองให้ใช้งานในรัฐบาล

รายงานศึกษารายงานจากโครงการตรวจสอบความปลอดภ้ัย Open Crypto Audit Project ที่ปล่อยรายงานออกมาตั้งแต่ปีที่แล้ว และศึกษาโค้ดเพิ่มเติม

ทีมงานพบว่ามีกระบวนการบางจุดที่มีความอ่อนแอ เช่น กระบวนการสร้างเลขสุ่ม โค้ดมีคุณภาพไม่ดีนักในลินุกซ์ แต่โดยทั่วไปแล้วไม่พบช่องโหว่ร้ายแรงแต่อย่างใด

Tags:
Node Thumbnail

Nmap ออกรุ่นใหญ่ครั้งสุดท้ายคือ 6.00 เมื่อปี 2012 ตอนนี้ถึงรอบการออกเวอร์ชั่นใหม่ Nmap 7 ความเปลี่ยนแปลงหลักๆ ได้แก่

Tags:
Node Thumbnail

Zerodium บริษัทรับซื้อช่องโหว่ซอฟต์แวร์ที่ประกาศจ่ายเงินล้านดอลลาร์สำหรับช่องโหว่ iOS และเพิ่งได้จ่ายไปไม่นานนี้ ออกมาประกาศรายการราคาช่องโหว่ซอฟต์แวร์ประเภทต่างๆ ที่รับซื้อ

Tags:
Node Thumbnail

อเมซอนฝั่งค้าปลีกเปิดบริการการยืนยันตัวตนผู้ใช้สองขั้นตอนสำหรับลูกค้าทั่วไปแล้ว โดยต้องยืนยันหมายเลขโทรศัพท์ก่อน จึงสามารถขอข้อมูลสำหรับการยืนยันตัวตนผ่านแอป เช่น Google Authenticator ได้

ผมเองลองเข้าเว็บอเมซอนวันนี้ก็สังเกตว่าแทบทุกหน้าสามารถใช้งานผ่าน HTTPS ได้ทั้งหมดแล้ว จากเดิมที่หน้าส่วนใหญ่ไม่รองรับและหากพยายามเข้าผ่าน HTTPS ก็จะถูก redirect มายังหน้า HTTP แม้จะยังสามารถเข้าผ่าน HTTP ได้ด้วยก็ตาม สำหรับผู้ใช้ที่กังวลว่าจะมีข้อมูลรั่วไหลก็สามารถใช้ปลั๊กอิน SSL Enforcer มาบังคับให้เบราว์เซอร์ใช้ HTTPS ตลอดเวลาได้

Tags:
Node Thumbnail

โครงการ Tor ออกมาระบุว่าทีมวิจัยจากมหาวิทยาลัย Carnegie Mellon (CMU) ได้รับเงินทุนจาก FBI ให้มาเจาะ Tor มูลค่าอย่างน้อยหนึ่งล้านดอลลาร์ วันนี้ทางมหาวิทยาลัยก็ออกมาโต้ข่าวแล้ว

ทางมหาวิทยาลัยไม่ได้ระบุข่าวโดยตรง แต่ระบุเพียงว่าสถาบันวิศวกรรมซอฟต์แวร์ (Software Engineering Institute - SEI) ได้รับเงินทุนจากรัฐบาลกลาง และศูนย์ CERT ก็เป็นศูนย์ภายใต้สถาบันที่ทำหน้าที่วิจัยหาช่องโหว่ซอฟต์แวร์ ทางศูนย์ได้รับหมายศาลเพื่อขอข้อมูลงานวิจัยอยู่เป็นระยะและเป็นหน้าที่ของมหาวิทยาลัยที่จะทำตามหมายเหล่านั้น โดยไม่ได้รับเงินตอบแทนแต่อย่างใด

Tags:
Node Thumbnail

ในอดีต ระบบปฏิบัติการของไมโครซอฟท์มีชื่อเสียงในทางลบเมื่อพูดถึง "ความปลอดภัย" อย่างไรก็ตาม ช่วงหลังมานี้ ไมโครซอฟท์หันมาใส่ใจเรื่องความปลอดภัยมากขึ้นมาก และล่าสุดซีอีโอ Satya Nadella ก็ออกมาแถลงเรื่องยุทธศาสตร์ความปลอดภัยแบบใหม่ของบริษัท สำหรับยุค mobile-first, cloud-first

นโยบายใหม่ของไมโครซอฟท์จะใช้หลักการ 3 ข้อคือ Protect ปกป้องคุ้มครองจุดปลายทาง (endpoint), Detect ตรวจสอบหาภัยคุกคามด้วยเทคนิคใหม่ๆ ทั้ง cloud และ machine learning, Response ตอบสนองต่อปัญหาที่ค้นพบอย่างรวดเร็ว

Tags:
Node Thumbnail

Yubico ผู้ผลิตกุญแจอิเล็กทรอนิกส์เพื่อการยืนยันตัวตนหลายรูปแบบ โดยเฉพาะ U2F ที่ Yubico เป็นผู้ร่วมพัฒนากับกูเกิล ตอนนี้กุญแจ Yubikey สินค้าสำคัญของบริษัทก็ออกรุ่น 4 ออกมาแล้ว โดยมีความสามารถสำคัญได้แก่

  • รองรับ Yubico OTP, smartcard, และ U2F
  • มี secure element ในตัว
  • รองรับกุญแจ RSA 4096 บิต
  • รองรับ PKCS#11

Yubico เลือกเปิดตัว Yubikey 4 ในงาน DockerCon โดยทาง Docker ออกมารองรับ Yubikey 4 สำหรับการเซ็นรับรอง Content Trust ทำให้คนที่ดาวน์โหลดอิมเมจสามารถยืนยันได้ว่ามาจากนักพัฒนาจริง

Tags:
Node Thumbnail

ชาว Blognone อาจเคยเจอกับเว็บหรือโฆษณาที่ปลอมตัวเป็นบริษัทซอฟต์แวร์ชื่อดัง แจ้งเตือนว่าซอฟต์แวร์ของเราไม่อัพเดตแล้ว และให้ดาวน์โหลดไฟล์ (ซึ่งจริงๆ เป็นมัลแวร์) เพื่ออัพเดต

ในบางกรณี เว็บไซต์บางแห่งยังปลอมเป็นหน้าแจ้งเตือนมัลแวร์ของ Chrome ซะเองว่าคอมพิวเตอร์ของเราติดมัลแวร์แล้ว และให้ติดต่อกูเกิลตามที่อยู่ที่ระบุ (แน่นอนว่าเป็นที่อยู่ปลอม) บางครั้งอาจเป็นเบอร์โทรศัพท์ที่คิดเรตการโทรแพงๆ

ผู้ใช้คอมพิวเตอร์ที่มีประสบการณ์มากหน่อยคงไม่มีปัญหา แต่ปฏิเสธไม่ได้ว่ามีผู้ใช้ที่พลาดพลั้ง ตกเป็นเหยื่อของเว็บไซต์เหล่านี้อยู่เรื่อยๆ

Tags:
Node Thumbnail

การใช้คอนเทนเนอร์มาช่วยแยกระบบออกเป็นส่วนๆ อาจจะช่วยเพิ่มความปลอดภัยให้กับระบบโดยรวมได้ในบางกรณี แต่ปัญหาการที่นักพัฒนาไม่อัพเกรดซอฟต์แวร์ในคอนเทนเนอร์เป็นปัญหาเรื้อรัง และสร้างช่องโหว่ให้กับระบบ ล่าสุดบริการเก็บอิมเมจ Quay.io ของ CoreOS ตรวจสอบพบว่าอิมเมจที่เก็บไว้ยังมีช่องโหว่ Heartbleed ถึง 80% ทาง CoreOS จึงเปิดซอร์ส Clair เครื่องมือเตือนให้นักพัฒนารู้ว่าควรอัพเดตซอฟต์แวร์ได้หรือยัง

Clair รองรับ Debian, Ubuntu, และ CentOS และใช้ตัวจัดการแพ็กเกจพื้นฐานของระบบ (dpkg, yum) และในอนาคตจะรองรับระบบจัดการ package เพิ่มเติม

Tags:
Node Thumbnail

Let's Encrypt เปิดตัวโครงการมาครบรอบหนึ่งปีพอดี กำหนดการเดิมที่จะปล่อยใบรับรองให้กับสาธารณะวันจันทร์นี้ก็เลื่อนไปเป็นวันที่ 3 ธันวาคมที่จะถึงนี้ แม้จะเปิดให้คนทั่วไปใช้งาน แต่ทางโครงการก็ยังระบุว่าเป็นช่วงทดสอบระบบ (เบต้า) เท่านั้น และยังมีงานต้องทำก่อนจะพร้อมใช้งานจริงสำหรับคนทั่วไป

จนตอนนี้ทาง Let's Encrypt ปล่อยใบรับรองให้กับผู้ที่เข้าร่วมโครงการเบต้าแล้วกว่า 11,000 ใบ

ที่มา - Let's Encrypt

Tags:
Node Thumbnail

กูเกิลออกมาเผยสถิติเรื่องการเข้ารหัสการส่งอีเมลผ่าน TLS เพื่อป้องกันการดักข้อมูลระหว่างทาง

  • รอบสองปีที่ผ่านมา (2013-2015) อีเมลที่ส่งเข้าหา Gmail และถูกเข้ารหัส เพิ่มสัดส่วนจาก 33% เป็น 61%
  • ในช่วงเวลาเดียวกัน อีเมลที่ถูกส่งจาก Gmail และเข้ารหัส เพิ่มจาก 60% เป็น 80% (Gmail จะเลือกเข้ารหัสเมื่อโฮสต์ปลายทางรองรับการเข้ารหัส แปลว่าโฮสต์ที่รองรับเพิ่มจำนวนมากขึ้น)
  • ตอนนี้ 94% ของอีเมลขาเข้า Gmail มีระบบตรวจสอบตัวตนผู้ส่ง เพื่อป้องกันปัญหา phishing หรือปลอมตัวแล้ว

Gmail ยังจะเพิ่มมาตรการด้านความปลอดภัย โดยแจ้งเตือนผู้ใช้เมื่อได้รับอีเมลจากเครือข่ายที่ไม่ได้เข้ารหัส เพื่อให้ผู้ใช้ระมัดระวังในความปลอดภัยของอีเมลฉบับนั้นด้วย

Tags:
Node Thumbnail

โครงการ Tor เป็นไม้เบื่อไม้เมากับ FBI มานานเพราะคนร้ายใช้ Tor ในการปกปิดตัวตน ก่อนหน้านี้มีหลายคดีที่ FBI สามารถเปิดเผยไอพีของผู้ใช้เครือข่าย Tor ออกมา โดยไม่ได้ระบุรายละเอียดว่าหาไอพีได้อย่างไร ตอนนี้ทาง Tor ออกมาระบุว่า FBI จ้างนักวิจัยจากมหาวิทยาลัย Carnegie Mellon (CMU) ให้เจาะระบบ Tor เพื่อหาไอพีให้ โดยจ่ายค่าจ้างอย่างน้อยหนึ่งล้านดอลลาร์

Tags:
Node Thumbnail

Adobe ปล่อย Flash รุ่น 19.0.0.245 และ 18.0.0.261 แก้ไขช่องโหว่ความปลอดภัยจำนวน 17 รายการ แบ่งออกเป็นช่องโหว่รันโค้ดด้วยช่องโหว่ type confusion 1 รายการ, ช่องโหว่เขียนไฟล์ด้วยสิทธิ์ของผู้ใช้ 1 รายการ, และช่องโหว่การใช้หน่วยความจำหลังคืนความจำ (use-after-free) อีก 15 รายการ

Tags:
Node Thumbnail

ARM เปิดสถาปัตยกรรมชุดคำสั่งใหม่ ARMv8-M สำหรับอุปกรณ์ IoT โดยเฉพาะ แม้จะเป็นสถาปัตยกรรมตระกูล ARMv8 แต่ ARMv8-M จะรับคำสั่ง 32 บิตเท่านั้น โดยจะนำสถาปัตยกรรมนี้มาใช้กับซีพียูในตระกูล Cortex-M ที่มีราคาถูกขนาดเล็ก เช่น ชิป EMW3165 ก็ใช้ Cortex-M4

ความเปลี่ยนแปลงสำคัญ ARMv8-M จะมีฟีเจอร์ TrustZone มาในตัว ทำให้ชิปรุ่นเล็กๆ ก็สามารถใส่ความสามารถด้านความปลอดภัยเพิ่มเติม แยกโซนระหว่างฟีเจอร์ปกติกับฟีเจอร์สำคัญ เช่น การสร้างกุญแจเข้ารหัส หรือการตรวจสอบซอฟต์แวร์อัพเดต

พร้อมกับ TrustZone ในตัวซีพียู ARMv8-M กำหนดมาตรฐานบัส ARM AMBA 5 AHB5 ที่สามารถเชื่อมต่อกับอุปกรณ์ภายนอกซีพียูแล้วระบุได้ว่าอุปกรณ์ชิ้นใดเป็นอุปกรณ์ที่ไว้ใจได้

Tags:
Node Thumbnail

Linux.Encoder.1 เป็นมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ที่มุ่งเป้ามาที่เว็บเซิร์ฟเวอร์ลินุกซ์โดยเฉพาะ ตอนนี้แม้จะยังไม่มีรายงานการระบาดมากนัก แต่ทาง BitDefender ก็วิเคราะห์พบว่าการพัฒนามีช่องโหว่ทำให้ถอดรหัสได้โดยง่าย

Tags:
Node Thumbnail

Linus Torvalds ออกมาตอบโต้ผู้เชี่ยวชาญด้านความปลอดภัยหลายคน ที่บอกว่าเขาและทีมพัฒนาเคอร์เนลลินุกซ์ "ไม่ใส่ใจเรื่องความปลอดภัยเท่าที่ควร" โดยไม่สนใจแก้ปัญหาหรือบั๊กด้านความปลอดภัยที่มีคนแจ้งเข้ามามากนัก

Torvalds ตอบว่าหลักการพื้นฐานคือไม่มีระบบใดปลอดภัย 100% และความปลอดภัยเป็นเพียงแค่แง่มุมหนึ่งในการพัฒนา ที่ต้องแบ่งให้น้ำหนักกับมิติอื่นๆ อย่างประสิทธิภาพ ความยืดหยุ่น ความง่ายในการใช้งานด้วย เขายังวิจารณ์คนที่บอกว่า "ความปลอดภัยสำคัญที่สุด" ว่าบ้าไปแล้ว (completely crazy) โลกไม่ได้มีแค่ขาวกับดำสักหน่อย

No Description

Tags:
Node Thumbnail

BLAKE2 เป็นอัลกอริทึมแฮชที่เข้าแข่งขันให้เป็นมาตรฐาน SHA-3 ของ NIST (องค์กรมาตรฐานทางเทคโนโลยีของสหรัฐฯ) และเข้ารอบไปถึงรอบสุดท้ายที่อัลกอริทึมเข้ารอบ 5 อัลกอริทึม แม้สุดท้าย Keccak จะเป็นผู้ชนะได้เป็นมาตรฐาน SHA-3 แต่ผู้สร้าง BLAKE2 ก็เสนอให้เป็นมาตรฐานทางเลือกหนึ่งของ IETF

กระบวนการเสนอมาตรฐานมีการเสนอมาตั้งแต่ต้นปีที่ผ่านมา ตอนนี้เอกสารก็ตีพิมพ์เป็น RFC7693 เรียบร้อยแล้ว

Tags:
Node Thumbnail

ไมโครซอฟท์เข้าซื้อบริษัทซอฟต์แวร์ความปลอดภัย Secure Islands จากอิสราเอล เจ้าของผลิตภัณฑ์ด้านความปลอดภัยข้อมูล (data security) ชื่อ IQProtector เพื่อนำมาใช้กับ Azure Rights Management Service บริการคลาวด์ของไมโครซอฟท์เอง

ไมโครซอฟท์ไม่ได้เปิดเผยมูลค่าการซื้อกิจการครั้งนี้ บอกแค่ว่า Secure Islands เป็นพาร์ทเนอร์ใกล้ชิดกับไมโครซอฟท์มานาน หลังการซื้อกิจการแล้ว Secure Islands จะยังขายผลิตภัณฑ์ของตัวเองและให้บริการลูกค้าเดิมต่อไป

ที่ผ่านมา ไมโครซอฟท์ซื้อบริษัทความปลอดภัยจากอิสราเอลมาแล้วหลายราย เช่น Aorato ในปี 2014 และ Adallom เมื่อเดือนกันยายน 2015

Tags:
Topics: 
Node Thumbnail

ผู้ดูแลระบบลินุกซ์แต่ใช้งานผ่านเดสก์ทอปวินโดวส์คงรู้จัก PuTTY กันแทบทุกคน เมื่อสองวันก่อนทางโครงการก็ออกเวอร์ชั่นใหม่แก้ช่องโหว่สำคัญออกมาแล้ว ควรรีบอัพเดตกัน

ช่องโหว่นี้อาศัยการวางอักขระที่เป็น escape sequence อย่างจงใจไปในไฟล์เพื่อกระตุ้นบั๊ก integer overflow การโจมตีจึงทำได้ในกรณีที่ผู้โจมตีสามารถวางไฟล์บนเซิร์ฟเวอร์ และล่อให้ผู้ดูแลระบบล็อกอินเข้าไปสั่ง cat ไฟล์เหล่านั้นขึ้นมาดู โดยช่องโหว่กระทบตั้งแต่เวอร์ชั่น 0.54 มาจนถึง 0.65

แม้จะเป็นการออกเวอร์ชั่นใหม่เพื่อแก้ช่องโหว่ แต่ก็มีอัพเดตบั๊กเล็กๆ น้อยๆ เช่น การส่ง Unicode และเพิ่มฟีเจอร์การออกล็อกไฟล์

Tags:
Node Thumbnail

มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ที่แพร่ระบาดหนักและสร้างความเสียหายได้มากตระกูลหนึ่งคือกลุ่ม CryptoWall ที่ประมาณการว่าสร้างความเสียหายไปแล้วเป็นมูลค่าถึง 325 ล้านดอลลาร์ ตอนนี้ทาง Heimdal Security ก็รายงานวิเคราะห์ถึง Cryptowall 4.0 ที่มีการปรับปรุงใหม่ เปลี่ยนแปลงสำคัญ 3 ด้าน ได้แก่

Pages