lew | Blognone

lew

Member for : Thu, 11/08/2005 - 11:15

พบช่องโหว่ LastPass เว็บมุ่งร้ายดึงรหัสผ่านได้ทุกเว็บ

By lew

on 28 July 2016 - 00:50 Tag: Security, LastPass

Security

Detectify รายงานช่องโหว่ของซอฟต์แวร์เก็บรหัสผ่าน LastPass ที่มีบริการเติมรหัสผ่านลงเว็บอัตโนมัติ

ช่องโหว่นี้เกิดจากตัวอ่าน URL ของ LastPass มีบั๊กไม่อ่านตัว at-sign (@) ทำให้เมื่อแฮกเกอร์สร้าง URL อย่างจงใจหลอก LastPass เช่น http://avlidienbrunn.se/@twitter.com/@hehe.php จะสามารถหลอกปลั๊กอินว่าเป็นเว็บ twitter.com ได้ และ LastPass จะถูกหลอกให้ใส่รหัสผ่านของ twitter.com ลงเว็บอื่นได้โดยง่าย

Interpark บริษัทรับจองบัตรเกาหลีถูกแฮก ข้อมูลลูกค้ารั่วกว่า 10 ล้านรายการ

By lew

on 26 July 2016 - 15:48 Tag: South Korea, Data Breach, Security

South Korea

Interpark บริษัทรับจองบัตรการแสดงรายใหญ่ในเกาหลีถูกแฮกข้อมูลลูกค้า ได้รายชื่อ, อีเมล, วันเกิด, และหมายเลขโทรศัพท์ของลูกค้าไป 10.3 ล้านรายการ อย่างไรก็ดีข้อมูลสำคัญอย่างรหัสผ่านและหมายเลขบัตรประชาชนไม่ถูกขโมยไปด้วย

บริษัทระบุว่าแฮกเกอร์เข้าถึงคอมพิวเตอร์บางเครื่องของบริษัทได้ และเห็นรูปแบบการส่งอีเมลในบริษัท จึงปลอมอีเมลพร้อมมัลแวร์เข้าไปยังพนักงานของ Interpark พนักงานเชื่ออีเมลจึงรันมัลแวร์ขึ้นมา สร้างช่องทางลับให้กับแฮกเกอร์

Vine เผลอเปิด Docker Registry ออกอินเทอร์เน็ต ดาวน์โหลดซอร์สโค้ดได้ทั้งหมด

By lew

on 26 July 2016 - 10:59 Tag: Vine, Twitter, Data Breach, Security

Vine

แฮกเกอร์ที่ใช้ชื่อว่า avicoder ทดสอบความปลอดภัยของ Vine ที่อยู่ภายใต้โครงการหาช่องโหว่ความปลอดภัยของทวิตเตอร์ และพบว่า Vine เปิด Docker Registry ออกสู่อินเทอร์เน็ต ทำให้ใครก็ได้สามารถดาวน์โหลดอิมเมจ 82 รายการมาลองรันในเครื่อง

อิมเมจที่สำคัญมากอันหนึ่งคือ vinewww เป็นซอร์สโค้ดของ Vine ทั้งหมด พัฒนาด้วย Python Flask ภายใน พร้อมด้วย API key บริการภายนอกอื่นๆ ตัวอิมเมจสามารถรันได้ทันทีและจะได้ Vine มารันบนเครื่องได้เอง

avicoder รายงานการค้นพบนี้ให้กับทวิตเตอร์ตั้งแต่เดือนมีนาคมที่ผ่านมา และทางทวิตเตอร์จ่ายรางวัล 10,080 ดอลลาร์

รถไฟฟ้าและรถเมล์สิงคโปร์เตรียมรับบัตร MasterCard แบบไร้สัมผัส

By lew

on 26 July 2016 - 00:02 Tag: Singapore, Payment, Contactless Payment

Singapore

การขนส่งทางบกสิงคโปร์ (Land Transport Authority - LTA) ประกาศความร่วมมือกับ MasterCard เตรียมทดสอบการตัดค่าโดยสารทั้งรถเมลและรถไฟฟ้าผ่านบัตรเครดิตและบัตรเดบิต ที่เป็นบัตร MasterCard PayPass โดยคาดว่าจะเริ่มให้บริการได้จริงได้ภายในปลายปีนี้ และคาดว่าช่วงทดลองจะมีผู้ใช้บัตร MasterCard มาโดยสารประมาณหนึ่งแสนคน

การจ่ายผ่านบัตรเช่นนี้ทำให้ผู้โดยสารสามารถตรวจสอบค่าโดยสารและประวัติการเดินทางของตัวเองย้อนหลังได้ การจ่ายบัตรโดยทั่วไปจะสะดวกขึ้นเพราะไม่ต้องกังวลกับการเติมเงินในบัตรให้เพียงพอ

นอกจากนี้ LTA ยังเตรียมรองรับการจ่ายผ่านโทรศัพท์มือถือเพิ่มเติม

Starbucks Card ล่มทั่วประเทศ กระทบบัตรกว่าหกแสนใบ

By lew

on 25 July 2016 - 14:38 Tag: Starbucks, Mobile Payment

Starbucks

วันนี้ลูกค้าจำนวนมากรายงานว่าระบบบัตรจ่ายเงิน Starbucks Card ล่มทั้งประเทศ กระทบการจ่ายเงินและการสะสมแต้ม ตั้งแต่ช่วงเจ็ดโมงเช้าที่ผ่านมา

แม้ว่าจะเป็นบัตรจ่ายเงินของร้านค้าเฉพาะ Starbucks เองแต่ระบบ Starbucks Card ก็นับเป็นระบบจ่ายเงินขนาดใหญ่ ลูกค้ากว่าครึ่งใช้งานระบบ My Starbucks Reward มีบัตรใช้งานอยู่ถึงกว่า 680,000 ใบ แบ่งเป็น Gold 48,000 ใบ Green 38,000 ใบ และ Welcome 600,000 ใบ การจ่ายเงินผ่านแอปพลิเคชั่นก็ได้รับความนิยมอย่างสูง ตัวแอปมียอดดาวน์โหลดถึง 450,000 ครั้ง

สหภาพยุโรปเตรียมจัดตรวจสอบความปลอดภัย KeePass และ Apache HTTP Server

By lew

on 25 July 2016 - 13:36 Tag: Europe, European Commission, Security, Open Source, Apache, KeePass

Europe

การตรวจสอบโค้ดเพื่อหาช่องโหว่ความปลอดภัยเป็นระยะเพื่อป้องกันแฮกเกอร์พบช่องโหว่เหล่านี้ก่อนเป็นแนวทางที่เอกชนเริ่มให้ความใส่ใจมากขึ้นในช่วงหลัง เช่น Core Infrastructure Initiative หรือ Secure Open Source ตอนนี้ภาครัฐอย่างสหภาพยุโรปก็เริ่มเข้ามามีบทบาทโดยจัดสรรงบประมาณมาตรวจสอบโค้ดโครงการโอเพนซอร์ส

NIST เปิดร่างมาตรฐานการยืนยันตัวตนดิจิตอล เตรียมยกเลิกการใช้ SMS

By lew

on 25 July 2016 - 09:56 Tag: NIST, Information Security, Security, SMS

NIST

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมที่เป็นผู้ออกมาตรฐานการเข้ารหัสจำนวนมากในทุกวันนี้ เปิดรับฟังความเห็นร่างเอกสาร NIST SP 800-63B มาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ เพื่อรับฟังความเห็นจากสาธารณะ

เอกสารนี้กำหนดมาตรฐานกระบวนการยืนยันตัวตนให้ปลอดภัย ตั้งแต่กระบวนการเบื้องต้นเช่นการจำกัดจำนวนครั้งที่การยืนยันตัวตนล้มเหลว, การใช้งานการยืนยันตัวตนหลายขั้นตอน แต่ความเปลี่ยนแปลงที่สำคัญคือการเตรียมยกเลิกการยืนยันตัวตนด้วย SMS

การยืนยันตัวตนด้วย SMS ยังคงยอมรับได้ในร่างเอกสาร แต่ประกาศสถานะเป็น deprecated และจะไม่รวมอยู่ในเอกสารนี้เวอร์ชั่นต่อไป

สมาธิดีเลิศ แฮกเกอร์พบช่องโหว่รันโค้ดบน Pornhub ได้สำเร็จ ได้รางวัล 20,000 ดอลลาร์

By lew

on 24 July 2016 - 23:16 Tag: Pornhub, Security, Bug Bounty

Pornhub

Pornhub ประกาศให้รางวัลกับแฮกเกอร์ที่พบช่องโหว่ของเว็บมาตั้งแต่เดือนพฤษภาคม และเพิ่มเงินรางวัลหลังเริ่มโครงการไปไม่นาน ตอนนี้ผู้ใช้ static บนเว็บ HackerOne ก็ออกมาเปิดเผยข้อมูลช่องโหว่สำคัญที่ทำให้ Pornhub ให้เงินรางวัลถึง 20,000 ดอลลาร์

คอมไพล์เลอร์ ASN.1 ตัวสำคัญมีบั๊ก อาจสร้างช่องโหว่ให้ซอฟต์แวร์ในระบบเครือข่ายเป็นวงกว้าง

By lew

on 23 July 2016 - 03:38 Tag: Security, Communications

Security

มาตรฐาน ASN.1 เป็นมาตรฐานสำหรับการเข้ารหัส (encode) และส่งข้อมูลระหว่างอุปกรณ์ที่ได้รับความนิยมในกระบวนการเข้ารหัส การสร้างโปรโตคอลเข้ามักกำหนดข้อมูลหลายอย่างด้วย ASN.1 เช่นใบรับรองดิจิตอลที่เราเห็นไฟล์นามสกุล .DER เป็นต้น ตอนนี้คอมไพล์เลอร์ที่คอมไพล์จากฟอร์แมต ASN.1 เป็นไลบรารีสำหรับอ่านข้อมูลในภาษาต่างๆ จากบริษัท Objective Systems ชื่อว่า ASN1C มีบั๊กทำให้แฮกเกอร์สามารถสร้างข้อมูลพิเศษเพื่อรันโค้ดบนเครื่องที่ใช้ไลบรารีจาก ASN1C ได้

MariaDB 10.1.16 เรียงลำดับข้อความภาษาไทยในตาราง UTF-8 ถูกต้องแล้ว

By lew

on 22 July 2016 - 18:52 Tag: MariaDB, Open Source, Database

MariaDB

เมื่อต้นสัปดาห์ MariaDB ออกรุ่นอัพเดตย่อย 10.1.16 แต่สำหรับคนไทยรุ่นนี้มีความสำคัญเพราะระบบการเรียงข้อความภาษาไทยเป็นไปตามหลักภาษาไทยแล้ว

ปัญหาการเรียงลำดับภาษาไทยเป็นข้อจำกัดของระบบฐานข้อมูลหลายตัว เพราะภาษาไทยไม่ได้เรียงตามลำดับตัวอักษรโดยตรงแต่เรียงตามพยัญชนะ เช่น "กา", "ขา", "เก" ควรเรียงเป็น "กา", "เก", "ขา" ตามลำดับ

Omega2 บอร์ดลินุกซ์พร้อม Wi-Fi ราคา 5 ดอลลาร์

By lew

on 21 July 2016 - 23:05 Tag: Kickstarter, Hardware, Hardware

Kickstarter

Onion ผู้สร้างบอร์ดลินุกซ์ขนาดเล็ก กลับมาระดมทุนบอร์ด Omega2 บอร์ดราคาถูกเพียง 5 ดอลลาร์แต่มี Wi-Fi ในตัว

ทาง Onion ไม่ได้ระบุตรงๆ ว่าใช้ซีพียูใดในบอร์ดนี้ แต่ทาง CNX Software คาดว่าจะเป็น MediaTek MT7688 ตัวเดียวกับ LinkIt Smart 7688 บนตัวบอร์ดมีหน่วยความจำแฟลช 16MB แรม 64MB มีพอร์ต USB และพอร์ต I/O แทบทุกแบบ

ขนาดเล็กและราคาแบบนี้น่าจะทำให้ Omega2 เป็นคู่แข่งกับ Raspberry Pi Zero โดยมีจุดได้เปรียบคือ Wi-Fi เป็นหลัก

กูเกิลเปิดตัวบอร์ดเก็บข้อมูลอนาล็อกความเร็วสูงราคาถูก

By lew

on 21 July 2016 - 16:34 Tag: Google, Hardware, Hardware

Google

Google Research เปิดตัวบอร์ด data acquisition (DAQ) สำหรับการเก็บสัญญาณอนาล็อกที่ความเร็วสูง โดยเป็นบอร์ดเสริมของ BeagleBone ชื่อว่าบอร์ด PRUDAQ

ทีมงานระบุว่าที่เลือก BeagleBone เป็นบอร์ดหลักเพราะมีวงจร programmable realtime units (PRUs) ที่สามารถดึงข้อมูลมาเขียนลงแรมได้โดยตรง ความสามารถในการบันทึกข้อมูลอนาล็อกได้ 20 ล้านชุดต่อวินาที 2 ช่องสัญญาณรวม 40 ล้านชุดต่อวินาที

กูเกิลคลาวด์เปิด API ใหม่: วิเคราะห์ข้อความ, แปลงเสียงเป็นข้อความ พร้อมเปิดศูนย์ข้อมูลใหม่

By lew

on 21 July 2016 - 00:53 Tag: Google Cloud, Natural Language, Artificial Intelligence

Google Cloud

บริการ Google Cloud Platform เปิดบริการใหม่เพิ่มเติมอีกสองบริการ คือการวิเคราะห์ข้อความ และการแปลงเสียงเป็นข้อความ พร้อมกับเปิดศูนย์ข้อฝั่งตะวันตกของสหรัฐฯ ให้ผู้ใช้ทั่วไปบริการเมืองทางฝั่งตะวันตก เช่น ซานฟรานซิสโก

Google Cloud Natural Language API: วิเคราะห์ข้อความจากสามภาษา ได้แก่ อังกฤษ, สเปน, และญี่ปุ่น สามารถค้นหาคำสำคัญของประโยค เช่น ชื่อคน, สถานที่ วิเคราะห์อารมณ์ของประโยคว่าดีหรือร้าย และวิเคราะห์โครงสร้างประโยค ราคา 0.2-1.0 ดอลลาร์ต่อข้อความ 1,000 ตัวอักษร ยกเว้น 5,000 ตัวอักษรแรกฟรี

ระบบปฎิบัติการ Junos ของ Juniper มีบั๊ก สร้างใบรับรองหลอกได้

By lew

on 20 July 2016 - 23:50 Tag: Juniper, VPN, Security

Juniper

Juniper ผู้ผลิตเราท์เตอร์รายสำคัญแจ้งเตือนลูกค้าว่าระบบปฎิบัติการ Junos มีบั๊กความปลอดภัย ทำให้การเชื่อมต่อ VPN แบบ IKE/IPsec รับใบรับรองแบบ self-sign ที่ปลอมตัวมาได้

ทาง Juniper ระบุว่าการเชื่อมต่อ VPN แบบอื่นๆ ไม่ได้รับผลกระทบจากช่องโหว่นี้ และตอนนี้ทางแก้ปัญหาชั่วคราวคือการคอนฟิกให้ PKI-VPN ต้องใช้ ID จาก Distinguished Name (DN) เท่านั้น

ทาง Juniper จัดช่องโหว่นี้เป็นอันตรายระดับปานกลาง คะแนน CVSS 6.5 แต่ถ้าใครใช้ Junos เป็นไฟร์วอล VPN ก็ควรรีบตรวจสอบให้เรียบร้อยครับ

บอร์ดใต้ดินเริ่มมีข้อเสนอขายฐานข้อมูล World-Check ของรอยเตอร์

By lew

on 20 July 2016 - 23:33 Tag: Reuters, Data Breach

Reuters

เมื่อเดือนที่แล้ว Chris Vickery นักวิจัยด้านความปลอดภัยออกมาแจ้งเตือนว่าฐานข้อมูล World-Check ของรอยเตอร์หลุดออกมา แต่ไม่มีการเปิดเผยข้อมูลสู่สาธารณะ ล่าสุด The Register ก็รายงานว่ามีผู้เสนอขายฐานข้อมูลนี้อยู่ในบอร์ดใต้ดินแล้ว ที่ราคา 10BTC หรือกว่าสองแสนบาท

ผู้ใช้บอร์ดนี้ใช้ชื่อเรียกตัวเองว่า Bestbuy มีประวัติการขายไม่มากนักทำให้อาจจะเป็นเพียงโจรหลอกลวงเท่านั้น แต่สินค้าที่เขาเสนอขายเป็นฐานข้อมูล ทั้งฐานข้อมูลของ LinkedIn (1.2BTC) และ World-Check รวมถึงช่องโหว่ของ Microsoft Office ที่ยังไม่เปิดเผย

Java 8 รองรับ Let's Encrypt แล้ว

By lew

on 20 July 2016 - 13:50 Tag: Let's Encrypt, Java, Oracle

Let's Encrypt

ใบรับรองที่ออกโดย Let's Encrypt ถูก cross-sign โดย IdenTrust แม้ว่าเบราว์เซอร์จะรองรับแทบทั้งหมด แต่ไลบรารีบางส่วนก็ยังอัพเดตไม่ทัน ล่าสุดฝั่งจาวาก็อัพเดต 8u101 รองรับ IdenTrust แล้ว ทำให้การเชื่อมต่อ HTTPS ไปยังเซิร์ฟเวอร์ที่ใช้งาน Let's Encrypt รองรับโดยสมบูรณ์

ออราเคิลเพิ่มใบรับรองของ IdenTrust เข้าในฐานข้อมูลหลายตัว แต่ตัวที่ใช้ cross-sign กับ Let's Encrypt คือ IdenTrust DST Root CA X3

ที่มา - Oracle

EnterpriseDB ผ่านมาตรฐานความปลอดภัย STIG ของกระทรวงกลาโหมสหรัฐฯ

By lew

on 20 July 2016 - 00:47 Tag: USA, Database, Open Source, EnterpriseDB

USA

EnterpriseDB (EDB) หรือรุ่นการค้าของ PostgreSQL ผ่านมาตรฐาน Security Technical Implementation Guide (STIG) ของกระทรวงกลาโหมสหรัฐฯ เป็นแบรนด์ที่สาม ตามหลัง Oracle และ Microsoft SQL Server และนับเป็นระบบฐานข้อมูลโอเพนซอร์สตัวแรกที่ผ่านมาตรฐานนี้

มาตรฐาน STIG กำหนดเงื่อนไขกว่าร้อยรายการ แต่รายการตรวจสอบเป็นข้อมูลเฉพาะสำหรับเจ้าหน้าที่เท่านั้นไม่เปิดเผยสำหรับบุคคลทั่วไป เอกสารแนะนำ STIG ระบุเพียงเงื่อนไขกว้างๆ เช่น ต้องรองรับการตรวจสอบย้อนกลับ (audit), มีระบบสำรองข้อมูล, มีกระบวนการป้องกันข้อมูล, เข้ารหัสข้อมูลทั้งขณะส่งข้อมูลและขณะที่ข้อมูลอยู่ในดิสก์ ฯลฯ

จากคลื่นทีวีสู่คลื่นโทรคมนาคม FCC ประกาศรายชื่อผู้ประมูลคลื่น 600MHz ประมูล 16 สิงหาคมนี้

By lew

on 19 July 2016 - 23:46 Tag: FCC, USA

FCC

การจัดสรรคลื่นความถี่สำหรับการสื่อสารไร้สายเพิ่มขึ้นเรื่อยๆ เป็นแนวทางที่หน่วยงานจัดสรรคลื่นความถี่ทำกันทั่วโลก ตอนนี้สหรัฐฯ ก็เริ่มโยกคลื่นก้อนสำคัญคือคลื่น 600MHz จากโทรทัศน์มาเตรียมประมูลเป็นคลื่นโทรคมนาคมแล้ว โดยประกาศผู้ผ่านเกณฑ์เข้าร่วมประมูลทั้งหมด 62 ราย

ในบรรดาบริษัทที่เข้าร่วม ผู้ให้บริการเครือข่ายโทรศัพท์มือถือรายหลักๆ ล้วนเข้าร่วมกันถ้วนหน้า เช่น Verizon, AT&T, T-Mobile ยกเว้นเพียงรายเดียวคือ Sprint ส่วนบริษัทอินเทอร์เน็ตอย่าง Comcast ก็ส่งบริษัทลูกมาเช่นเดียวกับ Dish Network

ช่องโหว่ HTTPOXY กระทบ PHP, Python, Go แฮกเกอร์ดึงทราฟิกไปตามต้องการได้

By lew

on 18 July 2016 - 22:52 Tag: Security, Drupal

Security

ช่องโหว่ HTTPOXY อาศัยการอิมพลีเมนต์เซิร์ฟเวอร์ CGI หลายตัวที่รับค่า Proxy จาก HTTP header เมื่อเซิร์ฟเวอร์เหล่านี้กำลัง ดาวน์โหลด ข้อมูลผ่าน HTTP เมื่อได้รับค่า Proxy มาแล้วกลับตั้งค่าเป็น environment variable ในชื่อ HTTP_PROXY ทำให้การดาวน์โหลดครั้งอื่นๆ จะถูกส่งไปยังเซิร์ฟเวอร์ที่แฮกเกอร์ต้องการได้ทันที

ตำรวจไต้หวันจับผู้ต้องสงสัยคดีแฮก ATM สามคนแรกได้แล้วจากทั้งหมด 16 คน

By lew

on 18 July 2016 - 13:27 Tag: Banking, Taiwan, Security, ATM

Banking

คดีแฮกเกอร์ติดตั้งมัลแวร์ในตู้เอทีเอ็มไต้หวันมีความคืบหน้า เมื่อตำรวจไต้หวันจับกุมผู้ต้องสงสัยสามคนแรก หลังจากตำรวจไทเปนายหนึ่งที่กำลังพักผ่อนพบผู้ต้องสงสัยชาวลัตเวียในร้านอาหารในมณฑลอี้หลาน ส่วนผู้ต้องสงสัยชาวโรมาเนียอีกสองคนถูกจับในไทเป พร้อมกับพบเงิน 50 ล้านดอลลาร์ไต้หวันในโรงแรม จากเงินที่ถูกขโมยไปทั้งหมด 80 ล้านดอลลาร์ไต้หวัน