Tags:
Node Thumbnail

Windows 7 จะหมดระยะซัพพอร์ตในเวลาอีกประมาณ 1 เดือนกว่าๆ (14 มกราคม 2020) ล่าสุดมีข้อมูลยืนยันบนเว็บไซต์ของไมโครซอฟท์แล้วว่า บริการแอนตี้ไวรัส Microsoft Security Essentials (MSE) ที่มาพร้อมกับ Windows 7 จะหยุดให้บริการไปพร้อมกัน

ถึงแม้ประกาศนี้ไม่ใช่เรื่องน่าแปลกใจนัก แต่ตอนสมัย Windows XP หมดระยะซัพพอร์ต ไมโครซอฟท์ยังอัพเดตฐานข้อมูลไวรัสให้ Microsoft Security Essentials ต่ออีกหลายเดือน ซึ่งคราวนี้ไม่ทำแล้ว ตรงนี้จึงกลายเป็นความเสี่ยงของผู้ที่ยังจะใช้ Windows 7 ต่อไป ที่อาจต้องหาแอนตี้ไวรัสยี่ห้ออื่นมาใช้งานแทน

ส่วนบริการแอนตี้ไวรัสแบบเดียวกันคือ Windows Defender บน Windows 8 และ Windows 10 ยังใช้งานได้ตามปกติ

Tags:
Node Thumbnail

Brian Krebs นักวิจัยด้านความปลอดภัยจาก Krebs Security เขียนบล็อกรายงานการค้นพบว่า iPhone 11 Pro Max ยังคงแสดงไอคอนลูกศรที่ด้านขวาบน ที่แสดงว่าตัวเครื่องยังคงมีการใช้งานและส่งข้อมูลโลเคชันกลับไปยังแอปเปิลอยู่ แม้จะสั่งปิด (เลือก never) ในทุกแอปและ system service ทั้งหมดแล้วก็ตาม เปิดไว้แค่ Location Service ในหน้า Setting เท่านั้น

Tags:
Node Thumbnail

เมื่อวันที่ 1 ธันวาคมที่ผ่านมา Lukas Martini นักพัฒนาชาวเยอรมันรายงานถึงแพ็กเกจ python3-dateutil และ jeIlyfish ที่ตั้งใจตั้งชื่อให้คล้ายโมดูล dateutil และ jellyfish แต่ฝังโค้ดขโมยกุญจะเข้ารหัสและกุญแจล็อกอินเซิร์ฟเวอร์จากผู้ใช้

ทั้งสองโมดูลถูกสร้างตั้งแต่ปลายปีที่แล้วและอยู่บน PyPI นานเกือบหนึ่งปี หลังจาก Lukas รายงาน ทาง PyPI ก็ถอนโมดูลทั้งสองออกในไม่กี่ชั่วโมง

Tags:
Node Thumbnail

ปัญหาลืมปิด Bucket ของสตอเรจบนคลาวด์ (เช่น กรณี Amazon S3 ที่เคยเป็นข่าวในบ้านเรา) ยังถือเป็นต้นเหตุสำคัญของกรณีข้อมูลหลุดหลายครั้ง

ปีที่แล้ว AWS ออกเครื่องมือชื่อ Amazon S3 Block Public Access เพื่อตั้งค่าไม่ให้เปิด S3 เป็นสาธารณะได้อีกต่อไป (คลิกเดียวปิดทุกอย่าง) ปีนี้ AWS ออกเครื่องมือที่ช่วยให้เราตรวจสอบสิทธิการเข้าถึง S3 ได้ละเอียดมากขึ้น ในชื่อว่า Access Analyzer for S3

Tags:
Node Thumbnail

เมื่อองค์กรต้องการใช้งานโครงสร้างพื้นฐานจากผู้ให้บริการภายนอก เช่น บริการคลาวด์ คำถามแรกๆ มักเป็นคำถามว่าบริการเหล่านั้นจะปลอดภัยเพียงพอหรือไม่ มาตรฐานความปลอดภัยจึงเป็นหนึ่งในปัจจัยสำคัญที่สร้างความเชื่อมั่นและความมั่นใจให้กับลูกค้าในการเลือกผู้ให้บริการ

Tags:
Node Thumbnail

SRLabs บริษัทวิจัยความปลอดภัยเครือข่ายโทรศัพท์มือถือที่เคยรายงานช่องโหว่ของ SMS มาตลอด แต่หลังจากมีกูเกิลผลักดันโปรโตคอล RCS ทาง SRLabs ก็พบว่าสภาพโดยรวมยังไม่ดีขึ้น โดยความปลอดภัยรวมพอๆ กับโปรโตคอลยุค 2G และโปรโตคอล SS7

Tags:
Topics: 
Node Thumbnail

Kali Linux ลินุกซ์ดิสโทรสำหรับการทดสอบความปลอดภัยเครือข่ายออกรุ่น 2019.4 โดยนอกจากการอัพเดตซอฟต์แวร์ตามรอบแล้ว ยังมีฟีเจอร์ปลอมตัวเป็นวินโดวส์

ฟีเจอร์ Kali Undercover เป็นธีมที่เปลี่ยนไอคอนและพื้นหลังให้เหมือนวินโดวส์มาตรฐาน แต่ความพิเศษของธีมนี้คือ Kali มีสคริปต์ให้เฉพาะพิมพ์คำสั่งเดียวแล้วสลับธีมไปกลับกับธีมวินโดวส์ได้ทันที โดยทางโครงการระบุว่ามีประโยชน์สำหรับการทำงานในพื้นที่เปิดที่นักวิจัยความปลอดภัยไม่ต้องการให้ตัวเองเป็นที่สนใจ

ฟีเจอร์อื่นๆ ที่ปรับปรุงเพิ่มการปรับเอกสารทั้งหมดมาใช้ Markdown ตามสมัยนิยม, ปรับปรุงเอกสารการเพิ่มแพ็กเกจ, รองรับ BTRFS เต็มรูปแบบทำให้ทำ snapshot ได้, มีแพ็กเกจ PowerShell

ดาวน์โหลดได้แล้ววันนี้

Tags:
Node Thumbnail

ตลาดแลกเปลี่ยนเงินคริปโต Upbit ในประเทศเกาหลีใต้ถูกขโมยเงิน Ethereum รวม 342,000 ETH มูลค่า 1,500 ล้านดอลลาร์ออกไปยังบัญชีที่ไม่รู้เจ้าของ ขณะนี้ทาง Upbit หยุดการฝากถอนเงินคริปโตทั้งหมด และย้ายเงินคริปโตทั้งหมดลงสู่ cold wallet

Lee Seok-woo ซีอีโอของ Upbit ระบุว่ากำลังตรวจสอบว่าบริษัทมีทรัพย์สินพอจะชดเชยความเสียหายของลูกค้า และคาดว่าจะกลับมาเปิดรับฝากถอนเงินคริปโตได้ภายในอีกสองสัปดาห์ข้างหน้า

ระหว่างนี้ทาง Upbit ขอให้ตลาดเงินคริปโตช่วยกันบล็อคเงินคริปโตจากบัญชี 0xa09871AE ที่เงินคริปโตถูกดึงออกไป

ที่มา - Upbit

Tags:
Node Thumbnail

ช่องโหว่ PHP-FPM หรือ CVE-2019-11043 เป็นช่องโหว่ที่เปิดทางให้แฮกเกอร์รันโค้ดเมื่อใช้งานคู่กับ nginx ล่าสุดเริ่มมีรายงานออกมาว่าเซิร์ฟเวอร์ NextCloud ถูกโจมตีด้วยมัลแวร์เข้ารหัสเรียกค่าไถ่ที่ชื่อเรียกกันว่า NextCry โดยมัลแวร์เรียกค่าไถ่มูลค่า 0.025BTC หรือประมาณ 5,000 บาท

ช่องโหว่นี้กระทบการคอนฟิดเฉพาะบางรูปแบบ ที่ทาง NextCloud ได้รับผลกระทบด้วย โดยหลังจากมีรายงานปัญหานี้ออกมา ทางบริษัทก็ออกคำแนะนำพร้อมวิธีการคอนฟิกเพื่อปิดช่องโหว่ตั้งแต่วันแรกๆ อย่างไรก็ดีมีผู้ดูแลระบบจำนวนมากที่ไม่ได้อัพเดตซอฟต์แวร์หรือปรับคอนฟิกตามคำแนะนำ

Tags:
Node Thumbnail

บริษัทไอทีใหญ่ๆ ต่างมีโครงการที่เรียกว่า Bug Bounty เปิดโอกาสให้นักวิจัยหรือใครก็ตามที่พบช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ต่างๆ แจ้งเข้ามาเพื่อรับเงินรางวัลแลกกับการที่บริษัทเหล่านั้นจะได้อุดช่องโหว่ก่อนจะเปิดเผยต่อสาธารณะ

ด้านกูเกิลเองก็มีโครงการ Android Security Rewards ที่เปิดมาตั้งแต่ปี 2015 ซึ่งล่าสุดได้เพิ่มเงินรางวัลสูงสุดเป็น 1 ล้านดอลลาร์สหรัฐหรือราว 30 ล้านบาท แก่ใครก็ตามที่สามารถรันโค้ดจากระยะไกลแบบคงอยู่แม้จะรีเซ็ตเครื่อง (full chain remote code execution exploit with persistence) บนชิปความปลอดภัย Titan M ที่อยู่ในสมาร์ทโฟน Pixel 3 ขึ้นไป

Tags:
Node Thumbnail

Cloudflare ประกาศโอเพนซอร์สโครงการ Flan Scan คอนเทนเนอร์สแกนช่องโหว่ซอฟต์แวร์บนเครือข่ายพร้อมรายงานออกเป็นเอกสารแบบ LaTeX หรือจะออกไฟล์ XML ขึ้นไปยังคลาวด์สตอเรจ

ตัวโครงการสร้างจาก Nmap เป็นฐาน และใช้สคริปต์ Vulners เพื่อตรวจหาช่องโหว่ที่เคยมีการรายงานมา

ซอฟต์แวร์และบริการหลักๆ มีอยู่ก่อนแล้ว ทาง Cloudflare นำมาแพ็กเป็นคอนเทนเนอร์แล้วเพิ่มการสร้างรายงานเพื่อให้จัดการช่องโหว่ได้ง่ายขึ้น

ที่มา - Cloudflare

Tags:
Node Thumbnail

GitHub เปิดตัวโครงการ GitHub Security Lab เพื่อยกระดับความปลอดภัยของซอฟต์แวร์โอเพนซอร์สบน GitHub โดยโครงการนี้ประกอบด้วย

Tags:
Node Thumbnail

ทวิตเตอร์ประกาศปรับปรุงฟีเจอร์การยืนยันตัวตนสองปัจจัยหรือ 2FA ใหม่ โดยยกเลิกการกรอกเบอร์โทรศัพท์เพื่อการส่ง SMS รหัสยืนยันตัวตนแล้ว

ปัจจุบัน ทวิตเตอร์มีระบบยืนยันตัวตนสองปัจจัยสามแบบ คือ SMS, แอปสร้างรหัส (เช่น Google Authenticator) และกุญแจความปลอดภัย (เช่น YubiKey) ซึ่งก่อนหน้านี้ หากเปิดการยืนยันตัวตนสองปัจจัยจะต้องเปิดช่องทาง SMS เสมอ ส่วนอีกสองช่องทางเป็นทางเลือกว่าจะเปิดหรือไม่เปิดก็ได้

หลังจากนี้ผู้ใช้ทวิตเตอร์ที่เปิดระบบยืนยันตัวตนจะเลือกใช้เบอร์โทรศัพท์หรือแอปสร้างรหัสก็ได้ ส่วนกุญแจความปลอดภัยจะยังคงเป็นตัวเลือกเหมือนเดิม เนื่องจากกุญแจความปลอดภัยจะรองรับการใช้งานเฉพาะบนเว็บไซต์เท่านั้น

Tags:
Node Thumbnail

ทีมวิจัยจากบริษัท Checkmarx รายงานช่องโหว่ของแอปกล้องถ่ายภาพ Google Camera ในโทรศัพท์ Pixel และ Samsung Camera ในโทรศัพท์ซัมซุงหลายรุ่น ที่มีช่องโหว่ใน Intent ทำให้แอปในเครื่องสามารถอ่านไฟล์ในเครื่องแม้ไม่ได้รับสิทธิ์ และยังควบคุมกล้องให้ถ่ายภาพโดยผู้ใช้ไม่ได้อนุญาต

ทาง Checkmarx แจ้งช่องโหว่ไปยังกูเกิลตั้งแต่เดือนกรกฎาคมและทางกูเกิลก็ยืนยันช่องโหว่ในไม่กี่วันโดยตอนแรกระบุความร้ายแรงเป็นปานกลาง ก่อนจะยกระดับเป็นระดับสูง และปล่อยอัพเดตผ่าน Google Play ในเดือนเดียวกัน

Node Thumbnail

ช่วงหลังมานี้ ซอฟต์แวร์สอดแนม-ตามรอยที่เรียกว่า stalkerware หรือ spouseware ซึ่งมักใช้ในการติดตามพฤติกรรมของคู่รัก สามี/ภรรยา บุตรหลาน พนักงานในองค์กร ฯลฯ กำลังได้รับความนิยมมากขึ้น ซอฟต์แวร์กลุ่มนี้ถูกเรียกว่า legal spyware คือเป็นสปายแวร์ที่ถูกกฎหมาย (เพราะเป็นการใช้งานกับคนในครอบครัวกันเอง หรืออาจบอกว่ามันคือ parental control แทน) แม้ไม่ถูกต้องในเชิงจริยธรรม (ผู้ถูกติดตามไม่ทราบว่าถูกติดตั้งซอฟต์แวร์นี้)

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศเตรียมรองรับ DNS-over-HTTPS (DoH) ใน Windows Insider โดยยังไม่กำหนดช่วงเวลาว่าจะปล่อยฟีเจอร์นี้เมื่อใด อย่างไรก็ตาม Tommy Jensen ผู้จัดการโครงการส่วน Windows DNS Client ระบุหลักการคร่าวๆ ว่า

  • DNS จะพยายามเข้ารหัสเองหากทำได้แม้ผู้ใช้ไม่ได้คอนฟิกเพิ่มเติม
  • มีคำแนะนำให้ผู้ใช้รักษาความเป็นส่วนตัวได้ง่าย, ปรับคอนฟิกเพิ่มความเป็นส่วนตัวได้สะดวก
  • หากคอนฟิกเสร็จแล้ว วินโดวส์จะไม่ยอมใช้ DNS ไม่เข้ารหัสอีก หากผู้ใช้ไม่ได้อนุญาตชัดเจน

ขั้นแรกของการรองรับ DoH ตัววินโดวส์จะเปิดการทำงานเอง หากผู้ใช้คอนฟิกเซิร์ฟเวอร์ที่อยู่ในรายการว่ารองรับ DoH อยู่แล้ว จากนั้นขั้นต่อไปการตั้งค่า DNS จะมีทางให้ผู้ใช้เลือกโปรโตคอลได้เองในอนาคต

Tags:
Topics: 
Node Thumbnail

ทีมวิจัยรายงานช่องโหว่ Zombieload v2 หรือ CVE-2019-11135 ช่องโหว่การอ่านหน่วยความจำที่ไม่ได้รับอนุญาต โดยอาศัยกระบวนการทำงานของชุดคำสั่ง TSX (transactional memory) ทำให้โปรเซสมุ่งร้ายสามารถอ่านข้อมูลในหน่วยความจำที่ไม่มีสิทธิ์ เช่น กรณีการใช้เครื่องเสมือน (virtual machine - VM) บนคลาวด์ เครื่องที่มุ่งร้ายก็อาจจะไปอ่านข้อมูลของเครื่องอื่นได้

ซีพียูที่ได้รับผลกระทบเป็นซีพียูที่รองรับชุดคำสั่ง TSX และต้องเปิดคำสั่ง TSX Asynchronous Abort (TAA) ไว้ โดยรวมแล้วมีซีพียูที่ได้รับผลกระทบ เป็นตระกูล Whiskey Lake (Core รุ่นที่ 8 ตระกูล U), Cascade Lake (Xeon Scalable รุ่นที่ 2), และ Coffee Lake R (Core รุ่นที่ 9)

Tags:
Node Thumbnail

ผู้ใช้ทวิตเตอร์ที่ชื่อว่า Joshua Maddux ได้ทวีตปัญหา (น่าจะบั๊ก) ที่พบบนเฟซบุ๊กเวอร์ชัน iOS ที่แอบเปิดกล้องหลังเองขณะที่เจ้าตัวกำลังไถอยู่บนนิวส์ฟีด (ดูตัวอย่างได้จากทวิตเตอร์ท้ายข่าว)

Maddux บอกว่าพบปัญหาบน iPhone ทุกเครื่องที่รัน iOS 13.2.2 แต่กลับไม่พบปัญหา iOS 12 (แต่ก็ไม่รู้ว่ามันแอบทำงานเหมือนกันหรือไม่) ขณะที่ทาง The Next Web ได้ทดสอบก็พบปัญหาเดียวกันบน iOS เวอร์ชันเดียวกัน แต่หากเป็น iOS 13.1.2 กลับไม่พบปัญหา เช่นเดียวกับที่ไม่พบบน Android 10 จาก Pixel 4

ด้านเฟซบุ๊กยังไม่ได้แสดงความเห็นจากปัญหานี้ (แต่ก็คาดเดาได้ว่าคงตอบว่าเป็นบั๊กและจะปล่อยอัพเดตแก้) ทางที่ดีคือปิดไม่ให้เฟซบุ๊กเข้าถึงทั้งกล้องและไมโครโฟนตลอดเวลา เป็นการดีที่สุดครับ

Tags:
Node Thumbnail

ที่งาน Pwn2Own โตเกียวปีนี้มีการแข่งขันแฮกอุปกรณ์ IoT และคอมพิวเตอร์ขนาดเล็กจำนวนมาก โดยอุปกรณ์ตัวหนึ่งที่ถูกแฮกได้คือ Amazon Echo Show ลำโพงอัจริยะของ Amazon

ผู้โจมตีสำเร็จคือทีม Fluoroacetate การโจมตีอาศัยการบังคับให้ Echo Show เชื่อมต่อกับ Wi-Fi ที่ไม่ปลอดภัย จากนั้นยิงหน้าเว็บเพื่อเจาะผ่านบั๊ก integer overflow ของ Chromium รุ่นเก่า

ปัญหาการไม่อัพเดตซอฟต์แวร์ต้นน้ำที่ออกแพตช์ความปลอดภัยมาแล้ว (patch gap) เป็นปัญหาใหญ่ของวงการ IoT ที่อุปกรณ์มักมีความสามารถสูงขึ้นเรื่อยๆ หลายครั้งมีเบราว์เซอร์เต็ม แต่กลับไม่ได้รับแพตช์ตามรอบเช่นเดียวกับพีซีหรือโทรศัพท์มือถือ

Tags:
Node Thumbnail

ปัญหามัลแวร์หรือแอปประสงค์ร้ายบนแอนดรอยด์เป็นปัญหาที่หลอกหลอน Google มานาน แม้จะพยายามหามาตรการป้องกันเท่าไหร่ก็ตามแต่ก็ยังมีข่าวเจอแอปที่ฝังมัลแวร์จาก Play Store อยู่เรื่อย ๆ

ล่าสุด Google เลยอาศัยความร่วมมือจากมืออาชีพอย่าง ESET, Lookout และ Zimperium สามบริษัทแอนตี้ไวรัสเพื่อมาช่วยป้องกันและตรวจสอบ Play Store ให้มากขึ้นภายใต้โครงการ App Defense Alliance ที่ Google จะนำเอนจินสแกนหามัลแวร์จากทั้ง 3 เจ้ามาช่วยสแกน Play Store รวมถึงตรวจสอบแอปที่จะขึ้นสโตร์ใหม่ ช่วย Google Play Protect เพิ่มเข้าไปอีก 3 แรง

ที่มา - Google Security Blog

Tags:
Node Thumbnail

Yubico เปิดตัวกุญแจ YubiKey Bio กุญแจล็อกอินขั้นตอนที่สองตามมาตรฐาน FIDO ที่ตรวจสอบลายนิ้วมือผู้ใช้ก่อนที่จะยอมล็อกอิน

กุญแจ FIDO ปกติแล้วต้องการให้ผู้ใช้กดปุ่มเพื่อยืนยันการลงทะเบียนกุญแจ หรือล็อกอิน หากผู้ใช้ทำกุญแจหาย ผู้ใช้ต้องรีบล็อกอินไปยังบริการต่างๆ เพื่อยกเลิกการลงทะเบียนกุญแจที่หายไป การใช้งานเดิมของ FIDO นั้นเป็นการใช้งานเพื่อล็อกอินขั้นตอนที่สองหลังจากผู้ใช้ใส่รหัสผ่านทำให้ความเสี่ยงไม่สูงนัก แต่หากเป็นบริการที่ล็อกอินแบบไร้รหัสผ่านเลย การที่กุญแจสูญหายก็จะมีความเสี่ยงสูงขึ้น การที่กุญแจตรวจสอบผู้ใช้อีกครั้งด้วยลายนิ้วมือช่วยให้ความเสี่ยงลดลง

ทาง Yubico ยังไม่เปิดเผยราคาและช่วงเวลาวางจำหน่าย

Tags:
Node Thumbnail

กูเกิลเปิดพิมพ์เขียวชิป OpenTitan โครงการออกแบบชิป root of trust (RoT) สำหรับตรวจสอบความถูกต้องของซอฟต์แวร์ก่อนรัน

ชิปกลุ่ม RoT นั้นมีใช้งานอยู่ทั่วไป เช่น โทรศัพท์มือถือที่สามารถล็อกไม่ให้บูตเฟิร์มแวร์ปรับแต่ง นอกจากป้องกันการติดตั้งเฟิร์มแวร์แล้ว มันยังใช้เก็บกุญแจเข้ารหัส, ทำงานฟังก์ชั่นที่ต้องการความปลอดภัยสูงเช่น สร้างเลขสุ่ม, หรือตรวจสอบซอฟต์แวร์ที่ทำงานอยู่ว่ายังไม่ถูกดัดแปลง แต่ชิปเหล่านี้เป็นทรัพย์สินทางปัญญาของผู้ผลิตแต่ละราย มีการปกปิดกระบวนการทำงานภายในแน่นหนา แม้ชิปอาจจะมี API เป็นมาตรฐานกลางแต่ก็ไม่เปิดเผยว่าซอฟต์แวร์ภายในทำงานอย่างไรบ้าง ทำให้การตรวจสอบทำได้ยาก

Tags:
Node Thumbnail

เฟซบุ๊ก, มอซิลล่า, และ Cloudflare ร่วมเสนอมาตรฐาน TLS Delegated Credentials มาตรฐานที่อนุญาตให้เจ้าของโดเมนสามารถออกใบรับรองระยะสั้นเพื่อใช้งานกับเซิร์ฟเวอร์ที่ช่วยกระจายข้อมูล (content delivery network - CDN)

ทุกวันนี้เมื่อเว็บไซต์ต่างๆ ต้องการใช้งาน CDN แบบเข้ารหัส ต้องนำใบรับรองและกุญแจลับไปมอบให้กับผู้ให้บริการ CDN กุญแจเหล่านี้จะถูกกระจายไปยังเซิร์ฟเวอร์ของผู้ให้บริการ ที่บางครั้งก็มีเซิร์ฟเวอร์จำนวนมากกระจายไปทั่วโลก หากเซิร์ฟเวอร์ตัวใดตัวหนึ่งถูกเจาะ คนร้ายก็จะได้กุญแจสำหรับเข้ารหัสทั้งหมด

Tags:
Node Thumbnail

WhatsApp รองรับการล็อกอินเข้าแอพด้วยลายนิ้วมือ/ใบหน้าบน iOS มาตั้งแต่ต้นปี ล่าสุด ประกาศรองรับการยืนยันตัวตนด้วยลายนิ้วมือบน Android แล้วเช่นกัน

วิธีการใช้งานให้เข้าไปที่ Settings > Account > Privacy > Fingerprint lock

Pages