Tags:
Node Thumbnail

กรมตำรวจนครบาลของกรุงลอนดอน (London's Metropolitan Police Service) ประกาศจะเริ่มใช้เทคโนโลยีการจดจำใบหน้า หรือ LFR (live facial recognition) ในพื้นที่สำคัญของเมือง

ตัวกล้องจะตรวจจับคนที่เดินผ่านไปมา และจะส่งคำแจ้งเตือนเจ้าหน้าที่หากจับคู่ใบหน้ากับอาชญากร คนที่ต้องการตัวอยู่ได้ โดยทางกรมตำรวจคาดหวังว่า ระบบจดจำใบหน้าจะช่วยให้ตำรวจจัดการกับคดีอาชญากรรมร้ายแรงได้

Tags:
Node Thumbnail

Google Cloud เปิดตัวบริการใหม่ Secret Manager บริการสำหรับเก็บ secret ต่าง ๆ ทั้ง credential สำหรับเชื่อมต่อกับฐานข้อมูล, API key, ใบรับรอง และอื่น ๆ พร้อมระบบจัดการ secret ทั้งหมดที่สามารถใช้งานได้ง่ายและสะดวกกว่าเครื่องมือจัดการ secret ที่มีอยู่เดิมบน Google Cloud

ฟีเจอร์สำคัญของ Secret Manager มีหลายอย่าง คือมีระบบจัดการเวอร์ชันในตัว, กำหนดสิทธิ์ผ่าน Cloud IAM, รองรับการใช้ Cloud Audit Logging ที่สามารถนำไปใช้วิเคราะห์ด้านความปลอดภัยต่อได้ โดยข้อมูล secret จะส่งผ่านการเชื่อมต่อ TLS และเข้ารหัสด้วยกุญแจ AES-256-bit ในอนาคตจะรองรับระบบกุญแจเข้ารหัสแบบให้ผู้ใช้จัดการเอง

Tags:
Node Thumbnail

ผู้ใช้ LastPass บางส่วนรายงานว่าช่วงสุดสัปดาห์ที่ผ่านมา ทำให้ไม่สามารถล็อกอินบริการทั้งหมด โดยช่วงกลางวัน (เวลาประเทศไทย) ที่ผ่านมา ทางบริษัทออกมาทวีตรับทราบปัญหาแต่ระบุว่าไม่พบปัญหาฝั่งเซิร์ฟเวอร์แต่อย่างใด จนกระทั่งล่าสุดก็ตรวจพบปัญหาว่าเป็นบั๊กที่กระทบผู้ใช้ส่วนน้อย และแก้ปัญหาสำเร็จแล้ว

LastPass เป็นซอฟต์แวร์เก็บรหัสผ่านที่มาพร้อมกับบริการซิงก์ข้ามเครื่องอัตโนมัติ เมื่อบริการฝั่งเซิร์ฟเวอร์มีปัญหาก็กระทบการใช้งานทันที

Tags:
Node Thumbnail

Citrix ประกาศออกแพตช์ช่องโหว่ Citrix ADC และ Citrix Gateway ในเวอร์ชั่น 11.1 และ 12.0 สองตัวแรก พร้อมกับเร่งความเร็วแพตช์รุ่นอื่นๆ ให้เร็วกว่าที่ประกาศตอนแรกอีกหนึ่งสัปดาห์ เป็นวันที่ 24 มกราคมนี้

ช่องโหว่นี้เป็นช่องโหว่รันโค้ดระยะไกล โดยไม่ต้องล็อกอินก่อนโจมตี (unauthenticated remote code execution) โดยช่องโหว่ถูกเปิดเผยมาตั้งแต่ปลายเดือนที่แล้ว และที่ผ่านมามีแต่กระบวนการลดความเสี่ยง (mitigation) เท่านั้น โดยก่อนหน้านี้มีรายงานถึงการสแกนเซิร์ฟเวอร์ที่มีความเสี่ยงและตัวอย่างโค้ดสำหรับการโจมตีเผยแพร่ออกมาแล้ว

Tags:
Node Thumbnail

ไมโครซอฟท์แจ้งเตือนช่องโหว่ CVE-2020-0674 กระทบ Internet Explorer เวอร์ชั่น 9 ถึง 11 โดยเป็นช่องโหว่ระดับวิกฤติเปิดทางให้แฮกเกอร์รันโค้ดในเครื่องของเหยื่อได้ เพียงล่อล่วงให้เหยื่อเปิดเว็บหรือส่งอีเมลเพื่อให้เบราว์เซอร์ทำงาน

ไมโครซอฟท์ระบุว่าช่องโหว่นี้มีการโจมตีอย่างเจาะจงเป้าหมายแล้ว และแพตช์กำลังอยู่ระหว่างการพัฒนา โดยระหว่างนี้การใช้ Internet Explorer สามารถลดความเสี่ยงด้วยการเปิดโหมด Enhanced Security Configuration หรือบนวินโดวส์ทุกรุ่นสามารถปิดการเข้าถึงไฟล์ jscript.dll ด้วยคำสั่ง

Tags:
Node Thumbnail

Cloud Native Computing Foundation (CNCF) ร่วมมือกับ Hacker One ประกาศโครงการ Bug Bounty สำหรับ Kubernetes อย่างเป็นทางการแล้วหลังทดสอบเวอร์ชันเบต้ามาสักพัก

CNCF ระบุว่า bounty นี้ครอบคลุมทุก repo ทุก component ของ Kubernetes บน GitHub แต่ที่ทางองค์กรอยากให้ช่วยคือช่องโหว่ในกระบวนการยืนยันตัวตน, ช่องโหว่ที่ยกระดับสิทธิ์และ RCE ทั้งใน Kubelet และเซิร์ฟเวอร์ API

โครงการนี้มีเงินรางวัลตั้งแต่ 100-10,000 เหรียญสหรัฐ ดูรายละเอียดทั้งหมดได้ที่นี่

ที่มา - Hacker One

Tags:
Node Thumbnail

กูเกิลประกาศรองรับการใช้ไอโฟนเป็นโทเค็นล็อกอินขั้นตอนที่สองตามมาตรฐาน FIDO ทำให้การล็อกอินเว็บหรือบริการที่รองรับ FIDO ใช้สามารถกดแอปบนไอโฟนเพื่อยืนยันการล็อกอินได้ทันที

การเปิดใช้งานต้องเปิดด้วยแอป Smart Lock ของกูเกิล และระหว่างใช้งานต้องเปิด Bluetooth ไว้ แต่ไม่ต้อง pair อุปกรณ์แต่อย่างใด และไอโฟนต้องรัน iOS 10.0 ขึ้นไปเท่านั้น

Tags:
Node Thumbnail

Cloudflare ประกาศให้บริการเครื่องมือและบริการด้านความปลอดภัยสำหรับแคมเปญการเมืองในสหรัฐฯ ฟรี เพื่อป้องกันการโจมตีทางไซเบอร์และการแทรกแซงการเลือกตั้งที่อาจเกิดขึ้นก่อนการเลือกตั้งประธานาธิบดีสหรัฐฯ ปีนี้

Cloudflare ระบุว่า บริการใหม่ Cloudflare for Campaigns นี้จะมาพร้อมบริการแบ่งเบาการโจมตีแบบ DDoS, load balancing สำหรับเว็บไซต์ที่รันแคมเปญ, ไฟร์วอลสำหรับเว็บไซต์ และระบบต่อต้านบอท

Tags:
Node Thumbnail

Brian Krebs อ้างแหล่งข่าวไม่เปิดเผยตัวตน ระบุว่าแพตช์รายเดือนของไมโครซอฟท์ หรือ Patch Tuesday ที่กำลังจะปล่อยออกมาคืนนี้ จะมีช่องโหว่ร้ายแรงเป็นพิเศษ (extraordinarily serious) ในโมดูล cypto32.dll หรือ CryptoAPI สำหรับการเข้าและถอดรหัสลับ

ทางไมโครซอฟท์ตอบกลับ Krebs อย่างเป็นทางการว่าบริษัทไม่พูดถึงช่องโหว่ก่อนการปล่อยแพตช์ แต่ระบุว่าแพตช์นั้นมีการปล่อยให้พันธมิตรในโครงการ Security Update Validation Program (SVUP) เพื่อทดสอบความเข้ากันได้ล่วงหน้า โดยพันธมิตรในกลุ่มนี้ต้องใช้เพื่อการทดสอบเท่านั้น ห้ามแพตช์ระบบโปรดักชั่นก่อนคนอื่น

Tags:
Node Thumbnail

ผู้ใช้ Google Pixel 4 หลายคนพบปัญหาปลดล็อคด้วยใบหน้าของ Pixel 4 ไม่ทำงาน ถึงจะลบแล้วสแกนใบหน้าใหม่หรือ Factory reset แล้วก็ใช้ไม่ได้ และมีข้อความแจ้งว่า “Can't verify face. Hardware not available” หรือ “Can't verify face. Try again.” เกิดขึ้นราว 1-2 ครั้งต่อวัน ทำให้ผู้ใช้ต้องปลดล็อคเครื่องด้วยวิธีอื่นเช่นกด PIN, กรอกรหัสผ่านหรือลากนิ้วเป็นแพทเทิร์นแทน

ถึง Pixel 4 จะปลดล็อคด้วยใบหน้าไม่ได้แต่แอปอื่น ๆ ที่ใช้ระบบสแกนใบหน้ายังทำงานได้ปกติ Android Police ระบุว่าแจ้งกูเกิลไปแล้ว ซึ่งปัญหานี้ต้องรอการแก้ไขจากทางกูเกิลในภายหลัง

ที่มา: Android Police via 9to5Google

Tags:
Node Thumbnail

เมื่อวานนี้นักวิจัยจำนวนหนึ่งเริ่มปล่อยโค้ดโจมตีช่องโหว่รันโค้ดระยะไกลบน Citrix ADC และ NetScaler หลังพบว่ามีคอมพิวเตอร์จำนวนหนึ่งเริ่มสแกนช่องโหว่บนเซิร์ฟเวอร์ทั่วโลก โดยสคริปต์ที่ปล่อยออกมามักไม่ได้โจมตีจริง แต่ทดสอบเบื้องต้นว่าเซิร์ฟเวอร์มีช่องโหว่หรือไม่

ทาง Citrix ออกมาเขียนบล็อกรายงานความคืบหน้า ว่าหลังจากแนะนำให้ลูกค้าคอนฟิกลดผลกระทบช่องโหว่ไปก่อนหน้านี้แล้วตอนนี้บริษัทกำลังพัฒนาแพตช์ถาวรอยู่ แต่แพตช์เหล่านั้นต้องผ่านกระบวนการทดสอบก่อนปล่อยออกมา กำหนดการปล่อยแต่ละเวอร์ชั่นต่างกันไป แต่ทั้งหมดจะปล่อยในช่วงวันที่ 20 ถึง 31 มกราคมนี้

Tags:
Node Thumbnail

Johannes Ullrich จาก SANS ISC รายงานถึงการตั้งเซิร์ฟเวอร์ honeypot เพื่อดักการโจมตีช่องโหว่บน Citrix ADC และ NetScaler ที่มีช่องโหว่ระดับวิกฤติเปิดทางรันโค้ดระยะไกล ว่าเริ่มมีการสแกนจากจีนและฝรั่งเศส แม้รูปแบบการสแกนจะไม่ได้มุ่งร้ายชัดเจนมากก็ตาม

ช่องโหว่ CVE-2019-19781 นี้ทาง Citrix ได้ออกแนวทางการลดผลกระทบ (mitigation) ออกมาแล้วแม้ยังไม่ได้ออกแพตช์โดยตรงก็ตาม โดย NIST ให้คะแนนความร้ายแรง ตาม CVSS 3.1 ไว้ที่ 9.8 คะแนน นับเป็นช่องโหว่ระดับวิกฤติ

Tags:
Topics: 
Node Thumbnail

ทีมวิจัยจากมหาวิทยาลัยพรินซ์ตันเปิดเผยร่างรายงานวิจัยทดสอบความปลอดภัยของกระบวนการออกซิมโทรศัพท์มือถือใหม่ในสหรัฐฯ โดยทดสอบกับค่ายใหญ่ 3 ค่าย คือ T-Mobile, AT&T, และ Verizon และ MVNO อีก 2 ค่าย คือ Tracfone และ US Mobile พบว่าทั้งหมดล้วนไม่ปลอดภัยเพียงพอ

งานวิจัยใช้เบอร์โทรศัพท์ที่ทีมงานซื้อมาด้วยตัวเอง โดยสร้างตัวตนผู้ใช้ขึ้นมา 10 รายชื่อ สำหรับหมายเลขโทรศัพท์ 10 หมายเลข ระบุข้อมูล เช่น วันเกิด, ที่อยู่, อีเมล จากนั้นซื้อโทรศัพท์ 10 เครื่องจำลองเป็นเครื่องของเหยื่อ และอีก 10 เครื่องจำลองเป็นเครื่องของผู้โจมตี โดยไม่มีการใช้โทรศัพท์ซ้ำกันเลย โดยเครื่องของเหยื่อนั้นจะโทรเข้าออกเป็นระยะเวลาหนึ่งสัปดาห์เพื่อให้เหมือนหมายเลขที่มีการใช้งานจริง

Tags:
Node Thumbnail

เว็บไซต์ ABACUS ของจีน รายงานว่าตอนนี้มีปัญหาความปลอดภัยกล้องวงจรปิดในบ้าน คือแฮกเกอร์เข้าขโมยข้อมูลบัญชีและเอาบัญชีนั้นๆ ไปขายลงออนไลน์ และขายได้ในราคาเพียงแค่ 50 หยวน หรือราว 218 บาท ตำรวจบอกว่ามีผู้ได้รับผลกระทบเป็นหมื่นบัญชีเลยทีเดียว

Tags:
Node Thumbnail

เมื่อปลายปีที่แล้วเราเพิ่งเห็นข่าว Symantec ขายธุรกิจความปลอดภัยฝั่งองค์กรให้ Broadcom โดยบริษัท Symantec เดิมจะเหลือแต่ธุรกิจฝั่งคอนซูเมอร์ และเปลี่ยนชื่อบริษัทเป็น NortonLifeLock (มาจากแอนตี้ไวรัส Norton และบริการป้องกันข้อมูลส่วนตัว LifeLock)

เวลาผ่านมาเพียงไม่กี่เดือน Broadcom ก็ขายธุรกิจ (บางส่วน) ของ Symantec เดิมต่อไปให้ Accenture อีกทอด

ธุรกิจที่ว่าคือฝ่าย Cyber Security Services ที่เน้นเรื่องบริการด้านความปลอดภัยให้กับลูกค้าองค์กร การวิเคราะห์ข้อมูลและเฝ้าระวังภัยคุกคาม ซึ่งครอบคลุมศูนย์ปฏิบัติการ 6 แห่งทั่วโลก รวมพนักงานประมาณ 300 คน จะย้ายมาอยู่ภายใต้ร่มของ Accenture Security แทน

Tags:
Node Thumbnail

Project Zero โครงการรายงานช่องโหว่สาธารณะของกูเกิลเปลี่ยนนโยบายการเปิดเผยช่องโหว่หลังรายงาน 90 จากเดิมหากซอฟต์แวร์ออกแพตช์เร็วกว่า 90 วันก็จะเปิดเผยช่องโหว่หลังจากออกแพตช์ มาเป็นการเปิดเผยหลังรายงาน 90 วันเสมอ แม้ผู้ผลิตจะออกแพตช์เร็วกว่ากำหนด

นโยบายใหม่ยังเปลี่ยนรายละเอียดเพิ่มเติม อีก 3 ประเด็น ได้แก่

Tags:
Node Thumbnail

Kevin Beaumont นักเขียนด้านความปลอดภัยไซเบอร์รายงานลงเว็บไซต์ DoublePulsar ของเขาถึงเหตุที่ Travelex บริษัทแลกเงินในอังกฤษถูกมัลแวร์ช่วงปีใหม่ โดยพบว่าทาง Travelex มีเซิร์ฟเวอร์ VPN จาก Pulse Secure ที่ยังไม่ได้แพตช์อยู่หลายตัว

หลังจากเขาทวีตถึงเรื่องนี้ ทาง Bad Packets บริษัทข่าวกรองความมั่นคงปลอดภัยไซเบอร์ก็ออกมาตอบว่า สแกนพบเซิร์ฟเวอร์ที่มีช่องโหว่เหมือนกัน และได้แจ้งทาง Travelex ไปแล้วตั้งแต่เดือนกันยายน แต่ทาง Travelex ไม่ได้ตอบอะไรกลับมา

Tags:
Node Thumbnail

กูเกิลปล่อยแพตช์ความปลอดภัยประจำเดือนมกราคม 2020 (รอบแพตช์ 2020-01-01) ให้กับสมาร์ทโฟนแบรนด์ Pixel ที่ยังซัพพอร์ตในปัจจุบัน (Pixel 2 ไปจนถึง Pixel 4)

แพตช์รอบนี้อุดช่องโหว่ระดับ critical 1 ตัว (เกี่ยวกับไดรเวอร์ Wi-Fi ของ Realtek), ช่องโหว่ระดับ high 3 ตัว และช่องโหว่ที่เกี่ยวข้องกับ Qualcomm อีกชุดใหญ่

นอกจากช่องโหว่แล้ว อัพเดตรอบเดือนมกราคม 2020 ยังแก้บั๊กอื่นๆ ของ Pixel หลายอย่าง เช่น ปัญหาการเชื่อมต่อ Wi-Fi กับเราเตอร์บางรุ่น, ปรับปรุงคุณภาพเสียง, แก้ปัญหาสีเพี้ยนของ Pixel 4 เป็นต้น

Tags:
Node Thumbnail

Gaëtan Leurent จากสถาบัน INRIA ในฝรั่งเศสและ Thomas Peyrin จากมหาวิทยาลัยเทคโนโลยีนันยางในสิงคโปร์ ประกาศเทคนิคการโจมตีกระบวนการแฮชข้อมูลแบบ SHA-1 ครั้งใหม่ในงานวิจัย "SHA-1 is a Shambles" โดยลดความซับซ้อนในการสร้างเอกสารที่ค่าแฮช SHA-1 ตรงกัน จากเดิมเป็น 264.7 เหลือ 261.2 ทำให้ต้นทุนการสร้างเอกสารที่ค่าแฮชตรงกันเหลือ 11,000 ดอลลาร์เท่านั้น นับเป็นครั้งแรกที่การสร้างค่าแฮชชนกันมีต้นทุนต่ำกว่าแสนดอลลาร์

Tags:
Node Thumbnail

ทีมวิจัยความปลอดภัย Tencent Blade ในสังกัด Tencent เปิดเผยข้อมูลช่องโหว่ Magellen 2.0 เปิดให้ยิงโค้ด SQL เข้าไปยัง Chrome ได้

กูเกิลแก้ไขช่องโหว่นี้แล้วใน Chrome 79.0.3945.79 ที่ออกตัวจริงเมื่อช่วงต้นเดือนธันวาคม ผู้ที่ใช้ Chrome/Chromium เวอร์ชันก่อนหน้านี้ (รวมถึงเว็บเบราว์เซอร์ที่พัฒนาบน Chromium อย่าง Opera) ควรอัพเดตเป็นเวอร์ชันล่าสุด

Tags:
Node Thumbnail

บริษัทด้านความปลอดภัย SplashData ที่เป็นผู้ให้บริการแอปจัดการรหัสผ่าน SplashID ประกาศอันดับรหัสผ่านยอดแย่ประจำปี 2019 ซึ่งปีนี้จัดอันดับเป็นปีที่ 9 แล้ว โดยรวบรวมรหัสผ่านยอดแย่ (หรือยอดนิยมมาก) ที่ค้นพบจากรหัสผ่านที่มีการหลุดออกมา และเสี่ยงต่อการนำไปทดลองใช้ล็อกอิน

อันดับ 1 คือ 123456 ซึ่งยังครองแชมป์ต่อเนื่องจากปีที่แล้ว ส่วนอันดับ 2 ขยับขึ้นมาหนึ่งอันดับจากปีก่อนคือ 123456789 ที่ทาง SplashData ให้ข้อสังเกตว่าเป็นแนวโน้มที่ดีก็คือ password ตกไปอยู่อันดับที่ 4

Tags:
Node Thumbnail

หนังสือพิมพ์ The New York Times (NYT) อ้างเอกสารข่าวกรองของรัฐบาลสหรัฐฯ ระบุว่าแอปแชต ToTok ที่ได้รับความนิยมสูงในภูมิภาคตะวันออกกลาง ที่จริงแล้วเป็นเครื่องมือสอดแนมของรัฐบาล United Arab Emirates (UAE) ที่พยายามจำกัดการใช้แอปจากนอกประเทศ เช่น WhatsApp หรือ Skype

NYT ระบุว่า Breej Holding ผู้พัฒนา ToTok น่าจะเป็นบริษัทบังหน้าของกลุ่มผู้เกี่ยวข้องกับบริษัทข่าวกรองไซเบอร์ DarkMatter ที่ตั้งอยู่ในเมือง Abu Dhabi และเอกสารข่าวกรองที่ NYT ได้มายังระบุว่าแอปมีความเกี่ยวข้องกับบริษัท Pax AI ที่ให้บริการ data mining อยู่ในเครือข่าย DarkMatter เช่นกัน

Tags:
Node Thumbnail

นักวิจัยจาก Positive Technologies รายงานถึงช่องโหว่ในซอฟต์แวร์ Citrix Application Delivery Controller (ADC) และ NetScaler Gateway เปิดทางให้แฮกเกอร์รันโค้ดจากระยะไกลโดยไม่ได้เป็นผู้ใช้ของระบบแต่อย่างใด (unauthenticated remote code execution)

ช่องโหว่ได้หมายเลข CVE-2019-19781 และทาง Citrix ยังไม่ได้ให้คะแนนความร้ายแรง CVSS แต่อย่างใด แต่ทาง Positive เชื่อว่าน่าจะถึง 10 คะแนนเต็ม

ทาง Citrix ยังไม่ได้ออกแพตช์สำหรับช่องโหว่นี้ แต่ออกแนวทางลดผลกระทบ (mitigation) มาแล้ว โดยบริษัทระบุว่าจะแจ้งลูกค้าโดยเร็วเมื่อแพตช์พร้อมแล้ว แนวทางลดผลกระทบเป็นการป้องกันการเรียก URL "/vpns/" และมี "/../" อยู่ใน URL

Pages