มหันตภัยใกล้ตัวที่องค์กรต้องระวัง ในทุกวันนี้มีมหันตภัย […] The post มหันตภัยใกล้ตัวที่องค์กรต้องระวัง appeared first on iT24Hrs by ปานระพี.

แอปเปิลอัพเดตเอกสาร iOS Security อธิบายกระบวนการรักษาความมั่นคงปลอดภัยของตัว iOS เองและอุปกรณ์ที่มาเชื่อมต่อรอบข้าง สำหรับผู้ใช้ที่ต้องการรู้ว่าแอปเปิลมีมาตรการรักษาความปลอดภัยข้อมูลและความปลอดภัยผู้ใช้อย่างไรบ้าง แม้เอกสารไม่ได้ลงรายละเอียดลึก แต่ก็ละเอียดพอที่จะแสดงให้เห็นว่าแอปเปิลทำตามกระบวนการที่ดี (best practice) อย่างไรบ้าง เช่น อุปกรณ์ HomeKit จะสร้างคู่กุญแจใหม่ทุกครั้งที่รีเซ็ตเครื่อง และการเชื่อมต่อกับอุปกรณ์ iOS ใช้การเข้ารหัสแบบ ChaCha20-Poly1305 สำหรับการใช้ TouchID ที่เปิดให้แอปทั่วไปใช้งานได้จะประมวลผลข้อมูลลายนิ้วมือใน Secure Enclave เสมอโดยตัวซีพียูหลักไม่สามารถอ่านข้อมูลได้ นอกจากกระบวนการเข้ารหัสข้อมูล บริการใหม่ๆ เช่น Siri ก็ตรวจสอบสิทธิ์ของแอปพลิเคชั่นที่เข้าใช้งานผ่าน Siri ว่ามีสิทธิ์เข้าถึงข้อมูลต่างๆ หรือไม่ แม้ว่าตัว Siri เองจะอ่านข้อมูลได้อยู่แล้วก็ตาม แต่หากตัวแอปภายนอกที่มาต่อไม่มีสิทธิ์ Siri ก็จะไม่ส่งข้อมูลให้ แต่การส่งเงินหากตัวแอปไม่ได้สิทธิ์อ่านรายชื่อสมุดโทรศัพท์ ก็จะไม่สามารถแปลงชื่อที่เราพูดกับ Siri เป็นข้อมูลเช่นหมายเลขโทรศัพท์ การจ่ายเงินผ่าน Apple Pay บนอุปกรณ์ตัวอื่นนอกจากอุปกรณ์ iOS เอง เช่น Apple Watch จะเข้ารหัสระหว่างตัวอุปกรณ์เสมอ และการจ่ายเงินด้วย [...]

นักวิจัยด้านความปลอดภัย Kevin Beaumont ได้ค้นพบว่าที่หน้าเว็บไซต์ Docs.com ซึ่งเป็นเว็บไซต์ที่ใช้แสดงตัวอย่างของฟีเจอร์และการใช้งานบริการ Office 365 มีฟังก์ชันค้นหาที่เมื่อทำการค้นหาด้วยคีย์เวิร์ดเฉพาะบางอย่างแล้ว จะทำให้เขาสามารถเข้าถึงไฟล์เอกสารของผู้ใช้งานอื่นได้ คุณ Kevin ได้ทำการใช้ฟังก์ชันค้นหาในการค้นหาไฟล์เอกสารใดๆ ด้วยคีย์เวิร์ดสำคัญ อาทิ Secret, Confidential, Top Secret หรือแม้กระทั่ง Password ซึ่งทำให้เขาค้นพบไฟล์เอกสารที่มีข้อมูลที่เป็นความลับและมีข้อมูลส่วนตัวของผู้ใช้งานอยู่เป็นจำนวนมาก ล่าสุดทางไมโครซอฟต์ได้มีการดำนเนินกับไฟล์ที่อาจถูกเข้าถึงและมีการรั่วไหลของข้อมูลรวมไปถึงฟังก์ชันการค้นหาดังกล่าวแล้วแต่ข้อมูลบางส่วนยังสามารถเข้าถึงได้จากการค้นหาด้วยกูเกิลอยู่ครับ แนะนำให้ผู้ใช้งานบริการนี้ทำการตรวจสอบโดยด่วนครับว่าสิทธิ์ของไฟล์ในปัจจุบันถูกตั้งค่าอย่างไรและมีความเหมาะสมหรือไม่พร้อมทั้งแก้ไขหากจำเป็นครับ ที่มา – Kevin Beaumont’s tweet (@GossiTheDog) Topics:  Office 365 Security Privacy

“ความลับไม่มีในโลก” คำกล่าวนีคงนำมาใช้ได้แล้วกับวงการเทคโนโลยีที่ก่อนหน้านี้มักเคยอ้างว่า บริษัทของตนเองนั้นมีบริการเข้ารหัสข้อมูล (Encyption) เพื่อความปลอดภัยของผู้ใช้งาน โดยหลังจากเกิดเหตุก่อการร้ายใน Westminster แล

การควบกิจการระหว่าง Dell และ EMC เพิ่งเสร็จสมบูรณ์เมื่อปีที่แล้ว และทั้งสองบริษัทเพิ่งรวมการปฏิบัติงานเข้าด้วยกันเมื่อวันที่ 6 กุมภาพันธ์ที่ผ่านมานี้เอง ปีนี้จึงถือเป็นปีแรกที่ Dell และ EMC จะเริ่มทำตลาดร่วมกันภายใต้แบรนด์เดียว Blognone มีโอกาสพูดคุยกับคุณอโณทัย เวทยากร กรรมการผู้จัดการ บริษัทเดลล์ คอร์ปอเรชั่น (ประเทศไทย) และผู้จัดการทั่วไป ภาคพื้นอินโดจีน เกี่ยวกับการเปลี่ยนแปลงของ Dell และ EMC ในยุคใหม่ มีประเด็นที่น่าสนใจดังนี้ รวม Partner Program ใหม่เหลืออันเดียว ก่อนหน้าที่การรวมกิจการจะเสร็จสิ้น ยังมีความสับสนอยู่มากต่อการควบรวมของ Dell และ EMC โดยเฉพาะจากลูกค้าและคู่ค้า (พาร์ทเนอร์) เดิมของทั้งสองบริษัท ตอนนี้การรวมกิจการเสร็จสิ้น ก็ได้เวลาที่ Dell EMC จะเริ่มบุกตลาดใต้แบรนด์ใหม่อย่างจริงจัง สิ่งแรกที่ Dell EMC จะทำคือปรับระบบของคู่ค้าใหม่ จากเดิมที่มี Partner Program แยกกันระหว่าง Dell กับ [...]

สมาร์ทโฟนสมัยนี้นอกจากความจุแบตเตอรี่จะต้องเยอะใช้งานได้ยาวๆแล้ว อีกเรื่องที่เป็นสิ่งสำคัญเลยก็คงหนีไม่พ้นการชาร์จไวด้วย เพราะถ้าให้แบตฯมาเยอะมากๆจริง แต่ถ้าต้องมาเสียเวลานั่งชาร์จกันหลายๆชม.ก็ไม่ไหวล่ะเนอะ วันนี้เราก็มีอีกหนึ่งเทคโนโลยีการชาร์จไวที่ขึ้นชื่อของ OPPO

กูเกิลออกรายงาน Android Security 2016 Year in Review สรุปสถานการณ์ความปลอดภัยของ Android ตลอดทั้งปี 2016 ว่าเกิดอะไรขึ้นบ้าง ในภาพรวม มาตรการต่างๆ ที่กูเกิลนำมาช่วยกรองไม่ให้ผู้ใช้ติดมัลแวร์ได้ผลดี อัตราการติดมัลแวร์ลดจำนวนลงจากในปี 2015 แต่อัตราการอัพเดตแพตช์ความปลอดภัยของผู้ผลิตฮาร์ดแวร์ต่างๆ ยังไม่ดีนัก กูเกิลก็พยายามเลี่ยงข้อมูลนี้โดยไม่เผยข้อมูลอุปกรณ์ที่ได้แพตช์ “ล่าสุด” (บอกอ้อมๆ ว่า “เคยได้แพตช์อย่างน้อยหนึ่งครั้งในปี 2016″) แต่ในภาพรวมก็ถือว่าดีขึ้นจากปี 2015 สถานการณ์เรื่องมัลแวร์ กูเกิลมีบริการด้านความปลอดภัยหลายชั้น (ทั้งในระดับเครื่องและระดับคลาวด์ ตามภาพ) ที่คอยช่วยปกป้องอุปกรณ์ Android จากมัลแวร์ (หรือที่กูเกิลเรียกว่า Potentially Harmful Applications หรือ PHA) ตัวเลขจากกูเกิลระบุว่าในไตรมาส 4/2016 อุปกรณ์ Android ทั้งหมดที่เก็บสถิติมี PHA มีสัดส่วน 0.71%, ถ้านับเฉพาะอุปกรณ์ Android ที่ดาวน์โหลดแอพเฉพาะจาก Google Play เท่านั้น สัดส่วนคือ [...]

สัปดาห์ที่ผ่านมา มีแฮ็กเกอร์กลุ่มหนึ่งชื่อ Turkish Crime Family ที่อาศัยอยู่ในลอนดอน อ้างว่าได้บัญชี iCloud จำนวน 250 ล้านบัญชี และเรียกค่าไถ่จากแอปเปิลเพื่อแลกกับการไม่เปิดเผยข้อมูลก้อนนี้ ฝั่งของแอปเปิลตอบโต้ว่าตัวเองไม่ได้โดนแฮ็ก และข้อมูลก้อนนี้มาจากบริษัทอื่นที่โดนแฮ็กแทน ฝั่งแฮ็กเกอร์ยืนยันว่าข้อมูลก้อนนี้ไม่ได้มาจากการแฮ็กระบบของแอปเปิล แต่ข้อมูลนี้เป็นของจริง และจะเปิดเผยถ้าแอปเปิลไม่ยอมจ่ายเงินภายในวันที่ 7 เมษายนนี้ ทางเว็บไซต์ ZDNet จึงติดต่อไปยังแฮ็กเกอร์เพื่อขอตัวอย่างข้อมูลมา 54 บัญชี จากการตรวจสอบของ ZDNet พบว่าเป็นบัญชีจริงที่มีอยู่ในระบบของแอปเปิล จึงลองติดต่อเจ้าของบัญชีแต่ละรายเพื่อขอคำยืนยันว่า รหัสผ่านที่ได้มาจากกลุ่มแฮ็กเกอร์ตรงกับรหัสผ่านที่ใช้งานอยู่หรือไม่ ผลคือผู้ใช้ส่วนใหญ่ติดต่อไม่ได้ แต่มีอยู่ 10 รายที่ตอบกลับมา และบอกว่ารหัสผ่านที่แฮ็กเกอร์ได้ไปเป็นของจริง ZDNet ระบุว่าแฮ็กเกอร์กลุ่มนี้ดูไม่เป็นมืออาชีพมากนัก แต่ก็แนะนำให้ผู้ใช้ iCloud เปลี่ยนรหัสผ่าน พร้อมเปิดใช้ two-factor authentication เพื่อความปลอดภัยที่แน่นหนาขึ้น ที่มา – ZDNet Topics:  iCloud Security Apple

Wells Fargo ธนาคารในสหรัฐฯ​ จะเริ่มเปิดให้ผู้ใช้สมาร์ทโฟนได้ใช้งานมือถือแทนที่บัตรเครดิตในการถอนเงินสดจากตู้ ATM ตั้งแต่วันจันทร์หน้าเป็นต้นไป โดยทางธนาคารจะอัพเกรดตู้ ATM จำนวนกว่า 13,000 ตู้ทั่วสหรัฐฯ เพื่อให้รองรับฟังก์ชันนี้ หลังจากที่ได้ทดสอบระบบมาในพื้นที่จำกัดเป็นเวลาสักพัก ผู้ใช้สมาร์ทโฟนที่จะใช้งานมือถือแทนที่บัตรเดบิตสำหรับกดเงินที่ตู้ ATM จะต้องใส่ข้อมูลคือ PIN และรหัส 8 ตัวที่สร้างขึ้นมาจากแอพ Wells Fargo บนสมาร์ทโฟน โดยเมื่อใส่ข้อมูลให้ตู้ ATM แล้วจึงสามารถเข้าถึงบัญชีที่จะทำการถอนเงินได้ Jonathan Velline หัวหน้าฝ่าย ATM และสาขาของธนาคารกล่าวว่า ความปลอดภัยนั้นถือเป็นแง่มุมที่สำคัญสำหรับฟีเจอร์ที่ไม่ต้องใช้บัตร และระบบการยืนยันตัวตนสองชั้นจะช่วยลดความเสี่ยงในการโกงได้ แม้ว่าการยืนยันตัวตนสองชั้นจะไม่ใช่วิธีที่สมบูรณ์แบบ แต่ก็สามารถตัดหนทางที่ใช้โดยอาชญากรในตอนนี้ได้ อย่างเช่นการ skimming บัตรเครดิตที่ใส่เข้าไปใน ATM การย้ายระบบธนาคารเป็นดิจิทัลยังจะช่วยให้ธนาคาร Wells Fargo เรียกคืนความเชื่อมั่นที่สูญเสียไปเมื่อปีที่แล้ว หลังจากที่พบว่าพนักงานของธนาคารสร้างบัญชีปลอมรวมแล้วกว่า 2 ล้านบัญชีเพื่อทำยอดขาย ซึ่งหลังจากข่าวเผยแพร่ออกไปก็ทำให้ยอดการเปิดบัญชีกับธนาคารตกลงทันที Wells Fargo จึงถือเป็นธนาคารแห่งแรกในสหรัฐฯ ที่เปิดใช้งานระบบถอนเงินโดยไม่ต้องใชับัตรกับตู้ ATM ทั่วประเทศ ซึ่งนอกจาก Wells [...]

CERT หน่วยงานแจ้งเตือนช่องโหว่ความปลอดภัยซอฟต์แวร์ภายใต้สถาบันวิศวกรรมซอฟต์แวร์ (Software Engineering Institute – SEI) ประกาศปล่อยมาตรฐานการเขียนโค้ดให้ปลอดภัยสำหรับภาษา C++ ที่รวมกฎ 83 รายการสำหรับการเขียนโค้ดให้ปลอดภัย หลังจากก่อนหน้านี้ทาง CERT เคยปล่อยคู่มือสำหรับ ภาษา C, ภาษาจาวา, ภาษา Perl, และการเขียนแอปบนแอนดรอยด์ กฎบางข้อจะตรงกันหลายภาษาเช่นเช็คอินพุตว่าปิดท้ายสตริงด้วย null เสมอ แต่บางข้อก็จะค่อนข้างเฉพาะเช่นการใช้ lambda ในภาษา C++14 ทุกกฎมีตัวอย่างโค้ดที่มักเขียนผิดให้ แม้จะค่อนข้างยาวแต่ก็อ่านไม่ยากนัก ผู้สนใจน่าลองไล่จากต้นจนจบกัน ที่มา – Software Engineering Institute Topics:  CERT C++ Security Programming

 Page 1 of 623  1  2  3  4  5 » ...  Last »