กูเกิลรายงานช่องโหว่ของซอฟต์แวร์และฮาร์ดแวร์แบรนด์ต่างๆ สู่โลกภายนอกเสมอๆ และในงาน DEF CON เมื่อต้นเดือนสิงหาคมที่ผ่านมา David Tomaschik วิศวกรอาวุโสฝ่ายตรวจสอบความปลอดภัยของกูเกิล รายงานถึงระบบจัดการผ่านเข้าออกสำนักงานของออฟฟิศกูเกิลเอง โดยสำนักงานของกูเกิลนั้นใช้ระบบควบคุมประตูที่ชื่อว่า iStar Ultra และ IP-ACM โดยบริษัท Software House Software House ระบุว่าการสื่อสารของประตูเข้ารหัส AES-256 แต่เมื่อ David ดักจับข้อมูลเครือข่าย พบว่าข้อมูล 36 ไบต์แรกเหมือนเดิมเสมอ ทำให้น่าเชื่อว่านักพัฒนาใช้กระบวนการเข้ารหัสผิดพลาดบางอย่าง และเมื่อวิเคราะห์เฟิร์มแวร์ก็พบว่ามีกุญแจ AES ฝังอยู่ในโค้ดเอง ทำให้แฮกเกอร์สามารถดักข้อมูล, ถอดรหัสข้อมูล, แก้ไข, และส่งคำสั่งเปิดปิดประตูได้ตามใจชอบ เขาระบุถึงปัญหาของการเข้ารหัสในอุปกรณ์ IoT โดยรวม ว่าการใช้กุญแจฝังในโค้ดนั้นเป็นเรื่องง่าย เพราะผู้ผลิตไม่ต้องการดูแลกระบวนการกระจายใบรับรองเข้ารหัส อย่างไรก็ดีการออกแบบกระบวนการเข้ารหัสเองนั้นอันตราย และผู้ผลิตควรหันไปใช้ TLS และสร้างระบบเซ็นใบรับรองอุปกรณ์ในแต่ละองค์กรเอง ไม่ใช่ฝังกุญแจไว้เหมือนๆ กันหมดเช่นนี้ ระหว่างนี้สำนักงานกูเกิลได้แยกเครือข่ายสำหรับประตูออกไปเพื่อเพิ่มความปลอดภัย ที่มา – David Tomaschik, Forbes Topics:  Google [...]

หลังจากช่องโหว่ Struts 2 เผยแพร่ออกมาพร้อมกับโค้ด PoC ทาง Volexity ก็รายงานว่าเริ่มเห็นการสแกนหาช่องโหว่ และยึดเครื่องเพื่อขุดเงินคริปโตกันแล้ว โดยตอนนี้พบต้นทางการสแกนมาจากรัสเซียและฝรั่งเศส ตัวอย่างการสแกนเป็นการลองยิงโค้ดเข้าไปยัง /struts3-showcase/ เพื่อให้ดาวน์โหลดสคริปต์มาจาก GitHub อีกครั้ง จากนั้นสคริปต์ค่อยดาวน์โหลด miner มารัน ข้อสังเกตอย่างหนึ่งคือ miner ที่แฮกเกอร์ใช้นั้นมีสามไฟล์ รองรับทั้ง x86, ARM, และ MIPS ทำให้สามารถขุดได้แทบทุกที่ ทั้งพีซี, เซิร์ฟเวอร์, คอมพิวเตอร์ IoT, หรือเราท์เตอร์ แพตช์ Struts 2 นั้นออกมาพร้อมกับรายงานช่องโหว่ ผู้ดูแลระบบควรอัพเกรดเป็นรุ่น 2.3.35 หรือ 2.5.17 ขึ้นไปโดยเร็ว ที่มา – Volexity ภาพโดย Pexels Topics:  Apache Struts Security

เมื่อวานนี้บัญชีทวิตเตอร์ @SandboxEscaper ทวีตลิงก์ถึงไฟล์ rar ช่องโหว่ที่ไม่เคยมีการรายงานมาก่อน แล้วลบบัญชีทิ้งไป ทวีตข้อวามระบุว่า “นี่ช่องโหว่ 0-day ของ ALPC https://t.co/m1T3wDSvPX ผมไม่สนแล้วว่าชีวิตจะเป็นยังไง ยังไงก็ไม่อยากส่งบั๊กนี้ให้ไมโครซอฟท์อยู่แล้ว ช่างแม่ง” ทาง CERT ยืนยันว่าช่องโหว่นี้เป็นของจริง ซอฟต์แวร์สามารถยกระดับสิทธิ์ตัวเองขึ้นไปสู่ระดับ SYSTEM ได้บนวินโดวส์ที่แพตช์ครบถ้วน และยังไม่ทราบว่ามีทางแก้ไขใดหรือไม่ ช่องโหว่นี้จะทำงานได้แฮกเกอร์ต้องสามารถนำโปรแกรมมารันบนเครื่องเหยื่อได้ก่อน ความร้ายแรงตาม CVSS อยู่ที่ 6.8 ที่มา – CERT, The Register Topics:  Windows Security

ช่องโหว่ CVE-2018-11776 เป็นช่องโหว่รันโค้ดจากระยะไกล ที่แฮกเกอร์สามารถสั่งรันโค้ดบน Apache Struts 2 รุ่น 2.3.34 หรือ 2.5.16 ลงไปทั้งหมด โดยช่องโหว่มีความร้ายแรงระดับวิกฤติ (คะแนน CVSSv3 ที่ 9.8) ตอนนี้ก็มีโค้ด PoC เปิดให้ดาวน์โหลดแล้ว Allan Liska จากเว็บ Recorded Future ระบุว่าพบการพูดคุยในหมู่แฮกเกอร์จีนและรัสเซียตามฟอรั่มต่างๆ และโค้ดทดสอบเจาะช่องโหว่นี้ก็เปิดให้ดาวน์โหลดแล้วบน GitHub ช่องโหว่ Apache Struts สร้างผลกระทบได้เป็นวงกว้างเพราะมีโครงการอื่นๆ ใช้มันเป็นส่วนประกอบจำนวนมาก เช่น ช่องโหว่ร้ายแรงสูงในปี 2017 พาให้ซอฟต์แวร์จำนวนมากของออราเคิลมีช่องโหว่ไปด้วย แพตช์ของทาง Struts เองออกมาตั้งแต่วันที่ 23 สิงหาคมที่ผ่านมา ควรอัพเดตโดยเร็ว ที่มา – Threat Post ภาพโดย Pexels Topics:  Apache Struts Security Patch

ถ้าจะพูดถึงเครื่องอ่านอีบุ๊ก คนจำนวนไม่น้อยก็น่าจะนึกถึงเครื่องตระกูลคินเดิลของอเมซอน ซึ่งปัจจุบันอเมซอนแบ่งเครื่องอ่านอีบุ๊กของตนเองออกเป็นสามซีรีส์ เรียงตามลำดับราคาไล่ตั้งแต่ รุ่น Kindle (basic) รุ่น 8, Paperwhite ไปจนถึง Oasis ซึ่งถือเป็นรุ่นท็อปในสาย พอดีช่วงกลางกรกฎาคมที่ผ่านมา ผมมีโอกาสสั่งซื้อ Kindle Oasis 2 ซึ่งเครื่องที่สั่งเป็นรุ่น certified refurbish แบบ Wi-Fi only ความจุ 32 GB พร้อมโฆษณาราคา 210 เหรียญสหรัฐ (ปกติ 280 เหรียญสหรัฐ) และพอดีผมมี Kindle Voyage อยู่ด้วย ดังนั้นในการรีวิวการใช้งานอาจจะมีการเปรียบเทียบกัน เผื่อใครจะได้เห็นภาพมากขึ้น คำเตือน ภาพประกอบเยอะครับ ตัวเครื่อง ลักษณะเด่นของ Kindle Oasis 2 คือ หน้าจอใหญ่ 7 นิ้ว จอภาพด้านหน้าแบนราบเสมอกันเป็นกระจกชิ้นเดียวตั้งแต่จอภาพไปถึงขอบเครื่อง (flush display) ลักษณะเครื่องใกล้เคียงสี่เหลี่ยมจัตุรัส ด้านหน้าไม่มีโลโก้ใดๆ [...]

T-Mobile ผู้ให้บริการโทรศัพท์มือถือรายใหญ่ของสหรัฐฯ ถูกแฮกเกอร์เจาะฐานข้อมูลลูกค้าประมาณ 2 ล้านราย ได้ข้อมูล ชื่อ, อีเมล, ที่อยู่, หมายเลขบัญชี, ข้อมูลการออกใบเสร็จ, และรหัสผ่านที่เข้ารหัส โดยข้อมูลบัตรเครดิตนั้นไม่ได้หลุดไปด้วย งานนี้ทางทีมดูแลความปลอดภัยของ T-Mobile เป็นผู้พบความผิดปกติด้วยตัวเอง ก่อนจะปิดช่องโหว่นี้ไป ทาง T-Mobile รายงานออกมาครั้งแรกไม่ได้ระบุว่ามีข้อมูลรหัสผ่านหลุดออกมาด้วย แต่นักวิจัยบางส่วน และทางเว็บ Motherboard ได้รับข้อมูลมา ระบุว่ามีฟิลด์ “userpassword” ในฐานข้อมูล น่าจะเป็นรหัสผ่านที่แฮชด้วย MD5 ที่ค่อนข้างอ่อนแอ ภายหลังทาง T-Mobile จึงยอมรับว่ามีรหัสผ่านที่เข้ารหัสแล้วหลุดออกไปด้วย T-Mobile มีลูกค้าทั้งหมด 77 ล้านราย ที่มา – T-Mobile Topics:  T-Mobile Data Breach

การล็อกอินหลายขั้นตอนเพิ่มความปลอดภัยได้หลายกรณี เช่น ผู้ใช้ตั้งรหัสผ่านคาดเดาได้ง่าย, รหัสผ่านถูกแฮก, หรือการใช้รหัสผ่านซ้ำกันหลายบริการ แต่การเรียกร้องให้ผู้ใช้ปรับตัวมาใช้การล็อกอินหลายขั้นตอนนับเป็นเรื่องยากหากไม่ใช่องค์กรที่มีนโยบายบังคับโดยตรง แต่เกม Fortnite ก็มีเทคนิคใหม่ ด้วยการสร้างท่าเต้น Boogiedown Emote มาแจกสำหรับคนที่เปิดใช้การล็อกอินหลายขั้นตอนเท่านั้น ตัวเกม Fortnite รองรับการล็อกอินขั้นที่สองอยู่สองแบบ ใช้แอป OTP เช่น Google Authenticator หรือ Authy และอีกวิธีคือการใช้อีเมล การใช้อีเมลยืนยันตัวตนขั้นที่สองด้วยอีเมลเป็นกระบวนการยืนยันตัวตนที่ไม่ปลอดภัยนัก มาตรฐาน NIST 800-63 ไม่แนะนำให้ใช้งานอีกแล้ว อย่างไรก็ดีการฝึกใช้การล็อกอินสองขั้นตอนกับคนหมู่มากโดยมีแรงจูงใจเช่นนี้ก็นับว่าเป็นจุดเริ่มต้นที่ดี ที่มา – Fortnite Topics:  Fortnite Security Authentication

ปัญหาการพึ่งพิงเบอร์โทรศัพท์เพื่อยืนยันตัวตนบัญชียังคงกลายเป็นประเด็นสำคัญกับความปลอดภัยออนไลน์ เพราะแฮกเกอร์จำนวนมากรู้ดีว่าบัญชีสำคัญๆ เช่น Gmail สามารถกู้บัญชีได้ด้วยหมายเลขโทรศัพท์ การขโมยหมายเลขโทรศัพท์จึงกลายเป็นการขโมยทุกอย่างในโลกออนไลน์ได้โดยง่าย ล่าสุดตำรวจสหรัฐฯ จับกุมชายอายุ 19 ปีที่ตกเป็นผู้ต้องหาการขโมยบัญชี Xzavyer Clemente Narvaez ถูกจับกุมเมื่อสัปดาห์ที่แล้ว โดยตำรวจแจ้งข้อหา 6 กระทง จากการใช้ข้อมูลระบุตัวตนโดยมิชอบ, แก้ไขข้อมูลคอมพิวเตอร์, และการขโมยทรัพย์สิน รอบนี้ตำรวจได้รับแจ้งจาก AT&T เองว่ามีเจ้าหน้าที่ร้านตัวแทนจำหน่ายของบริษัทออกซิมโดยมิชอบไป 28 รายการเมื่อปลายปีที่แล้ว ตำรวจจึงสอบสวนว่ามีผู้ใดได้รับความเสียหายหรือไม่ และมีคนหนึ่งระบุว่าถูกขโมยบัญชีออนไลน์ไปจริง จากนั้นจึงต้องถามไปยังกูเกิลว่าคนร้ายใช้โทรศัพท์ใดขโมยบัญชีจึงพบว่าคนร้ายใช้โทรศัพท์ IMEI ลงท้ายด้วยเลข -3218 ตำรวจจึงตามเบาะแสหาตำแหน่งของ IMEI นั้น ข้อมูลจากกูเกิลทำให้รู้ว่าโทรศัพท์ที่ใช้ขโมยบัญชีนั้นเคยล็อกอินอีเมล Xzavyer.Narvaez@gmail.com ตำรวจยังพบว่า IMEI -3128 นี้ถูกใช้ขโมยบัญชีของเหยื่อรายอื่นอีกหลายราย บางรายน่าจะเจาะจงเพราะเป็นซีอีโอของบริษัทเงินคริปโต โดยรวมมีบิตคอยน์ผ่านบัญชีของ Narvaez รวม 157BTC หรือกว่า 30 ล้านบาทในช่วงครึ่งปีที่ผ่านมา ค่ายโทรศัพท์มือถือในสหรัฐฯ เริ่มให้บริการล็อกหมายเลขโทรศัพท์ด้วย PIN ป้องกันการออกซิมขโมยหมายเลข แต่กระบวนการนี้ยังอ่อนแอมาก เพราะพนักงานร้านค้าสามารถข้ามการตรวจสอบ PIN [...]

Tavis Ormandy จาก Project Zero รายงานถึงช่องโหว่ของโปร Ghostscript (คำสั่ง gs) สำหรับประมวลผลไฟล์ PostScript (.ps), PDF, EPS, และ XPS โดยตัว Ghostscript มีฟีเจอร์ sandbox สำหรับจำกัดการทำงาน (ออปชั่น SAFER) แต่กลับมีช่องโหว่กลายรายการทำให้ไฟล์ที่สร้างขึ้นมาเฉพาะสามารถใส่สคริปต์มุ่งร้ายเข้าไปได้ ความเสี่ยงในระดับเซิร์ฟเวอร์ที่อาจจะรับไฟล์ และต้องประมวลผลโดย Ghostscript เช่นการสร้างภาพ thumbnail ทำให้แฮกเกอร์สามารถสั่งรันสคริปต์บนเครื่องได้ คำแนะนำเบื้องต้นสำหรับเซิร์ฟเวอร์คือการเพิ่มเงื่อนไขในไฟล์ policy.xml ของ ImageMagick เพื่อยกเลิกการประมวลผลไฟล์เหล่านี้ไปเสีย แบบเดียวกับช่องโหว่ ImageMagick เมื่อปี 2016 โดยเติมนโยบาย <policy domain=”coder” rights=”none” pattern=”PS” /> <policy domain=”coder” rights=”none” pattern=”EPS” /> <policy domain=”coder” rights=”none” pattern=”PDF” /> [...]

แอปเปิลอิงค์ (Apple) ออกแถลงการณ์ไม่มีข้อมูลลูกค้ารั่วไหลหลังจากที่สื่อออสเตรเลีย รายงานว่า วัยรุ่นรายหนึ่งได้สารภาพว่าลักลอบเข้าไปในเครือข่ายคอมพิวเตอร์ของบริษัท Apple จนสามารถดาวน์โหลดไฟล์ลับ และเข้าถึงบัญชีลูกค้า

 Page 1 of 130  1  2  3  4  5 » ...  Last »