ข้อมูลส่วนตัวของประชาชนสหรัฐฯ กว่า 200 ล้านคน คิดเป็นเกือบ 62% ของจำนวนประชากรสหรัฐฯ ถูกเก็บอยู่บนคลาวด์เซิร์ฟเวอร์ของ Amazon ใครมีลิงก์ก็สามารถเปิดดูได้ทันที ข้อมูลขนาดกว่า 1.1 เทราไบต์ ประกอบไปด้วยข้อมูลเบื้องต้นตั้งแต่วันเกิด ที่อยู่ หมายเลขโทรศัพท์ จนไปถึงแนวคิดทางการเมือง มุมมองเกี่ยวกับเรื่องเชื้อชาติ และจุดยืนในประเด็นอ่อนไหวที่ยังมีการถกเถียง เช่น กฎหมายการควบคุมปืน สิทธิ์ในการทำแท้ง และการวิจัยสเต็มเซลล์ ซึ่งข้อมูลถูกรวบรวมมาจากหลายแหล่งตั้งแต่โพสต์ทางการเมืองบน Reddit จนไปถึงงานระดมทุนสนับสนุนพรรค Republican นักวิเคราะห์ความเสี่ยงทางไซเบอร์เป็นผู้พบข้อมูลไฟล์ spreadsheet เก็บอยู่ใน server ของบริษัท Deep Root Analytics ไฟล์มีการอัพเดตเมื่อเดือนมกราคมที่ผ่านมา ซึ่งตรงกับช่วงพิธีสาบานตนเข้ารับตำแหน่งของประธานาธิบดี Trump โดยข้อมูลถูกพบเมื่ออาทิตย์ที่แล้วแต่ยังไม่แน่ชัดว่าถูกเปิดให้เข้าถึงมานานแค่ไหน จากชื่อไฟล์ทำให้ระบุได้ว่าข้อมูลจะถูกนำไปใช้สำหรับองค์กรที่สนับสนุนพรรค Republican ที่มา: BBC ภาพจาก White House Topics:  Politics Security Amazon Cloud Server

Debian 9.0 "Stretch" ออกแล้ว

ลินุกซ์เดเบียนออกเวอร์ชั่น 9.0 แล้วอัพเดตซอฟต์แวร์ที่รองรับให้เป็นซอฟต์แวร์ยุคใหม่ ตัวเคอร์เนลใช้ Linux 4.9 ซึ่งเป็นรุ่น longterm ตัวล่าสุด ออกมาเมื่อปลายปี 2016 ความเปลี่ยนแปลงในซอฟต์แวร์ย่อยๆ มีอีกหลายอย่าง เช่น เปลี่ยนมาใช้ MariaDB เป็นมาตรฐานแทน MySQL เปลี่ยนมาใช้ Firefox/Thunderbird อีกครั้ง โค้ดสามารถคอมไพล์แบบทำซ้ำได้ (reproducible) ถึง 94% ของซอร์สโค้ดทั้งหมด X display ไม่ต้องรันด้วย root แล้ว ซอฟต์แวร์หลักๆ อัพเดตเวอร์ชั่น เช่น Apache 2.4.25, Chromium 59.0, PHP 7.0, Ruby 2.3, Python 2.5.3, Golang 1.7 รองรับสถาปัตยกรรมซีพียู mips64el เพิ่มเข้ามาและถอด PowerPC ออกจากการรองรับ ระยะเวลาซัพพอร์ต 5 ปีนับจากวันที่ออกไป ที่มา [...]

Hewlett Packard Enterprise (HPE) เปิดตัวเซิร์ฟเวอร์ตระกูล ProLiant รุ่นที่สิบ (Gen 10) ที่อัพเกรดมาใช้ซีพียู Xeon Scalable ตัวใหม่ของอินเทล แต่จุดขายสำคัญของ HPE ProLiant Gen 10 คือระบบความปลอดภัยที่ระดับชิป ฝังมาตั้งแต่โรงงานของ HPE เอง ช่วยให้มั่นใจได้ว่าเซิร์ฟเวอร์จะปลอดภัยตั้งแต่ฐานรากระดับซิลิคอน (silicon root of trust) ไม่โดนยัดไส้เปลี่ยนเฟิร์มแวร์มากลางทาง ชิปตัวนี้เรียกว่า HPE Integrated Lights Out (iLO) จะอนุญาตให้บูทเฉพาะเฟิร์มแวร์ที่มี fingerprint ตรงกันเท่านั้น ทาง HPE คุยว่าเป็นผู้ควบคุมการผลิตชิปตัวนี้เองทั้งหมด ถือเป็นผู้ผลิตเซิร์ฟเวอร์รายเดียวในตอนนี้ที่ให้ความมั่นใจกับลูกค้าได้ HP ProLiant Gen10 จะเริ่มวางขายบางส่วนในช่วงฤดูร้อนปี 2017 และวางขายครบทุกรุ่นในช่วงฤดูใบไม้ร่วง ที่มา – HP Topics:  Hewlett Packard Enterprise Server [...]

ทีมความปลอดภัย Qualys รายงานถึงช่องโหว่ของโปรแกรม sudo ที่ลินุกซ์ใช้เพื่อเปิดสิทธิ์ให้ผู้ใช้ทั่วไปเข้าถึงสิทธิ์ root บางส่วน กลับสามารถเขียนทับไฟล์ใดๆ ในเครื่องได้ จนนำไปสู่การยึดสิทธิ์ root ไปทั้งหมด ความผิดพลาดนี้เกิดจากการอ่านข้อมูลจาก /proc/[pid]/stat ที่ไม่ได้คำนึงว่าชื่อไฟล์ฺในอาจจะมีช่องว่างอยู่ ทำให้การอ่านค่าผิดพลาด เมื่อแฮกเกอร์สร้างสคริปต์ที่เรียก sudo โดยตัวสริปต์เป็นชื่อไฟล์ที่มีช่องว่างเพื่อเจาะระบบ ตอนนี้ลินุกซซ์หลักๆ ล้วนออกแพตช์หมดแล้ว Ubuntu นั้นได้รับผลกระทบตั้งแต่เวอร์ชั่น 14.04 ขึ้นไป ส่วน RHEL ได้รับผลกระทบในเวอร์ชั่น 5, 6, และ 7 ที่มา – OpenWall, Red Hat Security Advisory, Ubuntu Topics:  Linux Security

Netflix อัพเดตได้ออกอัพเดตแอพเวอร์ชัน 5.0 บน Android โดยสิ่งสำคัญในอัพเดตนี้คือการปิดกั้นการทำงานของแอพบนเครื่อง Android ที่ถูก root, ถูกปรับเปลี่ยนซอฟต์แวร์ระบบไปมาก และอุปกรณ์ที่ไม่ได้รับการรับรองอย่างเป็นทางการจาก Google (รวมไปถึง custom ROM ที่ลงจากผู้ผลิตจากมือถือนำเข้า) ก็จะพบการเปลี่ยนแปลงเช่นกัน ในการอัพเดตครั้งนี้ Netflix ได้นำระบบ DRM ของ Google คือ Widevine มาใช้กับแอพ ซึ่งถ้าพบกับอุปกรณ์ที่ถูกดัดแปลงซอฟต์แวร์ ระบบจะหยุดการทำงานแบบปกติทันที รวมถึงบางครั้งการค้นหาบน Play Store ก็อาจพบแอพด้วย (ทดสอบกับ Xiaomi Redmi Note 4X ที่ไม่ได้รับรองจาก Google ค้น Play Store ไม่เจอแอพ Netflix แล้ว) ที่มา – Yahoo! Tech Topics:  Netflix DRM Video Streaming

ความขัดแย้งระหว่างผู้ผลิตเบราว์เซอร์หลักสองรายคือกูเกิลและมอซิลล่า (ผู้สร้างไฟร์ฟอกซ์) กับธุรกิจออกใบรับรองดิจิตอลของไซแมนเทคยังไม่จบและความขัดแย้งยังดูไม่มีทีท่าว่าจะหาทางออกที่พอใจทั้งสองฝ่ายได้ หลังจากที่กูเกิลเสนอให้บีบอายุใบรับรองของไซแมนเทคเหลือเพียง 9 เดือน ล่าสุดกูเกิลก็ส่งตัวแทนไปเจรจากับไซแมคเทคอีกครั้ง และได้ข้อเสนอใหม่ออกมา ข้อเสนอใหม่ของกูเกิลระบุให้ไซแมนเทคสร้าง sub-CA ขึ้นใหม่พร้อมกับ cross-sign กับ root CA ของไซแมนเทคเอง แต่ sub-CA นี้จะต้องดำเนินการจากผู้ให้บริการอื่นที่ได้รับความเชื่อถือ ขณะที่ตัวไซแมนเทคเองจะกลายเป็นเพียงฝ่ายขายที่ทำหน้าที่ขายใบรับรองอย่างเดียว ส่วนลูกค้าจะยังคงเห็นใบรับรองว่ามาจากไซแมนเทคอยู่ การเจรจาระหว่างกูเกิลและไซแมนเทคเป็นการเจรจาภายใน ไซแมนเทคได้เปิดเผยข้อมูลแผนการปรับปรุงระบบของตัวเองที่ยังไม่เปิดเผยต่อสาธารณะ ข้อเสนอของกูเกิลอ้างถึงการปรับปรุงนั้นว่าหลังจากทำเรียบร้อยแล้วไซแมนเทคจะสามารถดึงการดำเนินการ CA กลับมาจากผู้ให้บริการอื่นมาให้บริการต่อเอง กูเกิลระบุว่าหากไซแมนเทคดำเนินการตามนี้ก็จะมีแนวทางการแก้ไขให้ลูกค้าเดิม โดยไม่ต้องติดข้อกำหนดอายุใบรับรอง 9 เดือนหรือถูกถอดสิทธิ์การแสดง EV แต่อย่างใด Gervase Markham นักพัฒนาจากมอซิลล่าออกมาแสดงความเห็นด้วยกับแนวทางของกูเกิลโดยรวม โดยระบุว่าหากไซแมนเทคไม่ทำตามข้อเสนอของกูเกิลไฟร์ฟอกซ์จะจำกัดอายุใบรับรองจากไซแมนเทคเหลือ 13 เดือน ทั้งใบรับรองเดิมและใบรับรองใหม่ แต่เขาไม่เห็นด้วยที่จะถอดสิทธิ์การออกใบรับรอง EV เพราะเป็นส่วนที่ไม่ได้รับผลกระทบจากความผิดพลาด ด้านไซแมนเทคออกมาตอบข้อเสนอของทั้งสองหน่วยงาน ระบุว่าบริษัทได้เสนอแนวทางการปรับปรุงไปแล้ว โดยจะมีการตรวจสอบจากภายนอกใหม่ แม้ทั้งการปรับปรุงระบบและตรวจสอบใบรับรองที่ออกไปแล้วทั้งหมด ตอนนี้กระบวนการตรวจสอบใบรับรองโดย Registration Authority (RA – หน่วยงานภายนอกที่ออกใบรับรองด้วยระบบของไซแมนเทค) ดำเนินการไปแล้วระหว่าง 85-99% โดยพบความผิดพลาดตั้งแต่ [...]

Webroot ผู้ผลิตโปรแกรมป้องกันไวรัสออกอัพเดตผิดพลาด จับไฟล์ของวินโดวส์รุ่น Insider Preview หลายร้อยไฟล์ว่าเป็นโทรจัน พร้อมกับย้ายไปเขตกักกันไฟล์ นอกจากการย้ายไฟล์วินโดวส์แล้ว อัพเดตนี้ยังแจ้งเตือนเฟซบุ๊กว่าเป็นเว็บฟิชชิ่งอีกด้วย ทาง Webroot แจ้งว่าไฟล์อัพเดตปล่อยออกมาผิดพลาดเป็นเวลา 13 นาที และตอนนี้เว็บได้แจ้งวิธีแก้ไขออกมาแล้ว ที่มา – The Register, ArsTechnica Topics:  Antivirus Security

ระบบการออกใบรับรองการเข้ารหัสเว็บทุกวันนี้ ความน่ากลัวอย่างหนึ่งคือเมื่อมี root CA เพิ่มเข้ามาแล้ว root CA นั้นจะออกใบรับรองให้กับโดเมนใดๆ ก็ได้ ทั้งที่จริงๆ แล้วฟีเจอร์หนึ่งของใบรับรองสำหรับ CA คือ Name Constraints สามารถกำหนดโดเมนที่ CA จะออกโดเมนได้แต่ก็ไม่มีใครสนใจใช้งานจริงจังนัก ปรากฏว่า Netflix ผู้ให้บริการวิดิโอสตรีมมิ่งกลับใช้ฟีเจอร์นี้อยู่สำหรับบริการภายในของตัวเอง โดยเป้าหมายของ Netflix คือการเข้ารหัสการส่งข้อมูลทั้งหมด แม้จะเป็นการส่งข้อมูลระหว่างเซิร์ฟเวอร์ภายในก็ตาม ทาง Netflix เพิ่ม root CA ของตัวเองสำหรับใช้งานเข้ารหัสระหว่างเบราว์เซอร์ แต่พบปัญหาใหม่คือบริการจำนวนหนึ่งต้องเข้าผ่านเบราว์เซอร์ซึ่งทาง Netflix ไม่อยากติดตั้ง root CA ของตัวเองในเครื่องผู้ใช้ในบริษัท เพราะจะเพิ่มความเสี่ยงว่าหาก root CA ของบริษัทถูกเจาะก็จะสามารถปลอมเว็บใดๆ ก็ได้กับพนักงาน Netflix จำนวนมากทันที ทางแก้ของ Netflix คือสร้าง root CA ที่ใช้ฟีเจอร์ Name Constraints แต่ปรากฎว่าเบราว์เซอร์จำนวนมากมีบั๊กในฟีเจอร์นี้ มีเพียงไฟร์ฟอกซ์ที่อิมพลีเมนต์อย่างถูกต้อง ทาง [...]

Rafael Scheel นักวิจัยจาก Oneconsult AG รายงานถึงความเสี่ยงของสมาร์ตทีวีที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ ว่าอาจจะถูกแฮกผ่านข้อมูลสัญญาณทีวีโดยตรง ทำให้ผู้ใช้สมาร์ตทีวีที่ไม่ได้เปิดเว็บเองก็ถูกแฮกได้ โดยมีสมาร์ตทีวีที่เข้าข่ายมีความเสี่ยงถึง 85% Scheel อาศัยโปรโตคอล HbbTV ที่เปิดทางให้ทีวีสามารถหลอมรวมกับคอนเทนต์แบบอื่นๆ เช่น เว็บ ทำให้สามารถส่งข้อมูลทางคลื่น DVB-T สำหรับดิจิตอลทีวีเพื่อกระตุ้นให้ทีวีไปเปิดเว็บที่มุ่งร้ายโดยผู้ใช้ไม่รู้ตัวได้ เมื่อเปิดเว็บที่มุ่งร้ายแล้ว แฮกเกอร์จะเข้าถึงสิทธิ์ root ของตัวทีวี สามารถใช้ทีวีเป็น botnet หรือดักจับข้อมูลพฤติกรรมของผู้ใช้ได้ ที่มา – The Hackers News Topics:  Security Smart TV

สืบเนื่องจากประเด็นระหว่างกูเกิลกับไซแมนเทคเกี่ยวกับการออกใบรับรองดิจิตอลที่ไม่เป็นไปตามมาตรฐานมาเป็นเวลานาน (ทั้งที่ออกโดยไซแมนเทคเองและที่ออกโดย (อดีต) ตัวแทนของไซแมนเทค) ซึ่งทำให้กูเกิลได้เตรียมมาตรการเพื่อปกป้องผู้ใช้งานเว็บเบราว์เซอร์ Chrome เอาไว้แล้วนั้น ได้พบว่าการยกเลิกการแสดงสถานะ EV หรือที่เรียกกันว่าแถบ Green Bar ซึ่งเป็นหนึ่งในมาตรการที่กูเกิลได้เตรียมที่จะนำมาใช้นั้นเหมือนจะได้มีผลบังคับใช้ไปแล้วทั้งที่ยังไม่ถึงกำหนดเวลา โดยเฉพาะเว็บธนาคารในไทยซึ่งส่วนใหญ่จะใช้ใบรับรองแบบ EV ที่ออกโดยไซแมนเทคนั้น มีหลายเว็บที่พบว่าแถบ Green Bar ดังกล่าวได้หายไปแล้ว แต่ของบางเว็บก็ยังคงมีอยู่ ทำให้เกิดความสับสนว่านี่เป็นการเริ่มต้นแล้วของมาตรการการดังกล่าวของกูเกิลใช่หรือไม่ ซึ่งแท้จริงแล้วนั้น ปัญหานี้เป็นปัญหาซึ่งไม่เกี่ยวข้องกันกับมาตรการข้างต้นที่กูเกิลได้เตรียมที่จะนำมาใช้แต่อย่างใด ปัญหานี้เป็นสิ่งที่ได้เกิดขึ้นมาก่อนแล้วเพียงแต่บังเอิญว่าเพิ่งจะได้มีการค้นพบในช่วงเวลาที่มาตรการนี้ออกมา (แต่ยังไม่มีผลบังคับใช้) พอดี โดยสาเหตุของปัญหาดังกล่าวนี้นั้นได้ถูกเปิดเผยโดยกูเกิลเองว่าเกิดจากการเรียง OID ผิดของใบรับรอง EV ที่ออกโดยไซแมนเทค โดย OID นี้จะอยู่ในส่วนของ X509 Certificate Policies ภายในใบรับรองเอง และจะเป็นตัวที่เบราว์เซอร์ใช้ในการตัดสินใจว่าจะขึ้นสถานะ EV ให้หรือไม่ โดย OID ที่ได้ผ่านการรับรองว่าเป็น EV นั้นอยู่มีเพียงไม่กี่ตัวเท่านั้น โดยแต่ละ CA จะมีกันเพียงคนละตัว หรือบางรายอาจมีถึงสองตัว และไม่ใช่ว่า CA ทุกเจ้าจะมี OID [...]

 Page 1 of 22  1  2  3  4  5 » ...  Last »