Webroot ผู้ผลิตโปรแกรมป้องกันไวรัสออกอัพเดตผิดพลาด จับไฟล์ของวินโดวส์รุ่น Insider Preview หลายร้อยไฟล์ว่าเป็นโทรจัน พร้อมกับย้ายไปเขตกักกันไฟล์ นอกจากการย้ายไฟล์วินโดวส์แล้ว อัพเดตนี้ยังแจ้งเตือนเฟซบุ๊กว่าเป็นเว็บฟิชชิ่งอีกด้วย ทาง Webroot แจ้งว่าไฟล์อัพเดตปล่อยออกมาผิดพลาดเป็นเวลา 13 นาที และตอนนี้เว็บได้แจ้งวิธีแก้ไขออกมาแล้ว ที่มา – The Register, ArsTechnica Topics:  Antivirus Security

ระบบการออกใบรับรองการเข้ารหัสเว็บทุกวันนี้ ความน่ากลัวอย่างหนึ่งคือเมื่อมี root CA เพิ่มเข้ามาแล้ว root CA นั้นจะออกใบรับรองให้กับโดเมนใดๆ ก็ได้ ทั้งที่จริงๆ แล้วฟีเจอร์หนึ่งของใบรับรองสำหรับ CA คือ Name Constraints สามารถกำหนดโดเมนที่ CA จะออกโดเมนได้แต่ก็ไม่มีใครสนใจใช้งานจริงจังนัก ปรากฏว่า Netflix ผู้ให้บริการวิดิโอสตรีมมิ่งกลับใช้ฟีเจอร์นี้อยู่สำหรับบริการภายในของตัวเอง โดยเป้าหมายของ Netflix คือการเข้ารหัสการส่งข้อมูลทั้งหมด แม้จะเป็นการส่งข้อมูลระหว่างเซิร์ฟเวอร์ภายในก็ตาม ทาง Netflix เพิ่ม root CA ของตัวเองสำหรับใช้งานเข้ารหัสระหว่างเบราว์เซอร์ แต่พบปัญหาใหม่คือบริการจำนวนหนึ่งต้องเข้าผ่านเบราว์เซอร์ซึ่งทาง Netflix ไม่อยากติดตั้ง root CA ของตัวเองในเครื่องผู้ใช้ในบริษัท เพราะจะเพิ่มความเสี่ยงว่าหาก root CA ของบริษัทถูกเจาะก็จะสามารถปลอมเว็บใดๆ ก็ได้กับพนักงาน Netflix จำนวนมากทันที ทางแก้ของ Netflix คือสร้าง root CA ที่ใช้ฟีเจอร์ Name Constraints แต่ปรากฎว่าเบราว์เซอร์จำนวนมากมีบั๊กในฟีเจอร์นี้ มีเพียงไฟร์ฟอกซ์ที่อิมพลีเมนต์อย่างถูกต้อง ทาง [...]

Rafael Scheel นักวิจัยจาก Oneconsult AG รายงานถึงความเสี่ยงของสมาร์ตทีวีที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ ว่าอาจจะถูกแฮกผ่านข้อมูลสัญญาณทีวีโดยตรง ทำให้ผู้ใช้สมาร์ตทีวีที่ไม่ได้เปิดเว็บเองก็ถูกแฮกได้ โดยมีสมาร์ตทีวีที่เข้าข่ายมีความเสี่ยงถึง 85% Scheel อาศัยโปรโตคอล HbbTV ที่เปิดทางให้ทีวีสามารถหลอมรวมกับคอนเทนต์แบบอื่นๆ เช่น เว็บ ทำให้สามารถส่งข้อมูลทางคลื่น DVB-T สำหรับดิจิตอลทีวีเพื่อกระตุ้นให้ทีวีไปเปิดเว็บที่มุ่งร้ายโดยผู้ใช้ไม่รู้ตัวได้ เมื่อเปิดเว็บที่มุ่งร้ายแล้ว แฮกเกอร์จะเข้าถึงสิทธิ์ root ของตัวทีวี สามารถใช้ทีวีเป็น botnet หรือดักจับข้อมูลพฤติกรรมของผู้ใช้ได้ ที่มา – The Hackers News Topics:  Security Smart TV

สืบเนื่องจากประเด็นระหว่างกูเกิลกับไซแมนเทคเกี่ยวกับการออกใบรับรองดิจิตอลที่ไม่เป็นไปตามมาตรฐานมาเป็นเวลานาน (ทั้งที่ออกโดยไซแมนเทคเองและที่ออกโดย (อดีต) ตัวแทนของไซแมนเทค) ซึ่งทำให้กูเกิลได้เตรียมมาตรการเพื่อปกป้องผู้ใช้งานเว็บเบราว์เซอร์ Chrome เอาไว้แล้วนั้น ได้พบว่าการยกเลิกการแสดงสถานะ EV หรือที่เรียกกันว่าแถบ Green Bar ซึ่งเป็นหนึ่งในมาตรการที่กูเกิลได้เตรียมที่จะนำมาใช้นั้นเหมือนจะได้มีผลบังคับใช้ไปแล้วทั้งที่ยังไม่ถึงกำหนดเวลา โดยเฉพาะเว็บธนาคารในไทยซึ่งส่วนใหญ่จะใช้ใบรับรองแบบ EV ที่ออกโดยไซแมนเทคนั้น มีหลายเว็บที่พบว่าแถบ Green Bar ดังกล่าวได้หายไปแล้ว แต่ของบางเว็บก็ยังคงมีอยู่ ทำให้เกิดความสับสนว่านี่เป็นการเริ่มต้นแล้วของมาตรการการดังกล่าวของกูเกิลใช่หรือไม่ ซึ่งแท้จริงแล้วนั้น ปัญหานี้เป็นปัญหาซึ่งไม่เกี่ยวข้องกันกับมาตรการข้างต้นที่กูเกิลได้เตรียมที่จะนำมาใช้แต่อย่างใด ปัญหานี้เป็นสิ่งที่ได้เกิดขึ้นมาก่อนแล้วเพียงแต่บังเอิญว่าเพิ่งจะได้มีการค้นพบในช่วงเวลาที่มาตรการนี้ออกมา (แต่ยังไม่มีผลบังคับใช้) พอดี โดยสาเหตุของปัญหาดังกล่าวนี้นั้นได้ถูกเปิดเผยโดยกูเกิลเองว่าเกิดจากการเรียง OID ผิดของใบรับรอง EV ที่ออกโดยไซแมนเทค โดย OID นี้จะอยู่ในส่วนของ X509 Certificate Policies ภายในใบรับรองเอง และจะเป็นตัวที่เบราว์เซอร์ใช้ในการตัดสินใจว่าจะขึ้นสถานะ EV ให้หรือไม่ โดย OID ที่ได้ผ่านการรับรองว่าเป็น EV นั้นอยู่มีเพียงไม่กี่ตัวเท่านั้น โดยแต่ละ CA จะมีกันเพียงคนละตัว หรือบางรายอาจมีถึงสองตัว และไม่ใช่ว่า CA ทุกเจ้าจะมี OID [...]

หลังจากกูเกิลประกาศเตรียมระดับความเชื่อถือของหน่วยงานออกใบรับรองจากไซแมนเทคทั้งหมด ให้สามารถออกใบรับรองได้ไม่เกินเพียง 9 เดือนและไม่สามารถออกใบรับรองระดับ EV ได้อีกต่อไป คำถามหนึ่งคือใบรับรองที่ออกผิดพลาดทั้งหมดเป็นเท่าใด เพราะกูเกิลอ้างว่ามีใบรับรองผิดพลาดถึง 30,000 ใบ แต่ไซแมนเทคยืนยันว่ามีเพียง 127 ใบเท่านั้น กูเกิลชี้แจงเพิ่มเติมว่าใบรับรองที่ออกผิดพลาด ออกโดยหน่วยงานภายนอกที่ไซแมคเทคอนุญาตให้ตรวจสอบความเป็นเจ้าของโดเมนก่อนออกใบรับรอง (registration authority – RA) แทนไซแมนเทค แม้ข้อกำหนด CA/Browser Forum จะอนุญาตแต่ก็ระบุว่า root CA ต้องรับผิดชอบผลทั้งหมดหากมีความผิดพลาดกับ RA เหล่านี้ ไซแมนเทคออกมายอมรับว่า RA เหล่านี้ไม่ได้ทำตามกระบวนการตรวจสอบอย่างถูกต้อง ไม่ส่งรายงานการดำเนินการประจำปี บางรายไม่ได้รับการตรวจสอบโดยผู้ตรวจสอบที่ได้รับอนุญาตจาก WebTrust จนมาแก้ไขภายหลัง กูเกิลระบุว่าเนื่องจากหน่วยงานเหล่านี้ไม่ได้ถูกตรวจสอบอย่างถูกต้อง และหน่วยงานเหล่านี้ออกใบรับรองรวมแล้วกว่า 30,000 ใบ จึงไม่สามารถยืนยันความถูกต้องของใบรับรองเหล่านี้ทั้งหมด ตอนนี้ไซแมนเทคยกเลิกโครงการ RA ภายนอกไปทั้งหมดแล้ว พร้อมกับระบุว่าใบรับรองทั้งหมดที่ออกผิดพลาดไม่อันตรายต่อผู้ใช้ทั่วไป และจะหาทางให้ลูกค้าสามารถรับมือกับข้อกำหนดใหม่ของกูเกิลทั้งการเปลี่ยนใบรับรองใหม่ และการอัพเดตใบรับรองที่หมดอายุเร็วขึ้น สำหรับคนทั่วไปที่ไม่ได้ใช้ใบรับรอง EV ความน่ากังวลคือการลดอายุใบรับรองที่อาจจะทำให้ผู้ใช้ทั่วไปเข้าเว็บไม่ได้ กูเกิลชี้แจงเพิ่มเติมเป็นเอกสาร explainer ใน GitHub อย่างไรก็ดี [...]

กูเกิลออกรายงาน Android Security 2016 Year in Review สรุปสถานการณ์ความปลอดภัยของ Android ตลอดทั้งปี 2016 ว่าเกิดอะไรขึ้นบ้าง ในภาพรวม มาตรการต่างๆ ที่กูเกิลนำมาช่วยกรองไม่ให้ผู้ใช้ติดมัลแวร์ได้ผลดี อัตราการติดมัลแวร์ลดจำนวนลงจากในปี 2015 แต่อัตราการอัพเดตแพตช์ความปลอดภัยของผู้ผลิตฮาร์ดแวร์ต่างๆ ยังไม่ดีนัก กูเกิลก็พยายามเลี่ยงข้อมูลนี้โดยไม่เผยข้อมูลอุปกรณ์ที่ได้แพตช์ “ล่าสุด” (บอกอ้อมๆ ว่า “เคยได้แพตช์อย่างน้อยหนึ่งครั้งในปี 2016″) แต่ในภาพรวมก็ถือว่าดีขึ้นจากปี 2015 สถานการณ์เรื่องมัลแวร์ กูเกิลมีบริการด้านความปลอดภัยหลายชั้น (ทั้งในระดับเครื่องและระดับคลาวด์ ตามภาพ) ที่คอยช่วยปกป้องอุปกรณ์ Android จากมัลแวร์ (หรือที่กูเกิลเรียกว่า Potentially Harmful Applications หรือ PHA) ตัวเลขจากกูเกิลระบุว่าในไตรมาส 4/2016 อุปกรณ์ Android ทั้งหมดที่เก็บสถิติมี PHA มีสัดส่วน 0.71%, ถ้านับเฉพาะอุปกรณ์ Android ที่ดาวน์โหลดแอพเฉพาะจาก Google Play เท่านั้น สัดส่วนคือ [...]

TeamSIK กลุ่มวิจัยความปลอดภัยจาก Fraunhofer Institute for Secure Information Technology เข้าตรวจสอบความปลอดภัยของแอปเก็บรหัสผ่านยอดนิยม 7 รายการ พบว่าแอปทั้งหมดมีช่องโหว่หนักเบาต่างกันไป ช่องโหว่เหล่านี้ส่วนมากถือว่าแอปเก็บรหัสผ่านต้องช่วยปกป้องผู้ใช้แม้จะไม่ล็อกเครื่อง หรือยกเครื่องให้ผู้อื่นใช้งาน หรือแม้แต่ทำข้อมูลส่วนตัวของผู้ใช้หลุดออกไปเช่นการรายงาน URL ที่ผู้ใช้เพิ่มรหัสผ่าน หลายแอปเทียบ URL ผิดพลาดทำให้เติมรหัสผ่านอัตโนมัติทั้งที่เป็นคนละโดเมนกัน จุดที่พลาดเหมือนกันเช่น การอิมพลีเมนต์เบราว์เซอร์ไว้ในตัวแอปเก็บรหัสผ่านแล้วทำผิดพลาด เช่น ไม่ยอมเข้ารหัสเมื่อเชื่อมต่อไปยังกูเกิล, หรือเปิดให้เบราว์เซอร์อ่านไฟล์เฉพาะที่ไม่ควรอ่านออกมาได้โดยตรง MyPasswords SIK-2016-019: ช่องโหว่จาก HTML viewer ทำให้ผู้ที่มีเครื่องในมือสามารถเข้าอ่านข้อมูลของตัวแอปได้ในเวอร์ใน 4.5 HTML viewer ไม่มีในเวอร์ชั่นล่าสุดแล้วจึงไม่มีปัญหา SIK-2016-020: กุญแจหลักถูกเข้ารหัสไว้อ่อนแอ ทำให้สามารถใช้ช่องโหว่ SIK-2016-019 อ่านกุญแจและล็อกอินเอารหัสผ่านทั้งหมดได้ SIK-2016-043: ไม่ใช่ช่องโหว่สำหรับผู้ใช้ แต่เป็นช่องโหว่อัพเกรดไปใช้รุ่นเสียเงินฟรี Informaticore Password Manager SIK-2016-021: กุญแจเข้ารหัสรหัสผ่านหลักเหมือนกันทุกเครื่อง ทำให้ถอดรหัสกลับออกมาได้โดยง่าย (ต้องเข้าถึงตัวเครื่องได้) LastPass Password Manager SIK-2016-022: กุญเข้ารหัสผ่านหลักใช้กุญแจเหมือนกันทุกเครื่อง [...]

จากรายงานของ SuperData ในปี 2016 อุตสาหกรรม esport มีมูลค่าประมาณ 892.8 ล้านเหรียญสหรัฐ ​และคาดว่าจะพุ่งทะยานเกิน 1 พันล้านเหรียญสหรัฐในปี 2017 แง่มุมที่ทั้งเกมเมอร์และคนดูอาจไม่ได้คิดถึงมากนัก คือการตัดสินใจของทีมระดับอาชีพว่าจะเลือกลงทุนกับเกมไหน หรือ เลือกสร้างทีมผู้เล่นของเกมไหนบ้าง ซึ่งเว็บไซต์ Esports Heaven สัมภาษณ์ผู้บริหารของทีม esport ชื่อดัง 3 ทีม ถึงแง่มุมของการบริหารจัดการทีมของตัวเอง มีรายละเอียดที่น่าสนใจดังนี้ Jason Lake CEO ของทีม compLexity gaming compLexity Gaming (coL) เป็นทีม esport เก่าแก่จากสหรัฐอเมริกา ก่อตั้งในปี 2003 ปัจจุบันมีทีมแข่ง 5 เกมคือ Overwatch, Dota 2, CS:GO, Hearthstone, StarCraft II Jason Lake ให้สัมภาษณ์ว่าเขาเริ่มต้นสร้างทีมด้วยความชอบก่อนที่จะคิดถึงเรื่องของธุรกิจ จุดเริ่มต้นของ [...]

กูเกิลประกาศสร้าง root CA ของตัวเองสำหรับการเชื่อมต่อกับบริการของกูเกิลโดยใช้ชื่อว่า Google Trust Services ชื่อในใบรับรอง ได้แก่ GTS Root R1, R2, R3, และ R4 ใบรับรองสำหรับเว็บกูเกิลเองก่อนหน้านี้ออกใบรับรองผ่าน intermediate CA ของกูเกิลเอง ที่ชื่อว่า Google Internet Authority G2 (GIAG2) ที่ได้รับการรับรองจาก GeoTrust มาอีกที ตอนนี้กูเกิลระบุว่ายังคงใช้ GIAG2 ต่อไปแต่หลังจากนี้จะเริ่มกระบวนการย้ายมาใช้โครงสร้างของตัวเอง ในช่วงเปลี่ยนผ่านที่กูเกิลยังไม่ได้เข้าไปอยู่ใน trusted root CA ของซอฟต์แวร์ต่างๆ ใบรับรองจะได้รับการ cross sign โดย root CA เดิม ได้แก่ GS Root R3 และ GeoTrust ดังนั้นสำหรับคนทั่วไปก็น่าจะเชื่อมต่อได้โดยไม่มีปัญหาใดๆ ที่มา – Google Security [...]

หลังจากวันนี้มีข่าว root CA ของรัฐบาลไทยได้รับการเชื่อถือจากไมโครซอฟท์ ตอนนี้ผู้ใช้วินโดวส์จำนวนหนึ่งน่าจะได้รับอัพเดตที่มี root CA นี้เข้ามาในเครื่องแล้ว สำหรับคนที่ไม่ต้องการใช้งานน่าจะมีคนเขียนบทความจำนวนมากเพื่อแนะนำวิธีการถอนใบรับรองนี้ออกจากเครื่อง ในทางกลับกันมีผู้ใช้จำนวนหนึ่งที่เชื่อใจรัฐบาลเป็นอย่างยิ่งและต้องการให้เข้ามาช่วยดูแลความปลอดภัย อาจจะต้องผิดหวังเพราะผู้ผลิตซอฟต์แวร์รายอื่นๆ ยังไม่รับรอง สำหรับ Chrome บน Windows นั้นไม่เป็นปัญหาเพราะใช้ฐานข้อมูล root CA ของวินโดวส์โดยตรง แต่กับไฟร์ฟอกซ์กลับใช้ฐานข้อมูลของตัวเองทำให้ใช้งาน บทความนี้จะแนะนำขั้นตอนการเพิ่ม root CA เข้าระบบเพื่อให้สามารถเข้าเว็บที่รับรองโดย root CA รัฐบาลไทยได้อย่างสะดวก เริ่มต้นด้วยการดาวน์โหลดใบรับรองจาก http://www.nrca.go.th/issue_cert.html (เว็บไม่มี HTTPS ถูกต้องแล้ว) โดยมีใบรับรอง 3 ใบ ได้แก่ Thailand National Root Certification Authority – G1, Thai Digital ID CA G2, และ Thai Digital ID CA G3 [...]

 Page 1 of 22  1  2  3  4  5 » ...  Last »