PayPal เตรียมจะอัพเดตบริการใหม่ โดยเน้นไปในเรื่องความปลอดภัยหลายอย่าง คือเพิ่มเทคโนโลยีต่าง ๆ ที่เกี่ยวกับความปลอดภัยเข้ามาให้มากขึ้น โดยรายละเอียดการอัพเดตคร่าว ๆ มีดังนี้ อัพเกรดเป็น TLS v1.2 ระบบทั้งหมดจะบังคับใช้ TLS v1.2 สำหรับการเชื่อมต่อแบบ HTTPS ในเดือนมิถุนายน 2017 และตั้งแต่นั้น API ที่ต้องการเชื่อมต่อ TLS v1.0 และ TLS v1.1 จะไม่สามารถใช้งานได้ อัพเดตที่อยู่ไอพีใหม่สำหรับ PayPal SFTP: บริการของ PayPal คือ Secure FTP Reporting / Batch Servers จะเปลี่ยนที่อยู่ไอพีใหม่ ฉะนั้นถ้าใครใช้วิธี hard code ที่อยู่ไอพีจะต้องเปลี่ยนภายใน 14 เมษายนนี้ IPN Verification Postback to HTTPS: สำหรับบริการ Instant Payment [...]

กระบวนการรับรอง SSL/TLS Certificate หรือ “ใบรับรองอิเล็กทรอนิกส์” (ต่อไปจะเรียกว่า TLS Certificate) จะผ่านทาง Certificate Authority หรือ “ผู้ออกใบรับรองอิเล็กทรอนิกส์” (CA) โดยเว็บเบราว์เซอร์หรือระบบปฏิบัติการ (ต่อไปจะเรียกว่า client) จะมีรายการที่เรียกว่า Trusted Root Certification Authorities หรือ “รายการใบรับรองดิจิตอลของผู้ออกใบรับรองดิจิตอลสำหรับผู้อื่น” อยู่ภายใน โดยมากมักอ้างอิงกับตัวระบบปฏิบัติการเป็นหลัก ซึ่งจะบรรจุ Root Certificate หรือ “ใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุด” เพื่อให้ client สามารถเชื่อใบรับรองอิเล็กทรอนิกส์ที่ได้รับรองจาก Certificate Authority เหล่านั้น (Trust any certificates issued by the Certificate Authorities) การที่ Certificate Authority จะสามารถอยู่ในรายการดังกล่าวได้ จะต้องผ่านการตรวจสอบคุณสมบัติตามมาตรฐานจากหน่วยงาน CA/Browser Forum เพราะผู้ผลิต client ต่างๆ [...]

เว็บไซต์นิตยสาร Forbes รายงานว่าระบบสื่อสารโทรคมนาคมที่เรียกว่า Signalling System No. 7 (SS7) อันเป็นมาตรฐานการสื่อสารที่พัฒนาขึ้นมาตั้งแต่ปี 1975 มีช่องโหว่ร้ายแรงที่สำคัญ ซึ่งทำให้แฮกเกอร์สามารถหลอกผู้ให้บริการโทรคมนาคม (ในที่นี้คือโทรศัพท์เคลื่อนที่) ว่าโทรศัพท์มือถือของตนเองนั้นมีหมายเลขเดียวกับเครื่องเหยื่อเป้าหมายที่จะถูกโจมตี ทำให้แฮกเกอร์สามารถทำได้ทั้งรับสาย รับข้อความ SMS แทนเจ้าของเครื่องตัวจริง (ว่าง่ายๆ คือ hijack โทรศัพท์กันที่ระดับหมายเลข) พร้อมกับเผยแพร่วิดีโอสาธิตการโจมตีด้วย ช่องโหว่ดังกล่าวนี้ถือว่ามีความน่ากังวล เพราะไม่ได้ติดอยู่กับตัวระบบปฏิบัติการ และยังสามารถขยายไปดักฟังข้อมูลอื่นๆ ได้ด้วย ที่น่ากังวลคือมีหลายบริษัท (ล่าสุดเป็นบริษัทด้านความปลอดภัยจากอิสราเอล) เสนอบริการสอดแนมโดยใช้ช่องโหว่ในตัว SS7 และขายเครื่องมือเหล่านี้ให้กับหน่วยงานหรือคนที่สนใจใช้ด้วย (แต่ราคาก็ไม่ใช่ว่าจะหาซื้อกันง่ายๆ เพราะหลักล้านดอลลาร์สหรัฐขึ้นไปทั้งสิ้น) รวมถึงช่องโหว่เหล่านี้เป็นเรื่องที่วงการผู้เชี่ยวชาญทราบกันดีอยู่แล้ว (ทราบกันมาตั้งแต่ 2015) แต่ไม่มีใครทำอะไรได้เพราะปัญหาในระบบทำงาน (redtape) ที่ซับซ้อนมากในการออกและแก้ไขมาตรฐานโทรคมนาคมแบบใหม่ๆ และแอพจำนวนมากก็ยังคงใช้วิธีการยืนยันตัวตนผ่านระบบเช่น SMS หรือโทรศัพท์ โดยไม่รู้ว่าโครงสร้างเหล่านี้มีความไม่ปลอดภัย Karsten Nohl นักวิจัยด้วยความปลอดภัยที่ทำงานเกี่ยวกับช่องโหว่ของ SS7 แนะนำว่าผู้ใช้งานควรเปิดระบบการเข้ารหัสแบบ end-to-end ซึ่งจะช่วยลดความเสี่ยงไปได้ส่วนหนึ่ง นอกจากนั้นยังต้องตรวจสอบ digital fingerprint ของฝ่ายคู่สนทนา [...]

ปีที่แล้วมีรายงานช่องโหว่สำคัญๆ จากผู้ผลิตคอมพิวเตอร์เอง เช่น Superfish ของเลอโนโว และ eDellRoot ของเดลล์ ทาง Duo Security จึงทำรายงานสำรวจความปลอดภัยของระบบอัปเดตจากผู้ผลิต 5 ราย ได้แก่ เอเซอร์, เอซุส, เอชพี, เดลล์, และเลอโนโว พบว่าผู้ผลิตทุกรายมีช่องโหว่ระดับร้ายแรงสูงทั้งสิ้น รวมช่องโหว่ 12 รายการ นอกจากเดลล์ที่มีช่องโหว่ eDellRoot ผู้ผลิตรายอื่นๆ ก็มีปัญหาช่องโหว่เปิดให้แฮกเกอร์ส่งโค้ดเข้าไปรันบนเครื่องของเหยื่อ การเข้ารหัสที่อ่อนแอและบางครั้งก็อิมพลีเมนต์ผิดพลาด เช่น Asus Live Update เข้ารหัสไฟล์ manifest ด้วยกุญแจ md5(“Asus Live Update”) ผู้ผลิตหลายรายส่งโค้ดอัพเดตโดยไม่เข้ารหัสและไม่ตรวจสอบโค้ดที่ดาวน์โหลดมา หรือ Dell Foundation Service (DFS) ที่ตรวจสอบโค้ดอัปเดตว่าใบรับรองมี “ชื่อ” ว่า “DELL” หรือ “DELL INC.” หรือไม่ โดยไม่ได้ตรวจสอบกุญแจจริงๆ (ปัญหานี้ถูกแก้ไปใน [...]

หนึ่งในข่าวด้านการศึกษาที่ถูกพูดถึงมากใน Blognone คือการผลักดันให้การเขียนโปรแกรมเป็นหลักสูตรขั้นพื้นฐานที่นักเรียนในสหรัฐฯ ทุกคนต้องได้เรียน ประเด็นที่น่าสนใจคือการบังคับให้เด็กทุกคนต้องเรียนนั้นเหมาะสมหรือไม่ เมื่อฝ่ายหนึ่งมองว่าเด็กต้องเรียนเป็นพื้นฐานเพื่อตามโลกสมัยใหม่ให้ทัน และอีกฝ่ายมองว่าเด็กควรมีสิทธิ์ที่จะเลือกเรียนวิชาที่ตนสนใจ ความเห็นที่แตกต่างนี้เกิดขึ้นมาจากการพยายามรักษาสมดุลของระบบการศึกษา ไม่ให้ก้าวก่ายการเรียนรู้ของนักเรียนจนเกินไป แต่ก็ยังสามารถให้ประโยชน์แก่ผู้เรียนได้ หนังสือ “โรงเรียนบันดาลใจ” ที่ผมจะแนะนำต่อไปนี้ เป็นหนังสือที่พูดถึงปัญหาของระบบการศึกษาขั้นพื้นฐานทั่วโลก ซึ่ง Ken Robinson และ Lou Aronica สองผู้เขียนหนังสือ มองว่าระบบที่ใช้กันอยู่นั้นขาดสมดุล เพราะเคร่งครัดกับมาตรฐานกลางมากไป จนขัดขวางพัฒนาการของเด็ก กลายเป็นต้นเหตุของปัญหาการศึกษาในปัจจุบัน การเพิ่มรายวิชาบังคับโดยไม่คำนึงถึงผลกระทบที่ตามมานั้นจะยิ่งทำให้ระบบการศึกษาเสียสมดุลหนักเข้าไปอีก อนึ่ง ผมแนะนำในฐานะที่สนใจในปัญหาการศึกษาของประเทศ ไม่ได้มีตำแหน่งหรือความเชี่ยวชาญเฉพาะด้านแต่อย่างใด แนะนำหนังสือ “โรงเรียนบันดาลใจ” (ชื่อภาษาอังกฤษ “Creative Schools: The Grassroots Revolution That’s Transforming Education”) เขียนโดย Ken Robinson และ Lou Aronica แปลไทยโดยคุณวิชยา ปิดชามุก จัดพิมพ์โดยสำนักพิมพ์ openworlds แนะนำผู้เขียน: Ken Robinson Sir Ken [...]

Blue Coat ผู้ผลิตอุปกรณ์ตรวจสอบข้อมูลเข้าออกหน่วยงาน ที่มีรัฐบาลหลายชาติ เช่น ซีเรีย และเมียนมาร์ นำไปใช้กรองข้อมูลเข้าออกประเทศ ได้รับสิทธิ์การเป็นหน่วยงานออกใบรับรองดิจิตอล (intermediate CA) จาก Symantec ใบรับรองออกมาตั้งแต่เดือนกันยายนปีที่แล้ว แต่เพิ่งเป็นข่าวไม่กี่วันมานี้ ตัวใบรับรองมีอายุ 10 ปี หมดอายุอีกครั้งปี 2025 Blue Coat ระบุว่าใบรับรองนี้ออกมาเพื่อการทดสอบภายในเท่านั้น และกระบวนการออกใบรับรองครั้งนี้ทาง Symantec ก็เป็นผู้ถือกุญแจลับของใบรับรองโดยไม่เคยส่งมอบกุญแจลับให้กับ Blue Coat แต่อย่างใด สิทธิ์การเป็นหน่วยงานออกใบรับรองเป็นสิทธิ์ที่มีอำนาจสูงมาก เมื่อ root CA ออกใบรับรองให้ intermediate CA ใดๆ แล้ว หน่วยงานนั้นๆ จะสามารถออกใบรับรองเว็บใดๆ ก็ได้ เมื่อเดือนมีนาคมปีที่แล้ว CNNIC ซึ่งเป็น root CA ของจีนเคยออกใบรับรองแบบนี้ให้กับ MCS Holdings ในอียิปต์ และการมีการนำไปใช้ดักฟังอินเทอร์เน็ตรวมถึงเว็บเข้ารหัสหลายเว็บ ฝั่งเบราว์เซอร์เช่น Chrome และ Mozilla [...]

Sophos ผู้พัฒนาด้านความปลอดภัยบนเครือข่ายและเครื่องเอ็นด์พอยท์ เปิดตัว Sophos Clean ซึ่งเป็นซอฟต์แวร์ขั้นสูงที่ตรวจจับ, กู้ระบบ และกำจัดมัลแวร์สำหรับผู้ใช้งานปลายทาง ที่ใช้เทคโนโลยีที่ไม่ต้องพึ่งพาการอัปเดตซิกเนเจอร์ โดยใช้วิธีวิเคราะห์พฤติกรรมแบบต่อเนื่อง การสืบสวน และการรวบรวมข้อมูลอย่างอัจฉริยะเพื่อค้นหา และกำจัดโค้ดจากอันตรายแบบ Zero-day, โทรจัน, RAT, Ransomware, Rootkit, มัลแวร์ที่เปลี่ยนรูปร่างเองได้, คุกกี้ที่ก่อกวน, สปายแวร์ และแอดแวร์

คล้อยหลังจากการที่ John McAfee เปิดเผยว่าสามารถดักอ่านข้อความบน WhatsAppได้ ล่าสุดเว็บไซต์ข่าว Gizmodo ก็ออกมารายงานว่าการกระทำดังกล่าวของ McAfee เป็นการหลอกนักข่าวแทน Gizmodo ระบุว่า McAfee วางแผนส่งสมาร์ทโฟนสองเครื่องไปยังให้สื่อมวลชนสองเจ้า (จากแหล่งข่าวของ Gizmodo คือ International Business Times และ Russia Today) พร้อมกับมัลแวร์ที่ถูกฝังมาเรียบร้อยในกล่องที่ปิดสนิท หลังจากนั้นเจ้าหน้าที่ซึ่งทำงานให้ McAfee จะเป็นคนแกะกล่องต่อหน้าสื่อก่อนที่จะแสดงข้อความให้เห็นว่าโดนดักได้ เรื่องนี้ถึงหู Dan Guido หนึ่งในผู้เชี่ยวชาญด้านความปลอดภัย ซึ่งได้ข้อมูลจากผู้สื่อข่าวเพื่อขอคำยืนยันอีกที ทำให้เขาทวิตออกมาเปิดโปงแผนนี้ (ดูทวิตทั้งสองอันท้ายข่าว) และให้คำแนะนำกับผู้สื่อข่าวว่าอย่าใช้โทรศัพท์เหล่านั้น เพราะแม้กระทั่งซีลพลาสติกหุ้มกล่องก็สามารถทำให้ดูเหมือนใหม่ได้ (shrink wrap) ด้าน Moxie Marlinspike วิศวกรผู้อยู่เบื้องหลังการออกแบบโปรโตคอลสำหรับเข้ารหัสบน WhatsApp ให้สัมภาษณ์ว่าตนเองได้รับการติดต่อจากผู้สื่อข่าวในลักษณะเดียวกัน ซึ่งทำให้เขาตัดสินใจคุยกับ McAfee โดยตรง (น่าจะเป็นการโทร) ซึ่ง McAfee ตอบคำถามของ Marlinspike ด้วยความลังเลว่าโทรศัพท์เหล่านั้นมีมัลแวร์ฝังมาแต่แรกหรือไม่ ขณะที่สื่อทุกรายที่ได้รับการติดต่อตัดสินใจที่จะไม่ทำเรื่องดังกล่าวหลังจากที่ McAfee [...]

เคอร์เนลลินุกซ์จาก Allwinner สำหรับชิปรุ่น H3, A83T, และ H8 โดยเปิดไฟล์ /proc/sunxi_debug/sunxi_debug เอาไว้ และเมื่อโปรแกรมใดๆ ส่งข้อความ rootmydevice เข้าไปในไฟล์นี้ก็จะได้สิทธิ root ในทันที ทางทีมพัฒนา Armbian ระบุว่าช่องโหว่นี้ถูกพูดถึงใน IRC ของนักพัฒนาเมื่อสองวันก่อน และทาง Armbian ก็รีบออกรุ่น 5.10 เพื่ออุดช่องโหว่นี้ ชิปทั้งสามรุ่นได้รับความนิยมในหมู่ผู้ผลิตบอร์ดจีนอย่างกว้างขวาง บอร์ดที่ได้รับผลกระทบเช่น FriendlyARM, Orange Pi, Banana Pi, Cubietruck+, pcDuino8 Uno ล่าสุดทาง FriendlyARM ออกแพตช์สำหรับช่องโหว่นี้มาแล้ว ที่มา – The Register, Armbian Topics:  AllWinner China Linux Security

Hacking Team บริษัทขายช่องโหว่คอมพิวเตอร์สำเร็จรูปที่ทำให้หน่วยงานรัฐทั่วโลกสามารถเจาะเจ้าไปยังคอมพิวเตอร์และโทรศัพท์มือถือของเป้าหมายได้โดยง่ายถูกแฮกเมื่อปีที่แล้ว จนข้อมูลกว่า 500GB ถูกเผยแพร่ต่อสาธารณะ ตอนนี้แฮกเกอร์ที่เรียกตัวเองว่า Phineas Fisher ก็ออกมาอ้างความรับผิดชอบและเขียนถึงกระบวนการที่เขาดาวน์โหลดข้อมูลภายในทั้งหมดออกมา เอกสารระบุว่าโครงสร้างคอมพิวเตอร์ของ Hacking Team นั้นดีพอสมควร หน้าเว็บหลักเป็น Joomla ที่ไม่พบช่องโหว่ร้ายแรงใดๆ ส่วนเซิร์ฟเวอร์ที่ลูกค้าเชื่อมต่อเข้ามานั้นก็ต้องการใบรับรองฝั่งไคลเอนต์เพื่อเชื่อมต่อ และอีเมลเซิร์ฟเวอร์ อย่างไรก็ตามเขาสามารถเข้าถึงเซิร์ฟเวอร์เครื่องหนึ่งได้แต่ขอไม่บอกว่าทำได้อย่างไรเพราะช่องโหว่ยังไม่เปิดเผยต่อสาธารณะ แต่เขาสามารถเข้าถึง root ของเซิร์ฟเวอร์เครื่องหนึ่งในที่สุด และพบเซิร์ฟเวอร์ MongoDB เปิดอยู่ ภายในมีวิดีโอและเสียงที่เก็บมาจากการแฮกรวมถึงเสียงของพนักงานด้วยกันเอง หลังจากนั้นเขาพบดิสก์แบบ iSCSI อยู่ในเครือข่ายและสามารถ mount เข้ามาดูไฟล์ได้ภายในมีแบคอัพของ Domain Administrator อยู่ทำให้เขาเข้าถึงเครื่องได้แทบทั้งหมด แต่เขาก็ตัดสินใจดาวน์โหลดอีเมลก่อน เพราะเสียงว่าหากถูกจับได้ ช่องโหว่ของเขาจะถูกปิดไป แล้วจึงดาวน์โหลดซอร์สโค้ดซึ่งใช้เวลาอีกหลายสัปดาห์ Phineas ระบุแรงจูงใจที่แฮก Hacking Team ว่าบริษัทนี้ละเมิดสิทธิมนุษยชน และระบุว่าการแฮกมีความสวยงามที่ความพยายามเพียงร้อยชั่วโมงทำงาน สามารถทำลายงานนับปีคิดเป็นมูลค่าหลายล้านดอลลาร์ของบริษัทหนึ่งลงได้ ที่มา – Motherboard, Pastebin Topics:  Hacking Team Hacking

 Page 1 of 18  1  2  3  4  5 » ...  Last »