ปัญหาช่องโหว่ของ Java กลายมาเป็นภัยคุกคามต่อผู้ใช้เข้าจริงๆ แล้ว โดยบริษัทความปลอดภัยหลายแห่งตรวจพบว่ามีการปลอมอีเมลจากไมโครซอฟท์ (ซึ่งไมโครซอฟท์เพิ่งส่งอีเมลปรับนโยบายการใช้งานออกมาจริงๆ หลายคนแถวนี้คงได้รับ) แต่เปลี่ยนลิงก์เป็นเว็บไซต์ประสงค์ร้ายแทน
By: pe3z 
on 3 September 2012 - 16:30
Tags:
ในช่วงนี้ค่อนข้างจะมีการผุดขึ้นมาของกลุ่มแฮ็กเกอร์ใหม่ๆ เป็นจำนวนมาก ดังนั้นผมจึงจะขอแจ้งให้ทราบก่อนว่าผมจะเขียนเฉพาะข่าวที่ผู้อ่านส่วนมากได้รับผลกระทบนะครับ นอกนั้นจะขอยกเว้นครับ
สำหรับข่าวนี้เป็นผลงานของกลุ่มแฮ็กเกอร์ที่เรียกตัวเองว่า NullCrew เหยื่อของการโจมตีนี้ได้แก่เว็บไซต์หลักของ Sony Mobile ซึ่งได้ถูกเจาะเข้าไปและขโมยฐานข้อมูลของลูกค้าบางส่วนออกมาเผยแพร่สู่สาธารณะ โดยผู้โจมตีนั้นยังได้อ้างว่านี่เป็นเพียงหนึ่งจากแปดเซิร์ฟเวอร์ของ Sony ที่ถูกแฮ็ก และได้แอบใบ้ด้วยว่าอาจจะอยู่ในช่วงหมายเลขไอพีใกล้ๆ กันก็เป็นได้
หลังจากเมื่อวานที่ผมได้เขียนข่าวออราเคิลออกแพตซ์ด้านความปลอดภัยให้กับจาวาแล้วเป็นเวอร์ชัน 7 อัพเดตที่ 7 บริษัทด้านความปลอดภัย Security Explorations สัญชาติโปแลนด์ก็ได้ประกาศเกี่ยวกับช่องโหว่เพิ่มเติมที่ยังไม่ได้ถูกแก้บนแพตซ์ล่าสุด ซึ่งส่งผลให้ผู้โจมตีสามารถข้ามผ่านระบบ sandbox ของจาวาแล้วทำการรันโค้ดที่เป็นอันตรายได้
ข่าวดีก็คือช่องโหว่นี้ยังไม่ได้ใช้เพื่อโจมตีจริงจึงยังไม่ได้รับการเปิดเผยออกสู่สาธารณะ ซึ่งในขณะนี้ทางผู้ค้นพบก็ได้ส่งรายละเอียดช่องโหว่ทั้งหมดให้กับทางออราเคิลเพื่อแก้ไขแล้ว แต่คำแนะนำจากผู้เชี่ยวชาญทางด้านความปลอดภัยก็ยังเน้นย้ำให้ปิดการใช้งานจาวาเพื่อความปลอดภัยอยู่
หลังจากประเด็นที่ออราเคิลไม่ยอมออกแพตซ์ด้านความปลอดภัยให้กับจาวา ล่าสุดทางออราเคิลได้ยอมปล่อยจาวาเวอร์ชันที่ 7 อัพเดตที่ 7 แล้วเพื่อแก้ปัญหาด้านความปลอดภัยโดยเฉพาะ และยังครอบคลุมไปถึงช่องโหว่อื่นที่ไม่ได้เป็นข่าวจากการโจมตีโดยแฮกเกอร์จีนด้วย
นักวิจัยด้านความปลอดภัยจาก Immunity ได้กล่าวเกี่ยวกับช่องโหว่นี้ จากการรันเพื่อทดสอบพบช่องโหว่จากเดิม 2 ช่องโหว่ยังพบว่ามีอีก 2 ช่องโหว่ใหม่ แต่ทั้งหมดนี้ได้รับการแพตซ์ในเวอร์ชันนี้เป็นที่เรียบร้อยแล้ว
อย่าลืมไปอัพเดตเพื่อความปลอดภัยกันนะครับ
- Read more about ออราเคิลออกแพตซ์ด้านความปลอดภัยให้กับจาวาแล้ว
- 20 comments
- Log in or register to post comments
กลายเป็นประเด็นบานปลายไปเรื่อยๆ กับกรณีที่บริษัทด้านความปลอดภัยหลายแห่งแนะนำให้เลิกใช้ Java ด้วยปัญหาทางด้านความปลอดภัย จากช่องโหว่ที่ออราเคิลละเลยมากว่าครึ่งปี ตอนนี้แม้แต่ Mozilla ผู้พัฒนาเบราว์เซอร์ชื่อดังอย่าง Firefox ก็มีท่าทีคล้อยตามแล้ว
โดย Mozilla ออกมาบอกว่าผู้ใช้ที่รันปลั๊กอิน Java 1.7 นั้นมีความเสี่ยงจะถูกโจมตีจากช่องโหว่ดังกล่าว และแนะนำให้ปิดมันซะ พร้อมกับสอนวิธีการปิดมาด้วย
จากที่ก่อนหน้านี้บริษัทความปลอดภัยคอมพิวเตอร์หลายบริษัทออกมาแนะนำให้ผู้ใช้ปิดจาวาหรือถอดมันทิ้งไป บริษัท Security Explorations ก็ออกมาเปิดเผยรายละเอียดของคำแนะนำนี้ว่ามีที่มาจากบั๊กความปลอดภัยมากถึง 31 จุด ที่รายงานไปถึงออราเคิลตั้งแต่เดือนเมษายน และจนตอนนี้ได้รับการแก้ไขไปเพียง 2 จุด
รอบการแพตซ์จาวาของออราเคิล นั้นมีสามรอบต่อปี และรอบต่อไปคือเดือนตุลาคมปีนี้ ทางออราเคิลได้ตอบกลับทาง Security Explorations ว่าจะมีการแก้ไขปัญหา "บางส่วน" ส่วนที่เหลือต้องรอเดือนกุมภาพันธ์ปีหน้า
TheNextWeb ได้เขียนรายงานเชิงสรุปว่าหลาย ๆ บริษัทรักษาความปลอดภัยคอมพิวเตอร์หลายรายได้แนะนำให้ผู้ใช้ปิด Java ทิ้งหรือไม่ก็เลิกใช้มันไปเลยเพื่อความปลอดภัย หลังจากก่อนหน้านี้ที่ไมโครซอฟท์ได้เคยบอกให้ผู้ใช้ของตัวเองอัพเดต Java เป็นเวอร์ชันล่าสุดหรือไม่ก็ลบมันทิ้งเสีย
คำเตือนทั้งหมดนี้ออกมาหลังจากที่ Oracle ยังไม่ยอมปล่อยอัพเดตเพื่อปิดช่องโหว่ของ Java 7 (เวอร์ชัน 1.7) บนทุกแพลตฟอร์ม ที่เปิดช่องให้การโจมตีประเภท remote access tool (RAT) ติดตั้งตัวเองบนเครื่องลูกข่ายได้ และทุกเบราว์เซอร์ที่มีปลั๊กอินของ Java ก็ถือว่าเป็นกลุ่มเสี่ยงที่อาจตกเป็นเป้าของการโจมตีนี้
- Read more about บริษัทความปลอดภัยหลายรายแนะนำให้ผู้ใช้เลิกใช้ Java
- 20 comments
- Log in or register to post comments
ต่อเนื่องจากข่าว Dropbox ออกมายอมรับว่าถูกแฮก พร้อมพัฒนาระบบ Two-step verification ในชื่อ Two-factor ที่ต้องการยืนยันตัวจากผู้ใช้มากกว่าแค่การล็อกอินเพียงอย่างเดียว ตอนนี้ระบบที่ว่าเปิดให้ใช้งานได้แล้วครับ
วิธีการเปิดใช้งานระบบดังกล่าว ก่อนอื่นต้องลงตัว client บนเดสก์ท็อปรุ่น beta ตัวใหม่เสียก่อน (ดาวน์โหลดที่นี่) หลังจากนั้นจึงเข้าไปเปิดใช้ได้จากหน้า Settings > Security และเลือกเปิดใช้งาน (เข้าได้จากที่นี่)
- Read more about Dropbox เปิดให้ใช้ระบบ Two-step verification แล้ว
- 4 comments
- Log in or register to post comments
วันนี้คุณพูนสุข พูนสุขเจริญ หนึ่งในทีมทนายของคุณอำพล (อากง SMS) ได้โพสเอกสารความเห็นในคดีของคุณอำพล มันเป็นเอกสารที่เตรียมไว้สำหรับการยื่นอุทธรณ์ พร้อมกับเตรียมให้ผู้เชี่ยวชาญจาก Security Research Labs (SR Labs) มาขึ้นศาลเป็นพยานแต่สุดท้ายคุณอำพลตัดสินใจไม่ยื่นอุทธรณ์เพื่อขออภัยโทษแทน
เอกสารฉบับนี้ออกโดยดร. Karsten Nohl หัวหน้านักวิทยาศาสตร์ของบริษัท สำหรับ SR Labs นี้เป็นบริษัทที่นำเสนองานวิจัยเรื่องการปลอมแปลงหมายเลขโทรศัพท์เพื่อส่ง SMS ในยุโรป ที่งาน 29C3 เมื่อปลายปีที่แล้ว
นับตั้งแต่มัลแวร์ Flame หลุดออกมาสู่อินเทอร์เน็ต วงการความปลอดภัยคอมพิวเตอร์ก็เปลี่ยนไปจากที่เคยต้องระวังภัยของแฮกเกอร์รายบุคคลที่มุ่งสร้างความเสียหายแบบไม่เจาะจง และมักใช้ช่องโหว่เพียงหนึ่งหรือสองอย่างเพื่อสร้างไวรัสมาเป็นการต่อสู่กับหน่วยงานขนาดใหญ่ที่มีการวางแผนรัดกุม มีกระบวนการพัฒนาไวรัสเป็นระบบ โดยตัวล่าสุดคือมัลแวร์ Gauss ที่เชื่อกันว่าพัฒนาโดยทีมที่มีความเกี่ยวข้องกับทีมพัฒนา Flame
บริษัทความปลอดภัย McAfee (ปัจจุบันเป็นบริษัทลูกของอินเทล) ออกซอฟต์แวร์ McAfee Mobile Security เวอร์ชันใหม่บน Android โดยเพิ่มฟีเจอร์สำคัญคือการป้องกันข้อมูลส่วนตัวของผู้ใช้ จากกรณีที่แอพต่างๆ แอบส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของผู้สร้าง
เทคโนโลยีของ McAfee เรียกว่า App Alert จะคอยเช็ค URL ที่แอพติดต่อด้วยกับฐานข้อมูลของ McAfee เพื่อดูว่าเข้าข่ายการแอบส่งข้อมูลกลับโดยไม่ขออนุญาตหรือไม่ ซึ่ง McAfee โฆษณาว่าช่วยให้ผู้ใช้รับทราบว่าข้อมูลของตัวเองยังอยู่ดีหรือเปล่า และระบบแจ้งเตือนของ McAfee นั้นเข้าใจง่ายกว่าการอ่านคำขอสิทธิอนุญาตของ Android ที่มีมากกว่า 120 แบบ (แถมคนส่วนใหญ่ก็ไม่อ่านกัน)
By: pe3z on 20 August 2012 - 16:50
Tags:
นี่อาจเป็นครั้งแรกของภาพยนตร์ว่าด้วยเรื่องของแฮกเกอร์ซึ่งมีแฮกเกอร์มารับบทเป็นตัวเอกจริงๆ Hackitat เป็นเรื่องราวเกี่ยวกับอุดมการณ์ แรงขับเคลื่อน และเหตุผลของบุคคลที่อยู่เบื้องหลังการโจมตีทางไซเบอร์ที่มีจุดมุ่งหมายทางการเมือง
แนวทางการจ่ายเงินรางวัลเพื่อเรียกให้แฮกเกอร์มาช่วยกันหาบั๊กความปลอดภัยของ Chrome เป็นแนวทางที่กูเกิลใช้ในวงกว้างเป็นรายแรกๆ และประสบความสำเร็จอย่างสูง ในงาน Hack In The Box ที่มาเลเซียปีนี้กูเกิลจึงทำแนวเดิมอีกครั้งในการแข่ง Pwnium 2 โดยแบ่งการบุกรุกเป็นสามระดับ คือ บั๊กของ Chrome อย่างเดียวจ่าย 60,000 ดอลลาร์, บั๊กจาก Chrome ประกอบกับบั๊กของวินโดวส์จ่าย 50,000 ดอลลาร์, และบั๊กจากผู้ผลิตรายอื่นเช่น Flash จ่าย 40,000 ดออลาร์ แต่ทั้งหมดในงานจะจ่ายไม่เกินสองล้านดอลลาร์ ซึ่งคงไม่มีปัญหาอะไร เพราะงานเมื่อต้นปีที่ผ่านมา กูเกิลจ่ายไปเพียง 120,000 ดอลลาร์เท่านั้น
- Read more about กูเกิลตั้งงบ 2 ล้านดอลลาร์สำหรับการแข่งเจาะ Chrome
- 18 comments
- Log in or register to post comments
By: mk 
on 10 August 2012 - 09:52
Tags:
Topics:
Activision Blizzard ออกแถลงการณ์ยืนยันว่าเว็บไซต์ Battle.net ถูกแฮ็กจริง โดยข้อมูลที่หลุดออกไปมีดังนี้
- อีเมลของผู้ใช้ Battle.net ในทุกภูมิภาคของโลกยกเว้นจีน
- ข้อมูลของผู้ใช้ในเซิร์ฟเวอร์ของอเมริกาเหนือ (ซึ่งให้บริการผู้เล่นเกมจากเอเชียตะวันออกเฉียงใต้ด้วย) ได้แก่ รหัสผ่านที่ถูกเข้ารหัสแล้ว คำตอบสำหรับคำถามรีเซ็ตรหัสผ่าน ข้อมูลเกี่ยวข้องกับมือถือและการล็อกอินผ่านโทรศัพท์
Blizzard ประเมินว่าข้อมูลที่หลุดไปไม่เพียงพอต่อการเจาะบัญชีของผู้ใช้ แต่ก็แนะนำให้ผู้ใช้ Battle.net เปลี่ยนรหัสผ่านทันที ส่วนข้อมูลบัตรเครดิตไม่ได้รับผลกระทบใดๆ
รายละเอียดอ่านได้จาก Battle.net
- Read more about Blizzard โดนแฮ็ก ข้อมูลผู้ใช้ Battle.net หลุด
- 20 comments
- Log in or register to post comments
By: mk on 9 August 2012 - 09:01
Tags:
Chrome รวมเอา Flash Player เข้ามาในตัวให้นานแล้ว แต่ที่ผ่านมา Flash ใน Chrome ก็ยังทำงานในฐานะปลั๊กอิน NPAPI ตามปกติ จึงไม่สามารถใช้ฟีเจอร์ด้านความปลอดภัยแบบ sandbox ของ Chrome ได้
สืบเนื่องจากเหตุการณ์นักข่าวของ Gizmodo ถูกขโมยบัญชี iCloud ซึ่ง Wired เปิดเผยต่อมาว่าแฮกเกอร์ใช้วิธีการโทรศัพท์เข้าไปที่แผนกบริการหลังการขายของแอปเปิล โดยตอบคำถามพื้นฐานอีกเล็กน้อยก็สามารถขอรับรหัสผ่านใหม่ได้แล้ว ล่าสุดคุณ Natalie Kerris โฆษกของแอปเปิลก็ชี้แจงมาดังนี้ครับ
จากเรื่องนักข่าว Gizmodo ถูกขโมยบัญชี iCloud ซึ่งขั้นตอนหนึ่งที่ใช้ในการแฮ็กคือ การโทรไปขอเพิ่มหมายเลขบัตรเครดิต (ปลอม) และอีเมลสำรองผ่านทางระบบบริการลูกค้าของ Amazon เพื่อหาเลขรหัสสี่ตัวท้ายของบัตรเครดิตจริง และนำไปใช้รีเซ็ทรหัสผ่านของ iCloud
ทาง Amazon ยังไม่มีการออกมาชี้แจงในเรื่องนี้ แต่ทาง Wired ได้ลองโทรไปทดสอบช่องโหว่นี้และพบว่าไม่สามารถขอเปลี่ยนข้อมูลส่วนตัวทางโทรศัพท์ได้อีกแล้ว
ถึงจะออกแนววัวหายล้อมคอกไปหน่อย แต่อย่างน้อยก็ช่วยให้ลูกค้าสบายใจขึ้นได้บ้าง
ที่มา - Wired
- Read more about Amazon ยกเลิกนโยบายเปลี่ยนข้อมูลส่วนตัวทางโทรศัพท์
- 5 comments
- Log in or register to post comments
เว็บ Wired ได้ออกมารายงานขั้นตอนอย่างละเอียดของแฮกเกอร์ที่ขโมยบัญชี iCloud ของนักข่าว Gizmodo แล้วสั่ง remote wipe ข้อมูลทั้งหมดบน iPhone, iPad และ MacBook Air จนเกลี้ยง จากนั้นก็แฮกเข้าไปในอีเมลและทวิตเตอร์ของนักข่าวคนดังกล่าวต่ออีก
- Read more about นักข่าว Gizmodo โดนขโมยบัญชี iCloud ไปได้อย่างไร
- 70 comments
- Log in or register to post comments
- Read more about บัญชี iCloud ของ Mat Honan ถูกแฮกได้อย่างไร?
- 4 comments
- Log in or register to post comments
เป็นข่าวที่ค่อนข้างใหญ่โตในต่างประเทศครับ เมื่อทวิตเตอร์ของเว็บไซต์ข่าวไอทีชื่อดัง Gizmodo ได้ถูกแฮกเกอร์ที่เรียกตัวเองว่า Clan Vv3 ยึดครองและทำการทวีตเหยียดสีผิวเมื่อวันศุกร์ที่ผ่านมา
ช่วงหลัง Huawei ถูกโจมตีอย่างมากในประเด็นความปลอดภัย นับแต่ซอฟต์แวร์ที่มีปัญหาและไม่ได้แพตซ์อย่างทันท่วงที ไปจนถึงความสัมพันธ์ระหว่างบริษัทกับกองทัพจีน งานนี้ Huawei จึงเลือกเปิดศูนย์ตรวจสอบความปลอดภัย เพื่อไว้ทำงานร่วมกับ GHHQ (Government Communications Headquarters - หน่วยงานข่าวกรองของอังกฤษ) เพื่อให้ตรวจสอบว่าอุปกรณ์ที่ Huawei จะขายให้รัฐบาลอังกฤษนั้นมีความปลอดภัยเพียงพอที่จะใช้ในหน่วยงานได้
Huawei มีอิทธิพลในตลาดสูงขึ้นมากในช่วงหลัง โดยรายได้รวมในปี 2011 นั้นในตลาดโทรคมนาคม (ฝั่งผู้ให้บริการ) สูงเป็นอันดับสองเป็นรองเพียง Ericsson เท่านั้น และแนวโน้มก็ชัดเจนว่า Huawei กำลังจะขึ้นเป็นอันดับหนึ่งในไม่ช้า
ขออนุญาตเขียนข่าวนี้รวมกับข่าวช่องโหว่ในตอนแรกด้วยเลยนะครับ เรื่องมีอยู่ว่าเมื่อช่วงต้นเดือนที่ผ่านมา Dave Airlie วิศวกรซอฟต์แวร์ที่ทำงานอยู่กับ Red Hat ฝ่ายกราฟิก ได้แจ้งช่องโหว่ของไดรเวอร์ NVIDIA บนลินุกซ์ โดยในรายละเอียดบอกว่าเขาไม่ได้เป็นผู้ค้นพบช่องโหว่นี้ แต่เขาได้รับช่องโหว่นี้จากบุคคลนิรนามรายนึงซึ่งอ้างว่าได้ส่งช่องโหว่นี้กับให้ทาง NVIDIA แล้ว แต่ไม่ได้รับการตอบสนองใดๆ เลย บุคคลนิรนามที่ค้นพบช่องโหว่แสดงความต้องการให้ช่องโหว่นี้ได้รับการแพตซ์โดยเร็ว เขาจึงจำเป็นต้องประกาศช่องโหว่นี้ออกสู่สาธารณะ (mailling list)
กลุ่ม Security Development Lifecycle (SDL) ของไมโครซอฟท์ออกเครื่องมือชื่อ Attack Surface Analyzer 1.0 หน้าที่ของมันก็ตามชื่อครับ เอาไว้สแกนดูว่าระบบคอมพิวเตอร์ที่เป็นวินโดวส์ของเรามีช่องโหว่อะไรบ้างที่อาจเป็นอันตรายต่อการโจมตีจากข้างนอก
Attack Surface Analyzer ออกแบบมาเป็นเครื่องมือช่วยเหลือแอดมินระบบคอมพิวเตอร์ขององค์กร และนักพัฒนาซอฟต์แวร์ที่จะทดสอบดูว่า หลังติดตั้งซอฟต์แวร์ตัวใดตัวหนึ่งลงไปบนวินโดวส์แล้ว ระบบมีช่องโหว่อะไรเพิ่มขึ้นมาบ้าง ช่วยให้กระบวนการพัฒนาซอฟต์แวร์อย่างปลอดภัยทำได้ง่ายขึ้น
- Read more about ไมโครซอฟท์ออกเครื่องมือสแกนหาช่องโหว่บนวินโดวส์
- 5 comments
- Log in or register to post comments
Huawei เป็นแบรนด์ที่จีนที่เริ่มบุกตลาดระดับผู้ให้บริการได้มากขึ้นเรื่อยๆ จากการตัดราคาคู่แข่งอย่างหนักในช่วงหลัง แต่ที่งาน DefCon นักวิจัยด้านความปลอดภัย Felix Lindner ก็ขึ้นเวทีชำแหละปัญหาความปลอดภัยของสินค้า Huawei ทีละจุดอย่างมาก
การนำเสนอของ Felix (PDF) ไล่ประเด็นนับแต่กระบวนการจัดการกับปัญหาความปลอดภัย โดยเขาชี้ว่า Huawei ไม่มีการรายงานและคำแนะนำด้านความปลอดภัยออกมาสู่สาธารณะ ไม่มีการอัพเดตตามรายการคำแนะนำความปลอดภัยเหล่านั้น โดยลูกค้าต้องติดต่อเป็นกรณีไปเพื่อขออัพเดตด้านความปลอดภัย
LastPass บริการด้านการจัดการรหัสผ่านเพิ่มฟีเจอร์ด้านความปลอดภัยใหม่ โดยฟีเจอร์แรกนั้นคือการที่ผู้ใช้งานสามารถเลือกได้ว่าจะยินยอมให้มีการล็อกอินผ่าน Tor หรือไม่ โดยทาง LastPass อ้างว่า Tor นั้นเต็มไปด้วยแฮกเกอร์และการกระทำที่ผิดกฎหมาย และผู้ใช้งานเองก็ไม่น่าจะมีความจำเป็นอะไรที่จะใช้งานผ่าน Tor ซึ่งฟีเจอร์ถูกตั้งให้ไม่ทำงานเป็นค่าเริ่มต้น แต่หากผู้ใช้งานไม่ได้ล็อกอินนานเกิน 30 วัน ฟีเจอร์นี้ก็จะถูกเปิดใช้งานอัตโนมัติ
