คลังเก็บป้ายกำกับ: SECURITY

Instagram เตรียมเพิ่มวิธียืนยันตัวตน 2 ปัจจัย ที่ไม่ต้องใช้ SMS

ปัจจุบัน Instagram มีวิธียืนยันตัวตน 2 ปัจจัย (two-factor authentication) เมื่อล็อกอิน โดยเป็นการส่ง SMS รหัสที่สองเป็นวิธีการหลักเพียงวิธีเดียว (อีกวิธีคือสร้างชุดรหัส กรณีไม่สามารถใช้ SMS ได้) ซึ่งแนวทางของหลายเว็บตอนนี้หันมาใช้วิธีการอื่นแทน SMS มากขึ้น

ล่าสุด Instagram ได้ยืนยันว่า กำลังพัฒนาระบบล็อกอิน ในขั้นตอนการยืนยัน 2 ปัจจัยมาใช้วิธีการอื่นแทน SMS เช่นใช้ Google Authenticator หรือ Duo แทน

ที่ผ่านมา Instagram มีการปรับปรุงระบบล็อกอินที่ช้ากว่าเครือข่ายสังคมอื่น อย่าง 2FA ของ Instagram ผ่าน SMS เอง ก็เพิ่งเปิดใช้งานเมื่อปี 2016

ที่มา: TechCrunch

alt="Instagram"

Topics: 

from:https://www.blognone.com/node/103919

Advertisements

แฮ็กเกอร์ขายเอกสารทางทหารของสหรัฐฯ ในเว็บมืดราคาแค่ 200 ดอลลาร์ฯ

แค่มีเงินก็หาได้ทุกอย่างจากเว็บมืด อย่างเมื่อวันก่อนมีรายงานการจำหน่ายลิงค์สำหรับเข้าถึงระบบความปลอดภัยของสนามบินนานาชาติขนาดใหญ่จากระยะไกลด้วยราคาเพียงแค่ 10 ดอลลาร์สหรัฐฯ ซ้ำร้าย ล่าสุดมีรายงานการขายเอกสารความลับของกองทัพอากาศสหรัฐฯ ในเว็บมืดในราคาถูกแค่ 150 -200 ดอลลาร์ฯ

โดยเว็บ Recorded Future รายงานพบแฮ็กเกอร์พยายามโพสต์ขายเอกสารที่เป็นความลับทางราชการเกี่ยวกับโดรนรุ่น MQ-9 Reaper ที่นำมาใช้ในหน่วยงานภาครัฐหลายแห่ง ไม่ว่าจะเป็นกองทัพอากาศ, กองทัพเรือ, หน่วยตรวจคนเข้าเมือง, นาซา, CIA, ไปจนถึงหน่วยงานทางทหารของประเทศอื่น

นอกจากนี้นักวิเคราะห์จาก Insikt Group ได้แอบล่อซื้อและพบว่าเอกสารที่ขายอยู่นั้นเป็นของจริงด้วย และสืบได้ว่าแฮ็กเกอร์ไปดูดข้อมูลนี้จากการเจาะเราเตอร์ยี่ห้อ Netgearที่ฐานทัพอากาศ Creech ซึ่งดันปล่อยการตั้งค่าล็อกอินเข้า FTP สำหรับแชร์ไฟล์เป็นแบบดีฟอลต์ไว้ไม่ยอมแก้รหัสซ้ำร้ายเมื่อตรวจสอบใบเซอร์ดิจิตอลที่พบในข้อมูลที่รั่วออกมานี้ พบว่าเจ้าของเครื่องเป็นกัปตันที่เพิ่งผ่านหลักสูตรด้านความปลอดภัยทางไซเบอร์มาด้วย

ช่องโหว่การยืนยันตนบนเราท์เตอร์ Netgearนี้พบตั้งแต่ช่วงสองปีที่แล้ว แต่จากรายงานของ Recorded Future พบเราท์เตอร์กว่า 4,000 เครื่องที่ยังไม่ยอมอัพเดทเฟิร์มแวร์ใหม่เพื่ออุดช่องโหว่ และนอกจากข้อมูลโดรนนี้แล้ว ยังพบข้อมูลทางทหารที่รั่วอื่นมากมายไม่ว่าจะเป็นคู่มือการใช้รถถัง M1 ABRAMS และเนื้อหาหลักสูตรอบรมพลขับรถถัง เป็นต้น

ที่มา : Hackernews

from:https://www.enterpriseitpro.net/dark-web-military-drone/

นักพัฒนาจาสาคริปต์ตรวจสอบด่วน โมดูลย่อย ESLint ถูกขโมยบัญชี ฝังโค้ดขโมยข้อมูล

นักพัฒนาโมดูลย่อยของโครงการ ESLint ถูกขโมยบัญชีใน npm แล้วฝังโค้ดเข้าไป กระทบ eslint-scope และ eslint-config-eslint ทำให้นักพัฒนารายอื่นๆ ที่ดาวน์โหลดโมดูลนี้ระหว่างวันที่ 11-12 ที่ผ่านมาได้รับโค้ดที่เป็นมัลแวร์ไป

ตัวโค้ดจะดาวน์โหลดโคดจาก pastebin มาอีกทีหนึ่งแล้วรันโค้ดตามนั้นทันที

ตอนนี้คาดว่ามีนักพัฒนาดาวน์โหลดโค้ดในช่วงเวลาดังกล่าวไปประมาณ 4,500 ราย ใครที่ใช้ ESLint ควรตรวจสอบว่าใช้โมดูลย่อยทั้งสองอยู่หรือไม่ และดาวน์เกรดโมดูลลงระหว่างรอทางโครงการปล่อยโมดูลเวอร์ชั่นใหม่ที่ลบโค้ดอันตรายออกแล้ว

ที่มา – Bleeping Computer

Topics: 

from:https://www.blognone.com/node/103912

นักวิจัยสามารถทำการโจมตีแบบ GPS Spoofing ได้สำเร็จกับระบบนำทาง

นักวิจัยจากมหาวิทยาลัย Virgina Tech, มหาวิทยาลัย Electronic Science และ Technology of China และทีมวิจัยของ Microsoft ได้ร่วมกันค้นพบวิธีการโจมตีแบบ GPS Spoofing ที่ทดสอบแล้วว่าสามารถใช้ได้ผลจริงกับระบบนำทางบนถนน

credit : Bleepingcomputer.com

GPS Spoofing ถูกพูดถึงมาหลายปีแล้วแต่ไม่สามารถใช้ได้อย่างเป็นรูปธรรมเพราะมีปัญหาเรื่องทำได้ไม่ตรงกับถนนจริง แต่ทีมนักวิจัยที่ผนึกกำลังกันครั้งนี้ได้คิดค้นวิธีการที่มีประสิทธิภาพมากกว่าเดิมและสังเกตได้ยาก โดยวิธีการนี้ผู้โจมตีสามารถหลอกล่อให้เหยื่อหลงตามไปกับเส้นทางที่ถูกเลือกมาอย่างไม่ถูกต้อง อย่างไรก็ตามสิ่งที่ผู้โจมตีต้องทราบคือจุดหมายปลายทางคร่าวๆ ของเหยื่อและตัวเหยื่อเองต้องไม่ใช่ผู้ที่คุ้นกับเส้นทางในพื้นที่ โดยนักวิจัยได้ใช้ข้อมูลจริงของแท๊กซี่ใน แมนแฮตตัน และ บอสตัน กว่า 600 เส้นทางเพื่อคิดค้นอัลกอริธึมที่สร้างเส้นทางเสมือนที่เลียนแบบรูปร่างของถนนจริง ซึ่งเหมาะกับเมืองที่มีถนนหนาแน่น

วิธีการคือผู้โจมตีจะสร้างสัญญาณ GPS แบบผิดๆ เพื่อพยายามตั้งค่าสุดท้ายให้เข้าใกล้จุดที่ต้องการ (Ghost Location) ระบบนำทางจะมีการคำนวณค่าเส้นทางใหม่ที่นักวิจัยให้ชื่อว่า Ghost Route และแนะเหยื่อไปทีละรอบจนไปจบยังจุดหมายที่ต้องการ นอกจากนี้เพื่อให้สังเกตได้ยาก Ghost Route ถูกสร้างขึ้นจากการเก็บเส้นทางของแท๊กซี่ โดยอัลกอริธึมถูกรันในแต่ละส่วนของถนนเพื่อหา Ghost Location ที่เป็นไปได้ โดยจากการทดสอบมีค่าเฉลี่ยของ Ghost Route ได้ถึง 1,500 ครั้งของการวิ่งแต่ละรอบ ในส่วนหนึ่งของงานวิจัยนั้นกล่าวว่า “อัลกอริธึมจะสร้าง input GPS ไปให้กับอุปกรณ์ปลายทางของเหยื่อและเส้นทางที่ถูกแสดงบนแผนที่จะยังคงตรงกับถนนจริง

นักวิจัยได้ใช้อุปกรณ์ GPS Spoof แบบพกพาราคาประมาณ $223 ดอลล่าร์สหรัฐฯ และมีระยะทางได้ประมาณ 40-50 เมตร ดังนั้นผู้โจมตีสามารถนำไปติดที่รถเหยื่อและติดตามได้จากทางไกล อย่างไรก็ตามจากผู้เข้าทดสอบจำนวน 40 คน (จากจีนและสหรัฐอย่างละครึ่ง) ในระบบจำลองพบว่าวิธีนี้ใช้ได้ผลถึง 95% เลยทีเดียว

ที่มา : https://www.securityweek.com/researchers-stealthily-manipulate-road-navigation-systems และ https://www.bleepingcomputer.com/news/security/researchers-mount-successful-gps-spoofing-attack-against-road-navigation-systems/

from:https://www.techtalkthai.com/researchers-show-gps-spoofing-working-in-practical/

Wireshark ครบรอบ 20 ปีแล้ว

Wireshark หรือชื่อเดิมคือ Ethereal โปรแกรมดักฟังเน็ตเวิร์คและดีบั๊กปัญหาเครือข่ายออกรุ่นแรกคือ Ethereal 0.2.0 เมื่อ 20 ปีก่อน โดย Gerald Combs เนื่องจากเขาทำงานในบริษัทผู้ให้บริการอินเทอร์เน็ต แต่ซอฟต์แวร์วิเคราะห์เครือข่ายกลับมีราคาแพง ทำให้ต้องเขียนขึ้นใหม่ด้วยตัวเอง

Combs เล่าถึงความหลังว่าการทำงานโอเพนซอร์สสมัยนั้นต้องออกเงินกันเอง เพราะไม่มีบริการโฮสต์ซอฟต์แวร์โอเพนซอร์สเช่นทุกวันนี้ หลัง Ethereal ออกรุ่น 0.2.0 ต่อสาธารณะ ในปีเดียวก็ออกรุ่นต่อๆ มาอีก 30 รุ่น โดยเขาทำหน้าที่ควบคุมเวอร์ชั่นด้วยมือ และมีนักพัฒนาจากทั่วโลกช่วยกันส่งแพตช์เข้ามา

โครงการ Wireshark ทุกวันนี้ยังคงเป็นซอฟต์แวร์เสรี แต่ได้รับการสนับสนุนอย่างมากจากบริษัท Riverbed ผู้พัฒนาชุดซอฟต์แวร์ SteelCentral ที่เน้นงานประสิทธิภาพสูง ตัว Combs เองก็ยังทำงานอยู่กับ Riverbed

ที่มา – Wireshark Blog

Topics: 

from:https://www.blognone.com/node/103882

Github เพิ่มภาษา Python ในบริการสแกนช่องโหว่อัตโนมัติ

หลังจากต้นปีที่ผ่านมา Github เปิดบริการสแกนช่องโหว่อัตโนมัติจากโครงการที่มีภาษา Ruby และ Javascript ล่าสุด Github ประกาศเพิ่มภาษา Python เข้าไปเป็นภาษาที่ 3 แล้ว

เช่นเดิม โครงการที่มีภาษา Python และเปิดเป็นสาธารณะจะสามารถเข้าถึง dependency graph พร้อมบริการแจ้งเตือนโดยอัตโนมัติ ส่วนโครงการแบบเสียเงินจะต้องเปิดสิทธิ์ให้ Github เข้าถึง โดยโครงการที่จะใช้ฟีเจอร์นี้ได้จะต้องมีไฟล์ requirements.txt และ Pipfile.lock อยู่ในโครงการด้วย

ที่มา – Github

No Description

Topics: 

from:https://www.blognone.com/node/103872

GitHub ประกาศรองรับการตรวจช่องโหว่ในโค้ดภาษา Python แล้ว

GitHub ได้ออกมาประกาศรองรับการตรวจสอบช่องโหว่ที่ปรากฏบนโค้ดภาษา Python เรียบร้อยแล้ว

 

Credit: GitHub

 

นับตั้งแต่สัปดาห์นี้เป็นต้นไป เหล่านักพัฒนาภาษา Python จะสามารถเข้าถึง Dependency Graph และได้รับการแจ้งเตือนด้าน Security โดยอัตโนมัติเมื่อ Repository ใดๆ ต้องมี Dependency ซึ่งปรากฏช่องโหว่ใหม่ๆ ขึ้นมา

Python นับเป็นภาษาที่ 3 ที่ GitHub รองรับความสามารถดังกล่าว โดยก่อนหน้านี้ GitHub ได้เปิดตัวความสามารถ Security Alert นี้ให้กับโค้ดภาษา Ruby และ JavaScript ไปแล้ว

หลังจากนี้ทาง GitHub ก็จะทำการเพิ่มฐานข้อมูลช่องโหว่ของ Python ให้มากขึ้นเรื่อยๆ และจะติดตาม NVD อย่างต่อเนื่องเพื่อให้สามารถอัปเดตช่องโหว่ใหม่ๆ ให้แก่ Python Package ได้อย่างแม่นยำมากยิ่งขึ้น

ผู้ที่สนใจเปิดใช้งานความสามารถนี้ สามารถศึกษาวิธีการที่ https://help.github.com/articles/about-security-alerts-for-vulnerable-dependencies/ ได้เลยครับ

 

ที่มา: https://www.theregister.co.uk/2018/07/16/github_to_pythonistas_let_us_save_you_from_vulnerable_code/, https://blog.github.com/2018-07-12-security-vulnerability-alerts-for-python/

from:https://www.techtalkthai.com/github-supports-security-alert-for-python/