คลังเก็บป้ายกำกับ: SECURITY

Mirai สายพันธ์ใหม่ เน้นการโจมตีแบบ DDoS สร้างทราฟิกสูงถึง 37,000 ครั้งต่อวินาที

ปีที่แล้วมัลแวร์ชื่อ Mirai ถูกค้นพบ และก็สะเทือนวงการไปทั่ว ครั้งนี้นี้มันมาอีกแล้วเป็น Mirai สายพันธ์ใหม่ ที่เปิดตัวการโจมตี DDoS แก่สถาบันการศึกษาของอเมริกาล่าสุด

นักวิจัยจาก Imperva Incapsula บอกว่าการโจมตีของ Mirai นั้นเกิดขึ้นมากเกือบเดือน ในช่วงวันที่ 28 กุมภาพันธ์ที่ผ่านมา และตอนนี้ก็พบว่ามีตัวใหม่ออกมาอีก พวกเขายังเชื่อว่า Mirai สายพันธ์ใหม่นี้มีความเชี่ยวชาญมากขึ้น การโจมตีของมันสามารถสร้างทราฟฟิกเฉลี่ยที่ประมาณ 30,000 RPS (Requests Per Second) และช่วงที่หนักที่สุดคือ 37,000 RPS หนักมากทีเดียว ! ซึ่งเขารายงานว่าการโจมตีครั้งนี้สร้างรีเควสท์ไปแล้วกว่า 2,800 ล้านครั้ง

พวกเขาตั้งข้อสังเกตุว่ามันมีการสร้างพูลของการโจมตีด้วยอาศัยอุปกรณ์ IoT ต่างๆ ที่ Mirai มันเข้าไป ไม่ว่าจะเป็นอุปกรณ์ DVRs, Router, และกล้อง CCTV สำหรับทราฟฟิกที่เกิดขึ้นมาจากทราฟิก IP ต้นทางกว่ 9,793 แห่งจากทั่วโลก โดยกว่า 70% ของบอตเน็ตพวกนี้มาจากทั้ง อเมริกา, ไต้หวัน, อินเดีย, ตุรกี, รัสเซีย, อิตาลี, เม็กซิโก เป็นต้น

ที่มา : https://www.hackread.com/mirai-variant-launched-54-hour-ddos-attack-on-us-college/

from:https://www.enterpriseitpro.net/?p=6118

Advertisements

Mastercard ซื้อกิจการ NuData Security เสริมระบบการป้องกันภัยที่อาจจะมาจาก IoT

Mastercard ได้กล่าวว่าเตรียมเข้าซื้อกิจการของ NuData Security ซึ่งเป็นบริษัทที่มุ่งเน้นด้านความปลอดภัยในการตรวจสอบการฉ้อโกงทางระบบออนไลน์และโมบายล์ ผ่านระบบไบโอเมตริก สำหรับดิลนี้ยังไม่เปิดเผยตัวเลขให้ได้ทราบ

Mastercard บอกว่าผลิตภัณฑ์ของ NuData จะสามารถอินทริเกรตเข้ากับเทคโนโลยีการบริหารจัดการะบบการฉ้อโกงและความปลอดภัยของเขาได้เป็นอย่างดี ซึ่งจะสร้างระบบการจ่ายและชำระเงินที่เป็นสิ่งสำคัญในยุคอินเทอร์เน็ต ออฟ ธิงส์ และอุปกรณ์สมาร์ทดีไวซ์ที่ปลอดภัย

สำหรับผลิตภัณฑ์ของ NuData ที่เป็นเรือธงของพวกเขาก็คือ NuDetect ซึ่งเป็นระบบระบุตัวตนยูสเซอร์จริงๆ ผ่านทางระบบอินเตอร์แอคชั่น ทั้งออนไลน์และโมบายล์และสมาร์ทโฟน โดย NuData จะใช้ข้อมูลเหล่านี้เพื่อตรวจดูคะแนะนความเสี่ยงของบุคคล หรือของธุรกรรมทางการเงินได้

ที่มา : http://www.zdnet.com/article/mastercard-buys-nudata-security-aims-to-beef-up-iot-payment-security/

from:https://www.enterpriseitpro.net/?p=6113

FBI เตือน หน่วยงานทางด้านสาธารณสุขอาจถูกโจมตีทาง FTP Server

FBI ได้ออกมาเตือนถึงอาชญากรรมไซเบอร์ในปัจจุบันที่มุ่งเน้นการเข้าถึงข้อมูลทางการแพทย์ที่วางอยู่บนระบบ File Transfer Protocol (FTP) Server

Credit: ShutterStock.com

 

ระบบ FTP Server ที่ไม่ปลอดภัยนี้จะเปิดให้เหล่าอาชญากรไซเบอร์สามารถเข้าถึงข้อมูลส่วนตัวของผู้ป่วยเพื่อนำไปใช้ในการข่มขู่หรือวัตถุประสงค์อื่นๆ ได้ โดยเฉพาะอย่างยิ่ง FTP Server ที่เปิดให้มีการเข้าถึงได้ผ่านทางผู้ใช้งานแบบ anonymous

นอกจากนี้ในรายงาน FTP: The Forgotten Cloud ของ University of Michigan ที่เผยแพร่ออกมาเมื่อปี 2015 นั้น ก็ได้ระบุว่ามี FTP Server เกินกว่า 1 ล้านเครื่องที่ถูกตั้งค่าอย่างไม่ปลอดภัย และเปิดให้ผู้ใช้งานแบบ anonymous สามารถเข้าถึงข้อมูลสำคัญที่ถูกจัดเก็บอยู่ได้ อีกทั้งยังสามารถใช้ FTP Server เหล่านี้เป็นฐานในการจัดเก็บเครื่องมือสำหรับใช้ในการโจมตี เพื่อใช้โจมตีผู้ใช้งานรายอื่นๆ ต่อไปได้อีกด้วย

FBI ออกมาเตือนในครั้งนี้ได้มุ่งเน้นไปที่ระบบทางการแพทย์ที่มักจะมีความล้าสมัยโดยเฉพาะ เพื่อไม่ให้ข้อมูลส่วนตัวสำคัญของผู้ป่วยนั้นหลุดออกไปยังเหล่าผู้ไม่ประสงค์ดีนั่นเอง แต่ในความเป็นจริงแล้วการป้องกัน FTP Server ให้มีความมั่นคงปลอดภัยนั้นก็ถือเป็นสิ่งที่ควรจะทำในทุกๆ ธุรกิจและทุกๆ อุตสาหกรรมอยู่แล้ว

 

ที่มา: https://www.infosecurity-magazine.com/news/fbi-warns-on-ftp-attacks/

from:https://www.techtalkthai.com/fbi-warns-about-ftp-server-attack-in-healthcare-industry/

Apple ออกอัปเดตล่าสุด อุดช่องโหว่กว่า 223 รายการบน macOS, iOS, Safari, watchOS และ tvOS

เวลา Apple ออกอัปเดตอะไรเรามักจะสนใจ Feature ใหม่ๆ กันเป็นหลัก แต่อัปเดตล่าสุดของ Apple นี้ก็ได้อุดช่องโหว่ด้านความมั่นคงปลอดภัยไปกว่า 223 รายการ บนทั้ง macOS, iOS, Safari, watchOS และ tvOS ไปเรียบร้อย

Credit:alexmillos/ShutterStock

 

ในบรรดาช่องโหว่เหล่านี้ กว่า 70 รายการนั้นเป็นช่องโหว่ที่เปิดให้โจมตีด้วยการทำ Code Execution ซึ่งอาจนำไปสู่การยกระดับสิทธิ์ของผู้โจมตีให้กลายเป็น Root ได้ และใในช่องโหว่ที่อุดในครั้งนี้ก็มีหลายช่องโหว่ที่ถูกรายงานเข้ามาจากเหล่านักวิจัยทางด้านความปลอดภัยหลากหลายค่าย ไม่ว่าจะเป็น Google Project Zeor, Cisco Talos และอื่นๆ โดยช่องโหว่ความรุนแรงระดับสูงสุดที่ Tencent Security และ Qihoo 360 ได้ออกมาเปิดเผยเมื่อ 3 สัปดาห์ก่อนนั้นก็ยังไม่ได้รับการ Patch แต่อย่างใด และในงานแข่ง Pwn2Own นั้น Apple ก็มักจะตกเป็นเป้าของการโจมตีบ่อยๆ ด้วยเช่นกัน

สำหรับเหล่าผู้ใช้ Apple การให้ความสำคัญกับการอัปเดตเพื่อเพิ่มความมั่นคงปลอดภัยให้กับการใช้งานของตน ก็ถือเป็นอีกเรื่องที่ควรพิจารณาอย่างจริงจังกันด้วยแล้วในเวลานี้

 

ที่มา: https://threatpost.com/apple-fixes-223-vulnerabilities-across-macos-ios-safari/124599/

from:https://www.techtalkthai.com/apple-releases-new-update-for-223-vulnerabilities/

สาเหตุที่ Chrome 57 ไม่โชว์ Green Bar สำหรับเว็บไซต์หลายแห่งที่ใช้ใบรับรองแบบ EV

สืบเนื่องจากประเด็นระหว่างกูเกิลกับไซแมนเทคเกี่ยวกับการออกใบรับรองดิจิตอลที่ไม่เป็นไปตามมาตรฐานมาเป็นเวลานาน (ทั้งที่ออกโดยไซแมนเทคเองและที่ออกโดย (อดีต) ตัวแทนของไซแมนเทค) ซึ่งทำให้กูเกิลได้เตรียมมาตรการเพื่อปกป้องผู้ใช้งานเว็บเบราว์เซอร์ Chrome เอาไว้แล้วนั้น ได้พบว่าการยกเลิกการแสดงสถานะ EV หรือที่เรียกกันว่าแถบ Green Bar ซึ่งเป็นหนึ่งในมาตรการที่กูเกิลได้เตรียมที่จะนำมาใช้นั้นเหมือนจะได้มีผลบังคับใช้ไปแล้วทั้งที่ยังไม่ถึงกำหนดเวลา โดยเฉพาะเว็บธนาคารในไทยซึ่งส่วนใหญ่จะใช้ใบรับรองแบบ EV ที่ออกโดยไซแมนเทคนั้น มีหลายเว็บที่พบว่าแถบ Green Bar ดังกล่าวได้หายไปแล้ว แต่ของบางเว็บก็ยังคงมีอยู่ ทำให้เกิดความสับสนว่านี่เป็นการเริ่มต้นแล้วของมาตรการการดังกล่าวของกูเกิลใช่หรือไม่

ซึ่งแท้จริงแล้วนั้นปัญหานี้เป็นปัญหาซึ่งไม่เกี่ยวข้องกันกับมาตรการข้างต้นที่กูเกิลได้เตรียมที่จะนำมาใช้ ปัญหานี้เป็นสิ่งที่ได้เกิดขึ้นมาก่อนแล้วเพียงแต่บังเอิญว่าเพิ่งได้มีการค้นพบในช่วงเวลาที่มาตรการนี้ออกมา (แต่ยังไม่มีผลบังคับใช้) พอดี โดยสาเหตุของปัญหาดังกล่าวนี้นั้นได้ถูกเปิดเผยโดยกูเกิลเองว่าเกิดจากการเรียง OID ผิดของใบรับรอง EV ที่ออกโดยไซแมนเทค โดย OID นี้จะอยู่ในส่วนของ X509 Certificate Policies ภายในใบรับรองเอง และจะเป็นตัวที่เบราว์เซอร์ใช้ในการตัดสินใจว่าจะขึ้นสถานะ EV ให้หรือไม่ โดย OID ที่ได้ผ่านการรับรองว่าเป็น EV นั้นอยู่มีเพียงไม่กี่ตัวเท่านั้น โดยแต่ละ CA จะมีกันเพียงคนละตัว หรือบางรายอาจมีถึงสองตัว และไม่ใช่ว่า CA ทุกเจ้าจะมี OID ที่เป็น EV นี้กันหมด ซึ่ง OID ที่เป็น EV ของไซแมนเทคนั้นก็คือ

2.16.840.1.113733.1.7.23.6 (VeriSign)
2.16.840.1.113733.1.7.48.1 (Thawte)
1.3.6.1.4.1.14370.1.6 (GeoTrust)

แต่ใบรับรอง EV ที่ออกโดยไซแมนเทคที่ใช้ root CA ของ VeriSign ในการรับรองนั้นได้มีการใส่ OID พิเศษเพิ่มเข้ามาคือ 2.23.140.1.1 ซึ่งปัญหาจะไม่เกิดถ้ามันไม่ใช่ตัวแรกในลิสต์ของ Certificate Policies ปัญหาเกิดขึ้น (สำหรับ Chrome 57 บน Windows และ Linux) เมื่อ OID 2.23.140.1.1 นี้มาแทรกอยู่ก่อน OID 2.16.840.1.113733.1.7.23.6 ใน Certificate Policies เพราะทำให้ Chrome คิดว่าใบรับรองนี้ไม่ใช่ใบรับรอง EV นั่นคือ Chrome จะเช็ค OID แรกเพียงตัวเดียว ในขณะที่เบราว์เซอร์ตัวอื่นเช่น Firefox อาจเช็คทุกตัวเพื่อหาดูว่าในลิสต์มี OID แบบ EV หรือเปล่า ถ้ามีก็จะโชว์ว่าเป็น EV ไม่ว่า OID ที่เป็น EV นั้นจะอยู่ลำดับใด

ซึ่งประเด็นนี้อาจเกิดการถกเถียงกันว่าใครผิด บางคนอาจมองว่า Chrome ผิดที่ไม่เช็คทุกๆ OID ในลิสต์แบบ Firefox แต่บางคนอาจมองว่าไซแมนเทคผิดที่ไม่เรียง OID หลักที่เป็น EV ขึ้นมาเป็น OID แรก (ในใบรับรองกลุ่มที่มีปัญหากับ Chrome) และไซแมนเทคผิดที่มีการะบวนการสร้างใบรับรองที่เหมือนมีสองมาตรฐาน คือมาตรฐานนึงเอา 2.16.840.1.113733.1.7.23.6 ขึ้นก่อนแล้วเอา 2.23.140.1.1 ตามหลัง แต่อีกมาตรฐานนึงดันเอา 2.23.140.1.1 มาขึ้นก่อนแล้วเอา 2.16.840.1.113733.1.7.23.6 ตามหลัง ซึ่งเป็นเรื่องที่ไม่มี consistency เอาเสียเลย พอๆกับการออกใบรับรองในภาพรวมที่ไม่ได้มาตรฐานนั่นเอง

สรุปว่าปัญหานี้เกิดเฉพาะกับ Chrome 57 (ไม่นับตัว Beta ซึ่งเป็น Chrome 58 และตัว Dev กับ Canary ซึ่งเป็น Chrome 59 ซึ่งทั้งหมดนี้ยังไม่ได้ทำการทดสอบ) และน่าจะเกิดเฉพาะบน Windows และ Linux แต่อาจไม่เกิดบน Mac และเกิดเฉพาะกับใบรับรอง EV ที่มี OID ที่ไม่ใช่ EV OID นำหน้าเป็นตัวแรก เช่นถ้าเป็นของไซแมนเทคที่ใช้ CA ของ VeriSign ก็ต้องให้ 2.16.840.1.113733.1.7.23.6 ขึ้นก่อน วิธีแก้ไขที่เร็วที่สุดน่าจะเป็นการขอออกใบรับรองใหม่ซึ่งน่าจะทำได้ทันทีจากทางฝั่งลูกค้าที่เจอปัญหานี้ หากออกใบใหม่แล้วยังเป็นเหมือนเดิมก็อาจต้องคุยกับทาง CA โดยอาจยกตัวอย่างใบรับรองที่ไม่มีปัญหาประกอบไป ซึ่งถ้าเป็นเว็บธนาคารในไทยที่ดังๆที่ไม่มีปัญหาก็เช่น KTB netbank, KK Biz e-Banking, ธนาคารแห่งประเทศไทย เป็นต้น ส่วนที่มีปัญหาก็เช่น K-Cyber, Bualuang iBanking, Citibank เป็นต้น

เนื่องจากการไม่โชว์สถานะ EV เป็นเรื่องที่มีผลกับความเชื่อมั่น จึงน่าจะถือได้ว่าเป็นเรื่องที่เร่งด่วนพอสมควรสำหรับเว็บที่มีปัญหา เพราะหากรอให้ Chrome แก้ปัญหานี้ก็คงใช้เวลาพอประมาณ หรือหากจะเปลี่ยน CA ไปเลย (เพราะยังไงๆสุดท้ายก็คงต้องเปลี่ยนอยู่แล้วตอนที่กูเกิลเริ่มใช้มาตรการต่างๆข้างต้นจริงๆ) ก็อาจต้องใช้เวลาอีกเหมือนกัน

หากต้องการเช็คแบบเร็วๆว่าเว็บใดมีปัญหาบ้าง ก็อาจใช้ OpenSSL เช็คผ่าน Command Line ได้แบบนี้

ตัวอย่างของเว็บที่ใช้ใบรับรอง EV แบบที่ไม่มีปัญหากับ Chrome 57

openssl s_client -connect http://www.ktbnetbank.com:443 </dev/null 2>/dev/null | openssl x509 -text | grep -E “Issuer:|Subject:|Poli”

        Issuer: C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 EV SSL CA - G3
        Subject: jurisdictionC = TH, businessCategory = Private Organization, serialNumber = DOC:19940324, C = TH, ST = Bangkok, L = Wattana, O = KRUNG THAI BANK PUBLIC COMPANY LIMITED, OU = KRUNG THAI BANK PUBLIC COMPANY LIMITED, CN = www.ktbnetbank.com
            X509v3 Certificate Policies:
                Policy: 2.16.840.1.113733.1.7.23.6
                Policy: 2.23.140.1.1

ตัวอย่างของเว็บที่ใช้ใบรับรอง EV แบบที่มีปัญหากับ Chrome 57

openssl s_client -connect online.kasikornbankgroup.com:443 </dev/null 2>/dev/null | openssl x509 -text | grep -E “Issuer:|Subject:|Poli”

        Issuer: C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 EV SSL CA - G3
        Subject: jurisdictionC = TH, businessCategory = Private Organization, serialNumber = 0107536000315, C = TH, postalCode = 10140, ST = Bangkok, L = Ratburana, street = 1 Soi Rat Burana 27/1 Rat Burana Rd., O = KASIKORNBANK Public Co Ltd, OU = Retail And Sme E-Business Department, CN = online.kasikornbankgroup.com
            X509v3 Certificate Policies:
                Policy: 2.23.140.1.1
                Policy: 2.16.840.1.113733.1.7.23.6

from:https://www.blognone.com/node/91267

VMware ออก Patch อุดช่องโหว่ความรุนแรงสูงสุดบน ESXi, Workstation, Fusion ที่ถูกเจาะในงาน Pwn2Own แล้ว

VMware ได้ประกาศออก Patch อุดช่องโหว่ในระดับความรุนแรงสูงสุดบนทั้ง VMware ESXi, VMware Workstation และ VMware Fusion ที่ถูกทีม 360 Security จาก Qihoo และทีม Sniper จาก Tencent Security ใช้ในการโจมตีในงานแข่งขัน Pwn2Own ซึ่งจัดโดย Zero Day Intiative (ZDI) เป็นที่เรียบร้อยแล้ว โดยช่องโหว่หลักๆ ที่ได้อุดไปในครั้งนี้แบ่งออกเป็น 3 ส่วนด้วยกัน ได้แก่

 

  • ปัญหา SVGA Memory Corruption บน VMware ESXi, Workstation และ Fusion ที่ทำให้ Guest สั่ง Code Execution บน Host ได้
  • ปัญหา XHCI Uninitialized Memory Usage บน ESXi, Workstation และ Fusion ที่ทำให้ Guest สั่ง Code Execution บน Host ได้
  • ปัญหา Uninitialized Memory Usage บน ESXi, Workstation และ Fusion ที่ทำให้เกิด Information Leak ได้

ผู้ที่สนใจรายละเอียดฉบับเต็มถึงวิธีการ Patch ผลิตภัณฑ์รุ่นต่างๆ สามารถศึกษาได้ที่ http://www.vmware.com/security/advisories/VMSA-2017-0006.html ทันทีครับ

from:https://www.techtalkthai.com/vmware-releases-patches-for-critical-vulnerabilities-on-esxi-workstation-fusion-used-in-pwn2own/

แอปเปิลอัพเดตเอกสารอธิบายความปลอดภัย iOS: อธิบาย ApplePay, TouchID, HomeKit เพิ่มเติม

แอปเปิลอัพเดตเอกสาร iOS Security อธิบายกระบวนการรักษาความมั่นคงปลอดภัยของตัว iOS เองและอุปกรณ์ที่มาเชื่อมต่อรอบข้าง สำหรับผู้ใช้ที่ต้องการรู้ว่าแอปเปิลมีมาตรการรักษาความปลอดภัยข้อมูลและความปลอดภัยผู้ใช้อย่างไรบ้าง

แม้เอกสารไม่ได้ลงรายละเอียดลึก แต่ก็ละเอียดพอที่จะแสดงให้เห็นว่าแอปเปิลทำตามกระบวนการที่ดี (best practice) อย่างไรบ้าง เช่น อุปกรณ์ HomeKit จะสร้างคู่กุญแจใหม่ทุกครั้งที่รีเซ็ตเครื่อง และการเชื่อมต่อกับอุปกรณ์ iOS ใช้การเข้ารหัสแบบ ChaCha20-Poly1305 สำหรับการใช้ TouchID ที่เปิดให้แอปทั่วไปใช้งานได้จะประมวลผลข้อมูลลายนิ้วมือใน Secure Enclave เสมอโดยตัวซีพียูหลักไม่สามารถอ่านข้อมูลได้

นอกจากกระบวนการเข้ารหัสข้อมูล บริการใหม่ๆ เช่น Siri ก็ตรวจสอบสิทธิ์ของแอปพลิเคชั่นที่เข้าใช้งานผ่าน Siri ว่ามีสิทธิ์เข้าถึงข้อมูลต่างๆ หรือไม่ แม้ว่าตัว Siri เองจะอ่านข้อมูลได้อยู่แล้วก็ตาม แต่หากตัวแอปภายนอกที่มาต่อไม่มีสิทธิ์ Siri ก็จะไม่ส่งข้อมูลให้ แต่การส่งเงินหากตัวแอปไม่ได้สิทธิ์อ่านรายชื่อสมุดโทรศัพท์ ก็จะไม่สามารถแปลงชื่อที่เราพูดกับ Siri เป็นข้อมูลเช่นหมายเลขโทรศัพท์

การจ่ายเงินผ่าน Apple Pay บนอุปกรณ์ตัวอื่นนอกจากอุปกรณ์ iOS เอง เช่น Apple Watch จะเข้ารหัสระหว่างตัวอุปกรณ์เสมอ และการจ่ายเงินด้วย Apple Pay บนเครื่องแมคจะมีการยืนยันว่าอุปกรณ์ iOS วางอยู่ใกล้ๆ กับเครื่องแมคจริงๆ โดยใช้ Bluetooth LE เป็นตัวยืนยัน

ที่มา – TechCrunch

alt="upic.me"

Topics: 

from:https://www.blognone.com/node/91262