คลังเก็บป้ายกำกับ: VULNERABILITY

พบช่องโหว่บน PGP และ S/MIME เสี่ยงถูกแอบอ่านเมลที่เข้ารหัส

Sebastian Schinzel อาจารย์ด้านความั่นคงปลอดภัยระบบคอมพิวเตอร์จาก Münster University of Applied Sciences ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงสูง PGP และ S/MIME Encryption Tools เสี่ยงถูกลอบอ่านอีเมลที่เข้ารหัส แม้แต่อีเมลที่เคยส่งไปแล้วในอดีตก็ไม่เว้น

Credit: Chaliya/ShutterStock.com

PGP หรือ Pretty Good Privacy เป็นมาตรฐานการเข้ารหัสข้อมูลแบบ End-to-end แบบ Open-source สำหรับใช้เข้ารหัสอีเมล ซึ่งช่วยให้บุคคลที่สาม ไม่ว่าจะเป็นคนในบริษัท แฮ็กเกอร์ หรือแม้แต่หน่วยงานรัฐก็ไม่สามารถดักฟังข้อมูลในอีเมลได้ ส่วน S/MIME หรือ Secure/Multipurpose Intenet Mail Extensions เป็นเทคโนโลยีวิทยาการรหัสลับแบบ Asymmetric ซึ่งช่วยให้ผู้ใช้สามารถส่งอีเมลแบบเข้ารหัสและลงลายเซ็นต์ดิจิทัลได้

Electronic Frontier Foundation (EFF) ได้ออกมายืนยันถึงช่องโหว่ที่ Schinzel ค้นพบและแนะนำให้ผู้ใช้หยุดใช้โปรแกรม PGP และ S/MIME จนกว่าช่องโหว่จะถูกแพตช์ หรือใช้โปรแกรมอื่นในการเข้ารหัสข้อมูลแทน เช่น Enigmail บน Thunderbird, GPGTools บน Apple Mail หรือ Gpg4win บน Outlook

จนถึงตอนนี้ รายละเอียดเชิงเทคนิคของช่องโหว่ดังกล่าวยังคงไม่ถูกเปิดเผย จึงยังไม่ทราบแน่ชัดว่ามีสาเหตุมาจากอัลกอริธึมที่ใช้เข้ารหัสข้อมูล หรือการทำงานของโปรแกรมกันแน่

ที่มา: https://thehackernews.com/2018/05/pgp-smime-email-encryption.html

from:https://www.techtalkthai.com/pgp-s-mime-flaws-can-reveal-encrypted-emails-in-plaintexts/

Advertisements

IBM สั่งพนักงานทั่วโลก “ห้าม” ใช้อุปกรณ์เก็บข้อมูลแบบพกพาทุกชนิด

Shamla Naidoo , CISO ของ IBM ประกาศว่า บริษัทกำลังบังคับใช้กฎที่ห้ามถ่ายเทข้อมูลกับอุปกรณ์สตอเรจพกพาทุกประเภท ไม่ว่าจะเป็นอุปกรณ์แบบเสียบ USB , การ์ด SD, หรือแฟลชไดรฟ์ก็ตาม โดยจะให้มีผลบังคับใช้ทั่วโลกภายในไม่กี่สัปดาห์ข้างหน้า หลังจากทดลองนโยบายนี้กับบางส่วนงานมาก่อนหน้าแล้ว

ทั้งนี้ IBM ชี้แจงเหตุผลว่าต้องการลดความเสียหายทั้งด้านการเงินและชื่อเสียงขององค์กรที่อาจเกิดจากการใช้อุปกรณ์จัดเก็บข้อมูลแบบพกพาอย่างไม่ระมัดระวัง, ไม่เหมาะสม, หรือทำอุปกรณ์สูญหาย โดยให้พนักงานใช้บริการ Sync ‘n’ Share ที่เป็นระบบแชรืไฟล์ภายในองค์กรแทน

อย่างไรก็ตาม ทางสำนักข่าว The Register วิเคราะห์ว่า นโยบายใหม่ที่เด็ดขาดนี้จะส่งผลกระทบแก่บริการของ IBM ที่อำนวยความสะดวกให้ลูกค้าเอง เนื่องจากที่หน้างานนั้นหลายครั้งที่เจ้าหน้าที่ IBM จำเป็นต้องดาวน์โหลดแพ็ตช์เพื่อติดตั้งบนอุปกรณ์ของลูกค้า

โดยเฉพาะอย่างยิ่ง การทำไดรฟ์ USB แบบบูตได้เพื่อติดตั้งแพ็ตช์หรือแก้ไขปัญหาอุปกรณ์ต่างๆ และที่น่าสังเกตอีกประการคือ IBM ยังคงให้คำแนะนำอย่างเป็นทางการเกี่ยวกับวิธีติดตั้งลีนุกซ์บนเซิร์ฟเวอร์ POWER 9 ด้วยคีย์ยูเอสบีอยู่ด้วย

ที่มา : Theregister

from:https://www.enterpriseitpro.net/ibm-ban-removable-drive/

นักพัฒนาโอเอส ตีความคู่มือของ Intel/AMD พลาด ทำให้เกิดช่องโหว่ร้ายแรง

เมื่อวันอังคารที่ผ่านมา CERT ได้ออกรายละเอียดช่องโหว่รหัส CVE-2018-8897 ใหม่ซึ่งพบในระบบปฏิบัติการเกือบทุกตัวตั้งแต่ลีนุกซ์, วินโดวส์, แมค, FreeBSD, รวมถึง Xenบางรุ่นด้วย โดยระบุสาเหตุว่าเกิดจากนักพัฒนาโอเอสทั้งหลายตีความกระบวนการประมวลผลบางอย่างของซีพียูทั้งของ Intel และ AMD ผิดไปจากความเป็นจริง“มานานมาก”

โดยช่องโหว่นี้เปิดให้ผู้โจมตีเข้าป่วนคอมพิวเตอร์ที่ใช้ซีพียูสองยี่ห้อดังให้ค้างได้รวมทั้งยังใช้เข้าถึงข้อมูลสำคัญหรือควบคุมการทำงานของระบบปฏิบัติการในระดับใกล้ Root ซึ่งอาจนำมาใช้ในการดูดข้อมูลจากหน่วยความจำ หรือแอบใส่โค้ดอันตรายลงในเครื่องได้ผ่านมัลแวร์ หรือการล็อกอินที่ตัวเครื่องโดยผู้โจมตีเอง

ประเด็นคือ แอพที่รันโดยผู้ใช้ที่ล็อกอินเข้าระบบแล้ว สามารถใช้คำสั่งบนซีพียูอย่าง SS และ INT เพื่อใช้ประโยชน์จากช่องโหว่ หรือแม้แต่ควบคุมตัวกำหนดตำแหน่งข้อมูลพิเศษอย่าง GSBASE โดยเฉพาะในชิป AMD ที่แอพสามารถควบคุมได้ทั้ง GSBASE และ Stack Pointer ด้วย

อย่างไรก็ดี ผู้ผลิตส่วนใหญ่ได้พากันออกแพทช์มาอุดช่องโหว่นี้แล้ว และคาดว่านักพัฒนาโอเอสทั่วโลกต้องเตรียมจัดอบรมหรือแก้ไขเอกสารรายละเอียดเกี่ยวกับสถาปัตยกรรม x86-64 ใหม่ หรือแม้แต่อินเทลเองที่ตอนนี้ได้อัพเดตคู่มือเกี่ยวกับคำสั่ง Stack Selector ให้อ่านรู้เรื่องและชัดเจนมากยิ่งขึ้นแล้ว

ที่มา : TheRegister

from:https://www.enterpriseitpro.net/cert-intel-amd-developer/

Twitter แจ้งให้ทุกคนเปลี่ยนรหัสผ่าน หลังพบบั๊กในระบบของตน

ยักษ์ใหญ่โซเชียลเน็ตเวิร์กอย่าง Twitter ส่งข้อความแจ้งเตือนไปยังผู้ใช้ทุกคนจำนวนกว่า 326 ล้านรายให้รีบเปลี่ยนรหัสผ่าน เนื่องจากพบบั๊กในระบบที่ทำให้มีการบันทึกข้อมูลรหัสผู้ใช้ใน Log ที่ไม่ได้มีระบบป้องกันใดๆ แถมยังอยู่ในรูปข้อความล้วนที่ไม่ได้เข้ารหัสอีกด้วย

แม้บั๊กดังกล่าวจะได้รับการแก้ไข และยังไม่พบร่องรอยการหลุดรั่วหรือนำข้อมูลรหัสผ่านไปใช้ประโยชน์อื่นก็ตาม แต่บริษัทก็ยังคงส่งอีเมล์และแสดงป๊อบอัพให้ผู้ใช้เห็นตอนล็อกอินเพื่ออธิบายเหตุการณ์ที่เกิดขึ้น และพยายามแนะนำให้เปลี่ยนรหัสผ่านในทันทีว่า “เพื่อความปลอดภัย กรุณาเปลี่ยนรหัสผ่านใน “ทุกบริการ” ที่ท่านใช้รหัสผ่านเดียวกันกับทวิตเตอร์นี้”

ถึงทวิตเตอร์จะไม่ได้ชี้แจงว่ามีรหัสผ่านของผู้ใช้จำนวนเท่าใดที่ถูกจัดเก็บไว้ใน Log ดังกล่าว หรือแม้แต่ระยะเวลาที่เกิดบั๊ก รวมไปถึงทำไมรหัสผ่านที่ควรถูกเข้ารหัสกลับจัดเก็บไว้แบบ Plain Text แต่ทางบริษัทก็ได้ออกแถลงการณ์ขอโทษเป็นทางการในนามของซีอีโอ พร้อมชี้แจงว่า ถือเป็นเรื่องสำคัญที่บริษัทต้องเปิดเผยความผิดพลาดที่กระทบกับผู้ใช้ให้ทุกคนทราบ

ครั้งนี้ไม่ใช่ครั้งแรกที่ทวิตเตอร์ออกมาสร้างความลำบากให้ผู้ใช้ต้องเปลี่ยนรหัสผ่านแทบทุกเว็บแบบนี้ เมื่อปี 2559 บริษัทก็เคยออกประกาศเตือนให้ผู้ใช้รีบเปลี่ยนรหัสผ่านหลังจากมีเหตุที่แฮ็กเกอร์พบข้อมูลรหัสผ่านทวิตเตอร์กว่า 33 ล้านบัญชีถูกวางจำหน่ายอยู่ในเว็บตลาดมืด แถมยังอยู่ในรูปข้อความธรรมดาแบบครั้งนี้ด้วย

ที่มา : Hackread

from:https://www.enterpriseitpro.net/twitter-password-bug/

ตรวจพบช่องโหว่ Audi และ Volkswagen ที่อาจทำให้โดนโจมตีผ่านอินเทอร์เน็ตได้

นักวิจัยด้านความปลอดภัยจาก Computest กล่าวว่า รถยนต์บางรุ่นที่ผลิตโดย Audi และ Volkswagen มีช่องโหว่ที่เปิดให้ผู้โจมตีเข้าถึงระบบได้จากอินเทอร์เน็ต ที่สำคัญ ทาง Volkswagen ออกตัวเชิงไม่ต้องการออกแพทช์เพื่ออุดช่องโหว่ดังกล่าวโดยอ้างว่ารถเหล่านั้นไม่ได้มีฟีเจอร์การบังคับอัพเดตระยะไกลหรือ Over-the-Air

รถรุ่นที่มีปัญหาได้แก่ Volkswagen Golf GTE และ Audi A3 ที่ผลิตโดยกลุ่ม Volkswagen เหมือนกัน โดยนักวิจัยระบุว่าบัส CAN (Controller Area Network) ที่นำมาใช้ในรถสำหรับชิ้นส่วนทั้งที่เกี่ยวข้องกับความปลอดภัยโดยตรง (เบรก และเครื่องยนต์) และที่ไม่เกี่ยวกับความปลอดภัย (แอร์, ที่ปัดน้ำฝน, และหน้าจอแสดงสถานะ) สำหรับสื่อสารระหว่างกันผ่านเกตเวย์ไร้สายนั้น เปิดให้อ่านข้อมูลไฟล์ใดๆ ก็ได้ ซึ่งเป็นช่องโหว่สำคัญในการโจมตีแบบสั่งรันโค้ดจากระยะไกล

นั่นคือ ถ้ารถยนต์เชื่อมต่อกับฮอตสปอตไวไฟที่มีการแฮ็กไว้ ก็อาจทำให้เกิดความเสี่ยงอย่างมากโดยเฉพาะรถที่สามารถอัพเดตระบบแบบ Over-the-Air ได้ในอนาคต ทางนักวิจัยยังกล่าวด้วยว่า มีรถที่ผลิตโดย Volkswagen อีกจำนวนมากที่ใช้ระบบเดียวกัน และน่าจะมีช่องโหว่ด้วยเช่นกัน

ทางทีมวิจัยตัดสินใจที่จะไม่เปิดเผยรายละเอียดของช่องโหว่ เนื่องจาก Volkswagen ไม่สามารถแพทช์ระบบนี้ผ่านออนไลน์พร้อมกันทุกคันได้ ต้องอาศัยให้เจ้าของนำรถไปติดตั้งแพทช์จากศูนย์ที่ได้รับอนุญาตอย่างเดียว อย่างไรก็ดี Volkswagen ก็ยังไม่ได้ออกประกาศเป็นทางการให้มาติดตั้งแพทช์ หรือทำได้ฟรีหรือไม่

ที่มา : Hackread

from:https://www.enterpriseitpro.net/computest-audi-volkswagen/

งานเข้า WD !! อุปกรณ์ My Cloud EX2 ของ WD ปล่อยให้คนอื่นดาวน์โหลดไฟล์ได้

นักวิจัยจากบริษัทด้านความปลอดภัย Trustwave พบว่าอุปกรณ์ NAS ขวัญใจผู้ใช้ตามบ้านอย่าง Western Digital (WD) My Cloud EX2 ปล่อยให้ใครก็ได้บนแลนดาวน์โหลดไฟล์ได้ทุกไฟล์ ไม่ว่าเจ้าของจะเซ็ตอนุญาตล็อกอีท่าไหนอย่างไรก็ตาม โดยเฉพาะถ้าเกิดตั้งค่าเปิดให้เข้าถึงไฟล์ได้แบบออนไลน์จากระยะไกล ก็เท่ากับเปิดสาธารณะโล่งโจ้งกันเลยทีเดียว

โดยผู้ใช้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงไฟล์ในอุปกรณ์ได้ผ่านคำร้องขอแบบ HTTP ไปยัง TMSContentDirectory/Control ผ่านพอร์ต 9000 เช่น การพิมพ์คำร้องขอในรูป URL ผ่านบราวเซอร์ไม่ว่าจะตั้งค่าปิดการแชร์ไฟล์สาธารณะไว้ก็ตาม

ทั้งนี้ Trustwave ระบุว่าสาเหตุมาจาก My Cloud รันเซิร์ฟเวอร์ UPnP Media ขึ้นอัตโนมัติตั้งแต่กดเปิดอุปกรณ์ จึงทำให้ผู้ใช้รายอื่นสามารถข้ามการตั้งค่าจำกัดการเข้าถึงหรือรหัสผ่านใดๆ ของแอดมินได้ง่ายๆ ทาง Trustwave ได้แจ้งรายละเอียดของช่องโหว่นี้ให้ทาง Western Digital แล้วตั้งแต่เมื่อวันที่ 26 มกราคมที่ผ่านมา

อย่างไรก็ดี ทาง WD กลับแค่แนะนำผู้ใช้ให้ปิดฟีเจอร์ DLNA แทนเท่านั้นโดยไม่ได้ออกแพ็ตช์มาเป็นทางการ ทำให้ทาง Trustwave เผยแพร่รายละเอียดช่องโหว่สู่สาธารณะ โดยเมื่อเดือนกุมภาพันธ์ Trustwave ก็ได้เปิดเผยรายละเอียดช่องโหว่บน Western Digital My Cloud อีกสองรายการ ที่ทำให้ผู้โจมตีที่อยู่บนแลนเดียวกับอุปกรณ์สามารถเข้าถึงระดับรูทได้ด้วย

ที่มา : SecurityOnline

from:https://www.enterpriseitpro.net/my-cloud-ex2-wd/

Yahoo! งานเข้า โดนตลาดหลักทรัพย์สั่งปรับ 35 ล้านเหรียญฯ

Yahoo! ที่ปัจจุบันเปลี่ยนชื่อบริษัทเป็น Altaba หลังโดน Verizon ซื้อกิจการไปแล้วนั้น ตกลงยอมจ่ายเงินค่าปรับจำนวน 35 ล้านดอลลาร์สหรัฐฯ แก่คณะกรรมการตลาดหลักทรัพย์ในกรณีปิดปังรายละเอียดเหตุการณ์ข้อมูลรั่วไหล เมื่อสองปีก่อนกับผู้ถือหุ้น หลังจากทางคณะกรรมการฯ ออกประกาศเมื่อต้นสัปดาห์ที่ผ่านมา

เหตุการณ์ข้อมูลรั่วไหลเมื่อปี 2559 นั้นเกิดจากแฮ็กเกอร์ชาวรัสเซียจารกรรมข้อมูลอันได้แก่ ชื่อผู้ใช้, ที่อยู่อีเมล์, เบอร์โทรศัพท์, วันเดือนปีเกิด, รหัสผ่านที่มีการเข้ารหัสไว้, และคำตอบของคำถามกู้รหัสผ่านของบัญชีผู้ใช้ Yahoo! กว่าหลายร้อยล้านบัญชี

ทางคณะกรรมการตลาดหลักทรัพย์ชี้แจงว่า ประเด็นไม่ได้อยู่แค่การปิดบังหรือแจ้งรายละเอียดเหตุการณ์ดังกล่าวล่าช้า แต่นักลงทุนต่างต้องการทราบแนวทางการป้องกันในอนาคต รวมทั้งผลกระทบที่เกิดกับตัวธุรกิจ หรือแม้แต่การโดนปรับหรือจัดการจากภาครัฐต่างๆ ซึ่ง Yahoo! ไม่ได้ระบุไว้ในรายงานผลประกอบการหลังจากเกิดเหตุเลย

นอกจากนี้ Yahoo! ก็ไม่ได้ปรึกษากับผู้ตรวจสอบบัญชี หรือที่ปรึกษาภายนอกเกี่ยวกับความจำเป็นในการเปิดเผยข้อมูลดังกล่าวตามกฎหมาย อันเห็นได้ชัดว่า Yahoo! ไม่สามารถควบคุมการปฏิบัติตามระเบียบการเปิดเผยข้อมูล โดยเฉพาะรายงานจากทีมด้านความปลอดภัยไอทีของบริษัทเองเกี่ยวกับทั้งเหตุการณ์ข้อมูลรั่วไหล และความเสี่ยงที่จะเกิดข้อมูลรั่วไหลอีก

ที่มา : DarkReading

from:https://www.enterpriseitpro.net/yahoo-fine-35-million/