นาซ่าทำโน้ตบุ๊กเก็บคำสั่งสถานีอวกาศนานาชาติหาย, ถูกแฮกไป 13 ครั้งในปีที่แล้ว

รายงานการตรวจสอบภายในความปลอดภัยของนาซ่าที่เสนอต่อรัฐสภาสหรัฐฯ รายงานถึงความหละหลวมของการรักษาความปลอดภัยในระบบไอทีของนาซ่าว่าหละหลวมอย่างมาก โดยโน้ตบุ๊กแทบทั้งหมดไม่มีการเข้ารหัสข้อมูล

โปรแกรมโจมตีแบบ DDoS ของ Anonymous มีโทรจันแฝงอยู่!

โปรแกรมโจมตีแบบ DDoS ของ Anonymous มีโทรจันแฝงอยู่!

Symantec บริษัทด้านความปลอดภัยทางคอมพิวเตอร์ชื่อดังได้ออกมาเปิดเผยข้อเท็จจริงว่า โปรแกรมสำหรับการโจมตีแบบ DDoS ที่กลุ่มแฮกเกอร์ชื่อดัง Anonymous ได้ทำการเผยแพร่ให้ดาวน์โหลดนั้นมีการติดตั้งโทรจัน ‘Zeus’ แฝงอยู่

แจ้งเตือน Hoax บน Facebook – บังคับให้ใส่หมายเลขประกันสังคม

Hoax Slayer เว็บไซต์ด้านข่าวสารของ Hoax ได้แจ้งเตือนไปยังผู้ใช้งาน Facebook เกี่ยวกับ Hoax ตัวใหม่ที่กำลังแพร่ระบาดอยู่ในตอนนี้ โดยมีลักษณะการอ้างอิงไปยังเว็บไซต์ชื่อดังโดยมีหัวข้อข่าวว่า ‘Facebook บังคับให้ใส่หมายเลขประกันสังคมเพื่อเข้าสู่ระบบ’ ซึ่งข้อเท็จจริงในเรื่องนี้คือ ทาง Facebook ไม่ได้ต้องการข้อมูลหมายเลขประกันสังคมแต่อย่างใด หลายครั้งที่ผู้ใช้งานกดแชร์ข้อมูลโดยความไม่รู้ ซึ่งอาจก่อให้เกิดความตื่นตระหนกและความวุ่นวายในสังคมออนไลน์นั้นๆ ได้ สำหรับ Hoax นับเป็นมัลแวร์ประเภทหนึ่ง ซึ่งมีจุดประสงค์ในการสร้างความวุ่นวายหรือแตกตื่น โดยจะมีลักษณะการทำงานโดยจะสร้างข่าวลวงหรือข่าวที่ไม่มีมูลความจริง เพื่อให้ผู้ใช้งานหลงเชื่อและเกิดความตื่นตระหนก Hoax นั้นสามารถป้องกันได้เพียงแค่ผู้ใช้งานติดตามข่าวสารบ่อยๆ ก็จะทำให้ผู้ใช้งานทราบถึงความเป็นจริงของข้อมูลนั้น และไม่หลงเชื่อไปกับการทำงานของ Hoax ที่มา – Hoax Slayer, Softpedia ข่าวจาก Blognone โดย pe3z

ใครใช้รหัสผ่าน Password1 เปลี่ยนด่วน

ดูเหมือนความพยายามผลักดันให้ผู้ใช้ตั้งพาสเวิร์ดที่ยากต่อการแฮคจะไร้ผล เนื่องจากผลการศึกษาวิจัยล่าสุดบนคอมพิวเตอร์กว่า 2 ล้านเครื่องโดย Trustwave พบว่า ผู้ใช้ส่วนใหญ่ยังคงใช้าพสเวิร์ดว่า “password” และคำที่ใกล้เคียง ส่วนข้อแนะนำที่ให้ผู้ใช้ตั้งรหัสผ่านด้วยตัวอักษรตัวใหญ่ (upper-case) และตัวเลขผสมเข้าไป เพื่อให้การแฮคยากขึ้น ปรากฎว่า พาสเวิร์ดทีใช้หลักการนี้ในการตั้งก็คือ Password1 เฮ่อ… – -”  ผลการศึกษาดังกล่าวต้องการสะท้อนให้เห็นถึงปัญหาของระบบรักษาความปลอดภัยบนคอมพิวเตอร์ที่ส่วนใหญ่อยู่ที่ผู้ใช้ ไม่ว่าองค์กรธุรกิจจะมีไฟร์วอลล์กี่ตัว หรือระบบป้องกันการเจาะข้อมูลที่ฉลาดเป็นกรด แต่สุดท้ายก็ตกม้าตายด้วยพาสเวิร์ดง่ายๆ ที่เปรียบเสมือนกุญแจที่เจ้าของบ้างแขวนไว้หน้าประตู Trustwave เปิดเผยว่า จากพาสเวิร์ดบนคอมพิวเตอร์ 2.5 ล้านเครื่อง จะมีการใช้คำว่า password รวมอยู่ด้วยประมาณ 5% (ดูเหมือนน้อย แต่ความจริงมันหมายถึง 125,000 เครื่อง) ซึ่งเป็นคำที่คนทั่วไปเดาได้ไม่ยาก หรือแค่ใช้ซอฟต์แวร์ถอดพาสเวิร์ดอัตโนมัติที่ไม่ต้องเก่งนักก็ได้คำตอบแล้ว ประเด็นที่น่าตกใจยิ่งกว่าก็คือ ด้วยคอมพิวเตอร์ราคา 1,500 เหรียญฯ (ประมาณ 45,000 บาท) กับซอฟต์แวร์พิเศษแค่ตัวเดียว Trustwave สามารถเจาะพาสเวิร์ดได้มากกว่า 200,000 รหัสได้อย่างง่ายดาย ผู้เชี่ยวชาญระบบรักษาความปลอดภัยกล่าวว่า ผู้ใช้จำเป็นต้องตั้งพาสเวิร์ดที่เดายาก หรือแทบจะเดาไม่ได้เลย แต่นี่คือสิ่งที่ผู้ใช้ทราบกันมานานหลายปีแล้ว อย่างไรก็ดี ผู้เชี่ยวชาญส่วนใหญ่เริ่มผลักดันผู้ใช้ให้ใช้ระบบป้องกันแบบชีวมาตร (biometric) อย่างเช่น ลายนิ้วมือ ในการแสดงตัว เพื่อใช้สิทธิ์เข้าถึงระบบ หรือวิธีทวนสอบอื่นๆ ที่ไม่ต้องใช้ความจำของมนุษย์แทน เพื่อแก้ปัญหาข้างต้นนี้ รายงานข่าวบางแห่งยังแนะนำด้วยว่า คุณผู้อ่านเว็บไซต์ arip ที่ใช้พาสเวิร์ด Password1 ควรรีบเปลี่ยนด่วน เพราะมันเป็นรหัสผ่านที่มีการพบมากที่สุด โอกาสโดนเจาะก็จะสูงสุดไปด้วย ข่าวไอที ทิป-เทคนิค คอมพิวเตอร์

เอกสารประกอบการสัมนนา ฝ่าวิกฤตภัยธรรมชาติ ด้วยการวางแผนบริหารความต่อเนื่องของธุรกิจ

เอกสารประกอบการสัมนนาเรื่อง “ฝ่าวิกฤตภัยธรรมชาติ ด้วยการวางแผนบริหารความต่อเนื่องของธุรกิจ”
วันอังคารที่ 6 มีนาคม 2555 เวลา 12.30-17.30น.
ณ ห้องนภาลัย โรงแรมดุสิตธานี กรุงเทพฯ

Android มีช่องโหว่ฉกภาพได้เหมือนกัน

ไม่ใช่แค่ iPhone ของ Apple เท่านั้นที่นักพัฒนา หรือแฮคเกอร์จะสามารถพัฒนาแอพฯ ที่ใช้ช่องโหว่บน iOS เพื่ออัพโหลดภาพถ่ายทั้งหมดจาก iPhone ของคุณได้ เพราะล่าสุด ระบบปฏิบัติการ Android ของ Google ก็มีช่องโหว่ดังกล่าวด้วยเหมือนกัน…อุ๊ปส์!!! ปัญหาของช่องโหว่ที่มีการเปิดเผยออกมาล่าสุดนี้ แม้จะยังไม่มีใครยืนยันได้ว่ามันมีแอพฯตัวใดบ้างในตลาดที่ใช้ช่องโหว่นี้ แต่คุณผู้อ่านเว็บไซต์ arip ก็ไม่ควรประมาท โดยล่าสุดยังมีการตรวจพบว่า แอพฯ หลายแสนตัวทั้งบนอุปกรณ์โมบาย Android และ iOS กำลังเข้าถึงไลบรารี่ภาพในเครื่องของคุณ โดยการเข้าถึงดังกล่าวจะเกิดขึ้นเมื่อผู้ใช้ยอมแชร์ข้อมูลเกี่ยวกับสถานที่ (location information) ของตนกับแอพฯ นั้นๆ ซึ่งจะว่าไป มันคงไม่รู้สึกดีนักที่ทราบเช่นนี้ เพราะนั่นหมายความว่า แอพฯ ที่มีอยู่หลายแสนตัว (และอาจจะอยู่ในสมาร์ทโฟน หรือ iPhone ของคุณแล้ว) กำลังเข้าถึงไฟล์ภาพในเครื่องของคุณได้ แหล่งข่าวเว็บไซต์นิวยอร์กไทมส์ที่จุดประเด็นเรื่องนี้รายงานเมื่อวันพฤหัสบดีทีผ่านมาว่า ผู้ใช้อุปกรณ์โมบายทีทำงานด้วยระบบปฏิบัติการ Android ของ Google ก็ตกอยู่ในความเสี่ยงลักษณะนีด้วยเหมือนกัน และดูเหมือนจะร้ายแรงกว่าผู้ใช้ iPhone เสียด้วยซ้ำ โดยข้อมูลจากนักพัฒนาแอพฯ ระบุว่า สำหรับแอพฯ Android ที่ใช้ช่องโหว่นี้จะไม่ต้องข้ออนุญาตในการเข้าถึงไฟล์ภาพของผู้ใช้ (ไม่ต้องโชว์ไดอะล็อกบ๊อกซ์) และตราบใดที่แอพฯ ดังกล่าวยังเชื่อมต่อเน็๖ มันจะสามารถก็อปปี้ไฟล์ภาพเหล่านั้นไปยังเซิร์ฟเวอร์บนเน็ตได้โดยผู้ใช้ไม่ทันสังเกตได้อีกด้วย อย่างไรก็ตาม แหล่งข่าวกล่าว่า ไม่สามารถระบุลงไปอย่างชัดเจนได้ว่า มีแอพฯ ตัวใดบ้างบน Android ที่กำลังใช้ช่องโหว่นี้ ทางด้าน Google เองก็ได้แสดงความคิดเห็นต่อประเด็นนี้ว่า กำลังพิจารณาเพิ่มส่วนของการร้องขออนุญาตสำหรับแอพฯ ทีต้องการเข้าถึงภาพในเครื่อง “เราออกแบบระบบไฟล์ภาพบน Android คล้ายกับแพลตฟอร์มคอมพิวเตอร์อย่าง Windows และ Mac OS แต่ตอนนี้ ไฟล์ภาพต่างๆ ถูกจัดเก็บบนการ์ดหน่วยความจำ SD ซึ่งมันทำให้ง่ายมากที่ใครก็ได้สามารถถอดการ์ด SD ออกจากอุปกรณ์โมบาย แล้วนำมันไปเปิดดูบนคอมพิวเตอร์ แต่สำหรับสมาร์ทโฟน และแท็บเล็ตที่มีสตอเรจ และหน่วยความจำในเครื่อง (ถอดออกไม่ได้) ซึ่งเป็นอีกประเด็นหนึ่งที่ Google คงต้องพิจารณาหาทางป้องกัน (การฉกรูปจากอุปกรณ์โมบาย โดยอัพโหลดไปยังเซิร์ฟเวอร์บนเน็ต ขั้นตอนทั้งหมดนี้ทำได้โดยแฮคเกอร์ไม่ต้องออกแรงถอดการ์ดหน่วยความจำเลย ทุกอย่างเกิดขึ้นได้ โดยที่ผู้ใช้ไม่ทันรู้ตัวเลยด้วยซ้ำ ทั้งหมดเพียงแค่เพิ่มคำสังเข้าไปใน app เท่านั้น) ด้วยเช่นกัน” อย่างไรก็ดี Google ยังกล่าวย้ำให้ผู้ใช้ทราบอีกด้วยว่า “เรามีนโยบายในการลบแอพฯ ที่มีการเข้าถึงข้อมูลอย่างไม่เหมาะสมออกจาก Android Market” ส่วนทางด้าน Apple ยังไม่มีการแสดงความคิดเห็นในเรื่องดังกล่าวแต่อย่างใด

พบช่องโหว่ในเว็บไซต์ Ask.com, AOL.com, Cisco.com และ Intel.com

พบช่องโหว่ในเว็บไซต์ Ask.com, AOL.com, Cisco.com และ Intel.com

แฮกเกอร์พบช่องโหว่ในเว็บไซต์ Ask.com, AOL.com, Cisco.com และ Intel.com โดยทั้งสี่เว็บเป็นช่องโหว่ Cross-site scripting (XSS) ที่มุ่งโจมตีไปในการดักจับและแก้ไข cookie ของผู้ใช้งาน ทำให้สามารถเข้าถึงบัญชีผู้ใช้รวมไปถึงข้อมูลส่วนตัวของผู้ใช้งานได้ แฮกเกอร์กลุ่ม BlitzSec ได้ตรวจพบช่องโหว่บนเว็บไซต์เสิร์ชเอ็นจินชื่อดังคือ Ask.com โดยได้มีการโพสต์รายละเอียดของช่องโหว่ไว้ใน pastebin ซึ่งในขณะนี้ได้มีการแพตซ์ช่องโหว่เป็นที่เรียบร้อยแล้ว รายต่อไปคือ AOL.com ซึ่งเป็นหนึ่งในเว็บไซต์เสิร์ชเอ็นจินชื่อดัง โดยได้มีการเผยแพร่รายละเอียดของโหว่ไว้ใน pastebinทาง AOL.com ยังไม่มีการดำเนินการใดๆ กับช่องโหว่นี้ สำหรับช่องโหว่บนเว็บไซต์ Intel.com และ Cisco.com ถูกตรวจพบพบโดย Team Openfire ซึ่งทาง Intel.com ได้ทำการแพตซ์ช่องโหว่เป็นที่เรียบร้อยแล้ว แต่ทาง Cisco ยังไม่มีการดำเนินการใดๆ เกี่ยวกับช่องโหว่นี้ ที่มา – Voice of Gray Hat (1, 2) ข่าวจาก Blognone โดย pe3z

ช่องโหว่ iOS ล้วงลับอัพโหลดภาพคุณได้

ขออนุญาตนำเสนอข่าวเกี่ยวกับผลิตภัณฑ์ Apple อีกสักชิ้นนะครับ แต่รายงานข่าวนี้อาจสร้างความตื่นเต้นในทางตรงกันข้ามกับข่าวที่แล้ว เรื่องของเรื่องก็คือ มีรายงานว่า พบช่องโหว่ในระบบปฏิบัติการ iOS ที่เสี่ยงต่อการละเมิดความเป็นส่วนตัวของผู้ใช้ โดยช่องโหว่ดังกล่าวจะเปิดโอกาสให้นักพัฒนา ตลอดจนแฮคเกอร์สามารถเข้าถึง”ภาพถ่าย”ทั้งหมดที่อยู่ในอุปกรณ์ iOS (iPod Touch, iPhone และ iPad) ของคุณได้ โดยไม่ต้องได้รับอนุญาต คุณสมบัติรักษาความปลอดภัยของ iOS ที่ยอมให้ผู้ใช้สามารถแชร์ข้อมูลเกี่ยวกับตำแหน่งสถานที่ (location) ของผู้ใช้ อาจถูกนำไปใช้ในทางที่ไม่ถูกต้องได้ โดยแอพฯ อันตรายสามารถใช้ช่องโหว่ที่พบในการล้วงลับภาพเด็ดๆ ทั้งหมดในอุปกรณ์ iOS ของคุณออกไปได้ ซึ่งจากรายงานบนบล็อกของนิวยอร์กไทมส์ยังระบุอีกด้วยว่า นักพัฒนาสามารถเข้าถึงภาพทั้งหมดในไลบรารี่ได้โดยผ่านการร้องขออนุญาตเข้าถึงข้อมูลเกี่ยวกับตำแหน่งสถานที่ (location information) ของผู้ใช้ขณะนั้น และเมื่อผู้ใช้คลิกปุ่ม OK เพื่อตอบรับคำร้องข้อดังกล่าว นักพัฒนา ตลอดจนแฮคเกอร์จะสามารถก็อปปี้ภาพทั้งหมดในอุปกรณ์ iOS ได้อย่างสมบูรณ์ (รวมถึงข้อมูล GPS) ไปยังเซิร์ฟเวอร์บนอินเทอรฺ์เน็ต ทั้งหมดนี้ทำได้โดยไม่ต้องแจ้งเตือนใดๆ ทั้งสิ้น อย่างไรก็ตาม รายงานข่าวดังกล่าวยังไม่มีความชัดเจนว่า พบแอพฯ ที่มีพฤติกรรมการทำงานดังกล่าวใน App Store หรือไม่ แต่ที่แน่ๆ แหล่งข่าวอ้างว่า แอพฯ ทดสอบที่ยังไม่มีการเผยแพร่สามารถอัพโหลดภาพทั้งหมดในไลบรารี่ของผู้ใช้ได้อย่างสมบูรณ์ผ่านไดอะล็อกบ๊อกซ์ร้องขออนุญาตเข้าถึงข้อมูล Location Information ได้จริงๆ อย่างไรก็ตาม Apple ยังไม่มีการแสดงความคิดเห็นต่อรายงานข่าวนี้แต่อย่างใด สำหรับช่องโหว่นี้พบใน iOS 4. 0 ขึ้นไป และนี่เป็นอีกหนึ่งช่องโหว่ที่มาจากคุณสมบัติของ Location Information ที่ส่งผลกระทบต่อความเป็นส่วนตัวของผู้ใช้โดยตรง ซึ่งก่อนหน้านี้ก็มีการค้นพบไฟล์บันทึกข้อมูลนี้ทีไม่ได้มีการเข้ารหัส (encryption) ทำให้แฮคเกอร์สามารถพลอตเส้นทางการเดินทางของเจ้าของ iPhone จากข้อมูลดังกล่าวบนแผนที่ได้ ทั้งนี้ หากมีความคืบหน้า หรือทาง Apple จะได้มีการออกอัพเดท เพื่อแก้ไขช่องโหว่ดังกล่าว ทางเว็บไซต์ arip จะรีบนำเสนอให้คุณผู้อ่านได้ทราบทันที ข่าวไอที ทิป-เทคนิค คอมพิวเตอร์

แจ้งเตือนมัลแวร์บนแมค โจมตีผ่านบั๊กของจาวา ขโมยข้อมูลผู้ใช้งาน

บริษัท Intego Security ผู้เชี่ยวชาญและผู้ผลิตโปรแกรมแอนตี้ไวรัสของแมคได้ออกมาประกาศเกี่ยวกับการค้นพบมัลแวร์ตัวใหม่ Flashback.G โดยมัลแวร์ตัวนี้มีความสามารถพิเศษคือสามารถติดตั้งและทำการโจมตีได้เลยโดยไม่ต้องอาศัยการโต้ตอบกับผู้ใช้ โดย Flashback.G จะมุ่งโจมตีไปที่บั๊กของจาวาซึ่งถูกค้นพบในปี 2008 ซึ่งทาง Apple ก็ได้ออกมาแพตซ์ช่องโหว่นี้แล้วเมื่อเดือนพฤศจิกายนที่ผ่านมา ซึ่งความร้ายกาจของมัลแวร์ตัวนี้ยังไม่หมดครับ หาก Flashback.G ไม่สามารถโจมตีไปที่บั๊กของจาวาได้ มันจะพยายามหลอกล่อให้ผู้ใช้คลิกเพื่อทำการรันโค้ด โดยจะปลอมแปลงตัวเองเป็นลายเซ็นต์ดิจิทัลของทาง Apple เมื่อเข้าสู่ระบบได้แล้วทางใดทางหนึ่ง มันจะทำการดาวโหลดโค้ดอันตรายรวมทั้งคีย์ล็อกเกอร์เพื่อดักจับการพิมพ์ผ่านแป้นคีย์บอร์ด และส่งข้อมูลเหล่านั้นให้แฮกเกอร์ต่อไป สำหรับวิธีป้องกันคือไม่ควรรันลายเซ็นดิจิทัลที่เชื่อถือไม่ได้ รวมทั้งใช้โปรแกรมแอนตี้ไวรัสครับ ที่มา – Computerworld ข่าวจาก Blognone โดย pe3z  

NSA เปิดเผยจดหมายของ John Nash ที่เสนออัลกอริทึมเข้ารหัส

เราหลายๆ คนอาจจะรู้จัก John Nash จากภาพยนตร์เรื่อง The Beautiful Mind แต่เขาเป็นนักคณิตศาสตร์ที่ยังมีชีวิตอยู่ และยังทำงานวิจัยตลอดจนไปพูดตามงามประชุมวิชาการต่างๆ อยู่เรื่อยๆ ล่าสุดทาง NSA ได้เปิดเผยจดหมายของเขาถึงหน่วยงาน ที่ให้คำแนะนำเกี่ยวกับระบบการเข้ารหัสตั้งแต่ปี 1955 พร้อมเสนออัลกอริทึมการเข้ารหัสของเขา เขาแนะนำ NSA ว่าการเข้ารหัสควรอยู่ภายใต้แนวคิดความยากในการคำนวณ (Computational Complexity) แทนความซับซ้อนแบบอื่นๆ ซึ่งสุดท้ายแล้วโลกของการรักษาความปลอดภัยก็ใช้แนวทางนี้ในการเข้ารหัสกันเป็นเรื่องปรกติ และจดหมายยังได้บรรยายถึงความซับซ้อนว่าจะเพิ่มขึ้นในรูปแบบ exponential ตามความยาวของกุญแจเข้ารหัส ทำให้การแกะรหัสเป็นเรื่องที่แทบเป็นไปไม่ได้ นอกจากนี้เขายังบอกด้วยว่าความยากทางคณิตศาสตร์นี้เขาเองยังไม่สามารถพิสูจน์ได้ว่ามันยากอย่างที่อ้างจริงหรือไม่ กระบวนการที่ Nash อ้างถึงทั้งหมดเป็นเรื่องที่เรารู้กันดีอยู่แล้วในโลกของการเข้ารหัส ปัญหาของการพิสูจน์ความยากของปัญหายังคงไม่สามารถพิสูจน์ได้จากปัญหา P != NP จดหมายฉบับนี้บรรยายถึงกระบวนการเข้ารหัสที่เราใช้เป็นประจำ แต่กระบวนการเหล่านี้มีงานวิจัยอย่างเปิดเผยหลังจากที่ Nash เขียนจดหมายฉบับนี้ไป 20 ปี อัลกอริทึมที่เขาเสนอนั้นดูจะยังเป็นงานที่ไม่ค่อยสมบูรณ์นัก โดยยังมีจุดที่น่าสงสัยได้อีกหลายจุด อย่างไรก็ดี Ron Rivest (ตัว R ในชื่อ RSA) ก็ได้เขียนโปรแกรมทดสอบของอัลกอริทึมนี้เป็นภาษา Python แล้ว ที่มา – Turing’s Invisible Hand ข่าวจาก jusci.net โดย lew