ถ้าคุณแน่อย่าแพ้ PayPal, โครงการจ้างรายงานบั๊กความปลอดภัยรายใหม่

ถ้าคุณแน่อย่าแพ้ PayPal, โครงการจ้างรายงานบั๊กความปลอดภัยรายใหม่

โลกความปลอดภัยในช่วงหลังเริ่มพบกระบวนการหาบั๊กที่ทรงประสิทธิภาพที่สุดนั่น คือ “จ่ายค่าหัว” (bounty) ให้กับผู้ที่เจอบั๊กความปลอดภัยในเว็บไซต์ www.paypal.com

การเข้ารหัสแบบ RSA ในมาตรฐาน PKCS#11 ถูกแฮกแล้ว นักวิจัยหาถอดข้อความเข้ารหัสได้ใน 13 นาที

การเข้ารหัสแบบ RSA ในมาตรฐาน PKCS#11 ถูกแฮกแล้ว นักวิจัยหาถอดข้อความเข้ารหัสได้ใน 13 นาที

ทุกวันนี้ระบบ “กุญแจ” เข้ารหัสที่ใช้ USB หรือสมาร์ตการ์ดแบบเข้ารหัสนั้นมักใช้ PKCS#11 ที่ภายในการเปิด API ให้สามารถ “เซ็น” หรือเข้ารหัสจากกุญแจลับ (Private Key)

US-CERT แจ้งเตือนช่องโหว่ด้านความปลอดภัยบนซีพียูแบบ x64 ของ Intel

US-CERT แจ้งเตือนช่องโหว่ด้านความปลอดภัยบนซีพียูแบบ x64 ของ Intel

US-CERT ออกมาแจ้งเตือนช่องโหว่ด้านความปลอดภัยบนซีพียูของ Intel ซึ่งช่องโหว่นี้อนุญาตให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายต่อระบบด้วยสิทธิ์ของเคอร์เนล แม้ผู้โจมตีจะไม่มีบัญชีผู้ใช้งานใดๆ อยู่บนเครื่องเป้าหมายเลยก็ตาม

ทีมวิจัยจากญี่ปุ่นถอดรหัส Pairing-based ขนาด 923 บิตได้ใน 148 วัน

ทีมวิจัยร่วมจากสถาบันเทคโนโลยีสารสนเทศและการสื่อสาร, มหาวิทยาลัยคิวชู, และบริษัทฟูจิตสึ ได้ร่วมกันวิจัยกระบวนการแกะรหัสการเข้ารหัสแบบ Pairing-based ขนาดความยาวกุญแจ 923 บิต โดยใช้เวลาทั้งสิ้น 148.2 วัน บนเซิร์ฟเวอร์ 21 ตัว มีซีพียู 252 คอร์

Facebook จะแจ้งผู้ใช้ทุกคนใส่หมายเลขโทรศัพท์เพื่อรีเซ็ตรหัสผ่าน

Facebook จะแจ้งผู้ใช้ทุกคนใส่หมายเลขโทรศัพท์เพื่อรีเซ็ตรหัสผ่าน

เว็บไซต์ TechCrunch ได้รับคำยืนยันจาก Facebook ว่าบริษัทเริ่มแสดงข้อความเตือนให้ผู้ใช้ทุกคนรับทราบถึงมาตรการด้านความปลอดภัยเบื้องต้นแล้ว โดยจะสอนการแยกแยะเว็บหลอก สอนให้ตั้งรหัสผ่านยากๆ และให้กรอกเบอร์โทรศัพท์เผื่อต้องรีเซ็ตรหัสผ่านในอนาคต

ผู้ใช้ LinkedIn ไม่สนใจเมลเตือนให้เปลี่ยนรหัสผ่าน เพราะได้เมลจาก LinkedIn มากจนชิน

ผู้ใช้ LinkedIn ไม่สนใจเมลเตือนให้เปลี่ยนรหัสผ่าน เพราะได้เมลจาก LinkedIn มากจนชิน

จากกรณี LinkedIn ทำรหัสผ่านผู้ใช้หลุด 6.5 ล้านบัญชี ทางบริษัทก็ออกมายอมรับปัญหา และบอกว่าจะส่งอีเมลแจ้งเตือนไปยังผู้ใช้ที่รหัสผ่านหลุด ให้เข้าไปเปลี่ยนรหัสผ่านของตัวเอง

FBI หยุดสอบคดีเพราะคนร้ายซ่อนตัวผ่าน Tor

FBI หยุดสอบคดีเพราะคนร้ายซ่อนตัวผ่าน Tor

การซ่อนตัวด้วยการใช้อินเทอร์เน็ตผ่าน Tor นั้นเป็นเรื่องที่มีกันมานานหลายปีแล้ว จากการเข้ารหัสข้อมูลเป็นชั้นๆ และส่งข้อมูลไปมาทั่วโลก ทำให้การส่งข้อมูลผ่าน Tor ยากที่จะตามหาต้นทางของข้อมูลได้ เอกสารล่าสุดที่เปิดเผยเพราะกฎหมายเปิดเผยข้อมูลของสหรัฐฯ ยืนยันว่าเอฟบีไอเคยต้องหยุดสอบสวนคดีไปเพราะผู้ใช้โพสภาพอนาจารเด็กผ่านเครือข่าย Tor

พบช่องโหว่บน IIS 6.0 / 7.5 ทำให้เกิดการข้ามผ่านการล็อกอินได้

พบช่องโหว่บน IIS 6.0 / 7.5 ทำให้เกิดการข้ามผ่านการล็อกอินได้

ตามมาติดๆ กับช่องโหว่ของ IIS 6.0 และ 7.5 ที่ทำให้เกิดการข้ามผ่านการล็อกอิน (bypass authentication) ได้ รวมถึงมีช่องโหว่ที่ส่งผลให้ซอร์สโค้ดของไฟล์ภายในเซิฟเวอร์ถูกเปิดเผยได้อีกด้วย (source code disclosure)

ด่วน! พบช่องโหว่บน MariaDB และ MySQL ทำให้เกิดการข้ามผ่านการล็อกอินได้

ด่วน! พบช่องโหว่บน MariaDB และ MySQL ทำให้เกิดการข้ามผ่านการล็อกอินได้

พบช่องโหว่ร้ายแรงบน MariaDB และ MySQL ซึ่งส่งผลให้ผู้โจมตีนั้นสามารถข้ามผ่านการล็อกอินได้ (bypass authentication) โดยช่องโหว่นี้มีผลกับ MariaDB และ MySQL เวอร์ชัน 5.1.61, 5.2.11, 5.3.5, 5.5.22 และในเวอร์ชันก่อนหน้านี้ด้วย ซึ่งช่องโหว่นี้ได้รับการประกาศเป็น CVE หมายเลข 2012-2122 แล้ว

Google เตือนผู้ใช้เมื่อถูกแฮกโดยรัฐบาล

กูเกิลมีประวัติต่อสู้กับรัฐบาลหลายชาติ (เช่น จีน และอิหร่าน) แม้จะไม่มีรัฐบาลใดยืนยันว่าการแฮกกูเกิลหรือพยายามดักฟังข้อมูลเข้ามายังกูเกิลนั้นทำโดยรัฐบาลจริง แต่ความเสี่ยงนี้ก็มีอยู่ และกูเกิลก็ประกาศมาตรการเตือนผู้ใช้เมื่อมีความพยายามเข้าถึงบัญชีผู้ใช้จากระดับรัฐ