Thailand People Cyber Army Cyber News

Amazon ได้ประกาศให้บริการ CodeGuru เข้าสู่สถานะพร้อมใช้งานแล้วในวันนี้ Amazon CodeGuru มีความสามารถการเป็นกูรูด้านโค้ดสมชื่อ โดยบริการสามารถนำไปใช้ได้ใน 2 รูปแบบคือ CodeGuru Reviewer  – ใช้ตรวจสอบโปรแกรมหรือ Machine Learning ว่ามีข้อบกพร่องส่วนไหนในโค้ด โดยในเวอร์ชันที่พร้อมให้บริการสามารถรองรับโค้ดได้ทั้งจาก GitHub Enterprise, GitHub, Bitbucket ซึ่งจะมีการรีวิวโค้ดเมื่อตอน Pull Request และให้คำแนะนำในการปรับปรุงเอาไว้ นอกจากนี้ยังมีคำแนะนำใหม่ เช่น Input Validation และการตรวจสอบสำเนาของโค้ดที่ทำงานเหมือนกัน CodeGuru Profiler  – ใช้ตรวจประสิทธิภาพของโค้ดตอน Runtime ว่ากิน CPU, Mem หรือเกิด Latency มากน้อยแค่ไหน ซึ่งรองรับได้ทั้งโค้ดภาษาที่เขียนใน JVM อย่าง Java, Scala, Kotlin, Groovy, Jython, JRuby และ Clojure โดยเวอร์ชันพร้อมให้มีการมีฟังก์ชันใหม่ๆ ดังนี้ 1.) มีความสามารถด้าน Anomaly Detection 2.) รองรับการใช้งานกับ Lambda Function 3.) สามารถบอกน้ำหนักของปัญหาเพื่อช่วยให้ผู้พัฒนาสามารถจัดลำดับความสำคัญได้ 4.) มีการไฮไลต์สีส่วนโค้ดของเราให้เห็นความแตกต่างจากโค้ด...

Trustwave ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ของสหราชอาณาจักรฯ เตือนบริษัทต่างชาติที่จะเข้าไปลงทุนในจีน ให้ระวังตัวจากซอฟต์แวร์ภาษีของจีนที่มีมัลแวร์ติตมาด้วย โดย Trustwave สืบพบจากลูกค้าของตัวเองหลังติดตั้งซอฟต์แวร์ที่ธนาคารแห่งหนึ่งในจีนให้มา Trustwave ตั้งชื่อมัลแวร์ว่า ‘GoldenSpy’ ที่พบในซอฟต์แวร์ภาษีของจีนที่ชื่อ Aisino Intelligent Tax Software หลังจากพบเหตุการณ์แปลกๆ ในเครือข่ายของลูกค้า ถึงแม้ว่าซอฟต์แวร์ภาษีจะทำงานได้ตามฟังก์ชันหลักจริงแต่สิ่งที่ติดมาก็คือมัลแวร์ อย่างไรก็ดีแม้ว่าเป็นเรื่องธรรมดาหากซอฟต์แวร์จะมีฟีเจอร์ Remote Access เพื่อไว้ใช้ Debug ได้ แต่หลังจากวิเคราะห์พฤติกรรมของ GoldenSpy แล้วเชื่อว่าไม่น่าจะหวังดี โดยฟีเจอร์ที่พบมีดังนี้ มีการทำ Persistent ให้เริ่มต้น Service กลับมาได้หากหยุดรันไป มีการติดตามว่าหากถูกลบก็จะกลับมาใหม่ได้  ฟังก์ชัน Uninstall ของซอฟต์แวร์ภาษีไม่ได้ลบ GoldenSpy ออกไปด้วย หลังติดตั้งซอฟต์แวร์ภาษีออกไปแล้ว 2 ชั่วโมง GoldenSpy ถึงถูกเรียกติดตั้งอย่างเงียบๆ GoldenSpy ไม่ได้ติดต่อโดเมนเดียวกับซอฟต์แวร์ แต่มีโดเมนแยกต่างหากที่ชื่อ...

AWS ได้เปิดตัวบริการที่ช่วยให้บุคคลทั่วไปสามารถสร้างเว็บหรือแอปพลิเคชันมือถือได้แม้จะเขียนโค้ดไม่เป็นก็ตาม ขอเพียงมีความรู้เกี่ยวกับเรื่องการใช้งาน Speedsheet เท่านั้น Amazon Honeycode  เป็นบริการที่ช่วยให้ผู้สนใจสามารถสร้างเว็บหรือแอปพลิเคชันมือถือได้ง่ายๆ ทั้งนี้ขอเพียงมีความรู้การใช้งาน Speedsheet, Table, ตัวแปร และสูตรก็เริ่มใช้ได้เลย โดย AWS ได้เตรียมฟอร์มเริ่มต้นที่เป็นตัวอย่างหรือว่าจะสร้างเองนับหนึ่งใหม่ก็ได้ โดยหน้าตาการจัดการข้อมูลก็ง่ายๆ ตามรูปด้านบน นอกจากนี้ยังมีฟังก์ชันที่ผู้ใช้งาน Speedsheet คุ้นเคยกันให้ด้วย รวมถึงสามารถเพิ่ม Trigger Event เช่นส่งอีเมลได้ด้วย ขั้นตอนต่อมาเมื่อจัดการเรื่องข้อมูลเสร็จแล้ว ผู้ใช้งานก็สามารถเข้าไปดีไซน์หน้าตาแอปของตัวเองได้ที่  Honeycode Builder  เพื่อลิงก์หน้าแอปเข้ากับส่วนข้อมูลที่ได้สร้างเอาไว้ แต่ความเจ๋งของบริการนี้อีกประการคือจะมีหน้าตา UI บนมือถือและหน้าเว็บมาให้ (ลิงก์ถึงกันอยู่ เมื่อมีการเปลี่ยนแปลงโปรแกรมจะปรับหน้าตาให้ทั้งคู่) นอกจากนี้ยังรองรับได้ทั้งแอปบน iOS หรือ Android รวมถึงหากต้องการเชื่อมต่อกับแอปพลิเคช...

Google Analytics เป็นเครื่องมือที่ช่วยให้เจ้าของเว็บได้ข้อมูลการเข้าเยี่ยมชม แต่ล่าสุดแฮ็กเกอร์ก็หาทางใช้ประโยชน์จากช่องทางนี้เพื่อรันแคมเปญการขโมยข้อมูลของเว็บไซต์ E-commerce อีกจนได้ มาถึงตรงนี้หลายคนอาจจะงงว่า เอ๊ะแล้วปกติเว็บไซต์ไม่มีการป้องกันอะไรไว้เลยหรอ ความจริงก็คือต้องอธิบายก่อนว่าปกติแล้วเว็บไซต์มีกลไกที่ชื่อ Content Security Policy (CSP) ที่ช่วยป้องกันไม่ให้โค้ดที่ไม่ปลอดภัยรันในเว็บได้ แต่ประเด็นคือปกติมักจะมีการเปิดยกเว้น Google Analytics API ในผู้ใช้ CSP อยู่แล้ว ซึ่งตรงนี้เองสิ่งที่คนร้ายทำก็คือการใช้สคิร์ปต์ของ Analytics แบบพิเศษด้วย TAG-ID ของตนเองเข้ามาลอบขโมยข้อมูลในหน้าเว็บไซต์ได้ โดย CSP ไม่สามารถแยกแยะได้ระดับ TAG-ID ด้วยเหตุนี้จึงเกิดการ Bypass ขึ้นแล้ว โค้ดสาธิตจาก PerimeterX (ตามรูปด้านบน) ถัดมา Sansec ได้รายงานว่าตั้งแต่ 17 มีนาคมที่ผ่านมา พบแคมเปญการโจมตีลักษณะนี้ในเว็บไซต์ด้าน E-commerce หลายสิบแห่ง ซึ่งคนร้ายได้ทำให้เนียนมาขึ้นไปอีก ด้วยการรับข้อมูลที่ได้ผ่าน firebasestorage.googleapis.com ที่เป็นบริการปกติ ซึ่งโดยทั่วไปมักคิดว่าคนร้ายต้องใช้เซิร์ฟเวอ...

กลุ่มแฮ็กเกอร์ที่ชื่อ ‘Distributed Denial of Secrets’ หรือ DDoSecrets ได้เผยแพร่ข้อมูลที่อ้างว่าเป็นของหน่วยงานตำรวจหลายร้อยแห่ง ซึ่งเข้าถึงได้ผ่านอินเทอร์เน็ต โดยตั้งชื่อให้ชุดข้อมูลชุดใหญ่ขนาดกว่า 296 GB ครั้งนี้ว่า ‘Blueleaks’ ในเว็บไซต์เผยแพร่อ้างว่าข้อมูลชุดนี้มีไฟล์ข้อมูลจากหน่วยงานตำรวจกว่า 200 แห่งและมีอายุข้อมูลกว่า 20 ปี ประกอบด้วยข้อมูล เอกสาร วีดีโอ อีเมล ไฟล์เสียง รูปภาพ และอื่นๆ หลักล้านไฟล์ นอกจากนี้ยังมีข้อมูลจากศูนย์ประสานงานหรือ Fusion Center ซึ่งมีหน้าที่คอยประสานงานด้านข้อมูลระหว่างหน่วยงานระดับรัฐฯ กับตำรวจท้องถิ่น  โดยมีการยืนยันมากจาก National Fusion Center Association (NFCA) ว่าข้อมูลที่รั่วไหลนั้นเป็นข้อมูลภายในจริง ที่คาดว่าคนร้ายอาจได้มากเซิร์ฟเวอร์ของผู้ให้บริการเว็บโฮสต์ให้หน่วยงานรัฐที่ชื่อ Netsential อย่างไรก็ดีถึงแม้ว่า DDoSecrets จะเป็นคนเปิดเผยข้อมูลแต่ก็บอกว่าอันที่จริงแล้วมีกลุ่มแฮ็กเกอร์ไม่ประสงค์ออกนามส่งให้ตนอีกทีหนึ่ง แต่ค่อนข้างชัดเจนว่านี่ถือเป็นกรณีของแฮ็กเกอร์นักเคลื่อนไหวที่มีแรงจูงใจเรื่องการเมืองอย่าง ‘Hacktivist’ ที่เข้...

Microsoft ได้ออกมาประกาศว่า Microsoft Defender Advanced Threat Protection (ATP) ระบบ Enterprise Endpoint Security Platform สามารถตรวจจับและป้องกันผู้ใช้งานจาก UEFI Malware ได้แล้วด้วยความสามารถใหม่ UEFI Scanner ที่ถูกเพิ่มเติมเข้ามา ความสามารถนี้จะช่วยให้ผู้ใช้งานมั่นใจว่าระบบ Secure Boot จะทำงานได้ถูกต้อง ลดโอกาสที่จะถูกโจมตีลงได้หลากหลายรูปแบบ ตัวอย่างเช่นก่อนหน้านี้ที่เคยมีการใช้ UEFI Rootkit อย่างเช่น LoJax ในการโจมตีเมื่อปี 2018 เป็นต้น UEFI Scanner นี้ถูกพัฒนาขึ้นด้วยความร่วมมือกับผู้ผลิตชิปที่เป็นพันธมิตรของ Microsoft โดยระบบจะทำการตรวจสอบ Firmware Filesystem และทำการสอบทานความมั่นคงปลอดภัยซ้ำอีกครั้งหนึ่ง ซึ่งการตรวจสอบนี้จะเกิดขึ้นโดยอัตโนมัติเป็นระยะต่อเนื่องไปเรื่อยๆ รวมถึงหากมีการทำ Driver Load ที่ต้องสงสัย ระบบก็จะทำการตรวจสอบโดยอัตโนมัติเองทันที เมื่อ UEFI Scanner ตรวจพบเหตุการณ์ต้องสงสัย ระบบจะทำการส่งข้อมูลไปยัง Microsoft Defender Security Center เพื่อทำการตรวจสอบต่อไป ที่มา:  https://www.bleepingcomputer.com/news/security/microsoft-defender-atp-now-detects...

หลังจากก่อนหน้านี้ Zoom ได้เตรียมเปิดฟีเจอร์เข้ารหัสแบบ End-to-End แก่ผู้ใช้งานที่จ่ายเงิน และมีเสียงวิพากวิจารณ์ตามมามากมาย ซึ่งล่าสุด Zoom ได้ประกาศให้ฟีเจอร์นี้สามารถเข้าถึงได้ทุกคนทั้งแบบฟรีหรือเสียเงินก็ตาม ฟีเจอร์เข้ารหัสแบบ End-to-End จะเปิดให้ใช้งานได้ในเดือนกรกฏาคมนี้ภายใต้เวอร์ชันทดสอบ (Beta) อย่างไรก็ดีแม้ข้อมูลจะถูกเข้ารหัสแต่ Zoom ก็ยังรับผิดชอบสังคมในการต่อสู้กับเนื้อหาที่อาจล่วงละเมิดที่สุ่มเสี่ยงต่างๆ ด้วยการใช้ Machine Learning เพื่อตรวจสอบเนื้อหาเข้ารหัส รวมถึงผู้ที่ต้องการใช้ฟีเจอร์เข้ารหัสจะต้องถูกตรวจสอบข้อมูลตัวตนมากขึ้นเช่นกัน สำหรับใครที่สนใจศึกษาอัลกอริทึม End-to-End Encryption ของ Zoom สามารถศึกษาเพิ่มเติมได้ที่  GitHub   ที่มา :   https://www.zdnet.com/article/zoom-backtracks-and-plans-to-offer-end-to-end-encryption-to-all-users/

ทีมนักวิจัยจาก JSOF ได้พบกลุ่มช่องโหว่ Zero-day กว่า 19 รายการหรือตั้งชื่อว่า ‘Ripple20’ ซึ่งพบในไลบรารีของ TCP/IP หนึ่งที่สร้างขึ้นมาตั้งแต่ปี 1997 โดยจนถึงปัจจุบันมีการใช้งานอย่างแพร่หลายและประเมินว่าน่าจะมีอุปกรณ์ IoT ได้รับผลกระทบกว่า 100 ล้านชิ้นในหลากหลายอุตสาหกรรม Ripple20 เกิดขึ้นไลบรารี TCP/IP ของบริษัทที่ชื่อ  Treck  ซึ่งทำให้อุปกรณ์หรือซอฟต์แวร์สามารถเชื่อมต่ออินเทอร์เน็ตได้บน TCP/IP ประเด็นที่ JSOF ได้สนใจเพราะว่าไลบรารีตัวนี้ถูกนำไปใช้ในอุปกรณ์ IoT มากมายหลากหลายอุตสาหกรรมทั้ง Healthcare, ปริ้นท์เตอร์, เราเตอร์, อุปกรณ์ในดาต้าเซ็นเตอร์, อุปกรณ์ในภาคอุตสาหกรรม, Power Grid, อุปกรณ์ตามบ้าน, ระบบขนส่ง หรือแม้กระทั่งอุปกรณ์สื่อสารผ่านดาวเทียม มือถือ และอื่นๆ  ช่องโหว่จำนวนหนึ่งมีระดับร้ายแรงดังนี้ CVE-2020-11896 (10/10)  – จัดการ Parameter Length ของ IPv4/UDP ในแพ็กเก็ตที่ถูกส่งเข้ามาได้ไม่ดีพอทำให้สามารถนำไปสู่ Remote Code Execution CVE-2020-11897 (10/10)  – จัดการ Parameter Length ของ IPv6 ในแพ็กเก็ตที่ถูกส่งเข้ามาได้ไม่ดีพอทำให้สามารถนำไปสู่ o...

เมื่อวันอาทิตย์ที่ผ่านมาสำนักข่าวท้องถิ่นของแอฟริกาใต้ได้รายงานเหตุความเสียหายที่เกิดขึ้นกับ  Postbank  ซึ่งเป็นธนาคารแห่งหนึ่งในแอฟริกาใต้ ได้ประสบเหตุว่าพนักงานภายในเข้าถึง Master Key และนำไปใช้ขโมยเงินลูกค้ากว่า 3.2 ล้านดอลล่าร์สหรัฐฯ แต่ยังมีความเสียหายเพิ่มจากการที่ต้องออกบัตรต่างๆ ให้ลูกค้าใหม่กว่า 12 ล้านใบ Host Master Key (HMK) นั้นเป็นกุญแจหลักที่ธนาคารจะนำไปใช้เพื่อปกป้องกุญแจอื่นทั้งหมดในระบบเมนเฟรม ซึ่งทำให้คนที่ได้คีย์นี้ไปอาจเข้าถึง ATM Pin, ข้อมูลลูกค้า, บัตรเครดิต ทั้งนี้ก็แล้วแต่การออกแบบโครงสร้างระบบของแต่ละธนาคารแตกต่างกันไป โดยปกติแล้วถือเป็นสิ่งสำคัญสูงสุดที่ต้องมีมาตรการเช่น เก็บคีย์ในเซิร์ฟเวอร์ที่จำกัดการเข้าถึงตั้งแต่เชิงกายภาพ บุคคลเดียวไม่สามารถเข้าถึงคีย์ได้ทั้งหมดให้ต้องทำร่วมกันหลายคน และต้องมีการเปลี่ยนแปลงอยู่เรื่อยๆ  อย่างไรก็ตาม Postbank ถือเป็นอีกกรณีหนึ่งกับการบริหารจัดการคีย์ที่ไม่ดีพอเพราะจากแหล่งข่าวรายงานว่า พนักงานได้เข้าถึง Master Key 36 หลักและนำไปใช้สร้าง Transaction ปลอมกว่า 25,000 รายการเพื่อขโมยเงินจากลูกค้าไปได้กว่า...

Symantec เผยผลการศึกษาการโจมตีทางอินเทอร์เน็ตในช่วงไตรมาสแรกของปี 2020 ที่ผ่านมา พบว่าทั่วโลกมีการโจมตีทางอีเมล์ ฟอร์มในหน้าเว็บไซต์ และโจมตีระบบ IoT เพิ่มมากขึ้น โดยคีย์เวิร์ดเกี่ยวกับ COVID-19 ติดโผได้รับความนิยมในการโจมตีแบบอีเมล์ Phishing และอีเมล์แฝง Malware ตามรายงาน Threat Landscape Trends – Q1 2020 ในช่วงไตรมาสแรกที่ผ่านมา การโจมตีแบบ Phishing กลับมามีอัตราที่สูงอีกครั้ง หลังเสื่อมความนิยมไปในช่วงปี 2019 โดย Symantec พบว่ามีอีเมล์ Phishing ถึง 1 ในทุกๆ 4,200 อีเมล์ โดยส่วนหนึ่งอาจเป็นผลมาจากการโจมตีทางอีเมล์ที่มีเนื้อหาและหัวข้อเกี่ยวกับโรคโควิด 19 ที่ระบาดอย่างรุนแรงในช่วงดังกล่าว ตั้งแต่เดือนกุมภาพันธ์ Symantec เห็นจำนวนที่เพิ่มขึ้นและได้ทำการบล็อคอีเมล์ไม่ประสงค์ดีที่มีคีย์เวิร์ดอย่าง “coronavirus” “corona” หรือ “COVID-19” ถึง 5,000 ฉบับ ทว่าในเดือนมีนาคม จำนวนอีเมล์เหล่านี้เพิ่มขึ้นสูงเป็น 82,000 ฉบับ โดยในระยะเริ่มต้น เป็นการโจมตีแบบ Phishing และ Malspam (อีเมล์ที่แฝงมาด้วย Malware) เป็นหลัก ก่อนจะเปลี่ยนมาเป็นการโจมตีในรูปแบบ Snowshoe spam ซึ่งเป็นการส่งอีเมล์โจมต...

Data Center ของจีนที่ถูกสร้างในเมือง Lhasa ณ เขตปกครองตนเองทิเบตได้ประกาศสร้างเฟสแรกเสร็จแล้ว และกลายเป็น Data Center ที่อยู่สูงที่สุดในโลกในเวลานี้ Data Center แห่งนี้จะมีพื้นที่รวมทั้งหมดมากถึง 645,000 ตารางเมตร และสำหรับพื้นที่ภายในอาคารสำหรับใช้สอยนั้นจะมีขนาด 400,000 ตารางเมตร โดยมีความสูงอยู่เหนือน้ำทะเล 16,500 ฟุต โดยการลงทุนสร้าง Data Center ในครั้งนี้มีมูลค่าสูงถึง 1,700 ล้านเหรียญหรือราวๆ 51,000 ล้านบาท ซึ่งบริษัทที่จะดูแล Data Center แห่งนี้ก็คือ Tibet Ningsuan Technology Group ซึ่งมีภาครัฐถือหุ้นอยู่ส่วนหนึ่ง และได้มีการแบ่งโครงการลงทุนครั้งนี้ออกเป็น 3 เฟสด้วยกัน เมื่อ Data Center แห่งนี้ถูกสร้างเสร็จแล้ว ก็จะสามารถรองรับตู้ Rack ได้มากถึง 70,000 ตู้ และคาดว่าจะสร้างรายได้ได้มากถึง 1,700 ล้านเหรียญหรือราวๆ 51,000 ล้านบาทต่อปีเลยทีเดียว ทั้งนี้เมื่อปี 2018 ทาง Alibaba ได้ลงนามร่วมกับ Tibet Ningsuan Technology เพื่อนำบริการ Cloud ของตนเองมาให้บริการภายใน Data Center แห่งนี้ด้วย เพื่อให้องค์กรต่างๆ ของจีนและประเทศอื่นๆ สามารถนำไปใช้งานในอุตสาหกรรมด้านพลังงาน, การเงิน, ...

FBI ได้ออกมาเตือนถึงแนวโน้มที่คนร้ายสนใจโจมตีผู้ใช้งานแอปพลิเคชันที่ทำธุรกรรมออนไลน์ผ่านมือถือมากขึ้น ภาวะวิกฤติของโรคภัยเป็นปัจจัยเร่งทำให้ผู้ใช้งานหันมาพึ่งพาแอปพลิเคชันบนมือถือเพื่อทำธุรกรรมมากขึ้น จากเดิมที่เคยมีอัตราเติบโตสูงอยู่แล้วในปีก่อนๆ ด้วยเหตุนี้เอง FBI จึงประเมินว่าคนร้ายจะใช้เทคนิคต่างๆ เพื่อโจมตีผู้ใช้งานเหล่านั้น นอกเหนือจากการใช้แอปพลิเคชันปลอม และ Banking Trojan ไอเดียก็แอปพลิเคชันปลอมคือคนร้ายสร้างแอปปลอมของธนาคารขึ้นมาให้เหยื่อเข้าใจผิดและยอมกรอก Credentials เข้ามาล็อกอิน แต่วิธีการนี้ต้องมีการร้องขอสิทธิ์ให้แอปเพื่อลัดผ่านการป้องกันอื่นเช่น OTP ได้ ในขณะที่ Banking Trojan นั้นเกิดจากการที่เหยื่อไปโหลดแอปที่มี Trojan เข้ามา หลังจากนั้นมัลแวร์จะอยู่เฉยๆ รอจนถึงตอนที่เหยื่อเปิดแอปธนาคารตัว Trojan จะทำหน้าล็อกอินปลอมซ้อนไปเหนือแอปปกตินั้น ให้เหยื่อหลงเชื่อยอมกรอกข้อมูล สำหรับฝั่งการป้องกัน FBI แนะวิธีการไว้ง่ายๆ คือ เลือกดาวน์โหลดแอปจากแหล่งที่น่าเชื่อถือจากธนาคารโดยตรงหรือ Google Play Store และ App Store  เปิดใช้งาน 2FA หรือ MFA ซึ่งจะช่วยเพิ่มความยากได...

ARM ได้ออกมาเผยถึงบั๊กที่เกิดขึ้นกับ Armv8-A (Cortex-A) ซึ่งพบปัญหา Side-Channel Attack เช่นกัน บั๊ก SLS หรือที่ย่อมาจาก Straight-Line Speculation คือ Side-Channel Speculative Execution Attack  ซึ่งทาง ARM เองชี้ว่าเหมือนบั๊ก Spectre ที่เกิดขึ้นกับ Intel เพียงแต่ SLS ส่งผลกระทบกับ Armv-A เท่านั้น อย่างไรก็ตามบริษัทก็แนะว่าการโจมตีจริงนั้นเป็นไปได้ยากในทางปฏิบัติ แต่ก็ได้ทำงานร่วมกับพาร์ทเนอร์มาระยะเวลาหนึ่งแล้ว เช่น Free-BSD, OpenBSD, Trusted Firmware-A และ OP-TEE เป็นต้นเพื่อบรรเทาปัญหาที่ระดับ Firmware และ OS นอกจากนี้ ARM ยังแชร์แพตช์ในโปรเจ็ค GCC และ LLVM หรือ Compiler ยอดนิยมที่ช่วยป้องกันให้นักพัฒนาตั้งแต่ระดับการคอมไพล์โค้ดกันปัญหาตั้งแต่ต้น ทั้งนี้ SLS (CVE-2020-13844) ถูกค้นพบโดยทีมงาน Google SafeSide ที่ฟอร์มทีมกันมาเพื่อเรื่อง Side-channel Attack โดยเฉพาะ ที่มา :   https://www.zdnet.com/article/arm-cpus-impacted-by-rare-side-channel-attack/

เมื่อคืนที่ผ่านมามีสำนักข่าวหลายแห่งได้รายงานเหตุ IBM Cloud ล่มเป็นวงกว้าง ซึ่งคาดว่าจะเกิดปัญหากับส่วนเครือข่ายหลัก Techcrunch ได้รายงานว่าเหตุการณ์เกิดขึ้นราวๆ 2.30 (Pacific Time ประมาณตีสองบ้านเรา) ได้เกิดเหตุบริการ Cloud ของ IBM ล่ม แม้กระทั่งหน้าแสดงสถานะของตนยังส่ง Internal Server Error กลับมา โดยจากหน้า IBM Aspera ยอมรับว่าพบปัญหาทางเครือข่ายจริง ซึ่งหลังจากผ่านไปเกือบ 3 ชั่วโมงบริการต่างๆ จึงทยอยกลับมาใช้ได้ ดังนั้นสำหรับผู้ใช้เมื่อคือก็ไม่ต้องแปลกใจครับ กระทบกันทั้งหมด ที่มา :   https://techcrunch.com/2020/06/09/ibm-cloud-suffers-prolonged-outage/

ทาง Betanews ได้แจกฟรีหนังสือสอนการทดสอบเจาะระบบ โดยสามารถโหลดฟรีได้ถึงวันที่ 17 มิถุนายนนี้ หนังสือฟรีเล่มนี้มีจำนวนเนื้อหาเกือบ 400 หน้า โดยไอเดียคือการสอนคอนเซปต์การ Penetration ตั้งแต่การตั้งแลปขึ้นมาเอง การใช้งาน Kali Linux ซึ่งมีรายละเอียดปลีกย่อยเช่น NMAP, Nessus, Wireshark/tcpdump, Burp Suite ไปจนถึงการทำ Password Cracking, Social Engineering, Exploit Module รวมถึงการยกระดับสิทธิ์ หลบเลี่ยงการตรวจจับ Persistence และอื่นๆ สำหรับใครที่สนใจยังโหลดได้ถึงวันที่ 17 มิถุนายนนี้ ที่นี่ ที่มา :   https://betanews.com/2020/06/05/get-learn-penetration-testing-free/

Bhavuk Jain นักวิจัยด้านความมั่นคงปลอดภัยจากอินเดียออกมาเปิดเผยถึงช่องโหว่ความรุนแรงระดับ Critical บนระบบ  “Sign in with Apple”  ซึ่งช่วยให้แฮ็กเกอร์สามารถบายพาสการพิสูจน์ตัวตนและเข้าควบคุมบัญชีของผู้ใช้บน 3rd Party Services และ Applications ที่ลงทะเบียนเปิดให้ล็อกอินผ่าน Sign in with Apple ได้ Sign in with Apple เป็นระบบลงทะเบียนจาก Apple ที่เปิดตัวภายในงานประชุม WWDC เมื่อปีที่ผ่านมา โดยชูจุดเด่นเรื่อง Privacy ในการลงทะเบียน กล่าวคือ ผู้ใช้สามารถลงทะเบียนบน Services และ Applications ภายนอกได้โดยไม่จำเป็นต้องเปิดเผยอีเมลของตน (รวมไปถึง Apple ID ด้วยเช่นกัน) Jain  เปิดเผย ว่า ช่องโหว่ที่เขาค้นพบอยู่มีสาเหตุมาจากวิธีการที่ Apple ตรวจสอบผู้ใช้ฝั่ง Client-side ก่อนที่จะเริ่มส่งคำร้องขอจาก Authentication Server ของ Apple โดยปกติแล้ว ขณะพิสูจน์ตัวตนผ่านทาง Sign in with Apple นั้น Authentication Server จะสร้าง JSON Web Token (JWT) ซึ่งบรรจุุข้อมูลลับที่ Applications ภายนอกใช้เพื่อยืนยันตัวของผู้ใช้ที่จะลงทะเบียน อย่างไรก็ตาม Jain พบว่าแม้ Apple จะร้องขอให้ผู้ใช้ล็อกอินบั...