WikiLeaks เว็บไซต์จอมแฉเอกสารลับของรัฐบาลและบริษัทต่างๆ ออกมาเปิดเผยถึงข้อมูลชุดเครื่องมือแฮ็ค โค้ดเนมว่า Vault 7 ซึ่งทางบริษัทอ้างว่าเป็นข้อมูลของชุดเครื่องมือที่หน่วยข่าวกรองสหรัฐฯ หรือ CIA ใช้งาน โดยมีขนาด 513 MB พร้อมเปิดให้ผู้ที่สนใจดาวน์โหลดไปอ่านได้ทันทีผ่าน Torrent
Read More »
สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “Security Development Lifecycle (SDL) 101 เขียนโค้ดไม่ปลอดภัย เป็นบาป” โดย MaYaSeVeN ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถดูวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ
Read More »
Anand Prakash นักวิจัยด้านความปลอดภัยได้ค้นพบบั๊กที่ทำให้สามารถนั่ง Uber ได้ฟรีเมื่อเดือนสิงหาคม 2016 ที่ผ่านมา
Read More »
พบช่องโหว่บน 3 เว็บแอพพลิเคชันชื่อดัง รวมไปถึง PayPal.com Omer Gil หัวหน้าทีมความมั่นคงปลอดภัยสารสนเทศของ EY Hacktics Advanced Security Center จากอิสราเอล ออกมาเปิดเผยถึงช่องโหว่บน Caching Server ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีเพื่อหลอกให้ Server แคชข้อมูลความลับ เช่น ข้อมูลส่วนบุคคลและข้อมูลการเงิน จากนั้นเข้าไปขโมยข้อมูลจากที่แคชไว้ได้ Gil ตั้งชื่อการโจมตีนี้ว่า Web Cache Deception Attack
Read More »
HackerOne ผู้ให้บริการแพลตฟอร์มสำหรับทำ Bug Bounter Program ชั้นนำของโลก ประกาศเปิดให้โปรเจ็คท์ Open-source สามารถลงทะเบียนเพื่อจัดทำ Bug Bounty Program ได้ฟรี พร้อมสนับสนุนให้เหล่าผู้พัฒนา Open-source ออกแบบแอพพลิเคชันให้มีความมั่นคงปลอดภัยมากยิ่งขึ้น
Read More »
ไม่กี่วันที่ผ่านมา เกิดเหตุการณ์ Amazon S3 ในแถบรัฐเวอร์จิเนียตอนเหนือ (N. Virginia หรือ US-EAST-1 Region) ประสบปัญหาทำงานผิดปกติ ซึ่งส่งผลกระทบต่อบริการอื่นๆ ที่เชื่อมโยงกับ S3 และทำให้ผู้ใช้บริการ AWS หลายล้านรายไม่สามารถให้บริการลูกค้าได้ จนถึงตอนนี้ทราบสาเหตุแล้วว่าเกิดจากการที่วิศวกรของ AWS รันคำสั่งผิด
Read More »
นักวิจัยด้านความมั่นคงปลอดภัยนาม East-Ee ออกมาเปิดเผยถึงสิ่งที่เขาเรียกว่า “ช่องโหว่ทางตรรกะ (Logic Vulnerability)” ซึ่งช่วยให้เขาสามารถสร้างสคริปต์ Python เพื่อบายพาสการตรวจสอบว่าเป็น Bot ของ ReCAPTCHA กว่าล้านเว็บไซต์ได้โดยใช้บริการของ Google อีกรายการหนึ่ง คือ Speech Recognition API
Read More »
หลังจากมีการค้นพบและแพตซ์ช่องโหว่ Deserialization (หรือในอีกชื่อหนึ่ง: Mad Gadget) ใน Apache Commons Collections และซอฟต์แวร์สำหรับองค์กรหลายตัว พนักงานหญิงของกูเกิลคนหนึ่งค้นพบว่าโปรเจคโอเพ่นซอร์สบน github จำนวนมากยังคงมีช่องโหว่นี้อยู่ และนั่นเป็นจุดเริ่มต้นของปฏิบัติการแพตซ์โปรเจคโอเพ่นซอร์สมากกว่า 2,000 โปรเจคบน github
Read More »
TechTalkThai จับมือเป็น Media Partner กับ Black Hat พร้อมเชิญชวนผู้ที่สนใจทางด้าน Security เข้าร่วมงานประชุมระดับนานาชาติ “Black Hat Asia 2017” ที่ประเทศสิงคโปร์ในวันที่ 28 – 31 มีนาคมนี้ พร้อมมอบส่วนลด 15% ทันทีเมื่อใส่โค้ด “BHATTT17” ขณะลงทะเบียน
Read More »
Sucuri บริษัทที่ปรึกษาด้าน Web Security ชื่อดัง ออกมาเปิดเผยถึงช่องโหว่ SQL Injection บน NextGEN Gallery ซึ่งเป็น Plugin ของ WordPress ที่มียอดดาวน์โหลดมากกว่า 1,000,000 ครั้ง ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลสำคัญของเว็บไซต์ออกจากฐานข้อมูลได้
Read More »
Jason Geffner และ Jan Bee นักวิจัยด้านความมั่นคงปลอดภัยจาก Google ออกมาเปิดเผยถึงช่องโหว่บนซอฟต์แวร์ Endpoint Antivirus 6 for macOS ของ ESET ซึ่งช่วยให้แฮ็คเกอร์สามารถสั่งรันโค้ดแปลกปลอมบนเครื่องของเหยื่อโดยใช้สิทธิ์ Root จากระยะไกลโดยไม่จำเป็นต้องพิสูจน์ตัวตนได้ แนะให้ผู้ใช้อัปเดตแพทช์ล่าสุดโดยด่วน
Read More »
เพียงแค่วันเดียวหลังจากที่ Google ประกาศว่า สามารถพัฒนาการโจมตีเพื่อให้ค่าแฮช SHA-1 ของเอกสารที่แตกต่างกัน 2 ชุดมีค่าตรงกันได้ หรือที่เรียกว่า SHA-1 Collision Attack นักพัฒนาจาก WebKit ซึ่งเป็น Web Browser Engine สำหรับใช้ใน Safari, App Store และแอพพลิเคชันอื่นของ Apple ก็ออกมาเปิดเผยถึงปัญหาของ Subversion (SVN) Repositories ที่ใช้เก็บซอร์สโค้ดอันเนื่องมาจากการโจมตีดังกล่าว
Read More »
Tavis Ormandy นักวิจัยด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาเปิดเผยถึงช่องโหว่ Buffer Overflow บน CloudFlare ผู้ให้บริการ CDN และ Web Security ชื่อดัง ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลสำคัญของเว็บไซต์เหล่านั้น ไม่ว่าจะเป็น Passwords, Cookies และ Tokens ที่ใช้ในการพิสูจน์ตัวตนออกไปได้ โดยเรียกช่องโหว่นี้ว่า Cloudbleed
Read More »
SHA-1 หรือ Secure Hash Algorithm 1 ฟังก์ชันแฮชยอดนิยมเตรียมสาบสูญไปจากโลก หลังจากที่ทีมนักวิจัยจาก Google และสถาบัน Centrum Wiskunde & Information (CWI) ประเทศเนเธอร์แลนด์ ประสบความสำเร็จในการพัฒนาวิธีโจมตีเพื่อให้ค่าแฮช SHA-1 ของเอกสารที่แตกต่างกัน 2 ชุดมีค่าตรงกัน ที่สำคัญคือเร็วกว่าการโจมตีแบบ Brute Force ถึง 100,000 เท่า
Read More »
สำหรับผู้ที่ไม่อยากลง Kali Linux ไว้บนโน๊ตบุ๊ค เนื่องจากสเป็คคอมไม่เพียงพอ หรือมีปัญหาในการเข้าถึง Kali Linux โดยใช้ IP จริง ปัญหาเหล่านี้สามารถแก้ไขได้ไม่ยากโดยการติดตั้ง Kali Linux บนระบบ Cloud ของ Amazon Web Services (EC2)
Read More »
Microsoft ออกรายงาน Security Intelligence Report ฉบับที่ 21 ซึ่งเป็นรายงานผลการวิเคราะห์ภาพรวมของภัยคุกคามในประเทศไทยตั้งแต่เดือนมกราคมถึงมิถุนายน 2016 ไม่ว่าจะเป็น การเจาะระบบ ช่องโหว่ หรือมัลแวร์ โดยรวบรวมข้อมูลจาก ISP และคอมพิวเตอร์กว่า 600 ล้านเครื่องทั่วโลก ผู้ที่สนใจสามารถดาวน์โหลดรายงานได้ฟรี
Read More »
Andrey Konovalov นักวิจัยด้านความปลอดภัย ได้ค้นพบช่องโหว่ Privilege Escalation บน Linux Kernel โดยช่องโหว่นี้มีมาตั้งแต่ปี 2005 แล้ว และส่งผลกระทบต่อทั้ง Redhat, Debian, OpenSUSE และ Ubuntu โดยปัจจุบันมีการออก Patch มาใน Mainline Linux Kernel แล้ว
Read More »
Alexander Klink และ Timothy Morgan นักวิจัยด้านความมั่นคงปลอดภัยออกมาเปิดเผยถึงช่องโหว่บนภาษา Java และ Python ซึ่งช่วยให้แฮ็คเกอร์สามารถบายพาส Firewall ไม่ว่าจะเป็น Cisco หรือ Palo Alto Networks ได้ผ่านทางการแทรกคำสั่งแปลกปลอมเข้าไปยังคำร้องขอเชื่อมต่อ FTP ได้
Read More »
Black Hat พร้อมจัดงานประชุม Black Hat Asia 2017 ซึ่งเป็นงานสัมมนาทางด้าน Security ระดับโลกที่ประเทศสิงคโปร์ ผู้ที่สนใจทางด้าน Offensive Security และเทคนิคการเจาะระบบรูปแบบใหม่แนะนำให้รีบลงทะเบียนเข้าร่วมงานทันที
Read More »
Zcoin ระบบเงิน Digital น้องใหม่คล้าย Bitcoin ออกมาแถลงการณ์ยอมรับว่า เกิดความผิดพลาดในการเขียนโค้ดโปรแกรม ส่งผลให้สูญเสียเงินไปถึง 370,000 Zcoin หรือประมาณ 20,000,0000 บาทแก่แฮ็คเกอร์จากช่องโหว่ที่เกิดขึ้น
Read More »
TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย