Amazon ประกาศปรับปรุงความปลอดภัยครั้งสำคัญสำหรับ Amazon Redshift บริการคลังข้อมูลยอดนิยม โดยเพิ่มการตั้งค่าเริ่มต้นใหม่เพื่อป้องกันการรั่วไหลของข้อมูลที่อาจเกิดจากการตั้งค่าที่ไม่ปลอดภัย
Read More »
ช่วงต้นเดือนที่แล้ว Cloudflare ได้เปิดตัว Automatic SSL/TLS settings ที่จะปรับแต่งค่าต่าง ๆ ให้อัตโนมัติ ช่วยทำให้การทำ Encryption Mode ของผู้ให้บริการในการสื่อสารกับเครื่องต้นทางได้ง่ายขึ้นกว่าเดิม
Read More »
ALPACA attack หรือ ‘application layer protocol content confusion attack’ ซึ่งเป็นงานวิจัยระดับอุดมศึกษาของมหาวิทยาลัยในเยอรมันนี ที่จะไปแสดงในงาน Black Hat USA 2021 ในเดือนสิงหาคมนี้ โดยหลักๆคือส่งผลกระทบในวงกว้างในโปรโตคอล TLS ที่นำไปสู่การขโมยข้อมูลผู้ใช้งานได้
Read More »
AWS ประกาศรองรับการทำ TLS Termination ที่ชั้นของ Network Load Balancer ได้แล้ว ทำให้ Back-end Server สามารถลดปริมาณการประมวลผลที่เกิดขึ้นในการเข้ารหัสลงได้
Read More »
IETF ได้ออกมาประกาศเปิดตัวมาตรฐาน TLS 1.3 รุ่นสมบูรณ์แล้วอย่างเป็นทางการ โดยการปรับปรุงมาตรฐานครั้งใหญ่นี้ได้ถูกออกแบบมาเพื่อรองรับโลกของ Internet แห่งอนาคตโดยเฉพาะหลังจากเริ่มต้นพัฒนากันมาตั้งแต่ช่วงเดือนเมษายนปี 2014 โดยประเด็นต่างๆ ที่ถูกเปลี่ยนไปในมาตรฐานครั้งนี้มีดังนี้
Read More »
หลายๆ คนคงเคยได้ยินชื่อของ QUIC ในฐานะของเทคโนโลยีที่ Google ใช้งานเป็นการภายในทดแทน TCP + TLS เพื่อให้การเชื่อมต่อต่างๆ เป็นไปได้อย่างรวดเร็วยิ่งขึ้น ตอนนี้ทาง Google ได้นำ QUIC มาให้เราใช้งานกันได้แล้วบน HTTPS Load Balancer ของ Google Cloud Platform (GCP)
Read More »
นักวิจัยจาก Fidelis Cybersecurity ได้พบช่องโหว่เพื่อแอบแฝงข้อมูลแบบใหม่โดยใช้กระบวนการมาตรฐานของ Public Key Certificate อย่าง X.509 แบบปกติเพื่อแอบแฝงข้อมูลการสื่อสารแบบ C&C ที่ใช้ควบคุมเครื่องเหยื่อหลังฝังตัวได้แล้ว โดยมาตรฐาน X.509 ถูกใช้ในโปรโตคอลการเข้ารหัสอย่าง TLS และ SSL
Read More »
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Sudo Security Group ออกมาเปิดเผยถึงช่องโหว่บนแอพพลิเคชันที่ปรากฏบน Apple Store ระบุไม่น้อยกว่า 76 แอพพลิเคชันที่ดำเนินการเข้ารหัส TLS ไม่ได้มาตรฐาน ส่งผลให้ผู้ใช้แอพพลิเคชันเสี่ยงถูกดักฟังข้อมูลและถูกโจมตีแบบ Man-in-the-Middle ได้
Read More »
Google บริษัท Search Engine ยักษ์ใหญ่อันดับหนึ่ง กำลังทดสอบอัลกอริธึมสำหรับเข้ารหัสข้อมูลแบบใหม่ ชื่อว่า “New Hope” ซึ่งทนทานต่อการถูกแคร็กโดย Quantum Computer ระบบคอมพิวเตอร์ประสิทธิภาพสูงที่ใช้หลักการทำงานของกลศาสตร์ควอนตัม โดยหวังว่าจะนำมาใช้แทนการเข้ารหัสที่ใช้งานอยู่ในปัจจุบัน
Read More »
DROWN Attack นับว่าเป็นช่องโหว่ความรุนแรงสูงล่าสุดบน OpenSSL ซึ่งส่งผลกระทบต่อเว็บไซต์และบริการอีเมลที่ใช้โปรโตคอลการเข้ารหัสแบบเก่า คือ SSLv2 กว่า 11 ล้านเครื่องทั่วโลก ช่องโหว่นี้ช่วยให้แฮ็คเกอร์สามารถถอดรหัสการเชื่อมต่อแบบ HTTPS เพื่อขโมยดูข้อมูลที่สำคัญ เช่น รหัสผ่านหรือข้อมูลบัตรเครดิตได้ ที่สำคัญคือ เป็นการโจมตีที่ใช้ต้นทุนต่ำ และใช้เวลาโจมตีสำเร็จได้เพียงไม่กี่ชั่วโมง
Read More »
Microsoft ได้ออกมาประกาศถึงการรองรับ Transport Layer Security (TLS) 1.2 บน Client Driver และ Microsoft SQL Server แล้ว โดยมีรายการของ Client Driver และ MS SQL Server ที่รองรับดังนี้
Read More »
หลังจากที่ OpenSSL ได้ออกมาประกาศให้เราเตรียม Patch อุดอีก 2 ช่องโหว่กันไปเมื่อสองวันก่อน วันนี้ OpenSSL ปล่อย Patch ออกมาเรียบร้อยแล้วครับ โดยช่องโหว่ที่อุดในครั้งนี้มีด้วยกันสองระดับความร้ายแรง
Read More »
SEC Consult บริษัทผู้ให้คำปรึกษาทางด้านความปลอดภัยของยุโรป ได้ออกมาเปิดเผยผลการตรวจสอบอุปกรณ์ Internet of Things หรือ Embedded Device หลายล้านชิ้นทั่วโลก พบว่าอุปกรณ์เหล่านี้มีการใช้ TLS และ SSH Private Key ร่วมกัน ส่งผลให้ถ้า Key หลุดรอดไปถึงมือแฮ็คเกอร์ แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-middle อุปกรณ์อื่นๆในเครือเดียวกันได้ทันที อุปกรณ์ IoT กว่า 4,000,000 เครื่องใช้ Privae Key ร่วมกัน 230 แบบ SEC Consult ได้ทำการวิเคราะห์เฟิร์มแวร์ของอุปกรณ์ IoT เช่น Router, Modem, IP Camera, VoIP Phone และอื่นๆ กว่า 4,000 รุ่น จาก 70 แบรนด์ทั่วโลก พบว่ามีการใช้ Private Key สำหรับ SH และ HTTPS แตกต่างกันเพียงแค่ …
Read More »
INSIDE secure ผู้ให้บริการโซลูชัน Embedded Security ชั้นนำของฝรั่งเศส ได้ประกาศเปิดตัว MatrixSSL Tiny ซอฟต์แวร์สำหรับเข้ารหัสแบบ Transport Layer Security (TLS) ขนาดเล็กที่สุดในโลก ซึ่งถูกออกแบบมาให้เพิ่มความปลอดภัยแก่อุปกรณ์จำพวก Internet of Things ที่มีทรัพยากรในการใช้งานจำกัดโดยเฉพาะ
Read More »
2 นักวิจัยด้านความปลอดภัยชาวเบลเยี่ยม Mathy Vanhoef และ Frank Piessens จาก University of Leuven ได้เผยแพร่งานวิจัยล่าสุด ซึ่งประสบความสำเร็จในการโจมตีเว็บไซต์ที่ใช้อัลกอริธึมในการเข้ารหัสแบบ RC4 บนโปรโตคอล TLS (รวมทั้งบน WPA-TKIP) รูปแบบใหม่ โดยอาศัยการเก็บข้อมูล Cookie ของเหยื่อแล้วทำการถอดรหัสได้ภายในเวลา 75 ชั่วโมง ซึ่งนับว่าเร็วที่สุดตั้งแต่เคยมีงานวิจัยด้านนี้มา
Read More »
OpenSSL Project ได้ประกาศออกแพทช์อัพเดท Library ที่เกี่ยวของกับการเข้ารหัสข้อมูล (Open-source Cryptographic Library) เพื่ออุดช่องโหว่ที่ค้นพบในตลอดช่วงเวลาที่ผ่านมา หนึ่งในนั้นคือ LogJam (CVE 2015-4000) ซ่องโหว่ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถโจมตีแบบ Man-in-the-Middle โดยการแอบดักฟังและแก้ไขข้อมูลที่เข้ารหัสระหว่างเครื่องคอมพิวเตอร์ได้ “LogJam เป็นช่องโหว่บนโปรโตคอล TLS ที่ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle ได้ ด้วยการดาวน์เกรดการเชื่อมต่อ TLS ที่ใช้อัลกอริธึมสำหรับแลกเปลี่ยนกุญแจเข้ารหัสแบบ Diffie-Hellman ให้กลายเป็นการเข้ารหัสแบบ 512-bit Export-grade” — OpenSSL Project อธิบายใน Advisory เมื่อวันพฤหัสบดีที่ผ่านมา อ่านรายละเอียดช่องโหว่ Logjam ได้ที่นี่ OpenSSL ได้ทำการเสริมการป้องกันให้แก่ TLS Client ด้วยการบังคับให้ปฏิเสธการทำ Handshake ด้วยการเข้ารหัสแบบ Diffie-Hellman ที่มีความยาวสั้นกว่า 768 bits ซึ่งการจำกัดความยาวนี้จะถูกปรับให้เพิ่มขึ้นเป็น 1024 bits ในอนาคต เพื่อให้การเข้ารหัสมีความแข็งแรงมากยิ่งขึ้น สำหรับผู้ที่ใช้งาน OpenSSL แนะนำว่าให้อัพเกรด OpenSSL เป็นเวอร์ชัน 1.0.2b …
Read More »
หลายหมื่นเว็บไซต์ เซิฟเวอร์อีเมลล์ และเซอร์วิสบนระบบอินเตอร์เน็ตที่ใช้ HTTPS กำลังตกเป็นเป้าหมายของแฮ็คเกอร์ เนื่องจากช่องโหว่ในการเข้ารหัสรูปแบบใหม่ เรียกว่า LogJam ช่วยให้ผู้ไม่ประสงค์ดีสามารถโจมตีแบบ Man-in-the-Middle โดยการแอบดักฟังและแก้ไขข้อมูลที่เข้ารหัสระหว่างเครื่องคอมพิวเตอร์ได้
Read More »
เมื่อสัปดาห์ที่ผ่านมา Mozilla ได้ออก Firefox เวอร์ชันใหม่ล่าสุด (v32) สำหรับระบบปฏิบัติการ Windows, Mac, Linux และ Android ซึ่งมีการเพิ่มประสิทธิภาพด้านความปลอดภัยมากมาย โดยเฉพาะคุณสมบัติในการป้องกันการโจมตีแบบ Man-in-a-Middle
Read More »
TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
