Security News

This is Security News

  • Microsoft Office គឺជាកម្មវិធីដែលត្រូវបានវាយលុកច្រើនជាងគេបង្អស់ដោយឧក្រិដ្ឋជនអ៊ិនធឺណិត

    បញ្ជីនៃភាពងាយរងគ្រោះបំផុតដែលត្រូវបានគេបានវាយលុកនៅក្នុងឆ្នាំ 2018 បានបង្ហាញថា Microsoft Office គឺជាជនរងគ្រោះនៃឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណេតច្រើនជាងគេបំផុត។ ភាពងាយរងគ្រោះរបស់ Microsoft Office លេចឡើង 8 ដង នៅក្នុងបញ្ជីជាមួយភាពងាយរងគ្រោះរបស់ Adobe Flash Player និងភាពងាយរងគ្រោះនៃប្រព័ន្ធអ៊ិនធឺណិត AndroidRAT ដែលជាកំហុសឧបករណ៍ទូរស័ព្ទតែមួយគត់នៅក្នុងបញ្ជី។ បញ្ជីនេះត្រូវបានចងក្រងដោយក្រុមហ៊ុន…

    Read More »
  • មេរោគចាប់ជំរិតវាយលុកក្រុមហ៊ុនយក្សពិភពលោកផលិតអាលុយមីយ៉ូម

    យោងតាមព័ត៌មានពីវេបសាយ Channel News Asia បានឲ្យដឹងថា ក្រុមហ៊ុន Norsk Hydro ដែលជាក្រុមហ៊ុនយក្សមួយក្នុងចំណោមក្រុមហ៊ុនដ៏ធំលើពិភពលោកក្នុងការផលិតនូវអាលុយមីញ៉ូម បាននឹងកំពុងប្រយុទ្ធប្រឆាំងជាមួយនឹងការវាយប្រហារតាមអ៊ិនធឺណិត ដែលបានធ្វើឲ្យមានការផ្អាកនូវខ្សែសង្វាក់ផលិតកម្មរបស់ខ្លួន – ដែលនេះគឺជាឧទាហរណ៍ចុងក្រោយមួយ នៃការខូចខាតដោយហេគឃ័រដែលកើតមានឡើងចំពោះអាជីវកម្ម និងឧស្សាហកម្ម។ យោងតាមសេចក្តីប្រកាសព័ត៌មានមួយដែលត្រូវបានចែករំលែកដោយក្រុមហ៊ុនអាលុយមីញ៉ូម Norsk Hydro កាលពីថ្ងៃអាទិត្យ ក្រុមហ៊ុននេះបានបិទរោងចក្រជាបណ្តោះអាសន្នហើយបានប្តូរទៅជាប្រតិបត្តិការដោយដៃនៅពេលដែលអាចធ្វើទៅបាន…

    Read More »
  • ចំនុចខ្សោយនៅក្នុង WinRAR អាចតំឡើងមេរោគចាប់ជំរិតក្នុងម៉ាស៊ីនអ្នកបាន

    មេរោគចាប់ជំរិតថ្មីបំផុតមួយមានឈ្មោះថា JNEC.a បាននឹងកំពុងរីករាលដាលតាមរយៈចំនុចខ្សោយថ្មីមួយដែលទើបរកឃើញថ្មីៗនេះ ដើម្បីធ្វើការគ្រប់គ្រងទៅលើម៉ាស៊ីនកុំព្យូទ័រ និងទាមទារឲ្យអ្នកបង់ប្រាក់។ ការវាយលុកនេះ គឺបានប្រើប្រាស់នូវចំនុខ្សោយនៅក្នុង WinRAR ACE code injection ហើយហេគឃ័របាននឹងកំពុងវាយលុកទៅលើចំនុចខ្សោយនេះដើម្បីចូលទៅកាន់ប្រព័ន្ធកុំព្យូទ័រតាមមធ្យោបាយផ្សេងៗ។ WinRAR គឺជាកម្មវិធីដ៏ពេញនិយមមួយ សម្រាប់ធ្វើការ compress ទៅលើឯកសារនានា ហើយដែលត្រូវបានប្រើប្រាស់ប្រមាណជា ៥០០លាននាក់ជុំវិញពិភពលោក។ ចំនុចខ្សោយដែលមានរយៈពេល…

    Read More »
  • ការវាយលុកដ៏សំបើមដោយរំលងមុខងារ​ MFA នៅលើ Office 365 and G Suite

    ក្នុងរយៈពេលប៉ុន្មានខែកន្លង ការគំរាមកំហែងបានកំណត់គោលដៅទៅលើគណនី Office 365 និង G Suite Cloud ដោយប្រើប្រាស់ Protocol IMAP ដើម្បីរំលង (bypass) ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវច្រើនស្រទាប់ ឬ Multi-Factor Authentication ។ ក្រុមអ្នកជំនាញនៅ Proofpoint…

    Read More »
  • ការគ្រប់គ្រងពាក្យសម្ងាត់ និងការអនុវត្តល្អៗ

    ខាងក្រោមនេះគឺជាការអនុវត្តល្អៗពាក់ព័ន្ធទៅនឹងការគ្រប់គ្រងពាក្យសម្ងាត់ និងការថែទាំពាក្យសម្ងាត់ទាំងនោះ។ ខាងក្រោមនេះគឺចែកចេញជា ៣ ផ្នែកធំៗមាន​ ១/ការអនុវត្តល្អៗ ២/មិនលើកទឹកចិត្តឲ្យប្រើប្រាស់ និង ៣/មិនត្រូវប្រើប្រាស់។ ១. ការអនុវត្តល្អៗ សូមប្រើប្រាស់ជាលក្ខណៈឃ្លាល្បៈ (passphrase)Passphrases គឺជាឃ្លាមួយដែលរួមមានពាក្យជាច្រើនបញ្ចូលគ្នា លាយឡំជាមួយនឹងតួអក្សរពិសេស លេខ និងតួអក្សរធំ/តូចបញ្ចូលគ្នាជាច្រើន ហើយងាយស្រួលក្នុងការចងចាំវាមានភាពងាយស្រួលក្នុងការចងចាំជាងពាក្យសម្ងាត់អ្នកអាចប្រើប្រាស់វាពាក្យសម្ងាត់មេ​ នៅពេលណាដែលអ្នកប្រើប្រាស់កម្មវិធី Password…

    Read More »
  • Citrix ត្រូវបានហេគ និងបាត់បង់ទិន្ន័យជាង ៦តេរ៉ាបៃ

    ក្រុមហ៊ុនកម្មវិធីកុំព្យូទ័រសហគ្រាសដ៏ពេញនិយមដែលគេស្គាល់ថា Citrix ដែលផ្តល់សេវាកម្មដល់យោធាអាមេរិក, FBI, សាជីវកម្មអាមេរិក និងទីភ្នាក់ងាររដ្ឋាភិបាលសហរដ្ឋអាមេរិកជាច្រើន បានបង្ហាញពីការជ្រាបចេញទិន្នន័យដ៏ធំនៃបណ្តាញផ្ទៃក្នុងរបស់ខ្លួនដោយ “ឧក្រិដ្ឋជនអ៊ិនធឺណិតអន្ដរជាតិ” ។ Citrix បាននិយាយថា ខ្លួនត្រូវបានព្រមានដោយ FBI កាលពីថ្ងៃពុធសប្តាហ៍មុនថា ពួក Hacker បរទេសបានវាយលុកប្រព័ន្ធ IT របស់ខ្លួននិងលួច “ឯកសារអាជីវកម្ម”…

    Read More »
  • ធ្វើការអាប់ដេត Chrome ជាបន្ទាន់

    អ្នកស្រាវជ្រាវសន្តិសុខមានឈ្មោះថា Clement Lecigne មកពីក្រុមវិភាគការគំរាមកំហែងរបស់ ក្រុមហ៊ុន Google បានរកឃើញ និងរាយការណ៍ភាពងាយរងគ្រោះធ្ងន់ធ្ងរខ្លាំងនៅក្នុង Chrome កាលពីចុងខែមុនដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយធ្វើការប្រតិបត្តិកូដនិងគ្រប់គ្រងពេញលេញលើកុំព្យូទ័រ។ ភាពងាយរងគ្រោះ ឬចំនុចខ្សោយដែលបានកំណត់ជាលេខ CVE-2019-5786 ប៉ះពាល់ដល់កម្មវិធីរុករកអ៊ីនធឺណិតសម្រាប់ប្រព័ន្ធប្រតិបត្តិការសំខាន់ៗទាំងអស់រួមទាំង Microsoft Windows, MacOS និង Linux ។…

    Read More »
  • ប្រទេសថៃអនុម័តច្បាប់សន្តិសុខ អ៊ិនធឺណិត (Cybersecurity Law)

    តាមព័ត៌មានពីកាសែត Straitstimes បានឱ្យដឹងថា រដ្ឋសភាថៃកាលពីពេលថ្មីៗនេះបានអនុម័តច្បាប់ស្តីពីសន្តិសុខតាមអ៊ីនធឺណិតដ៏ចម្រូងចម្រាសដែលផ្តល់អំណាចយ៉ាងច្រើនដល់ស្ថាប័នគ្រប់គ្រងអ៊ិនធឺណិតរបស់រដ្ឋាភិបាល ទោះបីជាមានការព្រួយបារម្ភពីក្រុមហ៊ុននិងសកម្មជនពាក់ព័ន្ធទៅនឹងការរំលោភបំពានលើអំណាច។ ច្បាប់ស្តីពីសន្តិសុខអ៊ិនធឺណិតដែលត្រូវបានអនុម័តជាឯកច្ឆ័យគឺជានិន្នាការចុងក្រោយបំផុតនៅក្នុងរលកនៃច្បាប់ថ្មីនៅក្នុងបណ្តាប្រទេសអាស៊ី ដែលអះអាងពីការគ្រប់គ្រងរបស់រដ្ឋាភិបាល លើអ៊ីនធឺណិត។ ក្រុមអ្នកតស៊ូមតិសេរីភាពស៊ីវិល, ក្រុមហ៊ុនអ៊ិនធឺណិត និងក្រុមជំនួញបានតវ៉ាប្រឆាំងនឹងច្បាប់ដោយនិយាយថាខ្លួននឹងលះបង់សិទ្ធិឯកជន និងនីតិរដ្ឋ ហើយព្រមានថាការដាក់បន្ទុកនៃអនុលោមភាពទៅតាមច្បាប់អាចជំរុញឱ្យក្រុមហ៊ុនបរទេសចេញពីប្រទេសថៃ។ រដ្ឋាភិបាលយោធាបានជំរុញឱ្យមានច្បាប់ជាច្រើនដែលខ្លួនបាននិយាយថានឹងគាំទ្រសេដ្ឋកិច្ចឌីជីថលរបស់ប្រទេសនេះ រួមទាំងការធ្វើវិសោធនកម្មច្បាប់កុំព្យូទ័រឧក្រិដ្ឋកម្មនៅឆ្នាំ 2017 ដែលត្រូវបានប្រើដើម្បីបង្ក្រាបអ្នកប្រឆាំង។ សកម្មជនសេរីភាពអ៊ីនធឺណិតបានហៅច្បាប់នេះថាជា “ច្បាប់អាជ្ញាសិកតាមអ៊ីនធឺណិត” ព្រោះវាគ្របដណ្ដប់គ្រប់នីតិវិធីទាំងអស់…

    Read More »
  • ពិបាកចាំពាក្យសម្ងាត់៖ គួរចាប់ផ្តើមប្រើប្រាស់កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់

    តើអ្នកមានពាក្យសម្ងាត់ចំនួនប៉ុន្មាន? អ្នកទាំងអស់គ្នាអាចចាប់ផ្តើមធ្វើការរាប់ពាក្យសម្ងាត់របស់អ្នកលេងៗមើល នោះអ្នកប្រាកដជាមានការភ្ញាក់ផ្អើលជាមិនខាន។ នៅរាល់សេវាកម្មអនឡាញនិមួយៗ បើសិនជាអ្នកចង់ប្រើប្រាស់វា នោះអ្នកនឹងត្រូវការនូវ ឈ្មោះគណនី (username) និងពាក្យសម្ងាត់​ (password)។ ក្នុងខណៈពេលដែលសេវាអនឡាញមានការកើនឡើងជារៀងរាល់ថ្ងៃ នោះពាក្យសម្ងាត់ដែលអ្នកត្រូវប្រើប្រាស់ក៏នឹងមានច្រើនផងដែរ។ ដោយសារតែមានឧក្រិដ្ឋជនបច្ចេកវិទ្យាមានកើនឡើង នោះអ្នកត្រូវតែមានពាក្យសម្ងាត់ដែលខ្លាំងមិនអាចបំបែកបាន។ ពាក្យសម្ងាត់ដែលខ្លាំង គឺអាចត្រូវបានបង្កើតឡើងដោយសារមានការបញ្ចូលគ្នានៃលេខ, និមិ្មតសញ្ញា, តួអក្សរតូច, តួអក្សរធំ ហើយមិនត្រូវប្រើប្រាស់ពាក្យដែលមាននៅក្នុងវចនានុក្រមឡើយ។…

    Read More »
  • តើក្រុមក្រហម និងខៀវផ្តល់អត្ថប្រយោជន៍យ៉ាងដូម្តេច?

    ក្រុមក្រហម និងក្រុមខៀវ គឺជាយុទ្ធសាស្ត្រពីរផ្សេងពីគ្នាសម្រាប់ធ្វើការវាយតម្លៃ​ (assessment) ទៅលើស្ថានភាពសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មានរបស់អង្គភាព។ នៅក្នុងអត្ថបទនេះ អ្នកនឹងស្វែងយល់ដឹងអំពីគុណសម្បត្តិធំៗនៃវិធីសាស្រ្តរបស់ក្រុមមួយៗ ហើយនឹងថាតើក្រុមទាំងពីរនេះអាចផ្តល់ផលវិបាកយ៉ាងដូចម្តេចខ្លះនៅពេលដែលយើងធ្វើការតេស្តទៅលើសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន (penetration testing)។ តើអ្វីទៅជា Red Team និង Blue Team? ក្រុមទាំងពីរខាងលើនេះគឺជាការប្រើប្រាស់អភិក្រម​ (approaches)…

    Read More »
  • ប្រយ័ត្នបើឃើញមានពាក្យ​ ‘Invoice’ នៅក្នុងអ៊ីមែ៉ល ឬក៏ឯកសារភ្ជាប់ជាប្រភេទ MS- Office

    បើតាមរបាយការណ៍ចុងក្រោយស្តីអំពីការគំរាមគំហែងសន្តិសុខតាមប្រព័ន្ធអ៊ិនធឺណិតរបស់ក្រុមហ៊ុន Symantec បានបង្ហាញថា ១ ក្នុងចំណោមអ៊ីម៉ែល ៤១២ ដែលបានផ្ញើរក្នុងឆ្នាំ២០១៨ គឺជាមេរោគ។ បើសិនជាអ្នកទទួលបានអ៊ីម៉ែលដែលមានប្រធានបទ (subject) ថា​ “bill” ឬ “email delivery failure” ដែលមាន keywords ដូចជា “invoice”…

    Read More »
  • Training: Basic Cyber Incident Analysis

    វគ្គបណ្តុះបណ្តាលស្តីពី “មូលដ្ឋានគ្រឹះនៃការវិភាគឧប្បទេវហេតុសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៍មាន” ក្រុមការងារ SecuDemy.com សហការណ៍ជាមួយនឹងវិទ្យាស្ថាន INSTINCT នឹងរៀបចំវគ្គបណ្តុះបណ្តាលមួយផ្តោតទៅលើចំណេះដឹង និងជំនាញជាមូលដ្ឋានក្នុងការវិភាគទៅលើឧប្បទេវហេតុសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន (Basic Cyber Indient Anaysis) នានា ដែលកើតមានឡើងនៅក្នុងអង្គភាពរបស់អ្នក។ គោលបំណងនៃវគ្គបណ្តុះបណ្តាលនេះ នឹងផ្តល់ឲ្យអ្នកសិក្សាទាំងអស់នូវជំនាញមូលដ្ឋានសម្រាប់ធ្វើការវិភាគស្វែងរកភស្តុតាងនានាដែលជាផ្នែកមួយនៃការស្រាវជ្រាវរកមូលហេតុនៃឧប្បទេវហេតុទាំងមូល ដែលនៅក្នុងនោះរួមមានៈ យល់ដឹងអំពីមុខងារជាមូលដ្ឋាននៃក្រុមការងារឆ្លើយតបឧប្បទេវេហតុសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍…

    Read More »
  • សំណួរសាកល្បងសម្រាប់ប្រឡងយក CISSP

    ខាងក្រោមនេះគឺជាសំណួរសាកល្បងសម្រាប់ប្រឡងយកវិញ្ញាបនប័ត្រ CISSP ដែលអ្នកដែលចង់ធ្វើការប្រឡងគួរធ្វើការសាកល្បងឆ្លើយ CISSP_Baseline_Exam_V5.5Download

    Read More »
  • ពាក្យសម្ងាត់ប្រវែង០៨តួៈ គួបញ្ឈប់ការប្រើប្រាស់

    វាដល់ពេលដែលយើងត្រូវធ្វើការបោះចោលពាក្យសម្ងាត់ដែលមានប្រវែងប្រាំបីតួ ឬតិចជាងនេះហើយ ដោយអ្នកត្រូវប្រើប្រាស់ពាក្យសម្ងាត់យ៉ាងហោចណាស់ប្រវែង១២តួវិញ។ ពាក្យសម្ងាត់ដែលមានប្រវែងប្រាំបីតួ ឬតិចជាងនេះ ត្រូវបានបំលែង “hashed” ដោយប្រើប្រាស់នូវបច្ចេកទេសទូលំទូលាយមួយគឺ NTLM algorithm របស់ Microsoft ហើយក្នុងពេលនេះត្រូវបានគេបំបែកបានហើយដោយប្រើប្រាស់ពេលវេលាស្មើនឹងខ្សែភាពយន្តមួយប៉ុណ្ណោះ។ បើតាមហេគឃ័រមានឈ្មោះថា “Tinker” បានប្រាប់ទៅដល់សារព័ត៌មាន The Register កាលពីពាក់កណ្តាលខែកុម្ភៈ បានឲ្យដឹងថា…

    Read More »
  • ចំនុចទាំង5 នៃអ៊ីម៉ែលក្លែងបន្លំៈ សូមគិតអោយច្បាស់មុនពេលអ្នកចុច!

    ការចុចតែមួយម្តង អាចជាភាពខុសគ្នារវាងការថែរក្សាសុវត្ថិភាពទិន្នន័យ និងទទួលរងការបាត់បង់ហិរញ្ញវត្ថុដ៏ធំសម្បើម។ ចាប់ពីពេលដែលមានបុគ្គលិកម្នាក់ធ្លាក់ក្នុងអន្ទាក់អ៊ីម៉ែលក្លែងបន្លំហើយនោះ អាជីវកម្មរបស់អ្នកគឺងាយរងការលួចទិន្នន័យ និងការខាតបង់យ៉ាងធំ។ សូមមើលចំនុចទាំង ៥ ខាងក្រោម៖ ១. អក្ខរាវិរុទ្ធ និងវេយ្យាករណ៍មានការសរសេរខុសច្រើន ខណៈពេលដែលការប្រៀបធៀបនេះកើតឡើងម្តងម្កាលក៏ដោយ តែវាពិតជាល្អបំផុតសម្រាប់យើង ដែលថាអ៊ីម៉ែលដែលសរសេរមានកំហុសពាក្យពេជន៍ជាច្រើននោះគឺជាសញ្ញាព្រមានមួយសម្រាប់រឿងនេះ។ ក្រុមហ៊ុនជាច្រើនគឺមានយន្តការក្នុងការត្រួតពិនិត្យទៅលើអក្ខរាវិរុទ្ធ និងផ្ទៀងផ្ទាត់ពាក្យពេចន៍ច្រើនលើកច្រើនសារមុននឹងបញ្ជូនចេញ។ ហេតុដូច្នេះ សារដែលមានកំហុសឆ្គងពាក្យពេចន៍ គឺទំនងជាសារក្លែងបន្លំ។…

    Read More »
Back to top button