บริการ PromptPay เปิดให้บริการบนแอป mobile banking ตั้งแต่วันอังคารที่ผ่านมา ตอนนี้บริการบนเว็บก็เปิดให้ใช้งานแล้ว นับเป็นการเปิดตัวเต็มขั้นแรก

กระบวนการโอนเงินจะต่างกันไปเล็กน้อยตามแต่ละธนาคาร เช่น ธนาคารกรุงเทพจะเปิดให้ใส่หมายเลขโทรศัพท์หรือเลขบัตรประชาชนได้โดยตรงไม่ต้องสั่งเพิ่มบัญชีก่อนเช่นเดิม แล้วค่อยรับ OTP ก่อนโอนเงินทุกครั้ง ขณะที่ธนาคารไทยพาณิชย์จะต้องสั่งเพิ่มบัญชีและยืนยันผ่าน OTP ก่อน

กูเกิลประกาศสร้าง root CA ของตัวเองสำหรับการเชื่อมต่อกับบริการของกูเกิลโดยใช้ชื่อว่า Google Trust Services ชื่อในใบรับรอง ได้แก่ GTS Root R1, R2, R3, และ R4

ใบรับรองสำหรับเว็บกูเกิลเองก่อนหน้านี้ออกใบรับรองผ่าน intermediate CA ของกูเกิลเอง ที่ชื่อว่า Google Internet Authority G2 (GIAG2) ที่ได้รับการรับรองจาก GeoTrust มาอีกที ตอนนี้กูเกิลระบุว่ายังคงใช้ GIAG2 ต่อไปแต่หลังจากนี้จะเริ่มกระบวนการย้ายมาใช้โครงสร้างของตัวเอง

ในช่วงเปลี่ยนผ่านที่กูเกิลยังไม่ได้เข้าไปอยู่ใน trusted root CA ของซอฟต์แวร์ต่างๆ ใบรับรองจะได้รับการ cross sign โดย root CA เดิม ได้แก่ GS Root R3 และ GeoTrust ดังนั้นสำหรับคนทั่วไปก็น่าจะเชื่อมต่อได้โดยไม่มีปัญหาใดๆ

เฟซบุ๊กประกาศรองรับมาตรฐาน FIDO U2F นับเป็นบริการขนาดใหญ่ล่าสุดที่ประกาศรองรับ หลังจากกูเกิล, Dropbox, และ GitHub

เฟซบุ๊กรองรับการล็อกอินเฉพาะเว็บเท่านั้น ทำให้ต้องล็อกอินด้วย U2F เป็นทางเลือกเพิ่มเติมไปก่อน แต่เว็บสำหรับโทรศัพท์มือถือก็สามารถใช้งานได้ หากตัวโทเค็น U2F รองรับ NFC

U2F มีความได้เปรียบกว่าการล็อกอินสองขั้นตอนอื่นๆ ที่มันสามารถป้องกันการโจมตี phishing ได้เพราะตัวกุญแจจะไม่ส่งรหัสผ่านจากเว็บหนึ่งไปยังเว็บอื่นๆ โดยตัวเบราว์เซอร์เป็นผู้แจ้งชื่อเว็บเข้าไปยังกุญแจ USB

หลังจากวันนี้มีข่าว root CA ของรัฐบาลไทยได้รับการเชื่อถือจากไมโครซอฟท์ ตอนนี้ผู้ใช้วินโดวส์จำนวนหนึ่งน่าจะได้รับอัพเดตที่มี root CA นี้เข้ามาในเครื่องแล้ว สำหรับคนที่ไม่ต้องการใช้งานน่าจะมีคนเขียนบทความจำนวนมากเพื่อแนะนำวิธีการถอนใบรับรองนี้ออกจากเครื่อง

ในทางกลับกันมีผู้ใช้จำนวนหนึ่งที่เชื่อใจรัฐบาลเป็นอย่างยิ่งและต้องการให้เข้ามาช่วยดูแลความปลอดภัย อาจจะต้องผิดหวังเพราะผู้ผลิตซอฟต์แวร์รายอื่นๆ ยังไม่รับรอง สำหรับ Chrome บน Windows นั้นไม่เป็นปัญหาเพราะใช้ฐานข้อมูล root CA ของวินโดวส์โดยตรง แต่กับไฟร์ฟอกซ์กลับใช้ฐานข้อมูลของตัวเองทำให้ใช้งาน root CA ตัวนี้ไม่ได้

Privacy International ออกรายงาน "Who's That Knocking At My Door?" รายงานถึงความพยายามในการบล็อคเว็บและการเข้าถึงข้อมูลส่วนตัวของรัฐบาลไทยในช่วงหลายปีที่ผ่านมา ในรายงานระบุถึงประเด็นสำคัญคือตอนนี้ไมโครซอฟท์เป็นผู้ผลิตซอฟต์แวร์หลักรายเดียวที่ยอมรับ root CA ของรัฐบาลไทย

มาตรฐาน FIDO U2F เป็นมาตรฐานการยืนยันตัวตนขั้นสองที่สอง (second factor) ที่กูเกิลผลักดันและมีแนวโน้มจะได้รับการยอมรับเป็นวงกว้าง ตอนนี้ผู้ให้บริการเครือข่ายโทรศัพท์มือถือรายใหญ่ในเกาหลีอย่าง SK Telecom ก็เข้ามาตลาดนี้ด้วยการเปิดตัวสมาร์ตวอชที่มี FIDO

ประกาศของ SK Telecom ไม่ได้บอกโดยตรงว่าสมาร์ตวอชนี้มีสเปคอย่างไรและใช้มาตรฐาน U2F หรือ UAF แต่หน้ารายการสินค้าที่ได้รับการรับรองของ FIDO ก็ระบุถึงสมาร์ตวอชของ SK Telecom เอาไว้เป็น SK Telecom U2F Authtenticator 1.0 for Android Wear

กลุ่มแฮกเกอร์ที่แฮกตู้เอทีเอ็มในไต้หวันได้เงินไป 70 ล้านดอลลาร์ไต้หวันเมื่อเดือนกรกฎาคมปีที่แล้วและน่าจะเป็นกลุ่มที่มีความเชื่อมโยงกับกลุ่มที่แฮกตู้เอทีเอ็มในไทย ตอนนี้ผู้ต้องหากลุ่มแรกที่ถูกจับสามคนก็ขึ้นศาลชั้นต้นจนได้รับคำพิพากษาแล้ว

ไฟร์ฟอกซ์ออกรุ่น 51.0 ตามรอบการอัพเดตปกติ แต่รอบบนี้มีความเปลี่ยนแปลงสำคัญคือการแสดงสัญลักษณ์เตือนว่าเว็บ HTTP ไม่ได้เข้ารหัสเป็นเว็บไม่ปลอดภัย หากเว็บนั้นมีแบบฟอร์มให้ใส่รหัสผ่าน

แนวทางนี้เป็นแนวทางเดียวกับ Chrome ที่จะปรับรูปแบบการแสดง URL ของเว็บไม่เข้ารหัสว่าไม่ปลอดภัยตั้งแต่ Chrome 56 เป็นต้นไป

สำหรับฟีเจอร์อื่นๆ ที่ปรับปรุงในรุ่นนี้ เช่น ปุ่มซูมเว็บจะแสดงในช่อง URL เมื่อผู้ใช้ปรับซูม, ปรับปรุงความเร็วในการเล่นวิดีโอ, รองรับไฟล์เสียง FLAC, และรองรับ WebGL 2 เพิ่มเติม

ที่มา - Mozilla

บริการ PromptPay เปิดตัวตั้งแต่กลางปีที่แล้ว โดยมีกำหนดการเปิดบริการเดิมที่วันที่ 31 ตุลาคม แต่หลังจากเลื่อนมาไม่ถึงสามเดือนตอนนี้บริการก็เริ่มเปิดให้ประชาชนทั่วไปใช้งานแล้ว โดยเปิดเฉพาะบริการบนแอปโทรศัพท์มือถือเท่านั้นในช่วงแรก ส่วนบนเว็บยังใช้งานไม่ได้

ปัญญาประดิษฐ์พิสูจน์ตัวเองว่าสามารถเอาชนะมนุษย์ได้ในการแข่งขันเกมโกะในปีที่แล้ว ปีนี้อีกวงการที่ปัญญาประดิษฐ์กำลังเอาชนะมนุษย์อีกครั้งคือวงการพนัน เมื่อ Rivers Casino จัดแข่งขันโปกเกอร์ Texas Hold'em ระหว่างระบบปัญญาประดิษฐ์ Libratus กับโปรอีกสี่คนตั้งแต่วันที่ 11 มกราคมที่ผ่านมา (รายการแข่งมีถึงวันที่ 30 มกราคมนี้) และตอนนี้ระบบปัญญาประดิษฐ์กำลังทิ้งห่างคู่แข่งมนุษย์ทุกรายไปเรื่อยๆ

การแข่งขันกับโปรสี่คน ได้แก่ Dong Kim, Jason Les, Jimmy Chou, และ Daniel Mcaulay ปัญญาประดิษฐ์ Libratus เป็นฝ่ายนำทั้งหมด รวมชิปรางวัลนำไปแล้ว 794,392 ดอลลาร์

ปีนี้เป็นปีแรกของการคืนภาษีผ่าน PromptPay ทำให้มีเรื่องที่ไม่ชัดเจนอยู่บ้าง โดยเฉพาะผู้ที่ไม่ได้สมัคร PromptPay ว่ากระบวนการคืนจะเป็นอย่างไร ล่าสุดทาง PPTV ได้สอบถามไปยังสรรพากรและได้รับคำตอบว่าผู้ที่ไม่ลงทะเบียนอาจจะต้องรอการคืนเงินนานถึง 45 วัน

สิงคโปร์เดินหน้าแผนการปิดเครือข่าย 2G ทั้งเกาะเพื่อนำคลื่นความถี่ไปจัดสรรใหม่สำหรับเทคโนโลยีประสิทธิภาพสูงกว่าเดิม โดยกำหนดการปิดเครือข่าย 2G จะอยู่ที่เดือนเมษายนนี้

ตอนนี้ยังมีผู้ใช้เครือข่าย 2G ในสิงคโปร์อีก 140,000 ราย ส่วนมากเป็นแรงงานข้ามชาติ หรือผู้สูงอายุที่ไม่ต้องการใช้เทคโนโลยีใหม่ โดยเครือข่าย 2G เริ่มใช้งานในสิงคโปร์มาตั้งแต่ปี 1994 หรือ 23 ปีก่อน

มัลแวร์ Mirai สำหรับการเจาะเข้าอุปกรณ์ IoT ที่เปิดทางเข้าผ่านอินเทอร์เน็ต ถูกปล่อยซอร์สมาตั้งแต่ต้นเดือนตุลาคม และภายในเวลาไม่ถึงเดือน ก็มีคนนำมัลแวร์ไปควบคุมบอตเน็ตขนาดใหญ่เพื่อโจมตี Dyn ปริศนาจนถึงตอนนี้คือผู้สร้าง Mirai เป็นใครก็ยังไม่สามารถยืนยันได้ แต่ Brian Krebs ระบุว่าเขาพบความเชื่อมโยงกับ Paras Jha ประธานบริษัท ProTraf ผู้ให้บริการ (เว็บบริษัทเข้าไม่ได้แล้วตอนนี้ แต่มี LinkedIn)

ปีที่แล้วนอกจากกระทรวงกลาโหมสหรัฐฯ ตั้งรางวัลสำหรับผู้ที่แฮกระบบที่เชื่อมต่ออินเทอร์เน็ต กองทัพบกสหรัฐฯ เองก็ตั้งรางวัลแบบเดียวกัน และตอนนี้ทางกองทัพก็รายงานผลออกมา

รายการของกองทัพบกเป็นการเชิญนักวิจัยภายนอกมาร่วมรายการ ผู้รับเชิญตอบรับมาทั้งหมด 371 คน เป็นเจ้าหน้าที่รัฐ 25 คน ในจำนวนนี้ 17 คนทำงานในกองทัพ รายงานช่องโหว่ทั้งหมดมากกว่า 416 รายการแต่มีช่องโหว่ไม่ซ้ำกัน 118 รายการ รายการแรกส่งเข้ามาหลังเปิดโครงการ 5 นาที

ช่องโหว่ชุดหนึ่งเจาะทะลุจากเว็บรับสมัครทหาร goarmy.com แล้วพบว่ามีพรอกซี่ภายในเปิดอยู่ทำให้นักวิจัยสามารถทะลุเข้าเน็ตเวิร์คภายในของกองทัพได้ นับเป็นช่องโหว่ที่ร้ายแรงที่สุดในรายการนี้

Lavabit บริการอีเมลเข้ารหัสที่ Edward Snowden ใช้งานจนกระทั่ง FBI พยายามทำทุกทางเพื่อให้เจาะเข้าระบบได้ จนผู้ก่อตั้งตัดสินใจปิดบริการไป ตอนนี้กลุ่มผู้ก่อตั้งก็เตรียมกลับมาเปิดบริการอีกครั้งโดยรักษาความปลอดภัยให้ดีกว่าเดิม

ความพยายามของ FBI ก่อนหน้านี้คือการขอกุญแจ SSL เพื่อดักฟังการเชื่อมต่อเข้าไปยังเซิร์ฟเวอร์ Lavabit แม้ว่าทางบริษัทจะต่อสู้ทุกทาง มีครั้งหนึ่งพิมพ์กุญแจ SSL ใส่กระดาษส่งไปให้ ทางด้าน FBI ระบุว่าทางหน่วยไม่ได้ต้องการขอกุญแจ SSL แต่นำเครื่องดักฟังไปติดตั้งเพราะทาง Lavabit ไม่ยอมส่งมอบข้อมูลที่เกี่ยวข้องกับ Snowden ให้แต่แรก

วันนี้พิธีการสาบานตนรับตำแหน่งประธานาธิบดีของโดนัลด์ ทรัมป์เสร็จสิ้นแล้ว ทำให้เขาเป็นประธานาธิบดีสหรัฐฯ คนที่ 45 โดยสมบูรณ์ ด้านโลกออนไลน์บัญชี @POTUS ก็ปรับกลายเป็นของโดนัลด์ ทรัมป์ ตามแผนการที่ประกาศไว้ก่อนหน้านี้

บัญชีนี้ยังไม่มีทวีตใดๆ และน่าสงสัยว่าจะมีการใช้งานหรือไม่ เพราะก่อนหน้านี้ทรัมป์ประกาศว่าเขาจะไม่ใช้งานบัญชีนี้ สำหรับทวีตเดิมทั้งหมดของโอบามาก็ถูกย้ายไปยัง @POTUS44 เรียบร้อยแล้ว

Deepgram บริษัทสร้างระบบวิเคราะห์ข้อมูลเสียงเพื่อธุรกิจโอเพนซอร์สซอฟต์แวร์ Kur สำหรับการสร้างเครือข่ายประสาทเทียมแบบ Deep Learning โดยไม่ต้องโค้ดแต่อาศัยการคอนฟิกไฟล์ YAML เท่านั้น

ทาง Deepgram ยังเตรียมสร้างเว็บ Kurhub สำหรับให้นักวิจัยและผู้สนใจมาแชร์โมเดลเครือข่ายประสาทเทียมที่ออกแบบไว้สำหรับงานต่างๆ

สำหรับผู้ที่ใช้งานหรือพัฒนาเครือข่ายประสาทเทียมเช่นนี้อยู่แล้ว สิ่งที่ Kur พิเศษกว่าคือมันมีชุดข้อมูลของ Deepgram สำหรับการฝึกระบบจดจำเสียงมาให้ในตัวด้วย โดยชุดข้อมูลเสียงมีจำนวน 10 ชั่วโมง แบ่งออกเป็นไฟล์ๆ ละ 10 วินาที การเทรนเครือข่ายตัวอย่างจะใช้เวลาประมาณหนึ่งวันเต็มบนชิปกราฟิก

ออราเคิลออกแพตช์ความปลอดภัยประจำไตรมาสแรกปี 2017 รวมช่องโหว่ 270 จุดจากซอฟต์แวร์ 45 รายการ เฉพาะจาวาอย่างเดียวมีแพตช์ 17 รายการ ในจำนวนนี้มี 16 รายการที่จากระยะไกลได้

นับความสำคัญตามคะแนน CVSS จาวาจะมีแพตช์ร้ายแรง 4 รายการ (คะแนนเกิน 8) ขณะที่ซอฟต์แวร์จัดการโครงการ Primavera มีช่องโหว่ร้ายแรงสูงสุดคะแนน CVSS 10.0 มาหนึ่งรายการ

ที่มา - Oracle, The Register

ที่งาน World Economic Forum กลุ่มอาลีบาบาประกาศความร่วมมือกับคณะกรรมการโอลิมปิกสากลเป็นพันธมิตรระยะยาวไปจนถึงปี 2018

งานนี้ทาง Alibaba จะเข้ามาเป็นพันธมิตรสำหรับบริการตลาวด์และแพลตฟอร์มอีคอมเมิร์ช ให้บริการทั้งการประมวลผล, การวิเคราะห์ข้อมูลขนาดใหญ่, ซอฟต์แวร์อีคอมเมิร์ช, และโซลูชั่นสื่อดิจิตอลอื่นๆ

นอกจากนี้ ทาง Alibaba จะยังเข้าเป็นสปอนเซอร์ร่วมก่อตั้งเว็บไซต์ Olympic Channel

ที่มา - Alizila, @iocmedia

สัปดาห์ที่แล้วมีรายงานการขโมยข้อมูลจากเซิร์ฟเวอร์ MongoDB ที่เปิดสู่อินเทอร์เน็ตโดยไม่ได้ตั้งรหัสผ่าน ทำให้แฮกเกอร์สามารถขโมยข้อมูลไปได้โดยง่าย เมื่อได้ข้อมูลไปแล้วก็จะเรียกค่าไถ่ 0.2 BTC ตอนนี้รายงานการขโมยข้อมูลแบบเดียวกันก็มีทั้ง ElasticSearch และ Hadoop แล้ว

รายงานการโจมตีเซิร์ฟเวอร์ Hadoop พบเซิร์ฟเวอร์เหยื่อที่เปิดพอร์ต 50070 ออกสู่อินเทอร์เน็ตโดยไม่มีมาตรการรักษาความปลอดภัยเพิ่มเติม แฮกเกอร์เข้ามาสั่งลบข้อมูลทั้งหมดพร้อมกับสร้างโฟลเดอร์ NODATA4U_SECUREYOURSHIT ทิ้งเอาไว้

Mozilla องค์กรผู้ดูแลโครงการ Firefox ประกาศเปลี่ยนโลโก้ใหม่ จากรูปไดโนเสาร์เดิมกลายเป็นตัวอักษรที่เล่นกับเครื่องหมาย URL :// พร้อมกับโทนสีไฮไลต์

โทนสีและสัญลักษณ์ใหม่จะเปิดให้ชุมชนท้องถิ่นสามารถสร้างโลโก้ภายใต้แบรนด์เดียวกัน โดยทาง Mozilla จะระบุกรอบสำหรับการใช้งานให้ไปทางเดียวกัน อย่างไรก็ดี การใช้โลโก้ใหม่นี้ยังอยู่ระหว่างการพัฒนา และทาง Mozilla กำลังรับฟังความคิดเห็นต่อไป

CIA มีแนวทางการเปิดเอกสารเก่าที่มีคุณค่าทางประวัติศาสตร์ให้สาธารณะเข้าถึงได้มาตั้งแต่ปี 1995 โดยคำสั่งของรัฐบาลคลินตัน โดยเอกสารเหล่านี้ต้องมีอายุ 25 ปีขึ้นไปและได้รับการตรวจสอบแล้วว่าไม่มีข้อมูลความลับอะไรอยู่ แต่ในปีนี้ทาง CIA ก็เพิ่งนำฐานข้อมูลเอกสารทั้งหมดโพสขึ้นเว็บเป็นครั้งแรก ในชื่อ CREST

Andrey Leonov รายงานถึงช่องโหว่ ImageMagick ที่พบบนเซิร์ฟเวอร์ของเฟซบุ๊ก ช่วงเดือนตุลาคมปีที่แล้ว โดยเฟซบุ๊กจ่ายเงินรางวัลสำหรับรายงานนี้ถึง 40,000 ดอลลาร์ นับเป็นการรายช่องโหว่ความร้ายแรงงสูง

ช่องโหว่ ImageTragick เปิดให้แฮกเกอร์สามารถสั่งรันคำสั่งใดๆ บนเครื่องเซิร์ฟเวอร์ก็ได้ ตัว Leonov ทดสอบช่องโหว่นี้บนภาพจากภายนอกที่ส่งลิงก์เข้าไปยังเฟซบุ๊ก ทำให้เฟซบุ๊กดึงภาพเข้ามาแล้วปรับขนาด

Baidu ประกาศแต่งตั้งดร. Qi Lu อดีตรองประธานไมโครซอฟท์ฝ่ายแอปพลิเคชั่นและบริการ ผู้ดูแลสินค้ากลุ่ม Office มาเป็นประธานกรรมการ และหัวหน้าฝ่ายปฏิบัติการ (COO) ของกลุ่ม

Robin Li ประธานและซีอีโอของกลุ่มระบุว่า Lu จะเข้ามาช่วยนำพา Baidu ให้เป็นผู้นำด้านเทคโนโลยีปัญญาประดิษฐ์

ศูนย์ความปลอดภัยไซเบอร์อังกฤษ (National Cyber Security Centre - NCSC) เผยแพร่บทความโดย Sacha B เรียกร้องให้เว็บไซต์ต่างๆ เลิกมาตรการห้ามผู้ใช้แปะรหัสผ่านจากคลิปบอร์ด

เว็บไซต์จำนวนมากพยายามเพิ่มมาตรการความปลอดภัยด้วยการห้ามไม่ให้ผู้ใช้แปะรหัสผ่านด้วยคำสั่ง Copy และ Paste อย่างไรก็ดี แนวทางเช่นนี้ไม่เคยมีงานวิจัยรองรับจริงจัง ไม่เคยมีการถกเถียงถึงประโยชน์ที่แท้จริงใน RFC หรือมาตรฐานความปลอดภัยใดๆ

การห้ามแปะรหัสผ่านจากคลิปบอร์ดทำให้ผู้ใช้ไม่สามารถใช้ซอฟต์แวร์จัดการรหัสผ่านบางตัวได้ และไปกระตุ้นให้ผู้ใช้เลือกทางออกที่อันตรายกว่า เช่น การใช้รหัสผ่านซ้ำๆ กัน, ใช้รหัสผ่านที่ง่ายมากๆ, หรือเขียนรหัสผ่านไว้ในที่ที่มองเห็นได้ง่าย