ช่องโหว่ XSS ในกล่องคอมเมนต์ของ Wordpress 4.2 ทำให้คนร้ายสามารถวางคอมเมนต์ที่เรียกไฟล์จาวาสคริปต์ขึ้นมาได้ ทำให้เว็บเสี่ยงต่อการถูกขโมยผู้ใช้ หากผู้ใช้เป็นแอดมินเว็บก็อาจจะถูกขโมยข้อมูลทั้งหมด รวมถึงสั่งการเว็บในฐานะแอดมินได้

ช่องโหว่นี้อาศัยข้อจำกัดคอมเมนต์ที่ความยาว 64 กิโลไบต์ คนร้ายสามารถสร้างคอมเมนต์ที่ความยาวเกินกว่านั้นเพื่อให้ข้อมูลถูกตัดทิ้งก่อนใส่ลงฐานข้อมูล เมื่อแสดงคอมเมนต์จะแสดงเป็น HTML ที่ผิดมาตรฐาน แต่สามารถเรียกจาวาสคริปต์ที่คนร้ายต้องการได้

ทาง Wordpress ออกแพตช์เร่งด่วนมาแก้ไขปัญหานี้แล้ว ก็ควรรีบอัพเดตกันโดยเร็ว

MIPS ประกาศเปิดซอร์สซีพียู MIPSfpga โค้ดออกแบบซีพียูระดับ RTL พร้อมสำหรับการคอมไพล์ลงบอร์ด FPGA ทั้ง Altera และ Xilinx ทำให้มหาวิทยาลัยสามารถสำรวจสถาปัตยกรรมภายในของซีพียูได้ทุกส่วน ดัดแปลงและแก้ไขเพื่อการทดลองเพื่อการศึกษาได้

MIPSfpga จะเป็นสัญญาอนุญาตเพื่อการศึกษา ทาง Imagination มีเงื่อนไขการใช้งานคือห้ามนำไปผลิตเป็นซิลิกอนโดยตรง (ต้องทดสอบผ่าน FPGA เท่านั้น) และหากต้องการจดสิทธิบัตรการดัดแปลงแก้ไข จะต้องได้รับอนุญาตจากทาง Imagination ก่อน แต่หากจะทดลองเพื่อการเรียนในห้องเรียนก็สามารถทำได้แทบทุกอย่าง

โค้ดชุดแรกจะเป็นซีพียู MIPS ที่ดัดแปลงในตระกูล MIPS microAptiv ที่ใช้ในชิป PIC หลายรุ่น

ESP8266 เริ่มเป็นที่รู้จักในฐานะชิป Wi-Fi ราคาถูกที่ต้องใช้คู่กับไมโครคอนโทรลเลอร์อื่นๆ แต่เรื่องจากซีพียูที่แรงพอ และทาง ESP เปิดสเปคให้นักพัฒนาภายนอกเข้าถึงได้ ช่วงหลังๆ เราก็เห็นรอมจากนักพัฒนาภายนอกที่นำมาใช้งานเพิ่มเติมนอกเหนือการทำหน้าที่เป็นโมดูลเสริมได้สบายๆ ตอนนี้ทาง digiStump ผู้พัฒนา Digispark ที่ใช้ชิป AVR ก่อนหน้านี้ก็หันมาพัฒนาแพลตฟอร์ม Oak ที่ใช้ชิป ESP8266 แล้ว

สภาผู้แทนสหรัฐฯ ผ่านร่างกฎหมายป้องกันภัยไซเบอร์สองฉบับที่เปิดช่องให้บริษัทเอกชนสามารถแบ่งปันข้อมูลการโจมตีกับรัฐบาล เพื่อประสานงานป้องกันระหว่างกันโดยบริษัทที่เข้าร่วมจะได้รับความคุ้มครองจากการฟ้องร้องในกรณีที่มีข้อมูลส่วนตัวรั่วไหล

กฎหมายสองฉบับได้ แก่

Etay Maor นักวางแผนป้องกันการฉ้อโกงจาก IBM Security รายงานในงาน RSA Conference รายงานถึงพฤติกรรมของผู้ร้ายที่ควบคุมมัลแวร์เข้ารหัสไฟล์เพื่อเรียกค่าไถ่ ระบุว่าผู้ร้ายเหล่านี้รู้ดีว่าค่าเงินบิทคอยน์กำลังตกไปเรื่อยๆ ทำให้ต้องรีบเอาเงินออกเป็นเงินสดให้เร็วที่สุด

Maor ยังระบุว่าคนร้ายใช้บิทคอยน์เป็นชั้นแรกของการซ่อนตัวเท่านั้น เมื่อต้องการเอาเงินออกมาเป็นเงินสด คนร้ายมักจ้างคนมาช่วยฟอกเงินอีกชั้นหนึ่ง โดยคนเหล่านี้จะได้รับค่าจ้างในการแลกบิทคอยน์ออกมาเป็นเงินสดในอัตรา 15% ถึง 20%

ตัวกลางช่วยฟอกเงินเหล่านี้ ในยุโรปมักเป็นคนสูงอายุที่ต้องการหางานทำจากที่บ้าน ส่วนในเอเชียและออสเตรเลียมักเป็นนักเรียน คนเหล่านี้มักเป็นปลายทางที่ตำรวจจับได้ ขณะที่คนร้ายตัวจริงลอยนวล

อเมซอนรายงานผลประกอบการไตรมาสแรกของปี 2015 ยอดขายรวม 22.72 พันล้านดอลลาร์ เติบโตขึ้น 15% เมื่อเทียบกับปีที่แล้ว แต่ผลกำไรในปีที่แล้วกลับมาเป็นขาดทุน 57 ล้านดอลลาร์ในปีนี้

จุดน่าสนใจที่สุดของรายงานปีนี้ คือ อเมซอนแยกรายได้ Amazon Web Service (AWS) ออกมาให้ดูกันพร้อมกับระบุว่ารายได้ของ AWS สูงถึงปีละ 5 พันล้านดอลลาร์ เฉพาะไตรมาสแรกของปีนี้รายได้สูงถึง 1,566 ล้านดอลลาร์ เติบโตจากช่วงเดียวกันของปีที่แล้ว 1,050 ล้านดอลลาร์ และมีกำไรถึง 265 ล้านดอลลาร์ นับเป็นธุรกิจส่วนที่เติบโตเร็วที่สุดของอเมซอน

ธุรกิจส่วนที่ขาดทุนคือธุรกิจค้าปลีกนอกสหรัฐฯ ที่ขาดทุนไป 76 ล้านดอลลาร์แถมยอดขายลดลงเล็กน้อย

Thailand is well known for its heavily censored Internet. The Ministry of Information and Communications Technology (MICT) has frequently announced the large number (thousands) of blocked websites as its major achievement.

Normally, a visit to government-blocking website via Thai internet service providers (ISP) will redirect to a government's landing page with the message "this site has been blocked". The styles of these landing pages are varied to government agencies that take charge (e.g. MICT or the police).

ต่อเนื่องจากข่าวปอท. ออกมาแจ้งว่าเว็บที่ถูกต้องของหน่วยงานคือ TCSD.in.th เท่านั้น พร้อมกับให้ช่วยแจ้งเว็บอื่นที่มีการแอบอ้าง หลังจากมีการรายงานข่าวไปไม่นาน ทางปอท. ก็ถอดโพสที่เกี่ยวข้องออกจากหน้าเฟซบุ๊กแล้ว

ข่าวต่อเนื่องจากกสทช. เห็นชอบให้เลื่อนการจ่ายเงินค่าประมูลทีวีดิจิตอล ในการประชุมวันเดียวกันทางกสทช. ก็อนุมัติเงินจากกองทุนวิจัยและพัฒนากิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม เพื่อประโยชน์สาธารณะ เป็นจำนวนเงินกว่า 47 ล้านบาท โดยผ่านการอนุมัติทั้งหมด 14 โครงการ แต่มีโครงการด้านไอที ทั้งหมด 7 โครงการ ได้แก่

นายลี เซียนลุง นายกรัฐมนตรีสิงคโปร์ บุตรชายคนโตของนายลี กวนยู กล่าวปาฐกถาในงาน Founders Forum แสดงวิสัยทัศน์ถึงนโยบาย Smart Nation ของสิงคโปร์ แม้เนื้อหาส่วนมากจะพูดถึงภาพรวมของนโยบายไอทีประเทศ แต่ช่วงหนึ่งเขาก็พูดถึงเรื่องส่วนตัว ว่าเขาเคยเพลิดเพลินกับการเขียนโปรแกรม โดยโปรแกรมสุดท้ายที่เขาเขียน คือโปรแกรมแก้ Sudoku ที่เขียนด้วย C++ เขาระบุว่าเพราะเขาเขียน C++ จึงค่อนข้างล้าสมัยแล้ว และลูกชายทั้งสองคนของเขาเรียนด้านไอทีจบจาก MIT แนะนำให้เขาอ่านหนังสือสอนภาษา Haskell เขาคิดว่าจะอ่านมันหลังจากเกษียณอายุแล้ว

กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี หรือ บก.ปอท. โพสเฟซบุ๊กระบุว่าเว็บที่ถูกต้องคือ tcsd.in.th เท่านั้น และหากมีเว็บอื่นๆ แอบอ้างให้แจ้งไปทางปอท. ผ่านทางอีเมล webmaster@tcsd.in.th

การออกมาชี้แจ้งครั้งนี้ มีขึ้นหลังจากมีผู้ใช้ในเว็บ ThaiSEOBoard ระบุว่าเว็บ tcsd.info ส่งผู้ใช้เข้าไปยังเว็บโป๊สองเว็บ ต่อมามีการแก้ไขออกไป แต่ยังมีร่องรอยในคอมเมนต์ HTML อยู่ และมีผู้นำไปโพสต่อในเว็บพันทิพ

ศูนย์ความร่วมมือป้องกันไซเบอร์แห่งนาโต้ (NATO Cooperative Cyber Defence Centre of Excellence - CCDCOE) เริ่มงาน Locked Shields 2015 งานซ้อมป้องกันการโจมตีไซเบอร์ใหญ่ที่สุดครั้งหนึ่งของโลก ปีนี้มีชาติเข้าร่วม 16 ชาติ รวมผู้เชี่ยวชาญกว่า 400 คน

การซ้อมครั้งนี้จะซ้อมป้องกันการโจมตีระดับรัฐ ผู้เข้าร่วมจะได้รับมอบหมายให้ป้องกันโครงสร้างของประเทศสมมติที่ชื่อว่า Berylia อย่างไรก็ดี ความขัดแย้งระหว่างชาตินาโต้และรัสเซียทำให้ผู้เชี่ยวชาญให้ความเห็นว่าการจำลองครั้งนี้น่าจะจำลองจากการโจมตีจากแฮกเกอร์ที่รัฐบาลรัสเซียหนุนหลัง

ที่งาน RSA Conference วันนี้ Will Dormann นักวิจัยจาก CERT ที่มหาวิทยาลัย Carnegie Mellon รายงานถึงช่องโหว่การตรวจสอบใบรับรอง SSL ที่มีแอพจำนวนมากเขียนโค้ดอย่างหละหลวม ทำให้ตัวแอพไม่ตรวจสอบใบรับรองทำให้แฮกเกอร์สามารถดักฟังแบบ man-in-the-middle ได้

Dormann ระบุว่าทาง CERT ตรวจสอบแอพกว่าล้านรายการเมื่อต้นปีที่ผ่านมา และพบแอพที่มีช่องโหว่นี้มากถึง 23,667 แอพ ทางทีมงานได้ส่งอีเมลไปแจ้งผู้พัฒนา เกือบทั้งหมดไม่มีการตอบกลับใดๆ บางส่วนแสดงท่าทีว่าอีเมลแจ้งเตือนเป็นเรื่องแย่ มีอีเมลตอบกลับพร้อมแจ้งการแก้ปัญหาเพียง 0.1% เท่านั้น

จนทุกวันนี้ Chromebook อาจจะไม่เหมาะกับการเขียนโปรแกรมนัก แต่ก็เป็นคอมพิวเตอร์เพื่อการศึกษาที่ดีเพราะบำรุงรักษาง่ายสำหรับเด็กๆ ตอนนี้ทาง Codebender ก็ออก Chrome App ตัวใหม่ทำให้ Chromebook สามารถเขียนโปรแกรมลงไปยัง Arduino ได้โดยตรง

Codebender เป็นบริการ Arduino IDE บนเว็บอยู่แล้ว ก่อนหน้านี้รองรับการอัพเดตเฟิร์มแวร์ลง Arduino เฉพาะไฟร์ฟอกซ์ ตอนนี้รองรับทั้งพีซีที่ใช้ Chrome และ Chromebook

หน้าเว็บดาวน์โหลดเปิดให้ติดตั้งแอพได้แล้ววันนี้ ถ้าติดตั้งแล้วจะอัพโหลดเฟิร์มแวร์จากโค้ดท้ายข่าวขึ้น Arduino ได้เลย

ที่มา - Sparkfun

บอร์ดคอมพิวเตอร์ขนาดเล็กทุกวันนี้แบ่งออกเป็นสองสาย คือ บอร์ดที่รันลินุกซ์ได้เต็มรูปแบบเช่น Raspberry Pi กับบอร์ดที่ไม่มีระบบปฎิบัติการ แต่มีเฟิร์มแวร์ง่ายๆ เพื่อควบคุมงานบางอย่าง เช่น Arduino ที่ผ่านมามีความพยายามรวมบอร์ดทั้งสองแบบเข้าด้วยกันบ้าง เช่น Arduino YÚN แต่ตอนนี้ก็มีคู่แข่งอย่าง UDOO Neo มาเสนอตัวเป็นทางเลือกอีกตัว

ซีพียู ARM รุ่นใหม่ๆ ทุกวันนี้สามารถแบ่งงานตามความต้องการพลังประมวลผลสองระดับที่เรียกว่า big.LITTLE แต่วันนี้ MediaTek ก็เปิดตัว Helio X20 (MT6797) ซีพียูสิบคอร์ที่แบ่งระดับประมวลผลออกเป็นสามระดับ TINY.medium.huge

ซีพียูสามระดับ จะเริ่มจาก Cortex-A53 1.4GHz สี่คอร์ ทำงานเมื่อระบบต้องการพลังประมวลผลต่ำสุด, Cortex-A53 2.0GHz สี่คอร์เมื่อต้องการพลังประมวลผลปานกลาง, และ Cortex-A72 สองคอร์เมื่อต้องการพลังประมวลผลสูงสุด

MediaTek อ้างว่าแนวทางออกแบบนี้ทำให้ซีพียูกินพลังงานน้อยลงเมื่อต้องการพลังประมวลผลต่ำๆ ขณะที่เมื่อต้องการพลังประมวลผลสูงๆ ก็ยังมีคอร์แรงๆ ให้ใช้งาน ตัวเลขที่ระบุตอนนี้คือ Antutu 5.6 จะได้คะแนนมากกว่า 70,000 คะแนน

MtGox ที่ล้มละลายไป ตอนนี้ทางเจ้าหนี้ก็เข้ามาตรวจสอบว่าเกิดอะไรขึ้นกับบริษัท โดยทีมงาน WizSec จากญี่ปุ่นเข้ามาตรวจสอบบัญชีและพบว่าเงินหายไปจากบัญชี MtGox อย่างต่อเนื่องมานานนับปี

ความขัดแย้งระหว่างผู้ก่อตั้ง Arduino ฝั่งสหรัฐฯ และอิตาลีมาถึงจุดแตกหัก สองฝ่ายไม่สามารถตกลงกันได้ และกำลังชิงชื่อ Arduino มาเป็นของตัวเอง ตอนนี้ทางฝั่ง Arduino.cc ในสหรัฐฯ ก็ออกมาขอให้ชุมชนช่วยกันโพสภาพกล่อง Arduino ที่ระบุข้อความว่า SMART PROJECTS S.r.l. ได้รับสิทธิ์ผลิตจาก Arduino.cc โดยขอให้ระบุประเทศของลูกค้าที่สั่งซื้อไปด้วย

แนวทางเช่นนี้คงชัดเจนกว่าทาง Arduino.cc เตรียมสู้คดีกับอดีตพันธมิตรจากฝั่งอีตาลีเต็มตัวแล้ว เราคงต้องรอดูความคืบหน้าของคดีกันต่อไป

ที่มา - Arduino

เมื่อสัปดาห์ที่ผ่านมาผมได้ไปร่วมงาน INTERPOL World 2015 ซึ่งเป็นงานประชุมและแสดงสินค้าสำหรับหน่วยงานบังคับกฎหมายที่จัดขึ้นทุกสองปี แม้จะเป็นงานสำหรับตำรวจ แต่กระแสความปลอดภัยไซเบอร์ในช่วงหลังก็มาแรงมาก งานนี้กลายเป็นงานแสดงสินค้าความปลอดภัยไซเบอร์ไปในตัว นานๆ มีโอกาสได้เดินงานใหญ่แบบนี้ก็ขอเก็บบรรยากาศมาให้ดูกันครับ

Cyber Defense Exercise (CDX) เป็นงานซ้อมรบไซเบอร์ประจำปีสำหรับโรงเรียนนายร้อยสหรัฐฯ จัดโดย NSA มาตั้งแต่ปี 2001 เพื่อฝึกซ้อมให้เจ้าหน้าที่ในแต่ละกองทัพมีความสามารถในการป้องกันและตอบโต้การโจมตีไซเบอร์ได้ ปีนี้มีโรงเรียนนายร้อยในสหรัฐฯ 5 โรงเรียนและอีกหนึ่งโรงเรียนจากแคนาดาส่งทีมเข้าซ้อม และทีมงานโรงเรียนทหารเรือนายร้อยสหรัฐฯ ก็เป็นผู้ชนะไป

ในการแข่ง CDX แต่ละทีมจะต้องติดตั้งบริการตามที่กำหนด ได้แก่ อีเมล, แชต, เว็บ, และโดเมนคอนโทรลเลอร์ จากนั้นดูแลให้บริการดำเนินต่อไปได้อย่างต่อเนื่อง ขณะที่ Red Team ของ NSA จะพยายามเข้าเจาะระบบทีละระบบไปเรื่อยๆ นักเรียนที่ดูแลระบบอยู่จะต้องสามารถตรวจสอบและรายงานการเจาะระบบได้อย่างแม่นยำ และอุดรูรั่วที่ถูกเจาะเข้ามาอย่างรวดเร็ว

วันที่ 19 เมษายน 1965 กอร์ดอน มัวร์ ที่ยังเป็นพนักงานของบริษัท FairChild เขียนบทความลงในวารสาร Electronics ระบุว่าจำนวนอุปกรณ์ในไอซีจะเพิ่มขึ้นเท่าตัวทุกๆ หนึ่งปี นับเป็นจุดเริ่มต้นของกฎของมัวร์นับแต่วันนั้น ต่อมาในปี 1975 เขาปรับการคาดการณ์ไว้ว่าจำนวนอุปกรณ์จะเพิ่มขึ้นสองเท่าทุกๆ สองปี และจนวันนี้ กฎนี้จะคงใช้คาดการณ์ซีพียูรุ่นใหม่ๆ ที่มีความซับซ้อนสูงได้อย่างต่อเนื่อง

สามปีหลังตีพิมพ์บทความนี้ตีพิมพ์ มัวร์ก็ร่วมกับ Robert Noyce และ Andrew Grove ก่อตั้งบริษัทอินเทล

FireEye รายงานการโจมตีของกลุ่ม APT 28 ที่มีฐานอยู่ในรัสเซีย เจาะเครื่องของเหยื่อเพื่อเข้าควบคุมเครื่องในระดับสิทธิสูงสุด (System Level Privileges) ด้วยช่องโหว่ CVE-2015-1701 ที่ยังไม่เปิดเผยข้อมูลและยังไม่มีแพตช์ในตอนนี้

แฮกเกอร์กลุ่มนี้ เริ่มจากส่งลิงก์ให้เหยื่อผ่านทางเว็บที่ทางกลุ่มควบคุมได้ จากนั้นใช้ HTML และจาวาสคริปต์ส่งไฟล์แฟลชที่เจาะช่องโหว่ CVE-2015-3043 เข้ามารันในเครื่องก่อนแล้วจึงรัน shellcode จากนั้นจึงดาวน์โหลดโปรแกรมเพื่อเจาะ CVE-2015-1701

ช่องโหว่ CVE-2015-3043 นั้นมีแพตช์แล้วทำให้กลุ่มนี้ไม่สามารถเจาะเครื่องที่แพตช์เต็มรูปแบบได้ แต่การที่ทางกลุ่มสามารถเจาะช่องโหว่ที่ยังไม่มีข้อมูลได้ก็แสดงว่าเป็นกลุ่มแฮกเกอร์ที่มีประสิทธิภาพสูง

ชิป ESP8266 ที่เคยเป็นชิป Wi-Fi ราคาถูกสำหรับใช้เชื่อมต่อกับซีพียูอื่นๆ แต่เนื่องจากตัวรอมของมันเป็นโอเพนซอร์ส ทำให้ตอนนี้มีทีมงานอื่นๆ มาช่วยทำรอมรุ่นใหม่ๆ ให้ รอมตัวหนึ่งที่โดดเด่นขึ้นมาคือ NodeMCU รอมที่รัน Lua ได้ในตัว ทำให้เขียนสคริปต์สั่งงานได้อย่างง่ายดาย

กองทัพบกสหรัฐฯ ยอมรับว่ากระบวนการจัดหากำลังพลตามช่องทางปกติไม่สามารถหาคนทำงานด้านไซเบอร์ได้เร็วพอ และมีข้อจำกัดการจ่ายค่าตอบแทนที่ไม่สามารถแข่งขันกับเอกชนได้ ในการแถลงต่อวุฒิสภารอบล่าสุด นายพลสหรัฐฯ ก็ออกมาระบุว่าต้องสร้างช่องทางใหม่ให้กับการดึงตัวพลเรือนมาประจำหน่วยนี้

สหรัฐฯ มีหน่วย Cyber Branch 17 สำหรับกำลังพลของตัวเองอยู่ก่อนแล้ว แต่การหาคนเข้ามาทำงานและดึงตัวไว้ให้ทำงานต่อเนื่องกลับทำได้ยาก ตอนนี้่ทางกองทัพจึงเตรียมหาทางดึงตัวพลเรือนเข้ามาทำงาน พร้อมกับแรงจูงใจใหม่ๆ เช่น การทำการตลาด, จ่ายค่าย้ายที่อยู่, จ่ายโบนัสในกรณีทำงานต่อเนื่อง, และช่วยจ่ายเงินกู้ยืมเพื่อการศึกษา

ตลก April Fool's ของกูเกิลปีนี้อันหนึ่งคือเว็บ com.google ที่เปิดเว็บกลับข้างซ้ายเป็นขวา แต่ Netcraft ออกมาเตือนว่าการเล่นแบบนี้กลับสร้างช่องโหว่ใหม่ให้กับระบบ

ปกติแล้วเว็บกูเกิลหน้าสำคัญๆ จะไม่สามารถนำไปแสดงในหน้าเว็บภายนอกผ่าน iframe ได้ เพราะล็อกไว้ด้วย X-Frame-Options แต่ทีมงานกูเกิลสร้างช่องทางปิดล็อกอันนี้เพื่อเล่นตลก April Fool's ด้วยการสร้างออปชั่น igu=2 เพื่อให้เว็บกูเกิลไม่ล็อกการฝังไว้ใน iframe อีกต่อไป