IEEE Spectrum นิตยสารของ IEEE รายงานการสำรวจความนิยมภาษาโปรแกรมมิ่ง โดยสิบอันดับแรกได้แก่ C, Java, Python, C++, R, C#, PHP, JavaScript, Ruby, และ Go ตามลำดับ

การสำรวจของ IEEE Spectrum อาศัยข้อมูลจาก 10 แหล่ง เช่น กูเกิล, ทวิตเตอร์ GitHub, Stack Overflow, Dice ทำให้นอกจากอันดับรวมแล้ว ยังมีการจัดอันดับในมิติต่างๆ เช่น แนวโน้มความนิยม (trending), ตำแหน่งงาน, และโลกโอเพนซอร์ส ทาง IEEE Spectrum ยังเปิดให้คนทั่วไปสามารถสร้างตำแหน่งจากข้อมูลที่หามา โดยถ่วงน้ำหนักความสำคัญจากข้อมูลแต่ละแหล่งได้เอง

Lennon Ray Brown อดีตพนักงาน Citibank ถูกตัดสินโทษจำคุก 21 เดือนจากการลบคอนฟิกคอร์เราท์เตอร์ 9 ตัวหลัก ทำให้เน็ตเวิร์คของ Citibank ดับไป 90% ของเครือข่ายธนาคารในอเมริกาเหนือ ในเดือนธันวาคม ปี 2013

Brown ส่งคำสั่งลบข้อมูลหลังได้รับผลประเมินประสิทธิภาพการทำงานไม่ดี เขาส่งข้อความไปหาเพื่อนร่วมงานระบุว่ากำลังถูกไล่ออก พร้อมกับแสดงเจตนาว่าจะแก้แค้น

นอกจากโทษจำคุกแล้ว Brown ยังถูกปรับเป็นเงิน 77,200 ดอลลาร์

ที่มา - Justice.gov, The Register

Detectify รายงานช่องโหว่ของซอฟต์แวร์เก็บรหัสผ่าน LastPass ที่มีบริการเติมรหัสผ่านลงเว็บอัตโนมัติ

ช่องโหว่นี้เกิดจากตัวอ่าน URL ของ LastPass มีบั๊กไม่อ่านตัว at-sign (@) ทำให้เมื่อแฮกเกอร์สร้าง URL อย่างจงใจหลอก LastPass เช่น http://avlidienbrunn.se/@twitter.com/@hehe.php จะสามารถหลอกปลั๊กอินว่าเป็นเว็บ twitter.com ได้ และ LastPass จะถูกหลอกให้ใส่รหัสผ่านของ twitter.com ลงเว็บอื่นได้โดยง่าย

ทาง Detectify ระบุว่าแม้ซอฟต์แวร์ช่วยจำรหัสผ่านจะมีปัญหาบ้าง แต่ก็ยังดีกว่าการใช้รหัสผ่านซ้ำในหลายๆ บริการมาก อย่างไรก็ดีผู้ใช้อาจจะเลือกปิดการช่วยเติมรหัสผ่านอัตโนมัติไป เพราะฟีเจอร์นี้มีช่องโหว่มาแล้วหลายครั้ง

ทาง LastPass ออกเวอร์ชั่นใหม่แก้ไขปัญหานี้แล้ว

Interpark บริษัทรับจองบัตรการแสดงรายใหญ่ในเกาหลีถูกแฮกข้อมูลลูกค้า ได้รายชื่อ, อีเมล, วันเกิด, และหมายเลขโทรศัพท์ของลูกค้าไป 10.3 ล้านรายการ อย่างไรก็ดีข้อมูลสำคัญอย่างรหัสผ่านและหมายเลขบัตรประชาชนไม่ถูกขโมยไปด้วย

บริษัทระบุว่าแฮกเกอร์เข้าถึงคอมพิวเตอร์บางเครื่องของบริษัทได้ และเห็นรูปแบบการส่งอีเมลในบริษัท จึงปลอมอีเมลพร้อมมัลแวร์เข้าไปยังพนักงานของ Interpark พนักงานเชื่ออีเมลจึงรันมัลแวร์ขึ้นมา สร้างช่องทางลับให้กับแฮกเกอร์

เหตุการณ์แฮกครั้งนี้เกิดขึ้นตั้งแต่ช่วงเดือนพฤษภาคม แต่บริษัทเก็บไว้เป็นความลับเพื่อไม่ให้แฮกเกอร์ลบร่องรอยของตัวเองหรือหายตัวไป ทางบริษัทรู้ตัวเมื่อวันที่ 11 ที่ผ่านมาเพราะแฮกเกอร์ติดต่อมาเพื่อเรียกค่าไถ่เป็นบิตคอยน์

แฮกเกอร์ที่ใช้ชื่อว่า avicoder ทดสอบความปลอดภัยของ Vine ที่อยู่ภายใต้โครงการหาช่องโหว่ความปลอดภัยของทวิตเตอร์ และพบว่า Vine เปิด Docker Registry ออกสู่อินเทอร์เน็ต ทำให้ใครก็ได้สามารถดาวน์โหลดอิมเมจ 82 รายการมาลองรันในเครื่อง

อิมเมจที่สำคัญมากอันหนึ่งคือ vinewww เป็นซอร์สโค้ดของ Vine ทั้งหมด พัฒนาด้วย Python Flask ภายใน พร้อมด้วย API key บริการภายนอกอื่นๆ ตัวอิมเมจสามารถรันได้ทันทีและจะได้ Vine มารันบนเครื่องได้เอง

avicoder รายงานการค้นพบนี้ให้กับทวิตเตอร์ตั้งแต่เดือนมีนาคมที่ผ่านมา และทางทวิตเตอร์จ่ายรางวัล 10,080 ดอลลาร์

การขนส่งทางบกสิงคโปร์ (Land Transport Authority - LTA) ประกาศความร่วมมือกับ MasterCard เตรียมทดสอบการตัดค่าโดยสารทั้งรถเมลและรถไฟฟ้าผ่านบัตรเครดิตและบัตรเดบิต ที่เป็นบัตร MasterCard PayPass โดยคาดว่าจะเริ่มให้บริการได้จริงได้ภายในปลายปีนี้ และคาดว่าช่วงทดลองจะมีผู้ใช้บัตร MasterCard มาโดยสารประมาณหนึ่งแสนคน

การจ่ายผ่านบัตรเช่นนี้ทำให้ผู้โดยสารสามารถตรวจสอบค่าโดยสารและประวัติการเดินทางของตัวเองย้อนหลังได้ การจ่ายบัตรโดยทั่วไปจะสะดวกขึ้นเพราะไม่ต้องกังวลกับการเติมเงินในบัตรให้เพียงพอ

นอกจากนี้ LTA ยังเตรียมรองรับการจ่ายผ่านโทรศัพท์มือถือเพิ่มเติม

วันนี้ลูกค้าจำนวนมากรายงานว่าระบบบัตรจ่ายเงิน Starbucks Card ล่มทั้งประเทศ กระทบการจ่ายเงินและการสะสมแต้ม ตั้งแต่ช่วงเจ็ดโมงเช้าที่ผ่านมา

แม้ว่าจะเป็นบัตรจ่ายเงินของร้านค้าเฉพาะ Starbucks เองแต่ระบบ Starbucks Card ก็นับเป็นระบบจ่ายเงินขนาดใหญ่ ลูกค้ากว่าครึ่งใช้งานระบบ My Starbucks Reward มีบัตรใช้งานอยู่ถึงกว่า 680,000 ใบ แบ่งเป็น Gold 48,000 ใบ Green 38,000 ใบ และ Welcome 600,000 ใบ การจ่ายเงินผ่านแอปพลิเคชั่นก็ได้รับความนิยมอย่างสูง ตัวแอปมียอดดาวน์โหลดถึง 450,000 ครั้ง

การตรวจสอบโค้ดเพื่อหาช่องโหว่ความปลอดภัยเป็นระยะเพื่อป้องกันแฮกเกอร์พบช่องโหว่เหล่านี้ก่อนเป็นแนวทางที่เอกชนเริ่มให้ความใส่ใจมากขึ้นในช่วงหลัง เช่น Core Infrastructure Initiative หรือ Secure Open Source ตอนนี้ภาครัฐอย่างสหภาพยุโรปก็เริ่มเข้ามามีบทบาทโดยจัดสรรงบประมาณมาตรวจสอบโค้ดโครงการโอเพนซอร์ส

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมที่เป็นผู้ออกมาตรฐานการเข้ารหัสจำนวนมากในทุกวันนี้ เปิดรับฟังความเห็นร่างเอกสาร NIST SP 800-63B มาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ เพื่อรับฟังความเห็นจากสาธารณะ

เอกสารนี้กำหนดมาตรฐานกระบวนการยืนยันตัวตนให้ปลอดภัย ตั้งแต่กระบวนการเบื้องต้นเช่นการจำกัดจำนวนครั้งที่การยืนยันตัวตนล้มเหลว, การใช้งานการยืนยันตัวตนหลายขั้นตอน แต่ความเปลี่ยนแปลงที่สำคัญคือการเตรียมยกเลิกการยืนยันตัวตนด้วย SMS

การยืนยันตัวตนด้วย SMS ยังคงยอมรับได้ในร่างเอกสาร แต่ประกาศสถานะเป็น deprecated และจะไม่รวมอยู่ในเอกสารนี้เวอร์ชั่นต่อไป

Pornhub ประกาศให้รางวัลกับแฮกเกอร์ที่พบช่องโหว่ของเว็บมาตั้งแต่เดือนพฤษภาคม และเพิ่มเงินรางวัลหลังเริ่มโครงการไปไม่นาน ตอนนี้ผู้ใช้ static บนเว็บ HackerOne ก็ออกมาเปิดเผยข้อมูลช่องโหว่สำคัญที่ทำให้ Pornhub ให้เงินรางวัลถึง 20,000 ดอลลาร์

มาตรฐาน ASN.1 เป็นมาตรฐานสำหรับการเข้ารหัส (encode) และส่งข้อมูลระหว่างอุปกรณ์ที่ได้รับความนิยมในกระบวนการเข้ารหัส การสร้างโปรโตคอลเข้ามักกำหนดข้อมูลหลายอย่างด้วย ASN.1 เช่นใบรับรองดิจิตอลที่เราเห็นไฟล์นามสกุล .DER เป็นต้น ตอนนี้คอมไพล์เลอร์ที่คอมไพล์จากฟอร์แมต ASN.1 เป็นไลบรารีสำหรับอ่านข้อมูลในภาษาต่างๆ จากบริษัท Objective Systems ชื่อว่า ASN1C มีบั๊กทำให้แฮกเกอร์สามารถสร้างข้อมูลพิเศษเพื่อรันโค้ดบนเครื่องที่ใช้ไลบรารีจาก ASN1C ได้

เมื่อต้นสัปดาห์ MariaDB ออกรุ่นอัพเดตย่อย 10.1.16 แต่สำหรับคนไทยรุ่นนี้มีความสำคัญเพราะระบบการเรียงข้อความภาษาไทยเป็นไปตามหลักภาษาไทยแล้ว

ปัญหาการเรียงลำดับภาษาไทยเป็นข้อจำกัดของระบบฐานข้อมูลหลายตัว เพราะภาษาไทยไม่ได้เรียงตามลำดับตัวอักษรโดยตรงแต่เรียงตามพยัญชนะ เช่น "กา", "ขา", "เก" ควรเรียงเป็น "กา", "เก", "ขา" ตามลำดับ

Onion ผู้สร้างบอร์ดลินุกซ์ขนาดเล็ก กลับมาระดมทุนบอร์ด Omega2 บอร์ดราคาถูกเพียง 5 ดอลลาร์แต่มี Wi-Fi ในตัว

ทาง Onion ไม่ได้ระบุตรงๆ ว่าใช้ซีพียูใดในบอร์ดนี้ แต่ทาง CNX Software คาดว่าจะเป็น MediaTek MT7688 ตัวเดียวกับ LinkIt Smart 7688 บนตัวบอร์ดมีหน่วยความจำแฟลช 16MB แรม 64MB มีพอร์ต USB และพอร์ต I/O แทบทุกแบบ

ขนาดเล็กและราคาแบบนี้น่าจะทำให้ Omega2 เป็นคู่แข่งกับ Raspberry Pi Zero โดยมีจุดได้เปรียบคือ Wi-Fi เป็นหลัก

ตัวบอร์ดส่งมอบเดือนพฤศจิกายนนี้ ราคา 5 ดอลลาร์ไม่รวมค่าส่ง ที่สำคัญคือทางโครงการไม่ระบุว่าค่าส่งแต่ละประเทศเป็นเท่าใดบ้าง

Google Research เปิดตัวบอร์ด data acquisition (DAQ) สำหรับการเก็บสัญญาณอนาล็อกที่ความเร็วสูง โดยเป็นบอร์ดเสริมของ BeagleBone ชื่อว่าบอร์ด PRUDAQ

ทีมงานระบุว่าที่เลือก BeagleBone เป็นบอร์ดหลักเพราะมีวงจร programmable realtime units (PRUs) ที่สามารถดึงข้อมูลมาเขียนลงแรมได้โดยตรง ความสามารถในการบันทึกข้อมูลอนาล็อกได้ 20 ล้านชุดต่อวินาที 2 ช่องสัญญาณรวม 40 ล้านชุดต่อวินาที

บอร์ดมีขายอยู่ที่ร้าน GroupGets ราคาบอร์ดละ 79 ดอลลาร์ ส่วนข้อมูลบอร์ดอยู่ที่ GitHub

บริการ Google Cloud Platform เปิดบริการใหม่เพิ่มเติมอีกสองบริการ คือการวิเคราะห์ข้อความ และการแปลงเสียงเป็นข้อความ พร้อมกับเปิดศูนย์ข้อฝั่งตะวันตกของสหรัฐฯ ให้ผู้ใช้ทั่วไปบริการเมืองทางฝั่งตะวันตก เช่น ซานฟรานซิสโก

Google Cloud Natural Language API: วิเคราะห์ข้อความจากสามภาษา ได้แก่ อังกฤษ, สเปน, และญี่ปุ่น สามารถค้นหาคำสำคัญของประโยค เช่น ชื่อคน, สถานที่ วิเคราะห์อารมณ์ของประโยคว่าดีหรือร้าย และวิเคราะห์โครงสร้างประโยค ราคา 0.2-1.0 ดอลลาร์ต่อข้อความ 1,000 ตัวอักษร ยกเว้น 5,000 ตัวอักษรแรกฟรี

Juniper ผู้ผลิตเราท์เตอร์รายสำคัญแจ้งเตือนลูกค้าว่าระบบปฎิบัติการ Junos มีบั๊กความปลอดภัย ทำให้การเชื่อมต่อ VPN แบบ IKE/IPsec รับใบรับรองแบบ self-sign ที่ปลอมตัวมาได้

ทาง Juniper ระบุว่าการเชื่อมต่อ VPN แบบอื่นๆ ไม่ได้รับผลกระทบจากช่องโหว่นี้ และตอนนี้ทางแก้ปัญหาชั่วคราวคือการคอนฟิกให้ PKI-VPN ต้องใช้ ID จาก Distinguished Name (DN) เท่านั้น

ทาง Juniper จัดช่องโหว่นี้เป็นอันตรายระดับปานกลาง คะแนน CVSS 6.5 แต่ถ้าใครใช้ Junos เป็นไฟร์วอล VPN ก็ควรรีบตรวจสอบให้เรียบร้อยครับ

เมื่อเดือนที่แล้ว Chris Vickery นักวิจัยด้านความปลอดภัยออกมาแจ้งเตือนว่าฐานข้อมูล World-Check ของรอยเตอร์หลุดออกมา แต่ไม่มีการเปิดเผยข้อมูลสู่สาธารณะ ล่าสุด The Register ก็รายงานว่ามีผู้เสนอขายฐานข้อมูลนี้อยู่ในบอร์ดใต้ดินแล้ว ที่ราคา 10BTC หรือกว่าสองแสนบาท

ผู้ใช้บอร์ดนี้ใช้ชื่อเรียกตัวเองว่า Bestbuy มีประวัติการขายไม่มากนักทำให้อาจจะเป็นเพียงโจรหลอกลวงเท่านั้น แต่สินค้าที่เขาเสนอขายเป็นฐานข้อมูล ทั้งฐานข้อมูลของ LinkedIn (1.2BTC) และ World-Check รวมถึงช่องโหว่ของ Microsoft Office ที่ยังไม่เปิดเผย

ใบรับรองที่ออกโดย Let's Encrypt ถูก cross-sign โดย IdenTrust แม้ว่าเบราว์เซอร์จะรองรับแทบทั้งหมด แต่ไลบรารีบางส่วนก็ยังอัพเดตไม่ทัน ล่าสุดฝั่งจาวาก็อัพเดต 8u101 รองรับ IdenTrust แล้ว ทำให้การเชื่อมต่อ HTTPS ไปยังเซิร์ฟเวอร์ที่ใช้งาน Let's Encrypt รองรับโดยสมบูรณ์

ออราเคิลเพิ่มใบรับรองของ IdenTrust เข้าในฐานข้อมูลหลายตัว แต่ตัวที่ใช้ cross-sign กับ Let's Encrypt คือ IdenTrust DST Root CA X3

ที่มา - Oracle

EnterpriseDB (EDB) หรือรุ่นการค้าของ PostgreSQL ผ่านมาตรฐาน Security Technical Implementation Guide (STIG) ของกระทรวงกลาโหมสหรัฐฯ เป็นแบรนด์ที่สาม ตามหลัง Oracle และ Microsoft SQL Server และนับเป็นระบบฐานข้อมูลโอเพนซอร์สตัวแรกที่ผ่านมาตรฐานนี้

มาตรฐาน STIG กำหนดเงื่อนไขกว่าร้อยรายการ แต่รายการตรวจสอบเป็นข้อมูลเฉพาะสำหรับเจ้าหน้าที่เท่านั้นไม่เปิดเผยสำหรับบุคคลทั่วไป เอกสารแนะนำ STIG ระบุเพียงเงื่อนไขกว้างๆ เช่น ต้องรองรับการตรวจสอบย้อนกลับ (audit), มีระบบสำรองข้อมูล, มีกระบวนการป้องกันข้อมูล, เข้ารหัสข้อมูลทั้งขณะส่งข้อมูลและขณะที่ข้อมูลอยู่ในดิสก์ ฯลฯ

การจัดสรรคลื่นความถี่สำหรับการสื่อสารไร้สายเพิ่มขึ้นเรื่อยๆ เป็นแนวทางที่หน่วยงานจัดสรรคลื่นความถี่ทำกันทั่วโลก ตอนนี้สหรัฐฯ ก็เริ่มโยกคลื่นก้อนสำคัญคือคลื่น 600MHz จากโทรทัศน์มาเตรียมประมูลเป็นคลื่นโทรคมนาคมแล้ว โดยประกาศผู้ผ่านเกณฑ์เข้าร่วมประมูลทั้งหมด 62 ราย

ในบรรดาบริษัทที่เข้าร่วม ผู้ให้บริการเครือข่ายโทรศัพท์มือถือรายหลักๆ ล้วนเข้าร่วมกันถ้วนหน้า เช่น Verizon, AT&T, T-Mobile ยกเว้นเพียงรายเดียวคือ Sprint ส่วนบริษัทอินเทอร์เน็ตอย่าง Comcast ก็ส่งบริษัทลูกมาเช่นเดียวกับ Dish Network

ช่องโหว่ HTTPOXY อาศัยการอิมพลีเมนต์เซิร์ฟเวอร์ CGI หลายตัวที่รับค่า Proxy จาก HTTP header เมื่อเซิร์ฟเวอร์เหล่านี้กำลัง ดาวน์โหลด ข้อมูลผ่าน HTTP เมื่อได้รับค่า Proxy มาแล้วกลับตั้งค่าเป็น environment variable ในชื่อ HTTP_PROXY ทำให้การดาวน์โหลดครั้งอื่นๆ จะถูกส่งไปยังเซิร์ฟเวอร์ที่แฮกเกอร์ต้องการได้ทันที

โครงการ Drupal จัดช่องโหว่นี้เป็นช่องโหว่ "วิกฤติระดับสูง" (highly critical) เพราะสามารถโจมตีได้โดยง่าย และหลังจากโจมตีแล้วเซิร์ฟเวอร์ของแฮกเกอร์สามารถดักการดาวน์โหลดจากเซิร์ฟเวอร์ที่ตกเป็นเหยื่อได้ทั้งหมด

คดีแฮกเกอร์ติดตั้งมัลแวร์ในตู้เอทีเอ็มไต้หวันมีความคืบหน้า เมื่อตำรวจไต้หวันจับกุมผู้ต้องสงสัยสามคนแรก หลังจากตำรวจไทเปนายหนึ่งที่กำลังพักผ่อนพบผู้ต้องสงสัยชาวลัตเวียในร้านอาหารในมณฑลอี้หลาน ส่วนผู้ต้องสงสัยชาวโรมาเนียอีกสองคนถูกจับในไทเป พร้อมกับพบเงิน 50 ล้านดอลลาร์ไต้หวันในโรงแรม จากเงินที่ถูกขโมยไปทั้งหมด 80 ล้านดอลลาร์ไต้หวัน

ตำรวจระบุว่านี่เป็นครั้งแรกที่กลุ่มอาชญากรรมข้ามชาติมาก่อเหตุกับระบบเอทีเอ็มในไต้หวัน โดยกลุ่มอาชญากรใช้มัลแวร์สามตัวเพื่อกระตุ้นให้เครื่องเอทีเอ็มจ่ายเงิน มัลแวร์กระทบตู้เอทีเอ็มที่ผลิตโดย Wincor Nixdorf กว่าพันตู้

เมืองไทยอินเทอร์เน็ตแบบไฟเบอร์ออฟติกส์เริ่มได้รับความนิยมอย่างสูงในไม่กี่ปีที่ผ่านมา แต่ต้นกำเนิดการสื่อสารผ่านสายไฟเบอร์ออฟติกส์นั้นเพิ่งเริ่มมาเมื่อ 50 ปีที่แล้วเท่านั้น โดยงานวิจัย "Dielectric-fibre surface waveguides for optical frequencies" ตีพิมพ์ในวารสาร Proceedings of the Institution of Electrical Engineers เมื่อเดือนกรกฎาคม 1966 เป็นจุดกำเนิดของการใช้สายไฟเบอร์ออฟติกส์เพื่อการสื่อสาร

การหลอกถามข้อมูลรหัสผ่านธนาคารก่อนหน้านี้มักอาศัยการส่งอีเมล phishing ไปยังลูกค้าธนาคารเป็นส่วนใหญ่ แต่เดือนนี้ลูกค้าธนาคาร OCBC ในสิงคโปร์ก็ถูกโทรศัพท์ลึกลับจากนอกประเทศโทรหลอกถามข้อมูลมากกว่าพันรายแล้ว

ลูกค้าของ OCBC ได้รับโทรศัพท์โดยบางครั้งก็ไม่แสดงหมายเลขต้นทาง แต่บางครั้งก็แสดงเป็นหมายเลขของ OCBC จริงๆ เมื่อรับสายจะเป็นระบบอัตโนมัติให้กดหมายเลข จากนั้นจึงโอนสายเข้าไปยังคอลเซ็นเตอร์เพื่อหลอกถามข้อมูลส่วนตัวต่างๆ รวมถึงหมายเลขรหัสผ่าน

การหลอกลวงเช่นนี้มีอยู่เรื่อยๆ มานานหลายเดือน แต่เฉพาะครึ่งเดือนนี้รายงานเพิ่มสูงขึ้นอย่างมากถึง 1,081 รายเทียบกับ 16 รายตลอดเดือนเมษายนที่ผ่านมา

ทาง OCBC แนะนำลูกค้าว่าหากไม่แน่ใจให้ตัดสายและโทรกลับไปยัง OCBC ด้วยตัวเอง

FIS ผู้ให้บริการเทคโนโลยีการเงินรายใหญ่ประกาศความร่วมมือกับ PAI ผู้ให้บริการตู้เอทีเอ็มกว่า 70,000 ตู้ในสหรัฐ เตรียมให้บริการถอนเงินสดโดยไม่ต้องเสียบบัตรใดๆ อีก ลูกค้าเพียง แต่ยืนยันตัวตนด้วย TouchID เท่านั้น

ลูกค้าต้องใช้ FIS Mobile Banking ที่ธนาคารต่างๆ นำไปให้ลูกค้าใช้ในชื่อแบรนด์ของธนาคารเองเพื่อใช้บริการนี้ โดย FIS เปิดบริการ Cardless Cash มาตั้งแต่ต้นปีที่ผ่านมา ตอนนี้ฝั่งตู้เอทีเอ็มก็พร้อมให้บริการแล้ว หากธนาคารรองรับก็จะครบวงจร