เร็วๆ นี้ทั้ง Microsoft ได้เปิดบริการดาวน์โหลดโปรแกรมเพื่อปิดช่องโหว่เกี่ยวกับความปลอดภัย (Security Patches) ของ IE ซึ่งช่องโหว่ดังกล่าวจะทำให้ผู้อื่นสามารถเห็นข้อมูลส่วนตัวและรหัสผ่านเรา ได้ ทาง Microsoft จึงแนะนำให้ผู้ใช้ IE5 ขึ้นไปดาวน์โหลดและติดตั้งโปรแกรมดังกล่าวที่ Microsoft Update

ส่วน Mozilla ได้ปรับปรุงในเรื่องความปลอดภัย การสนับสนุนภาษาเพิ่มขึ้น และปรับปรุงกระบวนการติดตั้งโดยแนะนำให้ผู้ใช้ดาวน์โหลด Firefox 3.0.5 ซึ่งเป็นเวอร์ชันล่าสุดได้ที่ Firefox web browser | International versions: Get Firefox in your language

ที่มา - Microsoft, Mozilla Release Browser Fixes: Download Patches Here

กูเกิลได้เผยคู่มือเกี่ยวกับความปลอดภัยของเว็บเบราว์เซอร์ ซึ่งเหมาะสำหรับนักพัฒนาเว็บ ผู้พัฒนาเบราว์เซอร์ และนักค้นคว้าเกี่ยวกับความปลอดภัยของข้อมูล โดยตั้งใจให้เป็นแหล่งอ้างอิงแบบ One-stop เกี่ยวกับเนื้อหาทางด้านความปลอดภัยหลักๆ ของเว็บเบราว์เซอร์สมัยใหม่

เท่าที่ลองไปสำรวจดูเนื้อหาเขียนได้ดี โดยเฉพาะอย่างยิ่งถ้าต้องพัฒนาเว็บสำหรับหลายๆ เว็บเบราว์เซอร์อยู่แล้ว มีการอธิบายพื้นฐานและเปรียบเทียบเบราว์เซอร์แต่ละตัวให้ดูได้ง่ายมาก ให้เดาว่าตอนนี้อยากให้เป็นแหล่งอ้างอิง แต่ความคาดหวังจริงๆ น่าจะอยากให้เป็น guideline มากกว่า

ที่มา - Google Blogoscoped

จากข่าวเก่าที่บริษัทแอปเปิลได้ตีพิมพ์เอกสารคำแนะนำทางเทคนิคให้ลูกค้าติดตั้งซอฟท์แวร์ป้องกันไวรัส วันนี้แอปเปิลได้ถอนเอกสารดังกล่าวออกจากเว็บไซท์และออกมาให้ข่าวว่า เอกสารดังกล่าวเป็นเอกสารเก่าและไม่ถูกต้อง​ (old and inaccurate) และยังกล่าวอีกว่าระบบปฏิบัติการของแอปเปิลนั้นถูกออกแบบให้มีความปลอดภัยสูง และสามารถป้องกันโปรแกรมที่จะทำมิดีมิร้ายได้โดยไม่ต้องลงซอฟท์แวร์อะไรเพิ่ม แต่ก็ยังลงท้ายว่าไม่มีระบบใดที่มีความปลอดภัย 100% ดังนั้นการลงซอฟท์แวร์ป้องกันไวรัสก็จะช่วยเพิ่มความปลอดภัยให้กับระบบได้

สาเหตุที่ออกมาให้ข่าวนี้และต้องถอนเอกสารคำแนะนำดังกล่าวออกไป ก็เนื่องจากแอปเปิลได้โฆษณามาเสมอว่าระบบปฏิบัติการของตัวเองนั้นไม่มีปัญหาจากไวรัส เมื่อเทียบกับระบบปฏิบัติการจากบริษัทไมโครซอฟท์ แต่เอกสารคำแนะนำทางเทคนิคดังกล่าวจะกลายเป็นหลักฐานที่ขัดแย้งกับคำโฆษณาของตัวเองไป

สรุปว่า ควรลงใช่มั้ยนี่

ที่ว่า CNET News: Apple deletes Mac antivirus suggestion

เมื่อวันที่ 21 พฤศจิกายนที่ผ่านมา แอปเปิลได้ตีพิมพ์เอกสารคำแนะนำทางเทคนิคให้กับลูกค้าของแอปเปิล โดยใจความคือแนะนำให้ติดซอฟต์แวร์ป้องกันไวรัสเพื่อความปลอดภัย

แอปเปิลแนะนำซอฟต์แวร์ป้องกันไวรัสสามตัวให้กับลูกค้าของตนคือ

• Intego VirusBarrier X5
• Symantec Norton Anti-Virus 11
• McAfee VirusScan

ในฐานะคนเทคนิค ความเชื่อผิดๆ ของคนทั่วไปอย่างหนึ่งคือการที่เชื่อว่าระบบปฏิบัติการที่ตนใช้ (ไม่ว่าจะเป็น OS X, หรือลินุกซ์) จะปลอดภัยจากไวรัส ทุกระบบปฏิบัติการล้วนมีช่องโหว่ทั้งสิ้น แต่ปริมาณการโจมตีช่องโหว่เหล่านั้น และความร้ายแรงจากช่องโหว่ก็แตกต่างกันไป

ที่มา - Apple

แต่ละครั้งที่เวิร์มบนวินโดวส์แพร่กระจายทีไร ความเสียหายก็มักจะเป็นวงกว้างอยู่เรื่อยๆ ล่าสุด Win32/Conficker.A ก็เริ่มแพร่กระจายอีกครั้ง โดยแฮกเกอร์อาศัยข้อมูลจากการอัพเดตของวินโดวส์เอง (MS08-067) มาใช้ในการสร้างเวิร์มตัวนี้

เมื่อเวิร์มติดเข้าที่เครื่องใดแล้ว มันจะเปิดพอร์ตแบบสุ่มระหว่าง 1024 ถึง 10000 เพื่อสร้างเว็บเซิร์ฟเวอร์ แล้วปิดช่องโหว่ที่มันใช้เข้ามาลง เพื่อป้องกันไวรัสตัวอื่นๆ มาขัดขวางการทำงานของมัน จากนั้นจึงแพร่กระจายไปยังเครื่องอื่นๆ ต่อไป

รายงานการระบาดของเวิร์มตัวนี้ยืนยันแล้วใน สหรัฐฯ, เยอรมัน, สเปน, ฝรั่งเศส, อิตาลี, ไต้หวัน, ญี่ปุ่น, บราซิล, ตุรกี, จีน, แม็กซิโก, แคนาดา, อาร์เจนตินา, และชิลี แต่ดูเหมือนว่าไวรัสตัวนี้จะจงใจไม่บุกคอมพิวเตอร์ในยูเครน

ที่มา - C|Net

ถ้าใครติดตามข่าวด้านความปลอดภัยบนเครือข่าย คงจะรู้กันว่าการเข้ารหัสแบบ WEP ของ Wi-Fi นั้นไม่สามารถใช้ป้องกันได้อย่างมีประสิทธิภาพนัก โดยแฮกเกอร์สามารถเจาะระบบได้ในเวลาประมาณ 120 วินาทีหากมีข้อมูลส่งในอากาศมากพอ แม้จะเป็น WEP2 ปัญหานี้ก็ไม่ได้ถูกแก้ไขไปมากนัก โดยยังมีงานวิจัยที่ลดเวลาในการเจาะระบบออกมาเรื่อยๆ

มาตรฐาน WPA นั้นเชื่อกันว่าจะเข้ามาช่วยแก้ปัญหานี้ เคยเชื่อกันว่าน่าจะช่วยรักษาความปลอดภัยให้กับเครือข่ายไร้สายไปได้อีกพักใหญ่ๆ แต่ก็ไม่จริงอีกต่อไปเมื่อทีมงานที่เคยเจาะ WEP มาแล้วได้ตีพิมพ์งานวิจัยชิ้นใหม่ ที่เจาะ WPA ได้อย่างมีประสิทธิภาพ โดยทีมงานอ้างว่าสามารถเจาะระบบได้ในเวลาอย่างน้อย 15 นาทีเท่านั้น โดยอาศัยช่องโหว่ในมาตรฐาน 802.11 เพื่อกระตุ้นให้ Access Point รับส่งข้อมูลจำนวนมาก ร่วมกับนวัตกรรมทางคณิตศาสตร์ที่จะเปิดเผยในงานประชุมวิชาการ PacSec 2008 ช่วงวันที่ 12-13 ที่จะถึงนี้

ข่าวร้ายคือความสามารถใหม่นี้ได้รับการบรรจุลงไปใน Aircrack-ng เรียบร้อยแล้วโดยไม่มีการประกาศใดๆ

ในตอนนี้การรักษาความปลอดภัยบนเครือข่ายไร้สายที่ยังมีประสิทธิภาพแบบเดียวคือ WPA2 อย่างไรก็ตาม Access Point ส่วนมากที่รองรับ WPA2 จะเปิดใช้งาน WPA ไปด้วยเพื่อรองรับอุปกรณ์รุ่นเก่า

ตัวเลขเวลาเหล่านี้นับเอากรณีที่ดีที่สุดซึ่งโดยทั่วไปแล้วจะใช้เวลามากกว่านี้มาก แต่ในการรักษาความปลอดภัยนั้นมักจะนับเวลาที่แย่ที่สุดเท่าที่เป็นไปได้เท่านั้น

ที่มา - PC World

ไมโครซอฟท์เตรียมออกมาเปิดเผยว่าระบบปฏิบัติการวินโดวส์มีความปลอดภัยมากขึ้นเมื่อเทียบกับช่วงเวลาที่ผ่านมา ซึ่งสาเหตุของความปลอดภัยที่มากขึ้นนี้ ไมโครซอฟท์เห็นว่าเป็นเพราะวินโดวส์ได้รับการอุดช่องโหว่ที่ดี ทำให้นักเจาะระบบไม่ค่อยสนใจวินโดวส์ หันไปเล่นงานโปรแกรมเล็กๆ อื่นๆ ในระบบแทน

โดยจากการวิเคราะห์ช่วงครึ่งปีแรกนี้พบว่า รูโหว่นั้นอยู่ในโปรแกรมใช้งานทั่วไปถึง 90% มีเพียง 10% เท่านั้นที่อยู่ที่ระบบปฏิบัติการ

"ตอนนี้ปัญหาของเราคือปัญหาของ 3rd party และเป็นสิ่งที่เรากำลังจะแก้ในอนาคต" George Stahakopoulos ผู้จัดการฝ่าย Security Engineering and Communications ของไมโครซอฟท์กล่าว

ไม่มีรูตั้งแต่แรกจะดีกว่าไหมครับ?

ที่มา: The New York Times

โลกอินเทอร์เน็ตถูกสร้างขึ้นมาบนพื้นฐานของความเชื่อใจกันนับแต่วันแรก เราคงจำกันได้กับวันที่เราเคย finger ว่าใครออนไลน์บนเครื่องไหนกันบ้าง เพราะยุคแรกของอินเทอร์เน็ตนั้นมันเป็นช่องทางเชื่อมต่อระหว่างนักวิจัยเป็นหลัก

แต่ในยุคนี้ที่อินเทอร์เน็ตนั้นเต็มไปด้วยอันตราย ความเชื่อใจแบบเดียวกันนี้ แม้จะลดลงอย่างมากในช่วงหลายปีมานี้ แต่เรายังคงล็อกอินเว็บด้วยการเชื่อมต่อแบบไม่เข้ารหัส ไวร์เลสแลนของเราส่วนมากมีการป้องกันเพียงเล็กน้อย หรือไม่มีการป้องกันใดๆ เลย ปัญหาหลักในเรื่องนี้คงเป็นเรื่องของความยุ่งยากในการติดตั้ง แต่ความเป็นจริงอีกอย่างหนึ่งคือการเพิ่มความปลอดภัยให้อินเทอร์เน็ตนั้นมีค่าใช้จ่ายที่แพงมาก การเข้ารหัสแบบ TLS ให้กับการเชื่อมต่อทั้งหมด หมายถึงการคำนวณปริมาณมากมายให้กับผู้ใช้ทุกๆ คนโดยที่เซิร์ฟเวอร์ไม่สามารถแคชผลการคำนวณไว้ใช้งานได้

โปรแกรมแอนตี้ไวรัสมีเจตนาดีคือป้องกันเครื่องจากไวรัส แต่ก็มีผลกระทบคือมันกลับหน่วงเครื่องเสียเอง (รวมถึงคำเตือนและป๊อพอัพมากมายที่น่ารำคาญ) Symantec จึงตัดสินใจเขียน Norton Internet Security ขึ้นมาใหม่หมดเพื่อแก้ปัญหาข้างต้น

Walt Mossberg เจ้าเก่าได้ทดลองใช้และพบว่าเป็นแอนตี้ไวรัสที่ทำงานได้เร็วและน่ารำคาญน้อยที่สุดที่เขาเคยใช้มา

It isn’t perfect, but it is the fastest, simplest and least obtrusive security suite I have ever used.

ส่วนคุณภาพของการตรวจจับไวรัส นิตยสาร PC Magazine ทดสอบและให้คะแนนด้านการตรวจจับไวรัสว่า extremely effective คะแนนรวมคือ 4.5 เต็ม 5

ตัวโปรแกรมราคา 70 ดอลลาร์ ลงได้ 3 เครื่อง ใช้ได้กับ XP และ Vista รีวิวอย่างละเอียดดูตามลิงก์ ถ้าเป็นแอนตี้ไวรัสอย่างเดียวราคา 40 ดอลลาร์

ที่มา - AllThingsD, PC Magazine

หลังจากที่เริ่มปฏิบัติงานบางส่วนแล้ว คอมพิวเตอร์ส่วนหนึ่งของ Large Hadron Collider ก็โดนจู่โจมโดย Hacker กลุ่มที่เรียกตัวเองว่า GST: Greek Security Team

การจู่โจมในครั้งนี้มุ่งไปที่เว็บไซต์ cmsmon.cern.ch (ตอนนี้แก้ไขหายแล้วครับ) โดยเว็บดังกล่าวอยู่ในระบบคอมพิวเตอร์ของการทดลอง Compact Muon Solenoid (CMS) ซึ่งถึงแม้จะไม่ถึงตัวคอมพิวเตอร์ที่ควบคุมตัวเครื่องโดยตรง แต่ก็ทำให้นักวิทยาศาสตร์ที่เกี่ยวข้องกังวลเป็นอย่างมาก เนื่องจากแสดงให้เห็นว่าระบบ CMS นั้นสามารถ hack ได้ ล่าสุดทีมวิจัยได้วิเคราะห์แล้วว่าไม่มีการติดตั้งโปรแกรม backdoor ใดๆ ลงไปในเครื่องที่ถูกจู่โจมดังกล่าว

นอกจากเป็นเป้าหมายของ hacker แล้วระบบของ CERN ยังเป็นเป้าหมายของ spam จำนวนมาก โดยกว่า 98% ของอีเมลจำนวน 1.4 ล้านฉบับที่ส่งมาเป็น spam

ที่มา: The Telegraph

NASA รายงานว่าเครื่องคอมพิวเตอร์แบบพกพาบน International Space Station (ISS) ถูกตรวจพบ malware อยู่และนี่ไม่ใช่ครั้งแรกที่มีการพบไวรัสและหนอนคอมพิวเตอร์ในวงโคจร เรื่องนี้ถูกรายงานโดย เจ้าหน้าที่ Sergey Volkov เขาเขียนรายงานสถานะประจำวันหลังจากตรวจพบ malware ด้วยโปรแกรม Norton Antivirus ขณะที่กำลังดูภาพจากการ์ดหน่วยความจำบนเครื่องคอมพิวเตอร์พกพาสัญชาติรัสเซียชื่อ RSS-2

งานนี้ Norton ได้หน้าไปเต็มๆอย่างน้อยก็สองเรื่องคือคุณภาพดีจนผ่านการคัดเลือกให้ไปใช้บนอวกาศและตรวจพบ malware นอกโลก(malware นี้ไม่ได้มาจากนอกโลกนะครับ)

ที่มา - ComputerWorld

นอกจากสงครามเต็มรูปแบบระหว่างรัสเซียกับจอร์เจียจะปะทุขึ้นมาแล้ว บนสมรภูมิไซเบอร์ ฝ่ายรัสเซียก็ได้โจมตีระบบอินเทอร์เน็ตของจอร์เจียอย่างเข้มข้นด้วย

ก่อนสงครามจะเริ่มไม่กี่วัน (22 ก.ค.)​ มีรายงานจาก ZDNet ว่าเว็บไซต์ทำเนียบประธานาธิบดีของจอร์เจีย โดน DDoS ซึ่งถึงแม้ว่าไม่อาจพิสูจน์ได้ชัดว่ามาจากฝ่ายรัสเซีย แต่มีการใช้เทคนิคที่นิยมในหมู่แฮกเกอร์รัสเซีย

ส่วนหลังสงครามเริ่มต้น มีบล็อกเกอร์ได้ทดลอง traceroute จากต่างประเทศ​ (ในที่นี้คือสหรัฐและยูเครน) เข้าไปยังเว็บไซต์หลายอันของรัฐบาลจอร์เจีย แต่ไม่สามารถเข้าถึงได้ นอกจากนี้ยังมีรายงานว่าเซิร์ฟเวอร์หลายตัวภายในประเทศจอร์เจีย ถูกควบคุมเส้นทางจาก Autonomous System (AS) ที่อยู่ภายนอกประเทศ ซึ่งมีข้อมูลว่า AS เหล่านี้เป็นของกลุ่มแฮกเกอร์ Russia Business Network (RBN) ซึ่งมีความสัมพันธ์กับรัฐบาลรัสเซีย

ก่อนหน้านี้ในปี 2007 เคยมีกรณีรัสเซียใช้สงครามไซเบอร์โจมตีประเทศเอสโตเนียเช่นกัน (Wikipedia)

ที่มา - ZDNet, Slashdot

คนทั่วไปอาจจะรู้จักกับ Reuters ในฐานะของสำนักข่าว แต่คนไอทีบ้านเราคงรู้กันว่ารายได้จากซอฟต์แวร์นั้นก็เป็นสัดส่วนของสูงมากของบริษัทเช่นกัน หนึ่งในสินค้าของทาง Reuters คือซอฟต์แวร์ Instant Messaging แบบพิเศษที่มีการรักษาความปลอดภัยชั้นสูง

แต่ซอฟต์แวร์ตัวนี้นั้นผูกติดอยู่กับเทคโนโลยีของบริษัท FaceTime เพื่อการรักษาความปลอดภัยและการเก็บรักษาประวัติการพูดคุยกันของโบรกเกอร์บริษัทการเงินต่างๆ เพื่อให้เป็นไปตามกฏหมายของแต่ละประเทศ

Reuters ซื้อสิทธิการใช้เทคโนโลยีของ FaceTime เป็นเงิน 1.3 ล้านดอลลาร์ ให้สิทธิในการใช้เทคโนโลยีนี้เป็นเวลาสองปี ตามสัญญาเดิมซึ่งสิ้นสุดลงตั้งแต่วันที่ 31 มกราคมที่ผ่านมานั้น Reuters มีสิทธิที่จะต่อสัญญาซื้อสิทธิแบบถาวรได้ด้วยเงิน 150,000 ดอลลาร์ แต่ทาง FaceTime ระบุว่าไม่มีการจ่ายเงินจำนวนนั้นจนสัญญาสิ้นสุดลง

ตัวซอฟต์แวร์ของทาง Reuters เองนั้นสามารถส่งข้อความได้โดยไม่ต้องมีเทคโนโลยีของ FaceTime แต่อาจจะทำให้การรักษาความปลอดภัยไม่เป็นไปตามกฏหมายกำหนด ส่งผลให้บริษัทที่ต้องการใช้เทคโนโลยีนี้ต่อไปต้องจ่ายค่าไลเซนส์ให้กับทาง FaceTime โดยตรง

ทาง FaceTime ระบุว่ายินดีจะเจรจากับทาง Reuters เพื่อหาทางออกในเรื่องนี้ต่อไป

ที่มา - PhysOrg

UPDATE: คุณ kulawat สมาชิกของเรา ออกมาอธิบายเรื่องนี้โดยระบุว่าตัวเขาเป็นหนึ่งในทีม RM ของทาง Reuters ครับ

คุณ kulawat อธิบายว่าเรื่องที่เกิดขึ้นเป็นเพราะทาง Reuters มีความผิดพลาดทางบัญชีทำให้จ่ายเงินงวดสุดท้ายช้าไปแปดวันเท่านั้น อย่างไรก็ตามลูกค้าส่วนมากได้ย้ายระบบรักษาความปลอดภัยไปใช้เทคโนโลยีของทาง Reuters เองเกือบทั้งหมดแล้ว

บริษัท Willcom จากประเทศญี่ปุ่นประกาศวางแผนเตรียมติดตั้งกล้องวีดีโอไปพร้อมกับการติดตั้งสถานีให้บริการโทรศัพท์มือถือแบบ PHS

การติดตั้งกล้องวีดีโอปรกติแล้วมีค่าใช้จ่ายที่สูงมาก แต่บริษัท Willcom ระบุว่าค่าใช้จ่ายนี้จะต่ำลงมากหากติดตั้งไปพร้อมกับสถานีให้บริการ PHS ที่ปัจจุบันมีมากกว่า 160,000 จุดทั่วญี่ปุ่น

การติดตั้งกล้องวีดีโอทั่วประเทศเช่นนี้จะสร้างบริการใหม่ๆ เช่นการรายงานการจราจร รายงานสภาพอากาศ หรือจะเป็นการดูแลความปลอดภัย แต่ก็มีปัญหาในเรื่องของความเป็นส่วนตัว

ที่มา - Tech-On

ข่าวภาพหลุด คลิปหลุดนี่ใช่ว่าจะมีเฉพาะในบ้านเราเสมอไป เมื่อ O2 ผู้ให้บริการโทรศัพท์มือถือรายใหญ่ในอังกฤษเปิดบริการส่ง MMS ผ่านเว็บโดยไม่ได้ตรวจสอบอย่างละเอียดพอ ส่งผลให้ข้อมูลรูปภาพ MMS ของลูกค้าที่ใช้บริการดังกล่าวหลุดเข้าสู่เว็บและสามารถค้นหาจากกูเกิลได้โดยง่าย

รูโหว่นี้เกิดขึ้นเมื่อผู้ใช้ส่งภาพ MMS ล้มเหลว เช่นส่งหมายเลขปลายทางไปผิดเบอร์ ทาง O2 จะอีเมลกลับมาพร้อมกับ URL ของภาพที่ส่งไป โดยไม่มีการตรวจสอบผู้ใช้แต่อย่างใด แม้ว่าโดยปรกติแล้วการส่ง URL ลับเช่นนี้จะสามารถทำได้ และเสิร์ชเอจินต์ทั้งหลายจะไม่สามารถวิ่งเข้าไปยังหน้าเว็บเหล่านี้ได้ เนื่องจากไม่มีจุดเริ่มต้นที่ลิงก์ไปยังภาพเหล่านี้ แต่ด้วยเหตุผลบางอย่างก็มีภาพจำนวนมากหลุดเข้าไปอยู่ในกูเกิลกันแล้ว

สำหรับบ้านเรา กระทรวงไอซีทีถ้าได้ทำงานอื่นนอกจากบล็อคเว็บกับเข็น 3G แล้ว ควรหาทางให้ราชการเลิกเอาข้อมูลส่วนตัวของประชาชนขึ้นเว็บเป็น Excel ทั้งกระบุงกันโดยเร็วครับ

ที่มา - MailChannels

นักวิจัยด้านความปลอดภัยคอมพิวเตอร์ชื่อว่า Kris Kaspersky อ้างว่าเขากำลังเตรียมการสาธิตการแฮกเครื่องคอมพิวเตอร์ผ่านทางเครือข่ายโดยอาศัยโค้ดที่ส่งมาทางเครือข่ายเช่น JavaScript โดยไม่สนใจระบบปฎิบัติการ

Kaspersky เตรียมการสาธิตครั้งนี้สำหรับงาน Hack In The Box ที่กรุงกัวลาลัมเปอร์ ประเทศมาเลเซีย โดยในงานเขาจะสาธิตการแฮกเครื่องบนระบบปฎิบัติการ Windows XP, Vista, Windows Server 2003, Windows Server 2008, Linux และ BSD โดยทั้งหมดจะได้รับการอัพเดตมาจนถึงรุ่นใหม่สุด

ในตอนนี้เรายังไม่มีข้อมูลอะไรนอกเหนือไปจากคำกล่าวอ้างของ Kaspersky แต่เขาระบุว่าเขาจะแสดงการทำงานของโค้ดจริง และหลังการสาธิตแล้วเขาจะแจกจ่ายโค้ดทั้งหมดสู่สาธารณะ

บั๊กในซีพียูเป็นเรื่องที่เป็นไปได้ โดยที่บั๊กส่วนหนึ่งสามารถแก้ไขได้ด้วยการอัพเดตไบออส

งาน Hack In The Box จะจัดขึ้นในวันที่ 27 ถึง 28 ตุลาคมนี้

ที่มา - Infoworld

เคยเปิดเมล์ค้างไว้แล้วมีคนมาแอบอ่านกันบ้างรึเปล่า ไม่ว่าจะบนเครื่องคอมฯที่บ้าน ที่ทำงาน หรือแม้แต่บนมือถือ การลืมบางครั้งบางคราวก็อาจจะก่อปัญหาใหญ่ตามตัวมาทีหลัง โดยเฉพาะเรื่องความปลอดภัย

ล่าสุดกูเกิลได้เพิ่มระบบความปลอดภัยใหม่ใน GMail โดยเราสามารถเช็คได้เลยว่ามีใครบ้างที่กำลังเปิด GMail อยู่ ไม่ว่าจะมาจากเครื่องคอมฯ, iGoogle, POP3, SMTP หรือแม้แต่บนมือถือ โดยระหว่างใช้งาน หากมีใครก็ตามเข้ามาในระบบ จะมีการแจ้งเตือนทันทีด้านล่างหน้าจอ และสามารถเช็คได้ว่าเข้ามาจากที่ใด IP เบอร์อะไร ดูรูปประกอบ

ที่ชอบคือสามารถเลือกให้ระบบทำการ sign out เครื่องอื่นๆ ออกจากระบบได้ทันที เท่าที่ทดสอบดูก็ใช้ได้เลยทีเดียว ช่วยป้องกันแฟนหรือคนที่บ้านมาแอบอ่านเมล์ได้เป็นอย่างดี

ที่มา - GMail Blog

ทีมงานของไมโครซอฟท์ได้เขียนถึงความสามารถใหม่ๆ ด้านความปลอดภัย ซึ่งจะถูกเพิ่มเข้ามาใน IE8 Beta 2 ซึ่งจะออกในเดือนสิงหาคม

• เปิดใช้บิต NX (No execute bit หรือในวินโดวส์จะเรียกว่า DEP) ฟีเจอร์นี้มีใน IE7 บน Vista แต่ไม่ถูกเปิดใช้เพราะกลัวปัญหาว่า extension เก่าๆ ของ IE จะใช้งานไม่ได้ ใน IE8 เปิดใช้เป็น default แล้ว - IEBlog
• เพิ่มความปลอดภัยของ ActiveX หลายอย่าง เช่น Per-User ActiveX (ระบบไม่พังถ้าเจอ ActiveX ประสงค์ร้าย) หรือ Per-Site ActiveX (อนุญาตเป็นเว็บๆ ไป) รายละเอียดอ่านต่อที่ IEBlog
• SmartScreen Filter เหมือนกับความสามารถของ Firefox เมื่อเจอ phishing site จะขึ้นจอแดงเตือน - IEBlog
• XSS Filter เมื่อเจอกับเว็บที่คาดว่าเป็น Cross-site scripting (XSS ถ้าเอาละเอียดคือ Type 1) IE8 จะไม่สั่งให้สคริปต์ทำงาน และแสดงเป็น plain text แทน - IEBlog
• ฟีเจอร์อื่นๆ มีหลายอย่างที่น่าสนใจ เช่น ตัวกรองแท็ก <script> ใน HTML และ JSON, ฟอร์มสำหรับเลือกไฟล์สามารถกดได้แต่ Browse อย่างเดียว ห้ามพิมพ์ชื่อไฟล์เองแล้ว (กัน keystroke sniffing) ฯลฯ - IEBlog

ฝั่ง Firefox มีคนเรียกร้องให้ทำตัวกรองแท็ก HTML เหมือนกับ IE8 แล้ว (bugzilla) ข่าวแถมอีกอันคือ Mozilla ได้เริ่มโครงการ Security Metrics Project เพื่อวิเคราะห์ว่าแพตช์ด้านความปลอดภัยที่ออกมา เพิ่มความปลอดภัยให้กับผู้ใช้ได้มากขนาดไหน - ZDNET

ที่มา - Softpedia

จริงๆ การยึดไว้ตรวจสอบเช่นนี้ได้รับอนุญาตมาหลายปีแล้ว ไม่ว่าจะกับแล็ปท็อบ กล้องดิจิตอล โทรศัพท์เคลื่อนที่ หรือ อุุปกรณ์อิเล็กทรอนิกส์อื่นๆ แต่มีข่าวออกมาสู่สาธารณะชนน้อยมาก จนมาถึงปัจุบันที่กระแสต่อต้านกระกระทำดังกล่าวเริ่มหนาขึ้นทั้งจากนักเดินทาง และนักกฎหมาย โดยนายบิล โฮแกน (นักข่าวอิสระ) ซึ่งแล็ปท็อปของเขาถูกสุ่มยึดได้ตรวจสอบเป็นระยะเวลา ๒ สัปดาห์ ขณะเดินทางกลับบ้านจากเยอรมัน กล่าวว่า "นี่อาจเข้าข่ายเป็นการยึดทรัพย์มากกว่าการยึดไว้ตรวจสอบ เพราะเจ้าหน้าที่อาจจะทำสำเนาข้อมูลเขาไว้ก็ได้"

ตามปกติการกระทำลักษณะนี้จำเป็นต้องขอหมายศาลก่อน แต่สำหรับการตรวจคนเข้าเมืองเจ้าหน้าที่สามารถตรวจค้นสิ่งต้องสงสัยได้ทุกอย่างโดยไม่ต้องขอหมายศาล

สำหรับกฎหมายไทยจะตรงกับ พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.๒๕๕๐ มาตราที่ ๑๘ ข้อที่ ๘

ยึดหรืออายัดระบบคอมพิวเตอร์เท่าที่จำเป็นเฉพาะเพื่อประโยชน์ในการทราบรายละเอียดแห่งความผิดและผู้กระทำความผิดตามพระราชบัญญัตินี้

ซึ่งต้องขออนุญาตศาลก่อน และเจ้าหน้าที่ต้องส่ง สำเนาบันทึกเหตุอันควรเชื่อที่ทำให้ต้องใช้อำนาจ ตามที่ศาลได้มีคำสั่งอนุญาตให้เจ้าของ หรือผู้ครอบครองระบบคอมพิวเตอร์นั้นไว้เป็นหลักฐานด้วย

มีใครได้มาแล้วบ้างครับ :)

ที่มา: Los Angeles Times

ภาษา Ruby นั้นได้รับความนิยมเป็นอย่างสูงในการพัฒนาเว็บในช่วงสองปีที่ผ่านมา ทำให้บั๊กล่าสุดที่มีการค้นพบน่าเป็นห่วงมากเพราะมันทำให้แฮกเกอร์สามารถทำให้ซอฟต์แวร์ที่เขียนด้วยภาษา Ruby ล่มหรือที่แย่กว่านั้นอาจจะส่งโค้ดไม่พึงประสงค์มาทำงานบนเครื่องที่ถูกโจมตีได้

ทาง Ruby-Lang.org ก็ออกแพตซ์มาแก้บั๊กนี้ให้ทันใจ แม้ตอนนี้ยังไม่มีรายงานการใช้บั๊กนี้โจมตีเว็บใดๆ แต่แนะนำให้รีบอัพเดตกันครับ

ที่มา - Matasano Chargen