โปรแกรมเมอร์ที่มีประสบการณ์สักหน่อยคงเข้าใจได้ไม่ยากว่าซอฟต์แวร์ที่ไม่มีบั๊กนั้นแทบไม่มีจริงอยู่ในโลก หนังสือ Code Complete ของ Steve McConnell ระบุว่าโดยทั่วไปแล้วโค้ดทุกๆ 1000 บรรทัด (KLOC: kilo lines of code) จะมีข้อผิดพลาดประมาณ 15-50 จุด ซอฟต์แวร์ที่คุณภาพสูงมากๆ อาจจะมีกระบวนการตรวจสอบที่รัดกุม อาจจะทำให้คุณภาพซอฟต์แวร์ดีขึ้น จุดผิดพลาดต่ำลงต่ำ แต่ซอฟต์แวร์สมัยใหม่ที่มีความซับซ้อนสูง พึ่งพิงกับไลบรารีภายนอกจำนวนมาก แทบเป็นไปไม่ได้ที่จะอ้างว่าซอฟต์แวร์เหล่านี้ไม่มีความผิดพลาดอยู่เลย ในบางกรณีอาจมีผู้อ้างว่าทำได้เช่นในโครงการอวกาศบางโครงการ แต่ซอฟต์แวร์เหล่านั้นมักเป็นงานเฉพาะทาง ไม่ต้องรองรับฮาร์ดแวร์ที่หลากหมายและมาตรฐานการเชื่อมต่
ที่งาน MHCon 2015 เมื่อวานนี้นอกจากมีการบรรยายจากวิทยากรแล้วพ.อ.ชาติชาย ชัยเกษม ผู้อำนวยการกองสงครามเครือข่าย (บ้านเรามีหน่วย Cyberwarfare แล้ว) ประกาศว่ากำลังรับสมัครพลเรือนเข้าไปทำงานด้านความปลอดภัยคอมพิวเตอร์ทั้งหมด 7 ตำแหน่ง
ตำแหน่งที่เปิดมีตั้งแต่ penetration testing officer, digital forensics officer, และ cyber security auditing officer คงครอบคลุมงานด้านความปลอดภัยคอมพิวเตอร์ส่วนใหญ่ แต่จำนวนตำแหน่งไม่มากนัก หากใครสนใจทำงานด้านความปลอดภัยคอมพิวเตอร์ในหน่วยราชการคงเป็นโอกาสที่ดีครับ
ยังไม่เปิดรับสมัคร โดยจะเปิดรับจริงวันที่ 15 กุมภาพันธ์นี้ไปจนถึงวันที่ 1 มีนาคม ทางเว็บกรมยุทธการทหาร
กูเกิลเริ่มให้บริการ Google Device Experts ซัพพอร์ตกับลูกค้าที่กำลังตัดสินใจซื้ออุปกรณ์จากกูเกิลหรือต้องการความช่วยเหลือผ่าน Hangouts ทำให้ลูกค้าสามารถพูดคุยกับพนักงานเป็นวิดีโอได้แล้ว
ตอนนี้มีลูกค้าบางส่วนเท่านั้นที่เข้าถึงบริการนี้ได้ ทางกูเกิลระบุว่ากำลังเก็บข้อมูล และยังไม่เปิดเผยแผนการให้บริการเพิ่มเติม
บริการนี้คล้ายกับบริการ Mayday ของอเมซอนที่ลูกค้าสามารถขอความช่วยเหลือเป็นวิดีโอได้เช่นเดียวกัน แต่ Mayday นั้นเป็นบริการสำหรับลูกค้าที่ซื้อเครื่องไปแล้วเท่านั้น ส่วนบริการของกูเกิลเปิดให้ลูกค้าที่กำลังตัดสินใจเข้าสอบถามข้อมูลเพิ่มเติมได้ด้วย
GPG หรือ Gnu Privacy Guard เริ่มพัฒนามาตั้งแต่ปี 1997 และออกรุ่น 1.0 ในปี 1999 โดย Werner Koch นักพัฒนาหลักมาตลอดโดยตั้งบริษัท g10code ขึ้นมาเพื่อรับเงินและตัว Werner เองก็ออกมาทำงานเต็มเวลาในบริษัทนี้ แต่ปรากฎว่าบริษัทนี้อยู่ในสภาพย่ำแย่มาโดยตลอด ฐานะทางการเงินติดลบ ช่วงสองปีหลังเหลือ Werner เป็นนักพัฒนาเต็มเวลาเพียงคนเดียว จนกระทั่งคิดว่าจะเลิกทำโครงการนี้เต็มเวลาแล้วไปทำงานบริษัทในช่วงปี 2013
แต่หลังจาก Edward Snowden เปิดเผยข้อมูลจำนวนมากโดยอาศัย GPG เป็นส่วนสำคัญในการสื่อสาร Werner ก็ตัดสินใจเดินหน้าพัฒนาต่อ และพยายามระดมทุนเพื่อให้มีนักพัฒนาเพิ่มเติม โดยตั้งเป้าระดมทุน 137,000 ดอลลาร์ แต่ก็ยังไม่ได้ตามที่หวัง
วันก่อนมีรายงานถึงบั๊ก CVE-2015-313 ของ Adobe Flash ตอนนี้ทาง Adobe ก็ปล่อยแพตช์ออกมาแล้ว และยังแก้บั๊กอื่นๆ อีกนับสิบตัว รวมถึงบั๊กจาก Project Zero ของกูเกิลและบั๊กที่ได้รับจากโครงการให้รางวัลบั๊ก Chromium
ทางฝั่งกูเกิลระบุว่าบั๊กทั้งหมดของ Project Zero ทาง Adobe สามารถแก้ไขได้ภายใน 90 วันตามกำหนดของโครงการ
ที่มา - Adobe, Chris Evans
Venefi และ DigiCert บริษัทให้บริการรับรองตัวตน (Certification Authority - CA) ประกาศเข้าร่วมกับโครงการ Certificate Transparency ที่ก่อตั้งโดยกูเกิล ที่ชักชวนให้ CA ทั้งหลายเปิดเผยข้อมูลการออกใบรับรองสู่สาธารณะ
ทาง DigiCert ระบุว่าจะเปิดเผยเฉพาะใบรับรองระดับ EV (Extended Validation ที่มีชื่อบริษัทอยู่ในช่อง URL) แต่ไม่รวมถึงใบรับรองทั่วไป ส่วน Venafi ไม่ได้ระบุว่าจะเปิดเผยข้อมูลมากแค่ไหน
โซนี่แถลงผลประกอบการไปเมื่อวันพุธที่ผ่านมา ข้อมูลอีกอย่างหนึ่งที่อยู่ในรายงานคือการแฮกข้อมูลครั้งใหญ่ของ Sony Pictures นอกจากจะทำให้บริษัทเสียหายครั้งใหญ่ รายได้ลดลง 23% และกำไรแทบไม่เหลือแล้วยังต้องจ่ายค่าสอบสวนและฟื้นฟูระบบที่เสียหายไปอีก 15 ล้านดอลลาร์ในไตรมาสที่ผ่านมา
ระหว่างนี้การสอบสวนยังไม่จบ โซนี่คาดว่าจะต้องจ่ายเพิ่มอีก 20 ล้านดอลลาร์ รวมเป็นค่าใช้จ่าย 35 ล้านดอลลาร์ ทางโซนี่ไม่ตอบคำถามว่าหลังจากนี้จะมีค่าใช้จ่ายเพิ่มเติมหรือไม่
Trend Micro รายงานถึงมัลแวร์ XAgent มัลแวร์ที่เจาะจงเป้าหมายในกลุ่มการทหาร, รัฐบาล, อุตสาหกรรมที่เกี่ยวกับความมั่นคง, และสื่อ ทาง Trend Micro เชื่อว่าเป็นปฎิบัติการต่อเนื่องมาจากปีที่แล้ว ที่ Trend Micro เรียกชื่อว่า Pawn Storm ที่พบเมื่อปีที่แล้ว
XAgent มีสองรุ่น คือ แอพพลิเคชั่นที่ชื่อว่า XAgent และเวอร์ชั่นปลอมตัวเป็นเกม MadCap กระบวนการติดมัลแวร์นี้ยังไม่แน่ชัดนัก แต่อุปกรณ์ที่ติดไม่จำเป็นต้องเจลเบรกแต่อย่างใด แต่บน iOS 8 นั้นการติดตั้งจะไม่สมบูรณ์ ตัวมัลแวร์ไม่สามารถทำงานได้อัตโนมัติ และไอคอนที่ซ่อนไว้ก็แสดงออกมา
Simon Pang ผู้สร้างบริการ TapCase บริการสร้างแอพพลิเคชั่นต้นแบบ ทวีตภาพผู้หญิงคนหนึ่งกำลังนั่งทำงานหน้าโทรศัพท์มือถือหลายสิบเครื่อง พร้อมกับระบุว่า "กระบวนการให้คะแนนของ App Store เป็นแบบนี้ ขอต้อนรับสู่โลกความเป็นจริง"
หลังจากนั้น Barry Meade ผู้ร่วมก่อตั้ง Fireproof Games ก็ทวีตภาพนี้อีกครั้งระบุว่า ผู้พัฒนาที่ได้รับความเคารพหลายรายใช้ระบบแบบนี้ทุกวัน
หมายเหตุ บทความนี้ไม่เกี่ยวกับข่าว "กระทรวงไอซีทีพยายามตรวจสอบและปิดกั้นเว็บเข้ารหัส ทดสอบที่เกตเวย์" แต่อย่างใด
เว็บและบริการคอมพิวเตอร์ยุคใหม่ส่วนมากมักเข้ารหัสอย่างแน่นหนาขึ้นเรื่อยๆ ในช่วงเวลาไม่กี่ปีที่ผ่านมา กระบวนการเข้ารหัสเหล่านี้คุ้มครองความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ได้เป็นอย่างดี แต่แน่นอน หากวันดีคืนดีเราเป็นเจ้าของบ้านที่ควบคุมเกตเวย์อินเทอร์เน็ต "ที่บ้าน" ได้โดยไม่มีการตรวจสอบ ไม่มีการถ่วงดุล สามารถทำอะไรได้ตามใจชอบ เราอาจจะเริ่มสงสัยว่าจริงๆ แล้วเราอยากส่องข้อความที่ทุกคนส่งเข้าออกจากบ้านของเราแม้จะเข้ารหัสได้หรือไม่
อุปกรณ์แอนดรอยด์มากขึ้นเรื่อยๆ ในช่วงหลังจนกระทั่งแซง iOS ในแง่ของปริมาณเครื่องไปได้ไกลแต่ในแง่ของรายได้แอพพลิเคชั่นก็นับว่ายังห่าง เช่น รายงานจาก App Annie ในปี 2013 ตอนนี้ Opera Mediaworks ก็ออกรายงานแสดงรายได้โฆษณาออกมา
โครงการ Android One โทรศัพท์ราคาถูกที่ได้รับซอฟต์แวร์จากกูเกิลโดยตรงเริ่มแรกเปิดตัวในอินเดีย, บังคลาเทศ, เนปาล, และศรีลังกา ตอนนี้กูเกิลก็เปิดตัวเพิ่มในอินโดนีเซียแล้ว
Android One ในอินโดนีเซียจะขายในสามแบรนด์ ได้แก่ Evercoss, Mito, และ Nexian ราคาขายจะถูกกว่า 1.5 ล้านรูเปียห์ หรือต่ำกว่า 4,000 บาท ทุกรุ่นได้รับ Android 5.0 Lollipop ตั้งแต่แรก ตัวโทรศัพท์รองรับสองซิมพร้อมวิทยุเอฟเอ็ม ใส่ microSD เพิ่มหน่วยความจำได้ และได้รับอัพเดตโดยตรงจากกูเกิลสองปี
รัฐศาสตร์ กรสูต ผู้จัดการทั่วไป LINE ประเทศไทยยื่นใบลาออกจากบริษัทแล้ว เพื่อไปทำงานภาครัฐในต้นเดือนมีนาคมนี้ โดยยังไม่มีข่าวว่าเป็นตำแหน่งอะไร
รัฐศาสตร์ เคยเป็นผู้อำนวยการเว็บไซต์ Sanook.com เขาระบุกับ Forbes Thailand ว่ามี "ผู้ใหญ่" ของกระทรวงไอซีทีชวนให้ไปช่วยงาน
ที่มา - Forbes Thailand
วันนี้ระบบ Streaming ของทาง SETTRADE ล่ม ทำให้นักลงทุนที่ใช้งานผ่านบริการนี้ไม่สามารถส่งคำสั่งซื้อขายได้ ตอนนี้นักลงทุนบางส่วนระบุว่ายังเข้าใช้งานได้
ผมตรวจสอบดูพบว่าอาจจะเป็นปัญหาที่ระบบ Single Sign-On (SSO) เพราะเซิร์ฟเวอร์ sso.settrade.com
ไม่สามารถเชื่อมต่อได้แล้ว ถ้าใครเข้าใช้งานได้แล้วก็อย่าเผลอไปปิดครับ อาจจะเข้าไม่ได้อีก
ทาง SETTRADE ระบุว่ากำลังเร่งแก้ไขระบบ
update ช่วงเที่ยงที่ผ่านมาตลาดหลักทรัพย์ระบุว่าเริ่มใช้งานได้แล้ว แต่ผมทดสอบแล้วแม้จะเข้าเว็บได้แต่ยังพบปัญหา Invalid Username
ที่มา - SETTRADE
เมื่อวานนี้ทาง Raspberry Pi Foundation เปิดตัว Raspberry Pi 2 Model B มีความเปลี่ยนแปลงสำคัญหลายอย่าง โดยเฉพาะการเปลี่ยนแปลงซีพียู และรองรับ Windows 10 ตอนนี้ข่าวเริ่มออกมาครบถ้วนก็มีข้อมูลออกมาเพิ่มเติม
Amazon Web Services ประกาศเตรียมรองรับภาษา Go อย่างเป็นทางการ หลังจากตอนนี้ชุด SDK รองรับภาษา Java, C#, Ruby, Python, JavaScript, PHP, และ Objective C
ชุด SDK ใช้ชื่อว่า aws-go เป็นการพอร์ตมาจากโครงการเดียวกันของ Stripe โดยช่วงแรกจะเป็นโครงการทดลอง ทางอเมซอนจะเข้ามาเพิ่มชุดทดสอบ และเชิญชวนให้ชุมชนมาช่วยกันส่งความเห็น
โครงการอยู่ใน GitHub สามารถไปดาวน์โหลดมาเล่นกันได้
ที่มา - AWS Blog
งานเปิดตัว Raspberry Pi 2 มีการประกาศเพิ่มเติมถึงพาร์ตเนอร์ของ Raspberry Pi เข้าร่วมหลายราย สองรายสำคัญที่ประกาศมาคือ Canonical และไมโครซอฟท์
Canonical จะซัพพอร์ต Snappy Ubuntu Core บน Raspberry Pi อย่างเป็นทางการ จากเดิมที่ Snappy ก็ซัพพอร์ต ARMv7 อยู่แล้ว การที่ Raspberry Pi อัพเกรดซีพียูทำให้ซอฟต์แวร์ส่วนใหญ่น่าจะใช้งานได้ทันที
ส่วนไมโครซอฟท์ประกาศซัพพอร์ต Raspberry Pi 2 โดยจะพอร์ต Windows 10 ลงมาให้ และ Raspberry Pi 2 จะอยู่ในโครงการ Windows Developer Program for IoT จากเดิมที่รองรับบอร์ด Galileo ของอินเทลเป็นหลัก
กูเกิลประกาศผลงานของโครงการ Vulnerability Reward Program (VRP) ที่ให้เงินรางวัลกับนักวิจัยที่หาช่องโหว่ในแอพพลิเคชั่นหรือบริการของกูเกิล โดยปีที่แล้วกูเกิลจ่ายเงินไปมากกว่า 1,500,000 ดอลลาร์ รวมนักวิจัยที่ได้เงินรางวัลมากกว่า 200 คน
เฉพาะบั๊กความปลอดภัยของ Chrome ที่พบในโครงการ VRP มีมากกว่า 500 บั๊ก และครึ่งหนึ่งพบจากเวอร์ชั่น beta หรือ dev ทำให้กูเกิลสามารถแก้บั๊กความปลอดภัยก่อนที่จะกระทบคนส่วนใหญ่
Raspberry Pi เปิดตัวบอร์ดคอมพิวเตอร์จิ๋วรุ่นใหม่ คือ Raspberry Pi 2 Model B เปลี่ยนชิปใหม่เป็น BCM2836 เร่งความเร็วประมวลผลเป็น Cortex-A7 4 คอร์ และเพิ่มแรมเป็น 1GB จากเดิม 512MB
ภาพบอร์ดรุ่นใหม่แสดงว่าตัวบอร์ดยังเหมือนรุ่น B+ แทบทุกประการ ต่างไปแค่ตัวซีพียูหลักเท่านั้น
ชิป Cortex-A7 น่าจะทำความเร็วต่อคอร์ดีกว่าชิปตัวเดิมที่เป็น AMR11 มาก โดยรวมแล้วประสิทธิภาพการประมวลผลจะดีขึ้นประมาณ 6 เท่าตัว ส่วนกราฟิกเองก็เพิ่มสัญญาณนาฬิกาจากเดิม 700MHz เป็น 900MHz
หน้าจอเตือนการเข้ารหัส TLS/SSL ผิดพลาดของ Chrome เปลี่ยนมาตั้งแต่ Chrome 37 โดยเปลี่ยนข้อความเป็น "Your connection is not private" หรือ "การเชื่อมต่อของคุณไม่เป็นส่วนตัว" จากเดิมที่ข้อความเตือนการเชื่อมต่อผิดพลาดมักเป็นข้อความทางเทคนิคระบุความผิดพลาด เช่น ใบรับรองเป็นแบบรับรองตัวเอง
ปัญหาอำนาจของพ.ร.บ.ความมั่นคงไซเบอร์ สร้างคำถามว่าทำไมจึงต้องมีอำนาจตามมาตรา 35(3) ที่ให้อำนาจดักฟัง และทางผู้ร่างคือสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) ได้ไปออกรายการคมชัดลึก ผมเพิ่งมาฟังแล้วพบว่ามีประเด็นที่สำคัญคิดว่าต้องมานำเสนอ
แนวทางหนึ่ง คือ ใช้ป้องกันการแฮกล่วงหน้า โดยคำพูดของผอ.สพธอ. ระบุว่า "ก่อนที่ไฟจะลามบ้าน ไฟจะไหม้บ้าน รู้แล้วว่าทราฟิกแบบนี้ แพตเทิร์นแบบนี้ ทราฟิกแบบนี้มา จะมีการเจาะและจู่โจมแน่นอน" (นาทีที่ 19) การวิเคราะห์แพตเทิร์นของทราฟิกที่เข้าออกจากเซิร์ฟเวอร์ก็คือการดักฟัง โดยปกติแล้วการวิเคราะห์แบบนี้มักใช้ระบบป้องกันการโจมตีที่ตั้งไว้โดยเจ้าของเซิร์ฟเวอร์เอง แต่กระบวนการที่รัฐมาช่วยจับแพตเทิร์นทราฟิกให้คงเป็นเรื่องแปลก
Reddit เปิดรายงานความโปร่งใสประจำปี 2014 ระบุว่ามีการขอข้อมูลผู้ใช้ทั้งหมด 55 ครั้ง มาจากต่างประเทศเพียง 5 ครั้ง โดยรวม Reddit ให้ข้อมูลผู้ใช้ 32 ครั้ง และไม่ให้ข้อมูลตามคำขอที่มาจากต่างประเทศเลย
ทาง Reddit ยังประกาศในรายงานความโปร่งใส ระบุหากได้รับคำขอข้อมูลที่ขาดน้ำหนักทางกฎหมายจะไม่ส่งข้อมูลให้ นอกจากนี้หากไม่ได้ถูกห้ามโดยตรงจากคำสั่งศาล ทาง Reddit จะแจ้งเตือนผู้ใช้ว่ากำลังถูกขอข้อมูล สำหรับบริษัทต่างชาติ คำร้องขอข้อมูลจะต้องขอผ่านคำสั่งศาลสหรัฐฯ เท่านั้น
จีนออกกฎหมายความมั่นคงไซเบอร์ฉบับใหม่ แสดงความพยายามเข้าควบคุมคอมพิวเตอร์ทั้งระบบที่ใช้งานในอุตสาหกรรมการเงินของจีนโดยระบุว่าต้องส่งซอร์สโค้ดของซอฟต์แวร์และเฟิร์มแวร์ให้รัฐบาลจีนตรวจสอบจึงสามารถใช้งานได้ และคอมพิวเตอร์เหล่านี้จำเป็นต้องใช้กระบวนการเข้ารหัสที่ได้รับอนุมัติโดยรัฐบาลเท่านั้น
รัฐบาลจีนระบุชัดในกฎมายว่าต้องการเข้าถึงข้อมูลทั้งหมดในคอมพิวเตอร์ที่ขายให้กับภาคการเงิน โดยจำเป็นต้องมีพอร์ตพิเศษเพื่อเข้าจัดการและมอนิเตอร์การทำงานได้ เป้าหมายของรัฐบาลจีนตามกฎหมายนี้ คือ การเข้าควบคุมซอฟต์แวร์ 75% ที่ให้บริการในภาคการเงินของจีนภายในปี 2019
Google Cloud Platform รองรับ Hadoop มานานแต่เป็น Apache Hadoop มาตรฐาน เมื่อสัปดาห์ที่แล้วทางกูเกิลก็ร่วมกับ Hortonworks ผู้พัฒนาดิสทริบิวชันหนึ่งของ Hadoop ชื่อว่า Hortonworks Data Platform (HDP) 2.2 มารองรับบน Google Cloud Platform เป็นทางการ
HDP 2.2 จะมาพร้อมกับ Hadoop 2.6.0 และชุดซฟต์แวร์อื่นๆ ได้แก่ Pig, Hive, HBase, Phoenix, Accumulo, Storm, Spark, Solr, Tez, Slider, Falcon, Kafka, Sqoop, Flume, Ambari, Oozie, Zookeeper, Knox, และ Ranger
พ.ร.บ.ความมั่นคงไซเบอร์ มีร่างออกมาโดยให้อำนาจกรรมการและเจ้าพนักงานสั่งการได้ทั้งรัฐและเอกชน รวมถึงการดักฟังโดยไม่มีการตรวจสอบมากนัก ตอนนี้กลุ่มที่กังวลต่อผลกระทบล่าสุดคือกลุ่มธนาคาร โดยนายอาทิตย์ นันทวิทยา รองผู้จัดการใหญ่ธนาคารไทยพาณิชย์ระบุกับโพสทูเดย์ว่ากลุ่มธนาคารกำลังหารือกันถึงผลกระทบจากกฎหมายนี้ เพราะกังวลว่าอาจจะกระทบการทำงาน ความปลอดภัย และความลับของลูกค้า
ตามร่างพ.ร.บ.ความมั่นคงไซเบอร์ นอกจากมาตรา 35(3) ที่ให้อำนาจการดักฟังแล้ว ยังมีมาตรา 34 ให้อำนาจในการสั่งเอกชนให้กระทำตามคำสั่งได้อีกด้วย