Tags:
MediaTek

ซีพียู ARM รุ่นใหม่ๆ ทุกวันนี้สามารถแบ่งงานตามความต้องการพลังประมวลผลสองระดับที่เรียกว่า big.LITTLE แต่วันนี้ MediaTek ก็เปิดตัว Helio X20 (MT6797) ซีพียูสิบคอร์ที่แบ่งระดับประมวลผลออกเป็นสามระดับ TINY.medium.huge

ซีพียูสามระดับ จะเริ่มจาก Cortex-A53 1.4GHz สี่คอร์ ทำงานเมื่อระบบต้องการพลังประมวลผลต่ำสุด, Cortex-A53 2.0GHz สี่คอร์เมื่อต้องการพลังประมวลผลปานกลาง, และ Cortex-A72 สองคอร์เมื่อต้องการพลังประมวลผลสูงสุด

MediaTek อ้างว่าแนวทางออกแบบนี้ทำให้ซีพียูกินพลังงานน้อยลงเมื่อต้องการพลังประมวลผลต่ำๆ ขณะที่เมื่อต้องการพลังประมวลผลสูงๆ ก็ยังมีคอร์แรงๆ ให้ใช้งาน ตัวเลขที่ระบุตอนนี้คือ Antutu 5.6 จะได้คะแนนมากกว่า 70,000 คะแนน

ทาง MediaTek จะเริ่มผลิตเต็มกำลังเดือนมิถุนายนนี้

ที่มา - CNX Software

Tags:
Bitcoin

MtGox ที่ล้มละลายไป ตอนนี้ทางเจ้าหนี้ก็เข้ามาตรวจสอบว่าเกิดอะไรขึ้นกับบริษัท โดยทีมงาน WizSec จากญี่ปุ่นเข้ามาตรวจสอบบัญชีและพบว่าเงินหายไปจากบัญชี MtGox อย่างต่อเนื่องมานานนับปี

Mark Karpeles ผู้ก่อตั้ง MtGox แสดงบัญชีว่าบริษัทมีบิทคอยน์อยู่ 424242.42424242 BTC ครั้งแรกเมื่อปี 2011 หลังจากให้บริการแลกเปลี่ยนเงิน จนกระทั่งปิดให้บริการในปี 2014 บริษัทควรมีบิทคอยน์อยู่ทั้งสิ้น 950,000 BTC แต่กลับทำหายไปทั้งหมด ทีม WizSec เข้าตรวจสอบบัญชีพบว่าในช่วงปี 2011 มีข้อมูลสูญหายไปทำให้ไม่สามารถติดตามปริมาณเงินที่มีอยู่จริงได้ อย่างไรก็ตามในปี 2013 เป็นต้นมา มีเงินที่รั่วไหลออกจากระบบอย่างต่อเนื่องในอัตราที่ช้าลงเรื่อยๆ จนกระทั่งเงินหมดบัญชีในปี 2014

Tags:
Arduino

ความขัดแย้งระหว่างผู้ก่อตั้ง Arduino ฝั่งสหรัฐฯ และอิตาลีมาถึงจุดแตกหัก สองฝ่ายไม่สามารถตกลงกันได้ และกำลังชิงชื่อ Arduino มาเป็นของตัวเอง ตอนนี้ทางฝั่ง Arduino.cc ในสหรัฐฯ ก็ออกมาขอให้ชุมชนช่วยกันโพสภาพกล่อง Arduino ที่ระบุข้อความว่า SMART PROJECTS S.r.l. ได้รับสิทธิ์ผลิตจาก Arduino.cc โดยขอให้ระบุประเทศของลูกค้าที่สั่งซื้อไปด้วย

แนวทางเช่นนี้คงชัดเจนกว่าทาง Arduino.cc เตรียมสู้คดีกับอดีตพันธมิตรจากฝั่งอีตาลีเต็มตัวแล้ว เราคงต้องรอดูความคืบหน้าของคดีกันต่อไป

ที่มา - Arduino

Tags:

เมื่อสัปดาห์ที่ผ่านมาผมได้ไปร่วมงาน INTERPOL World 2015 ซึ่งเป็นงานประชุมและแสดงสินค้าสำหรับหน่วยงานบังคับกฎหมายที่จัดขึ้นทุกสองปี แม้จะเป็นงานสำหรับตำรวจ แต่กระแสความปลอดภัยไซเบอร์ในช่วงหลังก็มาแรงมาก งานนี้กลายเป็นงานแสดงสินค้าความปลอดภัยไซเบอร์ไปในตัว นานๆ มีโอกาสได้เดินงานใหญ่แบบนี้ก็ขอเก็บบรรยากาศมาให้ดูกันครับ

Tags:
NSA

Cyber Defense Exercise (CDX) เป็นงานซ้อมรบไซเบอร์ประจำปีสำหรับโรงเรียนนายร้อยสหรัฐฯ จัดโดย NSA มาตั้งแต่ปี 2001 เพื่อฝึกซ้อมให้เจ้าหน้าที่ในแต่ละกองทัพมีความสามารถในการป้องกันและตอบโต้การโจมตีไซเบอร์ได้ ปีนี้มีโรงเรียนนายร้อยในสหรัฐฯ 5 โรงเรียนและอีกหนึ่งโรงเรียนจากแคนาดาส่งทีมเข้าซ้อม และทีมงานโรงเรียนทหารเรือนายร้อยสหรัฐฯ ก็เป็นผู้ชนะไป

ในการแข่ง CDX แต่ละทีมจะต้องติดตั้งบริการตามที่กำหนด ได้แก่ อีเมล, แชต, เว็บ, และโดเมนคอนโทรลเลอร์ จากนั้นดูแลให้บริการดำเนินต่อไปได้อย่างต่อเนื่อง ขณะที่ Red Team ของ NSA จะพยายามเข้าเจาะระบบทีละระบบไปเรื่อยๆ นักเรียนที่ดูแลระบบอยู่จะต้องสามารถตรวจสอบและรายงานการเจาะระบบได้อย่างแม่นยำ และอุดรูรั่วที่ถูกเจาะเข้ามาอย่างรวดเร็ว

การแข่งขันยาวนานถึงสี่วันเมื่อวันที่ 13 ถึง 17 เมษายนที่ผ่านมา ทีมจากโรงเรียนนายร้อยทหารเรือ (U.S. Naval Academy) เป็นผู้ชนะในปีนี้ ขณะที่ทีมทหารบกครองแชมป์บ่อยที่สุดในการแข่งขัน 15 ปีที่ผ่านมา

ที่มา - NSA

Tags:
Intel

วันที่ 19 เมษายน 1965 กอร์ดอน มัวร์ ที่ยังเป็นพนักงานของบริษัท FairChild เขียนบทความลงในวารสาร Electronics ระบุว่าจำนวนอุปกรณ์ในไอซีจะเพิ่มขึ้นเท่าตัวทุกๆ หนึ่งปี นับเป็นจุดเริ่มต้นของกฎของมัวร์นับแต่วันนั้น ต่อมาในปี 1975 เขาปรับการคาดการณ์ไว้ว่าจำนวนอุปกรณ์จะเพิ่มขึ้นสองเท่าทุกๆ สองปี และจนวันนี้ กฎนี้จะคงใช้คาดการณ์ซีพียูรุ่นใหม่ๆ ที่มีความซับซ้อนสูงได้อย่างต่อเนื่อง

สามปีหลังตีพิมพ์บทความนี้ตีพิมพ์ มัวร์ก็ร่วมกับ Robert Noyce และ Andrew Grove ก่อตั้งบริษัทอินเทล

กฎของมัวร์เคยถูกทำนายว่าจะไม่สามารถทำนายจำนวนอุปกรณ์ในไอซีได้อีกต่อไปเพราะข้อจำกัดทางเทคโนโลยีที่เราไม่สามารถทำไอซีด้วยเทคโนโลยีขนาดเล็กลงไปเรื่อยๆ หรือไม่สามารถทนต่อความร้อนที่เกตจำนวนมากถูกวางต่อกันอย่างหนาแน่นจะทนได้ แต่จนวันนี้หลังการทำนายไปนับสิบปี กฎของมัวร์ก็ยังคงค่อนข้างแม่นยำอย่างมาก กฎของมัวร์กลายเป็นหลักชัยให้กับวงการซีพียูที่มุ่งจะวิจัยพัฒนากันให้ไปถึงเส้นที่กฎนี้กำหนดไว้อย่างต่อเนื่องมาโดยตลอด

เนื่องในโอกาสครบรอบ 50 ปีครั้งนี้ กอร์ดอน มัวร์ก็ออกมาให้สัมภาษณ์ระลึกความหลังถึงการคาดการณ์ในครั้งนั้น และที่มาของชื่อกฎที่เพื่อนของเขาคนหนึ่งเป็นคนเรียก (วิดีโออยู่ท้ายข่าว)

ที่มา - Intel, Engadget

Tags:
FireEye

FireEye รายงานการโจมตีของกลุ่ม APT 28 ที่มีฐานอยู่ในรัสเซีย เจาะเครื่องของเหยื่อเพื่อเข้าควบคุมเครื่องในระดับสิทธิสูงสุด (System Level Privileges) ด้วยช่องโหว่ CVE-2015-1701 ที่ยังไม่เปิดเผยข้อมูลและยังไม่มีแพตช์ในตอนนี้

แฮกเกอร์กลุ่มนี้ เริ่มจากส่งลิงก์ให้เหยื่อผ่านทางเว็บที่ทางกลุ่มควบคุมได้ จากนั้นใช้ HTML และจาวาสคริปต์ส่งไฟล์แฟลชที่เจาะช่องโหว่ CVE-2015-3043 เข้ามารันในเครื่องก่อนแล้วจึงรัน shellcode จากนั้นจึงดาวน์โหลดโปรแกรมเพื่อเจาะ CVE-2015-1701

ช่องโหว่ CVE-2015-3043 นั้นมีแพตช์แล้วทำให้กลุ่มนี้ไม่สามารถเจาะเครื่องที่แพตช์เต็มรูปแบบได้ แต่การที่ทางกลุ่มสามารถเจาะช่องโหว่ที่ยังไม่มีข้อมูลได้ก็แสดงว่าเป็นกลุ่มแฮกเกอร์ที่มีประสิทธิภาพสูง

ไมโครซอฟท์รับรู้ช่องโหว่ CVE-2015-1701 แล้วและกำลังพัฒนาแพตช์อยู่ในตอนนี้ ระหว่างนี้ผู้ใช้ทั่วไปก็ควรระวังตัวด้วยการแพตช์ระบบตัวเองให้ทันสมัยเสมอ

ที่มา - FireEye

Tags:

ชิป ESP8266 ที่เคยเป็นชิป Wi-Fi ราคาถูกสำหรับใช้เชื่อมต่อกับซีพียูอื่นๆ แต่เนื่องจากตัวรอมของมันเป็นโอเพนซอร์ส ทำให้ตอนนี้มีทีมงานอื่นๆ มาช่วยทำรอมรุ่นใหม่ๆ ให้ รอมตัวหนึ่งที่โดดเด่นขึ้นมาคือ NodeMCU รอมที่รัน Lua ได้ในตัว ทำให้เขียนสคริปต์สั่งงานได้อย่างง่ายดาย

NodeMCU ทำงานบนโมดูล ESP-12 ที่มี GPIO มากกว่าโมดูลรุ่นแรกๆ ที่ออกมา ตัวโมดูลเองราคาเพียง 2.75 ดอลลาร์รวมค่าส่งมาไทย หรือตัวละไม่ถึงร้อยเท่านั้น แต่สำหรับคนที่ต้องการแฟลชเฟิร์มแวร์ง่ายๆ ก็ควรใช้โมดูลสำหรับนักพัฒนาที่ตอนนี้ขายกันอยู่ที่ 9.75 ดอลลาร์

NodeMCU ช่วยให้นักพัฒนาสามารถเปิด Acess Point ของตัวเอง หรือสร้างเว็บเซิร์ฟเวอร์ได้ในไม่กี่บรรทัด (ดูตัวอย่างในเว็บ NodeMCU)

สามารถดาวน์โหลดรอมได้จาก GitHub

ที่มา - CNX Software

Tags:

กองทัพบกสหรัฐฯ ยอมรับว่ากระบวนการจัดหากำลังพลตามช่องทางปกติไม่สามารถหาคนทำงานด้านไซเบอร์ได้เร็วพอ และมีข้อจำกัดการจ่ายค่าตอบแทนที่ไม่สามารถแข่งขันกับเอกชนได้ ในการแถลงต่อวุฒิสภารอบล่าสุด นายพลสหรัฐฯ ก็ออกมาระบุว่าต้องสร้างช่องทางใหม่ให้กับการดึงตัวพลเรือนมาประจำหน่วยนี้

สหรัฐฯ มีหน่วย Cyber Branch 17 สำหรับกำลังพลของตัวเองอยู่ก่อนแล้ว แต่การหาคนเข้ามาทำงานและดึงตัวไว้ให้ทำงานต่อเนื่องกลับทำได้ยาก ตอนนี้่ทางกองทัพจึงเตรียมหาทางดึงตัวพลเรือนเข้ามาทำงาน พร้อมกับแรงจูงใจใหม่ๆ เช่น การทำการตลาด, จ่ายค่าย้ายที่อยู่, จ่ายโบนัสในกรณีทำงานต่อเนื่อง, และช่วยจ่ายเงินกู้ยืมเพื่อการศึกษา

แรงจูงใจเหล่านี้กองทัพเคยทำมาก่อนแล้ว แต่ทางกองทัพต้องการให้มีการให้ทุนระยะยาวที่คาดเดาได้เพื่อจัดการบุคลากรได้ดีกว่าเดิม

กองทัพบกสหรัฐฯ ระบุว่าต้องการกำลังพลด้านไซเบอร์ทั้งหมด 3,806 คน

ที่มา - U.S. Army

Tags:
Google

ตลก April Fool's ของกูเกิลปีนี้อันหนึ่งคือเว็บ com.google ที่เปิดเว็บกลับข้างซ้ายเป็นขวา แต่ Netcraft ออกมาเตือนว่าการเล่นแบบนี้กลับสร้างช่องโหว่ใหม่ให้กับระบบ

ปกติแล้วเว็บกูเกิลหน้าสำคัญๆ จะไม่สามารถนำไปแสดงในหน้าเว็บภายนอกผ่าน iframe ได้ เพราะล็อกไว้ด้วย X-Frame-Options แต่ทีมงานกูเกิลสร้างช่องทางปิดล็อกอันนี้เพื่อเล่นตลก April Fool's ด้วยการสร้างออปชั่น igu=2 เพื่อให้เว็บกูเกิลไม่ล็อกการฝังไว้ใน iframe อีกต่อไป

แต่แฮกเกอร์สามารถนำเว็บนี้ไปหลอกล่อให้ผู้ใช้กดผิดได้ ทาง Netcraft สาธิตด้วยการแสดงหน้าตั้งค่าการค้นหาไว้ในหน้าเว็บของ Netcraft เอง หากแสดงบางส่วนอย่างแม่นยำพอก็อาจจะล่อให้ผู้ใช้กดเพื่อปิดออปชั่นบางอย่างได้ เรียกว่าการโจมตีแบบ click-jacking

กูเกิลรับทราบปัญหานี้และแก้ไขไปแล้ว

ที่มา - Netcraft

Tags:

Bloomberg Terminal ชุดคอมพิวเตอร์เชื่อมต่อกับเครือข่ายของ Bloomberg เพื่อดึงข้อมูลทางการเงินทั่วโลกเป็นสินค้าสำคัญที่ทำเงินยิ่งกว่าช่องหรือเว็บข่าวที่เราได้ยินชื่อกันบ่อยๆ แต่วันนี้นักลงทุนหลายภูมิภาคกลับไม่สามารถเชื่อมต่อได้ในช่วงเย็นที่ผ่านมาเป็นเวลาประมาณสองชั่วโมง

ทาง Bloomberg ออกมายอมรับปัญหานี้ว่ากระทบกับลูกค้าหลายส่วน และสาเหตุเพราะระบบเครือข่ายภายในองค์กร และเมื่อช่วงสี่ทุ่มที่ผ่านมาก็ออกมายืนยันว่าปัญหาทั้งหมดแก้ไขแล้ว

ค่าใช้บริการ Bloomberg Terminal อยู่ที่ประมาณปีละ 20,000 ดอลลาร์ต่อเครื่อง ลูกค้าส่วนมากเป็นสถาบันทางการเงินที่ดูแลทรัพย์สินมูลค่าสูง การที่ข้อมูลหยุดไปทำให้หลายองค์กรต้องหยุดการซื้อขาย เช่น สำนักงานบริหารหนี้ของสหราชอาณาจักรหยุดขายพันธบัตรไปชั่วคราว

คู่แข่งของ Bloomberg Terminal คือ Reuters Eikon

ที่มา - The New York Times

Tags:
PCI-DSS

มาตรฐาน PCI-DSS 3.0 ออกมาเมื่อปลายปีที่แล้ว ตอนนี้ก็อัพเดตเป็นรุ่น 3.1 เพื่อรองรับช่องโหว่ที่รู้กันทั่วไป เช่น BEAST และ POODLE ส่งผลให้หน่วยงานที่ได้รับรอง PCI-DSS จะไม่สามารถใช้ SSL ทุกรุ่นและ TLS รุ่นแรกๆ ได้หลังจากวันที่ 30 พฤษภาคม 2016

ระหว่างนี้ผู้ที่ยังคงใช้ SSL และ TLS รุ่นแรกๆ จะต้องทำแผนลดผลกระทบจากช่องโหว่ของกระบวนการเข้ารหัสเหล่านี้ มีข้อยกเว้นคือ จุดรับจ่ายเงิน (Point of Sale - POS) จะสามารถใช้งานการเข้ารหัสเหล่านี้ได้ต่อไป หากสามารถยืนยันได้ว่าไม่เสี่ยงต่อการโจมตีช่องโหว่ที่เป็นที่รู้กัน

หน่วยงานที่รับมาตรฐาน PCI-DSS คงมีไม่มากนัก แต่แนวทางการอัพเดตก็เป็นแนวทางที่ควรทำตามเท่าที่ทำได้ครับ

ที่มา - PCI Council (PDF)

Tags:
Chrome

Chrome 43 เข้าสู่สถานะเบต้า ทีมงานก็ออกมาประกาศว่าฟีเจอร์อะไรที่เราจะได้เห็นกันในรุ่นนี้

ฟีเจอร์สำคัญสำหรับเว็บที่ต้องการอัพเกรดเป็น HTTPS แต่กลับมีโค้ดเก่าๆ ฝัง URL ภาพหรือ CSS ไว้เป็น HTTP ทำให้เว็บไม่สมบูรณ์ ตอนนี้จะมีทางออกด้วยฟีเจอร์ upgrade-insecure-resources หากไฟล์เดิมเป็น HTTP อยู่ก็จะอัพเกรดมาเป็น HTTPS ให้เอง

ฟีเจอร์อื่นๆ ได้แก่

  • Permission API ทำให้เว็บสามารถถามเบราว์เซอร์ได้ว่าตอนนี้ได้สิทธิ์อะไรมาแล้วบ้าง ลดการขอสิทธิ์โดยไม่จำเป็น
  • สั่งก็อปปี้ข้อความได้จากจาวาสคริปต์ เพียงสั่ง document.execCommand('copy') หรือ document.execCommand('cut')
  • Web MIDI API สามารถเชื่อมต่อกับเปียโนหรือชุดกลองมาเล่นในเว็บได้เลย

ที่มา - Chromium Blog

Tags:
IIS

เมื่อวันอังคารที่ผ่านมาไมโครซอฟท์ออกแพตช์ชุดใหญ่ และมีบั๊กความร้ายแรงสูง คือ MS15-034 ร่วมอยู่ด้วย ตอนนี้ถ้าใครดูแลเซิร์ฟเวอร์รุ่นที่ได้รับผลกระทบแล้วยังรีรอไม่อัพเดต เซิร์ฟเวอร์ของท่านอาจจะถูกยิงให้แครชทั้งเครื่องได้ง่ายๆ ด้วยคำสั่งเดียว

การส่งคำสั่งด้วย curl เพียงบรรทัดเดียวสามารถทำให้เซิร์ฟเวอร์แครชไปทั้งเครื่องได้ เพราะ HTTP.sys เป็นไดร์เวอร์ระดับเคอร์เนล ช่องโหว่นี้เกิดจากการรับค่าใน HTTP Header ที่ฟิลด์ Range ผิดพลาด หากใส่ค่าใหญ่เกินไปก็สามารถทำให้เคอร์เนลแครชได้ทันที

นอกจากจะทำให้เซิร์ฟเวอร์แครชได้แล้ว ช่องโหว่นี้อาจจะทำให้แฮกเกอร์ดึงข้อมูลจากเครื่อง หรือรันโค้ดในเซิร์ฟเวอร์ได้ อย่างไรก็ตาม ยังไม่มีกระบวนการแฮกเหล่านั้นเผยแพร่ออกมาสู่สาธารณะ

ทาง Internet Storm Center ออกมาเตือนว่าพบการยิงเครื่องให้แครชแบบนี้บนเครื่องล่อ (honeypot) บางเครื่องแล้ว และดูเหมือนว่าแฮกเกอร์กำลังยิงไปทั่วอินเทอร์เน็ต ดังนั้นผู้ดูแลระบบทุกคนควรเร่งปิดช่องโหว่ไม่ว่าจะลงแพตช์, ปิดตัวเลือก Kernel Caching, หรือจะเพิ่มกฏของ IPS เพื่อบล็อคการยิงแบบนี้ออกไป

ที่มา - Internet Storm Center, The Register

Tags:
AMD

เอเอ็มดีรายงานผลกระกอบการไตรมาสแรก รายได้เหลือ 1.03 พันล้านดอลลาร์ ลดลง 26% เมื่อเทียบกับปีที่แล้ว และลดลง 17% เมื่อเทียบกับไตรมาสก่อนหน้า ขาดทุน 137 ล้านดอลลาร์น้อยกว่าไตรมาสที่แล้วที่ขาดทุนถึง 330 ล้านดอลลาร์ เงินสดในมือตอนนี้อยู่ที่ 906 ล้านดอลลาร์ ลดลง 134 ล้านดอลลาร์เทียบกับไตรมาสที่แล้ว

งานนี้เอเอ็มดีประกาศถอนตัวออกจากตลาดเซิร์ฟเวอร์แบบหนาแน่นสูง (high density server) ที่ซื้อกิจการ SeaMicro มาด้วยมูลค่า 334 ล้านดอลลาร์ตั้งแต่ปี 2012 ทำให้ต้องตัดขาดทุนไป 75 ล้านดอลลาร์ ตลอดช่วงเวลาที่ SeaMicro เป็นบริษัทลูกของเอเอ็มดีสามารถออกเซิร์ฟเวอร์ได้เพียงรุ่นเดียวคือ SM15000

สาเหตุของการขาดทุนสำคัญคือยอดขายซีพียูเดสก์ทอปที่ตกลงอย่างหนัก และราคาเฉลี่ยต่อหน่วยก็ลดลงด้วย

เอเอ็มดีคาดว่าไตรมาสที่สองรายได้จะลดลงอีก 3%

ที่มา - AMD, ArsTechnica

Tags:
Google Cardboard

Google Cardboard เป็นของแถมจากงาน Google I/O ปีที่แล้วที่ทำงานได้ดีอย่างน่าทึ่ง และเมื่อทำออกมาแล้วผู้ผลิตจำนวนมากก็พากันออกแบบใหม่ๆ กันอย่างสนุกสนาน ตอนนี้กูเกิลเลยออกโครงการรับรองว่าแว่นของผู้ผลิตต่างๆ สามารถใช้งานได้จริง ชื่อโครงการว่า Work with Google Cardboard

โครงการนี้มีสองส่วน ส่วนแรกคือ Viewer Profile Generator สำหรับกำหนดค่าเพิ่มเติม เช่น กระบวนอินพุตที่อาจจะใช้ปุ่มสัมผัสแทนแม่เหล็กแบบต้นฉบับ หรือเปลี่ยนค่าระยะโฟกัสของเลนส์ เมื่อปรับค่าเรียบร้อยแล้วก็สามารถร่วมส่วนที่สองคือการส่งสินค้าไปให้กูเกิลทดสอบ กูเกิลระบุว่าต้องส่งสินค้าไปยังสำนักงานกูเกิลสองชิ้นต่อรุ่น

ผู้ผลิตที่ได้รับรองจะมีสิทธิ์ใช้งานโลโก้ Work with Google Cardboard บนสินค้าของตัวเองได้

ที่มา - Google Developers

Tags:
Dropbox

Dropbox ประกาศเปิดโครงการจ่ายเงินรางวัลให้แฮกเกอร์ที่พบบั๊กความปลอดภัย โดยจ่ายเงินรางวัลขั้นต่ำ 216 ดอลลาร์ให้กับบั๊กที่เข้าข่ายได้รับเงินรางวัล

ทาง Dropbox ส่งคำขอบคุณแฮกเกอร์ 26 คนที่รายงานบั๊กมาแล้วจำนวน 27 บั๊กก่อนหน้านี้ พร้อมกับจ่ายเงินรวม 10475 ดอลลาร์เป็นรางวัล บั๊กที่ใหญ่ที่สุดมูลค่าถึง 4913 ดอลลาร์

แอพพลิเคชั่นที่เข้าข่าย ต้องเป็นแอพพลิเคชั่นของ Dropbox เองบนทุกแพลตฟอร์ม รวมถึง Carousel ตัว API แต่หากเป็นช่องโหว่ในแอพพลิเคชั่นภายนอก ทาง Dropbox ระบุว่าทางบริษัทอาจจะจ่ายเงินรางวัลหากช่องโหว่มีความโดดเด่นพอ

ที่มา - Dropbox

Tags:
Oracle

ออราเคิลออกแพตช์ตามรอบการอัพเดตปกติ เป็นการปล่อยแพตช์ประจำไตรมาสที่สอง ซอฟต์แวร์จำนวนมากมีอัพเดตออกมา

แพตช์ที่ออกมามีระดับความร้ายแรงสูง คะแนน CVSS เกิน 9.0 ขึ้นไปหลายรายการ แต่ที่กระทบกับคนวงกว้าง คือ Java ที่มีช่องโหว่ในส่วนโค้ด 2D เสี่ยงต่อการถูกแฮกสูง มีคะแนน CVSS 10.0 ช่องโหว่นี้ทำให้แฮกเกอร์สามารถวาง Java applet แล้วทะลุ sandbox ออกมาได้ กระทบ Java 5 ขึ้นไป แต่กระทบเฉพาะการติดตั้งแบบไคลเอนต์เท่านั้น

ส่วนช่องโหว่ร้ายแรงสูงอื่น กระจายไปตามซอฟต์แวร์ต่างๆ เช่น MySQL Enterprise Monitor, Cisco MDS Fiber Channel Switch, และ Oracle Exalogic Infrastructure

ผู้ดูแลระบบที่ใช้ซอฟต์แวร์ออราเคิลควรไปรีวิวกันว่าตัวไหนกระทบ จะได้วางแผนอัพเกรดกันได้ครับ

ที่มา - Oracle, ThreatPost

Tags:

กูเกิลเปิดตัว Google Handwriting Input คีย์บอร์ดรับการเขียนจากลายมือ สามารถทำงานได้โดยไม่ต้องเชื่อมต่ออินเทอร์เน็ต และรองรับหลายภาษาแม้แต่อีโมจิ เช่น ภาพหน้ายิ้ม :)

คีย์บอร์ดนี้สร้างจากเทคโนโลยีหลายตัว ตั้งแต่ โครงสร้างภาษาขนาดใหญ่, ระบบแปลงภาพเป็นอักษร, เครือข่ายประสาทเทียม, และระบบค้นหาแบบประมาณการ

รองรับ 82 ภาษาทั่วโลกรวมถึงภาษา ไทย, จีน, ญี่ปุ่น ดาวน์โหลดได้ตั้งแต่ตอนนี้จาก Google Play

ที่มา - Google Research

Tags:
Microsoft

ไมโครซอฟท์บริจาคไลเซนส์ PhotoDNA ให้กับ INTERPOL เพื่อใช้ในฐานข้อมูล International Child Sexual Exploitation (ICSE) เพื่อให้ตำรวจทั่วโลกสามารถร่วมมือกันค้นหาและแชร์ข้อมูลการละเมิดเด็กได้รวดเร็วยิ่งขึ้น

ฐานข้อมูล ICSE เก็บข้อมูลภาพเด็กที่ถูกละเมิดเพื่อช่วยประสานงานหาเหยื่อเพื่อให้ความช่วยเหลือและจับกุมผู้ละเมิดเด็ก ทาง ICSE มีซอฟต์แวร์เปรียบเทียบภาพอยู่เดิมแล้ว แต่ PhotoDNA จะช่วยค้นหาภาพที่ถูกดักแปลงไปจากเดิม เช่น ถูกปรับสี, เพิ่มข้อความในภาพ ฯลฯ

ตอนนี้มีตำรวจจาก 46 ชาติมีสิทธิเข้าถึงฐานข้อมูล ICSE และกำลังอยู่ระหว่างการเชื่อมต่ออีก 25 ชาติ ที่ผ่านมาฐานข้อมูลนี้ช่วยค้นหาเหยื่อได้แล้ว 6,300 คน และช่วยจับกุมคนร้ายอีก 3,200 คน

ก่อนหน้านี้ไมโครซอฟท์บริจาค PhotoDNA ให้กับองค์กรจำนวนมาก เช่น ศูนย์เด็กหายและถูกละเมิดในสหรัฐฯ (NCMEC), เครือข่ายสังคมออนไลน์และบริการออนไลน์ใหญ่ๆ ทั้งเฟซบุ๊ก, ทวิตเตอร์, และกูเกิล รวมถึงใช้งานในบริการ Outlook.com ของไมโครซอฟท์เอง

การบริจาคครั้งนี้เป็นการบริจาคไลเซนส์ซอฟต์แวร์ ทางไมโครซอฟท์ไม่ได้เข้าถึงฐานข้อมูลของผู้ที่ได้ไลเซนส์ไป แต่ในส่วนของไมโครซอฟท์เองในปี 2014 ไมโครซอฟท์แจ้งเตือนไปยัง NCMEC นำไปสู่การจับกุม 58 คดี อย่างไรก็ดี ไมโครซอฟท์ยืนยันว่าไม่ได้ใช้ PhotoDNA สแกนข้อมูลของผู้ใช้แต่อย่างใด แม้แต่ตำรวจต้องการเข้าถึงข้อมูลเหล่านี้ก็ต้องผ่านกระบวนการตามปกติ ยกเว้นมีเหตุการณ์เร่งด่วนที่อันตรายถึงชีวิตเท่านั้น ส่วนการแจ้งเตือนจากไมโครซอฟท์จะตรวจเฉพาะเมื่อมีการส่งต่อภาพเท่านั้น

ที่มา - INTERPOL, งานแถลงข่าวงาน INTERPOL World