อโดบียกเลิกใบรับรองที่เป็นคีย์ที่ถูกเข้ารหัสบางส่วนหลังจากได้รับการยืนยันว่าแอพพลิเคชันที่ใช้คีย์นั้นเป็นมัลแวร์ ซึ่งจากการตรวจสอบนั้นมีความเป็นไปได้ว่าเซิร์ฟเวอร์ที่ทำหน้าที่ในคอมไพล์และจัดการข้อมูลของบริษัทนั้นถูกบุกรุก เนื่องจากเซิร์ฟเวอร์นี้มีการเชื่อมต่อกับระบบที่มีหน้าที่จัดการใบรับรอง ทำให้ผู้โจมตีที่บุกรุกเข้ามาสามารถใช้ระบบนี้ออกใบรับรองให้กับมัลแวร์ได้
Radu Drăgușin นักวิจัยชาวโรมาเนียเปิดเผยว่าเขาได้เข้าถึงล็อกไฟล์ของเว็บไซต์ IEEE ที่เต็มไปด้วยบัญชีผู้ใช้และรหัสผ่านโดยไม่เข้ารหัสไว้ โดยล็อกไฟล์ดังกล่าวก็สามารถเข้าถึงได้ง่ายผ่านทางการล็อกอินแบบนิรนามของ FTP ซึ่งล็อกไฟล์ดังกล่าวนั้นมีขนาดกว่า 100 GB
Drăgușin กล่าวว่าข้อมูลในล็อกไฟล์นั้นเป็นข้อมูลของ HTTP requests ตั้งแต่เดือนสิงหาคมจนถึงช่วงกลางเดือนกันยายน 2012 ซึ่งมีกว่า 380 ล้าน request จากการรวบรวมแล้วได้บัญชีผู้ใช้งานทั้งหมดกว่า 99,979 บัญชีซึ่งรวมไปถึงบัญชีของพนักงานบริษัทชั้นนำอย่าง Apple, Google, IBM, Oracle, Samsung แม้กระทั่ง NASA ด้วย
Hasin Hayder, Rifat Nabi, และ Abu Ashraf Masnun ได้โพสต์ลงบนบล็อกของพวกเขาเกี่ยวกับช่องโหว่บน Facebook ที่ใช้ฟีเจอร์โพสต์โดยอีเมลในการโพสต์รูปภาพหรือข้อความลงในกลุ่มโดยเสมือนกับผู้เป็นเจ้าของอีเมลนั้นโพสต์เอง
จากข่าวช่องโหวลบข้อมูลบนโทรศัพท์ของบริษัทซัมซุง Dylan Reeve ได้เขียนลงบล็อกของเขาเกี่ยวกับผลกระทบเดียวกันของช่องโหว่นี้บน HTC One X ที่รัน HTC Sense 4.0 และ Android 4.0.3, Motorola Defy ที่รัน Cyanogen Mod 7 บน Android 2.3.5 รวมไปถึง Sony Xperia Arc S และ HTC Desire ที่รัน Android 2.2 ด้วย โดยเป็นช่องโหว่เดียวกันทั้งหมด
The GNOME Project เปิดตัว GNOME 3.6 ซึ่งเป็น major update ที่สามในรุ่นของ GNOME 3 แล้ว โดยในเวอร์ชันใหม่นี้มีการเปลี่ยนแปลงทั้งในส่วนติดต่อผู้ใช้ให้มีความสวยงามขึ้น ส่วนของแอพลิเคชันพื้นฐานเช่นตัวจัดการไฟล์ นาฬิกา รวมถึงส่วนที่จะช่วยให้ผู้ที่มีความบกพร่องทางร่างกายสามารถใช้ได้อย่างสะดวกสบายมากขึ้น รวมไปถึงฟีเจอร์อื่นๆ อีกมากมาย
ผู้อ่านสามารถดูฟีเจอร์ใหม่แบบเต็มได้จากที่นี่เลยครับ
ที่มา - GNOME's Mailing Services via Phoronix
หากใครเคยได้ลองใช้ฟังก์ชัน Poke ใส่กันจะเคยรู้กันว่าต้องทำการรีเฟรชเพื่อดูว่ามี
ใคร Poke เรากลับหรือเปล่า ซึ่งตอนนี้ Facebook ก็ได้เริ่มเปิดให้ผู้ใช้งานได้ Poke กันแบบเรียลไทม์ได้แล้ว โดยการทำงานแบบเรียลไทม์นี้จะคล้ายกับการโพสต์แสดงความคิดเห็นที่มีการอัพเดทอัตโนมัตินั่นเอง
ถ้าเวลาไหนอยากจะคุยแต่ไม่รู้จะเริ่มอย่างไร ลอง Poke กันก่อนก็ได้นะครับ
ที่มา - TechCrunch
บริษัท ICM Registry ผู้ถือโดเมน .xxx เปิดตัวเสิร์ชเอ็นจินที่ช่วยในการค้นหาเฉพาะสำหรับโดเมน .xxx แล้ว ซึ่งการเปิดตัวครั้งนี้เป็นความพยายามของบริษัทที่ต้องการสร้างระบบนิเวศของเนื้อหาประเภทเรทเอ็กซ์หรือกล่าวคือการแบ่งอินเทอร์เน็ตออกเป็นอีกรูปแบบที่มีเนื้อหาเฉพาะ อาจเรียกว่าเป็น pornternet เลยก็ว่าได้
ในเรื่องกฎระเบียบนั้น ทาง ICM ก็มีการกำหนดไว้ว่าจะต้องไม่มีเนื้อหาลามกอนาจารเด็ก และเว็บไซต์ที่จะใช้โดเมน .xxx นั้นจำเป็นต้องได้รับการตรวจมัลแวร์จาก McAfee ทุกวันด้วย ผู้อ่านสามารถทดสอบเสิร์ชเอนจินนี้กันได้ที่นี่เลยครับ
มีการตรวจพบการบุกรุก mirror ของโครงการ phpMyAdmin บน SourceForge และตรวจพบการแก้ไขเพื่อวาง backdoor ในไฟล์ server_sync.php เพื่อให้แฮกเกอร์สามารถรันคำสั่ง PHP จากระยะไกลได้
จากการตรวจสอบพบว่ามีการแก้ไขไฟล์จาก 'cdnetworks-kr-1' ซึ่งเป็น mirror ที่อยู่ในเกาหลีใต้ตั้งแต่ช่วงวันที่ 22 กันยายน จากล็อกไฟล์ของระบบพบว่ามีการดาวน์โหลดไฟล์ phpMyAdmin-3.5.2.2-all-languages.zip เป็นจำนวนกว่า 400 ครั้งโดยทาง SourceForge ก็ได้พยายามติดต่อกับผู้ใช้งานที่มีดาวน์โหลดไปในเรื่องนี้แล้ว
ผู้อ่านหลายๆ ท่านที่ติดตามข่าวด้านความปลอดภัยอยู่เป็นประจำ (แม้จะไม่ได้ตั้งใจหรืออ่านผ่านๆ ก็ตาม) อาจจะคุ้นเคยกับชื่อการแข่งขัน Pwn2Own กันมาบ้างแล้ว สำหรับในปีนี้ค่อนข้างพิเศษกว่าปีอื่นๆ เนื่องจากประเด็นทางด้านความปลอดภัยบนอุปกรณ์ประเภทคอมพิวเตอร์พกพาและอุปกรณ์สื่อสารแบบไร้สายจึงได้มีการจัดการแข่งขัน Mobile Pwn2Own ขึ้นมาเป็นปีแรกโดยยังมีรูปแบบของการแข่งขันคล้ายกับงาน Pwn2Own เดิมคือให้ผู้เข้าแข่งขันทำการแฮกอุปกรณ์หรือซอฟต์แวร์ที่กำหนดไว้โดยใช้ช่องโหว่ที่พัฒนาขึ้นเอง และจะยินยอมให้บริษัทผู้ผลิตสามารถจ่ายเงินเพื่อซื้อช่องโหว่นั้นๆ เพื่อนำไปพัฒนาและวิจัยต่อไปด้วย
Esteban Martinez Fayo นักวิจัยด้านความปลอดภัยของบริษัท AppSec ได้นำเสนอช่องโหว่ใหม่ที่เกิดขึ้นบนโปรโตคอลที่ใช้ในการล็อกอินของ Oracle DB ที่จะช่วยให้ผู้ใช้ช่องโหว่นี้ในการโจมตีสามารถเข้าถึงฐานข้อมูลได้ผ่านทางการโจมตีแบบ bruce-force attack โดยช่องโหว่นี้เกิดขึ้นได้เพียงแค่ผู้โจมตีรู้ถึงชื่อผู้ใช้งานที่ถูกต้องของฐานข้อมูลและชื่อของฐานข้อมูล
จากเหตุการณ์เว็บไซต์กระทรวงศึกษาธิการโดนแฮก เมื่อช่วงเที่ยงของวันนี้ผู้ปกครองได้นำตัวเยาวชนที่กระทำการลักลอบเจาะระบบและแก้ไขเนื้อหาหน้าเว็บไซต์กระทรวงศึกษาธิการมาเข้าพบกับนางสาวศศิธารา พิชัยชาญณรงค์ ปลัดกระทรวงศึกษาธิการ (ศธ.) เพื่อขอโทษจากสิ่งที่กระทำการลงไปแล้ว
ทางด้านบทลงโทษนั้น ปลัดกระทรวงศึกษาธิการได้กล่าวว่าจะไม่มีการเอาผิดตามกฎหมายร้ายแรง เพราะไม่ได้สร้างความเสียหายให้กับกระทรวงศึกษาธิการ และยังมีการกล่าวถึงการให้มาช่วยงานด้านฐานข้อมูลเว็บไซต์อีกด้วย
ที่มา - MThai News
จากข่าวช่องโหว่บน IE 7,8 และ 9 ที่ถูกใช้ในการโจมตี ทางไมโครซอฟท์ได้ออกรายละเอียดเบื้องต้นเกี่ยวกับเวอร์ชันของ IE และรุ่นของระบบปฏิบัติการที่ได้รับผลกระทบแล้ว (ดูได้จากแหล่งที่มา)
อ้างอิงจากบล็อกของนักวิจัยด้านความปลอดภัย Eric Romang มีการค้นพบช่องโหว่บน IE ซึ่งกำลังถูกใช้ในการโจมตีจริงพร้อมกับการปล่อยมัลแวร์ ช่องโหว่นี้เกิดจากการจัดการอาเรย์ img ที่ผิดพลาดในไฟล์ HTML ในขณะนี้การโจมตียังเกิดขึ้นเพียงแค่ IE เวอร์ชัน 6 และ 7 ซึ่งติดตั้งอยู่บน Windows XP SP3 ที่มีการแพตซ์ล่าสุดเท่านั้น (ยังไม่ยืนยันว่าจะมีช่องโหว่บนระบบปฏิบัติการ-เวอร์ชันอื่น)
W3C เผยร่างของ Web Cryptography API โดยเป็น JavaScript API ที่ทำหน้าที่เป็นฟีเจอร์ในการเข้ารหัสและถอดรหัสข้อมูล ตัวอย่างการนำมาใช้งานเช่นการพิสูจน์ตัวตนของผู้ใช้งานผ่านทางเว็บแอพพลิเคชั่น โดยมันจะสร้างวิธีการที่ปลอดภัยยิ่งขึ้นระหว่างเบราว์เซอร์และเซิร์ฟเวอร์
อีกหนึ่งความสามารถของ API ตัวนี้คือมันสามารถนำมาประยุกต์ใช้ในการจัดการสิทธิ์ในการอ่านและเขียนข้อมูลที่ถูกเข้ารหัสบน cloud ได้และมันยังยอมรับมาตรฐานอื่นๆ ในการเข้ารหัสเพื่อใช้ในการส่งข้อมูลระหว่างเบราว์เซอร์และเซิร์ฟเวอร์นอกเหนือจาก SSL/TLS อีกด้วย
อ้างอิงจากวิกิพีเดีย วันนี้เป็นวันครบรอบ 9 ปีของการเปิดใช้งานครั้งแรกฃอง The Pirate Bay ซึ่งทาง TorrentFreak ก็ได้มีการรวบรวมประวัติตั้งแต่ในปี 2003 จนถึงปัจจุบัน รวมไปถึงเหตุการณ์สำคัญเช่นการถูกตำรวจสวีเดนเข้าตรวจค้นในปี 2006 ซึ่งทำให้เว็บไซต์ต้องปิดให้บริการเป็นเวลาสามวันด้วย
ผู้อ่านสามารถเข้าดูประวัติได้จากแหล่งที่มาเลยครับ และสุขสันต์วันเกิดให้กับอ่าวโจรสลัดด้วยครับ
ที่มา - The Pirate Bay via TorrentFreak
จากงาน DefCon Bangalore นักวิจัยด้านความปลอดภัยชาวอินเดียชื่อ Suriya Prakash วัย 17 ปีได้นำเสนอการค้นพบและวิจัยของเขาในกรณีที่มีการเจอบอทเน็ตเป็นจำนวนมากอยู่บนเครือข่าย Tor
นักวิจัยจากไมโครซอฟท์ตรวจพบการติดตั้งโปรแกรมประเภทมัลแวร์บนพีซีที่ผลิตจากประเทศจีน ซึ่งได้ถูกจำหน่ายในราคาที่ค่อนข้างต่ำกว่าท้องตลาดโดยใช้มัลแวร์ในการดาวน์โหลดและติดตั้งมัลแวร์ตัวอื่น
Charlie Miller แฮกเกอร์และผู้เชี่ยวชาญด้านความปลอดภัยที่เคยฝากผลงานไว้ทั้งในการแข่งขัน Pwn2Own และผลงานการแจ้งช่องโหว่ผลิตภัณฑ์แอปเปิลได้ทวีตเกี่ยวกับงานใหม่ในตำแหน่งหนึ่งในทีมด้านความปลอดภัยของทวิตเตอร์
สำหรับ Miller นั้นเคยทำงานเป็นเป็นนักวิเคราะห์ระบบความปลอดภัยให้กับ National Security Agency (NSA) โดยปัจจุบันดำรงตำแหน่งเป็นที่ปรึกษาด้านการวิจัยความปลอดภัยให้กับบริษัท Accuvant ด้วย
Chrome เป็นเบราว์เซอร์ตัวล่าสุดที่กำลังจะเริ่มใช้ฟีเจอร์ Do Not Track (DNT) หลังจากที่เบราว์เซอร์ค่ายอื่นๆ ก็เริ่มมีการใช้ฟีเจอร์นี้แล้วเช่นกัน
Do Not Track เป็นฟีเจอร์ที่ถูกสร้างเพื่อช่วยในการบล็อคบางเว็บไซต์ที่มีลักษณะสะกดรอย (tracking) เช่นตัวเก็บสถิติต่างๆ ซึ่งมีการกำหนดมาตรฐานให้สิ่งเหล่านี้เป็นการละเมิดความเป็นส่วนตัวของผู้ใช้งาน โดยลักษณะของฟีเจอร์นี้คล้ายกับ AdBlock Plus ที่สามารถสร้างรายการเพื่อบล็อคเพิ่มเติมได้
เมื่อวันอังคารที่ 2 ที่ผ่านมาเป็นวันครบรอบการเปิดตัว Chrome ซึ่งใครจะไปรู้ว่าเบราว์เซอร์อายุ 4 ขวบนี้จะกลายเป็นเบราว์เซอร์ที่มีการอัพเดทเวอร์ชันสูงที่สุดเมื่อเทียบกับเบราว์เซอร์ตัวอื่น (ซึ่งทำให้ไม่มีใครจำได้เลยว่าใช้เวอร์ชันอะไรอยู่) รวมถึงยังสร้างมาตรฐานและประสบการณ์ใหม่ๆ ในการท่องเว็บไซต์ที่ดีให้กับผู้ใช้งานด้วย (โพสต์เปิดตัว Chrome)
นักวิจัยชาวจีนแสดงระบบที่ช่วยให้ผู้ใช้งานสามารถควบคุมโดรนหรือหุ่นยนต์ขนาดเล็กได้ด้วยความคิดของเขา โดยระบบนี้มีชื่อว่า Flybuddy2 จากมหาวิทยาลัย Zhejiang
การทำงานของระบบนี้ใช้ EEG headset เป็นตัวรับคลื่นสัญญาณจากสมองโดยตัว headset นี้ก็ช่วยต่อสัญญาณแบบบลูทูธส่งไปให้คอมพิวเตอร์ โดยคอมพิวเตอร์ทำหน้าที่แปลงสัญญาณที่ได้รับเป็นสัญญาณเฉพาะที่สามารถใช้ควบคุมโดรนได้และส่งไปในรูปแบบ Wi-Fi
ในการควบคุมนั้นจะใช้การคิดในแบบต่างๆ ซึ่งถูกสร้างเป็นคำสั่งอย่างเฉพาะเจาะจงไว้เช่นซ้ายหรือขวา รวมถึงมีคำสั่ง "blinking" ที่จะช่วยให้โดรนถ่ายรูปได้ด้วย โดยการคิดเพื่อควบคุมนั้นคือต้องคิดอย่างหนักและมั่นคงพอนะครับถึงจะสั่งงานโดรนได้
มีวีดีโอสาธิตการใช้งานอยู่ท้ายข่าวนะครับ
ในช่วงนี้ค่อนข้างจะมีการผุดขึ้นมาของกลุ่มแฮ็กเกอร์ใหม่ๆ เป็นจำนวนมาก ดังนั้นผมจึงจะขอแจ้งให้ทราบก่อนว่าผมจะเขียนเฉพาะข่าวที่ผู้อ่านส่วนมากได้รับผลกระทบนะครับ นอกนั้นจะขอยกเว้นครับ
สำหรับข่าวนี้เป็นผลงานของกลุ่มแฮ็กเกอร์ที่เรียกตัวเองว่า NullCrew เหยื่อของการโจมตีนี้ได้แก่เว็บไซต์หลักของ Sony Mobile ซึ่งได้ถูกเจาะเข้าไปและขโมยฐานข้อมูลของลูกค้าบางส่วนออกมาเผยแพร่สู่สาธารณะ โดยผู้โจมตีนั้นยังได้อ้างว่านี่เป็นเพียงหนึ่งจากแปดเซิร์ฟเวอร์ของ Sony ที่ถูกแฮ็ก และได้แอบใบ้ด้วยว่าอาจจะอยู่ในช่วงหมายเลขไอพีใกล้ๆ กันก็เป็นได้
หลังจากเมื่อวานที่ผมได้เขียนข่าวออราเคิลออกแพตซ์ด้านความปลอดภัยให้กับจาวาแล้วเป็นเวอร์ชัน 7 อัพเดตที่ 7 บริษัทด้านความปลอดภัย Security Explorations สัญชาติโปแลนด์ก็ได้ประกาศเกี่ยวกับช่องโหว่เพิ่มเติมที่ยังไม่ได้ถูกแก้บนแพตซ์ล่าสุด ซึ่งส่งผลให้ผู้โจมตีสามารถข้ามผ่านระบบ sandbox ของจาวาแล้วทำการรันโค้ดที่เป็นอันตรายได้
ข่าวดีก็คือช่องโหว่นี้ยังไม่ได้ใช้เพื่อโจมตีจริงจึงยังไม่ได้รับการเปิดเผยออกสู่สาธารณะ ซึ่งในขณะนี้ทางผู้ค้นพบก็ได้ส่งรายละเอียดช่องโหว่ทั้งหมดให้กับทางออราเคิลเพื่อแก้ไขแล้ว แต่คำแนะนำจากผู้เชี่ยวชาญทางด้านความปลอดภัยก็ยังเน้นย้ำให้ปิดการใช้งานจาวาเพื่อความปลอดภัยอยู่
หลังจากประเด็นที่ออราเคิลไม่ยอมออกแพตซ์ด้านความปลอดภัยให้กับจาวา ล่าสุดทางออราเคิลได้ยอมปล่อยจาวาเวอร์ชันที่ 7 อัพเดตที่ 7 แล้วเพื่อแก้ปัญหาด้านความปลอดภัยโดยเฉพาะ และยังครอบคลุมไปถึงช่องโหว่อื่นที่ไม่ได้เป็นข่าวจากการโจมตีโดยแฮกเกอร์จีนด้วย
นักวิจัยด้านความปลอดภัยจาก Immunity ได้กล่าวเกี่ยวกับช่องโหว่นี้ จากการรันเพื่อทดสอบพบช่องโหว่จากเดิม 2 ช่องโหว่ยังพบว่ามีอีก 2 ช่องโหว่ใหม่ แต่ทั้งหมดนี้ได้รับการแพตซ์ในเวอร์ชันนี้เป็นที่เรียบร้อยแล้ว
อย่าลืมไปอัพเดตเพื่อความปลอดภัยกันนะครับ
ธีมในตระกูล Twenty ซึ่งถูกตั้งเป็นธีมเริ่มต้นของ WordPress ได้เผยโฉม Twenty Twelve สำหรับ WordPress 2012 แล้ว โดยใน Twelve นี้ยังคงยืนตามแบบรุ่นพี่ในด้านความเรียบง่าย และดูหรูหราอีกทั้งยังรองรับในหลายอุปกรณ์อีกด้วย (Responsive Web Design)
ผู้อ่านสามารถเข้าไปดู Live Demo หรือดาวน์โหลดมาติดตั้งได้จาก Appearance ได้เลยครับ
ที่มา - WordPress Blog