Tags:
LINE

หลังสำนักข่าว Reuters รายงานว่า พล.ต.อ. พิศิษฐ์ เปาอินทร์ สมาชิกสปท. และอดีตผู้บังคับการปราบปรามอาชญากรรมทางเทคโนโลยี ให้สัมภาษณ์ว่า รัฐบาลมีแผนจะขอความร่วมมือกับเฟซบุ๊คและไลน์ ในการป้องกันและถอดเนื้อหาที่ไม่เหมาะสม และเป็นภัยต่อความมั่นคงของประเทศ โดยรัฐบาลไทยเตรียมพบหารือกับผู้บริหารของทั้งสองบริษัท ภายในอีก 3 เดือนข้างหน้า ล่าสุดบริษัท ไลน์ ประเทศไทยออกแถลงการณ์รับทราบความเคลื่อนไหวนี้แล้ว

บริษัทไลน์ ประเทศไทยแถลงว่า ขณะนี้ยังไม่ได้รับการติดต่อใดๆ ทั้งสิ้น แต่หากได้รับการติดต่อ ก็พร้อมจะพิจารณาหามาตรการที่เหมาะสมภายใต้กรอบของกฎหมายไทยและมาตรฐานสากล โดยยืนยันว่ายังคงให้ความสำคัญกับการรักษาข้อมูลส่วนตัวของผู้ใช้งาน

ทั้งนี้ก่อนหน้านี้ คณะกรรมาธิการการปฏิรูปแห่งประเทศไทยเคยขอความร่วมมือกับ Google ในลักษณะนี้มาแล้ว

อัพเดต แก้ไขเนื้อหาแถลงการณ์ของไลน์ครับ

ที่มา - Reuters และ Taipei Times

Tags:
Microsoft

หนึ่งในโหมดปัจจุบันของเบราว์เซอร์ที่หลายๆ คนอาจจะใช้ คือโหมดส่วนตัวที่มักจะไม่มีการเก็บข้อมูลในการเข้าชมและติดตามผู้ใช้งาน (แต่ละเบราว์เซอร์มีชื่อเรียกต่างออกไป เช่น incognito) ซึ่ง Microsoft Edge เบราว์เซอร์หลักของ Windows 10 ก็มีความสามารถนี้ (เรียกว่า InPrivate) แต่นักวิจัยด้านความปลอดภัย กลับพบว่า InPrivate นั้น ไม่ได้ลบข้อมูลการเข้าเว็บระหว่างที่ใช้จริง

Ashish Singh นักวิจัยด้านความปลอดภัย ระบุว่าข้อมูลระหว่างการเข้าชมเว็บจะถูกเก็บไว้ในไฟล์ที่เรียกว่า "WebCache" และรายชื่อของเว็บที่ใช้จะถูกบันทึกในตารางที่มีชื่อว่า "Container_n" ที่บรรจุข้อมูลของเว็บที่เราเข้าชม ร่วมกับเว็บที่เราเปิดในโหมดปกติทั่วไป

หลังจากมีรายงานออกไป ไมโครซอฟท์ได้ส่งแถลงการณ์ถึงเว็บไซต์ The Verge ว่าทราบปัญหาดังกล่าวแล้ว และกำลังหาทางแก้ไขปัญหานี้โดยเร็วที่สุด

อัพเดต บทความต้นเรื่องตอนนี้ถูกลบไปแล้ว (17:45 น.)

ที่มา - Digital Trends, The Verge

Tags:
Microsoft

ไมโครซอฟท์แนะนำฟีเจอร์ใหม่ของ SQL Server 2016 และ Azure SQL DB คือ Dynamic Data Masking (DDM) ที่ช่วยป้องกันข้อมูลรั่วไหล

DDM เปิดให้กำหนดสิทธิ์จำกัดการเข้าอ่านข้อมูลแบบปกติทำให้ไม่สามารถเห็นข้อมูลทั้งหมดได้ โดยกำหนดส่วนของข้อมูลที่อ่านได้ตั้งแต่โครงสร้างตาราง โดยใช้คำสั่ง ALTER COLUMN เพื่อเลือกปิดข้อมูลในฟิลด์ กระบวนการปิดบังข้อมูลมีตั้งแต่ปิดทั้งหมด, ปิดบางส่วน, และแทนที่ข้อมูลด้วยค่าสุ่ม

ตัวข้อมูลจริงจะเก็บข้อมูลทั้งหมดไว้ แต่ผู้ที่จะอ่านข้อมูลเต็มได้ต้องได้สิทธิ์ UNMASK ก่อนจึงเข้าอ่านได้ ผู้ใช้ของฐานข้อมูลทั่วไปแม้จะมีสิทธิ์อ่านตารางก็ดึงข้อมูลเต็มออกมาไม่ได้ แนวทางนี้ทำให้กระบวนการควบคุมนโยบายความเป็นส่วนตัวทำได้ง่ายขึ้น จากเดิมกระบวนการบังข้อมูลเช่นนี้ต้องทำที่ระดับแอปพลิเคชั่นทำให้ควบคุมได้ยาก และบางครั้งโปรแกรมเมอร์อาจจะทำพลาดจนกระทั่งเปิดเผยข้อมูล ก็มาควบคุมจากตัวฐานข้อมูลโดยตรง

ที่มา - TechNet

Tags:

งานสัมมนา PrivacyCon ที่จัดโดยคณะกรรมการการค้าของสหรัฐ (FTC) หัวข้อที่ได้รับความสนใจอย่างมากในปีนี้คือประเด็นเรื่องความปลอดภัยของ Internet of Things

งานวิจัยชื่อ The Internet of Unpatched Things ของนักศึกษาจากมหาวิทยาลัยพรินซ์ตัน เลือกอุปกรณ์ IoT มาจำนวนหนึ่ง (ในกลุ่มนี้มี Nest, SmartThing, Belkin WeMo) มาเชื่อมต่อกันผ่าน Wi-Fi และคลื่น Z-Wave แล้วพบว่าอุปกรณ์หลายชิ้นยังขาดระบบรักษาความปลอดภัยอยู่มาก เช่น ส่งข้อมูลผ่าน HTTP โดยไม่เข้ารหัสใดๆ, กล้องวงจรปิดเชื่อมต่อแบบ FTP ไม่เข้ารหัสที่พอร์ต 21 แม้กระทั่งอุปกรณ์ชื่อดังอย่าง Nest เอง ถึงแม้การส่งข้อมูลทั้งหมดต้องผ่าน HTTPS แต่ข้อมูลสภาพอากาศกลับอัพเดตผ่าน HTTP แทน (Nest แก้ปัญหานี้แล้ว)

งานวิจัยนี้เป็นภาพสะท้อนสภาพความปลอดภัยของอุปกรณ์ IoT ว่ายังมีช่องโหว่อีกมาก แม้กระทั่งความปลอดภัยพื้นฐานอย่าง HTTPS ก็ยังไม่ค่อยใช้งานกัน และต่อให้ใช้ HTTPS ก็ใช่ว่าจะปลอดภัยจากปัญหา man-in-the-middle ถ้าใช้ใบรับรองไม่ได้มาตรฐาน

เอกสารนำเสนอฉบับเต็มสามารถดาวน์โหลดได้จาก Dropbox

ที่มา - Naked Security

Tags:
Skype

การโทรศัพท์ใน Skype สามารถทำได้ทั้งผ่านเซิร์ฟเวอร์ของไมโครซอฟท์ และเชื่อมต่อแบบ peer-to-peer ไปยังเพื่อนของเรา (direct connection) ซึ่งมีข้อดีคือเริ่มการสนทนาได้เร็วกว่าเดิม อย่างไรก็ตาม ข้อจำกัดของการคุยแบบ peer-to-peer คือทั้งสองฝ่ายต้องรู้หมายเลขไอพีของกันและกัน

ที่ผ่านมา ค่าดีฟอลต์ของ Skype คือเปิดเผยค่าหมายเลขไอพีของผู้ใช้ ส่งผลให้เกิดช่องโหว่ที่สามารถตามตัวของผู้ใช้ได้ เพราะรู้ว่าหมายเลขไอพีนั้นเป็นของบัญชี Skype รายใด และในวงการเกมก็เคยมีกรณีใช้ช่องโหว่นี้ ยิง DoS ใส่หมายเลขไอพีของคู่ต่อสู้ระหว่างเล่นเกม เพื่อให้ไม่สามารถเล่นเกมได้อย่างต่อเนื่อง

ล่าสุด Skype จึงแก้ปัญหานี้โดยปิดการแสดงหมายเลขไอพีเป็นค่าดีฟอลต์แทน (คนที่เป็นเพื่อนกันใน contact list ยังสามารถเห็นหมายเลขไอพีได้อยู่ แต่คนนอก list ไม่เห็นแล้ว)

ที่มา - Skype, Ars Technica

Tags:

ยังไม่ทันจะได้นำทางสู่ประชาธิปไตยอันไกลโพ้น ก็ต้องมีอุปสรรคเสียแล้ว เมื่อมีผู้พบว่า แอพ "ดาวเหนือ" ของสำนักงานคณะกรรมการการเลือกตั้ง (กกต.) มีปัญหาเรื่องการเปิดเผยข้อมูลมากกว่าที่ควรจะเป็น รวมถึงการส่งข้อมูลในแบบที่ไม่ได้เข้ารหัสแต่อย่างใด

ผู้ใช้ทวิตเตอร์ @ipats ระบุว่าตัวแอพมีการเรียกใช้งานข้อมูลผ่าน SOAP โดยอยู่บนโปรโตคอล http ซึ่งไม่มีการเข้ารหัส แต่ที่ดูจะเป็นประเด็นสำคัญกว่าคือเมื่อใส่รหัสบัตรประชาชนเข้าไปแล้ว ข้อมูลที่ส่งกลับมาประกอบด้วย "ที่อยู่ตามทะเบียนบ้านของผู้มีสิทธิเลือกตั้ง" มากเกินกว่าข้อมูลของคูหาหรือสถานที่ใช้สิทธิเลือกตั้งแต่ตามที่แอพระบุว่าทำได้

แม้ตัวแอพไม่ได้แสดงข้อมูลเหล่านี้ให้ผู้ใช้ทราบ แต่หากมีผู้ไม่ประสงค์ดี และทราบเพียงรหัสบัตรประชาชน ก็จะสามารถเข้าถึงข้อมูลสำคัญอย่างที่อยู่ตามทะเบียนบ้านได้ไม่ยาก

ที่มา - @ipats (1, 2, 3)

Tags:
Tor

Facebook สนับสนุน Tor และเปิดโดเมน facebookcorewwwi.onion มาตั้งแต่ปี 2014 แล้ว วันนี้ Facebook ก้าวไปอีกขั้นโดยเพิ่มฟีเจอร์ให้ Facebook for Android รองรับการสื่อสารผ่าน Tor ด้วย

ผลคือผู้ใช้อุปกรณ์พกพา Android สามารถใช้งาน Facebook อย่างปลอดภัยบนเครือข่าย Tor โดยตรง (ไม่ต้องเข้าจากเว็บเบราว์เซอร์บนมือถืออีกต่อไป) การใช้งานจำเป็นต้องติดตั้งแอพ Orbot ที่เป็นพร็อกซี่ Tor ก่อน จากนั้นก็เปิดใช้งานในแอพ Facebook for Android อีกทีหนึ่ง

หลายคนอาจสงสัยว่าทำไมเราต้องเชื่อมต่อผ่าน Tor คำตอบคือในกรณีที่ผู้ใช้ต้องการปิดบังตัวตน (ไม่ว่าจะด้วยเหตุใดก็ตาม) ไม่ให้รู้ว่าก่อนทราฟฟิกไปถึง Facebook นั้นต้นทางมาจากที่ไหนกันแน่

ที่มา - Facebook

Tags:
Europe

ศาลสิทธิมนุษยชนยุโรป (European Court of Human Rights - ECHR) วินิจฉัยคำร้องของลูกจ้างชาวโรมาเนียที่ถูกไล่ออกจากงานโดยนายจ้างอาศัยหลักฐานเป็นแชตล็อกที่เขาคุยกับคู่หมั้นในเวลางาน

ลูกจ้างรายนี้ใช้เครื่องคอมพิวเตอร์ของบริษัท และล็อกอินเข้า Yahoo! Messenger สองบัญชี บัญชีหนึ่งเป็นบัญชีสำหรับทำงาน และอีกบัญชีเป็นบัญชีส่วนตัว ลูกจ้างระบุว่าการที่นายจ้างเข้ามาอ่านข้อความบัญชีส่วนตัวเป็นการละเมิดสิทธิ

คำวินิจฉัยระบุว่าเนื่องจากนายจ้างถือว่าลูกจ้างกำลังใช้งาน Yahoo! Messenger เพื่อการทำงานอยู่แล้ว การเข้าตรวจสอบการทำงานจึงไม่ใช่การละเมิด โดยคำพิพากษาไม่ได้ระบุถึงประเด็นความเป็นเจ้าของเครื่องว่ามีผลหรือไม่

คณะผู้พิพากษามี 7 ราย ผู้พิพากษารายหนึ่งเห็นค้าน โดยระบุว่านายจ้างจะต้องเตือนลูกจ้างอย่างชัดแจ้งว่ากำลังมีการตรวจสอบการใช้งานอยู่

องค์กรจำนวนมากมีนโยบายควบคุมการส่งข้อมูลเข้าออกจากองค์กร แนวทางเช่นนี้ทำให้เบราว์เซอร์ต้องรองรับการดักฟังการเชื่อมต่อเข้ารหัส โดยไม่เตือนว่ากำลังถูกดักฟัง แม้ใบรับรอบการเข้ารหัสจะมีการล็อกเอาไว้ก็ตาม

ที่มา - BBC

Tags:

The Daily Telegraph ติดตั้งเซ็นเซอร์ตรวจสอบว่ามีผู้ใช้โต๊ะทำงานหรือไม่ผลิตโดย OccupEye โดยไม่ได้แจ้งพนักงานล่วงหน้า ทำให้พนักงานจำนวนมากไม่พอใจ

เซ็นเซอร์ถูกติดอยู่ใต้โต๊ะ โดยฝ่ายบริหารระบุว่าการติดตั้งเพื่อปรับปรุงระบบทำความร้อนในอาคาร อย่างไรก็ดี OccupEye สามารถใช้เพื่อติดตามพนักงานได้ด้วยว่านั่งโต๊ะมากน้อยเพียงใด ประเด็นนี้ทำให้พนักงานซึ่งเป็นนักข่าวด้วยไม่พอใจ ภายหลังทางหนังสือพิมพ์ออกมาชี้แจงว่ามีแผนจะติดตั้งเซ็นเซอร์ไว้เพียงสี่สัปดาห์เท่านั้น และใช้ข้อมูลเพื่อการประหยัดพลังงานอย่างเดียว

ฝ่ายบริหารของสำนักข่าวประกาศถอดเซ็นเซอร์ทั้งหมดออกภายหลังจากติดตั้งไปเพียงสี่ชั่วโมง และจะหาทางอื่นพร้อมกับสื่อสารให้พนักงานทราบล่วงหน้า

ประเด็นความเป็นส่วนตัวกับ IoT เป็นประเด็นสำคัญ ที่มีเซ็นเซอร์มีราคาถูกและติดตั้งได้ง่ายก็ไม่ได้หมายความว่าเราควรติดตั้งไปเสียทุกอย่าง กรณีนี้ก็เป็นตัวอย่างหนึ่ง

ที่มา - Buzzfeed

Tags:
Ubuntu

เมื่อปี 2012 Dash ระบบค้นหาแอพของ Ubuntu 12.10 เพิ่มฟีเจอร์ค้นหาข้อมูลแล้วแสดงสินค้าจาก Amazon ซึ่งเป็นช่องทางการหารายได้ของต้นสังกัด Canonical ฟีเจอร์นี้ถูกคัดค้านอย่างหนักในประเด็นความเป็นส่วนตัว จน Canonical ต้องยอมถอย เพิ่มตัวเลือกให้ปิดได้ในภายหลัง (Richard Stallman วิจารณ์ว่านี่คือสปายแวร์)

เวลาผ่านมาเกือบ 4 ปี ใน Ubuntu รุ่นหน้า 16.04 LTS ฟีเจอร์นี้จะปิดมาเป็นดีฟอลต์ การค้นหาข้อมูลใดๆ จะอยู่แค่ในเครื่องของเราเท่านั้น ไม่ถูกส่งข้อมูลกลับไปยัง Canonical อีกต่อไป

ส่วนคนที่ยังอยากใช้ฟีเจอร์นี้ (ซึ่งมีประโยชน์บ้างในการค้นหาข่าว หรือพยากรณ์อากาศ) สามารถเปิดใช้งานได้ในหน้าตั้งค่าของ Dash ครับ

ที่มา - OMG Ubuntu

Tags:
Mozilla

หน่วยงานออกใบรับรองแห่งรัฐบาลคาซัคสถาน (Root Certification Authority of the Republic of Kazakhstan - root.gov.kz) ยื่นความจำนงขอให้มอซิลล่ารวมเอา root CA ของรัฐบาลเข้าไว้ในฐานข้อมูลเพื่อให้ใบรับรองที่ออกโดยรัฐบาลได้รับความเชื่อถือ

ปัญหาสำคัญคือรัฐบาลคาซัคสถานไม่เป็นมิตรต่อความปลอดภัยอินเทอร์เน็ตนัก Kazakhtelecom JSC ผู้ให้บริการอินเทอร์เน็ตรายใหญ่ที่สุดในประเทศประกาศออกมาตั้งแต่ต้นปี 2016 นี้เป็นต้นไป กฎหมายจะบังคับให้ผู้ให้บริการอินเทอร์เน็ตต้องดักฟังอินเทอร์เน็ตทั้งหมด โดยบังคับให้ผู้ใช้ต้องติดตั้งใบรับรอง root CA ลงในเครื่องของตนเองเพื่อให้ผู้ให้บริการดักฟังการเชื่อมต่อได้

Tags:
Tor

ที่งาน 32C3 โครงการ Tor ประกาศเริ่มโครงการหาช่องโหว่เพื่อชิงเงินรางวัล ในการบรรยาย State of the Onion โดยได้รับเงินทุนจาก Open Technology Fund

รายงานสถานะการใช้งานของ Tor ที่ชาติที่บล็อคอินเทอร์เน็ตอย่างหนักเช่นรัสเซียและปากีสถานมีการใช้งาน Tor เพิ่มขึ้นทุกครั้งที่มีการบล็อคอินเทอร์เน็ตครั้งสำคัญ

นอกจากการรายงานสถานะการใช้งานของ Tor แล้ว ทางโครงการยังรายงานถึงการโจมตีเครือข่าย Tor โดยวาง relay node นับร้อยเพื่อแกะรอยผู้ใช้ Tor และระบุว่าได้วางมาตรการเพื่อป้องกันปัญหาเช่นนี้ โดยหากมีโหนดที่คล้ายๆ กันเข้ามาในเครือข่ายมากๆ จะแบนออกไปก่อนแล้วถามความตั้งใจทีหลัง

ที่มา - ThreatPost

Tags:
USA

Chris Vickery นักวิจัยผู้พบฐานข้อมูลผู้ใช้เว็บ Hello Kitty เชื่อมต่ออินเทอร์เน็ตโดยตรง รายงานฐานข้อมูลอีกชุดเป็นผู้ลงทะเบียนเลือกตั้งในสหรัฐฯ จำนวนถึง 194 ล้านราย ตัวเซิร์ฟเวอร์รอรับการค้นหาโดยไม่ต้องล็อกอินใดๆ

ข้อมูลในฐานข้อมูลมีตั้งแต่ข้อมูลพื้นฐานของผู้ลงทะเบียนเลือกตั้งเช่น ชื่อ, นามสกุล, ที่อยู่, หมายเลขโทรศัพท์, และความเป็นสมาชิกพรรคการเมือง

กฎความเป็นส่วนตัวของข้อมูลผู้ลงเลือกตั้งในสหรัฐฯ ต่างกันไปในแต่ละรัฐ บางรัฐเปิดข้อมูลเหล่านี้เป็นสาธารณะ บางรัฐก็ถือว่าเป็นข้อมูลส่วนตัวห้ามเผยแพร่บนเว็บ

ยังไม่แน่ชัดว่าเซิร์ฟเวอร์ฐานข้อมูลนี้เป็นของหน่วยงานใด คาดว่าอาจจะเป็นของหน่วยงานทำโพลสักราย

ที่มา - The Register

Tags:
Airbnb

จากกรณีของการติดตั้งกล้องแอบถ่ายในบ้านเช่าซึ่งใช้บริการของ Airbnb โปรแกรมเมอร์ชาวนิวซีแลนด์ Julian Oliver ได้เสนอไอเดียง่ายๆ ในการตรวจจับกล้องไร้สายที่อยู่ในเครือข่ายเดียวกันโดยใช้เพียงแค่คอมพิวเตอร์ทั่วไปในการหาร่วมกับสคริปต์ที่เขาพัฒนาขึ้นซึ่งมีชื่อว่า dropkick.sh

สคริปต์ dropkick.sh ใช้ไอเดียพื้นฐานของการทำงานในระบบเครือข่ายโดยอาศัยการค้นหาค่าของ MAC address ของกล้องไร้สายซึ่งแตกต่างกันไปตามผู้ผลิตกล้องไร้สาย และเมื่อพบแล้วจะมีการส่งแพ็คเกตเพื่อบังคับให้อุปกรณ์เป้าหมายออกจากเครือข่าย โดยจำเป็นต้องมีการติดตั้งโปรแกรมในชุดของ Aircrack-ng ก่อนเพื่อให้สามารถตรวจสอบการใช้งานเครือข่ายได้ ตัวสคริปต์ถูกพัฒนาให้ทำงานบนระบบปฏิบัติการ GNU/Linux เท่านั้น แต่อาจสามารถต่อยอดให้ทำงานบนระบบปฏิบัติการอื่นได้

อย่างไรก็ตามการใช้สคริปต์นี้ก็มีข้อควรระวังอยู่เช่นเดียวกัน เนื่องจากการทำงานของสคริปต์ถือเป็นการโจมตีแบบ deauthentication ต่อเครือข่ายไร้สายซึ่งอาจตีความเป็นการแทรกแซงสัญญาณ (jamming) ที่ผิดกฎหมายในบางประเทศได้ ตัวสคริปต์ dropkick.sh สามารถดูได้จากแหล่งที่มาครับ

ที่มา - Detect and disconnect WiFi cameras in that AirBnB you’re staying in

Tags:

ไปรษณีย์สหรัฐอเมริกา หรือที่เรารู้จักกันในชื่อ USPS กำลังจะเปิดบริการสแกนหน้าซองจดหมายแล้วส่งอีเมลไปหาผู้รับ ก่อนที่ตัวจดหมายจริงๆ จะถูกส่งตามไปทีหลัง

บริการนี้ชื่อ Informed Delivery โดย USPS ได้ทดสอบการให้บริการมาตั้งแต่ปี 2014 ในบางเขตของเวอร์จิเนียเหนือ และหลังจากนี้จะขยายไปนครนิวยอร์กรวมถึงบางพื้นที่ของรัฐคอนเนตทิคัต

วิธีการใช้บริการคือเมื่อลูกค้าสมัครสมาชิก USPS จะส่งอีเมลมาหาทุกวันก่อนเวลา 11 นาฬิกา ยกเว้นวันอาทิตย์ ในอีเมลจะมีรูปสแกนหน้าซองจดหมายทุกซองที่กำลังจะถูกส่งมาถึงบ้านผู้รับ (มากสุด 10 ซอง) เพื่อที่ผู้รับจะได้รู้ล่วงหน้าว่าวันนี้จะมีจดหมายอะไรมาส่งบ้าง

ขณะนี้ยังเปิดให้บริการเฉพาะลูกค้าตามบ้านทั่วไป ไม่รวมจดหมายที่ส่งหาธุรกิจต่างๆ และไม่รองรับพัสดุ รวมถึงจดหมายซองใหญ่กว่ามาตรฐาน นอกจากนี้ USPS กำลังพิจารณาสแกนหน้าปกนิตยสารและแคตตาล็อกต่างๆ ด้วย

USPS เริ่มถ่ายรูปจดหมายและพัสดุต่างๆ ที่ส่งในสหรัฐฯ มาตั้งแต่ปี 2001 แล้ว เนื่องมาจากเหตุการณ์ส่งจดหมายที่บรรจุเชื้อแบคทีเรียที่ทำให้เกิดโรคแอนแทรกซ์ (Anthrax) ไว้ และจากบริการนี้ก็มีการตั้งคำถามเกี่ยวกับประโยชน์ที่ได้รับ ว่ามีประโยชน์แค่ไหนเมื่อเทียบกับการรอบุรุษไปรษณีย์มาส่งที่บ้าน รวมถึงประเด็นด้านความเป็นส่วนตัวด้วย

ที่มา - Wired

Tags:
NSA

กฏหมายเก็บข้อมูลการใช้งาน (metadata) ของการโทรศัพท์สำหรับพลเมืองสหรัฐฯ หรือ Section 215 ถูกใช้งานมาตั้งแต่เหตุการณ์ 9/11 และเป็นมาตราสำคัญที่ Snowden แสดงท่าทีต่อต้านมาตลอด วันนี้กฏหมายใหม่ตาม USA FREEDOM Act 2015 ก็เริ่มมีผลแล้ว ทำให้การเก็บข้อมูลการใช้งานนั้นไม่สามารถเก็บแบบกวาดไม่เลือกเป้าหมาย

กฏหมายใหม่ระบุว่าการขอข้อมูลการใช้งานจะต้องมี "เงื่อนไขเลือกเป้าหมายเจาะจง" (specific selection term) เลือกจากบุคคล, เลขบัญชี, ที่อยู่, หรือหมายเลขประจำเครื่อง

ทาง NSA ขอเข้าถึงข้อมูลแบบกวาดทั้งหมดตาม Section 215 ที่เคยเก็บมาก่อนกฎหมายใหม่มีผลเดิมไปอีกสามเดือน สิ้นสุดเดือนกุมภาพันธ์เพื่อการทดสอบระบบใหม่ ตอนนี้ศาล FISA กำลังพิจารณาคำขอนี้

ที่มา - IC on the Record

Tags:
Facebook

ช่วงนี้หน้าวอลล์ Facebook ของเราอาจเห็นเพื่อนหลายคนเล่นแอพชื่อ Most Used Words ที่ช่วยวิเคราะห์ว่าเราพิมพ์คำไหนมากที่สุดเท่าที่ใช้งาน Facebook มา แอพตัวนี้ได้รับความนิยมอย่างสูงไปทั่วโลก มียอดแชร์มากกว่า 16 ล้านครั้งแล้ว

อย่างไรก็ตาม มีรายงานว่าแอพตัวนี้นำข้อมูลส่วนตัวของผู้ใช้ (ตามที่ขอตอนเรียกแอพครั้งแรกแต่คนมักไม่สนใจ) ไปขายต่อ ข้อมูลที่แอพดูดไปมีทั้งข้อมูลส่วนตัว รายชื่อเพื่อน รูปภาพ ประวัติการไลค์ หมายเลขไอพี และข้อมูลเกี่ยวกับอุปกรณ์ที่เราใช้งาน

แอพตัวนี้เป็นผลงานของบริษัทเกาหลีใต้ชื่อ Vonvon.me ซึ่งทางบริษัทก็ออกมาตอบโต้ว่าไม่ได้นำข้อมูลไปขาย แม้ในเอกสารนโยบายความเป็นส่วนตัวของบริษัทจะระบุว่ามีสิทธินำข้อมูลบางส่วนไปใช้งานก็ตาม

ที่มา - Comparitech, Independent, Naked Security

Tags:
Windows 10

เพิ่งมีข่าว ไมโครซอฟท์ปิดการดาวน์โหลดไฟล์ Windows 10 เวอร์ชัน 1511 โดยตรง แต่ความคืบหน้าล่าสุดคือไมโครซอฟท์กลับลำ 180 องศาอีกรอบ นำ Windows 10 November Update (1511 หรือ Build 10586) มาให้ดาวน์โหลดผ่าน Media Creation Tool เหมือนเดิม

รอบนี้ไมโครซอฟท์ออกมาอธิบายเหตุผลว่า ที่ปิดไม่ให้ดาวน์โหลด 1511 ชั่วคราวเป็นเพราะเจอบั๊กว่าผู้ใช้บางส่วน (จำนวนน้อยมาก) อัพเดต 1511 แล้วไม่จำค่า Settings ของเดิม ตอนนี้ไมโครซอฟท์แก้บั๊กนี้เรียบร้อยแล้ว ส่วนผู้ใช้ที่ได้รับผลกระทบ ไมโครซอฟท์จะคืนค่า Settings ให้ในเร็วๆ นี้

Tags:
Tor

โครงการ Tor เป็นไม้เบื่อไม้เมากับ FBI มานานเพราะคนร้ายใช้ Tor ในการปกปิดตัวตน ก่อนหน้านี้มีหลายคดีที่ FBI สามารถเปิดเผยไอพีของผู้ใช้เครือข่าย Tor ออกมา โดยไม่ได้ระบุรายละเอียดว่าหาไอพีได้อย่างไร ตอนนี้ทาง Tor ออกมาระบุว่า FBI จ้างนักวิจัยจากมหาวิทยาลัย Carnegie Mellon (CMU) ให้เจาะระบบ Tor เพื่อหาไอพีให้ โดยจ่ายค่าจ้างอย่างน้อยหนึ่งล้านดอลลาร์

Alexander-Volynkin จาก CERT และ Michael-McCord จาก CMU CERT เคยมีกำหนดการนำเสนอช่องโหว่ของ Tor ในงาน Black Hat 2014 แต่ถอนการนำเสนอออกไปภายหลัง ระบุว่าการหาตัวตนของผู้ใช้ Tor แต่ละครั้งใช้ต้นทุนเพียง 3,000 ดอลลาร์ และทำสำเร็จแล้วนับสิบครั้ง ช่วยแก้คดี botnet, การค้ายา, และผู้ใช้เว็บเผยแพร่ภาพอนาจารเด็ก

ทาง Tor เคยรายงานเมื่อปีที่แล้ว ระบุว่ามีเครื่อง relay ที่มุ่งร้ายเข้ามาร่วมในเครือข่ายตั้งแต่ต้นปี 2014 และถูกถอดออกไปในช่วงกลางปีพร้อมกับการออกอัพเดตซอฟต์แวร์

ทางโครงกร Tor ตั้งคำถามต่อการจ้างนักวิจัยให้เปิดเผยตัวคนของผู้ใช้เช่นนี้ว่ามีการขอหมายศาลหรือทีมวิจัยได้รับการตรวจสอบจากกรรมการตรวจสอบของมหาวิทยาลัยหรือไม่ เพราะการเจาะระบบนี้ไม่ได้เจาะจงเฉพาะคนร้ายแต่มีผู้อื่นได้รับผลกระทบไปจำนวนมาก

ที่มา - Tor

Tags:
Facebook

Jay Parikh รองประธานฝ่ายวิศวกรรมของ Facebook เปิดเผยว่า Facebook 'อาจ' ปล่อยฟีเจอร์แสดงข้อความเตือนหากพ่อแม่อัพโหลดรูปภาพลูกตนเอง หรือบุคคลในครอบครัว แล้วมีการตั้งค่าเป็นสาธารณะ (public) ซึ่งอาจเป็นการละเมิดสิทธิของเด็กนั่นเอง

สิ่งที่น่าสนใจของฟีเจอร์นี้ ก็คือ Machine Learning ที่อยู่เบื้องหลังในการประมวลผลอย่างรวดเร็ว ซึ่งสามารถนำไปต่อยอดในการจัดการเนื้อหาอื่นบน Facebook เช่นรูปภาพอื่นที่ไม่เหมาะสม ก็สามารถลบออกไปได้อย่างรวดเร็ว และไม่ต้องใช้คนเข้าไปตรวจสอบ

ที่มา: The Next Web