Tags:
Galaxy S5

บล็อกที่เขียนข่าวเกี่ยวกับซัมซุงเป็นประจำ SamMobile อ้างว่ามือถือตัวชูโรงของซัมซุงประจำปีนี้ “Galaxy S5” จะมาพร้อมกับเซ็นเซอร์อ่านลายนิ้วมือจริง โดยเช่นเดียวกับมือถือคู่แข่งอย่าง iPhone 5S เซ็นเซอร์อ่านลายนิ้วมือของ S5 จะอยู่ที่ปุ่มโฮม

อย่างไรก็ตาม ในรายงานระบุว่าการใช้งานเซ็นเซอร์อ่านลายนิ้วมือของซัมซุง จะแตกต่างไปจาก Touch ID ของแอปเปิล ตรงที่ผู้ใช้จะต้องสแกนลายนิ้วมือด้วยวิธี Swipe จากบนลงล่างด้วยความเร็วที่เหมาะสม แต่เช่นเดียวกับ Touch ID เซ็นเซอร์อ่านลายนิ้วมือของซัมซุง ก็จะมีปัญหาในการอ่านลายนิ้วมือจากนิ้วที่เปียก หรือชุ่มชื้น

ซัมซุง ยังได้เพิ่มการสนับสนุนการใช้งานลายนิ้วมือเข้าไปในส่วนต่าง ๆ ของระบบปฏิบัติการ และเป็นไปได้ว่านักพัฒนาอาจจะสามารถนำเซ็นเซอร์นี้มาใช้ประโยชน์ได้

ทีนี้ จะ S5 หรือ 5S ก็ไม่ต้องน้อยหน้าซึ่งกันและกันเรื่องเซ็นเซอร์อ่านลายนิ้วมือแล้วครับ

ที่มา - MacRumors

Tags:
CloudFlare

ความน่ากลัวของการดักฟังที่ได้รับการสนับสนุนจากรัฐแบบที่เปิดเผยโดย NSA ทำให้ผู้ให้บริการที่เคยไว้ใจการเชื่อมต่อระดับศูนย์ ที่ไม่น่ามีใครดักฟังได้ ไม่เชื่อใจกันอีกต่อไป CloudFlare ผู้ให้บริการกระจายข้อมูลไปยังผู้ใช้จึงเพิ่มบริการเชื่อมต่อ SSL แบบใหม่เพิ่มเติม

ก่อนหน้านี้ CloudFlare ให้บริการความปลอดภัยสามแบบ คือ ปิดการเข้ารหัส ไม่มีการยืนยันใดๆ, เปิดการเข้ารหัสเฉพาะข้อมูลที่กระจายออก แต่รับข้อมูลจากเซิร์ฟเวอร์โดยไม่เข้ารหัส (Flexible SSL), และเข้ารหัสเต็ม (Full SSL) แต่แม้จะเป็น Full SSL ทาง CloudFlare ก็ไม่ได้ยืนยันใบรับรองการเข้ารหัสกับเซิร์ฟเวอร์ลูกค้าแต่อย่างใด ทำให้มีความเสี่ยงที่จะถูกทำ man-in-the-middle

บริการ Full SSL (Strict) จะตรวจสอบใบรับรองของผู้ให้บริการที่เป็นลูกค้า CloudFlare กับ Certification Authority (CA) ก่อนที่จะยอมรับการเชื่อมต่อ ทาง CloudFlare เตือนว่า CA ที่ CloudFlare ยอมรับนั้นจะคัดมาเฉพาะเพื่อป้องกัน CA ที่มีประวัติไม่น่าเชื่อถือ ส่วนลูกค้าที่ใช้บริการ Full SSL และใบรับรองตรวจสอบแล้วว่าสามารถใช้ Full SSL (Strict) ได้ จะถูกปรับบริการอัตโนมัติ

หลังประกาศบริการนี้ CloudFlare ส่งโค้ดกลับต้นน้ำคือ nginx ทำให้ nginx สามารถตรวจสอบใบรับรองของเซิร์ฟเวอร์ต้นทางก่อนรับการเชื่อมต่อ, ตรวจสอบรายการยกเลิกใบรับรอง, และรองรับ SNI ในกรณีที่เซิร์ฟเวอร์ต้นทางให้บริการหลายโดเมนในเครื่องเดียวกัน

ที่มา - CloudFlare

Tags:

Sense6 บริษัทหน้าใหม่สัญชาติอเมริกาเปิดตัว Artemis เครื่องประดับอัจฉริยะที่สามารถเชื่อมต่อกับสมาร์ทโฟนเพื่อแจ้งเตือนไปยังเจ้าหน้าที่ หากำบว่าเจ้าของอยู่ในสถานการณ์อันตราย

Jeff Axup ซีอีโอ Sense6 พูดถึง Artemis ว่าออกแบบมาเพื่อให้คุณผู้หญิงสามารถเอาตัวรอดจากสถานการณ์ฉุกเฉินได้ไวขึ้น ตัวเครื่องประดับออกแบบมาให้เชื่อมต่อกับสมาร์ทโฟนผ่านบลูทูธ สามารถอัดเสียง และส่งเสียงผ่านระบบกลุ่มเมฆ และส่งข้อมูลสถานที่ปัจจุบันได้แบบเรียลไทม์ ซึ่งเร็วกว่าวิธีแบบเดิมที่ใช้การโทรศัพท์อย่างมาก

นอกจาก Artemis แล้ว ยังมีอีกบริษัทที่ทำผลิตภัณฑ์มาใช้งานคล้ายกัน แต่มาในรูปแบบที่ต่างออกไปอย่าง First Sign ที่กำลังระดมทุนกลัดผมอัจฉริยะสำหรับผู้หญิงอยู่ในขณะนี้

กลัดผมอัจฉริยะตัวนี้มีฟีเจอร์มากกว่า Artemis พอสมควร สามารถส่งทั้งเสียง วิดีโอ และที่อยู่ได้ผ่านการเชื่อมต่อกับสมาร์ทโฟน

สำหรับความคืบหน้าของทั้งสองราย Sense6 จะเริ่มทดสอบภายในเดือนสองเดือนนี้ ส่วน First Sign จะเริ่มวางขายเดือนมิถุนายนครับ

ที่มา - VentureBeat

Tags:
Linksys

รายงานบั๊กที่ใช้ในเวิร์ม The Moon ที่เริ่มระบาดเมื่อสัปดาห์ที่แล้ว แสดงให้เห็นว่าเราเตอร์หลายรุ่นมีปัญหาความปลอดภัยเพราะไม่ตรวจสอบรหัสผ่านในบาง URL ที่ใชัจัดการเราเตอร์

URL เหล่านี้เป็นโปรโตคอล Home Network Administration Protocol (HNAP) ที่พัฒนาโดย Pure Network และถูกซื้อไปโดยซิสโก้ในภายหลัง เราเตอร์ที่มีบั๊กนี้ได้แก่ 4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, และ E900

เมื่อเวิร์มติดไปยังเราเตอร์แล้วจะแสกนพอร์ต 80 และ 8080 เพื่อหาเหยื่อรายใหม่ต่อไปเรื่อยๆ

ที่มา - The Register

Tags:
Google

กูเกิลเข้าซื้อบริษัท SlickLogin ที่เพิ่งเปิดตัวมาไม่กี่เดือน โดยระบุว่าจะไปพัฒนาความปลอดภัยให้

SlickLogin พัฒนาระบบล็อกอินด้วยเสียงที่มนุษย์ไม่ได้ยิน โดยผู้ใช้ที่ต้องการล็อกอินเว็บสามารถนำโทรศัพท์ไปจ่อกับลำโพงโน้ตบุ๊กเพื่อล็อกอิน

ส่วนกูเกิลเองก็พยายามอย่างมากที่จะพัฒนามาตรฐานการล็อกอินที่ปลอดภัยกว่ารหัสผ่าน พร้อมกับยังใช้งานได้ง่ายอยู่ โดยความคืบหน้าล่าสุดคือการก่อตั้งกลุ่ม FIDO การเข้าซื้อ SlickLogin คงเป็นการเข้าซื้อตัวนักพัฒนาและสิทธิบัตรของ SlickLogin

สำนักงานของ SlickLogin ยังคงอยู่ในอิสราเอลเช่นเดิม

ที่มา - SlickLogin

Tags:
Kickstarter

Kickstarter แถลงยอมรับว่าเมื่อวันพุธที่ผ่านมาหน่วยงานบังคับใช้กฏหมายแจ้งว่าระบบของบริษัทถูกเจาะ และทางบริษัทก็รีบแก้ไขอย่างเร็วที่สุด แต่ก็ไม่ได้ระบุวิธีการที่เจาะเข้ามาขโมยข้อมูล

ถึงแม้ข้อมูลบัตรเครดิตของผู้ใช้จะไม่ถูกขโมยไป แต่ข้อมูลชื่อผู้ใช้ รหัสผ่านที่ถูกเข้ารหัสไว้ อีเมล ที่อยู่ และเบอร์โทรศัพท์ของผู้ใช้บางส่วนถูกขโมยไป (Kickstarter ไม่ได้เปิดเผยว่ามีข้อมูลของผู้ใช้กี่รายที่หลุดออกไป) บริษัทแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านใหม่ทั้งของบนเว็บไซต์ของบริษัทเองและเว็บไซต์อื่นที่ใช้รหัสเดียวกัน

ที่มา: Kickstarter

Tags:
Kickstarter

Kickstarter ประกาศว่าตัวเองถูกแฮ็กเข้าซะแล้ว และข้อมูลของผู้ใช้บางส่วนถูกแฮ็กเกอร์ขโมยไป โดยข้อมูลที่ถูกขโมยคือข้อมูลส่วนตัว ชื่อ อีเมล ที่อยู่ และรหัสผ่านที่ถูกเข้ารหัสแล้ว (ใช้ SHA-1/salted หรือ bcrypt) ส่วนข้อมูลบัตรเครดิตไม่ถูกเจาะไปด้วย

Kickstarter แนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านโดยทันที และเปลี่ยนรหัสผ่านชุดเดียวกันที่ใช้กับเว็บไซต์อื่นๆ ด้วย ส่วนผู้ใช้ที่ล็อกอินด้วย Facebook Connect จะถูกรีเซ็ตสิทธิการเข้าถึง และผู้ใช้สามารถอนุมัติสิทธิใหม่อีกครั้งด้วยตนเอง

ที่มา - Kickstarter

Tags:
Mark Zuckerberg

เว็บไซต์ thehackernews.com ได้ประกาศข่าวว่าพวกเขาได้รับ E-mail จากแฮคเกอร์ชาวอียิปต์ที่ใช้นางแฝงว่า Dr.FarFar ซึ่งเขาอ้างว่าเป็นคนแฮคหน้าโปรไฟล์ และลบรูป Cover ของ Mark Zuckerberg เจ้าของและผู้ก่อตั้งเว็บไซต์เฟสบุ๊ค

Tags:

เหล่าแฮกเกอร์ซีเรียยังคงซ่าไม่หยุด ซึ่งเหยื่อรายล่าสุดคือ Forbes นิตยสารด้านเศรษฐกิจชื่อดังของสหรัฐ โดย Forbes เปิดเผยว่าเว็บไซต์ของตัวเองและทวิตเตอร์ในเครือของ Forbes อีก 3 บัญชี ได้แก่ @TheAlexKnapp , @Samsharf และ @ForbesTech เป็นเหยื่อการถูกโจมตีโดยกลุ่ม Syrian Electronic Army (SEA) โดยมีรหัสผ่านผู้ใช้หลุดออกไปนับล้านบัญชี

Tags:
Office 365

ไมโครซอฟท์ประกาศรองรับการยืนยันตัวตนโดยใช้หลายปัจจัย (multi-factor authentication) ใน Office 365 รุ่นสำหรับองค์กร ได้แก่ Office 365 Midsize Business, Enterprise, Academic, Nonprofit, และบริการเดี่ยวสำหรับลูกค้าองค์กรทั้งหมดในกลุ่ม Office 365

แอดมินขององค์กรที่ใช้ Office 365 สามารถเข้าไปเปิดใช้งาน multi-factor ได้แยกรายคน โดยผู้ใช้ที่ถูกแอดมินสั่งให้ใช้งานจะถูกบังคับให้เซ็ตอัพระบบ multi-factor ทันทีที่ล็อกอินครั้งต่อไป

กระบวนการ multi-factor ของ Office 365 มีแนวทางให้ใช้งานได้ 5 ช่องทาง ได้แก่ รับสายโทรศัพท์เพื่อกดรหัสตามที่ไมโครซอฟท์บอก, รับ SMS, รับโทรศัพท์จากหมายเลขอื่น, กดยืนยันจากแอพพลิเคชั่นบนโทรศัพท์, และใช้รหัสผ่านจากแอพพลิเคชั่นบนโทรศัพท์เพื่อยืนยัน

เมื่อเซ็ตอัพการยืนยันแบบ multi-factor แล้วผู้ใช้จะต้องสร้างรหัสผ่านสำหรับแอพพลิเคชั่นแบบเดสก์ทอปแยกแต่ละแอพพลิเคชั่น กระบวนการนี้ทำให้ผู้ใช้สามารถยกเลิกสิทธิในแอพพลิเคชั่นเดสก์ทอปใดๆ ที่เคยไปล็อกอินไว้ได้

ไมโครซอฟท์ระบุว่าเตรียมขยายบริการนี้ออกไปให้ครบทุกแอพพลิเคชั่นที่ตอนนี้ยังไม่รองรับ รวมถึงแอพพลิเคชั่นเดสก์ทอปทั้งหมด และจะรองรับระบบ multi-factor ของผู้ผลิตรายอื่น เช่น บัตร Common Access Card ของกระทรวงกลาโหมสหรัฐฯ

ที่มา - Office Blogs

Tags:
FIDO

FIDO Alliance กลุ่มอุตสาหกรรมที่รวมบริษัททั้งผู้ให้บริการเว็บ และผู้ผลิตฮาร์ดแวร์รายสำคัญ เช่น Google, PayPal, NXP เปิดมาตรฐาน FIDO รุ่นแรกเพื่อรับความเห็นแล้วหลังตั้งกลุ่มมาได้ 9 เดือน

FIDO แก้ปัญหาที่ผู้ใช้ตั้งรหัสผ่านง่ายเกินไปด้วยการใช้กุญแจสาธารณะในการล็อกอินเสมอ เมื่อผู้ใช้ลงทะเบียนบริการใดๆ ครั้งแรก เครื่องของผู้ใช้จะต้องสร้างคู่กุญแจสำหรับบริการนั้นๆ ขึ้นมา แล้วส่งกุญแจสาธารณะไปยังผู้ให้บริการเช่นเว็บ หรือเซิร์ฟเวอร์ของแอพพลิเคชั่น

เมื่อล็อกอิน FIDO ระบุให้ระบบปฎิบัติการหรือเบราว์เซอร์ต้องยืนยันตัวตนกับผู้ใช้อีกครั้งว่าจะล็อกอินหรือไม่ แต่อาจจะยืนยันด้วยกระบวนการที่ง่ายกว่ารหัสผ่านเดิมๆ เช่น การใช้ลายนิ้วมือ, PIN เพียง 4 หลัก, หรือเสียง เมื่อยืนยันแล้วระบบปฎิบัติการจะรับค่า challenge จากผู้ให้บริการ แล้วเข้ารหัสด้วยกุญแจลับ แล้วส่งผลที่ได้ให้กับผู้ให้บริการต่อไป

มาตรฐาน FIDO มีสองแบบ ได้แก่ UAF สำหรับการล็อกอินโดยไม่ต้องมีอุปกรณ์เพิ่มเติม และ U2F สำหรับการล็อกอินด้วย token อีกชุดหนึ่ง ตัวมาตรฐานระบุอย่างละเอียดนับแต่กระบวนการทำงานของฮาร์ดแวร์, ระบบปฎิบัติการ, API การเขียนโปรแกรมบนจาวาสคริปต์, และข้อมูลที่ส่งไปมา

ตอนนี้ Nok Nok Labs ประกาศความพร้อมโซลูชั่น FIDO แล้ว แม้ว่ามาตรฐานยังไม่นิ่งก็ตาม

ที่มา - FIDO, The Register

Tags:
France

ศาลอุทธรณ์ของฝรั่งเศสได้ตัดสินลงโทษปรับเงินนักข่าว/แฮกเกอร์ชาวฝรั่งเศส จากการนำเอกสารในฐานข้อมูลภายในของหน่วยงานรัฐบาลไปเผยแพร่ ที่ได้มาจากการเข้า URL ที่ถูกต้องจากกูเกิล

Olivier Laurelli (ใช้ฉายาออนไลน์ว่า Bluetouff) ทำธุรกิจความปลอดภัยออนไลน์ที่ชื่อว่า Toonux และเป็นผู้ร่วมก่อตั้งเว็บไซต์ข่าว Reflets.info ได้เข้าอินเทอร์เน็ตผ่าน VPN ที่ใช้ IP address ของปานามา (เป็นบริการของ Toonux) ค้นหาข้อมูลผ่านเครื่องมือค้นหาของกูเกิล และได้บังเอิญเข้าไปเจอเอกสารภายในของหน่วยงานความปลอดภัยด้านอาหาร สิ่งแวดล้อม และอาชีพของฝรั่งเศส (ANSES)

Laurelli ได้ใช้เครื่องมือดาวน์โหลดเอกสารทั้งหมดเข้ามาเก็บไว้ในเครื่องของตัวเอง และในภายหลังได้ส่งต่อเอกสารบางส่วนให้กับผู้ร่วมเขียน Reflets คนหนึ่ง ซึ่งต่อมา เว็บไซต์ Reflets ก็ได้เผยแพร่สไลด์บางอันที่เกี่ยวข้องกับสารนาโน

เมื่อ ANSES ได้มาพบว่า มีสไลด์ภายในถูกเผยแพร่บนเว็บไซต์ Reflets จึงได้แจ้งตำรวจว่า อาจมีการบุกรุกเข้าสู่ระบบคอมพิวเตอร์และขโมยข้อมูลจากเครื่องคอมพิวเตอร์ ทำให้สำนักข่าวกรองของฝรั่งเศส (DCRI) เข้ามาร่วมสอบสวนกรณีนี้ด้วย

Tags:

โลกไอทีในองค์กรกำลังเผชิญความท้าทายใหม่ในช่วงเวลาไม่ถึงสามปีที่ผ่านมา จากความก้าวหน้าของอุปกรณ์เคลื่อนที่ทั้งแท็บเล็ต สมาร์ตโฟน รวมไปถึงราคาที่ถูกลงอย่างมากของคอมพิวเตอร์พีซี ทำให้คนในองค์กรมักสะดวกใจกับการใช้คอมพิวเตอร์ส่วนตัวเพื่อทำงานกันมากขึ้น หรือที่เรียกแนวทางนี้เป็นภาษาอังกฤษว่า Bring Your Own Device (BYOD)

หมายเหตุ บทความชุดการจัดการความปลอดภัยสำหรับองค์กร ได้รับการสนับสนุนโดย CAT Cyfence ผู้ให้บริการความปลอดภัยครบวงจรสำหรับธุรกิจทุกระดับ

Tags:
MasterCard

การใช้งานบัตรเครดิตตามร้านค้าต่างๆ แบ่งออกเป็น 2 ระบบใหญ่ๆ คือ ใช้แถบแม่เหล็กที่อยู่ด้านหลังของบัตร (รูดบัตร) และการใช้ชิปที่ฝังอยู่บนบัตร (เสียบบัตรแล้วกด PIN code)

ระบบในยุโรปนั้นใช้แบบ PIN code กันมานานแล้ว แต่ในสหรัฐอเมริกา (รวมถึงประเทศไทย) ยังใช้ระบบแถบแม่เหล็กอยู่ ระบบแถบแม่เหล็กมีปัญหาเรื่องความปลอดภัยที่ถูกปลอมแปลงง่ายกว่าระบบ PIN มาก ซึ่งผู้ให้บริการบัตรเครดิตรายใหญ่ทั้ง Visa และ MasterCard ก็ประกาศให้ร้านค้าในอเมริกาเปลี่ยนไปใช้ระบบ PIN ในเดือนตุลาคม 2015

Carolyn Balfany ผู้บริหารของ MasterCard ให้สัมภาษณ์กับ Wall Street Journal ในประเด็นเรื่องการเปลี่ยนระบบจ่ายเงินไว้ว่า เดิมทีตลาดนอกสหรัฐมีอัตราการโกงบัตรเครดิต (fraud) สูง ทำให้ตลาดเหล่านี้ถูกบีบให้เปลี่ยนไปใช้ระบบ PIN เพื่อให้โกงได้ยากขึ้น พอประเทศอื่นๆ เปลี่ยนระบบกันไปเยอะแล้ว บรรดาแฮ็กเกอร์เริ่มหันมาเจาะระบบบัตรเครดิตของอเมริกาแทน ซึ่งก็เป็นเหตุผลให้อเมริกาต้องรีบเปลี่ยนระบบตาม

Tags:
iOS 7

ดูเหมือน iOS 7 ที่แม้จะมีอัพเดตไปหลายครั้ง แต่ก็ยังมีบั๊กหลงเหลืออยู่ ล่าสุดมีรายงานว่าพบช่องโหว่ให้ผู้ใช้สามารถปิดฟีเจอร์ Find My iPhone โดยไม่ต้องรู้รหัสผ่านได้ (ปกติการจะปิดฟีเจอร์นี้ต้องใช้รหัสผ่าน iCloud ด้วย)

ช่องโหว่ดังกล่าวใช้ได้กับ iOS 7.0.4 ดังนั้นน่าจะอนุมานได้ว่าน่าจะมีผลกับ iOS 7.0.x ทุกรุ่น (ไม่มีข้อมูลว่าใช้กับ iOS 7.0.5 ด้วยได้ไหม) แต่จะไม่มีผลกับผู้ใช้ที่ตั้งค่า Touch ID หรือตั้งรหัสล็อกเครื่องไว้ เพราะผู้อื่นจะไม่สามารถเข้าไปถึงหน้าตั้งค่าได้นั่นเอง

ข่าวดีคือช่องโหว่นี้ใช้กับ iOS 7.1 ไม่ได้ ดังนั้นน่าจะมีแพตช์มาอัพเดตให้กับ iOS 7.0 เร็วๆ นี้ครับ

ที่มา - iDownloadBlog

Tags:
Facebook

Syrian Electronic Army (SEA) เจ้าเก่าทวีตว่าสามารถเข้าไปแก้ไขข้อมูล WHOIS ของโดเมน Facebook.com ได้ โดยเปลี่ยนอีเมลของแอดมินเป็นอีเมลของทาง SEA (แต่ ณ เวลาที่เขียนข่าวนี้ ข้อมูลบน WHOIS กลับเป็นดังเดิมแล้ว)

ถึงแม้เว็บไซต์เฟซบุ๊กจะยังใช้งานได้ตามปกติ SEA เคลมว่าได้เปลี่ยนชื่อเซิร์ฟเวอร์ต่างๆ เพื่อพยายามยึดครอง (hijack) เว็บไซต์ แต่ทีมก็เสียเวลาไปมากกับเรื่องนี้

ดูเหมือนว่าการบุกรุกครั้งนี้ผ่านมาทางบริษัทรับจัดการโดเมนชื่อ MarkMonitor ที่ดูแลโดเมน Facebook.com เนื่องจาก SEA ระบุว่า MarkMonitor ปิดเว็บท่าสำหรับจัดการโดเมนทันทีที่มีข่าวการบุกรุกนี้ พร้อมทั้งได้ทวีตภาพเว็บท่าสำหรับจัดการโดเมนดังกล่าวด้วย

ทั้งเฟซบุ๊กและ MarkMonitor ยังไม่ตอบข้อซักถามในเรื่องการบุกรุกครั้งนี้กับเว็บไซต์ The Next Web แต่อย่างใด

ที่มา: @Official_SEA16 (1, 2) ผ่าน The Next Web

Tags:
Chrome

กูเกิลเริ่มโครงการแจกรางวัลให้ผู้ค้นพบบั๊กด้านความปลอดภัย (bug bounty program) ของ Chrome มาตั้งแต่ปี 2010 (ข่าวเก่า) และขยายมายัง Chrome OS ในปี 2012

ล่าสุดกูเกิลประกาศขยายโครงการอีกรอบ โดยรอบนี้จะรวมถึงส่วนเสริม (extension) และแอพ (Chrome apps) ที่สร้างโดยกูเกิลเองด้วย (รายการส่วนเสริมจาก Chrome Web Store ที่สร้างโดยกูเกิล)

กูเกิลอธิบายว่าส่วนเสริมหลายตัวอย่าง Hangouts หรือ Gmail Checker มีฐานผู้ใช้เป็นหลักล้าน การมีบั๊กความปลอดภัยจึงมีโอกาสส่งผลกระทบต่อผู้ใช้จำนวนมาก จึงตัดสินใจขยายโครงการ bug bounty ให้ครอบคลุมมากขึ้น

อัตราการจ่ายเงินรางวัลอยู่ที่ 500-10,000 ดอลลาร์ ถ้าพบปัญหาด้านความปลอดภัย สามารถแจ้งได้ที่ Vulnerability Submission Form for Google Products

ที่มา - Google Online Security Blog

Tags:
Flash

Adobe ประกาศข่าวช่องโหว่ความปลอดภัยระดับร้ายแรง (critical) ของ Flash Player ทุกเวอร์ชันทุกแพลตฟอร์ม โดยแฮ็กเกอร์อาจใช้ช่องโหว่ตัวนี้เข้ามาควบคุมเครื่องจากระยะไกลได้

Adobe แนะนำให้อัพเดต Flash Player เป็นรุ่นใหม่ล่าสุดโดยด่วน

  • ผู้ใช้ Flash Player ทั้งบนวินโดวส์และแมค ให้อัพเดตเป็น 12.0.0.44
  • ผู้ใช้ Flash Player บนลินุกซ์ ให้อัพเดตเป็น 11.2.202.336
  • ผู้ใช้ Google Chrome จะได้อัพเดต Flash Player เป็น 12.0.0.44 โดยอัตโนมัติ
  • ผู้ใช้ IE บน Windows 8.x จะได้อัพเดต Flash Player เป็น 12.0.0.44 โดยอัตโนมัติ

คนที่ไม่ได้ใช้ Chrome/IE เข้าไปดาวน์โหลดได้เลยที่ Adobe Flash Player

ที่มา - Adobe Security Bulletin

Tags:
Tumblr

ตามนโยบายของ Marissa Mayer ที่ประกาศให้บริการทั้งหมดของ Yahoo! ต้องรองรับการเข้ารหัส ตอนนี้บริการที่เพิ่งซื้อมาอย่าง Tumblr ก็รองรับ HTTPS แล้ว แต่ยังรองรับเฉพาะผู้ใช้ที่ล็อกอินแล้วเท่านั้น

สำหรับผู้ใช้ทั่วไปที่อ่านอย่างเดียว ยังไม่สามารถเปิดใช้ HTTPS ได้ แม้แต่หน้าประกาศนี้เองก็ไม่รองรับ HTTPS

อย่างไรก็ดี กระบวนการเข้ารหัสของ Tumblr ค่อนข้างหนาแน่นกว่าบริการอื่นๆ ที่ถูกวิจารณ์ว่าเก่าเกินไป และไม่รักษาความลับในอนาคต โดยใช้กระบวนการ AES_128_GCM และแลกกุญแจด้วยกระบวนการ ECDHE_RSA

ผู้ใช้ Tumblr ทุกคนสามารถใช้งานได้ทันทีโดยเข้าไปตั้งค่าในหน้า Account Settings

ที่มา - Tumblr

Tags:
EMC

ในปี 2013 ที่ผ่านมา ภาคธุรกิจมีการเปลี่ยนแปลงให้ธุรกิจนั้นมีความต้องการให้ระบบสามารถใช้งานได้ตลอดเวลามากขึ้น (Business Continuity) ด้วยสาเหตุที่ทำให้ระบบนั้นล่มลงไปนั้นมีหลากหลายตั้งแต่ปัจจัยภายในอย่างความผิดพลาดของการทำงาน ระบบไฟเสียหาย ไปจนถึงปัจจัยภายนอกอย่างภัยธรรมชาติ แลพการประท้วง EMC เองเป็นบริษัทที่มีโซลูชันในการรับมือกับปัญหาที่คาดไม่ถึงเหล่านี้อยู่แล้ว จึงมีแนวทางรับมือ โดยเฉพาะกับธุรกิจที่เกิดความเสียหายเมื่อระบบนั้นล่มลง

ในเคสแรกที่ประเทศไทยให้ความสำคัญกันมากในช่วงหลังคือการทำให้ระบบสามารถใช้งานได้ แม้ว่าจะเกิดภัยธรรมชาติขึ้น แนวทางที่ใช้ในการรับมือกับระบบล่มที่เกิดจากภัยธรรมชาติคือการทำไซต์สำรอง (DR site) โดยมีระดับของการใช้งานตั้งแต่ แบบทั่วไปคือการใช้ไซต์สำรองเพื่อทำงานแทนเมื่อไซต์หลักทำงานไม่ได้, แบบ Active-Active ที่เมื่อไซต์หลักล่ม ไซต์สำรองสามารถทำงานได้ทันที