lew
Member for :

อย่าพิมพ์ผิด พบแพ็กเกจฝังมัลแวร์ตั้งชื่อคล้ายแพ็กเกจจริงใน PyPI ถูกดาวน์โหลดกว่า 41,000 ครั้ง

By lew Founder on Tag: Python, Security
Python

JFrog บริษัทความปลอดภัยรายงานถึงแพ็กเกจมุ่งร้าย 11 รายการที่อัพโหลดอยู่ใน PyPI โดยตั้งชื่อให้คล้ายกับแพ็กเกจยอดนิยม เพื่อล่อให้โปรแกรมเมอร์ที่พิมพ์ผิดดาวน์โหลดไปใช้งาน

รายชื่อแพ็กเกจที่พบได้แก่ importantpackage, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10, yandex-yt, และ yiffparty แต่ละแพ็กเกจมีการดาวน์โหลดหลักร้อยถึงระดับหมื่นครั้ง รวมกว่า 41,000 ครั้ง

Read more

พบนักพัฒนา 4,500 คนอัพโหลด cookie ในเบราว์เซอร์ตัวเองเข้า GitHub

By lew Founder on Tag: Security, GitHub
Security

Aidan Marlin นักวิจัยด้านความปลอดภัยรายงานว่านักพัฒนาจำนวนเกือบ 4,500 คนอัพโหลดไฟล์ cookie จากเบราว์เซอร์ที่ตัวเองใช้งานอยู่เข้าไปยัง GitHub ส่งผลให้คนร้ายสามารถสวมรอยแทนนักพัฒนาเหล่านี้ไปยังทุกบริการที่ล็อกอินทิ้งไว้ได้

ไฟล์ฐานข้อมูล cookie ในไฟร์ฟอกซ์คือ cookies.sqlite ปกติแล้วจะอยู่ในโฟลเดอร์ของไฟร์ฟอกซ์เอง ไม่แน่ชัดว่าทำไมนักพัฒนาจำนวนหนึ่งจึงอัพโหลดไฟล์เหล่านี้ขึ้น GitHub

Read more

Logz.io เตรียมเลิกใช้ Elasticsearch มาใช้ OpenSearch แทน

By lew Founder on Tag: OpenSearch, Elasticsearch, Open Source, SaaS
OpenSearch

ความขัดแย้งระหว่าง Elastic Inc. และบริษัทอื่นๆ ที่ใช้งานโครงการโอเพนซอร์ส Elasticsearch มาถึงจุดแยกทางอีกครั้ง เมื่อ Logz.io ผู้ให้บริการ Elasticsearch แบบคลาวด์ประกาศเตรียมใช้งาน OpenSearch ทั้งระบบภายในปี 2022

Logz.io เป็นหนึ่งในผู้ร่วมพัฒนาโครงการ OpenSearch กับ AWS ตัว AWS เองก็เปิดบริการ OpenSearch มาตั้งแต่เดือนกันยายน แต่เปิดบริการขนานกันไปกับ Elasticsearch (ที่จะไม่ได้รับอัพเกรดเวอร์ชั่นแล้ว เพราะ Elastic Inc. เปลี่ยนไลเซนส์เวอร์ชั่นหลังๆ)

Read more

OpenAI เปิดให้ใช้ GPT-3 API ได้ทันที ห้ามนำไปใช้สร้างเนื้อหาสำหรับผู้ใหญ่

By lew Founder on Tag: OpenAI, Artificial Intelligence
OpenAI

OpenAI พัฒนาปัญญาประดิษฐ์ออกมาหลายตัว และ GPT-3 ก็เป็นตัวที่มีศักยภาพที่จะทำมาให้บริการเชิงพาณิชย์มากที่สุด อย่างไรก็ตามมีความกังวลเป็นวงกว้างว่าคนร้ายอาจจะใช้ GPT-3 ในด้านลบ เช่น การสร้างข่าวปลอม จนกระทั่งทาง OpenAI เปิดให้บริการ API ของ GPT-3 แบบจำกัดตลอดมา วันนี้ทางบริษัทก็ออกมาระบุว่าได้เพิ่มมาตรการตรวจสอบจนมั่นใจจะให้บริการเป็นการทั่วไปแล้ว

มาตรการของ OpenAI มีหลายอย่าง ตั้งแต่การปรับโมเดลให้ทำตามคำสั่งได้ตรงไปตรงมา, ตอบคำถามตามความจริง, และมีกระบวนการสำหรับทีมงานตรวจสอบการใช้งานว่าผิดเงื่อนไขหรือไม่

Read more

กสทช. เกาหลีประกาศเกณฑ์ปรับแอปสโตร์ที่ไม่ยอมเปิดให้แอปรับเงินตรง ค่าปรับสูงสุด 2% ของรายได้

By lew Founder on Tag: South Korea, Apple, Google
South Korea

หลังเกาหลีใต้ผ่านกฎหมายบังคับให้แอปสโตร์ต้องเปิดให้แอปรับเงินจากระบบภายนอก ทางกสทช. เกาหลีใต้ซึ่งเป็นผู้บังคับใช้กฎหมายก็ออกเกณฑ์การบังคับใช้ว่าหากสโตร์ใดไม่ทำตามจะปรับตามรายได้ คิดเป็น 1% ของรายได้ และเพิ่มเป็น 2% หากทำผิดอย่างร้ายแรง

Read more

Azure Blob รองรับการรับส่งไฟล์แบบ SFTP

By lew Founder on Tag: Microsoft Azure, Cloud Storage, FTP
Microsoft Azure

Azure Blob บริการคลาวด์สตอเรจแบบเดียวกับ AWS S3 ประกาศเพิ่มวิธีการส่งไฟล์เข้าออกผ่านทางโปรโตคอล SFTP ซึ่งมักจำเป็นสำหรับแอปพลิเคชั่นที่พัฒนามานานและมักส่งไฟล์ข้ามระบบด้วย SFTP จนเป็นมาตรฐาน

บริการนี้รองรับการส่งไฟล์แบบ SFTP ทั้งการใช้รหัสผ่าน และการยืนยันตัวตนด้วยคู่กุญแจสาธารณะ ผู้ใช้สามารถกำหนดสิทธิ์การอ่านเขียนไฟล์ที่ระดับคอนเทนเนอร์ และกำหนด home directory เพื่อเป็นตำแหน่งมาตรฐานในกรณีที่ไคลเอนต์ไม่ได้ระบุตำแหน่งที่ต้องการวางไฟล์

Read more

เข้าสู่ยุควงจรเฉพาะทาง Renesas เปิดตัวชิป FPGA ราคาถูกสำหรับงาน IoT เริ่มต้นชิปละ 16 บาท

By lew Founder on Tag: Renesas, FPGA, Semiconductor
Renesas

Renesas ผู้ผลิตชิปเฉพาะทางจากญี่ปุ่นเปิดตัว ForgeFPGA ชิป FPGA เน้นราคาประหยัดสำหรับงานที่ความซับซ้อนไม่สูงนัก แต่ต้องการวงจรเฉพาะทาง สำหรับงานที่ต้องการประหยัดพลังงานหรือต้องการเวลาตอบสนองการทำงานที่แม่นยำมากๆ

ชิปตระกูล ForgeFPGA จะเน้นกลุ่มที่ต้องการวงจรซับซ้อนน้อยกว่า 5,000 เกต สองรุ่นแรกมีขนาด 1,000 และ 2,000 Look Up Tables (LUTs) รุ่นเล็กสุดมีอัตราการกินพลังงานขณะที่วงจรไม่ได้ทำงานจะกินกระแสเพียง 20 ไมโครแอมป์

Read more

Prometheus เพิ่มโหมด Agent สำหรับรันบน IoT เก็บข้อมูลไว้ที่ตัวเองแค่ชั่วคราว

By lew Founder on Tag: Prometheus, CNCF
Prometheus

Prometheus ซอฟต์แวร์เก็บค่ามาตรวัด (metric) ที่ได้รับความนิยมจนเป็นมาตรฐานในกลุ่ม Kubernetes เตรียมเพิ่มโหมด Agent ในเวอร์ชั่น 2.32.0 ที่กำลังจะออกมา เพื่อรองรับเคสใช้งานสำหรับระบบปลายทาง เช่นระบบ IoT ที่ไม่ต้องการเก็บข้อมูลย้อนหลังยาวๆ ไว้กับตัว

ตัว Prometheus เองมีฟีเจอร์ Remote Write สำหรับส่งต่อข้อมูลจากข้ามเซิร์ฟเวอร์ Prometheus กันอยู่แล้ว และหลายคนก็ใช้ฟีเจอร์นี้ในการเก็บข้อมูลที่เซิร์ฟเวอร์ปลายทาง แต่หากรันในโหมด Agent ตัว Prometheus จะเขียนข้อมูลลง TSDB WAL และลบข้อมูลที่ส่งต่อไปยังเซิรฟเวอร์ปลายทางสำเร็จทันที ทำให้กินพื้นที่ดิสก์ในเซิร์ฟเวอร์ปลายทางน้อยลงมาก

Read more

นักวิจัยระบุช่องโหว่ Rowhammer ยังเปลี่ยนค่าในแรมได้แทบทุกยี่ห้อ แม้ผู้ผลิตพยายามปิดช่องโหว่แล้ว

By lew Founder on Tag: Memory, Security
Memory

การโจมตีแรมแบบ Rowhammer เป็นช่องโหว่ที่ทีม Project Zero ของกูเกิลสาธิตมาตั้งแต่ปี 2015 โดยอาศัยการเปลี่ยนค่าในหน่วยความจำซ้ำๆ จนกระทั่งหน่วยความจำแถว "ข้างๆ" นั้นเปลี่ยนค่าไปด้วย และหลังมีรายงานออกมาผู้ผลิตแรมก็พยายามเพิ่มกระบวนการป้องกันการเปลี่ยนข้อมูลเช่นนี้ ล่าสุดทีมวิจัย COMSEC จากมหาวิทยาลัย ETH Zürich ก็ประสบความสำเร็จในการโจมตีแบบ Blacksmith ที่พัฒนาเทคนิคต่อจาก Rowhammer จนเปลี่ยนค่าในแรมได้แทบทุกยี่ห้อในตลาด

Read more

เงินคริปโตราคาตกยกกระดานหลังไบเดนผ่านกฎหมายตามเก็บภาษี บังคับยืนยันตัวตน

By lew Founder on Tag: USA, Cryptocurrency
USA

เมื่อคืนที่ผ่านมาประธานาธิบดีโจ ไบเดน ลงนามกฎหมายปรับปรุงโครงสร้างพื้นฐานสหรัฐฯ (infrastructure bill) ที่เตรียมลงทุนปรับปรุงโครงสร้างรวมมูลค่าถึง 1 ล้านล้านดอลลาร์สหรัฐฯ หรือ 33 ล้านล้านบาท แต่ส่วนหนึ่งของกฎหมายระบุถึงแนวทางการเก็บภาษีเงินคริปโตทำให้เงินแทบทุกสกุลราคาตกลงโดยถ้วนหน้า

Read more

รัฐบาลสหรัฐฯ ปรับการจ้างบุคลากรด้านความมั่นคงไซเบอร์ กระบวนการกระชับ เงินเดือนแข่งขันได้

By lew Founder on Tag: USA, Security
USA

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ ประกาศปรับกับกระบวนการจ้างบุคลากรด้านความมั่นคงไซเบอร์ใหม่ทั้งชุด โดยปรับ 3 ด้านจากการจ้างงานราชการอื่นๆ ได้แก่

Read more

Cloudflare แปลงบริการ Workers เป็นเซิร์ฟเวอร์คลาวด์เต็มตัว เชื่อมต่อ SQL, MongoDB, TCP กับหลังบ้าน

By lew Founder on Tag: Cloudflare, Serverless
Cloudflare

บริการ Cloudflare Workers เดิมเป็นบริการแบบ severless ที่ค่อนข้างจำกัด โดยเฉพาะการเก็บข้อมูลระยะยาวที่มีเพียงฐานข้อมูล key-value ในชื่อ Cloudflare Workers KV เป็นหลักเท่านั้น สัปดาห์นี้ทาง Cloudflare ก็เปิดบริการชุดใหม่ที่ทำให้บริการ Workers สามารถทำงานเต็มรูปแบบได้มากขึ้น

บริการพื้นฐานที่สุดคือการเปิด TCP จาก Workers ไปยังเซิร์ฟเวอร์อื่นๆ ที่เชื่อมต่อกับเน็ตเวิร์คของทาง Cloudflare ผ่านทางท่อ cloudflared ความสามารถนี้ทำให้ Workers สามารถเชื่อมต่อฐานข้อมูลภายนอก เช่น MySQL, PostgreSQL, หรือ SQL Server ได้

Read more

Cloudflare รายงานการโจมตี DDoS เกือบ 2 เทราบิตต่อวินาที อาศัยเซิร์ฟเวอร์ GitLab ที่ถูกแฮกร่วมด้วย

By lew Founder on Tag: Cloudflare, DDoS, Security
Cloudflare

Cloudflare รายงานถึงการโจมตีแบบ DDoS ครั้งใหญ่ที่สุดที่เคยพบเมื่อสัปดาห์ที่ผ่านมา ปริมาณข้อมูลสูงสุดเกือบ 2 เทราบิตต่อวินาที โดยอาศัย botnet จำนวน 15,000 เครื่องที่ส่วนใหญ่เป็นอุปกรณ์ IoT ที่ถูกแฮก รอบนี้พบว่ามีเซิร์ฟเวอร์ GitLab ที่ไม่ได้แพตช์ถูกใช้งานร่วมด้วย

การโจมตีกินเวลาเพียงนาทีเดียวเท่านั้น แต่ก็เป็นสัญญาณว่าแฮกเกอร์สามารถโจมตีรุนแรงขึ้นเรื่อยๆ อย่างต่อเนื่อง เมื่อเดือนตุลาคมที่ผ่านมา Azure ก็เคยรายงานการโจมตีขนาด 2.4 เทราบิตต่อวินาทีมาแล้ว

Read more

Starlink เริ่มขายจานรุ่นใหม่แบบสี่เหลี่ยม ขนาดเล็กลงตัดพอร์ตแลน แต่ราคาเท่าเดิม

By lew Founder on Tag: Starlink, SpaceX
Starlink

Starlink เริ่มวางขายจานดาวเทียมรุ่นใหม่ทรงสี่เหลี่ยมมีขนาดเล็กลงเหลือ 50x30 ตารางเซนติเมตรน้ำหนัก 4.2 กิโลกรัม เทียบกับรุ่นเดิมที่เป็นวงกลมเส้นผ่านศูนย์กลาง 59 เซนติเมตร หนักถึง 7.3 กิโลกรัม

ตัวเราท์เตอร์ของจานรุ่นใหม่เป็น MIMO 3x3 ดีกว่ารุ่นเดิมที่เป็น 2x2 แต่กลับตัดพอร์ตแลนออก แล้วขายแยกเป็นอุปกรณ์เสริม สเปคที่เปลี่ยนแปลงสำคัญคือจานรุ่นใหม่สามารถทำงานที่อุณหภูมิ -30 องศาเซลเซียสได้ด้วย จากรุ่นเดิมที่สเปคทำงานได้ที่ 0 องศาเท่านั้น นับว่าเป็นจุดสำคัญโดยเฉพาะ Starlink เน้นให้บริการพื้นที่ห่างไกลแถบด้านเหนือของโลกเป็นหลักในตอนนี้

Read more

Roblox แยกโครงการ Luau ภาษาโปรแกรมมิ่งที่ใช้ในเกมออกเป็นโครงการโอเพนซอร์ส

By lew Founder on Tag: Roblox, Programming, Lua
Roblox

Roblox แพลตฟอร์มวิดีโอเกมตัวเหลี่ยมประกาศแยกโครงการภาษาโปรแกรมมิ่ง Luau ที่พัฒนาจากภาษา Lua แต่เขียนใหม่เกือบทั้งหมดออกมาเป็นโครงการแยกจากตัว Roblox เอง ออกมาเป็นภาษาโปรแกรมมิ่งโอเพนซอร์สที่ชุมชนสามารถเสนอความเปลี่ยนแปลงได้เอง

ตัวภาษา Luau ทำงานร่วมกับ Lua 5.1 ได้ แต่จะพัฒนาแยกไปตามแนวทางของตัวเอง โดยความต้องการของ Roblox คือการวิเคราะห์โค้ดอย่างละเอียดก่อนรันเนื่องจากตัว Roblox เป็นแพลตฟอร์มที่ต้องรับโค้ดจากนักพัฒนาภายนอก ทำให้ภาษา Lua มีข้อจำกัดเนื่องจากตัว parser โค้ดนั้นฝังรวมกับคอมไพล์เลอร์ นอกจากนี้ตัวไลบรารีของ Luau จะถูกปรับแต่งให้ทำงานใน sandbox ได้อย่างปลอดภัย

Read more

ลูบคม เซิร์ฟเวอร์ FBI ถูกใช้ส่งเมลหลอก แฮกเกอร์อาศัยพอร์ทัลที่มีช่องโหว่

By lew Founder on Tag: FBI
FBI

ช่วงสัปดาห์ที่ผ่านมาผู้ดูแลระบบนับพันรายได้รับอีเมลแจ้งเตือนภัยไซเบอร์โดยส่งมาจากโดเมน ic.fbi.gov ว่าระบบถูกแฮก โดยอีเมลนี้ส่งมาจากเซิร์ฟเวอร์ของ FBI จริง ทำให้ผู้รับอีเมลไม่สามารถแยกแยะได้เลยว่าเมลใดเป็นเมลหลอก

ระบบที่มีช่องโหว่นี้เป็นระบบพอร์ทัลของหน่วยงานบังคับกฎหมายของสหรัฐฯ หรือ Law Enforcement Enterprise Portal (LEEP) สำหรับหน่วยงานต่างๆ มาแชร์ข้อมูลข่าวสารกัน แต่ทาง FBI เปิดให้ใครก็ได้สมัครสมาชิก เมื่อกรอกข้อมูลครบแล้ว ระบบจะส่งอีเมลยืนยันไปยังอีเมลที่ใช้สมัครซึ่งเป็นเรื่องปกติของเว็บจำนวนมาก

Read more

เฟซบุ๊กโชว์ปัญญาประดิษฐ์แปลภาษาแบบหลายภาษา คุณภาพการแปลชนะโมเดลภาษาเดียว

By lew Founder on Tag: Meta, Facebook, Artificial Intelligence
Meta

เฟซบุ๊ก (Meta) ประกาศความสำเร็จในการพัฒนาโมเดลปัญญาประดิษฐ์สำหรับการแปลภาษาหลายภาษา (multilingual translation) ที่ชนะโมเดลปัญญาประดิษฐ์แปลภาษาที่เจาะจงคู่ภาษาถึง 10 คู่ภาษาจาก 14 คู่ภาษา

แนวทางของเฟซบุ๊กสร้างโมเดลแปล 7 ภาษาเป็นภาษาอังกฤษ และโมเดลสำหรับแปลภาษาอังกฤษเป็นภาษาทั้ง 7 นั้นฝึก โดยโมเดลทั้งสองโดยใช้เทคนิคต่างๆ เช่น การค้นหาเอกสารที่แปลแล้วในเว็บ, หรือการใช้เอกสารภาษาเดียวเพื่อฝึกจากปัญญาประดิษฐ์แปลภาษาที่มีอยู่แล้ว (back translation), และการปรับแต่งโมเดลด้วยข้อมูลเฉพาะทาง (in-domain finetuning)

Read more

Costco ถูกวางยาติดตั้งเครื่องขโมยข้อมูลบัตรเครดิต แจ้งเตือนลูกค้าแล้ว

By lew Founder on Tag: Security, Credit Card, Skimmer
Security

Costco ร้านค้าส่งยอดนิยมในสหรัฐฯ แจ้งเตือนลูกค้าว่ามีข้อมูลรั่วไหล หลังจากตรวจพบว่าเครื่องรับบัตรเครดิตถูกติดตั้งเครื่องขโมยข้อมูลบัตรเครดิต/เดบิต (skimmer) ทำให้คนร้ายอาจจะได้ข้อมูลบัตรของลูกค้าทุกคนที่เคยรูดจ่ายเงินผ่านเครื่องรับบัตรนั้น

ดูเหมือนว่าทาง Costco ยังไม่สามารถยืนยันได้ว่าคนร้ายเคยดึงข้อมูลบัตรออกไปจากเครื่องหรือยัง ประกาศแจ้งเตือนจึงเพียงคาดการณ์ผลกระทบว่าหากคนร้ายดึงข้อมูลออกไปแล้ว จะได้ข้อมูล หมายเลขบัตร, ชื่อ-นามสกุล, วันหมดอายุ, และหมายเลข CVV ในแถบแม่เหล็ก

Read more

ไมโครซอฟท์แจ้งเตือนแฮกเกอร์ซ่อนมัลแวร์ด้วยเทคนิค HTML smuggling หลบไฟร์วอลล์ป้องกันเว็บและอีเมล

By lew Founder on Tag: Microsoft, Security
Microsoft

ทีมวิจัยความปลอดภัยของไมโครซอฟท์รายงานถึงการโจมตีแบบเจาะจงเป้าหมายจากกลุ่มแฮกเกอร์หลายกลุ่มว่าเริ่มใช้เทคนิค HTML smuggling เพื่อเจาะเข้าเครื่องของเหยื่อมากขึ้นเรื่อยๆ โดยอาศัยการหลอกล่อผู้ใช้ให้คลิกหรือเปิดไฟล์หลายครั้งเพื่อหลบหลีกการตรวจสอบของไฟร์วอลล์แบบต่างๆ ที่อาจจะตรวจสอบอีเมลและเนื้อหาในเว็บ

กระบวนการ HTML smuggling อาศัยการส่งอีเมลหาเหยื่อเหมือน phishing ทั่วๆ ไป แต่แทนที่จะหลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์โดยตรงก็อาศัยผู้ใช้ให้ดาวน์โหลดไฟล์จาวาสคริปต์ที่อยู่ในไฟล์ zip มารันในเครื่องตัวเอง แล้วค่อยใช้จาวาสคริปต์นั้นดาวน์โหลดมัลแวร์มายังเครื่องผู้ใช้อีกต่อหนึ่ง

Read more

Raspberry Pi 4 รุ่น 8GB เพิ่มความเร็วโหมดเทอร์โบเมื่อใช้ระบบปฎิบัติการรุ่นใหม่

By lew Founder on Tag: Raspberry Pi
Raspberry Pi

Raspberry Pi เพิ่งออกระบบปฎิบัติการใหม่ที่พัฒนาต่อจาก Debian Bullseye แต่นอกจากการอัพเดตซอฟต์แวร์ตามปกติแล้ว ความพิเศษของการอัพเดตนี้คือผู้ใช้ RPi 4 รุ่นแรม 8GB จะได้สัญญาณนาฬิกาสูงสุด 1.8GHz แทนที่จะเป็น 1.5GHz เท่าเดิม

Read more