lew | Blognone

Member for : Thu, 11/08/2005 - 11:15

WP MultiLingual ถูกอดีตพนักงานแฮกแก้หน้าเว็บ, ส่งเมลบอกลูกค้าว่ามีปัญหาความปลอดภ้ย

By lew

on 21 January 2019 - 13:33 Tag: Security

Security

WP MultiLingual (WPML) ปลั๊กอิน WordPress ที่ได้รับความนิยมอย่างสูง มีลูกค้าจ่ายเงินกว่า 6 แสนรายโดยไม่มีเวอร์ชั่นฟรีถูกแฮกแก้หน้าเว็บและส่งเมลออกไปหาลูกค้าว่าปลั๊กอินมีช่องโหว่หลายรายการและยังไม่มีการแก้ไข

ทาง WPML ออกมาระบุว่าเหตุการณ์นี้เกิดจากอดีตพนักงานวางช่องโหว่ไว้ในระบบ และตอนนี้ทางบริษัทกำลังสร้างเซิร์ฟเวอร์ขึ้นใหม่ทั้งหมดเพื่อล็อกระบบ พร้อมกับแนะนำให้สมาชิกเปลี่ยนรหัสผ่าน แต่ยืนยันว่าตัวปลั๊กอินเองไม่ได้มีช่องโหว่แต่อย่างใด

Podman ออกรุ่น 1.0, รันคอนเทนเนอร์ไม่ต้องมีสิทธิ์ root, ไม่มี daemon

By lew

on 21 January 2019 - 01:07 Tag: Red Hat, Container

Red Hat

Podman โครงการสร้างเอนจินคอนเทนเนอร์ ภายใต้การดูแลของ Red Hat ประกาศรุ่น 1.0 พร้อมสำหรับการใช้งานเป็นการทั่วไปแล้ว

โครงการ Podman พยายามสร้างเอนจินรันคอนเทนเนอร์แบบเดียวกับ Docker Engine ที่ไม่ต้องการ daemon มารันไว้ล่วงหน้า แต่อาศัยการ fork โปรเซสทุกครั้งที่ผู้ใช้สั่งรันคอนเทนเนอร์ขึ้นมา ทำให้กระบวนการรันคอนเทนเนอร์ไม่ต้องการสิทธิ์ root เลย

ในเวอร์ชั่นนี้รองรับคำสั่ง podman play kube สำหรับการรัน YAML ของ Kubnernetes แล้ว, รองรับการเซ็นอิมเมจ, การดึงอิมเมจทำแบบขนานทำให้ความเร็วดีขึ้น

พบช่องโหว่ระบบปฎิบัติการขนาดเล็กบนชิปเน็ตเวิร์ค กระทบอุปกรณ์นับพันล้านชิ้น ทั้งโน้ตบุ๊ก, โทรศัพท์, คอนโซล

By lew

on 20 January 2019 - 23:06 Tag: Embedded, Security

Embedded

Denis Selianin นักวิจัยจากบริษัท Embedi รายงานถึงช่องโหว่ของระบบปฎิบัติการ ThreadX ที่เปิดทางให้แฮกเกอร์ที่อยู่บนเครือข่ายเดียวกันสามารถส่งโค้ดไปรันบนชิปเน็ตเวิร์คได้ โดยช่องโหว่นี้สามารถโจมตีได้ทุกครั้งที่อุปกรณ์สแกนหา access point รอบตัว

[ไม่ยืนยัน] บัตรสะสมแต้มคือแหล่งข้อมูล, พบ T Card ในญี่ปุ่นส่งข้อมูลให้ตำรวจโดยไม่ใช้หมายศาลเป็นประจำ

By lew

on 20 January 2019 - 22:11 Tag: Japan, Privacy

Japan

สำนักข่าว Kyodo News อ้างแหล่งข่าวไม่เปิดเผยตัวและเอกสารภายใน ระบุว่าตำรวจญี่ปุ่นได้รับข้อมูลส่วนตัวจากบริษัท T Card เพื่อใช้ในการสอบสวนคดีอยู่เป็นประจำโดยไม่ต้องขอหมายศาล โดยข้อมูลที่ได้รับมีตั้งแต่ข้อมูลทั่วไปอย่าง ชื่อ, วันเกิด, หมายเลขโทรศัพท์, ไปจนถึงข้อมูลลึกๆ เช่น ข้อมูลการเช่าภาพยนตร์ หรือรายการสินค้าที่ซื้อ

ข้อมูลหลุดแล้วต้องทำอย่างไรต่อ วิธีตรวจอ่านเว็บ ';--have i been pwned?

By lew

on 19 January 2019 - 15:31 Tag: Security

Security

เมื่อคืนที่ผ่านมาข่าวข้อมูลหลุด 773 ล้านรายการคงทำให้หลายคนตกใจ คำแนะนำเบื้องต้นคือหากพบอีเมลตัวเองในเว็บ ';--have i been pwned? (HIBP) ก็ให้เปลี่ยนรหัสผ่านเสียใหม่ นอกจากนี้ในระยะยาวควรหาทางเลือกใช้การล็อกอินหลายขั้นตอน (multifactor authentication) เพื่อลดความเสี่ยงเสีย

อย่างไรก็ดี ข้อมูลหลุดแต่ละครั้งมีความร้ายแรงไม่เท่ากัน ตัวเว็บ HIBP เองแสดงข้อมูลสั้นๆ เพื่อบอกว่าระดับความร้ายแรงอยู่ระดับใด ในบทความนี้เราจะแนะนำจุดสังเกตสำคัญ ดังนี้

ทวิตเตอร์แจ้งเตือนผู้ใช้ หลังพบบั๊กบนแอปแอนดรอยด์ทำแอคเคาน์ล็อคหลุดเป็นสาธารณะ

By lew

on 18 January 2019 - 19:05 Tag: Twitter, Privacy

Twitter

ทวิตเตอร์แจ้งเตือนผู้ใช้ว่าพบบั๊กบนแอปแอนดรอยด์ทำให้แอคเคาน์ที่ล็อคเป็นส่วนตัวสามารถหลุดเป็นสาธารณะได้ โดยบั๊กเริ่มมีตั้งแต่ เดือนพฤศจิกายน 2014 จนกระทั่งเพิ่งแก้ไขไปเมื่อวันที่ 14 มกราคมที่ผ่านมา รวมเวลากว่า 4 ปี

บั๊กนี้ทำให้เจ้าของแอคเคาน์ปลดล็อกโดยไม่รู้ตัวเมื่อปรับค่าบัญชีบางอย่าง เช่น เปลี่ยนอีเมล โดยผู้ใช้ที่เปลี่ยนข้อมูลผ่านเว็บหรือแอป iOS ไม่ได้รับผลกระทบแต่อย่างใด

ทวิตเตอร์ไม่ได้เปิดเผยยอดผู้เสียหายจากบั๊กนี้ บอกเพียงว่าได้ปรับล็อคบัญชีให้กับทุกคนที่ได้รับผลกระทบแล้วพร้อมกับแจ้งตัวผู้ได้รับผลกระทบ

ทิม คุก เรียกร้องสหรัฐฯ ออกกฎหมายควบคุมการขายข้อมูลผู้ใช้เพื่อยิงโฆษณา

By lew

on 18 January 2019 - 18:55 Tag: Tim Cook, Privacy

Tim Cook

ทิม คุก ซีอีโอแอปเปิล เขียนบทความแสดงความเห็นลงนิตยสาร TIME เรียกร้องให้สหรัฐฯ ออกกฎหมายควบคุมการขายต่อข้อมูลเพื่อการโฆษณา ที่เว็บต่างๆ ส่งข้อมูลเข้าไปยัง "โบรกเกอร์" เพื่อเชื่อมโยงข้อมูลเข้าด้วยกัน

กระบวนการส่งต่อช้อมูลผ่านโบรกเกอร์เช่นนี้ ทำให้ผู้ลงโฆษณาสามารถยิงโฆษณาได้อย่างแม่นยำ ตัวอย่างเช่น หากเราเลือกรองเท้าบนเว็บหนึ่ง โบรกเกอร์จะจับคู่เรากับการค้นหารองเท้า และเมื่อเราเข้าเว็บอื่นเช่นเว็บข่าว ก็จะเห็นโฆษณารองเท้าไประยะหนึ่ง

Google Cloud เปิดให้บริการชิปกราฟิก NVIDIA Tesla T4 แรมเยอะ ราคาถูกกว่า

By lew

on 17 January 2019 - 14:27 Tag: Google Cloud, GPU, NVIDIA, NVIDIA Tesla

Google Cloud

Google Cloud Platform ประกาศให้บริการชิปกราฟิกรุ่นล่าสุด NVIDIA Tesla T4 โดยมีจุดแข็งที่แรมเยอะกว่าในราคาที่ถูกว่า โดยราคาในสหรัฐฯ 0.95 ดอลลาร์ต่อชั่วโมงที่มาพร้อมกับแรม GDDR6 16GB

ชิปกราฟิกที่มาพร้อมกับแรม 16GB ก่อนหน้านี้มี Tesla V100 ที่ราคา 2.48 ดอลลาร์ต่อชั่วโมง และ Tesla P100 ที่ราคา 1.46 ดอลลาร์ต่อชั่วโมง

ในแง่พลังประมวลผล Tesla T4 มีพลังประมวลผลต่ำกว่า Tesla V100 เกือบครึ่งๆ แต่รองรับตัวเลขความละเอียดต่ำทั้ง FP16, INT8, และ INT4 ทำให้หากออปติไมซ์โมเดลดีๆ ก็อาจจะได้ประสิทธิภาพไม่แย่ไปนัก

แจ้งเตือน ES File Explorer เปิดเว็บเซิร์ฟเวอร์บนแอนดรอยด์, คนร้ายเข้าควบคุมเครื่องได้

By lew

on 16 January 2019 - 18:43 Tag: Android, Security, Mobile App, ES File Explorer

Android

Elliot Alderson นักวิจัยความมั่นคงปลอดภัยไซเบอร์จากฝรั่งเศสแจ้งเตือนช่องโหว่ของแอป ES File Explorer ที่มีผู้ดาวน์โหลดหลายร้อยล้านคน โดยเมื่อเปิดแอปขึ้นมา ในตัวแอปจะมีเว็บเซิร์ฟเวอร์รอรับคำสั่งจากภายนอก ทำให้คอมพิวเตอร์ในเครือข่ายเดียวกันสามารถยิงคำสั่งเข้ามาควบคุมเครื่องของเหยื่อได้

ไม่เป็นมิตรต่อคลาวด์, ซีอีโอ MongoDB แสดงความไม่พอใจ AWS ระบุ "ทำได้แค่เลียนแบบ API เก่า", Red Hat ถอดแพ็กเกจออกจาก RHEL 8

By lew

on 16 January 2019 - 18:22 Tag: MongoDB, Cloud Computing, AWS, Database, RHEL, Red Hat

MongoDB

หลังจาก AWS เปิดตัว Amazon DocumentDB ไปเมื่อสัปดาห์ก่อน โดยสร้างระบบฐานข้อมูลใหม่ที่มี API ตรงกับ MongoDB 3.6 ทาง Dev Ittycheria ซีอีโอของ MongoDB ก็ให้สัมภาษณ์กับทาง TechCrunch แสดงความไม่พอใจต่อการเปิดตัวครั้งนี้

Ittycheria ระบุว่า DocumentDB มาอาศัยความนิยมของ MongoDB เพื่อทำรายได้ และสิ่งที่ออกมาก็เป็นเพียง "การเลียนแบบที่น่าเศร้า" (poor imitation) และ API ของ MongoDB 3.6 ก็เก่าถึงสองปีแล้วทำให้ขาดฟีเจอร์ใหม่ๆ โดยเฉพาะ ACID, global cluster, และการซิงก์จากอุปกรณ์เคลื่อนที่

Netflix ขึ้นราคาในสหรัฐฯ จาก 8, 11, 14 ดอลลาร์เป็น 9, 13, 16 ดอลลาร์

By lew

on 16 January 2019 - 01:52 Tag: Netflix, Streaming

Netflix

Netflix ประกาศขึ้นราคาค่าสมาชิกในสหรัฐฯ จากเดิมที่แพ็กเกจพื้นฐาน, มาตรฐาน, และพรีเมียม อยู่ที่ 8, 11, 14 ดอลลาร์ตามลำดับ มาเป็น 9, 13, 16 ดอลลาร์ตามลำดับ โดยแพ็กเกจมาตรฐานขึ้นไป 2 ดอลลาร์หรือถึง 18% นับเป็นการขึ้นราคาแรงที่สุดนับแต่เปิดบริการสตรีมมิ่งมา

Tesla ส่งรถเข้าร่วมงาน Pwn2Own, รางวัล 300,000 ดอลลาร์ แฮกได้คนแรกขับ Model 3 กลับบ้าน

By lew

on 15 January 2019 - 22:26 Tag: Pwn2Own, Tesla, Security

Pwn2Own

งานแข่งขันแฮก Pwn2Own ปกติแล้วมักเป็นการแข่งซอฟต์แวร์เช่น เบราว์เซอร์หรือระบบ virtualization ที่มีบริษัทสปอนเซอร์เงินรางวัลให้ แต่ปีนี้ Tesla ก็เข้าเป็นสปอนเซอร์งานด้วย โดยเสนอรางวัลให้การแฮกรถ Tesla Model 3 รางวัลระหว่าง 35,000 ถึง 300,000 ดอลลาร์ ขึ้นกับเงื่อนไข เช่น การยิงจนระบบ Autopilot หยุดทำงานมีรางวัล 50,000 ดอลลาร์ ส่วนการปลดล็อกรถแทนกุญแจมีรางวัล 100,000 ดอลลาร์ การแฮกใดๆ ที่เจาะเครือข่าย CAN ที่เชื่อมต่อระหว่างคอนโทรลเลอร์ในรถได้ จะได้เงินเพิ่มอีก 100,000 ดอลลาร์ และหากสามารถฝังการแฮกให้อยู่ในคอมพิวเตอร์ได้แม้บูตเครื่องใหม่ จะได้อีก 50,000 ดอลลาร์

ไคลเอนต์ SSH มีช่องโหว่ถูกเซิร์ฟเวอร์ส่งไฟล์ใดๆ มาทับไฟล์บนเครื่องได้: OpenSSH,PuTTY, WinSCP กระทบหมด

By lew

on 15 January 2019 - 10:49 Tag: OpenSSH, Security

OpenSSH

Harry Sintonen นักวิจัยความปลอดภัยจาก F-Secure รายงานถึงช่องโหว่ของไคลเอนต์ SSH เมื่อทำงานในโหมดส่งไฟล์ (SCP) ว่าไคลเอนต์หลักๆ ล้วนมีช่องโหว่ทำให้เซิร์ฟเวอร์ที่มุ่งร้ายสามารถส่งไฟล์ใดๆ เข้ามาทับไฟล์บนเครื่องได้

ช่องโหว่แบ่งออกเป็น 4 กรณี

สลบแต่ไม่ตาย, Coincheck ได้รับใบอนุญาตเปิดตลาดซื้อขายเงินคริปโต หลังจากถูกแฮกกว่าหมื่นล้านบาทปีที่แล้ว

By lew

on 14 January 2019 - 13:39 Tag: Cryptocurrency, Japan

Cryptocurrency

Coincheck บริษัทแลกเปลี่ยนเงินคริปโตได้รับใบอนุญาตเปิดตลาดจาก FSA (Financial Services Agency) หน่วยงานกำกับดูแลบริการทางการเงินของญี่ปุ่น แม้ปีที่แล้วจะถูกแฮกเงิน NEM ออกไป 523 ล้าน XEM และต้องชดใช้เงินให้กับลูกค้า 46,000 ล้านเยน หรือประมาณ 13,500 ล้านบาท

หรือจะแบนอีกราย, โปแลนด์อาจทบทวนการใช้อุปกรณ์หัวเว่ยในหน่วยงานรัฐ เรียกร้องชาตินาโต้พิจารณาร่วมกัน

By lew

on 14 January 2019 - 13:14 Tag: Huawei, Poland

Huawei

หลังจากรัฐบาลโปแลนด์จับกุม Weijing Wang ผู้อำนวยการฝ่ายขายของหัวเว่ยโปแลนด์ไปตั้งแต่วันศุกร์ที่ผ่านมา แหล่งข่าวให้ข่าวกับทางรอยเตอร์ส ระบุว่ารัฐบาลอาจทบทวนการใช้อุปกรณ์หัวเว่ยในหน่วยงานรัฐ แม้จะไม่มีอำนาจไปกำหนดให้หน่วยงานเอกชนใช้อุปกรณ์จากบริษัทใดเป็นพิเศษ

ขณะที่ Joachim Brudzinski รัฐมนตรีกระทรวงมหาดไทยโปแลนด์ระบุว่ามีความกังวลในหมู่ชาตินาโต้อยู่แล้ว และเขาเชื่อว่าชาตินาโต้ควรแสดงจุดยืนร่วมกัน

โฆษกหน่วยงานความมั่นคงของโปแลนด์ให้ข่าวกับทางรอยเตอร์สเพิ่มเติมว่าการจับกุม Wang เป็นการทำความผิดส่วนบุคคล และไม่ได้เกี่ยวโดยตรงกับ Huawei Technologies

กต.ฟิลิปปินส์ไม่ต่อสัญญาเอาต์ซอร์ส บริษัทเอาข้อมูลออกไป, ทางการต้องพิสูจน์เจ้าของหนังสือเดินทางใหม่หมด

By lew

on 14 January 2019 - 01:18 Tag: Philippines, Outsourcing

Philippines

กระทรวงต่างประเทศฟิลิปปินส์ไม่ต่อสัญญาจ้างบริษัทเอาต์ซอร์สที่ดูแลระบบหนังสือเดินทางให้ และหลังจากไม่ต่อสัญญาบริษัทก็ "นำข้อมูลออกไป" ทั้งหมด ทำให้ทางกระทรวงต่างประเทศไม่มีข้อมูลใช้งาน

ตอนนี้กระทรวงต่างประเทศฟิลิปปินส์ต้องใช้ใบเกิดในการออกหนังสือเดินทาง เพื่อสร้างฐานข้อมูลขึ้นมาใหม่ทั้งหมด

ขณะที่คณะกรรมการข้อมูลส่วนบุคคลฟิลิปปินส์ (National Privacy Commission - NPC) กำลังเรียกทั้งบริษัทเอาต์ซอร์สและผู้เกี่ยวข้องมาให้ปากคำเพราะกรณีนี้เกี่ยวข้องกับข้อมูลส่วนบุคคลจำนวนมาก

หัวเว่ยไล่ผู้อำนวยการฝ่ายขายในโปแลนด์ออก หลังถูกจับข้อหาสายลับ

By lew

on 13 January 2019 - 04:04 Tag: Huawei, Poland

Huawei

หัวเว่ยไล่ Weijing W. หรือ Stanislaw Wang ผู้อำนวยการฝ่ายขายของหัวเว่ยโปแลนด์ออกจากความเป็นพนักงานของบริษัท พร้อมส่งแถลงการณ์ไปยังสื่อว่าข้อหาที่ Wang ถูกกล่าวหานั้นไม่เกี่ยวข้องกับบริษัท หลังจาก Wang ถูกทางการโปแลนด์จับกุมเพียงหนึ่งวัน

แถลงการณ์ยังระบุว่าการยุติสภาพพนักงานเป็นไปตามสัญญาจ้างของบริษัท เพราะคดีความส่วนตัวของพนักงานสร้างความเสียหายให้ความน่าเชื่อถือของบริษัทเอง

ขณะที่สถานทูตจีนแสดงความกังวลต่อคดีนี้ และกำลังดำเนินการเพื่อขอเข้าเยี่ยม Wang

ผู้อำนวยการฝ่ายขายหัวเว่ยโปแลนด์ถูกจับในโปแลนด์ข้อหาสายลับ

By lew

on 11 January 2019 - 21:48 Tag: Huawei, Poland

Huawei

หน่วยงานต่อต้านข่าวกรองโปแลนด์ (Agencja Bezpieczeństwa Wewnętrznego - ABW) จับกุมชาวจีนระบุชื่อว่า Weijing W. หรือ Stanislaw Wang ผู้อำนวยการฝ่ายขายของหัวเว่ยโปแลนด์ ในข้อหาสายลับ

เขาถูกจับพร้อมกับชายชาวโปแลนด์ชื่อว่า Piotr D. เป็นอดีตเจ้าหน้าที่ข่าวกรองอีกหนึ่งคน โดยตอนนี้ยังไม่มีรายละเอียดของการจับกุม

หัวเว่ยออกแถลงการณ์สั้นๆ ระบุเพียงว่ารับทราบเรื่องราวแล้ว และยังไม่มีความเห็นในตอนนี้ พร้อมกับยืนยันว่าบริษัททำตามกฎหมายในประเทศที่เข้าไปทำธุรกิจ ส่วนกระทรวงต่างประเทศจีนออกมาแสดงความกังวล และขอให้ทางโปแลนด์รักษาสิทธิ์ของผู้ถูกคุมตัว

บริษัทประกันไม่จ่ายค่าสินไหมเจ้าของ Oreo หลังถูก NotPetya โจมตี, ระบุการโจมตีแบบนี้เป็นการทำสงคราม

By lew

on 11 January 2019 - 13:05 Tag: Security, Ransomware

Security

Mondelez International บริษัทผู้เป็นเจ้าของแบรนด์ขนม เช่น Chips Ahoy!, Nabisco, Oreo, Ritz, Dentyne, Chiclets, และ Halls ยื่นฟ้องบริษัทประกัน Zurich American Insurance Company (ZAIC) เป็นเงิน 100 ล้านดอลลาร์ หลังบริษัทถูกโจมตีด้วยมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ NotPetya

คอมพิวเตอร์ของ Mondelez ได้รับผลกระทบเป็นวงกว้าง เซิร์ฟเวอร์จำนวน 1,700 เครื่อง และโน้ตบุ๊กอีก 24,000 เครื่อง โดยทาง ZAIC จ่ายเงินเบื้องต้นให้ 10 ล้านดอลลาร์

สิบปีอัพที Bash ออกรุ่น 5.0: มีตัวแปรชื่อสคริปต์, ตัวแปรบอกเวลา EPOCH, ลบประวัติคำสั่งเป็นช่วงได้

By lew

on 11 January 2019 - 12:38 Tag: Open Source, GNU

Open Source

Bash (Bourne Again SHell) ระบบคอนโซลแบบ command line ที่ได้รับความนิยมสูงสุดในลินุกซ์ออกเวอร์ชั่น 5.0 หลังจากรุ่น 4.0 ออกมาตั้งแต่เดือนกุมภาพันธ์ปี 2009 หรือเกือบสิบปีก่อน

ความเปลี่ยนแปลงยิบย่อยมีจำนวนมาก ความเปลี่ยนแปลงสำคัญ เช่น