lew | Blognone

Member for : Thu, 11/08/2005 - 11:15

เวลาไม่ช่วยอะไร ปลั๊กอินยอดฮิตใน Wordpress เปิดช่องทางสำหรับแฮกเว็บ

By lew

on 6 March 2016 - 02:20 Tag: Security, WordPress

Security

ปกติแล้วคำแนะนำในการลงปลั๊กอินสำหรับคนทั่วไปคงเป็นการเลือกปลั๊กอินที่เป็นที่รู้จักพอสมควร, มีการใช้งานกว้างขวาง, และมีประวัติยาวนาน แต่ปลั๊กอิน Custom Content Type Manager (CCTM) สำหรับ WordPress กลับมีพฤติกรรมแฮกเว็บของผู้ใช้ (ทั้งที่มีคุณสมบัติปลั๊กอินที่น่าเชื่อถือแทบทุกประการ) แต่ทีมงานบริษัทความปลอดภัย Sucuri ก็พบว่ามันใส่ช่องโหว่ให้กับเว็บที่ดาวน์โหลดไปใช้งานอย่างจงใจ

ซิสโก้ปล่อยแพตช์ NX-OS หลังมีบัญชีผู้ใช้และรหัสผ่านตายตัว เข้าใช้งานจากระยะไกลได้

By lew

on 4 March 2016 - 12:13 Tag: Cisco, Security

Cisco

ซิสโก้ปล่อยแพตช์ NX-OS สำหรับสวิตช์ Nexus ตระกูล 3000 และ 3500 หลังพบว่ามีบัญชีผู้ใช้ในระบบพร้อมรหัสผ่านที่ไม่สามารถเปลี่ยนได้มาแต่แรก

บัญชีที่ล็อกมากับตัวโค้ดนี้ทำให้แฮกเกอร์ที่รู้ชื่อบัญชีและรหัสผ่านสามารถล็อกอินเข้าตัวสวิตช์ได้ทั้งคอนโซล, telnet, และ SSH โดย NX-OS รุ่น 6.0(2)A6(1) จะใช้บัญชีเหล่านี้ผ่าน SSH ได้ขณะที่รุ่นอื่นๆ จะเข้าใช้งานระยะไกลผ่าน telnet ได้เท่านั้น ทางแก้ไขชั่วคราวสำหรับหน่วยงานที่ยังไม่พร้อมจะอัพเกรดคือการปิด telnet เสีย

ช่องโหว่นี้ได้หมายเลข CVE-2016-1329 มีความเสี่ยงตาม CVSS ระดับ 10.0 ควรแก้ไขโดยเร็วครับ

ODRIOD-C2 บอร์ด ARM 64 บิต, แรม 2GB ราคา 40 ดอลลาร์

By lew

on 3 March 2016 - 13:31 Tag: South Korea, Single Board Computer, ODROID

South Korea

หลายคนอาจจะยังตื่นเต้นกับ Raspberry Pi 3 ที่ปรับมาใช้ Cortex-A53 ที่เป็น 64 บิต ฝั่งเกาหลีทาง Hardkernel ก็ออกบอร์ด ODROID-C2 ที่อัพเดตซีพียูและเพิ่มแรม

ซีพียูของ ODROID-C2 ใช้ชิปจาก Amlogic เป็น Cortex-A53 สี่คอร์ พร้อมกราฟิก Mali-450 แรม 2GB พอร์ตอีเธอร์เน็ตกิกะบิต ขา GPIO อีก 40 ขาพร้อมพอร์ต I2S สำหรับการส่งสัญญาณเสียง

ซอฟต์แวร์รองรับทั้ง Ubuntu 16.04 และ Android 5.1 ฝั่ง Ubuntu นั้นตอนนี้ยังไม่เสถียร และทาง HardKernel ระบุว่าต้องใช้เวลาแก้ไขอีกสักพักจึงใช้งานได้จริง

กลาโหมสหรัฐฯ เปิดโครงการแฮกเว็บได้ให้รางวัล

By lew

on 3 March 2016 - 12:55 Tag: Security, USA

Security

กระทรวงกลาโหมสหรัฐฯ หรือเพนตากอนประกาศโครงการ "Hack the Pentagon" เปิดโอกาสให้แฮกเกอร์ภายนอกสามารถสำรวจหาช่องโหว่ของเว็บเพนตากอนพร้อมเงินรางวัลเมื่อพบช่องโหว่

แม้จะเปิดให้คนนอกหน่วยงานเข้าร่วมได้ แต่คนที่จะเข้าร่วมก็จำกัดเฉพาะพลเมืองสหรัฐฯ และต้องส่งประวัติให้ตรวจสอบก่อนเท่านั้น เซิร์ฟเวอร์ที่เข้าร่วมจะเป็นเว็บที่เชื่อมต่ออินเทอร์เน็ตเท่านั้น ห้ามไปแฮกเครือข่ายหลังบ้านของเพนตากอน

LoPy ประกาศความร่วมมือ Espressif เตรียมใช้ ESP32

By lew

on 3 March 2016 - 01:04 Tag: Python, Internet of Things, Espressif

Python

เมื่อเดือนที่แล้ว Pycom ผู้ผลิตบอร์ด IoT ประกาศระดมทุนบอร์ด LoPy เกตเวย์สำหรับ IoT ที่เชื่อมต่อกับอุปกรณ์ด้วยมาตรฐาน LoRa ตอนนี้โครงการระดมทุนได้เกินเป้าหมายไปเรียบร้อย (ตั้งเป้า 50,000 ปอนด์ตอนนี้เกิน 100,000 ปอนด์แล้ว) แต่ความคืบหน้าล่าสุดกลับน่าสนใจกว่า เมื่อทาง Pycom ระบุว่าจะใช้ชิป ESP32 จาก Espressif

กูเกิลรายงานความทนทาน SSD: MLC ความทนทานไม่ต่างกับ SLC/eMLC นัก

By lew

on 2 March 2016 - 17:13 Tag: Google, USENIX, SSD, Storage

Google

กูเกิลออกรายงาน "Flash Reliability in Production" ในงานประชุม USENIX FAST 2016 สำรวจความทนทานของ SSD สิบรุ่นที่กูเกิลใช้งาน รวมระยะเวลาทั้งหมดนับล้านวันทำงาน (กูเกิลระบุว่าจำนวนไดรฟ์เป็นความลับ) โดยแยก SSD ตามเทคโนโลยีการผลิต 3 กลุ่ม ได้แก่ MLC, SLC, และ eMLC ที่โดยทั่วไปแล้ว MLC มักมีราคาถูกกว่า และมักจะเชื่อกันว่า eMLC และ SLC นั้นทนทานกว่า

แบ่งปันความลับโดยไม่มีใครรู้ Diffie และ Hellman ได้รับรางวัล Turing

By lew

on 2 March 2016 - 12:29 Tag: Cryptography

Cryptography

Association for Computing Machinery (ACM) ประกาศผู้รับรางวัล Turing รางวัลใหญ่ในวงการวิชาการคอมพิวเตอร์ที่มีเงินรางวัลถึง 1 ล้านดอลลาร์ ประจำปี 2015 ให้กับ Whitfield Diffie และ Martin E. Hellman สองผู้ร่วมคิดค้นกระบวนการแลกกุญแจ Diffie-Hellman (DH)

ช่องโหว่ DROWN เปิดทางให้แฮกเกอร์ถอดรหัสการเชื่อมต่อ TLS ในเซิร์ฟเวอร์ที่รับ SSLv2

By lew

on 2 March 2016 - 00:57 Tag: Security, SSL, TLS, OpenSSL

Security

ทีมวิจัยรายงานการโจมตี DROWN ที่สามารถถอดรหัสการเชื่อมต่อ TLS รุ่นใหม่ๆ (ทดสอบใน TLS 1.2) ได้สำเร็จ โดยกระบวนการนี้แม้จะอันตรายมากแต่ก็มีเงื่อนไขหลายอย่าง ได้แก่

มีส่วนร่วมแบบไม่มีให้อ่าน, สามองค์กรเรียกร้องรัฐบาลเปิดเผยร่างล่าสุดกฎหมายความมั่นคงไซเบอร์

By lew

on 1 March 2016 - 20:51 Tag: Thailand, Privacy, Law

Thailand

สามองค์กรได้แ่ก Amnesty International, Thai Netizen, และ iLaw ยื่นหนังสือต่อเลขาธิการคณะรัฐมนตรี ให้เปิดเผยร่างกฎหมายความมั่นคงไซเบอร์และกฎหมายที่เกี่ยวข้องที่เปิดเผยออกมาเมื่อปีที่แล้ว เพื่อให้แน่ใจว่ากฎหมายจะสอดคล้องกับหลักสิทธิมนุษยชน

ทางเครือข่ายพลเมืองเน็ตรายงานถึงความคืบหน้าของร่างกฎหมายนับจากที่มีการเปิดเผยมาเมื่อต้นปีที่แล้ว พบว่าร่างกฎหมายบางร่างที่มีฉบับใหม่ให้อ่านบ้าง เช่น

ป้องกันข้อมูลรั่วไหล องค์กรที่ใช้ Google Apps Unlimited สามารถตั้งฟิลเตอร์กรองข้อมูลจากภาพก่อนส่งเมล

By lew

on 1 March 2016 - 20:05 Tag: Google, Privacy, Google Apps, Enterprise

Google

Gmail DLP เป็นบริการสำหรับองค์กรที่ใช้ Google Apps Unlimited ที่เปิดตัวในปีที่แล้ว เป็นฟิลเตอร์สำหรับป้องกันพนักงานส่งข้อมูลออกจากองค์กร ตอนนี้ DLP เพิ่มความสามารถขึ้นหลายอย่างเพื่อให้ควบคุมข้อมูลได้มากขึ้น ฟีเจอร์สำคัญคือการทำ OCR ภาพก่อนส่งข้อมูลออก ทำให้การส่งภาพแนบไปกับอีเมลก็สามารถตรวจสอบได้

นอกจากการทำ OCR แล้ว DLP รุ่นใหม่ยังมีกฎที่ตั้งไว้ล่วงหน้าสำหรับข้อมูลที่มีการควบคุมทั่วไป เช่น ข้อมูลระดับตัวตน (personally identifiable information - PII), หรือข้อมูลสุขภาพ และยังตั้งระดับความเสี่ยงได้ เช่นการส่งข้อมูลบัตรเครดิตจำนวนมากๆ แสดงว่ามีความผิดปกติ

สพธอ. ประกาศรับสมัครผู้เชี่ยวชาญความปลอดภัยไซเบอร์ 30 อัตรา

By lew

on 1 March 2016 - 19:32 Tag: Security, Thailand, ETDA

Security

หน่วยงานภาครัฐช่วงหลังรับสมัครผู้เชี่ยวชาญความปลอดภัยไซเบอร์กันมากขึ้นเรื่อยๆ (บ้างไม่ระบุเงินเดือน, บ้างให้หมื่นห้า) ตอนนี้หน่วยงานที่ทำหน้าที่ผลักดันความปลอดภัยไซเบอร์อย่างสพธอ. ก็ออกมาระดมคนในตำแหน่ง Cybersecurity Expert ครั้งใหญ่ทีเดียวถึง 30 อัตรา

Banana Pi เปิดตัวบอร์ด BPI-M2+ เปลี่ยนไปใช้ซีพียู Allwinner H3

By lew

on 1 March 2016 - 19:16 Tag: Single Board Computer, Banana Pi

Single Board Computer

Banana Pi อัพเดตบอร์ดตระกูล M2 ที่เปิดตัวมาเมื่อปีที่แล้ว เป็น M2+ เปลี่ยนรูปแบบบอร์ดกลายสี่เหลี่ยมจตุรัส ขนาด 65x65 ตารางมิลลิเมตร

ตัวบอร์ดใช้ Allwinner H3 เทียบกับรุ่น M2 ที่ใช้ Allwinner A31S มีพอร์ตอีเธอร์เน็ตกิกะบิตและ Wi-Fi มาในตัว แต่ไม่มี SATA เช่นเดียวกับ M2 บนตัวบอร์ดเองมี eMMC ขนาด 8GB มาให้แต่แรก

ยังไม่แจ้งราคาและวันเริ่มจำหน่าย

Windows 10 IoT Core รองรับ Raspberry Pi 3 แล้ว

By lew

on 29 February 2016 - 22:40 Tag: Raspberry Pi, Windows 10, Microsoft

Raspberry Pi

Raspberry Pi 3 เปิดตัวเป็นทางการวันนี้ ฝั่งไมโครซอฟท์ก็ออกมาเปิดตัว Windows 10 IoT Core รุ่น Insider Preview ก็ออกอัพเดตให้รองรับได้ทันที

นอกจากการซัพพอร์ต RPi3 แล้วอัพเดตรอบนี้ยังรองรับ USB Wi-Fi ของทาง Raspberry Pi และรุ่นอื่นๆ เพิ่มเติมอีกหลายรุ่น ปรับปรุงการเข้าถึงพอร์ต UART ให้ง่ายขึ้น

ตอนนี้คงยังไม่มีใครได้บอร์ด แต่ถ้าได้แล้วก็ไปโหลด Insider Preview มาเล่นกันได้เลยครับ

พีซีของคุณไม่ได้เร็วขึ้นสามเท่า ไมโครซอฟท์ปรับเงื่อนไขซอฟต์แวร์ที่ไม่เป็นที่ต้องการ รับฟังความเห็นผู้ใช้

By lew

on 29 February 2016 - 18:16 Tag: Security, Privacy, Unwanted Software, Microsoft

Security

ซอฟต์แวร์ปรับแต่งความเร็วและทำความสะอาดเครื่องออกมาทำตลาดอย่างหนักกันในช่วงหลัง หลายตัวมีพฤติกรรมแปลกๆ เช่นปรับแต่งค่าเบราว์เซอร์โดยไม่ได้รับอนุญาต, ตั้งพรอกซี่ในเครื่อง, ถอนออกยาก ตอนนี้ไมโครซอฟท์ก็ประกาศนโยบายใหม่ ปรับเงื่อนไขของซอฟต์แวร์ที่ไม่เป็นที่ต้องการ (unwanted software) และซอฟต์แวร์มุ่งร้าย (malicious software)

ไมโครซอฟท์ระบุที่มาของการปรับนโยบายครั้งนี้ว่าซอฟต์แวร์ปรับแต่งเครื่องหลายตัวแสดงความผิดพลาดจำนวนมากโดยไม่ชี้แจงที่มาของตัวเลขแต่เน้นความกลัวของผู้ใช้ ซอฟต์แวร์ปรับแต่งความเร็วก็มีบางตัวที่ไปแสดงไฟล์ prefetch ของวินโดวส์ว่าเป็นไฟล์ขยะ

Raspberry Pi 3 เปิดตัวเป็นทางการ ซีพียู 64 บิตประสิทธิภาพ 10 เท่าตัว

By lew

on 29 February 2016 - 14:22 Tag: Raspberry Pi, Single Board Computer

Raspberry Pi

ภาพหลุดออกมาจาก FCC ไม่กี่วัน ตอนนี้ Raspberry Pi 3 ก็เปิดตัวเป็นทางการแล้ว นอกจากจะเพิ่มการสื่อสารไร้สายแล้ว RPi3 ยังเปลี่ยนซีพียูเป็น Cortex-A53 ที่สัญญาณนาฬิกา 1.2GHz ทำให้ประสิทธิภาพการประมวลผลสูงกว่า RPi1 ถึงสิบเท่าตัว

ชิปที่ใช้ในรุ่นนี้เป็น Broadcom BCM2837 ที่เปลี่ยนเฉพาะตัวคอร์ซีพียู แต่ส่วนกราฟิกยังเป็น VideoCore IV 3D ที่มีไดรเวอร์โอเพนซอร์สเต็มรูปแบบ แต่เพิ่มสัญญาณนาฬิกาเป็น 400MHz การเชื่อมต่อไร้สายเป็นชิป BCM43438 รองรับ 802.11n ทั้งคลื่น 2.4GHz และ 5GHz พร้อมกับ Bluetooth 4.1

Raspberry Pi 3 จะมี Wi-Fi และ Bluetooth ในตัว

By lew

on 28 February 2016 - 00:11 Tag: Raspberry Pi, Single Board Computer

Raspberry Pi

แม้ Raspberry Pi จะพลิกโลกด้วยคอมพิวเตอร์ลินุกซ์เต็มตัวราคาถูกมาหลายปี แต่ข้อเสียสำคัญคือมันไม่มี Wi-Fi ในตัวทำให้ผู้ผลิตบอร์ดคู่แข่งพยายามพัฒนาบอร์ดที่มี Wi-Fi ในตัวมาแข่งขันอย่างต่อเนื่อง ตอนนี้ภาพจาก FCC ที่กำลังพิจารณา Raspberry Pi 3 ก็แสดงให้เห็นว่าบอร์ดรุ่นนี้จะมี Wi-Fi และ Bluetooth ในตัวแล้ว

Atmel เปิดตัวไมโครคอนโทรลเลอร์จิ๋ว ATtiny102/104

By lew

on 27 February 2016 - 23:23 Tag: Semiconductor, Atmel

Semiconductor

บอร์ด Arduino ที่ได้รับความนิยมสูงใช้ไมโครคอนโทรลเลอร์ในตระกูล AVR ของ Atmel แต่ไมโครคอนโทรลเลอร์ตระกูลนี้ยังมีชิปรุ่นเล็กสุดคือ ATtiny ที่มีขนาดเล็กมากและใช้งานง่ายๆ ได้หลากหลาย ตอนนี้ทาง Atmel ก็อัพเกรดชิปตระกูลนี้เป็น ATtiny102/104

ชิปรุ่นใหม่ มีหน่วยความจำแฟลช 1 กิโลไบต์และแรม 32 ไบต์ ตัวซีพียูรันที่สัญญาณนาฬิกา 12MHz และมีพลังประมวลผล 12 MIPS มี ADC 10 บิตในตัว และพอร์ต USART ภาวะประหยัดพลังงานสามารถปรับให้กินกระแสได้ต่ำเพียง 100nA และทำงานได้ด้วยไฟความต่างศักย์ตั้งแต่ 1.8V ถึง 5.5V

ทาง Atmel เริ่มส่งมอบสินค้าตัวอย่างแล้ว และจะเริ่มผลิตเต็มที่ช่วงเดือนพฤษภาคมนี้

กูเกิลเสนอฮาร์ดดิสก์รูปแบบใหม่ หนากว่าเดิม, ย้ายแคชออก, ยอมรับความผิดพลาดได้มากขึ้น

By lew

on 27 February 2016 - 11:05 Tag: Google, Harddisk, Cloud, Cloud Storage, Storage

Google

กูเกิลเผยแพร่เอกสาร "Disks for Data Centers" แสดงมุมมองของศูนย์ข้อมูลขนาดใหญ่อย่างกูเกิลเองต่อกระบวนการเชื่อมต่อกับดิสก์ว่าเป็นมาตรฐานที่ใช้ต่อกันมานานและอาจจะไม่เหมาะสมต่อศูนย์ข้อมูลยุคต่อไป โดยข้อเสนอระบุถึงความเปลี่ยนแปลงที่เป็นไปได้ 10 ประการ ที่จะทำให้ดิสก์ในยุคต่อไปเหมาะกับศูนย์ข้อมูลยุคใหม่ยิ่งขึ้น

ข้อเสนอได้แก่

รีวิวหนังสือ Data and Goliath: ทางเลือกของอินเทอร์เน็ตยุคต่อไปที่ยังมีความเป็นส่วนตัว

By lew

on 26 February 2016 - 00:34 Tag: Privacy, Review

Privacy

Bruce Schneier นักวิชาการวิทยาการเข้ารหัสลับและผู้เชี่ยวชาญความปลอดภัยคอมพิวเตอร์ มักออกมาแสดงความเห็นเกี่ยวกับประเด็นความปลอดภัยและประเด็นสังคมที่เกี่ยวข้องเสมอๆ เช่น กรณี FBI ขอให้แอปเปิลสร้างรอมพิเศษเพื่อปลด ที่หลายคนอาจจะสงสัยว่าทำไมจึงมีความเห็นแตกต่างกันมาก และการที่แอปเปิลจะปลดล็อกให้โทรศัพท์เพียงเครื่องหนึ่งโดยสร้างเครื่องมือเฉพาะจะมีปัญหาอะไร แต่หลังจากสโนว์เดนปล่อยเอกสารมาปีกว่าๆ Schneier ก็ออกหนังสือแสดงความกังวลต่อแนวทางของบริษัทและรัฐบาลที่ไม่เคารพความเป็นส่วนตัวนัก โดยออกมาเป็นหนังสือ Data and Go

เมาส์-คีย์บอร์ดไร้สายจำนวนมากมีช่องโหว่ในเฟิร์มแวร์ ถูกยิงคำสั่งคีย์บอร์ดเข้าควบคุมเครื่องได้

By lew

on 25 February 2016 - 15:44 Tag: Security

Security

Marc Newlin นักวิจัยจาก Bastille’s Threat Research Team รายงานช่องโหว่ MouseJack ช่องโหว่จากการเขียนเฟิร์มแวร์สำหรับเมาส์และคีย์บอร์ดไร้สาย ทำให้แฮกเกอร์สามารถยิงคำสั่งเข้าไปยังตัวรับเมาส์/คีย์บอร์ดไร้สายที่ต่อกับคอมพิวเตอร์อยู่ได้

โดยปกติแล้วเมาส์ไร้สายจะส่งข้อมูลที่ไม่เข้ารหัส แต่คีย์บอร์ดมักจะเข้ารหัสเอาไว้ แต่ช่องโหว่ MouseJack ทำให้ USB dongle จำนวนหนึ่งรับคำสั่งคีย์บอร์ดที่ไม่เข้ารหัสทำให้แฮกเกอร์สามารถยิงคำสั่ง ไปจนถึงการอัพโหลดสคริปต์เข้าไปยังเครื่องคอมพิวเตอร์ที่ติดตั้ง dongle ที่มีช่องโหว่นี้ได้จากระยะไกล