หนึ่งในจุดขายของระบบปฏิบัติการ Android แน่นอนว่าผู้ที่ชื่นชอบบางส่วนนั้นต้องการความเป็นอิสระสามารถควบคุมและปรับแต่งตัวเครื่องได้ตามชอบใจด้วยขั้นตอนกระบวน Root หรือในระดับของ Unlocked Bootloader ซึ่งจะเรียกว่าเป็นจุดขายที่สร้างรากฐานให้กับ Google ก็ว่าได้แต่เมื่อการพัฒนาไม่เคยหยุดคอยใคร ในการอัพเดทใหม่ๆ ตั้งแต่รุ่นท้ายของ Jelly Bean จนถึง KitKat นั้นเริ่มมีการป้องปรามที่แน่นหนาขึ้นแม้จะยังพอทำได้แต่ก็ไม่ถึงกับสะดวกนัก และการประกาศตัวของ Android 5.0…

เมื่อเร็วๆนี้ Google จัดการเปิดตัว Android 5.0 Lollipop ด้วยการออกแบบที่เรียกว่า Material Design ซึ่งภายในไม่เกินสิ้นปี 2014 สมาร์ทโฟนแอนดรอยด์หลายรุ่นจะได้สัมผัสประสบการณ์ใหมของระบบปฏิบัติการ Lollipop แต่ก่อนจะได้อัพเดตแบบเต็ม ตอนนี้ทาง Google ได้แยกคีย์บอร์ดให้ออกมาใช้กันแบบฟรีๆ เป็นการชิมลางกันล่วงหน้าแล้ว คีย์บอร์ดที่ Google ปล่อยออกมาให้ผู้ใช้สมาร์ทโฟนแอนดรอยด์ได้ดาวน์โหลดไปใช้เป็น เวอร์ชั่น 4.0 ซึ่งเป็นส่วนหนึ่งของการพัฒนาที่เกิดขึ้นกับ Android 5.0 Lollipop ในการออกแบบที่เรียกว่า Material Design โดยวิธีการติดตั้งสามารถทำได้ง่ายๆ เริ่มต้นจาก 1. ดาวน์โหลดไฟล์ Lollipop Keyboard.apk และทำการติดตั้งตามปกติ 2. เข้าไปที่เมนู language and input settings จากนั้นกำหนดให้ Lollipop Keyboard เป็น Default โดยผู้ใช้สามารถเปลี่ยนธีมของคีย์บอร์ดได้เพียงเข้าไปที่ Setting ของ Keyboard ดาวน์โหลด >>> Lollipop Keyboard.apk [...]

เมื่อเร็วๆนี้ Google จัดการเปิดตัว Android 5.0 Lollipop ด้วยการออกแบบที่เรียกว่า Material Design ซึ่งภายในไม่เกินสิ้นปี 2014 สมาร์ทโฟนแอนดรอยด์หลายรุ่นจะได้สัมผัสประสบการณ์ใหมของระบบปฏิบัติการ Lollipop แต่ก่อนจะได้อัพเดตแบบเต็ม ตอนนี้ทาง Google ได้แยกคีย์บอร์ดให้ออกมาใช้กันแบบฟรีๆ เป็นการชิมลางกันล่วงหน้าแล้ว คีย์บอร์ดที่ Google ปล่อยออกมาให้ผู้ใช้สมาร์ทโฟนแอนดรอยด์ได้ดาวน์โหลดไปใช้เป็น เวอร์ชั่น 4.0 ซึ่งเป็นส่วนหนึ่งของการพัฒนาที่เกิดขึ้นกับ Android 5.0 Lollipop ในการออกแบบที่เรียกว่า Material Design โดยวิธีการติดตั้งสามารถทำได้ง่ายๆ เริ่มต้นจาก 1. ดาวน์โหลดไฟล์ Lollipop Keyboard.apk และทำการติดตั้งตามปกติ 2. เข้าไปที่เมนู language and input settings จากนั้นกำหนดให้ Lollipop Keyboard เป็น Default โดยผู้ใช้สามารถเปลี่ยนธีมของคีย์บอร์ดได้เพียงเข้าไปที่ Setting ของ Keyboard ดาวน์โหลด >>> Lollipop Keyboard.apk [...]

วันนี้โบรกเกอร์เริ่มออกประกาศเตือนลูกค้าที่ใช้บริการซื้อขายผ่านเว็บของเซ็ทเทรด (SETTRADE.com) ว่าทางเซ็ทเทรดจะเริ่มปรับใบรับรองเป็น SHA-2 มีผลวันนี้ (21 ตุลาคม 2557) เป็นวันแรก ส่งผลให้ลูกค้าที่ใช้วินโดวส์เก่ากว่า XP SP3 จะเริ่มได้รับผลกระทบเพราะไม่ได้รับการอัพเดต root CA มาเป็นเวลานาน ทางแก้เบื้องต้นคือการเพิ่ม root CA ด้วยตัวเอง ผมเพิ่งได้อีเมลจากทางกสิกรเมื่อตอนบ่ายที่ผ่านมา ตอนนี้ผู้ให้บริการต่างๆ คงส่งใบรับรอง root CA ให้ลูกค้ากันแล้วพร้อมกระบวนการติดตั้ง อย่างไรก็ดี ผมคงต้องเตือนอีกครั้งว่า Windows XP ทุกรุ่นไม่ได้รับการอัพเดตจากไมโครซอฟท์มาเป็นเวลานานแล้ว การใช้กับข้อมูลที่มูลค่าสูงอย่างข้อมูลการเงิน แถมใช้งานผ่านอินเทอร์เน็ต คงไม่ใช่ทางเลือกที่ดีนัก การอัพเดตใบรับรองไปยัง SHA-2 เป็นไปตามคำแนะนำของไมโครซอฟท์และกูเกิลที่ประกาศออกมาก่อนหน้านี้ (อ่านเพิ่มเติมบทความอธิบายประเด็นนี้) ที่มา – อีเมลประกาศจากบริษัทหลักทรัพย์กสิกรไทย Security, Stock Exchange, Thailand

หลังถูกตั้งข้อสงสัยว่าอาจเป็นการหลอกลวงให้คนไประดมทุนครั้งใหญ่ ล่าสุด Kickststarter จัดการยุติโครงการระดมทุนของ Anonabox กล่องเร้าท์เตอร์จิ๋วสำหรับใช้งาน Tor เป็นที่เรียบร้อย ด้วยยอดเงินมากกว่า 585,000 เหรียญ สำหรับเหตุผลที่ Kickstarter จัดการเรื่องนี้ ก็ตามที่มีหลายคนตั้งข้อสงสัยในตัวโครงการว่า August Germar เจ้าของโครงการนี้ผลิตฮาร์ดแวร์จริงหรือไม่ หลังจากมีคนไปพบว่าบอร์ดต้นแบบของ Anonabox ดันไปคล้ายคลึงกับอุปกรณ์สำเร็จรูปที่วางขายอยู่ในประเทศจีน โดยมี NEXX Wireless เป็นผู้ผลิตฮาร์ดแวร์รุ่นดังกล่าว (ชื่อรุ่น WT3020) ซึ่งดูแล้วไม่ได้ต้องการจะเปิดฮาร์ดแวร์อีกด้วย มหากาพย์ยังดำเนินต่อไปเรื่อยๆ หลังจากที่ Germar ออกมายืนยันว่าเขาเป็นผู้พัฒนาบอร์ดนั้นเอง ซึ่งการปรับแต่งให้พร้อมที่จะรัน OpenWRT ได้ต้องมีหน่วยความจำ (ที่ไม่ใช่แรม) อย่างน้อย 16MB เพื่อที่จะติดตั้ง OpenWRT และไบนารีของ Tor ให้สามารถรันได้ และตำหนิว่าของที่ทำในจีนนั้นเหมือนกันเพราะว่าถูกลอกไปนั่นเอง ท้ายที่สุดก่อนโครงการนี้จะถูกยกเลิกโดย Kickstarter มีชาว Reddit ได้ลองแฮชรหัสผ่าน root ของ Anonabox และพบว่ารหัสนั้นอ่อนแอมาก (เป็นคำว่า developer!) [...]

ช่องโหว่ Shellshock เปิดเผยออกมาตั้งแต่สัปดาห์ที่แล้ว ตอนนี้ความสับสนหลักคงเป็นว่าเซิร์ฟเวอร์ทั่วไปจะได้รับผลกระทบจากมันมากน้อยแค่ไหน ตอนนี้ก็เริ่มมีการรวมฐานข้อมูลของแอพพลิเคชั่นที่ได้รับผลกระทบออกมาแล้ว อยู่ใน GitHub ที่ชื่อว่า shellshocker-pocs บทสรุปผู้บริหาร: สั่งอัพเกรดเซิร์ฟเวอร์ทุกตัวเถอะครับ รายงานแอพพลิเคชั่นที่รับผลกระทบกลุ่มแรก คือ เว็บเซิร์ฟเวอร์ในกลุ่ม mod_cgi ที่ได้รับผลกระทบไปก่อน แอพพลิเคชั่นสมัยใหม่มักไม่ใช้ mod_cgi แล้ว แต่เซิร์ฟเวอร์ที่ใช้ cPanel ก็ได้รับผลกระทบ โดยเซิร์ฟเวอร์ 2.9% ที่ Sucuri ตรวจสอบ ยังคงใช้ mod_cgi อยู่สองไฟล์ Phusion Passenger แอพพลิเคชั่นเซิร์ฟเวอร์ก็ติดร่างแหไปด้วย เพราะใช้ bash ระหว่างการ spawn ทางโครงการระบุว่าบั๊กนี้ไม่ใช่ปัญหาของ Passenger โดยตรง ที่ทำได้คือให้รีบอัพเกรด bash กลุ่มต่อมาคือ DHCP client ในลินุกซ์สามารถถูกโจมตีได้จากเซิร์ฟเวอร์ DHCP ที่มุ่งร้าย ผู้ร้ายอาจจะตอบ DHCP แทนเซิร์ฟเวอร์ตัวจริงโดยใส่คำสั่งให้เครื่องที่ได้ข้อความ DHCP รันสคริปต์ได้ บั๊กนี้ค่อนข้างร้ายแรงมาก ทุกคนควรอัพเกรดเครื่องก่อนจะไปรับค่า [...]

Mozilla ได้เพิ่มระบบความปลอดภัยให้กับ Firefox เวอร์ชันล่าสุดเพื่อช่วยป้องกันบรรดาแฮ็คเกอร์ที่จะมาดักจับข้อมูลไป โดยฟีเจอร์นี้เรียกว่า certificate key pinning ที่อนุญาตให้บริการออนไลน์ระบุว่า SSL/TLS certificate ใดที่ถูกต้องสำหรับบริการของตน  โดยแนวความคิดนี้มีขึ้นเพื่อป้องกันการโจมตี อย่างครั้งที่เคยเกิดขึ้นกับ Google ในปี 2011 โดยมุ่งเป้าหมายไปที่ผู้ใช้งาน Gmail โดยบริษัท Diginotar ที่มีอำนาจในการออก certificate ถูกหลอกและแฮ็ก SSL certificate ที่ถูกต้องไปใช้กับโดเมน Google Certificate pinning จะสามารถหยุดการโจมตีเช่นนี้ได้ เนื่องจาก Firefox จะรู้ว่า Diginotar ไม่ควรออก cerificate นั้นให้ไปใช้กับ Google   เมื่อใดก็ตามที่ certificate ที่ถูก root มาสำหรับไซต์ที่ปักหมุดไว้ (pinned) ไม่ตรงกับ CA หรือหน่วยงาน certirficate ที่ถูกต้องแล้ว Firefox จะปฏิเสธการเชื่อมต่อพร้อมแสดงข้อความผิดพลาดขึ้น   หมุดสำหรับ certificate ของบริการออนไลน์ต่างๆ…

สภาความมั่นคง (Security Council) ของรัสเซียเริ่มพิจารณาสร้าง “อินเทอร์เน็ตสำรอง” เผื่อกรณีที่รัสเซียโดนตัดออกจากระบบ root domain ระดับโลก โดยรัสเซียจะตั้ง root server เองเพื่อให้ทราฟฟิกของผู้ใช้ในประเทศ redirect มาได้ ระบบโดเมนเนมนั้นมีเซิร์ฟเวอร์หลัก (root name server) จำนวน 13 แห่ง เรียกตามตัวอักษร A-M โดยทั้งหมดถูกดูแลโดย ICANN ซึ่งเป็นหน่วยงานของสหรัฐอเมริกา ทำให้ชะตาชีวิตของอินเทอร์เน็ตขึ้นกับสหรัฐอเมริกาเป็นอย่างมาก และถ้ารัสเซียถูกอเมริกา-ยุโรปกีดกันทางการค้าจากปัญหาการเมืองในยูเครน อาจส่งผลต่อระบบอินเทอร์เน็ตในรัสเซียได้ Dmitry Peskov โฆษกประจำตัวประธานาธิบดีรัสเซีย ให้สัมภาษณ์ว่ารัสเซียไม่ต้องการแบ่งแยกอินเทอร์เน็ต แต่ต้องป้องกันตัวเองและเตรียมความพร้อมถ้าโลกตะวันตกตัดเน็ตไม่ให้เชื่อมต่อกับรัสเซีย ที่มา – Bloomberg Russia, Internet, Domain Name

เมื่อไม่กี่วันที่ผ่านมา วงการเว็บโดยเฉพาะผู้ที่ทำเว็บแบบเข้ารหัส HTTPS ทั้งหลายอาจจะได้อ่านข่าวเล็กๆ ข่าวหนึ่ง คือ Chrome กำลังจะประกาศว่าใบรับรองดิจิตอลที่ยืนยันความถูกต้องด้วย SHA-1 จะถือว่าไม่ปลอดภัยอีกต่อไป ความโหดร้ายของกูเกิลคือทางกูเกิลประกาศมาโดยให้เวลาเพียงไม่กี่วันก่อนที่จะเริ่มบังคับใช้กฎใหม่นี้ ดังนั้นภายในสิ้นเดือนนี้เราอาจจะพบว่าเว็บที่เข้ารหัสได้รับผลกระทบกันเป็นวงกว้าง บทความนี้เขียนขึ้นเพื่อแบ่งปัน “ผู้ดูแลระบบ” ทุกท่านที่ต้องดูแลเว็บที่เข้ารหัสอยู่ ว่าทำไมท่านนั่งอยู่ดีๆ ถึงได้งานเข้า (เหมือนทีมงาน Blognone ที่นั่งแก้ใบรับรองกันในวันนี้) กระบวนการรับรอง SSL ก่อนที่จะพูดถึงกระบวนการลดการใช้งาน SHA-1 ของกูเกิล เราจะมาพูดถึงกระบวนการที่เบราว์เซอร์จะ “เชื่อถือ” เว็บสักเว็บหนึ่งกันก่อน เว็บที่เข้ารหัส HTTPS นั้นมีข้อบังคับอย่างหนึ่งคือนอกจากการเชื่อมต่อระหว่างเบราว์เซอร์และเซิร์ฟเวอร์จะเข้ารหัสแล้ว เบราว์เซอร์ยังต้องตรวจสอบได้ว่าเซิร์ฟเวอร์ที่กำลังคุยด้วยอยู่นั้น เป็นเซิร์ฟเวอร์ของโดเมนนั้นๆ จริง กระบวนการเข้าเว็บโดยทั่วไปไม่ได้รับรองว่าเรากำลังเข้าเว็บโดยตรง เช่น เพราะสิ่งที่เราดาวน์โหลดมาจำนวนมากอาจจะมาจากพรอกซี่ในองค์กรของเราเอง การยืนยันว่าเรากำลังเชื่อมต่อแบบเข้ารหัสกับเซิร์ฟเวอร์ที่ระบุนั้น เบราว์เซอร์ของเราจะเชื่อถือ องค์กรจำนวนหนึ่งเรียกว่า Certification Authority (CA) ให้ตรวจสอบและรับรองเซิร์ฟเวอร์อื่นๆ ในโลกว่าเป็นตัวจริงหรือไม่ เบราว์เซอร์บางตัวเลือกจะเชื่อตามที่ “ระบบปฎิบัติการ” เชื่อถือ เช่น Chrome ส่วนบางเบราว์เซอร์ก็มีรายชื่อองค์กรที่เชื่อถือของตัวเอง เช่น Firefox เมื่อระบบปฎิบัติการหรือเบราว์เซอร์เชื่อถือองค์กรใดๆ ให้ไปรับรองเว็บอื่นๆ [...]

Project Zero ของกูเกิลที่ตั้งขึ้นมาเพื่อหาบั๊กความปลอดภัยในซอฟต์แวร์ใดๆ ที่มีคนใช้งานจำนวนมากเริ่มมีผลงานต่อสาธารณะ รอบนี้เป็นบั๊กฟังก์ชั่น iconv_open ของ glibc ที่มีบั๊กทำให้ซอฟต์แวร์ที่มุ่งร้ายสามารถเข้าสู่สิทธิ์ root ได้ Project Zero พบบั๊กนี้ตั้งแต่วันที่ 13 เดือนที่แล้ว และแจ้งไปยัง GNU ผู้ดูแลโครงการ glibc ในวันที่ 21 ตัวบั๊กเพิ่งถูกแก้เมื่อวานนี้ ทางทีมก็นำข้อมูลออกมาเปิดเผย โดยในช่วงแรกของการรายงานบั๊ก Florian Weimer จาก RedHat ตั้งคำถามว่าบั๊กนี้จะสามารถใช้เจาะระบบได้จริงแค่ไหน ทาง geohot (ที่เพิ่งเข้าไปร่วม Project Zero) จึงทำ wargame แล้วช่วยกันเจาะระบบ จนกระทั่งสามารถเข้าสู่ root ได้จริง ทีมงานโพสเฉลยไว้บน Google Code คำอธิบายเฉลยที่ค่อยๆ อธิบายว่าการเจาะระบบจากบั๊กแรก เรื่อยไปจนถึงฝ่า ASLR ออกมาได้อย่างไรอยู่ในที่มาครับ ที่มา – Google Project Zero Project [...]

 Page 1 of 11  1  2  3  4  5 » ...  Last »