Hacking Team บริษัทขายช่องโหว่คอมพิวเตอร์สำเร็จรูปที่ทำให้หน่วยงานรัฐทั่วโลกสามารถเจาะเจ้าไปยังคอมพิวเตอร์และโทรศัพท์มือถือของเป้าหมายได้โดยง่ายถูกแฮกเมื่อปีที่แล้ว จนข้อมูลกว่า 500GB ถูกเผยแพร่ต่อสาธารณะ ตอนนี้แฮกเกอร์ที่เรียกตัวเองว่า Phineas Fisher ก็ออกมาอ้างความรับผิดชอบและเขียนถึงกระบวนการที่เขาดาวน์โหลดข้อมูลภายในทั้งหมดออกมา เอกสารระบุว่าโครงสร้างคอมพิวเตอร์ของ Hacking Team นั้นดีพอสมควร หน้าเว็บหลักเป็น Joomla ที่ไม่พบช่องโหว่ร้ายแรงใดๆ ส่วนเซิร์ฟเวอร์ที่ลูกค้าเชื่อมต่อเข้ามานั้นก็ต้องการใบรับรองฝั่งไคลเอนต์เพื่อเชื่อมต่อ และอีเมลเซิร์ฟเวอร์ อย่างไรก็ตามเขาสามารถเข้าถึงเซิร์ฟเวอร์เครื่องหนึ่งได้แต่ขอไม่บอกว่าทำได้อย่างไรเพราะช่องโหว่ยังไม่เปิดเผยต่อสาธารณะ แต่เขาสามารถเข้าถึง root ของเซิร์ฟเวอร์เครื่องหนึ่งในที่สุด และพบเซิร์ฟเวอร์ MongoDB เปิดอยู่ ภายในมีวิดีโอและเสียงที่เก็บมาจากการแฮกรวมถึงเสียงของพนักงานด้วยกันเอง หลังจากนั้นเขาพบดิสก์แบบ iSCSI อยู่ในเครือข่ายและสามารถ mount เข้ามาดูไฟล์ได้ภายในมีแบคอัพของ Domain Administrator อยู่ทำให้เขาเข้าถึงเครื่องได้แทบทั้งหมด แต่เขาก็ตัดสินใจดาวน์โหลดอีเมลก่อน เพราะเสียงว่าหากถูกจับได้ ช่องโหว่ของเขาจะถูกปิดไป แล้วจึงดาวน์โหลดซอร์สโค้ดซึ่งใช้เวลาอีกหลายสัปดาห์ Phineas ระบุแรงจูงใจที่แฮก Hacking Team ว่าบริษัทนี้ละเมิดสิทธิมนุษยชน และระบุว่าการแฮกมีความสวยงามที่ความพยายามเพียงร้อยชั่วโมงทำงาน สามารถทำลายงานนับปีคิดเป็นมูลค่าหลายล้านดอลลาร์ของบริษัทหนึ่งลงได้ ที่มา – Motherboard, Pastebin Topics:  Hacking Team Hacking

FreeBSD 10.3 ออกแล้ว

หลังจากที่ออกรุ่น 10.0 เมื่อต้นปี (ข่าวเก่า) ต้นเดือนที่ผ่านมา ทีมวิศวกรของ FreeBSD ก็ได้ปล่อยรุ่น 10.3-RELEASE ที่เป็นรุ่นปรับปรุงตัวที่สามของสายการพัฒนา 10-STABLE ที่เน้นการเพิ่มความเสถียรของระบบปฏิบัติการ โดยนอกจากความเสถียรแล้ว ในรุ่น 10.3 จะมีความสามารถใหม่ ๆ เช่น * ระบบ UEFI boot loader ได้รับการปรับปรุง โดยเพิ่มการสนับสนุนการบูทจากหลายอุปกรณ์ และยังสามารถบูทจาก ZFS อีกด้วย * เพิ่มการสนับสนุนการทำงานแบบ reroot ซึ่งทำให้สามารถเปลี่ยน root file system โดยไม่ต้องบูทเครื่องก่อน * ปรับปรุงรุ่นของโปรแกรม เช่น GNOME เป็น 3.16.2 และ Xorg-Server เป็น 1.17.4 เนื่องจากเป็นรุ่นเลขย่อยของ STABLE-RELEASE จึงจะเน้นการแก้บั๊กและเพิ่มความเสถียรจากรุ่น 10.2 มากกว่า แต่ที่น่าจับตาคือ รุ่น 11.0 ซึ่งน่าจะออก [...]

จบไปแล้วสำหรับงาน Pwn2Own 2016 งานแข่งขันหาช่องโหว่ของระบบปฏิบัติการและเบราว์เซอร์ต่างๆ ที่จะเปิดให้ผู้เข้าแข่งขันเจาะ (Pwn) เพื่อเป็นเจ้าของ (Own) เงินรางวัลหรืออุปกรณ์ที่เป็นหัวข้อการแข่งขัน ซึ่งปีนี้ Chrome, Edge และ Safari ก็โดนเจาะได้หมด เช่นเดียวกับระบบปฏิบัติการ Windows และ OS X สำหรับ Chrome นั้น มีผุ้เข้าแข่งขันพยายามเจาะเบราว์เซอร์ของ Google ด้วยกัน 2 ครั้ง ซึ่งสำเร็จเพียงครึ่ง โดย Chrome ถูกเจาะด้วยช่องโหว่ 1 จุด ที่บังเอิญว่า Google ได้รับรายงานช่องโหว่นั้นแล้ว จึงพิจารณาให้รางวัลผู้เจาะสำเร็จแค่ครึ่งเดียว ในขณะที Microsoft Edge และ Safari ถูกผู้เข้าแข่งขันทำการโจมตีไป 2 และ 3 ครั้งตามลำดับ ซึ่งก็ล้วนแล้วแต่เจาะเบราว์เซอร์ทั้ง 2 ตัวได้สำเร็จทุกครั้ง การแข่งขันในครั้งนี้ ทีมผู้เข้าแข่งขัน 5 ทีม [...]

หนึ่งในกระแสที่มาแรงในปัจจุบันคือการทำให้โทรศัพท์สามารถชำระเงินได้ผ่านบริการต่างๆ เช่น Android Pay, Apple Pay, Samsung Pay แต่บริการเหล่านี้มักจะจำกัดไว้กับโทรศัพท์บางรุ่น ซึ่งมีความพยายามจากหลายๆ บริษัทที่จะแก้ไขปัญหานี้ หนึ่งในนั้นคือ Optus ผู้ให้บริการโทรศัพท์มือถือของออสเตรเลียในเครือของ Singtel ที่มีบริการชำระเงินที่เรียกว่า Cash by Optus ที่ร่วมมือกับ Visa บริษัทด้านชำระเงินที่เข้ามาแก้ไขปัญหาลักษณะนี้ รีวิวนี้จะทดลองใช้บริการดังกล่าว โดยใช้โทรศัพท์ที่ไม่มีบริการ NFC ในการทดลองทำรายการ (ในรีวิวนี้ใช้ Oppo F1) เพื่อดูว่าแนวทางของ Optus และ Visa นั้นใช้ได้หรือไม่ หมายเหตุ ตอนนี้ Optus มีโปรโมชั่นเชิญชวนให้ผู้ใช้บริการของบริษัทมาใช้บริการนี้ ด้วยการมอบเงินให้ผู้ใช้แต่ละรายเพื่อทดลองใช้บริการนี้ 10 ดอลลาร์ออสเตรเลีย (ประมาณ 250 บาท) ซึ่งผมได้รับมาด้วย รู้จักบริการเบื้องต้น Cash by Optus เป็นบริการชำระเงินที่ Optus ร่วมมือกับ Visa พัฒนาขึ้นบนฐานของเทคโนโลยี Visa [...]

บริษัทแบ็คอัพ Backblaze รายงานบั๊กของ Adobe Creative Cloud อัพเดตล่าสุด 3.5.0.206 บนแมค หลังจากผู้ใช้ล็อกอินเข้าระบบแล้ว สคริปต์ของ Adobe จะลบไดเรคทอรีแรก (เรียงตามตัวอักษร) ในไดเรคทอรี root ของระบบทิ้ง กรณีของ Backblaze มีไดเรคทอรีชื่อ .bzvol เป็นไดเรคทอรีซ่อนสำหรับเก็บข้อมูลแบ็คอัพของผู้ใช้ ซึ่งมักเป็นไดเรคทอรีลำดับแรก และโดนลบข้อมูลไปด้วย ส่วนผู้ที่ไม่ได้ใช้ Backblaze มักมีไดเรคทอรี .DocumentRevisions-V100 ที่เก็บข้อมูล autosave และ version history ของระบบแทน Adobe รับทราบปัญหานี้และหยุดอัพเดตแพตช์ตัวนี้ไปก่อน ทางแก้แบบชั่วคราวสำหรับคนที่อยากใช้ Creative Cloud ตอนนี้คือสร้างไดเรคทอรีหลอกขึ้นต้นด้วย .a เพื่อให้โดนลบแทนครับ ที่มา – Ars Technica Creative Cloud, Adobe, Bug, OS X, Mac

Justin Case นักวิจัยความปลอดภัยรายงานถึงช่องโหว่ของโทรศัพท์มือถือที่ใช้ชิป MediaTek แล้วกลับตั้งค่าคอนฟิกเครื่อง (device properties) ได้แม้จะเป็นค่าสำหรับอ่านอย่างเดียว ช่องโหว่เช่นนี้ทำให้การเข้าถึงสิทธิ์ root ในเครื่องทำได้อย่างง่ายดาย ทาง MediaTek ระบุกับ GSMArena ว่าช่องโหว่นี้เกิดจากการเปิดใช้ฟีเจอร์ดีบั๊กขณะทดสอบโทรศัพท์ และผู้ผลิตควรจะปิดฟีเจอร์นี้ทิ้งก่อนจะส่งโทรศัพท์ให้ลูกค้า อย่างไรก็ตามมีผู้ผลิตบางรายเปิดฟีเจอร์นี้ทิ้งไว้ทำให้โทรศัพท์ถูกเจาะทะลุการรักษาความปลอดภัยได้โดยง่าย บริษัทระบุว่าโทรศัพท์ที่มีช่องโหว่นี้ส่วนมากยังรัน Android 4.4 ทางด้าน The Register ระบุว่าโทรศัพท์ที่พบช่องโหว่นี้ใช้ชิป MT6582 แต่ไม่ได้ระบุว่าใครเป็นผู้ผลิตโทรศัพท์ และทาง MediaTek เองก็ไม่ได้รายงานว่าโทรศัพท์รุ่นใดบ้างที่ได้รับผลกระทบ ที่มา – The Register, GSMArena So Mediatek broke basic security features to have this backdoor work. Readonly properties are NOT read only! pic.twitter.com/pEjtMNpo9v — Justin [...]

AWS เปิดบริการ AWS Certificate Manager ทำให้ลูกค้าที่ใช้ Elastic Load Balancing และ CloudFront สามารถให้บริการเว็บเข้ารหัสได้โดยไม่ต้องเสียเงินค่าใบรับรองเพิ่มเติมอีก เมื่อปีที่แล้วอเมซอนยื่นเรื่องขอเป็น root CA ในฐานข้อมูลของมอซิลล่าและแอนดรอยด์ แต่ระหว่างนี้ใบรับรองจะได้รับการรับรองโดย “Amazon Root CA 1″ ที่ถูกรับรองโดย “Starfield Services Root Certificate Authority – G2″ ต่อมาอีกที ใบรับรองฟรีนี้จะต้องยืนยันความเป็นเจ้าของด้วยอีเมล โดยทาง AWS จะส่งอีเมลไปยังอีเมลที่ลงทะเบียนไว้ในโดเมน หรืออีเมล administrator, hostmaster, postmaster, webmaster, และ admin ของโดเมนนั้นๆ กระบวนการเช่นนี้หลายคนน่าจะเคยชินกว่ากระบวนการของ Let’s Encrypt ที่อาศัยโปรโตคอล ACME และข้อดีอีกอย่างหนึ่งคือสามารถขอใบรับรองแบบ wildcard เพื่อรองรับทุกโดเมนย่อยได้ทีเดียว ข้อเสียสำคัญคือไม่สามารถนำกุญแจลับออกไปใช้กับบริการอื่นนอก AWS ได้ จนถึงตอนนี้ทาง AWS [...]

คุณหมอพีเจ้าเก่า ทำออกมาให้ใช้งานกันอีกแล้วสำหรับชาว Android สามารถติดตั้งได้โดยไม่ต้อง Root เครื่องแต่อย่างใด คราวนี้มา 3 ชุดด้วยกัน คือ Font JS Pisit Font : JS Pisit แจก apk ฟอนต์ไทย JS Pisit สำหรับแอนดรอยด์ (ไม่ต้องรูท)ฟอนต์ไทยตัวนี้สวยมากครับแต่ผมแก้ตรงส่วนภาษาอังกฤษและละตินรวมทั้ง… Posted by หมอพี เอมะศิริ on Thursday, January 21, 2016 Font LittleStar Font : ฟอนต์เปื้อนยิ้ม หรือ Little Star ฟอนต์เปื้อนยิ้ม หรือ Little Star แจก apk ฟอนต์ไทย Little Star สำหรับแอนดรอยด์ (ไม่ต้องรูท)ตัวนี้ใครใช้ไอโฟนตัวแรก ๆ ค… Posted by [...]

จากข่าวเมื่อวันก่อนว่า ช่องโหว่ลินุกซ์ตั้งแต่รุ่น 3.8 ขึ้นไปเปิดช่องให้เข้าถึง root ได้ ฝั่งของ Android กูเกิลก็ออกแพตช์ตามมาอย่างรวดเร็ว และส่งให้บรรดาผู้ผลิตฮาร์ดแวร์แล้ว แพตช์นี้จะรวมอยู่ในอัพเดตความปลอดภัยรอบเดือนมีนาคม 2016 ทีมความปลอดภัย Android บอกว่าบริษัท Perception Point ผู้ค้นพบช่องโหว่นี้แจ้งข้อมูลไปยัง Red Hat แต่ไม่แจ้งมายังกูเกิลด้วย ทำให้ทีมของกูเกิลต้องพัฒนาแพตช์หลังข้อมูลช่องโหว่เปิดเผยต่อสาธารณะแล้ว อย่างไรก็ตาม กูเกิลประเมินว่าผลกระทบต่อ Android จะน้อยกว่าที่ Perception Point ประเมินไว้ เพราะฮาร์ดแวร์เก่าที่รัน Android 4.4 หรือเก่ากว่าใช้เคอร์เนลเวอร์ชันเก่ากว่านี้ ส่วนฮาร์ดแวร์รุ่นใหม่ๆ ที่ใช้ Android 5.0 หรือใหม่กว่า ก็มีระบบรักษาความปลอดภัย SELinux ช่วยป้องกันไม่ให้ผู้ประสงค์ร้ายเข้าถึงโค้ดส่วนนี้ ที่มา – +Adrian Ludwig, Greenbot Linux, Android, Google, Security

คุณหมอพี ได้ทำ apk สำหรับ Install Font ThonburiAndroid และ Font SIPA THSarabun สำหรับ Android สามารถติดตั้ง Font ทั้ง 2 แบบได้โดยไมต้องทำการ Root เครื่องแต่อย่างใด้ครับ อ่านเพิ่มเติมและ Download ได้ที่ แจก apk ฟอนต์แห่งชาติ SIPA ทีเอช สารบรรณ แบบเลขอารบิค และเลขไทย แจก apk ฟอนต์ธนบุรี สำหรับ android The post Font ThonburiAndroid และ Font SIPA THSarabun สำหรับ Android ไม่ต้อง Root appeared first on Smart-Mobile.com.

 Page 1 of 17  1  2  3  4  5 » ...  Last »