ช่องโหว่จะอยู่ในซอฟต์แวร์เปิดเผยรหัสมากกว่า 4 ปี ก่อนที่จะถูกค้นพบ

Photo by Luke Chesser on Unsplash

จากรายงานประจำปีของ State of the Octoverse ของ GitHubพบว่าช่องโหว่ในซอฟต์แวร์แบบเปิดเผยรหัสต้องใช้เวลากว่า 4 ปี โดยเฉลี่ย ก่อนจะถูกค้นพบ รายงานดังกล่าวได้มาจากการสำรวจนักพัฒนากว่า 56 ล้านคนในปีนี้ โดยมีการสร้างที่เก็บข้อมูล (repository) ใหม่กว่า 60 ล้านที่เก็บ และมีการมีส่วนร่วมกว่า 1.9 ล้านครั้งที่เพิ่มเข้ามาเมื่อเทียบกับปี 2019 ในตอนนี้ 94% ของโครงการใน GitHub ขึ้นอยู่กับส่วนประกอบแบบเปิดเผยรหัส โดยมีการขึ้นอยู่ต่อกันอยู่ที่ 700 ส่วนประกอบโดยเฉลี่ย โดยการขึ้นแก่กันส่วนใหญ่จะมาจากภาษา JavaScript (94%) Ruby (90%) และ .Net (90%) ข้อผิดพลาดในซอฟแวร์เปิดเผยรหัสส่วนใหญ่ไม่ใช่ช่องโหว่ที่เป็นอันตราย โดย 83% ของ Github-issued จะเป็นเรื่องของความผิดพลาดและความบกพร่องของคน อย่างไรก็ตาม GitHub แนะนำให้นักพัฒนาและผู้ดูแลโครงการ รวมถึงผู้ใช้ ได้ตรวจสอบการขึ้นต่อกันอย่างสม่ำเสมอ และพิจารณาใช้งานระบบแจ้งเตือนอัตโนมัติ เพื่อแก้ไขช่องโหว่ได้อย่างรวดเร็วและมีประสิทธิภาพ

อ่านข่าวเต็มได้ที่:  ZDNet

แขนกลที่ใกล้เคียงมนุษย์ไปอีกขั้น

ภาพจาก University of Warwick (U.K.)

ขั้นตอนวิธี AI ซึ่งพัฒนาโดยนักวิจัยจาก Warwick Manufacturing Group (WMG) ซึ่งเป็นหน่วยงานด้านวิชาการของ University of Warwick ในสหราชอาณาจักร ได้พัฒนาแขนกลที่เรียกว่า Shadow Robot Dexterous Hand ที่จัดการกับวัตถุได้เหมือนมือคน แขนกลนี้สามารถจำลองความเป็นอิสระของมือคนได้ในทุกองศา โดยขั้นตอนวิธีนี้ทำให้แขนกลนี้เรียนรู้ที่จะประสานการเคลื่อนไหวและทำงานอย่างเช่นการขว้างบอล และหมุนปากกา นักวิจัยบอกว่าขั้นตอนวิธีนี้จะเรียนรู้งานอะไรก็ได้ ที่สามารถถูกจำลองได้ โดยอนาคตจะขึ้นอยู่กับขั้นตอนวิธี AI ที่สามารถเรียนรู้ได้โดยอัตโนมัติ และสามารถสร้างขั้นตอนวิธีให้แขนกลนี้ทำงานได้เหมือนจริงโดยไม่ต้องใช้ข้อมูลเข้าจากคน ซึ่งถือว่าเป็นก้าวที่น่าตื่นเต้น  

อ่านข่าวเต็มได้ที่: University of Warwick (U.K.)

ผลิตภัณฑ์การควบคุมโดยผู้ปกครองชื่อดังหลายตัวไม่ปลอดภัย

Photo courtesy of Annie Spratt via Unsplash

นักวิจัยจาก  Concordia Institute for Information Systems Engineering (CIISE) ของแคนาดาบอกว่าผลิตภัณฑ์ควบคุมโดยผู้ปกครอง (parental control) ที่ขายกันอยู่หลายตัวนั้นไม่ปลอดภัย นักวิจัยพัฒนาเฟรมเวอร์กในการทดลองเพื่อประเมินความมั่นคงและความเป็นส่วนตัวของโปรแกรมเหล่านี้หลายตัว ไม่ว่าจะเป็นตัวที่อยู่ในรูปเราเตอร์ แอปพลิเคชันที่รันบนวินโดวส์ ส่วนต่อขยายของ Chrome และแอปพลิเคชันแอนดรอยด์ ผลการประเมินพบว่าส่วนใหญ่ผลิตภัณฑ์เหล่านี้ไม่ปลอดภัยในแง่ของการปกป้องข้อมูลส่วนบุคคล การยืนยันตัวตน การป้องกันจากบุคคลที่สามหรือการติดตามจากโปรแกรมสอดแนมที่เรารู้จักกันดีอยู่แล้ว 

ตัวอย่างช่องโหว่ที่ค่อนข้างน่ากังวลได้แก่ เราเตอร์ Blocksi ซึ่งมีช่องโหว่ที่สามารถอัพโหลดเฟิร์มแวร์ที่เป็นอันตราย แอปอย่าง Android's FamiSafe, KidsPlace, และ Life360 ก็ไม่เข้ารหัสข้อมูลส่วนบุคคลในเื้อที่เก็บข้อมูลภายนอกที่ใช้งานร่วมกัน แอป Windows อย่าง Qustodio และ Dr. Web ใช้พรอกซีเซิร์ฟเวอร์ (proxy server) ที่ไม่ยืนยันใบรับรองอย่างเหมาะสม และยังยอมรับใบรับรองที่ถูกเพิกถอนไปแล้ว 

แม้ว่าช่องโหว่เหล่านี้มักจะบอกว่าเกิดการผิดพลาดจากการออกแบบ แต่นักวิจัยคิดว่ามันเป็นความจงใจมากกว่า โดยบอกว่านักพัฒนาเครื่องมือเหล่านี้กำลังส่งข้อมูลส่วนตัวของเราไปยังบุคคลที่สาม ซึ่งงานของคนพวกนี้ก็คือรวมข้อมูลเอาไปแลกกับเงิน

อ่านข่าวเต็มได้ที่: Concordia University (Canada)

การหลอกลวงพุ่งเป้าหมายไปที่การแจกจ่ายวัคซีน COVID-19

AP Photo/Virginia Mayo

นักวิจัยด้านความมั่นคงของ IBM รายงานว่ามีความพยายามที่จะใช้อีเมลหลอกลวงเพื่อดักจับข้อมูลที่ WHO ใช้ในความพยายามที่จะแจกจ่ายวัคซีน COVID-19 นักวิจัยบอกว่าเป้าหมายของการหลอกลวงจะเชื่อมโยงกับโครงการ "cold chain" ที่เป็นโครงการที่จะทำให้มั่นใจว่าวัคซีนจะจัดเก็บในอุณหภูมิที่เหมาะสม นักวิจัยบอกว่าอีเมลหลอกลวงนี้จะทำเหมือนกับว่าถูกส่งมาจากผู้บริหารของ Haier Biomedical ของจีน ซึ่งเป็นบริษัทที่ถือว่าเป็นผู้ผลิต "cold chain" สำคัญของโลก โดยมีไฟล์แนบที่เป็นอันตรายที่ใช้เก็บข้อมูลที่สำคัญของบริษัทที่ร่วมมือกันในการแจกจ่ายวัคซีน นักวิจัยบอกว่าใครก็ตามที่อยู่เบื้องหลังเรื่องนี้น่าจะต้องการข้อมูลเชิงลึกเกี่ยวกับการซื้อและเคลื่อนย้ายวัคซีน ซึ่งอาจมีผลกระทบต่อชีวิตและเศรษฐกิจโลก เพราะวัคซีนป้องกันไวรัสจะเป็นสิ่งหนึ่งที่มีความมากต้องการที่สุดในโลกหลังจากที่เริ่มมีการแจกจ่ายแล้ว ดังนั้นการขโมยวัคซีนจึงอาจจัดว่าเป็นความอันตรายอย่างหนึ่ง

อ่านข่าวเต็มได้ที่: Associated Press

ผู้ก่อการร้ายทางชีวภาพอาจหลอกให้นักวิทยาศาสตร์สร้างสารพิษโดยใช้มัลแวร์

ภาพจาก The Daily Mail

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Ben-Gurion University of the Negev (BGU) ของอิสราเอลพบว่าผู้ก่อการร้ายทางชีวภาพสามารถปล่อยมัลแวร์เข้าไปในคอมพิวเตอร์ของนักชีววิทยา เพื่อหลอกให้พวกเขาเปลี่ยนลำดับดีเอ็นเอเพื่อสร้างสารพิษหรือไวรัสที่เป็นอันตรายได้ แม้ว่า Department of Health and Human Services (HHS) ของสหรัฐมีกระบวนการในการกรองลำดับของ DNA จากผู้ผลิตยีนสังเคราะห์ แต่ BGU แสดงให้เห็นว่ากระบวนการนี้สามารถถูกหลอกลวงได้ ด้วยการทำให้มันค่อนข้างคลุมเครือ ซึ่งผลการทดลองพบว่ายีนที่ถูกสร้างแบบคลุมเครือ 16 จาก 50 ตัว สามารถผ่านการกรองของ HNS ไปได้  โดยนักวิจัยได้เสนอวิธีการปรับปรุงขั้นตอนวิธีคัดกรองที่ใช้กับการแก้ไขยีนในร่างกายด้วย

อ่านข่าวเต็มได้ที่: The Daily Mail