นักวิจัยคิดค้นวิธีการทำให้ RAM แผ่สัญญาณ Wi-Fi เพื่อลอบขโมยข้อมูล

บทความน่าสนใจ

Loading

  Mordechai Guri นักวิจัยจาก Ben-Gurion University of the Negev ในอิสราเอลได้ตีพิมพ์ผลงานวิจัยที่ศึกษาเกี่ยวกับการทำให้ RAM แผ่สัญญาณ Wi-Fi ออกมาเพื่อลอบขโมยข้อมูลสำคัญได้   ในสภาพแวดล้อมที่มีมาตรการรักษาความมั่นคงปลอดภัยอย่างเข้มงวดเช่น หน่วยงานรัฐบาลหรือทางการทหาร จะมีการแยกเครื่องคอมพิวเตอร์ที่มีข้อมูลสำคัญไว้ในส่วนที่ไม่มีอินเทอร์เน็ต และรักษาระยะห่างจากการเข้าถึง (Air-gapped) ซึ่งล่าสุดนักวิจัยได้เผยแพร่ผลงานการโจมตีหรือ AIR-FI ที่คาดว่าจะเป็นปฏิปักษ์ต่อมาตรการนี้ แม้ว่าคอมพิวเตอร์จะไม่มีอุปกรณ์ส่งสัญญาณเลยก็ตาม แต่นักวิจัยหัวใสก็สรรค์สร้างวิธีการอันบรรเจิดออกมาจนได้ คืออย่างที่เรารู้กันว่าอุปกรณ์อิเล็กทรอนิกส์ที่มีกระแสไฟฟ้าไหลผ่านจะแผ่คลื่นแม่เหล็กไฟฟ้าออกมาแน่นอน ซึ่งคลื่นสัญญาณวิทยุก็คือคลื่นแม่เหล็กไฟฟ้า โดยนักวิจัยสามารถใช้มัลแวร์เข้าไปสร้างการผ่านของกระแสไฟฟ้าให้ RAM เกิดการแผ่สัญญาณที่ช่วงคลื่นย่าน 2.4 GHz อย่างคงที่ ส่งผลให้เมื่อนำอุปกรณ์รับสัญญาณมาอยู่ในระยะก็สามารถลอบขโมยข้อมูลออกมาได้ นอกจากนี้นักวิจัยชี้ว่าการโจมตีนี้จะสามารถใช้ได้จากสิทธิ์ในการใช้งานตามปกติไม่ต้องเป็นถึง Root หรือ Admin และยังใช้บน OS ใดหรือโจมตีจากใน VM ก็ได้ โดยทั่วไปแล้วแรมสมัยใหม่สามารถถูกทำให้แผ่สัญญาณย่าน 2.4 GHz แต่แรมรุ่นเก่าๆ สามารถ Overclock ให้มีผลลัพธ์นี้ได้เช่นกัน วิธีการนี้ถูกตีพิมพ์ในงานวิจัย “AIR-FI: Generating Covert WiFi…

แบงก์ หวั่นข้อมูลส่วนบุคคลรั่ว หลังกฎหมายใหม่บังคับใช้

บทความน่าสนใจ

Loading

  วงการแบงก์หวั่น ข้อมูลส่วนบุคคลลูกค้ารั่วไหล หลัง “กฎหมายข้อมูลส่วนบุคคล” จะเริ่มบังคับใช้ 1 มิ.ย.64 หลังเลื่อนมา 1 ปี แต่ไม่มีความชัดเจน ทั้งมาตรฐานรวบรวมข้อมูลและแนวปฎิบัติ เหตุรอกฤษฎีกาตีความบอร์ดทั้งชุด “วินาศภัย” เบรกขยายตลาดเสนอขายประกันหรือบริการแบบอื่น พระราชบัญญัติ (พ.ร.บ.)ข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) ซึ่งจะมีผลบังคับใช้ 1 มิถุนายน 2564 หลังเลื่อนมาจากวันที่ 27 พฤษภาคม 2563 แต่จนถึงตอนนี้ก็ยังมีความไม่ชัดเจนในหลายเรื่อง เช่น มาตรฐานจัดเก็บรวบรวมข้อมูลส่วนบุคคล แนวปฎิบัติ ส่วนหนึ่งเพราะยังต้องรอสำนักงานคณะกรรมการกฤษฎีกาตีความรายชื่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล(บอร์ด) จากปัจจุบันที่มีปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม(ดีอี)เป็นประธานกรรมการชั่วคราว เมื่อบอร์ดยังไม่ชัดเจน จึงเกรงว่า จะสร้างปัญหาในทางปฎิบัติ ถ้าไม่มีรายละเอียดหรือแนวทางปฎิบัติ มาตรฐานการจัดเก็บรวบรวมข้อมูล การใช้ข้อมูลและการเปิดเผยข้อมูล ซึ่งถ้าไม่มีความชัดเจนเกี่ยวกับข้อมูลที่ต้องขอความยินยอม (Consent)จากเจ้าของข้อมูล และยังเกรงว่า เมื่อออกแนวปฎิบัติมาแล้วจะเป็นปัญหาว่า ไม่สามารถปฎิบัติ “ข้อมูลที่ต้องรวบรวมจัดเก็บนั้นมี 2 ส่วนคือ ส่วนที่ไม่ต้องขอ Consent เพราะได้รับยกเว้น…

เจาะแอปพลิเคชันโควิดสิงคโปร์ ติดตามตัวโดยบลูทูธ ย้ำไม่ละเมิดข้อมูลส่วนตัว

บทความน่าสนใจ

Loading

  แอปพลิเคชันรายงานสถานการณ์โควิด-19 และติดตามผู้ป่วย ‘เทรซ ทูเกตเตอร์’ มีชาวสิงคโปร์ใช้มากกว่า 70 เปอร์เซ็นต์ กลายเป็นแอปฯสู้โควิด-19 ที่ถูกยกให้เป็นแอปฯ ที่ประสบความสำเร็จที่สุด นอกจากนี้ยังมี โทเคน หรืออุปกรณ์พกพาเป็นทางเลือกสำหรับผู้สูงอายุและเด็กที่ไม่มีโทรศัพท์มือถือ ส่วนประชาชนที่ไม่อยากดาวน์โหลดแอปฯให้หนักเครื่องก็สามารถใช้ โทเคน ได้เช่นกัน ส่วนแอปฯของญี่ปุ่น และฮ่องกง กลับสวนทางประชาชนไม่เลือกใช้เพราะความซับซ้อนของวิธีใช้งาน และกังวลการละเมิดข้อมูลส่วนตัว นักวิเคราะห์ชี้ ความเชื่อมั่นในรัฐบาลของประเทศนั้นๆ ถือเป็นอีกปัจจัยสำคัญที่เป็นตัวชี้วัดว่าประชาชนนั้นจะใช้แอปพลิเคชันได้อย่างสนิทใจหรือไม่   สัปดาห์ที่ผ่านมาสิงคโปร์ประกาศว่า แอปพลิเคชัน ‘เทรซ ทูเกตเตอร์’ (TraceTogether) ที่ถูกพัฒนาขึ้นเพื่อใช้ติดตามตัวประชาชนต่อสู้กับโรคโควิด-19 มีผู้สมัครใช้กว่า 5.7 ล้านคน หลังจากการรณรงค์ของรัฐบาลสิงคโปร์ ที่ระบุชัดว่าถึงแม้จะไม่มีการประกาศบังคับใช้ประชาชนโหลดแอปพลิเคชันดังกล่าว แต่ผู้ที่ไม่มีแอปฯอาจถูกปฏิเสธให้เข้าสถานที่ต่างๆ รวมไปถึงร้านอาหาร ส่งผลให้มีประชาชนสมัครใช้งานเพิ่มเป็นจำนวนมาก หลังจากที่ก่อนหน้านี้ มีหลายฝ่ายกังวลเกี่ยวกับการละเมิดข้อมูลส่วนตัวของผู้ใช้ ทำให้มีการแก้ไขปรับปรุงจุดด้อย ซึ่งแอปพลิเคชัน ดังกล่าวยังเป็นหนึ่งในปัจจัยสำคัญที่จะนำพาสิงคโปร์เข้าสู่การผ่อนคลายมาตรการป้องกนการแพร่ระบาดของโรคโควิด-19 ในเฟส 3 ก่อนปีใหม่นี้ รู้จัก เซฟเอ็นทรี และเทรซ ทูเกตเตอร์ รัฐบาลสิงคโปร์ได้ใช้การเช็กอิน ผ่านระบบดิจิทัลหรือเรียกว่า ‘เซฟเอ็นทรี’ ซึ่งคล้ายคลึงกับ…

โคตรเซียน “ไอโอ” คือไอโอรัสเซีย

บทความน่าสนใจ

Loading

ประเทศที่ทำไอโอมากที่สุดในโลกและสำเร็จมากที่สุด รัสเซียทำอย่างไรและกำลังมุ่งไปทางไหน กลยุทธ์การรบแบบสับขาหลอกของรัสเซีย (หรือสหภาพโซเวียตในขณะนั้นฉ ที่โด่งดังมากในช่วงสงครามเย็นคือสิ่งที่เรียกว่า “มาสกิรอฟสกา” (Maskirovka) ซึ่งแปลว่าการอำพราง แต่มันมีความหมายมากกว่านั้น สารานุกรมการทหารของสหภาพโซเวียตในปี 1944 นิยาม “มาสกิรอฟสกา” ว่าเป็นวิธีการรักษาที่มั่นในการปฏิบัติการรบโดยอาศัย “ความซับซ้อนของมาตรการเป็นการชี้นำให้ศัตรูเข้าใจผิด” โดยสรุปก็คือ “มาสกิรอฟสกา” คือการใช้กลยุทธ์อำพราง ซ่อนเร้น หรือแม้แต่การทำแบบเปิดเผยเพื่อให้อีกฝ่ายเข้าใจผิด หรือใช้ภาษาชาวบ้านทุกวันนี้ก็คือ “ปฏิบัติการไอโอ” (Information Operations) ในระยะหลัง “มาสกิรอฟสกา” ไม่ใช่แค่การอำพรางในสนามรบ แต่ยังรวมถึงกลยุทธ์การเมืองและการทูตรวมถึงการบิดเบือน “ข้อเท็จจริง” เกี่ยวกับสถานการณ์และการรับรู้ที่จะส่งผลกระทบต่อสื่อมวลชนและความคิดเห็นทั่วโลก เพื่อบรรลุหรืออำนวยความสะดวกในด้านยุทธวิธียุทธศาสตร์ระดับชาติและเป้าหมายระหว่างประเทศ ปฏิบัติการที่ทำให้สื่อและความเห็นสาธารณะเข้าใจผิดคือการปล่อย “ความเท็จ” เพื่อสร้าง “ความจริงใหม่” ทำให้อีกฝ่ายถูกหลอกด้วยข่าวปลอมที่คิดว่าเป็นความจริงจนกระทั่งกลายเป็นหมูในอวยของฝ่ายศัตรู หลังสิ้นสุดสงครามเย็นแล้ว “มาสกิรอฟสกา” หายเข้ากลีบเมฆไปเพราะรัสเซียอ่อนแอลงและโลกไม่ได้เป็นสนามชิงอำนาจของประเทศใหญ่ๆ อีก จนกระทั่งถึงช่วงปลายทศวรรษที่ 2010 “มาสกิรอฟสกา” ก็เริ่มคืบคลานกลับเข้ามาอีก และมันหนักข้อขึ้นเรื่อยๆ ในช่วงไม่กี่ปีที่ผ่านมานี้ รัสเซียกลับมาแข็งแกร่งมากขึ้ภายใต้การบริหารของวลาดิมีร์ ปูติน ขณะเดียวกันชาติตะวันตกก็พยายามบีบรัสเซียด้วยการรุกคืบเข้าในเขตอิทธิพลเดิมของรัสเซียคือยุโรปตะวันออกและอดีตประเทศในเครือสหภาพโซเวียต เหตุการณ์ที่นำไปสู่การแตกหักคือความวุ่นวายในยูเครน กรณีนี้ทำให้ “กลยุทธ์ไอโอสับขาหลอก” กลับมาผงาดอีกครั้ง มาเรีย สเนโกวายา ผู้เชี่ยวชาญด้านการเมืองจากมหาวิทยาลัยโคลัมเบีย ทำการวิเคราะห์การทำสงครามข้อมูลข่าวสารของปูตินในกรณียูเครนเอาไว้โดยบอกว่ารัสเซียใช้รูปแบบสงครามลูกผสมขั้นสูง (Hybrid warfare) ในยูเครนตั้งแต่ต้นปี 2014 โดยใช้กลยุทธ์ที่เรียกว่า “การควบคุมแบบสะท้อนกลับ” “การควบคุมแบบสะท้อนกลับ” (Reflexive Control) คือวิธีการถ่ายทอดข้อมูลไปยังคู่ต่อสู้ โดยใช้ชุดข้อมูลเตรียมไว้เป็นพิเศษเพื่อโน้มน้าวให้เขาตัดสินใจล่วงหน้าโดยสมัครใจตามที่ผู้ริเริ่มปฏิบัติการกระทำต้องการให้เป็นอย่างนั้น สรุปสั้นๆ…

เปิดเเผนรัสเซียขยายอิทธิพลเพื่อ ‘แทรกซึมการเมืองสหรัฐฯ’ ต่อเนื่อง

บทความน่าสนใจ

Loading

Putin’s language สี่ปีหลังจากการเตือนภัยและเตรียมการต่อต้านการเเเทรกแซงของรัสเซียต่อการเลือกตั้งอเมริกัน หน่วยงานข่าวกรองสหรัฐฯ มั่นใจว่า การเลือกตั้งเมื่อวันที่ 3 พฤศจิกายนที่ผ่านมา ไม่เกิดเหตุการณ์ซ้ำรอยเมื่อปี ค.ศ. 2016 ที่รัสเซียสามารถเจาะล้วงระบบข้อมูลและขยายอิทธิพลต่อกระบวนการประชาธิปไตยอเมริกา อย่างไรก็ตาม ผู้สันทัดกรณีกล่าวว่ารัสเซียยังคงพยายามขยายปฏิบัติการด้านข้อมูลข่าวสารในรูปแบบที่แยบยลกว่าในอดีต จากเดิมที่รัสเซียใช้บัญชีโซเชี่ยลมีเดียปลอมสร้างเนื้อหาและเผยเเพร่ข้อมูล ปัจจุบันกลวิธีใหม่ๆ ถูกนำมาใช้เพื่อชี้นำความคิดในสังคมอเมริกัน เช่น การแทรกซึมเข้าไปในวงการข่าวและสื่อสังคมออนไลน์ โดยมุ่งเป้าไปที่กลุ่มขวาจัดและซ้ายจัดในอเมริกา เอวานา ฮู ซีอีโอ ขององค์กร Omelas ที่ศึกษาเกี่ยวกับความคิดสุดโต่งออนไลน์ ให้สัมภาษณ์กับวีโอเอว่า วิธีการลักษณะนี้ของรัสเซียสามารถสร้างความสนใจและมีปฏิกิริยาตอบโต้บนสื่อออนไลน์โดยผู้ใช้สื่อจำนวนนับล้านคน เธอบอกว่าโพสต์เหล่านี้ถูกออกแบบมาอย่างดี เพื่อกระตุ้นความรู้สึก ทั้งทางบวกและทางลบต่อเป้าหมาย องค์กรของเธอซึ่งตั้งอยู่ที่กรุงวอชิงตัน วิเคราะห์เนื้อหาที่รัสเซียปล่อยออกมาบนสื่อสังคมไลน์ 1 ล้าน 2 แสนโพสต์บน 11 แพลตฟอร์มช่วง 90 วัน ก่อนและหลังวันเลือกตั้งประธานาธิบดีสหรัฐฯ 3 พฤศจิกายน US-politics-vote-RALLY องค์กร Omelas พบว่าสื่อของรัสเซียที่ปล่อยข้อมูลออกมามากในอันดับต้นๆได้เเก่ RT, Sputnik, TASS และ Izvestia TV Omelas…

Data Privacy กับ Digital Trust ความเป็นส่วนตัวของข้อมูลบนความเชื่อมั่นด้านความปลอดภัย

บทความน่าสนใจ

Loading

โดยนายวรเทพ ว่องธนาการ ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น บริษัท ยิบอินซอย จำกัด บนโลกดิจิทัล ข้อมูลคือขุมทรัพย์มูลค่ามหาศาล โดยเฉพาะข้อมูลส่วนบุคคล (Personal Data) ที่สามารถสร้างมูลค่าทางธุรกิจให้กับผู้ผลิตสินค้าและบริการ การได้มาซึ่งข้อมูลส่วนบุคคลทั่วไปในการระบุตัวตน เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ และข้อมูลที่มีความอ่อนไหวสูง (Sensitive Data) เช่น ข้อมูลที่บ่งบอกพฤติกรรมการใช้ชีวิตและการบริโภค รสนิยม ข้อมูลสุขภาพ ซึ่งทำให้องค์กรสามารถนำข้อมูลเหล่านั้นมาวิเคราะห์เพื่อนำเสนอสินค้าและบริการใหม่ ๆ ให้กับลูกค้าได้โดยใช้เวลาน้อยลง และเกิดผลสัมฤทธิ์แบบ  วิน-วิน กล่าวคือ ลูกค้าให้การยอมรับต่อการนำข้อมูลส่วนตัวไปใช้ประโยชน์อย่างเจาะจงเพื่อตอบสนองความต้องการที่ตรงจุดและโดนใจได้แม่นยำกว่าในอดีต ขณะที่การดูแลเอาใจใส่ที่ลูกค้าได้รับเป็นพิเศษจะนำมาซึ่งความจงรักภักดี (Loyalty) ที่ยั่งยืนต่อสินค้าและบริการขององค์กรได้ด้วย ครบทุกมิติการจัดการข้อมูลความเป็นส่วนตัว – Data Privacy Management (DPM) หน่วยงานที่ดูแลความปลอดภัยด้านไอทีมีบทบาทสำคัญโดยตรงต่อการลดความเสี่ยงและสร้างความเชื่อมั่นด้านความปลอดภัย (Digital Trust) ต่อข้อมูลความเป็นส่วนตัว โดยต้องทำให้ลูกค้าไว้วางใจได้ว่า หนึ่ง การใช้ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับแอปพลิเคชันหรือบริการอื่นใดทั้งในองค์กร นอกองค์กร หรือเชื่อมโยงข้ามพรมแดน จะถูกเก็บรวบรวม เข้าถึง ประมวลผล และเคลื่อนย้ายถ่ายโอนอย่างเหมาะสม ปลอดภัย สอง สามารถสร้างประโยชน์แบบเฉพาะเจาะจง (Hyper-Personalization) ตรงตามสัญญาที่ให้ไว้กับเจ้าของข้อมูล และเป็นไปตามธรรมาภิบาลด้านข้อมูล (Data Governance)…