บทเรียน “กรณีความบกพร่องต่อการรักษาความลับของสำนักงานความมั่นคงแห่งชาติสหรัฐฯ”

สำนักข่าวรอยเตอร์ได้รายงานข่าวในวันที่ 6 ตุลาคม 2559 ตามเวลาประเทศสหรัฐฯ หัวข้อข่าว “N.S.A. contractor charged with stealing secret data” ระบุว่าสำนักงานสืบสวนกลางสหรัฐฯ (FBI) ได้จับกุมนายแฮโรลด์มาร์ติน เจ้าหน้าที่บริษัทบูซ, อัลเลน แอนด์ แฮมิลตัน อิงค์ (Booz, Allen & Hamilton Inc.) ผู้รับเหมาของสำนักงานความมั่นคงแห่งชาติสหรัฐฯ (N.S.A.) โดยนายมาร์ตินถูกดำเนินคดีในความผิดทางอาญาข้อหาขโมยทรัพย์สินของทางราชการ เคลื่อนย้ายหรือเก็บรักษาสิ่งที่เป็นเอกสารหรือวัสดุที่มีชั้นความลับของราชการหรือของบริษัทรับเหมาโดยไม่ได้รับอนุญาต โดยหลักฐานถูกพบในที่พักและยานพาหนะเป็นเอกสารและข้อมูลดิจิทัลที่เป็นข้อมูลชั้นลับที่สุดและ/หรือมีเนื้อหาอ่อนไหว นอกจากนั้นยังมีคำสั่งหรือโค๊ดในโปรแกรม ซึ่งเขียนด้วยภาษาคอมพิวเตอร์ (source code) ที่สหรัฐใช้สำหรับการแฮ็กระบบของรัฐบาลในรัสเซีย จีน เกาหลีเหนือ และอิหร่าน มุมมองด้านการรักษาความปลอดภัย การให้บุคคลภายนอกหรือภาคเอกชนเป็นผู้สร้างและพัฒนา รวมถึงดูแล ซ่อมบำรุงระบบ (Network) ของหน่วยงาน/องค์กรรัฐซึ่งทำให้สามารถเข้าถึงข้อมูลของระบบได้ทั้งหมด ทำให้ง่ายต่อการแฮ็กข้อมูลหรือขโมยข้อมูลและจากกรณีศึกษาดังกล่าวบริษัทบูซ, อัลเลน แอนด์ แฮมิลตัน ประกอบธุรกิจที่ปรึกษาเกี่ยวกับการบริหารจัดการองค์กรและเทคโนโลยี ซึ่งหลายหน่วยงานภาครัฐของสหรัฐฯ ใช้บริการ เช่น กระทรวงกลาโหม สำนักงานความมั่นคงแห่งชาติสหรัฐฯ…

ข้อมูลส่วนบุคคลผู้ใช้มือถือ บริหารอย่างไรให้ปลอดภัย

กสทช. ร่วมกับเครือข่ายพลเมืองเน็ต (Thai Netizen Network) จัดประชุม NBTC Public Forum ครั้งที่ ๖/๒๕๕๙ เรื่อง “ข้อมูลส่วนบุคคลผู้ใช้มือถือ บริหารอย่างไรให้ปลอดภัย” เมื่อวันที่ ๑๓ ตุลาคม ๒๕๕๙ ณ โรงแรมเอเชีย กรุงเทพฯ สรุปสาระสำคัญ ดังนี้ ๑.  หลักการป้องกันข้อมูลที่ต้องคำนึงถึง ได้แก่ ๑) วัตถุประสงค์และรูปแบบ/วิธีการเก็บข้อมูล ๒) ความถูกต้องของข้อมูลและกำหนดระยะเวลาการเก็บรักษาข้อมูล ๓) วิธีการใช้ข้อมูลส่วนบุคคล ๔) การรักษาความปลอดภัยข้อมูลส่วนบุคคล เช่น การเข้ารหัส (Encryption) การซ่อนข้อมูล (Masking/Hiding) ๕) ข้อมูลข่าวสารพร้อมใช้งานทั่วไป และ ๖) การเข้าถึงข้อมูลส่วนบุคคล ทุกประเด็นที่กล่าวมามีใจความสำคัญด้านการรักษาความปลอดภัย คือ ๑) การรักษาความปลอดภัยข้อมูลส่วนบุคคล ๒) การเก็บรักษาข้อมูล ๓) การลบข้อมูล โดยหน่วยงานต้องมีการจำกัดระดับ (Level) และกำหนดสิทธิ์ของผู้ใช้งาน…

อาชญากรรมคอมพิวเตอร์ แฮกเกอร์ – แฮกติวิสต์? // โดย พิชญ์ พงษ์สวัสดิ์

อาชญากรรมคอมพิวเตอร์อาจจะเป็นคำที่แคบไป แต่ก็เป็นคำที่ใช้ในบ้านเราอย่างเป็นทางการ ขณะที่ในโลกนั้นอาจจะนิยมคำว่า อาชญากรรมไซเบอร์ (cybercrime หรือ cyber crime) มากกว่า อาชญากรรมไซเบอร์นั้นเป็นคำที่รวมเอาลักษณะของอาชญากรรมหลายอย่างไว้ด้วยกัน Alisdair Gillespie ศาสตราจารย์ด้านนิติศาสตร์ แห่งมหาวิทยาลัย Lancaster ได้กล่าวไว้ในหนังสือ Cybercrime: Key Issues and Debates (Routledge, 2016) ว่าประกอบไปด้วย 1.อาชญากรรมต่อคอมพิวเตอร์ (crimes against computers) หมายรวมทั้งอาชญากรรมที่ไม่เคยมีก่อนยุคอินเตอร์เน็ต และอาชญากรรมที่มีคอมพิวเตอร์เป็นเป้าหมาย ทั้งนี้ คำจำกัดความของคอมพิวเตอร์นั้นรวมไปถึงโทรศัพท์และเครื่องมือสมัยใหม่อื่นๆ ที่คำนวณผลข้อมูลด้วย 2.อาชญากรรมต่อทรัพย์สิน (crimes against property) โดยใช้คอมพิวเตอร์เพื่อมุ่งไปสู่ทรัพย์สิน รวมไปถึงเรื่องทางการเงินและ ทรัพย์สินทางปัญญา 3.อาชญากรรมที่เกี่ยวข้องกับเนื้อหาที่ผิดกฎหมาย (crimes involving illicit content) หมายถึงเกี่ยวข้องกับการเผยแพร่ข้อความ (โพสต์) หรือให้พื้นที่ในการจัดเก็บเนื้อหาเหล่านั้น หรือการเข้าถึง เนื้อหาเหล่านั้น 4.อาชญากรรมต่อบุคคล (crimes against the person)…

ปี 2016 ได้มีการละเมิดข้อมูลมากกว่า 40%

สำหรับปี 2016 ได้มีการละเมิดข้อมูลมากกว่า 40% เมื่อเทียบจากปีที่ผ่านมา รายงานจาก CyberScout และ The Identity Theft Resource พบว่าปี 2016 มีการละเมิดทั้งหมดจำนวน 1093 ครั้ง เพิ่มขึ้นจาก 780 ใน ปี 2015 โดย 52% เป็นหมายเลขประกันสังคมเพิ่มขึ้นจากปี 2015 โดยขึ้นมา 8.2% แต่มีเพียง 13% ของการละเมิดข้อมูลบัตรเคดิตและบัตรเดบิต ซึ่งลดลง 7.4 % จากปี 2015 SSN (Social Security number) เป็นหมายเลขที่ออกให้เฉพาะบุคคล หมายเลขนี้จะไม่มีซ้ำกัน ในการทำธุรกรรมหลายอย่างจำเป็นต้องใช้ จะถูกการโจมตีที่เรียกว่า Phishing Attacks ซึ่งเป็นข้อมูลที่สำคัญ โดยทั่วไปจะมีความจำเป็นในการยื่นเพื่อเสียภาษี กรมสรรพากรกระตุ้นให้ผู้บริโภคและโรงงานอุตสาหกรรมการแจ้งเตือนแจ้งเตือนเพื่อแก้ไขปัญหานี้ โดยรวม, Hack / Skimming / Phishing…

9 สิ่งที่ควรลบออกจากเฟสบุค

สิ่งที่คุณควรลบออกจากเฟซบุ๊กของคุณซะ ถ้าคุณมีข้อมูลเหล่านี้อยู่ละก็ มันไม่เป็นผลดีต่อชีวิตของคุณแน่นอน… ที่มา : Facebook Infographic Thailand ลิงค์ : https://www.facebook.com/infographic.thailand/?fref=ts

เตือนภัย PROJECTSAURON จารกรรมไซเบอร์ระดับสูง โจมตีการสื่อสารเข้ารหัสของหน่วยงานรัฐ

     เมื่อเดือนกันยายน 2558 ที่ผ่านมา แพล็ตฟอร์มต่อต้านการโจมตีแบบพุ่งเป้าแคสเปอร์สกี้ แลป (Anti-Targeted Attack Platform) ตรวจพบสิ่งผิดปกติในเน็ตเวิร์กองค์กรของลูกค้า นักวิจัยศึกษาต่อและพบ “ProjectSauron” (โปรเจ็คเซารอน) ซึ่งเป็นผู้ก่อภัยคุกคามระดับชาติ มุ่งโจมตีองค์กรของรัฐโดยใช้เครื่องมือเฉพาะสำหรับเหยื่อแต่ละราย ทำให้วิธีการบ่งชี้ว่าระบบถูกแฮกนั้นเกือบสูญประโยชน์ ภัยคุกคามนี้มีเป้าหมายเพื่อเป็นการจารกรรมไซเบอร์โดยเฉพาะ      “ProjectSauron” สนใจช่องทางการสื่อสารที่เข้ารหัสเป็นพิเศษ ใช้แพลตฟอร์มจารกรรมไซเบอร์แบบโมดูลลาร์ขั้นสูงในการเข้าถึงช่องทาง พร้อมเครื่องมือและเทคนิคเฉพาะ กลยุทธ์ที่น่าจับตามองคือการหลบเลี่ยงแพทเทิร์นอย่างรอบคอบ “ProjectSauron” จะจัดแต่งอิมแพลนต์และอินฟราสตรักเจอร์สำหรับเหยื่อแต่ละราย และไม่มีการนำมาใช้ซ้ำ วิธีการเช่นนี้ เมื่อนำไปใช้ร่วมกับรูทหลายเส้นทางที่ใช้ส่งต่อข้อมูลที่ถูกขโมย ( เช่น ช่องทางอีเมลที่ถูกกฎหมาย และระบบโดเมนเนม หรือ DNS ) จะทำให้ “ProjectSauron” สามารถสร้างแคมเปญลับในการลักลอบสืบข้อมูลระยะยาวในเน็ตเวิร์กของเป้าหมาย      “ProjectSauron” เป็นผู้ก่อภัยคุกคามแบบดั้งเดิมที่มีประสบการณ์มาก มีความมุ่งมั่นพยายามเรียนรู้จากผู้ก่อภัยคุกคามขั้นสูงรายอื่น ๆ อย่าง Duqu, Flame, Equation และ Regin รวมถึงนำเทคนิคนวัตกรรมใหม่ ๆ มาใช้…