Tag Archives: ความปลอดภัยไซเบอร์

ผู้เชี่ยวชาญ AI เตือนโลกระวังการพัฒนา AI สู่ด้านมืด

ผู้เชี่ยวชาญด้านปัญญาประดิษฐ์จากหน่วยงานระดับท็อปของวงการ 26 แห่งออกรายงานเตือนโลกให้ระวังการนำปัญญาประดิษฐ์ไปใช้ในทางที่ผิดแล้ว โดยสถาบันที่ปรากฏชื่ออยู่ในรายงานฉบับนี้ เป็นชื่อที่หลายคนรู้จักกันดี ยกตัวอย่างเช่น องค์กรไม่แสวงกำไร OpenAI (ที่อีลอน มัสก์เคยเป็นบอร์ดแต่เพิ่งประกาศลาออกจากบอร์ดไปเมื่อเร็ว ๆ นี้), ศูนย์ศึกษาด้าน Existential Risk จากมหาวิทยาลัยเคมบริดจ์, สถาบัน Future of Humanity Institute จากมหาวิทยาลัยออกฟอร์ด เป็นต้น สำหรับรายงานดังกล่าว มีชื่อเต็มว่า “The Malicious Use of Artificial Intelligence: Forecasting, Prevention, and Mitigation” ที่ระบุถึงความเสี่ยงของการใช้งานปัญญาประดิษฐ์ในทางที่ผิดกฎหมาย เช่น อาจใช้ปัญญาประดิษฐ์ไปในการโจมตีผู้อื่น แถมด้วยความล้ำหน้าในปัญญาประดิษฐ์นั้น อาจทำให้ผู้โจมตีกระทำการได้ด้วยต้นทุนที่ถูกลง และสะดวกมากขึ้น เนื่องจากสามารถกำหนดเป้าหมายได้เป็นการเฉพาะมากขึ้นด้วย โดยในรายงานได้ชี้ว่า การโจมตีด้วย AI จะเกิดขึ้นได้ในสามรูปแบบนั่นคือ การโจมตีบนโลกดิจิทัล เช่น การปลอมเสียงเป็นบุคคลอื่น หรือการใช้ AI ในการเจาะระบบ, การโจมตีทางกายภาพ เช่น การนำโดรนขนาดเล็กที่ติดอาวุธเพื่อใช้ในการโจมตีแบบที่ปรากฏในภาพยนตร์ของเน็ตฟลิกซ์ เรื่อง Black Mirror กับการนำฝูงโดรนขนนาดเล็กมาใช้ในการสังหาร และรูปแบบการโจมตีที่อาจเกิดขึ้นได้แบบที่สามก็คือการนำ AI…

แฮ็กเกอร์สามารถใช้ฟีเจอร์ Sceenshot ใน macOS ขโมยรหัสผ่านได้

นักวิจัยพบฟังก์ชัน Screenshot สามารถถูกนำไปใช้ขโมยรหัสผ่านได้ โดยแฮ็กเกอร์เพียงแค่ใช้ฟังก์ชันดังกล่าวร่วมกับ OCR (Optical Character Recognition) หรือกระบวนการแปลงรูปภาพจำพวกลายมือหรือข้อความในรูปภาพให้กลายเป็นข้อความ Text บนเครื่องคอมพิวเตอร์ ด้วยความสามารถนี้ทำให้แฮ็กเกอร์สามารถอ่านข้อความที่เป็นรหัสผ่านได้ ฟังก์ชัน Screenshot นั้นคือ GCWindoListCreateImage โดยนาย Felix Krause ผู้ก่อตั้ง Fastlane Tools บริษัทที่ให้บริการแพลตฟอร์มโอเพ่นซอร์สบน Android และ iOS กล่าวว่าแอปพลิเคชันใดก็สามารถใช้งานฟังก์ชันนี้อย่างลับๆ โดยไม่ต้องได้รับการอนุญาตจากผู้ใช้งาน ซึ่งในการทดลอง Krause กล่าวว่าเขาได้ใช้ไลบรารี่ OCR มาช่วยอ่านข้อมูลที่ได้จากการเก็บภาพหน้าจอพบว่าได้ข้อมูลสำคัญหลายอย่างตามด้านล่างนี   สาเหตุที่ Krause ต้องออกมาเผยช่องโหว่นี้ผ่านบล็อกของตนเนื่องจากได้รายงานเรื่องกับ Apple ตั้งแต่พฤศจิกายนปีที่แล้วแต่ทางบริษัทไม่มีการแก้ไขใดๆ นอกจากนี้ Krause ได้แนะนำให้ทาง Apple บรรเทาปัญหาด้วยการเพิ่มการแสดงสิทธิ์อนุญาตให้แอปพลิเคชันที่ต้องใช้งานฟังก์ชันนี้และมีการแจ้งเตือนผู้ใช้งานว่าแอปพลิเคชันกำลังเก็บภาพหน้าจอซึ่งจะช่วยให้ซอฟต์แวร์ด้านความมั่นคงปลอดภัยของ Mac สามารถดักจับและหยุดความพยายามนี้ได้ด้วย ————————————————————— ที่มา : TECHTALK Thai / February 12, 2018 Link : https://www.techtalkthai.com/macos-screenshot-abuse-can-read-credential-and-sensitive-data/

ข้อมูลส่วนตัวของลูกค้า Swisscom กว่า 800,000 ราย รั่วไหลสู่สาธารณะ

Swisscom บริษัทผู้ให้บริการทางด้านโทรคมนาคมที่ใหญ่ที่สุดในสวิตเซอร์แลนด์ เผลอทำข้อมูลส่วนตัวของลูกค้ากว่า 800,000 ราย รั่วไหลสู่สาธารณะ คิดเป็นเกือบ 10% ของประชากรประเทศสวิตเซอร์แลนด์ทั้งหมด Credit: Helpnetsecurity ข้อมูลที่รั่วไหลออกสู่สาธารณะ ประกอบไปด้วยข้อมูลส่วนตัวของลูกค้าของ Swisscom เช่น ชื่อ-นามสกุล, ที่อยู่, วันเดือนปีเกิด, เบอร์โทรศัพท์ และข้อมูลอื่นๆ ซึ่ง Swisscom เองไม่ได้นิ่งนอนใจ ออกแถลงการณ์ผ่านหน้าเว็บไซต์เกี่ยวกับรายละเอียดของข้อมูลที่รั่วไหล สามารถอ่านเพิ่มเติมได้ที่นี่ ทัั้งนี้ข้อมูลดังกล่าวถูกจัดอยู่ในหมวดหมู่แบบ “Non-sensitive” ภายใต้กฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล นั่นคือไม่มีข้อมูลที่ละเอียดอ่อน (Sensitive) เช่น พาสเวิร์ด, หมายเลขบัตรเครดิต, บทสนทนาต่างๆ และข้อมูลในการชำระเงิน การรั่วไหลของข้อมูลในครั้งนี้ คาดว่าเกิดจากเปลี่ยนแปลงสิทธิ์ในการเข้าถึงข้อมูลต่างๆ ของบริษัทคู่ค้าของ Swisscom ซึ่งโดยปกติแล้วจะถูกจำกัดสิทธิ์ในการเข้าถึงข้อมูลต่างๆ ระบบจะบังคับให้มีการใส่ยูสเซอร์เนมและพาสเวิร์ดก่อนเสมอเพื่อเข้าถึงข้อมูล แต่แฮ็คเกอร์น่าจะอาศัยช่องโหว่บางอย่างเพื่อหลบหลีกการยืนยันตัวตนนี้ ท้ายที่สุดแล้ว Swisscom ตัดสินใจเพิ่มมาตรการรักษาความปลอดภัยให้มีความเข้มงวดมากขึ้น มีการเปิดใช้งานระบบยืนยันตัวตนแบบสองชั้น (Two-factor authentication) สำหรับบริษัทคู่ค้า รวมไปถึงการห้ามให้มีการค้นฐานข้อมูลลูกค้าคราวละมากๆ เพื่อป้องกันปัญหาที่อาจจะเกิดขึ้นได้ในอนาคต ที่มา : techtalkthai ลิงค์ : https://www.techtalkthai.com/swisscom-data-breach-800000-customers-affected/  

Facebook และ Microsoft ออกระบบ Privacy ใหม่ รับ GDPR

General Data Protection Regulation (GDPR) หรือกฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองที่อาศัยอยู่ในเขตสหภาพยุโรปเตรียมถูกประกาศใช้อย่างเป็นทางการในเดือนพฤษภาคม 2018 ที่จะถึงนี้ ทำให้หลายบริษัททั่วโลกเตรียมรีบเร่งเพื่อออกนโยบายและมาตรการควบคุมให้สอดคล้องกับกฎหมายดังกล่าว ไม่เว้นแม้แต่บริษัทยักษ์ใหญ่อย่าง Facebook และ Microsoft Credit: ShutterStock.com เพื่อสามารถให้บริการตาม GDPR ทาง Facebook ได้ออก Global Privacy Center ใหม่ เพื่อให้ผู้ใช้ Facebook สามารถบริหารจัดการข้อมูลที่ตนต้องการจะแชร์ หรืออีกนัยหนึ่งคือ ตั้งค่าความเป็นส่วนบุคคล (Privacy) ของตนได้อย่างครอบคลุม สำหรับ Microsoft นั้น ได้เพิ่มหน้า Activity History เข้าไปยัง Microsoft Privacy Dashboard ซึ่งช่วยให้ผู้ใช้สามารถดูว่ามีข้อมูลอะไรที่บันทึกอยู่ในบัญชีของ Microsoft บ้าง รวมไปถึงปรับแต่งความเป็นส่วนบุคคลของตนบนอุปกรณ์และเบราว์เซอร์ได้ และในอีกไม่กี่เดือนข้างหน้านี้ ผู้ใช้จะสามารถเรียกดูและบริหารจัดการข้อมูลที่ใช้ไป กิจกรรมที่เกิดขึ้นบนอุปกรณ์และบริการต่างๆ รวมไปถึงสามารถนำข้อมูลที่เห็นบน Dashboard ออกมาและลบบางส่วนที่ไม่ต้องการทิ้งได้ ตรงกับความต้องการของ GDPR ที่ระบุว่าผู้ใช้ต้องมีสิทธิ์ลบข้อมูลส่วนบุคคลทิ้งได้ตามความต้องการ นอกจากนี้ยังมี…

ใครคือผู้ได้รับผลกระทบจากกฏหมาย GDPR

กฏหมาย GDPR กำลังจะถูกใช้ในกลุ่มประเทศ EU ประมาณกลางปี 2018 โดยเรื่องนี้มีผู้ได้ผลกระทบไม่น้อย วันนี้เราจึงสรุปบทความที่นำเสนอถึงมุมมองว่า GDPR นั้นมีผลกระทบอย่างไร จริงๆแล้วใครมีผลกระทบบ้างและบริษัทหรือผู้ให้บริการ Cloud มีการรับมือกับกฏหมายนี้อย่างไร ซึ่งแม้แต่ในประเทศเราเองหากท่านใดที่มีการทำธุรกิจกับกลุ่มประเทศใน EU หรือมีการใช้ Cloud ในโซนนั้นก็ได้รับผลกระทบเช่นเดียวกัน ส่วนนึงที่สำคัญมากกับกฏหมายนี้คือคำว่า ‘Data Localization‘ ซึ่งอ้างถึงการเก็บข้อมูลต้องอยู่ภายในภูมิภาคหรือประเทศเดียวกันกับที่ๆ ข้อมูลนั้นเกิดขึ้น ซึ่งประเทศอย่าง จีน เยอรมัน สวิตเซอร์แลนด์ เนเธอแลนด์ รัสเซีย อินโดนีเซีย แคนย่า แทนซาเนีย และอีกหลายประเทศสามารถผ่านคำสั่งนี้ก่อนปี 2018 แล้ว อันที่จริงแล้ว GDPR ได้กล่าวถึงการที่ข้อมูลส่วนบุคคลจะสามารถถูกส่งไปในประเทศนอก EU ซึ่งมีระดับการปกป้องที่ได้รับการรับรองแล้วเท่านั้น หากองค์กรใดมีข้อสงสัยแม้เพียงน้อยนิดต่อปลายทางนั้นก็ไม่สามารส่งข้อมูลไปที่นั่นได้ เนื่องด้วยบทปรับอันแสนแพงหลายองค์กรจึงต้องทำให้แน่ใจว่าข้อมูลของลูกค้าจะไม่ออกไปนอก EU รวมถึงประเทศที่ข้อมูลนั้นเกิดขึ้นด้วย นอกจากนี้ภายในกฏหมาย GDPR ยังมีนิยามคำว่า ‘Data Controller’ และ ‘Data Processor’ ที่ต้องเข้าใจดังนี้ Data Controller หมายถึง…

เวียดนามตั้งกองกำลังทำสงครามไซเบอร์เพื่อปราบปรามกลุ่มต่อต้านรัฐบาล

1. เวียดนามดำเนินมาตรการเชิงรุกขยายวงกว้างปราบปรามกลุ่มต่อต้านรัฐบาล ซึ่งใช้อินเทอร์เน็ตหรือสื่อสังคมออนไลน์เป็นเครื่องมือเผยแพร่ทัศนคติและข้อมูลข่าวสารโฆษณาชวนเชื่อต่อต้านรัฐบาลในเชิงลบ โดยพลโท Nguyen Trong Nghia รองประธานกรมการเมืองใหญ่ กองทัพประชาชนเวียดนาม เปิดเผยเมื่อ 25 ธันวาคม 2560 ว่า เวียดนามมีหน่วยพิเศษ Force 47 เป็นหน่วยทำสงครามไซเบอร์ในการควบคุม/ตรวจสอบความเคลื่อนไหวทางการเมืองและสื่อมวลชนผ่านกิจกรรมออนไลน์ กองกำลังดังกล่าวมีเจ้าหน้าที่จำนวนกว่า 10,000 คน ซึ่งมีทักษะ ความรู้ ความชำนาญด้านเทคโนโลยี และอุดมการณ์ที่ดีทางการเมืองเป็นกองกำลังหลักร่วมกับหน่วยงานความมั่นคงภายใน ทำสงครามข้อมูลข่าวสารบนอินเทอร์เน็ตหรือเครือข่ายคอมพิวเตอร์ โดยเฉพาะกลุ่มที่พยายามบ่อนทำลายความมั่นคงของเวียดนาม     2. การเปิดเผยหน่วยงานดังกล่าวเป็นการส่งสัญญาณเตือนไปยังกลุ่มต่อต้านรัฐบาลเวียดนามถึงความจริงจังของรัฐบาลในการควบคุมความเคลื่อนไหวของกลุ่มดังกล่าวซึ่งทวีความรุนแรงมากขึ้น เห็นได้จากในห้วงหลายเดือนที่ผ่านมา เวียดนามจับกุมและจำคุกกลุ่มเห็นต่างทางการเมือง กลุ่มสนับสนุนประชาธิปไตย กลุ่มปกป้องสิทธินักเคลื่อนไหวด้านสิทธิมนุษยชน บล็อกเกอร์ นักเขียน อดีตนายทหาร และชนกลุ่มน้อยทางศาสนา (ตามประมวลกฎหมายอาญา บทลงโทษในข้อหาโฆษณาชวนเชื่อต่อต้านรัฐบาล จำคุกสูงถึง 20 ปี ขณะที่บทลงโทษกลุ่มบุคคลล้มล้างอำนาจรัฐสูงสุดคือ ประหารชีวิต) รวมถึงขอความร่วมมือจากผู้ให้บริการเทคโนโลยีรายใหญ่จากต่างประเทศให้ช่วยสกัดกั้นความเคลื่อนไหวของกลุ่มดังกล่าวเมื่อกลางธันวาคม 2560 เช่น Facebook ถอดบัญชีผู้ใช้ซึ่งวิจารณ์ผู้นำรัฐบาลและเผยแพร่การโฆษณาชวนเชื่อต่อต้านรัฐและพรรคคอมมิวนิสต์ ทั้งสิ้น 159 บัญชี ขณะที่ Google…