Tag Archives: ความปลอดภัยไซเบอร์

Botnet of Things – ภัยคุกคามจาก Internet of Things และแนวทางการรับมือ

ภาพรวม ปัจจุบันการใช้งานอุปกรณ์ที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ (Internet of Things หรือ IoT) เช่น กล้องวงจรปิด สมาร์ตทีวี หรือเครื่องใช้ไฟฟ้าที่เชื่อมต่ออินเทอร์เน็ตได้ มีแนวโน้มเพิ่มขึ้นเรื่อย ๆ แต่เนื่องจากอุปกรณ์เหล่านี้ส่วนใหญ่ไม่ได้ถูกติดตั้งหรือไม่ได้ถูกออกแบบมาให้มีระบบการรักษาความมั่นคงปลอดภัยที่ดีพอ ทำให้ผู้ประสงค์ร้ายสามารถเจาะระบบเพื่อควบคุมอุปกรณ์ดังกล่าวมาใช้เป็นเครื่องมือในการโจมตีได้ อุปสรรคต่อมาคือในหลายกรณีผู้ใช้งานไม่สามารถที่จะป้องกันหรือดำเนินการแก้ไขปัญหาด้วยตนเองได้ เพราะตัวอุปกรณ์ไม่ได้ถูกออกแบบมาให้รองรับการปรับปรุงด้านความมั่นคงปลอดภัยตั้งแต่แรก ก่อนหน้านี้ ความเสี่ยงของการใช้งานอุปกรณ์ IoT มักถูกพูดถึงเฉพาะในแง่ของการสูญเสียความเป็นส่วนตัว เช่น การเจาะระบบกล้องวงจรปิดเพื่อใช้สอดแนม แต่ปัจจุบันเนื่องจากการมีการใช้งานอุปกรณ์ IoT ในรูปแบบอื่นๆ เพิ่มมากขึ้น ก็ยิ่งทำให้มีความเสี่ยงในด้านอื่นๆ เพิ่มมากขึ้นตามไปด้วย เช่น การเจาะระบบอุปกรณ์ทางการแพทย์เพื่อขโมยข้อมูลด้านสุขภาพ หรือเปลี่ยนแปลงการทำงานของอุปกรณ์ ซึ่งอาจส่งผลกระทบต่อการรักษาพยาบาลหรือกรณีร้ายแรงที่สุดอาจส่งผลต่อชีวิตของผู้ป่วยได้ [1] ปัจจุบันหนึ่งในปัญหาใหญ่ของการใช้งานอุปกรณ์ IoT คือการเจาะระบบเพื่อควบคุมอุปกรณ์ดังกล่าวมาใช้ในการโจมตีทางไซเบอร์ ที่ผ่านมา อุปกรณ์ IoT เคยถูกควบคุมเพื่อใช้ในการโจมตีทางไซเบอร์อยู่หลายครั้ง สาเหตุหลักเกิดจากอุปกรณ์จำนวนมากถูกติดตั้งโดยใช้รหัสผ่านที่มาจากโรงงาน ทำให้ผู้ประสงค์ร้ายสามารถล็อกอินเข้าไปติดตั้งมัลแวร์ในอุปกรณ์ดังกล่าวเพื่อควบคุมมาใช้ในการโจมตีได้ หนึ่งในเหตุการณ์ที่เคยเกิดขึ้นคือมีการใช้มัลแวร์ชื่อ Mirai ควบคุมอุปกรณ์ IoT ไปโจมตีแบบ DDoS ความรุนแรงสูงถึง 1.1 Tbps (เทระบิตต่อวินาที) บริษัท Gartner…

ผลวิจัยพบ web application กว่า 80% มีช่องโหว่ด้านความมั่นคงปลอดภัยตาม OWASP Top 10

บริษัท Contrast Security รายงานผลการตรวจสอบความมั่นคงปลอดภัยของ web application โดยอ้างอิงจาก OWASP Top 10 (https://www.owasp.org/index.php/Top_10_2013-Top_10) พบสถิติที่น่าสนใจคือ 80% ของ web application ที่ถูกทดสอบมีช่องโหว่อย่างน้อย 1 จุด โดยเฉลี่ยแล้วพบช่องโหว่ 45 จุดต่อหนึ่ง web application ข้อมูลอื่นๆ ที่น่าสนใจมีดังนี้ 69% มีช่องโหว่ให้ถูกขโมยข้อมูลสำคัญได้ (sensitive data exposure) 55% มีช่องโหว่ cross-site request forgery 41% มีช่องโหว่การยืนยันตัวตนและการจัดการเซสชั่น (broken authentication and session management) 37% มีปัญหาการตั้งค่าความมั่นคงปลอดภัย (security misconfiguration) 33% มีปัญหาการจัดการระดับสิทธิการเข้าใช้งาน (missing function level access control) การพัฒนา…

ข้อมูลส่วนบุคคลผู้ใช้มือถือ บริหารอย่างไรให้ปลอดภัย

กสทช. ร่วมกับเครือข่ายพลเมืองเน็ต (Thai Netizen Network) จัดประชุม NBTC Public Forum ครั้งที่ ๖/๒๕๕๙ เรื่อง “ข้อมูลส่วนบุคคลผู้ใช้มือถือ บริหารอย่างไรให้ปลอดภัย” เมื่อวันที่ ๑๓ ตุลาคม ๒๕๕๙ ณ โรงแรมเอเชีย กรุงเทพฯ สรุปสาระสำคัญ ดังนี้ ๑.  หลักการป้องกันข้อมูลที่ต้องคำนึงถึง ได้แก่ ๑) วัตถุประสงค์และรูปแบบ/วิธีการเก็บข้อมูล ๒) ความถูกต้องของข้อมูลและกำหนดระยะเวลาการเก็บรักษาข้อมูล ๓) วิธีการใช้ข้อมูลส่วนบุคคล ๔) การรักษาความปลอดภัยข้อมูลส่วนบุคคล เช่น การเข้ารหัส (Encryption) การซ่อนข้อมูล (Masking/Hiding) ๕) ข้อมูลข่าวสารพร้อมใช้งานทั่วไป และ ๖) การเข้าถึงข้อมูลส่วนบุคคล ทุกประเด็นที่กล่าวมามีใจความสำคัญด้านการรักษาความปลอดภัย คือ ๑) การรักษาความปลอดภัยข้อมูลส่วนบุคคล ๒) การเก็บรักษาข้อมูล ๓) การลบข้อมูล โดยหน่วยงานต้องมีการจำกัดระดับ (Level) และกำหนดสิทธิ์ของผู้ใช้งาน…

อาชญากรรมคอมพิวเตอร์ แฮกเกอร์ – แฮกติวิสต์? // โดย พิชญ์ พงษ์สวัสดิ์

อาชญากรรมคอมพิวเตอร์อาจจะเป็นคำที่แคบไป แต่ก็เป็นคำที่ใช้ในบ้านเราอย่างเป็นทางการ ขณะที่ในโลกนั้นอาจจะนิยมคำว่า อาชญากรรมไซเบอร์ (cybercrime หรือ cyber crime) มากกว่า อาชญากรรมไซเบอร์นั้นเป็นคำที่รวมเอาลักษณะของอาชญากรรมหลายอย่างไว้ด้วยกัน Alisdair Gillespie ศาสตราจารย์ด้านนิติศาสตร์ แห่งมหาวิทยาลัย Lancaster ได้กล่าวไว้ในหนังสือ Cybercrime: Key Issues and Debates (Routledge, 2016) ว่าประกอบไปด้วย 1.อาชญากรรมต่อคอมพิวเตอร์ (crimes against computers) หมายรวมทั้งอาชญากรรมที่ไม่เคยมีก่อนยุคอินเตอร์เน็ต และอาชญากรรมที่มีคอมพิวเตอร์เป็นเป้าหมาย ทั้งนี้ คำจำกัดความของคอมพิวเตอร์นั้นรวมไปถึงโทรศัพท์และเครื่องมือสมัยใหม่อื่นๆ ที่คำนวณผลข้อมูลด้วย 2.อาชญากรรมต่อทรัพย์สิน (crimes against property) โดยใช้คอมพิวเตอร์เพื่อมุ่งไปสู่ทรัพย์สิน รวมไปถึงเรื่องทางการเงินและ ทรัพย์สินทางปัญญา 3.อาชญากรรมที่เกี่ยวข้องกับเนื้อหาที่ผิดกฎหมาย (crimes involving illicit content) หมายถึงเกี่ยวข้องกับการเผยแพร่ข้อความ (โพสต์) หรือให้พื้นที่ในการจัดเก็บเนื้อหาเหล่านั้น หรือการเข้าถึง เนื้อหาเหล่านั้น 4.อาชญากรรมต่อบุคคล (crimes against the person)…

เจาะลึกมัลแวร์เรียกค่าไถ่ Satan พร้อมให้บริการแบบ Ransomware-as-a-Service

นักวิจัยด้านความมั่นคงปลอดภัยนาม Xylitol ออกมาแจ้งเตือนถึง Ransomware ตัวใหม่ ชื่อว่า Satan ให้บริการแบบ Ransomware-as-a-Service (RaaS) ช่วยให้อาชญากรไซเบอร์สามารถสร้าง Ransomware เป็นของตัวเอง พร้อมแพร่กระจายเรียกค่าไถ่เหยื่อทั่วโลก Satan เป็น Ransomware-as-a-Service ที่ช่วยให้ผู้ไม่ประสงค์ดีที่ถึงแม้จะไม่มีความรู้เชิงเทคนิค สามารถสร้างและปรับแต่ง Ransomware เป็นของตัวเองได้ ในขณะที่ RaaS จะเป็นตัวจัดการการชำระเงินค่าไถ่และคอยอัปเดตฟีเจอร์ใหม่ๆ ให้ ค่าไถ่ที่ได้รับแต่ละครั้งจะถูกหักออก 30% เพื่อเป็นค่าบริการของ RaaS แต่ถ้าสามารถหาเหยื่อจ่ายค่าไถ่ได้มากเท่าไหร่ ค่าบริการที่หักออกมานี้ก็จะลดลงมากเท่านั้น ภาพด้านล่างแสดงหน้า Homepage ของ Satan SaaS ซึ่งจะแนะนำ Ransomware อธิบายถึงบริการ และวิธีที่ผู้ไม่ประสงค์จะใช้ Satan เพื่อทำเงิน เมื่อผู้ไม่ประสงค์ดีลงทะเบียนและล็อกอินเข้าสู่หน้าหลัก พวกเขาจะเจอหน้า Console ซึ่งประกอบด้วย Page จำนวนมากสำหรับช่วยสร้าง ปรับแต่ง และแพร่กระจาย Ransomware ไม่ว่าจะเป็น Malwares, Droppers, Translate,…

นักวิจัยญี่ปุ่นค้นพบช่องโหว่รูปถ่ายลายนิ้วมือ

  นักวิจัยญี่ปุ่นประสบความสำเร็จในการคัดลอกข้อมูลลายนิ้วมือจากภาพดิจิตอลของบุคคลที่ถ่ายรูปชูสองนิ้วเป็นสัญลักษณ์รูปตัว V หรือเรียกอีกชื่อหนึ่งว่า เครื่องหมายสันติภาพ สามารถใช้เอกลักษณ์นี้ในการเช่นการเข้าถึงมาร์ทโฟนหรือทำลายและการเข้ามาในพื้นที่ที่ จำกัด เช่นอพาร์ทเม้นท์ อิซาโอะ อิชิเซน อาจารย์ของญี่ปุ่นแห่งชาติสถาบันสารสนเทศบอกกับรอยเตอร์ การชูสองนิ้วพบบ่อยมากในรูปถ่ายของคนญี่ปุ่น อิชิเซน และเพื่อนนักวิจัย ทาเทโอะ โอกาเนะ ทำซ้ำการทดลองเมื่อวันศุกร์ พวกเขาสกัดลายนิ้วมือ จากการถ่ายภาพดิจิตอลที่ระยะ 3 เมตร (9.8 ฟุต) ภาพความละเอียดสูงถ่ายด้วยเลนส์ 135 มิลลิเมตรติดตั้งอยู่บนกล้องดิจิตอล SLR สแกนลายนิ้วมือพบในการใช้ยืนยันตัวบุคคลโดยใช้รหัสผ่านหรือหมายเลขประจำตัว (PIN) กับเครื่องอิเล็กทรอนิกส์ต่างๆ เช่น โทรศัพท์มือถือ แล็ปท็อป ฮาร์ดไดรฟ์ภายนอก และกระเป๋าสตางค์อิเล็กทรอนิกส์ NTT DoCoMo ผู้ให้บริการโทรศัพท์มือถือที่ใหญ่ที่สุดของญี่ปุ่น  ยังไม่ได้รับรายงานใด ๆ กับความผิดพลาดของข้อมูลลายนิ้วมือบนอุปกรณ์ของลูกค้า ที่มา : VOA  January 16, 2017 1:23 PM ลิงค์ : http://www.voanews.com/a/fingerprint-photos/3678345.html