เปิดมุมมองความปลอดภัยไซเบอร์

Loading

    ในช่วงที่ผ่านมาได้มีการจัดงาน Trend Micro Risk to Resilience World Tour โดยมีผู้เชี่ยวชาญได้มาร่วมแลกเปลี่ยนประสบการณ์และมุมมองด้านภัยคุกคามทางไซเบอร์ รวมไปถึงการวางกลยุทธ์รับมือภัยคุกคามที่เกิดขึ้นจริงในปัจจุบัน จึงอยากมาแชร์มุมมองต่างๆ เพราะปัจจุบันเรื่องภัยไซเบอร์นับว่าเป็นปัญหาใกล้ตัวทุกคนเป็นอย่างมาก   เริ่มกันที่ ชัชวัฒน์ อัศวรักวงศ์ กรรมการผู้จัดการและประธานเจ้าหน้าที่บริหารด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ (CISO) กสิกร บิซิเนส-เทคโนโลยี กรุ๊ป (KBTG) เล่าถึงสถานการณ์ที่ธุรกิจต้องรับมือกับการโจมตีว่า ในวันที่ธุรกิจธนาคารต้องยกระดับ ดิสรัปต์ตัวเองเข้าสู่ดิจิทัล เพื่อลดต้นทุนและเข้าถึงผู้บริโภคมากขึ้น ทำให้ทุกธนาคารต้องรับมือการโจมตีในรูปแบบคล้ายๆ กัน ไม่ว่าจะเป็น มัลแวร์ แรนซัมแวร์ หากใครมีจุดอ่อนหรือช่องโหว่ให้แฮกเกอร์เห็นก็จะถูกโจมตีทันที ขณะที่การโจมตี DDoS ยังมีอยู่ตลอดและไม่ได้ลดลง   ขณะที่บางองค์กรถูกโจมตีผ่าน Third Party เพราะเปิดให้พนักงานนำเครื่องมือส่วนตัวมาเชื่อมกับเน็ตเวิร์กในองค์กร หรือการนำเครื่องจากองค์กรกลับไปทำงานต่อที่บ้าน ซึ่งองค์กรจะต้องตระหนักว่าการทำงานลักษณะนี้มันปลอดภัยหรือไม่ และองค์กรพร้อมรับมือจากการถูกโจมตีรูปแบบนี้ไหม หรือในปัจจุบันที่ ChatGPT เข้ามาช่วยให้คนทำงานง่ายขึ้น ที่ผ่านมามีหลายองค์กรนำโค้ดหรือช่องโหว่องค์กรไปถาม ChatGPT ว่าสิ่งที่ทำอยู่มันดีหรือไม่ เพียงเพราะอยากให้ ChatGPT ช่วยแนะนำ กลับกลายเป็นว่าข้อมูลบริษัทของตัวเองรั่วไหลออกไปสู่โลกออนไลน์…

หยุดวิกฤตวันสิ้นโลก: AI อันตรายกับองค์กรของคุณอย่างไร

Loading

    เครื่องมือ AI ช่วยเพิ่มประสิทธิภาพในการทำงานได้ก็จริง แต่ก็ทำให้ชีวิตของวายร้ายไซเบอร์สะดวกขึ้นด้วยเช่นกัน งานวิจัยจาก Salesforce ให้ข้อมูลว่าผู้บริหารอาวุโสฝ่ายไอทีราว 2 ใน 3 (67%) ให้ความสำคัญกับ Generative AI (AI เชิงสร้างผลงาน) ในอนาคตอันใกล้นี้ ขณะเดียวกันราว 71% ก็เชื่อว่า AI จะนำมาซึ่งความเสี่ยงด้านความปลอดภัยของข้อมูลในรูปแบบใหม่ ๆ     ข้อมูลจากสมาคมผู้ประกอบการปัญญาประดิษฐ์ประเทศไทยระบุว่า ประเทศไทยมีการใช้ AI อย่างแพร่หลาย ทั้งในระดับผู้ประกอบการไปจนถึงหน่วยงานภาครัฐ โดยส่วนใหญ่ตื่นตัวในการนำเทคโนโลยี AI มาใช้ในองค์กร ขณะเดียวกันรายได้ของบริษัทสตาร์ตอัปด้านการพัฒนา AI ของไทยก็เพิ่มขึ้น 25% ในปี 2565 และคาดการว่าเพิ่มขึ้นราว 35% ในปี 2566   ปัจจุบันคนร้ายได้ใช้ ChatGPT และ Generative AI เพื่อช่วยเขียนโค้ดอันตราย (และอวดผลงานระหว่างกันในกลุ่มนักพัฒนา) ขณะที่ฝ่ายสนับสนุน ChatGPT…

เปิดเทคนิคการโจมตี ด้วย ‘ChatGPT’ แบบใหม่

Loading

  ปัจจุบัน ChatGPT ได้รับความสนใจจากผู้ใช้งานเป็นวงกว้างและคาดว่าจะเพิ่มสูงขึ้นเรื่อย ๆ ซึ่งจุดนี้เองนี้ที่ทำให้เหล่าบรรดาแฮ็กเกอร์มองเห็นโอกาสและช่องโหว่ในการบุกเข้าโจมตีเหยื่อ   ในวันนี้ผมจะขออธิบายเพื่อให้ท่านผู้อ่านได้เข้าใจถึงภัยคุกคามรูปแบบใหม่นี้เพื่อเป็นการตั้งรับกับสิ่งที่เราต้องเผชิญในเร็ว ๆ นี้กันนะครับ   ก่อนอื่นเลยผมขอพูดถึงเรื่องเทคนิคการโจมตีทางไซเบอร์แบบใหม่ที่ได้รับการขนานนามในวงการว่า “AI package hallucination” โดยได้รับการเปิดเผยจากทีมนักวิจัยว่า มีการใช้โมเดลภาษา OpenAI ChatGPT ทำให้แฮ็กเกอร์สามารถปล่อยสิ่งที่เป็นอันตรายเข้าไปในระบบที่นักพัฒนาทำงานอยู่   ChatGPT จะสร้างสิ่งต่าง ๆ ไม่ว่าจะเป็น URL ตัวอย่างอย่างอิงอ้าง (Reference) ไลบรารีโค้ด (Library code) และฟังก์ชันที่ไม่มีอยู่จริงขึ้นมาใหม่ โดยการปลอมแปลงโมเดลภาษาขนาดใหญ่หรือ LLM ซึ่งได้มีการรายงานแจ้งเตือนและอาจเป็นผลลัพธ์ที่ได้มาจากการเทรนนิ่งก่อนหน้านี้แล้ว   ทั้งนี้แฮ็กเกอร์จะใช้ความสามารถสร้างรหัสของ ChatGPT และใช้ประโยชน์จากไลบรารีโค้ดที่สร้างขึ้นเป็นแพ็กเกจเพื่อหลอกลวงและเผยแพร่ออกสู่โลกไซเบอร์ผ่าน typosquatting หรือ masquerading   เทคนิคนี้จะดำเนินการผ่านการตั้งคำถามกับ ChatGPT เพื่อขอแพ็คเกจการแก้ไขปัญหาเกี่ยวกับโค้ดและขอคำแนะนำแพ็กเกจที่หลากหลาย รวมไปถึงการขอบางแพ็คเกจที่ไม่ได้เผยแพร่ในที่เก็บข้อมูลที่ถูกกฏหมาย   จากนั้นจะเริ่มกระบวนการต่อไปคือการแทนที่แพ็กเกจเหล่านี้ทั้งหมดด้วยแพ็คเกจปลอมต่าง ๆ ซึ่งแฮ็กเกอร์จะหลอกล่อผู้ที่มีแนวโน้มจะใช้ตามคำแนะนำของ ChatGPT   ทั้งนี้ จากการทำ…

ทนายสหรัฐที่ใช้ตัวอย่างคดีปลอมในชั้นศาล ถูกศาลตัดสินสั่งปรับ 5,000 ดอลลาร์

Loading

  หลังจากการพิจารณาคดี ที่ทนายความ Steven Schwartz ใช้หลักฐานและตัวอย่างคดีปลอมจาก ChatGPT ในคดีฟ้องร้องเรียกค่าเสียหายกับสายการบิน Avianca ของโคลอมเบีย   ล่าสุด ศาลแขวงแมนแฮตตัน สหรัฐอเมริกา มีคำสั่งให้ Steven Schwartz, Peter LoDuca (ผู้รับช่วงต่อคดีจาก Steven) และ สำนักงานกฎหมายต้นสังกัด Levidow, Levidow & Oberman ถูกปรับ 5,000 ดอลลาร์   ผู้พิพากษาให้เหตุผลว่า Steven จงใจให้ข้อมูลเท็จกับศาลโดยการใช้หลักฐานและคดีปลอมจาก AI ขณะที่สำนักงานกฎหมายของฝั่ง Steven โต้แย้งว่าเป็นความผิดโดยบริสุทธิ์ใจ   ในคดีระหว่าง Steven และสายการบิน Avianca ซึ่งเป็นที่มาของเหตุการณ์ครั้งนี้ สายการบินขอให้ศาลยกฟ้อง ขณะที่ Steven รวบรวมหลักฐานคดีต่าง ๆ จาก ChatGPT ซึ่งเป็นข้อมูลปลอมมาใช้สู้คดี แต่กลับไม่สามารถหาที่มาของทั้ง 6 คดีที่นำมาอ้างได้เมื่อถูกทีมกฎหมายของสายการบินทวงถาม…

Group-IB เตือนแฮ็กเกอร์ได้ล็อกอิน ChatGPT ไปมากขึ้นเรื่อยๆ

Loading

  บริษัทความปลอดภัยไซเบอร์ Group-IB ออกรายงานเหตุข้อมูลรั่วไหลจากมัลแวร์ขโมยข้อมูล พบว่า ช่วงหลังมัลแวร์ที่อาละวาดหนักๆ 3 ตัว คือ Raccoon , Vidar , และ Redline ดึงข้อมูลล็อกอิน ChatGPT ไปได้มากขึ้นเรื่อยๆ ตามความนิยมในบริการ โดยรวมพบล็อกอิน ChatGPT หลุดกว่าแสนรายการแล้ว   ไม่มีข้อมูลว่ามัลแวร์เหล่านี้มุ่งดึงข้อมูลเว็บ ChatGPT เป็นการเฉพาะ แต่การใช้งาน ChatGPT ในช่วงหลังเกี่ยวกับงานมากขึ้นเรื่อยๆ รายงานนี้ก็เป็นเครื่องเตือนใจว่าควรดูแลความปลอดภัย ChatGPT ให้ดี และรีเซ็ตรหัสผ่านหากมีเหตุข้อมูลรั่วไหล การตั้งค่าเริ่มต้นของ ChatGPT จะเก็บประวัติการแชตเป็นค่าเริ่มต้น หากพนักงานใส่ข้อมูลที่เป็นความลับในแชตก็อาจจะทำให้ข้อมูลเหล่านี้หลุดไปยังคนร้ายด้วย ที่มา – Group-IB   ——————————————————————————————————————————————————————————   ที่มา : blognone     /     วันที่เผยแพร่ 21 มิ.ย.66 Link : https://www.blognone.com/node/134461

ChatGPT ความเสี่ยงจาก การสร้างเนื้อหาที่ผิดพลาด

Loading

    ChatGPT เป็นตัวอย่างหนึ่งของ Generative AI ที่สามารถสร้างเนื้อหาได้เองกำลังเริ่มมีการใช้งานอย่างแพร่หลายมากขึ้น ทั้งนำมาเขียนจดหมาย รายงาน บทความ หรือช่วยระดมความคิดเห็นต่างๆ รวมไปจนถึงนำไปเขียนโค้ดในการพัฒนาโปรแกรม   ChatGPT เป็นตัวอย่างหนึ่งของ Generative AI ที่สามารถสร้างเนื้อหาได้เองกำลังเริ่มมีการใช้งานอย่างแพร่หลายมากขึ้น ทั้งนำมาเขียนจดหมาย รายงาน บทความ หรือช่วยระดมความคิดเห็นต่างๆ รวมไปจนถึงนำไปเขียนโค้ดในการพัฒนาโปรแกรม ซึ่งเราจะเห็นความน่าทึ่งจากความสามารถของ ChatGPT ในการสร้างข้อมูล   แต่ในขณะเดียวกัน เราก็ยังพบว่า ChatGPT อาจจินตนาการและสร้างข้อมูลที่ไม่ถูกต้องมาได้ด้วย จนเริ่มมีคำถามว่าเราควรจะอนุญาตให้มีการใช้ ChatGPT ในงานด้านต่างๆ เพียงใด และหากมีการนำมาใช้งานจำเป็นจะต้องระบุด้วยหรือไม่ว่าเนื้อหาถูกสร้างจาก ChatGPT   เหตุผลหลักที่ทำให้ ChatGPT สร้างข้อมูลที่ไม่ถูกต้องได้นั้น เกิดจากการที่ ChatGPT ได้รับการเรียนรู้มาด้วยข้อมูลจำนวนมหาศาลจากเนื้อหาในอินเทอร์เน็ต ที่อาจประกอบไปด้วยข้อมูลทั้งที่ถูกต้อง และที่ไม่ถูกต้อง ซึ่ง ChatGPT ไม่สามารถตรวจสอบความถูกต้องของข้อมูลที่ได้จากการเรียนรู้ ดังนั้นจึงไม่แปลกใจที่มันจะสร้างข้อมูลที่ไม่ถูกต้องออกมาในบางครั้งจากคลังความรู้ที่ผิดๆ บางส่วน   นอกจากนี้ ChatGPT ถูกฝึกอบรมมาจากข้อมูลถึงเมื่อเดือนกันยายน…