Tag Archives: ความปลอดภัยไซเบอร์

DHS เริ่มทดลองตรวจสอบแอปพลิเคชันด้านความเป็นส่วนตัวและความมั่นคงปลอดภัย

          กระทรวงความมั่นคงแห่งมาตุภูมิแห่งสหรัฐอเมริกา หรือ DHS ได้เริ่มต้นทดลองโปรแกรมเพื่อตรวจสอบแอปพลิเคชันร้องขอความช่วยเหลือจากบุคคลที่เกิดเหตุวิกฤต (First Responder) บน Android และ iOS ในด้านความเป็นส่วนตัวและความมั่นคงปลอดภัย โดย 33 แอปพลิเคชันจาก 20 นักพัฒนาถูกตรวจสอบในโปรแกรมเริ่มต้นครั้งนี้ 32 จาก 33 แอปพลิเคชันมีปัญหาละเมิดความเป็นส่วนตัว           จากการตรวจสอบพบว่า 32 แอปพลิเคชันมีปัญหาเกี่ยวกับความเป็นส่วนตัว โดยมีการยกระดับสิทธิ์การเข้าถึงเกินความจำเป็น เช่น ส่งข้อความ ใช้กล้อง และเข้าถึงลิสต์รายชื่อติดต่อ นอกจากนี้ 18 แอปพลิเคชันถูกระบุว่ามีช่องโหว่ที่สามารถทำ Man-in-the-Middle, การจัดการ SSL Certificate ผิดพลาด หรือ มีการฝัง Credential ลงในโค้ด การตรวจสอบนี้กินเวลาร่วม 3 เดือนรวมถึงฝ่ายสืบสวนได้เตือนไปยังนักพัฒนาแอปพลิเคชันเหล่านั้นแล้ว โดยตามรายงานสื่อของ DHS เมื่อสัปดาห์ที่แล้วกล่าวว่า 14…

“สโนว์เดน” โชว์แอปใหม่เปลี่ยนสมาร์ทโฟนเป็นกล้องวงจรปิด ป้องกันภัยสอดแนม

เอ็ดเวิร์ด สโนว์เดน (Edward Snowden) อดีตเจ้าหน้าที่ในหน่วยงานความมั่นคงแห่งชาติสหรัฐฯหรือ NSA ที่กลายเป็นผู้เปิดโปงภารกิจลับสุดยอดของ NSA จนโด่งดังทั่วโลก ประกาศเปิดตัวแอปพลิเคชันสมาร์ทโฟนใหม่ชื่อ “แฮเวน” (Haven) จุดเด่น คือ การเปลี่ยนสมาร์ทโฟนให้เป็นกล้องวงจรปิดพกพาที่สามารถป้องกันการถูกสอดแนม เบื้องต้น Haven พร้อมเปิดให้ทุกคนทดลองใช้ฟรี โดยเฉพาะนักข่าวที่อาจถูกผู้มีอิทธิพลคุกคามEdward Snowden นั้น เป็นที่รู้จักกันดีในฐานะจอมแฉที่เปิดเผยโครงการสอดแนมของสำนักงานความมั่นคงแห่งชาติของสหรัฐอเมริกา สิ่งที่ Snowden กำลังทำในขณะนี้ คือ การพัฒนาตัวช่วยให้ประชาชนทั่วโลกรู้สึกปลอดภัยมากขึ้น ด้วยการพัฒนาแอปพลิเคชันชื่อ Haven ซึ่ง Snowden การันตีว่าสามารถเปลี่ยนโทรศัพท์ระบบปฏิบัติการแอนดรอยด์ (Android) ให้เป็นระบบป้องกันการสอดแนมแบบออลอินวันครบวงจรSnowden บอกเล่าถึงแอปพลิเคชันนี้โดยเปรียบเทียบกับสุนัขเฝ้ายาม ที่เจ้าของสามารถพาสุนัขแสนซื่อสัตย์ไปที่ห้องในโรงแรม แล้ววางสุนัขทิ้งไว้ในห้องได้แม้เจ้าของจะไม่อยู่ในห้องแล้ว จุดนี้ Snowden ให้สัมภาษณ์กับสำนักข่าวไวรด์ (Wired) ในรายงานที่เผยแพร่เมื่อสุดสัปดาห์ที่ผ่านมาว่า แอปพลิเคชันนี้จะไม่ต่างจากเจ้าหมาแสนรู้ที่สามารถเป็นพยานบอกเล่าทุกอย่างที่เกิดขึ้นเมื่อเจ้าของไม่อยู่ แนวคิดของแอปพลิเคชัน Haven นั้น เรียบง่าย ผู้ใช้ต้องติดตั้งแอปพลิเคชันไว้ที่สมาร์ทโฟนที่ควรเป็นโทรศัพท์ราคาไม่แพง ซึ่งผู้ใช้สามารถวางทิ้งไว้ไกลตัวได้ จากนั้น ก็วางโทรศัพท์ไว้ในที่ที่ผู้ใช้ต้องการระวังการถูกสอดแนมวิธีนี้จะทำให้ผู้ใช้ที่อาจอยู่ในห้องพักที่โรงแรมในฮ่องกง แล้วกังวลว่า ผู้มีอิทธิพลบางรายกำลังพยายามสอดแนมติดตามพฤติกรรม สามารถติดตั้ง Haven…

เอฟบีไอ เตือน “ของเล่น” อาจเป็นเครื่องโจรกรรมข้อมูลส่วนตัว

สำนักงานสอบสวนกลางสหรัฐฯ หรือ เอฟบีไอ ออกมาเตือนว่า ของเล่นที่เด็กๆได้รับในวันคริสต์มาสหรือวันปีใหม่นั้น อาจกลายเป็นฝันร้ายสำหรับคุณได้ เพราะนี่อาจเป็นอุปกรณ์ให้เหล่าแฮกเกอร์เข้ามาล้วงข้อมูลส่วนตัวกันถึงในบ้านได้ เอฟบีไอ ไม่ได้ระบุว่า ของเล่นประเภทใดหรือจากบริษัทใดที่มีความเสี่ยง แต่ให้คำจำกัดความรวมๆว่า ของเล่นที่มีไมโครโฟน กล้อง และระบบติดตามหรือระบุพิกัด เป็นคุณสมบัติของเล่นที่เสี่ยงต่อการถูกเจาะข้อมูลและระบบความปลอดภัยของเด็กๆและครอบครัวคุณได้ ของเล่นที่มีความเสี่ยงอาจจะเป็นตุ๊กตาพูดโต้ตอบกับเด็ก หรือแท็ปเล็ตเพื่อการเรียนรู้ที่ดูไร้พิษสง เนื่องจากของเล่นเหล่านี้อาจหลุดรอดสายตาจากแผนกตรวจสอบความปลอดภัย เพื่อให้วางขายให้ทันช่วงคริสต์มาสและปีใหม่ อย่างไรก็ตาม ใครที่ซื้อของเล่นสำหรับลูกหลานไปแล้ว แต่ไม่แน่ใจว่าของเล่นนั้นมีความเสี่ยงหรือไม่ ผู้เชี่ยวชาญด้านความปลอดภัยของเทคโนโลยี แนะนำวิธีง่ายๆให้ห่างไกลจากการถูกโจรกรรมข้อมูล จากของเล่นหรืออุปกรณ์อิเล็กทรอนิกส์ใกล้ตัว 1. ค้นหาข้อมูลของขวัญหรือของเล่นต้องสงสัย – คำแนะนำจาก เบห์นัม ดายานิม (Behnam Dayanim) ผู้เชี่ยวชาญด้านความเป็นส่วนตัวและความปลอดภัยบนโลกไซเบอร์ของ Paul Hasting Law ก่อนแกะกล่องของเล่นหรือแก็ตเจ็ตที่ได้มาในวันคริสต์มาส สละเวลาอันมีค่า ค้นหาเว็บไซต์อย่างเป็นทางการของสินค้านั้นๆ เข้าไปที่ Privacy Policy หรือ นโยบายด้านความเป็นส่วนตัว ถ้าไม่มีให้โทรศัพท์ไปสอบถามโดยตรง อีกวิธีง่ายๆ คือ อ่านรีวิวหรือคำวิจารณ์ถึงสินค้าเหล่านั้นบนอินเตอร์เน็ตก่อนแกะกล่อง ถ้าพบว่ามีความเห็นที่สุ่มเสี่ยงเรื่องความปลอดภัยในการใช้สินค้าเหล่านั้น จะช่วยในการตัดสินใจได้ว่าจะเก็บไว้หรือเอาไปคืนดีหรือไม่ 2. เพิ่มความปลอดภัยให้ Wi-Fi ที่บ้าน –หากของเล่นนั้นต้องเชื่อมต่อกับอินเตอร์เน็ต ควรยกระดับความปลอดภัยของอินเตอร์เน็ต Wi-Fi…

สิงคโปร์ชวนแฮกเกอร์เจาะระบบ

กลาโหมสิงค์โปร์เชิญแฮกเกอร์ 300 รายเจาะระบบรัฐบาล ทดสอบช่องโหว่ความมั่นคง สเตรทไทมส์รายงานว่า – กระทรวงกลาโหมของสิงคโปร์ จะเชิญชวนแฮกเกอร์จากทั่วโลกรวมทั้งในประเทศราว 300 คน เข้าร่วมกันเจาะระบบอินเตอร์เน็ตของรัฐบาลจำนวน 8 เว็บไซต์ ตั้งแต่วันที่ 15 มกราคม ถึง 4 กุมภาพันธ์ปีหน้าเพื่อทดสอบระบบเว็บไซต์ของรัฐบาลว่ามีช่องโหว่จนสามารถเข้ามาล้วงข้อมูลของรัฐบาลได้หรือไม่โดยหากสามารถแฮกได้สำเร็จกระทรวงจะมอบเงินราว 150 – 20,000 ดอลลาร์สิงคโปร์ ขึ้นอยู่กับความสามารถและความยากง่ายในการเจาะระบบ โครงการดังกล่าวมีขึ้นหลังจากที่เมื่อต้นปีที่ผ่านมา กระทรวงกลาโหมพบว่า แฮกเกอร์ได้เจาะข้อมูลขโมยหมายเลขโทรศัพท์และวันเกิดของบุคลากรในรัฐบาลจำนวน 854 ราย โดยนับเป็นโครงการแรกที่รัฐบาลสิงคโปร์ระดมสมองแฮกเกอร์เพื่อป้องกันรูรั่วของระบบอินเตอร์เน็ตรัฐบาล ที่มา :โพสต์ทูเดย์ ลิงค์ : https://m.posttoday.com/world/news/530314?refer=http%3A%2F%2Fm.facebook.com

พบข้อมูลรหัสผ่านกว่า 1,400 ล้านรายชื่อพร้อมให้ดาวน์โหลดผ่านเว็บใต้ดิน

ทีมนักวิจัยจาก 4iQ บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัย ออกมาเปิดเผยถึงฐานข้อมูลชื่อผู้ใช้และรหัสผ่านในรูปของ Plain-text ที่มีขนาดใหญ่ที่สุด รวมแล้วกว่า 1,400 ล้านรายการ เปิดให้ดาวน์โหลดผ่าน Dark Web หรือเว็บใต้ดินรวมไปถึง Torrent   ฐานข้อมูลดังกล่าวถูกค้นพบบนฟอรัมเว็บบอร์ดใต้ดินเมื่อวันที่ 5 ธันวาคมที่ผ่านมา เป็นฐานข้อมูลชื่อผู้ใช้และรหัสผ่านในรูปของ Plain-text ที่รวบรวมมาจากเหตุการณ์ Data Breach ในอดีตจนถึงเดือนพฤศจิกายน 2017 จำนวนมากกว่า 252 ครั้ง ถึงแม้ว่าจะไม่ใช่ข้อมูลใหม่ที่เพิ่งรั่วออกสู่สาธารณะ แต่ก็ถือได้ว่าเป็นฐานข้อมูลที่มีขนาดใหญ่ที่สุด ซึ่งประกอบด้วยชื่อผู้ใช้ รหัสผ่าน และอีเมล รวมแล้วประมาณ 1,400 ล้านรายการ และมีขนาดไฟล์ใหญ่ถึง 41 GB ฐานข้อมูลกว่า 1,400 ล้านรายการนี้ ประกอบด้วยบัญชีผู้ใช้ที่หลุดมาจาก Bitcoin, Pastebin, LinkedIn, MySpace, Netflix, YouPorn, Last.FM, Zoosk, Badoo, RedBox รวมไปถึงเกมอย่าง Minecraft…

เคล็ดลับความสำเร็จของ Phishing Attack และวิธีการป้องกันตัว

จะเห็นได้ว่าข่าวภัยคุกคามในปัจจุบันจำนวนมากได้เริ่มต้นจากการหลอกล่อผู้ใช้งานก่อนเป็นอันดับแรก วันนี้เราจึงขอสรุปวิธีการของ Phishing Attack ซึ่งเป็นการโจมตีที่ไม่มีเครื่องมือใดป้องกันได้ 100% นอกจากนี้ยังมีวิธีการป้องกันตัวให้ผู้อ่านได้เข้าใจและสามารถแนะนำคนรอบข้างได้ ผู้ร้ายได้ข้อมูลจากเหยื่อมาด้วยความเต็มใจ เทคนิคที่ประสบความสำเร็จและได้รับความนิยมมากในการหลอกลวงคือการใช้ Spear Phishing โดยแฮ็กเกอร์มีข้อมูลของเหยื่อและทำการหลอกล่อบางอย่างเพื่อให้เหยื่อหลงเชื่อยอมให้ข้อมูลสำคัญเพิ่มเติม มีผลวิจัยพบว่าในรอบ 12 ปีที่ผ่านมาเทคนิคนี้ถูกใช้เพิ่มขึ้นถึง 5,753% นอกจากนี้เทคนิคอื่นๆ ที่สามารถได้รับข้อมูลของเหยื่อเช่น Pretexting หรือการสร้างสถานการณ์เพื่อให้เหยื่อหลงเช่น ปลอมตัวเป็นคนมาทำผลสำรวจ เจ้าหน้าที่จากสรรพากรหรืออื่นๆ วิธีการ Dumpster Diving หรือการหาข้อมูลเอกสารจากถังขยะของเหยื่อก็สามารถใช้ได้เช่นกัน ผู้ร้ายเก็บข้อมูลลูกจ้างในองค์กรได้อย่างไร ก่อนที่จะเจาะจงเหยื่อภายในองค์กรได้สักคนต้องมีข้อมูลเกี่ยวกับเหยื่อก่อน ดังนั้นวิธีการหาข้อมูลว่าใครทำงานในองค์กรดังกล่าวมีหลายวิธีดังนี้ Social Media เช่น Facebook หรือ LinkedIn และอื่นๆ โดยข้อมูลพื้นฐานที่จะได้คือ ที่ทำงานในอดีต การศึกษา ข้อมูลครอบครัว การคอมเม้นและลิ้งที่เข้าไป วันที่และเหตุการณ์สำคัญในชีวิต สิ่งที่ชอบ สถานที่ๆ เคยไป รูปภาพ และอื่นๆ นอกจากนี้ยังมีข้อมูลอื่นที่ผู้ร้ายสามารถวิเคราะห์ได้เช่น การโพสต์ว่าเหยื่อน่าจะนอนหรืออยู่ในเวลาไหน สถานการณ์ของความสัมพันธ์ แนวความคิด หรือเป็นคนอย่างไรเพื่อหาเทคนิคหลอกล่อต่อไป Search Engine มีฐานข้อมูลในการค้นหาคนอย่างเช่น Pipl, Spoken และ ZabaSearch โดยไซต์เหล่านี้ได้รวบรวมโปรไฟล์ของคนจากหลายๆ แหล่งเอาไว้…