Clear
Lead Graphic Papers

ข่าวสั้น

ระวังภัย พบการใช้ฟิชชิ่งหลอกขโมยรหัส OTP ยึดบัญชี LINE ตรวจสอบก่อนตกเป็นเหยื่อ

ปัญหาการขโมยบัญชี LINE นั้นมีการรายงานเข้ามาอยู่เรื่อยๆ ถึงแม้ว่าในช่วงหลังทาง LINE เองได้มีการปรับปรุงระบบความมั่นคงปลอดภัยให้มากขึ้น อย่างเช่นการใช้รหัสยืนยันเพื่อเป็นอีกหนึ่งปัจจัยในการล็อกอิน (ข่าวเก่า https://www.thaicert.or.th/newsbite/2019-12-20-01.html) แต่หากผู้ใช้ไม่ระวังก็ยังมีความเสี่ยงที่อาจจะถูกหลอกขโมยรหัสผ่านและอาจถูกขโมยบัญชีได้

มีรายงานจากผู้ใช้ทวิตเตอร์ชื่อ Xia Tianguo ว่าพบการโจมตีแบบฟิชชิ่งเพื่อขโมยบัญชี LINE โดยหลังจากที่ผู้ประสงค์ร้ายสามารถได้อีเมลและรหัสผ่านสำหรับล็อกอินบัญชี LINE ได้แล้ว (อาจจะด้วยการเดารหัสผ่านหรือหลอกขโมยรหัสผ่าน) จะล็อกอินเข้าบัญชีดังกล่าวผ่าน LINE บน PC จากนั้นเมื่อมีการถามรหัส OTP จะส่งหน้าเว็บไซต์ปลอมไปหลอกถามข้อมูลจากเหยื่อ ซึ่งหากเหยื่อหลงเชื่อให้ข้อมูลดังกล่าวก็อาจถูกยึดบัญชี LINE ได้ทันที

การโจมตีในลักษณะนี้สามารถเกิดขึ้นได้กับบริการอื่นๆ ด้วย ผู้ใช้งาน LINE ควรตั้งรหัสผ่านที่คาดเดาได้ยากและไม่ซ้ำกับรหัสผ่านที่ใช้ในบริการอื่น ตรวจสอบ URL ของเว็บไซต์ก่อนล็อกอินบัญชี LINE หากพบข้อความแจ้งว่ามีการล็อกอินจากอุปกรณ์อื่นโดยที่ผู้ใช้ไม่ได้เป็นผู้กระทำควรเปลี่ยนรหัสผ่านทันที

วันที่: 2020-02-18 | ที่มา: Twitter (@xiatianguo), Twitter (@ozuma5119) | Share on Facebook Share on Twitter Share on Google+
Microsoft แนะนำให้ผู้ดูแลระบบพิจารณาหยุดใช้ SMBv1 ใน Exchange Server เพื่อลดความเสี่ยง

ทีม Microsoft Exchange ได้เผยแพร่บทความแนะนำให้ผู้ดูแลระบบพิจารณาปิดการใช้งานโพรโทคอล SMBv1 ใน Exchange Server เนื่องจากไม่ได้รับการสนับสนุนด้านความมั่นคงปลอดภัยแล้ว หากยังใช้งานอยู่มีความเสี่ยงสูงที่อาจจะถูกโจมตีได้ ซึ่งที่ผ่านมาจนถึงปัจจุบันก็มีมัลแวร์หลายตัวที่โจมตีผ่านช่องทางนี้ โดยทาง Microsoft ได้กำหนดให้ SMBv1 ถือเป็นโพรโทคอลที่ล้าสมัย (deprecate) ไปตั้งแต่ปี 2557 และตั้งแต่ Windows Server 2016 1709 (RS3) เป็นต้นไปก็จะไม่ติดตั้ง SMBv1 มาให้เป็นค่าเริ่มต้นแล้ว

ทาง Microsoft ได้แนะนำว่าก่อนจะปิดใช้งาน SMBv1 ควรตั้งค่าระบบให้รองรับ DAG witness server ซึ่งจะรองรับ SMBv2 ขึ้นไป ทั้งนี้ ผู้ดูแลระบบควรพิจารณาความจำเป็นของการใช้งาน SMBv1 รวมถึงความเสี่ยงและผลกระทบที่อาจจะเกิดขึ้นหากหยุดใช้หรือยังคงใช้งานโพรโทคอลดังกล่าว รายละเอียดเพิ่มเติมเกี่ยวกับการตรวจสอบและตั้งค่าเซิร์ฟเวอร์สามารถดูได้จากเว็บไซต์ของ Microsoft (https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-and-smbv1/ba-p/1165615)

วันที่: 2020-02-13 | ที่มา: Microsoft, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
สถิติฟิชชิ่งไตรมาสสุดท้ายของปี 2562 พบเว็บไซต์ปลอมของธนาคารมากที่สุด รองลงมาคือบริการคลาวด์ ส่วนใหญ่โจมตีวันศุกร์

บริษัท Vade Secure เผยแพร่รายงานผลการวิเคราะห์เว็บไซต์ฟิชชิ่ง (phishing) ซึ่งเป็นการสร้างหน้าเว็บไซต์ปลอมเพื่อหลอกขโมยรหัสผ่าน โดยการวิเคราะห์นี้ใช้ข้อมูลจาก URL ของหน้าฟิชชิ่งแยกตามประเภทของบริการที่ถูกแอบอ้าง และวันเวลาที่มีการส่งอีเมลเพื่อโจมตี สถิตินี้เป็นการรวบรวมข้อมูลจาก 76 ประเทศทั่วโลก เฉพาะหน้าฟิชชิ่งที่พบในช่วงไตรมาสที่ 4 ของปี 2562

จากรายงานพบว่าเว็บไซต์ฟิชชิ่งของบริการด้านการเงินมีมากที่สุด (40%) ตามมาด้วยฟิชชิ่งของบริการคลาวด์ (24%) และโซเชียลมีเดีย (21%) โดยแบรนด์ที่ถูกนำมาใช้หลอกลวงมากที่สุดคือ PayPal เฉลี่ยมีการสร้างหน้าฟิชชิ่งของ PayPal ขึ้นมาไม่ต่ำกว่า 124 URL ต่อวัน ในส่วนของบริการคลาวด์ส่วนใหญ่เป็นการหลอกขโมยรหัสผ่าน Office 365 (นับรวมหน้าฟิชชิ่ง OneDrive กับ SharePoint ด้วย)

อีกข้อมูลที่น่าสนใจคือเมื่อนำสถิติจำนวน URL หน้าฟิชชิ่งที่พบมาพล็อตเป็นตารางตามวันในสัปดาห์ พบว่าปริมาณการส่งอีเมลฟิชชิ่งในช่วงวันทำงาน โดยเฉพาะวันพฤหัสบดีและวันศุกร์นั้นมีเป็นจำนวนมาก ในขณะที่วันเสาร์อาทิตย์นั้นพบน้อยที่สุด อย่างไรก็ตามยังไม่มีการวิเคราะห์ว่าเหตุใดผู้ประสงค์ร้ายถึงเลือกลงมือในช่วงปลายสัปดาห์เป็นหลัก

ทั้งนี้ ทาง Vade Secure ได้จัดเรียงลำดับแบรนด์ที่ถูกสร้างหน้าฟิชชิ่งมากที่สุด โดยพบว่าหลายบริการที่นิยมใช้ในประเทศไทยอย่าง PayPal, Facebook, Microsoft, Netflix, Apple, Dropbox ติดใน 25 อันดับด้วย ผู้ใช้งานบริการเหล่านี้ รวมถึงใช้บริการธนาคารออนไลน์ ควรตรวจสอบให้แน่ใจก่อนคลิกลิงก์หรือกรอกข้อมูลในเว็บไซต์ใดๆ โดยควรพิจารณา URL ของเว็บไซต์ ตั้งรหัสผ่านที่คาดเดาได้ยากและไม่ซ้ำกับบริการอื่น รวมถึงเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัยร่วมด้วย

วันที่: 2020-02-12 | ที่มา: Help Net Security, Vade Secure | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบมัลแวร์ Emotet แพร่กระจายผ่าน Wi-Fi ควรระวังหากเชื่อมต่อ Wi-Fi สาธารณะเพราะอาจถูกขโมยเงินได้

Emotet เป็นมัลแวร์ประเภท banking trojan มีความสามารถในการขโมยข้อมูลทางการเงินเช่นรหัสผ่านบัญชีธนาคารออนไลน์ ตัวมัลแวร์ Emotet นั้นอาศัยเทคนิคใหม่ๆ ในการแพร่กระจายตัวเองอยู่ตลอดเวลา เมื่อวันที่ 6 กุมภาพันธ์ 2563 มีรายงานจากทีมวิจัยของบริษัท Binary Defense ว่าพบมัลแวร์ Emotet แพร่กระจายตัวเองไปยังเครื่องคอมพิวเตอร์อื่นๆ ที่เชื่อมต่ออยู่ใน Wi-Fi เดียวกัน

เมื่อมัลแวร์ Emotet ติดในเครื่องคอมพิวเตอร์ที่สามารถเชื่อมต่อกับ Wi-Fi ได้ มันจะสแกนว่าในบริเวณนั้นมีการปล่อย Wi-Fi อะไรบ้าง หากพบ Wi-Fi ที่สามารถเชื่อมต่อได้โดยไม่ต้องมีรหัสผ่านมันก็จะเชื่อมต่อกับ Wi-Fi นั้นทันที แต่หากพบ Wi-Fi ที่ติดรหัสผ่านมันจะพยายามเดาโดยอ้างอิงจากฐานข้อมูลรหัสผ่านที่มีอยู่ (ซึ่งหากใช้รหัสผ่านที่คาดเดาได้ง่าย ตัวมัลแวร์ก็จะเชื่อมต่อเข้าไปได้ไม่ยาก)

หลังจากที่สามารถเชื่อมต่อกับ Wi-Fi ได้แล้ว ตัวมัลแวร์จะสแกนว่ามีคอมพิวเตอร์เครื่องใดบ้างที่เชื่อมต่อกับ Wi-Fi นั้นอยู่ หากเครื่องคอมพิวเตอร์ดังกล่าวใช้งาน Windows และเปิดใช้งาน file sharing ตัวมัลแวร์จะเข้าไปลิสต์รายชื่อบัญชีผู้ใช้ในเครื่องดังกล่าว จากนั้นจะพยายามเดารหัสผ่านของบัญชีผู้ดูแลระบบเพื่อที่จะใช้แพร่กระจายตัวเองต่อไป โดยหลังจากที่ติดตั้งตัวเองเสร็จเรียบร้อยแล้ว ตัวมัลแวร์จะส่งข้อมูลกลับไปรายงานตัวกับเครื่องเซิร์ฟเวอร์ที่ใช้ควบคุมมัลแวร์ด้วย

ทาง Binary Defense ยังไม่ยืนยันว่ามัลแวร์ Emotet เริ่มใช้วิธีนี้ในการแพร่กระจายตัวเองตั้งแต่เมื่อไหร่ แต่จากข้อมูลในไฟล์มัลแวร์พบว่าถูกสร้างตั้งแต่ช่วงเดือนเมษายนปี 2561 ซึ่งอาจเป็นไปได้ว่ามีการแพร่กระจายมัลแวร์ผ่านช่องทางนี้มาเป็นเวลาเกือบ 2 ปีแล้ว นอกจากนี้ทางทีมวิจัยยังให้ข้อมูลเพิ่มเติมว่า สาเหตุที่ยังไม่เคยมีรายงานการแพร่กระจายมัลแวร์ผ่าน Wi-Fi มาก่อนหน้านี้อาจเป็นไปได้ว่าตอนที่วิเคราะห์มัลแวร์นั้นในระบบที่ใช้วิเคราะห์ไม่ได้มีการตั้งค่าให้จำลองการเชื่อมต่อ Wi-Fi จึงทำให้ตัวมัลแวร์ไม่แสดงพฤติกรรมนี้ออกมา (ทาง Binary Defense พบว่ามัลแวร์มีคุณสมบัตินี้จากการใช้วิธี reverse engineering)

เหตุการณ์นี้เป็นหนึ่งในข้อควรพิจารณาด้านความมั่นคงปลอดภัยในการใช้งาน Wi-Fi ซึ่งกรณีนี้ไม่ใช่เฉพาะแค่ Wi-Fi สาธารณะ แต่อาจรวมถึง Wi-Fi ในที่ทำงานหรือ Wi-Fi ในที่พักอาศัยด้วย

ข้อแนะนำในการป้องกัน

  • ตั้งรหัสผ่าน Wi-Fi และรหัสผ่านบัญชีผู้ใช้ที่ไม่สั้นเกินไปและคาดเดาได้ยาก ไม่ใช้รหัสผ่านซ้ำกับที่เคยใช้ในบริการอื่นๆ
  • พิจารณาก่อนเชื่อมต่อ Wi-Fi สาธารณะ หากเป็นไปได้ควรเปิดใช้ hotspot จากโทรศัพท์มือถือ
  • เปิดใช้งาน firewall เพื่อป้องกันการเชื่อมต่อที่ไม่ถึงประสงค์
  • อัปเดตแอนติไวรัสและแพตช์ของซอฟต์แวร์ที่ใช้งานอย่างสม่ำเสมอ
วันที่: 2020-02-07 | ที่มา: Help Net Security | Share on Facebook Share on Twitter Share on Google+
Microsoft เผยแพร่กรณีศึกษาการวิเคราะห์เว็บไซต์ที่ถูกโจมตีฝัง web shell พร้อมแนะนำวิธีตรวจสอบและป้องกัน

Web shell คือไฟล์ที่สามารถใช้เข้าถึงหรือส่งคำสั่งของระบบปฏิบัติการได้โดยตรงผ่านหน้าเว็บไซต์ ผู้ประสงค์ร้ายมักอัปโหลดไฟล์ประเภทนี้ขึ้นมาบนเว็บเซิร์ฟเวอร์เพื่อใช้เป็นช่องทางควบคุมสั่งการหรือขยายการโจมตีไปยังเครื่องคอมพิวเตอร์อื่นๆ ในเครือข่ายต่อในภายหลัง ตัว web shell ถือว่าเป็นมัลแวร์ประเภท backdoor การตรวจสอบว่าเครื่้องเซิร์ฟเวอร์ถูกฝัง web shell หรือไม่นั้นอาจแตกต่างจากการวิเคราะห์มัลแวร์ในลักษณะอื่นๆ ทาง Microsoft ได้เผยแพร่บทความกรณีศึกษาการวิเคราะห์เว็บเซิร์ฟเวอร์ถูกฝัง web shell โดยมีตัวอย่างลักษณะ web shell ที่พบพร้อมมีข้อแนะนำในการตรวจสอบและป้องกันด้วย

จากกรณีศึกษา ทาง Microsoft พบว่าผู้ประสงค์ร้ายได้โจมตีเซิร์ฟเวอร์ Outlook Web Access (OWA) ที่มีการตั้งค่าไม่ปลอดภัย จนทำให้สามารถอัปโหลดไฟล์ web shell เข้ามาวางไว้บนเซิร์ฟเวอร์ดังกล่าวได้ จากนั้นผู้ประสงค์ร้ายได้เรียกใช้งานตัว web shell และสั่ง brute force รหัสผ่านของบัญชีในเครือข่าย เมื่อสามารถเข้าถึงบัญชีที่มีสิทธิ์ในระดับสูงได้แล้วก็ใช้บัญชีดังกล่าวติดตั้งมัลแวร์ลงในเซิร์ฟเวอร์ Microsoft Exchange เพื่อดักอ่านข้อมูลอีเมลทั้งหมดที่รับส่ง

กรณีศึกษานี้จะเห็นได้ว่าการใช้ web shell นั้นเป็นเพียงช่องทางสำหรับเข้าถึงระบบ หากพบเซิร์ฟเวอร์ที่ถูกฝัง web shell ก็อาจเป็นไปได้ว่าเครื่องเซิร์ฟเวอร์ดังกล่าวถูกใช้ในการโจมตีเครือข่ายภายใน (หรืออาจถูกใช้โจมตีเครือข่ายภายนอกได้ด้วย) การตรวจสอบและประเมินผลกระทบก็อาจไม่ได้จำกัดเฉพาะเครื่องเซิร์ฟเวอร์ที่ถูกฝัง web shell แต่ควรตรวจสอบเครื่องคอมพิวเตอร์อื่นๆ ในเครือข่ายด้วย

โดยปกติแล้วตัว web shell จะถูกเขียนด้วยภาษาที่เว็บเซิร์ฟเวอร์นั้นรองรับ (เช่น ASP, PHP, JSP) ผู้ประสงค์ร้ายมักจะตั้งชื่อไฟล์ web shell ให้เนียนไปกับชื่อไฟล์ทั่วไปของ web application เพื่อให้ยากในการตรวจสอบ ทาง Microsoft มีข้อแนะนำในการตรวจจับการโจมตีเพื่อฝัง web shell โดยควรตรวจจับและแจ้งเตือนการเขียนไฟล์ลงในไดเรกทอรีของเว็บแอปพลิเชันเนื่องจากโดยปกติแล้วไฟล์ในไดเรกทอรีเหล่านี้มักจะไม่ได้มีการเปลี่ยนแปลงอยู่บ่อยๆ หากมีไฟล์ใหม่ถูกเพิ่มเข้ามาแบบผิดปกติควรพิจารณาว่าไฟล์นั้นน่าสงสัย หรือในกรณีที่เซิร์ฟเวอร์เป็น Windows หลังจากที่ web shell ถูกติดตั้งสำเร็จแล้ว หากมีการเข้าถึงไฟล์ดังกล่าวจะปรากฎข้อมูลใน web access log รวมถึงหากมีการใช้ web shell เพื่อสั่งรันแอปพลิเคชันอื่นๆ ในระบบ ตัวแอปพลิเคชันนั้นจะเป็น child process ของเว็บเซิร์ฟเวอร์ด้วย ซึ่งหากพบว่ามีการรัน process ในลักษณะนี้ก็อาจเป็นไปได้ว่าระบบถูกโจมตีแล้ว

ข้อแนะนำในการป้องกัน เนื่องจากการโจมตีฝัง web shell นั้นอาศัยจุดอ่อนของการตั้งค่าเว็บเซิร์ฟเวอร์หรือช่องโหว่ในเว็บแอปพลิเคชัน (โดยเฉพาะช่องโหว่ประเภทที่สามารถอัปโหลดไฟล์ใดๆ เข้ามาวางไว้บนเซิร์ฟเวอร์ได้) การตรวจสอบการตั้งค่าระบบ การตรวจสอบช่องโหว่เว็บแอปพลิเคชัน รวมถึงการติดตั้งแพตช์แก้ไขช่องโหว่อย่างสม่ำเสมอก็เป็นหนึ่งในวิธีที่สามารถช่วยได้ นอกจากนี้ควรมีการรีวิว log ของเว็บเซิร์ฟเวอร์อยู่เป็นประจำ รวมถึงปิดพอร์ตที่ไม่จำเป็นและพิจารณาบล็อกการเชื่อมต่อผ่านพอร์ตที่เป็น non-standard

วันที่: 2020-02-05 | ที่มา: Microsoft | Share on Facebook Share on Twitter Share on Google+
NIST เตรียมออกข้อแนะนำในการรับมือมัลแวร์เรียกค่าไถ่และมัลแวร์ทำลายข้อมูล กำลังเปิดรับฟังความคิดเห็น

หน่วยงาน NIST ของสหรัฐฯ เตรียมออกข้อแนะนำแนวทางการรับมือมัลแวร์เรียกค่าไถ่ (ransomware) และมัลแวร์ทำลายข้อมูล (destructive malware) โดยแบ่งเอกสารออกเป็น 2 ฉบับ คือ Identifying and Protecting Assets (NIST SP 1800-25) และ Detecting and Responding (NIST SP 1800-26)

NIST SP 1800-25 ชื่อเต็มคือ Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events โดยหลักจะเน้นในเรื่องของการประเมินความเสี่ยงโดยเฉพาะการระบุทรัพย์สินที่มีข้อมูลสำคัญ วิเคราะห์ความน่าจะเป็นที่ข้อมูลอาจเสียหายทั้งจากการถูกโจมตีจากบุคคลภายนอกและความผิดพลาดของบุคคลภายใน รวมถึงจัดทำแนวทางการสำรองข้อมูลเพื่อลดความเสียหายและผลกระทบหากระบบถูกโจมตี ข้อแนะนำนี้ลงรายละเอียดถึงขั้นระดับปฏิบัติ โดยมีขั้นตอนการใช้งานระบบสำรองข้อมูล แนวทางการตั้งค่าโดยละเอียด พร้อมภาพประกอบในแต่ละขั้นตอน

NIST SP 1800-26 ชื่อเต็มคือ Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events โดยหลักจะเน้นในเรื่องของการตรวจจับว่าระบบถูกโจมตีแล้วหรือยัง เช่น ตรวจจับความผิดปกติเมื่อพบว่าไฟล์ข้อมูลจำนวนมากถูกแก้ไขในเวลาใกล้เคียงกัน การวิเคราะห์ log เพื่อหาช่องทางการติดมัลแวร์ (เช่น จากไฟล์แนบในอีเมล จากการเข้าเว็บไซต์ หรือติดผ่าน USB เป็นต้น) ในเอกสารชุดนี้ก็มีการอธิบายลงรายละเอียดในระดับปฏิบัติพร้อมมีภาพประกอบเช่นเดียวกับเอกสารฉบับที่แล้ว

ที่ผ่านมา ปัญหามัลแวร์เรียกค่าไถ่และมัลแวร์ทำลายข้อมูลนั้นสร้างความเสียหายต่อธุรกิจและบริการเป็นจำนวนมาก อีกทั้งการแก้ไขปัญหาหลังเกิดเหตุนั้นทำได้ยาก หลายครั้งที่เหตุการณ์เหล่านี้ส่งผลกระทบถึงขั้นที่ธุรกิจไม่สามารถดำเนินต่อได้ ผู้ใช้ทั่วไปรวมถึงผู้ดูแลระบบไอทีขององค์กรควรเตรียมพร้อมรับมือไว้ล่วงหน้า

ข้อแนะนำทั้ง 2 ฉบับนี้อยู่ระหว่างการเปิดรับฟังความคิดเห็นจากสาธารณะ ซึ่งจะเปิดรับถึงวันที่ 26 กุมภาพันธ์ 2563 เพื่อเตรียมประกาศใช้งานจริงภายในปีนี้ ผู้ที่สนใจสามารถดาวน์โหลดและศึกษาเอกสารทั้ง 2 ฉบับได้จากเว็บไซต์ของ NIST

วันที่: 2020-02-04 | ที่มา: Bank Info Security | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบมัลแวร์แพร่กระจายผ่านอีเมลโดยอ้างชื่อไวรัสโคโรน่า

เป็นเรื่องปกติที่ผู้ประสงค์ร้ายมักจะฉวยโอกาสนำเรื่องที่อยู่ในความสนใจของประชาชน เช่น ข่าวอุบัติเหตุ หรือข่าวโรคระบาด มาใช้ในการหลอกลวงขโมยข้อมูลหรือแพร่กระจายมัลแวร์ เมื่อปลายเดือนมกราคม 2563 มีรายงานการแพร่กระจายมัลแวร์ Emotet โดยใช้วิธีส่งอีเมลเรื่องไวรัสโคโรน่า พร้อมกับแนบไฟล์ที่มีมัลแวร์มาด้วย

ผู้ใช้ในประเทศญี่ปุ่นแจ้งว่าได้รับอีเมลที่อ้างว่าส่งมาจากกระทรวงสาธารณสุข มีเนื้อหาเกี่ยวกับการแพร่ระบาดของไวรัสโคโรน่า โดยอีเมลฉบับดังกล่าวแนบไฟล์ Microsoft Word มาด้วย หากเปิดไฟล์แนบจะพบว่ามีสคริปต์ macro ซึ่งหากอนุญาตให้รันสคริปต์ดังกล่าว มัลแวร์ Emotet จะถูกดาวน์โหลดมาติดตั้งลงในเครื่องทันที และยังถูกใช้ส่งอีเมลแพร่กระจายมัลแวร์ต่อไปยังเครื่องอื่นๆ ด้วย

เทคนิคการโจมตีในลักษณะนี้จะมีมาอยู่เรื่อยๆ ผู้ใช้ควรระมัดระวังการเปิดไฟล์แนบหรือคลิกลิงก์จากอีเมลที่น่าสงสัย ไม่ควรเปิดใช้งาน macro ใน Microsoft Office หากไม่สามารถยืนยันความน่าเชื่อถือของไฟล์ดังกล่าว ไม่ควรล็อกอินด้วยสิทธิ์ของผู้ดูแลระบบ สำรองข้อมูลสำคัญ อัปเดตแอนติไวรัสและแพตช์ของระบบปฏิบัติการ รวมถึงหมั่นติดตามข่าวสารด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอ

หมายเหตุ: แก้ไขข้อมูลมัลแวร์ Emotet เป็นประเภทขโมยข้อมูลทางการเงิน (banking trojan)

วันที่: 2020-01-30 | ที่มา: Bleeping Computer, IBM X-Force | Share on Facebook Share on Twitter Share on Google+
ผู้ใช้ Samsung Pay ในสหรัฐฯ สามารถตั้งค่าปิดไม่ให้นำข้อมูลการใช้งานไปขายต่อ ของไทยยังไม่มีตัวเลือกนี้

เมื่อวันที่ 8 มกราคม 2563 ผู้ใช้ชื่อ Max Weinbach ได้รายงานในเว็บไซต์ XDA Developers ว่าแอปพลิเคชัน Samsung Pay เวอร์ชันสหรัฐอเมริกามีอัปเดตใหม่ โดยหลังจากที่อัปเดตและเปิดใช้งานจะพบข้อความแจ้งเรื่องการควบควบคุมความเป็นส่วนตัว โดยมีตัวเลือก Privacy controls เพิ่มขึ้นมาในเมนู เมื่อกดเข้าไปยังเมนูดังกล่าวจะพบหน้าจอแจ้งขอสิทธิ์การใช้งานข้อมูลส่วนบุคคล โดยมีการอ้างถึงกฎหมายคุ้มครองผู้บริโภคของแคลิฟอร์เนียหรือ CCPA ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีผลบังคับใช้ไปตั้งแต่วันที่ 1 มกราคม 2563 (https://www.samsung.com/us/privacy/ccpa/)

หนึ่งในข้อสังเกตที่พบในหน้าจอนี้คือทาง Samsung ได้เพิ่มตัวเลือก Do not sell ขึ้นมา โดยระบุว่าหากเปิดใช้ตัวเลือกดังกล่าว ทาง Samsung จะไม่นำข้อมูลการใช้งานไปขายต่อให้กับบริษัทอื่น อย่างไรก็ตาม ตัวเลือกนี้ไม่ได้ถูกเปิดใช้งานมาตั้งแต่แรก (หมายความว่าค่าเริ่มต้นของการใช้งาน Samsung Pay คือผู้ใช้ยินยอมให้ทาง Samsung นำข้อมูลไปขายต่อได้อยู่แล้ว) อีกทั้งตัวเลือกนี้ถูกจงใจนำมาวางไว้ด้านล่างสุดของหน้าจอ ซึ่งผู้ใช้ต้องเลื่อนข้อความด้านบนลงมาถึงจะเห็น ทั้งนี้ หากผู้ใช้ตั้งค่าไม่ให้นำข้อมูลการใช้งาน Samsung Pay ไปขายต่อ จะพบข้อความแจ้งเตือนว่าคุณสมบัติบางอย่างอาจไม่สามารถใช้งานได้

ยังไม่พบข้อมูลว่าผู้ใช้ในประเทศใดบ้างที่สามารถตั้งค่าใช้งาน Samsung Pay ได้โดยที่ไม่ถูกนำข้อมูลไปขายต่อ (นโยบายคุ้มครองข้อมูลส่วนบุคคลอาจแตกต่างกันไปตามกฎหมายของแต่ละประเทศ) ทางไทยเซิร์ตได้ตรวจสอบ Samsung Pay เวอร์ชันล่าสุดที่มีให้ดาวน์โหลดใน Play Store ของประเทศไทย (อัปเดตล่าสุด 29 มกราคม 2563 เลขเวอร์ชันอาจแตกต่างกันไปตามแต่ละอุปกรณ์) ก็ยังไม่พบตัวเลือก Do not sell เพื่อปิดไม่ให้ถูกนำข้อมูลไปขายต่อ

อย่างไรก็ตาม เมื่อเปิดใช้งานแอปพลิเคชัน Samsung Pay ในครั้งแรกจะมีการแจ้งขออนุญาตนำข้อมูลการใช้งานไปแบ่งปันให้กับบริษัทพันธมิตรของ Samsung อยู่แล้ว (เช่น ผู้ให้บริการโทรศัพท์มือถือหรือบริษัทประกัน อ้างอิงจากข้อความที่ปรากฎ) โดยทาง Samsung ได้จัดทำหน้าเว็บไซต์นโยบายความเป็นส่วนตัวเพื่ออธิบายข้อมูลส่วนบุคคลที่ถูกจัดเก็บและแบ่งปันให้กับบริษัทอื่น ซึ่งผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จาก https://account.samsung.com/membership/terms/privacypolicy ทั้งนี้ อาจต้องติดตามกันต่อไปว่าในอนาคตผู้ใช้ Samsung Pay ในประเทศไทยจะมีสิทธิ์เลือกไม่ให้นำข้อมูลไปขายเหมือนอย่างผู้ใช้ในสหรัฐฯ หรือไม่

วันที่: 2020-01-30 | ที่มา: XDA Developers, SamMobile, Computer World | Share on Facebook Share on Twitter Share on Google+
เอกสารหลุดเผย Avast Free Antivirus เก็บข้อมูลผู้ใช้ขายให้บริษัทโฆษณา เสี่ยงละเมิดความเป็นส่วนตัว

เมื่อวันที่ 27 มกราคม 2563 สำนักข่าว Motherboard ร่วมกับ PCMag ได้เผยแพร่รายงานผลการสืบสวนกรณีโปรแกรมแอนติไวรัสของบริษัท Avast เก็บข้อมูลของผู้ใช้แล้วนำไปขายต่อให้กับบริษัทอื่น ข้อมูลหลายอย่างที่ถูกเก็บไปขาย (เช่น ประวัติการเข้าชมเว็บไซต์หรือประวัติการซื้อสินค้าผ่านอินเทอร์เน็ต) อาจละเมิดความเป็นส่วนตัวของผู้ใช้งาน

ทาง Motherboard และ PCMag พบเอกสารหลุดที่ระบุว่า Avast มีบริษัทลูกชื่อ Jumpshot เพื่อขายข้อมูลผู้ใช้ให้กับบริษัทขนาดใหญ่หลายราย ถึงแม้ในเอกสารจะระบุว่าทาง Avast นั้นเก็บเฉพาะข้อมูลจากผู้ใช้ที่เลือก opt-in (ยินยอมให้เก็บข้อมูลการใช้งานได้) แต่ผู้ใช้จำนวนหนึ่งก็บอกว่าไม่เคยทราบว่ามีการแจ้งขอความยินยอมในเรื่องนี้

จากรายงาน ตัวอย่างข้อมูลที่ถูกเก็บไปขาย เช่น ประวัติการค้นหาใน Google และ Google Maps, คลิปที่เข้าชมผ่าน YouTube, รวมถึงประวัติการเข้าชมเว็บไซต์ที่มีเนื้อหาสำหรับผู้ใหญ่ ซึ่งในกรณีหลังนั้นมีการเก็บประวัติข้อความที่ค้นหาและประเภทวิดีโอที่รับชมด้วย ถึงแม้ในบรรดาข้อมูลที่ถูกเก็บไปนั้นจะถูกทำให้เป็นนิรนาม (anonymization) เช่น ไม่มีข้อมูลที่สามารถใช้ระบุตัวบุคคลได้ชัดเจน แต่ผู้เชี่ยวชาญก็วิเคราะห์ว่าทาง Jumpshot ยังจัดการกับข้อมูลได้ไม่ดีพอ จึงไม่ใช่เรื่องยากที่จะตรวจสอบย้อนกลับเพื่อระบุตัวตนเจ้าของข้อมูลดังกล่าวได้

ไทยเซิร์ตได้ทดลองติดตั้งโปรแกรม Avast Free Antivirus เวอร์ชัน 19.8.2393 ซึ่งเป็นเวอร์ชันล่าสุดที่สามารถดาวน์โหลดได้จากเว็บไซต์ (ณ วันที่เขียนข่าว) โดยพบว่าหน้าจอติดตั้งไม่ได้มีการสอบถามว่าต้องการแชร์ข้อมูลอะไรบ้าง แต่หลังจากติดตั้งเสร็จ หากเข้าไปที่หน้า Settings เลือก General และเลือกแท็บ Personal Privacy จะพบว่าตัวเลือกของการแชร์ข้อมูล threat information (ตัวเลือกที่ 1) กับการแชร์ข้อมูลการใช้งานเพื่อวิเคราะห์ประสิทธิภาพ (ตัวเลือกที่ 3) นั้นถูกเลือกมาให้อยู่แล้ว ส่วนตัวเลือกแชร์ข้อมูลการใช้งานเพื่อใช้สำหรับโฆษณา (ตัวเลือกที่ 2) นั้นไม่ได้ถูกเลือกมาให้แต่แรก ซึ่งเป็นไปได้ว่าผู้ใช้ต้องกดคลิกเอง ข้อมูลนี้ถึงจะถูกแชร์ออกไป (ทาง PCMag แจ้งว่าเมื่อใช้งานไปสักพักจะมีหน้าจอ pop-up ขึ้นมาเพื่อขอให้ผู้ใช้แชร์ข้อมูลนี้ด้วย) อย่างไรก็ตาม ในหน้าจอ Personal Privacy หากกดเข้าไปดูข้อมูลเพิ่มเติมเรื่องนโยบาย Privacy นั้นไม่ได้มีการระบุว่าข้อมูลใดบ้างที่จะถูกเก็บไปและจะถูกนำไปใช้อย่างไรบ้าง

หลังจากที่มีการเผยแพร่รายงานดังกล่าว ทางหน่วยงานคุ้มครองผู้บริโภคของสหรัฐฯ ระบุว่าเตรียมสอบสวนในเรื่องนี้แล้ว ผู้ใช้งานโปรแกรม Avast Free Antivirus ที่กังวลเรื่องความเป็นส่วนตัวควรตรวจสอบการตั้งค่าการแชร์ข้อมูล โดยเฉพาะอย่างยิ่งการแชร์ข้อมูลการใช้งานเพื่อใช้สำหรับโฆษณา

วันที่: 2020-01-28 | ที่มา: Motherboard, PCMag | Share on Facebook Share on Twitter Share on Google+
กรณีศึกษา บริษัท มิตซูบิชิ อีเล็คทริค ถูกแฮก ข้อมูลรั่วหลายพันรายการ คาดถูกเจาะผ่านช่องโหว่ของโปรแกรมแอนติไวรัส

เมื่อวันที่ 20 มกราคม 2563 บริษัท มิตซูบิชิ อีเล็คทริค สาขาใหญ่ที่ประเทศญี่ปุ่นได้ออกแถลงการณ์ว่าระบบถูกแฮกตั้งแต่ช่วงปลายเดือนมิถุนายน 2562 โดยจากการตรวจสอบพบว่าผู้ประสงค์ร้ายสามารถเข้าถึงระบบเครือข่ายภายในและได้ขโมยข้อมูลออกไปด้วย ตัวอย่างข้อมูลที่หลุดออกไป เช่น เอกสารสมัครงาน ข้อมูลพนักงาน รวมถึงข้อมูลความลับทางการค้า โดยทางบริษัทฯ พบไฟล์ต้องสงสัยบนเซิร์ฟเวอร์เมื่อช่วงเดือนกันยายน 2562 จึงได้ดำเนินการตรวจสอบและได้ผลสรุปดังกล่าว

มีรายงานเพิ่มเติมจากสำนักข่าวในประเทศญี่ปุ่นว่าบริษัท มิตซูบิชิ อีเล็คทริค นั้นถูกแฮกจากสาขาในประเทศจีนก่อน จากนั้นค่อยขยายการโจมตีมายังเครือข่ายของสาขาอื่นๆ อีก 14 แห่ง ในรายงานอ้างว่าผู้ประสงค์ร้ายโจมตีผ่านช่องโหว่ของโปรแกรมแอนติไวรัส Trend Micro OfficeScan ซึ่งเป็นช่องโหว่ที่ส่งผลให้ผู้ประสงค์ร้ายสามารถอัปโหลดไฟล์ใดๆ เข้ามาในระบบเพื่อสั่งรันโค้ดอันตรายบนเครื่องที่ตกเป็นเหยื่อได้ (ช่องโหว่รหัส CVE-2019-18187) ทั้งนี้ ทาง Trend Micro ได้ออกแพตช์แก้ไขช่องโหว่นี้เมื่อเดือนตุลาคม 2562 โดยระบุว่าพบการใช้ช่องโหว่นี้โจมตีจริงแล้ว

ทั้งนี้ ทางสำนักข่าวฯ ยังได้ให้ข้อมูลเพิ่มเติมด้วยว่า กลุ่มแฮกเกอร์ชื่อ Tick (หรือ Bronze Butler) ซึ่งเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลของบางประเทศอาจอยู่เบื้องหลังการโจมตีในครั้งนี้ด้วย อย่างไรก็ตาม ข้อมูล log หลายส่วนถูกลบไปแล้วจึงอาจไม่สามารถยืนยันความชัดเจนในเรื่องนี้ได้

กรณีศึกษานี้เป็นเรื่องของการโจมตีช่องโหว่ประเภท 0-day ซึ่งเป็นช่องโหว่ที่ถูกค้นพบแล้วแต่ยังไม่มีแพตช์ การจะตรวจจับ (detect) ว่าระบบถูกโจมตีหรือไม่นั้นอาจทำได้ยากเนื่องจากข้อมูลรายละเอียดของช่องโหว่นั้นยังไม่ถูกเปิดเผย หนึ่งในวิธีที่เป็นไปได้ในการตรวจจับการโจมตีในลักษณะนี้คือการเฝ้าระวังและสังเกตความผิดปกติในระบบ ซึ่งในกรณีนี้คือการค้นพบว่ามีไฟล์น่าสงสัยปรากฎอยู่บนเซิร์ฟเวอร์ ซึ่งทำให้ทางบริษัทสามารถดำเนินการตรวจพิสูจน์และยับยั้งความเสียหายได้ถึงแม้จะยังไม่มีแพตช์แก้ไขช่องโหว่อย่างเป็นทางการจากทางผู้พัฒนาก็ตาม หลังจากที่ตรวจพบแล้วว่าระบบถูกโจมตีก็จะเข้าสู่ขั้นตอนของการรายงานเหตุ (reporting) และการประเมินความเสียหาย (assessment) ซึ่งก็จะช่วยให้สามารถวิเคราะห์ขอบเขตของระบบหรือข้อมูลที่ได้รับผลกระทบเพื่อแจ้งเตือนและประสานไปยังหน่วยงานที่เกี่ยวข้องได้ (เช่น ในกรณีนี้คือส่วนงานภายใน บริษัทคู่ค้า และหน่วยงานภาครัฐที่รับผิดชอบด้านการรับแจ้งและประสานงานภัยคุกคามทางไซเบอร์)

วันที่: 2020-01-27 | ที่มา: ZDNet, Security Affairs | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบอีเมลฟิชชิ่งหลอกขโมยรหัส Facebook ด้วยการใส่ลิงก์เว็บปลอมไว้ใน Facebook Notes

ทีมความมั่นคงปลอดภัยจาก First Look Media ได้แจ้งเตือนเทคนิคการโจมตีฟิชชิ่งรูปแบบใหม่ หลอกขโมยรหัสผ่านบัญชี Facebook โดยอาศัยฟีเจอร์ Facebook Notes เป็นตัวพาไปยังเว็บไซต์ปลอม เทคนิคการโจมตี ผู้ประสงค์ร้ายจะสร้างบัญชี Facebook โดยตั้งชื่อบัญชีและรูปโพรไฟล์หลอกว่าเป็นบัญชีของ Facebook Support จากนั้นส่งอีเมลหลอกว่าโพสต์ของผู้ใช้ถูกรายงานการละเมิดและต้องการให้ตรวจสอบ โดยลิงก์ที่ส่งมาในอีเมลนั้นจะพาไปยังเว็บไซต์ Facebook จริงๆ ซึ่งเมื่อคลิกเข้าไปยังลิงก์ดังกล่าวจะถูกพาไปยังหน้า Facebook Notes โดยเนื้อหาข้างในระบุว่าโพสต์ของผู้ใช้ถูกแจ้งระงับเนื่องจากละเมิดลิขสิทธ์ หากผู้ใช้พบว่าข้อมูลนี้เป็นการแจ้งที่ผิดพลาดให้ร้องเรียนมายัง Facebook โดยคลิกลิงก์ที่อยู่ด้านล่างสุดของ Notes

ตัวลิงก์ที่อยู่ด้านล่างของหน้า Notes นั้นระบุ URL ว่าเป็นเว็บไซต์ Facebook แต่หากผู้ใช้หลงเชื่อคลิกลิงก์ดังกล่าวจะถูกพาไปยังเว็บไซต์อื่น ซึ่งเป็นเว็บไซต์ปลอมที่ถูกสร้างเลียนแบบหน้าล็อกอินของ Facebook โดยในหน้าดังกล่าวนอกจากหลอกขโมยรหัสผ่านแล้วยังหลอกให้กรอกหมายเลขโทรศัพท์และข้อมูลวันเกิดด้วย เมื่อผู้ใช้กรอกข้อมูลลงในหน้าดังกล่าว ข้อมูลจะถูกส่งไปให้กับผู้ประสงค์ร้าย จากนั้นตัวหน้าเว็บปลอมจะ redirect กลับมายังหน้าเว็บไซต์จริงของ Facebook เพื่อหลอกให้ผู้ใช้เข้าใจว่าข้อมูลที่ส่งไปก่อนหน้านี้เป็นหน้าของทาง Facebook จริงๆ

ปัจจุบันทาง Facebook ได้ระงับบัญชีปลอมที่ใช้เทคนิคนี้ในการโจมตี รวมถึงนำรายการโดเมนปลอมใส่ไว้ใน block list ของ Facebook ด้วย ซึ่งผู้ใช้จะไม่สามารถโพสต์ลิงก์ไปยังเว็บไซต์ดังกล่าวใน Facebook ได้ จุดประสงค์เพื่อป้องกันไม่ให้มีผู้ตกเป็นเหยื่อเพิ่มอีก

กรณีนี้เป็นตัวอย่างที่ดีของความจำเป็นในการศึกษาและติดตามข่าวสารข้อแนะนำด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอ เพราะผู้ประสงค์ร้ายมีการพัฒนาเทคนิคการโจมตีแบบใหม่อยู่ตลอดเวลา ข้อแนะนำเดิมๆ เรื่องการสังเกตฟิชชิ่งนั้นอาจไม่สามารถช่วยป้องกันได้เสมอไป เพราะในตัวอย่างกรณีนี้ผู้ประสงค์ร้ายส่งลิงก์ของเว็บไซต์ Facebook จริงๆ มาในอีเมล ซึ่งเมื่อคลิกเข้าไปก็จะพบว่าโดเมนของเว็บไซต์ที่ปรากฏนั้นเป็นของ Facebook จริงๆ ส่วนเว็บไซต์ปลอมที่ขโมยข้อมูลนั้นตัวโดเมนไม่ใช่ของ Facebook แต่ก็มีการใช้งาน HTTPS ซึ่งการสังเกตแค่ว่ามีการใช้ HTTPS หรือมีสัญลักษณ์กุญแจสีเขียวนั้นไม่เพียงพอ ต้องตรวจสอบโดเมนของเว็บไซต์ทุกครั้งก่อนล็อกอินด้วย

วันที่: 2020-01-24 | ที่มา: First Look Media | Share on Facebook Share on Twitter Share on Google+
Citrix ออกแพตช์แก้ไขช่องโหว่ใน ADC/Gateway พร้อมปล่อยเครื่องมือช่วยตรวจสอบว่าระบบถูกแฮกหรือไม่

ตามที่ได้มีการแจ้งเตือนช่องโหว่ CVE-2019-19781 ในผลิตภัณฑ์ของบริษัท Citrix อย่าง ADC, Gateway, และ SD-WAN WANOP และเริ่มพบการโจมตีตั้งแต่ต้นเดือนมกราคม 2563 แล้วนั้น (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-01-13-01.html) เมื่อวันที่ 22 มกราคม 2563 ทาง Citrix ได้ปล่อยอัปเดตให้กับระบบที่ได้รับผลกระทบเกือบทั้งหมดแล้ว (ยังเหลือ Citrix ADC/Gateway เวอร์ชัน 10.5 ที่แพตช์จะออกในวันที่ 24 มกราคม 2563) ผู้ดูแลระบบควรตรวจสอบและพิจารณาติดตั้งแพตช์โดยเร็วเพื่อลดความเสี่ยงและผลกระทบ

อย่างไรก็ตาม ในช่วงระหว่างที่ยังไม่มีแพตช์นั้นมีรายงานการโจมตีช่องโหว่นี้เป็นวงกว้าง บางระบบอาจไม่ได้ถูกตั้งค่าเพื่อป้องกันการโจมตีหรือตั้งค่าแล้วแต่ไม่สามารถป้องกันได้ (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-01-20-01.html) ซึ่งผลกระทบนั้นอาจทำให้ผู้ประสงค์ร้ายสามารถติดตั้งมัลแวร์หรือสั่งแฮกควบคุมเครื่องเซิร์ฟเวอร์ในองค์กรได้ ทาง Citrix จึงได้ร่วมมือกับ FireEye เพื่อพัฒนาเครื่องมือสำหรับใช้ตรวจสอบว่าระบบถูกแฮกแล้วหรือไม่ โดยตัวเครื่องมือนี้จะทำการสแกนไฟล์ โพรเซส หรือพอร์ตที่เกี่ยวข้องกับการโจมตีแล้วเปรียบเทียบกับข้อมูล IOC ที่ถูกค้นพบแล้ว ผู้ดูแลระบบสามารถใช้เครื่องมือนี้เพื่อช่วยประเมินความเสี่ยงได้ ผลการสแกนมีตั้งแต่พบข้อมูลที่สามารถยืนยันได้ว่าระบบมีช่องโหว่และถูกแฮกสำเร็จแล้ว ระบบมีช่องโหว่และยืนยันได้ว่าเคยถูกสแกนช่องโหว่สำเร็จ และระบบถูกสแกนช่องโหว่แต่ไม่สำเร็จ อย่างไรก็ตาม ผลจากเครื่องมือนี้ก็ยังอาจไม่สามารถยืนยันได้ 100%

หากพบว่าระบบถูกแฮกสำเร็จแล้ว หรือหากไม่ได้มีการตั้งค่าป้องกันใดๆ ในช่วงระหว่างที่ทาง Citrix ยังไม่ออกแพตช์ (ซึ่งก็อาจอนุมานได้ว่าระบบถูกโจมตีสำเร็จแล้ว) ผู้ดูแลระบบอาจพิจารณาตรวจพิสูจน์พยานหลักฐานระบบที่เกี่ยวข้องเพื่อหาร่องรอยการบุกรุกและประเมินแนวทางแก้ไขปัญหา รวมถึงอาจพิจารณาติดตั้งระบบใหม่และอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุด ข้อมูลอื่นๆ ที่อาจเป็นประโยชน์สำหรับการตรวจพิสูจน์สามารถศึกษาได้จาก https://github.com/x1sec/CVE-2019-19781/blob/master/CVE-2019-19781-DFIR.md

วันที่: 2020-01-24 | ที่มา: Citrix, FireEye | Share on Facebook Share on Twitter Share on Google+
NIST Privacy Framework ออกตัวเต็มแล้ว องค์กรควรศึกษาเพื่อใช้เป็นแนวทางบริหารความเสี่ยงด้านความเป็นส่วนตัว

ปัจจุบันหลายประเทศทั่วโลกต่างให้ความสำคัญทั้งเรื่องความมั่นคงปลอดภัยและความเป็นส่วนตัว โดยมีการออกกฎหมายเพื่อให้รองรับกับทั้งสองเรื่องดังกล่าว ทางหน่วยงาน NIST ของสหรัฐฯ เองก็มีความพยายามพัฒนากรอบการทำงาน (framework) ด้านความเป็นส่วนตัวมาเป็นระยะเวลาหนึ่ง โดยหลังจากที่ได้เปิดรับฟังความคิดเห็นมาพอสมควร เมื่อวันที่ 16 มกราคม 2563 ทางหน่วยงาน NIST ก็ได้เผยแพร่เอกสาร Privacy Framework เวอร์ชัน 1.0 ออกมาให้ดาวน์โหลดแล้ว (https://www.nist.gov/privacy-framework) โดยตัวเอกสารนี้เป็นกรอบการทำงานด้านความเป็นส่วนตัว เพื่อใช้ประกอบกับกรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ (NIST Cybersecurity Framework) ที่ออกมาก่อนหน้านี้

โดยภาพรวม NIST Privacy Framework ประกอบด้วย 3 หัวข้อหลักคือ Core, Profiles, และ Implementation Tiers ซึ่งไล่ตามลำดับของกระบวนการทำงาน ตั้งแต่การจัดกลุ่มงานย่อย ตั้งเป้าแผนการทำงาน ไปจนถึงเปรียบเทียบระดับของการใช้งานจริง

ในกรอบการทำงานจะแบ่งความเสี่ยงออกเป็น 2 ด้าน คือความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Risks) และความเสี่ยงด้านความเป็นส่วนตัว (Privacy Risks) โดยความเสี่ยงทั้ง 2 ด้านนี้มีจุดร่วมตรงกลางเรียกว่า เหตุการณ์ด้านความเป็นส่วนตัวที่มีความมั่นคงปลอดภัยไซเบอร์มาเกี่ยวข้อง (Cybersecurity-related privacy events)

Core ของ NIST Privacy Framework จะแบ่งออกเป็น 5 ฟังก์ชัน (function) โดยอยู่ใน Privacy Risks จำนวน 4 ฟังก์ชัน (ประกอบด้วย Identify-P, Govern-P, Control-P และ Communicate-P) และอยู่ใน Cybersecurity-related privacy events จำนวน 1 ฟังก์ชัน (Protect-P) ซึ่งในส่วนนี้จะถูกใช้ควบคู่กับฟังก์ชัน Detect, Respond, และ Recover ของ NIST Cybersecurity Framework ด้วย

Profiles เป็นการหยิบฟังก์ชันจาก core มาจัดกลุ่ม โดยรูปแบบคือการประเมินว่าในปัจจุบัน (current) มีการทำงานครอบคลุมในฟังก์ชันไหนบ้างแล้ว และหากต้องการพัฒนาให้ไปถึงเป้าหมาย (target) จะต้องนำฟังก์ชันใดบ้างมาพิจารณาปรับใช้ต่อ

Implementation Tiers เป็นข้อมูลสำหรับผู้มีอำนาจตัดสินใจใช้อ้างอิงประกอบการพิจารณาความคุ้มค่าของการจัดสรรทรัพยากรเพื่อบริหารความเสี่ยง โดยระดับชั้นของการทำงานนั้นต้องอาศัยความร่วมมือทั้งจากระดับนโยบาย ระดับบริหาร และระดับปฏิบัติการ

ทาง NIST ได้จัดทำหน้าเว็บไซต์ Resource Repository เพื่อใช้ประกอบการอ้างอิงฟังก์ชันกับมาตรฐานหรือข้อแนะนำอื่นๆ ที่เคยมีอยู่แล้วก่อนหน้านี้ เพื่อให้การนำไปใช้งานสามารถทำได้ง่ายขึ้น โดยผู้ที่สนใจสามารถดูเพิ่มเติมได้จาก https://www.nist.gov/privacy-framework/resource-repository/browse

ทั้งนี้ การจะนำกรอบการทำงานไปปรับใช้ในองค์กรนั้นจำเป็นต้องพิจารณาความพร้อมด้านทรัพยากร รวมถึงประเมินความเสี่ยงและผลกระทบจากการดำเนินการด้วย ตัวเอกสารนี้เป็นเพียงแนวทางการทำงานเพราะฉะนั้นจะไม่มีรายละเอียดในระดับปฏิบัติ ผู้บริหารอาจต้องพิจารณาแนวปฏิบัติอื่นๆ รวมถึงข้อกฎหมาย และข้อกำหนดจากหน่วยงานกำกับดูแลร่วมด้วย

วันที่: 2020-01-20 | ที่มา: NIST | Share on Facebook Share on Twitter Share on Google+
Citrix ออกแพตช์แก้ไขช่องโหว่ใน Citrix ADC และ Citrix Gateway (เฉพาะเวอร์ชัน 11.1 และ 12.0) ผู้ดูแลระบบควรรีบอัปเดตโดยด่วน

เมื่อวันที่ 19 มกราคม 2563 บริษัท Citrix ได้ออกแพตช์แก้ไขช่องโหว่หมายเลข CVE-2019-19781 ในซอฟต์แวร์ Citrix Application Delivery Controller (Citrix ADC) และ Citrix Gateway ซึ่งเป็นช่องโหว่ที่ส่งผลให้ผู้ประสงค์ร้ายสามารถแฮกเครือข่ายภายในองค์กรหรือสั่งควบคุมเครื่องเซิร์ฟเวอร์ได้ (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-01-13-01.html) โดยแพตช์ที่ปล่อยออกมาในรอบนี้ยังมีเฉพาะของเวอร์ชัน 11.1 และ 12.0 ส่วนเวอร์ชันอื่น ๆ (10.5, 12.1, 13.0) รวมถึงแพตช์ของ Citrix SD-WAN WANOP เวอร์ชัน 10.2.6 และ 11.0.3 (ซึ่งเป็นระบบที่ได้รับผลกระทบเช่นเดียวกัน) จะปล่อยในวันที่ 24 มกราคม 2563

ผู้ดูแลระบบสามารถดาวน์โหลดแพตช์ได้ตามลิงก์ต่อไปนี้

ทั้งนี้ ระหว่างที่รุ่นอื่น ๆ ยังไม่มีแพตช์ ทางบริษัท Citrix ได้แนะนำให้ผู้ดูแลระบบตั้งค่าเพื่อลดผลกระทบชั่วคราว โดยสามารถศึกษาวิธีตั้งค่าได้จาก https://support.citrix.com/article/CTX267027

อย่างไรก็ตาม มีรายงานจากหน่วยงาน NCSC ประเทศเนเธอร์แลนด์ว่า Citrix ADC และ Citrix Gateway เวอร์ชัน 12.1 ที่เป็น build ก่อน 51.16/51.19 และ 50.31 นั้นถึงแม้จะตั้งค่าลดผลกระทบตามข้อแนะนำในเว็บไซต์ของ Citrix แล้วแต่ก็ยังไม่สามารถป้องกันได้ ควรอัปเดตให้เป็นเวอร์ชันใหม่แล้วค่อยตั้งค่า หรือหากไม่สามารถทำได้อาจพิจารณาปิดระบบเป็นการชั่วคราวจนกว่าจะมีแพตช์เนื่องจากไม่สามารถป้องกันการโจมตีได้

เนื่องจากมีรายงานการโจมตีระบบที่มีช่องโหว่นี้ตั้งแต่ช่วงวันที่ 8 มกราคม 2563 แล้ว ระบบใด ๆ ที่ยังไม่ได้ถูกตั้งค่าเพื่อลดผลกระทบอาจมีความเสี่ยง องค์กรควรพิจารณาตรวจสอบข้อมูล log เพิ่มเติมเพื่อประเมินว่าระบบถูกบุกรุกแล้วหรือไม่ เพื่อเตรียมพร้อมสำหรับการรับมือแก้ไขปัญหาต่อไป

วันที่: 2020-01-20 | ที่มา: Citrix, Bleeping Computer, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+