Clear
Lead Graphic Papers

ข่าวสั้น

สหรัฐอเมริกาเผยข้อมูลสำหรับตรวจจับมัลแวร์สายพันธุ์ใหม่จากปฏิบัติการโจมตี HIDDEN COBRA

เมื่อวันที่ 14 มิถุนายน 2561 US-CERT ประกาศแจ้งเตือนและเผยแพร่รายงานวิเคราะห์มัลแวร์ซึ่งเกิดจากความร่วมมือระหว่าง Federal Bureau of Investigation (FBI) และ Department of Homeland Security (DHS) ของสหรัฐอเมริกา ในรายงานระบุมัลแวร์ประเภทโทรจัน สายพันธุ์ TYPEFRAME ซึ่งรัฐบาลประเทศเกาหลีเหนือใช้ในปฏิบัติการโจมตีทางไซเบอร์ชื่อ HIDDEN COBRA รายงานนี้มีบทวิเคราะห์ตัวอย่างมัลแวร์ 11 รายการ เป็น executable file บน Windows ทั้ง 32-bit และ 64-bit และไฟล์เอกสาร Microsoft Word ซึ่งมี VBA macro โดยไฟล์เหล่านี้มีความสามารถดาวน์โหลดและติดตั้งมัลแวร์ ติดตั้ง proxy และ Remote Access Trojans (RATs) สามารถเชื่อมต่อกับเซิร์ฟเวอร์ของผู้ประสงค์ร้าย (command and control server : C2) เพื่อรับคำสั่งเพิ่มเติม รวมถึงตั้งค่าใน firewall ของเหยื่อให้เปิดรับการเชื่อมต่อจากภายนอก

ในรายงานมีข้อมูลที่องค์กรสามารถนำไปใช้ในการตรวจจับมัลแวร์ดังกล่าว รวมถึงข้อแนะนำในการป้องกัน ผู้ใช้สามารถอ่านรายงานการวิเคราะห์มัลแวร์ดังกล่าวฉบับเต็มได้ที่ https://www.us-cert.gov/ncas/analysis-reports/AR18-165A และ ศึกษาข้อแนะนำในการรับมือและจัดการมัลแวร์เพิ่มเติมจากคู่มือของ NIST (https://www.nist.gov/publications/guide-malware-incident-prevention-and-handling-desktops-and-laptops)

หากตรวจพบมัลแวร์ ผู้ใช้สามารถติดต่อไทยเซิร์ตเพื่อขอคำแนะนำและความช่วยเหลือในการรับมือภัยคุกคาม โดยติดต่อได้ที่ 0-2123-1212

วันที่: 2018-06-15 | ที่มา: US-CERT | Share on Facebook Share on Twitter Share on Google+
Microsoft ปล่อยอัปเดตประจำเดือนมิถุนายน ปิดช่องโหว่ของ Windows

Microsoft เผยแพร่อัปเดตด้านความมั่นคงปลอดภัยประจำเดือนมิถุนายน 2561 สำหรับระบบปฏิบัติการ Windows เพื่อปิดช่องโหว่ 50 รายการ โดยแบ่งระดับรุนแรง 11 รายการและระดับสำคัญ 39 รายการ โดยมีช่องโหว่ 3 รายการที่ค่อนข้างส่งผลกระทบ ได้แก่

  1. ช่องโหว่ใน Microsoft Internet Explorer (หมายเลขช่องโหว่ CVE-2018-8267) เป็นช่องโหว่ประเภท Remote Code Execution ส่งผลให้ผู้ประสงค์ร้ายสั่งประมวลผลคำสั่งอันตรายจากระยะไกลเพื่อควบคุมเครื่องของเหยื่อ ช่องโหว่ดังกล่าวเกิดจากความผิดพลาดในการจัดการ error ในซอฟต์แวร์
  2. ช่องโหว่ใน Windows Domain Name Server API หรือ DNSAPI (หมายเลขโหว่ช่องโหว่ CVE-2018-8225) ใน DNS ซึ่งเป็นบริการสำคัญใน Windows เป็นหนึ่งในส่วนประกอบที่จำเป็นที่ถูกเรียกใช้ เมื่อผู้ใช้ต้องการเข้าถึงเว็บไซต์ต่าง ๆ ช่องโหว่นี้เป็นช่องโหว่ประเภท Remote Code Execution เช่นกัน ผู้ประสงค์ร้ายสามารถโจมตีโดยส่ง DNS reponse ที่มีโค้ดอันตรายไปยังเครื่องเหยื่อที่มีช่องโหว่ เพื่อควบคุมเครื่องของเหยื่อ
  3. ช่องโหว่ใน HTTP Protocol Stack (Http.sys) (หมายเลขช่องโหว่ CVE-2018-8231) เป็นช่องโหว่ประเภท Remote Code Execution เช่นกัน เกิดจากข้อผิดพลาดการจัดการข้อมูล object ในเมมโมรี

นอกจากนี้ยังมีช่องโหว่อื่นในซอฟต์แวร์ต่าง ๆ เช่น Microsoft Office, Adobe Flash Player รวมถึงส่วนประกอบอื่น ๆ ใน Windows ผู้ใช้ควรติดตั้งอัปเดตล่าสุดเพื่อปิดช่องโหว่

วันที่: 2018-06-15 | ที่มา: Microsoft | Share on Facebook Share on Twitter Share on Google+
รายงานเผย 6 เดือน เกิดโจรกรรมสกุลเงินคริปโตกว่า 1.1 พันล้านดอลล่าร์ ส่วนใหญ่มุ่งเป้าเว็บไซต์แลกเปลี่ยนสกุลเงิน

เนื่องความนิยมในการใช้งานสกุลเงินครีปโต เช่น Bitcoin ที่เพื่มขึ้นอย่างมากในหลายปีที่ผ่านมา ทำให้การโจมตีเพื่อขโมยสกุลเงินดังกล่าวเริ่มพบมากขึ้นเรื่อย ๆ ยกตัวอย่างเช่น กรณี ในเดือนมิถุนายน เว็บไซต์แลกเปลี่ยนสกุลเงินคริปโตของประเทศเกาหลีที่ชื่อ Coilrail ซึ่งเป็นหนึ่งในร้อยระบบบริการแลกสกุลเงินที่ถูกใช้งานสูงสุด ถูกขโมยเงิน เกิดความสูญเสียหลายสิบล้านดอลล่าร์

เมื่อเดือนมิถุนายน บริษัทด้านความมั่นคงปลอดภัย Carbon Black ได้เผยแพร่รายงาน Cryptocurrency Gold Rush on the Dark Web ระบุข้อมูลแนวโน้มการโจมตีไซเบอร์ที่เกี่ยวกับสกุลเงินครีปโตจาก dark web ซึ่งเป็นเว็บไซต์ที่มีลักษณะซ่อนตัว ไม่ปรากฎในผลการค้นหาเว็บไซต์ มักถูกใช้ในการแลกเปลี่ยนซื้อของ หรือการกระทำอื่น ๆ ที่ผิดกฎหมาย โดยในรายงานมีสาระสำคัญดังนี้

  1. ในช่วง 6 เดือนที่ผ่านมา พบการขโมยเงินสกุลคริปโตรวมมูลค่า 1.1 พันล้านดอลล่าร์
  2. อาชญากรไซเบอร์นิยมใช้สกุลเงิน Monero ในการทำธุรกรรมซื้อขายที่ผิดกฎหมาย มากกว่า Bitcoin เนื่องจาก ทำธุรกรรมได้เร็วกว่า มีความเป็นส่วนตัว ยากแก่การตรวจสอบ และเสียค่าใช้จ่ายในการทำธุรกรรมน้อยกว่า
  3. รูปแบบการโจมตีเพื่อขโมยเงินสกุลเงินคริปโต อาชญากรไซเบอร์ส่วนใหญ่จะโจมตีโดยใช้มัลแวร์เพื่อขโมยเงิน โดยพบ dark web กว่า 12,000 เว็บไซต์ แสดงข้อเสนอขายมัลแวร์เพื่อที่ใช้ในการขโมยเงินสกุลคริปโต กว่า 34,000 รายการ ซึ่งส่วนใหญ่ ออกแบบสำหรับบุคคลที่ไม่มีความเชี่ยวชาญทางเทคนิค ให้สามารถใช้งานเครื่องมือได้ง่าย และใช้โจมตีระบบที่มีช่องโหว่สูง ราคาตั้งแต่ 1 - 1,000 ดอลล่าร์ ตลาดโดยรวมในการซื้อขายมัลแวร์มูลค่ากว่า 6.7 ล้านดอลล่าร์
  4. ในการโจมตีส่วนใหญ่ที่พบเกิดกับ เว็บไซต์ให้บริการแลกเปลี่ยนสกุลเงินคริปโต (27%) รองลองมาได้แก่ บริษัท (21%) บุคคลทั่วไป (14%) และ หน่วยงานรัฐ (7%)

จะเห็นได้ว่า มัลแวร์ได้ถูกออกแบบให้ใช้งานได้ง่าย ทำให้การขโมยสกุลเงินคริปโตเริ่มทำได้ง่ายขึ้น ผู้ใช้ทั่วไปและบริษัทที่ใช้งานสกุลเงินคริปโตควรมีมาตรการป้องกันที่ดี อัปเดตระบบเพื่อปิดช่องโหว่ อาจพิจารณาแยกเครื่องทำธุรกรรมเกี่ยวกับสกุลเงินคริปโต ออกจากเครื่องที่ใช้งานทั่วไปเพื่อลดความเสี่ยง

ในส่วนการใช้งานเว็บไซต์แลกเปลี่ยนสกุลเงิน ควรตั้งค่ายืนยันตัวตนแบบ 2 ขั้นตอน ไม่ใช้รหัสผ่านที่คาดเดาง่าย และนำเงินออกจากเว็บไซต์หลังจากที่แลกเปลี่ยนเสร็จ ไม่ใช้เป็นที่เก็บเงินถาวร

วันที่: 2018-06-13 | ที่มา: Bank Info Security, Carbon Black | Share on Facebook Share on Twitter Share on Google+
Red Hat แจ้งเตือนพบช่องโหว่ในระบบปฏิบัติการ ส่วนจัดการ DHCP ส่งผลให้เครื่องถูกควบคุมได้ (CVE-2018-1111)

เมื่อวันที่ 15 พฤษภาคม 2561 บริษัทผู้พัฒนา Redhat ประกาศแจ้งเตือนช่องโหว่หมายเลข CVE-2018-1111 ในระบบปฎิบัติการ Red Hat Enterprise Linux 6 และ 7 ซึ่งส่งผลให้ผู้ประสงค์ร้ายสามารถส่งคำสั่งอันตรายจากระยะไกลไปยังเครื่องเหยื่อให้ทำการประมวลผลเพื่อทำการควบคุมเครื่อง (Remote Code Execution)

ช่องโหว่ดังกล่าวอยู่ในสคริปต์ที่ใช้จัดการ DHCP ซึ่งเป็นโปรโตคอลที่ใช้ในการแจกค่า Network Setting เช่น หมายเลขไอพี ให้กับเครื่องที่มาเชื่อมต่อเครือข่าย เพื่อให้สามารถติดต่อสื่อสารกับเครื่องอื่น ๆ ได้ ขั้นตอนการทำงานของ DHCP โดยเบืองต้น เริ่มจากเครื่องที่มาเชื่อมต่อเครือข่ายส่งคำร้องขอ (DHCP Request) จากนั้น DHCP เซิร์ฟเวอร์จึงส่งข้อมูลกลับไป (DHCP Response) ซึ่งเป็นค่า Network Setting ดังที่ระบุไปในข้างต้น

สคริปต์ที่มีช่องโหว่ อยู่ในเครื่องที่มาเชื่อมต่อเครือข่าย มีหน้าที่จัดการ DHCP response ซึ่งนักวิจัยพบว่าสคริปต์ดังกล่าวไม่สามารถกลั่นกรองข้อมูลได้ดีพอ ทำให้สคริปต์นำคำสั่งอันตรายที่ผู้ประสงค์ร้ายส่งแฝงมาใน DHCP response มาประมวลผล เนื่องจากสคริปต์นี้ใช้สิทธิ root ในการทำงาน ส่งผลให้ผู้ประสงค์ร้ายได้สิทธิสูงสุดและสามารถควบคุมเครื่อง

ทางผู้พัฒนา Red Hat ได้ออกแพตช์เพื่อปิดช่องโหว่แล้ว นอกจากนี้ระบบปฏิบัติการรุ่นอื่น เช่น Fedora, CentOS ก็พบช่องโหว่นี้เช่นกัน ผู้ใช้งานควรตรวจสอบจากเว็บไซต์ทางการว่ารุ่นที่ใช้งานได้รับผลกระทบหรือไม่ และควรอัปเดตเพื่อปิดช่องโหว่ ดูสามารถศึกษาวิธีการได้จากเว็บไซต์ทางการของผู้พัฒนา https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/chap-keeping_your_system_up-to-date

วันที่: 2018-05-17 | ที่มา: Redhat | Share on Facebook Share on Twitter Share on Google+
เซิร์ฟเวอร์ของ Unicef Thailand ที่เก็บข้อมูลผู้บริจาค 20,000 รายถูกเจาะระบบ แจ้งเตือนผู้ที่ได้รับผลกระทบแล้ว

Unicef Thailand ได้ประกาศผ่านทางเว็บไซต์ทางการแจ้งเตือนว่าเซิร์ฟเวอร์ของหน่วยงานถูกโจมตีทางไซเบอร์ พร้อมชี้แจงว่าไม่พบหลักฐานที่ชี้ว่ามีการเข้าถึงข้อมูลที่สำคัญ เซิร์ฟเวอร์ดังกล่าวได้จัดเก็บข้อมูลของผู้บริจาคที่บริจาคผ่านเว็บไซต์ www.unicef.or.th โดยเป็น ชื่อ ช่องทางการติดต่อ และวันเดือนปีเกิด ของผู้บริจาคจำนวนประมาณ 20,000 คน และมีข้อมูลบัตรเครดิตของผู้บริจาคประมาณ 400 ราย ซึ่งส่วนใหญ่เป็นบัตรที่หมดอายุแล้ว และธนาคารได้ดำเนินการออกบัตรใบใหม่ให้แก่ผู้บริจาคที่บัตรอาจยังไม่หมดอายุเป็นที่เรียบร้อยแล้ว โดยยูนิเซฟได้ทำการแจ้งไปยังผู้บริจาคที่เกี่ยวข้องทั้งหมดแล้ว

Unicef Thailand ได้รายงานเหตุการณ์นี้กับหน่วยงานที่เกี่ยวข้องและได้ดำเนินการร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เพื่อตรวจสอบสิ่งที่เกิดขึ้น รวมถึงกำลังดำเนินการอย่างเต็มที่เพื่อป้องกันไม่ให้เกิดเหตุการณ์เช่นนี้ขึ้นอีก โดยกรณีที่มีข้อสงสัยเพิ่มเติมที่เกี่ยวข้อง ทาง Unicef Thailand ได้จัดเตรียมช่องทางติดต่อไว้ที่เบอร์โทรศัพท์ 02-080-5686

เจ้าของข้อมูลที่ได้รับผลกระทบอาจเสี่ยงที่จะถูกโจมตี เช่น ได้รับอีเมลที่มีจุดประสงค์เพื่อหลอกขโมยข้อมูลหรือเผยแพร่มัลแวร์ สำหรับผู้ที่สนใจสามารถศึกษาวิธีสังเกตอีเมลที่น่าสงสัยได้จากคลิปของไทยเซิร์ต https://www.facebook.com/thaicert/videos/663973140417489/

วันที่: 2018-05-10 | ที่มา: Unicef | Share on Facebook Share on Twitter Share on Google+
Stresspaint มัลแวร์สายพันธุ์ใหม่ มุ่งเป้าขโมยรหัสผ่านบัญชี Facebook แพร่ระบาดไปยังผู้ใช้มากกว่า 35,000 ราย

เมื่อต้นเดือนเมษายน นักวิจัยค้นพบมัลแวร์สายพันธุ์ที่ชื่อ Stresspaint มีความสามารถขโมยรหัสผ่านบัญชีที่เก็บไว้ใน Chrome และส่งให้ผู้ประสงค์ร้าย ซึ่งพบว่ามีความพยายามรวบรวมข้อมูลผู้ใช้งาน Facebook โดยได้นำรหัสผ่าน Facebook ที่ขโมย มาล็อกอินเพื่อเข้าถึงข้อมูลต่างๆ เช่น จำนวนเพื่อน, เพจที่สร้าง, มีการจ่ายเงินผ่านทาง Facebook หรือไม่ มัลแวร์ดังกล่าวแพร่ระบาดไปยังผู้ใช้มากกว่า 35,000 ราย ส่วนใหญ่พบในประเทศเวียดนาม รัสเซีย และปากีสถาน

สำหรับช่องทางการแพร่กระจายมัลแวร์ นักวิจัยเชื่อว่าผู้ประสงค์ร้ายได้ใช้ช่องทางอีเมลและ Facebook เพื่อหลอกให้เหยื่อเข้าเว็บไซต์และดาวน์โหลดแอปพลิเคชัน Relieve Stress Paint ซึ่งมีมัลแวร์ซ่อนอยู่ เหยื่อสามารถติดตั้งและใช้งานโปรแกรมตามปกติ ในขณะที่มัลแวร์ที่ซ่อนอยู่ได้ถูกติดตั้งและแอบขโมยข้อมูล

ถึงแม้ว่ามัลแวร์ดังกล่าวจะถูกตรวจจับโดยแอนติไวรัสส่วนใหญ่ได้แล้ว แต่ก่อนหน้านี้ในช่วงเริ่มต้นแพร่กระจาย มัลแวร์สามารถหลีกเลี่ยงการตรวจจับ โดยแทนที่จะเข้าถึงอ่านไฟล์ที่เก็บรหัสผ่านโดยตรงซึ่งถูกเฝ้าระวังโดยแอนติไวรัสส่วนใหญ่ มัลแวร์ใช้วิธี Copy ไฟล์และอ่านข้อมูลในไฟล์ดังกล่าวแทน

จะเห็นได้ว่าบัญชี Facebook ถือเป็นหนึ่งในข้อมูลสำคัญที่ผู้ประสงค์ร้ายพยายามที่จะขโมย จึงจำเป็นที่ผู้ใช้ต้องตระหนักถึงความเสี่ยงและรู้จักป้องกัน แอนติไวรัสสามารถช่วยป้องกันมัลแวร์ได้ในระดับนึง ผู้ใช้ต้องรู้เท่าทันการโจมตีและวิธีรับมือด้วย เช่น รู้จักสังเกตความผิดปกติของอีเมลที่ได้รับ หรือตั้งการยืนยันตัวตนแบบ 2 ขั้นตอนซึ่งช่วยให้บัญชีมีความมั่นคงปลอดภัยมากขึ้น

วันที่: 2018-04-27 | ที่มา: BleepingComputer | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือนผู้ใช้ Drupal พบช่องโหว่ใหม่ (CVE-2018-7602) ถูกใช้โจมตี 5 ชม. หลังแพตช์ถูกปล่อย

เมื่อวันที่ 25 เมษายน เว็บไซต์ทางการ Drupal ประกาศแพตช์ปิดช่องโหว่หมายเลข CVE-2018-7602 เป็นช่องโหว่ลักษณะ Remote Code Execution ซึ่งเปิดโอกาสให้ผู้ประสงค์ร้ายเข้ามาควบคุมระบบ โดยสั่งประมวลผลคำสั่งอันตรายจากระยะไกล ช่องโหว่ดังกล่าวถูกนำมาใช้เป็นช่องทางในการโจมตีหลังจากแพตช์ถูกประกาศ 5 ชั่วโมง

ผู้ดูแลเว็บไซต์ที่ใช้ Drupal ควรอัปเดตเป็นเวอร์ชันล่าสุด (Drupal 7.59, 8.5.3, 8.4.8) ผู้ที่ยังใช้เวอร์ชัน 8.4.x ควรพิจารณาอัปเกรดเป็นเวอร์ชันที่ใหม่กว่า เนื่องจากผู้พัฒนา Drupal ยุติการสนับสนุนเวอร์ชันดังกล่าวแล้ว

จะเห็นได้ว่าผู้ประสงค์ร้ายมองหาโอกาสในการโจมตีอยู่ตลอดเวลา เมื่อมีการประกาศแพตช์อัปเดตช่องโหว่ ก็พยายามศึกษาค้นคว้ารายละเอียดช่องโหว่เพิ่มเติม และพัฒนาโค้ดสำหรับโจมตี ซึ่งในกรณีนี้พบการโจมตีหลังจากแพตช์ของช่องโหว่ถูกแผยแพร่เพียง 5 ชั่วโมง ผู้ดูและระบบจึงควรติดตามการเผยแพร่ข้อมูลแพตช์จากเว็บไซต์ทางการ และติดตามข่าวสารเพื่อรับทราบสถานการณ์ว่ามีการโจมตีผ่านช่องโหว่ในผลิตภัณฑ์ที่่ใช้หรือไม่ รวมถึงพิจารณาอัปเดตแพตช์โดยเร็วที่สุด

วันที่: 2018-04-26 | ที่มา: Drupal, BleepingComputer | Share on Facebook Share on Twitter Share on Google+
แนวทางการเตรียมตัวและรับมือกรณีข้อมูลรั่วไหลสำหรับหน่วยงานเก็บข้อมูลส่วนบุคคลในออสเตรเลีย

เมื่อเดือนกุมภาพันธ์ หน่วยงานภาครัฐของประเทศออสเตรเลีย Office of the Australia Information Commissioner ได้เผยแพร่เอกสารชื่อ Data breach preparation and response - A guide to managing data breaches in accordance with the Privacy Act 1988 ซึ่งแนวทางการเตรียมตัวและรับมือกรณีข้อมูลรั่วไหลสำหรับหน่วยงานที่เก็บข้อมูลส่วนบุคคล ซึ่งสอดคล้องกับกฎหมายคุ้มครองความเป็นส่วนตัว Privacy Act 1988 โดยสรุป เอกสารได้แบ่งเป็น 5 ส่วนคือ

  1. การรั่วไหลของข้อมูลและกฎหมายคุ้มครองความเป็นส่วนตัว (Data breaches and the Australian Privacy Act) อธิบายความหมายและผลกระทบของข้อมูลที่รั่วไหล แนะนำกฎหมาย the Privacy Act 1988 ซึ่งเนื้อส่วนหนึ่งระบุถึงแนวทาง 13 ประการในการจัดการข้อมูลส่วนบุคคล มีเนื้อหา เช่น การเก็บข้อมูลส่วนบุคคลสามารถเก็บได้มากน้อยแค่ไหน การจัดการข้อมูลส่วนบุคคลที่ไม่จำเป็นต้องใช้แล้ว แนวทางการรักษาความมั่นคงปลอดภัยของข้อมูล (https://www.oaic.gov.au/agencies-and-organisations/app-guidelines/)
    นอกจากนี้ยังพูดถึง The Notifiable Data Breaches (NDB) scheme ซึ่งเป็นข้อบังคับให้หน่วยงานต้องแจ้งผู้ได้รับผลกระทบและหน่วยงานที่กำกับดูแล เมื่อข้อมูลส่วนบุคคลรั่วไหลหรือถูกขโมย และคาดว่าจะส่งผลกระทบร้ายแรงกับผู้ที่เกี่ยวข้อง และหน่วยงานไม่สามารถควบคุมหรือจัดการได้ นอกจากนี้หน่วยงานบางหน่วยงานอาจจำเป็นต้องปฏิบัติตามข้อบังคับเพิ่มเติม เช่น General Data Protection Regulation ของสหภาพยุโรป
  2. การเตรียมแผนรับมือเมื่อเกิดเหตุข้อมูลรั่วไหล (Preparing a data breach response plan) อธิบายส่วนประกอบของแผน เช่น มีการประเมิน จำกัดความเสียหาย และจัดการเหตุตั้งแต่ต้นจนจบ ครอบคลุมข้อกำหนดทางกฎหมาย กำหนดบทบาทและหน้าที่ ในเอกสารได้แนบเช็คลิสต์ในการสร้างแผนไว้ด้วย ผู้สนใจสามารถค้นหาในเอกสารด้วยคำว่า Data breach response plan quick checklist
  3. การรับมือเมื่อเกิดเหตุข้อมูลรั่วไหล 4 ขั้นตอน (Responding to data breaches — four key steps ) ได้แก่ 1) จำกัดความเสียหาย 2) ประเมินผลกระทบ 3) แจ้งผู้ที่ผู้ได้รับผลกระทบและหน่วยงานกำกับที่เกี่ยวข้อง 4) ทบทวนแนวทางการรับมือและหาวิธีการป้องกันไม่ให้เกิดขึ้นอีก
  4. Notifiable Data Breach (NDB) Scheme อธิบายข้อกำหนดของหน่วยงานที่จำเป็นต้องรายงานเมื่อเกิดเหตุข้อมูลรั่วไหล เช่น เป็นหน่วยงานที่มีรายรับประจำปีมากกว่า 72 ล้านบาท หรือหน่วยงานที่ซื้อขายข้อมูลส่วนบุคคล หรือหน่วยงานที่เก็บข้อมูลส่วนบุคคลทางการแพทย์ และบทบาทของหน่วยงานที่รับรายงาน
  5. แหล่งข้อมูลอื่นๆ ที่เกี่ยวข้อง ได้แก่ รายการหน่วยงานให้คำปรึกษาในกรณีเกิดเหตุข้อมูลบางชนิดรั่วไหล เช่น หากข้อมูลส่วนบุคคลทางการแพทย์รั่วไหล จำเป็นต้องดูข้อแนะนำของ Australian Digital Health Agency รวมถึงข้อแนะนำ มาตรฐาน อื่นๆ ในการรับมือและป้องกันเหตุภัยคุกคาม

ปัจจุบันหน่วยงานที่เก็บข้อมูลส่วนบุคคลมักจะตกเป็นเป้าของการโจมตี จึงจำเป็นต้องมีการเตรียมพร้อมวางแผน ซักซ้อมรับมือเมื่อเกิดเหตุเพื่อให้แน่ใจว่าแผนที่เตรียมไว้สามารถใช้งานได้จริง รวมถึงอาจสร้างเครือข่ายกับหน่วยงานประเภทเดียวกันแลกเปลี่ยนข้อมูล เพื่อแลกเปลี่ยนประสบการณ์ ความรู้

สำหรับผู้ที่สนใจรายละเอียดเอกสารสามารถศึกษาเพิ่มเติมจากที่มา

วันที่: 2018-04-18 | ที่มา: Office of the Australia Information Commissioner | Share on Facebook Share on Twitter Share on Google+
ข้อมูลลูกค้า True Move H กว่า 46,000 ไฟล์ หลุดรั่วจาก cloud service

เมื่อวันที่ 13 เมษายน 2561 นักวิจัยด้านความมั่นคงปลอดภัย Niall Merrigan ได้รายงานข้อมูลผู้ใช้บริการ True Move H รั่วไหล เนื่องจากมิได้มีมาตรการเพียงพอสำหรับปกป้องข้อมูลที่อยู่ใน Amazon S3 bucket ส่งผลให้บุคคลภายนอกสามารถเข้าถึงและดาวน์โหลดข้อมูลดังกล่าวออกมาได้

ข้อมูลที่หลุดออกมามีทั้งไฟล์ JPG และ PDF โดยเป็นไฟล์สแกนสำเนาบัตรประชาชน ใบขับขี่ และพาสปอร์ตของผู้ใช้บริการ ปริมาณข้อมูลที่อยู่บนเซิร์ฟเวอร์ดังกล่าวมีประมาณ 46,000 ไฟล์ รวมแล้วกว่า 32GB (อย่างไรก็ตาม ยังไม่ยืนยันจำนวนผู้ได้รับผลกระทบ) นักวิจัยเผยว่าได้ติดต่อประสานไปยัง True Move H เมื่อต้นเดือนมีนาคม 2561 และปัญหานี้ได้รับการแก้ไขแล้วเมื่อวันที่ 12 เมษายน 2561

ปัญหาข้อมูลรั่วไหลในลักษณะนี้เคยเกิดขึ้นมาแล้วหลายครั้ง หน่วยงานหรือนักพัฒนาที่นำข้อมูลสำคัญ (โดยเฉพาะข้อมูลส่วนบุคคล) ฝากไว้บน Amazon S3 bucket ควรรักษาความมั่นคงปลอดภัยของข้อมูลโดยอาจเข้ารหัสลับข้อมูล จำกัดการเข้าถึงจากบุคคลภายนอก รวมถึงตรวจสอบการใช้งานที่ผิดปกติ โดยสามารถศึกษาข้อมูลเพิ่มเติมได้จากเว็บไซต์ของ Amazon (https://aws.amazon.com/premiumsupport/knowledge-center/secure-s3-resources/)

สำหรับผู้ใช้บริการ True Move H ปัจจุบันทางไทยเซิร์ตอยู่ระหว่างการประสานงานเพื่อยืนยันความถูกต้องของข้อมูล โดยในระหว่างนี้ควรตรวจสอบว่าใช้ข้อมูลใดในการลงทะเบียนกับผู้ให้บริการ รวมถึงอาจพิจารณาแจ้งความลงบันทึกประจำวันไว้เป็นหลักฐานในกรณีหากเกิดเหตุการณ์ผู้ประสงค์ร้ายนำข้อมูลที่หลุดรั่วออกไปใช้ในการสวมรอยหรือปลอมแปลงตัวบุคคล ซึ่งอาจส่งผลกระทบทางกฎหมายได้

วันที่: 2018-04-14 | ที่มา: The Register, Niall Merrigan | Share on Facebook Share on Twitter Share on Google+
10 ข้อแนะนำ เพิ่มความมั่นใจ ใช้งานมือถือ Android อย่างปลอดภัย

Malwarebytes เผยแพร่แนะนำ 10 ข้อที่ช่วยให้อุปกรณ์ระบบปฏิบัติการ Android มีความมั่นคงปลอดภัยมากขึ้น โดยมีรายละเอียดดังนี้

  1. ทำความรู้จักฟีเจอร์หรือค่าต่างๆ ที่เกี่ยวกับความมั่นคงปลอดภัยหรือความเป็นส่วนตัว เช่น ฟีเจอร์ที่เปิดให้ระบุตำแหน่งพิกัด GPS หรือลบข้อมูลในมือถือกรณีที่อุปกรณ์สูญหาย (https://support.google.com/android/answer/6160491?hl=en-GB)
  2. ตรวจสอบความมั่นคงปลอดภัยและความเป็นส่วนตัว เช่น มีการล็อกหน้าจอด้วยรหัสผ่านหรือไม่ รวมถึงตรวจสอบจากบริการ Security Checkup ของ Google (https://myaccount.google.com/security-checkup)
  3. กำหนดในปฏิทินเตือนให้ตรวจสอบความมั่นคงปลอดภัยและความเป็นส่วนตัวทุก 12 เดือน
  4. เนื่องจากการสื่อสารบางช่องทาง เช่น SMS อาจไม่ได้การเข้ารหัสลับข้อมูล มีความเสี่ยงให้ผู้ประสงค์ร้ายดักข้อมูลได้ ในการสื่อสารที่สำคัญและเป็นความลับ ควรใช้งานแอปพลิเคชันแชตที่มีการเข้ารหัสลับข้อมูลแบบ end-to-end ซึ่งป้องกันการดักข้อมูล บุคคลที่สามรวมถึงผู้ให้บริการแอปพลิเคชันไม่สามารถอ่านข้อมูลได้ ตัวอย่างแอปพลิเคชัน เช่น Signal (https://ssd.eff.org/en/module/how-use-signal-android)
  5. ควรหลีกเลี่ยงการแชร์ตำแหน่งของมือถือบนโซเชียลมีเดียที่ไม่จำเป็น และจำกัดการใช้แอปพลิเคชันที่มีสิทธิอ่านข้อมูลตำแหน่งของมือถือ
  6. ปิดการใช้ Wi-Fi และ Bluetooth เมื่อไม่ใช้งานมือถือ
  7. ตรวจสอบรายการอุปกรณ์ที่ผูกกับบัญชี Google (https://myaccount.google.com/device-activity) หากพบรายการอุปกรณ์ที่ไม่รู้จักให้ทำการลบรายการ และเปลี่ยนรหัสผ่าน
  8. ระวังแอปพลิเคชันหลอกลวงที่เลียนแบบใช้ไอคอนหรือชื่อคล้ายแอปพลิเคชันจริง ซึ่งอาจมีพฤติกรรมไม่พึงประสงค์ เช่น ขโมยข้อมูล, แสดงโฆษณา ซึ่งผู้ใช้อาจพิจารณาความน่าเชื่อถือของแอปพลิเคชันจากจำนวนครั้งที่แอปพลิเคชันถูกดาวน์โหลดหรือพิจารณาจากรีวิว
  9. หลีกเลี่ยงการทำธุรกรรมสำคัญเมื่อใช้ Wi-Fi ฟรี ตามสถานที่ต่างๆ โดยเฉพาะ Wi-Fi ที่ไม่มีการตั้งรหัสผ่าน การจำเป็นต้องใช้งานก็อาจพิจารณาใช้ VPN ที่น่าเชื่อถือ
  10. เมื่อได้รับข้อความจากอีเมล โซเชียลมีเดีย SMS หยุดคิดซักนิดถึงความน่าเชื่อถือของข้อความหรือผู้ส่งก่อนตกลงกระทำการใดๆ
วันที่: 2018-04-05 | ที่มา: Malwarebytes | Share on Facebook Share on Twitter Share on Google+
รายงานเผย พบแฮกเกอร์ใช้มัลแวร์สายพันธุ์ใหม่โจมตีองค์กรในกลุ่มประเทศเอเชียตะวันออกเฉียงใต้

บริษัทด้านความมั่นคงปลอดภัย ESET เผยแพร่รายงานการค้นพบมัลแวร์ใหม่ที่ถูกใช้โดยกลุ่มแฮกเกอร์ Oceanlotus ซึ่งเป็นกลุ่มที่มุ่งเป้าโจมตีองค์กรภาครัฐและเอกชนในกลุ่มประเทศเอเชียตะวันออกเฉียงใต้

สำหรับรูปแบบการเผยแพร่มัลแวร์ แฮกเกอร์ใช้วิธีส่งอีเมลหลอกลวงแนบไฟล์ที่เป็นมัลแวร์โดยมีตัวอย่างชื่อไฟล์ เช่น 20170905-Evaluation Table.xls.exe, CV_LeHoangThing.doc.exe ซึ่งเป็นการตั้งชื่อไฟล์ให้ดูเหมือนไฟล์เอกสาร แต่ที่จริงแล้วเป็นไฟล์สกุล exe หากถูกเปิดก็จะทำให้เครื่องติดมัลแวร์ และอีกรูปแบบคือการเผยแพร่ผ่านเว็บไซต์ โดยหลอกให้ดาวน์โหลดและเปิดไฟล์ติดตั้งโปรแกรม (Installer) ซึ่งที่จริงคือมัลแวร์เช่นกัน

ในการติดตั้งมัลแวร์ แฮกเกอร์ได้ใช้เทคนิคหลีกเลี่ยงการตรวจจับของแอนติไวรัส เช่น การเปลี่ยนแปลงโค้ดในมัลแวร์ทำให้ยากต่อการระบุลักษณะหรือพฤติกรรมที่น่าสงสัย (Code Obfucastion) หรือ การที่มัลแวร์มาในรูปแบบ 2 ไฟล์ คือ ไฟล์แรกสกุล exe ที่เป็นไฟล์ที่ถูกใช้งานทั่วไปและถูกรับรองโดยบริษัทน่าเชื่อถือ ซึ่งไฟล์ดังกล่าวได้โหลดและเรียกใช้งานไฟล์ที่สองสกุล DLL ซึ่งมีโค้ดประสงค์ร้ายแฝงอยู่ โดยเทคนิคนี้เรียกว่า DLL side-loading ซึ่งในการโจมตีของกลุ่มแฮกเกอร์ OceanLotus ได้ใช้ไฟล์ RasTlsc.exe จากบริษัท Symantec และ mcoemcpy.exe จาก McAfee บังหน้าเพื่อหลีกเลี่ยงการตรวจจับ ซึ่งไฟล์ทั้งสองจะไปเรียกใช้งานไฟล์ rastls.dll ซึ่งมีโค้ดประสงค์ร้ายแฝงอยู่อีกที

มัลแวร์ที่ถูกติดตั้งเป็นมัลแวร์ประเภท Backdoor ซึ่งจะติดต่อเครื่องของผู้ประสงค์ร้ายเพื่อส่งข้อมูลเบื้องต้น เช่น ชื่อคอมพิวเตอร์ ชื่อบัญชีผู้ใช้ เวอร์ระบบปฏิบัติการ และรอคำสั่งจากผู้ประสงค์ร้ายต่อไป

จะเห็นได้ว่าผู้ประสงค์ร้ายมีความพยายามในการใช้เทคนิคต่าง ๆ หลีกเลี่ยงการตรวจจับการติดมัลแวร์ ซึ่งเราไม่อาจพึ่งกลไกในการตรวจจับของแอนติไวรัสเพียงอย่างเดียว ผู้ใช้ควรมีความระวังและรู้จักสังเกตสกุลไฟล์ที่แนบในอีเมล ซึ่งหากพบไฟล์ที่อ้างว่าเป็นเอกสาร แต่เป็นไฟล์ประเภท exe ควรแจ้งผู้ดูแลระบบเพื่อตรวจสอบ

ในขณะเดียวกันผู้ดูแลระบบอาจเพิ่มกลไกในการป้องกันเพิ่มเติม เช่น การตั้งค่าจำกัดให้ผู้ใช้สามารถเปิดโปรแกรมทตามรายการที่กำหนดอนุญาตไว้เท่านั้น

ผู้ดูและระบบสามารถศึกษาข้อมูลไฟล์และหมายเลขไอพีที่กลุ่มแฮกเกอร์ใช้เพื่อโจมตีได้จากรายงานในที่มาของข่าว เพื่อใช้ตรวจสอบความผิดปกติในเครื่องและเครือข่ายขององค์กร

วันที่: 2018-04-04 | ที่มา: ESET | Share on Facebook Share on Twitter Share on Google+
ผลสำรวจเผย 2 บทบาท ผู้บริหาร เจ้าหน้าฝ่ายเทคนิค มีความเห็นด้านการรับมือภัยคุกคามต่างและส่งผลต่อองค์กรอย่างไร

บริษัท Centrify เผยแพร่รายงานผลสำรวจด้านความมั่นคงปลอดภัยที่ทำกับผู้บริหารและเจ้าหน้าที่ฝ่ายเทคนิคเพื่อเปรียบเทียบมุมมองความเห็นของทั้ง 2 ฝ่าย พบความเห็นแตกต่างที่น่าสนใจหลายประเด็น ดังนี้

  • ผู้บริหารส่วนใหญ่ (65%) คิดว่าภัยคุกคามที่รุนแรงมากที่สุดคือมัลแวร์ แต่เจ้าหน้าที่ฝ่ายเทคนิคส่วนใหญ่ (35%) กลับคิดว่าเป็นการแฮกบัญชีผู้ใช้งาน ซึ่งเกิดจากสาเหตุเช่น ผู้ใช้งานตั้งรหัสผ่านที่คาดเดาง่าย หรือใช้รหัสผ่านตั้งต้นที่ได้รับตั้งแต่เริ่มใช้งานโดยไม่ได้เปลี่ยน ซึ่งสอดคล้องกับความเห็นผู้บริหารส่วนใหญ่ที่เคยถูกโจมตีมาแล้วอย่างน้อย 1 ครั้ง และสอดคล้องกลับรายงาน Verizon 2017 Data Breach Investigations จากบริษัท Verizon ก็แสดงให้เห็นว่า 81% ของการโจมตีเกิดจากรหัสผ่านถูกขโมยหรือตั้งรหัสผ่านที่คาดเดาง่าย

    จากความเห็นที่แตกต่างในแง่ของประเภทภัยคุกคามที่รุนแรงและควรให้ความสำคัญของทั้งสองฝ่าย ก็สะท้อนมาถึงเรื่องการลงทุน โดยผู้บริหารส่วนใหญ่ (60%) คิดว่าควรลงทุนเพื่อป้องกันมัลแวร์

  • ผู้บริหาร (15%) มากกว่าเจ้าหน้าที่เทคนิค (8%) คิดว่าภัยคุกคามที่เกิดในองค์กรส่งผลกระทบรุนแรง แสดงให้เห็นว่าเจ้าหน้าที่อาจไม่ได้รับทราบถึงความเสียหายบางอย่าง การสูญเสียลูกค้า หรือราคาหุ้นขององค์กรตก ซึ่งเป็นเรื่องต้องผู้บริหารอาจพิจารณาสื่อสารให้เข้าใจถึงผลกระทบให้ตรงกัน
  • ในแง่ของอะไรที่เป็นจุดเปลี่ยนให้องค์กรหันมาใส่ใจในเรื่องการรับมือและป้องกันภัยคุกคาม ผู้บริหารส่วนคิดว่า เมื่อเกิดภัยคุกคามขนาดใหญ่ขึ้นกับหน่วยงานของตน (56%) หรือ เมื่อเกิดเหตุการณ์ที่เป็นข่าวใหญ่โต (51%) ในขณะที่เจ้าหน้าที่ฝ่ายเทคนิคส่วนใหญ่ (38%) คิดว่าควรพิจารณาจากงานวิจัยหรือผลสำรวจเกี่ยวกับความเสี่ยงของภัยคุกคามในการอ้างอิง

    ผลสำรวจนี้อาจสะท้อนว่าผู้บริหารส่วนใหญ่ให้ความสำคัญในแง่ผลกระทบของบริษัท เช่น ราคาหุ้น ให้ความสำคัญจากข่าวต่างๆ ที่ออกสื่อ ในขณะที่เจ้าหน้าที่เทคนิคจะสนใจในแง่ของความเสี่ยงของการถูกโจมตีในเชิงเทคนิค

  • ผู้บริหารส่วนใหญ่ (54%) ให้ความสำคัญกับคุณภาพการให้บริการลูกค้า และกังวลกับมาตรการด้านความมั่นคงปลอดภัยที่มาส่งผลกระทบ เช่น มาตรการยืนยันตัวตนแบบ 2 ขั้นตอน ซึ่งเป็นมาตรสำคัญที่ช่วยลดความเสี่ยงจากการถูกโจมตีได้มาก ในขณะที่เจ้าหน้าที่เทคนิคในสัดส่วนที่น้อยกว่าที่เห็นด้วย เนื่องจากปัจจุบันมาตรการยืนยันตัวตนแบบ 2 ขั้นตอนสามารถทำให้หลายรูปแบบ เช่น การยืนยันตัวตนด้วยลายนิ้วมือ หรือใบหน้า ซึ่งง่ายต่อผู้ใช้งาน

จะเห็นได้ว่าความแตกต่างของความเห็นระหว่างผู้บริหารกับเจ้าหน้าที่ทางเทคนิค อาจส่งผลถึงการรักษาความมั่นคงปลอดภัยขององค์กร หากทั้งสองฝ่ายลองสื่อสารกันในแง่มุมของตน เพื่อปรับความเข้าใจให้ตรงกัน ก็อาจสามารถช่วยให้องค์กรรับมือภัยคุกคามได้อย่างมีประสิทธิภาพมากขึ้น

วันที่: 2018-02-23 | ที่มา: Centrify | Share on Facebook Share on Twitter Share on Google+
Mcafee เผยแพร่ข้อแนะนำป้องกันสมาร์ตโฟนถูกแฮก

บริษัทด้านความมั่นคงปลอดภัย Mcafee เผยแพร่ข้อแนะนำง่ายๆ สำหรับผู้ใช้ทั่วไปเพื่อป้องกันสมาร์ตโฟนจากการถูกแฮกโดยมีข้อมูลดังนี้

  1. ติดตั้งแอปพลิเคชันจากแหล่งที่น่าเชื่อถือ เช่น Google Play หรือ App Store
  2. ล็อกมือถือด้วยรหัสผ่าน (Passcode) และเปิดฟังก์ชัน Find my Devices สำหรับอุปกรณ์ระบบปฏิบัติการ Android และฟังก์ชัน Find my iPhone สำหรับอุปกรณ์ระบบปฏิบัติการ iOS เผื่อกรณีอุปกรณ์สูญหาย
  3. ล็อกเอาต์หรือจากระบบทุกครั้ง เมื่อเสร็จสิ้นการใช้งาน หลีกเลี่ยงการใช้งานฟังก์ชันจดจำข้อมูลและเติมข้อมูลอัตโนมัติ (Auto-fill)
  4. หมั่นทำการอัพเดตเฟิร์มแวร์ ซอฟต์แวร์ระบบสม่ำเสมอ เพื่อเพิ่มความปลอดภัยการใช้งาน
  5. หลีกเลี่ยงคลิกลิงก์ใด ๆ ที่มีการส่งมายังมือถือของผู้ใช้ หากไม่ทราบแหล่งที่มาอย่างชัดเจน

ข้อแนะนำเหล่านี้ดูเหมือนเป็นเรื่องง่ายๆ แต่เรื่องง่ายๆ เหล่านี้ก็อาจทำให้ผู้ใช้ละเลยไม่ได้ปฏิบัติตาม เช่น การเปิดฟังก์ชันเพื่อค้นหาอุปกรณ์ การล็อกมือถือด้วยรหัสผ่าน มิฉะนั้นเมื่อเกิดเหตุอุปกรณ์สูญหายหรือถูกขโมย ก็อาจส่งผลให้ผู้ประสงค์ร้ายได้ข้อมูล หรือสวมรอยเพื่อกระทำการหลอกลวงผู้อื่นได้ ผู้ใช้สามารถศึกษาข้อแนะนำกรณีอุปกรณ์สูญหายได้จากอินโฟกราฟิคของไทยเซิร์ตได้ที่ https://www.thaicert.or.th/downloads/files/Security_Tips_When_Losing_Mobile.png

วันที่: 2018-02-13 | ที่มา: Mcafee | Share on Facebook Share on Twitter Share on Google+
Adobe ปล่อยอัปเดตปิดช่องโหว่ 0-day ใน Adobe Flash Player พบถูกใช้โจมตีเพื่อควบคุมเครื่องเหยื่อ (หมายเลขช่องโหว่ CVE-2018-4878)

เมื่อต้นเดือนกุมภาพันธ์ หน่วยงานรับมือภัยคุกคามไซเบอร์ของประเทศเกาหลีใต้ KrCERT (Korea Computer Emergency Response Team) ได้ประกาศแจ้งเตือนการค้นพบ Adobe Flash Player (หมายเลขช่องโหว่ CVE-2018-4878) ส่งผลให้ผู้ประสงค์ร้ายสามารถโจมตีเพื่อควบคุมเครื่องของเหยื่อได้ โดยช่องโหว่ดังกล่าวเป็นลักษณะประเภท 0-day นอกจากนี้พบว่าช่องโหว่ถูกใช้เพื่อโจมตีแล้วโดยมุ่งเป้าจำกัดเฉพาะกลุ่มเป้าหมาย

การโจมตีที่พบมาในรูปแบบไฟล์เอกสารแนบมากับอีเมล เช่น ไฟล์ประเภท Excel โดยในไฟล์เอกสารมีการฝังส่วนประกอบที่เรียกว่า ActiveX object ที่มีโค้ดอันตรายสำหรับโจมตีช่องโหว่ใน Adobe Flash Player แฝงอยู่ หากเหยื่อเปิดไฟล์เอกสารและกดอนุญาตเพื่อแสดงเนื้อหา ActiveX ก็อาจถูกโจมตีส่งผลให้เครื่องถูกควบคุมได้

ช่องโหว่นี้ส่งผลกระทบใน Adobe Flash Player ตั้งแต่รุ่น 28.0.0.137 และรุ่นก่อนหน้า ถึงแม้ยังพบการโจมตีจำกัดเฉพาะกลุ่ม แต่ผู้ประสงค์ร้ายรายอื่นก็อาจสามารถนำช่องโหว่ไปใช้โจมตีอย่างแพร่หลาย ทาง Adobe ได้เผยแพร่อัปเดตเป็นเวอร์ชัน 28.0.0.161 เพื่อปิดช่องโหว่ สำหรับแนวทางการป้องกันเพิ่มเติม หากไม่มีความจำเป็นต้องใช้ซอฟต์แวร์นี้ ผู้ใช้อาจพิจารณาถอนการติดตั้งซอฟต์แวร์ดังกล่าวเพื่อลดความเสี่ยงจากการถูกโจมตีในอนาคต

จะเห็นได้ว่าการส่งอีเมลแนบไฟล์อันตรายเป็นช่องทางหนึ่งที่ผู้ประสงค์ร้ายมักใช้เพื่อโจมตี ซึ่งจริงๆ แล้วการโจมตีมีหลายรูปแบบ ผู้ใช้สามารถศึกษาวิธีการรับมือเพิ่มเติมได้ที่ https://www.facebook.com/thaicert/videos/660657847415685/

วันที่: 2018-02-09 | ที่มา: Malwarebytes, Fireeye, Adobe | Share on Facebook Share on Twitter Share on Google+