Clear
Lead Graphic Papers

ข่าวสั้น

รัฐบาลออสเตรเลียออกข้อแนะนำความมั่นคงปลอดภัย เสนอให้ผู้ดูแลระบบบล็อกโฆษณาในเว็บไซต์, ปิด Flash Player, Java, และ Office Macro

รัฐบาลออสเตรเลียออกข้อแนะนำความมั่นคงปลอดภัย เสนอให้ผู้ดูแลระบบบล็อกโฆษณาในเว็บไซต์, ปิด Flash Player, Java, และ Office Macro

หน่วยงาน Australian Cyber Security Centre (ACSC) ของรัฐบาลออสเตรเลียได้เผยแพร่เอกสาร Australian Government Information Security Manual เพื่อใช้เป็นคู่มือสำหรับการปฏิบัติงานและการตั้งค่าความมั่นคงปลอดภัยให้กับระบบในหน่วยงานภาครัฐ ตัวเอกสารมีหลายหัวข้อ ครอบคลุมตั้งแต่การแบ่งลำดับหน้าที่การทำงาน การจัดทำเอกสาร การรักษาความมั่นคงปลอดภัยทั้งตัวอุปกรณ์ บุคลากร และระบบเครือข่าย ไปจนถึงแนวทางการตั้งค่าระบบและการพัฒนาซอฟต์แวร์ให้มีความมั่นคงปลอดภัย

ตัวเอกสารนี้ได้มีการปรับปรุงอยู่เรื่อยๆ ทุกปี โดยเอกสารฉบับล่าสุดของปี 2018 ได้ถูกเพิ่มข้อแนะนำการตั้งค่าความมั่นคงปลอดภัยให้กับเครื่องคอมพิวเตอร์ของหน่วยงาน ตัวอย่างเช่น ปิดไม่ให้มีการแสดงผลโฆษณาในหน้าเว็บไซต์ ปิดการใช้งาน Adobe Flash Player ปิดไม่ให้ Java เชื่อมต่อกับอินเทอร์เน็ต รวมถึงปิดไม่ให้มีการใช้งาน Microsoft Office Macro จากไฟล์ที่ดาวน์โหลดมาจากอินเทอร์เน็ต เป็นต้น นอกจากนี้ยังมีการเพิ่มข้อกำหนดอื่นๆ อย่างเช่น ต้องมีการตรวจสอบสิทธิ์บัญชีผู้ใช้ในระบบอย่างสม่ำเสมอ ปรับปรุงกระบวนการสำรองและกู้คืนข้อมูล ปรับปรุงการส่งข้อมูลข้ามหน่วยงาน เป็นต้น

ข้อแนะนำส่วนใหญ่ออกมาในแนวภาพรวมแบบกว้างๆ โดยอ้างอิงมาตรฐานสากลอย่างเช่น NIST โดยบางข้อกำหนดมีข้อมูลหรือแนวทางการปฏิบัติเพิ่มเติมได้สามารถศึกษาต่อได่ด้วย ผู้ที่สนใจสามารถดูเอกสารนี้ได้จาก https://cyber.gov.au/infrastructure/publications/australian-government-information-security-manual-ism/pdf/Australian_Government_Information_Security_Manual.pdf

วันที่: 2018-12-14 | ที่มา: IT News | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือนการโจมตีทางไซเบอร์ "Operation Sharpshooter" มุ่งเป้าเจาะระบบหน่วยงานด้านความมั่นคงและโครงสร้างพื้นฐานสำคัญของประเทศ

เมื่อวันที่ 12 ธันวาคม 2561 บริษัท McAfee ได้เผยแพร่รายงาน "Operation Sharpshooter" ระบุถึงการโจมตีทางไซเบอร์ที่มุ่งเป้าไปยังหน่วยงานด้านนิวเคลียร์ การเงิน ความมั่นคง และพลังงาน โดยทาง McAfee พบว่ามัลแวร์แพร่กระจายไปยังหน่วยงาน 87 แห่งทั่วโลกรวมถึงประเทศไทยตั้งแต่ช่วงเดือนตุลาคมถึงพฤศจิกายน ส่วนใหญ่เป็นหน่วยงานด้านความมั่นคงหรือหน่วยงานที่มีความเกี่ยวข้องกับรัฐบาล (อยู่ระหว่างตรวจสอบเพื่อยืนยันข้อมูลหน่วยงานที่ได้รับผลกระทบ)

รูปแบบการโจมตีจะใช้วิธีหลอกให้เหยื่อเปิดไฟล์ Microsoft Word ที่หลอกว่าเป็นเอกสารที่เกี่ยวข้องกับการรับสมัครงาน ช่องทางแพร่กระจายจะอัปโหลดไฟล์ Microsoft Word ขึ้นไปไว้บน Dropbox โดยในไฟล์ Word จะมีโค้ดอันตรายฝังอยู่ หากผู้ใช้เปิดไฟล์ดังกล่าวและอนุญาตให้มีการใช้งาน Macro โค้ดอันตรายจะถูกเรียกขึ้นมาทำงานเพื่อดาวน์โหลดไฟล์มัลแวร์จากเซิร์ฟเวอร์ภายนอกมาติดตั้งลงในเครื่องอีกทีหนึ่ง ตัวมัลแวร์นี้ทาง McAfee ตั้งชื่อว่า Rising Sun มีความสามารถในการฝังตัวเพื่อขโมยข้อมูลและส่งออกไปยังเซิร์ฟเวอร์ภายนอก ตัวอย่างข้อมูลที่ถูกส่งออกไปโดยหลัก ๆ จะเป็นรายละเอียดเบื้องต้นของเครื่องที่ติดมัลแวร์ เช่น ชื่อเครื่อง ชื่อบัญชีผู้ใช้ ที่อยู่ไอพี เวอร์ชันของระบบปฏิบัติการ เป็นต้น โดยข้อมูลที่ถูกส่งออกไปจะถูกเข้ารหัสลับเพื่อไม่ให้สามารถถูกตรวจจับความผิดปกติได้

ทาง McAfee ได้เผยแพร่ข้อมูล IOC สำหรับใช้ตรวจสอบและป้องกันการโจมตี โดยประกอบด้วยค่าแฮชของไฟล์ที่เกี่ยวข้อง ที่อยู่ไอพีและโดเมนของเซิร์ฟเวอร์ที่ใช้ควบคุมและสั่งการเครื่องที่ติดมัลแวร์ หน่วยงานที่อยู่ในกลุ่มเสี่ยงที่ว่ามีโอกาสตกเป็นเป้าหมายของการโจมตีควรเฝ้าระวัง อัปเดตข้อมูลสำหรับใช้ในการตรวจจับการโจมตี และอัปเดตระบบอย่างสม่ำเสมอ

วันที่: 2018-12-14 | ที่มา: McAfee, McAfee | Share on Facebook Share on Twitter Share on Google+
รัฐบาลออสเตรเลียออกข้อแนะนำความมั่นคงปลอดภัย เสนอให้ผู้ดูแลระบบบล็อกโฆษณาในเว็บไซต์, ปิด Flash Player, Java, และ Office Macro

หน่วยงาน Australian Cyber Security Centre (ACSC) ของรัฐบาลออสเตรเลียได้เผยแพร่เอกสาร Australian Government Information Security Manual เพื่อใช้เป็นคู่มือสำหรับการปฏิบัติงานและการตั้งค่าความมั่นคงปลอดภัยให้กับระบบในหน่วยงานภาครัฐ ตัวเอกสารมีหลายหัวข้อ ครอบคลุมตั้งแต่การแบ่งลำดับหน้าที่การทำงาน การจัดทำเอกสาร การรักษาความมั่นคงปลอดภัยทั้งตัวอุปกรณ์ บุคลากร และระบบเครือข่าย ไปจนถึงแนวทางการตั้งค่าระบบและการพัฒนาซอฟต์แวร์ให้มีความมั่นคงปลอดภัย

ตัวเอกสารนี้ได้มีการปรับปรุงอยู่เรื่อยๆ ทุกปี โดยเอกสารฉบับล่าสุดของปี 2018 ได้ถูกเพิ่มข้อแนะนำการตั้งค่าความมั่นคงปลอดภัยให้กับเครื่องคอมพิวเตอร์ของหน่วยงาน ตัวอย่างเช่น ปิดไม่ให้มีการแสดงผลโฆษณาในหน้าเว็บไซต์ ปิดการใช้งาน Adobe Flash Player ปิดไม่ให้ Java เชื่อมต่อกับอินเทอร์เน็ต รวมถึงปิดไม่ให้มีการใช้งาน Microsoft Office Macro จากไฟล์ที่ดาวน์โหลดมาจากอินเทอร์เน็ต เป็นต้น นอกจากนี้ยังมีการเพิ่มข้อกำหนดอื่นๆ อย่างเช่น ต้องมีการตรวจสอบสิทธิ์บัญชีผู้ใช้ในระบบอย่างสม่ำเสมอ ปรับปรุงกระบวนการสำรองและกู้คืนข้อมูล ปรับปรุงการส่งข้อมูลข้ามหน่วยงาน เป็นต้น

ข้อแนะนำส่วนใหญ่ออกมาในแนวภาพรวมแบบกว้างๆ โดยอ้างอิงมาตรฐานสากลอย่างเช่น NIST โดยบางข้อกำหนดมีข้อมูลหรือแนวทางการปฏิบัติเพิ่มเติมได้สามารถศึกษาต่อได่ด้วย ผู้ที่สนใจสามารถดูเอกสารนี้ได้จาก https://cyber.gov.au/infrastructure/publications/australian-government-information-security-manual-ism/pdf/Australian_Government_Information_Security_Manual.pdf

วันที่: 2018-12-13 | ที่มา: IT News | Share on Facebook Share on Twitter Share on Google+
รัฐบาลออสเตรเลียออกข้อแนะนำความมั่นคงปลอดภัย เสนอให้ผู้ดูแลระบบบล็อกโฆษณาในเว็บไซต์, ปิด Flash Player, Java, และ Office Macro

หน่วยงาน Australian Cyber Security Centre (ACSC) ของรัฐบาลออสเตรเลียได้เผยแพร่เอกสาร Australian Government Information Security Manual เพื่อใช้เป็นคู่มือสำหรับการปฏิบัติงานและการตั้งค่าความมั่นคงปลอดภัยให้กับระบบในหน่วยงานภาครัฐ ตัวเอกสารมีหลายหัวข้อ ครอบคลุมตั้งแต่การแบ่งลำดับหน้าที่การทำงาน การจัดทำเอกสาร การรักษาความมั่นคงปลอดภัยทั้งตัวอุปกรณ์ บุคลากร และระบบเครือข่าย ไปจนถึงแนวทางการตั้งค่าระบบและการพัฒนาซอฟต์แวร์ให้มีความมั่นคงปลอดภัย

ตัวเอกสารนี้ได้มีการปรับปรุงอยู่เรื่อยๆ ทุกปี โดยเอกสารฉบับล่าสุดของปี 2018 ได้ถูกเพิ่มข้อแนะนำการตั้งค่าความมั่นคงปลอดภัยให้กับเครื่องคอมพิวเตอร์ของหน่วยงาน ตัวอย่างเช่น ปิดไม่ให้มีการแสดงผลโฆษณาในหน้าเว็บไซต์ ปิดการใช้งาน Adobe Flash Player ปิดไม่ให้ Java เชื่อมต่อกับอินเทอร์เน็ต รวมถึงปิดไม่ให้มีการใช้งาน Microsoft Office Macro จากไฟล์ที่ดาวน์โหลดมาจากอินเทอร์เน็ต เป็นต้น นอกจากนี้ยังมีการเพิ่มข้อกำหนดอื่นๆ อย่างเช่น ต้องมีการตรวจสอบสิทธิ์บัญชีผู้ใช้ในระบบอย่างสม่ำเสมอ ปรับปรุงกระบวนการสำรองและกู้คืนข้อมูล ปรับปรุงการส่งข้อมูลข้ามหน่วยงาน เป็นต้น

ข้อแนะนำส่วนใหญ่ออกมาในแนวภาพรวมแบบกว้างๆ โดยอ้างอิงมาตรฐานสากลอย่างเช่น NIST โดยบางข้อกำหนดมีข้อมูลหรือแนวทางการปฏิบัติเพิ่มเติมได้สามารถศึกษาต่อได่ด้วย ผู้ที่สนใจสามารถดูเอกสารนี้ได้จาก https://cyber.gov.au/infrastructure/publications/australian-government-information-security-manual-ism/pdf/Australian_Government_Information_Security_Manual.pdf

วันที่: 2018-12-13 | ที่มา: IT News | Share on Facebook Share on Twitter Share on Google+
Microsoft และ Adobe ออกแพตช์ประจำเดือนธันวาคม 2018 แก้ไขช่องโหว่ร้ายแรงที่ถูกใช้ในการโจมตีจริงแล้ว

เมื่อวันที่ 11 ธันวาคม 2561 ทาง Microsoft และ Adobe ได้ออกแพตช์แก้ไขช่องโหว่ด้านความมั่นคงปลอดภัยประจำเดือนธันวาคม โดยมีการแก้ไขช่องโหว่ระดับวิกฤติ (Critical) ที่เคยถูกใช้ในการโจมตีหน่วยงานในต่างประเทศมาแล้ว ผู้ดูแลระบบควรตรวจสอบและอัปเดตระบบที่ใช้งานอยู่เพื่อลดโอกาสที่จะเกิดความเสียหาย

แพตช์ของ Microsoft แก้ไขช่องโหว่ทั้งหมด 39 จุด โดยมี 9 จุดเป็นช่องโหว่ระดับวิกฤติแต่ยังไม่พบว่าเคยถูกใช้ในการโจมตีมาก่อน อย่างไรก็ตาม มีช่องโหว่ 1 จุดที่เป็นระดับ Important แต่เคยถูกใช้ในการโจมตีมาแล้ว คือช่องโหว่รหัส CVE-2018-8611 ที่เป็นประเภทยกระดับสิทธิ์จากผู้ใช้ทั่วไปเป็นผู้ดูแลระบบ (Elevation of Privilege) ก่อนหน้านี้มีรายงานว่าพบมัลแวร์ที่ใช้เทคนิคนี้ในการโจมตีมาแล้ว

สำหรับแพตช์ของ Adobe หลักๆ จะเน้นการแก้ไขช่องโหว่ของ Adobe Acrobat และ Adobe Reader เป็นหลัก โดยแก้ไขช่องโหว่ทั้งหมด 9 จุด ซึ่งมี 6 จุดเป็นช่องโหว่ระดับวิกฤติที่ส่งผลให้ผู้ประสงค์ร้ายสามารถสั่งประมวลผลคำสั่งอันตรายบนเครื่องของเหยื่อได้

วันที่: 2018-12-13 | ที่มา: Krebs on Security, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
Adobe ออกแพตช์แก้ไขช่องโหว่ร้ายแรงใน Flash Player หลังถูกพบใช้โจมตีหน่วยงานในรัสเซีย

เมื่อวันที่ 5 ธันวาคม 2561 บริษัท Adobe ได้ออกอัปเดตโปรแกรม Flash Player เวอร์ชัน 32.0.0.101 เพื่อแก้ไขช่องโหว่ร้ายแรงที่ส่งผลให้ผู้ประสงค์ร้ายสามารถติดตั้งมัลแวร์ลงในเครื่องของเหยื่อได้ โดยช่องโหว่นี้มีรหัส CVE-2018-15982

เมื่อปลายเดือนพฤศจิกายน 2561 บริษัทด้านความมั่นคงปลอดภัยไซเบอร์จากประเทศจีนได้รายงานการโจมตีหน่วยงานในประเทศรัสเซีย โดยผู้ประสงค์ร้ายใช้วิธีส่งอีเมล ที่ข้างในมีไฟล์แนบเป็น .rar เมื่อแตกไฟล์ออกมาจะพบ 2 ไฟล์คือ .docx และ .jpg โดยหากเปิดไฟล์ .docx ขึ้นมา ในไฟล์ดังกล่าวจะมีสคริปต์สำหรับโจมตีช่องโหว่ของ Flash Player ซึ่งจุดประสงค์ของสคริปต์นี้คือการสกัดมัลแวร์ออกมาจากไฟล์ .jpg แล้วติดตั้งลงในเครื่องของเหยื่อ (ดูภาพประกอบอธิบายกระบวนการโจมตีได้จากที่มา) ภายหลังจากที่ทาง Adobe ได้รับแจ้งก็ได้เร่งออกอัปเดตมาเพื่อแก้ไขปัญหาทันที ทั้งนี้ ตัวอัปเดตที่ถูกปล่อยออกมาได้มีการแก้ไขช่องโหว่รหัส CVE-2018-15983 ด้วย แต่ยังไม่มีรายงานการโจมตีโดยใช้ช่องโหว่ดังกล่าว

หากผู้ใช้ติดตั้ง Google Chrome, Microsoft Edge, หรือ Internet Explorer 11 อัปเดตของ Flash Player จะถูกดาวน์โหลดมาติดตั้งโดยอัตโนมัติพร้อมกับตัวเบราว์เซอร์เวอร์ชันใหม่ แต่หากผู้ใช้มีการดาวน์โหลด Flash Player มาติดตั้งเอง ก็สามารถดาวน์โหลดอัปเดตเวอร์ชันล่าสุดได้จากเว็บไซต์ของ Adobe (https://helpx.adobe.com/security/products/flash-player/apsb18-42.html) หรือจากหน้าอัปเดตของตัวโปรแกรม

วันที่: 2018-12-06 | ที่มา: Softpedia, Security Affairs, Malwarebytes | Share on Facebook Share on Twitter Share on Google+
พบแอปพลิเคชันหลอกลวงใน iOS App Store หลอกให้ผู้ใช้สแกนลายนิ้วมือเพื่อจ่ายเงิน

มีรายงานว่าแอปพลิเคชันชื่อ "Fitness Balance” และ “Calories Tracker" บน iOS App Store เป็นแอปพลิเคชันหลอกลวงที่ทำขึ้นมาเพื่อขโมยเงินจากผู้ใช้ โดยแอปพลิเคชันดังกล่าวอ้างว่าสามารถตรวจสอบการเผาผลาญแคลอรีและตรวจการลดน้ำหนักได้โดยการให้ผู้ใช้วางนิ้วลงบนปุ่ม Home ของเครื่อง อย่างไรก็ตาม ตัวแอปพลิเคชันไม่ได้ตรวจสอบข้อมูลร่างกายจริงตามที่กล่าวอ้าง แต่หลังจากที่ผู้ใช้กดปุ่มเพื่อเปิดการสแกนลายนิ้วมือ ตัวแอปพลิเคชันจะแสดงหน้าจอยืนยันการจ่ายเงินผ่าน in-app purchase (ราคาประมาณ 100 ดอลลาร์) จากนั้นจะลดแสงหน้าจอลงต่ำสุดเพื่อไม่ให้ผู้ใช้มองเห็น หากผู้ใช้หลงเชื่อ รวมทั้งตั้งค่าให้สามารถจ่ายเงินได้ด้วยการสแกนลายนิ้วมือ ระบบก็จะยืนยันการจ่ายเงินทันที หลังจากพฤติกรรมหลอกลวงของทั้งสองแอปพลิเคชันถูกเผยแพร่ออกไป ทาง Apple ก็ได้ลบทั้งสองแอปพลิเคชันออกจาก iOS App Store พร้อมเปิดให้ผู้ใช้สามารถขอคืนเงินได้

การที่แอปพลิเคชันเหล่านี้ผ่านการตรวจสอบและสามารถปรากฎอยู่บน iOS App Store ได้ เกิดจากการอาศัยช่องโหว่ของกระบวนการตรวจสอบ คือ Apple อนุญาตให้แอปพลิเคชันเรียกเก็บเงินผ่าน in-app purchase ได้ แต่ไม่ได้ห้ามการเปลี่ยนราคา (ไม่ว่าจะเพิ่มหรือลดราคา) ในแบบที่มีความแตกต่างกันอย่างชัดเจน อีกหนึ่งกรณีศึกษาที่น่าสนใจคือแอปพลิเคชันนี้มีการจ้างรีวิวปลอมจำนวนมากเพื่อโหวตคะแนนระดับ 5 ดาว ทำให้คะแนนเฉลี่ยของทั้งสองแอปพลิเคชันดูมีความน่าเชื่อถือสูง

จากกรณีที่เกิดขึ้นในทำให้เห็นว่าระบบความมั่นคงปลอดภัยของ iOS ยังมีช่องโหว่ให้สามารถใช้ในการหลอกลวงได้ (ในกรณีคือช่องโหว่ของกระบวนการตรวจสอบแอปพลิเคชันและช่องโหว่ในกระบวนการจ่ายเงินผ่าน in-app purchase) ในอนาคตทาง Apple น่าจะมีมาตรการที่เข้มงวดขึ้น ระหว่างนี้ผู้ใช้สามารถป้องกันตัวเองเบื้องต้นได้ด้วยการปิดไม่ให้มีการยืนยันจ่ายเงินโดยการสแกนลายนิ้วมือ ให้ใช้วิธีการพิมพ์รหัสผ่านแทน

วันที่: 2018-12-06 | ที่มา: Bleeping Computer, We Live Security | Share on Facebook Share on Twitter Share on Google+
สถานศึกษาใน UK ประสบปัญหาข้อมูลรั่วไหลมากกว่า 700 ครั้งในปี 2016/17

หน่วยงาน Information Commissioners Office (ICO) ของสหราชอาณาจักรได้เปิดเผยว่าในช่วงปี 2016/17 มีรายงานว่าสถานศึกษาประสบปัญหาข้อมูลรั่วไหลทั้งหมด 703 ครั้ง โดยส่วนใหญ่เป็นโรงเรียน เนื่องจากมีข้อมูลทางการเงินเก็บบันทึกไว้เป็นจำนวนมากแต่ไม่ได้มีงบประมาณในการดูแลด้านความมั่นคงปลอดภัยของข้อมูลที่เพียงพอ นอกจากโรงเรียนแล้ว สถานศึกษาแหล่งอื่นเช่นสถานรับเลี้ยงเด็กหรือมหาวิทยาลัยก็มีรายงานความเสียหายจากเหตุการณ์ข้อมูลรั่วไหลเพิ่มขึ้นมากเช่นกัน

การเจาะระบบเพื่อขโมยข้อมูลจากสถานศึกษานั้นส่งผลกระทบทั้งในแง่ชื่อเสียงและข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งข้อมูลส่วนตัวของเด็กและข้อมูลทางการเงินของผู้ปกครอง เนื่องจากปัจจุบันนี้ข้อมูลส่วนใหญ่จะถูกเก็บบันทึกในรูปแบบอิเล็กทรอนิกส์ ผู้ที่เก็บบันทึกข้อมูลเหล่านี้ควรตรวจสอบเพื่อให้แน่ใจว่ามาตรการและวิธีการป้องกันข้อมูลนั้นเพียงพอรวมถึงมีช่องทางการตรวจสอบและรายงานให้กับผู้เสียหายและหน่วยงานที่ดูแลหากเกิดเหตุการณ์ข้อมูลรั่วไหล

วันที่: 2018-11-26 | ที่มา: UHY-UK | Share on Facebook Share on Twitter Share on Google+
พบบั๊กใน Gmail ผู้ประสงค์ร้ายสามารถปลอมอีเมลว่าถูกส่งออกมาจากบัญชีของเหยื่อได้ อาจถูกใช้ในการหลอกลวง

นักพัฒนาซอฟต์แวร์ชื่อ Tim Cotten ได้รายงานข้อผิดพลาดใน Gmail โดยพบว่าถ้ามีอีเมลที่ถูกปลอมชื่อผู้ส่งให้เป็นอีเมลเจ้าของบัญชี อีเมลฉบับดังกล่าวอาจจะไม่เข้าไปอยู่ในส่วน Inbox เพราะระบบมองว่าที่อยู่อีเมลกับไอพีของเครื่องที่ส่งมาไม่ตรงกัน แต่อีเมลฉบับนี้จะไปอยู่ในส่วน Sent เพราะระบบของ Gmail ไม่ได้ตรวจสอบความถูกต้องของข้อมูลผู้ส่ง (ตรวจสอบแค่ว่าชื่อผู้ส่งตรงกับที่อยู่อีเมลเจ้าของบัญชี) ผลกระทบจากข้อผิดพลาดนี้ทำให้ผู้ประสงค์ร้ายสามารถปลอมอีเมลให้เหมือนกับว่าถูกส่งออกมาจากบัญชีของเหยื่อได้

ตัวอย่างผลกระทบที่อาจเกิดขึ้นได้จากการอาศัยข้อผิดพลาดนี้ เช่น ผู้ประสงค์ร้ายส่งอีเมลโดยแนบลิงก์หรือไฟล์ที่มีอันตรายมาด้วย โดยอีเมลฉบับดังกล่าวจะปลอมชื่อผู้ส่งว่าถูกส่งออกมาจากบัญชี Gmail ของเหยื่อ จากนั้นส่งอีเมลปกติไปสอบถามความคืบหน้าหรือขอข้อมูลเพิ่มเติมโดยอ้างว่าเป็นเรื่องต่อเนื่องจากอีเมลที่ได้รับมาก่อนหน้านี้ เมื่อเหยื่อได้รับอีเมลก็อาจเปิดดูรายการอีเมลในช่อง Sent หากพบอีเมลต้องสงสัยที่ตนเองไม่ได้เป็นผู้ส่งก็อาจคลิกลิงก์หรือเปิดดูไฟล์ข้างในได้ อีกหนึ่งกรณีที่เป็นไปได้คือผู้ประสงค์ร้ายอาจใช้ช่องทางนี้ในการหลอกลวงว่าสามารถแฮกอีเมลของเหยื่อได้โดยแอบอ้างว่าสามารถส่งอีเมลออกจากบัญชีของเหยื่อทั้งที่ไม่ได้ทำจริง เป็นต้น

ผู้ที่ค้นพบข้อผิดพลาดนี้แจ้งว่าได้รายงานให้ทางทีม Gmail ทราบแล้ว โดยสถานะปัจจุบันยังไม่ยืนยันว่าเป็นเฉพาะบนเว็บไซต์หรือแอปพลิเคชันบนมือถือด้วย ระหว่างที่รอการตรวจสอบและแก้ไข ผู้ใช้ Gmail อาจต้องใช้ความระมัดระวังโดยการพิจารณาอีเมลที่อยู่ในช่อง Sent โดยหากพบอีเมลที่ไม่แน่ใจว่าตนเองเป็นผู้ส่งไม่ควรคลิกลิงก์หรือเปิดไฟล์แนบในอีเมลฉบับดังกล่าว หากสงสัยว่าบัญชี Gmail ถูกเข้าถึงโดยไม่ได้รับอนุญาตจริงหรือไม่สามารถตรวจสอบเพิ่มเติมได้ที่ https://myaccount.google.com/intro/security

วันที่: 2018-11-20 | ที่มา: HackRead, Tim Cotten, Hacker News | Share on Facebook Share on Twitter Share on Google+
พบเครื่องที่ใช้ Docker จำนวนมากมีการตั้งค่าไม่ปลอดภัย อาจถูกแฮกฝังมัลแวร์ขุดเงินดิจิทัล

บริษัท Juniper Networks รายงานการโจมตีเครื่องคอมพิวเตอร์ที่ใช้งาน Docker เพื่อฝังมัลแวร์ โดยผู้ประสงค์ร้ายใช้วิธีสแกนพอร์ตที่เครื่องเปิดอยู่ จากนั้นเชื่อมต่อไปยังพอร์ตที่ใช้สำหรับบริหารจัดการ Docker (ปกติจะเป็นพอร์ต 2375 และ 2376) โดยหากมีการตั้งค่าที่ไม่ปลอดภัย เช่น เปิดให้เข้าไปจัดการ container ข้างในได้โดยไม่มีการยืนยันตัวตน ผู้ประสงค์ร้ายก็สามารถเพิ่ม container เข้ามาแล้วติดตั้งมัลแวร์สำหรับขุดเงินดิจิทัลได้ (ส่วนมากใช้ขุดเงินสกุล Monero) ทำให้เครื่องคอมพิวเตอร์ทำงานหนักขึ้นโดยไม่จำเป็น

ในเว็บไซต์ของ Juniper Networks มีรายละเอียดว่ามัลแวร์ติดเข้ามาในเครื่องได้อย่างไร รวมถึงตัวอย่าง log และสคริปต์ที่ถูกใช้ในการโจมตี ซึ่งผู้ที่ใช้งาน Docker สามารถตรวจสอบข้อมูลได้ ข้อแนะนำเพิ่มเติมเพื่อให้ระบบมีความมั่นคงปลอดภัยมากยิ่งขึ้นคือการเปิดใช้งาน Docker ผ่าน TLS (https://docs.docker.com/engine/security/https/) ซึ่งจะช่วยทั้งในเรื่องของการยืนยันตัวตนและการเข้ารหัสลับข้อมูลที่รับส่ง

วันที่: 2018-11-16 | ที่มา: Bleeping Computer, Juniper | Share on Facebook Share on Twitter Share on Google+
Microsoft ปล่อยอัปเดตแก้ไขช่องโหว่ประจำเดือนพฤศจิกายน 2018 หลายช่องโหว่มีโค้ดโจมตีเผยแพร่สู่สาธารณะแล้ว

Microsoft ปล่อยอัปเดตด้านความมั่นคงปลอดภัยประจำเดือนพฤศจิกายน 2018 ให้กับซอฟต์แวร์หลายชุด เช่น Windows, Internet Explorer, Edge, รวมถึง Microsoft Office โดยในรอบนี้แก้ไขช่องโหว่ไปทั้งหมด 62 รายการ ปัญหาสำคัญที่ถูกแก้ไขในอัปเดตรอบนี้คือช่องโหว่ประเภท remote code execution ใน Microsoft Edge ที่ส่งผลให้ผู้ประสงค์ร้ายสามารถควบคุมเครื่องของเหยื่อได้ด้วยการหลอกให้เข้าไปยังเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่ นอกจากนี้ยังมีการแก้ไขปัญหาช่องโหว่ที่ถูกเปิดเผยรายละเอียดวิธีการโจมตีมาก่อนหน้าที่จะมีแพตช์ด้วย ซึ่งหลายช่องโหว่ถูกนำมาใช้ในการโจมตีจริงแล้ว ผู้ใช้งานผลิตภัณฑ์ของ Microsoft ควรติดตั้งอัปเดตล่าสุด โดยสามารถศึกษาข้อมูลเพิ่มเติมได้จากเว็บไซต์ของ Microsoft

วันที่: 2018-11-15 | ที่มา: The Register, Microsoft | Share on Facebook Share on Twitter Share on Google+
ระวัง พิจารณา​ก่อน​เล่น​เกมทันใจ (Instant Game) บน Facebook อาจ​เปิดเผย​ข้อมูล​ส่วนตัว​โดย​ไม่​ตั้งใจ​ได้

เมื่อวันที่ 9 พฤศจิกายน 2561 มีการเผยแพร่ข้อมูลผ่าน social media ว่าแอปพลิเคชัน OMG ซึ่งเป็นเกมทำนายนิสัยอาจขโมยข้อมูลส่วนบุคคลของผู้ใช้งานได้

ไทยเซิร์ตได้ตรวจสอบแล้วพบว่า OMG เป็นแอปพลิเคชันเกมจากผู้พัฒนาภายนอกที่เล่นผ่านแพลตฟอร์มของ Facebook โดยตัวเกมถูกพัฒนาขึ้นมาในลักษณะ เกมทันใจ (Instant Game) โดยรูปแบบของการเล่นเกมประเภทดังกล่าว เมื่อผู้ใช้กดปุ่มเล่นเกม จะมีการมอบสิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคล ทั้งข้อมูลที่เป็นสาธารณะ เช่น ชื่อ รูปโพรไฟล์ หรือโพสต์ที่ถูกตั้งค่าให้เห็นแบบสาธารณะ และข้อมูลที่สามารถเข้าถึงได้เฉพาะเจ้าของบัญชี เช่น รายชื่อเพื่อน, สถานะการจ่ายเงินใน Messenger

ระบบ เกมทันใจ เป็นคุณสมบัติที่ Facebook พัฒนาขึ้นมาเพื่อให้ผู้ใช้สามารถเล่นเกมกับเพื่อนผ่าน Facebook Messenger หรือ News Feed ได้อย่างรวดเร็ว จึงมีความแตกต่างจากแอปพลิเคชันปกติที่ต้องมีการขออนุญาตสิทธิ์การเข้าถึงข้อมูลก่อน ทั้งนี้ การอนุญาตให้แอปพลิเคชันเข้าถึงข้อมูลส่วนบุคคลอาจมีผลต่อการนำข้อมูลนั้นไปใช้เพื่อการโฆษณาหรือเพื่อจุดประสงค์อย่างอื่นได้ ปัจจุบันไทยเซิร์ตอยู่ระหว่างการเฝ้าระวัง หากพบความผิดปกติจะแจ้งให้ทราบในภายหลัง

เนื่องจากแอปพลิเคชันประเภท เกมทันใจ นั้นมีการให้สิทธิ์บางอย่างโดยไม่ได้ขออนุญาต และไม่ได้มีการแจ้งข้อมูลโดยละเอียดก่อนเล่นเกมว่าจะอนุญาตให้เข้าถึงสิทธิ์อะไรบ้าง ผู้ที่มีความกังวลเรื่องความเป็นส่วนตัวควรพิจารณาก่อนเล่นเกมประเภทนี้ ทั้งนี้ หากผู้ใช้ได้มีการ และมีความกังวลเรื่องข้อมูลส่วนตัว สามารถเข้าไปที่หน้าจอตั้งค่าแอปพลิเคชันที่ผู้กับบัญชี Facebook และลบแอปพลิเคชันนี้ออกได้

กระบวนการทำงานของไทยเซิร์ต หากพบแอปพลิเคชันที่เป็นอันตราย จะแจ้งเตือนสังคม ประสานงานกับผู้ให้บริการ และประสานงานกับเครือข่าย CERT เพื่อแลกเปลี่ยนข้อมูล

วันที่: 2018-11-07 | ที่มา: ThaiCERT | Share on Facebook Share on Twitter Share on Google+
Microsoft ออก Sysinternals ProcDump เวอร์ชัน Linux

Sysinternals เป็นชุดเครื่องมือสำหรับผู้ดูแลระบบปฏิบัติการ Windows ที่ Microsoft เผยแพร่ให้ดาวน์โหลดได้ฟรี ตัวอย่างเครื่องมือหลักๆ ที่นิยมใช้กันเช่น Autoruns, ProcDump, Process Explorer, Process Monitor เป็นต้น เมื่อต้นเดือนพฤศจิกายน 2561 ทาง Microsoft ได้แจ้งว่ากำลังพัฒนาเครื่องมือเหล่านี้ให้สามารถทำงานได้บนระบบปฏิบัติการ Linux ด้วย โดยเบื้องต้นได้ปล่อยโปรแกรม ProcDump ออกมาให้ดาวน์โหลดได้ฟรีแล้ว

ProcDump เป็นเครื่องมือที่ใช้สำหรับ dump ข้อมูลของ process ออกมาจาก memory รวมถึงสามารถใช้ monitor การทำงานของ process, สร้างไฟล์ crash dump, หรือเชื่อมต่อกับโปรแกรม debugger ได้ ตัวอย่างคำสั่งที่ใช้ใน ProcDump สามารถศึกษาได้จากเว็บไซต์ของ Microsoft (https://docs.microsoft.com/en-us/sysinternals/downloads/procdump) อย่างไรก็ตาม สำหรับเวอร์ชัน Linux นี้อาจมีรูปแบบคำสั่งบางอย่างที่แตกต่างออกไป

โปรแกรม ProcDump เวอร์ชัน Linux มีให้ดาวน์โหลดทั้งแบบ binary พร้อมติดตั้ง และ source code สำหรับนำไป compile เอง โดยโปรแกรมรองรับ Linux Kernel เวอร์ชัน 3.5 ขึ้นไป ผู้ดูแลระบบที่สนใจใช้งานโปรแกรมนี้สามารถดาวน์โหลดได้จาก GitHub ของ Microsoft (https://github.com/microsoft/procdump-for-linux)

วันที่: 2018-11-07 | ที่มา: Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
US-CERT เผยแพร่ข้อแนะนำในการทำลายข้อมูลก่อนทิ้งหรือส่งต่ออุปกรณ์อิเล็กทรอนิกส์

หน่วยงาน US-CERT ได้เผยแพร่ข้อแนะนำในการทำลายข้อมูลก่อนทิ้งหรือส่งต่ออุปกรณ์อิเล็กทรอนิกส์ โดยเนื่องจากปัจจุบันมีอุปกรณ์จำนวนมากที่สามารถเก็บบันทึกข้อมูลไว้ข้างในได้ หากไม่มีกระบวนการทำลายข้อมูลที่ดีพอแล้วนำอุปกรณ์ดังกล่าวไปทิ้ง ขายต่อ หรือบริจาค ก็อาจถูกผู้ไม่หวังดีกู้คืนข้อมูลสำคัญออกมาได้ รายการอุปกรณ์ในข้อแนะนำนี้ประกอบไปด้วยคอมพิวเตอร์ สมาร์ตโฟน แท็บเล็ต อุปกรณ์ดิจิทัลที่สามารถบันทึกข้อมูลได้เช่นกล้องหรือเครื่องเล่นเพลง อุปกรณ์เชื่อมต่อภายนอกที่สามารถรับส่งข้อมูลได้เช่นเครื่องพิมพ์หรือฮาร์ดดิสก์แบบพกพา และสุดท้ายคือเครื่องเล่นเกมคอนโซล

กระบวนการทำลายข้อมูลตามข้อแนะนำมีดังนี้

  1. สำรองข้อมูลสำคัญออกมาจากตัวอุปกรณ์ เพื่อป้องกันข้อมูลสูญหาย รวมถึงเพื่อตรวจสอบว่าในอุปกรณ์นี้มีข้อมูลใดบ้างที่ผู้ประสงค์ร้ายอาจกู้คืนออกมาได้หากไม่ได้ถูกทำลายด้วยวิธีการที่เหมาะสม
  2. สั่งลบข้อมูลในอุปกรณ์ โดยหากเป็นคอมพิวเตอร์ให้ใช้เครื่องมือประเภท secure erase หรือ disk wiping หากเป็นสมาร์ตโฟนหรือแท็บเล็ต กล้องดิจิทัล เครื่องเล่นเพลง เครื่องเกมคอนโซล หรือ อุปกรณ์สำนักงาน เช่น เครื่องพิมพ์ เครื่องแฟกซ์ สั่ง factory reset จากนั้นถอดซิมการ์ด ฮาร์ดดิสก์ หรือการ์ดหน่วยความจำออกจากเครื่อง (หากทำได้)
  3. เพื่อให้แน่ใจว่าผู้ประสงค์ร้ายจะไม่สามารถกู้คืนข้อมูลสำคัญออกมาจากอุปกรณ์ได้ อาจใช้วิธีเขียนทับสื่อบันทึกข้อมูลด้วยการ zero fill (เขียนทับทุก sector ด้วยค่า 0) หรือ random fill (เขียนทับทุก sector ด้วยค่า 0 หรือ 1 แบบสุ่ม)
  4. หากอุปกรณ์ใดมีข้อมูลที่สำคัญมากๆ อยู่และไม่ต้องการให้ผู้อื่นใช้งานอุปกรณ์นั้นต่อ ควรทำลายทั้งเครื่องหรือทำลายชิ้นส่วนสำคัญให้ไม่สามารถใช้งานได้อีกต่อไป เช่น ทุบหรือเผา ทั้งนี้วิธีการทำลายอาจแตกต่างกันไปในแต่ละอุปกรณ์ เช่น ฮาร์ดดิสก์แบบจานแม่เหล็กอาจต้องใช้เครื่องทำลายสนามแม่เหล็ก ส่วนแผ่นซีดีอาจต้องใช้วิธีบดทำลาย เป็นต้น

ผู้ที่สนใจสามารถศึกษาข้อมูลเพิ่มเติมได้จากเว็บไซต์ US-CERT

วันที่: 2018-11-05 | ที่มา: ZDNet, US-CERT | Share on Facebook Share on Twitter Share on Google+