Clear
Lead Graphic Papers

ข่าวสั้น

สถิติเผย 7% ของบริการเก็บข้อมูล Amazon S3 เสี่ยงข้อมูลรั่วไหล เนื่องจากไม่ได้จำกัดการเข้าถึง

ปัจจุบันการเก็บข้อมูลบนคลาวด์เริ่มนิยมมากขึ้นเนื่องจากสะดวก ไม่ต้องมีเครื่องสำหรับเก็บข้อมูล สามารถเข้าถึงข้อมูลจากระยะไกลได้ อย่างไรก็ตามหากผู้ใช้ไม่รู้จักวิธีการใช้งานอย่างเหมาะสม ก็อาจทำให้ข้อมูลรั่วไหลได้

Amazon S3 เป็นหนึ่งในบริการเก็บข้อมูลในรูปแแบบคลาวด์ของบริษัท Amazon โดยรูปแบบการใช้งานนั้น ผู้ใช้จะต้องสร้าง Bucket หรือถังเพื่อใช้เก็บข้อมูล จากนั้นจึงสามารถเข้าถึงข้อมูลผ่าน URL ของ Bucket

บริษัทด้านความมั่นคงปลอดภัย Skyhigh Networks เปิดเผยสถิติระบุว่า 7% ของ Bucket ทั้งหมดในบริการ Amazon S3 ถูกตั้งค่าเป็น Public และ 35% ไม่ได้ถูกเข้ารหัสลับไว้ ซึ่งมีความเสี่ยงส่งผลให้ข้อมูลรั่วไหลได้ ดังกรณีตัวอย่างเกิดขึ้น เช่น การรั่วไหลของข้อมูลผู้ใช้ 14 ล้านคนของบริษัท Verizon ซึ่งเป็นหนึ่งในบริษัทด้านโทรคมนาคมหลักของประเทศสหรัฐฯ หรือ การรั่วไหลของข้อมูลผู้เลือกตั้งเมืองชิคาโก 1.8 ล้านคน

ผู้ใช้บางส่วนอาจเข้าใจผิดคิดว่า ข้อมูลยังปลอดภัยถึงแม้ว่าจะตั้งค่า Bucket เป็น Public หากเก็บ URL ที่ใช้เข้าถึงข้อมูลเป็นความลับ อย่างไรก็ตามผู้ประสงค์ร้ายอาจสามารถโจมตีเพื่อขโมย URL ด้วยการดักรับข้อมูลหรือการสุ่มคาดเดารวมถึงความผิดพลาดที่ผู้ใช้เปิดเผย URL เอง ดังนั้นไม่ว่าจะเป็นการใช้บริการคลาวด์สำหรับเก็บข้อมูลรายใด ผู้ใช้ควรจำกัดการเข้าถึงเท่าที่จำเป็น

นอกจากนี้ผู้ใช้ที่สนใจสามารถศึกษาข้อแนะนำเพิ่มเติมในการใช้งาน Amazon S3 อย่างปลอดภัยได้ที่ https://read.acloud.guru/how-to-secure-an-s3-bucket-7e2dbd34e81b

วันที่: 2017-09-26 | ที่มา: Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
คอมพิวเตอร์กว่า 1.65 ล้านเครื่องถูกแฮกใช้ขุดเงินดิจิทัล WordPress, Joomla ตกเป็นเป้าการโจมตี

Kaspersky Lab ออกรายงานสถิติมัลแวร์ในช่วง 9 เดือนแรกของปี 2560 โดยพบว่าคอมพิวเตอร์ทั่วโลกกว่า 1.65 ล้านเครื่องถูกแฮกฝังมัลแวร์ที่ใช้ขุดเงินดิจิทัล (Cryptocurrency) สกุลเงินส่วนใหญ่เป็น Zcash และ Monero เงินที่ได้จากการใช้มัลแวร์ช่วยขุดรวมแล้วประมาณ 75,000 ดอลลาร์ต่อปี

ทีมนักวิจัยจาก IBM X-Force ได้เผยแพร่รายงานผลวิเคราะห์การโจมตีในลักษณะนี้เช่นเดียวกัน โดยเป็นการรวบรวมข้อมูลจากฝั่งเซิร์ฟเวอร์และระบบที่ใช้ในองค์กรขนาดใหญ่ (ของ Kaspersky เป็นสถิติจากเครื่องคอมพิวเตอร์ทั่วไป) จากข้อมูลของ IBM พบว่า เซิร์ฟเวอร์ที่ใช้งานซอฟต์แวร์อย่าง WordPress, Joomla หรือ JBoss มักจะตกเป็นเป้าหมายของการโจมตี โดยจะเป็นการฝังมัลแวร์ชื่อ Minerd หรือ kworker เพื่อใช้ขุดเงิน

การแฮกเครื่องคอมพิวเตอร์หรืออุปกรณ์ที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ (Internet of Things) เพื่อใช้ติดตั้งมัลแวร์ขุดเงินดิจิทัลนั้นเริ่มได้รับความนิยมมากขึ้น เนื่องจากเงินเหล่านี้สามารถปกปิดข้อมูลเจ้าของบัญชี และสามารถนำไปใช้ในตลาดมืดได้โดยตรวจสอบติดตามได้ยาก ผู้ใช้หรือผู้ดูแลระบบควรตรวจสอบความผิดปกติ เช่น โพรเซสที่ใช้ CPU สูง เพื่อป้องกันการถูกนำเครื่องคอมพิวเตอร์มาใช้โดยไม่ได้รับอนุญาต

วันที่: 2017-09-25 | ที่มา: Bleeping Computer, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
สถิติเว็บไซต์ฟิชชิงครึ่งปีแรกเผย พบมากขึ้นถึง 1.4 ล้านต่อเดือน ส่วนใหญ่มุ่งเป้าผู้ใช้งานบัญชี Google

สถิติเว็บไซต์ฟิชชิงครึ่งปีแรกเผย พบมากขึ้นถึง 1.4 ล้านเว็บต่อเดือน ส่วนใหญ่มุ่งเป้าผู้ใช้งานบัญชี Google

บริษัทด้านความมั่นคงปลอดภัยไซเบอร์ Webroot เผยแพร่รายงานสถิติรายไตรมาส Webroot Quarterly Threat Trends Report โดยมีสถิติเกี่ยวกับการโจมตีเว็บไซต์ฟิชชิง (Phishing) ที่น่าสนใจ ดังนี้

  • พบจำนวนเว็บไซต์ฟิชชิงสูงขึ้นจากปีก่อนซึ่งพบ 13,000 เว็บไซต์ต่อวัน เป็น 46,000 เว็บไซต์ต่อวันหรือ 1.4 ล้านเว็บไซต์ต่อเดือน
  • เว็บไซต์ฟิชชิงส่วนใหญ่มุ่งโจมตีผู้ใช้งานบัญชี Google โดยมีสัดส่วนถึง 35% ในขณะที่ 4 อันดับรองลงมาคือ Chase (15%), Dropbox (13%), Paypal (10%) และ Facebook (7%)
  • เว็บไซต์ฟิชชิงส่วนใหญ่มีอายุเพียง 4 ถึง 8 ชั่วโมง เพื่อหลบหลีกการตรวจจับที่จะบล็อกเว็บไซต์

เว็บไซต์ฟิชชิงถือเป็นปัญหาด้านไซเบอร์ที่สำคัญเพราะส่งผลกระทบผู้ใช้จำนวนมาก โดยเฉพาะหากเป็นบัญชีทางการเงินเช่นบัญชีของเว็บไซต์ธนาคารออนไลน์ ดังนั้นผู้ใช้ควรสังเกตชื่อเว็บไซต์ที่จะล็อกอินทุกครั้ง รวมถึงเปิดการใช้งานยืนยันตัวตนแบบ 2 ขั้นตอนหากทำได้

สำหรับผู้ที่สนใจสามารถศึกษาการเปิดใช้งาน (https://www.thaicert.or.th/papers/general/2015/pa2015ge001.html) รวมถึงข้อแนะนำอื่นๆ (https://www.thaicert.or.th/downloads/files/Phishing_Awareness_2.jpg) เพื่อหลีกเลี่ยงการตกเป็นเหยื่อได้ที่เว็บไซต์ไทยเซิร์ต

วันที่: 2017-09-25 | ที่มา: Webroot, Help Net Security | Share on Facebook Share on Twitter Share on Google+
ข้อเสนอแนะเพิ่มไฟล์ security.txt ไว้ในเว็บไซต์เพื่อใช้ติดต่อประสานงานเหตุภัยคุกคามไซเบอร์

นักพัฒนาเว็บไซต์น่าจะคุ้นเคยกันดีกับการสร้างไฟล์ robots.txt ไว้ในเว็บไซต์เพื่อแจ้งให้ Search engine ทราบว่าไดเรกทอรีใดที่สามารถเข้าไปเก็บข้อมูลได้บ้าง (ดูเพิ่มเติมได้ที่ http://www.robotstxt.org/robotstxt.html) นักวิจัยด้านความมั่นคงปลอดภัยได้นำไอเดียนี้มาปรับปรุงต่อ และเสนอแนะเป็นมาตรฐานไฟล์ security.txt เพิ่มเติมขึ้นมาเพื่อแสดงนโยบายการรักษาความมั่นคงปลอดภัยของเว็บไซต์รวมถึงแจ้งช่องทางติดต่อกับผู้ดูแลระบบ ตัวอย่างเนื้อหาของไฟล์ security.txt เช่น

#This is a comment
Contact: security@example.com
Contact: +1-201-555-0123
Contact: https://example.com/security
Encryption: https://example.com/pgp-key.txt
Acknowledgement: https://example.com/acknowledgements.html
Disclosure: Full

ปัจจุบันข้อเสนอนี้อยู่ระหว่างการพัฒนา ผู้ที่สนใจสามารถศึกษาข้อมูลได้จากเว็บไซต์ IETF (https://www.ietf.org/id/draft-foudil-securitytxt-00.txt) และ GitHub ของโครงการ (https://github.com/EdOverflow/security-txt)

วันที่: 2017-09-21 | ที่มา: Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
ระวัง พบช่องโหว่ใน Joomla! ถูกยึดเว็บได้ผ่าน LDAP ควรอัปเดตเป็นเวอร์ชัน 3.8

Joomla! เป็นซอฟต์แวร์ CMS ที่ได้รับความนิยมในการพัฒนาเว็บไซต์ นักวิจัยด้านความมั่นคงปลอดภัยจาก RIPS Technologies ได้รายงานช่องโหว่ LDAP injection ในส่วน login controller ส่งผลให้ผู้ประสงค์ร้ายสามารถล่วงรู้ username และ password ของผู้ดูแลระบบและสามารถล็อกอินเข้าไปยังหน้าจัดการเว็บไซต์ได้ ช่องโหว่นี้มีรหัส CVE-2017-14596

ซอฟต์แวร์ที่ได้รับผลกระทบคือ Joomla! เวอร์ชันตั้งแต่ 1.5 จนถึง 3.7.5 โดยระบบต้องเปิดตั้งค่าการยืนยันตัวตนผ่าน LDAP ไว้ด้วย (https://docs.joomla.org/LDAP_Authentication)

หากผู้ประสงค์ร้ายสามารถได้สิทธิของผู้ดูแลเว็บไซต์ ก็สามารถเปลี่ยนแปลงเนื้อหา แก้ไขการตั้งค่า รวมถึงอัปโหลดไฟล์ backdoor สำหรับใช้เป็นช่องทางในการเข้ามาควบคุมเซิร์ฟเวอร์ได้

ทางผู้พัฒนา Joomla! ได้ออกอัปเดตมาแก้ไขปัญหานี้เมื่อวันที่ 19 กันยายน 2560 ผู้ดูแลเว็บไซต์ที่ตั้งค่าให้ล็อกอินเข้าใช้งาน Joomla! ผ่าน LDAP ควรอัปเดตให้เป็นเวอร์ชันล่าสุด

วันที่: 2017-09-20 | ที่มา: RIPS, Joomla! | Share on Facebook Share on Twitter Share on Google+
ฟีเจอร์ตรวจสอบลิงก์ของ iTerm2 ใน Mac อาจทำให้ข้อมูลความลับรั่วไหล ควรอัปเดตเป็นเวอร์ชันใหม่

iTerm2 เป็นแอปพลิเคชันที่ได้รับความนิยมในหมู่ผู้ใช้ macOS เพราะมีความสามารถหลากหลายกว่า Terminal ที่ติดตั้งมากับระบบ ในตัวโปรแกรมเวอร์ชัน 3.0.0 ที่ออกมาตั้งแต่วันที่ 4 กรกฎาคม 2559 มีฟีเจอร์หนึ่งที่ถูกเพิ่มเข้ามาคือการตรวจสอบว่าลิงก์ที่พิมพ์ใส่เข้ามาในโปรแกรมนั้นสามารถเข้าถึงได้หรือไม่โดยใช้วิธี DNS lookup ซึ่งฟีเจอร์นี้ถูกเปิดมาเป็นค่าเริ่มต้น นักวิจัยด้านความมั่นคงปลอดภัยพบว่าข้อมูลสำคัญที่เป็นความลับอาจหลุดรั่วออกไปผ่านฟีเจอร์นี้ได้

ฟีเจอร์ตรวจสอบลิงก์ของ iTerm2 จะทำงานเมื่อมีการนำเมาส์ไปชี้ที่ตัวข้อความที่มีรูปแบบลักษณะคล้ายลิงก์ ส่งผลให้เมื่อนำเมาส์ไปชี้ที่ username, password, API key หรือข้อมูลสำคัญที่เป็นความลับ ก็มีโอกาสที่ข้อมูลเหล่านั้นจะหลุดรั่วออกไปได้ผ่าน DNS request นอกจากนี้ ฟีเจอร์นี้ยังอาจส่งผลกระทบต่อนักวิจัยด้านความมั่นคงปลอดภัยได้ด้วยเนื่องจากในกรณีวิเคราะห์การโจมตีระบบแล้วพบ URL น่าสงสัย หากมีการวาง URL ดังกล่าวลงในหน้าจอโปรแกรม iTerm2 อาจมีการติดต่อไปยังเซิร์ฟเวอร์ของผู้ประสงค์ร้ายโดยไม่ตั้งใจ ทำให้ผู้ประสงค์ร้ายทราบว่าเหยื่อรู้ตัวและเริ่มมีการตรวจวิเคราะห์การโจมตีแล้ว

นักพัฒนาได้ออกอัปเดต iTerm2 เวอร์ชัน 3.1.1 มาเพื่อแก้ไขปัญหานี้แล้ว ผู้ใช้สามารถตรวจสอบสถานะการทำงานของฟีเจอร์นี้ได้จากเมนู Preferences > Advanced > Semantic History โดยควรตั้งค่าให้ตัวเลือก "Perform DNS lookups to check if URLs are valid?" เป็น No

โปรแกรม iTerm2 เวอร์ชันล่าสุดสามารถดาวน์โหลดได้จากเว็บไซต์ https://www.iterm2.com/

วันที่: 2017-09-20 | ที่มา: Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
แอป DU Antivirus Security ใน Android แอบขโมยข้อมูลผู้ใช้

นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Check Point ได้รายงานว่า แอปพลิเคชัน DU Antivirus Security ใน Android ที่พัฒนาโดย DU Security Lab แอบขโมยข้อมูลผู้ใช้ส่งออกไปเซิร์ฟเวอร์ภายนอกโดยไม่ได้รับอนุญาต โดยแอปพลิเคชันดังกล่าวมียอดดาวน์โหลดประมาณ 10 - 50 ล้านครั้ง

ทาง Check Point ระบุว่า เมื่อเปิดใช้งานแอปพลิเคชันครั้งแรก ข้อมูลการใช้งานอุปกรณ์ เช่น รหัสเครื่อง รายชื่อผู้ติดต่อ ประวัติการโทร รวมถึงตำแหน่งที่อยู่ จะถูกส่งออกไปยังเซิร์ฟเวอร์ภายนอกโดยไม่มีการแจ้งหรือขออนุญาตผู้ใช้ ข้อมูลดังกล่าวถูกนำไปใช้วิเคราะห์ร่วมกับแอปพลิเคชัน Caller ID & Call Block – DU Caller ของผู้พัฒนารายเดียวกัน มีความเป็นไปได้ว่าข้อมูลนี้อาจถูกนำไปใช้เพื่อจุดประสงค์ในเชิงการค้าเช่นการแสดงผลโฆษณาด้วย

ตั้งแต่วันที่ 28 สิงหาคม 2560 แอปพลิเคชัน DU Antivirus Security ได้ออกอัปเดตเพื่อแก้ไขปัญหา โดยหลังจากเวอร์ชัน 3.1.5 โค้ดในส่วนที่เป็นการขโมยข้อมูลผู้ใช้ได้ถูกนำออกจากตัวโปรแกรมแล้ว ผู้ใช้ที่ใช้งานโปรแกรมดังกล่าวควรอัปเดตให้เป็นเวอร์ชันล่าสุด

วันที่: 2017-09-19 | ที่มา: Check Point | Share on Facebook Share on Twitter Share on Google+
CCleaner ถูกแฮกเซิร์ฟเวอร์ฝังมัลแวร์ ผู้ใช้ควรรีบอัปเดตเป็นเวอร์ชัน 5.34

เมื่อวันที่ 18 กันยายน 2560 ทีมวิจัยจาก Cisco Talos ได้รายงานว่า เซิร์ฟเวอร์ที่ใช้ในการแจกจ่ายไฟล์อัปเดตของโปรแกรม CCleaner ถูกบุกรุก ผู้ประสงค์ร้ายได้ฝังมัลแวร์ไว้ในโปรแกรม CCleaner เวอร์ชัน 5.33.6162 และ CCleaner Cloud เวอร์ชัน 1.07.3191 โดยทั้งสองโปรแกรมถูกเผยแพร่ให้ดาวน์โหลดตั้งแต่วันที่ 15 สิงหาคมจนถึง 12 กันยายน 2560

CCleaner เป็นโปรแกรมที่ได้รับความนิยมในการใช้ลบไฟล์ขยะออกจากเครื่อง มียอดติดตั้งกว่า 2.27 ล้านเครื่องทั่วโลก ตัวโปรแกรมถูกพัฒนาโดย Piriform ซึ่งปัจจุบันอยู่ภายใต้บริษัทแอนติไวรัส Avast

หลังจากที่มีการเผยแพร่รายงานของ Cisco Talos ทางทีมพัฒนาของ CCleaner ได้ชี้แจงว่า โปรแกรม CCleaner และ CCleaner Cloud เวอร์ชันที่ได้รับรายงานนั้นถูกฝังมัลแวร์จริง โดยผู้ประสงค์ร้ายได้บุกรุกเข้ามายังระบบที่ใช้ในการพัฒนาซอฟต์แวร์ แล้วแก้ไขไฟล์ของโปรแกรมในระหว่างช่วงก่อนที่จะส่งเผยแพร่ให้ผู้ใช้ดาวน์โหลด ทำให้ไฟล์ที่ถูกเผยแพร่บนเว็บไซต์นั้นได้รับการยืนยันความถูกต้องโดยใช้ใบรับรองของ CCleaner ส่งผลให้โปรแกรมแอนติไวรัสไม่แจ้งเตือนว่าเป็นไฟล์มัลแวร์

ตัวโค้ดที่ถูกเพิ่มเข้าไปในโปรแกรมเป็นมัลแวร์สายพันธุ์ Floxif มีความสามารถในการขโมยข้อมูลจากเครื่องคอมพิวเตอร์ที่ใช้งาน เช่น ชื่อเครื่อง รายการโปรแกรมที่ติดตั้ง รายชื่อโปรแกรมที่เรียกใช้งาน เป็นต้น

หลังจากที่มีการรายงานปัญหาที่เกิดขึ้น ทางผู้พัฒนาได้ออกอัปเดต CCleaner เวอร์ชัน 5.34.6207 และ CCleaner Cloud เวอร์ชัน 1.07.3214 เพื่อแก้ปัญหาแล้ว โดยหากเคยติดตั้งโปรแกรมเวอร์ชันที่ถูกฝังมัลแวร์มาก่อนหน้านี้ เมื่อติดตั้งเวอร์ชันล่าสุด ตัวมัลแวร์จะถูกลบออกจากเครื่องโดยอัตโนมัติ

ผู้ใช้โปรแกรม CCleaner สามารถดาวน์โหลดเวอร์ชันล่าสุดได้จาก https://www.piriform.com/ccleaner/download/standard

วันที่: 2017-09-19 | ที่มา: Bleeping Computer, Cisco Talos, Piriform | Share on Facebook Share on Twitter Share on Google+
นักวิจัยเผย สายรัดข้อมือฟิตเนส Fitbit สามารถถูกดักขโมยข้อมูลด้านสุขภาพออกมาได้ง่าย

ทีมนักวิจัยจาก University of Edinburgh ได้นำเสนอรายงานการดักรับข้อมูลด้านสุขภาพจากสายรัดข้อมือฟิตเนสที่ได้รับความนิยมอย่าง Fitbit One และ Fitbit Flex โดยพบว่าข้อมูลที่แอปพลิเคชัน Fitbit รับส่งกับเซิร์ฟเวอร์นั้นยังขาดกระบวนการป้องกันที่ดีพอ ทำให้สามารถดักรับหรือแก้ไขเปลี่ยนแปลงข้อมูลเหล่านั้นได้

ข้อมูลด้านสุขภาพที่ถูกเก็บอยู่ในสายรัดข้อมือ เช่น ปริมาณแคลอรี่ที่เผาผลาญ อัตราการเต้นของหัวใจ ระยะเวลาการนอนหลับ ระยะการเดินทาง เป็นต้น ถึงแม้ว่าข้อมูลเหล่านี้อาจจะไม่ได้ความสำคัญมากนักแต่การที่บุคคลอื่่นสามารถเข้าถึงข้อมูลเหล่านี้ได้ก็อาจนำข้อมูลไปใช้เพื่อวิเคราะห์แสดงผลโฆษณา หรืออาจนำไปใช้แบล็กเมลได้หากพบว่าผู้ที่สวมใส่นั้นมีปัญหาร้ายแรงด้านสุขภาพ

นักวิจัยได้รายงานปัญหานี้ให้ทาง Fitbit ทราบแล้ว และทาง Fitbit แจ้งว่าจะปล่อยเฟิร์มแวร์อัปเดตเพื่อแก้ไขให้มีความมั่นคงปลอดภัยมากยิ่งขึ้น เช่น มีกระบวนการเข้ารหัสลับข้อมูลที่รับส่งระหว่างอุปกรณ์ เป็นต้น โดยผู้ใช้งานสามารถดาวน์โหลดอัปเดตเวอร์ชันใหม่ได้เร็วๆ นี้

วันที่: 2017-09-18 | ที่มา: HackRead, University of Edinburgh | Share on Facebook Share on Twitter Share on Google+
เปรียบเทียบความปลอดภัยของ Browser Extension ระหว่าง Chrome กับ Firefox

หลังจากช่วงที่ผ่านมา ผู้ประสงค์ร้ายได้ปรับรูปแบบการพัฒนามัลแวร์โดยเริ่มมีการสร้างมัลแวร์ในลักษณะของ Browser Extension เพิ่มมากขึ้น จุดประสงค์หลักๆ คือเพื่อหลบเลี่ยงระบบตรวจจับมัลแวร์และต้องการเข้าถึงข้อมูลการใช้งานอินเทอร์เน็ตของผู้ใช้โดยตรง บริษัท Fortinet ได้เผยแพร่บทความเปรียบเทียบการทำงานของ Browser Extension ระหว่าง Chrome กับ Firefox ว่ามีความแตกต่างและมีผลต่อความมั่นคงปลอดภัยในการใช้งานอย่างไร

ก่อนหน้านี้การติดตั้งโปรแกรมเสริมให้กับเบราว์เซอร์มักจะเป็นลักษณะ Plugin โดยเป็นการเพิ่มความสามารถในการทำงานให้กับเบราว์เซอร์ด้วยการเรียกใช้โปรแกรมเสริมจากภายนอก ซึ่งส่วนใหญ่มักเขียนด้วยภาษา C++ และติดต่อกับเบราว์เซอร์ผ่านทาง API เข่น NPAPI ตัวอย่าง Plugin ในลักษณะนี้ เช่น Flash, Java, PDF Reader เป็นต้น ต่อมาเริ่มมีการปรับรูปแบบการทำงานมาเป็น Extension เพื่อให้ทำงานเฉพาะส่วนที่เกี่ยวข้องกับการปรับแต่งการแสดงผลหรือเนื้อหาของเว็บไซต์เป็นหลัก โดยทำงานอยู่ภายใต้เบราว์เซอร์ Extension ส่วนใหญ่จะเขียนด้วยภาษา JavaScript โดยติดต่อกับเบราว์เซอร์ผ่าน runtime objects

เนื่องจาก Extension (ส่วนเสริม, ส่วนขยาย หรือบางทีเรียก Add-on) ที่ติดตั้งในเบราว์เซอร์ จะได้รับสิทธิในการทำงานค่อนข้างสูง ไม่ว่าจะเป็น สามารถเข้าถึง API ระดับล่างๆ ของเบราว์เซอร์ได้ หรือสามารถแก้ไขหน้าเว็บไซต์ได้ ทำให้ผู้ประสงค์ร้ายเริ่มหันมาพัฒนา Extension ด้วยจุดประสงค์เพื่อใช้ในทางมิชอบ

ในบทความของ Fortinet อธิบายว่า โครงสร้างไฟล์ Extension ของ Chrome และ Firefox มีลักษณะคล้ายๆ กัน คือเขียนด้วยภาษา JavaScript และมีส่วน manifest ไว้อธิบายว่ามีไฟล์อะไรที่เกี่ยวข้องกับตัว Extension บ้าง โดยไฟล์ติดตั้งของทั้ง Chrome และ Firefox ใช้การบีบอัดในรูปแบบ ZIP เหมือนกัน แต่ของ Chrome จะมีส่วน header ที่ใช้ระบุค่า hash และ signature ของไฟล์ที่อยู่ข้างในด้วย เพื่อป้องกันการถูกปลอมแปลง

Extension ของ Chrome จำเป็นต้องระบุ permission ที่จะเรียกใช้งาน ในขณะที่ของ Firefox จะไม่มีข้อกำหนดลักษณะนี้เนื่องจากอนุญาตให้ Extension สามารถปรับแต่งรูปแบบการทำงานของเบราว์เซอร์ได้

นักวิจัยของ Fortinet ได้เปรียบเทียบรูปแบบการทำงานของ Extension ใน Chrome และ Firefox แล้วให้ความเห็นว่า การออกแบบระบบการทำงานของ Extension ใน Chrome มีความปลอดภัยมากกว่า Firefox อย่างไรก็ตาม เนื่องจากพบการโจมตีด้วยการพยายามสร้าง Extension มัลแวร์เพิ่มมากขึ้น นอกจากการพยายามตรวจสอบและป้องกันจากผู้พัฒนาเบราว์เซอร์แล้ว ทางผู้ใช้เองก็ต้องพิจารณาก่อนติดตั้ง Extension ในเบราว์เซอร์ด้วย

วันที่: 2017-09-18 | ที่มา: Fortinet | Share on Facebook Share on Twitter Share on Google+
เซิร์ฟเวอร์ ElasticSearch กว่า 4,000 เครื่องถูกใช้แพร่กระจายมัลแวร์ ส่วนใหญ่อยู่บน Amazon AWS

ElasticSearch เป็นซอฟต์แวร์ที่นิยมใช้ในระบบที่ต้องการประมวลผลข้อมูลและอำนวยความสะดวกในการค้นหา นักวิจัยพบเซิร์ฟเวอร์จำนวนมากบนอินเทอร์เน็ตที่ถูกตั้งค่าให้บุคคลทั่วไปสามารถเข้าถึงได้และมีรายงานว่าเครื่องเซิร์ฟเวอร์ดังกล่าวถูกโจมตีเพื่อใช้ในการแพร่กระจายมัลแวร์

นักวิจัยจาก Kromtech Security Center รายงานว่า เซิร์ฟเวอร์ที่ติดตั้งและใช้งานซอฟต์แวร์ ElasticSearch กว่า 4,000 เครื่องถูกใช้แพร่กระจายมัลแวร์สำหรับโจมตีเครื่อง POS (Point of Sale) โดยเป็นมัลแวร์สายพันธุ์ AlinaPOS และ JackPOS (POS เป็นเครื่องที่ใช้ในการชำระเงินเมื่อซื้อสินค้าหรือบริการ) เซิร์ฟเวอร์เกือบทั้งหมดที่ถูกโจมตีอยู่บน Amazon AWS

นักวิจัยพบว่า สาเหตุที่ทำให้เครื่องจำนวนมากที่ถูกโจมตีเป็นเครื่องที่อยู่บน Amazon AWS เนื่องจากบริการ EC2 ของ Amazon อนุญาตให้ติดตั้ง ElasticSearch ได้เฉพาะเวอร์ชัน 1.5.2 และ 2.3.2 ซึ่งเป็นเวอร์ชันเก่า

ปัจจุบันนักวิจัยได้แจ้งเตือนเจ้าของเซิร์ฟเวอร์ที่ได้รับผลกระทบแล้ว โดยเบื้องต้นแนะนำว่าควรตั้งค่าตามข้อแนะนำด้านความมั่นคงปลอดภัย (https://www.elastic.co/products/x-pack/security) นอกจากนี้ เมื่อช่วยต้นปี 2560 ที่ผ่านมา พบการโจมตีเซิร์ฟเวอร์ ElasticSearch เพื่อเข้ารหัสลับฐานข้อมูลเรียกค่าไถ่ (ข่าวเก่า https://www.thaicert.or.th/newsbite/2017-01-13-01.html) ผู้ดูแลระบบควรระวังป้องกันก่อนตกเป็นเหยื่อ

วันที่: 2017-09-15 | ที่มา: Bleeping Computer, Threatpost | Share on Facebook Share on Twitter Share on Google+
ระวัง พบการแฮกบัญชี LinkedIn ส่งข้อความแนบลิงก์เว็บไซต์หลอกลวงขโมยข้อมูล

นักวิจัยจาก Malwarebytes รายงานว่าพบการโจมตีผู้ใช้ LinkedIn ผ่านฟีเจอร์ InMail ซึ่งเป็นระบบการส่งข้อความระหว่างผู้ใช้งาน LinkedIn โดยผู้ประสงค์ร้ายสวมรอยบัญชีที่สมัครเป็น LinkedIn Premium เพื่อสร้างความน่าเชื่อถือ จากนั้นส่งข้อความแนบลิงก์เว็บไซต์ฟิชชิ่งมาเพื่อหลอกให้ผู้ใช้คลิก (บัญชี LinkedIn Premium สามารถส่งข้อความหาผู้ใช้ที่ไม่ได้อยู่ในรายชื่อ Connection ได้)

เมื่อคลิกเข้าไปยังลิงก์ดังกล่าว จะพบหน้าจอแจ้งว่าเอกสารนี้ถูกแชร์ผ่านบริการฝากไฟล์ เช่น Google Drive ซึ่งผู้ใช้ต้องล็อกอินถึงจะสามารถดูข้อมูลได้ แต่เว็บไซต์ปลายทางที่ถูกส่งไปเป็นเว็บไซต์ปลอม

นักวิจัยยังไม่ยืนยันว่าบัญชี LinkedIn ที่ถูกสวมรอยนั้นถูกแฮกไปด้วยวิธีใด และยังไม่ยืนยันจำนวนผู้ที่ได้รับผลกระทบ ผู้ที่ใช้งาน LinkedIn ควรตรวจสอบให้แน่ใจก่อนคลิกลิงก์ที่ได้รับทางข้อความ ตรวจสอบความถูกต้องของ URL เว็บไซต์ก่อนล็อกอิน หากสงสัยว่าบัญชี LinkedIn ถูกสวมรอยควรตรวจสอบการตั้งค่าและควรเปิดใช้งานการยืนยันการล็อกอินแบบสองชั้น โดยสามารถดูข้อแนะนำวิธีการป้องกันไม่ให้ถูก social engineering ผ่าน LinkedIn ได้จากบทความของไทยเซิร์ต (https://www.thaicert.or.th/newsbite/2017-01-24-02.html)

วันที่: 2017-09-15 | ที่มา: Help Net Security, Malwarebytes | Share on Facebook Share on Twitter Share on Google+
กรณีศึกษา บริษัท Equifax ถูกแฮก ข้อมูลรั่วไหล เพราะไม่ได้แพตช์ช่องโหว่ซอฟต์แวร์นานหลายเดือน

เมื่อวันที่ 7 กันยายน 2560 บริษัท Equifax ซึ่งดูแลเรื่องข้อมูลเครดิตได้ประกาศว่าระบบของบริษัทถูกโจมตี ส่งผลให้ข้อมูลลูกค้าชาวอเมริกันกว่า 143 ล้านรายรั่วไหลสู่สาธารณะ โดยในเบื้องต้นทางบริษัทได้แจ้งว่าระบบถูกโจมตีผ่านช่องโหว่ของซอฟต์แวร์ Apache Struts (https://struts.apache.org) ซึ่งเป็นเฟรมเวิร์คสำหรับใช้พัฒนาซอฟต์แวร์ เหตุเกิดระหว่างช่วงเดือนพฤษภาคมถึงกรกฎาคมที่ผ่านมา

จากการตรวจวิเคราะห์ข้อมูลในเวลาต่อมา ผู้เชี่ยวชาญพบว่าระบบของ Equifax ถูกเจาะผ่านช่องโหว่ CVE-2017-5638 ซึ่งเป็นช่องโหว่ระดับความรุนแรงสูงที่ส่งผลให้ผู้ประสงค์ร้ายสามารถส่งคำสั่งอันตรายเข้ามาประมวลผลที่เซิร์ฟเวอร์ได้ ช่องโหว่ดังกล่าวถูกรายงานเมื่อวันที่ 8 มีนาคม 2560 และทางผู้พัฒนาซอฟต์แวร์ได้ออกอัปเดตแพตช์สำหรับแก้ไขปัญหาดังกล่าวแล้ว แต่ทาง Equifax ไม่ได้มีการติดตั้งแพตช์ดังกล่าวเป็นเวลากว่า 9 สัปดาห์จนส่งผลให้ระบบถูกโจมตีและข้อมูลรั่วไหลได้ในที่สุด

ก่อนหน้านี้ในช่วงเดือนมีนาคม 2560 ภายหลังจากที่มีการเปิดเผยช่องโหว่ Apache Struts พบรายงานว่าเว็บไซต์จำนวนมากถูกโจมตีผ่านช่องโหว่ดังกล่าว โดยหนึ่งในหน่วยงานที่ได้รับผลกระทบคือกรมสรรพากรของประเทศแคนาดาซึ่งระบบถูกโจมตีจนต้องปิดให้บริการชั่วคราว (ข่าวเก่า https://www.thaicert.or.th/newsbite/2017-03-15-02.html)

การอัปเดตแพตช์ซอฟต์แวร์เป็นสิ่งที่ควรทำอยู่เป็นประจำ เนื่องจากหากมีช่องโหว่แค่เพียงหนึ่งจุดก็มีโอกาสที่ระบบจะถูกโจมตีจนเกิดความเสียหายได้ กรณีเหตุการณ์ Equifax นี้เป็นตัวอย่างที่ดีของผลกระทบที่เกิดขึ้นจากการที่ไม่ได้มีระบบบริหารจัดการแพตช์ที่ดีพอ

วันที่: 2017-09-14 | ที่มา: The Register, ZDNet | Share on Facebook Share on Twitter Share on Google+
แพตช์ด่วน! Windows Update กันยายน 2560 แก้ไขช่องโหว่ร้ายแรงที่ถูกใช้ฝังมัลแวร์ได้ พบการโจมตีแล้ว

ใน Windows Update ประจำเดือนกันยายน 2560 ทาง Microsoft ได้ออกแพตช์แก้ไขช่องโหว่จำนวน 81 รายการ โดยมี 27 รายการที่เป็นช่องโหว่ระดับ Critical หนึ่งในนั้นเป็นช่องโหว่ Windows .NET Framework RCE (CVE-2017-8759) ที่เปิดโอกาสให้ผู้ประสงค์ร้ายสามารถส่งคำสั่งอันตรายมาประมวลผลที่เครื่องของเหยื่อได้จากระยะไกล

นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท FireEye ได้รายงานช่องโหว่นี้ให้กับทาง Microsoft หลังพบว่าเมื่อเดือนกรกฎาคมที่ผ่านมามีกลุ่มอาชญากรรมทางไซเบอร์ได้อาศัยช่องโหว่นี้ (ซึ่งในขณะนั้นยังไม่มีแพตช์) โจมตีกลุ่มเป้าหมายเพื่อฝังมัลแวร์ FinFisher ขโมยข้อมูล โดยมัลแวร์ดังกล่าวมีความสามารถในการสอดแนม เช่น เปิดกล้องหน้า ดักการพิมพ์คีย์บอร์ด ดักข้อมูลการสนทนา เป็นต้น

เนื่องจากช่องโหว่นี้มีระดับความรุนแรงสูงและเคยถูกใช้ในการโจมตีจริงมาแล้ว รวมทั้งตัวอย่างโค้ดสำหรับใช้โจมตีได้มีการเผยแพร่ออกสู่สาธารณะ ผู้ใช้ควรติดตั้งอัปเดตเวอร์ชันล่าสุดเพื่อป้องกันและลดผลกระทบ

วันที่: 2017-09-14 | ที่มา: The Hacker News, FireEye | Share on Facebook Share on Twitter Share on Google+