Clear
Lead Graphic Papers

ข่าวสั้น

วุฒิสภาสหรัฐฯ เสนอกฎหมายแลกเปลี่ยนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ระหว่างหน่วยงานรัฐกับเอกชน เพื่อแก้ไขปัญหาการขาดแคลนบุคลากร

ปัญหาการขาดแคลนบุคลากรและผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์นั้นมีผลกระทบในทั่วโลก ปัจจุบันหลายประเทศมีแผนการสร้างและพัฒนาบุคลากรในสายงานนี้อย่างเร่งด่วน แต่ถึงอย่างนั้นก็ยังไม่สามารถผลิตบุคลากรได้ทันตามความต้องการ นอกจากนี้ยังพบปัญหาหน่วยงานรัฐต้องการผู้เชี่ยวชาญจากภาคเอกชน หรือบริษัทเอกชนต้องการผู้ที่เข้าใจกระบวนการทำงานของภาครัฐ รวมถึงสถาบันการศึกษาขาดแคลนผู้สอนที่มีประสบการณ์การทำงานจริง

เมื่อวันที่ 7 กุมภาพันธ์ 2562 วุฒิสภาสหรัฐฯ ได้เสนอกฎหมายที่อนุญาตให้มีการแลกเปลี่ยนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ระหว่างหน่วยงานรัฐ บริษัทเอกชน และสถานศึกษา ลักษณะเป็นการย้ายมาทำงานในหน่วยงานใหม่โดยไม่ถือว่าเป็นการลาออกจากหน่วยงานเดิม ซึ่งการขอยืมตัวบุคลากรเพื่อมาทำงานนี้สามารถทำได้โดยมีระยะเวลาไม่เกิน 2 ปี

จุดประสงค์หลักของการอนุญาตให้มีการโอนย้ายบุคลากรข้ามส่วนงาน เพื่อให้ได้ผู้เชี่ยวชาญที่มีความรู้ความเข้าใจในด้านปฏิบัติและด้านนโยบายของทั้งทางภาครัฐและเอกชน ตัวอย่างประโยชน์ที่จะได้จากการออกกฎหมายนี้ เช่น เจ้าหน้าที่หน่วยงานภาครัฐสามารถเรียนรู้การทำงานร่วมกับผู้เชี่ยวชาญจากบริษัทเอกชนเพื่อนำแนวปฏิบัติมาปรับปรุงกระบวนการทำงานของประเทศ หรือสถานศึกษาได้ผู้สอนที่มีความรู้และประสบการณ์จากการทำงานจริงมาเป็นอาจารย์ประจำ เป็นต้น

วันที่: 2019-02-15 | ที่มา: Cybersecurity Week, U.S. Senate | Share on Facebook Share on Twitter Share on Google+
ENISA เผยข้อมูลสถิติภัยคุกคามไซเบอร์ปี 2018 มัลแวร์ การแฮกเว็บไซต์ และการโจมตีแบบฟิชชิ่ง ยังเป็นปัญหาหลัก

หน่วยงาน ENISA ได้เผยแพร่รายงาน Threat Landscape Report 2018 ซึ่งเป็นสรุปภาพรวมสถานการณ์ภัยคุกคามทางไซเบอร์ตลอดทั้งปี (เน้นหลักไปที่สถานการณ์ในฝั่งยุโรป) โดยรวมพบว่าภัยคุกคามที่พบมากที่สุดยังเป็นการแพร่กระจายมัลแวร์ ตามมาด้วยการโจมตีเว็บไซต์ และการโจมตีแบบฟิชชิ่ง

ในปี 2018 มีสถิติที่น่าสนใจคือ ภัยคุกคามประเภท Cryptojacking หรือการแอบติดตั้งมัลแวร์เพื่อใช้เครื่องคอมพิวเตอร์ขุดเงินดิจิทัลนั้นมีเพิ่มมากขึ้น ในขณะที่ภัยคุกคามประเภท Ransomware หรือมัลแวร์เรียกค่าไถ่นั้นเริ่มลดลง ซึ่งข้อมูลนี้สอดคล้องกับรายงานสถิติของแหล่งอื่นๆ เช่น Malwarebytes (ข่าวเก่า https://www.thaicert.or.th/newsbite/2019-02-01-01.html)

ในส่วนของการป้องกัน ปัญหาที่หน่วยงานพบมากที่สุดคือการขาดแคลนบุคลากรที่มีทักษะและการรักษาบุคลากรที่มีความรู้ความสามารถไว้กับองค์กร ทักษะที่มีความต้องการสูงคือการวิเคราะห์ข้อมูลข่าวสารภัยคุกคาม (threat intelligence) เพราะเป็นส่วนสำคัญในการรับมือและวางแผนป้องกันการโจมตี

รายงานฉบับเต็มสามารถดาวน์โหลดได้จาก https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018 ข้อมูลภาพรวมที่นำเสนอในแบบกราฟิกสามารถดูได้จาก https://etl.enisa.europa.eu/

วันที่: 2019-02-14 | ที่มา: ENISA | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน รีบอัปเดต iOS เป็นเวอร์ชัน 12.1.4 เนื่องจากพบมีการโจมตีช่องโหว่ร้ายแรงเพื่อแฮกควบคุมเครื่อง

เมื่อวันที่ 7 กุมภาพันธ์ 2562 บริษัท Apple ได้เผยแพร่อัปเดตระบบปฏิบัติการ iOS เวอร์ชัน 12.1.4 (https://support.apple.com/en-us/HT209520) โดยมีการแก้ไขข้อผิดพลาดและช่องโหว่ด้านความมั่นคงปลอดภัยจำนวน 4 จุด ซึ่งมี 2 จุดเป็นช่องโหว่ของระบบ FaceTime ที่ส่งผลให้ผู้ประสงค์ร้ายสามารถได้ยินเสียงหรือเห็นภาพวิดีโอของปลายทางได้ก่อนที่จะกดรับสาย ในขณะที่อีก 2 ช่องโหว่เป็นข้อผิดพลาดในการยกระดับสิทธิ์ ส่งผลให้ถูกแฮกควบคุมเครื่องได้

หลังจากที่ Apple ได้เผยแพร่อัปเดต ทางนักวิจัยจาก Google Project Zero ได้ให้ข้อมูลเพิ่มเติมว่า ช่องโหว่ร้ายแรงจำนวน 2 จุดที่ถูกแก้ไขไปนั้นถูกพบว่ามีการนำไปใช้ในการโจมตีมาก่อนหน้านี้แล้ว แต่ทาง Google ไม่ได้ให้รายละเอียดว่าเป็นการโจมตีในลักษณะใด (เช่น การโจมตีบุคคลทั่วไป หรือเป็นการโจมตีจากกลุ่มแฮกเกอร์ที่มีรัฐบาลอยู่เบื้องหลัง) ทั้งนี้ ผู้ที่ใช้งานระบบปฏิบัติการ iOS ควรรีบอัปเดตระบบปฏิบัติการให้เป็นเวอร์ชัน 12.1.4 โดยเร็วที่สุด

วันที่: 2019-02-11 | ที่มา: Bleeping Computer, Security Week | Share on Facebook Share on Twitter Share on Google+
Password Checkup เครื่องมือใหม่จาก Google ช่วยตรวจสอบว่ารหัสผ่านของเราเคยถูกแอบใช้มาก่อนหรือไม่

ปัญหาข้อมูลส่วนบุคคลถูกเปิดเผยและเข้าถึงโดยไม่ได้รับอนุญาตนั้นเป็นสิ่งที่พบมากขึ้นเรื่อยๆ ในช่วงหลายปีที่ผ่านมา กรณีที่เว็บไซต์มีปัญหาด้านความมั่นคงปลอดภัยแล้วถูกผู้ไม่หวังดีนำรหัสผ่านออกไปเผยแพร่นั้นก็มีการรายงานออกมาอยู่เป็นระยะ ซึ่งเหตุการณ์ลักษณะนี้เป็นหนึ่งในสาเหตุที่ทำให้ข้อมูลส่วนตัวของผู้ใช้ รวมถึงข้อมูลอื่นๆ ที่เกี่ยวข้องตกอยู่ในความเสี่ยงได้ ที่ผ่านมาถึงแม้จะมีบริการแจ้งเตือนและตรวจสอบว่าเว็บไซต์ที่ใช้งานอยู่นั้นเคยประสบปัญหารหัสผ่านถูกเข้าถึงโดยไม่ได้รับอนุญาตหรือไม่ แต่กระบวนการใช้งานก็อาจไม่สะดวกสำหรับผู้ใช้ทั่วไป

เมื่อวันที่ 5 กุมภาพันธ์ 2562 ทาง Google ได้เผยแพร่เครื่องมือชื่อ Password Checkup ซึ่งเป็นส่วนขยายของเบราว์เซอร์ Google Chrome โดยเครื่องมือนี้จะช่วยตรวจสอบและแจ้งเตือนหากเว็บไซต์ที่ผู้ใช้กำลังล็อกอินนั้นเคยประสบปัญหารหัสผ่านถูกเข้าถึงโดยไม่ได้รับอนุญาต โดยทาง Google แจ้งว่าข้อมูลทั้งชื่อผู้ใช้และรหัสผ่านที่ส่งไปตรวจสอบนั้นจะถูกเข้ารหัสลับและส่งเฉพาะค่าแฮชไปเปรียบเทียบกับฐานข้อมูลเว็บไซต์ที่เคยประสบปัญหารหัสผ่าน เพื่อปกป้องความเป็นส่วนตัวรวมถึงป้องกันการนำเครื่องมือนี้ไปใช้งานผิดวัตถุประสงค์ โดยกระบวนการทำงานเหล่านี้ผู้ใช้สามารถตรวจสอบเพิ่มเติมได้จากที่มา

สำหรับผู้ที่สนใจ สามารถดาวน์โหลดส่วนขยาย Password Checkup ได้จาก Chrome Webstore (https://chrome.google.com/webstore/detail/password-checkup/pncabnpcffmalkkjpajodfhijclecjno)

วันที่: 2019-02-06 | ที่มา: Google | Share on Facebook Share on Twitter Share on Google+
สถิติการเปิดเผยและการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ปี 2018 เพิ่มขึ้นถึง 126% โดยกลุ่มธุรกิจและสาธารณสุข มีสัดส่วนสูงสุด

องค์กร Identity Theft Resource Center ร่วมกับ CyberScout ได้เผยแพร่สถิติการเปิดเผยและการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตตลอดปี 2018 โดยรวมพบว่าจำนวนรายงานเหตุการณ์ลดลง 23% เมื่อเทียบกับปี 2017 แต่ปริมาณข้อมูลส่วนบุคคลที่ถูกเปิดเผยและเข้าถึงโดยไม่ได้รับอนุญาตมีเพิ่มมากถึง 126% โดยกลุ่มธุรกิจประสบปัญหามากที่สุด รองลงมาคือกลุ่มสาธารณสุข

สิ่งหนึ่งที่น่าสนใจคือในปี 2018 นั้นกรณีข้อมูลส่วนบุคคลถูกเปิดเผยและเข้าถึงโดยไม่ได้รับอนุญาตจากบริการ social media เพิ่มขึ้นอย่างมีนัยสำคัญ ไม่ว่าจะเป็นการเปิดให้บริษัทภายนอกสามารถเข้าถึงและนำข้อมูลของผู้ใช้บริการออกไปใช้งานในทางมิชอบ เช่น กรณี Facebook กับ Cambridge Analytica หรือการที่ระบบมีข้อผิดพลาดให้สิทธิ์ในการเข้าถึงข้อมูลได้มากเกินความจำเป็น เช่น กรณีช่องโหว่ View As ของ Facebook หรือการเชื่อมต่อกับแอปพลิเคชันภายนอกเข้ากับ Google+ แล้วได้รับข้อมูลที่ไม่ได้ถูกตั้งค่าให้เผยแพร่แบบสาธารณะ เป็นต้น

หากเทียบสัดส่วนของสาเหตุข้อมูลส่วนบุคคลถูกเปิดเผยและเข้าถึงโดยไม่ได้รับอนุญาต พบว่าอันดับหนึ่งยังเป็นการที่ระบบถูกเจาะแล้วนำข้อมูลออกไป (Hacking) ในขณะที่อันดับสองคือการเผลอตั้งค่าแหล่งเก็บข้อมูลของลูกค้าให้สามารถเข้าถึงได้แบบสาธารณะ (Accidental Exposure) ซึ่งสาเหตุหลังนี้เพิ่มมากขึ้นกว่าปี 2017 เกือบ 3 เท่า จุดนี้จึงเป็นสิ่งที่หลายหน่วยงานควรต้องให้ความสำคัญเนื่องจากปัจจุบันเริ่มมีการเก็บข้อมูลสำคัญไว้บนระบบ cloud หากไม่มีมาตรการปกป้องก็มูลที่ดีพอก็อาจก่อให้เกิดความเสียหายได้

รายงานฉบับเต็ม รวมถึงข้อมูลอื่นๆ ที่เกี่ยวข้อง เช่น ขั้นตอนและวิธีการรวบรวมข้อมูล ผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากที่มา

วันที่: 2019-02-05 | ที่มา: ITRC, Dark Reading | Share on Facebook Share on Twitter Share on Google+
LibreOffice มีช่องโหว่ถูกแฮกควบคุมเครื่องได้เพียงแค่เปิดไฟล์เอกสาร กระทบทั้ง Windows และ Linux ปัจจุบันมีแพตช์แล้ว

LibreOffice รองรับการประมวลผลคำสั่งผ่านสคริปต์จากแหล่งภายนอก โดยผู้ใช้สามารถกำหนดได้ว่าจะให้สคริปต์นี้ถูกเรียกใช้งานเมื่อเกิดเหตุการณ์อะไรขึ้น (เช่น เรียกใช้งานทันทีที่นำเมาส์มาวางบนลิงก์ที่กำหนด) นักวิจัยด้านความมั่นคงปลอดภัยพบว่าความสามารถนี้มีช่องโหว่ให้ผู้ประสงค์ร้ายสามารถใช้ควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้ และได้รายงานเรื่องนี้ให้กับทางผู้พัฒนาทราบ โดยโปรแกรม LibreOffice เวอร์ชันล่าสุดได้รับการแก้ไขปัญหานี้แล้ว

สาเหตุของช่องโหว่เกิดจาก 3 ส่วนประกอบกัน ส่วนแรกคือ LibreOffice อนุญาตให้มีการเรียกใช้งานและประมวลผลไฟล์สคริปต์จากแหล่งภายนอกได้ (ตัวอย่างภาษาสคริปต์ที่รองรับ เช่น Basic, Java, JavaScript และ Python เป็นต้น) ส่วนที่สองคือการอ้างอิงที่อยู่ของไฟล์สคริปต์จากแหล่งภายนอกนั้นสามารถระบุเป็นตำแหน่งไฟล์ใดๆ ก็ได้ในเครื่อง ซึ่งทำให้ผู้ประสงค์ร้ายสามารถใช้ช่องโหว่นี้ให้การสั่งให้เครื่องประมวลผลไฟล์สคริปต์อันตรายได้หากรู้ที่อยู่ของไฟล์นั้น และส่วนสุดท้ายคือ LibreOffice มีการติดตั้งตัวประมวลผลภาษา Python มาให้ด้วยตั้งแต่แรก ทำให้สามารถสั่งประมวลผลไฟล์สคริปต์ภาษา Python ได้โดยที่เครื่องนั้นไม่จำเป็นต้องติดตั้งโปรแกรม Python แต่อย่างใด

นักวิจัยได้สาธิตตัวอย่างการโจมตี โดยสั่งให้ LibreOffice ประมวลผลไฟล์สคริปต์ภาษา Python ที่ตำแหน่ง C:\Program Files\LibreOffice\program\python-core-3.5.5\lib\pydoc.py ซึ่งไฟล์นี้สามารถใช้เพื่อเรียกคำสั่งของระบบปฏิบัติการหรือสั่งเปิดโปรแกรมใดๆ ก็ได้ในเครื่อง ที่สำคัญคือการโจมตีผ่านช่องโหว่นี้จะเกิดขึ้นทันทีที่ผู้ใช้นำเมาส์ไปวางบนลิงก์ที่กำหนดโดยไม่มีหน้าจอแจ้งเตือนการเรียกใช้งานโปรแกรมจากภายนอกแต่อย่างใด ตัวอย่างวิดีโอสาธิตการโจมตีสามารถดูได้จากที่มา

ช่องโหว่นี้มีรหัส CVE-2018-16858 กระทบทั้ง Windows และ Linux เมื่อวันที่ 1 กุมภาพันธ์ ทาง LibreOffice ได้เผยแพร่โปรแกรมเวอร์ชัน 6.0.7 และ 6.1.3 มาเพื่อแก้ไขปัญหานี้แล้ว ผู้ที่ใช้งาน LibreOffice ควรติดตั้งอัปเดตเพื่อลดความเสี่ยง

วันที่: 2019-02-04 | ที่มา: InsertScript, LibreOffice | Share on Facebook Share on Twitter Share on Google+
Malwarebytes ออกรายงานสรุปสถิติมัลแวร์ประจำปี 2018 พบมัลแวร์ขุดเงินดิจิทัลเพิ่มมากขึ้น ในไทยส่วนใหญ่พบ Backdoor

บริษัท Malwarebytes ผู้พัฒนาโปรแกรมแอนติไวรัสได้เผยแพร่รายงานสรุปสถิติมัลแวร์ประจำปี 2018 โดยพบว่าช่วงครึ่งปีแรกมัลแวร์ประเภทขุดเงินดิจิทัล (Cryptominer) นั้นเพิ่มขึ้นอย่างมาก รวมถึงขยายขอบเขตการโจมตีไปยังระบบอื่นๆ อย่าง Android หรือ Mac ด้วย ในขณะที่ครึ่งปีหลังมัลแวร์ประเภทขโมยข้อมูลกลับเป็นฝ่ายเพิ่มขึ้นแทน

ในส่วนของมัลแวร์เรียกค่าไถ่ (Ransomware) นั้นพบน้อยลงกว่าปีก่อนหน้า ซึ่งอาจเกิดจากการเปลี่ยนรูปแบบวิธีแพร่กระจายจากเดิมที่เน้นโจมตีเป็นวงกว้าง (เช่น การฝังโค้ดในเว็บไซต์เพื่อโจมตีช่องโหว่ของเบราว์เซอร์) ไปเป็นการโจมตีแบบเจาะจงเป้าหมายแทน เช่น การส่งอีเมล

ผู้พัฒนามัลแวร์เริ่มใช้แหล่งซอฟต์แวร์อย่างเป็นทางการในการแพร่กระจายมากขึ้น โดยปี 2018 พบส่วนขยายของเบราว์เซอร์ Google Chrome ปรากฎอยู่ใน Chrome Web Store จุดประสงค์หลักของการพัฒนาส่วนขยายที่เป็นมัลแวร์ ส่วนใหญ่จะใช้เพื่อขโมยข้อมูลและติดตามการใช้งานเว็บไซต์

ประเภทของมัลแวร์ที่พบมากในภูมิภาคเอเชียแปซิฟิก (รวมถึงประเทศไทย) คือ Backdoor ซึ่งเป็นการเปิดช่องทางลับให้ผู้ไม่หวังดีเชื่อมต่อเข้ามาควบคุมเครื่อง ประเภทที่พบมากรองลงมาคือ Exploit ซึ่งเป็นชุดโค้ดที่ใช้โจมตีช่องโหว่ของซอฟต์แวร์

คาดการณ์สถานการณ์มัลแวร์ในปี 2019 การโจมตีอุปกรณ์ IoT และการขโมยข้อมูลบุคคลระดับสูงจะเพิ่มมากขึ้น มัลแวร์ขุดเงินดิจิทัลจะยังพบมากอยู่แต่ทิศทางการแพร่กระจายจะหันไปใช้อุปกรณ์ที่สามารถสร้างรายได้ในระยะยาว เช่น เซิร์ฟเวอร์หรืออุปกรณ์ IoT มากกว่าจะเป็นการแอบขุดในเบราว์เซอร์ นอกจากนี้ ยังมีการประเมินว่าจะเริ่มพบมัลแวร์ที่ใช้ AI มาช่วยปรับเปลี่ยนโค้ดให้เหมาะกับการติดตั้งในเครื่องปลายทางรวมถึงเพื่อหลีกเลี่ยงการตรวจจับด้วย

รายงานของ Malwarebytes เปิดให้ดาวน์โหลดได้ฟรี ผู้ที่สนใจสามารถดูเพิ่มเติมได้จากที่มา

วันที่: 2019-02-01 | ที่มา: Malwarebytes | Share on Facebook Share on Twitter Share on Google+
กระทรวงสาธารณสุขสิงคโปร์ทำข้อมูลผู้ติดเชื้อ HIV หลุดกว่า 14,200 ราย เหตุจากการแอบนำข้อมูลส่งต่อให้บุคคลภายนอก

เมื่อวันที่ 28 มกราคม 2562 กระทรวงสาธารณสุขของประเทศสิงคโปร์ได้ออกแถลงการณ์ว่าข้อมูลของผู้ติดเชื้อ HIV กว่า 14,200 ราย และข้อมูลผู้ติดต่ออีกกว่า 2,400 รายถูกเผยแพร่บนอินเทอร์เน็ต ข้อมูลที่หลุดออกไปประกอบด้วยชื่อ รหัสประชาชน หมายเลขโทรศัพท์ ที่อยู่ ผลตรวจเชื้อ HIV และการรักษา โดยข้อมูลเหล่านี้เป็นข้อมูลที่ถูกบันทึกจนถึงประมาณเดือนมกราคม 2556 เบื้องต้นทางกระทรวงฯ แจ้งว่าได้เร่งติดต่อกับผู้ที่ได้รับผลกระทบจากเหตุการณ์ข้อมูลหลุดเพื่อแจ้งเตือนและให้ความช่วยเหลือแล้ว (ข้อมูลผู้ติดเชื้อมีทั้งของชาวสิงคโปร์และชาวต่างชาติ)

จากแถลงการณ์ ทางกระทรวงฯ แจ้งว่าได้รับรายงานจากเจ้าหน้าที่ตำรวจว่ามีการเปิดเผยข้อมูลผู้ติดเชื้อ HIV บนอินเทอร์เน็ตโดยไม่ได้รับอนุญาต เมื่อตรวจสอบแล้วพบว่าเป็นข้อมูลจริง จึงได้รีบติดต่อกับผู้ที่เกี่ยวข้องเพื่อยับยั้งการเข้าถึงข้อมูลดังกล่าว อย่างไรก็ตาม เนื่องจากข้อมูลเหล่านี้อยู่ในความครอบครองของบุคคลอื่นและอาจถูกนำมาเปิดเผยโดยไม่ได้รับอนุญาต ดังนั้นทางกระทรวงฯ จึงอยู่ระหว่างการสร้างความร่วมมือเพื่อเฝ้าระวังและหาวิธีเพื่อตรวจสอบการเผยแพร่ข้อมูลที่มิชอบต่อไป

ข้อมูลเบื้องต้นของสาเหตุข้อมูลรั่วไหล ทางกระทรวงฯ แจ้งว่าช่วงประมาณปี 2556-2557 หัวหน้าหน่วยงานสาธารณสุขแห่งชาติซึ่งมีสิทธิ์เข้าถึงข้อมูลผู้ป่วย ได้ลักลอบนำข้อมูลที่เป็นความลับออกมาส่งต่อให้บุคคลภายนอก และบุคคลดังกล่าวได้นำข้อมูลเหล่านี้มาเผยแพร่ให้เข้าถึงได้แบบสาธารณะ ทั้งนี้เหตุการณ์นี้เกิดขึ้นก่อนที่ทางกระทรวงฯ จะมีการปรับปรุงนโยบายรักษาความมั่นคงปลอดภัยของข้อมูล ซึ่งมีนโยบายห้ามใช้งานสื่อบันทึกข้อมูลแบบพกพาในเครื่องคอมพิวเตอร์ของทางการและส่วนงานที่มีการใช้งานข้อมูลที่มีผลกระทบสูง

วันที่: 2019-01-29 | ที่มา: MOH SG, Reuters, Channel News Asia | Share on Facebook Share on Twitter Share on Google+
คอมพิวเตอร์หลายล้านเครื่องทั่วโลกยังใช้งานซอฟต์แวร์เวอร์ชันเก่าที่มีความเสี่ยงด้านความมั่นคงปลอดภัย

บริษัท Avast เผยแพร่รายงาน PC Trends Report 2019 โดยเป็นการรวบรวมข้อมูลซอฟต์แวร์ที่มีการติดตั้งใช้งานในเครื่องคอมพิวเตอร์ทั่วโลก พบว่าคอมพิวเตอร์หลายล้านเครื่องยังมีการใช้งานซอฟต์แวร์เวอร์ชันเก่าที่มีปัญหาด้านความมั่นคงปลอดภัย ซึ่งอาจทำให้เครื่องที่ใช้งานซอฟต์แวร์เหล่านี้มีความเสี่ยงที่จะถูกโจมตีได้ ตัวอย่างซอฟต์แวร์เก่าที่ยังมีการใช้งานอยู่ เช่น Adobe Shockwave, VLC, Skype, Java Runtime, Foxit Reader เป็นต้น นอกจากเรื่องการใช้งานซอฟต์แวร์เวอร์ชันเก่าแล้วยังพบว่าเครื่องที่ใช้งาน Windows 7 กว่า 15% และเครื่องที่ใช้งาน Windows 10 กว่า 9% ยังไม่ได้ติดตั้งอัปเดตเวอร์ชันล่าสุดด้วย

การไม่อัปเดตระบบปฏิบัติการหรือซอฟต์แวร์ที่ใช้งานในเครื่องนั้นเพิ่มโอกาสเสี่ยงอย่างมากที่จะถูกโจมตีผ่านช่องโหว่ที่โปรแกรมนั้นมีแต่ยังไม่ได้รับการปรับปรุงแก้ไข ตัวอย่างที่เห็นได้ชัดคือเหตุการณ์มัลแวร์เรียกค่าไถ่ Wannacry แพร่ระบาดเมื่อช่วงปี 2560 ซึ่งสาเหตุหลักเกิดจากการที่เครื่องคอมพิวเตอร์จำนวนมากไม่ได้รับการติดตั้งแพตช์แก้ไขช่องโหว่

ทาง Avast แจ้งว่าข้อมูลสถิติเหล่านี้เป็นการรวบรวมมาจากเครื่องคอมพิวเตอร์ประมาณ 163 ล้านเครื่องที่ติดตั้งโปรแกรมแอนติไวรัส Avast และ AVG รวมกับข้อมูลสถิติจากแหล่งอื่นมาประกอบ ผู้ที่สนใจสามารถดูข้อมูลเพิ่มเติมได้จากรายงานของ Avast

วันที่: 2019-01-25 | ที่มา: The Hacker News, Avast | Share on Facebook Share on Twitter Share on Google+
แอปพลิเคชัน VPN ใน Android กว่า 20 รายการไม่รักษาความเป็นส่วนตัว แอบขโมยข้อมูลผู้ใช้ ต้องสงสัยว่าเป็นมัลแวร์

บริษัท Top10VPN รายงานผลการประเมินความเสี่ยงของแอปพลิเคชัน VPN บน Android โดยได้วิเคราะห์แอปพลิเคชัน VPN ที่ได้รับความนิยมจำนวน 150 รายการ พบว่า 25% ไม่คุ้มครองหรือมีการละเมิดความเป็นส่วนตัวของผู้ใช้ และ 20% มีพฤติกรรมต้องสงสัยว่าเป็นมัลแวร์

แอปพลิเคชัน VPN ใน Android ที่ถูกระบุว่ามีพฤติกรรมเข้าข่ายเป็นมัลแวร์มีทั้งสิ้น 27 รายการ โดยส่วนใหญ่แอปพลิเคชันเหล่านี้มีการขอสิทธิ์ (permission) มากเกินความจำเป็นและบางสิทธิ์มีแนวโน้มว่าอาจถูกนำไปใช้ในเชิงมิชอบ เช่น การเข้าถึงประวัติการใช้งาน การเปิดกล้องหรือไมโครโฟนเพื่อบันทึกภาพและเสียงโดยไม่ได้ขออนุญาต การเข้าถึงรายชื่อผู้ติดต่อและ SMS การอ่านและเขียนไฟล์ในเครื่อง เป็นต้น

ส่วนรายการแอปพลิเคชันที่มีปัญหาเรื่องความเป็นส่วนตัว มีทั้งประเด็นการไม่รักษาข้อมูลที่ควรปกปิด เช่น ข้อมูลการเรียก DNS, ข้อมูล IP ของผู้ใช้ หรือบางรายมีฟังก์ชันอื่นที่ไม่ควรมีอยู่ในแอปพลิเคชันประเภท VPN เช่น การระบุตำแหน่งของผู้ใช้ หรือการพยายามรวบรวมข้อมูล IMEI ของเครื่องและหมายเลขโทรศัพท์ของผู้ใช้งาน เป็นต้น นอกจากนี้ ผลการทดสอบในส่วนของการเชื่อมต่อเครือข่าย พบว่าผู้ให้บริการ VPN บางรายใช้ DNS ที่มีแนวโน้มว่าอาจถูกดักรับข้อมูลระหว่างทาง (man-in-the-middle) หรือมีการใช้งานพร็อกซี่ที่มีช่องโหว่ให้ถูกโจมตีได้

ในรายงานผลวิจัยฉบับเต็มได้มีการแสดงตารางเปรียบเทียบความเสี่ยงของการใช้งานบริการ VPN ใน Android โดยบางรายการได้มีการติดต่อจากผู้พัฒนาเพื่อให้ข้อมูลเพิ่มเติมด้วย สำหรับผู้ที่ต้องการใช้งานบริการ VPN บน Android อาจพิจารณาข้อมูลจากรายงานฉบับนี้เพื่อตัดสินใจก่อนเลือกใช้บริการ

วันที่: 2019-01-23 | ที่มา: Bleeping Computer, Top10VPN | Share on Facebook Share on Twitter Share on Google+
กรณีศึกษาการสร้างความตระหนัก หลอกให้พนักงานติดตั้ง Google Chrome Extension เพื่อขโมยข้อมูล

บริษัท Anti Social Engineer ได้เผยแพร่บทความกรณีศึกษาการสร้างความตระหนักด้านความมั่นคงปลอดภัยให้กับพนักงาน โดยส่งลิงก์ดาวน์โหลด extension ของ Google Chrome ไปให้ติดตั้งทางอีเมล จากนั้นมาเฉลยในภายหลังว่า extension ดังกล่าวสามารถดักขโมยข้อมูลสำคัญเช่นรหัสผ่านหรือบัตรเครดิตได้ จุดประสงค์ของเหตุการณ์นี้เพื่อสร้างความรู้ความเข้าใจให้พนักงานไม่ติดตั้ง extension จากแหล่งภายนอกโดยเฉพาะอย่างยิ่งเมื่อ extension นั้นถูกส่งมากับอีเมลที่ไม่สามารถยืนยันได้

วิธีการที่ทางทีมงานใช้คือสร้างไฟล์ Google Chrome Extension ขึ้นมา โดยข้างในมีโค้ดสำหรับดักและส่งต่อข้อมูลที่ผู้ใช้กรอกในหน้าเว็บไซต์ ต่อมาสมัคร Google Developer Account เพื่อนำไฟล์ manifest มาใส่ลงใน extension ที่สร้างขึ้นเพื่อให้สามารถติดตั้งใน Chrome ได้ จากนั้นส่งอีเมล phishing ไปให้กับพนักงานโดยตั้งหัวข้ออีเมลในลักษณะหลอกว่ามีอัปเดตด้านความมั่นคงปลอดภัยที่จำเป็นต้องติดตั้ง (เช่น ใช้ข้อความ "an important security update") และเมื่อเหยื่อหลงเชื่อดาวน์โหลดไฟล์ extension นั้นมาติดตั้งก็จะถูกขโมยข้อมูลทันที นอกจากนี้ ตัว extension ที่สร้างขึ้นยังมีการใช้โลโก้ของ Google Drive เพื่อสร้างความแนบเนียนให้ผู้ใช้สังเกตความผิดปกติได้ยากด้วย

แนวทางการป้องกัน

  • ผู้ใช้ทั่วไปควรมีความตระหนักว่าการติดตั้ง extension ของเบราว์เซอร์นั้นอาจมีความเสี่ยงที่จะถูกขโมยข้อมูลหรือถูกละเมิดความเป็นส่วนตัวได้ แม้ว่า extension นั้นจะดาวน์โหลดมาจาก Store ของเบราว์เซอร์เองก็ตาม (ตัวอย่าง Google Chrome Extension ขโมยข้อมูลบัตรเครดิต https://blog.en.elevenpaths.com/2019/01/chrome-extension-card-cybersecurity.html) ก่อนติดตั้ง extension ใด ๆ ควรพิจารณาให้รอบคอบ
  • ผู้ดูแลระบบ หากหน่วยงานมีการใช้งาน Google Chrome Enterprise (https://cloud.google.com/chrome-enterprise/browser/download/) สามารถกำหนด policy ให้ติดตั้งหรือใช้งานเฉพาะ extension ที่ได้รับอนุญาต โดยสามารถศึกษาวิธีการตั้งค่าได้จากเว็บไซต์ของ Google (https://support.google.com/chrome/a/answer/7532015)

วันที่: 2019-01-21 | ที่มา: Anti Social Engineer, Eleven Paths | Share on Facebook Share on Twitter Share on Google+
แก๊งอาชญากรไซเบอร์นำข้อมูลบัตรเครดิตที่ถูกแฮกมาซื้อไอเทมในเกมออนไลน์แล้วขายต่อในราคาถูกเพื่อฟอกเงิน

สำนักข่าว Independent รายงานผลการวิเคราะห์จากบริษัท Sixgill เรื่องแก๊งอาชญากรรมไซเบอร์ใช้วิธีฟอกเงินจากบัตรเครดิตที่ถูกขโมยมา โดยนำบัตรดังกล่าวไปซื้อเงินในเกม Fortnite ซึ่งเป็นเกมออนไลน์ที่ได้รับความนิยมสูง จากนั้นนำเงินในเกมมาประกาศขายต่อเป็นเงินจริงในราคาที่ถูกกว่าปกติ โดยมีการประกาศขายทั้งในเว็บไซต์ทั่วไปและ dark web

ถึงแม้ว่าเกม Fortnite จะเปิดให้สามารถเข้าไปเล่นได้ฟรี แต่ไอเทมในเกม เช่น อาวุธหรือเครื่องแต่งกายนั้นต้องใช้เงินในเกมซื้อมา แม้ตัวเกมจะเปิดโอกาสให้ผู้เล่นสามารถหาเงินในเกมได้ด้วยตัวเองแต่การจ่ายเงินจริงเพื่อซื้อเงินในเกมนั้นก็จะประหยัดเวลามากกว่า นอกจากนี้ การจ่ายเงินเพื่อซื้อไอเทมในเกมนั้นมีความเสี่ยงน้อยกว่าและมีกระบวนการตรวจสอบย้อนกลับที่อาจทำได้ยากกว่าการซื้อขายสินค้าตามปกติ ส่วนนี้จึงเป็นจุดที่ทำให้อาชญากรไซเบอร์สามารถนำมาใช้ประโยชน์ในการฟอกเงินได้

เหตุการณ์นี้เป็นกรณีศึกษาที่ดีสำหรับทั้งผู้เล่น ผู้ใช้บริการบัตรเครดิต และผู้ให้บริการเกมออนไลน์

  • ผู้เล่นเกมออนไลน์ควรใช้ความตระหนักก่อนซื้อไอเทมในเกมที่มีราคาถูกกว่าปกติและไม่ได้เป็นการซื้อขายผ่านช่องทางหลัก เนื่องจากการซื้อขายในลักษณะนี้อาจเกี่ยวข้องกับอาชญากรรมได้ โดยเฉพาะอย่างยิ่งหากเป็นการซื้อจากผู้ขายที่ไม่สามารถตรวจสอบยืนยันได้ เพราะหากมีปัญหาเกิดขึ้นอาจไม่มีผู้รับผิดชอบหรือไม่สามารถได้เงินคืน
  • ผู้ใช้บริการบัตรเครดิต ควรตรวจสอบรายการค่าใช้จ่ายบัตรอย่างสม่ำเสมอ หากพบว่ามีรายการซื้อขายสินค้าที่ผิดปกติควรรีบแจ้งผู้ให้บริการ รวมถึงพิจารณาก่อนอนุญาตให้เว็บไซต์หรือบริการออนไลน์บันทึกข้อมูลบัตรเครดิต หากสงสัยว่าข้อมูลบัตรเครดิตรั่วไหลควรรีบแจ้งผู้ให้บริการเพื่อขออาญัติบัตร
  • ผู้ให้บริการเกมออนไลน์อาจต้องเพิ่มมาตรการตรวจสอบและป้องกันไม่ให้มีการใช้งานในลักษณะที่ผิดกฎหมาย รวมถึงอาจพิจารณาปรับปรุงกระบวนการให้ความร่วมมือกับหน่วยงานด้านกฎหมายและการสืบสวนสอบสวน
วันที่: 2019-01-18 | ที่มา: Naked Security, Independent | Share on Facebook Share on Twitter Share on Google+
อีเมลและรหัสผ่านกว่า 773 ล้านรายการหลุดรั่วสู่สาธารณะ โปรดตรวจสอบและเปลี่ยนรหัสผ่าน

เมื่อวันที่ 17 มกราคม 2562 นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ชื่อ Troy Hunt ได้รายงานถึงชุดข้อมูลอีเมลและรหัสผ่านจำนวนกว่า 2 พันล้านรายการถูกเผยแพร่สู่สาธารณะผ่านเว็บไซต์แชร์ไฟล์ ชุดข้อมูลดังกล่าวนี้ถูกเรียกว่า "Collection #1" มีขนาดไฟล์รวม 87 GB โดยเป็นข้อมูลอีเมลที่ไม่ซ้ำกันจำนวน 772,904,991 รายการ และเป็นรหัสผ่านที่ไม่ซ้ำกันจำนวน 21,222,975 รายการ รหัสผ่านบางส่วนเป็นข้อมูลจริง ไม่ได้ถูกแฮช

ทางด้าน Brian Krebs นักข่าวสายความมั่นคงปลอดภัยไซเบอร์ได้ให้ข้อมูลเพิ่มเติมว่า เดิมทีข้อมูลเหล่านี้ถูกประกาศขายอยู่ในเว็บไซต์ใต้ดิน โดยเป็นการรวบรวมข้อมูลที่หลุดมาจากบริการหลายๆ แห่งที่มีช่องโหว่ มีทั้งข้อมูลเก่าและใหม่ผสมกัน นอกจากข้อมูลในชุด Collection #1 แล้วยังมีข้อมูล Collection 2-5 และข้อมูลอื่นๆ อีกรวมทั้งหมดที่มีการประกาศขายคือ 993 GB ซึ่งข้อมูลเท่าที่ถูกเผยแพร่ออกมานี้น่าจะมีจุดประสงค์เพื่อใช้เป็นตัวอย่างสำหรับขายข้อมูลชุดอื่นๆ ที่เหลือ

ถึงแม้ปัจจุบันนี้ชุดข้อมูล Collection #1 จะถูกนำออกจากเว็บไซต์แชร์ไฟล์แล้วแต่ก็ยังมีรายงานว่าข้อมูลนี้ยังถูกแชร์ผ่านช่องทางอื่นอยู่ ทั้งนี้ ไทยเซิร์ตได้รับรายงานว่ามีระบบของเว็บไซต์ในประเทศไทยที่อาจได้รับผลกระทบจากเหตุการณ์ข้อมูลหลุดในครั่้งนี้ ซึ่งปัจจุบันอยู่ระหว่างการตรวจสอบและประสานงาน

สำหรับผู้ที่ต้องการตรวจสอบว่าข้อมูลอีเมลหรือรหัสผ่านของตนปรากฎอยู่ในชุดข้อมูลรั่วไหลทั้งจากเหตุการณ์นี้หรือเหตุการณ์ก่อนหน้าหรือไม่ อาจพิจารณาตรวจสอบได้จากเว็บไซต์ Have I Been Pwned? (https://www.haveibeenpwned.com) โดยหากพบว่าได้รับผลกระทบควรเปลี่ยนรหัสผ่าน

เว็บไซต์ Have I Been Pwned? ได้รับการดูแลโดย Troy Hunt (https://haveibeenpwned.com/About) จุดประสงค์เพื่อใช้รวบรวมฐานข้อมูลกลางของเหตุการณ์ข้อมูลหลุดจากแหล่งต่างๆ เพื่อให้บุคคลทั่วไปสามารถตรวจสอบได้ (ดูรายละเอียดข้อมูลหลุดจากแหล่งต่างๆ ได้ที่ https://haveibeenpwned.com/PwnedWebsites) อย่างไรก็ตาม หากมีข้อสงสัย ผู้ใช้อาจพิจารณาเงื่อนไขความเป็นส่วนตัวก่อนใช้บริการเว็บไซต์ดังกล่าว (https://haveibeenpwned.com/Privacy)

หากตรวจสอบอีเมลแล้วพบข้อความว่า "Oh no — pwned!" แสดงว่าเว็บไซต์หรือบริการที่ถูกสมัครด้วยอีเมลนี้อาจถูกแฮกและข้อมูลหลุด ซึ่งสามารถตรวจสอบรายละเอียดเพิ่มเติมได้จากลิงก์ที่บอกว่าข้อมูลหลุดไปกี่แห่งบ้าง อย่างไรก็ตาม เว็บไซต์นี้เป็นเพียงแค่การช่วยตรวจสอบข้อมูลในเบื้องต้นเท่านั้น เพราะอาจไม่สามารถยืนยันได้ว่ามีข้อมูลหลุดออกไปมากน้อยแค่ไหนหรือจะมั่นใจได้ว่าเว็บไซต์อื่นที่ไม่ปรากฎในรายการนี้จะไม่ถูกแฮก

หากใช้รหัสผ่านเดียวกันในหลายๆ บริการ เมื่อมีข้อมูลหลุดจากแห่งหนึ่ง ก็อาจเป็นไปได้ว่าผู้ที่ได้ข้อมูลนี้ไปจะสามารถนำไปล็อกอินในบริการอื่นๆ ได้เนื่องจากใช้รหัสผ่านเดียวกัน ดังนั้นหลักการตั้งรหัสผ่านที่ดีจึงควรเป็นการตั้งรหัสผ่านที่ไม่ซ้ำกันในแต่ละบริการ โดยอาจพิจารณาใช้โปรแกรมประเภท Password Manager มาช่วยบันทึกรหัสผ่านเพื่อที่จะได้ไม่ต้องจำรหัสผ่านทั้งหมดด้วยตนเอง นอกจากนี้ ควรพิจารณาเปิดใช้งานการยืนยันตัวตนแบบสองชั้น (2-factor authentication) ในทุกบริการที่สามารถทำได้ เพื่อป้องกันในกรณีที่เลวร้ายที่สุด ต่อให้รหัสผ่านหลุด ผู้ประสงค์ร้ายก็จะยังไม่สามารถล็อกอินได้เพราะติดที่กระบวนยืนยันตัวตนอีกขั้นตอน

วันที่: 2019-01-17 | ที่มา: Troy Hunt | Share on Facebook Share on Twitter Share on Google+
ระวัง พบการส่งอีเมลบอกรัก แนบไฟล์ Zip ข้างในเป็นไฟล์ JavaScript เปิดแล้วติดมัลแวร์

มีรายงานแคมเปญการโจมตีชื่อ "Love Letter" โดยเป็นการส่งอีเมลสแปม หัวข้ออีเมลมีลักษณะคล้ายจดหมายบอกรัก (ใช้ชื่อหัวข้อเช่น I love you หรือ This is my love letter to you) ตัวอีเมลจะไม่มีเนื้อหาแต่มีการแนบไฟล์ .zip ที่เมื่อเปิดดูข้างในจะมีไฟล์ .js (JavaScript) อยู่ ไฟล์ดังกล่าวมีจุดประสงค์เพื่อแพร่กระจายมัลแวร์ หากผู้ใช้เปิดไฟล์ก็จะถูกดาวน์โหลดมัลแวร์มาติดตั้งลงในเครื่องทันที

เนื้อหาโค้ดข้างในไฟล์ JavaScript จะถูกอำพรางให้อ่านได้ยาก (obfuscate) เมื่อไฟล์ถูกเรียกใช้งานจะมีการเรียกคำสั่ง PowerShell เพื่อดาวน์โหลดมัลแวร์มาติดตั้ง ตัวอย่างมัลแวร์ที่อาจจะถูกดาวน์โหลด เช่น GandCrab Ransomware, XMRig miner, หรือ Phorpiex spambot เป็นต้น ทั้งนี้ นอกจากจะติดตั้งมัลแวร์ลงในเครื่องแล้วยังมีการแพร่กระจายมัลแวร์ไปยังไดรฟ์ USB ที่ถูกนำมาเชื่อมต่อกับเครื่องคอมพิวเตอร์ด้วย

ผู้ใช้ควรระมัดระวัง ไม่เปิดไฟล์แนบที่มากับอีเมลในลักษณะนี้ โดยตัวอย่างอีเมล ค่าแฮชของแต่ละไฟล์ ทราฟฟิกของมัลแวร์ และข้อมูล IOC อื่นๆ สามารถดูเพิ่มเติมได้จากที่มา

วันที่: 2019-01-16 | ที่มา: Bleeping Computer, SANS | Share on Facebook Share on Twitter Share on Google+