Monthly Archives: July 2020

พบช่องโหว่ในโปรแกรมอ่าน PDF ไฟล์ที่ถูกลงลายมือชื่อไปแล้วยังถูกแก้ไขได้ ควรติดตั้งอัปเดต

ทีมนักวิจัยจากมหาวิทยาลัย Ruhr-University Bochum ประเทศเยอรมนี ได้รายงานช่องโหว่ในโปรแกรมอ่านไฟล์ PDF ซึ่งมีผลทำให้ไฟล์เอกสารที่ถูกลงลายมือชื่อดิจิทัลไปแล้ว (Digitally signed) ยังถูกแก้ไขเนื้อหาในภายหลังได้ โดยลายมือชื่อที่ลงไปแล้วยังคงถูกต้อง ทำให้ผู้ไม่หวังดีอาจใช้ช่องทางนี้ในการปลอมแปลงเอกสารอิเล็กทรอนิกส์ได้ ช่องโหว่นี้ถูกตั้งชื่อว่า Shadow Attack มีหมายเลข CVE-2020-9592 และ CVE-2020-9596 ระดับความรุนแรง CVSS 7.8/10 หลักการลงลายมือชื่อดิจิทัลในไฟล์ PDF นั้นโดยพื้นฐานแล้วจะเป็นการใช้วิทยาการเข้ารหัสลับ (Cryptography) มาคำนวณค่าเฉพาะของเนื้อหาไฟล์ พร้อมกับแนบข้อมูลเฉพาะของผู้ลงลายมือชื่อไปกับไฟล์นั้นด้วย หมายความว่าการลงลายมือชื่อนี้จะมีผลเฉพาะกับเอกสารที่มีเนื้อหานี้เท่านั้น หากหลังจากที่ลงลายมือชื่อไปแล้วเนื้อหาของไฟล์ PDF ถูกแก้ไข ค่าเฉพาะของเนื้อหาไฟล์จะไม่ตรงกับค่าที่ระบุในกระบวนการลงลายมือชื่อ ทำให้สามารถตรวจสอบได้ว่าไฟล์ดังกล่าวถูกแก้ไขปลอมแปลง อย่างไรก็ตาม ไฟล์ PDF นั้นรองรับการแสดงผลแบบระดับชั้น (layer) โดยเนื้อหาหรือวัตถุในเอกสารนั้นสามารถวางซ้อนทับกันได้ เช่น วางรูปภาพซ้อนทับข้อความ โดยผู้ที่เปิดไฟล์ PDF สามารถเลือกที่จะซ่อนเนื้อหาที่อยู่ชั้นบนเพื่อดูเนื้อหาที่อยู่ในชั้นล่างได้ ประเด็นสำคัญที่ก่อให้เกิดช่องโหว่ Shadow Attack คือข้อมูลการแสดงผลระดับชั้นนั้นไม่ได้ถูกนำไปใช้ในตอนคำนวณค่าเฉพาะของเนื้อหาไฟล์ ทำให้เมื่อมีการลงลายมือชื่อไปแล้วแต่มีการแก้ไขระดับชั้นของการแสดงผลเนื้อหาในภายหลัง ข้อมูลการลงลายมือชื่อนั้นจะยังถือว่าถูกต้องอยู่เพราะเนื้อหาของเอกสารไม่ได้ถูกเปลี่ยน จากช่องโหว่ดังกล่าว ผู้โจมตีสามารถสร้างเอกสาร PDF ที่มีชั้นเนื้อหาซ้อนทับกัน…

ถอดบทเรียนจากกรณีการแฮกบัญชี Twitter ช่องโหว่เกิดจากคนใน และการให้สิทธิ์แอดมินมากเกินจำเป็น

เมื่อช่วงวันที่ 15-16 กรกฏาคม 2563 บัญชีผู้ใช้ Twitter จำนวนมาก ซึ่งส่วนใหญ่เป็นบุคคลที่มีชื่อเสียง ได้ถูกผู้ไม่หวังดีเข้าถึงและนำบัญชีดังกล่าวไปโพสต์ข้อความหลอกลวงให้โอนเงินผ่าน Bitcoin จนก่อให้เกิดความเสียหายเป็นจำนวนมาก ในเวลาต่อมาทาง Twitter ได้ออกมาชี้แจ้งสาเหตุและความคืบหน้าของการสอบสวนเหตุการณ์ดังกล่าว หลังจากนั้นไม่นาน กลุ่มผู้ที่อ้างว่าอยู่เบื้องหลังการโจมตีก็ได้ออกมาเปิดเผยข้อมูลรวมถึงให้สัมภาษณ์กับสำนักข่าวเกี่ยวกับแรงจูงใจและช่องทางการโจมตี จากข้อมูลทำให้สามารถสรุปบทเรียนสำคัญจากเหตุการณ์ครั้งนี้ได้ 2 ข้อ คือช่องโหว่เกิดจากคนใน และการให้สิทธิ์แอดมินมากเกินจำเป็น สำนักข่าว Motherboard และ The New York Times ได้รายงานบทสัมภาษณ์ของกลุ่มที่อ้างว่าอยู่เบื้องหลังการโจมตีที่เกิดขึ้น จากรายงานมีการเปิดเผยว่าก่อนหน้าที่จะเกิดเหตุนั้นได้มีผู้ที่อ้างว่าเป็นพนักงานของ Twitter โพสต์ในกลุ่มสนทนาแห่งหนึ่ง ระบุว่าตนเองมีสิทธิ์เข้าถึงระบบบริหารจัดการบัญชีผู้ใช้ ซึ่งระบบดังกล่าวสามารถดูข้อมูล แก้ไขการตั้งค่าความมั่นคงปลอดภัย หรือดำเนินการอื่น ๆ กับบัญชีผู้ใช้ Twitter ได้ โดยได้มีการแนบตัวอย่างหน้าจอของระบบดังกล่าวด้วย ทั้งนี้มีรายงานว่ากลุ่มผู้โจมตีได้จ่ายเงินให้กับพนักงานของ Twitter เพื่อมีส่วนร่วมก่อเหตุในครั้งนี้ด้วย จากกรณีศึกษาในครั้งนี้มีบทเรียนสำคัญ 2 ประเด็น คือช่องโหว่เกิดจากคนใน และปัญหาการให้สิทธิ์แอดมินมากเกินความจำเป็น โดยประเด็นแรกนั้นเป็นความเสี่ยงที่มีโอกาสเกิดขึ้นได้กับทุกองค์กร เพราะการโจมตีทางไซเบอร์นั้นอาจไม่ได้มาจากนอกองค์กรเพียงอย่างเดียวแต่คนในองค์กรเองก็อาจเป็นสาเหตุได้ด้วย กระบวนการตรวจสอบและป้องกันการโจมตีจากคนในจึงสำคัญไม่แพ้การป้องกันจากคนนอก ส่วนประเด็นหลังนั้นเกิดจากการที่ผู้โจมตีสามารถเข้าถึงระบบแอดมินของ Twitter แล้วสามารถดำเนินการในสิ่งที่อาจส่งผลต่อความมั่นคงปลอดภัย…

ประท้วงเดือดเมืองพอร์ตแลนด์ ม็อบบุกเผา สน. เทศมนตรีจี้ทหารออกจากเมือง

ความไม่สงบในเมืองพอร์ตแลนด์ของสหรัฐฯ เพิ่มสูงขึ้นเรื่อยๆ ล่าสุดกลุ่มผู้ประท้วงก่อเหตุบุกเผาสำนักงานตำรวจ และปะทะกับเจ้าหน้าที่ จนมีผู้บาดเจ็บ สำนักข่าว ซีเอ็นเอ็น รายงานว่า สำนักงานตำรวจเมืองพอร์ตแลนด์ ในรัฐโอเรกอน ของสหรัฐฯ เปิดเผยผ่านทวิตเตอร์เมื่อคืนวันเสาร์ที่ 18 ก.ค. 2563 ตามเวลาท้องถิ่น ว่า ผู้ประท้วงบุกเข้าไปภายในสำนักงานสมาคมตำรวจทางเหนือของเมืองพอร์ตแลนด์แล้วจุดไฟเผา ขณะที่ผู้ประท้วงบางคนขว้างปาก้อนหินและลูกโป่งบรรจุสีใส่เจ้าหน้าที่ ทำให้มีผู้บาดเจ็บ ในขณะเดียวกัน ผู้ประท้วงกลุ่มใหญ่ออกมารวมตัวกันใกล้สำนักงานศาลรัฐบาลกลางและศูนย์ยุติธรรม ในย่านใจกลางเมือง โดยบางคนถอนรั้วที่เจ้าหน้าที่นำมาวางกั้นรอบสำนักงานศาลออกไปด้วย ทั้งนี้ ชาวเมืองพอร์ตแลนด์ ออกมาชุมนุมต่อเนื่องอย่างน้อย 50 คืนแล้ว นับตั้งแต่การเสียชีวิตของ นายจอร์จ ฟลอยด์ โดยในเบื้องต้นพวกเขาออกมาเคลื่อนไหวเพื่อต่อต้านการเหยียดเชื้อชาติ และการใช้ความรุนแรงของตำรวจ ซึ่งการประท้วงส่วนใหญ่เป็นไปอย่างสงบ แม้จะมีการปะทะกันประปราย อย่างไรก็ตาม ตอนนี้การประท้วงส่วนใหญ่มีแรงผลักดันจากความไม่พอใจวิธีการรับมือการประท้วงของเจ้าหน้าที่รัฐบาลกลาง รวมทั้งการให้เจ้าหน้าที่นอกเครื่องแบบไม่พกตราประจำตัว ออกจับกุมผู้ประท้วง นอกจากนี้ ยังมีคลิปวิดีโอแสดงให้เห็นด้วยว่า เจ้าหน้าที่ของสำนักงานความมั่นคงมาตุภูมิ จับผู้ประท้วงแล้วพาตัวขึ้นรถที่ไม่มีตราตำรวจด้วย โดนัลด์ ทรัมป์ ประธานาธิบดีสหรัฐฯ ทวีตข้อความปกป้องการกระทำของเจ้าหน้าที่ในวันอาทิตย์ “เราพยายามช่วยพอร์ตแลนด์ ไม่ได้ทำร้าย” นายทรัมป์ ระบุ “ในช่วงหลายเดือนที่ผ่านมา ผู้นำของพวกเขาควบคุมพวกนิยมอนาธิปไตยและพวกผู้ปลุกปั่นไม่ได้ พวกเขามีมาตรการไม่เพียงพอ เราต้องปกป้องทรัพย์สินของรัฐบาลกลาง และประชาชนของเรา…

เปิดโลกของแมลง (และการจารกรรม?) นักวิจัยประดิษฐ์กล้องถ่ายทอดสดที่เบาและเล็กมาก จนติดตั้งบนด้วงได้

ข่าวหลายวันแล้ว แต่เราคิดว่าน่าสนใจดี เลยขออนุญาตหยิบมาเล่าให้ทุกๆ คนได้อ่านกัน เคยแอบสงสัยไหมว่า บรรดาแมลงตัวเล็กๆ ‘มอง’ โลกที่เราอาศัยอยู่ยังไงนะ? ในไม่ช้า เราก็อาจจะได้คำตอบแบบไม่ต้องจินตนาการเอาเอง แต่เป็นภาพเคลื่อนไหวที่มาจากตัวแมลงจริงๆ เพราะนักวิจัยจากมหาวิทยาลัยวอชิงตันในสหรัฐอเมริกา ที่เชี่ยวชาญด้านวิทยาการคอมพิวเตอร์และวิศวกรรม เพิ่งประดิษฐ์กล้องถ่ายทอดสดขนาดจิ๋ว ที่ทั้งเล็กและเบามากจนติดตั้งบนตัวด้วงขึ้นมาได้สำเร็จแล้ว คุณสมบัติของกล้องที่ว่านั้นเป็นยังไงบ้าง – มีน้ำหนักแค่ 250 มิลลิกรัม หรือหนึ่งในสิบของไพ่ใบนึง – ถ่ายทอดสดได้ 5 เฟรมต่อวินาที เป็นภาพขาวดำ ด้วยความละเอียดต่ำ 160×120 พิกเซล – ถ้าชาร์จแบตเต็ม ใช้งานได้ยาวถึง 6 ชั่วโมง – ส่งภาพกลับมาด้วยสัญญาณบลูทูธ ในรัศมีไกลสูงสุดไม่เกิน 120 เมตร ถามว่าประโยชน์ของกล้องถ่ายทอดสดจิ๋วนี้คืออะไรบ้าง ผู้ประดิษฐ์เขาบอกว่า ถ้าเอาไปใช้ในทางวิทยาศาสตร์ก็น่าจะทำให้ช่วยเข้าใจชีวิตแมลงมากขึ้น แต่อีกเป้าหมายหนึ่งของพวกเขาก็คือ เป็นการพัฒนาเทคโนโลยีไว้สำหรับติดตั้งบนหุ่นยนต์ขนาดจิ๋ว แต่เราแอบคิดไปถึงการจารกรรมข้อมูล (คิดลบไปหน่อยไหมนะ?) ลองคิดถึงภาพยนตร์เรื่อง Ant-Man ที่พระเอกสามารถส่งให้มดเข้าไปสอดแนมศัตรูมาล่วงหน้าได้ สมมุติว่าในอนาคต คนสามารถประดิษฐ์หุ่นที่มีขนาดเท่าแมลงได้ พร้อมกับตั้งกล้องจิ๋วนี้ (ในเวอร์ชั่นที่พัฒนาให้ดีขึ้นแล้ว) แล้วส่งไปสอดแนมในสถานที่ต่างๆ คิดเป็นนิยายวิทยาศาสตร์ไปหน่อย…

พบบริการ VPN ฟรีหลายยี่ห้อเปิดข้อมูลผู้ใช้ ประวัติการใช้งาน และรหัสผ่านออกสู่สาธารณะ

เมื่อวันที่ 15 กรกฎาคม 2563 ทีมนักวิจัยจาก vpnMentor ได้รายงานการพบเซิร์ฟเวอร์ที่เก็บข้อมูลส่วนบุคคลและประวัติการใช้งานอินเทอร์เน็ตของผู้ใช้บริการ VPN ฟรีหลายยี่ห้อ โดยเซิร์ฟเวอร์ดังกล่าวเปิดให้เข้าถึงได้แบบสาธารณะ ตัวอย่างข้อมูลที่พบบนเซิร์ฟเวอร์ดังกล่าว เช่น ชื่อผู้ใช้ อีเมล ที่อยู่ ไอพี ประวัติการใช้งานอินเทอร์เน็ต และ ข้อมูลอื่น ๆ ที่ผู้ใช้ลงทะเบียนเพื่อสมัครใช้งาน VPN นอกจากนี้ยังพบข้อมูลรหัสผ่านแบบ plain text ในเซิร์ฟเวอร์ดังกล่าวด้วย ทีมนักวิจัยได้ตรวจสอบข้อมูลเซิร์ฟเวอร์แล้วพบว่ามีความเกี่ยวข้องกับแอปพลิเคชัน VPN จำนวนหลายรายการ เช่น UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN และ Rabbit VPN ซึ่งเป็นแอปพลิเคชัน VPN ที่มีให้ดาวน์โหลดบน iOS และ Android โดยคาดว่าเป็นแอปพลิเคชันที่มาจากผู้พัฒนาเดียวกันแต่เปลี่ยนชื่อแอปพลิเคชันเพื่อให้มีหลายยี่ห้อ เนื่องจากพบความเชื่อมโยงว่าแอปพลิเคชันเหล่านั้นมีการใช้เซิร์ฟเวอร์ตัวเดียวกัน มีชื่อผู้รับการชำระเงินเหมือนกัน และบางแอปพลิเคชันมีหน้าตาเว็บไซต์ที่คล้ายคลึงกันด้วย…

เปิดแผน “กลุ่ม Cozy Bear” ของรัสเซีย ต้องสงสัยจารกรรม “ข้อมูลโควิด-19”

A hacker is reflected in a monitor as he takes part in a training session July 8, 2019. เจ้าหน้าที่สหรัฐฯ อังกฤษ และแคนาดา ร่วมกันกล่าวหาว่ารัฐบาลรัสเซียอยู่เบื้องหลังการเจาะล้วงข้อมูลครั้งใหญ่ เพื่อให้ได้มาซึ่งผลการวิจัยเกี่ยวกับวัคซีนและการรักษาโควิด-19 ที่ทำโดยบริษัทและสถาบันต่างๆของโลกะวันตก ในคำแถลงร่วมของ สหรัฐฯ อังกฤษ และแคนาดา ทั้งสามประเทศระบุว่าปฏิบัติการของรัสเซียเริ่มต้นมาตั้งแต่เดือนกุมภาพันธ์ และดำเนินมาเเข็งขันต่อเนื่อง เจ้าหน้าที่กล่าวว่ากลุ่มแฮคเกอร์ของรัสเซีย มีชื่อว่า APT29 และเป็นที่รู้จักในชื่อ Cozy Bear ด้วย แอน นิวเบอร์เกอร์ ผู้อำนวยการฝ่ายความมั่นคงทางไซเบอร์ของ National Security Agency ของสหรัฐฯ กล่าวว่า APT29 มีประวัติอันยาวนานในการมุ่งเป้าการโจมตีไปยังองค์กรรัฐ ภาคพลังงาน หน่วยงานสาธารณสุข และสถาบันศึกษาด้านนโยบาย เธอกล่าวว่าขอเรียกร้องให้ทุกฝ่ายพึงระวังถึงภัยคุกคามจากกลุ่มนี้ และเตรียมรับมือผลกระทบที่อาจเกิดขึ้นจากการขโมยข้อมูล พอล ไชเชสเตอร์ ผู้อำนวยการฝ่ายปฏิบัติการแห่งศูนย์ความมั่นคงด้านไซเบอร์แห่งชาติของอังกฤษ…