กรณีโทรสารหลุดทางโซเชียล

บทความน่าสนใจ

Loading

เมื่อเดือน ก.พ.60 ปรากฏมีการนำโทรสารของทางราชการ สำนักงานตำรวจแห่งชาติ ออกมาเผยแพร่ตามสื่อสังคมออนไลน์หลายฉบับ เนื้อหาภายในเป็นการจัดเตรียมกำลังพล กองร้อยควบคุมฝูงชนพร้อมอุปกรณ์เตรียมความพร้อมในที่ตั้ง เพื่อสนับสนุนช่วยเหลือการปฏิบัติบังคับใช้กฎหมายภายในเขตพื้นที่ควบคุมบริเวณพื้นที่ วัดพระธรรมกาย อ.คลองหลวง จ.ปทุมธานี (ตามตัวอย่าง) โดยผู้เผยแพร่เจตนาให้บุคคลทั่วไปเข้าใจว่า รัฐบาลกำลังเป็นฝ่ายที่ทำให้เกิดสถานการณ์รุนแรง หากประชาชนต้องการให้เกิดความสงบเรียบร้อยควรเรียกร้องให้รัฐบาลยุติการใช้มาตรา 44 และนำกำลังออกจากพื้นที่ของวัดพระธรรมกายโดยเร็ว ซึ่งในความเป็นจริงเอกสารดังกล่าวเป็นการจัดเตรียมกำลังพลเพื่อรองรับหากมีเหตุการณ์รุนแรงเกิดขึ้น หรือบางฉบับเป็นการจัดกำลังพลเพื่อสับเปลี่ยนให้เจ้าหน้าที่ได้กลับไปปฏิบัติงานประจำของตนเท่านั้น ปัจจุบันการนำข้อมูลของภาครัฐมาเปิดเผยบนโซเชียลมีเดียถูกกระทำอย่างกว้างขวาง โดยบิดเบือนเนื้อหาบางประเด็นให้ผู้พบเห็นเกิดการเข้าใจผิด ลดความน่าเชื่อถือของรัฐบาล สร้างความชอบธรรมให้กับฝ่ายตนหากมีเหตุการณ์รุนแรงเกิดขึ้น ดังนั้น การรับ-ส่งข้อมูลสำคัญ ๆ ไม่ควรใช้ช่องทางผ่านระบบออนไลน์ หากมีความจำเป็นต้องใช้ช่องทางดังกล่าว ควรมีมาตรการรองรับ เช่น เปลี่ยนไปใช้แอพพลิเคชั่น จีแชท (G-Chat) ซึ่งเป็นช่องทางของรัฐ รวมถึงการรับ-ส่งข้อมูลผ่านระบบจดหมายอิเล็กทรอนิกส์  (E-mail) ควรกระตุ้นให้เจ้าหน้าที่ใช้ mail go thai ซึ่งเป็น E-mail ภาครัฐ เป็นต้น นอกจากนี้ ควรจัดเจ้าหน้าที่ประจำหน่วยงานทำหน้าที่ชี้แจงกับประชาชนทันทีที่เกิดเหตุการณ์ละเมิดต่อเอกสารของหน่วยงาน เพื่อให้ประชาชนทั่วไปเข้าใจต่อการปฏิบัติงานของเจ้าหน้าที่ และไม่ถูกนำไปแสวงประโยชน์จนทำให้สถานการณ์ถูกขยายออกไปเป็นวงกว้าง

Best Practices สำหรับลดความเสี่ยงของ Ransomware บนฐานข้อมูล

บทความน่าสนใจ

Loading

ช่วงต้นปีที่ผ่านมา มีข่าวฐานข้อมูล MongoDB กว่า 27,000 แห่งถูกเจาะ ข้อมูลถูกขโมยออกไปเพื่อเรียกค่าไถ่เป็นเงิน 0.2 Bitcoin (ประมาณ 8,200 บาท) และเมื่อสัปดาห์ที่ผ่านมานี้เอง การโจมตีก็แพร่กระจายมายัง MySQL ด้วยเช่นกัน แสดงให้เห็นว่าแฮ็คเกอร์เริ่มพุ่งเป้าการเจาะระบบฐานข้อมูลแล้วเรียกค่าไถ่มากขึ้น บทความนี้จะได้รวม Best Practices สำหรับปกป้องฐานข้อมูลของตนไม่ให้ตกเป็นเหยื่อของ Ransomware รู้จักวิธีโจมตีก่อน การโจมตีฐานข้อมูลเรียกค่าไถ่มักเกิดจาก 2 กรณี คือ แฮ็คเกอร์โจมตีที่เครื่อง Client ซึ่งเปราะบางที่สุดในระบบ โดยใช้การส่งอีเมล Phishing เพื่อหลอกให้ผู้ใช้เปิดไฟล์แนบหรือเข้าถึงเว็บไซต์ที่มีมัลแวร์แฝงอยู่ เมื่อเข้ายึดเครื่อง Client ได้แล้ว แฮ็คเกอร์จะค่อยๆ แทรกซึมเข้าไปในเครือข่ายจนกว่าจะยกระดับสิทธิ์ตัวเองให้เข้าถึงระบบฐานข้อมูลได้ จากนั้นจึงเข้ารหัส ขโมย หรือลบข้อมูลเพื่อเรียกค่าไถ่ แฮ็คเกอร์โจมตีเซิร์ฟเวอร์ฐานข้อมูลโดยตรง โดยอาจผ่านทางเว็บแอพพลิเคชันที่เชื่อมต่ออินเทอร์เน็ต เช่น SQL Injection หรือในกรณีที่เว็บและฐานข้อมูลอยู่บนเซิร์ฟเวอร์เครื่องเดียวกันยิ่งทำให้สามารถโจมตีได้ง่ายกว่าเดิม เพียงแค่หาช่องโหว่ของเซิร์ฟเวอร์เจอก็อาจจะยึดระบบฐานข้อมูลได้ทันที ป้องกันและรับมือกับการโจมตีได้อย่างไร การปกป้องระบบฐานข้อมูลให้มั่นคงปลอดภัยสามารถทำได้ไม่ยากนัก โดยอาศัยอุปกรณ์และโซลูชันบนระบบเครือข่ายที่มีอยู่ก็สามารถลดความเสี่ยงลงได้ ดังนี้ ปกป้องผู้ใช้ จัดอบรมเพื่อสร้างความตระหนักด้านความมั่นคงปลอดภัย โดยเฉพาะอย่างยิ่งการตรวจสอบและรับมือกับการโจมตีแบบ…

Web Cache Deception Attack: หลอกเว็บให้แคชข้อมูลส่วนบุคคล

บทความน่าสนใจ

Loading

พบช่องโหว่บน 3 เว็บแอพพลิเคชันชื่อดัง รวมไปถึง PayPal.com Omer Gil หัวหน้าทีมความมั่นคงปลอดภัยสารสนเทศของ EY Hacktics Advanced Security Center จากอิสราเอล ออกมาเปิดเผยถึงช่องโหว่บน Caching Server ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีเพื่อหลอกให้ Server แคชข้อมูลความลับ เช่น ข้อมูลส่วนบุคคลและข้อมูลการเงิน จากนั้นเข้าไปขโมยข้อมูลจากที่แคชไว้ได้ Gil ตั้งชื่อการโจมตีนี้ว่า Web Cache Deception Attack PayPal ได้รับผลกระทบ พร้อมมอบรางวัลกว่า 100,000 บาท Gil เปิดเผยใน Blog ของตนว่า พบช่องโหว่ของการโจมตีนี้บนเว็บไซต์ชื่อดัง 3 แห่งจาก 30 แห่งที่เขาทดสอบ หนึ่งในนั้นคือ PayPal ส่วนอีก 2 แห่งขอให้ไม่เปิดเผยนาม ซึ่ง Gil เชื่อว่าการโจมตีน่าจะส่งผลกระทบเป็นวงกว้างกับหลายๆ เว็บไซต์ทั่วโลก โดยปัญหาเกิดจากการที่ Server ถูกหลอกให้แคชข้อมูลความลับของผู้ใช้ผ่านทางการเข้าถึง…

การถวายความปลอดภัยในสมัยอยุธยา

การ รปภ สถานที่, บทความน่าสนใจ

Loading

จากหนังสือ “ลัทธิธรรมเนียมต่างๆ” กรมศิลปากร มีเนื้อความเกี่ยวกับวิธีการจัดกำลังพล อาวุธ และพาหนะสำหรับถวายความปลอดภัยและการอารักขาต่อพระมหากษัตริย์ตามแต่การเสด็จพระราชดำเนินจะเป็นทางสถลมารคที่แยกออกเป็นทางกระบวนราบ กระบวนช้าง กระบวนม้า หรือการเสด็จโดยทางชลมาคร ซึ่งการจัดดังกล่าวก็คือ วิธีการวางแนวทางรักาความปลอดภัยนั้นเอง และในบางวิธียังคงใช้มาจนถึงปัจจุบัน อย่างเช่น หนังสือเล่มนี้ ในภาคที่ ๑๙ ตำรากระบวนเสด็จพระราชดำเนินครั้งกรุงศรีอยุธยา เรื่อง ล้อมวง ณ ที่ประพาส “ แลพันเทพราชกลาโหมได้เกณฑ์พันทนายคบหอก หมู่ตำรวจในซ้าย ๑๖ ขวา ๑๖ รวม ๓๒  หมู่ตำรวจใหญ่ ซ้าย ๑๖ ขวา ๑๖ รวม ๓๒  หมู่ตำรวจนอก ซ้าย ๑๐ ขวา ๑๐ รวม ๒๐หมู่ทหารใน ซ้าย ๑๖ ขวา ๑๖ รวม ๓๒  หมู่ทนาย เลือกหอก ซ้าย ๑๐ ขวา ๑๐…

คดีวอเตอร์เกต

บทความน่าสนใจ, เรียนรู้การรักษาความปลอดภัยจากรูปภาพ

Loading

คดีวอเตอร์เกต (Watergate scandal)  กรณีอื้อฉาวทางการเมืองของสหรัฐฯ ซึ่งเป็นผลจากการปฏิบัติงานของสำนักงานสอบสวนกลางแห่งสหรัฐฯ (FBI) และการติดตามรายงานข่าวสารของหนังสือพิมพ์ เดอะวอชิงตันโพสต์ สืบเนื่องมาจากเหตุการณ์จับกุมชายห้าคนที่ลักลอบโจรกรรมข้อมูลจากที่ทำการสำนักงานใหญ่ของพรรคเดโมแครต ในอาคารวอเตอร์เกตคอมเพลกซ์กรุงวอชิงตัน ดี.ซี. เมื่อ17 มิถุนายน 2515 คณะทำงานของประธานาธิบดีริชาร์ด นิกสัน พยายามปกปิดหลักฐานที่เกี่ยวข้องกับเหตุโจรกรรมดังกล่าว การในคดีลักลอบโจรกรรมใหญ่พรรคเดโมแครตที่อาคารวอเตอร์เกตคอมเพลกซ์FBIเข้ามาทำการสืบสวนจนเชื่อมโยงเส้นทางการเงินของคนร้ายทั้งห้าคนจนพบข้อมูลเกี่ยวกับกองทุนหนึ่ง ซึ่งเป็นกลุ่มระดมทุนสนับสนุนประธานาธิบดีนิกสันในการลงแข่งขันเลือกตั้งตำแหน่งประธานาธิบดีสมัยที่ 2  โดยหลักฐานทั้งหมดบ่งชี้ไปยังคณะทำงานของประธานาธิบดีนิกสันทำการทุจริต  จากการสืบสวนจนถึงเดือนกรกฎาคม 2516 คณะทำงานสืบสวนคดีวอเตอร์เกตซึ่งแต่งตั้งโดยวุฒิสภา รายงานว่าภายในห้องทำงานของประธานาธิบดีนิกสันมีระบบบันทึกเสียง ซึ่งบันทึกการสนทนาต่างๆ เป็นจำนวนมากใจความจากเทปบันทึกเสียงนี้ชี้ให้เห็นว่าประธานาธิบดีนิกสันเคยพยายามปกปิดการมีส่วนรู้เห็นต่อการโจรกรรมข้อมูลของพรรคเดโมแครต ศาลฎีกาสูงสุดแห่งสหรัฐฯ จึงมีคำสั่งให้ประธานาธิบดีนิกสันส่งมอบเทปบันทึกเสียงทั้งหมดแก่พนักงานสืบสวน ประธานาธิบดีนิกสันจึงต้องยอมส่งมอบเทป  จากการสืบสวนและพิจารณาในชั้นศาลส่งผลให้ประธานาธิบดีนิกสัน ต้องลาออกจากตำแหน่ง เมื่อ 9 สิงหาคม 2517 นับเป็นการลาออกจากตำแหน่งครั้งแรกของประธานาธิบดีในประวัติศาสตร์สหรัฐฯ จากเหตุการณ์นี้ยังนำไปสู่การฟ้องร้องการไต่สวนการลงโทษ และการจำคุกบุคคลที่มีส่วนเกี่ยวข้องทั้ง 43 คน รวมไปถึงคณะทำงานระดับสูงของรัฐบาลนิกสันด้วย นอกจากการสืบสวนของ FBI  และการสอบสวนของคณะทำงานสืบสวนคดีวอเตอร์เกตแล้ว  การติดตามรายงานข่าวสารคดีนี้โดยตลอด ของ เดอะวอชิงตันโพสต์ ซึ่งเป็นหนังสือพิมพ์ชื่อดังของสหรัฐฯ  ทำให้ FBI จำเป็นต้องทำการสืบสวนพร้อมกับผลักดันให้หน่วยงานพ้นจากอำนาจของประธานาธิบดีนิกสัน ประธานาธิบดีนิกสันขณะเดินทางออกจากทำเนียบขาว ก่อนการลาออกจากตำแหน่งประธานาธิบดีมีผลบังคับใช้เมื่อ 9 สิงหาคม 2517

กรณีฐานข้อมูลศูนย์รับบริจาคโลหิตออสเตรเลียรั่วไหล

บทความน่าสนใจ, บทความเด่น

Loading

1. วันศุกร์ที่ 28 ตุลาคม 2559 ศูนย์รับบริจาคโลหิตออสเตรเลียได้ออกแถลงการณ์ขอโทษ หลังจากฐานข้อมูลของผู้บริจาคโลหิตจำนวน 550,000 คน ได้แก่ ชื่อ-นามสกุล, ที่อยู่, วันเดือนปีเกิด, ข้อมูลจากแบบสอบถามก่อนการบริจาคเลือด เช่น กิจกรรมทางเพศที่ผ่านมา ฯลฯ ส่วนหนึ่งมาจากการลงทะเบียนผ่านระบบเครือข่ายข้อมูลออนไลน์ โดยการรั่วไหลดังกล่าวเกิดขึ้นตั้งแต่ปี 2553 จนปัจจุบัน เนื่องจากผู้พัฒนาเว็บไซต์ของศูนย์รับบริจาคโลหิตฯ ทำการสำรองฐานข้อมูล (mysqldump) ขนาด 1.74 GB ไว้บนอินเตอร์เน็ต ข้อมูลดังกล่าวถูกพบโดยศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ (AusCERT) ซึ่งในเวลาต่อมาศูนย์รับบริจาคโลหิตฯ จึงได้รายงานเรื่องการละเมิดข้อมูลดังกล่าวต่อสำนักงานคณะกรรมการข้อมูลออสเตรเลีย และติดต่อกับหน่วยงานป้องกันทางไซเบอร์, ศูนย์บัญชาการตำรวจสหพันธรัฐออสเตรเลียเพื่อดำเนินการแก้ปัญหาต่อไป ที่มา : http://www.donateblood.com.au/media/news/blood–service–apologises–donor–data–leak ข้อพิจารณา 2. โดยทั่วไปข้อมูลสารสนเทศที่อัพโหลดขึ้นไปบนอินเตอร์เน็ต ต้องใช้ระยะเวลาดำเนินการในการค้นข้อมูลที่ต้องการ ซึ่งมักใช้โปรแกรมสืบค้นข้อมูลในระบบสารสนเทศ (Search Engine) กรณีที่เกิดขึ้นตามข้อ 1แสดงว่าผู้พัฒนาระบบได้มีการอัพโหลดไฟล์ฐานข้อมูลผู้บริจาคโลหิตไว้นาน ซึ่งนับเป็นความประมาท หากการกระทำในทำนองเดียวกับผู้พัฒนาระบบดังกล่าวและเกิดขึ้นในหน่วยงานของรัฐในประเทศไทย จนท.ผู้ก่อให้เกิดต้องถูกสอบข้อเท็จจริง ตาม พ.ร.บ.ข้าราชการพลเรือน พ.ศ. 2551 มาตรา 83…