บทความน่าสนใจ Archives

Web Cache Deception Attack: หลอกเว็บให้แคชข้อมูลส่วนบุคคล

บทความน่าสนใจBy Webmaster 6 March 2017

พบช่องโหว่บน 3 เว็บแอพพลิเคชันชื่อดัง รวมไปถึง PayPal.com Omer Gil หัวหน้าทีมความมั่นคงปลอดภัยสารสนเทศของ EY Hacktics Advanced Security Center จากอิสราเอล ออกมาเปิดเผยถึงช่องโหว่บน Caching Server ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีเพื่อหลอกให้ Server แคชข้อมูลความลับ เช่น ข้อมูลส่วนบุคคลและข้อมูลการเงิน จากนั้นเข้าไปขโมยข้อมูลจากที่แคชไว้ได้ Gil ตั้งชื่อการโจมตีนี้ว่า Web Cache Deception Attack PayPal ได้รับผลกระทบ พร้อมมอบรางวัลกว่า 100,000 บาท Gil เปิดเผยใน Blog ของตนว่า พบช่องโหว่ของการโจมตีนี้บนเว็บไซต์ชื่อดัง 3 แห่งจาก 30 แห่งที่เขาทดสอบ หนึ่งในนั้นคือ PayPal ส่วนอีก 2 แห่งขอให้ไม่เปิดเผยนาม ซึ่ง Gil เชื่อว่าการโจมตีน่าจะส่งผลกระทบเป็นวงกว้างกับหลายๆ เว็บไซต์ทั่วโลก โดยปัญหาเกิดจากการที่ Server ถูกหลอกให้แคชข้อมูลความลับของผู้ใช้ผ่านทางการเข้าถึง…

การถวายความปลอดภัยในสมัยอยุธยา

การ รปภ สถานที่, บทความน่าสนใจBy Webmaster 6 March 2017

จากหนังสือ “ลัทธิธรรมเนียมต่างๆ” กรมศิลปากร มีเนื้อความเกี่ยวกับวิธีการจัดกำลังพล อาวุธ และพาหนะสำหรับถวายความปลอดภัยและการอารักขาต่อพระมหากษัตริย์ตามแต่การเสด็จพระราชดำเนินจะเป็นทางสถลมารคที่แยกออกเป็นทางกระบวนราบ กระบวนช้าง กระบวนม้า หรือการเสด็จโดยทางชลมาคร ซึ่งการจัดดังกล่าวก็คือ วิธีการวางแนวทางรักาความปลอดภัยนั้นเอง และในบางวิธียังคงใช้มาจนถึงปัจจุบัน อย่างเช่น หนังสือเล่มนี้ ในภาคที่ ๑๙ ตำรากระบวนเสด็จพระราชดำเนินครั้งกรุงศรีอยุธยา เรื่อง ล้อมวง ณ ที่ประพาส “ แลพันเทพราชกลาโหมได้เกณฑ์พันทนายคบหอก หมู่ตำรวจในซ้าย ๑๖ ขวา ๑๖ รวม ๓๒ หมู่ตำรวจใหญ่ ซ้าย ๑๖ ขวา ๑๖ รวม ๓๒ หมู่ตำรวจนอก ซ้าย ๑๐ ขวา ๑๐ รวม ๒๐หมู่ทหารใน ซ้าย ๑๖ ขวา ๑๖ รวม ๓๒ หมู่ทนาย เลือกหอก ซ้าย ๑๐ ขวา ๑๐…

คดีวอเตอร์เกต

บทความน่าสนใจ, เรียนรู้การรักษาความปลอดภัยจากรูปภาพBy Webmaster 27 February 2017

คดีวอเตอร์เกต (Watergate scandal) กรณีอื้อฉาวทางการเมืองของสหรัฐฯ ซึ่งเป็นผลจากการปฏิบัติงานของสำนักงานสอบสวนกลางแห่งสหรัฐฯ (FBI) และการติดตามรายงานข่าวสารของหนังสือพิมพ์ เดอะวอชิงตันโพสต์ สืบเนื่องมาจากเหตุการณ์จับกุมชายห้าคนที่ลักลอบโจรกรรมข้อมูลจากที่ทำการสำนักงานใหญ่ของพรรคเดโมแครต ในอาคารวอเตอร์เกตคอมเพลกซ์กรุงวอชิงตัน ดี.ซี. เมื่อ17 มิถุนายน 2515 คณะทำงานของประธานาธิบดีริชาร์ด นิกสัน พยายามปกปิดหลักฐานที่เกี่ยวข้องกับเหตุโจรกรรมดังกล่าว การในคดีลักลอบโจรกรรมใหญ่พรรคเดโมแครตที่อาคารวอเตอร์เกตคอมเพลกซ์FBIเข้ามาทำการสืบสวนจนเชื่อมโยงเส้นทางการเงินของคนร้ายทั้งห้าคนจนพบข้อมูลเกี่ยวกับกองทุนหนึ่ง ซึ่งเป็นกลุ่มระดมทุนสนับสนุนประธานาธิบดีนิกสันในการลงแข่งขันเลือกตั้งตำแหน่งประธานาธิบดีสมัยที่ 2 โดยหลักฐานทั้งหมดบ่งชี้ไปยังคณะทำงานของประธานาธิบดีนิกสันทำการทุจริต จากการสืบสวนจนถึงเดือนกรกฎาคม 2516 คณะทำงานสืบสวนคดีวอเตอร์เกตซึ่งแต่งตั้งโดยวุฒิสภา รายงานว่าภายในห้องทำงานของประธานาธิบดีนิกสันมีระบบบันทึกเสียง ซึ่งบันทึกการสนทนาต่างๆ เป็นจำนวนมากใจความจากเทปบันทึกเสียงนี้ชี้ให้เห็นว่าประธานาธิบดีนิกสันเคยพยายามปกปิดการมีส่วนรู้เห็นต่อการโจรกรรมข้อมูลของพรรคเดโมแครต ศาลฎีกาสูงสุดแห่งสหรัฐฯ จึงมีคำสั่งให้ประธานาธิบดีนิกสันส่งมอบเทปบันทึกเสียงทั้งหมดแก่พนักงานสืบสวน ประธานาธิบดีนิกสันจึงต้องยอมส่งมอบเทป จากการสืบสวนและพิจารณาในชั้นศาลส่งผลให้ประธานาธิบดีนิกสัน ต้องลาออกจากตำแหน่ง เมื่อ 9 สิงหาคม 2517 นับเป็นการลาออกจากตำแหน่งครั้งแรกของประธานาธิบดีในประวัติศาสตร์สหรัฐฯ จากเหตุการณ์นี้ยังนำไปสู่การฟ้องร้องการไต่สวนการลงโทษ และการจำคุกบุคคลที่มีส่วนเกี่ยวข้องทั้ง 43 คน รวมไปถึงคณะทำงานระดับสูงของรัฐบาลนิกสันด้วย นอกจากการสืบสวนของ FBI และการสอบสวนของคณะทำงานสืบสวนคดีวอเตอร์เกตแล้ว การติดตามรายงานข่าวสารคดีนี้โดยตลอด ของ เดอะวอชิงตันโพสต์ ซึ่งเป็นหนังสือพิมพ์ชื่อดังของสหรัฐฯ ทำให้ FBI จำเป็นต้องทำการสืบสวนพร้อมกับผลักดันให้หน่วยงานพ้นจากอำนาจของประธานาธิบดีนิกสัน ประธานาธิบดีนิกสันขณะเดินทางออกจากทำเนียบขาว ก่อนการลาออกจากตำแหน่งประธานาธิบดีมีผลบังคับใช้เมื่อ 9 สิงหาคม 2517

กรณีฐานข้อมูลศูนย์รับบริจาคโลหิตออสเตรเลียรั่วไหล

บทความน่าสนใจ, บทความเด่นBy Webmaster 16 February 2017

1. วันศุกร์ที่ 28 ตุลาคม 2559 ศูนย์รับบริจาคโลหิตออสเตรเลียได้ออกแถลงการณ์ขอโทษ หลังจากฐานข้อมูลของผู้บริจาคโลหิตจำนวน 550,000 คน ได้แก่ ชื่อ-นามสกุล, ที่อยู่, วันเดือนปีเกิด, ข้อมูลจากแบบสอบถามก่อนการบริจาคเลือด เช่น กิจกรรมทางเพศที่ผ่านมา ฯลฯ ส่วนหนึ่งมาจากการลงทะเบียนผ่านระบบเครือข่ายข้อมูลออนไลน์ โดยการรั่วไหลดังกล่าวเกิดขึ้นตั้งแต่ปี 2553 จนปัจจุบัน เนื่องจากผู้พัฒนาเว็บไซต์ของศูนย์รับบริจาคโลหิตฯ ทำการสำรองฐานข้อมูล (mysqldump) ขนาด 1.74 GB ไว้บนอินเตอร์เน็ต ข้อมูลดังกล่าวถูกพบโดยศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ (AusCERT) ซึ่งในเวลาต่อมาศูนย์รับบริจาคโลหิตฯ จึงได้รายงานเรื่องการละเมิดข้อมูลดังกล่าวต่อสำนักงานคณะกรรมการข้อมูลออสเตรเลีย และติดต่อกับหน่วยงานป้องกันทางไซเบอร์, ศูนย์บัญชาการตำรวจสหพันธรัฐออสเตรเลียเพื่อดำเนินการแก้ปัญหาต่อไป ที่มา : http://www.donateblood.com.au/media/news/blood–service–apologises–donor–data–leak ข้อพิจารณา 2. โดยทั่วไปข้อมูลสารสนเทศที่อัพโหลดขึ้นไปบนอินเตอร์เน็ต ต้องใช้ระยะเวลาดำเนินการในการค้นข้อมูลที่ต้องการ ซึ่งมักใช้โปรแกรมสืบค้นข้อมูลในระบบสารสนเทศ (Search Engine) กรณีที่เกิดขึ้นตามข้อ 1แสดงว่าผู้พัฒนาระบบได้มีการอัพโหลดไฟล์ฐานข้อมูลผู้บริจาคโลหิตไว้นาน ซึ่งนับเป็นความประมาท หากการกระทำในทำนองเดียวกับผู้พัฒนาระบบดังกล่าวและเกิดขึ้นในหน่วยงานของรัฐในประเทศไทย จนท.ผู้ก่อให้เกิดต้องถูกสอบข้อเท็จจริง ตาม พ.ร.บ.ข้าราชการพลเรือน พ.ศ. 2551 มาตรา 83…

บทเรียน “กรณีความบกพร่องต่อการรักษาความลับของสำนักงานความมั่นคงแห่งชาติสหรัฐฯ”

บทความน่าสนใจ, บทความเด่นBy Webmaster 30 January 2017

สำนักข่าวรอยเตอร์ได้รายงานข่าวในวันที่ 6 ตุลาคม 2559 ตามเวลาประเทศสหรัฐฯ หัวข้อข่าว “N.S.A. contractor charged with stealing secret data” ระบุว่าสำนักงานสืบสวนกลางสหรัฐฯ (FBI) ได้จับกุมนายแฮโรลด์มาร์ติน เจ้าหน้าที่บริษัทบูซ, อัลเลน แอนด์ แฮมิลตัน อิงค์ (Booz, Allen & Hamilton Inc.) ผู้รับเหมาของสำนักงานความมั่นคงแห่งชาติสหรัฐฯ (N.S.A.) โดยนายมาร์ตินถูกดำเนินคดีในความผิดทางอาญาข้อหาขโมยทรัพย์สินของทางราชการ เคลื่อนย้ายหรือเก็บรักษาสิ่งที่เป็นเอกสารหรือวัสดุที่มีชั้นความลับของราชการหรือของบริษัทรับเหมาโดยไม่ได้รับอนุญาต โดยหลักฐานถูกพบในที่พักและยานพาหนะเป็นเอกสารและข้อมูลดิจิทัลที่เป็นข้อมูลชั้นลับที่สุดและ/หรือมีเนื้อหาอ่อนไหว นอกจากนั้นยังมีคำสั่งหรือโค๊ดในโปรแกรม ซึ่งเขียนด้วยภาษาคอมพิวเตอร์ (source code) ที่สหรัฐใช้สำหรับการแฮ็กระบบของรัฐบาลในรัสเซีย จีน เกาหลีเหนือ และอิหร่าน มุมมองด้านการรักษาความปลอดภัย การให้บุคคลภายนอกหรือภาคเอกชนเป็นผู้สร้างและพัฒนา รวมถึงดูแล ซ่อมบำรุงระบบ (Network) ของหน่วยงาน/องค์กรรัฐซึ่งทำให้สามารถเข้าถึงข้อมูลของระบบได้ทั้งหมด ทำให้ง่ายต่อการแฮ็กข้อมูลหรือขโมยข้อมูลและจากกรณีศึกษาดังกล่าวบริษัทบูซ, อัลเลน แอนด์ แฮมิลตัน ประกอบธุรกิจที่ปรึกษาเกี่ยวกับการบริหารจัดการองค์กรและเทคโนโลยี ซึ่งหลายหน่วยงานภาครัฐของสหรัฐฯ ใช้บริการ เช่น กระทรวงกลาโหม สำนักงานความมั่นคงแห่งชาติสหรัฐฯ…

ข้อมูลส่วนบุคคลผู้ใช้มือถือ บริหารอย่างไรให้ปลอดภัย

บทความน่าสนใจBy Webmaster 30 January 2017

กสทช. ร่วมกับเครือข่ายพลเมืองเน็ต (Thai Netizen Network) จัดประชุม NBTC Public Forum ครั้งที่ ๖/๒๕๕๙ เรื่อง “ข้อมูลส่วนบุคคลผู้ใช้มือถือ บริหารอย่างไรให้ปลอดภัย” เมื่อวันที่ ๑๓ ตุลาคม ๒๕๕๙ ณ โรงแรมเอเชีย กรุงเทพฯ สรุปสาระสำคัญ ดังนี้ ๑. หลักการป้องกันข้อมูลที่ต้องคำนึงถึง ได้แก่ ๑) วัตถุประสงค์และรูปแบบ/วิธีการเก็บข้อมูล ๒) ความถูกต้องของข้อมูลและกำหนดระยะเวลาการเก็บรักษาข้อมูล ๓) วิธีการใช้ข้อมูลส่วนบุคคล ๔) การรักษาความปลอดภัยข้อมูลส่วนบุคคล เช่น การเข้ารหัส (Encryption) การซ่อนข้อมูล (Masking/Hiding) ๕) ข้อมูลข่าวสารพร้อมใช้งานทั่วไป และ ๖) การเข้าถึงข้อมูลส่วนบุคคล ทุกประเด็นที่กล่าวมามีใจความสำคัญด้านการรักษาความปลอดภัย คือ ๑) การรักษาความปลอดภัยข้อมูลส่วนบุคคล ๒) การเก็บรักษาข้อมูล ๓) การลบข้อมูล โดยหน่วยงานต้องมีการจำกัดระดับ (Level) และกำหนดสิทธิ์ของผู้ใช้งาน…

Category Archives: บทความน่าสนใจ