Tag Archives: ความปลอดภัยไซเบอร์

“สโนว์เดน” โชว์แอปใหม่เปลี่ยนสมาร์ทโฟนเป็นกล้องวงจรปิด ป้องกันภัยสอดแนม

เอ็ดเวิร์ด สโนว์เดน (Edward Snowden) อดีตเจ้าหน้าที่ในหน่วยงานความมั่นคงแห่งชาติสหรัฐฯหรือ NSA ที่กลายเป็นผู้เปิดโปงภารกิจลับสุดยอดของ NSA จนโด่งดังทั่วโลก ประกาศเปิดตัวแอปพลิเคชันสมาร์ทโฟนใหม่ชื่อ “แฮเวน” (Haven) จุดเด่น คือ การเปลี่ยนสมาร์ทโฟนให้เป็นกล้องวงจรปิดพกพาที่สามารถป้องกันการถูกสอดแนม เบื้องต้น Haven พร้อมเปิดให้ทุกคนทดลองใช้ฟรี โดยเฉพาะนักข่าวที่อาจถูกผู้มีอิทธิพลคุกคามEdward Snowden นั้น เป็นที่รู้จักกันดีในฐานะจอมแฉที่เปิดเผยโครงการสอดแนมของสำนักงานความมั่นคงแห่งชาติของสหรัฐอเมริกา สิ่งที่ Snowden กำลังทำในขณะนี้ คือ การพัฒนาตัวช่วยให้ประชาชนทั่วโลกรู้สึกปลอดภัยมากขึ้น ด้วยการพัฒนาแอปพลิเคชันชื่อ Haven ซึ่ง Snowden การันตีว่าสามารถเปลี่ยนโทรศัพท์ระบบปฏิบัติการแอนดรอยด์ (Android) ให้เป็นระบบป้องกันการสอดแนมแบบออลอินวันครบวงจรSnowden บอกเล่าถึงแอปพลิเคชันนี้โดยเปรียบเทียบกับสุนัขเฝ้ายาม ที่เจ้าของสามารถพาสุนัขแสนซื่อสัตย์ไปที่ห้องในโรงแรม แล้ววางสุนัขทิ้งไว้ในห้องได้แม้เจ้าของจะไม่อยู่ในห้องแล้ว จุดนี้ Snowden ให้สัมภาษณ์กับสำนักข่าวไวรด์ (Wired) ในรายงานที่เผยแพร่เมื่อสุดสัปดาห์ที่ผ่านมาว่า แอปพลิเคชันนี้จะไม่ต่างจากเจ้าหมาแสนรู้ที่สามารถเป็นพยานบอกเล่าทุกอย่างที่เกิดขึ้นเมื่อเจ้าของไม่อยู่ แนวคิดของแอปพลิเคชัน Haven นั้น เรียบง่าย ผู้ใช้ต้องติดตั้งแอปพลิเคชันไว้ที่สมาร์ทโฟนที่ควรเป็นโทรศัพท์ราคาไม่แพง ซึ่งผู้ใช้สามารถวางทิ้งไว้ไกลตัวได้ จากนั้น ก็วางโทรศัพท์ไว้ในที่ที่ผู้ใช้ต้องการระวังการถูกสอดแนมวิธีนี้จะทำให้ผู้ใช้ที่อาจอยู่ในห้องพักที่โรงแรมในฮ่องกง แล้วกังวลว่า ผู้มีอิทธิพลบางรายกำลังพยายามสอดแนมติดตามพฤติกรรม สามารถติดตั้ง Haven…

เอฟบีไอ เตือน “ของเล่น” อาจเป็นเครื่องโจรกรรมข้อมูลส่วนตัว

สำนักงานสอบสวนกลางสหรัฐฯ หรือ เอฟบีไอ ออกมาเตือนว่า ของเล่นที่เด็กๆได้รับในวันคริสต์มาสหรือวันปีใหม่นั้น อาจกลายเป็นฝันร้ายสำหรับคุณได้ เพราะนี่อาจเป็นอุปกรณ์ให้เหล่าแฮกเกอร์เข้ามาล้วงข้อมูลส่วนตัวกันถึงในบ้านได้ เอฟบีไอ ไม่ได้ระบุว่า ของเล่นประเภทใดหรือจากบริษัทใดที่มีความเสี่ยง แต่ให้คำจำกัดความรวมๆว่า ของเล่นที่มีไมโครโฟน กล้อง และระบบติดตามหรือระบุพิกัด เป็นคุณสมบัติของเล่นที่เสี่ยงต่อการถูกเจาะข้อมูลและระบบความปลอดภัยของเด็กๆและครอบครัวคุณได้ ของเล่นที่มีความเสี่ยงอาจจะเป็นตุ๊กตาพูดโต้ตอบกับเด็ก หรือแท็ปเล็ตเพื่อการเรียนรู้ที่ดูไร้พิษสง เนื่องจากของเล่นเหล่านี้อาจหลุดรอดสายตาจากแผนกตรวจสอบความปลอดภัย เพื่อให้วางขายให้ทันช่วงคริสต์มาสและปีใหม่ อย่างไรก็ตาม ใครที่ซื้อของเล่นสำหรับลูกหลานไปแล้ว แต่ไม่แน่ใจว่าของเล่นนั้นมีความเสี่ยงหรือไม่ ผู้เชี่ยวชาญด้านความปลอดภัยของเทคโนโลยี แนะนำวิธีง่ายๆให้ห่างไกลจากการถูกโจรกรรมข้อมูล จากของเล่นหรืออุปกรณ์อิเล็กทรอนิกส์ใกล้ตัว 1. ค้นหาข้อมูลของขวัญหรือของเล่นต้องสงสัย – คำแนะนำจาก เบห์นัม ดายานิม (Behnam Dayanim) ผู้เชี่ยวชาญด้านความเป็นส่วนตัวและความปลอดภัยบนโลกไซเบอร์ของ Paul Hasting Law ก่อนแกะกล่องของเล่นหรือแก็ตเจ็ตที่ได้มาในวันคริสต์มาส สละเวลาอันมีค่า ค้นหาเว็บไซต์อย่างเป็นทางการของสินค้านั้นๆ เข้าไปที่ Privacy Policy หรือ นโยบายด้านความเป็นส่วนตัว ถ้าไม่มีให้โทรศัพท์ไปสอบถามโดยตรง อีกวิธีง่ายๆ คือ อ่านรีวิวหรือคำวิจารณ์ถึงสินค้าเหล่านั้นบนอินเตอร์เน็ตก่อนแกะกล่อง ถ้าพบว่ามีความเห็นที่สุ่มเสี่ยงเรื่องความปลอดภัยในการใช้สินค้าเหล่านั้น จะช่วยในการตัดสินใจได้ว่าจะเก็บไว้หรือเอาไปคืนดีหรือไม่ 2. เพิ่มความปลอดภัยให้ Wi-Fi ที่บ้าน –หากของเล่นนั้นต้องเชื่อมต่อกับอินเตอร์เน็ต ควรยกระดับความปลอดภัยของอินเตอร์เน็ต Wi-Fi…

สิงคโปร์ชวนแฮกเกอร์เจาะระบบ

กลาโหมสิงค์โปร์เชิญแฮกเกอร์ 300 รายเจาะระบบรัฐบาล ทดสอบช่องโหว่ความมั่นคง สเตรทไทมส์รายงานว่า – กระทรวงกลาโหมของสิงคโปร์ จะเชิญชวนแฮกเกอร์จากทั่วโลกรวมทั้งในประเทศราว 300 คน เข้าร่วมกันเจาะระบบอินเตอร์เน็ตของรัฐบาลจำนวน 8 เว็บไซต์ ตั้งแต่วันที่ 15 มกราคม ถึง 4 กุมภาพันธ์ปีหน้าเพื่อทดสอบระบบเว็บไซต์ของรัฐบาลว่ามีช่องโหว่จนสามารถเข้ามาล้วงข้อมูลของรัฐบาลได้หรือไม่โดยหากสามารถแฮกได้สำเร็จกระทรวงจะมอบเงินราว 150 – 20,000 ดอลลาร์สิงคโปร์ ขึ้นอยู่กับความสามารถและความยากง่ายในการเจาะระบบ โครงการดังกล่าวมีขึ้นหลังจากที่เมื่อต้นปีที่ผ่านมา กระทรวงกลาโหมพบว่า แฮกเกอร์ได้เจาะข้อมูลขโมยหมายเลขโทรศัพท์และวันเกิดของบุคลากรในรัฐบาลจำนวน 854 ราย โดยนับเป็นโครงการแรกที่รัฐบาลสิงคโปร์ระดมสมองแฮกเกอร์เพื่อป้องกันรูรั่วของระบบอินเตอร์เน็ตรัฐบาล ที่มา :โพสต์ทูเดย์ ลิงค์ : https://m.posttoday.com/world/news/530314?refer=http%3A%2F%2Fm.facebook.com

พบข้อมูลรหัสผ่านกว่า 1,400 ล้านรายชื่อพร้อมให้ดาวน์โหลดผ่านเว็บใต้ดิน

ทีมนักวิจัยจาก 4iQ บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัย ออกมาเปิดเผยถึงฐานข้อมูลชื่อผู้ใช้และรหัสผ่านในรูปของ Plain-text ที่มีขนาดใหญ่ที่สุด รวมแล้วกว่า 1,400 ล้านรายการ เปิดให้ดาวน์โหลดผ่าน Dark Web หรือเว็บใต้ดินรวมไปถึง Torrent   ฐานข้อมูลดังกล่าวถูกค้นพบบนฟอรัมเว็บบอร์ดใต้ดินเมื่อวันที่ 5 ธันวาคมที่ผ่านมา เป็นฐานข้อมูลชื่อผู้ใช้และรหัสผ่านในรูปของ Plain-text ที่รวบรวมมาจากเหตุการณ์ Data Breach ในอดีตจนถึงเดือนพฤศจิกายน 2017 จำนวนมากกว่า 252 ครั้ง ถึงแม้ว่าจะไม่ใช่ข้อมูลใหม่ที่เพิ่งรั่วออกสู่สาธารณะ แต่ก็ถือได้ว่าเป็นฐานข้อมูลที่มีขนาดใหญ่ที่สุด ซึ่งประกอบด้วยชื่อผู้ใช้ รหัสผ่าน และอีเมล รวมแล้วประมาณ 1,400 ล้านรายการ และมีขนาดไฟล์ใหญ่ถึง 41 GB ฐานข้อมูลกว่า 1,400 ล้านรายการนี้ ประกอบด้วยบัญชีผู้ใช้ที่หลุดมาจาก Bitcoin, Pastebin, LinkedIn, MySpace, Netflix, YouPorn, Last.FM, Zoosk, Badoo, RedBox รวมไปถึงเกมอย่าง Minecraft…

เคล็ดลับความสำเร็จของ Phishing Attack และวิธีการป้องกันตัว

จะเห็นได้ว่าข่าวภัยคุกคามในปัจจุบันจำนวนมากได้เริ่มต้นจากการหลอกล่อผู้ใช้งานก่อนเป็นอันดับแรก วันนี้เราจึงขอสรุปวิธีการของ Phishing Attack ซึ่งเป็นการโจมตีที่ไม่มีเครื่องมือใดป้องกันได้ 100% นอกจากนี้ยังมีวิธีการป้องกันตัวให้ผู้อ่านได้เข้าใจและสามารถแนะนำคนรอบข้างได้ ผู้ร้ายได้ข้อมูลจากเหยื่อมาด้วยความเต็มใจ เทคนิคที่ประสบความสำเร็จและได้รับความนิยมมากในการหลอกลวงคือการใช้ Spear Phishing โดยแฮ็กเกอร์มีข้อมูลของเหยื่อและทำการหลอกล่อบางอย่างเพื่อให้เหยื่อหลงเชื่อยอมให้ข้อมูลสำคัญเพิ่มเติม มีผลวิจัยพบว่าในรอบ 12 ปีที่ผ่านมาเทคนิคนี้ถูกใช้เพิ่มขึ้นถึง 5,753% นอกจากนี้เทคนิคอื่นๆ ที่สามารถได้รับข้อมูลของเหยื่อเช่น Pretexting หรือการสร้างสถานการณ์เพื่อให้เหยื่อหลงเช่น ปลอมตัวเป็นคนมาทำผลสำรวจ เจ้าหน้าที่จากสรรพากรหรืออื่นๆ วิธีการ Dumpster Diving หรือการหาข้อมูลเอกสารจากถังขยะของเหยื่อก็สามารถใช้ได้เช่นกัน ผู้ร้ายเก็บข้อมูลลูกจ้างในองค์กรได้อย่างไร ก่อนที่จะเจาะจงเหยื่อภายในองค์กรได้สักคนต้องมีข้อมูลเกี่ยวกับเหยื่อก่อน ดังนั้นวิธีการหาข้อมูลว่าใครทำงานในองค์กรดังกล่าวมีหลายวิธีดังนี้ Social Media เช่น Facebook หรือ LinkedIn และอื่นๆ โดยข้อมูลพื้นฐานที่จะได้คือ ที่ทำงานในอดีต การศึกษา ข้อมูลครอบครัว การคอมเม้นและลิ้งที่เข้าไป วันที่และเหตุการณ์สำคัญในชีวิต สิ่งที่ชอบ สถานที่ๆ เคยไป รูปภาพ และอื่นๆ นอกจากนี้ยังมีข้อมูลอื่นที่ผู้ร้ายสามารถวิเคราะห์ได้เช่น การโพสต์ว่าเหยื่อน่าจะนอนหรืออยู่ในเวลาไหน สถานการณ์ของความสัมพันธ์ แนวความคิด หรือเป็นคนอย่างไรเพื่อหาเทคนิคหลอกล่อต่อไป Search Engine มีฐานข้อมูลในการค้นหาคนอย่างเช่น Pipl, Spoken และ ZabaSearch โดยไซต์เหล่านี้ได้รวบรวมโปรไฟล์ของคนจากหลายๆ แหล่งเอาไว้…

เตือน 66% ของแอป Cryptocurrency ยอดนิยมบน Android ไม่เข้ารหัสข้อมูล

จากการที่กระแสงเงินดิจิทัลหรือ Cryptocurrency เริ่มบูมมากขึ้น ส่งผลให้มีแอปพลิเคชันสำหรับแลกเปลี่ยนหรือทำธุรกรรมโดยใช้ Cryptocurrency เป็นจำนวนมาก อย่างไรก็ตาม แอปพลิเคชันเหล่านี้ยังขาดการออกแบบให้มีความมั่นคงปลอดภัย เช่น การเข้ารหัสข้อมูล High-Tech Bridge บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยสารสนเทศชื่อดัง ได้ออกมาแจ้งเตือนถึงภัยคุกคามบนแอปพลิเคชัน Cryptocurrency ซึ่งนอกจากจะพบว่ามีแฮ็กเกอร์สร้างแอปพลิเคชันปลอมเพื่อหลอกขโมยชื่อบัญชีและรหัสผ่านของผู้ใช้แล้ว ยังแอปพลิคเชันแท้ส่วนใหญ่ยังขาดการพัฒนาให้มีความมั่นคงปลอดภัย ส่งผลให้อาจถูกแฮ็กเกอร์ขโมยข้อมูลสำคัญออกไปได้ High-Tech Bridge ใช้ Mobile X-Ray ซึ่งเป็นซอฟต์แวร์สำหรับวิเคราะห์แอปพลิเคชันบนอุปกรณพกพาที่พัฒนาขึ้นมาเอง ในการสำรวจแอปพลิเคชัน Crytocurrency ยอดนิยม ไม่ว่าจะเป็นแอปพลิเคชันสำหรับติดตามค่าเงิน แลกเปลี่ยนเงินตรา หรือ Wallet จำนวนรวม 90 แอป พบสถิติที่น่าสนใจ ดังนี้ ร้อยละ 94 ใช้การเข้ารหัสข้อมูลแบบเก่าที่ไม่แนะนำให้ใช้กันแล้ว ร้อยละ 66 ไม่ได้ใช้ HTTPS ในการเข้ารหัสข้อมูลที่รับส่งกับภายนอก ร้อยละ 44 มีการ Hard Code รหัสผ่านลงไปในโค้ดของแอปพลิเคชันเลย ร้อยละ 94 ของแอปพลิเคชันมีความเสี่ยงระดับปานกลางหรือสูงกว่ามากกว่า 3 รายการ…