ถอดบทเรียนจากกรณีการแฮกบัญชี Twitter ช่องโหว่เกิดจากคนใน และการให้สิทธิ์แอดมินมากเกินจำเป็น

Loading

เมื่อช่วงวันที่ 15-16 กรกฏาคม 2563 บัญชีผู้ใช้ Twitter จำนวนมาก ซึ่งส่วนใหญ่เป็นบุคคลที่มีชื่อเสียง ได้ถูกผู้ไม่หวังดีเข้าถึงและนำบัญชีดังกล่าวไปโพสต์ข้อความหลอกลวงให้โอนเงินผ่าน Bitcoin จนก่อให้เกิดความเสียหายเป็นจำนวนมาก ในเวลาต่อมาทาง Twitter ได้ออกมาชี้แจ้งสาเหตุและความคืบหน้าของการสอบสวนเหตุการณ์ดังกล่าว หลังจากนั้นไม่นาน กลุ่มผู้ที่อ้างว่าอยู่เบื้องหลังการโจมตีก็ได้ออกมาเปิดเผยข้อมูลรวมถึงให้สัมภาษณ์กับสำนักข่าวเกี่ยวกับแรงจูงใจและช่องทางการโจมตี จากข้อมูลทำให้สามารถสรุปบทเรียนสำคัญจากเหตุการณ์ครั้งนี้ได้ 2 ข้อ คือช่องโหว่เกิดจากคนใน และการให้สิทธิ์แอดมินมากเกินจำเป็น สำนักข่าว Motherboard และ The New York Times ได้รายงานบทสัมภาษณ์ของกลุ่มที่อ้างว่าอยู่เบื้องหลังการโจมตีที่เกิดขึ้น จากรายงานมีการเปิดเผยว่าก่อนหน้าที่จะเกิดเหตุนั้นได้มีผู้ที่อ้างว่าเป็นพนักงานของ Twitter โพสต์ในกลุ่มสนทนาแห่งหนึ่ง ระบุว่าตนเองมีสิทธิ์เข้าถึงระบบบริหารจัดการบัญชีผู้ใช้ ซึ่งระบบดังกล่าวสามารถดูข้อมูล แก้ไขการตั้งค่าความมั่นคงปลอดภัย หรือดำเนินการอื่น ๆ กับบัญชีผู้ใช้ Twitter ได้ โดยได้มีการแนบตัวอย่างหน้าจอของระบบดังกล่าวด้วย ทั้งนี้มีรายงานว่ากลุ่มผู้โจมตีได้จ่ายเงินให้กับพนักงานของ Twitter เพื่อมีส่วนร่วมก่อเหตุในครั้งนี้ด้วย จากกรณีศึกษาในครั้งนี้มีบทเรียนสำคัญ 2 ประเด็น คือช่องโหว่เกิดจากคนใน และปัญหาการให้สิทธิ์แอดมินมากเกินความจำเป็น โดยประเด็นแรกนั้นเป็นความเสี่ยงที่มีโอกาสเกิดขึ้นได้กับทุกองค์กร เพราะการโจมตีทางไซเบอร์นั้นอาจไม่ได้มาจากนอกองค์กรเพียงอย่างเดียวแต่คนในองค์กรเองก็อาจเป็นสาเหตุได้ด้วย กระบวนการตรวจสอบและป้องกันการโจมตีจากคนในจึงสำคัญไม่แพ้การป้องกันจากคนนอก ส่วนประเด็นหลังนั้นเกิดจากการที่ผู้โจมตีสามารถเข้าถึงระบบแอดมินของ Twitter แล้วสามารถดำเนินการในสิ่งที่อาจส่งผลต่อความมั่นคงปลอดภัย…

ยักษ์ใหญ่เทคโนฯ ต้านกฎหมายความมั่นคงใหม่ฮ่องกง ให้อำนาจรัฐเซ็นเซอร์โลกออนไลน์

Loading

สำนักข่าวเอเอฟพีว่า ทางการจีนเริ่มเดินหน้าใช้กฎหมายความมั่นคงแห่งชาติฉบับใหม่สำหรับฮ่องกง ในการเซ็นเซอร์อินเตอร์เน็ตและการเข้าถึงข้อมูลของผู้ใช้งานในฮ่องกง โดยแผนการสกัดกั้นบนโลกออนไลน์ของกฎหมายใหม่นี้ ถูกเผยแพร่ออกมาในเอกสารของรัฐบาล 116 หน้าเมื่อช่วงคืนวันที่ 6 กรกฎาคม ซึ่งยังชี้ให้เห็นถึงการเพิ่มอำนาจให้แก่ตำรวจในการออกหมายเพื่อบุกค้นและเฝ้าระวัง โดยก่อนหน้านี้ จีนไม่มีการเปิดเผยรายละเอียดเกี่ยวกับกฎหมายความมั่นคงต่อฮ่องกง ยกเว้นเรื่องการห้ามการก่อการร้าย การล้มล้าง การแยกตัว และการสมรู้ร่วมคิดกับกองกำลังต่างชาติ อย่างไรก็ตาม แม้ว่าจะมีการออกมารับรองว่าจะมีกลุ่มคนที่ตกเป็นเป้าของกฎหมายนี้จำนวนไม่มาก แต่รายละเอียดที่ออกมาแสดงให้เห็นว่ามีการเปลี่ยนแปลงอย่างมากในเรื่องเสรีภาพและสิทธิของผู้คนในฮ่องกง นับตั้งแต่อังกฤษคืนเกาะฮ่องกงให้จีน เมื่อปี ค.ศ.1997 โดยกฎหมายใหม่ ยังให้อำนาจแก่รัฐบาลในเรื่องโลกออนไลน์อย่างเต็มที่ ตำรวจจะมีอำนาจในการควบคุมและยกเนื้อหาออนไลน์ออกได้ หากมีเหตุผลมากพอว่าเป็นข้อมูลที่ต้องสงสัยว่าจะละเมิดกฎหมายความมั่นคงแห่งชาติ และบริษัทอินเตอร์เน็ต รวมทั้งผู้ให้บริการอินเตอร์เน็ต สามารถถูกสั่งให้ถอดเนื้อหา และถูกยึดอุปกรณ์ ถูกปรับเงิน รวมทั้งถูกจำคุก 1 ปี หากปฏิเสธที่จะทำตามกฎหมาย และอาจจะต้องให้บันทึกข้อมูลส่วนบุคคลและช่วยถอดรหัสการเข้าถึงด้วย อย่างไรก็ตาม บริษัทยักษ์ใหญ่ด้านเทคโนโลยีจากอเมริกา อย่างเฟซบุ๊ก กูเกิล และทวิตเตอร์ ต่างออกมาปฏิเสธการที่รัฐบาลหรือตำรวจฮ่องกงจะมาขอข้อมูลผู้ใช้งาน เนื่องจากเป็นเรื่องสิทธิส่วนบุคคล นางแคร์รี หล่ำ ผู้ว่าการเขตปกครองพิเศษฮ่องกง กล่าวระหว่างการแถลงข่าวเมื่อวันที่ 7 กรกฎาคม ปกป้องกฎหมายความมั่นคงใหม่สำหรับฮ่องกง ที่รัฐบาลปักกิ่งเพิ่งผ่านร่างกฎหมายไป ว่า เป็นกฎหมายที่จะช่วยฟื้นฟูเสถียรภาพและความเชื่อมั่นของฮ่องกง ซึ่งรัฐบาลฮ่องกงจะนำกฎหมายดังกล่าวมาใช้อย่างเข้มแข็ง พร้อมกับขอเตือนล่วงหน้าสำหรับพวกสุดโต่งว่าอย่าได้พยายามที่จะละเมิดกฎหมาย…

ตรวจสอบด่วน พบ 25 แอปบน Android สามารถหลอกเอารหัสผ่าน Facebook ไปได้!

Loading

รายงานใหม่จากบริษัทด้านความปลอดภัยของฝรั่งเศส Evina พบแอปพลิเคชันบน Play Store ของ Google ถึง 25 รายการที่เป็นอันตรายต่อเครื่องและข้อมูลของผู้ใช้งาน โดยแอปเหล่านี้สามารถทำงานได้ปกติ แต่มาพร้อมกับโค้ดที่เป็นอันตรายต่อผู้ใช้งาน หากเราติดตั้งและใช้งานตามปกติ ก็จะไม่มีอะไรเกิดขึ้น แต่เมื่อเราเปิดแอป Facebook ขึ้นมา แอปเหล่านี้จะสร้างหน้าต่าง log-in ที่เลียนแบบ Facebook ขึ้นมาอีกครั้ง สำหรับผู้ใช้งานที่ไม่ได้คิดอะไรก็อาจจะไม่สงสัยว่าทำไมต้องใส่รหัสอีกครั้ง หากเราป้อนอีเมลและรหัสลงไปก็เสร็จโจรอย่างแน่นอนครับ ตัวอย่างด้านล่างนี้ Facebook ของจริงและของปลอม โดย Facebook ที่มีขอบด้านบนสีฟ้าเป็นของจริง แต่หากเป็นสีดำคือของปลอม รายชื่อแอปทั้งหมดที่หลอกเอารหัส Facebook ถึงแม้ว่า Google จะถอดแอปทั้งหมดนี้ออกจาก Play Store ไปแล้ว แต่ทั้งหมดมียอดดาวน์โหลดมากกว่า 2.34 ล้านครั้ง หากใครมีแอปเหล่านี้ติดตั้งอยู่ในเครื่องก็อย่าลืมถอนการติดตั้งออกไปด้วยนะครับ ————————————————– ที่มา : beartai / 4 กรกฎาคม 2563 Link : https://www.beartai.com/news/itnews/451461

เฟมทวิต : ประวัติศาสตร์ของแนวคิดสตรีนิยม และปมขัดแย้งในสังคมไทย

Loading

แนวคิดสตรีนิยม (feminism) และกลุ่มผู้นิยมแนวคิดนี้ที่เรียกว่า “เฟมินิสต์” (feminist) กำลังเป็นประเด็นที่มีการถกเถียงอย่างเผ็ดร้อนในหมู่ผู้ใช้โซเชียลมีเดียของไทย #เฟมทวิต เป็นแฮชแท็กที่ใช้กันอย่างแพร่หลายทางโซเชียลมีเดีย โดยเป็นคำเรียกในเชิงเสียดสีที่หมายถึง กลุ่มผู้ใช้ทวิตเตอร์ที่ออกมารณรงค์เรื่องความเสมอภาคทางเพศระหว่างหญิงชาย และต่อต้านเรื่องการเหยียดเพศ ตลอดจนการล่วงละเมิดทางเพศต่อผู้หญิง ผ่านการโพสต์ถ้อยคำในโลกออนไลน์ โดยที่ไม่ได้ลงมือทำอะไรอย่างแท้จริง แบบที่กลุ่ม “เฟมินิสต์” ตัวจริงเคลื่อนไหวรณรงค์อยู่ในโลกแห่งความเป็นจริง บีบีซีไทยจะพาไปดูประวัติความเป็นมาของแนวคิดสตรีนิยม และความเคลื่อนไหวทางสังคมเพื่อความเสมอภาคระหว่างเพศนี้ กำเนิดแนวคิดสตรีนิยม คำว่า “เฟมินิสม์” (feminism) หรือแนวคิดสตรีนิยม ได้รับการบัญญัติไว้โดยนักปรัชญาชาวฝรั่งเศสที่ชื่อ ชาร์ล ฟูรีเย ในปี ค.ศ.1837 ปัจจุบันสารานุกรมบริแทนนิกา ซึ่งเป็นสารานุกรมภาษาอังกฤษที่ตีพิมพ์มายาวนาน ได้นิยามความหมายของคำนี้ว่าเป็น “ความเชื่อเรื่องความเท่าเทียมกันระหว่างชายหญิงในด้านสังคม เศรษฐกิจ และการเมือง” ขณะที่พจนานุกรมภาษาอังกฤษ ฉบับอ็อกซ์ฟอร์ด ได้นิยามคำว่า “เฟมินิสต์” (feminist) ว่าเป็น “ผู้สนับสนุนสิทธิและความเสมอภาคของสตรี” รีเบ็คก้า เวสต์ นักเขียนชื่อดังชาวอังกฤษผู้วิพากษ์วิจารณ์ความไม่เท่าเทียมระหว่างเพศอย่างตรงไปตรงมา เคยเขียนเอาไว้ในปี 1913 ว่า “ดิฉันเองไม่เคยระบุได้อย่างชัดเจนว่า แนวคิดสตรีนิยม คืออะไร ดิฉันรู้เพียงว่าผู้คนเรียกดิฉันว่า “เฟมินิสต์” เวลาที่ดิฉันแสดงทัศนะที่แบ่งแยกความแตกต่างระหว่างตัวดิฉันกับพรมเช็ดเท้า” พัฒนาการของแนวคิดสตรีนิยม…

ช็อก! นักวิจัยพบส่วนขยายใน กูเกิลโครม กว่า 70 ตัวมีสปายแวร์ขโมยข้อมูล กระทบผู้ใช้งานหลายล้านราย

Loading

สำนักข่าวรอยเตอร์รายงานว่า นักวิจัยจาก “อเวค ซีเคียวริตี้” พบความพยายามในการใช้สปายแวร์เจาะข้อมูลของผู้ใช้งาน “กูเกิลโครม” ผ่าน “ส่วนขยาย” ที่ถูกดาวน์โหลดไปติดตั้งจำนวน 32 ล้านดาวน์โหลด สะท้อนความล้มเหลวของกูเกิลในการปกป้องข้อมูลของผู้ใช้งานในเบราเซอร์ที่มีผู้ใช้งานจำนวนมากทั่วโลก ด้านอัลฟาเบ็ต อิง บริษัทแม่ของกูเกิล ระบุว่า ได้มีการลบส่วนขยายกว่า 70 ส่วนขยายที่มีอันตรายออกไปจาก “โครมเว็บสโตร์” แล้วหลังจากได้รับแจ้งจากนักวิจัยเมื่อเดือนพฤษภาคมที่ผ่านมา รายงานระบุว่าส่วนขยายในโครมจะต้องเตือนผู้ใช้งานเกี่ยวกับเว็บไซต์ หรือการแปลงไฟล์จากรูปแบบหนึ่งไปยังอีกรูปแบบหนึ่งที่อาจมีอันตราย แต่ ส่วนขยายที่พบนั้นใช้ข้อมูลประวัติการเข้าเว็บไซต์และข้อมูลที่ใช้อ้างอิงในการเข้าถึงเครื่องมือทางธุรกิจ ทั้งนี้หากนับจากจำนวนดาวน์โหลดส่วนขยายที่เป็นอันตรายเหล่านั้น นับเป็นการพบโปรแกรมที่ประสงค์ร้ายในโครมสโตร์ ที่มากที่สุดนับจนถึงปัจจุบัน ด้านกูเกิล ปฏิเสธที่จะให้รายละเอียดเพิ่มเติมเกี่ยวกับความเสียหายที่เกิดขึ้น รวมถึงเหตุผลว่าทำไมกูเกิลจึงไม่สามารถตรวจสอบและลบส่วนขยายอันตรายเหล่านั้นออกไปได้ก่อนหน้านี้ ขณะที่ล่าสุดยังไม่ชัดเจนว่าใครที่เป็นผู้อยู่เบื้องหลังการปล่อยสปายแวร์ในครั้งนี้ ——————————————————– ที่มา : มติชน  / 19 มิถุนายน 2563 Link : https://www.matichon.co.th/foreign/news_2234302

การต่อต้านข้อมูลบิดเบือน (disinformation): ทางเลือกนโยบายที่เหลืออยู่

Loading

ที่มาภาพ: GLOBSEC Strategic Communication Programme https://counterdisinfo.org/ Written by Kim การรณรงค์ (หาเสียง) ด้วยข้อมูลบิดเบือน (disinformation) สร้างผลกระทบอย่างกว้างขวาง ตั้งแต่การเปลี่ยนผลการเลือกตั้งไปจนถึงกระตุ้นการก่อความรุนแรง ภาครัฐและเอกชนรวมทั้งรัฐบาลสหรัฐฯและบริษัทสื่อสังคม (social media) เพิ่งเริ่มต้นใช้กลยุทธ์ต่อสู้กับข้อมูลบิดเบือน ซึ่งนำไปสู่การตอบสนองทีละน้อย ทั้งนี้ การตอบสนองการแพร่ระบาดของไวรัส COVID-19 ที่มาพร้อมกับ “infodemic”[1] จะต้องพิจารณาอย่างครอบคลุมรวมถึงการใช้กฎหมายใหม่และการคว่ำบาตรตลอดจนขยายทรัพยากรขององค์กร เพื่อจัดการความท้าทายของข้อมูลบิดเบือน อย่างไรก็ตาม การแก้ไขปัญหาของรัฐบาลไม่ใช่ยาครอบจักรวาล จึงเป็นเรื่องสำคัญที่ประชาชนจะต้องเสริมสร้างทักษะความรู้ของตัวเองเกี่ยวกับดิจิตอลและสื่อด้วย[2]           การเผยแพร่ข้อมูลบิดเบือนถือเป็นภัยคุกคามเสถียรภาพและสันติภาพระหว่างประเทศ การรณรงค์อย่างซับซ้อนเพื่อสร้างอิทธิพลต่อการเลือกตั้งประธานาธิบดีสหรัฐฯในปี 2016 ของรัสเซีย บ่งชี้ถึงการเป็นภัยคุกคามอย่างมีนัยสำคัญ ตัวอย่างจำนวนมากแสดงให้เห็นว่าทฤษฎีสมคบคิดที่ถูกผลักดันทางออนไลน์ (โลกเสมือนจริง) สามารถนำไปสู่ผลลัพธ์ในโลกกายภาพ ล่าสุดที่ลอสแอนแจลิส วิศวกรรถไฟชื่อ Eduardo Moreno เจตนาทำให้รถไฟตกรางเพื่อขัดขวางความพยายามของรัฐบาลในการต่อสู้กับ COVID-19 โดย Moreno เชื่อว่า เรือโรงพยาบาล (the Mercy) ของกองทัพเรือเป็นส่วนหนึ่งของแผนการยึดครองประเทศของรัฐบาล นอกเหนือจากการปรับใช้ทฤษฎีสมคบคิดและ deepfakes (วิดิโอดัดแปลงด้วยปัญญาประดิษฐ์) เพื่อจัดการความเชื่อของปัจเจกบุคคล บริษัทสื่อสังคมซึ่งเป็นสมรภูมิสำคัญของสงครามข้อมูลบิดเบือนได้ใช้วิธีไม่คงเส้นคงวาในการต่อสู้กับข้อมูลบิดเบือนและ deepfakes โดย Twitter ดำเนินการเชิงรุกด้วยการห้ามโฆษณาทางการเมือง แต่ตัดสินใจติดธง (ไม่ลบ) deepfakes ทางการเมือง ในทางกลับกัน Facebook ประกาศว่าจะไม่ลบโฆษณาทางการเมืองที่ทราบว่าเป็นข้อมูลผิด ปัญหาเหล่านี้ทวีความรุนแรงเมื่อเกิดการระบาดของ COVID-19 ซึ่งองค์การอนามัยโลก (World Health Organization) เรียกว่า infodemic           รัฐบาลประเทศต่าง ๆ โดยเฉพาะสหรัฐฯมีนโยบายตอบโต้ข้อมูลบิดเบือนค่อนข้างช้า…