Monsanto เป็นบริษัทเคมีและเทคโนโลยีชีวภาพทางการเกษตรออกมายอมรับว่า มีแฮกเกอร์พยายามที่จะเข้าถึงเซิร์ฟเวอร์ โดยเหตุการณ์เกิดขึ้นเมื่อปลายเดือนมีนาคม ซึ่งมีผลกระทบต่อลูกค้าและพนักงานน้อยกว่า 1,300 ราย เซิร์ฟเวอร์ที่ได้รับผลกระทบมีข้อมูลที่สำคัญ ได้แก่ ชื่อของลูกค้า, ที่อยู่, หมายเลขประจำตัวผู้เสียภาษี, หมายเลขประกันสังคมและข้อมูลทางการเงิน

นอกจากนี้ยังมีการจัดเก็บข้อมูลของฝ่ายทรัพยากรบุคคลซึ่งรวมถึง ชื่อของพนักงาน, ที่อยู่, หมายเลขประกันสังคมและหมายเลขใบอนุญาตขับขี่ของพนักงานอีกด้วย แต่ทางบริษัทเชื่อว่าการละเมิดความปลอดภัยในครั้งนี้ไม่ได้มีความพยายามที่จะขโมยข้อมูลของลูกค้าไป

ที่มา : ehackingnews

เราทราบกันดีว่าภัยคุกคามมีการเพิ่มมากขึ้นทุกๆวัน มีการคิดค้นวิธีการโจมตีใหม่ๆมากมาย ไม่ว่าจะเป็นการ Obfuscation ในรูปแบบต่างๆ, Advance Persistent Threat และอื่นๆอีกมากมาย ทำให้เหล่าผู้ที่ทำงานอยู่ในศูนย์ระวังภัยคุกคามต่างๆ (Security Operations Center: SOC) ต้องปวดหัวที่จะปรับตัวตามอยู่เสมอ จึงเกิดแนวคิดพัฒนา SOC แบบใหม่ที่ชื่อว่า Next Generation SOC หรือ Security Operations Function (SOF) ขึ้นมาแทน

SOC คืออะไร

SOC คือศูนย์เฝ้าระวังภัยคุกคามต่างๆจากช่องทางต่างๆ ไม่ว่าจะเป็น Network and System Monitoring, Security Monitoring, Log Management, Physical Security Management, Vulnerability Management โดยปกติจะเป็นการใช้งานและวิเคราะห์ด้วยเทคโนโลยีที่ชื่อว่า SIEM(Security Information Event Management) เป็นหลัก โดย SIEM นั้นจะทำหน้าที่ค้นหาภัยคุกคามต่างๆจากการนำ Log ของอุปกรณ์ทางด้าน Network และ Security ต่างๆเข้าด้วยกัน เช่น IDS, IPS, Firewall, Switch, WAF และอื่นๆอีกมากมาย มาหา event ที่มีความสัมพันธ์ร่วมกันที่คาดว่าน่าจะเป็นภัยคุกคาม เช่น ที่ Firewall เห็น traffic การใช้งาน port 22 เป็นจำนวนมาก ประกอบกับมี log จากเครื่องปลายทาง port 22 ดังกล่าวว่ามีการ login failed จำนวนมากเช่นกัน บ่งบอกว่า มีการโจมตีที่เป็นการเดาสุ่ม password เพื่อจะ login เข้าสู่ระบบ(Brute Forcing) อยู่ เป็นต้น ซึ่งเหตุที่เป็นการโจมตีเหล่านั้นจะถูกเรียกว่า incident เมื่อ SIEM ตรวจพบ incident ใดๆ ก็จะมีการแจ้งเตือนไปยังผู้ปฎิบัติงานทางด้านความปลอดภัย(Security Operator) อีกที เมื่อ Security Operator ได้รับ alert จาก SIEM ก็จะทำตาม Incident Response Plan ซึ่งเป็นขั้นตอนการแจ้งเตือนหรือการกระทำใดๆกับ incident นั้นๆอีกทีหนึ่ง

SOC แตกต่างจาก SOF อย่างไร

จากที่เราทราบกันแล้วว่า SOC จะมีการใช้งาน SIEM เป็นหลัก โดยจำเป็นต้องมีการนำข้อมูลของอุปกรณ์ต่างๆมาร่วมกันและใช้งาน Rule ต่างๆของ SIEM ในการแจ้งเตือนแบบ Real-Time ซึ่งแต่ก่อน SOC จะถูกใช้กับศูนย์เฝ้าระวังภัยคุกคามขนาดใหญ่ในจุดๆเดียว แต่ในปัจจุบัน SOC ย้ายไปในส่วนที่ทำงานได้หลากหลายมากขึ้นสามารถกระจาย SOC ไปในจุดต่างๆขององค์กร แล้วนำข้อมูลเหล่านั้นมาประมวลผลร่วมกันได้ นั่นคือที่มาของ SOF นั่นเอง โดยจากแต่ก่อนเราอาจจะต้องมี SOC ไว้ภายในองค์กร จะเปลี่ยนเป็นการนำ SOC ไปไว้ภายนอกแทนรวมถึงการส่งข้อมูลขององค์กรเข้า SOC เหล่านั้นที่อยู่ภายนอกองค์กรอีกด้วย สิ่งเหล่านั้นทำให้เราจำเป็นต้องพึ่งอุปกรณ์ต่างๆมากขึ้น อีกทั้ง SOC ยังจำเป็นต้องมีข้อตกลง (Service-Level Agreement:SLA) ที่เหมาะสมแต่ละองค์กรที่คอยเฝ้าระวังให้ด้วย รวมถึง SOC เหล่านั้นจำเป็นต้องมีความเข้าใจของ Information Security อย่างถ่องแท้ เข้าใจถึงความคิดของเหล่าผู้ที่หวังจะโจมตีองค์กรที่ดูแลอยู่ ผู้โจมตีไม่ได้มองที่การโจมตีผ่านระบบขององค์กรเสมอไป ภัยคุกคามในปัจจุบันมีการโจมตีไปที่บุคคลที่สำคัญกับองค์กรและครอบครัวของบุคคลที่เป็นเป้าหมายเหล่านั้นมากขึ้นอีกด้วย เนื่องด้วยคนภายในครอบครัวขององค์กรอาจไม่มีความตระหนักต่อภัยคุกคามมากพอ ส่งผลให้บุคคลในครอบครัวเหล่านั้นกลายเป็นช่องทางหนึ่งในการโจมตีจนเข้าถึงเครื่องของบุคคลสำคัญขององค์กรได้ SOC จึงจำเป็นอาจจะต้องมีการติดตั้ง Sensors ที่คอยเฝ้าระวังภายใน Network ของบุคคลที่ตกเป็นเป้าหมายอีกด้วย

SOF จะไม่เพียงแค่คอยดูหรือคิดวิเคราะห์ภัยคุกคามที่จะเกิดขึ้นเท่านั้น SOF ยังคงคิดถึงความเป็นการป้องกันความปลอดภัยขององค์กรอย่างแท้จริง โดยการคอยสอดส่องการใช้งานสิทธิ์ที่ไม่ถูกต้องและการตรวจสอบสิทธิ์ที่ควรจะเป็นของพนักงานหรือบุคคลใดๆอีกด้วย (Identity Access & Entitlement Reviews) และการออกแบบ Network ขององค์กรให้ออกมาเหมาะสมกับความปลอดภัยหรือการคอยเฝ้าระวัง(Monitoring) อีกด้วย ซึ่งสิ่งเหล่านั้นจะเป็นส่วนที่ทาง SOF จะเข้ามาร่วมกับพนักงานภายในองค์กรเพื่อออกแบบโครงสร้างสิทธิ์ของพนักงานให้ออกมาได้อย่างเหมาะสม และสิ่งสุดท้ายที่ SOF เพิ่มเข้ามาคือทีมที่คอยทำการวิเคราะห์ Malware (Malware Analysis), Forensics, และการวิเคราะห์ภัยคุกคามใหม่ๆ เพื่อให้ SOF มีประสิทธิภาพในการเผชิญหน้าต่อภัยคุกคามใหม่ๆที่จะเกิดขึ้นอยู่ทุกๆวินาทีนั่นเอง

สิ่งที่จะทำให้เกิด SOF ได้

แน่นอนปัจจัยการทำ SOF คงไม่ต่างจาก SOC คือประกอบด้วย People, Technology, Process นั่นเอง โดยการจะทำให้ถึงจุดที่เรียกว่า SOF ได้แต่ละองค์ประกอบจำเป็นต้องมีลักษณะดังนี้

Technology
SIEM จำเป็นต้องมีระบบเก็บ Log แบบรวมศูนย์และการหาความสัมพันธ์อย่างมีประสิทธิภาพ
จำเป็นต้องมีการ Block malware ขาเข้าที่ครอบคลุมทั้งทาง email และ web
มีการ block Application ที่ไม่ถูกตามกฎ Policyขององค์กรและ Anti-Virus ในเครื่องของ Endpoint
มีการใช้อุปกรณ์ป้องกันความเสี่ยงที่เป็นมาตรฐานเพื่อให้สามารถทำงานร่วมกับส่วนอื่นๆขององค์กรได้อย่างง่าย
และสุดท้ายคือการเพิ่มในส่วนการทำงานต่างๆด้วย software เพื่อให้ได้ถึงมาตรฐานการทำงานต่างๆและตามธุรกิจที่ควรมี (Compliance ต่างๆ)

People
คนที่ทำงานจำเป็นต้องมีความเป็นผู้นำ
คนที่มีความเชี่ยวชาญใน network และ application security
คนที่มีความเชี่ยวชาญในการบริหารความเสี่ยง(risk management) และ security Policy
คนที่มีความเชี่ยวชาญในการทำ Malware Analysis และ Forensic
หลังจากที่มีบุคคลเหล่านั้นแล้วเราจะสามารถสร้างทีมที่ทำตามเป้าหมายและจุดประสงค์ของลูกค้าได้ ด้วยความหลากหลายของทีมที่เรามี

Process
ทำทุกอย่างให้เป็นแบบออโต้ให้มากที่สุดเท่าที่จะเป็นไปได้ เพื่อให้คนทำงานสามารถเฝ้าระวังภัยคุกคามใหม่หรือเรียนรู้เพิ่มเติมได้เสมอ
ต้องมีกฎและขั้นตอนในการควบคุมการเปลี่ยนแปลงของระบบ(change control), incident response, alerting และการทำ Report ที่ชัดเจน เพื่อให้สามารถทำงานได้อย่างมีระบบ
มีการรวบรวมสถิติการทำงานต่างๆ
มีการพยายามลดเวลาที่ใช้ในการตรวจจับ(detection), การควบคุมเหตุ(containment) และการแก้ไขระบบ(remediation) ให้เหลือน้อยลง
และสุดท้ายคือการให้พนักงานเข้าใจถึงภัยจริงๆ(real threats)ที่มีต่อองค์กรของเราว่าคืออะไร

บทสรุป

หลักการของ SOF นั้น MSSP ในหลายๆที่ทั่วโลกได้เริ่มทำขึ้นมาแล้ว ในไทยก็มีเช่นกัน แน่นอนว่าการทำงานแบบ SOF สร้างมาเพื่อต่อกรกับภัยคุกคามต่างๆ ซึ่ทำให้ศูนย์เฝ้าระวังภัยคุกคามต่างๆสามารถทำงานได้อย่างมีประสิทธิภาพมากขึ้น ตรวจจับและป้องกันเหตุร้ายต่างๆที่เกิดได้ดีขึ้น แต่แน่นอนว่าทางฝั่งผู้โจมตีก็ยังไม่หยุดพัฒนาเช่นกัน ดังนั้นเหล่าผู้ที่เป็นผู้เชี่ยวชาญทางด้านความปลอดภัยคงไม่มีเวลาให้หยุดพักหายใจ ยังจำเป็นต้องพัฒนาอย่างต่อเนื่อง เพื่อให้องค์กรมีความปลอดสูงที่สุดเท่าที่จะเป็นไปได้นั่นเอง

For more information, please contact: +662-615-7005 or contact@i-secure.

Avast community forum ถูกแฮกเกอร์โจมตีฐานข้อมูลและขโมยข้อมูลต่างๆ ได้แก่ ชื่อผู้ใช้งาน, ที่อยู่อีเมล์, ชื่อเล่น และรหัสผ่านแบบ hashed (one-way encrypted) passwords ทำให้แฮกเกอร์นั้นใช้เวลาไม่นานที่จะ Crack ซึ่งการแฮกในครั้งนี้ไม่มีการเข้าถึง ข้อมูลทางการเงิน, ใบอนุญาต หรือข้อมูลอื่นๆ

Avast blog รายงานว่า การละเมิดความปลอดภัยครั้งนี้มีผลกระทบน้อยกว่า 0.2% (ประมาณ 400,000) ของผู้ใช้ Avast จำนวน 200 ล้านราย โดยทาง Avast แนะนำให้ผู้ใช้ที่มีการใช้รหัสผ่านเดียวกันกับทุกๆ เว็บไซต์ทำการเปลี่ยนรหัสผ่านทันที และเมื่อ Avast community forum กลับมาใช้งานได้อีกครั้ง ผู้ใช้ทุกคนจะต้องทำการตั้งรหัสผ่านใหม่เพื่อความปลอดภัย

ที่มา : ehackingnews

หลังจากการติดตั้งระบบปฎิบัติการใดๆก็แล้วแต่ เรามักจะติดตั้ง Antivirus ต่อทันที เนื่องด้วยภัยอันตรายในการใช้งานอินเตอร์เน็ต และถือว่าเป็นหลักพื้นฐานทั่วไปในการติดตั้งเครื่องคอมพิวเตอร์ตามบ้านไปเสียแล้ว แต่คนทั่วไปหารู้ไม่ว่าการกระทำเหล่านั้นไม่ได้ช่วยอะไรเลย หากเราไม่มีวินัยหรือการระแวดระวังภัยอันตรายต่างๆที่เข้ามาทางอินเตอร์เน็ตมากพอ ที่ผมกำลังจะพูดถึงคือการที่เราติด Malware (ไวรัส, เวิร์ม, แรมซั่มแวร์, backdoor และอื่นๆ) ได้ แม้ว่าเครื่องเราจะติดตั้ง Antivirus แบบอัพเดตล่าสุดแล้วก็ตามที

การเติบโตของ Malware ที่มากขึ้น

หากพูดถึง Malware แน่นอนว่าต้องมุ่งเป้าไปโจมตีคนใช้งาน Windows ก่อนแน่นอน จากผลการวิจัยของผู้ผลิต Antivirus ทุกเจ้าเป็นไปในแนวทางเดียวกันคือมีการพบ Malware สูงขึ้นอย่างน่าตกใจในปี 2013-2014

รูปภาพจำนวนไวรัสที่เพิ่มขึ้นในแต่ละปีจากเว็บไซด์ AV-TEST

แต่หลายๆคนที่ใช้ Mac, Linux ก็อย่านิ่งนอนใจไป เพราะ Malware บนระบบ Mac, Linux นั้นก็มีอัตราที่เพิ่มขึ้นอย่างต่อเนื่องเช่นกัน โดยในช่วงปี 2013 พบว่ามีเครื่อง Mac OS X ติดไวรัสที่ชื่อว่า Flashback จำนวนมากถึง 700,000 เครื่องเลยทีเดียว ทีนี้จากกราฟด้านบนหากเราเจาะลึกลงไปเฉพาะไวรัสตัวใหม่ ก็พบว่า Malware ชนิดใหม่ๆมีการเติบโตอย่างน่ากลัวมาก

จำนวนไวรัสชนิดใหม่หรือชื่อใหม่ในแต่ละปีจากเว็บไซด์ AV-TEST

ทั้งนี้เป็นเพราะวิวัฒนาการในการสร้าง Malware นั้นง่ายขึ้นมาก ไม่ว่าจะเป็นจากการสอนการเขียนโปรแกรมทางด้าน hackingที่แพร่หลายมากขึ้น, การตรวจพบเครื่องมือสำหรับสร้าง malware แบบอัตโนมัติอย่างมากมาย, การให้บริการสร้าง malware ให้ (Malware as a service) ซึ่งได้ความนิยมเป็นอย่างมาก และอื่นๆอีกมากมาย ส่งผลให้บุคคลทั่วไปที่ไม่มีความรู้ทางด้านการเขียนโปรแกรมใดๆ ก็สามารถหาหรือสร้าง malware ด้วยตัวเองได้ไม่ยาก

รูปภาพตัวอย่างการเขียน keylogger ที่ NOD32 และ McAfee อัพเดตล่าสุดแต่ไม่สามารถตรวจจับได้

Malware-as-a-Service (MaaS) เครื่องมือที่ทำให้คนธรรมดากลายเป็น Cyber Criminal ได้

โดยปกติคนทั่วไปมักมองว่าการจะสร้าง malware ซักตัวนั้นยากและใช้เงินลงทุนสำหรับการสร้างสูง จึงได้มีแฮ็คเกอร์หัวใสที่ต้องการหาเงินจากการสร้างหรือขาย malware ให้กับคนทั่วไปขึ้นมา ซึ่งบริการนี้ถูกเรียกว่า “Makware as a service” นั่นเอง

Malware-as-a-Service มีความคล้ายคลึงกับ Software-as-a-Service(SaaS) โดย MaaS จะให้บริการในการสร้างและควบคุม malware รวมถึงการขาย malware ที่อยู่ในครอบครองของแฮ็คเกอร์ให้กับบุคคลทั่วไปใช้งาน แต่ SaaS จะเป็นการให้บริการการใช้งาน software ให้กับคนทั่วไปแทน โดยการทำงานของ MaaS มักจะมีการ support แบบ 24 x 7 ในการปรับปรุง malware ให้มีประสิทธิภาพและการตรวจจับได้ยากมากขึ้น พร้อมทั้งมีการให้คำปรึกษาในการใช้งาน malware ในรูปแบบต่างๆอีกด้วย

รูปภาพตัวอย่างส่วนควบคุม malware ของบริการแบบ Malware as a service

รูปภาพการสร้าง malware ด้วยตนเอง

บริการแบบนี้เป็นตัวผลักดันทำให้เครื่องโดนโจมตีด้วย malware ต่างๆมากขึ้น อีกทั้งยังทำให้ Antivirus วิวัฒนาการตามไม่ทันส่งผลให้พบว่า Antivirus สามารถตรวจจับ malware ได้ยากยิ่งขึ้น

Antivirus ตาม Malware ไม่ทัน

จากที่กล่าวไปแล้วว่ามีปัจจัยหลายๆอย่างที่ทำให้คนทั่วไปสามารถครอบครองและสร้าง Malware ได้ง่ายมากขึ้นและในแนวทางแต่ละแบบนั้นทำให้เหล่าผู้ผลิต Antivirus ต้องปวดหัวในการตรวจจับมากขึ้น เมื่อพบว่ามีการพยายามเปลี่ยนแปลงรูปแบบ code ของ malware ต่างๆให้สามารถตรวจจับได้ยากมากขึ้น(Obfuscation) โดย RedSocks Malware Research Labs ได้ทำการวิจัย Trend ของ Malware ในช่วงต้นปี 2014 ที่ผ่านมาด้วยการรับ,ค้นหา,ทดสอบ,ซื้อ malware ต่างๆมามากมาย อีกทั้งยังได้มีการแลกเปลี่ยนกับบริษัท Antivirus ต่างๆเพื่อทำงานวิจัยประสิทธิภาพการตรวจจับ Malware ขึ้น

รูปภาพ malware ที่ตรวจพบทั้ง 3 เดือนแรกของปี 2014

จากจำนวน Malware ที่ทำสถิติและรวบรวมมา เมื่อนำมาตรวจสอบโดยใช้ Antivirus หลายๆชนิดพบว่าตรวจจับได้เพียง 70.62% ในเดือนมกราคม พอมาถึงเดือนกุมภาพันธ์แย่ยิ่งกว่าคือมีเพียง 64.77% เท่านั้น และเดือนมีนาคมสามารถตรวจจับได้ที่ 73.56%

รูปภาพรายละเอียดการทดสอบการตรวจจับ malware ด้วย Antivirus ในแต่ละวัน

อีกทั้งจากการวิจัยของทาง Lastline Labs พบข้อมูลที่น่าสนใจดังนี้

ในวันแรกที่มีการพบ malware, มี Antivirus เพียง 51% เท่านั้นที่สามารถตรวจจับตัวอย่าง malware นั้นได้
หาก Antivirus ไม่สามารถตรวจจับ malware นั้นได้ในวันแรก ต้องใช้เวลาอย่างน้อย 1 วัน(โดยเฉลี่ยประมาณ 2 วัน)ในการตรวจจับ malware นั้น
อัตราการตรวจจับจะมากขึ้นถึง 61% หลังจากพบ malware นั้นประมาณ 2 อาทิตย์ โดยเกิดจาก Signature Antivirus นั้นไม่สามารถสร้างตามได้ทัน
ในหนึ่งปี ไม่มี Antivirus ตัวไหนเลยที่สามารถตรวจจับ Antivirus ได้ทุกตัวในวันแรก
หลังจากผ่านไป 1 ปี ยังคงมี Antivirus ไม่สามารถตรวจจับ malware ได้ถึง 10%
มี Malware ประมาณ 1% ที่น่าจะตรวจจับได้ด้วย Antivirus เจ้ายักษ์ใหญ่แต่กลับไม่สามารถตรวจจับได้ และในบางตัวไม่เคยถูกตรวจจับได้เลย

“หาก Security อยู่ที่ใจ ใยต้องพึ่ง Antivirus”

จากที่กล่าวมาทั้งหมดจะพบว่า Antivirus ไม่ใช่เครื่องมือที่เราไว้วางใจได้ตลอดไป ดังนั้นสิ่งที่เราน่าจะทำได้ดีที่สุดคือการพึ่งตนเอง ซึ่งเป็นการปลอดภัยที่สุด หากเราพยายามปฎิบัติตนให้เป็นไปดังนี้

ไม่คลิ๊ก link ใดๆที่ดูแล้วน่าสงสัยสิ่งที่น่าสงสัยที่กล่าวถึงเป็นอะไรที่เราต่างมีวิจารณญาณแตกต่างกันไป แต่ให้คิดไว้เสมอว่าเราอาจจะเจอเว็บไซด์ที่เป็น malware ได้เสมอ โดยส่วนใหญ่ link เหล่านั้นจะเป็น link ที่เกี่ยวกับ video ที่ดูน่าตกใจ, เรื่องเพศ, เรื่องแฮ็ค social media อย่าง Facebook เป็นต้น หากพบเจอ link เหล่านั้นอย่ากดโดยเด็ดขาด และข้อสังเกตุง่ายๆคือ ถ้าเพื่อนเราที่คุยภาษาไทยอยู่เสมอ แต่กลับส่ง link ภาษาอังกฤษมาให้เรากับเพื่อนๆหลายๆคน ให้คิดไว้ก่อนเลยว่า link นั้นอาจเป็น link อันตรายก็เป็นได้รูปภาพตัวอย่าง malicious link
ติดตั้ง Addon ที่ทำให้ปลอดภัยมากขึ้นใน Browser อย่าง Chrome และ Firefox มีตัวช่วยที่ทำให้เราปลอดภัยจาก malicious website หลายตัวด้วยกัน โดยผมแนะนำดังนี้
Update เครื่องและ Antivirus อยู่เสมอในส่วนนี้เป็นส่วนที่ขาดไปไม่ได้เลยทีเดียว เราจำเป็นต้อง update OS ทั้ง Windows, Linux, Mac OS X อยู่เสมอ เพื่อให้เครื่องของเรามีช่องโหว่น้อยที่สุดเท่าที่เป็นไปได้ ในส่วนของ Antivirus แม้ว่าเราอาจจะเชื่อใจไม่ได้ 100% แต่ Antivirus ก็ยังสามารถตรวจจับ Malware ทั่วไปได้ ดังนั้นก็ควรจะอัพเดตไว้อยู่เสมอเช่นกัน มีไว้ดีกว่าไม่มีครับ
ตรวจสอบการใช้งาน USB อยู่เสมอแม้ว่าเราจะมีพฤติกรรมการใช้งานที่ดีเพียงใด แต่อุปกรณ์ที่นำมาเชื่อมต่อกับเราอย่าง USB Drive ก็ยังเป็นของผู้อื่นอยู่ดี เรามีสิทธิ์ที่จะถูกโจมตีจาก malware ต่างๆได้ผ่านทาง USB Drive ดังนั้นควรมีการตรวจสอบ USB Drive ทุกครั้งที่นำมาต่อกับเครื่องเราครับ
ไม่ควรใช้งานซอฟแวร์เถื่อนการใช้ซอฟแวร์เถื่อนไม่ว่าจะเป็น keygen, crack และโปรแกรมโกงเกมส์ต่างๆ มีความเป็นไปได้สูงที่จะมี malware แฝงมาด้วย ลองคิดดูว่าผู้พัฒนาถึงขนาดสามารถทำโปรแกรมเหล่านั้นขึนมาได้ มีหรือที่เค้าจะไม่คิดหาประโยชน์จากโปรแกรมเหล่านั้น มีหลายครั้งที่ผู้ทเป็นโปรแกรมเถื่อนบอกให้ปิด Antivirus ก่อนถึงรัน หรือหาก Antivirus เตือนขึ้นมาให้ปิดทิ้งเพราะว่าโปรแกรมป้องกันการ crack นั้น เป็นการหลอกลวงทั้งสิ้น การให้ปิด Antivirus เพื่อให้โปรแกรมเหล่านั้นสามารถแทรกตัวไปอยู่ในเครื่องของผู้ใช้งานเสียมากกว่า ดังนั้นไม่ว่ายังไงก็ไม่แนะนำให้ใช้งานโปรแกรมเถื่อนเหล่านั้นครับ

จริงๆแล้วยังมีวิธีการอีกหลายอย่างสำหรับการป้องกันตนเองไม่ให้ตกเป็นเหยื่อ malware ต่างๆ ไม่ว่าจะเป็นการใช้ Firewall ในการป้องกันการเข้าถึง, การเปิด service เฉพาะที่จำเป็นภายในเครื่อง, การใช้งาน browser ในโปรแกรม Sandbox และอื่นๆอีกมากมาย แต่อาจจะลงลึกเกินไป จึงไม่ได้นำมาไว้ในบทความนี้ด้วยครับ

บทสรุป

การเติบโตของ Malware นั้นน่ากลัวขึ้นทุกวัน ทำให้เราจำเป็นต้องมีความคิดวิเคราะห์การใช้งานคอมพิวเตอร์มากขึ้น และแม้ว่าการใช้งานด้วยความระแวดระวังจะเป็นส่วนที่ทำให้เราปลอดภัยมากที่สุด แต่ก็ไม่ใช่ว่าจะทำให้เราปลอดภัยได้ 100% เราจำเป็นต้องลดโอกาสที่ทำให้เราอาจโดน Malware โจมตีให้ได้มากที่สุดเท่าที่จะเป็นไปได้มนุษย์เราสามารถผิดพลาดได้เสมอ เราอาจจะติดไวรัสจากการผิดพลาดเพียงครั้งเดียวก็เป็นไปได้ ดังนั้นสิ่งที่ควรจะทำก็คือการไม่เชื่อมั่นในตนเองเกินไป ยังไงก็ยังคงแนะนำให้มีการติดตั้ง Antivirus เพื่อลดโอกาสเสี่ยงลงให้มากที่สุดเท่าที่จะเป็นไปได้ครับ

For more information, please contact: +662-615-7005 or contact@i-secure.

โครงการ Zero-Day Initiative (ZDI) ของเอชพีเปิดเผยบั๊ก CVE-2014-1770 หรือ ZDI-14-140 ที่เปิดเผยให้กับไมโครซอฟท์ตั้งแต่ช่วงเดือนตุลาคมปีที่แล้ว จนตอนนี้บั๊กนี้ครบระยะเวลารอแพตซ์จากผู้ผลิต 180 วัน ทาง ZDI ก็เปิดเผยบั๊กนี้ออกมา
บั๊กนี้อาศัยช่องโหว่ของออปเจกต์ CMarkup ทำให้แฮกเกอร์สามารถนำพอยเตอร์กลับมาใช้ใหม่ได้หลังคืนหน่วยความจำไปแล้ว (use-after-free) และแฮกเกอร์สามารถรันโค้ดภายใต้โปรเซสปัจจุบันได้
ไมโครซอฟท์ตอบกลับมายัง ZDI ยืนยันว่าพบบั๊กนี้จริงโดยผู้ใช้ต้องถูกล่อให้เปิดหน้าเว็บ หรือเปิดไฟล์ที่เจาะช่องโหว่นี้ การเปิดเว็บที่ถูกควบคุมเฉพาะเช่น การเปิดเว็บที่ฝังมาบนอีเมล์ใน Outlook หรือ Windows Mail ไม่สามารถเจาะช่องโหว่นี้ได้ และแนะนำให้ติดตั้ง Enhanced Mitigation Experience Toolkit (EMET) เพื่อลดความเสี่ยงจากบั๊กนี้
ทาง ZDI แจ้งไมโครซอฟท์ครั้งสุดท้ายเมื่อวันที่ 8 ที่ผ่านมาว่าครบกำหนดการเปิดเผยบั๊ก แล้วจึงเปิดเผยบั๊กออกมาในวันนี้

ที่มา : theregister

หลังจากเกิดเหตุการณ์แฮกเว็บไซต์หลายแห่งในประเทศฟิลิปปินส์เมื่อปีที่แล้ว ล่าสุดลามไปถึงประเทศจีนแล้ว เมื่อมีการแฮกเว็บไซต์กว่า 200 เว็บในจีน เพื่อขู่ยึดดินแดน
ตามรายงานข่าวกลุ่มชาวฟิลิปปินส์ที่ก่อเหตุแฮกเว็บไซต์ในจีนเมื่อสัปดาห์ที่ผ่านมา มีชื่อเรียกกันว่า "Anonymous Philippines" หรือรู้จักกันในนาม "Pinoys" หลังจากเคยก่อเหตุมาแล้วกับเว็บไซต์ในฟิลิปปินส์เมื่อปีที่แล้ว สาเหตุมาจากความไม่พอใจต่อกรณีพิพาทเหนือเกาะในทะเลจีนใต้ที่มีชื่อว่า "Huangyan" ที่ฟิลิปปินส์และจีนมีปัญหากันมาตั้งแต่ปี 2012
อย่างไรก็ตามรายงานข่าวกล่าวว่า นี่ไม่ใช่ครั้งแรกที่แฮกเกอร์กลุ่มนี้แฮกเว็บไซต์ในจีน หลังจากเมื่อปี 2012 มีการแฮกเว็บไซต์ในจีน เพื่อเป็นการตอบโต้ที่แฮกเกอร์ชาวจีนเคยแฮกเว็บไซต์ของมหาวิทยาลัยในฟิลิปปินส์

ที่มา : The Washington Post

เอฟบีไอกล่าวว่า กว่าครึ่งล้านเครื่อง ใน 100 ประเทศทั่วโลกมีการติดมัลแวร์ที่ช่วยให้อาชญากรไซเบอร์ควบคุมคอมพิวเตอร์และ hijack เว็บแคม
BlackShades เป็นชนิดของซอฟต์แวร์ที่เป็นอันตรายที่ทำหน้าที่เป็นเครื่องมือการเข้าถึงระยะไกล (RAT) เมื่อแฮกเกอร์ติดตั้ง BlackShades ลงบน คอมพิวเตอร์ของเหยื่อ แฮกเกอร์สามารถมองเห็นทุกๆ อย่างบนเครื่องของเหยื่อได้ เช่น เอกสาร, รูปภาพ, รหัสผ่าน, ข้อมูลประจำตัวของธนาคาร และอื่นๆ รวมถึงยังสามารถปฏิเสธการเข้าถึงไฟล์, การกดแป้นพิมพ์บันทึกของเหยื่อ และเปิดใช้งานเว็บแคมของเครื่องคอมพิวเตอร์เหยื่อ
ประเทศที่เกี่ยวข้องในการดำเนินการจับกุม ได้แก่ เนเธอร์แลนด์, เบลเยียม, ฝรั่งเศส, เยอรมนี, อังกฤษ, ฟินแลนด์, ออสเตรีย, เอสโตเนีย, เดนมาร์ก, สหรัฐ, แคนาดา, ชิลี, โครเอเชีย, อิตาลี, มอลโดวา และสวิตเซอร์แลนด์

ที่มา : cnet

หลังจากปีที่แล้วได้มีการรั่วไหลของข้อมูลจากทาง Snowden ทาง รัฐบาลสหัรฐอเมริกา ก็ได้เตือนให้ทาง NSA คอยตรวจและระวังข้อมูลที่จะเป็นประโยชน์สำหรับกลุ่มผู้ก่อการร้าย และเป็นอันตรายต่อประเทศของตนเอง

ทาง NSA ได้เปิดเผยข้อมูลว่า ทางผู้ก่อการร้าย Al-Qaeda ได้มีการเริ่มใช้เทคนิคการเข้ารหัสใหม่ที่แน่นหนามากขึ้น ในการติดต่อสื่อสารต่างๆ และทางหน่วยสืบราชการลับได้ออกมากบอกว่า ทาง Al-Qaeda มีการเปลี่ยนการเข้ารหัสใหม่ครั้งแรกในรอบ 7 ปี หลังจากที่ทาง Edward Snowden ได้เปิดเพยข้อมูลของทาง NSA ออกไป
โดยทาง Al-Qaeda นั้นมีเครื่องมือในการเข้ารหัสใหม่ 3 ตัวดังนี้
1. Tashfeer al-Jawwal : เป็นการเข้ารหัสในระบบมือถือ สร้างโดย GIMF
2. Asrar al-Ghurabaa : เป็นโปรแกรมเข้ารหัส สร้างโดย Islamic State of Iraq กับ Al-Sham
3. Amn al-Mujahid : โปรแกรมเข้ารหัส สร้างโดย Technical Committee

หลังจากที่มีการตรวจตราที่แน่นหนาและมากขึ้นของทาง NSA ทำให้รูปแบบการติดต่อสื่อสารของผู้ก่อการร้ายต่างๆ นั้นเปลี่ยนไป มีการรักษาความลับของข้อมูลที่มากขึ้นจากเดิม

ที่มา : thehackernews

จากกรณีที่เว็บไซด์ wordpress จำนวนถึง 160000 เว็บไซด์ ถูกนำไปใช้เป็นเครื่องมือ DDoS ได้ เนื่องจาก pingback,trackbacks, remote access จากมือถือ ล้วนแต่เป็น feature ซึ่งทำงานด้วย xmlrpc ทั้งสิ้น

โดยเมื่อดูจากเว็บไซด์ที่ถูกโจมตีจะพบ request ดังนี้

74.86.132.186 - - [09/Mar/2014:11:05:27 -0400] "GET /?4137049=6431829 HTTP/1.0" 403 0 "-" "WordPress/3.8; http://www.

เมื่อวันที่ 7 มิถุนายน 2557 ที่ผ่านมา IEFT (Internet Engineering Task Force) ที่เป็นหน่วยงานที่รับผิดชอบมาตรฐาน RFC ต่างๆ ได้มีการประกาศ RFC ใหม่จำนวนมาก ซึ่งเป็นการแก้ไขการทำงานเดิมของ RFC2616 ซึ่งเป็นหลักการและมาตรฐานการทำงานของ HTTP/1.1 ครับ เนื่องด้วย RFC2616 ถูกสร้างและจัดทำมาตั้งแต่ปี 1999 ซึ่งแต่ก่อนการใช้งานของ HTTP ยังไม่หลากหลายและพลิกแพลงเฉกเช่นปัจจุบัน(เช่น AJAX, HTML5 เป็นต้น) จึงทำให้จำเป็นต้องมีการปรับปรุงและสร้าง RFC ขึ้นมาใหม่เพื่อให้เหมาะสมกับการใช้งานในปัจจุบัน โดย RFC ที่ถูกประกาศขึ้นมาใหม่มีดังนี้

RFC 7230: Message Syntax and Routing สำหรับการแปลความและการจัดการ connection
RFC 7231: Semantics and Content HTTP Method และ Response Code ต่างๆ
RFC 7232: Conditional Requests สำหรับการจัดการ HTTP ในรูปแบบต่างๆตามการใช้งาน Header
RFC 7233: Range Request สำหรับการใช้งาน HTTP Request แบบแบ่งเป็นส่วนๆ(Partitioning)
RFC 7234: Caching สำหรับการจัดการ Caching ใน Browser หรือสื่อกลางต่างๆ
RFC 7235: Authentication สำหรับรายละเอียดการใช้งาน HTTP Authentication
RFC 7236: Authentication Scheme Registrations สำหรับรายละเอียดการเข้าใช้งาน HTTP แบบข้าม Application ต่างๆเช่น การใช้งาน OAuth, Digest เป็นต้น โดยจะอ้างอิงกับ RFC ตัวอื่นๆ
RFC 7237: Method Registrations เป็นเกี่ยวกับความหมายของ Method ต่างๆที่มีการเพิ่มเข้ามาครับ
RFC 7238: the 308 status code สำหรับอธิบายรายละเอียด Response Code 308(Permanent Redirect)
RFC 7239: Forwarded HTTP extension สำหรับอธิบายการทำงานของการเปิดเผยข้อมูล client ที่เข้าใช้งานเว็บไซด์ผ่าน Proxy ทั้งหมด

โดยความแตกต่างระหว่าง HTTP/1.1 ของเก่ากับ HTTP/1.1 สามารถสรุปได้ดังนี้

แก้ไขเรื่องการ inject “ ” หรือการขึ้นบรรทัดใหม่แปลกๆเพื่อป้องกันการโจมตี HTTP Response Splitting
การ limit 2 connection ต่อ server ได้ถูกเอาออกไป
HTTP/0.9 ได้ถูกยกเลิก
Charset ISO-8859-1 ได้ถูกยกเลิก
Server ไม่จำเป็นต้องจัดการทุกๆ Header ที่ขึ้นต้นด้วย Content-* อีกต่อไป
ไม่มีการอนุญาตใช้งาน Content-Range ร่วมกับ PUT Method
เสนอการกำหนดค่า Referrer เป็น about:blank เมื่อไม่มี Referrer Header ปรากฎ เพื่อให้เห็นความแตกต่างระหว่างการที่ “ไม่มี Referrer” และ “เราไม่ต้องการส่ง Referrer ไปให้”
เราสามารถ cache การ Response ที่มี Response Code จำพวก 204,404,405,414 และ 501ได้
Status Code 301, 302 เปลี่ยนไป กลายเป็นอนุญาตให้ user agent เปลี่ยน Method จาก POST ไปเป็น GET ได้
Location Header สามารถเก็บค่า URI ที่เกี่ยวข้องได้เหมือนกับตัวบอกลักษณะที่แยกออกมาได้(Fragment Identifiers)
ยกเลิกการใช้งาน Content-MD5 Header

บทสรุป

เนื่องด้วยรายละเอียดของ RFC ใหม่แต่ละ RFC มีเนื้อหาค่อนข้างเยอะ จึงแนะนำให้ผู้ที่ต้องการเนื้อหาอย่างละเอียดและครบถ้วนควรเข้าไปดูรายละเอียดของ RFC แต่ละ RFC ได้เลยครับ โดยในบทความนี้จะสรุปความแตกต่างระหว่าง HTTP/1.1 ของเก่ากับ HTTP/1.1 ของใหม่ที่ถูกปรับปรุงเท่านั้น และสำหรับ HTTP/2.0 ก็ยังคงต้องรอต่อไป เพราะตอนนี้ยังอยู่ในขั้นตอนการพัฒนาต่อไปครับ

For more information, please contact: +662-615-7005 or contact@i-secure.