Tags:
Node Thumbnail

Thales บริษัทด้านอากาศยานและอาวุธจากฝรั่งเศสเข้าซื้อ Gemalto บริษัทด้านความปลอดภัยข้อมูล ที่อาจจะเกี่ยวข้องกับคนทั่วไปบ้างคือเป็นผู้ผลิตซิมการ์ดให้กับผู้ให้บริการโทรศัพท์มือถือทั่วโลก

Thales เข้าซื้อหุ้นในราคา 51 ปอนด์ต่อหุ้น รวมมูลค่า 1.77 แสนล้านบาท สูงกว่าราคาตลาด 57%

สินค้าของ Gemalto ส่วนใหญ่เกี่ยวข้องกับกระบวนการเข้ารหัส เช่น ซิมการ์ด, ฮาร์ดแวร์ยืนยันตัวตนขั้นที่สอง, พาสปอร์ต, บริการเข้ารหัสข้อมูลในคลาวด์ ขณะที่บริษัทอาวุธอย่าง Thales ก็พยายามขยายตลาดมาด้านความปลอดภัยข้อมูล โดยลงทุนไปแล้วพันล้านยูโร

Node Thumbnail

ไมโครซอฟท์เปิดตัวฟีเจอร์ใหม่ของ Azure ชื่อว่า confidential computing สำหรับลูกค้าที่กังวลเรื่องปัญหาข้อมูลรั่วไหล

ปกติแล้ว Azure เข้ารหัสข้อมูลในฐานข้อมูล SQL Server ตลอดเวลา (Always Encrypted) อยู่แล้ว แต่ตอนที่นำข้อมูลออกมาประมวลผล ย่อมต้องถอดรหัสข้อมูลออกมาก่อนเสมอ เป็นช่องโหว่ที่อาจทำให้ลูกค้ากังวล

Tags:
Node Thumbnail

มีประเด็นมาสักพักใหญ่ๆ ระหว่างรัฐบาลสหรัฐกับซอฟต์แวร์ความปลอดภัย Kaspersky ล่าสุดรัฐบาลสหรัฐนำโดยกระทรวงความมั่นคงแห่งมาตุภูมิ (Department of Homeland Security - DHS) ก็ออกประกาศให้หน่วยงานของรัฐบาลกลางทั้งหมด ต้องรายงานการใช้งานซอฟต์แวร์ของ Kaspersky กลับมายัง DHS ภายใน 30 วัน

จากนั้น DHS จะวางแผนการเลิกใช้ Kaspersky ภายใน 60 วัน แล้วเริ่มดำเนินการเลิกใช้ Kaspersky ต่อไป

เหตุผลสำคัญคือรัฐบาลสหรัฐเกรงว่าจะมีข้อมูลสำคัญรั่วไหล เนื่องจาก Kaspersky ซึ่งเป็นบริษัทจากรัสเซีย มีความใกล้ชิดกับรัฐบาลและหน่วยข่าวกรองของรัสเซีย

Tags:
Node Thumbnail

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมที่เป็นผู้ออกมาตรฐานการเข้ารหัสจำนวนมากในทุกวันนี้ เปิดรับฟังความเห็นร่างเอกสาร NIST SP 800-63B มาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ เพื่อรับฟังความเห็นจากสาธารณะ

เอกสารนี้กำหนดมาตรฐานกระบวนการยืนยันตัวตนให้ปลอดภัย ตั้งแต่กระบวนการเบื้องต้นเช่นการจำกัดจำนวนครั้งที่การยืนยันตัวตนล้มเหลว, การใช้งานการยืนยันตัวตนหลายขั้นตอน แต่ความเปลี่ยนแปลงที่สำคัญคือการเตรียมยกเลิกการยืนยันตัวตนด้วย SMS

การยืนยันตัวตนด้วย SMS ยังคงยอมรับได้ในร่างเอกสาร แต่ประกาศสถานะเป็น deprecated และจะไม่รวมอยู่ในเอกสารนี้เวอร์ชั่นต่อไป

Tags:
Node Thumbnail

Maureen Ohlhausen หนึ่งในกรรมการการค้าสหรัฐฯ (Federal Trade Commission - FTC) ไปร่วมเวทีเสวนาของ The Heritage Foundation ถึงประเด็นความปลอดภัยของข้อมูลออนไลน์ ระบุว่าในกรณีที่ FTC เข้าไปสอบสวนคดีข้อมูลรั่วไหล จะสามารถปิดคดีได้ถึง 70% จนถึงตอนนี้สามารถตกลงการชดเชยในกรณีต่างๆ ได้ถึง 60 กรณีแล้ว

นอกจากการทำงานปิดคดีข้อมูลรั่วไหลแล้ว FTC ยังพยายามทำความเข้าใจกับกระบวนการออกใบรับรองมาตรฐานความปลอดภัย โดยเฉพาะมาตรฐาน PCI-DSS ที่ใช้ตรวจสอบหน่วยงานที่เก็บข้อมูลบัตรเครดิต

Tags:
Node Thumbnail

ในช่วงนี้ที่กระแสการเลือกตั้งประธานาธิบดีสหรัฐอเมริกากำลังมาแรง Hillary Clinton หนึ่งในผู้สมัครจากพรรคเดโมแครต กลับถูกโจมตีจากสาธารณะอย่างมาก โดยเฉพาะในประเด็นเรื่องของการตั้งและใช้อีเมลส่วนตัว เพื่อใช้ในการสื่อสารข้อมูลที่เป็นทางการ ขณะดำรงตำแหน่งเป็นรัฐมนตรีว่าการกระทรวงการต่างประเทศของสหรัฐฯ (ข่าวเก่า) ซึ่งผู้ตรวจการประจำกระทรวง ออกมาระบุแล้วว่าเป็นการละเมิดระเบียบของรัฐบาลกลาง

แม้จะเป็นประเด็นเรื่องการเมือง แต่การใช้อีเมลของ Clinton ในลักษณะนี้กลับสะท้อนถึงปัญหาการใช้ระบบหรือโครงสร้างไอที ซึ่งทำกันเองหรือองค์กรไม่ได้อนุญาต ที่เรียกว่า “Shadow IT” ซึ่งเป็นประเด็นใหญ่ของบทความชิ้นนี้ บทความชิ้นนี้พยายามจะนำเสนอถึงปัญหาของ “Shadow IT” ว่าเป็นอย่างไร มีผลกระทบอย่างไร และควรจัดการอย่างไรครับ

Tags:
Node Thumbnail

มาตรฐาน PCI-DSS ที่ระบุมาตรการความปลอดภัยของผู้ให้บริการรับจ่ายเงินออกรุ่น 3.2 มาตั้งแต่เดือนเมษายน ตอนนี้มาตรฐาน PA-DSS สำหรับผู้พัฒนาซอฟต์แวร์ (software vendor) ก็ถูกปรับขึ้นมาแล้วโดยปรับมาตรฐานหลายส่วนให้ตรงกับ PCI-DSS รุ่นล่าสุด

ความเปลี่ยนแปลงสำคัญ คือ การเข้าถึงสิทธิ์ผู้ดูแลระบบของตัวแอปพลิเคชั่นจากระยะไกลต้องรองรับการยืนยันตัวตนหลายขั้นตอนเช่นเดียวกับ PCI-DSS และผู้ผลิตซอฟต์แวร์จะต้องมอบขั้นตอนการอัพเดตซอฟต์แวร์ โดยระบุถึงขั้นตอนการแจ้งเตือนอัพเดตใหม่, การส่งมอบอัพเดตให้กับลูกค้าอย่างมั่นคงปลอดภัย, และการติดตั้งอัพเดตอย่างมั่นคงปลอดภัยว่าแพตช์และโค้ดที่ถูกแพตช์แล้วยังถูกต้องอยู่

Tags:
Node Thumbnail

มาตรฐานความปลอดภัย PCI DSS ออกเวอร์ชั่น 3.2 โดยความเปลี่ยนแปลงสำคัญคือการเพิ่มเงื่อนไขการล็อกอินด้วยการยืนยันตัวตนสองขั้นตอน

ก่อนหน้านี้เงื่อนไขการยืนยันตัวตนสองขั้นตอนจะจำเป็นต่อเมื่อผู้ดูแลระบบจะล็อกอินเข้าจากภายนอกที่อยู่นอกพื้นที่ที่เชื่อถือได้เท่านั้น แต่หลังจากนี้แม้จะเป็นการล็อกอินจากในเน็ตเวิร์คบริษัทก็ต้องเข้าเงื่อนไขเดียวกัน

สำหรับประเด็นการใช้งาน SSL และ TLS รุ่นเก่าที่มีช่องโหว่ยังคงให้เวลาไปอีกสองปีจนถึงกลางปี 2018 โดย PCI DSS มีส่วนที่ให้รายงานถึงกระบวนย้ายออกจากการเชื่อมต่อที่ไม่ปลอดภัยเช่นนี้ว่าก้าวหน้าไปเพียงใด

Tags:
Node Thumbnail

ไมโครซอฟท์เข้าซื้อบริษัทซอฟต์แวร์ความปลอดภัย Secure Islands จากอิสราเอล เจ้าของผลิตภัณฑ์ด้านความปลอดภัยข้อมูล (data security) ชื่อ IQProtector เพื่อนำมาใช้กับ Azure Rights Management Service บริการคลาวด์ของไมโครซอฟท์เอง

ไมโครซอฟท์ไม่ได้เปิดเผยมูลค่าการซื้อกิจการครั้งนี้ บอกแค่ว่า Secure Islands เป็นพาร์ทเนอร์ใกล้ชิดกับไมโครซอฟท์มานาน หลังการซื้อกิจการแล้ว Secure Islands จะยังขายผลิตภัณฑ์ของตัวเองและให้บริการลูกค้าเดิมต่อไป

ที่ผ่านมา ไมโครซอฟท์ซื้อบริษัทความปลอดภัยจากอิสราเอลมาแล้วหลายราย เช่น Aorato ในปี 2014 และ Adallom เมื่อเดือนกันยายน 2015

Tags:
Node Thumbnail

สำนักข่าว BBC ของอังกฤษ รายงานว่า นักวิจัยจาก Imperial College London ได้ตีพิมพ์รายงานวิจัยชิ้นหนึ่งที่พบว่าแอพของ NHS (National Health Service หรือ หน่วยงานบริการสาธารณสุขแห่งชาติของอังกฤษ) มีช่องโหว่ในกระบวนการส่งข้อมูลบางอย่างซึ่งไม่ได้เข้ารหัส และทำให้สามารถถูกขโมยข้อมูลได้

Tags:
Node Thumbnail

องค์กรประกันคุณภาพข้อมูลแห่งชาติของอังกฤษ (National Technical Authority for Information Assurance - CESG) ออกคำแนะนำการใช้รหัสผ่านฉบับใหม่ ปรับปรุงแนวทางการใช้รหัสผ่านให้ปลอดภัย

คำแนะนำมีหลายข้อ แต่ข้อที่เป็นการเปลี่ยนแปลงหนักๆ คือข้อ 2 ที่ระบุว่าการบังคับเปลี่ยนรหัสผ่านเป็นรอบๆ 30 ถึง 90 วันนั้นเป็นการสร้างภาระให้ผู้ใช้โดยไม่จำเป็น หากรหัสผ่านหลุดไปจริงก็มักจะถูกใช้เจาะระบบในเวลาไม่นาน แนวทางที่ดีกว่าคือการตรวจสอบการใช้รหัสผ่านอย่างต่อเนื่อง แจ้งผู้ใช้เมื่อมีการใช้รหัสผ่านและเปิดช่องทางให้ผู้ใช้รายงานหากมีการใช้รหัสผ่านโดยไม่ได้รับอนุญาต

คำแนะนำของ CESG มีทั้งหมด 7 ข้อ ดังนี้

Tags:
Node Thumbnail

นักวิจัยความปลอดภัยของ FireEye ค้นพบว่าสมาร์ทโฟนของ HTC หลายรุ่น เก็บข้อมูลภาพลายนิ้วมือของผู้ใช้แบบความละเอียดสูงเอาไว้ในตัวเครื่อง โดยมีการป้องกันข้อมูลภาพนั้นน้อยมากหรือไม่มีเลย

ตัวอย่างที่นักวิจัยหยิบยกมานำเสนอในเอกสารรายงานเรื่องนี้ คือการเก็บภาพลายนิ้วมือของผู้ใช้สมาร์ทโฟน HTC รุ่น One Max ซึ่งภาพลายนิ้วมือความละเอียดสูงถูกจัดเก็บในรูปไฟล์ Bitmap

Tags:
Node Thumbnail

มาตรฐาน PCI-DSS 3.0 ออกมาเมื่อปลายปีที่แล้ว ตอนนี้ก็อัพเดตเป็นรุ่น 3.1 เพื่อรองรับช่องโหว่ที่รู้กันทั่วไป เช่น BEAST และ POODLE ส่งผลให้หน่วยงานที่ได้รับรอง PCI-DSS จะไม่สามารถใช้ SSL ทุกรุ่นและ TLS รุ่นแรกๆ ได้หลังจากวันที่ 30 พฤษภาคม 2016

ระหว่างนี้ผู้ที่ยังคงใช้ SSL และ TLS รุ่นแรกๆ จะต้องทำแผนลดผลกระทบจากช่องโหว่ของกระบวนการเข้ารหัสเหล่านี้ มีข้อยกเว้นคือ จุดรับจ่ายเงิน (Point of Sale - POS) จะสามารถใช้งานการเข้ารหัสเหล่านี้ได้ต่อไป หากสามารถยืนยันได้ว่าไม่เสี่ยงต่อการโจมตีช่องโหว่ที่เป็นที่รู้กัน

Tags:
Node Thumbnail

วารสาร Journal of the American Medical Association (JAMA) ซึ่งเป็นวารสารทางการแพทย์ของสหรัฐอเมริกา ได้เผยแพร่งานวิจัยที่ระบุเกี่ยวกับความปลอดภัยและการจัดเก็บข้อมูลเวชระเบียนของผู้ป่วย โดยระบุว่าในช่วงปี 2010 ถึง 2013 มีข้อมูลเวชระเบียนจำนวนกว่า 29 ล้านชุด ได้รับผลกระทบจากการรั่วไหลของข้อมูล โดยกว่าร้อยละ 67 เป็นเวชระเบียนที่จัดเก็บอยู่ในรูปแบบอิเล็กทรอนิกส์ และมีแนวโน้มเพิ่มขึ้นด้วย

Tags:
Node Thumbnail

ทิม คุก ขึ้นพูดสุนทรพจน์ในงาน "White House Summit on Cybersecurity and Consumer Protection" (ที่ซีอีโอบริษัทอื่นหลายบริษัทไม่ยอมไป) สุนทรพจน์ของทิม คุก เน้นยำถึงความสำคัญของข้อมูลส่วนตัว

Tags:
Node Thumbnail

โอบามาประกาศคำสั่งทางบริหาร (Executive Order) สั่งให้หน่วยงานรัฐบาลกลางสร้างศูนย์แลกเปลี่ยนข้อมูล (clearing house) แลกเปลี่ยนข้อมูลการโจมตีทางไซเบอร์ โดยเอกชนจะสามารถเข้าร่วมในศูนย์นี้ได้โดยสมัครใจ

เอกชนที่เข้าร่วมจะสามารถรับข้อมูลเตือนภัย หรือส่งข้อมูลเตือนภัยเข้ามาด้วยก็ได้ อย่างไรก็ดีเจ้าหน้าที่รัฐและเอกชนตามคำสั่งนี้ยังคงมีความรับผิดชอบต่อความเป็นส่วนตัวของผู้ใช้ที่ข้อมูลอาจจะถูกแชร์กันไปมาในศูนย์นี้

Tags:
Node Thumbnail

หลังการเปิดเผยเอกสารของ Edward Snowden ข้อมูลส่วนใหญ่จะเป็นข้อมูลของหน่วยงานข่าวกรองอย่าง NSA, GCHQ, และ DSD แต่อีกหน่วยงานที่ได้รับผลกระทบอย่างหนักคือ NIST ที่เป็นหน่วยงานมาตรฐานอุตสาหกรรม แต่มีงานสำคัญคือการออกมาตรฐานการเข้ารหัสสำหรับหน่วยงานรัฐ ซึ่งมักได้รับความไว้วางใจและนำมาตรฐานเดียวกันไปใช้งานในภาคเอกชนโดยทั่วไป แต่มาตรฐาน Dual_EC_DRBG กลับถูกผลักดันโดย NSA เป็นหลักแม้จะมีปัญหาทางเทคนิคหลายประการ เมื่อปีที่แล้ว NIST ร่างเอกสารแนวทางการออกมาตรฐานเสียใหม่เพื่อเรียกความเชื่อมั่นกลับมา และตอนนี้ร่างนี้ก็มาถึงร่างที่สอง

Tags:
Node Thumbnail

อุปสรรคใหญ่ในการทำการค้าออนไลน์ของเมืองไทยอย่างหนึ่งที่ทุกคนเจอกันคือการรับจ่ายเงินที่ยังทำได้ยาก การค้าออนไลน์จำนวนมากทุกวันนี้ยังอาศัยการโอนเงินแบบตัวต่อตัว ทำให้ไม่มีกระบวนการคืนเงิน เรายังคงได้ยินข่าวการหลอกลวงทั้งลูกค้าถูกพ่อค้าแม่ค้าหลอกลวง หรือฝั่งพ่อค้าแม่ค้าเองที่ถูกลูกค้าหลอกว่าโอนเงินแล้ว

Tags:
Node Thumbnail

มาตรฐานการดูแลข้อมูลการจ่ายเงิน PCI DSS (Payment Card Industry Data Security Standard) เป็นมาตรฐานการเก็บรักษาข้อมูลให้ปลอดภัยที่บริษัทบัตรเครดิตอย่าง Visa และ Mastercard บังคับใช้กับผู้ให้บริการและร้านค้าจำนวนมาก โดยปัจจุบันเราใช้งานเวอร์ชั่น 2.0 อยู่และตามรอบสามปีของมาตรฐานแต่ละรุ่น ปีใหม่นี้มาตรฐาน PCI DSS 3.0 (PDF) ก็จะเริ่มใช้งานแทนโดยมีการปรับเปลี่ยนหลายอย่าง

Tags:
Node Thumbnail

จากงานวิจัยเมื่อปี 2013 โดยนักวิจัยในเยอรมนีซึ่งกล่าวถึงความเสี่ยงต่อการถูกโจรกรรมข้อมูลของแอพจัดการชื่อผู้ใช้และรหัสผ่าน (password manager) ยอดนิยม 21 ตัวบนแอนดรอยด์ พบว่ารหัสผ่านสามารถถูกขโมยได้อย่างง่ายดาย ซึ่งวิธีการคือติดตั้งแอพดักจับรหัสผ่านลงในเครื่อง และเมื่อใดก็ตามที่แอพจัดการชื่อผู้ใช้และรหัสผ่านคัดลอกข้อมูลไปยังคลิปบอร์ด แอพดักจับรหัสผ่านก็จะสามารถขโมยข้อมูลจากคลิปบอร์ดได้นั่นเอง

Tags:
Node Thumbnail

เป็นข่าวใหญ่ด้านความปลอดภัยของผู้ใช้ iOS ไปเมื่อหลายวันก่อนกับ Masque Attack หรือช่องโหว่ที่จะทำให้แอพที่ไม่พึงประสงค์สามารถปลอมตัวเป็นแอพอื่น และล้วงข้อมูลทุกอย่างในเครื่องผู้ใช้ไปได้ วันนี้ทางแอปเปิลได้ชี้แจงถึงปัญหานี้แล้วครับ

แอปเปิลบอกว่าทั้ง OS X และ iOS มีระบบรักษาความปลอดภัยที่จะป้องกันและแจ้งเตือนผู้ใช้ทุกครั้งที่จะลงแอพที่มีความเสี่ยง และชี้ว่ายังไม่มีผู้ใช้รายใดที่ได้รับผลกระทบจากช่องโหว่นี้ รวมไปถึงแนะนำว่าให้ดาวน์โหลดแอพจากแหล่งที่เชื่อถือได้อย่าง App Store เท่านั้น

Tags:
Node Thumbnail

ผู้ใช้ iOS พึงระวังการหลอกล่อให้ติดตั้งมัลแวร์ ซึ่งมันอาจอาศัยช่องโหว่ที่ชื่อ Masque Attack และติดตั้งตัวเองแบบเนียนๆ (ทำได้ทั้งวิธีการผ่านช่องทาง USB และการเชื่อมต่อแบบไร้สาย) เพื่อทำการสูบเอาทุกสิ่งทุกอย่างใน iPhone ไปให้ผู้ไม่หวังดีได้

Tags:
Node Thumbnail

Secure Drives บริษัทสัญชาติอังกฤษเปิดตัว SSD ที่มาพร้อมความสามารถในการทำลายตัวเองเพื่อปกป้องข้อมูลสำคัญของผู้เป็นเจ้าของ

SSD ที่ว่านี้มีด้วยกัน 2 รุ่น คือ Autothysis128s และ Autothysis128t โดยทั้งคู่เป็นหน่วยความจำข้อมูลแบบโซลิดเสตทขนาด 128GB มีระบบทำลายตัวเองซึ่งจะทำงานเมื่อได้รับคำสั่งจากผู้ใช้ สำหรับการสั่งทำลายข้อมูลนั้นผู้ใช้จะต้องส่งข้อความไปยังหมายเลขโทรศัพท์ที่กำหนดไว้โดยเฉพาะ ซึ่งจะมีผลให้ตัว SSD ลบข้อมูลที่เก็บไว้พร้อมทั้งทำลายชิปภายในจนแตก

นอกเหนือจากการสั่งทำลายผ่านการส่งข้อความแล้ว ผู้ใช้สามารถตั้งค่าให้ตัว SSD รุ่นพิเศษนี้ทำลายตัวเองโดยอัตโนมัติได้ในอีกหลายสถานการณ์ (ซึ่งอาจตีความได้ว่ามีการพยายามรุกล้ำเข้าถึงข้อมูลโดยผู้ไม่หวังดี) อันได้แก่

Tags:
Node Thumbnail

จากการเปิดโปงเรื่องการสอดแนมข้อมูลโดย NSA ของสหรัฐอเมริกาที่ทำให้นานาประเทศตื่นตัวทั่วโลก ทำให้เยอรมนีซึ่งเป็นหนึ่งในประเทศที่มีส่วนเกี่ยวข้องในฐานะที่เป็นผู้ถูกกระทำ (มีรายงานว่า NSA ดักฟังข้อมูลจากโทรศัพท์ของ Angela Merkel ผู้นำประเทศของเยอรมนีด้วย) ก็พยายามเฟ้นหามาตรการมาป้องกันการรั่วไหลของข้อมูลสำคัญ ซึ่งหนึ่งในนั้นคือการผันกลับมาใช้ระบบเอกสารแบบแอนะล็อกด้วยการใช้เครื่องพิมพ์ดีด แทนการใช้คอมพิวเตอร์จัดการข้อมูลในรูปแบบไฟล์ดิจิทัล

Tags:
Node Thumbnail

ตั้งแต่เดือนกรกฎาคมของปีหน้าเป็นต้นไป สมาร์ทโฟนแทบทุกเครื่องของสหรัฐอเมริกาจะมีระบบล็อคเครื่องจากระยะไกลเมื่อเจ้าของทำเครื่องหาย

แผนการณ์นี้กำลังจะเป็นจริงได้หลังจากการบรรลุข้อตกลงร่วมกันของผู้ผลิตสมาร์ทโฟนหลายรายอันได้แก่ Apple, Google, HTC, Huawei, Motorola, Microsoft, Nokia และ Samsung ร่วมด้วยผู้ให้บริการเครือข่ายโทรศัพท์มือถือทั้ง AT&T, Sprint, T-Mobile USA, US Cellular และ Verizon ตลอดจนผู้ให้บริการรับประกันโทรศัพท์อย่าง Asurion โดยข้อตกลงนี้ใช้ชื่อว่า "Smartphone Anti-Theft Voluntary Commitment" ซึ่งก็คือข้อตกลงร่วมมือสร้างสมาร์ทโฟนต่อต้านการขโมย ซึ่งที่มาที่ไปของเรื่องนี้มาจากเป้าหมายที่ต้องการกำจัดธุรกิจตลาดมืดที่รับซื้อ-ขายเครื่องสมาร์ทโฟนที่ถูกขโมยมานั่นเอง

Pages