GitHub ประกาศมาตรการใหม่ บังคับผู้ใช้ทุกคนที่ส่งโค้ดเข้าในระบบต้องเปิด 2FA ตามที่ประกาศไว้เมื่อปลายปี 2022 โดยจะเริ่มค่อยๆ บังคับตั้งแต่วันที่ 13 มีนาคมนี้เป็นต้นไป
การบังคับจะเป็นการแจ้งผู้ใช้บางกลุ่ม และเมื่อผู้ใช้ได้รับแจ้งเตือนแล้วจะมีเวลา 45 วันในการเปิด 2FA ขึ้นมาใช้งาน หากไม่เปิดใช้งานตามกำหนดก็จะใช้งานตามปกติไม่ได้จนกว่าจะเปิดใช้งาน
สำหรับกระบวนการใช้งาน 2FA นั้นทาง GitHub แก้ไขปัญหาโดยเฉพาะกรณีที่ผู้ใช้เข้าบัญชีตัวเองไม่ได้เพราะคอนฟิก 2FA ผิดพลาด มาตรการได้แก่
ท่ามกลางกระแสข่าวการหลอกโอนเงินด้วยวิธีต่างๆ ของมิจฉาชีพที่เรียกติดปากว่า "แก๊งคอลเซ็นเตอร์" ซึ่งทางธนาคารแห่งประเทศไทยมีการออกมาตรการ ไปบ้างแล้ว
ล่าสุดธนาคารแห่งประเทศไทยประกาศมาตรการชุดใหญ่ให้ธนาคารนำไปบังคับใช้อย่างเป็นทางการดังนี้
มาตรการป้องกัน
จากกรณี LastPass โดนแฮ็กครั้งใหญ่ สาเหตุมาจากวิศวกร DevOps ที่เข้าถึงระบบ 1 ใน 4 ราย ถูกแฮ็กเครื่องส่วนตัว ผ่านช่องโหว่ของโปรแกรมตัวหนึ่งที่ไม่ระบุชื่อ ทำให้เกิดความกังวลในแวดวงความปลอดภัยไซเบอร์ว่าเป็นช่องโหว่ที่รู้กันเฉพาะแฮ็กเกอร์หรือไม่ เพราะมันอาจถูกใช้ไปเจาะระบบอื่นๆ ต่อได้อีก
ตอนนี้มีเฉลยออกมาแล้วว่าโปรแกรมที่ทำให้โดนแฮ็กคือ Plex ซอฟต์แวร์ media server ชื่อดัง แต่กลับเป็นช่องโหว่เก่าที่ออกแพตช์ตั้งแต่ปี 2020 แล้ววิศวกรรายนี้ดันไม่ยอมอัพเดตเอง
รัฐบาลสหรัฐ ออกแผนยุทธศาสตร์ความมั่นคงไซเบอร์แห่งชาติ (National Cybersecurity Strategy) เป็นกรอบกว้างๆ กำหนดแนวทางป้องกันการโจมตีไซเบอร์ โดยเฉพาะกับโครงสร้างพื้นฐานที่สำคัญของประเทศ
แผนยุทธศาสตร์นี้พูดถึงการรับมือกับกลุ่มผู้ประสงค์ร้าย (threat actors), การแลกเปลี่ยนข้อมูลกลุ่มแฮ็กเกอร์-กลุ่มผู้สร้างมัลแวร์ระหว่างรัฐบาลชาติต่างๆ, การลงทุนด้านงานวิจัยความปลอดภัย ฯลฯ ซึ่งเป็นประเด็นกว้างๆ ที่พูดถึงกันในวงการความปลอดภัยไซเบอร์อยู่แล้ว
HPE หรือ Hewlett Packard Enterprise ประกาศซื้อกิจการ Axis Security บริษัทพัฒนาซอฟต์แวร์ความปลอดภัยบนคลาวด์จากอิสราเอล ซึ่ง HPE บอกว่าดีลนี้จะทำให้โซลูชันความปลอดภัย Secure Access Services Edge (SASE) รองรับความต้องการที่มากขึ้น จากการที่ลูกค้าทำงานแบบรีโมทมากขึ้น และมีการรันแอพพลิเคชันบนคลาวด์มากขึ้นเช่นกัน
ซอฟต์แวร์ความปลอดภัยของ Axis จะเข้ามารวมเป็นส่วนหนึ่งของแพลตฟอร์ม Aruba ของ HPE ในส่วนควบคุม SD-WAN และ Network Firewall ทำให้เป็นโซลูชันที่ครอบคลุมตั้งแต่ Edge จนถึง Cloud ควบคุมแบบ Zero Trust รองรับการเชื่อมต่อจากทุกที่และทุกอุปกรณ์
ดีลดังกล่าวไม่มีการเปิดเผยมูลค่าที่เข้าซื้ออย่างเป็นทางการ
ทีมวิจัยของ ESET รายงานถึงมัลแวร์ BlackLotus ที่มีกลุ่มแฮกเกอร์อ้างกันว่าสามารถใช้มัลแวร์ตัวนี้ฝังไปยังเครื่องของเหยื่อได้แม้เหยื่อจะเปิด Secure Boot เพื่อป้องกันการแก้ไขเคอร์เนลก็ตามที โดยผู้พัฒนาอาศัยช่องโหว่ CVE-2022-21894 ในเคอร์เนลวินโดวส์
ความสามารถในการเจาะทะลุ Secure Boot ทำให้ BlackLotus ฝังอยู่ส่วนลึกที่สุดของซอฟต์แวร์ในเครื่อง และรันในสิทธิ์ระดับสูงมากทำให้แก้ไขเครื่องได้หลายรูปแบบ เช่น ปิดการทำงาน BitLocker และสามารถเพิ่มหรือลดสิทธิ์ของ process ต่างๆ ในเครื่องได้ในกรณีนี้ BlackLotus จะลดสิทธิ์ที่โปรแกรมป้องกันไวรัสจำเป็นต้องใช้งานเพื่อป้องกันไม่ให้ตัวเองถูกตรวจจับได้
ปัญหาโจรขโมยไอโฟนเพื่อขโมยเงินเหยื่อโดยอาศัยการแอบมองรหัสผ่านเครื่อง อาจจะน่ากลัวสำหรับหลายคนที่เพราะความเสียหายนั้นสูงมาก และดูเหมือนผู้ใช้ไอโฟนกำลังตกเป็นเป้าของอาชญากร ล่าสุด Matthew Green นักวิจัยวิทยาการเข้ารหัสลับระบุว่าปัญหานี้สามารถแก้ได้ด้วยการเปิดใช้ฟีเจอร์ Screen Time
ปกติแล้ว Screen Time ใน iOS/iPadOS มีไว้สำหรับควบคุมการใช้งานไม่ให้ผู้ใช้ติดแอปบางประเภทมากเกินไป ทั้งการมอนิเตอร์การใช้งานของตัวเองหรือดูแลการใช้งานของคนในครอบครัว แต่สามารถใช้บล็อคการเปลี่ยน Passcode หรือข้อมูลบัญชีได้ด้วย ทำให้กระบวนการเปลี่ยนรหัสผ่าน iCloud บนโทรศัพท์ต้องรู้ Passcode ของ Screen Time ซึ่งเป็นคนละรหัสกับรหัสผ่านของเครื่อง
Wall Street Journal รายงานถึงกลุ่มอาชญากรในสหรัฐฯ เริ่มพุ่งเป้าโจมตีกลุ่มผู้ใช้ไอโฟนที่เที่ยวผับบาร์ เมื่อคนร้ายได้รหัสผ่านเครื่องแล้วจะโจมตีเหยื่อด้วยการเปลี่ยนรหัสผ่าน สั่งโอนเงินออกจากบัญชีเหยื่อ รวมถึงเปิดบัตรเครดิตในชื่อเหยื่อไปใช้งาน
ตำรวจเชื่อว่าอาชญากรทำงานเป็นกลุ่ม อาจจะมีคนเข้ามาชวนคุยและแอบมองรหัสผ่านเครื่อง หรืออาจจะมีคนแอบถ่ายรหัสผ่านจากด้านหลัง จากนั้นเมื่อสบโอกาสก็จะขโมยโทรศัพท์จากเหยื่อไปตรงๆ
น.ส.สิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการ สายนโยบายระบบการชำระเงินและเทคโนโลยีทางการเงิน ธนาคารแห่งประเทศไทย (ธปท.) ระบุถึงการอัพเดตแอปธนาคารหลายแห่งในช่วงนี้ที่เริ่มตรวจสอบแอปที่ใช้สิทธิ Accessibility และหากพบแล้วจะไม่ยอมให้ใช้งาน ว่าต้องมีเงื่อนไขที่ไม่กระทบผู้ใช้ทั่วไป
การติดตั้งโปรแกรมบนแอนดรอยด์จากนอกสโตร์ผ่านไฟล์ APK และแอปมุ่งร้ายอาศัยสิทธิ์ Accessibility เพื่อควบคุมเครื่องของเหยื่อนับเป็นแนวทางที่คนร้ายใช้งานอย่างต่อเนื่องในช่วงหลังจนเป็นที่เรียกกันว่าแอปดูดเงิน
ธนาคารกสิกรไทยประกาศยกเลิกการแนบลิงก์ใน SMS ทั้งหมดตั้งแต่วันนี้เป็นต้นไป ยกเว้นเฉพาะข้อมูลที่ลูกค้าขอจากธนาคารโดยตรงเท่านั้น
แนวทางนี้นับว่าตรงกับคำสั่งของธนาคารกลางสิงคโปร์ที่สั่งให้ธนาคารทุกแห่งหยุดส่งลิงก์ใน SMS ตั้งแต่เดือนมกราคม 2022 แต่มาตรการของสิงคโปร์นั้นห้ามส่งลิงก์ในอีเมลด้วย
ช่วงสองสามปีที่ผ่านมาปัญหาบัญชีถูกแฮกยังคงเป็นปัญหาใหญ่ของระบบความปลอดภัยจำนวนมาก แม้บริการต่างๆ จะพยายามต่อสู้กับการโจมตีบัญชีผู้ใช้ช่องทางต่างๆ ทั้งการเปิดการล็อกอินสองขั้นตอน หรือการตั้งกฎรหัสผ่านให้ยากขึ้นเรื่อยๆ แม้ว่า NIST จะบอกให้เลิกตั้งกฎไปแล้ว ขอแค่อย่าใช้รหัสที่เคยหลุดมาแล้วก็พอก็ตามที แต่ผลสุดท้ายเรายังเห็นผู้ใช้ตั้งรหัสผ่านซ้ำกันไปมา ไม่ยอมเปิดใช้ฟีเจอร์ล็อกอินสองขั้นตอนหากไม่ใช่บัญชีองค์กรที่บังคับ หรือหากบังคับก็จะเลือกช่องทางที่สะดวกที่สุด เช่น SMS แต่ปลอดภัยน้อยที่สุด
ซัมซุงออกฟีเจอร์ใหม่ชื่อ Message Guard คอยตรวจเช็คไฟล์รูปภาพที่ส่งมาทางข้อความแชทหรือ SMS/MMS ว่าแอบฝังมัลแวร์มาด้วยหรือไม่
ซัมซุงบอกว่าการส่งรูปภาพทางแชทมีจุดอ่อนที่ไฟล์ภาพจะถูกโหลดมาแสดงผลโดยอัตโนมัติ โดยที่ผู้ใช้ไม่ต้องคลิกเปิดดูภาพเลย (zero-click exploit) ซึ่งแฮ็กเกอร์อาจใช้ช่องทางนี้ฝังสคริปต์ที่ทำงานกับช่องโหว่ของซอฟต์แวร์โทรศัพท์ได้ (ตัวอย่างของมัลแวร์ Pegasus ที่ใช้ช่องโหว่ของไลบรารีภาพ iOS)
วันนี้ Cloudflare รายงานว่าบริษัทป้องกันการโจมตีด้วยวิธี DDoS ครั้งใหญ่ที่สุดได้สำเร็จ โดยการโจมตีคราวนี้เกิดขึ้นเป็นเวลาราว 5 นาทีเท่านั้น แต่ส่งรีเควสต์ยิงกระหน่ำที่ราว 50-70 ล้านครั้งต่อวินาที และขึ้นไปพีคสุดที่ 71 ล้านครั้งต่อวินาที
Cloudflare ระบุว่าการโจมตีมาจาก IP กว่า 30,000 IP ที่เป็นของผู้ให้บริการคลาวด์หลายเจ้า ซึ่งมีเป้าหมายโจมตีลูกค้าของ Cloudflare ที่มีทั้งผู้ให้บริการเกมชื่อดัง, บริษัทคริปโต, โฮสติ้งต่างๆ ซึ่ง Cloudflare ระบุว่าได้ทำงานร่วมกับผู้ให้บริการคลาวด์เหล่านี้เพื่อลดการโจมตี และก่อนหน้านี้ได้เปิดตัวบริการ Botnet Threat Feed for Service Providers ที่จะคอยรายงานว่ามี IP ใดของแต่ละเจ้าที่กำลังโจมตี DDoS อยู่
1Password ผู้ให้บริการระบบจัดการรหัสผ่าน ประกาศเดินหน้าสนับสนุนแนวทาง Passkey ให้เป็นมาตรฐานของการล็อกอินยืนยันตัวตนเต็มรูปแบบ โดยตั้งแต่กลางปีนี้เป็นต้นไป (ฤดูร้อนอเมริกา) 1Password จะล็อกอินใช้งานด้วย Passkey เท่านั้น ไม่มีการกรอกรหัสผ่านรูปแบบเดิมอีกแล้ว รวมถึงผู้สมัครใช้งานใหม่ก็ไม่ต้องตั้งรหัสผ่านอีกต่อไป
วิธีการดังกล่าว 1Password ใช้คำว่า All In หรือไปแบบเต็มตัว ไม่มีทางเลือกอื่นอีกแล้ว ซึ่งบริษัทเคยเปิดตัวรองรับ Passkey ไปเมื่อปลายปีที่แล้ว
Reddit ยอมรับว่าถูกแฮ็กระบบภายใน ผ่านบัญชีของพนักงานที่ถูก phishing แต่ยังไม่พบข้อมูลของผู้ใช้รั่วไหล
Reddit ค้นพบการแฮ็กครั้งนี้เมื่อวันที่ 5 กุมภาพันธ์ 2023 โดยแฮ็กเกอร์พยายามส่งลิงก์ที่หน้าตาเหมือนเว็บไซต์ภายในให้พนักงาน เพื่อหลอกเอารหัสผ่านและ token จาก 2FA ซึ่งประสบความสำเร็จ ผลที่ได้คือแฮ็กเกอร์เข้าถึงเอกสารภายใน ข้อมูลของพนักงานจำนวนหนึ่ง โค้ด และแดชบอร์ดข้อมูลธุรกิจ แต่เข้าไม่ถึงระบบโปรดักชันที่รัน Reddit รวมถึงข้อมูลของลูกค้า
หลังจากค้นพบการแฮ็ก ทีมความปลอดภัยได้สอบสวนและปรับปรุงระบบ แต่ก็ย้ำเตือนว่าจุดอ่อนที่สุดย่อมเป็นมนุษย์ดังเช่นในเคสนี้
สำนักงานผู้ตรวจการกระทรวงมหาดไทยสหรัฐฯ (Department of Interior - DOI) รายงานถึงการตรวจสอบรหัสผ่านในระบบพบว่ามีการใช้รหัสผ่านที่อ่อนแอจำนวนมาก และผู้ตรวจสอบสามารถหารหัสผ่านจากค่าแฮชได้ถึง 16% ของผู้ใช้ทั้งหมดที่มีอยู่ 85,944 คนได้ภายใน 90 นาที และเมื่อหารหัสต่อไปก็สามารถหารหัสผ่านเจอถึง 21% ของผู้ใช้ทั้งหมด
GitHub ประกาศว่าต้นเดือนธันวาคมที่ผ่านมาโค้ดของบริษัทถูกแฮกเกอร์ดาวน์โหลดออกไป แม้โดยรวมแล้วจะไม่มีความเสี่ยงต่อผู้ใช้เป็นพิเศษ แต่ไฟล์กุญแจเซ็นรับรองโค้ด (code signing) ก็ถูกดาวน์โหลดออกไปด้วย ทำให้มีความเสี่ยงว่าคนร้ายอาจจะสร้างโปรแกรมโดยปลอมตัวเป็น GitHub ได้ แม้ว่าตัวกุญแจจะเข้ารหัสไว้และคนร้ายไม่น่าจะถอดรหัสได้ก็ตาม
Riot Games เผยรายละเอียดการถูกแฮ็กระบบ จนทำให้ซอร์สโค้ดของเกมดังอย่าง League of Legends, Teamfight Tactics และระบบป้องกันการโกง (ตัวเก่า) รั่วไหลออกไปสู่มือแฮ็กเกอร์
แฮ็กเกอร์ยังส่งอีเมลมาเรียกค่าไถ่แลกกับซอร์สโค้ดชุดนี้ ซึ่ง Riot Games ประกาศชัดว่าจะไม่จ่ายเงิน ด้วยเหตุผลว่าไม่มีข้อมูลผู้เล่นรั่วไหล ผลกระทบมีเพียงแค่กลุ่มผู้โกงเกมอาจสร้างระบบโกงที่ดีขึ้นจากการเห็นซอร์สโค้ดของเกม ซึ่งทีมงานฝั่ง anticheat จะเตรียมมาตรการต่างๆ ไว้รับมือ หากเจอการโกงแบบใหม่ๆ ก็พร้อมเข้าไปจัดการทันที
Riot Games ยังบอกว่าในซอร์สโค้ดที่หลุดออกไป อาจมีฟีเจอร์หรือโหมดเกมใหม่ๆ ที่ทดลองทำอยู่ และอาจไม่ถูกนำมาใช้จริงเสมอไป ดังนั้นหากแฟนๆ เห็นข่าวฟีเจอร์หลุดเหล่านี้ก็ไม่ควรคาดหวังว่าจะได้ใช้งานกัน
Thinkst Canary บริษัทให้บริการความปลอดภัยไซเบอร์ด้วยแนวทางขุดบ่อล่อ (honeypot) เปิดบริการเลขบัตรเครดิตปลอมที่จะแจ้งเตือนเมื่อมีการใช้งาน สำหรับวางไว้ร่วมกับข้อมูลอื่นว่าไฟล์หลุดหรือไม่
Canarytoken เดิมมีโทเค็นแบบอื่นๆ เพื่อล่อแฮกเกอร์แบบนี้อยู่แล้ว เช่น กุญแจ AWS, DNS (ตรวจสอบว่าโดเมนถูกคิวรี), หรืออีเมล แต่เพิ่งเพิ่มบริการเลขบัตรเครดิต บริการนี้เป็นบริการฟรี
แนวทางการใช้งานเลขบัตรเครดิตปลอมแบบนี้อาจจะใส่ไปในฐานข้อมูลผสมกับข้อมูลลูกค้า หากเลขบัตรนี้ถูกใช้งานก็แสดงว่าฐานข้อมูลชุดนั้นรั่วไหล หรืออาจจะใช้ตรวจสอบกับพนักงานภายในว่าทำข้อมูลหลุดหรือเอาข้อมูลที่มีคนเผลอส่งให้ไปใช้งานหรือไม่
PayPal ส่งอีเมลแจ้งเตือนผู้ใช้งาน (บางส่วน) ว่าพบการล็อกอินเข้าบัญชีของผู้ใช้ โดยใช้รหัสผ่านที่หลุดมาจากที่อื่น (ไม่ใช่ PayPal ทำหลุดเอง) แต่ยังไม่พบการทำธุรกรรมที่ผิดปกติ
PayPal บอกว่าค้นพบการเข้าถึงบัญชีกลุ่มนี้ในวันที่ 20 ธันวาคม 2022 และคาดว่าเหตุการณ์เข้าถึงเกิดขึ้นราววันที่ 6-8 ธันวาคม 2022 มีผู้ใช้ได้รับผลกระทบ 34,942 ราย ข้อมูลที่ถูกเข้าถึงได้ประกอบด้วยชื่อ ที่อยู่ หมายเลขประกันสังคม (SSN) หมายเลขภาษี และวันเกิด
บัญชีที่ได้รับผลกระทบถูกรีเซ็ตรหัสผ่านแล้ว และ PayPal แนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านของบัญชีอื่นๆ หากใช้รหัสผ่านเดียวกัน รวมถึงเปิดใช้การล็อกอินแบบ 2FA ด้วย
Mailchimp ผู้ให้บริการระบบอีเมลมาร์เก็ตติ้ง รายงานการถูกโจมตีเมื่อวันที่ 11 มกราคมที่ผ่านมา โดยใช้ Social Engineering เข้าถึงข้อมูลผ่านระบบของฝ่ายบริการลูกค้า โดยผู้โจมตีสามารถเข้าถึงบัญชีลูกค้า Mailchimp ได้ 133 บัญชี โดยไม่มีการโจมตีเข้ามาถึงระบบ หรือข้อมูลส่วนบุคคล
ทั้งนี้ Mailchimp ได้แจ้งไปยังลูกค้าทั้งหมดที่ได้รับผลกระทบภายใน 24 ชั่วโมง หลังจากพบการโจมตี โดย TechCrunch ระบุว่าลูกค้ารายใหญ่รายหนึ่งที่ได้รับผลกระทบคืออีคอมเมิร์ซ WooCommerce ซึ่งได้แจ้งไปยังลูกค้าที่รับอีเมลการตลาด ว่าระบบได้รับผลกระทบแต่ไม่มีข้อมูลลูกค้าหลุดออกไป
ก่อนหน้านี้ Mailchimp ก็เคยถูกโจมตีด้วยวิธีการคล้ายกัน
Bitwarden ผู้ให้บริการซอฟต์แวร์จัดการรหัสผ่านโอเพนซอร์สชื่อดังได้ประกาศเข้าซื้อกิจการ Passwordless.dev บริษัทสัญชาติสวีเดนผู้พัฒนา API สำหรับการเปิดให้เว็บไซต์ต่างๆ รองรับการล็อกอินแบบไร้รหัสผ่านได้ง่ายๆ
บริการของ Passwordless.dev นั้นพัฒนาขึ้นบนมาตรฐานกลางอย่าง WebAuthn ที่รองรับการล็อกอินด้วย Face ID, Windows Hello, สแกนนิ้ว และ security key โดยที่นักพัฒนาไม่ต้องศึกษามาตรฐานของ W3C รวมถึงเสี่ยงพัฒนาเองแล้วเกิดช่องโหว่ด้านความปลอดภัย
ธนาคารแห่งประเทศไทยและสมาคมธนาคารไทยแถลงข่าวถึงกรณีที่มีเหยื่อถูกโจมตีเพื่อดูดเงินออกจากบัญชีจำนวนมาก พบว่ากรณีดังกล่าวไม่ได้เกิดจากสายชาร์จปลอมแต่อย่างใด แต่เหยื่อถูกหลอกให้ติดตั้งมัลแวร์
ทั้งสองหน่วยงานแนะนำประชาชนให้ป้องกันตัวเอง และลดความเสียหาย 5 ข้อ ได้แก่
CircleCI เปิดเผยรายละเอียดการถูกแฮ็กระบบในช่วงปลายปี 2022 ที่ผ่านมา
CircleCI ระบุว่าตรวจพบความเคลื่อนไหวผิดปกติในช่องทางการล็อกอิน GitHub OAuth ของลูกค้ารายหนึ่ง จึงเริ่มตรวจสอบ และร่วมมือกับ GitHub สลับ OAuth token ของลูกค้าทั้งหมด
Royal Mail หรือไปรษณีย์สหราชอาณาจักรพบ "เหตุการณ์ทางไซเบอร์" (cyber incident) โดยไม่บอกรายละเอียดเพิ่มเติมว่าเกิดเหตุอะไร แต่ระบบที่ได้รับผลกระทบหนักคือระบบส่งไปรษณีย์ข้ามประเทศส่งผลให้ไม่สามารถส่งพัสดุออกนอกประเทศได้ในช่วงนี้ และแนะนำให้ลูกค้าที่ต้องการส่งพัสดุให้รอไว้ก่อน ส่วนจดหมายและพัสดุในประเทศยังให้บริการได้แต่จะมีความล่าช้าบ้าง
ทางโฆษก Royal Mail ระบุว่ากำลังสอบสวนเหตุการณ์ครั้งนี้ และขอความช่วยเหลือผู้เชี่ยวชาญภายนอกรวมถึงแจ้งหน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์แล้ว
โดยปกติ Royal Mail รับส่งพัสดุออกนอกประเทศเฉลี่ยวันละ 200,000 รายการ แต่จดหมายและพัสดุในประเทศนั้นปริมาณสูงกว่ามาก
ที่มา - BBC