Tags:

พล.อ.สมหมาย เกาฏีระ ผู้บัญชาการทหารสูงสุดคนใหม่ (รับตำแหน่ง 1 ตุลาคม 2558) นัดประชุมผู้บัญชาการเหล่าทัพครั้งแรกของปีงบประมาณ 2559 เมื่อวันที่ 19 ตุลาคมที่ผ่านมา มีประเด็นหารือหลายอย่าง

ประเด็นที่น่าสนใจคือ พล.อ.สมหมาย ย้ำว่าจะต้องตั้ง "กองสงครามไซเบอร์" ควบคู่กับยุทธศาสตร์ไซเบอร์ของกองทัพไทย เพื่อรับมือกับสงครามไซเบอร์ที่มีความรุนแรงเพิ่มขึ้น อย่างไรก็ตาม ตอนนี้ยังไม่มีรายละเอียดของกองสงครามไซเบอร์ว่าจะมีลักษณะเป็นอย่างไร

พล.อ. ประวิตร วงษ์สุวรรณ รองนายกรัฐมนตรี และรัฐมนตรีว่าการกระทรวงกลาโหม ให้สัมภาษณ์ในประเด็นนี้ว่าเป็นนโยบายเรื่องปฏิรูปกองทัพ โดยกระทรวงกลาโหมจะต้องรับผิดชอบการป้องกันภัยคุกคามรูปแบบใหม่ และไม่เกี่ยวกับนโยบาย Single Gateway แต่อย่างใด

แนวทางการตั้งกองกำลังด้านไซเบอร์ของกองทัพไม่ใช่เรื่องใหม่ในต่างประเทศ อย่างในสหรัฐอเมริกาเองก็มี United States Cyber Command มาตั้งแต่ปี 2009

ที่มา - กองบัญชาการกองทัพไทย, เดลินิวส์, มติชน, สำนักข่าวไทย

Tags:
France

บัตรเครดิตแบบชิปที่บ้านเราใช้งานโดยทั่วไปยังคงไม่มีรายงานการปลอมแปลงในโลกความเป็นจริง ช่วยลดปริมาณการใช้บัตรโดยอาชญากรได้อย่างมาก ในยุโรปหลายประเทศบังคับให้ต้องยืนยันตัวตนด้วยสองปัจจัย เช่น ตัวบัตรชิป และรหัสผ่าน (PIN) ทำให้แม้บัตรจะสูญหายแต่อาชญากรก็นำไปใช้งานไม่ได้ แต่รายงานล่าสุดพบว่าอาชญากรสามารถข้ามระบบตรวจสอบรหัสผ่านได้สำเร็จ ทำให้สามารถใช้บัตรที่ขโมยมาไปจ่ายเงินได้แล้ว

คดีนี้เกิดขึ้นมาตั้งแต่ปี 2011 เมื่อบัตรที่ถูกขโมยไปจากฝรั่งเศสกลับถูกใช้งานได้สำเร็จในเบลเยียม ตำรวจตามรอยจากประวัติการใช้งาน และเทียบข้อมูลกับหมายเลขโทรศัพท์มือถือที่ใช้งานในย่านเดียวกัน จนกระทั่งจับตัวหญิงสาวอายุ 25 ปีพร้อมสินค้าจำนวนมากกำลังนำไปขายในตลาดมืด จากนั้นจึงขยายผลจับกุมชายอีกสี่คน พร้อมบัตรเครดิตที่ถูกขโมยมา 25 ใบ

Tags:
Marshmallow

Android 6.0 Marshmallow เปิดตัวมาได้สักระยะ ความเปลี่ยนแปลงสำคัญของรุ่นนี้คือกูเกิลพยายามทำให้อุปกรณ์ส่วนใหญ่เข้ารหัสข้อมูลเป็นมาตรฐาน

ข้อกำหนดความเข้ากันได้กับแอนดรอยด์ (Android Compatibility Definition) ระบุให้อุปกรณ์ทุกชิ้นมีความสามารถเข้ารหัส AES สูงกว่า 50MiB/s จะต้องเข้ารหัสเป็นค่าเริ่มต้นเสมอ ยกเว้นเฉพาะในกรณีที่เป็นอุปกรณ์ที่มีหน่วยความจำต่ำ

ซีพียูสถาปัตยกรรม ARMv8 และ Atom รุ่นใหม่ๆ ล้วนรองรับชุดคำสั่งเร่งความเร็วเข้ารหัส AES ทั้งหมดแล้วในแง่ประสิทธิภาพการเข้ารหัสจึงไม่น่าเป็นคอขวดอีกต่อไป (Apple A7 เข้ารหัส AES ได้สูงสุดถึง 1.6GiB/s) ข้อจำกัดประการเดียวคือเรื่องแรมเท่านั้น

Tags:
Let's Encrypt

Let's Encrypt ปล่อยใบรับรองทดสอบมาแล้วหนึ่งเดือนเต็ม ตอนนี้ทางโครงการก็ประกาศว่าทาง IdenTrust มารับรอง root CA ของโครงการ (cross-sign) ทำให้ใบรับรองทั้งหมดได้รับความเชื่อถือจากเบราว์เซอร์แล้ว

ทาง IdenTrust รับรองให้ intermediate CA ของ Let's Encrypt สองชุด ได้แก่ Let’s Encrypt Authority X1 และ Let’s Encrypt Authority X2 ตอนนี้ถ้าใครเข้าเว็บทดสอบก็จะไม่มีคำเตือนจากเบราว์เซอร์แล้ว

กำหนดการเริ่มปล่อยใบรับรองฟรีจะเริ่มวันที่ 16 พฤศจิกายนนี้

ที่มา - Let's Encrypt

Tags:
CIA

มีแฮ็กเกอร์รายหนึ่งอ้างว่าแฮ็กบัญชีอีเมลส่วนตัวบน AOL ของ John Brennan ผู้อำนวยการหน่วยข่าวกรองสหรัฐ (CIA) และปล่อยข้อมูลที่ได้จากบัญชี AOL ของเขาสู่สาธารณะ

จุดที่น่าสนใจคือบัญชี AOL ของ Brennan เป็นบัญชีส่วนตัว แต่กลับมีข้อมูลเกี่ยวข้องกับงานของรัฐบาลอยู่จำนวนหนึ่ง เช่น ข้อมูลส่วนตัวของผู้บริหารระดับสูงของ CIA และเอกสารสำคัญอื่นๆ

แฮ็กเกอร์รายนี้ให้สัมภาษณ์กับหนังสือพิมพ์ New York Post ว่ายังเป็นนักเรียนชั้นไฮสกูล ไม่ใช่คนมุสลิม แต่ไม่เห็นด้วยกับนโยบายต่างประเทศของสหรัฐ และสนับสนุนปาเลสไตน์ ส่วนวิธีการแฮ็กใช้กระบวนการ social engineering โดยหลอกพนักงานของบริษัท Verizon ให้บอกข้อมูลส่วนตัวของ Brennan เพื่อใช้รีเซ็ตรหัสผ่านเข้าบัญชี AOL อีกทีหนึ่ง

ตอนนี้ยังไม่มีคำยืนยันว่าการแฮ็กครั้งนี้เกิดขึ้นจริงตามที่กล่าวอ้างหรือไม่ครับ

ที่มา - New York Post, Ars Technica

Tags:
Samsung

มาช้าแต่ยังดีกว่าไม่มาสำหรับซัมซุง ที่เพิ่งประกาศอัพเดตเพื่อความปลอดภัยทุกเดือนตามแนวทางของกูเกิลที่มีต่อช่องโหว่ Stagefright ที่มีข่าวมาได้พักใหญ่แล้ว

รายละเอียดการอัพเดตของซัมซุงละเอียดกว่ารายอื่นๆ เพราะนอกจากจะสัญญาแล้ว ยังมาพร้อมกับรายชื่อรุ่นที่จะได้อัพเดตรายเดือนด้วย ทั้งหมดเป็นรุ่นเรือธงที่วางขายในปี 2014-2015 ทั้งสิ้น รายชื่อเต็มๆ ตามนี้

  • Galaxy S5
  • Galaxy S6/S6 edge/S6 edge+
  • Galaxy Note 4
  • Galaxy Note Edge
  • Galaxy Note 5
  • Galaxy Tab S และ Tab S2

รายละเอียดอื่นๆ สามารถติดตามได้จากบล็อกความปลอดภัยของซัมซุงครับ

ที่มา - SlashGear

Tags:
Adobe

เมื่อวาน Trend Micro รายงานช่องโหว่ใหม่ของ Flash คือช่องโหว่ CVE-2015-7645 ซึ่งมีวิกฤตระดับที่มีการโจมตีโดยใช้ช่องโหว่นี้มาแล้ว ตอนนี้ Adobe ก็ออกแพทซ์มาแล้ว เร็วกว่าที่คาดไว้คือวันที่ 19 ตุลาคมนี้

สำหรับช่องโหว่นี้ Adobe ให้อยู่ในความสำคัญระดับ 1 ทุกแพลตฟอร์ม (ยกเว้นบน Linux ให้ความสำคัญระดับ 3) จึงแนะนำให้ผู้ใช้ Flash ทุกคนและทุกแพลตฟอร์มอัพเดตทันทีครับ

ที่มา - The Next Web, Adobe Security Bulletin

Tags:
Chrome

Chrome 46 ประกาศนโยบายใหม่ให้กับเว็บที่ปรับไปใช้ HTTPS แต่มีความผิดพลาดเล็กน้อย เช่นการใส่ภาพจากเว็บที่เป็น HTTP (mixed content) แม้ว่าการที่มีเนื้อหาบางส่วนส่งมายังเบราว์เซอร์โดยไม่เข้ารหัส แต่โดยทั่วไปแล้วก็ยังปลอดภัยกว่าเว็บที่เป็น HTTP

แนวทางนี้เว็บที่เป็น HTTPS แต่ดึงเนื้อหาจาก HTTP จะไม่แสดงกุญแจสีเขียวแต่เป็นโลโก้รูปเอกสารพร้อมกับบอกว่าส่งข้อมูลผ่าน HTTPS ทางทีมงานเชื่อว่าการเปลี่ยนแปลงเช่นนี้ทำให้ผู้ใช้โดยทั่วไปไม่รู้สึกว่าเป็นการเตือนว่าอันตราย เป็นการสนับสนุนให้เว็บที่อาจจะยังปรับปรุงไปใช้ HTTPS ทั้งหมดไม่ได้ ตัดสินใจเปิด HTTPS ตลอดเวลาได้ง่ายขึ้น

ที่มา - Google Online Security

Tags:
Adobe

หลังจากเมื่อวานนี้ทางอโดบีออกแพตช์ Flash ช่องโหว่สำคัญ ทาง Trend Micro ก็ออกมารายงานช่องโหว่อีกตัวหนึ่ง คือ CVE-2015-7645 เป็นช่องโหว่ระดับวิกฤติที่มีการโจมตีแล้ว

กลุ่มที่ใช้ช่องโหว่นี้ทาง Trend Micro ตั้งชื่อให้ว่ากลุ่ม Pawn Storm อาศัยการส่งอีเมลข่าวการเมืองระหว่างประเทศไปยังเป้าหมายอย่างเจาะจงกลุ่ม เช่น หน่วยงานรัฐและสื่อมวลชนในสหรัฐฯ และประเทศพันธมิตร, กลุ่มต่อต้านรัฐบาลรัสเซีย, สื่อ ทหาร และหน่วยงานรัฐบาลยูเครน, กลุ่มชาตินาโต้

ทางอโดบีออกมารับทราบช่องโหว่นี้แล้ว โดยยืนยันว่ากระทบ Adobe Flash Player บนวินโดวส์ แมค และลินุกซ์ คาดว่าจะออกแพตช์ได้ภายในวันที่ 19 ตุลาคมนี้

ระหว่างนี้ก็หวังว่าเราจะไม่ได้อยู่ในกลุ่มเป้าหมาย

ที่มา - Trend Micro

Tags:
FCC

กลุ่ม Bufferbloat และผู้เชี่ยวชาญอินเทอร์เน็ตหลายรายรวมถึง Vint Cerf ลงนามในจดหมายเปิดผนึกถึง FCC เรียกร้องให้แก้ไขร่างข้อบังคับการขออนุญาตเราท์เตอร์ที่ปรับแต่งคลื่นด้วยซอฟต์แวร์ได้ (software defined radio - SDR) เพื่อให้อินเทอร์เน็ตมีความปลอดภัยมากยิ่งขึ้น

ก่อนหน้านี้การนำเสนอข้อบังคับนี้ มีข้อหนึ่งระบุว่าผู้ผลิตต้องมีมาตรการป้องกันการปรับแต่งซอฟต์แวร์ในตัวเราท์เตอร์ รวมถึงการห้ามติดตั้งเฟิร์มแวร์อิสระอย่าง OpenWRT ทำให้ผู้สนับสนุนเฟิร์มแวร์โอเพนซอร์สแสดงความไม่พอใจ

ข้อเสนอของกลุ่ม Bufferbloat มีด้วยกัน 5 ข้อ

Tags:
Adobe

ไมโครซอฟท์ปล่อยอัพเดตความปลอดภัยสำหรับเดือนตุลาคม มีอัพเดตทั้งหมด 6 รายการเป็นอัพเดตสำคัญระดับวิกฤติ 4 รายการ และระดับสำคัญ 2 รายการ ช่องโหว่ส่วนมากเกี่ยวกับวินโดวส์และเบราว์เซอร์ทั้ง IE และ Edge ก็ควรรีพอัพเดตกันครับ

แต่รอบนี้นอกจากการอัพเดตช่องโหว่แล้ว รายการ Security Advisories ยังออกอัพเดตอีกสี่รายการได้แก่ SA-2960358 ปิดการทำงานของ RC4 สำหรับ .NET ที่ทำงานบน Windows 10 และ SA-3042058 ที่รองรับการเข้ารหัสแบบ AES-GCM ทั้งแบบ 128 บิตและ 256 บิต, SA-3097966 ยกเลิกใบรับรองของ D-Link ที่เผลออัพโหลดขึ้น GitHub ไปก่อนหน้านี้, และ SA-2755801 เป็นการปล่อยอัพเดต Flash ต่อมาจากอัพเดตความปลอดภัยของอโดบีที่ปล่อยมาวันเดียวกัน

สำหรับช่องโหว่ของอโดบีมีช่องร้ายแรงระดับวิกฤติ (ความสำคัญ 1 แปลว่ามีความเป็นไปได้ว่ากำลังมีการโจมตี หรือไม่ก็มีการโจมตีไปแล้ว) อัพเดตออกพร้อมกันสำหรับทุกเบราว์เซอร์หลัก สำหรับรายการนี้ทุกคนทุกเบราว์เซอร์ควรรีบอัพเดต

ที่มาของช่องโหว่ของอโดบีค่อนข้างน่าสนใจ มีรายการที่แจ้งผ่านทาง Chromium Vulnerability Rewards Program หนึ่งรายการ, HP ZDI 4 รายการ, Project Zero 1 รายการ, Qihoo 360 2 รายการ, Alibaba Security Research Team 1 รายการ, Tencent 1 รายการ จะเห็นว่ารอบนี้ทีมวิจัยจากจีนรายงานช่องโหว่จำนวนมาก

ที่มา - Adobe, TechNet MS15-OCT

Tags:
NETGEAR

Netgear ปล่อยเฟิร์มแวร์รุ่นอัพเดตแก้ช่องโหว่ที่ทำให้เราท์เตอร์ถูกเจาะเพื่อส่งข้อมูล DNS ของผู้ใช้ไปยังเซิร์ฟเวอร์ที่แฮกเกอร์ควบคุม โดยเฟิร์มแวร์รุ่นใหม่ เป็นรุ่น N300-1.1.0.32_101.img

เราท์เตอร์ที่ได้รับผลกระทบได้แก่ JNR1010v2, WNR614, WNR618, JWNR2000v5, WNR2020, JWNR2010v5, WNR1000v4, และ WNR2020v2 ในข่าวเก่าที่รายงานช่องโหว่นี้ ผู้ใช้ pattharaphol ใน Blognone ได้เข้ามาระบุในข่าวเก่าระบุไว้ว่ามีรุ่นที่เข้าไทยรุ่นเดียวคือ JWNR2010v5 ก็ขอให้ตรวจสอบและรีบอัพเดตกันครับ

ที่มา - Netgear, Threat Post

Tags:
CAT Telecom

ผู้ที่สนใจด้านความปลอดภัยคอมพิวเตอร์ต้องมีความรู้หลากหลาย แต่ความรู้ความเชี่ยวชาญสำคัญคือการสอบสวนและแกะรอยการบุกรุก (computer forensic) เดือนนี้ทาง CAT cyfence เปิดโอกาสให้นักศึกษาระดับมหาวิทยาลัยทั่วประเทศ เข้าทดสอบฝึมือในการสอบสวนแกะรอยการกระทำผิด ในงาน CAT CYFENCE CYBERCOP CONTEST 2015 หรือ C4:2015

งาน C4:2015 จะแบ่งเป็นสองรอบ คือรอบออนไลน์ในวันที่ 20-21 ตุลาคมนี้ และรอบตัดเชือกในวันที่ 4 พฤศจิกายนนี้

Tags:
Internet Explorer

ได้เวลา Patch Tuesday ของไมโครซอฟท์ประจำเดือนตุลาคม 2015 มีแพตช์ใหม่หลายตัว ตัวที่น่าสนใจคือช่องโหว่หมายเลข MS15-106 ระดับรุนแรง (critical) กระทบ IE ทุกรุ่นย้อนไปตั้งแต่ Windows Vista (XP ก็น่าจะโดนด้วยแต่หมดอายุขัยแล้ว)

อย่างไรก็ตาม ช่องโหว่นี้ไม่มีผลกับ Microsoft Edge ซึ่งเป็นเบราว์เซอร์คนละตัวกัน

นอกจาก MS15-106 ไมโครซอฟท์ยังอุดช่องโหว่ระดับร้ายแรงอีก 2 ตัวคือ MS15-108 และ MS15-109 ซึ่งเป็นช่องโหว่ของตัววินโดวส์เอง ใครเป็นแอดมินระบบก็เข้าไปดูรายละเอียดกันด่วนครับ

ที่มา - ZDNet, Threatpost

Tags:
LINE

LINE เปิดตัวฟีเจอร์ Letter Sealing เข้ารหัสข้อความเมื่อแชตห้องแยกและแชร์ตำแหน่งระหว่างกัน ฟีเจอร์นี้ทำให้เนื้อหาในแชตแบบไม่เข้ารหัสถูกเก็บอยู่ในอุปกรณ์ของผู้ใช้เท่านั้น โดยผู้ใช้ที่แชตห้องแยกหนึ่งต่อหนึ่งโดยสองฝ่ายเปิดฟีเจอร์นี้จะถูกเข้ารหัสโดยอัตโนมัติ

สำหรับผู้ใช้บนแอนดรอยด์ที่ใช้บนสมาร์ตโฟนอย่างเดียวทาง LINE จะเปิดฟีเจอร์นี้โดยอัตโนมัติ ส่วนผู้ใช้บน iOS และแอนดรอยด์ที่ใช้บนหลายอุปกรณ์จะเริ่มเปิดใช้งานอัตโนมัติในอนาคต

รองรับสำหรับผู้ใช้ LINE 5.3.0 ขึ้นไปเท่านั้น คนส่วนมากน่าจะได้รับอัพเดตกันแล้ว ก็สามารถเปิดใช้งานได้ผ่านเมนู More > Settings > Chats & Voice Calls > Letter Sealing

ข่าวร้ายคือหน้าจอของ LINE ตอนนี้ยังไม่แสดงว่าการแชตปัจจุบันเปิดใช้งาน Letter Sealing หรือไม่ ต้องรอเวอร์ชั่นถัดๆ ไปครับ

ที่มา - LINE, LINE Developer

Tags:
NETGEAR

Daniel Haake และ ShellShock Labs พบช่องโหว่ของเราท์เตอร์ Netgear ในเฟิร์มแวร์ N300_1.1.0.31_1.0.1.img และ N300-1.1.0.28_1.0.1 ทำให้แฮกเกอร์สามารถเข้าควบคุมเครื่องได้โดยไม่ต้องรู้รหัสผ่าน

ทาง Compass Security พบช่องโหว่นี้เมื่อเข้าตรวจสอบเราท์เตอร์ของเหยื่อรายหนึ่งที่พบว่าเราท์เตอร์ไม่เสถียรและพบว่าตัวเราท์เตอร์ส่ง DNS Query ไปยังเซิร์ฟเวอร์แห่งหนึ่ง เมื่อทางทีมงานสำรวจเซิร์ฟเวอร์พบว่ามีเครื่องถูกโจมตีแบบเดียวกันกว่าหมื่นเครื่อง

ทาง Compass Security พยายามติดต่อทาง Netgear ตั้งแต่เดือนกรกฎาคมที่ผ่านมา และทาง Netgear ส่งเฟิร์มแวร์รุ่นใหม่มาให้ทดสอบเมื่อเดือนกันยายน แต่ยังไม่ปล่อยเฟิร์มแวร์นี้สู่สาธารณะ จนกระทั่งทาง ShellShock Labs เปิดเผยช่องโหว่นี้ออกมาก่อน

ที่มา - Compass Security, ShellShock Labs, Threat Post

Tags:
AWS

บริการใหม่จาก AWS ที่เปิดตัวมาเมื่อวานนี้มีบริการน่าสนใจตัวหนึ่งคือ Amazon Inspector เป็นเครื่องมือสแกนความปลอดภัย แม้จะไม่ได้สแกนระดับลึกนัก แต่การที่มันพร้อมใช้งานในคอนโซลของ AWS เลยก็น่าจะทำให้มันได้รับความนิยม

Amazon Inspector ช่วยตรวจสอบว่ามีซอฟต์แวร์ที่มีช่องโหว่ที่รู้กันโดยทั่วไปติดตั้งอยู่ในเครื่องหรือไม่ (ดูรายการ CVE ที่รองรับ) นอกจากนี้ยังตรวจสอบการตั้งค่าของระบบ เช่น การเปิดใช้งานโปรโตคอลที่ไม่เข้ารหัส อย่าง FTP, HTTP, หรือ Telnet ตรวจสอบซอฟต์แวร์ว่าคอมไพล์โดยรองรับมาตรการป้องกันอันตราย เช่น DEP, ASLR, หรือ Stack Cookie หรือไม่ ไปจนถึงการตั้งนโยบายรหัสผ่านว่าต้องเปลี่ยนรหัสผ่านภายในระยะเวลาที่กำหนด และรหัสผ่านมีความซับซ้อนเพียงพอ

บริการเช่นนี้คงไม่เทียบเท่าบริการตรวจสอบความปลอดภัยที่ต้องจ้างที่ปรึกษามาช่วยตรวจสอบ เพราะยังไม่มีการตรวจ SQL Injection, Script Injection, หรือ Cross Site Scripting แต่อย่างใด แต่ก็เป็นจุดเริ่มต้นที่ดีที่อย่างน้อยผู้ให้บริการจะทำตามคำแนะนำเช่นการอัพเดตระบบสม่ำเสมอ

ที่มา - Threat Post, TechCrunch, Amazon

Tags:
SSL

ทีมวิจัยร่วมกันสามชาติ เนเธอร์แลนด์, ฝรั่งเศส, และสิงคโปร์ แถลงผลงานวิจัยการสร้างค่าที่มีค่าแฮช SHA1 ตรงกัน (SHA1 collision) ด้วยต้นทุนเพียง 75,000 ถึง 120,000 ดอลลาร์หากเช่าเครื่องจาก Amazon EC2 จากเดิมที่ Bruce Schneier เคยประมาณการณ์ว่าปี 2015 จะใช้ทุนประมาณ 700,000 ดอลลาร์

งานวิจัยนี้แสดงความง่ายของการสร้างข้อมูลที่มีค่าแฮชตรงกัน จากฟังก์ชั่น SHA1 compression function โดยคลัสเตอร์ของทีมวิจัยสามารถปลอมค่าแฮชจากฟังก์ชั่นนี้ได้ในเวลาเพียง 10 วัน แม้ว่าจะไม่ได้แสดงการปลอม SHA1 โดยตรง แต่ทีมงานวิจัยก็ระบุว่ากระบวนการปลอมค่าจากฟังก์ชั่นที่นำเสนอแสดงให้เห็นว่าเป็นไปได้ที่จะปลอมค่า SHA1 โดยตรงด้วยต้นทุนที่ต่ำกว่าที่เคยคาดกันมาก

ทีมงานออกแถลงข่าวครั้งนี้เพราะทาง CA Browser Forum กำลังโหวตข้อเสนอให้ยืดอายุใบรับรองที่ใช้ SHA1 ออกไปจนถึงปี 2016 โดยระบุว่าต้นทุน 120,000 ดอลลาร์นั้นถูกพอที่องค์กรอาชญากรรมสามารถหามาได้ไม่ยากนัก หากเป็นหน่วยงานรัฐที่สามารถสร้างศูนย์ข้อมูลของตัวเองได้ ต้นทุนก็จะถูกลงยิ่งกว่านี้อีก

ที่มา - It's the shappening

Tags:
Brian Krebs

สิ่งหนึ่งที่คนทั่วไปชอบทำกันเวลาจะโชว์ว่าตัวเองได้ขึ้นเครื่องบินนั้นก็คือการถ่ายรูปตั๋ว (boarding pass) แล้วอัพโหลดขึ้น social network แต่การทำอย่างนั้นอาจเป็นการเปิดเผยข้อมูลส่วนตัวโดยที่เราคาดไม่ถึงได้

Brian Krebs บล็อกเกอร์ด้านความปลอดภัยชื่อดังที่เคยมีข่าวน่าตื่นเต้นเกี่ยวกับตัวเขามากมาย (อ่านเพิ่มได้จากข่าวเก่า) เขียนเล่าว่ามีผู้อ่านบล็อกของเขาคนหนึ่งชื่อ Cory ได้สงสัยว่าบาร์โค้ดที่ปรากฎบนตั๋วเครื่องบินนั้นบอกอะไรได้บ้างหลังจากที่มีเพื่อนบนเฟซบุ๊กคนหนึ่งโพสรูปตั๋ว เขาจึงสแกนบาร์โค้ดบนตั๋วเพื่อหาข้อมูลนี้

Cory บอกว่าสิ่งที่ได้จากการอ่านบาร์โค้ดนั้นนอกจากจะมีชื่อ-นามสกุล, เลขสมาชิกโปรแกรมสะสมไมล์ และข้อมูลส่วนตัวอื่นๆ แต่ยังมีเลขรหัสการจอง (reservation number) สำหรับไฟลท์ Lufthansa วันนั้นอีกด้วย จากนั้นเขาก็เปิดเว็บไซต์ Lufthansa แล้วล็อกอินด้วยนามสกุลและเลขรหัสการจองที่ได้มา เพียงเท่านี้ก็เข้าดูข้อมูลในบัญชีของเพื่อนเขาได้ทั้งหมดแล้ว เท่านั้นยังไม่พอ เขาสามารถดูไฟลท์ทุกไฟลท์ที่ถูกจองไว้ด้วยเลขสมาชิกโปรแกรมสะสมไมล์ของ Star Alliance รวมไปถึงดูเบอร์โทรศัพท์, ชื่อผู้จองไฟลท์ และแน่นอนว่าสามารถขอเปลี่ยนที่นั่งและยกเลิกไฟลท์ในอนาคตได้ด้วย

รู้อย่างนี้แล้วใครชอบโชว์ตั๋วเครื่องบินก็เลิกได้แล้วนะครับ คนอื่นอิจฉา

ที่มา - Krebs on Security via Gizmodo

Tags:
Thailand

จากกรณีการรวมตัว DDoS ใส่เว็บไซต์หน่วยงานภาครัฐเมื่อคืนวันที่ 30 กันยายน 2558 เพื่อเป็นสัญลักษณ์ประท้วงต่อต้านโครงการ Single Gateway ของรัฐบาล เมื่อวานนี้ พล.ต.สรรเสริญ แก้วกำเนิด โฆษกประจำสำนักนายกรัฐมนตรี ได้ออกชี้แจงภายหลังการประชุมว่า จากการรวมตัวกันกระทำการดังกล่าว เป็นการทำผิดกฎหมายตาม พรบ.คอมพิวเตอร์ โดยชัดเจน ซึ่งขณะนี้ได้ให้เจ้าหน้าที่ทำการเก็บร่องรอยการทำ DDoS เอาไว้ และถ้ามีเหตุการณ์เช่นนี้เกิดขึ้นอีก ก็พร้อมที่จะฟ้องเอาผิดต่อผู้กระทำทุกราย

โดยข้อกฎหมายที่ถูกพูดถึงนั้น ส่วนใหญ่เป็นความผิดตาม พรบ. คอมพิวเตอร์ มาตราที่ 9, 10, 12, 13 ซึ่งมีโทษทั้งจำทั้งปรับ ทั้งนี้ พล.ต.สรรเสริญกล่าวทิ้งท้ายว่า ที่ออกมาเตือนเช่นนี้ก็เพราะไม่อยากให้ประชาชนถูกชักชวนไปตามคำหลงเชื่อของกลุ่มผู้ต่อต้านและไม่อยากให้ถูกลงโทษตามกฎหมายต่อไป

ทั้งนี้ พล.อ.ประยุทธ์ จันทร์โอชา นายกรัฐมนตรี ได้ให้สัมภาษณ์เพิ่มเติมว่า จริงๆ แล้วโครงการนี้ยังเป็นเพียงโครงการศึกษาเท่านั้นยังไม่ได้สั่งให้ดำเนินการ แต่ข้อมูลถูกบิดเบือนว่าโครงการถูกสั่งเริ่มทำได้สักระยะหนึ่งแล้ว ทั้งนี้ถ้าศึกษาแล้วพบว่าขัดต่อสิทธิมนุษยชน หรือขัดต่อข้อกฎหมาย ก็พร้อมที่จะสั่งยุติการศึกษาโครงการในทันทีครับ

ที่มา - หนังสือพิมพ์คมชัดลึก