คลังเก็บป้ายกำกับ: DATA_LEAKAGE

พบช่องโหว่บน Android เสี่ยงถูกขโมยข้อมูลผ่านช่องเสียบหูฟัง

Roee Hay และ Sagi Kedmi สองนักวิจัยด้านความมั่นคงปลอดภัยจาก Aleph Security ออกมาเปิดเผยถึงช่องโหว่บนอุปกรณ์ Android ที่ช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลสำคัญ, บายพาส ASLR, ทำ Factory Reset หรือแม้กระทั้งเข้าถึง Android HBOOT Bootloader ผ่านทางการเชื่อมต่อหูฟังได้

ช่องโหว่นี้ถูกนำเสนอครั้งแรกในงานประชุม Black Hat ปี 2013 โดยนักวิจัยทั้ง 2 คนเริ่มจากการใช้ Multiplexed Wired Interface ในการเชื่อมต่อและเข้าถึงสมาร์ทโฟน Android ผ่านทางพอร์ต USB แต่ล่าสุด ทั้งสองคนประสบความสำเร็จในการใช้สายเคเบิล UART ที่ดัดแปลงเป็นพิเสษในการเชื่อมต่ออุปกรณ์ผ่านช่องเสียบหูฟัง โดยพวกเขาระบุว่าสามารถเข้าถึง FIQ (Fast Interrupt Request) Debugger บน Nexus 9 ได้

FIQ Debugger ช่วยให้แฮ็คเกอร์สามารถรับส่งคำสั่งเข้าไปยังอุปกรณ์ Android ได้ ต่อให้ระบบปฏิบัติกำลังทำงานอยู่ก็ตาม โดยแฮ็คเกอร์รันคำสั่งเพื่อ

  • เข้าถึง Help Menu
  • Dump รายการ Process ทั้งหมดและ Register ออกมา
  • ขโมยค่า Stack Canary ของ Zygote Core Process
  • ดูบริบทต่างๆ ของ CPU โดยใช้ตำแหน่งของ Memory (บายพาส ASLR)
  • เข้าถึง Sysrq Interface
  • เข้าถึง Nexus 9 HBOOT Bootloader
  • เข้าถึง I2C Buses และเชื่อมต่อกับ System-on-Chips (SoC) ภายใน
  • ดำเนินการ Factory Reset

ช่องโหว่นี้มีรหัส CVE-2017-0510 ซึ่ง Google ประเมินแล้วว่ามีระดับความรุนแรงเป็น Critical เนื่องจากแฮ็คเกอร์สามารถล่มระบบปฏิบัติการของอุปกรณ์ได้ ส่งผลให้ผู้ใช้ต้องติดตั้งระบบปฏิบัติการใหม่เพียงอย่างเดียว อย่างไรก็ตาม Google ก็ได้ออกแพทช์เพื่ออุดช่องโหว่ดังกล่าวเป็นที่เรียบร้อย สามารถดูรายละเอียดได้ที่ Android Security Bulletin เดือนมีนาคม 2017

ที่มา: https://www.bleepingcomputer.com/news/security/android-patched-to-protect-users-from-getting-hacked-via-headphones-connector/

from:https://www.techtalkthai.com/hack-android-devices-via-headphone-connector/

Advertisements

Cloudbleed: พิมพ์โค้ดผิดจุดเดียว กลายเป็นช่องโหว่เผยข้อมูลกว่าล้านเว็บไซต์ที่อยู่หลัง Cloudflare

Tavis Ormandy นักวิจัยด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาเปิดเผยถึงช่องโหว่ Buffer Overflow บน CloudFlare ผู้ให้บริการ CDN และ Web Security ชื่อดัง ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลสำคัญของเว็บไซต์เหล่านั้น ไม่ว่าจะเป็น Passwords, Cookies และ Tokens ที่ใช้ในการพิสูจน์ตัวตนออกไปได้ โดยเรียกช่องโหว่นี้ว่า Cloudbleed

CloudFlare ทำหน้าที่เสมือนเป็น Proxy สำหรับทำ Caching ระหว่างผู้ใช้และ Web Server โดยเซิร์ฟเวอร์ของ CloudFlare หรือที่เรียกว่า Edge Server จะกระจายตัวอยู่ทั่วโลกเพื่อช่วยแบ่งเบาภาระจำนวนคำร้องขอที่ถูกส่งไปยัง Web Server จริง ซึ่งคำร้องขอเหล่านี้จะถูกประมวลผลและตรวจสอบภัยคุกคามบนเซิร์ฟเวอร์ดังกล่าวเพื่อเพิ่มประสิทธิภาพและความมั่นคงปลอดภัยให้ถึงขีดสุด ปัจจุบันนี้ CloudFlare ดูแลเว็บไซต์มากกว่า 5.5 ล้านไซต์ทั่วโลก

ช่องโหว่ Buffer Overflow ที่ทำให้ข้อมูลบนหน่วยความจำรั่วไหลสู่ภายนอก

Cloudbleed เป็นช่องโหว่ Buffer Overflow บน Edge Server ที่ Ormandy ค้นพบเมื่อสัปดาห์ก่อน ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลสำคัญที่อยู่ในหน่วยความจำของเซิร์ฟเวอร์ ไม่ว่าจะเป็น Private Session Keys, HTTP Cookies, Authentication Tokens และ HTTP Post Bodies ซึ่งข้อมูลเหล่านี้บางส่วนถูกแคชโดย Search Engine เป็นที่เรียบร้อยไปแล้ว

สาเหตุมาจากการพิมพ์โค้ดผิด 1 ตัวอักษร

จากการตรวจสอบของ CloudFlare พบว่า สาเหตุของปัญหา Buffer Overflow นี้มาจากการพิมพ์โค้ดในส่วนของ HTML Parser ซึ่งเป็นโมดูลที่ใช้อ่านซอร์สโค้ดของเว็บไซต์ และส่งต่อไปยังโมดูลอื่นเพื่อให้เขียนข้อมูลทับตามที่ผู้ใช้บริการกำหนด พลาดไป 1 ตัวอักษร คือจาก “==” ไปเป็น “>=” ซึ่งปกติแล้วไม่น่าเป็นประเด็นอะไรเนื่องจากโปรแกรมเมอร์หลายคนพิมพ์แบบหลังเมื่อทำการตรวจสอบเงื่อนไขบางอย่าง อย่างไรก็ตาม ในกรณีของ CloudFlare การพิมพ์โค้ดเพื่อตรวจสอบเงื่อนไขแบบนั้นกลับทำให้เกิด Buffer Overflow ขึ้น ส่งผลให้ข้อมูลบางส่วนบนหน่วยความจำหลุดรั่วออกไปกับคำร้องของ HTTP จากผู้ใช้

CloudFlare ระบุว่า ปัญหานี้จะเกิดเฉพาะกับผู้ใช้บริการที่มีการตั้งค่า Email Obfuscation และ Automatic HTTPS Rewrites บนบัญชีของตน

ช่องโหว่อายุนานกว่า 5 เดือน

หลังจากตรวจสอบโดยละเอียด CloudFlare เปิดเผยว่า การพิมพ์โค้ดพลาดนี้เกิดขึ้นตั้งแต่เมื่อวันที่ 22 กันยายน 2016 ที่ HTML Parser เริ่มเปิดใช้บริการ ซึ่ง CloudFlare จัดการแก้ไขปัญหาเรียบร้อยในวันที่ 18 กุมภาพันธ์ 2017 หลังจากที่ได้รับรายงานจาก Ormandy

“ช่วงเวลาที่ได้รับผลกระทบหนักที่สุดคือตั้งแต่ 13 ถึง 18 กุมภาพันธ์ ซึ่งประมาณ 1 คำร้องจากทุกๆ 3,300,000 คำร้อง HTTP มายัง CloudFlare อาจก่อให้เกิดข้อมูลจากหน่วยความจำรั่วไหลออกไปได้ (คิดเป็นประมาณ 0.00003% ของคำร้องขอทั้งหมด)” — John Graham-Cumming CTO ของ CloudFlare ระบุ

เริ่มแก้ปัญหาหลังทราบเรื่องเพียง 47 นาที

อย่างไรก็ตาม CloudFlare ได้ทำการตรวจสอบและดำเนินการหยุดการทำงานของ Email Obfuscation ของผู้ใช้บริการทั้งหมด ภายในเวลาเพียง 47 นาที หลังทราบถึงช่องโหว่จาก Ormandy ตามด้วยยกเลิกการทำงานของ Automatic HTTPS Rewrites ไม่นานหลังจากนั้น

ผ่านไป 6 ชั่วโมง CloudFlare ก็ทราบถึงต้นตอสาเหตุหลักของช่องโหว่ Buffer Overflow ที่มาจากการพิมพ์โค้ดพลาด และดำเนินการแก้ไข รวมไปถึงติดต่อกับ Search Engines หลายรายเพื่อให้ช่วยลบข้อมูลที่ถูก Cache บนเซิร์ฟเวอร์ออกไป

เราควรรับมือกับ Cloudbleed อย่างไร

ทั้ง Ormandy, CloudFlare และนักวิจัยด้านความมั่นคงปลอดภัยท่านอื่นต่างไม่แน่ใจว่ามีใครเจาะระบบเพื่อขโมยข้อมูลจากช่องโหว่ Cloudbleed นี้ออกไปหรือไม่ แต่หลายคนเชื่อว่า Crawlers ต่างๆ ได้ทำการเก็บรวบรวมข้อมูล และผู้ใช้ก็ได้ทำการ Cache ข้อมูลบางส่วนเอาไว้โดยที่ตัวเองก็อาจไม่รู้ตัว

ดังนั้นแนะนำให้ผู้ใช้บริการออนไลน์ทุกคนเปลี่ยนรหัสผ่านใหม่ทั้งหมด และคอยติดตามบัญชีออนไลน์อย่างใกล้ชิดว่ามีสิ่งใดผิดปกติหรือไม่ สำหรับผู้ใช้บริการ CloudFlare แนะนำให้ทำการบังคับให้ผู้ใช้ทำการเปลี่ยนรหัสผ่านใหม่โดยเร็วที่สุด เพื่อป้องกันปัญหาที่อาจตามมาในอนาคต

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/typo-in-cloudflare-server-source-code-leaks-customer-info-cookies-passwords/

from:https://www.techtalkthai.com/cloudbleed-leaks-sensitive-data-of-cloudflare-customers/

ฐานข้อมูล Hello Kitty รั่ว แฟนคลับกว่า 3.3 ล้านได้รับผลกระทบ

สุดสัปดาห์ที่ผ่านมา ข้อมูลส่วนบุคคลของผู้ใช้กว่า 3.3 ล้านคนจากฐานข้อมูลของ Sanrio เจ้าของลิขสิทธิ์ Hello Kitty รั่วไหลสู่สาธารณะ คาดสาเหตุมาจากปัญหาการตั้งค่าไม่มั่นคงปลอดภัยขณะติดตั้ง MongoDB ที่ค้นพบโดย Chris Vickery

Credit: Javier Mediavilla Ezquibela

การเจาะระบบเพื่อขโมยข้อมูลถูกรายงานครั้งแรกเมื่อเดือนธันวาคม 2015 แต่ทาง Sanrio ปฏิเสธว่าไม่มีข้อมูลสูญหายจากการเจาะระบบดังกล่าว อย่างไรก็ตาม เมื่อวันอาทิตย์ที่ผ่านมา LeakedSource เว็บไซต์ชื่อดังที่รวบรวมข้อมูลที่ถูกขโมยเผยแพร่สู่สาธารณะ ออกมาระบุว่า ฐานข้อมูลลูกค้ารวม 3,345,168 คนของ Sanrio ถูกเปิดเผย ซึ่งมีข้อมูลเด็กอายุต่ำกว่า 18 รวม 186,261 รายการ

ข้อมูลที่หลุดออกมาประกอบด้วยชื่อนามสกุลของผู้ใช้ วันเกิด เพศ ประเทศที่อยู่ อีเมล ชื่อผู้ใช้ รหัสผ่านที่ถูกแฮช คำถามเมื่อลืมรหัสผ่านและคำตอบ นอกจากนี้ยังมีฟิลด์ข้อมูลที่ชื่อว่า “incomeRange” แต่น่าแปลกตรงที่ข้อมูลอยู่ระหว่าง 0 – 150 ข้อมูลที่ปรากฏบน LeakedSource นี้ตรงกับที่ Vickery ค้นพบ ซึ่งทาง Sanrio อ้างว่าเขาเป็นคนเดียวที่มีสิทธิ์เข้าถึงฐานข้อมูลในช่วงไม่กี่สัปดาห์ที่ผ่านมา และไม่พบว่ามีการบุกรุกจากภายนอกแต่อย่างใด

Vickery ระบุว่า ฐานข้อมูลผู้ใช้กว่า 3.3 ล้านคนที่รั่วไหลออกมานี้ มาจากบริการออนไลน์หลายอย่างของ Sanrio ซึ่งต้นตอสาเหตุมาจากการที่ฐานข้อมูลถูกจัดเก็บโดยใช้การตั้งค่า MongoDB ที่ไม่มีการระบุ Credential ในการเข้าถึง

ที่มา: https://threatpost.com/hello-kitty-database-of-3-3-million-breached-credentials-surfaces/122932/

from:https://www.techtalkthai.com/hello-kitty-database-leakage/

เตือนโปรไฟล์ Autofill บนเบราเซอร์ เสี่ยงถูกหลอกขโมยข้อมูลส่วนบุคคล

Viljami Kuosmanen นักพัฒนาเว็บชาวฟินแลนด์ ออกมาแจ้งเตือนถึงการนำโปรไฟล์ Autofill บนเบราเซอร์ที่ช่วยกรอกข้อมูลโดยอัตโนมัติ ไปใช้โจมตีแบบ Phishing เพื่อหลอกขโมยข้อมูลส่วนบุคคลโดยที่ผู้ใช้ไม่รู้ตัวได้

โปรไฟล์ Autofill เป็นฟีเจอร์พื้นฐานที่เบราเซอร์สมัยใหม่ในปัจจุบันเริ่มมีให้บริการ ฟีเจอร์นี้ช่วยให้ผู้ใช้สามารถสร้างโปรไฟล์ที่เก็บข้อมูลส่วนบุคคลสำหรับกรอกลงบนฟอร์มของหน้าเว็บหลายสิบรายการได้ง่ายและสะดวกรวดเร็ว เมื่อเจอฟอร์มที่ต้องกรอกข้อมูลในเว็บไซต์อื่นๆ ผู้ใช้สามารถเลือกโปรไฟล์ Autofill ที่เก็บไว้ไปใช้ได้ทันทีโดยไม่ต้องกรอกข้อมูลทั้งหมดซ้ำอีกครั้ง

อย่างไรก็ตาม Kuosmanen ได้ออกมาแจ้งเตือนผู้ใช้ถึงการนำโปรไฟล์ Autofill นี้ไปใช้ในทางที่มิชอบ โดยแฮ็คเกอร์สามารถซ่อนช่องสำหรับเก็บข้อมูลไม่ให้ผู้ใช้เห็นและหลอกเอาข้อมูลส่วนบุคคลที่ผู้ใช้ไม่ได้กรอกลงบนหน้าเว็บไปใช้ได้ทันที

Kuosmanen สาธิตวิธีการหลอกขโมยข้อมูลโดยอาศัยการสร้างหน้าฟอร์มแบบง่ายๆ ซึ่งผู้ใช้จะเห็นว่าหน้าเว็บดังกล่าวมีเพียงช่องใส่ชื่อ อีเมล และปุ่มกดส่งข้อมูลเท่านั้น แต่ถ้าพิจารณาดูซอร์สโค้ดของหน้าเว็บดีๆ จะพบว่าฟอร์มที่กรอกข้อมูลประกอบด้วยข้อมูลอื่นๆ ที่ซ่อนอยู่อีก 6 รายการ ได้แก่ เบอร์โทร ชื่อองค์กร ที่อยู่ รหัสไปรษณีย์ จังหวัด และประเทศ

ฟอร์มกรอกข้อมูลที่แสดงบนหน้าเว็บ

 

ซอร์สโค้ดที่มีการซ่อนช่องสำหรับกรอกข้อมูลอื่นๆ อีก 6 รายการ

 

ถ้าผู้ใช้มีโปรไฟล์ Autofill เก็บอยู่ในเบราเซอร์ และเลือกที่จะให้เบราเซอร์กรอกข้อมูลทั้งหมดโดยอัตโนมัติ โปรไฟล์ Autofill จะกรอกข้อมูลทั้ง 2 ช่องที่แสดงบนหน้าเว็บ และอีก 6 ช่องที่เหลือที่ซ่อนอยู่ในซอร์สโค้ดเนื่องจากข้อมูลทั้งหมดนี้อยู่บนฟอร์มเดียวกัน เพียงแค่บางรายไม่แสดงให้ผู้ใช้เห็นเท่านั้น ส่งผลให้แฮ็คเกอร์ได้ข้อมูลส่วนบุคคลทั้งหมดที่อยู่ในโปรไฟล์ Autofill โดยที่ผู้ใช้ไม่รู้ตัว ที่น่ากลัวคือ ถ้าผู้ใช้เก็บข้อมูลบัตรเครดิตไว้ในโปรไฟล์ด้วย ก็เสี่ยงที่หมายเลขจะหลุดไปยังแฮ็คเกอร์ด้วยเช่นกัน

ด้านล่างเป็นภาพสาธิตการโจมตีบน Google Chrome

Kuosmanen ระบุว่า เขาได้ทำการทดสอบกับ Google Chrome และ Safari ซึ่งได้ผลเหมือนกัน คือสามารถขโมยข้อมูลส่วนบุคคลอื่นๆ โดยซ่อนฟิลด์ข้อมูลไม่ให้ผู้ใช้เห็นได้ แต่ Safari ยังดีกว่า Chrome ตรงที่มีการแจ้งเตือนให้ผู้ใช้ทราบว่า มีการกรอกข้อมูลลงบนช่องใส่ข้อมูลที่ถูกซ่อนอยู่

จากการตรวจสอบ พบว่าฟีเจอร์โปรไฟล์ Autofill นี้ มีอยู่บน Google Chrome, Safari และ Opera เท่านั้น ซึ่งผู้ใช้สามารถปิดการใช้งานโปรไฟล์ Autofill เพื่อเพิ่มความมั่นคงปลอดภัยในการเล่นอินเทอร์เน็ตได้ ตามภาพด้านล่าง

ที่มา: https://www.bleepingcomputer.com/news/security/browser-autofill-profiles-can-be-abused-for-phishing-attacks/

from:https://www.techtalkthai.com/browser-autofill-profiles-abused/

Forcepoint เผย 9 ขั้นตอนการสร้าง Insider Threat Program ให้ประสบความสำเร็จ

forcepoint_logo_2

โดยทั่วไปแล้ว ระบบรักษาความมั่นคงปลอดภัยขององค์กรจะมุ่งเน้นที่การป้องกันภัยคุกคามจากภายนอกเป็นหลัก ไม่ว่าจะเป็น Advanced Persistent Threats, Unknown Malware หรือ Zero-day Exploits แต่ละองค์กรต่างมีวิธีการรับมือทั้งสิ้น แต่สิ่งหนึ่งที่บางองค์กรอาจไม่คาดคำนึงถึงคือ ภัยคุกคามที่เกิดจากภายใน หรือ Insider Threats ต่างหาก ที่เป็นสาเหตุหลักของ Data Breach (การถูกเจาะระบบเพื่อขโมยข้อมูล)

Ponemon Institute สถาบันวิจัยอิสระด้านความมั่นคงปลอดภัยของข้อมูล ระบุว่า พนักงานภายในองค์กรถือว่าเป็นปัจจัยสำคัญที่ทำให้ข้อมูลความลับของบริษัทตกอยู่ในความเสี่ยง ไม่ว่าจะด้วยความตั้งใจหรือความไม่รู้ก็ตาม อันที่จริงอุบัติเหตุที่เกิดจากความรู้เท่าไม่ถึงการณ์เป็นสาเหตุของปัญหาด้านความมั่นคงปลอดภัยมากกว่าเหตุการณ์ที่เกิดจากความตั้งใจเสียอีก คำถามคือ แล้วเราจะป้องกัน Insider Threats เหล่านี้ ไม่ว่าจะเกิดจากความตั้งใจหรือไม่ตั้งใจ ได้อย่างไร ?

“78% ของพนักงานเป็นสาเหตุของภัยคุกคามด้านความมั่นคงปลอดภัยต่อองค์กร” — ข้อสรุปจากงานวิจัยของ Ponemon Institute

forcepoint_svit_5

Insider Threats ขั้นกว่าของ Data Theft

การขโมยข้อมูลหรือการรั่วไหลของข้อมูลสำคัญออกสู่สาธารณะ (Data Theft/Leakage) สามารถป้องกันได้โดยใช้โซลูชัน Data Leak Prevention (DLP) อย่างไรก็ตาม Insider Threats นอกจากจะมีเป้าหมายเพื่อขโมยข้อมูลแล้ว อาจทำการแก้ไขเปลี่ยนแปลงข้อมูล สร้างช่องทางให้แฮ็คเกอร์บุกรุกเข้าระบบเครือข่ายโดยง่าย หรือสร้างความวุ่นวายให้กับระบบของบริษัทเพื่อให้การดำเนินธุรกิจเกิดการติดขัด เหล่านี้ส่งผลกระทบต่อชื่อเสียงและความน่าเชื่อถือขององค์กรโดยตรง

จากการวิจัยของ Ponemon Institute พบว่า ความท้าทายสำคัญในการรับมือกับ Insider Threats คือ ถึงแม้ว่า 88% ขององค์กรจะทราบดีกว่าปัญหาด้านความมั่นคงปลอดภัยเกิดจาก Insider Threats แต่กลับไม่มีโซลูชันที่มีประสิทธิภาพในการรับมือที่ดีพอ หลายองค์กรยังคงพึ่งพา DLP และ SIEM และเครื่องมือดั้งเดิมที่เน้นการป้องกันภัยคุกคามภายนอก ที่สำคัญคือ องค์กรส่วนใหญ่ (69%) ไม่มีข้อมูลเชิงบริบทมากเพียงพอที่จะตัดสินได้ว่า เหตุการณ์ที่เกิดขึ้นภายในจะกลายเป็นภัยคุกคามจริงหรือไม่ ซึ่งแท้ที่จริงแล้ว 56% ของเหตุการณ์เหล่านั้นมักจะเป็น False Positive

forcepoint_svit_4

9 ขั้นตอนการทำ Insider Threat Program ให้ประสบความสำเร็จ

Insider Threats ไม่สามารถแก้ไขได้โดยอาศัยเทคโนโลยีเพียงอย่างเดียว แต่จำเป็นต้องอาศัยนโยบายการกำกับดูแล กระบวนการ การควบคุม การบริหารจัดการความเสี่ยง การตรวจสอบ (Audit) และการเฝ้าระวัง เพื่อให้สามารถตรวจจับและพร้อมรับมือกับเหตุการณ์ผิดปกติที่อาจเกิดขึ้นได้ Forcepoint (Raytheon + Websense + Stonesoft) ผู้ให้บริการโซลูชันด้าน Cyber Security แบบครบวงจร ได้นำเสนอวิธีสร้าง Insider Threat Program สำหรับองค์กรให้ประสบความสำเร็จ โดยแบ่งออกเป็น 9 ขั้นตอน ดังนี้

  1. Establish the Program – ยื่นเรื่องเพื่อทำโปรแกรมสำหรับป้องกัน Insider Threat ต่อบอร์ดบริหาร แต่งตั้งบุคคลผู้รับผิดชอบ รวมไปถึงกำหนดหน้าที่และความรับผิดชอบต่างๆ
  2. Business Case – ประเมินความเสี่ยงและเก็บ Requirement ว่าทำไมจึงต้องมี Insider Threat Program เช่น เพื่อป้องกันทรัพย์สินทางปัญญา ปฏิบัติตามข้อบังคับหรือข้อกำหนดขององค์กร (PCI-DSS, HIPAA, FINRA)
  3. Staffing – สร้างทีมที่มีทักษะพร้อมดำเนินตามแผนให้สำเร็จ เช่น ฝ่าย IT ที่มีทักษะด้านความมั่นคงปลอดภัย ฝ่ายกฏหมายและฝ่ายบุคคลที่รู้จักข้อกำหนดและข้อบังคับต่างๆ เป็นอย่างดี รวมไปถึงตั้งทีมสำหรับอบรมพนักงานด้านความมั่นคงปลอดภัยของข้อมูล
  4. Stakeholders – ระบุผู้ที่มีส่วนได้ส่วนเสียกับ Insider Threat ทั้งหมด เช่น CTO, CIO, IT Staff, HR, Marketing, Legal, Privacy, Sales, Audit และอื่นๆ พร้อมทั้งเก็บ Requirement ว่าต้องการปกป้องข้อมูลของตนอย่างไร
  5. Education – ศึกษาสภาวะแวดล้อมของระบบขององค์กร เหตุการณ์ Data Breach ที่เคยเกิดขึ้น และสถานการณ์ปัจจุบัน เพื่อนำมาพิจารณาตัวชี้วัดความเสี่ยงหรือความเป็นไปได้ว่าจะเกิดภัยคุกคาม จากนั้นสร้าง Audit Rules สำหรับตรวจจับพฤติกรรมที่ผิดปกติตามเงื่อนไขของตัวชี้วัดนั้นๆ
  6. Governance – ออกนโยบายเพื่อกำกับดูแลความมั่นคงปลอดภัยของข้อมูลให้ทุกคนในองค์กรรับทราบ รวมไปถึงเตรียมพิจารณาถึง Control เพื่อบังคับใช้นโยบายดังกล่าว
  7. Document the Activity – จัดทำเอกสารเพื่อระบุการดำเนินงานทั้งหมด เช่น เป้าหมายที่ต้องการ ใครเป็นเจ้าของข้อมูล ใครมีสิทธิ์เข้าถึงข้อมูล นโยบายสำหรับแต่ละแผนก เพื่อให้ผู้ที่เกี่ยวข้องและทีม Audit สามารถตรวจสอบได้
  8. Tool Selection – เลือกใช้เครื่องมือที่ตอบโจทย์ตามความต้องการขององค์กร ซึ่งควรมีคุณสมบัติ ได้แก่ มีระบบตรวจจับและวิเคราะห์พฤติกรรมของผู้ใช้ สามารถเชื่อมโยงความสัมพันธ์กับบริบทอื่นเพื่อทราบข้อมูลเพิ่มเติม ทำงานร่วมกับระบบ DLP เพื่อป้องกันการรั่วไหลของข้อมูลสู่ภายนอก และควรมีระบบเล่นวิดีโอย้อนหลังเพื่อเก็บหลักฐาน
  9. Implementation – ลงมือสร้างโปรแกรมตามแผนที่วางไว้ ไม่ว่าจะเป็นการติดต่อ Vendor เพื่อติดตั้ง Control ตามนโยบายที่กำหนด ติดต่อผู้เชี่ยวชาญเพื่อทำการอบรมและขอปรึกษา รวมไปถึงวางแผนเพื่อติดตาม รีวิว และพัฒนาโปรแกรมให้แข็งแกร่งมากยิ่งขึ้น

SureView Insider Threat ปกป้ององค์กรของคุณจากภัยคุกคามภายในทั้งปวง

SureView Insider Threat (SVIT) เป็นโซลูชันสำหรับตรวจจับ Insider Threats แบบ Endpoint-based ที่ได้รับการยอมรับอย่างกว้างขวางจากทั้ง Fortune 500 และ Fortune 100 โดยถูกติดตั้งลงบนอุปกรณ์ Endpoint ไปแล้วกว่าหลายแสนเครื่องทั่วโลก SVIT ถูกออกแบบมาเพื่อเก็บข้อมูลสำหรับวิเคราะห์พฤติกรรมของผู้ใช้และเก็บหลักฐานที่ประกอบด้วยบริบทครอบคลุมเหตุการณ์ที่เกิดขึ้น ตอบโจทย์การ “Detect” และ “Decide” ของโมเดลด้าน Security ของ Forcepoint

Detect

SVIT ถูกออกแบบมาเพื่อตรวจจับพฤติกรรมของผู้ใช้ที่อาจก่อให้เกิดความเสี่ยงต่อความมั่นคงปลอดภัยของระบบเครือข่าย โดยอาศัยการวิเคราะห์ข้อมูลจากอุปกรณ์ Endpoint ที่อยู่ใกล้กับผู้ใช้ที่สุด Agent ที่ติดตั้งลงบนอุปกรณ์ Endpoint นี้สามารถติดตามและเฝ้าระวังการใช้งานของผู้ใช้ได้ ไม่ว่าจะเป็น File, Web, Process, Logon, Keyboard, Clipboard, Printer, Email, Webmail และ Application นอกจากนี้ ผู้ดูแลระบบยังสามารถกำหนดนโยบายเพื่อระบุรูปแบบของความเสี่ยงให้เหมาะสมกับสภาวะแวดล้อมของตนได้อีกด้วย

forcepoint_svit_2

Decide

หลังจากที่ระบุผู้ใช้ที่อาจเป็นความเสี่ยงขององค์กรได้แล้ว SVIT สามารถเก็บรวบรวมหลักฐานและข้อมูลเชิงบริบทที่เกี่ยวข้องกับผู้ใช้นั้นๆ ได้อย่างครอบคลุม เพื่อประกอบการตัดสินใจและหาวิธีรับมือกับความเสี่ยงที่กำลังจะเกิดขึ้น โดยสามารถบันทึกวิดีโอหน้าจอของอุปกรณ์ Endpoint นั้นๆ รวมไปถึงแสดงพฤติกรรมทั้งหมดของผู้ใช้ในรูปของไทม์ไลน์เพื่อให้ง่ายต่อการตรวจสอบ

forcepoint_svit_3

ผู้ที่สนใจ SureView Insider Threat สามารถดูรายละเอียดเพิ่มเติมได้ที่ https://www.forcepoint.com/product/data-insider-threat-protection/sureview-insider-threat

เกี่ยวกับ Forcepoint

Forcepoint เป็นผู้นำด้านการให้บริการโซลูชัน Cyber Security แบบครบวงจร เกิดจากการรวมตัวกันของ 2 บริษัทยักษ์ใหญ่ คือ Raytheon ผู้ให้บริการโซลูชันทางการทหารรวมไปถึง Security Intelligence และ Websense ผู้ให้บริการ Content Security และ DLP ชั้นนำของโลกมานานกว่า 20 ปี กลายเป็น Raytheon | Websense จากนั้น ได้ควบรวมกิจการของ Stonesoft ผู้ผลิต Next-generation Firewall ชื่อดัง แล้วเปลี่ยนชื่อเป็น Forcepoint เมื่อวันที่ 14 มกราคมที่ผ่านมา

Forcepoint เป็นบริษัทชั้นนำด้านการคุ้มครองผู้ใช้ ข้อมูล และระบบเครือข่าย จากภัยคุกคามรูปแบบต่างๆ ที่เกิดจากความประมาทหรือความตั้งใจของบุคคลภายใน และการบุกรุกโจมตีจากบุคคลภายนอก โดยอาศัยโมเดลทางด้าน Security ซึ่งประกอบด้วย Defend, Detect, Decide และ Defeat ซึ่งครอบคลุมการรับมือกับภัยคุกคามตั้งแต่ก่อนเริ่มโจมตี ระหว่างโจมตี และหลังโจมตีสำเร็จ ช่วยให้ธุรกิจสามารถดำเนินต่อไปได้อย่างราบรื่น ภายใต้แนวคิด “Forward without Fear”

ผู้ที่สนใจโซลูชันของ Forcepoint สามารถติดต่อขอทราบรายละเอียดเพิ่มเติมหรือขอ POC ได้ที่ คุณฉัตรกุล Country Sales Manager ของ Forcepoint ประเทศไทย อีเมล csopanangkul@forcepoint.com

forcepoint_logo_big

from:https://www.techtalkthai.com/9-steps-to-building-successful-insider-threat-program-by-forcepoint/

Backdoor Key สำหรับบายพาส UEFI Secure Boot บน Windows หลุดสู่สาธารณะ

microsoft_logo

Microsoft เผลอทำ Secret Key ที่ช่วยให้แฮ็คเกอร์สามารถปลดล็อกอุปกรณ์ Windows ที่ถูกป้องกันโดย UEFI (Unified Extensible Firmware Interface) Secure Boot หลุดสู่สาธารณะ ที่แย่คือ Microsoft ไม่สามารถยกเลิกการใช้ Secret Key ที่หลุดออกไปเหล่านั้นได้

Credit: wk1003mike/ShutterStock
Credit: wk1003mike/ShutterStock

Secure Boot เป็นฟีเจอร์ด้านความมั่นคงปลอดภัยที่ช่วยปกป้องอุปกรณ์ Windows จากมัลแวร์บางประเภท เช่น Rootkit ซึ่งสามารถเข้าควบคุม System Bootloader ได้ รวมไปถึงจำกัดการรันเฉพาะระบบปฏิบัติการที่ได้รับการยืนยัน (Cryptographically Signature Checking) จากทาง Microsoft เท่านั้น

อย่างไรก็ตาม นักวิจัยด้านความมั่นคงปลอดภัย MY123 และ Slipstream ได้ออกมาเปิดเผยถึง Golden Key ที่ช่วยให้สามารถติดตั้งระบบปฏิบัติการอื่นที่ไม่ใช่ Windows ได้ เช่น GNU/Linux หรือ Android บนอุปกรณ์ที่ถูกปกป้องโดย Secure Boot ที่สำคัญคือ นักวิจัยทั้งสองระบุว่า เป็นไปไม่ได้เลยที่ทาง Microsoft จะทำการ Revoke Key ที่หลุดออกมานี้ ส่งผลให้หน่วยงานรัฐบาล เช่น FBI หรือ NSA สามารถใช้ Key ดังกล่าวสร้าง Backdoor พิเศษสำหรับปลดล็อกอุปกรณ์ Windows ในกรณีที่ต้องการหาหลักฐานจากอาชญากรได้

ปัญหาเรื่อง Secret Key รั่วไหลออกมานี้เกิดจากระบบการโหลด Secure Boot Policy ซึ่งจะมี Policy ชนิดพิเศษที่ถูกสร้างและเซ็นชื่อโดยนักพัฒนา นักทดสอบระบบ และโปรแกรมเมอร์ของ Microsoft สำหรับใช้ Debug ระบบปฏิบัติการ โดย Policy ดังกล่าวจะถูกโหลดเข้ามาก่อน และจัดการยกเลิกการตรวจสอบ Signature ของระบบปฏิบัติการทั้งหมด ส่งผลให้แฮ็คเกอร์สามารถบายพาสการป้องกันของ Secure Boot ได้

วันอังคารที่ผ่านมา Microsoft ได้ออกแพทช์ประจำเดือนสิงหาคมเพื่อพยายามอุดช่องโหว่ดังกล่าวเป็นครั้งที่ 2 ในรอบ 2 เดือน อย่างไรก็ตาม แพทช์ดังกล่าวก็ยังไม่สมบูรณ์เพียงพอ

ที่มา: http://thehackernews.com/2016/08/uefi-secure-boot-hack.html

from:https://www.techtalkthai.com/microsoft-leaks-backdoor-key-to-bypass-secure-boot/

Ubuntu Forums ถูกแฮ็ค (อีกครั้ง) สาเหตุจากการไม่อัพเดทแพทช์

Canonical บริษัทผู้ให้บริการและสนับสนุนเซอร์วิสสำหรับ Ubuntu ออกมาประกาศยอมรับว่าเว็บบอร์ด Ubuntu Forums ถูกแฮ็ค ข้อมูลผู้ใช้กว่า 2,000,000 คน ได้แก่ หมายเลข IP, Username และ Email รั่วไหลสู่ภายนอก จากการตรวจสอบสาเหตุพบว่าเกิดจากการไม่อัพเดทแพทช์อุดช่องโหว่ SQL Injection

Credit: Rawpixel.com/ShutterStock
Credit: Rawpixel.com/ShutterStock

สาเหตุจากการไม่อัพเดทแพทช์อุดช่องโหว่บน Add-on

Ubuntu Forums เป็นเว็บบอร์ดออนไลน์สำหรับให้ผู้ใช้ Ubuntu แลกเปลี่ยนความคิดเห็นเกี่ยวกับระบบปฏิบัติการ โดยทาง Jane Silber, CEO ของ Canonical เร่ิมต้นโพสต์ใน Blog ว่า “เกิดเหตุการณ์การเจาะระบบเพื่อขโมยข้อมูลบนเว็บ Ubuntu Forums ซึ่งพวกเรากำลังทำการสืบสวนในรายละเอียดอยู่ เราให้ความสำคัญกับความมั่นคงปลอดภัยของข้อมูลและความเป็นส่วนบุคคลมาก”

หลังจากที่ Canonical ทราบว่าเว็บบอร์ดถูกแฮ็คก็ได้รีบเข้าอัพเดทแพทช์และแก้ไขปัญหาทันที ซึ่งตอนนี้เว็บบอร์ดกลับมาให้บริการตามเดิมแล้ว หลังจากการตรวจสอบ พบว่าสาเหตุที่ข้อมูลรั่วไหลเกิดจากช่องโหว่ SQL Injection ที่ไม่ได้แพทช์บน Add-on ที่ชื่อว่า “Forumrunner” ส่งผลให้ผู้ไม่ประสงค์สามารถโจมตีเพื่อขโมยข้อมูลในฐานข้อมูลออกไปได้

ขโมยข้อมูลจากการโจมตี SQL Injection

Silber ระบุว่า สิ่งที่แฮ็คเกอร์ได้ไปจากการโจมตีแบบ SQL Injection คือ แฮ็คเกอร์สามารถเข้าถึงฐานข้อมูลบน Database Server ของเว็บบอร์ดได้ ไม่ว่าจะเป็น Table ไหนก็ตาม ซึ่งแฮ็คเกอร์ก็ได้ดาวน์โหลด Table “user” ออกไปบางส่วน ประกอบด้วย ชื่อผู้ใช้ อีเมล และหมายเลข IP Address กว่า 2,000,000 เร็คคอร์ด

การเจาะระบบเพื่อขโมยข้อมูลครั้งนี้นับว่าเป็นเครื่องพิสูจน์อันดีว่า ช่องโหว่ที่ใหญ่ที่สุดของระบบความมั่นคงปลอดภัยก็คือ Human Error นั่นเอง อย่างไรก็ตาม การแฮ็คนี้ไม่ได้ส่งผลต่อระบบปฏิบัติการ Ubuntu แต่อย่างใด และปัญหาที่เกิดขึ้นก็ไม่ได้มาจากช่องโหว่บนระบบปฏิบัติการ

ที่มา: http://thehackernews.com/2016/07/ubuntu-hacked.html

from:https://www.techtalkthai.com/ubuntu-forums-hacked-due-to-not-patching/