Cybersecurity

WiFi-Pumpkin เป็น Framework สำหรับใช้ทำ Rouge Access Point เพื่อโจมตีแบบ Man-in-the-Middle รวมไปถึงการโจมตีบนนระบบ Wi-Fi แบบอื่นๆ เช่น ดักจับทราฟฟิคเพื่อขโมย Username/Password ของผู้ใช้ เป็นต้น ผู้ที่สนใจสามารถดูวิธีการติดตั้งได้ที่ https://github.com/P0cL4bs/WiFi-Pumpkin

มาถึงรอบ Patch แรกของปีนี้แล้ว ซึ่งปกติ Oracle จะปล่อย Patch ออกมาทุกๆ 3 เดือน และที่ผ่านมามีการอุดช่องโหว่โดยเฉลี่ยประมาณ 100 ช่องโหว่ต่อครั้ง แต่คราวนี้ Oracle ออก Patch อุดช่องโหว่มากถึง 248 ช่องโหว่เลยทีเดียว และครอบคลุมผลิตภัณฑ์ที่รู้จักกันดีอย่าง Oracle Database, Java SE, PeopleSoft, Oracle WebLogic, , Solaris, MySQL และ Oracle VM Virutal Box พร้อมผลิตภัณฑ์อื่นๆ ของ Oracle อีกเป็นจำนวนมาก ซึ่งในจำนวนนี้ก็มี Critical Patch ไม่น้อยเลยทีเดียว

Apple เพิ่งประกาศออก iOS รุ่น 9.2.1 มา เพื่ออุดช่องโหว่ไปด้วยกันทั้งสิ้น 13 CVE ซึ่ง 6 ช่องโหว่ในนั้นนำไปสู่การโจมตี Remote Code Execution ได้, แก้ปัญหาบางเครื่องติดตั้ง App ไม่ได้

SplashData ผู้ให้บริการซอฟต์แวร์สำหรับบริหารจัดการรหัสผ่านชื่อดัง ได้ออกมาเปิดเผยถึง 25 รหัสผ่านยอดนิยม หรืออาจเรียกว่าเป็นรหัสผ่านยอดแย่ประจำปี 2015 ที่ผ่านมา ซึ่งอันดับหนึ่งยังคงเป็น “123456” ตามด้วย “password” เช่นเดียวกับปี 2014

Perception Point บริษัท Startup ทางด้าน Security จากอิสราเอล ได้ออกมาประกาศถึงช่องโหว่ Zero-day ที่เพิ่งค้นพบซึ่งเปิดให้ผู้โจมตีสามารถยกระดับสิทธิ์ตัวเองเป็น Root ได้ และคาดว่าอุปกรณ์ Linux ทั่วโลกกว่า 66% จะได้รับผลกระทบจากช่องโหว่นี้

เช้าวันนี้ Perception Point บริษัทที่ปรึกษาด้านความปลอดภัยบนโลกไซเบอร์ ประเทศอิสราเอล ได้ออกมาเปิดเผยช่องโหว่ Zero-day ใหม่บน Android และ Linux ที่ช่วยให้แฮ็คเกอร์สามารถยกระดับสิทธิ์ (Privilege Escalation) ของตนและได้สิทธิ์ Root โดยไม่ได้รับอนุญาติได้

กรุงเทพฯ – 15 มกราคม 2559 เวลา 10.00 น. สำนักงานป้องกันและปราบปรามการฟอกเงิน ( สำนักงาน ปปง. ) แถลงข่าวความร่วมมือกับบริษัท แซส ซอฟท์แวร์ ( ไทยแลนด์ ) จำกัด ในการนำเทคโนโลยีระดับโลก แซส ( SAS ) มาวิเคราะห์ธุรกรรมทางการเงิน เพื่อสนับสนุนการทำงานด้านการป้องกันปราบปรามการฟอกเงิน และคาดหวังว่า หาก ปปง. นำ แซส ( SAS ) มาใช้ จะช่วยเพิ่มปริมาณข้อมูลและเพิ่มประสิทธิภาพในการวิเคราะห์ธุรกรรมได้ในอนาคต

ปี 2015 ที่ผ่านมา มีผู้ใช้บริการ Facebook มากกว่า 1,550 ล้านคนทั่วโลกในแต่ละเดือน นับว่าเป็นหนึ่งในช่องทางในการติดต่อสื่อสารและแลกเปลี่ยนข้อมูลที่ใหญ่ที่สุดในโลก เช่นเดียวกัน Facebook ยังนับว่าเป็นช่องทางที่ใช้ในการก่ออาชญากรรมบนโลกไซเบอร์ที่มีผู้คนตกเป็นเหยื่อมากที่สุด ไม่ว่าจะเป็นเรื่องการปลอมแปลงตัวตน การหลอกลวงต้มตุ๋น ซึ่งอาจรุนแรงถึงขั้นกระทบต่อชีวิตจริงได้

หลังจากที่เคยมีข่าวออกมาเรื่อยๆ ว่ารถยนต์อัจฉริยะแต่ละค่ายนั้นถูก Hack ได้สำเร็จ ทางผู้ผลิตรถยนต์รายใหญ่ในประเทศสหรัฐอเมริกา จึงได้ตัดสินใจที่จะร่วมมือกันพัฒนาระบบรักษาความปลอดภัยและแบ่งปันข้อมูลต่างๆ ร่วมกันโดยมีหน่วยงานรัฐของสหรัฐอเมริกาอย่าง Department of Transportation (DOT) เป็นเจ้าภาพ พร้อมลงนามในความร่วมมือนี้กันเรียบร้อยแล้ว

สำหรับหลายองค์กรหรือร้านค้าที่มีการชำระเงินผ่านบัตรเครดิต PCI-DSS นับว่าเป็นมาตรฐานสำคัญที่ช่วยให้ลูกค้าสามารถมั่นใจได้ว่า การทำธุรกรรมผ่านบัตรเครดิตของตนเองจะปลอดภัย ข้อมูลไม่รั่วไหลไปสู่ภายนอก อย่างไรก็ตาม PCI-DSS เป็นเพียงแค่ข้อกำหนดที่ให้บริษัทปฏิบัติตาม ไม่ได้มีการแนะนำหรือระบุวิธีการเพื่อให้ผ่านมาตรฐานแต่อย่างใด

Kali NetHunter แพลทฟอร์มสำหรับทดสอบเจาะระบบบน Android ออกเวอร์ชัน 3.0 ใหม่ล่าสุดให้ Pen Tester, Security Engineer และผู้ที่สนใจดาวน์โหลดไปใช้งานได้แล้ว โดยเวอร์ชันใหม่มีการปรับแต่งหน้าจออินเตอร์เฟสให้สวยงามและใช้งานได้ง่ายยิ่งขึ้น รวมไปถึงเพิ่มฟีเจอร์ในการทำงานอีกมากมาย

วันที่ 16 มกราคมที่ผ่านมา กลุ่ม 2600 Thailand ร่วมกับมหาวิทยาลัยกรุงเทพฯ ได้จัดงาน Red Pill 2016 – An Offensive Security Conference ขึ้น เพื่อแลกเปลี่ยนความรู้ทางด้านความมั่งคงปลอดภัยบนโลกไซเบอร์ โดยมีผู้สนใจเข้าร่วมงานหลายร้อยคนจากภาคธุรกิจต่างๆ และวันนี้ กลุ่ม 2600 Thailand ได้เผยแพร่เอกสารประกอบการนำเสนอให้ผู้ที่สนใจดาวน์โหลดได้ฟรี

จากผลการสำรวจในหัวข้อ Voice of the Enterprise: Information Security ที่จัดขึ้นโดย 451 Research ที่สำรวจกลุ่มองค์กรในประเทศสหรัฐอเมริกากว่า 900 แห่งถึงการลงทุนทางด้าน IT Security ในปี 2016 ได้มีตัวเลขต่างๆ ที่น่าสนใจดังนี้

การไม่เปิดเผยตัวตนในโลกเน็ตเวิร์คแทบจะเรียกว่าเป็นไปไม่ได้เลยในโลกยุคปัจจุบันที่มีทั้งรัฐบาลและ ISP คอยสอดส่องติดตามอยู่ตลอดเวลา ถึงแม้ว่าจะใช้ Tor หรือ VPN ก็อาจจะเรียกว่าไม่เพียงพอที่จะปกป้องกความเป็นส่วนบุคคล (Privacy) อีกต่อไป เมื่อไหร่ก็ตามที่ IP ถูกตรวจจับได้ เป็นอันจบเกม

หลังจากที่ Raytheon ได้ร่วมทำ Joint Venture กับ Websense เกิดขึ้นมาเป็น Raytheon|Websense มาก่อนแล้ว วันนี้ทั้งคู่ได้เปลี่ยนชื่อรวมกันเป็น Forcepoint และเตรียมเข้าสู่ตลาด Enterprise IT ในฐานะผู้ผลิตระบบรักษาความปลอดภัยแบบครบวงจรอีกรายหนึ่งที่น่าจับตามองไม่น้อยเลยทีเดียว และทำให้ทั้งคู่มีผลิตภัณฑ์ทางด้าน Cybersecurity ดังนี้

Akamai ผู้ให้บริการะบบ CDN ขนาดใหญ่ที่สุดในโลก ออกมาเปิดเผยถึงแคมเปญการทำ SEO แบบใหม่ของแฮ็คเกอร์ที่ใช้ SQL Injection ในการโจมตีเว็บไซต์ ส่งผลให้เว็บไซต์ดังกล่าวถูกสอดแทรกด้วยลิงค์ HTML ที่ทำให้ Search Engine Bot สับสนและส่งผลกระทบต่อการจัดอันดับเว็บไซต์จากการค้นหา

ถัดจากตู้เย็น กาต้มน้ำ ครั้งนี้ถึงคราว “กริ่งประตูบ้านอัจฉริยะ” หรือ Smart Doorbell ที่เสี่ยงถูกแฮ็คเกอร์ใช้เป็นเครื่องมือเพื่อแฮ็ครหัสผ่าน Wi-Fi

Qualys บริษัทที่ปรึกษาด้านความปลอดภัยชื่อดังได้ออกมาเปิดเผยถึงช่องโหว่ความรุนแรงสูงบน OpenSSH ที่ช่วยให้แฮ็คเกอร์สามารถบังคับเอาข้อมูล Private SSH Key จากเครื่องผู้ใช้ได้ แนะนำให้รีบอัพเดทแพทช์เพื่ออุดช่องโหว่โดยเร็ว

รายงานการคาดการณ์ความปลอดภัยของข้อมูลหลายๆ Products หลายๆสำนักเห็นตรงกันว่าปี 2559 จะมีกระแสภัยคุกคามรูปแบบเดิมที่พัฒนามา Advance มากขึ้น รวมไปถึงภัยแบบใหม่ๆ เช่น ไวรัสเรียกค่าไถ่ชั้นสูงที่จะพัฒนามาสู่ Platform ต่างๆ ที่มากกว่า Windows ซึ่งการโจมตีจะพุ่งเป้าไปที่ระบบปฏิบัติการ iOS หรือ Android มากขึ้น รวมไปถึงช่องโหว่ใหม่ๆ เพื่อให้คนร้ายสามารถขโมยข้อมูลส่วนตัวเพื่อนำไปแอบอ้างตัวตนได้ อีกทั้งภัยคุกคามเดิมๆที่เราคุ้นเคยก็ยังคงอยู่ เช่น Email หลอกลวง เว็บไซด์ปลอม ไปจนถึง Malwares ที่แฝงตัวมากับโฆษณาต่างๆ