ในขณะที่อินเทอร์เน็ตกำลังเป็นเครื่องมือสำคัญสำหรับการพัฒนาความเจริญเติบโตทางเศรษฐกิจของทุกประเทศทั่วโลก และขณะเดียวกันอินเทอร์เน็ตกลายเป็นเวทีสำหรับการแลกเปลี่ยนความคิดเห็นของประชาชนในหลายประเทศทั่วโลก จากรายงานของ World Economic Forum แสดงให้เห็นว่าทั่วโลกกำลังวิตกกังวลกับภัยคุกคามด้านไซเบอร์เป็นอย่างมาก โดยภัยคุกคามด้านไซเบอร์ถูกจัดให้อยู่ในอันดับที่ 4 ใน 10 Trends ของโลก (รูปที่ 1 อันดับแนวโน้มภัยคุกคามไซเบอร์ทั่วโลกประจำปี 2014 – Global Agenda 2014, World Economic Forum) ประกอบกับรายงานผลการศึกษาของสถาบัน BCI (The Business Continuity Institute) ซึ่งเป็นสถาบันอันดับหนึ่งของโลกด้านการบริหารความต่อเนื่องทางธุรกิจ ยังแสดงให้เห็นว่า Cyber Attack เป็นประเด็นอันดับต้น ๆ ที่องค์กรให้ความสนใจมากที่สุด (รูปที่ 2 แนวโน้มภัยคุกคามด้านความมั่นคงปลอดภัยที่องค์กรทั่วโลกตระหนัก ปี 2014 งานวิจัยโดยสถาบัน BCI – Threats and horizon scanning 2014, BCI) เนื่องจากในปัจจุบันและอนาคต องค์กรหลายแห่งกำลังถูกคุกคามอย่างต่อเนื่องจากการโจมตีทางไซเบอร์ (Cyber Attack) […]
Read more
Abstract จากการที่ผู้ทดสอบเจาะระบบชาวอัลจีเรีย นามว่า Abdelli Nassereddine ได้ค้นพบช่องโหว่ Unauthorized access and Password Disclosure ที่สามารถเข้าถึงไฟล์ “rom-0” ของเร้าเตอร์ยี่ห้อ TP-LINK รุ่นหนึ่ง ที่ซึ่งถูกแจกจ่ายโดยผู้ให้บริการอินเตอร์เน็ทให้กับผู้ใช้งานอินเตอร์เน็ทในประเทศอัลจีเรีย โดยที่ไฟล์ rom-0 นั้นเป็นไฟล์ที่ใช้ในการสำรองการตั้งค่า ซึ่งมีข้อมูลการตั้งค่าต่าง ๆ ของตัวเร้าเตอร์ รวมถึงรหัสผ่านที่ใช้ในการเข้าไปบริหารจัดการและตั้งค่าของเร้าเตอร์ รวมถึงมีการกล่าวถึงการยกระดับการโจมตีโดยใช้เทคนิค DNS Hijacking เพื่อขโมยข้อมูลบัญชี Internet Banking และเข้าควบคุมเครื่องคอมพิวเตอร์เหยื่อได้ ทางผู้จัดทำบทความนี้จึงได้ทำการค้นคว้าเพิ่มเติม และพบว่า ไม่ใช่เฉพาะเร้าเตอร์รุ่นที่ถูกกล่าวถึงเท่านั้นที่มีช่องโหว่ประเภทนี้ เร้าเตอร์ที่มีช่องโหว่นี้ ในประเทศไทย ได้มีการแจกจ่ายให้กับผู้ใช้งาน (รวมถึงผู้เขียนบทความเองด้วย) ที่ได้ทำการเปิดใช้บริการอินเตอร์เน็ทความเร็วสูง หรือแม้กระทั่งการซื้อมาใช้เอง ทำให้ผลกระทบที่เกิดขึ้นนั้น ส่งผลเป็นวงกว้าง (large scale cyber threat) และอาจจะส่งผลต่อความมั่นคงของระบบสารสนเทศในระดับชาติได้ โดยในบทความนี้จะกล่าวถึงภัยคุกคามที่จะเกิดต่อผู้ใช้งานเร้าเตอร์ที่มีช่องโหว่ประเภทนี้ให้มากที่สุด รวมถึงการป้องกันการถูกโจมตีในกรณีที่ยังไม่มีการอัพเดท firmware เพื่อแก้ไขช่องโหว่จากเจ้าของผลิตภัณฑ์ Introduction ช่องโหว่ Unauthorized […]
Read more
จากความเปลี่ยนแปลงเทคโนโลยีสื่อสารของโลกที่มีการพัฒนาอย่างก้าวกระโดดในปีที่ผ่านมา พบว่า “ The Nexus of Forces” ของ Gartner เป็นกระแสที่มาแรงและกำลังได้รับความสนใจจากทั่วโลก โดย S-M-C-I ย่อมาจาก Social – Mobile – Cloud และ Information อุบัติการณ์การมาบรรจบกัน ( Convergence) ของกระแสความนิยมการใช้เครือข่ายสังคมออนไลน์ ( Social Media) เช่น Facebook และ Twitter ร่วมกับการใช้สมารท์โฟน ตลอดจนความนิยมในการดาวน์โหลด “Mobile App” ในการติดต่อกันในลักษณะ Social Network เช่น LINE หรือ WhatsApp ตลอดจนการใช้งานระบบ Cloud ในการจัดเก็บข้อมูลทั้งส่วนตัวและข้อมูลขององค์กร เช่น การใช้ Free eMail : Hotmail, Gmail รวมถึงการใช้ Cloud – […]
Read more
ถ่ายทอดประสบการณ์ Cybersecurity ระดับโลกจากโครงการทุน Eisenhower Fellowships Southeast Asia Regional Program 51 วันในประเทศสหรัฐอเมริกา :: Eisenhower Fellowships Southeast Asia Regional Program: The World-class Cybersecurity Experience in USA ปัญหาเรื่อง “Cybersecurity” กำลังกลายเป็นปัญหาระดับชาติและเป็นวาระแห่งชาติในหลายประเทศทั้งในปัจจุบันและอนาคตโดยมีผลกระทบต่อความมั่นคงปลอดภัยและการพัฒนาเศษฐกิจสังคมของประเทศ หากประเทศใดไม่มีการเตรียมความพร้อมทางไซเบอร์ (Cybersecurity Readiness) อย่างเพียงพอ โอกาสที่จะถูกโจมตีโครงสร้างพื้นฐานที่มีความสำคัญ (Critical Infrastructure) จึงมีความเป็นไปได้สูง ทาง NSA ใช้คำว่า “Digital Pearl Harbor” ทำให้นึกถึงปัญหาด้านการข่าวและการเตรียมตัวที่บกพร่องของสหรัฐอเมริกา ทำให้ Pearl Harbor ถูกญี่ปุ่นโจมตีอย่างไม่ทันตั้งตัว เกิดความเสียหายทั้งชีวิตและทรัพย์สินครั้งใหญ่ในประวัติศาสตร์ของประเทศสหรัฐอเมริกาที่ต้องจารึกไว้เป็นบทเรียนราคาแพงตราบจนถึงทุกวันนี้ ผมได้รับโอกาสเป็นตัวแทนหนึ่งในห้าคนไทยที่ผ่านการคัดเลือกโดยคณะกรรมการทุน Eisenhower Fellowships 2013 Southeast Asia Regional Program […]
Read more
บทสัมภาษณ์พิเศษ Professor Edward Humphreys, Father of ISMS โดย อาจารย์ปริญญา หอมเอนก ประธานและผู้ก่อตั้งบริษัท ACIS ประเทศไทย เพื่อแลกเปลี่ยนความรู้และมุมมองใหม่ๆเกี่ยวกับมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001:2013 Version ใหม่ล่าสุด (Exclusive only eEnterprise Magazine direct from London) Mon, 09 Sep 2013 มาตรฐาน ISO/IEC 27001:2005 นับเป็นมาตรฐานในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศที่ได้รับการยอมรับทั่วโลก ในสภาวะแวดล้อมของโลกธุรกิจในปัจจุบันที่การทำธุรกิจและข้อมูลต่างๆเชื่อมถึงกันทั่วโลกมาตรฐาน ISO/IEC27001:2005 ได้พิสูจน์แล้วว่าสามารถช่วยในการปกป้องข้อมูลและทรัพย์สินที่สำคัญขององค์กรจากภัยคุกคามและความเสี่ยง อันเนื่องมาจากการเชื่อมโยงของโลกธุรกิจได้อย่างมีประสิทธิภาพ ในปัจจุบัน มาตรฐาน ISO/IEC27001: 2005 ได้รับการปรับปรุงยกเครื่องใหม่หมดมาเป็นมาตรฐาน ISO/IEC27001: 2013 New Version ซึ่งได้รับการพัฒนาให้สามารถป้องกันระบบพื้นฐานและบริการต่างๆ ที่องค์กรใช้ในการดำเนินธุรกิจได้อย่างทันสมัยและมีประสิทธิภาพมากยิ่งขึ้น เนื่องจากความปลอดภัยของข้อมูลและทรัพย์สินเป็นสิ่งสำคัญของทุกๆองค์กรดังนั้นองค์กรต่างๆควรตระหนักถึงความสำคัญในการปกป้องข้อมูลและทรัพย์สินของตนจากภัยคุกคามทางระบบสารสนเทศที่มาในรูปแบบต่างๆเช่น ความเสี่ยงจากการใช้งานอินเทอร์เน็ต ภัยจากการทำธุรกรรมทางธนาคารหรือการซื้อขายออนไลน์ การโจรกรรมพาสเวิร์ด การจู่โจมด้วยการส่งโปรแกรมมาดักจับข้อมูลทางคอมพิวเตอร์ ภัยเหล่านี้สร้างความเสียหายอย่างรุนแรงแก่องค์กรได้ ภัยคุกคามเหล่านี้สามารถป้องกันได้โดยการปฏิบัติตามมาตรฐาน […]
Read moreในปัจจุบันอัตราการเพิ่มขึ้นของจำนวนเหยื่อของการถูกเจาะระบบ Internet Banking ในประเทศไทย (แสดงดังรูปที่ 1) มีอัตราการเพิ่มขึ้นแบบ Exponential หมายถึงเป็นอัตราการเพิ่มขึ้นในอัตราก้าวกระโดดจากปี พ.ศ. 2546 ถึงปี พ.ศ. 2555 อันเป็นผลมาจากพัฒนาการของโปรแกรมมัลแวร์ (MalWare) ที่ใช้ในการขโมยข้อมูลชื่อผู้ใช้และรหัสผ่าน รวมถึง One Time Password (OTP) ของเหยื่อผ่านทาง SMS ซึ่งในปัจจุบันโปรแกรมดังกล่าวมีชื่อเรียกหลายชื่อ เช่น Zeus Trojan, SpyEye Trojan และ SilentBanker Trojan ล้วนแต่มีจุดมุ่งหมายในการโจมตีข้อมูลเพื่อโอนเงินเข้าบัญชีของแฮกเกอร์ทั้งสิ้น การปฏิบัติการเจาะระบบของแฮกเกอร์อย่างต่อเนื่องในตลอด 10 ปีทผ่านมา พบว่ามีจำนวนเหยื่อเพิ่มมากขึ้นเรื่อยๆ เพราะ นอกจากระบบ Internet Banking แล้ว ปัจจุบันธนาคารยังได้พัฒนาระบบ Mobile Banking เพื่อตอบสนองต่อลูกค้า จากกระแสความนิยมการใช้งาน Smartphone โดย Gartner มีการคาดการณ์ว่า ภายในปี ค.ศ.2015 อัตราการพัฒนาแอพพลิเคชั่นสำหรับ […]
Read moreจากกระแสความนิยมการใช้งานเครือข่ายอินเตอร์เน็ต แท็บเล็ตและสมาร์ทโฟน รวมถึงการใช้งานเครือข่ายสังคมออนไลน์ Facebook และ Twitter ทำให้หลายท่านอาจไม่รู้สึกว่าอุปกรณ์คอมพิวเตอร์อยู่ใกล้ตัวเรามากขึ้นทุกวัน เพราะโทรศัพท์เคลื่อนที่ในปัจจุบันไม่ใช่โทรศัพท์แบบในสมัยก่อนอีกต่อไป แต่แท็บเล็ตและสมาร์ทโฟนในปัจจุบันก็คือคอมพิวเตอร์ที่มีความสามารถสูง และทุกคนสามารถเข้าถึงได้ง่ายกว่าคอมพิวเตอร์แบบตั้งโต๊ะในอดีต ทำให้ภัยมืดอินเทอร์เน็ตต่างๆเข้าใกล้ตัวมากขึ้น เป็นไปตามลักษณะการใช้งานอุปกรณ์คอมพิวเตอร์ที่อยู่ในรูปแบบของแท็บเล็ตและสมาร์ทโฟน ดังกล่าวโดยผู้ใช้ไม่รู้สึกว่ากำลังพกคอมพิวเตอร์ติดตามตัวตลอดเวลา ด้านความสามารถของแท็บเล็ตและสมาร์ทโฟนเอง ประกอบกับความเร็วที่เพิ่มขึ้นของเครือข่าย 3G/4G (LTE) ทำให้ภัยมืดอินเทอร์เน็ตต่างๆสามารถเข้าถึงตัวเราได้รวดเร็วมากขึ้น ในยุคแห่ง Gen-Y เช่นนี้ พฤติกรรมการใช้งานอุปกรณ์พกพาต่างๆของผู้คนมีการเปลี่ยนแปลงไปอย่างสิ้นเชิง ผู้คนใช้งานอินเทอร์เน็ตด้วยความเร็วสูง โดยหากไม่มีสติในการใช้งานแล้วมีโอกาสพลาดค่อนข้างมากเพราะลักษณะการใช้งานเป็นไปอย่างรวดเร็วทันใจ เมื่อ “Post” พลาดหรือ “Tweet” พลาด ก็ไม่สามารถที่จะดึงข้อมูลกลับคืนจากระบบเก็บข้อมูลของ Search Engine อันทันสมัย ที่สามารถนำข้อมูลของเราไปวิเคราะห์ทางด้านการตลาด หรือที่เรียกว่า “Big Data Analytics” ทำให้เรามีโอกาสเสียความเป็นส่วนตัว (Personal Privacy) ได้อย่างง่ายดาย รวมถึงเทคโนโลยีใหม่ๆที่ถูกนำมาใช้กับ Location Aware Application เช่น Augmented Reality (AR) ก็มีผลกระทบกับความเป็นส่วนตัวของเราเช่นกัน กล่าวถึงความเป็นส่วนตัว (Privacy) ขณะนี้กำลังเป็นปัญหาใหญ่ที่ทั่วโลกกำลังจับตามาอง โดยคณะทำงานร่างมาตรฐาน […]
Read moreCOBIT 5 Framework จาก ISACA (ขณะนี้เปิดให้ download แล้วที่http://www.isaca.org/COBIT ) เป็นการยกเครื่องครั้งใหญ่จากมุมมอง “IT Governance” มาเป็นมุมมอง “Governance and Management of Enterprise IT” โดยได้รับอิทธิพลมาจากมาตรฐาน ISO/IEC 38500 “Corporate Governance of Information Technology” (ดูรูปที่ 1) และเป็นการรวม Framework และ Guidance ทั้ง 6 ของ ISACA และ IT Governance Institute มาเป็น Framework เดียว โดยใน COBIT 5 Framework จะประกอบด้วย Board Briefing on IT Governance BMIS (The […]
Read more