blog

  • 06
    07

    11 เทคโนโลยีสำคัญด้านความมั่นคงปลอดภัยในปี 2017 โดย Gartner

    เครดิตภาพจาก: Maksim Kabakou/ShutterStock

    Gartner บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกมาเปิดเผยถึงเทคโนโลยีด้านความมั่นคงปลอดภัยสารสนเทศที่น่าจับตามองในปี 2017 ซึ่งได้บรรยายไปภายในงาน Gartner Security & Risk Management Summit เมื่อสัปดาห์ที่ผ่านมา ซึ่งประกอบด้วย 11 รายการ ดังนี้

    1. Cloud Workload Protection Platform
    Data Center ยุคใหม่รองรับภาระงานที่รันบนแพตฟอร์มหลากหลายประเภท ไม่ว่าจะเป็น อุปกรณ์ Physical, Virtual Machines (VMs), Container, Private Cloud และ Public Cloud IaaS เทคโนโลยี Cloud Workload Protection Platform (CWPP) แบบไฮบริด ช่วยให้ผู้ดูแลระบบรักษาความมั่นคงปลอดภัยสารสนเทศสามารถผสานการป้องกันภาระงานบนแพลตฟอร์มเหล่านี้และการจัดทำนโยบายด้านความมั่นคงปลอดภัยได้ภายในหน้าคอนโซลเดียว โดยไม่ต้องสนใจว่าภาระงานดังกล่าวรันอยู่บนแพลตฟอร์มไหน

    2. Remote Browser
    การโจมตีที่ประสบความสำเร็จเกือบทั้งหมดมาจากอินเทอร์เน็ตสาธารณะ และการโจมตีผ่านเบราเซอร์ก็เป็นวิธียอดนิยมสำหรับใช้โจมตีผู้ใช้ ถึงแม้ว่าผู้ดูแลระบบรักษาความมั่นคงปลอดภัยสารสนเทศจะไม่สามารถหยุดยั้งการโจมตีได้ แต่สามารถกักกันความเสียหายได้โดยการแยกเซสชันการใช้งานอินเทอร์เน็ตของผู้ใช้ออกจากระบบเครือข่ายและอุปกรณ์ปลายทางขององค์กร การแยกฟังก์ชันการเล่นอินเทอร์เน็ตผ่านเบราเซอร์ออกมานี้ ช่วยให้มัลแวร์ไม่สามารถทะลุผ่านมายังระบบของผู้ใช้ รวมไปถึงช่วยลดช่องทางที่แฮ็คเกอร์ใช้โจมตีโดยการโยกความเสี่ยงไปยังเซสชันของเซิร์ฟเวอร์แทน ซึ่งสามารถรีเซ็ตเซสชัน แท็บที่เปิดใหม่ หรือ URL ที่เข้าถึง ให้อยู่สถานะที่มั่นใจว่ามีความมั่นคงปลอดภัย

    3. Deception
    นิยามของเทคโนโลยี Deception คือการใช้เหยื่อล่อ นกต่อ หรือเล่ห์เหลี่ยมที่ถูกออกแบบมาเพื่อขัดขวาง หรือหลบหนีจากกระบวนการทางความเข้าใจของแฮ็คเกอร์ ขัดขวางเครื่องมือที่แฮ็คเกอร์ใช้โจมตีอัตโนมัติ ยืดเวลาที่แฮ็คเกอร์ต้องใช้โจมตีออกไป หรือตรวจจับการโจมตี การวางเทคโนโลยี Deception ไว้ด้านหลัง Firewall ทำให้องค์กรสามารถตรวจจับการเจาะระบบป้องกันได้อย่างแม่นยำมากขึ้น ซึ่งปัจจุบันนี้เทคโนโลยี Deception เข้ามาเสริมความแข็งแกร่งด้านความมั่นคงปลอดภัยในหลายๆ องค์ประกอบ ได้แก่ อุปกรณ์ปลายทาง ระบบเครือข่าย แอพพลิเคชัน และข้อมูล

    4. Endpoint Detection and Response
    Endpoint Detection and Response (EDR) เป็นโซลูชันที่พัฒนาต่อยอดมาจากมาตรการควบคุมเชิงป้องกันบนอุปกรณ์ปลายทาง เช่น Antivirus โดยสามารถเฝ้าระวังพฤติกรรมที่ผิดปกติ และการกระทำที่ส่อแววว่าเป็นพฤติกรรมที่ประสงค์ร้าย บนอุปกรณ์ปลายทาง Gartner ทำนายไว้ว่า ในปี 2020 จำนวน 80% ขององค์กรขนาดใหญ่ 25% ขององค์กรขนาดกลาง และ 10% ขององค์กรขนาดเล็ก จะมีการนำโซลูชัน EDR เข้ามาใช้งาน

    5. Network Traffic Analysis
    Network Traffic Analysis (NTA) เป็นโซลูชันสำหรับติดตามและเฝ้าระวังทราฟฟิก การไหลของข้อมูล และการเชื่อมต่อบนระบบเครือข่ายเพื่อตรวจสอบหาพฤติกรรมที่ไม่พึงประสงค์ องค์กรที่กำลังมองหาโซลูชันบนระบบเครือข่ายสำหรับใช้ตรวจจับการโจมตีระดับสูงที่สามารถบายพาสระบบรักษาความมั่นคงปลอดภัยหน้าบ้านเข้ามาได้ ควรนำ NTA ไว้พิจารณา

    6. Managed Detection and Response
    Managed Detection and Response (MDR) เป็นบริการสำหรับผู้ที่กำลังมองหาการตรวจจับ ตอบสนอง และเฝ้าระวังภัยคุกคามภายในองค์กรอย่างต่อเนื่อง แต่ขาดซึ่งผู้เชี่ยวชาญหรือทรัพยากรในการบริหารจัดการด้วยตนเอง ความต้องการของ MDR ในตลาดของธุรกิจระดับ SMB และองค์กรขนาดเล็กเริ่มมีมากขึ้นเรื่อยๆ เนื่องจาก MDR เข้ามาตอบโจทย์สิ่งที่พวกเขาต้องการ

    7. Microsegmentation
    เมื่อแฮ็คเกอร์สามารถแทรกซึมเข้ามายังระบบขององค์กรได้แล้ว พวกเขามักจะพยายามแทรกซึมต่อไปยังอุปกรณ์ข้างเคียงอื่นๆ เพื่อค้นหาเป้าหมายที่แท้จริง Microsegmentation เป็นกระบวนการการแบ่งระบบออกเป็นส่วนๆ และแบ่งแยกออกจากกันอย่างเด็ดขาดภายใต้สภาวะแวดล้อมแบบ Virtualization เพื่อจุดประสงค์ด้านความมั่นคงปลอดภัย เช่นเดียวกับผนังแยกในเรือดำน้ำ Microsegmentation ช่วยจำกัดความเสียหายจากการที่ระบบถูกเจาะ ก่อนหน้านี้ Microsegment เคยถูกเรียกว่าเป็นเครื่องมือที่ช่วยในการป้องกันการแทรกซึมของแฮ็คเกอร์ที่ย้ายตัวเองไปมาระหว่างเซิร์ฟเวอร์ในระดับหรือโซนเดียวกัน แต่ตอนนี้ครอบคลุมถึงการย้ายตัวเองไปมาในสภาวะแวดล้อมแบบ Virtualization ด้วย

    8. Software-defined Parameters
    นิยามของ Software-defined Parameter (SDP) คือกลุ่มของอุปกรณ์ที่ต่างประเภทกัน แต่เชื่อมต่อถึงกันบนระบบเครือข่ายภายในสภาวะแวดล้อมปิดที่มั่นคงปลอดภัย ซึ่งอุปกรณ์เหล่านี้ปกติจะถูกซ่อนจากการเข้าถึงจากภายนอก และการเข้าจึงอุปกรณ์ภายในจะถูกจำกัดผ่านทาง Broker ที่เชื่อถือได้ ซึ่งช่วยให้สามารถปกปิดทรัพยากรจากสาธารณะและลดช่องทางในการถูกโจมตี Gartner พยากรณ์ไว้ว่า เมื่อถึงปลายปี 2017 อย่างน้อย 10% ขององค์กรขนาดใหญ่จะใช้ประโยชน์จากเทคโนโลยี SDP ในการแยกสภาวะแวดล้อมที่สำคัญออกมาจากระบบเครือข่ายปกติ

    9. Cloud Access Security Brokers
    Cloud Access Security Brokers (CASBs) ช่วยอุดช่องโหว่ด้านความมั่นคงปลอดภัยที่เกิดจากการใช้บริการบนระบบ Cloud และอุปกรณ์พกพาที่เพิ่มมากขึ้น CASB ช่วยให้ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสามารถควบคุมการใช้บริการบนระบบ Cloud ของผู้ใช้และอุปกรณ์ต่างๆ ได้พร้อมกันภายในจุดเดียว การเติบโตของการใช้ SaaS และความกังวลเรื่องความมั่นคงปลอดภัย ความเป็นส่วนบุคคล และการปฎิบัติตามข้อบังคับ ทำให้เกิดความต้องการด้าน Visibility และ Control บนระบบ Cloud มากยิ่งขึ้น

    10. OSS Security Scanning and Software Composition Analysis for DevSecOps
    ผู้ดูแลระบบรักษาความมั่นคงปลอดภัยต้องสามารถมีส่วนร่วมกับมาตรการด้านความมั่นคงปลอดภัยได้โดยไม่ต้องลงไปตั้งค่าด้วยตนเอง ผ่านทางการเข้าร่วม DevSecOps Cycle กับทีม DevOps แบบเนียนๆ แต่ไม่ขัดขวางความคล่องตัวในการทำงานของ DevOps ที่สำคัญคือสามารถบริหารจัดการความเสี่ยงและดำเนินการตามข้อบังคับและกฎหมายต่างๆ ได้ มาตรการควบคุมจะต้องสามารถทำงานได้โดยอัตโนมัติภายใน Toolchain ของ DevOps เพื่อให้สามารถบรรลุวัตถุประสงค์ดังกล่าว เครื่องมือ Software Composition Analysis (SCA) ถูกใช้เพื่อวิเคราะห์ซอร์สโค้ด โมดูล เฟรมเวิร์ก และไลบรารี่ที่นักพัฒนาใช้ เพื่อระบุและจัดเก็บ OSS Components และตรวจสอบช่องโหว่ด้านความมั่นคงปลอดภัยหรือประเด็นด้าน License ก่อนที่แอพพลิเคชันจะถูกนำไปใช้งานจริง

    11. Container Security
    Container ใช้โมเดลการแชร์ระบบปฏิบัติการ แฮ็คเกอร์ที่พบช่องโหว่บนระบบปฏิบัติการสามารถแฮ็ค Container ที่รันอยู่ด้านบนได้ทั้งหมด แต่ไม่ใช่ว่าการใช้ Container จะไม่มั่นคงปลอดภัย เพียงแค่ Container ถูกวางอยู่บนสภาวะแวดล้อมที่ไม่มั่นคงปลอดภัยโดยตัวนักพัฒนาเอง ซึ่งไม่มีทีมความมั่นคงปลอดภัยเข้ามามีส่วนร่วม หรือมีส่วนร่วมในการให้คำแนะนำน้อยมาก โซลูชันด้านความมั่นคงปลอดภัยบนระบบเครือข่ายและอุปกรณ์ปลายทางแบบดั้งเดิมไม่สามารถป้องกันภัยคุกคามบน Container ได้ โซลูชันด้านความมั่นคงปลอดภัยสำหรับ Container จึงเกิดมาเพื่อปกป้องการนำ Container มาใช้ ตั้งแต่การเริ่มสร้าง Container จนถึงการนำแอพพลิเคชันไปใช้งานจริง และโซลูชันส่วนใหญ่จะมาพร้อมกับคุณสมบัติ Preproduction Scanning และ Runtime Monitoring and Protection

    อ่านรายละเอียดฉบับเต็มได้ที่: http://www.gartner.com/newsroom/id/3744917

    ที่มา:https://www.techtalkthai.com/top-security-technologies-in-2017/

  • 06
    07

    เลือก Firewall อย่างไรดีในปี 2017

    เราต่างเคยได้ยินกันมาแต่ไหนแต่ไรในเรื่องวิธีการป้องกันระบบ IT ให้ปลอดภัย และเมื่อพูดถึงเรื่องนี้ก็มักจะได้ยินคำว่า “Firewall” อยู่เสมอ ไม่ว่าจะจากในภาพยนต์ หรือบทสัมภาษณ์ของผู้เชี่ยวชาญ ซึ่ง Firewall เปรียบเสมือนด่านหน้าการป้องกันอย่างแรกของระบบที่ทุกคนคิดถึง แต่ที่หลายๆคนไม่ทราบคือ Firewall มีชนิดที่หลากหลายและมีความสามารถในแต่ละประเภทไม่ซ้ำกันให้เลือกใช้งานให้เหมาะสมกับความต้องการ ในบทความนี้เราจะมาดูกันว่า มีอะไรบ้างและจะเลือกใช้ให้เหมาะสมกับระบบของเรายังไง
    Traditional Firewall

    Firewall มาตรฐานทั่วไปในอดีตจะทำงานในระดับสูงสุดที่ Network Layer (อ้างอิงจาก OSI Model) มีหน้าที่ควบคุมการใช้งาน traffic, ควบคุมการใช้งานเครื่องที่มาใช้ในเครือข่าย มี 2 แบบ หลักๆ คือแบบ Stateless และแบบ Stateful

    Stateless จะเป็นการคอยมอง traffic และจำกัดหรือปฎิเสธ packet ซึ่งดูตาม Source และ Destination IP Address หรือค่า static ใดๆ เช่น port เป็นต้น โดยไม่ได้สนใจ pattern หรือ data flow ใดๆ
    Stateful จะเปลี่ยนจากการคอยมอง traffic แต่เป็นมองการเชื่อมต่อแบบ end-to-end มีความสามารถจำสถานะการเชื่อมต่อได้ อีกทั้งยังสามารถเพิ่มการเฝ้าระวังเส้นทางการเชื่อมต่อได้ โดยสามารถทำส่วน IPSec (IP Security) เพื่อทำท่อเพื่อเข้ารหัสการรับส่งข้อมูลได้นั่นเอง

    สิ่งที่แตกต่างระหว่าง Stateless และ Stateful ทำให้ความเหมาะสมในการใช้งานก็แตกต่าง ไปเช่นกัน Stateless จะเหมาะสำหรับการใช้งานที่ Traffic ค่อนข้างเยอะและมีความเร็วในการจัดการ Packet ได้เร็วกว่า แต่ Stateful จะได้เรื่องการเก็บรายละเอียดการใช้งานต่างๆ ของ Connection แทน

    ส่วนการวาง Firewall โดยปกติจะวางไว้ด้านหลัง Router เลยเรียกได้ว่าเป็น การวางในส่วนที่แทบจะนอกสุดของระบบเครือข่ายเลย เพื่อกรอง Packet ที่เข้ามามีแต่ส่วนที่เรา อนุญาตเท่านั้น ซึ่งแน่นอนว่าเราอาจจะมี Firewall อีกตัวหนึ่ง เพื่อกั้นระหว่างการใช้งานภายในของ ผู้ใช้งานเองกับ Server ภายในก็สามารถทำได้

    Next Generation Firewall

    Next Generation Firewall (NGFW) เป็น Firewall ที่มีการยกระดับการป้องกันให้ทำงานได้ อย่างครอบคลุมมากขึ้น มีประสิทธิภาพที่มากขึ้น เป็นไปตามชื่อนั่นคืออีกยุคสมัยหนึ่งของ Firewall เพื่อจะรับมือภัยคุกคามที่ซับซ้อน และการใช้งานของผู้ใช้งานที่หลากหลายมากขึ้นนั่นเอง โดย Feature หลายๆอย่างที่เพิ่มเข้ามาในแต่ละ Vendor ก็จะคล้ายๆกัน ดังนี้

    เข้าใจถึงระดับ Application Layer นั่นคือแทนที่จะมองเป็นแค่ข้อมูลที่ส่งผ่าน port 80,443 เป็นการใช้งานของ application ประเภทใด แยกออกว่าเป็นการใช้โปรแกรมอย่าง LINE, Facebook Application, Facebook Game หรือไม่ เมื่อเข้าใจว่าเป็นการใช้งาน application ใดๆก็จะสามารถควบคุมการใช้งานเพิ่มเติมได้ เช่น การระบุเวลาการเล่น Facebook ภายในองค์กร เป็นต้น
    ติดตั้งระบบ IPS (Intrusion Protection System) เพิ่มเติมเข้าไป ทำให้สามารถป้องกันการ โจมตีภัยคุกคามต่างๆที่เป็น “Well-known attack ต่างๆได้ ไม่ว่าจะเป็น Known exploit attacks, การใช้งานที่ผิดปกติ Activity รวมถึงสามารถทำ traffic behavioral analysis ได้อีกด้วย
    เพิ่มความสามารถในการ track user ร่วมกับระบบ authentication ที่มี(เช่น Active Directory, LDAP เป็นต้น ทำให้ไม่เพียงแต่การป้องกันการใช้งาน Network ในระดับ network layer เท่านั้น ยังสามารถแบ่งแยกการเข้าถึง server ต่างๆโดยดูจาก user ของผู้ใช้งานอีกด้วย
    สามารถทำงานในลักษณะ Bridge mode หรือ Route Mode ก็ได้เช่นกัน
    มีการติดตั้งระบบ Antivirus เข้าไปเพิ่มอีกด้วย ซึ่งนั่นทำให้สามารถดักจับ Malware ต่างๆ ที่ผู้ใช้งานที่ใช้งานเครือข่ายผ่าน NGFW อีกด้วย
    อีกทั้งยังสามารถมีการนำข้อมูลจากภายนอกอย่าง Blacklist IP หรือ Sandbox สำหรับทำ Malware analysis มาเป็นตัวช่วยในการป้องกันเพิ่มเติมได้อีกด้วย

    จากประสิทธิภาพทั้งหมดเราจะเห็นว่า NGFW ไม่ได้มาเพื่อตอบโจทย์การป้องกัน ในลักษณะ เดิมอีกต่อไป NGFW ยังเน้นการป้องกันในส่วนของผู้ใช้งานให้มากขึ้นเป็นอย่างมาก การวาง NGFW นั้นจริงๆแล้วสามารถแทน Firewall ได้เลย แต่เพื่อไม่ให้ NGFW ทำงานหนักมากเกินไป NGFW จึงควรไว้หลัง Firewall เสียมากกว่า โดย NGFW ยี่ห้อที่ได้รับความนิยมมีหลายยี่ห้อ เช่น Palo Alto, Cisco, Checkpoint, Fortigate เป็นต้น

    Firewall สำหรับ Server โดยเฉพาะ
    Web Application Firewall (WAF)

    Web Application Firewall เป็น Firewall ที่ถูกสร้างขึ้นมาเพื่อใช้ป้องกันการโจมตีทางด้าน HTTP หรือก็คือการโจมตีที่เจาะจงมาที่เว็บไซต์นั่นเอง ซึ่งการป้องกันของ WAF นั้นจะมีด้วยกันหลายส่วน ไม่ว่าจะเป็น

    well-known attack หรือก็คือ pattern การโจมตีทั่วไปที่สามารถพบได้ทั่วไป
    การตรวจสอบว่าเป็นการใช้งานที่ผิดไปจาก HTTP Protocol หรือไม่
    การเรียนรู้การใช้งานปกติก่อนจะป้องกันการใช้งานที่ผิดปกติต่างๆ
    การใช้งาน threat intelligence ต่างๆ ไม่ว่าจะเป็นลักษณะการ request ที่เข้าข่ายว่าเป็น bot, Blacklist IP จากแหล่งต่างๆ เพื่อช่วยป้องกันการโจมตี
    การทำ virtual patching ให้กับเว็บไซด์ก่อน นั่นคือการป้องกันการโจมตีของช่องโหว่ใดๆ ที่ถูกประกาศ
    การรองรับการเข้ารหัสและถอดรหัส SSL ที่ WAF

    จริงๆแล้วยังมี Feature อีกมากมายหลากหลายขึ้นอยู่กับ product แต่ละเจ้า โดยการวางของ WAF นั้นจะพยายามให้ใกล้กับเว็บไซด์ที่ใกล้ที่สุดเท่าที่จะทำได้ โดยยี่ห้อที่ได้รับความนิยมมีด้วยกัน หลายเจ้า เช่น Imperva, Barracuda, Fortiweb เป็นต้น

    Database Firewall

    Database Firewall (DBF) เป็น Firewall ที่ไม่เพียงแต่เอาไว้สำหรับการป้องกันการโจมตี ที่จะเกิดขึ้นกับ Database แต่ยังเป็นการ audit การใช้งาน Database ทั้งหมดที่อยู่ภายใต้ความดูแล ของ DBF อีกด้วย ทั้งนี้ความสามารถของ DBF ทำได้ทั้งในส่วน

    ในหลายๆองค์กรจำเป็นต้องมีการ audit การใช้งาน database เพื่อจะตอบโจทย์ในการทำ Compliane ต่างๆ เช่น PCI-DSS เป็นต้น ดังนั้นจำเป็นต้องมีการเก็บ query ทั้งหมดที่เกิดขึ้น แต่เมื่อกระทำการ audit จะทำให้ระบบมีประสิทธิภาพการทำงานที่ลดลง ดังนั้นการใช้งาน DBF ในการเก็บ query ทั้งหมดแทน Database Server จึงช่วยในเรื่องนี้ได้มาก เพราะได้ทั้งตอบโจทย์ในเรื่องการ audit และประสิทธิภาพที่ยังคงที่
    การป้องกันการโจมตีที่เข้ามายัง Database ในลักษณะที่เป็น SQL Injection Attack
    การตรวจสอบสิทธิ์การเข้าใช้งานของ user แต่ละคน รวมถึงการควบคุมการเข้าถึงโดย user ไปยัง Database หรือ table ใดๆในระบบ
    DBF ส่วนใหญ่จะสามารถทำงานได้ทั้งแบบ Sniff Mode และ Inline Mode

    วิธีการวางของ DBF ก็จะคล้ายๆกับ WAF แทนที่จะวางใกล้กับเว็บไซด์ ก็กลายเป็นวางใกล้กับ database แทนนั่นเอง ณ ปัจจุบัน ตลาดของ DBF ยังมีผู้เล่นในตลาดอยู่น้อยมากๆ โดยยี่ห้อที่ได้รับความนิยมมากที่สุด ณ ตอนนี้คือ Imperva
    สรุป

    กาลเวลาที่เปลี่ยนไปทำให้อะไรๆ ก็ต้องปรับตัว ยิ่ง Malware พัฒนามากขึ้นเท่าไหร่ ฝ่ายป้องกันก็ต้องพัฒนาตามมากขึ้นเท่านั้นเช่นกัน สิ่งที่เราไม่ควรมองข้ามคือการคอยเฝ้าระวังภัย คุกคามที่อาจเกิดขึ้นใหม่ทุกๆวัน เพื่อให้องค์กรเราไม่ตกเป็นเหยื่อของภัยคุกคามเหล่านั้นนั่นเอง

    ที่มา:https://www.catcyfence.com/it-security/article/pick-the-firewall-in-year-2017/

  • 06
    07

    แคร็กกุญแจเข้ารหัสแบบ AES-256 ภายในไม่กี่นาที ด้วยอุปกรณ์ราคาเพียง 7,600 บาท

    นักวิจัยด้านความมั่นคงปลอดภัยจาก Fox-IT ประสบความสำเร็จในการถอดรหัสกุญแจที่ใช้เข้ารหัสแบบ AES-256 หนึ่งในอัลกอริธึมการเข้ารหัสข้อมูลที่มั่นคงปลอดภัยที่สุดในโลกตอนนี้ โดยอาศัยการดักจับข้อมูลบนอากาศจากระยะ 1 เมตร ด้วยอุปกรณ์ราคาเพียง 200 ยูโร (ประมาณ 7,600 บาท) ภายในเวลาไม่กี่นาทีเท่านั้น

    อุปกรณ์ที่นักวิจัยใช้ประกอบด้วย เสาสัญญาณแบบห่วง ติดเข้ากับเครื่องขยายสัญญาณภายนอก และเครื่องกรองสัญญาณช่วงความถี่ (Band-pass Filter) แล้วประกอบเข้ากับ Software-defined Radio USB ที่ซื้อออนไลน์มาในราคา 20 ยูโร ซึ่งรวมค่าอุปกรณ์ทั้งหมดแล้วมีราคาประมาณ 200 ยูโรเท่านั้น และสามารถซ่อนชุดอุปกรณ์ทั้งหมดไว้ในเสื้อแจ็คเก็ตได้โดยที่คนทั่วไปไม่สังเกตเห็น

    นักวิจัยใช้อุปกรณ์เหล่านี้ในการโจมตีแบบ Side-channel โดยดักจับคลื่นสัญญาณแม่เหล็กไฟฟ้าที่แผ่ออกมาจากชิปประมวลผล ARM Cortex M3 และ AHB Bus บนแผงวงจร SmartFusion2 ขณะเริ่มกระบวนการเข้ารหัสข้อมูล ซึ่งจะมีอัตราการใช้พลังงานที่แตกต่างกัน หลังจากที่ทดลองเข้ารหัสข้อมูลหลายๆ ครั้ง นักวิจัยประสบความสำเร็จในการเชื่อมโยงความสัมพันธ์ระหว่างพลังที่ใช้ไปกับข้อมูลแต่ละ Byte ซึ่งช่วยให้พวกเขาสามารถคาดเดาความเป็นไปได้ของข้อมูลเหลือเพียง 256 แบบ ซึ่งข้อมูลที่ถูกต้องที่สุดจะแสดงอัตราการใช้พลังงานมากที่สุด

    โดยการใช้วิธีนี้ ทำให้นักวิจัยใช้เวลาเพียงไม่กี่วินาทีในการคาดเดาค่ากุญแจที่ใช้เข้ารหัสข้อมูลที่ถูกต้องสำหรับแต่ละ Byte (256 ค่าต่อ Byte สำหรับ AES-256 ที่มีความยาว 256 bits หรือ 32 bytes นั้นใช้การคาดเดาทั้งหมด 8,192 ครั้ง) ซึ่งถ้าเป็นการโจมตีแบบ Brute Force ปกติ การคาดเดากุญแจของการเข้ารหัสแบบ AES-256 จำเป็นต้องอาศัยการคาดเดาทั้งหมด 2256 ครั้ง ซึ่งแทบเป็นไปไม่ได้เลยด้วยเทคโนโลยีในปัจจุบัน

    คลื่นสัญญาณแม่เหล็กไฟฟ้าที่แผ่ออกมานั้น จะเบาบางลงเมื่อห่างเป้าหมายออกไปเรื่อยๆ ซึ่งนักวิจัยสามารถดักจับและสกัดข้อมูลออกมาได้ภายในระยะ 1 เมตรโดยใช้เวลาประมาณ 5 นาที แต่ถ้าเขยิบเข้ามาใกล้เหลือ 30 เซนติเมตร จะใช้เวลาเพียง 50 วินาทีเท่านั้น อย่างไรก็ตาม สามารถเพิ่มระยะห่างและความเร็วในการโจมตีได้โดยการลงทุนใช้อุปกรณ์ที่มีประสิทธิภาพสูงกว่านี้

    ทั้งนี้ งานวิจัยนี้ทดสอบภายในห้องแล็บปิด ซึ่งมีสัญญาณรบกวนต่ำเมื่อเทียบกับภายในห้อง Data Center ที่มีหลายอุปกรณ์แผ่รังสีคลื่นแม่เหล็กไฟฟ้าออกมาเป็นจำนวนมาก แต่ก็ถือว่าเป็นตัวอย่างอันดีที่แสดงให้เห็นว่า ต่อให้เป็นเทคโนโลยีที่คิดว่าไม่สามารถแคร็กได้ในปัจจุบัน เนื่องจากข้อจำกัดด้านเวลาและงบประมาณ แฮ็คเกอร์ก็อาจสรรหาวิธีใหม่ๆ ที่ชาญฉลาดมากยิ่งขึ้นเพื่อทลายข้อจำกัดดังกล่าว

    อ่านรายละเอียดงานวิจัยฉบับเต็มได้ที่: https://www.fox-it.com/nl/wp-content/uploads/sites/12/Tempest_attacks_against_AES.pdf

    ที่มา: https://www.theregister.co.uk/2017/06/23/aes_256_cracked_50_seconds_200_kit/

    ที่มา: https://www.techtalkthai.com/crack-aes-256-within-minutes/

  • 29
    06

    เผยโฉม! แท้จริงแล้ว Petwrap ไม่ใช่ Ransomware แต่เป็น “อาวุธไซเบอร์” ที่ถอดรหัสกู้คืนไฟล์ไม่ได้

    Petwrap หรือ NotPetya หรือ Petya Ransomware ที่แพร่ระบาดอย่างหนักและโจมตีธุรกิจชั้นนำในช่วง 2-3 วันที่ผ่านมานี้ อาจไม่ใช่ Ransomware แบบที่ทุกคนเข้าใจ หลังจากที่มีผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ทำการวิเคราะห์และพบว่า จริงๆ แล้วมัน “อาวุธไซเบอร์” ต่างหาก

    Anton Ivanov ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Kaspersky ได้ออกมาให้ความเห็นหลังตรวจสอบการทำงานของ Petwrap แล้วว่าการเข้ารหัสเพื่อทำลายข้อมูลของ Petwrap นี้ไม่สามารถถอดรหัสได้ เพราะภายในโค้ดของการทำงานไม่ได้มีการสร้าง ID เฉพาะสำหรับผู้ใช้งานแต่ละคนเพื่อเอาไว้ใช้ในขั้นตอนการระบุว่าผู้ใช้งานคนใดควรได้กุญแจถอดรหัสใดไปใช้เลย ดังนั้นแปลว่าต่อให้เหยื่อจ่ายค่าไถ่ไป ทางผู้พัฒนา Ransomware ก็ไม่สามารถสร้างกุญแจถอดรหัสที่ถูกต้องเพื่อส่งกลับมาให้ใช้ถอดรหัสได้อยู่ดี

    อีกประเด็นหนึ่ง การเข้ารหัสของ Petwrap นั้นก็เรียกได้ว่าเป็นการทำลายดิสก์ทิ้งไปเลยก็ว่าได้ โดย Matt Suiche นักวิจัยจาก Comae Technologies ก็ได้ออกมาเผยถึงรายงานที่แสดงว่า Master Tree File (MFT) ที่ถูก Petwrap เข้ารหัสนี้จะไม่สามารถถูกถอดรหัสได้เลย ต่างจาก Petya ตัวต้นฉบับที่ยังถอดรหัสและนำข้อมูลกลับมาใช้งานได้

    ด้วยเหตุเหล่านี้ ทำให้เหล่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยลงความเห็นกันว่า Petwrap นี้ถูกสร้างมาเพื่อสร้างความเสียหายให้กับธุรกิจต่างๆ ด้วยการทำลายข้อมูล (Wiper Malware) มากกว่าที่จะเป็นการเรียกค่าไถ่ด้วยการเข้ารหัสข้อมูล (Ransomware) เพียงแต่วิธีการที่ Petwrap ใช้ในการทำลายข้อมูลนั้นก็คือการเข้ารหัสโดยไม่เก็บกุญแจถอดรหัสไว้เท่านั้น ทำให้การกู้คืนข้อมูลแทบจะเป็นไปไม่ได้เลย

    อย่างไรก็ดี การที่ผู้โจมตีนั้นแฝงพฤติกรรมแบบ Wiper เอาไว้ภายใต้ชื่อ Ransomware ก็เริ่มกลายเป็นการโจมตีที่ได้รับความนิยมมากขึ้นเรื่อยๆ เพื่อให้เหล่าองค์กรต่างๆ หลงทางในการรับมือกับกรณีการโจมตีที่เกิดขึ้นไม่ให้ผู้ถูกโจมตีทราบถึงวัตถุประสงค์ที่แท้จริง และเสียเวลากับความพยายามในการถอดรหัสหรือจ่ายค่าไถ่ โดยก่อนหน้านี้ก็เคยมีกรณีของ Shamoon และ KillDisk เกิดขึ้นมาแล้ว และนี่ก็เป็นสาเหตุที่ทำไม Petwrap จึงถูกจัดเอาไว้อยู่ในตระกูลของอาวุธไซเบอร์ (Cyber Weapon) และต้องได้รับการวิเคราะห์จากในแง่มุมที่แตกต่างไปจากการวิเคราะห์ Ransomware

    ความรุนแรงของ Petwrap นี้ถือได้ว่าเทียบเท่ากับ Stuxnet และ Blackenergy ซึ่งเป็น Malware ที่มุ่งทำลายเป้าหมายชื่อดังในประวัติศาสตร์ที่ผ่านมา

    เรื่องราวเหล่านี้ทำให้การที่ Posteo บล็อคอีเมล์ของผู้พัฒนา Petwrap ไปนั้นกลายเป็นความบังเอิญซ้ำสองที่ตอกย้ำชัดเจนว่า “เหยื่อจะไม่สามารถกู้คืนข้อมูลได้” ไปทันที



    ที่มา: https://www.techtalkthai.com/petwrap-is-not-a-ransomware-but-cyber-weapon/

  • 29
    06

    เอาอีกแล้ว! พบ Petrwrap มัลแวร์เรียกค่าไถ่ตัวใหม่ระบาดหนักในยูเครนและกำลังแพร่ไปทั่วโลก

    กระแส WannaCry เพิ่งจะซาลงไปไม่นาน ล่าสุดมีรายงานว่าพบ ransomware ตัวใหม่กำลังระบาดหนักในประเทศยูเครน ส่งผลกระทบต่อหน่วยงานรัฐ, ธนาคาร, สนามบิน และบริษัทพลังงานเป็นวงกว้าง

    ไวรัสเรียกค่าไถ่ หรือ ransomware ตัวใหม่นี้มีชื่อว่า Petya หรือ Petrwrap ได้เริ่มแพร่กระจายในประเทศยูเครนเป็นวงกว้างเมื่อไม่กี่ชั่วโมงที่ผ่านมา ขณะนี้มีรายงานว่าหน่วยงานรัฐก็โดนโจมตีหลายหน่วยงาน รวมถึงธนาคารกลาง, บริษัทสื่อสาร, เครือข่ายรถไฟฟ้าใต้ดิน, สนามบิน Boryspil ในเมือง Kiev หรือแม้กระทั่งคอมพิวเตอร์ที่โรงไฟฟ้านิวเคลียร์ Chernobyl ก็ติดไวรัสนี้ และต้องเปลี่ยนมามอนิเตอร์ระดับรังสีแบบแมนนวลแทน

    นอกจากนี้บริษัทขนส่งทางเรือ Maersk ของประเทศเดนมาร์กก็ยืนยันว่าระบบไอทีของบริษัทถูกโจมตีและต้องปิดระบบลง แต่ไม่ได้ระบุว่าเป็น ransomware ตัวใหม่นี้หรือไม่ ในขณะที่บริษัทน้ำมันของรัสเซีย Rosneft ก็ได้รับผลกระทบเช่นเดียวกัน

    เมื่อคอมพิวเตอร์ของเหยื่อโดนไวรัสนี้ เครื่องจะแสดงข้อความเต็มจอว่าไฟล์ในเครื่องถูกเข้ารหัสแล้ว และให้จ่ายเงินเป็นสกุลบิตคอยน์มูลค่า 300 ดอลลาร์สหรัฐเพื่อรับกุญแจมาปลดล็อกไฟล์ ทั้งนี้ยังไม่มีรายงานว่าจ่ายแล้วปลดได้จริงหรือไม่ (ห้ามจ่ายเด็ดขาด หากโดนแล้วให้ทำใจและฟอร์แมตเครื่องทิ้งเลย การจ่ายเงินก็เหมือนเป็นการสนับสนุนการกระทำเหล่านี้ เราควรฝึกสำรองข้อมูลให้เป็นนิสัยครับ)

    ส่วนรายละเอียดทางเทคนิคนั้นยังไม่เป็นที่แน่ชัดว่าไวรัสตัวใหม่นี้แพร่กระจายอย่างไร แต่บริษัทผลิตซอฟต์แวร์แอนตี้ไวรัส Avira ได้ทวีตระบุว่าไวรัสเรียกค่าไถ่ตัวนี้ใช้ช่องโหว่ EternalBlue ที่หลุดออกมาจาก NSA แบบเดียวกับ WannaCry

    ที่มา - https://www.blognone.com/node/93525

1 2 3 4 5 6 7