blog

  • 06
    07

    แคร็กกุญแจเข้ารหัสแบบ AES-256 ภายในไม่กี่นาที ด้วยอุปกรณ์ราคาเพียง 7,600 บาท

    นักวิจัยด้านความมั่นคงปลอดภัยจาก Fox-IT ประสบความสำเร็จในการถอดรหัสกุญแจที่ใช้เข้ารหัสแบบ AES-256 หนึ่งในอัลกอริธึมการเข้ารหัสข้อมูลที่มั่นคงปลอดภัยที่สุดในโลกตอนนี้ โดยอาศัยการดักจับข้อมูลบนอากาศจากระยะ 1 เมตร ด้วยอุปกรณ์ราคาเพียง 200 ยูโร (ประมาณ 7,600 บาท) ภายในเวลาไม่กี่นาทีเท่านั้น

    อุปกรณ์ที่นักวิจัยใช้ประกอบด้วย เสาสัญญาณแบบห่วง ติดเข้ากับเครื่องขยายสัญญาณภายนอก และเครื่องกรองสัญญาณช่วงความถี่ (Band-pass Filter) แล้วประกอบเข้ากับ Software-defined Radio USB ที่ซื้อออนไลน์มาในราคา 20 ยูโร ซึ่งรวมค่าอุปกรณ์ทั้งหมดแล้วมีราคาประมาณ 200 ยูโรเท่านั้น และสามารถซ่อนชุดอุปกรณ์ทั้งหมดไว้ในเสื้อแจ็คเก็ตได้โดยที่คนทั่วไปไม่สังเกตเห็น

    นักวิจัยใช้อุปกรณ์เหล่านี้ในการโจมตีแบบ Side-channel โดยดักจับคลื่นสัญญาณแม่เหล็กไฟฟ้าที่แผ่ออกมาจากชิปประมวลผล ARM Cortex M3 และ AHB Bus บนแผงวงจร SmartFusion2 ขณะเริ่มกระบวนการเข้ารหัสข้อมูล ซึ่งจะมีอัตราการใช้พลังงานที่แตกต่างกัน หลังจากที่ทดลองเข้ารหัสข้อมูลหลายๆ ครั้ง นักวิจัยประสบความสำเร็จในการเชื่อมโยงความสัมพันธ์ระหว่างพลังที่ใช้ไปกับข้อมูลแต่ละ Byte ซึ่งช่วยให้พวกเขาสามารถคาดเดาความเป็นไปได้ของข้อมูลเหลือเพียง 256 แบบ ซึ่งข้อมูลที่ถูกต้องที่สุดจะแสดงอัตราการใช้พลังงานมากที่สุด

    โดยการใช้วิธีนี้ ทำให้นักวิจัยใช้เวลาเพียงไม่กี่วินาทีในการคาดเดาค่ากุญแจที่ใช้เข้ารหัสข้อมูลที่ถูกต้องสำหรับแต่ละ Byte (256 ค่าต่อ Byte สำหรับ AES-256 ที่มีความยาว 256 bits หรือ 32 bytes นั้นใช้การคาดเดาทั้งหมด 8,192 ครั้ง) ซึ่งถ้าเป็นการโจมตีแบบ Brute Force ปกติ การคาดเดากุญแจของการเข้ารหัสแบบ AES-256 จำเป็นต้องอาศัยการคาดเดาทั้งหมด 2256 ครั้ง ซึ่งแทบเป็นไปไม่ได้เลยด้วยเทคโนโลยีในปัจจุบัน

    คลื่นสัญญาณแม่เหล็กไฟฟ้าที่แผ่ออกมานั้น จะเบาบางลงเมื่อห่างเป้าหมายออกไปเรื่อยๆ ซึ่งนักวิจัยสามารถดักจับและสกัดข้อมูลออกมาได้ภายในระยะ 1 เมตรโดยใช้เวลาประมาณ 5 นาที แต่ถ้าเขยิบเข้ามาใกล้เหลือ 30 เซนติเมตร จะใช้เวลาเพียง 50 วินาทีเท่านั้น อย่างไรก็ตาม สามารถเพิ่มระยะห่างและความเร็วในการโจมตีได้โดยการลงทุนใช้อุปกรณ์ที่มีประสิทธิภาพสูงกว่านี้

    ทั้งนี้ งานวิจัยนี้ทดสอบภายในห้องแล็บปิด ซึ่งมีสัญญาณรบกวนต่ำเมื่อเทียบกับภายในห้อง Data Center ที่มีหลายอุปกรณ์แผ่รังสีคลื่นแม่เหล็กไฟฟ้าออกมาเป็นจำนวนมาก แต่ก็ถือว่าเป็นตัวอย่างอันดีที่แสดงให้เห็นว่า ต่อให้เป็นเทคโนโลยีที่คิดว่าไม่สามารถแคร็กได้ในปัจจุบัน เนื่องจากข้อจำกัดด้านเวลาและงบประมาณ แฮ็คเกอร์ก็อาจสรรหาวิธีใหม่ๆ ที่ชาญฉลาดมากยิ่งขึ้นเพื่อทลายข้อจำกัดดังกล่าว

    อ่านรายละเอียดงานวิจัยฉบับเต็มได้ที่: https://www.fox-it.com/nl/wp-content/uploads/sites/12/Tempest_attacks_against_AES.pdf

    ที่มา: https://www.theregister.co.uk/2017/06/23/aes_256_cracked_50_seconds_200_kit/

    ที่มา: https://www.techtalkthai.com/crack-aes-256-within-minutes/

  • 29
    06

    เผยโฉม! แท้จริงแล้ว Petwrap ไม่ใช่ Ransomware แต่เป็น “อาวุธไซเบอร์” ที่ถอดรหัสกู้คืนไฟล์ไม่ได้

    Petwrap หรือ NotPetya หรือ Petya Ransomware ที่แพร่ระบาดอย่างหนักและโจมตีธุรกิจชั้นนำในช่วง 2-3 วันที่ผ่านมานี้ อาจไม่ใช่ Ransomware แบบที่ทุกคนเข้าใจ หลังจากที่มีผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ทำการวิเคราะห์และพบว่า จริงๆ แล้วมัน “อาวุธไซเบอร์” ต่างหาก

    Anton Ivanov ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Kaspersky ได้ออกมาให้ความเห็นหลังตรวจสอบการทำงานของ Petwrap แล้วว่าการเข้ารหัสเพื่อทำลายข้อมูลของ Petwrap นี้ไม่สามารถถอดรหัสได้ เพราะภายในโค้ดของการทำงานไม่ได้มีการสร้าง ID เฉพาะสำหรับผู้ใช้งานแต่ละคนเพื่อเอาไว้ใช้ในขั้นตอนการระบุว่าผู้ใช้งานคนใดควรได้กุญแจถอดรหัสใดไปใช้เลย ดังนั้นแปลว่าต่อให้เหยื่อจ่ายค่าไถ่ไป ทางผู้พัฒนา Ransomware ก็ไม่สามารถสร้างกุญแจถอดรหัสที่ถูกต้องเพื่อส่งกลับมาให้ใช้ถอดรหัสได้อยู่ดี

    อีกประเด็นหนึ่ง การเข้ารหัสของ Petwrap นั้นก็เรียกได้ว่าเป็นการทำลายดิสก์ทิ้งไปเลยก็ว่าได้ โดย Matt Suiche นักวิจัยจาก Comae Technologies ก็ได้ออกมาเผยถึงรายงานที่แสดงว่า Master Tree File (MFT) ที่ถูก Petwrap เข้ารหัสนี้จะไม่สามารถถูกถอดรหัสได้เลย ต่างจาก Petya ตัวต้นฉบับที่ยังถอดรหัสและนำข้อมูลกลับมาใช้งานได้

    ด้วยเหตุเหล่านี้ ทำให้เหล่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยลงความเห็นกันว่า Petwrap นี้ถูกสร้างมาเพื่อสร้างความเสียหายให้กับธุรกิจต่างๆ ด้วยการทำลายข้อมูล (Wiper Malware) มากกว่าที่จะเป็นการเรียกค่าไถ่ด้วยการเข้ารหัสข้อมูล (Ransomware) เพียงแต่วิธีการที่ Petwrap ใช้ในการทำลายข้อมูลนั้นก็คือการเข้ารหัสโดยไม่เก็บกุญแจถอดรหัสไว้เท่านั้น ทำให้การกู้คืนข้อมูลแทบจะเป็นไปไม่ได้เลย

    อย่างไรก็ดี การที่ผู้โจมตีนั้นแฝงพฤติกรรมแบบ Wiper เอาไว้ภายใต้ชื่อ Ransomware ก็เริ่มกลายเป็นการโจมตีที่ได้รับความนิยมมากขึ้นเรื่อยๆ เพื่อให้เหล่าองค์กรต่างๆ หลงทางในการรับมือกับกรณีการโจมตีที่เกิดขึ้นไม่ให้ผู้ถูกโจมตีทราบถึงวัตถุประสงค์ที่แท้จริง และเสียเวลากับความพยายามในการถอดรหัสหรือจ่ายค่าไถ่ โดยก่อนหน้านี้ก็เคยมีกรณีของ Shamoon และ KillDisk เกิดขึ้นมาแล้ว และนี่ก็เป็นสาเหตุที่ทำไม Petwrap จึงถูกจัดเอาไว้อยู่ในตระกูลของอาวุธไซเบอร์ (Cyber Weapon) และต้องได้รับการวิเคราะห์จากในแง่มุมที่แตกต่างไปจากการวิเคราะห์ Ransomware

    ความรุนแรงของ Petwrap นี้ถือได้ว่าเทียบเท่ากับ Stuxnet และ Blackenergy ซึ่งเป็น Malware ที่มุ่งทำลายเป้าหมายชื่อดังในประวัติศาสตร์ที่ผ่านมา

    เรื่องราวเหล่านี้ทำให้การที่ Posteo บล็อคอีเมล์ของผู้พัฒนา Petwrap ไปนั้นกลายเป็นความบังเอิญซ้ำสองที่ตอกย้ำชัดเจนว่า “เหยื่อจะไม่สามารถกู้คืนข้อมูลได้” ไปทันที



    ที่มา: https://www.techtalkthai.com/petwrap-is-not-a-ransomware-but-cyber-weapon/

  • 29
    06

    เอาอีกแล้ว! พบ Petrwrap มัลแวร์เรียกค่าไถ่ตัวใหม่ระบาดหนักในยูเครนและกำลังแพร่ไปทั่วโลก

    กระแส WannaCry เพิ่งจะซาลงไปไม่นาน ล่าสุดมีรายงานว่าพบ ransomware ตัวใหม่กำลังระบาดหนักในประเทศยูเครน ส่งผลกระทบต่อหน่วยงานรัฐ, ธนาคาร, สนามบิน และบริษัทพลังงานเป็นวงกว้าง

    ไวรัสเรียกค่าไถ่ หรือ ransomware ตัวใหม่นี้มีชื่อว่า Petya หรือ Petrwrap ได้เริ่มแพร่กระจายในประเทศยูเครนเป็นวงกว้างเมื่อไม่กี่ชั่วโมงที่ผ่านมา ขณะนี้มีรายงานว่าหน่วยงานรัฐก็โดนโจมตีหลายหน่วยงาน รวมถึงธนาคารกลาง, บริษัทสื่อสาร, เครือข่ายรถไฟฟ้าใต้ดิน, สนามบิน Boryspil ในเมือง Kiev หรือแม้กระทั่งคอมพิวเตอร์ที่โรงไฟฟ้านิวเคลียร์ Chernobyl ก็ติดไวรัสนี้ และต้องเปลี่ยนมามอนิเตอร์ระดับรังสีแบบแมนนวลแทน

    นอกจากนี้บริษัทขนส่งทางเรือ Maersk ของประเทศเดนมาร์กก็ยืนยันว่าระบบไอทีของบริษัทถูกโจมตีและต้องปิดระบบลง แต่ไม่ได้ระบุว่าเป็น ransomware ตัวใหม่นี้หรือไม่ ในขณะที่บริษัทน้ำมันของรัสเซีย Rosneft ก็ได้รับผลกระทบเช่นเดียวกัน

    เมื่อคอมพิวเตอร์ของเหยื่อโดนไวรัสนี้ เครื่องจะแสดงข้อความเต็มจอว่าไฟล์ในเครื่องถูกเข้ารหัสแล้ว และให้จ่ายเงินเป็นสกุลบิตคอยน์มูลค่า 300 ดอลลาร์สหรัฐเพื่อรับกุญแจมาปลดล็อกไฟล์ ทั้งนี้ยังไม่มีรายงานว่าจ่ายแล้วปลดได้จริงหรือไม่ (ห้ามจ่ายเด็ดขาด หากโดนแล้วให้ทำใจและฟอร์แมตเครื่องทิ้งเลย การจ่ายเงินก็เหมือนเป็นการสนับสนุนการกระทำเหล่านี้ เราควรฝึกสำรองข้อมูลให้เป็นนิสัยครับ)

    ส่วนรายละเอียดทางเทคนิคนั้นยังไม่เป็นที่แน่ชัดว่าไวรัสตัวใหม่นี้แพร่กระจายอย่างไร แต่บริษัทผลิตซอฟต์แวร์แอนตี้ไวรัส Avira ได้ทวีตระบุว่าไวรัสเรียกค่าไถ่ตัวนี้ใช้ช่องโหว่ EternalBlue ที่หลุดออกมาจาก NSA แบบเดียวกับ WannaCry

    ที่มา - https://www.blognone.com/node/93525

  • 20
    06

    ธุรกิจ Web Hosting จากเกาหลีใต้โดน Ransomware โจมตี เรียกค่าไถ่ 35 ล้านบาท

    ธุรกิจ Web Hosting สัญชาติเกาหลีใต้ถูก Ransomware โจมตี Linux Server ทั้งสิ้นกว่า 153 เครื่อง เข้ารหัสเว็บไซต์ไปกว่า 3,400 แห่ง พร้อมถูกเรียกค่าไถ่เป็น Bitcoin มูลค่า 1 ล้านเหรียญ หรือราวๆ 35 ล้านบาท

    บริษัทที่ถูกโจมตีรายนี้คือ NAYANA ที่ถูกโจมตีมาเมื่อวันที่ 10 มิถุนายน 2017 ที่ผ่านมา และถูกผู้โจมตีเรียกค่าไถ่ครั้งแรกสูงถึง 550 Bitcoin หรือเป็นมูลค่ากว่า 1.6 ล้านเหรียญ หรือราวๆ 56 ล้านบาท ก่อนจะมีการต่อรองค่าไถ่ลงเหลือ 1.01 ล้านเหรียญหรือราวๆ 35.35 ล้านบาท โดยตอนนี้ทาง NAYANA ก็ได้จ่ายค่าไถ่ไปแล้ว 2 ใน 3 ส่วน และกู้ข้อมูล Server เหล่านั้นกลับมาได้

    Trend Micro ได้ออกมาระบุว่าการโจมตีครั้งนี้เกิดขึ้นโดย Ransomware Erebus ที่ปรากฏตัวมาตั้งแต่กันยายนปี 2016 ที่ผ่านมา และถูกอัปเกรดความสามารถในการ Bypass Windows User Account Control ในขณะที่ Linux ที่ NAYANA ใช้งานนั้นก็ยังคงเป็น Linux Kernel 2.6.24.2 ซึ่งอาจยังมีช่องโหว่ที่เป็น Known Vulnerability อยู่แล้ว จึงอาจถูกโจมตีเข้ามาทางช่องโหว่เหล่านั้นได้

    ก็ถือเป็นอีกเหตุการณ์ที่น่าสนใจสำหรับเหล่าผู้ให้บริการธุรกิจ Web Hosting และ Cloud นะครับ รวมถึงเหล่าผู้ใช้บริการธุรกิจเหล่านี้ที่ควรมีการทำ Backup แยกต่างหากออกมาภายนอกเพื่อลดความเสี่ยงด้วยครับ

    ที่มา: https://www.techtalkthai.com/south-korea-web-hosting-business-was-attacked-by-ransoware-for-35-million-thb-ransom/
    ที่มา: http://thehackernews.com/2017/06/web-hosting-ransomware.html
    เครดิตภาพ: ShutterStock.com

  • 05
    06

    ตรวจพบ Judy มัลแวร์ตัวใหม่ในแอพ Android ที่แอบคลิกโฆษณาโดยที่เราไม่รู้ตัว

    มัลแวร์บนระบบ Android สายพันธุ์ใหม่ถูกตรวจพบแล้ว แถมยังเป็นมัลแวร์ที่สร้างความน่ารำคาญใจอีกด้วย

    เมื่อเร็วๆ นี้ Check Point ซึ่งเป็นบริษัทวิจัยทางด้านความปลอดภัยบนอุปกรณ์มือถือ ได้เผยรายละเอียดของมัลแวร์ตัวใหม่ที่มีนามว่า Judy ซึ่งพบว่ามีการแฝงตัวอยู่ในแอพฯ ถึง 41 ตัวที่อยู่บน Google Play Store ซึ่งเป็นแหล่งดาวน์โหลดแอพฯ หลักของสาวก Android และเมื่อแอพฯ ที่แฝงมัลแวร์ Judy ได้ติดตั้งลงในเครื่อง มันจะทำการเชื่อมต่ออินเทอร์เน็ต แล้วใช้โค้ด JavaScript เพื่อไล่เปิดหน้าเว็บที่มีการแสดงแบนเนอร์โฆษณา จากนั้นก็แอบคลิกบนแบนเนอร์โฆษณาที่ถูกนำมาแสดงโดยแพลตฟอร์มการแสดงโฆษณาของ Google

    ซึ่งการแสดง และคลิกแบนเนอร์โฆษณา จะแอบทำแบบลับๆ ในฉากหลัง โดยที่เจ้าของอุปกรณ์ Android ไม่ทันจะได้รับรู้ แต่ในบางครั้ง มันก็จะส่งหน้าโฆษณาแสดงมาให้เราเห็น และเรามีเพียงทางเลือกเดียว คือการแตะลงบนโฆษณานั้น เพื่อให้เราสามารถใช้งานอุปกรณ์ได้ต่อไป

    แน่นอนว่าเป้าหมายของแฮกเกอร์คือ การแพร่กระจาย Judy เข้าไปในอุปกรณ์ Android ให้ได้มากที่สุดเท่าที่จะทำได้ และพวกเขาก็ทำได้สำเร็จ มัลแวร์ตัวนี้สามารถหลบหลีกการตรวจจับโดย Bouncer ซึ่งเป็นระบบ AI ที่ทาง Google สร้างขึ้นมาเพื่อตรวจสอบแอพฯ ใน Play Store ว่ามีการแฝงมัลแวร์มาหรือไม่ โดยแฮกเกอร์อาศัยรูปแบบของการใช้ Middleware ที่สามารถสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ เพื่อการลักลอบติดตั้ง Judy ลงในอุปกรณ์ Android

    และเป็นเรื่องที่น่าตกใจ ก็เพราะมีการตรวจพบว่าแอพฯ ยอดนิยมที่มียอดดาวน์โหลดสูงหลายๆ ตัว เป็นพาหะของมัลแวร์ Judy

    นั่นหมายความว่าแอพฯ ที่ได้ดาวเยอะ ไม่ได้ปลอดภัยจากมัลแวร์เสมอไป นักวิจัยจาก Check Point กล่าวว่า "แฮกเกอร์สามารถซุกซ่อนมัลแวร์ไว้ในแอพฯ ของพวกเขาอย่างแนบเนียน และแอพฯ เหล่านี้ทำงานได้แบบไม่แสดงเค้าลางของภัยคุกคามให้เห็น ทำให้ผู้ใช้งานยังคงชื่นชอบแอพฯ ตัวนั้น ดังนั้นผู้ใช้งาน Android ไม่สามารถไว้วางใจได้ว่า แอพฯ ที่อยู่บน Play Store จะเป็นแอพฯ ที่ปลอดภัยเสมอไป ซึ่งทางออกที่ดีที่สุด ก็คงหนีไม่พ้นการติดตั้งแอพฯ แอนตี้ไวรัส ที่สามารถตรวจพบร่องรอยของมัลแวร์ตัวใหม่ๆ ได้ก่อนที่มันจะแพร่กระจายอย่างกว้างขวาง" (หรือเลือกติดตั้งเฉพาะแอพฯ ที่มาจากผู้พัฒนาที่น่าเชื่อถือ)

    ข้อมูลจาก Check Point ระบุว่า มีอุปกรณ์ Android ในระหว่าง 4.5 - 18.5 ล้านเครื่อง ที่ตกเป็นเหยื่อของ Judy และเมื่อย้อนกลับไปในช่วงต้นเดือนเมษายน 2016 พบว่ามีการปล่อยแอพฯ ที่แฝงมัลแวร์ออกมาหลายตัว จากบริษัทนักพัฒนาสัญชาติเกาหลี และทาง Check Point ก็พบแอพฯ แฝง Judy ที่มาจากบริษัทนักพัฒนารายอื่นด้วยเช่นกัน และคาดเดาว่า เทคนิคการโจมตีแบบนี้ได้ถูกนำไปใช้งานโดยแฮกเกอร์หลายกลุ่ม

    ที่มา : www.digitaltrends.com


1 2 3 4 5 6 7 8 9