Cybersecurity – Positioning Magazine https://positioningmag.com Thailand's Leading Marketing Magazine Wed, 17 Aug 2022 09:33:57 +0000 en-US hourly 1 https://wordpress.org/?v=5.6 167543101 แฮ็กได้ให้เลย! Starlink เชิญชวน “เจาะระบบ” หาบั๊ก ทำได้ให้เงินรางวัลสูงสุด 875,000 บาท https://positioningmag.com/1396618 Wed, 17 Aug 2022 09:33:46 +0000 https://positioningmag.com/?p=1396618 SpaceX เชิญชวนนักวิจัยให้ลอง “เจาะระบบ” เครือข่ายอินเทอร์เน็ตดาวเทียม Starlink เพื่อหาบั๊กหรือช่องโหว่ให้กับบริษัท หากทำได้รับเงินรางวัลสูงสุด 25,000 เหรียญสหรัฐ (ประมาณ 875,000 บาท) ที่ผ่านมามีแฮ็กเกอร์ทำได้แล้ว 32 คน

SpaceX ประกาศยินดีให้นักวิจัยที่มีความรับผิดชอบสามารถ “แฮ็ก” เข้ามาในเครือข่ายอินเทอร์เน็ตดาวเทียม Starlink ของบริษัท ตามโปรแกรม “Starlink welcome security researchers (bring on the bugs)”

ประกาศครั้งนี้เกิดขึ้นหลังจาก Lennert Wouters นักวิจัยด้านความปลอดภัยไซเบอร์ ระบุเมื่อสัปดาห์ก่อนว่าตัวเขาสามารถแฮ็ก Starlink ได้โดยใช้เครื่องมือแบบประดิษฐ์เองราคาเพียง 25 เหรียญ (ประมาณ 875 บาท) SpaceX กล่าวแสดงความยินดีกับ Wouters ที่สามารถหาจุดอ่อนของระบบได้และแจ้งมาที่บริษัท

“เราพบว่าการโจมตีครั้งนี้ใช้เทคนิคที่น่าประทับใจ และเป็นประเภทการโจมตีที่เราเพิ่งเคยเจอครั้งแรกในระบบของเรา” SpaceX กล่าวในแถลงโปรแกรม พร้อมกับย้ำว่าผู้ใช้ Starlink ไม่ต้องกังวลกับการแฮ็กที่เกิดขึ้น และการแฮ็กไม่มีผลโดยตรงกับตัวดาวเทียม

A SpaceX Falcon 9 rocket lifts off from pad 40 at Cape Canaveral Space Force Station on January 24, 2021 in Cape Canaveral, Florida. The Transporter-1 mission is the first in a planned series of small satellite rideshare missions that will take 143 U.S. and international spacecraft, including 10 Starlink satellites, to low earth orbit, a record number of satellites on a single flight. (Photo by Paul Hennessy/NurPhoto via Getty Images)

ปกติวิศวกรของ SpaceX จะพยายามแฮ็ก Starlink กันตลอดเวลาอยู่แล้วเพื่อพัฒนาการบริการ และทำให้ระบบปลอดภัยยิ่งขึ้น แต่โปรแกรมนี้ทำให้บริษัทเปิดกว้างต่อนักวิจัยความปลอดภัยทุกคนให้เข้ามาช่วยปิดจุดอ่อนให้กับ Starlink ได้

“เราอนุญาตให้นักวิจัยที่มีความรับผิดชอบสามารถทดลองเองได้เลย และเรามีเงินรางวัลจูงใจให้สำหรับผู้ที่ค้นพบจุดอ่อนและรายงานเข้ามา” SpaceX ระบุ

ตามเอกสารโปรแกรมนี้ นักวิจัยจะต้องไม่สร้างความเสียหายต่อระบบการบริการผู้ใช้งาน ไม่เป็นการโจมตีขนาดใหญ่ที่มีผลทางกายภาพต่อโครงสร้างพื้นฐาน และไม่ใช้วิธีหลอกลวงทางอีเมล

หากทำสำเร็จ เงินรางวัลจะอยู่ในช่วง 100 เหรียญสหรัฐ (ประมาณ 3,500 บาท) จนถึง 25,000 เหรียญสหรัฐ (ประมาณ 875,000 บาท) ที่ผ่านมามีนักวิจัย 32 คนแล้วที่ทำสำเร็จในการระบุช่องโหว่ด้านความปลอดภัยสำคัญๆ บน Starlink บริษัทยังบอกด้วยว่า เมื่อช่วง 3 เดือนที่ผ่านมาบริษัทให้เงินรางวัลเฉลี่ย 973 เหรียญสหรัฐต่อครั้ง (ประมาณ 34,000 บาท)

“เรากำลังจะเปิดขายชุด kit ของ Starlink จำนวนมากในเร็วๆ นี้ (นั่นคือธุรกิจของเรา!) เราจึงต้องคาดการณ์ล่วงหน้าว่าชุด kit บางชุดอาจตกไปอยู่ในมือผู้ไม่หวังดีที่จะเข้ามาแฮ็กระบบ” SpaceX ระบุถึงเหตุที่ต้องเร่งปิดช่องโหว่มากขึ้น โดยอาศัยความร่วมมือจากภายนอกด้วย

Source

]]> 1396618 บริษัทซอฟต์แวร์ ‘Kaseya’ ถูกแฮกเกอร์โจมตี คาดกระทบลูกค้า 1,500 รายทั่วโลก https://positioningmag.com/1341090 Wed, 07 Jul 2021 05:19:07 +0000 https://positioningmag.com/?p=1341090 โลกที่ถูก COVID-19 เป็นตัวเร่งให้หลายองค์กรต้องทรานส์ฟอร์มมาใช้ดิจิทัลมากขึ้น ดังนั้น จะเห็นว่าในช่วงปีที่ผ่านมาจะเห็นข่าวคราวที่หลายบริษัทถูก ‘แฮกเกอร์’ โจมตีเพื่อเรียกค่าไถ่ ล่าสุด บริษัทผู้จำหน่ายซอฟต์แวร์ Kaseya ก็ถูกโจมตี โดยมีการณ์คาดการณ์ว่าเป็นการโจมตีที่ใหญ่เป็นอันดับ 2 ตั้งแต่เคยมีการโจมตีมา

กลุ่มเรียกแฮกเกอร์ REvil ได้เรียกร้องให้จ่ายเงิน 70 ล้านดอลลาร์ หรือราว 2.1 พันล้านบาท เป็น Bitcoin สำหรับเครื่องมือถอดรหัส หลังจากโจมตีผู้จำหน่ายซอฟต์แวร์ Kaseya ซึ่งถือเป็นการโจมตี ซัพพลายเชนที่ใหญ่ที่สุด ที่ไม่เคยมีมาก่อน และอาจเป็นการโจมตีของ Ransomware ที่ใหญ่เป็น อันดับสอง เท่าที่เคยมีมา

ขณะที่บริษัทผู้จำหน่ายซอฟต์แวร์ Kaseya คาดว่า จำนวนบริษัทที่ได้รับผลกระทบจากการโจมตีครั้งนี้มีอยู่ประมาณ 800-1,500 รายทั่วโลก โดยมีลูกค้าที่ได้รับผลกระทบโดยตรงประมาณ 50 ราย และบริษัทอีกหลายร้อยแห่งที่ได้รับผลกระทบเพราะลูกค้าของ Kaseya จำนวนมากให้บริการด้านไอทีแก่ธุรกิจขนาดเล็ก เช่น ร้านอาหารและสำนักงานบัญชี

“ทีมงานระดับโลกของเรากำลังทำงานตลอดเวลาเพื่อให้ลูกค้าของเรากลับมาทำงานได้ เราเข้าใจดีว่าทุกวินาทีที่พวกเขาปิดตัวลง มันส่งผลกระทบต่อการดำรงชีวิตของพวกเขา ซึ่งเป็นเหตุผลว่าทำไมเราจึงทำงานอย่างร้อนรนเพื่อแก้ไขปัญหานี้” Fred Voccola ซีอีโอของ Kaseya กล่าว

Man typing at his laptop computer at night

Kaseya กล่าวว่า บริษัทได้พบกับหน่วยงานรัฐบาลสหรัฐฯ รวมทั้ง FBI และ Cybersecurity and Infrastructure Security Agency (CISA) และได้ร่วมงานกับทำเนียบขาวและบริษัทรักษาความปลอดภัยทางไซเบอร์ FireEye Mandiant พร้อมระบุให้บริษัทที่รายงานไปที่ศูนย์รับเรื่องร้องเรียนเกี่ยวกับอาชญากรรมทางอินเทอร์เน็ตทันที

“เราได้หารือเกี่ยวกับระบบและข้อกำหนดในการเสริมความแข็งแกร่งของเครือข่ายก่อนที่จะมีการกู้คืนบริการกับ FBI และ CISA โดยชุดข้อกำหนดจะถูกโพสต์เพื่อให้ลูกค้าของเรามีเวลาในการวางมาตรการตอบโต้เหล่านี้เพื่อรอการกลับมาให้บริการ”

Source

]]> 1341090 Huawei จัดงานท้าแฮกเกอร์ “เจาะระบบมือถือ” ชิงเงินรางวัล 6.6 ล้านบาท https://positioningmag.com/1254085 Tue, 19 Nov 2019 05:20:35 +0000 https://positioningmag.com/?p=1254085 มือถือ Huawei ถูกตั้งข้อสงสัยมาหลายปีแล้วว่ามีช่อง ‘backdoor’ ลับสำหรับให้รัฐบาลจีนดึงข้อมูลผู้ใช้ ล่าสุดบริษัทจึงจัดงานรวมตัวแฮกเกอร์มือดี เพื่อให้พวกเขาหาทางเจาะระบบมือถือ Android ของบริษัท โดยมีเงินเดิมพันเป็นรางวัลมูลค่า 2 แสนยูโร หรือราว 6.6 ล้านบาท เป็นความพยายามบอกโดยนัยว่าสมาร์ทโฟนของบริษัทไม่มี backdoor ดังกล่าว

ช่วงสุดสัปดาห์ก่อนนี้ Huawei เปิดโปรแกรม ‘Bug Bounty’ ภายในงานอีเวนท์ที่เมืองมิวนิค เยอรมนี โดยจะให้นักวิจัยโทรศัพท์มือถือหรือก็คือเหล่าแฮกเกอร์มือดีระดับโลกพยายามแฮกสมาร์ทโฟน Huawei ตระกูล Mate, P, Nova, รุ่น Y9 รวมถึงแบรนด์ลูกอย่าง Honor ซึ่งเป็นมือถือระบบ Android สำหรับผู้ที่ทำสำเร็จจะได้รับเงินรางวัล 2 แสนยูโร หรือราว 6.6 ล้านบาท ส่วนแฮกเกอร์ที่สามารถแฮกในระดับความเสี่ยงสูงจะได้เงินรางวัล 1 แสนยูโร หรือราว 3.3 ล้านบาท

กิจกรรมนี้เปิดให้กับแฮกเกอร์ที่ได้รับเชิญเท่านั้น โดยแฮกเกอร์ที่ได้รับเชิญโดยตรงจะมีสิทธิเชิญเพื่อนแฮกเกอร์อีก 1 คนเข้ามาร่วมด้วยได้ ส่วนกติกาที่ Huawei จะถือว่าทำสำเร็จคือต้องแฮกข้อมูลระยะไกล และเป้าหมายไม่ต้องคลิกอะไรบนหน้าจอทั้งสิ้นรวมถึงไม่รู้ตัวว่าถูกล้วงข้อมูล ขณะที่การแฮกในระดับความเสี่ยงสูงคือแฮกโดยที่เจ้าของเครื่องรู้ตัวว่ากำลังถูกคนอื่นควบคุมเครื่องอยู่

โปรแกรม Bug Bounty แบบนี้ไม่ใช่เรื่องใหม่ เพราะสมาร์ทโฟนหลายค่ายต้องการพิสูจน์ตัวเองว่ามีความปลอดภัย ในขณะเดียวกันก็เปิดโอกาสให้ตัวเองได้ปิดช่องโหว่ของเครื่อง จากการระดมกำลังแฮกเกอร์ทั่วโลกมาช่วยด้วยเงินรางวัลมูลค่าสูง

ที่ผ่านมา ผู้นำโปรแกรมลักษณะนี้คือโทรศัพท์ iPhone ของ Apple ซึ่งเคยให้เงินรางวัลมูลค่าเท่ากับ Huawei ก่อนจะปรับรางวัลขึ้นไปสูงถึง 1 ล้านเหรียญสหรัฐ (ประมาณ 33 ล้านบาท) หรือ Google ก็เปิดโปรแกรมเดียวกันนี้โดยให้เงินรางวัลสูงสุด 2 แสนเหรียญสหรัฐ (ประมาณ 6 ล้านบาท) สำหรับผู้ที่แฮกมือถือ Pixel สำเร็จ

แม้ว่าโปรแกรมท้าแฮกเกอร์เหล่านี้จะเป็นกิจกรรมทั่วไปของค่ายมือถือดังๆ แต่สำหรับ Huawei แล้วอาจไม่ใช่แค่การพิสูจน์ความปลอดภัยของโทรศัพท์ เพราะการเปิดให้ทดลองเจาะระบบแบบนี้คือการเชื้อเชิญเหล่าแฮกเกอร์เข้ามาตรวจสอบดูได้ว่า Huawei มี ‘backdoor’ ที่ว่าซ่อนอยู่จริงหรือไม่

อย่างไรก็ตาม Robert Baptiste หนึ่งในแฮกเกอร์ที่ได้ร่วมกิจกรรมนี้ให้ความเห็นว่า Huawei ยังไม่ได้เปิดให้ทดลองแฮกระบบปฏิบัติการ HarmonyOS ของบริษัทเลย

ทั้งนี้ HarmonyOS เป็นระบบปฏิบัติการที่ Huawei กำลังปลุกปั้น โดยบริษัทประกาศว่าไม่ได้ต้องการนำมาใช้ในโทรศัพท์มือถือแต่จะใช้กับอุปกรณ์ IoT สำหรับอุตสาหกรรม อย่างไรก็ตาม นี่ก็อาจเป็นแผนสำรองสำหรับแทนที่ระบบ Android ได้เช่นกัน

Source

]]> 1254085