วันอังคารที่ 17 สิงหาคม พ.ศ. 2564

CISA เริ่มโปรแกรมเพื่อสู้กับซอฟต์แวร์เรียกค่าไถ่

ภาพจาก Federal Computer Week

Cybersecurity and Infrastructure Security Agency (CISA) ได้เปิดตัวอย่างเป็นทางการของ Cyber Defense Collaborative (JCDC) ซึ่งเป็นโครงการต่อต้านซอฟต์แวร์เรียกค่าไถ่ (ransomware) ที่ได้รัยการสนับสนุนด้านการแบ่งปันข้อมูลของทั้งภาครัฐและเอกชน  Jen Easterly ผู้อำนวยการ CISA กล่าวว่าองค์กรดังกล่าวถูกสร้างขึ้นเพื่อพัฒนากลยุทธ์การป้องกันทางไซเบอร์ และแลกเปลี่ยนข้อมูลเชิงลึกระหว่างรัฐบาลกลางและพันธมิตรภาคเอกชน หน้าเว็บของ CISA กล่าวว่าเจ้าหน้าที่จากหลายหน่วยงานจะทำงานในสำนักงาน JCDC เพื่อเป็นผู้นำในการพัฒนาแผนการป้องกันทางไซเบอร์ของสหรัฐ  ที่รวมแนวทางปฏิบัติที่ดีที่สุดสำหรับการจัดการกับการบุกรุกทางไซเบอร์ เป้าหมายหลักคือการประสานงานกลยุทธ์ภาครัฐและเอกชนเพื่อต่อสู้กับการโจมตีทางไซเบอร์ โดยเฉพาะอย่างยิ่งซอฟต์แวร์เรียกค่าไถ่ ในขณะเดียวกันก็วางกรอบ (framework) การโต้ตอบต่อเหตุการณ์ที่จะเกิดขึ้น Shawn Henry จากบริษัทผู้ให้บริการด้านความปลอดภัย CrowdStrike Services กล่าวว่า JCDC "จะสร้างสภาพแวดล้อมการมีส่วนร่วมเพื่อพัฒนากลยุทธ์การป้องกันทางไซเบอร์เชิงรุก และช่วย ประสานงานเพื่อป้องกันและตอบสนองต่อการโจมตีทางไซเบอร์"

อ่านข่าวเต็มได้ที่: Federal Computer Week

วันจันทร์ที่ 16 สิงหาคม พ.ศ. 2564

พบช่องโหว่ด้านความมั่นคงในที่ชาร์จรถยนต์ไฟฟ้าที่ได้รับความนิยม

ev-charger

Image Credits:
 Getty Images

นักวิเคราะห์จากบริษัทรักษาความปลอดภัยทางไซเบอร์ของสหราชอาณาจักร Pen Test Partners ได้ระบุข้อบกพร่องในส่วนประสานโปรแกรมประยุกต์ (application programing interface) หรือ API ที่ชาร์จรถยนต์ไฟฟ้า (electric vehicle) หรือ  EV ที่ใช้ในบ้าน 6 ยี่ห้อ รวมถึงเครือข่ายสถานีชาร์จ EV สาธารณะของ Chargepoint นักวิเคราะห์ของ Pen Test คือ Vangelis Stykas พบช่องโหว่หลายประการที่อาจทำให้แฮ็กเกอร์สามารถสั่งการบัญชีผู้ใช้ ขัดขวางการชาร์จ และโปรแกรมอุปกรณ์ชาร์จให้ใช้เป็นแบ็คดอร์เพื่อเข้าสู่ในเครือข่ายภายในบ้านของเจ้าของรถ ข้อบกพร่องของ Chargepoint อาจทำให้แฮ็กเกอร์สามารถขโมยใช้ไฟฟ้าและผลักค่าใช้จ่ายไปยังบัญชีของคนขับ และเปิดใช้งานหรือปิดใช้งานเครื่องชาร์จ ที่ชาร์จ EV บางรุ่นใช้โมดูลประมวลผล Raspberry Pi ซึ่งเป็นคอมพิวเตอร์ราคาประหยัดยอดนิยมที่ Ken Munro แห่ง Pen Test กล่าวว่าไม่เหมาะสำหรับการใช้งานเชิงพาณิชย์เนื่องจากไม่มีบูตโหลดเดอร์ (bootloader) ที่ปลอดภัย ผู้ผลิตเครื่องชาร์จได้แก้ไขปัญหาส่วนใหญ่แล้ว แต่ข้อบกพร่องดังกล่าวชี้ให้เห็นว่ายังมีการควบคุมที่ไม่ดีของอุปกรณ์อินเทอร์เน็ตของสรรพสิ่ง (Internet of Things)

อ่านข่าวเต็มได้ที่: TechCrunch

วันอาทิตย์ที่ 15 สิงหาคม พ.ศ. 2564

รันซอฟต์แวร์ควอนตัมบนเครื่องคอมพิวเตอร์แบบเดิม

quantum
ภาพจาก EPFL (Switzerland)

นักวิจัยจาก Swiss Federal Institute of Technology Lausanne (EPFL) ในสวิตเซอร์แลนด์และมหาวิทยาลัยโคลัมเบีย ได้พัฒนาวิธีการใช้คอมพิวเตอร์แบบดั้งเดิมเพื่อจำลอง Quantum Approximate Optimization Algorithm (QAOA) วิธีการนี้ใช้อัลกอริธึมการเรียนรู้ของเครื่อง (machine learning) แบบคลาสสิกที่ทำหน้าที่เหมือนคอมพิวเตอร์ควอนตัมระยะใกล้ (near-term quantum computer) นักวิจัยใช้โครงข่ายประสาทเทียมที่มีอยู่แล้วที่พัฒนาร่วมกับ Giuseppe Carleo แห่ง EPFL เพื่อจำลอง QAOA ซึ่งถือเป็นตัวเลือกที่มีแนวโน้มอย่างมากว่าจะเป็นการ "ได้เปรียบเชิงควอนตัม" ในคอมพิวเตอร์ควอนตัมระยะใกล้  Carleo กล่าวว่า "นี่ไม่ได้หมายความว่าอัลกอริทึมควอนตัมที่มีประโยชน์ทั้งหมดที่สามารถรันบนตัวประมวลผลควอนตัมระยะใกล้จะสามารถจำลองในเครื่องแบบดั้งเดิมได้ อันที่จริงเราหวังว่าแนวทางของเราจะทำหน้าที่เป็นแนวทางในการประดิษฐ์อัลกอริทึมควอนตัมใหม่ที่ทั้งมีประโยชน์ และยากที่จะจำลองบนคอมพิวเตอร์แบบเดิม"

อ่านข่าวเต็มได้ที่: EPFL (Switzerland)

วันเสาร์ที่ 14 สิงหาคม พ.ศ. 2564

เราได้ยินเสียงเดียวกันของการโจมตีทางไซเบอร์ใช่ไหม

Yang-Cai
Yang Cai ภาพจาก Carnegie Mellon University CyLab Security and Privacy Institute

Yang Cai แห่งมหาวิทยาลัย Carnegie Mellon และเพื่อนร่วมงานได้ออกแบบวิธีการที่ทำให้การรับส่งข้อมูลเครือข่ายผิดปกติสามารถเปล่งออกมาเป็นเสียง โดยการเรนเดอร์ข้อมูลความปลอดภัยทางไซเบอร์ให้ออกมาเป็นเสียงดนตรี นักวิจัยได้สำรวจอัลกอริธึมการจับคู่เสียงหลายแบบ โดยแปลงชุดข้อมูลตัวเลขเป็นเพลงที่มีท่วงทำนอง ความกลมกลืน ทำนอง และจังหวะที่หลากหลาย พวกเขาสร้างเพลงโดยใช้ข้อมูลการรับส่งข้อมูลเครือข่ายจากเครือข่ายการกระจายมัลแวร์จริง โดยระบุการเลื่อนระดับเสียงได้อย่างแม่นยำเมื่อเล่นบนอุปกรณ์ต่าง ๆ และนำเสนอให้กับคนที่ไม่ใช่นักดนตรีได้ฟัง  นักวิจัยกล่าวว่า "เราไม่เพียงแต่ทำดนตรีเท่านั้น แต่ยังเปลี่ยนข้อมูลนามธรรมให้เป็นสิ่งที่มนุษย์สามารถประมวลผลได้" Cai กล่าวว่า "กระบวนการโซนิฟิเคชั่น (sonification) ซึ่งคือใช้เสียงเพื่อรับรู้ข้อมูลไม่ใช่เรื่องใหม่ แต่การทำโซนิฟิเคชั่นเพื่อทำให้ข้อมูลน่าสนใจยิ่งขึ้นสำหรับหูของมนุษย์เป็นเรื่องใหม่"

อ่านข่าวเต็มได้ที่: Carnegie Mellon University CyLab Security and Privacy Institute

วันศุกร์ที่ 13 สิงหาคม พ.ศ. 2564

เทคนิคความมั่นคงไซเบอร์ที่ทำให้แฮกเกอร์ต้องเดา

car-security
ภาพจาก U.S. Army DEVCOM Army Research Laboratory

Army Research Laboratory (ARL) ได้ออกแบบเฟรมเวิร์กที่ใช้การเรียนรู้ของเครื่อง (machine learning) เพื่อเพิ่มความปลอดภัยให้กับเครือข่ายคอมพิวเตอร์ในรถยนต์ เฟรมเวิร์ก DESOLATOR (deep reinforcement learning-based resource allocation and moving target defense deployment framework) ซึ่งใช้การจัดสรรทรัพยากรตามการเรียนรู้การเสริมแรงเชิงลึก และปรับใช้การป้องกันสำหรับเป้าหมายที่เคลื่อนที่ ได้รับการออกแบบมาเพื่อช่วยระบุอินเทอร์เน็ตโปรโตคอล (internet protocol) หรือ IP ที่เหมาะสมที่สุดในการเปลี่ยนความถี่และการจัดสรรแบนด์วิดท์ เพื่อให้สามารถป้องกันเป้าหมายเคลื่อนที่ในระยะยาวได้อย่างมีประสิทธิภาพ Terrence Moore จาก ARL อธิบายว่า "หากคุณสับเปลี่ยนที่อยู่ IP เร็วพอ ข้อมูลที่กำหนดให้กับ IP จะสูญหายไปอย่างรวดเร็ว และฝ่ายจู่โจมจะต้องค้นหาอีกครั้ง" Frederica Free-Nelson ของ ARL กล่าวว่าเฟรมเวิร์กนี้ช่วยรักษาความไม่แน่นอนให้สูงพอที่จะเอาชนะผู้โจมตีโดยไม่ก่อให้เกิดค่าใช้จ่ายในการบำรุงรักษาที่มากเกินไป และป้องกันการลดลงของประสิทธิภาพในพื้นที่ที่มีลำดับความสำคัญสูงของเครือข่าย

อ่านข่าวเต็มได้ที่: U.S. Army DEVCOM Army Research Laboratory