Category: Security

  • Debian Oval

    grianggrai.n

    https://wiki.debian.org/DebianOval

    1. ระบบปฏิบัติการ Debian 12.4
    2. ล็อคอินด้วย root หรือ user ที่สามารถเรียกใช้ sudo ได้
    3. ติดตั้ง openscap-scanner ด้วยคำสั่ง
     apt install -y openscap-scanner
    1. ดาวน์โหลดไฟล์ Definition จาก https://www.debian.org/security/oval/ เลือกไฟล์ให้ตรงกับรุ่น ของ Debian ที่ใช้งาน ตัวอย่างนี้ใช้ Bookworm (รุ่น 12.4) โหลดไฟล์ชื่อ oval-definitions-bookworm.xml.bz2
    2. ขยายไฟล์ที่ดาวน์โหลดมาด้วยคำสั่ง
    bunzip2  oval-definitions-bookworm.xml.bz2
    1. ต่อด้วยคำสั่ง
    oscap oval eval --report report.html oval-definitions-bookworm.xml
    1. นำไฟล์ report.html มาเปิดใน web browser
    1. ช่อง Result ต้องเป็น false ถึงจะ Ok ?
    2. จบขอให้สนุก

  • การกำหนดค่าพื้นฐานความปลอดภัยสำหรับ IIS และ WordPress บน Windows Server

    ghongchanok.t

    เพื่อให้ Web Server ของเราปลอดภัยจากการถูกโจมตี บทความนี้จะเป็นการแนะนำการกำหนดค่าต่างๆของ web server ที่ให้บริการ ซึ่งทำงานด้วยบน Windows Server และ มีการติดตั้ง IIS, PHP, MySql, ASP.Net และ WordPress

    • การกำหนดส่วนของ Windows Server อ้างอิงคำแนะนำจาก Quays SSL Labs ให้ได้ระดับ A ขึ้นไป
      1. ใช้ใบรับรองจาก CA ที่น่าเชื่อถือ และ ใช้การ RSA 2048 bits (SHA256withRSA) ขึ้นไป
      2. การกำหนด Cipher Suites ที่ปลอดภัย ซึ่งจะมีเครื่องมือที่ช่วยในการกำหนดดังนี้
        • IIS Crypto เป็นโปรแกรมฟรีไม่ต้องติดตั้งสำหรับช่วยจัดการกำหนด protocols, ciphers, hashes and key exchange algorithms บน Windows Server โดยกำหนดพื้นฐานดังนี้
          1. เมนู Schannel
          1.1 Protocols เลือกกำหนดใช้งาน TLS 1.2 และ/หรือ TLS 1.3 เท่านั้น
          1.2 Cipher เลือกกำหนดเป็น AES
          1.3 Hashes เลือก SHA 256 ขึ้นไป
          1.4 Key Exchanges สามารถเลือกได้ทั้ง Diffie-Hellman, PKCS และ ECDH
          2. เมนู Cipher Suites สามารถกำหนด Cipher Suites ที่ปลอดภัยในปัจจุบัน ซึ่งค้นหาได้จากเว็บ https://www.tenable.com/plugins/nessus/156899
      3. เป็นส่วนของการกำหนดใน IIS
        • การกำหนดสำหรับ Security Headers ให้ได้ระดับ A+ อ้างอิงคำแนะนำจากเว็บ https://securityheaders.com/
        • การจัดการ Http Response Header โดยกำหนดค่าดังนี้
          1. X-Frame-Options เป็นการกำหนดเพื่อหลีกเลี่ยงจากการถูกโจมตีด้วย Clickjacking
            ตัวอย่างการกำหนดค่าเป็น SAMEORIGIN
          2. X-XSS-Protection เป็นการป้องกันการโหลดสคริปต์ข้ามไซต์
            ตัวอย่างการกำหนดเป็น 1; mode=block
          3. X-Content-Type-Options เป็นการป้องการโจมตีเนื้อหาประเภท MINE (Multipurpose Internet Mail Extensions) ซึ่งเป็นรูปแบบที่ใช้ระบุประเภทของข้อมูลที่ถูกส่งผ่านเครือข่าย หรือเก็บที่เครื่องอุปกรณ์ มันช่วยบอกให้ระบบรับรู้ว่าไฟล์เป็นประเภทไหนและวิธีการจัดการข้อมูลนั้น ที่อาจถูกใช้ในการโจมตีเพื่อหลอกลวงระบบหรือละเว้นมาตรฐานการตรวจสอบปลอดภัย เช่น application/pdf, image/jpeg, text/html
            ตัวอย่างการกำหนดค่าเป็น nosniff
          4. Referrer-Policy เป็นการควบคุมการส่งผ่านส่วนอ้างอิง เช่น ป้องกันส่วน HTTPS ไม่ให้กลับไป HTTP ที่ไม่ปลอดภัย
            ตัวอย่างการกำหนดค่าเป็น no-referrer-when-downgrade
          5. Strict-Transport-Security เป็นการช่วยให้การเข้าเว็บไซต์ด้วย HTTPS เท่านั้น
            ตัวอย่างการกำหนดค่าเป็น max-age=31536000; includeSubDomains; preload
          6. Content-Security-Policy เป็นการระบุที่มาของเนื้อหาที่ได้รับอนุญาตให้โหลดบนเว็บไซต์ เช่น JavaScript เพื่อป้องกันการโจมตีแบบ Cross-Site Scripting (XSS)
            ตัวอย่างการกำหนดค่าเป็น upgrade-insecure-requests
          7. Permissions-Policy เป็นการควบคุมการเปิดใช้งานเช่น กล้อง หรือ ไมโครโฟน หรือ ฟีเจอร์อื่น ๆ
            ตัวอย่างการกำหนดค่า เช่น geolocation=(), camera=(), microphone=()
        • การปกปิดเวอร์ชันไม่แสดงในส่วนของ Header สามารถกำหนดเพิ่มเติมดังนี้
          1. เมนู IIS Manager –> Configuration Editor
            • Section: system.webServer/security/requestFiltering กำหนด removeServerHeader เป็น True เพื่อไม่ให้แสดง เวอร์ชันของ server
            • Section: system.web/httpRuntime กำหนด enableVersionHeader เป็น False เพื่อไม่ให้แสดงเวอร์ชันของ IIS หรือ ASP.Net
          2. กำหนด expose_php = Off ใน php.ini เพื่อไม่ให้แสดงเวอร์ชันของ php
          3. ลบ X-Powered-By ออกจาก HTTP Response Headers
      4. กำหนด IP Address ส่วนของ Remote Address ใน Windows Defender Firewall with Advance Security – Inbound Rules เพื่อควบคุมการเข้าถึงจากคอมพิวเตอร์ที่ได้รับอนุญาตเท่านั้น
      5. ปิด port ที่ไม่ได้ใช้งาน
    • การกำหนดส่วนของเว็บ
      1. การเรียกใช้งานไรบรารีจากภายนอกเว็บไซต์ เช่น เดิม จะมีการเรียกใช้โดยอ้างอิงแบบ
        src=”https://code.jquery.com/jquery-3.7.1.min.js” ซึ่งจะไม่มีการตรวจสอบความน่าเชื่อถือ
        เพื่อสร้างความเชื่อมั่นว่าไรบรารีที่ใช้งานจะไม่มีการเปลี่ยนแปลง จึงมีการเพิ่มส่วนการตรวจสอบ integrity และ crossorigin ซึ่งสามารถเลือกใช้งาน Code Integration ได้จากเว็บ https://releases.jquery.com/jquery/ หรือ https://cdnjs.com/libraries ดังตัวอย่างนี้
        • src=”https://code.jquery.com/jquery-3.7.1.min.js” integrity=”sha256-/JqT3SQfawRcv/BIHPThkBvs0OEvtFFmqPF/lYI/Cxo=” crossorigin=”anonymous” หรือ
        • src=”https://cdnjs.cloudflare.com/ajax/libs/jquery/3.7.1/jquery.min.js” integrity=”sha512-v2CJ7UaYy4JwqLDIrZUI/4hqeoQieOmAZNXBeQyjo21dadnwR+8ZaIJVT8EE2iyI61OV8e6M8PP2/4hpQINQ/g==” crossorigin=”anonymous” referrerpolicy=”no-referrer”
      2. การป้องกันการเรียกดู user data ผ่าน REST API ใน WordPress กรณีนี้ควรติดตั้งส่วนเสริมไม่ให้สามารถเรียกใช้งานผ่าน REST API โดยไม่มีการยืนยันตัวตนก่อน เช่น Disable WP REST API
    • หลังจาก กำหนดค่าเรียบร้อยแล้ว สามารถทดสอบได้ที่ https://www.ssllabs.com/ssltest/analyze.html คลิกเลือก Do not show the results on the boards ก่อนสแกน ด้วยครับ
    • Windows Server 2019 รองรับ TLS 1.2
    • Windows Server 2022 รองรับ TLS 1.2 และ TLS 1.3
      หมายเหตุ ทั้งนี้ Windows Server 2022 เพิ่มการรองรับ TLS 1.3 อย่างไรก็ตาม หากเปิดใช้งานทั้ง TLS 1.2 และ 1.3 Site Scanner จะส่งผลให้ได้เกรด A เท่านั้น เนื่องจากปัจจุบัน Windows Server ไม่รองรับการป้องกันการโจมตีแบบดาวน์เกรด หากไคลเอนต์ร้องขอ TLS 1.3 Windows จะยังคงอนุญาตให้ปรับไปใช้ TLS 1.2 ได้ และนั่นคือสาเหตุที่ Site Scanner รายงานเกรด A แทนที่จะเป็น A+

  • Beware of open large 700+ MB PDF, SCR File

    songkrant.m

    ระวังการเปิดอ่านไฟล์ PDF, SCR ขนาดใหญ่กว่า 700 MB ด้วยอาจจะเป็น มัลแวร์ ที่สามารถสำเนาคุกกี้ในโปรแกรมเว็บเบราเซอร์ของเครื่องที่ท่านใช้งานอยู่ไปให้กับคุณแฮกเกอร์ได้

    คุณแฮกเกอร์ เมื่อได้ คุกกี้ ไปแล้วก็สามารถนำไปใช้เข้าเว็บไซต์ที่แม้จะได้มีการป้องกันด้วยระบบตรวจสอบตัวจริงหลายชั้น Multi-factor Authentication : MFA เอาไว้ ก็หลุดรอดวิธีเข้าเว็บไซต์ด้วยคุ๊กกี้นี้ไปได้อย่างง่ายดาย ทั้งนี้ด้วยช่องโหว่โปรแกรมป้องกันไวรัสจะไม่ตรวจสอบไฟล์ขนาดใหญ่กว่า 700 MB

    ก่อนคลิก คิดทบทวนกันก่อนนะครับ

    อ้างอิงจาก YouTube https://youtu.be/yXYLR8MfSz8

  • Patch Your Website NOW

    songkrant.m

    เรียนท่านผู้ดูแลเว็บไซต์ต่างๆ ภายใต้โโเมน psu.ac.th

    เนื่องด้วยเว็บไซต์หลายส่วนงานไม่ได้มีการปรับปรุงซอฟแวร์บริการเว็บไซต์และระบบปฏิบัติการให้ทันสมัยล่าสุดปิดกั้นช่องโหว่

    ส่งผลให้เว็บไซต์จำนวนมากมีช่องโหว่ พร้อมให้ถูกโจมตีได้ง่ายมาก ไม่ต้องใช้เทคนิคขั้นสูงในการเจาะระบบ

    หากท่านยังไม่ได้เคยตรวจสอบปรับปรุงเว็บไซต์ก็ขอให้ใช้เครื่องมือที่

    1. ตรวจสอบ Public IP Address ของเว็บไซต์ที่ท่านดูแล ยกตัวอย่าง www.psu.ac.th
      โดยใช้ URL
      https://bgp.he.net/dns/www.psu.ac.th/
      และแก้ไข www.psu.ac.th เป็นชื่อเว็บไซต์ที่ท่านดูแล
      ซึ่งตัวอย่าง www.psu.ac.th
      ได้ Public IP Address 192.100.77.111
    2. ตรวจสอบช่องโหว่ของเว็บไซต์ที่ท่านดูแลจาก Shodan
      โดยใช้ URL
      https://www.shodan.io/host/192.100.77.111
      และแก้ไข Public IP Address เป็น Public IP Address ของเว็บไซต์ที่ท่านดูแล

    หากด้านซ้ายล่างมีข้อความ
    Vulnerabilities และแสดง
    CVE เลบต่างๆ

    ท่านผู้ดูแลเว็บไซต์ งานเข้าเร่งด่วน ให้ ปรับปรุง ปิดกั้น ช่องโหว่ เว็บไซต์ที่ท่านดูแล
    โดยเร็วที่สุด

    ซึ่งหากท่านดูแลเว็บไซต์เองไม่ได้ก็ขอให้ย้ายเนื้อหามาใช้บริการที่
    https://webhost.psu.ac.th/
    ที่ท่านจะดูแลเฉพาะส่วนเนื้อหาในเว็บไซต์

    ในที่สุด เว็บไซต์ ที่ดูแลไม่ต่อเนื่อง มีช่องโหว่ ก็จะถูกโจมตี แบบเบาๆ ก็จะถูกวาง Link การพนัน ลามกอนาจาร ตัวอย่างเช่น
    ค้นหาด้วย Google ใช้คำว่า

    slot site:*.psu.ac.th

    ก็จะปรากฎชื่อเว็บไซต์ต่างๆ ภายใต้โดโเมน psu.ac.th ที่ถูกโจมตี จากช่องโหว่ที่ปล่อยทิ้งไว้ไม่ปรับปรุงป้องกัน
    ซึ่งตัวอย่างนี้ฝัง Link ที่ไปสู่ เว็บไซต์ การพนัน ตามคำค้นว่า slot

    ย้ำอีกครั้ง อย่าปล่อยรอไว้ จนถึงวันที่ ผู้บริหารส่วนงานท่านได้รับหนังสือจาก DiiS.PSU ว่าทาง สกมช. ได้ส่งหนังสือเรียนท่านอธิการบดี แจ้งเตือนเว็บไซต์ต่างๆ ที่ท่าน “ต้องดูแล” รับผิดชอบ ภายใต้โดโเมน psu.ac.th ถูกโจมตี

    ไม่ต้อง รอ นะครับ

  • PSU Internet was Affected by Submarine Cable

    songkrant.m

    NT คาดว่าจะแก้ไขกลับมาให้เป็นปกติได้ประมาณวันที่ 1 มี.ค. 2566
    PSU ยังคงมีการใช้ Internet ผ่าน อีก 2 ISP ได้แก่ UniNet และ True ซึ่งก็มีทางเชื่อม Internet ผ่าน NT-IIG วงรีทางซ้ายในแผนผัง

    http://internet.nectec.or.th/webstats/show_page.php?ZRXlBGci8PKBfyGoc7U+YUMy0Mxa4ePxBhBlnwqcod1s56C+MB1w8PH7zxtoDLTv3lyjGbqHqI3kpjAsGrb3Y0vlVN/aAcvDDim6ggNEPEVG0g7Tda6BWRbRQiS8DM5D

        สาเหตุการขัดข้อง

    o เกิดจากการขัดข้องของระบบเคเบิลใต้น้ำระหว่างประเทศ ได้แก่ ระบบ AAG, AAE1 และ APG บริเวณน่านน้ำประเทศสิงคโปร์, ฮ่องกง และประเทศไทย ในช่วงเวลาที่ทับซ้อนพร้อมกันหลายระบบ ทำให้วงจร Trunk Internet Gateway เชื่อมต่อไปยังภูมิภาคต่าง ๆเกิดการ Congestion

    ผลกระทบการใช้งานบริการ International Internet Gateway

    oทำให้การใช้งาน Internet หรือ Application แบบ Real time โดยเฉพาะปลายทางประเทศสิงคโปร์ ฮ่องกง ใช้งานได้ช้า (High latency/packet loss) ในบางช่วงเวลาที่การใช้งาน Traffic สูง

    oทั้งนี้ในการให้บริการ NT IIG ยังมี Traffic บางส่วนที่สามารถใช้งานได้จาก IIG Caching ซึ่งอยู่ภายใน IIG network เช่น Facebook, Google, Akamai, NETFLIX, Line ซึ่งยังไม่ได้รับผลกระทบต่อการใช้งาน

    แผนการแก้ไขเร่งด่วน

    oเปิดวงจร Trunk ผ่านระบบเคเบิลใต้น้ำ TIS (TH-SG) + SJC (SG-HK)

    •ดำเนินการ : เสร็จเป็นที่เรียบร้อยแล้ว เมื่อ วันที่ 2 ก.พ. 2566

    •ผลลัพธ์ : ทำให้ Traffic ที่ผ่านไปยังปลายทางเขตปกครองพิเศษฮ่องกง ใช้งานได้ดีขึ้นและลดการ Congestion ด้านสิงคโปร์ได้บางส่วน

    oเปิดวงจรเชื่อมต่อปลายทาง NT IIG POP Singapore เพิ่มเติมผ่านระบบเคเบิลใต้น้ำ SMW4 ขนาด 100 GE เพื่อขยาย Capacity ของ IIG Trunk Singapore

    •ดำเนินการ : เปิดวงจรเชื่อมต่อไปยังสถานีเคเบิลใต้น้ำประเทศสิงคโปร์เป็นเรียบร้อยแล้ว ขณะนี้รอการเชื่อมต่อวงจรเชื่อมโยงจากสถานีเคเบิลใต้น้ำในประเทศสิงคโปร์ไปยัง NT IIG POP โดย บ.SingTel แจ้งข้อมูลล่าสุด(20ก.พ.)คาดว่าจะสามารถดำเนินการเชื่อมต่อวงจรได้ประมาณวันที่ 1 มี.ค. 2566

    •ผลการลัพธ์ : ทำให้ Traffic ที่ผ่านไปยังปลายทางประเทศสิงคโปร์และปลายทางอื่นๆกลับสู่ภาวะปกติ

    แผนการแก้ไขระยะยาว

    oเพิ่ม Diversity วงจรเชื่อมต่อผ่านระบบ Submarine ADC (ประมาณ Q4 2566)

    •Singapore POP เป็น 5 ระบบ (SMW4/TIS/AAG/APG/ADC)

    •Hong Kong POP เป็น 5 ระบบ (AAG/APG/AAE1/TIS-SJC/ADC)

    ข้อมูล ข้อขัดข้อง NT IIG ที่เป็นผู้ให้บริการ Internet ช่องทางหนึ่งแก่ PSU เนื่องจากเคเบิลใต้น้ำ 20Feb2023 ครับ 😢

    https://www.submarinecablemap.com/

  • Nessus Essentials

    songkrant.m

    เครื่องมือตรวจสอบช่องโหว่ Nessus Essentials

    จากเว็บไซต์ให้บริการตรวจสอบช่องโหว่ในระบบได้ฟรีๆ ไม่มีค่าใช้จ่าย เช่น https://www.shodan.io/ ซึ่งบริการฟรี สถานะ Last Seen แสดงวันที่ Shodan แวะเวียนมาตรวจสอบให้ล่าสุด
    จึงเกิดคำถามว่า ถ้าเราได้อัพเดตส่วนประกอบพื้นฐานต่างๆ เช่น หากใช้ Ubuntu ก็ทำตาม วิธี https://sysadmin.psu.ac.th/2023/02/14/ubuntu-oval/ ที่ Ubuntu มีให้
    แล้วจะรู้ได้อย่างไรว่า ช่องโหว่ต่างๆ ได้ถูกปิดให้ปลอดภัยขึ้นแล้ว

    เครื่องมือที่สำนักนวัตกรรมดิจิทัลและระบบอัจฉริยะ diis.psu.ac.th มีใช้สำหรับตรวจสอบช่องโหว่คือ
    Nessus Professional ซึ่งมีค่าใช้จ่ายรายปี และการใช้งาน ผู้ดูแลไอทีส่วนงานต่างๆ สามารถส่งอีเมลถึง

    itoc@psu.ac.th
    แจ้งความประสงค์ ขอให้ตรวจสอบช่องโหว่เว็บไซต์ URL…
    วันที่… เวลา…

    ซึ่งจะใช้เวลาตรวจสอบประมาณ 1-2 ชั่วโมง itoc@psu จะส่งรายงานผลการตรวจสอบจาก Nessus ให้กับท่านตามอีเมล @psu.ac.th ที่แจ้งความประสงค์เข้ามา
    ตามลำดับคำขอ

    อย่างไรก็ตาม ยังมีอีกทางเลือกหนึ่ง ที่ผู้ดูแลไอทีส่วนงานต่างๆ สามารถสมัครใช้บริการ Nessus ได้แบบไม่มีค่าใช้จ่าย
    Nessus Essentials
    https://www.tenable.com/products/nessus/nessus-essentials
    ซึ่งรองรับ 16 IP Address และตรวจสอบได้เพียงพอ ไม่ต้องถึงระดับ Compliance Checks แบบ Nessus Professional

    บทความที่เคยใช้ข้อมูลจาก Nessus มีอยู่ที่
    https://sysadmin.psu.ac.th/2019/08/13/nessus-scaned/

    ส่วน รายละเอียดการใช้งาน Nessus Essentials หากท่านใดมีเนื้อหาพร้อมแบ่งปัน สามารถแปะ URL ในช่องความเห็นมาได้เลยครับ

    ร่วมด้วยช่วยกัน เพิ่มความปลอดภัยไซเบอร์ ให้ ม.อ.

  • Ubuntu OVAL

    songkrant.m

    เครื่องมือตรวจสอบช่องโหว่สำหรับอูบุนตู

    เพิ่มเติม สำหรับ Ubuntu 24.04 10Jun2024

    เมื่อได้รับทราบข้อมูลช่องโหว่ของลีนุกซ์อูบุนตูที่ดูแลอยู่จากเว็บไซต์ให้บริการตรวจสอบช่องโหว่ในระบบได้ฟรีๆ ไม่มีค่าใช้จ่าย เช่น https://www.shodan.io/ ซึ่งบริการฟรี สถานะ Last Seen แสดงวันที่ Shodan แวะเวียนมาตรวจสอบให้ล่าสุด
    จึงเกิดคำถามว่า ถ้าเราได้อัพเดตส่วนประกอบพื้นฐานต่างๆ ที่ Ubuntu มีมาให้ด้วยคำสั่ง
    sudo apt update
    sudo apt dist-upgrade
    แล้วจะรู้ได้อย่างไรว่า ช่องโหว่ต่างๆ ได้ถูกปิดให้ปลอดภัยขึ้นแล้วตามคำแนะนำของ Ubuntu ที่มีประกาศข่าวเรื่องความปลอดภัยเกี่ยวกับอูบุนตูไว้ที่ https://ubuntu.com/security/notices

    อูบุนตูมี Ubuntu OVAL (Open Vulnerability and Assessment Language) ไว้ให้ใช้ตรวจสอบช่องโหว่ ซึ่งใช้โปรแกรมชื่อ OpenSCAP เพื่อทำรายงานช่องโหว่ให้ดูได้เอง ตามขั้นตอนต่อไปนี้

    1. Login เข้าไปที่เครื่องอูบุนตูที่ใช้อินเทอร์เน็ตได้
    2. Download ด้วยการใช้คำสั่ง
    wget https://security-metadata.canonical.com/oval/com.ubuntu.$(lsb_release -cs).usn.oval.xml.bz2

    หรือเลือก Download ให้ตรง Ubuntu Version จากตัวเลือกที่
    https://security-metadata.canonical.com/oval/
    โดยให้เลือกแบบ CVE เพื่อจะได้เปรียบเทียบรายการช่องโหว่กับรายงาน Nessus ที่แสดงด้วย CVE เช่นกัน
    1. คลายไฟล์ที่ถูกบีบอัดลดขนาดที่ Download มาได้ ด้วยการใช้คำสั่ง
    bunzip2 com.ubuntu.$(lsb_release -cs).usn.oval.xml.bz2
    1. ใช้โปรแกรม OpenSCAP เพื่ออ่านเงื่อนไขการตรวจสอบช่องโหว่ต่างๆ บนเครื่อง และสร้างไฟล์รายงานผลชื่อ report.html ด้วยการใช้คำสั่ง
    oscap oval eval --report report.html com.ubuntu.$(lsb_release -cs).usn.oval.xml
    1. เพิ่มเติม จากคุณ เกรียงไกร 15Feb2023 => บางเครื่องต้องติดตั้ง libopenscap8 ก่อนด้วยคำสั่ง sudo apt install libopenscap8 ไม่งั้นใช้ oscap ไม่ได้
    2. เพิ่มเติม สำหรับ Ubuntu 24.04 10Jun2024 => ต้องติดตั้ง openscap-scanner ด้วยคำสั่ง sudo apt install openscap-scanner ไม่งั้นใช้ oscap ไม่ได้
    3. ใช้โปรแกรม เว็บบราวเซอร์ เพื่อเปิดอ่านไฟล์รายงานผลชื่อ report.html

    ตัวอย่างการใช้งานจริงกับเครื่องบริการทดสอบความเร็วอินเทอร์เน็ต Ookla Server ซึ่งใช้เป็นตัวอย่างแสดง

    1. Ubuntu Server 20.04 5.4.0-121#137 15Jun2022 ก่อนจะใช้คำสั่ง sudo apt dist-upgrade เพื่อปรับปรุงความปลอดภัย
      ในรายงานแสดงจำนวน 14 #X ที่ยังมีช่องโหว่ พร้อมด้วยรายการช่องโหว่หมายเลข USN และ CVE ต่างๆ โดยละเอียดตามรูป
    2. Ubuntu Server 20.04 5.4.0-137#154 5Jan2023 เมื่อได้ใช้คำสั่ง sudo apt dist-upgrade ปรับปรุงความปลอดภัยและรีบูทเครื่องแล้ว
      ในรายงานแสดงจำนวน 2 #X ที่ยังมีช่องโหว่ พร้อมด้วยรายการช่องโหว่หมายเลข USN และ CVE ต่างๆ โดยละเอียดตามรูป
    3. เนื่องจากส่วนการปรับปรุงความปลอดภัยอีก 2 รายการที่ยังเหลืออยู่นั้นทาง Ubuntu จะมีบริการให้เฉพาะกับสมาชิก Ubuntu Pro https://ubuntu.com/pro เท่านั้น (จะเขียนคำแนะนำเพิ่มให้ครับ)
      ซึ่งหลังจากทำตามขั้นตอนใส่ คีย์ ของ Ubuntu Pro ลงบน เครื่องอูบุนตูของเราเรียบร้อย และอัพเดตความปลอดภัยเพิ่มจากสิทธิ์ Ubuntu Pro ในรายงาน OVAL จะได้รับการอัพเดตปิดกั้นช่องโหว่อย่างครบถ้วน ตามรูป
    4. ถึงแม้ว่าวันนี้ อูบุนตู ของท่านจะได้รับการอัพเดตล่าสุดแล้ว แต่ด้วยภัยคุกคามทางไซเบอร์มีการเปลี่ยนแปลงอยู่เสมอ ก็อย่าลืมติดตามอ่านข่าวสารเกี่ยวกับความปลอดภัยไซเบอร์ และหมั่นปรับปรุง อัพเดต อยู่เป็นประจำครับ

  • DNS BIND Severity HIGH 7.5 Update

    songkrant.m

    แจ้ง SysAdmin ที่มีการดูแล DNS Server ที่ใช้ BIND ให้ปรับปรุงด่วนครับ
    Ubuntu 20.04 มี bind9 (1:9.16.1-0ubuntu2.12) ที่แก้ไขช่องโหว่ 1of4 แล้วตั้งแต่ 25Jan2023
    Ubuntu 22.04 มี bind9 (1:9.18.1-1ubuntu1.3) ที่แก้ไขช่องโหว่ 3of4 แล้วตั้งแต่ 25Jan2023
    ท่านใดเพียงใช้ Ubuntu Update ล่าสุดตาม OS แล้วได้ bind9 รุ่นใหม่ โดยไม่ต้องติดตั้ง BIND ใหม่ด้วยตนเอง?
    ผมยังไม่ทราบ ฝากช่วยให้ข้อมูลด้วย ขอบคุณมากครับ

    ขอบคุณคุณ เกรียงไกร หนูทองคำ ที่ให้ข้อมูล เกี่ยวกับการ Update ของ Ubuntu 20.04 ที่ยังมี Security Update ขยายต่อให้จนถึงต้นปี 2030
    https://ubuntu.com/about/release-cycle
    ด้วยบางระบบปรับไปใช้ 22.04 แล้วบริการเก่าขัดข้อง ทำให้ต้องอยู่กับ 20.04 แต่ก็ขอให้ Update สม่ำเสมอ

    2023-01-30 ISC แนะนำให้ปรับใช้ BIND 9.16.37, 9.18.11, 9.19.9, and 9.16.37-S1 แก้ไข HIGH 7.5 จำนวน 4 ช่องโหว่

    https://thehackernews.com/2023/01/isc-releases-security-patches-for-new.html
    https://webboard-nsoc.ncsa.or.th/topic/590/isc-ออกแพตช-ความปลอดภ-ยสำหร-บช-องโหว-ซอฟต-แวร-bind-dns-ใหม?_=1675133273660&lang=en-US
    https://www.ubuntuupdates.org/package/core/focal/main/updates/bind9
    https://www.ubuntuupdates.org/package/core/jammy/main/updates/bind9

  • Virus Total เครื่องมือตรวจสอบ Shorten URL (ช่วยย่อ URL, ย่อ Weblink, ลิ้งค์ย่อ)

    songkrant.m

    ในโลก Web 2.0 มีการสร้างเครื่องมือเพื่ออำนวยความสะดวกให้ผู้ใช้มากมาย และหนึ่งในนั้นคือการแชร์ URL ข้อมูลต่างๆ ซึ่งปัจจุบัน URL จะมีความยาวมาก เช่นจากการสร้าง Link แชร์เอกสาร แบบฟอร์ม ที่เก็บไฟล์ต่างๆ
    ซึ่งใน ม.อ. คุณ อัษฎายุธ ได้ช่วยอำนวยความสะดวกให้ชุมชนผู้ใช้ไอที ม.อ. ได้ใช้ Shorten URL กันตามข่าว แทนที่จะไปใช้บริการจากนอก ม.อ. เช่น bit.ly tiny.cc

    และในอีกทางหนึ่ง ทางด้านมืด สายมาร เหล่ามิจฉาชีพ ก็นำไปใช้ด้วยเช่นกัน ทำให้เหล่าผู้ใช้ น่าจะรู้สึกกังวลเวลาได้ลิ้งค์ย่อ กังวลว่ากดคลิกต่อไปแล้วจะนำไปสู่หน้าเว็บไซต์ไหน เจออะไร หรือเจอสายมืดก็เปิดเข้าไปเจอเว็บไซต์ประสงค์ร้าย มีแฝงมัลแวร์ มาพร้อมรอต้อนรับผู้ใช้ ที่ยังไม่ตระหนักรู้ ผู้ใช้สาย คลิก “ต่อไป”

    วิธีลดความเสี่ยง ในวันนี้ จึงขอเสนอว่าให้นำ Shorten URL นั้นไปแปะให้ Virus Total ช่วยตรวจสอบความปลอดภัยเบื้องต้นให้ก่อน

    https://www.virustotal.com/gui/home/url

    และฝากเพิ่มเติมสำหรับ สายแชร์ ที่สร้าง URL ลิ้งค์ ที่นำไปสู่เอกสารภายในของกลุ่ม ขององค์กร ของส่วนงาน หรือกลุ่มทำงาน ให้ตรวจสอบการตั้งค่า Share ของสิ่งนั้นให้ดี “ให้เป็นเฉพาะกลุ่ม” เพราะหากเปิดเป็นสาธารณะแล้ว หากผู้รับได้นำ Link ไปใช้ Virus Total ตรวจสอบ ก็อาจจะเป็นการเรียกทัวร์มาลง มาเยี่ยมเยียน ไฟล์ข้อมูลที่เปิดไว้เป็นสาธารณะแบบผิดๆ ไว้โดยไม่ได้ตั้งใจ เพราะ URL ต่างๆ ที่ส่งไปตรวจสอบ Virus Total ก็จะถูกเผยแพร่ไปยังระบบตรวจสอบกลางของ Virus Total ที่ใช้ร่วมกันระหว่างบริษัทที่บริการเครื่องมือความปลอดภัยต่างๆ จำนวนมาก เพื่อวัตถุประสงค์ในการใช้เป็นฐานข้อมูลในการตรวจสอบความปลอดภัยร่วมกัน

    ก่อนจะกดที่ ลิ้งค์ย่อ Shorten URL อย่าลืมใช้ Virus Total ตรวจสอบกันก่อนนะครับ

    ขอขอบพระคุณ คุณชยา ลิมจิตติ ที่ได้แนะนำเครื่องมือ Virus Total ให้ได้รู้จักกันครับ