ISO 27001:2013 Human Resource Security - กรณีศึกษา ICANN โดยHacker ล้วงตับ
Posted by
pryn
on
วันอังคารที่ 23 ธันวาคม พ.ศ. 2557
2
เรียบร้อยโรงเรียน Hackerไปอีกราย เมื่อ ICANN หรือ The Internet Corporation for Assigned Names and Numbers (ICANN) โดนมือดีฝ่าระบบป้องกัน(Information & Network Security)เข้าไปล้วงตับองค์กรสำคัญระดับโลกนี้
ภาระกิจ Hacking นี้ใช้เทคนิค spear phishing attack คือปลอมEmailว่ามาจาก Trusted source หลอกให้ Staffs ป้อนข้อมูลที่ sensitive เช่น username, password etc เมื่อได้ข้อมูลลับแล้ว Hacker ก็นำไปขยายผลไปยังระบบเหล่านี้
- Centralized Zone Data System (CZDS)
- ICANN Governmental Advisory Committee (GAC) Wiki
- ICANN Blog
- ICANN WHOIS information portal
ที่น่าตกใจคือ Hakcer เข้าถึงข้อมูลของระบบ Centralized Zone Data System (CZDS) ด้วยสิทธิ Admin !!! ขอเวลาเงิบแป๊บ !!!
รายงานข่าวอ้างอิงจาก http://www.esecurityplanet.com/network-security/icann-hacked.html เผยถึงสิ่งที่ Hacker ได้โชว์สเตปไว้ คือการCopy ไฟล์เหล่านี้ออกไป
- Zone files
- Username and hashed password
- Mailing address
- Fax number
- Phone number
(แต่อนาคตตัวใครตัวมัน - โฆษกไม่ได้กล่าว)
นอกจากนี้ยังแถ-ลง ว่า ช่วงก่อนนี้ทาง ICANN ได้ปรับปรุง Security มาแล้วระดับหนึ่ง ทำให้ Hacker เจาะได้แค่นี้ อัยยะ !! หักมุมซะงั้น .......
หลังเหตุการณ์ ICANN ได้ reset password ใหม่พร้อมแจ้งให้ user รับทราบและดำเนินการเปลี่ยน password
เอิ่ม...... จากเนื้อข่าวผมว่าปัญหานี้เกิดจาก Staffs ของ ICANN นะครัช แต่การแก้ปัญหาท่านไม่ได้บอกว่าจะแก้ปห.ที่ Staffs อย่างไร บอกแต่ reset password ของ user ซึ่งจริงๆแล้ว กรณีนี้เค้าไม่ได้ผิดอะไรเลย
ISO 27001:2013 ให้ความสำคัญกับการสร้าง Awareness ให้กับพนักงานทุกระดับ และOutsources รวมถึงผู้เกี่ยวข้องซึ่งรวมถึงนักศึกษาฝึกงาน แม่บ้าน รปภ. เป็นต้น เพราะบุคคลเหล่านี้เป็น Attack surface ที่Hacker โจมตีได้ง่าย ดังเช่นกรณีของ ICANN
มาตรการ (Controls) ที่เกี่ยวข้องกับการควบคุมพนักงานขององค์กรได้แก่ A.7 Human resource security ซึ่งครอบคลุมตั้งแต่ก่อนจ้างงาน (Prior Employment) ระหว่างการจ้างงาน (During Employment) และการออกจากงานหรือโอนย้าย(Termination and Change of employment)
ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
ISO 27001 Consultant สถาบันเพิ่มผลผลิตแห่งชาติ
pryn@ftpi.or.th
www.facebook.com/club27001
Tagged as:
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
เข้ามาศึกษาครับ
ตอบลบขอบคุณครับ
ขอบคุณครับ
ตอบลบ