Embed Size (px)
Citation preview
ภยคกคามความมนคงระบบสารสนเทศ “ ภยคกคามทยงใหญแหงศตวรรษทเพงเรมตน ทนอยคนจะเชอ ”
ประมาณ 500 ป กอนครตศกราช ชาวจนชอ ซน ซน ว ไดเขยนเรอง
Art of war ใหความสาคญกบการรจกตวเองรวมถงภยคกคามทตองเผชญ เพอจะไดร
วาควรปกปองขอมลขององคกรอยางไร
พ.อ.รศ.ดร.เศรษฐพงค มะลสวรรณ นายทหารฝายเสนาธการประจารองผบญชาการทหารสงสด กองทพไทย
คณะกรรมการกาหนดและจดสรรคลนความถใหม และ คณะกรรมการประสานงานการบรหารคลนความถเพอความมนคงของรฐ ในคณะกรรมการกจการโทรคมนาคมแหงชาต
ประธานทปรกษาโครงการการบรหารคลนความถดวยเทคโนโลยใหม สานกงานคณะกรรมการกจการโทรคมนาคมแหงชาต
ii
คานา ปจจบนอนเตอรเนตมความสาคญตอการดาเนนกจกรรมตางๆ ทงการใชงานสวนตว การดาเนนงานทงภาครฐและเอกชน โดยเฉพาะอยางยงองคกรทตองการเชอมตอเครอขายภายในกบเครอขายภายนอก เพอทจะไดรบประโยชนจากการทาธรกรรมตางๆ ยอมมความเสยงจากภยคกคาม ดงนนองคกรควรใหความสาคญกบการปองกนความปลอดภยของขอมล และระบบสารสนเทศใหมนคงปลอดภยจากการโจมตระบบ ซงพนกงานทกคนตองตระหนกถงความสาคญ และรวมมอปฏบตตามมาตรการรกษาความปลอดภยของขอมล จงจะเกดระบบทมประสทธภาพ ผเขยนขอขอบคณลกศษย หลกสตรปรญญาโทสาขาบรหารเทคโนโลยสารสนเทศ (MSITM) มหาวทยาลยกรงเทพ ทชวยรวบรวมขอมล ความดของผลงานนขอมอบใหลกศษย สวนขอผดพลาดอาจารยขอรบไวเอง
พ.อ.รศ.ดร.เศรษฐพงค มะลสวรรณ 29 กรกฏาคม 2552
iii
สารบญ
หนา บทนา 1 สงทธรกจตองการ 1
การปองกนการทางานของระบบตางๆในองคกร 1 ปกปองการดาเนนงานของโปรแกรมใหปลอดภย 2 การปองกนขอมลทองคกรใชและเกบรวบรวม 2 ปกปองทรพยสนเทคโนโลยในองคกร 2 การคมคาม 3 ขอผดพลาดจากการกระทาของมนษย 5 การละเมดทรพยสนทางปญญา 6 การบกรก 6 การกรรโชกขอมลสารสนเทศ 8 การกอวนาศกรรมหรอการทาลาย 9 การโจรกรรม 10 การโจมตซอฟตแวร 11 ภยธรรมชาต 15 คณภาพของบรการ 17 ขอผดพลาดทางเทคนคของฮารดแวร 18 ขอผดพลาดทางเทคนคของซอฟตแวร 18 เทคโนโลยลาสมย 19 การโจมต 19 Malicious Code 19 Hoaxes 20 Back Doors 20 Password Crack 21 Brute Force 21 Dictionary 21 Denial-of-Service (DoS) and Distributed Denial-of-Service (DDoS) 21 Spoofing 22 Man-in-the-Middle 22 Spam 23 Mail Bombing 23
iv
หนา Sniffers 23 Social Engineering 23 Phishing 23 Pharming 24 Timing Attack 24 การพฒนาซอฟตแวรใหมความปลอดภย 24 การประกนซอฟตแวรและความรพนฐานทสาคญของการประกนซอฟตแวร 24 หลกการออกแบบซอฟตแวร 25 การพฒนาซอฟตแวรทมปญหาดานความปลอดภย 26 บทสรป 33 บรรณานกรม 35
v
สารบญตาราง
หนา ตาราง 2-1 Threats to Information Security 5 ตาราง 2-2 ตารางแสดงเทคนคในการโจมตและแพรกระจายไวรส 20 ตาราง 2-3 สมรรถภาพของรหสผาน 32
vi
สารบญรปภาพ หนา รปท 2-1 การใชอนเตอรเนตทวโลก 4 รปท 2-2 ขอผดพลาดของมนษย 6 รปท 2-3 Nimda and Sircam Viruses 12 รปท 2-4 Klez Virus 12 รปท 2-5 Trojan Horse Attack 13 รปท 2-6 สรปแผนผงความแตกตางของมลแวร 14 รปท 2-7 หนาเวบ http://www.securityfocus.com/ 19 รปท 2-8 Distributed Denial of Service Attack (DDoS) 22
- - - - - - - - - - - -
ประวต พ.อ.รศ.ดร.เศรษฐพงค มะลสวรรณ (นตท.26, จปร.37)
Mobile: 081-870-9621 [email protected] ปจจบนปฏบตหนาทในตาแหนง นายทหารฝายเสนาธการประจารองผบญชาการทหารสงสด (ทบ.) กองบญชาการกองทพไทย, อาจารยพเศษโรงเรยนนายรอยพระจลจอมเกลา, คณะทางาน Next Generation Network (NGN) Forum และกองบรรณาธการ NGN Forum กทช., ประธานทปรกษาโครงการการจดสรรคลนความถแบบ Dynamic Spectrum Allocation คณะกรรมการกจการโทรคมนาคมแหงชาต, คณะกรรมการกาหนดและจดสรรคลนความถใหม กทช. และ Associate Professor of Southern New Hampshire University และ American University of London (Distance Learning Program), USA. จบการศกษาปรญญาตรดานวศวกรรมไฟฟาสอสารโทรคมนาคมจากโรงเรยนนายรอยพระจลจอมเกลา (เกยรตนยมเหรยญทอง) ปรญญาโทและเอก (เกยรตนยมจาก Tau Beta Pi Engineering Honor Society, USA) ดานวศวกรรมไฟฟาสอสารโทรคมนาคมจาก Georgia Institute of Technology และ State University System of Florida (Florida Atlantic University) ประเทศสหรฐอเมรกา ตามลาดบ โดยทนกองทพไทย จบการศกษาหลกสตรเสนาธการทหารบก ในระหวางรบราชการในกองบญชาการกองทพไทยไดรบคดเลอกจากกระทรวงกลาโหมสหรฐอเมรกา เพอเขารบการฝกอบรมในหลกสตรตอตานกอการรายสากล (Joint and Combined Warfighting School, Counter Terrorism Fellowship Program) ท National Defense University, Washington D.C. และหลกสตรการบรหารทรพยากรเพอความมนคง (Defense Resource Management) ท Naval Postgraduate School, Monterey, CA ประเทศสหรฐอเมรกา มประสบการณการวจยหลายดานเชน Electromagnetic Interference and Compatibility (EMI/EMC), Mobile Cellular Communication, Satellite Communication, Broadband Communication และ ICT Management and Policy โดยมผลงานตพมพระดบนานาชาตทงในวารสารการประชมระดบนานาชาตและวารสารวจยระดบนานาชาตทเปนทยอมรบมากกวา 80 ฉบบ
การบรหารจดการความมนคงระบบสารสนเทศ “The Need for Security”
บทนา นโยบายและกลยทธดานเทคโนโลยสารสนเทศหลายๆ นโยบายและกลยทธนนมความแตกตางกน หนาทหลกของนโยบายและกลยทธปองกนภยขอมลสารสนเทศ เปนสงททาใหแนใจวาระบบสารสนเทศยงคงอยเหมอนเดม โดยทองคกรนนจายเงนเปนหลกรอยหลกพนดอลลารสาหรบชวโมงการทางานของพนกงานททาหนาทดแลรกษาระบบสารสนเทศ ถาการคกคามขอมลสารสนเทศและระบบยงไมหมดไป องคกรควรปรบปรงระบบอยางสมาเสมอ เพอสนบสนนขอมลสารสนเทศ อยางไรกตามการโจมตระบบขอมลสารสนเทศเปนเหตการณทเกดขนเปนประจาทกวน และตองการการรกษาความปลอดภยของขอมลสารสนเทศทเพมมากขนพรอมกบการโจมตทมความซบซอนมากขน องคกรตองเขาใจในสงแวดลอมของการทางานของระบบขอมลสารสนเทศ ดงนนนโยบายและกลยทธปองกนภยขอมลสารสนเทศจงจะสามารถจดการปญหาตางๆ ได จะเหนไดวาในบทนจะพดถงเรองสภาพแวดลอมและการระบถงภยคกคาม ซงเปนตนเหตทเกดขนกบขอมลสารสนเทศในองคกร สงทองคกรตองการ (Organization Need First) การรกษาความปลอดภยของขอมลสารสนเทศ มสวนประกอบสาคญ 4 สวนไดแก
1. การปองกนการทางานของระบบตางๆในองคกร 2. ปกปองการดาเนนงานของโปรแกรมใหปลอดภย 3. การปองกนขอมลทองคกรใชและเกบรวบรวม 4. ปกปองทรพยสนเทคโนโลยในองคกร
การปองกนการทางานของระบบตางๆในองคกร (Protecting the Functionality or an
Organization) การจดการทวไป และการจดการทางดาน IT ตางมภาระหนาททจะตองปกปองการทางานของระบบตางๆในองคกร ยงมหนวยงานธรกจ และหนวยงานของรฐจานวนมาก หลบเลยงทจะจดการปญหาเรองความปลอดภยของขอมล เพราะเหนวามนเปนงานทมเทคนคซบซอน ซงในความเปนจรง การรกษาความปลอดภยขอมลเนนท การจดการ มากกวา เทคโนโลย ขณะทการทาบญชเงนเดอนกเนนเรองการจดการมากกวา การคานวณดวยคอมพวเตอร ฉะนนการจดการเรองการรกษาความปลอดภยของขอมลนนขนอยกบการกาหนดนโยบายและการบงคบใชมาตรการตางๆ ใหเกดผลดงทกาหนดไว มขอความเกยวกบการรกษาความปลอดภยขอมล เขยนโดย Charles Cresson Wood กลาววา “ในความเปนจรงความปลอดภยของขอมล เกดจากการจดการทางเทคโนโลยสารสนเทศทด ผคนจานวนมากคดทจะแกไขเทคโนโลยมากกวาการแกปญหาของเทคโนโลย คดเพยงวาเปนการดไม
2
ตองมาเพมงานฉนใหมากขน เปนเรองยากทจะใหผใชใสใจกบมาตรการดานการจดการความปลอดภยของขอมล ทเพมมาตรการดานเทคนคตางๆ ดวย” การจดการเรองความปลอดภยขอมล ขนอยกบการสอสารภายในองคกรใหพนกงานเกดความสนใจ ตระหนกในการรกษาความปลอดภยขอมลของธรกจ ซงมผลกระทบกบคาใชจายหากธรกจตองหยดชะงก อยางไรกตองเนนเรองความปลอดภย เชน การแกปญหาทางเทคนค ปกปองการดาเนนงานของโปรแกรมใหปลอดภย (Enabling the Safe Operation of Applications) ทกวนนองคกรไดรบแรงกดดนอยางมาก ทจะตองทาใหโปรแกรมตางๆทางานรวมกนอยางมประสทธภาพ องคกรสมยใหมจงตองการใชโปรแกรมทสามารถปกปองระบบสารสนเทศขององคกร โดยเฉพาะอยางยงโปรแกรมทมสวนประกอบทสาคญตอโครงสรางพนฐานขององคกร เชน ระบบปฎบตการ จดหมายอเลกทรอนกส และโปรแกรมสนทนา (IM) องคกรอาจจะสรางโปรแกรมดวยการจางทปรกษาจากภายนอก หรอ พฒนาเอง ซงโครงสรางพนฐานขององคกรแตละแหงแผนกเทคโนโลยสารสนเทศจะตองจดการตรวจสอบความปลอดภยของระบบโครงสรางพนฐานอยางตอเนอง ไมใหการทางานของระบบตองหยดชะงก
การปองกนขอมลทองคกรใชและเกบรวบรวม (Protecting Data that Organizations Collect and Use)
หากองคกรไมมการบนทกขอมลการทาธรกรรม ทตองสงยอดใหลกคา ทกธรกจไมวาจะเปน สถาบนการศกษา หนวยงานราชการ ทมการทาธรกรรมซงตองอาศยความนาเชอถอในการใหบรการจากระบบสารสนเทศ แมวาธรกรรมทระบบขอมลไมไดออนไลน การสรางขอมล และการเคลอนไหวของสนคาและบรการยงคงดาเนนการอย เพราะฉะนนจะตองใหความสาคญกบการปกปองขอมลทมการเคลอนไหว และขอมลทเหลอใหไดรบความปลอดภย ไมใหขอมลถกแฮกเกอรขโมย หรอ ทาการแกไขขอมล ระบบรกษาความปลอดภยทมประสทธภาพตองมการวางแผนการปองกน เพอใหขอมลขององคกรมความถกตองครบถวน ไมถกแกไข
ปกปองทรพยสนเทคโนโลยในองคกร (Safeguarding Technology Assets in
Organization) แมองคกรจะมการปฏบตงานทมประสทธภาพ ยงคงตองการเพมบรการโครงสรงพนฐานทม
ความปลอดภยตามขนาดและขอบเขตขององคกร เชน ธรกจขนาดเลกอาจจะมผใหบรการอนเตอรเนตเปนผดแลระบบจดหมายอเลกทรอนกส และเครองมอในการสรางรหสสวนบคคล เมอองคกรเตบโตจะตองพฒนาการบรการความปลอดภยเพมขนดวยเชนกน ยกตวอยาง การทองคกรขยายตวเพมขน มการทาธรกรรมอเลกทรอนกส ตองทาใหระบบไดรบความเชอถอ และมความปลอดภยในการตดตอกบบคคลและองคกรภายนอก จะตองมเทคโนโลยความปลอดภยมาชวยกคอ Public Key
3
Infrastructure ( PKI ) เปนการรวมกนของซอฟตแวรระบบตางๆ เชน การสรางรหสลบ และ ขอตกลงทางกฎหมายเพอสนบสนนโครงสรางพนฐานขอมลทงหมดขององคกร รวมถงใบรบรองอเลกทรอนกส ลายมอชออเลกทรอนกสทาใหแนใจวาการตดตอธรกจผานทางอนเตอรเนตเปนความลบ ใบรบรองอเลกทรอนกสเปนชดขอมลอเลกทรอนกสมขอความและตวเลขแสดงและระบการมตวตนของผถอใบรบรอง ทาใหแนใจวาระบบสารสนเทศของผใหบรการมใบรบรอบอเลกทรอนกส ขอมลตางๆมการตรวจสอบความถกตอง และผใชบรการจะไดขอมลทถกตอง ครบถวน ถาเครอขายขององคกรมการขยายตว ควรจะมการเปลยนแปลงใหเหมาะกบความตองการ มากกวาการแกไขเทคโนโลย บางทองคกรมความตองการทมากกวาโปรแกรมรกษาความปลอดภยทมอย ตวอยางหนงของการแกปญหาเรองความแขงแกรงทางเทคโนโลย คอ ไฟรวอล เปนอปกรณปองกนเครอขายภายนอกออกจากเครอขายของเรา ใหเครอขายของเราไดรบความปลอดภย
Threats ประมาณ 500 ป กอนครตศกราช ชาวจนชอ ซน ซน ว ไดเขยนเรอง Art of war ให
ความสาคญกบการรจกตวเองรวมถงภยคกคามทตองเผชญ เพอจะไดรวาควรปกปองขอมลขององคกรอยางไร สงทควรร คอ
1) รจกตวเอง คอ รจกการปกปองขอมลและระบบใหมความมนคง ระบบขนสง และขนตอนตางๆ
2) การรถงภยคกคามทตองเผชญ ศกษาจากแหลงขอมลทนาเชอถอทาใหสามารถตดสนใจจดการกบภยคกคามตางๆทมผลกบ พนกงาน โปรแกรม ขอมล และระบบสารสนเทศขององคกร การรกษาความปลอดภยขอมล กลาวถงอนตรายจากภยคกคามทสงผลกบคน และทรพยสน มการสารวจประเภทของภยคกคาม เมอการเชอมตออนเตอรเนตขยายไปทวโลก ศกษาถงแนวทางปฏบตในการปองกนภยคกคามตางๆ มการสารวจเปรยบเทยบประเภทของภยคกคามทาใหเกดความเขาใจรวมกนวาภยคกคามทเพมขนมาจากการทองคกรเชอมตออนเตอรเนต โดยจานวนผใชอนเตอรเนตเพมขนเรอยๆ คดเปน 17% ของคนทงโลก หรอ จากคนทวโลก 6.6 พนลานคน มคนทเขาใชงานอนเตอรเนตถง 1.1 พนลานคน
4
รปแสดงการใชอนเตอรเนตทวโลก
ป 2006 Computer Security Institute (CSI) ซงเปนหนวยงานของ FBI ทาการสารวจอาชญากรรมคอมพวเตอรและการรกษาความปลอดภย จากการศกษาพบวา 72% ทตอบสนอง (บรษทขนาดใหญและหนวยงานราชการ) ตรวจพบการฝาฝนการรกษาความปลอดภยทางอนเตอรเนตภายใน 12 เดอนลาสด อก 52% เขาใชคอมพวเตอรโดยไมไดรบอนญาต ซงลดลงจาก 56% ในป 2005
ตารางตอไป แสดง 12 ประเภทภยคกคามทสรางความเสยหายตอพนกงาน ขอมลและระบบขององคกร ทงนแตละองคกรจะตองจดลาดบภยคกคามทตองเผชญ โดยเฉพาะกาหนดกลยทธความปลอดภยในการกาจดความเสยง และแสดงระดบการจดการทรพยสน ในบทท 4 จะครอบคลมหวขอตางๆไดละเอยดมากกวา
คณสามารถดตวอยางภยคกคามไดจากตาราง แสดงรายการมากกวาหนงประเภท
5
ตาราง Threats to Information Security
1. ขอผดพลาดจากการกระทาของมนษย (Acts of human error or failure) ประเภทนมการกระทาโดยเจตนา หรอ มเจตนามงรายโดยผใชทมสทธเขาใชระบบ เมอผใช
ระบบทางานผดพลาด เนองจากขาดความชานาญ ขาดการฝกอบรม และการสนนษฐานไมถกตอง สงเลกนอยเหลานสามารถสรางความเสยหายอยางมาก การคกคามทอนตรายทสดตอความปลอดภยของขอมลองคกร คอ พนกงานขององคกรเอง เพราะพนกงานใชขอมลในการดาเนนกจกรรมทางธรกจขององคกรทกวน สงทพนกงานจะตองปฏบตอยางเครงครดคอ การรกษาความลบของขอมล ขอมลมความถกตองครบถวน และขอมลพรอมใชงานไดทกเมอ รปตอไปเปนการแนะนาเกยวกบการคกคามจากภายนอก เพราะความผดพลาดเพยงเลกนอยของพนกงาน เชน ไมไดปดประตหนาตางทาใหหวขโมยเขามาในองคกรได การลบหรอแกไขขอมลทเปนเอกสารสาคญ
6
รปแสดงขอผดพลาดของมนษย
2. การละเมดทรพยสนทางปญญา (Compromises to intellectual property) ทรพยสนทางปญญา (IP) เปนสวนหนงของการดาเนนธรกจ ซงทรพยสนทางปญญา เปน
ผลงานของผทเปนเจาของความคด และเปนทรพยอกชนดหนง ไดแก ลขสทธ เครองหมายการคา และสทธบตร คณสมบตของทรพยสนทางปญญาอยางหนงคอ มการระบรหสบงชไวอยางเหมาะสม บอยครงทองคซอหรอทาสญญาเชาทรพยสนทางปญญาจากองคกรอน ตองปฏบตตามขอตกลงทไดทาไวเพอความยตธรรมและความรบผดชอบในการนาไปใช สวนใหญการละเมดทรพยสนทางปญญาจะเปนการทาสาเนาซอฟตแวรทมลขสทธ ซงเปนการกระทาทผดกฎหมาย
ผผลตซอฟตแวรใชเทคนควธในการควบคม เพอปองกนการละเมดลขสทธซอฟตแวร นอกเหนอจากกฎหมายตอตานการละเมดลขสทธซอฟตแวร ยงม 2 องคกร ทคอยเฝาระวงการละเมดลขสทธ คอ SIIA, BSA เมอเรวๆ BSA สารวจเมอเดอนพฤษภาคม 2006 เปดเผยวาเศษหนงสวนสามของซอฟตแวรทใชในโลกเปนซอฟตแวรทละเมดลขสทธ องคกรเหลานแสดงรายละเอยด และวธปฏบต เพอปองกนการละเมดสทธในทรพยสนทางปญญา และมเทคนควธจานวนมากทใชตรวจสอบ เชน ลายนาดจตอล การฝงรหสลขสทธ เปนเจตนาทาใหเกด bad sectors บนสอทบรรจซอฟตแวร เพอใหมการปฏบตตามกฏหมายลขสทธ
3. การบกรก (Deliberate Acts of Trespass)
การบกรกจากภายนอกเปนสงทไดรบการกลาวถงอยางมาก ทงในรปแบบทเปนอเลคทรอนกสและกระทาโดยคนทสามารถเขาถงขอมลทเปนความลบ เมอมบคคลทไมไดรบอนญาตไดทาการรกลาและพยายามเขาถงขอมลขององคกรทมการปองกน ซงพฤตกรรมดงกลาวเปนการบกรกโดยยเจตนา
7
นกโจมตระบบสามารถทจะใชวธการตาง ๆ ในการเขาถงขอมลทเกบรกษาอยภายในระบบสารสนเทศ ตวอยางเชน ขอมลทมการจดเกบและรวบรวมโดยการใช Web Browser ในการทาวจยทางการตลาด วธการดงกลาวเรยกวา การหาขอมลของคแขง (Competitive Intelligence) ซงถอวาเปนการจารกรรมขอมลทางอตสาหกรรม (Industrial Espionage) เปนการกระทาทผดกฏหมาย กลมประเทศทเปนพนธมตรกบทางอเมรกา จงไดมการจดตงองคกรตอตานการจารกรรมขอมลทางอตสาหกรรม จะเหนไดวาในนานาประเทศไดใหความสาคญตอการปองกนภยคกคามและการจารกรรมขอมล โดยการมสวนรวมอยางจรงจงในการรกษาความปลอดภยในระดบสากล
รปแบบของการจารกรรมขอมล Shoulder Surfing การยนขางหลงมองขามไหล เปนรปแบบการจารกรรมขอมลแบบธรรมดา
ทไมมการใชเทคโนโลยใด ๆ มาชวย คอ การแอบดหรอจาขอมลทเปนความลบของผอน เชน การแอบดรหสผานของบตร ATM ขณะททาการทารายการ, รหสในการเขาใชงานระบบคอมพวเตอรของบคคลอน, รหสผานของเครองโทรศพทขณะทมการทารายการผานทางโทรศพท เปนตน
โดยปกตไมไดมการเขยนเปนขอบงคบหรอขอหามโดยชดเจนในการแอบดขอมลความเปนสวนตวของผอน เนองจากถอเปนมรรยาทททกคนควรปฏบตโดยปกตอยแลว ดงนนเจาของขอมลทเปนสวนตวจะตองปองกนตนเองเปนอนดบแรกจากภยคกคามในรปแบบน
Hacker นกเจาะระบบทมความเชยวชาญในการเขยนโปรแกรมทสามารถจะเขาถงขอมลทมการปองกนอยางผดกฏหมาย ซงโดยสวนใหญจะเปนการกระทาเพอทดสอบความสามารถของตนเอง ชอบสงททาทายหรอลลบทตองการคนหา โดยการทมเทเวลาในการเขยนโปรแกรม โดยใชความรทม อยและคนควาเพมเตม ในการทพยายามจะเจาะระบบทมการรกษาความปลอดภยทแนนหนา เปนเปาหมายหลก
ววฒนาการของ Hacker (Hacker profiles) ในยคแรก ๆ Hacker สวนมากจะเปนเพศชาย มอายระหวาง 13-18 ป ซงขาดการดแลเอาใจ
ใสจากผปกครอง และใชเวลาสวนใหญอยกบการใชเครองคอมพวเตอร ในปจจบน Hacker จะไมมการจากดเพศ และมชวงอายทเปลยนไปคอ ระหวาง 12-60 ป
ประวตหรอภมหลงไมเปนทรจก เนองจากความเปลยนแปลงทางเทคโนโลย ระดบความรตาง ๆ และ Hacker อาจจะเปนบคคลจากภายในหรอภายนอกองคกรกได
ประเภทของ Hacker ตามระดบความสามารถ แบงไดออกเปน 2 กลม คอ 1. Expert Hacker หรอ Elite Hacker
2. Novice Hacker หรอ Unskilled Hacker
Expert Hacker สวนใหญจะเปนผทมทกษะขนสงในการเขยนโปรแกรมไดหลากหลายภาษา รวมถงความรเกยวกบการทางานของระบบเครอขายและระบบปฏบตการบนเครองคอมพวเตอร และมคณลกษณะพเศษคอ มความกระตอรอรนและทมเทเวลา ในการพยายามทจะเจาะระบบความ
8
ปลอดภยขนสงของผอน ดงนนเมอกลมเปาหมายทถกเลอกแลวมโอกาสหรอความเปนไปไดสงทระบบความปลอดภยจะถกบกรกหรอคกคามโดย Expert Hacker ในการโจมตหรอเจาะระบบจะมการประกาศหรอแจงใหรโดยตรงดวยการเขยนไวในโปรแกรมทใชในการบกรกระบบ
Novice Hacker เปน Hacker ทมความรหรอทกษะในการเขยนโปรแกรมจากดและไมสามารถทจะพฒนาโปรแกรมทเจาะระบบไดเหมอนกบ Expert Hacker จะเปนการใชโปรแกรม Hack สาเรจรปทเขยนขนโดย Expert Hacker มาเปนเครองมอในการโจมตระบบรกษาความปลอดภยอกทหนง เรยกวา Script Kiddies หรอ Packet Monkey โดยท Novice Hacker จะไมสามารถทราบถงกลไกหรอกระบวนการทางานภายในโปรแกรม Script Kiddies จะเปนลกษณะการโจมตทกอกวนเครอขายคอมพวเตอรเปนสวนใหญ (Denial-of-service) Novice Hacker สามารถหาโปรแกรมทเปน Script Kiddies โดยการ Download จาก Internet ซง Expert Hacker นาไปเผยแพรไว ในทางกลบกนผดแลรกษาความปลอดภยของระบบกสามารถทจะคนพบโปรแกรมเหลานไดเชนกน ทาใหเกดนกพฒนาโปรแกรมหรออปกรณทนามาใชปองกนระบบจากการโจมตหรอการบกรกจากภายนอก
ในเดอนกมภาพนธ ป 2000 ม Hacker หนม ทใชชอวา Mafiaboy ถกจบเนองจากเขาไปโจมตและกอกวนระบบเครอขายของ Web site โดยถกตดสนใหจาคก 8 เดอน และ ถกปรบเปนเงน 250 ดอลลาร บรจาคใหการกศล สาเหตททาใหตองถกจบเนองจากไมสามารถทจะลบ System Logs ทตรวจจบการกระทาการบกรกของ Mafiaboy และจากการทไดไปแสดงตวหรอโออวดถงการกระทาดงกลาวในหองสนทนาทางอนเตอรเนต
Cracker จะเปนการถอดรหสหรอทาลายโปรแกรมทใชในการปองกนการทาขอมลซา ซงเปนนการกระทาทละเมดลขสทธ โปรแกรมประเภท Cracker สามารถทจะเผยแพรและตดตงไดอยางงายดาย
ความหมายของ Hacker และ Cracker จะพจารณาจากเจตนาของกระทาความผดเปนหลก Hacker ไมไดมงเนนในการทาลายขอมลหรอสรางความเสยหาย สวน Cracker จะมงเนนในการทาลายขอมลหรอสรางความเสยหายตาง ๆ ใหเกดขนกบระบบ
Phreaker เปนการโจมตเครอขายโทรศพทสาธารณะทาใหสามารถใชงานไดโดยไมเสยคาใชจายหรอทาใหการบรการเกดความยงเหยงขน Phreaker มชอเสยงโดงดงในป 1970 เมอมการพฒนาอปกรณชนดหนงเรยกวา Blue Boxes ทสามารถใชงานโทรศพททตองจายคาบรการ โดยไมตองจายคาบรการแตอยางใด หลงจากนนมการพฒนา Red Boxes เปนอปกรณใชสรางเสยงจาลองการหยอดเหรยญในเครองโทรศพททตองจายคาบรการ
4. การกรรโชกขอมลสารสนเทศ (Deliberate Acts of Information Extortion) การขกรรโชกในการเปดเผยขอมลทเปนความลบเกดขนจากการทขอมลทเปนความลบท
จดเกบอยในระบบถกขโมยไปอาจจะเปนผบกรกจากภายนอกหรอผทมหนาทดแลรกษาขอมลภายในองคกร โดยมการเรยกรองคาตอบแทนหรอคาไถ(Ransom) แลกกบการทจะไมเปดเผยขอมลความลบทไดขโมยมา (Black Mail) สวนมากจะเปนการขกรรโชกขอมลหมายเลขบตรเครดตทไดขโมยมา
9
ตวอยางของ Web-Base CD Universe ทตกเปนเหยอของการขโมยแฟมขอมลทจดเกบขอมลหมายเลขบตรเครดตของลกคา โดยผททาการขโมยขอมลเปน Hacker ชาวรสเซย ชอ Maxus ซงไดขโมยขอมลบตรเครดตไปเปนจานวนหลายแสนใบ โดยบรษท CD Universe ปฏเสธการจายเงนตามคาขทจะเปดเผยขอมลความลบน มลคา 100,000 ดอลลาร นาย Maxus ไดทาการ Post หมายเลขบตรเครดต ไปใน Web Site เพอเสนอขายขอมลใหกบกลมคนทกออาชญากรรม สงผลให Web Site ไดรบความนยมเปนอยางมากจนจะตองจากดสทธของผทจะเขามาดขอมลทเสนอขาย
ตวอยาง เหตการณขกรรโชกทเกดขนในเดอนมถนายน ป 2000 เมอมนกเรยนถกกลาวหาวา กระทาการขมขวาจะเปดโปงความลบ (Online Blackmail) โดยจะทาการเปดเผยวธการ Download หนงสอจากบรษท Digital Book โดยไมตองเสยคาใชจาย ยกเวนเสยจากจะมการจายเงนใหกอนโต โดยในป 2001 ไดไปกอคดเดยวกนเพมเตมอก ซงโทษของการขมขทจะเปดโปงความลบ (Blackmail) คอ จาคก 2 ป และปรบเพม 100,000 ดอลลาร แตในกรณของนกเรยนรายนโทษสงสดคอ จาคก 36 ป และ ปรบเพม 800,000 ดอลลาร
5. การกอวนาศกรรมหรอการทาลาย (Deliberate Acts of Sabotage or Vandalism) การมสวนรวมในการปองกนภยคกคามการกอวนาศกรรมระบบคอมพวเตอรหรอธรกจ หรอ
การกลนแกลงทาลายทรพยสนกอใหเกดความเสยหาย เขน การทาลายทรพยสน หรอ การทาลายภาพพจนทดขององคกร
การกลนแกลงทาลายทรพยสนเลก ๆ นอย ๆ โดยพนกงาน สามารถนาไปสเหตการณการกอวนาศกรรมตอองคกร ในบางครงการสรางความเสยหายไมจาเปนตองเปนตวเงนเสมอไป การโจมตภาพพจนขององคกรกเปนเรองรายแรงเชนเดยวกน การทาลาย Web Site สงผลกระทบตอความเชอมนของลกคาทาใหยอดขายและมลคาขององคกร รวมถงชอเสยงกลดลงเชนกน
ตวอยางเมอ วนท 13 กรกฏาคม ป 2001 กลม Fluffi Bunni ไดขนขอความทหนา Web Site ของ SANS วา “ทานยงสามารถใหความไววางใจคนเหลาน สอนเรองการรกษาความปลอดภยกบทานไดจรงหรอ” เหตการณทเกดขนนทาให SANS ตองเสอมเสยชอเสยง นบตงแตไดมการกอตงสถาบนในการจดการใหความรและออกเอกสารรบรองทางดานระบบความปลอดภย
สถาบน SANS มาจากคาวา SysAdmin, Audit, Network, Security ซงกอตงขนจากความรวมมอในศกษาคนควาและฝกฝนและรวบรวมเกยวกบการรกษาความปลอดภย
มรายงานจานวนนบไมถวนของนกเจาะระบบ (Hacker) ทสามารถเขาไปในระบบและทาความเสยหายหรอทาลายขอมลทจาเปน ในกรณของ Web Site รายงานเกยวกบการเจาะระบบและแลกเปลยนขาวกรอง ไดถกเจาะเขาในระบบ ผลกระทบทเกดขนคอจานวนรายงานการเจาะระบบเพมขนอยางมหาศาล จนทาให Attrition.com ตองระงบการแจงบญชรายชอใน Web Site ทงหมด โดยเปลยนเปนวธรบอาสาสมครมาทาการปรบปรงขอมลบน Web แทนการแจงผานหนา Web Site
10
ผเชยวชาญดานความปลอดภย ไดออกมาประกาศเตอนเกยวกบการทาลายการเชอมตอเครอขาย Internet ในรปแบบอน คอ ปฏบตการ Hactivist หรอ Cyberactivist ซงจะเปนการแทรกแซงหรอทาใหระบบเกดความสบสน โดยปฏเสธในการปฏบตตามนโยบายและการกระทาทกาหนดโดยองคกร หรอ หนวยงานรฐบาล ความนากลวอยางทสดคอ ลกธกอการรายทางอนเตอรเนต (Cyberterrorism) ผกอการรายทางอนเตอรเนตจะทาการเจาะเขาในระบบจากนนจะปฏบตการกอการรายโดยผานทางเครอขายหรอใชเสนทางของอนเตอรเนต สหรฐอเมรการและรฐบาลของนานาประเทศกาลงรวมกนพฒนาเครองมอรกษาความปลอดภย โดยมงมนทจะปองกนคอมพวเตอรทจาเปน เครอขายการตดตอสอสาร และ โครงสรางพนฐานทางกายภาพและดานพลงงาน ลทธกอการรายทางอนเตอรเนต ไดปรากฏออกมาในชวงระหวางสงครามในโคโซโว บนหนา Web site ของ NATO เปนความพยายามของผสงเกตการณบางสวน นาเอาสถานะของลกธกอการรายทางอนเตอรเนตทไมไดทาการคกคามจรง เพอหนเหความสนใจจากการออกประกาศบงคบใชการรกษาความปลอดภยสารสนเทศใหเปนรปธรรม จากบนทกของ Dr. Mudawi Mukhtar Elmusharaf ศนยวจยดานการกออาชญากรรมทางคอมพวเตอร (Computer Crime Reserch Center เมอวนท 21 ตลาคม 2002 เกยวกบการพงโจมตของ DDOS (Distributed Denial-of-service) ไปยง 13 เซรฟเวอรหลก ททาหนาทจดเสนทางของการตดตอของอนเตอรเนตทงหมด โดยจานวน 9 ใน 13 เซรฟเวอร การจราจรของเครอขายเตมหมดทาใหการทางานของเครองชาลง ปญหาทเกดขนไดรบการแกไขในระยะเวลาอนสน แตสถตการโจมตและผลทเกดขนไมไดมการประกาศออกไปใหผใชอนเตอรเนตสวนใหญไดทราบขาวดงกลาว
6. การโจรกรรม (Deliberate Acts of Theft) การคกคามโดยการโจรกรรม จากบคคลทไดมการไตรตรองไวลวงหนา โดยมเจตนายด
ทรพยสนของผอนไปครอบครองโดยผดกฏหมาย ซงภายในองคกรสามารถถกโจรกรรมทรพยสนดงตอไปน
ทรพยสนทางกายภาพ (Physical Property) เชน เครองคอมพวเตอร อปกรณคอมพวเตอร เปนตน แนวทางการปองกน
• การตรวจนบจานวนทรพยสนสมาเสมอ
• ทาการลอคประตและมการจดอบรมเจาหนาทดานความปลอดภย
• ตดตงระบบสญญาณเตอนภย
ทรพยสนทางอเลกทรอนกส (Electronic Property) มความซบซอนในการจดการและควบคมซงเปนปญหาขององคกร ซงตางจากการโจรกรรมทรพยสนทางกายภาพสามารถตรวจพบไดงายกวา เมอทรพยสนทางอเลกทรอนกสถกขโมยไป องคกรสวนใหญจะทราบวาทรพยสนถกโจรกรรมมกจะสายเกนไป เนองจากนกโจรกรรมไดทาการปกปดรองรอยการกระทาความผดอยางระมดระวง
11
ทรพยสนทางปญญา (Intellectual Property) มลคาของขอมลจะลดนอยลง ถาถกขโมยไปโดยปราศจากความรของเจาของทรพยสน
7. การโจมตซอฟตแวร (Deliberate Software Attacks) การโจมตซอฟตแวร เกดขนโดยการออกแบบซอฟตแวรใหโจมตระบบจากคนๆ เดยวหรอจาก
กลมคนมซอฟตแวรทกอความเสยหาย ทาลาย หรอ ปฏเสธการบรการของระบบเปาหมาย ซอพตแวรทไดรบความนยมคอ Malicious Code หรอ Malicious Software มกจะเรยกวา มลแวร (Malware) มมากมาย อาท ไวรส (Viruses) เวรม (Worms) มาโทรจน (Trojan Horses) Logic bombs และ ประตหลง (Back doors) เรองราวของการโจมตซอฟทแวรทโดงดงโดยเฉพาะผลกระทบของ Malicious Code โดยใชวธโจมตระบบจนทาใหเครองไมสามารถใหบรการไดตามปกต (Denial-of-Service) โดย Mafiaboy บน Web site Amazon.com, CNN.com, Etrade.com, ebay.com, Yahoo.com, Excite.com, และ Dell.com โดยใชเวลาในการโจมตประมาณ 4 ชวโมง มรายงานวาความเสยหายทาใหสญเสยรายไดลานดอลลาร ตอไปจะเปนการอธบายถงภยคกคามจากมลแวร ประกอบดวย
Virus ไวรสคอมพวเตอรประกอบดวยสวนของโคดทาหนาทมงราย ซงโคดนจะทาตวคลายกบเชอไวรสทโจมตสตว และพช โดยสามารถแพรกระจายไดดวยตวเอง คอมพวเตอรทมโปรแกรมไวรสอย ไวรสจะเขาไปควบคมการทางานของคอมพวเตอรใหทางานผดปกต และแพรกระจายไวรสเขาไปในระบบ บอยครงผใชทาใหไวรสเขาสระบบโดยรเทาไมถงการณ เชน การเปดอเมล หรอการสมสงปอปอพไป หากผใชไมตรวจสอบไฟลทไดรบแลวเปดอานเลย ขอมลและฮารดไดรจะถกทาลายทงหมด ไวรสสามารถสงผานจากเครองหนงไปสอกเครองไดผานสอตางๆ อเมล หรอการสงขอมลทางคอมพวเตอร เมอเครองตดไวรสแลวมนจะแพรกระจายไปกบอเมล หรอการสงไปยงผใชทกคนทมชออยในสมดทอย วธทใชมากทสดในการสงไวรสในศตวรรษท21 คอการแนบไฟลไปกบอเมล องคกรจานวนมากปองกนอเมลดวยการเลอกอเมลทไวใจได และการกรองอเมลทงหมดซงรวาอเมลใดมไวรสบาง ไวรสใชเวลาเพยงเลกนอยในการตดตงโปรแกรมไวรสดวยแผนดสกแลวกระจายไปยงระบบตางๆ ปจจบนเครอขายคอมพวเตอรและโปรแกรมตรวจสอบอเมล เพอจดการไวรสมอยมาก ผจาหนายซอฟตแวรปองกนไวรสทไดรบการยอมรบมดงน Symantec Norton Anti-Virus และ McAfee VirusScan มโปรแกรมชวยในการจดการไวรสคอมพวเตอรได ในจานวนชนดของไวรสคอมพวเตอรในระบบเปนไวรสทเขยนขนมาเอง (macro virus) ดวยการฝงชดคาสงลงไปทระบบปฏบตการของเครองคอมพวเตอรโดยอตโนมต เมอมการใชโปรแกรมเวรด เอกเซลล และระบบฐานขอมล ไวรสจะเรมทางาน ซงไฟลของระบบปฏบตการจะตดไวรสทชดคาสงในการเปดเครอง (boot sector)
12
Worms Worms เปนโปรแกรมทมงรายตอเครองคอมพวเตอร สามารถจาลองตวเองไดตลอด ใชทรพยากรของเครอง เชน หนวยความจา พนทฮารดดสก และความเรวของเครอขาย เวรมทางานไดแมไมไดออนไลน Robert Morris และเวรมทสามารถสรางความเสยหายมากไดแก Code Red, Sircam, Nimda และ Klez
ตวอยางรปแบบของเวรมทเปนการโจมตในแบบ single package ตามรป
รปแสดง Nimda and Sircam Viruses
เวรมมการเปลยนแปลงรปแบบการแพรกระจายตวเองจานวนมากดงรปขางลาง เปนแบบ
double-barreled payload ซงเวรมจะสงเมลจานวนมากและแนบตวเองไปกบอเมลดวย เวรมทมการจโจมแบบแพรกระจายนไดแก MS-Blaster, MyDoom และ Netsky โดยเวรมและไวรสมการเปลยนแปลงการโจมตจดออนของระบบปฏบตการและแอพพลเคชนไดหลายรปแบบ
รปแสดง Klez Virus
13
Trojan horses โทรจนฮอรสจะแฝงตวมากบซอฟตแวร จะทางานเมอผใชรนซอฟตแวร แลวโทรจนฮอรสจะทาลายระบบคอมพวเตอร เชน เมอเรยกไฟล .exe ทมากบแชรแวร หรอ ฟรแวร รปแสดงตวอยางสรปการโจมตของโทรจนฮอรส ประมาณ 20 มกราคม 1999 เรมจากผใชไดรบอเมลทมโปรแกรมโทรจนฮอรสแนบมาชอ Happy99.exe เมอเปดอเมลและตดตงโปรแกรมโทรจนฮอรสทแฝงมาจะกอกวนระบบทนท เชน ลบไฟล หรอ สรางแบคดอรใหแฮคเกอรเขามาขโมยขอมล ลบไฟลตางๆในระบบได
รปแสดง Trojan Horse Attack
14
แผนผงแสดงความแตกตางของมลแวร
รปสรปแผนผงความแตกตางของมลแวร
Back Door or Trap Door
Back door หรอ Trap door เปนสงทโปรแกรมเมอรไดสรางไวและรกนเฉพาะกลมสาหรบการเขาไปแกไขระบบ ซงเปนชองโหวใหแฮคเกอรเขามาในระบบและมสทธพเศษในการแกไขสงตางๆ ตวอยาง ประเภทของ back door ม Subseven และ Back Orifice
Polymorphism Polymorphism เปนไวรสชนดหนงทไดรบการพฒนาใหมความยากในการตรวจจบ อาจจะใช
เวลาหลายวนในการสรางโปรแกรมตรวจจบ เพอจดการกบ polymorphism เพราะมนใชเทคนคการซอนลกษณะเฉพาะทสาคญ (signatures) ไมใหคงรปเดม เพอหลกจากการตรวจจบของโปรแกรมแอนตไวรส Virus and Worm Hoaxes เปนรปแบบของการหลอกลวงผใชคอมพวเตอรทาใหเสยเงนเสยเวลาในการวเคราะห โดยไวรสหลอกลวงจะมาในรปจดหมายอเลกทรอนกส เตอนใหระวงอนตรายจากไวรส ดวยการอางแหลงขอมลเปนรายงานทนาเชอถอ เพอใหผรบสงตอจดหมายเตอนฉบบนนตอๆไปอกหลายๆทอด ซงเปนลกษณะของไวรสหลอกลวง หากไดรบจดหมายประเภทนไมควรทจะสงตอ ควรเชคจากแหลงขอมลทถกตองกอนทาการสง และควรจะอพเดทโปรแกรมแอนตไวรสอยางสมาเสมอ
15
แหลงขอมลทางอนเตอรเนทในการวจยเกยวกบไวรสวาจรงหรอหลอก สาหรบขอมลลาสดของภยคกคามทงไวรส เวรม และโฮแอกส สามารถเขาไปไดท CERT Coordination (www.cert.org) เปนศนยรวมการรกษาความปลอดภยขอมล
8. ภยธรรมชาต (Forces of Nature)
ภยธรรมชาตเปนภยคกคามทอนตรายมาก เพราะเปนสงทเกนกวามนษยจะควบคมได เปนภยทรวมเหตการณ เชน ไฟไหม นาทวม แผนดนไหว และฟาผา รวมถงภเขาไฟระเบด ทงหมดนไมเพยงแตสรางความยงยากตอการใชชวตของแตละคนเทานน แตยงสรางปญหาใหกบระบบคอมพวเตอรทงหนวยเกบขอมล สญญาณการสอสารตางๆ ภยคกคามสามารถแบงกลมไดตามรายการดงน
o Fire: ไฟไหม สรางความเสยหายตออปกรณทางคอมพวเตอร รวมถงระบบสารสนเทศตางๆ เนองจากควนไฟ และนา ซงเกดจากการดบไฟของนกดบเพลง ภยจากไฟไหมสามารถบรรเทาไดดวยการทาประกนอบตภย เพอเปนการลดความเสยหายทเกดขนตอทรพยสน และชวต หรอทาประกนภยธรกจ หากธรกจตองหยดดาเนนกจการ
o Flood: นาทวม เปนสาเหตโดยตรงทสรางความเสยหายตอระบบสารสนเทศ หรอในสวนของอาคารระบบสารสนเทศ นาทวมทาใหการเขาใชอาคารสถานท หรอในสวนการทางานนของระบบสารสนเทศตดขด ภยคกคามนสามารถบรรเทาไดดวยการทาประกนอทกภย หรอประกนภยธรกจ
o Earthquake: แผนดนไหว เกดจากการเคลอนตวของเปลอกโลกกะทนหน เปนความเสยหายทางธรณวทยาจากการเกดภเขาไฟระเบด แผนดนไหวสรางความเสยหายตอทกสวนของระบบสารสนเทศ บอยครงสรางความเสยหายกบอาคารเปนการขดขวางการเขาใชระบบสารสนเทศ สามารถบรรเทาภยคกคามนไดดวยการทาประกนภยพเศษ หรอ การประกนภยธรกจ ทงนจะเลอกรปแบบใดขนอยกบการกาหนดนโยบายทตางกน
o Lightning: ฟาแลบ เปนกระแสไฟฟาทางธรรมชาตทถกปลดปลอยออกมารบกวนคลนวทย ฟาผาสรางความเสยหายตอระบบสารสนเทศ หรอ สวนของการจายไฟ ทาใหไฟดบ หรอ สรางปญหาในการใชสถานททางานเนองจากไมมกระแสไฟฟา หรอ สรางความยงยากในการปฏบตงาน
o Landslide or mudslide: แผนดนถลม หรอ โคลนถลม เกดจากดนและหนจานวนมากไหลจากทสง สรางความเสยหายตอระบบสารสนเทศ ทงในสวนของการเขาใชอาคารสถานท และการเขาใชระบบสารสนเทศ ซงภยคกคามนสามารถบรรเทาความเสยหายไดดวยการทาประกนภย หรอ การประกนภยธรกจ
o Tornado or severe windstorm: พายทอรนาโด หรอ พายทมความรนแรงสง เกดจากความแปรปรวนของอากาศเปนพายหมนจากจดศนยกลางขนาดเลกเพยงไมกหลา ขยายความรนแรงเพมขนเปนหลายไมล และเปนลมพายทมความเรวในการทาลายสง โดยม
16
รงทรงกรวยตงสงขนไปยงทองฟา พายนสามารถสรางความเสยหายตอระบบสารสนเทศ ทงในสวนของการเขาใชอาคารสถานท และการเขาใชระบบสารสนเทศ ซงภยคกคามนสามารถบรรเทาความเสยหายไดดวยการทาประกนภย หรอ การประกนภยธรกจ
o Hurricane or typhoon: พายเฮอรรเคน หรอ พายไตฝน คอ พายหมนเขตรอน เกดขนในแถบมหาสมทรแอตแลนตก หรอ ทะเลคารบเบยน หรอ แถบตะวนออกของมหาสมทรแปซฟก(ไตฝน) จากจดศนยกลางพายสามารถเคลอนตวไปทางทศเหนอ ทศตะวนตกเฉยงเหนอ หรอ ทศตะวนออกเฉยงเหนอ และพายยงกอใหเกดฝนตกอยางหนก หากจดศนยกลางของพายตดชายฝ งทะเลมกจะทาใหนาทวมในพนทนนๆ โดยพายนสามารถสรางความเสยหายตอระบบสารสนเทศ ทงในสวนของการเขาใชอาคารสถานท และการเขาใชระบบสารสนเทศ ซงภยคกคามนสามารถบรรเทาความเสยหายไดดวยการทาประกนภย หรอ การประกนภยธรกจ
o Tsunami: เปนคลนขนาดใหญ เกดจากแผนดนไหว หรอ เกดการปะทของภเขาไฟใตทะเล ซงเหตการณนสามารถสรางความเสยหายตอระบบสารสนเทศ ทงในสวนของการเขาใชอาคารสถานท และการเขาใชระบบสารสนเทศ ซงภยคกคามนสามารถบรรเทาความเสยหายไดดวยการทาประกนภย หรอ การประกนภยธรกจ
o Electrostatic discharge (ESD): การปะทของไฟฟาสถต โดยไฟฟาสถต และESD สรางความราคาญ อยางไรกตามเมอเราเดนบนพรมจะเกดไฟฟาสถตทาใหเรารสกเหมอนถกไฟดดเลกนอย แตการปะทของไฟฟาสถตสามารถทาลายหรอสรางความเสยหายอยางมาก เมอมการรวมกนกอใหเกดการจดตดไฟไดงายกบสวนประกอบของวงจรอเลกทรอนกส ไฟฟาสถตทาใหพนทมประจดดฝนละอองไวในหองทสะอาด หรอ ทาใหผลตภณฑเกดไฟฟาสถต มลคาความเสยหายจากอปกรณอเลกทรอนกส และการหยดใหบรการมตงแตไมกเซนตไปจนถงหลายลานดอลลาร สาหรบอนตรายทจะเกดกบระบบอเลกทรอนกส ซงความเสยหายในกระบวนการผลตทาใหเสยเวลา เนองจากผลกระทบของ ESD นนมนยสาคญ ถงแมวา ESD จะดวาไมเปนภยคกคาม แตสามารถสรางความยงยากใหกบระบบสารสนเทศ ซงปญหานไมสามารถทาประกนภยคมครองความเสยหาย หรอ การทาประกนภยธรกจ
o Dust contamination: การปนเปอนจากฝน สภาพแวดลอมบางอยางมไดเปนผลดตออปกรณฮารดแวรของระบบสารสนเทศ เพราะฝนทาใหอายการใชงานของระบบสารสนเทศสนลง หรอ เปนเหตใหเครองคอมพวเตอรหยดการทางาน ภยคกคามนเปนปญหาธรรมดาในการปฏบตงาน
เนองจากภยคมคามทางธรรมชาตไมอาจทจะหลกเลยงได องคกรตองเพมการควบคมทจะจากดความเสยหาย และตองวางแผนกบความไมแนนอนสาหรบการปฏบตงานอยางตอเนอง เชน แผนการกขอมล วางแผนอยางตอเนอง และแผนการรบมอกบเหตการณทอาจเกดขนโดยบงเอญ เพอจากดความเสยหายจากภยคกคามเหลาน
17
9. คณภาพของบรการ (Deviations in Quality of Service) ระบบสารสนเทศขององคกรจะประสบความสาเรจไดนนตองไดรบการสนบสนนจากระบบอนๆรวมดวย เชน โรงไฟฟา เครอขายโทรคมนาคม ผจดจาหนาย ผใหบรการ เจาหนาทดแลรอบคา ซงระบบสนบสนนเหลานอาจหยดชะงกไดหากเกดพาย พนกงานปวย หรอเหตฉกเฉน ภยคกคามเหลานทาการโจมต ทาใหคณภาพการใหบรการคลาดเคลอน เชน ถารถขดเจาะถกสายไฟเบอรออฟตกทมาจาก ISP องคกรควรเตรยมการสารองขอมลทงการเชอมตอผานระบบเครอขาย และการบรการ แตตองรบดาเนนการในสวนของความเรวในการรบ-สงขอมลขององคกร เนองจากเปนสงสาคญสาหรบการใหบรการทสมบรณ ความผดปกตจากการใหบรการอนเตอรเนต การตดตอสอการ และเครองจายไฟสามารถสงผลกระทบอยางรวดเรวตอขอมล และสรางความเสยหายตอระบบได
Internet Service Issues องคกรในปจจบนนยมการใชอนเตอรเนตในการคนหาและเขาถงขอมลบนอนเตอรเนต เพอชวยในการปฏบตงาน ซงผใหบรการอนเตอรเนตจะตองใหความสาคญกบ การกอวนาศกรรมของขอมลขาวสาร ในหลายองคกรพนกงานขาย หรอ พนกงานขายทางโทรศพทสามารถทางานจากสถานทซงอยไกลกนได องคกรทมเวบไซตจะมผใหบรการเวบโฮสตงดแลเวบให ซงเวบโฮสตงจะรบผดชอบกบบรการอนเตอรเนตทงหมด รวมถงฮารดแวร และซอฟตแวรระบบทเกยวกบการทางานของเวบไซต ผใหบรการเวบโฮสตงจะมขอตกลงเกยวกบระดบการใหบรการขนพนฐานทควรร คอ Service Level Agreement (SLA) ผใหบรการจะขาดพนธะสญญาในการใหบรการไมได และพนธะสญญาควรครอบคลมความเสยหายทยงไมเกดขนกบลกคา แตเปนเรองยากหากจะคลอบคลมความเสยหายทเกดจากชวงทไมมกระแสไฟฟา
บรการดานการสอสารและผใหบรการอนๆ (Communications and other Service Provider Issues) บรการสาธารณปโภคทดตอองคกร บรการเหลานคอ โทรศพท นาประปา รถเกบขยะ ระบบสงสญญาณโทรศพทดวยสายเคเบล กาซธรรมชาต และการดแลทรพยสน โดยบรการเหลานมผลตอความเสยหายขององคกรได องคกรมความตองการนาไปจนถงระบบเครองทาความเยน เพอความมสะดวกในการปฏบตงาน
ปญหากระแสไฟฟา (Power Irregularities) ความผดปกตของไฟฟาเปนสงทเกดขนไดทกวน เชน ไฟเกน ไฟตก และไฟดบ ซงองคกรตองเตรยมแนวทางในการแกปญหาไฟฟาสาหรบอปการณระบบสารสนเทศ ในสหรฐจะใชไฟฟาท 120 โวลต , 60 cycle โดยปกตจะมกระแสไฟท 15 และ 20 แอมป
เมอแรงดนไฟฟาทระดบ spike (แรงดนไฟเพมขนชวขณะ) หรอ surge (แรงดนไฟเพมขนอยางรนแรง) ซงแรงดนไฟทเพมขนสรางความเสยหายใหกบอปกรณตางๆได การขาดแคลนไฟฟาเกดจากการจายไฟไมทวถง
18
เมอแรงดนไฟลดลง(sag) หรอ ไฟตก คอแรงดนไฟลดลง เปนสาเหตใหระบบปดการทางาน หรอ รเซตระบบใหมทาใหเกดการขดของในการใชระบบ ซงสงผลตออปกรณอเลกทรอนกส โดยเฉพาะอปกรณเครอขาย คอมพวเตอร และระบบคอมพวเตอรพนฐานเกดความเสยหาย ควรจะจดการควบคมการจายกระแสไฟใหมคณภาพ โดยเครอง UPS สามารถปองกนเรองแรงดนไฟฟาไมคงทได เชน ไฟตก ไฟเกน และไฟดบ
10. ขอผดพลาดทางเทคนคของฮารดแวร (Technical Hardware Failures or Errors) ความลมเหลวทางเทคนคของฮารดแวร หรอความผดพลาดทการผลตอปกรณเกดขอบกพรอง เปนเหตใหการทางานของอปกรณภายนอกของระบบไมเปนไปอยางทคด สงผลใหการบรการไมนาไววางใจ หรอใชประโยชนไมได บางครงความผดปกตของจอคอมพวเตอร อปกรณตอพวงอนๆ หากเสยหายจะไมสามารถนากลบมาใชงานไดดงเดม
11. ขอผดพลาดทางเทคนคของซอฟตแวร (Technical Software Failures or Errors) การเขยนโคดคอมพวเตอรสวนมาก มการตรวจสอบจดบกพรอง วเคราะหขอผดพลาดทงหมดกอนทจะจาหนาย ในบางครงจะตรวจสอบซอฟตแวรและฮารตแวรรวมกน จะแสดงจดบกพรองใหมๆได ความลมเหลวจะเกดขนหากไมมการตรวจสอบจดบกพรองตางๆ บางครงการตรวจสอบอาจจะไมพบขอผดพลาด แตโปรแกรมเมอรสวนมากจะสรางชอตคทไวซงอาจจะเปนเหตใหเกดความเสยหายได เนองจากชอตคทสามารถเขาสตวโปรแกรมไดโดยปราศจากการตรวจเชคความปลอดภยตงแตเรมตน เปนการฝาฝนแนวทางในการรกษาความปลอดภย ข อ ผ ด พ ล า ด ข อ ง ซ อ ฟ ต แ ว ร ถ ก ร ว บ ร ว ม เ ป น เ อ ก ส า ร ไ ว ท เ ว บ ไ ซ ต http://www.securityfocus.com ซงมขอมลลาสดของการปองกนความมนคงปลอดภย รวมถงเอกสารสาคญทบอกถงขอบกพรองในอดตไดละเอยดทสด
19
รปแสดง หนาเวบ http://www.securityfocus.com/
12. เทคโนโลยลาสมย (Technological Obsolescence)
โครงสรางพนฐานทลาสมยทาใหระบบไมปลอดภย และไมนาไวใจ ผบรหารควรจะรวาเมอเทคโนโลยลาสมย สงผลถงความเสยงดานความมนคงของขอมลอาจพบกบภยคมคามได ผบรหารควรมการวางแผนกลยทธ รวมถงการวเคราะหในการเลอกใชเทคโนโลยในปจจบน ตามหลกควรมการวางแผนทเหมาะสม ในการปองกนเทคโนโลยลาสมย เมอพบวาเทคโนโลยลาสมยตองจดการทนท โดยผเชยวชาญดานเทคโนโลยไดกาหนดลกษณะสงทนาจะเปนความลาสมย ปจจบน Symantec เลกสนบสนนซอฟตแวรแอนตไวรสเวอรชนเกา และใหการสนบสนนผลตภณฑอยางตอเนองดวยการอพเกรดซอฟตแวรใหทนท ถาในองคกรมเจาหนาท IT ทเชยวชาญจะมการจดการอพเกรดซอฟตแวรทลาสมยทนท ซงเปนการลดคาใชจายขององคกร ATTACKS การโจมตเปนการกระทาเพอใหเกดความไมมนคงและเปนอนตรายตอการควบคมระบบคอมพวเตอร โดยเปาหมายของการโจมตเพอสรางความเสยหายหรอการขโมยขอมลทสาคญขององคกร ในสวนนจะเปนการอธบายแตละประเภทของการโจมตระบบทสาคญๆ
Malicious Code การโจมตแบบ Malicious Code จะประกอบไปดวยไวรส, เวรมและไวรสโทรจน เพอจดประสงคในการทาลายระบบหรอการขโมยขอมล ซงในตวโปรแกรมไวรสเหลาน อาจจะมเทคนคการโจมต 6 ประเภทรวมอยดวยกน เพอสรางความหลากหลายในการโจมตไปทจดออนของเครองเปาหมายและทาใหไวรสแพรกระจายไดอยางรวดเรว ตวอยางเชน ไวรส Nimda มการทางานทซบซอนและใชเทคนคหลายอยางผสมกน จงทาใหสามารถแพรกระจายไดอยางรวดเรว ตามรายงาน
20
ของบรษท TureSecure ไดเปดเผยขอมลดานสถตระบวา ไวรส Nimda แพรกระจายไปยง 14 ประเทศ โดยใชเวลานอยกวา 25 นาทเทานน ตารางแสดงเทคนคในการโจมตและแพรกระจายไวรส
Vector รายละเอยดIP Scan and Attack ใชเครองทตดไวรสในการสแกนคนหาหมายเลขไอพ และ
ดวาเปาหมายไหนทมการปองกนทออนแอ แลวสงไปใหกบตวของผบกรก (Hacker)
Web browsing ถาเครองทตดไวรส และสามารถเขาถงเวบเพจได จะทาใหไฟลทเกยวกบเวบ (.html, .asp, .cgi อนๆ) ตวผใชเขาถงเวบไซดดงกลาวกจะทาใหตดไวรสไปดวย
Virus เครองทตดไวรส ตวไวรสสามารถทจะคดลอกตวเองจะทาใหไฟลประเภท EXE และ Script File ตางๆ ตดไวรสได
Unprotected shares ใชความไมม นคงของระบบ Files System โดยเครองทตดไวรสจะทาการคดลอกไวรสไปยงสวนตางๆ ทสามารถเขาถงได
Mass mail เปนการสงอเมล ไปยงทอยของผรบทเครองทตดไวรสรจก ใครทไดรบอเมลและเปดอานกจะทาใหโปรแกรมไวรสทางานทนทและทาใหเครองตดไวรส
Simple Network Management Protocol (SNMP)
SNMP เปนโปรโตคอลทใชสาหรบการเฝาสงเกตเครอขายและอปกรณในเครอขาย โดยโปรแกรมในการโจมตจะเขาไปควบคมอปกรณ สวนมากผผลตจะทาการปดจดออนในสวนนดวยการอพเกรดตวซอฟตแวรของอปกรณ
Hoaxes
สวนมากมกจะอยในรปแบบการหลอกลวงเพอทาการโจมตคอมพวเตอร โดยผโจมตจะทาการสงขอความทมความนาเชอถอ ถาผทไดรบขอความปฏบตตามอาจจะทาใหเกดความเสยหายตอระบบคอมพวเตอร เชน การใหลบไฟลขอมลทจาเปนของระบบปฏบตการโดยหลอกวาเปนไวรสคอมพวเตอร ทาใหระบบปฏบตการทางานผดปกต เปนตน นอกจากนผไดรบขอความจะทาการสงผานขอความทตนเองไดรบไปใหกบเพอนของตนเอง เหมอนกบจดหมายลกโซ
Back Doors เปนชองโหวในการรกษาความปลอดภยทถกทงไวโดยผออกแบบระบบหรอทมงานบารงรกษาระบบ ซงผบกรกจะใชชองโหวนหรอ Back Door ในการเขาถงระบบคอมพวเตอรหรอเครอขายคอมพวเตอร บางครงเรยกวา Trapdoor ซง Trapdoor เปนอะไรทปองกนไดยาก เพราะวาบอยครง
21
โปรแกรมเมอรเปนผททงชองโหวนไวเอง เพอใหสามารถเขาถงระบบโดยไมตองผานระบบความปลอดภยของระบบ จดประสงคเพออานวยความสะดวกตอโปรแกรมเมอรหรอผตรวจสอบระบบ (Audit) ในการเขาถงระบบไดงายและรวดเรว
Password Crack เปนความพยายามในการคานวณแบบยอนกลบเพอใหไดมาซงรหสผาน (Password) บางครงเรยกกระบวนการนวา Cracking โดยจะทาการคดลอก Security Account Manager (SAM) ซงภายในไฟล SAM จะมสวนประกอบของวธการของการคานวณรหสผานของผใช ซงวธการคานวณนนใช อลกอรทม (Algorithms) แบบเดยวกนในการคานวณหารหสผานและในการเปรยบเทยบถาผลลพธในการคานวณออกมาเหมอนกน รหสผานกจะถกถอดรหสออกมา
Brute Force เปนโปรแกรมทผบกรกใชสาหรบเดารหสทเปนไปไดทเกดขนจากการสรางรหสผาน(Password) วธการนเรยกวาการโจมตแบบ Brute Force หรอบางครงกเรยกวา Password Attack เชนสมมตวารหสผานทเปนไปไดของระบบเปนตวอกษรภาษาองกฤษพมพเลกจานวน 4 ตว ผบกรกกพยายามลอกอนเขาสระบบโดยใชรหสผานทเปนไปไดทงหมดจากการผสมคา ในกรณน รหสผานทเปนไปไดคอ 26x26x26x26 ตว ซงถาตงรหสผานมการผสมกนระหวางตวอกษรทงตวเลก ตวใหญ ตวเลขและเครองหมายตางๆ จะทาใหคาทเปนไปไดทงหมดมจานวนมากขน ดงนนหากผบกรกใชวธนในการเดารหสผานกจะใชเวลานานยงขน สาหรบวธการโจมตแบบ Brute Forceนนจะประสบความสาเรจไมบอยครงนก เนองจากระบบความปลอดภยของระบบ ไดมการจากดจานวนครงในการใสรหสผานเอาไว
Dictionary วธการโจมตแบบ Dictionary Attack จะมความแตกตางจาก Brute Force โดยโปรแกรมจะทาการเลอกคาทมอยในดกชนนารมาใชในการสรางรหสผาน (Password) วธการปองกนการโจมตดวย Dictionary Attack โดยการไมอนญาตใหใชคาทมอยในดกชนนารมาใชเปนรหสผาน หรอใชตวเลขหรออกขระพเศษเพมเขาไปในรหสผาน กจะทาใหการโจมตดวย Dictionary Attack ลดประสทธภาพลงไป
Denial-of-Service (DoS) and Distributed Denial-of-Service (DDoS) การโจมตดวยวธ Denial-of-Service (Dos) เปนการโจมตทผโจมตจะสงขอมลแพกเกตจานวนมหาศาลไปยงทเครองเปาหมาย จนทาใหเครองเปาหมายทางานหนก จดประสงคของการโจมตเพอทาใหระบบลมหรอไมสามารถทางานไดตามปกต การโจมตดวยวธ Distributed denial-of-service (DDoS) เปนการโจมตเครองเปาหมายจากหลายๆ แหงในเวลาพรอมๆ กน วตถประสงคของการโจมตเหมอนกนกบ DoS คอเพอหยดการทางานของระบบ เปนเหตใหระบบไมสามารถใชงานไดตามปกต ซงการปองกนการโจมตประเภทนทาไดยาก และสรางความเสยหายเปนอยางมาก
22
การโจมตดวยเวรม (Worm) ทชอวา “My Doom” ในระหวางป 2004 ซงเปนการโจมตดวยวธ Distributed denial-of-service (DDoS) โดยมวตถประสงคเพอโจมต www.sco.com (เวบไซดของบรษทผจดจาหนายระบบปฏบตการ UNIX) การโจมตเกนขนระหวางวนท 1 กมภาพนธ 2004 – วนท 12 กมภาพนธ 2004 เหตผลของผโจมตเพอเปนโตตอบกลบบรษท SCO ทมวตถประสงคมงรายตอ Community ของโอเพนซอรสระบบปฏบตการลนกซ
รปแสดง Distributed Denial of Service Attack (DDoS)
แหลงอางอง: http://computer.howstuffworks.com/zombie-computer3.htm
Spoofing Spoofing เปนเทคนคทใชเพอใหสามารถเขาถงระบบคอมพวเตอรทไมไดรบอนญาตได โดยการสงขอความปลอมๆ ทดเหมอนจะจากเครองทไดรบการเชอถอ (Trusted host) อาศยการปลอม IP Address ของเครองนน วธการไดมาซง IP Address ทมความนาเชอถอของผบกรกกมอยดวยกนหลายวธดวยกน ปจจบนเราเตอรและไฟรวอลลรนใหมๆ ไดมการจดการปองกนการโจมตแบบ IP Spoofing
Man-in-the-Middle เปนทรจกกนดของวธการโจมตแบบ Man-in-the-Middle หรอ TCP hijacking attack คอผบกรกจะนาแพกเกจทวงอยบนเครอขาย มาทาการแกไข เพมขอมล ปลอมแปลงขอมลและทาการสงกลบไปยงเครอขายเหมอนเดม ถอวาเปนหนงในประเภทของการโจมตแบบ IP Spoofing สาหรบวธการขดขวางการถกโจมตแบบ TCP hijacking คอการเขารหสดวยการแลกเปลยนคยระหวางผรบและผสง ใชในการเขารหสและถอดรหสขอมล เพอปองกนการถกเขาถงขอมลจากบกรก หรอถาผเขาถงขอมลกสามารถทราบไดวาขอมลถกเปลยนแปลง
23
Spam เปนอเมลทเราไมตองการ จดประสงคของผสง Spam Mail เพอตองการโฆษณาและบรการตางๆ สาหรบ Spam Mail จะสรางความราคาญใหกบผรบอเมลมากกวาจดประสงคเพอการโจมต แตในเดอนมนาคม ป 2002 มรายงานวามการแนบไวรสมากบ Spam Mail ดวย หลายๆ บรษทพยายามทจะปองกน Spam Mail โดยการทใชเทคโนโลยในการคดกรอกอเมล แตกมบางบรษททใชวธแบบงายๆ โดยใหผใชลบอเมลทไมตองการออกจากระบบอเมลของบรษทดวย
Mail Bombing เปนการโจมตอกรปแบบหนงจากการใชอเมลมลกษณะการโจมตทคลายกบ DoS (Denial-of-Service) เรยกวา Mail Bomb เปนการทผโจมตทาการสงอเมลจานวนมหาศาลไปยงเครองเปาหมาย เพอจดประสงคทาใหระบบอเมลลมไมสามารถทางานไดตามปกต
Sniffers Sniffer เปนโปรแกรมหรออปกรณทคอยดกจบขอมลทวงอยบนระบบเครอขาย Sniffer สามารถถกนาไปใชในดานทดและไมด ดานทดคอ Sniffer สามารถชวยในการบรหารจดการเครอขาย เชนใชในการวเคราะหปญหาความผดพลาดของระบบเครอขาย สวนในการนาไปใชในดานทไมดคอการใชเพอการขโมยขอมล ซงการใช Sniffer โดยไมไดรบอนญาตของผบกรก จะเปนอนตรายตอความปลอดภยของเครอขายอยางมาก เพราะวาหลายๆ ระบบและผใชจะมการสงขอมลระหวางกนโดยใชเครอขายภายใน ซงจะไมมการเขารหสขอมล กจะทาใหโปรแกรม Sniffer สามารถมองเหนขอมลไดทงหมด ไมวาจะเปนรหสผานตางๆ และขอมลทอยภายในเอกสาร
Social Engineering Social Engineering เปนเทคนคการใชทกษะในการโนมนาวใหผอนยอมเปดเผยขอมลสวนตวหรอขอมลสาคญอนๆ ใหกบผโจมต ยกตวอยางในกรณทผโจมตทราบชอของ CIO ของบรษท แลวทาแอบอางเปน CIO เพอทาการหลอกลวงเพอสอบถามขอมลทผโจมตตองการจากพนกงานของบรษท
Phishing การโจมตในรปแบบของการปลอมแปลงอ-เมล (Email Spoofing) และทาการสรางเวบไซต ปลอม เพอทาการหลอกลวงใหเหยอหรอผรบอ-เมลเปดเผยขอมลทางดานการเงนหรอขอมลสวนบคคลอนๆ อาท ขอมลของหมายเลขบตรเครดต บญชผใช (Username) และ รหสผาน (Password) หมายเลขบตรประจาตวประชาชน หรอขอมลสวนบคคลอนๆ สามารถทาไดโดยการขโมยหรอนาเครองหมายหรอสญลกษณตลอดจนรปลกษณของธนาคารหรอสถาบนการเงนทมชอเสยง และบตรเครดตประเภทตางๆของผประกอบการ การใหสนเชอทางอนเตอรเนต มาประกอบเขากบการหลอกลวงเหยอหรอผใชใหเปดเผยขอมล ซงมการประเมนเบองตนวา การโจมตในรปแบบของ Phishing สามารถหลอกใหเหยอรอยละ 5 ของทงหมด เปดเผยขอมลทตองการ นอกจากน ผโจมต (Hacker หรอ Spammer) ยงใชยทธวธการหลอกลวงแบบ Social Engineering ประกอบเพมเตม เพอใหมความนาเชอถอยงขน เชน การหลอกลวงชออ-เมล เปนตนวา
24
เปนเรองดวนจากธนาคาร การหลอกลวงวาบญชทใชงานจะหมดอาย การเสนอสนคาทมดอกเบยตาตางๆ เปนตน
Pharming การโจมตดวยวธการ Pharming น เหยอจะสงเกตไดยากมาก หรอเรยกไดวาแทบไมรตวเลย
กวาได เพราะ URL ทเขาไปกเหมอนกบของ Web Site จรงทกประการ แตเปนกลลวงทระบบ DNS ทาใหเหยอเกดความเขาใจผด
Timing Attack การโจมตแบบ Timing Attack เปนการเขาไปทาการสารวจภายในหนวยความจาของตวเวบบราวเซอร (Web Browser) และทาการสงคกก (Cookies) ทมวตถประสงครายเขาไปยงเครองเปาหมาย โดยตวคกกนนจะทาการเกบรวบรวมขอมล เพอใหทราบวาจะสามารถเขาสเวบไซดทปองกนดวยรหสผานไดอยางไรการโจมตอกแบบทมชอเหมอนกนจะเปนการโจมตทเกยวของกบกบการดกขอมลทใชสาหรบการถอดรหสขอมล ไดแกกญแจทใชในการถอดรหสและอลกอรทมทใชในการเขารหสขอมล การพฒนาซอฟตแวรใหมความปลอดภย (Secure Software Development)
ระบบประกอบดวย ฮารดแวร ซอฟตแวร เครอขาย ขอมล การประมวลผลและผใชระบบ ในบทนจะพดถงเรองความปลอดภยของขอมล ซงมตนเหตมาจากสวนของซอฟตแวรระบบ ระบบความปลอดภยตองการความมนคงหรออยางนอยทสดจะตองปลอดภย ผพฒนาระบบและซอฟตแวรเปนผทมความสามารถในการใชข นตอนวธ เชน วงจรการพฒนาระบบ (SDLC) องคกรจานวนมากใหความสาคญสาหรบการวางแผนความปลอดภย ในขนตอนของการพฒนาระบบ สาหรบการสรางระบบ และในขนตอนของการปฏบตงานสาหรบการพฒนาซอฟตแวรใหมรปแบบความปลอดภย วธการพฒนาซอฟตแวรทมชอเสยงคอการประกนซอฟตแวร (SA)
การประกนซอฟตแวรและความรพนฐานทสาคญของการประกนซอฟตแวร (Software
Assurance and the SA Common Body of Knowledge) ทกลาวถงในบทท 1 องคกรสวนมากตองการความปลอดภยในขนตอนของการพฒนาระบบ
ตองการทจะปองกนปญหาดานความปลอดภยกอนทจะเรมวงจรพฒนาระบบ ในระดบชาตพยายามทจะสรางความรพ นฐานทสาคญ (CBK) ทมงไปทความปลอดภยของการพฒนาซอฟตแวร The US Department of Defense (DoD) ไดออกรปแบบการประกนซอฟตแวร ซงเรมขนในป 2003 ขนตอนเรมตนโดย Joe Jarzombek ไดรบการรบรองและสนบสนนนจาก Department of Homeland Security (DHS) รวมลงทนในป 2004 แผนการเรมตนทาใหเกดสงพมพ ความปลอดภยของการประกนซอฟตแวร (SwA) ความรพนฐานทสาคญ คณะทางานไดรางเอกสารจากวงการอตสาหกรรม รฐบาล สถานศกษา มรปแบบในการสารวจ 2 หวขอในการตอบคาถาม
25
1. อะไรเปนกจกรรมของวศวะกรหรอลกษณะของกจกรรมทสาคญททาใหไดซอฟตแวรท
ปลอดภย
2. ความรอะไรเปนทตองการในการปฏบตงาน หรอ กจกรรมทตองการ
บนพนฐานของการคนพบของคณะทางานและกลมของเอกสารภายนอกทมอยและมาตรฐาน ความปลอดภยของการประกนซอฟตแวร ความรพ นฐานทสาคญ ทพฒนาแลวและตพมพเพอใชเปนคมอ ในขณะทการทางานยงไมประสบความสาเรจการยอมรบมาตรฐานทแทจรง หรอแมวาความตองการนโยบายของหนวยงานภาครฐบาล ทสนบสนนและใหคาแนะนาทดทกาลงพฒนามากกวาแอพพลเคชนทปลอดภย การคนหา เชน ระยะเวลาของขนตอนการทางานทงหมดของโปรแกรม รวมถงเรองทวๆ ไปของความไมปลอดภย แนวคดพนฐานและทฤษฏ จรยธรรม กฎหมายและการปกครอง ความตองการซอฟตแวรทปลอดภย การตรวจสอบซอฟตแวรทปลอดภย การถกตองตามกฎหมายและการประเมนผล เครองมอและวธการพฒนาซอฟตแวรทปลอดภย กระบวนการของซอฟตแวรทปลอดภย การควบคมโครงการซอฟตแวรทปลอดภย การไดมาซอฟตแวรทปลอดภย และการสนบสนนซอฟตแวรทปลอดภย
หลกการออกแบบซอฟตแวร (Software Design Principles) การพฒนาซอฟตแวรทดจะตองไดผลลพธในขนสดทายของผลตภณฑ ตองเปนไปตามคณสมบตของการออกแบบ ความปลอดภยของระบบสารสนเทศตองพจารณาในขอมลเฉพาะ ปจจบนตองสนใจปจจยอนตราย หรอสงทไมถกตองตลอดเวลา J. H. Saltzer และ M. D. Schroeder ผนาในดานการพฒนาซอฟตแวรใหคาอธบายของการออกแบบไววา “การปองกนสารสนเทศในระบบคอมพวเตอรและประโยชนของกลไกการปองกนอยบนความสามารถของระบบทจะปองกน การละเมดความปลอดภยในการปฏบต, การผลตระบบทระดบใดๆความสามารถในการปฏบตไดตามความจรงของการปองกนทงหมด เชน การกระทาทไมมสทธพสจนไดอยากลาบากทสด ผใชทมประสบการณมากมความตระหนกอยางหนง คอการเงนของระบบ การปฏเสธผใชอนๆ ทใหสทธเขาถงกบสารสนเทศ การโจมตทเกยวของจานวนมากของความผดปกตทวๆ ไปของระบบทงหมด ทเหนนนผใชสามารถสรางโปรแกรมทไมไดรบการอนญาตใหเขาถงสารสนเทศ แมแตในการออกแบบระบบและการทาใหสาเรจดวยความปลอดภยเปนจดประสงคทสาคญ การออกแบบและการทาใหประสบความสาเรจมแนวทางหลกเลยงเจตนาบงคบการเขาถง การออกแบบและเทคนคโครงสรางอยางเปนระบบนน แยกขอบกพรองเปนหวขอกจกรรมมากมายของการวจย แตไมใชวธการทงหมดทสามารถนาไปปรบใชไดตรงกบโครงสรางสวนมากของจดประสงคทวไปของระบบทมอย รายการทแนชดเกยวกบการพฒนาซอฟตแวรในยคกอนศตวรรษท 21 แตเกดขนจรงยอนกลบไปกอนป 1975 ความปลอดภยของสารสนเทศและการประกนซอฟตแวรทเหมาะสมเกยวของกบความสาเรจขององคกร ในบทความนหวขอทใหความเขาใจเกยวกบทฤษฎทเกดขนในปจจบน ขอปฎบตทปลอดภย
26
a. กลไกทางเศรษฐกจ : ดาเนนการออกแบบใหงายๆ และเลกเทาทเปนไปได
b. อปกรณปองกนเปนตวเลอกโดยอตโนมต : พนฐานการตดสนใจการเขาใชงานทไดรบ
การอนญาตแทนการยกเวน
c. การอยตรงกลางทงหมด : ทกครงทตองการเขาใชงาน ทกจดประสงค จะตอง
ตรวจสอบสทธ
d. การออกแบบเปดกวาง : การออกแบบไมควรจะเปนความลบ แตจะตองขนอยกบการ
ควบคมในเรองการปอนขอมลหรอรหสผาน
e. การแบงแยกสทธพเศษ : ทเหมาะสม กลไกการปองกนควรจะตองการกญแจสอง
ชนในการเปดออกแทนการใชกญแจชนเดยว
f. สทธพเศษนอยทสด : โปรแกรมทกๆ โปรแกรมและผใชงานทกคนของระบบ ในการ
ทางานควรจะใชสทธพเศษใหนอยทสด
g. กลไกการทางานรวมกน : วธการทางานนอยทสด (หรอการใชตวแปรรวมกน) การ
ทางานรวมกนมากกวาหนงคนและตองพงพาอาศยกนทกคน
h. การยอมรบทางดานจตใจ : เปนสวนประกอบทสาคญในการตดตอกบผใช การ
ออกแบบสาหรบการใชงานตองสะดวก เชน ผใชงานประจาและการประยกตใชเปน
กลไกการควบคมโดยอตโนมต
การพฒนาซอฟตแวรทมปญหาดานความปลอดภย (Software Development Security Problems) ในบางครงการพฒนาซอฟตแวรแลวทาใหเกดปญหาในซอฟตแวรนน เปนความยงยากหรอเปนไปไมไดในการนาไปใชงานในแนวทางของความปลอดภย มการคนพบสงทเปนอนตรายในดานความปลอดภยของซอฟตแวร ม 19 ปญหาในการพฒนาซอฟตแวร (ซงเปนทรจกดในสาขาวศวกรรมซอฟตแวร) ทจดเปนหมวดหมโดย John Viega ในความตองการของ Amit Youran ซงเปนผอานวยการของ Homeland Security’s National Cyber Security Division ซงไดแก
Buffer Overruns เปนวธการบกรกฉวยโอกาสอนเกดขนจากการทไมมการตรวจสอบบรเวณหนวยความจา ท
เรยกวาบฟเฟอรของโปรแกรมเพอเขาไปเขยนโคดโปรแกรมและขอมลบนหนวยความจาบรเวณนน ถาขอมลทเขยนทบเขาไปเปนโคดทสามารถทางานได กจะทาใหข นตอนการทางานของโปรแกรมทอยนนเปลยนแปลงไดตามทผบกรกตองการ แตถาคาสงทเขยนเขาไปเปนขอมลอนๆ ผลกระทบทเกดขนกอาจจะทาใหโปรแกรมหยดทางาน
Command Injection
27
เกดขนเมอผใชปอนขอมลโดยตรงเขาไปยงคอมไฟลเลอรหรออนเทอรพรเตอร ภายใตประเดนความลมเหลวของผพฒนาไปถงการรปประกนคาสงทปอนเขาไปใหถกตองกอนทจะใชโปรแกรม ตวอยางงายๆ ทเปนไปไดเกยวกบคาสงของ Windows @ echo off set /p myVar=”Enter the String” set somVar=%myVar% echo %somevar% นเปนคาสงทตองการใหผใชใสตวอกษรงายๆ ตวแปรอนๆ แลวกแสดงคาออกมา อยางไรกตามผบกรกสามารถใชคาส งและตามดวยตวอกษร & ใหตอกนกบคาสงอนทตองการ (hello&del*.*)
Cross-site Scripting (XSS) เกดชนเมอแอพพลเคชนทางานบนเวบเซรฟเวอรรบขอมลจากคาสงของผใชเขามา ผบกรกสามารถอาศยจดออนของเวบเซรฟเวอรทาการสงโคด ภาษาทเวบบราวเซอรสามารถเขาใจ ไปยงหนาหนาเวบทแสดงโดยเวบบราวเซอรของเหยอเพอใหเวบบราวเซอรของเหยอทางานตามทผบกรกตองการ ไมวาจะเปนการขโมยขอมลสวนบคคล หรอบงคบใหเวบบราวเซอรทาการโจมตเปาหมายทผบกรกตองการ
Failure to Handle Errors อะไรจะเกดขนเมอระบบหรอแอพพลเคชนประสบกบเหตการณทไมไดเตรยมพรอมสาหรบการจดการ มนพยายามทาใหสาเรจลลวง (การอาน การเขยนหรอการคานวณ) ประกาศขาวสารสาคญทผพฒนาโปรแกรมสามารถเขาใจ หรอหยดการทางาน ความลมเหลวทจะจดการกบขอผดพลาด สาเหตมาจากหลายพฤตกรรมของการใชระบบทไมไดคาดคดมากอน ผพฒนาโปรแกรมทคาดหมายไวลวงหนาถงปญหาและไดเตรยมพรอมของโคดแอพพลเคชนทจะจดการ
Failure to Protect Network Traffic ดวยความเจรญกาวหนา ความแพรหลายของระบบเครอขายไรสายทเกดขน สอดคลองกบการเพมขนในเรองความเสยงในการสงขอมลโดยทางเครอขายไรสายจะถกรบกวน สวนใหญระบบเครอขายไรสายจะตดตงและทางานจานวนนอยหรอไมปองกน สารสนเทศนนจะกระจายไประหวาง Client และ Access Point โดยเฉพาะเครอขายไรสายสาธารณะในรานกาแฟ รานหนงสอและโรงแรม โดยปราศจากการเขารหสทเหมาะสม (เชน WPA) ผบกรกสามารถดกจบเพอดขอมลได การจราจรบนเครอขายทมสายกเชนเดยวกนมจดออนในการดกจบบางสถานการณบนระบบเครอขายทใช Hub ผใชงานบางคนสามารถตดตงโปรแกรมดกจบหรอขอมลในเครอขาย และรวบรวมการตดตอสอสารจากผใชบนเครอขาย บางครงจะ Scan โดยไมไดรบอนญาตในการจบ Packet บนเครอขาย ไมไดรบอนญาตใหเชอมตอในระบบเครอขาย และโดยทวไปการตระหนกถงการคกคามสามารถทาใหปญหาลดลง
28
Failure to Store and Protect Data Securely การเกบรกษาและปองกนขอมลอยางปลอดภยเปนประเดนใหญมาก ผพฒนาโปรแกรมเปนผรบผดชอบในการควบคมการเขาถง และการเกบรกษาความปลอดภยของสารสนเทศออกจากโปรแกรม การควบคมการเขาเปนประเดนของการควบคมดแลวา ใครทาอะไร เมอไหร ทไหน อยางไร และมผลกบขอมลระบบ ความลมเหลวในการจดเตรยมเครองมอหรอวธการอยางเหมาะสม การควบคมการเขาถงทออนแอทาใหขอมลไรความมนคง การเครงครดควบคมการเขาถงเปนอปสรรคของการใชงานทางธรกจ เปนอปสรรคในเรองสมรรถนะและประสทธภาพของเครองและมความเสยงในการดาเนนการควบคม การโอนยายหรอในทางออม การรวมเขาดวยกนของความปลอดภยสารสนเทศ เชน การฝงขอมลรหสผานลงในโคด ทาการเขารหสหรอสารสนเทศทไวตอความรสกของผอน เปนการเสยงตอการถกเปดเผย
Failure to Use Cryptographically Strong Random Numbers ระบบการเขารหสสวนมากจะทนสมยเหมอนกบระบบคอมพวเตอรอนๆ ใชการสมหมายเลขทสรางขน อยางไรกตามระบบการตดสนใจในการสมและเลขสมเทยมสาหรบวธการ Monte-Carlo ในการคานวณลวงหนาไมตองการเชนลาดบขน สาหรบความเขมงวดตองการความถกตองไมมแบบแผน ดงทระบบนนการตรวจสอบ เครองมอ กระบวนการเขารหสเหลานสมหมายเลขทสรางขนโดยใชข นตอนวธทางคณตศาสตร บนพนฐานของคาทไดรบเลอกและสวนประกอบอนๆ อก (เชนนาฬกาคอมพวเตอร) เพอจาลองแบบการสมตวเลข เหลานนผทเขาใจวธการทางานของการสมตวเลขสามารถคาดเดาได
Format String Problems ภาษาคอมพวเตอรมความยดหยน มสวนประกอบพรอมสาหรบการสรางความสามารถในการเปลยนแปลงรปแบบตลอดเวลาทตองการผลลพธ รปแบบโครงสรางเปนทางการคอ รปแบบทใชกาหนดลกษณะการรบขอมล เปนสงทหลกเลยงยากบางครงในการพฒนาโปรแกรมอาจจะใชขอมลจากแหลงทไมนาเชอถอ เชน รปแบบทใชกาหนดลกษณะการรบขอมล(เชน %x, %d, %p) ผบกรกจะฝงคาสงซงมความหมายตามรปแบบทมจดประสงครายปอนเขาไป และโปรแกรมจะแปลความหมายขอมลทปอนเขาไปตามรปแบบทส ง (เชน การใชงานฟงกชน printf ในภาษา C ใหโปรแกรมแสดงผลออกมา ผบกรกกจะสามารถเขาถงสารสนเทศหรอเขยนเปาหมายสวนทตองการของโปรแกรมซอนทบเขาไปดวยขอมลทเลอก
Neglecting Change Control ผพฒนาใชกระบวนการทมชอเสยง เชน การควบคมการเปลยนแปลงในการทาใหแนใจวาระบบสงมอบถงผใช แสดงใหเหนจดหมายของผพฒนาตอนเรมข นตอนการพฒนา การควบคมการเปลยนแปลงใหแนใจวาผพฒนาไมทางานคนละทาง โดยการแกไขบางโปรแกรมหรอสวนหนงของโปรแกรมในชวงเวลาใดเวลาหนง ระบบในกระบวนการผลต กระบวนการควบคมการเปลยนแปลงทาใหแนใจ แตการอนญาตเปลยนแปลง การแนะนาใหรจก และการเปลยนแปลงทงหมดนนการทดสอบอยางเพยงพอกอนทจะออกเปนรนปจจบน
29
Improper File Access ถาผบกรกเปลยนทเกบไฟล โดยการขดขวางและแกไขโคดของโปรแกรม พวกเขาสามารถบงคบโปรแกรมในการใชสทธเจาของไฟล แทนทไฟลโปรแกรมซงทกทกวาเปนจรงเพอใชงาน รปแบบการบกรกมโอกาสใชอยางใดอยางหนง ปลอมแปลงแทนทไฟลเพอใหไฟลนนมผลตามกฎหมาย (เชน ไฟลรหสผาน) หรอลวงใหระบบทางานใหสาเรจ ความเปนไปไดสาหรบความเสยหายหรอสงทถกเปดเผยรนแรงเกนไป ดงนนสงทเปนอนตรายทจะปองกนไมใชเฉพาะตาแหนงทอยของไฟล แตควรจะเปนวธการและชองทางการตดตอสอสารโดยสงทเขาถงไฟลเหลานน
Improper Use of SSL ผพฒนาโปรแกรมใชระบบรกษาความปลอดภยของขอมล (SSL) ในการทจะสงขอมลทละเอยดออนรวมถงหมายเลขบตรเครดตและขอมลสวนบคคลอนๆ ระหวาง Client และ Server ขณะทผพฒนาโปรแกรมสวนมากนนคดวาการใชระบบรกษาความปลอดภยของขอมล รบประกนความปลอดภยแตไมประสบความสาเรจ มากกวาการทาใหประสบความสาเรจของเทคโนโลย SSL (Secure Socket Layer) และ TLS (Transport Layer Security) ทงสองตองการพสจนทาใหถกตองทปลอดภยจรงๆ ความลมเหลวในการใชความปลอดภย HTTP เพอชอบดวยกฎหมายดวยใบรบรองอเลกทรอนกส และตอใบรบรองใหถกตองหรอความถกตองของสารสนเทศเปรยบเทยบกบรายการของการเพกถอนใบรบรอง สามารถยอมรบความปลอดภยของการสอสาร SSL
Information Leakage มจานวนมากทเปนแนวทางรวมกนในการจาแนกสารสนเทศโดยตรงและโดยออม สมยสงครามโลกครงท 2 ทหารประกาศเตอนใชคาวา “ปากหลวม เรอลม” ใหความสาคญกบความเสยงการเคลอนพลทางเรอ จากฝายตรงขามจะกระทากบลกเรอ เรอเดนทะเล และการเปดเผยจากภายในของการเคลอนไหวของเรอ คอการแบงปนอยางกวาง ความกลว อนตรายทพลเรอนไดรบ คอยปฎบตงานในสงกดขวางและททางานรวมพอรตของกองทพเรอ ขณะทกาลงคอยสงทจะลงมา โดยการเตอนลกจางเกยวกบการเปดเผยสารสนเทศ องคกรสามารถปองกนความปลอดภยของการดาเนนการ
Integer Bugs (Overflows/Underflows) แมวาสมดและดนสอสามารถรบมอเกยวกบจานวนของตวเลข เลขฐานสองถกใชในคอมพวเตอรโดยการกาหนดความยาวโดยเฉพาะ เชน จานวน 1 ถง 32,767 จะไดจานวน 32,768 แตในระบบตวเลขดวยเครองหมายจานวนเตม 16 บท ผลลพธคอ -32,768 จานวนนอยมากจนไมสามารถนาเกบในหนวยความจาไดสามารถเกดขนเมอ เชน ลบออก 5 จาก -32,767 ใหผลลพธอยางแปลกใจดวย +32,764 เพราะวาจานวนเตมทเปนลบมากมายสามารถแสดงใน 16 บททเปนลบคอ -32,768 ขอผดพลาดของจานวนเตมนเกดขนดวยกน 4 ประเภทคอ
1. ลนมากเกนไปหมายถงหนวยความจาไมสามารถรบขอมลเขาไปไดอก 2. นอยมากเกนไปจนไมสามารถเกบในหนวยความจาได 3. การตดจานวนบทสวนเกนทงไปในการจดเกบจานวนจรง
30
4. ขอผดพลาดทเกดจากการยอมจานน ความผดพลาดของจานวนเตมโดยปกตเปนการกระทาโดยทางออม
กลไกความผดพลาดของจานวนเตมเปดโอกาสใหผบกรกเขาไปใชพนทอนๆ ของหนวยความจา แอพพลเคชนโดยควบคม หนวยความจาจดสรรคาทไดรบมามากกวา ถาคานนดกวาทคาดไมถงดวยบทพเศษเขยนเขาไปในสถานทอนๆ ระบบอาจจะมประสบการณผลลพธทไมคาดคด อนทาใหสามาถคานวนผด การกระทาผด เกดการลมละลายหรอมปญหาอนๆ “แมวาความผดพลาดของจานวนเตมเปนประจา ทาใหเกดการเขยนขอมลเกนขอบเขตทกาหนด หรอหนวยความจาอนๆ ถกยด ความผดพลาดของจานวนเตมไมใชกรณพเศษของหนวยความจาทางานผดพลาด”
Race Conditions คอความลมเหลวของโปรแกรมเกดขนอยางฉบพลน ในการสงงานพรอมกนในการดาเนนการของโปรแกรม ผลของความขดแยงตลอดการเขาไปใชทรพยากรของระบบรวมกน การขดแยงไมตองการเกยวกบสตรมของโคดภายในโปรแกรมเนองจากระบบปฏบตการและเทคโนโลยโปรเซสเซอรแยกการทางานโดยอตโนมตในหลายเสนทางนน สามารถดาเนนการในเวลาเดยวกนถาบนเสนทางของผลลพธจากการแชรโปรเซส ทรพยากรอนๆ เหลานนสามารถจะตดตอกบผใชซงกนและกน การเกด Race Conditions เชน โปรแกรมสราง Temporary ไฟล และผบกรกสามารถทาการทาซาในระหวางเวลาทสรางและเวลาทใช Race Conditions สามารถเกดขนเชนเดยวกนพรอมกบการเกบสารสนเทศในหนวยความจาหลายเสนทาง ถาหนงเสนทางเกบสารสนเทศในตาแหนงหนวยความจาผดโดยบงเอญหรอเจตนา
SQL Injection เกดขนเมอผพฒนาระบบประสบความลมเหลว ในการใสขอมลผใชเขาไปกอนการใช Query ฐานขอมล เชน โดยความจรงโปรแกรมทไมเปนอนตรายสวนรบ User ขอมลเขา User-ID และหลงจากการทาคาสง SQL Query เปรยบเทยบตาราง User ทไดรบ ตวอยางเชน Accept USER-ID from console; SELECT USER-ID, NAME FROM USERS WHERE USERID = USER-ID; นเปนรปแบบ SQL โดยเฉพาะและเมอใชคาสงถกตองจะแสดง USERID และชอผใชปญหาคอขอมลทไดรบจะผานโดยตรงไปยง SQL Database Server และสวนของคาสง SQL และถาผบกรกปอนตวอกษร “JOE or 1=1” ตวอกษรนรวมกบบางสวนมผลตอรปแบบ SQL จะตอบกลบแถวทงหมดจากตารางท USER-ID เหมอนกนคอ “JOE or 1=1” เพราะวา 1 เทากบ 1 ผลลพธทงหมดคอ USER-ID และ Name จะตอบกบ สงทเปนไปไดทาใหเกดความสามารถท “Inject” SQL ของผบกรกเลอกใสเขาไปในโปรแกรมไมตองมขอบเขตทเหมาะสมเขาถงสารสนเทศ ถาผบกรกใชคาส ง SQL ลบตารางผใชหรอทาการปดระบบฐานขอมล
Trusting Network Address Resolution Domain Name Service (DNS) เปนการทางาน WWW ในการแปลง URL (Uniform Resource Locator) เชน http://www.course.com เปน IP Address ของเวบเซรฟเวอร รปแบบการ
31
เผยแพรนถกโจมตไดงายหรอเปนอนตราย DNS แคชเปนอนตรายทเกยวของกบการยอมรบ เวลาเปลยนแปลง DNS Server ตองการ IP Address สมพนธกนกบ Domain Name เปนวธหนงทผบกรกเลอกใชการปลอมแปลง การออกแบบเวบไซตทผลตจากสารสนเทศสวนบคล หรอสงนนมประโยชนมากสาหรบผบกรก เชนการเปลยนเวบไซตรานคาคแขง เปนมากกวาการมงราย เชน การปลอมแปลงเวบไวต Banking สาหรบ Phishing Attack เกยวกบสารสนเทศ Banking ออนไลน วธการหนงในการปลอมแปลงขอมลสารสนเทศใน DNS Server สวนมากพยายามสรางเกยวกบ DNS Server หลกและสารองขององคกร ความพยายามโจมตอนๆ ทเปนอนตราย DNS Server มาขนทวคณ ระบบ DNS อาศยกระบวนการปรบปรงอตโนมตทสามารถประสบความสาเรจ ผบกรกสวนมากโดยปกตเปนอนตรายในสวนของ DNS อยางใดอยางหนงโดยการโจมต Name Server และการแทนทของ DNS หลกโดยการปรบปรงขอมลสวนบคคลไมถกตองหรอโดยการตอบสนองกอน DNS จรงจะทา ชนดทายสดของการบกรก ถาผบกรกคนพบความลาชาใน Name Server เขาสามารถตดตงเครองอนใหตอบสนอง ทงท DNS จรงยงคงอย กอน DNS Server จรงจะตอบสนอง Client ไดรบครงแรกของชดสารสนเทศทไดรบและโดยตรงถง IP Address
Unauthenticated Key Exchange หนงของความยงใหญอนทาทายในระบบ Private key ซงเกยวกบผใชสองคนใชงานรวมกญแจเดยวกน คอตองการเพอไดกญแจกบกลมอนอยางปลอดภย บางครงจะนอกสญญาณ ผสงขาวเปนผถกใชในเวลาอนระบบ Public key ซงใชทงสอง Public และ Private key เปนการใชแลกเปลยน กญแจแตสงทถาบคคลซงไดรบสถานทกญแจบนอปกรณ USB และการสงไมแทจรงงานของบรษท แตความคาดหวงอยางงายโดยเฉพาะการสงมอบและการขดขวาง เรองเดยวกนนเกดขนบนอนเทอรเนต เมอผบกรกเขยนแกไขระบบ Public key และแทนทออกในขณะทฟรแวร การทาใหเสอม หรอการขดขวางการทางานของบางคน อนอกของระบบการเขารหส Public key อาจเปนไปไดโดยตว
แทนทไดเตรยม Public key
Use of Magic URLs And Hidden Forms HTTP เปนโปรโตคอลทไมมการรจาสถานะทโปรแกรมคอมพวเตอรอนใดอนหนง สดทายชองทางของการตดตอสอสารไมสามารถไววางใจทรบประกนการสงขาวสาร สงนนใหยงยากสาหรบการพฒนาทระบการเปลยนของผใชดวยเวบไซตหลายอนตลอดการปฎสมพนธ เปนประจาดวยการตอบสนองตอสภาพสารสนเทศเปนอยางงายรวมอยในอยางนาอศจรรยของ URL (Authentication ID ทใชในการผานคาตวแปรใน URL สาหรบการแลกเปลยนการดาเนนงานตามตองการ)หรอรวมอยในการซอนรปแบบฟลคบนหนาเวบเพจ ถาสารสนเทศนนนเปนเกบขอมลทอยในรปแบบทอานได ผบกรกสามารถเกบเอาสารสนเทศจากความนาอศจรรยของ URL ในขณะททองไปในเครอขายหรอใชสครพทบนเครองผใชแกไขขอมลทซอนอยในรปแบบฟลค ขนอยกบโครงสรางของแอพพลเคชน,การเกบ/การแกไขสารสนเทศ สามารถจะใชในการลวง/การบงคบหรอการเปลยนการทางานทางแอพพลเคชน (เชน รายการของราคาเกบซอนอยในรปแบบฟลด ผบกรกสามารถแกไขราคาเพอซอสนคาชนนน)
32
Use of Weak Password-Base Systems
ความลมเหลวทตองการเพยงรหสผานทเขมแขง และการควบคมรหสผานทใชไมเหมาะสม คอประเดนความปลอดภยอนๆ ทรนแรง นโยบายรหสผานสามารถกาหนดตวเลขและชนดของตวอกษร ความถของการบงคบใหเปลยนและแมแตการนารหสผานเกากลบมาใช เชนเดยวกบผดแลระบบสามารถควบคมตวเลขทนามาใชไมเหมาะสม นนคอการทาโดยผใชและปรบปรงมากขนขยายระดบของการปองกน ระบบนนไมทารหสผานใหถกตองหรอการเกบรหสผานในสถานทเขาถงไดงาย สาหรบผบกรก ความแขงแรงของรหสผานมผลโดยตรงกบความสามารถทจะทนตอการถอดรหส การใชไมเปนมาตรฐานในสวนประกอบของรหสผาน ตองไมนอยกวา 8 ตวอกษรดวยอยางนอยตองมหนงตวพมพใหญ ตวเลข และตวอกษรทไมใชตวเลข สามารถทาใหความแขงแรงของรหสผานมากขน
ตารางแสดงสมรรถภาพของรหสผาน Case-Insensitive Password
จานวนของตวอกษร โอกาสทจะเปนไปไดของการถอดรหส เวลาทใชในการถอดรหส 1 2 3 4 5 6 7 8 9 10
68 4,624 314,432 21,381,376 1,453,933,568 98,867,482,624 6,722,988,818,432 457,163,239,653,376 31,087,100,296,429,600 2,113,922,820,157,210,000
0.000009 second 0.006 second 0.04 second 2.7 seconds 3 minutes, 2 seconds 3 hours, 26 minutes 9 days, 17 hours, 26 minutes 1 years, 10 months, 1 day 124 years, 11 months, 5 days 8495 years, 4 months, 17 days
Case-Sensitive Password
จานวนของตวอกษร โอกาสทจะเปนไปไดของการถอดรหส เวลาทใชในการถอดรหส 1 2 3 4 5 6 7 8 9 10
94 8,836 830,584 78,074,896 7,339,040,224 689,869,781,056 64,847,759,419,264 6,095,689,385,410,820 572,994,802,228,617,000 53,861,511,409,000,000
0.00001 second 0.011 second 0.1 second 9.8 seconds 15 minutes, 17 seconds 23 hours, 57 minutes 14 seconds 3 months, 3 days, 19 hours 24 years, 6 months 2302 years, 8 months, 9 days 216,457 years, 4 months
33
Poor Usability
บคคลชอบการกระทาในสงทงาย เมอตองพบกบการปฎบตงานทเปนทางการ และแบบไมเปนทางการเปนสงทงายเขาทงหลายชอบวธการทงาย วธทดทอางองตาแหนงทเปนประเดนคอเตรยมใหเพยงแคทางเดยว ทางทปลอดภยการผสมผสานความปลอดภย ความสามารถ เพมการอบรม ความตระหนกและทาใหแนใจเสถยรภาพของการควบคมทงหมด รบผดชอบตอความปลอดภยของสารสนเทศ อนญาตใหผใชใชคามาตรฐานเพอใหงาย วธการใชสะดวกมากกวา ซงหลกเลยงทจะนามาสความเสยหาย สรป
ความปลอดภยของขอมลมหนาทสาคญ 4 อยางคอ การปองกนการทางานของระบบตางๆในองคกร ปกปองการดาเนนงานของโปรแกรมใหปลอดภย การปองกนขอมลทองคกรใชและเกบรวบรวม ปกปองทรพยสนเทคโนโลยในองคกร
การจดการเกยวกบความปลอดภยของขอมล ตองรวาภยคกคามนนมผลกระทบกบคน โปรแกรม ขอมลและระบบสารสนเทศอยางไร
ภยคกคามหรออนตรายทกระทบกบพนกงาน ขอมล และระบบขององคกร แบงได 12 ประเภท ขอผดพลาดจากการกระทาของมนษย การละเมดทรพยสนทางปญญา การบกรก การกรรโชกขอมลสารสนเทศ การกอวนาศกรรมหรอการทาลาย การโจรกรรม การโจมตซอฟตแวร ภยธรรมชาต คณภาพของบรการ ความลมเหลวหรอขอผดพลาดทางเทคนคของฮารดแวร ความลมเหลวหรอขอผดพลาดทางเทคนคของซอฟตแวร เทคโนโลยลาสมย
การโจมตทไดผล คอทากบระบบทมไมมนคง ถาสามารถโจมตไดสาเรจจะทาความเสยหาย หรอ ขโมยขอมลสารสนเทศ หรอ ทรพยสนขององคกรได องคกรตองคนหาจดออนของระบบควบคม สงใดบางทหนวยควบคมไมแสดงผล หรอ ไมมประสทธภาพ
34
การประกนซอฟตแวร (SA) กาหนดระเบยบเกยวกบความปลอดภยของคอมพวเตอร และกาหนดกจกรรมทมสวนในการสรางระบบทมความปลอดภย
ขนตอนการพฒนาซอฟตแวรทไมด มสวนสาคญตอการเกดความเสยง แตดวยการพฒนาทดนนมหลกปฏบตดงน การเปลยนตวควบคม และการประกนคณภาพของกระบวนการ เปนการประกนคณภาพซอฟตแวรท งหมด เพอประสทธภาพความปลอดภยของซอฟตแวรทเพมขนตอเนอง
*******************************************************************************
35
บรรณานกรม Whitman, M. E & Mattord, H. J. Principles of Information Security. (3rd ed.). USA:Course Technology. Anderson, James P. 1980. "Computer Security Threat Monitoring and Surveillance".
James P. Anderson Co., Fort Washington, Pennsylvania
Bace, Rebecca and Mell, Peter. (2001). “Intrusion Detection Systems(IDS)”. NIST Computer Security
Special Publication. (online). http://csrc.nist.gov/publications/nistpubs/800-31/sp800-31.pdf Price, Katherine. 1998. “Characteristics of a Good Intrusion Detection System” COAST. (online).
http://www.cerias.purdue.edu/about/history/coast_resources/idcontent/detection.html SANS Institute. (2001). “NSA Glossary of Terms Used in Security and Intrusion Detection”. (online). http://www.sans.org/newlook/resources/glossary.htm Supachoke Sukkasame. (2005). “การวเคราะหขอมลกจกรรมของระบบเพอตรวจจบการบกรก”. A Thesis
Submitted in Partial Fulfillment of the Requirements for the Degree of Master of Science in Computer Science Prince of Songkla University ThaiCERT. (2001). “ระบบตรวจจบการบกรก (Intrusion Detection System)”. (online). http://www.thaicert.org/paper/ids/ids.php http://www.movestation.org/forum/viewthread.php?tid=726 http://pclab.nectec.or.th/Documents/Support/Article/Malware.pdf http://elearning.su.ac.th/~elearn/Doc/Malware.pdf http://www.issp.co.th/2006/article_01.html http://support.activemedia.co.th/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=27 http://www.acisonline.net/article_prinya_malware.htm A.Pinya Hom-anek, GCFW, CISSP, CISA ACIS Professional Team บญญต 10 ประการ สาหรบการปราบ Malware ตางๆ ในองคกร
