เส้นคั่น

เส้นคั่น

วันอังคารที่ 13 มกราคม พ.ศ. 2558

CH_04 ภัยคุกคาม ช่องโหว่ และการโจมตี

CH_04 ภัยคุกคาม ช่องโหว่ และการโจมตี

ภัยคุกคาม (Threats)
ภัยคุกคาม (Threat) คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่เป็นตัวแทนของการกระทำอันตรายต่อทรัพย์สิน [E. Whitman, J. Mattord, 2005]
ภัยคุกคามนั้นมีหลายประเภท ถูกจัดเป็นหลายกลุ่ม บางกลุ่มเป็นภัยคุกคามที่ถูกทำให้เกิดขึ้นโดยเจตนา บางกลุ่มถูกทำให้เกิดขึ้นโดยไม่เจตนา หรืออาจเกิดจากภัยธรรมชาติ หรืออาจเกิดจากผู้ใช้ในองค์กรเอง ทีมงานความมั่นคงปลอดภัยของสารสนเทศ มีหน้าที่ในการระบุภัยคุกคามสำคัญที่อาจสร้างความเสียหายแก่องค์กรได้ แต่ทีมงานควรทราบก่อนว่า ภัยคุกคามที่สามารถทำลายช่องโหว่ (Vulnerability) ได้เท่านั้น จึงจะสามารถสร้างความเสียหายแก่ระบบได้ และจะจัดว่าภัยคุกคามดังกล่าวเป็นความเสี่ยง (Risk) ที่อาจสร้างความเสียหายแก่สารสนเทศได้ในที่สุด

ประเภทของภัยคุกคาม             
1.       ความผิดพลาดที่เกิดจากบุคคล (Human Error/Failure)

-          - อุบัติเหตุ ความเข้าใจผิดของพนักงาน       
2.       ภัยร้ายต่อทรัพย์สินทางปัญญา (Compromises to Intellectual Property)
-         -  การละเมิดลิขสิทธิ์
3.       การจารกรรมหรือการรุกล้ำ (Espionage or Trespass)
-         -  การเข้าถึงหรือการรวบรวมข้อมูลโดยไม่ได้รับอนุญาต
4.       การกรรโชกสารสนเทศ (Information Extortion)
-        -  การ Blackmail, การเผยแพร่สารสนเทศที่เป็นความลับ
5.       การทำลายหรือทำให้เสียหาย (Sabotage or Vandalism)
-          - การทำลายระบบหรือสารสนเทศ
6.       การลักขโมย (Theft)
-          - การลักขโมยหรือโจรกรรมอุปกรณ์คอมพิวเตอร์หรือสารสนเทศ
7.       ซอฟต์แวร์โจมตี (Software Attack)
-         -  ไวรัส, เวิร์ม, มาโคร, DoS
8.       ภัยธรรมชาติ (Force of Nature)
-          - น้ำท่วม ไฟไหม้ แผ่นดินไหว ไฟดับ
9.       คุณภาพของบริการที่เบี่ยงเบนไป (Deviation in Quality of Service)
-          - ISP, WAN Service, Provider
10.   ความผิดพลาดทางเทคนิคด้านฮาร์ดแวร์ (Technical Hardware Failures/Errors)
-           - อุปกรณ์ทำงานผิดพลาด
11.   ความผิดพลาดทางเทคนิคด้านซอฟต์แวร์ (Technical Software Failures/Errors)
-         -  Bugs, ปัญหาของโค้ด, ลูปไม่รู้จบ
12.   ความล้าสมัยของเทคโนโลยี (Technological Obsolescence)
-          - 
เทคโนโลยีที่ใช้อยู่บางอย่างล้าสมัยไปแล้ว


          ช่องโหว่ (Vulnerabilities)
            ช่องโหว่ (Vulnerabilities) หรือ ความล่อแหลม หมายถึง ความอ่อนแอของระบบคอมพิวเตอร์หรือระบบเครือข่าย ที่เปิดโอกาสให้สิ่งที่เป็นภัยคุกคามสามารถเข้าถึงสารสนเทศในระบบได้ ซึ่งนำไปสู่ความเสียหายแก่สารสนเทศหรือแม้แต่การทำงานของระบบ เช่น ระบบล็อกอินที่ไม่มีกลไกการตรวจสอบชื่อผู้ใช้และรหัสผ่านที่ดี ทำให้มิจฉาชีพสามารถคาดเดารหัสผ่านและลักลอบเข้าสู่ระบบโดยไม่ได้รับอนุญาตได้อย่างง่ายดาย



ตัวอย่างช่องโหว่
1.       การจัดการบัญชีรายชื่อผู้ใช้ (User Account Management Process) ไม่มีประสิทธิภาพ
2.       Software Bugs
      Buffer Overrun เป็น Software Bug ที่เกิดขึ้นบ่อยครั้ง โดยเกิดจากโปรแกรมมีฟังก์ชันเช็คขนาดของข้อมูลที่รับเข้ามาทำงานผิดพลาด
      Boundary Condition คือ ขอบเขตค่าของตัวแปร ซึ่งหากโปรแกรมเมอร์ไม่ตรวจสอบขอบเขตค่าของตัวแปร อาจส่งผลลัพธ์ที่ผิดพลาดได้
      Calculation Error คือ การที่ซอฟต์แวร์ทำงานผิดพลาดในฟังก์ชันการคำนวณ
3.       ไม่เคย Update Patch ของระบบปฏิบัติการ
4.       ไม่มีการอัพเดท Anti Virus อย่างสม่ำเสมอ



      การโจมตี (Attack)
           การโจมตี (Attack) คือ การกระทำบางอย่างที่อาศัยความได้เปรียบจากช่องโหว่ของระบบ เพื่อเข้าควบคุมการทำงานของระบบ เพื่อให้ระบบเกิดความเสียหาย หรือเพื่อโจรกรรมสารสนเทศ
ประเภทของการโจมตี
1.       Malware คือ ซอฟต์แวร์หรือโปรแกรมที่มุ่งร้ายต่อเป้าหมาย ถูกออกแบบมาให้ทำหน้าที่สร้างความเสียหาย ทำลาย หรือระงับการให้บริการของระบบเป้าหมาย Malware แบ่งเป็นหลายประเภท ได้แก่
2.       การเจาะรหัสผ่าน (Password Cracking) คือ การบุกรุกเข้าไปในระบบคอมพิวเตอร์ของผู้ใช้ใดๆ โดยหากเป็น Password Cracking จะเป็นการบุกรุกโดยใช้วิธีเจาะรหัสผ่าน เริ่มต้นจากคัดลอกไฟล์ SAM (Security Account Manager) ซึ่งเป็นไฟล์ที่ใช้เก็บรหัสผ่านของผู้ใช้ในรูปแบบที่ถูกเข้ารหัส (Encrypt) แล้ว จากนั้นผู้บุกรุกจะทำการถอดรหัส (Decrypt) ด้วยอัลกอริธึมถอดรหัสชนิดต่างๆ จนกว่าจะได้รหัสผ่านที่ถูกต้อง ก็จะสามารถเข้าใช้ระบบได้
3.       Brute Force Attack เป็นการพยายามคาดเดารหัสผ่าน โดยการนำคีย์ที่เป็นไปได้ทั้งหมดมาจัดหมู่ (Combination) ดังนั้น การคาดเดารหัสผ่านในลักษณะนี้จึงเป็นการคำนวณซ้ำหลายๆ รอบ เพื่อให้ได้กลุ่มรหัสผ่านที่ถูกต้อง จึงได้มีการพัฒนาโปรแกรมโจมตีชนิด Brute Force ขึ้นมาใช้งาน
4.       Dictionary Attack เป็นการโจมตีแบบ Brute Force อีกรูปแบบหนึ่ง ที่คาดเดารหัสผ่านจากขอบเขตที่แคบลง นั่นคือคาดเดาจากคำในพจนานุกรม
5.       ปฏิเสธการให้บริการ (Denial-of-Service) เป็นการโจมตีโดยใช้วิธีส่งข้อมูลจำนวนมากไปยังเป้าหมาย ทำให้แบนวิดธ์เต็มจนไม่สามารถให้บริการต่อไปได้
6.       Spoofing คือ เทคนิคที่ทำให้เข้าถึงระบบเป้าหมายที่ไม่ได้รับอนุญาตได้โดยใช้ IP Address ของ Server/Host ที่เชื่อถือได้เป็นตัวหลอกล่อ
7.       Sniffer เป็นโปรแกรมหรืออุปกรณ์ที่สามารถอ่าน ติดตาม และดักจับข้อมูลที่วิ่งอยู่ในเครือข่ายได้ นอกจากนี้ ยังสามารถอ่าน Packet ในเครือข่ายได้เช่นกัน
8.       Social Engineering หรือ วิศวกรรมทางสังคมคือ การใช้ทักษะทางสังคมในการหลอกลวงเหยื่อให้เปิดเผยข้อมูลส่วนตัวหรือข้อมูลที่เป็นความลับ เพื่อนำไปใช้ประโยชน์ในทางที่ผิดหรือขัดต่อกฎหมาย
9.       Phishing คือ การทำลิงค์หรือหน้าเว็บเพจปลอม เพื่อหลอกขอข้อมูลสำคัญของเหยื่อ เช่น หลอกขอชื่อผู้ใช้และรหัสผ่าน
10.   TCP Hijacking Attack หรือ “Man-in-the-Middle” เป็นการโจมตีที่ผู้โจมตีจะใช้วิธีคอยติดตาม Packet จากเครือข่าย จากนั้นดักจับ Packet ดังกล่าวมาทำการดัดแปลงให้เป็นของตน (แต่ยังแสดงให้เห็นว่าเป็น Packet ของผู้ส่งเดิม) แล้วส่งกลับไปยังเครือข่ายเหมือนเดิม เมื่อฝั่งรับได้รับ Packet ข้อมูลแล้วก็กระทำการใดๆ ต่อโดยไม่ทราบว่า Packet ที่ได้รับมานั้นถูกสลับ    สับเปลี่ยนเจ้าของ Packet เรียบร้อยแล้ว
11.   Spam เป็นการใช้อีเมล์เพื่อการโฆษณาหรือประชาสัมพันธ์สินค้าและบริการต่างๆ ซึ่งอาจสร้างความรำคาญให้กับผู้ใช้ ในบางครั้งอาจมีการแนบ Virus และ Worm มากับอีเมล์ด้วย


วิเคราะห์คลิปวีดีโอ “ไวรัสคอมพิวเตอร์”

           คอมพิวเตอร์ที่เราใช้อยู่ควรมีโปรแกรมแอนตี้ไวรัสไว้เพื่อคอยตรวจจับโปรแกรมที่แปลกปลอม และแฝงตัวมาในรูปแบบต่างๆอาจจะเป็นไฟล์รูปภาพ  สื่อโฆษณาต่างๆ หรืออีเมล์ บนการใช้งานของอินเทอร์เน็ต เพื่อให้คอมพิวเตอร์ของเราปลอดภัยจากภัยคุกคามต่างๆที่จะคอยสร้างความเสียหายให้กับคอมพิวเตอร์ของเรา
            ไวรัสก็เปรียบเสมือนเชื้อโรคที่คอยเข้ามาทำลายเครื่องคอมพิวเตอร์ของเราให้เกิดความเสียหาย ทั้งที่เข้ามาโดยที่เจตนาหรือไม่ก็ตาม ไวรัสมีหลายประเภท เช่น
-          - โทรจัน จะถูกแนบมากับคีการ์ด อีเมล์  หรือโปรแกรมที่ให้โหลดบนเว็บใต้ดิน
-          - หนอนหรือเวิร์ม  ลักษณะการแพร่กระจายคล้ายตัวหนอนที่เจาะไชไปยังเครื่องคอมพิวเตอร์ต่าง ๆ แพร่พันธุ์ด้วยการคัดลอกตัวเองออกเป็นหลาย ๆ โปรแกรม และส่งต่อผ่านเครือข่ายออกไป
-          - สปายแวร์ เป็นโปรแกรมที่เขียนขึ้นเพื่อใช้ในการโฆษณาซึ่งอาจจะสร้างความรำคาญให้กับเราได้ หรือบางทีจะแสดงป๊อกอัพของหน้าจอต่างๆขึ้นมาหลายๆอัน
   วิธีการดูอาการเบื้องต้นว่าเครื่องคอมพิวเตอร์ของเราติดไวรัสหรือไม่
1.เครื่องจะทำงานช้ากว่าปกติ
2.หยุดการทำงานโดยไม่ทราบสาเหตุ
3.ข้อมูลอาจสูญหายได้
4.แป้นพิมพ์ทำงานผิดปกติหรือไม่ทำงานเลย
    วิธีป้องกัน
1.หมันอัพเดทโปรแกรมแอนตี้ไวรัสอยู่เสมอๆ
2.ระมัดระวังการใช้งานอินเทอร์เน็ตให้มากขึ้น
3.หมันสแกนอุปกรณ์ หรือที่เก็บข้อมูลอยู่เสมอๆ




1 ความคิดเห็น: