แนวโน้มภัยคุกคามความมั่นคงระบบสารสนเทศปี 2553
จากความนิยมในการใช้อินเทอร์เน็ตที่เพิ่มขึ้นทั่วโลก สถิติอาชญากรรมคอมพิวเตอร์ที่มีการใช้งานอินเตอร์เน็ตเป็นสื่อกลางในการติดต่อก็มีสถิติเพิ่มขึ้นเป็นเงาตามตัวเช่นกัน เหล่าอาชญากรคอมพิวเตอร์ในปัจจุบันล้วนอาศัยช่องทางการโจมตีเหยื่อ หรือเป้าหมายผ่านทางเครือข่ายอินเทอร์เน็ต ซึ่งถือเป็นเครือข่ายสาธารณะที่เชื่อมต่อคอมพิวเตอร์ของผู้ใช้คอมพิวเตอร์กว่าพันล้านคนเข้าด้วยกัน
คำจำกัดความของภัยคุกคามสารสนเทศ
ปัจจุบันเราใช้คอมพิวเตอร์ในการจัดเก็บข้อมูลหรือสารสนเทศ ใช้ติดต่อสื่อสาร และรวมทั้งใช้ในการถ่ายโอนข้อมูลระหว่างคอมพิวเตอร์โดยอาศัยการทำงานผ่านระบบเครือข่าย ซึ่งในการใช้งานดังกล่าวยังคงมีความเสี่ยงด้านความปลอดภัยของสารสนเทศอยู่มาก หากถ้ายังไม่มีการควบคุมหรือป้องกันที่ดี การโจมตีหรือการบุกรุกเครือข่าย หมายถึง ความพยายามที่จะเข้าไปในระบบ การแก้ไขข้อมูลหรือเปลี่ยนแปลงระบบ การทำให้ระบบไม่สามารถใช้งานได้ และการทำให้ข้อมูลเป็นเท็จ สำหรับการกระทำที่อาจก่อให้เกิดความเสียหายดังกล่าวจะเรียกว่า การโจมตี (Attack) ส่วนผู้ที่เป็นเหตุให้เกิดเหตุการณ์ดังกล่าวเกิดขึ้นจะเรียกว่า ผู้โจมตี (Attacker) หรือบางที่จะเรียกว่าแฮคเกอร์ (Hacker) หรือแคร็คเกอร์ (Cracker) ก็ได้โดยบุคคลทั่วไปเข้าใจเป็นความหมายเดียวกันแต่ความเป็นจริงแล้วคำสองคำดังกล่าวมีความแตกต่างกันอย่างมาก ซึ่งจะอธิบายต่อไป
ภัยคุกคาม (Threat) หมายถึง สิ่งที่อาจก่อให้เกิดความเสียหายต่อคุณสมบัติของข้อมูลด้านใดด้านหนึ่งหรือมากกว่าหนึ่งด้าน อาจเกิดจากธรรมชาติหรือตัวบุคคลผู้เกี่ยวข้องไม่ว่าจะเกิดด้วยความตั้งใจหรือไม่ก็ตาม ภัยคุกคามนั้นอาจไม่เกิดขึ้นเลยก็ได้ถ้ามีการป้องกันที่ดี หรือถ้าเรามีการเตรียมการที่ดีเมื่อมีเหตุการณ์เกิดขึ้นก็จะช่วยลดความเสียหายได้ การพิจารณาความเป็นไปได้ของการเกิดภัยคุกคามจึงต้องพิจารณาจากแหล่งกำเนิดภัยคุกคาม ความอ่อนแอไม่มั่นคง และการควบคุมที่มีอยู่
ประเภทของภัยคุกคาม
การจำแนกประเภทของภัยคุกคามที่อาจเกิดขึ้นกับข้อมูลหรือสารสนเทศนั้น มีผู้แบ่งไว้หลายประการ โดยขอแบ่งประเภทของภัยคุกคามออกเป็น 2 ลักษณะ คือภัยคุกคามที่เกิดขึ้นกับระบบคอมพิวเตอร์หรือระบบเครือข่าย และภัยคุกคามที่เกิดขึ้นกับข้อมูลหรือสารสนเทศ
1. ภัยคุกคามด้านระบบคอมพิวเตอร์หรือระบบเครือข่าย
เนื่องจากระบบคอมพิวเตอร์และระบบเครือข่าย เป็นเทคโนโลยีที่มีความทันสมัยและพัฒนาอยู่เสมอ อีกทั้งยังมีราคาแพงและที่สำคัญที่สุดระบบดังกล่าวนั้นเป็นสถานที่เก็บข้อมูลหรือสารสนเทศของเรา ฉะนั้นจำเป็นต้องดูแลรักษาระบบดังกล่าวให้เป็นอย่างดี เนื่องจากหากเกิดปัญหาขึ้นจะทำให้ข้อมูลหรือสารสนเทศของเราเสียหายตามไปด้วย โดยสามารถแบ่งประเภทของภัยคุกคามที่เกิดขึ้นกับระบบคอมพิวเตอร์และเครือข่ายนั้น ได้ 2 ประเภท
1.1 ภัยคุกคามทางตรรกะ (Logical)
คือ ภัยคุกคามที่เกิดขึ้นนั้นจะมุ่งเน้นไปทางด้านข้อมูลหรือสารสนเทศ ไม่ว่าจะเป็นการเข้าใช้ระบบคอมพิวเตอร์โดยได้รับอนุญาตหรือไม่ได้รับอนุญาตก็ตาม อาจกระทำการขัดขวางไม่ให้ระบบคอมพิวเตอร์ทำงานได้ตามปกติ และอาจเข้าใช้ข้อมูล ลบข้อมูล และแก้ไขข้อมูลโดยไม่ได้รับอนุญาต ซึ่งการกระทำดังกล่าวนั้น ส่วนใหญ่เกิดจากฝีมือของผู้ใช้งานคอมพิวเตอร์แทบทั้งสิ้น
1.2 ภัยคุกคามทางกายภาพ (Physical)
คือ ภัยคุกคามลักษณะนี้มุ่งสร้างเน้นอุปกรณ์ประเภทฮาร์ดแวร์ ที่ใช้ในระบบคอมพิวเตอร์และระบบเครือข่าย เช่น ทำให้ฮาร์ดดิสก์เสีย ทำให้คอมพิวเตอร์ทำงานผิดพลาด โดยส่วนใหญ่แล้วจะเกิด ภัยจากธรรมชาติ อาจเป็นน้ำท่วม ไฟไหม้ ฟ้าฝ่า เป็นต้น และบางครั้งเกิดจากการกระทำของมนุษย์ที่ทำความเสียหายให้กับตัวเครื่องและอุปกรณ์ ทั้งโดยเจตนาและไม่เจตนา
2. ภัยคุกคามด้านข้อมูลหรือสารสนเทศ
ผู้ใช้คอมพิวเตอร์ไม่ว่าจะเป็นบุคคลธรรมดา หรือบุคคลผู้ใช้งานคอมพิวเตอร์ในองค์กรต่างก็มีข้อมูลหรือสารสนเทศที่จำเป็นต้องเก็บรักษาไว้ ซึ่งมีทั้งข้อมูลที่สามารถเปิดเผยและข้อมูลที่ไม่สามารถเปิดเผยได้ ซึ่งถือว่าเป็นความลับของผู้ใช้งานคอมพิวเตอร์เองหรือความลับขององค์กรดังกล่าว จำเป็นอย่างยิ่งที่ต้องมีการป้องกันรักษาความปลอดภัยของข้อมูลดังกล่าว แต่อย่างไรก็ตามเราไม่สามารถแน่ใจได้เลยว่าข้อมูลของเราจะปลอดภัยร้อยเปอร์เซ็นต์ได้ตลอดไป
การบ่งชี้ภัยคุกคาม (Threat Identification)
การบ่งชี้แหล่งกำเนิดภัยคุกคาม (Threat-Source Identification) เป้าหมายของขั้นตอนนี้คือ ระบุแหล่งกำเนิดของภัยคุกคามและประมวลผลเป็นรายชื่อภัยคุกคามที่มีผลต่อระบบข้อมูลสารสนเทศเพื่อนำมาใช้ในการประเมิน แหล่งกำเนิดของภัยคุกคามโดยทั่วไปสามารถแบ่งออกเป็น 3 ประเภทดังนี้
ประเภทแรก ภัยคุกคามโดยธรรมชาติ (Natural Threats) เช่น น้ำท่วม แผ่นดินไหว พายุ เป็นต้น
ประเภทสอง ภัยคุกคามโดยมนุษย์ (Human Threats) ทั้งการกระทำที่เกิดจากความไม่ตั้งใจและการกระทำผิดโดยเจตนา
ประเภทสาม ภัยคุกคามจากสภาพแวดล้อม (Environment Threats) เช่น ระบบไฟฟ้าขัดข้อง, มลภาวะ, สารเคมีรั่วไหล เป็นต้น
ปฏิกิริยาแรงกระตุ้นและการคุกคาม (Motivation and Threat Actions) แรงกระตุ้นและแหล่งกำเนิดที่นำมาซึ่งการจู่โจมทำให้มนุษย์ได้รับอันตราย ข้อมูลข่าวสารจะเป็นประโยชน์ต่อองค์กรที่มีการศึกษาสภาพแวดล้อมซึ่งเป็นภัยคุกคามต่อพนักงานและสามารถจัดประเภทของภัยคุกคามนั้นได้ นอกจากนี้การศึกษาข้อมูลในอดีตของระบบเช่น ข้อมูลของปัญหา รายงานระบบรักษาความปลอดภัย และบทสัมภาษณ์ผู้ดูแลระบบ ยังช่วยให้สามารถระบุแหล่งกำเนิดของภัยคุกคามที่ก่อให้เกิดอันตรายต่อระบบข้อมูลอีกด้วย
การบ่งชี้ความไม่มั่นคง (Vulnerability Identification)
การวิเคราะห์ภัยคุกคามที่มีต่อระบบข้อมูลสารสนเทศ ต้องมีการวิเคราะห์ความอ่อนแอไม่มั่นคงของสภาพแวดล้อมของระบบ เป้าหมายของขั้นตอนนี้คือการพัฒนารายการความไม่มั่นคงของระบบที่ทำให้ระบบมีโอกาสได้รับภัยคุกคาม ตัวอย่างความไม่มั่นคงของระบบซึ่งก่อให้เกิดภัยคุกคามแสดงดังตารางที่ 1
ตารางที่ 1 แสดงตัวอย่างความไม่มั่นคงของระบบ
ความไม่มั่นคง
(Vulnerability) แหล่งกำเนิดภัยคุกคาม
(Threat-Source) ปฏิกิริยาภัยคุกคาม
(Threat-Action)
ไม่มีการลบข้อมูลของพนักงานที่ออกจากบริษัทไปแล้วจากระบบ พนักงานที่หมดสภาพการเป็นพนักงานของบริษัท การแอบเข้ามาดึงข้อมูลสำคัญของบริษัทโดยการต่อโมเดมเข้ามาในบริษัท
ไฟร์วอล (Firewall) ของบริษัทอนุญาตให้มีการ telnet จากนอกองค์กรได้ และการอนุญาตให้รหัสผู้ใช้ทั่วไป (Guest ID) เข้าใช้เครื่องเซิร์ฟเวอร์ได้
ผู้ใช้ที่ไม่ได้รับอนุญาตเช่น นักเจาะระบบ, พนักงานที่หมดสภาพการเป็นพนักงานของบริษัท การ Telnet เข้ามายังเครื่องเซิร์ฟเวอร์ และการเข้าใช้ข้อมูลด้วยรหัสผู้ใช้ทั่วไป
ศูนย์กลางข้อมูลใช้ระบบพ่นน้ำเพื่อป้องกันไฟไหม้ แต่ไม่มีอุปกรณ์กันน้ำสำหรับอุปกรณ์ไฟฟ้าและเอกสารข้อมูลต่างๆ ไฟ, บุคคลที่เพิกเฉยไม่ให้ความใส่ใจ ระบบน้ำฉีดพ่นทำงานเมื่อเกิดไฟไหม้
ภัยคุกคามการรักษาความปลอดภัยระบบสารสนเทศ
เราจะมาพิจารณาดูกันถึงภัยคุกคามต่างๆที่อาจเกิดขึ้นได้กับข้อมูลหรือสารสนเทศ เพื่อได้รับทราบและเตรียมกันป้องกันได้อย่างถูกต้อง
สามารถแบ่งประเภทภัยคุกคามออกได้เป็นหมวดหมู่ได้ 12 หมวดหมู่ ซึ่งเป็นภัยคุกคามที่สร้างความเสียหายต่อพนักงาน ข้อมูลและระบบขององค์กร ทั้งนี้แต่ละองค์กรจะต้องจัดลำดับภัยคุกคามที่ต้องเผชิญ โดยเฉพาะกำหนดกลยุทธ์ความปลอดภัยในการกำจัดความเสี่ยง และแสดงระดับการจัดการทรัพย์สิน
1. ข้อผิดพลาดจากการกระทำของมนุษย์ (Acts of human error or failure)
มีการกระทำโดยเจตนา หรือ มีเจตนามุ่งร้ายโดยผู้ใช้ที่มีสิทธิเข้าใช้ระบบ เมื่อผู้ใช้ระบบทำงานผิดพลาด เนื่องจากขาดความชำนาญ ขาดการฝึกอบรม และการสันนิษฐานไม่ถูกต้อง สิ่งเล็กน้อยเหล่านี้สามารถสร้างความเสียหายอย่างมาก
การคุกคามที่อันตรายที่สุดต่อความปลอดภัยของข้อมูลองค์กร คือ พนักงานขององค์กรเอง เพราะพนักงานใช้ข้อมูลในการดำเนินกิจกรรมทางธุรกิจขององค์กรทุกวัน สิ่งที่พนักงานจะต้องปฏิบัติอย่างเคร่งครัดคือ การรักษาความลับของข้อมูล ข้อมูลมีความถูกต้องครบถ้วน และข้อมูลพร้อมใช้งานได้ทุกเมื่อ รูปต่อไปเป็นการแนะนำเกี่ยวกับการคุกคามจากภายนอก เพราะความผิดพลาดเพียงเล็กน้อยของพนักงาน เช่น ไม่ได้ปิดประตูหน้าต่างทำให้หัวขโมยเข้ามาในองค์กรได้ การลบหรือแก้ไขข้อมูลที่เป็นเอกสารสำคัญ
2. การละเมิดทรัพย์สินทางปัญญา (Compromises to intellectual property)
ทรัพย์สินทางปญัญา (IP) เป็นส่วนหนึ่งของการดำเนินธุรกิจ ซึ่งทรัพย์สินทางปญัญา เป็นผลงานของผู้ที่เป็นเจ้าของความคิด และเป็นทรัพย์อีกชนิดหนึ่ง ได้แก่ ลิขสิทธิ เครื่องหมายการค้าและสิทธิบัตร คุณสมบัติของทรัพย์สินทางปญัญาอย่างหนึ่งคือ มีการระบุรหัสบ่งชี้ไว้อย่างเหมาะสม
บ่อยครั้งที่องค์ซื้อหรือทำสัญญาเช่าทรัพย์สินทางปัญญาจากองค์กรอื่น ต้องปฏิบัติตามข้อตกลงที่ได้ทำไว้เพื่อความยุติธรรมและความรับผิดชอบในการนำไปใช้ ส่วนใหญ่การละเมิดทรัพย์สินทางปญั ญาจะเป็นการทำสำเนาซอฟต์แวร์ที่มีลิขสิทธิ ซึ่งเป็นการกระทำที่ผิดกฎหมาย
ผู้ผลิตซอฟต์แวร์ใช้เทคนิควิธีในการควบคุม เพื่อป้องกันการละเมิดลิขสิทธิซอฟต์แวร์ นอกเหนือจากกฎหมายต่อต้านการละเมิดลิขสิทธิซอฟต์แวร์ ยังมี 2 องค์กร ที่คอยเฝ้าระวังการละเมิดลิขสิทธิ คือ SIIA, BSA เมื่อเร็วๆ BSA สำรวจเมื่อเดือนพฤษภาคม 2006 เปิดเผยว่าเศษหนึ่งส่วนสามของซอฟต์แวร์ที่ใช้ในโลกเป็นซอฟต์แวร์ที่ละเมิดลิขสิทธิ องค์กรเหล่านี้แสดงรายละเอียด และวิธีปฏิบัติ เพื่อป้องกันการละเมิดสิทธิในทรัพย์สินทางปัญญา และมีเทคนิควิธีจำนวนมากที่ใช้ตรวจสอบ เช่น ลายน้ำดิจิตอล การฝงัรหัสลิขสิทธิ เป็นเจตนาทำให้เกิด bad sectors บนสื่อที่บรรจุซอฟต์แวร์เพื่อให้มีการปฏิบัติตามกฏหมายลิขสิทธิ
3. การบุกรุก (Deliberate Acts of Trespass)
การบุกรุกจากภายนอกเป็นสิ่งที่ได้รับการกล่าวถึงอย่างมาก ทัง้ในรูปแบบที่เป็นอิเล็คทรอนิกส์และกระทำโดยคนที่สามารถเข้าถึงข้อมูลที่เป็นความลับ เมื่อมีบุคคลที่ไม่ได้รับอนุญาตได้ทำการรุกล้ำและพยายามเข้าถึงข้อมูลขององค์กรที่มีการป้องกัน ซึ่งพฤติกรรมดังกล่าวเป็นการบุกรุกโดยยเจตนา นักโจมตีระบบสามารถที่จะใช้วิธีการต่าง ๆ ในการเข้าถึงข้อมูลที่เก็บรักษาอยู่ภายในระบบสารสนเทศ ตัวอย่างเช่น ข้อมูลที่มีการจัดเก็บและรวบรวมโดยการใช้ Web Browser ในการทำวิจัยทางการตลาด วิธีการดังกล่าวเรียกว่า การหาข้อมูลของคู่แข่ง (Competitive Intelligence) ซึ่งถือว่าเป็นการจารกรรมข้อมูลทางอุตสาหกรรม (Industrial Espionage) เป็นการกระทำที่ผิดกฏหมาย
กลุ่มประเทศที่เป็นพันธมิตรกับทางอเมริกา จึงได้มีการจัดตั้งองค์กรต่อต้านการจารกรรมข้อมูลทางอุตสาหกรรม จะเห็นได้ว่าในนานาประเทศได้ให้ความสำคัญต่อการป้องกันภัยคุกคามและการจารกรรมข้อมูล โดยการมีส่วนร่วมอย่างจริงจังในการรักษาความปลอดภัยในระดับสากล
รูปแบบของการจารกรรมข้อมูล
Shoulder Surfing การยืนข้างหลังมองข้ามไหล่ เป็นรูปแบบการจารกรรมข้อมูลแบบธรรมดาที่ไม่มีการใช้เทคโนโลยีใด ๆ มาช่วย คือ การแอบดูหรือจำข้อมูลที่เป็นความลับของผู้อื่น เช่น การแอบดูรหัสผ่านของบัตร ATM ขณะที่ทำการทำรายการ, รหัสในการเข้าใช้งานระบบคอมพิวเตอร์ของบุคคลอื่น, รหัสผ่านของเครื่องโทรศัพท์ขณะที่มีการทำรายการผ่านทางโทรศัพท์ เป็นต้น โดยปกติไม่ได้มีการเขียนเป็นข้อบังคับหรือข้อห้ามโดยชัดเจนในการแอบดูข้อมูลความเป็นส่วนตัวของผู้อื่น เนื่องจากถือเป็นมรรยาทที่ทุกคนควรปฏิบัติโดยปกติอยู่แล้ว ดังนั้นเจ้าของข้อมูลที่เป็นส่วนตัวจะต้องป้องกันตนเองเป็นอันดับแรกจากภัยคุกคามในรูปแบบนี้
Hacker คือ บุคคลที่มีความสนใจใคร่รู้ลึกลงไปในความลับและความซับซ้อนของการทำงานของคอมพิวเตอร์ โดยเฉพาะระบบปฏิบัติการและซอฟต์แวร์ต่างๆ และส่วนใหญ่จะเป็นโปรแกรมเมอร์ฝีมือดีด้วย อาจกล่าวได้ว่าบุคคลประเภทนี้ เป็นผู้มีความรูลึกซึ้งในเรื่องระบบปฏิบัติการและการเขียนโปรแกรม รู้ช่องโหว่ต่างๆ และรู้ไปถึงต้นเหตุของช่องโหว่เหล่านั้นในระบบ แฮกเกอร์เป็นผู้ที่มีความใฝ่หาความรู้อยู่ตลอดเวลา และยินดีถ่ายทอดความรู้ที่มีอยู่อย่าง ไม่หวงและไม่มีเจตนาทำความเสียหายให้กับข้อมูลหรือระบบแม้แต่นิดเดียว
แฮกเกอร์มักจะแอบเข้าใช้งานระบบคอมพิวเตอร์หรือข้อมูลของหน่วยงานหรือองค์กรอื่น โดยมิได้รับอนุญาต แต่ไม่มีประสงค์ร้าย หรือไม่มีเจตนาที่จะสร้างความเสียหายหรือสร้างความเดือดร้อนให้แก่ใครทั้งสิ้น แต่เหตุผลที่ทำเช่นนั้นอาจเป็นเพราะต้องการทดสอบความรู้ความสามารถของตนเองเป็นสำคัญ
วิวัฒนาการของ Hacker (Hacker profiles)
ในยุคแรก ๆ Hacker ส่วนมากจะเป็นเพศชาย มีอายุระหว่าง 13-18 ปี ซึ่งขาดการดูแลเอาใจใส่จากผู้ปกครอง และใช้เวลาส่วนใหญ่อยู่กับการใช้เครื่องคอมพิวเตอร์
ในปัจจุบัน Hacker จะไม่มีการจำกัดเพศ และมีช่วงอายุที่เปลี่ยนไปคือ ระหว่าง 12-60 ปี ประวัติหรือภูมิหลังไม่เป็นที่รู้จัก เนื่องจากความเปลี่ยนแปลงทางเทคโนโลยี ระดับความรู้ต่าง ๆ และ Hacker อาจจะเป็นบุคคลจากภายในหรือภายนอกองค์กรก็ได้
ประเภทของ Hacker ตามระดับความสามารถ แบ่งได้ออกเป็น 2 กลุ่ม คือ
1. Expert Hacker หรือ Elite Hacker
2. Novice Hacker หรือ Unskilled Hacker
Expert Hacker ส่วนใหญ่จะเป็นผู้ที่มีทักษะขัน้ สูงในการเขียนโปรแกรมได้หลากหลายภาษารวมถึงความรู้เกี่ยวกับการทำงานของระบบเครือข่ายและระบบปฏิบัติการบนเครื่องคอมพิวเตอร์ และมีคุณลักษณะพิเศษคือ มีความกระตือรือร้นและทุ่มเทเวลา ในการพยายามที่จะเจาะระบบความปลอดภัยขั้นสูงของผู้อื่น ดังนั้นเมื่อกลุ่มเป้าหมายที่ถูกเลือกแล้วมีโอกาสหรือความเป็นไปได้สูงที่ระบบความปลอดภัยจะถูกบุกรุกหรือคุกคามโดย Expert Hacker ในการโจมตีหรือเจาะระบบจะมีการประกาศหรือแจ้งให้รู้โดยตรงด้วยการเขียนไว้ในโปรแกรมที่ใช้ในการบุกรุกระบบ
Novice Hacker เป็น Hacker ที่มีความรู้หรือทักษะในการเขียนโปรแกรมจำกัดและไม่สามารถที่จะพัฒนาโปรแกรมที่เจาะระบบได้เหมือนกับ Expert Hacker จะเป็นการใช้โปรแกรม Hack สำเร็จรูปที่เขียนขึ้นโดย Expert Hacker มาเป็นเครื่องมือในการโจมตีระบบรักษาความปลอดภัยอีกทีหนึ่ง เรียกว่า Script Kiddies หรือ Packet Monkey โดยที่ Novice Hacker จะไม่สามารถทราบถึงกลไกหรือกระบวนการทำงานภายในโปรแกรม Script Kiddies จะเป็นลักษณะการโจมตีที่ก่อกวนเครือข่ายคอมพิวเตอร์เป็นส่วนใหญ่ (Denial-of-service) Novice Hacker สามารถหาโปรแกรมที่เป็นScript Kiddies โดยการ Download จาก Internet ซึ่ง Expert Hacker นำไปเผยแพร่ไว้ ในทางกลับกันผู้ดูแลรักษาความปลอดภัยของระบบก็สามารถที่จะค้นพบโปรแกรมเหล่านี้ได้เช่นกัน ทำให้เกิดนักพัฒนาโปรแกรมหรืออุปกรณ์ที่นำมาใช้ป้องกันระบบจากการโจมตีหรือการบุกรุกจากภายนอก
ในเดือนกุมภาพันธ์ ปี 2000 มี Hacker หนุ่ม ที่ใช้ชื่อว่า Mafiaboy ถูกจับเนื่องจากเข้าไปโจมตีและก่อกวนระบบเครือข่ายของ Web site โดยถูกตัดสินให้จำคุก 8 เดือน และ ถูกปรับเป็นเงิน 250 ดอลล่าร์ บริจาคให้การกุศล สาเหตุที่ทำให้ต้องถูกจับเนื่องจากไม่สามารถที่จะลบ System Logs ที่ตรวจจับการกระทำการบุกรุกของ Mafiaboy และจากการที่ได้ไปแสดงตัวหรือโอ้อวดถึงการกระทำดังกล่าวในห้องสนทนาทางอินเตอร์เน็ต
Cracker คือ บุคคลที่มีความรู้ในเรื่องของฮาร์ดแวร์และซอฟต์แวร์ มีความสามารถด้านการเขียนโปรแกรม และการใช้โปรแกรมประยุกต์ต่างๆ ได้ดี แต่นำความรู้ที่ได้ไปใช้ในทางที่ไม่ถูกต้อง โดยการแอบเข้าไปในระบบคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต โดยมีจุดประสงค์ร้ายแอบแฝงอยู่ ไม่ว่าจะเป็นการขโมยข้อมูล การทำลายข้อมูล การทำให้ผู้อื่นไม่สามารถใช้งานระบบคอมพิวเตอร์ได้ และการสร้างปัญหาอื่นๆ ให้เกิดขึ้นในระบบคอมพิวเตอร์และระบบเครือข่าย ซึ่งผลลัพธ์ที่ได้มาล้วนแล้วแต่สร้างความเดือนร้อนให้กับผู้เกี่ยวข้อง
ความหมายของ Hacker และ Cracker จะพิจารณาจากเจตนาของกระทำความผิดเป็นหลัก Hacker ไม่ได้มุ่งเน้นในการทำลายข้อมูลหรือสร้างความเสียหาย ส่วน Cracker จะมุ่งเน้นในการทำลายข้อมูลหรือสร้างความเสียหายต่าง ๆ ให้เกิดขึ้นกับระบบ และไม่ว่าจะเป็นแฮกเกอร์ (Hacker) หรือ แคร็กเกอร์ (Cracker) ถ้ามีการแอบเข้าใช้งานระบบคอมพิวเตอร์เครือข่ายของผู้อื่นโดยไม่ได้รับอนุญาต แม้ว่าจะไม่ประสงค์ร้ายก็ถือว่าเป็นการกระทำที่ไม่ดีทั้งสิ้น เพราะขาดจริยธรรมด้านคอมพิวเตอร์
Phreaker เป็นการโจมตีเครือข่ายโทรศัพท์สาธารณะทำให้สามารถใช้งานได้โดยไม่เสียค่าใช้จ่ายหรือทำให้การบริการเกิดความยุ่งเหยิงขึ้น Phreaker มีชื่อเสียงโด่งดังในปี 1970 เมื่อมีการพัฒนาอุปกรณ์ชนิดหนึ่งเรียกว่า Blue Boxes ที่สามารถใช้งานโทรศัพท์ที่ต้องจ่ายค่าบริการ โดยไม่ต้องจ่ายค่าบริการแต่อย่างใด หลังจากนั้นมีการพัฒนา Red Boxes เป็นอุปกรณ์ใช้สร้างเสียงจำลองการหยอดเหรียญในเครื่องโทรศัพท์ที่ต้องจ่ายค่าบริการ
4. การกรรโชกข้อมูลสารสนเทศ (Deliberate Acts of Information Extortion)
การขู่กรรโชกในการเปิดเผยข้อมูลที่เป็นความลับเกิดขึ้นจากการที่ข้อมูลที่เป็นความลับที่จัดเก็บอยู่ในระบบถูกขโมยไปอาจจะเป็นผู้บุกรุกจากภายนอกหรือผู้ที่มีหน้าที่ดูแลรักษาข้อมูลภายในองค์กร โดยมีการเรียกร้องค่าตอบแทนหรือค่าไถ่(Ransom) แลกกับการที่จะไม่เปิดเผยข้อมูลความลับที่ได้ขโมยมา (Black Mail) ส่วนมากจะเป็นการขู่กรรโชกข้อมูลหมายเลขบัตรเครดิตที่ได้ขโมยมา
ตัวอย่างของ Web-Base CD Universe ที่ตกเป็นเหยื่อของการขโมยแฟ้มข้อมูลที่จัดเก็บข้อมูลหมายเลขบัตรเครดิตของลูกค้า โดยผู้ที่ทำการขโมยข้อมูลเป็น Hacker ชาวรัสเซีย ชื่อ Maxus ซึ่งได้ขโมยข้อมูลบัตรเครดิตไปเป็นจำนวนหลายแสนใบ โดยบริษัท CD Universe ปฏิเสธการจ่ายเงินตามคำขู่ที่จะเปิดเผยข้อมูลความลับนี้ มูลค่า 100,000 ดอลล่าร์ นาย Maxus ได้ทำการ Post หมายเลขบัตรเครดิต ไปใน Web Site เพื่อเสนอขายข้อมูลให้กับกลุ่มคนที่ก่ออาชญากรรม ส่งผลให้ Web Siteได้รับความนิยมเป็นอย่างมากจนจะต้องจำกัดสิทธิของผู้ที่จะเข้ามาดูข้อมูลที่เสนอขาย
ตัวอย่าง เหตุการณ์ขู่กรรโชกที่เกิดขึ้นในเดือนมิถุนายน ปี 2000 เมื่อมีนักเรียนถูกกล่าวหาว่ากระทำการข่มขู่ว่าจะเปิดโปงความลับ (Online Blackmail) โดยจะทำการเปิดเผยวิธีการ Download หนังสือจากบริษัท Digital Book โดยไม่ต้องเสียค่าใช้จ่าย ยกเว้นเสียจากจะมีการจ่ายเงินให้ก้อนโต โดยในปี 2001 ได้ไปก่อคดีเดียวกันเพิ่มเติมอีก ซึ่งโทษของการข่มขูที่จะเปิดโปงความลับ (Blackmail) คือ จำคุก 2 ปี และปรับเพิ่ม 100,000 ดอลล่าร์ แต่ในกรณีของนักเรียนรายนี้โทษสูงสุดคือ จำคุก 36 ปีและ ปรับเพิ่ม 800,000 ดอลล่าร์
5. การก่อวินาศกรรมหรือการทำลาย (Deliberate Acts of Sabotage or Vandalism)
การมีส่วนร่วมในการป้องกันภัยคุกคามการก่อวินาศกรรมระบบคอมพิวเตอร์หรือธุรกิจ หรือการกลั่นแกล้งทำลายทรัพย์สินก่อให้เกิดความเสียหาย เข่น การทำลายทรัพย์สิน หรือ การทำลายภาพพจน์ที่ดีขององค์กร
การกลั่นแกล้งทำลายทรัพย์สินเล็ก ๆ น้อย ๆ โดยพนักงาน สามารถนำไปสู่เหตุการณ์การก่อวินาศกรรมต่อองค์กร ในบางครั้งการสร้างความเสียหายไม่จำเป็นต้องเป็นตัวเงินเสมอไป การโจมตีภาพพจน์ขององค์กรก็เป็นเรื่องร้ายแรงเช่นเดียวกัน การทำลาย Web Site ส่งผลกระทบต่อความเชื่อมั่นของลูกค้าทำให้ยอดขายและมูลค่าขององค์กร รวมถึงชื่อเสียงก็ลดลงเช่นกัน
ตัวอย่างเมื่อ วันที่ 13 กรกฏาคม ปี 2001 กลุ่ม Fluffi Bunni ได้ขึ้นข้อความที่หน้า Web Site ของ SANS ว่า “ท่านยังสามารถให้ความไว้วางใจคนเหล่านี้ สอนเรื่องการรักษาความปลอดภัยกับท่านได้จริงหรือ” เหตุการณ์ที่เกิดขึ้นนี้ทำให้ SANS ต้องเสื่อมเสียชื่อเสียง นับตัง้แต่ได้มีการก่อตัง้สถาบันในการจัดการ ให้ความรู้และออกเอกสารรับรองทางด้านระบบความปลอดภัย สถาบัน SANS มาจากคำว่า SysAdmin, Audit, Network, Security ซึ่งก่อตั้งขึ้นจากความร่วมมือในศึกษาค้นคว้าและฝึกฝนและรวบรวมเกี่ยวกับการรักษาความปลอดภัย
มีรายงานจำนวนนับไม่ถ้วนของนักเจาะระบบ (Hacker) ที่สามารถเข้าไปในระบบและทำความเสียหายหรือทำลายข้อมูลที่จำเป็น ในกรณีของ Web Site รายงานเกี่ยวกับการเจาะระบบและแลกเปลี่ยนข่าวกรอง ได้ถูกเจาะเข้าในระบบ ผลกระทบที่เกิดขึ้นคือจำนวนรายงานการเจาะระบบเพิ่มขึ้นอย่างมหาศาล จนทำให้Attrition.com ต้องระงับการแจ้งบัญชีรายชื่อใน Web Site ทั้งหมด โดยเปลี่ยนเป็นวิธีรับอาสาสมัครมาทำการปรับปรุงข้อมูลบน Web แทนการแจ้งผ่านหน้า Web Site
ผู้เชี่ยวชาญด้านความปลอดภัย ได้ออกมาประกาศเตือนเกี่ยวกับการทำลายการเชื่อมต่อเครือข่าย Internet ในรูปแบบอื่น คือ ปฏิบัติการ Hactivist หรือ Cyberactivist ซึ่งจะเป็นการแทรกแซงหรือทำให้ระบบเกิดความสับสน โดยปฏิเสธในการปฏิบัติตามนโยบายและการกระทำที่กำหนดโดยองค์กร หรือ หน่วยงานรัฐบาล
ความน่ากลัวอย่างที่สุดคือ ลักธิก่อการร้ายทางอินเตอร์เน็ต (Cyberterrorism) ผู้ก่อการร้ายทางอินเตอร์เน็ตจะทำการเจาะเข้าในระบบจากนั้นจะปฏิบัติการก่อการร้ายโดยผ่านทางเครือข่ายหรือใช้เส้นทางของอินเตอร์เน็ต สหรัฐอเมริการและรัฐบาลของนานาประเทศกำลังร่วมกันพัฒนาเครื่องมือรักษาความปลอดภัย โดยมุ่งมัน่ ที่จะป้องกันคอมพิวเตอร์ที่จำเป็น เครือข่ายการติดต่อสื่อสาร และโครงสร้างพื้นฐานทางกายภาพและด้านพลังงาน
ลัทธิก่อการร้ายทางอินเตอร์เน็ต ได้ปรากฏออกมาในช่วงระหว่างสงครามในโคโซโว บนหน้า Web site ของ NATO เป็นความพยายามของผู้สังเกตการณ์บางส่วน นำเอาสถานะของลักธิก่อการร้ายทางอินเตอร์เน็ตที่ไม่ได้ทำการคุกคามจริง เพื่อหันเหความสนใจจากการออกประกาศบังคับใช้การรักษาความปลอดภัยสารสนเทศให้เป็นรูปธรรม
จากบันทึกของ Dr. Mudawi Mukhtar Elmusharaf ศูนย์วิจัยด้านการก่ออาชญากรรมทางคอมพิวเตอร์ (Computer Crime Reserch Center เมื่อวันที่ 21 ตุลาคม 2002 เกี่ยวกับการพุ่งโจมตีของ DDOS (Distributed Denial-of-service) ไปยัง 13 เซิร์ฟเวอร์หลัก ที่ทำหน้าที่จัดเส้นทางของการติดต่อของอินเตอร์เน็ตทัง้หมด โดยจำนวน 9 ใน 13 เซิร์ฟเวอร์ การจราจรของเครือข่ายเต็มหมดทำให้การทำงานของเครื่องช้าลง ปัญหาที่เกิดขึ้นได้รับการแก้ไขในระยะเวลาอันสัน้ แต่สถิติการโจมตีและผลที่เกิดขึ้นไม่ได้มีการประกาศออกไปให้ผู้ใช้อินเตอร์เน็ตส่วนใหญ่ได้ทราบข่าวดังกล่าว
6. การโจรกรรม (Deliberate Acts of Theft)
การคุกคามโดยการโจรกรรม จากบุคคลที่ได้มีการไตร่ตรองไว้ล่วงหน้า โดยมีเจตนายึดทรัพย์สินของผู้อื่นไปครอบครองโดยผิดกฏหมาย ซึ่งภายในองค์กรสามารถถูกโจรกรรมทรัพย์สินดังต่อไปนี้
ทรัพย์สินทางกายภาพ (Physical Property) เช่น เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ เป็นต้น
แนวทางการป้องกัน
• การตรวจนับจำนวนทรัพย์สินสม่ำเสมอ
• ทำการล็อคประตูและมีการจัดอบรมเจ้าหน้าที่ด้านความปลอดภัย
• ติดตั้งระบบสัญญาณเตือนภัย
ทรัพย์สินทางอิเล็กทรอนิกส์ (Electronic Property) มีความซับซ้อนในการจัดการและควบคุม ซึ่งเป็นปัญหาขององค์กร ซึ่งต่างจากการโจรกรรมทรัพย์สินทางกายภาพสามารถตรวจพบได้ง่ายกว่า เมื่อทรัพย์สินทางอิเล็กทรอนิกส์ถูกขโมยไป องค์กรส่วนใหญ่จะทราบว่าทรัพย์สินถูกโจรกรรมมักจะสายเกินไป เนื่องจากนักโจรกรรมได้ทำการปกปิดร่องรอยการกระทำความผิดอย่างระมัดระวัง
ทรัพย์สินทางปัญญา (Intellectual Property) มูลค่าของข้อมูลจะลดน้อยลง ถ้าถูกขโมยไปโดยปราศจากความรู้ของเจ้าของทรัพย์สิน
7. การโจมตีซอฟต์แวร์ (Deliberate Software Attacks)
การโจมตีซอฟต์แวร์ เกิดขึ้นโดยการออกแบบซอฟต์แวร์ให้โจมตีระบบจากคนๆ เดียวหรือจากกลุ่มคนมีซอฟต์แวร์ที่ก่อความเสียหาย ทำลาย หรือ ปฏิเสธการบริการของระบบเป้าหมาย ซอพต์แวร์ที่ได้รับความนิยมคือ Malicious Code หรือ Malicious Software มักจะเรียกว่า มัลแวร์ (Malware) มีมากมาย อาทิ ไวรัส (Viruses) เวิร์ม (Worms) ม้าโทรจัน (Trojan Horses) Logic bombs และ ประตูหลัง (Back doors)
เรื่องราวของการโจมตีซอฟท์แวร์ที่โด่งดังโดยเฉพาะผลกระทบของ Malicious Code โดยใช้วิธีโจมตีระบบจนทำให้เครื่องไม่สามารถให้บริการได้ตามปกติ (Denial-of-Service) โดย Mafiaboy บน Web site Amazon.com, CNN.com, Etrade.com, ebay.com, Yahoo.com, Excite.com, และ Dell.com โดยใช้เวลาในการโจมตีประมาณ 4 ชั่วโมง มีรายงานว่าความเสียหายทำให้สูญเสียรายได้ล้านดอลลาร์ ต่อไปจะเป็นการอธิบายถึงภัยคุกคามจากมัลแวร์ ประกอบด้วย
Virus
เรียกสั้นๆว่า ไวรัส คือ โปรแกรมคอมพิวเตอร์ประเภทหนึ่งที่เขียนขึ้นโดยความตั้งใจของโปรแกรมเมอร์ ถูกออกแบบมาให้แพร่กระจายตัวเองจากไฟล์หนึ่งไปยังไฟล์อื่นๆ ภายในเครื่องคอมพิวเตอร์ ไวรัสจะแพร่กระจายตัวเองอย่างรวดเร็วไปยังทุกไฟล์ภายในคอมพิวเตอร์ หรืออาจจะทำให้ไฟล์เอกสารติดเชื้ออย่างช้าๆ โดยทั่วไปแล้วจะเกิดจากการที่ผู้ใช้งานใช้สื่อจัดเก็บข้อมูล เช่น แผ่นดิสก์เก็บข้อมูล แฟลชไดร์ เก็บไฟล์ข้อมูลที่ติดไวรัส เมื่อนำไปใช้กับเครื่องอื่นและมีการเปิดไฟล์ข้อมูลที่ติดไวรัสนั้นก็จะทำให้เครื่องที่ยังไม่ติดไวรัสติดไปด้วย หรือไฟล์ไวรัสอาจแนบมากับไฟล์ข้อมูลทางจดหมายอิเล็กทรอนิกส์ โดยไวรัสสามารถทำความเสียหายตั้งแต่ลบไฟล์ข้อมูลทั้งหมดที่อยู่ในฮาร์ดดิสก์ไปจนถึงแค่สร้างความรำคาญให้กับผู้ใช้งาน คุณสมบัติที่สำคัญของไวรัสคือ มีการทำสำเนาตัวเอง ต้องอาศัยพาหะในการแพร่กระจายไวรัส และต้องได้รับการเอ็กซิคิวต์
ไวรัสคอมพิวเตอร์ประกอบด้วยส่วนของโค๊ดทำหน้าที่มุ่งร้าย ซึ่งโค๊ดนี้จะทำตัวคล้ายกับเชื้อไวรัสที่โจมตีสัตว์ และพืช โดยสามารถแพร่กระจายได้ด้วยตัวเอง คอมพิวเตอร์ที่มีโปรแกรมไวรัสอยู่ ไวรัสจะเข้าไปควบคุมการทำงานของคอมพิวเตอร์ให้ทำงานผิดปกติ และแพร่กระจายไวรัสเข้าไปในระบบ บ่อยครั้งผู้ใช้ทำให้ไวรัสเข้าสู่ระบบโดยรู้เท่าไม่ถึงการณ์ เช่น การเปิดอีเมล์ หรือการสุ่มส่งป๊อปอัพไป หากผู้ใช้ไม่ตรวจสอบไฟล์ที่ได้รับแล้วเปิดอ่านเลย ข้อมูลและฮาร์ดไดร์จะถูกทำลายทั้งหมด ไวรัสสามารถส่งผ่านจากเครื่องหนึ่งไปสู่อีกเครื่องได้ผ่านสื่อต่างๆ อีเมล์ หรือการส่งข้อมูลทางคอมพิวเตอร์ เมื่อเครื่องติดไวรัสแล้วมันจะแพร่กระจายไปกับอีเมล์ หรือการส่งไปยังผู้ใช้ทุกคนที่มีชื่ออยู่ในสมุดที่อยู่
วิธีที่ใช้มากที่สุดในการส่งไวรัสในศตวรรษที่ 21 คือการแนบไฟล์ไปกับอีเมล์ องค์กรจำนวนมากป้องกันอีเมล์ด้วยการเลือกอีเมล์ที่ไว้ใจได้ และการกรองอีเมล์ทั้งหมดซึ่งรู้ว่าอีเมล์ใดมีไวรัสบ้าง ไวรัสใช้เวลาเพียงเล็กน้อยในการติดตั้งโปรแกรมไวรัสด้วยแผ่นดิสก์แล้วกระจายไปยังระบบต่างๆ
ปัจจุบันเครื่อข่ายคอมพิวเตอร์และโปรแกรมตรวจสอบอีเมล์ เพื่อจัดการไวรัสมีอยู่มาก ผู้จำหน่ายซอฟต์แวร์ป้องกันไวรัสที่ได้รับการยอมรับมีดังนี้ Symantec Norton Anti-Virus และ McAfee Virus Scan มีโปรแกรมช่วยในการจัดการไวรัสคอมพิวเตอร์ได้ จึงควรติดตั้งโปรแกรมแอนตี้ไวรัสไว้ในเครื่องคอมพิวเตอร์ เพื่อตรวจจับไวรัส และหลีกเลี่ยงการใช้แผ่นดิสก์เก็บข้อมูล หรือสื่อบันทึกข้อมูลต่างๆ ที่ไม่มั่นใจว่ามีปลอดภัยจากไวรัสกับเครื่องคอมพิวเตอร์ของตนเอง
ในจำนวนชนิดของไวรัสคอมพิวเตอร์ในระบบเป็นไวรัสที่เขียนขึ้นมาเอง (Macro virus) ด้วยการฝังชุดคำสั่งลงไปที่ระบบปฏิบัติการของเครื่องคอมพิวเตอร์โดยอัตโนมัติ เมื่อมีการใช้โปรแกรมเวิร์ด เอ็กเซลล์ และระบบฐานข้อมูล ไวรัสจะเริ่มทำงาน ซึ่งไฟล์ของระบบปฏิบัติการจะติดไวรัสที่ชุดคำสั่งในการเปิดเครื่อง (Boot sector)
Worms
Worms เป็นโปรแกรมที่มุ่งร้ายต่อเครื่องคอมพิวเตอร์ สามารถจำลองตัวเองได้ตลอด ใช้ทรัพยากรของเครื่อง เช่น หน่วยความจำ พื้นที่ฮาร์ดดิสก์ และความเร็วของเครือข่าย เวิร์มทำงานได้ แม้ไม่ได้ออนไลน์ Robert Morris และเวิร์มที่สามารถสร้างความเสียหายมากได้แก่ Code Red, Sircam, Nimda และ Klez
Worms มีอันตรายต่อระบบมาก สามารถทำความเสียหายต่อระบบได้จากภายใน เหมือนกับหนอนที่กัดกินผลไม้จากภายใน หนอนร้ายเป็นโปรแกรมคอมพิวเตอร์ที่ถูกออกแบบมาให้สามารถแพร่กระจายตัวเองจากเครื่องคอมพิวเตอร์เครื่องหนึ่งไปยังคอมพิวเตอร์เครื่องอื่นๆ ที่อยู่ในระบบเครือข่าย หนอนอินเตอร์เน็ตจะใช้ประโยชน์จากแอพพลิเคชันที่รับส่งไฟล์โดยอัตโนมัติ และไม่ต้องอาศัยผู้ใช้งานคอมพิวเตอร์ ซึ่งการแพร่กระจายสามารถทำได้ด้วยตัวของมันเองอย่างรวดเร็วและรุนแรงกว่าไวรัส เมื่อไรก็ตามที่คุณสั่งแชร์ไฟล์ข้อมูลผ่านระบบเครือข่ายเมื่อนั้นหนอนอินเตอร์เน็ต ก็กระจายตัวเองไปยังเครื่องคอมพิวเตอร์อื่นๆที่อยู่ภายในเครือข่ายโดยไม่ต้องรอให้ผู้ใช้งานเปิดไฟล์ที่ติดหนอนอินเตอร์เน็ต เหมือนไวรัสคอมพิวเตอร์ คุณสมบัติที่สำคัญของหนอนอินเตอร์เน็ตคือ สามารถอยู่ได้ด้วยตัวเอง ไม่ต้องอาศัยตัวกลางในการแพร่กระจาย และไม่แพร่กระจายผ่านไฟล์แต่จะแพร่กระจายผ่านทางระบบเครือข่าย
เวิร์มมีการเปลี่ยนแปลงรูปแบบการแพร่กระจายตัวเองจำนวนมากดังรูปข้างล่าง เป็นแบบ Double-barreled payload ซึ่งเวิร์มจะส่งเมล์จำนวนมากและแนบตัวเองไปกับอีเมล์ด้วย เวิร์มที่มีการจู่โจมแบบแพร่กระจายนี้ได้แก่ MS-Blaster, MyDoom และ Netsky โดยเวิร์มและไวรัสมีการเปลี่ยนแปลงการโจมตีจุดอ่อนของระบบปฏิบัติการและแอพพลิเคชั่นได้หลายรูปแบบ
การสร้างความเสียหายของหนอนอินเตอร์เน็ตนั้นจะไม่ทำลายข้อมูลเหมือนไวรัส แต่ก็จัดเป็นภัยคุกคามที่ร้ายแรงอยู่ดี เนื่องจากหนอนอินเตอร์เน็ตจะเข้าไปควบคุม และใช้สอยทรัพยากรบนระบบคอมพิวเตอร์และระบบเครือข่ายจนไม่สามารถใช้งานได้ในที่สุด วิธีการป้องกันและรักษาความปลอดภัยให้ทำเช่นเดียวกับวิธีการป้องกันไวรัส
Trojan horses
หรือเรียกว่า โทรจันฮอร์ส เป็นโปรแกรมที่เข้าสู่คอมพิวเตอร์ โดยที่แอบแฝงตัวเองมากับ โปรแกรมอื่นๆ เช่น เกมส์ ซอฟต์แวร์ ทีให้ดาว์นโหลดในระบบอินเทอร์เน็ต เมื่อผู้ใช้งานคอมพิวเตอร์เลือกดาว์นโหลดโปรแกรมดังกล่าว และติดตั้งลงสู่เครื่องคอมพิวเตอร์ก็ทำให้ไปรันโปรแกรมม้าโทรจัน โดยอัตโนมัติซึ่งผู้ใช้งานเองไม่รู้ตัว ซึ่งอันตรายที่จะเกิดขึ้นคือม้าโทรจันจะเข้าไปรบกวนประสิทธิภาพการใช้งานคอมพิวเตอร์ ลบข้อมูล หรือดักจับข้อมูลที่สำคัญๆ ส่งไปให้ผู้สร้างโปรแกรมม้าโทรจัน เช่น รหัสผ่าน เลขที่บัตรเครดิต เป็นต้น และยังสามารถสร้างแบ็คดอร์ให้กับโปรแกรมอื่นๆ เข้ามาทำลายระบบได้อีกด้วย
โทรจันฮอร์สจะแฝงตัวมากับซอฟต์แวร์ จะทำงานเมื่อผู้ใช้รันซอฟต์แวร์ แล้วโทรจันฮอร์สจะทำลายระบบคอมพิวเตอร์ เช่น เมื่อเรียกไฟล์ .exe ที่มากับแชร์แวร์ หรือ ฟรีแวร์
ตัวอย่างการโจมตีของโทรจันฮอร์ส ประมาณ 20 มกราคม 1999 เริ่มจากผู้ใช้ได้รับอีเมล์ที่มีโปรแกรมโทรจันฮอร์สแนบมาชื่อ Happy99.exe เมื่อเปิดอีเมล์และติดตัง้โปรแกรมโทรจันฮอร์สที่แฝงมาจะก่อกวนระบบทันที เช่น ลบไฟล์ หรือ สร้างแบ็คดอร์ให้แฮคเกอร์เข้ามาขโมยข้อมูล ลบไฟล์ต่างๆในระบบได้
ทำไมจึงใช้คำว่า ม้าโทรจัน (Trojan horse) และมีที่มาจากไหน อธิบายพอสังเขปคือ เป็นคำที่มีที่มาจากการสู่รบกันระหว่างเมืองทรอย (Troy) และเมืองกรีก (Greek) โดยเมืองกรีกนั้นพยายามเข้าไปยึดเมืองทรอย แต่ไม่สามารถเข้าไปยึดได้เนื่องจากเมืองทรอยมีกำแพงและระบบป้องกันที่แน่นหนา จึงทำทีว่าล่าถอยกลับไปโดยมีการสร้างม้าไม้ขนาดใหญ่ทิ้งไว้หน้ากำแพง เมืองทรอยเมือเห็นกรีกถอยทัพกลับไปและเห็นม้าไม้ดังกล่าวก็คิดว่า เป็นของขวัญจากเมืองกรีกที่ทิ้งไว้ให้ จึงนำเข้าเข้าเมืองทรอยไป โดยไม่รู้เลยว่าในม้าไม้นั้นมีทหารกรีกแอบซ่อนอยู่ข้างใน เมื่อถึงเวลาดึกทหารดังกล่าวก็ออกมาเปิดประตูเมืองทรอย เพื่อให้ทหารกรีกที่แอบอยู่ภายนอกกำแพงเมืองเข้าเมืองได้ ซึ่งทำให้เมืองกรีกสามารถเอาชนะสงครามเมืองทรอยได้ ถ้าไม่เข้าให้ไปหาดูภาพยนตร์เรื่อง ทรอย จะเข้าใจยิ่งขึ้น
Back Door or Trap Door
Back door หรือ Trap door เป็นสิ่งที่โปรแกรมเมอร์ได้สร้างไว้และรู้กันเฉพาะกลุ่มสำหรับการเข้าไปแก้ไขระบบ ซึ่งเป็นช่องโหว่ให้แฮคเกอร์เข้ามาในระบบและมีสิทธิพิเศษในการแก้ไขสิ่งต่างๆตัวอย่าง ประเภทของ back door มี Sub seven และ Back Orifice
Polymorphism
Polymorphism เป็นไวรัสชนิดหนึ่งที่ได้รับการพัฒนาให้มีความยากในการตรวจจับ อาจจะใช้เวลาหลายวันในการสร้างโปรแกรมตรวจจับ เพื่อจัดการกับ polymorphism เพราะมันใช้เทคนิคการซ่อนลักษณะเฉพาะที่สำคัญ (signatures) ไม่ให้คงรูปเดิม เพื่อหลีกจากการตรวจจับของโปรแกรมแอนตี้ไวรัส
Virus and Worm Hoaxes
เป็นรูปแบบของการหลอกลวงผู้ใช้คอมพิวเตอร์ทำให้เสียเงินเสียเวลาในการวิเคราะห์ โดยไวรัสหลอกลวงจะมาในรูปจดหมายอิเล็กทรอนิกส์ เตือนให้ระวังอันตรายจากไวรัส ด้วยการอ้างแหล่งข้อมูลเป็นรายงานที่น่าเชื่อถือ เพื่อให้ผู้รับส่งต่อจดหมายเตือนฉบับนั้นต่อๆไปอีกหลายๆทอด ซึ่งเป็นลักษณะของไวรัสหลอกลวง หากได้รับจดหมายประเภทนี้ไม่ควรที่จะส่งต่อ ควรเช็คจากแหล่งข้อมูลที่ถูกต้องก่อนทำการส่ง และควรจะอัพเดทโปรแกรมแอนตี้ไวรัสอย่างสม่ำเสมอ
แหล่งข้อมูลทางอินเตอร์เน็ทในการวิจัยเกี่ยวกับไวรัสว่าจริงหรือหลอก สำหรับข้อมูลล่าสุดของภัยคุกคามทั้งไวรัส เวิร์ม และโฮแอ็กส์ สามารถเข้าไปได้ที่ CERT Coordination (www.cert.org) เป็นศูนย์รวมการรักษาความปลอดภัยข้อมูล
8. ภัยธรรมชาติ (Forces of Nature)
ภัยธรรมชาติเป็นภัยคุกคามที่อันตรายมาก เพราะเป็นสิ่งที่เกินกว่ามนุษย์จะควบคุมได้ เป็นภัยที่รวมเหตุการณ์ เช่น ไฟไหม้ น้ำท่วม แผ่นดินไหว และฟ้าผ่า รวมถึงภูเขาไฟระเบิด ทัง้หมดนี้ไม่เพียงแต่สร้างความยุ่งยากต่อการใช้ชีวิตของแต่ละคนเท่านั้น แต่ยังสร้างปัญหาให้กับระบบคอมพิวเตอร์ทั้งหน่วยเก็บข้อมูล สัญญาณการสื่อสารต่างๆ ภัยคุกคามสามารถแบ่งกลุ่มได้ตามรายการดังนี้
- Fire: ไฟไหม้ สร้างความเสียหายต่ออุปกรณ์ทางคอมพิวเตอร์ รวมถึงระบบสารสนเทศต่างๆ เนื่องจากควันไฟ และน้ำ ซึ่งเกิดจากการดับไฟของนักดับเพลิง ภัยจากไฟไหม้สามารถบรรเทาได้ด้วยการทำประกันอุบัติภัย เพื่อเป็นการลดความเสียหายที่เกิดขึ้นต่อทรัพย์สิน และชีวิต หรือทำประกันภัยธุรกิจ หากธุรกิจต้องหยุดดำเนินกิจการ
- Flood: น้ำท่วม เป็นสาเหตุโดยตรงที่สร้างความเสียหายต่อระบบสารสนเทศ หรือในส่วนของอาคารระบบสารสนเทศ น้ำท่วมทำให้การเข้าใช้อาคารสถานที่ หรือในส่วนการทำงานของระบบสารสนเทศติดขัด ภัยคุกคามนี้สามารถบรรเทาได้ด้วยการทำประกันอุทกภัยหรือประกันภัยธุรกิจ
- Earthquake: แผ่นดินไหว เกิดจากการเคลื่อนตัวของเปลือกโลกกะทันหัน เป็นความเสียหายทางธรณีวิทยาจากการเกิดภูเขาไฟระเบิด แผ่นดินไหวสร้างความเสียหายต่อทุกส่วนของระบบสารสนเทศ บ่อยครั้งสร้างความเสียหายกับอาคารเป็นการขัดขวางการเข้าใช้ระบบสารสนเทศ สามารถบรรเทาภัยคุกคามนี้ได้ด้วยการทำประกันภัยพิเศษ หรือ การประกันภัยธุรกิจ ทัง้นี้จะเลือกรูปแบบใดขึ้นอยู่กับการกำหนดนโยบายที่ต่างกัน
- Lightning: ฟ้าแลบ เป็นกระแสไฟฟ้าทางธรรมชาติที่ถูกปลดปล่อยออกมารบกวนคลื่นวิทยุ ฟ้าผ่าสร้างความเสียหายต่อระบบสารสนเทศ หรือ ส่วนของการจ่ายไฟ ทำให้ไฟดับ หรือ สร้างปัญหาในการใช้สถานที่ทำงานเนื่องจากไม่มีกระแสไฟฟ้า หรือ สร้างความยุ่งยากในการปฏิบัติงาน
- Landslide or mudslide: แผ่นดินถล่ม หรือ โคลนถล่ม เกิดจากดินและหินจำนวนมากไหลจากที่สูง สร้างความเสียหายต่อระบบสารสนเทศ ทั้งในส่วนของการเข้าใช้อาคารสถานที่และการเข้าใช้ระบบสารสนเทศ ซึ่งภัยคุกคามนี้สามารถบรรเทาความเสียหายได้ด้วยการทำประกันภัย หรือ การประกันภัยธุรกิจ
- Tornado or severe windstorm: พายุทอร์นาโด หรือ พายุที่มีความรุนแรงสูง เกิดจากความแปรปรวนของอากาศเป็นพายุหมุนจากจุดศูนย์กลางขนาดเล็กเพียงไม่กี่หลา ขยายความรุนแรงเพิ่มขึ้นเป็นหลายไมล์ และเป็นลมพายุที่มีความเร็วในการทำลายสูง โดยมีรูงทรงกรวยตั้งสูงขึ้นไปยังท้องฟ้า พายุนี้สามารถสร้างความเสียหายต่อระบบสารสนเทศ ทั้งในส่วนของการเข้าใช้อาคารสถานที่ และการเข้าใช้ระบบสารสนเทศ ซึ่งภัยคุกคามนี้สามารถบรรเทาความเสียหายได้ด้วยการทำประกันภัย หรือ การประกันภัยธุรกิจ
- Hurricane or typhoon: พายุเฮอร์ริเคน หรือ พายุไต้ฝุ่น คือ พายุหมุนเขตร้อน เกิดขึ้นในแถบมหาสมุทรแอตแลนติก หรือ ทะเลคาริบเบียน หรือ แถบตะวันออกของมหาสมุทรแปซิฟิก (ไต้ฝุ่น) จากจุดศูนย์กลางพายุสามารถเคลื่อนตัวไปทางทิศเหนือ ทิศตะวันตกเฉียงเหนือ หรือ ทิศตะวันออกเฉียงเหนือ และพายุยังก่อให้เกิดฝนตกอย่างหนัก หากจุดศูนย์กลางของพายุติดชายฝงั่ทะเลมักจะทำให้น้ำท่วมในพื้นที่นั้นๆ โดยพายุนี้สามารถสร้างความเสียหายต่อระบบสารสนเทศ ทั้งในส่วนของการเข้าใช้อาคารสถานที่ และการเข้าใช้ระบบสารสนเทศ ซึ่งภัยคุกคามนี้สามารถบรรเทาความเสียหายได้ด้วยการทำ
ประกันภัย หรือ การประกันภัยธุรกิจ
- Tsunami: เป็นคลื่นขนาดใหญ่ เกิดจากแผ่นดินไหว หรือ เกิดการปะทุของภูเขาไฟใต้ทะเล ซึ่งเหตุการณ์นี้สามารถสร้างความเสียหายต่อระบบสารสนเทศ ทัง้ในส่วนของการเข้าใช้อาคารสถานที่ และการเข้าใช้ระบบสารสนเทศ ซึ่งภัยคุกคามนี้สามารถบรรเทาความเสียหายได้ด้วยการทำประกันภัย หรือ การประกันภัยธุรกิจ
- Electrostatic discharge (ESD): การปะทุของไฟฟ้าสถิต โดยไฟฟ้าสถิต และESD สร้างความรำคาญ อย่างไรก็ตามเมื่อเราเดินบนพรมจะเกิดไฟฟ้าสถิตทำให้เรารู้สึกเหมือนถูกไฟดูดเล็กน้อย แต่การปะทุของไฟฟ้าสถิตสามารถทำลายหรือสร้างความเสียหายอย่างมาก เมื่อมีการรวมกันก่อให้เกิดการจุดติดไฟได้ง่ายกับส่วนประกอบของวงจรอิเล็กทรอนิกส์ ไฟฟ้าสถิตทำให้พื้นที่มีประจุดูดฝุ่นละอองไว้ในห้องที่สะอาด หรือ ทำให้ผลิตภัณฑ์เกิดไฟฟ้าสถิต มูลค่าความเสียหายจากอุปกรณ์อิเล็กทรอนิกส์ และการหยุด
ให้บริการมีตัง้แต่ไม่กี่เซนต์ไปจนถึงหลายล้านดอลลาร์ สำหรับอันตรายที่จะเกิดกับระบบอิเล็กทรอนิกส์ ซึ่งความเสียหายในกระบวนการผลิตทำให้เสียเวลา เนื่องจากผลกระทบของ ESD นั้นมีนัยสำคัญ ถึงแม้ว่า ESD จะดูว่าไม่เป็นภัยคุกคาม แต่สามารถสร้างความยุ่งยากให้กับระบบสารสนเทศ ซึ่งปญั หานี้ไม่สามารถทำประกันภัยคุ้มครองความเสียหายหรือ การทำประกันภัยธุรกิจ
- Dust contamination: การปนเปื้อนจากฝุ่น สภาพแวดล้อมบางอย่างมิได้เป็นผลดีต่ออุปกรณ์ฮาร์ดแวร์ของระบบสารสนเทศ เพราะฝุ่นทำให้อายุการใช้งานของระบบสารสนเทศสั้นลง หรือ เป็นเหตุให้เครื่องคอมพิวเตอร์หยุดการทำงาน ภัยคุกคามนี้เป็นปัญหาธรรมดาในการปฏิบัติงาน เนื่องจากภัยคุมคามทางธรรมชาติไม่อาจที่จะหลีกเลี่ยงได้ องค์กรต้องเพิ่มการควบคุมที่จะจำกัดความเสียหาย และต้องวางแผนกับความไม่แน่นอนสำหรับการปฏิบัติงานอย่างต่อเนื่อง เช่น แผนการกู้ข้อมูล วางแผนอย่างต่อเนื่อง และแผนการรับมือกับเหตุการณ์ที่อาจเกิดขึ้นโดยบังเอิญ เพื่อจำกัดความเสียหายจากภัยคุกคามเหล่านี้
9. คุณภาพของบริการ (Deviations in Quality of Service)
ระบบสารสนเทศขององค์กรจะประสบความสำเร็จได้นั้นต้องได้รับการสนับสนุนจากระบบอื่นๆ
ร่วมด้วย เช่น โรงไฟฟ้า เครือข่ายโทรคมนาคม ผู้จัดจำหน่าย ผู้ให้บริการ เจ้าหน้าที่ดูแลรอบค่ำ ซึ่งระบบสนับสนุนเหล่านี้อาจหยุดชะงักได้หากเกิดพายุ พนักงานป่วย หรือเหตุฉุกเฉิน ภัยคุกคามเหล่านี้ทำการโจมตี ทำให้คุณภาพการให้บริการคลาดเคลื่อน เช่น ถ้ารถขุดเจาะถูกสายไฟเบอร์ออฟติกที่มาจาก ISP องค์กรควรเตรียมการสำรองข้อมูลทัง้การเชื่อมต่อผ่านระบบเครือข่าย และการบริการ แต่ต้องรีบดำเนินการในส่วนของความเร็วในการรับ-ส่งข้อมูลขององค์กร เนื่องจากเป็นสิ่งสำคัญสำหรับการให้บริการที่สมบูรณ์ ความผิดปกติจากการให้บริการอินเตอร์เน็ต การติดต่อสื่อการ และเครื่องจ่ายไฟสามารถส่งผลกระทบอย่างรวดเร็วต่อข้อมูล และสร้างความเสียหายต่อระบบได้
Internet Service Issues
องค์กรในปัจจุบันนิยมการใช้อินเตอร์เน็ตในการค้นหาและเข้าถึงข้อมูลบนอินเตอร์เน็ต เพื่อช่วยในการปฏิบัติงาน ซึ่งผู้ให้บริการอินเตอร์เน็ตจะต้องให้ความสำคัญกับ การก่อวินาศกรรมของข้อมูลข่าวสาร ในหลายองค์กรพนักงานขาย หรือ พนักงานขายทางโทรศัพท์สามารถทำงานจากสถานที่ซึ่งอยู่ไกลกันได้
องค์กรที่มีเว็บไซต์จะมีผู้ให้บริการเว็บโฮสติ้งดูแลเว็บให้ ซึ่งเว็บโฮสติ้งจะรับผิดชอบกับบริการอินเตอร์เน็ตทั้งหมด รวมถึงฮาร์ดแวร์ และซอฟต์แวร์ระบบที่เกี่ยวกับการทำงานของเว็บไซต์ ผู้ให้บริการเว็บโฮสติ้งจะมีข้อตกลงเกี่ยวกับระดับการให้บริการขัน้ พื้นฐานที่ควรรู้ คือ Service Level Agreement (SLA) ผู้ให้บริการจะขาดพันธะสัญญาในการให้บริการไม่ได้ และพันธะสัญญาควรครอบคลุมความเสียหายที่ยังไม่เกิดขี้นกับลูกค้า แต่เป็นเรื่องยากหากจะคลอบคลุมความเสียหายที่เกิดจากช่วงที่ไม่มีกระแสไฟฟ้า
บริการด้านการสื่อสารและผู้ให้บริการอื่นๆ (Communications and other Service Provider Issues)
บริการสาธารณูปโภคที่ดีต่อองค์กร บริการเหล่านี้คือ โทรศัพท์ น้ำประปา รถเก็บขยะ ระบบส่งสัญญาณโทรศัพท์ด้วยสายเคเบิล ก๊าซธรรมชาติ และการดูแลทรัพย์สิน โดยบริการเหล่านี้มีผลต่อความเสียหายขององค์กรได้ องค์กรมีความต้องการน้ำไปจนถึงระบบเครื่องทำความเย็น เพื่อความสะดวกในการปฏิบัติงาน
ปัญหากระแสไฟฟ้า (Power Irregularities)
ความผิดปกติของไฟฟ้าเป็นสิ่งที่เกิดขึ้นได้ทุกวัน เช่น ไฟเกิน ไฟตก และไฟดับ ซึ่งองค์กรต้องเตรียมแนวทางในการแก้ปญั หาไฟฟ้าสำหรับอุปการณ์ระบบสารสนเทศ ในสหรัฐจะใช้ไฟฟ้าที่ 120โวลต์, 60 cycle โดยปกติจะมีกระแสไฟที่ 15 และ 20 แอมป์
เมื่อแรงดันไฟฟ้าที่ระดับ Spike (แรงดันไฟเพิ่มขึ้นชั่วขณะ) หรือ surge (แรงดันไฟเพิ่มขึ้นอย่างรุนแรง) ซึ่งแรงดันไฟที่เพิ่มขึ้นสร้างความเสียหายให้กับอุปกรณ์ต่างๆได้ การขาดแคลนไฟฟ้าเกิดจากการจ่ายไฟไม่ทั่วถึง
เมื่อแรงดันไฟลดลง (Sag) หรือ ไฟตก คือแรงดันไฟลดลง เป็นสาเหตุให้ระบบปิดการทำงานหรือ รีเซตระบบใหม่ทำให้เกิดการขัดข้องในการใช้ระบบ ซึ่งส่งผลต่ออุปกรณ์อิเล็กทรอนิกส์โดยเฉพาะอุปกรณ์เครือข่าย คอมพิวเตอร์ และระบบคอมพิวเตอร์พื้นฐานเกิดความเสียหาย ควรจะจัดการควบคุมการจ่ายกระแสไฟให้มีคุณภาพ โดยเครื่อง UPS สามารถป้องกันเรื่องแรงดันไฟฟ้าไม่คงที่ได้ เช่น ไฟตก ไฟเกิน และไฟดับ
10. ข้อผิดพลาดทางเทคนิคของฮาร์ดแวร์ (Technical Hardware Failures or Errors)
ความล้มเหลวทางเทคนิคของฮาร์ดแวร์ หรือความผิดพลาดที่การผลิตอุปกรณ์เกิดข้อบกพร่องเป็นเหตุให้การทำงานของอุปกรณ์ภายนอกของระบบไม่เป็นไปอย่างที่คิด ส่งผลให้การบริการไม่น่าไว้วางใจ หรือใช้ประโยชน์ไม่ได้ บางครัง้ความผิดปกติของจอคอมพิวเตอร์ อุปกรณ์ต่อพ่วงอื่นๆ หากเสียหายจะไม่สามารถนำกลับมาใช้งานได้ดังเดิม
11. ข้อผิดพลาดทางเทคนิคของซอฟต์แวร์ (Technical Software Failures or Errors)
การเขียนโค้ดคอมพิวเตอร์ส่วนมาก มีการตรวจสอบจุดบกพร่อง วิเคราะห์ข้อผิดพลาดทั้งหมดก่อนที่จะจำหน่าย ในบางครัง้จะตรวจสอบซอฟต์แวร์และฮาร์ตแวร์ร่วมกัน จะแสดงจุดบกพร่องใหม่ๆได้ ความล้มเหลวจะเกิดขึ้นหากไม่มีการตรวจสอบจุดบกพร่องต่างๆ บางครั้งการตรวจสอบอาจจะไม่พบข้อผิดพลาด แต่โปรแกรมเมอร์ส่วนมากจะสร้างช็อตคัทไว้ซึ่งอาจจะเป็นเหตุให้เกิดความเสียหายได้ เนื่องจากช็อตคัทสามารถเข้าสู่ตัวโปรแกรมได้โดยปราศจากการตรวจเช็คความปลอดภัยตั้งแต่เริ่มต้น เป็นการฝ่าฝืนแนวทางในการรักษาความปลอดภัย
12. เทคโนโลยีล้าสมัย (Technological Obsolescence)
โครงสร้างพื้นฐานที่ล้าสมัยทำให้ระบบไม่ปลอดภัย และไม่น่าไว้ใจ ผู้บริหารควรจะรู้ว่าเมื่อเทคโนโลยีล้าสมัย ส่งผลถึงความเสี่ยงด้านความมัน่ คงของข้อมูลอาจพบกับภัยคุมคามได้ ผู้บริหารควรมีการวางแผนกลยุทธ์ รวมถึงการวิเคราะห์ในการเลือกใช้เทคโนโลยีในปจั จุบัน ตามหลักควรมีการวางแผนที่เหมาะสม ในการป้องกันเทคโนโลยีล้าสมัย เมื่อพบว่าเทคโนโลยีล้าสมัยต้องจัดการทันทีโดยผู้เชียวชาญด้านเทคโนโลยีได้กำหนดลักษณะสิ่งที่น่าจะเป็นความล้าสมัย
ปัจจุบัน Symantec เลิกสนับสนุนซอฟต์แวร์แอนติไวรัสเวอร์ชันเก่า และให้การสนับสนุนผลิตภัณฑ์อย่างต่อเนื่องด้วยการอัพเกรดซอฟต์แวร์ให้ทันที ถ้าในองค์กรมีเจ้าหน้าที่ IT ที่เชียวชาญจะมีการจัดการอัพเกรดซอฟต์แวร์ที่ล้าสมัยทันที ซึ่งเป็นการลดค่าใช้จ่ายขององค์กร
ATTACKS
การโจมตีเป็นการกระทำเพื่อให้เกิดความไม่มัน่ คงและเป็นอันตรายต่อการควบคุมระบบคอมพิวเตอร์ โดยเป้าหมายของการโจมตีเพื่อสร้างความเสียหายหรือการขโมยข้อมูลที่สำคัญขององค์กร ในส่วนนี้จะเป็นการอธิบายแต่ละประเภทของการโจมตีระบบที่สำคัญๆ
Malicious Code
การโจมตีแบบ Malicious Code จะประกอบไปด้วยไวรัส, เวิร์มและไวรัสโทรจัน เพื่อจุดประสงค์ในการทำลายระบบหรือการขโมยข้อมูล ซึ่งในตัวโปรแกรมไวรัสเหล่านี้ อาจจะมีเทคนิคการโจมตี 6 ประเภทรวมอยู่ด้วยกัน เพื่อสร้างความหลากหลายในการโจมตีไปที่จุดอ่อนของเครื่องเป้าหมายและทำให้ไวรัสแพร่กระจายได้อย่างรวดเร็ว ตัวอย่างเช่น ไวรัส Nimda มีการทำงานที่ซับซ้อนและใช้เทคนิคหลายอย่างผสมกัน จึงทำให้สามารถแพร่กระจายได้อย่างรวดเร็ว ตามรายงานของบริษัท TureSecure ได้เปิดเผยข้อมูลด้านสถิติระบุว่า ไวรัส Nimda แพร่กระจายไปยัง 14ประเทศ โดยใช้เวลาน้อยกว่า 25 นาทีเท่านั้น
Hoaxes
เป็นรูปแบบหนึ่งของการก่อกวนที่มีผลต่อผู้ใช้คอมพิวเตอร์จำนวนมาก โดยไวรัสหลอกลวงพวกนี้จะมาในรูปของจดหมายอิเล็กทรอนิกส์ การส่งข้อความต่อๆกันไปผ่านทางโปรแกรมรับส่งข้อความ หรือห้องสนทนาต่างๆ ซึ่งสามารถสร้างความวุ่นวายให้เกิดขึ้นได้มากหรือน้อยเพียงใด ก็ขึ้นกับเทคนิค และการใช้จิตวิทยาของผู้สร้างข่าวขึ้นมา โดยส่วนใหญ่จดหมายประเภทนี้จะมีหัวข้อที่ชวนเชื่อ อ้างแหล่งข้อมูล และบริษัทใหญ่ๆเป็นการสร้างความเชื่อมั่น และเมื่อผู้รับส่งต่อไปยังเพื่อนสนิท และคนคุ้นเคย ก็ยิ่งสร้างความเชื่อมั่นมากขึ้น จากนั้นผู้รับก็จะทำตัวเป็นผู้ส่งต่อๆ ไปอีกหลายๆทอด ซึ่งเป็นลักษณะเด่นของไวรัสหลอก ลวง หากได้รับจดหมายประเภทนี้ก็ไม่ควรที่จะส่งไปต่อๆ หรือควรเช็คจากแหล่งข้อมูลที่ถูกต้องก่อนทำการส่งต่อไป
ทำไม Hoax จึงถูกจัดว่าเข้าข่ายไวรัสคอมพิวเตอร์? คำตอบก็คือ การเอาจุดเด่นในด้าน พฤติกรรมของผู้ใช้จดหมายอิเล็กทรอนิกส์ที่สามารถส่งจดหมายหรือข้อความที่เข้าถึงคนหมู่มากได้ในเวลาอันรวดเร็ว มาเป็นเครื่องมือในการสร้างความปั่นป่วน และค่อนข้างได้ผลตรงกลุ่มเป้าหมาย ซึ่งลักษณะเหล่านี้เปรียบได้กับ ไวรัสในธรรมชาติที่มีการกระจายตัวไปอย่างรวดเร็ว ซึ่งบุคคลที่ส่งจดหมายเวียนดังกล่าวออกไป ก็เสมือนพาหะของโรคร้าย และจะกระจายเป็นวงกว้างมากขึ้นเรื่อย ๆ เราอาจสังเกตได้ว่าจดหมายหรือข้อความเตือนเหล่านั้น จะวนกลับมาหาเราบ่อยครั้ง สำหรับวิธีการป้องกัน หากท่านพบเห็นจดหมายอิเล็กทรอนิกส์ที่มีข้อความในทำนองที่กล่าวข้างต้น ชื่อเรื่อง หรือเนื้อหาที่มีในรายการดังต่อไปนี้ ควรลบทิ้งทันทีและไม่ควรส่งต่อให้ผู้อื่น เนื่องจากเป็นข่าวที่ไม่เป็นความจริงแล้วจะเป็นการเพิ่มภาระให้กับระบบเครือข่าย
ส่วนมากมักจะอยู่ในรูปแบบการหลอกลวงเพื่อทำการโจมตีคอมพิวเตอร์ โดยผู้โจมตีจะทำการส่งข้อความที่มีความน่าเชื่อถือ ถ้าผู้ที่ได้รับข้อความปฏิบัติตามอาจจะทำให้เกิดความเสียหายต่อระบบคอมพิวเตอร์ เช่น การให้ลบไฟล์ข้อมูลที่จำเป็นของระบบปฏิบัติการโดยหลอกว่าเป็นไวรัสคอมพิวเตอร์ ทำให้ระบบปฏิบัติการทำงานผิดปกติ เป็นต้น นอกจากนี้ผู้ได้รับข้อความจะทำการส่งผ่านข้อความที่ตนเองได้รับไปให้กับเพื่อนของตนเอง เหมือนกับจดหมายลูกโซ่
Back Doors
เป็นช่องโหว่ในการรักษาความปลอดภัยที่ถูกทิ้งไว้โดยผู้ออกแบบระบบหรือทีมงานบำรุงรักษาระบบ ซึ่งผู้บุกรุกจะใช้ช่องโหว่นี้หรือ Back Door ในการเข้าถึงระบบคอมพิวเตอร์หรือเครือข่ายคอมพิวเตอร์ บางครั้งเรียกว่า Trapdoor ซึ่ง Trapdoor เป็นอะไรที่ป้องกันได้ยาก เพราะว่าบ่อยครั้งโปรแกรมเมอร์เป็นผู้ที่ทิ้งช่องโหว่นี้ไว้เอง เพื่อให้สามารถเข้าถึงระบบโดยไม่ต้องผ่านระบบความปลอดภัยของระบบ จุดประสงค์เพื่ออำนวยความสะดวกต่อโปรแกรมเมอร์หรือผู้ตรวจสอบระบบ (Audit) ในการเข้าถึงระบบได้ง่ายและรวดเร็ว
Password Crack
เป็นความพยายามในการคำนวณแบบย้อนกลับเพื่อให้ได้มาซึ่งรหัสผ่าน (Password) บางครั้งเรียกกระบวนการนี้ว่า Cracking โดยจะทำการคัดลอก Security Account Manager (SAM) ซึ่งภายในไฟล์ SAM จะมีส่วนประกอบของวิธีการของการคำนวณรหัสผ่านของผู้ใช้ ซึ่งวิธีการคำนวณนั้นใช้ อัลกอริทึ่ม (Algorithms) แบบเดียวกันในการคำนวณหารหัสผ่านและในการเปรียบเทียบถ้าผลลัพธ์ในการคำนวณออกมาเหมือนกัน รหัสผ่านก็จะถูกถอดรหัสออกมา
Brute Force
เป็นโปรแกรมที่ผู้บุกรุกใช้สำหรับเดารหัสที่เป็นไปได้ที่เกิดขึ้นจากการสร้างรหัสผ่าน (Password) วิธีการนี้เรียกว่าการโจมตีแบบ Brute Force หรือบางครัง้ก็เรียกว่า Password Attack เช่น สมมุติว่ารหัสผ่านที่เป็นไปได้ของระบบเป็นตัวอักษรภาษาอังกฤษพิมพ์เล็กจำนวน 4 ตัว ผู้บุกรุกก็พยายามล็อกอินเข้าสู่ระบบโดยใช้รหัสผ่านที่เป็นไปได้ทั้งหมดจากการผสมคำ ในกรณีนี้ รหัสผ่านที่เป็นไปได้คือ 26x26x26x26 ตัว ซึ่งถ้าตั้งรหัสผ่านมีการผสมกันระหว่างตัวอักษรทัง้ตัวเล็ก ตัวใหญ่ตัวเลขและเครื่องหมายต่างๆ จะทำให้คำที่เป็นไปได้ทั้งหมดมีจำนวนมากขึ้น ดังนั้นหากผู้บุกรุกใช้วิธีนี้ในการเดารหัสผ่านก็จะใช้เวลานานยิ่งขึ้น
บ่อยครั้งที่การโจมตีแบบ Brute Force ใช้การพยายามล็อกอินเข้าใช้รีซอร์สของเครือข่าย โดยถ้าทำสำเร็จผู้บุกรุกก็จะมีสิทธิ์เหมือนกับเจ้าของแอ็คเคาท์นั้น ๆ ถ้าหากแอ็คเคาท์นี้มีสิทธิ์เพียงพอผู้บุกรุกอาจสร้างแอ็คเคาท์ใหม่เพื่อเป็นประตูหลัง (Back Door) และใช้สำหรับการเข้าระบบในอนาคต
สำหรับวิธีการโจมตีแบบ Brute Force นั้น จะประสบความสำเร็จไม่บ่อยครั้งนัก เนื่องจากระบบ
ความปลอดภัยของระบบ ได้มีการจำกัดจำนวนครั้งในการใส่รหัสผ่านเอาไว้
Dictionary
วิธีการโจมตีแบบ Dictionary Attack จะมีความแตกต่างจาก Brute Force โดยโปรแกรมจะทำการเลือกคำที่มีอยู่ในดิกชันนารี่มาใช้ในการสร้างรหัสผ่าน (Password) วิธีการป้องกันการโจมตีด้วย Dictionary Attack โดยการไม่อนุญาตให้ใช้คำที่มีอยู่ในดิกชันนารี่มาใช้เป็นรหัสผ่าน หรือใช้ตัวเลขหรืออักขระพิเศษเพิ่มเข้าไปในรหัสผ่าน ก็จะทำให้การโจมตีด้วย Dictionary Attack ลดประสิทธิภาพลงไป
Denial-of-Service (DoS) and Distributed Denial-of-Service (DDoS)
คือ เป็นวิธีการโจมตีที่เน้นไปที่การทำให้คอมพิวเตอร์ ไม่สามารถติดต่อสื่อสารการใช้ตามปกติ หรือทำให้ระบบเครือข่ายใช้งานไม่ได้ โดยการเข้าใช้ระบบเครือข่ายและใช้ทรัพยากรของเครื่องเซิร์ฟเวอร์ที่มีอยู่อย่างจำกัด จนเครื่องเซิร์ฟเวอร์ไม่สามารถให้บริการได้ตามปกติ เนื่องจากทรัพยากรของเครื่องเซิร์ฟเวอร์หมด หรือถึงขีดจำกัดของเซิร์ฟเวอร์ ตัวอย่างเช่น เว็บเซิร์ฟเวอร์ และเอฟทีพีเซิร์ฟเวอร์ การโจมตีแบบนี้ ซึ่งหารโจมตีอาจใช้โปรโตคอลที่ใช้บนอินเทอร์เน็ตทั่วไป เช่น TCP (Transmission Control Protocol) หรือ ICMP (Internet Control Message Protocol) ขอยกตัวอย่างพอสังเขปดังนี้
- การส่งแพ็กเก็ตจำนวนมากเข้าไปในเครือข่ายหรือ "Flooding" ระบบเครือข่ายทำให้ปริมาณทราฟฟิกในเครือข่ายเพิ่มสูงขึ้นในเวลาอันรวดเร็ว ทำให้การสื่อสารในเครือข่ายตามปกติช้าลง หรือใช้ไม่ได้
- กระทำการขัดขวางการเชื่อมต่อใดๆ ในเครือข่ายทำให้เครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่ายไม่สามารถสื่อสารกันได้ เช่น การถอดสายเชื่อมต่อเครือข่ายของเครื่องเซิร์ฟเวอร์ออกจากอุปกรณ์สวิตซ์
- กระทำการใดก็ตามเพื่อขัดขวางมิให้ผู้ใช้ในระบบไม่สามารถเข้าใช้บริการในระบบ เช่นการปิดบริการเว็บเซิร์ฟเวอร์ลง
- กระทำการในการทำลายระบบหรือบริการในระบบ เช่นการลบชื่อและข้อมูลผู้ใช้ออกจากระบบ ทำให้ไม่สามารถเข้าสู่ระบบได้
การโจมตีด้วยวิธี Distributed denial-of-service (DDoS) เป็นการโจมตีเครื่องเป้าหมายจากหลายๆ แห่งในเวลาพร้อมๆ กัน วัตถุประสงค์ของการโจมตีเหมือนกันกับ DoS คือเพื่อหยุดการทำงานของระบบ เป็นเหตุให้ระบบไม่สามารถใช้งานได้ตามปกติ ซึ่งการป้องกันการโจมตีประเภทนี้ทำได้ยาก และสร้างความเสียหายเป็นอย่างมาก
การโจมตีด้วยเวิร์ม (Worm) ที่ชื่อว่า “My Doom” ในระหว่างปี 2004 ซึ่งเป็นการโจมตีด้วยวิธี Distributed denial-of-service (DDoS) โดยมีวัตถุประสงค์เพื่อโจมตี www.sco.com (เว็บไซด์ของบริษัทผู้จัดจำหน่ายระบบปฏิบัติการ UNIX) การโจมตีเกินขึ้นระหว่างวันที่ 1 กุมภาพันธ์ 2004 – วันที่ 12 กุมภาพันธ์ 2004 เหตุผลของผู้โจมตีเพื่อเป็นโต้ตอบกลับบริษัท SCO ที่มีวัตถุประสงค์มุ่งร้ายต่อ Community ของโอเพ่นซอร์ส ระบบปฏิบัติการลีนุกซ์
Spoofing
เป็นวิธีการปลอมตัวเข้ามาใช้ระบบเครือข่ายหรือทรัพยากรต่าง ๆโดยทำตัวเหมือนผู้มีสิทธิ์ในการเข้าใช้งาน โดยผู้บุกรุกอยู่นอกเครือข่ายแล้วและไม่มีสิทธิ์ในการเข้าใช้ระบบเครือข่ายแกล้งทำเป็นว่าเป็นคอมพิวเตอร์ที่เชื่อถือได้ (Trusted) โดยอาจจะใช้ไอพีแอดเดรสเหมือนกับที่ใช้ในเครือข่าย หรืออาจจะใช้ไอพีแอดเดรสข้างนอกที่เครือข่ายเชื่อว่าเป็นคอมพิวเตอร์ที่เชื่อถือได้ หรืออนุญาตให้เข้าใช้ทรัพยากรในเครือข่ายได้ โดยปกติแล้วการโจมตีแบบไอพีสปูฟิงเป็นการเปลี่ยนแปลง หรือเพิ่มข้อมูลเข้าไปในแพ็กเก็ตที่รับส่งระหว่างไคลเอนท์และเซิร์ฟเวอร์ หรือคอมพิวเตอร์ที่สื่อสารกันในเครือข่าย การที่จะทำอย่างนี้ได้ผู้บุกรุกจะต้องปรับเราท์ติ้งเทเบิลของเราท์เตอร์ เพื่อให้ส่งแพ็กเก็ตไปยังเครื่องของผู้บุกรุก หรืออีกวิธีหนึ่งคือการที่ผู้บุกรุกสามารถแก้ไขให้แอพพลิเคชันส่งข้อมูลที่เป็นประโยช์ต่อการเข้าถึงแอพพลิเคชันนั้นผ่านทางอีเมล หลังจากนั้นผู้บุกรุกก็สามารถเข้าใช้แอพพลิเคชันได้โดยใช้ข้อมูลดังกล่าว
ปัจจุบันเราเตอร์และไฟร์วอลล์รุ่นใหม่ๆ ได้มีการจัดการป้องกันการโจมตีแบบ IP Spoofing พร้อมมาแล้ว
Man-in-the-Middle
มีคำย่อว่า MITM โดยวิธีการโจมตีนั้นผู้โจมตีจะอาศัยการปลอมตัวให้เหมือนกับ เครื่องคอมพิวเตอร์ที่ต้องการติดต่อด้วยทุกประการ โดยพยายามทำตัวเองให้เหมือนเครื่องคอมพิวเตอร์ที่ต้องการติดต่อด้วย เมื่อเหยื่อเข้าใจผิดคิดว่า เครื่องที่ใช้ทำเป็น Man in the Middle เป็นผู้ที่จะติดต่อด้วย ก็จะสามารถดักรับข้อมูลข่าวสารหรือแก้ไขรวมไปถึงกระทั้งขัดขวางการส่งข้อมูลทั้งหมดเลยก็ย่อมเป็นไปได้ โดยผู้โจมตีนั้นจะต้องทำให้เหยื่อเชื่อว่ากำลังเชื่อมต่อโดยตรงอยู่
อาจหมายความได้ว่า MITM เป็นวิธีการที่ผู้โจมตีสามารถที่จะเข้าถึงแพ็กเก็ตข้อมูลที่อยู่ระหว่างการส่งภายในเครือข่ายได้ เช่น ผู้โจมตีอาจอยู่ที่ ISP สามารถตรวจจับแพ็กเก็ตที่รับส่งระหว่างเครือข่ายภายในและเครือข่ายอื่น ๆ โดยผ่าน ISP การโจมตีนี้จะใช้ แพ็กเก็ต สนิฟเฟอร์เป็นเครื่องมือเพื่อขโมยข้อมูล หรือใช้เซสซั่น เพื่อแอ็กเซสเครือข่ายภายใน หรือวิเคราะห์การจราจรของเครือข่ายหรือผู้ใช้
วิธีการโจมตีแบบ Man-in-the-Middle หรือ TCP hijacking attack คือผู้บุกรุกจะนำแพ็กเกจที่วิ่งอยู่บนเครือข่าย มาทำการแก้ไข เพิ่มข้อมูล ปลอมแปลงข้อมูลและทำการส่งกลับไปยังเครือข่ายเหมือนเดิม ถือว่าเป็นหนึ่งในประเภทของการโจมตีแบบ IP Spoofing
ตัวอย่างวิธีการทำ man in the middle attack ด้วยการจำลองตัวเองเป็น Access Point ในระบบ Wireless Network สมมุติว่ามีผู้ใช้คอมพิวเตอร์ A และ B ต้องการที่จะส่งรหัสผ่านเกมส์ ให้กัน โดยมีผู้ใช้เครื่องคอมพิวเตอร์ C เป็นผู้ต้องการรหัสผ่านเกมส์ของผู้ใช้คอมพิวเตอร์ทั้งคู่ โดยเริ่มต้น ผู้ใช้คอมพิวเตอร์ C ได้ทำการปลอมตัวให้เหมือนกับ Access point ของผู้ใช้คอมพิวเตอร์ B ทุกประการโดยใช้วิธีการทำ Man in the Middle ต่อมาผู้ใช้คอมพิวเตอร์ A ได้เริ่มทำการส่งข้อมูลไปว่า “User : Gogogo Password : 123456” และเมื่อข้อมูลมาถึงผู้ใช้คอมพิวเตอร์เครื่อง C ผู้ใช้คอมพิวเตอร์เครื่อง C จึงได้อ่านข้อมูลหรือสารสนเทศจากแพ็กเก็ต (Packet) และทำการแก้ข้อมูลไปว่า “User : Dododo Password:654321” และส่งข้อมูลหรือสารสนเทศนั้นต่อไปให้ผู้ใช้คอมพิวเตอร์เครื่อง B ซึ่งผู้ใช้คอมพิวเตอร์เครื่อง B ไม่ทราบเลยว่า Userและ Password ได้ถูกเปลี่ยนแปลงไปแล้ว ซึ่งต่อมาB ได้ทำการนำ User และ Password ไปใช้ทำการ login ปรากฏว่าไม่สามารถทำได้จึงได้ส่งข้อมูลกลับไปหาผู้ใช้เครื่องคอมพิวเตอร์ A ว่า “User และ Password ที่รับได้นั้นผิด” โดยเมื่อข้อมูลดังกล่าวของผู้ใช้คอมพิวเตอร์เครื่อง B ได้มาถึงผู้ใช้คอมพิวเตอร์เครื่อง C ซึ่งทำเป็น MITM เขาจึงทำการแก้ข้อมูลข่าวสารเหล่านั้นเป็น ”เรียบร้อยแล้วขอบคุณมาก” และส่งต่อให้ผู้ใช้คอมพิวเตอร์เครื่อง A เมื่อผู้ใช้คอมพิวเตอร์เครื่อง A ได้เห็นข้อความดังนั้นจึงคิดว่าได้รับ User และ Password แล้วจึงยุติการสื่อสารลงไป โดยผู้ใช้คอมพิวเตอร์เครื่อง C ก็สามารถทราบ User และPassword ไปใช้ประโยชน์
จากตัวอย่างจะได้ว่ากรณีของการใช้ Man in the middle attack นั้นหลักๆก็คือการพยายามตัวให้เหมือนกับว่าตัวเองนั้นเป็นคนกลางในการส่งข้อมูลข่าวสารต่างๆและต้องพยายามทำให้เหยื่อเชื่อว่ากำลังเชื่อมต่อกันโดยตรงอยู่
สำหรับวิธีการขัดขวางการถูกโจมตีแบบ TCP hijacking คือการเข้ารหัสด้วยการแลกเปลี่ยนคีย์ระหว่างผู้รับและผู้ส่ง ใช้ในการเข้ารหัสและถอดรหัสข้อมูล เพื่อป้องกันการถูกเข้าถึงข้อมูลจากบุกรุก หรือถ้าผู้เข้าถึงข้อมูลก็สามารถทราบได้ว่าข้อมูลถูกเปลี่ยนแปลง
Spam
นิยามของอีเมล์ขยะ หรือเรียก อีเมล์ขยะ คือ เป็นการจดหมายที่ไม่เป็นที่ต้องการให้กับคนจำนวนมาก จากแหล่งที่ผู้รับไม่เคยรู้จักหรือติดต่อมาก่อน โดยมากมักอยู่ในรูปของจดหมายอีเล็กทรอนิสก์ (E-mail) ทำให้ผู้รับรำคาญใจและเสียเวลาในการลบข้อความเหล่านั้นแล้ว Spam mail ยังทำให้ประสิทธิภาพการขนส่งข้อมูลบนอินเทอร์เน็ตลดลงด้วย
การรับส่งจดหมายอิเล็กทรอนิกส์ในเครือข่ายอินเทอร์เน็ตเป็นเครื่องมือที่นิยมมากที่สุดในปัจจุบันนี้ มีอีเมล์หลายล้านฉบับที่รับส่งกันผ่านเครือข่ายอินเทอร์เน็ต หากสังเกตดูจากอีเมล์ทั้งหมดของอีเมล์ที่ได้รับ จะมีอีเมล์ที่ผู้รับไม่ต้องการหรือเรียกว่า "อีเมล์ขยะ" ถึง 70% ส่วนที่เหลือจะเป็นอีเมล์ที่ผู้รับต้องการจริงๆ เท่านั้น ฉะนั้นการกรองหรือคัดสรรเฉพาะอีเมล์ที่ผู้รับต้องการนั้นเป็นเรื่องสำคัญอย่างหนึ่ง โดยการส่งสแปมเมล์เป็นการส่งอีเมล์โดยตรงไปยังผู้ใช้อีเมล์ ซึ่งรายชื่อผู้รับสแปมเมล์ส่วนใหญ่จะนำมาจากผู้ที่เคยส่งข้อความในกระทู้หรือสมาชิกตามเว็บที่มีการตั้งกระทู้ต่าง ๆ หรือเข้าไปขโมยรายชื่อผู้ใช้อีเมล์ในกลุ่มผู้สนใจเฉพาะด้าน (mailing lists) หรืออาจเข้าไปหาอีเมล์ในเว็บไซต์
สแปมเมล์จึงเป็นอีเมล์ที่เราไม่ต้องการ จุดประสงค์ของผู้ส่ง Spam Mail เพื่อต้องการโฆษณาและบริการต่างๆ สำหรับ Spam Mail จะสร้างความรำคาญให้กับผู้รับอีเมล์มากกว่าจุดประสงค์เพื่อการโจมตี แต่ในเดือนมีนาคม ปี 2002 มีรายงานว่ามีการแนบไวรัสมากับ Spam Mail ด้วย หลายๆ บริษัทพยายามที่จะป้องกัน Spam Mail โดยการที่ใช้เทคโนโลยีในการคัดกรอกอีเมล์แต่ก็มีบางบริษัทที่ใช้วิธีแบบง่ายๆ โดยให้ผู้ใช้ลบอีเมล์ที่ไม่ต้องการออกจากระบบอีเมล์ของบริษัทด้วย
แนวทางการกำจัดสแปมเมล์ที่ไม่ต้องการให้หมดแบบถาวรจากอีเมล์ของผู้ใช้ไปเลยนั้นทำได้ยาก แต่มีคำแนะนำในการทำให้สแปมเมล์ในกล่องเก็บอีเมล์ของคุณลดลงได้ดังนี้
- ควรใช้โดเมนอินเทอร์เน็ตหรือผู้ให้บริการอีเมล์ที่มีการป้องกันสแปมเมล์ด้วย ซึ่งในความเป็นจริงไม่มีโดเมนใดที่สามารถป้องกันสแปมเมล์ได้ทั้งหมด แต่ก็ยังดีกว่าไม่มีการป้องกันสแปมเมล์
- ไม่ควรตอบจดหมายอีเมล์ขยะ รวมทั้งไม่ซื้อสินค้าจากโฆษณาที่ผู้ส่งสแปมเมล์ส่งมา หรืออาจจะลบอีเมล์ขยะโดยไม่เปิดอ่านเลย เพราะบางอีเมล์อาจจะบรรจุคุกกี้ (cookies) ไว้ ทำให้ผู้ส่งรู้ข้อมูลของผู้รับได้
- ควรระมัดระวังในการให้ที่อยู่อีเมล์แก่ผู้อื่น
- เปลี่ยนแปลงที่อยู่อีเมล์เมื่อเข้าไปในเว็บไซต์หรือกลุ่มข่าว เช่น เพิ่มข้อความหน้าที่อยู่อีเมล์ของเรา เพื่อไม่ให้ส่งอีเมล์มาถึงผู้รับได้ "HAPPYyourname@domain.com" เพียงเท่านี้ก็จะทำให้ชื่อของเราไม่อยู่ในบัญชีรายชื่อของผู้ส่งอีเมล์ขยะ
Mail Bombing
เป็นการโจมตีอีกรูปแบบหนึ่งจากการใช้อีเมล์มีลักษณะการโจมตีที่คล้ายกับ DoS (Denial-of-Service) เรียกว่า Mail Bomb เป็นการที่ผู้โจมตีทำการส่งอีเมล์จำนวนมหาศาลไปยังเครื่องเป้าหมายเพื่อจุดประสงค์ทำให้ระบบอีเมล์ล่มไม่สามารถทำงานได้ตามปกติ
Sniffers
เรียกว่า สนิฟฟิง (Sniffing) หรืออีฟดรอปปิง (Eavesdropping) ซึ่งมีความหมายเดียวกัน คือ วิธีการที่ดักรับข้อมูลการสื่อสารที่อยู่ในระบบเครือข่าย โดยข้อมูลนั้นมิใช่ของตนเอง ผู้ดักรับข้อมูลจะไม่มีการเข้าไปเปลี่ยนแปลงหรือแก้ไขข้อมูลนั้น โดยเพียงนำข้อมูลดังกล่าวไปใช้ประโยชน์แทน
การสื่อสารข้อมูลระหว่างคอมพิวเตอร์ด้วยกันเองนั้นเครือข่าย ข้อมูลต่างๆที่จะถูกส่งผ่านไปในระบบเครือข่ายจะมีการแบ่งย่อยๆ ออกเป็นชุดเล็กๆ ซึ่งเรียกว่าแพ็กเก็ต (Packet) ซึ่งเวลาส่งผ่านข้อมูลนั้นข้อมูลจะยังเป็นข้อมูลที่อยู่ในรูปแบบเคลียร์เท็กซ์ (Clear Text) ซึ่งบางกรณีจะอาศัยการสื่อสารกันแบบรอดคลาส (Broadcast) หมายถึงกระจายข้อความออกไปทุกทาง (ยกเว้นทางที่มันมา) เช่น สมมุติว่ามีคอมพิวเตอร์ A,B,C และ D จำนวน 4 ตัว เชื่อมต่อเครือข่ายเวลาที่คอมพิวเตอร์ A และ B ต้องการสื่อสารกันคอมพิวเตอร์เครื่อง A ก็จะต้องส่งข้อมูลผ่านระบบเครือข่ายเพื่อส่งไปให้คอมพิวเตอร์ เครื่อง B ซึ่งส่งในลักษณะบรอดคลาส (Broadcast) หมายความข้อมูลของคอมพิวเตอร์เครื่อง A จะถูกส่งไปยังคอมพิวเตอร์เครื่อง B , C และ D พร้อมๆ กัน ซึ่งโดยในแพ็กเก็ตที่ส่งไปนั้นจะมีเฮดเดอร์ไฟล์ (Header file) บอกว่าจะส่งให้เครื่องคอมพิวเตอร์เครื่องใด และคอมพิวเตอร์แต่ละเครื่องจะรู้ว่าข้อมูลดังกล่าวนั้นส่งมาถึงเครื่องเราหรือไม่ ถ้าไม่ใช่ก็จะไม่รับข้อมูลนั้น แต่หากว่าเครื่องคอมพิวเตอร์ D ใช้เทคนิคการดักจับแพ็กเก็ต หรือเรียกว่า Packet Sniffer ซึ่งสามารถหาโปรแกรมดังกล่าวได้งานในปัจจุบันตามอินเทอร์เน็ต ดักรับข้อมูลทุก ๆแพ๊กเก็ตที่วิ่งอยู่ในระบบเครือข่าย ก็จะสามารถรับทราบข้อมูลของเครื่องคอมพิวเตอร์ A ที่จะส่งไปให้ B ว่ามีข้อมูลอะไรบ้าง (ส่งในลักษณะเคลียร์เท๊กซ์) ซึ่งการป้องกันนั้นจะใช้วิธีการเข้ารหัส (Encryption) ข้อมูล เพื่อป้องกันไม่ให้ข้อมูลนั้นอ่านและเข้าใจความหมายได้แม้จะมีการดักรับข้อมูลได้ก็ตาม
Sniffer เป็นโปรแกรมหรืออุปกรณ์ที่คอยดักจับข้อมูลที่วิ่งอยู่บนระบบเครือข่าย Sniffer สามารถถูกนำไปใช้ในด้านที่ดีและไม่ดี ด้านที่ดีคือ Sniffer สามารถช่วยในการบริหารจัดการเครือข่าย เช่นใช้ในการวิเคราะห์ปัญหาความผิดพลาดของระบบเครือข่าย ส่วนในการนำไปใช้ในด้านที่ไม่ดี คือการใช้เพื่อการขโมยข้อมูล ซึ่งการใช้ Sniffer โดยไม่ได้รับอนุญาตของผู้บุกรุก จะเป็นอันตรายต่อความปลอดภัยของเครือข่ายอย่างมาก เพราะว่าหลายๆ ระบบและผู้ใช้จะมีการส่งข้อมูลระหว่างกัน โดยใช้เครือข่ายภายใน ซึ่งจะไม่มีการเข้ารหัสข้อมูล ก็จะทำให้โปรแกรม Sniffer สามารถมองเห็นข้อมูลได้ทั้งหมด ไม่ว่าจะเป็นรหัสผ่านต่างๆ และข้อมูลที่อยู่ภายในเอกสาร
Social Engineering
Social Engineering เป็นเทคนิคการใช้ทักษะในการโน้มน้าวให้ผู้อื่นยอมเปิดเผยข้อมูลส่วนตัวหรือข้อมูลสำคัญอื่นๆ ให้กับผู้โจมตี ยกตัวอย่างในกรณีที่ผู้โจมตีทราบชื่อของ CIO ของบริษัท แล้วทำแอบอ้างเป็น CIO เพื่อทำการหลอกลวงเพื่อสอบถามข้อมูลที่ผู้โจมตีต้องการจากพนักงานของบริษัท
Phishing
นิยาม คือ เป็นการโจรกรรมข้อมูลทางระบบอินเทอร์เน็ต รูปแบบเป็นการหลอกลวงให้เข้าใจผิดเรื่องลิงค์ (Link) ของเว็บไซต์ การปลอมแปลงอี-เมล์ (Email Spoofing) และทำการสร้างเว็บไซต์ปลอม โดยหลอกลวงให้ผู้ใช้คอมพิวเตอร์เข้าใจผิดว่าเป็นเว็บไซด์ที่ต้องการเข้าไปใช้งานจริง ๆ โดยส่วนใหญ่จะพบเห็นได้กับเว็บไซด์ที่ให้บริการทางด้านเงิน เช่น การบริการของธนาคารผ่านอินเทอร์เน็ต เมื่อเหยื่อหรือผู้รับอี-เมล์ เข้าไปยังเว็บไซด์หรือเข้าไปตามลิงค์ (Link) ที่ถูกปลอมแปลงซึ่งผู้ใช้คอมพิวเตอร์ดังกล่าวคิดว่าเป็นเว็บไซด์ที่ให้บริการจริง ๆ ก็จะเปิดเผยข้อมูลทางด้านการเงินหรือข้อมูลส่วนบุคคลอื่นๆ อาทิ ข้อมูลของหมายเลขบัตรเครดิต บัญชีผู้ใช้ (Username) และ รหัสผ่าน (Password) หมายเลขบัตรประจำตัวประชาชน หรือข้อมูลส่วนบุคคลอื่นๆ โดยข้อมูลดังกล่าวจะถูกนำไปใช้งานอีกทีหนึ่งแทนเจ้าของข้อมูล ซึ่งจะสร้างความเสียหายอย่างมากต่อเจ้าของข้อมูลที่แท้จริง
การทำ Phishing สามารถทำได้โดยการขโมยหรือนำเครื่องหมายหรือสัญลักษณ์ตลอดจนรูปลักษณ์ของธนาคารหรือสถาบันการเงินที่มีชื่อเสียง และบัตรเครดิตประเภทต่างๆของผู้ประกอบการ การให้สินเชื่อทางอินเตอร์เน็ต มาประกอบเข้ากับการหลอกลวงเหยื่อหรือผู้ใช้ให้เปิดเผยข้อมูล ซึ่งมีการประเมินเบื้องต้นว่า การโจมตีในรูปแบบของ Phishing สามารถหลอกให้เหยื่อร้อยละ 5 ของทั้งหมด เปิดเผยข้อมูลที่ต้องการ นอกจากนี้ ผู้โจมตี (Hacker หรือ Spammer) ยังใช้ยุทธวิธีการหลอกลวงแบบ Social Engineering ประกอบเพิ่มเติม เพื่อให้มีความน่าเชื่อถือยิ่งขึ้น เช่น การหลอกลวงชื่ออี-เมล์ เป็นต้นว่าเป็นเรื่องด่วนจากธนาคาร การหลอกลวงว่าบัญชีที่ใช้งานจะหมดอายุ การเสนอสินค้าที่มีดอกเบี้ยต่ำต่างๆ เป็นต้น
วิธีการป้องกันและรับมือกับการถูกโจมตีแบบ Phishing
1. หยุดคิดและพิจารณาข้อมูลที่ได้รับทางอี-เมล์ หรือข้อมูลที่เข้าไปดูในเว็บไซต์ทุกครั้ง
2. ควรลบข้อมูลที่น่าสงสัยนั้นทิ้งทันที
3. หากมีความจำเป็นต้องกรอกหรือส่งข้อมูลใดทางเว็บไซต์ ต้องพิจารณาความน่าเชื่อถือของเว็บไซต์ดังกล่าวว่ามีตัวตนหรือมีการรับรองหรือไม่ หากไม่แน่ใจควรติดต่อไปยังเจ้าของเว็บไซต์หรือเจ้าของสถาบันการเงินดังกล่าว เพื่อสอบถามข้อมูลและยืนยันข้อมูลก่อนการดำเนินการใดๆ
4. ไม่ควรเข้าไปในเว็บไซต์หรือรันไฟล์ที่แนบมากับอี-เมล์ ซึ่งมาจากบุคคลที่ไม่รู้จัก หรือไม่มั่นใจว่าผู้ส่งเป็นใคร หรือไม่ทราบว่าไฟล์ดังกล่าวเป็นไฟล์อะไร ตลอดจนเว็บไซต์หรือไฟล์ที่ถูกส่งมาด้วยโปรแกรมสนทนาประเภทต่างๆ เช่น IRC, ICQ, MSN หรือ PIRCH เป็นต้น
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟแวร์ที่มีการใช้อยู่ในเครื่องคอมพิวเตอร์ของท่านอยู่เสมอ
6. ติดตามข่าวสารและการแจ้งเตือนทางด้านการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ ผ่านทางอี-เมล์ ของศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย (ThaiCERT) http://www.thaicert.nectec.or.th/mailinglist/register.php
Pharming
การโจมตีด้วยวิธีการ Pharming นี้ เหยื่อจะสังเกตได้ยากมาก หรือเรียกได้ว่าแทบไม่รู้ตัวเลยก็ว่าได้ เพราะ URL ที่เข้าไปก็เหมือนกับของ Web Site จริงทุกประการ แต่เป็นกลลวงที่ระบบ DNSทำให้เหยื่อเกิดความเข้าใจผิด
Timing Attack
การโจมตีแบบ Timing Attack เป็นการเข้าไปทำการสำรวจภายในหน่วยความจำของตัวเว็บบราวเซอร์ (Web Browser) และทำการส่งคุกกี้ (Cookies) ที่มีวัตถุประสงค์ร้ายเข้าไปยังเครื่องเป้าหมาย โดยตัวคุกกี้นัน่ จะทำการเก็บรวบรวมข้อมูล เพื่อให้ทราบว่าจะสามารถเข้าสู่เว็บไซด์ที่ป้องกันด้วยรหัสผ่านได้อย่างไรการโจมตีอีกแบบที่มีชื่อเหมือนกันจะเป็นการโจมตีที่เกี่ยวข้องกับกับการดักข้อมูลที่ใช้สำหรับการถอดรหัสข้อมูล ได้แก่กุญแจที่ใช้ในการถอดรหัสและอัลกอริทึ่มที่ใช้ในการเข้ารหัสข้อมูล
แนวโน้มของภัยคุกคามความมั่นคงระบบสารสนเทศ
1. พัฒนาการของภัยคุกคามการรักษาความปลอดภัย
การป้องกันและรักษาความปลอดภัยข้อมูลหรือสารสนเทศนับวันจะทำได้ยากขึ้นตามลำดับ เนื่องมาจากภัยคุกคามที่เกิดขึ้นนั้นมีรูปแบบ วิธีการที่หลากหลาย และซับซ้อนมากขึ้น โดยจตุชัย แพงจันทร์ ได้กล่าวถึงพัฒนาการของภัยคุกคามการรักษาความปลอดภัยไว้ดังนี้
1. ความเร็วในการโจมตี
ความสามารถของฮาร์ดแวร์และซอฟต์แวร์ และเครื่องมือต่างๆ มีความทันสมัยสะดวกและง่ายต่อการใช้งาน ทำให้ผู้โจมตีใช้ความสามารถดังกล่าวค้นหาเป้าหมายที่มีจุดอ่อนหรือช่องโหว่และโจมตีอย่างรวดเร็ว (Speed of attacks) เช่น ในปี 2003 สแลมเมอร์เวิร์ม (Slammer Worm) สามารถทำลายคอมพิวเตอร์ได้มากกว่า 75,000 เครื่อง ภายในเวลา 11 นาทีแรกนับจากจุดเริ่มต้นการโจมตี และสามารถแพร่กระจายได้เป็นเท่าตัวทุกๆ 8.5 วินาที และที่สูงสุดของสแลมเมอร์ทำไว้คือสามารถแสกนได้ 55 ล้านเครื่องต่อวินาที เพื่อค้นหาคอมพิวเตอร์ที่จะทำลาย
2. ความซับซ้อนในการโจมตี
การโจมตีในปัจจุบันมีความซับซ้อนเพิ่มมากขึ้นเรื่อยๆ บางเครื่องมือที่ใช้สำหรับโจมตีมีความหลากหลายในตัวมันเอง ทำให้มีความแตกต่างในแต่ละครั้งที่โจมตี ทำให้การตรวจจับนั้นทำได้ยาก การโจมตีนั้นได้หันมาใช้โปรโตคอลที่ใช้เป็นประจำอย่างเช่น HTTP (Hypertext Transfer Protocol) สำหรับส่งข้อมูลและคำสั่งเพื่อโจมตีคอมพิวเตอร์ ทำให้ยากที่แยกความแตกต่างระหว่างการโจมตีกับการใช้งานปกติ
3. ความรวดเร็วในการค้นหาจุดอ่อน
จำนวนของช่องโหว่หรือจุดอ่อน (Vulnerability) ใหม่ที่พบในแต่ละปีนั้นมีเพิ่มขึ้นเป็นสองเท่าทุกปี จนบางครั้งทำให้ผู้พัฒนาซอฟต์แวร์อัพเดตหรือปิดช่องโหว่ไม่ทัน และสิ่งที่น่ากลัวที่สุดคือ การโจมตีแบบ Day Zero Attack ซึ่งหมายถึง การโจมตีที่เกิดขึ้นโดยผู้โจมตีนั้นสามารถค้นหาช่องโหว่ได้เอง โดยที่ช่องโหว่นั้นยังไม่มีใครค้นพบมาก่อนและสร้างเครื่องมือในการโจมตีผ่านช่องโหว่นี้ ทำให้เป้าหมายนั้นไม่มีทางรู้ได้เลยว่าถูกโจมตีฝ่ายช่องโหว่ใด ยิ่งเป็นการยากและใช้เวลานานมากขึ้นในการแก้ไขปัญหาการโจมตีประเภทนี้
4. การโจมตีแบบแยกกระจาย
ปัจจุบันนักโจมตีสามารถใช้คอมพิวเตอร์หลายพันหลายแสนเครื่องโจมตีเป้าหมายเดียวกัน (Distribute Attack) โดยขั้นตอนแรกนั้นนักโจมตีก็จะค้นหาเครื่องร่วมโจมตี ฝังโค๊ดและตั้งเวลาในการโจมตีพร้อมๆ กัน การโจมตีแบบแยกกระจายนี้ทำให้ยากต่อการป้องกันและหยุดยั้งการโจมตีได้เพราะแหล่งที่มานั้นมากเกินไปที่จะสามารถบล็อกหรือป้องกันได้
5. ความซับซ้อนในการติดตั้งแพตช์
การป้องกันการโจมตีในรูปแบบต่างๆ ที่ได้ผลที่สุดก็โดยการติดตั้งแพตช์ (Patch) ซึ่งก็คือซอฟต์แวร์ที่ช่วยปิดช่องโหว่ หรือจุดอ่อนที่มีอยู่ในแอพพลิเคชันหรือระบบปฏิบัติการ อย่างไรก็ตามการจัดการเกี่ยวกับแพตช์และต้องรู้ว่าจะต้องติดตั้งแพตช์ไหนบ้างอย่างไรกลายเป็นสิ่งที่ยากและซับซ้อน การโจมตีที่สำเร็จโดยส่วนใหญ่นั้นเกิดจากที่ผู้ใช้ไม่ได้ติดตั้งแพตช์ที่ได้ออกมานานและก่อนการโจมตีด้วยซ้ำ
10 อันดับภัยคุกคามความมั่นคงระบบสารสนเทศประจำปี 2552-2553
ในปัจจุบันการใช้งานระบบอินเทอร์เน็ตในประเทศไทยนั้น มีจำนวนผู้ใช้งานมากกว่า 10 ล้านคน (ข้อมูลจาก NECTEC และสำนักงานสถิติแห่งชาติ) ส่วนใหญ่จะมีช่วงอายุที่ยังไม่มากนัก เช่น เด็กมัธยมและวัยรุ่น ยกตัวอย่างเช่น การเล่นเกมส์ออนไลน์ผ่านอินเทอร์เน็ตทุกครัวเรือน จากความนิยมของเทคโนโลยีอินเทอร์เน็ตความเร็วสูง (ADSL) ผู้ใช้งานอินเทอร์เน็ตส่วนใหญ่ในวันนี้กำลังเพลิดเพลินไปกับเทคโนโลยี WEB2.0 ที่รู้จักในนามของ Social Network เช่น Hi5, My Space และ Face Book
ภัยคุกคามความมั่นคงระบบสารสนเทศสมัยใหม่จึงมุ่งไปยังกลุ่มผู้ใช้งานตามบ้านผ่านทางการเข้าเว็บไซต์ Social Network ดังกล่าว อีกทั้ง การนิยมชำระเงินและทำธุรกรรมผ่านทางระบบออนไลน์ เช่น ระบบ Internet Banking และระบบ Pay-Online ทำให้กลุ่มผู้ไม่หวังดีหันมาปล้นเงินผ่านทางระบบออนไลน์เพิ่มมากขึ้น ด้วยวิธีการล่อลวงในแบบต่างๆ เช่น Phishing และ Pharming ดังนั้นจึงสรุปได้ว่า ภัยคุกคามความมั่นคงระบบสารสนเทศประจำปี 2009 (ตอนที่1) นั้น แบ่งประเภทได้เป็น 10 ประเภท ดังต่อไปนี้
1. ภัยจากการใช้เทคโนโลยี WEB2.0 และ Social Networking (Client Side Attack)
การหลอกลวงผ่านทางการเข้าเว็บไซต์ยอดนิยม เช่น Hi5 หรือ Face Book นั้นกำลังเป็นที่นิยมไปยังหมู่แฮกเกอร์ ด้วยเทคนิคหลากหลายรูปแบบผสมผสานกัน เช่น การใช้ Phishing ร่วมกับ Social Engineering เช่น การหลอกให้ผู้ใช้หลงเข้าไป ล็อกอินในเว็บไซต์ปลอมที่ดูเหมือนเว็บไซต์ Social Network ยอดนิยม ทำให้ผู้ใช้งานอินเทอร์เน็ตถูกขโมย Username และ Password โดยไม่รู้ตัว (Identity Theft) ยิ่งไปกว่านั้นโปรแกรมประสงค์ร้าย เช่น โปรแกรมม้าโทรจันยังนิยมแพร่กระจายผ่านทางเว็บไซต์ Social Network ดังกล่าวด้วย
การป้องกันไม่ให้ตกเป็นเหยื่อการล่อลวงอย่างที่กล่าวมาแล้ว คือ ต้องคอยสังเกตเวลา Login เข้าเว็บไซต์ว่าเป็น เว็บไซต์จริงหรือเว็บไซต์ปลอม ต้องมีสติระลึกให้รู้ก่อนคลิกหรือป้อนข้อมูลส่วนตัว เช่น Username หรือ Password ลงในเว็บไซต์ที่กำลังใช้งานอยู่ นอกจากนี้ยังควรหมั่น update ข้อมูลข่าวสารให้เป็นปัจจุบันโดยการเข้าไปอ่านข่าวเกี่ยวกับเรื่องความปลอดภัยในอินเทอร์เน็ตหรืออ่านจากแมกกาซีนต่างๆ เพื่อให้เข้าใจถึงเทคนิคการล่อลวงใหม่ๆ ที่อาจเกิดขึ้นได้ตลอดเวลา
2. ภัยจากการทำธุรกรรมออนไลน์และการใช้ E-Commerce
ภัยในข้อสองนี้กำลังมีอัตราการเพิ่มขึ้นตามความนิยมที่ผู้คนชอบหันมาทำธุรกรรมออนไลน์มากขึ้น เช่น การโอนเงินไม่จำเป็นต้องโอนเงินที่ตู้เอทีเอ็ม แต่สามารถโอนผ่าน Internet Banking ได้เนื่องจากสะดวกสบาย รวดเร็ว และประหยัดค่าใช้จ่ายในการเดินทาง ที่สำคัญไม่ต้องใช้บัตรเอทีเอ็มก็สามารถโอนได้ หรือการซื้อของผ่านทางอินเทอร์เน็ตใช้เพียงแค่ข้อมูลในบัตรเครดิตก็สามารถสั่งซื้อของได้โดยง่าย ดังนั้น กลุ่มอาชญากรคอมพิวเตอร์รุ่นใหม่จึงนิยมเจาะระบบการทำธุรกรรมออนไลน์เป็นหลัก เนื่องจากมีผลประโยชน์จากการได้ขโมยเงินในบัญชีของเหยื่อ เรียกว่า No Hack For Fun แต่ Hack For Money สามารถดำรงชีวิตอยู่ได้จากการประกอบมิจฉาชีพโดยการเจาะระบบ แฮกเกอร์บางคนทำเป็นอาชีพเลยก็มี นอกจากการเจาะระบบแล้วยังมีกลโกงโดยการปลอมและ copy บัตรเอทีเอ็มอย่างผิดกฎหมายอีกด้วย เหยื่อมักถูกหลอกให้ติดตั้งโปรแกรมม้าโทรจันลงบนเครื่องผ่านทาง Internet Browser ยอดนิยมเช่น IE และ Firefox โดยเทคนิค Phishing และ Pharming โปรแกรมม้าโทรจันดังกล่าวมักจะทำงานในลักษณะของโปรแกรมดักข้อมูลจากคีย์บอร์ด (Key Logger)
เคยมีกรณีตัวอย่างเกิดขึ้นในประเทศไทยมาแล้ว โดยลูกค้าธนาคารแห่งหนึ่งถูกขโมยโอนเงินไปกว่า 800,000 บาท จากวิธีดังกล่าว เทคนิคการหลอกหลวงนั้นยังพัฒนาเพื่อการขโมย Username และ Password ของเหยื่อ เช่น เทคนิค Fast Flux (DNS Hijacking) หรือเทคนิค TYPO-SQUATTING (URL Hijacking) ตลอดจนการโทรศัพท์หลอกลวงให้บอกข้อมูลส่วนตัวดังที่เป็นข่าวใหญ่ในหนังสือพิมพ์หลายฉบับ ด้วยเทคนิค Vishing และการแอบ copy บัตรเครดิตเพื่อทำบัตรปลอมที่เรียกว่า Skimming รวมทั้งการหลอกลวงโดยเทคโนโลยีเดิมที่เก่าแก่ที่สุดในโลก ได้แก่ เทคนิค Social Engineering โดยการหลอกอำเหยื่อเพียงแค่ส่งอีเมลล์มาหลอก นิยมเรียกเทคนิคนี้ว่า Internet SCAM เช่น จดหมายหลอกลวงไนจีเรียสสแคม(Internet SCAM) โดยหลอกลวงว่าเราจะได้รับเงินก้อนใหญ่แค่เพียงโอนเงินค่าธรรมเนียมเล็กน้อยไปให้เขาก่อน เรียกว่าตกทองยุคไฮเทคก็ว่าได้
ทางแก้ปัญหาทั้งหมดดังกล่าวนี้ ก็เป็นทางแก้เดิมๆ ด้วยการกำหนดสติเวลาที่เราทำธุรกรรมออนไลน์ ไม่หลงเชื่ออีเมลล์หลอกลวงที่ทำให้เราเกิดความโลภ และตกเป็นเหยื่อโดยรู้เท่าไม่ถึงการณ์ ส่วนการถูกแอบปลอมบัตรเครดิตนั้น ทางแก้คือ ควรหมั่นตรวจเช็ค Credit Card Statement และ ถ้าพบปัญหาให้แจ้งไปยังธนาคารต้นสังกัดที่เราใช้บัตรเครดิตอยู่ ก็สามารถป้องกันและแก้ไขปัญหาดังกล่าวได้
3. ภัยจากระบบ BOTNET (Robot Network)
กล่าวถึงปัญหา BOTNET เป็นปัญหาใหญ่ของ ISP ทั่วโลกในช่วง 2-3 ปีที่ผ่านมา เพราะจะทำให้ลูกค้าของ ISP เช่น ผู้ใช้งานอินเทอร์เน็ตตามบ้านถูกยึดเครื่องเปลี่ยนไปเป็นเครื่องของแฮกเกอร์โดยไม่รู้ตัว เมื่อเครื่องที่ถูกยึดมีจำนวนมากขึ้น เป็นหลักหมื่น หลักพัน ทำให้การจราจรข้อมูลของ ISP เกิดปัญหาเรื่องความล่าช้า บางรายไม่สามารถให้บริการได้ ปัญหาดังกล่าวเกิดจากผู้ใช้งานอินเทอร์เน็ตตามบ้านยังไม่มีความเข้าใจและยังไม่ระมัดระวังภัยที่เกิดขึ้นจากการใช้งานระบบอินเทอร์เน็ต เช่น ได้รับข่าวสารว่าจะมีภัยสึนามิเกิดขึ้นในภาคใต้เป็นครั้งที่ 2 ก็รีบเปิดไฟล์ดูกันด้วยความตื่นตระหนกตกใจในข่าวดังกล่าว เป็นเหตุให้ถูกหลอกให้เปิดโปรแกรมไวรัสหรือ worm ทำให้เครื่องของเหยื่อกลายเป็น BOT หรือ Zombie ไปโดยปริยาย จากนั้นเครื่องของเหยื่อจะถูกควบคุมระยะไกลโดยแฮกเกอร์ที่ส่งโปรแกรมดังกล่าวหลอกผ่านมาทางอีเมลล์ ข่าวร้ายที่เราได้รับวิธีการนี้นิยมกันมากในยุโรปเรียกว่า Strong Worm โดยหลอกว่ามีคน 230 คนตายเนื่องจากพายุที่เกิดขึ้นในยุโรป ทางแก้ปัญหานั้นแบ่งออกเป็น 2 ทาง คือ
3.1. แก้ปัญหาที่ ISP โดยใช้เทคโนโลยีในการควบคุมเครื่องลูกค้าที่เป็น BOT ไปแล้ว ไม่ให้ส่งข้อมูลมารบกวนเครื่องลูกค้าปกติที่ยังไม่ได้กลายเป็น BOT ซึ่ง ISP แต่ละรายจะใช้เทคนิคในการแก้ปัญหาที่แตกต่างกัน
3.2 การแก้ปัญหาอีกทางหนึ่งคือ การแก้ปัญหาที่เครื่องผู้ใช้งานอินเทอร์เน็ตตามบ้าน โดยแนะนำให้ตั้งเป็นโปรแกรม Anti Malware ในคอมพิวเตอร์ทุกเครื่อง ตลอดจนไม่ดาวน์โหลดหรือเปิดโปรแกรม .EXE โดยไม่จำเป็นเพื่อไม่ให้โปรแกรมมุ่งร้ายสามารถทำงานบนเครื่องของเราได้
4. ภัยจากพนักงานภายในบริษัท หรือลูกจ้างชั่วคราวเข้าเจาะระบบของบริษัทเอง (Insider Attack)
โดยปกติแล้วพนักงานบริษัททั่วไปจะมีคอมพิวเตอร์ใช้งานกันทุกคนและมักใช้งานในเรื่องที่ไม่เกี่ยวข้องกับการทำงานของบริษัทอยู่มากพอสมควรเช่น การโหลดหนัง โหลดเพลง การใช้ MSN และการใช้งานเว็บไซต์ Social Network นอกจากเรื่องเสียเวลาทำงานแล้ว ซึ่งไม่ใช่ประเด็นหลัก ปัญหาที่ควรกังวลก็คือ การที่ผู้ใช้งานคอมพิวเตอร์รู้เท่าไม่ถึงการณ์เผลอโหลดหรือเปิดไฟล์ไวรัสที่ถูกส่งมาผ่านทางอินเทอร์เน็ต จากการใช้งานโปรแกรมดังกล่าว โดยไม่ระมัดระวัง ทำให้เครือข่ายภายในบริษัทหรือองค์กรเกิดปัญหาติดไวรัสเป็นจำนวนมาก ทางแก้ปัญหาสามารถทำได้โดยการกำหนดให้มีนโยบายหรือ Policy ที่เราเรียกว่า Acceptable Use Policy (AUP) เพื่อให้ผู้ใช้ได้ปฏิบัติตามนโยบายดังกล่าว จำเป็นต้องมีการฝึกอบรมที่เราเรียกว่า iSAT หรือ Information Security Awareness Training เกิดขึ้นเป็นประจำอย่างน้อยปีละ 2 ครั้ง จะช่วยแก้ปัญหาดังกล่าวได้มาก
องค์กรใหญ่หลายองค์กรนิยมเชิญผู้เชี่ยวชาญภายนอกมาฝึกอบรมในหลักสูตรดังกล่าวเป็นประจำทุกปี โดยจะให้ได้ผลที่ดีนั้น จำเป็นอย่างยิ่งที่ต้องอบรมพนักงานทุกคนทั้ง IT และ Non-IT นอกจากนี้ ปัญหา Insider Attack ยังรุนแรงกว่าการรู้เท่าไม่ถึงการณ์ของการใช้คอมพิวเตอร์ทั่วไปดังที่กล่าวมาแล้วในตอนต้นคือ การที่พนักงานบางคนมีเจตนามุ่งร้ายในการแอบขโมยข้อมูลบริษัทเพื่อผลประโยชน์ส่วนตัว หรืออาจจะเกิดจากความแค้นในบางเรื่องแล้วทำการเจาะเข้าระบบของบริษัทตัวเอง ซึ่งธรรมดาก็จะง่ายกว่าคนนอกมาเจาะอยู่แล้ว เนื่องจากเป็นการเจาะระบบจากภายใน ทำให้ข้อมูลรั่วไหลออกไปโดยง่าย ไม่ว่าจะผ่านทางการส่งอีเมลล์หรือ copy ลง USB Drive ก็ยากที่จะตรวจสอบ หากบริษัทหรือองค์กรไม่มีเทคโนโลยี DRM และ DLP ไว้ป้องกัน สิ่งที่น่ากลัวในอนาคตก็คือ อัตราการเพิ่มของ Insider Attack นั้นมีอัตราเพิ่มขึ้นทุกปี ทำให้การป้องกันข้อมูลรั่วไหลในองค์กรหรือ Data Loss Prevention กลายเป็นเรื่องสำคัญขึ้นมา ในองค์กรที่มีข้อมูลสำคัญอยู่เช่น ธนาคาร บริษัทที่ปรึกษา บริษัทวิจัย บริษัทออกแบบ และบริษัทที่มีทรัพย์สินทางปัญญาที่มีความสำคัญกับการดำเนินการธุรกิจ
ทางแก้ปัญหาดังกล่าวนั้น ควรมีเทคโนโลยีขั้นสูงที่จะป้องกันไม่ให้ข้อมูลรั่วไหลจากที่กล่าวมาแล้วคือ DLP และ DRM ปัญหาคือ ราคายังค่อนข้างสูง อาจนำมาใช้ได้ในบางระบบก่อนแล้วค่อยเพิ่มเติมในภายหลัง อีกสิ่งที่ได้ผลคือ หมั่นตรวจสอบระบบโดย Internal Audit หรือ External Audit อย่างสม่ำเสมอ ก็จะช่วยให้เราทราบถึงเหตุการณ์ต่างๆ ที่เกิดขึ้น ก่อนที่ปัญหาจะลุกลามออกไปในอนาคต เพราะความเสียหายที่เกิดขึ้นจากข้อมูลรั่วไหลนั้นเป็นความเสียหายที่รุนแรง อาจทำให้ถูกฟ้องร้องซึ่งมีหลายบริษัทที่ต้องปิดกิจการไปแล้วหลายราย ดังนั้นผู้บริหารระดับสูงไม่ควรมองข้ามภัยข้อนี้เด็ดขาด
5. ภัยจากการไม่เข้าใจในแนวคิด GRC ของผู้บริหารระดับสูงขององค์กร
แนวคิด GRC ย่อมาจาก Governance, Risk and Compliance กำลังเป็นแนวคิดที่ได้รับความนิยมไปทั่วโลก เห็นได้จากหน่วยงานที่มีหน้าที่ในการควบคุมกำกับดูแล เช่น ธนาคารแห่งประเทศไทย กรต. สตง. ตลอดจนสคร. (โดยบริษัท TRIS Corporation) ได้กำหนดกฎเกณฑ์ในการตรวจสอบ ( Assess and Audit) หน่วยงายภายใต้การกำกับดูแลโดยใช้แนวความคิด GRC ด้วยกันทั้งสิ้น
ดังนั้น จะเห็นได้ว่าแนวความคิด GRC นั้นมีความสำคัญอย่างยิ่งในการบริหารจัดการสมัยใหม่ที่ต้องการความโปร่งใสและมีประสิทธิภาพในการบริหารจัดการ ปัญหาก็คือ ผู้บริหารระดับสูงในองค์กรส่วนใหญ่ยังไม่ซึมซับในหลักการ ในแนวคิด GRC อย่างลึกซึ้งและถ่องแท้ โดยยังไม่เข้าใจในปรัชญาและแนวการปฏิบัติตามแนวคิดดังกล่าว ทำให้องค์กรไม่ผ่านการตรวจสอบหรือมีคะแนนจากการตรวจสอบในระดับต่ำ ส่งผลให้ KPI ของผู้บริหารตลอดจนองค์กรโดยรวมนั้นไม่ผ่านเกณฑ์ที่ Regulator ได้กำหนดไว้ ถามว่ามีความเกี่ยวข้องกับภัยคุกคามความมั่นคงระบบสารสนเทศตรงไหน ตอบได้ว่า การไม่เข้าใจในหลักการบริหารความเสี่ยงที่ถูกต้องตามหลักวิชาการ ความไม่โปร่งใสในการบริหารจัดการและการไม่ปฏิบัติตามกฎหมายและกฎข้อบังคับต่างๆ สามารถเกิดขึ้นโดยง่ายผ่านการใช้งานอินเทอร์เน็ตที่ไม่ถูกต้อง หรืออาจเกิดจากการใช้งานอินเทอร์เน็ตของพนักงานภายในองค์กรแล้วไปละเมิดกฎหมายโดยไม่รู้ตัว เช่น พนักงานบริษัทมีการทำผิดในพรบ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์ โดยการ forward ภาพลามกอนาจาร หรือ ผู้ดูแลระบบสารสนเทศไม่มีการจัดเก็บ Log File ไว้ในระบบ Centralized Log อย่างน้อย 90 วัน เป็นต้น
การแก้ปัญหาที่ถูกต้องคือ หน่วยงานต้องสนับสนุนในการจัดตั้งคณะกรรมการในการดำเนินงานเกี่ยวกับการศึกษากฎหมายและกฎระเบียบข้อบังคับต่างๆ เช่น พรบ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์ และพรบ.ธุรกรรมทางอิเล็กทรอนิกส์ ตลอดจนศึกษา Standard , Best Practice ต่างๆ เช่น ISO/IEC 27001 และ ITIL ตลอดจน CoBIT เป็นต้น จากนั้นนำแนวทางจากมาตรฐานและ Standard , Best Practice มาประยุกต์ใช้ในองค์กรให้สอดคล้องกับแนวคิด GRC ก็จะทำให้องค์กรมีประสิทธิภาพในการปฏิบัติงานมากขึ้นและยัง Comply กับกฎหมายและกฎระเบียบต่างๆ อีกด้วย ดังนั้น ผู้บริหารระดับสูงรุ่นใหม่ไม่ควรมองข้าม แนวความคิด GRC และควรรีบปรับกระบวนการบริหารจัดการในบริษัท (Internal Process) ให้เป็นระบบและสอดคล้องกับ Standard , Best Practice อย่างที่กล่าวมาแล้วจะช่วยเสริมภาพลักษณ์และความน่าเชื่อถือให้องค์กรและสร้างความสามารถในการแข่งขันให้แก่องค์กรแบบบูรณาการต่อไปในอนาคต
6. ภัยจากโปรแกรมมุ่งร้ายหรือโปรแกรมมัลแวร์ (Malware Threat)
ในปัจจุบันปัญหาไวรัสคอมพิวเตอร์ไม่ได้ถูกจำกัดอยู่เฉพาะโปรแกรมไวรัสคอมพิวเตอร์อีกต่อไป แต่ถูกขยายวงเพิ่มมากขึ้น เป็นโปรแกรมประเภทมัลแวร์ ซึ่งโปรแกรมประเภทนี้มีชื่อเรียกที่รู้จักกันในหลายๆชื่อ ขึ้นอยู่กับลักษณะการทำงานของโปรแกรม แต่ก็ล้วนจัดอยู่ในกลุ่มมัลแวร์ด้วยกันทั้งสิ้น โดยมัลแวร์สามารถแบ่งออกเป็น4 ประเภทใหญ่ๆ ดังนี้
6.1 Infectious Malware: Viruses and worms
เป็นประเภทของมัลแวร์ถูกพบและรู้จักมากที่สุด โดยเรามักนิยมเรียกว่า ไวรัสคอมพิวเตอร์ (viruses) ซึ่งส่วนใหญ่จะติดมากับไฟล์นามสกุล .EXE หรือ .COM โดยมีผลกระทบ หรือ payload กับคอมพิวเตอร์ที่ติดไวรัสแตกต่างกันไป แต่สำหรับเวิร์ม (worms) ซึ่งเรามักเข้าใจว่าเป็นไวรัสรูปแบบหนึ่งจะมีรูปแบบการทำงานที่แตกต่างออกไปจากไวรัสคอมพิวเตอร์ โดยโปรแกรมประเภท worms จะมีรูปแบบในการแพร่กระจายตัวเข้าไปในระบบเครือข่ายโดยโจมตีเครื่องคอมพิวเตอร์ที่อยู่ในระบบเครือข่ายเดียวกัน ซึ่ง Worm สมัยใหม่ในปัจจุบันนิยมใช้วิธีนี้ โดยมักจะติดมากับการใช้ Thumb Drive หรือ USB Drive ที่ไม่ได้รับการควบคุม (Device Control)
โปรแกรมมัลแวร์ที่ทำงานในลักษณะเวิร์มจะพยายามแพร่กระจายเข้าสู่ระบบเครือข่าย โดยพยายามอาศัยช่องโหว่ของระบบปฏิบัติการ ยกตัวอย่าง เช่น เวิร์มชื่อ WORM_GIMMIV.A หรือ TSPY_GIMMIV.A อาศัยช่องโหว่ MS08-067 ของระบบปฏิบัติการ Microsoft Windows ที่ยังไม่ได้รับการติดตั้ง Patch โดยเวิร์มดังกล่าวมีการพัฒนาตัวเองต่ออีกหลายเวอร์ชั่น ซึ่งเวอร์ชั่นที่ถูกพบในประเทศไทยมากที่สุดคือ WORM_DOWNAD.A และ WORM_NETWORM.C ทำให้คอมพิวเตอร์ที่ติดไวรัสเพิ่มปริมาณจราจรข้อมูลจำนวนมาก และ ทำให้ระบบเครือข่ายของหลายองค์กรประสบปัญหา Denial of Service (DoS Attack) ไม่สามารถทำงานได้ตามปกติ ต้องสิ้นเปลืองงบประมาณในการลบเวิร์ม และติดตั้ง Patch จำนวนมาก
ในเมื่อทิศทางของไวรัสและเวิร์มมาในรูปแบบนี้ ผู้บริหารระบบสารสนเทศขององค์กรควรให้ความสำคัญกับสองเรื่องใหญ่ๆ คือ 1. การใช้งาน Thumb Drive หรือ USB Drive ในองค์กรอย่างปลอดภัยไม่ติดไวรัส และ 2. การควบคุมไฟล์แนบ (Attached File) ที่มากับอิเล็คโทรนิคส์เมล์ที่ทุกคนต้องเปิดใช้งานอยู่เป็นประจำทุกวันโดยควบคุมไม่ให้โปรแกรมนามสกุลที่มีความเสี่ยง เช่น *.exe หรือ *.com สามารถผ่าน Gateway ขององค์กรเข้ามาได้ เพราะถ้าหากโปรแกรมมุ่งร้ายดังกล่าวสามารถหลุดรอดผ่านGateway มาได้จะทำให้ผู้ใช้คอมพิวเตอร์ที่เป็น ”User” ทั่วไปและยังไม่ได้รับการอบรม “Information Security Awareness Training” อาจเผลอเปิด หรือ ”Run” โปรแกรมมุ่งร้ายดังกล่าว ทำให้เครื่องคอมพิวเตอร์ขององค์กรอาจติดไวรัสกันทั้งองค์กรได้โดยง่าย เพราะไวรัสหรือเวิร์มหลายตัวในปัจจุบัน ยังเป็น ”Zero-Day Attack” ที่ยังไม่มีโปรแกรมกำจัดหรือยังไม่มี Patch ออกมาแก้ปัญหาช่องโหว่ที่เวิร์มโจมตี
ดังนั้นการฝึกอบรม ”Information Security Awareness Training” จึงมีความจำเป็นอย่างยิ่งยวดสำหรับผู้ใช้คอมพิวเตอร์ทุกคนในองค์กร เพื่อให้ผู้ใช้คอมพิวเตอร์เกิดความตระหนักและเข้าใจถึงภัยที่มาจากการใช้งานอินเทอร์เน็ตโดยไม่ระมัดระวังและรู้เท่าไม่ถึงการ ตลอดจนเพื่อให้องค์กรสามารถรักษาความมั่นคงปลอดภัยข้อมูลในภาพรวมได้ดีขึ้นเมื่อเปรียบเทียบกับองค์กรที่ยังไม่มีการจัดอบรมดังกล่าว
การฝึกอบรม “Information Security Awareness Training” ถือได้ว่าเป็นปราการด่านสุดท้ายระหว่างมัลแวร์และผูใช้คอมพิวเตอร์ปลายทาง ซึ่งการอบรมควรจัดขึ้นหนึ่งหรือสองครั้งต่อปี เพื่อ”Update” ข้อมูลภัยอินเทอร์เน็ตใหม่ๆให้กับผู้ใช้คอมพิวเตอร์ทุกคนในองค์กร
6.2 Concealment Malware: Trojan horses, Rootkits and Backdoors
โปรแกรมมุ่งร้ายเหล่านี้มีลักษณะการทำงานแบบแอบซ่อนไม่ให้ผู้ใช้คอมพิวเตอร์มองเห็นวัตถุประสงค์ที่แท้จริงของมัลแวร์ หรือไม่ ก็หลอกให้เข้าใจว่าเป็นโปรแกรมประสงค์ดี โดยใช้เทคนิค ”Social engineering” มีวัตถุประสงค์คล้ายกันกับวัตถุประสงค์ในภัยข้อหนึ่ง คือ การขโมยความเป็นตัวตนของผู้ใช้คอมพิวเตอร์ที่ตกเป็นเหยื่อ (Identity Theft) เช่น การ Remote เข้าไปควบคุมเครื่องเหยื่อโดยผ่านทางโปรแกรม Remote Administration Tool (RAT) ในประเทศไทยมีลูกค้าอินเทอร์เน็ตแบงค์กิ้งคนหนึ่งตกเป็นเหยื่อของโปรแกรมดังกล่าว ทำให้เงินในบัญชีของเขาถูกโอนไปซื้อ SIM card แบบ PRE-PAID โดยไม่รู้ตัวมีมูลค่าความเสียหายเกือบหนึ่งล้านบาท
ดังนั้นก่อนการเปิดโปรแกรมขึ้นมาทำงาน (Run Program) หรือ ก่อนการดาวน์โหลดโปรแกรมจากเว็บไซด์ต่างๆ ต้องพยายามหลีกเลี่ยงโปรแกรมที่มีนามสกุลดังที่กล่าวไว้ในรูปที่ 1 ปัจจุบันผู้ไม่หวังดีเริ่มเขียนโปรแกรมมัลแวร์ของตนโดยบรรจุโปรแกรมลงใน ไฟล์ ZIP หรือ ไฟล์ RAR ดังนั้น ก่อนการเปิดไฟล์ที่ถูก Compressed จึงต้องระมัดระวังเป็นพิเศษด้วย
6.3 Malware for Profit: Spyware, Botnet, Keystroke loggers and Dialers
ในอดีตผู้ไม่หวังดีสร้างมัลแวร์ประเภทนี้เพื่อความสนุก เรียกว่า “Hack for fun” แต่ในปัจจุบันและอนาคต โปรแกรมมัลแวร์สมัยใหม่ถูกออกแบบให้”Hack for profit” คือต้องสามารถสร้างรายได้ให้กับผู้เขียนโปรแกรมมัลแวร์ได้ด้วย โปรแกรมประเภทนี้เรียกว่า “Spyware” หรือ โปรแกรมแอบล้วงความลับ หรือ โปรแกรมลักลอบดักข้อมูลส่วนตัว ซึ่งหลักการทำงานจะเหมือนกันคือโปรแกรมจะแอบดูว่าเรามีพฤติกรรมในการงานคอมพิวเตอร์อย่างไร เช่น เราชอบเข้าเว็บใดบ่อยๆ เราพิมพ์รหัสผ่านเวลาเข้าระบบอย่างไร เป็นต้น
จากนั้นโปรแกรมมัลแวร์เหล่านี้จะส่งข้อมูลกลับไปยังผู้เขียนโปรแกรม เพื่อให้ผู้ไม่หวังดีสามารถนำข้อมูลพฤติกรรมส่วนตัวของเราไปใช้ในทางไม่ดีได้และสร้างความเดือดร้อนให้กับเหยื่อในที่สุด เพราะข้อมูลที่ถูกส่งไปเป็นข้อมูลที่ ”Sensitive” เช่น รหัสผ่าน, เลขที่บัตรเครดิต, เลขที่บัตรประชาชน, เลขที่บัญชีและข้อมูลส่วนตัวอื่นๆที่ไม่ควรเปิดเผยให้ผู้อื่นได้รับทราบ สำหรับทางแก้ปัญหาก็จะคล้ายๆกับมัลแวร์ทั้ง2ประเภทที่ผ่านมา คือ ต้องคอยเฝ้าระวังในการเปิดไฟล์นามสกุลอันตรายดังกล่าว ประกอบกับระวังการใช้งาน Removable Storage Device อีกด้วย
6.4 Web Threat Malware: Malicious Web Link, Phishing, URL redirect
คือวิธีการสมัยใหม่ในการแพร่กระจายมัลแวร์ โดยผู้ไม่หวังดีจะแอบฝังมัลแวร์ไว้ในเว็บไซด์ที่เราเข้าไปเยี่ยมชม โดยผู้ใช้อินเทอร์เน็ตอาจไม่รุ้ตัวว่าเว็บดังกล่าวถูกฝังมัลแวร์เอาไว้ เนื่องจากบางทีแม้แต่เจ้าของเว็บเองยังไม่รู้ว่าเว็บตัวเองถูกเจาะและถูกแอบฝังโปรแกรมมุ่งร้ายเอาไว้ดักรอเหยื่อ โดยเฉพาะเว็บดังๆที่มีผู้เข้าเยี่ยมชมมากๆ หรือเว็บประเภท ”Social Networking” ก็เป็นแหล่งในการปล่อยมัลแวร์ที่นิยมในหมู่แฮกเกอร์
บางครั้งมัลแวร์ถูกส่งมาในลักษณะของ ”Web Link” หรือ “Hyperlink” ที่ปรากฏในอิเล็คโทรนิคส์เมล์ หรือ ปรากฏในโปรแกรม Instant Messaging เช่น MSN เป็นต้น ดังนั้นก่อนที่เราจะ ”Click” ไปยัง Web Link ต่างๆ เราควรสังเกตและระวังว่า Web Link ไม่ได้ถูกเชื่อมโยงไปยังโปรแกรมนามสกุลอันตรายดังกล่าวมาแล้ว เช่น http://www.abc.com/../../../GAME.EXE หรือ http://www.abc.com/../.../NUDE.SCR เป็นต้น
อนาคตของมัลแวร์ “The Future of Malware”
ปัญหาไวรัสคอมพิวเตอร์ยังคงไม่หมดไปจากโลกนี้ง่ายๆ ตราบใดที่มียังมีมัลแวร์อยู่ใน Cyberspace ดังนั้นเราจึงมีความจำเป็นต้องศึกษาและเรียนรู้พฤติกรรมของมัลแวร์ในอนาคต เพื่อจะได้แก้ปัญหาและป้องกันได้อย่างมีประสิทธิภาพ โดยลักษณะการทำงานของมัลแวร์ในอนาคต สรุปได้ดังนี้
1. นิยมใช้เทคนิค ”Social Engineering”
โดยหลอกให้ผู้ใช้อินเตอร์เน็ตเข้าใจผิดไปต่างๆนานา ดังนั้นจึงต้อง “ระวัง” ก่อน”Click” ”Downloads” หรือ “Open/RUN” โปรแกรมในทุกครั้ง
2. นิยมแพร่กระจายผ่าน Web โดยเฉพาะ “Social Networking Web”
จากความนิยมของ Hi5, Facebook , Linkedin และ Myspace ทำให้เว็บ Social Network ดังกล่าวเป็นแหล่งแพร่กระจายของมัลแวร์ในอนาคต จึงจำเป็นต้องมีสติในการใช้งานเว็บเหล่านี้
3. นิยมแพร่กระจายผ่านทาง Instant Messaging เช่น MSN
โดยมัลแวร์จะถูกส่งมาในลักษณะของ”Hyperlink” เพื่อให้ดาวน์โหลดไฟล์ผ่านทาง MSN หรือ Windows Live Messenger เป็นต้น จึงต้องระวังเวลารับไฟล์ผ่านทาง Instant Messaging
4. นิยมแพร่กระจายผ่านทางการใช้งาน USB Drive, Flash Drive หรือ Thumb Drive
องค์กรที่มีนโยบายในการควบคุมการใช้งาน Removable Storage device ในองค์กร ได้แก่ เอกสาร Acceptable Use Policy (AUP) เพื่อให้ผู้ใช้คอมพิวเตอร์รับทราบถึงข้อควรปฏิบัติ และ องค์กรควรจัดการฝึกอบรม Information Security Awareness Training ให้ผู้ใช้คอมพิวเตอร์เกิดความเข้าใจและสามารถป้องกันตัวเองได้
5. นิยมใช้ช่องโหว่ใหม่ๆ (New Vulnerability) ของไมโครซอฟในการโจมตีและแพร่กระจาย
องค์กรที่มีนโยบายในการ”Harden Operating System (OS)” หรือ ปิดพอร์ตสื่อสาร (Port) และ ปิดบริการ(Service) ที่ไม่ถูกใช้งานที่เครื่องลูกข่าย เช่น พอร์ต TCP 135 (Microsoft RPC), TCP 445(SMB Direct) หรือ TCP 139 (NETBIOS Session)ในกรณีที่ไม่ได้ใช้งานพอร์ตดังกล่าว จะสามารถลดปัญหาในการโจมตีเครื่องที่ไม่ได้รับการติดตั้ง Patch แต่สำหรับพอร์ตที่จำเป็นต้องเปิดใช้ ก็ควรติดตั้งโปรแกรม ”Patch Management” จะช่วยให้การ Patch เป็นระบบมากขึ้น
7. ภัยจากช่องโหว่ในโปรแกรมประยุกต์ที่ถูกพัฒนาขึ้นอย่างไม่ปลอดภัย (Application Security Threat)
ข้อมูลจาก Gartner Research ระบุว่า การโจมตีของแฮกเกอร์ในปัจจุบันและอนาคตกว่า 70% มุ่งไปที่การโจมตีช่องโหว่ด้านความปลอดภัยข้อมูลในระดับโปรแกรมประยุกต์ (Application Level Attack) ซึ่งในปัจจุบันโปรแกรมเมอร์ หรือ Software Developer ไม่ค่อยได้ให้ความสำคัญกับเรื่องความปลอดภัยข้อมูลมากนัก หรือ อาจจะยังขาดความรู้ด้าน ”Application Security” ทำให้เกิดเป็นช่องโหว่ที่สำคัญยิ่งกว่าช่องโหว่ของโปรแกรมประยุกต์เองเสียอีก
โปรแกรมประยุกต์ หรือ Application ส่วนใหญ่ในปัจจุบันล้วนพัฒนาเป็น ”Web Application” ซึ่งปกติจะทำงานผ่านทาง Internet Browser เช่น Internet Explorer, Firefox, Safari โดย Web Server นิยมใช้ Microsoft IIS หรือ Apache และ ภาษาที่นิยมใช้ได้แก่ ASP.NET, JSP และ PHP การเข้าถึง Web Application ผ่านทางพอร์ต TCP 80 (http) และ พอร์ตTCP 443 (https) โดยไฟล์วอลส์ไม่สามารถป้องกันการโจมตี Web Application ผ่านทางพอร์ตทั้งสองได้เลย เพราะไฟล์วอลส์ส่วนใหญ่ไม่เข้าใจ Attack Pattern ในระดับ Application Layer และ พอร์ตทั้งสองเป็นพอร์ตที่จำเป็นต้องเปิดใช้งานอยู่แล้ว โดยการโจมตีของแฮกเกอร์นิยมใช้ช่องโหว่ทั้ง 10 ประเภทของ Web Application จาก Open Web Application Security Project (www.owasp.org) หรือ อาจหาข้อมูลจาก Web Hacking Incident Database ของ Web Application Security Consortium (www.webappsec.org) มาใช้ในการโจมตี Web Application
สำหรับช่องโหว่ที่แฮกเกอร์นิยมใช้ในการเจาะระบบมากที่สุดตามรายงานจาก OWASP คือ Cross Site Scripting หรือ XSS Attack และ Injection Flaw หรือ SQL Injection ที่เรารู้จักกันดี
นอกจากนี้แฮกเกอร์ยังนิยมใช้เทคนิค ”Google Hacking” ในการโจมตีเป้าหมายอีกด้วย ดูข้อมูลเพิ่มเติมได้ที่ Google Hacking Database (http://johnny.ihackstuff.com/ghdb.php)
วิธีการป้องกันภัยจาก Application Security Threat มีรายละเอียดดังนี้
7.1 ติดตั้ง Web Application Firewall (WAF)
เพื่อป้องกันการโจมตีของแฮกเกอร์ในกรณีที่เราไม่สามารถแก้ไขช่องโหว่ของ Web Application ได้อย่างทันท่วงที และเรายังไม่มีการฝึกอบรมให้โปรแกรมเมอร์เข้าใจในเรื่องการเขียนโปรแกรมให้ปลอดภัย (How to write a secured code) ข้อเสียคือเราต้องลงทุนเพิ่มสำหรับการจัดซื้อ WAF
7.2 ตรวจสอบช่องโหว่ของ Web Application ด้วย Web Application Scanner หรือตรวจสอบ Source Code ด้วย Source Code Analysis Tool
การตรวจสอบทั้ง 2 แบบเป็นวิธีการที่ผู้ตรวจสอบระบบสารสนเทศ (IT Auditor) นิยมใช้ในการตรวจหาช่องโหว่ของ Web Application เพื่อเตือนให้ทราบแต่ไม่สามารถแก้ไขหรือป้องกันปัญหาได้เมื่อเปรียบเทียบกับการใช้ Web Application Firewall (WAF) ข้อเสียคือ ได้แค่เพียงข้อมูล Vulnerability แต่ไม่ลึกระดับ Penetration Testing และยังไม่สามารถป้องกันการโจมตีได้
7.3 ตรวจสอบเชิงลึกด้านวิธีการ Black-box Penetration Testing
เป็นการจ้างผู้เชี่ยวชาญจากภายนอกทำการเจาะระบบ Web Application ขององค์กรดูว่ามีช่องโหว่ที่แฮกเกอร์สามารถใช้ในการเจาะระบบเพื่อเข้าถึงข้อมูลสำคัญได้หรือไม่ ผู้เชี่ยวชาญจำเป็นต้องเป็นผู้เชี่ยวชาญพิเศษที่มีความรู้ด้านการทำ Penetration Testing ในระดับสูง มี Certification ที่เกี่ยวข้องกับการทำ Penetration Testing มี Hacking Skill และ มีประสบการณ์ในการทำ Penetration Testing มาแล้วจะทำให้มีมุมมองกว้างขึ้น
การตรวจสอบเชิงลึกด้วยวิธีการ Black-box Penetration Testing ไม่สามารถใช้เพียงแค่ Web Application Scanner มาเจาะระบบได้ ต้องใช้จินตนาการของ Pen-Tester ในการเจาะระบบ หรือจะเรียกว่าต้องคิดแบบเดียวกับแฮกเกอร์ก็ไม่ผิดนัก
7.4 การฝึกอบรม Software Developer ให้เกิดความเข้าใจในการเขียนโปรแกรมให้มีความปลอดภัย
วิธีการนี้เป็นวิธีการแก้ปัญหาที่ยั่งยืนคือเป็นการแก้ปัญหาที่ต้นเหตุของปัญหา (Root Causes of Application Insecurity) คือ การแก้ปัญหาที่ ”คน” (people) และ “กระบวนการ” (process) เสริมไปกับการแก้ปัญหาที่ ”เทคโนโลยี” (technology) ดังที่กล่าวมาแล้ว “คน” จำเป็นต้องเข้ารับการอบรมวิธีการเขียนโปรแกรมให้ปลอดภัย (How to Write a Secured Code) เพราะผู้บริหารควรศึกษากระบวนการในการบริหารความเสี่ยงที่อาจเกิดขึ้นกับการพัฒนาโปรแกรมประยุกต์ที่ไม่ปลอดภัย
ด้วยวิธีการตามแนวคิดนี้จะลดความเสี่ยงในการพัฒนาโปรแกรมประยุกต์ที่ไม่ปลอดภัยด้วยการลดความเสี่ยงในทุกขั้นตอนของการพัฒนาโปรแกรม ไม่ใช่การแก้ปัญหาหลังจากที่โปรแกรมถูกพัฒนาเสร็จแล้ว ทำให้สายเกินไปที่จะแก้ปัญหาได้ทันท่วงที ยังเป็นบ่อเกิดของปัญหา Web Application Hacking ตามมาในที่สุด ดังนั้นกระบวนการในการพัฒนาโปรแกรมให้ปลอดภัย “Secured Software Development Process” จึงจำเป็นต้องศึกษาและถูกนำมาใช้ในองค์กรเพื่อแก้ปัญหาจากสาเหตุที่แท้จริง จะส่งผลให้เกิดความมั่นคงปลอดภัยแก่ Web Application ขององค์กรได้ในระยะยาวเชิงบูรณาการ
8. ภัยจากการใช้งานระบบไร้สาย (Threat from using Mobile and Wireless Systems)
ชีวิตประจำวันของเราในวันนี้จะปฏิเสธไม่ได้เลยว่าเราไม่ได้ใช้งานระบบไร้สาย เช่น การใช้งานโทรศัพท์มือถือ การใช้งาน Wireless LAN ที่บ้านและที่ทำงาน ตลอดจนการใช้งาน Wireless ตามศูนย์การค้าและสนามบิน เป็นต้น จากความนิยมของการใช้งานเครือข่ายไร้สายด้วย 1.Notebook 2.PDA 3.Smart Phone และ 4.iPhone ทำให้เรื่องความปลอดภัยของเครือข่ายไร้สายกลายเป็นประเด็นสำคัญขึ้นมา เพราะข้อมูลที่ถูกส่งผ่าน ”อากาศ” อาจถูกแอบดักข้อมูลได้โดยเจ้าของข้อมูลไม่รู้ตัวเลย อีกทั้งอาจถูกโจมตีโครงสร้างพื้นฐานของระบบ เช่น โจมตี Access Point ด้วยวิธี Denial of Service ทำให้ Access Point ล่ม เป็นต้น
การแก้ปัญหาด้านความปลอดภัยในการใช้งานระบบไร้สาย สามารถสรุปได้ดังนี้
8.1 ควรมีการเข้ารหัสเวลารับส่งข้อมูลระหว่าง Mobile Device และ Base Station หรือ ระหว่างเครื่องลูกข่าย Wireless LAN กับ Access Point เพื่อป้องกันการถูกแอบดักข้อมูลโดยไม่ได้รับอนุญาต เช่น การใช้ Packet Sniffer แอบดักข้อมูล เป็นต้น Algorithm ที่ควรนำมาใช้ในการเข้ารหัสที่ แนะนำในปัจจุบันคือ WPA Version 2 ขึ้นไป โดยเข้ารหัสแบบ AES Encryption
8.2 ควรมีการตรวจสอบชื่อผู้ใช้ (Authentication) ก่อนการใช้งานระบบไร้สาย ร่วมกับการเข้ารหัสข้อมูลในข้อ 8.1 และ ควรใช้โปรโตคอลที่มีการเข้ารหัสเวลาทำการตรวจสอบชื่อผู้ใช้ เช่น โปรโตคอล https หรือ ใช้ Token Device ร่วมกับการใช้รหัสผ่านในรูปแบบของ ”Two Factor Authentication”
8.3 ควรทำการปิดช่องโหว่ด้วยการปิดช่องโหว่ (Hardening) ระบบให้เรียบร้อยก่อนใช้งาน เพราะ ระบบไร้สายอาจมีช่องโหว่ที่สามารถถูกโจมตีแบบ Denial of Service (DoS) Attack ทำให้ระบบไม่สามารถใช้งานได้ตามปกติ จึงควรปิดช่องโหว่ก่อนนำมาใช้งานจริง
8.4 ติดตั้ง Wireless IPS เพื่อป้องกันผู้บุกรุกแบบไร้สาย โดยอุปกรณ์ Wireless IPS จะถูกออกแบบมาพิเศษในการป้องกันการโจมตีอุปกรณ์ไร้สายได้ในหลากหลายรูปแบบและเหมาะสำหรับใช้ในองค์กรมากกว่าที่จะถูกนำมาใช้งานตามบ้าน เนื่องจากมีราคาค่อนข้างสูง
8.5 มีการกำหนดนโยบายและมาตรฐาน (Security Policy and Standard) และ สร้างความตระหนักในการใช้งาน Wirelessอย่างปลอดภัย (Security Awareness Training Program) ในการใช้งานระดับองค์กร และ มีการประชาสัมพันธ์ให้ผู้ใช้ในองค์กรเกิดความเข้าใจและรับทราบวิธีการใช้งานเครือข่ายไร้สายอย่างปลอดภัยโดยผ่านการฝึกอบรม Security Awareness Training และ เซ็นรับทราบเอกสารยินยอมรับเงื่อนไขนโยบายเกี่ยวกับความปลอดภัยระบบสารสนเทศ Acceptable Use Policy (AUP) จะเป็นการแก้ปัญหาแบบบูรณาการและเหมาะกับองค์กรที่มีการใช้งานเครือข่ายไร้สายอย่างจริงจัง
9. ภัยจากปัจจัยภายนอก ได้แก่ การโจมตีจากแฮกเกอร์ระดับมืออาชีพ (Threat from the BlackHAT/Cyber Terrorist)
คงเคยได้ยินคำว่า ”Cyber Warfare” หรือ”Cyber War” กันมาบ้าง ซึ่งหมายถึงสมรภูมิรบได้เปลี่ยนจากการรบกันด้วยรถถัง หรือ เครื่องบินรบ มาเป็นการรบกันบน Cyber Space หรือ รบกันบนอินเตอร์เน็ต การจารกรรมข้อมูล หรือ “Cyber Espionage” สามารถจารกรรมผ่านทางอินเตอร์เน็ตโดยไม่ต้องเดินทางไปยังเป้าหมาย หรือ การโจมตีเว็บไซต์ของฝ่ายตรงข้าม ด้วยการเปลี่ยนแปลงข้อมูลในเว็บไซต์ (Web Defacement) หรือ การถล่มเป้าหมายโดยให้เว็บไซต์นั้นใช้งานไม่ได้ ด้วยวิธี การโจมตีแบบ DoS หรือ DDoS Attack
นอกจากนี้แฮกเกอร์ที่มีความเชี่ยวชาญสูง ในหลายประเทศ เช่น รัสเซีย หรือ สาธารณรัฐประชาชนจีน ยังรับเป็น “มือปืนรับจ้าง” ในการเจาะระบบของเหยื่อหรือเป้าหมายโดยรับเงินค่าจ้างจากผู้ว่าจ้าง เปรียบเสมือนการจ้างมือปืนไปยิงคู่อริในโลกปัจจุบัน โดยบางครั้งผู้จ้างกับผู้ว่าจ้างอาจยังไม่เคยเห็นหน้ากันเลยด้วยซ้ำ การว่าจ้างส่วนใหญ่จะเป็นการว่าจ้างให้ล้วงข้อมูลของฝ่ายตรงข้ามด้วยวิธีการ “Hack”แบบต่างๆ หรือเป็นการว่าจ้างให้ถล่มเว็บไซต์ของฝ่ายตรงข้ามก็เคยเกิดขึ้นมาแล้วในหลายๆประเทศที่มีปัญหาทางการเมืองระหว่างกัน
การป้องกันภัยจากกลุ่มแฮกเกอร์ (ทางวิชาการเรียกนักเจาะระบบว่าแคร็กเกอร์ แต่คนทั่วไปเข้าใจว่าแคร็กเกอร์คือแฮกเกอร์) หรือ องค์กรของพวกแฮกเกอร์ (Organized Crime) ที่มีเป้าหมายการโจมตีชัดเจน (Targeted Attack) นั้น เราไม่สามารถป้องกันได้ง่ายๆ เพราะแฮกเกอร์เหล่านี้เป็นมืออาชีพที่มีความสามารถสูง ดังนั้น เราควรใช้หลัก “กันไว้ดีกว่าแก้” กล่าวคือ เราควร ประเมิน (Assess) และ ตรวจสอบ (Audit) ระบบขององค์กรในเชิงลึกด้วยวิธีการ “Penetration Testing” โดยผู้เชี่ยวชาญเฉพาะทาง (Pen-Tester) โดยการจำลองการโจมตีของแฮกเกอร์ให้ใกล้เคียงที่สุด (ขึ้นกับฝีมือของผู้เชี่ยวชาญ)
เมื่อเราทราบผลจากการโจมตีว่าเรามีช่องโหว่ที่ทำให้ระบบอาจเกิดปัญหาได้ในอนาคตเราก็ควรรีบดำเนินการปิดช่องโหว่ดังกล่าว (Hardening) โดยเร็ว รวมทั้งการติดตั้ง Patch ด้วยระบบ Patch Management และ หมั่นตรวจสอบระบบเป็นระยะๆ อย่างน้อยปีละหนึ่งครั้งหรือทุกครั้งที่มีการเปลี่ยนแปลงในระบบ (Change Management) จะทำให้เรานำหน้าแฮกเกอร์อยู่หนึ่งก้าวเสมอและเพิ่มความปลอดภัยให้ระบบมากขึ้น
10. ภัยจากการใช้เทคโนโลยีและแนวคิดแบบใหม่ ได้แก่ เทคโนโลยี “Virtualization” และ แนวคิด “Cloud Computing” (Threat from using New Technology and New IT Concept)
จากพัฒนาการของวงการคอมพิวเตอร์ในอดีตจนถึงปัจจุบัน จากความนิยมในระบบ Mainframe หรือ Mini Computer มาเป็นระบบ Client/ Server โดยใช้ UNIX Server และ Windows Server เป็นหลัก ในปัจจุบันเป็นการเข้าสู่ยุคของ Web Applications Web Services และ Web 2.0 ตามลำดับ ตามมาด้วยการพัฒนาของ Hardware เช่น Blade Server Multi-Core Processor และ การนำแนวคิด Grid Computing มาใช้งานจริง รวมทั้งการทำงานในลักษณะ High-performance Computing (HPC) หรือ cluster-based computing
ปัจจุบันเกิดแนวคิดใหม่ที่เรียกว่า “Cloud Computing” ซึ่งต่อยอดมาจากแนวคิด Software as a Service (SaaS) และ แนวคิด Web 2.0 โดยมีการนำเทคโนโลยี “Virtualization” เข้ามาประยุกต์ใช้ร่วมกับแนวคิด Everything as a Service (EaaS)
ลักษณะการให้บริการตามแนวคิด “Cloud Computing” ยกตัวอย่าง เช่น การให้บริการ Software ในลักษณะ Software as a Service (SaaS) หรือ การใช้บริการ Infrastructure ในลักษณะ Infrastructure as a Service (IaaS) ยกตัวอย่าง เช่น Amazon Elastic Compute Cloud (EC2) หรือ GoGrid รวมทั้งการให้บริการ Platform เพื่อพัฒนาโปรแกรม Web Application และ Web Services ที่เรียกว่า Platform as a Service (PaaS) หรือ “Cloud Ware” เช่น 1. Amazon Web Services 2. Microsoft Azure Service Platform 3. Google Apps Engine
จะเห็นว่าการใช้บริการทั้ง 3 รูปแบบ ผู้ใช้บริการไม่ต้องลงทุนในการซื้อเครื่องแม่ข่าย (Servers) อุปกรณ์จัดเก็บข้อมูล (Storage) และ อุปกรณ์โครงสร้างพื้นฐานด้าน Network และ Security รวมทั้งไม่ต้องซื้อ Software อย่างที่เคยทำมาอดีต เรียกได้ว่าเป็นการ “เช่าใช้” แทบทุกอย่าง เข้ายุคสมัยที่องค์กรต้องรัดเข็มขัด ประหยัดค่าใช้จ่ายในการบำรุงรักษาระบบ ทั้งค่าใช้จ่ายของบุคลากร ตลอดจนฮาร์ดแวร์และซอฟท์แวร์ต่างๆ ซึ่งผู้ให้บริการ “Cloud Computing providers” เป็นผู้รับผิดชอบค่าใช้จ่ายทั้งหมด โดยจะคิดค่าใช้จ่ายในลักษณะการให้บริการเป็นรายวัน รายเดือน หรือ รายปีกับผู้ใช้บริการ ทำให้ผู้ใช้บริการมีความคล่องตัวและมีอิสระในการเลือกใช้ Infrastructure และ Platform ต่างๆทั้ง Hardware และ Software เพราะทุกอย่างถูกมองเป็น Service ทั้งสิ้น เรียกว่า Everything as a Service (EaaS)
สำหรับเทคโนโลยี Virtualization นั้นมีหลายประเภท โดยเทคโนโลยี Virtualization ประเภทที่กำลังได้รับความนิยมมากขึ้นเรื่อยๆ คือ การทำ Server Consolidation สังเกตุได้จาก Data Center ทั่วโลกกำลังพยายามลดการใช้พลังงาน และ ลดจำนวน Server ลงตามแนวคิด Green IT โดยการนำเทคโนโลยี “Network Virtualization” และ “Server Virtualization” มาใช้ใน Data Center สำหรับฝั่ง client ในมุมมองของ Endpoint Security ก็มีการนำเทคโนโลยี Virtualization มาใช้เช่นกัน ได้แก่ เทคโนโลยี “Desktop Virtualization” หรือ “Virtual Desktop Infrastructure” (VDI) ยกตัวอย่าง เช่น 1.CITRIX XenDesktop (พัฒนามาจาก XenSource Open source Virtualization) 2.VMware View 3. Microsoft Virtual PC และ เทคโนโลยี “Application Virtualization” ยกตัวอย่าง เช่น 1.CITRIX XenApp 2. Microsoft Application Virtualization หรือ App-V (ชื่อเก่า Microsoft SoftGrid) 3. VMware ThinApp ซึ่ง Desktop Virtualization นั้นไม่เหมือนกับ Application Virtualization เพราะ Application Virtualization ไม่จำเป็นต้องจำลอง Desktop Environment ของ Operating System เหมือน Desktop Virtualization แต่เป็นการจำลองเฉพาะ Application ที่ทำงานบน Desktop เดียวกัน หรือ เรียกได้ว่า ทำงานบน Operating System เดียวกัน สำหรับผู้ให้บริการ “Cloud Computing Provider” สามารถให้บริการ Desktop Virtualization ที่เรียกว่า “Desktop as a Service” (DaaS)
ดังนั้นเรื่องของความปลอดภัยบนสภาพแวดล้อมแบบเสมือน หรือ “Virtualization Security” ตลอดจนความปลอดภัยบน “Cloud” ตามแนวคิด “Cloud Computing” หรือ “Cloud Computing Security” จึงกลายเป็นประเด็นสำคัญสำหรับองค์กรที่ต้องการนำเทคโนโลยีทั้งสองมาใช้งานอย่างจริงจัง
ประเด็นเรื่องความปลอดภัยที่ต้องระวังจากการใช้เทคโนโลยีและแนวคิดดังกล่าว สรุปได้ดังนี้
10.1 ปัญหาเรื่องความปลอดภัยจากช่องโหว่ในตัวระบบ Virtualization เอง (Virtualization Vulnerability)
ปัญหาเกิดจากการค้นพบช่องโหว่ของโปรแกรมประเภท Virtualization เช่น 1. โปรแกรม VMware Workstation และ VMware ESX Server (ปัจจุบันมีการค้นพบช่องโหว่ของ VMware แล้ว 85 ช่องโหว่ ดูที่ National Vulnerability Database (NVD) http://nvd.nist.gov/) 2. Xen Hypervisor และ 3. Microsoft Hypervisor (ปัจจุบันเรียกว่า Microsoft Hyper-V) มีการค้นพบช่องโหว่ (Vulnerability) ใหม่ๆอย่างต่อเนื่อง (ดูรูปที่ 6) ยกตัวอย่าง Exploit ที่ใช้ในการโจมตี Virtualization บน Windows Vista ได้แก่ “Blue Pill Exploit” หรือ “Subvert Rootkit” ดังนั้นองค์กรที่ใช้เทคโนโลยี Virtualization ควรติดตั้ง Patch ให้กับระบบ Virtualization ทุกครั้งที่มีการค้นพบช่องโหว่ใหม่ๆของโปรแกรมประเภทนี้
10.2 ปัญหาเรื่องความปลอดภัยภายในโครงสร้างพื้นฐานของระบบ “Cloud Computing” เอง และปัญหาเรื่องการรักษาความลับและความถูกต้องของข้อมูลภายในระบบ “Cloud Computing”
ปัญหาเรื่องความปลอดภัยข้อมูลกลายเป็นปัญหาใหญ่สำคัญสำหรับผู้ให้บริการและผู้ใช้บริการ “Cloud” เพราะข้อมูลทุกอย่างอยู่ใน “Cloud” ทำให้ต้องมีการรักษาความปลอดภัยอย่างดีเยี่ยม เริ่มจากการรับ-ส่ง ข้อมูลใน Cloud ต้องมีการเข้ารหัสข้อมูลที่มีปลอดภัยสูง รวมทั้งการรักษาความปลอดภัยของโครงสร้างพื้นฐานใน Cloud ไม่ว่าจะเป็น Server, Storage และ Network Device ต่างๆ เพราะข้อมูลสำคัญขององค์กรล้วนถูกประมวลใน “Cloud” ทั้งสิ้น การกำหนด “User Privilege” ในการเข้าถึงข้อมูลจึงเป็นเรื่องสำคัญ รวมทั้งเรื่อง “Regulatory Compliance” หรือ การปฏิบัติตามระเบียบข้อบังคับและกฎหมาย ก็เป็นอีกเรื่องที่ไม่ควรมองข้าม เช่น การเก็บLog ตามพรบ. การกระทำผิดฯ เป็นต้น มีการเข้ารหัสข้อมูลที่เก็บอยู่ใน Cloud และ มีการบริหารจัดการที่ดี เช่น การทำ Data Classification และ Data Segregation ตลอดจนการมีระบบสำรอง (Data Backup) และ ระบบกู้คืนข้อมูล (Data Recovery) ที่ได้มาตรฐาน ประเด็นสุดท้าย คือ ความน่าเชื่อถือและความมั่นคงของ Cloud Computing Provider ก็เป็นอีกเรื่องที่ควรนำมากประเมินเวลาที่องค์กรต้องเลือกใช้บริการด้วย
กล่าวโดยสรุปจะเห็นว่าผลกระทบของภัยจากการใช้เทคโนโลยีใหม่ๆ เป็นสิ่งที่ผู้บริหารระบบสารสนเทศระดับสูงต้องคำนึงถึง โดยเริ่มจากการทำความเข้าใจ และ รับทราบถึงภัยและปัญหาด้านความปลอดภัยข้อมูล ตลอดจนสนับสนุนการดำเนินการแก้ไขปิดช่องโหว่ให้ถูกต้องตามแนวคิด GRC (Governance, Risk Management and Compliance) ที่ผู้บริหารระดับสูงควรยึดถือเป็นหลักการในการบริหารจัดการองค์กรที่ดี (เรื่อง Governance ยังแบ่งออกเป็น Corporate Governance (CG) IT Governance (ITG) และ Information Security Governance) ซึ่งความสนับสนุนจากผู้บริหารระดับสูงมีส่วนสำคัญอย่างยิ่งในการช่วยป้องกันภัยอินเตอร์เน็ตทั้งสิบประการดังที่กล่าวมาแล้วทั้งหมด เพราะหากปราศจากความช่วยเหลือและการสนับสนุนจากผู้บริหารระดับสูงขององค์กรแล้ว ปัญหาด้านความปลอดภัยข้อมูลระบบสารสนเทศก็คงยังไม่สามารถกำจัดให้หมดสิ้นไปจากองค์กรได้ และ จะส่งผลกระทบในการดำเนินธุรกิจธุรกรรมต่างๆขององค์กรที่ใช้ระบบสารสนเทศในการขับเคลื่อนอย่างหลีกเลี่ยงไม่ได้
เทคโนโลยีด้านความมั่นคงความปลอดภัยในปี 2552-2553
จากการศึกษารายงานการวิเคราะห์เทคโนโลยีด้านความมั่นคงปลอดภัยจากข้อมูลหลายแหล่งพบว่า ผู้เชี่ยวชาญด้านความปลอดภัยส่วนใหญ่ได้คาดการณ์เทคโนโลยีที่จะเกิดขึ้นในปี 2552 ไว้โดยในที่นี้ได้รวบรวมข้อมูลที่ได้จากการศึกษาในรายงาน IBM Security Technology Outlook: An outlook on emerging security technology trends, รายงาน Security Trends of 2008 and Predictions for 2009 ของไซแมนเทค และรายงานเทคโนโลยีความปลอดภัยปี 2552 ของบริษัท โกลบอลเทคโนโลยี อินทิเกรด จำกัด ดังรายละเอียดต่อไปนี้
1. เทคโนโลยีเพื่อการบริหารจัดการการระบุตัวตนผู้ใช้
ปัจจุบัน เราจะเห็นได้ว่า การระบุตัวตนผู้ใช้หรือการพิสูจน์ตัวตนทางดิจิตอล (Authentication) ต่อจำนวนผู้ใช้งานมีแนวโน้มเพิ่มมากขึ้น แต่วิธีการส่วนใหญ่โดยเฉพาะการใช้งานระบบเครือข่ายหรือการเข้าถึงข้อมูล ผู้ใช้งานยังนิยมใช้เพียงรหัสประจำตัว (Username) และรหัสผ่าน (Password) เท่านั้น ซึ่งในการเข้าสู่ระบบนั้นมีแพร่หลายอยู่ด้วยกัน 3 วิธีคือ
1) สิ่งที่คุณรู้ (Something you know) เช่น Password, PIN เป็นต้น 2) สิ่งที่คุณมี (Something you have) เช่น โทรศัพท์มือถือ, Security Token เป็นต้น
3) สิ่งที่คุณเป็น (Something you are) เช่น ลายนิ้วมือ, การสแกนม่านตา, biometric เป็นต้น
ซึ่งปัจจุบันวิธีการ Authentication โดยใช้เพียง Username และ Password เพียงอย่างเดียวนับเป็นจุดอ่อนสำคัญที่ทำให้กลุ่มมิจฉาชีพสามารถขโมยข้อมูลและปลอมตัวเพื่อแสวงหาประโยชน์ได้ (Identity Threat) ดังจะพบได้จากสถิติการถูกขโมยข้อมูลออนไลน์ที่เพิ่มสูงขึ้น โดยเฉพาะจากการล่อลวงด้วยเทคนิคฟิชชิ่ง (Phishing) โดยกลุ่มมิจฉาชีพจะสร้างเว็บไซต์และอีเมล์ปลอมขึ้นมาแล้วทำการส่งอีเมล์ที่มี link เว็บไซต์ที่ได้ทำการปลอมแปลงในลักษณะเชิญชวนไปยังเจ้าของอีเมล์ให้ทำการกรอกข้อมูลส่วนตัวที่สำคัญ โดยเฉพาะ Username และ Password ผ่านทางเว็บไซต์ปลอมดังกล่าว จากนั้นมิจฉาชีพจะทำการลักลอบเข้าระบบเพื่อทำกระทำการทุจริตเพื่อลักลอบขโมยข้อมูลต่างๆ โดยง่าย ซึ่งกลลวงดังกล่าวส่วนใหญ่จะมาในรูปของตัวแทนบริษัท องค์กรหรือสถาบันการเงินที่มีชื่อเสียง เช่น ธนาคาร eBay PayPal เป็นต้น ดังนั้น การใช้วิธีการพิสูจน์ตัวตนแบบเดิมอาจไม่ปลอดภัยสำหรับหลายองค์กรที่อาจเสี่ยงต่อการโดนเจาะระบบโดยง่ายจากความไม่แน่นอนซึ่งเราไม่สามารถระบุตัวตนของผู้ใช้ระบบได้ว่าเจ้าของเป็นผู้ใช้งานจริงหรือไม่
ดังนั้น ด้วยเหตุผลดังกล่าวจึงจำเป็นอย่างยิ่งที่จะต้องมีเทคโนโลยีที่นำมาใช้ในการจัดการและเพิ่มความน่าเชื่อถือ รวมถึงการควบคุมตัวตนผู้ใช้งานทั้งจากภายในและภายนอกองค์กรให้มีประสิทธิภาพดียิ่งขึ้น โดยในที่นี้จะขอกล่าวถึงแนวโน้มเทคโนโลยีที่คาดกันว่า ในปี 2552 จะยังคงได้รับความนิยมจากการคาดการณ์ของผู้เชี่ยวชาญคือ เทคโนโลยีระบบความปลอดภัยสองชั้น (Two-Factor Authentication Technology) และเทคโนโลยี Single Sign On (SSO) ดังรายละเอียดต่อไปนี้
- ระบบความปลอดภัยสองชั้น (Two-Factor Authentication Technology)
เทคโนโลยีระบบความปลอดภัยสองชั้น หรือที่เรารู้จักกันในชื่อ Two-Factor Authentication Technology นับเป็นเทคโนโลยีหนึ่งที่สามารถเข้ามาช่วยแก้ปัญหาดังกล่าวได้ เนื่องจากผู้ใช้ระบบในองค์กรจะต้องมีอุปกรณ์เพิ่มเติมด้วยการใช้ Token หรือ Smart card ID เข้ามาเสริมเพื่อใช้ในการพิสูจน์ตัวตนเมื่อต้องการเข้าสู่ระบบ ซึ่งปัจจุบันมีความจำเป็นอย่างมากในหลายองค์กรโดยเฉพาะกับองค์กรที่ต้องเกี่ยวข้องกับการทำธุรกรรมทางการเงินออนไลน์ ดังเช่น ธนาคารและสถาบันการเงิน ธุรกิจ e-Commerce เป็นต้น ซึ่งโดยทั่วไป Two-Factor Authentication จะสอบถามวิธีพิสูจน์ตัวตนจาก 2 ใน 3 วิธีที่กล่าวไปแล้วข้างต้น เช่น สิ่งที่คุณมีหรือสิ่งที่คุณเป็น (Biometrics) และสิ่งที่คุณทราบ (Password) ก่อนอนุญาตให้ผู้ใช้เข้าสู่ระบบ
ในที่นี้ขอกล่าวถึงกรณีตัวอย่างการนำ Two-Factor Authentication ไปใช้ในกรณีของธนาคารและสถาบันการเงินต่างๆ ปัจจุบันกำลังได้รับความนิยมเป็นอย่างมาก โดยมีสถาบันการเงินหลายแห่งนำเทคโนโลยีดังกล่าวมาใช้เพื่อสร้างความปลอดภัยให้กับระบบมากยิ่งขึ้น ระบบดังกล่าวนำมาใช้ในการตรวจสอบการเป็นเจ้าของบัญชีเพื่อยืนยันการทำธุรกรรมที่มีความเสี่ยง เช่น การโอนเงินไปยังบุคคลที่สาม การเพิ่มบัญชี การแก้ไขข้อมูลส่วนตัว เป็นต้น ตัวอย่างการใช้งานที่เราคุ้นเคยกันดีในชีวิตประจำวัน เช่น การใช้บัตร ATM บริการ Internet Banking เป็นต้น ในกรณีของการเข้าสู่ระบบโดยใช้บัตร ATM จะมีการพิสูจน์ตัวตนถึงสองชั้นด้วยกัน โดยสิ่งที่คุณมีคือบัตร ATM และสิ่งที่คุณทราบก็คือรหัส PIN นั่นเอง ส่วนบริการ Internet Banking ที่ผ่านมาจะสอบถามเพียงแค่ User name และ Password เท่านั้น แต่ปัจจุบันได้มีการนำเทคโนโลยีดังกล่าวเข้ามาช่วยให้มีความปลอดภัยเพิ่มขึ้น ดังตัวอย่างของธนาคารกสิกรไทย เมื่อมีการเปิดใช้บริการ K-Cyber Banking กับทางธนาคารแล้ว ผู้ใช้งานจะได้รับรหัสผ่าน (PIN 1) เพื่อเข้าสู่ระบบในการตรวจดูรายการในการทำธุรกรรมทั่วไป เช่น การดูยอดบัญชีคงเหลือ การตรวจสอบรายการเดินบัญชีปัจจุบันและย้อนหลัง เป็นต้น แต่เมื่อใดก็ตามที่ผู้ใช้งานมีการทำธุรกรรมที่มีความเสี่ยง เช่น การโอนเงินไปยังบุคคลที่สาม การเพิ่มบัญชี การแก้ไขข้อมูลส่วนตัว เป็นต้น ธนาคารจะขอให้ผู้ใช้งานกรอกรหัสรักษาความปลอดภัย (PIN2 หรือ Security password) ซึ่งเป็นการรักษาความปลอดภัยชั้นที่สอง เพื่อเป็นการตรวจสอบการเป็นเจ้าของบัญชีของผู้ใช้งานอีกครั้ง นับเป็นอีกตัวอย่างหนึ่งที่แสดงให้เห็นถึงรูปแบบการนำ Two-Factor Authentication มาใช้เพื่อสร้างความมั่นใจให้ผู้ใช้งาน Internet Banking กับธนาคารมากยิ่งขึ้น
อย่างไรก็ตาม บางครั้ง Two-factor Authentication อาจยังไม่ปลอดภัยจากการโจมตีแบบโทรจัน (Trojan) และการโจมตีที่ผู้โจมตีแทรกกลางการสื่อสารระหว่างสองระบบ (Man-in-the-Middle) เพราะมิจฉาชีพอาจยังสามารถขโมยข้อมูลบางส่วนของผู้ใช้งานได้ ดังนั้น ปัจจุบันการให้บริการผ่านระบบ Internet banking ของสถาบันการเงินในประเทศไทยจึงได้มีการนำ Two-factor Authentication มาใช้โดยการแจก Smart cards/ USB Token /Security Token ให้ลูกค้าบางกลุ่มเพื่อใช้เป็น Authentication ในรูปแบบสิ่งที่คุณมี (Something you have) รวมกับการ ใส่ Password (Something you know) เพื่อเพิ่มความปลอดภัยและปกป้องข้อมูลของลูกค้าอีกทางหนึ่ง แต่วิธีดังกล่าวอาจไม่สะดวกสำหรับลูกค้าบางคนนักเพราะอาจมีคนกลุ่มหนึ่งที่ไม่ต้องการจะพกอุปกรณ์บางอย่างติดตัวไปด้วย ด้วยเหตุนี้เองทำให้มีสถาบันการเงินบางแห่งพยายามประยุกต์ใช้หลักการดังกล่าวผ่านโทรศัพท์มือถือโดยระบบจะมีการ random รหัสและส่งผ่าน SMS ไปที่โทรศัพท์มือถือของลูกค้าแทนการแจก USB Token หรือ Security Token
- Single Sign On (SSO)
หลายองค์กรที่มีหลายระบบงานอาจกำลังประสบปัญหาสำหรับผู้ใช้งานที่ต้องมี ID และรหัสผ่านสำหรับการเข้าใช้งานแต่ละระบบ ซึ่งนับได้ว่าเป็นปัญหาหนึ่งที่สร้างความยุ่งยากในการใช้งานที่เกิดขึ้นในปัจจุบัน ด้วยเหตุนี้เอง จึงได้มีการนำเทคโนโลยี Single Sign-On (SSO) หรือที่เรารู้จักกันดีว่าเป็นเทคโนโลยีเพื่อการเข้าถึงการใช้บริการของระบบทั้งหมดได้ด้วยการพิสูจน์ตัวตนเพียงครั้งเดียว ซึ่งในปัจจุบันเราจะเห็นได้ว่าเทคโนโลยี SSOได้พัฒนาก้าวหน้าไปอย่างรวดเร็ว เนื่องจากหลายองค์กรยังจำเป็นต้องให้ผู้ใช้งานสามารถเข้าถึงหลายแอพพลิเคชันในรูปแบบต่างๆ ไม่ว่าจะเป็นวินโดวส์หรือผ่านเว็บไซต์ต่างๆ แต่การใช้งานดังกล่าวมักประสบปัญหาในการ Login เข้าสู่ระบบของผู้ใช้งาน ไม่ว่าจะเป็นปัญหาจากการลืมรหัสผ่านหรือรหัสผ่านหมดอายุทำให้เกิดความล่าช้าในการเข้าส่ระบบ ซึ่งส่งผลให้ผู้ใช้งานหรือแม้แต่ผู้ดูแลระบบเองต้องเสียเวลาไปกับความพยายามที่จะแก้ไขปัญหาที่เกิดขึ้นค่อนข้างมาก
ปัจจุบันมีหลายบริษัทได้พยายามพัฒนารูปแบบ เทคโนโลยี และผลิตภัณฑ์ที่หลากหลายออกมาเพื่อแข่งขันกันและนำเสนอเทคโนโลยี SSO ใหม่ๆ เพื่อใช้ในการแก้ไขปัญหาที่เกิดขึ้น แต่อย่างไรก็ตาม เทคโนโลยี SSO โดยทั่วไปจะมีองค์ประกอบพื้นฐาน 3 ส่วนหลักที่จะมีการผสมผสานปรับเปลี่ยนกันจนเป็นสถาปัตยกรรม SSO ที่แตกต่างกันออกไปตามการพัฒนาของแต่ละบริษัท อันประกอบด้วย
1) ส่วนอินเทอร์เฟซ เป็นส่วนของรูปแบบที่ SSO ใช้ในการโต้ตอบกับแอพพลิเคชัน มักจะอยู่ภายในเดสก์ทอปเอเจนต์
2) ส่วนดูแลจัดการ เป็นส่วนที่ใช้ในการเซตอัพ จัดการ และควบคุมดูแล SSO
3) ฐานข้อมูล จะเป็นที่เก็บข้อมูล ID และหลักฐานที่ใช้พิสูจน์ตัวผู้ใช้งานในเวลาที่ขอแอ็กเซสแอพพลิเคชันแต่ละตัว
สำหรับการนำเทคโนโลยี SSO มาใช้กำลังเป็นที่นิยมมาก โดยเฉพาะในยุคสังคมออนไลน์ (Social Networking) ที่มีการใช้งานเว็บไซต์ในรูปแบบต่างๆ ที่หลากหลาย ซึ่งเทคโนโลยีดังกล่าวกำลังจะเข้ามาช่วยให้ผู้ใช้งานไม่ต้องจำ Username หรือ Password จำนวนมากเพื่อการใช้งานผ่านบริการต่างๆ เช่น อีเมล์, chat, web page หรือแม้แต่บริการ Wi-Fi, Bluetooth, WiMAX, 3G, 802.15.4 สำหรับผู้ให้บริการ เป็นต้น ซึ่งตัวอย่างที่เห็นได้ชัดดังเช่นในการกรณีการพิสูจน์ตัวตนของสถาบันการเงินต่างๆ ที่กล่าวมาแล้วข้างต้น ที่ได้มีการพัฒนานำเทคโนโลยี SSO มาใช้ในการประยุกต์กับบริการของธนาคารให้มีความปลอดภัยเพิ่มมากขึ้น
ดังเช่นกรณีของธนาคารกสิกรไทยที่ได้พัฒนาระบบสำหรับผู้ใช้บริการระบบ K-Payment Gateway ให้มีความสามารถเพิ่มขึ้น เพื่อรองรับความต้องการของร้านค้าออนไลน์ที่มาใช้กับบริการกับธนาคาร โดยหนึ่งในการพัฒนาที่ได้เพิ่มความสามารถระบบโดยนำเทคโนโลยี SSO ไปใช้คือ การเปลี่ยนแปลงด้าน Online Merchant Report (Merchant Reporting Application) โดยเพิ่มความสะดวกในการจัดการข้อมูลรายการสั่งซื้อของลูกค้าด้วยระบบ SSO ที่ทำให้ลูกค้าสามารถจัดการข้อมูลรายการสั่งซื้อทั้งสกุลเงินบาทและสกุลเงินตราต่างประเทศอื่นๆ ด้วย Username สำหรับ Login เข้า Online Merchant Report เพียงชุดเดียว หรือแม้แต่การใช้บริการ K-Cyber Banking ที่มีการเพิ่มความปลอดภัยยิ่งขึ้นด้วยรหัสผ่านใช้ครั้งเดียว One-Time Password (OTP) โดยทุกครั้งที่มีการทำธุรกรรมออนไลน์ที่มีความเสี่ยงตามที่ธนาคารกำหนดไว้ในเงื่อนไขเกิดขึ้น ระบบจะทำการส่งรหัสผ่าน OTP ไปยังโทรศัพท์เคลื่อนที่ของลูกค้า โดยลูกค้าจะต้องทำการกรอกรหัสผ่าน OTP ภายใน 6 นาที เพื่อแสดงความเป็นเจ้าของบัญชีก่อนที่ระบบจะดำเนินการต่อไป หากเลยระยะเวลาที่กำหนดแล้ว รหัสดังกล่าวจะถูกยกเลิกการใช้งานโดยทันที และลูกค้าจะต้องทำรายการนั้นใหม่อีกครั้ง ซึ่งนับเป็นอีกตัวอย่างหนึ่งที่มีการนำเทคโนโลยี SSO มาใช้และกำลังได้รับความนิยมในสถาบันการเงินภายในประเทศอีกหลายแห่งด้วยกัน
2. เทคโนโลยีเพื่อปกป้องเครือข่ายที่มีการเปลี่ยนแปลงอย่างต่อเนื่อง
การนำเทคโนโลยีมาใช้เพื่อรักษาความปลอดภัยของระบบเครือข่ายที่มีการเปลี่ยนแปลงตลอดเวลานับเป็นสิ่งที่มีความสำคัญอย่างยิ่งในปัจจุบัน โดยในปี 2552 นี้ คาดกันว่า องค์กรส่วนใหญ่จะต้องการระบบรักษาความปลอดภัยแบบเรียลไทม์ (Real time) มากขึ้น โดยเฉพาะอย่างยิ่งในการใช้งานผ่านเครือข่ายอินเทอร์เน็ตความเร็วสูง ซึ่งจะมีแนวโน้มที่องค์กรจะนิยมไปใช้งานเครือข่ายในรูปแบบไร้สายกันมากขึ้น โดยเราจะเห็นได้จาก อุปกรณ์พกพาเริ่มเข้ามาเป็นเครื่องมือหนึ่งที่ได้รับความนิยมในการใช้งานและเป็นส่วนหนึ่งของอุปกรณ์จำเป็นในชีวิตประจำวัน ซึ่งตัวอย่างที่เห็นได้ชัดคือในภาคธุรกิจที่ต้องการความสะดวกรวดเร็วและความคล่องตัวสูง ด้วยเหตุนี้เองจึงคาดกันว่า ในปี 2552 นี้หลายฝ่ายจะเริ่มให้ความสำคัญในการนำเทคโนโลยีต่างๆ เข้ามาใช้ในการรักษาความปลอดภัยของระบบเครือข่ายขององค์กรกันมากขึ้นเพื่อป้องกันการโจมตีของภัยคุกคามในรูปแบบต่างๆ สำหรับเทคโนโลยีที่ผู้เชี่ยวชาญได้กล่าวถึงกันไว้มีรายละเอียดดังต่อไปนี้
- Unified Threat Management (UTM)
Unified Threat Management หรือ UTM จัดเป็นเทคโนโลยีหนึ่งที่มีแนวโน้มจะได้รับความนิยมมากขึ้น เนื่องจากแนวโน้มของธุรกิจในอนาคตจะมีผู้ประกอบการ SME มากขึ้น และเทคโนโลยีดังกล่าวนี้นับได้ว่ามีประโยชน์กับภาคธุรกิจอย่างมาก ซึ่งเทคโนโลยี UTM ดังกล่าวเป็นการป้องกันภัยคุกคามระบบเครือข่ายโดยอาศัยอุปกรณ์ที่มีประสิทธิภาพสูงเพื่อช่วยปกป้องอุปกรณ์และเครือข่ายขององค์กรจากไวรัส แฮคเกอร์ สแปมเมล์ สปายแวร์และแอดแวร์ ตลอดจนภัยร้ายไซเบอร์ทุกรูปแบบ เพื่อให้การใช้งานอินเทอร์เน็ตขององค์กรมีประสิทธิภาพและปลอดภัยมากยิ่งขึ้น ปัจจุบันหลายบริษัทได้พัฒนาอุปกรณ์ UTM โดยรวมการป้องกันในรูปแบบ Firewall, เก็ตเวย์ระบบป้องกันไวรัส (Gateway Antivirus) เทคโนโลยีการป้องกันการบุกรุก (intrusion prevention) /การโจมตีของ Malware/Virus/Worm การป้องกันข้อมูลขยะ (Spam) รวมถึงการใช้งานเว็บไซต์ที่ไม่เหมาะสม (Content filtering) รวมเข้าไว้ในอุปกรณ์เดียวกัน ดังแสดงในภาพ
- Wi-Fi Mesh Connection
จากกระแสความนิยมที่แพร่หลายในการใช้งานระบบอินเตอร์เน็ตไร้สายในปัจจุบัน โดยที่กำลังได้รับความนิยมอย่างมากคือ Wi-Fi ซึ่งการใช้งานจะต้องเชื่อมโยงผ่าน Access Point ในรูปแบบการเชื่อมต่อแบบตาข่าย (Mesh) เพื่อให้ผู้ใช้งานสามารถเข้าถึงสู่ระบบเครือข่ายอินเทอร์เน็ตได้สะดวกยิ่งขึ้น สำหรับในปี 2552 นี้ มีการคาดการณ์ไว้ว่า ผู้ให้บริการ Wi-Fi ส่วนใหญ่จะมีแนวโน้มที่จะใช้ Application ในการเก็บบันทึกการใช้งานผู้ใช้ (Accounting Billing) และนำระบบ Network Intrusion Detection System (NIDS) มาใช้งานกันมากขึ้น โดย NIDS จะทำหน้าที่ในการการเฝ้าดู packet ที่วิ่งผ่านมาทางสาย (wire) ในเครือข่าย และพยายามที่จะค้นหาว่า hacker/cracker พยายามที่จะเจาะเข้าระบบสู่ระบบหรือไม่ ซึ่งตัวอย่างที่เห็นได้ชัดคือระบบที่จะเฝ้าตรวจ TCP connection request หรือว่า SYN ที่พยายามจะเชื่อมต่อมายัง port ต่างๆ ของเครื่องเป้าหมาย ซึ่ง NIDS นั้นอาจจะถูกติดตั้งบนเครื่องเป้าหมายเอง และจะคอยตรวจทุก traffic ของตัวเอง หรืออาจจะถูกติดตั้งบนเครื่องที่แยกอยู่ต่างหากและจะคอยตรวจทุก packet ที่ผ่านมาในเครือข่าย สรุปได้ว่า NIDS จะทำหน้าที่ในการเฝ้าระวังการบุกรุกหลากรูปแบบต่างๆ ให้กับระบบนั่นเอง เช่น การดักข้อมูล, การ crack ค่า wireless เพื่อเข้าถึงระบบ การปลอมตัวเป็นบุคคลอื่นโดยมิชอบ เป็นต้น
- Network Forensics
เทคโนโลยีเฝ้าระวังเชิงลึก (Network Forensics) เป็นอีกหนึ่งเทคโนโลยีที่มีแนวโน้มจะได้รับความสนใจในการนำมาเป็นส่วนหนึ่งของเทคโนโลยีเพื่อรักษาระบบด้านความปลอดภัยขององค์กรต่างๆ เนื่องจากปัจจุบันหลายองค์กรกำลังประสบปัญหาจากภัยคุกคามทางอินเทอร์เน็ตโดยเฉพาะการแพร่กระจายและการโจมตีในรูปแบบต่างๆ ที่ยากแก่การตรวจจับหรือวิเคราะห์โดยอาศัยเทคนิคแบบเดิม รวมถึงพนักงานในองค์กรที่มีทักษะการใช้คอมพิวเตอร์สูงขึ้นและอาจจะใช้ทรัพยากรไปในทางที่ไม่เหมาะสมนัก (Insider hacker) ดังนั้น เทคโนโลยีเฝ้าระวังเชิงลึกจึงจำเป็นอย่างยิ่งในการตรวจจับสิ่งผิดปกติที่อาจเกิดขึ้นผ่านระบบเครือข่าย เพื่อใช้ในการพิสูจน์หาหลักฐานทางอิเล็กทรอนิกส์ประกอบการดำเนินคดีต่างๆ
- Load Balancing Switch
เทคโนโลยีหนึ่งที่ใช้สำหรับ Core Network ในการป้องกันการสูญหายของข้อมูล (Data loss) โดยเฉพาะในอนาคตอันใกล้ที่ความเร็วในการรับส่งข้อมูลบนระบบเครือข่ายจะสูงขึ้น ซึ่งเทคโนโลยีดังกล่าวนี้จะช่วยกระจายโหลดไปยังอุปกรณ์ป้องกันภัยอื่นๆ ได้ เช่น Network Firewall, Network Security Monitoring เป็นต้น โดยไม่ทำให้ข้อมูลสูญหาย
3. เทคโนโลยีและทางเลือกอื่นๆ ในการรักษาความปลอดภัย
ปัจจุบันมีการพัฒนาเทคโนโลยีต่างๆ ที่เกี่ยวข้องด้านความปลอดภัยเพิ่มมากขึ้น ไม่ว่าจะเป็นการพัฒนาอุปกรณ์ที่จับต้องได้และเครื่องมือเสมือนในรูปแบบต่างๆ รวมถึงรูปแบบบริการที่กำลังเป็นที่นิยมคือ บริการ Outsourcing ด้านการรักษาความปลอดภัย รวมถึงแนวโน้มการใช้ซอฟต์แวร์ในรูปแบบบริการ SaaS (Software as a Service) ที่เพิ่มขึ้น สำหรับในปี 2552 นี้ เทคโนโลยีหนึ่งที่มีการกล่าวถึงกันมากและคาดว่าจะเข้ามาได้รับความนิยมที่จะขอนำเสนอรายละเอียดในที่นี้คือ Cloud Computing นั่นเอง
- Cloud Computing
หากจะกล่าวถึงเทคโนโลยี Cloud Computing หรือที่หลายคนเรียกว่าเป็นเทคโนโลยีที่เน้นบริการที่รองรับการประมวลผลแบบคลาวน์นั้น นับเป็นเทคโนโลยีใหม่ที่กำลังมาแรงที่หลายฝ่ายกำลังให้ความสนใจและมีการพัฒนาผลิตภัณฑ์จากหลายบริษัทออกมาแข่งกันมากขึ้น ซึ่งผู้เชี่ยวชาญหลายท่านคาดการณ์ว่า ในปี 2552 นี้เราจะได้เห็นผลิตภัณฑ์ที่พัฒนาขึ้นบนแนวคิด Cloud Computing กันมากยิ่งขึ้น ซึ่งในโลกยุคปัจจุบันที่มีการขยายตัวเพิ่มขึ้นของระบบสารสนเทศเพื่อใช้ในการเก็บข้อมูลและใช้งาน Application ต่างๆ ที่กำลังพัฒนาไปอย่างรวดเร็ว ดังนั้น เทคโนโลยีดังกล่าวจะถูกนำมาใช้เพื่อเพิ่มประสิทธิภาพในการประมวลผลเพื่อรองรับกับการทำงานของข้อมูลที่มีขนาดใหญ่โดยอาศัยแนวคิดเทคโนโลยี Clustering เข้ามาเป็นเทคนิคที่ช่วยในการแชร์ทรัพยากรการประมวลผลที่ทำงานพร้อมกันหลายเครื่องได้ จึงมีส่วนทำให้ผู้ใช้สามารถใช้งาน Application ได้รวดเร็วยิ่งขึ้น
สำหรับเทคโนโลยี Cloud Computing นั้นเป็นการนำระบบสารสนเทศ (บางส่วนหรือทั้งหมด) ไปติดตั้งหรือโฮสต์บนอินเทอร์เน็ต โดยมีองค์กรที่สาม (Third Party) เป็นผู้จัดเตรียมทรัพยากรคอมพิวเตอร์และดูแลระบบสารสนเทศของลูกค้าที่ได้นำมาติดตั้ง โดยระบบส่วนใหญ่ของผู้ให้บริการจะพัฒนาให้สามารถปรับได้ตามภาระงานที่เกิดขึ้น เช่น ในกรณีที่มีจำนวนงานหรือโปรแกรมมีการประมวลผลมากขึ้น การรองรับจำนวนผู้เข้ามาใช้งานระบบที่เพิ่มขึ้น การเก็บข้อมูลขนาดใหญ่ เป็นต้น ซึ่งหากพิจารณากันจริงๆ แล้ว การดำเนินธุรกิจด้านนี้ไม่ต่างจากธุรกิจแบบ outsourcing หรือการจ้างบุคลากร/บริษัทภายนอกเข้ามาทำงานแทน ซึ่งปัจจุบันหลายองค์กรได้เริ่มหันมาใช้วิธีการเช่นนี้กันมากขึ้น แม้แต่ธนาคารและสถาบันการเงินต่างๆ ก็ยังมีการจ้างบริษัทอื่นมาดูแลงานด้านไอทีเช่นกัน ซึ่งในด้านพัฒนาการของเทคโนโลยีดังกล่าวนั้น มีนักวิชาการหลายท่านกล่าวว่า จริงๆ แล้ว Cloud Computing เป็นเทคโนโลยีที่มีวิวัฒการเชิงบูรณาการมาจาก Grid Computing นั่นเอง ดังแสดงในภาพ
สำหรับบริการหลักของ Cloud นั้น สามารถแบ่งได้เป็น 2 ประเภทคือ Cloud Computing ซึ่งใช้สำหรับการรันหรือประมวลผลระบบสารสนเทศบนเครือข่ายอินเทอร์เน็ต และอีกประเภทหนึ่งคือ Cloud Storage ใช้เก็บข้อมูลบนอินเทอร์เน็ต ซึ่งปัจจุบันเราจะเห็นได้ชัดว่ามีหลายบริษัทพยายามพัฒนาผลิตภัณฑ์ออกมานำเสนอกันมากมายดังเช่นบริษัทด้านไอทียักษ์ใหญ่และมีชื่อเสียงอย่างไมโครซอฟต์เองก็กำลังพัฒนาบริการ Cloud Computing ภายใต้ชื่อ "Red Dog" ไว้เป็นคู่แข่งกับ Cloud Computing ของ Google (Google App Engine) และ Amazon (Amazon EC2) และในส่วนบริการพื้นที่จัดเก็บข้อมูลออนไลน์ของทางไมโครซอฟต์ที่เปิดให้บริการในตอนนี้คือ SkyDrive ซึ่งยังไม่นับว่าเป็น Cloud Storage อย่างเต็มตัว แต่ในปัจจุบันนี้ มีบริการที่เป็น Cloud Storage อยู่หลายตัวด้วยกัน เช่น Amazon S3, Apple's MobileMe, Symantec's SwapDrive, Humyo, XDrive, และ ADrive เป็นต้น
อาจได้เห็นแนวโน้มการนำ Cloud Computing มาใช้เป็นหนึ่งเทคโนโลยีใหม่ที่จะเข้ามาเป็นอีกทางเลือกหนึ่งในด้านการบริการเพื่อรองรับการประมวลผลสำหรับงานที่เกี่ยวข้องด้านความปลอดภัยกันมากขึ้นเพื่อรองรับกับการใช้งานในยุคดิจิตอลที่ต้องอาศัย Application ที่สามารถตอบสนองความต้องการของผู้ใช้งานได้อย่างรวดเร็วและทันต่อการเปลี่ยนแปลงที่เกิดขึ้นอย่างต่อเนื่อง รวมถึงยังเป็นช่องทางหนึ่งที่อำนวยความสะดวกให้ผู้ใช้งานสามารถเข้าสู่ยุคโลกเสมือนจริง (Virtualization) ได้โดยง่าย อีกทั้งยังช่วยลดทรัพยากรของเครื่องคอมพิวเตอร์และจัดเป็นอีกเทคโนโลยีที่เป็นมิตรกับสิ่งแวดล้อม (Green IT) ด้วย
นอกจากเทคโนโลยีที่ได้กล่าวถึงไปแล้วนั้น ยังได้มีการคาดการณ์ถึงเทคโนโลยีด้านอื่นๆ รวมถึงทางเลือกที่จะนำมาใช้ในการรักษาความปลอดภัยที่น่าสนใจไว้ดังต่อไปนี้
• การคุ้มครองสภาพแวดล้อมแบบ Virtualization
เทคโนโลยี Virtualization ได้ถูกนำมาใช้เป็นเครื่องมือหนึ่งในรักษาความปลอดภัย (Virtual Machine Security)โดยทำหน้าที่ในการแบ่งแยกและป้องกันระบบในสภาพแวดล้อมที่ต้องการความปลอดภัยสูงออกจากสภาพแวดล้อมปกติที่ใช้ระบบปฏิบัติการทั่วไป โดยเทคโนโลยีดังกล่าวจะช่วยสร้างสภาพแวดล้อมที่ปลอดภัยสำหรับระบบงานที่มีความสำคัญสูง เช่น ระบบ Internet Banking เป็นต้น อย่างไรก็ตาม เทคโนโลยีดังกล่าวส่งผลให้ปัจจุบันเกิดสภาพแวดล้อมเสมือนจริงหรือ Virtualization ขึ้น ซึ่งเป็นสิ่งที่องค์กรธุรกิจจำเป็นต้องคำนึงถึงว่าจะดำเนินการอย่างไรเพื่อให้ได้มาตรฐาน ในกรณีที่ต้องมีการคุ้มครองลักษณะการแบ่งใช้ทรัพยากรทางด้านไอทีสำหรับพนักงานในองค์กร โดยที่สภาพแวดล้อมดังกล่าวมีการเปลี่ยนแปลงอย่างต่อเนื่อง ซึ่งวิธีหนึ่งที่สามารถทำได้คือ การทำให้สภาพแวดล้อมไอทีขององค์กรมีความยืดหยุ่นสูงและสามารถตอบสนองความต้องการที่เปลี่ยนแปลงอยู่ตลอดเวลาได้อย่างปลอดภัยและมีประสิทธิภาพ
• การบริหารความเสี่ยงและการปฎิบัติตามกฎระเบียบ ซึ่งความสามารถในการบริหารและควบคุมความเสี่ยงและการปฎิบัตามระเบียบยังคงเป็นเรื่องสำคัญต่อกลยุทธ์ด้านการรักษาความปลอดภัยขององค์กร ประกอบกับบทบาทใหม่ของผู้บริหารฝ่ายรักษาความปลอดภัยสารสนเทศ (Chief Information Security Officer: CISO) จำเป็นต้องอาศัยแนวทางที่มุ่งเน้นความเสี่ยงทางธุรกิจโดยมีการใช้นโยบายและการควบคุมดูแลอย่างเหมาะสมเพื่อบริหารจัดการระบบรักษาความปลอดภัยทางด้านไอทีที่มีประสิทธิภาพ นอกจากนี้ ในปี 2552 นี้ ยังมีแนวโน้มในเรื่องการจัดทำมาตรฐานเป็นหมวดหมู่ให้สอดคล้องกับความปลอดภัยข้อมูลในองค์กร โดยนำ Log ที่เกิดขึ้นจากการใช้งานมาจัดเปรียบเทียบตามมาตรฐานต่างๆ เช่น ISO27001 สำหรับความปลอดภัยในองค์กร, PCI / DSS สำหรับการทำธุรกรรมการเงิน , HIPAA สำหรับธุรกิจโรงพยาบาล, พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ที่มีเป้าหมายเพื่อสืบหาผู้กระทำความผิดด้านอาชญากรรมคอมพิวเตอร์ เป็นต้น
ในส่วนสุดท้ายที่จะขอกล่าวถึงสำหรับแนวโน้มเทคโนโลยีด้านความปลอดภัยที่เกิดขึ้นในปี 2552 นั้น ขอนำส่วนหนึ่งของรายงานของบริษัท IBM ที่ได้กล่าวถึงปัจจัยหลัก 9 ประการที่มีความสำคัญในการผลักดันความต้องการด้านการรักษาความปลอดภัยมากล่าวถึงไว้เพื่อให้เห็นถึงบทสรุปภาพรวมของแนวโน้มที่จะเกิดขึ้นในอนาคตจากปัจจัยดังกล่าว ดังต่อไปนี้
1. สภาพแวดล้อมไอทีที่มีการเปลี่ยนแปลงอย่างต่อเนื่องและสามารถตอบสนองความต้องการที่ยืดหยุ่นและเปลี่ยนแปลงได้ตลอดเวลา
2. การแสดงตัวตนทางอิเล็กทรอนิกส์ (Electronic identity) โดยคำนึงถึงเรื่องรายละเอียดและงานหลักที่สำคัญขององค์กร
3. แนวโน้มที่พนักงานในองค์กรจะเรียกร้องการควบคุมอย่างเข้มงวดและปกป้องสิทธิส่วนบุคคลมากขึ้นโดยเฉพาะการปกป้องข้อมูลส่วนบุคคลและการแสดงตัวตนทางออนไลน์
4. Application ที่ปลอดภัย มีเสถียรภาพ ความยืดหยุ่นและปรับแต่งได้ที่สามารถช่วยเพิ่มความสะดวกในการตอบสนองต่อความต้องการทางธุรกิจที่เปลี่ยนแปลงอยู่ตลอดเวลา
5. การรองรับความต้องการขององค์กรในเรื่องการควบคุมสภาพแวดล้อมไอที
6. แนวทางการจัดการระบบรักษาความปลอดภัยทางด้านไอทีโดยมุ่งเน้นความเสี่ยงด้านการปฏิบัติงานและความเสี่ยงทางธุรกิจ
7. อุปกรณ์พกพาจะเป็นเครื่องมือที่ใช้แสดงตัวตนของบุคคล รวมทั้งเป็นเครื่องมือสำคัญทางธุรกิจ
8. การตัดสินใจในเรื่องที่มีความเสี่ยงสูงจะทำโดยอาศัยแหล่งข้อมูลที่ปลอดภัยและเชื่อถือได้
9. ระบบไอทีที่สามารถรับรู้และตอบสนองต่อสภาพแวดล้อมที่แท้จริง
การพัฒนาซอฟต์แวร์ให้มีความปลอดภัย (Secure Software Development)
ระบบประกอบด้วย ฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย ข้อมูล การประมวลผลและผู้ใช้ระบบ ในที่นี้จะกล่าวถึงเรื่องความปลอดภัยของข้อมูล ซึ่งมีต้นเหตุมาจากส่วนของซอฟต์แวร์ระบบ ระบบความปลอดภัยต้องการความมัน่ คงหรืออย่างน้อยที่สุดจะต้องปลอดภัย ผู้พัฒนาระบบและซอฟต์แวร์เป็นผู้ที่มีความสามารถในการใช้ขัน้ ตอนวิธี เช่น วงจรการพัฒนาระบบ (SDLC) องค์กรจำนวนมากให้ความสำคัญสำหรับการวางแผนความปลอดภัย ในขัน้ ตอนของการพัฒนาระบบ สำหรับการสร้างระบบและในขั้นตอนของการปฏิบัติงานสำหรับการพัฒนาซอฟต์แวร์ให้มีรูปแบบความปลอดภัย วิธีการพัฒนาซอฟต์แวร์ที่มีชื่อเสียงคือการประกันซอฟต์แวร์ (SA)
การประกันซอฟต์แวร์และความรู้พื้นฐานที่สำคัญของการประกันซอฟต์แวร์ (Software Assurance and the SA Common Body of Knowledge)
องค์กรส่วนมากต้องการความปลอดภัยในขั้นตอนของการพัฒนาระบบต้องการที่จะป้องกันปัญหาด้านความปลอดภัยก่อนที่จะเริ่มวงจรพัฒนาระบบ ในระดับชาติพยายามที่จะสร้างความรู้พื้นฐานที่สำคัญ (CBK) ที่มุ่งไปที่ความปลอดภัยของการพัฒนาซอฟต์แวร์ The US Department of Defense (DoD) ได้ออกรูปแบบการประกันซอฟต์แวร์ ซึ่งเริ่มขึ้นในปี 2003 ขั้น ตอน เริ่มต้นโดย Joe Jarzombek ได้รับการรับรองและสนับสนุนจากDepartment of Homeland Security (DHS) รวมลงทุนในปี 2004 แผนการเริ่มต้นทำให้เกิดสิ่งพิมพ์ ความปลอดภัยของการประกันซอฟต์แวร์ (SwA) ความรู้พื้นฐานที่สำคัญ คณะทำงานได้ร่างเอกสารจากวงการอุตสาหกรรมรัฐบาล สถานศึกษา มีรูปแบบในการสำรวจ 2 หัวข้อในการตอบคำถาม
1. อะไรเป็นกิจกรรมของวิศวะกรหรือลักษณะของกิจกรรมที่สำคัญที่ทำให้ได้ซอฟต์แวร์ที่ปลอดภัย
2. ความรู้อะไรเป็นที่ต้องการในการปฏิบัติงาน หรือ กิจกรรมที่ต้องการ
บนพื้นฐานของการค้นพบของคณะทำงานและกลุ่มของเอกสารภายนอกที่มีอยู่และมาตรฐานความปลอดภัยของการประกันซอฟต์แวร์ ความรู้พื้นฐานที่สำคัญ ที่พัฒนาแล้วและตีพิมพ์เพื่อใช้เป็นคู่มือ ในขณะที่การทำงานยังไม่ประสบความสำเร็จการยอมรับมาตรฐานที่แท้จริง หรือแม้ว่าความต้องการนโยบายของหน่วยงานภาครัฐบาล ที่สนับสนุนและให้คำแนะนำที่ดีที่กำลังพัฒนามากกว่าแอ็พพลิเคชั่น ที่ปลอดภัย การค้นหา เช่น ระยะเวลาของขั้น ตอนการทำงานทั้งหมดของโปรแกรม รวมถึงเรื่องทั่วๆ ไปของความไม่ปลอดภัย แนวคิดพื้นฐานและทฤษฏี จริยธรรม กฎหมายและการปกครองความต้องการซอฟต์แวร์ที่ปลอดภัย การตรวจสอบซอฟต์แวร์ที่ปลอดภัย การถูกต้องตามกฎหมายและการประเมินผล เครื่องมือและวิธีการพัฒนาซอฟต์แวร์ที่ปลอดภัย กระบวนการของซอฟต์แวร์ที่ปลอดภัย การควบคุมโครงการซอฟต์แวร์ที่ปลอดภัย การได้มาซอฟต์แวร์ที่ปลอดภัย และการสนับสนุนซอฟต์แวร์ที่ปลอดภัย
หลักการออกแบบซอฟต์แวร์ (Software Design Principles)
การพัฒนาซอฟต์แวร์ที่ดีจะต้องได้ผลลัพธ์ในขั้นสุดท้ายของผลิตภัณฑ์ ต้องเป็นไปตามคุณสมบัติของการออกแบบ ความปลอดภัยของระบบสารสนเทศต้องพิจารณาในข้อมูลเฉพาะ ปัจจุบันต้องสนใจปัจจัยอันตราย หรือสิ่งที่ไม่ถูกต้องตลอดเวลา J. H. Saltzer และ M. D. Schroeder ผู้นำในด้านการพัฒนาซอฟต์แวร์ให้คำอธิบายของการออกแบบไว้ว่า
“การป้องกันสารสนเทศในระบบคอมพิวเตอร์และประโยชน์ของกลไกการป้องกันอยู่บนความสามารถของระบบที่จะป้องกัน การละเมิดความปลอดภัยในการปฏิบัติ, การผลิตระบบที่ระดับใดๆความสามารถในการปฏิบัติได้ตามความจริงของการป้องกันทั้งหมด เช่น การกระทำที่ไม่มีสิทธิพิสูจน์ได้อยากลำบากที่สุด ผู้ใช้ที่มีประสบการณ์มากมีความตระหนักอย่างหนึ่ง คือการเงินของระบบการปฏิเสธผู้ใช้อื่นๆ ที่ให้สิทธิเข้าถึงกับสารสนเทศ การโจมตีที่เกี่ยวข้องจำนวนมากของความผิดปกติทั่วๆ ไปของระบบทั้งหมด ที่เห็นนั้นผู้ใช้สามารถสร้างโปรแกรมที่ไม่ได้รับการอนุญาตให้เข้าถึงสารสนเทศ แม้แต่ในการออกแบบระบบและการทำให้สำเร็จด้วยความปลอดภัยเป็นจุดประสงค์ที่สำคัญ การออกแบบและการทำให้ประสบความสำเร็จมีแนวทางหลีกเลี่ยงเจตนาบังคับการเข้าถึง การออกแบบและเทคนิคโครงสร้างอย่างเป็นระบบนั้น แยกข้อบกพร่องเป็นหัวข้อกิจกรรมมากมายของการวิจัย แต่ไม่ใช่วิธีการทัง้หมดที่สามารถนำไปปรับใช้ได้ตรงกับโครงสร้างส่วนมากของจุดประสงค์ทั่วไปของระบบที่มีอยู่
รายการที่แน่ชัดเกี่ยวกับการพัฒนาซอฟต์แวร์ในยุคก่อนศตวรรษที่ 21 แต่เกิดขึ้นจริงย้อนกลับไปก่อนปี 1975 ความปลอดภัยของสารสนเทศและการประกันซอฟต์แวร์ที่เหมาะสมเกี่ยวข้องกับความสำเร็จขององค์กร ในบทความนี้หัวข้อที่ให้ความเข้าใจเกี่ยวกับทฤษฎีที่เกิดขึ้นในปัจจุบัน ข้อปฎิบัติที่ปลอดภัย
a. กลไกทางเศรษฐกิจ : ดำเนินการออกแบบให้ง่ายๆ และเล็กเท่าที่เป็นไปได้
b. อุปกรณ์ป้องกันเป็นตัวเลือกโดยอัตโนมัติ : พื้นฐานการตัดสินใจการเข้าใช้งานที่ได้รับการอนุญาตแทนการยกเว้น
c. การอยู่ตรงกลางทั้งหมด : ทุกครั้งที่ต้องการเข้าใช้งาน ทุกจุดประสงค์ จะต้องตรวจสอบสิทธิ
d. การออกแบบเปิดกว้าง : การออกแบบไม่ควรจะเป็นความลับ แต่จะต้องขึ้นอยู่กับการควบคุมในเรื่องการป้อนข้อมูลหรือรหัสผ่าน
e. การแบ่งแยกสิทธิพิเศษ : ที่เหมาะสม กลไกการป้องกันควรจะต้องการกุญแจสองชั้น ในการเปิดออกแทนการใช้กุญแจชั้น เดียว
f. สิทธิพิเศษน้อยที่สุด : โปรแกรมทุกๆ โปรแกรมและผู้ใช้งานทุกคนของระบบ ในการทำงานควรจะใช้สิทธิพิเศษให้น้อยที่สุด
g. กลไกการทำงานร่วมกัน : วิธีการทำงานน้อยที่สุด (หรือการใช้ตัวแปรร่วมกัน) การทำงานร่วมกันมากกว่าหนึ่งคนและต้องพี่งพาอาศัยกันทุกคน
h. การยอมรับทางด้านจิตใจ : เป็นส่วนประกอบที่สำคัญในการติดต่อกับผู้ใช้ การออกแบบสำหรับการใช้งานต้องสะดวก เช่น ผู้ใช้งานประจำและการประยุกต์ใช้เป็นกลไกการควบคุมโดยอัตโนมัติ
การพัฒนาซอฟต์แวร์ที่มีปัญหาด้านความปลอดภัย (Software Development Security Problems)
ในบางครั้งการพัฒนาซอฟต์แวร์แล้วทำให้เกิดปัญหาในซอฟต์แวร์นั้น เป็นความยุ่งยากหรือเป็นไปไม่ได้ในการนำไปใช้งานในแนวทางของความปลอดภัย มีการค้นพบสิ่งที่เป็นอันตรายในด้านความปลอดภัยของซอฟต์แวร์ มี 19 ปัญหาในการพัฒนาซอฟต์แวร์ (ซึ่งเป็นที่รู้จักดีในสาขาวิศวกรรมซอฟต์แวร์) ที่จัดเป็นหมวดหมู่โดย John Viega ในความต้องการของ Amit Youran ซึ่งเป็นผู้อำนวยการของ Homeland Security’s National Cyber Security Division ซึ่งได้แก่
Buffer Overruns
เป็นวิธีการบุกรุกฉวยโอกาสอันเกิดขึ้นจากการที่ไม่มีการตรวจสอบบริเวณหน่วยความจำ ที่เรียกว่าบัฟเฟอร์ของโปรแกรมเพื่อเข้าไปเขียนโค๊ดโปรแกรมและข้อมูลบนหน่วยความจำบริเวณนั้นถ้าข้อมูลที่เขียนทับเข้าไปเป็นโค๊ดที่สามารถทำงานได้ ก็จะทำให้ขัน้ ตอนการทำงานของโปรแกรมที่อยู่นั้นเปลี่ยนแปลงได้ตามที่ผู้บุกรุกต้องการ แต่ถ้าคำสัง่ที่เขียนเข้าไปเป็นข้อมูลอื่นๆ ผลกระทบที่เกิดขึ้นก็อาจจะทำให้โปรแกรมหยุดทำงาน
Command Injection
เกิดขึ้นเมื่อผู้ใช้ป้อนข้อมูลโดยตรงเข้าไปยังคอมไฟล์เลอร์หรืออินเทอร์พรีเตอร์ ภายใต้ประเด็นความล้มเหลวของผู้พัฒนาไปถึงการรัปประกันคำสั่งที่ป้อนเข้าไปให้ถูกต้องก่อนที่จะใช้โปรแกรมตัวอย่างง่ายๆ ที่เป็นไปได้เกี่ยวกับคำสัง่ของ Windows
@ echo off
set /p myVar=”Enter the String”
set somVar=%myVar%
echo %somevar%
นี่เป็นคำสั่งที่ต้องการให้ผู้ใช้ใส่ตัวอักษรง่ายๆ ตัวแปรอื่นๆ แล้วก็แสดงค่าออกมา อย่างไรก็ตามผู้บุกรุกสามารถใช้คำสัง่และตามด้วยตัวอักษร & ให้ต่อกันกับคำสัง่อื่นที่ต้องการ (hello&del*.*)
Cross-site Scripting (XSS)
เกิดชึ้นเมื่อแอพพลิเคชั่นทำงานบนเว็บเซิร์ฟเวอร์รับข้อมูลจากคำสัง่ของผู้ใช้เข้ามา ผู้บุกรุกสามารถอาศัยจุดอ่อนของเว็บเซิร์ฟเวอร์ทำการส่งโค๊ด ภาษาที่เว็บบราวเซอร์สามารถเข้าใจ ไปยังหน้าหน้าเว็บที่แสดงโดยเว็บบราวเซอร์ของเหยื่อเพื่อให้เว็บบราวเซอร์ของเหยื่อทำงานตามที่ผู้บุกรุกต้องการ ไม่ว่าจะเป็นการขโมยข้อมูลส่วนบุคคล หรือบังคับให้เว็บบราวเซอร์ทำการโจมตีเป้าหมายที่ผู้บุกรุกต้องการ
Failure to Handle Errors
อะไรจะเกิดขึ้นเมื่อระบบหรือแอพพลิเคชั่น ประสบกับเหตุการณ์ที่ไม่ได้เตรียมพร้อมสำหรับการจัดการ มันพยายามทำให้สำเร็จลุล่วง (การอ่าน การเขียนหรือการคำนวณ) ประกาศข่าวสารสำคัญที่ผู้พัฒนาโปรแกรมสามารถเข้าใจ หรือหยุดการทำงาน ความล้มเหลวที่จะจัดการกับข้อผิดพลาดสาเหตุมาจากหลายพฤติกรรมของการใช้ระบบที่ไม่ได้คาดคิดมาก่อน ผู้พัฒนาโปรแกรมที่คาดหมายไว้ล่วงหน้าถึงปญั หาและได้เตรียมพร้อมของโค๊ดแอพพลิเคชั่นที่จะจัดการ
Failure to Protect Network Traffic
ด้วยความเจริญก้าวหน้า ความแพร่หลายของระบบเครือข่ายไร้สายที่เกิดขึ้น สอดคล้องกับการเพิ่มขึ้นในเรื่องความเสี่ยงในการส่งข้อมูลโดยทางเครือข่ายไร้สายจะถูกรบกวน ส่วนใหญ่ระบบเครือข่ายไร้สายจะติดตั้งและทำงานจำนวนน้อยหรือไม่ป้องกัน สารสนเทศนั้นจะกระจายไประหว่าง Client และ Access Point โดยเฉพาะเครื่อขายไร้สายสาธารณะในร้านกาแฟ ร้านหนังสือและโรงแรมโดยปราศจากการเข้ารหัสที่เหมาะสม (เช่น WPA) ผู้บุกรุกสามารถดักจับเพื่อดูข้อมูลได้
การจราจรบนเครือข่ายที่มีสายก็เช่นเดียวกันมีจุดอ่อนในการดักจับบางสถานการณ์บนระบบเครือข่ายที่ใช้ Hub ผู้ใช้งานบางคนสามารถติดตัง้โปรแกรมดักจับหรือข้อมูลในเครือข่าย และรวบรวมการติดต่อสื่อสารจากผู้ใช้บนเครือข่าย บางครั้งจะ Scan โดยไม่ได้รับอนุญาตในการจับ Packet บนเครือข่าย ไม่ได้รับอนุญาตให้เชื่อมต่อในระบบเครือข่าย และโดยทัว่ ไปการตระหนักถึงการคุกคามสามารถทำให้ปัญหาลดลง
Failure to Store and Protect Data Securely
การเก็บรักษาและป้องกันข้อมูลอย่างปลอดภัยเป็นประเด็นใหญ่มาก ผู้พัฒนาโปรแกรมเป็นผู้รับผิดชอบในการควบคุมการเข้าถึง และการเก็บรักษาความปลอดภัยของสารสนเทศออกจากโปรแกรม การควบคุมการเข้าเป็นประเด็นของการควบคุมดูแลว่า ใครทำอะไร เมื่อไหร่ ที่ไหน อย่างไรและมีผลกับข้อมูลระบบ ความล้มเหลวในการจัดเตรียมเครื่องมือหรือวิธีการอย่างเหมาะสม การควบคุมการเข้าถึงที่อ่อนแอทำให้ข้อมูลไร้ความมัน่ คง การเคร่งครัดควบคุมการเข้าถึงเป็นอุปสรรคของการใช้งานทางธุรกิจ เป็นอุปสรรคในเรื่องสมรรถนะและประสิทธิภาพของเครื่องและมีความเสี่ยงในการดำเนินการควบคุม การโอนย้ายหรือในทางอ้อม
การรวมเข้าด้วยกันของความปลอดภัยสารสนเทศ เช่น การฝงัข้อมูลรหัสผ่านลงในโค๊ด ทำการเข้ารหัสหรือสารสนเทศที่ไวต่อความรู้สึกของผู้อื่น เป็นการเสี่ยงต่อการถูกเปิดเผย
Failure to Use Cryptographically Strong Random Numbers
ระบบการเข้ารหัสส่วนมากจะทันสมัยเหมือนกับระบบคอมพิวเตอร์อื่นๆ ใช้การสุ่มหมายเลขที่สร้างขึ้น อย่างไรก็ตามระบบการตัดสินใจในการสุ่มและเลขสุ่มเทียมสำหรับวิธีการ Monte-Carlo ในการคำนวณล่วงหน้าไม่ต้องการเช่นลำดับขั้นสำหรับความเข้มงวดต้องการความถูกต้องไม่มีแบบแผนดังที่ระบบนั้นการตรวจสอบ เครื่องมือ กระบวนการเข้ารหัสเหล่านี้สุ่มหมายเลขที่สร้างขึ้นโดยใช้ขั้นตอนวิธีทางคณิตศาสตร์ บนพื้นฐานของค่าที่ได้รับเลือกและส่วนประกอบอื่นๆ อีก (เช่นนาฬิกาคอมพิวเตอร์) เพื่อจำลองแบบการสุ่มตัวเลข เหล่านั้นผู้ที่เข้าใจวิธีการทำงานของการสุ่มตัวเลขสามารถคาดเดาได้
Format String Problems
ภาษาคอมพิวเตอร์มีความยืดหยุ่น มีส่วนประกอบพร้อมสำหรับการสร้างความสามารถในการเปลี่ยนแปลงรูปแบบตลอดเวลาที่ต้องการผลลัพธ์ รูปแบบโครงสร้างเป็นทางการคือ รูปแบบที่ใช้กำหนดลักษณะการรับข้อมูล เป็นสิ่งที่หลีกเลี่ยงยากบางครั้งในการพัฒนาโปรแกรมอาจจะใช้ข้อมูลจากแหล่งที่ไม่น่าเชื่อถือ เช่น รูปแบบที่ใช้กำหนดลักษณะการรับข้อมูล(เช่น %x, %d, %p) ผู้บุกรุกจะฝังคำสั่งซึ่งมีความหมายตามรูปแบบที่มีจุดประสงค์ร้ายป้อนเข้าไป และโปรแกรมจะแปลความหมายข้อมูลที่ป้อนเข้าไปตามรูปแบบที่สัง่ (เช่น การใช้งานฟังก์ชั่น printf ในภาษา C ให้โปรแกรมแสดงผลออกมา ผู้บุกรุกก็จะสามารถเข้าถึงสารสนเทศหรือเขียนเป้าหมายส่วนที่ต้องการของโปรแกรมซ้อนทับเข้าไปด้วยข้อมูลที่เลือก
Neglecting Change Control
ผู้พัฒนาใช้กระบวนการที่มีชื่อเสียง เช่น การควบคุมการเปลี่ยนแปลงในการทำให้แน่ใจว่าระบบส่งมอบถึงผู้ใช้ แสดงให้เห็นจุดหมายของผู้พัฒนาตอนเริ่มขัน้ ตอนการพัฒนา การควบคุมการเปลี่ยนแปลงให้แน่ใจว่าผู้พัฒนาไม่ทำงานคนละทาง โดยการแก้ไขบางโปรแกรมหรือส่วนหนึ่งของโปรแกรมในช่วงเวลาใดเวลาหนึ่ง ระบบในกระบวนการผลิต กระบวนการควบคุมการเปลี่ยนแปลงทำให้แน่ใจ แต่การอนุญาตเปลี่ยนแปลง การแนะนำให้รู้จัก และการเปลี่ยนแปลงทัง้หมดนั้นการทดสอบอย่างเพียงพอก่อนที่จะออกเป็นรุ่นปัจจุบัน
Improper File Access
ถ้าผู้บุกรุกเปลี่ยนที่เก็บไฟล์ โดยการขัด้ ขวางและแก้ไขโค๊ดของโปรแกรม พวกเขาสามารถบังคับโปรแกรมในการใช้สิทธิเจ้าของไฟล์ แทนที่ไฟล์โปรแกรมซึ่งทึกทักว่าเป็นจริงเพื่อใช้งาน รูปแบบการบุกรุกมีโอกาสใช้อย่างใดอย่างหนึ่ง ปลอมแปลงแทนที่ไฟล์เพื่อให้ไฟล์นั้นมีผลตามกฎหมาย (เช่นไฟล์รหัสผ่าน) หรือลวงให้ระบบทำงานให้สำเร็จ ความเป็นไปได้สำหรับความเสียหายหรือสิ่งที่ถูกเปิดเผยรุนแรงเกินไป ดังนั้นสิ่งที่เป็นอันตรายที่จะป้องกันไม่ใช่เฉพาะตำแหน่งที่อยู่ของไฟล์ แต่ควรจะเป็นวิธีการและช่องทางการติดต่อสื่อสารโดยสิ่งที่เข้าถึงไฟล์เหล่านั้น
Improper Use of SSL
ผู้พัฒนาโปรแกรมใช้ระบบรักษาความปลอดภัยของข้อมูล (SSL) ในการที่จะส่งข้อมูลที่ละเอียดอ่อนรวมถึงหมายเลขบัตรเครดิตและข้อมูลส่วนบุคคลอื่นๆ ระหว่าง Client และ Server ขณะที่ผู้พัฒนาโปรแกรมส่วนมากนั้นคิดว่าการใช้ระบบรักษาความปลอดภัยของข้อมูล รับประกันความปลอดภัยแต่ไม่ประสบความสำเร็จ มากกว่าการทำให้ประสบความสำเร็จของเทคโนโลยี SSL (Secure Socket Layer) และ TLS (Transport Layer Security) ทั้งสองต้องการพิสูจน์ทำให้ถูกต้องที่ปลอดภัยจริงๆ ความล้มเหลวในการใช้ความปลอดภัย HTTP เพื่อชอบด้วยกฎหมายด้วยใบรับรองอิเล็กทรอนิกส์ และต่อใบรับรองให้ถูกต้องหรือความถูกต้องของสารสนเทศเปรียบเทียบกับรายการของการเพิกถอนใบรับรอง สามารถยอมรับความปลอดภัยของการสื่อสาร SSL
Information Leakage
มีจำนวนมากที่เป็นแนวทางร่วมกันในการจำแนกสารสนเทศโดยตรงและโดยอ้อม สมัยสงครามโลกครั้งที่ 2 ทหารประกาศเตือนใช้คำว่า “ปากหลวม เรือล่ม” ให้ความสำคัญกับความเสี่ยงการเคลื่อนพลทางเรือ จากฝ่ายตรงข้ามจะกระทำกับลูกเรือ เรือเดินทะเล และการเปิดเผยจากภายในของการเคลื่อนไหวของเรือ คือการแบ่งปันอย่างกว้าง ความกลัว อันตรายที่พลเรือนได้รับ คอยปฎิบัติงานในสิ่งกีดขวางและที่ทำงานร่วมพอร์ตของกองทัพเรือ ขณะที่กำลังคอยสิ่งที่จะลงมา โดยการเตือนลูกจ้างเกี่ยวกับการเปิดเผยสารสนเทศ องค์กรสามารถป้องกันความปลอดภัยของการดำเนินการ
Integer Bugs (Overflows/Underflows)
แม้ว่าสมุดและดินสอสามารถรับมือเกี่ยวกับจำนวนของตัวเลข เลขฐานสองถูกใช้ในคอมพิวเตอร์โดยการกำหนดความยาวโดยเฉพาะ เช่น จำนวน 1 ถึง 32,767 จะได้จำนวน 32,768 แต่ในระบบตัวเลขด้วยเครื่องหมายจำนวนเต็ม 16 บิท ผลลัพธ์คือ -32,768 จำนวนน้อยมากจนไม่สามารถนำเก็บในหน่วยความจำได้สามารถเกิดขึ้นเมื่อ เช่น ลบออก 5 จาก -32,767 ให้ผลลัพธ์อย่างแปลกใจด้วย +32,764 เพราะว่าจำนวนเต็มที่เป็นลบมากมายสามารถแสดงใน 16 บิทที่เป็นลบคือ -32,768
ข้อผิดพลาดของจำนวนเต็มนี้เกิดขึ้นด้วยกัน 4 ประเภทคือ
1. ล้นมากเกินไปหมายถึงหน่วยความจำไม่สามารถรับข้อมูลเข้าไปได้อีก
2. น้อยมากเกินไปจนไม่สามารถเก็บในหน่วยความจำได้
3. การตัดจำนวนบิทส่วนเกินทิ้งไปในการจัดเก็บจำนวนจริง
4. ข้อผิดพลาดที่เกิดจากการยอมจำนน ความผิดพลาดของจำนวนเต็มโดยปกติเป็นการกระทำโดยทางอ้อม
กลไกความผิดพลาดของจำ นวนเต็มเปิดโอกาสให้ผู้บุกรุกเข้าไปใช้พื้นที่อื่นๆ ของหน่วยความจำ แอพพลิเคชั่นโดยควบคุม หน่วยความจำจัดสรรค่าที่ได้รับมามากกว่า ถ้าค่านั้นดีกว่าที่คาดไม่ถึงด้วยบิทพิเศษเขียนเข้าไปในสถานที่อื่นๆ ระบบอาจจะมีประสบการณ์ผลลัพธ์ที่ไม่คาดคิดอันทำให้สามาถคำนวนผิด การกระทำผิด เกิดการล้มละลายหรือมีปญั หาอื่นๆ “แม้ว่าความผิดพลาดของจำนวนเต็มเป็นประจำ ทำให้เกิดการเขียนข้อมูลเกินขอบเขตที่กำหนด หรือหน่วยความจำอื่นๆถูกยึด ความผิดพลาดของจำนวนเต็มไม่ใช่กรณีพิเศษของหน่วยความจำทำงานผิดพลาด”
Race Conditions
คือความล้มเหลวของโปรแกรมเกิดขึ้นอย่างฉับพลัน ในการสัง่งานพร้อมกันในการดำเนินการของโปรแกรม ผลของความขัดแย้งตลอดการเข้าไปใช้ทรัพยากรของระบบร่วมกัน การขัดแย้งไม่ต้องการเกี่ยวกับสตรีมของโค๊ดภายในโปรแกรมเนื่องจากระบบปฏิบัติการและเทคโนโลยีโปรเซสเซอร์แยกการทำงานโดยอัตโนมัติในหลายเส้นทางนั้น สามารถดำเนินการในเวลาเดียวกันถ้าบนเส้นทางของผลลัพธ์จากการแชร์โปรเซส ทรัพยากรอื่นๆ เหล่านั้นสามารถจะติดต่อกับผู้ใช้ซึ่งกันและกัน
การเกิด Race Conditions เช่น โปรแกรมสร้าง Temporary ไฟล์ และผู้บุกรุกสามารถทำการทำซ้ำในระหว่างเวลาที่สร้างและเวลาที่ใช้ Race Conditions สามารถเกิดขึ้นเช่นเดียวกันพร้อมกับการเก็บสารสนเทศในหน่วยความจำหลายเส้นทาง ถ้าหนึ่งเส้นทางเก็บสารสนเทศในตำแหน่งหนวยความจำผิดโดยบังเอิญหรือเจตนา
SQL Injection
เกิดขึ้นเมื่อผู้พัฒนาระบบประสบความล้มเหลว ในการใส่ข้อมูลผู้ใช้เข้าไปก่อนการใช้ Query ฐานข้อมูล เช่น โดยความจริงโปรแกรมที่ไม่เป็นอันตรายส่วนรับ User ข้อมูลเข้า User-ID และหลังจากการทำคำสัง่ SQL Query เปรียบเทียบตาราง User ที่ได้รับ ตัวอย่างเช่น
Accept USER-ID from console;
SELECT USER-ID, NAME FROM USERS WHERE USERID = USER-ID;
นี้เป็นรูปแบบ SQL โดยเฉพาะและเมื่อใช้คำสั่งถูกต้องจะแสดง USERID และชื่อผู้ใช้ปัญหาคือข้อมูลที่ได้รับจะผ่านโดยตรงไปยัง SQL Database Server และส่วนของคำสั่ง SQL และถ้าผู้บุกรุกป้อนตัวอักษร “JOE or 1=1” ตัวอักษรนี้ร่วมกับบ้างส่วนมีผลต่อรูปแบบ SQL จะตอบกลับแถวทั้งหมด
จากตารางที่ USER-ID เหมือนกันคือ “JOE or 1=1” เพราะว่า 1 เท่ากับ 1 ผลลัพธ์ทัง้หมดคือ USERID
และ Name จะตอบกับ สิ่งที่เป็นไปได้ทำให้เกิดความสามารถที่ “Inject” SQL ของผู้บุกรุกเลือกใส่เข้าไปในโปรแกรมไม่ต้องมีขอบเขตที่เหมาะสมเข้าถึงสารสนเทศ ถ้าผู้บุกรุกใช้คำสัง่ SQL ลบตารางผู้ใช้หรือทำการปิดระบบฐานข้อมูล
Trusting Network Address Resolution
Domain Name Service (DNS) เป็นการทำงาน WWW ในการแปลง URL (Uniform Resource Locator) เช่น http://www.course.com เป็น IP Address ของเว็บเซิร์ฟเวอร์ รูปแบบการเผยแพร่นี้ถูกโจมตีได้ง่ายหรือเป็นอันตราย DNS แคชเป็นอันตรายที่เกี่ยวข้องกับการยอมรับ เวลาเปลี่ยนแปลง DNS Server ต้องการ IP Address สัมพันธ์กันกับ Domain Name เป็นวิธีหนึ่งที่ผู้บุกรุกเลือกใช้การปลอมแปลง การออกแบบเว็บไซต์ที่ผลิตจากสารสนเทศส่วนบุคล หรือสิ่งนั้นมีประโยชน์มากสำหรับผู้บุกรุก เช่นการเปลี่ยนเว็บไซต์ร้านค้าคู่แข่ง เป็นมากกว่าการมุ่งร้าย เช่น การปลอมแปลงเว็บไซต์ Banking สำหรับ Phishing Attack เกี่ยวกับสารสนเทศ Banking ออนไลน์
วิธีการหนึ่งในการปลอมแปลงข้อมูลสารสนเทศใน DNS Server ส่วนมากพยายามสร้างเกี่ยวกับ DNS Server หลักและสำรองขององค์กร ความพยายามโจมตีอื่นๆ ที่เป็นอันตราย DNSServer มาขึ้นทวีคูณ ระบบ DNS อาศัยกระบวนการปรับปรุงอัตโนมัติที่สามารถประสบความสำเร็จ ผู้บุกรุกส่วนมากโดยปกติเป็นอันตรายในส่วนของ DNS อย่างใดอย่างหนึ่งโดยการโจมตี Name Server และการแทนที่ของ DNS หลักโดยการปรับปรุงข้อมูลส่วนบุคคลไม่ถูกต้องหรือโดยการตอบสนองก่อน DNS จริงจะทำ ชนิดท้ายสุดของการบุกรุก ถ้าผู้บุกรุกค้นพบความล้าช้าใน Name Server เขาสามารถติดตั้งเครื่องอื่นให้ตอบสนอง ทัง้ที่ DNS จริงยังคงอยู่ ก่อน DNS Server จริงจะตอบสนอง Client ได้รับครั้งแรกของชุดสารสนเทศที่ได้รับและโดยตรงถึง IP Address
Unauthenticated Key Exchange
หนึ่งของความยิ่งใหญ่อันท้าทายในระบบ Private Key ซึ่งเกี่ยวกับผู้ใช้สองคนใช้งานร่วมกุญแจเดียวกัน คือต้องการเพื่อได้กุญแจกับกลุ่มอื่นอย่างปลอดภัย บางครั้งจะนอกสัญญาณ ผู้ส่งข่าวเป็นผู้ถูกใช้ในเวลาอื่นระบบ Public key ซึ่งใช้ทัง้สอง Public และ Private key เป็นการใช้แลกเปลี่ยนกุญแจแต่สิ่งที่ถ้าบุคคลซึ่งได้รับสถานที่กุญแจบนอุปกรณ์ USB และการส่งไม่แท้จริงงานของบริษัท แต่ความคาดหวังอย่างง่ายโดยเฉพาะการส่งมอบและการขัดขวาง เรื่องเดียวกันนี้เกิดขึ้นบนอินเทอร์เน็ต เมื่อผู้บุกรุกเขียนแก้ไขระบบ Public key และแทนที่ออกในขณะที่ฟรีแวร์ การทำให้เสื่อมหรือการขัดขวางการทำงานของบางคน อื่นอีกของระบบการเข้ารหัส Public key อาจเป็นไปได้โดยตัวแทนที่ได้เตรียม Public key
Use of Magic URLs and Hidden Forms
HTTP เป็นโปรโตคอลที่ไม่มีการรู้จำสถานะที่โปรแกรมคอมพิวเตอร์อันใดอันหนึ่ง สุดท้ายช่องทางของการติดต่อสื่อสารไม่สามารถไว้วางใจที่รับประกันการส่งข่าวสาร สิ่งนั้นให้ยุ่งยากสำหรับการพัฒนาที่ระบุการเปลี่ยนของผู้ใช้ด้วยเว็บไซต์หลายอันตลอดการปฎิสัมพันธ์ เป็นประจำด้วยการตอบสนองต่อสภาพสารสนเทศเป็นอย่างง่ายรวมอยู่ในอย่างน่าอัศจรรย์ของ URL (Authentication ID ที่ใช้ในการผ่านค่าตัวแปรใน URL สำหรับการแลกเปลี่ยนการดำเนินงานตามต้องการ) หรือรวมอยู่ในการซ่อนรูปแบบฟิลค์บนหน้าเว็บเพจ ถ้าสารสนเทศนนั้นเป็นเก็บข้อมูลที่อยู่ในรูปแบบที่อ่านได้ ผู้บุกรุกสามารถเก็บเอาสารสนเทศจากความน่าอัศจรรย์ของ URL ในขณะที่ท่องไปในเครือข่ายหรือใช้สคริพท์บนเครื่องผู้ใช้แก้ไขข้อมูลที่ซ่อนอยู่ในรูปแบบฟิลค์ ขึ้นอยู่กับโครงสร้างของแอพพลิเคชั่น,การเก็บ/การแก้ไขสารสนเทศ สามารถจะใช้ในการลวง/การบังคับหรือการเปลี่ยนการทำงานทางแอพพลิเคชั่น (เช่น รายการของราคาเก็บซ่อนอยู่ในรูปแบบฟิลด์ ผู้บุกรุกสามารถแก้ไขราคาเพื่อซื้อ
สินค้าชิ้นนั้น)
Use of Weak Password-Base Systems
ความล้มเหลวที่ต้องการเพียงรหัสผ่านที่เข็มแข็ง และการควบคุมรหัสผ่านที่ใช้ไม่เหมาะสมคือประเด็นความปลอดภัยอื่นๆ ที่รุนแรง นโยบายรหัสผ่านสามารถกำหนดตัวเลขและชนิดของตัวอักษร ความถี่ของการบังคับให้เปลี่ยนและแม้แต่การนำรหัสผ่านเก่ากลับมาใช้ เช่นเดียวกับผู้ดูแลระบบสามารถควบคุมตัวเลขที่นำมาใช้ไม่เหมาะสม นั้นคือการทำโดยผู้ใช้และปรับปรุงมากขึ้นขยายระดับของการป้องกัน ระบบนั้นไม่ทำรหัสผ่านให้ถูกต้องหรือการเก็บรหัสผ่านในสถานที่เข้าถึงได้ง่ายสำหรับผู้บุกรุก ความแข็งแรงของรหัสผ่านมีผลโดยตรงกับความสามารถที่จะทนต่อการถอดรหัส การใช้ไม่เป็นมาตรฐานในส่วนประกอบของรหัสผ่าน ต้องไม่น้อยกว่า 8 ตัวอักษรด้วยอย่างน้อยต้องมีหนึ่งตัวพิมพ์ใหญ่ ตัวเลข และตัวอักษรที่ไม่ใช่ตัวเลข สามารถทำให้ความแข็งแรงของรหัสผ่านมากขึ้น
Poor Usability
บุคคลชอบการกระทำในสิ่งที่ง่าย เมื่อต้องพบกับการปฎิบัติงานที่เป็นทางการ และแบบไม่เป็นทางการเป็นสิ่งที่ง่ายเขาทั้งหลายชอบวิธีการที่ง่าย วิธีที่ดีที่อ้างอิงตำแหน่งที่เป็นประเด็นคือเตรียมให้เพียงแค่ทางเดียว ทางที่ปลอดภัยการผสมผสานความปลอดภัย ความสามารถ เพิ่มการอบรม ความตระหนักและทำให้แน่ใจเสถียรภาพของการควบคุมทั้งหมด รับผิดชอบต่อความปลอดภัยของสารสนเทศ อนุญาตให้ผู้ใช้ใช้ค่ามาตรฐานเพื่อให้ง่าย วิธีการใช้สะดวกมากกว่า ซึ่งหลีกเลี่ยงที่จะนำมาสู่ความเสียหาย
บรรณานุกรม
Intrusion Detection Systems (IDS)
http://csrc.nist.gov/publications/nistpubs/800-31/sp800-31.pdf
Characteristics of a Good Intrusion Detection System
http://www.cerias.purdue.edu/about/history/coast_resources/idcontent/detection.html
NSA Glossary of Terms Used in Security and Intrusion Detection
http://www.sans.org/newlook/resources/glossary.htm
ระบบตรวจจับการบุกรุก
http://www.thaicert.org/paper/ids/ids.php
ก้าวทัน Malware กับการใช้อุปกรณ์ IT อย่างปลอดภัย
http://pclab.nectec.or.th/Documents/Support/Article/Malware.pdf
มัลแวร์ (Malware) คืออะไร
http://support.activemedia.co.th/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=27
การรักษาความปลอดภัยในระบบเครือข่าย
http://www.kruchanpen.com/network/maintain.htm
เทคนิคการโจมตีแบบ “Phishing”
http://www.thaicert.org/paper/basic/phishing.php
สแปมเมล์(Spam mail) หรืออีเมล์ขยะ
http://cc.swu.ac.th/ccnews/content/e1624/e1625/e2306/e2319/index_th.html
แนวโน้มภัยคุกคามไอทีปี 2552
http://www.manager.co.th/cyberbiz/ViewNews.aspx?NewsID=9510000150706
ภัยคุกคามและการรักษาความปลอดภัยบนระบบคอมพิวเตอร์
http://www.no-poor.com/inttotocomandcomapp/chapter7-comapp.htm
เรียนรู้วิธีการคิดให้เหนือชั้นกว่า hacker วิธีการ-hacker tools
http://www.viruscom2.com/hacker.html
10 แนวโน้มความปลอดภัย ปี 2551
http://www.thaisarn.com/th/news_reader.php?newsid=265238
มาตรฐาน IEEE 802.11 WLAN: ความรู้เบื้องต้น ช่องโหว่ และการรักษาความปลอดภัย (ตอนที่ 1)
http://thaicert.nectec.or.th/paper/wireless/IEEE80211_1.php
Hoax (ข่าวไวรัส หลอกลวง)
http://www.thaicert.org/paper/hoax.php
Man in the Middle attack (การโจมตีแบบคนกลาง)
http://www.viruscom2.com/hacker/man-in-the-middle-attack.html
Grid Computing ไปถึง Cloud Computing ตอนที่ 1
http://javaboom.wordpress.com/2008/11/27/grid2cloud_pt1/
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น