บทที่ 4 ภัยคุกคาม ช่องโหว่ และการโจมตี
ภัยคุกคาม ช่องโหว่ และการโจมตี
ภัยคุกคาม Threat คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่เป็นตัวแทนของการะทำอันตรายต่อทรัพย์สิน
ภัยคุกคามมีหลายกลุ่ม เช่น ภัยคุกคามที่เกิดขึ้นโดยเจตนา หรือบางกลุ่มเป็นภัยคุกคามที่เกิดขึ้นโดยไม่ได้เจตนา เช่ยภัยคุกคามจากธรรมชาติ หรือจากผู้ใช้ในองค์กรเองภัยคุกคามที่สามารถทำลายช่องโหว่ ได้เท่านั้น จึงจะสามารถสร้างความเสียหายแก่ระบบได้ และจัดว่าภัยคุกคามนั้นเป็นความเสี่ยง Risk ที่อาจสร้างความเสียหายแก่สารสนเทศได้
สรุปประเภทของภัยคุกคาม
ตัวอย่างภัยคุกคาม
ความผิดพลาดที่เกิดจากบุคคล Human Error/Failure
ภัยร้ายต่อทรัพย์สินทางปัญญา Compromises to Intellectual Property
การจารกรรมหรือการรุกล้ำ Espionage or Trespass
การกรรโชกสารสนเทศ Information Extortion
อุบัติเหตุ ความเข้าใจผิดของพนักงาน
การละเมิดลิขสิทธิ์
การเข้าถึงหรือการรวบรวมข้อมูลโดยไม่ได้รับอนุญาต
การ Backmail การเผยแพร่สารสนเทศที่เป็นความลับสรุปประเภทของภัยคุกคาม(ต่อ)
ประเภทของภัยคุกคาม
การทำลายหรือทำให้เสียหาย Subotage or Vandalism การลักขโมย Theft
ซอฟต์แวร์โจมตี Software Attack
ภัยธรรมชาติ Force of Nature
คุณธรรมของการบริการที่เบี่ยงเบนไป Deviation in Quality of Service
การทำลายระบบหรือสารสนเทศ
การลักขโมยหรือการโจรกรรมอุปกรณ์คอมพิวเตอร์หรือสารสนเทศ ไวรัส, เวิร์ม, มาโคร, Dos
น้ำท่วม, ไฟไหม้, แผ่นดินไห, ไฟดับ
ISP, WAN, Service, Provider
1.ความผิดพลาดที่เกิดจากบุคคล Human Error/Failures
เป็นความผิดพลาดที่เกิดจากพนักงานหรือบุคคลที่ได้รับอนุญาตให้เข้าถึงสารสนเทศขององค์กรได้
อาจเกิดจากความไม่ได้ตั้งใจ เนื่องจากไม่มีประสบการณ์ หรือขาดการฝึกอบรม หรือคาดเดา เป็นต้น
ป้องกันภัยคุกคาม โดยการให้ความรู้ด้านความมั่นคงปลอดภัยของสารสนเทศ การฝึกอบรมอย่างสม่ำเสมอ
มีมาตรการควบคุม
2. ภัยร้ายต่อทรัพย์สินทางปัญญา Comromises to Intellectual Property
ทรัพย์สินทางปัญญา Intellectual Property คือทรัพย์สินที่จับต้องไม่ได้ ที่ถูกสร้างขึ้นมาโดยบุคคลหรือองค์กรใด ๆ หากต้องการนำทรัพย์สินทางปัญญาของผู้อื่นไปใช้ อาจต้องเสียค่าใช้จ่าย และจะต้องระบุแหล่งที่มาของทรัพย์สินดังกล่าวไว้อย่างชัดเจน
ในทางกฎหมาย การให้สิทธิในความเป็นเจ้าของทรัพย์สินทางปัญญา มี 4 ประเภทคือ ลิขสิทธิ์ (copyrights) ความลับทางการค้า(Trade Secrets) เครื่องหมายการค้า (Trade Marks) สิทธิบัตร(Patents)
การละเมิดความคุ้มครองทรัพย์สินทางปัญญาที่มากที่สุดคือ การละเมิดลิขสิทธิ์ซอฟต์แวร์
(Software Piracy)
สามารถหาความรู้เพิ่มเติม เรื่อง ทรัพย์สินทางปัญญาได้ที่ http://www.ipthailand.org
3. การจารกรรมหรือการรุกล้ำ Espionage or Trespass
การจารกรรมหรือการรุกล้ำ (Espionage or Trespass)
การจารกรรม Espionage เป็นการที่กระทำซึ่งใช้อุปกรณ์อิเลคทรอนิกส์ หรือตัวบุคคลในการจารกรรมสารสนเทศที่เป็นความลับ
ผู้จารกรรมจะใช้วิธีการต่าง ๆ เพื่อให้ถึงซึ่งสารสนเทศที่จัดเก็บไว้ และรวมรวมสารสนเทศนั้นโดยไม่ได้รับอนุญาต
Industrial Espionage วิธีนี้เป็นการใช้เทคนิคที่ถูกกฎหมายแต่ก้ำกึ่งความไม่ชอบธรรม เพื่อรวบรวมสารสนเทศที่สำคัญหรือความลับทางการค้าของคู่แข่งเพื่อนำมาหาผล ประโยชน์
Shoulder Surfing คือการแอบดูข้อมูลส่วนตัวของผู้อื่นขณะทำธุรกรรมผ่านตู้ ATM
การรุกล้ำ Trespass คือ การกระทำที่ทำให้ผู้อื่นสามารถเข้าสู่ระบบเพื่อรวมรวมสารสนเทศที่ต้องการโดยไม่ได้รับอนุญาต
การควบคุม สามารถทำได้โดย การจำกัดสิทธิ์และพิสูจน์ตัวตนของผู้เข้าสู่ระบบทุกครั้งว่าเป็นบุคคลที่ได้รับอนุญาติจริง
ประเภทของ Espionage และ Trespass
1. Hacker บุคคลผู้ซึ่งสร้างซอฟต์แวร์คอมพิวเตอร์ขึ้นมา เพื่อให้ตนสามารถเข้าถึงสารสนเทศของผู้อื่นอย่างผิดกฎหมาย
แบ่งออกได้เป็น 2 ประเภท
1.1 Expert Hacker เป็นแฮคเกอร์ที่มีทักษะสูง ทำการพัฒนาโปรแกรมขนาดเล็กหรือซอฟต์แวร์สคริปต์ที่ใช้ในการเข้าถึงสารสนเทศ ในระบบของผู้อื่น ให้พวก Unskilled Hacker ใช้
1.2 Unskill Hacker คือ พวกแฮคเกอร์ที่มีทักษะน้อย ไม่สามารถสร้างโปรแกรมเจาะระบบได้เอง จึงเป็นผู้นำโปรแกรมไปเจาะระบบ หรือเข้าถึงสารสนเทศของผู้อื่น
ความแตกต่างระหว่าง Hacker / Cracker
Hacker มีเป้าหมายเพื่อทดสอบความสามารถหรือต้องการท้าท้าย โดยการเจาะระบบให้สำเร็จ
Cracker มีจุดประสงค์คือต้องการทำลายระบบความมั่นคงปลอดภัยของระบบคอมพิวเตอร์หรือระบบสารสนเทศ
Phreaker คือ ผู้เจาะระบบเครือข่ายโทรศัพท์สาธารณ เพื่อให้ตนเองใช้โทรศัพท์โดยไม่เสียค่าใช้จ่าย หรือเพื่อรบกวนสัญญานโทรศัพท์
ภัยคุกคามประเภทนี้เรียกว่า ปฏิบัติการ Hacktivist หรือ Cyberactivist เป็นปฏิบัติการที่แซกแทรง หรือสร้างความสับสนให้กับระบบการทำงานบางอย่างในองค์กร เพื่อคัดค้านการดำเนินงาน นโยบาย หรือกิจกรรมบางอย่างขององค์กร หรือหน่วยงานของรัฐ
การก่อการร้ายบนโลกไซเบอร์ Cyberterrorism เป็นภัยคุกคามอีกรูปแบบหนึ่ง เป็นการก่อการร้ายผ่านระบบเครือข่ายหรือระบบอินเตอร์เน็ต
FBI ได้ให้นิยามของ Cybertierriorsm ว่า เป็นการโจมตีแบบไตร่ตรองไว้ก่อนต่อสารสนเทศ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ และข้อมูลซึ่งจะก่อให้เกิดความรุนแรงหรือทำลายเป้าหมาย โดยกลุ่มบุคคล หรือตัวแทนที่ไม่เปิดเผยนาม ที่มีเหตุจูงใจจากประเด็นการเมือง
1. การโจมตีแบบ SYN Flood
เป็นการโจมตีโดยการส่ง แพ็คเก็ต TCP ที่ตั้งค่า SYN บิตไว้ไปยังเป้าหมาย เสมือนกับการเริ่มต้นร้องขอการติดต่อแบบ TCP ตามปกติ (ผู้โจมตีสามารถปลอมไอพีของ source address ได้) เครื่องที่เป็นเป้าหมายก็จะตอบสนองโดยการส่ง SYN-ACK กลับมายัง source IP address ที่ระบุไว้ ซึ่งผู้โจมตีจะควบคุมเครื่องที่ถูกระบุใน source IP address ไม่ให้ส่งข้อมูลตอบกลับ ทำให้เกิดสภาวะ half-open ขึ้นที่เครื่องเป้าหมาย หากมีการส่ง SYN flood จำนวนมาก ก็จะทำให้คิวของการให้บริการของเครื่องเป้าหมายเต็ม ทำให้ไม่สามารถให้บริการตามปกติได้ นอกจากนี้ SYN flood ที่ส่งไปจำนวนมาก ยังอาจจะทำให้เกิดการใช้แบนด์วิดธ์อย่างเต็มที่อีกด้วย
2. การโจมตีแบบ ICMP Flood
เป็นการส่งแพ็คเก็ต ICMP ขนาดใหญ่จำนวนมากไปยังเป้าหมาย ทำให้เกิดการใช้งานแบนด์วิดธ์เต็มที่
3. การโจมตีแบบ UDP Flood
เป็นการส่งแพ็คเก็ต UDP จำนวนมากไปยังเป้าหมาย ซึ่งทำให้เกิดการใช้แบนด์วิดธ์อย่างเต็มที่ และหรือทำให้ทรัพยากรของเป้าหมายถูกใช้ไปจนหมด โดยจะส่ง UDP packet ไปยัง port ที่กำหนดไว้ เช่น 53 (DNS)
4. การโจมตีแบบ Teardrop
โดยปกติ เราเตอร์จะไม่ยอม ให้แพ็กเก็ตขนาดใหญ่ผ่านได้ จะต้องทำ Fragment เสียก่อนจึงจะยอมให้ผ่านได้ และเมื่อผ่านไปแล้วเครื่องของผู้รับปลายทางจะนำแพ็กเก็ตที่ถูกแบ่งออกเป็น ชิ้นส่วนต่าง ๆ ด้วยวิธีการ Fragment มารวมเข้าด้วยกันเป็นแพ็กเก็ตที่สมบูรณ์ การที่สามารถนำมารวมกันได้นี้จะต้องอาศัยค่า Offset ที่ปรากฏอยู่ในแพ็กเก็ตแรกและแพ็กเก็ตต่อๆ ไป
สำหรับการโจมตีแบบ Teardrop นี้ ผู้โจมตีจะส่งค่า Offset ในแพ็กเก็ตที่สองและต่อ ๆ ไปที่จะทำให้เครื่องรับปลายทางเกิดความสับสน หากระบบปฏิบัติการไม่สามารถรับมือกับปัญหานี้ก็จะทำให้ระบบหยุดการทำงานใน ทันที
5. การโจมตีแบบ Land Attack
5.1 ลักษณะการโจมตีประเภทนี้ เป็นการส่ง SYN ไปที่เครื่องเป้าหมาย เพื่อขอการเชื่อมต่อ ซึ่งเครื่องที่เป็นเป้าหมายจะต้องตอบรับคำขอการ เชื่อมต่อด้วย SYN ACK ไปที่เครื่องคอมพิวเตอร์ต้นทางเสมอ
5.2 แต่เนื่องจากว่า IP Address ของเครื่องต้นทางกับเครื่องที่ เป็น เป้าหมายนี้มี IP Address เดียวกัน โดยการใช้ วิธีการ สร้าง IP Address ลวง (โดยข้อเท็จจริงแล้ว เครื่องของ Hacker จะมี IP Address ที่ต่างกับ เครื่องเป้าหมาย อยู่แล้ว แต่จะใช้วิธีการทางซอฟต์แวร์ใน การส่งแพ็กเก็ตที่ ประกอบด้วยคำขอการเชื่อมต่อ พร้อมด้วย IP Address ปลอม) ซึ่งโปรโตคอลของเครื่องเป้าหมายไม่ สามารถ แยกแยะได้ ว่า IP Address ที่เข้ามาเป็นเครื่อง ปัจจุบันหรือไม่ ก็จะทำ การตอบสนองด้วย SYN ACK ออกไป
5.2 แต่เนื่องจากว่า IP Address ของเครื่องต้นทางกับเครื่องที่ เป็น เป้าหมายนี้มี IP Address เดียวกัน โดยการใช้ วิธีการ สร้าง IP Address ลวง (โดยข้อเท็จจริงแล้ว เครื่องของ Hacker จะมี IP Address ที่ต่างกับ เครื่องเป้าหมาย อยู่แล้ว แต่จะใช้วิธีการทางซอฟต์แวร์ใน การส่งแพ็กเก็ตที่ ประกอบด้วยคำขอการเชื่อมต่อ พร้อมด้วย IP Address ปลอม) ซึ่งโปรโตคอลของเครื่องเป้าหมายไม่ สามารถ แยกแยะได้ ว่า IP Address ที่เข้ามาเป็นเครื่อง ปัจจุบันหรือไม่ ก็จะทำ การตอบสนองด้วย SYN ACK ออกไป
5.3 หากแอดเดรสที่ขอเชื่อมต่อเข้ามาเป็นแอดเดรสเดียวกับเครื่อง เป้าหมาย ผลก็คือ SYN ACK นี้จะย้อนเข้าหาตนเอง และ เช่นกันที่การปล่อย SYN ACK แต่ละครั้งจะต้องมีการปันส่วน ของหน่วยความจำเพื่อการนี้จำนวนหนึ่ง ซึ่งหากผู้โจมตีส่งคำขอ เชื่อมต่อออกมาอย่างต่อเนื่องก็จะเกิดปัญหาการจัดสรร หน่วยความจำ
ความเสียหายที่เกิดโดยการโจมตีในรูปแบบ DoS
ความเสียหายที่เกิดจาก DoS ส่งผลให้ผู้ใช้งานแต่ละส่วนไม่เหมือนกัน แล้วแต่ว่าเขาจะอยู่ในส่วนใด เช่น เป็นผู้เข้าไปใช้งาน เป็นพนักงานในองค์กรที่โดนโจมตีหรือเป็น เจ้าของเครื่องที่ถูกใช้ในการโจมตี หรือจะมองในแง่ขององค์กรที่โดนโจมตี ทุกๆ ฝ่ายล้วนแล้วแต่เป็นฝ่ายเสียทั้งนั้น ยกเว้นคนที่ทำให้เหตุการณ์นี้ เกิดขึ้น หรือคนที่เป็นคนบงการอยู่เบื้องหลังเท่านั้นที่ได้ประโยชน์จากการโจมตีนั้น
ความเสียหายที่เกิดจาก DoS ส่งผลให้ผู้ใช้งานแต่ละส่วนไม่เหมือนกัน แล้วแต่ว่าเขาจะอยู่ในส่วนใด เช่น เป็นผู้เข้าไปใช้งาน เป็นพนักงานในองค์กรที่โดนโจมตีหรือเป็น เจ้าของเครื่องที่ถูกใช้ในการโจมตี หรือจะมองในแง่ขององค์กรที่โดนโจมตี ทุกๆ ฝ่ายล้วนแล้วแต่เป็นฝ่ายเสียทั้งนั้น ยกเว้นคนที่ทำให้เหตุการณ์นี้ เกิดขึ้น หรือคนที่เป็นคนบงการอยู่เบื้องหลังเท่านั้นที่ได้ประโยชน์จากการโจมตีนั้น
 |
| ภัยคุกคาม ช่องโหว่ และการโจมตี |
สรุปใบงานที่ 1
มัลแวร์ (อังกฤษ: Malware) ย่อมาจากคำว่า Malicious Software ซึ่งหมายถึงโปรแกรมประสงค์ร้ายต่างๆ โดยทำงานในลักษณะที่เป็นการโจมตีระบบ การทำให้ระบบเสียหาย รวมไปถึงการโจรกรรมข้อมูล มัลแวร์ แบ่งออกได้หลากหลายประเภท อาทิเช่น ไวรัส (Virus) เวิร์ม (Worm) หรือหนอนอินเทอร์เน็ต ม้าโทรจัน (Trojan Horse) การแอบดักจับข้อมูล (Spyware) คีย์ ล๊อกเกอร์ (Key Logger) บนเครื่องคอมพิวเตอร์ของผู้ใช้งาน ตลอดจนโปรแกรมประเภทขโมยข้อมูล (Cookie) และการฝัง Malicious Mobile Code (MMC) ผ่านทางช่องโหว่ของโปรแกรม Internet Browser โดยโปรแกรมจะทำการควบคุมการทำงานโปรแกรม Internet Browser ให้เป็นไปตามความต้องการของผู้ที่ไม่หวังดี เช่น การแสดงโฆษณาในลักษณะของการ Pop-Up หน้าต่างโฆษณาออกมาเป็นระยะ เราเรียกโปรแกรมประเภทนี้ว่า แอ็ดแวร์ (Adware) ซึ่งภัยเหล่านี้ในปัจจุบันได้เพิ่มขึ้นอย่างรวดเร็ว ซึ่งอาจจะเกิดผลกระทบแก่ผู้ใช้งานได้ ถ้ารับโปรแกรมเหล่านี้เข้ามาในเครื่องคอมพิวเตอร์
โทรจันฮอร์ส (trojan horse) คือ โปรแกรมที่ดูเหมือนจะมีประโยชน์หรือไม่เป็นอันตราย แต่ในตัวโปรแกรมจะแฝงโค้ดสำหรับการใช้ประโยชน์หรือทำลายระบบที่รันโดยโปรแกรมนี้ส่วนใหญ่จะถูกแนบมากับ E-mail และเมื่อดูเผินๆ ก็เป็นโปรแกรมอรรถประโยชน์ทั่วๆไป แต่จริงๆ แล้วข้างในจะแฝงส่วนที่เป็นอันตรายต่อระบบเมื่อรันโปรแกรมนี้
เวิร์ม (worm) คุณสมบัติพิเศษของเวิร์ม คือ สามารถแพร่กระจายตัวของมันเองได้โดยอัตโนมัติและไม่ต้องอาศัยโปรแกรมอื่นในการแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นๆ ผ่านทางเครือข่าย เวิร์ม สามารถทำอันตรายให้กับระบบ เวิร์มบางประเภทสามารถแพร่กระจายตัวเองโดยที่ไม่ต้องอาศัยการช่วยเหลือจากผู้ใช้เลย หรือบางตัวก็อาจแพร่กระจายเมื่อผู้ใช้รันโปรแกรมบางโปรแกรม นอกจากความสามารถในการแพร่กระจายด้วยตัวเองแล้ว เวิร์มยังสามารถทำลายระบบได้อีกด้วย
ไวรัส (virus) ไวรัสเป็นโปรแกรมที่สามารถติดต่อจากอีกไฟล์หนึ่งไปยังอีกไฟล์หนึ่งภายในระบบเดียวกัน หรือจากคอมพิวเตอร์เครื่องหนึ่งไปยังเครื่องอื่นโดยการแนบตัวเองไปกับโปรแกรมอื่น มันสามารถทำลายฮาร์ดแวร์ ซอฟต์แวร์ และข้อมูล เมื่อโฮสต์รันโปรแกรมที่ติดไวรัส ส่วนที่เป็นไวรัสก็จะถูกรันด้วยและทำให้แพร่กระจายไปยังเครื่องอื่นหรือบางทีก็สร้างโค้ดใหม่
Adware ซอฟต์แวร์สนับสนุนการโฆษณา (อังกฤษ: advertising-supported software) หรือ แอดแวร์ (อังกฤษ: adware) หมายถึงแพกเกจซอฟต์แวร์ใดๆ ที่สามารถทำงาน แสดง หรือดาวน์โหลดสื่อโฆษณาโดยอัตโนมัติ ไปยังคอมพิวเตอร์ที่ได้รับการติดตั้งซอฟต์แวร์ชนิดนี้ไว้ หรือขณะที่โปรแกรมประยุกต์กำลังเรียกใช้ ซอฟต์แวร์โฆษณาบางประเภทเป็นซอฟต์แวร์สอดแนม (spyware) และถูกจัดว่าเป็นซอฟต์แวร์รุกรานภาวะส่วนตัว (privacy-invasive software)
.jpg)
Spyware สปายแวร์ แต่ไม่ได้มีความหมายลึกลับเหมือนอย่างชื่อ แต่กลับถูกใช้สำหรับการโฆษณาประชาสัมพันธ์เสียมากกว่า ในอันที่จริง สปายแวร์จะได้รับความรู้จักในชื่อของ แอดแวร์ ด้วย ดังนั้นคำว่าสปายแวร์จึงเป็นเพียงการระบุประเภทของซอฟต์แวร์เท่านั้น ส่วนความหมายที่แท้จริง สปายแวร์ หมายถึงโปรแกรมที่แอบเข้ามาติดตั้งในเครื่องคอมพิวเตอร์โดยที่ผู้ใช้อาจไม่ได้เจตนา แล้วเป็นผลให้สปายแวร์กระทำสิ่งต่อไปนี้ เช่น
.jpg)
- อาจส่งหน้าต่างโฆษณาเล็กๆ ปรากฏขึ้นมา(ป๊อบอัพ) ขณะที่คุณใช้งานเครื่องคอมพิวเตอร์อยู่
- เมื่อคุณเปิดเว็บบราวเซอร์ เว็บบราวเซอร์จะทำการต่อตรงไปยังเว็บไซต์หลัก
ของตัวสปายแวร์ ที่ถูกตั้งค่าให้ลิ้งก์ไป
- สปายแวร์อาจทำการติดตามเว็บไซต์ที่คุณเข้าไปเยี่ยมชมบ่อยๆ
- สปายแวร์บางเวอร์ชั่นที่มีลักษณะรุกรานระบบจะทำการติดตามค้นหา
- สปายแวร์บางเวอร์ชั่นที่มีลักษณะรุกรานระบบจะทำการติดตามค้นหา
คีย์ หรือ รหัสผ่าน ที่คุณพิมพ์ลงไปเมื่อทำการ log in เข้าแอคเคาน์ต่างๆ
0 ความคิดเห็น:
แสดงความคิดเห็น