การโจมตีเครือข่าย
การโจมตีแบบ Distributed Denial of Service (DDoS)
การโจมตีแบบ Distributed Denial of Service (DDoS) มักจะนำเครื่องมือที่จะใช้ในการโจมตีไปติดตั้งบนเครื่องที่ถูกเจาะไว้แล้วซึ่งมีจำนวนพอสมควร จากนั้นจึงจะระดมส่งข้อมูลในรูปแบบที่ควบคุมได้โดยผู้ควบคุมการโจมตีไปยังเหยื่อหรือเป้าหมายที่ต้องการ ซึ่งการโจมตีรูปแบบนี้มักจะก่อให้เกิดการใช้แบนด์วิดธ์อย่างเต็มที่จนผู้อื่นไม่สามารถใช้งานได้ตามปกติ หรือทำให้ระบบที่ถูกโจมตีไม่มีทรัพยากรเหลือพอที่จะให้บริการผู้ใช้ธรรมดาได้
รูปแบบการโจมตีและการป้องกัน
เครื่องมือที่ใช้โจมตีแบบ DDoS มีใช้กันอย่างแพร่หลายมานานหลายปีแล้ว และบรรดาผู้ผลิตเองต่างก็มีวิธีป้องกันการโจมตีเช่นเดียวกัน รูปแบบการโจมตีที่นิยมใช้กันก็มีอย่าง SYN flood, UDP flood, ICMP flood, Smurf, Fraggle เป็นต้น ซึ่งจะได้ศึกษาในรายละเอียดและวิธีป้องกันกันต่อไป
1. การโจมตีแบบ SYN Flood
เป็นการโจมตีโดยการส่งแพ็คเก็ต TCP ที่ตั้งค่า SYN บิตไว้ไปยังเป้าหมาย เสมือนกับการเริ่มต้นร้องขอการติดต่อแบบ TCP ตามปกติ (ผู้โจมตีสามารถปลอมไอพีของ source address ได้) เครื่องที่เป็นเป้าหมายก็จะตอบสนองโดยการส่ง SYN-ACK กลับมายัง source IP address ที่ระบุไว้ ซึ่งผู้โจมตีจะควบคุมเครื่องที่ถูกระบุใน source IP address ไม่ให้ส่งข้อมูลตอบกลับ ทำให้เกิดสภาวะ half-open ขึ้นที่เครื่องเป้าหมาย หากมีการส่ง SYN flood จำนวนมาก ก็จะทำให้คิวของการให้บริการของเครื่องเป้าหมายเต็ม ทำให้ไม่สามารถให้บริการตามปกติได้ นอกจากนี้ SYN flood ที่ส่งไปจำนวนมาก ยังอาจจะทำให้เกิดการใช้แบนด์วิดธ์อย่างเต็มที่อีกด้วย
2. การโจมตีแบบ Ping of Death
เป็นการส่งแพ็คเก็ต ICMP ขนาดใหญ่จำนวนมากไปยังเป้าหมาย ทำให้เกิดการใช้งานแบนด์วิดธ์เต็มที่
3. การโจมตีแบบ UDP Flood
เป็นการส่งแพ็คเก็ต UDP จำนวนมากไปยังเป้าหมาย ซึ่งทำให้เกิดการใช้แบนด์วิดธ์อย่างเต็มที่ และ/หรือทำให้ทรัพยากรของเป้าหมายถูกใช้ไปจนหมด โดยจะส่ง UDP packet ไปยัง port ที่กำหนดไว้ เช่น 53 (DNS)
4. การโจมตีแบบ Teardrop
4. การโจมตีแบบ Teardrop
โดยปกติเราเตอร์จะไม่ยอมให้แพ็กเก็ตขนาดใหญ่ผ่านได้ จะต้องทำ Fragment เสียก่อนจึงจะยอมให้ผ่านได้ และเมื่อผ่านไปแล้วเครื่องของผู้รับปลายทางจะนำแพ็กเก็ตที่ถูกแบ่งออกเป็นชิ้นส่วนต่าง ๆ ด้วยวิธีการ Fragment มารวมเข้าด้วยกันเป็นแพ็กเก็ตที่สมบูรณ์ การที่สามารถนำมารวมกันได้นี้จะต้องอาศัยค่า Offset ที่ปรากฏอยู่ใน
แพ็กเก็ตแรกและแพ็กเก็ตต่อ ๆ ไป สำหรับการโจมตีแบบ Teardrop นี้ ผู้โจมตีจะส่งค่า Offset ในแพ็กเก็ตที่สองและต่อ ๆ ไปที่จะทำให้เครื่องรับปลายทางเกิดความสับสน หากระบบปฏิบัติการไม่สามารถรับมือกับปัญหานี้ก็จะทำให้ระบบหยุดการทำงานในทันที
5. การโจมตีแบบ Land Attack
ลักษณะการโจมตีประเภทนี้เป็นการส่ง SYN ไปที่เครื่องเป้าหมายเพื่อขอสถาปนาการเชื่อมต่อ ซึ่งเครื่องที่เป็นเป้าหมายจะต้องตอบรับคำขอการเชื่อมต่อด้วย SYN ACK ไปที่เครื่องคอมพิวเตอร์ต้นทางเสมอ แต่เนื่องจากว่า IP Address ของเครื่องต้นทางกับเครื่องที่เป็นเป้าหมายนี้มี IP Address เดียวกัน โดยการใช้วิธีการสร้าง IP Address ลวง (โดยข้อเท็จจริงแล้วเครื่องของ Hacker จะมี IP Address ที่ต่างกับเครื่องเป้าหมายอยู่แล้ว แต่จะใช้วิธีการทางซอฟต์แวร์ในการส่งแพ็กเก็ตที่ประกอบด้วยคำขอการเชื่อมต่อ พร้อมด้วย IP Address ปลอม) ซึ่งโปรโตคอลของเครื่องเป้าหมายไม่สามารถแยกแยะได้ว่า IP Address ที่เข้ามาเป็นเครื่องปัจจุบันหรือไม่ ก็จะทำการตอบสนองด้วย SYN ACK ออกไป หากแอดเดรสที่ขอเชื่อมต่อเข้ามาเป็นแอดเดรสเดียวกับเครื่องเป้าหมาย ผลก็คือ SYN ACK นี้จะย้อนเข้าหาตนเอง และเช่นกันที่การปล่อย SYN ACK แต่ละครั้งจะต้องมีการปันส่วนของหน่วยความจำเพื่อการนี้จำนวนหนึ่ง ซึ่งหากผู้โจมตีส่งคำขอเชื่อมต่อออกมาอย่างต่อเนื่องก็จะเกิดปัญหาการจัดสรรหน่วยความจำ
6. การโจมตีแบบ Smurf
ผู้โจมตีจะส่ง ICMP Echo Request ไปยัง broadcast address ในเครือข่ายที่เป็นตัวกลาง (ปกติจะเรียกว่า amplifier) โดยปลอม source IP address เป็น IP address ของระบบที่ต้องการโจมตี ซึ่งจะทำให้เครือข่ายที่เป็นตัวกลางส่ง ICMP Echo Reply กลับไปยัง IP address ของเป้าหมายทันที ซึ่งทำให้มีการใช้งานแบนด์วิดธ์อย่างเต็มที่
7. การโจมตีรูปแบบอื่น ๆ
การโจมตีรูปแบบอื่น ๆ สามารถเกิดขึ้นได้ จำเป็นต้องมีการตรวจสอบและป้องกันแก้ไขตามเหตุการณ์ที่เกิดขึ้น
ความเสียหายที่เกิดโดยการโจมตีในรูปแบบ DoS
ความเสียหายที่เกิดจาก DoS ส่งผลให้ผู้ใช้งานแต่ละส่วนไม่เหมือนกัน แล้วแต่ว่าเขาจะอยู่ในส่วนใด เช่น เป็นผู้เข้าไปใช้งาน เป็นพนักงานในองค์กรที่โดนโจมตี หรือเป็นเจ้าของเครื่องที่ถูกใช้ในการโจมตี หรือจะมองในแง่ขององค์กรที่โดนโจมตี ทุก ๆ ฝ่ายล้วนแล้วแต่เป็นฝ่ายเสียทั้งนั้น ยกเว้นคนที่ทำให้เหตุการณ์นี้เกิดขึ้น หรือคนที่เป็นคนบงการอยู่เบื้องหลังเท่านั้นที่ได้ประโยชน์จากการโจมตีนั้น
ถ้าเราจะจัดความเสียหายของ DoS นั้นก็สามารถจัดได้ตามประเภทของการทำงานของตัว DoS เอง ซึ่งสามารถแบ่งได้เป็นสองประเภทด้วยกันคือ
1. ความเสียหายกับเครื่องคอมพิวเตอร์
ในส่วนความเสียหายของเครื่องคอมพิวเตอร์นั้น เราก็สามารถมองได้สองมุมด้วยกันคือ ในมุมของเครื่องที่ถูกใช้ในการโจมตีกับในมุมของเครื่องที่โดนโจมตี
1.1 เครื่องที่ถูกใช้เป็นเครื่องมือในการโจมตี อันดับแรกคือเราสูญเสียการควบคุมของเครื่องเราเองทำให้คนอื่นสามารถเข้ามาบงการเครื่องของเราให้ไปทำอย่างโน้นทำอย่างนี้ตามที่เขาต้องการได้ อันดับสองคือการเสียทรัพยากรของเครื่องเองไม่ว่าจะเป็น ซีพียู เมโมรี หรือแบนด์วิดธ์ เป็นต้น ทรัพยากรต่าง ๆ ของเครื่องที่กล่าวไปแล้วนั้นจะถูกใช้ไปรันโปรแกรมที่จะใช้ในการเข้าไปโจมตีเครื่องเหยื่อ ทำให้เครื่องคอมพิวเตอร์ของเรานั้นไม่สามารถใช้งานได้อย่างเต็มที่
1.2 เครื่องที่เป็นเหยื่อในการโจมตีครั้งนี้ แน่นอนว่าทำให้เครื่องนั้นไม่สามารถให้บริการต่อไปได้ เพราะจุดประสงค์หลักของ DoS ก็คือสิ่งนี้ เพราะเครื่องนั้นมัวแต่ประมวลผล Request จำนวนมากที่ถูกส่งเข้ามาทำให้เครื่องนั้นทำงานหนักจนไม่สามารถรับงานได้อีกต่อไป บางเครื่องอาจจะแฮงก์ไปเฉย ๆ หรือระบบอาจจะ Crash เลยก็เป็นไปได้ทำให้เครื่องนั้นไม่สามารถให้บริการได้อีก
2. ความเสียหายกับระบบเน็ตเวิร์ก
ความเสียหายที่เกิดขึ้นกับระบบเน็ตเวิร์กนั้นเราก็สามารถมองได้สองมุมเช่นกัน คือมองในมุมของผู้ที่ถูกใช้เป็นเครื่องมือในการโจมตี และผู้ที่ถูกโจมตี
2.1 มุมที่ผู้ถูกใช้เป็นเครื่องมือ ทำให้แบนด์วิดธ์ที่เราควรจะมีเหลือไว้ใช้นั้นถูกใช้ไปกับการโจมตีเสียหมด บางครั้งก็กินแบนด์วิดธ์ทั้งหมดที่เรามีอยู่เพื่อใช้ในการโจมตีทำให้เครื่องหรือระบบที่ถูกใช้เป็นเครื่องมือในการโจมตีนั้นไม่สามารถใช้งานระบบเน็ตเวิร์กได้อีกต่อไป
2.2 มุมที่ผู้ถูกโจมตี เช่นเดียวกับแบนด์วิดธ์ของผู้ที่ถูกโจมตีนั้นก็จะใช้ไปอย่างรวดเร็วจนหมด ทำให้บริการที่เตรียมไว้ที่เครื่องที่ถูกโจมตีนั้นไม่สามารถใช้งานได้อีกต่อไป เครื่องที่ต้องการที่จะติดต่อเข้ามาที่เครื่องนี้ หรือผ่านเครื่องนี้เพื่อเข้าไปในระบบข้างใน (ในกรณีที่เป็นไฟร์วอลล์) ไม่สามารถใช้งานได้ ผู้ที่อยู่ด้านในของระบบก็จะไม่สามารถเชื่อมต่อกับระบบภายนอกได้เช่นเดียวกัน แต่ระบบ LAN ภายในก็ยังสามารถใช้งานได้ตามปกติ
3. ความเสียหายกับองค์กร
3.1 เมื่อเกิดการโจมตีขึ้นแล้วก็มีแต่เสียกับเสียเท่านั้น ยิ่งองค์กรที่ถูกโจมตีด้วยแล้วความเสียหายนั้นก็เกิดขึ้นอย่างมากมายทีเดียว เริ่มตั้งแต่ความเสียหายของตัวเครื่องคอมพิวเตอร์หรือระบบที่โดนโจมตีเองทำให้ต้องเสียเวลาเสียค่าใช้จ่ายในการซ่อมแซมเพื่อที่ให้สามารถกลับมาให้บริการได้อย่างเดิม
3.2 เสียโอกาสทางธุรกิจโอกาสที่จะทำธุรกรรมกับเครื่องที่โดนโจมตี หรือการทำธุรกรรมอื่น ๆ กับระบบภายในที่จำเป็นต้องต่อเชื่อมกับอินเทอร์เน็ตสูญเสียโอกาสที่จะทำธุรกรรมทางอินเทอร์เน็ต โอกาสที่ลูกค้าจะเข้ามาในเว็บ โอกาสที่จะปิดการขาย โอกาสที่จะสร้างรายได้ และอีกหลาย ๆ โอกาสที่ทางองค์กรจะต้องเสียไป
3.3 เสียภาพลักษณ์ขององค์กร องค์กรที่ถูกโจมตีด้วยการโจมตีประเภท DoS นั้น ทำให้การบริการที่องค์กรนั้นเตรียมพร้อมไว้ให้บริการไม่สามารถให้บริการได้ ทำให้ภาพลักษณ์ขององค์กรนั้นเสียไป เพราะไม่สามารถป้องกันเหตุที่เกิดขึ้นได้ หรือไม่มีวิธีการแก้ไขที่รวดเร็วจนทำให้เกิดความเสียหายขึ้น ทำให้ลูกค้าขาดความเชื่อมั่นในองค์กรว่าจะสามารถตอบสนองความต้องการของตนได้ อาจเป็นเหตุให้ลูกค้าเปลี่ยนใจไปใช้บริการขององค์กรอื่นแทนในที่สุด
การรักษาความปลอดภัยให้แก่เครื่องคอมพิวเตอร์
1.การรักษาความปลอดภัยให้แก่เครื่องคอมพิวเตอร์และระบบเครือข่าย
- การรักษาความปลอดภัยด้าน
การเข้าถึงทางกายภาพนั้น หมายถึงการที่เราสามารถเข้าไปจับหรือสัมผัสกับเครื่องคอมพิวเตอร์ได้โดยตรง ดังนั้น การรักษาความปลอดภัยประเภทนี้คือการป้องกันผู้ไม่หวังดี ไม่ให้สามารถเข้าไปใช้งานหรือโจมตีเครื่องคอมพิวเตอร์และอุปกรณ์ของเราได้
- การรักษาความปลอดภัยให้กับเครื่อง Server และ Client
แม้ว่าเราจะสามารถป้องกันการบุกรุกในทางกายภาพได้แล้ว แต่เครื่องคอมพิวเตอร์ก็ยังสามารถถูกโจมตีได้หากมีการเชื่อมต่อกับระบบเครือข่าย โดยมีเป้าหมายอยู่ที่การขโมยข้อมูลลับการลบหรือแก้ไขข้อมูลที่อยู่ในเครื่อง Server หรือเครื่อง Client หรือการทำให้เครื่องคอมพิวเตอร์ของเราไม่ให้สามารถใช้งานได้ตามปกติ โดยการอาศัยช่องโหว่ของตัวโปรแกรม รวมทั้งการหลอกล่อเพื่อยึดครองและสั่งการเครื่องคอมพิวเตอร์ผ่านทางระบบเครือข่าย หรือยุติการให้บริการในระบบเครือข่าย
2.องค์ประกอบพื้นฐานของความปลอดภัยของข้อมูล
- Confidentiality ความลับของข้อมูล
การรักษาความลับของข้อมูล คือการกำหนดสิทธิ์ในการเข้าถึงหรือใช้งานข้อมูล และทำให้ข้อมูลนั้นเข้าถึงหรือใช้งานได้เฉพาะผู้ที่ได้รับสิทธิ์เท่านั้น
- Integrity ความคงสภาพของข้อมูล
การรักษาความคงสภาพของข้อมูล คือการปกป้องและรักษาข้อมูลมิให้ถูกแก้ไขหรือเปลี่ยนแปลงจากแหล่งที่มาเดิม และความน่าเชื่อถือของแหล่งที่มา
- Availabllity ความพร้อมใช้งานของข้อมูล
ความพร้อมใช้งานของข้อมูล คือการทำให้ข้อมูลนั้นสามารถเข้าถึงได้เมื่อต้องการ และช่องทางที่ใช้ในการเข้าถึงข้อมูลจะต้องทำงานเป็นปกติ
- ภัยคุกคาม (Threat)
ภัยคุกคามที่มีต่อระบบคอมพิวเตอร์และเครือข่ายมาจากสิ่งต่อไปนี้
1.Hacker(แฮคเกอร์) หรือ Cracker(แคร็คเกอร์) เป็นกลุ่มบุคคลที่มีความรู้และความชำนาญเกี่ยวกับระบบคอมพิวเตอร์และเครือข่าย การโจมตีของบุคคลกลุ่มนี้จะอาศัยจุดอ่อนหรือช่องโหว่ต่างๆของระบบและทำการโจมตี ความแตกต่างของ Hacker กับ Cracker นั้นอยู่ที่แรงจูงใจ แรงจูงใจของแฮคเกอร์คือมองหาจุดอ่อนหรือช่องโหว่เพื่อการพัฒนาหรือปรับปรุงระบบความปลอดภัย มีจรรยาบรรณว่าต้องไม่ล้วงความลับหรือทำลายระบบ ในขณะที่แคร็คเกอร์นั้นมองหาจุดอ่อนและช่องโหว่ของระบบเพื่อใช้ประโยชน์จากมันในการโจมตีระบบ
2.Virus , Worm และ Trojan ไวรัส,เวิร์มและโทรจัน สามารถแพร่กระจายมายังระบบเครือข่ายได้ โดยอาศัยช่องโหว่ของซอฟต์แวร์หรือความประมาทของผู้ใช้ ความเสียหายที่เกิดขึ้นกับระบบเครือข่ายนั้นขึ้นอยู่กับความรุนแรงของไวรัสและเวิร์มนั้นๆ ซึ่งมีตั้งแต่ความน่ารำคาญเพียงเล็กน้อยไปจนถึงการทำลายหรือทำให้ระบบทำงานช้าลงหรือหยุดการทำงาน ในขณะที่โทรจันนั้นจะเปิดทางให้กับผู้ที่ต้องการโจมตีหรือควบคุมเครื่องคอมพิวเตอร์
3.พวกอยากทดลอง อาจจะเป็นบุคคลในหรือนอกระบบเครือข่ายก็ได้ โดยส่วนใหญ่แล้วบุคคลกลุ่มนี้ไม่มีความรู้ความชำนาญมากนัก แต่จะอาศัยเครื่องมือโจมตีต่างๆ แล้วทดลองเจาะระบบ ซึ่งอาจจะเป็นการทำให้ระบบทำงานช้าลง ยุติการบริการ หรือข้อมูลในระบบได้รับความเสียหาย
4.Cyberterrorist (ผู้ก่อการร้ายบนอินเทอร์เน็ต) แรงจูงใจของคนกลุ่มนี้อาจเป็นเรื่องของอุดมการณ์หรือความเชื่อ การโจมตีจากคนกลุ่มนี้อาจเป็นการเปลี่ยนแปลงข้อมูล เจาะเข้าระบบเพื่อทำลายข้อมูลหรือยุติการทำงานของระบบ
ประเภทการโจมตีในระบบเครือข่าย Internet
ประเภทการโจมตีในระบบเครือข่าย Internetการโจมตีในระบบเครือข่ายอินเตอร์เน็ต
ภัยคุกคามทางอินเทอร์เน็ตถือได้ว่าเป็นภัยอันตรายต่อสังคมในปัจจุบันเป็นอย่างมาก เพราะนอกจากภัยนี้จะเป็นการรบกวนการทำงานของผู้ที่ใช้งานคอมพิวเตอร์และอินเทอร์เน็ตแล้ว ยังส่งผลเสียต่อข้อมูลสำคัญๆ ที่มีอยู่อีกด้วย
1. ชนิดของภัยคุกคามที่เกิดขึ้นบนอินเทอร์เน็ต จำแนกได้ดังนี้
1.1 มัลแวร์ (Malware) คือความไม่ปกติทางโปรแกรมที่สูญเสียความลับทางข้อมูล (Confidentiality) ข้อมูลถูกเปลี่ยนแปลง (Integrity) สูญเสียเสถียรภาพของระบบปฏิบัติการ (Availability) ซึ่งมัลแวร์แบ่งออกได้เป็นหลายประเภท จึงขออธิบายแต่ละประเภทดังนี้
1.1.1 ไวรัสคอมพิวเตอร์ (Computer Virus) คือรหัสหรือโปรแกรมที่สามารถทำสำเนาตัวเองและแพร่กระจายสู่เครื่องอื่นได้ โดยเจ้าของเครื่องนั้นๆ ไม่รู้ตัว ถือว่าเป็นสิ่งไม่พึงประสงค์ซึ่งฝังตัวเองในโปรแกรมหรือไฟล์ แล้วแพร่กระจายจากคอมพิวเตอร์เครื่องหนึ่งไปยังเครื่องอื่นๆ ผ่านทางสื่อต่างๆ สิ่งสำคัญคือไวรัสไม่สามารถแพร่กระจายได้หากขาดคนกระทำ เช่น แบ่งปันไฟล์ที่ติดไวรัสหรือส่งอีเมล์ที่ติดไวรัส เป็นต้น
1.1.2 หนอนคอมพิวเตอร์ (Computer Worm) เรียกสั้นๆ ว่า เวิร์ม เป็นหน่วยย่อยลงมาจากไวรัสมีคุณสมบัติต่างๆ
เหมือนไวรัสแต่ต่างกันที่เวิร์มไม่ต้องอาศัยผู้ใช้งาน แต่จะอาศัยไฟล์หรือคุณสมบัติในการส่งต่อข้อมูลในคอมพิวเตอร์เพื่อกระจายตัวเอง บางทีเวิร์มสามารถติดตั้ง Backdoor ที่เริ่มติดเวิร์มและสร้างสำเนาตัวเองได้ ซึ่งผู้สร้างเวิร์มนั้นสามารถสั่งการได้จากระยะไกล ที่เรียกว่า Botnet โดยมีเป้าหมายเพื่อโจมตีคอมพิวเตอร์และเครือข่าย ส่งที่อันตรายอย่างยิ่งของเวิร์มคือ สามารถจำลองตัวเองในคอมพิวเตอร์เครื่องหนึ่งแล้วแพร่กระจายตัวเองออกไปได้จำนวนมาก ตัวอย่างเช่น สามารถดักจับ username และ password และใช้ข้อมูลนี้เพื่อบุกรุกบัญชีผู้ใช้นั้น ทำสำเนาตัวเองแล้วส่งต่อไปยังทุกรายชื่อที่มีอยู่ในลิสต์อีเมล์ และเมื่อสำเนาตัวเองเป็นจำนวนมากจะทำให้การส่งข้อมูลผ่านเครือข่ายช้าลง เป็นเหตุให้ Web Server และเครื่องคอมพิวเตอร์หยุดทำงาน
1.1.3 ม้าโทรจัน (Trojan Horse) คือโปรแกรมชนิดหนึ่งที่ดูเหมือนมีประโยชน์ แต่แท้ที่จริงก่อให้เกิดความเสียหายเมื่อรันโปรแกรม หรือติดตั้งบนคอมพิวเตอร์ ผู้ที่ได้รับไฟล์โทรจันมักถูกหลอกลวงให้เปิดไฟล์ดังกล่าว โดยหลงคิดว่าเป็นซอฟต์แวร์ถูกกฎหมาย หรือไฟล์จากแหล่งที่ถูกต้องตามกฎหมายเมื่อไฟล์ถูกเปิดอาจส่งผลลัพธ์หลายรูปแบบ เช่น สร้างความรำคาญด้วยการเปลี่ยนหน้าจอ สร้างไอคอนที่ไม่จำเป็น จนถึงขั้นลบไฟล์และทำลายข้อมูล โทรจันต่างจากไวรัสและเวิร์มคือโทรจันไม่สามารถสร้างสำเนาโดยแพร่กระจายสู่ไฟล์อื่น และไม่สามารถจำลองตัวเองได้
1.1.4 Backdoor แปลเป็นไทยก็คือประตูหลัง ที่เปิดทิ้งไว้ให้บุคคลอื่นเดินเข้านอกออกในบ้านได้โดยง่ายซึ่งเป็นช่องทางลัดที่เกิดจากช่องโหว่ของระบบ ทำให้ผู้ไม่มีสิทธิเข้าถึงระบบหรือเครื่องคอมพิวเตอร์เพื่อทำการใดๆ
1.1.5 สปายแวร์ (Spyware) คือมัลแวร์ชนิดหนึ่งที่ติดตั้งบนเครื่องคอมพิวเตอร์แล้วทำให้ล่วงรู้ ข้อมูลของผู้ใช้งานได้โดยเจ้าของเครื่องไม่รู้ตัว สามารถเฝ้าดูการใช้งานและรวบรวมข้อมูลส่วนตัวของผู้ใช้ได้ เช่น นิสัยการท่องเน็ต และเว็บไซต์ที่เข้าชม ทั้งยังสามารถเปลี่ยนค่าที่ตั้งไว้ของคอมพิวเตอร์ ส่งผลให้ความเร็วในการเชื่อมต่ออินเทอร์เน็ตช้าลง เป็นต้น สายแวร์ที่มีชื่อคุ้นเคยกันดี คือ โปรแกรมKeylogger ซึ่งตกเป็นข่าวหน้าหนึ่งของหนังสือพิมพ์ เมื่อผู้ใช้ดาวน์โหลดไฟล์จากอินเทอร์เน็ตที่แฝงโปรแกรมนี้ จะทำให้โปรแกรมเข้าฝังตัวในคอมพิวเตอร์ส่วนตัว เมื่อผู้ใช้คอมพิวเตอร์ทำธุรกรรมการเงินทางอินเทอร์เน็ต ข้อมูล username และ password ของบัญชีผู้ใช้จึงถูกส่งตรงถึงมิจฉาชีพ และลักลอบโอนเงินออกมาโดยเจ้าของตัวจริงไม่รู้ตัว เป็นต้น
1.2 การโจมตีแบบ DoS/DDos คือการพยายามโจมตีเพื่อทำให้เครื่องคอมพิวเตอร์ปลายทางหยุดทำงาน หรือสูญเสียเสถียรภาพ หากเครื่องต้นทาง(ผู้โจมตี) มีเครื่องเดียว เรียกว่าการโจมตีแบบ Denial of Service (DoS) แต่หากผู้โจมตีมีมากและกระทำพร้อมๆ กัน จะเรียกกว่าการโจมตีแบบ Distributed Denial of Service (DDoS) ซึ่งในปัจจุบันการโจมตีส่วนใหญ่มักเป็นการโจมตีแบบ DDoS
1.3 BOTNET หรือ “Robot network” คือเครือข่ายหุ่นรบที่ถือเป็นสะพานเชื่อมภัยคุกคามทางเครือข่ายคอมพิวเตอร์ ด้วยมัลแวร์ทั้งหลายที่กล่าวในตอนต้นต้องการนำทางเพื่อต่อยอดความเสียหาย และทำให้ยากแต่การควบคุมมากขึ้น
1.4 ข้อมูลขยะ (Spam) คือภัยคุกคามส่วนใหญ่ที่เกิดจากอีเมล์หรือเรียกว่า อีเมล์ขยะ เป็นขยะออนไลน์ที่ส่งตรงถึงผู้รับ
โดยที่ผู้รับสารนั้นไม่ต้องการ และสร้างความเดือดร้อน รำคาญให้กับผู้รับได้ ในลักษณะของการโฆษณาสินค้าหรือบริการ การชักชวนเข้าไปยังเว็บไซต์ต่างๆ ซึ่งอาจมีภัยคุกคามชนิด phishing แฝงเข้ามาด้วย ด้วยเหตุนี้จึงควรติดตั้งระบบ anti-spam หรือใช้บริการคัดกรองอีเมล์ของเว็บไซต์ที่ให้บริการอีเมล์ หลายคนอาจจะสงสัยว่า spammer รู้อีเมล์เราได้อย่างไร คำตอบคือได้จากเว็บไซต์ ห้องสนทนา ลิสต์รายชื่อลูกค้า รวมทั้งไวรัสชนิดต่างๆ ที่เป็นแหล่งรวบรวมอีเมล์และถูกส่งต่อกันไปเป็นทอดๆ ซึ่งหากจำเป็นต้องเผยแพร่อีเมล์ทางอินเทอร์เน็ตโดยป้องกันการถูกค้นเจอจาก Botnet สามารถทำได้โดยเปลี่ยนวิธีการสะกดโดยเปลี่ยนจาก “@” เป็น “at” แทน
1.5 Phishing เป็นคำพ้องเสียงกับ “fishing” หรือการตกปลาเพื่อให้เหยื่อมาติดเบ็ด คือ กลลวงชนิดหนึ่งในโลกไซเบอร์ด้วยการส่งข้อมูลผ่านอีเมล์หรือเมสเซนเจอร์ หลอกให้เหยื่อหลงเชื่อว่าเป็นสถาบันการเงินหรือองค์กรน่าเชื่อถือ แล้วทำลิงค์ล่อให้เหยื่อคลิก เพื่อหวังจะได้ข้อมูลสำคัญ เช่น username/password, เลขที่บัญชีธนาคาร, เลขที่บัตรเครดิต เป็นต้น แต่ลิงค์ดังกล่าวถูกนำไปสู่หน้าเว็บเลียนแบบ หากเหยื่อเผลอกรอกข้อมูลส่วนตัวลงไป มิจฉาชีพสามารถนำข้อมูลไปหาประโยชน์ในทางมิชอบได้
1.6 Sniffing เป็นการดักข้อมูลที่ส่งจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่งบนเครือข่ายในองค์กร (LAN) เป็นวิธีการหนึ่งที่นักโจมตีระบบนิยมใช้ดักข้อมูลเพื่อแกะรหัสผ่านบนเครือข่ายไร้สาย (Wirdless LAN) และดักข้อมูล User/Password ของผู้อื่นที่ไม่ได้ผ่านการเข้ารหัส
2. วิธีป้องกันตนเองจากภัยคุกคามทางอินเทอร์เน็ต
สำหรับการใช้งานส่วนบุคคล มีดังนี้
1. การตั้งสติก่อนเปิดเครื่อง ต้องรู้ตัวก่อนเสมอว่าเราอยู่ที่ไหน ที่นั่นปลอดภัยเพียงใด
- ก่อน login เข้าใช้งานคอมพิวเตอร์ต้องมั่นใจว่าไม่มีใครแอบดูรหัสผ่านของเรา
- เมื่อไม่ได้อยู่หน้าจอคอมพิวเตอร์ ควรล็อกหน้าจอให้อยู่ในสถานะที่ต้องใส่ค่า login
- ตระหนักอยู่เสมอว่าข้อมูลความลับและความเป็นส่วนตัวอาจถูกเปิดเผยได้เสมอในโลกออนไลน์
2. การกำหนด password ที่ยากแก่การคาดเดา ควรมีความยาวไม่ต่ำกว่า 8 ตัวอักษร และใช้อักขระพิเศษไม่ตรงกับความหมายในพจนานุกรม เพื่อให้เดาได้ยากมากขึ้นและการใช้งานอินเทอร์เน็ตทั่วไป เช่นการ Login ระบบ e-mail, ระบบสนทนาออนไลน์ (chat), ระบบเว็บไซต์ที่เป็นสมาชิกอยู่ ทางที่ดีควรใช้ password ที่ต่างกันบ้างพอให้จำได้
3. การสังเกตขณะเปิดเครื่องว่ามีโปรแกรมไม่พึงประสงค์ถูกเรียกใช้ขึ้นมาพร้อมๆ กับการเปิดเครื่องหรือไม่ ถ้าสังเกตไม่ทันให้สังเกตระยะเวลาบูตเครื่อง หากนานผิดปกติอาจเป็นไปได้ว่าเครื่องคอมพิวเตอร์ติดปัญหาจากไวรัส หรือภัยคุกคามรูปแบบต่างๆ ได้
4. การหมั่นตรวจสอบและอัพเดท OS หรือซอฟต์แวร์ที่ใช้ให้เป็นปัจจุบัน โดยเฉพาะโปรแกรมป้องกันภัยในเครื่องคอมพิวเตอร์ เช่น โปรแกรมป้องกันไวรัส, โปรแกรมไฟร์วอลล์ และควรใช้ระบบปฏิบัติการและซอฟต์แวร์ที่มีลิขสิทธิ์ถูกต้องตามกฎหมาย นอกจากนี้ควรอัพเดทอินเทอร์เน็ตเบราเซอร์ให้ทันสมัยอยู่เสมอ
5. ไม่ลงซอฟต์แวร์มากเกินความจำเป็น ซอฟต์แวร์ที่จำเป็นต้องลงในเครื่องคอมพิวเตอร์ ได้แก่
- อินเทอร์เน็ตเบราเซอร์ เพื่อให้เปิดเว็บไซต์ต่างๆ
- อีเมล์เพื่อใช้รับส่งข้อมูลและติดต่อสื่อสาร
- โปรแกรมสำหรับงานด้านเอกสาร, โปรแกรมตกแต่งภาพ เสียง วีดีโอ
- โปรแกรมป้องกันไวรัสคอมพิวเตอร์และโปรแกรมไฟร์วอลล์
ซอฟต์แวร์ที่ไม่ควรมีบนเครื่องคอมพิวเตอร์ที่ใช้งาน ได้แก่
- ซอฟต์แวร์ที่ใช้ในการ Crack โปรแกรม
- ซอฟต์แวร์สำเร็จรูปที่ใช้ในการโจมตีระบบ, เจาะระบบ (Hacking Tools)
- โปรแกรมที่เกี่ยวกับการสแกนข้อมูล การดักรับข้อมูล (Sniffer) และอื่นๆ ที่อยู่ในรูปซอฟต์แวร์สำเร็จรูปที่ไม่เป็นที่รู้จัก
- ซอฟต์แวร์ที่ใช้หลบหลีกการป้องกัน เช่น โปรแกรมซ่อน IP Address
6. ไม่ควรเข้าเว็บไซต์เสี่ยงภัยเว็บไซต์ประเภทนี้ ได้แก่
- เว็บไซต์ลามก อนาจาร
- เว็บไซต์การพนัน
- เว็บไซต์ที่มีหัวเรื่อง “Free” แม้กระทั่ง Free Wi-Fi
- เว็บไซต์ที่ให้ดาวน์โหลดโปรแกรมที่มีการแนบไฟล์พร้อมทำงานในเครื่องคอมพิวเตอร์
- เว็บไซต์ที่แจก Serial Number เพื่อใช้ Crack โปรแกรม
- เว็บไซต์ที่ให้ดาวน์โหลดเครื่องมือในการเจาะระบบ
7. สังเกตความปลอดภัยของเว็บไซต์ที่ให้บริการธุรกรรมออนไลน์ เว็บไซต์ E-Commerce ที่ปลอดภัยควรมีการทำ HTTPS มีใบรับรองทางอิเล็กทรอนิกส์ และมีมาตรฐานรองรับ
8. ไม่เปิดเผยข้อมูลส่วนตัวลงบนเว็บ Social Network ชื่อที่ใช้ควรเป็นชื่อเล่นหรือฉายาที่กลุ่มเพื่อนรู้จัก และไม่ควรเปิดเผยข้อมูลดังต่อไปนี้ เลขที่บัตรประชาชน เบอร์โทรศัพท์ หมายเลขบัตรเครดิต หมายเลขหนังสือเดินทาง ข้อมูลทางการแพทย์ ประวัติการทำงาน
9. ศึกษาถึงข้อกฎหมายเกี่ยวกับการใช้สื่ออินเทอร์เน็ต ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 โดยมีหลักการง่ายๆ ที่จะช่วยให้สังคมออนไลน์สงบสุข คือให้คำนึงถึงใจเขาใจเรา
10. ไม่หลงเชื่อโดยง่าย อย่าเชื่อในสิ่งที่เห็น และงมงายกับข้อมูลบนอินเทอร์เน็ต ควรหมั่นศึกษาหาความรู้จากเทคโนโลยีอินเทอร์เน็ต และศึกษาข้อมูลให้รอบด้าน ก่อนปักใจเชื่อในสิ่งที่ได้รับรู้
จารชนอินเทอร์เน็ต
ผู้ใช้อินเทอร์เน็ตแรกเริ่มนั้นจำกัดอยู่เพียงกลุ่มนักวิชาการ ตราบกระทั่งเครือข่ายขยายออกไปทั่วโลกเปิดโอกาสให้บุคคลทุกระดับทุกอาชีพมีสิทธิ์เป็นสมาชิกคนหนึ่งในสังคมอินเทอร์เน็ตได้ ความปลอดภัยของข้อมูลเริ่มเป็นสิ่งที่ต้องระมัดระวังมากยิ่งขึ้น ในระยะเวลาที่ผ่านมามีการลักลอบเข้าไปใช้เครื่องในศูนย์คอมพิวเตอร์ใหญ่ ๆ หลายต่อหลายครั้ง ถึงแม้ว่าบางครั้งจะจับได้แต่ก็ต้องอาศัยความพยายามและเทคนิคในการสะกดรอยด้วยความยากลำบากกว่าจะทราบได้ว่าจารชนเหล่านี้แฝงกายอยู่ที่มุมใดในโลก
เรามักจะเรียกพวกที่มีความสามารถเจาะเข้าสู่ระบบคอมพิวเตอร์ว่า "แฮกเกอร์" (Hacker) ซึ่งความหมายดั้งเดิมที่แท้จริงแล้ว แฮกเกอร์สื่อความหมายถึงผู้เชี่ยวชาญด้านโอเอสหรือระบบ สามารถเข้าไปแก้ไข ดัดแปลงการทำงานระดับลึกได้ หรือในสารบบความปลอดภัยแล้ว แฮกเกอร์เป็นอาชีพหนึ่งที่ทำหน้าที่เจาะระบบและค้นหาจุดอ่อนเพื่อหาหนทางแก้ไขป้องกัน ส่วนพวกที่เจาะระบบเข้าไปโดยไม่ประสงค์ดีมีชื่อเรียกโดยเฉพาะว่า "แครกเกอร์" (Cracker) พวกหลังนี้เข้าข่ายจารชนอิเล็กทรอนิกส์ที่มักชอบก่อกวนสร้างความวุ่นวายหรือทำงานเป็นมืออาชีพที่คอยล้วงความลับหรือข้อมูลไปขาย แต่จะทำอย่างไรได้เมื่อคำว่าแฮกเกอร์ใช้ผิดความหมายจนติดปากไปโดยปริยายเสียแล้ว
ม้าโทรจัน
โปรแกรมม้าโทรจันเป็นโปรแกรมที่ลวงให้ผู้ใช้งานเข้าใจผิดว่าเป็นโปรแกรมปกติโปรแกรมหนึ่งที่ใช้งานอยู่เป็นประจำ แต่การทำงานจริงกลับเป็นการดักจับข้อมูลเพื่อส่งไปให้แครกเกอร์ ตัวอย่างเช่นโปรแกรมโทรจันที่ลวงว่าเป็นโปรแกรมล็อกอินเข้าสู่ระบบ เมื่อผู้ใช้ป้อนบัญชีและรหัสผ่านก็จะแอบส่งรหัสผ่านไปให้แครกเกอร์
ประตูกล
แครกเกอร์ใช้ ประตูลับ (backdoors) ซึ่งเป็นวิธีพิเศษเข้าสู่ระบบโดยไม่ได้รับอนุญาต ความหมายของประตูลับอาจรวมไปถึงวิธีการที่ผู้พัฒนาโปรแกรมทิ้งรหัสพิเศษหรือเปิดทางเฉพาะไว้ในโปรแกรมโดยไม่ให้ผู้ใช้ล่วงรู้ แครกเกอร์ส่วนใหญ่จะมีชุดซอฟต์แวร์ซึ่งสร้างขึ้นเพื่อเจาะเข้าสู่ระบบตามจุดอ่อนที่มีอยู่ด้วยวิธีการต่าง ๆ
ซอฟต์แวร์ตรวจช่วงโหว่ระบบ
ในอินเทอร์เน็ตมีซอฟต์แวร์เป็นจำนวนมากที่ใช้ในการตรวจวิเคราะห์หารูโหว่ของระบบรักษาความปลอดภัยซอฟต์แวร์เหล่านี้เผยแพร่โดยไม่คิดมูลค่าและเป็นเสมือนดาบสองคมที่ทั้งแฮกเกอร์และแครกเกอร์นำไปใช้ด้วยจุดประสงค์ที่ต่างกัน ซอฟต์แวร์ในกลุ่มนี้ซึ่งเป็นที่รู้จักแพร่หลายได้แก่ Internet Security Scanner,SATAN COPS และ Tiger เป็นต้น
การป้องกันและระวังภัย
ในปัจจุบันมีซอฟต์แวร์และฮาร์ดแวร์หลากหลายที่ใช้เป็นเครื่องมือรักษาความปลอดภัยในระบบ ตัวอย่างซอฟต์แวร์รักษาความปลอดภัยเบื้องต้นได้กล่าวไปในหัวข้อที่แล้ว ส่วนซอฟต์แวร์ที่ติดตั้งเป็นระบบรักษาความปลอดภัยที่กำลังเริ่มใช้อย่างแพร่หลายได้แก่ระบบไฟร์วอลล์ (Firewall) ซึ่งเป็นซอฟต์แวร์ทำหน้าที่เสมือนกับกำแพงกันไฟไม่ให้ลุกลามขยายตัวหากมีไฟไหม้เกิดขึ้น
อินเทอร์เน็ตมีหน่วยงาน CERT (Computer Emergency Response Team) ทำหน้าที่เป็นเสมือน "ตำรวจอินเทอร์เน็ต" คอยดูแลความปลอดภัยในเครือข่ายอินเทอร์เน็ตทั่วโลก อย่างไรก็ตาม หน่วยงาน CERT ไม่ได้มีอำนาจในการจัดการหรือจับกุมแครกเกอร์ หากเพียงแต่คอยทำหน้าที่เตือนและช่วยเหลือตลอดจนแจ้งข่าวเมื่อพบปัญหาด้านความปลอดภัยในระบบเพื่อให้ผู้ดูแลระบบสามารถแก้ไขได้ทันท่วงที CERT จะประกาศข่าวเตือนภายใต้หัวข้อข่าว Comp.security.announce เป็นประจำ
ตัวอย่างประเภทการโจมตีในระบบเครือข่าย Internet
การโจมตีระบบเครือข่ายอินเตอร์เน็ต
- SYN Flood Attack คือการส่ง Packet TCP/SYN โดยใช้ IP ที่ไม่มีอยู่จริง
- Mail Bomb คือการส่ง Mail ที่มีขนาดใหญ่เป็นจำนวนมากเข้าไปเพื่อให้เนื้อที่ใน Mail box เต็ม
- Smurf Attack คือการส่งปลอม IP address เป็นของเครื่องเป้าหมายแล้วจึงส่ง Packet ping เข้าไปหาBroadcast Address เพื่อให้กระจาย Packet เข้าไปทุกเครื่องแล้วหลังจากนั้นเมื่อทุกเครื่องได้รับแล้วจึงตอบ Packet ไปหาเครื่องเป้าหมายซึ่งอาจเกิด Buffer Overflow ได้
- Fraggle Attack เหมือนกับ Smurf Attack แต่เปลี่ยนเป็นใช้ Packet ของ UDP แทน
- Ping of Death คือการส่ง Packet Ping ที่มีขนาดใหญ่เกินกว่าปกติเข้าไปที่เครื่องเป้าหมาย
- Teardrop Attack คือการส่ง Packet ที่ไม่สามารถประกอบได้ไปให้เครื่องเป้าหมายเพื่อให้เกิดความสับสน
- ICMP Flood Attack คือการส่ง Packet Ping เข้าไปที่เครื่องเป้าหมายเป็นจำนวนมาก
- UDP Flood Attack
Password Attackการรักษา password ให้เป็นความลับและไม่บอกต่อให้ใครรู้เป็นสิ่งที่ต้องทำ แต่ก็ยังไม่เพียงพอเพราะผู้ไม่ประสงค์ดียังคงสามารถสวมรอยเข้าใช้งานระบบแทนตัวคุณได้ ซึ่งคุณจะอาจถูกปรับหรือติดคุกได้ตาม พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2550 โดยที่คุณอาจไม่ได้เป็นคนกระทำผิดเอง แต่ต้องกลายเป็นแพะรับบาป! โดยใช้เทคนิค “Password Attack” เพื่อค้นหา password ที่ถูกต้องของคุณได้ หากท่านตั้ง password ที่ง่ายต่อการคาดเดา
“Password Attack” มีด้วยกัน 2 รูปแบบ คือ
“Password Attack” มีด้วยกัน 2 รูปแบบ คือ
1. Dictionary Attack
เป็นการสุ่มเดา password จากไฟล์ที่มีการรวบรวมคำศัพท์ต่างๆ ที่อยู่ใน Dictionary และคำศัพท์ที่พบบ่อยๆ อีกมากมายซึ่งเรียกว่า “Word list” ดังแสดงในรูปประกอบ โดยโปรแกรมเหล่านี้มีความถี่ในการเดา password อย่างน้อย 1 ล้านคำต่อวินาที
ดังนั้น หากตั้ง password แบบง่ายๆ ที่มีอยู่ใน Word list นี้ ก็มีสิทธิถูกเดา password ได้อย่างง่ายดายและรวดเร็ว บางครั้งอาจจะพบ password ภายในไม่เกิน 5 วินาที
2. Brute force Attack
เป็นการเดา password ทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก
ตัวอย่าง ATM Pin code มีจำนวน 4 หลัก แต่ละหลักสามารถตั้งค่าตัวเลข 0 – 9 ดังนั้น ในแต่ละหลักมีความเป็นไปได้ 10 วิธี เพราะฉะนั้น 4 หลักจึงมีความเป็นไปได้ทั้งหมด 10,000 วิธี….โปรแกรมจะทำการไล่ตัวเลขจาก 0000 ไปจนถึง 9999 ครบทั้งหมื่นวิธี ซึ่งแสดงให้เห็นว่า ในที่สุดจะได้ password ที่ถูกต้อง
ดังนั้น Brute force attack จึงเป็นวิธีที่จะสามารถหา password ที่ถูกต้องได้อย่างแน่นอน เพียงแต่ขึ้นอยู่กับระยะของเวลาของการสุ่มหา จะมากหรือน้อยขึ้นอยู่กับความซับซ้อนของการตั้ง password
เพื่อป้องกันภัย “Password Attack” ทั้ง 2 รูปแบบข้างต้น ดังนั้น คุณควรตั้ง password ให้มีความซับซ้อนเพิ่มมากยิ่งขึ้น โดย password ที่ดีไม่ควรเป็นคำศัพท์อยู่ใน dictionary และควรมีความยาวอย่างน้อย 8 ตัวอักษร, ผสม 3 ใน 4 แบบ และเปลี่ยนเป็นประจำอย่างน้อยทุกๆ 90 วัน (เพื่อป้องกัน Brute force Attack)
นำข้อมูลมาจาก
http://www.panda-thailand.com/newpanda/tip&trick/july55/week2.phphttp://www.it24hrs.com/2011/password-attack/
http://narong251.wordpress.com/assignment-4/ประเภทการโจมตีในระบบเค/
http://areerutpholyothin.blogspot.com/2013/01/blog-post_22.html
Thank you
