Basic IT Security THREAT


     ในยุคปัจจุบันที่ (2018) ที่อุปกรณ์รอบตัวสามารถเชื่อมต่อ Internet ได้ไม่ว่าจะเป็น โทรศัพท์มือถือ กล้องวงจรปิด นาฬิกา และอื่นๆอีกมากมาย จึงมีการนิยามโลกของ Internet นี้ว่า มิติไซเบอร์ (Cyberspace) ในความคิดส่วนตัวของผม ผมจะชอบจินตานาการ มิติไซเบอร์ ว่ามันเป็นโลกอีกโลกหนึ่งที่คล้ายๆกับโลกของเรา ที่เครื่อง Host หรือ Client เหมือนกับตัวบ้าน มี Network ที่เหมือนกับ ถนนหนทาง และแน่นอนในสังคมมันก็ต้องมีคนดีและคนไม่ดี

      แล้ว Threat คืออะไร Threat ก็คือ ภัยคุกคามที่กระทำต่อระบบ Hardware , Software ของอุปกรณ์ทาง Computers ซึ่งในบทความนี้ผมจะแบ่งประเภทของ Threat ที่จะพบเจอกันบ่อยๆ เพื่อให้ผู้อ่านได้ตระหนักถึงภัยคุกคามดังกล่าวมากขึ้น
ที่มา : www.gotowebsecurity.com

Cyber security 

 Security จะมีองค์ประกอบ 3 อย่างคือ

    -  Confidentially  (ความลับ)
   -  Integrity (ความถูกต้อง)
   -  Availability (ความพร้อมใช้งาน)


เราจะเรียกองค์ประกอบนี้ว่า C.I.A Triangle

ที่มา : www.researchgate.net

Risk Management

      ในเรื่องของการจัดการความเสี่ยง ขั้นแรกเลยคือเราต้องนิยามระบบของเราก่อนว่ามีความสำคัญไหม หรือ เจ้าของระบบนั้นเป็นบุคคลสำคัญหรือเปล่า เพราะจะทำให้เรารู้ถึงระดับภัยคุกคามที่จะมากระทำต่อระบบได้ ส่วนขั้นตอนต่อไปคือดูระบบของเราว่าระบบของเรามีช่องโหว่ อะไรบ้าง

Risk = Threat x Vulnerability




ประเภทของภัยคุกคาม

     ในส่วนของประเภทของภัยคุกคามนั้นผมขอแบ่งเป็น 2 ประเภทใหญ่ๆเลยก็คือ Malware , Attack



Malware

Malware คือ โปรแกรมที่ถูกสร้างขึ้นมาโดยมีวัตถุประสงค์ไปในทางด้านลบ ต่อระบบของเรา เช่น สร้างขึ้นมาเพื่อที่จะ แก้ไข ทำลาย สร้างความเสียหาย ต่อระบบของเรา โดยผมจะแบ่งประเภทของ Malware นั้นออกเป็น 2 ประเภทใหญ่ๆ คือ
     
     - แบ่งตัวได้ สามารถแพร่ไปยังเครื่องอื่นได้ (Propagation)
     - โจมตีต่อระบบ (Payload)
    


Propagation Malware

- Virus = ต้องสั่งรันโปรแกรมก่อน (คลิ๊กก่อน) Malware ถึงจะทำงาน ส่วนมาก Malware ประเภทนี้จะทำให้ OS เกิดความเสียหาย

- Worm = สามารถแพร่กระจายไปยังเครื่องอื่นๆได้ โดยผ่านตัวกลาง Network หรือ Devices ลักษณะการโจมตีของ Worm นั้นจะเน้นไปด้านการกินทรัพยากรของระบบ เช่น ทำให้ พื้นที่ใน Harddisk ของเรานั้นเต็มเร็ว หรือ ทำให้เครื่องช้าลงเพราะไปกินทรัยากรของ Ram เป็นต้น

- Trojan = ชอบแฝงตัวมากับโปรแกรม โดยรูปแบบของ Malware ขนิดนี้จะอ้างอิงจากม้าไม้ในหนังเรื่อง Troy เมื่อเหยื่อตายใจแล้วไปกดเปิดโปรแกรม ก็จะส่งผลให้ระบบติด Malware ดังกล่าว (ส่วนตัวผมชอบคิดว่า Trojan นั้นแค่ภาชนะบรรจุ ส่วนวัตถุที่อยู่ภายในนั้นตั้งหากคือ malware แต่เรียกแบบนั้นมันจะงง เลยเรียกรวมๆกันว่า Trojan )

Payload Malware

 - Spyware = เน้นสอดแนมข้อมูลของเป้าหมาย

 - Adware = แฝงมาในลักษณะ Pop-up ของ โฆษณา ที่อยู่บนเว็บทั่วไป ถ้าเราเผลือไปกด โฆษณานั้น ก็จะมีโฆษณาเด้งมาเรื่อยๆ สร้างความรำคาญให้กับเรา

 - Rootkits = ยกระดับตัวเองให้กลายเป็น Root (สิทธิ์ที่สูงที่สุดในระบบคอมพิวเตอร์) เพื่อควบคุมระบบของเหยื่อ (ส่วนมาก Rootkits จะไปฝังตัวอยู่ในระดับ Kernal ของระบบ) ปัจจุบัน malware ประเภทนี้จะเน้นแฝงตัวเพื่อเก็บข้อมูลของระบบ

 - Botnets = จะฝังโปรแกรมในลักษณะควบคุมลงบนเครื่องเป้าหมายโดยเครื่องที่โดนนั้น เราจะเรียกว่า zombie (ส่วนมาก Hacker จะใช้วิธีนี้เพื่อสร้างกองทัพไว้ทำการโจมตีประเภท DDos)

 - Backdoor = ฝังช่องทางการเชื่อมต่อ(ลับ)ไว้ยังเครื่องเป้าหมาย

 - Logic bombs = แอบฝัง malware ไว้ที่เครื่องเพื่อรอเวลาโจมตีต่อระบบ เช่น จนท.แอบฝัง malware ไว้ที่คอมพิวเตอร์ของหน่วยงาน เมื่อ จนท. โดนไล่ออกก็ทำการสั่ง malware เพื่อทำลายตอมพวเตอร์ขององค์กร

 - Ransomeware = เป็น malware จะเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ต่อเจ้าของระบบที่โดน

 - Polymorphic malware = เปลี่ยนพฤติกรรมเพื่อป้องกันการตรวจจับของ Anti-virus (บางทีที่ตรวจไม่เจอก็อาจจะเป็นเพราะไอ้พวกนี้แหล่ )

 - Armored virus = เป็นไวรัสที่มีกระบวนการป้องกันการทำ reverse engineer (กระบวนการแปลงโค๊ตของไวรัสเพื่อหาโค๊ตลำดับแรก) malware สวมเกราะ นั้นแหล่จ้า ถอดออกมามันก็มีอีกหลายชั้นเลย

ที่มา : www.it24hrs.com



Attack

Attacks คือ การโจมตีทางไซเบอร์ ซึ่งมีมากมายหลายประเภท ผมเลยจำแนกเป็นหมวดหมู่ได้ประมาณนี้ล่ะครับ (จริงๆมันมีเยอะกว่านะ)

1.Network Attacks
2.Wireless Attacks
3.Password Attacks
4.Social Engineering Attacks
5.Application Attacks



Network Attacks

- Denial of Service (Dos) = คอมเครื่องเดียว ส่ง request ไปหาเครื่องเป้าหมาย เพื่อให้เครื่องเป้าหมาย reply กลับมายังเครื่องที่ขอ แต่ที่อยู่หมวดหมู่การโจมตีเพราะว่าการทำลักษณะนี้ซ้ำๆในช่วงเวลาที่ต่อเนื่องกัน จะทำให้เครื่องที่ต้องส่ง reply นั้นส่งกลับไม่ทัน ทำให้เครื่องดังกล่าวล่มเพราะ bandwidth เต็ม ส่วนมากการโจมตีลักษณะนี้จะนิยมทำกับ Web server ในปัจจุบันการโจมตีประเภทนี้ไม่ค่อยมีผลเพราะขนาด bandwidth ที่ใหญ่ขึ้นสามารถรองรับการโจมตีประเภทนี้ได้

- Disturbuted Denial of Service (DDos) = คอมหลายๆเครื่อง ส่ง request ไปหาเครื่องเป้าหมาย เพื่อให้เครื่องเป้าหมาย reply กลับมา มาถึงหัวข้อนี้ผมอยากจะให้ผู้อ่านนึกถึง Zombie ที่ผมได้กล่าวไว้ในหัวข้อ Malware ที่ Hacker มีกองทัพ zombie เมื่อถึงเวลาที่จะทำการโจมตี ทุกเครื่องก็ทำการ request พร้อมๆกัน นั้นคือ Traffic จำนวนมากที่จะส่งไปหา เครื่องเป้าหมาย ทำให้เครื่องที่โดนนั้นล่ม (สถิติการ DDos ที่สูงที่สุดในโลกคือ 1.35 Tbps โดย website ที่โดนคือ Github ) 

- Spoofing = การปลอมแปลงต่างๆ เช่น IP Spoofing , MAC Spoofing , E-mail Spoofing

- Sniffing = การแอบดักจับข้อมูล

- Man in the Middle (MITM) = Hacker แทรกกลางการสนทนา เพื่อดักจับข้อมูลต่างๆ

- DNS poisoning = Hacker เข้าไปเปลี่ยน IP address ในเครื่อง Server เพื่อให้ Server ทำการ forward ไปยัง website ของ Hacker เมื่อเหยื่อทำการเรียกเว็บไซต์ดังกล่าวก็จะไปยัง website ที่ Hacker เตรียมไว้

- Privilege escalation = Hacker พยายามยกสิทธิ์ตัวเองให้กลายเป็น Root แต่เป็นการโจมตีไม่ได้ใช้ malware

- Port scanning attack = Hacker พยายาม Scan port หาช่องโหว่เพื่อทำการโจมตี
ต่อระบบ




Wireless Attacks

- Packet sniffing = คือการดักจับ Packet ของข้อมูลที่วิ่งบนอากาศ โดยใช้  Wireless adapter

- Jammimg and Interface = ปล่อยสัญญาณรบกวนการใช้งานสัญญาณ Wireless

- War driving = การสำรวจหา Access Point ที่สามารถใช้งานได้เลยโดยไม่ต้องทำการ Authentication 

- War chalking = เป็นขั้นตอนต่อเนื่องจาก War driving คือ การทำสัญลักษณ์ให้กับ Access point ที่เจอ

- WPA attack , WPS attack = เทคนิคการเจาะ Access point เพื่อเข้าไปยัง Network ของเป้าหมาย

- Rogue acces point = ตั้ง Access point เถื่อน เพื่อต่อเข้ากับ Network ขององค์กร

- Evil Twins = ตั้งชื่อ Access point เถื่อนให้เหมือนกับ ชื่อของ Access point ขององค์กร หรือ Access point ที่น่าเชื่อถือ

- Bluejacking = ควบคุมเครื่องเหยื่อโดยผ่านตัวกลางประเภท ฺBluetooth

- Bluesnarfingคือเทคนิคที่ hackers ใช้ในการเข้าถึงไฟล์ข้อมูลของอุปกรณ์ที่เปิดการเชื่อมต่อผ่าน Bluetooth




Password Attacks

ที่มา : www.automatetheplanet.com


- Dictionary attack = เป็นเทคนิคการใช้คำศัพท์ที่มีอยู่ใน Dictionary มาทำการป้อนรหัสผ่านเพื่อเข้าไปในระบบของเหยื่อ

- Bruteforce attack = เทคนิคนี้คือจะสร้างคำในลักษณะสุ่มไปเรื่อยๆ เพื่อเข้าไปยังระบบของเหยื่อ

- Hybrid attack = เป็นเทคนิคการผสมคำในหมวด Dictionary attack

- Birthday attack = เป็นเทคนิคที่ใช้ วันเกิด มาทำการป้อนรหัสเพื่อเข้าไปในระบบของเหยื่อ

- Rainbow table = ใช้ตารางที่เก็บค่า Hash มาสุ่มรหัสเพื่อเข้าสู่ระบบของเหยื่อ




Social engineering Attacks

ที่มา : www.hwzdigital.ch


- Impersonation = การปลอมตัวเป็นบุคคลที่เกี่ยวข้องกับระบบของเหยื่อ เพื่อทำการหลอกถาม ข้อมูล หรือ รหัสผ่าน

- Phishing = การส่ง e-mail หลอกเป้าหมาย เมื่อเป้าหมายได้รับ e-mail ดังกล่าว ก็จะถูกขโมยข้อมูล โดยในหมวด Phishing นี้จะสามารถแยกออกเป็น การโจมตีย่อยๆได้อีกก็คือ
          - Spear Phishing = ส่ง e-mail ไปยังเหยื่อโดยเน้นกลุ่มเป้าหมาย
          - Whaling = สุ่ง e-mail โดยพุ่งเป้าไปยังผู้บริหารระดับสูง
          - Vishing (voice phishing) = ล่อลวงโดยการเสียง โทรไปขโมยข้อมูลของเหยื่อ


- Pharming = การปลอมเว็บไซต์

- URL Hijacking = ปลอม URL ของเว็บไซต์

- Watering hole attack = ให้จินตนาการว่าเป็นเหมือนกับแหล่งน้ำที่มักจะมีสัตว์มักจะไปกินน้ำ โดยในโลกไซเบอร์นี้จะให้เป็น website ที่ไม่ปลอดภัยและผู้ใช้นิยมเข้าไปใช้งาน เช่น เว็บโป๊ เว็บที่ให้โหลดฟรี โดยเว็บไซต์พวกนี้อาจจะแฝง malware ไว้เพื่อรอให้เหยื่อติดกับ

- Spim / Spim = ส่ง e-mail ไปหาเหยื่อเพื่อก่อกวน

- Physical social engineering = เป็นเทคนิคที่อาศัยวิธีพื้นฐานที่สามารถทำได้ง่ายๆ เพื่อทำการเก็บข้อมูลของเหยื่อ มีดังนี้
          - Shoulder surfing = นั่งข้างๆเพื่อแอบมองข้อมูล
          - Dumpster driving = คุ้ยขยะ (อาจจะเป็นถังขยะเอกสาร หรือ ใน Recycle bin) เพื่อหา Password
          - Tailgating = แอบเดินตามคนที่มี keycard ผ่านประตูเพื่อเข้าองค์กร




Application Attacks

- SQLinjection = คือการใช้อักขระพิเศษ เช่น / " = < >  เพื่อเข้าสู่ระบบฐานข้อมูล (database) ของเหยื่อเพื่อขโมยข้อมูล ถือเป็นวิธียอดนิยมอีกวิธีหนึ่งของเหล่านัก Hacker ในปัจจุบันระบบฐานข้อมูล (database) ได้เพิ่มฟังก์ชั่นป้องกันการโจมดีชนิดนี้แล้ว แต่ก็ต้องคอยตรวจสอบช่องโหว่ดังกล่าวเพื่อให้รองรับการโจมตีรูปแบบใหม่ๆในอนาคต

Cross-site scripting (XSS) = Hacker ป้อน script บางอย่างเข้าไปเพื่อหวังผลให้ server ส่ง script นั้นไปรันบนเครื่องอื่น (จริงๆ อันนี้ก็ถือเป็น injection แนว SQL injection ด้านบน) ตัวอย่างเช่น ใส่ JavaScript code เข้าไปใน form หน้า profile ของเว็บ พอ user คนอื่นเข้ามาดูหน้า profile ของ hacker คนนั้น script ก็ทำงาน เช่น ให้ส่ง cookies ไปให้ เพื่อใช้ session hijacking (หัวข้อถัดๆ ไป) ต่อไป ป้องกันได้ด้วย form validation เช่นกัน

- Buffer overflow = การโจมตีที่เน้นไปในทางให้โปรแกรมรวนเพราะใส่ค่าเกินกว่าโปรแกรมกำหนดไว้

- Directory traversal = คือการโจมตีโดยอาศัยการป้อนค่าที่เกี่ยวกับ Path ของไฟล์เพื่อเข้าไปยังที่เก็บข้อมูลสำคัญ ส่วนมากนิยมทำเพื่อเอารหัสของระบบ

- Session Hijacking = คือการขโมย Cookies (คล้ายๆกับไฟล์ที่เก็บค่าต่างๆ เช่นการเข้าระบบ ระหว่างตัวเครื่อง Host กับ Client) เพื่อจะนำค่าที่ได้ไปใช้จะได้ไม่ต้องทำการ Crack password ให้เสียเวลา


--------------------------------------------------------------------------------------------------------------------------

สรุป

     ในโลกปัจจุบันที่เทคโนโลยีก้าวหน้าขึ้นเรื่อยๆ ทุกสิ่งทุกอย่างก็ล้วนมีการปรับตัวตามๆกัน ภัยคุกคามรูปแบบใหม่ที่เราไม่เคยเจอก็จะมีมากขึ้น บทความนี้อาจจะไม่ได้กล่าวถึงภัยคุกคามที่มีทั้งหมดในโลกใบนี้ แต่ สิ่งที่ผมพยายามเขียนบทความนี้ขึ้นมานั้น เพื่อให้ผู้อ่านนั้นได้ตระหนักถึงภัยคุกคามทางไซเบอร์ และหลีกเลี่ยงความเสี่ยงต่อภัยนั้นๆ ซึ่งผมก็ต้องขออภัยที่ผมยังไม่ได้กล่าวถึงวิธีป้องกันภัยคุกคามดังกล่าวในที่นี้ ผมต้องขออภัย เพราะผมก็ยังคงศึกษาต่อไปในศาสตร์ด้านนี้ หากมีข้อผิดพาดประการใด ขอให้ทุกท่านได้ช่วยแนะนำ ช่วยชี้แนะ และสร้างโลกของไซเบอร์ให้มีความปลอดภัยต่อไป ขอบคุณครับ

ศึกษาข้อมูลด้าน Cyber Security เพิ่มเติมได้ที่

     ThaiCert : Thai Computer Emergency Response Team
     ETDA : สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)
     กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม


Edit by Kridsana & Chinagrit 2018

ความคิดเห็น

แสดงความคิดเห็น