Tuesday, October 30, 2012

SCAM ตอนที่ 1 ​: ทำความรู้จักกับสแกม (SCAM)


หายหน้าหายตาไปนานเลยครับ เพราะมัวเมาแต่งานอย่างอื่น จนลืมแบ่งเวลาให้กับแฟนๆบนบล็อก เอิ๊กๆๆ เมื่อกลางเดือนได้มีโอกาสไปไต้หวันในงาน 2012 Taipei Summit และอาทิตย์หน้าจะรับเชิญไปเยี่ยมแล็บของเทรนด์ไมโคร ณ กรุงมะนิลา ฟิลิปปินส์​ แถมร่างกายช่วงก่อนหน้านี้ก็ไม่ค่อยจะสู้่ดีเท่าไหร่ ป่วยค่อนข้างบ่อยเลยทีเดียว แต่ช่วงนี้ก็ดีขึ้นหลังจากกลับไปออกกำลังกาย และพักผ่อนให้มากขึ้น

เอาหล่ะครับวันนี้ผมติดค้างบทความที่ตั้งใจจะเขียนให้ความรู้เกี่ยวกับสแกม (SCAM) ว่าคืออะไร มีประเภทใดบ้าง พร้อมตัวอย่าง บทความนี้ถูกเขียนขึ้นเพื่อสร้างความตระหนักให้แก่ผู้อ่านทุกท่าน ไม่ได้มีจุดประสงค์จะทำลายชื่อเสียงบุคคลหรือหน่วยงานองค์กรใดๆ ทั้งสิ้น

สแกม (SCAM) คืออะไร
หลายๆ คนคงคุ้นเคยกับคำว่า สแปมเมล์ (SPAM MAIL) หรือเมล์ขยะ คืออีเมล์ที่เราไม่ต้องการ อาจจะเป็นอีเมล์โฆษณาชวนเชื่อ ส่วนสแกม (SCAM) นั้นผู้ไม่หวังดีจะต้องหว่านส่งอีเมล์หรือข้อความในสื่อต่างๆ บนเครือข่ายสังคมออนไลน์จำนวนมหาศาล (คล้ายๆกับการส่งสแปมเมล์) แต่สแกมนั้นจะต้องมีจุดประสงค์ในการหลอกให้เหยื่อทำอะไรบางอย่างที่ชัดเจน เช่น หลอกให้เหยื่อโอนเงินไปให้ หลอกให้เหยื่อกรอกข้อมูลส่วนตัว หรือหลอกให้เหยื่อแชร์ข้อมูลต่อๆไป เป็นต้น ดังนั้นถ้าหากมีเหยื่อหลงเชื่อเพียงไม่กี่เปอร์เซ็นต์ ให้โอนเงินไปให้ หรือส่งข้อมูลไปให้ เท่านี้ผู้ไม่หวังดีก็สามารถสร้างรายได้มากมายแล้ว

ตัวอย่างสแกมที่น่าสนใจ ขอแบ่งตามวัตถุประสงค์ของผู้ไม่หวังดี
  1. หลอกให้เหยื่อโอนเงินไปให้ ได้แก่
    • ไนจีเรียนสแกม (Nigerian SCAM) เป็นสแกมที่หลอกลวงว่าเขาเป็นเจ้าชายแห่งประเทศไนจีเรียยังไม่ได้รับตำแหน่ง ซึ่งขณะนี้ตกอับและพยายามรวบรวมเงินกลับประเทศ เพื่อไปรับตำแหน่งกษัตริย์ และตนเองจะมีเงินมหาศาล แล้วจากนั้นจะแนบท้ายในอีเมล์ว่าขอให้ท่านช่วยโอนเงินมาให้จำนวนหลักหมื่นบาท แล้วหลังจากได้รับตำแหน่งจะได้เงินตอบแทน 10 เท่า 
    • ญาติหรือเพื่อนของเรากำลังลำบาก เป็นสแกมที่ต้องอาศัยการขโมยบัญชีอีเมล์ของเรา จากนั้นก็จะส่งอีเมล์จากบัญชีที่ถูกขโมยได้มายังเพื่อนๆของเราตามรายชื่อที่ถูกเก็บไว้ในบัญชีอีเมล์ โดยเนื้อความนั้นจะบอกว่าเราอยู่ต่างประเทศ (ส่วนใหญ่จะเป็นประเทศอังกฤษ) แล้วกระเป๋าเดินทางสูญหายจากสนามบิน กระเป๋าเงินถูกขโมย ไม่มีพาสปอร์ตและเงินเหลือติดตัวเลย ดังนั้นขอให้เหยื่อ (เพื่อนของเรา) ให้โอนเงินยังผู้ไม่หวังดีเพื่อที่จะนำไปซื้อตั๋วเครื่องบินกลับประเทศไทย ถ้าหากเรามีเพื่อนหรือญาติที่เดินทางไปประเทศนั้นๆพอดี และไม่ได้ตรวจสอบให้ดีก่อนว่าเป็นความจริงหรือไม่ ก็จะตกเป็นเหยื่อได้อย่างง่ายดาย

  2. หลอกให้เหยื่อกรอกข้อมูลส่วนตัว 
    • ฟิชชิ่งสแกม (Phishing SCAM) ที่จริงแล้วก็คือฟิชชิ่งนั่นเอง (สามารถอ่านรายละเอียดเพิ่มเติมได้ที่ รู้ทันเทคนิคการขโมยข้อมูล : http://foh9.blogspot.com/2012/04/blog-post_04.html ) ซึ่งผู้ไม่หวังดีจะส่งอีเมล์หาเราเพื่อโน้มน้าวให้เราเข้าเว็บไซต์ที่เลียนแบบหน้าตาของเว็บไซต์ธนาคาร สถาบันการเงิน และร้านค้าออนไลน์ต่างๆ ถ้าหากเหยื่อหลงเชื่อก็จะกรอกข้อมูลส่วนตัวที่เกี่ยวข้องกับบัญชีของธนาคารแห่งนั้นๆได้
    • สแกมหลอกว่าได้รับรางวัล หลายๆคนคงเคยเห็นอีเมล์ที่บอกว่าเราได้รับสิทธิ์พิเศษในการชิงรางวัลต่างๆ ไม่ว่าจะเป็นโทรศัพท์มือถือรุ่นใหม่ คอมพิวเตอร์ราคาแพง หรือแม้กระทั่งแพกเกจทัวร์ต่างๆ จากนั้นถ้าหากเราหลงเชื่อแล้วเข้าเว็บไซต์ของผู้ไม่หวังดี เขาก็จะให้เรากรอกข้อมูลส่วนตัวของเรา เช่นหมายเลขโทรศัพท์มือถือ ชื่อนามสกุล หรือบางเว็บอาจจะขอข้อมูลการทำธุรกรรมทางการเงินของเราก็ได้ เป็นต้น ดังรูปที่ 1

    •  
      รูปที่ 1 แสดงตัวอย่างอีเมล์หลอกลวงว่าสิทธิ์ในการสั่งซื้อสินค้าราคาพิเศษ

  3. หลอกให้เหยื่อแชร์ข้อมูลต่อๆไป
    • สตาร์บักส์สแกม (Starbucks SCAM) ต้องบอกว่ากาแฟยี่ห้อดังถูกผู้ไม่หวังดีอาศัยชื่อเสียงเพื่อหลอกลวงเหยื่อ ซึ่งสแกมนี้ถูกส่งมาในเฟซบุ๊คเพื่อหลอกให้เหยื่อนั้นส่งข้อมูลเพื่อแลกกับคูปองดื่มกาแฟฟรี สุดท้ายแล้วมีเหยื่อจำนวนมากทำการแชร์ข้อมูลต่อไป แต่ไม่ได้รับคูปองดังกล่าว 
รูปที่ 2 แสดงข้อความบนเฟซบุ๊คที่หลอกว่าจะได้รับคูปองทานกาแฟฟรี

ป้องกันตัวเองอย่างไรเพื่อไม่ให้ตกเป็นเหยื่อ
  1. อย่าหลงชื่อข้อความที่ได้รับมาผ่านทางอีเมล์หรือเครือข่ายสังคมออนไลน์โดยง่าย
  2. อย่าโลภ พึงระลึกเสมอว่าไม่มีสิ่งใดที่ได้มาโดยง่าย
  3. หากได้รับอีเมล์หรือข้อความที่น่าสงสัย ให้ตรวจสอบแหล่งที่มาของจดหมายให้แน่ชัดก่อน
  4. จากข้อ 3 หากพบความอีเมล์หรือข้อความดังกล่าวเป็นสแกมจริง ให้ลบทิ้งทันที และห้ามส่งต่อ เพื่อจำกัดขอบเขตของสแกมให้เหลือน้อยที่สุด
  5. หากได้รับอีเมล์ที่เกี่ยวข้องกับผู้ที่เรารู้จัก ก็ให้ติดต่อเขาผ่านช่องทางอื่นๆก่อน จนกว่าจะแน่ใจว่าเขาประสบปัญหาจริง
  6. หากใครที่หลงเชื่อและตกเป็นเหยื่อ ให้แจ้งความเพื่อลงบันทึกประจำวัน

บททิ้งท้าย
ในบทความนี้ผู้อ่านทุกท่านคงได้รับความรู้ว่าสแกมคืออะไร มีแบบใดบ้าง รวมทั้งวิธีการป้องกันตัวเอง ดังนั้นผมจะขออนุญาตจบไว้เท่านี้ก่อน แต่สัญญาว่าบทความต่อไปจะนำตัวอย่างสแกมบนเฟซบุ๊คที่น่าสนใจ ที่ผมได้รับในช่วงเดือนกันยายนที่ผ่านมา พร้อมทั้งได้นักเขียนรับเชิญอย่างพี่ Pituphong Yavirach หรือ PenguinArmy มาร่วมวิเคราะห์ที่มาที่ไปของสแกมดังกล่าวด้วย


Friday, October 05, 2012

Wednesday, October 03, 2012

NIST ประกาศชื่อผู้ชนะการแข่งขันคิดอัลกอริทึ่ม SHA-3

ข่าวใหญ่ของวงการ IT Security วันนี้คือ NIST ประกาศผู้ชนะการแข่งขันสร้างอัลกอริทึ่มในการทำแฮช SHA-3 แล้ว ชื่ออัลกอริทึ่มนี้ว่า Keccak (อ่านว่า “catch-ack”) ถูกสร้างโดย Guido Bertoni, Joan Daemen และ Gilles Van Assche จาก STMicroelectronics และ Michaël Peeters จาก NXP Semiconductors เท่าที่อ่านข้อมูลมานั้นมีความแตกต่างจาก SHA-2 โดยสิ้นเชิง ทำให้ปัญหาที่เคยเกิดขึ้นกับ SHA-2 จะไม่เกิดขึ้นกับ SHA-3 อย่างแน่นอน นอกจากนี้ SHA-3 เหมาะสำหรับระบบสมองกลฝังตัว (Embedded) และอุปกรณ์เชื่อมต่อระบบเครือข่ายที่ไม่ใช่คอมพิวเตอร์ เช่นเซ็นเซอร์ต่างๆ ที่สามารถถูกควบคุมได้จากระยะไกล 

อ่านเพิ่มเติม http://www.nist.gov/itl/csd/sha-100212.cfm

Tuesday, October 02, 2012

ตีแผ่...แก๊งค์แชร์ลูกโซ่

*** บทความนี้ผมเขียนขึ้นจากข้อมูลในอินเทอร์เน็ต ข่าว และเว็บบอร์ด รวบรวมไว้เพื่อเป็นอุทธาหรณ์ โปรดใช้วิจารณญาณของตนเอง และเพื่อต้องการสร้างความตระหนักแก่ผู้อ่านทุกท่าน ไม่ได้มีเจตนาทำลายชื่อเสียงของบุคคลหรือหน่วยงานใดๆทั้งสิ้น***

*** ธุรกิจขายตรงที่ดี และถูกกฎหมายก็มีเยอะนะครับ โปรดอย่านำบทความนี้ไปเกี่ยวข้องกับธุรกิจที่ดีเหล่านั้น ***

เมื่อเดือนก่อนผมได้มีโอกาสดูข่าวเกี่ยวกับการแฉขบวนการแก๊งค์แชร์ลูกโซ่ โดยอาศัยธุรกิจขายตรงบังหน้า ทำให้เหยื่อสูญเงินหลายแสนบาท แต่ได้ผลตอบแทนนิดเดียว ซึ่งตรงข้ามกับที่เขาโฆษณาชักชวนให้เหยื่อมาร่วมในธุรกิจ ใครสนใจคลิปข่าวดังกล่าวก็สามารถดูได้ด้านล่างนี้ครับ อยากให้ดูโดยเฉพาะช่วงนาทีที่ 27:09 ผู้เป็นเหยื่อได้ออกมาเปิดโปงขบวนการ

 

จากคลิปเหยื่อได้ออกมาเปิดเผยหมดแล้วนะครับว่ารูปแบบการหลอกลวงที่เขาใช้เป็นอย่าง แต่ผมจะขอนำมาเล่าสั้นๆ เผื่อบางคนไม่มีโอกาสได้ดูคลิปข่าวข้างต้น อย่างไรก็ตามผมอยากให้ทุกท่านชมคลิปก่อนนะครับ

ลักษณะธุรกิจแชร์ลูกโซ่เป็นอย่างไร

ธุรกิจแบบแชร์ลูกโซ่เน้นการเชิญชวนเหยื่อให้สมัครเป็นสมาชิกและร่วมลงทุนกับบริษัท โดยเสนอแผนการตลาดที่น่าตื่นเต้นและได้รับผลตอบแทนสูงมากในช่วงเวลาสั้นๆ โดยที่วิวัฒนาการแชร์ลูกโซ่ในปัจจุบันอาศัยรูปแบบธุรกิจขายตรง (Multi-Level Marketing: MLM) ซึ่งในหลายบริษัทอาจใช้คำอื่นที่แตกต่างกันออกไป เช่น การตลาดแบบระบบเครือข่าย (Network Marketing) และแชร์ลูกโซ่บางแห่งในปัจจุบันแฝงตัวอยู่ในธุรกิจแฟรนไชส์อีกด้วย

ลักษณะสำนักงานของบริษัทประเภทนี้ ส่วนมากมักจะเช่าอาคารสำนักงานขนาดใหญ่ที่ตกแต่งสวยงามให้ดูน่าเชื่อถือ นอกจากนี้ ยังมีการจ้างพนักงานมานั่งทำงาน หรือบางครั้งอาจเป็นไปได้ว่าพนักงานที่ถูกจ้างมายังไม่รู้ด้วยซ้ำว่าบริษัทที่จ้างตนมานั้นทำธุรกิจอะไร รูปแบบการทำงานของธุรกิจแชร์ลูกโซ่เน้นการหาสมาชิกเพื่อมาร่วมลงทุนตามแผนธุรกิจ ซึ่งส่วนมากลักษณะแผนธุรกิจของบริษัทประเภทนี้แทบจะไม่ต่างกัน แต่จะอาจเปลี่ยนแค่รูปแบบโดยใช้สินค้าหรือบริการที่แตกต่างกันออกไปเท่านั้น แต่ในความเป็นจริงการซื้อขายสินค้าเป็นเครื่องบังหน้าเพื่อเลี่ยงกฎหมายเท่านั้น

เนื่องจากสินค้าราคาสูงเกินความเป็นจริงมาก ทั้งนี้ เพราะราคาสินค้าดังกล่าวเป็นค่าตอบจากการพาคนมาเข้าเป็นสมาชิกนั่นเอง ยิ่งใครสามารถขยายเครือข่ายของตนได้ยาวเท่าผลตอบแทนจะเพิ่มเป็นเงาตามตัว สมาชิกที่มาก่อนจะถูกหลอกโดยให้ได้รับผลตอบแทนเป็นจำนวนเงินที่สูง เพื่อจูงใจให้ลงทุนเพิ่มและชักชวนคนใหม่ๆ มาร่วมลงทุนด้วย ดังนั้นเครือข่ายจึงขยายออกไปเป็นลูกโซ่อย่างรวดเร็ว กิจกรรมธุรกิจส่วนใหญ่เน้นไปที่การจัดประชุมสัมมนาที่น่าเชื่อถือ เพื่อจูงใจคนสมัครเป็นเครือข่ายหลังจากได้ฟังบรรยายแต่กลับไม่เน้นการนำเสนอตัวสินค้าและบริการแต่อย่างใด

กลวิธีชักชวน หาเหยื่อ

เอาหล่ะครับ ตอนนี้ลองมาดูกระบวนการการทำงานของขบวนการ หรือรูปแบบการหลอกล่อ เริ่มต้นด้วยการเชื้อเชิญผ่านทางอินเทอร์เน็ต (เช่น เครือข่ายสังคมออนไลน์ เปิดเว็บไซต์ และอีเมล์ เป็นต้น) ซึ่งเป็นวิธีการกระจายข้อมูลที่มีต้นทุนต่ำและแพร่กระจายอย่างรวดเร็วที่สุด

เนื้อความการชักชวนเหยื่อนั้นส่วนใหญ่จะเป็นคำพูดในลักษณะลงทุนต่ำ รายได้สูง หรือยกตัวอย่างว่าคนนั้นคนนี้มีความสำเร็จในการร่วมธุรกิจ และยังเพิ่มความดึงดูดด้วยรูปเด็กวัยรุ่นกำลังถือเงิน หรือถ่ายรูปคู่กับสิ่งของที่มีลักษณะราคาแพง เช่นรถสปอร์ต หรือแม้กระทั่งรูปเช็คสั่งจ่ายคนเชิญชวนอีกด้วย เพื่อสร้างความน่าเชื่อถือและกระตุ้นให้เหยื่อเกิดความโลภ จนเกิดความสนใจในการเข้าร่วมด้วย จากภาพที่ 1 จะเห็นว่ารูปแบบการยั่วความโลภของเหยื่อมากมาย

รูปที่ 1 แสดงรูปที่ถูกนำมาใช้ในการชักชวนเหยื่อให้เข้าร่วม

หากเหยื่อหลงเชื่อจะต้องส่งข้อมูลส่วนบุคคลให้ ทำให้ผู้ร้ายจะโทรศัพท์หรือติดต่อมาให้เราไปฟังหรือเข้าร่วมกระบวนการได้ ถ้าหากเหยื่อไม่ไปจะมีการข่มขู่ทำร้าย หรือด่าทอด้วย จากนั้นเมื่อเหยื่อที่หลวมตัวไปยังสถานที่นัดของแก๊งค์แชร์ลูกโซ่เหล่านี้ เขาจะมีการบรรยายเกี่ยวกับการทำธุรกิจขายตรง โดยหยิบยกผลตอบแทนจำนวนเงินให้ดู เพื่อกระตุ้นให้เหยื่ออยากร่วมธุรกิจด้วย

เมื่อเหยื่อจะร่วมทำธุรกิจก็จะต้องชำระเงินค่าสมัครที่ค่อนข้างแพงราวๆ 40,000 - 50,000 บาท ซึ่งอาจจะอยู่ในรูปแบบของการซื้อสินค้าเพื่อเพิ่มระดับสมาชิก (ระดับที่แทนด้วยชื่ออัญมณีต่างๆ) ซึ่งจากที่ผมเคยพูดคุยกับผู้ที่เคยเห็นสินค้า เขาบอกว่า มีน้ำผลไม้สมุนไพร ราคาขวดละ 1,300 บาท หากซื้อ 1 โหล จะได้ราคา 10,000 บาท และมีสินค้าชนิดเดียวอีกด้วย และแต่ละเดือนคนร้ายจะบังคับให้เหยื่อซื้อของอย่างนี้ไปเรื่อยๆ โดยอ้างว่าถ้าหากไม่ซื้อต่อ จะทำให้ระดับสมาชิกของเรานั้นถูกลดลงมาด้วย

ยังไม่หมดเท่านี้ ประเด็นของแก๊งค์แชร์ลูกโซ่จะต้องเพิ่มจำนวนสมาชิก เมื่อเหยื่ออยากได้เงินเยอะขึ้นจะต้องมีสมาชิก ดังนั้นเหยื่อก็จะชักชวนด้วยกระบวนการต่างๆผ่านอินเทอร์เน็ตที่กล่าวมาแล้วตอนต้น แล้วค่าสมัครสมาชิกของเหยื่อต่อจากนี้จะถูกแบ่งมาให้ผู้ชักชวน ทำให้ผู้ชักชวนยิ่งเชื่อสนิทใจมากขึ้นว่าทำแล้วได้เงินจริง ส่งผลให้ยิ่งเร่งการโฆษณาต่อไป นี่แหล่ะกระบวนการทั้งหมดของแก๊งค์แชร์ลูกโซ่

สังเกตอย่างไรว่านี่เป็นธุรกิจแชร์ลูกโซ่

1.ค่าสมัครสมาชิกแพง หากเป็นธุรกิจขายตรงทั่วไปค่าสมัครสมาชิกจะไม่แพง เป็นค่าเอกสารและดำเนินการเท่านั้น ซึ่งราคาเฉลี่ยนั้นจะไม่เกิน 1000 บาท (บวกลบนิดหน่อย) แต่ถ้าเป็นธุรกิจแชร์ลูกโซ่นั้นจะแพงกว่ามาก อาจจะถึง 40,000 - 50,000 บาทได้เลยทีเดียว
2.สินค้าที่ขายให้สมาชิกนั้นไม่มีคุณภาพ อ้างสรรพคุณเกินจริง ทีสำคัญแพงเกินเหตุ สินค้าที่ขายในระบบธุรกิจแชร์ลูกโซ่ ส่วนใหญ่จะไม่มีคุณภาพ แต่มีการอ้างสรรพคุณมากมาย หรือแม้กระทั่งตัดต่อจากภาพรายการทีวี หรือหนังสือต่างๆ เพื่ออ้างถึงสรรพคุณ แม้ว่าในทั้งรายการโทรทัศน์นั้นจะกล่าวถึงสรรพคุณในด้านไม่ดีก็ตาม นอกจากนี้ราคาขายของสินค้ามักจะสูงเกินที่ควรจะเป็นอีกด้วย
3.เน้นหาสมาชิกใหม่มาเพิ่มเรื่อยๆ จำนวนสมาชิกต่อจากเหยื่อจะมีผลต่อผลตอบแทนของเหยื่อ ซึ่งสมาชิกใหม่นั้นถูกหลอกให้จ่ายค่าสมาชิกในราคาสูง และเงินจำนวนนั้นก็จะถูกแบ่งมาให้เหยื่อผู้ที่ชักชวนได้ ดังนั้นเหยื่อที่อยู่ในธุรกิจนี้มักจะสรรหาวิธีการต่างๆที่จะชักชวนผู้อื่นให้มาเข้าร่วมด้วย
4.ผลตอบแทนสูงเกินจริง แรงจูงใจอย่างหนึ่งของธุรกิจแชร์ลูกโซ่คือผลตอบแทนที่สูงมาก สามารถสำเร็จได้ในระยะสั้น แต่อย่างไรก็ตามหากคิดถึงค่าสมัครสมาชิกตั้งแต่ตอนแรกก็ถือว่ายังน้อยกว่ามากนัก

สัญญาณที่บ่งบอกว่าลูกหลานของเราอาจตกเป็นเหยื่อ [1]

หากใครมีลูกหลานเรียนอยู่ปี 1-4 มีสัญญานเตือนดังต่อไปนี้
สัญญานเตือนที่ 1 .. อยู่ดีๆมีเรื่องใช้เงิน "ฉุกเฉิน" ประมาณ 40,000 - 50,000 บาท
สัญญานเตือนที่ 2 .. ลูกเริ่มพูดถึง "อาหารเสริม" บางอย่างรวมถึง "อยากให้ท่านได้ลองทาน" อาหารเสริมเหล่านั้น
สัญญานเตือนที่ 3 .. เริ่มพูดถึงฝันบางอย่าง .. ทำงานง่ายๆ .. เงินเยอะๆ .. มี passive income เลี้ยงตัวเอง .. รีไทร์เร็วๆ
สัญญานเตือนที่ 4 .. กลับบ้านกลับช่องดึกๆดื่นๆอย่างไม่เคยเป็นมา 
สัญญานเตือนที่ 5 .. ผลการเรียนตกลงอย่างผิดสังเกต

ทำอย่างไรเมื่อหลงเป็นเหยื่อแก๊งค์แชร์ลูกโซ่นี้แล้ว

1.แจ้งตำรวจพร้อมแสดงหลักฐานการเป็นสมาชิกและอื่นๆ
2.ยกเลิกการเป็นสมาชิก (ให้ถือคติที่ว่า เสียน้อยเสียยาก เสียมากเสียง่าย เงินที่เสียแล้วเสียไป ห่วงอนาคตของตนเองดีกว่า)
3.ถ้าบุตรหลานของท่านตกเป็นเหยื่อ ให้ปลอบใจ พร้อมกับให้ถอนตัวเสีย ห้ามดุด่า หรือต่อว่า แต่สอนให้เขาทราบถึงภัยเหล่านี้
4.แชร์ประสบการณ์แก่ผู้อื่น เพื่อเป็นอุทธาหรณ์สอนใจต่อไป

เอกสารอ้างอิง
[1] http://www.pantip.com/cafe/family/topic/N12648333/N12648333.html
[2] http://www.myfirstbrain.com/main_view.aspx?ID=67085

Sunday, September 30, 2012

ระวัง!! โทรศัพท์แอนดรอยด์อาจถูกฟอร์แมตโดยไม่รู้ตัว

USSD หรือ Unstructured Supplementary Service Data เป็นโพรโตคอลที่โทรศัพท์มือถือใช้ในการส่งข้อมูลเพื่อติดต่อกับผู้ให้บริการเครือข่ายโทรศัพท์มือถือ เพื่อขอใช้บริการบางอย่างอัตโนมัติ เช่น สมัครใช้บริการเสริม ขอรับส่วนลดการซื้อสินค้า ตรวจสอบยอดเงินคงเหลือ หรือแม้กระทั่งดาวน์โหลดเพลง เป็นต้น ลักษณะรูปแบบของ USSD โดยทั่วไปจะประกอบด้วยเครื่องหมาย * # และตัวเลขผสมกัน เช่น *545# เป็นต้น ในโทรศัพท์มือถือบางรุ่นสามารถใช้ USSD เพื่อเรียกฟังก์ชันพิเศษของโทรศัพท์ เช่น กด *#06# เพื่อตรวจสอบหมายเลข IMEI ของเครื่อง หรือแม้กระทั่งสั่งให้ฟอร์แมตเครืองได้ เป็นต้น ซึ่งในบางคำสั่งจะมีผลทันทีหลังจากกดตัวอักษรสุดท้ายของคำสั่ง โดยไม่จำเป็นต้องกดโทรออก


ผลกระทบที่เกิดขึ้นนั้น สามารถทำให้ผู้โจมตีสามารถส่งคำสั่งให้ทำงานในโทรศัพท์ของเหยื่อได้ด้วยวิธีการที่หลากหลาย เช่น การสร้าง QRCode การส่งผ่าน NFC (Near Field Communication) เป็นต้น ซึ่งที่จริงแล้วเทคนิคนี้ผมเคยเขียนไว้ในบทความเรื่อง แนวโน้มภัยร้ายเกี่ยวกับบาร์โค้ด 2 มิติ เมื่อปี 2549 (เก่าเหมือนกันนะ)ถ้าหากมีผู้ไม่หวังดีสร้าง QRCode ด้วยชุดคำสั่งให้ฟอร์แมตเครื่อง จากนั้นก็ส่งมาเชื้อเชิญให้เหยื่อหลงเชื่อและสแกน จากนั้นโทรศัพท์มือถือของเหยื่อก็จะเรียกใช้งานคำสั่งนั้นทันที ทำให้เครื่องโทรศัพท์มือถือถูกฟอร์แมตด้วย


วิธีการทดสอบ
รูปที่ 1 แสดง QRCode จะทำให้โทรศัพท์แอนดรอยด์ที่มีช่องโหว่จะแสดงเลข IMEI
*** หมายเหตุ รูปบาร์โค้ดนี้เพียงแค่ให้แสดงค่า IMEI เท่านั้น (ไม่มีอันตราย) และจะต้องเป็นรูปที่อยู่ในเว็บนี้เท่านั้น เพื่อป้องกันการแอบอ้างและหลอกให้รันคำสั่งได้ ***
  1. เปิดโปรแกรมสำหรับอ่าน QRCode แล้วอ่าน QRCode ดังรูปที่ 1
  2. ถ้าหากว่าโปรแกรมอ่านได้ค่า IMEI แสดงว่าโทรศัพท์แอนดรอยด์ของท่านมีช่องโหว่

วิธีการแก้ไข สำหรับโทรศัพท์แอนดรอยด์ที่มีช่องโหว่ มี 3 วิธีคือ
รูปที่ 2 แสดงผลการอ่านบาร์โค้ดหลังจากติดตั้งโปรแกรม Dialer One
  1. อัพเดตเฟิร์มแวร์ของโทรศัพท์มือถือ
  2. ติดตั้งแอพสำหรับช่วยในการโทรศัพท์เพิ่มเติม เช่น Dialer One โดยค้นหาโปรแกรมดังกล่าวนี้จาก Play Store เพื่อป้องกันการหมุนอัตโนมัติ ซึ่งส่งผลให้คำสั่ง USSD ไม่สามารถรันได้ทันที ดังรูปที่ 2
  3. ปรับแต่งที่โปรแกรมสำหรับอ่าน QRCode เพื่อไม่ให้เปิดเว็บหรือหมุนโทรศัพท์ออกอัตโนมัติ

เอกสารอ้างอิง
  1. https://www.hkcert.org/my_url/en/blog/12092801
  2. https://mobileforensics.wordpress.com/2008/07/17/phone-codes/
  3. https://dylanreeve.posterous.com/remote-ussd-attack

Monday, September 24, 2012

คำแนะนำในการใช้งานเครือข่ายไร้สายสาธารณะอย่างปลอดภัย

*** หมายเหตุ บทความนี้เขียนจากความเห็นส่วนตัว ***

จากข่าวแผนการเปิดให้บริการเครือข่ายไร้สายสาธารณะนั้น ทำให้ผมมานั่งคิดถึงจุดอ่อนที่จะทำให้ผู้ใช้อย่างเรานี้กลายเป็นเหยื่อของเหล่าร้ายแห่งโลกไซเบอร์ได้หลากหลายรูปแบบเลย ดังนั้นผมจึงเขียนบทความนี้ขึ้นเพื่อแนะนำวิธีการสังเกตและปฏิบัติตัวขณะใช้บริการเครือข่ายไร้สายสาธารณะ

ขึ้นชื่อว่าเป็นเครือข่ายไร้สาย ข้อมูลถูกส่งอยู่ในอากาศ ดังนั้นใครๆก็สามารถจะเข้าถึงข้อมูลที่เราส่งได้อย่างง่ายดาย ซึ่งวิธีการโจมตี ล่อลวง ขโมย ข้อมูลส่วนบุคคลของเรานั้น สามารถทำได้หลายวิธี ผมขอยกตัวอย่างการโจมตีของเหล่าร้ายเพียงส่วนหนึ่งเท่านั้นนะครับ

  1. การตั้งจุดเชื่อมต่อกระจายสัญญาณเครือข่ายไร้สายปลอม หรือการปลอม Access point หากเราลองเปิดค้นหาสัญญาณไวไฟในที่สาธารณะ เราจะพบรายชื่อของจุดเชื่อมต่อกระจายสัญญาณไวไฟเยอะแยะมากมาย อาจจะเป็นของผู้ให้บริการทางโทรคมนาคม ร้านค้า ร้านกาแฟ ห้างสรรพสินค้า หรือแม้กระทั่งสมาร์ทโฟนที่สามารถใช้กระจายสัญญาณไวไฟได้ เป็นต้น แต่รายชื่อที่เราค้นพบตอนเราค้นหาสัญญาณนั้นไม่ได้การันตีได้ว่าจุดเชื่อมต่อกระจายสัญญาณไวไฟนี้จะเป็นของจริง เพราะไม่ว่าใครก็สามารถตั้งชื่อเป็นอะไรก็ได้ และแน่นอนว่าถ้าผู้ร้ายอยากได้ข้อมูลของเรา ก็ต้องปลอมชื่อจุดกระจายสัญญาณไวไฟให้เหมือนกับผู้ให้บริการทั่วไป หลอกเหยื่อจนตายใจและเชื่อมต่ออีกด้วย ปัญหาต่อมาเมื่อเราอยู่ในระบบเครือข่ายเดียวกันกับเหล่าร้ายแล้ว คนเหล่านี้สามารถจะสแกนหาช่องโหว่และเจาะระบบที่เครื่องของเรา เพื่อขโมยข้อมูลความลับของเราก็ได้
  2. การดักจับข้อมูลที่ถูกส่ง อย่างที่ทราบกันอยู่แล้วว่าข้อมูลที่ถูกส่งในเครือข่ายไร้สายทั่วไปนั้น ทุกคนสามารถเข้าถึงได้ ทำให้คนร้ายสามารถรู้ได้ว่าเราหรือเหยื่อคนอื่นกำลังใช้งานอะไรบนระบบอินเทอร์เน็ตอยู่ บางคนอาจจะเล่นเฟซบุค ส่งอีเมล์ แช็ต(Chat) หรือแม้กระทั่งหากเราส่งข้อมูลที่เป็นความลับ ตัวอย่างเช่น เรากำลังทำธุรกรรมการเงินกับธนาคารผ่านระบบอินเทอร์เน็ต เป็นต้น คนร้ายก็อาจจะดักเพื่อจะดูว่ามีใครทำอะไรอยู่ แล้วมีใครที่ส่งข้อมูลโดยไม่เข้ารหัสหรือไม่ ถ้าไม่เข้ารหัสไว้ คนร้ายก็สามารถจะดูและอ่านข้อความลับของเราได้ด้วย
  3. การดักรหัสผ่าน รหัสผ่านเป็นสิ่งที่สำคัญที่นิยมใช้แสดงความเป็นตัวตน ดังนั้นการขโมยรหัสผ่านจึงการโจมตีที่เหล่าร้ายนิยมทำกันอย่างมาก วิธีการที่เหล่าร้ายจะขโมยรหัสผ่านของเราก็มีหลายวิธี แต่วิธีที่ทำให้เหยื่อรู้ตัวยากที่สุดคือการแอบมาอยู่ระหว่างกลางการส่งข้อมูล หรือที่เรียกว่า "Man in the Middle" และใช้วิธี SSLStip เพื่อถอดฟังก์ชั่นการเข้ารหัสของเว็บนั้นออก (เปลี่ยนจาก HTTPS เป็น HTTP นั่นเอง)    หรืออีกวิธีเหล่าร้ายจะส่ง certification ปลอมมาให้ เพื่อหลอกว่าเรากำลังเชื่อมต่อกับเว็บด้วย HTTPS แต่เราไม่ได้สังเกตเลยว่าคีย์ที่ใช้ในการเข้ารหัสข้อมูลนั้นได้มาจากเหล่าร้าย ซึ่งแน่นอนครับว่าเหล่าร้ายสามารถถอดรหัสและดูข้อมูลของเราได้

จากที่ยกตัวอย่างมานั้นเป็นเพียงตัวอย่างการโจมตีต่อข้อมูลของเราผ่านเครือข่ายไร้สายสาธารณะ ในส่วนต่อไป ผมอยากแนะนำวิธีการใช้งานระบบเครือข่ายไร้สายอย่างปลอดภัยดังต่อไปนี้
  1. พึงระลึกไว้เสมอว่าไม่มีที่ไหนปลอดภัย ถ้าหากต้องการทำใช้งานอินเทอร์เน็ตที่มีความสำคัญมาก เช่นทำธุรกรรมบนอินเทอร์เน็ต ส่งเอกสารลับ ฯลฯ ให้หลีกเลี่ยงการใช้งานในเครือข่ายไร้สายสาธารณะ ให้กลับมาใช้งานอินเทอร์เน็ตจากที่บ้าน หรืออย่างน้อยให้ต่ออินเทอร์เน็ตจากโทรศัพท์มือถือของตนเอง
  2. พิจารณาชื่อจุดเชื่อมต่อกระจายสัญญาณที่พบ เมื่อต้องการใช้งานระบบเครือข่ายไร้สายสาธารณะแล้วก็จำเป็นจะต้องรู้จักชื่อจุดเชื่อมต่อกระจายสัญญาณที่พบ และสังเกตชื่อดีๆ อาจจะถามจากผู้ให้บริการก็ได้ อย่างไรก็ตามเหล่าร้ายก็อาจจะปลอมชื่อจุดเชื่อมต่อกระจายสัญญาณก็ได้
  3. เมื่อเลิกใช้งานให้ลบรายชื่อจุดเชื่อมต่อกระจายสัญญาณทิ้ง หลังจากหยุดเชื่อมต่อเครือข่ายไร้สาย ให้ลบรายชื่อจุดเชื่อมต่อกระจายสัญญาณออกจากเครื่อง เพื่อป้องกันไม่ให้เครื่องคอมพิวเตอร์ของเรานั้นเชื่อมต่อโดยอัตโนมัติ เนื่องจากถ้าหากเราอยู่ในบริเวณที่มีจุดเชื่อมต่อกระจายสัญญาณปลอม (ใช้ชื่อเดียวกับจุดเชื่อมต่อที่เราบันทึกไว้ก่อนหน้านี้แล้ว) เครื่องจะเชื่อมต่อทันที และมีความเสี่ยงที่เราจะถูกแอบดักขโมยข้อมูลด้วย
  4. เลือกใหม่ทุกครั้งเมื่อต้องการเชื่อมต่อกับจุดเชื่อมต่อกระจายสัญญาณเดิม ทุกครั้งที่ต้องการเชื่อมต่อเครือข่ายไร้สาย ให้สังเกตดูว่าเป็นสิ่งผิดปกติหรือไม่ เช่นการเข้ารหัสเหมือนเดิมหรือไม่ (WEP หรือ WPA) เป็นต้น ถ้าหากไม่มีความผิดปกติ ก็ให้เลือกเชื่อมต่อด้วยตัวเองทุกครั้ง
  5. ไม่บันทึกรหัสผ่านหรือเปิดให้เข้าสู่ระบบในเว็บไซต์อย่างอัตโนมัติ เนื่องจากหากเราบันทึกรหัสผ่านสำหรับการเข้าสู่ระบบไว้ เมื่อเราเปิดหน้าเว็บนั้นขึ้นมา ข้อมูลการเข้าสู่ระบบของเราจะถูกส่งออกจากเครื่องโดยทันที หากเราหลงเชื่อมต่อเครือข่ายไร้สายของผู้ไม่หวังดี จะทำให้เขาสามารถได้ข้อมูลการเข้าสู่ระบบของเราได้อย่างง่ายดาย
  6. เลือกเข้าเว็บไซต์ที่มีการเข้ารหัส (สังเกตจากชื่อเว็บไซต์ว่าต้องมี "HTTPS" หรือมีรูปแม่กุญแจล็อก) หรือติดตั้งโปรแกรมเสริมชื่อ "HTTPS Everywhere" บน Firefox และ Chrome (ดาวน์โหลดได้จาก https://www.eff.org/https-everywhere
  7. ติดตั้งโปรแกรมป้องกันไวรัสและอัพเดตสม่ำเสมอ
  8. อัพเดตระบบปฏิบัติการและซอฟต์แวร์ที่ใช้อย่างสม่ำเสมอ
  9. ปิดการแชร์ไฟล์ เนื่องจากเมื่อเชื่อมต่อเครือข่ายไร้สายแล้ว ก็ทำให้เครื่องคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่ายไร้สายเดียวกันกับเรานั้นสามารถมองเห็นเครื่องของเราได้ ถ้าหากเปิดแชร์ไฟล์ไว้ ก็อาจทำให้ผู้ไม่หวังดี ได้ข้อมูลของเราไปโดยง่าย
  10. เปิดไฟร์วอลล์ของเครื่อง โดยการเข้าไปใน Control Panel เลือก System and Security จากนั้นเลือก Windows Firewall ตามรูป
ส่วนเสริม
สำหรับคนที่เปิดใช้เครือข่ายไร้สายที่บ้าน ควรตั้งระดับความปลอดภัยของการเข้ารหัสข้อมูลที่จุดเชื่อมต่อกระจายสัญญาณให้เป็น WPA2 เท่านั้น (ห้ามใช้ OPEN หรือ WEP) เพื่อป้องกันการแอบถอดรหัสเพื่อดักฟังข้อมูล

Tuesday, August 28, 2012

ศิลปะไม่ได้สัมผัสด้วยสายตา

ภาพเหล่านี้คงแสดงถึงคำพูดที่ว่า "ศิลปะไม่ได้สัมผัสด้วยสายตา" 
ภาพจากเฟซบุคของโรงเรียนการศึกษาคนตาบอดจังหวัดขอนแก่น

ผมเห็นภาพเหล่านี้แล้วทำให้ผมนึกถึงเรื่องตอนที่ผมเคยมีโอกาสไปทำบุญที่โรงเรียนการศีกษาคนตาบอดจังหวัดขอนแก่นช่วงก่อนวันแม่ ตอนนั้นผมไปกับพี่อ้อ (พี่อ้อเหมือนกับพี่สาว เพื่อน หรือบางครั้งเหมือนญาติผู้ใหญ่ เพราะพี่เขาคอยสอนคอยแนะนำการใช้ชีวิตและเรื่องต่างๆให้กับผม) ในช่วงขณะที่รอเจ้าหน้าที่เขียนใบเสร็จเงินทำบุญอยู่นั้น มีเด็กนักเรียนพิการทางสายตา 2 คน เดินจูงมือเข้ามาที่โต๊ะเจ้าหน้าที่ แล้วกล่าวว่า "คุณครูคะ พวกหนูจะมาซื้อกำไลค่ะ" ต้องบอกก่อนว่าที่ห้องอำนวยการที่ผมไปบริจาคเงินนั้นมีสินค้าขายเพื่อนำเงินไปช่วยเหลือน้องๆ ไม่ว่าจะเป็นกำไลลูกปัดคริสตัล เสื้อยืด และอื่นๆ จากนั้นเจ้าหน้าที่ก็บอกว่า "ค่ะ พวกหนูอยากได้สีไหนหล่ะคะ" ผมได้ฟังดังนั้นก็คิดต่อไปอีกว่า แล้วเขาจะรู้ได้อย่างไรว่าสีไหนสวยสีไหนไม่สวย แต่ก็ยังฟังต่อไปอีก "แล้วมีสีอะไรให้เลือกบ้างหล่ะคะ" เด็กนักเรียนพิการทางสายตาถามต่อ แล้วเจ้าหน้าที่ก็ตอบอย่างใจดีพร้อมรอยยิ้มด้วยความเอ็นดูว่า "มีสีขาว สีเขียว สีฟ้า สีชมพู หนูอยากได้สีไหนคะ" "หนูขอลองสีขาวได้ไหมคะ" เด็กนักเรียนคนหนึ่งตอบพร้อมกับตั้งหน้าตั้งตารอกำไลลูกปัดคริสตัลสีขาวราวกับว่าลุ้นดูสินค้าที่เลือกว่าจะงดงามเพียงใด หลังจากคุณครูใส่กำไลนั้นให้เด็กนักเรียนคนนี้ น้องคนนี้ก็ถามคุณครูว่า "เป็นไงบ้างคะ สวยมั้ยคะ" "สวยจังเลยค่ะ" คุณครูชื่นชมกำไลใหม่ที่น้องเขาใส่ หลังจากพิจารณาเล็กน้อยคุณครูเลยแนะนำว่า "ลองดูสีเขียวหน่อยดีมั้ยคะ น่าจะสวยนะ" น้องคนนี้ก็รับข้อเสนอแนะจากคุณครู พร้อมกับลองให้คุณครูใส่กำไลลูกปัดคริสตัลสีเขียวให้ "สีนี้ก็สวยเหมือนกันนะคะ" คุณครูชื่นชมความงามของกำไลที่อยู่บนแขนของน้องคนนี้ "คุณครูคะ แล้วสีไหนสวยกว่ากันคะ" น้องหันมาถามคุณครูอีกครั้ง คราวนี้คุณครูหันมาถามเจ้าหน้าที่ท่านอื่นพร้อมกับพวกเราด้วย "สีนี้เป็นยังไงบ้างคะ สวยเน๊อะ" เจ้าหน้าที่คนอื่นในห้องอำนวยการตอบเป็นเสียงเดียวกันว่า "สีเขียวสวยกว่า"​ ซึ่งผมก็เห็นด้วยในใจ (ไม่ได้ออกความเห็น) เจ้าหน้าที่ที่กำลังเขียนใบเสร็จให้เรานั้นก็หันมาเล่าให้พวกเราฟังว่า น้องคนนี้จะต้องไปอ่านทำนองเสนาะอาทิตย์หน้า (เนื่องด้วยงานอะไรก็ไม่รู้ผมจำไม่ได้) น้องเขาก็เลยอยากจะซื้อกำไลไปใส่ประดับ "ตกลงค่ะ หนูขอซื้อสีเขียวค่ะ" น้องตอบด้วยความมั่นใจพร้อมกับรอยยิ้มแห่งความประทับใจกับกำไลชิ้นใหม่ที่จะซื้อ แต่พี่อ้อก็บอกว่า "คุณครูคะ เดี๋ยวดิชั้นจะซื้อกำไลให้เด็กๆเองค่ะ" น้ำเสียงของพี่อ้อที่ฟังแล้วรู้สึกได้ถึงความใจดีและความเมตตาที่อยากให้น้องๆมีความสุข "น้องๆคะ มีพี่ผู้ใจบุญเขาอยากซื้อกำไลให้น้องๆค่ะ ขอบคุณพี่ๆเขาหน่อยนะคะ" คุณครูที่เลือกกำไลให้เด็กๆบอกเด็กๆ "ขอบคุณมากๆนะคะ" น้องๆกล่าวคำขอบคุณด้วยสีหน้าที่ดีใจกว่าที่เลือกกำไลได้ แล้วน้องๆก็เดินกลับไปยังโรงอาหารเพื่อรอพวกเราไปแจกอาหารต่อไป เห็นไหมครับว่า "ความงดงามไม่ได้สัมผัสได้ด้วยสายตา แต่การเปิดใจรับรู้ความงดงามนั้นสำคัญกว่า"

Friday, July 27, 2012

สรุปบรรยายพิเศษ Mobile Device Management โดยอ.ไชยกร อภิวัฒโนกุล

ทำไมถึงสำคัญ
ปี 2012 จำนวนการใช้งานโทรศัพท์อัจฉริยะจะแซงหน้าคอมพิวเตอร์

เริ่มต้นด้วยคำถามง่ายว่า
  1. เราได้ล็อกโทรศัพท์ของเราหรือไม่
  2. เราได้ติดตั้งโปรแกรมป้องกันไวรัสในโทรศัพท์หรือไม่
  3. มีแอพพลิเคชั่นอะไรบ้างที่ติดตั้งอยู่ในเครื่องบ้าง
  4. แอพเหล่านั้นไว้ใจได้หรือไม่
  5. ได้ทำการ รูต หรือเจลเบรก อุปกรณ์ของเราหรือไม่
งานวิจัยของไซแมนเทค โดยการทิ้งโทรศัพท์อัจฉริยะจำนวน 50 เครื่อง พร้อมทั้งโปรแกรมสำหรับเก็บข้อมูล (เหมือนสปายแวร์เลยหว่ะ) แล้วแทร็กดูว่าผู้ใช้ที่เก็บได้จะใช้โทรศัพท์เครื่องนี้ทำอะไรบ้าง ไปไหนบ้าง หรือเข้าโปรแกรมอะไรบ้าง ผลสรุปว่า
  • 43% คลิ๊กแอพที่ชื่อ online banking
  • 53% เปิดแอพชื่อ HR salaries
  • 57% เปิดไฟล์ชื่อ saved passwords
  • 60% เปิดแอพ social networking tools และ อีเมล์ส่วนตัว
  • 72% เปิดดูโฟลเดอร์ชื่อ private photos
  • 89% คลิ๊กอะไรที่ไม่ควรคลิ๊ก (พูดง่ายๆว่า ได้เครื่องมาก็เปิดทั้งหมด)
  • 50% หาเจ้าของเพื่อจะคืน
  • 30% ที่ NY หาเจ้าของคืน
  • 70% Ottawa หาเจ้าของคืน
ผลการศึกษาพบว่า
  • 50% ของโทรศัพท์อัจฉริยะไม่มีรหัสผ่านป้องกัน
  • ความสะดวกสบาย มักสวนทางกับ ความปลอดภัย เสมอ
  • 100% ของผู้ที่ทำโทรศัพท์หาย ไม่เคยคิดว่าโทรศัพท์จะหาย
  • หลังจากโทรศัพท์หาย 1 ครั้ง พฤติกรรมจะเปลี่ยน
ปัญหาที่เกิดขึ้น (The Common Fails)
  • สูญหาย Lost
  • ถูกขโมย Stolen
  • ลึมทิ้งไว้ Left unattended
  • ไม่มีรหัสผ่าน No passcode protect
  • เชื่อมต่อไวไฟอัตโนมัติตลอดเวลา Full time WiFi on and with "Auto connect"
  • ฟรีไวไฟ Free WiFi lovers
  • แอพพลิเคชั่นที่ติดตั้ง Lots of apps (trusted/untrusted)
  • เปิดระบุพิกัดสถานที่ปัจจุบัน Location service
  • มีป๊อบอัพก็คลิ๊กหมด Just click (คนไทยเห็นอะไรก็ตอบ Yes หมด)
สปายโฟน
มีฟีเจอร์ของสปายโฟนที่สำคัญ ไม่ว่าจะเป็นการแอบดักฟังโทรศัพท์ ข้อมูลsms ข้อมูลรายชื่อ (อาจถูกขโมยผ่านบลูทูธได้) และมีบริษัท Carrier IQ ฝังไว้ในโทรศัพท์ก่อนออกขายโดยมีวัตถุประสงค์เพื่อเก็บข้อมูล แต่สุดท้ายก็พบว่ามีการแอบเก็บรหัสผ่านของผู้ใช้งานด้วย
ประเทศชั้นนำจะต้องถูกตรวจสอบซอฟต์แวร์ที่นำมาใช้ก่อน ด้วย The Common Criteria ISO/IEC 15408 จึงจะนำไปใช้ได้

EXIF + GEOTAG
Mobile device + Camera + GPS + Social media = EXIF Meta Data
มีความเสี่ยงคือ
  • อาจถูกติดตามได้จากใครก็ได้
  • มิจฉาชีพ ผู้ไม่หวังดี
  • ขบวนการค้ามนุษย์
นำข้อมูลมาใช้งานคู่กับ Google map และ Street view
****ในไอโฟนจะมีไฟล์ชื่อ consolidated.db เพื่อเก็บข้อมูลว่าเราไปไหนมาบ้าง

SSL Strip เป็นกาดักอยู่ตรงกลางเพื่อเปลี่ยนใรห้การเชื่อมต่อแบบเข้ารหัส SSL ให้เป็นข้อมูลเปล่าๆได้
  • https > http
  • https (without awareness) = http
  • Man-in-the-Middle Attack
Socialcam สำหรับผู้ที่ชอบแชร์วีดีโอ แล้วบอกเพื่อนเราว่าเรากำลังดูวีดีโออะไรอยู่ ซึ่งจำเป็นต้องติดตั้งแอพของมันกันเพื่อดูวีดีโอวาบหวิว และแอพนี้ยังมีให้ติดตั้งบนโทรศัพท์มือถือแล้วยังส่ง SMS ไปยังเพื่อนในคอนแท็กของเราเพื่อชักชวนให้มาเล่น Socialcam ทำให้เราเสียเงินค่าส่ง

Smart TV เหตุเกิดจากในรัฐสภาที่มีการโชว์ภาพโป๊บนทีวี ใช้เทคโนโลยี DLNA

ปัญหาของการใช้อุปกรณ์สื่อสารขององค์กรคือ ข้อมูลขององค์กรอยู่ในอุปกรณ์ส่วนตัว พอมีหลายอุปกรณ์ต้องการเข้าถึงข้อมูลชุดเดียวกัน จึงทำให้เกิดคลาวด์ ถึงแม้ว่าองค์กรซื้อเครื่องให้พนักงาน พนักงานก็จะนำเครื่องนี้ไปใช้งานส่วนตัวด้วยเช่นกัน ดังนั้นประเด็น BYOD จึงเกิดขึ้นมา

Consumerization ทำการศึกษาวิจัยว่าใน 600 บริษัทชั้นนำในสหรัฐ​ เยอรมัน และญี่ปุ่น มีองค์กรใดบ้างที่อนุญาตให้พนักงานใช้อุปกรณ์ส่วนตัวกับงานที่ทำอยู่ พบว่า มีถึง 56% ที่อนุญาต แบ่งเป็น US 75% ส่วนญีุ่่ปุ่นระวังเรื่องนี้มากจึงอนุญาติเพียงแค่ 36% เท่านั้น

ดังนั้นองค์กรควรจะมีนโยบายควบคุมอุปกรณ์สื่อสารที่ทำการเชื่อมต่อกับทรัพยากรขององค์กร

แต่ก่อนโทรศัพท์มือถือมีไว้แค่เพื่อความบันเทิง แต่ปัจจุบันโทรศัพท์นั้นถูกนำมาใช้ในธุรกิจ


ทางออกหรือวิธีการที่จะนำมาใช้ป้องกัน
เริ่มจาก
  • ลองดูว่าองค์กรเราเป็นอย่างไร
  • มีผลกระทบอะไรบ้างถ้าหากไม่มีการควบคุม
  • รับผลกระทบเหล่านั้นได้หรือไม่
  • กำหนดนโยบาย (นโยบายขององค์กร มาตรฐานที่นำมาใช้ และเครื่องมือจะช่วยวิเคราะห์หาอุปกรณ์)
การควบคุม แบ่งเป็น 3 ระดับดังนี้
Administrative control (นโยบายขององค์กร มาตรฐานหรือไกด์ไลน์ที่นำมาใช้ และเครื่องมือจะช่วยวิเคราะห์หาอุปกรณ์) 
Physical control (ใช้เครื่องมือ)
Logical Control (ใช้เครื่องมือ)

ใน ISO27001 มีประเด็นดังนี้
  • A.7 Asset management 
    • A.7.2 Information classification จำกัดประเภทของข้อมูลที่จะถูกเชื่อมต่อกับอุปกรณ์สื่อสารนั้นๆ
  • A.9 Physical and environmental security
    • A.9.2 Equipment security
    • A.9.2.5 Security of equipment off-premises อุปกรณ์ไม่ได้ควบคุมเรื่องวิธีการจัดเก็บ หรือตั้งอยู่
    • A.9.2.6 Secure disposal or re-use of equipment ถ้าหากเปลี่ยนอุปกรณ์สื่อสาร ได้มีการควบคุมข้อมูลที่อยู่ในนั้นก่อนขาย หรือเปลี่ยนผู้ถือครองก่อนหรือไม่
  • A.11 Access control
    • A.11.7 Mobile computing and teleworking 
    • A.11.7.1 Mobile computing and communications
    • A.11.7.2 Teleworking
เครื่องมือที่จะใช้ในการควบคุม เทคโนโลยีชื่อ MDM - Mobile Device Management 
โดยที่ End-to-End ให้ความทำการเผ้าระวัง (Monitor) ควบคุม (Control) และป้องกัน (Protect) 4 เลเยอร์ดังต่อไปนี้
  • Device ดูว่าติดตั้งระบบปฏิบัติการอะไร เจลเบรกหรือรูตหรือไม่
  • Application ดูว่ามีแอพใดบ้างติดตั้งในเครื่องนี้บ้าง หรือแอพอะไรบ้างที่อนุญาตให้รันหรือไม่ในองค์กรได้
  • Network ดูว่าเชื่อมต่อที่ไหน ที่บ้านที่ทำงาน ร้านกาแฟ
  • Data ข้อมูลที่จะต่อนั้นมีข้อมูลอะไรบ้างที่สามารถดูได้
Lifecycle ของการบริหารจัดการอุปกรณ์มือถือ
Configure (จัดเตรียมและติดตั้งระบบให้ปลอดภัย) -> Provision -> Secure -> Support (เมื่อมีปัญหาขึ้นต้องให้ความใส่ใจในการแก้ไข) -> Monitor -> Decommission​ (ถ้าเลิกใช้ หรือพนักงานลาออกแล้วจะจัดการอะไรกับอุปกรณ์ชิ้นนั้น) แล้ววนกลับไปจุดเริ่มต้นใหม่

Wednesday, July 25, 2012

วิวัฒนาการของกลอนประตู

วันนี้ผมไปเจอรูปมาก็เลยนำมาฝากกัน จำแหล่งที่มาไม่ได้แล้วครับ ลืมเซฟไว้ ถ้าผมเจอแล้วจะบอกอีกทีนะครับ

Thursday, July 12, 2012

ประวัติศาสตร์ไวรัสคอมพิวเตอร์

ภาพนี้ผมสร้างขึ้นตั้งแต่ปี 2546 สมัยนั้น ThaiCERT ยังอยู่ภายใต้ NECTEC บทความนี้เป็นบทความที่ผมภูมิใจมากที่สุดบทความหนึ่ง


Friday, April 06, 2012

ภัยจากการทำลายหรือก่อกวนระบบคอมพิวเตอร์

อีกจุดมุ่งหมายหนึ่งของอาชญากรอิเล็กทรอนิกส์ คือการทำให้ระบบได้รับความเสียหาย อาจจะทำลายโครงสร้างข้อมูล หรือแม้กระทั่งฮาร์ดแวร์ นอกจากนี้ยังรวมไปถึงการก่อกวนระบบเพื่อไม่ให้ระบบทำงานได้อย่างเต็มประสิทธิภาพจนบางครั้งอาจทำให้ระบบไม่สามารถให้บริการอีกได้ ตัวอย่างของการทำลายและก่อกวนระบบคอมพิวเตอร์ได้แก่

การปฏิเสธการให้บริการ (Denial of Service - DoS) เป็นวิธีการขัดขวางหรือก่อกวนระบบเครือข่ายหรือเซิร์ฟเวอร์ จนทำให้ระบบเครือข่ายหรือเซิร์ฟเวอร์นั้นๆไม่สามารถให้บริการได้ตามปกติ ซึ่งการโจมตีด้วยวิธีการปฏิเสธการให้บริการนั้นโดยทั่วไปจะมีจุดมุ่งหมายเดียวกันคือการบริโภคหรือใช้งานทรัพยากรของเซิร์ฟเวอร์หรือระบบเครือข่ายที่เป็นเป้าหมายให้หมด ทรัพยากรนี้ได้แก่ หน่วยความจำ (Memory) หน่วยประมวณผลกลาง (CPU) หรือ แบนด์วิธ (Bandwidth) เป็นต้น ตัวอย่างการโจมตีประเภทการปฏิเสธการให้บริการ เช่น การส่งข้อมูลปริมาณมหาศาล ซึ่งอาจจะเป็นการร้องขอใช้บริการจากเซิร์ฟเวอร์หรือส่งอีเมล์จำนวนมากเข้าไปยังระบบเครือข่ายหรือเครื่องคอมพิวเตอร์เป้าหมาย ซึ่งเป็นการบริโภคทรัพยากรของระบบเครือข่ายหรือคอมพิวเตอร์นี้จนหมดและต้องหยุดการให้บริการในที่สุด จากรูปที่ 1หากเปรียบเทียบเส้นลูกศรสีแดงแทนปริมาณข้อมูลมหาศาลที่ถูกส่งเพื่อทำการโจมตีเซิร์ฟเวอร์ในเวลาเดียวกัน
รูปที่ 1 แสดงเทคนิคการโจมตีแบบการปฏิเสธการให้บริการแบบปกติ

การปฏิเสธการให้บริการแบบกระจาย (Distributed Denial of Service - DDoS) มีลักษณะการทำงานเหมือนการปฏิเสธการให้บริการแบบปกติ แต่มีข้อแตกต่างกันที่จำนวนเครื่องคอมพิวเตอร์ต้นทางที่ใช้โจมตีนั้นมีมากกว่า 1 เครื่องและทำการโจมตีในเวลาพร้อมๆกัน ดังรูปที่ 2 โดยทั่วไปแล้วอาชญากรจะแอบลักลอบติดตั้งโปรแกรมประเภทบ็อตเน็ต (Botnet) ไว้ในเครื่องคอมพิวเตอร์ของเหยื่อจำนวนมาก และเครื่องเหล่านี้จะรอรับคำสั่งจากอาชญากรเพื่อโจมตีระบบเครือข่ายของเป้าหมายต่อไป (หลายละเอียดของบ็อตเน็ต จะอธิบายด้านล่างต่อไป)
รูปที่ 2 แสดงการโจมตีการปฏิเสธการให้บริการแบบกระจาย

มัลแวร์ (Malware) มาจากคำว่า Malicious Software แปลตามตัวได้ว่า "ซอฟต์แวร์ประสงค์ร้าย" กล่าวคือ เป็นซอฟต์แวร์ใดๆก็ตามที่พยายามเชื่อมต่อเข้ากับระบบคอมพิวเตอร์โดยมีวัตถุประสงค์ที่จะเข้าไปใช้สิทธิ์โดยปราศจากการขออนุญาต และทำให้เกิดผลเสียหายตามมา เช่นทำลายข้อมูล ขโมยข้อมูล หรือใช้ระบบคอมพิวเตอร์ที่ถูกคุกคามนี้ทำงานตามความต้องการ เป็นต้น มัลแวร์ถูกแบ่งได้หลายประเภทขึ้นอยู่ลักษณะการทำงานและอันตรายที่เกิดขึ้น ซึ่งมีตัวอย่างดังต่อไปนี้
  • ไวรัสคอมพิวเตอร์ (Computer Virus) คือโปรแกรมคอมพิวเตอร์ประเภทหนึ่งที่ถูกออกแบบมาให้สามารถแพร่กระจายตัวเองจากไฟล์หนึ่งไปยังไฟล์อื่นๆ ภายในเครื่องคอมพิวเตอร์ ซึ่งโดยปกติแล้วไวรัสคอมพิวเตอร์ไม่สามารถแพร่กระจายจากเครื่องคอมพิวเตอร์หนึ่งไปยังอีกเครื่องหนึ่งได้ด้วยตัวเอง จำเป็นต้องอาศัย "ไฟล์พาหะ หรือ host file" เป็นไฟล์ที่ถูกไวรัสคอมพิวเตอร์ฝังตัวอยู่ ซึ่งไฟล์พาหะนี้จะถูกส่งต่อไปเรื่อยๆ ผ่านทางสื่อต่างๆ ยกตัวอย่างเช่น อีเมล์ การแชร์ไฟล์ ผ่านเครือข่ายอินเทอร์เน็ต รวมทั้งสื่อบันทึกต่างๆ ได้แก่ ดิสก์เก็ต (Disket) หรือไดร์ฟยูเอสบี (USB drive) ได้ เป็นต้น
รูปที่ 3 แสดงภาพการ์ตูนของไวรัสคอมพิวเตอร์
(ออกแบบโดย นายณัฐพงษ์ แสงเลิศศิลปชัย)
  • หนอนอินเทอร์เน็ต (Internet Worm) เป็นสิ่งมีชีวิตในโลกไซเบอร์ที่สร้างผลกระทบรุนแรงต่อระบบเครือข่ายอินเทอร์เน็ตในปัจจุบันเป็นอย่างมาก หนอนอินเทอร์เน็ตเป็นโปรแกรมเล็กๆที่มีความสามารถที่จะแพร่กระจายในะระบบเครือข่ายได้ด้วยตัวมันเอง กล่าวคือไม่จำเป็นต้องอาศัยไฟล์พาหะในการแพร่กระจายเหมือนไวรัสคอมพิวเตอร์ ซึ่งมีลักษณะคล้ายๆกับหนอนผลไม้ทางชีวภาพที่สามารถเคลื่อนที่จากผลไม้ลูกหนึ่งไปยังผลไม้อีกลูกหนึ่งได้โดยที่ไม่ต้องอาศัยพาหะพาไป หนอนอินเทอร์เน็ตอาจจะส่่งตัวเองผ่านทางอีเมล์ แพร่กระจายผ่านทางช่องโหว่ของระบบปฏิบัติการ หรือช่องทางอื่นๆผ่านระบบเครือข่ายอินเทอร์เน็ต เป็นต้น ดังนั้นหนอนอินเทอร์เน็ตจึงมีอัตราการแพร่กระจายสูงและสร้างความเสียหายรุนแรงกว่าไวรัสคอมพิวเตอร์อย่างมาก
รูปที่ 4 แสดงภาพการ์ตูนของหนอนอินเทอร์เน็ต
(ออกแบบโดย นายณัฐพงษ์ แสงเลิศศิลปชัย)
  • ม้าโทรจัน (Trojan horse) ชื่อที่คุ้นหูจากมหากาพย์เมืองทรอยในอดีตของโฮมเมอร์ ถูกนำมาใช้เป็นชื่อของโปรแกรมคอมพิวเตอร์ที่ไม่ได้ถูกออกแบบมาเพื่อสร้างความเสียหายต่อระบบเครือข่ายคอมพิวเตอร์โดยตรงเฉกเช่นเดียวกับไวรัสคอมพิวเตอร์และหนอนอินเทอร์เน็ต แต่ม้าโทรจันถูกออกแบบมาให้แฝงตัวเองเข้าไปในระบบเครือข่ายคอมพิวเตอร์ต่างๆ และมีเจตนาทำสิ่งที่เหยื่อคาดไม่ถึง ดังต่อไปนี้ เช่น
    • ทำลายข้อมูลสำคัญที่ถูกเก็บอยู่ในเครื่องคอมพิวเตอร์ของเหยื่อ
    • เปิดประตูลับหรือ Back door เพ่ือให้แฮกเกอร์สามารถกลับเข้ามาในระบบได้อีก
    • ดักจับหรือขโมยข้อมูลส่วนบุคคลของเหยื่อ เช่นรหัสผ่านเข้าสู่ระบบต่างๆ เลขที่บัตรเครดิต หรือแม้กระทั่งปุ่มแป้นพิมพ์ที่เหยื่อกด เป็นต้น จากนั้นจะส่งข้อมูลความลับเหล่านี้กลับไปยังผู้ประสงค์ร้าย เพื่อที่คนร้ายจะนำไปใช้ประโยชน์ได้ต่อไป
    • ทำการเชื่อมต่อเครื่องคอมพิวเตอร์ของเหยื่อสู่อินเทอร์เน็ต เพื่อให้แฮกเกอร์หรือมัลแวร์อื่นๆ สามารถเชื่อมต่อและทำอันตรายเครื่องคอมพิวเตอร์นี้ได้ รวมทั้งอาจถูกใช้เป็นเครื่องมือในการบุกรุกระบบอื่นต่อไปอีกด้วย
    ม้าโทรจันแตกต่างจากไวรัสคอมพิวเตอร์และหนอนอินเทอร์เน็ตที่ม้าโทรจันนั้นไม่สามารถทำสำเนาตัวเองและแพร่กระจายตัวเองได้ แต่ม้าโทรจันส่วนใหญ่จะแอบแฝงมากับซอฟต์แวร์หลากหลายรูปแบบเช่น เกมส์ การ์ดอวยพร หรือซอฟต์แวร์ผิดลิขสิทธิ์ต่างๆ เป็นต้น โดยซอฟต์แวร์เหล่านี้จะมีลักษณะเชิญชวนหรือหลอกล่อให้เหยื่อหลงเชื่อและดาวน์โหลดมาติดตั้งในเครื่องคอมพิวเตอร์ของเหยื่อโดยไม่ทันระวังตัว
รูปที่ 5 แสดงภาพการ์ตูนของม้าโทรจัน
(ออกแบบโดย นายณัฐพงษ์ แสงเลิศศิลปชัย)
  • ระเบิดเวลา (Logic bomb) เป็นโปรแกรมหรือส่วนของโปรแกรมที่ถูกสร้างขึ้นในซอฟต์แวร์ใดๆก็ตามโดยมีเป้าหมายในการทำลายข้อมูลตามเงื่อนไขที่ผู้เขียนโปรแกรมระเบิดเวลาตั้งขึ้น เช่นวันที่ การกดปุ่มบนแป้นพิมพ์ หรือเงื่อนไขตามพฤติกรรมการใช้งานคอมพิวเตอร์ของเหยื่อ เป็นต้น ซึ่งลักษณะการทำงานดังกล่าวคล้ายกับการทำงานของระเบิดเวลานั่นเอง
  • บ็อตเน็ต (Botnet) ย่อมาจาก Robot Network โดย บ็อต (Bot) เป็นโปรแกรมขนาดเล็กที่ถูกติดตั้งไว้แล้วรอรับคำสั่งของผู้ติดตั้งบ็อต คล้ายกับการสั่งการหุ่นยนต์ให้ทำงานตามคำสั่งนั่นเอง ปกติบ็อตนั้นเป็นโปรแกรมที่ถูกสร้างมาช่วยให้ผู้ติดตั้งนั้นสามารถทำงานบางอย่างโดยอัตโนมัติได้ แต่อาชญากรจึงได้นำลักษณะเด่นนี้มาสร้างบ็อตที่มุ่งประสงค์ร้ายต่อเป้าหมาย ซึ่งเมื่อโปรแกรมบ็อตเหล่านี้ถูกแอบติดตั้งในเครื่องคอมพิวเตอร์ เครื่องเหล่านี้จะกลายเป็น"เครื่องคอมพิวเตอร์ผีดิบ (Zombie machine)" ที่สามารถถูกสั่งให้ทำงานตามคำสั่งของ "ผู้ควบคุมบ็อต (Bot master หรือ Command and Control - C&C)" และเมื่อเครื่องคอมพิวเตอร์ผีดิบเหล่านี้เชื่อมต่อกันผ่านเครือข่ายอินเทอร์เน็ต ก็จะกลายเป็นเครือข่ายของบ็อตจำนวนมหาศาล และนี่จึงเป็นที่มาของคำว่า "บ็อตเน็ต" บ็อตเน็ตสามารถสร้างความเสียหายอย่างรุนแรงต่อระบบเครือข่ายโดยเฉพาะอย่างยิ่งการที่ผู้ควบคุมบ็อตเน็ตสั่งให้เครื่องคอมพิวเตอร์ผีดิบที่อยู่ภายใต้การควบคุมของตนเองจำนวนมหาศาลส่งข้อมูลโดยพร้อมเพรียงกันไปยังเซิร์ฟเวอร์เป้าหมาย ทำให้เซิร์ฟเวอร์เป้าหมายไม่สามารถรองรับข้อมูลปริมาณมหาศาลได้ในเวลาเดียวกันจนส่งผลให้เซิร์ฟเวอร์ต้องหยุดให้บริการ และเทคนิคการโจมตีแบบนี้คือการปฏิเสธการให้บริการแบบกระจาย หรือ Distributed Denial of Service - DDoS 

Wednesday, April 04, 2012

รู้ทันเทคนิคการขโมยข้อมูล

ข้อมูลจัดได้ว่าเป็นทรัพย์สินที่มีค่าอย่างมาก จึงไม่น่าแปลกใจที่อาชญากรอิเล็กทรอนิกส์ทั้งหลายจึงมีความต้องการสิ่งที่มีค่าเหล่านี้ อาจจะเพื่อนำไปใช้แอบอ้างเป็นตัวเหยื่อแล้วก็ขโมยทรัพย์สินมีค่าอื่นๆต่อไป หรือแม้กระทั่งการนำข้อมูลส่วนตัวของเหยื่อไปขายต่อในตลาดมืดก็เป็นได้ ดังนั้นอาชญากรอิเล็กทรอนิกส์จึงได้คิดค้นวิธีการขโมยข้อมูลแบบต่างๆ ดังตัวอย่างต่อไปนี้

การดักฟังข้อมูล (sniffing หรือ eavesdropping) วิธีการที่ง่ายที่สุดในการขโมยข้อมูลคือการแอบดักฟังการสนทนา อาจจะเป็นการแอบดักฟังเสียงคนคุยกันหรือทางโทรศัพท์ รวมไปถึงการดักฟังข้อมูลที่ถูกส่งอยู่ในระบบเครือข่าย แต่แท้จริงแล้วการดักฟังนี้เป็นเหมือนดาบสองคม กล่าวคือถ้าหากเจ้าหน้าที่ดูแลระบบเครือข่ายใช้ก็อาจจะมีวัตถุประสงค์เพื่อตรวจสอบหาความผิดปกติที่เกิดขึ้นภายระบบเครือข่ายของตัวเองได้ แต่หากเป็นอาชญากรแล้วก็อาจจะใช้เทคนิคนี้ในการล้วงดูข้อมูลที่เหยื่อส่งในระบบเครือข่ายก็ได้ ซึ่งทำให้เหยื่ออาจจะสูญเสียรหัสผ่าน ข้อมูลส่วนบุคคลต่างๆ หรือแม้กระทั่งทราบว่าเหยื่อกำลังทำอะไรอยู่ในระบบเครือข่ายได้

รูปที่ 1 แสดงเครื่องมือที่ใช้ในการดักฟังข้อมูลทางระบบเครือข่าย 
แบบทั้งที่เป็นซอฟต์แวร์และฮาร์ดแวร์


การปลอมตัวเพื่อขโมยข้อมูล (social engineering) วิธีการปลอมตัวแบบ Social Engineering นี้เป็นเทคนิคค่อนข้างสูง ซึ่งอาชญากรจะต้องปลอมตัวเป็นบุคคลากรขององค์กรที่จะต้องทำให้คนอื่นๆในองค์กรไม่สงสัย และไม่ทันระวังตัว เช่น อาจจะปลอมตัวเป็นพนักงานขององค์กรนั้น พนักงานทำความสะอาด หรือแม้กระทั่งพนักงานซ่อมคอมพิวเตอร์ เป็นต้น เพื่อที่สามารถเข้าถึงข้อมูลต่างๆภายในองค์กรนั้นๆได้อย่างง่ายดาย เช่นในบางกรณีของการปลอมเป็นช่างซ่อมคอมพิวเตอร์แล้วขอรหัสผ่านของเซิร์ฟเวอร์โดยหลอกว่าจะใช้นำไปเพื่อเปิดเครื่องเพื่อซ่อมแซมเซิร์ฟเวอร์ต่อไป หรือการปลอมตัวเป็นพนักงานทำความสะอาดที่ซึ่งสามารถเดินเข้าออกภายในห้องสำนักงานต่างๆได้ เป็นต้น มีภาพยนตร์เรื่อง "Catch me if you can" ที่อธิบายถึงการปลอมตัวแบบ Social Engineering ได้อย่างดี ซึ่งตัวเอกของเรื่องปลอมตัวเป็นบุคคลสายอาชีพต่างๆ เช่นนักบิน แพทย์ และพนักงานธนาคาร เป็นต้น ดังรูปที่ 2

รูปที่ 2 ภาพจากภาพยนตร์เรื่อง "Catch me if you can" ในฉากที่ตัวเอกปลอมตัวเป็นนักบิน
ภาพประกอบจาก http://www.virginmedia.com/ 

ฟิชชิง (phishing) เป็นเทคนิคการหลอกลวงโดยอาชญากรจะสร้างหน้าเว็บปลอมของธนาคาร สถาบันการเงิน หรือร้านค้าออนไลน์ขึ้นมา โดยหน้าเว็บดังกล่าวมีความคล้ายคลึงกับเว็บต้นฉบับอย่างมาก จนบางครั้งถ้าไม่สังเกตให้ดีก็จะไม่เห็นความแตกต่าง หลังจากนั้นเหล่าอาชญากรจะส่งอีเมล์สแปมให้เหยื่อบอกว่าบัญชีของเหยื่อมี ปัญหา ให้เหยื่อเข้าไปยังเว็บไซต์ปลอมเพื่ออัพเดตข้อมูลบัญชีธนาคารของเหยื่อ หากเหยื่อหลงเชื่อและกรอกข้อมูลส่วนตัวของเหยื่อลงในเว็บไซต์ปลอมจะทำให้ เหยื่อสูญเสียข้อมูลการเข้าถึงเว็บไซต์ที่แท้จริงของธนาคาร และบางครั้งอาจจะถูกสวมรอยทำธุรกรรมด้านการเงินของเหยื่อได้

รูปที่ 3 ตัวอย่างของเว็บฟิชชิงที่เลียนแบบเว็บไซต์ของธนาคารแห่งหนึ่งในประเทศบราซิล

วิชชิง (Vishing) เป็นศัพท์ทางเทคนิคที่ไม่ค่อยได้รับความนิยมมากนัก แต่คนส่วนใหญ่มักรู้จักอาชญากรรมรูปแบบนี้ว่าเป็น "แก๊งค์คอลล์เซ็นเตอร์"  คำว่า "วิชชิง (Vishing)" เป็นคำผสมระหว่าง Voice และ Phishing ซึ่งเมื่อรวมกันแล้วจึงมีความหมายเป็นการขโมยข้อมูลโดยใช้เทคนิคของการปลอมตัวแบบ Social Engineering ที่อาศัยการสื่อสารด้วยเสียงในการหลอกลวง ซึ่งคนร้ายจะปลอมตัวแล้วติดต่อเหยื่อทางโทรศัพท์เพื่อหลอกลวงถามข้อมูลส่วนตัวของเหยื่อหรือหลอกล่อให้เหยื่อดำเนินการตามความต้องการของอาชญากรได้ โดยเทคนิคที่ใช้หลอกลวงนั้นได้แก่ แจ้งว่าเหยื่อเป็นหนี้บัตรเครดิต แจ้งว่าเหยื่อได้รับรางวัล หรือแจ้งว่าเหยื่อกำลังหลบหนีคดีอยู่ เป็นต้น

การคุ้ยขยะ (Dumpster diving) โดยปกติแล้วคนส่วนใหญ่จะไม่สนใจว่ามีใครมาทิ้งอะไรบ้างในถังขยะ แต่ทราบหรือไม่ว่าคนส่วนใหญ่มักจะทิ้งกระดาษข้อมูลส่วนตัวไม่ว่าจะเป็นใบแจ้งหนี้บัตรเครดิต ใบแจ้งค่าบริการต่างๆ หรือแม้กระทั่งเอกสารสำคัญต่างๆ โดยที่ไม่ได้ทำลายเอกสารดังกล่าวก่อน ซึ่งเอกสารสำคัญต่างๆนั้นจะมีข้อมูลส่วนบุคคลของเรามากมาย ยกตัวอย่างเช่น ใบแจ้งยอดการใช้บัตรเครดิต ก็มีทั้งเลขที่บัตรเครดิต ชื่อ-นามสกุล วงเงิน ฯลฯ ซึ่งข้อมูลเหล่านี้เป็นข้อมูลที่จำเป็นที่จะใช้ยืนยันตัวเจ้าของบัตรกับทางธนาคารทั้งสิ้น ดังนั้นอาชญากรอาจจะได้ข้อมูลส่วนตัวของเหยื่อได้จากการคุ้ยถังขยะหน้าบ้านหรือสถานที่ที่เหยื่ออาศัยอยู่ก็ได้



Tuesday, April 03, 2012

การปลอมแปลงระบบหรือข้อมูลและการสวมรอยเป็นบุคคลอื่น

การปลอมแปลงระบบหรือข้อมูลนั้นเป็นกระบวนการหนึ่งที่เหล่าอาชญากรอิเล็กทรอนิกส์ใช้ในการอำพรางตัวเอง จากระบบตรวจจับผู้บุกรุกหรือแม้กระทั่งเจ้าหน้าที่ที่กำลังแกะรอยเหล่าวายร้ายเหล่านี้ ซึ่งการปลอมนั้นก็มีหลากหลายประเภทขึ้นอยู่กับวัตถุประสงค์ในการล่อลวงดังนี้

การปลอมอีเมล์ (Email spoofing) เป็นการสร้างอีเมล์โดยแอบอ้างว่าส่งจากบุคคลใดบุคคลหนึ่ง อาจจะหลอกว่าส่งจากบุคคลที่มีชื่อเสียง หรือหลอกว่าถูกส่งมาจากคนที่เหยื่อรู้จัก เพื่อหลอกให้เหยื่อหลงเชื่อและทำตามรายละเอียดที่กำหนดไว้ในอีเมล์ต่อไปได้ ซึ่งการปลอมอีเมล์นี้อาจจะมีวัตถุประสงค์เพื่อหลอกให้เหยื่อเสียทรัพย์ เพื่อส่งอีเมล์สแปม หรือเพื่อใช้เพื่อหลอกถามข้อมูลส่วนบุคคลของเหยื่อได้ วิธีการปลอมอีเมล์นั้นทำได้หลายวิธี แต่วิธีที่ง่ายและได้รับความนิยมมากที่สุดคือการเชื่อมต่อด้วยคำสั่ง telnet ไปยังพอร์ตหมายเลขที่ 25 หรือบริการสำหรับส่งเมล์ - SMTP (Simple Mail Transfer Protocol) ซึ่งถ้าหากระบบผู้ให้บริการส่งอีเมล์เปิดระบบการส่งอีเมล์แบบรีเลย์ (Relay) ก็จะทำให้นักเจาะระบบสามารถใช้วิธีการปลอมอีเมล์นี้ส่งอีเมล์ปลอมไปหาใครก็ได้ จากรูปที่ 1 อาชญากรอิเล็กทรอนิกส์นั้นอาศัยเซิร์ฟเวอร์ sample.com ส่งอีเมล์ปลอมต่อไปยัง victim@yahoo.com ที่เป็นอีเมล์ต่างโดเมนกัน ซึ่งเมล์เซิร์ฟเวอร์โดยทั่วไปนั้นไม่ควรอนุญาตให้ส่งต่อไปยังโดเมนภายนอกได้

รูปที่ 1 แสดงลักษณะการทำรีเลย์ของเมล์เซิร์ฟเวอร์

การปลอมแมคและไอพี (Mac and IP address spoofing) แมคแอดเดรส เป็นหมายเลขประจำตัวของการ์ดแลนแต่ละใบ มีลักษณะเป็นชุดข้อมูล 6 ชุด แต่ละชุด มีค่าตั้งแต่ 00 - FF ซึ่งข้อมูล 3 ชุดด้านหน้าใช้ระบุบริษัทที่ผลิตการ์ดแลนนั้นๆ ส่วนไอพีแอดเดรสนั้นเป็นหมายเลขประจำเครื่องคอมพิวเตอร์สำหรับเชื่อมต่ออินเทอร์เน็ต ซึ่งมีลักษณะ เป็นเลข 4 ชุด แต่ละชุดมีค่าตั้งแต่ 0-255 และมีจุดคั้นระหว่างตัวเลขแต่ละชุด ดังนั้นการปลอมแมคและไอพีนั้นเองก็เป็นอีกวิธีที่อาชญากรอิเล็กทรอนิกส์นิยมใช้เพื่อปิดบังอำพรางตัวเองมิให้เจ้าหน้าที่สามารถแกะรอยและตามจับได้สำเร็จ และยังอาจมีจุดประสงค์เพื่อจะลักลอบเข้าไปใช้งานระบบอื่นๆโดยเสมือนกับเป็นบุคคลภายในระบบเครือข่ายเดียวกัน นอกจากนี้การปลอมแมคและไอพียังสามารถนำมาใช้เพื่อหลอกล่อให้เหยื่อหลงเชื่อว่านี่เป็นเครื่องคอมพิวเตอร์ที่ต้องการเชื่อมต่อจริงๆ และส่งข้อมูลส่วนตัวของเหยื่อมาให้ก็เป็นได้ ซึ่งจากรูปที่ 2 เป็นตัวอย่างผลการปลอมหมายเลขแมคแอดเดรส ให้เป็นค่า AA-AA-AA-AA-AA-AA

รูปที่ 2 แสดงผลการปลอมแมคแอดเดรส

การสวมรอยเป็นบุคคลอื่น (Impersonation) ในโลกของอินเทอร์เน็ตเราสามารถเป็นอะไรก็ได้ที่เราอยากเป็น ซึ่งอาจจะเหมือนหรือแตกต่างจากโลกความเป็นจริง หรือแม้กระทั่งอยู่ในจินตนาการก็ตาม ดังนั้นจึงไม่น่าแปลกใจว่าบ่อยครั้งจะเห็นในข่าวว่ามีการใช้ชื่อปลอมเป็นบุคคลที่มีชื่อเสียง อาจจะด้วยต้องการเลียนแบบบุคคลที่ชื่นชอบ หรือเพื่อจงใจอาศัยชื่อเสียงของบุคคลเหล่านี้ล่อลวงผู้อื่น เช่นมีคนสร้างบัญชีในเครือข่ายสังคมออนไลน์ (Social media) โดยใช้ชื่อของดารานักร้องที่มีชื่อเสียง จากนั้นก็หลอกลวงให้เหยื่อบริจาคเงินให้ตัวเอง นอกนี้การสวมรอยเป็นบุคคลอื่นอาจจะทำเพื่อทำลายชื่อเสียงของบุคคลนั้น หรือทำเพื่อใช้ในการแอบขโมยทรัพย์สิน โดยเฉพาะอย่างยิ่งข้อมูลต่างๆ เป็นต้น การหลอกลวงนี้จะคล้ายๆกับการทำ Social engineering ซึ่งขอกล่าวในบทถัดไป

Monday, April 02, 2012

การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized Access)

การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized Access) หมายถึง การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์ โดยปราศจากสิทธิ์หรือการขออนุญาต ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์ หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฎระเบียบของกิจการหรือการกระทำที่ผิดกฎหมาย


ภาพประกอบจาก http://www.thenewnewinternet.com/


การเจาะระบบ (hacking) เป็นการเข้าถึงระบบคอมพิวเตอร์หรือเครือข่ายอื่นๆ โดยใช้วิธีการต่างๆ เพื่อให้ได้มาซึ่งสิทธิ์ของผู้ดูแลระบบ หรือเพื่อก่อกวนให้ระบบนั้นทำงานผิดพลาด และใช้งานไม่ได้อีกด้วย การเจาะระบบนี้มีด้วยกันหลากหลายวิธีและไม่ได้เจาะจงวิธีการใดวิธีการหนึ่ง แต่ดูเพียงผลสุดท้ายของการกระทำที่จงใจให้ได้มาซึ่งสิทธิ์ของผู้ดูแลระบบ

การเดารหัสผ่านแบบถึก (Brute force) เป็นการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ที่มีการป้องกันด้วยรหัสผ่าน แต่เนื่องจากผู้กระทำผิดนี้ไม่ทราบรหัสผ่านของเหยื่อ จึงทำการเดารหัสผ่าน ซึ่งวิธีการเดารหัสผ่านแบบถึกนี้ เป็นวิธีการเดารหัสผ่านที่ไม่ต้องใช้เทคนิคพิเศษ เพียงแค่เรียงลำดับตัวอักษรตามความเป็นไปได้ทั้งหมดเท่านั้นเอง กล่าวคือ จากรูปที่ 1 ผู้กระทำผิดอาจจะเดาจาก aaa, aab, aac, .... ไล่ไปเรื่อยๆ จนพบรหัสผ่านที่สามารถจะเข้าไปยังบัญชีของเหยื่อได้ ดังนั้นการเดารหัสผ่านด้วยวิธีนี้จำเป็นจะต้องใช้การประมวณผลของหน่วยประมวณผลกลาง (ซีพียู หรือ CPU) อย่างมาก ดังนั้นถ้าหากเครื่องคอมพิวเตอร์ที่ใช้ในการเดารหัสผ่านแบบถึกนี้มีหน่วยประมวณผลกลางที่มีความเร็วสูง ก็จะสามารถค้นหารหัสผ่านพบได้เร็วขึ้นด้วย

 
รูปที่ 1 แสดงกระบวนการเดารหัสผ่านแบบถึก

การเดารหัสผ่านด้วยพจนานุกรม (Dictionary Attack) เนื่องจากการเดารหัสผ่านแบบถึกนั้นจำเป็นจะต้องใช้เครื่องคอมพิวเตอร์ที่มีประสิทธิภาพสูง อย่างไรก็ตามก็ยังต้องใช้เวลานานมากกว่าจะค้นพบรหัสผ่าน ถ้าหากรหัสผ่านมีจำนวนตัวอักษรมาก อาจจะต้องใช้เวลาค้นหาเป็นปี แต่โดยทั่วไปแล้วคนทั่วไปจะตั้งรหัสผ่านโดยใช้คำที่มีความหมายเนื่องจากคำเหล่านี้ง่ายต่อการจดจำ ดังนั้นผู้กระทำผิดจึงมีคลังคำศัพท์ที่เหยื่อส่วนใหญ่อาจจะใช้ในการตั้งรหัสผ่าน หรืออาจจะนำคำที่ปรากฏอยู่ในพจนานุกรม เพื่อมาใช้ในการเดารหัสผ่านของเหยื่อได้ จากรูปที่ 2 แสดงลักษณะการเดารหัสผ่านโดยนำคำมาจากคลังคำศัพท์มาใช้


รูปที่ 2 แสดงลักษณะการเดารหัสผ่านด้วยคำที่อยู่ในคลังคำศัพท์

การชนกันของแฮช (Hash collision) เนื่องด้วยระบบการจัดเก็บรหัสผ่านของระบบคอมพิวเตอร์ส่วนใหญ่จะไม่ได้เก็บข้อมูลรหัสผ่านตรงๆ แต่จะผ่านกระบวนการในการเข้ารหัสด้วยวิธีการแฮช (Hash) ซึ่งจะทำให้รหัสผ่านที่ถูกจัดเก็บนั้นไม่สามารถถูกอ่านได้ อีกทั้งการแฮชนั้นเป็นการเข้ารหัสแบบทางเดียว กล่าวคือสามารถแปลงข้อมูลจากข้อมูลธรรมดาเป็นข้อมูลเข้ารหัสได้เท่านั้น แต่ไม่สามารถแปลงกลับจากข้อมูลที่เข้ารหัสให้เป็นข้อมูลธรรมดาได้ และในกระบวนการพิสูจน์ตัวตน (Authentication) ผู้ใช้งานจะป้อนรหัสผ่านที่เป็นข้อมูลธรรมดา แล้วระบบจะแปลงให้เป็นค่าแฮชและนำไปเปรียบเทียบกับค่าแฮชของรหัสผ่านที่ถูกเก็บไว้อยู่ในระบบ ถ้าค่าแฮชทั้งสองตรงกันก็จะอนุญาตให้ผู้ใช้งานสามารถเข้าใช้งานได้ แต่อย่างไรก็ตามการทำแฮชนั้นยังมีจุดอ่อนที่มีความเป็นไปได้ที่ข้อมูลธรรมดา 2 ชุดข้อมูลจะแปลงได้ค่าแฮชที่ตรงกัน ค่าแฮชที่ตรงกันนี้เรียกว่าเกิดการชนกันของแฮช (Hash collision) นั่นเอง

รูปที่ 3 แสดงลักษณะการชนกันของแฮช

ตารางสายรุ้ง (Rainbow table) เนื่องจากระบบการจัดเก็บรหัสผ่านนั้นเก็บด้วยค่าแฮช และยังอาจเกิดการชนกันของแฮช ดังนั้นจึงมีนักเจาะระบบคิดค้นวิธีการเจาะระบบด้วยการนำจุดอ่อนของการชนกันของแฮชมาใช้ในการสร้างตารางสายรุ้ง ที่จะเก็บค่าของแฮชและค่าของข้อมูลธรรมดาที่ถูกใช้เป็นรหัสผ่าน ซึ่งนักเจาะระบบจะขโมยค่าแฮชของรหัสผ่านที่ถูกจัดเก็บไว้ในระบบออกมา แล้วนำค่าแฮชมาเปรียบเทียบถ้าหากมีค่าแฮชใดในตารางสายรุ้งตรงกับค่าแฮชของรหัสผ่าน นักเจาะระบบก็จะนำค่ารหัสผ่านไปใช้ในการเข้าสู่ระบบของเหยื่อได้เลย การเจาะระบบด้วยวิธีนี้จะอาศัยจุดอ่อนของการชนกันของแฮช ดังรูปที่ 4 จะเห็นว่าถ้าหากมีค่าแฮชของรหัสผ่านที่ถูกเก็บในระบบมีค่าเป็น "bf787577ff656cde5b5d1f8236a75d2a" นักเจาะระบบก็จะเดารหัสผ่านของเหยื่อเป็นคำว่า "rootkit" ก็จะสามารถเข้าสู่ระบบได้โดยที่ไม่ต้องสนใจว่าที่จริงแล้วเหยื่อได้ตั้งรหัสผ่านไว้ว่าอย่างไร เป็นต้น

รูปที่ 4 แสดงรูปแบบของตารางสายรุ้ง

การสแกนพอร์ต (Port scanning) เป็นเทคนิคที่ใช้ในการค้นหาบริการของระบบที่เปิดให้บริการอยู่ เพื่อที่จะนำข้อมูลเหล่านี้ไปใช้ค้นหาจุดอ่อนของระบบต่อไป การสแกนพอร์ตส่วนใหญ่นั้นจะอาศัยลักษณะการติดต่อของโพรโตคอลทีซีพีไอพี (TCP/IP) ซึ่งโดยปกติแล้วระบบที่เชื่อมต่อสู่ระบบเครือข่ายนั้นจะต้องมีพอร์ตไว้รองรับการเชื่อมต่อ เปรียบเสมือนประตูและหน้าต่างของระบบนั่นเอง ซึ่งนักเจาะระบบส่วนใหญ่ต้องการข้อมูลเหล่านี้เพื่อนำไปใช้ในการเจาะระบบต่อไป

Monday, March 12, 2012

อาชญากรอิเล็กทรอนิกส์

จากบทความก่อนเรื่อง รูปแบบอาชญากรรมทางอิเล็กทรอนิกส์ ทำให้เราเข้าใจถึงความหมายของคำว่าอาชญากรรมอิเล็กทรอนิกส์ แต่การก่ออาชญากรรมได้นั้นจำเป็นต้องมีผู้กระทำ ผู้กระทำนั้นก็คืออาชญากร ดังนั้นในบทความนี้ เราจะมาทำความเข้าใจกับอาชญากรอิเล็กทรอนิกส์กันนะครับ 

 ภาพประกอบจาก http://www.acpo.org/computercrimes.html

เป็นที่ทราบกันอยู่แล้วนะครับอาชญากรอิเล็กทรอนิกส์ คือผู้ที่กระทำผิดกฎหมายโดยอาศัยอุปกรณ์อิเล็กทรอนิกส์ เช่น คอมพิวเตอร์ โทรศัพท์มือถือ และอุปกรณ์สื่อสารต่างๆ ฯลฯ เป็นเครื่องมือ รูปแบบของอาชญากรอิเล็กทรอนิกส์นั้นมีหลากหลายประเภทขึ้นอยู่กับจุดประสงค์และวิธีการการโจมตี ดังนั้นในบทความนี้จะอธิบายถึงรายละเอียดของอาชญากรอิเล็กทรอนิกส์ในแต่ละประเภทดังต่อไปนี้

ตัวอย่างของอาชญากรอิเล็กทรอนิกส์
  1. แฮกเกอร์ (Hacker) แท้จริงแล้วแฮกเกอร์คือผู้ที่มีความเชี่ยวชาญด้านคอมพิวเตอร์ และใช้ความรู้ความสามารถด้านนี้ในการค้นหา ตรวจสอบจุดอ่อนของระบบ โดยมีวัตถุประสงค์เพื่อที่จะแก้ไข ปรับปรุงให้ระบบคอมพิวเตอร์มีความเข้มแข็ง ปลอดภัยมากยิ่งขึ้น
    • แฮกเกอร์หมวกขาว (White hat hacker) ตามคำนิยามแล้วคือผู้ที่มีความรู้ความสามารถในคอมพิวเตอร์นั้น หาช่องโหว่หรือจุดอ่อนของระบบคอมพิวเตอร์หรือซอฟต์แวร์ต่างๆ เมื่อพบแล้วจะแจ้งแก่ผู้ดูแลระบบหรือผู้พัฒนาซอฟต์แวร์ดังกล่าวทราบ เพื่อให้ทำการแก้ไขก่อนจะเกิดความเสียหาย ซึ่งส่วนใหญ่จะแจ้งกันหรือคุยกันเป็นการส่วนตัวระหว่างแฮกเกอร์กับผู้ดูแล เขาจะไม่บอกจุดอ่อนดังกล่าวแบบโจ่งแจ้งในที่สาธารณะ ดังนั้นแฮกเกอร์หมวกขาวจึงทำงานปิดทองหลังพระ ไม่ค่อยมีคนรู้จักเท่าไร อย่างไรก็ตามปัจจุบันก็มีอาชีพ"นักทดสอบความปลอดภัยของระบบ หรือ Penetration tester"เป็นการนำความรู้ความสามารถของแฮกเกอร์หมวกขาวช่วยทดสอบการรักษาความปลอดภัยของระบบ ซึ่งต้องได้รับคำยินยอมจากผู้ดูแลระบบก่อน
    • แฮกเกอร์หมวกดำ (Black hat hacker) มีอีกชื่อหนึ่งว่า "แครกเกอร์ (Cracker)" มีลักษณะตรงกันข้ามกับแฮกเกอร์หมวกขาว คือใช้คามรู้ความสามารถในการค้นหาช่องโหว่ของระบบคอมพิวเตอร์หรือซอฟต์แวร์เหมือนกัน แต่เมื่อเจอแล้วจะไม่รายงานแก่ผู้ดูแลระบบ และจะอาศัยช่องโหว่ดังกล่าวเพื่อเข้าไปดู เปลี่ยนแปลง ทำซ้ำ แก้ไข หรือลบทำลายข้อมูล นอกจากนี้ในบางครั้งยังเปิดเผยช่องโหว่ดังกล่าวแก่สาธารณะเพื่อแจ้งแฮกเกอร์รายอื่นอีกด้วย
    • แฮกเกอร์หมวกเทา (Grey hat hacker) เป็นแฮกเกอร์ที่มีลักษณะผสมผสานระหว่างหมวกขาวและหมวกดำ ซึ่งไม่สามารถจำกัดว่าเป็นคนดีหรือไม่ เนื่องจากแฮกเกอร์กลุ่มนี้จะค้นหาในอินเทอร์เน็ตเรื่อยๆ ถ้าหากระบบใดมีช่องโหว่ที่ทำให้เขาสามารถเจาะเข้าไปได้ ก็จะแจ้งเตือนไปยังผู้ดูแลระบบถึงจุดอ่อนของระบบ หรือแม้กระทั่งเสนอตัวเองเพื่อช่วยเหลือโดยมีค่าตอบแทนบ้างเล็กน้อย
    • สคริปส์คิดดี้ (Script kiddie) เป็นกลุ่มแฮกเกอร์ที่แตกต่างจากกลุ่มอื่นๆ เนื่องจากแฮกเกอร์กลุ่มนี้ไม่จำเป็นต้องอาศัยความรู้ทางด้านเทคนิคมาก แต่จำเป็นต้องรู้วิธีการค้นหาเครื่องมือเพื่อใช้ในการโจมตี
  2. สแปมเมอร์ (Spammer) เป็นผู้ที่ส่งอีเมลที่มีข้อความโฆษณาไปให้โดยไม่ได้รับอนุญาตจากผู้รับ ซึ่งอีเมล์ข้อความโฆษณานี้เรียกว่า สแปมเมล์ (Spammail) การส่งสแปมเมล์ส่วนใหญ่ทำเพื่อการโฆษณาเชิงพาณิชย์ มักจะเป็นสินค้าที่น่าสงสัย หรือการเสนองานที่ทำให้รายได้อย่างรวดเร็ว หรือบริการที่ก้ำกึ่งผิดกฏหมาย โดยผู้ส่งอาจจะปกปิด บิดเบือน ปลอมแปลง ข้อมูลส่วนตัวของผู้ส่ง และผู้ส่งจะเสียค่าใช้จ่ายในการส่งไม่มากนัก แต่ผลกระทบที่ตามมาหากผู้รับหลงเชื่อ อาจทำให้ผู้รับจะต้องสูญเสียทรัพย์สิน ข้อมูลส่วนตัว หรือถูกหลอกให้เป็นเหยื่อในการโจมตีระบบเครือข่ายของหน่วยงานอื่นต่อไป
  3. ฟิชเชอร์ (Phisher) คือผู้ที่ก่ออาชญากรรมประเภทฟิชชิ่ง (Phishing) ซึ่งเป็นภัยคุกคามที่ฟิชเชอร์จะสร้างหน้าเว็บไซต์เลียนแบบเว็บไซต์ของสถาบันการเงิน ร้านค้าออนไลน์ หรือเว็บไซต์ที่มีระบบยืนยันตัวตน หน้าเว็บไซต์เลียนแบบนี้เรียกว่าหน้า "ฟิชชิ่ง" โดยจุดมุ่งหมายของฟิชเชอร์ก็เพื่อจะขโมยหรือเก็บข้อมูลการยืนยันตัวตน (บัญชีผู้ใช้ และรหัสผ่าน) และอาจจะนำข้อมูลเหล่านี้ไปจำหน่ายหรือนำไปเข้าสู่ระบบโดยแอบอ้างเป็นตัวเราได้
  4. คนสร้างมัลแวร์ (Malware author) คำว่า "มัลแวร์ หรือ  Malware" ย่อมาจากคำว่า Malicious Software ซึ่งหมายถึง ซอฟต์แวร์ใดๆก็ตามที่แอบติดตั้งในระบบของเราโดยมีวัตถุประสงค์เพื่อสร้างความเสียหายแก่ระบบคอมพิวเตอร์และข้อมูลที่อยู่ภายใน ดังนั้นคนสร้างมัลแวร์คือผู้ที่ออกแบบ และเขียนโปรแกรมที่มุ่งเน้นที่จะก่อกวนหรือสร้างความเสียหายแก่ระบบคอมพิวเตอร์และข้อมูล อีกทั้งยังรวมไปถึงผู้เผยแพร่โค้ดหรือไฟล์มัลแวร์ผ่านช่องทางการสื่อสาร เช่นอีเมล์ เว็บไซต์ และ โทรศัพท์เคลื่อนที่ ฯลฯ หรือแม้กระทั่งสื่อบันทึกต่างๆ ไม่ว่าจะเป็น ดิสก์เก็ต ยูเอสบีไดร์ฟ และไฟล์ที่ถูกฝังโค้ดมัลแวร์ต่างๆ ด้วย
  5. ผู้ควบคุมบ็อตเน็ต (Botnet operator) เป็นผู้ที่ไม่ได้มีจุดประสงค์เจาะระบบใดๆ แต่ผู้ควบคุมบ็อตเน็ตนั้นจะส่งโปรแกรมบ็อตซึ่งอาจส่งมาในรูปแบบคล้ายๆกับการส่งมัลแวร์ เมื่อคอมพิวเตอร์หรือระบบเครือข่ายใดก็ตามถูกบ็อตติดตั้งเรียกว่า "เครื่องคอมพิวเตอร์ผีดิบ หรือ Zombie machine" เมื่อมีจำนวนเครื่องคอมพิวเตอร์ผีดิบมากๆ และเชื่อมต่อกันผ่านอินเทอร์เน็ตจึงกลายเป็นระบบเครือข่ายคอมพิวเตอร์ผีดิบขนาดใหญ่ จึงเรียกว่า "บ็อตเน็ต" และคอมพิวเตอร์ต่างๆเครือข่ายนี้ตกอยู่ภายใต้อำนาจและการควบคุมของผู้ควบคุมบ็อตเน็ตนี้ ดังนั้นจึงทำให้ผู้ควบคุมบ็อตเน็ตสามารถส่งคำสั่งไปยังเครื่องคอมพิวเตอร์ผีดิบเหล่านี้โจมตีหรือก่อกวนระบบเครือข่ายอื่นๆ ไม่ว่าจะเป็นการส่งสแปมเมล์ หรือการรบกวนการเข้าถึง (Distributed Denial of Service) เป็นต้น
  6. ผู้ก่อการร้าย (Terrorist) ผู้ก่อการร้ายพยายามที่จะทำลาย ก่อกวน หรือสร้างความเสียหายแก่ระบบโครงสร้างพื้นฐาน (Critical infrastructures) เช่นระบบสาธารณูปโภค ระบบขนส่ง ระบบสื่อสาร หรือระบบการรักษาพยาบาล ฯลฯ  โดยมีวัตถุประสงค์เพื่อที่จะคุกคามความมั่นคงของชาติ ซึ่งทำให้เกิดผลกระทบรุนแรงเช่น การบาดเจ็บล้มตายจำนวนมาก ภาวะเศรษฐกิจชะลอตัว และทำลายขวัญ กำลังใจและความเชื่อมั่นของประชาชน เป็นต้น


Thursday, February 09, 2012

รูปแบบการก่ออาชญากรรมอิเล็กทรอนิกส์

ในปัจจุบันความก้าวหน้าทางเทคโนโลยีมีบทบาทสำคัญในชีวิตประจำวันของเรา ตลอดจนการให้บริการต่างๆก็นำเทคโนโลยีมาเพิ่มประสิทธิภาพอีกด้วย ซึ่งจะสังเกตได้จากชื่อบริการต่างๆ ที่เปลี่ยนไปโดยเติมคำว่า "e-" ที่หมายถึง อิเล็กทรอนิกส์ นำหน้าชื่อบริการต่างๆ เช่น อี-คอมเมิร์ซ (e-commerce) อี-เลิร์นนิ่ง (e-learning) หรือ แม้กระทั่งรัฐบาลอิเล็กทรอนิกส์ (e-government) เองก็ตาม ด้วยสาเหตุนี้เองอาชญากรจึงได้อาศัยเทคโนโลยีก่ออาชญากรรมด้วย ซึ่งก่อให้เกิดคำว่า อาชญากรรมทางอิเล็กทรอนิกส์ หรือ e-crime ด้วย

ภาพประกอบ http://www.silicon.com/

ดังนั้นอาชญากรรมทางอิเล็กทรอนิกส์ หรือ E-crime หมายถึง การกระทำผิดกฎหมายใด ๆ ซึ่งใช้เทคโนโลยีของอุปกรณ์อิเล็กทรอนิกส์ เช่น คอมพิวเตอร์ โทรศัพท์มือถือ และอุปกรณ์สื่อสารต่างๆ ฯลฯ เป็นเครื่องมือ อันทำให้เหยื่อได้รับ ความเสียหาย และผู้กระทำได้รับผลประโยชน์ตอบแทน ซึ่งในการสืบสวนสอบสวนของพนักงานเจ้าหน้าที่เพื่อนำผู้กระทำผิดมาดำเนินคดี ต้องใช้ความรู้ทางเทคโนโลยีเช่นเดียวกัน นอกจากนี้ยังมีคำศัพท์ที่มีความหมายใกล้เคียงกัน เช่น อาชญากรรมคอมพิวเตอร์ (computer crime) และ อาชญากรรมไซเบอร์ (cyber crime) ด้วย

อาชญากรรมอิเล็กทรอนิกส์ถูกแบ่ง ๘ ได้ประเภทตามลักษณะของการกระทำผิด ซึ่งประเภทของอาชญากรรมอิเล็กทรอนิกส์และตัวอย่างการกระทำผิดมีดังต่อไปนี้
  1. การเข้าถึงระบบและข้อมูลโดยมิได้รับอนุญาต 
    1. การเจาะระบบ (hacking)
    2. การเดารหัสผ่านแบบถึก (Brute force)
    3. การเดารหัสผ่านด้วยดิกชั่นนารี (Dictionary Attack)
    4. การชนกันของแฮช (Hash collision) 
    5.  การสแกนพอร์ต (Port scanning)
  2. การปลอมแปลงระบบหรือข้อมูลและการสวมรอยเป็นบุคคลอื่น
    1. การปลอมอีเมล์ (Email spoofing)
    2. การปลอมแมคและไอพี (Mac and IP spoofing)
    3. การสวมรอยเป็นบุคคลอื่น (Impersonation)
  3. การขโมยข้อมูล
    1. การดักฟังข้อมูล (sniffing)
    2. การปลอมตัวเพื่อขโมยข้อมูล (social engineering)
    3. ฟิชชิง และ วิชชิ่ง (phishing and vishing)
    4. การคุ้ยขยะ (Dumpster diving)
  4. การทำลายระบบหรือก่อกวนให้ระบบไม่สามารถให้บริการได้ตามปกติ
    1. การปฏิเสธการให้บริการ (Denial of Service - DoS)
    2. มัลแวร์  (Malware)
      • ไวรัส หนอนอินเทอร์เน็ต ม้าโทรจัน ระเบิดเวลา
    3. บ็อตเน็ต (Botnet)
  5. การส่งสแปม โฆษณาชวนเชื่อ และอีเมล์หลอกลวงต่างๆ
    1. สแปมเมล์ (Spam mail)
    2. ข่าวหลอกหลวง (Hoax)
    3. สปายแวร์ และ แอดแวร์ (Spyware and Adware)
  6. การเผยแพร่เนื้อหาที่ไม่เหมาะสม
    1. การเผยแพร่ข้อความหมิ่นประมาท
    2. การเผยภาพอนาจาร
    3. การพนันออนไลน์
  7. การละเมิดสิทธิส่วนบุคคล
    1. การสะกดรอยทางไซเบอร์ (Cyber stalking)
    2. การใช้ข้อมูลส่วนบุคคลทำธุรกรรมแทน
  8. การก่อการร้าย
    1. การก่อการร้าย (Cyber terrorists)
 ในบทความถัดไปจะอธิบายแต่ภัยคุกคามในแต่ละหัวข้อ และหากใครมีข้อมูลเพิ่มเติม สามารถแจ้งได้นะครับ ที่เฟซบุค http://www.facebook.com/kitisak.note หรือ ทวิตเตอร์ @kitisak นะครับ

Thursday, January 19, 2012

คาดการณ์ภัยร้ายที่อาจมาพร้อมกับ Smart TV

หลังจากที่ช่วงนี้ผมเตรียมสไลด์สำหรับบรรยายอยู่นั้นผมก็ดันไปนึกถึงว่าเมื่อก่อนเคยคิดเล่นๆว่า จะทำอย่างไรถ้าหากไวรัสติดที่ตู้เย็น เลยมาเปรียบเทียบกับความเป็นไปได้ในปัจจุบัน เลยพบถึงความน่าสนใจที่อาจจะเกิดขึ้นในอนาคตอันใกล้นี้ก็ได้

***หมายเหตุ บทความนี้เป็นเพียงความคิดเห็นของผู้เขียนเท่านั้น ไม่ได้ต้องการสร้างความตื่นตระหนก เพียงแค่อยากให้เห็นว่าภัยร้ายมักจะมาควบคู่กับเทคโนโลยี

ก่อนหน้านี้นั้นผมเรียนรู้ว่าเมื่อมีการใช้ IPv6 จะทำให้อุปกรณ์อิเล็กทรอนิกส์ได้รับไอพีและเชื่อมต่ออินเทอร์เน็ตได้ แต่จนปัจจุบันนี้ผมก็ยังไม่เคยเห็นอุปกรณ์อิเล็กทรอนิกส์ที่ออกมารองรับ IPv6 เลยครับ จนผมเคยพูดเล่นๆกับเพื่อนๆว่าต่อไปเราอาจจะไม่ต้องแก้ปัญหาไวรัสบนเครื่องคอมพ์อย่างเดียว เราอาจจะต้องไปกำจัดไวรัสที่ติดในตู้เย็น ทีวี เครื่องเสียงก็เป็นได้ ณ เวลานั้นคงเป็นเพียงจินตนาการเพ้อฝันแบบเด็กๆก็ได้ แต่มาในวันนี้เมื่อผมได้เห็นโฆษณาโทรทัศน์อัจฉริยะ (Smart TV) ทำให้แนวความคิดที่ผมเคยคิดเล่นๆมันย้อนกลับมาทำให้ผมอยากเขียนบทความนี้

โทรทัศน์อัจฉริยะคืออะไร
จากนิยามที่วิกิพีเดียกล่าวไว้ โทรทัศน์อัจฉริยะเป็นคำที่ใช้เรียกการผสมผสานของอินเทอร์เน็ตและเว็บ 2.0 เข้ากับชุดโทรทัศน์และ Set-top boxes (เป็นอุปกรณ์ที่ต่อเพิ่มเข้ากับโทรทัศน์ เพื่อใช้รับสัญญาณโทรทัศน์) ซึ่งอาจจะกล่าวได้ว่าเป็นการนำคอมพิวเตอร์มายัดใส่ในโทรทัศน์หรือ Set-top boxes ก็ได้ ดังนั้นโทรทัศน์อัจฉริยะจึงมีระบบปฏิบัติการคล้ายคอมพิวเตอร์ ผู้ใช้สามารถติดตั้งโปรแกรมได้ และที่สำคัญสามารถเชื่อมต่ออินเทอร์เน็ตได้ ระบบปฏิบัติการที่ใช้ในโทรทัศน์อัจฉริยะส่วนใหญ่จะใช้ระบบปฏิบัติการคล้ายที่ติดตั้งบนโทรศัพท์อัจฉริยะ (Smartphone) และ แท็บเบล็ต (Tablet) ซึ่งเป็นลีนุกซ์ แอนดรอยด์ และซอฟต์แวร์ประเภทโอเพ่นซอร์ส


รูปที่ 1 แสดงภาพของโทรทัศน์อัจฉริยะ 
(ภาพประกอบจาก http://www.chipchick.com/2011/05/smart-tv-apps.html)

อนาคตภัยที่อาจจะเกิดขึ้น

  • เจาะระบบ (Hacking) อย่างที่เราทราบกันว่าโทรทัศน์อัจฉริยะนั้นมีคอมพิวเตอร์อยู่ข้างใน กล่าวคือมีระบบปฏิบัติการลีนุกซ์ เช่น มีโก้ (Meego) อูบันตู (Ubuntu) หรือระบบปฏิบัติการสำหรับอุปกรณ์มือถือต่างๆ เช่นแอนดรอยด์ (Android) ถูกติดตั้งมาพร้อมกับความสามารถเชื่อมต่ออินเทอร์เน็ตได้อีกด้วย ถ้ายิ่งผู้ใช้งานนั้นท่องอินเทอร์เน็ตโดยใช้โทรทัศน์อัจฉริยะ รหัสผ่านของบัญชีผู้ใช้งานต่างๆ หรือข้อมูลส่วนตัว ก็ถูกบันทึกไว้ในเครื่องโทรทัศน์อีกด้วย ดังนั้นไม่น่าจะแปลกใจถ้าหากแฮกเกอร์จะเจาะระบบที่โทรทัศน์อัจฉริยะที่เต็มไปด้วยข้อมูลส่วนบุคคลที่มีค่าอย่างมากของผู้ใช้งาน
รูปที่ 2 แสดงหน้าจอของ อูบันตูทีวี (Ubuntu TV) ซึ่งติดตั้งระบบปฏิบัติการลีนุกซ์อูบันตู
  • มัลแวร์ (Malware) หรือไวรัสคอมพิวเตอร์ หลังจากที่แฮกเกอร์สามารถแฮกโทรทัศน์อัจฉริยะได้แล้ว มีความเป็นไปได้สูงที่จะทำการฝังม้าโทรจันหรือเปิดประตูลับไว้สำหรับที่จะทำให้แฮกเกอร์สามารถย้อนกลับเข้ามาในเครื่องได้อีก นอกจากนี้อาจจะทำการติดตั้งโปรแกรมดักจับปุ่มกดต่างๆ เพื่อลักลอบเก็บข้อมูลส่วนบุคคลเช่นชื่อบัญชี รหัสผ่าน และข้อมูลบัตรเครดิต เป็นต้น มัลแวร์หรือไวรัสคอมพิวเตอร์นั้นเป็นเพียงซอฟต์แวร์ชนิดหนึ่ง ดังนั้นเมื่อโทรทัศน์อัจฉริยะมีระบบปฏิบัติการถูกติดตั้งอยู่ภายใน จึงเป็นเรื่องง่ายที่มัลแวร์จะถูกติดตั้งในโทรทัศน์ได้อย่างง่ายดาย
  • ทำสงครามข้อมูลข่าวสาร (Information warfare) ต่อไปเมื่อผู้ใช้งานสามารถท่องอินเทอร์เน็ตผ่านโทรทัศน์ได้ การเผยแพร่ข่าวสารผ่านโทรทัศน์อัจฉริยะขึงเป็นอีกหนึ่งช่องทางเผยแพร่ข่าวสารที่มีประสิทธิและรวดเร็วซึ่งบางครั้งเร็วกว่าข่าวจากรายการทางโทรทัศน์อีกด้วย ดังนั้นมีความเป็นไปได้ที่อาจจะมีผู้ประสงค์ร้ายอาศัยช่องทางนี้ในการเผยแพร่ข่าวสารผิดๆ เพื่อสร้างความตื่นตระหนกให้กับประชาชน อีกทั้งอาจจะเป็นการทำลายชื่อเสียงของบางคนได้อีกด้วย
  • สแปม (Spam) การโฆษณาในรายการโทรทัศน์นั้นต้องเสียค่าใช้จ่ายค่อนข้างสูง เมื่อโทรทัศน์เชื่อมต่ออินเทอร์เน็ตได้ การโฆษณาก็น่าจะหันมาใช้อินเทอร์เน็ตมาช่วยเพื่อลดค่าใช้จ่าย และยังสามารถโฆษณาได้อย่างรวดเร็วอีกด้วย ดังนั้นจึงเป็นโอกาสอันดีสำหรับนักส่งสแปมจะอาศัยช่องทางนี้ในการส่งสแปมเมล์ได้
  • สแคม (Scam) จากที่โฆษณาต่างๆถูกเผยแพร่ผ่านทางอินเทอร์เน็ตของโทรทัศน์อัจฉริยะแล้ว ก็อาจจะมีผู้ประสงค์ร้ายนั้นสร้างโฆษณาชวนเชื่อ เพื่อทำให้เหยื่อเกิดกิเลสและความโลภ จนถึงขั้นยอมทำตามคำสั่ง เช่นให้ข้อมูลส่วนบุคคลของเหยื่อ หรือโดนหลอกให้โอนเงิน เป็นต้น โดยขาดความตระหนักได้
  • การฉ้อโกง (Fraud) เมื่อโทรทัศน์นั้นเชื่อมต่ออินเทอร์เน็ตได้ ธุรกิจหนึ่งที่น่าจะมีการใช้บริการกันอย่างแพร่หลายคือการสั่งซื้อภาพยนตร์มาชมที่บ้าน ซึ่งกระบวนการสั่งซื้อก็อาจจะเป็นการเลือกภาพยนตร์ แล้วก็ชำระเงินผ่านทางบัตรเครดิต จากนั้นจึงสามารถทำการดาวน์โหลดมาชมได้ ดังนั้นผู้ประสงค์ร้ายก็อาจจะฉวยโอกาสนี้มาหลอกล่อให้เหยื่อหลงเชื่อให้โอนเงินมาเพื่อชำระสินค้า แต่ไม่ได้มีสินค้าหรือหน้าร้านอยู่จริง ทำให้เหยื่อนั้นสูญเสียเงินหรือข้อมูลส่วนบุคคลอื่นๆได้ด้วย

ป้องกันอย่างไรดี
  1. ไม่เยี่ยมชมเว็บไซต์ ไม่ดาวน์โหลดโปรแกรมจากเว็บไซต์ที่ไม่เหมาะสม หรือไม่แน่ใจถึงความปลอดภัย
  2. ไม่ติดตั้งแอพฯที่ไม่เหมาะสม ไม่ทราบแหล่งที่มา
  3. อัพเดตระบบปฏิบัติการและแอพฯต่างๆ ที่ถูกติดตั้งอยู่สม่ำเสมอ
  4. ไม่หลงเชื่อโฆษณาชวนเชื่อต่างๆ หรือข่าวสารผิดๆ ที่อาจถูกส่งมาในโทรทัศน์อัจฉริยะ
  5. ไม่โอนเงิน หรือไม่ให้ข้อมูลส่วนตัวใดๆทั้งสิ้น แก่เว็บไซต์ที่น่าสงสัย
  6. ติดตามข่าวสารที่เกี่ยวกับการรักษาความปลอดภัยสารสนเทศต่างๆ
ทิ้งท้าย
จากที่ได้กล่าวในตอนต้นแล้วว่าบทความนี้ไม่ได้มีจุดมุ่งหมายที่จะสร้างความตื่นตระหนก แต่อยากให้ผู้อ่านได้ตระหนักว่าเมื่อเทคโนโลยีล้ำหน้าไป ภัยคุกคามต่างๆ ก็จะยิ่งใกล้ตัวเรามากขึ้น และภัยคุกคามที่ถูกยกตัวอย่างในบทความนี้ ยังไม่ได้เกิดขึ้่นจริง และเป็นเพียงตัวอย่างเท่านั้น ดังนั้นใครจะเลือกใช้เทคโนโลยีใดๆ ก็ขอให้ศึกษารายละเอียดก่อน และติดตามข่าวสารต่างๆ ด้วยนะครับ 

อย่าลืมนะครับ "ตระหนัก อย่าตระหนก"

ใครสนใจพูดคุยกันก็สามารถติดต่อผู้เขียนได้ที่ข้อมูลด้านล่างนะครับ :)
Twitter : @kitisak


Wednesday, January 04, 2012

10 อันดับความเสี่ยงด้านเว็บแอพพลิเคชั่นของ OWASP ปี 2010

ทำความรู้จักกับ OWASP
โครงการ OWASP (The Open Web Application Security Project) ดำเนินการโดยมูลนิธิ OWASP ซึ่งเป็นองค์กรไม่แสวงหาผลกำไรหมายเลข 501c3 และยังได้รับการสนับสนุนการทำงานจากสมาชิกทั้งบุคคลทั่วไป องค์กรต่างๆ อีกทั้งมหาวิทยาลัย โครงการนี้เป็นการสร้างชุมชนเปิดและฟรีให้กับทั่วโลก โดยมีวัตถุประสงค์เพื่อส่งเสริมและพัฒนาการรักษาความปลอดภัยของโปรแกรมประยุกต์ (Application) ให้ดียิ่งขึ้น อีกทั้งยังมีการจัดตั้ง OWASP ย่อยๆในประเทศต่างๆด้วย สำหรับในประเทศไทยเองก็มีเช่นกัน และประธานของโครงการนี้ในประเทศไทยคนปัจจุบันคือ กิติศักดิ์ จิรวรรณกูล หรือผมเอง [2] ใครสนใจติดตามข่าวสารของ OWASP ประเทศไทย (หรือ OWASP Thailand Chapter) สามารถติดตามได้ที่แฟนเพจตามเอกสารอ้างอิง [3]


รูปที่ 1 แสดงโลโกของ OWASP 

"โครงการจัด 10 อันดับความเสี่ยงด้านเว็บแอพพลิเคชั่น หรือ OWASP Top 10เป็นโครงการหนึ่งที่ได้รับความนิยมอย่างสูง เนื่องจากเป็นโครงการที่เผยแพร่ความรู้ สร้างความตระหนักถึงอันตรายของการโจมตีผ่านเว็บแอพพลิเคชั่น

ความเสี่ยงด้านการรักษาความปลอดภัยเว็บแอพพลิเคชั่นคืออะไร
ผู้โจมตีสามารถเลือกทำอันตรายธุรกิจหรือองค์กรผ่านแอพพลิเคชั่นของเราได้ จากรูปที่ 2 แสดงความเสี่ยงที่อาจจะเกิดหรือไม่ก็ได้ แต่อย่างไรก็ตามก็ต้องให้ความสนใจเหมือนกัน

รูปที่ 2 แสดงภาพเส้นทางของความเสี่ยงที่อาจจะเกิดขึ้นในองค์กร

ในบางครั้งการโจมตีนั้นอาจทำได้โดยง่าย แต่บางครั้งก็อาจจะยากมาก ในทำนองเดียวกันนี้การโจมตีเหล่านี้อาจไม่ได้สร้างความเสียหายให้แก่องค์กร แต่บางครั้งก็อาจส่งผลกระทบที่รุนแรงต่อธุรกิจเลยก็เป็นได้ ในการตรวจหาความเสี่ยงภายในองค์กรนั้นสามารถทำได้โดยการประเมินผลความสัมพันธ์ระหว่างผู้โจมตี (Threat agent) แนวทางการโจมตี (Attack vector) และความอ่อนแอของระบบ (Security weakness) ร่วมกับการประมาณผลกระทบด้านเทคนิคและธุรกิจต่อองค์กร ทั้งหมดนี้เป็นปัจจัยในการประเมินความเสี่ยงทั้งหมดขององค์กร

กระบวนการประเมินความเสี่ยง
ในโครงการจัด 10 อันดับความเสี่ยงด้านเว็บแอพพลิเคชั่น หรือ OWASP Top 10 นี้เน้นการระบุความเสี่ยงที่ร้ายแรงที่สุดขององค์กร ซึ่งแต่ความเสี่ยงที่จะกล่าวต่อไปนั้น OWASP ได้แสดงข้อมุลทั่วไปเกี่ยวกับโอกาสที่จะเกิดและผลกระทบทางด้านเทคนิคโดยใช้แนวทางการประเมินอย่างง่ายที่อ้างอิงกระบวนการ OWASP Risk Rating Methodology [4]

รูปที่ 3 แสดงตารางที่ใช้ในการประเมินความเสี่ยง

อย่างไรก็ตามแต่ละองค์กรนั้นมีลักษณะเฉพาะที่แตกต่างกัน แนวทางการโจมตีและผลกระทบอาจจะเหมือนกันหรือแตกต่างกันก็เป็นได้ ดังนั้นการประเมินความเสี่ยงนั้นจึงควรทำด้วยตนเอง โดยเน้นไปที่ผู้โจมตี (Threat agents) การควบคุมความปลอดภัย (Security controls) และผลกระทบเชิงธุรกิจ (Business impacts) ขององค์กร

ถึงแม้ว่าในการจัด 10 อันดับความเสี่ยงเวอร์ชั่นก่อนนั้นมุ่งเน้นไปที่จุดอ่อน (Vulnerabilities) ทั่วไป แต่ชื่อเรียกก็ถูกออกแบบตามความเสี่ยงเหมือนกัน ซึ่งชื่อของแต่ละความเสี่ยงในการจัด 10 อันดับความเสี่ยงนี้ถูกตั้งจาก ประเภทการโจมตี ประเภทของจุดอ่อน หรือประเภทของผลกระทบที่เกิด และการเลือกชื่อที่จะนำมาใช้นั้นจะเป็นชื่อที่นิยมและสามารถเก็บไว้สร้างความตระหนักได้อย่างสูงสุด

10 อันดับความเสี่ยงด้านเว็บแอพพลิเคชั่นปี 2010 
  1. Injection เป็นการแทรกโค้ดเข้าไปในระบบ เช่น OS SQL และ LDAP ซึ่งเมื่อมีผู้ไม่หวังดีแทรกคำสั่งของระบบ (command) หรือคำสั่งสำหรับการคิวรี่ (query) เข้าไปเพื่อทำให้ระบบทำงานผิดพลาด หรือการเข้าไปถึงข้อมูลที่ไม่ได้รับอนุญาต
  2. Cross-Site Scripting (XSS) เป็นเทคนิคที่แฮกเกอร์จะแอบซ่อนหรือฝังสคริปส์ประสงค์ร้ายผ่านเว็บแอพพลิเคชั่นที่มีช่องโหว่ในเว็บไซต์ต่างๆ จากนั้นเมื่อเหยื่อหลงเข้ามาเยี่ยมชมหน้าเว็บนั้นสคริปส์ของแฮกเกอร์ก็จะถูกเรียกใช้งานที่เว็บเบราเซอร์ของเหยื่อเพื่อขโมยเซสชั่น (session) เปลี่ยนหน้าเว็บ หรือ redirect ไปยังเว็บประสงค์ร้ายได้
  3. Broken Authentication and Session Management ฟังก์ชั่นการระบุตัวตน (Authentication) ของเว็บแอพพลิเคชั่นที่มีช่องโหว่ ทำให้ผู้โจมตีสามารถขโมยรหัสผ่าน คีย์ โทคเคน (Token) หรือแอบอ้างปลอมตัวเป็นผู้ใช้งานจริงๆได้
  4. Insecure Direct Object References
 เกิดจากการอ้างอิงถึง Object ที่ใช้ภายใน เช่น ไฟล์ ไดเรคทอรี่ หรือคีย์ของฐานข้อมูล โดยไม่มีการตรวจสอบสิทธิ์หรือควบคุมการเข้าถึง ซึ่งทำให้ผู้โจมตีสามารถใช้การอ้างอิงนี้เข้าถึงข้อมูลที่ไม่ได้รับอนุญาตได้
  5. Cross-Site Request Forgery (CSRF) หรือเรียกสั้นๆ ว่า
ซีเซิร์ฟ (CSRF) คือรูปแบบการโจมตีที่บังคับให้เว็บเบราเซอร์ของเหยื่อส่ง HTTP request ที่ถูกปรับแต่งแล้ว รวมถึง session cookie และ ข้อมูลเกี่ยวกับการระบุตัวตน (Authentication) ไปยังเว็บแอพพลิเคชั่นที่มีช่องโหว่ ทำให้ผู้โจมตีสามารถสร้าง request ที่แอพพลิเคชั่นคิดว่ามาจากผู้ใช้ที่ถูกต้องได้ (สวมรอยสิทธิ์การใช้งานของผู้อื่น)
  6. Security Misconfiguration หมายถึง เป็นปัญหาที่เกิดขึ้นจากผู้ดูแลระบบที่ไม่ได้คอนฟิกระบบให้มีความปลอดภัย ซึ่งรวมไปถึงการอัพเดตซอฟต์แวร์และโค้ดต่างๆที่ถูกใช้โดยแอพพลิเคชั่น
  7. Insecure Cryptographic Storage หลากเว็บแอพพลิเคชั่นไม่ได้คำนึงถึงการป้องกันข้อมูลสำคัญเช่น รหัสผ่าน (password) หมายเลขบัตรเครดิตลูกค้า หรือ ข้อมูลลับของลูกค้า ด้วยการเข้ารหัส (encryption) หรือการทำแฮช (hashing) ซึ่งผู้โจมตีสามารถเข้าถึงและอาจแก้ไขข้อมูลที่สำคัญเหล่านี้ได้
  8. Failure to Restrict URL Access ความผิดพลาดในการจำกัดการเข้าถึงเว็บ ซึ่งอาจจะมีการควบคุมการเข้าถึงโดยใช้ url เพื่อเข้าไปยังหน้าเว็บที่ถูกซ่อนไว้ อย่างไรก็ตามผู้โจมตีสามารถปลอมแปลงชื่อ URL เพื่อหลอกเข้าไปยังหน้าเว็บที่ซ่อนไว้ได้
  9. Insufficient Transport Layer Protection เว็บแอพพลิเคชั่นส่วนใหญ่ละเลยที่่จะรักษาความลับและความถูกต้องของข้อมูลในเครือข่าย หรือบางครั้งใช้อัลกอริทึ่มในการเข้ารหัสที่อ่อนแอ ใบประกาศนียบัตรที่หมดอายุหรือไม่ถูกต้อง ทำให้ผู้โจมตีสามารถขโมยและแอบเปลี่ยนแปลงข้อมูลระหว่างการส่งได้
  10. Unvalidated Redirects and Forwards เป็นเทคนิคที่ผู้โจมตีทำให้ผู้ใช้ไปเข้าถึงยังหน้าเว็บที่ไ่ม่พึงประสงค์ เช่น หน้าเว็บฟิชชิง (phishing) หรือเว็บที่มีโปรแกรมประสงค์ร้ายฝังอยู่ หรือส่งต่อเพื่อเข้าถึงหน้าเว็บที่ผู้อื่นไม่ได้รับอนุญาตได้
เอกสารอ้างอิง
  1. OWASP Top 10 - https://www.owasp.org/index.php/Top_10_2010-Main
  2. OWASP Thailand Chapter (Official site อยู่ในระหว่างการปรับเปลี่ยนหน้าเว็บใหม่) - https://www.owasp.org/index.php/Thailand
  3. OWASP Thailand Chapter fanpage - https://www.facebook.com/pages/OWASP-Thailand-Chapter/151130168312937
  4. OWASP Risk Rating Methodology - https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology