Scribe Book 10 It Security

Scribe 10: Information Systems Security & Computer Crimes

• อาชญากรรมคอมพิวเตอร์ (Cybercrime)

(แง่มุมที่ 1) อาชญากรรมที่ใช้คอมพิวเตอร์ ระบบเครือข่าย หรืออินเตอร์เน็ตเป็นเครื่องมือในการกระทาผิด
(แง่มุมที่ 2) เป้าหมายของการก่ออาชญากรรม คือ ระบบคอมพิวเตอร์ หรือข้อมูลในระบบคอมพิวเตอร์ • อาชญากรคอมพิวเตอร์ (Cybercriminals) คือ บุคคลหรือกลุ่มของบุคคลที่ใช้คอมพิวเตอร์ ระบบเครือข่าย หรืออินเตอร์เน็ต เป็นเครื่องมือในการประกอบอาชญากรรม

คาถามของอาจารย์ในห้องเรียน
1. อาชญากรคอมพิวเตอร์เป็นคนภายในหรือภายนอกองค์กรมากกว่ากันและเพราะอะไร ?
 คนภายในองค์กรเพราะรู้ความเคลื่อนไหวภายในและเข้าถึงข้อมูลสาคัญได้ง่ายรวมทั้งอาจมีมูลเหตุจูงใจมากกว่าและการป้องกันทาได้ค่อนข้างยากกว่า

2. ข้อมูลใดที่ถูกขโมยมากที่สุด
 ข้อมูลทางการเงิน เช่น หมายเลขบัตรเครดิต
 Account ID เช่น username และ password
 วิธีการที่ hacker ใช้มากที่สุดในการทาลายระบบคอมพิวเตอร์ Denial of Service Attack เนื่องจากทาได้ง่ายและส่งผลกระทบเยอะที่สุด ตัวอย่างเช่น การเข้าไปก่อกวน เข้าไปสร้าง content บน web ของกระทรวง ICT
 ปัจจุบันอาชญากรรมคอมพิวเตอร์ที่เกิดมากที่สุดคือ Phishing คือการสร้าง website หรือ E-mail ปลอมเพื่อลวงข้อมูลของเหยื่อ เช่นตัวอย่าง term paper ของเทอมที่แล้ว
 เครื่องมือที่อาจารย์ แนะนาในการเรียนไม่ควรนาไปใช้เพราะจะเป็นความผิดและโปรแกรมที่ download มาจะมาพร้อมไวรัสทาให้ hacker สามารถเข้ามาควบคุมเครื่องของเราได้
 รูปแบบของการก่อการร้ายในอนาคตจะเป้นทาง internet มากขึ้นเนื่องจากทุกอย่างจีการเชื่อมต่อทาง internet มากขึ้น

อาชญากรคอมพิวเตอร์ (Hackers) คือ บุคคลที่เข้าถึงระบบคอมพิวเตอร์หรือข้อมูลในระบบคอมพิวเตอร์โดยผิดกฎหมาย โดยสามารถแบ่งออกได้เป็น 3 ประเภท คือ

1. หมวกขาว (White-hat) คือ ผู้ที่เข้าสู่ระบบเพื่อทาการตรวจสอบช่องโหว่ของระบบและทาการแก้ไขปรับปรุงให้ระบบให้มีการทางานที่ดียิ่งขึ้น
2. หมวกดา (Black-hat) คือ ผู้ที่บุกรุกเข้าสู่ระบบโดยมีจุดประสงค์ร้ายในการสร้างความเสียหายให้เกิด ขึ้น เช่ ขโมยข้อมูล การทาลายระบบ
3. มือสมัครเล่น (Script kiddies) คือ มือใหม่ที่เริ่มบุกรุกเข้าสู่ระบบคอมพิวเตอร์ เพื่อสร้างความเดือดร้อน หรือหวังผลประโยชน์ ไม่จาเป็นต้องมีความรู้ทางเทคนิค เพราะ ใช้เครื่องมือเป็น Hacking software สาเร็จรูปที่ download มาจากอินเตอร์เน็ต (Hackers 70% อยู่ในประเภทนี้)

Hackers สามารถเข้าถึงข้อมูลทางคอมพิวเตอร์ได้เป็น 2 ประเภท คือ

1. เข้าสู่ระบบทางตรง (Direct Access) คือ การเข้าถึงตัวเครื่องคอมพิวเตอร์ทางกายภาพโดยลง Hacking software ไว้ เช่น keylogger หรือ spyware ไว้
2. เข้าสู่ระบบทางอ้อม (Indirect Access) คือ การเข้าถึงผ่านระบบเครือข่าย เช่น Internet Connection, Logical Port โดยใช้โปรแกรมค้นหา port ที่ถูกเปิดไว้

ประเภทของอาชญากรรมคอมพิวเตอร์ สามารถแบ่งออกได้เป็น 2 ประเภท คือ

1. อาชญากรรมคอมพิวเตอร์จากภายนอกองค์กร การกระทาที่เข้าข่ายการเป็นอาชญากรรมคอมพิวเตอร์จากภายนอกองค์กร เช่น
• การบุกรุกระบบคอมพิวเตอร์ (Hacking หรือ Cracking)
• การขโมยข้อมูลคอมพิวเตอร์รวมไปถึงการดักฟังข้อมูลคอมพิวเตอร์โดยไม่ได้รับอนุญาต
• การแพร่กระจาย Computer Viruses, Worms, Trojan Horse
• การทาลายระบบคอมพิวเตอร์ เช่น Denial of Service Attack • การรบกวนการทางานของระบบคอมพิวเตอร์ เช่น Website Defacement
• การปลอมแปลงอีเมล์ หรือทาการสร้างเวบไซด์ปลอม เพื่อทาการหลอกหลวงให้เหยื่อเปิดเผยข้อมูล (Phishing)
• การเผยแพร่ชุดคาสั่งคอมพิวเตอร์ หรือวิธีการเข้าถึงระบบคอมพิวเตอร์โดยไม่ชอบด้วยกฎหมาย
• ความผิดพลาดของระบบซอฟแวร์ที่มีช่องโหว่ (Software flaws)
• การก่อการร้ายหรือวินาศกรรมโดยใช้คอมพิวเตอร์

2. อาชญากรรมคอมพิวเตอร์จากภายในองค์กร การกระทาที่เข้าข่ายการเป็นอาชญากรรมคอมพิวเตอร์จากภายในองค์กร เช่น
• พนักงานทาการเปลี่ยนแปลงแก้ไขข้อมูลโดยไม่ได้รับอนุญาต
• พนักงานขโมยความลับทางการค้าและนาไปขายให้คู่แข่ง
• พนักงานที่มีความแค้นต่อองค์กร ทาการทาลายระบบคอมพิวเตอร์ หรือ จากการศึกษาพบว่า 80% ของอาชญากรรมเกิดจากคนในองค์กร ดังนั้นสิ่งสาคัญที่องค์กรจะต้องทา คือ การสร้างระบบ
รักษาความปลอดภัยของข้อมูล อาจจะต้องสร้างระดับการเข้าถึงข้อมูลต่างๆ ให้แก่พนักงาน พร้อมทั้งต้องมีการตรวจสอบและ Back up ข้อมูลอย่างสม่าเสมอ

คอมพิวเตอร์ไวรัส (Computer Viruses)
 การแพร่กระจายของไวรัสจะต้องเกิดจากการกระทาของ user เสมอ

ผลกระทบจากการติดไวรัสคอมพิวเตอร์
 ทาการรบกวนการทางานของระบบคอมพิวเตอร์
 ทาให้ระบบคอมพิวเตอร์ทางานช้าลง
 เปลี่ยนค่า setting ของระบบคอมพิวเตอร์

คาถามในห้องเรียน ความแตกต่างระหว่าง Virus, Worm, Trojan คืออะไร?
ทั้งหมดเรียกว่า Malware แตกต่าง กันที่ เป้าหมายและค่าที่ตั้งไว้

ประเภทของไวรัส
• Boot-sector viruses คือ ไวรัสคอมพิวเตอร์ที่แพร่เข้าสู่เป้าหมายในระหว่างเริ่มทาการบูตเครื่องคอมพิวเตอร์ตอนเริ่มทางานทันที
• Logic bombs คือ ไวรัสที่มีการตั้งเวลาให้ทางานเฉพาะตามเงื่อนไขเมื่อถึงวันเวลาที่กาหนดไว้
• Worms คือ โปรแกรมอิสระที่สามารถทาสาเนาข้ามเครือข่ายได้ จึงแตกต่างจะไวรัสตัวอื่น (ไวรัสตัวอื่นๆจะทาสาเนาภายในเครื่องของมันเอง) วอร์มจะทาการกระจายไวรัสโดยผ่านแลนหรืออินเทอร์เน็ต, การสื่อสารทางอีเมล์ หรือผ่านระบบความปลอดภัยที่บกพร่อง
• Script viruses คือ เป็นไวรัสที่ซ่อนอยู่บนหน้าเวบเพจต่างๆมาพร้อมการ download
• Macro Viruses คือ คือไวรัสที่ติดไฟล์เอกสารชนิดต่างๆ ซึ่งมีความสามารถในการใส่คาสั่งมาโครสาหรับทางานอัตโนมัติในไฟล์เอกสารด้วย
• Encryption Viruses ที่เข้ามา lock ไฟล์หรือ โฟล์เดอร์ทาให้เปิดไม่ได้
• Email Viruses คือ ไวรัสที่ซ่อนมากับเมล์หรือ ไฟล์ที่แนบมาด้วย เมื่อเราเปิด อีเมล์ หรือไฟล์แนบนั้น ไวรัสจะติดมาสู่เครื่อง
• Trojan horse (spyware) คือ โปรแกรมจาพวกหนึ่งที่ถูกออกแบบขึ้นมาเพื่อแอบแฝง กระทาการบางอย่าง เป็นช่องทางที่แฮกเกอร์สร้าขึ้นมาเพื่อหลอกให้เรายอมให้แฮกเกอร์เข้าสู่ เครื่งคอมพิวเตอร์เราได้ การแพร่กระจายของไวรัส (Anti-Viruses จะตรวจจับไม่ได้ ต้องใช้ Anti-spyware)

Antivirus Software คือ โปรแกรมป้องกันไวรัส (Anti-Virus software) หรือในวงการเรียกว่า แอนติไวรัส/แอนติสปายแวร์ (Anti-Virus/Anti-Spyware) โปรแกรมป้องกันไวรัสมี 2 แบบใหญ่ๆ
1. แอนติไวรัส เป็นโปรแกรมโปรแกรมป้องกันไวรัสทั่วๆไป จะค้นหาและทาลายไวรัสในคอมพิวเตอร์ของเรา
2. แอนติสปายแวร์ เป็นโปรแกรมป้องกันการโจรกรรมข้อมูล จากไวรัสสปายแวร์

Spam คือ การส่ง Email จานวนมากไปยังผู้รับที่ไม่พึงประสงค์จะรับ Email นั้น โดยการส่งมีจุดประสงค์ทางการค้า เช่น การโฆษณาสินค้า เป็นต้น ปัจจุบันมีงานวิจัยพบว่า 80-85% ของ Email ที่มีอยู่ในระบบเป็น Spam และมีการคาดหมายไว้ว่า

Denial of Service Attacks and Botnet (DOS Attack) คือ การที่ระบบเครือข่ายไม่สามารถให้บริการได้
เกิดขึ้นจากการที่แฮกเกอร์ทาการลง Software เช่น Trojan horse บนเครื่องคอมพิวเตอร์ต่างๆ อาจจะเป็นหลายล้านเครื่อง ทาให้เครื่องคอมพิวเตอร์นั้นรับฟังคาสั่งการจากเครื่องควบคุม อาจเรียกว่าทาให้คอมพิวเตอร์เครื่องนั้นๆ มีลักษณะคล้าย Zombie เราจะเรียกเครือข่าย Zombie นั้นว่า Bonnet เพื่อให้เข้าสู่ระบบใดระบบหนึ่งในเวลาเดียวกัน โดยหวังให้ Server นั้นๆ ไม่สามารถให้บริการได้ตามปกติ โดยเป้าหมายของการโจมตีมักจะมุ่งไปยังระบบเครือข่ายที่มีผู้ใช้มาก เช่น Twitter ที่เคยถูกโจมตีด้วยวิธีการนี้มาแล้ว
การป้องกันทาได้ยากเพราะเครื่อง server ไม่สามารถแยกได้ว่าเครื่องใดที่เป็น zombie แต่วิธีการป้องกันคือ การทา server สารอง หรือการลงโปรแกรมเพื่อสแกนและบล็อคเครื่องหรือ IP address ที่ตรวจจับแล้วว่าเป็น เครื่อง zombie

Password
ในปัจจุบันถือเป็นจุดอ่อนหลัก เป็นเรื่องง่ายที่ Password จะถูก hack โดยโปรแกรมที่เรียกว่า LC5 การเก็บ password ในคอมพิวเตอร์จะมีการถูกเก็บโดยการแปลเป็นรหัสและถูกเก็บไว้ การทางานของโปรแกรม hack คือจะมี dictionary ของตัวเลขและตัวอักษรและทาการรันรหัสที่ผสมผสานกันอยู่

Factor ที่มีผลต่อความปลอดภัยของ password
1. ความยาวของ password
2. ความซับซ้อนของ password คือมีการผสมผสานระหว่าง ตัวเลข ตัวอักษร และสัญลักษณ์

  • a. คนที่ใช้ตัวเลขเป็น password อย่างเดียว 7 คน
  • b. คนที่ใช้ตัวอักษรเป็น password อย่างเดียว 1 คน

3. การใช้ข้อมูลส่วนตัวตั้งเป็น password

วิธีการตั้ง password ของอาจารย์คือการใช้สุภาษิตที่อาจารย์ชอบมาก ตั้งโดยการผสมผสานด้วยการแปลงเป็นตัวเลขแทนตัวอักษรหรือคา เช่น 4 แทน For

Password ที่ดีก็เหมือนกางเกงใน คือ ไม่ควรบอกให้คนอื่นรู้หรือใช้ร่วมกับผู้อื่น และมีการเปลี่ยนบ่อยๆ

แนวโน้มในอนาคตการใช้ password จะหมดไปเปลี่ยนเป็นการใช้ ลายนิ้วมือหรือการสแกนม่านตาแทน

Sniffers หรือ Packet Analyzer คือ เครื่องมือ (อาจจะเป็นซอฟต์แวร์หรือฮาร์ดแวร์ก็ได้) ที่ใช้ในการดักจับข้อมูล packet ที่มีการรับส่งข้อมูลในเครือข่าย

Keylogger คือ โปรแกรมที่คอยดักจับข้อมูลที่ผู้ใช้พิมพ์ลงไปในคีย์บอร์ด โดย Hackers สามารถเห็นข้อมูลทุกอย่างที่พิมพ์ เป็นโปรแกรมที่สามารถหาซื้อได้ง่าย จัดอยู่ในประเภท spy ware ทาให้ anti-virus ตรวจไม่เจอ ต้องใช้ Anti-spyware หรือตรวจสอบการกด Ctrl+Alt+Del เพื่อตรวจสอบหาโปรแกรมที่กาลัง run อยู่

Phishing
ปัจจุบันเกิดมากที่สุดเนื่องจากทาได้ง่าย คือ การปลอมแปลงเวบไซต์เช่น สถาบันการเงิน เพื่อลวงเอาข้อมูลส่วนตัวของเหยื่อโดยการสร้างสถานการณ์ให้เกิดความกลัวหรือสถานะการณ์ฉุกเฉิน โดยให้เราเข้าไปยังเวบที่สร้างปลอมขึ้นมา
การป้องกันคือ ให้สังเกตที่ URL ของเวบไซต์ว่าถูกต้องหรือไม่
จานวนของ www.ในการทาอาชญากรรมphishing มากที่คือปะเทศไทยและมี โดเมนเนม ในไทยที่โดนphishingมากที่สุดคือ ac.th

Evil Twins คือ การที่แฮกเกอร์ตั้ง Access Point ให้เราเข้าไปใช้งานได้ฟรี โดยมีจุดประสงค์ในการขโมยข้อมูลของผู้ใช้งาน

Pharming คือ การที่แฮกเกอร์เข้าไปเปลี่ยน IP Address ที่ Domain Name Server ผลก็คือถึงแม้เราจะพิมพ์ชื่อ Domain ได้ถูกต้อง แฮกเกอร์ก็จะนาเราเข้าไปสู่เวบไซค์ปลอม ซึ่งเป็นเรื่องยากที่ผู้ใช้งานจะสามารถรู้ได้

Click Fraud คือ การเข้าไปคลิกโดยที่ไม่ได้มีความตั้งใจในการเข้าไปเยี่ยมชม หรือสั่งซื้อสินค้าจริงๆ อาจเป็นการกลั่นแกล้งของคู่แข่งเพื่อให้ฝ่ายตรงข้ามเสียค่าใช้จ่ายมากตามคลิกที่ได้

Cyber-bullying คือ การใช้คอมพิวเตอร์ โทรศัพท์มือถือ เครื่องมืออิเล็กโทรนิกส์ ที่สามารถเข้าถึงอินเตอร์เน็ตได้ในการสร้างและแพร่กระจายข้อมูล เพื่อกลั่นแกล้งให้บุคคลอื่นเสียชื่อ ถูกดูหมิ่น หรือถูกเกลียดชัง Social Engineering คือ การหลอกลวงเพื่อให้เหยื่อเปิดเผยข้อมูล เช่น แอบอ้างเป็นเจ้าหน้าที่รัฐ หรือกรณีที่นักศึกษาปลอมแปลงเสียงเป็นอาจารย์และโทรศัพท์เข้าไปหน้าเจ้า หน้าที่สถาบันเพื่อเปลี่ยนแปลงคะแนน Identity Theft คือ การที่อาชญากรทีมุ่งหวังการนาข้อมูลไปปลอมแปลเป็นบุคคลอื่น เช่น ในสหรัฐอเมริกาถือเป็นปัญหาใหญ่ เพราะจะมีการปลอมแปลง Social Security Card เพื่อนาไปใช้ในการทาบัตรเครดิต เป็นต้น

Sabotage or Vandalism

• Hacktivist และ Cyberactivist คือ แฮกเกอร์ที่ต้องการโชว์ความสามารถในการเข้าไปรบกวนการทางาน หรือเปลี่ยนแปลงเนื้อหาบนเวบไซค์
• Cyberterrorism คือ ในปัจจุบันมีการเปลี่ยนจากออฟไลน์เป็นออนไลน์มากขึ้น เนื่องจากอาชญากรรู้ว่าสามารถสร้างความเสียหายทางเศรษฐกิจได้มากกว่า
• Cyberwar คือ สงครามในอนาคตจะเป็นการทาสงครามผ่านทาง Cyber ประเทศจีนมีการตั้งหน่วยงานเพื่อรับมือกับเรื่องนี้โดยตรง

ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย (ThaiCERT: Thai Computer Emergency Response Team)

เป็นหน่วยงานที่จัดตั้งขึ้นเพื่อเป็นศูนย์กลางในการประสานงานต่อ เหตุการณ์ความปลอดภัยคอมพิวเตอร์ในประเทศไทย บทบาทหลักอยู่ที่การลดความเสียหายที่เกิดขึ้น ส่งเสริมให้เกิดความมั่นคงภายในประเทศมีการร่างนโยบายและมาตรฐานด้านการ รักษาความปลอดภัยคอมพิวเตอร์ นอกจากนี้ยังมีการจัดอบรม สัมมนา วิจัย จัดเตรียมข้อมูลด้านความปลอดภัย หรือให้คาแนะนาแก่หน่วยงานภาครัฐและเอกชน

พระราชบัญญัติว่าด้วยการกระทาผิดเกี่ยวกับคอมพิวเตอร์ 2550
การกระทาความผิดซึ่งกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ หลัก CIA
- Confidentiality ความลับ
- Integrity ความครบถ้วน ความถูกต้องแท้จริง
- Availability สภาพพร้อมใช้งาน

• ระบบคอมพิวเตอร์ หมายความว่าอุปกรณ์หรือชุดอุปกรณ์ของคอมพิวเตอร์ที่เชื่อมการทางานเข้าด้วย กัน โดยได้มีการกาหนดคาสั่ง ชุดคาสั่ง หรือสิ่งอื่นใด และแนวทางปฎิบัติงานให้อุปกรณ์หรือชุดอุปกรณ์ทาหน้าที่ประมวลผลข้อมูลโดย อัตโนมัติ

• ข้อมูลคอมพิวเตอร์ หมายความว่า ข้อมูล ข้อความ คาสั่ง ชุดคาสั่ง หรือสิ่งอื่นใด บรรดาที่อยู่ในระบบคอมพิวเตอร์ในสภาพที่ระบบคอมพิวเตอร์อาจประมวลผลได้ และให้หมายความรวมถึงข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทาง อิเล็กทรอนิกส์

• ข้อมูลจราจรทางคอมพิวเตอร์ หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกาเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลาชนิดของบริการหรืออื่นๆที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบ คอมพิวเตอร์นั้น

มาตรา 5 เป็นการเข้าถึงข้อมูลโดยมิชอบ
มาตรา 6เข้าถึงข้อมูลและนาออกมา
(เมื่อมีการกระทาผิดตามมาตรา 7 ก็มักมีรากฐานมาจากการกระทาผิดตามมาตรา 5)
แตกต่างจากมาตรา5 ตัวอย่างการผิดมาตรา7แต่ไม่ผิดตามมาตรา5คือการขโมยข้อมูลแต่ไม่สามารถเข้าถึงข้อมูลได้
(การขโมยทรัมไดรฟ์ เป็นการกระทาผิดตามมาตรา 7)
(การทาsnifferเป็นความผิด หรือการทา key locker มาตรา 8 )
(การจงใจให้เครื่องผู้อื่นติดไวรัส เป็นการกระทาผิดตามมาตรา 9)
(Phishing เป็นการกระทาผิดตามมาตรา 11)
(การกระทาผิดตามมาตรา 12 เช่น การปล่อยไวรัสให้กับสนามบิน หรือโรงพยาบาล)
(การกระทาผิดตามมาตรา 14 วรรค 1 เช่น การโพสข้อความกล่าวหา)
(การกระทาผิดตามมาตรา 14 วรรค 2 เช่น การโพสข้อความที่ทาให้ประชาชนตื่นตระหนก)
(การกระทาผิดตามมาตรา 14 วรรค 3 เช่น การโพสข้อความหมิ่นสถาบัน)
(การกระทาผิดตามมาตรา 14 วรรค 4 เช่น การโพสสิ่งลามก)
(การกระทาผิดตามมาตรา 14 วรรค 5 ซึ่งความผิดในการ ส่งข้อมูลจะรวมถึงคนส่งต่อข้อมูลนั้นด้วย โดยการกระจายทางอีเมลล์เป็นต้น แต่การได้รับ เปิดดู หรือดาวน์โหลดไม่ผิดตามมาตรานี้) (มาตรา 16 ยอมความได้)

• ผู้ให้บริการ คือ
(1) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเตอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเอง หรือในนาม หรือเพื่อประโยชน์ของบุคคลอื่น
(2) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น
(ตามการกาหนดบทลงโทษของผู้ให้บริการ ตามมาตรา 15 มาตรานี้ได้สร้างความยุ่งยากแก่ผู้ให้บริการ โดยหากมีผู้ที่ใช้บริการกระทาความผิดผ่านทางเครือข่าย ผู้ให้บริการนั้นต้องได้รับโทษด้วย รวมทั้งเจ้าของเว็บไซด์ ตัวอย่างเช่นเว็บไซด์พันธ์ทิพธ์ ซึ่งมีผู้ใช้เป็นจานวนมากหากมีผู้ใดนาข้อมูลที่เป็นเท็จหรือข้อมูลที่เกีย วกับความมั่นคงไปโพสน์ในเว็บทางเจ้าของเว็บไซด์ต้องรับผิดชอบด้วย แตจากการสอบถามกับทางด้านเจ้าหน้าที่ตารวจกรณีจะผิดก็ต่อเมื่อผู้ให้บริการ รับการเตือนเกี่ยวกับการกระทาความผิดแล้วแต่นิ่งเฉย ตามมาตรา 26 ว่าเป็นมาตราที่สาคัญเนื่องจากผู้ให้บริการส่วนใหญ่ เช่น อินเตอร์เน็ตคาเฟ่ ไม่ทราบถึงมาตรานี้ ว่าจาเป็นต้องเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ของผู้ใช้บริการไว้ไม่น้อย กว่า 90 วัน ซึ่งมีการกาหนดแบบฟอร์มในการเก็บเป็นมาตรฐานของกระทรวง ICT ไว้ จากมาตรานี้ผู้ให้บริการต้องเก็บรักษาข้อมูลเพื่อให้เจ้าหน้าที่ใช้ตามจับคน ร้ายที่กระทาความผิดตามมาตราต่างๆ

ลามก คือ รูปที่น่าอับอายในทางเพศต่อหน้า เป็นสิ่งที่แยกออกจากศิลปะ และผิดจารีตประเพณี นาไปสู่ความใคร่ทางกามรมณ์

Spam mail คือ ลักษณะของ mail ที่สร้างความเสียหายแก่เครือข่ายอินเตอร์เนต และสร้างความเดือดร้อนราคาญแก่ผู้ใช้อินเตอร์เนตนั้นแบ่งออกเป็นประเภทใหญ่ ๆ ได้สองประเภท
Chain Mail หรือจดหมายลูกโซ่ และ Spam Mail หรือการโจมตีด้วย Email
Chain Mail นั้นจะมีข้อความเหมือนจดหมายลูกโซ่ที่เราเคยได้รับโดยทั่วไป เนื้อหาก็จะเป็นเรื่องคาเตือนเกี่ยวกับไวรัส หรือเรื่องอื่น ๆ แต่ที่สาคัญคือ บอกว่าให้ส่งข้อความนี้ไให้กับคนที่รุ้จัก Chain Mail จะสร้างความเสียหายกับตัว mail server ของผู้ให้บริการอินเตอร์เนตทาให้ server down หรือทางานช้าลง ถ้ามีคนเชื่อและส่งต่อกันไปมา นอกจากนั้นก็ยังเป็นตัวการให้ traffic ของเครือข่าย อินเตอร์เนตเกิดอาการติดขัด ในส่วนของผู้ใช้งานอินเตอร์เนตเองก็คงจะราคาญถ้ามี mail ประเภทนี้เข้ามาบ่อย ๆ วิธีที่คุณจะช่วยได้คือคุณต้องหยุดวงจรลูกโซ่ โดยไม่ส่งต่อ mail นั้นต่อไป

Spam Mail คือการส่ง mail จานวนมาก ๆ ในครั้งหนึ่ง หรือการทยอยส่ง แต่ส่งจานวนมากฉบับ สาหรับวัตถุประสงค์นั้นมีหลายหลาก ตั้งแต่โฆษณาสินค้า การโจมตีระบบ การแก้แค้นส่วนตัว การกลั่นแกล้งฯลฯ

หมายเหตุ Spam mail ใน พ.ร.บ. นี้จะหมายถึงการทา Phishing

Technological safeguards Physical access restrictions
การปกป้องความมั่นคงปลอดภัยของระบบและข้อมูลภายในองค์กรถือเป็นเรื่อง สาคัญในปัจจุบัน ทั้งนี้เนื่องจากการถูกคุกคามโดยผู้ไม่ประสงค์ดีหรือจากโปรแกรมบางประเภทได้ เพิ่มมากขึ้นและอาจนามาซึ่งความเสียหายอย่างมากต่อองค์กร ดังนั้นถ้าภายในระบบมีการควบคุมความปลอดภัยที่ดีจะช่วยลดโอกาสเสี่ยงต่อการ ถูกคุกคามได้

กลไกของการพิสูจน์ตัวตน (Authentication mechanisms) สามารถแบ่งออกได้เป็น 3 ประเภท คือ
1. สิ่งที่คุณมี (Possession factor) เช่น กุญแจหรือเครดิตการ์ด เป็นต้น
2. สิ่งที่คุณรู้ (Knowledge factor) เช่น รหัสผ่าน (passwords) หรือการใช้พิน (PINs) เป็นต้น
3. สิ่งที่คุณเป็น (Biometric factor) เช่น ลายนิ้วมือ รูปแบบเรตินา (retinal patterns) หรือใช้รูปแบบเสียง (voice patterns) เป็นต้น

กระบวนการพิสูจน์ตัวตนนั้นจะนา 3 ลักษณะข้างต้นมาใช้ในการยืนยันหลักฐานที่นามากล่าวอ้าง ทั้งนี้ขึ้นอยู่กับระบบ วิธีการที่นามาใช้เพียงลักษณะอย่างใดอย่างหนึ่ง (Single-factor authentication) นั้นมีข้อจากัดในการใช้ ตัวอย่างเช่น สิ่งที่คุณมี (Possession factor) นั้นอาจจะสูญหายหรือถูกขโมยได้ สิ่งที่คุณรู้ (Knowledge factor) อาจจะถูกดักฟัง เดา หรือขโมยจากเครื่องคอมพิวเตอร์ สิ่งที่คุณเป็น (Biometric factor) จัดได้ว่าเป็นวิธีที่มีความปลอดภัยสูงอย่างไรก็ตามการที่จะใช้เทคโนโลยีนี้ ได้นั้นจาเป็นต้องมีการลงทุนที่สูง เป็นต้น

Access-control software เป็นการควบคุมโดยใช้การกาหนดการเข้าถึงข้อมูลเช่น
level 1 เข้าไปอ่านข้อมูลได้แต่ไม่สามารถเข้าไปแก้ไขข้อมูลได้เพื่อช่วยลดความเสี่ยง ถ้าจะเข้าถึงข้อมูลและแก้ไขได้ต้องมี password level 5 ขึ้นไป เป็นต้น

Protecting a Wireless Network เนื่องจากการส่งข้อมูลผ่านช่องทาง Wireless Network นั้นป็นการถูกส่งไปในอากาศ จึงอาจถูกดักจับหรือขโมยได้ง่าย และปัจจุบันผู้ใช้ยังไม่นิยมใส่ code lock

Encryption การเปลี่ยนข้อความที่สามารถอ่านได้ (plain text) ไปเป็นข้อความที่ไม่สามารถอ่านได้ (cipher text) เพื่อเหตุผลด้านความปลอดภัย ปัจจุบันการเข้ารหัสมี 2 รูปแบบคือ
1. การเข้ารหัสแบบสมมาตร - การเข้ารหัสแบบสมมาตรจะใช้กุญแจตัวเดียวกันสาหรับการเข้าและถอดรหัส อัลกอริทึมที่ได้รับความนิยมได้แก่ DES, AES, IDEA
2. การเข้ารหัสแบบอสมมาตร - การเข้ารหัสแบบอสมมาตรจะใช้กุญแจตัวหนึ่งสาหรับการเข้ารหัส และกุญแจอีกตัวหนึ่งสาหรับการถอดรหัส กุญแจที่ใช้เข้ารหัสเป็นกุญแจที่เปิดเผยสู่สาธารณชน นั่นคือใครๆก็สามารถใช้กุญแจนี้เพื่อเข้ารหัสได้ แต่ถ้าการถอดรหัสจะต้องใช้กุญแจอีกดอกหนึ่งที่ไม่เปิดเผย อัลกอริทึมที่ได้รับความนิยมได้แก่ RSA

วิธีการเข้ารหัสมีความสาคัญต่อ 3 ส่วนหลักของระบบการค้าทางอิเล็กทรอนิกส์ คือ
1. ระบบตรวจสอบว่าเป็นเอกสารจริง (Authentication)
2. การพิสูจน์หลักฐานว่าได้กระทาการรายการจริง (Non-Repudiation)
3. การรักษาสิทธิส่วนตัว (Privacy)

การพิสูจน์ตัวตนโดยการเข้ารหัสโดยใช้กุญแจสาธารณะ (Public-key cryptography) เป็นการรักษาความปลอดภัยของข้อมูลระหว่างการส่งข้ามเครือข่ายวิธีหนึ่งที่ นิยมใช้กันอยู่ในปัจจุบัน การเข้ารหัสแบบคู่รหัสกุญแจนี้จะมีความปลอดภัยมากกว่าการเข้ารหัสข้อมูลแบบ ธรรมดา แต่ก็ไม่ได้หมายความว่าการเข้ารหัสแบบคู่รหัสกุญแจนี้จะเป็นวิธีที่เหมาะสม ที่สุดของวิธีการเข้ารหัส ทั้งนี้ขึ้นอยู่กับประเภทงานของแต่ละองค์กรหรือบุคคล

การเข้ารหัสโดยใช้กุญแจสาธารณะ ประกอบไปด้วยกุญแจ 2 ชนิด ที่ต้องใช้คู่กันเสมอในการเข้ารหัสและถอดรหัสคือ
• กุญแจสาธารณะ (public key) เป็นกุญแจที่ผู้สร้างจะส่งออกไปให้ผู้ใช้อื่นๆ ทราบหรือเปิดเผยได้
• กุญแจส่วนตัว (private key) เป็นกุญแจที่ผู้สร้างจะเก็บไว้ โดยไม่เปิดเผยให้คนอื่นรู้

กระบวนการของการเข้ารหัสแบบคู่รหัสกุญแจ มีดังนี้
1. ผู้ใช้แต่ละคนจะสร้างคู่รหัสกุญแจของตัวเองขึ้นมา เพื่อใช้สาหรับการเข้ารหัสและการถอดรหัส
2. กุญแจสาธารณะจะถูกส่งออกไปยังผู้ใช้คนอื่นๆ แต่กุญแจส่วนตัวจะถูกเก็บที่ตนเอง
3. เมื่อจะส่งข้อมูลออกไปหาผู้ใช้คนใด ข้อมูลที่ส่งจะถูกเข้ารหัสด้วยกุญแจสาธารณะ ก่อนถูกส่งออกไป
4. เมื่อผู้รับได้รับข้อความแล้วจะใช้กุญแจส่วนตัวซึ่งเป็นคู่รหัสกันถอดรหัสออกมา

การเข้ารหัสโดยใช้กุญแจสาธารณะสามารถใช้ได้ทั้งในการเข้ารหัส (Encryption) และการพิสูจน์ตัวตน (Authentication) การประยุกต์ใช้ในการเข้ารหัสข้อมูล (Encryption) เป็นการนาข้อมูลที่จะส่งไปยังผู้รับมาเข้ารหัสด้วยกุญแจสาธารณะของผู้รับ และเมื่อผู้รับได้รับข้อความนั้นแล้วจะถอดรหัสออกมาด้วยกุญแจส่วนตัว จึงจะเห็นได้ว่ามีเพียงผู้รับเท่านั้นที่จะสามารถถอดรหัสออกมาได้

นิทานที่อาจารย์เล่า กาลครั้งหนึ่ง มีเจ้าชายกับเจ้าหญิง ซึ่งรักกันมากแต่ว่าอยู่กันคนละ 2 อาณาจักร เจ้าชายไม่สามารถไปหาเจ้าหญิงแต่ต้องการสื่อสารข้อมูลให้กับเจ้าหญิง จึงให้ messenger (ผู้ส่งสาร) ส่งไปให้ แต่เจ้าชายก็ต้องการเก็บเป็นความลับ จึงคิดว่า ต้องทาอย่างไร ให้ถึงแม้ messenger เปิดอ่านก็ไม่สามารถล่วงรู้ถึงข้อมูลได้ วิธีการคือเจ้าชายได้คิดวิธีการ Encryption ขึ้นมา ในครั้งนี้ เจ้าชายต้องการบอกเจ้าหญิงว่า I Love You (เรียกว่า plain text) โดยเจ้าชายต้องกาหนด Algorithms (สัญลักษณ์ที่ใช้แทนข้อความมีทั้งตัวเลขและตัวอักษร) ซึ่งหัวใจสาคัญคือ ความลับและความซับซ้อนของ Algorithms ในที่นี้คือ ‘2SYE6Y83’ (เรียกว่า cipher text) ส่วนขบวนการในการถอดรหัสของเจ้าหญิงจะเรียกว่า Decryption ตัวอักษร สัญลักษณ์
I 2 L S O Y V E E 6 Y Y O 8 U 3

Virtual Private Network VPN ย่อมาจาก Virtual Private Network เป็นเทคโนโลยีการเชื่อมต่อเครือข่ายนอกอาคาร (WAN - Wide Area Netwok) ที่กาลังเป็นที่น่าสนใจและเริ่มนาไปใช้ในหน่วยงานที่มีหลายสาขา หรือ มีสานักงานกระจัดกระจายอยู่ในหลายภูมิภาค ในระบบ VPN การเชื่อมต่อระหว่างสานักงานโดยใช้เครือข่าย อินเตอร์เนต แทนการต่อเชื่อมด้วย Leased line หรือ Frame Relay

Firewall Firewall เป็นกาแพงที่มีไว้เพื่อป้องกันไฟโดยที่ตัวมันเองนั้นไม่ใช่ไฟตามดังคา แปล firewall ในสิ่งปลูกสร้างต่างๆนั้นจะทาด้วยอิฐเพื่อแยกส่วนต่างๆของสิ่งปลูกสร้างออก จากกันเพื่อที่ว่าในเวลาไฟไหม้ไฟจะได้ไม่ลามไปทั่วสิ่งปลูกสร้างนั้นๆ หรือ Firewall ในรถยนต์ก็จะเป็นแผ่นโลหะใช้แยกส่วนของเครื่องยนต์และส่วนของที่นั่งของผู้ โดยสารออกจากกัน ในเครือข่าย Internet นั้น firewall อาจถูกใช้สาหรับป้องกันไม่ให้ "ไฟ" จากเครือข่าย Internet ภายนอกลามเข้ามาภายในเครือข่าย LAN ส่วนตัวของท่านได้ หรืออาจถูกใช้เพื่อป้องกันไม่ให้ผู้ใช้ใน LAN ของท่านออกไปโดน "ไฟ" ในเครือข่าย Internet ภายนอกได้ ตามคาจากัดความแล้ว firewall หมายความถึง ระบบหนึ่งหรือกลุ่มของระบบที่บังคับใช้นโยบายการควบคุมการเข้าถึงของระหว่าง เครือข่ายสองเครือข่าย โดยที่วิธีการกระทานั้นก็จะแตกต่างกันไปแล้วแต่ระบบ แต่โดยหลักการแล้วเราสามารถมอง firewall ได้ว่าประกอบด้วยกลไกสองส่วนโดยส่วนแรกมีหน้าที่ในการกั้น traffic และส่วนที่สองมีหน้าที่ในการปล่อย traffic ให้ผ่านไปได้

Audit Control Software ทุกองค์กรที่ต้องการจัดการควบคุม software ต่างๆ ให้เป็นตามกฎหมายอีกทั้ง IT department ควรจะมีการบันทึก ตรวจสอบระบบอย่างสม่าเสมอ

Lack of security จะเกิดอะไรขึ้นถ้าขาดระบบรักษาความปลอดภัย เช่น ธุรกิจระบบการเงินการธนาคาร สายการบิน จะเกิดความเสี่ยงมากขึ้นถ้าขาดระบบรักษาความปลอดภัยจะส่งผลต่อความเชื่อมั่น การสูญหายของข้อมูล ร่วมถึงการโจรกรรม วิธีการง่ายๆสาหรับการสร้าง Technological Safeguards คือ Backups ข้อมูลบ่อยๆ, ติด CCTV, ใช้ UPS

Protecting Information Resources Risk (ความเสี่ยง)

โอกาสที่ภัยคุกคามต่างๆ สามารถเกิดขึ้นได้ ไม่ว่าจะเป็นผลกระทบทางด้านชื่อเสียง ความเชื่อมั่นจากลูกค้า
Risk management (วิธีการจัดการความเสี่ยง) ต้องประเมินได้ว่าความเสี่ยงที่เกิดขึ้นได้ มีอะไรได้บ้าง Risk assessment (การประเมินความเสี่ยง)
1 ระบุรายการออกมาว่าความเสี่ยงที่อาจเกิดขึ้นคืออะไร
2 ระบุรายการออกมาว่าความเสี่ยงที่อาจเกิดขึ้นได้กี่ครั้งภายใน 1 ปี คิดเป็น prob อะไรคือความเสี่ยงที่น้อยที่สุดเช่นให้
3 ระบุรายการออกมาว่าหากเกิดเหตุการณ์นั้นขึ้น จะสร้างมูลค่าความเสียหายเท่าใด ต้องกาหนดเป็นตัวเงินให้ได้
4 คูณ prob กับ มูลค่าความเสียหาย เพื่อกาหนดเป็นมูลค่า expected Risk analysis (การวิเคราะห์ความเสี่ยง)

เราจะรู้ได้อย่างไรมูลค่าที่เราจะลงทุนไปกับการจัดการกับความเสี่ยงเช่นผล กระทบในเรื่องของ virus มีมูลค่า 1,000,000 บาท เราก็ไม่ควรลงทุนในการจัดการกับความเสี่ยงนี้เกิน 1,000,000 บาท - Risk reduction ลงทุนไปกับระบบรักษาความปลอดภัย เพื่อรับค่าใช้จ่ายที่น้อยกว่าค่าความเสียหาย expected ที่อาจเกิดขึ้น - Risk acceptance ยอมรับกับความเสี่ยงที่จะเกิดขึ้น - Risk transfer ย้ายโอนความเสี่ยงที่เกิดขึ้นให้ outsource แบกรับความเสี่ยงแทนหรือองค์กรไม่มีความชานาญในการทาระบบรักษาความปลอดภัย

Disaster recovery planning การจัดทาแผนถึงการจัดการเมื่อความเสี่ยงที่เราประเมินไว้เกิดขึ้น

Business continuity planning การจัดทาแผนถึงระยะเวลาที่น้อยที่สุด( Down time) ให้เกิดขึ้นกรณีที่มีความเสียหายและมีการจัดลาดับความสาคัญของแผนกในการ แก้ไขความเสียหาย

Security policy การกาหนดนโยบายรักษาความปลอดภัย, ตั้งเป้าหมายของระบบควบคุมรักษาความปลอดภัยรวมถึงระบุกระบวนการที่จะทาให้ ถึงเป้าหมาย มีการกาหนดพฤติกรรมที่ก่อให้เกิดความเสี่ยง ความไม่เหมาะสม มีการกาหนดสิทธิในการเข้าถึงข้อมูลขององค์กร

Authorization management systems
การตรวจสอบภายใน โดยฝ่ายตรวจสอบภายในของบริษัทเองซึ่ง "ผู้ตรวจสอบภายใน" ควรศึกษาองค์ความรู้ที่จาเป็นต้องใช้ในการปฏิบัติงานตรวจสอบภายใน ได้แก่ "Corporate Governance Framework", "COSO ERM Framework" , "COSO Based Audit", "Risk-Based Audit" ซึ่งผู้ตรวจสอบภายในควรสอบวัดความรู้เป็นผู้ตรวจสอบภายในที่ได้รับการรับรอง แบบสากล ได้แก่ การสอบ "CIA" หรือ "Certified Internal Auditor" ซึ่งได้รับการรับรองโดย The Institute of Internal Auditors หรือ IIA

Computer Forensics
คือ การค้นหา และเก็บหลักฐานทางดิจิตอลที่อยู่ในอุปกรณ์คอมพิวเตอร์ เช่น ไฟล์ที่อยู่ใน พีซี โน้ตบุ๊ก หรือพีดีเอ เป็นต้น หรือหลักฐานดิจิตอลที่ถูกสร้างจากระบบคอมพิวเตอร์ ซึ่งข้อมูลเหล่านี้สามารถนาไปใช้ระบุผู้กระทาผิด จนถึงเป็นหลักฐานในชั้นศาลได้ช่น บันทึกการใช้งานโทรศัพท์ ข้อมูลของการใช้อินเทอร์เน็ตเป็นต้น ซึ่งหลักฐานทั้งหมดนี้จะถูกนามาวิเคราะห์ว่าหลักฐานนี้เกิดขึ้นเมื่อไหร จากอะไร ตอนนี้ใช้ทาอะไร และถูกใช้โดยใครเป็นต้น

Security Triangle ระบบที่มีความปลอดภัยสูง จะมีcostสูงตามไปด้วย ระบบที่มีความปลอดภัยสูง จะมีความง่ายต่อการใช้งานกน้อยลงไปด้วยเช่นกัน ดังนั้นองค์กรควรหาจุดสมดุลระหว่างความปลอดภัย ค่าใช้จ่าย และความง่ายต่อการใช้งาน

page revision: 5, last edited: 15 Mar 2011 11:26
EditTags History Files Print Site tools+ Options