แผ่นที่ 1 ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ Thai Computer Emergency Response Team Thai Cert ปัจจุบันมีการใช้งานอินเตอร์เน็ตอย่างแพร่หลาย องค์กรต่างๆทั้งภาครัฐและภาคเอกชนรวมถึงประชาชนโดยทั่วไปใช้อินเตอร์เน็ตในการติดต่อสื่อสาร การเผยแพร่ข้อมูล หรือเป็นแหล่งข้อมูล ทั้งนี้เพื่อวัตถุประสงค์ทางด้านต่างๆ อาทิเช่น การศึกษา การพาณิชย์ การดำเนินงานขององค์กร ภารกิจส่วนตัว หรือแม้แต่เพื่อความบันเทิง จากการที่มีผู้ใช้อินเตอร์เน็ตทั่วโลกจำนวนมากและมีแนวโน้มที่เพิ่มขึ้นอย่างรวดเร็ว ประกอบกับข้อมูลที่อยู่บนอินเตอร์เน็ตมีมูลค่าทางเศรษฐกิจ สังคม และ/หรือ ความมั่นคงต่อบุคคล/องค์กร/ประเทศ ทำให้เป็นแรงจูงใจให้เกิดอาชญากรรมชนิดใหม่ขึ้นบนอินเตอร์เน็ต นั่นคืออาชญากรรมคอมพิวเตอร์โดยรูปแบบของอาชญากรรมมีได้หลากหลาย อาทิเช่น การโจรกรรมข้อมูล การลักลอบเปลี่ยนแปลง การรบกวนหรือขัดขวางการให้บริการ การทำลายระบบคอมพิวเตอร์ ทั้งนี้เนื่องจากเทคโนโลยีที่เอื้ออำนวยและไม่มีข้อจำกัดทางด้านสถานที่ตั้งซึ่งอาชญากรสามารถเลือกโจมตีต่อเป้าหมาย ณ จุดใดๆ ก็ได้บนโลก โดยอาศัยเพียงการเชื่อมต่อคอมพิวเตอร์ส่วนบุคคลเข้ากับระบบอินเทอร์เน็ต ยังผลให้การก่ออาชญากรรมคอมพิวเตอร์นี้สามารถกระทำได้โดยง่าย ซึ่งก่อให้เกิดความสูญเสียมูลค่ามหาศาล และยากต่อการจับกุม ปัจจุบันมีอาชญากรรมคอมพิวเตอร์เกิดขึ้นเป็นจำนวนมากแต่องค์กรที่เป็นผู้เสียหายมักไม่เปิดเผยเหตุการณ์ต่อสาธารณะเนื่องจากกลัวจะกระทบกระเทือนต่อภาพพจน์และการดำเนินงานขององค์กร ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ หรือ มีชื่อภาษาอังกฤษว่า Computer Security Incident Response Team (CISRT) หรือ Computer Emergency Response Team (CERT) มีหน้าที่หลักๆในการตอบโต้ และจัดการต่อเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยคอมพิวเตอร์บนอินเตอร์เน็ต โดยมีความมุ่งหมายเพื่อให้เกิดความปลอดภัยในการใช้งานระบบคอมพิวเตอร์และลดความเสี่ยงต่ออาชญากรรมคอมพิวเตอร์ให้กับสมาชิกหรือ ผู้ขอรับบริการ ซึ่งงานในหน้าที่ของ CERT ได้แก่ * การตอบสนองต่อเหตุการณ์ความปลอดภัยคอมพิวเตอร์ (Incidental Response) * การให้คำแนะนำในการปฏิบัติเพื่อความปลอดภัย (Alert and Advisory) * การพัฒนาเครื่องมือและแนวทางในการปฏิบัติเพื่อเพิ่มความปลอดภัยในการใช้งานคอมพิวเตอร์ * การตรวจสอบความปลอดภัย (Security Audit) * การจัดสัมมนาอบรมในเรื่องความปลอดภัยคอมพิวเตอร์ (Security Training) * การเผยแพร่ข่าวสารความปลอดภัยคอมพิวเตอร์ (Public Awareness) ปัจจุบันมีหน่วยงานในหลายประเทศทั้งจากภาครัฐและภาคเอกชนได้จัดตั้งองค์กร ในลักษณะ CERT อาทิเช่น CERT/CC-Pitsburg สหรัฐอเมริกา, AUSCERT ออสเตรเลีย, JPCERT/CC ญี่ปุ่น, SigCERT สิงคโปร์, NISER มาเลเซีย และ อื่นๆ อีกมากกว่า 80 แห่ง ทั่วโลก ซึ่ง CERT ทุกแห่งก็มีความมุ่งหมายอันเดียวกัน คือการสร้างความปลอดภัยให้แก่ผู้ใช้งานคอมพิวเตอร์ที่เชื่อมต่อกับอินเตอร์เน็ต ต่างกันเพียงแต่รายละเอียดปลีกย่อยของการให้บริการต่อสมาชิก แผ่นที่ 2 ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ Thai Computer Emergency Response Team Thai Cert เหตุการณ์ละเมิดความปลอดภัย นั้นเกิดจากการที่ ผู้โจมตี อาศัย เครื่องมือ ต่างๆ มาฉวยโอกาสถึงความล่อแหลม ของระบบเพื่อจะสามารถ กระทำ ต่อ เป้าหมาย ให้บังเกิด ผลที่ไม่ได้รับอนุญาต เพื่อให้บรรลุวัตถุประสงค์ ของผู้โจมตี ดังแสดงในรูปด้านล่าง เหตุการณ์ละเมิดความปลอดภัยคอมพิวเตอร์ ผู้โจมตี Hackers Spies ผู้ก่อการร้าย สายลับในองค์กร อาชญากรมืออาชีพ Vandais Voyeurs เครื่องมือ การโจมตีทางกายภาพ การหาข้อมูล ใช้คำสั่งของผู้ใช้ โปรแกรม หรือ script Autonomous Agent Distributed Tool การดักอ่านข้อมูล ความล่อแหลม การออกแบบ การใช้งาน การตั้งค่า การกระทำ Probe Scan Flood Authenticate Bypass Spoof อ่าน สำเนา ขโมย เปลี่ยนแปลง ลบ เป้าหมาย account Process ข้อมูล Component คอมพิวเตอร์ เครือข่าย Internetwork ผลที่ไม่ได้รับอนุญาต การเข้าถึงที่เพิ่มขึ้น การเปิดเผยข้อมูล ข้อมูลเสียหาย Denial Of Service การขโมย resources จุดประสงค์ ท้าทาย สถานะ ตื่นเต้น ผลประโยชน์ทางการเมือง ผลประโยชน์ทางการเงิน ความเสียหาย ตัวอย่างเหตุการณ์ฯ เช่น ในกรณีของ Nimda worm ที่ผ่านมาจะเห็นได้ว่าจะประกอบไปด้วย 1. ผู้โจมตี - ในที่นี้คาดว่าจะเป็น Hacker, ผู้เขียนไวรัส, ผู้ประสงค์ร้าย 2. เครื่องมือ - คือโปรแกรม 3. ความล่อแหลม- เป็นความล่อแหลมที่เกิดขึ้นจากการออกแบบตัวโปรแกรมต่างๆ ที่ worm นี้ทำงานอยู่ได้ ได้แก่ โปรแกรมอ่าน e-mail ช่องโหว่ของระบบปฏิบัติการ (OS) การแชร์ไฟล์ผ่านเครือข่าย 4. การกระทำ- การกระทำของ worm นี้คือการคัดลอก (ตัวเอง), กระจายตัวผ่านเครือข่าย เพิ่ม traffice ของเครือข่ายทำให้เครือข่ายใช้งานไม่ได้ 5. เป้าหมาย- เป้าหมายของ worm นี้คือข้อมูลบนเครื่องคอมพิวเตอร์และเครือข่าย 6. ผลที่ไม่ได้รับอนุญาต- ในที่นี้คือทำให้เกิดการเปิดเผยของข้อมูลและข้อเสียหาย 7. จุดประสงค์- คาดว่าจะเพื่อความท้าทาย ความตื่นเต้น หรือผลประโยชน์อื่นแอบแฝง จะเห็นได้ว่าในการที่จะเกิดเหตุการณ์ละเมิดความปลอดภัยคอมพิวเตอร์นั้นจะต้องมีการเชื่อมต่อกันอย่างสมบูรณ์ของทั้ง 7 ขั้นตอนดังกล่าวนี้ ดังนั้นหากเราสามารถป้องกันไม่ให้มีการเชื่อมต่อที่สมบูรณ์ได้เราก็จะสามารถป้องกันไม่ให้เกิดเหตุการณ์ละเมิดความปลอดภัยคอมพิวเตอร์ขึ้นได้ แผ่นที่ 3 ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ Thai Computer Emergency Response Team Thai Cert ไวรัส คือ โปรแกรมขนาดเล็กที่แฝงตัวมากับโปรแกรมหรือไฟล์อื่นๆ ซึ่งไวรัสมีความสามารถที่จะสำเนาตัวเองได้โดยอัตโนมัติ และสามารถกระจายตัวเองโดยการแทรกตัวไปติดไฟล์ต่างๆ นอกจากนี้ไวรัสยังมีความสามารถที่จะสำเนาตัวเองไปยังคอมพิวเตอร์เครื่องอื่นได้โดยผ่านทางระบบเครือข่ายคอมพิวเตอร์ หรืออาศัย สื่อทางคอมพิวเตอร์อื่น เช่น แผ่นดิสก์ ซีดี เอ็ม.ดี. ฯลฯ การกระจายตัวของไวรัส (Virus Infection ) การกระจายตัวของไวรัสระหว่างเครื่องคอมพิวเตอร์ภายในเครือข่ายเดียวกัน หรือระหว่างเครือข่ายสามารถเกิดขึ้นได้หลายวิธี เช่น การแชร์ไฟล์ในระบบเครือข่าย อี-เมล์ซึ่งมี attachment file ที่มีไวรัสแอบแฝงอยู่ โปรแกรมที่ติดตั้งจากแผ่น diskette หรือ cd-rom เมื่อโปรแกรมนั้นๆ มีไวรัสแอบแฝงอยู่ การสำเนาไฟล์หรือข้อมูลจากเครื่องให้บริการ (server) Internet News Group ต่างๆ การรับส่งไฟล์ผ่านทางอินเทอร์เน็ต เมื่อไฟล์นั้นๆ เป็นไฟล์ที่ประกอบด้วยไวรัส ไม่ว่าจะเป็น WWW หรือ ICQ การแทรกตัวของไวรัสที่แฝงตัวใน web page ผ่าน ActiveX หรือ Java Script แผนภูมิวงกลมแสดงการแพร่กระจายไวรัสคอมพิวเตอร์ ในช่วง 10 ก.พ. - 10 พ.ค. 2545 มูลค่าความเสียหายที่เกิดขึ้นจากไวรัสคอมพิวเตอร์ทั่วโลก ปี พ.ศ. มูลค่าโดยรวมของความเสียหายที่เกิดขึ้น จาก Virus Computer (หมื่นล้าน US dollar) 2001 Nimda 0.63 2001 CodeRed(s) 2.62 2001 Sircam 1.05 2000 Love Bug 8.75 1999 Melissa 1.10 1999 Explorer 1.02 อ้างอิงจาก Computer Economics, Inc: 2001 หนอน (Worm) โปรแกรมคอมพิวเตอร์ที่สามารถแพร่กระจายได้ด้วยตัวเองผ่านระบบเน็ตเวิร์ก (E-mail) หรืออาศัยคุณสมบัติในตัวเองเช่น SMTP ทำให้แพร่กระจายรวดเร็ว โทรจัน (Trojan) โปรแกรมคอมพิวเตอร์ที่ถูกออกแบบให้แฝงตัวเองเข้าไปในระบบกับโปรแกรมอื่น เช่น รูปแบบ Flash เพื่อ ดัก จับ ดู และควบคุมการทำงาน เครื่องคอมพิวเตอร์ ของเป้าหมาย แต่จะไม่สำเนาตัวเองแพร่ไปสู่ระบบอื่น ข่าวหลอกลวง (Hoax) เป็นการส่งข้อความต่อๆ กันเหมือนจดหมายลูกโซ่เพื่อให้เกิดความเข้าใจผิด โดยอาศัยเทคนิคจิตวิทยา ทำให้ข่าวสารนั้นน่าเชื่อถือ เช่น ไวรัส A virtual card for you. โปรดอย่าดื่ม...... มือถือยี่ห้อ...... ฯลฯ แผ่นที่ 4 ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ Thai Computer Emergency Response Team Thai Cert วิธีการป้องกันไวรัสคอมพิวเตอร์ ทาง E-mail (อีเมล์) อย่าเปิดไฟล์ที่แนบมา จากบุคคลที่ไม่รู้จัก หรือไม่แน่ใจ อย่าเปิดไฟล์ที่แนบมา จนกว่าจะรู้ที่มา อย่าเปิดE-mail ที่มี subject ที่เป็น ข้อความจูงใจ เช่น ภาพเด็ด รหัสผ่าน เป็นต้น ลบE-mail ที่ไม่แน่ใจ ทิ้งทันที เพื่อตัดปัญหา ทั้งปวง อัพเดต โปรแกรมที่ใช้อ่าน อีเมล์ เช่น I.E. และ Outlook Express สร้าง Filter Rule ในโปรแกรมรับ-ส่ง E-mail แยกความสำคัญของ mail box ตามลำดับ ความสำคัญของ E-mail วิธีการป้องกันไวรัสคอมพิวเตอร์ ทางไฟล์ (File) และสื่อ (Media) เช่น Diskett, CD-ROM,DVD, Tape back up scan virus กับ สื่อ (media) ก่อนใช้งานทุกครั้ง ไม่ใช้ สื่อ (media) ที่ไม่ทราบแหล่งที่มา เช่น แผ่น pantip สร้าง virus - free start up disk สำหรับใช้ เวลาจำเป็น ควรใช้งานเอกสารเป็น RichTextFormat (.rtf) แทน DocumentFormat (.doc) ไม่ควรเปิดไฟล์ (file) ที่มีนามสกุลแปลกๆ เช่น image.txt.vbs ให้ลบทิ้งทันที วิธีการป้องกันไวรัสคอมพิวเตอร์ ทางอินเทอร์เน็ต ไม่เปิดไฟล์ที่แนบมากับ E-mail หรือ ICQ, IRC หรือ การแลกเปลี่ยนไฟล์ โดยเฉพาะ .exe .pif .com .bat .vbs ไม่ควรเข้าเว็บไซต์ที่มากับ E-mail, ICQ โฆษณาชวนเชื่อ ไม่ดาวน์โหลด ไฟล์ต่างๆ จาก เว็บไซต์ ที่ไม่มั่น ใจความปลอดภัย ติดตามข่าวสารข้อมูลไวรัสและแจ้งเตือนไวรัส อยู่เสมอ วิธีการป้องกันไวรัสคอมพิวเตอร์ ทางระบบ ติดตั้งโปรแกรม Antivirus ปรับปรุงฐานข้อมูลไวรัสอยู่เสมอ (update antivirus) ติดตั้ง patch ใหม่ๆ ระบบปฏิบัติการ ตั้งค่าของ OS ให้เห็นไฟล์ที่มีอยู่ทั้งหมด งด share file ต่างๆ ในองค์กร งดใช้ E-mail free ภายในองค์กร วิธีการป้องกันไวรัสคอมพิวเตอร์ นโยบายขององค์กร สำรองข้อมูลสำคัญไว้เสมอ จำกัดจำนวนและผู้ใช้ ในการใช้งานเครื่อง เลือกใช้การสแกน E-mail ตรวจสอบไวรัส ก่อน ส่งผ่านเข้ามาในระบบ ห้ามรับ-ส่ง เอกสารที่ลงท้ายด้วย .exe หรือ .vbs ในองค์กร พนักงานต้องไม่กำจัดไวรัสด้วยตนเอง ถ้าไม่มีความรู้ ตรวจสอบการดาวน์โหลดไฟล์ และการนำ โปรแกรมต่างๆ มาใช้ในองค์กร คาถาป้องกันไวรัส ไม่ใช้แผ่นมั่ว ไม่ชัวร์อย่าเปิด อย่าละเมิด Security (policy) ติดตามข่าวสารไวรัสดีๆ สำรองข้อมูลที่สำคัญ แผ่นที่ 5 ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ Thai Computer Emergency Response Team Thai Cert การตรวจสอบกระบวนการแจ้งเหตุ เพื่อพิสูจน์ตัวตน ที่อยู่....................................................... ชื่อ-นามสกุล............................................ ชื่อองค์กร............................................... เบอร์โทรศัพท์.............. โทรสาร................ อีเมล์ (E-mail) .......................................... ประเภทขององค์กร (รัฐ , เอกชน, ส่วนตัว) รายละเอียดของเหตุการณ์ ชื่อ Host และ IP address หน้าที่ของ Host เวลา และย่านเวลา รายละเอียดของเหตุการณ์ (log file วันที่ เวลา) Log file วันที่และเวลา Version ของซอฟต์แวร์ Patch ผลที่เกิดขึ้น แผ่นที่ 6 Vendor/developer ช่องโหว่ (Hole) ข้อบกพร่อง (Bug) โปรแกรมแก้ไขข้อบกพร่อง (Patch release) การยกระดับโปรแกรม (Upgrade) การติดตั้งค่าโดยปริยาย (Default installation) Hardening ข้อมูล (Data) โฮสต์ (Host) เครือข่าย (Network) อินเทอร์เน็ต (Internet) ทางกายภาพ (Physical) เชิงตรรก (Logical) นโยบายการเสริมสร้างความแข็งแกร่งของระบบ (Policy) Prepare/ Prevent ไฟล์ และไดเร็กทอรี่ (File + directory) กระบวนการ (Process) เคอร์แนล (Kernel) ประสิทธิภาพ (Performance) เครือข่าย (Network) การกู้ระบบ (Disaster Recovery) ความลับของผู้ใช้ (User Confidential) กระบวนการ (Procedure) สมุดบันทึก (Log book) การติดต่อ (Contacts) ระบบทดสอบ (Test Evironment) นโยบายการเตรียมพร้อมและป้องกัน (Policy) Detect / Capture การวิเคราะห์ (Analysis) การตรวจดู เฝ้าดูข้อมูล (Mornitor info) ระบบการตรวจจับการบุกรุก (IDS) กระบวนการแจ้งเตือน (Alarm process) นโยบายการตรวจจับ (Policy) การตรวจสอบ (Audit) การดักจับข้อมูล (Sniffer) ไฟร์วอลล์ (Firewall) โปรแกรมป้องกันไวรัส (Antivirus software) Response / Recovery การวิเคราะห์ (Analysis) การวิเคราะห์จากหลักฐาน (Forensics) การประชาสัมพันธ์ (PR) การรับมือกับเหตุการณ์ความปลอดภัยคอมพิวเตอร์ (Incident Response) การสำรองข้อมูล (Back up) การดำเนินคดีตามกฎหมาย (Law enforcement) นโยบายการรับมือกับเหตุการณ์ (Policy) ระบบรับมือกับเหตุการณ์อัตโนมัติ (Auto-Response System) ทีมวิเคราะห์นโยบาย (Policy Team) Improve โปรแกรมแก้ไขข้อบกพรอ่ง (Patch) การฝึกอบรม (Training) ฐานความรู้ (Knowledge base) นโยบายการปรับปรุง (Policy)