ความเสยงในการใชคอมพวเตอร Computer Security Risks

ภาควชาวทยาการคอมพวเตอรและเทคโนโลย

คณะวทยาศาสตร มหาวทยาลยนเรศวร

1

วตถประสงค

• เพอใหเขาใจถงความเสยงและภยในรปแบบตางๆ จากการใชคอมพวเตอร และอนเทอรเนต พรอมเรยนรวธปองกนเบองตน

• เพอใหสามารถน าความรทไดรบไปใชในชวตประจ าวน การเรยน และการท างานได

• เพอใหเขาใจบทบาทหนาทของตวเองในดานการใชงานคอมพวเตอรและอนเทอรเนต โดยทไมกาวกายสทธของผ อน

2

องคประกอบหลกของ Security [1]

• ความลบ (Confidentiality)

– ขอมลตองไมถกเปดเผยใหแกบคคลอนทไมมสทธ

– ขอมลทตองการ “ความลบ” อาจเปน ขอมลบตรเครดตของคณเอง เอกสารการเงนของหนวยงาน หรอ บทสนทนาตางๆ เปนตน

• ความสมบรณของขอมล (Integrity)

– ขอมลตองไมถกเปลยนแปลงหรอแกไขใหตางไปจากเดม

– ขอมลทสญเสย “ความสมบรณ” เชน ขาวในหนาเวบทถกเปลยนแปลงเพอสรางความแตกแยกในสงคม ขอมลทางธรกรรมการเงนทถกเปลยนแปลงโดยมชอบ เปนตน

3

องคประกอบของ Security [2]

• ความพรอมในการท างาน (Availability)

– ระบบคอมพวเตอรตองพรอมในการท างาน ในการใหบรการอยเสมอ

– ตวอยางของระบบทตองการ Availability สง ไดแก เวบ hotmail หรอ

gmail, facebook ทใหบรการทกวนตลอด 24 ชวโมง เปนตน

4

ค าส าคญทเกยวของกบ Security • Authenticity – การยนยนตวตนของบคคลหนง เชน การเขาระบบดวยการใช

username และ password

• Authority –อ ำนำจของบคคลในการกระท าใดๆ ตามสทธทตนไดรบ – เชน อาจารยมอ านาจในการกรอกคะแนนในระบบทะเบยน แตนสตไมมอ านาจนน

• Privacy – ก าหนดระดบความเปนสวนตวของบคคล – ขอมลสวนตวของเราตองสามารถก าหนดระดบในการเปดเผยได

• Non-Repudiation –กำรหำมปฏเสธควำมรบผดชอบ – วธการสอสารซงผสงขอมลไดรบหลกฐานวาไดมการสงขอมลแลวและผ รบกไดรบการ

ยนยนวาผสงเปนใคร ดงนนทงผสงและผ รบจะไมสามารถปฏเสธไดวาไมมความเกยวของกบขอมลดงกลาวในภายหลง

5

ท าไมจงเกดความเสยง

คอมพวเตอรในอดตไมไดถกออกแบบมากบ Security จ านวนผใชเพมขนจากเดมหลายเทา ประสทธภาพการสอสารสงขน = ชองทางบกรกทเพมขน (และงายดายขน) ผใชและผบรหารไมเหนความส าคญของ Security บคลากรขาดความรความเขาใจ และขาดการจดการเชงนโยบาย ขนตอนการจดการดาน Security ไมดพอ ฯลฯ

สรป: ความเสยงไมไดเกดขนในแงของ “เทคโนโลย” เพยงอยางเดยว แตยงเกยวของกบทง “ผใชงาน” และ “ขนตอนด าเนนงาน” อกดวย

(People, Process, และ Technology)

6

ความเสยงทางกายภาพ (Physical Threats)

• ภยจากการโจรกรรม เชน ขโมยอปกรณคอมพวเตอร ขโมยบตรเครดต ฯลฯ

• ภยจากอบตเหต เชน ไฟฟาลดวงจร ไฟฟาขดของ อปกรณตก น าหก ฯลฯ

• ภยธรรมชาต เชน น าทวม ไฟฟากระชาก ฟาผา ฯลฯ

• การบกรกทางกายภาพ เขาถงคอมพวเตอร และทรพยากรโดยตรง กระทบตอทง Confidentiality, Integrity, และ Availability

7

วธปองกนความเสยงทางกายภาพ จะเลอกใชวธใด กแลวแตระดบความส าคญของระบบคอมพวเตอรนนๆ

• ลอกตวเครองคอมพวเตอร

• แบงแยกพนทอยางชดเจน เชน ใหแยกหองเซรฟเวอรและมยามคมหนาประต

• ตดตงกลองวงจรปด

• ส ารองขอมลไวอยางสม าเสมอ

• ใชระบบจายไฟฟาส ารอง หรอ UPS

• วางแผนระบบก คนขอมล

• ส าหรบทน าทวมงาย ใหวางต าแหนงปลกไฟในทสง

• ฯลฯ

8

ความเสยงสวนบคคล (Personnel Threats)

• การถกเดารหสผานเขาระบบ

• การถกปลอมตวเขามาในระบบแทน โดยอาจปลอมทางกายภาพ (ใชบตรปลอม เปนตน) หรออาจปลอมทางอเลกทรอนกส (log on เขามาเปนอกคนหนง)

• การกอปป หรอใชงานซอฟตแวรผดกฎหมาย

• การถกลกลอบอานขอความสวนตว เชน อเมล ขอความ เปนตน

• การถกทราบถงพฤตกรรมการใชงานคอมพวเตอรทเปนสวนตว

• การถกโจมตโดยเทคนควศวกรรมสงคม (Social Engineering) คอ

กำรใชอบำยหลอกเอำขอมลมำ

9

วธปองกนความเสยงสวนบคคล • ตงรหสผานใหยาว ประกอบไปดวยตวอกษรและตวเลข

• เปลยนรหสผานเปนระยะ

• เขารหสขอมลกอนน าไปจดเกบ หรอจดสง

• ไมตงใหระบบจดจ ารหสผานโดยอตโนมต

• ลบไฟลชวคราวทงเปนระยะๆ – ยกตวอยางเชน ไฟลชวคราวใน Internet Explorer 8 (ในเมน Tools -> Internet

Options -> Browsing History -> Settings -> View files) จะเกบไฟลรป สครปต หรอ cookie ของเวบทเคยถกเขาถงในอดต

• จ ากดการใชงาน cookie ในเวบทไมนาเชอถอ – cookie สวนมากจะเกบขอมลการใชงานของเวบหนงๆ ของเราเอาไว

10

ภยคกคาม รปแบบตางๆ

• ภยคกคามตอขอมล ในดาน Confidentiality, Integrity, และ Availability

– การดกฟงการสนทนา หรอการสอดแนม ขอความสอสาร (Snooping)

– การแกไขขอมลโดยไมไดรบอนญาต (Data fraud)

– การจโจมทท าใหเครองคอมพวเตอรท างานลมเหลว (เชน flooding)

• ภยคกคามตอซอฟตแวร – Virus, Worm, Trojan Horse, Back Door, และ Hoax

– ชองโหวของระบบปฏบตการ

• ภยคกคามในการใชอนเทอรเนต – SPAM Mail, Spoofing, DoS

11

Sniffing/ Snooping

เปนกำรดกฟงขอควำมทอยในระหวำงกำรสอสำร

วธปองกน: ตองเขารหสขอมลกอนสง

12

Data Fraud

• ขอมลปลอมบำงสวน หรอทงหมด

• มแนวโนมวำ data fraud จะเพมข นเรอยๆ

สรป: ในยคทสอดจตอลเฟองฟ เรำตองระมดระวงในกำรรบขอมลขำวสำร

ตวอยำงทเหนไดชด: • กำรตดตอภำพ ทท ำใหหลงเชอ

• ขอมลทบดเบอนในเฟสบค

13

Availability Attacks

• เปนการท าใหเครองเปาหมายใหบรการชาลง หรอ ไมไดอกตอไป ไดแกวธการเหลาน

• Flooding

• DoS (Denial of Service)

• DDoS (Distributed DoS)

• Smurf

• ICMP Attack

• Ping Attack

• ซงจะท ำให ระบบมภำระมำกเกนควำมจ ำเปน จนใหบรกำรชำลง หรอ ไมสำมำรถใหบรกำร

ไดอกตอไป

14

ภยจาก Virus Computer

• Boot Virus

• File Virus

• Macro Virus

15

Virus Protection

• ใชโปรแกรมก ำจดไวรส

• ตดตงโปรแกรมไฟรวอลล (Firewall)

• ตดตง patch อยำงสม ำเสมอ

• ไมโหลดไฟลจำกอนเทอรเนตสมสสมหำ (หรอไมกเชคไวรสกอนเปด)

• ปดกำรใชงำน Macro

• ส ำรองขอมลส ำคญเผอกรณฉกเฉน

• ดนำมสกลของไฟลใหชดเจนกอนคลก

• ฯลฯ

16

Worm

หนอนจะคบคลำนไปตำมอนเทอรเนต

และเจำะเขำสระบบทมชองโหว ปองกนโดย

- ตดตง patch และ update ลำสดของทง OS และซอฟตแวรอนๆ (เชน IE)

- ไมแชรโฟลเดอรโดยไมมกำรปองกน

- ตดตงโปรแกรมก ำจดไวรส

17

Trojan Horse เปนโปรแกรมปกต ทน ำมำตดตงได แต

แอบมพฤตกรรมในเชงไมด เชนแอบสอด

แนม ลกลอบขโมยขอมล เปนตน

ปองกนโดย

- ไมดำวนโหลดโปรแกรมจำกขำงนอก

มำใชงำน โดยเฉพำะโปรแกรมทไมผำน

กำรตรวจสอบ (ดรปขวำบน)

- ตดตงโปรแกรมจ ำพวก Trojan

Remover / AntiVirus

- อำนหนำตำงแสดงค ำเตอนของ

วนโดวสบำง ถำยงไมแนใจ ใหกด no

18

Backdoor Attack เปนกำรสรำงทำงลบเขำสระบบ โดยอำจเกดจำก

โปรแกรมทเปน Trojan เปดชองทำงในกำรเขำระบบโดยไมไดรบอนญำต

19

SPAM Mail & Phishing

SPAM เมลขยะทงหลาย!!! Phishing เมลหลอกลวง

ลองสงเกตชอผสงอเมลของธ.กสกรไทย

ชอผสงดนมำจำก thaimail..!!!

20

Spoofing การปลอมตว • การปลอมตวเปนอกคน เพอหลอกอกคน วาก าลงตดตอกบตวจรงอย

• ปลอม email ปลอม facebook

• สรางเวบปลอม (ตองสงเกต URL ดๆ) • ผใชตองมความระมดระวงในการรบหรอสงขอมล

• กอนจะเชอถอขอมลในอนเทอรเนต ควรตรวจสอบใหแนใจเสยกอนวาถกตอง

• อานหนาตางและขอความภาษาองกฤษใหเขาใจกอนคลกทกครง!!!

21

IP Spoofing

• ไอพสปฟง (IP Spoofing) หมายถง การทผบกรกอยนอกเครอขาย แลวแสรงท าเปนวาเปนคอมพวเตอรทเชอถอได โดยอาจใชไอพแอดเดรสเหมอนกบทใชในเครอขาย หรออาจใชไอพอแดเดรสขางนอก ทเครอขายเชอวาเปนคอมพวเตอรทเชอไดหรออนญาตใหเขาใชทรพยากรในเครอขายได

22

Conclusion

• ตดตงโปรแกรมก าจดไวรส

• อพเดตวนโดวส และซอฟตแวรตางๆ อยางสม าเสมอ (ใช autoupdate)

• ตดตงโปรแกรมจากแหลงทเชอถอไดเทานน

• ตรวจสอบไวรสกอนจะน าเอาขอมลมาใสในฮารดดสก

• อานทกอยางทกขอความกอนกดป มตอบรบ ไมวาจะเปน yes หรอ no

• ส ารองขอมลส าคญเกบไวอกทหนง

• ตงรหสผานใหยาว และเปลยนรหสผานเรอยๆ • ปดเครอง ปดบราวเซอร หรอปดโปรแกรมทกครงทเลกใชงาน

• *ระวงเปนพเศษเวลาไปใชคอมพวเตอรตามทสาธารณะ

23