บทที่ 9 ภัยคุกคาม ช่องโหว่ และการโจมตี

บทที่9 ภัยคุกคาม ช่องโหว่ และการโจมตี
1. ภัยคุกคาม
คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่เป็นตัวแทนของการกระทำอันตรายต่อทรัพย์สิน [Whitman, J. Mattord, 2005]
ภัยคุกคาม Threat
ภัยคุกคาม Threat คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่เป็นตัวแทนของการะทำอันตรายต่อทรัพย์สิน
ภัยคุกคามมีหลายกลุ่ม เช่น
ภัยคุกคามที่เกิดขึ้นโดยเจตนา หรือบางกลุ่มเป็นภัยคุกคามที่เกิดขึ้นโดยไม่ได้เจตนา เช่ยภัยคุกคามจากธรรมชาติ หรือจากผู้ใช้ในองค์กรเอง
ภัยคุกคามที่สามารถทำลายช่องโหว่ ได้เท่านั้น จึงจะสามารถสร้างความเสียหายแก่ระบบได้ และจัดว่าภัยคุกคามนั้นเป็นความเสี่ยง Risk ที่อาจสร้างความเสียหายแก่สารสนเทศได้
สรุปประเภทของภัยคุกคาม
ความผิดพลาดที่เกิดจากบุคคล Human Error/Failure
ภัยร้ายต่อทรัพย์สินทางปัญญา Compromises to Intellectual Property
การจารกรรมหรือการรุกล้ำ Espionage or Trespass
การกรรโชกสารสนเทศ Information Extortion
อุบัติเหตุ ความเข้าใจผิดของพนักงาน
การละเมิดลิขสิทธิ์
การเข้าถึงหรือการรวบรวมข้อมูลโดยไม่ได้รับอนุญาต
การ Backmail การเผยแพร่สารสนเทศที่เป็นความลับ
สรุปประเภทของภัยคุกคาม(ต่อ)
ประเภทของภัยคุกคาม
การทำลายหรือทำให้เสียหาย Subotage or Vandalism
การลักขโมย Theft
ซอฟต์แวร์โจมตี Software Attack
ภัยธรรมชาติ Force of Nature
คุณธรรมของการบริการที่เบี่ยงเบนไป Deviation in Quality of Service
ตัวอย่างภัยคุกคาม
การทำลายระบบหรือสารสนเทศ
การลักขโมยหรือการโจรกรรมอุปกรณ์คอมพิวเตอร์หรือสารสนเทศ
ไวรัส, เวิร์ม, มาโคร, Dos
น้ำท่วม, ไฟไหม้, แผ่นดินไห, ไฟดับ
ISP, WAN, Service, Provider
1.ความผิดพลาดที่เกิดจากบุคคล Human Error/Failures
เป็นความผิดพลาดที่เกิดจากพนักงานหรือบุคคลที่ได้รับอนุญาตให้เข้าถึงสารสนเทศขององค์กรได้
อาจเกิดจากความไม่ได้ตั้งใจ เนื่องจากไม่มีประสบการณ์ หรือขาดการฝึกอบรม หรือคาดเดา เป็นต้น
ป้องกันภัยคุกคาม โดยการให้ความรู้ด้านความมั่นคงปลอดภัยของสารสนเทศ การฝึกอบรมอย่างสม่ำเสมอ
มีมาตรการควบคุม
2. ภัยร้ายต่อทรัพย์สินทางปัญญา Comromises to Intellectual Property
ทรัพย์สินทางปัญญา Intellectual Property คือทรัพย์สินที่จับต้องไม่ได้ ที่ถูกสร้างขึ้นมาโดยบุคคลหรือองค์กรใด ๆ หากต้องการนำทรัพย์สินทางปัญญาของผู้อื่นไปใช้ อาจต้องเสียค่าใช้จ่าย และจะต้องระบุแหล่งที่มาของทรัพย์สินดังกล่าวไว้อย่างชัดเจน
ในทางกฎหมาย การให้สิทธิในความเป็นเจ้าของทรัพย์สินทางปัญญา มี 4 ประเภทคือ ลิขสิทธิ์ (copyrights) ความลับทางการค้า(Trade Secrets) เครื่องหมายการค้า (Trade Marks) สิทธิบัตร(Patents)
การละเมิดความคุ้มครองทรัพย์สินทางปัญญาที่มากที่สุดคือ การละเมิดลิขสิทธิ์ซอฟต์แวร์
(Software Piracy)
สามารถหาความรู้เพิ่มเติม เรื่อง ทรัพย์สินทางปัญญาได้ที่ http://www.ipthailand.org
3. การจารกรรมหรือการรุกล้ำ Espionage or Trespass
การจารกรรมหรือการรุกล้ำ (Espionage or Trespass)
การจารกรรม Espionage เป็นการที่กระทำซึ่งใช้อุปกรณ์อิเลคทรอนิกส์ หรือตัวบุคคลในการจารกรรมสารสนเทศที่เป็นความลับ
ผู้จารกรรมจะใช้วิธีการต่าง ๆ เพื่อให้ถึงซึ่งสารสนเทศที่จัดเก็บไว้ และรวมรวมสารสนเทศนั้นโดยไม่ได้รับอนุญาต
Industrial Espionage วิธีนี้เป็นการใช้เทคนิคที่ถูกกฎหมายแต่ก้ำกึ่งความไม่ชอบธรรม เพื่อรวบรวมสารสนเทศที่สำคัญหรือความลับทางการค้าของคู่แข่งเพื่อนำมาหาผลประโยชน์
Shoulder Surfing คือการแอบดูข้อมูลส่วนตัวของผู้อื่นขณะทำธุรกรรมผ่านตู้ ATM
การรุกล้ำ Trespass คือ การกระทำที่ทำให้ผู้อื่นสามารถเข้าสู่ระบบเพื่อรวมรวมสารสนเทศที่ต้องการโดยไม่ได้รับอนุญาต
การควบคุม สามารถทำได้โดย การจำกัดสิทธิ์และพิสูจน์ตัวตนของผู้เข้าสู่ระบบทุกครั้งว่าเป็นบุคคลที่ได้รับอนุญาติจริง
ประเภทของ Espionage และ Trespass
1. Hacker บุคคลผู้ซึ่งสร้างซอฟต์แวร์คอมพิวเตอร์ขึ้นมา เพื่อให้ตนสามารถเข้าถึงสารสนเทศของผู้อื่นอย่างผิดกฎหมาย
แบ่งออกได้เป็น 2 ประเภท
1.1 Expert Hacker เป็นแฮคเกอร์ที่มีทักษะสูง ทำการพัฒนาโปรแกรมขนาดเล็กหรือซอฟต์แวร์สคริปต์ที่ใช้ในการเข้าถึงสารสนเทศในระบบของผู้อื่น ให้พวก Unskilled Hacker ใช้
1.2 Unskill Hacker คือ พวกแฮคเกอร์ที่มีทักษะน้อย ไม่สามารถสร้างโปรแกรมเจาะระบบได้เอง จึงเป็นผู้นำโปรแกรมไปเจาะระบบ หรือเข้าถึงสารสนเทศของผู้อื่น
ความแตกต่างระหว่าง Hacker / Cracker
Hacker มีเป้าหมายเพื่อทดสอบความสามารถหรือต้องการท้าท้าย โดยการเจาะระบบให้สำเร็จ
Cracker มีจุดประสงค์คือ ต้องการทำลายระบบความมั่นคง ปลอดภัยของระบบคอมพิวเตอร์หรือระบบสารสนเทศ
Phreaker คือ ผู้เจาะระบบเครือข่ายโทรศัพท์สาธารณ เพื่อให้ตนเองใช้โทรศัพท์โดยไม่เสียค่าใช้จ่าย หรือเพื่อรบกวนสัญญานโทรศัพท์
ภัยคุกคามประเภทนี้เรียกว่า ปฏิบัติการ Hacktivist หรือ Cyberactivist เป็นปฏิบัติการที่แซกแทรง หรือสร้างความสับสนให้กับระบบการทำงานบางอย่างในองค์กร เพื่อคัดค้านการดำเนินงาน นโยบาย หรือกิจกรรมบางอย่างขององค์กร หรือหน่วยงานของรัฐ
การก่อการร้ายบนโลกไซเบอร์ Cyberterrorism เป็นภัยคุกคามอีกรูปแบบหนึ่ง เป็นการก่อการร้ายผ่านระบบเครือข่ายหรือระบบอินเตอร์เน็ต
FBI ได้ให้นิยามของ Cybertierriorsm ว่า เป็นการโจมตีแบบไตร่ตรองไว้ก่อนต่อสารสนเทศ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ และข้อมูลซึ่งจะก่อให้เกิดความรุนแรงหรือทำลายเป้าหมาย โดยกลุ่มบุคคล หรือตัวแทนที่ไม่เปิดเผยนาม ที่มีเหตุจูงใจจากประเด็นการเมือง
1. การโจมตีแบบ SYN Flood
เป็นการโจมตีโดยการส่ง แพ็คเก็ต TCP ที่ตั้งค่า SYN บิตไว้ไปยังเป้าหมาย เสมือนกับการเริ่มต้นร้องขอการติดต่อแบบ TCP ตามปกติ (ผู้โจมตีสามารถปลอมไอพีของ source address ได้) เครื่องที่เป็นเป้าหมายก็จะตอบสนองโดยการส่ง SYN-ACK กลับมายัง source IP address ที่ระบุไว้ ซึ่งผู้โจมตีจะควบคุมเครื่องที่ถูกระบุใน source IP address ไม่ให้ส่งข้อมูลตอบกลับ ทำให้เกิดสภาวะ half-open ขึ้นที่เครื่องเป้าหมาย หากมีการส่ง SYN flood จำนวนมาก ก็จะทำให้คิวของการให้บริการของเครื่องเป้าหมายเต็ม ทำให้ไม่สามารถให้บริการตามปกติได้ นอกจากนี้ SYN flood ที่ส่งไปจำนวนมาก ยังอาจจะทำให้เกิดการใช้แบนด์วิดธ์อย่างเต็มที่อีกด้วย ดังรูป
2. การโจมตีแบบ ICMP Flood
เป็นการส่งแพ็คเก็ต ICMP ขนาดใหญ่จำนวนมากไปยังเป้าหมาย ทำให้เกิดการใช้งานแบนด์วิดธ์เต็มที่
3. การโจมตีแบบ UDP Flood
เป็นการส่งแพ็คเก็ต UDP จำนวนมากไปยังเป้าหมาย ซึ่งทำให้เกิดการใช้แบนด์วิดธ์อย่างเต็มที่ และหรือทำให้ทรัพยากรของเป้าหมายถูกใช้ไปจนหมด โดยจะส่ง UDP packet ไปยัง port ที่กำหนดไว้ เช่น 53 (DNS)
4. การโจมตีแบบ Teardrop
โดยปกติ เราเตอร์จะไม่ยอม ให้แพ็กเก็ตขนาดใหญ่ผ่านได้ จะต้องทำ Fragment เสียก่อนจึงจะยอมให้ผ่านได้ และเมื่อผ่านไปแล้วเครื่องของผู้รับปลายทางจะนำแพ็กเก็ตที่ถูกแบ่งออกเป็น ชิ้นส่วนต่าง ๆ ด้วยวิธีการ Fragment มารวมเข้าด้วยกันเป็นแพ็กเก็ตที่สมบูรณ์ การที่สามารถนำมารวมกันได้นี้จะต้องอาศัยค่า Offset ที่ปรากฏอยู่ในแพ็กเก็ตแรกและแพ็กเก็ตต่อๆ ไป
สำหรับการโจมตีแบบ Teardrop นี้ ผู้โจมตีจะส่งค่า Offset ในแพ็กเก็ตที่สองและต่อ ๆ ไปที่จะทำให้เครื่องรับปลายทางเกิดความสับสน หากระบบปฏิบัติการไม่สามารถรับมือกับปัญหานี้ก็จะทำให้ระบบหยุดการทำงานใน ทันที
5. การโจมตีแบบ Land Attack

5.1 ลักษณะการโจมตีประเภทนี้ เป็นการส่ง SYN ไปที่เครื่องเป้าหมาย เพื่อขอการเชื่อมต่อ ซึ่งเครื่องที่เป็นเป้าหมายจะต้องตอบรับคำขอการ เชื่อมต่อด้วย SYN ACK ไปที่เครื่องคอมพิวเตอร์ต้นทางเสมอ
5.2 แต่เนื่องจากว่า IP Address ของเครื่องต้นทางกับเครื่องที่ เป็น เป้าหมายนี้มี IP Address เดียวกัน โดยการใช้ วิธีการ สร้าง IP Address ลวง (โดยข้อเท็จจริงแล้ว เครื่องของ Hacker จะมี IP Address ที่ต่างกับ เครื่องเป้าหมาย อยู่แล้ว แต่จะใช้วิธีการทางซอฟต์แวร์ใน การส่งแพ็กเก็ตที่ ประกอบด้วยคำขอการเชื่อมต่อ พร้อมด้วย IP Address ปลอม) ซึ่งโปรโตคอลของเครื่องเป้าหมายไม่ สามารถ แยกแยะได้ ว่า IP Address ที่เข้ามาเป็นเครื่อง ปัจจุบันหรือไม่ ก็จะทำ การตอบสนองด้วย SYN ACK ออกไป

5.3 หากแอดเดรสที่ขอเชื่อมต่อเข้ามาเป็นแอดเดรสเดียวกับเครื่อง เป้าหมาย ผลก็คือ SYN ACK นี้จะย้อนเข้าหาตนเอง และ เช่นกันที่การปล่อย SYN ACK แต่ละครั้งจะต้องมีการปันส่วน ของหน่วยความจำเพื่อการนี้จำนวนหนึ่ง ซึ่งหากผู้โจมตีส่งคำขอ เชื่อมต่อออกมาอย่างต่อเนื่องก็จะเกิดปัญหาการจัดสรร หน่วยความจำ

ความเสียหายที่เกิดโดยการโจมตีในรูปแบบ DoS
ความเสียหายที่เกิดจาก DoS ส่งผลให้ผู้ใช้งานแต่ละส่วนไม่เหมือนกัน แล้วแต่ว่าเขาจะอยู่ในส่วนใด เช่น เป็นผู้เข้าไปใช้งาน เป็นพนักงานในองค์กรที่โดนโจมตีหรือเป็น เจ้าของเครื่องที่ถูกใช้ในการโจมตี หรือจะมองในแง่ขององค์กรที่โดนโจมตี ทุกๆ ฝ่ายล้วนแล้วแต่เป็นฝ่ายเสียทั้งนั้น ยกเว้นคนที่ทำให้เหตุการณ์นี้ เกิดขึ้น หรือคนที่เป็นคนบงการอยู่เบื้องหลังเท่านั้นที่ได้ประโยชน์จากการโจมตีนั้น

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: