ความเสี่ยงในการใช้อินเทอร์เน็ต internet...
TRANSCRIPT
ความเสยงในการใชคอมพวเตอร Computer Security Risks
ภาควชาวทยาการคอมพวเตอรและเทคโนโลย
คณะวทยาศาสตร มหาวทยาลยนเรศวร
1
วตถประสงค
• เพอใหเขาใจถงความเสยงและภยในรปแบบตางๆ จากการใชคอมพวเตอร และอนเทอรเนต พรอมเรยนรวธปองกนเบองตน
• เพอใหสามารถน าความรทไดรบไปใชในชวตประจ าวน การเรยน และการท างานได
• เพอใหเขาใจบทบาทหนาทของตวเองในดานการใชงานคอมพวเตอรและอนเทอรเนต โดยทไมกาวกายสทธของผ อน
2
องคประกอบหลกของ Security [1]
• ความลบ (Confidentiality)
– ขอมลตองไมถกเปดเผยใหแกบคคลอนทไมมสทธ
– ขอมลทตองการ “ความลบ” อาจเปน ขอมลบตรเครดตของคณเอง เอกสารการเงนของหนวยงาน หรอ บทสนทนาตางๆ เปนตน
• ความสมบรณของขอมล (Integrity)
– ขอมลตองไมถกเปลยนแปลงหรอแกไขใหตางไปจากเดม
– ขอมลทสญเสย “ความสมบรณ” เชน ขาวในหนาเวบทถกเปลยนแปลงเพอสรางความแตกแยกในสงคม ขอมลทางธรกรรมการเงนทถกเปลยนแปลงโดยมชอบ เปนตน
3
องคประกอบของ Security [2]
• ความพรอมในการท างาน (Availability)
– ระบบคอมพวเตอรตองพรอมในการท างาน ในการใหบรการอยเสมอ
– ตวอยางของระบบทตองการ Availability สง ไดแก เวบ hotmail หรอ
gmail, facebook ทใหบรการทกวนตลอด 24 ชวโมง เปนตน
4
ค าส าคญทเกยวของกบ Security • Authenticity – การยนยนตวตนของบคคลหนง เชน การเขาระบบดวยการใช
username และ password
• Authority –อ ำนำจของบคคลในการกระท าใดๆ ตามสทธทตนไดรบ – เชน อาจารยมอ านาจในการกรอกคะแนนในระบบทะเบยน แตนสตไมมอ านาจนน
• Privacy – ก าหนดระดบความเปนสวนตวของบคคล – ขอมลสวนตวของเราตองสามารถก าหนดระดบในการเปดเผยได
• Non-Repudiation –กำรหำมปฏเสธควำมรบผดชอบ – วธการสอสารซงผสงขอมลไดรบหลกฐานวาไดมการสงขอมลแลวและผ รบกไดรบการ
ยนยนวาผสงเปนใคร ดงนนทงผสงและผ รบจะไมสามารถปฏเสธไดวาไมมความเกยวของกบขอมลดงกลาวในภายหลง
5
ท าไมจงเกดความเสยง
คอมพวเตอรในอดตไมไดถกออกแบบมากบ Security จ านวนผใชเพมขนจากเดมหลายเทา ประสทธภาพการสอสารสงขน = ชองทางบกรกทเพมขน (และงายดายขน) ผใชและผบรหารไมเหนความส าคญของ Security บคลากรขาดความรความเขาใจ และขาดการจดการเชงนโยบาย ขนตอนการจดการดาน Security ไมดพอ ฯลฯ
สรป: ความเสยงไมไดเกดขนในแงของ “เทคโนโลย” เพยงอยางเดยว แตยงเกยวของกบทง “ผใชงาน” และ “ขนตอนด าเนนงาน” อกดวย
(People, Process, และ Technology)
6
ความเสยงทางกายภาพ (Physical Threats)
• ภยจากการโจรกรรม เชน ขโมยอปกรณคอมพวเตอร ขโมยบตรเครดต ฯลฯ
• ภยจากอบตเหต เชน ไฟฟาลดวงจร ไฟฟาขดของ อปกรณตก น าหก ฯลฯ
• ภยธรรมชาต เชน น าทวม ไฟฟากระชาก ฟาผา ฯลฯ
• การบกรกทางกายภาพ เขาถงคอมพวเตอร และทรพยากรโดยตรง กระทบตอทง Confidentiality, Integrity, และ Availability
7
วธปองกนความเสยงทางกายภาพ จะเลอกใชวธใด กแลวแตระดบความส าคญของระบบคอมพวเตอรนนๆ
• ลอกตวเครองคอมพวเตอร
• แบงแยกพนทอยางชดเจน เชน ใหแยกหองเซรฟเวอรและมยามคมหนาประต
• ตดตงกลองวงจรปด
• ส ารองขอมลไวอยางสม าเสมอ
• ใชระบบจายไฟฟาส ารอง หรอ UPS
• วางแผนระบบก คนขอมล
• ส าหรบทน าทวมงาย ใหวางต าแหนงปลกไฟในทสง
• ฯลฯ
8
ความเสยงสวนบคคล (Personnel Threats)
• การถกเดารหสผานเขาระบบ
• การถกปลอมตวเขามาในระบบแทน โดยอาจปลอมทางกายภาพ (ใชบตรปลอม เปนตน) หรออาจปลอมทางอเลกทรอนกส (log on เขามาเปนอกคนหนง)
• การกอปป หรอใชงานซอฟตแวรผดกฎหมาย
• การถกลกลอบอานขอความสวนตว เชน อเมล ขอความ เปนตน
• การถกทราบถงพฤตกรรมการใชงานคอมพวเตอรทเปนสวนตว
• การถกโจมตโดยเทคนควศวกรรมสงคม (Social Engineering) คอ
กำรใชอบำยหลอกเอำขอมลมำ
9
วธปองกนความเสยงสวนบคคล • ตงรหสผานใหยาว ประกอบไปดวยตวอกษรและตวเลข
• เปลยนรหสผานเปนระยะ
• เขารหสขอมลกอนน าไปจดเกบ หรอจดสง
• ไมตงใหระบบจดจ ารหสผานโดยอตโนมต
• ลบไฟลชวคราวทงเปนระยะๆ – ยกตวอยางเชน ไฟลชวคราวใน Internet Explorer 8 (ในเมน Tools -> Internet
Options -> Browsing History -> Settings -> View files) จะเกบไฟลรป สครปต หรอ cookie ของเวบทเคยถกเขาถงในอดต
• จ ากดการใชงาน cookie ในเวบทไมนาเชอถอ – cookie สวนมากจะเกบขอมลการใชงานของเวบหนงๆ ของเราเอาไว
10
ภยคกคาม รปแบบตางๆ
• ภยคกคามตอขอมล ในดาน Confidentiality, Integrity, และ Availability
– การดกฟงการสนทนา หรอการสอดแนม ขอความสอสาร (Snooping)
– การแกไขขอมลโดยไมไดรบอนญาต (Data fraud)
– การจโจมทท าใหเครองคอมพวเตอรท างานลมเหลว (เชน flooding)
• ภยคกคามตอซอฟตแวร – Virus, Worm, Trojan Horse, Back Door, และ Hoax
– ชองโหวของระบบปฏบตการ
• ภยคกคามในการใชอนเทอรเนต – SPAM Mail, Spoofing, DoS
11
Sniffing/ Snooping
เปนกำรดกฟงขอควำมทอยในระหวำงกำรสอสำร
วธปองกน: ตองเขารหสขอมลกอนสง
12
Data Fraud
• ขอมลปลอมบำงสวน หรอทงหมด
• มแนวโนมวำ data fraud จะเพมข นเรอยๆ
สรป: ในยคทสอดจตอลเฟองฟ เรำตองระมดระวงในกำรรบขอมลขำวสำร
ตวอยำงทเหนไดชด: • กำรตดตอภำพ ทท ำใหหลงเชอ
• ขอมลทบดเบอนในเฟสบค
13
Availability Attacks
• เปนการท าใหเครองเปาหมายใหบรการชาลง หรอ ไมไดอกตอไป ไดแกวธการเหลาน
• Flooding
• DoS (Denial of Service)
• DDoS (Distributed DoS)
• Smurf
• ICMP Attack
• Ping Attack
• ซงจะท ำให ระบบมภำระมำกเกนควำมจ ำเปน จนใหบรกำรชำลง หรอ ไมสำมำรถใหบรกำร
ไดอกตอไป
14
ภยจาก Virus Computer
• Boot Virus
• File Virus
• Macro Virus
15
Virus Protection
• ใชโปรแกรมก ำจดไวรส
• ตดตงโปรแกรมไฟรวอลล (Firewall)
• ตดตง patch อยำงสม ำเสมอ
• ไมโหลดไฟลจำกอนเทอรเนตสมสสมหำ (หรอไมกเชคไวรสกอนเปด)
• ปดกำรใชงำน Macro
• ส ำรองขอมลส ำคญเผอกรณฉกเฉน
• ดนำมสกลของไฟลใหชดเจนกอนคลก
• ฯลฯ
16
Worm
หนอนจะคบคลำนไปตำมอนเทอรเนต
และเจำะเขำสระบบทมชองโหว ปองกนโดย
- ตดตง patch และ update ลำสดของทง OS และซอฟตแวรอนๆ (เชน IE)
- ไมแชรโฟลเดอรโดยไมมกำรปองกน
- ตดตงโปรแกรมก ำจดไวรส
17
Trojan Horse เปนโปรแกรมปกต ทน ำมำตดตงได แต
แอบมพฤตกรรมในเชงไมด เชนแอบสอด
แนม ลกลอบขโมยขอมล เปนตน
ปองกนโดย
- ไมดำวนโหลดโปรแกรมจำกขำงนอก
มำใชงำน โดยเฉพำะโปรแกรมทไมผำน
กำรตรวจสอบ (ดรปขวำบน)
- ตดตงโปรแกรมจ ำพวก Trojan
Remover / AntiVirus
- อำนหนำตำงแสดงค ำเตอนของ
วนโดวสบำง ถำยงไมแนใจ ใหกด no
18
Backdoor Attack เปนกำรสรำงทำงลบเขำสระบบ โดยอำจเกดจำก
โปรแกรมทเปน Trojan เปดชองทำงในกำรเขำระบบโดยไมไดรบอนญำต
19
SPAM Mail & Phishing
SPAM เมลขยะทงหลาย!!! Phishing เมลหลอกลวง
ลองสงเกตชอผสงอเมลของธ.กสกรไทย
ชอผสงดนมำจำก thaimail..!!!
20
Spoofing การปลอมตว • การปลอมตวเปนอกคน เพอหลอกอกคน วาก าลงตดตอกบตวจรงอย
• ปลอม email ปลอม facebook
• สรางเวบปลอม (ตองสงเกต URL ดๆ) • ผใชตองมความระมดระวงในการรบหรอสงขอมล
• กอนจะเชอถอขอมลในอนเทอรเนต ควรตรวจสอบใหแนใจเสยกอนวาถกตอง
• อานหนาตางและขอความภาษาองกฤษใหเขาใจกอนคลกทกครง!!!
21
IP Spoofing
• ไอพสปฟง (IP Spoofing) หมายถง การทผบกรกอยนอกเครอขาย แลวแสรงท าเปนวาเปนคอมพวเตอรทเชอถอได โดยอาจใชไอพแอดเดรสเหมอนกบทใชในเครอขาย หรออาจใชไอพอแดเดรสขางนอก ทเครอขายเชอวาเปนคอมพวเตอรทเชอไดหรออนญาตใหเขาใชทรพยากรในเครอขายได
22
Conclusion
• ตดตงโปรแกรมก าจดไวรส
• อพเดตวนโดวส และซอฟตแวรตางๆ อยางสม าเสมอ (ใช autoupdate)
• ตดตงโปรแกรมจากแหลงทเชอถอไดเทานน
• ตรวจสอบไวรสกอนจะน าเอาขอมลมาใสในฮารดดสก
• อานทกอยางทกขอความกอนกดป มตอบรบ ไมวาจะเปน yes หรอ no
• ส ารองขอมลส าคญเกบไวอกทหนง
• ตงรหสผานใหยาว และเปลยนรหสผานเรอยๆ • ปดเครอง ปดบราวเซอร หรอปดโปรแกรมทกครงทเลกใชงาน
• *ระวงเปนพเศษเวลาไปใชคอมพวเตอรตามทสาธารณะ
23