บทที่ 7 ความปลอดภัยทางคอมพิวเตอร์

ความปลอดภยั และความเป็ นสว่ นตวั AใddนYoกurาCoรmใpaชnyคS้ loอganมพิวเตอรแ์ ละอินเทอรเ์ น็ต Logo 1

บทนาํ ความปลอดภยั •การดูแลจดั การ ฮารด์ แวร์ ซอฟตแ์ วร์ และขอ้ มลู ให้ พน้ จากอนั ตรายต่าง ๆ เชน่ อาชญากรรม คอมพิวเตอร์ ภยั ธรรมชาติ ภยั คุกคามอ่ืนๆ ความเป็ นสว่ นตวั •การปกป้องขอ้ มลู ส่วนตวั ท่ีไมต่ อ้ งการเปิ ดเผยของผูใ้ ช้ 2

อาชญากรรมคอมพิวเตอร์ อาชญากรคอมพิวเตอร์ • พนกั งานหรือลกู จา้ ง • แฮกเกอร์ (Hacker) • แครกเกอร์ (Cracker) • บุคคลภายนอก 3

รูปแบบของอาชญากรรม • การปลอมแปลงขอ้ มูล/บตั รเครดิต • การลกั ลอบเขา้ ระบบผ่านทางการส่ือสาร ขอ้ มูล • การเขา้ ถึงขอ้ มูลโดยผไู้ ม่มีสิทธิ • การทาํ สาํ เนาซอฟตแ์ วรท์ ่ีมีลิขสิทธ์ิ 4

วิธีก่ออาชญากรรมคอมพิวเตอร์ • การวางระเบิดเวลา (Bomb) • การโกงขอ้ มูล (Data diddling) เปลี่ยนแปลงแกไ้ ขก่อน/ขณะป้อนขอ้ มูลเขา้ สูร่ ะบบ • การโจมตเี วปไซต์ (Denial of service attract) ทาํ ใหผ้ มู้ ีสิทธิ์ใชเ้ ขา้ ไม่ได้ • การหลอกถามขอ้ มูล ผ่านทางอีเมล/์ โทรศพั ท/์ พดู คยุ (Social engineering) 5

วิธีก่ออาชญากรรมคอมพิวเตอร์ • การแอบใช้ (Piggybacking) ฉวยโอกาสใชง้ านกรณีที่ผใู้ ชไ้ ม่ logout • การขโมยทีละเล็กนอ้ ย (Salami technique) เงินเล็กนอ้ ยท่ีอาจมองขา้ ม • การเก็บจากขยะ (Scavenging) คน้ หาขอ้ มูลท่ีสาํ คญั จาก recycle bin 6

วิธีก่ออาชญากรรมคอมพิวเตอร์ • โปรแกรมกบั ดกั (Trapdoor/backdoor) แอบทาํ ช่องทางในการเขา้ ถึงโปรแกรมได้ • โปรแกรมมา้ โทรจนั (Trajan horse) ทาํ ลายโปรแกรม/ขอ้ มูล เม่ือมีการคดั ลอก • โปรแกรมแซบ (Zapping) โปรแกรมใชเ้ จาะระบบ 7

ความปลอดภยั • ความปลอดภยั ของเครื่องคอมพิวเตอร์ • ความปลอดภยั ของซอฟทแ์ วร์ • ความปลอดภยั ของขอ้ มูล 8

ความปลอดภยั ของเครอ่ื งคอมพิวเตอร์ • การป้องกนั การโจรกรรม • การใชง้ านอยา่ งระมดั ระวงั • การใชอ้ ปุ กรณไ์ ฟฟ้าสาํ รอง • การป้องกนั ความเสียหาย 9

ความปลอดภยั ของซอฟตแ์ วร์ • กรรมสิทธ์ิของซอฟตแ์ วร์ • Freeware • Shareware/trial ware • การละเมิดลิขสิทธิ์ • การโจรกรรมซอฟตแ์ วร์ • การป้องกนั ความเสียหาย 10

ความปลอดภยั ของขอ้ มูล • แผนการป้องกนั ขอ้ มูล • การโจรกรรมขอ้ มูล • การเขา้ ถึงขอ้ มูลเฉพาะผมู้ ีสิทธิ • การป้องกนั ความเสียหาย • การสาํ รองขอ้ มูล 11

การป้องกนั  การระบุตวั ผใู้ ชแ้ ละการเขา้ ถึงขอ้ มูล  การใชร้ หสั ผ่าน  การระบุผูใ้ ชโ้ ดยใชล้ กั ษณะทางพนั ธุกรรม : ลายน้ ิวมือ ลายมือ ใบหนา้ มา่ นตา  การใชล้ ายเซ็น เสียงพดู  การบตั รผ่าน  การปฏิบตั ิตน 12

การป้องกนั • การทาํ ลายขอ้ มูลท้ ิง • การควบคมุ ภายใน (log file) • การตรวจเช็คจากผตู้ รวจสอบ • การตรวจสอบผสู้ มคั ร • โปรแกรมป้องกนั 13

ไวรสั คอมพิวเตอร์ • โปรแกรมที่ออกแบบใหส้ ามารถแพรก่ ระจายตวั เอง ภายในคอมพิวเตอรไ์ ด้ • แพรก่ ระจายโดยเกาะตดิ ไปกบั ไฟล์ • ความเสียหายข้ ึนอยูก่ บั รายละเอียดการทาํ งานภายใน • การป้องกนั •ทาํ ไดโ้ ดยติดต้งั โปรแกรมตรวจสอบไวรสั •ไมน่ ําไฟลจ์ ากแหล่งอ่ืนเขา้ สู่เครื่อง 14

ชนิดของไวรสั คอมพิวเตอร์ • ไวรสั บูตเซ็กเตอร์ (boot sector virus) • ไวรสั คลสั เตอร์ (cluster virus) • ไวรสั โปรแกรม (file-infecting virus) • ไวรสั มาโคร (macro virus) • เวิรม์ (worm) • บอมบ์ (bomb) • มา้ โทรจนั (trojan horse) 15

หนอนและไวรัส หนอน (Worm) เป็ นโปรแกรมทถ่ี ่ายเทตวั เอง จากคอมพวิ เตอร์หน่ึง ไป ยงั คอมพวิ เตอร์อกี เครื่องหนึ่ง ผ่านทางระบบเครือข่าย และบันทกึ ตวั เองเป็ น ไฟล์ข้อมูล แยกต่างหากลงในทเ่ี กบ็ ข้อมูลเดยี วกนั โปรแกรมนีส้ ามารถ เพมิ่ จาํ นวนได้เอง อย่างควบคุมไม่ได้ ทาํ ให้พืน้ ทเี่ กบ็ ข้อมูลเตม็ จนกระทงั่ คอมพวิ เตอร์ไม่สามารถทาํ งานต่อได้ 16

หนอนและไวรัส ไวรัส (Virus) เป็ นโปรแกรมทสี่ ามารถดัดแปลงแก้ไขโปรแกรมอ่ืนๆ หรือส่ งผ่านตัวเอง จากโปรแกรมหน่ึงไปสู่อีก โปรแกรมหน่ึงเม่ือใช้ งาน โปรแกรมร่วมกันได้ นอกจากนี้ไวรัสยังสามารถเปลี่ยนหรือลบไฟล์ข้อมูล หรือขยายขนาดของไฟล์ข้อมูล หรือแสดงข้อความแปลกๆออกมาบนหน้าจอ หรือทาํ ให้ภาพบนหน้าจอเกดิ ความผดิ ปกติ 17

ความเสียหายจากไวรสั • ทาํ ลายขอ้ มูล • ขโมยขอ้ มูลสาํ คญั • ฟอรแ์ มตฮารด์ ดิสก์ • ทาํ ใหโ้ ปรแกรมทาํ งานผิดพลาด • ก่อความราํ คาญ • ทาํ ใหเ้ ครื่องทาํ งานชา้ /ทาํ งานตอ่ ไม่ได้ • ทาํ ใหร้ ะบบเครือข่ายขององคก์ รชา้ 18

วธิ ีการป้องกนั 1. ไม่ตดิ ต้งั โปรแกรมจากแผ่นฟลอปปี ดสิ ก์ทไ่ี ม่ได้มาจากผู้ขายโดยตร 2. ให้ระวงั ในการใช้ซอฟต์แวร์ทมี่ าจากบริษทั อ่ืนทไ่ี ม่ได้ทาํ ธุรกจิ ร่วมกนั 3. ใช้ซอฟต์แวร์ตรวจสอบไวรัส เพ่ือตรวจสอบไฟล์ข้อมูลและเอกสารอื่นๆ ก่อนใช้งานหรือบนั ทกึ ข้อมูลลงในฮาร์ดดสิ ก์ทุกคร้ัง 4. ถ้านําแผ่นฟลอปปี ดสิ ก์ หรือ แฟลตเมมโมรีไปใช้กบั เครื่องคอมพวิ เตอร์ เคร่ืองอื่นทไ่ี ม่เคยใช้ กต็ ้องตรวจสอบไวรัสก่อนด้วย 5. ควรติดต้ังแอนตีไ้ วรัส เพ่ือใช้สแกนฮาร์ดดสิ ก์ทุกคร้ังท่เี ปิ ดเครื่อง หรือ ตามระยะเวลาท่ีกําหนด ไม่เปิ ดอีเมล์น้ันดูหากไม่แน่ใจว่าใครเป็ นผู้ส่งมาและ ให้ลบทงิ้ ไปทนั ที 19

ความปลอดภยั และความเป็ นสว่ นตวั บนอินเทอรเ์ น็ต • Hoax mail • Cookie • Spam mail • Adware • Junk mail • Spyware http://www.thaicert.org/ ศนู ยป์ ระสานงานการรกั ษาความปลอดภยั คอมพิวเตอร์ ประเทศไทย ThaiCERT: Thai Computer Emergency Response Team 20

การหลอกลวงบนระบบเครอื ข่ายสารสนเทศ [Spam mail] ข้อมูลจาก http://p-achblog.exteen.com 21

การหลอกลวงบนระบบเครอื ข่ายสารสนเทศ ข2้อ2มูลจาก http://p-achblog.exteen.com

การหลอกลวงบนระบบเครือข่ายสารสนเทศ [Spam mail] ข้อมูลจาก http://p-achblog.exteen.com 23

การหลอกลวงบนระบบเครอื ข่ายสารสนเทศ [Phishing] กรณีศึกษา ตวั อยา่ งอีเมลห์ ลอกลวง 24

การหลอกลวงบนระบบเครอื ข่ายสารสนเทศ [Phishing] กรณีศึกษา เว็บไซตห์ ลอกลวง 25

การหลอกลวงบนระบบเครอื ข่ายสารสนเทศ [Phishing] กรณศี ึกษา เวบ็ ไซต์หลอกลวง 26

การหลอกลวงบนระบบเครอื ขา่ ยสารสนเทศ การป้องกนั Spam Mail และ Bot อาจใช้ Completely Automated Public Turing Test to Tell Computers and Human Apart หรอื CAPTCHA เพ่อื ยนื ยนั ว่าเป็ นการกรอกขอ้ มูลโดยมนุษย์ 27

แนะนํา Creative Commons 28 จาก http://ext4.wordpress.com

เครอื ข่ายสงั คมออนไลน์ (Social Networking) ประเด็นทางจรยิ ธรรมบนเครอื ขา่ ยสงั คมออนไลน์ @ การกลนั ่ แกลง้ บนสงั คมเครอื ข่าย (Cyberbullying) - สง่ ขอ้ ความทีไ่ ม่เหมาะสมมารบกวน - สง่ ขอ้ ความจาํ นวนมาก มายงั โทรศพั ทม์ ือถือ หรอื ใหผ้ รู้ บั เสียคา่ ใชจ้ า่ ยในการเปิ ดดขู อ้ มูล - แอบอา้ งชื่อของผเู้ สียหาย ในการกระทาํ ส่ิงที่ไม่เหมาะสมกบั ผอู้ ื่น - ขโมยขอ้ มูล หรอื รหสั ผา่ น และเปลี่ยนแปลงขอ้ มูลของผเู้ สียหาย เพอื่ ใหผ้ อู้ ่ืนเขา้ ใจผิด ก่อใหเ้ กิด ปัญหาเช่น การเหยยี ดผิว เรอื่ งทางเพศ ได้ - เผยแพรข่ อ้ มูลของผเู้ สยี หายอยา่ งผิดๆ - สรา้ งเว็บไซต์ หรอื เขียนขอ้ ความใหผ้ เู้ สียหายรูส้ ึกอบั อาย - นาํ รูปทไ่ี ม่เหมาะสมของผเู้ สียหาย มาเผยแพรบ่ นระบบเครอื ข่าย หรอื ทางโทรศพั ทม์ ือถือ - ทาํ โพลสาํ รวจความคิดเห็น เพื่อใหผ้ เู้ สยี หายอบั อายจากผลการสาํ รวจ - สง่ ขอ้ ความท่ีไม่เหมาะสมผา่ นเกมบนเครือข่าย เพ่ือใหร้ ูส้ กึ ไม่สบายใจ 29

เครือข่ายสงั คมออนไลน์ (Social Networking) ประเด็นทางจรยิ ธรรมบนเครอื ขา่ ยสงั คมออนไลน์ @ การขู่กรรโชกทางเครือข่าย (Cybertalking) @ เส่ียงตอ่ การลอ่ ลวงทางเพศ (Sexual predators) @ เส่ียงตอ่ การนาํ เสนอขอ้ มูลที่ไม่เหมาะสม หรอื ไม่ถูกตอ้ ง 30

การใชง้ านอินเทอรเ์ น็ตอยา่ งปลอดภยั • อา่ นขอ้ ตกลง นโยบายใหด้ ีก่อนตอบตกลงใดๆ • ระวงั การใชบ้ ริการเครื่องคอมพิวเตอรส์ าธารณะ • แอบดูการใชง้ าน • หลีกเลี่ยงการใส่ขอ้ มลู สาํ คญั มากๆ • ไมใ่ หร้ ะบบชว่ ยจาํ username และ password • หมนั ่ เปล่ียน password บ่อยๆ • หมนั ่ ลบ temporary internet files, cookies และ history • Logoff หรือ logout ทุกคร้งั หลงั ใชง้ าน 31

กฎหมายที่เก่ียวขอ้ ง พ.ร.บ.ว่าดว้ ยการกระทาํ ความผิดเก่ียวกบั คอมพิวเตอร์ พ.ศ. 2550 (ผใู้ ชบ้ รกิ าร) • การดกั ขอ้ มูลคอมพวิ เตอร์ • การเปิ ดเผยมาตรการป้องกนั การ • การเผยแพรข่ อ้ มูลที่ไม่เหมาะสม • การตดั ตอ่ ภาพผอู้ ่ืน เขา้ ถึง • การเขา้ ถึงคอมพิวเตอรโ์ ดยมิชอบ • การเขา้ ถึงขอ้ มูลคอมพวิ เตอรโ์ ดยมิ • การจาํ หน่าย/เผยแพรช่ ุดคาํ สงั ่ • การกระทาํ ตอ่ ความมนั ่ คง ชอบ • กอ่ ความเสียหายแกข่ อ้ มลู • การรบกวนระบบคอมพวิ เตอร์ • กระทบต่อความมนั่ คง • การรบกวนขอ้ มูลคอมพิวเตอร์ • อนั ตรายแกร่ ่างกาย/ชีวติ 32

กฎหมายที่เกี่ยวขอ้ ง พ.ร.บ.ว่าดว้ ยการกระทาํ ความผิดเกี่ยวกบั คอมพิวเตอร์ พ.ศ. 2550 (ผใู้ หบ้ รกิ าร) ขอ้ มูลผใู้ ชบ้ รกิ าร วิธีการ • ช่ือ-สกุล, วนั -เวลาท่ีใชง้ าน • เก็บขอ้ มูลสาํ คญั ของผใู้ ชบ้ รกิ ารไม่ • การออกสูอ่ ินเทอรเ์ น็ตของทุกคน นอ้ ยกว่า 90 วนั รวมท้งั อินทราเน็ต • มีระบบ login เขา้ ใชง้ านเครอื ข่าย • การเขา้ ใชง้ าน web server • มีระบบ gateway authentication • การเขา้ ใชง้ านเครอื ข่าย • ตง้ั time server เดยี วกนั • การรบั สง่ อีเมล์ • มีผดู้ แู ลผงั IP address ของผใู้ ช้ 33

จรรยาบรรณของนักคอมพวิ เตอร์ 1. สมาชิกจะต้องประพฤตติ นอย่างซื่อสัตย์ตรงไปตรงมา ไม่นําข้อมูล ข่าวสารใดๆทเี่ ป็ นความลบั ของนายจ้างหรือลูกค้า ไม่ว่าอดตี หรือปัจจุบันไป ใช้โดยไม่ได้รับอนุญาตล่วงหน้า 2. สมาชิกควรพยายามเพมิ่ พูนความรู้ ความสามารถของตน และศักด์ศิ รี ของวชิ าชีพ 3. สมาชิกจะต้องรับผดิ ชอบในงานของตนเอง 4. สมาชิกจะต้องปฏิบตั ติ วั ด้วยความรับผดิ ชอบทางวชิ าชีพ 34

จรรยาบรรณของผู้ใช้อนิ เทอร์เน็ต 1. ต้องไม่ใช้คอมพวิ เตอร์ทาํ ร้ายหรือละเมดิ ผู้อ่ืน 2. ต้องไม่รบกวนการทาํ งานของผู้อ่ืน 3. ต้องไม่สอดแนมหรือแก้ไขเปิ ดดูในไฟล์ของผู้อื่น 4. ต้องไม่ใช้คอมพวิ เตอร์เพื่อการโจรกรรมข้อมูลข่าวสาร 5. ต้องไม่ใช้คอมพวิ เตอร์สร้างหลกั ฐานทเ่ี ป็ นเทจ็ 6. ต้องไม่คดั ลอกโปรแกรมผู้อ่ืนทม่ี ลี ขิ สิทธ์ิ 7. ต้องไม่ละเมดิ การใช้ทรัพยากรคอมพวิ เตอร์โดยทต่ี นเองไม่มสี ิทธ์ิ 8. ต้องไม่นําเอาผลงานของผู้อ่ืนมาเป็ นของตน 9. ต้องคาํ นึงถงึ สิ่งทจี่ ะเกดิ ขนึ้ กบั สังคมอนั ตดิ ตามมาจากการกระทาํ 10. ต้องใช้คอมพวิ เตอร์โดยเคารพกฎระเบยี บ กตกิ ามารยาท 35