CyBER SECURITY - pa2013te002.thaicert.or.th€¦ · 09 - การอบรม Mobile Devices...

CyBER

S E C U R I T Y

2 0 1 4

04

พรชัย รุจิประภารัฐมนตรีวาการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

A n n u a l R e p o r t 2 0 1 4

รัฐบาลไดกำหนดใหเศรษฐกิจดิจิทัล เปนหนึ่งในภาคเศรษฐกิจสำคัญเพื่อสราง

ศักยภาพการแขงขันของประเทศ ดวยการสงเสริมและวางรากฐานเศรษฐกิจ

โดยใชเทคโนโลยีดิจิทัลอยางจริงจัง อยางไรก็ตาม ก็มีผูใชเทคโนโลยีเหลาน้ีในทางลบ

จนทำใหมีผูไดรับผลกระทบและความเสียหายจากการโจมตีทางไซเบอรรูปแบบตาง ๆ

อยางตอเน่ืองและรุนแรงข้ึนเร่ือย ๆ การมีหนวยงานเฝาระวังและรับมือกับภัยคุกคาม

ในระดับชาติอยาง ‘ไทยเซิรต’ จึงทวีบทบาทสำคัญในการสรางความเชื่อมั่น

และขับเคลื่อนประเทศใหไปสูเปาหมายที่กำหนดไว

05

ปจจุบัน เทคโนโลยีดิจิทัลเขามามีบทบาทกับทุกภาคสวนในการประกอบธุรกิจ

การทำงาน การใชชีวิต การแลกเปลี่ยนเรียนรู ตลอดจนการทำกิจกรรมตาง ๆ

ดังนั้น การรักษาความมั่นคงปลอดภัยใหแกคนบนพื้นที่ไซเบอรจึงตองดำเนิน

ควบคูกัน โดยเฉพาะอยางยิ่ง เมื่อประเทศกำลังเขาสูยุคเศรษฐกิจดิจิทัล

ซึ่งตองขอบคุณ ‘ไทยเซิรต’ ที่พัฒนางานดานนี้อยางจริงจังและตอเนื่อง

ทั้งการตอบสนองและจัดการกับสถานการณภัยคุกคามรวมกับหนวยงาน

ระดับสากลและ CERT ทั่วโลก การสนับสนุนและใหคำแนะนำเพื่อแกไขภัยคุกคาม

แกหนวยงานตาง ๆ ในประเทศ รวมทั้งยังสรางความตระหนักในหมูเยาวชน

และประชาชนเพื่อใหมีภูมิคุมกันเมื่ออยูบนโลกไซเบอร

เมธินี เทพมณี ปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

06

ผลการดำเนินงานของ ‘ไทยเซิรต’ ภายใต สพธอ. เกิดขึ้นจากการทำงาน

อยางท ุมเทของบคุลากรผูเชีย่วชาญในการทำงานตลอด 24 ชัว่โมง

เพื่อจับตาภัยคุกคามตาง ๆ พรอมประสานความรวมมือกับหนวยงานดาน

ความมั่นคงปลอดภัยไซเบอรทั้งในและตางประเทศ ไมวาจะเปน หนวยงาน

ดานกฎหมาย หนวยงานดานโครงสรางพื้นฐานสำคัญของประเทศ รวมทั้ง

หนวยงานผูเช่ียวชาญจากเครือขายเกือบ 400 CERT ท่ัวโลก ดวยความมุงม่ัน

ในการรับมือและจัดการภัยคุกคามไดอยางทันสถานการณและลดผลกระทบ

รายแรงใหมากที่สุด

จรัมพร โชติกเสถียรประธานกรรมการบริหารสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส (องคการมหาชน)กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

A n n u a l R e p o r t 2 0 1 4

07

ประเทศไทยกำลังขับเคลื่อนดวยนโยบายเศรษฐกิจดิจิทัล

ซึ่งความมั่นคงปลอดภัยไซเบอรนับเปนปจจัยสำคัญที่จะนำประเทศ

ไปสูความสำเร็จจากนโยบายดังกลาว จึงจำเปนอยางยิ่งที่จะตองมี

หนวยงานที่มีความเชี่ยวชาญโดยเฉพาะ เพื่อปองกัน รับมือ หลีกเลี่ยง

และลดผลกระทบที่สามารถเกิดขึ้นไดจากภัยคุกคามตาง ๆ ในป 2557

‘ไทยเซิรต’ ภายใต สพธอ. จึงไดยกระดับความพรอมตอการรับมือภัย

คุกคามไซเบอร พรอมเดินหนาทำงานในเชิงรุกไปสูหนวยงานตาง ๆ

มากขึ้น โดยเฉพาะภาคสวนอันเปนโครงสรางพื้นฐานสำคัญ เพื่อสราง

เครือขายความม่ันคงปลอดภัยของประเทศ ควบคูกับการเผยแพรขาวสาร

ที่จะสรางความตระหนักและความพรอมในการรับมือภัยคุกคาม

สูสาธารณชนเพื่อกาวสูสังคมดิจิทัลที่มั่นคงปลอดภัย

สุรางคณา วายุภาพผูอำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส (องคการมหาชน)กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

08

สารจากผูกำหนดทิศทาง “ไทยเซิรต”

สารบัญ/ สารบัญตาราง/ สารบัญรูป/ สารบัญกราฟ

บทนำ

บทที่ 1 ผลงานเดนและเหตุการณสำคัญในรอบป 1.1 INFOGRAPHIC 1.2 Key Events Timeline

บทที่ 2 พันธกิจไทยเซิรต 2.1 วิสัยทัศนและพันธกิจของไทยเซิรต 2.2 ลักษณะการใหบริการของไทยเซิรต 2.2.1 บริการเชิงรุกเพื่อปองกันภัยคุกคาม (Proactive services)

2.2.1.1 บริการตรวจสอบและประเมินชองโหวของระบบสารสนเทศ

(Security Audits or Assessments)

2.2.1.2 บริการแจงเตือนและเผยแพรขอมูลขาวสาร (Announcements)

2.2.1.3 บริการเฝาติดตามภัยคุกคาม (Threat Watch)

04

08

12

14

14

16

18

18

20

20

20

20

21

A n n u a l R e p o r t 2 0 1 4

CONTENTS / สารบัญ

21

21

21

22

22

22

24

24

25

27

31

32

35

35

35

36

2.2.2 บริการเชิงรับเพ่ือตอบสนองภัยคุกคาม (Reactive Services)

2.2.2.1 บริการรับมือและจัดการสถานการณดานความม่ันคงปลอดภัย (Incident Handling)

2.2.2.2 บริการตรวจพิสูจนพยานหลักฐานดิจิทัล (Digital Forensics)

2.2.3 บริการบริหารคุณภาพทางดานความมั่นคงปลอดภัย

(Security Quality Management Services)

2.2.3.1 บริการวิชาการดานความมั่นคงปลอดภัย (Education and Training)

2.2.3.2 การสรางความตระหนักเร่ืองความม่ันคงปลอดภัย (Awareness Building)

บทที่ 3 สถิติภัยคุกคามป 2557 3.1 สถิติภัยคุกคามที่ไทยเซิรตไดรับแจงผานระบบอัตโนมัติ 3.1.1 สถิติภัยคุกคามประเภท Botnet

3.1.2 สถิติภัยคุกคามประเภท Web Attack

3.1.3 สถิติภัยคุกคามประเภท Brute Force และ Scanning

3.2 สถิติภัยคุกคามที่ไทยเซิรตไดรับแจงผานศูนยปฏิบัติการทางไซเบอร (Cybersecurity Operations Center: CSOC) 3.3 สถิติของศูนยดิจิทัลฟอเรนสิกส 3.4 ภัยคุกคามที่เปนกรณีศึกษาที่ไทยเซิรตเขาไปดำเนินการ 3.4.1 Malware URL Take Down

3.4.2 ไทยเซิรตจับมือ TISPA รวมจัดการ Heartbleed ชองโหวอันตรายของซอฟตแวร OpenSSL

09

- การอบรม Mobile Devices Forensic

- การอบรม Advanced Small Device Forensics

- การอบรม Advanced Collaborative Digital Forensic Investigation

- การอบรม ISO/IEC 17025:2005 and ASCLD/LAB Standards

4.2.3 กิจกรรมการประชุมและสัมมนาที่ไทยเซิรตเขารวม

- 49th and 50th APEC Telecommunications and Information Working Group

(APEC TEL WG)

- National Cyber Security Conference @ National Defense Studies

Institute Security Week 2014

- งานเสวนา Cyber Attacks: The Biggest Threat to National Security

3.4.2 ไทยเซิรตจับมือ TISPA รวมจัดการ Heartbleed ชองโหวอันตรายของซอฟตแวร OpenSSL

3.4.3 Internet Banking Fraud

3.4.4 กรณี มัลแวรโจมตีหนวยงานราชการ APT (Advanced Persistent Threat)

3.4.5 กรณี ปญาชองโหวของอุปกรณเชื่อมตออินเทอรเน็ตภายในบาน (Router)

3.4.6 กรณี ตรวจพิสูจนเครื่องคอมพิวเตอรติดมัลแวร CryptoDefense

บทที่ 4 การพัฒนาศักยภาพในการรับมือภัยคุกคามไซเบอร 4.1 การพัฒนาศักยภาพบุคคลกรผานการสงเสริมใหบุคคลากร มีประกาศนียบัตรวิชาชีพดานความมั่นคงปลอดภัยไซเบอร 4.1.1 ประกาศนียบัตรวิชาชีพดานความมั่นคงปลอดภัยไซเบอรจากตางประเทศ

4.1.2 ประกาศนียบัตรวิชาชีพดานความมั่นคงปลอดภัยไซเบอรภายในประเทศ

4.2 การพัฒนาศักยภาพบุคคลกรผานการเขารวมการอบรมสัมมนา 4.2.1 กิจกรรมอบรมสัมมนาที่ไทยเซิรตเปนเจาภาพ

- รวมกับ JPCERT/CC จัดฝกอบรมดานความมั่นคงปลอดภัยใหกับ LaoCERT

- การซักซอมรับมือภัยคุกคามของหนวยงานภาคธนาคารและผูใหบริการอินเทอรเน็ต

- รวมกับ JPCERT/CC จัดงาน Malware Analysis Competition (MAC) 2014

- SANS Secure Thailand 2014

4.2.2 กิจกรรมที่ศูนยดิจิทัลฟอเรนสิกสเปนเจาภาพ

- งานสัมนา Digital Evidence: Practices, Standards and Court Admissibility

36

36

38

38

39

40

40

40

41

41

41

41

41

42

42

43

43

43

44

44

44

44

44

45

45

10

บทที่ 5 ภาคผนวก ภาคผนวก ก ประเภทภัยคุกคามที่ไดรับแจง ภาคผนวก ข รายการซอฟตแวรที่ไทยเซิรตเฝาติดตามเพื่อรายงาน สรุปชองโหวประจำสัปดาห ภาคผนวก ค คำอธิบายของหมายเลขพอรตที่พบการใชงานบอย ภาคผนวก ง ประกาศนียบัตรวิชาชีพดานความมั่นคงปลอดภัยไซเบอร ในระดับสากลที่เจาหนาที่ไทยเซิรตไดรับ ภาคผนวก จ รายชื่อหนวยงานภาคธนาคารและผูใหบริการอินเทอรเน็ต ที่เขารวมการซอมรับมือภัยคุกคาม ภาคผนวก ฉ รายชื่อมหาวิทยาลัยที่เขารวมการแขงขัน MAC 2014 ภาคผนวก ช จำนวนผูเขารวมอบรมกิจกรรมที่ศูนยดิจิทัลฟอเรนสิกส เปนเจาภาพแยกตามหนวยงาน

สารบัญตาราง ตารางที่ 1 ประเภทขอมูลเผยแพร ตารางที่ 2 จำนวนหมายเลขไอพีที่ไมซ้ำที่ไดรับรายงาน ในแตละประเภทภัยคุกคามในป 2556 และ 2557 ตารางที่ 3 ความสามารถของมัลแวรสายพันธุตาง ๆ

46

46

49

51

51

54

54

55

20

25

26

26

29

30

31

33

33

33

46

47

49

ตารางที่ 4 เปรียบเทียบอันดับของมัลแวรประเภท Botnet ที่ไดรับแจง ระหวางป 2556-2557 ตารางที่ 5 10 อันดับแรกของโดเมนเนมที่มีจำนวนวันที่ไดรับรายงาน ประเภท Malware URL สูงที่สุด ตารางที่ 6 10 อันดับแรกของโดเมนเนมที่มีจำนวนวันที่ไดรับรายงาน ประเภท Phishing สูงที่สุด ตารางที่ 7 10 อันดับแรกของโดเมนเนมที่มีจำนวนวันที่ไดรับรายงาน ประเภท Web Defacement สูงที่สุด ตารางที่ 8 10 อันดับแรกของประเทศของผูที่แจงเหตุภัยคุกคามมายัง ไทยเซิรตในป 2557 ตารางที่ 9 ขอมูลการดำเนินการเหตุภัยคุกคามทั้งหมด จำแนกตาม ผูเกี่ยวของและแหลงที่มาของผูเกี่ยวของ ตารางที่ 10 ขอมูลการดำเนินการเหตุภัยคุกคามประเภท Fraud จำแนก ตามผูเกี่ยวของและแหลงที่มาของผูเกี่ยวของ ตารางที่ 11 ประเภทภัยคุกคามที่ไดรับแจงผานระบบอัตโนมัติ ตารางที่ 12 ประเภทภัยคุกคามที่ไดรับการประสานเพื่อรับมือ และจัดการโดยไทยเซิรต ตารางที่ 13 รายการซอฟตแวรที่ไทยเซิรตเฝาติดตามเพื่อรายงาน สรุปชองโหวประจำสัปดาห

A n n u a l R e p o r t 2 0 1 4

11

51

51

54

54

55

37

38

25

27

27

ตารางที่ 14 คำอธิบายของหมายเลขพอรตที่พบการใชงานบอย ตารางที่ 15 ประกาศนียบัตรวิชาชีพดานความมั่นคงปลอดภัยไซเบอร ในระดับสากลที่เจาหนาที่ไทยเซิรตไดรับ ตารางที่ 16 รายชื่อหนวยงานภาคธนาคารและผูใหบริการอินเทอรเน็ต ที่เขารวมการซอมรับมือภัยคุกคาม ตารางที่ 17 รายชื่อมหาวิทยาลัยที่เขารวมการแขงขัน MAC 2014 ตารางที่ 18 อภิธานศัพทและคำยอ

สารบัญรูป รูปที่ 1 การทำงานของคนรายเพื่อลักลอบโอนเงิน จากบัญชีธนาคารออนไลนของผูเสียหาย รูปที่ 2 การประสานงานรวมกันระหวาง ธนาคาร – ไทยเซิรต – หนวยงาน ตำรวจในการรับมือกรณีการโจรกรรมบัญชีธนาคารออนไลน

สารบัญกราฟ กราฟที่ 1 อันดับแรกของมัลแวรประเภท Botnet ที่ไดรับแจง กราฟที่ 2 สถิติการบุกรุกเว็บไซตแบบตาง ๆ กราฟที่ 3 สถิติภัยคุกคามประเภท Malware URL จำแนกตามประเภทของโดเมนเนม

28

28

28

29

30

31

32

32

34

34

34

กราฟที่ 4 สถิติภัยคุกคามประเภท Phishing จำแนกตามประเภทของโดเมนเนม กราฟที่ 5 สถิติภัยคุกคามประเภท Web Defacement จำแนกตามประเภทของโดเมนเน กราฟที่ 6 10 อันดับแรกของโดเมนเนมที่มีจำนวนรายงานประเภท Malware URL สูงที่สุดนับตามจำนวน URL ที่ไมซ้ำ กราฟที่ 7 10 อันดับแรกของโดเมนเนมที่มีจำนวนรายงานประเภท Phishing สูงที่สุดนับตามจำนวน URL ที่ไมซ้ำ กราฟที่ 8 10 อันดับแรกของโดเมนเนมที่มีจำนวนรายงานประเภท Web Defacement สูงที่สุดนับตามจำนวน URL ที่ไมซ้ำ กราฟที่ 9 10 อันดับแรกของหมายเลขพอรตที่ถูกโจมตีสูงที่สุด นับตามจำนวนหมายเลขไอพีที่ไมซ้ำ กราฟที่ 10 จำนวนเหตุภัยคุกคามท่ีไทยเซิรตดำเนินการระหวางป 2554–2557 กราฟที่ 11 สถิติเหตุภัยคุกคามที่ไทยเซิรตไดรับแจงโดยตรงในป 2557 จำแนกตามประเภทของภัยคุกคาม กราฟที่ 12 ขอมูลผูเสียหายจากเหตุภัยคุกคามประเภท Fraud กราฟที่ 13 ขอมูลผูแจงเหตุภัยคุกคามประเภท Fraud กราฟที่ 14 ขอมูลผูโจมตีจากเหตุภัยคุกคามประเภท Fraud

12

ในยุคปจจุบันท่ีภัยคุกคามไซเบอร มีรูปแบบท่ีเปล่ียนแปลงไปจากอดีตและมีแนวโนมขยายตัวอยางรวดเร็วและทวีความรุนแรงมากขึ้นเรื่อย ๆ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส (องคการมหาชน) (สพธอ.) ภายใตกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ซึ่งเปนหนวยงานหลักของประเทศท่ีมีหนาท่ีสงเสริมการทำธุรกรรมทางอิเล็กทรอนิกสหรือธุรกรรมออนไลนเติบโตข้ึนอยางม่ันคงปลอดภัย จึงมอบหมายภารกิจสำคัญใหกับ“ไทยเซิรต” (Thailand Computer Emergency Response Team – ThaiCERT) ซึ่งเปนหนวยงานในสังกัด ใหทำงานเชิงรุกเพื่อเปนกลไกสำคัญของประเทศดานความม่ันคงปลอดภัยไซเบอร ท้ังการตอบสนองและจัดการกับสถานการณดานความม่ันคงปลอดภัย การสนับสนุนที่จำเปนและใหคำแนะนำในการแกไขภัยคุกคามแกหนวยงานตาง ๆ รวมทั้งติดตามและเผยแพรขาวสารและเหตุการณทางดานความม่ันคงปลอดภัยไซเบอรตอสาธารณชน ตลอดจนทำการศึกษาและพัฒนาเครื่องมือและแนวทางตาง ๆ ในการปฏิบัติเพื่อเพิ่มความมั่นคงปลอดภัยในการใชระบบสารสนเทศและเครือขายอินเทอรเน็ต

ผลการดำเนินงานของที่ผานมาของไทยเซิรต เกิดขึ้นจากการทำงานอยางทุมเทของบุคลากรผูเช่ียวชาญท่ีมีทักษะสูง ซ่ึงทำหนาท่ีตลอด 24 ช่ัวโมงในการเฝาระวังภัยคุกคามตาง ๆ พรอมประสานความรวมมือกับหนวยงานดานความม่ันคงปลอดภัยไซเบอรท้ังในและตางประเทศ เชน สมาคมธนาคารไทยสำนักงานตำรวจแหงชาติ เครือขาย CERT1 กวา 400 หนวยงานท่ัวโลก รวมถึงผูใหบริการอินเทอรเน็ตหรือบริการอ่ืน ๆ ท่ีเก่ียวของ เพ่ือใหความชวยเหลือท่ีจำเปนในการรับมือและจัดการภัยคุกคามไดอยางทันสถานการณและลดผลกระทบรายแรงใหมากที่สุดในรอบป 2557 ที่ผานมา ไทยเซิรตไดรับมือและจัดการกับสถานการณดานความม่ันคงปลอดภัยไซเบอรท้ังท่ีไดรับแจงและตรวจพบเองท้ังหมด 4,008 รายการ ซ่ึงเพ่ิมข้ึนจากป 2556 1,745 รายการ หรือ 2.3 เทา โดยสถานการณดานความม่ันคงปลอดภัยไซเบอรที่ตรวจพบในปนี้ แบงออกเปน

• ภัยคุกคามประเภทโปรแกรมประสงคราย (Malicious Code) มากท่ีสุด จำนวน 1,738 รายการ คิดเปนสัดสวน 43.3% • การฉอโกงหรือหลอกลวง (Fraud) จำนวน 1,007 รายการ คิดเปนสัดสวน 25.2% • การบุกรุกหรือเจาะระบบที่สามารถเจาะระบบไดสำเร็จ (Intrusions) จำนวน 709 รายการ คิดเปนสัดสวน 17.8% • ความพยายามบุกรุกเขาระบบ (Intrusion Attempts) จำนวน 504 รายการ คิดเปนสัดสวน 12.5%

ซึ่งขอมูลเหลานี้สะทอนใหเห็นวาการพัฒนาไปสูเศรษฐกิจและสังคมดิจิทัลของประเทศไทยนั้นมีภัยคุกคามไซเบอรเปนอุปสรรคที่สำคัญอยางหนึ่ง จึงจำเปนอยางยิ่งที่จะตองมีหนวยงานที่มีความเชี่ยวชาญโดยเฉพาะใหความสำคัญกับปญหาเหลานี้ เพื่อปองกัน รับมือ หลีกเลี่ยง และลดผลกระทบท่ีสามารถเกิดข้ึนไดจากภัยคุกคามตาง ๆ ซ่ึงไทยเซิรตไดยกระดับความพรอมตอการรับมือภัยคุกคามที่อาจจะเกิดขึ้นใหแกหนวยงานตาง ๆ โดยไดริเริ่มโครงการจัดตั้ง sector-based CERT โดยไดมีการจัดอบรม สัมมนา เพ่ือใหความรูดานการจัดต้ังหนวยงาน CERT ในแตละภาคสวนอันเปนโครงสรางพ้ืนฐานสำคัญเพ่ือสรางเครือขายความม่ันคงปลอดภัยของประเทศ พรอมท้ังสนับสนุนเครื่องมือและกลไกในการตรวจจับและวิเคราะหภัยคุกคาม รวมทั้งใหบริการตรวจสอบและประเมินชองโหวของระบบสารสนเทศสำคัญในหนวยงาน อีกดานหนึ่งไดเผยแพรขาวสารดานความมั่นคงปลอดภัยจากแหลงขอมูลที่นาเชื่อถือจากทั้งภายในและตางประเทศ เพื่อสรางความตระหนักและความพรอมในการรับมือภัยคุกคามสูสาธารณชน

ไทยเซิรตยังมีภารกิจสำคัญในการใหคำปรึกษาแกเจาหนาท่ีของหนวยงานบังคับใชกฎหมายและหนวยงานในกระบวนการยุติธรรมในดานการตรวจพิสูจนหลักฐานทางดิจิทัลดวยความพรอม

บทนำ

1CERT (Computer Emergency Response Team) คือหนวยงานที่มีหนาที่ประสานและจัดการภัยคุกคามที่เกิดขึ้นกับระบบสารสนเทศ

กราฟที่ 4 สถิติภัยคุกคามประเภท Phishing จำแนกตามประเภทของโดเมนเนม กราฟที่ 5 สถิติภัยคุกคามประเภท Web Defacement จำแนกตามประเภทของโดเมนเน กราฟที่ 6 10 อันดับแรกของโดเมนเนมที่มีจำนวนรายงานประเภท Malware URL สูงที่สุดนับตามจำนวน URL ที่ไมซ้ำ กราฟที่ 7 10 อันดับแรกของโดเมนเนมที่มีจำนวนรายงานประเภท Phishing สูงที่สุดนับตามจำนวน URL ที่ไมซ้ำ กราฟที่ 8 10 อันดับแรกของโดเมนเนมที่มีจำนวนรายงานประเภท Web Defacement สูงที่สุดนับตามจำนวน URL ที่ไมซ้ำ กราฟที่ 9 10 อันดับแรกของหมายเลขพอรตที่ถูกโจมตีสูงที่สุด นับตามจำนวนหมายเลขไอพีที่ไมซ้ำ กราฟที่ 10 จำนวนเหตุภัยคุกคามท่ีไทยเซิรตดำเนินการระหวางป 2554–2557 กราฟที่ 11 สถิติเหตุภัยคุกคามที่ไทยเซิรตไดรับแจงโดยตรงในป 2557 จำแนกตามประเภทของภัยคุกคาม กราฟที่ 12 ขอมูลผูเสียหายจากเหตุภัยคุกคามประเภท Fraud กราฟที่ 13 ขอมูลผูแจงเหตุภัยคุกคามประเภท Fraud กราฟที่ 14 ขอมูลผูโจมตีจากเหตุภัยคุกคามประเภท Fraud

13

ของบุคลากรและเคร่ืองมือในการเก็บรวบรวมและวิเคราะหขอมูลหลักฐานอิเล็กทรอนิกสท่ีเก่ียวของกับการกระทำความผิดเกี่ยวกับคอมพิวเตอรและการโจมตีทางไซเบอรในรูปแบบตาง ๆ โดยใชกระบวนการที่สอดคลองกับหลักมาตรฐานสากล เพื่อสนับสนุนการอำนวยความยุติธรรมใหแกประชาชนอยางถูกตอง เท่ียงธรรมและโปรงใส นอกจากน้ี ยังมีเปาหมายท่ีจะยกระดับการใหบริการเพื่อสนับสนุนการปฏิบัติงานในระบบศาลอิเล็กทรอนิกส (e-Court) ในอนาคตอีกดวย

จากการท่ีปจจุบัน ประเทศไทยกำลังขับเคล่ือนดวยนโยบายเศรษฐกิจดิจิทัล หรือ Digital Economy ซึ่งความมั่นคงปลอดภัยไซเบอรนับเปนปจจัยสำคัญประการหนึ่งที่จะนำประเทศไปสูความสำเร็จจากนโยบายดังกลาว ขณะที่บุคลากรดานนี้ยังมีจำนวนไมมากนักและเปนที่ตองการของทั่วโลก ไทยเซิรตจึงสงเสริมและประสานความรวมมือกับหนวยงาน องคกร และสถาบันชั้นนำทั้งในและตางประเทศเพื่อการพัฒนาบุคลากรดานนี้อยางตอเนื่อง พรอมทั้งจัดสรรเครื่องมือ และปรับปรุงแนวทางปฏิบัติของหนวยงานใหมีความทันสมัย สอดรับกับเทคโนโลยีที่พัฒนาอยูเสมอ เพื่อรักษาระดับคุณภาพและมาตรฐานการใหบริการ และเพ่ิมศักยภาพของหนวยงานใหเพียงพอตอการรับมือกับภัยคุกคามไซเบอรใหม ๆ ในป 2557 บุคคลากรของไทยเซิรตไดรับประกาศนียบัตรวิชาชีพในดานความมั่นคงปลอดภัยไซเบอรและการตรวจพิสูจนพยานหลักฐานทางดิจิทัลในระดับสากล 13 คน โดยมีจำนวนประกาศนียบัตรสะสมทั้งหมด 41 ใบ ทั้งนี้หนวยงานของไทยเซิรตมีบุคคลกรที่มีประกาศนียบัตรคิดเปนสัดสวน 76% ของพนักงานทั้งหมด 17 คน อีกทั้งไทยเซิรตยังมีบทบาทเปนผูผลักดันการพัฒนาบุคลากรใหแกหนวยงานภาครัฐและหนวยงานดานโครงสรางพ้ืนฐานสำคัญ เชน ภาคการเงินการธนาคาร ใหมีโอกาสไดรับการอบรมและสอบใบประกาศนียบัตรวิชาชีพดานความมั่นคงปลอดภัยไซเบอรทั้งในระดับประเทศและระดับสากล เพื่อยกระดับความสามารถของบุคลากรในสายอาชีพดานนี้ของประเทศไทยใหพรอมรับมือกับภัยคุกคามจากทั่วโลก

รายงานประจำป พ.ศ. 2557 ของไทยเซิรตฉบับนี้ จัดทำขึ้นเพื่อรวบรวมและเผยแพรขอมูลผลการปฏิบัติงานประจำป และคาดหวังวาจะเปนประโยชน ท้ังในแงขอมูลและสถิติ ท่ีสามารถนำไปอางอิงในทางวิชาการ อีกทั้งเปนสวนหนึ่งในการสรางความตระหนักรูเรื่องความมั่นคงปลอดภัยไซเบอรสูประชาชนท่ัวไป ตลอดจนกระตุนใหภาคสวนท่ีเก่ียวของใหความสนใจในการพัฒนาบุคลากรดานน้ี รวมทั้งยังจะเปนประโยชนตอผูบริหารที่มีหนาที่กำหนดนโยบายหรือแผนปฏิบัติการของหนวยงาน เพ่ือกำหนดแนวทางในการจัดการและตอบสนองกับแนวโนมภัยคุกคามไซเบอรอยางเหมาะสมตอไป

สุรางคณา วายุภาพผูอำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส (องคการมหาชน)

กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

14

บทที่ 1 ผลงานเดนและเหตุการณสำคัญในรอบป

พัฒนาบุคลากรดาน Cybersecurity กวา 110 คน อบรมเพ่ือเตรียมสอบใบรับรอง CISSP 20 คนอบรมและสอบใบรับรอง GCIH 10 คนอบรมและแขงขัน MAC 2014 42 คนอบรม ISO/IEC 17025: 2005 and ASCLD/LAB Standards Training 15 คนอบรม Advanced Small Device Forensics Training 9 คนอบรม Advanced Collaborative Digital Forensic Investigation Training 14 คน

บุคลากรไทยเซิรตไดรับ 45 ใบรับรองสากลสะสมในป 2014 ดาน Security Techniques 28 ใบรับรองดาน Security Management & Audit 6 ใบรับรองดาน Digital Forensics 11 ใบรับรอง

1 ผลงานดานการพัฒนาบุคลากร

15

2 ผลงานดานสถิติของสถานการณดานความมั่นคงปลอดภัย

3 ผลงานดานกิจกรรมและบริการตาง ๆ ของ ThaiCERT

ประสานงานและแจงเตือนภัยคุกคามที่เกิดขึ้นในประเทศไทยจากเครือขาย CERT ทั้งสิ้น 141 ลานรายการ ซึ่งเกี่ยวของกับจำนวนไอพี 3.2 ลานหมายเลข

รับมือและจัดการภัยคุกคามไซเบอร 4,007 เรื่องไดรับแจง 1,991 เรื่อง/ตรวจพบเอง 2,016 เรื่อง เพิ่มขึ้นจากป 2556 2,262 เรื่อง (2.3 เทา)

เวลาเฉลี่ยแกไขปญหา Phishingคาเฉลี่ยในการปด Phishing Site 23:32 ชั่วโมง (ลดจากป 2556 25%)

ตรวจสอบชองโหวมากกวา 150 เว็บไซต ตรวจพบและใหคำแนะนำในการแกไขชองโหว มากกวา 580 ชองโหว จัด Cyber Drill จำลองสถานการณ การถูกขโมยเงินในบัญชี e-banking มีหนวยงานภาคธนาคารและผูใหบริการอินเทอรเน็ต 17 หนวยงานเขารวม เจาภาพประชุมสัมมนานานาชาติ The RAISE Forum ครั้งที่ 14

4 ผลงานดานการตรวจวิเคราะหพยานหลักฐานดิจิทัล

ตรวจพิสูจนพยานหลักฐานดิจิทัล 21 กรณี (เพิ่มจากป 2556 2 เทา) รวมปริมาณขอมูลตรวจพิสูจน 8 เทราไบต

8 TB

16

1.2 Key Events Timeline

เหตุการณและการแจงเตือนที่สำคัญ- แจงเตือน ระวังภัย ชองโหวในเราเตอร TP-LINK ผูประสงครายสามารถ ควบคุมเราเตอรของเหยื่อไดมก

ราคม

กุมภา

พันธ

กิจกรรมที่สำคัญ- เขารวมซักซอมรับมือภัยคุกคาม กับเครือขาย APCERT (APCERT Drill)

เหตุการณและการแจงเตือนที่สำคัญ- แจงเตือน Yahoo Mail ถูกแฮก ผูใชงาน ควรรีบเปลี่ยนรหัสผานทันที- แจงเตือน ระวังภัย ชองโหว 0-day ใน Internet Explorer 9, 10 (CVE-2014-0322) หนวยงานในสหรัฐถูกโจมตีแลว

มีนาค

ม กิจกรรมที่สำคัญ- เจาภาพงานสัมมนา ThaiCERT/ETDA Security Seminar “The War against Advanced Cyber Threats”

เหตุการณและการแจงเตือนที่สำคัญ- แจงเตือน ระวังภัย พบแอปพลิเคชันปลอมของธนาคาร ในประเทศไทยใน Google Play Store

เมษา

ยน เหตุการณและการแจงเตือนที่สำคัญ- แจงเตือนและรวมมือกับ TISPA แถลงขาวเรื่อง “การกำหนดมาตรการรวมรับมือ Heartbleed”- แจงเตือน ระวังภัย ชองโหวใน Adobe Flash Player ผูประสงครายสามารถควบคุมเครื่องได (CVE)

พฤษ

ภาคม กิจกรรมที่สำคัญ

- รวมกับ SANS จัดอบรม SANS Secure Thailand 2014 จัดอบรมจัดตั้ง CERT ใหกับ LaoCERT จัดซักซอมรับมือ ภัยคุกคามใหธนาคารและผูใหบริการอินเทอรเน็ต

เหตุการณและการแจงเตือนที่สำคัญ- แจงเตือน ระวังภัย แอปธนาคารปลอมบนแอนดรอยด

มิถุนา

ยน กิจกรรมที่สำคัญ- รวมกับ Thailand Information Security Association (TISA) จัดอบรมและสอบ CISSP- เจาภาพจัดงานสัมมนา Open Forum: Digital evidence: Practices, standards, and Court Admissibility

เหตุการณและการแจงเตือนที่สำคัญ- แจงเตือน ระวังภัย มัลแวร GameOver มีผูใชในประเทศไทย ตกเปนเหยื่อแลวกวาสามพันสี่รอยราย

17

กรกฎ

าคม เหตุการณและการแจงเตือนที่สำคัญ

- แจงเตือน พบชองโหวที่ทำใหขอมูลไฟลบน Googleสิง

หาคม กิจกรรมที่สำคัญ

- เจาภาพจัดการประชุมนานาชาติ The RAISE Forum ครั้งที่ 14- จัดการอบรม ISO/IEC 17025:2005 and ASCLD/LAB Standards Training- จัดการอบรม Advanced Small Device Forensics Training

เหตุการณและการแจงเตือนที่สำคัญ- แจงเตือน ระวังภัย มัลแวรใน Android (แจง.apk, รับทราบ.apk) แพรกระจายดวยการสง SMS

กันยา

ยน กิจกรรมที่สำคัญ- เขารวมซักซอมรับมือภัยคุกคามไซเบอรในภูมิภาค ASEAN (ASEAN CERT Incident Drill)

เหตุการณและการแจงเตือนที่สำคัญ- แจงเตือน Adobe ออกอัปเดตปดชองโหว Adobe Reader, Acrobat และ Adobe Flash Player

ตุลาค

ม กิจกรรมที่สำคัญ- เจาภาพจัดการแขงขัน MAC 2014- จัดการอบรม Advanced Collaborative Digital Forensic Investigation Training

เหตุการณและการแจงเตือนที่สำคัญ- แจงเตือน ระวังภัย เตือนภัยแฮกไลน (LINE)- แจงเตือน ระวังภัย ชองโหวในซอฟตแวร Bash ผูประสงคราย สามารถสงคำสั่งอันตรายไปประมวลผล ยังเครื่องของเหยื่อไดทันที (Shellshock, CVE-2014-6271, CVE-2014-7169)- แจงเตือน ระวังภัย ชองโหวโพรโทคอล SSL เวอรชัน 3 ผูประสงคราย สามารถถอดรหัสลับขอมูลที่รับสงกับเซิรฟเวอรได

พฤศ

จิกาย

น เหตุการณและการแจงเตือนที่สำคัญ- แจงเตือนภัยมัลแวรสายพันธุใหม

ธันวา

คม เหตุการณและการแจงเตือนที่สำคัญ- แจงเตือน ระวังภัย ชองโหวใน Drupal ผูประสงครายสามารถขโมยขอมูล ในฐานขอมูลได

18

บทที่ 2 บทบาทของไทยเซิรต

ไทยเซริ ต ภายใต การกำกบัดแูลของ สำนกังานพฒันาธรุกรรมทางอเิลก็ทรอนกิส (องคการมหาชน) (สพธอ.) เปนหนวยงานหลักของรัฐที่ทำหนาที่รับแจงและรับมือกับภัยคุกคามไซเบอรที่อาจเกิดขึ้นโดยไมสามารถคาดการณลวงหนา เพ่ือแกไขปญหาความม่ันคงปลอดภัยไซเบอร (cybersecurity) โดยอาศัยความรวมมือกับหนวยงานในประเทศและเครือขาย CERT จากท่ัวโลก ไทยเซิรตมีวิสัยทัศนท่ีจะสรางสรรคสังคมออนไลนใหมีความม่ันคงปลอดภัย และสรางความเช่ือม่ันแกผูทำธุรกรรมทางอิเล็กทรอนิกส รวมท้ังสรางความเขมแข็งใหกับหนวยงานโครงสรางพื้นฐานสำคัญ (critical infrastructure) ของประเทศ เพื่อสนับสนุนนโยบายของรัฐบาลที่จะขับเคลื่อนประเทศดวยนโยบายเศรษฐกิจดิจิทัล

2.1 โครงสรางไทยเซิรต ในป 2557ไทยเซิรตยายมาอยูในพื้นที่มั่นคงปลอดภัยชั้น 20 อาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา (อาคารบี) และจัดตั้งศูนยใหบริการเฉพาะตามภารกิจ 2 แหง ไดแก

• ศูนยปฏิบัติการทางไซเบอร (CyberSecurity Operations Center หรือ CSOC) ประกอบดวยระบบรับแจงเหตุและติดตามสถานะภัยคุกคามไซเบอร ระบบเฝาระวังและรายงานผลภัยคุกคามไซเบอรแบบเรียลไทม รวมถึงระบบวิเคราะหภัยคุกคามไซเบอรในรูปแบบตาง ๆ เพื่อใหสามารถตอบสนองตอภัยคุกคามไซเบอรที่เกิดขึ้นอยางตอเนื่อง และภัยคุกคามไซเบอรรูปแบบใหมอยางมีประสิทธิภาพ พรอมเจาหนาที่ปฏิบัติการตลอด 24 ชั่วโมง

• ศูนยดิจิทัลฟอเรนสิกส (Digital Forensics Center: DFC) ประกอบดวยหองปฏิบัติการท่ีมีเคร่ืองมือตรวจคอมพิวเตอร โทรศัพท/อุปกรณเคลื่อนที่ และสื่อบันทึกขอมูลดิจิทัลที่ทันสมัย หองปฏิบัติการรวมดิจิทัลฟอเรนสิกส (Joint Digtital Forensics Laboratory) ท่ีสามารถใชปฏิบัติงานรวมระหวางไทยเซิรตกับหนวยงานภายนอกท่ีตองการรับบริการตรวจพิสูจนพยานหลักฐานดิจิทัล และมีหอง Clean room class 100 สำหรับซอมฮารดดิสกและกูคืนขอมูล

A n n u a l R e p o r t 2 0 1 4

20

มาตรฐานการรักษาความม่ันคงปลอดภัยสำหรับเว็บไซต (Website Security Standards – WSS) ไดจาก http://thcert.co/BBGFnx

2.2.1.2 บริการแจงเตือนและเผยแพรขอมูลขาวสารภัยคุกคามไซเบอร ไทยเซิรตใหบริการแจงเตือนเผยแพรบทความและขาวสารท่ีเปนประโยชนกับผูดูแลระบบสารสนเทศและบุคคลทั่วไปในเว็บไซตไทยเซิรต https://www.thaicert.or.th เพื่อใหทันกับการเปลี่ยนแปลงทางเทคโนโลยีและภัยคุกคามรูปแบบใหมๆ ผูท่ีสนใจสามารถอานหรือดาวนโหลดขอมูลในรูปแบบ PDF เชน รายงานประจำปที่รวบรวมขอมูลสถิติ การวิเคราะหภัยคุกคามสำคัญ กรณีศึกษาที่นาสนใจในรอบป หนังสือรวมบทความเก่ียวกับภัยคุกคามไซเบอรของไทยเซิรตและขาวส้ัน รวมถึงสถิติภัยคุกคามท่ีผานมาโดยขอมูลเผยแพรนั้นสามารถแบงไดเปนบทความทั่วไป บทความเชิงเทคนิค ขาวสั้น และประกาศรายช่ัวโมง ตามตารางท่ี 1

2.2 บริการของไทยเซิรต ไทยเซิรตใหบริการแกหนวยงานภายนอก 3 รูปแบบคือ บริการเชิงรุกเพื่อปองกันภัยคุกคาม บริการเชิงรับเพื่อตอบสนองภัยคุกคาม และบริการบริหารจัดการดานความมั่นคงปลอดภัย • บริการเชิงรุกเพื่อปองกันภัยคุกคาม (Proactive Services) • บริการเชิงรับเพื่อตอบสนองภัยคุกคาม (Reactive Services) • บริการบริหารคุณภาพทางดานความม่ันคงปลอดภัย (Security Quality Management Services)

2.2.1 บริการเชิงรุกเพื่อปองกันภัยคุกคาม (Proactive Services) การใหบริการสนับสนุนการปฏิบัติงาน ขอมูล และคำปรึกษา ในการปองกันระบบสารสนเทศจากการถูกโจมตีทางไซเบอร เพ่ือลดความเส่ียงและควบคุมความเสียหายท่ีอาจเกิดข้ึน เชน บริการตรวจสอบและประเมินชองโหวของระบบสารสนเทศ (Security Audit and Assessment) บริการแจงเตือนและเผยแพรขอมูลขาวสาร (Announcement) และบริการเฝาติดตามภัยคุกคาม (Threat Watch)

2.2.1.1 บริการตรวจสอบและประเมินชองโหวของระบบสารสนเทศ (Security Audit and Assessment) บริการตรวจสอบและประเมินชองโหวระบบสารสนเทศ ชวยใหหนวยงานรูสถานการณดานความม่ันคงปลอดภัย ปญหา และชองโหวของระบบสารสนเทศ ซ่ึงหนวยงานควรตรวจสอบอยางสม่ำเสมอ เพื ่อดำเนินการแกไขกอนเกิดเหตุและเปนขอมูลประกอบการจัดทำแผนบริหารจัดการความเสี ่ยง (Risk Management Plan: RMP) และแผนบริหารจัดการความตอเนื่องทางธุรกิจ (Business Continuity Management: BCM) ที่เหมาะสม ในป 2557 ไทยเซิรตไดใหบริการตรวจสอบและประเมินชองโหว (Vulnerability Assessment) ของระบบสารสนเทศใหแกหนวยงานของรัฐและหนวยงานที่เปนโครงสรางพื้นฐานสำคัญของประเทศไทยจำนวนมากกวา 150 ระบบ พบจำนวนชองโหวรวมกันมากกวา 580 ชองโหว และในจำนวนนี้มีชองโหวในระดับรายแรงท่ีมีความเส่ียงตอการถูกเจาะ เขาถึง และเขาควบคุมระบบสารสนเทศถึง 35% ของจำนวนชองโหวท้ังหมดท่ีตรวจพบ ดังน้ัน เพ่ือลดความเส่ียงการถูกโจมตีจากชองโหวของระบบสารสนเทศ ไทยเซิรตไดรวมกับสำนักมาตรฐาน สพธอ. จัดทำคูมือปฏิบัติสำหรับหนวยงานใชอางอิงในการพัฒนาและบริหารจัดการเว็บไซตและระบบสารสนเทศใหมีความม่ันคงปลอดภัย ผูท่ีสนใจสามารถดาวนโหลดคูมือขอเสนอแนะมาตรฐานดานเทคโนโลยีสารสนเทศและการสื่อสารที่จำเปนตอธุรกรรมทางอิเล็กทรอนิกสวาดวย

A n n u a l R e p o r t 2 0 1 4

ตารางที่ 1 ประเภทขอมูลเผยแพร

บทความท่ัวไป

บทความดานความมั่นคงปลอดภัยที่หยิบยกประเด็นตาง ๆ ที่อาจมีผลกระทบกับคนในประเทศขึ้นมาอธิบายใหผูอานทั่วไปเกิดความเขาใจ และความตระหนักถึงความเสี่ยง/ผลกระทบที่อาจเกิดขึ้น พรอมทั้งบทสรุปและขอแนะนำที่ผูอานทั่วไปสามารถเขาใจและนำไปปรับใชได เชน บทความ “ภาพหลุดดารา กับปญหาความมั่นคงปลอดภัยในการใชงาน iCloud” “ขอแนะนำสำหรับผูที่ยังใชงาน Windows XP หลังสิ้นสุดระยะเวลาการสนับสนุนทางเทคนิค” เปนตน

ประเภทขอมูลเผยแพร คำอธิบาย

21

2.2.1.3 บริการเฝาระวังภัยคุกคาม ไทยเซิรตใหบริการเฝาระวังและติดตามภัยคุกคามไซเบอรโดยรวบรวมและวิเคราะหขอมูลท่ีไดรับจากเครือขาย CERT และแหลงขอมูลสาธารณะจากอินเทอรเน็ต เชน การเฝาระวังการแพรกระจายของมัลแวร การตรวจสอบสถานะความพรอมใหบริการเว็บไซต และตรวจสอบเว็บไซตที่ถูกเจาะระบบหรือเปลี่ยนแปลงขอมูล เปนตน

2.2.2 บริการเชิงรับเพื่อตอบสนองตอเหตุภัยคุกคาม (Reactive Services) การใหบริการเชิงรับเพื่อตอบสนองตอเหตุภัยคุกคามที่อาจสงผลกระทบตอระบบสารสนเทศ แบงเปน 2 ประเภทไดแก บริการรับมือและจัดการสถานการณดานความมั่นคงปลอดภัย (Incident Handling) และบริการตรวจพิสูจนพยานหลักฐานดิจิทัล (Digital Forensics)

2.2.2.1 บริการรับมือและจัดการสถานการณดานความมั่นคงปลอดภัย (Incident Handling) ไทยเซิรตเปนตัวแทนประเทศไทยในเครือขาย CERT ระหวางประเทศ เชน เครือขาย Asia Pacific CERT (APCERT) และ Forum of Incident Response and Security Teams (FIRST) ที่ทำหนาที่รับแจงเหตุภัยคุกคาม ตรวจสอบ วิเคราะหหาสาเหตุของปญหา และประสานงานกับหนวยงานที่เกี่ยวของเพื่อระงับเหตุและแกไขปญหานั้น ๆ ดวยรูปแบบบริการในลักษณะ 24x7 เพื่อจำกัดวงความเสียหายที่อาจเกิดขึ้น พรอมฟนฟูระบบและการใหบริการโดยเร็วที่สุด

ในป 2557 ไทยเซิรตไดบริการรับมือและจัดการสถานการณดานความมั่นคงปลอดภัยไปแลว 4,008 รายการ แบงเปน ภัยคุกคามประเภทโปรแกรมประสงคราย (Malicious Code) สูงสุดคิดเปนสัดสวน 43.3% ตามดวยการฉอโกงหรือหลอกลวง (Fraud) 25.2% การบุกรุกหรือเจาะระบบไดสำเร็จ (Intrusions) 17.8% และความพยายามบุกรุกเขาระบบ (Intrusion Attempts) 12.5% ตามลำดับ

2.2.2.2 บริการตรวจพิสูจนพยานหลักฐานดิจิทัล (Digital Forensics) ไทยเซิรตใหบริการตรวจพิสูจนพยานหลักฐานดิจิทัลและออกรายงานผลการตรวจวิเคราะหผานศูนยดิจิทัลฟอเรนสิกส (Digital Forensics Center: DFC) ซึ่งมีผูเชี่ยวชาญที่ไดรับประกาศนียบัตรรับรองความสามารถในการวิเคราะหคอมพิวเตอร โทรศํพท/อุปกรณเคลื่อนที่ และสื่อบันทึกขอมูลดิจิทัล ท่ีไดรับการยอมรับท่ัวโลก เชน CFCE, ENCE, GCFE, ACE, AME เปนตน ในป 2557 ศูนยดิจิทัลฟอเรนสิกส

2 ดูรายการซอฟตแวรที่ไทยเซิรตเฝาติดตามเพื่อรายงานสรุปชองโหวประจำสัปดาหจากตารางที่ 1 ในภาคผนวก ข หนา 493 Common Vulnerability Scoring System (CVSS) มาตรฐานในการประเมินระดับความรุนแรงของชองโหวดานความม่ันคงปลอดภัยคอมพิวเตอร ซึ่งออกแบบโดยหนวยงานดานความมั่นคงปลอดภัย FIRST ที่เปนเครือขาย CERT ในระดับสากล (https://www.first.org/cvss)

บทความเชิงเทคนิค

ขาวส้ัน

ประกาศรายการชองโหว

บทความเชิงเทคนิคที่เขียนโดยผูที่มีความรูความชำนาญในดานความมั่นคงปลอดภัยไซเบอร เชน การวิเคราะหมัลแวร การบุกรุกโจมตีของผูประสงคราย และการตรวจพิสูจนพยานหลักฐานดิจิทัล โดยนำเสนอเนื้อหาเชิงลึกวิเคราะหสาเหตุของปญหา ความเสี่ยง และผลกระทบที่เกิดขึ้น พรอมทั้งเสนอขอควรระวัง วิธีการตรวจสอบแกไข และสรุปใหผูอานสามารถเขาใจและนำไปปรับใชได เชน บทความ “WireLurker และ Masque Attack: ผูใช iOS ติดมัลแวรไดแมไม Jailbreak” “NTP Reflection DDoS attack” “ขอควรระวังในการใชเครื่องมือตรวจพิสูจนพยานหลักฐานดิจิทัลในการคนหาคำหรือขอความภาษาไทย” เปนตน

การนำเสนอขาวในรูปแบบของบทความขนาดสั้นเพื่อใหมีความรวดเร็วทันการณในการเผยแพร โดยมีที่มาจากรอบโลกเพื่อแจงเตือน สรางความเขาใจ และความตระหนักถึงภัยคุกคามไซเบอรท่ีมีผลกระทบตอคนในประเทศ เชน เรื่อง “พบชองโหว Misfortune Cookie ใน Router กวา 12 ลานเครื่อง” “3 ขอควรจำ ปองกันกอนถูกแฮ็ก” “เปนเรื่อง! ภาพถายและคลิปของ Snapchat หลุดมากกวา 90,000ไฟล” เปนตน

แสดงขอมูลสรุปรายการชองโหวท่ีไทยเซิรตติดตามกวา 100 ผลิตภัณฑซอฟตแวร2

เชน เบราวเซอร ระบบบริหารจัดการเว็บไซตสำเร็จรูป แอนติไวรัส เปนตน โดยจะเผยแพรขอมูลทุก ๆ วันจันทรของสัปดาห และนำเสนอแยกตามระดับความรุนแรง คื อ- High - ประเภทความรุนแรงระดับสูง ประเมินจากคา CVSS3 7.0 - 10.0- Medium - ประเภทความรุนแรงระดับปานกลาง ประเมินจากคา CVSS 4.0 - 6.9- Low - ประเภทความรุนแรงระดับต่ำ ประเมินจากคา CVSS 0.0 - 3.9

ประเภทขอมูลเผยแพร คำอธิบาย

22

ไดใหบริการตรวจพิสูจนพยานหลักฐานดิจิทัลรวมทั้งสิ้น 21 เคส มีหนวยงานที่ขอรับบริการ เชน สำนักนายกรัฐมนตรี กองบังคับการปราบปรามการกระทำความผิดเก่ียวกับอาชญากรรมทางเทคโนโลยี (ปอท.) กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเศรษฐกิจ (ปอศ.) สถาบันนิติวิทยาศาสตร และธนาคาร

2.2.3 บริการบริหารคุณภาพทางดานความมั่นคงปลอดภัย (Security Quality Management Services) การบริการท่ีสนับสนุนการบริหารการรักษาความม่ันคงปลอดภัยไซเบอรขององคกรและพัฒนาความรูและความสามารถของบุคลากรในดานกระบวนการรักษาความม่ันคงปลอดภัยระบบสารสนเทศขององคกรโดยรวม ซึ่งบริการในดานนี้ ประกอบดวย บริการวิชาการดานความมั่นคงปลอดภัย (Education and Training) และ การสรางความตระหนักเรื่องความมั่นคงปลอดภัย (Awareness Building)

2.2.3.1 บริการวิชาการดานความมั่นคงปลอดภัย (Education and Training) ไทยเซิรตไดจัดกิจกรรมการบรรยาย สัมมนา และอบรมใหความรูแกบุคลากรของหนวยงานทั้งภายในประเทศและตางประเทศ ซึ่งมีการเชิญวิทยากรและผูทรงคุณวุฒิจากทั้งในและตางประเทศมาบรรยายและแลกเปลี่ยนความรู และไดเชิญหนวยงาน CERT จากตางประเทศมาเขารวมเพื่อแลกเปลี่ยนประสบการณอีกดวย นอกจากน้ันยังเปนแกนนำในการพัฒนามาตรฐานการรับรองบุคลากรดานความม่ันคงปลอดภัยระบบสารสนเทศของประเทศไทย (Thailand Information System Security Professional Certification Program) รวมทั้งเตรียมความพรอมใหแกบุคลากรทั้งในและนอกองคกรที่มีความสนใจดานการรักษาความมั่นคงปลอดภัยสารสนเทศเขาสอบในหลักสูตร Certified Information Systems Security Professional (CISSP) ของสถาบัน (ISC)2 ซึ่งเปนประกาศนียบัตรสำหรับผูเชี่ยวชาญดานการรักษาความมั่นคงปลอดภัยที่ไดรับการยอมรับในระดับสากล ผลงานในป 2557 ไดแก การจัดอบรมเพื่อเตรียมสอบใบรับรอง CISSP ใหกับผูแทนหนวยงาน 9 แหง จำนวน 20 คน จัดอบรมและสอบใบรับรอง GCIH ใหกับผูแทนหนวยงานภาครัฐจำนวน 10 คน การจัดอบรมหลักสูตรมาตรฐานหองปฏิบัติการ ISO/IEC 17025 : 2005 และ ASCLD ใหกับเจาหนาที่ของรัฐที่เปนผูตรวจพิสูจนพยานหลักฐานดิจิทัลจำนวน 15 คน และการจัดอบรมหลักสูตรตรวจพิสูจนพยานหลักฐานดิจิทัลท่ีเปนหลักสูตรเฉพาะทางอีกหลายหลักสูตรตลอดป รวมผูท่ีไดรับการอบรมหลักสูตรตาง ๆ กวา 110 คน

2.2.3.2 การสรางความตระหนักเรื่องความมั่นคงปลอดภัย (Awareness Building) ไทยเซิรตเห็นวาการสรางความตระหนักใหแกบุคลากรตลอดจนผูบริหารในเรื่องการรักษาความมั่นคงปลอดภัยนั้นมีความสำคัญตอการยกระดับความเขมแข็งของการรักษาความมั่นคงปลอดภัยในองคกร ไทยเซิรตจึงไดเปนเจาภาพจัดอบรมแลกเปลี่ยนขอมูลเพื่อใหความรู และสรางความตระหนักเรื่องความมั่นคงปลอดภัย ซึ่งมีการเชิญวิทยากรและผูทรงคุณวุฒิจากทั้งในและตางประเทศมาบรรยายและแลกเปล่ียนความรู และไดเชิญหนวยงาน CERT จากตางประเทศมาเขารวมเพ่ือแลกเปล่ียนประสบการณอีกดวย ตัวอยางหลักสูตรการอบรมและสัมมนา เชน SANS Secure Thailand 2014, ETDA/ThaiCERT Security Seminar “The War against Advanced Cyber Threats” และ การประชุมของผูเชี่ยวชาญในระดับภูมิภาคเอเชีย 14th RAISE Forum นอกเหนือจากงานน้ี ไทยเซิรตยังส่ือสารเพ่ือใหขอมูลขาวสารตาง ๆ ที่เกี่ยวของกับเรื่องความมั่นคงปลอดภัยผานทางชองทางตาง ๆ เชน โซเชียลมีเดียและเว็บไซตของไทยเซิรต (www.thaicert.or.th) เพื่อสรางความตระหนักและใหความรูแกประชาชนทั่วไปที่สนใจรวมถึงไดจัดกิจกรรมซักซอมรับมือภัยคุกคามใหแกหนวยงานภาครัฐที่สำคัญและสถาบันการเงิน

A n n u a l R e p o r t 2 0 1 4

4 รายละเอียดประกาศนียบัตรรับรอง สามารถดูที่ภาคผนวก ง หนาที่ 51

24

บทที่ 3 สถิติภัยคุกคามป 2557

A n n u a l R e p o r t 2 0 1 4

ไทยเซิรตรวบรวมขอมูลที่ไดรับจากเครือขายใน/ตางประเทศและผานชองทางรับแจงของไทยเซิรต นำมากรองและวิเคราะหขอมูลท่ีมีความสัมพันธกับหนวยงานในประเทศไทย เพ่ือจัดทำเปนสถิติภาพรวมภัยคุกคามไซเบอรป 2557 ดังนี้

3.1 สถิติภัยคุกคามที่ไทยเซิรตไดรับแจงผานระบบอัตโนมัติ ขอมูลภัยคุกคามไซเบอรที่ไทยเซิรตรวบรวมผานระบบรับแจงอัตโนมัติจากแหลงตาง ๆ ทั้งในและตางประเทศ สามารถแยกออกเปน 10 ประเภท ไดแก Botnet, Brute Force, DDoS, Malware URL, Open DNS Resolver, Open Proxy Server, Phishing, Scanning, Spam, และ Web Defacement ซึ่งมีจำนวนหมายเลขไอพีที่ไมซ้ำเปรียบเทียบป 2556 และ 2557 ในตารางที่ 2

• ป 2557 ภัยคุกคามที่ไดรับแจงสูงที่สุดไดแก Botnet (2,729,399) และ Open DNS Resolver (2,253,917) ในขณะท่ีภัยคุกคามท่ีไดรับแจงต่ำท่ีสุดไดแก DDoS และ Spam

• เม่ือเปรียบเทียบจำนวนหมายเลขไอพีท่ีไมซ้ำท่ีไดรับแจงในป 2556 และป 2557 พบวาภัยคุกคามประเภท Botnet ท่ีไดรับแจงมากท่ีสุดมีสัดสวนใกลเคียงกันท้ังสองป ท้ังน้ีไทยเซิรตไมไดรับแจงภัยคุกคามประเภท Spam ในป 2557 เนื่องจากไทยเซิรตไมไดรับแจงในป 2557 เนื่องจากหนวยงานในเครือขายหยุดรายงานขอมูลประเภทดังกลาว

5 ดูประเภทภัยคุกคามที่ไดรับแจงผานระบบอัตโนมัติจากตารางที่ 11 ในภาคผนวกที่ ก หนา 46

25

3.1.1 สถิติภัยคุกคามประเภท Botnet

ตารางที่ 2 จำนวนหมายเลขไอพีที่ไมซ้ำที่ไดรับรายงานในแตละประเภทภัยคุกคามในป 2556 และ 2557 กราฟที่ 1 อันดับแรกของมัลแวรประเภท Botnet ที่ไดรับแจง

Botnet

Open DNS Resolver

Scanning

Open Proxy Server

Web Defacement

Malware URL

Phishing

Bruteforce

DDoS

Spam

2,729,399

2,253,917

9,306

3,449

1409

803

668

169

4

0

2,829,348

1,695,783

14,340

9,363

1,096

325

261

302

8

848,976

นำตัวเลขไปใสError! Reference source not found.

2556 2557

กราฟที่ 1 แสดงสัดสวน 10 อันดับแรกของมัลแวรประเภท Botnet ที่ไทยเซิรตไดรับแจงผานระบบอัตโนมัติ โดยพบวา Conficker ไดรับแจงมากท่ีสุดเปนจำนวน 36.4% รองลงมาคือ ZeroAccess (24.6%) และ Sality (9.7%) โดยในกรณีของ Conficker ที่ยังคงอยูในอับดับแรกของรายงานทั้งที่เปนมัลแวรที่ถูกคนพบมาเปนเวลานานเกือบ 10 ป และทาง Microsoft ไดออกประกาศแจงเตือน รวมถึงออกแพทซ วิธีแกไขชองโหวที่มัลแวรใชโจมตีแลวนั้น จึงเปนความเสี่ยงที่ประเทศไทยยังมีคอมพิวเตอรที่ยังไมไดรับการแกไขชองโหวและติดมัลแวร Conficker ซึ่งเปนมัลแวรประเภท Botnet อีกเปนจำนวนมาก

Conficker: 36.4%Zero Access: 24.6%Sality: 9.7% Zeus: 6.2%Gameover: 5.8%Citadel: 4.8%Virut: 2.6%Glupteba: 2.0%Pushdo: 1.0%Pushdo: 0.9%(Other): 5.9%

26

ท้ังน้ีจากการเปรียบเทียบอันดับของมัลแวรท่ีไดรับแจงระหวางป 2556 และ 2557 ตามตารางท่ี 3 จะพบวามัลแวรกวา 7 สายพันธุท่ีเคยติดอันดับในป 2556 ยังคงอยูใน 10 อันดับแรกของป 2557 และมีการสลับอันดับกันเพียงเล็กนอย โดยมีมัลแวร Virut, Glupteba และ Wapomi ท่ีไดรับแจงในสัดสวนท่ีสูงข้ึนจากป 2556 จนกระท่ังติดใน 10 อันดับแรกของป 2557

เมื่อพิจารณา 5 อันดับแรกของมัลแวรประเภท Botnet ที่ไทยเซิรตไดรับแจง จะพบวามีมัลแวรที่มีความสามารถในการขโมยขอมูลทั้งหมดถึง 3 สายพันธุใน 5 อันดับแรกนี้ นั่นคือ Sality, Zeus และ Gameover (พัฒนาตอยอดมาจาก Zeus) ซ่ึงแสดงใหเห็นถึงแนวโนมในการโจมตีของผูประสงครายท่ีมุงเนนขโมยขอมูลของผูใช

A n n u a l R e p o r t 2 0 1 4

จาก 10 อันดับแรกของมัลแวรท่ีไดรับแจงดังท่ีปรากฏในกราฟท่ี 2 สามารถจำแนกตามความสามารถของมัลแวรไดดังน้ี

5เปนการโจมตีโดยผูประสงครายพยายามวางตำแหนงปุมหรือลิงกอันตรายที่มองไมเห็น ใหตรงกับตำแหนงปุมหรือลิงกในหนาเว็บไซต เพื่อหลอกใหผูใชคลิก สงผลใหเหยื่อถูกพาไปยังเว็บไซตอันตรายหรือติดมัลแวรได

ตารางที่ 4 เปรียบเทียบอันดับของมัลแวรประเภท Botnet ที่ไดรับแจง ระหวางป 2556-2557

Conficker

ZeroAccess

Sality

Zeus

Gameover

Citadel

Virut

Glupteba

Pushdo

Wapomi

1

3

4

2

8

6

11

25

5

14

มัลแวร 2556

1

2

3

4

5

6

7

8

9

10

2557

2551

2550

2554

2546

2550

2554

2550

2554

2553

2546

Conficker

Zeus

ZeroAccess

Sality

Pushdo

Citadel

Slentbot

Gameover

Kelihos

Dorkbot

มัลแวร ปที่คนพบDos สง Spam ขโมขขอมูล ติดตั้ง

มัลแวลอื่นอื่น ๆ

ความสามารถ

ตารางที่ 3 ความสามารถของมัลแวรสายพันธตาง ๆ

จากรายงานของ Netcraft พบวาเปนปญหาที่มีผลกระทบตอ 500,000 เว็บไซตทั่วโลก (http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html) ไทยเซิรตไดตรวจสอบเว็บไซตท่ีสำคัญในประเทศไทย เชน เว็บไซตธนาคารออนไลน เว็บไซตยื่นแบบภาษีเงินไดบุคคลธรรมดา เปนตน แตไมพบวาไดรับผลกระทบจากชองโหว Heartbleed และจากการตรวจสอบในเดือนเมษายน 2557 พบวาจากจำนวนเครื่องที่ใชงาน HTTPS ในประเทศไทยประมาณ 130,000 เครื่อง พบเครื่องที่มีชองโหวนี้นอยกวา 2.7%

ไทยเซิรตไดเผยแพรประกาศแจงเตือนผานเว็บไซตไทยเซิรตและรวมกับสมาคมผูใหบริการอินเทอรเน็ตไทย(Thai Internet Service Provider Association: TISPA) จัดแถลงขาวเร่ือง “การกำหนดมาตรการรวมรับมือ Heartbleed ชองโหวของซอฟตแวร OpenSSL” เพื่อแจงเตือนใหหนวยงานและผูเกี่ยวของไดตระหนักถึงปญหาดังกลาวและรับทราบแนวทางวิธีการปองกันและแกไข รวมถึงจัดเตรียมขอมูลหมายเลขไอพีของเว็บไซตท่ีมีชองโหวดังกลาวใหแกผูใหบริการเครือขายอินเทอรเน็ตผานระบบแลกเปล่ียนขอมูลท่ีไทยเซิรตจัดเตรียมเอาไวให

แมวาในปจจุบันบางเว็บไซตดำเนินการแกไขปญหาชองโหวดังกลาวแลว แตจากการตรวจสอบลาสุดชวงเดือนธันวาคม 2557 ยังคงพบเคร่ืองเซิรฟเวอรท่ีใชงาน HTTPS ท่ีมีชองโหว Heartbleed อยูถึง 2.6% แสดงใหเห็นวายังมีผูดูแลระบบสวนหนึ่งมิไดดำเนินการแกไขชองโหวนี้

3.2.3 Internet Banking Fraud ในป 2557 ปรากฏขาวผูใชบริการธนาคารออนไลนถูกขโมยเงินในบัญชีหลายคร้ัง ศูนยดิจิทัลฟอเรนสิกส สพธอ. ก็ไดมีโอกาสวิเคราะหพยานหลักฐานคอมพิวเตอรของผูเสียหาย และจัดทำรายงานการตรวจวิเคราะหสงใหเจาหนาที่ตำรวจสืบทราบผูตองสงสัยไดสำเร็จ โดยเมื่อชวงตนปศูนยดิจิทัลฟอเรนสิกส ไดรับการรองขอใหตรวจวิเคราะหเครื่องคอมพิวเตอรของผูเสียหายรายหนึ่งที่ถูกขโมยเงินผานบริการธนาคารออนไลน ขอมูลเบื้องตนที่ไดรับมาคือผูเสียหายเปนนักธุรกิจที่ใชงานคอมพิวเตอรที่สำนักงานประกอบธุรกิจ มีการทำธุรกรรมทางการเงินและมีการใชงานสวนตัว เคยใชโปรแกรมแชตบางเปนคร้ังคราว ในสวนของการใชงานธนาคารออนไลนจะเปนผูเดียวที่รูรหัสผานและไมเคยแชรรหัสผานกับผูใด

27

3.1.2 สถิติภัยคุกคามประเภท Web Attack

กราฟท่ี 2 แสดงการเปรียบเทียบภัยคุกคามในลักษณะท่ีเปนการบุกรุกเว็บไซตดวยรูปแบบตาง ๆ คือ Malware URL, Phishing, และ Web Defacement ซ่ึงเก็บขอมูลเปรียบเทียบจำแนกเปน จำนวน URL ท่ีไมซ้ำจำนวน Subdomain ท่ีไมซ้ำ และ จำนวนหมายเลขไอพีท่ีไมซ้ำ

โดยเม่ือพิจารณาจากขอมูลจำนวน URL ท่ีไมซ้ำจะพบวาภัยคุกคามประเภท Malware URL มีจำนวนรายงานสูงที่สุดถึง 12,471 รายการ มากกวาการบุกรุกประเภท Phishing และ Web Defacement ถึง 3 เทา แตในทางกลับกัน การบุกรุกเว็บไซตในลักษณะ Malware URL มีรายงานจำนวนหมายเลขไอพีที่ไมซ้ำ 803 รายการ ซึ่งแสดงใหเห็นถึงความหนาแนนของปริมาณการนำเว็บไซตไปใชในการโจมตีผูอื่นวาการโจมตีประเภท Malware URL นั้น อาศัยปริมาณที่มากเพื่อใชในการแพรกระจายมัลแวร โดยมีสัดสวนอยูที่ 15.5 รายการตอหนึ่งหมายเลขไอพี

ในขณะท่ีการเปรียบเทียบจำนวน Subdomain ท่ีไมซ้ำ พบการบุกรุกเว็บไซตในลักษณะ Web Defacementจำนวนมากที่สุดถึง 4,182 รายการ ซึ่งมากกวาการบุกรุกประเภท Malware URL และ Phishing กวา 3-4 เทา โดยการบุกรุกเว็บไซตในลักษณะ Web Defacement นั้น มีสัดสวนของจำนวน Subdomain และ จำนวน URL ที่ไมซ้ำ ใกลเคียงกัน เนื่องจากการบุกรุกเว็บไซตในนี้นั้น ผูโจมตีนิยมที่จะโจมตีแกไขเปลี่ยนแปลงหนาเว็บไซตที่มี Subdomain จำนวนมากเพื่อสรางชื่อเสียงและสรางสถิติแขงขันกันกับทีมอื่น และเมื่อเปรียบเทียบตามจำนวนหมายเลขไอพีที่ไมซ้ำกัน จะพบวาการบุกรุกเว็บไซตในลักษณะ Web Defacement เกิดข้ึนมากท่ีสุดเชนกันท่ีจำนวน 1,049 หมายเลข สวนการบุกรุกเว็บไซตในลักษณะ Malware URL และ Phishing มีจำนวนใกลเคียงกันคือ 803 และ 668 หมายเลขตามลำดับ

จากการจัดอันดับประเภทโดเมนเนมท่ีพบการบุกรุกเว็บไซตในลักษณะ Malware URL ตามกราฟท่ี 3แสดงใหเห็นวาเว็บไซตของหนวยงานดานการศึกษา (.ac.th) ถูกรายงานมากท่ีสุดโดยมีจำนวน 225 รายการ คิดเปนสัดสวน 28% รองลงมาคือหนวยงานประเภทบริษัทหรือนิติบุคคล (.co.th) และ หนวยงานภาครัฐ (.go.th) ซึ่งมีจำนวน 180 (22.4%) รายการ และ 160 (19.9%) รายการ ตามลำดับ

500

100150200250

.acth .co.th .go.th .com .in.th (Other)

225

160

118

50 70

180

กราฟที่ 3 สถิติภัยคุกคามประเภท Malware URL จำแนกตามประเภทของโดเมนเนม

จำนวน URL ที่ไมซ้ำ จำนวน Shbdomain จำนวน IP ที่ไมซ้ำ

2.5k

0

5k

7.5k

10k

12.5k 12,471

4,02

5

4,42

7

4,18

2

1,08

9

668

1,04

9

1,47

0

803

Malware URL Phishing Web Defacement

กราฟที่ 2 สถิติการบุกรุกเว็บไซตแบบตาง ๆ

28

A n n u a l R e p o r t 2 0 1 4

จากการจัดอันดับประเภทโดเมนเนมที่พบการบุกรุกเว็บไซตในลักษณะ Phishing ตามกราฟที่ 4 แสดงใหเห็นวาเว็บไซตของหนวยงานภาคเอกชน (.com) ไดรับรายงานสูงสุดเปนจำนวน 290 รายการ รองลงมาคือ หนวยงานดานการศึกษา (.ac.th) โดยมีจำนวน 89 รายการ ซ่ึงสวนใหญเปนกรณีหนวยงานในประเทศไทยถูกผูประสงครายแอบเจาะระบบและสรางหนาเว็บไซตปลอมสำหรับโจมตีหนวยงานสถาบันการเงินในตางประเทศ ทำใหยากตอการติดตามตัวผูกระทำผิด

500

100150200

350300250

.ac.th .co.th .go.th .com .in.th (Other)

290

66 6455

10489

กราฟที่ 4 สถิติภัยคุกคามประเภท Phishing จำแนกตามประเภทของโดเมนเนม

500

100150200

350400

300250

.ac.th .co.th .go.th .com .in.th (Other)

376

258

192

71175

337

กราฟที่ 5 สถิติภัยคุกคามประเภท Web Defacement จำแนกตามประเภทของโดเมนเนม

จากการจัดอันดับประเภทโดเมนเนมท่ีพบการบุกรุกเว็บไซตในลักษณะ Web Defacement ตามกราฟท่ี 5แสดงใหเห็นวาเว็บไซตของหนวยงานภาครัฐ (.go.th) ไดรับผลกระทบสูงสุดโดยมีจำนวน 376 รายการ คิดเปนสัดสวน 26.7% รองลงมาคือหนวยงานภาคเอกชน (.com) และหนวยงานดานการศึกษา (.ac.th) ซึ่งมีจำนวน 337 (23.9%) รายการ และ 258 (18.3%) รายการ ตามลำดับ ซึ่งนาสังเกตวาเว็บไซตของหนวยงานภาครัฐ (.go.th) นั้นเปนเปาหมายของการบุกรุกเว็บไซตในลักษณะนี้ เนื่องจากผูประสงครายตองการทำลายช่ือเสียงของหนวยงาน และสรางช่ือเสียงใหกับตนเองเพ่ือแขงขันกับผูประสงครายกลุมอ่ืน ดังน้ันหนวยงานภาครัฐจึงควรใหความสำคัญกับการรักษาความม่ันคงปลอดภัยของเว็บไซต และตรวจสอบชองโหวอยางสม่ำเสมอ

กราฟที่ 6 10 อันดับแรกของโดเมนเนมที่มีจำนวนรายงานประเภท Malware URL สูงที่สุดนับตามจำนวน URL ที่ไมซ้ำ

obec.go.th

psu.ac.th

doae.go.th

prolanguage.co.th

thaitobaco.or.th

tu.ac.th

namoon go.th

yellowpages.co.th

pao-sisaket.go.th

nakhonnayok.go.th

1,117

1,617

437

343

314

307

306

241

150

127

0 250 500 750 1,000 1,250 1,500 1,700 2,000

29

ในป 2557 จำนวน Malware URL ที่ไดรับรายงานสวนใหญอยูภายใตโดเมนเนมของสำนักงานคณะกรรมการการศึกษาขั้นพื้นฐาน หรือ สพฐ. (obec.go.th) มีจำนวนถึง 1,677 URL หรือ 13.5% ของรายงานประเภท Malware URL ทั้งหมด รองลงมาคือ มหาวิทยาลัยสงขลานครินทร (psu.ac.th) มีจำนวน 1,117 URL คิดเปนสัดสวน 9.0% และกรมสงเสริมการเกษตร (doae.go.th) มีจำนวน 437 URL คิดเปนสัดสวน 3.5% โดยสาเหตุท่ีมีภัยคุกคามจำนวนมากเกิดข้ึนกับโดเมนเนมของหนวยงานเพียงไมก่ีแหงน้ัน อาจวิเคราะหไดวาเน่ืองจากหนวยงานสวนใหญมีการใหบริการเว็บไซตเปนจำนวนมากภายใตโดเมนเนมเดียวกัน และผูดูแลเว็บไซตไมไดแกไขชองโหวเมื่อไดรับคำแจงเตือน หรือแกไขดวยการลบไฟลมัลแวรที่มีปญหา ทำใหผูประสงครายสามารถโจมตีซ้ำชองโหวเดิมได สงผลใหมีรายงานของเว็บไซตเดียวกันเขามาหลายคร้ัง รวมไปถึงในบางกรณีที่มีเว็บไซตภายใตโดเมนเดียวกันเหลานั้นถูกพัฒนาขึ้นดวยโคดตนแบบหรือระบบบริหารจัดการเว็บไซตชุดเดียวกัน สงผลใหเมื่อผูประสงครายสามารถเจาะระบบเขาสูเว็บไซตแหงใดแหงหนึ่งได ก็มีโอกาสสูงที่จะสามารถเจาะระบบเขาสูเว็บไซตแหงอื่น ๆ ไดสำเร็จเชนกัน

ตารางที่ 5 10 อันดับแรกของโดเมนเนมที่มีจำนวนวันที่ไดรับรายงานประเภท Malware URL สูงที่สุด

doae.go.th

obec.go.th

yellowpages.co.th

pao-sisaket.go.th

tu.ac.th

thaitobacco.or.th

namoon.go.th

psu.ac.th

prolanguage.co.th

nakhonnayok.go.th

178

103

98

62

21

13

12

10

5

4

โดเมนเนม 2556

จากตารางที่ 5 แสดงใหเห็นถึงจำนวนวันที่ไดรับรายงานประเภท Malware URL โดยมีประเด็นที่นาสนใจคือ เว็บไซตที่ไดรับรายงานอันดับตน ๆ โดยสวนใหญแลวจะไดรับรายงานซ้ำหลายครั้ง โดยโดเมน doae.go.th มีจำนวนวันที่ไดรับรายงานซ้ำสูงสุดเปนจำนวน 178 วัน รองลงมาคือ โดเมน obec.go.th และ yellowpages.co.th ซึ่งมีจำนวน 103 และ 98 วัน ตามลำดับ

หากมองอีกมุมหน่ึง เม่ือเปรียบเทียบสัดสวนจำนวน URL ท่ีไดรับรายงาน กับจำนวนวันท่ีไดรับรายงานแลว จะพบวาช่ือโดเมน psu.ac.th มีสัดสวนสูงสุด ไดรับรายงาน 111.70 รายการตอวัน รองลงมาคือ ช่ือโดเมน prolanguage.co.th ไดรับรายงาน 68.6 รายการตอวัน และโดเมนเนม nakhonnayok.go.th ไดรับรายงาน 31.75 รายการตอวันตามลำดับ

จากกราฟท่ี 7 จะพบวา 10 อันดับแรกของโดเมนเนมท่ีมีจำนวนรายงานสูงสุดเกือบท้ังหมดเปนของหนวยงานภาคเอกชน โดยอันดับที่ 1 คือหมายเลขไอพี 119.46.90.105 จำนวน 195 รายการ (4.8%) รองลงมาคือโดเมนเนม yakultthailand.com และ tankunpandin.com จำนวน 185 และ 167 รายการ (4.6% และ 4.1%) ตามลำดับ

19.46.90.105

yakultthailand.com

tankunpandin.com

consumersurat.org

nfe.go.th

broncocm.com

paceto.co.th

siamdrill.com

cnsiam.com

pmybeachrayong.com

กราฟท่ี 7 10 อันดับแรกของโดเมนเนมท่ีมีจำนวนรายงานประเภท Phishing สูงท่ีสุดนับตามจำนวน URL ท่ีไมซ้ำ

195

185

167

113

97

79

78

76

55

53

0 25 50 75 100 125 150 175 200

30

A n n u a l R e p o r t 2 0 1 4

จากกราฟที่ 8 เมื ่อพิจารณาโดเมนเนมที่ไดรับรายงานประเภท Web Defacement สูงที ่สุด นับตามจำนวน URL ที่ไมซ้ำ พบสิ่งที่นาสนใจวา 10 อันดับแรกเปนโดเมนเนมของเว็บไซตหนวยงานภาครัฐท้ังหมด โดยโดเมนเนมท่ีไดรับรายงานสูงสุดไดแก กรมสงเสริมการเกษตร (doae.go.th) มีจำนวน 108 รายการ คิดเปน 2.4% ของรายงานประเภท Web Defacement ทั้งหมด รองลงมาคือกรมการพัฒนาชุมชน กระทรวงมหาดไทย (cdd.go.th) จำนวน 83 รายการ และสำนักงานเขตพื้นที่การศึกษาประถมศึกษาสระแกว เขต 2 (skarea2.go.th) จำนวน 79 รายการ คิดเปน 1.9% และ 1.8% ตามลำดับ โดยสาเหตุที่จำนวน URL ของรายงานประเภท Web Defacement ของแตละโดเมนเนมมีจำนวนใกลเคียงกันนั้น เนื่องจากการโจมตีแบบ Web Defacement โดยทั่วไปเปนเพียงการแกไขเปลี่ยนแปลงหนาเว็บไซตเพ่ือใหหนวยงานเจาของเว็บไซตเส่ือมเสียช่ือเสียง ในขณะท่ีการโจมตีประเภท Malware URL จะมีการฝงโคดอันตรายไวหลายหนาเว็บไซตเพื่อเพิ่มโอกาสในการแพรกระจายมัลแวร

กราฟที่ 8 10 อันดับแรกของโดเมนเนมที่มีจำนวนรายงานประเภท Web Defacement สูงที่สุดนับตามจำนวน URL ที่ไมซ้ำ

doae.go.th

cdd.co.th

skarea2.go.th

dld.go.th

moph.go.th

p2.go.th

onab.go.th

skn.go.th

police.go.th

pkn2.go.th

83

108

79

69

69

55

44

37

34

31

0 10 20 30 40 50 60 70 80 90 100 110 120

ตารางที่ 6 10 อันดับแรกของโดเมนเนมที่มีจำนวนวันที่ไดรับรายงานประเภท Phishing สูงที่สุด

nfe.go.th

cnsiam.com

pmybeachrayong.com

consumersurat.org

tankunpandin.com

yakultthailand.com

paceto.co.th

119.46.90.105

siamdrill.com

broncocm.com

56

34

34

8

8

5

4

3

3

2

โดเมนเนม จำนวนวันที่ไดรับรายงาน

จากตารางที่ 6 แสดงถึง 10 อันดับแรกของโดเมนเนมที่มีจำนวนวันที่ไดรับรายงานประเภท Phishing สูงที่สุด โดยสำหรับโดเมน nfe.go.th ไดรับรายงานซ้ำสูงสุดเปนจำนวน 56 วัน รองลงมาคือ pmybeachrayong.com และ cnsiam.com ซ่ึงมีจำนวนวันท่ีไดรับรายงานเทากันคือ 34 วัน มีประเด็นที่นาสนใจคือโดเมนสามอันดับแรกนี้มีจำนวนวันที่ไดรับรายงานสูงกวาโดเมนเนมอื่นอยางเห็นไดชัด แสดงใหเห็นวาเว็บไซตท่ีใชโดเมนเนมเหลาน้ีอาจไมไดรับการแกไขชองโหวอยางถูกตอง หรืออาจไมไดรับการตั้งคาที่รัดกุมเพียงพอ จึงทำใหถูกโจมตีไดสำเร็จอยูบอยครั้ง

31

จากตารางท่ี 7 10 อันดับแรกของโดเมนเนมท่ีมีจำนวนวันท่ีไดรับรายงานประเภท Web Defacement สูงที่สุด โดยโดเมน moph.go.th มีจำนวนวันที่ไดรับรายงานซ้ำสูงสุดเปนจำนวน 42 วัน รองลงมาคือ doae.go.th ซึ่งมีจำนวนวันที่ไดรับรายงานคือ 31 โดยจำนวนวันที่ไดรับรายงานนั้นสะทอนใหเห็นวาเว็บไซตท่ีใชโดเมนเนมเหลาน้ีอาจไมไดรับการแกไขชองโหวอยางถูกตอง หรืออาจไมไดรับการต้ังคาท่ีรัดกุมเพียงพอ จึงทำใหถูกโจมตีไดสำเร็จอยูบอยครั้ง

7ดูคำอธิบายของหมายเลขพอรตที่ถูกสแกนจากตารางที่ 14 ในภาคผนวก ค หนา 51

ตารางที่ 7 10 อันดับแรกของโดเมนเนมที่มีจำนวนวันที่ไดรับรายงานประเภท Web Defacement สูงที่สุด

moph.go.th

doae.go.th

police.go.th

dld.go.th

cdd.go.th

onab.go.th

p2.go.th

pkn2.go.th

skarea2.go.th

skn.go.th

42

31

17

15

12

5

4

4

3

3

โดเมนเนม จำนวนวันที่ไดรับรายงานชา

5000

100015002000

35004000

30002500

4,899 3,389 5,000 23 22 445 139 4,900 5,900 (Other)80

3,431

1,763 1,662

769 671435 482 77 33 29 151

กราฟที่ 9 10 อันดับแรกของหมายเลขพอรตที่ถูกโจมตีสูงที่สุด นับตามจำนวนหมายเลขไอพีที่ไมซ้ำ

3.1.3 สถิติภัยคุกคามประเภท Brute Force และ Scanning

จากสถิติภัยคุกคามประเภท Brute Force และ Scanning ที่ไทยเซิรตไดรับแจงในป 2557 โดยนับตามหมายเลขไอพีท่ีไมซ้ำ ดังท่ีไดแสดงไวในกราฟท่ี 97 จะพบวาหมายเลขพอรตท่ีถูกโจมตีใน 10 อันดับแรกนั้น สวนใหญเปนหมายเลขพอรต TCP ที่เกี่ยวกับบริการควบคุมดูแลระบบจากระยะไกล (Remote administration) เชน 4,899 (Radmin), 3,389 (RDP), 23 (Telnet), 22 (SSH) และ 5,900 (VNC) โดยมีสัดสวนรวมกันสูงถึง 66%

32

A n n u a l R e p o r t 2 0 1 4

8ดูประเภทภัยคุกคามที่ไดรับการประสานเพื่อรับมือและจัดการโดยไทยเซิรตจากตารางที่ 12 ในภาคผนวกที่ ก หนาที่ 47

5000

100015002000

35004000

4500

30002500

2554 2555 2556 2557

646792

1,745

4,007

กราฟที่ 10 จำนวนเหตุภัยคุกคามที่ไทยเซิรตดำเนินการระหวางป 2554 – 2557

3.2 สถิติภัยคุกคามที่ไทยเซิรตไดรับแจงผานศูนยปฏิบัติการทางไซเบอร (Cybersecurity Operations Center: CSOC) ในแตละปไทยเซิรตไดดำเนินการรับมือภัยคุกคามท่ีไดรับแจงมาผานชองทางอีเมลและโทรศัพท โดยปจจุบันไทยเซิรตมีเจาหนาท่ีประสานงานและรับมือเหตุภัยคุกคามทำงานในลักษณะ 24x7 (ตลอด 24 ช่ัวโมงตอวัน และ 7 วันตอสัปดาห) เพื่อใหการดำเนินการเปนไปอยางมีประสิทธิภาพ สามารถตอบสนองและแกไขปญหาเหตุภัยคุกคามที่ไดรับรายงานอยางรวดเร็ว

เมื่อเปรียบเทียบจำนวนเหตุภัยคุกคามที่ไทยเซิรตดำเนินการในชวง 4 ปที่ผานมาจะเห็นวามีแนวโนมที่สูงขึ้นอยางตอเนื่อง ในป 2557 ไทยเซิรตไดดำเนินการประสานงานแกไขเหตุภัยคุกคามเปนจำนวนสูงขึ้นมากกวาป 2556 เปนเทาตัว ซึ่งคาดวาเนื่องจากไทยเซิรตไดรับแจงเหตุภัยคุกคามประเภท Malicious Code ที่เกิดขึ้นกับเว็บไซตของไทยเพิ่มมากขึ้น เนื่องจากไทยเซิรตไดขยายความรวมมือกับหนวยงานภาครัฐเพิ่มมากขึ้น8

2000

400600800

14001600

1800

2000

12001000

Abusiv

e Cont

ent

Availa

billty

Fraud

Informa

tion Gr

thering

Informa

tion Se

curity

Intrutio

n Attemp

ts

Intrutio

nOth

er

8 8 27 4 0

1,007

0.20% 0.20% 0.72% 0.10%

12.58%

17.69%

43.37%

0%

25.13%

1,738

709

504

กราฟที่ 11 สถิติเหตุภัยคุกคามที่ไทยเซิรตไดรับแจงโดยตรงในป 2557จำแนกตามประเภทของภัยคุกคาม

ดังท่ีกลาวไวกอนหนาน้ีวาในป 2557 ไทยเซิรตไดรับรายงานเหตุภัยคุกคามประเภท Malicious Code หรือโปรแกรมไมพึงประสงคเปนจำนวนมาก จึงสงผลใหมีจำนวนสูงที่สุดในบรรดาภัยคุกคามทุกประเภท กวา 1,738 รายการ หรือ 43.4% ของจำนวนเหตุภัยคุกคามท้ังหมด รองลงมาคือ Fraud หรือการฉอฉลหลอกลวงเพ่ือหวังผลประโยชน เชน Phishing โดยในป 2557 น้ีไดรับแจงมาเปนอันดับท่ีสองโดยมีจำนวน 1,007 รายการ คิดเปน 25.1% ซึ่งเดิมภัยคุกคามประเภท Fraud เปนภัยคุกคามที่ไดรับแจงมากที่สุดในป 2554 - 2556

33

ไทยเซิรตไดจำแนกลักษณะของผูเก่ียวของของเหตุออกเปน 3 ประเภทคือ ผูแจง ผูโจมตี และผูเสียหาย และจำแนกลักษณะของผูเกี่ยวของตามแหลงที่มาของการแจงเปน 3 ลักษณะ คือ ภายในประเทศ ตางประเทศ และไมทราบแหลงที่ตั้ง โดยจากขอมูลตามตารางที่ 9 แสดงใหเห็นวา ผูโจมตีสวนใหญมาจากในประเทศ สวนผูเสียหายสวนใหญจะอยูในตางประเทศ อีกท้ังยังมีผูเสียหายท่ีไมสามารถระบุแหลงที่ตั้งไดเนื่องจากขอมูลที่ไดรับไมเพียงพอ

เม่ือวิเคราะหขอมูลการดำเนินการเหตุภัยคุกคามประเภท Fraud ซ่ึงในปจจุบันพบวาเปนภัยจากการโจมตีในรูปแบบ Phishing ท้ังหมด โดยพบวาผูเสียหายสวนใหญอยูในตางประเทศ มีจำนวนเทากับผูโจมตีที่อยูในประเทศ นั่นหมายถึงเว็บไซตในประเทศไทยถูกใชเปนฐานในการเผยแพรหนาเว็บไซตปลอมเพื่อโจมตีผูใชที่อยูในตางประเทศ

ตารางท่ี 9 ขอมูลการดำเนินการเหตุภัยคุกคามท้ังหมด จำแนกตามผูเก่ียวของและแหลงท่ีมาของผูเก่ียวของ

ในประเทศ ตางประเทศ

ผูแจง

ผูเสียหาย

ผูโจมตี

2,137

23

3,987

1,870

1,347

20

0

2,637

0

ระบุไมด

ตารางท่ี 10 ขอมูลการดำเนินการเหตุภัยคุกคามประเภท Fraud จำแนกตามผูเก่ียวของและแหลงท่ีมาของผูเก่ียวของ

ในประเทศ ตางประเทศ

ผูแจง



270

18

992

740

992

18

0

0

0

ระบุไมด

ตารางที่ 8 10 อันดับแรกของประเทศของผูที่แจงเหตุภัยคุกคามมายังไทยเซิรตในป 2557

จากสถิติในตารางที่ 8 เมื่อจำแนกรายงานภัยคุกคามที่ไทยเซิรตไดรับแจงตามประเทศของผูแจงแลวไมนับรวมไทยเซิรต จะพบวาเยอรมนีเปนประเทศที่แจงเหตุภัยคุกคามมายังไทยเซิรตสูงสุดจำนวน 587 รายการ ซึ่งสวนใหญเปนรายงานที่เกี่ยวของกับภัยคุกคามประเภท Malicious Code รองลงมาคือสหรัฐอเมริกาและออสเตรเลีย จำนวน 482 และ 238 รายการตามลำดับ

Country

ThaiCERT

Germanny

USA

Australia

Brazil

Malaysia

Thailand

UK

Canada

Portugal

0

0

4

0

0

0

2

0

0

0

0

0

0

0

0

0

2

0

1

1

224

250

235

18

66

7

29

70

5

35

0

1

8

4

11

1

0

0

0

0

1

0

0

0

0

0

1

0

0

0

3

2

104

215

94

13

4

0

40

0

652

32

7

0

0

0

12

1

0

0

1118

302

124

1

1

105

64

3

1

4

2116

587

482

238

172

126

112

74

47

40

AbusiveContent

Fraud InformationGathering

InformationSqcurity

IntrusionAttempts

Intrusions Malicious TotalAvailability

34

A n n u a l R e p o r t 2 0 1 4

กราฟท่ี 12 แสดงใหเห็นวาจำนวนผูเสียหายจากการหลอกลวง สวนใหญอยูในกลุม ประเภทบริษัท/ธุรกิจ/เอกชน คิดเปนสัดสวนมากกวา 80% ของเหตุภัยคุกคามประเภท Fraud ท้ังหมดท่ีไดรับแจง นอกน้ันเปนกรณีอ่ืน ๆ ซ่ึงยังไมสามารถตรวจสอบยืนยันไดวา ผูเสียหายคือใคร เน่ืองจากในขณะท่ีเขาตรวจสอบน้ัน หนาเว็บไซตปลอมไดถูกเปล่ียนแปลง หรือแกไขแลวและไมพบขอมูลเพียงพอท่ีจะระบุไดวา ใครคือเปาหมายของการโจมตี

ระบุไมได

บริษัท/ธุรกิจ/เอกชน


1006040200 80

กราฟที่ 12 ขอมูลผูเสียหายจากเหตุภัยคุกคามประเภท Fraud กราฟที่ 14 ขอมูลผูโจมตีจากเหตุภัยคุกคามประเภท Fraud

ลักษณ

ะของ

หนวย

งาน

ลักษณ

ะของ

หนวย

งาน

สัดสวนรอยละ

สัดสวนรอยละ

กราฟที่ 13 ขอมูลผูแจงเหตุภัยคุกคามประเภท Fraud

CERT/หนวยงานดานSecurity


บุคคล

อ่ืนๆ

10060 7040 5020 30100 80 90

ผูแจง

จากขอมูลผูโจมตีท่ีเก่ียวของกับเหตุภัยคุกคามประเภท Fraud ตามกราฟท่ี 14 พบวาผูโจมตีสวนใหญอยูในกลุม บริษัท/ธุรกิจ/เอกชน คิดเปนสัดสวนประมาณ 90% สวนท่ีเหลือพบการโจมตีในกลุมหนวยงานของรัฐและสถาบันการศึกษา รวมทั้งที่ไมสามารถระบุไดวา URL ที่พบเปนของหนวยงานลักษณะใด โดยจากขอมูลเพิ่มเติมที่พบในระหวางการวิเคราะหและดำเนินการแกไขปญหากับผูเกี่ยวของ พบวาหนาเว็บไซตปลอมสวนใหญที่ไดรับรายงาน ไมไดเกิดจากหนวยงานหรือเจาของเครื่องเซิรฟเวอรจงใจสรางหนาเว็บไซตปลอมเพ่ือเผยแพรในเว็บไซตของตนเอง แตเปนลักษณะท่ีหนวยงานเหลาน้ันตกเปนเหย่ือของผูประสงครายที่เจาะระบบเขามาเพื่อสรางหนาเว็บไซตปลอม โดยที่ผูดูแลระบบของหนวยงานเหลานั้นไมทราบมากอน ซึ่งแสดงใหเห็นวาเว็บไซตของกลุมบริษัท/ธุรกิจ/เอกชนในประเทศไทยจำนวนไมนอย ยังคงขาดการบำรุงรักษาและการบริหารจัดการความมั่นคงปลอดภัยที่ดี


อ่ืนๆ

หนวยงานของรัฐ

สถาบันการศึกษา

สัดสวนรอยละ10060 7040 5020 30100 80 90


ลักษณ

ะของ

หนวย

งาน

35

3.3 สถิติของศูนยดิจิทัลฟอเรนสิกส ศูนยดิจิทัลฟอเรนสิกส (Digital Forensics Center: DFC) ของไทยเซิรตใหบริการตรวจพิสูจนพยานหลักฐานที่สอดคลองกับมาตรฐานสากลและรองรับการกาวไปสู e-Court ในอนาคต ทั้งนี้เพื่อใหสามารถนำรายงานผลการตรวจพิสูจนฯ ใชเปนหลักฐานในช้ันศาลได มีผูเช่ียวชาญท่ีไดรับประกาศนียบัตรจากสถาบันที่ไดรับการยอมรับทั่วโลกเปนผูใหบริการ ซึ่งในป 2557 ศูนยดิจิทัลฟอเรนสิกสไดใหบริการเปนจำนวนรวมทั้งสิ้น 21 กรณี แบงเปน

• การวิเคราะหมัลแวร 9 เคส • การคนหาพยานหลักฐานการกระทำผิดละเมิดทรัพยสินทางปญญา 2 เคส • การสืบหารองรอยการฉอโกงผานอีเมล 2 เคส • การวิเคราะหหารองรอยและที่มาของผูเจาะระบบเปลี่ยนแปลงขอมูลเว็บไซต 1 เคส • การตรวจวิเคราะหภาพและเสียง 1 เคส • ฯลฯ

ซึ่งเปนการตรวจวิเคราะหสื่อบันทึกขอมูลและอุปกรณไดแกฮารดดิสก 18 ลูก แฟลชไดรฟ 3 ชิ้น อุปกรณสื่อสารเคลื่อนที่ (ประกอบดวยโทรศัพทมือถือและแท็บเล็ต) 6 เครื ่อง ซิมการด 10 ชิ ้น Virtual machine image 7 เคร่ือง และ Memory image 3 ไฟล รวมปริมาณขอมูลท่ีตองวิเคราะหกวา 8 เทราไบต ซึ่งในหลายกรณีตองใชเทคนิคและเครื่องมือเฉพาะดานมาชวยตรวจวิเคราะหและคนหาความเช่ือมโยงของพยานหลักฐานท่ีตรวจพบ เชน การตรวจพิสูจนมัลแวรในโทรศัพทมือถือ การตรวจสอบพฤติกรรมของมัลแวรในระบบจำลองภายในหองปฏิบัติการ เปนตน

ตัวอยาง เคสสำคัญในป 2557 ไดแกการตรวจสอบวิเคราะหหาคนรายท่ีใชเทคนิค Social Engineering แชตกับเหยื่อแลวหลอกใหดาวนโหลดมัลแวรที่สามารถขโมยขอมูลการใชอินเทอรเน็ตแบงกิ้งของเหยื่อไปโอนเงิน ภายหลังจากที่ศูนยดิจิทัลฟอเรนสิกสตรวจสอบวิเคราะหล็อกตาง ๆ ทั้งที ่เก็บไวโดยระบบปฏิบัติการ บราวเซอร โปรแกรมแอนต้ีไวรัส โปรแกรมแชต ก็สามารถระบุหลายเลขไอพีของคนรายและนำไปสูการจับคนรายในที่สุด

3.4 ภัยคุกคามที่เปนกรณีศึกษาที่ไทยเซิรตเขาไปดำเนินการ3.4.1 Malware URL Take Down ในปจจุบัน มัลแวร หรือ โปรแกรมไมพึงประสงค เปนหน่ึงในภัยคุกคามท่ีมีแนวโนมทวีความรุนแรงมากยิ่งขึ้น จากรายงานดานความมั่นคงปลอดภัยหลายฉบับ เชน รายงานจากบริษัท Panda Security ระบุวาในป 2557 มีมัลแวรรูปแบบใหมเกิดขึ้นเฉลี่ยประมาณ 200,000 ตัวตอวัน หรือ 75 ลานตัวตอป เพ่ิมข้ึน 2.5 เทา จากป 2556 และรายงานจาก Kaspersky Security Lab ระบุวาพบภัยคุกคามจากมัลแวร 6,167,233,068 ครั้งตอป รวมถึงรายงานภัยคุกคามประเภทมัลแวรที่ไทยเซิรตไดรับแจงและประสานแกไขปญหาในป พ.ศ. 2557 ก็มีจำนวนสูงสุดถึง 1,753 กรณี เมื่อเทียบกับภัยคุกคามประเภทอื่น ๆ โดยสวนใหญเปนการฝงมัลแวรไวบนเว็บไซต ซ่ึงรูปแบบของการแพรระบาดมัลแวรรูปแบบหน่ึงท่ีพบโดยท่ัวไปคือการหลอกใหเหย่ือเขาหนาเว็บไซตท่ีมีมัลแวรฝงอยู ซ่ึงมีโอกาสทำใหเคร่ืองของผูเขาชมเว็บไซตติดมัลแวรไดสวนใหญพบวาเว็บไซตเหลานี้มิไดมีจุดประสงคในการแพรกระจายมัลแวรเปนการเฉพาะ แตพบวาเปนเว็บไซตที่มีชองโหวจึงถูกผูประสงครายโจมตีและเขาควบคุมเว็บไซตสำหรับใชในการแพรกระจายมัลแวรตอไป

จากสถานการณของมัลแวรท่ีพบในประเทศไทยและการวิเคราะหลักษณะของมัลแวรเหลาน้ี สามารถจำแนกมัลแวรไดหลายประเภท ทั้งเปนสแปมสำหรับการทำ Search Engine Optimization (SEO) ในตลาดมืดสำหรับธุรกิจการเพ่ิมยอดเขาชมของเว็บไซต และมัลแวรท่ีมีลักษณะฝงตัวอยูในรูปแบบของภาษา VBScript บนหนาเว็บไซต หากเครื่องคอมพิวเตอรติดมัลแวรดังกลาว จะสงผลใหผูประสงครายสามารถควบคุมเคร่ือง และขโมยขอมูลสวนบุคคลเพ่ือหาผลประโยชน รวมถึงยังพบกรณีรายแรงท่ีมีการนำเคร่ืองคอมพิวเตอรท่ีถูกโจมตีและเขาควบคุมมาไดน้ัน มาเปนเคร่ืองใหบริการ Command and Control Server (C2) สำหรับใชสงคำสั่งและรับขอมูลที่ขโมยจากเครื่องอื่นที่ติดมัลแวร

36

ธนาคารออนไลน ขอมูลเบื้องตนที่ไดรับมาคือผูเสียหายเปนนักธุรกิจที่ใชงานคอมพิวเตอรที่สำนักงานประกอบธุรกิจ มีการทำธุรกรรมทางการเงินและมีการใชงานสวนตัว เคยใชโปรแกรมแชตบางเปนคร้ังคราว ในสวนของการใชงานธนาคารออนไลนจะเปนผูเดียวท่ีรูรหัสผานและไมเคยแชรรหัสผานกับผูใด ศูนยดิจิทัลฟอเรนสิกสไดเร่ิมตนวิเคราะหขอมูลล็อกของโปรแกรมแอนติไวรัสท่ีติดต้ังอยูในเคร่ืองกอน รวมถึงคนหาและวิเคราะหไฟลมัลแวรท่ียังอาจหลงเหลืออยู พบวาในชวงเวลากอนเกิดเหตุเคร่ืองคอมพิวเตอรของผูเสียหายติดมัลแวรประเภทโทรจันที่สามารถเปดการเชื่อมตอใหผูประสงครายเขามาควบคุมเครื่องไดจากระยะไกล (Remote Access Trojan หรือ RAT) ซึ่งมัลแวรที่พบนี้มีความสามารถในการดักขอมูลช่ือผูใชและรหัสผานเม่ือผูใชเขาใชงานเว็บไซตธนาคารออนไลน รวมถึงขโมยขอมูลอ่ืน ๆ ท่ีเก็บอยูในเคร่ืองได เชน รหัสผานที่ถูกบันทึกไวในเบราวเซอร

ศูนยดิจิทัลฟอเรนสิกสจึงวิเคราะหตอไปถึงประวัติการใชงานเคร่ืองคอมพิวเตอร ทำใหพบวาผูเสียหายมีพฤติกรรมการสนทนาผานโปรแกรมสนทนาออนไลนอยูเปนประจำ ซึ่งโปรแกรมนี้อนุญาตใหคูสนทนาสามารถสงไฟล .exe (ไฟลโปรแกรมท่ีสามารถเรียกใชงานได) ใหกันได ซ่ึงจากการตรวจสอบประวัติการรับสงไฟล .exe พบวามีบุคคลท่ีผูเสียหายสนทนาดวยไดพยายามสงไฟล .exe มาใหผูเสียหายจำนวนหลายคร้ัง ในชวงเวลาหลังจากนั้นก็พบวามีผูประสงครายล็อกอินเขาใชงานบัญชีธนาคารออนไลนของผูเสียหาย

จากขอมูลที่พบในเครื่องคอมพิวเตอรของผูเสียหาย ทำใหสามารถยืนยันไดวาผูเสียหายถูกหลอกใหติดต้ังมัลแวรขโมยขอมูลลงในเคร่ืองคอมพิวเตอร ซ่ึงมัลแวรดังกลาวมีความสามารถในการขโมยขอมูลบัญชีธนาคารออนไลน ซึ่งผูประสงครายไดใชขอมูลนี้ล็อกอินเขาบัญชีธนาคารของผูเสียหายเพื่อโอนเงิน

ผลสุดทายเจาหนาท่ีตำรวจสามารถนำขอมูลผลการตรวจพิสูจนของศูนยดิจิทัลฟอเรนสิกสไปจับกุมผูตองสงสัยสำเร็จ เมื่อศูนยดิจิทัลฟอเรนสิกสตรวจสอบเครื่องคอมพิวเตอรของผูตองสงสัยที่เจาหนาที่ตำรวจยึดมาก็พบวามีโปรแกรมท่ีใชสำหรับสรางมัลแวร รวมถึงพบไฟลมัลแวรท่ีสรางเสร็จแลวจำนวนหน่ึง นอกจากน้ียังพบไฟลรูปภาพท่ีเปนสำเนาบัตรประชาชนของผูอ่ืนอยูภายในเคร่ืองคอมพิวเตอรของผูตองสงสัยดวย (ซ่ึงสามารถนำไปใชในการขอแจงซิมหายเพ่ือเปดซิมโทรศัพทมือถือใหมได) และสามารถยืนยันไดวาเคร่ืองคอมพิวเตอรของผูตองสงสัยท่ีตำรวจยึดมาได เปนเคร่ืองท่ีใชพัฒนามัลแวรและสงไฟลมัลแวรไปใหกับเครื่องคอมพิวเตอรของผูเสียหาย

3.4.2 ไทยเซิรตจับมือ TISPA รวมจัดการ Heartbleed ชองโหวอันตรายของซอฟตแวร OpenSSL หน่ึงในชองโหวสำคัญท่ีสงผลกระทบตอเซิรฟเวอรท่ัวโลกในป 2557 คือชองโหว Heartbleed ในซอฟตแวร OpenSSL ซ่ึงเปนเคร่ืองมือท่ีใชในการเขารหัสลับเพ่ือรักษาความม่ันคงปลอดภัยโดยเว็บเซิรฟเวอร อีเมลเซิรฟเวอร และโปรแกรมแชต ซ่ึงผูประสงครายสามารถโจมตีชองโหวเพ่ือขโมยขอมูลสำคัญออกไปจากหนวยความจำได เชน รหัสผานของผูท่ีเขาใชงานระบบ หรือ Private Key ท่ีใชในการเขารหัสลับขอมูลซ่ึงหากผูประสงครายไดขอมูลในสวนน้ีไปก็อาจนำไปใชถอดรหัสลับขอมูลท่ีเคยมีการแลกเปล่ียนกับเคร่ืองเซิรฟเวอรอ่ืน ๆ ได

จากรายงานของ Netcraft พบวาเปนปญหาที่มีผลกระทบตอ 500,000 เว็บไซตทั่วโลก (http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html) ไทยเซิรตไดตรวจสอบเว็บไซตท่ีสำคัญในประเทศไทย เชน เว็บไซตธนาคารออนไลน เว็บไซตย่ืนแบบภาษีเงินไดบุคคลธรรมดา เปนตน แตไมพบวาไดรับผลกระทบจากชองโหว Heartbleed และจากการตรวจสอบในเดือนเมษายน 2557 พบวาจากจำนวนเคร่ืองท่ีใชงาน HTTPS ในประเทศไทยประมาณ130,000 เคร่ือง พบเคร่ืองท่ีมีชองโหวน้ีนอยกวา 2.7% ไทยเซิรตไดเผยแพรประกาศแจงเตือนผานเว็บไซตไทยเซิรตและรวมกับสมาคมผูใหบริการอินเทอรเน็ตไทย (Thai Internet Service Provider Association: TISPA) จัดแถลงขาวเร่ือง “การกำหนดมาตรการรวมรับมือ Heartbleed ชองโหวของซอฟตแวร OpenSSL” เพ่ือแจงเตือนใหหนวยงานและผูเก่ียวของไดตระหนักถึงปญหาดังกลาวและรับทราบแนวทางวิธีการปองกันและแกไข รวมถึงจัดเตรียมขอมูลหมายเลขไอพีของเว็บไซตที่มีชองโหวดังกลาวใหแกผูใหบริการเครือขายอินเทอรเน็ตผานระบบแลกเปลี่ยนขอมูลที่ไทยเซิรตจัดเตรียมเอาไวให

แมวาในปจจุบันบางเว็บไซตดำเนินการแกไขปญหาชองโหวดังกลาวแลว แตจากการตรวจสอบลาสุดชวงเดือนธันวาคม 2557 ยังคงพบเคร่ืองเซิรฟเวอรท่ีใชงาน HTTPS ท่ีมีชองโหว Heartbleed อยูถึง 2.6% แสดงใหเห็นวายังมีผูดูแลระบบสวนหน่ึงมิไดดำเนินการแกไขชองโหวน้ี

3.4.3 Internet Banking Fraud ในป 2557 ปรากฏขาวผูใชบริการธนาคารออนไลนถูกขโมยเงินในบัญชีหลายคร้ัง ศูนยดิจิทัลฟอเรนสิกส สพธอ. ก็ไดมีโอกาสวิเคราะหพยานหลักฐานคอมพิวเตอรของผูเสียหาย และจัดทำรายงานการตรวจวิเคราะหสงใหเจาหนาที่ตำรวจสืบทราบผูตองสงสัยไดสำเร็จ โดยเมื่อชวงตนปศูนยดิจิทัลฟอเรนสิกสไดรับการรองขอใหตรวจวิเคราะหเครื่องคอมพิวเตอรของผูเสียหายรายหนึ่งที่ถูกขโมยเงินผานบริการ

A n n u a l R e p o r t 2 0 1 4

37

จากเหตุการณดังกลาว ทำใหไดขอมูลวาการทำงานรับมือสถานการณลักษณะน้ี ยังไมมีแนวปฏิบัติอยางเปนทางการในการประสานงานระหวางเจาหนาที่พนักงาน หรือสวนตาง ๆ สำหรับการติดตามตัวผูกระทำความผิด ดังน้ันไทยเซิรตในฐานะผูสนับสนุนการวิเคราะหทางเทคนิค จึงไดรวมกับสมาคมธนาคารไทย และสำนักงานตำรวจแหงชาติ จัดทำข้ันตอนในการประสานงาน เพ่ือยึดเปนแนวปฏิบัติในการประสานงานรวมกัน ตามรูปที่ 2

รูปที่ 1 การทำงานของคนรายเพื่อลักลอบโอนเงินจากบัญชีธนาคารออนไลนของผูเสียหาย

พี่ดูรูปหนูไปกอนละกันนะคะ

เหยื่อใชงานโปรแกรมสนทนาและถูกหลอกใหรับไฟลมัลแวร

ผูไมหวังดีแจงขอทำซิมโทรศัพทมือถือของเหยื่อใหม

ผูไมหวังดีเขาสูระบบ e-Banking ดวยบัญชีของผูใชงานของเหยื่อโดย SMS ยืนยันการโอนเงิน

ถูกสงไปยังโทรศัพทมือถีอของแฮกเกอร

htts://online.kasikorn[Enter]myUsername[Tab]myPassword

[Enter]

SHOP

BANK

มัลแวรเชื่อมตอและสงขอมูลกลับมายัง C&C (เครื่องของแฮกเกอร)

เชน ขอมูล Key logger เปนตน

1

2

3

4

38

ในเคร่ืองคอมพิวเตอรเปนเวลานานกวา 1 ปแลว

ลักษณะการทำงานของมัลแวรที่พบ จะใชเทคนิคการซอนตัวระดับสูง และมีเปาหมายเพื่อขโมยเฉพาะไฟลขอมูลที่มีชื่อหรือมีขอความตามที่กำหนดเทานั้น ไฟลที่ถูกขโมยจะถูกสงออกไปยังเซิรฟเวอรที่อยูตางประเทศตามที่มัลแวรระบุ

ผลการวิเคราะหของศูนยดิจิทัลฟอเรนสิกส พบวาสาเหตุของการติดมัลแวรเกิดข้ึนจากการท่ีผูใชเปดอีเมลท่ีมีไฟลแนบเปนเอกสาร Microsoft Word ซ่ึงภายในไฟลดังกลาวมีการฝงสคริปตท่ีแอบติดต้ังมัลแวรลงในเครื่องคอมพิวเตอรเมื่อมีผูใชเปดไฟล Microsoft Word นอกจากนี้หัวขอของอีเมลจะตั้งชื่อเปนเรื่องที่นาสนใจหรือเปนเหตุการณสำคัญที่เปนที่สนใจในขณะนั้น หรือหลอกวาถูกสงมาจากบุคคลสำคัญซึ่งเหย่ือนาจะรูจัก เน่ืองจากผูใชไมไดอัปเดตซอฟตแวรท่ีใชงานอยางสม่ำเสมอ ทำใหมัลแวรสามารถเขามาติดในเครื่องได

เม่ือวิเคราะหจากพฤติกรรมของมัลแวรและความซับซอนของการทำงาน การโจมตีในลักษณะน้ีเขาขายการโจมตีประเภท APT (Advanced Persistent Threat) ซ่ึงเปนการใชเทคนิคการโจมตีแบบความซับซอนสูง มีจุดประสงคเพื่อใหมัลแวรสามารถอยูในเครื่องของเหยื่อไดเปนเวลานาน และโดยสวนมากมีจุดประสงคเพ่ือขโมยขอมูลสำคัญระดับประเทศ ซ่ึงมีความเปนไปไดวาผูสรางมัลแวรลักษณะน้ีอาจไดรับการสนับสนุนจากหนวยงานระดับประเทศ ซึ่งหนวยงานระดับสูงในประเทศไทยไดตกเปนเปาหมายของการโจมตีในลักษณะนี้แลว

3.4.5 กรณีปญาชองโหวของอุปกรณเชื่อมตออินเทอรเน็ตภายในบาน (Router) ในชวงเดือนมกราคมถึงธันวาคมป 2557 มีการรายงานขาวเก่ียวกับปญหาดานความม่ันคงปลอดภัยของเราเตอรท่ีใชงานตามบานและออฟฟศขนาดเล็กท่ีมักเรียกกันวา Small Office / Home Office (SOHO) router อยูหลายกรณี เชน ชองโหวในเราเตอร TP-Link ท่ีมาจากการคนพบวา ผูประสงครายสามารถเขาถึงเว็บไซตสำหรับบริหารจัดการเราเตอรในสวนสำหรับอัปเกรด Firmware และ Romfile (ไฟลท่ีเก็บการต้ังคาตาง ๆ ในเราเตอร) ทำใหสามารถดาวนโหลดไฟลดังกลาวและนำมาใชในการถอดรหัสลับเพ่ือขโมยรหัสผานของบัญชีผูดูแลระบบ สงผลใหผูประสงครายสามารถควบคุมเราเตอรของเหย่ือ และแกไขการต้ังคาเพ่ือใชเราเตอรเปนเคร่ืองมือในการโจมตีรูปแบบตาง ๆ หรือกรณีชองโหวของระบบปฏิบัติการ ZyNOS ซ่ึงเปนระบบปฏิบัติการท่ี

3.4.4 กรณี มัลแวรโจมตีหนวยงานราชการ APT (Advanced Persistent Threat) ศูนยดิจิทัลฟอเรนสิกสไดรับแจงวาเคร่ืองคอมพิวเตอรในหนวยงานราชการแหงหน่ึงของประเทศไทยถูกโจมตีจากมัลแวร ทางหนวยงานตองการใหชวยตรวจวิเคราะหวามัลแวรน้ีมีความสามารถในการขโมยขอมูลหรือไม มัลแวรติดเขามาในระบบไดอยางไร และสรางความเสียหายอยางไรบาง

จากการวิเคราะหขอมูลท่ีไดรับจากหนวยงานดังกลาว ศูนยดิจิทัลฟอเรนสิกสพบวามีมัลแวรติดต้ังอยูในเคร่ืองคอมพิวเตอรจำนวนมากกวาท่ีทางหนวยงานตรวจพบในคร้ังแรก และเกือบท้ังหมดเปนมัลแวรท่ีโปรแกรมแอนต้ีิไวรัสในขณะน้ันยังไมสามารถตรวจจับได โดยทางศูนยฯ พบขอมูลแสดงวามัลแวรไดเร่ิมเขามาติดต้ังอยู

A n n u a l R e p o r t 2 0 1 4

แจงธนาคารเกี่ยวกับความเสียหายที่เกิดขึ้น

แจงความกับ สน.ทองที่ เพื่ออายัดบัญชี/รายการที่เกิดการทุจริต และเพื่อขอขอมูลที่เกี่ยวของกับ ISP+Mobile Operation

ใหความรวมมือกับ สพธอ.ในการจัดเก็บและ/หรือ

ตรวจพิสูจนหลักฐานดิจิทัล

ใหความรวมมือกับเจาพนักงานตำรวจในการสอบปากคำ

เพิ่มเติม

ผูเสีย

หาย

เขารวมรับฟงสรุปภาพรวมการตรวจพิสูจนหลักฐานดิจิทัล

สรุปภาพรวมการตรวจพิสูจนหลักฐานดิจิทัล

ธนาค

ารสพ

ธอ.

ISP + M

obile

Ope

rator

รับแจงความแลวประสานงานกับ ปอท. เกี่ยวกับการ

ดำเนินคดี

ดำเนินการขอขอมูลที่เกี่ยวของกับความเสียหาย

ตอผูใหบริการ

สอบปากคำเพิ่มเติมกับผูเสียหาย

ดำเนินคดี

สำนัก

งานต

ำรวจ

แหงช

าติ

สน.ทอง

ที่ปอ

ท.

จัดการทำรายงานสรุปผลการตรวจพิสูจนหลักฐานดิจิทัล

ดำเนินการจัดเก็บและ/หรือตรวจพิสูจนหลักฐานดิจิทัลที่เครื่องคอมพิวเตอรของ


แจงให สพธอ.ดำเนินการวิเคราะหขอมูลที่เกี่ยวของ

กับความเสียหาย

อายัดบริการธนาคารทางอินเทอรเน็ต

ของลูกคา

ใหขอมูลที่เกี่ยวของกับความเสียหายแก

เจาพนักงานตำรวจ

รูปท่ี 2 การประสานงานรวมกันระหวาง ธนาคาร – ไทยเซิรต – หนวยงานตำรวจในการรับมือกรณีการโจรกรรมบัญชีธนาคารออนไลน

39

ใชในเราเตอรท่ีใชงานตามบานหลายย่ีหอ โดยชองโหวน้ีสงผลใหผูประสงครายสามารถเปล่ียนแปลงการต้ังคา DNS Server ในเราเตอรเพ่ือควบคุมการใชงานอินเทอรเน็ตของเหย่ือ

ท้ังน้ี การโจมตีเหย่ือโดยเราเตอรท่ีประสงครายควบคุม สวนใหญจะใชเทคนิคท่ีเรียกวา DNS Hijacking โดยผูประสงครายจะเปล่ียนแปลงการต้ังคา DNS ในเราเตอรท่ีมีชองโหว เพ่ือใหเหย่ือเรียกใชงาน DNS อันตรายท่ีผูประสงครายสรางข้ึน เน่ืองจาก DNS Server เปนเคร่ืองเซิรฟเวอรท่ีมีหนาท่ีในการใหบริการแปลงขอมูลจากโดเมนเนมเปนหมายเลขไอพีปลายทาง ดังน้ันหาก DNS Server ถูกเปล่ียนแปลงใหช้ีไปยัง DNS ท่ีผูประสงครายสรางข้ึน อาจสงผลใหผูใชถูกพาไปยังเว็บไซตอันตรายท่ีหลอกขโมยขอมูลหรือแพรกระจายมัลแวรได

อยางไรก็ตามไทยเซิรตไดเล็งเห็นปญหาในหลายจุดท่ีเก่ียวของกับการใชงานอุปกรณเครือขายตามบานและจัดทำขอเสนอแนะเพ่ือลดความเส่ียงจากการถูกโจมตีหรือเขาควบคุมการทำงานในระดับเครือขาย โดยมีรายละเอียดดังน้ี

• กำหนด Access Control List (ACL) ใหเฉพาะผูใชที่อยูในเครือขายภายในของเราเทานั้น ที่จะ สามารถเขาถึงหนาบริหารจัดการของเราเตอรได • เปดใชฟงกชัน Stateful Packet Inspection (SPI) สงผลใหทุกการเช่ือมตอจากภายนอกมาท่ีเราเตอร ผาน WAN Interface ไมสามารถทำได ซ่ึงก็สามารถใชไดผลเชนเดียวกันกับการกำหนด ACL ท้ังน้ี ในเราเตอรบางตัวอาจมีฟงกชันใหเลือกเพ่ือเปดหรือปดการทำงาน Remote Management โดยตรงไดเลย • ตรวจสอบการต้ังคา DNS ภายในเราเตอรอยางสม่ำเสมอ โดยผูใชสามารถระบุหมายเลขไอพีของ DNS Server ที่มีความนาเชื่อถือลงในเราเตอรดวยตนเอง เชน DNS server ของ Google จะมี หมายเลขเปน 8.8.8.8 และ 8.8.4.4 เปนตน • ไมใชโหมดการเขารหัสลับแบบ Open หรือ WEP และตั้งคารหัสผานสำหรับระบบบริหารจัดการ เราเตอร รวมถึงรหัสผาน Wi-Fi ใหมีความม่ันคงปลอดภัย (8 หลักข้ึนไป มีตัวอักษร ตัวเลข และ อักขระพิเศษผสมกัน ไมควรใชขอมูลสวนตัวเปนสวนหน่ึงของรหัสผาน ฯลฯ) หม่ันอัปเดตเฟรมแวร ของเราเตอร และ Log Out ทุกครั้งหลังจากที่ตั้งคาเราเตอรเสร็จสิ้น

3.4.6 กรณี ตรวจพิสูจนเครื่องคอมพิวเตอรติดมัลแวร CryptoDefense ในเดือนเมษายน 2557 ศูนยดิจิทัลฟอเรนสิกสของไทยเซิรตไดรับคำรองขอใหตรวจพิสูจนพยานหลักฐานเคร่ืองคอมพิวเตอรท่ีติดมัลแวร CryptoDefense ซ่ึงเปนมัลแวรประเภท Ransomware ลักษณะการทำงาน

ของมัลแวรดังกลาวจะเขารหัสลับไฟลเอกสารในเคร่ืองของผูใชแลวแสดงขอความใหผูใชจายเงินเพ่ือท่ีจะไดกุญแจสำหรับถอดรหัสลับไฟลกลับคืนมา ซึ่งหากผูใชไมจายเงินภายในวันเวลาที่กำหนด กุญแจดังกลาวจะถูกทำลายและผูใชจะไมสามารถถอดรหัสลับไฟลกลับคืนมาไดอีกตอไป

ผลกระทบท่ีเกิดข้ึนกับเคร่ืองคอมพิวเตอรท่ีติดมัลแวรดังกลาว จากการตรวจสอบเบ้ืองตนพบวาไฟลเอกสารประเภทวิดีโอ, รูปภาพ, Microsoft Office และ PDF จำนวนมาก ไมสามารถเปดอานไดดวยวิธีปกติ นอกจากน้ี เกือบทุกโฟลเดอรท่ีมีไฟลท่ีถูกเขารหัสลับ จะปรากฏไฟล 3 ไฟล คือ HOWTO_DECRYPT.TXT, HOWTO_DECRYPT.HTML และ HOWTO_DECRYPT.URL ซ่ึงเน้ือหาของท้ัง 3 ไฟลจะอางอิงไปยังหนาเว็บเพจวาไฟลในเครื่องถูกเขารหัสลับขอมูลโดยโปรแกรมชื่อ CryptoDefense

จากการตรวจสอบขอมูลพบวามัลแวร CryptoDefense เวอรชันท่ีถูกเผยแพรกอนวันท่ี 1 เมษายน 2557มีจุดออนที่ทิ้งขอมูลที่ใชสำหรับเขารหัสลับไฟลไวในเครื่อง ทำใหผูใชยังสามารถกูไฟลที่ถูกเขารหัสลับกลับคืนมาได แตจากการตรวจสอบเครื่องคอมพิวเตอรของผูเสียหายพบวาติดมัลแวร CryptoDefense หลังวันที่ 1 เมษายน ซึ่งเปนเวอรชันที่ถูกแกไขจุดออนดังกลาวไปแลว

ศูนยดิจิทัลฟอเรนสิกสพยายามตรวจหารองรอยและสาเหตุการติดมัลแวร CryptoDefense แตไมสามารถตรวจสอบวาเคร่ืองคอมพิวเตอรดังกลาวติดมัลแวร CryptoDefense ไดอยางไร เน่ืองจากไมพบหลักฐานประวัติการใชงานเคร่ืองคอมพิวเตอรดังกลาวในวันเวลาท่ีเกิดเหตุ ซ่ึงสาเหตุหน่ึงท่ีคาดวานาจะเปนไปไดคือเคร่ืองคอมพิวเตอรดังกลาวมีการเขาใชงานผานระบบโดเมนและถูกต้ังคาไมใหเก็บขอมูลของผูใชไวในเคร่ือง

จากการตรวจสอบขอมูลทางวิชาการ ศูนยดิจิทัลฟอเรนสิกสพบวาปจจุบันยังไมมีวิธีท่ีสามารถถอดรหัสลับขอมูลท่ีถูกเขารหัสลับโดยมัลแวร CryptoDefense กลับคืนมาได ศูนยดิจิทัลฟอเรนสิกสจึงไดแนะนำผูเสียหายในการปองกันและลดความเสียหายจากมัลแวรประเภท Ransomware ท่ีอาจจะเกิดไดอีกในอนาคต เชน สำรองขอมูลสำคัญอยางสม่ำเสมอ อัปเดตแพตชระบบปฏิบัติการและซอฟตแวรท่ีใชงาน ติดต้ังและอัปเดตฐานขอมูลโปรแกรมแอนตี้ไวรัส กำหนดสิทธิ์การเขาถึงและการแกไขไฟลที่มีการแชรในระบบเครือขาย ไมคลิกลิงกหรือเปดไฟลแนบท่ีมากับอีเมลท่ีนาสงสัย และหากพบวาเคร่ืองคอมพิวเตอรท่ีใชงานอยูติดมัลแวรประเภท Ransomware ควรแยกเครื่องคอมพิวเตอรดังกลาวออกจากระบบเครือขายใหเร็วที่สุด เปนตน

40

บทที่ 4 การพัฒนาศักยภาพในการรับมือภัยคุกคามไซเบอร

A n n u a l R e p o r t 2 0 1 4

ภารกิจสำคัญอยางหน่ึงของไทยเซิรตคือการเปนกลไกสำคัญของประเทศดานความม่ันคงปลอดภัยไซเบอร ซ่ึงการท่ีจะประสบความสำเร็จได จำเปนตองมีบุคลากรท่ีมีความรูความสามารถหลากหลายท่ีพรอมทุมเททำหนาที่ตลอด 24 ชั่วโมง เพื่อเฝาระวังภัยคุกคามตาง ๆ และประสานความรวมมือกับหนวยงานดานความมั่นคงปลอดภัยไซเบอรทั้งในและตางประเทศ เพื่อจัดการกับภัยเหลานั้น

ไทยเซิรตจึงไดจัดสรรทรัพยากรและสนับสนุนบุคลากรท้ังภายในและภายนอกองคกรใหมีองคความรูและทักษะที่เพิ่มพูนและเทาทันตอภัยคุกคามใหม ๆ โดยแบงลักษณะการสนับสนุนได 2 ประเภทคือ การพัฒนาศักยภาพบุคลากรผานการสงเสริมใหมีประกาศนียบัตรวิชาชีพดานความม่ันคงปลอดภัยไซเบอร และการพัฒนาศักยภาพบุคลากรผานการเขารวมอบรมและสัมมนา

4.1 การพัฒนาศักยภาพบุคลากรผานการสงเสริมใหบุคคลากรมีประกาศนียบัตรวิชาชีพดานความมั่นคงปลอดภัยไซเบอร

4.1.1 ประกาศนียบัตรวิชาชีพดานความมั่นคงปลอดภัยไซเบอรจากตางประเทศ ในป 2557 ไทยเซิรตสนับสนุนใหบุคลากรจำนวน 13 คน อบรมและสอบประกาศนียบัตรวิชาชีพระดับมาตรฐานสากลดานความมั่นคงปลอดภัยสำเร็จ คิดเปนสัดสวน 76% ของบุคลากรทั้งหมด รวมจำนวนใบประกาศนียบัตรท่ีได 41 ใบ และนอกจากน้ีไทยเซิรตไดรวมมือกับสมาคมความม่ันคงปลอดภัยระบบสารสนเทศ (TISA) จัดการฝกอบรมสำหรับการสอบประกาศนียบัตร Certified Information Systems Security Professional (CISSP) ใหกับผูที ่ไดรับประกาศนียบัตรหลักสูตรดานความมั่นคงปลอดภัย Information Security Expert Certification หรือ iSEC จำนวน 20 คน

41

4.1.2 ประกาศนียบัตรวิชาชีพดานความมั่นคงปลอดภัยไซเบอรภายในประเทศ ไทยเซิรตไดผลักดันการพัฒนามาตรฐานการรับรองบุคลากรดานความม่ันคงปลอดภัยระบบสารสนเทศของประเทศไทยรวมกับสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) โดยออกแบบหลักสูตร Information Security Expert Certification หรือ iSEC เพ่ือสรางความตระหนักแกบุคลากรของหนวยงานใหสนใจเพ่ิมความสามารถในการรับมือภัยคุกคามไซเบอรหรือการบริหารจัดการความม่ันคงปลอดภัยไซเบอรในองคกร โดยจัดอบรมและสอบในสองหลักสูตรคือ • iSEC-M (Information Security Expert Certification–Management หรือ ผูเชี่ยวชาญ ความมั่นคงปลอดภัยระบบสารสนเทศดานบริหารจัดการ) • iSEC-T (Information Security Expert Certification-Technical หรือ ผูเชี่ยวชาญความมั่นคง ปลอดภัยระบบสารสนเทศดานเทคนิค)

4.2 การพัฒนาศักยภาพบุคลากรผานการเขารวมการอบรมและสัมมนา

4.2.1 กิจกรรมอบรมและสัมมนาที่ไทยเซิรตเปนเจาภาพ The 14th Regional Asia Information Security Exchange Forum (14th RAISE Forum) เมื่อเดือนสิงหาคม 2557 ไทยเซิรตไดจัดงานประชุมนานาชาติ 14th Regional Asia InformationSecurity Exchange Forum (14th RAISE Forum) เพื่ออัปเดตสถานการณความมั่นคงปลอดภัยไซเบอรกับชาติสมาชิกในเอเชีย โดยไดรับความไววางใจจากองคกรสมาชิกในภูมิภาคเอเชีย เชน ญ่ีปุน จีน ไตหวัน เกาหลีใต สิงคโปร มาเลเซีย ฯลฯ ใหเปนองคกรหลักในการจัดประชุม และเปนคร้ังแรกของประเทศไทยที่ไดเปนเจาภาพสำหรับเวทีนี้

RAISE Forum จัดขึ้นเพื่อแลกเปลี่ยนความคิดเห็นเกี่ยวกับยุทธศาสตร นโยบาย การปฏิบัติ และ มาตรฐานดานความมั่นคงปลอดภัยไซเบอร รวมถึงเพื่อขยายเครือขายความรวมมือระหวางประเทศ ในงานมีหัวขอบรรยายที่นาสนใจตาง ๆ เชน การอัปเดตสถานะดานความมั่นคงปลอดภัยของไทยและประเทศชั้นนำในเอเชีย การอัปเดตสถานะและความคืบหนามาตรฐานดานความมั่นคงปลอดภัยไซเบอร

เชน มาตรฐาน Cloud Security ของ SG 17 ซ่ึงเปนคณะทำงานของ ITU-T (International Telecommunication Union’s Telecommunication Standardization Sector) ที่ศึกษาวิจัยเรื่องมาตรฐานดานความมั่นคงปลอดภัยไซเบอร รวมทั้งกิจกรรมลาสุดในงานวิจัยของ NICT (National Institute of Information and Communications Technology) ประเทศญี่ปุน

รวมกับ JPCERT/CC จัดฝกอบรมดานความมั่นคงปลอดภัยใหกับ LaoCERT โครงการฝกอบรมดานความม่ันคงปลอดภัยใหกับ LaoCERT ถือเปนปท่ี 3 ท่ีไทยเซิรตไดรับเชิญใหเปนวิทยากรรวมกับ JPCERT/CC ประเทศญี่ปุน เพื่อถายทอดความรูและประสบการณในการรับมือและจัดการภัยคุกคามใหแก LaoCERT งานอบรมในครั้งนี้จัดขึ้นเมื่อเดือนพฤษภาคม 2557 มีผูเขารับการอบรมรวมทั้งสิ้น 22 คน โดยไทยเซิรตไดรับเกียรติใหบรรยายหัวขอ การบริหารจัดการรับมือภัยคุกคาม (Incident Management) ซ่ึงประกอบดวยการจัดต้ังทีม CSIRT และการจัดทำกระบวนการรับมือภัยคุกคาม นอกจากนี้ยังไดใหความรูในการใชเครื่องมือตาง ๆ ในการวิเคราะหภัยคุกคาม รวมถึงการใชระบบ RTIR (Request Tracker for Incident Response) เปนเคร่ืองมือประสานงานและติดตามรายงานภัยคุกคามท่ีไดรับแจง สวนเจาหนาท่ีของ JPCERT/CC ไดสอนการติดต้ังระบบ TSUBAME ซ่ึงใชในการเก็บรวบรวมขอมูลจราจรคอมพิวเตอร และแลกเปล่ียนขอมูลผลการวิเคราะหขอมูลจราจรท่ีอาจเปนภัยคุกคามตอระบบในเครือขาย

การซักซอมรับมือภัยคุกคามของหนวยงานภาคธนาคารและผูใหบริการอินเทอรเน็ต ในเดือนพฤษภาคม 2557 ไทยเซิรตเปนเจาภาพจัดการซอมรับมือภัยคุกคามใหกับหนวยงานภาคธนาคารและผูใหบริการอินเทอรเน็ตรวมท้ังส้ิน 17 หนวยงาน เพ่ือทดสอบกระบวนการรับมือภัยคุกคามที่กำหนดไวลวงหนา และทดสอบภาวะการตัดสินใจของบุคลากรที่เกี่ยวของ หากมีภัยคุกคามเกิดขึ้นจริง บุคลากรที่เกี่ยวของจะไดปฏิบัติตนไดอยางถูกตองและจำกัดความเสียหายใหนอยที่สุด การซอมรับมือภัยคุกคามครั้งนี้ใชเวลา 3 วันโดยใน 2 วันแรกเปนการอบรมใหความรูในการวิเคราะหมัลแวรบนระบบปฏิบัติการ Windows และระบบปฏิบัติการมือถือ Android สวนวันสุดทายเปนการซอมรับมือภัยคุกคามที่จำลองสถานการณการโจมตีจากมัลแวร ทำใหผูใชบริการ e-Banking ถูกขโมยเงินในบัญชี ซึ่งผูที่เขารวมตองใชความสามารถที่ไดเรียนรูเพื่อคนหามัลแวรที่อยูในเครื่องคอมพิวเตอรของผูเสียหาย รวมถึงวิเคราะหพฤติกรรมและความสามารถของมัลแวร เพื่อแนะนำวิธีปองกันและแกไขใหแกผู เสียหายอยางถูกตอง รวมถึงประสานงานไปยังหนวยงานที่เกี่ยวของเพื่อใหดำเนินการแกไขตอไป

10ดูหนวยงานภาคธนาคารและผูใหบริการอินเทอรเน็ตที่เขารวมการซอมรับมือภัยคุกคาม จากตารางที่ 16 ในภาคผนวก จ หนา 54

42

Incident Handler) โดยไดรับเกียรติจากผูเชี่ยวชาญของ SANS เปนวิทยากร ซึ่ง GCIH เปนหลักสูตรชวยพัฒนาผูเขารวมจากทั้งภาครัฐและภาคเอกชนใหมีความสามารถในการรับมือและจัดการภัยคุกคามไดอยางถูกตองและทันทวงที ซึ ่งหลักสูตรนี้ไดรับการยอมรับและไดใชเปนคุณสมบัติพื ้นฐานของผูดำรงตำแหนง Information Assurance Technical (IAT) และสอบ Information Assurance Managerial (IAM) ของกระทรวงกลาโหม ประเทศสหรัฐอเมริกา ในการฝกอบรมคร้ังน้ีมีผูท่ีผานและไดประกาศนียบัตร GCIH ทั้งสิ้น 10 คน

A n n u a l R e p o r t 2 0 1 4

รวมกับ JPCERT/CC จัดงาน Malware Analysis Competition (MAC) 2014 ในเดือนตุลาคม 2557 ไทยเซิรตจัดงาน Malware Analysis Competition (MAC) 2014 เปนการฝกอบรมและแขงขันวิเคราะหโปรแกรมไมพึงประสงคมัลแวรในระดับมหาวิทยาลัย เพื่อสงเสริมและพัฒนาบุคลากรในสายงานการวิเคราะหมัลแวร ซึ่งปจจุบันนับวายังไมเปนที่แพรหลาย และยังคงมีความตองการอยูอีกมากในประเทศไทย เนื่องจากการโจมตีดวยมัลแวรนั้นเกิดขึ้นอยางตอเนื่องและมีแนวโนมท่ีรุนแรงมากข้ึนเร่ือย ๆ เพ่ือหวังผลในรูปแบบตาง ๆ เชน ขอมูลลับของหนวยงาน ขอมูลสวนตัวของผูใช การจัดงานครั้งนี้มีนิสิตนักศึกษาจากสถาบันอุดมศึกษาตาง ๆ เขารวมจำนวน 42 คน 13 ทีมจาก 9 มหาวิทยาลัย ใชเวลารวมกัน 5 วัน โดยรับการอบรมเร่ืองการวิเคราะหมัลแวรโดยผูเช่ียวชาญของไทยเซิรต 2 วัน รับฟงและแลกเปลี่ยนประสบการณ พรอมเรียนเทคนิคการวิเคราะหมัลแวรจากผูเชี่ยวชาญจาก JPCERT/CC 1 วัน และ ใชเวลา 1 วัน ในการแขงขัน ซึ่งผูแขงขันตองวิเคราะหเครื่องคอมพิวเตอร เพื่อตรวจสอบหามัลแวรที่อยูในเครื่อง รวมถึงวิเคราะหพฤติกรรมของมัลแวร เชน มีการขโมยขอมูลอะไรบาง สงขอมูลไปยังที่ไหน ฯลฯ โดยมีผลการแขงขันคือ

• ทีม Cryptolocker จากสถาบันเทคโนโลยีพระจอมเกลาเจาคุณทหารลาดกระบัง (นายศราวุธ บุสดี นายธรรศ แสงสมเรือง และนายวรพงษ บูรณพงษทอง) ไดรางวัลชนะเลิศ ดานการนำเสนอ • ทีม Stels จากมหาวิทยาลัยเทคโนโลยีพระจอมเกลาธนบุรี (นายพชร โรจดิษกุล นายณัฏฐกิตต์ิ คราลัด และนายสิปปกร รักษาเกียรติ) ไดรับรางวัลชนะเลิศดานเทคนิค

ไทยเซิรตไดใหรางวัลพิเศษแกทีม Stels ท่ีชนะเลิศโดยสนับสนุนคาใชจายไปรวมงาน APCERT AGM & Conference 2015 ซึ่งเปนงานประชุมประจำปของหนวยงาน CERT ในแถบภูมิภาคเอเชียแปซิฟก ณ ประเทศมาเลเซีย พรอมกับไทยเซิรต เพื่อเปนโอกาสไดสัมผัสการประชุมระดับนานาชาติดานความมั่นคงปลอดภัย

SANS Secure Thailand 2014 หลังการลงนามบันทึกขอตกลงความรวมมือระหวาง ไทยเซิรต และ SANS เพื่อพัฒนาศักยภาพในการรับมือภัยคุกคามใหแกบุคลากรภายในประเทศ ทั้งสองหนวยงานไดรวมกันเปนเจาภาพจัดงาน SANS Secure Thailand 2014 ในเดือนพฤษภาคม 2557 เพ่ือจัดอบรมหลักสูตร GCIH (GIAC Certified

11 ดูรายชื่อมหาวิทยาลัยที่เขารวมการแขงขัน MAC 2014 จากตารางที่ 17 ในภาคผนวก ฉ หนา 54

43

4.2.2 กิจกรรมที่ศูนยดิจิทัลฟอเรนสิกสเปนเจาภาพ งานสัมนา Digital Evidence: Practices, Standards and Court Admissibility เมื่อเดือนมิถุนายน 2557 ไทยเซิรตจัดงานสัมมนาเรื่อง “Digital Evidence: Practices, Standards, and Court Admissibility” ขึ้น เพื่อเผยแพรความรูเกี่ยวกับวิสัยทัศน บริการ และมาตรฐานประเทศไทย กับการนำพยานหลักฐานดิจิทัลมาใชในกระบวนการยุติธรรม ผูแทนไทยเซิรตเปนวิทยากรบรรยายในหัวขอ “วิสัยทัศน บริการ และมาตรฐาน Digital forensics” แลว ยังไดเชิญ Mr. William Matthews ผูเช่ียวชาญดานการตรวจพิสูจนพยานหลักฐานดิจิทัลจาก Southwest Regional Computer Crime Institute, Dixie State University สหรัฐอเมริกา มารวมใหขอมูลในเร่ือง “Mobile forensics: US Court Admissibility” โดยกลาวถึงการยอมรับหลักฐานท่ีมาจากการตรวจพิสูจนพยานหลักฐานดิจิทัลโดยศาลในสหรัฐฯ นอกจากน้ีไทยเซิรตยังไดใหขอมูลเก่ียวกับการเตรียมเปดตัวศูนยดิจิทัลฟอเรนสิกสของไทยเซิรต ในลักษณะ Joint Labท่ีเปนหองปฏิบัติการและแชรเคร่ืองมือใหหนวยงานสวนราชการอ่ืนมาใชงานรวมกัน เพ่ือประหยัดงบประมาณของประเทศและลดการลงทุนซ้ำซอน เน่ืองจากการตรวจพิสูจนพยานหลักฐานตองใชอุปกรณและเคร่ืองมือเฉพาะทางหลายช้ิน ซ่ึงราคาคอนขางแพง รวมถึงการผลักดันการสรางมาตรฐานการปฏิบัติงานตรวจพิสูจนพยานหลักฐานดิจิทัลของประเทศไทย ท้ังมาตรฐานกระบวนการปฏิบัติงาน และมาตรฐานของหองปฏิบัติการ โดยรวมมือกับหนวยงานที่เกี่ยวของในการพัฒนาและผลักดันใหเกิดการใชมาตรฐานของประเทศรวมกัน

การอบรม Mobile Devices Forensics จากการท่ีโทรศัพทเคล่ือนท่ีเขามามีบทบาทในชีวิตประจำวันมากข้ึน มีจำนวนผูใชโทรศัพทเคล่ือนท่ีในอัตราท่ีสูงมาก ในขณะเดียวกัน โทรศัพทเคล่ือนท่ีก็ถูกใชเปนเคร่ืองมือในการกระทำความผิด โดยเฉพาะการติดตอสื่อสาร การเก็บขอมูลสำคัญตาง ๆ ดังนั้น โทรศัพทเคลื่อนที่จึงเปนพยานหลักฐานทางอิเล็กทรอนิกสที่สำคัญ แตการเก็บพยานหลักฐานบนโทรศัพทเคลื่อนที่นั้นมีความซับซอน ตองอาศัยเครื่องมือพิเศษและบุคลากรที่มีความเชี่ยวชาญโดยเฉพาะ สำหรับประเทศไทย ยังขาดอุปกรณและองคความรูดังกลาว โดยเฉพาะอยางย่ิงกรณีท่ีโทรศัพทเคล่ือนท่ีตกน้ำ ถูกทำลายดวยการทุบท้ิง โทรศัพทเคลื่อนที่ไดรับความเสียหาย ทำใหไมสามารถดึงขอมูลออกมาตามปกติไดดวยสายดาตา ตองใชวิธีการดึงขอมูลออกมาจากเมมโมร่ีของอุปกรณโทรศัพทเคล่ือนท่ีโดยตรง ซ่ึงขณะน้ียังไมมีหนวยงานใดในประเทศไทยสามารถทำได จึงมีความจำเปนตองเรงพัฒนาบุคลากรใหมีความรูความเช่ียวชาญเก่ียวกับการตรวจพิสูจนพยานหลักฐานดิจิทัลบนอุปกรณโทรศัพทเคลื่อนที่ ในเดือนมิถุนายน 2557 ศูนยดิจิทัลฟอเรนสิกสจึงไดเชิญผูเช่ียวชาญจากตางประเทศมาฝกอบรมใหกับบุคลากรของศูนยฯ รวมท้ังบุคลากรท่ีปฏิบัติหนาท่ีเก่ียว

กับการตรวจพิสูจนพยานหลักฐานดิจิทัลจากหนวยงานของภาครัฐ จำนวน 6 หนวยงาน รวมผูเขารับการอบรมทั้งสิ้น 16 คน เพื่อใหผูเขารับการอบรมไดรับความรูพื้นฐานเกี่ยวกับการตรวจพิสูจนโทรศัพทเคลื่อนที่ และเทคนิคการขั้นสูง คือ Chip-Off และเทคนิค JTAG

44

A n n u a l R e p o r t 2 0 1 4

การอบรม Advanced Small Device Forensics อุปกรณอิเล็กทรอนิกสพกพาขนาดเล็กเปนอีกสื่อหนึ่งที่นิยมใชในการเก็บขอมูล นอกเหนือจากโทรศัพทเคล่ือนท่ี ซ่ึงหากดำเนินการอยางถูกตองจะสามารถนำมาใชเปนพยานหลักฐานดิจิทัล ศูนยดิจิทัลฟอเรนสิกส สพธอ. ไดจัดการฝกอบรมเทคนิคการตรวจพิสูจนอุปกรณอิเล็กทรอนิกสพกพาขนาดเล็ก เชน ยูเอสบีแฟลชไดรฟ (USB Flash drive) เมมโมรีการด (Memory Card) และ โซลิดสเตตไดรฟ (SSD) เปนตน โดยอุปกรณเหลานี้จะใชหนวยความจำแบบแฟลช (Flash Memory) ชนิด NAND (negative-AND) ซ่ึงสามารถเก็บขอมูลถาวร ลบและเขียนขอมูลใหมได หากสวน Controller ในอุปกรณเสียหายจะไมสามารถอานขอมูลในอุปกรณดวยวิธีปกติได การฝกอบรมนี้ไดใหความรูเกี่ยวกับการทำงานของ NAND (NAND Technology) และการใชเครื่องมือเฉพาะในการดึงขอมูลจากอุปกรณอิเล็กทรอนิกสพกพาที่ไดรับความเสียหาย ซึ่งผูเขารับการฝกอบรม ไดแก บุคลากรของศูนยฯ และบุคลากรท่ีปฏิบัติหนาท่ีเก่ียวกับการตรวจพิสูจนพยานหลักฐานดิจิทัลจากหนวยงานของภาครัฐ จำนวน 6 หนวยงาน รวมผูเขารับการอบรมทั้งสิ้น 9 คน

การอบรม Advanced Collaborative Digital Forensic Investigation เน่ืองจากปริมาณงานตรวจพิสูจนพยานหลักฐานดิจิทัลไดเพ่ิมมากเร่ือย ๆ ดังน้ันจึงจำเปนที่จะตองมีระบบการบริหารจัดการที่เหมาะสมเพื่อใหสามารถกำหนดและควบคุมการเขาถึงพยานหลักฐานท่ีจัดเก็บไว กำหนดสิทธิในการเขาถึงทรัพยากรตางๆ ภายในหองปฏิบัติการตรวจพิสูจนพยานหลักฐาน ไมวาจะเปนฮารดแวรหรือซอฟตแวรที่ใชในการกระบวนการตรวจพิสูจนพยานหลักฐานดิจิทัล รวมถึงการควบคุมการใชงานทรัพยากรใหเกิดประสิทธิภาพใชงานสูงสุด และเพ่ือใหสามารถรองรับการขยายความตองการใชงานตอไปในอนาคต ศูนยดิจิทัลฟอเรนสิกสไดจัดการฝกอบรมการใชโปรแกรมบริหารจัดการทรัพยากรสำหรับการตรวจพิสูจนพยานหลักฐานดิจิทัล ADLab จาก AccessData ในเดือนตุลาคม 2557 ใหแกบุคลากรของศูนยฯ และบุคลากรท่ีปฏิบัติหนาท่ีเก่ียวกับการตรวจพิสูจนพยานหลักฐานดิจิทัลจากหนวยงานของภาครัฐ จำนวน 5หนวยงาน รวมผูเขารับการอบรมทั้งสิ้น 14 คน

การอบรม ISO/IEC 17025:2005 and ASCLD/LAB Standards ศูนยดิจิทัลฟอเรนสิกสมุงม่ันท่ีจะพัฒนาบุคลากรและการปฏิบัติงานในหองปฏิบัติการ เพ่ือใหผลการตรวจพิสูจนสามารถนำไปใชในกระบวนการยุติธรรมได โดยยึดหลักปฏิบัติท่ีไดมาตรฐาน นาเช่ือถือ และเปนท่ียอมรับ ซ่ึงหน่ึงในมาตรฐานของหองปฏิบัติการตรวจพิสูจนพยานหลักฐานดิจิทัลท่ีไดรับการยอมรับทั่วโลก ไดแก มาตรฐานของ American Society of Crime Laboratory Directors (ASCLD) ที่เรียกวามาตรฐาน ASCLD/LAB ซึ่งมีรากฐานมาจากมาตรฐาน ISO/IEC17025:2005 (General Requirements for the Competence of Testing and Calibration Laboratories) ดังน้ัน ศูนยดิจิทัลฟอเรนสิกสจึงไดจัดการฝกอบรมความรูเก่ียวกับมาตรฐาน ISO/IEC 17025:2005 และ ASCLD/LAB ในเดือนสิงหาคม 2557 ใหแกเจาหนาท่ีไทยเซิรต รวมท้ังบุคลากรท่ีปฏิบัติหนาท่ีเก่ียวกับการตรวจพิสูจนพยานหลักฐานดิจิทัลจากหนวยงานของภาครัฐ จำนวน 6 หนวยงาน รวมผูเขารับการอบรมทั้งสิ้น 15 คน

4.2.3 กิจกรรมการประชุมและสัมมนาท่ีไทยเซิรตเขารวม 49th and 50th APEC Telecommunications and Information Working Group (APEC TEL WG) ในการประชุมคณะทำงานเอเปคดานโทรคมนาคมสารสนเทศ (APEC Telecommunication Working Group หรือ APEC TEL WG) ครั้งที่ 49 ที่สาธารณรัฐประชาชนจีน เมื่อเดือนเมษายน 2557 และคร้ังท่ี 50 ท่ีออสเตรเลีย ระหวางเดือนกันยายน-ตุลาคม 2557 ซ่ึงเปนการประชุมในระดับคณะทำงาน (Working Group) ภายใตกรอบความรวมมือเอเปค ไทยเซิรตไดรับมอบหมายใหรับผิดชอบการประชุมกลุมกำกับดานความมั่นคงปลอดภัยไซเบอร (Security and Prosperity Steering Group: SPSG) และเลื่อนตำแหนงจากรองประธานเปนประธานกลุมกำกับฯ ทั้งนี้ไทยเซิรตในฐานะสมาชิกผูแทนประเทศไทยไดเสนอโครงการ Workshop on APEC Cybersecurity Framework เพ่ือสรางกรอบนโยบายดานความม่ันคงปลอดภัยไซเบอรที่ไดรับการยอมรับและสามารถนำไปใชงานไดจริงโดยสมาชิกเอเปค ซึ่งขณะนี้อยูในระหวางการรวบรวมขอมูลและวางแผนจัด APEC Cybersecurity Framework Workshop ในการประชุมครั ้งที ่ 51 เพื ่อระดมความคิดเห็นและแนวความคิดจากสมาชิกเอเปคในการจัดทำกรอบนโยบายดังกลาว

45

National Cyber Security Conference @ National Defense Studies Institute Security Week 2014 เมื่อเดือนพฤษภาคม 2557 ไทยเซิรตไดเขารวมการประชุมสัมมนาไซเบอรแหงชาติ ในงานสัปดาหวิชาการความมั่นคงของสถาบันวิชาการปองกันประเทศ ที่มีวัตถุประสงคเพื่อสรางความตระหนักรูและใหความรูดานการปองกันภัยคุกคามไซเบอรที่สงผลกระทบตอความมั่นคงของชาติ นอกจากนี้งานดังกลาวยังมีจุดประสงคเพื่อสรางความรวมมือระหวางหนวยงานภาครัฐ เอกชน และภาคการศึกษาที่เกี่ยวของกับการปองกันภัยคุกคามไซเบอรของประเทศไทยใหเขมแข็ง สามารถรับมือกับการเปลี่ยนแปลง และผลกระทบท่ีอาจจะเกิดข้ึนจากแนวโนมภัยคุกคามไซเบอรใหม ๆ ในอนาคต โดยผูเขารวมประชุมมาจากผูบริหารภาครัฐและเอกชนที่เกี่ยวของกับไซเบอร หนวยงานดานความมั่นคงของรัฐ หนวยงานภายในกระทรวงกลาโหม นักศึกษาในสถาบันวิชาการปองกันประเทศ และมหาวิทยาลัยตาง ๆ รวมท้ังหมดกวา 400 คน ซึ่งไทยเซิรตนอกจากไดรับเกียรติใหบรรยายในหัว “National CERT: ความทาทายภายใตบทบาทของ สพธอ. เพ่ือรับมือภัยคุกคามความม่ันคงปลอดภัยไซเบอร” แลว ยังไดเขารวมจัดนิทรรศการเผยแพรความรูเกี่ยวกับภัยคุกคามไซเบอรรูปแบบใหมๆ และวิธีปองกัน เชน ชองโหว Heartbleed ซึ่งสงผลใหเกิดความเสี่ยงที่ขอมูลสำคัญในระบบ เชน รหัสผานถูกขโมย

งานเสวนา Cyber Attacks: The Biggest Threat to National Security เม่ือเดือนมิถุนายน 2557 คณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน และกิจการโทรคมนาคมแหงชาติ (กสทช.) มหาวิทยาลัยรังสิต และสถาบันวิชาการปองกันประเทศ ไดจัดงานเสวนาวิชาการหัวขอ Cyber Attacks: The Biggest Threat to National Security เพื่อเผยมุมมองที่มีตอทิศทางความมั่นคงปลอดภัยไซเบอรของประเทศไทย และบทบาท National CERT พรอมรวมเสวนาประเด็นการกำหนดทิศทางยุทธศาสตร บทบาทหนาที่ และการพัฒนาบุคลากรดานความมั่นคงปลอดภัยบนโลกไซเบอร เพื่อเพิ่มเสถียรภาพใหกับประเทศ พรอมการเขาสูประชาคมเศรษฐกิจอาเซียน โดยตัวแทนไทยเซิรตไดรับเกียรติใหบรรยายในหัวขอเร่ือง “ทิศทาง Cybersecurity ของไทย และบทบาท National CERT” ซ่ึงพูดถึงกาวตอไปในอนาคตของความม่ันคงปลอดภัยไซเบอรของประเทศไทยท่ีจะตองมีการผลักดัน National Cybersecurity Governance หรือการวางโครงสรางการบริหารจัดการความม่ันคงปลอดภัยไซเบอรของประเทศท่ีมีความชัดเจนในบทบาทหนาท่ี การปรับปรุงกฎหมายใหสอดคลองกับบทบาทอำนาจหนาท่ีของผูรับผิดชอบหลัก และสอดคลองกับหลักกฎหมาย/แนวปฏิบัติสากล การจัดตั้งศูนยบัญชาการดานความมั่นคงปลอดภัยของประเทศ (Cybersecurity Center of Command) โดยยกระดับไทยเซิรตใหเปน National CERT การรณรงคสรางความตระหนักรูดานความม่ันคงปลอดภัย ท้ังในระดับผูบริหารประเทศและประชาชนท่ัวไป รวมทั้งการพัฒนาบุคลากรในบทบาทตาง ๆ ที่เกี่ยวของกับการรักษาความมั่นคงปลอดภัยไซเบอร

46

บทที่ 5ภาคผนวก

A n n u a l R e p o r t 2 0 1 4

ภาคผนวก ก ประเภทภัยคุกคามที่ไดรับแจง

ตารางที่ 11 ประเภทภัยคุกคามที่ไดรับแจงผานระบบอัตโนมัติ

ชื่อภัยคุกคาม คำอธิบาย

Brute Force

ภัยคุกคามดานสารสนเทศในลักษณะการโจมตีหรือเจาะระบบเปาหมายดวยวิธีการสุมขอมูลตามอัลกอริธึมท่ีผูโจมตีคิดคน เพ่ือใหไดขอมูลสำคัญหรือขอมูลลับของระบบเปาหมาย เชน การสุมบัญชีชื่อผูใชงานและรหัสผานเพื่อเขาสูระบบ

Botnet

ภัยคุกคามดานสารสนเทศที่เกิดกับกลุมของเครื่องคอมพิวเตอรที่มีโปรแกรมไมพึงประสงคติดตั้งอยู ซึ่งโปรแกรมไมพึงประสงคนี้จะทำการรับคำสั่งจากผูควบคุมผานเครือขายอินเทอรเน็ต โดยอาจเปนคำสั่งที่ใหทำการโจมตีระบบเครือขาย สงสแปม หรือโจรกรรมขอมูลในเครื่องคอมพิวเตอรนั้น เปนตน

DDoS

ภัยคุกคามดานสารสนเทศในลักษณะการโจมตีสภาพความพรอมใชงานของระบบ โดยมีลักษณะการโจมตีมาจากหลายที่โดยแตละที่โจมตีเปาหมายเดียวกันภายในชวงเวลาเดียวกัน เพื่อทำใหบริการตาง ๆ ของระบบไมสามารถใหบริการไดตามปกติมีผลกระทบตั้งแตเกิดความลาชาในการตอบสนองของบริการจนกระทั่งระบบไมสามารถใหบริการตอไปได

Malware URL

ภัยคุกคามดานสารสนเทศที่เกิดจากเว็บไซตที่ใชเพื่อเผยแพรมัลแวร สวนมากจะเกิดจากการที่ผูประสงครายบุกรุกเขาไปยังเว็บไซตของผูอื่นและใชพื้นที่ของเว็บไซตนั้นในการเผยแพรมัลแวร และหลอกลวงใหผูอื่นเขาถึงหรือดาวนโหลดมัลแวรนี้

Open DNS Resolverภัยคุกคามดานสารสนเทศที่เกิดจากการตั้งคาของเครื่องใหบริการ DNS อยางไมเหมาะสม โดยอนุญาตใหผูบุคคลทั่วไปสามารถใชบริการไดอาจถูกใชเปนสวนหนึ่งในการโจมตีระบบตาง ๆ ในลักษณะ DDoS ได

47

ตารางที่ 12 ประเภทภัยคุกคามที่ไดรับการประสานเพื่อรับมือและจัดการโดยไทยเซิรต

ชื่อประเภทภัยคุกคาม คำอธิบาย

Fraud

(การฉอฉล ฉอโกงหรือ

หลอกลวงเพ่ือผลประโยชน)

ภัยคุกคามที่เกิดจากการฉอฉล ฉอโกง หรือการหลอกลวงเพื ่อผลประโยชน เชน การสรางหนาเว็บไซตปลอม (Web Phishing) ที ่หลอกขโมยรหัสผานสำหรับล็อกอินจากผู ใช

Information Gathering

(ความพยายามรวบรวม

ขอมูลของระบบ)

ภัยคุกคามท่ีเกิดจากความพยายามของผูประสงครายในการรวบรวมขอมูลจุดออนของระบบดวยการเรียกใชบริการตาง ๆ ที่อาจจะเปดไวบนระบบ (Scanning) เชน ขอมูลเกี่ยวกับระบบปฏิบัติการ ระบบซอฟตแวรที่ติดตั้งหรือใชงาน ขอมูลบัญชีช่ือผูใชงาน (User Account) ท่ีมีอยูบนระบบ เปนตน รวมถึงการเก็บรวบรวมหรือตรวจสอบขอมูลจราจรบนระบบเครือขาย (Sniffing) และการลอลวงหรือใชเลหกลตาง ๆ เพ่ือใหผูใชงานเปดเผยขอมูลท่ีมีความสำคัญของระบบ (Social Engineering)

Abusive Content

(เนื้อหาที่เปนภัย)

ภัยคุกคามท่ีเกิดจากการใช/เผยแพรขอมูลท่ีไมเปนจริง หรือไมเหมาะสม เพ่ือทำลายความนาเชื่อถือ กอใหเกิดความไมสงบ หรือขอมูลที่ไมถูกตองตามกฏหมาย เชน ลามกอนาจาร หมิ่นประมาท และรวมถึงการโฆษณาขายสินคาตาง ๆ ทางอีเมลที่ผูรับไมไดมีความประสงคจะรับขอมูลโฆษณานั้น ๆ (Spam)

Availability

(การโจมตีสภาพ

ความพรอมใชงาน

ของระบบ)

ภัยคุกคามที่เกิดจากการโจมตีสภาพความพรอมใชงานของระบบ เพื่อทำใหบริการตาง ๆ ของระบบไมสามารถใหบริการไดตามปกติ มีผลกระทบตั้งแตเกิดความลาชาในการตอบสนองของบริการจนกระทั่งระบบไมสามารถใหบริการตอไปได สาเหตุอาจเกิดจากการโจมตีที่บริการของระบบโดยตรง เชน การโจมตีประเภท DDoS (Distributed Denial of Service) โดยใชบริการ DNS ที่ตั้งคาอยางไมเหมาะสม (Open DNS Resolver) หรือบริการอื่น ๆ เปนเครื่องมือโจมตี นอกจากนี้ยังรวมถึงการโจมตีโครงสรางพื้นฐานที่สนับสนุนการใหบริการของระบบ เชน อาคาร สถานที่ ระบบไฟฟา เปนตน

Phishing

ชื่อภัยคุกคาม คำอธิบาย

Scanning

ภัยคุกคามดานสารสนเทศท่ีเกิดจากการท่ีผูประสงคราย ทำการตรวจสอบขอมูลเบ้ืองตนของระบบปฏิบัติการหรือบริการบนเครื่องแมขาย โดยใชวิธีสงขอมูลไปสูระบบท่ีเปนเปาหมายผานระบบเครือขาย แลวรวบรวมผลลัพธจากการตอบสนองจากระบบท่ีเปนเปาหมายน้ัน ขอมูลท่ีไดจากการสแกนมักจะใชเปนขอมูลในการเจาะหรือบุกรุกเขาระบบตอไป

Spam

ภัยคุกคามดานสารสนเทศท่ีเกิดจากผูประสงครายทำการสงจดหมายอิเล็กทรอนิกสออกไปยังผูรับจำนวนมาก โดยผูที่ไดรับจดหมายอิเล็กทรอนิกสเหลานั้นไมไดมีความประสงคท่ีจะไดรับขอมูลน้ันมากอน สวนมากเปนการโฆษณาสินคาและบริการ ทำใหเกิดความเดือดรอนรำคาญแกผูรับ

Web Defacementภัยคุกคามดานสารสนเทศท่ีเกิดจากการเจาะระบบไดสำเร็จ แลวทำการเปล่ียนแปลงขอมูลบนหนาเว็บไซต โดยมีจุดประสงคของการกระทำเพ่ือสรางความอับอาย ทำใหหนวยงานเจาของเว็บไซต หรือผูเก่ียวของเส่ือมเสียช่ือเสียง

ภัยคุกคามดานสารสนเทศในลักษณะการฉอฉล ฉอโกง หรือหลอกลวงเพ่ือผลประโยชน สวนใหญมีวัตถุประสงคในการขโมยขอมูลสำคัญของผูใชงาน เชน บัญชีผูใช รหัสผาน หรือขอมูลสำคัญทางธุรกรรมอิเล็กทรอนิกส เปนตน ผูโจมตีใชวิธีการลอลวงใหผูใชงานเขาถึงบริการท่ีทำปลอมข้ึนและทำใหผูใชงานเขาใจผิดวากำลังใชงานกับระบบของผูใหบริการจริงอยู

Open Proxy Server

Phishing

ภัยคุกคามดานสารสนเทศที่เกิดจากการตั้งคาบริการ Web Proxy ไมเหมาะสม โดยยินยอมใหผูใชงานท่ัวไปเรียกใชงานเพ่ือเขาถึงบริการเว็บในเครือขายอินเทอรเน็ตไดโดยไมมีระบบยืนยันตัวตน (Authentication) ซึ่งอาจทำใหผูประสงครายใชเปนชองทางในการกระทำความผิดหรือใชโจมตีระบบอื่น ๆ ได

48

A n n u a l R e p o r t 2 0 1 4


Information Security

(การเขาถึงหรือเปล่ียนแปลง

แกไขขอมูลสำคัญโดย

ไมไดรับอนุญาต)

ภัยคุกคามที่เกิดจากการที่ผูไมไดรับอนุญาตสามารถเขาถึงขอมูลสำคัญ (Unauthorized Access) หรือเปล่ียนแปลงแกไขขอมูล (Unauthorized modification) ได รวมไปถึงเผยแพรขอมูลที่รั่วไหล (Data Leakage)

Intrusion Attempts

(ความพยายาม

จะบุกรุกเขาระบบ)

ภัยคุกคามที่เกิดจากความพยายามเจาะเขาระบบ ทั้งที่ผานจุดออนหรือชองโหวที่เปนที่รูจักในสาธารณะ (CVE- Common Vulnerabilities and Exposures) หรือผานจุดออนหรือชองโหวใหมที่ยังไมเคยพบมากอนเพื่อจะไดเขาควบคุมหรือเขาถึงขอมูลของระบบนี้ รวมถึงความพยายามจะเจาะระบบผานชองทางการล็อกอินดวยวิธีการสุม/เดาบัญชีชื่อผูใชงานและรหัสผาน หรือวิธีการทดสอบรหัสผานทุกคา (Brute Force)

Intrusions

(การบุกรุกหรือ

เจาะระบบไดสำเร็จ)

ภัยคุกคามที่เกิดจากการเจาะระบบสำเร็จทำใหผูประสงครายสามารถควบคุมระบบและกระทำการตาง ๆ เชน การปรับเปลี่ยนหนาเว็บไซตเพื่อทำลายความนาเชื่อถือของหนวยงานเจาของเว็บไซต (Web Defacement) หรือเขาถึงและเปลี่ยนแปลงขอมูลสำคัญในระบบได

Malicious Code

(โปรแกรมไมพึงประสงค)

ภัยคุกคามท่ีเก่ียวของกับโปรแกรมหรือชุดคำส่ังท่ีถูกพัฒนาข้ึนดวยความประสงครายท่ีเรียกวามัลแวร (Malware) เพ่ือทำใหเกิดความขัดของหรือเสียหายกับระบบ โดยปกติโปรแกรมหรือซอฟตแวรไมพึงประสงคประเภทน้ี เชน Virus, Worm, Trojan หรือ Spyware อาจอาศัยผูใชงานเปนผูเปดโปรแกรมหรือซอฟตแวรกอนจึงจะสามารถติดต้ังตัวเองหรือทำงานได หรืออาจเผยแพรเขามายังเคร่ืองของผูใชและเร่ิมทำงานโดยอัตโนมัติ ซ่ึงอาจมาจากหนาเว็บไซดท่ีมีโคดอันตรายท่ีเผยแพรมัลแวร (Malware URL) แกผูเขาเย่ียมชม


Other

(ภัยคุกคามดานสารสนเทศ

อื่นๆ นอกเหนือจาก

ที่กำหนดไวขางตน)

ภัยคุกคามประเภทอ่ืน ๆ นอกเหนือจากท่ีกำหนดไวขางตน ระบุไวเพ่ือเปนตัวช้ีวัดถึงประเภทใหม หรือไมสามารถจัดประเภทไดตามท่ีระบุไวขางตน โดยถาจำนวนภัยคุกคามอื่น ๆ ในขอนี้มีจำนวนมากขึ้น แสดงถึงความจำเปนที่จะตองปรับปรุงการจัดแบงประเภทนี้ใหม

49

ตารางที่ 13 รายการซอฟตแวรที่ไทยเซิรตเฝาติดตามเพื่อรายงานสรุปชองโหวประจำสัปดาห

ภาคผนวก ข รายการซอฟตแวรที่ไทยเซิรตเฝาติดตามเพื่อรายงานสรุปชองโหวประจำสัปดาห

ลำดับ

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

Avast Free Antivirus

AVG AntiVirus

Avira Free Antivirus

Baidu PC Faster

Kaspersky Anti-Virus

McAfee AntiVirus

NOD32 Antivirus

Norton Antivirus

phpBB

SMF

vBulletin

CKEditor

Drupal

Joomla

Maxsite

WordPress

wordpress

Antivirus

Antivirus

Antivirus

Antivirus

Antivirus

Antivirus

Antivirus

Antivirus

Bulleting board system



Content management system






ซอฟตแวร หมวดหมูของซอฟตแวร ลำดับ

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

DB2

Microsoft SQL Server

MySQL

Oracle

PostgreSQL

LDAP (Lightweight Directory Access Protocol)

BitComet

FileZilla

FlashGet

Internet Download Manager

Orbit Downloader

Tunnelier

uTorrent

WinSCP

pfSense

DD-WRT

TP-LINK

Database management system





Directory Access

File transfer

File transfer

File transfer

File transfer

File transfer

File transfer

File transfer

File transfer

firewall/router computer software

Firmware router

Firmware router


35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

Avast Free Antivirus

AVG AntiVirus

Avira Free Antivirus

Baidu PC Faster

Kaspersky Anti-Virus

McAfee AntiVirus

NOD32 Antivirus

Norton Antivirus

phpBB

SMF

vBulletin

CKEditor

Drupal

Joomla

Maxsite

WordPress

wordpress

Firmware router

Hypervisor

Hypervisor

Hypervisor

Hypervisor

Instant messaging

Instant messaging

Instant messaging

Instant messaging

library/framework

Linux distribution

Linux distribution

Media player

Media player

Media player

Media player

Media player

ซอฟตแวร หมวดหมูของซอฟตแวร

50

A n n u a l R e p o r t 2 0 1 4

ลำดับ

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

quicktime

RealPlayer

VLC Media Player

Winamp

7-Zip

Adobe Flash Player

Daemon Tools

Mozilla SeaMonkey

Mozilla Thunderbird

TeamViewer

WinRAR

WinZip

BlackBerry

Mobile OS

LibreOffice

Microsoft Office 2007


Media player

Media player

Media player

Media player

Misc.

Misc.

Misc.

Misc.

Misc.

Misc.

Misc.

Misc.

Mobile OS

Mobile OS

Office suite

Office suite

Office suite


69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85


XenServer

MAC OS

Windows

Adobe Acrobat Reader

Foxit Reader

C#

C

C++

CakePHP

CodeIgniter

cold fusion

Java

JavaScript

Objective-C

PHP

Python

Office suite

Open Source Server Virtualization

OS

OS

PDF viewer

PDF viewer

Programming language/framework












86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

Ruby on Rails

(Visual) Basic

Visual Basic .NET

Zend

GNU Bourne Again SHell

Secure Shell

SAP

Apple Safari

Google Chrome

Internet Explorer

Mozilla Firefox

Opera Browser

phpmyadmin

Webmin

Apache

Microsoft IIS

Nginx





Shell

ShellSoftware & Solutions | Business Applications & IT

Web browser

Web browser

Web browser

Web browser

Web browser

Web control

Web control

Web server

Web server

Web server


51

ภาคผนวก ง ประกาศนียบัตรวิชาชีพดานความมั่นคงปลอดภัยไซเบอรในระดับสากลที่เจาหนาที่ไทยเซิรตไดรับภาคผนวก ค คำอธิบายของหมายเลขพอรตท่ีพบการใชงานบอย

ตารางที่ 14 คำอธิบายของหมายเลขพอรตที่พบการใชงานบอย

หมายเลขพอรต รายละเอียด

4899/tcp พอรตที่ใชงานโดยโปรแกรมสำหรับควบคุมเครื่องคอมพิวเตอรจากระยะไกล (Remote Administration)

80/tcp พอรตที่ใชสำหรับการเชื่อมตอดวย HTTP สวนใหญถูกใชงานโดยเว็บแอปพลิเคชัน

3389/tcpพอรตที่ใชสำหรับการเชื่อมตอดวย RDP (Remote Desktop Protocol) ซึ่งถูกใชสำหรับควบคุมเครื่องคอมพิวเตอรจากระยะไกล

5000/tcpพอรตท่ีใชสำหรับการเช่ือมตอดวยโปรโตคอล UPNP (Universal Plug and Play) ซ่ึงถูกใชในการส่ือสารระหวางอุปกรณตาง ๆ ในเครือขาย เชน เคร่ืองคอมพิวเตอร เราเตอร

23/tcp พอรตที่ใชสำหรับการเชื่อมตอดวยโปรโตคอล Telnet ซึ่งถูกใชสำหรับควบคุมเครื่องคอมพิวเตอรจากระยะไกล

22/tcpพอรตที่ใชสำหรับการเชื่อมตอดวยโปรโตคอล SSH (Secure Shell) ซึ่งถูกใชสำหรับควบคุมเครื่องคอมพิวเตอรจากระยะไกล

445/tcp พอรตที่ถูกใชงานโดยการเชื่อมตอดวยโปรโตคอล SMB ซึ่งถูกใชในการแชรไฟล

139/tcpพอรตที่ถูกใชงานโดย NetBIOS (Network Basic Input/Output System) ซึ่งเปนบริการที่ชวยใหโปรแกรมบนเครื่องคอมพิวเตอรที่อยูในเครือขาย LAN เดียวกันสามารถสื่อสารกัน

5900/tcp พอรตที่สำหรับการเชื่อมตอแบบ VNC (Virtual Network Computing) ซึ่งถูกใชสำหรับควบคุมเครื่องคอมพิวเตอรจากระยะไกล

ตารางท่ี 15 ประกาศนียบัตรวิชาชีพดานความม่ันคงปลอดภัยไซเบอรในระดับสากลท่ีเจาหนาท่ีไทยเซิรตไดรับ

Area Certificate Name

Security Administration

Forensics

Management

GIAC Certified Incident Handler (GCIH)

GIAC Certified Intrusion Analyst (GCIA)

GIAC Penetration Tester (GPEN)

GIAC Security Essentials (GSEC)

GIAC Web Application Penetration Tester (GWAPT)

Certified Ethical Hacker (CEH)

CompTIA Security+

GIAC Certified Forensic Analyst (GCFA)

GIAC Certified Forensic Examiner (GCFE)

GIAC Reverse Engineering Malware (GREM)

AccessData Certified Examiner(ACE)

AccessData Mobile Examiner(AME)

EnCase Certified Examiner (EnCE)

Certified Forensic Computer Examiner (CFCE)

Certified Information Systems Security Professional (CISSP)

Audit Certified Information Systems Auditor (CISA)

ISMS Lead Auditor

52

A n n u a l R e p o r t 2 0 1 4

GIAC Certified Incident Handler (GCIH) เปนประกาศนียบัตรดานความม่ันคงปลอดภัยสำหรับผูเช่ียวชาญท่ีมีหนาท่ีรับมือและจัดการเหตุการณดานความมั่นคงปลอดภัย โดยมีเนื้อหาครอบคลุมการประเมินสถานการณ การควบคุมความเสียหาย และประสานงานไปยังผูท่ีเก่ียวของดวยรูปแบบและวิธีการท่ีเหมาะสม รวมถึงแกไขเพ่ือปองกันการโจมตีในอนาคต

GIAC Certified Intrusion Analyst (GCIA) เปนประกาศนียบัตรสำหรับผูเชี่ยวชาญที่มีความรู และทักษะความสามารถในการติดตั้ง ปรับแตง และเฝาติดตามระบบตรวจหาการบุกรุกที่สามารถนำขอมูลจราจรของระบบเครือขายมาแปลความหมายและวิเคราะหไดอยางมีประสิทธิภาพ

GIAC Penetration Tester (GPEN) เปนประกาศนียบัตรสำหรับผูเช่ียวชาญดานความม่ันคงปลอดภัยท่ีมีหนาท่ีในการประเมินระบบเครือขายเปาหมายเพื่อคนหาชองโหวของระบบ โดยมีเนื้อหาครอบคลุมไปถึงการทดสอบเจาะระบบ (Penetration Testing) ขอกฎหมายเก่ียวกับการ ทดสอบเจาะระบบและการดำเนินการ ทดสอบเจาะระบบอยางเหมาะสม รวมถึงเทคนิคตาง ๆ ในการทดสอบเจาะระบบ

GIAC Security Essentials (GSEC) เปนประกาศนียบัตรสำหรับผูเชี่ยวชาญดานความมั่นคงปลอดภัยที่ครอบคลุมเนื้อหาที่หลากหลาย ผูไดรับประกาศนียบัตรตองมีความรูความเขาใจในดานความมั่นคงปลอดภัยสารสนเทศและพรอมจะนำไปใชปฏิบัติงานในหนวยงานไดจริง

GIAC Web Application Penetration Tester (GWAPT) เปนประกาศนียบัตรดานความมั่นคงปลอดภัยจาก SANS Institute (SANS) ซึ่งเปนสถาบันฝกอบรม และวิจัยดานความม่ันคงปลอดภัยของระบบคอมพิวเตอรท่ีไดรับความเช่ือถือระดับสากล โดยมุงเนนไปท่ีการตรวจสอบ และประเมินชองโหวของระบบเว็บแอพพลิชัน ซึ่งมีจุดประสงคเพื่อปองกันภัยคุกคามที่อาจจะเกิดขึ้นได

Certified Ethical Hacker (CEH) เปนประกาศนียบัตรสำหรับผูเช่ียวชาญในการทดสอบเจาะระบบซ่ึงออกโดย EC-Council โดยเน้ือหาครอบคลุมถึงเรื่องชองโหวของระบบ เทคนิคการโจมตี และเครื่องมือในการเจาะระบบที่รวบรวมมาจากชุมชนนักวิจัยดานความมั่นคงปลอดภัย

Security+ เปนประกาศนียบัตรดานความม่ันคงปลอดภัยจาก CompTIA ท่ีพัฒนาข้ึนมาในป พ.ศ. 2545 เพ่ือทดสอบพ้ืนฐานความรูทางดานความม่ันคงปลอดภัยของระบบเครือขาย การใชเคร่ืองมือ และข้ันตอนการดำเนินงานเพื่อตอบสนองตอเหตุการณดานความมั่นคงปลอดภัย รวมไปถึงหัวขอเชิงธุรกิจอยาง เชน การบริหารความเสี่ยงและการรับมือภัยคุกคามไซเบอร

GIAC Certified Forensic Analyst (GCFA) เปนประกาศนียบัตรสำหรับผูเช่ียวชาญท่ีมีความรูความเขาใจในการวิเคราะหพิสูจนหลักฐานทางคอมพิวเตอร โดยจะเนนทักษะสำคัญในการรวบรวมและวิเคราะหขอมูลจากคอมพิวเตอรท่ีใชระบบปฏิบัติการ Windows และ Linux เพื่อรับรองวาการรับรองวาผูเชี่ยวชาญมีความรู ทักษะ และความสามารถในการดำเนินการตรวจสอบภัยคุกคามตามหลักการที่ถูกตอง ซึ่งรวมไปถึงการดำเนินการรับมือกับภัยคุกคามขั้นสูง เชน ภัยคุกคามแบบตอเนื่องขั้นสูง (APT) วิธีการหลบหลีกเพื่อไมใหหลักฐานถูกตรวจพบจากผูโจมตี และการตรวจพิสูจนหลักฐานทางดิจิทัลที่มีความซับซอน

GIAC Certified Forensic Examiner (GCFE) เปนประกาศนียบัตรสำหรับผูเชี่ยวชาญที่มีความรูความเขาใจในการวิเคราะหพิสูจนหลักฐานทางคอมพิวเตอร โดยจะเนนทักษะสำคัญในการรวบรวมและวิเคราะหขอมูลจากคอมพิวเตอรท่ีใชระบบปฏิบัติการ Windows รวมไปถึงการจัดทำรายงาน การคนหาและจัดเก็บหลักฐาน การตรวจคนหลักฐานทางเบราวเซอร และการติดตามรองรอยการทำงานของผูใชกับแอปพลิเคชันในระบบปฏิบัติการ

GIAC Reverse Engineering Malware (GREM) เปนประกาศนียบัตรดานความม่ันคงปลอดภัยจาก SANS Institute (SANS) ซ่ึงเปนสถาบันฝกอบรม และวิจัยดานความม่ันคงปลอดภัยของระบบคอมพิวเตอรท่ีไดรับความเช่ือถือระดับสากล โดยใหการรับรองผูปฏิบัติงานวามีความรู และทักษะในกระบวนการทำ Reverse-engineer เพื่อวิเคราะห และตรวจสอบการทำงานของมัลแวร ในบริบทของการตรวจพิสูจนหลักฐานดิจิทัล และการรับมือภัยคุกคาม

AccessData Certified Examiner (ACE) เปนประกาศนียบัตรจากบริษัท AccessData เพ่ือรับรองวา ผูเช่ียวชาญมีความรูพ้ืนฐาน เร่ืองการตรวจพิสูจนพยานหลักฐานดิจิทัล และมีความชำนาญในการใชงานโปรแกรม Forensic Toolkit (FTK) ของ AccessData ในการตรวจพิสูจนหลักฐาน

AccessData Mobile Examiner (AME) เปนประกาศนียบัตรจากบริษัท AccessData เพ่ือรับรองวา ผูเช่ียวชาญมีความสามารถในการใชงานโปรแกรม Mobile Phone Examiner Plus (MEP+) และมีความรูความเขาใจในกระบวนการทำงานของระบบโทรศัพทมือถือและเทคโนโลยีตาง ๆ ที่เกี่ยวของสำหรับพิสูจนพยานหลักฐานดิจิทัล

EnCase Certified Examiner (EnCE) เปนประกาศนียบัตรจากบริษัท Guidance Software, Inc. เพ่ือรับรองวา ผูเช่ียวชาญมีความรูพ้ืนฐานเรื่องการตรวจพิสูจนพยานหลักฐานดิจิทัล และมีความชำนาญในการใชงานโปรแกรม EnCE® ของ Guidance Software ในการตรวจพิสูจนหลักฐาน

Certified Forensic Computer Examiner (CFCE) เปนประกาศนียบัตรรับรองผูเชี่ยวชาญที่มีความรูความเขาใจในการวิเคราะหพิสูจนหลักฐานทางคอมพิวเตอรระบบปฏิบัติการวินโดวสโดยองคกร IACIS (The International Association of Computer Investigative Specialists) ซึ่งผูที่ตองการรับประกาศนียบัตรจะตองทดสอบความรูความเขาใจทั้งภาคทฤษฎีและปฏิบัติโดยแบงเปนการทดสอบขั้นตน (Peer Review) และการทดสอบเพื่อรับประกาศนีบัตร Certification Testing

Certified Information Systems Security Professional (CISSP) เปนประกาศนียบัตรสำหรับผูเชี่ยวชาญที่มีความรู ทักษะ และประสบการณอยางลึกซึ้งทั้งทางดานเทคนิคและการบริหารจัดการ นอกเหนือจากนี้ ผูที่ไดรับประกาศนียบัตร CISSP คือผูที่มีความนาเชื ่อถือในการออกแบบ การกำหนดโครงสรางของงาน การปฏิบัติงาน และการบริหารจัดการ เพื่อรักษาความมั่นคงปลอดภัยโดยรวมขององคกรจากการโจมตีที่มีความซับซอนที่เพิ่มขึ้น

Certified Information Systems Auditor (CISA) เปนประกาศนียบัตรที่ไดรับการยอมรับในระดับโลก โดยสะทอนใหเห็นศักยภาพของผูที่ผานการรับรองถึงประสบการณ ทักษะ และความรู ในการตรวจประเมินชองโหวของระบบสารสนเทศ การตรวจสอบความสอดคลองกับมาตรฐานที่กำหนดรวมถึงการควบคุมอื่น ๆ ภายในองคกร

ISMS Lead Auditor เปนประกาศนียบัตรโดยหนวยงาน IRCA ผูที่จะผานหลักสูตรนี้ตองมีความเขาใจพื้นฐานของการบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ (Information Security Management) ตามขอกำหนดของมาตรฐาน ISO/IEC 27001 เขาใจกระบวนการ วิธีการตรวจประเมิน และมีทักษะในการเขียนรายงานการตรวจประเมิน รวมทั ้งเขาใจบทบาทและความรับผิดชอบของผูประเมิน

53

54

A n n u a l R e p o r t 2 0 1 4

ภาคผนวก จ รายช่ือหนวยงานภาคธนาคารและผูใหบริการอินเทอรเน็ตท่ีเขารวมการซอมรับมือภัยคุกคามตารางที่ 16 รายชื่อหนวยงานภาคธนาคารและผูใหบริการอินเทอรเน็ตที่เขารวมการซอมรับมือภัยคุกคาม

ลำดับ

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

ภาคธนาคาร

ผูใหบริการอินเทอรเน็ต

ธนาคารกรุงเทพ

ธนาคารกรุงไทย

ธนาคารกรุงศรีอยุธยา

ธนาคารกสิกรไทย

ธนาคารเกียรตินาคิน

ธนาคารทิสโก

ธนาคารไทยพาณิชย

ธนาคารธนชาต

ธนาคารออมสิน

ธนาคารอาคารสงเคราะห

ธนาคารเพ่ือการเกษตรและสหกรณการเกษตร

ธนาคารไอซีบีซี (ไทย)

Beenets

INET

Nippon Telegraph and TelephoneNTT (NTT)

TCC

Telecom Of Thailand (TOT)


ภาคผนวก ฉ รายชื่อมหาวิทยาลัยที่เขารวมการแขงขัน MAC 2014

ตารางที่ 17 รายชื่อมหาวิทยาลัยที่เขารวมการแขงขัน MAC 2014

ลำดับ

1

2

3

4

5

6

7

8

9

Assumption University of Thailand

Kasem Bundit University

Kasetsart University

King Mongkut's Institute of Technology Ladkrabang

King Mongkut's University of Technology Thonburi

Mahidol University

Srinakharinwirot University

Thammasat University

University of the Thai Chamber of Commerce

University Name

คำศัพท

Penetration Test

เปนขั้นตอนถัดจากการตรวจสอบและประเมินชองโหวของระบบสารสนเทศ โดยทำการบุกรุกเจาะระบบสารสนเทศจริงโดยอาศัยวิธีการทางเทคนิค, การหลอกลวงแบบโซเชียลเอนจิเนียริง หรือแมกระทั่งบุกรุกทางกายภาพเขาไปขโมยขอมูลก็ถือเปนการทดสอบเจาะระบบ

มัลแวรที่ทำการเรียกคาไถดวยการทำใหผูใชไมสามารถเขาถึงระบบหรือขอมูลในคอมพิวเตอร หรือหลอกลอดวยวิธีการใด ๆ ก็ตามที่จะทำใหผูใชยอมชำระเงินใหกับผูประสงครายเพื่อที่จะแกไขปญหาที่เกิดขึ้น

Social Engineering

Ransomware

การโจมตีแบบโซเชียลเอ็นจิเนียริงจะเก่ียวกับการหลอกใหบางคนหลงกลเพื่อเขาระบบ เชน การหลอกถามรหัสผาน การสรางหนาเว็บไซตปลอมเพื่อหลอกใหใสไอดี/รหัสผาน ซึ่งการโจมตีประเภทนี้ไมจำตองใชความรูความชำนาญเกี่ยวกับคอมพิวเตอรมากนัก เปนการโจมตีที่ปองกันยากเพราะเก่ียวของกับคน

Trojan

คือชื่อที่ใชเรียกโปรแกรมที่มีลักษณะเหมือนโปรแกรมธรรมดาทั่วไปและดูเหมือน วาจะไมมีอันตรายอะไร แตที่จริงแลวโปรแกรมนั้นมีจุดประสงคแอบแฝงเพื่อทำอันตรายตอระบบ เชน ขโมยขอมูลบัญชีผูใช เปนตน โปรแกรมที่เปนโทรจันนั้นจะหลอกลอใหผูใชคิดวาตัวมันเองปลอดภัย และใหผูใชเปนคนนำโปรแกรมเขามาติดตั้งอยูในระบบเอง

Vulnerability Assessment

คือกระบวนการตรวจสอบหาชองโหวของระบบสารสนเทศท่ีอาจเปนจุดออนใหผูไมหวังเจาะระบบเขามาได และประเมินความสำคัญและผลกระทบของชองโหวนั้น

Web Browser โปรแกรมคอมพิวเตอรสำหรับทองเว็บไซตหรือใชดูขอมูลท่ีอยูในเว็บไซตโดยการเช่ือมตอกับเว็บเซิรฟเวอร

ความหมาย

ภาคผนวก ช จำนวนผูเขารวมอบรมกิจกรรมท่ีศูนยดิจิทัลฟอเรนสิกสเปนเจาภาพแยกตามหนวยงาน

ตารางที่18 อภิธานศัพทและคำยอ

คำศัพท

C&CServer

CMS – Content Management System

ยอมาจากซีแอนซีเซิรฟเวอร (Command & Control Server) คือเคร่ืองท่ีใชควบคุมเคร่ืองท่ีติดมัลแวรประเภทบอตเน็ต (Botnet) ใหกระทำการตางๆ ตามท่ีผูโจมตีตองการเชน ส่ังใหโจมตีเคร่ืองอ่ืนๆ ในลักษณะดีดอส (DDoS) ส่ังใหเคร่ืองท่ีติดบอตเน็ต (Botnet) สงขอมูลสำคัญมาใหกับผูควบคุม เชนบัญชีผูใช รหัสผาน โดยลักษณะการเช่ือมตอระหวางแอนซีเซิรฟเวอร (C&C Server) และบอตเน็ต (Botnet) มีหลากหลายรูปแบบ เชน การเชื่อมตอผานโปรโตคอลไออารซี (IRC),เอชทีทีพี (HTTP) หรือ ในลักษณะพีทูพี (P2P) เปนตน

คือระบบซอฟตแวรคอมพิวเตอรที่ใชเพื่อจัดระเบียบเอกสารหรือเนื้อหาสาระ โดยสวนมากนำมาชวยในการสรางและบริหารเว็บไซตแบบสำเร็จรูป โดยในการใชงาน CMS นั้นผูใชงานแทบไมตองมีความรูในดานการเขียนโปรแกรม ก็สามารถสรางเว็บไซตได

Digital Forensics

คือ การเก็บหลักฐาน, การคนหา, วิเคราะห และการนำเสนอหลักฐานทางดิจิทัลที่อยูในอุปกรณคอมพิวเตอรและอิเล็กทรอนิกส เชน ไฟลที่อยูในคอมพิวเตอร,อุปกรณอิเล็กทรอนิกส, โทรศัพทมือถือ รวมถึงหลักฐานดิจิทัลที่ถูกสรางจากระบบคอมพิวเตอร เปนตน ซึ่งขอมูลเหลานี้สามารถนำไปใชระบุผูกระทำผิดจนถึงเปนหลักฐานในการดำเนินคดีได

DomainName

Log

เปนชื่อที่ตั้งขึ้นเพื่อใชแทนการเรียกหมายเลขไอพี (IP Address) เพื่อใหเปนที่รูจักและจดจำไดงายขึ้น

ขอมูลบันทึกกิจกรรมการเขาใชงานระบบสารสนเทศ หรือการเชื่อมตอทางเครือขาย สวนใหญจะมีการเก็บขอมูลของไอพีตนทาง ปลายทาง วันเวลา ประเภทของบริการท่ีเก่ียวของกับการส่ือสารของระบบคอมพิวเตอรนั้น

ความหมาย

55

สุรางคณา วายุภาพผูอำนวยการ สพธอ.

ชัยชนะ มิตรพันธรองผูอำนวยการ สพธอ.

สรณันท จิวะสุรัตนผูอำนวยการ สำนักความมั่นคงปลอดภัย

ฝายจัดทำเนื้อหาสุรางคณา วายุภาพชัยชนะ มิตรพันธสรณันท จิวะสุรัตนธงชัย แสงศิริพรพรหม ประภากิตติกุลณัฐโชติ ดุสิตานนทและทีมไทยเซิรต

รษกอัน์จูสิพะลแป์ลิศยาฝ่ฒิวุิพรว ศ์งพฐณั

56

CyBER SECURITY - pa2013te002.thaicert.or.th€¦ · 09 - การอบรม Mobile Devices...

Documents

Transcript of CyBER SECURITY - pa2013te002.thaicert.or.th€¦ · 09 - การอบรม Mobile Devices...