เปดโปง กลโกงอนเทอรเนต

โดย นาย กตศกด จรวรรณกล

ศนยประสานงานการรกษาความปลอดภยคอมพวเตอร ประเทศไทย (ThaiCERT)

หวขอในการบรรยาย

ThaiCERT คออะไร นยาม “ภยคกคาม” ภยคกคามหรอกลโกงตางๆ วธปองกนตวเองจากไวรส

ThaiCERT คออะไร

Thai Computer Emergency Response TeamNational Electronics and Computer

Technology Center (NECTEC)Role: Like The Firemanhttp://www.thaicert.org

เครอขายของ ThaiCERT

CERTs อนๆ ทวโลก ยอมรบให ThaiCERT เปน CERT ประจาประเทศไทย เปนสมาชกของ

Forum of Incident Response and Security Teams (FIRST)Asia-Pacific CERTs (APCERT)

ขอบขายการใหบรการของ ThaiCERT

เปนศนยประสานงานและตอบสนองตอเหตการณความปลอดภยคอมพวเตอร (Incident Response) เอกสารเผยแพร

ขาวสารประจาเดอนAdvisory บทความตางๆ

Mailing ListThaiCERT-Virus-AlertThaiCERT-AdvisoryThaiCERT-News

ขอบขายการใหบรการของ ThaiCERT (ตอ)

งานดานการวจย ความปลอดภยบนระบบเครอขายไรสาย ไวรสคอมพวเตอร บารโคดสองมต งานวจยดานนโยบายและมาตรฐาน ความปลอดภยบนระบบเครอขายคอมพวเตอร

กระบวนการทา Incident Response

Reporting Process

2Via E-Mail,Call,Web,Fax

Attacker

1

Verify

3

Site Constituency Checking

4

Coordination Process

NO5

Analysis and responseYES 6

ผลงานเดนและพนธมตรของผลงานเดนและพนธมตรของ ThaiCERTThaiCERT

Alliances

โลกเราพงพา IT มากขน

อดต ปจจบน

โลกเราพงพา IT มากขน (ตอ)

อดต ปจจบน

โลกเราพงพา IT มากขน (ตอ)

อดต ปจจบน

e-Governmente-Industrye-Businesse-Educatione-Society

.....

ภยคกคามทตามมาตอ IT !!

C (Confidentiality)I (Integrity)A (Availability)

Security คอ นยามของคาวา “ภยคกคาม”

“ภยคกคาม” = “Threat”

สงทกอใหเกดความเสยหายตอตวบคคล หรอระบบตางๆ ภายในองคกร

คอ การโจมตในรปแบบของการปลอมแปลงอ-เมล (Email Spoofing)

ทาการสรางเวบไซตปลอม เพอหลอกลวงให เหยอหรอผรบอ-เมลเปดเผยขอมลทางดานการเงนหรอขอมลสวนบคคลอนๆ

PHISHING PHISHING

แฮกเกอร(ผตกปลา)

สแปมเมล(เหยอลอปลา)

เวบไซตหลอกลวง(ตะขอ)

ผทาธรกรรมอเลกทรอนกส

(ปลา)

ตวอยางอ-เมลหลอกลวงใหลกคาของธนาคาร Citibank กรอกขอมลสวนตวในเวบไซตทปลอมขนมาตาม link ทระบไว

ตวอยางเวบไซตปลอมของ Citibank ตามลงคทระบไวในอ-เมลเพอหลอกใหกรอกขอมลสวนตว

ตวอยางเหตการณทเกดขนกบเวบไซตของสถาบนการศกษาของไทย

สแปมเมล เปนอ-เมลโฆษณา เชญชวน หรออนๆ ทไมม สาระสาคญตอผรบ และถอไดวาเปนภยคกคามทม ผลกระทบตอผรบดวย หากหลงเชอตามขอความทหลอกลวงในอ-เมล

ผลกระทบ:

– ทาใหสญเสยทรพยสน เชน สงเงนไปซอสนคาตามท โฆษณา แตไมไดรบสนคามา

– ทาใหสญเสยขอมลสวนบคคลทสาคญ เชน ขอมลเกยวกบการเงนซงผไมประสงคดอาจนาไปใชประโยชน อยางอนไดตอไป

Phishing เปนตวอยางหนงของ Spam Mail

สแปมเมล (Spam Mail) สแปมเมล (Spam Mail)

ประเภทของสแปมเมล :

1. การสรางโอกาสทางธรกจ2. อ-เมลขายสนคาทมกลมผใชงานเปนจานวนมาก

(Bulk E-mail)3. อ-เมลลกโซ4. การทางานทบานโดยลงแรงเพยงเลกนอย

(Work-at-home Schemes)5. การรกษาสขภาพและการควบคมนาหนก

6. รายไดกอนใหญโดยไมตองเสยแรงมากนก7. สนคาฟร8. โอกาสในการลงทนทมผลตอบแทนสง9. ชดอปกรณเชอมตอเคเบลทว

(Cable De-scambler Kits) 10. การใหเงนกหรอสนเชอโดยมเงอนไขงายๆ 11. การเคลยรสนเชอ 12. การเสนอใหรางวลไปเทยวฟร

สแปมเมล (Spam Mail) (ตอ)

ตวอยางของสแปมเมลประเภทการรกษาสขภาพและควบคมนาหนก

ตวอยางของสแปมเมลประเภทรายไดกอนใหญโดยลงแรงเพยงเลกนอย

การปลอมแปลงอ-เมล(E-mail Spoofing)

E-mail Spoofing เปนการปลอมแปลงชอผสงและ ขอความในอ-เมลโดยมจดประสงคไมดตอผรบ ซงอาจทาใหผรบหลงเชอ เขาใจผด และสงผล เสยตามมา

ตวอยางของการปลอมแปลงอ-เมลเพอหลอกลวง

MSN Messenger

เผยแพรเมอ 22 กรกฎาคม 2542 มผใชทวโลกมากกวา 110 ลานคน ปจจบนเวอรชน 8.1

MSN MessengerMSN Messenger

W32.Bropia.Worm หนอน MSN และ MSN2

ไวรสในรปแบบของวดโอ

วธการสงเกต ไดรบเมลเชอเชญใหดาวนโหลดวดโอ หลอกวายงไมไดตดตงโปรแกรมสาหรบด

http://www.thaicert.org/advisory/alert/Thailand_Cambidia_email.php

ไวรสในรปแบบของวดโอ ไวรสในรปแบบของวดโอ

Vishing

Vishing = Voice + Phishing เปนวธการ Social Engineering ใชโทรศพทในการหลอกลวง

หลอกลวงเงนหรอทรพยสน ใชขโมยขอมล

http://www.thaicert.org/advisory/alert/vishing.php

เปนภยคกคามประเภททแอบอางสทธเพอหลอกลวงใหไดมาซงขอมลสวนบคคล

Social Engineering

Vishing (ตอ) Vishing (ตอ)

ตวอยางการหลอกลวง กลาวหาเหยอวาหลบหนคด หลอกลวงเหยอวาไดรบรางวล

วธการปองกน ไมรบโทรศพททไมแนใจ ไมใหขอมลสวนตวใดๆ ทงสน

Google: Best Friend of Hacker

http://www.linuxexposed.com/Articles/Hacking/Google-A-Hackers-Best-Friend.html

Google สามารถหาขอมล ขอมลของบคคล อ-เมล ขอมลภายในของเอกสารลบทถกเผยแพร ขอมล และฐานขอมลทไมไดปองกนเปนอยางด

BotNetBot (Zombie)

– A code that can automatically execute predefined commands. Here it is used as attack and exploit tool.

Zombie Server (C&C)– A host with Bot and controlled

by hacker.

Botnet (or roBot Network)– Network of zombie servers.

Refer.: บอตเนต ภยรปแบบใหมบนอนเทอรเนตhttp://www.thaicert.org/paper/basic/botnet.pdf

Refer.: บอตเนต ภยรปแบบใหมบนอนเทอรเนต http://www.thaicert.org/paper/basic/botnet.pdf

รปแบบการโจมตรปแบบการโจมต

49

IRC Server

Attacker

Victim

Botnet

C&C

บอตเนต

มเครองถกฝงดวยบอตมาก ไดรบขอมลทกวนจาก Shadow Server

ShadowServer

Refer.: http://www.shadowserver.org/

3 Jedi Master Web 2.0

ไวรสบน Social Network

Social NetworkHi5, Facebook, Blogspot, etc.

วธการสงเกต มคนทไมรจกมาโพสทเชอเชญใหเปดเวบ หรอสครปตทอนตราย ลงคทถกโพสทอาจจะเปน

โฆษณา ใหดาวนโหลดโปรแกรม

ไวรสบน Social Network

ไวรสบน Social Network เทคโนโลยแหงโลกไรสาย

Base Station

PDA

Internet Backbone

2G,3G Cellular Network• GSM, GPRS, WCDMA, cdma2000

Wireless Personal Area Network (WPAN)• Bluetooth, Zigbee

Wireless Local Area Network (WLAN)• Wi-Fi

Wireless Metropolitan Area Network (WMAN)• WiMAX

Satellite Network

ภยคกคามแหงโลกไรสาย

โทรศพทมอถอ บลทธ (Bluetooth)MMS

ดาวนโหลดโปรแกรมจากเวบ

เครองเกมสNintendo DSSony Play Station Portable

ภยคกคามบลทธ (Bluetooth Threat)

• Bluetooth is designed to offer cable replacement in a short range (i.e., Hand-free, Earphone)

• Threats:– SNARF – unauthorized access through bluetooth to

steal personal information– Backdoor– Bluebug –activate phone to initiate call or send/read

SMS

• Solutions: Patch the system, Close Bluetooth when not use.

ไวรสบนโทรศพทมอถอ

เครองเกมส (Nintendo DS) Trojan.DSBrick.A/B ถกคนพบวนท 11 ตลาคม 2548 เปนโทรจนชนดแรกททางานบน Nintendo DS ลบ Firmware ของระบบ

เครองเกมส (Sony PSP) Trojan.PSPBrick.A

คนพบ 7 ตลาคม 2548เปนโทรจนตวแรกทมผลตอ Sony Playstation Portableลบไฟลทจาเปนในการบตเครองแสดงขอความวา “PSP TEAM 2.0 Exploit Hack the 2.0 firmwareThank's to toc2rta for the 2.0 exploit :) ”

ทาความรจกกบ Malware

อดตใชคาวา “ไวรสคอมพวเตอร” ปจจบน

ไวรสมความรนแรงมากขน มเทคนคในการแพรกระจายทหลากหลายขน จงมการนยามขนใหม

ทาความรจกกบ Malware (ตอ)

Malware = Malicious + Software ซอฟตแวรใดๆ ทตงใจตอเขากบระบบคอมพวเตอร โดยมวตถประสงคทจะเขาไปใชสทธ โดยปราศจากการขออนญาต

ตวอยางประเภท Malware

ไวรสคอมพวเตอร (Computer Virus) หนอนอนเทอรเนต (Worm) มาโทรจน (Trojan Horse) ขาวไวรสหลอกลวง (Hoax)

ไวรส (Virus)

ไวรสคอมพวเตอร (Computer Virus)

การทาสาเนาตวเอง โดยตองอาศยพาหะ (host) ตองไดรบการเอกซควต อาจกอใหเกดอาการหรอความเสยหาย (payload)

หนอนอนเทอรเนต (Worm)

อยไดดวยตวเอง ไมตองอาศยตวกลางในการแพรกระจาย ไมแพรกระจายผานไฟล แพรกระจายผานทาง

ระบบเครอขาย

ลกษณะการแพรกระจายของหนอน Slammer Worm

หนอนอนเทอรเนต - ตวอยาง

W32.Blaster.Worm โจมตชองโหว DCOM RPC ผาน Port 135/TCP (MS03-026) มผลกบระบบปฏบตการ Windows NT, 2000, XP และ 2003 เครองจะ restart เองโดยอตโนมต

Jeffrey Lee Parson, 19

คนเขยนหนอน Blaster

มาโทรจน (Trojan Horse) มาโทรจน (Trojan Horse)

ไมทาสาเนาตวเอง เจตนาทาสงทคาดไมถง

ลบไฟล เปดประตลบ หรอ Back Door ขโมยขอมลสาคญ เชน รหสผาน เลขทบตรเครดต เปนตน ทาการเชอมตอสภายนอก

ขาวไวรสหลอกลวง (Hoax)

ไมทาสาเนาตวเอง เปนเพยงขาวสารเทานน (การเตอนทผดๆ) แพรกระจายอยางรวดเรว ไมกอใหเกดความเสยหายโดยตรง

ขาวไวรสหลอกลวง - ตวอยาง

Jdbgmrg.exe

สปายแวร/แอดแวร

โปรแกรมทแอบเขามาตดตงในเครองคอมพวเตอรโดยทผใชอนญาต สวนใหญเปนปอบอพโฆษณา กอใหเกดความราคาญ แตกตางจากไวรสคอมพวเตอร

(http://www.thaicert.org/paper/spyware/IntroToSpyware.pdf)

ตวอยางสปายแวร

ตวอยางสปายแวร (ตอ)

ตวอยางสปายแวร (ตอ)

ขนตอนการกาจดไวรส

ตดทกเครองออกจากเครอขาย ทาการตรวจหาและกาจดไวรสออกจากเครอง

ดวยโปรแกรมปองกนไวรส ดวย Fix tools ตางๆ อนๆ เชน รจสทรย, โพรเซส, การแชรไฟล ฯลฯ(http://www.thaicert.org/paper/virus/detectvirus.php)

อพเดต patch และโปรแกรมปองกนไวรส บนทกสถตและจดทารายงาน

ลกเตาชวยแกปญหาคอมพ

http://www.thinkgeek.com

วธใชงาน วธการกาจดไวรส

เชอมตอเครอขาย

อพเดต patch & โปรแกรมปองกนไวรส

ตรวจหาไวรสและสปายแวร

ไมใช

ใช ตดการเชอมตอ

ลบไฟลไวรสและสปายแวร

ไมพบ

ม

โปรแกรมปองกนไวรสFix tools

อนๆ

จดทารายงานสรป

เสรจกระบวนการ

ตวอยาง Fix Tools - SysClean

ดาวนโหลดโปรแกรมไดจากhttp://www.trendmicro.com/ftp/products/tsc/sysclean.com ดาวนโหลด Pattern http://www.trendmicro.com/download/viruspattern.asp

ตวอยาง Fix Tools - Stinger

ดาวนโหลดโปรแกรมไดจากhttp://download.nai.com/products/mcafee-avert/stng260.exe

วธปองกนไวรส

โปรแกรมปองกนไวรสโปรแกรมไฟรวอลลสวนบคคลโปรแกรมซอมแซมชองโหว (Patch)การแชรไฟล และการรบ-สงไฟลตางๆการสารองขอมลตดตามขาวสารตางๆ

รายละเอยดเพมเตม

วธการปองกนตวเองจากไวรสคอมพวเตอร(http://www.thaicert.org/paper/virus/

protectvirus.php)

เวบไซตตดตามขาวสาร

http://www.thaicert.orghttp://www.cert.orghttp://www.securityfocus.comhttp://mailcleaner.in.thhttp://www.microsoft.com/security/

เวบไซตอนทนาสนใจ

http://www.outpost24.comhttp://www.symantec.comhttp://www.mcafee.comhttp://www.trendmicro.comhttp://www.messagelabs.comhttp://www.pandasoftware.com/http://www3.ca.com/virusinfo/http://www.sophos.com/http://www.eset.com/http://www.f-secure.fi/virus-info/

คาถาปองกนไวรส

ไมใชแผนมวไมชวรอยาเปด

อยาละเมด Security (Policy)ตดตามขาวสารไวรสดๆสารองขอมลทสาคญ

ตดตอวทยากร

ชอ กตศกด จรวรรณกล

โทรศพท 02-564-6868

เวบไซต http://www.thaicert.nectec.or.thhttp://www.thaicert.org

อ-เมล thaicert@nectec.or.thkitisak@nectec.or.th

คาถาม?