chapter 3 – threat and vulnerability - department of … · ppt file · web view2018-01-23 ·...
TRANSCRIPT
Chapter 3 – Threat and Vulnerability
ภยคกคาม และ ชองโหว (Threat and Vulnerability)
เปาหมายของการรกษาความมนคงปลอดภยของสารสนเทศ คอ การทำาใหมนใจ ( การกำาหนดนโยบาย ออกมาตรการ สรางระบบและกลไก
จดสรรเครองมอ) วาสารสนเทศจะไมถกเปลยนแปลง ขโมย โดยผไมม สทธ
ดวยความกาวหนาทางวทยาการคอมพวเตอรและการสอสาร ทำาให สภาพแวดลอมในการทำางานเตมไปดวยภยคกคาม (Threat) หลากหลาย
ประเภท ซงมกรรมวธการเขาโจมต (Attack) แตกตางกนไป จงจำาเปนอยางยงทองคกรตองทำาความเขาใจลกษณะการโจมตของภยคกคาม
แตละประเภทเพอใหสามารถวางแผนรบมอกบความเสยงทจะเกดขนได นอกจาก Threat แลว สงทองคกรควรระมดระวงคอชองโหว
(Vulnerability) เพอไมใหกลายเปนชองทางของการโจมต จนสรางความเสยหายแกสารสนเทศขององคกรได
จดออนหรอชองโหว (Vulnerability)
ชองโหว (Vulnerability) ในทนหมายถงชองโหวของ ซอฟตแวรระบบปฏบตการ ซอฟตแวรระบบการจดการฐาน
ขอมล ซอฟตแวรระบบอน ๆ รวมทงสภาพหรอสภาวะทเปน ขอบกพรองหรอไมสมบรณ ทถกละเลยดวยความประมาท
หรอโดยไมตงใจ จนกระทงเกดเปนชองโหวทถกใชใหเปน ประโยชนโดยภยคกคาม ซงอาจทำาใหทรพยสนขององคกรไดรบ
ความเสยหายไดThreat เปนภยคกคามทผอนทำาขนมาโจมตเรา แต
Vulnerability เกดจากความไมระวงตนเอง เกดจากความ ประมาทไมรอบคอบของตนเอง ตลอดจนเกดจากความไมร
(unawareness) ของตนเอง จนผอนเอาไปใชเปนชองทางในการโจมตเขามา
จดออน/ชองโหวทเกดขน
ภยคกคาม ความเสยง
องคกรไมไดตดตงโปรแกรมปองกนไวรส
ไวรสใชประโยชนจากการไมไดตดตงโปรแกรมปองกนไวรสและทำาใหขอมลสำาคญขององคกรเกดความเสยหาย
ทำาใหขอมลสำาคญของ องคกรมโอกาส (possibility)
เกดความเสยหาย ถก เปลยนแปลง และสญหาย
ได
องคกรขาดการรกษาความปลอดภยทางกายภาพ
ขอมลสำาคญทเปนความลบทางการคาถกขโมยซงเกดจากการขาดการรกษาความปลอดภยทางกายภาพ
ทำาใหขอมลสำาคญของ องคกรมโอกาส (possibility)
เกดความเสยหาย ถกทำาลาย เปลยนแปลง และสญหายได
ไมสรางกฎเกณฑการตงคำาทจะใชเปนรหสผานใหคาดเดาไดยาก
หนาเวบไซตถกเปลยนแปลงซงเกดจากการใชรหสผานทสนเกนไป
Content บนหนาเวบถกเปลยนแปลง
ตวอยางชองโหว (Vulnerability) & ภยคกคาม ทเกดจากความประมาท
ชองโหว (Vulnerability)
ในบรบทความมนคงของระบบคอมพวเตอร ชองโหวหมายถง จดออน หรอขอตำาหนของระบบ ทผโจมตพยายามคนหา ซงตองใช
เครองมอและเทคนค ( เชนโปรแกรม PortScan Portable ซงเปน โปรแกรมคนหา Port ทเปดหาชองโหวระบบ) และเชอมโยงกบจด
ออนของระบบใหได ชองโหวเปนทรจกในอกชอหนงวา พนหนาของการ โจมต (attack surface) ชองโหวจดเปนจดบกพรองสำาคญทเปดโอกาส
ใหสงทเปนภยคกคามสามารถจโจมเขาสระบบสารสนเทศได เชน ระบบ ลอกอนทไมมกลไกการตรวจสอบชอผใช
ตวอยางชองโหวของระบบสารสนเทศ ไดแก• การจดการบญชรายชอผใชไมมประสทธภาพ• Software Bugs• ระบบปฏบตการไมไดรบการซอมเสรมอยางสมำาเสมอ• ไมมการอพเดทโปรแกรม Anti Virus อยางสมำาเสมอ• การปรบแตงคาคณสมบตของะบบผดพลาด
ตวอยางชองโหวของระบบสารสนเทศ : การจดการบญชรายชอผใชไมม ประสทธภาพ
การปองกนสารสนเทศใหเกดความมนคงปลอดภยในเบองตน คอการ จดทำาบญชรายชอผใช (User Account) เพอลอกอนเขาสระบบ รวมถงการ
ควบคมการเขาถง (Access Control) และการใหสทธ (Authorization) ในการใช งานระบบ ซงจะชวยระบไดวา ผใชแตละคนมสทธในการเขาใชระบบสารสนเทศ
ระดบใด
การรกษาความมนคงปลอดภยของระบบสารสนเทศ นอกจจากจะขนอย กบกลไกการปองกนทดแลว ยงขนอยกบปจจยสำาคญอก 2 ประการ คอบคคลากร
ในองคกรและการจดการบญชรายชอผใชระบบในองคกร
ความหละหลวมในการจดการบญชรายชอผใชทลาออกจากองคกรแลว และผดแลระบบบญชรายชอไมลบชอผใชรายนออก หากผใชดงกลาวมสทธเขาใช
มากกวา 1 ระบบ ทำาใหองคกรมความเสยงตอการถกขโมยสารสนเทศได
ไมมการทบทวนสทธในการเขาถงสารสนเทศ เมอมการเปลยนโยกยาย ตำาแหนง องคกรควรปรบเปลยนสทธในการเขาใชระบบใหเหมาะสมเพอปองกน
การนำาสทธทมอยเดมเขาใชระบบสารสนเทศในทางทผด
Bug (จดบกพรอง) หมายถง ปญหาทเกดขนกบโปรแกรม เนองมาจากคำาสงในโปรแกรมนน
เองททำาใหการทำางานของโปรแกรมมขอผดพลาด นอกจากปญหาเกยวกบ โปรแกรมแลว อาจเปนปญหาเกยวกบตวเครองกได (bug แปลวา ตวดวง ตวแมลง
ทชอบทำาใหคอมพวเตอรสมยกอนเกดการลดวงจร ดงนน การแกไขจดบกพรอง ของโปรแกรม จงใชคำาวา "debug“)
ยงโปรแกรมซบซอนเทาไร โอกาสทจะมบกกมากขน สงเกตไดวาหาก มโปรแกรมใดๆออกมาใหม เมอเวลาผานไป 2-3 เดอน ผผลตจะไดรบ
รายงานผลจากผใชงานวา เกดปญหาเกยวกบการใชงานซอฟตแวร ณ จดใด บาง ทางผผลตจะเรมตรวจสอบและแกไข ซอฟตแวรในระยะตอมาจงเปน
เปนชดทไดรบการแกไขบกดงกลาวเรยบรอยแลว หรอหากมการแกไข มากกวาเดม ผผลตกมกจะเปลยนชอเวอรชนไป เมอซอฟตแวรมความซบ
ซอนมากขนจากการแกบกรนอปเกรดเวอรชนกกาวเขาส Services Pack ซง หมายถงชดรวมของซอฟตแวรทออกมาแกบกทเคยมอย และเพออปเดท
ดวย พรอมแจกจายแกผใชโดยไมคดมลคา
ตวอยางชองโหวของระบบสารสนเทศ : Software Bugs
ซอฟตแวรทตองระมดระวง คอ กลมซอฟตแวรระบบปฏบตการ : OS, DBMS, Web Server และกลม Open Source, Free Software
ตวอยาง Software Bugs
Software Bugs จดเปนชองโหวหลกทควรใหความสำาคญ เพราะเปนชอง ทางทผบกรกนยมใชเจาะระบบขององคกร ตวอยาง Software Bugs มดงน
1. Buffer Overrun เปน Software Bug ทเกดขนบอยครง หากขอมลทรบเขามาม ขนาดใหญกวาเนอททสำารองไว ขอมลทเกนจะถกเกบในตำาแหนงถดไปซงอาจเปน
ตำาแหนงทใชจดเกบคำาสงอนของโปรแกรม ( เรยกลกษณะเชนนวา Buffer Overrun) จงเกดความผดพลาดในการทำางานของโปรแกรมขน เชน โปรแกรม DNS (Domain
Name Service) ถกออกแบบมาใหสามารถรบคำาสง query ได 1,000 ตวอกษร และ สมมตวาโปรแกรมรบคำาสง query ทมขนาด 1,200 ตวอกษรเขามา แตโปรแกรมไม
ไดถกกำาหนดใหตรวจสอบขนาดของ query กอน ดงนน 200 ตวอกษรทเกนมา จะ ถกเกบในตำาแหนงถดไปตอจากตำาแหนงทจองไวในหนวยความจำา ซงตำาแหนงถดไป
อาจเปนขอมล หรอคำาสงอนของโปรแกรม จงทำาใหโปรแกรมทำางานผดพลาด ชองโหวสวนมากมาจากปญหาเหมอนๆ กนคอการไมระวงในการนำาขอมล
เขาสบฟเฟอร ทำาใหขอมลทวางลงไปยงบฟเฟอรมขนาดเกนทเผอไว ทำาให แฮกเกอรเขามาวางโคดเอาไว และควบคมใหมการรนโคดนนๆ ได เพยงแค
โปรแกรมเมอรไมยอมตรวจสอบกอนวาขอมลทรบเขามาขนาดเกนบฟเฟอรท เตรยมไวหรอไม กสรางชองโหวนได โดยหากเปนการนำาขอมลเขาบฟเฟอรทเปน
stack (ตวแปรทประกาศพนทแนนอนในฟงกชน) กจะเรยกวา stack buffer overflow
ตวอยางชองโหวของระบบสารสนเทศ : Software Bugs
โดยปกตแลว โครงสรางของ stack จะประกอบดวยตวแปรของแตละฟงกชน พรอมกบจดยอนกลบ (return address) ซงเปนจดของโคดทเรยกฟงกชนเขามา เพอ
ใหโปรแกรมสามารถยอนกลบไปเมอออกจากฟงกชนได เมอแฮกเกอรสามารถสราง ขอมลทเขยนทบ return address นได กจะกำาหนดไดวาตองการใชโปรแกรมไปรนโคด
สวนใดกได การทำางานโดยปกต ขอมลอนพตจะถกวางเขาไปใน
บฟเฟอร โดยไมรบกวนตวแปรรอบขาง แต เนองจากไมมการตรวจสอบใหด ผเรยกใชฟงกชน
(ทอาจจะเรยกผานเครอขายจากระยะไกล) สามารถ วางขอมลอยางจงใจ ใหขอมลลนเกนบฟเฟอรท
เตรยมไว แลวเปลยน return address ไป ในกรณตวอยางคอเปลยนคาใหกลบไปรนในขอมลบฟเฟอร
ทเพงใสใหเอง ทำาใหสามารถกำาหนดใหโปรแกรมรนอะไรกไดตามทแฮกเกอรตองการ
ปญหา buffer overflow นถกใชในเวรมตวแรกของ โลก คอ Morris Worm ทอาศยฟงกชน gets ซง
ไมมการกำาหนดขนาดบฟเฟอร และมปญหา stack buffer overflow เรอยมา ทำาใหเวรมแพรกระจายไปอยางรวดเรว
ตวอยาง Software Bugs
2. Boundary Condition คอ ขอบเขตคาของตวแปร หากโปรแกรมเมอร ไมตรวจสอบขอบเขตคาของตวแปร อาจสงผลลพธทผดพลาดได เชน
กำาหนดใหตวแปร year ม 2 ตำาแหนง มคาตงแต 99 – 00 ดงนน ถาเปนปค.ศ. 2000 คาทถกนำาไปเกบจะเปน 00 ซงไมสามารถทราบไดวาเปนป ค.ศ. 2000 จงทำาใหเกดการทำางานผดพลาดได
3. Calculation Error คอ การทซอฟตแวรทำางานผดพลาดในฟงกช นการคำานวณ ถาเปนซอฟตแวรทตองการความละเอยด ถกตอง
แมนยำาสง ความผดพลาดแมเพยงเลกนอยกสามารถสรางความเสยหายทรนแรงได
ตวอยางชองโหวของระบบสารสนเทศ : ระบบปฏบตการไมไดรบการซอมเสรมอยางสมำาเสมอ
ผพฒนาแอปพลเคชน และระบบปฏบตการตาง ๆ จะพฒนา โปรแกรมซอมเสรม (Patch, Hot Fix, Service Pack) หรอชดปะผ ซงทำา
หนาทซอมแซมขอบกพรองทนททพบ ซงอาจคนพบโดยผใชทประสบ ปญหาแบบเดยวกนจำานวนมากแจงเขามายงผพฒนาซอฟตแวร หรอผ
พฒนาเองคนพบเองในภายหลงทซอฟตแวรออกจำาหนายแลว ชดซอม เสรมน ลกคาสามารถดาวนโหลดฟรจากเวบไซตของผพฒนา
ถาผใชแอปพลเคชนไมตดตามขาวสาร และไมซอมเสรม อาจทำาใหระบบปฏบตการมชองโหวและขอผดพลาดสะสมเรอยไปจนกลาย
เปนจดออนทเสยงตอการโจมตไดมากทสด โดยเฉพาะระบบปฏบตการเครอขายจะเสยงตอการโจมตของหนอนอนเตอรเนต
ตวอยางชองโหวของระบบสารสนเทศ : ไมมการอพเดทโปรแกรมAnti-Virus อยางสมำาเสมอ
การอพเดทโปรแกรม Anti-Virus เปนการเพมขอมลรายละเอยด คณลกษณะของไวรสชนดใหม ๆ ในฐานขอมลของโปรแกรม ซงจะชวย
ใหโปรแกรมสามารถตรวจจบไวรสชนดใหมได หากไมมการอบเดท จะสง ผลใหโปรแกรมไมรจกไวรสชนดใหมได
ตวอยางชองโหวของระบบสารสนเทศ : การปรบแตงคณสมบตของระบบผดพลาด
กรณทผดแลระบบตองปรบแตงคาคณสมบตตางๆ ของระบบ ดวยตนเอง จะเสยงตอการกำาหนดคาผดพลาดไดสงกวาการทระบบ
กำาหนดใหเองโดยอตโนมต จนอาจทำาใหระบบเกดชองโหวขนได
ภยคกคาม (Threat) ภยคกคาม 2 กลม ไดแก ภยคกคามจากธรรมชาต เปนภยคกคาม
ทเกดขนโดยไมไดเจตนา และภยคกคามทเกดขนโดยเจตนาภยคกคามจากธรรมชาต
ภยธรรมชาตทกชนด เชน ธรรมชาต นำาทวม พายถลม แผนดน ไหว ภเขาไฟระเบด สนาม หรอภยธรรมชาตทมาจากนำามอของมนษย เชน
ไฟไหม การโจมตโดยผกอการราย วนาศกรรม การกอการจลาจลสามารถสรางความเสยหายใหกบระบบสารสนเทศไดเชนกน
ภยคกคามทเกดขนโดยเจตนา“ ผคกคาม (Threat Agent) ทำาใหเกดภยคกคามโดยอาศยประโยชน
(Exploit) จากชองโหว (Vulnerability) นำาไปส (Lead to) ความเสยงตอความ มนคงปลอดภยทสามารถสรางความเสยหาย (Damage) ตอทรพยสน หรอ
ทรพยากรขององคกร เชนสารสนเทศถกขโมย ถกเปลยนแปลง ถกทำาลาย องคกรตองสามารถหาวธการรบมอ (Countermeasure) กบปญหา
ภยคกคามโดยใชเครองมอปองกน (Safeguard) ทงทางดานซอฟตแวร ฮารดแวร กายภาพ และกฎหมาย ทมผลโดยตรงตอผคกคาม
ภยคกคามจากภยธรรมชาต และแนวทางการปองกน
องคกรตองมแผนรบมอกบภยพบตทางธรรมชาตเพอปองกนความเสยหายซงอาจสงผลใหระบบคอมพวเตอรในศนยคอมพวเตอรขององคกรใชงานไมไดทงหมดหรอบางสวน
วธการในการปองกนคอจดทำา Disaster Recover Site (DR Site) หรอไซตสำารอง ซงไมใชมเฉพาะเทปแบคอพเทานนทพอเกดเหตขนมา ตอง
restore ขอมลจากเทปลงเซรฟเวอร แต DR Site คอ สำานกงานสำารอง ท ประกอบดวย พนทสำานกงาน อปกรณคอมพวเตอร ระบบคอมพวเตอร
เซรฟเวอร เนตเวรก อนเทอรเนต โทรศพท อปกรณฮารดแวร และ ซอฟตแวร ทสามารถประมวลผลตอเนองไดอยางทนท
การจดตง DR Site ตองใชเงนลงทนไมนอย แตองคกรจำาเปนตองม
ทำาไมตองทำาDR Site ปองกนความเสยหายตอธรกจ ปองกนการเสยหายเนองจากขอมลสญหาย ปองกนการเสยหายจากซอรฟแวร ปองกนความผดพลาดจากผใชงาน
ภยคกคามจากภยธรรมชาต และแนวทางการปองกน
ประเภทของ DR Site สามารถแบงออกเปน 5 ระดบ คอ 1. Hot Site หมายถง ระบบสำารองทจะสามารถทำางานไดทนท ทระบบหลกมปญหา ม
ลกษณะเชนเดยวกบ Mirror Site ซงหมายถงวาเรามระบบสำารองททำางานเหมอนระบบจรงตดตงอยอกสถานทหนงมการเชอมเครอขายถงกนและปรบปรงขอมลแบบเรยลไทม 2. Warm Site หมายถง ระบบสำารองทสามารถทำางานไดกตอเมอ มการตดตงขอมลท
อพเดททไดจากการทำาสำารองขอมล ตองดำาเนนการตดตง อพเดทฐานขอมล หรอระบบ งานบาง ถงจะใชงานได ปกตกประมาณ 1 วน
3. Cold Site หมายถง การจดเตรยมสถานท และอปกรณเบองตนในระดบหนง ถาม ปญหาจำาเปนจะตองจดซอระบบคอมพวเตอรเขามา และทำาการตดตงใหมทงหมดไซตแบบ
น 3-5 วน จงจะสามารถใชงานได 4. Standby Site จดการเฉพาะสถานท แตยงมไดดำาเนนการใดๆ 5. Nothingไมมการจดเตรยมระบบสำารองใดๆ
ภยคกคามจากภยธรรมชาต และแนวทางการปองกน
ประเภทของภยคกคาม ตวอยางภยคกคาม1. ความผดพลาดทเกดจากบคคล
(Human Error/Failure) อบตเหต ความเขาใจผดของ
พนกงาน2. ภยรายตอทรพยสนทางปญญา
(Compromises to Intellectual Property)การละเมดลขสทธ
3. การจารกรรมหรอการรกลำา(Espionage or Trespass)
การเขาถงหรอการรวบรวมขอมลโดยไมไดรบอนญาต
4. การกรรโชกสารสนเทศ(Information Extortion)
การ Blackmail การเผยแพรสารสนเทศทเปนความลบ
5. การทำาลายหรอทำาใหเสยหาย(Sabotage or Vandalism)
การทำาลายระบบบรการของคอมพวเตอรหรอสารสนเทศ
6. การลกขโมย (Theft) การลกขโมยหรอการโจรกรรมอปกรณคอมพวเตอรหรอสารสนเทศ หรอซอฟตแวร
ภยคกคามทเกดขนโดยเจตนา
ประเภทของภยคกคาม ตวอยางภยคกคาม7. ซอฟตแวรโจมต (Software Attack) ไวรส, เวรม, มาโคร, Dos
8. คณธรรมของการบรการทเบยงเบนไป(Deviation in Quality of Service)
ISP, WAN, Service, Provider
9. ความผดพลาดทางฮารดแวร(Technical Hardware Failures/Errors)
อบตเหต ความเขาใจผดของพนกงาน
10. ความผดพลาดทางซอฟตแวร(Technical Software Failures/Errors)
การละเมดลขสทธ
11. ความลาสมยของเทคโนโลย(Technological Obsolescence)
การเขาถงหรอการรวบรวมขอมลโดยไมไดรบอนญาต
ภยคกคามทเกดขนโดยเจตนา ( …ตอ )
ภยคกคามทเกดขนโดยเจตนา
1. ความผดพลาดทเกดจากบคคล (Human Error/Failure)
เปนความผดพลาดทเกดจากพนกงานหรอบคคลทไดรบ อนญาตใหเขาถงสารสนเทศขององคกรได เกดความผดพลาดโดย
ไมไดตงใจเพราะไมมประสบการณในการใชงานมากอน ขาดการ อบรมทเพยงพอ หรอคาดเดาการตงคาบางอยางดวยตนเอง จงม
ความเสยงทจะเกดความผดพลาดสง อาจทำาใหสารสนเทศถกเปด เผย ถกปลอมแปลง ถกดกจบ ถกลบทำาลาย ดงนน ความประมาท
และความรเรองความมนคงปลอดภยของสารสนเทศไมเพยงพอสามารถกลายเปนชองโหวสำาคญททำาใหสารสนเทศขององคกรถกโจมตได
2. ภยรายตอทรพยสนทางปญญา (Compromises to Intellectual Property)
ทรพยสนทางปญญา คอ ผลงานทเกดจากการประดษฐ คดคนหรอสรางสรรคของมนษย ซงเนนทผลผลตของสตปญญา
และความชำานาญ โดยไมคำานงถงชนดของการสรางสรรค หรอวธใน การแสดงออก ทรพยสนทางปญญาอาจแสดงออกในรปแบบของสง
ทจบตองได เชน สนคาตาง ๆ หรอในรปของสงทจบตองไมได เชน บรการ แนวคดของการดำาเนนธรกจ กรรมวธการผลตทาง
อตสาหกรรม โปรแกรมคอมพวเตอร ทฤษฎ นาฏกรรม ศลปกรรม วรรณกรรม การออกแบบลวดลาย เปนตน
ทรพยสนทางปญญาเปนสงทกฎหมายไดกำาหนดออกมาเพอคมครองมใหถกลวงละเมดลขสทธอนเปนการขโมยความคดหรอผล
งานทผนนไดทำาการคดประดษฐขนมา โดยบางชนงานกวาจะคดคน ขนมาไดตองอาศยระยะเวลาในการทำาพอสมควร ทางกฎหมายจงได
กำาหนดเปนพระราชบญญตขนเพอคมครองมใหผประกอบกจการ หรอธรกจไดรบความเสยหาย หรอถกขโมยความคดไปใช แตทงน
ทางผทเปนเจาของทรพยสนทางปญญากจำาเปนตองมความยตธรรมตอผบรโภคดวยเชนกน
ภยรายตอทรพยสนทางปญญา (ตอ...)
ทรพยสนทางปญญา แบงออกเปน 2 ประเภทหลกคอ1. ลขสทธ เรยกวาเปนสทธแตเพยงผเดยวของผททำาการประดษฐ
หรอสรางสรรคผลงานใดๆ ออกมา เชน งานภาพยนตร, สอบนทกเสยง, งานวรรณกรรม, งานนาฎกรรม, งานศลปกรรม งานดนตร
กรรม โสตทศนวสด หรองานแพรภาพและเสยง เปนตน2. ทรพยสนทางปญญาทางอตสาหกรรม เปนความคดในการ
ประดษฐสรางสรรคเกยวกบสนคาในดานอตสาหกรรม ไมวาจะเปนดาน การปรบปรงหรอทำาการคดคนขนใหม ทงการออกแบบผลตภณฑ
หรอเครองหมายทางการคา ไดแก• สทธบตร ยงแบงยอย ไดเปน 3 ประเภท ไดแก สทธบตรการ
ประดษฐ สทธบตรการออกแบบผลตภณฑ และอนสทธบตร• เครองหมายการคา, • ความลบทางการคา, • แบบผงภมวงจรรวม
ภยรายตอทรพยสนทางปญญา (ตอ...)
ขอดของการคมครองทรพยสนทางปญญา– ชวยใหเกดความเปนธรรมแกผคด หากผประกอบการรายใดตองการนำาไปใชตองมการขออนญาตและจายคาผลงานใหแกผคดคน– เกดการบนทกและนำาขนทะเบยนในระบบเพอเปนหลกฐานยนยนวาใครคอ
เจาของผลงานตวจรง ทำาใหไมถกขโมยความคดไปอยางงายดาย– ชวยใหเจาของผลงานมกำาลงใจในการผลตผลงานดๆ ออกมาอก– ชวยรกษาสทธใหแกเจาของผลงานถงแมวาจะถกนำาผลงานไปใชยงตางประเทศ
ขอเสยของการคมครองทรพยสนทางปญญา– ดวยกำาลงซอของแตละคนและแตละประเทศแตกตางกนอยางมาก หาก
จำาเปนตองซอทรพยสนทางปญญาจากตางประเทศกทำาใหมราคาทแพงขนเพราะตองบวกกำาไรและตนทนอก– การตงราคาอาจเกดความไมเปนธรรม สงผลตอการซอแบบถกลขสทธซง
มราคาแพง ทำาใหผคนจำาตองอาศยซอแบบละเมดลขสทธ
ภยรายตอทรพยสนทางปญญา (ตอ...)
ลขสทธซอฟตแวร การใหสทธในความเปนเจาของทรพยสนทางปญญา คอการ
ใหความคมครองทรพยสนทเกดจากการสรางสรรดวยสตปญญา ของคน ทนทททรพยสนทางปญญาไดรบความคมครอง และเกดม
ผนำาไปใชโดยไมไดรบอนญาตจะถอวาเปนการละเมดความคมครอง นน การละเมดความคมครองทรพยสนทางปญญาทกลาวถงมาก
ทสดคอ การละเมดลขสทธซอฟตแวร (Software Piracy)
ภยรายตอทรพยสนทางปญญา (ตอ...)
ตามพระราชบญญตลขสทธ พ.ศ.2537 " ลขสทธ หมายความ วา สทธแตผเดยวทจะทำาการใด ๆ ตามพระราชบญญตนเกยวกบงาน
ทผสรางสรรคไดทำาขน" ดงนนการใชซอฟตแวรทผอนสรางขน จำาเปนตองไดรบการอนญาตจากผสราง โดยใบอนญาต (license) ซง
เปนสญญาระหวางผสรางกบผใชซอฟตแวร ใบอนญาตเปนการให สทธผใชในการใชซอฟตแวรไดโดยไมถอเปนการละเมดลขสทธ ซงผล
กคอใบอนญาตทำาหนาทเหมอนคำาสญญาวาผสรางจะไมฟองรองผใชในการใชซอฟตแวรซงถอเปนสทธของผสรางแตเพยงผเดยว
ใบอนญาตนนสามารถแบงออกไดเปนหลายประเภท โดย Free Software Foundation ไดแบงใบอนญาตดวยคำาถาม 3 คำาถามคอ
1. ใบอนญาตนนมคณสมบตเปนใบอนญาตซอฟตแวรเสร (free software license) หรอไม
2. ใบอนญาตนนเปนใบอนญาตแบบ copyleft หรอไม3. ใบอนญาตนนเขากนไดกบใบอนญาต GPL หรอไม
ภยรายตอทรพยสนทางปญญา (ตอ...)
Copyleft some right reserved: กอปปเลฟต สงวนลขสทธ ไม ทงหมด
กอปปเลฟตคออะไร
กอปปเลฟต (Copyleft) หมายถงกลมของสญญาอนญาต ของสงตาง ๆ รวมทง ซอฟตแวร เอกสาร เพลง งานศลปะ โดย
อางองกฎหมายลขสทธเปนแนวเปรยบเทยบ ในการจำากดสทธในการ คดลอกงานและเผยแพรงาน โดยสญญาอนญาตกลม copyleft มอบ
เสรภาพใหทกคนสามารถคดลอก ดดแปลง ปรบปรง และจำาหนาย งานได โดยมเงอนไขวาตองยงคงรกษาเสรภาพเดยวกนนในงานท
ดดแปลงแกไขมาจากงานดงกลาว
กอปปเลฟตคออะไร (ตอ...)
ลกษณะพเศษของ copyleft คอการทเจาของลขสทธยอมสละ สทธบางอยาง (ทไดรบการคมครอง) ภายใตกฎหมายลขสทธแตไม
ทงหมด แทนทเจาของลขสทธจะปลอยงานของเขาออกมาภายใน พนทสาธารณะโดยสมบรณ ( นนคอไมสงวนสทธใด ๆ) copyleft จะให
เจาของสามารถกำาหนดขอจำากดหรอเงอนไขทางดานลขสทธบาง ประการ สำาหรบผทตองการมสวนรวมในงานอนมลขสทธน โดยถาผ
นนไมปฏบตตามเงอนไขนแลว จะถอวาเปนการละเมดลขสทธ เงอนไข เพอทจะไมเปนการละเมดลขสทธภายใต copyleft น ไดแก การทผท
ใชสอยผลงานจะตองรกษาสทธภายใต copyleft นไวดงเดมอยาง ถาวร ดวยเหตน สญญาอนญาต copyleft จงถกเรยกวาเปน สญญา
อนญาตตางตอบแทน (reciprocal licenses)
สญลกษณของ copyleft เปนตวอกษร c หนหลงกลบ (ɔ) โดยไมไดมความหมายอะไรเปนพเศษนอกจากการตรงกนขามกบ
copyright โดยลอกบอกความหมายหนงของคำาวา right ทแปลวาขวา
ในภาษาไทย ยงไมมคำาทเปนทยอมรบโดยทวไปสำาหรบcopyleft สมเกยรต ตงนโม นกวชาการมหาวทยาลยเทยงคน ใชวา"ลขซาย" คงการลอ ขวา- ซาย ไว สวน สมชาย ปรชาศลปกล
อาจารยนตศาสตร มหาวทยาลยเชยงใหม ใชคำาวา "นรสทธ" หมาย ถง ระบบทไมมหรอไมใหสทธคมครอง
กอปปเลฟตคออะไร (ตอ...)
ตวอกษร c หนหลงกลบ สญลกษณของcopyleft
แนวคดของ copyleft เรมจาก รชารด สตอลแมน ไดพฒนา โปรแกรมคอมพวเตอรตวแปลคำาสงภาษา Lisp ขนมา ตอมาบรษทท
ชอวา Symbolics ไดขอใชงานตวแปลคำาสงน สตอลแมนตกลง อนญาตใหบรษทดงกลาวใชงาน โดยมอบเปนสาธารณสมบต
(public domain) คอไมสงวนสทธใด ๆ เลย ในเวลาตอมา บรษทSymbolics ไดแกไขปรบปรงความสามารถของตวแปลคำาสงภาษาLisp ใหดขน แตเมอสตอลแมนแสดงความตองการทจะเขาถงสวนท
แกไขปรบปรงเพมเตมเหลานน กไดรบการปฏเสธจากบรษท
ในป ค.ศ. 1984 สตอลแมนจงไดเรมแผนการตอตานและกำาจดพฤตกรรมและวฒนธรรมของการหวงแหนซอฟตแวร
ไว (proprietary software) เหลาน โดยเขาไดเรยกพฤตกรรมเหลาน วาการกกตนซอฟตแวร (software hoarding)
กอปปเลฟตคออะไร (ตอ...)
เนองจากสตอลแมนเหนวาในระยะสน คงเปนไปไมไดทจะกำาจด กฎหมายลขสทธในปจจบน รวมถงสงทเขามองวาเปนสงผดปกตให
หมดไปอยางถาวร จงเลอกทจะใชกลไกของกฎหมายทมอยมาเปน เครองมอ เขาไดสรางสญญาอนญาตใหใชสทธในแบบของเขาขนมา
เอง โดยสญญาอนญาตทเขาสรางขนมาถอเปนสญญาอนญาตแบบcopyleft ตวแรก คอ Emacs General Public License ซงตอมา
สญญาอนญาตนกไดรบการพฒนาปรบปรงจนกระทงกลายเปนGNU General Public License (GPL) ซงเปนสญญาอนญาตแบบซอฟตแวรเสรทไดรบความนยมมากทสดอนหนง
refer: http://th.wikipedia.org/wiki/กอปปเลฟต
กอปปเลฟตคออะไร (ตอ...)
GNU ยอมาจากคำาวา GNU is Not Unix การตงชอแบบนมนเปน วฒธรรมอยางหนงของ open source
สญญาอนญาตสาธารณะทวไปของกน หรอ กนจพแอล หรอ จ พแอล (GNU General Public License, GNU GPL, GPL)
เปนสญญาอนญาตสำาหรบซอฟตแวรเสร ทไดรบความนยมสง ทสดในปจจบน ฉบบแรกสดเขยนโดย รชารด สตอลลแมน ในป พ.ศ.
2534 (ค.ศ. 1991). สญญาอนญาตจพแอลในปจจบนเปนรนท 3
ลกษณะของสญญาอนญาตจพแอลมลกษณะ "เสร" (free) ทหมายถงเสรภาพสำาหรบผใชซอฟตแวรสประการดงน• เสรภาพในการใชงานซอฟตแวรตามความตองการ• เสรภาพในการศกษาการทำางานของโปรแกรมผานซอรสโคด และ
นำาไปใชตามความตองการ การเขาถงซอรสโคดจำาเปนสำาหรบ เสรภาพขอน (โอเพนซอรซ)
• เสรภาพทจะจำาหนายจายแจกซอฟตแวรนนตอไป• เสรภาพในการปรบปรง ดดแปลงแกไขเพมเตม และเปดใหบคคล
ทวไปใชและพฒนาตอไป การเขาถงซอรสโคดจำาเปนสำาหรบเสรภาพขอน
จากลกษณะของสญญาอนญาตจพแอลมลกษณะ "เสร" (free) ทหมายถงเสรภาพสำาหรบผใชซอฟตแวรสประการนน มเพยงเงอนไข
วา การนำาไปใชหรอนำาไปพฒนาตอ จำาเปนตองใชสญญาอนญาตเดยวกนสญญาอนญาตจพแอลเปนสญญาอนญาตทมการใชมากทสดใน
ซอฟตแวรเสรและซอฟตแวรโอเพนซอรซ ตวอยางซอฟตแวรทใชสญญา อนญาตจพแอล ไดแก PHP, OpenOffice, MySQL
สญญาอนญาตสาธารณะทวไปของกน (ตอ...)
แมวาเราจะสามารถขายหรอแจกจายซอฟตแวรเสรไดโดยไม ผดเงอนไข แตซอฟตแวรเสรกยงคงเปนซอฟตแวรทมลขสทธ มขอ
บงคบตามสญญาเชนเดยวกบซอฟตแวรทว ๆ ไป ซอฟตแวรเสรจงม รปแบบของสญญาอนญาตหลายรปแบบ ซงมเงอนไขตาง ๆ กนไป
อยางไรกตามกยงมจดยนรวมกนคอเสรภาพสประการขางตนซอฟตแวรเสรมความแตกตางกบฟรแวร (freeware) กลาวคอ
ฟรแวรจะไมอนญาตใหเผยแพรรหสตนฉบบเนองจากเปนความลบทางการคา
บทสรปเรองทรพยสนทางปญญา ซอฟตแวรคอมพวเตอร ถอเปนงานวรรณกรรม คอ งานนพนธททำา
ขน ไดรบการคมครองแบบลขสทธ เทานน ไมสามารถนำาไปขอจดสทธบตร
( ผลงานประเภททสามารถจดสทธบตร (Patent) ได คอ สงประดษฐ และ ออกแบบผลตภณฑ เชน การออกแบบส ลวดลาย รปราง ของสงของเครอง
ใช ทมคณคาในเชงเศรษฐกจ)
ในกรณทไมไดทำาสญญาระหวางกน เมอลกจางทำาการเขยน ซอฟตแวรคอมพวเตอรขน ซอฟตแวรนนยอมเปนลขสทธของลกจาง แต
บรษทสามารถนำาซอฟตแวรออกเผยแพร หรอจำาหนายได ตามวตถประสงคของการจางงานนน
หากเจาของขายลขสทธใหผอนแลว กยงสามารถแสดงตนวาเปนผ สรางสรรคผลงานลขสทธนนได
เพอปองกนไมใหลกจางของบรษทนำาซอฟตแวรหรอผลงานลขสทธ
ทคดขนขณะทเปนลกจางของเราออกไปหาผลประโยชน บรษทจะตองให ลกจางเซนสญญายกลขสทธในผลงานทกอยาง ททำาขนขณะเปนลกจางของ
เราใหแกบรษท
- หากบรษทคแขงสรางซอฟตแวรทมวธการทำางานเหมอนกบ ซอฟตแวรทบรษทเราสรางขนมากอน บรษำทคแขงไมไดละเมดลขสทธของ
เรา- เมอพฒนาซอฟตแวรหรอเวบไซตเสรจ จะไดรบการคมครองทนท
โดยไมตองไปทำาการจดทะเบยนกบกรมทรพยสนทางปญญา แตเราสามารถ ไปจดแจงลขสทธไวได เพอเปนการแจงใหผอนรบทราบ
- การดดแปลงซอฟตแวร โดยไดรบอนญาตถอวาไมเปนการละเมดลขสทธ
- หากมผมาทำาการดดแปลง คดลอกซอฟตแวรของบรษท ทางบรษทสามารถเอาผดกบบคคลเหลานนไดโดยการดำาเนนคดตามกฎหมายได
ทนท แตบางครง อาจเจรจายอมความได หรอเรยกเกบคาลขสทธกได- บทลงโทษเกยวกบการละเมดลขสทธ คอ การละเมดลขสทธ โดยตรง เชน ทำาซำา ดดแปลง : มโทษปรบ 20,000 - 200,000 บาท หากทำา
เพอการคา มโทษจำาคก 6 เดอน ถง 4 ป หรอปรบ 100,000 - 800,000 บาท หรอทงจำาทงปรบ
- การละเมดลขสทธโดยออม (สนบสนนใหเกดการละเมด) : มโทษ ปรบ 10,000 - 100,000 บาท หากทำาเพอการคา มโทษจำาคก 3 เดอน ถง 2 ป
หรอปรบ 50,000 - 400,000 บาท หรอทงจำาทงปรบ
บทสรปเรองทรพยสนทางปญญา (ตอ...)
- หากเปนบคคลธรรมดา ผลงานลขสทธจะไดรบการคมครอง ตลอดชวตผสรางสรรค + 50 ป หลงจากเสยชวต
- หากผเปนเจาของลขสทธเสยชวตลงสทธในการครอบครองลขสทธนนจะตกแกทายาท( ในระยะเวลาไมเกน 50 ป)
- งานทไมมใครเปนเจาของลขสทธเพราะอายแหงการ คมครองสนสดลง หากนำามารวบรวม ผทำาการรวบรวมสามารถเปน
เจาของลขสทธนนไดขาวประจำาวนและขอเทจจรงตางๆทมลกษณะเปนเพยงขาวสารเมอ
นำาไปเผยแพรตอ ถอวาไมเปนการละเมดลขสทธ- ถามผวาจางใหพฒนาซอฟตแวร โดยมสญญาวาจาง ผล
ลงานทไดเปนของผวาจาง ผถกวาจางนำาไปขายตอใหแกองคกรอนไมได
- การตชมหรอวจารณผลงานทมลขสทธ ถอวาไมละเมดลขสทธ
- เมอซอซอฟตแวร หากทำาซำา เพอปองกนการสญหายหรอเสยหาย(Back up) ไมถอวาเปนการละเมดลขสทธ
บทสรปเรองทรพยสนทางปญญา (ตอ...)
การนำาซอฟตแวรทมลขสทธมาใช องคกรตองเสยคาลขสทธให แกผเปนเจาของซอฟตแวรนนตามจำานวนเครองทใชซอฟตแวร จงจะ
ถอวาเปนการนำามาใชทถกตองตามกฎหมาย หากมการคดลอกโปรแกรมไปใชทเครองอนโดยไมจายคาลขสทธจะถอวาเปนการละเมดลขสทธโดย
เจตนา ซงผผลตซอฟตแวรตางมกลไกปองกนการละเมดลขสทธใน ลกษณะตาง ๆ ทงทางนโยบายและทางเทคนค เชน การฝงโคดตรวจสอบ
การละเมด ใหผใชพมพรหสลขสทธในระหวางการตดตง และการลง ทะเบยนออนไลน เพอใหใชซอฟตแวรทตดตงได
บทสรปเรองทรพยสนทางปญญา (ตอ...)
3. การจารกรรมหรอการรกลำา (Espionage or Trespass)
การจารกรรม (Espionage) เปนการกระทำาซงใชอปกรณ อเลกทรอนกส (ATM Skimmer) หรอตวบคคลในการเขาถงสารสนเทศ
โดยไมไดรบอนญาต อยางไรกตาม ผจารกรรมอาจรวบรวมสารสนเทศ ไปใชประโยชน เชน การทำาวจยทางการตลาดผานทางเวบไซต นำาขอมล
มาวเคราะหทางวชาการ แตกถอวาการกระทำาดงกลาวไมมจรยธรรม และตอมาไดมการกำาหนดใหเปนการกระทำาทผดกฎหมาย
อกกรณหนงของการจารกรรมขอมลเพอใหไดสารสนเทศของผ อนมา คอ “Industrial Espionage” เปนการใชเทคนคทถกกฎหมายแต
กำากงกบความไมชอบธรรม เพอรวบรวมสารสนเทศสำาคญ ความลบ ทางการคาของคแขง เพอนำามาหาผลกระโยชน แยงชงความไดเปรยบ
ทางการผลต เทคโนโลยทใชในการจารกรรมสารสนเทศอาจเปนไปไดทง เทคโนโลยชนสง หรออาจไมตองใชเทคโนโลยใด ๆ เลยกได เชน
“Shoulder Surfing” คอแอบดขอมลสวนตวของผอนขณะทำาธรกรรม ผานต ATM โดยการแอบมองดานหลง หรอมองจากระยะไกล และยง
รวมถงการแอบมองขอมลจากเครองคอมพวเตอรของผอน แอบฟงการสนทนาทางโทรศพทดวย
การจารกรรม (Espionage)
การรกลำา (Trespass) หมายถงการกระทำาทผไมประสงคดสามารถเขาสระบบเพอรวบรวมสารสนเทศทตองการโดยไมไดรบ
อนญาต การควบคมการกระทำาในลกษณะดงกลาว ทำาไดโดยการ จำากดสทธและพสจนตวตนทกครงวาเปนบคคลทไดรบอนญาตจรง
(Authentication)
การปองกนภยคกคามประเภทการจารกรรม นอกจากขอ บงคบตามกฎหมายแลว นโยบายและกฎระเบยบทกำาหนดขนใน องคกรกสามารถชวยได การฝกอบรมตนเองในการอยรวมกบผอน
เชน ใหละสายตาจากเครองคอมพวเตอรในขณะทเพอนกำาลงใสรหสผาน
การรกลำา (Trespass)
4. การกรรโชกสารสนเทศ (Information Extortion)
การกรรโชกทรพย คอ การทมผขโมยสารสนเทศสำาคญ และ อาจเปนสารสนเทศทเปนความลบดวยจากเครองคอมพวเตอร และ
ตองการเงนเปนคาตอบแทนแลกกบการคนสารสนเทศนน หรอแลก กบการไมเปดเผยสารสนเทศดงกลาว ดงนน การกรรโชกทรพย
“สามารถเรยกอกอยางหนงวา Blackmail” เชน อาชญากรไดขโมย ขอมลหมายเลขบตรเครดตของลกคาเวบไซตขายหนงสอแหงหนง
จากนนอาชญากรตดตอมายงเจาของเวบไซตเพอขอใหจายเงนจำานวนมหาศาลแลกกบการคนขอมลหมายเลขบตรเครดตของลกคา
5. การทำาลาย หรอทำาใหเสยหาย (Sabotage or Vandalism) เปนการทำาลายหรอกอใหเกดความเสยหายตอระบบคอมพวเตอร เวบไซต
ภาพลกษณ ธรกจ และทรพยสนขององคกร จากผไมประสงคด ซงอาจเปน พนกงานภายในองคกรเองดวย ปจจบน องคกรนยมสรางเวบไซตเพอใหลกคา
หรอคคาเขาถงองคกรไดสะดวกขน แตเวบไซตกกลายเปนชองทางทงายตอการเขา โจมตของผไมประสงคดผานเครอขายอนเตอรเนต เชน การบกจโจมเพอทำาลาย
ระบบการใหบรการ การ forward mails การทำาลายเวบไซต การขดเขยนทำาลาย หนาเวบไซต (Web Defacement)
การทำาลาย หรอทำาใหเสยหาย (Sabotage or Vandalism)
การทำาลาย หรอทำาใหเสยหาย (Sabotage or Vandalism) …ตอ .
ภยคกคามประเภทนอกรปแบบหนง เรยกวา “ ปฏบตการHacktivist หรอ Cyberactivist” เปนปฏบตการเพอแทรกแซง หรอสราง
ความสบสนใหกบกระบวนการทำางานขององคกร เพอคดคานการ ดำาเนนงาน คดคานนโยบายและกจกรรมขององคกร หรอหนวยงาน
ของภาครฐเพอแสดงพลงประทวง และตอตานนโยบายของรฐบาล
การกอการรายบนโลกไซเบอร (Cyberterrorism) เปนภยคกคาม ประเภทนอกรปแบบหนง ซงเปนการกอการรายผานระบบเครอขาย โดย
ตวแทนพเศษจาก FBI ไดนยาม Cyberterrorism “ไววา เปนการโจมต สารสนเทศ ระบบคอมพวเตอร โปรแกรมคอมพวเตอร แบบไตรตรองไว
” กอน ซง Cyberterrorism กอใหเกดรนแรงเพราะมงทำาลายเปาหมายโดย กลมบคคลทไมเปดเผยนามทมเหตจงใจจากประเดนการเมอง
การกอการรายบนโลกไซเบอร มหลายรปแบบ ไมวาจะเปนการขด เขยนทำาลายหนาเวบซงเปนการกระทำาทไมมความรนแรง การเจาะระบบ
เครอขายของหนวยงานเพอคนหาขาวกรอง ซงจดเปนการกระทำาทสงผล รายแรงตอประชาชน และความมนคง
6. การลกขโมย (Theft)
การลกขโมย หมายความรวมถง การลกขโมยสารสนเทศ ซอฟตแวร ฮารดแวร และอปกรณตาง ๆ ขององคกร
ถาเปนการลกขโมยทรพยสนทจบตองได สามารถปองกนไดโดย ตดตงสญญาณเตอนภยเมอมผบกรก การลอกอปกรณดวยกญแจ
การลอกหองเกบอกรณ การออกระเบยบปฏบต การตดตามหาผรายทำาไดไมยากนก
สำาหรบทรพยสนทจบตองไมได เชนสารสนเทศ โคดโปรแกรม ตองอาศยความรวมมอและวธการปองกนทางเทคนควธทซบซอน การ
ตดตามหาผรายทำาไดยาก จงเปนเหตผลททำาใหเขาใจถงความจำาเปนท องคกรตองกำาหนดมาตรการ และจดหาเครองมอในการรกษาความ
มนคงปลอดภยของระบบสารสนเทศ
เปนการกออาชญากรรมทางคอมพวเตอรทกระทำาเพอขโมยโปรแกรมรวมถงการคดลอกโปรแกรมโดยผดกฎหมาย โดยเฉพาะการทำาซำาหรอการละเมดลขสทธซงเปรยบไดกบการปลนทรพยสนอนมคาของผอนและยากทจะจบตวไดเนองจากสามารถทำาซำาไดงายมาก สงผลใหบรษทผผลตโปรแกรมไดรบความเสยหาย การใชงานโปรแกรมทผลตจากบรษทขนาดใหญไดรบความนยมจากผใชมาก มการผลตและจำาหนายออกไปในหลายๆประเทศ สรางรายไดมหาศาลใหกบบรษทผผลต ทำาใหการละเมดลขสทธมมากขนดวยเชนกน ดวยเหตนบรษทผผลตโปรแกรมและบรษทคอมพวเตอร จงรวมกนกอตงองคกรทเรยกวา Business Software Alliance (BSA) ขนมาควบคมและดแลเรองการละเมดลขสทธ รวมถงทำาความเขาใจกบผบรโภคใหตระหนกถงการใชโปรแกรมทถกกฎหมาย (www.bsa.org) องคกรนประกอบดวยพนธมตร 23ราย เชน IBM, SyBase, Intel, HP, Cisco Systems, Adobe, RSA security, Bentley, Microsoft เปนตน กระจายอยใน 60 ประเทศทวโลก ทำาใหการละเมดลขสทธลดลงไปบาง
ตวอยาง การลกขโมยโปรแกรมคอมพวเตอร (Software Theft)
7. ซอฟตแวรโจมต (Software Attack)
ซอฟตแวรโจมต หมายถง การโจมตระบบสารสนเทศดวย โปรแกรมประสงคราย (Malicious Code หรอ Malicious Software หรอ
เรยกยอ ๆ วา Malware)Malwares ถกสรางขนมา เพอวตถประสงคตาง ๆ ดงตวอยางตอ
ไปน• การลกลอบเขาถงโดยไมไดรบอนญาต (Unauthorized Access and Use)
เพอขโมยขอมล โปรแกรมคอมพวเตอร เปลยนแปลงขอมล ทำาลายหนาเวบ
• ควบคมเครองคอมพวเตอรทตกเปนเครองเปาหมาย (Unauthorized Control)
• กอกวนระบบคอมพวเตอรและเครอขายทำาใหปฏเสธการใหหรอรบบรการเครองอนตามหนาทปกต (Denial of Service)
• หาชองโหวของระบบปฏบตการเพอตดตงและแพรกระจายโปรแกรมประสงคราย
• สะกดรอยการใชงาน การกดแปนพมพ• หลอกลวงเหยอเพอลวงเอาขอมลสวนตว (Phishing)• ฯลฯ
8. คณภาพของบรการทเบยงเบนไป (Deviations in Quality of Service)
คณภาพของบรการทเบยงเบนไป เกดขนในกรณทบรการใด ๆทองคกรรบมาเพอใหการทำางานของระบบสารสนเทศเปนไปอยางม
ประสทธภาพ ไมสามารถเปนไปตามทคาดหวงอกตอไป เชน องคกรไม ไดรบการบรการจากผใหบรการอนเตอรเนต (ISP) ทนททมการรองขอ
สงผลใหศนยขอมลขององคกรนน ไมสามารถใหบรการการสบคน ขอมล หรอทำาธรกรรมพาณชยแบบออนไลนไดอยางตอเนอง จงกลาว
ไดวาคณภาพของบรการทเบยงเบนไป เปนภยคกคามตอความพรอม ใช (Availability Disruption) ของระบบสารสนเทศ ซงนอกเหนอจาก
บรการเชอมตออนเตอรเนตแลว ยงมบรการอน ๆ ทองคกรควรให ความสำาคญ เชน การใหบรการสำารองมล บรการกระแสไฟ ระบบการก
ขอมลจากความลมเหลว เปนตน
9. ความผดพลาดทางเทคนคฮารดแวร (Technical Hardware Failures/Errors)
ความผดพลาดทางเทคนคฮารดแวร เกดขนเมอผผลตปลอย ฮารดแวรทยงมขอบกพรองออกสตลาด ทำาใหองคกรทซอฮารดแวรเหลา
นนมาใชงานไดรบผลกระทบจากการทำางานบกพรอง ระบบตองหยด ชะงก ไมสามารถใหบรการได เชนความบกพรองในสวนการคำานวณ
บรษทผผลตตองเรยกสนคาคน สรางความเดอดรอนตอทกฝาย ทง องคกรทสญเสยความนาเชอถอ ลกคาทใชบรการ ทงบรษทผผลต
ฮารดแวรทตองเสยเงนจำานวนมากเพอชดเชยความเสยหายใหแกผซอ
10. ความผดพลาดทางเทคนคซอฟตแวร (Technical Software Failures/Errors)
หากซอฟตแวร ทองคกรซอมาโดยไมทราบวาซอฟตแวรมขอผด พลาด กสามารถสรางความเสยหายแกองคกรได ความผดพลาดทพบ
สวนใหญคอ “Bug” ในซอฟตแวร อยางไรกตาม ผซอสามารถแจง Bug ไปยงบรษทผพฒนาซอฟตแวรใหแกไข แตสำาหรบซอฟตแวรทเปน Open
Source องคกรสามารถหาวธแก Bug จากการสอบถาม ขอคำาแนะนำา ขอ แนวทางการแกไข จากผใชทมประสบการณ
ถาเปนซอฟตแวรทพฒนาขนเองโดยบคคากรของหนวยงาน ภายในองคกร ทไมมความเชยวชาญทางดานการพฒนาซอฟตแวรและ
ดานความปลอดภย อาจจะมเกดความผดพลาดมากยงขน เนองจาก ปจจบน มการผลตเครองมอซอฟตแวร (Software Tools) , เฟรมเวรก ท
งายตอการทำาความเขาใจ ทำาใหหลายคนศกษาเองและพฒนาแอปพล เคชนใชเองในสวนงานของตน โดยไมมความรเรองเทคนคการปองกน
การโจมตจากภยคกคาม กอใหเกดความเสยงตอความมนคงปลอดภยสารสนเทศเปนอยางมาก
11. ความลาสมยของเทคโนโลย (Technical Obsolescence)
ความลาสมยของเทคโนโลยพนฐานของระบบสารสนเทศ สามารถสงผลใหระบบไมนาไววางใจ และเสยงตอการรกษาความมนคง
ปลอดภยของสารสนเทศ องคกรตองวเคราะหเทคโนโลยทใชอยใน ปจจบน ซงถาเปนซอฟตแวรระบบ ผพฒนาซอฟตแวรสวนใหญมก
จะแจงขาวสารการอพเดทซอฟตแวรใหทนสมยเปนระยะอยแลว ซงการอพเดทซอฟตแวรอาจมผลกระทบตอเนองใหมการเปลยนแปลงองค
ประกอบสารสนเทศอยางอนตามมา เพอไมใหเกดความลาชาในการ ประมวลผล และการสอสารขอมล
ประเภทภยคกคามทรายงานมาท ThaiCERT(http://thaicert.nectec.or.th/)
ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร ประเทศไทย (ไทยเซรต) จดตงขนในป พ.ศ. 2543 ( ชอเดม ศนย
ประสานงานรกษาความปลอดภยคอมพวเตอร ประเทศไทย) โดยศนย เทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต ภายใตสงกดของ
สำานกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต มภาระหนาทหลกเพอตอบสนองและจดการกบเหตการณความมนคงปลอดภย
คอมพวเตอร (Incident Response)ในฐานะทเปนสมาชกขององคกรดานการรกษาความมนคง
ปลอดภยคอมพวเตอรทงในระดบภมภาค (APCERT/Asia Pacific Computer Emergency Response Team) และระดบสากล(FIRST/Forum of Incident Response and Security Teams) ไทยเซรตจงมบทบาทในการประสานงานระหวางหนวยงานตางประเทศทเปน
สมาชกขององคกรเหลาน กบหนวยงานในประเทศ ทงภาครฐ เอกชน มหาวทยาลย ผใหบรการอนเทอรเนต หรอผเกยวของในการตอบ
สนองและจดการกบเหตการณความมนคงปลอดภยทไดรบแจง
ประเภทภยคกคามทรายงานมาท ThaiCERTThaiCERT ไดแบงประเภทภยคกคามไว 9 ประเภท ตามทได
กำาหนดโดย The European Computer Security Incident Response Team (eCSIRT) ซงเปนเครอขายความรวมมอของหนวย
งาน CSIRT ในสหภาพยโรป ดงนคอ ( รายละเอยดอยใน slide ชดท1)
• เนอหาทเปนภยคกคาม (Abusive Content)• โปรแกรมไมพงประสงค (Malicious Code)• ความพยายามรวบรวมขอมลของระบบ (Information Gathering)• ความพยายามจะบกรกเขาระบบ (Intrusion Attempts)• การบกรกหรอเจาะระบบไดสาเรจ (Intrusions)• การโจมตสภาพความพรอมใชงานของระบบ (Availability)• การเขาถงหรอเปลยนแปลงแกไขขอมลสาคญโดยไมไดรบอนญาต• (Information Security)• การฉอฉลฉอโกงหรอหลอกลวงเพอผลประโยชน (Fraud)• ภยคกคามอนๆ นอกเหนอจากทกาหนดไวขางตน (Other)
คำาศพททใชอางองถงกลมคนทลกลอบเขาระบบสารสนเทศ
Hacker เปนกลมคนทมความรในระบบคอมพวเตอรอยาง สงมาก ไมวาจะเปนเรองเครอขาย , ระบบปฏบตการ จนสามารถ
เขาใจวาระบบมชองโหวตรงไหน หรอสามารถไปคนหาชองโหวได จากตรงไหนบาง และอาศยชองโหวของเทคโนโลยลกลอบดขอมล
ของผอนโดยไมไดรบอนญาต บางครงทำาเพอทดสอบความรของ ตนเอง มกเปนบคคลทชอบแสวงหาความรใหมๆ อยเสมอ มความ
อยากรอยากเหน โดยเจตนาแลวไมไดมงรายตอขอมลแตอยางใด แฮกเกอรบางคนอาจเขาไปหาจดบกพรองแลวแจงกบผดแลระบบ
ดงนนดวยเจตนาทไมไดมความประสงครายตอขอมล บางครงจง มกนยมเรยกวา กลมคนหมวกขาว (white hat) คอเปน Hacker ทม
จรยธรรม (Ethical Hacker) โดยปกตมกไมยอมเปดเผยตวใหคน อนทราบ แตหากเราเขาไปยงกลมพบปะแลกเปลยนความคดเหน
ทวไปบนอนเทอรเนตแลวขอความชวยเหลอ กอาจพดคยได
คำาศพททใชอางองถงกลมคนทลกลอบเขาระบบสารสนเทศ
แฮกเกอร (hacker) คอ ผคนหาจดออนของเครองคอมพวเตอร หรอเครอขาย แลวลกลอบเขาไปในระบบ เพอกระทำาการบางอยางท
ระบบไมไดเตรยมปองกนไว ซงมแรงจงใจในการกระทำาดวยเหตผล ตาง ๆ หลากหลายประการ เชน ผลประโยชน การประทวง ทาทาย
หรออยากประเมนจดออนของระบบเพอหาทางปองกนIn the computer security context, a hacker is someone
who seeks and exploits weaknesses in a computer system or computer network. Hackers may be motivated by a multitude of reasons, such as profit, protest, challenge. enjoyment, or to evaluate system weaknesses to assist in removing them.
คำาศพททใชอางองถงกลมคนทลกลอบเขาระบบสารสนเทศ
Cracker เปนกลมคนทมความรความสามารถทางดานคอมพวเตอร และระบบเครอขายเชนเดยวกบ Hacker แตมเจตนาแตกตางกน
มกนยมเรยก Cracker วา กลมคนหมวกดำา (Black hat) เพราะ พฤตกรรมของ Cracker นนจะเปนการกระทำาทขาดจรยธรรรมซงจะ
มพฤตกรรมทตรงขามกบกลม White hat โดยปกต cracker จะมง ทำาลายระบบหรอลกลอบเขาไปแกไขและทำาลายขอมล จงถอไดวา เปนกลมบคคลทใชความรสรางความเสยหายทรนแรง เชน
การแคลกซอฟทแวรโดยแครกเกอร กจะทำาใหซอฟทแวรสญ เสยการปองกนการตดตงทกำาหนดไวโดยผจำาหนาย ทำาใหโปรแกรม
ทถกแคลกแลว นำาไปตดตงไดโดยไมตองใชตวเลขซเรยลจากผ จำาหนาย
คำาศพททใชอางองถงกลมคนทลกลอบเขาระบบสารสนเทศ
มการถกเถยงกนวาทจะใหนยาม ของแฮกเกอรใหม โดยผ ทเขาไปกออาชญากรรม หรอกลมหมวกดำา (Black hats) จะเรยก
วา " แครกเกอร (cracker)" แตผเชยวชาญดานความปลอดภย และมเจตนาด จะเรยกวา " แฮกเกอร (hacker)" เพราะกลมผดแล
ระบบ หรอผทมความชำานาญดานระบบความปลอดภย ตองการ นยามวาตนเองเปนกลมหมวกขาว (white hats) เนองจากได
ศกษาเรองความปลอดภย จงเขาระบบของคนอน กเพอทดสอบ ระบบ เขาไปชวยเหลอ และใหคำาแนะนำาในการปรบปรงระบบ
In this controversy, the term hacker is reclaimed by computer programmers who argue that someone who breaks into computers, whether computer criminal (black hats) or computer security expert (white hats), is more appropriately called a cracker instead. Some white hat hackers claim that they also deserve the title hacker, and that only black hats should be called "crackers".
คำาศพททใชอางองถงกลมคนทลกลอบเขาระบบสารสนเทศ
Script Kiddy หรอ พวกมอใหม (Novices) พวกเดกทชอบเลน สครปต บคคลกลมนปจจบนเรมมจำานวนมากขนอยางรวดเรว
เนองจากในสงคมของอนเทอรเนตมกมแหลงพบปะแลกเปลยน โปรแกรม หรอ สครปต (scripts) ทมคนเขยนและนำาออกมาเผยแพรให
ทดลองใชกน คนกลมนมกเปนเดกวยอยากรอยากเหนทไมมความร เกยวกบการเจาะระบบมากนก เพยงแคอาศยโปรแกรมหรอเครองมอ
บางอยางทหามาไดจากแหลงตางๆบนอนเทอรเนตและทำาตามคมอการ ใชงาน กสามารถเขาไปกอกวนระบบคอมพวเตอรผอนใหเกดความเสย หายได เชน การลอบอานอเมล การขโมยรหสผานของผอน
ปจจบนมโปรแกรมทใชสรางไวรส (virus toolkit) ถงแมไมมความรกสาสมารถสรางไวรสได แตตนทางกเปนผทมความรสรางเครองมอขนมา เหลาเดกนอยอยากรอยากเหนจงตกเปนเครองมอ นำา software tool ทมคนสรางไว มาสรางไวรส ทำาใหเกดการแพรกระจายเปนทวคณ
คำาศพททใชอางองถงกลมคนทลกลอบเขาระบบสารสนเทศPhreaker ผเจาะระบบเครอขายสาธารณะ เพอใหตนสามารถใช
โทรศพทโดยไมเสยคาใชจาย หรอเพอรบกวนสญญาณโทรศพท
Phreaking is a slang term to describe the activity of a culture of people who study, experiment with, or explore, telecommunication systems, such as equipment and systems connected to public telephone networks.
Phreaker เรมขนเมอป ค.ศ. 1970 ดวยการสรางอปกรณ Blue Boxes ใหใชงานโทรศพทโดยไมตองเสยคาใชจาย ตอมาสรางอปกรณRed Boxes จำาลองเสยงหยอดเหรยญลงในตโทรศพท ทำาใหสามารถใช
โทรศพทโดยไมตองหยอดเหรยญจรง
คำาศพททใชอางองถงกลมคนทลกลอบเขาระบบสารสนเทศDeranged person คอ พวกจตวปรต ผดปกต มลกษณะเปนพวกชอบ
ความรนแรง และอนตราย มกเปนพวกทชอบทำาลายทกสงทขวางหนา ไมวาจะเปนบคคล สงของ หรอสภาพแวดลอม
Com Artist คอพวกหวพฒนา เปนพวกทชอบความกาวหนาทาง คอมพวเตอร เพอใหไดมาซงผลประโยชนสวนตน อาชญากรประเภทน
จะใชความกาวหนา เกยวกบระบบคอมพวเตอร และความรของตนเพอหาเงนมชอบทางกฎหมาย
Dreamer พวกบาลทธ เปนพวกทคอยทำาผดเนองจากมความเชอถอสง หนงสงใดอยางรนแรง ไดแก พวกหวรนแรงคลงอดมการณหรอ
ลทธ มกกออาชญากรรมทางคอมพวเตอร เพอ อดมการณทางการ เมอง เศรษฐกจ ศาสนา หรอสทธมนษยชน เปนตน
นอกจากนนยงพบวา ผกระทำาความผดทางคอมพวเตอรมลกษณะพเศษดงตอไปน
1. สวนใหญมกมอายนอย2. สวนใหญเปนผทมวชาชพ3. ลกษณะสวนตวเชน
- มแรงจงใจและความทะยานอยากสงในการทจะเอาชนะและฉลาด - ไมใชอาชญากรโดยอาชพ
คำาศพททใชอางองถงกลมคนทลกลอบเขาระบบสารสนเทศ