รายงานประจำปีไทยเซิร์ต 2556
TRANSCRIPT
1
2013 ThaiCERT ANNUAL REPORT
รายงานประจำ�ปไทยเซรต�2556
ชอเรอง : รายงานประจ�าปไทยเซรต 2556 (2013 ThaiCERT ANNUAL REPORT)
เรยบเรยงโดย : สรางคณา วายภาพ, ชยชนะ มตรพนธ, สรณนท จวะสรตน, ธงชย แสงศร
พรพรหม ประภากตตกล, ธงชย ศลปวรางกร, ณฐโชต ตสตานนท และทมไทยเซรต
เลข ISBN : ISBN 978-616-91910-8-7
พมพครงท : 1 พฤศจกายน 2557
พมพจ�ำนวน : 1,000 เลม
รำคำ : 300 บาท
สงวนลขสทธตำมพระรำชบญญตลขสทธ พ.ศ. 2537
จดพมพและเผยแพรโดย :
ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย
(Thailand Computer Emergency Response Team)
ส�านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)
กระทรวงเทคโนโลยสารสนเทศและการสอสาร
อาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา (อาคารบ) ชน 21 เลขท 33/4
ถนนพระราม 9 แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310
โทรศพท : 0 2123 1234 | โทรสาร : 0 2123 1200
อเมล : [email protected]
เวบไซตไทยเซรต : www.thaicert.or.th
เวบไซต สพธอ. : www.etda.or.th
เวบไซตกระทรวงไอซท : www.mict.go.th
5
สารจากผกำ�หนดทศทาง�“ไทยเซรต”
ในขณะทโลกก�ลงมงสยคทคนและเทคโนโลยตอง เกยวพนกน 24x7 และประเทศไทยมผใชอนเทอรเนตเกอบ 30% ของประชากร ประเทศจำ�เปนตองวางโครงสรางการบรหารจำดการความมนคงปลอดภยไซเบอรของประเทศทมความชดเจำน ในบทบาทหนาท “ไทยเซรต” ภายใตการก�กบดแลของ สพธอ. ถอเปน
ก�ลงส�คญทพรอมใหความชวยเหลอดแลงาน ความมนคงปลอดภยไซเบอรทส�คญน
พรชย�รจประภารฐมนตรวาการกระทรวงไอซท
บทบาทของกระทรวงไอซททจำะตองสงเสรมการพฒนาและการใชเทคโนโลยไซเบอรในการบรหารจำดการประเทศเพยงอยางเดยวอาจำยงไมเพยงพอ จำ�เปนตองม หนวยงานกลางทสามารถใหความชวยเหลอไดรวดเรวทนท แกปญหาเฉพาะหนาไดอยางมประสทธภาพ ซงดฉนเชอมนวา “ไทยเซรต” พรอมในบทบาทน
เมธน�เทพมณปลดกระทรวงไอซท
ในระยะ 3 ป ทผานมา “ไทยเซรต” ภายใต สพธอ. ไดมสวนดแลและปกปองธรกรรมออนไลน
ของประเทศไทย ซงผมและกรรมการบรหาร สพธอ. พรอมผลกดนและสนบสนนการท�งานของ
“ไทยเซรต” ใหเขมแขงมากขนและเปนก�ลงส�คญ ในดานความมนคงปลอดภยไซเบอรของประเทศ
เพอพรอมเขาส AEC2015
จรมพร�โชตกเสถยรประธานกรรมการบรหาร สพธอ.
กาวตอไปในอนาคตของ Cybersecurity ไทยจำะตองมการผลกดนใหประเทศม National Cybersecurity Governance โดย สพธอ. จำะยกระดบการท�งานของ “ไทยเซรต” ใหเปน National CERT เพอใหประเทศมความพรอม ในการรบมอภยคกคามไซเบอรไดทนทวงท
สรางคณา�วายภาพ�ผอ.สพธอ.
11
12
CONTENTS | สารบญสำรจำกผก�ำหนดทศทำง “ไทยเซรต” 4
สำรบญ/ สำรบญตำรำง/ สำรบญรปภำพ/ สำรบญกรำฟ 12
บทน�ำ 20
บทท 1 ผลงำนเดนและเหตกำรณส�ำคญ ป 2556 22
1.1 ThaiCERT 2013 Infographic 241.2 Key Event Timeline 2013 26
บทท 2 บรกำรของไทยเซรต 30
2.1 บรการรบมอและจดการสถานการณดานความมนคงปลอดภย 322.2 บรการวชาการดานความมนคงปลอดภย 332.3 บรการแจงเตอนและเผยแพรขอมลขาวสารดานความมนคงปลอดภย 342.4 บรการตรวจพสจนพยานหลกฐานดจทล 352.5 บรการตรวจสอบและประเมนชองโหวของระบบสารสนเทศ 36
13
บทท 3 รำยงำน Threat & Cybersecurity ป 2556 38
3.1 ภยคกคามทไทยเซรตไดรบแจง 39 3.1.1 สถตภยคกคามดานสารสนเทศทไดรบแจงผานระบบอตโนมต 41 3.1.2 สถตภยคกคามทไดรบการประสานและจดการโดยไทยเซรต 593.2 ภยคกคามทเปนกรณศกษาทไทยเซรตเขาไปด�าเนนการ 64 3.2.1 กรณพบการโจมตเวบไซตทใชระบบบรหารจดการเวบไซต CMS ของไทย 65 3.2.2 กรณแอปพลเคชนธนาคารออนไลนปลอมในระบบปฏบตการแอนดรอยด 66 3.2.3 กรณเวบไซตส�านกขาวหลายแหงในประเทศไทยถกเจาะ ฝงโทรจนทหลอกใหดาวนโหลดแอนตไวรสปลอม 68 3.2.4 กรณไทยเซรตพบชองโหวของแอปพลเคชน LINE สามารถดกรบขอมลบนเครอขาย LAN/WiFi 70 3.2.5 กรณ Web Defacement หนวยงานส�าคญในประเทศ 72 3.2.6 กรณการตรวจพสจนพยานหลกฐานเครอง BitTorent Server 75
บทท 4 กำรพฒนำศกยภำพในกำรรบมอภยคกคำมไซเบอร 76
4.1 ประชม อบรม สมมนา และกจกรรมอน ๆ 77 4.1.1 ประชมและสมมนาทไทยเซรตเชารวม 78 4.1.2 ศกษาดงาน 82 4.1.3 กจกรรมทไทยเซรตเปนเจาภาพ 834.2 ประกาศนยบตรวชาชพดานความมนคงปลอดภยไซเบอร 884.3 ขอตกลงความรวมมอกบหนวยงานทงในและตางประเทศ 90
14
บทท 5 รำยงำน CERTs ของประเทศสมำชกอำเซยน +3 94
บทท 6 ควำมทำทำยในบทบำท National CERT 104
ภำคผนวก
ภาคผนวก ก การจดประเภทของเหตภยคกคามดานสารสนเทศ 110ภาคผนวก ข อภธานศพทและค�ายอ 114ภาคผนวก ค ขอมลสถตรายงานภยคกคามทไดรบแจงจากระบบอตโนมต 118ภาคผนวก ง รายชอผทสอบวดระดบและไดรบใบรบรอง ETDA/TISA iSEC 136
15
สารบญตารางตารางท 1 ปทเรมพบและพฤตกรรมของมลแวรประเภท Botnet ใน 10 อนดบแรก 46
ตารางท 2 ค�าอธบายของหมายเลขพอรตทถกสแกน 58
ตารางท 3 ขอมลการด�าเนนการเหตภยคกคามประเภท Fraud จ�าแนกตามผเกยวของและแหลงทมาของผเกยวของ 61
ตารางท 4 ขอมลการด�าเนนการเหตภยคกคามประเภท Fraud จ�าแนกตามผเกยวของและประเภทหนวยงาน 62
ตารางท 5 ประกาศนยบตรวชาชพดานความมนคงปลอดภยไซเบอรทบคลากร ThaiCERT ไดรบ 88
ตารางท 6 ขอมลของหนวยงาน CERT ระดบประเทศในอาเซยน+3 95
ตารางท 7 ประเภทภยคกคามของรายงานทไดรบแจงผานระบบอตโนมต 110
ตารางท 8 แสดงประเภทของภยคกคามส�าหรบการประสานเพอรบมอและจดการ 112
ตารางท 9 อภธานศพทและค�ายอ 114
ตารางท 10 จ�านวนหมายเลขไอพของเครอขาย (AS number ทไดรบแจงเหตภยคกคาม) ทไดรบแจงรายงานภยคกคามสงทสด นบตามจ�านวนหมายเลขไอพทไมซ�า 118
ตารางท 11 อนดบแรกของผใหบรการอนเทอรเนตทมจ�านวนรายงานประเภท Botnet สงทสด 120
ตารางท 12 สถตประเภท Open DNS Resolver นบตามจ�านวนหมายเลขไอพทไมซ�าทถกรายงานสงสด 10 อนดบแรก จ�าแนกตามผใหบรการเครอขาย 122
ตารางท 13 สถตประเภท Scanning นบตามจ�านวนหมายเลขไอพทไมซ�าทถกรายงานสงสด 10 อนดบแรก จ�าแนกตามผใหบรการเครอขาย 124
16
สารบญตารางตารางท 14 สถตประเภท Spam นบตามจ�านวนหมายเลขไอพทไมซ�าทถกรายงานสงสด 10 อนดบแรก จ�าแนกตามผใหบรการเครอขาย 126
ตารางท 15 สถตประเภท Open Proxy Server นบตามจ�านวนหมายเลขไอพทไมซ�าทถกรายงานสงสด 10 อนดบแรก จ�าแนกตามผใหบรการเครอขาย 128
ตารางท 16 สถตประเภท Malware URL นบตามจ�านวนURL และหมายเลขไอพทไมซ�าทถกรายงานสงสด 10 อนดบแรก จ�าแนกตามผใหบรการเครอขาย 130
ตารางท 17 สถตประเภท Web Defacement นบตามจ�านวน URL และหมายเลขไอพทไมซ�าทถกรายงานสงสด 10 อนดบแรก จ�าแนกตามผใหบรการเครอขาย 130
ตารางท 18 สถตประเภท Phishing ทถกรายงานสงสด 10 อนดบแรก จ�าแนกตามผใหบรการเครอขาย 134
ตารางท 19 รายชอผทสอบวดระดบและไดรบใบรบรอง iSEC-M 136
ตารางท 20 รายชอผทสอบวดระดบและไดรบใบรบรอง iSEC-T 137
17
สารบญรปภาพรปท 1 ลกษณะการโจมตดวยเทคนค DNS amplification attack (ทมา: secureworks com) 50
รปท 2 ตวอยางเวบไซตทถกโจมต Web Defacement 65
รปท 3 ตวอยางแอปพลเคชนปลอม 66
รปท 4 โครงสรางของไฟลภายในแอปพลเคชนปลอม 67
รปท 5 พฤตกรรมของการสง SMS ทตรวจสอบได 67
รปท 6 การดาวนโหลด Java Applet ไมพงประสงค 68
รปท 7 เวบไซตของธนาคารทถกเพมเนอหาเขาไปโดยโปรแกรมไมพงประสงค 69
รปท 8 แสดงการจ�าลองสถานการณการดกรบขอมลและถอดรหสลบขณะทผใชงานแอปพลเคชน LINE บนระบบปฏบตการ Windows เมอมการสงขอความ 70
รปท 9 แสดงหนาตางแจงเตอนการอปเดต 70
รปท 10 ตวอยางการโจมตในลกษณะ Web defacement กบเวบไซตของกระทรวงศกษาธการ 74
รปท 11 อนดบความสามารถในการแขงขนดานความมนคงปลอดภยไซเบอรในรายงาน World Competitiveness Rankings 2013 ของ IMD 105
18
สารบญกราฟกราฟท 1 จ�านวนหมายเลขไอพทไมซ�าทไดรบรายงานในแตละประเภทภยคกคามในชวงทกครงป 41
กราฟท 2 10 อนดบแรกของผใหบรการอนเทอรเนตทมจ�านวนรายงานทไดรบแจงโดยเฉลยสงสด นบเฉพาะหมายเลขไอพทไมซ�า 42
กราฟท 3 จ�านวนหมายเลขไอพของผใหบรการเครอขาย 10 อนดบแรกทไดรบแจงเหตภยคกคามสงสด นบตามจ�านวนหมายเลขไอพทไมซ�า 42
กราฟท 4 สดสวนของภยคกคามแตละประเภททผใหบรการอนเทอรเนตแตละรายไดรบแจง 43
ชดกราฟท 1 สดสวนจ�านวนหมายเลขไอพไมซ�าของเครอขายตางๆ จ�าแนกตามประเภทภยคกคาม 44
กราฟท 5 10 อนดบแรกของมลแวรประเภท Botnet ทไดรบแจง 46
กราฟท 6 เปรยบเทยบการบกรกเวบไซตแบบตาง ๆ 52
กราฟท 7 เปรยบเทยบการโจมตเวบไซตแบบตาง ๆ โดยจ�าแนกตามประเภทของเวบไซต 53
กราฟท 8 10 อนดบแรกของ โดเมนเนม ทมจ�านวนรายงานประเภท Malware URL สงทสด 54
กราฟท 9 10 อนดบแรกของ โดเมนเนม ทมจ�านวนรายงานประเภท Web Defacement สงทสด 55
กราฟท 10 10 อนดบแรกของ โดเมนเนม ทมจ�านวนรายงานประเภท Phishing สงทสด 56
กราฟท 11 10 อนดบแรกของหมายเลขพอรตทถกสแกนสงสด นบตามจ�านวนหมายเลขไอพทไมซ�า 57
กราฟท 12 จ�านวนเหตภยคกคามทไทยเซรตด�าเนนการระหวางป 2547 - 2556 59
19
สารบญกราฟกราฟท 13 สถตเหตภยคกคามทไทยเซรตไดรบแจงโดยตรงในป 2556 60
กราฟท 14 สถตเหตภยคกคามทไทยเซรตไดรบแจงโดยตรงในป 2556 จ�าแนกตามประเทศของผแจง 61
กราฟท 15 สดสวนโดเมนทไดถกแจงซ�าภยคกคามประเภท Fraud และ Intrusions โดยจ�าแนกตามประเภทของเวบไซต 63
กราฟท 16 จ�านวนรายงานมลแวรทไดรบแจงจาก Microsoft ในแตละเดอนในป 2556 นบตามจ�านวนหมายเลขไอพทไมซ�า 64
กราฟท 17 สถตภยคกคามประเภท Web Defacement จ�าแนกเฉพาะหนวยงานของรฐในภมภาคอาเซยนในป 2556 72
กราฟท 18 สถตภยคกคามประเภท Web Defacement ป 2556 จ�าแนกตามประเภทหนวยงาน (เฉพาะ .th) 73
กราฟท 19 จ�านวนรายงานภยคกคามดานสารสนเทศทหนวยงาน CERT ของประเทศในอาเซยน+3 ไดรบแจงระหวางป 2550-2555 101
กราฟท 20 สดสวนของภยคกคามแตละประเภททถกแจงไปยงหนวยงาน CERT ของแตละประเทศในกลมอาเซยน+3 ในป 2554 และ 2555 102
20
บทนำ
ไทยเซรตภายใตการน�าของส�านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) ไดเปดใหบรการตอเนองมาเปนปท 3 แลวนบตงแตทมมตคณะรฐมนตรเมอป 2554 ใหโอนยายภารกจมาจากศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาตหรอ NECTEC โดยท�าหนาทเปนหนวยงานภาครฐหลกทตอบสนองและจดการกบเหตการณความมนคงปลอดภยคอมพวเตอร และใหการสนบสนนทจ�าเปนและค�าแนะน�าในการแกไขภยคกคามความมนคงปลอดภย รวมทงตดตามและเผยแพรขาวสารและเหตการณทางดานความมนคงปลอดภยทางดานคอมพวเตอรตอสาธารณชน ตลอดจนท�าการศกษาและพฒนาเครองมอและแนวทางตาง ๆ ในการปฏบตเพอเพมความมนคงปลอดภยในการใชคอมพวเตอรและเครอขายอนเทอรเนต ซงทผานมากประสบผลส�าเรจโดยอาศยชองทางความรวมมอระหวางเครอขาย CERT ทมทงภายในประเทศไทยและตางประเทศชวยเหลอซงกนและกน บรการของไทยเซรตเปนชองทางส�าคญ ทชวยใหค�าปรกษาและบรรเทาความเดอดรอน
21
ในเบองตนใหแกประชาชนทไดรบผลกระทบจากโปรแกรมไมพงประสงค การบกรกเขาระบบ ความพยายามรวบรวมขอมล การโจมตสภาพความพรอมใชงาน การฉอโกง ฯลฯ กอนทจะเขาสการด�าเนนการโดยผรกษากฎหมายตอไป
ปจจบนเจาหนาทไทยเซรตสามารถรกษาระดบคณภาพการใหบรการโดยด�าเนนการตรวจสอบและวเคราะหเหตเพอประสานงานไปยงหนวยงานทเกยวของไดภายใน 6 ชวโมงหลงจากทไดรบแจงเหตในชวงวนเวลาท�าการและไดใหบรการตรวจพสจนพยานหลกฐานดจทลดวยเจาหนาท ผเชยวชาญทไดรบประกาศนยบตรวชาชพดานความมนคงปลอดภยไซเบอรในระดบสากล โดยใชเครองมอและกระบวนการทสอดคลองกบมาตรฐานสากลซงจะไดรบการยอมรบทวโลกและสามารถรองรบการปฏบตงานในรปแบบ e-Court ตอไปในอนาคต
ไฮไลตทส�าคญในรอบป 2556 นน ไทยเซรตได ประสานงานและแจงเตอนภยคกคามทเกดขนในประเทศไทยจากขอมลทไดรบผานเครอขาย CERT จ�านวนสงถง 65 ลานรายการ และรบมอและจดการภยคกคามทไดรบแจงหรอตรวจพบจ�านวน 1,745 เรอง (เพมจากปทแลว 2 เทา) เปนเหตการณประเภทเจาะระบบเวบไซตทตงอยในประเทศไทย 1,450 เวบไซต และไดใหบรการตรวจพสจนพยานหลกฐานดจทล จ�านวน 11 เคส รวมปรมาณขอมลทท�าส�าเนาและตรวจวเคราะห 14 เทราไบต นอกจากน ไทยเซรต ยงม
บทบาทเปนผทผลกดนการพฒนาบคลากรใหแกหนวยงานรฐใหมโอกาสไดเรยนและสอบประกาศนยบตรวชาชพฯ เชน Certified Ethical Hacker (CEH) จดการอบรมและบรรยายโดยผเชยวชาญจากตางประเทศ เชน หลกสตรเทคนคการตรวจพสจนพยานหลกฐานดจทลประเภทโทรศพทมอถอรวมกบส�านกงานต�ารวจแหงชาต หลกสตรอบรม OWASP Open Web and Application Security Day ใหแกผพฒนาเวบไทย จดอบรมและประเมนสมรรถนะดาน Security ใหกบบคลากรดานความมนคงปลอดภยดวยมาตรฐาน Local Certification ทพฒนารวมกบ Thailand Information Security Association (TISA)
หนงสอรายงานประจ�าปของไทยเซรตฉบบนจดท�าขนเพอรวบรวมผลการปฏบตงานและเผยแพรขอมลทเปนประโยชนตอสาธารณะ และคาดหวงวาจะเปนประโยชนทงในแงขอมลสถตเชงวชาการทจะน�าไปอางองและเปนประโยชนตอการสรางความตระหนกแกประชาชนทวไป และสรางความสนใจใหมผทประกอบอาชพดานความมนคงปลอดภยสารสนเทศในประเทศไทยเพมมากขน อกทงยงเปนประโยชนตอผบรหารทมหนาทก�าหนดนโยบายหรอแผนปฏบตของหนวยงานหรอตดสนใจเกยวกบนโยบายการใชระบบสารสนเทศอยางมนคงปลอดภย
สรำงคณำ วำยภำพ ผอ�านวยการ ส�านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) กระทรวงเทคโนโลยสารสนเทศและการสอสาร
22
ผลงานเดนและเหตการณส� คญ ป 2556
บทท�1.�
23
24
เพมขนจาก 953 เรอง
รบมอและจดการภยคกคามไซเบอร
ไดรบแจง 850 เรองตรวจพบเอง 895 เรอง
เรอง1,745
2012ป • Security Techniques 13 Certs • Digital Forensics 8 Certs • Security Mgt& Audit 4 Certs
บคลากรไทยเซรต ใบรบรองสากลในป 2 0 1 325ไดรบ
• CEH ใหเจาหนาทของรฐ 20 คน• OWASP ใหนกพฒนาเวบไทย 38 คน จาก 18 หนวยงาน• อบรมและจดประเมนสมรรถนะ ดาน Security ในประเทศ จำนวน 120 คน • รวมกบ สตช. อบรม Mobile Forensics 20 คน• อบรมจดตง LaoCERT 20 คน
พฒนาบคลากรดาน Cybersecuriy 200กวา คน
เจาภาพประชมสมมนานานาชาต 2 งาน
• ก.พ. : ASEAN-Japan Information Security Workshop ผเขารวมงาน จาก 7 ประเทศ
มผเขารวมงานรวมกวา จาก
550 ประเท
ศ59 คน
• ม.ย. : 25th Annual FIRST Conference 2013 ผเขารวมงานจาก 59 ประเทศ
ผลงานดานการพฒนาบคลากร
ประสานงานและแจงเตอนภยคกคาม
ซงเกยวของกบจำนวนไอพ65 รายการลาน
5.4 หมายเลขลาน
ทเกดขนในประเทศไทยจากเครอขาย CERT ทงสน
ผลงานดานสถตของสถานการณดานความมนคงปลอดภย 2)1)
ThaiCE
RT�2013�INFO
GAPH
IC
25
จด Cyber Drill
มหนวยงานภาครฐและรฐวสาหกจ จำลองการโจมตดวย Malware
14 ธนาคารเขารวม
และสถาบนการเงน
26 หนวย
งาน
2 • LaoCERT• Computer Crime Institute (Dixie State University)• SANS Institute• EC-Council• Ministry of Internal Affairs and Communications (Japan)• สตช.
ขยายเครอขายผาน
MoU6ฉบบ
32รวมปรมาณขอมลตรวจพสจน
ตรวจพสจนพยานหลกฐานดจทล
11 กรณ
อปกรณ
เทราไบต
เวลาเฉลยแกไขปญหา คาเฉลยในการปด Phishing Site
31:23 ชวโมง
Phishing
ตรวจพบและใหคำแนะนำ ในการแกไขชองโหว
ชองโหว
ผลงานดานกจกรรมและบรการตาง ๆ
ผลงานดานดจทลฟอเรนสกส 3) 4)
14
ครง
28หนวยงาน
ตรวจสอบชองโหวใหกบ
26
2013�KEY
�EVE
NT�TIMEL
INE
กจกรรมทสำ�คญ
เหตการณภยคก
คามและการแจงเตอนทสำ�คญ
• เขารวมซกซอมรบมอภยคกคามกบเครอขาย APCERT (APCERT Drill)
• แจงเตอน Web Defacement ไทยทวสชอง 3 (www.thaitv3.com)
• แจงเตอน Web Defacement กระทรวงวฒนธรรม (www.m-culture.go.th)
• เจาภาพจดการประชม “ASEAN-Japan Information Security Policy Workshop”
• ลงนาม MoU ดาน Cybersecurity กบ Ministry of Internal Affairs and Communications ประเทศญปน
• แจงเตอนและใหค�าแนะน�าในการแกไข Web Defacement ส�านกงานคณะกรรมการธรกรรมทางอเลกทรอนกส (www.etcommission.go.th)
• จดซกซอมรบมอภยคกคามใหหนวยงานของรฐ (Government Cyber Drill)
• ลงนาม MoU ดาน Digital Forensics กบ Dixie State College of Utah’s Southwest Regional Computer Crime Institute (SWRCCI) ประเทศสหรฐอเมรกา
• แจงเตอนและใหค�าแนะน�าในการแกไข Web Defacement กระทรวงศกษาธการ (www.moe.go.th)
• แจงเตอน ภยมลแวร Android หลอกขโมยเงนจากธนาคารไทย
JANUARY FEBRUARY MARCH
27
APRIL JUNEMAY
• ตรวจสอบชองโหวใหกบหนวยงานภาครฐ 28 หนวยงาน
• แจงเตอน ระวงภย ชองโหวในแอปพลเคชน Viber ผไมหวงดสามารถผาน lock screen และเขาถงขอมล ในระบบปฏบตการ Android
• รวมกบ Thailand Information Security Association (TISA) จดอบรมและสอบประเมนสมรรถนะบคลากรดานความมนคงปลอดภยระบบสารสนเทศของประเทศไทย
• ลงนาม MoU กบ EC-Council ดานการพฒนาบคลากรดานไซเบอร
• ใหค�าแนะน�าในการแกไข Web Defacement ส�านกงานปลดส�านกนายกรฐมนตร (www.opm.go.th)
• ตรวจพบ แจงเตอน และใหค�าแนะน�าในการแกไขชองโหวของระบบบรหารจดการเวบโอสตงของไทย
• แจงเตอน ระวงภย ชองโหว ใน Internet Explorer 8 (CVE-2013-1347) หนวยงานในสหรฐถกโจมตแลว
• ใหการสนบสนนขอมลเชงเทคนค การประชมคณะกรรมการความมนคงปลอดภยไซเบอรแหงชาต ครงท 1
• เจาภาพจดงาน 25th Annual FIRST Conference Bangkok 2013
• แจงเตอน ระวงภย เวบไซตส�านกขาวหลายแหงในประเทศไทยถกโจมตและฝง e-Banking Trojan
28
KEY�EV
ENTS
�TIMEL
INE�25
56
กจกรรมทสำ�คญ
เหตการณภยคก
คามและการแจงเตอนทสำ�คญ AUGUST SEPTEMBER
• รวมกบ OWASP จดอบรม ETDA and OWASP: Open Web and Application Security Day
• ลงนาม MoU กบ LaoCERT ดานการรบมอและจดการภยคกคามไซเบอร
• แจงเตอน ระวงภย ชองโหวใน Samsung Galaxy S3 และ Galaxy S4 เปดใหแอปพลเคชนใด ๆ สามารถสราง SMS ปลอมหรอแอบสง SMS ได
• รวมกบ EC-Council จดอบรมหลกสตร Certified Ethical Hacker v8 (CEH) ใหผเชยวชาญไทย
• แจงเตอน ระวงภย ชองโหวใน Joomla ผไมหวงดสามารถอปโหลดไฟลอนตราย เขามาในระบบได
• จดซกซอมรบมอภยคกคามใหสถาบนการเงน (Financial Cyber Drill)
• ลงนาม MoU กบ ส�านกงานต�ารวจแหงชาต ดานการพฒนาศกยภาพบคลากร และมาตรฐาน การตรวจพสจนพยานหลกฐานดจทล
• แจงเตอน ระวงภย Firefox for Android มชองโหวดาวนโหลดแอปพลเคชนอนตรายมาตดตงทนท ทเขาเวบไซต
JULY
29
NOVEMBER DECEMBER
• จดอบรมการจดตง CERT ใหกบ LaoCERT
• ลงนาม MoU กบ SANS Institute ในดานการพฒนาบคลากรดานไซเบอร
• เขารวมซกซอมรบมอภยคกคามไซเบอรในภมภาค ASEAN (ASEAN CERT Incident Drill)
• แจงเตอน ระวงภย ชองโหวใน Internet Explorer ทกเวอรชน Microsoft ท�าใหผไมหวงดสามารถสงประมวลผลค�าสงอนตรายได (CVE-2013-3893)
• เขารวมและเผยแพรภารกจของไทยเซรต ในงาน ITU Telecom World 2013 Bangkok
• เฝาระวงการโจมตเวบไซตของหนวยงานส�าคญ และสนบสนนบรการระบบส�ารองส�าหรบหนวยงานทถกปดลอม ในชวงสถานการณไมปกต
• ตรวจพบชองโหวและประสานงานกบ บ. Naver เพอแกไขแอปพลเคชน LINE ปองกนแฮกเกอรสามารถดกรบขอมล และอานบทสนทนาได
• แจงเตอน ระวงภย ATM Skimmer และขอควรระวง ในการใชงานต ATM
• แจงเตอน ระวงภย ชองโหวของแอปพลเคชน LINE ผใชงานควรอปเดตเวอรชนใหม
• แจงเตอน ระวงภย ระวงภย Microsoft แจงเตอน ชองโหว 0-Day ใน Windows XP/2003 โจมตผาน Adobe Reader
OCTOBER
30
บรการของไทยเซรต
บทท�2.�
31
ในป�2556�ไทยเซรต�รบมอและจดการภยคกคาม
1,745 กรณ�นอกจากนยงใหบรการสำรองขอมลและสำรองระบบ
เมอบางหนวยงานถกปดลอม
ไทยเซรต (ThaiCERT) หรอศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย ภายใตการก�ากบดแลของส�านกงานพฒนาธรกรรมทางอเลกทรอนกส(องคการมหาชน) กระทรวงเทคโนโลยสารสนเทศและการสอสาร เรมใหบรการในเดอนธนวาคม 2554 มบทบาททส�าคญในการรบมอและจดการสถานการณดานความมนคงปลอดภยทางออนไลนในขอบเขตครอบคลมระบบเครอขายอนเทอรเนตภายในประเทศไทย และระบบคอมพวเตอรภายใตโดเมนเนม ประเทศไทย (.th) เปนศนยกลางในการประสานความรวมมอเพอแกไขและระงบเหตภยคกคามดานสารสนเทศ เพอรกษาความตอเนองของการด�าเนนภารกจของหนวยงาน (Business Continuity) และการใหบรการของหนวยงานตาง ๆ โดยเฉพาะหนวยงานทถอเปนโครงสรางพนฐานส�าคญของประเทศ (Critical Infrastructure) รวมถงใหการสนบสนนดานเทคนคกบหนวยงานในสายยตธรรม
เปาหมายการด�เนนงานของไทยเซรต
• เปนศนยกลางของประเทศในการประสานความ รวมมอและสนบสนนหนวยงานในการรกษาความมนคงปลอดภยดานสารสนเทศ
• สามารถใหบรการรบมอและจดการภยคกคามดานความมนคงปลอดภย เพอรกษาความตอเนองของการด�าเนนภารกจของหนวยงาน โดยเฉพาะหนวยงานทเปนโครงสรางพนฐานส�าคญของประเทศ
• จดเตรยมบคลากรใหมความพรอมและความสามารถทไดรบการยอมรบในระดบสากล ในการรบมอและจดการเหตภยคกคามดานสารสนเทศ
• สนบสนนหนวยงานในสายยตธรรมในการตรวจพสจนพยานหลกฐานดจทลเพอตดตามตวผกระท�าผดมาลงโทษ
• สงเสรมและสรางความตระหนกในการรกษาความมนคงปลอดภยดานสารสนเทศใหกบหนวยงานและประชาชน
นอกจากน การด�าเนนงานของไทยเซรต ยงสอดคลองกบกรอบปฏบตทก�าหนดไวใน ASEAN Economic Community Blueprint ในขอ B4 รายการท 51 และ 52 ในการสรางความเชอมนใหกบภาคธรกจและประชาชนในการท�าธรกรรมทางอเลกทรอนกส และลดความเสยงในการเกดความเสยหายจากภยคกคามดานสารสนเทศ
32
บรการรบมอ และจดการสถานการณ
ดานความมนคงปลอดภย
ไทยเซรต เปน Computer Emergency Response Team (CERT) ระดบประเทศทไดรบการยอมรบเปนตวแทนประเทศไทยในเครอขาย CERT ระหวางประเทศ เชน Asia Pacific CERT (APCERT) และ Forum of Incident Response and Security Teams (FIRST) ท�าหนาทรบแจงเหตภยคกคาม ตรวจสอบ วเคราะหหาสาเหตของปญหา และประสานงานกบหนวยงานทเกยวของเพอระงบเหตและแกไขปญหานน ๆ ปจจบนก�าหนดระดบคณภาพการใหบรการ (Service Level Agreement: SLA) ในการวเคราะหและแจงเตอนภยคกคามใหกบหนวยงานทเกยวของทราบภายใน 2 วนท�าการ เพอจ�ากดความเสยหายทอาจเกดขน และฟนฟระบบและการใหบรการโดยเรวทสด ซงจะยกระดบการด�าเนนการขนเปนขนตอนการรบมอและจดการภยคกคามในระดบประเทศ (National Incident Response Flow) ในป 2556 ไทยเซรตไดด�าเนนการรบมอและจดการสถานการณดานความมนคงปลอดภยไปแลว 1,745 กรณ แบงเปนประเภทการฉอฉล (Fraud) สงสดคดเปนรอยละ 39.77 การบกรกหรอเจาะระบบไดส�าเรจ (Intrusions) รอยละ 36.16 และความพยายามจะบกรกเขาระบบ (Intrusion Attempts) รอยละ 18.11 ในจ�านวนนรวมถงการใหค�าปรกษาแกหนวยงานของรฐทถกเจาะระบบเวบไซตเพอแกไขปญหา นอกจากนในชวงเหตการณไมปกตทางการเมองในปลายป 2556 ไทยเซรตไดใหความชวยเหลอในการส�ารองขอมล และจดหาสถานทส�าหรบตดตงระบบใหแกหนวยงานของรฐส�าคญหลายแหงทถกปดลอมและไมสามารถท�างานไดตามปกตดวย
33
บรการวชาการ ดานความมนคงปลอดภย
ไทยเซรตใหความส�าคญกบการพฒนาบคลากรเพอเสรมสรางทกษะในดานการรกษาความมนคงปลอดภย ในปจจบน ไทยเซรตถอเปนหนงในองคกรทมจ�านวนผเชยวชาญดานความมนคงปลอดภยทสงมากทสดแหงหนงของประเทศ ไดรบประกาศนยบตรวชาชพดานความมนคงปลอดภยไซเบอรในระดบสากล32 ใบจากสถาบนทไดรบยอมรบในระดบสากล เชน ISC2, SANS, EC-Council และ IRCA เปนตน ซงเจาหนาทของไทยเซรตไดน�าเอาความรและประสบการณดานความมนคงปลอดภยมาถายทอดผานกจกรรมบรรยาย สมมนา และอบรมความรใหกบบคลากรหนวยงานภายในประเทศ รวมถงไดจดกจกรรมซกซอมรบมอภยคกคามรวมใหกบหนวยงานภาครฐทส�าคญและภาคการเงนการธนาคารเปนประจ�าทกป อยางนอยปละ 1 ครง นอกจากนยงไดรวมมอกบสมาคมความมนคงปลอดภยระบบสารสนเทศหรอ TISA (Thailand Information Security Association) จดฝกอบรมและสอบวดระดบเพอพฒนามาตรฐานการรบรองบคลากรดานความมนคงปลอดภยระบบสารสนเทศของประเทศไทย และใหการรบรองผทสอบประเมนผานเกณฑการรบรองอก 20 คนในปแรก (2556)
34
บรการแจงเตอนและเผยแพรขอมลขาวสารดานความมนคงปลอดภย
ไทยเซรตตดตามภยคกคามดานสารสนเทศจากเครอขาย CERT ทวโลก รวมถงแหลงขาวอน ๆ และน�าขอมลมาตรวจสอบและวเคราะหผลกระทบกอนทจะประกาศแจงเตอนภยลวงหนา เพอใหหนวยงานและประชาชนตระหนกและพรอมทจะรบมอกบเหตการณภยคกคามทอาจเกดขน ผลงานในรอบป ไดแก (1) รายงานประจ�าปไทยเซรต ทรวบรวมและวเคราะหสถตทงปกบกรณศกษาภยคกคามทนาสนใจ (2) หนงสอ Cyber Threat Alerts 2013 ซงแจงเตอนภยคกคามทสงผลกระทบเปนวงกวางตอผใชงานในประเทศ (3) หนงสอ ThaiCERT Security Articles 2013 ซงเปนการรวมบทความดานความมนคงปลอดภยดานสารสนเทศ (4) ขอมลเชงสถตภยคกคามทไทยเซรตประสานงานรบมอและจดการภยคกคามในแตละเดอน (5) เวบไซตของไทยเซรต ยงใหบรการเผยแพรขอมลขาวสารดานความมนคงปลอดภย ทางออนไลน การแจงเตอนภยคกคามตาง ๆ ทมผลกระทบตอผใชในประเทศไทย จ�านวนกวา 50 เรอง เชน การแจงเตอน ระวงภย เวบไซตส�านกขาวหลายแหงในประเทศไทยถกเจาะ ฝงโทรจนทหลอกใหดาวนโหลดแอนตไวรสปลอม การแจงเตอน ระวงภย ATM Skimmer และขอควรระวงในการใชงานต ATM และการแจงเตอนชองโหวของแอปพลเคชน LINE
35
บรการตรวจพสจน พยานหลกฐานดจทล
ศนยดจทลฟอเรนสกสของ ไทยเซรต ใหบรการตรวจพสจนพยานหลกฐานทสอดคลองกบมาตรฐานสากลและรองรบการกาวไปส e-Court ในอนาคต ทงนเพอใหสามารถน�ารายงานผลการตรวจพสจนฯ ไปใชอางองในศาลไดอยางมนใจ มผเชยวชาญทไดรบประกาศนยบตรจากสถาบนทไดรบการยอมรบทวโลก ในป 2556 ใหบรการรวมจ�านวนทงสน 11 กรณ จากหนวยงาน เชน ส�านกงานต�ารวจแหงชาต กองบงคบการปราบปรามการกระท�าความผดเกยวกบเทคโนโลย (ปอท.) กองบงคบการปราบปรามการ กระท�าความผดเกยวกบอาชญากรรมทางเศรษฐกจ (ปอศ.) และส�านกงานปลดกระทรวงเทคโนโลยสารสนเทศและการสอสาร รวมปรมาณขอมลทตรวจพสจน 14 เทราไบต ประเภทของพยานหลกฐานดจทลทไดรบมามหลายรปแบบ เชน เครองคอมพวเตอรตงโตะ โทรศพทมอถอ ไฟลอมเมจของเครองแมขาย ฮารดดสกทถอดมาจากเครองคอมพวเตอรผตองสงสย หรอแมแตการไปเกบพยานหลกฐานจากสถานทเกดเหต เพอวเคราะหหารองรอยและทมาของผเจาะระบบ คนหาพยานหลกฐานการกระท�าผดละเมดทรพยสนทางปญญา ในหลายกรณตองใชเทคนคและเครองมอทมความซบซอนมาชวยตรวจวเคราะหและหาความเชอมโยงของพยานหลกฐานทตรวจพบ เชน การอานขอมลจากชปหนวยความจ�าของโทรศพทมอถอโดยตรง การตรวจสอบพฤตกรรม ของมลแวรในระบบจ�าลองภายในหองปฏบตการ เปนตน
36
บรการตรวจสอบและประเมน ชองโหวของระบบสารสนเทศ
การตรวจสอบและประเมนชองโหวของระบบสารสนเทศอยางสม�าเสมอโดยผเชยวชาญดานความมนคงปลอดภยชวยใหหนวยงานรสภาพของปญหาและชองโหวของระบบสารสนเทศ และเปนขอมลส�าคญประกอบการวางแผนและจดท�าแผนบรหารจดการความเสยง (Risk Management Plan: RMP) และแผนบรหารจดการความตอเนองทางธรกจ (Business Continuity Management: BCM) ของหนวยงาน ในป 2556 ไทยเซรตไดเปดใหบรการตรวจสอบและประเมนชองโหว (Vulnerability Assessment) ของระบบสารสนเทศใหแกสวนราชการทเปนโครงสรางพนฐานส�าคญของประเทศไทยจ�านวน 28 แหงใน 2 ลกษณะ ไดแก (1) การตรวจสอบและประเมนชองโหวในระดบระบบปฏบตการและบรการ และ (2) การตรวจสอบชองโหวบนเวบแอปพลเคชน ผลพบวามถง 1,089 ชองโหวทตองไดรบการแกไข ซงไทยเซรตรวมกบส�านกมาตรฐาน สพธอ. อยระหวางการจดท�ารางเอกสารมาตรฐานการรกษาความมนคงปลอดภยของเวบไซต เพอใหหนวยงานในประเทศเปนแนวทางส�าหรบการบรหารจดการและพฒนาเวบไซตใหมความมนคงปลอดภย
38
รายงาน THREAT & CYBERSECURITY ป 2556
บทท�3�
39
ในป�2556�พบวาภยคกคามประเภท�Botnet�และ�Open�DNS�Resolver�มจำ�นวนหมายเลขไอพทไมซำ�กน�และเกยวของกบภยคกคามทง�2�ประเภทนสงขน�ประมาณ�10�เทาตว
3.1�ภยคกคาม�ทไทยเซรตไดรบแจง
ไทยเซรตไดรบแจงเหตภยคกคามทเกดขน
ในขอบเขตการด�าเนนงาน (Constituency)
ของไทยเซรต ครอบคลมระบบเครอขาย
อนเทอรเนตภายในประเทศไทย และระบบ
คอมพวเตอรภายใตโดเมนเนมของประเทศไทย
(.th) ผาน 2 ชองทาง ประกอบดวย ผเสยหาย
หรอผทมสวนไดสวนเสย เชน หนวยงานของ
เครอขาย CERT ในตางประเทศ หรอหนวย
งานผใหบรการการรกษาความมนคงปลอดภย
สารสนเทศกบผเสยหาย แจงเหตภยคกคาม
โดยตรงกบไทยเซรตผานทางอเมลหรอโทรศพท
และหนวยงานในเครอขาย CERT สงขอมลภย
คกคามทตรวจพบในขอบเขตการด�าเนนงาน
ของไทยเซรตใหผานระบบอตโนมต ซงในป
2556 ไทยเซรต ไดรบแจงเหตภยคกคามผาน
ระบบอตโนมต (Automatic Feed) เพมเตม
จากป 2555 ประกอบดวย ขอมลภยคกคาม
Botnet และรายการระบบเวบไซตทถกเจาะ
ระบบส�าเรจ ท�าใหไทยเซรตสามารถวเคราะห
ขอมลเกยวกบสถานการณภยคกคามของระบบ
เครอขายอนเทอรเนตภายในประเทศไทย ได
ครอบคลมและแมนย�ามากขน ซงขอมลท
ไดรบแจงทงหมด ไทยเซรตจะด�าเนนการ
วเคราะห เพอยนยนวาเหตภยคกคามทไดรบ
แจงไดเกดขนจรงหรอยนยนวาเหตภยคกคาม
ไดรบแจงจากแหลงขอมลทนาเชอถอ กอนจะ
ประสานไปยงผทเกยวของเพอใหด�าเนนการแก
ปญหาภยคกคามทไดรบแจงขางตน อกทงยง
น�าขอมลสถานการณดานความมนคงปลอดภย
ทไดรบแจงทงหมดในป 2556 มาวเคราะห
แนวโนมภย คกคามดานสารสนเทศทเกดขน และ
จดท�าบทวเคราะหสถตสถานการณดานความ
มนคงปลอดภยคอมพวเตอร ในภาพรวมของ
ประเทศไทย ซงสามารถน�าสรปประเดนทนา
สนใจได ดงน
• รายงานภยคกคามทไดรบมากทสด
ผานระบบอตโนมต เปนภยคกคามประเภท
Botnet โดยมจ�านวนถง 41,046,337 รายการ
คดเปนหมายเลขไอพทไมซ�ากนถง 2,829,348
หมายเลข รองลงมาคอ Open DNS Resolver
และ Spam มจ�านวนหมายเลขไอพทไมซ�ากน
1,695,783 และ 848,976 หมายเลข ตาม
ล�าดบ
• เมอเปรยบเทยบกบขอมลในป 2555
พบวาภยคกคามประเภท Botnet และ Open
DNS Resolver มจ�านวนหมายเลขไอพทไมซ�า
กนและเกยวของกบภยคกคามทง 2 ประเภท
นสงขนอยางมนยส�าคญ (สงขนประมาณ 10
40
เทาตว) ชใหเหนถงเครองคอมพวเตอรในระดบ
ผใชงานในประเทศไทย ทยงคงเปนจดออน
และเปนเปาหมายหลกของการโจมตดวยมลแวร
รวมถงปญหาการตงคาใหบรการ DNS ซงมอย
เปนจ�านวนมาก
• ในป 2556 ประเทศไทยมจ�านวน
เครองคอมพวเตอรทตรวจพบวาตกเปนเหยอ
ของการตดมลแวรประเภท Botnet เฉลย
อยท 60,000 เครองตอวน โดยในวนทไดรบ
รายงานมากทสด (11 เม.ย. 2556) พบเครอง
ตดมลแวรประเภท Botnet อยประมาณ
100,000 เครอง โดยปจจบน ไทยเซรต ได
สงขอมลเครองทตรวจพบวาตดมลแวรใหกบ
ผใหบรการอนเทอรเนตรายทพบวา มเครอง
ตดมลแวรจ�านวนมาก ในเครอขายเปนรายวน รวม
ถงไดใหค�าปรกษาวธการแกไขปญหาดงกลาว
• จาก 10 อนดบแรกของผใหบรการ
อนเทอรเนตทเปนเจาของหมายเลขไอพ ท
ไดรบแจงภยคกคามทเกดขนใน เครอขายสง
ทสด พบวาใน 4 อนดบแรก ไดแก TOT, True
Internet, Triple T Broadband และ Jastel
Network มจ�านวนหมายเลขไอพทไดรบการ
แจงรวมกนเปนสดสวนสงถง 91%
• เมอพจารณาภยคกคาม ทเกยวกบ
การบกรกเวบไซต ซงไดแก Phishing, Web
Defacement และ Malware URL พบวาม
เครองคอมพวเตอรทใหบรการเวบไซตถกบกรก
ประมาณ 3,000 เครอง โดยมากกวารอยละ 50
เปนการบกรกในลกษณะ Web Defacement
ในขณะทเวบทเผยแพรมลแวร (Malware
URL) มจ�านวนกวา 12,000 รายการ แสดง
ใหเหนวาจดประสงคของผโจมตไมไดตองการ
เพยงแคประกาศตววาสามารถเจาะเวบไซตได
แตมจดประสงคทจะใหผใชงานตดมลแวรเพอ
แสวงหาผลประโยชนในดานอน ๆ ดวย
• ในป 2556 ไทยเซรตไดรบมอและ
จดการภยคกคามทงหมด 1,745 รายงาน
เพมขนมาประมาณ 2 เทาจากปกอนหนาท
มเพยง 792 รายงาน โดยประเภทภยคกคาม
สวนใหญคอ Phishing 694 รายงาน และ
Web Defacement 631 รายงาน รวมกน
เปนสดสวนกวา 76% ของจ�านวนรายงาน
ทงหมด ซงรายงาน Web Defacement เพม
ขนจากปทแลวกวา 98% เนองจาก ไทยเซรต
มการรวบรวมขอมลการเจาะระบบเวบไซตใน
ประเทศไทยจากหนวยงานในเครอขาย CERT
เพมขนจากชองทางการรบแจงจากหนวยงาน
ทไดรบผลกระทบเพยงอยางเดยว
ผโจมตไมไดตองการเพยงแคประกาศตววาสามารถเจาะเวบไซตได�แตมจดประสงค�ทจะใหผใชงานตดมลแวร��เพอแสวงหาผลประโยชน�
ในดานอน�ๆ�ดวย
41
3.1.1 สถตภยคกคามดานสารสนเทศทไดรบแจงผานระบบอตโนมต
จากการศกษาขอมลจ�านวน ผทไดรบ
ผลกระทบจากภยคกคามประเภทตาง ๆ โดย
นบจากหมายเลขไอพทไดรบแจงในชวงทกครง
ป พบจดทนาสนใจคอ จ�านวนหมายเลขไอพ
ทไมซ�าของ Botnet ในครงแรกของป 2556
เพมขนจากชวงเวลากอนหนาถง 8 เทา และ
จ�านวนหมายเลขไอพทไมซ�าของ Open DNS
Resolver ในครงหลงของป 2556 เพมขน
จากชวงเวลากอนหนาถง 9 เทา เนองจาก
ไทยเซรตเรมไดรบขอมลประเภท Botnet จาก
ShadowServer ในเดอนมกราคม 2556 และ
เรมไดรบขอมลประเภท Open DNS Resolver
จาก ShadowServer ในเดอนสงหาคม 2556สดสวน (รอยละ)
ก.ค. - ธ.ค. 2555 ม.ค. - ม.ย. 2556 ก.ค. - ธ.ค. 2556
Botnet
Open DNS Resolver
Spam
Scanning
Open Proxy Server
Web Defacement
Malware URL
Phishing
Brute Force
DDoS
0 20 40 60 80 100
กราฟท 1 จ�านวนหมายเลขไอพทไมซ�าทไดรบรายงานในแตละประเภทภยคกคามในชวงทกครงป
42
True Internet: 2,249,472TOT: 1,355,520Jastel Network: 1,094,656Triple T Broadband: 1,069,056TT&T: 403,456CAT Telecom: 308,224DTAC: 266,240SBN: 207,616AWN: 102,400Real Move: 65,536
True Internet: 2,249,472TOT: 1,355,520Jastel Network: 1,094,656Triple T Broadband: 1,069,056TT&T: 403,456CAT Telecom: 308,224DTAC: 266,240SBN: 207,616AWN: 102,400Real Move: 65,536
จากกราฟท 2 พบวา ผใหบรการอนเทอรเนตทพบกบปญหาดานความมนคงปลอดภย
มากทสดคอ TOT ซงมจ�านวนรายงานคดเปนสดสวนถง 30% รองลงมาคอ True Internet
(22%) Triple T Broadband (21%) และ Jastel Network (20%) โดยจ�านวนรายงานจาก
บรษททง 4 รายนสามารถคดเปนสดสวนรวมกนไดถง 93% ของจ�านวนรายงานทงหมด และ
ยงจดอยในกลมของโครงขายเครองคอมพวเตอรทงสน ในขณะทบรษททมโครงขายโทรศพท
มอถออยาง Real Move, DTAC และ Advanced Wireless Network นน แมจะตดอยใน 10
อนดบแรกดวย แตมสดสวนของจ�านวนรายงานรวมกนอยเพยง 4% เทานน ในขณะทกราฟท
3 เปนการแสดงจ�านวนหมายเลขไอพของผใหบรการเครอขาย 10 อนดบแรกทไดรบแจงเหต
ภยคกคามสงสด เมอนบตามจ�านวนหมายเลขไอพทไมซ�า
กราฟท 2 10 อนดบแรกของผใหบรการอนเทอรเนตทมจ�านวนรายงานทไดรบแจงโดยเฉลยสงสด
นบเฉพาะหมายเลขไอพทไมซ�า
กราฟท 3 จ�านวนหมายเลขไอพของผใหบรการเครอขาย 10 อนดบแรกทไดรบแจงเหตภยคกคามสงสด
นบตามจ�านวนหมายเลขไอพทไมซ�า
43
จากสถตภยคกคามเมอจ�าแนกตามผใหบรการ
อนเทอรเนต พบวาในบรรดาผใหบรการ 4 อนดบ
แรกทมจ�านวนหมายเลขไอพทไดรบแจงสงทสดนน
มรายงานภยคกคามประเภท Botnet เปนสดสวน
สงสด รองลงมาเปน Open DNS Resolver และ
Spam ตามล�าดบ ในขณะทผใหบรการทมโครงขาย
โทรศพทมอถอสวนใหญจะพบรายงานภยคกคาม
ประเภท Spam กบ Botnet เปนสวนใหญ โดย
เฉพาะ Real Move และ Advanced Wireless
Network ทมรายงานทไดรบแจงเปนภยคกคาม
ประเภท Botnet ทงหมด ทงนเมอนบจ�านวน
รายงานของภยคกคามประเภท Botnet, Open
DNS Resolver และ Spam รวมกนแลว พบวา
มมากกวา 90% ของจ�านวนรายงานทงหมดใน
แตละผใหบรการเครอขาย
Botnet Open DNS Resolver Spam (Other)
TOT
True Internet
Triple T Broadband
Jastel Network
CAT Telecom
SBN
Real Move
AWN
DTAC
TT&T
0 20 40 60 80 100
กราฟท 4 สดสวนของภยคกคามแตละประเภททผใหบรการอนเทอรเนตแตละรายไดรบแจง
44
Open DNS resolver
TOT: 42.2%True Internet: 38.4%Jastel Network: 9.1%Triple T Broadband: 5.7%CAT Telecom: 3.2%ADC: 0.2%CS Loxinfo: 0.2%KSC: 0.1%MoE: 0.1%TT&T: 0.1%(Other): 0.6%
Botnet
TOT: 30.8%True Internet: 21.4%Triple T Broadband: 20.4%Jastel Network: 19.1%CAT Telecom: 1.9%SBN: 1.5%Real Move: 1.1%AWN: 0.9%DTAC: 0.8%TT&T: 0.4%(Other): 1.8%
Scanning
True Internet: 29.9%Triple T Broadband: 26.8%TOT: 21.8%Jastel Network: 15.0%CAT Telecom: 1.4%CS Loxinfo: 0.9%MoE: 0.7%UniNet: 0.5%BB Broadband: 0.3%DTAC: 0.2%(Other): 2.4%:
Brute Force
True Internet: 24.6%TOT: 18.9%CAT Telecom: 10.7%Triple T Broadband: 9.5%MoE: 6.6%UniNet: 6.3%Jastel Network: 5.0%CS Loxinfo: 2.5%INET: 1.9%KMUTNB: 0.9%(Other): 12.9%
Spam
TOT: 62.1%Triple T Broadband: 15.8%True Internet: 14.1%SBN: 2.7%DTAC: 1.7%Jastel Network: 1.0%ADC: 0.4%UniNet: 0.4%PROEN: 0.4%CAT Telecom: 0.2%(Other): 1.1%
Open proxy server
Triple T Broadband: 43.8%Jastel Network: 27.1%CAT Telecom: 14.0%TOT: 10.8%True Internet: 2.3%SBN: 0.7%MoE: 0.4%UniNet: 0.2%CS Loxinfo: 0.1%Chiang Mai U.: 0.1%(Other): 0.5%
Malware URL
CAT Telecom: 35.0%CS Loxinfo: 15.2%MoE: 6.2%INET: 5.7%Metrabyte: 4.8%UniNet: 3.2%World Net & Services: 2.7%ISSP: 2.6%PROEN: 2.5%Triple T Broadband: 2.3%(Other): 19.8%
Phishing
CAT Telecom: 26.7%TOT: 14.7%CS Loxinfo: 13.1%MoE: 5.9%Metrabyte: 5.1%INET: 4.7%UniNet: 3.8%True Internet: 2.1%ISSP: 2.0%Siamdata Communication: 2.0%(Other): 19.8%
Web defacement
CAT Telecom: 29.9%CS Loxinfo: 13.9%MoE: 6.4%INET: 5.5%UniNet: 5.4%Metrabyte: 4.4%World Net & Services: 2.3%True Internet: 2.2%TOT: 2.1%ISSP: 1.9%(Other): 26.0%
ชดกราฟท 1 สดสวนจ�านวนหมายเลขไอพไมซ�าของเครอขายตาง ๆ จ�าแนกตามประเภทภยคกคาม
45
จดทนาสงเกตคอม�เครอขายของภาคการศกษา�
ไดแก�MoE�(กระทรวงศกษาธการ)�และ�UniNet (เครอขายสารสนเทศเพอพฒนาการศกษา)�ตดอย
ใน 10 อนดบแรกของแหลงเกดเหตภยคกคามประเภท�
Phishing�และ�Web Defacement�ดวย
เมอพจารณาสดสวนจ�านวนหมายเลขไอพไมซ�าของเครอขายตาง ๆ จ�าแนกตามประเภทภยคกคามแลว กลมบรษททตดอนดบตน ๆ สวนใหญแลวจะเปนผใหบรการเครอขายรายใหญ เชน TOT, True และ Triple T Broadband ซงไมนาแปลกใจเนองจากผใหบรการเหลานมหมายเลขไอพอยในการครอบครองเปนจ�านวนมาก แตมจดทนาสงเกตคอมเครอขายของภาคการศกษา ไดแก MoE (กระทรวงศกษาธการ) และ UniNet (เครอขายสารสนเทศเพอพฒนาการศกษา) ตดอยใน 10 อนดบแรกของ แหลงเกดเหตภยคกคามประเภท Phishing และ Web Defacement ดวย
อกประเดนหนงทสงเกตเหนไดชดกคอ ผใหบรการอนเทอรเนต บรษท กสท โทรคมนาคม จ�ากด (มหาชน) หรอ CAT Telecom ซงครอบครองจ�านวนหมายเลขไอพ เพยง 308,224 หมายเลข แตกลบไดรบผลกระทบจากปญหาภยคกคามใกลเคยงกบกลมบรษททมหมายเลขไอพจ�านวนมากเปนอนดบตน ๆ โดยเฉพาะอยางยงในภยคกคามประเภท Malware URL, Phishing และ Web Defacement ท CAT Telecom มจ�านวนหมายเลขไอพทไดรบแจงเปนอนดบหนง นอกจากน เครอขายของ CAT Telecom ยงประสบปญหาภยคกคามประเภท Open proxy Server มากกวา TOT ทงทม
หมายเลขไอพนอยกวาถง 4 เทา โดยสาเหตนนสนนษฐานวาเกดจากรปแบบการใหบรการของ CAT Telecom ทสวนใหญจะเปดใหบรการส�าหรบองคกร สอดคลองกบลกษณะของประเภทภยคกคามทกลาวมาขางตน ทจะเกดเฉพาะกบเครองแมขาย
ภยคกคามเกอบทกประเภทจะมการแจงรายงานกระจายไปยงบรษทหลายแหงในสดสวนทแตกตางกนไป ยกเวนภยคกคามประเภท Spam เทานนทมสดสวนการแจงรายงานเกดขนกบผใหบรการอนเทอรเนตเพยงรายเดยวมากกวาครงหนง ซงกคอ TOT ทม
สดสวนสงถง 62%
46
Conficker: 46.2%Zeus: 13.5%ZeroAccess: 11.8%Sality: 11.6%Pushdo: 7.6%Citadel: 5.8%Slenfbot: 1.5%Gameover: 0.6%Kelihos: 0.3%Dorkbot: 0.2%(Other): 0.9%
กราฟท 5 10 อนดบแรกของมลแวรประเภท Botnet ทไดรบแจง
3.1.1.1 Botnet
ตารางท 1 ปทเรมพบและพฤตกรรมของมลแวรประเภท Botnet ใน 10 อนดบแรก
2551
ปทเรมพบความสามารถ
DoS สง Spam ขโมยขอมล ตดตงมลแวรอน อน ๆ
มลแวร
2550
2554
2546
2550
2554
2550
2554
2553
2546
Conficker
Zeus
ZeroAccess
Sality
Pushdo
Citadel
Slenfbot
Gameover
Kelihos
Dorkbot
47
ควำมสำมำรถของมลแวรทจ�ำแนกไวในตำรำงขำงตนนน
แบงออกเปน 5 หวขอ โดยมรำยละเอยดดงตอไปน
1. ความสามารถในการโจมตแบบดอส (DoS) ตวอยางเชน Pushdo สามารถโจมตเวบไซตทใช SSL โดยใชวธสงขอมลทผดปกตเขาไปจ�านวนมาก ท�าใหเครองบรการเวบตองท�างานหนกจนไมสามารถใหบรการได
2. ความสามารถในการเปนเครองมอสงสแปม (Spam) ตวอยางเชน Kelihos ทแพรกระจายในป 2011 ถกผไมหวงดใชเปนเครองมอในการสงสแปมเกยวกบการเคลอนไหวทางการเมองในยโรป เปนตน
3. ความสามารถในการขโมยขอมลตาง ๆ (โจรกรรมขอมล) ทเกบไวในเครองคอมพวเตอรแลวสงกลบไปใหกบผไมหวงด รวมถงการลกลอบบนทกประวตการกดแปนพมพทเรยกกนวา Key Logging ตวอยางทเปนทรจก คอ Zeus ซงถอวาเปน Banking Malware เพราะมพฤตกรรมขโมยชอผใชและรหสผานของบรการธนาคารออนไลนเปนหลก
4. ความสามารถในการตดตงมลแวรอน ๆ ซงเรยกพฤตกรรมนวา Dropper เชน Pushdo ทมการ
รายงานวา มการใชเปนเครองมอเพอตดตงมลแวร Cutwail ซงมพฤตกรรมในการสงสแปม
5. ความสามารถอน ๆ ทไมสอดคลองกบ 4 กลมขางตน เชน การปด Windows Update หรอรบกวนการท�างานของโปรแกรมแอนตไวรส ตวอยางของมลแวรทมพฤตกรรม เชน นไดแก Sality ทสามารถปดการท�างานของ Windows Firewall เปนตน
ส�าหรบภยคกคามประเภท Botnet ซง 97% ของรายงาน
มระบชอมลแวรนน พบวามลแวรทไดรบแจงมากทสดคอ
Conficker กวา 46% รองลงมาคอ Zeus (14%), ZeroAccess (12%), Sality (12%) และ Pushdo (8%) ซงใน 5 อนดบแรกนนอกจาก ZeroAccess ทถกคนพบครงแรกเมอป 2554 แลว มลแวรตวอน ๆ นนลวนเปนมลแวรทถกคนพบมาเปนเวลานานมากกวา 5 ปขนไปทงสน โดยเฉพาะ Conficker ททาง Microsoft ไดออกประกาศแจงเตอน รวมถงออกแพทชและวธแกไขชองโหวทมลแวรใชในการโจมตมาตงแตป 25511 ซง
1 Microsoft, https://technet.microsoft.com/en-us/library/security/ms08-067.aspx
เปนไปไดวา เครองคอมพวเตอรอาจตดมลแวรเหลานมาเปนเวลานานแลว หรอระบบยงคงมชองโหวเกา ๆ ทเคยไมไดรบการแกไข จงเปนชองทางใหมลแวรไมวาจะเปนสายพนธเกาหรอใหม สามารถเขามาโจมตระบบได ซงแสดงใหเหนวาประเทศไทยมเครองคอมพวเตอรจ�านวนมากทยงขาดการดแลรกษาดานความมนคงปลอดภย
เครองคอมพวเตอรยงคงมชองโหวเกา�ๆ�ทไมไดรบการแกไข�เปดโอกาสใหมลแวรไมวาจะเปนสายพนธเกา
หรอใหมสามารถเขามาโจมตระบบไดแสดงใหเหนวาประเทศไทยมเครอง
คอมพวเตอรจำนวนมากทยงขาดการดแลรกษาดานความมนคงปลอดภย
48
อกประเดนหนงทนาสนใจกคอ 19% ของรายงาน Botnet ทไดรบแจง เปนมลแวรทมเปาหมายในการขโมยขอมลสวนบคคลทใชในการท�าธรกรรมออนไลนโดยตรง เชน รหสผานของบญชผใชและเลขบตรเครดต โดยมลแวรทไดรบแจงสงทสด 5 อนดบแรกคอ Zeus, Citadel, Gameover (พฒนาตอยอดมาจาก Zeus), Bamital และ Black Energy รายงานของ Kaspersky ทระบวามลแวรประเภทน รวมถงมลแวรตวอน ๆ มจดประสงคในการสรางผลประโยชนทางการเงนใหกบผไมหวงดนน มจ�านวนเพมสงขนกวา 27.6% เมอเทยบ
กบป 25552 ไทยเซรตเองกไดรบแจงและตรวจพบมลแวรบนระบบปฏบตการ Android หลายตวทมความสามารถในลกษณะดงกลาว ตามบทความแจงเตอนทไดเผยแพรบนเวบไซตของไทยเซรต ตลอดป 2556 แสดงใหเหนวา อตราการเตบโตของมลแวรประเภทนมแนวโนมจะเพมสงขนอกในป 2557 โดย
2 Kaspersky, http://www.kaspersky.com/about/news/virus/2014/Kaspersky-Lab-statistics-attacks-involving-financial-malware-rise-to-28-million-in-2013
เฉพาะบนระบบปฏบตการของอปกรณพกพา เนองจากในปจจบนสมารตโฟนและแทบเลตไดกลายเปนอปกรณทผคนนยมใชงานในชวตประจ�าวน ในขณะทระบบปฏบตการและแอปพลเคชนของอปกรณเหลานยงไมมมาตรการรกษาดานความมนคงปลอดภย ทดทดเทยมกบระบบปฏบตการบนคอมพวเตอรทวไปได ท�าให อปกรณพกพาตกเปนเปาหมายอนดบแรก ๆ ในการโจมตจากผไมหวงด
อยางไรกตาม ทาง Microsoft เองกได
รวมมอกบ FBI และหนวยงานอน ๆ ทมหนา
ทรบผดชอบและไดรบผลกระทบจากมลแวร
ในการเขายดเครองแมขายทเปนเครองควบคม
และสงการ Botnet หลายโครงการ ยกตวอยาง
เชน ในเดอนมถนายน 2556 ไดเขายดเครอง
แมขายทควบคม Botnet ทตดมลแวร Citadel
ภายใตปฏบตการทชอ Operation b543 และ
ในเดอนธนวาคม 2556 กไดเขายดเครองแมขาย
3 Microsoft, http://www.microsoft.com/eu/on-the-issues/article/microsoft-works-with-financial-services-industry-leaders-law-enforceme.aspx
19% ของรายงาน�Botnet�ทไดรบแจง�เปนมลแวรทมเปาหมายในการ�
ขโมยขอมลสวนบคคลทใชในการทำธรกรรมออนไลนโดยตรง�เชน�
รหสผานของบญชผใชและเลขบตรเครดต
ปจจบนสมารตโฟนและแทบเลตไดกลายเปนอปกรณทผคนนยมใชงานในชวตประจำวน�ในขณะทระบบปฏบตการรวมถงแอปพลเคชนของอปกรณเหลานยงไมมมาตรการรกษาดานความมนคงปลอดภยทด
ทดเทยมกบระบบปฏบตการบนคอมพวเตอรทวไปได��ทำให�อปกรณพกพา�ตกเปน�
เปาหมายอนดบแรก ๆ ในการโจมตจากผไมหวงด
49
ทควบคม Botnet ทตดมลแวร ZeroAccess4
ซงคาดวาผลจากปฏบตการเหลานจะท�าให
จ�านวน Botnet ทพบในป 2557 ลดลง
ส�าหรบสถตจ�านวนหมายเลขไอพทไมซ�ากนของ Botnet ทมสงถง 2.8 ลานหมายเลขนน พบวาการค�านวณโดยการนบจ�านวนหมายเลขไอพทไมซ�าตลอดป 2556 อาจไมสามารถสะทอนจ�านวนเครองคอมพวเตอรทมปญหา Botnet ไดอยางถกตอง เนองจากรปแบบการใชหมายเลขไอพ ในเครอขายบรอดแบนดตามบานโดยสวนใหญ จะไมมการก�าหนดหมายเลขไอพจรงใหกบผใชแตละรายอยางถาวร หมายเลขไอพใหมจะถกก�าหนดใหผใชงานทกครงทเรมใชงาน และมอายในการใชงานหมายเลขไอพน เปนเวลาจ�ากดประมาณ
4 Microsoft, http://www.microsoft.com/en-us/news/press/2013/dec13/12-05zeroaccessbotnetpr.aspx
24 ชวโมง โดยหลงจากหมดอายการใชงานหมายเลขไอพนแลว ผใหบรการอนเทอรเนตจะก�าหนดหมายเลขไอพใหมให
ดวยเหตน เครองคอมพวเตอรทตดมลแวรประเภท Botnet อาจถกนบวาวาพบ Botnet ทกวนดวยหมายเลขไอพทตางกน ท�าใหการค�านวณจ�านวนเครองคอมพวเตอรทตดมลแวรประเภท Botnet ดวยวธการนบหมายเลขไอพทไมซ�า ทพบตลอดทงป มความคลาดเคลอน จากความเปนจรงคอนขางมาก ดงนนจงไดมหลกการในการค�านวณจ�านวนเครองคอมพวเตอรทตดมลแวรประเภท Botnet อกรปแบบหนงคอ การใชจ�านวนสงสดของหมายเลขไอพท ไมซ�ากนในรายงานของแตละวนจากขอมลทงป5 ซงมจ�านวนเทากบ 105,232 หมายเลข นนหมายความวา มเครองคอมพวเตอรจ�านวน
5 CERT Polska. https://www.cert.pl/PDF/Report_CP_2013.pdf
ไมนอยกวาหนงแสนเครองในประเทศไทยทตด Botnet และในความเปนจรงอาจมจ�านวนมากกวาน เนองจากในระบบเครอขายโดยทวไป มกมคอมพวเตอรหลายเครองทเชอมตอกบอนเทอรเนตโดยใชหมายเลขไอพจรงรวมกน สวนภยคกคามประเภท Open Proxy Server, Web Defacement, Malware URL และ Phishing นน ยงคงสามารถใช วธการค�านวณ โดยการนบจ�านวนหมายเลขไอพทไมซ�าตลอดทงปได เนองจากภยคกคามประเภทเหลานจะเกดกบเครองแมขาย ซง
มกไดรบการก�าหนดหมายเลขไอพจรงไวโดย
ไมไดมการเปลยนแปลง
มเครองคอมพวเตอร�จำนวนไมนอยกวา�หนงแสนเครองใน
ประเทศไทยทตด Botnet และในความเปนจรงอาจม
จำนวนมากกวาน�เนองจากในระบบเครอขายโดย
ทวไป�มกมคอมพวเตอรหลายเครองทเชอมตอกบอนเทอรเนตโดยใชหมายเลข�
ไอพจรงรวมกน
50
3.1.1.2 Open DNS Resolver นอกจาก Botnet แลว Open DNS
Resolver กเปนภยคกคามอกประเภทหนงท
พบเปนจ�านวนมากในประเทศไทย โดย Open
DNS Resolver คอเครองคอมพวเตอรหรอ
อปกรณเครอขายใด ๆ กตามทเปดใหบรการ
Recursive DNS แกผใชทกรายทเขามาขอใช
บรการ ท�าใหผไมหวงดอาศยหลกการท�างาน
ในสวนนโจมตระบบดวยการสงค�ารองขอไปยง
Open DNS Resolver เปนจ�านวนมาก โดย
ปลอมแปลงหมายเลขไอพของตนใหกลายเปน
หมายเลขไอพของระบบเปาหมายทจะโจมต
ท�าใหเมอ Open DNS Resolver ดงกลาวได
รบค�ารองขอ จะสงค�าตอบกลบไปยงระบบ
เปาหมายทผไมหวงดตองการโจมต และเมอ
ระบบทถกโจมต ไดรบขอมลเปนจ�านวนมาก
จนกระทงแบนดวดทของเครอขายมการใชงาน
จนเตม กจะสงผลใหระบบดงกลาวไมสามารถ
ใหบรการตามปกตตอไปได
ทงนสาเหตส�าคญทท�าให Open DNS
Resolver สามารถน�าไปใชเปนเครองมอใน
การโจมตมอยดวยกน 2 สวนคอ การเปดให
บรการแบบสาธารณะทไมวาใครกตามสามารถ
เขามาขอใชบรการได และการเปดใชงานฟงกชน
Recursive DNS ซงหมายความวาระบบทเปด
ใชงานฟงกชนดงกลาวจะเปนผคนหาและสงค�า
ตอบสดทายกลบไปยงผใช โดยไมไดสงค�าตอบ
เปนทอยของ DNS Server ตวอนเพอใหผใชไป
รองขอขอมลเพมเตมเอง ดวยสาเหตขอแรกท
เปนการเปดชองทางใหผไมหวงดสามารถเรม
ท�าการโจมตได รวมกบสาเหตขอทสองทเปด
โอกาสใหผไมหวงด สามารถสงค�ารองขอท
โดยทวไปมขนาดเลก แตไดค�าตอบทมขนาด
ใหญกวาหลายเทากลบมา ท�าใหการโจมต
วธนสามารถท�าไดงาย และมประสทธภาพสง
โดยไมจ�าเปนตองใชทรพยากร ระบบจ�านวนมาก
โดยรปแบบการโจมตทผไมหวงดนยมใชคอการ
รปท 1 ลกษณะการโจมตดวยเทคนค DNS Amplification Attack (ทมา: secureworks.com)
51
สงการให Botnet สงค�ารองขอไปยง Open
DNS Resolver หลาย ๆ ตวเพอท�าการโจมต
ระบบเปาหมายพรอมกน เกดเปนการโจมตท
เรยกวา DNS Amplification Attack ซงเปน
เทคนคหนงของการโจมตแบบ Distributed
Denial-of-Service (DDoS) ทไดรบความ
นยมในปจจบน ดงจะเหนไดจากขาวในเดอน
มนาคม 2556 เกยวกบการโจมตครงใหญดวย
เทคนคดงกลาว โดยมเปาหมายเปนระบบของ
Spamhaus ซงเปนหนวยงานไมแสวงผลก�าไร
ทมภารกจในการแกไขปญหาสแปม ถงแมวา
การโจมตวธนจะไมไดสงผลกระทบรายแรงตอ
Open DNS Resolver โดยตรง แตถา Open
DNS Resolver เหลานไดรบการตงคาใหเหมาะ
สมแลว กจะมสวนชวยใหระดบความรนแรง
ของการโจมตดวยเทคนคดงกลาวในภาพรวม
ลดลงไปได อยางไรกตาม นอกจากโพรโทคอล
DNS แลว กยงมโพรโทคอลอน ๆ ทอาจน�ามา
ใชในการโจมตในลกษณะเดยวกนได เชน NTP
และ SNMP ซงมกเปนโพรโทคอลทท�างานอย
บนโพรโทคอล UDP
ในสวนของสถตภยคกคามประเภท Open
DNS Resolver นน พบวาไดรบแจงเฉลยเกอบ
60,000 หมายเลขไอพตอวนซงเปนตวเลขท
ใกลเคยงกบสถตของ Botnet และในวนท
ไดรบรายงานมากทสดพบวา มจ�านวนสงถง
260,000 หมายเลขไอพ จากการตรวจสอบ
กลมหมายเลขไอพตวอยางนน พบวามทง
หมายเลขไอพของเครองแมขาย และเราเตอร
ส�าหรบองคกรไปจนถงเราเตอรทใชตามบาน
ซงสาเหตทท�าใหพบ Open DNS Resolver
บนอปกรณหลากหลายชนด ในปรมาณมาก
เชนน สนนษฐานวาอาจเกดจากทงการตงคา
ระบบโดยผดแล รวมถงการตงคามาตรฐานจาก
ผผลตทไมรดกมพอ อยางไรกตาม การตรวจ
สอบหมายเลขไอพทไดรบรายงานทงหมดเพอ
ประเมนสดสวนของ Open DNS Resolver
จ�าแนกตามประเภทของอปกรณนน ยงท�าได
ยาก เนองจากยงไมมเครองมออตโนมตท
สามารถตรวจสอบ และจ�าแนกประเภทของ
อปกรณไดอยางแมนย�า อกทงขอมล Open
DNS Resolver ทไทยเซรตไดรบแจงนนจะ
ยอนหลงไปประมาณ 1-2 วน และหมายเลข
ไอพทไดรบแจงสวนหนง กเปนหมายเลข
ไอพประเภท Dynamic ท�าใหหมายเลขไอพ
หนง ๆ ณ เวลาทท�าการตรวจสอบนน อาจ
เปนของอปกรณคนละตวกบเมอเวลาทไดรบ
แจงขอมล ดงนน ไทยเซรตจงไดพฒนาระบบ
ส�าหรบตรวจสอบอปกรณทเปน Open DNS
Resolver ในประเทศไทยขนมาเอง และคาด
วาในอนาคตจะสามารถพฒนาเครองมอ เพอ
ตรวจสอบและรวบรวมขอมลรายละเอยดของ
อปกรณเหลานไดอยางมประสทธภาพมากยงขน
ไทยเซรตไดพฒนาระบบสำหรบตรวจสอบอปกรณ
ทเปน�Open�DNS�Resolver�ในประเทศไทย
ขนมาเอง�และคาดวาในอนาคตจะสามารถพฒนา
เครองมอเพอตรวจสอบและรวบรวมขอมลรายละเอยดของอปกรณเหลานไดอยางม
ประสทธภาพมากยงขน�
52
3.1.1.3 Web Attack ในการเปรยบเทยบการบกรก เวบไซต
แบบตาง ๆ นบตามหมายเลขไอพทไมซ�า
กน ซงแสดงใหเหนถง จ�านวนเครองแมขาย
ทถกเจาะระบบนน พบวาการบกรกประเภท
Web Defacement เกดขนมากทสดถง 1,430
หมายเลข สวนการบกรกประเภท Malware
URL และ Phishing มจ�านวนทใกลเคยง
กนคอ 874 และ 746 หมายเลขตามล�าดบ
ในขณะทการเปรยบเทยบการบกรกเวบไซตท
แยกตาม URL ทไมซ�ากน เพอพจารณาในมม
ของการน�าเวบไซตไปโจมตผอนนน พบวาการ
บกรกประเภท Malware URL จะเกดขนมาก
ทสด ดวยจ�านวน URL ทมการใชเพอเผยแพร
มลแวรถง 11,917 รายการ มากกวาการบกรก
ประเภท Phishing กวา 3 เทา อยางไรกตาม
ภยคกคามประเภท Phishing กสงผลกระทบ
ทรนแรงไมนอยไปกวาการบกรกแบบอน ๆ
เนองจากเปนภยคกคามทสรางความเสยหายตอ
ประชาชนทวไปและธรกจขององคกรโดยตรง
นอกจากน สงทนาสนใจอกประเดนหนง
คอสดสวนของจ�านวน URL ตอหมายเลขไอพ
ซงแสดงถงความหนาแนนของปรมาณการน�า
เวบไซตไปใชในการโจมตผอนตอหมายเลขไอพ
ตวเดยว โดยการบกรกประเภท Malware URL
นมสดสวนในปรมาณสงสดถง 13.6 URL ตอ
หมายเลขไอพ ในขณะท Phishing มสดสวน
นอยกวา Malware URL กวาครงหนง
จำนวน URL ทไมซำจำนวนหมายเลขไอพทไมซำ
Malware URL Web Defacement Phishing0k
2.5k
5k
7.5k
10k
12.5k
15k
กราฟท 6 เปรยบเทยบการบกรกเวบไซตแบบตาง ๆ
53
กราฟท 7 เปรยบเทยบการโจมตเวบไซตแบบตาง ๆ โดยจ�าแนกตามประเภทของเวบไซต
เมอเปรยบเทยบการโจมตเวบไซต แบบ
ตาง ๆ โดยจ�าแนกตามประเภทของเวบไซต
แลว พบวาเวบไซตของหนวยงานภาคเอกชน
(.com) ไดรบผลกระทบ เปนอนดบหนงใน
การโจมตทกประเภท ในขณะทเวบไซตของ
หนวยงานภาครฐ (go.th) ไดรบผลกระทบจาก
Malware URL กบ Web Defacement สงเปน
อนดบท 2 และอยในอนดบท 5 ของการโจมต
ประเภท Phishing และเมอพจารณาจ�านวน
เวบไซตภายใตโดเมน .com และ .co.th ทได
รบผลกระทบจากการโจมตประเภท Phishing
พบวามสดสวนทสงเกอบ 70% สวนเวบไซต
ของหนวยงานดานการศกษา (.ac.th) นน พบ
การโจมตประเภท Web Defacement จ�านวน
มากทสดเมอเปรยบเทยบกบประเภทอน ๆ
เวบไซตของหนวยงานภาคเอกชน�(.com)�ไดรบผลกระทบเปน
อนดบหนงในการโจมตทกประเภท�ในขณะทเวบไซตของหนวยงานภาครฐ�
(go.th)�ไดรบผลกระทบจาก�Malware�URL�กบ�Web�
Defacement�สงเปนอนดบท�2�และอยในอนดบท�5�ของการโจมตประเภท�
Phishing
.com: 34.9%
Unknown (IP address): 25.1%
.go.th: 17.2%
.net: 11.4%.ac.th: 5.2%
(Other): 6.1%.com: 45.3%
.go.th: 21.5%
.ac.th: 16.7%
.co.th: 6.7%.net: 4.2%
(Other): 5.6%.com: 53.3%.co.th: 16.0%
Unknown (IP address): 7.6%.ac.th: 8.2%
.go.th: 5.2%
(Other): 9.8%
Malware URLWeb defacementPhishing
54
ใน 10 อนดบแรกของ โดเมนเนม ทมรายงาน Malware URL สง
ทสดเมอนบตามจ�านวน URL ทไมซ�านน พบวามเวบไซตของหนวยงาน
ภาครฐตดอยในอนดบตน ๆ หลายแหง ยกตวอยางเชนเวบไซตส�านกงาน
เขตพนทการศกษาประถมศกษาเพชรบร เขต 2 (203.172.205.22) ท
ไดรบจ�านวนรายงานสงทสดกวา 2,593 รายการ คดเปนสดสวนถง 22%
ของรายงานทงหมดใน 10 อนดบแรก ในขณะทเวบไซตภายใตโดเมน
obec.go.th ซงสวนใหญเปนเวบไซตของส�านกงานเขตพนทการศกษา
นนมจ�านวนรายงานกวา 1,501 รายการ และเวบไซต phichit.net ของ
ส�านกงานเขตพนทการศกษาพจตร เขต 1 มจ�านวนรายงานถง 1,092
รายการ ซงสาเหตทท�าใหเวบไซตของหนวยงานภาครฐตดอยใน 10 อนดบ
แรกหลายแหงนน อาจเกดจากการทผดแลเวบไซตไมไดแกไขชองโหวเมอ
ไดรบค�าแจงเตอน หรอแกไขดวยการลบเฉพาะไฟลมลแวร แตไมไดแกไข
ชองโหวของเวบไซต ท�าใหผไมหวงดสามารถยอนกลบมาโจมตผานทาง
ชองโหวเดม สงผลใหไดรบแจงรายงานของเวบไซตเดม ๆ อยหลายครง
203.172.205.22
obec.go.th
phichit.net
kasettoday.com
winnerwideworld.com
ppdho.com
thaigoodview.com
winnerwideworld.co.th
dmf.go.th
watpa-pathomchai.com
0 500 1000 1500 2000 2500 3000
กราฟท 8 10 อนดบแรกของ โดเมนเนม ทมจ�านวนรายงานประเภท Malware URL สงทสด
55
เมอพจารณา โดเมนเนม ทมจ�านวนรายงาน URL ของการ
โจมตประเภท Web Defacement สงสด 10 อนดบแรก จะพบ
วาเปนเวบไซตของหนวยงานภาครฐ และภาคการศกษาอยาง
ละครง โดยอนดบหนงเปนเวบไซตส�านกงานเขตพนทการศกษา
ประถมศกษาบรรมย เขต 3 (brm3.go.th) รองลงมาคอเวบไซต
ของมหาวทยาลยรามค�าแหง (ru.ac.th) และกรมตรวจบญช
สหกรณ (cad.go.th) ตามล�าดบ นอกจากนยงพบหนวยงานส�าคญ
อยางเชน ส�านกงานปลดกระทรวงสาธารณสข (ru.ac.th) และ
กรมสงเสรมการเกษตร (doae.go.th) อยในรายการดวย ทงน
ผไมหวงดทโจมตเวบไซตแทบทงหมด เปนกลมแฮกเกอรจาก
ตางประเทศทมจดมงหมายในการสรางชอเสยงใหกบตนเอง โดยไม
ไดมเปาหมายจะโจมตเวบไซตแหงใดแหงหนงอยางเฉพาะเจาะจง
แตเนนไปทจ�านวนเวบไซตทสามารถเจาะระบบได
brm3.go.th
ru.ac.th
cad.go.th
moph.go.th
pkn2.go.th
swu.ac.th
doae.go.th
kku.ac.th
psu.ac.th
ku.ac.th
0 20 40 60 80 100 120 140 160
กราฟท 9 10 อนดบแรกของ โดเมนเนม ทมจ�านวนรายงานประเภท Web Defacement สงทสด
56
เมอพจารณา โดเมนเนม ทมจ�านวนรายงาน URL ของการโจมตประเภท Phishing สงสด
10 อนดบแรกจะพบวา เกอบทงหมดเปนเวบไซตของหนวยงานภาคเอกชน ยกเวนเวบไซตของ
สถานต�ารวจนครบาลพญาไท (phayathai-police.com) และเวบไซตงานทะเบยนและวดผล
โรงเรยนกรงเทพครสเตยนวทยาลย (61.19.58.247)
ajstar.co.th
phayathai-police.com
worldpump-wpm.com
gnetmobile.com
61.19.58.247
cancluster.com
mywater.in.th
idtecresume.com
baanaree.net
gpadtablet.com
0 50 100 150 200 250 300 350 400
กราฟท 10 10 อนดบแรกของ โดเมนเนม ทมจ�านวนรายงานประเภท Phishing สงทสด
D O M A I NN A M E
57
3.1.1.4 Spam, Brute Force และ Scanning
ภยคกคามประเภท Spam ทไทยเซรต
ไดรบแจงในป 2556 เมอนบจ�านวนรายงาน
ตามหมายเลขไอพทไมซ�าแลว พบวาไดรบ
แจงเฉลยตอวนเกอบ 8,000 หมายเลขไอพ
อยางไรกตาม ไทยเซรตไดรบแจงขอมลประเภท
Spam ครงสดทายในชวงเดอนกนยายน 2556
สวนภยคกคามประเภท Brute Force ทไดรบ
แจงนน พบวาวนทไดรบรายงานมากทสดเมอ
นบตามจ�านวนหมายเลขไอพทไมซ�ามจ�านวน
21 หมายเลขไอพ โดยรายงานทงหมดเปนการ
โจมตบรการ SSH ของเครองเปาหมายกราฟท 11 10 อนดบแรกของหมายเลขพอรตทถกสแกนสงสด นบตามจ�านวนหมายเลขไอพทไมซ�า
�����
ภยคกคามประเภท�Spam ทไทยเซรตไดรบแจงใน�
ป�2556�เฉลยตอวนเกอบ��
8,000 หมายเลขไอพ�
4899/tcp: 58.4%3389/tcp: 22.1%22/tcp: 8.8%445/tcp: 4.1%23/tcp: 1.9%80/tcp: 1.5%5900/tcp: 0.7%1433/tcp: 0.3%139/tcp: 0.3%25/tcp: 0.3%(Other): 1.6%
58
หมายเลขพอรต รายละเอยด
4899/tcp Attacks on Radmin remote administration tool
3389/tcp Attacks on RDP
22/tcp Attacks on SSH
445/tcp Attacks on Windows RPC
23/tcp Attacks on Telnet
80/tcp Attacks on web applications
5900/tcp Attacks on VNC
1433/tcp Attacks on MS SQL
139/tcp Attacks on NetBIOS
25/tcp Attacks on SMTP
ตารางท 2 ค�าอธบายของหมายเลขพอรตทถกสแกน
ส�าหรบภยคกคามประเภท Scanning ซง
เครองคอมพวเตอรในประเทศไทยเปนผท�าการ
สแกนหมายเลขพอรตของเครองคอมพวเตอร
ในตางประเทศนน พบวา 3 อนดบแรกของ
หมายเลขพอรตทตกเปนเปาหมายในการสแกน
สงทสด ไดแก 4899/tcp (Radmin), 3389/
tcp (RDP) และ 22/tcp (SSH) เปนหมายเลข
พอรตของบรการควบคมดแลระบบจากระยะ
ไกล (Remote Administration) ทงสน รวม
กนเกอบ 90%
ภยคกคามประเภท�Scanning�หมายเลข
พอรตทตกเปนเปาหมายในการสแกนสงทสด�ไดแก�
Remote Administration ทงสน�รวมกนเกอบ��
90%
59
3.1.2 สถตภยคกคามทไดรบการประสานเพอรบมอและจดการโดย ไทยเซรต
นอกจากการรบรายงานผานระบบอตโนมต
แลว ไทยเซรตยงรบแจงเหตภยคกคามผานทาง
โทรศพทและอเมลโดยตรง ซงจะมเจาหนาท
ผประสานงานรบมอและจดการภยคกคามโดย
เฉพาะ โดยในป พ.ศ. 2556 ไทยเซรตไดเรม
น�ารายงานประเภทการบกรกหรอเจาะระบบ
ไดส�าเรจ (Intrusions) ทไดรบแจงจากระบบ
อตโนมต มาวเคราะหและประสานงานไปยง
ผทเกยวของเพอแกไขเหตภยคกคามทเกดขน
กราฟท 12 จ�านวนเหตภยคกคามทไทยเซรตด�าเนนการระหวางป 2547 - 2556
จากสถตเหตภยคกคาม ทไทยเซรตได
รบแจงโดยตรงในป 2556 พบวา ไทยเซรต
ไดรบแจงภยคกคามทงหมด 1,745 รายการ
เพมขนจากปทแลวประมาณ 2 เทาเมอเทยบ
กบปกอนหนาทไดรบแจงภยคกคามทงหมด
792 รายการ และมแนวโนมวาจ�านวนเหตภย
คกคามทไดรบแจงจะเพมขนทกป
2547 2548 2549 2550 2551 2552 2553 2554 2555 25560
500
1000
1500
2000
2500
3000
3500
60
เมอพจารณาเฉพาะเหตภยคกคาม ทได
รบแจงในป 2556 จะพบวา ภยคกคามทได
รบแจงมากทสดยงคงเหมอนกบปทแลว คอ
ประเภท Fraud กวา 40% หรอคดเปนจ�านวน
694 รายการ เพมขนจากปทแลว 160 รายการ
รองลงมาคอ Intrusions ดวยสดสวน 36%
หรอคดเปนจ�านวน 631 รายการ จะเหนได
วา รายงานภยคกคามสวนใหญเปนเรองของ
การเจาะระบบเวบไซต เหนไดจากภยคกคาม
ประเภท Fraud ซงเปนการโจมตในรปแบบ
ของ Phishing และ Intrusions ซงเปนการ
โจมตในรปแบบ Web Defacement รวมกน
แลวคดเปนสดสวนสงถง 76% ของรายงานท
ไดรบทงหมด
ภยคกคามทไดรบแจงในป�2556�การโจมตในรปแบบ�
Web�Defacement��รวมกนแลวคดเปน�
สดสวนสงถง�
76%��ของรายงานทไดรบทงหมด
Fraud: 39.8%Intrusions: 36.2%Intrusion attempts: 18.1%Malicious code: 4.1%Abusive content: 0.7%Availability: 0.6%Information gathering: 0.5%
กราฟท 13 สถตเหตภยคกคามทไทยเซรตไดรบแจงโดยตรงในป 2556
61
ในขณะเดยวกน เมอจ�าแนกรายงานภยคกคามทไทยเซรตไดรบตามประเทศของผแจงแลว
พบวา สหรฐอเมรกาเปนประเทศทแจงรายงานโดยรวมมากทสด ซงสวนใหญเปนรายงาน
ทเกยวของกบภยคกคามประเภท Fraud รองลงมาเปนประเทศบราซลและออสเตรเลยท
ไดรบรายงานสวนใหญเกยวกบภยคกคามประเภท Intrusion Attempts สวนแทงกราฟ
ของ ไทยเซรตนน เปนจ�านวนรายงานภยคกคามทไทยเซรตแจงออกไปยงหนวยงานทเกยวของ
เมอพจารณาสถตทจ�าแนกรายงานเหตภยคกคามประเภท Fraud ตามประเภทของผเกยวของและแหลงทมาของผเกยวของ โดยผโจมตคอเวบไซตทมหนาเวบหลอกลวง และผเสยหายคอหนวยงานทถกแอบอางชอในการสรางหนาเวบปลอมแลว จะพบวามลกษณะเหมอนกบปทผานมา นนคอ ผแจงเหตและผเสยหายสวนใหญจะอยในตางประเทศ และ
ผโจมตสวนใหญจะอยภายในประเทศ
Abusive contentAvailabilityFraudInformation gatheringIntrusion attemptsIntrusionsMalicious code
ThaiCERT United States
Brazil Australia Canada Denmark Malaysia Thailand Japan Spain0
200
400
600
800
1000
กราฟท 14 สถตเหตภยคกคามทไทยเซรตไดรบแจงโดยตรงในป 2556 จ�าแนกตามประเทศของผแจง ตารางท 3 ขอมลการด�าเนนการเหตภยคกคามประเภท Fraud จ�าแนกตามผเกยวของและแหลงทมาของผเกยวของ
ผแจง สดสวน ผเสยหาย สดสวน ผโจมต สดสวน
ในประเทศ 257 37.03% 14 2.02% 674 97.54%
ตางประเทศ 457 62.97% 677 97.55% 15 2.17%
ระบไมได 0 0% 3 0.43% 2 0.29%
62
ผแจง สดสวน ผเสยหาย สดสวน ผโจมต สดสวน
บคคล 1 0.14% 0 0% 0 0%
เซรต (CERT)/ หนวยงานดานความมนคง ปลอดภยคอมพวเตอร
486 70.03% 0 0% 0 0%
ผใหบรการอนเทอรเนต
31 4.47% 0 0% 0 0%
บรษท/ธรกจ/เอกชน 176 25.36% 637 91.79% 607 87.64%
สถาบนการศกษา 0 0% 1 0.14% 46 6.63%
หนวยงานของรฐ 0 0% 0 0% 24 3.46%
อน ๆ 0 0% 56 8.07% 17 2.45%
ตารางท 4 ขอมลการด�าเนนการเหตภยคกคามประเภท Fraud จ�าแนกตามผเกยวของและประเภทหนวยงาน
ในขณะทสถตของเหตภยคกคามประเภท
Fraud เมอจ�าแนกตามผเกยวของและประเภท
หนวยงานนน พบวาผโจมตสวนใหญเปน
เวบไซตของหนวยงานประเภทบรษท/ธรกจ/
เอกชน ซงเกดจากผไมหวงด เจาะระบบ
เวบไซตเพอวางหนาเวบปลอมแปลง ทแอบ
อาง ชอของหนวยงานอน ๆ แสดงใหเหนวาม
เวบไซตของหนวยงานเหลาน จ�านวนไมนอย
ทยงขาด การดแลรกษาความมนคงปลอดภย
ทดพอ ผเสยหายโดย สวนใหญกยงคงเปน
หนวยงานประเภทบรษท/ ธรกจ/ เอกชน เชน
เดยวกน โดยเฉพาะธนาคารและสถาบนการ
เงนตาง ๆ เนองจากผไมหวงดมกท�าหนาเวบ
ปลอมแปลงเลยนแบบเวบไซตของหนวยงาน
เหลาน เพอหลอกลวงเอาขอมลสวนบคคล
จากผทตกเปนเหยอ ไปใชในการท�าธรกรรม
ออนไลนแทน
ภยคกคามประเภท�Fraud�ผเสยหายโดยสวนใหญเปนหนวยงานประเภท
บรษท/ธรกจ/เอกชน�โดยเฉพาะธนาคารและสถาบนการเงนตาง�ๆ�เนองจากผไมหวงดมกทำหนาเวบ
ปลอมแปลงเลยนแบบเวบไซตของหนวยงานเหลาน��
เพอหลอกลวงเอาขอมล�สวนบคคลจากผทตกเปนเหยอไปใชในการทำธรกรรม
ออนไลนแทน
63
กราฟท 15 สดสวนโดเมนทไดถกแจงซ�าภยคกคามประเภท Fraud และ Intrusion โดยจ�าแนกตามประเภทของเวบไซต
นอกจากนยงพบวา 19% ของเวบไซตทไดรบแจงเหตภยคกคามประเภท Fraud และ
Intrusions เคยไดรบแจงซ�า และเมอน�าเวบไซตทเคยไดรบแจงซ�ามาจ�าแนกตามประเภท
ของเวบไซตแลว จะพบวา 41% เปนเวบไซตของหนวยงานภาคการศกษา (.ac.th) รองลง
มาคอเวบไซตของหนวยงานภาคธรกจ (.com) และเวบไซตของหนวยงานภาครฐ (.go.th)
ดวยสดสวนทเทากนคอ 23% ซงสาเหตทไดรบการแจงซ�านนอาจเปนเพราะผดแลเวบไซต
แกไขปญหาเฉพาะหนาดวยการลบหนาเวบทมปญหา แตไมไดแกไขชองโหวของเวบไซตซง
เปนตนเหตแทจรง ท�าใหผไมหวงดสามารถกลบมาโจมตโดยใชชองโหวเดมไดอก หรอหาก
เปนระบบทไมไดมการดแลรกษาความมนคงปลอดภยทดพอ ผไมหวงดกมโอกาสทจะคนหา
ชองโหวอนทใชในการโจมตไดโดยงายเชนกน
.ac.th: 73 (41.0%)
.go.th: 41 (23.0%)
.com: 41 (23.0%)
.co.th: 16 (9.0%)(Other): 7 (3.9%)
64
นอกเหนอจาก การรบแจงผานชอง
ทางระบบอตโนมต และทางอเมลขาง
ตนแลว ไทยเซรตยงไดรวมมอกบบรษท
Microsoft ในการเปนศนยกลาง ประสาน
งานกบหนวยงานตาง ๆ ในประเทศเพอ
จดการกบมลแวร Zbot, Citadel และ
ZeroAccess โดยไทยเซรตไดรบแจงหมายเลข
ไอพในประเทศไทยของ เครองคอมพวเตอร
ทตดมลแวร Zbot ตงแตเดอนกมภาพนธถง
กรกฎาคม มลแวร Citadel ตงแตเดอนสงหาคม
ถงพฤศจกายน และ ZeroAccess ตงแตเดอน
ธนวาคมเปนตนมา โดยหลงจากทไทยเซรตได
แจงเตอนขอมลดงกลาวผานทางระบบบรการ
แจงขอมลภยคกคามใหกบผใหบรการเครอขาย
อนเทอรเนตอตโนมต พบวาจ�านวนหมายเลข
ไอพทไดรบแจงมแนวโนมทลดลง
3.2 ภยคกคามทเปนกรณศกษาท ไทยเซรตเขาไปด�เนนการ
ไทยเซรต ใหบรการรบมอและจดการกบ
ภยคกคามกบหนวยงานของรฐ และเอกชน
ในขอบเขตการด�าเนนงาน ครอบคลมระบบ
เครอขายอนเทอรเนตภายในประเทศไทย และ
ระบบคอมพวเตอร ภายใตโดเมนเนมของ
ประเทศไทย (.th) ในป 2556 ไทยเซรต
ไดรบแจงหรอตรวจพบภยคกคาม และเขาไป
แกไขและระงบเหตภยคกคามทเกดขนรวมกบ
หนวยงานทเกยวของ ซงสรปเปนกรณศกษา
ทนาสนใจหลายกรณ เชน การโจมตเวบไซต
ของหนวยงานส�าคญ การโจมตผใชงานระบบ
E-Banking ของธนาคารไทย และการตรวจพบ
ชองโหวของแอปพลเคชนแชทซงมผใชงานใน
ประเทศไทยเปนจ�านวนมาก เปนตน
ZbotCitadelZeroAccess
Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec4k
10k
20k
40k
100k
200k
400k
กราฟท 16 จ�านวนรายงานมลแวรทไดรบแจงจาก Microsoft ในแตละเดอนในป 2556 นบตามจ�านวนหมายเลขไอพทไมซ�า
65
3.2.1 กรณพบการโจมตเวบไซตทใชระบบบรหารจดการเวบไซต CMS ของไทย
ในเดอนพฤษภาคม 2556 ไทยเซรต
ไดรบแจงกรณการโจมตเวบไซตในลกษณะการ
เปลยนแปลงหนาเวบไซต (Web Defacement)
จ�านวนมากถง 37 เวบไซต เมอเปดเขาไป
ตรวจสอบเวบไซตดงกลาว พบวามการแทรก
ขอความในลกษณะเดยวกนบนหนาเวบไซตวา
“THIS SITE HACKED BY Z4R4THUSTR4”
เวบไซตทไดรบผลกระทบทงหมดเปนเวบไซต
ขององคการบรหารสวนต�าบลกลมหนง ทใช
งานระบบบรหารจดการเวบไซต (Content
Management System - CMS) ชนดเดยวกน
เมอไทยเซรตใช Search Engine เชน Google.
com คนหาขอมลเพมเตมกพบวามเวบไซตอน
ทใชงาน CMS เชนเดยวกนนอกจ�านวนหนง
ทมไดอยในรายการทไดรบแจงและไดมการ
เปลยนแปลงหนาเวบไซตเชนกน นอกจากน
เมอตรวจสอบขอมลในเวบไซตของผพฒนา
CMS ดงกลาว พบวามเวบไซตของหนวยงาน
ของรฐอกมากกวา 600 เวบไซตทใชงาน CMS
นอยและมโอกาสทจะถกโจมตได
ไทยเซรต ท�าการประสานงานไปยงผพฒนา
CMS ดงกลาว เพอแจงแนวทางการด�าเนนการ
ควบคมและปองกนปญหาทอาจขยายวงกวาง
ไปยงเวบไซตอนทใชงาน CMS ตวเดยวกนน
รวมถง ไดรบการรองขอใหชวยด�าเนนการ
วเคราะหผลกระทบ และชองโหวทแฮกเกอร
ใชในการโจมต โดยจากการวเคราะหเบองตน
ดวยขอมลบนทกการเขาใชงานเวบไซต (Web
Access Log) ทไดรบ พบวามขอมลการลอกอน
ทผดปกตในสทธของผดแลระบบในทกเวบไซต
ดวยบญชผใชงานทเปนคาเรมตนของระบบ ซง
มแหลงทมาตรวจสอบแลวมาจากตางประเทศ
และพบรปแบบการโจมตเพอเขาถงฐานขอมล
ของเวบไซต รวมถงเมอท�าการตรวจสอบชอง
โหวของเวบไซต CMS ดงกลาว พบชองโหว
รนแรงทแฮกเกอรสามารถใชโจมตสามารถ
เขาถงฐานขอมลของเวบไซตไดทนท
ผลลพธของการโจมตจะท�าใหแฮกเกอรได
ขอมลทงหมดทอยในฐานขอมลรวมถงขอมลการ
ลอกอนทเปนบญชผใชงานตงตนของระบบ ซง
สมมตฐานและหลกฐานทม ท�าใหพจารณาไดวา
แฮกเกอรโจมตระบบจนไดขอมลการลอกอน ท
เปนบญชผใชงานตงตนของระบบ จากนนจงเรม
คนหาเวบไซตทใชงาน CMS ดวยรปแบบบาง
สวนและท�าการลอกอนเขาสระบบ
เพอควบคมเวบไซตตอไป ซงกรณ
การโจมตทพบในครงน สามารถ
สรปไดวาปญหาทเกดขนเพราะ
ความหละหลวมในกระบวนการ
บรหารจดการเวบไซต ในสวนท
พบวาผดแลไมท�าการลบบญชผ
ใชงานทเปนคาตงตนของระบบ
ออก และเกดจากปญหาในการ
พฒนาระบบทมไมมความมนคง
ปลอดภย ท�าใหแฮกเกอรสามารถ
โจมต และใชเปนควบคมเวบไซตทเกยวของ
ทงหมดไดอยางงายดาย
ไทยเซรต ไดจดท�าเอกสารรายงานการ
ตรวจสอบชองโหวพรอมกบขอเสนอแนะจาก
เหตการณทเกดขน แจงใหผดแลระบบและ
ผเกยวของ เพอใหมแนวทางในการแกไขปญหา
และสามารถรบมอเหตภยคกคามทจะเกดขน
ในอนาคตอยางทนทวงท
รปท 2 ตวอยางเวบไซตทถกโจมต Web Defacement
66
3.2.2 กรณแอปพลเคชนธนาคารออนไลนปลอมในระบบปฏบตการ แอนดรอยด
ในเดอนกมภาพนธ 2556 ไดมขาวการ
แพรระบาดของ SMS หลอกลวงทมเนอหาเชญ
ชวนใหผใชงานทไดรบ SMS ดงกลาว ท�าการ
ดาวนโหลดแอปพลเคชนธนาคารออนไลน
ซงในภายหลงไทยเซรตตรวจพบแอปพลเค
ชนปลอมหรอทเรยกวาแอปพลเคชนมลแวร
ในชวงเวลาเดยวกนจ�านวน 2 แอปพลเคชน
ไทยเซร ต ไดท�าการดาวนโหลด
แอปพลเคชนมลแวร ดงกลาวมาตรวจสอบ
และพบวามความพยายามหลอกลวง ผใชงาน
ในหลายขน ตงแตลงกทใหดาวโหลดไฟลท
มลกษณะคลายกบชอเวบไซต ของธนาคาร
นน ๆ จรง และเมอท�าการวเคราะหลกลงไป
ถงโครงสรางท�างาน ของแอปพลเคชนมลแวร
ทง 2 นก พบวามลแวรมความสามารถ และ
ฟงกชนการท�างานลกษณะเดยวกนทกประการ
ตางกนแคการตงคาชอ และรปของธนาคาร
ทใชในแอปพลเคชน เทานน มลแวรมความ
สามารถ ในการแจงขอมลการตดมลแวรกลบไปยง
แฮกเกอรโดยจะสง SMS พรอมรายละเอยดของ
ชอเครองทตดมลแวรกลบไปยงหมายเลข
โทรศพทหนงในตางประเทศในครงแรกทต
ดมลแวร ฟงกชนหลกของมลแวรเปนการขโมย
ขอมล SMS จากเครองโทรศพททตดมลแวร
นน สนนษฐานไดวา จดประสงคของการเผย
แพรมลแวรดงกลาว เพอใชในการขโมยขอมล
OTP (One-TimePassword) ทจะสงผาน
ทาง SMS ใหผใชงานเมอมการรองขอการท�า
ธรกรรมทางการเงน
จดประสงคของการเผยแพรมลแวรดงกลาว��
เพอใชในการขโมยขอมล�OTP (One-Time�Password)�ทจะสงผานทาง�SMS�ใหผใชงานเมอมการรองขอ�
การทำธรกรรมทางการเงน
รปท 3 ตวอยางแอปพลเคชนปลอมทปรากฏ
ชอธนาคารกสกรไทย
67
ไทยเซรตไดตรวจสอบรวบรวมขอมลท
เกยวของทงหมด เพอหาแนวทางปองกนม
ใหปญหาภยคกคามนขยายวงกวาง รวมถง
วเคราะหการท�างานของแอปพลเคชนดงกลาว
อยางละเอยด และเผยแพรบทความแจงเตอน
ภยคกคามบนเวบไซตไทยเซรต พรอมทงไดม
การประสานงานกบธนาคารทเกยวของ เพอ
แจงสถานการณของปญหาทเกดขน รวมถงม
การแจงแนวทางการรบมอกบปญหาภยคกคาม
ดงกลาวใหกบหนวยงานทเกยวของทราบตอไป
รปท 4 โครงสรางของไฟลภายในแอปพลเคชนปลอม
รปท 5 พฤตกรรมของการสง SMS ทตรวจสอบได
68
3.2.3 กรณเวบไซตส�นกขาว หลายแหงในประเทศไทยถกเจาะ ฝงโทรจนทหลอกใหดาวนโหลด แอนตไวรสปลอม
ในเดอนมถนายน 2556 ไทยเซรตไดรบ
แจงจากหนวยงานในเครอขาย วาพบความผด
ปกตบนหนาเวบไซตของส�านกขาวแหงหนงใน
ประเทศไทย โดยผใชงานจะไดรบแจงเตอนผาน
โปรแกรมเวบเบราวเซอรวาเวบไซตเหลานมการ
ตรวจพบการเผยแพรโปรแกรมไมพงประสงค
หรอทเรยกวามลแวร ซงเมอมการตรวจสอบ
สถตการเขาใชงานเวบไซตเหลานจากบรการ
บนนเทอรเนต เชน จากเวบไซต Truehits.
net พบวาเวบไซตเหลานไดรบความนยมสง
มอตราผเขาชมตอวนหลายหมนครง ซงเปน
ไปไดสงทจะตกเปนเปาหมายในการโจมตและ
ใชเปนฐานในการเผยแพรมลแวร ซงในอกนย
หนงแสดงวาผใชงานกลมใหญทก�าลงตกอยใน
ความเสยงทจะตดมลแวรได
ไทยเซรต ท�าการวเคราะหการท�างาน
ของเวบไซตดงกลาว สามารถพสจนยนยนได
วาเวบไซตเหลานมการท�างานในลกษณะของ
การเผยแพรมลแวรอยจรง โดยรปแบบของการ
ตดมลแวรจากเวบไซตซงสงผลกระทบกบผใช
งานระบบปฏบตการ Windows ทมการใช
งานโปรแกรมเสรมบางตว ซงโปรแกรมเสรม
ดงกลาว เปนโปรแกรมในเวอรชนทมชองโหว
รวมถง ไทยเซรตยงวเคราะหพฤตกรรมการ
ท�างานของมลแวรตวดงกลาว และพบวามลแวร
มความสามารถในการดาวนโหลดมลแวรอน ๆ
มาตดตง และมฟงกชนในการขโมยขอมล รวม
ถงสามารถผนวกการท�างานเขาไปกบโปรแกรม
เวบเบราวเซอร เพอสงการใหเวบเบราวเซอร
แสดงผลหนาเวบไซตตามทตองการได ในกรณ
นมลแวรไดรบการตงคาใหท�าการเปลยนแปลง
หนาเวบไซตของ ธนาคารออนไลนหลายแหง
ในประเทศไทย โดยมการเพมขอความเชญ
ชวนและหลอกลวงใหผใชงานดาวนโหลดและ
ตดตงโปรแกรมแอนตไวรสปลอมบนโทรศพท
มอถอ ซงโปรแกรมแอนตไวรสปลอมดงกลาว
จะลกลอบขโมยขอมล OTP ส�าหรบการเขาใช
งานระบบท�าธนาคารออนไลนตอไป
รปท 6 การดาวนโหลด Java Applet ไมพงประสงค
69
ในกรณนมลแวรไดรบการตงคาใหทำการเปลยนแปลงหนาเวบไซตของธนาคารออนไลน
หลายแหงในประเทศไทย�โดยมการเพมขอความเชญชวนและ
หลอกลวงใหผใชงานดาวนโหลดและตดตงโปรแกรมแอนตไวรสปลอมบนโทรศพทมอถอ�ซงโปรแกรมแอนตไวรสปลอม
ดงกลาวจะลกลอบขโมยขอมล�OTP�สำหรบการเขาใชงานระบบ
ทำธนาคารออนไลนตอไป ทงน จากการประเมนสาเหตของปญหา
ทพบ อาจพจารณาไดวามสวนประกอบของ
ปญหาหลายสวน ทงสวนทเกดจากเวบไซตของ
ส�านกขาวมชองโหว ท�าใหแฮกเกอรสามารถเขา
ควบคมเวบไซตและใชเปนแหลงเผยแพรมลแวร
ได และสวนทเปนผลกระทบตอเนองจากผใช
งานไมมการอปเดตโปรแกรมเสรมทใชงาน เมอผ
ใชงานมการเปดเวบไซตดงกลาว จงท�าใหมลแวร
สามารถตดตงตวเองลงในระบบคอมพวเตอร
ไดทนท จากสถานการณดงกลาว ไทยเซรต
ไดท�าการประสานงานและแจงรายละเอยด
ทงหมดทพบ เกยวกบการเผยแพรมลแวรให
กบส�านกขาวดงกลาว พรอมกนนยงมการ
ประสานกบผใหบรการโทรศพทมอถอเพอ
ระงบการสง SMS ไปยงหมายเลขตางประเทศ
ปลายทางทถกพบบนแอปพลเคชนแอนต
ไวรสปลอมของผไมหวงด และประสานกบ
ผใหบรการจดทะเบยน Domain ของตาง
ประเทศเพอระงบการใชงาน โดเมนเนม
ทเกยวของกบการโจมตทงหมด และจดท�า
บทความแจงเตอน เผยแพรบนเวบไซตของ
ไทยเซรต และแนะน�าวธการตรวจสอบและ
แกไขปญหาทเกยวของในทนทรปท 7 เวบไซตของธนาคารทถกเพมเนอหาเขาไปโดยโปรแกรมไมพงประสงค
70
3.2.4 กรณไทยเซรตพบชองโหวของแอปพลเคชน LINE สามารถดกรบขอมลบนเครอขาย LAN/WiFi
ในเดอนพฤศจกายน 2556 ทมวจยของ
ไทยเซรต ไดท�าการตรวจวเคราะหการท�างาน
ของแอปพลเคชน LINE ซงเปนแอปพลเคชน
ประเภทการสอสารทมการใชงานกนอยางแพร
หลายในประเทศไทย โดยพบวาแอปพลเคชน
LINE ทท�างานบนระบบปฏบตการ Windows
(ยกเวน Windows 8) และ Mac OS นน ม
ชองโหวท�าใหแฮกเกอรสามารถดกรบและอาน
ขอมลการสนทนาทสงผานเครอขาย LAN/
WiFi ไดทนท ถงแมวาแอปพลเคชน LINE ใน
เวอรชนทใชงาน จะมฟงกชนเขารหสลบแลว
กตาม ทงนชองโหวดงกลาวยงท�าใหแฮกเกอร
สามารถเปลยนแปลงขอมลทรบสงระหวางผใช
งานระหวางทางไดอกดวย ปญหาของชองโหว
อยทฝงแอปพลเคชน LINE ซงไมมการตรวจ
สอบความถกตอง ของการเชอมตอกบเครอง
ใหบรการ วามการดกรบขอความอยระหวาง
ทางหรอไม เปนผลใหแฮกเกอรสามารถโจมต
ผใชงานดวยการดกรบขอมลบนเครอขายและ
ใชเทคนคการโจมตบางประเภทเพอถอดรหส
ลบขอความได และสบเนองจากชองโหว
ดงกลาวยงไมเคยมการพบ หรอเผยแพรทใด
มากอน จงไมพบรายงานความเสยหายทเกด
ขนจากชองโหวดงกลาวบนแหลงขอมลบน
อนเทอรเนตหรอจากแหลงขาวใด
รปท 8 แสดงการจ�าลองสถานการณการดกรบขอมลและถอดรหสลบขณะทผใชงานแอปพลเคชน
LINE บนระบบปฏบตการ Windows เมอมการสงขอความ
รปท 9 แสดงหนาตางแจงเตอนการอปเดต
71
ไทยเซรต ไดรวบรวมขอมลและประสาน
งานแจงปญหาเกยวกบชองโหวไปยงผพฒนา
แอปพลเคชน LINE ในประเทศญปน ซง
ภายหลงไดมการแกไขปญหาชองโหว และ
เผยแพรอปเดตของแอปพลเคชน LINE
ดงกลาวเปนทเรยบรอยแลว อยางไรกตาม
ผใชงานจ�าเปนตองดาวนโหลด และอปเดต
แอปพลเคชน LINE ดวยตนเอง โดยไทยเซรต
ไดจดท�าบทความวเคราะหและเผยแพรใหผใช
งานไดรบทราบถงสถานการณของปญหา รวมถง
วธการอปเดตแอปพลเคชน LINE และปจจบน
หนวยงาน MITRE ซงท�างานดแลเกยวกบการ
ขนทะเบยนขอมลชองโหว หรอทรจกบรการท
อยในความดแลเกยวกบฐานขอมลชองโหวชอ
วา CVE ไดท�าการออกหมายเลขอางองก�ากบ
ส�าหรบกรณชองโหวดงกลาว รวมถงอางอง
รายละเอยดเพมเตมกลบมายงบทความบน
เวบไซตไทยเซรตอกดวย
ไทยเซรต�ไดรวบรวมขอมลและประสานงานแจงปญหา
เกยวกบชองโหวไปยง�ผพฒนาแอปพลเคชน�LINE�ในประเทศญปน�ซงภายหลงไดมการแกไขปญหาชองโหว
และเผยแพรอปเดตของ�แอปพลเคชน�LINE�ดงกลาว
เปนทเรยบรอยแลว
72
3.2.5 กรณ Web Defacement หนวยงานส�คญในประเทศ
จากสถานการณภยคกคามประเภท Web
Defacement ทไทยเซรตท�าการรวบรวมในป
2556 พบวาการโจมตทเกดขนสวนใหญอยใน
หนวยงานของรฐ (go.th) เปนจ�านวนสงสด
1,929 รายการ (คดเปนรอยละ 44.6) รองลง
มาเปนสถาบนการศกษา (ac.th) มจ�านวน
1,515 รายการ (คดเปนรอยละ 35) โดย
เมอพจารณาสถตการโจมตในลกษณะ Web
Defacement ทเกดขนในหนวยงานของรฐ
เทยบกบประเทศตาง ๆ ในภมภาคอาเซยน
แลว พบวาประเทศไทยตดอยในอนดบแรก
ของการถกโจมตในลกษณะน
จากสถานการณดงกลาวมความสอดคลอง
กบกรณทไทยเซรตไดรบแจงเหตกรณ Web
Defacement ทอยในหนวยงานของรฐ
ทมความส�าคญหลายแหง เชน เวบไซต
กระทรวงศกษาธการ เวบไซตส�านกนายก
รฐมนตร เวบไซตกระทรวงวฒนธรรม เวบไซต
คณะกรรมการธรกรรมทางอเลกทรอนกส
เปนตน สวนใหญพบวา เปนการโจมตโดยม
จดประสงค ทคลายคลงกนสองประการคอ
1) ตองการประกาศตนวาตนนนมความสามารถ
ทจะโจมตและเขาควบคมระบบใด ๆ กไดส�าเรจ
หรอ 2) สรางสถานการณใหเกดความเขาใจผด
และมจดประสงคเพอตองการใหหนวยงาน
นน ๆ เกดความเสอมเสยชอเสยงและหมด
ความนาเชอถอไปดวย ซงหลายครงทไทยเซรต
ไดรบการประสานโดยตรงจากหนวยงานทถก
โจมต ซงมกจะมาในรปแบบของการขอให
ท�าการวเคราะหการโจมตทเกดขน การตรวจ
สอบปญหาชองโหวของระบบ รวมถงขอใหชวย
น�าเสนอแนวทางการแกไขปญหาโจมตทเกดขน
Thailand (.go.th): 50.8%Indonesia (.go.id): 30.6%Malaysia (.gov.my): 6.4%Vietnam (.gov.vn): 6.0%Philippines (.gov.ph): 5.3%Brunei (.gov.bn): 0.4%Myanmar (.gov.mm): 0.3%Cambodia (.gov.kh): 0.2%Laos (.gov.la): < 0.1%Singapore (.gov.sg): < 0.1%
กราฟท 17 สถตภยคกคามประเภท Web Defacement จ�าแนกเฉพาะหนวยงานของรฐในภมภาคอาเซยนในป 2556
73
ใหกบหนวยงาน ซงจากการวเคราะหแนวโนม
การโจมตในกลมหนวยงานทมความส�าคญน
พบลกษณะทนาสนใจหลายประการ ตวอยาง
เชน การโจมตทเกดขนกบเวบแอปพลเคชน
ทมชองโหวเปนหลก ในระหวางการโจมตม
ความพยายามใชเทคนคซอนตวเพอปองกน
การตรวจสอบแหลงทมา มการเวนระยะการ
โจมตออกเปนชวง ๆ เพอใหยากแกการตรวจ
สอบ มการพยายามขโมยขอมลส�าคญออกจาก
ฐานขอมลของระบบ เชน ขอมลบญชผใชงาน
รหสผาน เปนตน รวมถงพบการเปดชองทางท
จะท�าใหแฮกเกอรสามารถกลบเขามาควบคม
ระบบซ�าไดอก (Backdoor)
.go.th: 1,929 (44.6%)
.ac.th: 1515 (35.0%)
.co.th: 602 (13.9%)
.in.th: 216 (5.0%)
.or.th: 56 (1.3%)
.mi.th: 6 (0.1%)
กราฟท 18 สถตภยคกคามประเภท Web Defacement ป 2556 จ�าแนกตามประเภทหนวยงาน (เฉพาะ .th)
ไทยเซรต�ไดรบแจงเหตกรณ�Web�Defacement�ทอยในหนวยงานของรฐทมความสำคญหลายแหง�ซงจากทพบสวนใหญเปนการโจมตโดยมจดประสงคทคลายคลงกน
สองประการคอ�1)�ตองการประกาศตนวาตนนนมความสามารถทจะโจมตและเขาควบคมระบบใด�ๆ�กไดสำเรจ�หรอ�2)�สรางสถานการณใหเกดความเขาใจผด�และมจดประสงคและมจดประสงคเพอตองการใหหนวยงานนน�ๆ�เกดความ
เสอมเสยชอเสยงและหมดความนาเชอถอไปดวย
74
จากสถานการณ Web Defacement ท
เกดขนมาตลอดป 2556 ท�าใหสามารถสรป
ภาพรวมของปญหาไดวา ปญหาสวนใหญทพบ
เกดจากการทหนวยงานยงขาดความตระหนก
เกยวกบการรกษาความมนคงปลอดภยดาน
สารสนเทศ การขาดกระบวนการรบมอเหตภย
คกคาม รองลงมาคอสวนผดแลรบผดชอบของ
หนวยงานขาดความรความเขาใจเกยวกบการ
ท�างานของระบบทอยในความรบผดชอบ ซง
มกจะสงผลกระทบโดยตรงตอการแกไขปญหา
จากทผานมามหนวยงานเปนจ�านวนมากทได
รบแจงเหตภยคกคามจากไทยเซรต วาระบบ
ของหนวยงานนน ๆ ถกโจมตและถกควบคม
แตหนวยงานไมสามารถด�าเนนการแกไขปญหา
ใด ๆ ได และมกแสดงเหตผลทสอดคลองกน
วาหนวยงานจดหาโปรแกรมหรอมการจางผ
พฒนาจากภายนอก เพอมาพฒนาระบบเปน
เวลานานแลว และปจจบนไมมทมงานทจะ
สามารถแกไขปญหาดงกลาวได ซงในอกนย
หนงเทากบเวบไซตเหลานก�าลงเตรยมพรอม
ทจะถกโจมตซ�าแลวซ�าอก หรอก�าลงเตรยม
ทจะใชเปนเครองมอส�าหรบโจมตผอนไดใน
ทนท โดย ไทยเซรต สพธอ. ไดเลงเหนความ
ส�าคญของปญหาในสวนนเปนอยางมาก จง
ไดรวมกนจดท�ารางมาตรฐานดานความมนคง
ปลอดภยเกยวกบการพฒนาเวบแอปพลเคชน
มเนอหาครอบคลมการพฒนาเวบแอปพลเคชน
การดแล/บรหารเวบแอปพลเคชน รวมถงการ
เผยแพรบทความส�าคญเกยวกบการรบมอภย
คกคามทเกยวของ
รปท 10 ตวอยางการโจมตในลกษณะ Web Defacement กบเวบไซตของกระทรวงศกษาธการ
75
3.2.6 กรณการตรวจพสจนพยานหลกฐานเครอง BitTorrent Server
ในป 2556 ศนยดจทลฟอเรนสกส (Digital
Forensics Center) ของไทยเซรต ไดรบค�า
รองขอจากหนวยงานรกษากฎหมายแหงหนงให
ชวยตรวจสอบวเคราะหความสมพนธ ระหวาง
เครอง BitTorrent Server กบไฟล .torrent
จ�านวนหนงทระบวาไดดาวนโหลดมาจากเครอง
Server ขางตน และไฟล .torrent เหลาน
สามารถใชดาวนโหลดเพลงทละเมดลขสทธได
และหนวยงานรกษากฎหมายตองการใหศนย
ดจทลฟอเรนสกสยนยนวาไฟล .torrent ทอาง
ถง ดาวนโหลดมาจาก BitTorrent Server ดง
กลาว และสามารถใชในการดาวนโหลดเพลง
ละเมดลขสทธไดจรง
พยานหลกฐานทศนยดจทลฟอเรนสกส
ไดรบมา ประกอบดวย
• เครอง BitTorrent Server ทเปดใหบรการเวบไซต BitTorrent
• ไฟล .torrent จ�านวนหนงทระบวาไดดาวนโหลดมาจากเวบไซต ดงกลาว
• ภาพ Screenshot หนาเวบไซต BitTorrent ทบนทกมาจากหนาจอของ Browser กอนทจะดาวนโหลดไฟล .torrent
• ตวอยางไฟลเพลง/ภาพยนตร ทระบวาดาวนโหลดไดจากไฟล .torrent
จากการตรวจสอบไฟล .torrent ทไดรบ
มา กบไฟล .torrent ทพบในเครอง BitTorrent
Server พบวามขนาดและเนอหาบางสวนใน
ไฟลทแตกตางกน ศนยดจทลฟอเรนสกสจง
ไดท�าการตรวจสอบเพมเตมโดยการวเคราะห
ขอมลในไฟลทงสองโดยละเอยด พบวาสวนท
แตกตางกนนนคอ สวนของขอมลอางองทจะ
เพมเขาไปเมอไฟล .torrent มการน�าไปใช
งาน ซงเปนรปแบบการท�างานปกตของระบบ
BitTorrent โดยเมอทดลองตดขอมลในสวนท
เพมนออกกพบวามขอมลตรงกบไฟล .torrent
ทอยในเครอง BitTorrent Server ทกประการ
จงสรปไดวาไฟล .torrent ทน�ามาตรวจพสจน
เปนไฟลดาวนโหลดมาจากเวบไซต BitTorrent
Server ทไดรบการอางถงจรง
ในการตรวจพสจนวาไฟล .torrent ทไดรบ
มา สามารถน�าไปสการดาวนโหลดเพลงละเมด
ลขสทธไดหรอไมนน ศนยดจทลฟอเรนสกสได
ตรวจสอบขอมลของไฟล .torrent ทไดรบมา
ตรวจสอบ กพบวามการระบชอไฟล .mp3 รวม
ถงขนาดของไฟล .mp3 เอาไวในไฟล .torrent
อยางชดเจน และตรงกบขอมลของไฟลเพลง
ละเมดลขสทธ ทระบวาสามารถดาวนโหลด
ไดโดยใชไฟล .torrent ดงกลาว จงสรปได
วา ไฟล .torrent ทอยในเครอง BitTorrent
Server และทผเสยหายดาวนโหลดมาจาก
เวบไซตดงกลาว สามารถใชดาวนโหลดเพลง
ละเมดลขสทธไดจรง
ศนยดจทลฟอเรนสกสไดสรปขอมลและ
สงผลการตรวจพสจนไปยงหนวยงานทรองขอ
เพอใชในการด�าเนนคดตามกฎหมายตอไป
จากการตรวจพสจนพยานหลกฐานในกรณน
ท�าใหศนยดจทลฟอเรนสกสมประสบการณ
ในการตรวจวเคราะหขอมลในไฟล .torrent
และสามารถตรวจวเคราะหขอมลในเครอง
BitTorrent Server เพอหาขอมลทเกยวของ
กบการดาวนโหลดหรอแลกเปลยนไฟลทอาจ
เกยวของกบการละเมดลขสทธไดในอนาคต
76
บทท�4.�
การพฒนาศกยภาพในการรบมอภยคกคามไซเบอร
77
4.1�ประชม�อบรม�สมมนา�และกจกรรมอน�ๆ�
การพฒนาศกยภาพบคลากรใหพรอม
รบมอภยคกคามไซเบอรเปนภารกจทไทยเซรต
ใหความส�าคญและสนบสนนอยางตอเนอง เชน
การพฒนาขดความสามารถของเจาหนาทไอท
หนวยงานรฐ การสงผแทนเขารวมการประชม
สมมนาในระดบนานาชาตในนามประเทศไทย
การอาสาเปนเจาภาพเพอพฒนาบคลากร ทงน
ไทยเซรต ไดสงผแทนเขารวมการประชมทาง
ดานความมนคงปลอดภยในกรอบความรวม
มอระหวางประเทศ ซงครอบคลมทงในระดบ
ปฏบตการ ผบรหารระดบกรม และรฐมนตร
ดงตอไปน
78
4.1.1 ประชมและสมมนาทไทยเซรต เขารวม
การประชมคณะกรรมการ�ความมนคงปลอดภยไซเบอรแหงชาต�ครงท�1
ไทยเซรต ใหการสนบสนนขอมลเชง
เทคนคแกฝายเลขานการคณะกรรมการความ
มนคงปลอดภยไซเบอรแหงชาต ในการจดการ
ประชมคณะกรรมการฯ ครงท 1/2556 เมอวน
ท 11 มถนายน 2556 ซงมนายกรฐมนตรเปน
ประธาน ในฐานะทไทยเซรต เปนกลไกหลกของ
ประเทศไทยดานความมนคงปลอดภยของสงคม
ออนไลนและเปนศนยกลางในการประสานความ
รวมมอกบเครอขาย CERT ทวโลก นอกจากน
ไทยเซรต ยงไดเสนอรปแบบขนตอนการแจง
และรบมอเหตภยคกคาม ทกระทบตอความ
มนคงปลอดภยทางดานสารสนเทศจ�านวน 4
ขนตอนทไดน�ามาจากหลกเกณฑตามกฎหมาย
และประสบการณตาง ๆ เชน จากการด�าเนน
งานของ CERT ทวโลก ประกอบดวยขนตอน 1)
การรบแจงเหต 2) การวเคราะหและประเมน
ผลเบองตน 3) การรายงานเหตภยคกคามตอ
ระดบนโยบาย 4) การยนยนผลวเคราะหและ
การตดตามผล ซงทประชมคณะกรรมการฯ ได
เหนชอบตามทเสนอ
APCERT�Annual�General�Meeting�&�Conference�2013
Asia Pacific Computer Emergency
Response Team หรอ APCERT เปนเครอ
ขายหนวยงาน CERT ระดบประเทศในภมภาค
เอเชย-แปซฟก ซงไทยเซรตกเปนหนงในสบ
หนวยงานทรวมกนกอตง APCERT เมอป
2546 ส�าหรบการประชมของสมาชก APCERT
ประจ�าป 2556 นจดขนทเมองบรสเบน ประเทศ
ออสเตรเลยในเดอนมนาคม 2556 โดยม
ผแทนจากหนวยงาน CERT ของแตละประเทศ
รวมถง ไทยเซรต เขารวมประชมเพอน�าเสนอ
เหตภยคกคามในภาพรวมทแตละหนวยงาน
ไดพบและประสานงานเพอแกไขตลอดปท
ผานมา รวมถงแนวทางปฏบตและเครองมอ
79
ตาง ๆ ทมประโยชนตอการพฒนาการรบมอ
ภยคกคามอยางมประสทธภาพ นอกจากน
ยงมผแทนจากหนวยงานภาครฐ ภาคเอกชน
และองคกรอสระ เชน APNIC, Microsoft
และ Australian Federal Police เขารวม
บรรยาย แลกเปลยนความร ความคดเหน
และประสบการณ ในหวขอทเกยวของกบ
ววฒนาการของภยคกคามดานสารสนเทศ
ตงแตสงทพบในอดต จนถงแนวโนมทจะเกด
ขนในอนาคต เพอเตรยมความพรอมและ
พฒนาศกยภาพในการเฝาระวง และรบมอ
เหตภยคกคาม
The� 47th� and� 48th�
Meet ings� of� the�Telecommunications�and�Information�Wroking�
Group�(APEC�TEL�47�&�APEC�TEL�48)
ไทยเซรต ไดรบมอบหมายใหปฏบตหนาท
ในนาม สพธอ. เดนทางพรอมกบคณะผแทน
ประเทศไทย เขารวมการประชมคณะท�างาน
เอเปคดานโทรคมนาคมและสารสนเทศ (APEC
Telecommunications and Information
Working Group หรอ APEC TEL WG) ครงท
47 ทอนโดนเซย เมอเดอนเมษายน 2556 และ
ครงท 48 ทสหรฐอเมรกา เมอเดอนกนยายน
2556 โดยไดรบมอบหมายจากกระทรวง
เทคโนโลยสารสนเทศและการสอสาร ให
รบผดชอบการประชมกลมยอย Security
and Prosperity Steering Group (SPSG)
และปฏบตหนาทรองประธาน SPSG ในฐานะ
ตวแทนประเทศไทยโดยมวาระครองต�าแหนง
เปนเวลา 2 ป ผแทนไทยเซรตไดรวมเปน
วทยากรบรรยาย Cybercrime Experts Group
การเขารวมแสดงความคดเหนในการประชม
เชงปฏบตการ Security of Mobile Device
Workshop และ Comparing Approach to
Botnet Prevention, Identification and
Mitigation Workshop เปนตน
The�2nd�ASEAN�Network�Security�Action�Council�(ANSAC)
การประชม ASEAN Network Security
Action Council หรอ ANSAC เมอวนท 19
สงหาคม 2556 ทเมองมานาโด ประเทศ
อนโดนเซย เปนอกเวทการประชมททม CERT
ของภมภาคอาเซยนไดมโอกาสรวมแสดงความ
คดเหนและเผยแพรบทบาทของ CERT ในการ
ชวยปกปองรกษาความมนคงปลอดภยของ
ระบบเครอขายของภมภาคอาเซยนรวมกน
ในการประชม The 2nd ANSAC น ผแทน ไทยเซรต ไดน�เสนอขอเสนอโครงการใหม “Common Incident Handling and Escalation Framework” เพอผลกดนความ
รเรมสองสวนในอาเซยน คอ (1) การส�ารวจขอ
จ�ากดทางกฎหมาย ระเบยบปฏบตในการให
ความรวมมอกนในการรบมอภยคกคามใน
ระดบประเทศหรอภมภาค (2) การก�าหนด
แนวปฏบตรวมกนในการรบมอภยคกคามและ
การยกระดบการรบมอภยคกคาม เพอใชเปน
แนวทางส�าหรบการรบมอภยคกคามรวมกน
ของอาเซยน รวมถงเปนแนวทางในการพฒนา
แนวปฏบตในการรบมอภยคกคามสารสนเทศ
ส�าหรบประเทศทยงไมม เพอพฒนากรอบการ
ท�างานรวมกนระหวางหนวยงานในอาเซยนใน
การรบมอกบเหตการณภยคกคามทอาจสงผลก
ระทบขามพรมแดน ซงทประชม ANSAC มมต
ใหส�ารวจขอจ�ากดทางกฏหมายและระเบยบการ
80
ปฏบตในกลมประเทศอาเซยนทชดเจน กอนน�า
ขอเสนอโครงการเขารบการพจารณาในครงตอไป ทงนหากโครงการไดรบความเหนชอบกจำะเปนโอกาสใหไทยเซรตไดพฒนากรอบนโยบาย Common Incident Handling and Escalation ส�หรบใชรวมกนในภมภาคอาเซยนตอไป
The� 5th� China Network�Security�Seminar
การสมมนา China-Asean Network
Security Seminar จดขนเปนประจ�าทกป
โดย CNCERT/CC ซงเปนหนวยงาน CERT
ของสาธารณรฐประชาชนจน โดยมจดประสงค
เพอสรางเครอขายความรวมมอ และแลก
เปลยนขอมลขาวสารดานความมนคงปลอดภย
สารสนเทศ ระหวางประเทศจนและประเทศ
ในอาเซยน การสมมนาครงนจดขนเปนครงท
5 โดยมหนวยงาน CERT จาก 7 ประเทศใน
อาเซยนเขารวม นอกจากหนวยงานตาง ๆ จะ
ไดมโอกาสแลกเปลยนขอมลและความรซงกน
และกนแลว CNCERT/CC ยงไดจดวทยากร
ทมความรความสามารถ ในดานความมนคง
ปลอดภยสารสนเทศ มาบรรยายใหความรแก
ผเขารวมงานอกดวย
The�Underground�Economy�2013�(UE13)
งานสมมนาวชาการ The Underground
Economy 2013 (UE13) ไดรบการสนบสนน
จากหนวยงานต�ารวจสากล Interpol และ
Team Cymru ซงเปนหนวยงานวจยดาน
ความมนคงปลอดภยไซเบอรทไมแสวงหาผล
ก�าไร ทมชอเสยงและเปนทรจกทวโลก โดย
จดขนเปนประจ�าทกป ทส�านกงานใหญของ
Interpol ทเมอง Lyon สาธารณรฐฝรงเศส
เพอพฒนาทกษะและความรทางดานความ
มนคงปลอดภยไซเบอร และการตรวจพสจน
พยานหลกฐานดจทลในระดบสากลใหกลมผ
เชยวชาญในสายยตธรรมและผทเกยวของใน
ดานการรกษาความมนคงปลอดภยไซเบอร
ของประเทศ ไทยเซรตไดรบคดเลอกใหเปน
ผแทนเขารวมสมมนาวชาการ UE13 ซงเปน
ประโยชนตอการด�าเนนภารกจของไทยเซรต
ในดานการพฒนาองคความรในเชงวชาการ
เทคนคชนสงเกยวกบการรกษาความมนคง
ปลอดภยไซเบอร อกทงยงเปนการสรางเครอ
ขายกบกลมผเชยวชาญในสายยตธรรมในระดบ
นานาชาต เพอแลกเปลยนประสบการณใน
การรบมอภยคกคามฯ โดยเฉพาะภยคกคาม
รปแบบใหม ๆ ทมแนวโนมสงผลกระทบและ
ความเสยหายตอเศรษฐกจและความเชอมน
ในการท�าธรกรรมอเลกทรอนกสของประเทศ
ACID�(ASEAN�CERT�Incident�Drill)
ASEAN CERT Incident Drill หรอ ACID เปนการซกซอมรบมอภยคกคามทางสารสนเทศ ระหวางหนวยงาน CERT ของประเทศในภมภาคเอเชย-แปซฟกทจำดขนเปนประจำ�ทกป
เพอเตรยมความพรอมในการรบมอเหตภย
คกคามในสถานการณจรง และเปนการสราง
เครอขายของหนวยงาน CERT ในภมภาคให
มความแขงแกรง โดยในป 2556 ทผานมา
ไทยเซรต และผแทนจากหนวยงาน CERT อน ๆ
รวมทงสนกวา 14 หนวยงาน เขารวมการซกซอม
ทจดขนโดย SingCERT ประเทศสงคโปร ภายใต
สถานการณจ�าลองทเกยวของกบเหตการณการ
โจมตเวบไซตและการเผยแพรมลแวร ซงจะตอง
อาศยความรและทกษะในเชงเทคนค ไมวาจะ
เปนการวเคราะหลอกของระบบ การวเคราะห
พฤตกรรมของมลแวร รวมถงการประสานงาน
81
ไปยงผทเกยวของเพอขอขอมลเพมเตม และ
แจงรายละเอยดของเหตภยคกคาม เพอให
ผทเกยวของด�าเนนการแกไขปญหา
Black�Hat�USA�2013�&�DEFCON�21�Conferences
Black Hat USA 2013 และ DEFCON
21 Conference เปนงานประชมประจ�าปดาน
ความมนคงปลอดภยไซเบอร ทมเหลาบรรดา
ผเชยวชาญดาน Computer Security ทวโลก
มารวมตวกน เพอแลกเปลยนความรและรบ
ฟงการบรรยายในหวขอตาง ๆ ทเปนประเดน
เดนทนาสนใจเกยวกบความมนคงปลอดภย
ไซเบอร โดยทงสองงานจดขนตอเนองกนในชวง
เดอนสงหาคม 2556 ทลาสเวกส สหรฐอเมรกา
และเปนอกครงทไทยเซรต ไดมโอกาสสง
ผแทนเขารวมงานดงกลาว เพอเพมพนความร
ทางดานความมนคงปลอดภยไซเบอรในระดบ
ผเชยวชาญ โดยเฉพาะขอมลภยคกคามรปแบบ
ใหม ๆ และน�าความรทไดกลบมาถายทอดให
กบทมงานและผทเกยวของไดรบทราบ เพอให
เกดประโยชนตอการด�าเนนงานของไทยเซรต
ในการพฒนาองคความรในเชงวชาการเทคนค
ชนสงเกยวกบการรกษาความมนคงปลอดภย
ไซเบอร
14th�ASEAN�Telecommunications�and�IT�Senior�Officials�Meeting:�(ASEAN�TELSOM)�และ�13th�ASEAN�Telecommunications�
and�IT�Ministers�Meeting:�(ASEAN�TELMIN)
ไทยเซรต ไดมโอกาสตดตามผบรหารระดบ
สงของกระทรวงเทคโนโลยสารสนเทศและ
การสอสาร เขารวมการประชมและสนบสนน
ขอมลทางเทคนคใหแกทานรฐมนตรและปลด
กระทรวงฯ ในการประชม ASEAN TELSOM
และ TELMIN ซงเปนเวทการประชมระหวาง
รฐมนตรของอาเซยน (TELMIN) และผบรหาร
ระดบสงของอาเซยน (TELSOM) ทรบผดชอบ
ดาน Telecommunication และ IT จดขนใน
เดอนพฤศจกายน 2556 ทสงคโปร โดยผแทน ไทยเซรต ไดรายงานผลการด�เนนโครงการในความรบผดชอบของ สพธอ. ไดแก โครงการ Intra-ASEAN Secure Transactions
Framework ให ทประชมได รบทราบ
ซงโครงการนเปนกจกรรมหนงทมความส�าคญ
ภายใตแผนแมบทไอซทอาเซยน 2015 (ASEAN
ICT Masterplan 2015) ซงจะชวยใหการท�า
ธรกรรมทางอเลกทรอนกสระหวางประเทศ
อาเซยนมความมนคงปลอดภย
82
4.1.2 ศกษาดงาน
การศกษาดงานศนยปฏบตการดานความมนคงปลอดภยสารสนเทศของประเทศเกาหล�ณ�Korea�Internet�&�Security�Agency�(KISA)�และ�Korea�Post�Information�Center�(KPIC)
ภารกจหลกทส�าคญหนงของไทยเซรต
คอการเฝาระวงสถานการณ และประสาน
งานแกไขรวมกบหนวยงานทเกยวของ ใน
กรณทเกดเหตภยคกคาม ไทยเซรตจงได วางแผนการสรางศนยปฏบตการดานความมนคงปลอดภยสารสนเทศ (Security Operation Center หรอ SOC) ขน ณ ส�นกงานแหงใหมของ สพธอ.
เพอรองรบและขยายขดความสามารถในการ
ปฏบตงานดงกลาวในอนาคต อยางไรกตาม
ปจจบนในประเทศไทย ยงไมมศนยปฏบต
การดานความมนคงปลอดภยสารสนเทศทม
ความทนสมย และมระบบบรหารจดการทม
มาตรฐานทดเทยมกบประเทศชนน�าในตาง
ประเทศ ดงนน กรรมการบรหาร ทปรกษา
ผอ�านวยการ สพธอ. รวมถงเจาหนาทของ
ไทยเซรต จงไดเดนทางไปเยยมชมศนยปฏบต
การฯ ของ Korea Internet & Security
Agency หรอ KISA และ Korea Post
Information Center หรอ KPIC ณ ประเทศ
เกาหลใต เพอศกษา และเรยนรหลกแนวคดใน
การพฒนา โครงสรางของศนยปฏบตการฯ ทง
ในดานกายภาพและการบรหารจดการ แลวน�า
ขอมลทไดมาศกษาคนควาเพมเตม เพอน�ามา
ปรบใชกบการสรางศนยปฏบตการ SOC ของ
ไทยเซรต ตอไป
สงเกตการณการซกซอมรบมอภยคกคามทางไซเบอร�Cyber�Offensive�and�Defensive�Exercise�(CODE)�Program�ประเทศไตหวน
ไทยเซรต ไดรบเชญเปนแขกกตตมศกด
เขารวมสงเกตการณ การซกซอมรบมอภย
คกคาม Cyber Offensive and Defensive
Exercise (CODE) Program ระหวางวนท
83
2-5 ธนวาคม 2556 รวมกบผสงเกตการณ
จากมาเลเซย สาธารณรฐสโลวก และ
สหรฐอเมรกา ผแทนไทยเซรตมโอกาสไดสงเกตการซกซอมและเตรยมความพรอมตอภยคกคามทางไซเบอรทง Red Team และ Blue Team ของหนวยงานภาครฐครงใหญของประเทศไตหวน
มการทดสอบทงแบบ Table Top และ Live-
Action Exercie และยงไดมโอกาสเยยมดงาน
หนวยงานทส�าคญ เชน National Information
and Communication Security Taskforce
(NICS), The Investigation Bureau of the
Ministry of Justice, The Fiscal Information
Agency, Ministry of Finance, National
Police Agency และ Criminal Investigation
Bureau ท�าใหไทยเซรตไดเกบเกยวความร
และประสบการณหลาย ๆ ดานจากมมมอง
ของหนวยงานดานความมนคง ปลอดภยของ
ประเทศไตหวน ซงสามารถน�ามาเปนตวอยาง
ในการประยกตใชปรบปรงแนวปฏบตภายใน
ของไทยเซรตใหดและสมบรณยงขน
4.1.3 กจกรรมทไทยเซรตเปนเจาภาพ
เจาภาพจดการประชม� 25th�
Annual�FIRST�Conferenceในป 2556 ไทยเซรต ไดรบเกยรตให
เปนเจาภาพรวมจดงานสมมนาและประชมประจ�าปของ Forum of Incident Response and Security Teams หรอ FIRST ครงท 25 (25th Annual FIRST Conference 2013) ในระหวางวนท 16 – 21 มถนายน 2556 ณ โรงแรมคอนราด กรงเทพมหานคร โดยนายกรฐมนตร ในฐานะทเปนประธานคณะกรรมการความมนคง ปลอดภยไซเบอรแหงชาต ไดเดนทางมาเปนประธานเปดงาน การประชมในครงน ถอเปนเวทส�าคญดานการรกษาความมนคงปลอดภยไซเบอร โดย มผเชยวชาญดานความมนคงปลอดภยไซเบอรมากกวา 500 คนจำาก CERT ในระดบประเทศทกภมภาคทวโลกมากกวา 300 องคกรเขารวมงาน
เพอแลกเปลยนความร ความคดเหน แนวโนมภยคกคามรปแบบใหม ๆ และการพฒนาระบบการรกษาความมนคงปลอดภยในระดบสากล รวมถง การน�าเสนอขอมลเชงวชาการและเครองมอสารสนเทศ ซงจะเปนประโยชนในการน�ามาปรบปรง และพฒนาการด�าเนนงานของ CERT ใหสอดคลองกบแนวทางในระดบสากลมากขน นอกจากน ยงเปนการสรางเครอขายและกระชบความสมพนธระหวางผปฏบตงานของ CERT รวมถงสรางโอกาสใหผเชยวชาญดานความมนคงปลอดภยไซเบอร
ของประเทศไทยไดพบปะหารอกบผเชยวชาญในระดบนานาชาตเพอแลกเปลยนประสบการณ การจดงานประชมในครงน สงผลใหไทยเซรต เปนทรจกในเวทนานาชาต และมความราบรนในการประสานงานรบมอภยคกคามมากขน อกทงยงเปนการชวยกระตนใหคนไทยตระหนกถงความส�าคญของ Cybersecurity และเปนการแสดงศกยภาพของประเทศในการจดการประชมระดบนานาชาต สรางภาพลกษณทดใหกบ
ประเทศไทย รวมทงเปนการกระตนเศรษฐกจ
ในระดบทองถนของประเทศอกทางหนงดวย
84
เจาภาพการซกซอมรบมอ�ภยคกคามของหนวยงานภาครฐและภาคธนาคาร�ประจำป�2556
การซกซอมรบมอภยคกคามหรอ Cyber
Drill เปนการเตรยมความพรอมใหกบหนวยงาน
ในการรบมอภยคกคามทอาจเกดขนภายใน
หนวยงาน และชวยใหหนวยงานรบทราบถง
กระบวนการในการรบมอทเหมาะสม โดยผ
เขารวมจะตองวเคราะหเหตภยคกคาม และ
ประสานงานไปยงหนวยงานทเกยวของภาย
ใตสถานการณจ�าลองทก�าหนดขนในป 2556 ไทยเซรต ไดจำดการซกซอมรบมอภยคกคาม 2 ครง รวมกบหนวยงานของรฐ 26
หนวยงาน และกล มธนาคาร 16 แหง
ซงในปนไดจ�าลองเหตภยคกคามทเกยวของกบ
การเผยแพรมลแวรบนเวบไซต ซงมทงมลแวร
ทท�างานบนระบบปฏบตการ Windows และ
Android ผเขารวมไดรบการฝกใหวเคราะหหา
ตนเหตสถานการณภยคกคามจากหลกฐานท
ตรวจพบภายในอปกรณเครอขาย เซรฟเวอร
และเครองคอมพวเตอรทตดมลแวร ททม
ไทยเซรตจ�าลองขนมา รวมถงวเคราะห
พฤตกรรมการท�างานของมลแวร เพอรวบรวม
ขอมลในการประสานงาน แจงเหตไปยง
หนวยงานทเกยวของ ใหด�าเนนการแกไขตอ
ไป ทงนคาดหวงวาหนวยงานทเขารวมซกซอม
รบมอภยคกคามจะสามารถน�าความรทไดรบ
ไปเผยแพรตอไปในหนวยงานของตนเอง เพอ
ใหหนวยงานรฐและธนาคารอนเปนโครงสราง
พนฐานส�าคญของประเทศมความเขมแขง และ
มนคงปลอดภย
เจาภาพจดการฝกอบรมและสอบวดระดบเพอพฒนามาตรฐานการรบรองบคลากรดานความมนคงปลอดภยระบบสารสนเทศของประเทศไทย�
ในเดอนพฤษภาคม 2556 ไทยเซรต ได
รวมมอกบ Thailand Information Security
Association หรอ TISA ซงเปนสมาคมของกลม
นกวชาชพดานความมนคงปลอดภยสารสนเทศ
ในประเทศไทย จดการฝกอบรมและสอบวด
ระดบดานความมนคงปลอดภยสารสนเทศ รน
ท 1 โดยมวตถประสงคเพอก�าหนดและพฒนา
มาตรฐานการรบรองสมรรถนะของบคลากรดาน
ความมนคงปลอดภยสารสนเทศภายในประเทศ
ผทสอบผานจะไดใบรบรอง Information
Security Expert Certification หรอ iSEC
โดยแบงออกเปน 2 กลม ไดแก ผเชยวชาญ
ดานความมนคงปลอดภยสารสนเทศ ดานการ
บรหารจดการ (iSEC-M) และผเชยวชาญดาน
ความมนคงปลอดภยสารสนเทศ ดานเทคนค
(iSEC-T) และในแตละกลมยงแบงออกเปน
3 ระดบ ซงใบรบรอง iSEC ในแตละระดบ
จะมเกณฑในการเทยบกบใบรบรองสากล
จากตางประเทศ เชน CISSP, CISA, CISM,
GSEC และ Security+ ผลการจดกจกรรมนม ผเขารวมการฝกอบรมและสอบวดระดบจำ�นวน 124 คน จำากหนวยงานภาครฐ ภาคเอกชน และบคคลทวไป มผทสอบผานไดใบรบรอง iSEC-M จำ�นวน 11 คน และ iSEC-T จำ�นวน 9 คน
85
เจาภาพจดการประชม�The� 3rd� ASEAN-Japan�Information� Security�Policy�Workshop
ไทยเซรต ในนามประเทศไทยเปน
เจาภาพจดการประชม ASEAN-Japan
Information Security Workshop 2013
ระหวางวนท 7-8 กมภาพนธ 2556 ท
กรงเทพฯ รวมกบกระทรวงสารสนเทศและ
การสอสาร (Ministry of Information and
Communication - MIC) ประเทศญปน เพอ สรางความรวมมอดานความมนคงปลอดภยระหวางประเทศในภมภาคอาเซยนและประเทศญปน และเปนเวทใหผเชยวชาญดานการรกษาความมนคงปลอดภยในประเทศอาเซยน และญปนไดแลกเปลยน
ความคดเหนและประสบการณ และเปดโอกาสใน
การสรางความความรวมมอระหวางประเทศ
เพอสรางความรวมมอในการรบมอภยคกคาม
นอกจากน ไทยเซรต และ MIC ยงใชโอกาสน ร วมลงนามบนทกข อตกลงความร วมมอ โครงการ Proactive Response Against Cyber-Attacks Through International Collaborative Exchange หรอทเรยกสน ๆ วา โครงการ PRACTICE
ซงเปนความรวมมอทางเทคนค ในการเกบ
รวบรวมขอมลจราจรคอมพวเตอร และแลก
เปลยนขอมลผลการวเคราะหขอมลจราจร
คอมพวเตอร ทอาจเปนภยคกคามตอระบบ
เครอขาย รวมทงการวเคราะหแนวโนมและ
วธการรบมอภยคกคามดานสารสนเทศอยางม
ประสทธภาพ และการพฒนาเทคนคการปองกน
ภยคกคามดานสารสนเทศในเชงรกรวมกน
เจาภาพรวมกบ�OWASP�จดงาน�ETDA�and�OWASP:�Open�Web�and�Application�Security�Day
ในเดอนกรกฎาคม 2556 ไทยเซรตได
รวมมอกบ Open Web Application Security
Project หรอ OWASP ซงเปนหนวยงานไม
แสวงผลก�าไร ทมภารกจหลกในการสงเสรม
และพฒนาความรดานความมนคงปลอดภย
ของเวบไซต รวมกนจดการอบรมเชงปฏบต
การการพฒนา Secure Web Application
ใหกบนกพฒนาและผดแลเวบไซตไทย โดยได
รบเกยรตจากกรรมการบรหารของ OWASP
London Chapter เปนวทยากรมาบรรยาย มงเนนหวขอการเรยนรชองโหวและเทคนคการ โจำมตเวบไซตทพบเหนในปจำจำบน ดงทรวบรวม
ไวใน OWASP Top 10 เชน Injection, Broken Authentication and Session Management และ Cross-site Scripting
รวมถงเทคนคในการพฒนาเวบไซตใหมความ
มนคงปลอดภย ซงจะเปนการสงเสรมใหนก
พฒนาและผดแลเวบไซตของไทย มความรและ
ทกษะในดานการรกษาความมนคงปลอดภย
ของเวบไซต สงผลใหเกดเหตภยคกคามท
เกยวของกบเวบไซตลดนอยลงในอนาคต
ซงกจกรรมครงนไดรบความสนใจ ทงจาก
หนวยงานภาครฐและรฐวสาหกจเขารวมงาน
ในครงนเปนจ�านวนมาก
86
เจาภาพรวมกบ�EC-Council�จดการอบรมหลกสตร�Certified�Ethical�Hacker
ภายหลงลงนามในบนทกขอตกลงความ
รวมมอระหวาง ไทยเซรต และ EC-Council
ซงมวตถประสงคเพอสงเสรม และพฒนา
ทกษะดานความมนคงปลอดภยสารสนเทศ
ของบคลากรภายในประเทศ สองหนวยงาน
กไดรวมกนเปนเจาภาพ จำดการฝกอบรมในหลกสตร Certified Ethical Hacker หรอ CEH ในเดอนสงหาคม 2556 โดยไดรบเกยรตจำากผเชยวชาญของ EC-Council เปนวทยากร
ฝกอบรมกบผแทนจากหนวยงานภาครฐหลาย
แหง เชน กระทรวงเทคโนโลยสารสนเทศและ
การสอสาร กรมสอบสวนคดพเศษ กองทพ
เรอ กองทพอากาศ กระทรวงสาธารณสข
และธนาคารแหงประเทศไทย ซงผลการจด
อบรมในครงนกประสบผลส�าเรจ จากจ�านวน
ผทเขารบการฝกอบรมรวมทงสน 20 คน ม
ผทสามารถสอบผานและไดประกาศนยบตร
CEH จ�านวน 18 คน
เจาภาพรวมกบ�JPCERT�ฝกอบรมดานความมนคงปลอดภยสารสนเทศใหกบ�LaoCERT
สบเนองจากการลงนามในบนทกขอ
ตกลงความรวมมอดานการพฒนาทกษะและ
ศกยภาพของบคลากร ระหวาง ไทยเซรต
และ LaoCERT ในเดอนกรกฎาคม 2556
เพอประสานงานรบมอ และแกไขปญหาเหต
ภยคกคาม วศวกรของไทยเซรตไดรบเชญให
เปนวทยากรรวมกบเจาหนาทของ JPCERT/
CC ประเทศญปน ในการอบรมภายใตหวขอ Basic Understanding of CSIRT and Incident Response Training ณ สปป. ลาว
ในเดอนตลาคม 2556 โดยเจาหนาทของ
ไทยเซรต ไดเปนผบรรยายในหวขอหลกการ
และความรพนฐานของการรกษาความมนคง
ปลอดภยสารสนเทศ รวมถงเปนผอบรมเชง
ปฏบตการในการตดตงและใชงานระบบบนทก
และตดตามการแจงเหตภยคกคาม
87
ITU�Telecom�World�2013
ผอ�นวยการ สพธอ. ไดรบเชญใหเขารวมบรรยายและอภปรายในหวขอ “Mobile Security Challenge and Policy in ASEAN” ในงานประชมสมมนาระดบโลก ITU Telecom World 2013
กรงเทพ ซงเปนงานประชมประจ�าปของ
สหภาพโทรคมนาคมระหวางประเทศ หรอ
International Telecommunication Union
ทมผสนใจเขารวมงานทงคนไทยและตางชาต
กวา 20,000 คน จากกวา 700 องคกร 193
ประเทศ เนอหาสรปของการอภปรายโดย
ผอ�านวยการ สพธอ. นน ไดคาดการณ
ถงแนวโนมของการใชงาน โทรศพทมอถอ
และบรการสอสงคม ออนไลนทเพมขนใน
ประเทศไทย รปแบบภยคกคามทเคยเกดขน
และสงผลกระทบตอผใชงานสมารตโฟน และ
ภารกจของ ไทยเซรต สพธอ. ในดานการรกษา
ความมนคงปลอดภยทางไซเบอร ซงถอเปน
กลไกหนงทส�าคญหนง ในการเฝาระวงและ
สรางภมคมกนใหกบสงคมออนไลนของประเทศ Even
t
88
4.2 ประกาศนยบตรวชาชพดานความมนคงปลอดภยไซเบอร
บคลากรไทยเซรตไดรบประกาศนยบตร
วชาชพดานความมนคงปลอดภยไซเบอรทได
รบการยอมรบในระดบสากลในสาขาตาง ๆ
เฉพาะในป 2556 รวมทงสน 25 ใบ
สาขา ประกำศนยบตร สถำบน จ�ำนวน
Security Administration
GIAC Security Essentials (GSEC)Global Information Assurance Certification (GIAC)
1
GIAC Certified Intrusion Analyst (GCIA) 1
GIAC Penetration Tester (GPEN) 1
Security+ CompTIA 8
Certified Ethical Hacker (CEH) EC-Council 1
Forensics
GIAC Certified Forensic Examiner (GCFE)Global Information Assurance Certification (GIAC)
2
AccessData Certified ExaminerAccessData
2
AccessData Mobile Examiner 2
EnCase Certified Examiner (EnCE) Guidance Software 1
Certified Forensic Computer Examiner (CFCE)International Association of Computer Investigative Specialists (IACIS)
1
ManagementCertified Information Systems Security Professional (CISSP)
International Information Systems Security Certification Consortium (ISC)²
3
Audit ISMS Lead AuditorInternational Register of Certificated Auditors (IRCA)
2ตารางท 5
ประกาศนยบตรวชาชพดานความมนคง
ปลอดภยไซเบอรทบคลากร ThaiCERT ไดรบ
89
GIAC Security Essentials (GSEC)
เปนประกาศนยบตร ส�าหรบผเชยวชาญดาน
ความมนคงปลอดภยทครอบคลมเนอ หาท
หลากหลาย ผไดรบประกาศนยบตรตองม
ความรความเขาใจในดานความมนคงปลอดภย
สารสนเทศและพรอมจะน�าไปใชปฏบตงานใน
หนวยงานไดจรง
GIAC Certified Intrusion Analyst
(GCIA) เปนประกาศนยบตรส�าหรบผเชยวชาญ
ทมความร และทกษะความสามารถในการตด
ตง ปรบแตง และเฝาตดตามระบบตรวจหาการ
บกรก ทสามารถน�าขอมลจราจรของระบบ
เครอขายมาแปลความหมายและวเคราะหได
อยางมประสทธภาพ
GIAC Penetration Tester (GPEN)
เปนประกาศนยบตรส�าหรบผเชยวชาญดาน
ความมนคงปลอดภยทมหนาทในการประเมน
ระบบเครอขายเปาหมายเพอคนหาชองโหว
ของระบบ โดยมเนอหาครอบคลมไปถงการ
ทดสอบเจาะระบบ (Penetration Testing)
ขอกฎหมายเกยวกบการ ทดสอบเจาะระบบ
และการด�าเนนการ ทดสอบเจาะระบบอยาง
เหมาะสม รวมถงเทคนคตาง ๆ ในการทดสอบ
เจาะระบบ
Security+ เปนประกาศนยบตรดานความ
มนคงปลอดภยจาก CompTIA ทพฒนาขนมา
ในป พ.ศ. 2545 เพอทดสอบพนฐานความรทาง
ดานความมนคงปลอดภยของระบบเครอขาย
การใชเครองมอ และขนตอนการด�าเนนงาน
เพอตอบสนองตอเหตการณดานความมนคง
ปลอดภย รวมไปถงหวขอเชงธรกจอยางเชน
การบรหารความเสยงและการรบมอภยคกคาม
ทางสารสนเทศ
Certified Ethical Hacker (CEH)
เปนประกาศนยบตรส�าหรบผเชยวชาญในการ
ทดสอบเจาะระบบซงออกโดย EC-Council
โดยเนอหา ครอบคลมถงเรองชองโหวของ
ระบบ เทคนคการโจมต และเครองมอในการ
เจาะระบบทรวบรวมมาจากชมชนนกวจยดาน
ความมนคงปลอดภย
GIAC Certified Forensic Examiner
(GCFE) เปนประกาศนยบตรส�าหรบผเชยวชาญ
ทมความรความเขาใจในการวเคราะหพสจน
หลกฐานทางคอมพวเตอร โดยจะเนนทกษะ
ส�าคญในการรวบรวมและวเคราะหขอมลจาก
คอมพวเตอรทใชระบบปฏบตการ Windows
รวมไปถงการจดท�ารายงาน การคนหาและ
จดเกบหลกฐาน การตรวจคนหลกฐานทาง
เบราวเซอร และการตดตามรองรอยการท�างาน
ของผใชกบแอปพลเคชนในระบบปฏบตการ
Windows
AccessData Certified Examiner
(ACE) เปนประกาศนยบตรจากบรษท
AccessData เพอรบรองวา ผเชยวชาญม
ความรพนฐาน เรองการตรวจพสจนพยาน
หลกฐานดจทล และมความช�านาญในการใช
งานโปรแกรม Forensic Toolkit (FTK) ของ
AccessData ในการตรวจพสจนหลกฐาน
AccessData Mobile Examiner
(AME) เปนประกาศนยบตรจากบรษท
AccessData เพอรบรองวา ผเชยวชาญม
ความสามารถในการใชงานโปรแกรม Mobile
Phone Examiner Plus (MEP+) และมความ
รความเขาใจในกระบวนการท�างานของระบบ
โทรศพทมอถอและเทคโนโลยตาง ๆ ทเกยวของ
ส�าหรบพสจนพยานหลกฐานดจทล
90
EnCase Certified Examiner (EnCE)
เปนประกาศนยบตรเพอรบรองวา ผเชยวชาญม
ความสามารถในการใชงานซอฟตแวร EnCase
ของบรษท Guidance Software ในการตรวจ
พสจนพยานหลกฐานทางดจทล
Certified Forensic Computer
Examiner (CFCE) เปนประกาศนยบตรเพอ
รบรองวา ผเชยวชาญมความสามารถหลาก
หลายในดานการตรวจพสจนพยานหลกฐานทาง
ดจทลหรอคอมพวเตอร ทใชระบบปฏบตการ
Windows ซงใบรบรองนออกใหโดยหนวยงาน
International Association of Computer
Investigative Specialists (IACIS)
Certified Information Systems
Security Professional (CISSP) เปน
ประกาศนยบตรดานการบรหารความมนคง
ปลอดภยทไดรบการยอมรบทวโลก โดยมหนวย
งาน International Information Systems
Security Certification Consortium หรอ
ทเรยกวา (ISC)² เปนผรบผดชอบ และจดเปน
ประกาศนยบตรดานความมนคงปลอดภยฉบบ
แรกทไดรบการรบรองตามมาตรฐาน ANSI ISO/
IEC 17024:2003 นอกจากนแลว ยงไดรบการ
รบรองจากกระทรวงกลาโหมแหงสหรฐอเมรกา
ในดาน Information Assurance Technical
(IAT) และ Managerial (IAM)
ISMS Lead Auditor เปนประกาศนยบตร
ทหนวยงาน IRCA ออกใหกบผเชยวชาญ
ดานความมนคงปลอดภยสารสนเทศทผานการ
ทดสอบ ซงจะตองมความรและทกษะทจ�าเปน
ในการตรวจสอบ และประเมนระบบบรหาร
จดการความมนคงปลอดภยสารสนเทศของ
องคกร วาสอดคลองและเปนไปตามมาตรฐาน
ISO 27001 หรอไม
4.3� ขอตกลงความ�รวมมอกบหนวยงาน�ทงในและตางประเทศ�
เนองดวย หนงในแผนยทธศาสตรของ
สพธอ. ป 2555-2558 ตองการสงเสรมและ
สนบสนนการเพมทกษะ ดานความมนคง
ปลอดภยสารสนเทศ ใหแกผประกอบการ ภาค
รฐ ประชาชน และสนบสนนการพฒนากาลง
คนระดบวชาชพใหเพยงพอกบความตองการ
ของประเทศ ดงนน ไทยเซรต ซงอยภายใตการ
กากบของ สพธอ. จงไดมงเนนการพฒนาความ
รและทกษะดานความมนคงปลอดภยและการ
ตรวจพสจนหลกฐานทางดจทล โดยเรมตนจาก
บคลากรของไทยเซรต ดวยการสงเสรมใหไดรบ
ความร และสอบประกาศนยบตรวชาชพดาน
ความมนคงปลอดภยไซเบอรในระดบสากล รวม
ถงการจดฝกอบรมใหกบบคคลจากหนวยงาน
ในหลายภาคสวน ซงเปนผลสบเนองมาจากการ
ลงนามขอตกลงความรวมมอ (Memorandum
of Understanding: MoU) กบหนวยงาน
ทงภายในและตางประเทศ เพอเสรมสราง
ความแขงแกรงดานความมนคงปลอดภยทาง
สารสนเทศ ตลอดจนพฒนาและยกระดบ
ความสามารถของผเชยวชาญในประเทศ สง
เสรมและสนบสนนความรวมมอในการปองกน
และแกไขปญหาภยคกคามทางสารสนเทศ
ซงจาเปนตองใชทรพยากรบคคลทมคณภาพ
ขอมลขาวสารทพรอมและทนเหตการณ รวม
ทงการประสานงานกนระหวางหนวยงาน โดย
ในป 2555 ไดลงนามบนทกขอตกลงความ
รวมมอกบ JPCERT/CC (Japan Computer
Emergency Response Team Coordination
Center), APWG (Anti-Phishing Working
Group) และ Team Cymru และในป 2556
ไทยเซรต ไดขยายเครอขายความรวมมอกบ
หนวยงาน ดงตอไปน
91
MIC�(Ministry�of�Internal�Affairs�and�Communications),�Japan
สบเนองจากการหารอทวภาค ระหวาง
ประเทศไทยและญปน ซงรฐมนตรวาการ
กระทรวงไอซทของไทย ไดตอบรบเขารวม
โครงการ Proactive Response Against
Cyber-attacks Through International
Collaborative Exchange หรอ PRACTICE
ในระหวางการประชมรฐมนตรเอเปคดาน
โทรคมนาคมและอตสาหกรรมสารสนเทศ ครง
ท 9 ณ นครเซนตปเตอรสเบรก สหพนธรฐ
รสเซย สพธอ. ในฐานะทเปนตวแทนของฝาย
ไทย จงไดลงนามในบนทกขอตกลงความรวม
มอกบ Information and Communication
Bureau, Ministry of Internal Affairs
and Communications of Japan โดย
โครงการดงกลาวมวตถประสงคหลก คอ การเกบรวบรวมและวจำยขอมลภยคกคาม เพอ
น�ไปพฒนาวธการปองกนและรบมอการโจำมต
Dixie�State�College�of�Utah’s�Southwest�Regional�Computer�Crime�Institute�(SWRCCI)
สบเนองจากการลงนามบนทกขอตกลง
ความรวมมอดานดจทลฟอเรนสกส เมอตน
ป 2556 ไทยเซรต ไดจดกจกรรมเพอรบการ
ถายทอด เทคนคดจทลฟอเรนสกสขนสง
จากสถาบน Computer Crime Insitute
ของ Dixie State University ในรฐยทาห
สหรฐอเมรกา โดยสงบคลากรจ�านวน 3 คน
เขารบการอบรมหลกสตรการตรวจพสจนพยาน
หลกฐานในโทรศพทเคลอนท (Mobile Phone
Forensics) และศกษาดงานการสอนหลก
สตรดจทลฟอเรนสกสในมหาวทยาลย Dixie
State University และเยยมชมหองปฏบต
การของสถาบน Computer Crime Institute
ดวยความสมพนธอนดกบ Computer Crime
Institute ท�าใหไดมโอกาสไดเขาเยยมชมหองปฏบตการดจำทลฟอเรนสกสระดบชนน�เปนกรณพเศษ ไดแก Intermountain West Regional
Computer Forensics Laboratory ซงเปนหนงในหองปฏบตการดจำทลฟอเรนสกสกลางของ
รฐบาลสหรฐอเมรกา และหองปฏบตการดจทล
ฟอเรนสกสของบรษท American Express
ท�าใหไดเกบเกยวความรทเปนประโยชนตอ
การพฒนาประเทศไทยตอไป
92
EC-Council
ดวยหนงในภารกจหลกของไทยเซรต ทเปน
ผสงเสรมและพฒนาบคลากรภายในประเทศ ให
มความรและความเชยวชาญดานการรกษาความ
มนคงปลอดภย ไทยเซรตจงไดลงนามในบนทก
ขอตกลงความรวมมอรวมกบ EC-Council
หนงในสถาบนอบรมดานความมนคงปลอดภย
สารสนเทศทมชอเสยงในระดบสากล เพอ จำดฝกอบรม และสอบรบรองประกาศนยบตรด านความมนคงปลอดภย ให กบ เจำ าหน าทของหน วยงานภาครฐ โดยไม คดค า ใช จำ าย
นอกจากน สพธอ. หนวยงานตนสงกดของ
ไทยเซรต ยงไดรบเลอกใหเปน Authorized
EC-Council Training Center หรอศนยจด
ฝกอบรมหลกสตรของ EC-Council ทไดการ
รบรองในประเทศไทยอกดวย
LaoCERT
LaoCERT ในฐานะทเปนหนวยงานใน
สาธารณรฐประชาธป ไตยประชาชนลาว
ทมภารกจหลกเดยวกน ไทยเซรต ไดตระหนก
ถงความส�าคญทจะสราง ความรวมมอกบ
LaoCERT ในการพฒนาศกยภาพของบคลากรใหมความร และความเชยวชาญในการประสานงานและรบมอเหตภยคกคามดานสารสนเทศ เพอเสรมสรางความแขงแกรงใน การดแลรกษาความมนคงปลอดภย ของประเทศในภมภาคอาเซยน
จงไดเกดการลงนามในบนทก ขอตกลงความ
รวมมอระหวาง ไทยเซรต และ LaoCERT
ขน โดยในปทผานมา วศวกรของไทยเซรต ได
เดนทางไปบรรยายใน การอบรมใหกบเจาหนาท
ของ LaoCERT รวมกบผแทนจาก JPCERT/
CC ประเทศญปน
สำนกงานตำรวจแหงชาต
เนองจากสถานการณเหตภยคกคามดานสารสนเทศทเกดขน สามารถสงผลกระทบตอความสงบสขในสงคมและความมนคงของประเทศ ไทยเซรตเหนถงความส�าคญของการพฒนาศกยภาพบคลากร เทคนคดาน
การรกษาความมนคงปลอดภย รวมถงการพฒนามาตรฐาน ดานการตรวจพสจนพยานหลกฐานดจทล ซงเปนหนงในสวนงานหลกของไทยเซรต จงไดลงนามบนทกขอตกลง
ความรวมมอกบส�านกงานต�ารวจแหงชาต เพอ สงเสรม และผลกดนให หน วยงานและบคลากรทเกยวของ มความสามารถในการรบมอ ปองกน และแกไขเหตภยคกคามทสงผลกระทบตอความสงบสขของสงคมและประเทศ
จากการบนทกขอตกลงความรวมมอทเกดขน
จะท�าใหเกดการถายทอดความร แลกเปลยน
ขอมลทางวชาการระหวางหนวยงาน รวมถง
การจดฝกอบรม และสมมนาดานความมนคง
93
ปลอดภย โดยเฉพาะการตรวจพสจนพยาน
หลกฐานดจทล ซงทงสองฝายจะมการประชม
หารอรวมกนเพอตดตามความคบหนา รวมถง
การจดท�าและปรบปรงการด�าเนนงานภายใต
ขอตกลงความรวมมอดงกลาว
SANS�Institute
ไทยเซรต ไดลงนามในบนทกขอตกลงความ
รวมมอกบ SANS Institute ซงเปนสถาบน
ฝกอบรม และวจยดานความมนคงปลอดภย
สารสนเทศระดบนานาชาต เพอสงเสรมการ
พฒนาบคลากร ดานความมนคงปลอดภย
ใหทดเทยมกบประเทศอน ๆ ในภมภาค
เดยวกน ซงจดเดนของหลกสตร SANS นน
เปนหลกสตรทไดรบการยอมรบในระดบสากล
เนองจาก เปนหลกสตรทมงเนน การใหความร
ในเชงเทคนค และพฒนาทกษะของผเขารบ
การอบรม ใหมความรและความสามารถใน
การลงมอปฏบตท�างานจรง ทงน ผลจากการ
ลงนามบนทก ขอตกลงความรวมมอดงกลาว สงผลใหเกดการจำดอบรมในหลกสตร Hacker Techniques, Exploits & Incident Handling และสอบประกาศนยบตร GIAC Certified Incident Handler หรอ GCIH ขนในประเทศไทยในป 2557
โดยมผทสนใจ ทงจากหนวยงานภาครฐและ
เอกชนเขารวมการอบรมดงกลาว
94
บทท�5.�
รายงาน CERTs ของประเทศสมาชกอาเซยน+3
95
จากรายงานประจาป 2012 ของ APCERT ซงรายงานสถานะปจจบนและสถตภยคกคามทไดรบจากหนวยงาน CERT ในประเทศตาง ๆ พบวา APCERT ไดระบจานวนสมาชกของกลมประเทศของเครอขายความรวมมอในภมภาคเอเชยแปซฟกทงสน 30 หนวยงานจาก 20 เขตเศรษฐกจ โดยในจานวนนเปนหนวยงาน CERT ทรบมอและแกไขภยคกคามจากประเทศในอาเซยน+3 ทงสน 11 หนวยงานจาก 11 เขตเศรษฐกจ ยกเวน LaoCERT จากประเทศลาว และ CamCERT จากประเทศกมพชา ทยงไมไดเปนสมาชกของ APCERT
ตารางท�6�ขอมลของหนวยงาน�CERT�ระดบประเทศในอาเซยน+3
ชอหนวยงำน ประเทศ ชองทำงรบแจง
Brunei Computer Emergency Response Team (BruCERT)
บรไน หมายเลขโทรศพท: (+67)32-458-001อเมล: [email protected] Keyหมายเลขของกญแจ (Key ID): 0x2C5D7296ประเภทของกญแจ (Key Type): DSAวนหมดอาย (Expires): - ขนาดความยาว (Key size): 1024Fingerprint: 9D6C 609D 70B5 7FE0 BA8E B0CB 8856 C2A7 EA1E B592
96
ชอหนวยงำน ประเทศ ชองทำงรบแจง
National Computer network Emergency Response technical Team / Coordination Center of China People’s Republic of China (CNCERT/CC)
จน หมายเลขโทรศพท: (+86)108-299-1000อเมล: [email protected] PGP Keyหมายเลขของกญแจ (Key ID): 0x0C96458Dประเภทของกญแจ (Key Type): DSAวนหมดอาย (Expires): -ขนาดความยาว (Key size): 1024Fingerprint: 5DE6 1B6F 23C3 EEDD AD8D 5B94 5D19 2284 0C96 458D
Indonesia Security Incident Response Team on Internet Infrastructure Coordination Center (ID-SIRTII/CC)
อนโดนเซย หมายเลขโทรศพท: (+62)21-3192-5551อเมล: [email protected]
97
ชอหนวยงำน ประเทศ ชองทำงรบแจง
Japan Computer Emergency Response Team / Coordination Center (JPCERT / CC)
ญปน หมายเลขโทรศพท: (+81)33-518-2178อเมล: [email protected] Keyหมายเลขของกญแจ (Key ID): 0x69ECE048 ประเภทของกญแจ (Key Type): RSAวนหมดอาย (Expires): -ขนาดความยาว (Key size): 2048Fingerprint: FC89 53BB DC65 BD97 4BDA D1BD 317D 97A4 69EC E048
Korea Internet Security Center (KrCERT/CC)
เกาหลใต หมายเลขโทรศพท: (+82)24-055-424อเมล: [email protected] Keyหมายเลขของกญแจ (Key ID): 0x854702E3ประเภทของกญแจ (Key Type): RSAวนหมดอาย (Expires): -ขนาดความยาว (Key size): 2048Fingerprint: FEC3 8E77 1430 5DA5 A39E 2ABE 215C A784 8547 02E
98
ชอหนวยงำน ประเทศ ชองทำงรบแจง
Lao Computer Emergency Response Team (LaoCERT)
ลาว หมายเลขโทรศพท: (+85)62-125-4150อเมล: [email protected] Keyหมายเลขของกญแจ (Key ID): 0xEA1EB592ประเภทของกญแจ (Key Type): RSAวนหมดอาย (Expires): 11 ม.ย. 2560ขนาดความยาว (Key size): 2048Fingerprint: 9D6C 609D 70B5 7FE0 BA8E B0CB 8856 C2A7 EA1E B592
Malaysian Computer Emergency Response Team (MyCERT)
มาเลเซย หมายเลขโทรศพท: (+60)19-266-5850อเมล: [email protected] Keyหมายเลขของกญแจ (Key ID): 0x82B6ED71ประเภทของกญแจ (Key Type): DSAวนหมดอาย (Expires): -ขนาดความยาว (Key size): 1024Fingerprint: 57CD C689 1B0E 0835 3BBD AF97 D010 0570 82B6 ED71
99
ชอหนวยงำน ประเทศ ชองทำงรบแจง
National Cambodia Computer Emergency Response Team (CamCERT)
กมพชา หมายเลขโทรศพท: (+85)59-233-5536อเมล: [email protected]
Philippine Computer Emergency Response Team (PHCERT)
ฟลปปนส หมายเลขโทรศพท: -อเมล: [email protected]
Singapore Computer Emergency Response Team (SingCERT)
สงคโปร หมายเลขโทรศพท: (+65)62-110-911อเมล: [email protected] Keyหมายเลขของกญแจ (Key ID): 0x8BC26BE9ประเภทของกญแจ (Key Type): RSAวนหมดอาย (Expires): -ขนาดความยาว (Key size): 1024Fingerprint: AC79 09BD 3E7A 9F73 D664 FCC3 1409 24A0
100
ชอหนวยงำน ประเทศ ชองทำงรบแจง
Thailand Computer Emergency Response Team (ThaiCERT)
ไทย หมายเลขโทรศพท: (+66) 2-123-1212อเมล: [email protected] Keyหมายเลขของกญแจ (Key ID): 0xF2CB3EE1ประเภทของกญแจ (Key Type): RSAวนหมดอาย (Expires): 2015-06-25ขนาดความยาว (Key size): 2048Fingerprint: 29B3 2C79 FB4A D4D7 E71A 71ED 5FFE F781 F2CB 3EE1
Vietnam Computer Emergency Response Team (VNCERT)
เวยดนาม หมายเลขโทรศพท: (+84) 93-442-4009อเมล: [email protected] Keyหมายเลขของกญแจ (Key ID): 0x1F2AD964ประเภทของกญแจ (Key Type): RSAวนหมดอาย (Expires): -ขนาดความยาว (Key size): 2048Fingerprint: 8A8E CCC4 7E0E BDAD 8A88 63B2 C9BC 60A5 1F2A D964
Myanmar Computer Emergency Response Team (mmCERT)
พมา หมายเลขโทรศพท: (+95)650-891, (+92) 656-685อเมล: [email protected] Keyหมายเลขของกญแจ (Key ID): 0x47F84281ประเภทของกญแจ (Key Type): RSAวนหมดอาย (Expires):ขนาดความยาว (Key size): 2048Fingerprint: 34CD 3F92 6A41 01A7 6AFA A43F 08E5 371A 47F8 4281
101
เมอวเคราะหสถานการณดานภยคกคามในแถบภมภาคอาเซยน+3 จากสถต
จ�านวนรายงานภยคกคามดานสารสนเทศทหนวยงาน CERT ไดรบแจง จะเหนไดวาใน
ป 2555 หนวยงาน CERT ของประเทศทมปรมาณการใช ICT สงอยางประเทศเกาหลใต
(KrCERT/CC) ประเทศจน (CNCERT/CC) ประเทศญปน (JPCERT/CC) และประเทศ
มาเลเซย (MyCERT) ยงคงรบแจงในปรมาณทสงมากกวา 10,000 รายงาน โดยมจดท
นาสงเกตคอ KrCERT/CC ไดรบรายงานมากกวาประเทศอน ๆ อยางเหนไดชด โดยได
รบแจงกวา 60,000 รายงาน มากกวาจ�านวนรายงานของ CNCERT/CC ซงอยในอนดบ
ท 2 ถง 3.5 เทา ในขณะทหนวยงาน CERT ของประเทศเวยดนาม (VNCERT) ประเทศ
บรไน (BruCERT) ประเทศอนโดนเซย (ID-SIRTII) และประเทศไทย (ThaiCERT) ไดรบ
แจงนอยกวา 3,000 รายการ
เมอเปรยบเทยบกบจ�านวนภยคกคามเมอป 2554 จะพบวาประเทศสวนใหญได
รบรายงานภยคกคามเพมขน โดยเฉพาะ VNCERT, JPCERT/CC และ KrCERT/CC ท
ไดรบแจงเพมขน 3.5 เทา, 2.2 เทาและ 1.8 เทาตามล�าดบ ในขณะท MyCERT และ
BruCERT ไดรบรายงานลดลง 34.4% และ 34.5% ตามล�าดบ สวนกรณ ID-SIRTII ได
รบแจงลดลงอยางมากถง 97.6% สาเหตอาจมาจากการเปลยนแปลงชองทางการรบ
แจง โดยเรมรบแจงภยคกคามผานชองทางสาธารณะในป 2555 ในขณะทปกอนหนา
รบแจงผานชองทางอน
BruCERTID-SIRTIIMyCERTThaiCERTVNCERTCNCERT/CCJPCERT/CCKrCERT/CC
2550 2551 2552 2553 2554 255510
100
1k
10k
100k
กราฟท 19 จ�านวนรายงานภยคกคามดานสารสนเทศทหนวยงาน CERT ของประเทศในอาเซยน+3
ไดรบแจงระหวางป 2550-2555
102
เมอแบงประเภทของภยคกคามทถกแจงเปน 6 ประเภทหลกตามกราฟท 20 โดยชดกราฟแทงซายของแตละประเทศเปนขอมลของป 2554 และชดกราฟแทงขวาของแตละประเทศเปนขอมลของป 2555 จะเหนวาประเภทภยคกคามทไดรบแจงสงสดในแตประเทศยงคงมลกษณะคลายกบป 2554 โดย BruCERT และ KrCERT/CC รบรายงานภยคกคามประเภท Malicious Code มากทสด ในขณะท ไทยเซรต, VNCERT, CNCERT/CC ยงคงไดรบรายงานประเภท Fraud มากทสด อยางไรกตาม มรายงานภยคกคามบางประเภทไดรบแจงลดลงมากในป 2555 เมอเทยบกบป 2554 เชน กรณทเกอบทกหนวยงาน CERT ยกเวน BruCERT ไดรบแจงภยคกคามประเภท Information Gathering ลดลง โดยเฉพาะ CNCERT/CC ทไดรบ
แจงเพยงแค 0.1% และ ID-SIRTII, MyCERT, CNCERT/CC, KrCERT/CC ทไมไดรบแจงในป 2555 เลย หรอกรณไทยเซรตทแทบจะไมไดรบแจงภยคกคามประเภท Abusive Content (0.4%) เมอเทยบกบป 2554 (11.9%) ในขณะทภยคกคามบางประเภทไดรบแจงเพมขนอยางชดเจนในหลายประเทศ เชน กรณภยคกคามประเภท Intrusions ท ID–SIRTII, KrCERT/CC, MyCERT ไดรบแจงเพมขนเปน 30%, 32.1% และ 43.3% ตามล�าดบ หรอกรณทภยคกคามประเภท Malicious Code ท VNCERT ไดรบแจงเพมเปน 32.8% โดยพบวาเกดจากการระบาดของมลแวรทฝงในไฟลเอกสารแนบ
สดสว
น (รอย
ละ)
Abusive ContentFraudInformation Gathering/Intrusion AttemptsIntrusionsMalicious CodeOtherBruCERT ID-SIRTII MyCERT ThaiCERT VNCERT CNCERT/CC JPCERT/CC KrCERT/CC
0
20
40
60
80
100
กราฟท 20 สดสวนของภยคกคามแตละประเภททถกแจงไปยงหนวยงาน CERT ของแตละประเทศในกลมอาเซยน+3 ในป 2554 และ 2555
103
104
บทท�6.�
ความทาทายในบทบาท NATIONAL CERT
105
ดวยสถานการณความพรอมของ
ประเทศไทยเกยวกบการรบมอกบภาวะภย
คกคามดานสารสนเทศทยงมขอจ�ากดในหลาย
ดาน ในขณะทความซบซอนของภยคกคาม
ทเกดขนมความแปลกใหมตลอดเวลา เชน
เหตการณการคนพบชองโหวในโปรแกรม
Java บนระบบปฏบตการ Windows ใน
ชวงตนป 2556 ทท�าใหแฮกเกอรสามารถ
ลกลอบตดตงมลแวรหรอสงใหประมวลผลค�า
สงอนตรายจากระยะไกลได (Remote Code
Execution) บนเครองผใชงานทเขาชมเวบไซต
ทถกฝงโคดอนตรายไว ซงสามารถสรางความ
เสยหายใหกบผใหบรการและผใชบรการเปน
จ�านวนมากหากมการน�าชองโหวนไปใชโจมต
ประกอบกบจากรายงานสถตจากหลายแหลง
ทไดระบวาประเทศไทยมความเสยงสงเปน
อนดบตน ๆ ดานความมนคงปลอดภย
เชน สถาบนนานาชาตในการจดอนดบ
ความสามารถในการแขงขนของประเทศ
สมาชก หรอ International Institute for
Management Development (IMD) ได
ประเมนปจจยดานความมนคงปลอดภย
ไซเบอรขององคกรในแตละประเทศ
สมาชกซงสงผลตอการแขงขนของประเทศ
ในรายงาน “World Competitiveness
Rankings” ประจ�าป 2013 โดยไดจด
อนดบดานความมนคงปลอดภยไซเบอร
ของประเทศไทยอยในล�าดบท 48 จาก
ประเทศสมาชก 60 ประเทศ และอยใน
ล�าดบท 4 ของประเทศสมาชกอาเซยน
เปนรองประเทศมาเลเซย ประเทศสงคโปร
และประเทศอนโดนเซย รปท 11 อนดบความสามารถในการแขงขนดานความมนคงปลอดภยไซเบอรในรายงาน
World Competitiveness Rankings 2013 ของ IMD
106
นอกจากนคณะท�างานตอตานภยคกคาม
ประเภท Phishing (Anti-Phishing Working
Group - APWG) ไดรายงานวา เวบไซตทอย
ภายใตโดเมนของประเทศไทยมสดสวนของ
จ�านวนเวบไซตทถกเจาะระบบเพอใชเปน
ฐานส�าหรบหลอกลวงในลกษณะ Phishing
เมอเทยบกบจ�านวนโดเมนทจดทะเบยนไว
ทงหมดของประเทศสงทสดเปนอนดบตน ๆ
ซงตวอยางทงสองนสะทอนวาประเทศไทย
ก�าลงอยในภาวะทนาเปนหวงและมความ
เสยงสง ดงนนการปองกนรกษาความมนคง
ปลอดภยและการตอตานภยคกคามอยางทน
ทวงท จงเปนมาตรการทส�าคญและจ�าเปน
ส�าหรบระงบเหตกอนทจะเกดความเสยหาย
ขนในวงกวาง การท�างานในลกษณะเรยกวา
ทมประสานการรกษาความมนคงปลอดภย
ระบบคอมพวเตอร (Computer Emergency
Response Team - CERT) ซงในประเทศไทย
นนไทยเซรตไดรบการยอมรบใหเปนตวแทน
ของประเทศท�าหนาทเปนศนยกลางประสาน
งานกบหนวยงานอน ๆ ทงในประเทศและ
เครอขาย CERT ทมอยทวโลก ดงนน CERT
จงนบไดวาเปนกลไกทส�าคญในการตอสกบ
ภยคกคามไซเบอรทสามารถสงผลกระทบตอ
ทกประเทศทวโลกทเชอมโยงและเขาถงไดใน
โลกอนเทอรเนต ซง CERT ของแตละประเทศ
ตองพฒนาแนวปฏบตในการระงบเหตภย
คกคามทเกดขนใหเรวทสดและลดความเสย
หายใหเกดขนนอยทสด โดยอาศยมาตรการ
ระบบ เครองมอ รวมถงบคลากรผเชยวชาญ
ทมความพรอมทจะใหบรการไดทนททไดรบ
แจงเหตการณภยคกคาม
ทผานมาไทยเซรตมบทบาทในการพฒนา
และบรหารจดการระบบแจงเตอนเมอไดรบ
แจงภยคกคามทเรงดวนและมความส�าคญ
ไดแก การรบมอและแกไขการหลอกลวงทาง
เวบไซตธนาคาร (Phishing) และการวเคราะห
โปรแกรมไมพงประสงค (Malware) รวมถง
การพฒนาทรพยากรบคคลทมความเชยวชาญ
เฉพาะดาน ทไดรบการอบรมและสอบผาน
ใบรบรองสากลและผลกดนการสรางความ
รวมมอกบหนวยงานนานาชาตและหนวย
งานระดบประเทศ รวมทงจดฝกอบรมและ
สมมนาใหแกผบรหารและ บคลากรผปฏบต
งานดานความมนคงปลอดภยสารสนเทศทง
ภาครฐและเอกชนของประเทศไทย ใหมความ
พรอมและตระหนกถงภยคกคามไซเบอรและ
มาตรการปองกนทจ�าเปนตองเรยนร โดย
107
เฉพาะหนวยงานรฐทเปนหนวยงานโครงสราง
พนฐานส�าคญของประเทศและหนวยงานดาน
การเงนทจ�าเปนตองเปดใหบรการตลอด 24
ชวโมงอยางมนคงปลอดภย เพอสรางความ
เชอมนใหแกประชาชนในการท�าธรกรรม
ทางอเลกทรอนกส และรกษาภาพลกษณของ
ประเทศในสายตาตางชาตในระยะยาวอกดวย
ในป 2555 ไทยเซรตไดก�าหนดมาตรฐานของ
การใหบรการรบมอและจดการเหตภยคกคาม
ดานสารสนเทศทไดรบแจงภายใน 2 วนท�าการ
(Service Level Agreement - SLA) มการ
พฒนาระบบสารสนเทศเพอเพมประสทธภาพ
การ ใหบรการรบมอและแกไขภยคกคามใน
ระดบประเทศและไทยเซรตใหความส�าคญ
ในการพฒนาทกษะบคลากรในเชงเทคนคให
มความเชยวชาญในการวเคราะหภยคกคาม
ในรปแบบใหมทมความซบซอนและอาจสง
ผลกระทบกบระบบสารสนเทศส�าคญของ
ประเทศ และทส�าคญทสดคอการขยายความ
รวมมอกบหนวยงาน CERT ตางประเทศเพม
มากขน โดยเฉพาะกลมประเทศปลายทางท
ตรวจพบวามกจะใชประเทศไทยเปนฐานใน
การกระท�าความผด
ในภารกจเชงนโยบาย ไทยเซรตเปนก�าลง
ส�าคญทชวยใหการสนบสนนทางเทคนคแก
ผอ�านวยการ สพธอ. ในการปฏบตหนาท
เลขานการคณะกรรมการความมนคงปลอดภย
ไซเบอรแหงชาต (National Cybersecurity
Committee – NCSC) ทจดตงขนในป พ.ศ.
2555 ซงนายกรฐมนตรท�าหนาทประธาน ม
ผบรหารสงสดของหนวยงานส�าคญทมภารกจ
ในการปกปองและรกษาความมนคงปลอดภย
ไซเบอรของประเทศรวมเปนกรรมการ ซงผล
งานส�าคญ ไดแก การจดท�ารางกรอบนโยบาย
เกยวกบการรกษาความมนคงปลอดภยไซเบอร
แหงชาต ซงขณะนอยระหวางการรบฟงความ
เหนหนวยงานทเกยวของเพมเตมกอนทจะน�า
เสนอคณะรฐมนตรพจารณา และการจดท�าขน
ตอนการแจง/รบมอเหตภยคกคามทกระทบ
ตอความมนคงปลอดภยทางดานสารสนเทศ
เมอเกดเหตภยคกคาม ซงทงสองสวนนคณะ
กรรมการความมนคงปลอดภยไซเบอรแหงชาต
ไดใหความเหนชอบในหลกการแลว
เวบไซตของหนวยงานภาคเอกชน�(.com)�ไดรบผลกระทบเปนอนดบหนงในการโจมตทกประเภท�ใน
ขณะทเวบไซตของหนวยงานภาครฐ�(go.th)�ไดรบผล�กระทบจาก�Malware�
URL�กบ�Web�Defacement�สงเปน
อนดบท�2�และอยในอนดบท�5�ของการโจมตประเภท�
Phishing
108
ส�าหรบแผนการด�าเนนงานตอไปใน
อนาคตนน ไทยเซรตจะยกระดบการท�างาน
จากหนวยงานทใหการสนบสนนทางเทคนค
แกหนวยงานอนอยเบองหลง ไปสการท�างาน
ระดบประเทศเพอเฝาระวงภาพรวมการรกษา
ความมนคงปลอดภยของประเทศในบทบาท
ของ National CERT ซงจะเปนการพฒนา
ในเชงรกเพอรบผดชอบภารกจในระดบ
ประเทศอยางเตมตว และสนบสนนการด�าเนน
การตามนโยบายของรฐบาลในการรกษา
ความมนคงปลอดภยไซเบอรของประเทศ
ทงนมเปาหมายหลกทสำคญจะเตรยมดำเนนการตอไป�ดงน�
1 การผลกดนไทยเซรตใหท�หนาทเปน Cybersecurity
Center of Command ในบทบาทของ National CERT ทจะตองมการวางโครงสรางการบรหารจดการ
และบรณาการนโยบายการรกษาความมนคง
ปลอดภยไซเบอรของประเทศ การจดท�า
นโยบายระดบชาตเพอรบมอ ปองกน และลด
ความเสยงอนเกดจากสถานการณภยคกคาม
ไซเบอรทอาจจะเกดขนไดทกเมอ รวมถงการ
ก�าหนดแนวทางและมาตรการเกยวกบการ
รกษาความมนคงปลอดภยไซเบอรทสอดรบ
กบกรอบนโยบายทคณะกรรมการความมนคง
ปลอดภยไซเบอรแหงชาตก�าหนด และผลก
ดนการด�าเนนงานตามกรอบนโยบายดงกลาว
2 การพฒนาขนตอนการแจง/รบมอเหต
ภยคกคามทกระทบตอความมนคงปลอดภยทางดานสารสนเทศแหงชาต (National Incident Response Flow –
National IR Flow) ระหวางหนวยงานท
เกยวของ ซงประกอบดวย 4 ขนตอนหลก ไดแก
1) กระบวนการรบมอเมอตรวจพบเหตการณ
2) การวเคราะหและประเมนผลเบองตน
3) การรายงานเหตภยคกคามตามล�าดบ
ชนจนถงระดบนโยบาย
4) การยนยนผลวเคราะหและการตดตามผล
ทงนเพอใหมการสงตอขอมลส�าคญไป
ยงทกหนวยงานทเกยวของและเชอมโยงการ
ท�างานระหวางกนทงระบบ และรวมถงการผลก
ดนให National IR Flow นไดรบการยอมรบ
ทวกนและเพอน�าไปสการปฏบตอยางจรงจง
3 การพฒนาศกยภาพดานการรกษาความมนคง
ปลอดภยไซเบอรของหนวยงานส�คญ เชน กลมธนาคาร กลมโครงสราง
พนฐานส�าคญ และหนวยงานดานความมนคง
ดวยการผลกดนในการจดตง Sector-based
CERT ใหมความเขมแขง เพอประสานความ
รวมมอระหวางไทยเซรตและหนวยงานส�าคญใน
การรบมอและจดการภยคกคาม รวมถงพฒนา
ใหเปนเครอขายส�าหรบการแลกเปลยนขอมล
ภยคกคามส�าคญทเกดขนและสงผลกระ
ทบกบหนวยงานในประเทศ
109
4 การจดท�แผนความตอ เนองทางธรกจแหงชาต
หรอ National Business Continuity Plan
(NBCP) เพอเปนกลไกในการรกษาสภาพพรอม
ใชของธรกจ (Availability) ของประเทศ ซงเปน
องคประกอบส�าคญของความมนคงปลอดภย
สารสนเทศ และผลกดนใหเกดการพฒนาและ
ใชงาน BCP ในทกภาคสวน ไมวาจะเปน
หนวยงานภาครฐหรอ
ภาคเอกชนอยาง
เปนรปธรรม
5 การสรางความพรอมในการรบมอภยคกคาม
ไซเบอร ทงผเชยวชาญและเครองมอให
ทดเทยมกบประเทศในภมภาคอาเซยน และม
ระบบฐานขอมลและวธการแลกเปลยนขอมล
ภยคกคามไซเบอรทเกดขนในประเทศไทยกบ
ผใหบรการอนเทอรเนตในประเทศทกราย ท
สามารถน�าไปใชประโยชนในการปองกนหรอ
ระงบเหต ผลกระทบ และจ�ากดความเสยหายท
อาจจะเกดขนไดทนทวงทกอนทจะขยายวงกวาง
6 การเพมขดความสามารถและความหลากหลายของ
ระบบการรบมอภยคกคาม
ตลอดจนสภาพพรอมใชของระบบทส�าคญ
ของประเทศ ทสอดรบกบความตองการของ
หนวยงาน โดยเฉพาะหนวยงานทจดอยใน
กลมโครงสรางพนฐานส�าคญของประเทศ
(Critical Infrastructure) ซงมผลเกยวเนอง
ส�าคญตอความมนคงหรอความสงบเรยบรอย
ของประเทศ หรอตอสาธารณชน โดยจะเนน
ใหความส�าคญกบระบบการตรวจสอบและเฝา
ระวงเวบไซต หนวยงานส�าคญของประเทศ การ
พฒนาระบบปองกน Distributed Denial of
Service หรอ DDoS รวมถงการพฒนาระบบ
วเคราะหวจยและทดสอบภยคกคามไซเบอร
ในหองปฏบตการ GOAL
110
ภาคผนวก
ภาคผนวก�ก�การจดประเภทของเหตภยคกคามดานสารสนเทศ
ตารางท�7 ประเภทของภยคกคามทไดรบแจำงผานระบบอตโนมต
Botnet ภยคกคามดานสารสนเทศทเกดกบกลมของเครองคอมพวเตอรทมโปรแกรมไมพงประสงคตดตงอย ซงโปรแกรมไมพงประสงคนจะท�าการรบค�าสงจากผควบคมผานเครอขายอนเทอรเนต โดยอาจเปนค�าสงทใหท�าการโจมตระบบเครอขาย สงสแปม หรอโจรกรรมขอมลในเครองคอมพวเตอรนน เปนตน
Open DNS Resolver ภยคกคามดานสารสนเทศทเกดจากการตงคาของเครองใหบรการ DNS อยางไมเหมาะสม อาจถกใชเปนสวนหนงในการโจมตระบบตาง ๆ ในลกษณะ DDoS ได
Spam ภยคกคามดานสารสนเทศทเกดจากผไมหวงดท�าการสงจดหมายอเลกทรอนกสออกไปยงผรบจ�านวนมาก โดยผทไดรบจดหมายอเลกทรอนกสเหลานนไมไดมความประสงคทจะไดรบขอมลนนมากอน สวนมากเปนการโฆษณาสนคาและบรการ ท�าใหเกดความเดอดรอนร�าคาญแกผรบ
Scanning ภยคกคามดานสารสนเทศทเกดจากการทผไมหวงด ท�าการตรวจสอบขอมลเบองตนของระบบปฏบตการหรอบรการบนเครองแมขาย โดยใชวธสงขอมลไปสระบบทเปนเปาหมายผานระบบเครอขาย แลวรวบรวมผลลพธจากการตอบสนองจากระบบทเปนเปาหมายนน ขอมลทไดจากการสแกนมกจะใชเปนขอมลในการเจาะหรอบกรกเขาระบบตอไป
111
Open Proxy Server ภยคกคามดานสารสนเทศทเกดจากการตงคาบรการ Web Proxy ไมเหมาะสม โดยยนยอมใหผใชงานทวไปเรยกใชงานเพอเขาถงบรการเวบในเครอขายอนเทอรเนตไดโดยไมมระบบยนยนตวตน (Authentication) ซงอาจท�าใหผไมหวงดใชเปนชองทางในการกระท�าความผดหรอใชโจมตระบบอน ๆ ได
Web Defacement ภยคกคามดานสารสนเทศทเกดจากการเจาะระบบไดส�าเรจ แลวท�าการเปลยนแปลงขอมลบนหนาเวบไซต โดยมจดประสงคของการกระท�าเพอสรางความอบอาย ท�าใหหนวยงานเจาของเวบไซต หรอผเกยวของเสอมเสยชอเสยง
Malware URL ภยคกคามดานสารสนเทศทเกดจากเวบไซตทใชเพอเผยแพร Malware สวนมากจะเกดจากการทผไมหวงดบกรกเขาไปยงเวบไซตของผอนและใชพนทของเวบไซตนนในการเผยแพร Malware และหลอกลวงใหผอนเขาถงหรอดาวนโหลด Malware น
Phishing ภยคกคามดานสารสนเทศในลกษณะการฉอฉล ฉอโกง หรอหลอกลวงเพอผลประโยชน สวนใหญมวตถประสงคในการขโมยขอมลส�าคญของผใชงาน เชน บญชผใช รหสผาน หรอขอมลส�าคญทางธรกรรมอเลกทรอนกส เปนตน ผโจมตใชวธการลอลวงใหผใชงานเขาถงบรการทท�าปลอมขนและท�าใหผใชงานเขาใจผดวาก�าลงใชงานกบระบบของผใหบรการจรงอย
Brute Force ภยคกคามดานสารสนเทศในลกษณะการโจมตหรอเจาะระบบเปาหมายดวยวธการสมขอมลตามอลกอรทมทผโจมตคดคน เพอใหไดขอมลส�าคญหรอขอมลลบของระบบเปาหมาย เชน การสมบญชชอผใชงานและรหสผานเพอเขาสระบบ
DDoS ภยคกคามดานสารสนเทศในลกษณะการโจมตสภาพความพรอมใชงานของระบบ โดยมลกษณะการโจมตมาจากหลายทโดยแตละทโจมตเปาหมายเดยวกนภายในชวงเวลาเดยวกน เพอท�าใหบรการตาง ๆ ของระบบไมสามารถใหบรการไดตามปกต มผลกระทบตงแตเกดความลาชาในการตอบสนองของบรการจนกระทงระบบไมสามารถใหบรการตอไปได
112
ตารางท�8 ค�อธบายประเภทของภยคกคามแบบตาง ๆ
ประเภท ค�ำอธบำย
เนอหาทเปนภย
(Abusive Content)
ภยคกคามดานสารสนเทศ ทเกดจากการใช/เผยแพรขอมลทไมเปนจรงหรอไมเหมาะสม (Abusive Content) เพอท�าลายความนาเชอถอ เพอกอใหเกดความไมสงบ หรอขอมลทไมถกตองตามกฎหมาย เชน ลามก อนาจาร หมนประมาท และรวมถงการโฆษณาขายสนคาตาง ๆ ทางอเมลทผรบไมไดมความประสงคจะรบขอมลโฆษณานน ๆ (Spam)
โปรแกรมไมพงประสงค
(Malicious Code)
ภยคกคามดานสารสนเทศ ทเกดจากโปรแกรมหรอชดค�าสงทพฒนาขนดวยความประสงคราย (Malicious Code) เพอท�าใหเกดความขดของหรอเสยหายกบระบบทโปรแกรมหรอซอฟตแวรไมพงประสงคนตดตงอย โดยปกตโปรแกรมหรอซอฟตแวรไมพงประสงคประเภทนตองอาศยผใชงานเปนผเปดกอน จงจะสามารถตดตงตวเองหรอท�างานได เชน Virus, Worm, Trojan หรอ Spyware ตาง ๆ
ความพยายามรวบรวมขอมลของระบบ (Information Gathering)
ภยคกคามดานสารสนเทศ ทเกดจากความพยายามของผไมหวงดในการรวบรวมขอมลจดออนของระบบ (Scanning) ดวยการเรยกใชบรการตาง ๆ ทอาจจะเปดไวบนระบบ เชน ขอมลเกยวกบระบบปฏบตการ ระบบซอฟตแวรทตดตงหรอใชงาน ขอมลบญชชอผใชงาน (User Account) ทมอยบนระบบ เปนตน รวมถงการเกบรวบรวมหรอตรวจสอบขอมลจราจรบนระบบเครอขาย (Sniffing) และการลอลวงหรอใชเลหกลตาง ๆ เพอใหผใชงานเปดเผยขอมลทมความส�าคญของระบบ (Social Engineering)
113
ความพยายามจะบกรกเขาระบบ (Intrusion Attempts)
ภยคกคามดานสารสนเทศทเกดจากความพยายามจะบกรก/เจาะเขาระบบ (Intrusions Attempts) ผานจดออนหรอชองโหวทเปนทรจกในสาธารณะ (CVE- Common Vulnerabilities and Exposures) หรอผานจดออนหรอชองโหวใหมทยงไมเคยพบมากอน เพอใหไดเขาครอบครองหรอท�าใหเกดความขดของกบบรการตาง ๆ ของระบบ รวมถงความพยายามจะบกรก/เจาะระบบผานชองทางการตรวจสอบบญชชอผใชงานและรหสผาน (Login) ดวยวธการสม/เดาขอมล หรอทดสอบรหสผานทกคา (Brute Force)
การบกรกหรอเจาะระบบไดส�าเรจ (Intrusions)
ภยคกคามดานสารสนเทศทเกดกบระบบทถกบกรก/เจาะเขาระบบไดส�าเรจ (Intrusions) และระบบถกครอบครองโดยผทไมไดรบอนญาต
การโจมตสภาพความพรอมใชงานของระบบ (Availability)
ภยคกคามดานสารสนเทศทเกดจากการโจมตสภาพความพรอมใชงานของระบบ เพอท�าใหบรการตาง ๆ ของระบบไมสามารถใหบรการไดตามปกต มผลกระทบตงแตเกดความลาชาในการตอบสนองของบรการจนกระทงระบบไมสามารถใหบรการตอไปได อาจจะเกดจากการโจมตทบรการของระบบโดยตรง เชน การโจมตประเภท DoS (Denial of Service) แบบตาง ๆ หรอการโจมตโครงสรางพนฐานทสนบสนนการใหบรการของระบบ เชน อาคาร สถานท ระบบไฟฟา ระบบปรบอากาศ
ฉอโกงหรอหลอกลวงเพอผลประโยชน (Fraud)
ภยคกคามดานสารสนเทศทเกดจากการฉอฉล ฉอโกง หรอการหลอกลวงเพอผลประโยชน (Fraud) สามารถเกดไดในหลายลกษณะ เชน การลกลอบ ใชงานระบบหรอทรพยากรทางสารสนเทศทไมไดรบอนญาตเพอแสวงหาผลประโยชนของตนเอง หรอการขายสนคาหรอซอฟตแวรทละเมดลขสทธ
114
ภาคผนวก�ข�อภธานศพทและคำยอ
ตารางท�9 อภธานศพทและค�ยอ
ค�ำศพท ควำมหมำย
Port Scanning การตรวจสอบขอมลเบองตนของระบบปฏบตการหรอบรการบนเครองแมขาย โดยการสงขอมลไปสระบบทเปนเปาหมายแลวรวบรวมผลการ ตอบสนอง ขอมลทไดจากการสแกนมกถกใชเปนขอมลในการเจาะหรอบกรกเขาระบบตอไป
Social Engineering เทคนคการหลอกลวงโดยใชหลกการพนฐานทางจตวทยาเพอใหเหยอเปดเผยขอมล เชน การโทรศพทโดยแอบอางเปนบคคลอนเพอหลอกใหเปดเผยรหสผาน
Trojan มลแวรทอยในรปของโปรแกรมทวไป แตมจดประสงคแอบแฝงเพอท�าอนตรายตอระบบ เชน ขโมยขอมลบญชผใช เปนตน โปรแกรมทเปนโทรจนนนจะหลอกลอใหผใชคดวาตวมนเองปลอดภย และใหผใชเปนคนน�าโปรแกรมเขามาตดตงอยในระบบเอง
Worm มลแวรทสามารถแพรกระจายไปยงเครองคอมพวเตอรอน ๆ ในเครอขายหรอขามเครอขายโดยไมผานการใชงานของผใช
115
ค�ำศพท ควำมหมำย
Malware URL การเผยแพรโปรแกรมไมพงประสงคผานเครองแมขาย โดยโปรแกรมไมพงประสงคจะท�างานเมอผใชเปดเขาไปใน URL ทเปนทอยของโปรแกรม ไมพงประสงค มผลท�าใหเบราวเซอรถกควบคมการท�างานใหเปนไปตามความตองการของผเขยนมลแวร เชน ขโมยขอมล แสดงหนาตางโฆษณา หรอดาวนโหลดโปรแกรมไมพงประสงคอน ๆ ตามมา เปนตน
Domain Name ชอทตงขนเพอใชแทนการเรยกหมายเลขไอพ (IP Address) เพอใหเปนทรจกและจดจ�าไดงายขน
Vulnerability Assessment
กระบวนการตรวจสอบหาชองโหวของระบบสารสนเทศทอาจเปนจดออนใหผไมหวงเจาะระบบเขามาได และประเมนความส�าคญและผลกระทบของชองโหวนน
Penetration Testing ขนตอนถดจากการตรวจสอบและประเมนชองโหวของระบบสารสนเทศ โดยท�าการบกรกเจาะระบบสารสนเทศจรงโดยอาศยวธการทางเทคนค, การหลอกลวงแบบโซเชยลเอนจเนยรง หรอแมกระทงบกรกทางกายภาพเขาไปขโมยขอมลกถอเปนการทดสอบเจาะระบบ
116
ค�ำศพท ควำมหมำย
Digital Forensics การเกบหลกฐาน การคนหา การวเคราะห และการน�าเสนอหลกฐานทางดจทลทอยในอปกรณคอมพวเตอรและอเลกทรอนกส เชน ไฟลทอยในคอมพวเตอร อปกรณอเลกทรอนกส โทรศพทมอถอ รวมถงหลกฐานดจทลทสรางจากระบบคอมพวเตอร เปนตน ซงขอมลเหลานสามารถน�าไปใชระบผกระท�าผดและใชเปนหลกฐานในการด�าเนนคดได
Computer Security Incident Response Team (CSIRT)
หนวยงานทมหนาทประสานงานและจดการภยคกคามทเกดกบระบบสารสนเทศในขอบเขตเครอขายทก�าหนด เชน ซเซรตระดบองคกรทจดการภยคกคามระบบสารสนเทศภายในองคกร หรอ ซเซรตระดบประเทศทสามารถประสานงานไปยงซเซรตในระดบประเทศดวยกนหรอหนวยงาน ทเกยวของเพอจดการภยคกคามทางสารสนเทศ
One Time Password (OTP)
รหสผานทสามารถใชไดเพยงครงเดยวในการเขาสระบบ ซงมความแตกตางจากรหสผานทวไป (Static Password) คอสามารถปองกนภยคกคามเกยวกบการกรอกรหสผานซ�า (Replay Attack) กลาวคอ หากผประสงครายท�าการจดจ�ารหสผานเดมทผใชงานเคยเขาสระบบ เพอจะน�ากลบมาใชซ�า จะไมสามารถกระท�าไดเนองจากรหสผานจะมการเปลยนไปในแตละครงทเขาสระบบ แตอยางไรกตามการใชงานรหสผาน OTP มขอเสยคอ ผใชงานอาจจดจ�ารหสผานดงกลาวไดยาก ดงนนจงมกพบเหนการใชรหสผานแบบ OTP รวมกบเทคโนโลยอน ทงน เทคโนโลยทใชในการสรางรหสผานแบบ OTP ไดแก การค�านวณจากเวลา การค�านวณจากรหสผานเดม หรอคาสมอน ๆ เปนตน
117
ค�ำศพท ควำมหมำย
Content Management System (CMS)
ระบบซอฟตแวรคอมพวเตอรทใชเพอจดระเบยบเอกสารหรอเนอหาสาระ โดยสวนมากน�ามาชวยในการสรางและบรหารเวบไซตแบบส�าเรจรป โดยในการใชงาน CMS นนผใชงานแทบไมตองมความรในดานการเขยนโปรแกรม กสามารถสรางเวบไซตได
Corporate เครอขายทใหบรการอนเทอรเนตกบหนวยงาน หรอองคกรทมหมายเลขไอพ (IP Adrdress) คงท โดยทวไปจะมระบบเครอขายและสารสนเทศภายในจ�านวนมาก และมผดแลระบบประจ�าหนวยงาน
Broadband เครอขายทใหบรการอนเทอรเนตกบผใชทวไป มการระบหมายเลขไอพ (IP Address) กบเครองทเปนลกษณะไดนามกไอพ (Dynamic IP) ซงหมายเลขไอพ (IP Address) จะเปลยนแปลงไปไดตามเงอนไขทผใหบรการก�าหนด ผใชเครอขายแบบนสวนมากจะเปนผใชบรการตามบาน หรอส�านกงานขนาดเลกทมผใชบรการจ�านวนนอย
118
AS numberภยคกคามในเครอขายตารางท�10 จำ�นวนหมายเลขไอพของเครอขาย (AS number ทไดรบแจำงเหตภยคกคาม) ทไดรบแจำงรายงานภยคกคามสงทสด นบตามจำ�นวนหมายเลขไอพทไมซ�า
ผใหบรกำรอนเทอรเนต AS Number จ�ำนวนหมำยเลขไอพจ�ำนวนรำยงำนเหตภยคกคำม นบตำมจ�ำนวนหมำยเลขไอพทไมซ�ำ
TOT
9737 23969 38040 56120
1,355,520 1,045,917
True Internet7470 9287 17552
2,249,472 749,732
Triple T Broadband 45758 1,069,056 720,117
Jastel Network 45629 55423 1,094,656 686,283
119
AS numberผใหบรกำรอนเทอรเนต AS Number จ�ำนวนหมำยเลขไอพ
จ�ำนวนรำยงำนเหตภยคกคำม นบตำมจ�ำนวนหมำยเลขไอพทไมซ�ำ
CAT Telecom
4651 9931 18252 131089 131090
308,224 66,953
Super Broadband Network (SBN)
38444 45430 45458
207,616 60,441
Real Move 132061 65,536 36,758
Advanced Wireless Network (AWN) 131445 102,400 31,256
DTAC 17724 24378 266,240 25,720
TT&T 55465 403,456 14,363
120
BotnetBOTNETตารางท�11 อนดบแรกของผใหบรการอนเทอรเนตทมจำ�นวนรายงานประเภท Botnet สงทสด
ผใหบรกำรอนเทอรเนตสดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนหมำยเลขไอพ ทไมซ�ำ (2556)
จ�ำนวนหมำยเลขไอพทไมซ�ำ
ก.ค. – ธ.ค. 2556 ม.ค. – ม.ย. 2556 ก.ค. – ธ.ค. 2555
TOT
AS9737: 82.77% AS23969: 28.07% AS38040: 0.01% AS56120: 0.55%
1,027,199 978,427 900,415 149,699
True InternetAS7470: 1.03% AS9287: 0.57% AS17552: 44.42%
713,584 649,075 606,270 55,372
Triple T Broadband AS45758: 63.71% 681,065 371,909 564,295 55,237
Jastel NetworkAS45629: 59.50% AS55423: 0.34%
637,276 549,705 290,074 4,756
121
Botnetผใหบรกำรอนเทอรเนต
สดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนหมำยเลขไอพ ทไมซ�ำ (2556)
จ�ำนวนหมำยเลขไอพทไมซ�ำ
ก.ค. – ธ.ค. 2556 ม.ค. – ม.ย. 2556 ก.ค. – ธ.ค. 2555
CAT Telecom
AS9931: 2.30% AS18252: 0.22% AS131089: 97.79% AS131090: 65.52%
63,216 59,448 50,880 232
Super Broadband Network (SBN)
AS38444: 26.77% AS45430: 3.85% AS45458: 14.73%
48,842 25,624 32,759 8,584
Real Move AS132061: 56.09% 36,758 36,723 17,197 -
Advanced Wireless Network (AWN)
AS131445: 30.52% 31,256 31,256 - -
DTACAS17724: 0.39% AS24378: 9.63%
25,502 24,721 13,904 8,414
TT&T AS55465: 3.14% 12,670 9,637 4,770 27
122
Open DNS resolverOPEN�DNS�RESOLVERตารางท�12 สถตประเภท Open DNS Resolver นบตามจำ�นวนหมายเลขไอพทไมซ�าทถกรายงานสงสด 10 อนดบแรก จำ�แนกตามผใหบรการเครอขาย
ผใหบรกำรอนเทอรเนตสดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนหมำยเลขไอพ ทไมซ�ำ (2556)
จ�ำนวนหมำยเลขไอพทไมซ�ำ
ก.ค. – ธ.ค. 2556 ม.ค. – ม.ย. 2556 ก.ค. – ธ.ค. 2555
TOT
AS9737: 58.46% AS23969: 3.27% AS38040: 0.01% AS56120: < 0.01%
725,003 721,958 19,763 16,381
True InternetAS7470: 0.29% AS9287: 0.73% AS17552: 41.27%
659,843 659,227 147,458 107,309
Jastel NetworkAS45629: 14.57% AS55423: 0.21%
156,106 156,104 6 858
Triple T Broadband AS45758: 9.13% 97,622 87,355 11,757 11,245
123
Open DNS resolverผใหบรกำรอนเทอรเนต
สดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนหมำยเลขไอพ ทไมซ�ำ (2556)
จ�ำนวนหมำยเลขไอพทไมซ�ำ
ก.ค. – ธ.ค. 2556 ม.ค. – ม.ย. 2556 ก.ค. – ธ.ค. 2555
CAT Telecom
AS4651: 0.01% AS9931: 0.83% AS18252: 0.02% AS131089: 3.97% AS131090: 59.67%
54,671 54,530 611 940
Advanced Datanetwork Communications (ADC)
AS17565: 12.11% 4,154 4,0.57 245 280
CS Loxinfo
AS4750: 0.83% AS7568: 0.10% AS9891: 1.66% AS45537: 11.33%
3,809 3,665 672 966
KSC AS7693: 0.83% 2,177 2,151 197 282
Ministry of Education AS23974: 1.26% 1,446 1,328 527 752
TT&T AS55465: 0.33% 1,315 1,314 3 13
124
ScanningSCANNINGตารางท�13 สถตประเภท Scanning นบตามจำ�นวนหมายเลขไอพทไมซ�าทถกรายงานสงสด 10 อนดบแรก จำ�แนกตามผใหบรการเครอขาย
ผใหบรกำรอนเทอรเนตสดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนหมำยเลขไอพ ทไมซ�ำ (2556)
จ�ำนวนหมำยเลขไอพทไมซ�ำ
ก.ค. – ธ.ค. 2556 ม.ค. – ม.ย. 2556 ก.ค. – ธ.ค. 2555
True InternetAS7470: 0.02% AS9287: 0.11% AS17552: 0.31%
5,045 3,218 1,881 1,847
Triple T Broadband AS45758: 0.42% 4,514 2,676 1,890 1,321
TOT
AS9737: 0.29% AS23969: 0.13% AS38040: 0.01% AS56120: 0.01%
3,678 2,305 1,474 1,640
Jastel NetworkAS45629: 0.24% AS55423: 0.01%
2,535 2,533 - 70
125
Scanningผใหบรกำรอนเทอรเนต
สดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนหมำยเลขไอพ ทไมซ�ำ (2556)
จ�ำนวนหมำยเลขไอพทไมซ�ำ
ก.ค. – ธ.ค. 2556 ม.ค. – ม.ย. 2556 ก.ค. – ธ.ค. 2555
CAT TelecomAS9931: 0.12% AS18252: 0.02% AS131089: 0.07%
240 161 114 94
CS LoxinfoAS4750: 0.02% AS9891: 0.22%
160 117 63 111
Ministry of Education AS23974: 0.10% 112 63 55 34
UniNetAS4621: 0.06% AS38589: 0.07%
81 48 38 36
BB Broadband AS38794: 0.11% 52 32 23 25
DTAC AS24378: 0.02% 42 28 14 9
126
SpamSPAMตารางท�14 สถตประเภท Spam นบตามจำ�นวนหมายเลขไอพทไมซ�าทถกรายงานสงสด 10 อนดบแรก จำ�แนกตามผใหบรการเครอขาย
ผใหบรกำรอนเทอรเนตสดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนหมำยเลขไอพ ทไมซ�ำ (2556)
จ�ำนวนหมำยเลขไอพทไมซ�ำ
ก.ค. – ธ.ค. 2556 ม.ค. – ม.ย. 2556 ก.ค. – ธ.ค. 2555
TOTAS9737: 41.99% AS23969: 18.22% AS56120: 0.39%
532,718 38,180 516,982 399,539
Triple T Broadband AS45758: 12.69% 135,675 8,211 130,351 53,170
True InternetAS7470: 0.22% AS9287: 0.17% AS17552: 7.50%
121,076 7,544 115,830 100,637
Super Broadband Network (SBN)
AS38444: 12.85% AS45430: 6.12% AS45458: 6.29%
23,248 7,912 22,199 43,005
127
ผใหบรกำรอนเทอรเนตสดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนหมำยเลขไอพ ทไมซ�ำ (2556)
จ�ำนวนหมำยเลขไอพทไมซ�ำ
ก.ค. – ธ.ค. 2556 ม.ค. – ม.ย. 2556 ก.ค. – ธ.ค. 2555
DTACAS17724: 0.07% AS24378: 5.38%
14,245 7,715 13,673 21,742
Jastel NetworkAS45629: 0.77% AS55423: 0.05%
8,228 8,211 16 2,717
Advanced Datanetwork Communications (ADC)
AS17565: 11.20% 3,842 365 3,659 3,786
UniNetAS4621: 2.70% AS38589: 0.26% AS56277: 0.78%
3,453 1,572 3,016 2,353
PROEN AS23884: 7.23% 3,368 9 3,364 66
CAT TelecomAS9931: 1.03% AS18252: 0.15%
2,054 1,165 1,312 1,312
128
Open proxy serverOPEN�PROXY�SERVERตารางท�15 10 สถตประเภท Open Proxy Server นบตามจำ�นวนหมายเลขไอพทไมซ�าทถกรายงานสงสด 10 อนดบแรก จำ�แนกตามผใหบรการเครอขาย
ผใหบรกำรอนเทอรเนตสดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนหมำยเลขไอพ ทไมซ�ำ (2556)
จ�ำนวนหมำยเลขไอพทไมซ�ำ
ก.ค. – ธ.ค. 2556 ม.ค. – ม.ย. 2556 ก.ค. – ธ.ค. 2555
Triple T Broadband AS45758: 0.52% 5,587 2,866 2,927 2,857
Jastel Network AS45629: 0.32% 3,461 2,860 642 4
CAT TelecomAS9931: 0.02%
AS131090: 1.98% 1,790 545 1,362 21
TOTAS9737: 0.11%
AS23969: 0.02%1,382 953 618 448
True Internet
AS7470: 0.01%
AS9287: 0.01%
AS17552: 0.02%
293 78 216 193
129
Open proxy serverผใหบรกำรอนเทอรเนต
สดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนหมำยเลขไอพ ทไมซ�ำ (2556)
จ�ำนวนหมำยเลขไอพทไมซ�ำ
ก.ค. – ธ.ค. 2556 ม.ค. – ม.ย. 2556 ก.ค. – ธ.ค. 2555
Super Broadband Net-
work (SBN)
AS38444: < 0.01%
AS45458: 0.30% 85 7 80 19
Ministry of Education AS23974: 0.04% 50 38 19 19
UniNet AS4621: 0.02% 30 22 15 9
CS LoxinfoAS4750: < 0.01%
AS9891: 0.03%16 9 8 3
Chiang Mai University AS17479: 0.29% 9 9 - 2
130
Malware URLMALWARE�URLตารางท�16 สถตประเภท Malware URL นบตามจำ�นวนURL และหมายเลขไอพทไมซ�าทถกรายงานสงสด 10 อนดบแรก จำ�แนกตามผใหบรการเครอขาย
ผใหบรกำรอนเทอรเนต
สดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนรำยงำนทไดรบ
จ�ำนวน URL ทไมซ�ำ
จ�ำนวนหมำยเลขไอพทไมซ�ำ
จ�ำนวนรำยงำนทไดรบ / จ�ำนวนหมำยเลขไอพทไมซ�ำ
CAT Telecom AS9931: 0.15% 16,732 4,170 307 54.5
Ministry of Education AS23974: 0.05% 12,807 2,853 54 237.2
CS LoxinfoAS4750: < 0.01% AS9891: 0.35%
10,157 2,812 133 76.4
Sripatum University AS46079: 0.23% 1,218 383 3 406.0
Metrabyte AS56067: 0.46% 1,159 420 42 27.6
131
Malware URLผใหบรกำรอนเทอรเนต
สดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนรำยงำนทไดรบ
จ�ำนวน URL ทไมซ�ำ
จ�ำนวนหมำยเลขไอพทไมซ�ำ
จ�ำนวนรำยงำนทไดรบ / จ�ำนวนหมำยเลขไอพทไมซ�ำ
ISP Thailand AS7654: 0.06% 759 237 23 33.0
INET AS4618: 0.02% 589 232 50 11.8
KSC AS7693: < 0.01% 406 79 10 40.6
True InternetAS7470: < 0.01% AS9287: 0.03% AS17552: < 0.01%
398 54 17 23.4
UniNet AS4621: 0.02% 262 69 28 9.4
132
Web defacementWEB�DEFACEMENTตารางท�17 สถตประเภท Web Defacement นบตามจำ�นวน URL และหมายเลขไอพทไมซ�า ทถกรายงานสงสด 10 อนดบแรก จำ�แนกตามผใหบรการเครอขาย
ผใหบรกำรอนเทอรเนต
สดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนรำยงำนทไดรบ
จ�ำนวน URL ทไมซ�ำ
จ�ำนวนหมำยเลขไอพทไมซ�ำ
จ�ำนวนรำยงำนทไดรบ / จ�ำนวนหมำยเลขไอพทไมซ�ำ
CAT TelecomAS4651: 0.04% AS9931: 0.20% AS131090: 0.01%
3,451 3,367 419 8.2
Metrabyte AS56067: 0.66% 1,390 1,383 61 22.8
CS LoxinfoAS4750: 0.01% AS9891: 0.47% AS45537: 2.34%
915 905 195 4.7
INET AS4618: 0.03% 676 675 77 8.8
Pacnet Internet AS4765: 0.04% 461 430 32 14.4
133
Web defacementผใหบรกำรอนเทอรเนต
สดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนรำยงำนทไดรบ
จ�ำนวน URL ทไมซ�ำ
จ�ำนวนหมำยเลขไอพทไมซ�ำ
จ�ำนวนรำยงำนทไดรบ / จ�ำนวนหมำยเลขไอพทไมซ�ำ
UniNetAS4621: 0.06% AS38589: 0.26%
369 364 75 4.9
Ministry of Education AS23974: 0.08% 305 283 89 3.4
ISP Thailand AS7654: 0.07% 139 138 26 5.3
POP-IDC AS131447: 0.78% 117 117 18 6.5
Netway Communication AS18362: 0.27% 98 98 11 8.9
134
PhishingPHISHINGตารางท�18 สถตประเภท Phishing ทถกรายงานสงสด 10 อนดบแรก จำ�แนกตามผใหบรการเครอขาย
ผใหบรกำรอนเทอรเนตสดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนหมำยเลขไอพ ทไมซ�ำ (2556
จ�ำนวนหมำยเลขไอพทไมซ�ำ
ก.ค. – ธ.ค. 2556 ม.ค. – ม.ย. 2556 ก.ค. – ธ.ค. 2555
CAT Telecom AS4651: 0.08% AS9931: 0.09% AS131090: 0.01%
199 119 108 96
TOT AS9737: 0.01% 110 100 45 6
CS Loxinfo AS4750: < 0.01% AS9891: 0.26% AS45537: 0.39%
98 62 51 37
Ministry of Education AS23974: 0.04% 44 25 19 11
Metrabyte AS56067: 0.41% 38 30 22 19
135
Phishingผใหบรกำรอนเทอรเนต
สดสวนจ�ำนวนหมำยเลขไอพทไมซ�ำตอจ�ำนวนหมำยเลขไอพของแตละ AS Number (2556)
จ�ำนวนหมำยเลขไอพ ทไมซ�ำ (2556
จ�ำนวนหมำยเลขไอพทไมซ�ำ
ก.ค. – ธ.ค. 2556 ม.ค. – ม.ย. 2556 ก.ค. – ธ.ค. 2555
INET AS4618: 0.02% 35 22 20 15
UniNet AS4621: 0.02% 28 15 16 5
True Internet AS7470: < 0.01% AS9287: 0.02% AS17552: < 0.01%
16 10 8 7
ISP Thailand AS7654: 0.04% 15 10 6 9
Siamdata Communication AS56309: 0.49% 15 9 7 2
PROEN AS23884: 0.03% 13 7 9 6
หมายเหต: จ�านวนรายงานภยคกคามทไดรบแจงในป 2556 มจ�านวนเพมขนจากป 2555 เปนจ�านวนมาก เนองจาก ไทยเซรต ไดขยายเครอขายความรวมมอและเพมแหลงขอมลภยคกคามเพมขน
136
Certificaภาคผนวก�ง�รายชอผทสอบวดระดบและไดรบใบรบรอง�ETDA/TISA�iSEC
CERTIFICATEตารางท�19 รายชอผทสอบวดระดบและไดรบใบรบรอง ETDA/TISA iSEC-M
ล�ำดบท ชอ-นำมสกล หนวยงำน ประเภท
1 สมลกษณ กตวฒนบ�ารง บ.จนวาณชย จ�ากด iSEC-M
2 จรพฒน สมานนท ส�านกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต (สวทช.) iSEC-M
3 จรชาต วงศทอง โรงพยาบาลศครนทร iSEC-M
4 ทนงศกด กจโรณ การไฟฟาสวนภมภาค iSEC-M
5 กรรกร จกรกรชกล สถาบนคมครองเงนฝาก iSEC-M
6 วจารณ ชยโรจน ธนาคารอาคารสงเคราะห iSEC-M
7 เฉลมพร ชวยรกษา การไฟฟาสวนภมภาค iSEC-M
8 จตสถา ธาตวากร การไฟฟาฝายผลตแหงประเทศไทย iSEC-M
9 สภชย พนธโกศล สวนตว iSEC-M
10 ปรชญา พรนมตกล ธนาคารกรงเทพ จ�ากด (มหาชน) iSEC-M
11 วรศรา นาคประสงค การไฟฟานครหลวง iSEC-M
137
CertificaISEC-Tตารางท�20 รายชอผทสอบวดระดบและไดรบใบรบรอง ETDA/TISA
ล�ำดบท ชอ-นำมสกล หนวยงำน ประเภท
1 ผศ.ดร.ศภกร กงพศดาร คณะวทยาการและเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร iSEC-T
2 อนชา เกษมวฒนากล ส�านกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต (สวทช.) iSEC-T
3 กมล สนสวนแตง Progress Software iSEC-T
4 ภาสกร ถายะพงค VeriFone (Thailand) Co., Ltd. iSEC-T
5 ธนท ทองอทยศร NSTDA Academy iSEC-T
6 วชรา เทพศร การไฟฟาสวนภมภาค iSEC-T
7 ธนา พงษกตตหลา การไฟฟาฝายผลตแหงประเทศไทย iSEC-T
8 สณฏฐา จนทรวฒนะ บรษท ทโอท จ�ากด (มหาชน) iSEC-T
9 พ.ต. พศทธ มวงสมย กรมยทธการทหาร กองบญชาการกองทพไทย iSEC-T
138
สรางคณา�วายภาพ�ผอำ�นวยการ�สพธอ.
ชยชนะ�มตรพนธ�ผชวยผอ� นวยการ สพธอ.
สรณนท�จวะสรตน�ผอ� นวยการ ส� นกความมนคงปลอดภย
ธงชย�แสงศร�รองผอ� นวยการ ส� นกความมนคงปลอดภย
ฝายจดทำ เนอหา
สรางคณา วายภาพชยชนะ มตรพนธสรณนท จวะสรตนธงชย แสงศรพรพรหม ประภากตตกลธงชย ศลปวรางกร,
ณฐโชต ตสตานนทและทมไทยเซรต
ฝายศลปและพสจนอกษร
ณฐพงศ วรพวฒ
นภดล อษณบญศร
ณฐนย รวดเรว
ทศพร โขมพตร
นโรจน พกลทอง
ฝายประสานงาน
รจนา ลำ เลศ
โชตกา สนโน
พรรวด โควนทเศรษฐ
คณะผจดทำ��
140