ไม่กี่วันก่อน ผมได้เข้าฟัง lecture เกี่ยวกับ Digital threats เป็นประเด็นน่าสนใจ มีทั้งเรื่องการโจมตีออนไลน์ ภัยออนไลน์ต่างๆ และวิธีการป้องกันตัวเอง เลยหยิบมาแชร์กันฮะ

รู้ตัวก่อนว่า asset ของเรามีอะไรบ้าง

ก่อนอื่นเลย เราจำเป็นต้องรู้ก่อนว่า asset หรือทรัพย์สินของเราเองมีอะไรบ้าง

  • Identity: บัญชี social media หรือชื่อจริงของเรา
  • Personal information: เลขบัตรประชาชน วันเกิด
  • Financial information: เลขบัตร credit card หรือเลขบัญชีธนาคาร
  • Medical information: รหัสผู้ป่วย ประวัติการรักษา
  • Secrets: login passwords หรือ access tokens

เหตุการณ์ข้อมูลหลุดครั้งสำคัญๆ

  1. มีคนทำ dashboard ไว้ที่ https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
  2. เช็คว่าอีเมลหรือเบอร์โทรศัพท์เคยหลุดไปหรือไม่ ที่ https://haveibeenpwned.com/

ภัยคุกคามจากโลกออนไลน์

สามารถเกิดขึ้นได้จากหลายฝ่าย เช่น

  • รัฐสนับสนุนการคุกคามนั้นเอง
  • กลุ่มอาชญากร
  • Hacktivists หรือ hackers
  • ผู้ก่อการร้าย
  • คนในองค์กรที่เป็นหนอนบ่อนไส้
  • Script kiddies หรือคนชอบลองของโปรแกรมแฮค
  • กลุ่มหัวรุนแรง
  • AI

ช่องทางการโจมตี

  • Social engineering
  • Deepfake
  • Weak passwords หรือรหัสผ่านที่ไม่แข็งแรงเพียงพอ
  • Compromised credentials หรือสวมรอยการยืนยันตัวตน เช่น คนนอกได้สิทธิเข้าถึงข้อมูลสำคัญ อาจมีสาเหตุมาจากรหัสยืนยันตัวตนถูกขโมย หรือการใช้รหัสผ่านเหมือนกันหลายๆ เว็บไซต์
  • อุปกรณ์ตั้งค่าไม่ถูกต้อง
  • ช่องโหว่ของโปรแกรม

ตัวอย่างการโจมตี

  • ลิงก์ในอีเมล
  • Vishing คือ phishing ในรูปแบบ VDO เช่น VDO call มาถามข้อมูลส่วนตัว ซึ่งปัจจุบันก็มี Deekfake ที่สามารถปลอมแปลงได้แนบเนียนขึ้น
  • Keylogging หรือโปรแกรมตรวจจับการพิมพ์ ทำให้คนร้ายได้รหัสผ่านไป
  • Backdoor คือการที่คนร้ายสร้างช่องทางเข้าถึงระบบนอกเหนือจากที่ระบบกำหนด ทำให้ครั้งหน้าสามารถใช้เข้ามาโจมตีได้ง่ายขึ้น
  • Ransomwares หรือโปรแกรมเรียกค่าไถ่ ตอนนี้มีกลุ่มที่ช่วยเหลือเหยื่อ คือ Malware Hunter team ที่เปิดเว็บช่วยถอดรหัส file ดูได้ที่ https://id-ransomware.malwarehunterteam.com/

Dark webs

96% ของเว็บไซต์ ไม่สามารถเข้าถึงได้จาก search engines (อ้างอิง) ส่วนนึงในนั้นคือ dark web ซึ่งการเข้าถึง จะต้องใช้โปรแกรมและการตั้งค่าเฉพาะเท่านั้น

ความเสี่ยงเมื่อเราเข้า dark webs

  • ผิดกฎหมาย
  • ถูกเข้าถึงตัวตน เช่น รู้ว่าตัวจริงของเราเป็นใคร
  • ถูกขโมยข้อมูลทางการเงิน
  • ผลกระทบด้านจิตใจ เพราะเป็นแหล่งการโจมตีต่างๆ

ตลาดมืด

ตลาดมืดก็เป็นหน่ึงใน dark web มีสินค้าผิดกฎหมาย เช่น

  • ยาเสพติด
  • อาวุธ
  • บัตร credit ที่ขโมยมา
  • ข้อมูลส่วนตัวปลอม สำหรับใช้หลอกลวงต่ออีกที

ตัวอย่างของตลาดมืด

  • Silk road (และกลายเป็นภาพยนต์ Silk Road)
  • Alphabay
  • Hansa
  • Welcome to Video

การเข้าถึง dark web

  • Tails OS
  • Onion mail
  • Whonix OS
  • Tor browser

ตัวอย่างของ dark web

  • The Hidden Wiki
  • Onion Links
  • Lockbit (ransomware ตัวนิยมในตอนนี้)

สกุลเงินที่ใช้ใน Dark web

  • Bitcoin (สมัยสิบปีก่อน)
  • Monero
  • Litecoin
  • Zcash

หนังสือที่แนะนำ

  • The Ransomware Hunting Team
  • Pegasus
  • Tracers in the dark
  • Tor: accessing the deep web and dark web with Tor

Digital self-defence

โลกออนไลน์ก็อันตรายไม่ต่างจากโลกออฟไลน์ ดังนั้นเราควรเตรียมตัวไว้แต่เนิ่นๆ

การเข้ารหัส

  • รหัสผ่าน พร้อม 2FA (การยืนยันตัวสองปัจจัย อ่านเพิ่มเติมได้ที่บล็อก 2-factor-authentication)
  • Backups
  • กำจัดข้อมูลที่ไม่ใช้แล้วอย่างเหมาะสม ไม่ให้สามารถกู้คืนมาได้
  • ระวังตัวจาก Phishing
  • หมั่น update OS และ App
  • ใช้งาน Public networks เช่น Free Wi-Fi อย่างระมัดระวัง
  • ใช้ Shopping online ด้วยเว็บไซต์ที่เชื่อถือได้ และมีระบบความปลอดภัย
  • ไม่ download และติดตั้ง app ที่ไม่น่าเชื่อถือ หลีกเลี่ยง malware

Threat modeling

Threat modeling คือการทำ diagram เพื่อสื่อสารและประเมินความปลอดภัยของระบบของเรา เพื่อใช้วางแผนรับมือกับความเสี่ยงและภัยคุกคามต่างๆ โดยเราสามารถทำได้ง่ายๆ แค่ใช้ https://app.diagrams.net

  • ใช้ Shapes ใน section “threat modeling”
  • ตัวอย่าง diagram ที่วาดโดยวิทยากร
  • กล่อง A คือ Asset หรือทรัพย์สินข้อมูลของเราเอง
  • กล่อง C คือ Control บอกว่าตอนนี้เรามีอะไรมาคุ้มครอง ป้องกันทรัพย์สิน และกำจัดความเสี่ยงต่างๆ บ้าง
  • กล่อง TA คือ Threat Actor ก็คือ ใครบ้างที่มีโอกาสเข้ามาโจมตีเรา

ลิงก์ข้างล่างนี้ เป็น threat modeling process จาก OWASP ที่ผมได้ไปหามาเพิ่มเติมฮะ

Threat Modeling Process | OWASP Foundation
Threat Modeling Process on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.

เป็น lecture ที่น่าสนใจใช่มั้ยล่ะฮะ หวังว่ามีประโยชน์และเราจะไม่ตกเป็นเหยื่อของภัยออนไลน์พวกนี้นะฮะ