Wireless Lan and Information Security Guideline For SMEs (วิชา ITM 633)



WIRELESS LAN
และ
แนวทางในการวางระบบความมั่นคงปลอดภัยสารสนเทศสำหรับไวเลสแลนในธุรกิจประเภท SMEs


บทนำ
     SMEs (Small and Medium Sized Enterprises) คือ วิสาหกิจขนาดกลางและขนาดเล็ก ซึ่งมีความหมายรวมถึงอุตสาหกรรมการผลิต (Manufacturing) กิจการค้าส่งและค้าปลีก (Whole sale and Retail) และกิจการบริการ(Service) ซึ่งเกณฑ์ในการจัดอุตสาหกรรม เป็นอุตสาหกรรมขนาดใหญ่ กลาง หรือ เล็กนั้น มีหลายวิธี แต่โดยทั่วไปจะใช้ จำนวนคนงาน (ขนาดการจ้างงาน) จำนวนเงินลงทุน มูลค่าทรัพย์สิน จำนวนยอดขาย หรือรายได้เป็นเกณฑ์ ว่ากิจการใดจะเข้าข่ายเป็น SMEs หรือไม่ กระทรวงอุตสาหกรรมได้กำหนดเกณฑ์ การแบ่งประเภทของวิสาหกิจขนาดเล็กมีจำนวนคนงานไม่เกิน 50 คน จำนวนเงินลงทุนไม่เกิน 20 ล้านบาท และวิสาหกิจขนาดกลางจำนวนคนงานระหว่าง 50 ถึง 200 คน จำนวนเงินลงทุนระหว่าง 20 ถึง 200 ล้านบาท
     ไอที และ ไอซีที (Information and Communication Technology) ประกอบด้วยเทคโนโลยีสำคัญหลายอย่างเช่น เทคโนโลยีคอมพิวเตอร์ เทคโนโลยีการสื่อสารโทรคมนาคม เทคโนโลยีเครือข่ายคอมพิวเตอร์เทคโนโลยีอินเทอร์เน็ต เทคโนโลยีการพิมพ์ ฯลฯ ในภาพรวมกล่าวได้ว่าการใช้ไอทีในงานธุรกิจ จะมีการใช้งานเพื่อเพิ่มความสะดวกแก่ผู้ปฏิบัติงานมากขึ้น เช่น การใช้คอมพิวเตอร์ในงานพิมพ์เอกสารที่เรียกว่างานประมวลคำ (Word Processing) หน้าเว็บในระบบอินเทอร์เน็ตยังเป็นส่วนหนึ่งของระบบสำนักงานอัตโนมัติ (Office Automation) เป็นการใช้งานคอมพิวเตอร์ในงานจัดทำและรับส่งเอกสารสำหรับบริษัทและหน่วยงาน เมื่อโลกรู้จักใช้ระบบอินเทอร์เน็ตและเทคโนโลยีเว็บ แนวทางการพัฒนาระบบต่างๆ ก็เปลี่ยนไป งานประยุกต์เริ่มเปลี่ยนเป็นระบบเว็บไซต์ (Web Based System) มากขึ้น
     ณ ปัจจุบันเทคโนโลยีการสื่อสารแบบเครือข่ายเฉพาะบริเวณแบบไร้สาย (Wireless LAN) ที่มีการใช้งานอย่างแพร่หลาย รวมไปถึงวิสาหกิจขนาดกลางและขนาดเล็ก (SMEs) ซึ่งเป็นธุรกิจที่มีความหลากหลายและมีอัตราการเติบโตสูงขึ้นในปัจจุบัน การใช้ระบบไร้สายในองค์กรจะทำให้เพิ่มความสะดวกสบายและลดค่าใช้จ่ายในการติด ตั้งเหมาะสำหรับบุคคลที่เข้ามาเชื่อมต่อข้อมูลหรือใช้งานร่วมกัน ทำให้ต้องคำนึงถึงระบบรักษาความปลอดภัยสารสนเทศสำหรับเครือข่ายเฉพาะบริเวณ แบบไร้สาย เนื่องจากธุรกิจประเภท SMEs มักจะมีข้อมูลที่สำคัญเหมือนบริษัทเช่นกัน เช่น ข้อมูลทางการเงินและบัญชี ข้อมูลของลูกค้า เป็นต้น จึงต้องการการรักษาความปลอดภัยของข้อมูลในประเภทต่างๆ เช่น มีการรักษาความปลอดภัยของข้อมูลจากไวรัส หรือภัยคุกคาม การรับรองว่าจะมีการเก็บข้อมูลไว้เป็นความลับและผู้มีสิทธิเท่านั้นจึงจะ เข้าถึงข้อมูลได้ การรับรองข้อมูลจะไม่ถูกเปลี่ยนแปลงหรือทำลายไม่ว่าจะเป็นอุบัติเหตุหรือโดย เจตนา การรับรองว่าข้อมูลและบริการการสื่อสารต่างๆ และพร้อมที่ใช้ได้ในเวลาที่ต้องการใช้งานเพราะธุรกิจ SMEs จำเป็นต้องมีการติดต่อสื่อสารโดยตรงกับลูกค้าอยู่ตลอด ดังนั้นการสร้างระบบความมั่นคงปลอดภัยจึงเป็นสิ่งจำเป็นสำหรับธุรกิจประเภท SMEs ด้วยเช่นกัน โดยในการศึกษาและวางระบบความมั่นคงปลอดภัยสำหรับระบบเครือข่ายเฉพาะบริเวณ แบบไร้สายควรออกแบบให้มีความเหมาะสมกับความต้องการของธุรกิจและตามลักษณะการ ใช้งานของผู้ใช้นั้นๆ

มาตรฐาน ISO/IEC 27001
     มาตรฐาน ISO/IEC 27001 เป็นมาตรฐานที่กำลังได้รับความนิยมอย่างแพร่หลายในปัจจุบัน และกล่าวถึงข้อกำหนดในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยหรือ ISMS (Information Security Management System) ให้กับองค์กร ซึ่งวัตถุประสงค์ของมาตรฐานนี้เพื่อให้องค์กรสามารถบริหารจัดการทางด้านความปลอดภัยได้อย่างมีระบบ และเพียงพอเหมาะสมต่อการดำเนินธุรกิจขององค์กร มาตรฐานดังกล่าวมีหัวข้อที่เกี่ยวข้องได้แก่
     1) ขอบเขต (Scope)
     2) ศัพท์เทคนิคและนิยาม (Terms and definitions)
     3) โครงสร้างของมาตรฐาน (Structure of this standard)
     4) การประเมินความเสี่ยงและการจัดการกับความเสี่ยง ลด/ โอนย้าย/ ยอมรับความเสี่ยง (Risk assessment and treatment)
     นอกจากนี้ มาตรฐาน ISO/IEC 27001 ยังประกอบด้วยไปด้วยวงจรบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act (P-C-D-A) ดังแสดงในภาพประกอบ และใช้แนวทางการประเมินความเสี่ยงมาประกอบการพิจารณาหาวิธีการหรือมาตรการเพื่อป้องกัน ลดความเสี่ยง และรักษาทรัพย์สินสารสนเทศที่มีค่าขององค์กรให้มีความมั่นคงปลอดภัยในระดับที่เหมาะสม


ภาพประกอบ : แสดงวงจรบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act (P-D-C-A)

ระบบเครือข่ายไร้สาย (Wireless LAN)
     ระบบเครือข่ายไร้สาย (Wireless LANs) เกิดขึ้นครั้งแรก ในปี ค.ศ. 1971 บนเกาะฮาวาย โดยโปรเจกต์ของนักศึกษาของมหาวิทยาลัยฮาวาย ที่ชื่อว่า “ALOHNET” ขณะนั้นลักษณะการส่งข้อมูลเป็นแบบ Bi-directional ส่งไป-กลับง่ายๆ ผ่านคลื่นวิทยุ สื่อสารกันระหว่างคอมพิวเตอร์ 7 เครื่อง ซึ่งตั้งอยู่บนเกาะ 4 เกาะโดยรอบ และมีศูนย์กลางการเชื่อมต่ออยู่ที่เกาะๆหนึ่ง ที่ชื่อว่า Oahu
     ระบบเครือข่ายไร้สาย (WLAN = Wireless Local Area Network) คือ ระบบการสื่อสารข้อมูลที่มีความคล่องตัวมาก ซึ่งอาจจะนำมาใช้ทดแทนหรือเพิ่มต่อกับระบบเครือข่ายแลนใช้สายแบบดั้งเดิม โดยใช้การส่งคลื่นความถี่วิทยุในย่านวิทยุ RF และ คลื่นอินฟราเรด ในการรับและส่งข้อมูลระหว่างคอมพิวเตอร์แต่ละเครื่อง ผ่านอากาศ, ทะลุกำแพง, เพดานหรือสิ่งก่อสร้างอื่นๆ โดยปราศจากความต้องการของการเดินสาย นอกจากนั้นระบบเครือข่ายไร้สายก็ยังมีคุณสมบัติครอบคลุมทุกอย่างเหมือนกับ ระบบ LAN แบบใช้สาย
     ที่สำคัญก็คือ การที่มันไม่ต้องใช้สายทำให้การเคลื่อนย้ายการใช้งานทำได้โดยสะดวก ไม่เหมือนระบบ LAN แบบใช้สาย ที่ต้องใช้เวลาและการลงทุนในการปรับเปลี่ยนตำแหน่งการใช้งานเครื่อง คอมพิวเตอร์
     ปัจจุบันนี้ โลกของเราเป็นยุคแห่งการติดต่อสื่อสาร เทคโนโลยีต่างๆ เช่นโทรศัพท์มือถือ เป็นสิ่งจำเป็นต่อการดำเนินธุรกิจและการใช้ชีวิตประจำวัน ความต้องการข้อมูลและการบริการต่างๆ มีความจำเป็นสำหรับนักธุรกิจ เทคโนโลยีที่สนองต่อความต้องการเหล่านั้น มีมากมาย เช่น โทรศัพท์มือถือ เครื่องคอมพิวเตอร์โน๊ตบุค เครื่องปาร์ม ได้ถูกนำมาใช้เป็นอย่างมากและ ผู้ที่น่าจะได้ประโยชน์จากการใช้ ระบบเครือข่ายไร้สาย มีมากมายไม่ว่าจะเป็น
     - หมอหรือพยาบาลในโรงพยาบาล เพราะสามารถดึงข้อมูลมารักษาผู้ป่วยได้จาก เครื่องคอมพิวเตอร์โน๊ตบุค ที่เชื่อมต่อกับ ระบบเครือข่ายไร้สายได้ทันที
     - นักศึกษาในมหาวิทยาลัยก็สามารถใช้งานโน๊ตบุคเพื่อค้นคว้าข้อมูลในห้องสมุด ของมหาวิทยาลัย หรือใช้อินเตอร์เน็ท จากสนามหญ้าในมหาลัยได้
     - นักธุรกิจที่มีความจำเป็นต้องใช้งานเครื่องคอมพิวเตอร์นอกสถานที่ที่ทำงานปกติ ไม่ว่าจะเป็นการนำเสนองานยังบริษัทลูกค้า หรือการนำเครื่องคอมพิวเตอร์ติดตัวไปงานประชุมสัมมนาต่างๆ
     บุคคลเหล่านี้มีความจำเป็นที่จะต้องเชื่อมต่อเข้ากับเครือข่ายคอมพิวเตอร์ ไม่ว่าจะเป็นเครือข่ายคอมพิวเตอร์ขององค์กรซึ่งอยู่ห่างออกไปหรือเครือข่าย คอมพิวเตอร์สาธารณะ เช่นเครือข่ายอินเทอร์เน็ต เทคโนโลยีเครือข่ายไร้สายจึงน่าจะอำนวยความสะดวกให้กับบุคคลเหล่านี้ได้ ซึ่งในปัจจุบันได้มีการเปิดให้บริการเชื่อมต่อเครือข่ายอินเตอร์เน็ตแบบไร้สาย ตามสนามบินใหญ่ทั่วโลก และนำมาใช้งานแพร่หลายในห้างสรรพสินค้า และโรงแรมต่างๆแล้ว
     ประโยชน์ของระบบเครือข่ายไร้สาย
     1. mobility improves productivity & service มีความคล่องตัวสูง ดังนั้นไม่ว่าเราจะเคลื่อนที่ไปที่ไหน หรือเคลื่อนย้ายคอมพิวเตอร์ไปตำแหน่งใด ก็ยังมีการเชื่อมต่อ กับเครือข่ายตลอดเวลา ตราบใดที่ยังอยู่ในระยะการส่งข้อมูล
     2. installation speed and simplicity สามารถติดตั้งได้ง่ายและรวดเร็ว เพราะไม่ต้องเสียเวลาติดตั้งสายเคเบิล และไม่รกรุงรัง
     3. installation flexibility สามารถขยายระบบเครือข่ายได้ง่าย เพราะเพียงแค่มี พีซีการ์ดมาต่อเข้ากับโน๊ตบุ๊ค หรือพีซี ก็เข้าสู่เครือข่ายได้ทันที
     4. reduced cost- of-ownership ลดค่าใช้จ่ายโดยรวม ที่ผู้ลงทุนต้องลงทุน ซึ่งมีราคาสูง เพราะในระยะยาวแล้ว ระบบเครือข่ายไร้สายไม่จำเป็นต้องเสียค่าบำรุงรักษา และการขยายเครือข่ายก็ลงทุนน้อยกว่าเดิมหลายเท่า เนื่องด้วยความง่ายในการติดตั้ง
     5. scalability เครือข่ายไร้สายทำให้องค์กรสามารถปรับขนาดและความเหมาะสมได้ง่ายไม่ยุ่งยาก เพราะสามารถโยกย้ายตำแหน่งการใช้งาน โดยเฉพาะระบบที่มีการเชื่อมระหว่างจุดต่อจุด เช่น ระหว่างตึก ฯลฯ
     ระบบเครือข่ายไร้สาย เป็นระบบเครือข่ายคอมพิวเตอร์ขนาดเล็ก ที่ประกอบไปด้วยอุปกรณ์ไม่มากนัก และมักจำกัดอยู่ในอาคารหลังเดียวหรืออาคารในละแวกเดียวกัน การใช้งานที่น่าสนใจที่สุดของเครือข่ายไร้สายก็คือ ความสะดวกสบายที่ไม่ต้องติดอยู่กับที่ ผู้ใช้สามารถเคลื่อนที่ไปมาได้โดยที่ยังสื่อสารอยู่ในระบบเครือข่าย

     รูปแบบการเชื่อมต่อของระบบเครือข่ายไร้สาย
     1. Peer-to-peer (ad hoc mode)


     รูปแบบการเชื่อมต่อระบบแลนไร้สายแบบ Peer to Peer เป็นลักษณะ การเชื่อมต่อแบบโครงข่ายโดยตรงระหว่างเครื่องคอมพิวเตอร์ จำนวน 2 เครื่องหรือมากกว่านั้น เป็นการใช้งานร่วมกันของ wireless adapter cards โดยไม่ได้มีการเชื่อมต่อกับเครือข่ายแบบใช้สายเลย โดยที่เครื่องคอมพิวเตอร์แต่ละเครื่องจะมีความเท่าเทียมกัน สามารถทำงานของตนเองได้และขอใช้บริการเครื่องอื่นได้ เหมาะสำหรับการนำมาใช้งานเพื่อจุดประสงค์ในด้านความรวดเร็วหรือติดตั้งได้ โดยง่ายเมื่อไม่มีโครงสร้างพื้นฐานที่จะรองรับ ยกตัวอย่างเช่น ในศูนย์ประชุม, หรือการประชุมที่จัดขึ้นนอกสถานที่
     2. Client/server (Infrastructure mode)


     ระบบเครือข่ายไร้สายแบบ Client / server หรือ Infrastructure mode เป็นลักษณะการรับส่งข้อมูลโดยอาศัย Access Point (AP) หรือเรียกว่า “Hot spot” ทำหน้าที่เป็นสะพานเชื่อมต่อระหว่างระบบเครือข่ายแบบใช้สายกับเครื่อง คอมพิวเตอร์ลูกข่าย (client) โดยจะกระจายสัญญาณคลื่นวิทยุเพื่อ รับ-ส่งข้อมูลเป็นรัศมีโดยรอบ เครื่องคอมพิวเตอร์ที่อยู่ในรัศมีของ AP จะกลายเป็น เครือข่ายกลุ่มเดียวกันทันที โดยเครื่องคอมพิวเตอร์ จะสามารถติดต่อกัน หรือติดต่อกับ Server เพื่อแลกเปลี่ยนและค้นหาข้อมูลได้ โดยต้องติดต่อผ่านAP เท่านั้น ซึ่ง AP 1 จุด สามารถให้บริการเครื่องลูกข่ายได้ถึง 15-50 อุปกรณ์ ของเครื่องลูกข่าย เหมาะสำหรับการนำไปขยายเครือข่ายหรือใช้ร่วมกับระบบเครือข่ายแบบใช้สายเดิม ในออฟฟิต, ห้องสมุด หรือในห้องประชุม เพื่อเพิ่มประสิทธิภาพในการทำงานให้มากขึ้น
     3. Multiple access points and roaming


     โดยทั่วไปแล้ว การเชื่อมต่อสัญญาณระหว่างเครื่องคอมพิวเตอร์ กับ Access Point ของเครือข่ายไร้สายจะอยู่ในรัศมีประมาณ 500 ฟุต ภายในอาคาร และ 1000 ฟุต ภายนอกอาคาร หากสถานที่ที่ติดตั้งมีขนาดกว้าง มากๆ เช่นคลังสินค้า บริเวณภายในมหาวิทยาลัย สนามบิน จะต้องมีการเพิ่มจุดการติดตั้ง AP ให้มากขึ้น เพื่อให้การรับส่งสัญญาณในบริเวณของเครือข่ายขนาดใหญ่ เป็นไปอย่างครอบคลุมทั่วถึง
     4. Use of an Extension Point


     กรณีที่โครงสร้างของสถานที่ติดตั้งเครือข่ายแบบไร้สายมีปัญหาผู้ออกแบบระบบ อาจจะใช้ Extension Points ที่มีคุณสมบัติเหมือนกับ Access Point แต่ไม่ต้องผูกติดไว้กับเครือข่ายไร้สาย เป็นส่วนที่ใช้เพิ่มเติมในการรับส่งสัญญาณ
     5. The Use of Directional Antennas


     ระบบแลนไร้สายแบบนี้เป็นแบบใช้เสาอากาศในการรับส่งสัญญาณระหว่าง อาคารที่อยู่ห่างกัน โดยการติดตั้งเสาอากาศที่แต่ละอาคาร เพื่อส่งและรับสัญญาณระหว่างกัน
     เสาอากาศ  (Antenna)
     หน้าที่หลักของเสาอากาศก็คือ การแปลงสัญญาณวิทยุไปเป็นคลื่นแม่เหล็กไฟฟ้าเพื่อส่งออกอากาศไปยังภาคส่งคลื่นวิทยุ และทำหน้าที่ในการแปลงคลื่นแม่เหล็กไฟฟ้าที่อยู่ในอากาศไปเป็น สัญญาณวิทยุเพื่อส่งให้ภาครับทำการดีโมดูเลทข้อมูลออกจากสัญญาณวิทยุต่อไป
     เสาอากาศจัดเป็นอุปกรณ์ชนิดหนึ่งที่มีความสำคัญมาก ถ้าเสาอากาศไม่มีคุณภาพก็จะส่ง สัญญาณไม่ออก หรือไม่สามารถรับสัญญาณได้เลย ซึ่งมีตัวแปรหลายๆค่าที่ใช้บอกคุณสมบัติของเสาอากาศ เช่น เกน (Gain) หรือ อัตราขยายเป็นตัวบอกว่าเสาอากาศนี้มีคุณสมบัติในการแปลงคลื่นแม่เหล็กไฟฟ้ามาเป็นสัญญาณไฟฟ้าได้ดีเพียงใด ค่าบีมวิธ (Beamwidth) ซึ่งบอกรูปร่างลักษณะการกระจายคลื่นว่า เป็น รูปแบบไหน การเลือกใช้เสาอากาศที่มีทิศทาง จะช่วยกำหนดรูปแบบการแพร่กระจายคลื่นได้ดีกว่า และค่า SWR เป็นตัวเลขที่บอกถึงคลื่นที่สะท้อนกลับมาเมื่อเราส่งสัญญานออกอากาศไป
     ประเภทของเสาอากาศ
     เสาอากาศสามารถแบ่งได้เป็น 2 รูปแบบ จากรูปแบบการกระจายของคลื่นคือ
     1. เสาอากาศแบบรอบตัว (Omni Directional Antenna) เสาอากาศประเภทนี้มีทิศทางการแพร่กระจายคลื่นรอบทิศทาง 360 องศา เหมาะสำหรับใช้ติดต่อกับเครื่องลูกข่ายที่เคลื่อนไหวอยู่ในตำแหน่งและทิศทางที่ไม่แน่นอน
     2. เสาอากาศแบบทิศทาง (Directional Antenna) เป็นเสาอากาศที่มีทิศทางการแพร่กระจายของคลื่นที่มีทิศทางชัดเจน เหมาะสำหรับการติดต่อระหว่างจุดต่อจุด สามารถเพิ่มระยะทางการใช้งานได้ไกลกว่าเสาอากาศแบบรอบตัว แต่มีข้อเสียคือ ถ้าไม่อยู่ในทิศทางการแพร่กระจายของคลื่นจะไม่สามารถรับสัญญาณได้เลย ชื่อของเสาอากาศแบบนี้ที่นิยมใช้กันได้แก่ เสาอากาศแบบเซ็กเตอร์ (Sector Antenna) เสาอากาศแบบยากิ (Yagi Antenna) เสาอากาศแบบกริด (Grid Antenna) เสาอากาศแบบจาน (Solid Dish Antenna) อัตราขยายของเสาอากาศแบบนี้อยู่ใน Gain สูง

     Wireless antenna


     คือ เสาอากาศสำหรับ Wireless ใช้ในกรณีที่ตัว access point มีกำลังส่งเท่าเดิม แต่เรามาขยาย gain เพิ่มที่ antenna เพื่อให้ได้ระยะที่ไกลขึ้น และ bitrate เท่าเดิม เว้นแต่ว่าของเดิมสัญญาณจะต่ำมากจนต้องลด bitrate ลง
     ชนิด Wireless antenna มีดังนี้
     1. เสาอากาศแบบรอบทิศทาง (Omni Type) ใช้สำหรับเชื่อมต่อระบบเครือข่ายไร้สายภายนอกอาคาร แบบ Point to Multi-Point เหมาะสำหรับการกระจายสัญญาณรอบทิศทาง หรือการทำจุดกระจายสัญญาณไร้สายสาธารณะ (Wi-Fi Hot Spot)
     ดูรายละเอียดเพิ่มเติมตามลิงค์นี้ http://www.siammastershop.com/Datasheet/tactio/omni.html
     2. เสาอากาศแบบทิศทาง (Panel Type) ใช้สำหรับเชื่อมต่อระบบเครือข่ายไร้สายภายนอกอาคาร แบบ Point to Multi-Point เหมาะสำหรับการเชื่อมต่อระหว่างอาคารที่ตั้งกระจายตัวอยู่ในบริเวณเดียวกัน แต่ระยะทางไม่ห่างกันมากนัก และต้องการควบคุมทิศทางของสัญญาณไร้สาย
     ดูรายละเอียดเพิ่มเติมตามลิงค์นี้ http://www.siammastershop.com/Datasheet/tactio/Panel.html
     3. เสาอากาศแบบทิศทาง (Sector Type) ใช้สำหรับเชื่อมต่อระบบเครือข่ายไร้สายภายนอกอาคาร แบบ Point to Multi-Point และต้องการควบคุมทิศทางสัญญาณในแนวระนาบ เหมาะสำหรับการเชื่อมต่ออาคารที่กระจายตัวอยู่ในบริเวณเดียวกันและอาคารส่วนใหญ่มีความสูงใกล้เคียงกัน
     ดูรายละเอียดเพิ่มเติมตามลิงค์นี้ http://www.siammastershop.com/Datasheet/tactio/Sector.html
     4. เสาอากาศแบบทิศทาง (Grid Type) ใช้สำหรับเชื่อมต่อระบบเครือข่ายไร้สายภายนอกอาคาร แบบ Point to Point เหมาะสำหรับการเชื่อมต่อระบบเครือข่ายไร้สายจากอาคารสู่อาคารและต้องการควบ คุมทิศทางของสัญญาณ
     ดูรายละเอียดเพิ่มเติมตามลิงค์นี้ http://www.siammastershop.com/Datasheet/tactio/Grid.html
     5. เสาอากาศแบบทิศทาง (Yagi Type) ใช้สำหรับเชื่อมต่อระบบเครือข่ายไร้สายภายนอกอาคาร แบบ Point to Point เหมาะสำหรับการใช้งานกับ Client ที่ต้องการเชื่อมต่อกับ Access Point ในระยะไกลโดยเน้นการกระจายสัญญาณเป็นเส้นตรง
     ดูรายละเอียดเพิ่มเติมตามลิงค์นี้ http://www.siammastershop.com/Datasheet/tactio/Yagi.html


     Wireless Security
     การเข้ารหัสข้อมูล มีดังนี้
     1. Wired Equivalent Privacy (WEP) เป็นวิธีที่เก่ากว่าในการรักษาความปลอดภัยเครือข่าย และยังคงมีอยู่เพื่อรองรับอุปกรณ์ที่เก่ากว่า แต่ก็ไม่ได้เป็นวิธีการที่ถูกแนะนำให้ใช้อีกต่อไป เมื่อเรียกใช้ WEP คุณจะต้องติดตั้งคีย์เพื่อความปลอดภัยของเครือข่าย คีย์นี้จะเข้ารหัสลับข้อมูลที่คอมพิวเตอร์ส่งไปยังเครื่องคอมพิวเตอร์อีก เครื่องหนึ่งบนเครือข่ายของคุณ อย่างไรก็ตาม ระบบความปลอดภัยแบบ WEP ค่อนข้างง่ายต่อการถอดรหัส
     2. Wi-Fi Protected Access (WPA) เป็น มาตรฐานแทนที่ WEP พัฒนาบนพื้นฐาน ieee 802.11i ใช้ Dynamic Key Distribution และ ieee 802.11x ร่วมกันทำงานการเข้ารหัสแบบ Advaced Encryption Stndard ด้วย คีย์ ขนาด 128, 192 หรือ 256 บิต
     โดย WPA จะ เข้ารหัสลับข้อมูล และจะตรวจสอบเพื่อให้แน่ใจว่าไม่มีการปรับเปลี่ยนคีย์เพื่อความปลอดภัยของเครือข่าย นอกจากนั้น WPA ยังรับรองความถูกต้องผู้ใช้ เพื่อช่วยทำให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่จะสามารถเข้าถึงเครือข่ายได้
     WPA มีการรับรองความถูกต้องสองประเภท คือ WPA และ WPA2 WPA ได้รับการออกแบบให้ทำงานกับการ์ดเชื่อมต่อเครือข่ายแบบไร้สาย แต่อาจไม่สามารถทำงานกับจุดเข้าใช้งานหรือเร้าเตอร์รุ่นที่เก่ากว่า WPA2 จะมีความปลอดภัยมากกว่า WPA แต่จะไม่ทำงานกับการ์ดเชื่อมต่อเครือข่ายรุ่นเก่ากว่าบางรุ่น WPA ได้รับการออกแบบให้ใช้กับเซิร์ฟเวอร์การรับรองความถูกต้อง 802.1X ซึ่งจะให้คีย์ที่แตกต่างกันกับผู้ใช้แต่ละราย ซึ่งจะเรียกว่า WPA-Enterprise หรือ WPA2-Enterprise นอกจากนั้นยังสามารถใช้ในโหมดคีย์ก่อนการใช้ร่วมกัน (PSK) ที่ผู้ใช้ทุกคนจะได้รับวลีรหัสผ่านเดียวกัน ซึ่งจะเรียกว่า WPA-Personal หรือ WPA2-Personal
     ขณะที่พัฒนาการของเทคโนโลยีเครือข่ายคอมพิวเตอร์ไปสู่เครือข่ายคอมพิวเตอร์ไร้สายความเร็วสูง ทำให้นักเจาะระบบทั้งหลาย ปรับรูปแบบจากการใช้เครื่องคอมพิวเตอร์ตั้งโต๊ะ มาใช้อุปกรณ์คอมพิวเตอร์พกพาที่สามารถเชื่อมต่อเครือข่ายไร้สาย เป็นเครื่องมือเจาะระบบ โดยรูปแบบการเจาะระบบดังกล่าว ที่เรียกว่า "War Driving" นี้ ทำให้บรรดานักแฮคสามารถขับรถหาเป้าหมาย และหนีการไล่ล่าได้ รวมทั้งยังสามารถสร้างวิธีการเจาะระบบในลักษณะของ "War Chalking" เพื่อ สร้างแผนที่หาจุดเชื่อมต่ออินเทอร์เน็ตไร้สายที่สามารถเข้าไปใช้บริการและเจาะระบบได้ ขณะเดียวกัน มีแนวโน้มการขยายตัวของกลุ่มเด็กที่หัดเป็นนักทดลองเจาะระบบข้อมูล (Script Kiddies) และความรุนแรงเป็นลัทธิการเจาะระบบ (Hacktuism) เนื่องจากความก้าวหน้าของเครื่องมือในการเจาะระบบ ทำให้ไม่ต้องอาศัยความรู้มากนัก สำหรับเหตุผลอันดับต้นๆ ของการเจาะระบบคือ เป็นความท้าทาย และอยากเป็นนักเจาะระบบยอดเยี่ยม

     10 เทคนิคการติดตั้งระบบ Wireless LAN ให้ปลอดภัยจากแฮกเกอร์
     1. วาง Access Point (AP) ในตำแหน่งที่เหมาะสม ไม่ควรวาง AP ไว้ในระบบ LAN ภายใน ควรวาง AP บริเวณหน้า Firewall จะปลอดภัยกว่า แต่ถ้าจำเป็นจริงๆ ต้องวางภายใน LAN ที่เป็น Internal Network ก็ควรจะมีการเพิ่มการ Authentication, Encryption เข้าไปด้วย
     2. กำหนดรายการ MAC Address ที่สามารถเข้าใช้ AP ได้เฉพาะที่เราอนุญาตเท่านั้น การ Lock ด้วยวิธีกำหนดค่า MAC Address นั้น แม้ว่าจะไม่ใช้วิธีที่กัน Hacker ได้ 100% ก็ตาม เพราะ Hacker สามารถ Spoof ปลอม MAC Address ได้ แต่ก็ยังดีกว่าไม่มีการกำหนดเสียเลย เหมือนกับว่าเราควรมีการป้องกันหลายๆ วิธี การกำหนด MAC Address ให้เฉพาะเครื่องที่เราอนุญาตก็เป็นการกันในชั้นหนึ่ง เพื่อให้ Hacker เกิดความยากลำบากในการ Hack เข้าสู่ระบบ Wireless LAN ของเรา
     3. จัดการกับ SSID (Service Set Identifier) ที่ถูกกำหนดเป็นค่า Default มาจากโรงงานผลิต ค่า SSID จะถูกกำหนดเป็นค่า Default มาจาก Vendor เช่น Cisco Aironet กำหนดเป็นชื่อ tsunami เป็นต้น เราควรทำการเปลี่ยนค่า SSID ที่เป็นค่า Default ทันทีที่เรานำ AP มาใช้งาน และ ควรปิดคุณสมบัติการ Auto Broadcast SSID ของตัว AP ด้วย
     4. ใช้ WEP (Wired Equivalent Privacy) security protocol ในการเข้ารหัสข้อมูลระหว่าง IEEE 802.11b Wireless LAN Client และ Access Point (AP) มาตรฐาน WEP เป็นมาตรฐานหลักที่มีใน AP ทุกตัว แต่โดยปกติแล้วจะไม่ได้เปิดใช้ ทำให้แฮกเกอร์สามารถใช้โปรแกรม Packet Sniffer เช่น Ethereal (www.ethereal.com) ดักจับ Packet และสามารถอ่านข้อมูลที่เป็น Plain text ได้เพราะ AP มีลักษณะการทำงานแบบ HUB ไม่ใช่ Switching เหมือนที่เราใช้กันใน LAN ทุกวันนี้ เราจึงควรมีการเข้ารหัส Packet ของเราในระดับ Layer 2 เพื่อให้ยากต่อการจับด้วยโปรแกรมประเภทนี้ ถ้าเราเพิ่มการ generate WEP Key เป็นแบบ Dynamic จะช่วยให้ปลอดภัยมากยิ่งขึ้น รวมถึงการใช้งานแบบ Session-Based และ User-Based WEP Key ก็ช่วยได้เช่นกัน
     - ใช้ PassPhrase ที่ยาวมากกว่า 20 ตัวอักษร แล้วก็ไม่อยู่ใน Dictionary เพราะว่าโปรแกรมพวกนี้จะใช้คำใน Dictionary ในการ Crack
     - ใช้ WPA Enterprise หรือ 802.1X + WPA โดยใช้การ Authentication แบบ Enterprise หรือดูพวก LucidLink Small Business หรือ WSC Guard
     5. อย่าหวังพึ่ง WEP อย่างเดียว เพราะ WEP สามารถที่จะถูก Crack ได้ การเพิ่ม WEP เข้ามาในการใช้งาน Wireless LAN เป็นสิ่งที่ควรทำ แต่ WEP ก็ไม่สามารถกันพวกแฮกเกอร์ได้ 100% เพราะมีโปรแกรมที่สามารถถอดรหัส WEP ได้ ถ้าได้ IP Packet จำนวนมากพอ เช่น โปรแกรม AirSnort เป็นต้น เพราะฉะนั้นเราควรเพิ่มการป้องกันใน Layer อื่นๆ เข้าไปด้วย
     6.ใช้ VPN ร่วมกับการใช้งาน Wireless LAN การใช้ VPN ระหว่าง Wireless LAN Client กับ AP ต่อเชื่อมไปยัง VPN Server เป็นวิธีที่ปลอดภัยมากกว่าการใช้ WEP และ การ Lock MAC Address การใช้ VPN ถือได้ว่าเป็นการป้องกันที่ลึกอีกขั้นหนึ่ง และ เป็นการรักษาความปลอดภัยในลักษณะ end to end อีกด้วย
     7. เพิ่มการ Authentication โดยใช้ RADIUS หรือ TACACS Server ถ้าองค์กรมี RADIUS Server หรือ CISCO Secure ACS (TACACS) Server อยู่แล้ว สามารถนำมาใช้ร่วมกับ AP ที่มีความสามารถในการตรวจสอบ Username และ Password ก่อนที่ผู้ใช้จะเข้าสู่ระบบ (Authentication Process) และ ทำให้ผู้ใช้ไม่ต้องจำหลาย Username หลาย Password ผู้ใช้สามารถใช้ Username และ Password เดียวกับที่ใช้ในระบบ Internal LAN ได้เลย ทำให้สะดวกในการบริหารจัดการ Account ภายใน และ IT Auditor ควรตรวจสอบการเข้าระบบ Wired และ Wireless LAN จาก Log ของระบบด้วย
     8. การใช้ Single Sign On (SSO) ดังที่กล่าวมาแล้วในข้อ 7 ควรกำหนดเป็น Security Policy ให้กับองค์กรสำหรับระบบ Wired และ Wireless LAN เพื่อที่เราสามารถที่จะกำหนดคุณสมบัติ AAA ได้แก่ Authentication, Authorization และ Accounting ได้ การใช้งานควรกำหนด Security Policy ทั้งระบบ Wired และ Wireless LAN ไปพร้อมๆ กัน และ แจ้งให้ผู้ใช้ได้ทราบปฏิบัติตาม Security Policy และสามารถตรวจสอบได้
     9. อุปกรณ์ Wireless LAN จากแต่ละผู้ผลิตอาจมีคุณสมบัติแตกต่างจากมาตรฐานและมีปัญหาในการทำงานร่วมกัน แม้ว่าผู้ผลิตอุปกรณ์จะผลิตตามมาตรฐาน IEEE 802.11b ผู้ผลิตบางรายมักจะเพิ่มคุณสมบัติบางอย่างเฉพาะผู้ผลิตรายนั้นๆ เช่น เพิ่มคุณสมบัติทางด้าน security ของอุปกรณ์เป็นต้น เราควรตรวจสอบให้ดีก่อนที่จะติดสินใจซื้อมาใช้งานจริงว่าอุปกรณ์ไม่มีปัญหาในการทำงานร่วมกัน
     10. ระวัง Rouge AP แม้คุณจะไม่ได้ใช้ระบบ Wireless LAN เลยก็ตาม การ Hack จากภายในองค์กรในสมัยนี้ทำได้ง่าย แม้องค์กรจะไม่ได้ใช้ระบบ Wireless LAN เลย วิธีการก็คือ มีผู้ไม่หวังดีทำการแอบติดตั้ง AP ที่ไม่ได้รับอนุญาตเข้ากับระบบ Internal LAN เรียกว่า Rouge AP จากนั้นผู้ไม่หวังดีก็สามารถ Access Internal LAN ผ่านทาง Rouge AP ที่ทำการแอบติดตั้งไว้ ซึ่งเขาสามารถเข้าถึงระบบภายในได้ จากภายนอกอาคาร หรือ จากที่จอดรถของบริษัทก็ได้ ถ้าระยะห่างไม่เกิน 100 เมตร จาก AP ที่แอบติดตั้งไว้
     เราควรมีการตรวจสอบ Rouge AP เป็นระยะๆ โดยใช้โปรแกรม Networkstumbler เพื่อหาตำแหน่งของ Rouge AP หรือ เราควรติดตั้ง IDS (Intrusion Detection System) เช่น SNORT เพื่อคอยตรวจสอบพฤติกรรมแปลกๆ ในระบบ Internal LAN ภายในของเราเป็นระยะๆ จะทำให้ระบบของเรามีความปลอดภัยมากขึ้นและมีการเตือนภัยในลักษณะ Proactive อีกด้วย

Open Systems Interconnection (OSI) Reference Model
     OSI Model เป็นมาตรฐานที่ใช้อ้างอิงถึงวิธีการในการส่งข้อมูลจาก Computer เครื่องหนึ่งผ่าน Network ไปยัง Computer อีกเครื่องหนึ่ง ซึ่งหากไม่มีการกำหนดมาตรฐานกลางแล้ว การพัฒนาและใช้งานที่เกี่ยวกับ Network ทั้ง Hardware และ Software ของผู้ผลิตที่เป็นคนละยี่ห้อ อาจเกิดปัญหาเนื่องจากการไม่ compatible กัน
     OSI Model พัฒนาโดย International Organization for Standardization (ISO) ในปี 1984 และเป็นสถาปัตยกรรมโมเดลหลักที่ใช้อ้างอิงในการสื่อสาระหว่าง Computer โดยข้อดีของ OSI Model คือแต่ละ Layer จะมีการทำงานที่เป็นอิสระจากกัน ดังนั้นจึงสามารถออกแบบอุปกรณ์ของแต่ละ Layer แยกจากกันได้ และการปรับปรุงใน Layer หนึ่งจะไม่มีผลกระทบกับ Layer อื่นๆ
     OSI เป็น model ในระดับแนวคิด ประกอบด้วย Layer ต่างๆ 7 ชั้น แต่ละ Layer จะอธิบายถึงหน้าที่การทำงานกับข้อมูล โดย 7 Layer ของ OSI Model สามารถแบ่งได้เป็น 2 กลุ่ม คือ upper layers และ lower layers
     - Upper layers โดยทั่วไปจะเป็นส่วนที่พัฒนาใน Software Application โดยประกอบด้วย Application Layer, Presentation Layer และ Session Layer
     - Lower Layer จะเป็นส่วนที่ทำหน้าที่ในการสื่อสารข้อมูลซึ่งอาจจะพัฒนาได้ทั้งแบบเป็น Software และ Hardware

     ข้อมูลข่าวสารที่ส่งจาก Application บน Computer เครื่องหนึ่ง ไปยัง Application บน Computer จะต้องส่งผ่านแต่ละ Layer ของ OSI Model ตามลำดับ ดังรูป โดย Layer แต่ละ Layer จะสามารถสื่อสารได้กับ Layer ข้างเคียงในขั้นสูงกว่าและต่ำกว่า และ Layer เดียวกันในอีกระบบ Computer เท่านั้น

     Data ที่จะส่งจะถูกเพิ่ม header ของแต่ละชั้นเข้าไป เมื่อมีการรับข้อมูลที่ปลายทางแล้ว header จะถูกถอดออกตามลำดับชั้น


     ตัวอย่าง ในการส่ง Mail จะถูกประกบ header เข้าไป 3 ชั้นเรียงจากบนลงมาคือ
     ชั้น Transport จะใส่เบอร์ Port ของ Mail คือ Port 25
     ชั้น Network จะถูกใส่ต้นทางและปลายทางโดย Router
     ชั้น Datalink จะใส่เป็น Mac Address โดย Switch


     โดยแต่ละ Layer ของ OSI Model จะมีหน้าที่ต่างกันดังนี้
     1.Physical Layer ชั้น Physical เป็นการอธิบายคุณสมบัติทางกายภาพ เช่น คุณสมบัติทางไฟฟ้า และกลไกต่างๆ ของวัสดุที่ใช้เป็นสื่อกลาง ตลอดจนสัญญาณที่ใช้ในการส่งข้อมูล คุณสมบัติที่กำหนดไว้ในชั้นนี้ประกอบด้วยคุณลักษณะทางกายภาพของสาย, อุปกรณ์เชื่อมต่อ (Connector), ระดับความตางศักย์ของไฟฟ้า (Voltage) และอื่นๆ เช่น อธิบายถึงคุณสมบัติของสาย Unshield Twisted Pair (UTP)
     2. Datalink Layer ชั้น Datalink เป็นชั้นที่อธิบายถึงการส่งข้อมูลไปบนสื่อกลาง ชั้นนี้ยังได้ถูกแบ่งออกเป็นชั้นย่อย (SubLayer) คือ Logical Link Control (LLC) และ Media Access Control (MAC) การแบ่งแยกเช่นนี้จะทำให้ชั้น LLC ชั้นเดียวสามารถจะใช้ชั้น MAC ที่แตกต่างกันออกไปได้หลายชั้น ชั้น MAC นั้นเป็นการดำเนินการเกี่ยวกับแอดเดรสทางกายภาพอย่างที่ใช้ในมาตรฐานอีเทอร์เน็ตและโทเคนริง แอดเดรสทางกายภาพนี้จะถูกฝังมาในการ์ดเครือข่ายโดยบริษัทผู้ผลิตการ์ดนั้น แอดเดรสทางกายภาพนั้นเป็นคนละอย่างกับแอดเดรสทางตรรกะ เช่น IP Address ที่จะถูกใช้งานในชั้น Network เพื่อความชัดเจนครบถ้วนสมบูรณ์ของการใช้ชั้น Data-Link นี้
     3. Network Layer ในขณะที่ชั้น Data-Link ให้ความสนใจกับแอดเดรสทางกายภาพ แต่การทำงานในชั้น Network จะให้ความสนใจกับแอดเดรสทางตรรกะ การทำงานในชั้นนี้จะเป็นการเชื่อมต่อและการเลือกเส้นทางนำพาข้อมูลระหว่างเครื่องสองเครื่องในเครือข่าย ชั้น Network ยังให้บริการเชื่อมต่อในแบบ "Connection Oriented" อย่างเช่น X.25 หรือบริการแบบ "Connectionless" เช่น Internet Protocol ซึ่งใช้งานโดยชั้น Transport ตัวอย่างของบริการหลักที่ชั้น Network มีให้คือ การเลือกส้นทางนำพาข้อมูลไปยังปลายทางที่เรียกว่า Routing  ตัวอย่างของโปรโตคอลในชั้นนี้ประกอบด้วย Internet Protocol (IP) และ Internet Control Message Protocol (ICMP)
     4. Transport Layer ในชั้นนี้มีบางโปรโตคอลจะให้บริการที่ค่อนข้างคล้ายกับที่มีในชั้น Network โดยมีบริการด้านคุณภาพที่ทำให้เกิดความน่าเชื่อถือ แต่ในบางโปรโตคอลที่ไม่มีการดูแลเรื่องคุณภาพดังกล่าวจะอาศัยการทำงานในชั้น Transport นี้เพื่อเข้ามาช่วยดูแลเรื่องคุณภาพแทน เหตุผลที่สนับสนุนการใช้งานชั้นนี้ก็คือ ในบางสถานการณ์ของชั้นในระดับล่างทั้งสาม (คือชั้น Physical, Data-Link และ Network) ดำเนินการโดยผู้ให้บริการโทรคมนาคม การจะเพิ่มความมั่นใจในคุณภาพให้กับผู้ใช้บริการก็ด้วยการใช้ชั้น Transport นี้ "Transmission Control Protocol (TCP) เป็นโปรโตคอลในชั้น Transport ที่มีการใช้งานกันมากที่สุด"
     5. Session Layer ชั้น Session ทำหน้าที่สร้างการเชื่อมต่อ, การจัดการระหว่างการเชื่อมต่อ และการตัดการเชื่อมต่อคำว่า "เซสชัน" (Session) นั้นหมายถึงการเชื่อมต่อกันในเชิงตรรกะ (Logic) ระหว่างปลายทางทั้งสองด้าน (เครื่อง 2 เครื่อง) ชั้นนี้อาจไม่จำเป็นต้องถูกใช้งานเสมอไป อย่างเช่นถ้าการสื่อสารนั้นเป็นไปในแบบ "Connectionless" ที่ไม่จำเป็นต้องเชื่อมต่อ เป็นต้น ระหว่างการสื่อสารในแบบ "Connection-less" ทุกๆ แพ็กเก็ต (Packet) ของข้อมูลจะมีข้อมูลเกี่ยวกับเครื่องปลายทางที่เป็นผู้รับติดอยู่อย่างสมบูรณ์ในลักษณะของจดหมายที่มีการจ่าหน้าซองอย่างถูกต้องครบถ้วน ส่วนการสื่อสารในแบบ "Connection Oriented" จะต้องมีการดำเนินการบางอย่างเพื่อให้เกิดการเชื่อมต่อ หรือเกิดเป็นวงจรในเชิงตรรกะขึ้นมาก่อนที่การรับ/ส่งข้อมูลจะเริ่มต้นขึ้น แล้วเมื่อการรับ/ส่งข้อมูลดำเนินไปจนเสร็จสิ้นก็ต้องมีการดำเนินการบางอย่างเพื่อที่จะตัดการเชื่อมต่อลง ตัวอย่างของการเชื่อมต่อแบบนี้ได้แก่การใช้โทรศัพท์ที่ต้องมีการกดหมายเลขปลายทาง จากนั้นก็ต้องมีการดำเนินการบางอย่างของระบบจนกระทั่งเครื่องปลายทางมีเสียงดังขึ้น การสื่อสารจะเริ่มขึ้นจริงเมื่อมีการทักทายกันของคู่สนทนา จากนั้นเมื่อคู่สนทนาฝ่ายใดฝ่ายหนึ่งวางหูก็ต้องมีการดำเนินการบางอย่างที่จะตัดการเชื่อมต่อลงชั้น Session นี้มีระบบการติดตามด้วยว่าฝั่งใดที่ส่งข้อมูลซึ่งเรียกว่า "Dialog Management" Simple Mail Transport Protocol (SMTP), File Transfer Protocol (FTP) และ Telnet เป็นตัวอย่างของโปรโตคอลที่นิยมใช้ และมีการทำงานครอบคลุมในชั้น Session, Presentation และ Application
     6. Presentation Layer ชั้น Presentation ให้บริการทำการตกลงกันระหว่างสองโปรโตคอลถึงไวยากรณ์ (Syntax) ที่จะใช้ในการรับ/ส่งข้อมูล เนื่องจากว่าไม่มีการรับรองถึงไวยากรณ์ที่จะใช้ร่วมกัน การทำงานในชั้นนี้จึงมีบริการในการแปลข้อมูลตามที่ได้รับการร้องขอด้วย
     7. Application Layer ชั้น Application เป็นชั้นบนสุดของแบบจำลอง ISO/OSI เป็นชั้นที่ใช้บริการของชั้น Presentation (และชั้นอื่นๆ ในทางอ้อมด้วย) เพื่อประยุกต์ใช้งานต่างๆ เช่น การทำ E-mail Exchange (การรับ/ส่งอีเมล์), การโอนย้ายไฟล์ หรือการประยุกต์ใช้งานทางด้านเครือข่ายอื่นๆ


     ข้อมูลที่ส่งในระบบเครือข่ายมีหลายรูปแบบที่หลากหลาย ขึ้นอยู่กับการออกแบบของแต่ละ Application หรือแต่ละผู้ผลิต แต่รูปแบบทั่วไปที่เรียกข้อมูลได้แก่
     - Frame หน่วยของข้อมูลในระดับ Datalink Layer
     - Packet หน่วยของข้อมูลในระดับ Network Layer
     - Datagram หน่วยของข้อมูลในระดับ Network Layer ที่มีรูปแบบการเชื่อมต่อแบบ Connectional Less 
     - Segment หน่วยของข้อมูลในระดับ Transport Layer
     - Message ระดับข้อมูลในเหนือ Network Layer มักจะหมายถึงระดับ Application Layer
     - Cell หน่วยข้อมูลที่มีขนาดแน่นอนในระดับ Datalink Layer ใช้เป็นหน่วยในลักษณะการส่งข้อมูลแบบสวิตซ์ เช่น Asynchronous Transfer Mode (ATM) หรือ Switched Multimegabit Data Service (SMDS)
     - Data unit หน่วยข้อมูลทั่วไป

การรักษาความมั่นคงปลอดภัยด้านไอซีที
     ประกอบด้วยการรักษาคุณค่าพื้นฐาน 3 ประการ ได้แก่ การรักษาความลับ (Confidentiality) บูรณภาพ (Integrity) และความพร้อมใช้งาน (Availability) ซึ่งมีคำจำกัดความที่สำคัญดังนี้
     1. “เทคโนโลยีสารสนเทศ (IT)” หมายถึง เทคโนโลยีสำหรับการประมวลผลสารสนเทศ ซึ่งจะครอบคลุมถึงการรับส่ง แปลง ประมวลผล และสืบค้นสารสนเทศ โดยมีองค์ประกอบ 3 ส่วนคือ คอมพิวเตอร์ การสื่อสารและสารสนเทศ ซึ่งต้องอาศัยการทำงานร่วมกัน
     2. “ความลับ (Confidentiality)” คือ การรับรองว่าจะมีการเก็บรักษาข้อมูลไว้เป็นความลับและจะมีเพียงผู้มีสิทธิเท่านั้นที่จะสามารถเข้าถึงข้อมูลเหล่านั้นได้
     3. “บูรณภาพ (Integrity)” คือการรับรองว่าข้อมูลจะไม่ถูกกระทำการใดๆ อันมีผลให้เกิดการเปลี่ยนแปลงหรือแก้ไขจากผู้ซึ่งไม่มีสิทธิ ไม่ว่าการกระทำนั้นจะมีเจตนาหรือไม่ก็ตาม
     4. “ความพร้อมใช้งาน (Availability)” คือการรับรองได้ว่าข้อมูลหรือระบบเทคโนโลยีสารสนเทศทั้งหลายพร้อมที่จะให้บริการในเวลาที่ต้องการใช้งาน
     5. “การพิสูจน์ฝ่าย (Authentication)” คือการตรวจสอบและการพิสูจน์สิทธิของการขอเข้าใช้ระบบของผู้ใช้บริการจากรายชื่อผู้มีสิทธิ สำหรับอุปกรณ์ไอที รวมถึงแอพพลิเคชันทั้งหลาย
     6. “การพิสูจน์สิทธิ์ (Authorization)” หมายถึงการตรวจสอบว่า บุคคล อุปกรณ์ไอที หรือแอพพลิเคชัน นั้นๆ ได้รับอนุญาตให้ดำเนินการอย่างหนึ่งอย่างใดต่อระบบสารสนเทศหรือไม่
     7. “การเก็บสำรองข้อมูล (Data backup)” หมายถึง ในระหว่างการเก็บสำรอง สำเนาของชุดข้อมูล ปัจจุบันจะถูกสร้างขึ้นมา เพื่อป้องกันการสูญหาย
     8. “การปกป้องข้อมูล (Data protection)” หมายถึงการป้องกันข้อมูลส่วนบุคคลต่อการประสงค์ร้ายของบุคคลที่สาม
     9. “การรักษาความมั่นคงปลอดภัยของข้อมูล (Data security)” หมายถึง การป้องกันข้อมูลในบริบทของ การรักษาความลับ บูรณภาพ และความพร้อมใช้งานของข้อมูล ซึ่งสามารถใช้แทน การรักษาความมั่นคงปลอดภัยของสารสนเทศได้
     10. “การประเมินความเสี่ยง หรือการวิเคราะห์ความเสี่ยง (Risk assessment or analysis)” ของระบบสารสนเทศ หมายถึง การตรวจสอบโอกาสของผลลัพธ์ใดๆ ที่ไม่พึงประสงค์ ต่อระบบฯ และผลเสียที่อาจจะเกิดขึ้นตามมาได้
     11. “นโยบายด้านความมั่นคงปลอดภัย (Security policy)” หมายถึงนโยบายที่แสดงเป้าหมายที่จะต้องปกป้อง และขั้นตอนทั่วไปของกระบวนการรักษาความมั่นคงปลอดภัย ในบริบทของความต้องการอย่างเป็นทางการขององค์กร

การจัดการความปลอดภัยของวงจรสารสนเทศ
     มีการแบ่งย่อยออกเป็น 3 หมวด คือ Physical Security, Access Control และ Encryption ดังนี้
     1. Physical Security เป็นการรักษาความปลอดภัยของข้อมูล โดยการเลือกใช้สื่อที่มีความมั่นคง ตั้งแต่การเลือกใช้ Hardware device ต่างๆ ไปจนกระทั่งการดูแลศูนย์กลางของการจัดเก็บข้อมูลให้มีความปลอดภัยมั่นคง
     2. Access Control เป็นการกำหนดกฎเกณฑ์ในการเข้าถึงข้อมูลสารสนเทศ เช่น ใครเป็นผู้ใช้งาน ใช้งานได้แค่ไหน ใช้งานอย่างไร สารสนเทศมีการปรับแก้โดยใคร และปรับแก้อย่างไรบ้าง
     3. Encryption เป็นการป้องกันการใช้งานโดยปรับเปลี่ยนข้อมูลให้เป็นข้อความที่อ่านไม่รู้เรื่อง (cipher-text) และมีการถอดรหัส (description) ให้เป็นข้อมูลที่อ่านได้
     การจัดการความปลอดภัยของวงจรสารสนเทศ เพื่อให้องค์กรได้ใช้ประโยชน์สูงสุดจากสารสนเทศนั้นควรดำเนินการดังต่อไปนี้
     - ปรับยุทธศาสตร์ขององค์กรให้สอดคล้องกับการใช้งานสารสนเทศ
     - จัดกลุ่มของผู้ใช้ให้เหมาะกับการใช้งานสารสนเทศ
     - บริหารจัดการข้อมูลสารสนเทศทั้งหมด
     - บริหารจัดการนโยบายทางด้านความปลอดภัยสำหรับการใช้งานสารสนเทศ
     - บริหารจัดการทรัพยากรทางด้านสารสนเทศและเครือข่าย

แนวทางในการวางระบบความมั่นคงปลอดภัยสารสนเทศ มีดังนี้
     1. การกำหนดนโยบายด้านความมั่นคงปลอดภัยสำหรับเครือข่ายเฉพาะบริเวณแบบไร้สาย สำหรับวิสาหกิจขนาดกลางและขนาดเล็ก
ในการกำหนดกรอบความมั่นคงปลอดภัยสำหรับระบบเครือข่ายไร้สายสามารถแบ่งออกเป็น 3 ส่วนมีรายละเอียดดังนี้
     1.1 ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human Resources Security)
     - การสร้างความมั่นคงปลอดภัยก่อนการจ้างงาน (Prior to Employment)
     - การสร้างความมั่นคงปลอดภัยระหว่างการจ้างงาน (During Employment)
     - การสิ้นสุดหรือการเปลี่ยนการจ้างงาน (Termination or Change of Employment)
     1.2 ความมั่นคงปลอดภัยที่เกี่ยวข้องกับกระบวนการทำงาน (Process Resources Security)
     - นโยบายความมั่นคงปลอดภัยของสารสนเทศ (Information Security Policy) นโยบายนี้เป็นกรอบในการกำหนดวัตถุประสงค์ มาตรการด้านความมั่นคงปลอดภัย รวมถึงแนวทางการบริหารความเสี่ยง และที่สำคัญนโยบายต้องให้ความสำคัญต่อการปฏิบัติตามกฎหมาย กฎระเบียบ สัญญาและข้อตกลงร่วมกัน
     - โครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศสำหรับองค์กร (Organization of Information Security)
     - นโยบายการกำหนดมาตรการการป้องกันทรัพย์สินขององค์กร
     - นโยบายการกำหนดหน้าที่และความรับผิดชอบและขั้นตอนการปฏิบัติงาน (Operational Procedures and Responsibilities)
     - นโยบายการบริหารจัดการการให้บริการของหน่วยงานภายนอก (Third Party Service Delivery Management)
     - นโยบายการควบคุมการเข้าถึง (Access Control)
     - นโยบายการสร้างความมั่นคงปลอดภัยให้แก่ไฟล์ของระบบที่ให้บริการ (Security of System Files)
     - นโยบายการปฏิบัติตามข้อกำหนดทางกฎหมาย (Compliance with Legal Requirements)
     - นโยบายการตรวจประเมินระบบสารสนเทศ (Information Systems Audit Considerations
     1.3 ความมั่นคงปลอดภัยที่เกี่ยวข้องกับเทคโนโลยี (Technology Resources Security)
     - นโยบายความมั่นคงปลอดภัยของสารสนเทศ (Information Security Policy)
     - นโยบายการสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (Physical and Environmental Security)
     - นโยบายการบริหารจัดการด้านการสื่อสารและเครือข่ายสารสนเทศขององค์กร (Communicational Procedures and Responsibilities)
     - นโยบายการควบคุมอุปกรณ์สื่อสารประเภทพกพา
     - การปฏิบัติตามนโยบาย
     2. การพัฒนาตัวแบบความมั่นคงความปลอดภัยสำหรับเครือข่ายเฉพาะบริเวณแบบไร้สาย สำหรับวิสาหกิจขนาดกลางและขนาดเล็ก
การพัฒนาตัวแบบความมั่นคงปลอดภัยมีฟีเจอร์และเครื่องมือต่าง ๆ ที่ช่วยในการบริหารจัดการและควบคุมระบบ จะช่วยให้การบริหารจัดการเซิร์ฟเวอร์ที่มีหลายแอพพลิเคชันและหลายยูสเซอร์ใช้งานพร้อมกัน นอกจากนี้ยังช่วยในการป้องกันข้อมูลตามนโยบายที่กำหนด ซึ่งจะติดตั้งพร้อมกับระบบเพื่อกรองข้อมูลการจราจรที่วิ่งเข้าออกบนระบบเครือข่าย


ภาพประกอบ : แสดงกรอบความมั่นคงปลอดภัยสารสนเทศเครือข่ายเฉพาะบริเวณแบบไร้สายสำหรับวิสาหกิจขนาดกลางและขนาดเล็ก

     จากผลการกำหนดกรอบความมั่นคงปลอดภัยสารสนเทศเครือข่ายเฉพาะบริเวณแบบไร้สายสำหรับวิสาหกิจขนาดกลางและขนาดเล็กแสดงดังภาพประกอบ ซึ่งแสดงถึงกรอบความมั่นคงปลอดภัยสารสนเทศเครือข่ายเฉพาะบริเวณแบบไร้สายสำหรับวิสาหกิจขนาดกลางและขนาดเล็กที่อ้างอิงตามมาตรฐาน ISO/IEC 27001 โดยจะมีรายละเอียดในแต่ละ Layer ดังนี้
     1. Application Layer เป็นจุดเชื่อมต่อระหว่างแอพพลิเคชันของผู้ใช้กับกระบวนการ การสื่อสารผ่านเครือข่าย ชั้นนี้อาจจะถือได้ว่าเป็นชั้นที่เริ่มกระบวนการติดต่อสื่อสาร คือ
     1.1 Web Services Security เป็นการรักษาความปลอดภัยสำหรับการให้บริการเว็บไซต์ โดยมีการจัดการ
คือ
     • Maintaining security while routing between multiple การป้องกันความปลอดภัยต้องป้องกันทุกๆ Layer เพราะผู้โจมตีอาจเลือก Layer ที่สามารถโจมตีได้ง่าย หรือมีจุดอ่อน
     • Unauthorized Access ต้องจำกัดผู้ใช้งาน จำนวนผู้ใช้และการเข้าถึงข้อมูล คือกำหนดสิทธิ์ใช้งาน
     • Parameter Manipulation/Malicious Input มีการส่ง Parameter หรือ Input ที่เป็นอันตรายจากผู้ไม่ประสงค์ดี เช่น SQL Injection เป็นต้น
     • Network Eavesdropping and Message Replay ถ้าข้อมูลไม่ถูก Encryption ไว้ อาจถูกผู้ไม่ประสงค์ดีดักจับข้อมูลได้ง่าย ทำให้ข้อมูลไม่เป็นความลับ
     • Denial of Services (DoS) ผู้โจมตีส่งคำสั่งจำนวนมากๆ (Message Bomb) ให้ Web Services ทำให้เกิดความเสียหาย
     • Bypassing of Firewalls ผู้โจมตีพยายามโจมตีผ่าน port ที่ firewall เปิด คือ พยายามโจมตีผ่าน Port 80 เป็นต้น
     • Immaturity of the platform Web Services มีการใช้ Platform ที่ต่างกัน ทำให้เกิดการโจมตีโดยง่าย
     2. Transport Layer รับผิดชอบในการเคลื่อนย้ายข้อมูลระหว่างโพรเซสของผู้รับ และโพรเซสของผู้ส่ง ในที่นี้มีการรักษาความปลอดภัยดังนี้
     - Access Control เป็นวิธีการเข้ารหัสข้อมูลที่จะนำมาใช้ในการป้องกันความลับของข้อมูลได้เป็นอย่างดี แต่ไม่สามารถที่จะป้องกันการปลอมแปลงเข้ามาในระบบได้ ส่วนวิธีที่ใช้ในการป้องกันการปลอมแปลงการเข้าระบบ การป้องกันการเรียกเข้าในระบบโดยไม่ได้รับอนุญาต เป็นการกำหนดระดับสิทธิในการเข้าถึงระบบในการเขาถึงข้อมูลต่าง ๆ กัน
     3. Network Layer จะรับผิดชอบในการจัดเส้นทางให้กับข้อมูลระหว่างสถานีส่งและสถานีรับ โดยมีระบบการรักษาความปลอดภัยดังนี้
     - IP Security จะมีระบบรักษาความปลอดภัยเหมือนระบบรักษาความปลอดภัยอื่นๆ คือ การใส่รหัส (Encryption) เพื่อป้องกันข้อมูลรั่วไหล ป้องกันการแอบดึงข้อมูลไปใช้
     - Vulnerability การค้นหาเพื่อระบุถึง จุดอ่อนของระบบภายในองค์กรนั้น ในบางทีอาจต้องใช้วิธีทางเทคนิคเข้ามาช่วย เพื่อค้นหา จุดอ่อนในเชิง Logical ของระบบ
     - Intrusion Detection System ระบบตรวจสอบการบุกรุกเข้าสู่ระบบ ตรวจสอบมักวางไว้ทั้งหน้า firewall และหลัง firewall เพื่อตรวจสอบการบุกรุก และตรวจสอบผลการใช้ firewall
     - Intrusion Prevention System : IPS หมายถึง ระบบที่ใช้ป้องกันการบุกรุก เป็นอุปกรณ์ที่อยู่ใน network เพื่อทำหน้าที่ป้องกันการบุกรุก หรือโจมตีทางระบบเครือข่ายต่างๆ เช่น พวกการโจมตีระบบฐานข้อมูล (Database Attack) หรือโจมตีตัวเว็บเซิฟเวอร์ (Web Server Attack)
     อุปกรณ์ IPS ที่อยู่ในระบบเน็ทเวิร์คแบบนี้ เรามักจะเรียกว่า Network IPS เพราะจะมี IPS ประเภทอื่นที่อาจจะเป็น software วิ่งบนเครื่อง Server ซึ่งจะเรียกว่า Host IPS อุปกรณ์ Network IPS ก็จะมีลักษณะเหมือนอุปกรณ์ network ทั่วไปคือมีช่อง port ให้เสียบสาย Ethernet ซึ่งจะมีจำนวน port มากน้อยก็แล้วแต่ model ถ้าต้องการใช้งานจำนวน port เยอะ มีความเร็วสูงๆ ก็ต้องเป็น model ใหญ่
     การใช้งาน IPS จะถูกวางไว้ขวางบน network เพื่อให้ traffic การรับส่งข้อมูลต่างๆวิ่งผ่านตัวมัน ซึ่งจะทำให้ IPS สามารถตรวจสอบจากข้อมูลพวกนี้ได้ว่า ขณะนี้มีการ attack หรือมีไวรัสหรือไม่ ถ้าตรวจพบว่ามีการโจมตี หรือมีไวรัส IPS ก็สามารถจะทำการตัดการเชื่อมต่อนั้นๆ เพื่อหยุดการส่งข้อมูล สิ่งที่สำคัญสำหรับ IPS ก็คือความฉลาดของตัว IPS ที่จะรู้ว่า traffic แบบไหนเป็นการโจมตี ซึ่งเจ้าของผลิตภัณฑ์แต่ละยี่ห้อ ต้องมีการลงทุนทำการค้นคว้า วิจัย ให้ทันกับ threat ใหม่ๆที่เกิดขึ้นในโลก Internet อยู่เสมอ และนำสิ่งที่ค้นพบเหล่านั้น มาใส่ในอุปกรณ์ IPS เพื่อเพิ่มความฉลาดของอุปกรณ์ให้สามารถป้องกันการบุกรุกใหม่ๆได้
     4. Data Link Layer มีหน้าที่เหมือนกับชั้นอื่น ๆ คือรับและส่งข้อมูล ซึ่งจะรับผิดชอบในการรับส่งข้อมูลและมีการตรวจสอบความถูกต้องของข้อมูลด้วย โดยมีการรักษาความปลอดภัยดังนี้
     - Authentication in Distributed System เป็นการตรวจสอบความถูกต้องระบบคอมพิวเตอร์ในเครือข่าย
     - Encryption คือ การเปลี่ยนข้อความที่สามารถอ่านได้ (plain text) ไปเป็นข้อความที่ไม่สามารถอ่านได้ (cipher text) เพื่อเหตุผลด้านความปลอดภัย ปัจจุบันการเข้ารหัสมี 2 รูปแบบคือ การเข้ารหัสแบบสมมาตร เป็นการเข้ารหัสแบบใช้กุญแจตัวเดียวกันสำหรับการเข้าและถอดรหัส และการเข้ารหัสแบบอสมมาตร เป็นการเข้ารหัสที่ใช้กุญแจตัวหนึ่งสำหรับการเข้ารหัส และกุญแจอีกตัวหนึ่งสำหรับการถอดรหัส
      5. Physical Layer จัดการเชื่อมต่อ และ การส่งสัญญาณทางไฟฟ้า จากผู้ส่ง ไปยังผู้รับ โดยผ่านสื่อกลาง เช่น สายทองแดง คลื่นวิทยุ สายคู่ตีเกลียว และใยแก้วนำแสง เป็นต้น
     ดังนั้น พื้นฐานของการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศทั่วไปเป็นฐานเนื่องจากในองค์กรส่วนใหญ่จะมีระบบสารสนเทศที่ใช้แบบมีสายและแบบไร้สาย ดังนั้นจะต้องดำเนินการรักษาความมั่นคงปลอดภัยร่วมกัน ซึ่งทุกระบบงานย่อยและระบบงานสารสนเทศต้องมี รวมถึงต้องมีการพิจารณาขั้นตอนต่างๆ การดำเนินการต่างๆ ในระดับบริหารจัดการ และเน้นไปที่การรักษาความมั่นคงปลอดภัยเพื่อให้เกิดประสิทธิภาพสูงสุด

สรุป
     วิวัฒนาการของโลกได้เปลี่ยนไปอย่างรวดเร็ว ปัจจุบันเทคโนโลยีสารสนเทศและการสื่อสารได้เข้ามามีบทบาทที่สำคัญต่อการดำเนินชีวิตของมนุษย์และก่อให้เกิดการเปลี่ยนแปลงกับสังคมมนุษย์อย่างมากมาย ไม่ว่าจะเป็นการเปลี่ยนแปลงในการดำเนินชีวิตประจำวัน การขยายบทบาททางการศึกษา การให้บริการสาธารณสุข การพัฒนาเศรษฐกิจ การสื่อสารระหว่างรัฐกับประชาชน โดยเทคโนโลยีสารสนเทศและการสื่อสาร ได้ถูกนำมาใช้ในการปฏิบัติงาน การผลิตและการให้บริการต่อผู้บริโภค การทำธุรกรรมต่างๆ อีกทั้งยังเป็นพลังขับเคลื่อนที่สำคัญในการนำพาประเทศเข้าสู่ระบบเศรษฐกิจใหม่ หรือระบบเศรษฐกิจและสังคมแห่งปัญญาและการเรียนรู้ เพื่อการรวมทั้งเป็นกลยุทธ์หลักในการพัฒนาของทุกประเทศ ในปัจจุบันมีการขยายตัวของเครือข่ายคอมพิวเตอร์มากขึ้นอย่างรวดเร็ว การทำธุรกรรมอิเล็กทรอนิกส์อย่างกว้างขวางในทุกอุตสาหกรรมทั้งภาครัฐและ เอกชน เห็นได้จากการที่รัฐบาลได้กำหนดกรอบนโยบายเทคโนโลยีสารสนเทศของประเทศไทย พ.ศ. 2544-2553 ที่ครอบคลุมยุทธศาสตร์สำคัญ 5 ด้าน ได้แก่การบริหารงานของรัฐบาล (e-Government) การศึกษา (e-Education) พาณิชยกรรม (e-Commerce) อุตสาหกรรม (e-Industry) และสังคม (e-Society) ซึ่งได้นำเอาเทคโนโลยีมาใช้ในสนับสนุนการใช้ในการดำเนินธุรกิจและให้บริการ และนั่นหมายถึงการต่อเชื่อมประเทศไทยให้เข้าสู่เวทีโลกอย่างเต็มรูปแบบ เมื่อมีความพร้อมเช่นนี้แล้วการรับมือและระวังภัยในการสร้างความมั่นคง ปลอดภัยและความมั่นใจก็เป็นสิ่งที่สำคัญอย่างยิ่งยวด ภัยในไซเบอร์หรืออาชญากรรมทางคอมพิวเตอร์ก็ยังเป็นที่พบเห็นกันบ่อยๆ เราจึงควรให้ความสำคัญและศึกษาเรียนรู้วิธีการป้องกันเพื่อเตรียมรับมือให้ดี ก่อนที่จะสายเกินไป

เอกสารอ้างอิง
  - http://support.mof.go.th/lan/osi.htm
  - http://www.thaicyberpoint.com/ford/blog/id/194/
  - http://www.thaidept.com/antenna.html
  - http://www.oknation.net/blog/weblog/2009/02/27/entry-4
  - http://dllibrary.spu.ac.th:8080/dspace/bitstream/123456789/1537/11/31 ผกากรอง  บ่ายสว่าง..pdf
  - http://www.siammastershop.com/forums/index.php?topic=11.0
  - http://tsumis.tsu.ac.th/tsukm/UploadFolder\การจัดการความปลอดภัยของวงจรสารสนเทศ.pdf
  - http://www.spu.ac.th/announcement/articles/wireless_lan.htm

Virus, Anti-Virus, Threat and Trend IT In 2010 (วิชา ITM 633)



ไวรัส โปรแกรมแอนตี้ไวรัส ภัยคุกคามและแนวโน้มด้านไอทีปี 2553

บทนำ
     ณ ปัจจุบัน นวัตกรรมด้านเทคโนโลยีต่างก็มีการพัฒนาแบบก้าวกระโดด ไม่ว่าจะเป็น ด้านฮาร์ดแวร์ ซอฟต์แวร์ หรือ ด้านการสื่อสารต่างๆ ทำให้อุปกรณ์เหล่านั้นเป็น Common ไปแล้วกอปรกับมีราคาถูกและช่วยเพิ่มความสะดวกสบายให้แก่ผู้ใช้ในยุคสมัยนี้เป็นอย่างมาก แต่ก็มีเบื้องหลังหรือด้านมืดของเทคโนโลยีเหล่านั้นด้วยเหมือนกัน ซึ่งไม่พ้นพวกภัยคุกคามต่างๆ เช่น ไวรัส, แฮกเกอร์ ฯลฯ ทำให้ผู้ใช้ส่วนใหญ่ได้รับความเดือดร้อน จึงต้องมีระบบรักษาความปลอดภัยที่ดีและมีข่าวสารต่างๆ ที่คอยเตือนให้ผู้ใช้ระมัดระวังภัยคุกคามที่เกิดขึ้นในปัจจุบันและอนาคต และยังคาดว่าภัยคุกคามเหล่านี้ก็จะมีการพัฒนาเรื่อยๆ เหมือนกับเทคโนโลยีต่างๆ ไปอีกนานแค่ไหนนั้นก็ขึ้นอยู่กับผู้ใช้และระบบรักษาความปลอดภัยว่าสิ่งไหนจะเหนือกว่านั่นเอง

ประวัติความเป็นมาของไวรัสคอมพิวเตอร์
     ในปี พ.ศ. 2492 John Von Neumann ได้เขียนทฤษฎีเกี่ยวกับโปรแกรมคอมพิวเตอร์ที่สามารถสร้างตัวเองได้ ชื่อ “Theory and Organization of Complicated Automata” ต่อมาปี พ.ศ.2524 Richard Skrenta ได้พัฒนาไวรัสบนเครื่องไมโครคอมพิวเตอร์ตัวแรก ชื่อ “Elk Cloner” หลังจากนั้นปี พ.ศ.2525 Joe Deliinger พัฒนาไวรัสบนเครื่อง Apple II ชื่อ Apple และได้พัฒนาโปรแกรมกำจัดไวรัสชนิดนี้ไว้ด้วย ในปี พ.ศ.2526 ดร.เฟรดเดอริก โคเฮน นักวิจัยของมหาวิทยาลัยเพนซิลวาเนีย สหรัฐอเมริกา ได้ทำการศึกษาโปรแกรมที่สามารถสำเนาตัวเองและเสนอทฤษฎีชื่อ “Computer Virus”-Theory and Experiments” รวมถึงคำนิยามความหมายของคำว่าไวรัสคอมพิวเตอร์ แต่ไวรัสที่แพร่ระบาดและสร้างความเสียหายให้กับเครื่องคอมพิวเตอร์ตามที่มีการบันทึกไว้ครั้งแรกเมื่อปี พ.ศ. 2529 ด้วยผลงานของไวรัสที่ชื่อ "เบรน (Brain)" ซึ่งเขียนขึ้นโดยโปรแกรมเมอร์สองพี่น้องชาวปากีสถาน ชื่อ อัมจาด (Amjad) และ เบซิท (Basit) เพื่อป้องกันการคัดลอกทำสำเนาโปรแกรมของพวกเขาโดยไม่จ่ายเงิน
     ไวรัสคอมพิวเตอร์ในยุคแรกๆ จะระบาดโดยการสำเนาซอฟท์แวร์เถื่อนหรือซอฟท์แวร์ละเมิดลิขสิทธิ์ที่มีโปรแกรมไวรัสคอมพิวเตอร์ติดอยู่ ด้วยการใช้แผ่น FLOPPY DISK หรือซีดีรอม แต่ในปัจจุบันเนื่องจากการเติบโตของเครือข่ายคอมพิวเตอร์ทำให้ไวรัสยุคหลังๆ มีความสามารถในการทำสำเนาคัดลอกและแพร่กระจายตัวเองได้มากขึ้น รวมทั้งมีความรุนแรงมากกว่าเดิมในปัจจุบันนี้พบว่ามีมากกว่า 40,000 ชนิด และยังเกิดเพิ่มขึ้นอีกอยู่ทุกๆ วัน อย่างน้อยวันละ 4-6 ตัว

ไวรัสคอมพิวเตอร์คืออะไร
     ไวรัสคอมพิวเตอร์ คือโปรแกรมชนิดหนึ่งที่มีความสามารถในการสำเนาตัวเองเข้าไปติดอยู่ในระบบคอมพิวเตอร์ได้และถ้ามีโอกาสก็สามารถแทรกเข้าไประบาดในระบบคอมพิวเตอร์อื่น ๆ ซึ่งอาจเกิดจากการนำเอาดิสก์ที่ติดไวรัสจากเครื่องหนึ่งไปใช้อีกเครื่องหนึ่ง หรืออาจผ่านระบบเครือข่ายหรือระบบสื่อสารข้อมูลไวรัสก็อาจแพร่ระบาดได้เช่นกัน
     การที่คอมพิวเตอร์ใดติดไวรัส หมายถึงว่าไวรัสได้เข้าไปผังตัวอยู่ในหน่วยความจำคอมพิวเตอร์ เรียบร้อยแล้ว เนื่องจากไวรัสก็เป็นแค่โปรแกรมๆ หนึ่งการที่ไวรัสจะเข้าไปอยู่ในหน่วยความจำได้นั้นจะต้องมีการถูกเรียกให้ทำงานได้นั้นยังขึ้นอยู่กับประเภทของไวรัสแต่ละตัวปกติผู้ใช้มักจะไม่รู้ตัวว่าได้ทำการปลุกคอมพิวเตอร์ไวรัสขึ้นมาทำงานแล้ว
     จุดประสงค์ของการทำงานของไวรัสแต่ละตัวขึ้นอยู่กับตัวผู้เขียนโปรแกรมไวรัสนั้น เช่น อาจสร้างไวรัสให้ไปทำลายโปรแกรมหรือข้อมูลอื่นๆ ที่อยู่ในเครื่องคอมพิวเตอร์ หรือแสดงข้อความวิ่งไปมาบน หน้าจอ เป็นต้น
     ชื่อของไวรัสที่เห็นทั่วไปนั้นมีความหมายว่าอย่างไร ทำไมบริษัทที่พัฒนาโปรแกรมป้องกันไวรัสจึงตั้งชื่อแตกต่างกันไป ทั้งๆ ที่ไวรัสที่ค้นพบนั้นเป็นตัวเดียวกัน อย่างไรก็ตามแม้ว่าชื่อจะเขียนไม่เหมือนกันทุกตัวอักษร แต่ความหมายที่แปลได้จากชื่อนั้นเหมือนกัน ตัวอย่างเช่น W32.Klez.h@mm W32/Klez.h@MM WORM_KLEZ.H I-Worm.Klez.h เป็นต้น บทความนี้จะอธิบายถึงส่วนต่างๆ ของชื่อไวรัส เพื่อทำให้ผู้อ่านสามารถจำแนกแยกแยะประเภทของไวรัสจากชื่อของไวรัส ความสามารถเด่นๆ ตลอดจนวิธีการแพร่กระจายตัวของไวรัสได้

ส่วนประกอบของชื่อไวรัสนั้นแบ่งได้เป็นส่วนๆ ดังนี้



     1. ส่วนแรกแสดงชื่อตระกูลของไวรัส (Family_Names) ส่วนใหญ่จะตั้งตามชนิดของปัญหาที่ไวรัสก่อขึ้น หรือภาษาที่ใช้ในการพัฒนา เช่น เป็นม้าโทรจัน ถูกพัฒนาด้วย Visual Basic scripts หรือเป็นไวรัสที่รันบนระบบปฏิบัติการวินโดวส์ 32 บิต เป็นต้น ซึ่งชื่อของตระกูลของไวรัสที่ค้นพบในปัจจุบันดังตาราง


     2. ส่วนชื่อของไวรัส (Group_Name) เป็นชื่อดั้งเดิมที่ผู้เขียนไวรัสเป็นคนตั้ง โดยปกติจะถูกแทรกไว้อยู่ในโค้ดของไวรัส และในส่วนนี้เองจะเอามาเรียกชื่อไวรัสเปรียบเสมือนเรียกชื่อเล่น ตัวอย่างเช่น ชื่อของไวรัสคือ W32.Klez.h@mm และจะถูกเรียกว่า Klez.h เพื่อให้สั้นและกระชับขึ้น 
     3. ส่วนของ Variant รายละเอียดส่วนนี้จะบอกว่าสายพันธุ์ของไวรัสชนิดนั้นๆ มีการปรับปรุงสายพันธุ์จนมีความสามารถต่างจากสายพันธุ์เดิมที่มีอยู่ variant มี 2 ลักษณะคือ
     - Major_Variants จะตามหลังส่วนชื่อของไวรัส เพื่อบ่งบอกว่ามีความแตกต่างกันอย่างชัดเจน เช่นหนอนชื่อ VBS.LoveLetter.A (A เป็น Major_Variant) แตกต่างจาก VBS.LoveLetterอย่างชัดเจน 
     - Minor_Variants ใช้บ่งบอกในกรณีที่แตกต่างกันนิดหน่อย ในบางครั้ง Minor_Variant เป็นตัวเลขที่บอกขนาดไฟล์ของไวรัส ตัวอย่างเช่น W32.Funlove.4099 หนอนชนิดนี้มีขนาด 4099 KB. 
     4. ส่วนท้าย (Tail) เป็นส่วนที่จะบอกว่าวิธีการแพร่กระจาย ประกอบด้วย 
     - @M หรือ @m บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น "mailer" ที่จะส่งตัวเองผ่านทางอี-เมล์เมื่อผู้ใช้ส่งอี-เมล์เท่านั้น 
     - @MM หรือ @mm บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น "mass-mailer" ที่จะส่งตัวเองผ่านทุกอีเมล์แอดเดรสที่อยู่ในเมล์บอกซ์ 
     ตัวอย่าง W32.HILLW.Lovgate.C@mm แสดงว่า
     - อยู่ในตระกูลที่มีผลกระทบต่อระบบปฏิบัติการวินโดวส์ 32 บิต และถูกคอมไพล์ด้วยภาษาระดับสูง 
     - ชื่อของไวรัสคือ Lovgate 
     - ที่มี variant คือ C 
     - มีความสามารถในการแพร่กระจายผ่านทางอี-เมล์โดยส่งไปยังทุกอี-เมล์แอดเดรสที่อยู่ในเมล์บอกซ์ 
     จากส่วนประกอบของชื่อไวรัสที่ได้อธิบายไว้ข้างต้น จะเห็นได้ว่าชื่อของไวรัสนั้นสามารถบอกถึงประเภทของไวรัส ชื่อดั้งเดิมของไวรัสที่ผู้เขียนไวรัสเป็นคนตั้ง สายพันธุ์ต่างๆ ของไวรัสที่ถูกพัฒนาต่อไป และวิธีการแพร่กระจายตัวของไวรัสเองด้วย

ประเภทของไวรัส
     - Boot Sector Viruses หรือ Boot Infector Viruses คือไวรัสที่เก็บตัวเองอยู่ในบูตเซกเตอร์ของดิสก์ การใช้งานของบูตเซกเตอร์คือ เมื่อเครื่องคอมพิวเตอร์เริ่มทำงานขึ้นมาตอนแรก เครื่องจะเข้าไปอ่านบูตเซกเตอร์ โดยในบูตเซกเตอร์จะมีโปรแกรมเล็กๆ ไว้ใช้ในการเรียกระบบปฎิบัติการขึ้นมาทำงานอีกทีหนึ่ง บูตเซกเตอร์ไวรัสจะเข้าไปแทนที่โปรแกรมดังกล่าว และไวรัสประเภทนี้ถ้าไปติดอยู่ในฮาร์ดดิสก์ โดยทั่วไปจะเข้าไปอยู่บริเวณที่เรียกว่า Master Boot Sector หรือ Parition Table ของฮาร์ดดิสก์นั้น
     ถ้าบูตเซกเตอร์ของดิสก์ใดมีไวรัสประเภทนี้ติดอยู่ทุกๆ ครั้งที่บูตเครื่องขึ้นมาโดย พยายามเรียกดอสจากดิสก์นี้ ตัวโปรแกรมไวรัสจะทำงานก่อนและจะเข้าไปฝังตัวอยู่ในหน่วยความจำเพื่อเตรียมพร้อมที่ จะทำงานตามที่ได้ถูกโปรแกรมมา แล้วตัวไวรัสจึงค่อยไปเรียกดอสให้ขึ้นมาทำงานต่อไป ทำให้เหมือนไม่มีอะไรเกิดขึ้น
     - Program Viruses หรือ File Intector Viruses เป็นไวรัสอีกประเภทหนึ่งที่จะติดอยู่กับโปรแกรม ซึ่งปกติก็คือ ไฟล์ที่มีนามสกุลเป็น COM หรือ EXE และบางไวรัสสามารถเข้าไปติดอยู่ในโปรแกรมที่มีนามสกุลเป็น sys และโปรแกรมประเภท Overlay Programsได้ด้วย โปรแกรมโอเวอร์เลย์ปกติจะเป็นไฟล์ที่มีนามสกุลที่ขึ้นต้นด้วย OV วิธีการที่ไวรัสใช้เพื่อที่จะ เข้าไปติดโปรแกรมมีอยู่สองวิธี คือ การแทรกตัวเองเข้าไปอยู่ในโปรแกรมผลก็คือหลังจากที่โปรแกรมนั้นติดไวรัสไปแล้ว ขนาดของโปรแกรมจะใหญ่ขึ้น หรืออาจมีการสำเนาตัวเองเข้าไปทับส่วนของโปรแกรมที่มีอยู่เดิมดังนั้นขนาดของโปรแกรมจะไม่เปลี่ยนและยากที่จะซ่อมให้กลับเป็นดังเดิม
     การทำงานของไวรัสโดยทั่วไป คือ เมื่อมีการเรียกโปรแกรมที่ติดไวรัส ส่วนของไวรัสจะทำงานก่อนและจะถือโอกาสนี้ฝังตัวเข้าไปอยู่ในหน่วยความจำทันทีแล้วจึงค่อยให้โปรแกรมนั้นทำงานตามปกติต่อไป เมื่อไวรัสเข้าไปฝังตัวอยู่ในหน่วยความจำแล้ว หลังจากนี้ไปถ้ามีการเรียกโปรแกรมอื่นๆ ขึ้นมาทำงานต่อ ตัวไวรัสก็จะสำเนาตัวเองเข้าไปในโปรแกรมเหล่านี้ทันทีเป็นการแพร่ระบาดต่อไป
     วิธีการแพร่ระบาดของโปรแกรมไวรัสอีกแบบหนึ่งคือ เมื่อมีการเรียกโปรแกรมที่มีไวรัสติดอยู่ ตัวไวรัสจะเข้าไปหาโปรแกรมอื่นๆ ที่อยู่ในดิสก์เพื่อทำสำเนาตัวเองลงไปทันทีแล้วจึงค่อยให้โปรแกรมที่ถูกเรียกนั้นทำงานตามปกติต่อไป
     - ม้าโทรจัน (Trojan Horse) เป็นโปรแกรมที่ถูกเขียนขึ้นมาให้ทำตัวเหมือนว่าเป็นโปรแกรมธรรมดาทั่วๆ ไป เพื่อหลอกล่อผู้ใช้ให้ทำการเรียกขึ้นมาทำงาน แต่เมื่อถูกเรียกขึ้นมาแล้วก็จะเริ่มทำลายตามที่โปรแกรมมาทันที ม้าโทรจันบางตัวถูกเขียนขึ้นมาใหม่ทั้งชุด โดยคนเขียนจะทำการตั้งชื่อโปรแกรมพร้อมชื่อรุ่นและคำอธิบายการใช้งานที่ดูสมจริงเพื่อหลอกให้คนที่จะเรียกใช้ตายใจ
     จุดประสงค์ของคนเขียนม้าโทรจันอาจจะเช่นเดียวกับคนเขียนไวรัส คือ เข้าไปทำ อันตรายต่อข้อมูลที่มีอยู่ในเครื่อง หรืออาจมีจุดประสงค์เพื่อที่จะล้วงเอาความลับของระบบคอมพิวเตอร์
     ม้าโทรจันนี้อาจจะถือว่าไม่ใช่ไวรัส เพราะเป็นโปรแกรมที่ถูกเขียนขึ้นมาโดดๆ และจะไม่มีการเข้าไปติดในโปรแกรมอื่นเพื่อสำเนาตัวเอง แต่จะใช้ความรู้เท่าไม่ถึงการณ์ของผู้ใช้เป็นตัวแพร่ระบาดซอฟต์แวร์ที่มีม้าโทรจันอยู่ในนั้นและนับว่าเป็นหนึ่งในประเภทของโปรแกรมที่มีความอันตรายสูง เพราะยากที่จะตรวจสอบและสร้างขึ้นมาได้ง่ายซึ่งอาจใช้แค่แบตซ์ไฟล์ก็สามารถสร้างโปรแกรมประเภทม้าโทรจันได้
     - Polymorphic Viruses เป็นชื่อที่ใช้ในการเรียกไวรัสที่มีความสามารถในการแปรเปลี่ยนตัวเอง ได้เมื่อมีสร้างสำเนาตัวเองเกิดขึ้น ซึ่งอาจสร้างได้ถึงหลายร้อยรูปแบบ ผลก็คือ ทำให้ไวรัสเหล่านี้ยากต่อการถูกตรวจจับ โดยโปรแกรมตรวจหาไวรัสที่ใช้วิธีการสแกนอย่างเดียว ไวรัสใหม่ๆ ในปัจจุบันที่มีความสามารถนี้เริ่มมีจำนวนเพิ่มมากขึ้นเรื่อย ๆ
     - Stealth Viruses เป็นชื่อเรียกไวรัสที่มีความสามารถในการพรางตัวต่อการตรวจจับได้ เช่น ไฟล์อินเฟกเตอร์ ไวรัสประเภทที่ไปติดโปรแกรมใดแล้วจะทำให้ขนาดของโปรแกรมนั้นใหญ่ขึ้น ถ้าโปรแกรมไวรัสนั้นเป็นแบบสทีลต์ไวรัส จะไม่สามารถตรวจดูขนาดที่แท้จริงของโปรแกรมที่เพิ่มขึ้นได้ เนื่องจากตัวไวรัสจะเข้าไปควบคุมดอส เมื่อมีการใช้คำสั่ง DIR หรือโปรแกรมใดก็ตามเพื่อตรวจดูขนาดของโปรแกรม ดอสก็จะแสดงขนาดเหมือนเดิม ทุกอย่างราวกับว่าไม่มีอะไรเกิดขึ้น
     - หนอน (Worm) เป็นรูปแบบหนึ่งของไวรัส มีความสามารถในการทำลายระบบในเครื่องคอมพิวเตอร์สูงที่สุดในบรรดาไวรัสทั้งหมด สามารถกระจายตัวได้รวดเร็วผ่านทางระบบอินเทอร์เน็ต ซึ่งสาเหตุที่เรียกว่าหนอนนั้นคงจะเป็นลักษณะของการกระจายและทำลายที่คล้ายกับหนอนกินผลไม้ที่สามารถกระจายตัวได้มากมาย รวดเร็ว และเมื่อยิ่งเพิ่มจำนวนมากขึ้นระดับการทำลายล้างยิ่งสูงขึ้น
     - Macro viruses จะติดต่อกับไฟล์ซึ่งใช้เป็นต้นแบบ (template) ในการสร้างเอกสาร (documents หรือ spreadsheet) หลังจากที่ต้นแบบในการใช้สร้างเอกสารติดไวรัสแล้ว ทุกๆ เอกสารที่เปิดขึ้นใช้ด้วยต้นแบบอันนั้นจะเกิดความเสียหายขึ้น

ลักษณะการทำงานของไวรัส
     ตั้งแต่ยุคเริ่มต้นของไวรัสเป็นต้นมานั้น วิวัฒนาการของไวรัสก็ก้าวไปอย่างรวดเร็วเช่นเดียวกับวิวัฒนาการของคอมพิวเตอร์ ทั้งนี้ก็เพราะทรัพยากรของคอมพิวเตอร์ที่เปลี่ยนไปทำให้ไวรัสต้องเปลี่ยนแปลงตัวเองตามไปด้วย
     - Variant คือไวรัสที่ถูกสร้างขึ้นมาโดยการนำไวรัสตัวเก่ามาเปลี่ยนแปลงแก้ไขการทำงานเพียงบางส่วน การแก้ไขที่ว่านั้นเป็นการแก้ไขเพียงเล็กน้อยแต่ว่าวิธีการทำงานหลัก ๆ นั้นก็ยังคงเหมือนเดิมอยู่
     - Overwriting คือไวรัสที่จะแก้ไขข้อมูลบางส่วนของไฟล์ที่มันจะไปเกาะโดยการเขียนตัวเองลงไปทับบางส่วนของไฟล์ทำให้การทำงานของโปรแกรมนั้นผิดแปลกจากที่สมควรจะเป็น ดังนั้นไวรัสส่วนใหญ่จึงมักจะเพิ่มตัวเองเข้าไปในไฟล์มากกว่าทีจะเขียนตัวเองลงไปทับบางส่วนของไฟล์ เพื่อให้การทำงานยังคงทำได้เหมือนเดิมเราเรียกพวกนี้ว่า Non-Overwriting
     - Self-Recognition การทำงานของไวรัสบางส่วนจะมีการตรวจสอบไฟล์ที่จะเข้าไปติดว่าเคยมีการติดไวรัสอยู่ก่อนหรือเปล่า เพื่อที่จะหลีกเลี่ยงการติดไวรัสซ้ำซ้อน เพราะการที่ไฟล์ที่ติดไวรัสอยู่แล้วมีไวรัสตัวเดิมติดเข้าไปอีกทำให้ขนาดของไฟล์มีขนาดใหญ่ขึ้นเรื่อยๆ และทำให้การตรวจพบของโปรแกรมแอนตี้ไวรัสนั้นทำงานง่ายขึ้น
     - Resident คือไวรัสที่ฝังตัวและพยายามทำตัวเป็นส่วนหนึ่งของระบบปฏิบัติการ ทำให้เมื่อเปิดเครื่องขึ้นใช้งานไวรัสเองก็จะทำงานพร้อมๆ กับระบบปฏิบัติการและฝังตัวอยู่ในหน่วยความจำและพร้อมที่จะแพร่กระจายไปยังโปรแกรมหรือไฟล์อื่นๆ ที่เข้ามาทำงานเกี่ยวข้องเครื่องๆ นี้
     - Stealth เป็นไวรัสประเภท Resident อีกประเภทหนึ่งที่พยายามหลบซ่อนตัวเองจากการตรวจจับของโปรแกรมแอนตี้ไวรัส โดยการปิดบังร่องร่อยต่างๆ ก่อนที่จะโดนตรวจ ซึ่งการดักจับการทำงานของระบบปฏิบัติการนั้นทำเพื่อให้รู้ว่าตอนนี้ระบบปฏิบัติการกำลังจะทำอะไร เช่น ไวรัสรู้ว่าจะมีการอ่านไฟล์ได้ ไวรัสก็ลบส่วนที่เป็นไวรัสออกจากไฟล์ก่อนที่โปรแกรมแอนตี้ไวรัสจะเข้าไปตรวจสอบ ทำให้ไม่สามารถตรวจสอบเจอ
     - Encrypted ไวรัสประเภทนี้จะประกอบไปด้วย 2 ส่วนด้วยกันคือส่วน Decrypt เล็กๆ และส่วน Encrypt ที่เป็นตัวเนื้อของไวรัสทั้งหมด โดยก่อนที่จะทำงานส่วนที่ Decrypt นั้นจะถอดรหัสส่วนที่ Encrypt ออกมาก่อนทำให้ไวรัสนั้นสามารถทำงานและฝังตัวอยู่ในระบบได้
     - Polymorphic จะเป็นการก๊อปปี้ตัวเองของไวรัส ซึ่งโดยปกติแล้วส่วนต่าง ๆ ที่สำคัญในการทำงานของไวรัสนั้นจะถูกก๊อปปี้ตัวเองไปด้วยเสมอ สิ่งที่ต่างไปคือ ไวรัสประเภทนี้สามารถก๊อปปี้ตัวเองแล้วทำให้ขนาดของไวรัสนั้นไม่เท่ากันได้ ไม่ว่าจะโดยการสุ่มเพิ่มข้อมูลต่างๆ เข้าไปในตัวเองหรือด้วยวิธีการใดๆ ก็ตาม แต่นั่นก็ทำให้การทำงานของโปรแกรมแอนตี้ไวรัสนั้นทำงานยากขึ้น

อาการของเครื่องที่ติดไวรัส
     สามารถสังเกตุการทำงานของเครื่องคอมพิวเตอร์ถ้ามีอาการดังต่อไปนี้อาจเป็นไปได้ว่าได้มีไวรัสเข้าไปติดอยู่ในเครื่องแล้วอาการที่ว่านั้นได้แก่
     - ใช้เวลานานผิดปกติในการเรียกโปรแกรมขึ้นมาทำงาน
     - ขนาดของโปรแกรมใหญ่ขึ้น
     - วันเวลาของโปรแกรมเปลี่ยนไป
     - ข้อความที่ปกติไม่ค่อยได้เห็นกลับถูกแสดงขึ้นมาบ่อย ๆ
     - เกิดอักษรหรือข้อความประหลาดบนหน้าจอ
     - เครื่องส่งเสียงออกทางลำโพงโดยไม่ได้เกิดจากโปรแกรมที่ใช้อยู่
     - แป้นพิมพ์ทำงานผิดปกติหรือไม่ทำงานเลย
     - ขนาดของหน่วยความจำที่เหลือลดน้อยกว่าปกติ โดยหาเหตุผลไม่ได้
     - ไฟล์แสดงสถานะการทำงานของดิสก์ติดค้างนานกว่าที่เคยเป็น
     - ไฟล์ข้อมูลหรือโปรแกรมที่เคยใช้อยู่ๆ ก็หายไป
     - เครื่องทำงานช้าลง
     - เครื่องบูตตัวเองโดยไม่ได้สั่ง
     - ระบบหยุดทำงานโดยไม่ทราบสาเหตุ
     - เซกเตอร์ที่เสียมีจำนวนเพิ่มขึ้นโดยมีการรายงานว่าจำนวนเซกเตอร์ที่เสียมีจำนวนเพิ่มขึ้นกว่าแต่ก่อนโดยที่ยังไม่ได้ใช้โปรแกรมใดเข้าไปตรวจหาเลย

คำแนะนำและการป้องกันไวรัส
     - สำรองไฟล์ข้อมูลที่สำคัญ
     - ป้องกันการเขียนให้กับฟลอปปีดิสก์
     - อย่าเรียกโปรแกรมที่ติดมากับดิสก์อื่น, Removable Drive
     - เสาะหาโปรแกรมตรวจหาไวรัสที่ใหม่และมากกว่าหนึ่งโปรแกรมจากคนละบริษัท
     - เรียกใช้โปรแกรมตรวจหาไวรัสเป็นช่วง ๆ
     - เรียกใช้โปรแกรมตรวจจับไวรัสแบบเฝ้าดูทุกครั้ง
     - เลือกคัดลอกซอฟแวร์เฉพาะที่ถูกตรวจสอบแล้วในบีบีเอส
     - สำรองข้อมูลที่สำคัญของฮาร์ดดิสก์ไปเก็บในฟลอปปีดิสก์, Removable Drive
     - เมื่อเครื่องติดไวรัสให้พยายามหาที่มาของไวรัสนั้น

คำแนะนำเมื่อเครื่องคอมพิวเตอร์ติดไวรัส
     เมื่อแน่ใจว่าเครื่องติดไวรัสแล้วให้ทำการแก้ไขด้วยความใคร่ครวญและระมัดระวังอย่างมาก เพราะบางครั้งตัวคนแก้เองจะเป็นตัวทำลายมากกว่าตัวไวรัสจริงๆ เสียอีก  การฟอร์แมตฮาร์ดดิสก์ใหม่อีกครั้งก็ไม่ใช่ วิธีที่ดีที่สุดเสมอไปยิ่งแย่ไปกว่านั้นถ้าทำไปโดยยังไม่ได้มีการสำรองข้อมูลขึ้นมาก่อน การแก้ไขนั้นถ้าผู้ใช้มีความรู้เกี่ยวกับไวรัสที่กำลังติดอยู่ว่าเป็นประเภทใดก็จะช่วยได้อย่างมาก
     คำแนะนำเมื่อเครื่องติดไวรัส ควรปฏิบัติดังนี้
     1. สังเกตความเปลี่ยนแปลงของเครื่องและนำข้อมูลดังกล่าว ค้นหาข้อมูลกับ search engine เพื่อระบุว่าเป็นไวรัสประเภทใด เพื่อที่จะหาโปรแกรมสำหรับกำจัดไวรัสโดยเฉพาะของแต่ละชนิด
     2.  หากเป็นติดไวรัสหลายตัว หรือร้ายแรง ก็ให้นำแผ่น Windows PE ซึ่งแผ่นประเภทนี้จะเป็นการเรียกใช้งานวินโดว์จากแผ่นเลย เรียกใช้โปรแกรมแอนตี้ไวรัสจากแผ่นเพื่อตรวจหาไวรัส
     3. ควรเรียกโปรแกรมแอนตี้ไวรัสจากหลายๆ ผู้ผลิตมาสแกน หากสแกนแล้วไม่พบควรต้องติดตั้งระบบปฏิบัติการใหม่ โดยการฟอร์แมตฮาร์ดดิสก์ให้ทำการสำรองข้อมูลที่จำเป็นก่อนฟอร์แมตฮาร์ดดิสก์

วิธีการเรียกโปรแกรมจัดการไวรัสขึ้นมาตรวจหาและทำลาย
     ให้เรียกโปรแกรมตรวจจับไวรัส เพื่อตรวจสอบดูว่ามีโปรแกรมใดบ้างติดไวรัส ถ้าโปรแกรมตรวจ หาไวรัสที่ใช้อยู่สามารถกำจัดไวรัสตัวที่พบได้ ก็ให้ลองทำดู แต่ก่อนหน้านี้ให้ทำการคัดลอกเพื่อสำรองโปรแกรมที่ติดไวรัสไปเสียก่อน โดยโปรแกรมจัดการไวรัสบางโปรแกรมสามารถสั่งให้ทำสำรองโปรแกรมที่ติดไวรัสไปเป็นอีกชื่อหนึ่งก่อนที่จะกำจัดไวรัส การทำสำรองก็เพราะว่า เมื่อไวรัสถูกกำจัดออกจากโปรแกรมไป โปรแกรมนั้นอาจไม่สามารถทำงานได้ตามปกติ หรือทำงานไม่ได้เลยก็เป็นไปได้ วิธีการตรวจขั้นต้นคือ ให้ลองเปรียบเทียบขนาดของโปรแกรมหลังจากที่ถูกกำจัดไวรัสไปแล้วกับขนาดเดิม ถ้ามีขนาดน้อยกว่า แสดงว่าไม่สำเร็จ หากเป็นเช่นนั้นให้เอาโปรแกรมที่ติดไวรัสที่สำรองไว้ แล้วหาโปรแกรมจัดการไวรัสตัวอื่นมาใช้แทน แต่ถ้ามีขนาดมากกว่าหรือเท่ากับของเดิม เป็นไปได้ว่าการกำจัดไวรัสอาจสำเร็จ โดยอาจลองเรียกโปรแกรมตรวจหาไวรัสเพื่อทดสอบโปรแกรมอีกครั้ง
     หากผลการตรวจสอบออกมาว่าปลอดเชื้อ ก็ให้ลองเรียกโปรแกรมที่ถูกกำจัดไวรัสไปนั้นขึ้นมาทดสอบการทำงานดูอย่างละเอียดว่าเป็นปกติดีอยู่หรือไม่อีกครั้ง ในช่วงดังกล่าวควรเก็บโปรแกรมนี้ที่สำรองไปขณะที่ติดไวรัสอยู่ไว้ เผื่อว่าภายหลังพบว่าโปรแกรมทำงานไม่เป็นไปตามปกติ ก็สามารถลองเรียกโปรแกรมจัดการไวรัสตัวอื่นขึ้นมากำจัดต่อไปได้ในภายหลัง แต่ถ้าแน่ใจว่าโปรแกรมทำงานเป็นปกติดีก็ทำการลบโปรแกรมสำรองที่ยังติดไวรัสติดอยู่ทิ้งไปทันที เป็นการป้องกันไม่ให้มีการเรียกขึ้นมาใช้งานภายหลังเพราะความบังเอิญได้

โปรแกรมแอนตี้ไวรัส
     โปรแกรมเหล่านี้เปรียบเสมือนยาสามัญประจำบ้านที่เราจำเป็นต้องมีติดไว้เพื่อใช้รักษาโรค  ซึ่งโรคเหล่านั้นก็เปรียบได้กับ virus ประเภทต่างๆ และหากมีโรคชนิดใหม่เกิดขึ้นเราก็จำเป็นจะต้องหายามาเตรียมพร้อมไว้ซึ่งก็คือการอัพเดตโปรแกรมแอนตี้ไวรัสให้รู้จักไวรัสและวิธีการกำจัดไวรัส
     หน้าที่หลักของโปรแกรม Antivirus คือ
     - ป้องกันเครื่องคอมพิวเตอร์จาก virus ที่บุกรุกเข้ามา
    - ตรวจสอบภายในเครื่องว่ามี virus หรือไม่
     - กำจัด virus ที่ตรวจพบ
     ขั้นตอนสำคัญคือการระบุว่าข้อมูลเหล่านั้นคือ virus หรือไม่นั้นมีเทคนิคที่ถูกพัฒนาขึ้นเพื่อใช้ในการตรวจสอบมากมาย สามารถแบ่งเป็นวิธีหลัก ๆ ได้ 4 วิธีดังนี้
     1. การตรวจหา (Scanning)
     เป็นการใช้ตัวตรวจหา(Scanner) เข้าไปค้นหาไฟล์ที่ถูกสงสัยว่ามี virus แฝงตัวอยู่ในหน่วยความจำ ส่วนเริ่มต้นในการบูต (Boot sector) และไฟล์ที่ถูกเก็บอยู่ในฮาร์ดดิสก์ โดยใช้หลักการ Checksum
มีหลักการทำงานดังนี้
     ทุกไฟล์จะมีส่วนที่เก็บข้อมูลจุดเริ่มต้นและจุดสิ้นสุดของไฟล์ว่าอยู่ที่ตำแหน่งใด ตามด้วยข้อมูลของไฟล์ และปิดท้ายด้วยค่า Checksum ตัวตรวจหาจะคำนวณหาค่า Checksum ของแต่ละไฟล์แล้วนำไปทำการเปรียบเทียบกับค่า Checksum ของไฟล์นั้นๆ หากไฟล์ใดถูก virus แฝงตัวก็จะทำให้ค่า Checksum ที่ได้จากการคำนวณของโปรแกรม antivirus มีค่าไม่เท่ากับ Checksum ของไฟล์ดังกล่าว โปรแกรม Anti virus ทั่วๆ ไป จะมีวิธีการตรวจหา 2 ชนิดคือ
     - การตรวจหาชนิด On - access เป็นวิธีการตรวจหาไฟล์ก่อนที่จะถูกโหลดเข้าหน่วยความจำ เพื่อทำการ execute
     - การตรวจหาชนิด On - demand เป็นวิธีการตรวจหาในหน่วยความจำหลัก ส่วนเริ่มต้นในการบูต และฮาร์ดดิสก์ผู้ใช้งานยังสามารถเรียกใช้งานวิธีการตรวจหาชนิดนี้ตามความต้องการได้
     ข้อดีของเทคนิคนี้คือ สามารถตรวจพบ virus ก่อนทำการ execute
     2. การตรวจสอบความคงอยู่ (Integrity Checking)
     วิธีคือใช้ตัวตรวจสอบความคงอยู่ (Integrity Checker) ที่เก็บข้อมูลความคงอยู่ (Integrity Information) ของไฟล์สำคัญไว้สำหรับเปรียบเทียบ ตัวอย่างข้อมูลเช่น ขนาดไฟล์ เวลาแก้ไขครั้งล่าสุด และค่า Checksum เป็นต้น ส่วนมากจะใช้ค่าของ Checksum ในการเปรียบเทียบ เมื่อมีไฟล์เปลี่ยนแปลงที่มีสาเหตุจาก virus หรือความผิดพลาดใดๆ จนทำให้ข้อมูลความคงอยู่เปลี่ยนแปลงไป ระบบจะแจ้งให้ผู้ใช้งานทราบถึงความผิดปกติและมีทางเลือกให้ผู้ ใช้สามารถกู้ไฟล์ข้อมูลดังกล่าวคืนได้
     ข้อดีของเทคนิคนี้คือ เป็นเทคนิคเดียวที่ตรวจสอบได้ว่ามี virus ทำลายไฟล์หรือไม่ เกิดความผิดพลาดน้อย ตัวตรวจสอบความคงอยู่ในปัจจุบันมีความสามารถที่จะตรวจจับการทำลายข้อมูลชนิดต่างๆ ได้ เช่นไฟล์ไม่สมบูรณ์ (corruption) และยังสามารถกู้ไฟล์คืนได้
     3. การตรวจจับ virus โดยใช้การวิเคราะห์พฤติกรรม (Heuristic)
     เป็นเทคนิคที่นิยมใช้ในการตรวจจับ virusโดยจะเปรียบเทียบการทำงานของ virus กับกฎ Heuristic (Rules Based System) และชุดกฏ Heuristic ถูกพัฒนาให้สามารถแยกแยะพฤติกรรมการทำงานว่าเป็นการทำงานของ virus หรือไม่ มีการเก็บข้อมูลของ virus ที่รู้จักเพื่อใช้ในการจับคู่แพตเทิร์น และชุดกฎนี้ถูกพัฒนาโดยผู้พัฒนาโปรแกรม Antivirus ยกตัวอย่างวิธีการตรวจจับ virus ชนิดนี้เช่น โปรแกรมAntivirus รู้จักพฤติกรรมการทำงานของ virus ทั่วไป (เช่น การอ่าน/เขียนลงใน Master Boot Record ซึ่งโปรแกรมทั่วๆ ไปจะไม่ทำเช่นนี้) เมื่อโปรแกรมAntivirus ตรวจพบว่ามีการทำงานที่ผิดปกติขึ้นในเครื่อง โปรแกรมAntivirus จะใช้กฎ Heuristic เปรียบเทียบกับลักษณะดังกล่าว เพื่อที่จะระบุว่าเป็นพฤติกรรมการทำงานของ virus ชนิดใด
     ข้อดีของเทคนิคนี้คือ มีความยืดหยุ่นในการตรวจจับ และสามารถรู้จัก virus ชนิดใหม่ๆ ได้เอง
     4. การตรวจจับ virus โดยการดักจับ (Interception)
วิธีนี้เริ่มต้นด้วยการที่โปรแกรมAntivirus จะสร้าง virtual machine ที่มีความอ่อนแอมากไว้ภายในเครื่อง คอยล่อให้โปรแกรมประเภท virusโจมตี และยังมีหน้าที่เฝ้าดูว่ามี virus หรือโปรแกรมใดบ้างที่มีพฤติกรรมผิดปกติน่า สงสัยเข้ามาทำงานใน virtual machine ตัวอย่างเช่น มีโปรแกรมที่ทำการติดตั้งตัวเอง รวมทั้งมีการส่ง request ผิดปกติออกมาเพื่อทำให้เครื่องทำงานผิดพลาด เป็นต้น โปรแกรมที่ผิดปกติหรือน่าสงสัยนี้อาจจะเป็น virus ก็ได้
     ข้อดีของเทคนิคนี้คือ สามารถหยุดการทำงานของโปรแกรม virus ที่พยายามที่จะฝังตัวในหน่วยความจำ
     เทคนิคทั้ง 4 นี้เป็นเทคนิคพื้นฐานที่พัฒนาขึ้นเพื่อใช้ในการตรวจจับ virus โดยโปรแกรมAntivirus ทั่วไป จะอาศัยเทคนิคที่กล่าวมา โดยอาจรวบรวมเอาจุดเด่นของแต่ละเทคนิคมาพัฒนาจนเป็นเทคนิคใหม่ เพื่อใช้กำจัด virus ที่เกิดขึ้นใหม่ในปัจจุบัน


2010 AntiVirus Software Review Product Comparisons

2010 Anti-Spyware Software Review Product Comparisons


ตัวอย่างโปรแกรมแอนตี้ไวรัสและสปายแวร์
Bitdefender Total Security 2010
ลักษณะทั่วไปและคุณสมบัติ
     - มั่นใจในการดาวน์โหลด หรือแชร์ไฟล์จากเพื่อน, ครอบครัว, เพื่อนร่วมงาน รวมถึงการป้องกันไวรัสและเมลแวร์อื่นๆ โดยใช้เทคโนโลยีใหม่ๆจากธุรกิจอุตสาหกรรมชั้นนำ สามารถสแกนเว็บ อีเมล์ และ IM แบบเรียลไทม์ มีการป้องกันภัยคุกคามใหม่จากฐานข้อมูลของโปรแกรมเชิงรุก 2 เทคโนโลยี บล็อกสปายแวร์ที่โจมตีการทำกิจกรรมออนไลน์ของคุณ
     - มีระบบป้องกันร้านค้า ธนาคาร โดยบล็อกหน้าเว็บเพื่อป้องกันการขโมยข้อมูลบัตรเครดิต ป้องกันการรั่วไหลของข้อมูลส่วนตัว อาทิ อีเมล์ เว็บ IM
     - ป้องกันไฟล์และบทสนทนาของคุณ โดยการเข้ารหัสไว้ จากการใช้ yahoo หรือ msn สามารถสำรองไฟล์และโฟลเดอร์อัตโนมัติ
     - ป้องกันการเชื่อมต่อเครือข่ายอย่างปลอดภัยด้วยระบบ Firewall 2 ทิศทาง และยังป้องกันการเชื่อมต่อ wifi เข้าระบบของคุณจากผู้ใช้ที่ไม่ได้รับอนุญาต
     - มี Parental Control ซึ่งใช้บล็อก การเข้าถึง เว็บ หรือ อีเมล์ ที่ไม่เหมาะสม และจำกัดการใช้งานอินเตอร์เน็ต เกม หรือ อื่นๆ ของเด็ก
     - ลบไฟล์และรีจีสทรี ที่ไม่จำเป็นเพื่อเพิ่มประสิทธิภาพของระบบ การสแกนระบบ รวดเร็วและลดการใช้ทรัพยากร สามารถกำจัด spam mail ก่อนที่จะส่งเข้าอีเมล์ของคุณ


ESET Smart Security 4
ลักษณะทั่วไปและคุณสมบัติ
     - เทคโนโลยี ThreatSense ได้รับรางวัลในการตรวจสอบภัยคุกคามและมีประสิทธิภาพในการป้องกันสูงสุด โดยเทคโนโลยีมีความอัจฉริยะในการสร้างความเชี่ยวชาญเพิ่มขึ้นจากการวิเคราะห์ภัยคุกคามที่เกิดขึ้นใหม่ๆ และสามารถตรวจสอบภัยคุกคามพบในขณะที่บางผลิตภัณฑ์ตรวจสอบไม่พบ
     - การสแกนระบบรวดเร็วไม่ส่งผลกระทบต่อการทำงานของคุณ โดยใช้ทรัพยากรเพียง 48 MB ป้องกันระบบโดยใช้ Firewall และคุณสมบัติอื่นๆ
    - ใช้การเข้ารหัสแบบ SSL ซึ่งคล้ายกับ HTTPS หรือ POP3S มีความฉลาดในการสแกนไฟล์ที่บีบอัดข้อมูลเพื่อค้นหาภัยคุกคามต่างๆ มีระบบ Antispam ที่มีขนาดเล็ก ทำงานรวดเร็ว และมีประสิทธิภาพ
     - สามารถสแกนอุปกรณ์ประเภท Removable media drive เมื่อระบบ Detect กับอุปกรณ์นั้นหรือในขณะกำลังเข้าใช้งานอุปกรณ์ดังกล่าว โดยบล็อกไฟล์ autorun.inf ที่มาจากอุปกรณ์เหล่านั้น
     - มี built-in เทคโนโลยีในการป้องกันการใช้งานโปรแกรมที่ไม่น่าเชื่อถือ และมีรหัสผ่านสำหรับการยกเลิกการใช้งานโปรแกรมจากผู้ใช้อื่นๆ
     - เพิ่ม Interface และ แป้นคีย์ลัด ให้ใช้งานสำหรับผู้ที่ปัญหาทางด้านสายตา



Spy Sweeper
จุดเด่น
     - มีระบบป้องกัน Antispam รอบทิศทาง และตรวจสอบระบบตลอดเวลาเพื่อป้องกันการโจมตีจากspyware สามารถกำจัด spyware ได้ในครั้งเดียวโดยไม่ต้อง restart pc
     - มีระบบ Real-Time Protection ใช้ rootkit เทคโนโลยีในการสแกนไฟล์
     - ติดตั้งและใช้งานง่าย หลังจากสแกนเรียบร้อย มีระบบประเมินความเสี่ยงให้เห็นเพื่อให้ผู้ใช้เลือกที่จะลบหรือเก็บไฟล์ดังกล่าวไว้ได้
     - ไม่รบกวนขณะเล่นเกมหรือดูภาพยนตร์ ด้วยระบบ Gamer Mode



สรุปเหตุการณ์ด้านภัยคุกคามในแวดวงไอทีที่เกิดขึ้นในปี 2552 พร้อมคาดการณ์แนวโน้มในปี 2553
     บริษัท โกลบอลเทคโนโลยี อินทิเกรเทด จำกัด
     โกลบอลเทคฯ จึงขอสรุปเหตุการณ์ด้านภัยคุกคามในแวดวงไอทีที่เกิดขึ้นในปี 2552 พร้อมคาดการณ์แนวโน้มในปี 2553 ดังต่อไปนี้ 
     สรุปภัยคุกคามในแวดวงไอทีปี 2552
     1. หนอนคอมพิวเตอร์ (คอนฟิกเกอร์)
     คอนฟิกเกอร์ คือหนอนคอมพิวเตอร์ที่ตั้งเป้าโจมตีระบบปฏิบัติการวินโดวส์ และผู้สร้างสามารถสั่งการได้จากระยะไกล ปัจจุบันหนอนชนิดนี้ควบคุมเครื่องคอมพิวเตอร์กว่าเจ็ดล้านเครื่อง ทั้งภาครัฐ,  เอกชน และเครื่องคอมพิวเตอร์ส่วนตัวในกว่า 200 ประเทศทั่วโลก 
     คอนฟิกเกอร์จะโจมตีช่องโหว่ในส่วนของวินโดวส์เซิร์ฟเวอร์เซอร์วิส (Windows Server service)  (ซึ่งไมโครซอฟต์ได้ออกซอฟต์แวร์แก้ไข (MS08-067) ในเดือนตุลาคม 2552) โดยอาศัยเทคนิคออโต้รันเพื่อการแพร่กระจายผ่านทาง Thumb Drive แบบยูเอสบี เมื่อเข้าถึงคอมพิวเตอร์เครื่องหนึ่งแล้ว มันจะพยายามเข้าถึงเน็ตเวิร์กแชร์ (Network Shares) และพยายามแคร็กรหัสผ่านของแอคเคานต์ในเครื่อง หากแคร็กรหัสผ่านของผู้ดูแลระบบได้ ก็จะใช้เซอร์วิสที่ชื่อ Windows Task Scheduler Service เพื่อแพร่กระจายตัวเองไปยังคอมพิวเตอร์เครื่องอื่นต่อไป
     เนื่องจากคอนฟิกเกอร์จำเป็นต้องใช้ช่องโหว่เฉพาะ (MS08-067) เพื่อการแพร่กระจาย จึงจำเป็นต้องรู้ว่าคอมพิวเตอร์ที่มันโจมตีใช้ภาษาอะไร โดยคอนฟิกเกอร์เวอร์ชั่นก่อนๆ จะมีความสามารถจำกัด ต้องรับข้อมูลทางอินเทอร์เน็ตก่อนจึงจะแปลง IP Address ให้เป็น Physical Address ได้ ทั้งนี้เมื่อโจมตีคอมพิวเตอร์ในอเมริกา หนอนชนิดนี้จะพยายามโจมตีวินโดวส์เวอร์ชั่นภาษาอังกฤษ แต่ถ้า IP Address ที่ถูกโจมตีอยู่ในจีน มันจะพยายามโจมตีวินโดวส์เวอร์ชั่นภาษาจีนแทน การโจมตีวินโดวส์เวอร์ชั่นภาษาอื่นๆ ก็เป็นลักษณะเดียวกัน
     ด้วยความที่หนอนคอมพิวเตอร์ชนิดนี้สร้างด้วยเทคนิคชั้นสูง ทำให้ตรวจจับได้ยากและแพร่กระจายอย่างรวดเร็วสู่เครื่องคอมพิวเตอร์ทั่วโลก ซึ่งส่วนใหญ่ยังใช้ระบบปฏิบัติการวินโดวส์เป็นหลัก จึงเป็นหนอนที่เชื่อกันว่าแพร่เชื้อขยายวงกว้างที่สุดนับแต่ปี พ.ศ. 2546
     2. เครือข่ายสังคม ภัยร้ายใกล้ตัว
     บริการเครือข่ายสังคม หรือ Social Network ที่เปิดโอกาสให้ผู้ใช้งานอินเทอร์เน็ตสร้างบัญชีผู้ใช้ส่วนตัวเพื่อสื่อสารกับบุคคลอื่นในเครือข่าย และสามารถเขียนข้อความ, แช็ต, แบ่งปันรูปภาพ / เพลง / วิดีโอ และสร้างบล็อกส่วนตัวนั้น มีผู้ใช้งานอย่างแพร่หลายมากเป็นจำนวนหลายร้อยล้านแอคเคานต์ จึงตกเป็นเป้าหมายหลักของอาชญากรออนไลน์ที่อาศัยความเชื่อถือระดับสูงในกลุ่มเพื่อน นำไปสู่ภัยคุกคามรูปแบบต่างๆ เช่น
     กรณีเฟซบุ๊ค
     - แอคเคานต์ผู้ใช้งานถูกบุกรุก ซึ่งอาจเกิดการขโมยรหัสผ่านจากฟิชชิงหรือมัลแวร์ แล้วใช้บัญชีนั้นเพื่อขอความช่วยเหลือทางการเงินจากกลุ่มเพื่อนในเครือข่ายของเหยื่อ จนมีผู้หลงเชื่อส่งเงินไปให้
     - ผู้ใช้งานถูกขโมยรหัสผ่านและเปลี่ยนหน้าเว็บโดยมิชอบ
     - ผู้พัฒนาแอพพลิเคชั่นที่มีเจตนามุ่งร้ายใช้เอพีไอ (API) หรือแอพพลิเคชั่นโปรแกรมของเฟซบุ๊ค เพื่อหลอกล่อผู้ใช้ให้ติดตั้งแอพพลิเคชั่นของผู้พัฒนา
     - การเผยแพร่ลิงค์เว็บไซต์มุ่งร้าย เพราะผู้ใช้งานมีแนวโน้มที่จะเชื่อถือและคลิกลิงค์ที่มาจากเพื่อนหรือญาติ มากกว่าไฟล์หรือลิงค์ในอีเมล์จากคนไม่รู้จัก

     กรณีทวิตเตอร์
     - แอคเคานต์ของทวิตเตอร์ถูกใช้เป็นเครื่องมือของบอทเน็ต โดยใช้หน้าทวิตเตอร์ของผู้ใช้รายหนึ่งที่แสดงข้อความที่เข้ารหัสไว้ เพื่อสั่งการให้คอมพิวเตอร์ที่ติดมัลแวร์เข้าไปยังเว็บไซต์อื่นๆ เพื่อรับคำสั่งจากผู้ควบคุมบอทเน็ต เช่น ดาวน์โหลดและเปิดใช้มัลแวร์เพื่อขโมยข้อมูลในระบบของผู้ใช้
     - แอคเคานต์ของทวิตเตอร์ถูกใช้ในการส่งผู้ใช้งานไปยังผลิตภัณฑ์ที่ลวงว่าเป็นซอฟต์แวร์แอนตี้ไวรัส (Rogue Antivirus Products) โดยข้อความทวีตที่ส่งจากแอคเคานต์เหล่านี้ถูกสร้างขึ้นโดยอัตโนมัติ ไม่ว่าจะเลือกจากคำค้นของทวิตเตอร์เอง หรือการ re-tweet ที่ส่งโดยคนจริงๆ ซึ่งลิงค์เหล่านี้จะนำผู้ใช้ไปยังเว็บไซต์ปลอม ที่ใช้วิธีต่างๆ หลอกล่อให้ผู้ใช้งานกลัว และหลงเชื่อ ซื้อผลิตภัณฑ์ที่ไม่จำเป็นต้องใช้
     - หนอนทวิตเตอร์ (Twitter Worm) อาศัยช่องโหว่ชนิด cross-site scripting ที่มักพบในเว็บแอพพลิเคชั่น แล้วส่งข้อความสแปม เช่น "I love www.StalkDaily.com!" ซึ่งสร้างความรำคาญให้ผู้ใช้งานทวิตเตอร์จำนวนมากที่คลิกไปที่ลิงค์นั้น ด้วยหลงเชื่อว่าเป็นข้อความทวีตจากเพื่อนของตน และมีการทวีตข้อความแบบเดียวกันต่อไปอีกหลายทอด การโจมตีเหล่านี้อาศัยจาวาสคริปต์ จึงควรปิดการทำงานของจาวาสคริปต์ หรือจำกัดการทำงานของจาวาสคริปต์ให้ทำงานกับเว็บไซต์ที่น่าเชื่อถือเท่านั้น เพื่อป้องกันภัยจากหนอนอินเทอร์เน็ตในลักษณะนี้ 
     3. การโจมตีการเพิ่มประสิทธิภาพเครื่องมือค้นหา (Search Engine Optimization; SEO)
     การโจมตีรูปแบบนี้ ผู้โจมตีจะส่งหัวข้อยอดนิยมเข้าไปในเว็บค้นหา หรือ Search Engine เช่น ชื่อดาราดังที่ตกเป็นข่าว, ไข้หวัดใหญ่ 2009 เป็นต้น เมื่อมีผู้คลิกเปิดดูเว็บไซต์ ไซต์นั้นกลับกลายเป็นเว็บไซต์มุ่งร้าย ส่งผลให้คอมพิวเตอร์ที่ใช้งานถูกควบคุม หรือนำผู้ใช้ไปยังผลิตภัณฑ์ที่ลวงว่าเป็นซอฟต์แวร์แอนตี้ไวรัส (rogue antivirus products) ด้วยเหตุนี้จึงควรคำนึงถึงชื่อเสียงและความน่าเชื่อถือของเว็บไซต์ที่แสดงผลโดยเว็บค้นหา ก่อนเข้าเยี่ยมชม 
     ผลิตภัณฑ์ประเภท “Rogue Security Product” เป็นมัลแวร์ที่ล่อลวงให้ผู้ใช้งานจ่ายเงินซื้อผลิตภัณฑ์ปลอม ตัวอย่างเช่น “File Fix Professional” ที่ผู้เขียนซอฟต์แวร์นี้ไม่ได้ผลักดันซอฟท์แวร์เอง แต่ทำโดยผู้เป็นเจ้าของบอทเน็ต โดย "File Fix Pro" จะ “เข้ารหัส” ไฟล์บางไฟล์ในโฟลเดอร์ "My Documents" แล้วแสดงข้อความบ่งบอกความผิดพลาดที่ดูสมจริง บอกว่าระบบวินโดวส์แนะนำให้ดาวน์โหลดเครื่องมือพิเศษเพื่อแก้ไขไฟล์ โดยให้ผู้ใช้คลิกดาวน์โหลด "File Fix Pro" เพื่อ “ซ่อม” ไฟล์ดังกล่าว แต่แท้จริงแล้วเป็นเพียงการ “ถอดรหัส” ให้สามารถใช้งานได้ตามปกติ หากผู้ใช้ยอมจ่ายเงินจำนวนหนึ่งสำหรับผลิตภัณฑ์นี้
     วิธีนี้เป็นกลยุทธ์ที่แยบยลในการหลอกผู้ใช้ ซึ่งไม่รู้ว่าไฟล์ของตน “ถูกจับเป็นตัวประกัน” และการซื้อซอฟต์แวร์นี้เป็นเพียงการจ่ายค่าประกันตัวในการกู้คืนไฟล์เท่านั้น ซึ่งผู้ขายซอฟต์แวร์ดังกล่าวไม่ได้ทำสิ่งผิดกฎหมายแต่อย่างใด
     4. แม็ค โอเอส เอ็กซ์ (MAC OS X)
     เดือนมกราคม 2552 ได้มีการเผยแพร่ก็อปปี้ของซอฟต์แวร์ไอเวิร์ค 2009 (iWork 2009) ในเว็บไซต์แชร์ไฟล์ยอดนิยมแห่งหนึ่ง ซึ่งผู้ดาวน์โหลดเวอร์ชั่นฟรีนี้ ได้รับของแถมที่น่าประหลาดใจในซอฟท์แวร์ติดตั้ง คือ Backdoor ชื่อไอเวิร์คเซิร์ฟดอทเอ (iWorkServ.A) โดยกลุ่มผู้เผยแพร่มัลแวร์รายเดียวกันนี้ยังได้เผยแพร่โปรแกรมโฟโต้ชอป เวอร์ชั่นสำหรับ MAC ที่แถม Backdoor ด้วยเช่นกัน
     ซอฟต์แวร์มุ่งร้ายทุกชนิด จะอาศัยการหลอกล่อให้ผู้ใช้ป้อนรหัสผ่าน ซอฟต์แวร์นี้ก็เช่นกัน การติดตั้งซอฟต์แวร์ในแม็ค โอเอส เอ็กซ์ จะบังคับให้ผู้ใช้ใส่รหัสผ่านของผู้ดูแลระบบ เมื่อผู้ใช้ใส่รหัสผ่านเพื่อติดตั้งซอฟต์แวร์ผิดกฏหมายนี้เข้าไปแล้ว นอกจากจะได้ซอฟท์แวร์ที่ทำงานได้จริงแล้ว ยังทำให้ระบบของเขาถูกบุกรุกไปด้วย
     5. การโจมตีแอพพลิเคชั่นเป้าหมาย
     แอพพลิเคชั่นที่ถูกโจมตีมากที่สุด ในปี 2551 นั้น คือไมโครซอฟต์เวิร์ด (.doc) แต่ช่วงปี 2552 ตำแหน่งไฟล์ยอดนิยมที่ถูกโจมตีสูงสุดตกเป็นของ ไฟล์พีดีเอฟ (.pdf) ของค่าย Adobe อันเนื่องจากช่องโหว่ในโปรแกรม Adobe Acrobat และ Adobe Reader
     6. หนอนอินเทอร์เน็ตไอโฟน (iPhone Worm)
     ปี 2552 สมาร์ทโฟนเข้ามามีบทบาทและได้รับความนิยมเพิ่มมากขึ้น มีการใช้งานอินเทอร์เน็ตผ่านสมาร์ทโฟนอย่างกว้างขวาง รวมไปถึงเว็บเครือข่ายสังคม โดยไอโฟนมีส่วนแบ่งตลาดในระดับต้นๆ จึงดึงดูดความสนใจจากผู้เขียนมัลแวร์จำนวนมาก
     ไอโฟนส่วนหนึ่งผ่านการทำเจลเบรก (Jailbreak) ซึ่งเป็นขั้นตอนที่ทำให้ไอโฟนและไอพอด ทัช สามารถใช้คำสั่งที่ไม่เป็นทางการในอุปกรณ์ โดยไม่ต้องผ่านระบบป้องกันของบริษัทแอปเปิล ทำให้ผู้ใช้ไอโฟนสามารถติดตั้งแอพพลิคชั่นต่าง ๆ ที่ละเมิดลิขสิทธิ์ได้ และเครื่องที่ทำเจลเบรกได้กลายเป็นเป้าหมายของมัลแวร์ที่ผู้สร้างต้องการทำเงิน เช่น โจมตีช่องโหว่ในไอโฟนที่ผ่านการทำเจลเบรก, หนอนคอมพิวเตอร์ “ไอคี” (Ikee)  ที่เจาะระบบของผู้ใช้ที่ไม่เปลี่ยนรหัสผ่านของซีเคียวเชลล์ (SSH) ที่กำหนดมาพร้อมกับการติดตั้ง โดยเปลี่ยนภาพวอลล์เปเปอร์ของไอโฟนให้เป็นรูปอื่น
     นอกจากนี้ยังมีหนอนคอมพิวเตอร์ที่เจาะระบบไอโฟน โดยพยายามเปลี่ยนเส้นทางเว็บของผู้ใช้ จากธนาคารแห่งหนึ่งไปยังไซต์ฟิชชิ่ง เมื่อผู้ใช้งานพยายามเข้าถึงบริการธนาคารออนไลน์จากไอโฟน จึงควรที่ผู้ใช้งานสมาร์ทโฟนจะได้หันมาให้ความสนใจกับความปลอดภัยของเครื่องมือสื่อสารของตนให้มากยิ่งขึ้น 
     7. การโจมตีเครือข่ายแบบ DDoS มีแนวโน้มเพิ่มสูงขึ้น 
     การโจมตีเครือข่ายเพื่อให้เครื่องคอมพิวเตอร์ปลายทางหยุดทำงาน ซึ่งมีผู้โจมตีพร้อมกันจำนวนมาก หรือที่เรียกว่า Distributed Denial of Service (DDoS) นั้น เกิดขึ้นมากมายทั่วโลกในปี 2552 ด้วยหลายเหตุปัจจัย และมีแนวโน้มทวีความรุนแรงขึ้น สรุปได้ดังนี้
     - เหตุการณ์ความขัดแย้งในการเลือกตั้งประธานาธิบดีของอิหร่านเมื่อกลางปี 2552 นำไปสู่การประท้วงครั้งใหญ่ และเกิดกระแสการใช้สื่อเครือข่ายสังคม ทั้งทวิตเตอร์, เฟซบุ๊ค, ยูทูบ และไซต์อื่นๆ เพื่อกระจายข้อมูลข่าวสารและหลีกเลี่ยงการตรวจจับของรัฐบาล อีกมุมหนึ่งของเทคโนโลยีคือการโจมตีเครือข่ายแบบ DDoS ซึ่งถูกนำมาใช้โจมตีเครื่องแม่ข่ายของรัฐบาลอิหร่าน รวมทั้งโจมตีแอคเคานต์ ของผู้ใช้งานทวิตเตอร์และเฟซบุ๊คนับล้านคน ซึ่งผู้อยู่เบื้องหลังการโจมตีนี้จะต้องมีแบนด์วิธมหาศาลเพื่อการโจมตีครั้งนี้โดยเฉพาะ
     - การโจมตี DDoS ในวันที่ 31 สิงหาคม 2552 ซึ่งเป็นวันชาติของมาเลเซียโดยเป้าหมายคือเว็บไซต์ในมาเลเซียที่ถูกบุกรุกและเปลี่ยนเนื้อหาไปกว่าร้อยเว็บไซต์ รวมถึงเว็บไซต์ที่เกี่ยวข้องกับสถาบันแห่งชาติ สื่อมวลชน และภาคธุรกิจของมาเลเซีย
     - เว็บไซต์รัฐบาลสหรัฐและเกาหลีใต้ ถูกโจมตีแบบ DDoS จนทำให้เครือข่ายใช้งานไม่ได้เป็นเวลาหลายชั่วโมง
     การโจมตีเครือข่ายแบบ DDoS นี้ มีแนวโน้มเกิดขึ้นได้กับทุกประเทศในโลก โดยเฉพาะอย่างยิ่งเมื่อมีการใช้สมาร์ทโฟน และเว็บไซต์ประเภทเครือข่ายสังคม อย่างแพร่หลาย ซึ่งหากผู้ใช้งานไม่ป้องกันตนเองอย่างเหมาะสมแล้ว ก็อาจตกเป็นเหยื่อของผู้ไม่ประสงค์ดีที่ใช้เราเป็นเครื่องมือโจมตีผู้อื่นได้โดยที่เราไม่รู้ตัว

     แนวโน้มภัยคุกคามข้อมูลสารสนเทศ ปี 2553
     1. แอนตี้ไวรัสไม่เพียงพอสำหรับการป้องกัน
     การกำเนิดขึ้นของมัลแวร์แบบโพลีมอร์ฟิค (polymorphic code) ซึ่งเป็นโค้ดที่สามารถเปลี่ยนรูปแบบได้ทุกครั้งที่มันทำงาน แต่ยังคงรักษาอัลกอรึทึมเดิมไว้ โดยเชลล์โค้ดและหนอนคอมพิวเตอร์ หรือมัลแวร์ชนิดใหม่ๆ จะใช้เทคนิคในการซ่อนตัวตนของมัน ดังนั้นแอนตี้ไวรัสที่ใช้วิธีการเดิมๆ ที่อาศัยการวิเคราะห์มัลแวร์เพียงอย่างเดียวจึงไม่เพียงพอต่อการป้องกันภัยคุกคามอีกต่อไป  จึงต้องอาศัยวิธีการใหม่ๆ ในการตรวจจับมัลแวร์มาใช้ด้วย
     2.โซเชียล เอนจิเนียริ่งเป็นวิธีหลักในการโจมตี  (Social Engineering Attack)
     การโจมตีในลักษณะนี้ ผู้โจมตีจะมุ่งเป้าไปที่ผู้ใช้ปลายทางและพยายามขโมยข้อมูลความลับจากผู้ใช้ หรือหลอกล่อให้ผู้ใช้ดาวน์โหลดมัลแวร์ เช่น ผู้โจมตีส่งอีเมล์ให้บุคคลอื่นโดยหลอกว่าเป็นผู้ดูแลระบบ และถามรหัสผ่านหรือชักจูงให้เหยื่อเปิดไวรัสที่แนบมาพร้อมกับอีเมล์ เป็นต้น ซึ่งเป็นวิธีการที่ได้รับความนิยมมากขึ้น เนื่องจากไม่เกี่ยวข้องกับช่องโหว่ในระบบปฏิบัติการและเว็บบราวเซอร์ของเครื่องคอมพิวเตอร์เหยื่อ แต่มุ่งเป้าไปที่ผู้ใช้งานโดยตรง ด้วยเหตุนี้โซเชียล เอ็นจิเนียริ่ง จึงเป็นวิธีการเบื้องต้นที่แพร่หลายในปัจจุบัน และคาดว่าจะมีเทคนิคการโจมตีที่สลับซับซ้อนยิ่งขึ้นในปี 2553
     3. ผู้ขายซอฟท์แวร์ประเภท "Rogue Security Software" จะเพิ่มความพยายามมากขึ้น
     คาดว่าการแพร่กระจาย Rogue Security Software หรือมัลแวร์ที่พยายามลวงให้ผู้ใช้จ่ายเงินซื้อผลิตภัณฑ์ปลอม จะเพิ่มจำนวนขึ้น โดยการโจมตีคอมพิวเตอร์ของผู้ใช้งาน เพื่อทำให้เครื่องนั้นใช้การไม่ได้ หรือการ “เข้ารหัส” ไฟล์แล้วเรียกเงินค่าไถ่จากเจ้าของเครื่องนั้น ซึ่งผู้ขายซอฟต์แวร์จะเปลี่ยนชื่อซอฟท์แวร์แอนตี้ไวรัสแจกฟรีที่สามารถดาวน์โหลดได้ทั่วไป มาใช้เป็น “สินค้า” เพื่อเสนอขายให้กับผู้ใช้ที่ไม่รู้ข้อเท็จจริง และเข้าใจว่าต้องจ่ายเงินซื้อซอฟต์แวร์ดังกล่าว
     4. การโจมตีผลการค้นหาเสิร์ชเอนจิ้น  (SEO Poisoning attack)
     การโจมตีในลักษณะนี้เกิดขึ้นเมื่อแฮกเกอร์โจมตีผลการค้นหาจากเสิร์ชเอนจิ้น เพื่อส่งลิงค์ของตนให้อยู่สูงกว่าผลการค้นหาทั่วไป เมื่อผู้ใช้ค้นหาคำค้นที่เกี่ยวข้อง ลิงค์ที่มีมัลแวร์จะปรากฏใกล้กับตำแหน่งสูงสุดของผลการค้นหา ทำให้เกิดจำนวนคลิกไปยังเว็บมุ่งร้ายที่มากยิ่งกว่าเดิมหลายเท่า เมื่อมีการรณรงค์ตรวจจับและลบลิงค์ดังกล่าวออกจากผลการค้นหา ผู้โจมตีก็จะเปลี่ยนเส้นทางของบอทเน็ตไปยังคำค้นใหม่ที่เหมาะกับเวลาและสถานการณ์ และอาจก่อให้เกิดปัญหาที่ผู้ใช้บริการไม่ให้ความเชื่อถือในผลการค้นหา ตราบใดที่ผู้ให้บริการยังไม่เปลี่ยนวิธีการบันทึกและแสดงผลลิงค์
     5. โปรแกรมเสริมสำหรับเครือข่ายสังคมจะถูกใช้เพื่อการหลอกลวง
     ด้วยความนิยมของเว็บไซต์เครือข่ายสังคมที่มีการเติบโตอย่างสูง ประกอบกับเว็บไซต์ดังกล่าวยอมให้นักพัฒนาโปรแกรมสามารถเข้าถึงเอพีไอ (API) และพัฒนาแอพพลิเคชั่นเสริมสำหรับผู้ใช้เครือข่ายสังคมได้ ด้วยเหตุนี้จึงมีผู้โจมตีที่พยายามบุกรุกช่องโหว่ในแอพพลิเคชั่นเสริมดังกล่าว จึงคาดว่าจะมีความพยายามในการหลอกลวงผู้ใช้เพิ่มขึ้น เช่นเดียวกับเจ้าของเว็บไซต์ที่พยายามสร้างมาตรการในการแก้ไขภัยคุกคามเหล่านี้เพื่อสร้างความปลอดภัยให้กับผู้ใช้งาน
     6. บริการ Short URL จะกลายเป็นเครื่องมือสำหรับฟิชชิ่ง (Short URL Phishing)
     บริการ Short URL หรือการย่อลิงค์ URL ให้สั้นลง ที่นิยมทำกันเวลาโพสต์ลิงค์ที่อยากเผยแพร่บนเว็บบอร์ดหรือเว็บไซต์ประเภทเครือข่ายสังคมนั้น เนื่องจากผู้ใช้มักไม่ทราบว่าลิงค์ URL ที่ย่อให้สั้นแล้วนั้นจะพาไปที่ไหน ผู้โจมตีฟิชชิ่ง (phishing) จึงสามารถซ่อนลิงค์เพื่อล่อลวงผู้ใช้งานที่ไม่ระแวดระวัง และไม่คิดก่อนคลิกได้ โดย Short URL นี้จะเป็นภัยคุกคามที่ผสมผสานกับหลายเรื่อง ไม่ว่าจะเป็นการค้นหาบน Search Engine, การทำลิงค์บน SEO หรือแม้แต่การสนทนาออนไลน์ผ่านระบบคอมพิวเตอร์หรืออุปกรณ์มือถือ ก็สามารถซ่อนลิงค์ URL มุ่งร้ายไปกับผู้ให้บริการ short URL ได้เช่นกัน
     ด้วยเหตุนี้จึงมีแนวโน้มที่จะนำ Short URL มาใช้ในการแพร่กระจายแอพพลิเคชั่นหลอกลวง เพิ่มมากขึ้น ทั้งยังมีความพยายามหลีกเลี่ยงระบบกลั่นกรองสแปม โดยคาดว่าผู้ส่งสแปมจะใช้บริการย่อลิงค์ให้สั้นเพื่อใช้กระทำการที่มุ่งร้าย ดังนั้น จึงควรใช้บริการ short URL ที่สามารถตรวจสอบภัยคุกคามได้ เช่น SRAN ที่มีบริการตรวจหาฟิชชิ่ง (phishing) และภัยคุกคามจาก URL ต้นฉบับได้ เป็นต้น 
     7. มัลแวร์ในระบบปฏิบัติการแม็คและอุปกรณ์พกพาจะเพิ่มมากขึ้น
     รูปแบบและจำนวนการโจมตีที่ออกแบบมาเพื่อระบบปฏิบัติการหรือแพลตฟอร์มหนึ่งๆ เช่น วินโดวส์, แม็ค, สมาร์ทโฟน นั้น มีความสัมพันธ์โดยตรงกับส่วนแบ่งทางการตลาดของแพลตฟอร์มนั้น ๆ เนื่องจากผู้สร้างมัลแวร์ต้องการรายได้สูงสุด ช่วงหลายปีที่ผ่านจึงเห็นภาพการโจมตีระบบปฏิบัติการวินโดวส์เป็นหลัก แต่ในปี 2552 จะเห็นได้ชัดว่าระบบปฏิบัติการแม็คและสมาร์ทโฟน ตกเป็นเป้าหมายการโจมตีมากขึ้น เช่น บอทเน็ต "Sexy Space" ที่โจมตีระบบปฏิบัติการซิมเบียน และโทรจัน "OSX.lservice" ที่โจมตีระบบแม็ค
     เนื่องจากแม็คและสมาร์ทโฟน มีความนิยมเพิ่มสูงขึ้นอย่างต่อเนื่อง และคาดว่าจะมีส่วนแบ่งตลาดเพิ่มมากขึ้นในปี 2553 จึงคาดว่าจะมีผู้โจมตีที่อุทิศเวลาเพื่อสร้างมัลแวร์ที่โจมตีอุปกรณ์เหล่านี้มากขึ้นเช่นกัน
     8. ผู้ส่งสแปมปรับตัว ทำให้จำนวนสแปมผันผวน
นับตั้งแต่ปี 2550 สแปมมีจำนวนเพิ่มขึ้นเฉลี่ยร้อยละ 15 ถึงแม้ว่าจำนวนสแปมเมล์จะไม่เพิ่มขึ้นในระยะยาว แต่ก็เป็นที่แน่ชัดว่าผู้ส่งสแปมยังไม่ยอมเลิกราง่าย ๆ ตราบใดที่ยังมีเหตุจูงใจทางการเงินอยู่ ในขณะเดียวกันผู้ส่งสแปมยังต้องปรับตัวให้เข้ากับความซับซ้อนของซอฟต์แวร์รักษาความปลอดภัย, การแทรกแซงของผู้ให้บริการอินเทอร์เน็ต ตลอดจนรัฐบาลในหลายประเทศที่หันมาให้ความสำคัญกับภัยคุกคามเครือข่ายสารสนเทศมากขึ้น
ทั้งนี้คาดว่าผู้ส่งสแปมจะปรับตัวและหาวิธีส่งสแปมผ่าน IM หรือ Instant Messaging มากขึ้น เนื่องจากเหล่าสแปมเมอร์ (Spammer) ค้นพบวิธีใหม่ในการเอาชนะเทคโนโลยี CAPTCHA (การกรอกรหัสก่อนส่งข้อความ) การโจมตีโปรแกรมประเภท IM นี้จึงน่าจะมีแนวโน้มเพิ่มมากขึ้น ด้วยการส่งข้อความสแปมที่ผู้รับไม่ต้องการและมีลิงค์มุ่งร้าย โดยเฉพาะการโจมตีที่มุ่งเป้าไปที่การขโมยแอคเคานต์ IM เพื่อนำไปกระทำการไม่เหมาะสม 
     9. เกิดมัลแวร์ที่ออกแบบมาเพื่องานเฉพาะด้าน
     ในปี 2552 ได้มีการค้นพบมัลแวร์ที่ออกแบบมาเพื่อทำงานเฉพาะด้าน ซึ่งมีเป้าหมายโจมตีระบบเอทีเอ็ม ชี้ให้เห็นว่ามีการล่วงรู้กระบวนการทำงานภายในตลอดจนช่องโหว่ที่สามารถโจมตีได้ คาดว่าแนวโน้มนี้จะยังดำเนินต่อไป รวมถึงความเป็นไปได้ของมัลแวร์ที่สามารถโจมตีระบบเฉพาะทางอื่นๆ อีก เช่น ระบบการโหวตผ่านเครือข่ายโทรศัพท์ที่เชื่อมต่อกับรายเรียลลิตี้โชว์หรือการแข่งขันรูปแบบต่าง เป็นต้น
     10. วินโดวส์ 7 จะตกเป็นเป้าโจมตี
     วินโดวส์ 7 เป็นระบบปฏิบัติการใหม่ที่เพิ่งเปิดตัวไปไม่นาน จึงคาดว่าจะมีผู้ใช้งานเพิ่มมากขึ้นทั้งบนเครื่องคอมพิวเตอร์และสมาร์ทโฟน เป็นช่องทางใหม่ให้ผู้โจมตีระบบคิดค้นไวรัสสายพันธุ์ใหม่ รวมทั้งมัลแวร์รูปแบบอื่น เพื่อเจาะและทำลายระบบปฏิบัติการนี้ในระยะเวลาอันใกล้อย่างแน่นอน ไม่ว่าไมโครซอฟต์จะทดสอบระบบก่อนวางตลาดอย่างละเอียดเพียงใด แต่หากโค้ดมีความซับซ้อนมาก ก็ยิ่งมีโอกาสสูงที่จะมีช่องโหว่ที่ยังค้นไม่พบเช่นกัน

     ศูนย์เฝ้าระวังภัยเทคโนโลยี (IT WATCH) มูลนิธิกระจกเงา
     ศูนย์เฝ้าระวังภัยเทคโนโลยีมูลนิธิกระจกเงาทำการประมวลสถานการณ์ภัยเทคโนโลยีที่เกิดขึ้นทั้งหมดเพื่อให้ได้ทราบถึงที่มาที่ไป การกระจายตัวของปัญหาและช่องโหว่ในเรื่องนั้นๆ  โดยในปี 2552  มีประเด็นเกี่ยวกับภัยเทคโนโลยีที่เกิดขึ้น ดังนี้
     1. คลิปหลุด คลิปแอบถ่าย
     ข่มขืนถ่ายคลิป  ตลอดปีที่ผ่านมามีการนำเสนอข่าวเหตุการณ์นี้อยู่มากมาย ต้นตอของการถ่ายคลิปเกิดขึ้นเมื่อมีการข่มขืนเพราะต้องการใช้คลิปเป็นตัวข่มขู่เหยื่อเฉกเช่นการถือไพ่ที่เหนือกว่า หลุดปากเมื่อไหร่ส่งประจานทันทีต่อด้วยพัฒนาการของกล้องและการแพร่กระจายที่กล้องนั้นมีขนาดเล็กลงมาก  พวกกล้องแอบถ่าย (Spy Camera) อย่างที่เคยได้ยินกัน อาทิ กล้องปากกา กล้องรีโมท กล้องหมากฝรั่ง เป็นต้น ซึ่งมีการนำมาใช้แอบถ่ายกันทั้งในห้องน้ำหรือแม้กระทั่งในห้องพักซึ่งเป็นสถานที่ส่วนตัวที่สุด ไม่เพียงแต่ผู้หญิงเท่านั้นที่จะตกเป็นเหยื่อผู้ชายก็โดน
     ด้านการเผยแพร่ทางอินเตอร์เน็ต แค่การ Forward หรืออัพไว้ตามเว็บต่างๆ ดูจะเป็นเรื่องธรรมดาที่คุ้นชินกันไปซะแล้ว จะโหลดให้ไวมันต้องในระบบ Bittorrent ซึ่งจากการศึกษาวิจัยของศูนย์เฝ้าระวังภัยเทคโนโลยี(IT WATCH) พบว่ามีคลิปหลุดคลิปแอบถ่ายอยู่ในระบบนี้จริง ตั้งแต่มกราคมถึงมิถุนายน 2552 พบการแลกเปลี่ยนคลิปหลุดและแอบถ่ายกว่า 996 หัวข้อ และโหลดเสร็จไปแล้ว  902,636 ครั้ง ยิ่งกระจายไว  ปัญหายิ่งหนักกว่าเดิม
     2. เด็กติดเกม
     ปีนี้ทางศูนย์เฝ้าระวังภัยเทคโนโลยี(IT WATCH) มูลนิธิกระจกเงา ได้รับแจ้งเด็กหายเนื่องจากติดเกมมาทั้งหมด 8 ราย ซึ่งล้วนแล้วแต่เป็นเด็กชาย ช่วงอายุระหว่าง 11-15 ปี ทั้งติดเกมจนไม่ยอมไปเรียน พฤติกรรมก้าวร้าวรุนแรง จนถึงเด็กที่หายไปกับคนที่รู้จักกันในเกม อีกด้านหนึ่งการดุด่าว่ากล่าวอย่างรุนแรงจากผู้ปกครองและคนในครอบครัวเปรียบเสมือนการจุดชนวนให้ระเบิดขึ้น
     ติดเกมอย่างหนักจนต้องลักขโมย เล่นมาก ค่าชั่วโมงก็มาก เงินก็หมด ไม่น้อยเลยต้องลักขโมยทรัพย์สินเงินทองเพราะว่าอยากได้เงินมาเล่นเกม เด็กบางรายถึงขั้นต้องไปขอทาน ไม่ใช่แค่เอามาเล่นเกมออนไลน์แต่ยังมีตู้เกมยอดเหรียญอีกมากมาย ฝ่ายเจ้าของร้านเกมก็มีบางร้านที่ปล่อยให้เด็กเล่นทั้งวันทั้งคืนไม่กลับบ้าน  มิหนำซ้ำยังมีร้านที่ปล่อยให้เล่นจนติดงอมแงมแล้วบังคับให้ไปขายบริการเพื่อใช้หนี้หากินกับเด็กเพื่อผลประโยชน์
     3. แชทและ Hi5
     เด็กหายติดแชททั้งทางอินเตอร์เน็ตและโทรศัพท์ปีนี้มีทั้งหมด 37 ราย สูงสุดในประวัติการณ์ เป็นเด็กหญิงถึง 36 ราย เป็นเด็กชายแค่รายเดียว ช่วงอายุระหว่าง 12 – 18 ปี ติดแชทแล้วหายไปกับคนที่รู้จักทางอินเตอร์เน็ต อาจเคยนัดพบกันมาก่อนหรือไม่เคยเลย เรื่องความรักความเอาใจใส่เป็นเรื่องอ่อนไหว หากพ่อแม่ผู้ปกครองให้รักและเอาใจใส่ไม่เพียงพอเด็กจึงต้องหาจากที่อื่น ในทางกลับกันให้รักมากไปก็จะสำลักความรักที่มาพร้อมกับความเข้มงวด จนต้องหาอิสระหาแหล่งพักพิงทั้งทางใจและทางกาย
     แชทลวงข่มขืนเด็กหญิง ไม่ใช่เรื่องใหม่ในสังคมแต่มันก็ยังเกิดขึ้นซ้ำแล้วซ้ำอีก เด็กที่ตกเป็นเหยื่อจะอยู่ในช่วงเดียวกันกับเด็กหายคือ 12 – 18 ปี ผู้ใหญ่ก็ใช่ว่าจะรอดเพราะยังมีแชทรูดทรัพย์อีกก็หลายรายจับได้ก็ดีแต่ที่ยังจับไม่ได้เลยก็มีจิ้งจอกสังคมไฮเทคยังมีอยู่อีกเกลื่อน
     4. เว็บไซต์ / บล็อก
     “รวบเว็บมาสเตอร์ปล่อยภาพหลุด”
     “จำคุก 2 ปี เจ้าของเว็บไซต์ให้โพสต์ภาพสาวเปลือยลงเน็ต”
     “ขายตัวกระหึ่มเว็บ”
“สาวออฟฟิศแจ้ง ปดส.จับ “มือเลว” ลักข้อมูลส่วนตัวโพสต์ล่อแหลม”
ตัวอย่างข่าวเล็กๆน้อยๆ แต่เว็บเหล่านี้มีอยู่ไม่น้อย เว็บไซต์และเว็บบล็อกถูกนำมาใช้งานทั้งการเผยแพร่ภาพลามก ขายซีดีลามกรวมถึงขายคลิปหลุดคลิปแอบถ่าย บ้างก็มีข้อมูลไซด์ไลน์ ประกาศขายบริการกันให้พรึบ   ส่วนการกลั่นแกล้งทางเน็ตยอดฮิตก็จะเป็นการนำภาพหรือข้อมูลส่วนตัวอื่นๆ ไปโพสไว้ตามเว็บไซต์ต่างๆ พร้อมข้อมูลเท็จต่างๆ นานาและผู้เสียหายก็เป็นผู้หญิงเช่นเคยซึ่งที่ผ่านมาก็โร่แจ้งร้องทุกข์อยู่หลายราย  อีกกรณีหนึ่งใช้เว็บไซต์ขายสินค้ามาใช้เป็นเครื่องมือในการล่อลวงทรัพย์สิน สั่งซื้อสินค้าจ่ายเงินแต่ไม่ได้ของ  เป็นต้น
     แนวโน้มสถานการณ์ภัยเทคโนโลยี ปี 2553
     เด็กติดแชทหรือการหายไปกับคนที่รู้จักกันทางอินเตอร์เน็ตยังเป็นเรื่องที่มีแนวโน้มสูงขึ้นมาอย่างต่อเนื่องตั้งแต่ปีที่แล้วจนปีนี้ส่งผลให้จำนวนเด็กหายพุ่งสูงอย่างน่าตกใจปีหน้าคาดว่าจะยิ่งสูงขึ้นอีก  เพราะทั้งเน็ตทั้งมือถือมีอยู่รอบข้างเด็กไม่ห่างกายและเมื่อพิจารณาถึงช่องว่างระหว่างผู้ปกครองและบุตรหลานทั้งเรื่องความคิดความเข้าใจในเทคโนโลยีที่ต่างกัน ประกอบกับการดำรงชีวิตที่พ่อแม่ส่วนใหญ่จะทำงานหามรุ่งหามค่ำจนไม่ค่อยมีเวลา ไม่ค่อยได้ทำกิจกรรมร่วมกัน ยิ่งเป็นปัจจัยสนับสนุนให้เด็กหันไปหาความสุขจากเทคโนโลยีมากขึ้น   เช่นเดียวกับปัญหาเด็กติดเกมที่หลายครอบครัวกำลังประสบกับภาวะเด็กก้าวร้าว รุนแรง  หนีเรียน เพราะติดอกติดใจกับเกมเยอะจนเกินเหตุ หน่วยงานที่ดูแลเรื่องนี้ก็ยังมีไม่เพียงพอ ปัญหาเด็กติดเกมไม่ได้กระจุตัวอยู่แค่ในชุมชนเมืองและกำลังแผ่ขยายไปทั่ว ประชาชนคงไม่อยากโทรไปรับคำปรึกษาจากระบบโทรศัพท์อัตโนมัติที่ฟังได้เพียงอย่างเดียว แล้วจะไปถามใคร?
     คลิปหลุดคลิปแอบถ่ายและเว็บไซต์ที่ไม่เหมาะสม (เผยแพร่ภาพลามก คลิปหลุดคลิปแอบถ่าย จำหน่ายซีดี ไซด์ไลน์) ที่ผุดขึ้นอย่างรวดเร็วและอยู่ทน การส่งต่อก็ยังไม่ลดละเรื่องเก่าเรื่องใหม่วนไปวนมา คงต้องเร่งจัดการอย่างรวดเร็วและเข้มงวด ก่อนที่เด็กจะเอาตัวอย่างจากเว็บเหล่านี้มาใช้ให้เห็นมากกว่าเดิม
     Social Network เมื่อ 3G เข้ามาก็แน่นอนว่ามันจะอำนวยความสะดวกอีกมากมาย แต่อีกด้านหนึ่งควรระมัดระวังเรื่องข้อมูลส่วนตัวไว้ให้ดี เทคโนโลยีใหม่ๆ จะเข้ามาอย่างรวดเร็ว ตั้งตัวรับให้ทันแต่อย่าได้นิ่งนอนใจ เพราะรูปแบบของภัยเทคโนโลยีที่จะเข้ามานั้นอาจเปลี่ยนรูปแบบไปแต่มันก็ยังอยู่รอบข้างเหมือนอย่างเคย รอวันที่เหยื่อตกหลุมพราง

     Symantec Corporation
     บริษัทซอฟต์แวร์ความปลอดภัย Symantec ออกรายงาน Security Trends to Watch in 2010 กล่าวถึงแนวโน้มของวงการความปลอดภัย 13 ข้อดังนี้
     1. วิธีแก้ไวรัสแบบเดิมๆ เช่น การสแกน เริ่มไม่พอแล้ว อาจต้องเริ่มมองวิธีรักษาความปลอดภัยแบบใหม่ๆ เช่น reputation-based security หรือการรักษาความปลอดภัยจากตัวโครงสร้าง
     2. การหลอกลวงหรือโจมตีโดยใช้วิธีทางสังคม (social engineering เช่น จดหมายหลอกลวงที่บอกว่าเป็นโน่นนี่) จะเป็นวิธีการโจมตีที่สำคัญเพราะมันได้ผล
     3. ระวังซอฟต์แวร์ด้านความปลอดภัยปลอม ซึ่งเอาจริงมันจะขโมยข้อมูลของเราแทน
     4. แอพพลิเคชันใน social network ก็เป็นอีกจุดที่หลอกลวงผู้ใช้ได้
     5. Windows 7 จะเริ่มกลายเป็นเป้าหมายในการถูกโจมตีมากขึ้น
     6. Botnet จะมีเทคนิคใหม่ๆ เข้ามามากขึ้น เช่น fast flux
     7. บริการย่อ URL จะเป็นช่องทางที่ใช้ทำ phishing ได้เช่นกัน
     8. มัลแวร์สำหรับแมคและโทรศัพท์มือถือจะเพิ่มขึ้น
     9. สแปมเมอร์จะเลี่ยงกฎหมายสแปม อันเป็นเหตุมาจากช่องโหว่และการบังคับใช้ที่หย่อนยาน
     10. จากข้อ 9. สแปมจะเยอะขึ้นได้อีก
     11. มัลแวร์เฉพาะทาง เฉพาะอุปกรณ์ เช่น ATM
     12. CAPTCHA จะพัฒนาขึ้น ส่งผลให้เกิดการจ้างคนมาแกะ CAPTCHA มากตามไปด้วย
     13. สแปมผ่าน IM จะเพิ่มขึ้น
     รายงานสถานการณ์อีเมลขยะประจำเดือนธันวาคม 2552 และ อีเมลขยะปี 2553 แนวโน้มพุ่งสูงกว่า 95 เปอร์เซ็นต์ ด้วยเทคนิคใหม่ๆ
     ต้นกำเนิดอีเมลขยะในเอเชียแปซิฟิกและอเมริกาใต้ได้มีการเปลี่ยนแปลงขนาดของข้อความอีเมลขยะเฉลี่ย 71.08 เปอร์เซ็นต์ของจำนวนข้อความเฉลี่ยอยู่ที่ 2kb- 5kb มีอยู่ 19.53 เปอร์เซ็นต์ของข้อความ ระหว่าง 5kb-10kb ในช่วงเดือนพฤศจิกายนเพิ่มขึ้นเป็น 20 เปอร์เซ็นต์ และ 5kb-10kb ลดลงเหลือเพียง 18 เปอร์เซ็นต์ ซึ่งการเปลี่ยนแปลงนี้สอดคล้องกับอีเมลขยะที่แนบไฟล์มา อีเมลขยะที่มีการแนบไฟล์มานั้นเฉลี่ย 5.27 เปอร์เซ็นต์ในเดือนพฤศจิกายน เนื่องมาจากประเภทของอีเมลขยะ อย่างอีเมลขยะประเภทอินเทอร์เน็ตลดลงไปถึง 4 เปอร์เซ็นต์และเมื่อคำนวณใหม่จะมี 35 เปอร์เซ็นต์ที่เป็นจำนวนข้อความอีเมลขยะทั้งหมด
     นายนพชัย ตั้งไตรธรรม ที่ปรึกษาทางเทคนิค บริษัท ไซแมนเทค คอร์ปอเรชัน เปิดเผยว่า  “ไซแมนเทคได้มีการรวบรวมประเด็นเด่นๆ ในปี 2552 นี้ โดยมีปริมาณอีเมลขยะสูงถึง 87.5 เปอร์เซ็นต์ เมื่อเทียบกับเดือนพฤศจิกายนในปี 2551 ลดวูบไปถึง 65 เปอร์เซ็นต์สืบเนื่องมาจากการปิดให้บริการของ McColo ในปี 2552 ก็เช่นกันสแปมเมอร์ยังคงใช้หัวข้อการโจมตีต้อนรับเทศกาลด้วยการโจมตีในรูปของขวัญและโปรโมชันต่างๆ ซึ่งสิ่งที่เรายังคงเห็นอย่างต่อเนื่อง ก็คือการเปลี่ยนรูปแบบการโจมตีด้วยวิธีการใหม่ เช่น อีเมลขยะแฝงมัลแวร์ การใช้เหตุการณ์สำคัญมาเป็นหัวข้อในการโจมตี หรือการใช้รูปแบบการโจมตีแบบใหม่ที่มัลแวร์สามารถเปลี่ยนรูปเพื่อหลีกเลี่ยงการตรวจจับของแอนตี้ไวรัสและแอนตี้สแปม คาดว่าปี 2553 ผู้ใช้งานอินเทอร์เน็ต หรือองค์กรต่างๆ ควรหันมาเตรียมพร้อมรับมือกับภัยคุกคามบนอินเทอร์เน็ตกันมากยิ่งขึ้น”

สร้างกองทัพ "มดดิจิตอล" รับมือไวรัสคอมพิวเตอร์
     ผู้เชี่ยวชาญคอมพิวเตอร์มหาวิทยาลัยเวกฟอเรสต์ และห้องปฏิบัติการนอร์ธเวสต์ เนชั่นแนล ประเทศสหรัฐอเมริกา พัฒนาโปรแกรมตรวจสอบ-กำจัดไวรัสคอมพิวเตอร์ใหม่ล่าสุด โดยจำลองแบบมาจากการทำงานของ "มด"
     โปรแกรมนี้ได้รับการขนานนามว่า "มดดิจิตอล" หรือเรียกอย่างเป็นทางการว่าระบบ "สวอร์ม อิลเทลลิเจนซ์" (ฝูงแมลงอัจฉริยะ) ภายในโปรแกรมจะแบ่งวิธีตรวจหาไวรัสคอม พิวเตอร์เป็น 3 ระดับ ไล่ตามยศจากต่ำไปหาสูง ได้แก่ มดงานธรรมดา มดยาม และมดยศนายสิบ
     ศาสตราจารย์เอียร์ริน ฟัลป์ อาจารย์วิศวะคอมพิวเตอร์ ม.เวกฟอเรสต์ กล่าวว่า มดระดับล่างจะทำหน้าที่คอยค้นหาสัญญาณผิดปกติขั้นพื้นฐานที่เกิดขึ้นในระบบ จากนั้นแจ้งให้มดยามเข้ามาวิเคราะห์ปัญหา และส่งต่อข้อมูลให้มดนายสิบรับทราบ เพื่อให้แจ้งกับเจ้าหน้าที่ควบคุมระบบคอมพิวเตอร์เข้ามาแก้ไขปัญหาในขั้นตอนสุดท้าย
     จุดเด่นของกองทัพ "มดดิจิตอล" ก็คือไม่กินหน่วยความจำของคอมพิวเตอร์ เนื่องจากโปรแกรม หรือฝูงมดจะออกทำงานเป็นจำนวนมากต่อเมื่อพบความผิดปกติเท่านั้น แต่ในยามที่ไม่มีสิ่งแปลกปลอมแทรกซึมเข้ามาในเครือข่าย จำนวนมดที่ออกปฏิบัติงานก็จะลดจำนวนลงมา แตกต่างจากโปรแกรมต่อต้านไวรัสคอมพิวเตอร์ตามปกติ ซึ่งคอยกินพื้นที่หน่วยความจำอยู่ตลอดเวลา
     "เราทราบว่ามดตามธรรมชาติมีวิธีป้องกันตัวเองจากผู้บุก รุกที่มีประสิทธิภาพดีมากๆ เพราะพวกมันรวมตัวกันรับมือปัญหาอย่างรวดเร็ว และเมื่อจัดการผู้บุกรุกสำเร็จแล้วก็กลับไปทำหน้าที่ดั้งเดิมของมันตามปกติ แนวคิดของเราตอนนี้คือ จะสร้างมดดิจิตอลขึ้นมาสัก 3,000 ชนิด ซึ่งแต่ละชนิดมีความสามารถควานหาภัยคุกคามในระบบคอมพิวเตอร์ที่แตกต่างกันไป" ศาสตราจารย์ฟัลป์กล่าว

สรุป
     หลังจากที่ได้ทราบถึงภัยคุกคามที่เกิดขึ้นในปี 2552 และแนวโน้มที่จะเกิดขึ้นในปี 2553 แล้ว หลายท่านอาจไม่จำเป็นต้องตื่นตระหนกแต่อย่างใด เนื่องจากธุรกิจด้านการรักษาความปลอดภัยยังคงมีความแข็งแกร่งในการรับมือกับภัยคุกคามเหล่านี้ มีการสร้างสรรค์สิ่งใหม่ๆ และตระหนักถึงภัยคุกคามที่มีเพิ่มขึ้น ตลอดจนการแข่งขันกันระหว่างผู้ขายเอง ทำให้ภาพในอนาคตไม่น่าจะเลวร้ายมากนัก อย่างไรก็ตามการสร้าง “Security Awareness” ทั้งในแง่ส่วนบุคคลและองค์กร ก็ยังเป็นส่วนสำคัญที่ไม่ควรมองข้าม ถึงแม้กระนั้นก็ตามผู้ใช้เองก็ไม่ควรประมาทกับภัยคุกคามที่เกิดขึ้นในด้านๆต่าง มั่นศึกษาหาความรู้เพิ่มเติมเกี่ยวกับภัยคุกคามดังกล่าว และหาวิธีป้องกัน เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นได้กับผู้ใช้เองในปัจจุบันและอนาคต



เอกสารอ้างอิง
  - www.bitdefender.com
  - www.eset.com
  - www.webroot.com
  - www.anti-virus-software-review.toptenreviews.com
  - www.anti-spyware-review.toptenreviews.com
  - www.ohodownloads.com/software-news/security-trends-to-watch-in-2010
  - www.thaipr.net
  - www.bangkokbiznews.com
  - www.gooab.net
  - www.kapook.com
  - www.dungdee.com
  - www.web.ku.ac.th
  - www.science.bu.ac.th
  - www.dol.go.th