306325 unit8-ec-security

การคุกคามความมั่นคงของ
Electronic Commerce
อ.ดร.ศุภชานันท์ วนภู
Supachanun.w@gmail.com
Business Computer, FMS, NRRU
306325 : พาณิชย์อิเล็กทรอนิกส์ (Electronic Commerce)

306325 Unit 8 : EC-Security
Contents
1) สถานการณ์ด้านความปลอดภัยของระบบ
E-Commerce ในปัจจุบัน
2) มาตรการระบบรักษาความปลอดภัยของข้องมูล EC
3) ภัยคุกคามความปลอดภัยในระบบ EC
4) การใช้เทคโนโลยีในการป้องกันความปลอดภัยของ
ระบบ E –Commerce : Technology Solutions
2

GOLDMAN: DATACOMM
FIG. 13-05
ASSET THREAT
VULNERABILITY
RISK
PROTECTIVE MEASURES
Assets, Threats, Vulnerabilities, Risks, and
Protective Measures
ทรัพย์สิน คุกคาม
จุดอ่อน
ความเสี่ยง
ป้องกัน
3

สถานการณ์ด้านความปลอดภัยของระบบ EC ในปัจจุบัน
 จากการสารวจของ CSI : Computer Security Institute ใน
ปี 2006
 บริษัทที่ประกอบกิจการ E-Commerce เสียหายรวมกันแล้วมี
มูลค่าถึง 52,494,290 US$
 ปัญหาจาก Computer Virus สร้างความเสียหายให้กับระบบ
มากเป็นอันดับ 1 เป็นจานวนเงินถึง 15 ล้าน US$
 วิธีการที่ก่อให้เกิดความเสียหายต่อระบบมากที่สุดคือ การส่ง
ไวรัสเข้าโจมตี การขโมยอุปกรณ์ และความเสียหายที่เกิดขึ้น
จากตัวผู้ใช้งานในระบบเอง
4

306325 Unit 8 : EC-Security 5

Top Ten Cyber Security Threats
โดย ACIS Professional Center : ศูนย์ฝึกอบรมระบบคอมพิวเตอร์เครือข่ายและความปลอดภัยข้อมูล
1) ภัยจากการถูกขโมยชื่อผู้ใช้และรหัสผ่านในการเข้าใช้งานระบบออนไลน์
ผ่านทางอินเทอร์เน็ต (Username/Password and Identity Theft)
 Phishing Attack
 Pharming Attack
 Vishing หรือ Voice SPAM Attack
 Spyware / Keylogger Attack
 Remote Access Trojan (RAT) Attack
 HOAX/SCAM หรือจดหมายหลอกลวง
 Theft of Notebook/PC or Mobile Device

2) ภัยจากการโจมตี Web Server และ Web Application
 Popular Web Site Attack
 Web 2.0 and Social Network Attack
3) ภัยข้ามระบบ (Cross-platform/Multi-platform Attack)
4) ภัยจากการถูกขโมยข้อมูล หรือ ข้อมูลความลับรั่วไหลออกจากองค์กร
(Data Loss/Leakage and Theft)
5) ภัยจากมัลแวร์และสามเหลี่ยมแห่งความชั่วร้าย (SPAM , VIRUS and
SPYWARE)

6) ภัยจากการใช้โปรแกรมประเภท Peer-to-Peer (P2P) และ Instant
Messaging (IM)
7) ภัยจากแฮกเกอร์มืออาชีพข้ามชาติ (Professional International
Blackhat Attack)
8) ภัยไร้สายจากการใช้งานอุปกรณ์ Mobile และ Wireless (Mobile/Wireless
Attack)
9) ภัยจากการโจมตีด้วยเทคนิค DoS (Denial of Services) หรือ DDoS
(Distributed Denial of Services) Attack
10) ภัยที่เกิดขึ้นจากตัวของเราเอง (Negligence Information Security)

มาตรการระบบรักษาความปลอดภัยของข้อมูล EC จาเป็นต้องมี
 Authentication & Authorization : การระบุตัวบุคคล และ
อานาจหน้าที่
 confidentiality : การรักษาความลับของข้อมูล
 Integrity : การรักษาความถูกต้องของข้อมูล
 Non-repudiation : การป้องกันการปฏิเสธความรับผิดชอบ
 Privacy : สิทธิส่วนบุคคล
 Availability : to ensure that an e-commerce site
continues to function as intended
Dimensions of E-commerce Security
10

การระบุตัวบุคคล Authentication
 กระบวนการกาหนดลักษณะส่วนบุคคลของผู้ใช้ทั่วไป
 แจ้งชื่อผู้ใช้ และรหัสผ่าน
 เมื่อผู้ใช้ต้องการเข้าระบบ ให้ระบุชื่อผู้ใช้ และรหัสผ่าน
 ถ้าข้อมูลตรงกับแฟ้มของ Server ก็จะได้รับอนุญาตเข้าถึงเว็บ
เพจต่อไปได้
 เปรียบเหมือนการแสดงตัวด้วยประจาตัวซึ่งมีรูปติดอยู่ด้วย
หรือ
 การล๊อคซึ่งผู้ที่จะเปิดได้จะต้องมีกุญแจเท่านั้น หรือ
 บัตรเข้าออกอาคาร, เจ้าหน้าที่รักษาความปลอดภัย
11

การอนุมัติ – อานาจ (Authorization)
 อานาจในการจ่ายเงิน
 การอนุมัติวงเงินที่จะเรียกเก็บจากธนาคารที่ออกบัตร
เครดิต
 ตรวจสอบวงเงินในบัญชีว่ามีเพียงพอไหม
12

การรักษาความลับของข้อมูล (Confidentiality)
 เช่นการเข้ารหัส, การใช้บาร์โค๊ด, การใส่รหัสลับ
(password), Firewall
 การรักษาความลับของข้อมูลที่เก็บไว้ หรือส่งผ่านทาง
เครือข่าย
 ป้องกันไม่ให้ผู้อื่นที่ไม่มีสิทธิ์ลักลอบดูได้
 เปรียบเหมือนการปิดผนึกซองจดหมาย หรือ
 การใช้ซองจดหมายที่ทึบแสง หรือ
 การเขียนหมึกที่มองไม่เห็น
13

การรักษาความถูกต้องของข้อมูล (Integrity)
 การป้องกันไม่ให้ข้อมูลถูกแก้ไข
 เปรียบเหมือนกับการเขียนด้วยหมึกซึ่งถ้าถูกลบแล้วจะ
ก่อให้เกิดรอยลบ
 หรือ การใช้โฮโลแกรมกากับบนบัตรเครดิต
 หรือ ลายน้าบนธนบัตร
14

การป้องกันการปฏิเสธ หรืออ้างความรับผิดชอบ
การป้องกันการปฏิเสธ หรืออ้างความรับผิดชอบ
(Non-repudiation) คือ การป้องกันการปฏิเสธว่าไม่ได้มีการส่ง
หรือรับข้อมูลจากฝ่ายต่าง ๆ ที่เกี่ยวข้อง
การป้องกันการอ้างที่เป็นเท็จว่าได้รับ หรือส่งข้อมูล
เช่นในการขายสินค้า เราต้องมีการแจ้งให้ลูกค้าทราบถึงขอบเขต
ของการรับผิดชอบที่มีต่อสินค้า หรือระหว่างการซื้อขาย โดยระบุ
ไว้บน web
หรือการส่งจดหมายลงทะเบียน
15

 การรักษาสิทธิส่วนตัวของข้อมูลส่วนตัว
 เพื่อปกป้องข้อมูลจากการลอบดูโดยผู้ที่ไม่มีสิทธิ์ในการใช้
ข้อมูล
 ข้อมูลที่ส่งมาถูกดัดแปลงโดยผู้อื่นก่อนถึงเราหรือไม่
สิทธิส่วนบุคคล (Privacy)
16

ภัยคุกคามความปลอดภัยในระบบ
ภัยคุกคามความปลอดภัยในระบบ : Security Threats in the E-commerce
Environment
Three key points
of vulnerability :
 Client
 Server
 Communications channel








18

วงจรการทาธุรกรรมในระบบ E-Commerce

 Viruses : ไวรัส คือ โปรแกรมคอมพิวเตอร์ประเภทหนึ่งที่ถูก
ออกแบบมาให้แพร่กระจายตัวเองจากไฟล์หนึ่งไปยังไฟล์อื่นๆ
ภายในเครื่องคอมพิวเตอร์ ไวรัสจะแพร่กระจายตัวเองอย่างรวดเร็ว
ไปยังทุกไฟล์ภายในคอมพิวเตอร์ หรืออาจจะทาให้ไฟล์เอกสารติด
เชื้ออย่างช้าๆ แต่ ไวรัสจะไม่สามารถแพร่กระจายจากเครื่องหนึ่งไป
ยังอีกเครื่องหนึ่งได้ด้วยตัวมันเอง โดยทั่วไปเกิดจากการที่ผู้ใช้เป็น
พาหะ นาไวรัสจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่ง
 Worms : หนอนอินเตอร์เน็ต เป็นโปรแกรมคอมพิวเตอร์ชนิดหนึ่ง
ที่สามารถก๊อบปี๊ตัวเองจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งได้โดย
อัตโนมัติผ่านทางเครือข่ายเน็ตเวิร์คหรือว่าอินเทอร์เน็ต ซึ่งทาให้เวิร์
มสามารถขยายพันธุ์และเคลื่อนย้ายตัวเองไปยังเครื่องอื่นๆ บน
เน็ตเวิร์คได้ไม่ยาก
21

Malicious Code
 Trojan Horse : เป็นโปรแกรมที่มีหน้าที่ทาลายล้างโดยตรง โดย
อาศัยผู้ใช้เองเป็นผู้เรียกขึ้นมาทางาน ถูกส่งต่อทางอีเมล์ โดยอ้างตัว
ว่าเป็นเครื่องมือต่างๆ นานา เช่น Navidad เป็นต้น หรือล่าสุดที่พบ
(ที่รับมีเมล์บ็อกซ์) อ้างว่าเป็นโปรแกรมสาหรับช่วยงานเพาวเวอร์พอ
ยนต์ เป็นไดร์เวอร์ IDE ใหม่ที่จะทาให้เครื่องทางานเร็วขึ้น หากใคร
เปิดไฟล์ที่รับขึ้นมา ก็มักจะใช้งานเครื่องคอมพิวเตอร์ไม่ได้อีกเลย
 Bad applets (malicious mobile code): โปรแกรมประเภท
Java applets หรือ ActiveX controls ซึ่งถูกดาวน์โหลดมายังครื่
องผู้ใช้งาน หลังจากนั้นโปรแกรมจะทางานเมื่อเชื่อมต่อเข้าสู่อิน
เทอร์เนต
22

Hacking and Cybervandalism
Hacker : คนที่ลักลอบ หรือโจมตีระบบเพื่อให้ได้สิทธิ์ในการเข้า
ไปยังเครือข่ายหรือระบบคอมพิวเตอร์นั้นๆ
Cracker : คล้ายกับ hacker เพียงแต่ว่า Cracker เมื่อเข้าไปสู่
ระบบได้แล้วมีจุดมุ่งหมายในการกระทาการอาชญากรรมต่อระบบ
Cybervandalism : คนที่โจมตีระบบ โดยมีจุดมุ่งหมายเพื่อ
ก่อกวน และทาลายเว็บไซต์
ประเภทของ Hackers :
 White hats – สมาชิกของ “tiger teams” ซึ่งทางานภายใต้การดูแลของ corporate
security departments โดยมีจุดมุ่งหมายเพื่อทดสอบและหาช่องโหว่ของระบบตนเอง
 Black hats – เจาะระบบโดยมีเป้าหมายทางอาชญากรรม
 Grey hats – กึ่งกลางระหว่าง White กับ Black
24

การคุกคาม-การบุกรุก
วิธีการ
 การเข้ามาทาลายเปลี่ยนแปลง
หรือขโมยข้อมูล
 ปลอมตัวเข้ามาใช้ระบบและทา
รายการปลอม
 การเข้าถึงระบบเครือข่ายของผู้ไม่
มีสิทธิ์
แก้ปัญหาโดย
การเข้ารหัสข้อมูล
ลายเซ็นดิจิตอล
Firewall
25

 Spoofing : การปลอมตัว เช่น E-mail Spoofing : e-mail ที่ถูกส่งเข้า
มาในระบบโดยที่ชื่อต้นทางของ e-mail ที่ปรากฏกับต้นทางของ e-mail ที่
ใช้ส่งจริงไม่ตรงกัน จุดมุ่งหมายของ e-mail spoofing คือการลวงให้ผู้
ได้รับเข้าใจผิด เพื่อให้เกิดความเสียหายแก่ระบบ หรือ ข้อมูลสาคัญ (เช่น
รหัสผ่าน)
 Denial of service (DoS) attack
 Distributed denial of service (dDoS) attack
 Sniffing : คืออุปกรณ์ที่ต่อเข้ากับเครือข่ายคอมพิวเตอร์และคอยดักฟัง
ข้อมูลในเครือข่ายและโปรแกรม “sniffer” เป็นโปรแกรมที่จะคอยดักฟัง
การสนทนากันของเครือข่าย แต่จะเห็นการสนทนากันนั้นจะเป็นข้อมูลไบ
นารี ดังนั้นโปรแกรมดังกล่าวต้องทาการถอดรหัสของข้อมูลของ
คอมพิวเตอร์ เพื่อจะให้รู้ถึงการสนทนานั้นได้
 Insider jobs : single largest financial threat
26

การใช้เทคโนโลยีในการป้องกันความปลอดภัยของระบบ
E –Commerce : Technology Solutions
 Protecting Internet communications
(encryption)
 Securing channels of communication (SSL,
S-HTTP, VPNs)
 Protecting networks (firewalls)
 Protecting servers and clients
27










29

 การทาให้ข้อมูลที่จะส่งผ่านไปทางเครือข่ายอยู่ในรูปแบบที่ไม่
สามารถอ่านออกได้ ด้วยการเข้ารหัส (Encryption) ทาให้ข้อมูลนั้น
เป็นความลับ
 ผู้มีสิทธิ์จริงเท่านั้นจะสามารถอ่านข้อมูลนั้นได้ด้วยการถอดรหัส
(Decryption)
 ใช้สมการทางคณิตศาสตร์
 ใช้กุญแจซึ่งอยู่ในรูปของพารามิเตอร์ที่กาหนดไว้ (มีความยาวเป็น
บิต โดยยิ่งกุญแจมีความยาวมาก ยิ่งปลอดภัยมากเพราะต้องใช้
เวลานานในการคาดเดากุญแจของผู้คุกคาม)
30

 ประกอบด้วยฝ่ายผู้รับ และฝ่ายผู้ส่ง
 ตกลงกฎเกณฑ์เดียวกัน ในการเปลี่ยนข้อความต้นฉบับ
ให้เป็นข้อความอ่านไม่รู้เรื่อง (cipher text)
 ใช้สมการ หรือสูตรทางคณิตศาสตร์ที่ซับซ้อน
 กฎการเพิ่มค่า 13
 แฮชฟังก์ชัน (Hash function)
31

ส่วนประกอบของการเข้ารหัส
ขั้นตอนการเข้ารหัส
1. ใช้ฟังก์ชั่นการคานวณทางคณิตศาสตร์
2. คีย์ที่ใช้ในการเข้ารหัส หรือ ถอดรหัส
 ใช้ชุดตัวเลข หรือ อักขระที่นามาเข้ารหัส มีหน่วยเป็นบิต
(8 บิต = 1 ไบต์ = 1 อักขระ)
เช่น 00000001 = 1
00000010 = 2
32

 สูตร 2n ; n คือ จานวนบิต (อย่างต่า 8 บิต)
 28 = 256 คีย์ (2 คูณกัน 8 ครั้ง = 256 ชุดข้อมูล)
 2128 = ??? (เป็นคีย์ของโปรโตคอล Set ที่ใช้อยู่ใน
ปัจจุบัน)
ส่วนประกอบของการเข้ารหัส
33

ระยะเวลาที่ใช้ในการถอดรหัส
 ความยาว 40 บิต 8 ปี
 ความยาว 128 บิต ล้านล้าน ปี
*****
จานวนบิตมากเท่าไหร่ ความปลอดภัยของข้อมูลยิ่งมากขึ้น
เนื่องจากผู้บุกรุกต้องใช้เวลาเดามากยิ่งขึ้น
34

ตัวอย่างโปรแกรมการเข้ารหัส โดยใช้กฎ 131
การเข้ารหัสจะทาโดยการเปลี่ยนตัวอักษร จากตาแหน่งเดิมเป็นตัวอักษร
ตาแหน่งที่ 13 ของชุดตัวอักษรนั้น เช่น ZRGRR
A B C D E F G H I J K L M
N O P Q R S T U V W X Y Z
N O P Q R S T U V W X Y Z
A B C D E F G H I J K L M
….
….
เช่น เข้ารหัส I LOVE YOU ----> V YBIR LBH
35

การเข้ารหัสแบบสมมาตร
การเข้ารหัสแบบสมมาตร (Symmetric encryption) เป็น
การเข้ารหัสที่ผู้รับและผู้ส่งข้อความจะมีคีย์เดียวกันในการรับส่ง
ข้อความ
ข้อดี
 มีความรวดเร็วเพราะใช้การคานวณที่น้อยกว่า
 สามารถสร้างได้ง่ายโดยใช้ฮาร์ดแวร์
36

ข้อเสีย
 ไม่สามารถตรวจสอบว่าเป็นผู้ส่งข้อความจริง ถ้ามีผู้ปลอม
ตัวเข้ามาส่งข้อความ
 ไม่มีหลักฐานที่จะพิสูจน์ได้ว่าผู้ส่งหรือผู้รับกระทารายการ
จริง
 การบริหารการจัดการกุญแจทาได้ยากเพราะกุญแจในการ
เข้ารหัส และถอดรหัส เหมือนกัน
37

ข้อความเดิม
ก่อนการเข้ารหัส
ข้อความที่เข้ารหัสแล้ว
หลังถอดรหัส
เข้ารหัสลับ
ถอดรหัสด้วยคีย์ลับเดิม
Internet
38

การเข้ารหัสแบบอสมมาตร
 การเข้ารหัสแบบอสมมาตร (Asymmetric encryption) ใช้
เทคนิคของการมีคีย์เป็นคู่ๆ
 คีย์ส่วนตัว (private key) เป็นคีย์เฉพาะเจ้าของคีย์
 ใช้ถอดรหัสและอ่านข้อความ เช่น รหัสลับ (password)
 คีย์สาธารณะ (Public key) เป็นคีย์ที่ส่งให้ผู้อื่นใช้
 แจกจ่ายให้ผู้ที่ต้องการส่งข้อความถึงเรา เช่น e-mail
 ใช้รักษาความลับของข้อความที่เราจัดส่งโดยใช้คีย์สาธารณะของ
ผู้รับในการเข้ารหัส
 เป็นการระบุบุคคลผู้เป็นเจ้าของ (Authenticate) เพื่อตรวจสอบว่า
บุคคลที่ส่งข้อความเข้ามานั้นเป็นตัวผู้ส่งเองจริง ๆ
39

ก่อนการเข้ารหัส
ข้อความที่เข้ารหัส
แล้ว
(Cipher text)
หลังการถอดรหัส
(Cipher text)
เข้ารหัสลับ
Public Key
ถอดรหัสด้วยคีย์
Private Key
Internet
40

ข้อดี
การบริหารการจัดการกุญแจทาได้ง่ายกว่า เพราะกุญแจในการ
เข้ารหัส และถอดรหัส ต่างกัน
สามารถระบุผู้ใช้โดยการใช้ร่วมกับลายมือชื่ออิเล็กทรอนิกส์
ข้อเสีย
ใช้เวลาในการเข้า และถอดรหัสค่อนข้างนาน เพราะต้องใช้การ
คานวณอย่างมาก
41

 บน web จะใช้กุญแจสาธารณะ และกุญแจส่วนตัว
 บราวเซอร์ใช้กุญแจสาธารณะเพื่อเข้ารหัสรายการข้อมูลบน
เครื่องคอมพิวเตอร์ลูกค้า
 เว็บเซิร์ฟเวอร์เท่านั้นมีกุญแจส่วนตัว
42

ลายมือชื่ออิเล็กทรอนิกส์
ลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signature)หมายถึง
อักขระ ตัวเลข เสียง หรือสัญลักษณ์อื่นใด ที่สร้างขึ้นโดยวิธีทาง
อิเล็กทรอนิกส์
วิธีการ นามาประกอบกับข้อมูลอิเล็กทรอนิกส์ เพื่อแสดง
ความสัมพันธ์ ระหว่างบุคคลกับข้อมูลอิเล็กทรอนิกส์
วัตถุประสงค์
 เพื่อระบุตัวบุคคลผู้เป็นเจ้าของ (Authentication)
 เพื่อแสดงว่าบุคคลยอมรับและผูกพันกับข้อมูลอิเล็กทรอนิกส์ หรือเพื่อ
ป้องกันการปฏิเสธความรับผิดชอบ (Non-Repudiation)
43

USA
ลายมือชื่ออิเล็กทรอนิกส์
Thai
ติดต่อทา
สัญญา
ปัญหา ?
•คู่สัญญาไม่เคยเห็นหน้ากันมาก่อน
•ไม่แน่ใจว่าใช่นาย Tom หรือไม่
•ใครจะเป็นผู้รับผิด หากผิดสัญญา
Tom ลาใย
มั่นใจเพราะยืนยันได้ว่าผู้ที
ติดต่อคือใคร
ตรวจสอบได้ว่าสัญญามีการ
เปลี่ยนแปลง มีผู้รับผิดตามสัญญา
44

ตัวอย่างลายมือชื่ออิเล็กทรอนิกส์
รหัสประจาตัว (ID) , รหัสลับ (Password)
Biometrics
ลายมือชื่อดิจิทัล (Digital Signature)
 ใช้ระบบรหัสแบบอสมมาตร (private key & public key)
E-Mail Address
45







46




47




48







49



50



51



53









54








55




57



59






60



62



63



64


65




66






68





69






72



74






76

306325 unit8-ec-security

More Related Content

Similar to 306325 unit8-ec-security

More from pop Jaturong

306325 unit8-ec-security