สถิติภัยคุกคาม ที่เกิดขึ้นในประเทศไทยในรอบปี 2011

เริ่มต้นปีใหม่เราจะทำอะไร เหตุการณ์ข้างหน้าจะเป็นอย่างไร เรามีแต่การคาดการณ์ แต่หากเราเรียนรู้กับอดีตที่เคยเกิดขึ้นมาเป็นบทเรียนและเตรียมรับมือ พร้อมทั้งเรียนรู้ให้เท่าทันถึงภัยคุกคามที่อาจขึ้นน่าจะเป็นสิ่งที่ดี สำหรับการดำเนินชีวิตอย่างไม่ประมาท

ดั่งคำกล่าวที่ว่า “จะรู้ทิศทางอนาคต ก็ต้องรู้จักเหตุการณ์จากอดีต”

จึงเป็นที่มาให้ทีมพัฒนา SRAN ได้ทุ่มเท ความรู้ ที่มีจัดทำฐานข้อมูลภัยคุกคามที่เกิดขึ้นเพื่อเป็นการรายงานผล จัดในรูปแบบสถิติที่เกิดจากการใช้งานอินเทอร์เน็ตภายใน ประเทศไทยขึ้น โดยพัฒนาระบบนี้มานานกว่าจะออกเป็นผลลัพธ์ในเว็บ www.sran.net ซึ่งในปีนี้ก็คิดว่าระบบดังกล่าวจะสมบูรณ์มากขึ้นและเป็นประโยชน์ต่อสังคมให้ ได้เรียนรู้ถึงทิศทางภัยคุกคามที่เกิดขึ้นจากอดีตจนถึงปัจจุบันได้

เป้า หมายที่ตั้งไว้ คือ ต้องการระบบที่ตรวจสอบและแจ้งผลเว็บไซต์ Website / domain / IP Address ที่เป็นภัยอันตรายต่อการใช้งานนักท่องอินเทอร์เน็ต และทำให้ผู้ดูแลระบบที่ประสบภัยคุกคามได้มีมาตรการในการป้องกันภัยและแก้ไข ได้ทันสถานการณ์มากขึ้น โดยมีการจัดการข้อมูลในรูปแบบของสถิติซึ่งสามารถอ่านรายละเอียดได้ที่ http://nontawattalk.blogspot.com/2011/09/blog-post_04.html หรือ http://blog.sran.net/archives/640

ดัง นั้นก่อนที่จะคาดการณ์ภัยคุกคามในอนาคต เราจึงควรเรียนรู้ภัยคุกคามในรอบปีที่แล้วที่ผ่านมาเพื่อมาวิเคราะห์ถึง ทิศทางของภัยคุกคามที่เกิดขึ้นในประเทศไทยได้อย่างถูกต้องและแม่นยำมากขึ้น

โดยในรอบปี 2011 ที่ผ่านมานั้น สรุปภัยคุกคามที่เกิดขึ้นได้ดังนี้
SRAN : Thailand Internet Threat Statistic 2011

ภาพที่ 1 : สถิติภัยคุกคามที่เกิดขึ้นในประเทศไทยในรอบปี 2011

ภัยคุกคามที่ทางทีมพัฒนา SRAN ได้จัดทำขึ้นประกอบด้วย
1. Malware : คือ Website / Domain / IP Address ภายในประเทศไทย ที่เป็นพาหะที่ทำให้ผู้ใช้งานติดไวรัสคอมพิวเตอร์ หรือ file ที่ไม่เหมาะสม ที่ทำให้เครื่องคอมพิวเตอร์ (computer) คอมพิวเตอร์พกพา (notebook ,tablet) และสมาร์ทโฟม (smart phone/mobile ) ที่ขาดระบบป้องกันที่ทันสมัยอาจมีโอกาสติดเชื้อไปด้วย

สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 1,057 ครั้ง ลงเมื่อเทียบกับปี 2010

2. Web Attack : คือ Website / Domain / IP Address ภายในประเทศไทย ที่ถูกโจมตี (Hacking) เข้าถึงระบบและเปลี่ยนข้อมูลในหน้าเพจเว็บไซต์

สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 6,331 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010

3. Phishing : คือ Website / Domain / IP Address ภายในประเทศไทย ที่เป็นการหลอกลวงทำให้ผู้ใช้งานเข้าใจผิดและส่งผลกระทบต่อการใช้งานปกติ ซึ่งทำให้เครื่องคอมพิวเตอร์ (computer) คอมพิวเตอร์พกพา (notebook ,tablet) และสมาร์ทโฟม (smart phone/mobile ) ที่ขาดระบบป้องกันที่ทันสมัยอาจมีโอกาสติดเชื้อ Malware หรือเป็นเหยื่อของนักโจมตีระบบได้อีกด้วย

สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 875 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010

4. Vulnerability : คือ ช่องโหว่ของโปรแกรม, แอฟลิเคชั่น (Application), OS (Operating System) ที่สามารถเข้าระบบ หรือทำให้ระบบไม่สามารถทำงานได้อย่างปกติ เป็นผลให้เกิดการโจมตีขึ้นได้

สรุปภาพรวมทั้งปี 2011 เกิดขึ้นจำนวน 5,442 ครั้ง ลงเมื่อเทียบกับปี 2010

5. Proxy : คือ Website / Domain / IP Address ที่ทำตัวเองเป็นตัวกลางในการติดต่อสื่อสาร ซึ่งมีโอกาสที่เป็นเครื่องมือของผู้ไม่ประสงค์ดี และเป็นช่องทางในการกระทำความผิดเกี่ยวกับอาชญากรรมคอมพิวเตอร์ เพื่อปิดบังค่า IP Address ที่แท้จริงของผู้ใช้งานได้

สรุปภาพรวมทั้งปี 2011 เกิดขึ้นจำนวน 12,709 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010

ทั้งปี 2011 สรุปภัยคุกคามทั้ง 5 ประเภทรวมทั้งเป็น 26,394 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010 ดูรายละเอียด

ประเภทองค์กรภายในประเทศไทย ที่พบภัยคุกคามเป็นภาพรวม

แบ่งเป็น 3 ชนิดภัยคุกคาม 7 กลุ่ม คือ ชนิดภัยคุกคามจะประกอบด้วย 7 กลุ่ม ดังนี้

ชนิดของภัยคุกคามทั้ง 3 ชนิดประกอบด้วย

ชนิดที่ 1 : เว็บไซต์ในประเทศไทยที่ถูกโจมตี ได้แก่ การโจมตีชนิดที่มีการเปลี่ยนแปลงข้อมูลในเว็บไซต์ (web defacement)
ชนิดที่ 2 : เว็บไซต์ในประเทศไทย ที่ตกเป็นฐานของฟิชชิ่ง (Phishing) จนกลายเป็นเว็บหลอกลวง
ชนิด ที่ 3 : เว็บไซต์ในประเทศไทย ที่ติดไวรัสคอมพิวเตอร์ ซึ่งส่วนใหญ่แล้วจะเป็นเว็บไซต์ที่ถูกโจมตีแล้วสามารถเข้าถึงระบบได้จากนั้น จึงนำ file ที่ติดไวรัสเข้ามาใส่ในเว็บไซต์เพื่อใช้หลอกให้ผู้ใช้งานติดไวรัสต่อไป
ภาพที่ 2 ภาพรวมค่าสะสมจากอดีตจนถึงปัจจุบันบนระบบฐานข้อมูลภัยคุกคามที่เกิดขึ้นในประเทศไทย เมื่อแยกตามประเภทขององค์กร

ในรอบปี 2011 ที่ผ่านประเภทองค์กรที่พบภัยคุกคามดังนี้

ภาพที่ 3 สถิติภัยคุกคามเมื่อทำแยกแยะตามประเภทขององค์กร ที่เกิดในรอบปี 2011

ซึ่งแยกแยะตามรายชื่อโดเมนตามชื่อหน่วยงาน ได้ 7 กลุ่ม
1. สำหรับการศึกษา (Academic) จำนวนที่พบภัยคุกคามคือ 1,433 ครั้ง
2. สำหรับบริษัทห้างร้าน (Commercial Companies) จำนวนที่พบภัยคุกคามคือ 1,162 ครั้ง
3. สำหรับรัฐบาล (Governmental Organizations) จำนวนที่พบภัยคุกคามคือ 3,406 ครั้ง
4. สำหรับทหาร (Military Organizations) จำนวนที่พบภัยคุกคามคือ 129 ครั้ง
5. สำหรับหน่วยงานที่ไม่หวังผลทางการค้า (Registered Non-profit Organizations) จำนวนที่พบภัยคุกคามคือ 90 ครั้ง
6. สำหรับผู้ให้บริการอินเทอร์เน็ต (officially registered Internet Service Providers) จำนวนที่พบภัยคุกคาม คือ 2 ครั้ง
7. สำหรับหน่วยงานทั่วไป (Individuals or any others) จำนวนที่พบภัยคุกคาม คือ 528 ครั้ง

บทวิเคราะห์
โดย รวมทิศทางข้อมูลเชิงสถิติภัยคุกคามที่เกิดขึ้นในประเทศไทยโดยรวมนั้นมีอัตรา สูงขึ้นอย่างต่อเนื่อง ซึ่งเป็นไปตามการเข้าถึงเทคโนโลยีอินเทอร์เน็ตที่มีอัตราการใช้งานเพิ่มขึ้น ทุกปีเช่นกัน ภัยคุกคามในแต่ละประเภทที่จัดทำเป็นสถิตินั้นเป็นภัยคุกคามที่เชื่อมโยง ถึงกันซึ่งอาจเกิดจากส่วนใดส่วนหนึ่งก่อนแล้วเกิดผลตามมา ยกตัวอย่างเช่น เกิดจาก Web Attack ก่อน เมื่อนักโจมตีระบบ (Hackers) เข้าถึงระบบ Web Application ได้แล้วก็จะทำการเข้าถึง Web Server และระบบปฏิบัติการ OS ตามลำดับจากนั้นทำการติดตั้ง Malware และทำให้ Website / Domain / IP Address นั้นเป็นพาหะที่ทำให้เกิดติดเชื้อ และแพร่กระจายกลายข้อมูลผ่าน Link ต่างๆ ตาม Web board , Social network หรือ e-mail ในลักษณะ Phishing เป็นต้น
ซึ่งผู้ใช้งานควรมีความตระหนักรู้เท่าทันภัยคุกคามและหมั่นตรวจ สอบความปลอดภัยข้อมูลเป็นระยะโดยดูช่องโหว่ (Vulnerability) ของซอฟต์แวร์ , OS ที่ตนเองมีอยู่ ใช้อยู่ หากมีการแจ้งเตือนช่องโหว่ควรศึกษาว่าช่องโหว่นั้นมีผลต่อการใช้งานอย่างไร หากเป็นช่องโหว่ที่เข้าถึงเครื่องคอมพิวเตอร์เราได้นั้นควรรีบแก้ไขโดยเร็ว อย่างมีสติ หากเป็นผู้ดูแลระบบนั้นต้องหมั่นดูแลเรื่องนี้เป็นพิเศษ
ที่น่าสนใจคือทิศทางของการใช้งาน Proxy ทั้งที่เป็น Proxy Server , Anonymous Proxy ซึ่งมีการใช้งานที่สูงขึ้นมากอาจเป็นต้องการรักษาความลับและความเป็นส่วนตัว ของผู้ใช้งานมากขึ้น และอีกประเด็นคือที่ระบบ SRAN ตรวจพบ Proxy เยอะก็เพราะอาจมีการเข้าถึงระบบโดยเข้ายึดเครื่องและแปลงสภาพเครื่องที่ยึด ได้นั้นมาเชื่อมต่อการใช้งานแบบ Proxy เพื่ออำพรางการกระทำใดบางอย่าง ซึ่งเทคนิคดังกล่าวนี้จะส่งผลให้การสืบสวนทางอินเทอร์เน็ตทำได้ยากลำบากมาก ขึ้นนั้นเอง โดย IP Address ที่พบในฐานข้อมูลก็บ่งบอกว่ามีทั้งเครื่องแม่ข่าย (Server) และ เครื่องลูกข่าย หรือเครื่องผู้ใช้งานทั่วไป จากเมื่อก่อนการทำ Proxy ได้นั้นควรจะเป็นเครื่องแม่ข่าย แต่นี้ก็แสดงถึงการยึดระบบนั้นเข้าถึงเครื่องใช้งานทั่วไปของคนปกติที่ ออนไลน์ตลอดเวลาไม่ว่าเป็นเครื่องตามบ้านผ่าน ADSL ความเร็วสูงหรือแม้กระทั่งบนสมาร์ทโฟนที่ online อินเทอร์เน็ตตลอดเวลา ซึ่งเทียบได้กับ Server ในอดีตแต่การเปลี่ยนค่า IP Address จะไม่คงที่เท่ากับเครื่อง Server ซึ่งเท่ากับว่าเราๆท่านๆอาจมีโอกาสเป็นเครื่องมือของผู้กระทำความผิดได้เช่น กัน

ด้วยความปรารถนาดีจาก ทีมพัฒนา SRAN
SRAN Dev Team

สวัสดีปีใหม่ครับ

ปล. ข้อมูลสถิติที่เกิดขึ้นนั้นเกิดจากซอฟต์แวร์ zemog bot (สีหมอกบอท) ที่เป็นงานวิจัยและพัฒนาขึ้นจากทีมงาน SRAN สร้างขึ้น หลักการณ์เป็นการทำงานแบบ crawler โดยสร้างเป็นบอท (robot) พิเศษที่มีความชาญฉลาดกว่า crawler ทั่วไป หน้าที่คือตรวจสอบข้อมูลเมื่อพบ ASN (Autonomous System Number)ในประเทศไทยแล้วค้นหาตาม IP Address / Domain ที่พบภัยคุกคามจากแหล่งข่าวต่างๆ บนโลกอินเทอร์เน็ต แล้วนำมานำรวบรวมข้อมูล คัดแยกข้อมูลแล้วนำเสนอเป็นข้อมูลเชิงสถิติ ซึ่งไม่ได้หมายความว่าตัวเลขที่พบเป็นภัยคุกคามที่เกิดขึ้นทั้งหมด แต่เป็นการเกิดจากบอทที่สร้างขึ้นและค้นพบในโลกอินเทอร์เน็ต

รายละเอียดเพิ่มเติมดูได้ที่ http://www.sran.net/statistic