Cyber security awareness สถาบันพระปกเกล้า

1

Data Protection
“หลักสู ตรผู้นายุคใหม่ ในระบอบประชาธิปไตย รุ่ นที่ 1”
3 กันยายน 2554

Surachai Chatchalermpun
Information Security Officer
PTT ICT Solutions Co., Ltd.
IRCA:ISO27001, CSSLP, SSCP, CEH, ECSA , LPT
Asia-Pacific Information Security Leadership Achievement Award

ใช้เพื่อการศึกษาเท่านั้น ห้ามมิให้ทาการคัดลอก ทาซ้ า เผยแพร่ ส่วนหนี่งส่วนใดในเอกสารฉบับนี้ ก่อนได้รับอนุญาตจากเจ้าของเอกสาร

2

Speaker Profile
Speaker profile


3

Speaker Profile
Speaker profile


TISA Volunteer

Main Objectives

1. เพื่อให้เข้าใจและตระหนักในภัยคุกคามต่างๆ ในโลก
Cyber

2. เรี ยนรู้วธีการป้ องกันและลดความเสี่ ยงให้ไม่ตองตกเป็ น
ิ ้
เหยือหรื อแพะรับบาป
่

3. เพื่อให้สามารถนาความรู ้ไปแบ่งปั น ถ่ายทอดผูอื่นได้
้
อย่างมีประสิ ทธิ ภาพ

Course Overview

เพื่อให้ผนายุคใหม่ได้รู้เท่าทันภัยคุกคาม เทคนิคของโจรในโลก Cyber ซึ่ ง
ู้
ใช้ กลโกง หลอกล่อ เหยือ หรื อใช้ความรู ้เท่าไม่ถึงการณ์ของเหยือ แล้วเอารัดเอาเปรี ยบ
่ ่
ทาให้เกิดผลกระทบต่อการทางานหรื อถูกล้วงข้อมูลส่ วนตัวได้ ทาให้อบอายและอาจถึง
ั
ขั้นนาไปสวมรอย ปลอมตัวเป็ นเหยือ แล้วกระทาความผิด จนทาให้เหยือต้องเป็ นแพะ
่ ่
รับบาป
ดังนั้น จึงต้องเรี ยนรู ้ที่จะตั้งรับ เพื่อหาวิธีการป้ องกันตนเองและรุ ก เพื่อเป็ น
ผูนาตัวแทนในการสื่ อสารให้ผที่ยงไม่รู้ได้ตระหนักและระมัดระวังมากยิงขึ้นโดยใช้
้ ู้ ั ่
SENSE of Security

เพราะ SECURITY จะเกิดขึ้นไม่ได้เลย หากขาด U

Agenda
1. การค้ นหาข้ อมูลส่ วนบุคคล(อืน) ด้วยอาวุธทาง Cyber
่
2. กลโกงการขโมยข้ อมูลบัตรเครดิต ง่ายนิดเดียว…แต่คุณอาจคาดไม่ถึง
3. ระวังเสี ยท่ า…โดนโพสต์ แกล้ง เพียงแค่รู้ Secret email Facebook เหยือ
่

4. คอมพิวเตอร์ สาธารณะ … กดอะไรก็รู้นะ เก็บไว้ทุก Shot เด็ด
5. USB Thumb Drive เสี ยบกระซวกไส้ ล้วงความลับ!!!
6. เมื่อ “สมาร์ ทโฟน”… กลายเป็ น “สมาร์ ทโจร” ยิงทันสมัย ยิงมีภยตามติวตัว
่ ่ ั
7. ภาพสยิว คลิบหลุด มากันอีกแล้ว…ลบยังไงให้สาปสูญ


Key Principle

3 Pillars of ICT 3 Pillars of Security
Disclosure
People Confidentiality

PPT CIA

Process Technology Integrity Availability
(Tool) Alteration Disruption

12

Do you have…

ใช้ เพื่อการศึกษาเท่านั ้น ห้ ามมิให้ ทาการคัดลอก ทาซ ้า เผยแพร่ ส่วนหนี่งส่วนใดในเอกสารฉบับนี ้ ก่อนได้ รับอนุญาตจากเจ้ าของเอกสาร

How well

do you PROTECT them ?


“If you know your enemies and know yourself, you will not
be imperiled in a hundred battles; if you do not know your
enemies but do know yourself, you will win one and lose
one; if you do not know your enemies nor yourself, you will
be imperiled in every single battle.”,

Sun Tzu – The Art of War 6th century BC

“รู้เข(ล)า รู้เรา”

การเปลียนแปลงรู ปแบบการกระทาความผิด
่


18
Let’s make “SENSES”


วันนีคุณคิดว่ าข้ อมูลในบัตรประชาชนสาคัญหรือไม่ !!!
้


ผลกระทบ…หากข้ อมูลส่ วนตัวรั่วไหล
แล้ วถูกสวมรอยเข้ าไปทาการรายงานภาษีส่วนบุคคลแทนเจ้ าของ จะเกิดอะไรขึน?
้

http://rdserver.rd.go.th

http://rdserver.rd.go.th

1. การค้นหาข้อมูลส่ วนบุคคล(อืน) ด้วยอาวุธทาง Cyber
่

www.lullar.com

1. การค้นหาข้อมูลส่ วนบุคคล(อืน) ด้วยอาวุธทาง Cyber
่


In cyber internet , I'm . . .

http://www.123people.com/s/surachai+chatchalermpun

And you ? 


2. กลโกงขโมยข้ อมูลบัตรเครดิต…ที่คุณอาจคาดไม่ ถึง


2. กลโกงขโมยข้ อมูลบัตรเครดิต…ที่คุณอาจคาดไม่ ถึง

Security Awareness >> VDO

750

http://socialmediatoday.com/pamdyer/266010/65-terrific-social-media-infographics


Person of the Year 2010
Mark Zuckerberg

ประเด็นน่ าสนใจ
Impersonation (การแอบอ้างสวมรอยบุคคล)
จะทาอย่างไรหากคุณหรื อหน่วยงานถูกสวมรอย
Marketing tool or Brand destruction
(เครื่ องมือทางการตลาดหรื อช่องทางทาลายภาพลักษณ์)
การส่ งข่าวสารถึงประชาชนได้เร็ วย่อมดี แต่หากมีผไม่ประสงค์ดี ส่ งข้อมูลผิดๆ ให้ประชาชน
ู้
ภาครัฐจะทาอย่างไร
Privacy (ข้อมูลส่ วนบุคคล)
่
ใส่ ขอมูลมากมาย แล้วความเป็ นส่ วนตัวอยูที่ไหน
้
Intelligent Internet Data Mining (ระบบสื บค้นข้อมูลอัจฉริ ยะ)
ค้นหาข้อมูลบุคคลจากเครื อข่ายสังคมออนไลน์
Social Network and Information Warfare (เครื อข่ายสังคมกับ
สงครามข้อมูลข่าวสาร)


ระวังเสี ยท่ า…โดนโพสต์แกล้ง เพียงแค่รู้ Secret email Facebook เหยื่อ

อย่ าให้ ใครยืมใช้ เครื่องคอมพิวเตอร์ / Smartphone/ Tablet ของคุณ ขณะที่ Login Facebook
ค้างเอาไว้ เพราะผู้ไม่ ประสงค์ดอาจจะเข้ าไปขโมย secret email นีได้ ง่ายๆ เพียงแค่เข้ าไปที่
ี ้
http://www.facebook.com/mobile/
แล้วไปโพสต์ ข้อความบนหน้ า Wall ของเหยือ…ทาให้ อบอาย หรือ เสียหายได้ (โดยไม่ ต้องรู้ password ของเหยือ)
่ ั ่
วิธีการลดความเสี่ยง คือ (ก่อนจะเสียท่ า)
1. Lock หน้ าจอเมื่อไม่ อยู่หน้ าคอมของคุณ หรือใส่ Pincode
2. Sign out ทุกครั้งหลังใช้ งานเสร็จหรือจาเป็ นต้ องให้ ผู้อนยืมใช้ เครื่องคอม
ื่
(ต้ องสงสัย ว่าน่ าจะเสียท่ าซะแล้ว) สามารถเข้ าไปเปลียน secret email โดยเข้ าไปที่ www.facebook.com/mobile/
่
Upload via Email  Find out more  refresh your upload email Reset

The Evolution of Privacy on Facebook
Finally … Privacy = Public ?

http://mattmckeon.com/facebook-privacy/

http://www.slideshare.net/padday/the-real-life-social-network-v2
ใช้เ2011 PTT ICT All Rights Reserved. ดลอก ทาซ้ า เผยแพร่ ส่วนหนี่งส่วนใดในเอกสารฉบับนี้ ก่อนได้รับอนุญาตจากเจ้าของเอกสาร
© พื่อการศึกษาเท่านั้น ห้ามมิให้ทาการคั

คาแนะนาเพือการป้ องกัน
่
• ไม่หลงเชื่อข้อมูลต่างๆ โดยง่าย
• ไม่เปิ ดเผยข้อมูลส่ วนตัวมากเกินไป
• ไม่ Click หรื อ Download โดยไม่ระมัดระวัง
• Update News
• Update Patch
• Update Anti-Virus/Anti-Malware
• เตรี ยมแผนรองรับเมื่อ Account ถูกขโมย

Important Trick for Account Recovery

Email x
Password x
Email y
Password y
Email n
Email x Password n
Password z


บทสรุป
• Social Network มีท้ งประโยชน์ และโทษ
ั
• มีมิจฉาชีพและภัยมากมายที่อาศัยช่องทางนี้
• ต้องใช้อย่างมีสติ รู ้เท่าทัน และระมัดระวัง


43
Security Awareness Poster


4. USB Thumb Drive เสียบกระซวกไส้ ล้วงความลับ!!!

Evil USB
Identity Theft



http://www.it24hrs.com/2011/usb-autorun/



่
ผลจากการเสี ยบ USB กะซวกไส้แล้วเห็นข้อมูล Password ของเหยือที่ได้มาจากค่าที่เก็บอยูใน
่
AutoComplete ของ Internet Browser เช่น Internet Explorer หรื อ
่
Firefox ไม่วาจะเป็ นเว็บไซต์ Social network, web mail หรื อ web board เป็ นต้น



ผลจากการเสี ยบ USB กะซวกไส้แล้วเห็นประวัติ URL เว็บไซต์ที่เราเคยเข้าใช้งานทาให้เหยือเสี ยความเป็ นส่ วนตัวได้ เพราะ
่
ถูกล่วงรู ้ ประเภทเว็บไซต์หรื อสิ่ งที่ชอบเข้าไปค้นหาใน internet ทั้งเรื่ องดีและไม่ดี ซึ่งอาจสร้างความอับอายได้

อีกทังหากหัวหน้ างานได้ ร้ ูว่าวันๆ ลูกน้ องไม่ ทางาน มัวแต่ เล่ นเว็บไซต์ ท่ี
้
นอกเหนือจากงาน อยู่เป็ นประจา
คราวนีหล่ ะ งานคุณอาจจะเข้ าโดยไม่ ร้ ู ตัว 
้

No remember Password
ติกให้คอมพ์ช่วยจา
๊
จะนาภัยมาสู่คณ
ุ

Facts:
• User ส่วนใหญ่มกติกให้คอมพิวเตอร์ช่วยจา Password
ั ๊
ให้
• ผูไม่หวังดีสามารถใช้งาน Account ของคุณโดยไม่ต้องรู้
้
Password
• ผูไม่หวังดีสามารถขโมย Password ทังหมดของคุณได้
้ ้


52

ตัวอย่างการติกให้คอมพิวเตอร์ช่วยจา
๊


53

ภัยทีอาจเกิดขึ้นกับคุณ
่


54

สรุป วิธีการป้ องกัน
• ไม่ ติ๊ก ให้คอมพิวเตอร์ช่วยจา Password แทนคุณ
• พิมพ์ Password ด้วยตัวเองทุกครัง ้
• Lock หน้ าจอคอมพิวเตอร์ทกครัง เมื่อไม่ใช้งาน
ุ ้


หากต้องการ Clear ค่าที่เคยให้คอมพิวเตอร์ จาไว้แล้วก่อนหน้านี้
แนะนาให้ใช้โปรแกรม CCleaner (ฟรี )


5. ภัยคอมพิวเตอร์ สาธารณะ … กดอะไรก็รู้นะ เก็บไว้ทุก Shot เด็ด

Key Logger



Hacker กาลังดักจับทุกๆ การกด Program หรือ Website
Keyboard ทีเ่ หยือพิมพ์ ลงไป
่ ทีกาลังเปิ ดใช้ งานอยู่ในขณะนั้น
่


Hacker กาลังดักดูภาพหน้ าจอ
ของเหยือในทุกๆ กิจกรรม
่

ปฏิทนการนัดหมาย
ิ Facebook Twitter

E-banking E-mail


“มือถือยิงทันสมัย ยิงมีภัย ตามติดตัว…”
่ ่


เมื่อ “สมาร์ ทโฟน” กลายเป็ น… “สมาร์ ทโจร”
เรื่องลับๆ อาจไม่ ลบอีกต่ อไป !!!
ั

ถึงแม้ลง…
Backdoor ่
ก็เสร็ จโจรอยูดี !!!


เมื่อ “สมาร์ ทโฟน” กลายเป็ น… “สมาร์ ทโจร”
เรื่องลับๆ อาจไม่ ลับอีกต่ อไป !!!


ภัยคุกคามต่ อความเป็ นส่ วนตัว !!!
โดยทีคณไม่ ร้ ูตัว…
่ ุ

• Can read SMS…
• Can read & send e-mail…
• Can see Call logs
• Can see & stolen your data in Phone or SD Card
• Can record & download your voice …
• Can see your WebCam…
• Can know Location where you are…


63

How to survive
• Raise user security awareness
• Always lock your mobile’s screen with PinCode
• Install mobile’s antivirus

• Don’t use free Wi-Fi, if you not sure it can trust
• Always check your list of Application
• If you use it as utility, change default password of
web management


คลิปฉาวหลุด...อีกแล้ ว!
งานนีคงเป็ นอุทาหรณ์ ให้ กับใครหลายคนที่ ชอบถ่ ายคลิปแล้ วมนใจว่ ายังไงก็ไม่ มีทางหลุด
้ ั่
ไปให้ สังคมภายนอกได้ รับรู้ ...


ลบแล้ว (จริงหรือ?) Recovery/Erase

• พฤติกรรมเสี่ ยง
• ส่ งเครื่ อง/media ซ่อม/คืน/ยืม
• ข้อสังเกต
• การลบโดยทัวไปมิได้ทาให้ขอมูลหายออกไปจาก media โดยทันที
่ ้
• Format ก็ยงไม่หาย ???
ั
• ความเสี ยหาย
• สูญเสี ยข้อมูลส่ วนตัว ข้อมูลเจ้านาย
ข้อมูลธุรกิจ แผนกลยุทธ์ ข้อมูลราคา
บัญชีลูกค้า เอกสารลับ ฯลฯ


ลบแล้วน๊ า…
มาได้ไง (Clip หลุด)

Facts:
• User ส่วนใหญ่ไม่ร้ว่าข้อมูลสามารถถูกกู้กลับคืนมาได้
ู
หลังจาก Delete หรือ Format Drive แล้ว
• User ส่วนใหญ่ขาดความรู้ในการลบข้อมูลอย่าง
ปลอดภัย
(Delete ≠ Erase)



• ถ้าต้องการเลิกใช้ข้อมูลนันอย่างถาวร
้
= ต้อง Erase (Securely delete) เท่านัน
้

โปรแกรม Eraser ทางานคล้ายๆผมครับ
ข้อมูลที่ถกทาลายแล้ว จะกู้คืนกลับมาไม่ได้อีก
ู

Delete หรือ “Shift + Delete” = กู้คืนข้อมูลกลับมาได้



หลักการทางานเบืองต้น
้
การเก็บข้อมูลต่างๆใน Hard disk ของเราก็เหมือนกับการเก็บข้อมูล
ในหนังสือ

หน้ า20 Note: ในการใช้งาน
เบอร์ น้องจอย
สารบัญ 08x-xxx-xxxx
ระบบจะไปที่สารบัญ
Email น้ องก้อย หน้ า 8 เพื่อหาดูว่า ข้อมูลที่
เบอร์ โทรน้ องจอย หน้ า 20
เราต้องการอยู่ที่ส่วน
ใดของ Hard disk



หลักการทางานเบืองต้น
้
• แต่เมื่อเราลบข้อมูลออกจาก Hard disk สิ่งที่ระบบทาก็คือ ลบข้อมูลออก
จากสารบัญเท่านัน!้ หน้ า20
เบอร์ น้องจอย
สารบัญ 08x-xxx-
Email น้ องก้อย หน้ า8 xxxx
ว่ าง หน้ า20

Note: เพื่อให้ข้อมูลใหม่สามารถ แต่ หากไม่มีข้อมูลถูกเขียนทับ
มาเขียนทับลงไปได้ ข้อมูลเดิมก็จะยังคงอยู่ตลอดไป


Secure ERASE
Remove the data securely

• Encouragement campaign to use the
ERASER secure deletion tool

• This tool provide US DOD 5220.22-M
(US military secure deletion requirement)


Trojan Horse

่ ิ่ ่
ความอันตรายทีแฝงเข ้ามากับสงทีเหมือนจะไม่มอะไร
ี

71

Security Awareness >> VDO

Can you trust this file?
Click or Not ?


73
Trusted Components

เข้ าสู่ บริการทีน่าเชื่อถือและไว้ ใจได้
่
เชื่อมต่ อผ่านระบบที่น่าเชื่อถือและไว้ ใจได้
เครื่องทีจะใช้ ต้องได้ รับการดูแลและรู้ ทมา
่ ี่
ผู้ใช้ งานต้ องมีความรู้ เท่ าทันและระแวดระวังอยู่เสมอ

http://www.thairath.co.th/content/tech/176993

พ.ร.บ.ว่ าด้ วยการกระทาความผิดเกียวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐
่
• ประกาศเมื่อวันที่ 18 มิถุนายน 2550
• เริ่มมีผลบังคับใช้ 18 กรกฎาคม 2550
• เจตนารมณ์
– กำหนดฐำนควำมผิ ดและบทลงโทษ
– กาหนดอานาจหน้ าที่ของพนักงาน
เจ้ าหน้ าที่
– กาหนดหน้ าที่ของผู้ให้ บริการ
• กฎหมายที่เกี่ยวข้ อง
– ประมวลกฎหมายอาญา – หลักการใช้ กฎหมายอาญา, เจตนา, ผู้ใช้ ,
ผู้สนับสนุน, เหตุยกเว้ นความรั บผิด, เหตุยกเว้ นโทษ, เหตุบรรเทาโทษ
– ประมวลกฎหมายวิธีพจารณาความอาญา – การสอบสวน & การดาเนินคดี
ิ

Qu35t!0n
&
Answer


78
Contact us
หากมีข้อสงสัยหรื อคาถามเพิ่มเติมติดต่ อได้ ที่:
Email: wonjujub@gmail.com
Twitter: @wonjujub
Facebook: Won Ju Jub

ติดตามผลงานได้ ที่:
Slideshare: www.slideshare.net/chatsec
YouTube: www.youtube.com/user/WonJuJub
Blogspot: www.wonjujub.blogspot.com/
Facebook Fanpage:
www.facebook.com/pages/Surachai-
Chatchalermpun/176012029101728


Cyber security awareness สถาบันพระปกเกล้า

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (6)

Mais de Surachai Chatchalermpun

Mais de Surachai Chatchalermpun (11)

Cyber security awareness สถาบันพระปกเกล้า