Monday, January 19

ในที่สุดเราก็มองเห็น HTTPS ด้วย SRAN {{ Net Approve }}

ก่อนหน้านี้ผมได้กล่าวไปแล้วเรากำลังอยู่ในยุคจุดจบ sniffer การดักรับข้อมูลทางระบบเครือข่าย จะไม่สามารถมองเห็นได้ง่ายอีกต่อไป เนื่องจากทุก Application ในอนาคตจะมีการเข้ารหัสผ่าน Protocol ที่ปลอดภัยมากขึ้น

จึงเป็นโจทย์ใหญ่ที่เราต้องเตรียมตัวรับมือ
- ไม่ว่าการเข้ารหัสของมัลแวร์บางชนิดที่ส่งข้อมูลผ่าน SSL หรือ HTTPS ออกไปนอกองค์กร
- การที่ไม่สามารถยืนยันการกระทำความผิดได้ภายในองค์กรและหน่วยงานที่ยังต้องใช้พวก Social Network ในการทำงาน อันเนื่องจากไม่สามารถส่ง ค่า syslog จาก Content Provider ในต่างประเทศส่งมาให้เราเก็บข้อมูลได้
- การไม่สามารถปิดกั้นเว็บเพจ URI ผ่าน HTTPS ได้

ผมและทีมงานได้ค้นคว้าและคิดว่าเราต้องทำอะไรสักอย่างเพื่อการมองเห็นสิ่งนี้

และการมองเห็นนี้จะไม่ได้ไปใช้ในทางที่ผิด แต่กลับเป็นประโยชน์กับหน่วยงาน องค์กร และบริษัท ที่จำเป็นต้องมองเห็นพฤติกรรมดังกล่าว

"HTTPS ควรมองเห็น" เพราะเราไม่มีทางได้ Log จากต่างประเทศได้ตลอดทุกกรณี มันเป็นเกมส์ด้านความมั่นคงระดับประเทศ แต่การมองเห็น HTTPS มันควรเกิดขึ้นกับองค์กร หรือบริษัท มิใช่ระดับประเทศเพราะนั้นมีคนอีกมากมายอาจได้รับผลกระทบทั้งที่เขาเสียค่าบริการ แต่อย่างไรก็ดีเสรีภาพก็ย่อมมาด้วยความรับผิดชอบ

ซึ่งผมชัดเจนว่า "ไม่ส่งเสริมให้ทำที่ Gateway ระดับประเทศนะครับ"  แต่ควรจะทำในระดับองค์กรการเก็บ Log ที่ควรระบุตัวตนผู้ใช้งานที่แท้จริงได้ หรือไม่ก็ปิดกั้นการเข้าถึง Application ที่ไม่สามารถมองเห็นได้ไปเลย ซึ่งจะทำได้เฉพาะในระดับองค์กร ห้างร้าน โรงเรียน บริษัทขนาดเล็ก และขนาดกลาง  หรือพื้นที่มีความเสี่ยงในการกระทำความผิด อันได้แก่ Free wifi ร้านอินเทอร์เน็ต เป็นต้น ส่วนองค์กรขนาดใหญ่ต้องมีการศึกษาและออกแบบระบบก่อนติดตั้งเครื่องมือ

"ระดับองค์กรทำได้เลย แต่ระดับประเทศยังไม่แนะนำ"


 
ภาพ ห้องปฎิบัติการ (LAB) เล็กๆจากงบประมาณจำกัดของเรา ที่ใช้ทำการทดสอบ SSL Capture บนระบบเครือข่าย


ภาพการติดตั้งยังคงเป็นแบบ Transparent โดยใช้อุปกรณ์เสริมเช่น อุปกรณ์ Net optics /Network TAP

เราพัฒนาบน SRAN รุ่น Hybrid  แต่เราไม่ทำการรับ syslog มีการเปลี่ยน Function การทำงานให้มีการระบุตัวตนการใช้งานก่อนถึงจะเข้าถึงอินเทอร์เน็ตได้

เราตั้งชื่อตัวใหม่นี้ว่า "Net Approve" ผมตั้งใจเป็นชื่อนี้ เนื่องจากมันต้องยืนยันบางสิ่งบางอย่างก่อนได้รับการเข้าถึงข้อมูลหรือออนไลน์

โดยมีฟังชั่นการทำงานที่เพิ่มมา ดังนี้คือ
(1) การ Redirect traffic เพื่อการ Authentication  โดยต้องมี accounting ในระบบและยืนยันการใช้งานโดย Data Owner ในองค์กร 
(2) ตรวจความเคลื่อนไหวและเครื่องผิดปกติ (Rouge Detection) เครื่องแปลกปลอมในองค์กร 
ทั้งนี้รวมถึงเครื่องที่มีโอกาสติดเชื้อมัลแวร์ (Malware) และ บอตเน็ต (Botnet) ด้วยเทคนิค "Passive Inventory"
(3) การมองเห็นข้อมูลจราจรแบบ SSL  ที่ผ่าน HTTPS พร้อมการระบุตัวตน ด้วยเทคนิค "SSL Capture" โดยไม่ทำให้บราวเซอร์ของผู้ใช้งานมองเห็นว่าเป็นใบรับรองความปลอดภัยที่ถูกต้อง (หน้าจอ https เป็นสีเขียว)
(4) การเก็บบันทึกข้อมูลจราจรที่รองรับได้ตาม พรบ. คอมพิวเตอร์ ทั้งฉบับเก่าและฉบับร่างใหม่ พร้อมการยืนยันการเข้าถึงและสิทธิในการเข้าถึงชั้นข้อมูล
(5) การสรุปปริมาณ Application Traffic ที่ใช้ในองค์กร  เป็นเมนูใหม่เรียกว่า "Application Monitoring" จะทำให้เราทราบถึงปริมาณ Bandwidth แต่ละ Application ที่ใช้ในองค์กรได้


ภาพฮาร์ดแวร์ต้นแบบ {{ Net Approve }}



 ภาพหน้าแสดงข้อมูลของ SRAN : {{ Net Approve }} ผลิตภัณฑ์ใหม่ของกลุ่ม SRAN กับการมองเห็น HTTPS หรือ SSL ได้


จากภาพจะพบว่าตอบได้ครบถ้วน Who , What , Where , When Why (How)

ในบริษัทแห่งหนึ่งที่ต้องการเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ ตามกฎหมาย ไม่ว่าเป็นกฎหมายเก่าหรือที่จะเกิดขึ้นใหม่  สิ่งสำคัญก็คือการระบุตัวผู้กระทำได้ ไม่เช่นนั้นก็ไม่เกิดประโยชน์ในการหาหลักฐานเมื่อเกิดเหตุการณ์ที่ต้องการขอดู Log file ย้อนหลัง

บริษัท หรือ หน่วยงานต่างๆ ก็ถือได้ว่าเป็นผู้ให้บริการ (ที่หมายถึงผู้ให้บริการ ก็เนื่องจากมีผู้ใช้งานมากกว่า 1 คน) โดยมีพนักงาน หรือบุคลากรในองค์กรนั้น เป็นผู้ใช้บริการ IP ที่ได้รับจาก ISP นั้นเมื่อใช้งานต้องสามารถระบุได้ว่าใคร ทำอะไร ที่ไหน อย่างไร  
ถึงเป็น Log file ที่มีคุณภาพ 

Log files ที่ดีต้องระบุตัวตนผู้ใช้งานพร้อมทั้งทราบถึงการกระทำสิ่งใดอยู่ได้ หากเก็บเยอะ แถมยังลงทุนสูง แต่ระบุส่วนนี้ไม่ได้ จะไม่เกิดประโยชน์เลย ในการจัดทำเรื่องนี้ต้องคำนึงถึงส่วนนี้ให้มาก ไม่เช่นนั้นจะเป็นการลงทุนโดยไม่เกิดประโยชน์

"สำคัญที่สุดคือเมื่อเกิดเหตุอันไม่พึ่งประสงค์ ต้องรู้ให้ได้ว่าคือใคร เป็นผู้กระทำ"


 

ภาพหน้าจอผู้ใช้งานในองค์กรเมื่อเข้า facebook (เพจ https://www.facebook.com/Defamily.Router จะไม่พบความผิดปกติ 

ภาพแสดงหน้าจอ Passive Inventory เทคนิคใหม่ที่เราไม่จำเป็นต้องใช้ Protocol ประเภท Network Management หรือ SNMP เราใช้แบบ Agent less คือไม่ต้องลงซอฟต์แวร์ใดๆ แต่สามารถเก็บข้อมูลบนระบบเครือข่ายได้ 

หน้าจอ Application Monitoring ที่สามารถบ่งบอกถึง Application ที่ผู้ใช้งานระบบสารสนเทศในองค์กรใช้ปริมาณ Bandwidth ซึ่งจะทำให้เราทราบถึงค่าการใช้งานที่เกินความจำเป็นได้


เราคาดว่า Net Approve จะพร้อมจำหน่ายในเดือนเมษายน ปีนี้  



นนทวรรธนะ  สาระมาน
Nontawattana  Saraman
19/01/58





Tuesday, January 13

แนวโน้มและทิศทางภัยคุกคามทางไซเบอร์ ปี 2558

แนวโน้มและทิศทางภัยคุกคามทางไซเบอร์ ปี พ.ศ. 2558  มีดังนี้
1. อาชญากรทางอินเทอร์เน็ตจะเข้ามาใช้ darknet และฟอรัมที่เข้าถึงได้เฉพาะตัว เพื่อแบ่งปัน และขายโปรแกรมมุ่งร้าย
ปี 2557 ได้มีการบุกทำลายเครือข่ายมัลแวร์เกิดขึ้นหลายครั้ง รวมถึงกรณีของเครือข่าย GameOver และการโจมตี Citadel ต่อธนาคารหลายแห่งในญี่ปุ่น และการจับกุมกลุ่มผู้ควบคุม SpyEye ซึ่งเป็น command-and-control server พัฒนาการเหล่านี้จะทำให้การปกปิดตัวตน เป็นสิ่งจำเป็นในการก่ออาชญากรรมทางอินเทอร์เน็ต เนื่องจากผู้วิจัยด้านความปลอดภัยและผู้บังคับใช้กฏหมาย สามารถเข้าถึงแหล่งข้อมูลใต้ดินได้อย่างรวดเร็ว โดยเฉพาะกรณีของภาพคนดังที่เก็บอยู่ใน iCloud ที่ถูกบุกรุก และเผยแพร่ในเว็บ Reddit และ 4chan และไปอยู่ใน Deep Web ในท้ายที่สุด
การใช้ Deep Web และบริการ darknet หรือการใช้เครือข่ายที่ปกปิดตัวตนและไม่สามารถตามรอยได้อย่างเช่น Tor I2P และ Freenet เพื่อแลกเปลี่ยน ขายเครื่องมือ และบริการ ไม่เป็นสิ่งใหม่อีกต่อไป เราได้เห็นอาชญากรใช้ top level domain (TLD) เพื่อเป็นโดเมนทางเลือกเพื่อในการปกปิดตลาดใต้ดินเช่น Silk Road ซึ่งถูกปิดตัวลงโดยหน่วยสืบสวนกลางของสหรัฐ ฯ​ หรือเอฟบีไอ หลังจากการดำเนินงานได้สองปีครึ่ง
เรายังได้เห็นอาชญากรทางอินเทอร์เน็ต รับเอาเทคนิค targeted attack เพื่อนำมาใช้ในการหลบหลีกการตรวจจับที่ดีขึ้น อย่างที่เราได้ทำนายไว้ในปี 2556 ในแอฟริกา แสดงให้เห็นโดยการโจมตีช่องโหว่ที่เกี่ยวข้องกับ targeted attack ผ่านทางการแจกจ่ายมัลแวร์อย่างเช่น ZeuS อาชญากรยังได้ใช้ remote access tool (RAT) อย่างเช่น Blackshades ในการโจมตีเพิ่มขึ้น
ราคาของข้อมูลที่ได้จากการจารกรรมในตลาดใต้ดินลดลง เนื่องจากปริมาณสินค้ามีมากขึ้น ราคาเฉลี่ยของข้อมูลหมายเลขบัตรเครดิตลดลง จาก 3 ดอลลาร์ในปี 2554 เป็น 1 ดอลลาร์ในปี 2556 ข้อมูลบัญชีที่ถูกบุกรุกในตลาดใต้ดินของรัสเซียก็ลดลงด้วย ข้อมูลบัญชีเฟซบุ๊คที่มีราคาอยู่ที่ 200 ดอลลาร์ในปี 2554 ก็ขายเพียง 100 ดอลลาร์ในปี 2556 เนื่องจากมีผู้เล่นเข้ามาในระบบนิเวศของอาชญากรอินเทอร์เน็ตใต้ดินเพิ่มมากขึ้น ทำให้ราคาข้อมูลข่าวสารนี้ลดราคาลง อีกไม่นาน การหาลูกค้าขึ้นได้มากน้อย อยู่กับว่าใครสามารถให้ความมั่นใจกับผู้ซื้อได้ว่าจะไม่ถูกจับคาหนังคาเขา ผู้ขายจะขยับเข้าไปใต้ดินมากกว่าเดิม
เนื่องจากคนร้ายจะมุ่งเป้าหมายไปเว็บมากกว่าขึ้น บริษัทด้านความปลอดภัยและผู้บังคับใช้กฏหมายจึงต้องเพิ่มการจับกุมให้ครอบคลุมถึง Deep Web และ darknet ซึ่งจำเป็นต้องอาศัยความพยายามและการลงทุนเพิ่มขึ้น จำเป็นต้องมีหุ้นส่วนจากภาครัฐและเอกชนที่มากกว่าเดิม ในการขัดขวางการดำเนินการของอาชญากรอินเทอร์เน็ต บริษัทด้านความปลอดภัยจึงควรจัดหาข่าวกรองด้านภัยคุกคามต่อภัย เพื่อช่วยให้ผู้บังคับใช้กฏหมายจับผู้กระทำผิด ผู้ออกกฏหมายทั่วโลก จำเป็นต้องเห็นพ้องในการบัญญัติกฏหมายอาชญากรรมทางอินเทอร์เน็ต เพื่อช่วยเหลือผู้บังคับใช้กฏหมาย ไม่ว่าเขตอำนาจศาลจะเป็นอย่างไร เพื่อนำผู้กระทำผิดมาสู่กระบวนการยุติธรรม
2. กิจกรรมทางอินเทอร์เน็ตที่เพิ่มขึ้น จะกลายเป็นเครื่องมือและความพยายามในการโจมตี ที่ดีขึ้น ใหญ่ขึ้น และประสบความสำเร็จมากขึ้น
การเติบโตอย่างต่อเนื่องของกิจกรรมอินเทอร์เน็ตทั่วโลกหมายความว่า ปัจเจกบุคคลและหน่วยงานต่าง ๆ จะยังคงพ่ายแพ้ต่อภัยคุกคามและการโจมตีออนไลน์ อย่างไรก็ตาม อาชญากรทางอินเทอร์เน็ตจะให้ความสนใจกับเป้าหมายที่ใหญ่กว่า แทนที่จะเป็นปัจเจกบุคคล เนื่องจากมีผลประโยชน์ที่สูงกว่า
เราได้เห็นอาชญากรทางอินเทอร์เน็ตใช้มัลแวร์ RAM scrapers เพื่อขโมยข้อมูลลูกค้าหลายล้านระเบียนจากร้านค้าปลีกขนาดใหญ่ทั่วโลก ก่อนจบปี 2556 Target ได้ถูกขโมยข้อมูลบัตรเครดิตของลูกค้า 70 ล้านราย จากการโจมตีโดยใช้มัลแวร์ที่โจมตีระบบ PoS ไม่ได้มีเพียงแต่ Target เท่านั้นที่ถูกโจมตี ยังมีองค์การอื่น ๆ เช่น P.F. Chang ที่ประสบชะตากรรมเดียวกัน และหลายเดือนก่อนจบปีค.ศ. 2014 Home Depot ก็ได้กลายเป็นเหยื่อที่ถูกขโมยข้อมูลที่ใหญ่ที่สุด แทนที่ Target ไป องค์การที่ถูกบุกรุกสูญเสียข้อมูลของลูกค้า ความเสียหายต่อชื่อเสียง และเสียค่าใช้จ่ายสูง
ถึงแม้การบุกรุกส่วนใหญ่จะมีผลมาจากการโจมตีภายนอก แต่มีบางแห่ง เช่น การบุกรุก Amtrak ที่เกิดจากภัยคุกคามภายใน รายงานต่าง ๆ เปิดเผยว่า มีพนักงาน Amtrak คนหนึ่งที่ได้ขายข้อมูลส่วนตัวของผู้โดยสาร (personally identifiable information (PII)) กว่าสองทศวรรษก่อนที่จะถูกจับได้
เราจะได้เห็นเหตุการณ์การขโมยข้อมูลครั้งใหญ่สองครั้งหรือมากกว่าในแต่ละเดือน ธนาคารและสถาบันทางการเงิน และหน่วยงานที่เก็บรักษาข้อมูลของลูกค้า จะเป็นเป้าหมายดึงดูดการโจมตีเสมอ ดังนั้น เราจะได้เห็นถึงการเปลี่ยนแปลงผู้บริหารระดับสูงทุกครั้งที่พวกเขาพ้ายแพ้ต่อการโจมตี
ดังนั้นองค์การและปัจเจกบุคคลจะตอบสนองอย่างไร เป็นการดีที่สุดที่จะคาดคะเนถึงการถูกโจมตี บุคคลทั่วไปควรเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ ส่วนองค์การต่าง ๆ ควรเฝ้าดูเครือข่ายของตนอย่างต่อเนื่อง เพื่อป้องกันภัยคุกคามทุกชนิด และช่องโหว่ที่อาจถูกใช้เพื่อโจมตีได้
การเฝ้ารอโซลูชั่น อย่างเช่นระบบการจ่ายเงินที่ปลอดภัยมากขึ้น และการใช้การลงโทษทางกฏหมาย ถึงแม้จะอยู่ระหว่างการดำเนินการ แต่ก็ไม่เพียงพออีกต่อไป การตระหนักถึงภัยคุกคามที่มีจึงเป็นสิ่งที่ต้องทำ รวมถึงการมีแผนบรรเทาและเยียวยาความเสียหายจากการบุกรุกที่พร้อมใช้งาน เพราะไม่มีใครปลอดภัยจากการบุกรุก
3. exploit kit จะมุ่งเป้าไปที่แอนดรอยด์ เนื่องจากช่องโหว่ในโทรศัพท์มือถือ จะเป็นบทบาทหลักในการแพร่กระจายในโทรศัพท์มือถือ
นอกจากการทำนายว่าภัยคุกคามของแอนดรอยด์ในปี 2558 จะเพิ่มขึ้นจากปัจจุบันเป็นสองเท่าแล้ว จำนวนของช่องโหว่ในโทรศัพท์มือถือ แพลตฟอร์มและแอป จะทำให้เกิดความเสี่ยงด้านความปลอดภัยมากขึ้น ข้อมูลที่เก็บอยู่ในโทรศัพท์มือถือจะตกอยู่ในมือของอาชญากรทางอินเทอร์เน็ต เพื่อใช้ในการโจมตีหรือเพื่อจำหน่ายในตลาดใต้ดิน
ช่องโหว่ที่เราได้พบไม่เพียงแต่อยู่ในอุปกรณ์เท่านั้น แต่ยังอยู่ในแพลตฟอร์มและแอป ภัยคุกคามแพลตฟอร์ม เช่นช่องโหว่เกี่ยวกับ master key ยอมให้อาชญากรอินเทอร์เน็ตสามารถแทนที่แอปที่ถูกต้อง ด้วยเวอร์ชั่นปลอมหรือมุ่งร้าย เมื่อถูกโจมตี แอปจ่ายเงินจากจากผู้ผลิตจีน จะยอมให้คนร้ายสามารถหลอกล่อขโมยข้อมูลจากผู้ใช้ได้
เราจะได้เห็นผู้โจมตีโทรศัพท์มือถือใช้เครื่องมือที่คล้ายกับ Blackhole Exploit Kit (BHEK) เพื่อใช้ประโยชน์จากปัญหาในแอนดรอยด์ เช่น ปัญหาที่เรียกว่า Android OS fragmentation ความสำเร็จของ BHEK และเครื่องมือที่คล้าย ๆ กันในการแพร่กระจายในคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการต่าง ๆ กันจะช่วยให้อาชญากรทางอินเทอร์เน็ตสามารถโจมตีอุปกรณ์ที่ใช้แอนดรอยด์ เนื่องจากผู้ใช้ส่วนใหญ่ไม่สามารถอัพเดทระบบและซอฟท์แวร์ของพวกเขาได้อย่างสม่ำเสมอ คนร้ายอาจเปลี่ยนเส้นทางของอุปกรณ์ที่มีช่องโหว่ไปยังเว็บไซต์มุ่งร้าย เช่น การโจมตีที่ทำสำเร็จอาจทำให้พวกเขาสามารถเข้าถึงข้อมูลทั้งหมดที่เก็บอยู่ในอุปกรณ์ที่ได้รับผลกระทบ ที่แย่กว่าคือ เป็นที่รู้กันว่า exploit kit สามารถแพร่กระจายได้ในหลายแพลตฟอร์ม
เราจะได้เห็นจำนวนที่เพิ่มขึ้นของมัลแวร์โจมตีบริการทางธนาคารสำหรับโทรศัพท์มือถือ ต้นปีที่ผ่านมา เราเห็นอาชญากรทางอินเทอร์เน็ตที่อยู่เบื้องหลังการโจมตีที่เรียกว่า Operational Emmental ซึ่งหลอกล่อให้ลูกค้าธนาคารในยุโรป ให้ติดตั้งแอปแอนดรอยด์มุ่งร้าย เพื่อให้สามารถเข้าถึงบัญชีของพวกเขาได้ เราจะได้เห็นการโจมตีแบบนี้อีก ท่ามกลางความนิยมในการใช้บริการทางธนาคารสำหรับโทรศัพท์มือถือที่เพิ่มขึ้น
ภัยคุกคามทางคอมพิวเตอร์แบบดั้งเดิม อย่างเช่น ransomware และยุทธวิธีอย่างเช่น การใช้บริการ darknet จะมีส่วนร่วมในส่วนของโทรศัพท์มือถือ เราได้เห็น ransomware สำหรับโทรศัพท์มือถือตัวแรกไปแล้วในรูปแบบของมัลแวร์ REVETON ในปีที่ผ่านมา พร้อมกับมัลแวร์ที่ใช้ Tor เพื่อหลบหลีกการตรวจจับที่ดีกว่าเดิม
การติดตั้งแอปและการเยี่ยมชมเว็บไซต์มุ่งร้าย จะไม่เป็นเพียงหนทางเดียวในการแพร่กระจายมัลแวร์ผ่านโทรศัพท์มือถือ การโจมตีช่องโหว่ผ่านทางแพลตฟอร์มต่าง ๆ จะเป็นภัยคุกคามกับโทรศัพท์มือถือมากขึ้น ผู้จำหน่ายผลิตภัณฑ์ด้านความปลอดภัยจึงควรขยายการป้องกันการโจมตีช่องโหว่ ที่สามารถป้องกันโทรศัพท์มือถือ ในท้ายที่สุดผู้ผลิตโทรศัพท์มือถือและผู้ให้บริการ ควรทำงานใกล้ชิดกันมากขึ้น เพื่อหาโซลูชั่นในการแก้ไขช่องโหว่ เพื่อป้องกันการแพร่กระจายมัลแวร์และการขโมยข้อมูล
4. targeted attack จะเป็นอาชญากรรมทางอินเทอร์เน็ตที่เกิดขึ้นแพร่หลาย
การโจมตีแบบ targeted attack ที่ประสบความสำเร็จ และเป็นข่าวดัง จะทำให้เกิดการตระหนักว่าการโจมตีทางอินเทอร์เน็ตเป็นวิธีในการหาข่าวกรองที่ได้ผล การโจมตีแบบ targeted attack จะไม่เชื่อมโยงกับสหรัฐ​ฯ​ หรือรัสเซียเท่านั้น เราได้เห็นการโจมตีที่มีต้นกำเนิดมาจากประเทศอื่น ๆ เช่น เวียตนาม อินเดีย และสหราชอาณาจักร เราได้เห็นผู้ก่อภัยคุกคามที่มุ่งเป้าหมายการโจมตีไปที่ อินโดนีเซีย และมาเลเซียเช่นเดียวกัน
ภายในสองสามปี เราจะได้เห็นต้นตอ และเป้าหมายการโจมตีที่หลากหลายมากขึ้น โดยมีแรงจูงใจในการโจมตีที่หลากหลาย โดยเป้าหมายหลักยังคงเป็นข้อมูลรัฐบาลระดับลับสุดยอด ข้อมูลทางด้านการเงิน ทรัพย์สินทางปัญญา พิมพ์เขียวทางอุตสาหกรรม และสิ่งอื่น ๆ ที่คล้ายกัน
ถึงแม้การโจมตี targeted attack ส่วนใหญ่ที่เห็นในปัจจุบันจะเริ่มต้นด้วยการใช้อีเมลแบบ spear-phishing หรือ watering hole โซเชียลมีเดียจะถูกใช้เป็นอีกหนึ่งหนทางหนึ่งในการแพร่กระจายในอนาคตเพิ่มขึ้น ผู้ก่อภัยคุกคามจะสำรวจความเป็นไปได้ในการโจมตีช่องโหว่ในเราเตอร์ เพื่อใช้เป็นวิธีในการเข้าถึงเครือข่ายเป้าหมาย องค์การที่ตกเป็นเป้าหมายในอดีตไม่ควรประมาท เพราะว่าพวกเขาเคยถูกบุกรุกมาก่อน ไม่ได้หมายความว่าพวกเขาจะปลอดภัยจากการโจมตีในอนาคต ผู้ก่อภัยคุกคามอาจใช้เครือข่ายนี้เพื่อโจมตีเป้าหมายที่ใหญ่กว่า ซึ่งอาจเป็นหุ้นส่วนหรือลูกค้า
จะเกิดความต้องการโซลูชั่นแบบคลาวด์ ที่สามารถป้องกันตัวเองจากความเสี่ยงได้ ความนิยมของโซลูชั่นทางด้านเครือข่ายอย่างเช่นไฟร์วอลล์และ unified threat management (UTM) จะลดลง ระบบการวิเคราะห์ด้านความปลอดภัยที่ดีขึ้นจะเป็นส่วนสำคัญ​มากในการต่อสู้กับ targeted attack องค์การต่างๆ ควรตระหนักถึงสิ่งที่เป็นภาวะปกติ และตั้งไว้เป็นพื้นฐาน (baseline) เมื่อต้องเฝ้าดูภัยคุกคาม เทคโนโลยีด้านความปลอดภัยแบบดั้งเดิมหรือธรรมดาทั่วไป จะไม่เพียงเพียงพออีกต่อไป
5. วิธีใหม่ในการจ่ายเงินผ่านมือถือจะทำให้เกิดภัยคุกคามใหม่ขึ้นมา
การวางจำหน่าย Iphone 6 พร้อมกับระบบจ่ายเงินดิจิตัลแบบใหม่ที่เรียกว่า Apple Pay ในขณะเดียวกันกับการใช้งานเพิ่มขึ้นของ Google Wallet และวิธีจ่ายเงินอื่น ๆ ที่คล้ายกัน จะเป็นตัวเร่งให้การจ่ายเงินผ่านโทรศัพท์มือถือให้กลายเป็นกระแสหลัก เราจะได้เห็นภัยคุกคามใหม่ที่มุ้งเป้ามาที่แพลตฟอร์มการจ่ายเงินผ่านโทรศัพท์มือถือในไม่กี่เดือนข้างหน้า เหมือนกับช่องโหว่ FakeIP ในแอนดรอยด์ที่ยอมให้อาชญากรทางอินเทอร์เน็ตสามารถขโมยบัญชีผู้ใช้ Google Wallet ได้
ปีที่ผ่านมา แอป WeChat ยอมให้ผู้ใช้สามารถซื้อสินค้าโดยใช้ “เครดิต” (credits) ถ้าบริการนี้ได้รับความนิยม เราจะได้เห็นคนร้ายใช้ประโยชน์จากช่องโหว่จากแอปที่คล้ายกัน เพื่อขโมยเงินจากผู้ใช้
ถึงแม้เราจะยังไม่ได้เห็นความพยายามในการโจมตีระบบ Apple Pay ซึ่งประกอบด้วย NFC (near-field communications) และ Passbook ซึ่งเก็บข้อมูลบัตรเครดิตของผู้ใช้ อาจสันนิษฐานได้ว่าในขณะนี้ คนร้ายกำลังหาช่องโหว่เพื่อโจมตี Apple Pay รวมถึงกำลังตรวจสอบ NFC เช่นเดียวกัน
เพื่อให้ปลอดภัยจากภัยคุกคามที่กำลังปรากฏขึ้น ผู้ใช้งานควรปฏิบัติตามหลักความปลอดภัยในการใช้คอมพิวเตอร์ โดยเฉพาะที่เกี่ยวข้องกับการใช้ NFC บุคคลทั่วไปที่ใช้ NFC reader ผ่านทางโทรศัพท์มือถือ ควรปิดการทำงานเหล่านี้ เมื่อไม่ใช้งาน การล็อคอุปกรณ์จะช่วยป้องกันไม่ให้ตกเป็นเหยื่อ องค์การที่รับการจ่ายเงินผ่านโทรศัพท์มือถือ ควรติดตั้งและใช้โซลูชั่นด้านความปลอดภัยที่ป้องกันจากภัยคุกคามด้าน NFC และด้านอื่น ๆ ที่เกี่ยวข้อง
6. เราจะได้เห็นความพยายามค้นหา และโจมตีช่องโหว่ในซอฟท์แวร์โอเพ่นซอร์ส
ช่องโหว่ในโปรโตคอลแบบโอเพ่นซอร์สเช่น Heartbleed และการประมวลผลคำสั่งอย่าง Shellshock ที่ตรวจไม่พบมาเป็นเวลาหลายปี ได้ถูกโจมตีเป็นอย่างหนักในปีที่ผ่านมา นำไปสู่ผลเสียหายร้ายแรง ไม่กี่ชั่วโมงหลังจากมีการค้นพบช่องโหว่ Shellshock เราได้เห็น payload ของมัลแวร์ในวงกว้าง พบการโจมตีแบบ Distributed denial-of-service (DDoS) และ Internet Relay Chat (IRC) bots ที่เกี่ยวข้องกับการโจมตีช่องโหว่นี้ ซึ่งสามารถทำความเสียหายให้กับการดำเนินธุรกิจ การโจมตีนี้มีผลกระทบมากกว่าการโจมตีผ่านทางเว็บ ยังทำให้ผู้ใช้ลีนุกซ์และแอป ที่ต้องอาศัยโปรโตคอลอย่างเช่น HTTP, FTP และ DHCP ตกอยู่ในความเสี่ยงอีกด้วย
ช่องโหว่ Shellshock ทำให้นึกถึงช่องโหว่ Heartbleed ที่โจมตีผ่านทาง World Wide Web ซึ่งทำให้เว็บไซต์และแอปทางมือถือจำนวนมากที่ใช้ Open SSL ตกอยู่ในความเสี่ยงเมื่อต้นปีที่ผ่านมา การสแกน Top Level Domain (TLD) จำนวน 1 ล้านชื่อจากข้อมูลของ Alexa พบว่าร้อยละ 5 มีช่องโหว่แบบ Heartbleed เมื่อถูกโจมตี ช่องโหว่นี้จะยอมให้ผู้โจมตีสามารถอ่านส่วนของความจำในเครื่องคอมพิวเตอร์ที่ได้รับผลกระทบ ซึ่งอาจมีข้อมูลข่าวสารที่เป็นความลับอยู่
ผู้โจมตีจะยังคงค้นหาช่องโหว่แบบเดียวกับ Heartbleed และ Shellshock ในปีที่กำลังจะมาถึง พวกเขายังคงตรวจสอบแพลตฟอร์ม โปรโตคอล และซอฟท์แวร์บ่อย ๆ และอาศัยข้อปฏิบัติในการเขียนโค้ดอย่างไม่รับผิดชอบ เพื่อเข้าถึงเป้าหมายของพวกเขา อย่างในปี 2556 เราได้เห็นช่องโหว่ในเว็บมากขึ้น รวมถึง injection, cross-site-scripting (XSS) และการโจมตีทาง web apps อื่น ๆ เพื่อขโมยข้อมูลความลับ การโจมตีเช่นที่เกิดขึ้นกับ JPMorgan Chase & CO ทำให้ข้อมูลลูกค้ากว่า 70 ล้านรายตกอยู่ในความเสี่ยง กรณีเช่นนี้จะยังคงเกิดขึ้นต่อไป
การพัฒนาความปลอดภัยอย่างต่อเนื่องใน Microsoft Windows และระบบปฏิบัติการที่มีชื่อเสียงอื่น ๆ จะนำไปสู่การลดลงของช่องโหว่ในระบบปฏิบัติการของพวกเขา จะทำให้ผู้โจมตีหันเหความสนใจไปที่การหาช่องโหว่ในแพลตฟอร์มโอเพ่นซอร์สแทน และแอพพลิเคชั่นอย่างเช่น OpenSSL v3 และ OS kernel บุคคลทั่วไป และองค์การต่าง ๆ สามารถป้องกันตัวเองโดยการ patch และอัพเดทระบบและซอฟท์แวร์ของพวกเขาอยู่เสมอ นอกจากนี้ยังมีการแนะนำให้ลงทุนในโซลูชั่นด้านความปลอดภัยแบบ intelligence-base ที่หนุนโดยแหล่งข้อมูลข่าวสารภัยคุกคามที่ได้รับความเชื่อระดับโลกมากขึ้น ซึ่งสามารถขัดขวางความพยายามในการโจมตีช่องโหว่ได้ ถึงแม้จะยังไม่มี patch สำหรับแก้ไขช่องโหว่นั้นออกมาก็ตาม
7. ความหลากหลายทางเทคโนโลยีจะช่วยป้องกันอุปกรณ์แบบ Internet of Everything / Internet of Things (IoE/IoT)
จากการโจมตีขนาดใหญ่ แต่จะไม่ช่วยป้องกันข้อมูลที่พวกมันประมวลผลได้ผู้โจมตีจะหาอุปกรณ์เป้าหมาย IoE/IoT ที่สามารถโจมตีได้ เพราะความเป็นไปได้ในการใช้งานที่ไม่จำกัดของมัน เราจะได้เห็นการนำอุปกรณ์อัจฉริยะมาใช้งานมากขึ้น อย่างเช่น กล้องถ่ายรูปและทีวีอัจฉริยะ ภายในไม่กี่ปีข้างหน้านี้ พร้อมกับการโจมตีผู้ใช้งานอุปกรณ์เหล่านี้ เนื่องจากมีการกดดันจากตลาดที่ทำให้ผู้ผลิตอุปกรณ์ต้องออกผลิตภัณฑ์อัจฉริยะ เพื่อตอบสนองกับความต้องการที่เพิ่มขึ้น ดังน้นผู้โจมตีจึงเพิ่มการค้นหาช่องโหว่เพื่อประโยชน์ของตน
ถึงแม้จะมีการทำระบบอัจฉริยะให้กับอุปกรณ์ต่าง ๆ มากมาย แต่การโจมตีอุปกรณ์อัจฉริยะที่เราจะได้เห็น รวมทั้งในอุปกรณ์สวมใส่ได้ และอุปกรณ์ IoE/IoT อื่น ๆจะไม่ได้เกิดจากแรงจูงใจด้านการเงิน แต่จะเกิดจากการค้นคว้าวิจัยจากพวก whitehat ที่ต้องการเน้นให้เห็นความเสี่ยงและช่องโหว่ด้านความปลอดภัย เพื่อให้ผู้ผลิตสามารถปรับปรุงผลิตภัณฑ์ของพวกเขาได้ โดยเฉพาะวิธีที่พวกเขาจัดการกับข้อมูล เมื่อใดก็ตามที่อุปกรณ์เหล่านี้ถูกเจาะเพื่อจุดประสงค์อื่นนอกเหนือไปจากการแสดงให้เห็นช่องโหว่ เมื่อนั้นอาชญากรทางอินเทอร์เน็ตจะใช้การโจมตีแบบ sniffer, denial-of-service (DoS - ความพยายามในการทำให้บริการออนไลน์ให้บริการไม่ได้ โดยการทำให้การจราจรในเครือข่ายท่วมท้น จากการติดต่อสื่อสารจำนวนมากมายมาที่เป้าหมาย) และ man-in-middle (MiTM - การดักจับการสื่อสารระหว่างสองระบบ)
เนื่องจากอุปกรณ์ IoE/IoT ยังคงมีความหลากหลายมากเกินไป และยังไม่มี “killer app” เกิดขึ้น คนร้ายจึงยังไม่สามารถเริ่มการโจมตีได้อย่างแท้จริง ผู้โจมตีจึงมีแนวโน้มจะต้องการข้อมูลที่เก็บอยู่ในอุปกรณ์เหล่านี้มากกว่า ในปี 2558 เราคาดว่าผู้โจมตีจะเจาะฐานข้อมูลของผู้ผลิตอุปกรณ์อัจฉริยะ เพื่อขโมยข้อมูลข่าวสารในรูปแบบเดียวกับการโจมตีทางอินเทอร์เน็ตทั่วไป
อย่างไรก็ตาม จากการช่วยเหลือโดยการก่อตั้ง Open Interconnect Consortium (IOC) และการเปิดตัว HomeKit เราคาดหวังจะได้เห็นการเปลี่ยนแปลง เนื่องจากมีโปรโตคอลและแพลตฟอร์มต่างๆ ปรากฏตัวออกมาอย่างช้า ๆ เนื่องจากผู้โจมตีเริ่มเข้าใจถึงระบบนิเวศของ IoE/IoT มากขึ้น พวกเขาจะใช้วิธีการที่น่ากลัวมากขึ้นโดยใช้มัลแวร์ เพื่อข่มขู่เอาเงินจากผู้ใช้อุปกรณ์เหล่านี้ ตัวอย่างเช่น พวกเขาอาจขู่กรรโชกผู้ขับขี่รถยนต์อัจฉริยะ จนกระทั่งเจ้าของรถยนต์ยอมจ่ายเงิน เมื่อรถดังกล่าวออกวางตลาดในปี 2558 ดังนั้นผู้ผลิตรถยนต์อัจฉริยะจึงควรออกแบบระบบเครือข่ายในรถยนต์อัจฉริยะ ให้มีการป้องกันผู้ใช้จากภัยคุกคามดังกล่าวด้วย
8. ภัยคุมคามธนาคารออนไลน์และทางการเงินอื่น ๆ จะเกิดขึ้น
ข้อปฏิบัติด้านความปลอดภัยที่เปราะบาง แม้แต่ในประเทศที่พัฒนาแล้วอย่างสหรัฐ ฯ​ อย่างเช่นการไม่บังคับใช้ two-factor authentication และการใช้เทคโนโลยี Chip-and-PIN มีส่วนทำให้เกิดภัยคุกคามต่อบริการธนาคารทางอินเทอร์เน็ตและทางการเงินอื่น ๆ ที่เพิ่มขึ้น
เราได้เห็นจำนวนที่เพิ่มขึ้นของมัลแวร์ที่โจมตีบริการธนาคารทางอินเทอร์เน็ต ตลอดช่วงครึ่งปีแรกของค.ศ. 2014 นอกจากมัลแวร์ ZeuS ที่ขโมยข้อมูลแล้ว VAWTRAK ยังกระทบกับลูกค้าที่ใช้บริการธนาคารทางอินเทอร์เน็ตจำนวนมากมาย โดยเฉพาะในญี่ปุ่น ปฏิบัติการการโจมตีที่ซับซ้อนอย่าง Emmental ก็ได้พิสูจน์ให้เห็นว่า แม้แต่การใช้มาตรการ two-factor authentication ที่ธนาคารใช้ก็อาจยังมีช่องโหว่ได้
ในอีกไม่กี่ปีข้างหน้า อาชญากรทางอินเทอร์เน็ตจะไม่เพียงแต่เปิดการโจมตีโดยใช้แรงจูงใจทางการเงินกับผู้ใช้คอมพิวเตอร์เพียงเท่านั้น แต่จะมุ่งมาที่ผู้ใช้โทรศัพท์มือถือเช่นเดียวกัน พวกเขามีแนวโน้มที่จะใช้แอปปลอมและ Domain Name System (DNS) และโจมตี phishing กับผู้ใช้โทรศัพท์มือถือ คล้ายกับที่เราเคยเห็นในอดีต พวกเขาจะไม่หยุดอยู่กับการเข้าถึงบัญชีธนาคารทางอินเทอร์เน็ตเท่านั้น แต่จะไปไกลถึงการขโมยเอกลักษณ์ส่วนบุคคลด้วย และจะเป็นภัยคุมคามทางโทรศัพท์มือถือที่ตรวจจับได้ยากมากยิ่งขึ้น โดยใช้เทคนิคหลบหลีกการตรวจจับคล้ายกับมัลแวร์ในคอมพิวเตอร์
ความสำเร็จของการโจมตีแบบ targeted attack ในการได้มาซึ่งข้อมูลของผู้ใช้ยังดลบัลดาลให้อาชญากรทางอินเทอร์เน็ตใช้การสอดแนมที่ดีขึ้น เพื่อให้สามารถทำเงินได้มากกว่าเดิม
ภัยคุกคามด้านบริการธนาคารทางอินเทอร์เน็ตที่กำลังเติบโตขึ้นเรื่อย ๆ ควรเป็นแรงผลักดันให้ปัจเจกบุคคลและองค์การต่าง ๆ ใช้มาตรการ two-factor authentication และ hardware หรือ session token ที่ธนาคารและสถาบันการเงินต่าง ๆ ให้มา ผู้ให้บริการบัตรจ่ายเงินในสหรัฐ ฯ​และประเทศอื่น ๆ ควรใช้การป้องกันข้อมูลโดยการใช้บัตรแบบ Chip-and-PIN
คำศัพท์ 
darknet เป็นเครือข่ายส่วนตัวซึ่งจะมีการเชื่อมโยงเกิดขึ้นจากคอมพิวเตอร์ระดับเดียวกันที่ให้ความเชื่อถือกัน บางครั้งเดียวว่า "friends" (F2F) โดยใช้โปรโตคอลและพอร์ตที่ไม่เป็นมาตรฐาน darknet แตกต่างจากเครือข่ายแบบ peer-to-peer แบบกระจาย เนื่องจากใช้การแบ่งปันกันที่ไม่เปิดเผยตัว  (ไม่มีการเปิดเผย IP address)
Deep Web (ยังเรียกด้วยว่า Deepnet หรือ Invisible Web หรือ Hidden Web) เป็นเนื้อหาส่วนหนึ่งของ World Wide Web ที่ search engine มาตรฐานไม่ได้ทำดัชนีไว้ Mike Bergman ผู้ที่คิดวลีนี้ ได้กล่าวไว้ว่า การค้นหาในอินเทอร์เน็ตอาจเปรียบได้กับการลากแหไปทั่วพื้นมหาสมุทร อาจจะพบอะไรได้มากในอินเทอร์เน็ต แต่ยังมีข้อมูลข่าวสารที่อยู่ลึกและยังไม่ค้นพบ ข้อมูลข่าวสารในเว็บโดยส่วนใหญ่จะถูกฝังลึก และ search engine มาตรฐานไม่สามารถค้นพบได้ search engine แบบดั้งเดิมไม่สามารถเห็น หรือเรียกคืนเนื้อหาใน deep web ส่วนของเว็บที่ search engine มาตรฐานทำดัชนีไว้เรียกว่า Surface Web
Tor เป็นซอฟท์แวร์แจกฟรี ทำให้ผู้ใช้สามารถท่องอินเทอร์เน็ตโดยไม่ต้องเปิดเผยตัวตน ดังนั้นหน่วยงานรัฐบาล บริษัท หรือคนอื่น ๆ จึงไม่สามารถค้นหากิจกรรมและที่ตั้งของพวกเขาได้
targeted attack เป็นการโจมตีที่มุ่งเป้าไปที่ผู้ใช้คนใดคนหนึ่ง บริษัทหนึ่ง หรือองค์การหนึ่ง การโจมตีเหล่านี้ไม่ได้แพร่ไปทั่ว แต่จะออกแบบมาเพื่อโจมตี และบุกรุกเป้าหมายหนึ่งโดยเฉพาะ
Point of Sale หรือที่เรียกกันสั้น ว่า POS นั้น คือการเก็บข้อมูลการขาย และข้อมูลการจ่ายเงินที่เกิดขึ้น เมื่อมีการขายสินค้าหรือบริการ โดยทั่วไปแล้ว POS นั้นจะมีความเกี่ยวข้องกับเทคโนโลยีหรืออุปกรณ์เช่น คอมพิวเตอร์ การอ่านบาร์โค๊ต การอ่านแถบแม่เหล็ก หรือ หลาย ๆ เทคโนโลยีผสมกัน
Android OS fragmentation การที่มีจำนวนของแพลตฟอร์มแอนดรอยด์ที่สร้างขั้นมาโดยเฉพาะเกิดขึ้นมากมาย ทำให้เกิดความกังวลว่าความสามารถในการทำงานร่วมกันจะด้อยลง เป็นผลเนื่องมาจากความเป็นไปได้ที่แอพพลิเคชั่นที่สร้างขึ้นมาสำหรับแอนดรอยด์แพลตฟอร์มหนึ่งโดยเฉพาะ หรือการที่อุปกรณ์หนึ่งไม่สามารถทำงานร่วมกันกับอุปกรณ์แอนดรอยด์อื่น ๆ ได้
Ransomware เป็นมัลแวร์ที่จำกัดการเข้าถึงคอมพิวเตอร์ที่มันเข้าไปควบคุม และเรียกร้องค่าไถ่สำหรับผู้สร้างมัลแวร์ เพื่อให้ผู้ใช้สามารถใช้งานคอมพิวเตอร์ได้ตามเดิม ransomware บางรูปแบบใช้การเข้ารหัสไฟล์ในฮาร์ดไดรฟ์ของระบบ บางแบบอาจทำเพียงแต่ยึดระบบ และแสดงข้อความเพื่อให้ผู้ใช้จ่ายเงินให้
Spear-phishing เป็นความพยายามหลอกลวงผ่านทางอีเมล โดยมีเป้าหมายที่องค์การหนึ่งโดยเฉพาะ เพื่อให้สามารถเข้าถึงข้อมูลความลับโดยไม่ได้รับอนุญาต โดยปกติแล้วจะไม่เกิดจากผู้บุกรุกทั่วไปแบบสุ่ม แต่จะเกิดจากคนร้ายที่หวังได้รับผลตอบแทนทางการเงิน หรือเพื่อขโมยความลับทางการค้า หรือข้อมูลข่าวสารทางทหาร
Watering hole เป็นกลยุทธ์หนึ่งในการโจมตีคอมพิวเตอร์ ซึ่งเหยื่อจะเป็นกลุ่มหนึ่งโดยเฉพาะ ในการโจมตีนี้ ผู้โจมตีจะเดาหรือสังเกตการณ์ว่าเว็บไซต์ใดที่กลุ่มนี้ใช้อยู่ และแพร่กระจายมัลแวร์เข้าไปในเว็บไซต์เหล่านี้ ในที่สุดสมาชิกบางคนในกลุ่มเป้าหมายก็จะถูกโจมตีด้วยมัลแวร์
UTM เป็นวิวัฒนาการของไฟร์วอลล์แบบดั้งเดิม มาเป็นผลิตภัณฑ์ที่รวมทุกอย่างเข้าไว้ด้วยกัน ที่สามารถทำงานด้านความปลอดภัยหลายอย่างในเครื่องเดียว ได้แก่  network firewalling, network intrusion prevention และ gateway antivirus (AV), gateway anti-spam, VPN, content filtering, load balancing, data leak prevention และ on-appliance reporting
NFC เป็นเทคโนโลยีสื่อสารไร้สายระยะสั้นระยะประมาณ 4 ซม. ที่ใช้ได้ดีกับโครงสร้างพื้นฐานแบบไร้สัมผัส ช่วยสนับสนุนรองรับการสื่อสารระหว่างเครื่องมืออิเล็กทรอนิกส์ในระยะใกล้ๆ การประยุกต์ใช้งานส่วนใหญ่มักนำ NFC มาใช้กับการชำระเงินที่ต้องการความรวดเร็วและมีมูลค่าไม่สูง ซึ่งจะทำให้โทรศัพท์เคลื่อนที่ สามารถใช้เพื่อการชำระเงิน โดยวิธีการแตะบนเครื่องอ่านหรือเครื่องชำระเงิน เช่น การให้บริการในร้านอาหารจานด่วน ร้านขายสินค้า ระบบการซื้อขายตั๋ว และระบบการแลกเปลี่ยนข้อมูลแบบ peer-to-peer เช่น เพลง เกม และรูปภาพ การชำระเงินค่าโดยสารในระบบขนส่งมวลชน เป็นต้น การชำระเงินแบบไร้สัมผัสนี้ก่อให้เกิดการชำระเงินที่ง่ายและรวดเร็ว ลดการเข้าคิวชำระเงินในร้านค้า ห้างสรรพสินค้า และร้านสะดวกซื้อต่างๆ
Passbook เป็น application ใน iOS ที่ยอมให้ผู้ใช้สามารถเก็บคูปอง บัตรโดยสาร ตั๋วงาน บัตรเครดิต และบัตรเดบิตผ่านทาง Apple Pay
Chip and PIN เป็นชื่อที่คิดขึ้นโดยธุรกิจธนาคารในสหราชอาณาจักรและไอร์แลนด์ ใช้เรียกระบบจ่ายเงินสำหรับบัตรเครดิต เดบิตและเอทีเอ็ม ที่ใช้ EMV smart card
แปลและเรียบเรียงโดยทีม SRAN Dev
ข้อมูลอ้างอิง
http://www.trendmicro.com/vinfo/us/security/predictions/
http://en.wikipedia.org/wiki/Darknet_%28file_sharing%29
http://en.wikipedia.org/wiki/Deep_Web
http://en.wikipedia.org/wiki/Tor_%28anonymity_network%29
http://www.webopedia.com/TERM/T/targeted_attack.html
http://www.webopedia.com/TERM/A/Android_fragmentation.html
http://en.wikipedia.org/wiki/Ransomware
http://searchsecurity.techtarget.com/definition/spear-phishing
http://en.wikipedia.org/wiki/Watering_Hole
http://en.wikipedia.org/wiki/Unified_threat_management
http://en.wikipedia.org/wiki/Chip_and_PIN
http://en.wikipedia.org/wiki/Killer_application
http://www.9t.com/library/pdf/Point_of_Sale_POS_and_Retail.pdf
http://th.wikipedia.org/wiki/เนียร์ฟีลด์คอมมูนิเคชัน
http://en.wikipedia.org/wiki/Passbook_%28application%29
http://en.wikipedia.org/wiki/White_hat_%28computer_security%29
http://clpark.rmuti.ac.th/suthep/ideas/two-factor-authentication-wordpress-google-authenticator
http://en.wikipedia.org/wiki/Packet_analyzer
http://www.digitalattackmap.com/understanding-ddos/
https://www.owasp.org/index.php/Man-in-the-middle_attack

Friday, January 9

จุดจบของ Sniffer ที่ส่งผลกระทบต่อการทำ Lawful Interception

คำว่า "Lawful Interception" ปัจจุบันมีการพูดถึงคำศัพท์ตัวนี้กันมากขึ้น
ผมเขียนเรื่องนี้ราวปี 2552 ช่วงนั้นในประเทศฝั่งที่คิดว่าเป็นประเทศแห่งเสรีทั้งการแสดงออกทางความคิดและการปฏิบัติได้มี Lawful Interception ชนิดที่เป็นเรื่องเป็นราวมีกฎเกณฑ์มีกฎระเบียบอย่างชัดเจน ไม่ว่าเป็นประเทศในยุโรป และอเมริกา ก็มีการทำ Lawful Interception ทั้งสิ้น  ถึงจะให้ 

เสรีภาพสูง แต่ก็ต้องมาพร้อมกับความรับผิดชอบในการกระทำ 

เพื่อเป็นการควบคุมและตรวจสอบผลการกระทำที่อาจจะละเมิดผู้อื่น การโจรกรรมข้อมูล รวมไปถึงการโจมตีบนไซเบอร์จนถึงการกระทำความผิดด้านอาชญากรรมทางคอมพิวเตอร์ฯ (Cyber Crime) ดังนั้นในประเทศที่พัฒนาแล้วมักจะมีการลงระบบที่เรียกว่า Lawful Interception ซึ่งในตอนนั้นผมคิดว่ามันน่าจะนำมาใช้ในประเทศไทย ที่เรากำลังใช้ พรบ.คอมพิวเตอร์ฯ กันอย่างมึนงงกับเรื่องฐานความผิดในมาตราที่ 8 ในการดักรับข้อมูล หรือเทียบได้กับเทคนิคการ sniff ข้อมูล

 อ่านที่
 http://nontawattalk.blogspot.com/search?q=lawful
 http://nontawattalk.blogspot.com/search?q=sniffer
ซึ่งการทำ Lawful Interception มีทั้งที่ใช้ด้านเทคโนโลยี และ มีส่วนที่ไม่ได้ใช้เทคโนโลยี (ไม่แสดงรายละเอียดในบทความนี้) ในส่วนที่เป็นด้านเทคโนโลยีนั้น มีส่วนประกอบที่สำคัญคือต้องมีการทำ "การสนิฟ (Sniff)" หรือ การดัก-รับ ข้อมูล

ขอย้ำว่า Sniffer เป็นเพียงเครื่องหนึ่งในการทำ Lawful Interception
มิใช่ Lawful Interception = sniffer นั้นเป็นความหมายที่แคบไป

ย้อนหลังไปราว 12 ปี คือปี 2546 ผมและทีมงานได้นำเครื่องแม่ข่าย (Server) ที่มีอย่างน้อย 2 การ์ดแลนเพื่อทำ Bridge mode บน linux เป็น interface br0 (ในเวลาต่อมาไม่นานเทคนิคนี้ถูกเรียกว่าการติดตั้งแบบ In-line mode และเป็นที่มาของอุปกรณ์ประเภท NIPS) ในสมัยนั้นเราทำเพื่อดักข้อมูลหลังจากอุปกรณ์ Router ในองค์กรหนึ่งที่ได้รับอนุญาติจากเจ้าของบริษัทเพื่อตรวจหาความผิดปกติ ซึ่งต่อมาเทคนิคนี้ได้พัฒนากลายเป็นอุปกรณ์ SRAN  ในยุคปัจจุบัน

ภาพเครื่อง SRAN ในยุคดั้งเดิมติดตั้งแบบ In-line mode ขวางการติดต่อสื่อสารระหว่างอุปกรณ์ Router และ Switch (วิธีการนี้เหมาะกับระบบเครือข่ายขนาดเล็กเพราะอาจเกิดคอขวดที่อุปกรณ์ที่ติดตั้งแบบ inlineได้ดังนั้นต้องดูปริมาณขนาด Throughput อุปกรณ์เป็นหลัก)

เราก็เริ่มจากการดักรับข้อมูลบนระบบเครือข่าย  ซึ่งเมื่อก่อนนั้นข้อมูลที่ส่งผ่านระบบเครือข่ายจะวิ่งบน Protocol ที่สำคัญคือ HTTP , FTP , Telnet ซึ่งล้วนแต่เป็น Plain text  (อ่านออกได้ด้วยสายตามนุษย์)  ยังไม่มีการเข้ารหัสอย่างเก่ง Telnet กลายร่างเป็น SSH   แต่ที่สำคัญเรามักดักรับข้อมูลและเรียนรู้พฤติกรรม เทคนิคนี้ใช้ได้เป็นอย่างดี ตราบที่พบ Protocol ที่กล่าวมา

การมองเห็นข้อมูลบนระบบเครือข่ายคอมพิวเตอร์นั้นโดยใช้ Sniffer ประกอบด้วยดังนี้
(1) Time  วัน เวลา
(2) Source IP  ไอพีแอดเดรสต้นทาง 
(3) Destination IP ไอพีแอดเดรสปลายทาง
(4) ค่า MAC Address ทั้ง Source และ Destination (หากติดตั้งใน LAN ค่า MAC นี้จะเป็นค่าของอุปกรณ์ Switch ดังนั้นผู้ที่ใช้ Sniffer ในการวิเคราะห์ปัญหาระบบเครือข่ายต้องมีประสบการณ์พอที่แยกแยะให้ออก)
(5) Source Port
(6) Destination Port
(7) ประเภท Protocol
(8) Payload  ที่บรรจุเนื้อหา (Content)
ซึ่งส่วนที่เป็นเนื้อหา มีด้วยกัน 2 ชนิด คือ 
(8.1) เนื้อหาของข้อมูลที่ไม่มีการเข้ารหัส (Plain text) 
(8.2) เนื้อหาของข้อมูลที่มีการเข้ารหัส (Encryption)

ซึ่งทั้ง 2 ชนิดเนื้อหาของข้อมูลนี้ขึ้นกับข้อ (7) คือ ประเภท Protocol
Protocol ที่นิยมใช้กันและข้อมูลสามารถมองเห็นเนื้อหาของข้อมูลได้จากโปรแกรม Sniffer  ได้แก่ HTTP (80) , Telnet (23) , FTP (21) เป็นต้น
ส่วนที่เข้ารหัส ได้แก่ Protocol ในการรับส่ง E-mail  , Protocol ในการทำ VPN และการ Remote ระยะไกล และสำคัญสุดคือ HTTPS(443)

และ HTTPS  ที่ใช้การเข้ารหัสแบบ SSL (Secure Socket Layer) นี้แหละที่บอกว่า
"เรากำลังเข้าสู่ยุค จุดจบของ Sniffer"

ที่กล่าวเช่นนี้เป็นเพราะว่าปัจจุบันนี้ Content Provider รายใหญ่ที่คนไทยเมื่อออนไลน์ต้องใช้บริการไม่ว่าเป็น Google  ,Youtube  , Facebook , Twitter  แม้กระทั่ง Blognone  ยังเข้ารหัส  เป็น https://   ทั้งสิ้น

ภาพ https ของ facebook.com

การสังเกตให้ดูที่รูปแม่กุญแจหากเป็นภาพล็อคนั้นหมายถึงทุกการติดต่อสื่อสารภายใต้โดเมนนี้จะมีการเข้ารหัสข้อมูล

จากภาพเป็นการแสดงถึงการมองเห็นข้อมูลหากไม่มีการเข้ารหัสในเนื้อหาบนระบบเครือข่ายคอมพิวเตอร์ ช่องที่เป็น Signature HTTP Web Traffic Data นั้นจะเห็น path URL ของไอพีต้นทางที่เรียกใช้งาน ส่วน Signature HTTPS นั้นไม่สามารถมองเห็นได้เป็นช่องว่าง เป็นหน้าจอในอุปกรณ์ SRAN Light รุ่น Hybrid


 จากภาพ เมื่อ Capture ข้อมูลบนระบบเครือข่าย ที่มีการติดต่อสื่อสาร HTTPS ด้วยโปรแกรม Wireshark จะพบว่าค่า Payload ที่ผ่านการติดต่อสื่อสารแบบ HTTPS นั้นไม่สามารถอ่านออกได้เนื่องจากมีการเข้ารหัสข้อมูล

ดังนั้นโลกอินเทอร์เน็ตในยุคนี้และยุคหน้าจะประสบปัญหาการตรวจจับข้อมูล (Interception) โดยเฉพาะเจ้าหน้าที่ ที่ปฏิบัติงานในด้านนี้ ที่มีหน้าที่หาผู้กระทำความผิดฯ หรือจะใช้วิเคราะห์แก้ไขปัญหาระบบเครือข่ายอาจไม่สามารถใช้วิธีการดังกล่าวอย่างเต็มประสิทธิภาพ ไม่เหมือนก่อนอีกต่อไป

ภัยคุกคามที่เกิดขึ้นก็จะแฝงตัวมากับการเข้ารหัสผ่านช่องทาง SSL มากขึ้นเพราะมันหลบเลี่ยงการตรวจจับได้จากอุปกรณ์ป้องกันภัยคุกคามในองค์กรได้ระดับหนึ่ง

การซ่อนตัวบนโลกอินเทอร์เน็ตผ่านโปรแกรมอำพรางไอพีแอดเดรสก็มีการเข้ารหัสไม่สามารถมองเห็นการกระทำในค่า Payload หรือ Content (8.2) ได้เลย จึงเป็นเครื่องมือของแฮกเกอร์ได้ใช้ช่องทางนี้ปกปิดเส้นทางการทำงานของตนเองได้เป็นอย่างดี

การแกะรอยผู้กระทำความผิดเป็นไปได้ยากขึ้น ปัจจุบันเว็บการพนัน, เว็บลามกอนาจาร, รวมถึงแอฟลิเคชั่นบนมือถือหลายตัวมีการติดต่อสื่อสารแบบ SSL (HTTPS) หมดแล้ว

แล้วใครล่ะจะมองเห็น HTTPS ?
ตามหลักการที่ถูกต้องก็คือไม่มีใครมองเห็น แต่ในโลกความเป็นจริง การมองเห็นจะเห็นได้ที่ Provider หรือผู้ให้บริการ  ที่ไม่ใช่ผู้ให้บริการอินเทอร์เน็ตในประเทศไทยเรา  แต่เป็นผู้ให้บริการชนิดที่เรียกว่า "Content Provider" ส่วนมากตอนนี้คือจากประเทศสหรัฐอเมริกา ไม่ว่าเป็น Google , Facebook , Microsoft   มีการชิงพื้นที่กันอยู่คือ จีน Baidu  และ ญี่ปุ่น + เกาหลีใต้ ที่ Line
Content Provider เหล่านี้จะมองเห็น  โดยการมองเห็นจะเกิดจาก Log ของ Application ถึงแม้จะมี Server ในการประมวลผลอยู่หลายร้อยหลายพันเครื่อง และการติดตั้งอาจกระจายไปอยู่ในที่ต่างๆ แต่ Log file ชนิดที่เป็น local application log ที่ออกมาจากเครื่องแม่ข่าย (Server) จะทำให้แกะรอยได้

ซึ่งใน Log ที่กล่าวมานั้นจะสามารถอธิบายลักษณะผู้ใช้งานประเภทผู้ใช้งาน ผู้ชาย ผู้หญิง อายุ  ประเทศ การศึกษา รสนิยม ความสนใจ รวมถึงชีวประวัติของบุคคลนั้นได้เลย
ที่เรียกว่า การทำ Data Mining จาก Big Data

ในด้านความมั่นคง ข้อมูลดังกล่าวก็ต้องเป็นเครื่องมือสำคัญของประเทศมหาอำนาจ ได้ช่วงชิงความได้เปรียบอีกต่อไป ประเทศที่กลับตัวทันมักจะพัฒนาเองขึ้นมาจะไม่ยึดติดกับสิ่งที่ทำมา เช่นจีนตอนนี้สร้าง Baidu เป็นต้น

สรุป
Network Sniffer จะปรับตัวให้มองเห็นการเข้ารหัสในอนาคตจะพบการทำ MITM (Man In The Middle) เพื่อดักรับข้อมูลที่เข้ารหัสโดยเฉพาะ HTTPS มากขึ้น  ซึ่งส่วนนี้จะเกิดขึ้นก่อนใครคือในองค์กร บริษัทเอกชน ที่ต้องการควบคุมพนักงานตามกฏระเบียบองค์กร 
การทำ MITM ในองค์กรจะแตกต่างกับในระดับประเทศพอสมควร ทั้งการออกแบบและผลกระทบที่เกิดจากผู้ใช้งาน โดยเฉพาะด้านความรู้สึก การวิพากษ์วิจารณ์ ประเทศไหนที่คิดจากทำนั้นคงต้องดูหลายส่วนโดยเฉพาะผลกระทบต่อเสรีภาพที่ชอบอ้างกัน

Log file never die จะขอใช้คำนี้คงได้เพราะถึงอย่างไร Log ที่มาจาก Application ที่ติดตั้งใน Server นั้นๆ ย่อมมองเห็นทุกอย่างถ้าต้องการทำให้เห็น
และผู้ที่ครอบครอง Log นี้คือ Content Provider ที่คนไทยเราติดอยู่ จนถึงติดอันดับ 1 ใน 5 ของโลกเกือบทุกตำแหน่ง
เช่น https://www.sran.net


ภาพหน้าจอเว็บ sran.net ที่มีเป็น https

คนที่ดักรับข้อมูลทางระบบเครือข่ายจะมองไม่เห็นเพราะ https แต่เจ้าของเว็บ sran.net จะมองเห็น Log อันได้มาจาก Application Log ที่ทำหน้าที่เป็น Web Application คือ Log Apache  เป็นต้น



รัฐบาลควรศึกษาให้ดี หากลงทุน Lawful interception โดยใช้ MITM มาเกี่ยวข้องต้องลงทุนสูงมาก และเมื่อเทคโนโลยีเปลี่ยน จะใช้งานไม่ได้อย่างที่คิดไว้ ควรหาที่ปรึกษาที่เคยผ่านการทำงานประเภทนี้ไว้เพื่อเป็นแนวทางการทำงานที่ยั้งยืน

หากทำ MITM บนเครือข่ายคอมพิวเตอร์พบว่าหน้าจอจะเปลี่ยนไปดังภาพ

 จากภาพจะพบว่า https ที่แสดงบนบราวเซอร์จะแสดงค่าเป็นรูปกากบาท หรือ ตัวแดงขึ้นมาเพื่อเตือนว่าเป็น Certification จาก SSL ที่ผิด  

ถ้าเห็นแบบนี้บน google , facebook , youtube  ก็ให้รู้ไว้เลยว่ามีการดักข้อมูลอยู่  ซึ่งจะทำให้ไม่ขึ้นรูปตัวแดงนี้ ก็ต่อเมื่อต้องลง Certification ที่สร้างขึ้นมาเท่านั้น
กรณีอย่างนี้เคยเป็นข่าวสำหรับผู้ให้บริการอินเทอร์เน็ตบนสายการบิน ที่ชื่อว่า "gogo" ซึ่งผู้ใช้งานพบว่า youtube.com มี certification ที่ผิดปกติแล้ว capture หน้าจอเป็นข่าวใหญ่ไปช่วงปีใหม่ที่ผ่านมา







หน้าตา certification ที่ถูกสร้างขึ้นจาก gogo



 ซึ่งการลงในแต่ละระบบปฏิบัติการ (OS) ชนิดบราวเซอร์ ทั้ง PC และ มือถือ ลงแตกต่างกัน
เทคนิคนี้จะใช้ได้สำหรับองค์กร หรือบริษัท ที่ออกนโยบายควบคุมการใช้งานอินเทอร์เน็ตภายในองค์กร
ในระดับประเทศนั้นท่านผู้อ่านก็ลองคิดดูเอาเองว่าจะมีผลกระทบอะไร ?

เมื่อรู้แล้วสิ่งที่ทำให้ล่วงรู้ถึงข้อมูลภายใน HTTPS ได้นั้นคือ local server ของ application log ซึ่งเกิดจากผู้ให้บริการ Content provider แล้วพวกนั้นเขาจะส่ง log ให้เราหรือ ? google ส่ง log  facebook ส่ง log ให้เราหรือ ???

สิ่งที่รัฐควรจะทำ
ควรมาคบคิดกันว่า Log ที่เกิดจาก Content Provider ทำอย่างไรไม่ให้มันอยู่ในต่างประเทศ หรือ ทำอย่างไง ให้คนไทยใช้ของไทยกันมากขึ้น พัฒนาเองกันมากขึ้น เช่น Browser , Content Provider ที่สร้าง Social Network , Search engine , เครื่องมือซอฟต์แวร์ ซึ่งจะเป็นหนทางที่ยั้งยืนและมีประโยชน์ในระยะยาวสำหรับประเทศเรามากกว่า แต่ก็เท่ากับ "เราต้องอดเปรี้ยวไว้กินหวานมากๆ" อย่าพยายามเชื่อฝรั่งมากส่วนที่มาเป็นนายหน้าขายเทคโนโลยีหาใช่ตัวจริงเสียงจริงในการพัฒนา (Develop) ควรฟังและประยุกต์ให้เป็นของเราเอง


นนทวรรธนะ  สาระมาน
Nontawattana  Saraman
9 มค 58