by A.Pinya Hom-anek,
GCFW, CISSP, SSCP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center
ภัย อันดับที่สี่ : ภัยจากการถูกแฮกเกอร์ยึดเครื่องคอมพิวเตอร์ไปทำเป็น “BOT” เพื่อสร้างเครือข่าย “BOTNET” 
ปัญหาใหญ่ของ ISP ในประเทศไทยวันนี้คือ เครื่องคอมพิวเตอร์ของลูกค้าทั้งตามบ้านและในองค์กรหลายร้อยหลายพันเครื่องถูกแฮกเกอร์เข้าโจมตีและยึดเครื่องเหล่านั้น เพื่อทำเป็น “BOT” หรือ “ROBOT” ให้รับฟังคำสั่งจากเครื่องของแฮกเกอร์ซึ่งจะ “Remote control” เครื่องของเราจากระยะไกล เมื่อแฮกเกอร์ยึดเครื่องได้หลาย ๆ เครื่องก็จะเกิดเป็นเครือข่ายของแฮกเกอร์ขึ้นโดยเราเรียกว่า “BOTNET” ย่อมาจาก “Robot Network” โดยที่เครื่องของเราเองจะดูเหมือนไม่มีอะไรเกิดขึ้น แต่กลายเป็นเครื่องที่ถูกแฮกเกอร์ควบคุมสั่งการจากระยะไกล ให้ทำเรื่องที่แฮกเกอร์ประสงค์ เช่น ส่ง SPAM Mail เป็นต้น
ปัญหา “BOTNET” เกิดจากผู้ใช้คอมพิวเตอร์ตามบ้าน และ ในบางองค์กร ไม่มีความรู้ความเข้าใจเรื่องการรักษาความปลอดภัยให้กับเครื่องคอมพิวเตอร์อย่างเพียงพอ เช่น ไม่เปิด Personal Firewall หรือ “Windows Firewall บางที ก็ไม่ลง Patch ล่าสุด ไม่ “Update Patch” ให้เป็นปัจจุบัน ทำให้เครื่องคอมพิวเตอร์มีช่องโหว่ (Vulnerability) ที่ยังไม่ได้รับการแก้ไขที่ถูกต้อง เป็นสาเหตุให้แฮกเกอร์สแกนตรวจพบช่องโหว่ และ เข้าโจมตีเครื่องของเราได้ง่ายผ่านทางอินเทอร์เน็ต โดยเฉพาะ “Broadband Internet” ซึ่งแต่ละคนสามารถสแกนกันได้อยู่แล้ว ดังนั้น เราจำต้องป้องกันเครื่องของเราโดยที่อย่างน้อยก็ควรติดตั้ง Personal Firewall หรือ Windows Firewall ให้เรียบร้อย ตลอดจนควรหมั่นขยัน “Update Patch” โดยการใช้ Windows Update หรือถ้าเป็นองค์กรก็ควรใช้ Microsoft WSUS, Microsoft SMS หรือ 3rdParty Patch Management Software เช่น PatchLink หรือ BigFix เป็นต้น
ปัจจุบันปัญหา BOTNET กลายเป็นปัญหาใหญ่ของ ISP ทั่วโลก ไม่ใช่เฉพาะในประเทศไทย ทุกประเทศจึงพบกับปัญหาที่ไม่ค่อยแตกต่างกันนัก การแก้ปัญหาชั่วคราวของ ISP ก็คือ การ “Block” เครื่องที่กลายเป็น BOT แต่ก็อาจทำให้เกิดปัญหากับลูกค้าได้ ดังนั้น หนทางแก้ปัญหาในระยะยาวที่ถูกต้องก็คือ การให้ความรู้กับผู้ใช้คอมพิวเตอร์ตามบ้านและในสำนักงานให้ตระหนักถึงภัยจาก “BOTNET” ตลอดจนคำแนะนำในการป้องกันตนเองอย่างง่าย ๆ ดังที่กล่าวมาแล้วในตอนต้น เพื่อให้ผู้ใช้ ได้มีส่วนร่วมในการป้องกันตนเองจากแฮกเกอร์ และเพื่อเสริมสร้างสัมพันธ์อันดีระหว่าง ISP และลูกค้า เพราะปัญหา “BOTNET” เป็นปัญหาที่ต้อง “ร่วมด้วยช่วยกัน” ก็จะลุล่วงและต่อกรกับแฮกเกอร์ได้อย่างมีประสิทธิภาพ
โปรแกรมควบคุม BOT ส่วนใหญ่จะใช้โปรโตคอล IRC (Internet Relay Chat) ในการควบคุม BOT ผ่านทาง “Remote Control” ดังนั้น หากอุปกรณ์ IDS/IPS ขององค์กรตรวจสอบพบ IRC Traffic วิ่งอยู่ ในเครือข่ายก็ให้สันนิษฐานไว้ก่อนเลยว่าอาจจะโดย “BOTNET” เล่นงานเข้าให้แล้ว เพราะในปัจจุบันผู้ใช้อินเทอร์เน็ตไม่นิยมเล่น IRC กันแล้ว โดยหันมาใช้งาน IM เช่น MSN หรือ Yahoo Messenger แทน คงมีแต่เฉพาะพวกแฮกเกอร์ที่ยังนิยมใช้โปรโตรคอล IRC กันอยู่ ทั้งการควบคุม BOT และ การคุยกันในกลุ่มแฮกเกอร์ผ่านทาง IRC Channel ต่าง ๆ ที่มักจะ ไม่เปิดให้คนนอกเข้าไปร่วมสนทนาด้วย ดังนั้น IRC Traffic จึงเป็น Traffic ที่เราต้องจับตาเป็นพิเศษ

ภัยอันดับที่ห้า : ภัยจากการใช้งานโปรแกรม Peer-To-Peer (P2P) (P2P Threat)
ความนิยมของการใช้งานโปรแกรมประเภท P2P เช่น โปรแกรม Bittorrent, Emule, Kazaa, Edonkey หรือ Limewire นั้น กำลังเป็นอย่างที่นิยมมากในกลุ่มผู้ใช้อินเทอร์เน็ตที่เป็นวัยรุ่นและวัยกลางคน เนื่องจากสามารถดาวน์โหลด โปรแกรมซอฟท์แวร์ต่าง ๆ รวมทั้งเพลง หนังสือในรูป อิเล็กทรอนิกส์ฟอร์เมต เช่น .CHM หรือ .PDF และ ภาพยนตร์ ในรูปแบบ MPEG, QuickTime หรือ DIVX โดยไม่ต้องมีค่าใช้จ่ายแต่อย่างใด เพียงแค่เสียค่าบริการอินเทอร์เน็ตความเร็วสูงรายเดือนก็สามารถดาวน์โหลดได้ตามสบายโดยไม่มีการกำจัดปริมาณข้อมูลที่ต้องการดาวน์โหลด ทำให้การใช้งานอินเทอร์เน็ตในลักษณะนี้ ได้รับความนิยมอย่างสูงทั่วประเทศไทย ทั้งผู้ใช้ตามบ้านและ ผู้ใช้ในองค์กรหลายองค์กรที่ต่อเชื่อมต่ออินเทอร์เน็ตความเร็วสูงเข้ากับเครือข่ายขององค์กร
ดูในภาพรวมเหมือนว่าไม่น่าจะมีปัญหาอะไรที่จะกระทบกับเครื่องคอมพิวเตอร์หรือระบบเครือข่ายขององค์กร แต่เมื่อวิเคราะห์เจาะลึกแล้วพบว่าโปรแกรม P2P ให้ผลลบมากกว่าผลดี และอาจทำให้ระบบล่มได้ เนื่องจาก โปรแกรม P2P เป็นโปรแกรมประเภทเห็นแก่ตัว กล่าวคือ โปรแกรม P2P จะใช้งานอินเทอร์เน็ตโดยกิน “Bandwidth” ขององค์กรในลักษณะที่เรียกว่าทำให้ผู้ใช้งานคนอื่น ๆ ใช้งานอินเทอร์เน็ตช้าลงโดยปริยายถ้าหากมีคนกำลังโหลดข้อมูลผ่านโปรแกรม P2P อยู่ในเครือข่ายภายใน และข้อมูลส่วนใหญ่โหลดมานั้น เป็นข้อมูลที่ไม่ถูกต้องตามลิขสิทธิ์ทั้งสิ้น ตลอดจน บางครั้งก็นำพา MalWare และ Virus ต่าง ๆ เข้ามาในระบบ โดยที่ผู้ใช้รู้เท่าไม่ถึงการณ์ เป็นโปรแกรมที่ตนต้องการ กลับถูกหลอกให้ดาวน์โหลดโดยไม่รู้ตัว พอมาเปิดโปรแกรมหลังดาวน์โหลดก็พบว่าติดไวรัสไปเรียบร้อยแล้ว ดังนั้น หากเป็นผู้ใช้ตามบ้าน หากต้องการใช้งานโปรแกรม P2P ต้องมีความระมัดระวังเป็นพิเศษ และหากเป็นผู้ใช้ในองค์กร ควรมีกฎระเบียบ หรือ “Security Policy” ในการควบคุมการใช้งานโปรแกรมดังกล่าวอย่างเคร่งครัด
ในองค์กรใหญ่ ๆ นิยมแก้ปัญหาโดยการใช้อุปกรณ์ประเภท “Bandwidth Management” บวกกับความสามารถด้าน “Security Defence” เช่น การ Block โปรแกรม P2P ที่นิยมใช้กันเป็นประจำเช่น Bittorrent หรืออนุญาตให้ใช้โปรแกรม P2P บางโปรแกรม เช่น โปรแกรม SKYPE ในการโทรศัพท์ทางไกลผ่านอินเทอร์เน็ต แต่จะควบคุมปริมาณข้อมูลไม่ให้ใช้ Bandwidth ของเครือข่ายที่เชื่อมไปยัง ISP จนหมด โดยมีการจัดสรร Quota ให้ผู้ใช้ในแต่ละกลุ่มให้มี “Priority” ที่แตกต่างกันก็จะช่วยแก้ปัญหาการใช้งานอินเทอร์เน็ตที่ค่อนข้างช้าอย่างได้ผล

ภัยอันดับที่หก : ภัยจาก Spyware และ Adware (Spyware and Adware Threat)
ปัจจุบันโปรแกรมมุ่งร้าย หรือ MalWare ไม่ได้มีเฉพาะโปรแกรมไวรัสคอมพิวเตอร์เท่านั้น หากแต่มีโปรแกรมอีกจำพวกหนึ่งเรียกว่า โปรแกรมสายลับ หรือ “Spyware” ซึ่งมักจะทำงานร่วมกับโปรแกรมโฆษณา หรือ “Adware” โดยโปรแกรม Spyware บางครั้งถูกออกแบบมาโจมตีเป้าหมายที่ถูกกำหนดไว้ล่วงหน้าโดยเฉพาะที่เราเรียกว่า “Targeted attack Spyware” มักจะมาในรูปแบบของโปรแกรมที่ดูเหมือนจะเป็นโปรแกรมที่ดี เช่น โปรแกรม WINZIP version ใหม่ล่าสุด, โปรแกรมฆ่าไวรัสล่าสุด จากบริษัทกำจัดไวรัสชื่อดัง หรือ โปรแกรม Patch ล่าสุดจากไมโครซอฟท์ ส่งมาให้เราติดตั้งผ่านทาง email โดยมาในรูปของไฟล์แนบที่เป็นนามสกุล .EXE ซึ่งโปรแกรมทั้งสามลักษณะดังกล่าวนั้น ทางวิชาการเรียกว่า โปรแกรมม้าโทรจัน หรือ “Trojan Horse Program” เป็นรูปแบบหนึ่งของ “Spyware” ที่ต้องการหลอกเราโดยวิธี “Social Engineering” ให้เราหลงเข้าใจผิดว่าเป็นโปรแกรมที่ดีมีประโยชน์ แต่จริงๆแล้วกลับกลายเป็นโปรแกรมสายลับเข้ามาแอบขโมยข้อมูลต่าง ๆ ในเครื่องคอมพิวเตอร์ของเราโดยไม่รู้ตัว บางครั้ง Spyware จะส่งข้อมูลให้กับบริษัทโฆษณา ต่าง ๆ เพื่อนำเอาโฆษณา (ที่เราไม่อยากดูเท่าไร) มา “POP-UP” ให้เราเห็นบนจอภาพ หรือ หลอกล่อให้เราเข้าไป “Click” เพื่อหาทาง “Make Money” จากการที่เราหลงและเข้าไปเยี่ยมชม Web site ต่าง ๆ ทางที่ทางโปรแกรม Adware จัดให้ ดังนั้นจึงไม่น่าแปลกใจที่อยู่ ๆ จะมี email ส่งมาโฆษณาสินค้าบางอย่างที่เราสนใจโดยโปรแกรม Spyware จะวิเคราะห์พฤติกรรมของเราจากไฟล์ “Cookie” ซึ่งเป็น Text File เล็ก ๆ อยู่ในเครื่องคอมพิวเตอร์ของเรา โดยที่โปรแกรม Spyware จะแอบอ่านข้อมูลพฤติกรรมการใช้อินเทอร์เน็ตของเราจากไฟล์ Cookie แล้วส่งข้อมูลกลับไปให้บริษัทวิจัยตลาด หรือ บริษัทโฆษณาให้ทำการวิเคราะห์ ซึ่งในบางครั้ง Spyware จะมีไฟล์ Cookie เป็นของตนเองในการติดตามพฤติกรรมของเรา เรียกว่า “Spyware Cookie” ซึ่งโปรแกรมกำจัด Spyware หลายๆโปรแกรมจะแสดงเป็นโปรแกรม Spyware แต่จริง ๆ แล้วเป็นเพียง Text File เล็ก ๆ ที่คอยติดตาม “Track” พฤติกรรมการใช้งานอินเทอร์เน็ตของเราอยู่ตลอดเวลา ถ้าตรวจสอบพบ Spyware Cookie ก็ควรจะลบทิ้งแต่ไม่ต้องตกใจมากนักเพราะไม่มีผลกระทบรุนแรงกับเครื่องของเราเหมือนพวกไวรัส
การป้องกันไม่ให้เครื่องติด Spyware หรือ Adware เริ่มจากการปรับเปลี่ยนพฤติกรรมในการใช้งานอินเทอร์เน็ตเสียใหม่ โดยระมัดระวังในการดาวน์โหลดไฟล์มากขึ้น ไฟล์นามสกุล .EXE หรือ .COM นั้นไม่ควรดาวน์โหลดเป็นอย่างยิ่ง (รวมทั้งไฟล์นามสกุล .CMD, .BAT, .HTA, .VBS, .SCR, .PIF) และ เรายังต้องระวังไม่ไปเข้าเยี่ยมชม Web site ที่ไม่ค่อยเป็นที่รู้จักโดยเฉพาะเว็บไซด์ภาพโป๊ เว็บไซด์พนัน หรือ เว็บไซด์ที่เกี่ยวกับการ Crack Software หรือ Crack Serial Number รวมถึงการ Crack Game ด้วย เพราะเว็บไซด์เหล่านี้จะร่วมมือกับผู้สร้าง Spyware และ บริษัทโฆษณาทางอินเทอร์เน็ต เพื่อวิเคราะห์พฤติกรรมการใช้อินเทอร์เน็ตของเรา และ ในบางครั้งอาจจะแอบขโมย ข้อมูลส่วนตัวบางอย่างของเราไปโดยไม่รู้ตัว
โปรแกรม Spyware ที่ส่งผลกระทบรุนแรงที่สุด ก็คือ โปรแกรมประเภทแอบดักข้อมูลหน้าจอ และดัก Key Stroke ที่เราพิมพ์ทางคีย์บอร์ด เรียกว่า โปรแกรม “Keylogger” โดยโปรแกรมดังกล่าวจะถูกติดตั้งบนเครื่องเราได้ 2 วิธี คือ วิธีที่หนึ่ง ติดจากการที่เราเผลอเปิดไฟล์แนบที่เป็น Executable File เช่น ไฟล์นามสกุล .EXE, .COM, .SCR หรือ .PIF เป็นต้น วิธีที่สอง ซึ่งเป็นวิธียอดนิยมของแฮกเกอร์คือ การแอบติดตั้งโปรแกรมตอนที่ผู้ใช้งานไม่อยู่หน้าเครื่อง คือ ผู้ใช้เปิดเครื่องทิ้งไว้ โดยไม่ Lock หน้าจอ เช่น ผู้ใช้ลุกไปชงกาแฟสัก 5 นาที จากนั้น แฮกเกอร์จะอาศัยเวลาที่เราเผลอทำการติดตั้งโปรแกรม Keylogger ดังกล่าวผ่านทาง USB Drive ซึ่งใช้เวลาแค่เพียงหนึ่งนาทีก็เรียบร้อยจากนั้น เมื่อเรากลับมาที่เครื่องก็ดูเหมือนทุกอย่างเป็นปกติซึ่งจริง ๆ แล้วเรากำลังโดนแอบดูอย่างใกล้ชิด ทั้งข้อมูลหน้าจอและคีย์บอร์ดจะถูกส่งผ่านทาง email ไปหาแฮกเกอร์โดยอัตโนมัติ เช่น แฮกเกอร์อาจตั้งเวลาส่งทุก 5 นาที เป็นต้น
วิธีการแก้ปัญหาก็คือ การใช้โปรแกรมประเภท Anti-Keylogger เช่น โปรแกรม PrivacyKeyboard หรือ โปรแกรม Advanced Anti-Keylogger เป็นต้น ในปัจจุบันโปรแกรมกำจัดไวรัสรุ่นใหม่ ๆ หลายโปรแกรมสามารถตรวจจับโปรแกรม Keylogger ได้โดยอัตโนมัติ ก็สามารถช่วยป้องกันได้เช่นกัน

ภัยอันดับสุดท้าย : ภัยจากการใช้ Google ในทางมิชอบ (Google Hacking Threat)
หลายองค์กรในประเทศไทยทั้งภาครัฐและเอกชนได้ทำการอัพโหลดข้อมูลขององค์กรไว้ในเว็บไซด์ขององค์กร เพื่อสามารถเข้าถึงข้อมูลได้ผ่านทางระบบอินเทอร์เน็ต ข้อมูลบางอย่างเป็นข้อมูลลับที่ไม่เปิดเผยต่อสาธารณชน ก็มักจะนำระบบป้องกันการเข้าถึงข้อมูลโดยให้ใส่ ชื่อ และ รหัสผ่าน
ปัญหาใหญ่ก็คือ ระบบป้องกันการเข้าถึงข้อมูลลับเหล่านั้นมักจะมีช่องโหว่ที่แฮกเกอร์ หรือ Google search engine สามารถเจาะทะลุทะลวง เข้ามาดูข้อมูลได้โดยไม่ต้องใช้ชื่อผู้ใช้และ รหัสผ่านแต่อย่างใด สำหรับแฮกเกอร์นิยมใช้วิธีที่เรียกว่า “SQL injection” แต่สำหรับ Google ถือว่าเป็นความสามารถของ Google Search Engine ที่สามารถเจาะลึกลงไปใน ระดับ Directory หรือ File ต่าง ๆ ที่อยู่ใน Web Server ของเรา ซึ่งหลาย ๆ ไฟล์อยู่ในรูปแบบของ Microsoft Office format เช่น .DOC, .XLS, .PPT หรือ MDB เป็นต้น
การใช้ Google Hack ระบบเพื่อค้นหาไฟล์ดังกล่าวสามารถทำได้โดยง่ายโดยใช้ Advanced Google Operator คือ File type: และ Site: เช่น ถ้าต้องการหาข้อมูลไฟล์ EXCEL ของบริษัท ABC ที่จดทะเบียนในประเทศไทย ก็ให้พิมพ์ ว่า “Filetype:XLS Site:ABC.co.th” ทาง Google ก็จะแสดงไฟล์ EXCEL เท่าที่สามารถตรวจสอบให้เราเห็นและสามารถเข้าถึงได้ถ้าไฟล์ดังกล่าวไม่ได้มีระบบ “Access Control” ที่ดีพอ แฮกเกอร์สามารถใช้ Advanced Operator ของ Google ในการโจมตีระบบได้อีกหลายแบบซึ่งหนทางในการแก้ปัญหาก็คือ เราสามารถบอกให้ Google ช่วย “remove file” หรือ บอกให้ Google ข้ามไฟล์ที่เราไม่อยากให้ผู้อื่นเข้าถึง โดยใช้ไฟล์ “ROBOTS.TXT” ใน Web Server จากนั้นก็กำหนดนามสกุลของไฟล์ที่เราไม่ต้องการให้ Google นำไปเก็บไว้ใน Search Engine Database โดยทาง Google จะ SKIP หรือ ข้ามไฟล์เหล่านั้นไป และ Google ก็จะไม่จัดเก็บ LINK และชื่อไฟล์เหล่านั้นก็เป็นทางแก้ปัญหาอีกวิธีหนึ่ง แต่วิธีที่ดีที่สุด คือ การ Harden Web Server ของเราเองและไม่นำ “Sensitive Information” หรือ ไฟล์ข้อมูลที่มีความลับหรือมีความสำคัญมาก ๆ มาเก็บไว้ใน Web Server ควรเก็บไฟล์แยกจาก ระบบที่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ต น่าจะเป็นแนวคิดที่ดีกว่า

สำหรับ 10 วิธีง่าย ๆ ในการป้องกันภัยอินเทอร์เน็ตด้วยตัวเอง ผมขอกล่าวถึงใน eWeek ฉบับถัดไปนะครับ อย่าลืมติดตามนะครับ

จาก : หนังสือ eWeek Thailand
ปักษ์แรก ประจำ เดือนมิถุนายน2550
Update Information : 1 มิถุนายน 2550