by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
จากฉบับที่แล้วเราได้พูดถึงช่องโหว่ของระบบปฎิบัติการ Microsoft Windows ตามมาตรฐานของ SANS/FBI Top 20 กันไปแล้ว 5 ช่องโหว่ ในฉบับนี้จะกล่าวถึงช่องโหว่ในลำดับที่ 6 ถึง10 ได้แก่

6. ช่องโหว่ของ Web Browsers บน Windows
วิเคราะห์ปัญหาช่องโหว่
Internet Explorer (IE) Web browser เป็นช่องทางที่โปรแกรมไม่หวังดีต่างๆ สามารถหลุดรอดเข้ามาในเครื่องของเราได้อย่างง่ายดาย แค่เพียงเราเผลอเข้าไปเยี่ยมชมเว็บไซต์ที่มีการติดตั้งโปรแกรม “Trojan” ในหลากหลายรูปแบบ รอให้เราเข้าไปคลิ๊กหรือดาวน์โหลดโปรแกรมดังกล่าว มาโดยไม่ได้ตั้งใจ บางครั้งเรายังไม่ได้คลิ๊ก หรือ กดปุ่มดาวน์โหลด แต่ โปรแกรมมุ่งร้าย หรือ MalWare ต่างๆ ก็จะสามารถติดตั้งบนเครื่องของเราได้ เนื่องจากช่องโหว่ของ IE Web browser นั้นมีหลายช่องโหว่ที่แฮกเกอร์สามารถเลือกโจมตีได ้
โดยปกติแล้ว ผู้ใช้มักจะไม่ค่อยสนใจลง “Patch” ให้กับ IE Web browser และ patch ก็มักใช้เวลานานกว่าจะออกมาจากไมโครซอฟท์ ทำให้ช่วงเวลาที่ Patch ยังไม่ออก (Zero-day) กลับกลายเป็นช่วงเวลาอันตรายที่เราต้องใช้ IE Web Browser ท่องเว็บไซต์อย่างระมัดระวัง
หากองค์กรไม่มีนโยบายในการใช้งานอินเทอร์เน็ตให้กับผู้ใช้งานคอมพิวเตอร์ทั่วไป ปัญหาช่องโหว่ของ IE Web Browser ก็ยังคงเป็นปัญหาใหญ่ที่แก้ไขได้ยาก เนื่องจากผู้ใช้งานส่วนใหญ่ ก็ยังคงใช้ IE Web Browser ในการท่องเว็บไซต์กันทั้งนั้น การหลอกลวงทางอินเทอร์เน็ต เช่น “Phishing” ก็กำลังเพิ่มขึ้นอย่างน่าเป็นห่วง ซึ่งก็อาศัยช่องโหว่ ของ IE Web Browser เช่นเดียวกัน โปรแกรม “SpyWare” และ “Adware” ต่างๆ ก็นิยมใช้ ช่องโหว่ของ IE Web Browser ในการ “load” ตัวเองเข้าสู่ระบบของเราด้วย
สำหรับ Netscape, Mozilla และ Opera Web Browser ก็มีช่องโหว่เช่นกันแต่มีจำนวนน้อยกว่าของ IE Web Browser
วิธีการแก้ปัญหา
ก่อนอื่นต้องติดตั้ง Service Pack ล่าสุดให้กับ Windows ที่เราใช้อยู่ และติดตั้ง “patch” หรือ Hot Fix ล่าสุดด้วย (โดยเฉพาะที่เกี่ยวข้องกับ IE Browser)
การกำหนดนโยบายการใช้งาน Web Browser อย่างเข้มงวดและปลอดภัย โดยตั้งค่ากำหนดบังคับไว้ที่ Web Browser ก็สามารถที่จะช่วยได้ในระดับหนึ่ง แต่ผู้ใช้อาจจะรู้สึกไม่สะดวกบ้างในการท่องเว็บไซต์ยกตัวอย่างเป็นการ Disable active X เป็นต้น
เราสามารถทำให้ IE มีความปลอดภัยสูงขึ้นจากการตั้งค่า “Options” ต่างๆ ที่อยู่ใน Tools Menu โดยเฉพาะค่าที่เกี่ยวกับการทำงานของ ActiveX ควรตั้งค่าไว้อย่างระมัดระวัง เช่น ควรจะ Disable การ Download Active X Control และ สำหรับ Microsoft VM ให้เลือก “High Security for JAVA Permission” ด้วย

7. ช่องโหว่ของ File Sharing Applications
วิเคราะห์ปัญหาช่องโหว่ 
โปรแกรมประเภท P2P หรือ Peer to Peer กำลังฮิตกันทั่วโลก มักจะเปิดช่องโหว่ให้กับระบบ Windows ที่เราใช้งานอยู่ โดยเฉพาะการใช้งานในลักษณะ Windows Client โดยโปรแกรม P2P สามารถ Download และ Upload file ต่างๆ ได้อย่างอิสระ
นับตั้งแต่มีคนคิดโปรแกรม Napster เป็นต้นมา โปรแกรมประเภทนี้ ก็ได้รับความนิยมมากขึ้นเช่นโปรแกรม Kazaa, eDonkey2000 และ eMule นอกจากจะทำให้เกิดช่องโหว่กับ Windows แล้ว ยังทำให้ Bandwidth ของระบบเครือข่ายลดลงอย่างมาก ทำให้ช้าลงจนบางครั้งไม่สามารถใช้งานได้ ซึ่งเป็นปัญหาใหญ่ขององค์กรในวันนี้
วิธีการแก้ปัญหา
องค์กรต้องกำหนด “Security Policy” สำหรับการใช้งาน โปรแกรมประเภท P2P ให้เข้มงวดและคอยตรวจสอบการ Download Contents ต่างๆ ที่ไม่เหมาะสม เพราะโปรแกรม P2P มักจะ Download โปรแกรมและหนังสือที่ละเมิดลิขสิทธ์อยู่เสมอ
ทางแก้ปัญหาอีกทางหนึ่งก็คือการปิด Port ที่เกี่ยวกับโปรแกรม P2P โดยใช้ Firewall Rules, Route Access List ตลอดจน ติดตั้ง IPS (Intrusion Prevention Systems) เพื่อบังคับให้ Traffic ของโปรแกรม P2P ไม่สามารถผ่านเข้าออกระบบเครือข่ายของเราได้ รวมทั้งการห้ามติดตั้ง โปรแกรม P2P ในองค์กรก็เป็นนโยบายที่ดีอีกเช่นกัน

8. ช่องโหว่ของ LSASS Exposures
วิเคราะห์ปัญหาช่องโหว่ 
บริการ LSASS ย่อมาจาก Local Security Authority Subsystems Service บน Windows Platform เฉพาะ Windows 2000 Server , Windows Server 2003 ทั้ง 32 bit และ 64 bit เกิดปัญหาใหญ่ด้าน Buffer Overflow ทำให้ แฮกเกอร์และไวรัสคอมพิวเตอร์สามารถเจาะทะลุเข้ายึดระบบที่มีช่องโหว่ได้อย่างง่ายดาย โดยอาศัยช่องโหว่ LSASS Vulnerability ยกตัวอย่างเช่น SASSER Worm และ KORGO Worm เป็นต้น
เราสามารถตรวจสอบช่องโหว่ดังกล่าว โดย โปรแกรม DSScan ซึ่งเป็น Free Tools จากเว็บไซต์ www.foundstone.com หรือ โปรแกรม SASSER Worm Scanner จาก www.eeye.com
วิธีการแก้ปัญหา
การติดตั้ง Patch, Hot Fix และ Service Pack ล่าสุดให้กับ Windows 2000 Server และ Windows Server 2003 ตลอดจนการปิด Port UPP/135,137,138,445 และ TCP 135,139,405 และ 593 ที่ Firewall หรือใช้ TCP/IP filtering ที่มากับ Windows 2000 Server และ Windows Server 2003 ก็ได้เช่นกัน

9. ช่องโหว่ของ Email Client
วิเคราะห์ปัญหาช่องโหว่ 
โปรแกรม Email Client ยอดนิยมคงหนีไม่พ้นโปรแกรม Outlook หรือ Outlook Express จาก Microsoft เนื่องจากใช้งานง่ายและติดตั้งมากับระบบปฎิบัติการ Windows ปัญหาก็คือ Outlook นั้น มีช่องโหว่จำนวนมากที่แฮกเกอร์และไวรัสคอมพิวเตอร์สามารถใช้ในการเจาะระบบของเราได้ เช่น การติดไวรัสคอมพิวเตอร์และโปรแกรม Malware ต่างๆ โดยอัตโนมัติเพียงแต่ได้รับ อีเมล์ (ซึ่งยังไม่ทันเปิด Email เลยด้วยซ้ำ) ตลอดจน Spam mail ที่ได้รับกันอยู่เป็นประจำ และ ตามมาด้วยการหลอกลวงแบบ “Phishing” (ดูข้อมูลเพิ่มได้ที่ www.antiphishing.org ) รวมทั้ง วิธีการที่เรียกว่า “Web Beaconing” คือการตรวจสอบอีเมล์ Address ของเป้าหมายโดยการหลอกให้ผู้รับเปิดเมล์
วิธีการแก้ปัญหา
คงหนีไม่พ้นการ Update Patch ล่าสุดให้กับ Outlook และ IE Web Browser (ในกรณีของ Outlook Express) และ ให้ทำการ Disable Message Preview Panel ใน Outlook Preview Manager โดยอัตโนมัติ รวมทั้งตั้งค่า “Restricted Sites Zone” ที่ Security TAB ใน Tools/Options Menu
การระมัดระวังเวลาเปิด Attachment File ก็เป็นเรื่องที่ควรตระหนักไว้เสมอ แม้กระทั่ง ภาพ JPEG ก็อาจมีชุดคำสั่งเจาะระบบอยู่ภายในภาพ JPEG ได้ ไม่เฉพาะไฟล์นามสกุล .exe หรือ .com เท่านั้น ที่ต้องระวังไฟล์รูปภาพ JPEG ที่มี Exploit หรือ ไฟล์นามสกุล .scr , .pif, .hta, .vbs ล้วนเป็นไฟล์อันตรายที่ต้องระวังแนะนำว่าให้ลบทิ้งเลยจะดีที่สุด
Outlook 2003 Email Client มีความสามารถในการป้องกัน SPAM Mail ในระดับ Client มาให้ใช้ ซึ่งก็ใช้งานได้น่าพอใจในระดับหนึ่ง การติดตั้งโปรแกรม Anti Virus, Anti-SpyWare, Anti-SPAM Mail จาก 3rd Party เป็นสิ่งจำเป็นสำหรับการใช้งานประจำวันเช่นกัน
พฤติกรรมการใช้งานของผู้ใช้อีเมล์ก็เป็นเรื่องสำคัญเช่นกัน องค์กรควรกำหนดนโยบายการใช้งานอีเมล์ให้กับพนักงานที่ใช้คอมพิวเตอร์ในการติดต่อสื่อสารกัน ซึ่งทุกวันนี้ทุกคนล้วนใช้อีเมล์เป็นหลักในการทำงาน ดังนั้นทุกคนควรจะปฎิบัติตามนโยบายขององค์กร การจัด Security Awareness Training เป็นวิธีที่จะทำให้ทุกคนมีความเข้าใจมากขึ้นและปฎิบัติตามนโยบายอย่างได้ผล

10. ช่องโหว่ของ Instant Messaging (IM)
วิเคราะห์ปัญหาช่องโหว่ 
พูดถึง Instant Messaging หรือ IM หลายคนมักจะนึกถึง MSN และ WM (Windows Messenger) ซึ่งกลายเป็นส่วนหนึ่งของ Windows XP โดยตัวโปรแกรม IM นั้นก็มีช่องโหว่เช่นเดียวกับโปรแกรมอื่นๆบน Windows ไม่ว่าจะเป็น Buffer Overflow, URL/Malicious link based, File Transfer Vulnerabilityและ ActiveX Exploit
วิธีการแก้ปัญหา
ควรลง Patch ล่าสุดของ IM Software ถ้าใช้บริการของค่ายอื่นที่ไม่ใช่ไมโครซอฟท์เช่น Yahoo, AOL ก็ให้ Download Patch จากค่ายนั้นๆ และ การติดตั้ง Personal Firewall หรือ Host-Based IPS/IPS สามารถช่วยได้มากเพราะจะเตือนตอนที่มีการ Transfer ไฟล์ระหว่างเครื่อง
การปิด “Port” ของ IM program ที่ Firewall ก็เป็นแนวคิดที่ดี แต่ผู้ใช้อาจจะบ่นว่าเล่น IM ไม่ได้ ก็ต้องขึ้นอยู่กับ Security Policy ขององค์กรว่าจะเปิดให้ใช้ IM หรือไม่ Microsoft.NET Messenger และ MSN Messengerให้ปิด Port TCP 1863 ส่วน MSN File Transferให้ปิด Port TCP 6891
กล่าวโดยสรุป การใช้งานระบบปฎิบัติการ Microsoft Windows ทั้ง Client ที่ใช้ Windows XP เป็นหลักและ Server ที่ใช้ Windows 2000 Server/Windows Server 2003 ก็ล้วนแต่มีช่องโหว่ด้วยกันทั้งนั้น ดังนั้นเราควรตรวจสอบช่องโหว่ของระบบเราโดยวิธีการทำ Vulnerability Assessment ซึ่งเป็นขั้นตอนหลักของการประเมินความเสี่ยง (Risk Assessment) ให้กับระบบสารสนเทศขององค์กรตลอดจนเครื่องคอมพิวเตอร์ที่เราใช้งานอยู่ที่บ้าน เมื่อเราพบว่าระบบปฎิบัติการ Microsoft Windows ยังคงมีช่องโหว่อยู่ ก็ควรแก้ไขด้วยการ “Harden” ระบบปฏิบัติการ Microsoft Windows ให้ถูกต้องตามที่ได้แนะนำไปแล้วในส่วนของวิธีการแก้ปัญหา
ปัญหาที่หนักที่สุดคือ ปัญหาการจัดการกับ “คน” หรือ “ผู้ใช้” ที่ต้องได้รับการฝึกอบรม “Security Awareness Training” เพื่อให้เข้าใจปัญหาตลอดจนกลเม็ดในการหลอกลวงของแฮกเกอร์และไวรัสคอมพิวเตอร์ ซึ่งนับวันจะมีรูปแบบใหม่ๆ มาตลอดจนเราตามแทบไม่ทัน ดังนั้นเราควรหมั่นติดตามข่าวสารอยู่เสมอ เพื่อที่จะไม่ต้องตกเป็น “เหยื่อ” ของผู้ไม่หวังดี และทำให้เราสามารถดูแลรักษาระบบของเราให้ปลอดภัยที่สุดเท่าที่เราจะทำได้

จาก : หนังสือ eWeek Thailand
ปักษ์แรก เดือนพฤศจิกายน 2547
Update Information : 2 ธันวาคม 2547