Top 10 Cyber Threats Year 2007
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
ในปัจจุบันหลายคนต่างยอมรับว่าเรากำลังอยู่ในยุคสมัยแห่งโลกอินเทอร์เน็ตอย่างแท้จริง สังคมไซเบอร์กำลังแทรกซึมเข้าสู่วิถีชีวิตของคนทั่วโลกทุกชาติทุกภาษา สังเกตได้จากความนิยมในการใช้ Google Search Engine, Email และ World Wide Web ที่เพิ่มขึ้นอย่างรวดเร็ว จนแทบเรียกได้ว่า ไม่มีวันไหนที่ไม่ได้เรียกใช้งาน Google ในขณะที่กำลังออนไลน์กับระบบอินเทอร์เน็ต “Cyber Life Style” หรือ “Digital Life Style” กำลังเฟื่องฟูแต่ในขณะเดียวกัน ภัยต่าง ๆ ที่มากับอินเทอร์เน็ตกลายเป็นเรื่องสำคัญที่ผู้ใช้อินเทอร์เน็ตทั่วไปทั้งผู้ใช้ที่บ้านและในองค์กรควรที่จะศึกษาทำความเข้าใจถึงผลกระทบที่อาจเกิดขึ้นจากภัยอินเทอร์เน็ตดังกล่าว
ภัยอินเทอร์เน็ตเราสามารถแบ่งได้เป็น 3 ประเภท ได้แก่
1. ภัยที่เกิดขึ้นกับตัวเราและครอบครัว
ยกตัวอย่าง เช่น ภัยจากการถูกขโมยเงินผ่านทางอินเทอร์เน็ตแบงค์กิ้ง หรือ ผ่านทางการปลอมแปลงบัตรเอทีเอ็ม หรือ บัตรเครดิต ตลอดจนการถูกขโมยความเป็นตัวตน หรือ “Identity Theft” ที่กำลังเป็นปัญหาใหญ่ระดับโลกทุกวันนี้ เพราะแฮกเกอร์ หรือ ผู้ไม่หวังดีนิยมขโมยชื่อผู้ใช้และรหัสผ่านของเหยื่อ แล้วนำไปใช้ในทางที่ไม่ถูกต้อง และ ขัดต่อกฎหมาย สร้างปัญหาให้กับเราซึ่งเป็นเจ้าของชื่อดังกล่าว เราอาจถูกตำรวจสอบสวนในฐานะผู้ต้องหาในคดีอาชญากรรมคอมพิวเตอร์ ซึ่งทำให้เราเสียเวลาและเสียชื่อเสียงจากการขโมยความเป็นตัวตนดังกล่าว ประเทศไทยกำลังจะมีกฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ซึ่งน่าจะประกาศใช้ภายในปี ค.ศ. 2007 นี้ ดังนั้นเราควรเตรียมพร้อมรับมือกับปัญหาดังกล่าว โดยปกติแฮกเกอร์สามารถโจมตีเราโดยใช้โปรแกรมประเภท SpyWare หรือ Key Logger ซึ่งมีให้ดาวน์โหลดฟรีอยู่ทั่วไปในอินเทอร์เน็ตในขณะนี้ ผู้ใช้อินเทอร์เน็ตความเร็วสูงตามบ้านหลายร้อยคนตกเป็นเหยื่อของแฮกเกอร์เนื่องจากไม่ได้เปิดใช้งานโปรแกรม Personal Firewall หรือ Windows Firewall
2. ภัยที่เกิดขึ้นกับองค์กร
เกิดจากการใช้งานอินเทอร์เน็ตโดยรู้เท่าไม่ถึงการณ์ หรือ ไม่ได้ระมัดระวังอย่างเพียงพอ เพราะ องค์กรไม่ได้ให้ความสำคัญกับการฝึกอบรม “Information Security Awareness Training” กับพนักงานที่ใช้คอมพิวเตอร์ ทำให้ผู้ใช้คอมพิวเตอร์ส่วนใหญ่ขององค์กรตั้งแต่พนักงานทั่วไปจนถึงผู้บริหารระดับสูงกลายเป็นเหยื่อของไวรัสและสปายแวร์จากการเปิดไฟล์ที่มากับอิเล็กโทรนิกส์เมล์ หรือ จากการดาวน์โหลดไฟล์ผ่านทางเว็บไซต์ ตลอดจนผ่านทาง MSN หรือ การใช้งานโปรแกรมประเภท P2P ทำให้เกิดผลกระทบกับภาพลักษณ์ขององค์กรเมื่อคอมพิวเตอร์ขององค์กรกลายเป็น Zombie ของเครือข่าย Botnets ตลอดจนก่อให้เกิดความเสียหายกับโครงสร้างพื้นฐานด้านสารสนเทศ (IT Infrastructure) ขององค์กรได้ เช่น คอมพิวเตอร์ติดไวรัสแล้วทำให้ Core Switching ขององค์กรล่ม เป็นต้น
3. ภัยที่เกิดขึ้นกับประเทศชาติ
ผลกระทบทางอ้อมของภัยอินเทอร์เน็ตนั้นทำให้ประเทศชาติขาดความเชื่อถือในด้านความมั่นคงของระบบโครงสร้างพื้นฐานสารสนเทศ ดูจากตัวอย่างสถิติ เว็บไซต์ของประเทศไทยที่ถูกแฮกเกอร์โจมตีที่เว็บ www.zone-h.org จะเห็นได้ว่าเว็บไซต์ของประเทศไทยถูกโจมตีมากกว่าหนึ่งพันเว็บไซต์ในปี 2006 ทั้งภาครัฐและเอกชน ซึ่งสะท้อนให้เห็นปัญหาด้านความปลอดภัยข้อมูลของประเทศว่ายังต้องการความสนับสนุนจากภาครัฐและผู้บริหารระดับสูงในองค์กรเพื่อให้เกิดความปลอดภัยข้อมูลมากขึ้นกว่าที่เป็นอยู่ในขณะนี้ ปัจจุบันประเทศไทยกำลังมุ่งสู่การใช้งานอินเทอร์เน็ตอย่างเต็มรูปแบบ ในอนาคตจึงจำเป็นที่จะต้องประเมินความเสี่ยงโครงสร้างพื้นฐานระบบอินเทอร์เน็ตของประเทศไทย ตลอดจนควรจัดให้มีหน่วยงานด้านความปลอดภัยข้อมูลสารสนเทศที่มีหน้าที่ในการรับผิดชอบโดยตรง ภายใต้การควบคุมของรัฐบาล ยกตัวอย่างในต่างประเทศ เช่น KISA (Korea Information Security Agency) ในประเทศเกาหลีใต้ หรือ MCSA (Malaysia Cyber Security Agency ชื่อเดิม NISER) โดยหน้าที่หลักของหน่วยงาน ดังกล่าวคือการเฝ้าระวัง (Real Time Monitoring) โครงสร้างพื้นฐานหลักของระบบอินเทอร็เน็ตในประเทศตลอด 24 ชั่วโมง เพื่อการเตรียมพร้อมรับมือกับภัยอินเทอร็เน็ตในระดับประเทศซึ่งอาจเกิดขึ้นในอนาคตโดยไม่บอกล่วงหน้าว่าจะเกิดขึ้นเมื่อไร ในประเทศสหรัฐอเมริกามีการตั้งศูนย์เฝ้าระวังพายุอินเทอร์เน็ตมาหลายปีแล้ว เรียกว่าศูนย์ Internet Strom Center (http://isc.sans.org) ดังนั้นจึงถึงเวลาแล้วที่ประเทศไทยต้องให้ความสำคัญกับปัญหาภัยอินเทอร์เน็ต ตลอดจนวิเคราะห์ผลกระทบที่เกิดขึ้นกับระบบเศรษฐกิจและสังคมในระดับประเทศต่อไปในอนาคต
สำหรับ 10 ภัยอินเทอร์เน็ตประจำปี 2007 ที่คุณควรรู้ มีรายละเอียดดังนี้
1. ภัยมัลแวร์ และ เทคนิควิศวกรรมสังคม (Malware with Social Engineering Technique Attack)
จัดได้ว่า เป็นภัยอันดับหนึ่งของวันนี้ เนื่องจากปัญหามัลแวร์นั้นประกอบด้วย ปัญหาไวรัส, วอร์มและสปายแวร์ ซึ่งเกิดขึ้นทุกวันทั่วโลกจนกลายเป็นเรื่องที่คนไอทีหลายคนมองว่าเป็นเรื่องปกติไปแล้ว (ถ้าเครื่องใครไม่เคยติดไวรัสถือว่าเป็นเรื่องแปลก) ปัญหาใหญ่ก็คือ โปรแกรมแอนตี้ไวรัสรุ่นเก่าไม่สามารถตรวจพบสปายแวร์ได้ เนื่องจากสปายแวร์อยู่ต่างประเภทจากไวรัสทั่วไป ทำให้ต้องใช้โปรแกรมประเภทแอนตี้สปายแวร์เพิ่มเติม ในปัจจุบันบริษัทผู้ผลิต โปรแกรมแอนตี้ไวรัสได้พยายามรวมคุณสมบัติในการปราบไวรัส, วอร์ม และสปายแวร์เข้าด้วยกัน เรียกว่า Converged Desktop Security เพื่อให้สามารถตรวจจับมัลแวร์ได้มากขึ้น วิธีการป้องกันมัลแวร์ที่ได้ผล ควรใช้โปรแกรมตรวจจับมัลแวร์มากกว่าหนึ่งโปรแกรม เราเรียกเทคนิคนี้ว่า “Multiple Anti-Malware Technique” เช่น ใช้โปรแกรมแอนตี้ไวรัสยี่ห้อ A ที่บริเวณ Gateway และ ใช้โปรแกรมแอนตี้ไวรัสยี่ห้อ B ที่ Email Server หรือ ที่เครื่องลูกข่าย (Client) เป็นต้น
ในปัจจุบันโปรแกรมมัลแวร์ส่วนใหญ่นิยมใช้เทคนิควิศวกรรมสังคมหรือ “Social Engineering” เพื่อหลอกให้ผู้ใช้คอมพิวเตอร์หลงผิดคิดว่าเป็นโปรแกรมที่เกิดประโยชน์กับผู้ใช้ถูกส่งมาให้ผู้ใช้ผ่านทางอิเล็กโทรนิกส์เมล์ โดยทำเป็น Hyper Link มากับอิเล็กโทรนิกส์เมล์ หรือ ผ่านการดาวน์โหลดจากเว็บไซต์ ซึ่งส่วนใหญ่มักเป็นไฟล์นามสกุล .ZIP, .SCR และ .PIF รวมทั้งไฟล์นามสกุล .EXE และ .COM ด้วย ดังนั้น เราจึงควรจัดการฝึกอบรม “Security Awareness Training” ให้กับผู้ใช้งานคอมพิวเตอร์ทั่วไปโดยเฉพาะผู้ใช้ที่คนไอทีโดยตรงเพื่อให้เกิดความรู้ความเข้าใจ เรื่องผลกระทบจากมัลแวร์ดังกล่าวโดยจัดให้มีการอบรม Security Awareness อย่างน้อยปีละ 2 ครั้ง จะช่วยแก้ปัญหาเรื่องภัยจากมัลแวร์ในองค์กรอย่างได้ผลเป็นรูปธรรม
2. ภัยสแปมเมล์ (SPAM Mail Attack)
นับเป็นภัยอันดับสองรองจากภัยมัลแวร์ เนื่องจาก เราต้องติดต่อกันผ่านทางอิเล็คโทรนิกส์เมล์กันเป็นประจำจนเรียกได้ว่ากลายเป็นเรื่องปกติเหมือนกับการใช้โทรศัพท์มือถือไปแล้ว ถ้าหากเราไม่มีเทคโนโลยีในการป้องกันสแปมเมล์ที่ดี เราอาจได้รับ สแปมเมล์ถึงวันละห้าสิบ ถึง ร้อยฉบับต่อวัน ซึ่งทำให้ต้องเสียเวลาในการกำจัดเมล์เหล่านั้น ตลอดจนสแปมเมล์ยังเป็นตัวการหลักในการพาโปรแกรมมัลแวร์ต่าง ๆ เข้ามาติดตั้งในเครื่องคอมพิวเตอร์ของเราอย่างง่ายดาย ผ่านทางอิเล็กโทรนิคส์เมล์ ทางแก้ปัญหาที่ถูกต้องก็คือ การติดตั้งระบบป้องกันสแปมเมล์ที่บริเวณ Email Gateway ในการเทคนิคคือ จุดที่ MX Record ในระบบ DNS ชี้เพื่อทำหน้าที่เป็น Mail Relay Server ซึ่งควรมีระบบป้องกันมัลแวร์ในลักษณะ “Multiple Engine” ร่วมทำงานอยู่ด้วย เพราะระบบป้องกันสแปมเมล์ไม่ได้ป้องกันไวรัสหรือสปายแวร์ ดังนั้น เราจึงต้องติดตั้งระบบป้องกันไวรัสและสปายแวร์ร่วมด้วยจึงจะเกิดประสิทธิภาพมากที่สุด
สำหรับผู้ใช้งานคอมพิวเตอร์ทั่วไป ไม่ควรเปิดเผย Email Address ขององค์กรสู่สาธารณะไม่ว่าจะเป็นการประกาศในเว็บไซต์ขององค์กรเอง หรือ ประกาศตามเว็บบอร์ดทั่วไป ซึ่งอาจนำมาสู่การขโมยอีเมล์โดยใช้โปรแกรมประเภท Email Harvester ทำงานโดยการ Email Address จากเว็บไซต์ต่าง ๆ ในอินเทอร์เน็ต ยกตัวอย่างเช่น ถ้าเราพิมพ์ Keyword *@ ตามด้วยโดเมนเนมขององค์กร เช่น *@abc.co.th Google จะแสดงให้เห็นถึง Email Address ที่ประกาศอยู่ในอินเทอร์เน็ตโดยทั่วไป ทำให้สแปมเมอร์สามารถนำ Email Address ดังกล่าวมาใช้ประโยชน์ในทางมิชอบได้ ดังนั้น เราจึงควรระวังการเปิดเผย Email Address ขององค์กรโดยไม่จำเป็นดังกล่าว
3. ภัยจากการใช้โปรแกรมประเภท IM และ P2P โดยไม่ระวังอย่างเพียงพอ (IM and P2P Attack)
โปรแกรมประเภท IM หรือ Instant Messaging เช่น MSN เป็นโปรแกรมที่ได้รับความนิยมอย่างสูง หลายคนใช้ MSN แทนการคุยผ่านโทรศัพท์แต่เปลี่ยนเป็นการ “Chat” แทน ทำให้เกิดสังคมออนไลน์ขนาดใหญ่ขึ้นมีประโยชน์ช่วยให้หลายคนประหยัดค่าโทรศัพท์ได้แต่ปัญหาของโปรแกรมประเภท IM ก็คือ โปรแกรมมัลแวร์หรือไวรัสต่าง ๆ นิยมใช้โปรแกรม IM เป็นช่องทางในการกระจายไฟล์มัลแวร์โดยผ่านทางการดาวน์โหลดโดยใช้โปรแกรม IM ในขณะเดียวกันโปรแกรมที่ถูกออกแบบมาทั้งดาวน์โหลดและอัพโหลดไฟล์ในลักษณะ Peer-To-Peer เช่น โปรแกรม Bittorrent หรือ โปรแกรม eMule ก็กำลังได้รับความนิยมจากผู้ใช้อินเทอร็เน็ตความเร็วสูงเช่นกัน เพราะสามารถดาวน์โหลดไฟล์ต่าง ๆ ไม่ว่าจะเป็นภาพยนตร์หรือเพลงในรูปแบบดิจิตอลได้อย่างง่ายดาย (ซึ่งส่วนใหญ่เป็นข้อมูลที่ละเมิดลิขสิทธิ์) โปรแกรม P2P เหล่านี้บางโปรแกรมมีการทำงานในลักษณะของสปายแวร์โดยที่เราไม่รู้ตัว และ ยังพาโปรแกรมมัลแวร์มายังเครื่องเราผ่านทางการดาวน์โหลดอีกต่างหาก ดังนั้นการออกนโยบายควบคุมการใช้งานโปรแกรมทั้ง 2 ประเภทดังกล่าว จึงมีความจำเป็นอย่างยิ่งยวดเพื่อไม่ใช้เกิดผลกระทบกับโครงสร้างพื้นฐานขององค์กร เช่น ผลกระทบทำให้อินเทอร์เน็ตช้าลง เนื่องจากการใช้งานโปรแกรมเหล่านี้ หรือ ระบบอาจติดไวรัสเพราะผู้ใช้งานโปรแกรม IM และ P2Pดาวน์โหลดไฟล์ต่าง ๆโดยไม่ระวังอย่างเพียงพอ การปิดการใช้งานโปรแกรม IM และ P2P เป็นการป้องกันที่ดีที่สุด แต่องค์กรต้องทำความเข้าใจกับผู้ใช้คอมพิวเตอร์ถึงภัยที่มากับโปรแกรมดังกล่าวและขอความร่วมมือเพื่อช่วยให้องค์กรลดความเสี่ยงจากภัยอินเทอร์เน็ตที่ใช้ช่องทางโปรแกรม IM และ P2P ในการโจมตีดังกล่าว
4, ภัยกับดักหลอกลวงผ่านทางอิเล็คโทรนิกส์เมล์ และ การโจมตีผู้เล่นเกมส์ออนไลน์ (PHISHING, PHARMING และ GOLD FARMING Attack)
ปัญหาการหลอกลวงผ่านอินเทอร์เน็ตโดยวิธีการใหม่ของแฮกเกอร์ ที่เรียกว่า PHISHING (ออกเสียงว่า “FISHING” ) นั้นกำลังได้รับความนิยมเพิ่มขึ้นในกลุ่มแฮกเกอร์ที่มุ่งหวังผลประโยชน์ทางด้านการเงิน เช่น ขโมยเงินจากการใช้งานธนาคารผ่านอินเทอร์เน็ต เป็นต้น ลักษณะการโจมตีแบบ PHISHING คือการแกล้งส่งอิเล็กโทรนิคส์เมล์มาหลอกผู้ใช้บริการอินเทอร์เน็ตในการทำธุรกรรมต่าง ๆ ไม่ว่าจะเป็นอินเทอร์เน็ตแบงค์กิ้ง หรือการซื้อสินค้าจากอินเทอร์เน็ต เช่น Amazon, eBay และ PAYPAL ก็ล้วนเป็นเป้าหมายของกลุ่มผู้ไม่หวังดีทั้งสิ้น โดยอิเล็กโทรนิกส์เมล์ที่ถูกส่งมายังผู้ใช้บริการดังกล่าวจะถูกตกแต่งมาให้ดูเหมือนมาจากธนาคารหรือ บริษัทที่เราติดต่ออยู่เป็นประจำ โดยถ้าไม่สังเกตก็จะไม่พบความแตกต่าง ดังนั้น ผู้ใช้ต้องคอยหมั่นสังเกต อิเล็กโทรนิคส์เมล์ในลักษณะดังกล่าว เพื่อที่จะไม่ต้องตกเป็นเหยื่อโดยการป้อนข้อมูลชื่อผู้ใช้และรหัสผ่านให้กับแฮกเกอร์โดยที่นึกว่ากำลัง “Logon” เข้าใช้ระบบจริง ๆ อยู่ซึ่งความจริงแล้วเป็นเว็บไซต์ปลอมที่แฮกเกอร์ได้ทำเตรียมรอให้เราเข้าไป “Logon” เข้าสู่ระบบ เพื่อที่จะได้ขโมยข้อมูลของเราได้อย่างง่ายดาย ในปัจจุบัน ธนาคารบางแห่งในประเทศไทยได้ถูกเหล่า PHISHER โจมตีบ้างแล้ว ซึ่งธนาคารก็พยายามทำความเข้าใจและให้ความรู้ลูกค้าให้ตระหนักถึงภัย PHISHING มากขึ้น
การโจมตีแบบ PHARMING นั้นเป็นการโจมตีที่ DNS Server หรือ การเข้ามาแก้ไขไฟล์ HOSTS ที่อยู่ในเครื่องคอมพิวเตอร์ของเราโดยไม่ได้รับอนุญาต ทั้งนี้เพื่อต้องการ “Re-Direct” เว็บไซต์ที่เราเข้าชมตามปกติให้ชี้ไปยังเว็บไซต์ที่แฮกเกอร์ได้เตรียมไว้ก่อนล่วงหน้าโดยต่างกับ PHISHING ตรงที่เมื่อผู้ใช้พิมพ์ URL ลงในช่อง Address ใน Internet Browser ก็จะถูก “Re-direct” ไปยังเว็บไซต์ปลอมทันทีโดยไม่รู้ตัว ซึ่งสังเกตได้ยากกว่าการโจมตีแบบ PHISHING ดังนั้นเราจึงควรต้องหมั่นสังเกตความเปลี่ยนแปลงของไฟล์ HOSTS อยู่เป็นระยะ ๆ และควร “Harden” หรือปิดช่องโหว่ DNS Server ให้ปลอดภัยจากการโจมตีแบบ Remote Exploit
ในขณะนี้แฮกเกอร์นิยมโจมตี Domain Name ด้วยวิธีที่เรียกว่า Domain Name Hijacking คือ การขโมยโดเมนเนมแล้วย้ายโดเมนไปไว้ที่อื่นเพื่อเตรียมขายทอดตลาด หรือ เรียกเงินค่าโดเมนกับเจ้าของโดเมนในกรณีที่เจ้าของโดเมนอยากได้คืนซึ่งก่อให้เกิดความเสียหายกับเจ้าของโดเมนในการทำธุรกิจ เนื่องจากลูกค้าไม่สามารถเข้าเว็บไซต์ หรือส่งอิเล็กโทรนิคส์เมล์มายังเจ้าของโดเมนที่ถูกขโมยได้ จนกว่าเจ้าของโดเมนจะจ่ายเงินให้แก่กลุ่มแฮกเกอร์ดังกล่าว ดังนั้น การรักษาความปลอดภัย DNS Server หรือ การป้องกันโดเมนขององค์กรจึงเป็นเรื่องสำคัญที่ไม่ควรมองข้าม
สำหรับการโจมตีแบบ GOLD FARMING คือ การโจมตีผู้เล่นเกมส์ออนไลน์โดยการเจาะระบบเข้าไปขโมยของในเกมส์ซึ่ง ทรัพย์สินที่อยู่ในเกมส์สามารถนำมาขายในตลาดมืดให้แก่ผู้เล่นเกมส์ที่มีความต้องการซื้อทรัพย์สินเหล่านั้น การโจมตีในลักษณะนี้สร้างรายได้เป็นกอบเป็นกำให้กับกลุ่มแฮกเกอร์ที่เรียกตัวเองว่า “Gold Farmer”
5. ภัยการโจมตีระบบด้วยวิธี DoS หรือ DDoS (Denial of Services and Distributed Danial of Services Attack)
การโจมตีเว็บไซต์หรือโครงสร้างพื้นฐานด้านระบบเครือข่ายขององค์กรให้เกิดความเสียหายจนไม่สามารถรองรับผู้ใช้งานได้เป็นวัตถุประสงค์ของแฮกเกอร์ที่ต้องการ “ล่ม” เว็บไซต์ หรือ “ล่ม” ระบบของ เป้าหมายทำให้เกิดปัญหากับลูกค้าขององค์กรในกรณีที่องค์กรเน้นการให้บริการลูกค้าออนไลน์ผ่านระบบอินเทอร์เน็ต แฮกเกอร์ในปัจจุบันสามารถค้นหาและดาวน์โหลดโปรแกรมที่ใช้ในการโจมตีแบบ DoS หรือ DDoS Attack ในอินเทอร์เน็ตได้อย่างง่ายดาย โดยหลังจากดาวน์โหลดโปรแกรมมาแล้วก็สามรถใช้ในการโจมตีระบบได้ทันที ดังนั้น การป้องกัน DoS หรือ DDoS Attack ให้กับเว็บเซอร์เวอร์และ อิเล็กโทรนิคส์เมล์เซอร์เวอร์ ตลอดจนโดเมนเนมเซอร์เวอร์ จึงมีความจำเป็นอย่างยิ่งกับองค์กร ในยุคโลกไร้พรมแดน เพราะเราต้องพึ่งพาการใช้อิเล็กโทรนิคส์เมล์เป็นประจำในการติดต่อกับคู่ค้าหรือลูกค้า ตลอดจนระหว่างพนักงานในองค์กรด้วยกัน หากระบบล่มใช้งานไม่ได้ ย่อมส่งผลกระทบแก่องค์กรอย่างหลีกเลี่ยงไม่ได้
การป้องกันการโจมตีในลักษณะนี้ ส่วนใหญ่แก้ปัญหาโดยการติดตั้งระบบป้องกันผู้บุกรุก หรือ IPS (Intrusion Prevention System) ที่มีความสามารรถในการป้องกัน DoS หรือ DDoS Attack ตลอดจนแก้ปัญหาโดยการ “Harden” ปิดช่องโหว่โปรแกรมเว็บเซอร์เวอร์ เช่น IIS และ Apache Web Server และ ปิดช่องโหว่โปรแกรมให้บริการโดเมนเนม และ โปรแกรมให้บริการอิเล็กโทรนิคส์เมล์ให้ปลอดภัยจากการโจมตีดังกล่าว รวมถึงการ “Harden” อุปกรณ์เครือข่ายเช่น Router หรือ Switching ให้ปลอดภัยจากการโจมตีแบบ Remote Exploit และ ต้องไม่ลืม “Harden” อุปกรณ์ป้องกันเครือข่ายด้วย เช่นอุปกรณ์ Firewall และ IPS/IDS ซึ่งอาจจะมีช่องโหว่อยู่เช่นกัน
6. ภัยการโจมตี Web Server และ Web Application (Web Server and Web Application Attack)
การโจมตีเว็บไซต์โดยโจมตีผ่านทางช่องโหว่ของ Web Server หรือ Web Application ที่เขียนโปรแกรมโดยไม่มี “Security Awareness” ทำให้แฮกเกอร์สามรถเข้ามาแก้ไขข้อมูลในเว็บไซต์ เช่น เปลี่ยนหน้า Web Page ที่เรานิยมเรียกว่า “Web Defacement” หรือ การเข้ามาแอบขโมยไฟล์ข้อมูลที่สำคัญ ๆ ในเว็บไซต์เพื่อนำไปทำประโยชน์ในทางมิชอบ โดยการโจมตี Web Server และ Web Application ดังกล่าว สามารถทำได้ทั้งหมด 10 วิธีตามคำแนะนำของ OWASP (Open Web Application Security Project) TOP 10 Web Hacking ซึ่งผมเคยเขียนอธิบายทั้ง 10 วิธีนี้โดยละเอียดไว้แล้วในบทความก่อนหน้านี้ (ดูได้ที่ www.acisonline.net) การโจมตีที่นิยมมากที่สุด 2 วิธีคือ Injection Flaw หรือ “SQL Injection” และ Cross-Site Scripting หรือ “XSS Attack” การแก้ปัญหาที่ถูกต้อง คือ การให้ความรู้กับ Web Application Developer ให้เขียนโปรแกรมอย่างมีความเข้าใจและตระหนักเรื่องการโจมตีทั้ง 10 แบบ ตลอดจนก่อนที่จะเปิดให้บริการ Web Application ควรทำการตรวจสอบ หรือ “Audit” ด้วยวิธี Penetration Testing หรือ Ethical Hacking โดยการเจาะระบบของเราเองก่อนที่แฮกเกอร์จะเข้ามาเจาะระบบเรา จากนั้นให้ทำการแก้ไข Source Code ของ Web Application ให้มีความปลอดภัยมากขึ้น ถ้าหากไม่มีเวลาพอในการแก้ไข Source Code ของ Web Application ดังกล่าว เพราะระบบต้องเปิดใช้งานตามเวลาที่กำหนด แนะนำว่าให้ลงทุนติดตั้ง Web Application Firewall ที่มีความสามารถในการป้องกันวิธีการเจาะระบบทั้ง 10 วิธีของ OWASP แต่วิธีนี้ต้องใช้งบประมาณในหลักล้านบาทจึงไม่เหมาะกับองค์กรขนาดเล็ก
7. ภัยเครือข่ายหุ่นยนต์ (BOTNETS Attack)
การโจมตีเครื่องคอมพิวเตอร์ที่กำลังออนไลน์กับระบบอินเทอร์เน็ตความเร็วสูง เช่น Cable Modem หรือ ADSL โดยไม่ได้มีการป้องกันเครื่องคอมพิวเตอร์อย่างปลอดภัยเพียงพอ ทำให้แฮกเกอร์สามารถทำการยึดเครื่องเหล่านั้นเป็นสมบัติส่วนตัวของแฮกเกอร์ โดยเครื่องที่ถูกยึดเราเรียกว่า “BOT” หรือ “Zombie” เมื่อแฮกเกอร์สามารถยึดเครื่องได้หลายๆ เครื่องพร้อมกันเลยเรียกว่า “BOTNET” หรือ “RoBOT NETwork” ซึ่งประกอบด้วยเครื่องคอมพิวเตอร์ที่แฮกเกอร์สามารถควบคุมได้จากหลายร้อยเครื่องไปจนถึงเป็นหลักแสนเครื่องเพื่อให้เหล่าสแปมเมอร์เช่าใช้ในการส่งสแปมเมล์หรือส่งโปรแกรมโฆษณา (ADWARE) ในรูปแบบต่าง ๆ ผ่านทางสแปมเมล์
ปัจจุบันปัญหาภัย BOTNET กลายเป็น ปัญหาใหญ่ของหลาย ๆ ISP ทั่วโลก ที่ต้องแก้ไขเพราะเครื่องของลูกค้า ISP กลายเป็นเครื่องมือของแฮกเกอร์ในการโจมตี ในขณะเดียวกัน ISP ก็ต้องให้บริการลูกค้าเหล่านั้นที่เครื่องกลายเป็น “BOT” โดยไม่รู้ตัว วิธีการแก้ปัญหาก็คือ การป้องกันเครื่องคอมพิวเตอร์โดยการติดตั้ง Personal Firewall หรือ Windows Firewall ที่มากับ Window XP Service Pack 2 อยู่แล้วเพียงแค่เปิดใช้ Firewall ก็สามารถป้องกันเครื่องจากการถูกโจมตีโดยแฮกเกอร์ได้ นอกจากใช้ Personal Firewall ทุกครั้งที่ต่อเชื่อมกับอินเทอร์เน็ตแล้ว ก็ควรติดตั้ง Patch ด้วยโปรแกรม Window Update เป็นประจำอีกด้วยเพื่อแก้ไขปัญหาช่องโหว่เกิดขึ้นกับ Window และ Internet Explorer จะทำให้เครื่องคอมพิวเตอร์ของเราปลอดภัยในการใช้งานอินเทอร์เน็ตมากขึ้น
8. ภัยแฝงแอบซ่อนเร้น (ROOTKITS Attack)
ปัญหาภัย BOTNET ดูเหมือนจะมีความเชื่อมโยงกับปัญหาภัย ROOTKITS เพราะหลังจากแฮกเกอร์ได้ทำการยึดเครื่องคอมพิวเตอร์เป้าหมายแล้ว แฮกเกอร์มักจะติดตั้งโปรแกรมพิเศษที่เรียกว่า “ROOTKIT” ลงในเครื่องดังกล่าว เพื่อให้แฮกเกอร์สามารถเข้ามาใช้เครื่องนั้นได้อีกครั้งหนึ่งตลอดจนติดตั้งโปรแกรมพรางตาผู้ใช้คอมพิวเตอร์ให้รู้สึกว่าเครื่องยังเป็นเครื่องของตนเองอยู่โดยไม่สามารถสังเกตเห็นความเปลี่ยนแปลงที่เกิดขึ้นเพราะโปรแกรม ROOTKIT จะแอบซ่อนโปรแกรมต่าง ๆ ของแฮกเกอร์เอาไว้ เช่น แฮกเกอร์อาจติดตั้งโปรแกรม ดัก Keyboard หรือ โปรแกรมคอยดัก Password ประเภท Network Sniffer แอบติดตั้งอยู่ในเครื่องที่แฮกเกอร์ยึดได้ ปัญหาภัย ROOTKIT ไม่ใช่เรื่องใหม่แต่เดิม ROOTKIT มักถูกติดตั้งบนเครื่องแม่ข่ายโดยเฉพาะเครื่อง UNIX เช่น SUN Solaris หรือ HP/UX แต่ในปัจจุบันแฮกเกอร์ได้พัฒนาโปรแกรม ROOTKIT เพื่อติดตั้งบน Microsoft Window ทำให้มีผลกระทบกับผู้ใช้คอมพิวเตอร์ในลักษณะ Home Use เนื่องจาก ROOTKIT ไม่ใช่ Virus หรือ Worm จึงทำให้โปรแกรมแอนตี้ไวรัสบางโปรแกรมไม่สามารถตรวจพบ ROOTKIT บน Windows ได้ ดังนั้นเราควรใช้โปรแกรมแอนตี้ไวรัสมากกว่าหนึ่งโปรแกรมในการตรวจสอบมัลแวร์ต่าง ๆ เพื่อให้แน่ใจว่าคลอบคลุมทั้งไวรัส, วอร์ม, ม้าโทรจัน, สปายแวร์ และ ROOTKTI ด้วย
9. ภัยการโจมตีระบบไร้สาย (Mobile and Wireless Attack)
ปัจจุบันระบบไร้สายได้เข้ามามีบทบาทอย่างมากในการใช้งานระบบเครือข่ายไม่ว่าจะเป็นโทรศัพท์มือถือ หรือ เทคโนโลยีเครือข่าย LAN ไร้สาย (Wireless LAN) ซึ่งกลายเป็นเป้าหมายใหม่ของแฮกเกอร์โดยมุ่งการโจมตีโทรศัพท์มือถือไปที่ช่องโหว่ Bluetooth บนระบบ Symbian หรือ Window Mobile ในโทรศัพท์มือถือ และ การโจมตีเครือข่าย LAN ไร้สายด้วยวิธี War Driving และ War Chalking ที่นิยมเจาะระบบ Wi-Fi ในเมืองหลวงใหญ่ ๆ ทั่วโลกโดยเฉพาะในบริเวณย่านธุรกิจ แล้วสร้างแผนที่ Wi-Fi Map ไว้ให้แฮกเกอร์ด้วยกันเข้ามาโจมตีระบบต่อ (เรียกว่าทำงานเป็นทีม) การป้องกันโทรศัพท์มือถือจากการโจมตีของไวรัสและแฮกเกอร์ เช่น ไวรัส ComWarrior ที่กระจาย ผ่าน ทาง Bluetooth คือ การปิดใช้บริการ Bluetooth ซึ่งทำได้ยากเพราะเราต้องการใช้งาน Bluetooth ดังนั้น เราควรนำโทรศัพท์มือถือ ไปแก้ปัญหาโดยการติดตั้ง Patch หรือ Upgrade Firmware ให้โทรศัพท์มือถือปลอดภัยจากปัญหาช่องโหว่ Bluetooth ดังกล่าว สำหรับระบบ LAN ไร้สาย หรือ Wi-Fi นั้น เราควรป้องกัน Wireless Access Point ของเราโดยการเปิดให้มีการ Logon ก่อนใช้บริการ Wireless Access Point รวมทั้งติดตั้งการเข้ารหัสข้อมูลด้วย WPA Version 2 Algorithm ซึ่งจะปลอดภัยกว่าการเข้ารหัสด้วย WEP และ WPA Version 1 Algorithm ที่แฮกเกอร์สามารถเจาะได้แล้ว ก็จะทำให้ระบบเครือข่าย LAN ไร้สายของเราปลอดภัยจากการโจมตีดังกล่าวมากขึ้น
10. ภัยการโจมตีโดยใช้ Google (Google Hacking Attack)
นับว่าเป็นภัยที่เกิดจากการประยุกต์ใช้งาน Google Search Engine ในแบบแฮกเกอร์ซึ่งผิดวัตถุประสงค์ของผู้สร้าง Google ที่ต้องการทุกคนใช้งาน Google ให้เกิดประโยชน์ในการค้นหาข้อมูลผ่านทางอินเทอร็เน็ตได้อย่างง่ายดายทำให้โลกไร้พรมแดนมากขึ้น โดยทุกคนมีสิทธิในการเข้าถึงข้อมูลอย่างเท่าเทียมกันทั่วโลก แต่ด้วยความสามารถพิเศษของโปรแกรมค้นหาข้อมูลของ Google ทำให้ข้อมูลบางอย่างที่ต่อเชื่อมกับอินเทอร์เน็ตโดยเก็บข้อมูลไว้ใน Web Server องค์กรอาจถูกโปรแกรมค้นหาข้อมูลอันชาญฉลาดของ Google เข้ามาตรวจพบเจอ แล้วนำไปแสดงเก็บไว้ในระบบฐานข้อมูลของ Google เพื่อให้คนทั่วโลกสามารถเข้าถึงได้โดยทาง Google เองก็ไม่ได้ตั้งใจที่จะละเมิดสิทธิความเป็นส่วนตัวของ Web Site เหล่านั้น ยกตัวอย่างเช่น เราสามารถหาไฟล์ Excel ของหน่วยงานราชการในประเทศไทยได้โดยใช้ Keyword ในการค้นหาข้อมูลใน Google โดยพิมพ์ “Filetype: XLS site:.go.th” จะพบเฉพาะไฟล์ที่ถูก Upload ไว้ใน Web Server ต่าง ๆ ในประเทศไทยเท่านั้น (โดย operater site:) วิธีการแก้ปัญหาคือ ไปที่ Google Web โดยพิมพ์ www.google.com/remove.html เพื่อบอก Google ให้ช่วยลบไฟล์ของเราออกจากฐานข้อมูลของ Google หรือ ใช้ไฟล์ robots.txt ใน การบอกโปรแกรมค้นหาข้อมูลของ Google ให้ข้ามไฟล์บางไฟล์ที่เราไม่อยากให้ Google นำไปเก็บไว้ในฐานข้อมูลของ Google ก็สามารถทำได้เช่นกัน
กล่าวโดยสรุป ภัยทั้ง 10 ภัยที่กำลังมาแรงในปี คศ. 2007 ตามยุคสมัยที่โลกไร้พรมแดนนั้น ถึงแม้ว่าจะค่อนข้างน่ากลัวและมีผลกระทบภัยชีวิตประจำวันของเรา แต่เราก็สามารถป้องกันได้ ถ้าเรามีความเข้าใจภัยดังกล่าวอย่างเพียงพอ ดังนั้นการฝึกอบกรมให้ความเข้าใจกับผู้ใช้คอมพิวเตอร์ทั่วไปตลอดจนผู้บริหารระดับสูง ที่เรียกว่า “Information Security Awareness Training” จึงเป็นเรื่องสำคัญที่ทุกองค์กรต้องนำมาปฏิบัติอย่างจริงจัง เพื่อให้การใช้งานอินเทอร์เน็ตในองค์กรมีความปลอดภัยมากขึ้น สำหรับผู้ใช้คอมพิวเตอร์ที่บ้าน ในลักษณะ Home Use ก็ควรติดตามข่าวสารด้วยความปลอดภัยข้อมูลจากตามแมกกาซีน หรือในอินเทอร์เน็ต ตลอดจนเปิดใช้บริการ Personal Firewall หรือ Window Firewall ก็จะทำให้ปลอดภัยจากการถูกโจมตีของแฮกเกอร์ทำให้เครื่องไม่ต้องกลายเป็นเหยื่อของภัย BOTNET ดังกล่าว
ปัญหาความปลอดภัยข้อมูลคอมพิวเตอร์สามารถแก้ไขได้ถ้าทุกคนเข้าใจและร่วมมือร่วมใจกันแก้ไขอย่างจริงจัง จะทำให้เราสามารถใช้งานอินเทอร์เน็ตให้เกิดประโยชน์สูงสุดต่อไปในสังคมไซเบอร์ดังเช่นทุกวันนี้
จาก : หนังสือ eWeek Thailand
ปักษ์แรก ประจำ เดือนมกราคม 2550
Update Information : 29 ธันวาคม 2549