by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
สำหรับปี ค.ศ. 2004 ที่กำลังจะมาถึงนี้ ความเปลี่ยนแปลงทางด้าน Information Security Technology ได้มีให้เห็นอย่างต่อเนื่อง สืบมาจากเทคโนโลยีต่างๆ ที่ถูกนำมากล่าวถึงและเปิดตัวในปี 2003 และคาดว่าจะมีแนวโน้มที่ดีขึ้นในปี ค.ศ. 2004 ผมจึงขอนำมาเล่าสู่กันฟัง และ อยากให้เราคอยติดตามความเคลื่อนไหวที่อาจมีการเปลี่ยนแปลงเพิ่มเติมอีกในปี ค.ศ. 2004 โดยแบ่งออกเป็นหัวข้อที่น่าสนใจ 10 หัวข้อ ดังนี้

1. Wireless Hacking : “War Driving and War Chalking”
การเจาะระบบเครือข่ายไร้สายไม่ว่าจะเป็น Wi-Fi (IEEE 802.11b) หรือ มาตรฐานใหม่ที่กำลังเป็นที่นิยมคือ IEEE 802.11g ที่เร็วกว่าเดิม ล้วนตกเป็นเป้าหมายของ Hacker ในยุคนี้ ซึ่งจะมีศัพท์เฉพาะในการเจาะระบบไร้สาย ที่เราควรทราบได้แก่คำว่า “War Driving” และ “War Chalking”
War Driving หมายถึง การที่เหล่า Hacker ใช้วิธีขับรถตระเวนไปตามย่านธุรกิจ เช่น สีลม หรือ สุขุมวิท ที่คาดว่าจะมีการใช้งาน Access Point ของ Wi-Fi ที่ให้บริการอินเทอร์เน็ตแบบไร้สายแล้วพยายาม “HACK” เพื่อที่จะได้เล่นอินเทอร์เน็ตฟรี หรือเข้าสู่ระบบของบุคคลอื่นโดยไม่ได้รับอนุญาต เป็นต้น
ส่วน War Chalking หมายถึง การที่เหล่า Hacker ทำการกำหนดตำแหน่งของจุดให้บริการ Wi-Fi ที่เปิดให้ใช้บริการแบบสาธารณะ เพื่อที่จะเป็นข้อมูลให้ Hacker กลุ่มอื่น ๆ ได้ทราบและนำข้อมูลนี้มาใช้ในการ On-Line เข้าสู่ระบบ Wi-Fi ของบุคคลอื่นได้ง่ายยิ่งขึ้น ดูตัวอย่างที่ www.wigle.net

2. IPS ( Intrusion Prevention System) : “Next Generation IDS (Intrusion Detection System)”
IPS (Intrusion Prevention System) เป็นเทคโนโลยีใหม่ที่คาดว่าจะมาแทน IDS ( Intrusion Detection System) โดยที่ IPS จะสามารถป้องกันและหยุดการจู่โจมของ Hacker ได้ขณะที่ IDS ได้แต่เพียงทำการเตือนเวลามีผู้บุกรุกเท่านั้น ( ยกเว้น IDS ที่มีคุณสมบัติในการ “Reset” การต่อเชื่อมไม่พึงประสงค์จากภายนอกเข้าสู่ระบบของเรา )
IPS ดูเหมือนจะเป็นเทคโนโลยีที่มีอนาคตเพราะสามารถหยุดการจู่โจมของ Hacker โดยเฉพาะแบบ DoS (Denial Of Services) Attack รวมถึง Virus หรือ Worm ใหม่ ๆ ที่คาดว่าจะเกิดขึ้นอีกในอนาคตอันใกล้ แต่ข้อเสียของ IPS ก็มีเหมือนกัน ก็คือ ยังเป็นเทคโนโลยีใหม่ที่ต้องมีการพิสูจน์ว่าจะได้ผลจริงหรือไม่ และ IPS อาจจะทำงานผิดพลาดโดยทำการหยุด Traffic ของระบบเครือข่ายที่เป็น Traffic ปกติทั่วไป ( ไม่ใช่ของ Hacker ) ทำให้ระบบอาจมีปัญหาเรื่องของ Availability ได้ ( เกิด Downtime) ดังนั้น การใช้งาน IPS จึงต้องกำหนดจุดติดตั้งและมีการทดสอบให้ดีเสียก่อนอีกทั้ง IPS ยังมีราคาที่ค่อนข้างแพงพอสมควร

3.Web Server/Web Application Hacking : “Next Generation Hacking Concept for Next Generation Hacker”
เนื่องจากทุกวันนี้องค์กรต่าง ๆ ที่ต่อเชื่อมกับระบบอินเทอร์เน็ตล้วนมีการใช้ Firewall ในการป้องกันระบบของตนเองโดย Firewall จะเปิดให้บริการเฉพาะ port 80 (http) และ port 443 (https) เท่านั้น Hacker จึงต้องพยายามหาวิธีในการเจาะเข้าระบบโดยผ่านทางช่องทางที่เปิดอยู่แล้วนั้นคือทาง Web Application นั่นเอง ไม่ว่าจะเขียนด้วย ASP, PHP หรอ JSP ก็ล้วนมีช่องโหว่ที่ Hacker อาจที่จะเจาะเข้ามาได้จากการเขียน Web Application แบบไม่ระมัดระวัง การใช้งานโปรแกรมประเภท CMS (Content Management System) เช่น phpNuke หรือ phpBB ก็มีช่องโหว่ให้ Hacker โจมตี เช่นกัน
เพราะฉะนั้น เราจึงควรมีการฝึกอบรม Security Awareness ให้กับ Web Application Programmer ให้มีความเข้าใจเรื่องวิธีการเขียน Web Application อย่างปลอดภัยจากการจู่โจมของ Hacker และหมั่นคอยติดตามลง “Patch” ให้กับ CMS ที่เราใช้งานอยู่ตลอดจน Web Sever ที่ใช้ประจำ เช่น Apache และ Microsoft IIS เป็นต้น

4. Computer Forensics and ICT Computer Laws : “Hacking in Thailand incidents are on the rise”
ในปัจจุบันการเจาะระบบของ Hacker ในประเทศไทยมีแนวโน้มที่สูงขึ้นเรื่อย ๆ ทางภาครัฐจึงได้ดำเนินการออกกฏหมายเกี่ยวกับอาชญากรรมทางคอมพิวเตอร์ขี้น ( ดูรายละเอียดเพิ่มเติมที่ http://www.ictlaw.thaigov.net) เพื่อให้สามารถที่จะจับกุม Hacker ได้อย่างรวดเร็วและทันต่อเหตุการณ์โดยทางตำรวจหรือผู้มีอำนาจในการจับกุม และเก็บหลักฐานต้องมีความรู้ ด้านนิติคอมพิวเตอร์ (Computer Forensic) อย่างลึกซึ้งจึงจะสามารถพิสูจน์หลักฐานได้อย่างถูกต้อง หมายถึง ไม่มีการจับผิดตัว หรือ จับผู้ที่ไม่ได้เป็น Hacker แต่ถูกใส่ร้ายโดย Hacker มืออาชีพ เพราะ Hacker สามารถปลอม IP Address ที่เราเรียกว่า “IP Spoofing” หรือทำการ Scan Port Server ในระบบเครือข่าย แต่มีการตั้งค่า IP Address ของตัว Port Scanner ให้เป็นค่า IP Address ของผู้บริสุทธิ์ที่ไม่รู้เรื่องกับการโจมตีของ Hacker เลย
ดังนั้น ข้อมูล Log ของระบบไม่ว่าจะเป็น RADIUS Log หรือ Proxy Cache Log จึงเป็นข้อมูลที่มีความสำคัญและต้องเก็บ ไว้ระยะหนึ่งเพื่อใช้ในการตามหาแหล่งที่มาของ Hacker ว่ามาจาก IP Address ใด โดยกฏหมายควรจะออกมาครอบคลุม รายละเอียดในส่วนนี้ระดับหนึ่ง

5. The World of MalWare : “Next Year, Prepare and protect yourself from the new and intelligence Virus/Worm”
โปรแกรมจำพวก MalWare ที่มุ่งร้ายต่อระบบของเราไม่ว่าจะเป็นพวก Keylogger, Trojan Horse, Adware, SpyWare ต่าง ๆ ล้วนมีแนวโน้มเพิ่มมากขึ้นเรื่อย ๆ โปรแกรมเหล่านี้สามารถเข้าสู่เครื่องเรา เพียงแต่เราเข้าไปชม Web Site ที่มีการวางกับดักไว้ โดย Browser ของเราจะถูก “Hijack” โดยอัตโนมัติ ทำให้โปรแกรมเหล่านี้สามารถเข้ามาฝังตัวอยู่ในเครื่องเราผ่านทาง Browser ที่มีช่องโหว่ ดังนั้นเราต้องหมั่น “Patch” Browser ของเราอยู่เสมอ เพื่อไม่ให้ตกเป็นเหยื่อของ MalWare
คาดการว่าในปี ค.ศ. 2004 จะมี Virus ประเภท Worm ออกแพร่ระบาดอีกครั้งอย่างรุนแรงโดย Worm จะสามารถกระจายตัวเองทั่วโลกภายในเวลาไม่กี่ชั่วโมง โดยพิจารณาวิเคราะห์ข้อมูลจาก Worm ที่เคยแพร่ระบาดมาแล้วไม่ว่าจะเป็น Code Red, Nimda, Blaster หรือ Nachi Worm ดังนั้นเราควรเตรียมการป้องกันการแพร่กระจายของ Worm ไว้ตั้งแต่เนิ่น ๆ โดยปฏิบัติตาม “บัญญัติ 10 ประการ” ในการปราบ Virus/Worm ต่าง ๆ อย่างถูกต้อง ข้อมูลเพิ่มเติมดูที่ www.acisonline.net

6. Managed Security Services Provider (MSSP) : “ICT Security Outsourcing Trend is coming”
การจัดการกับระบบรักษาความปลอดภัยข้อมูลคอมพิวเตอร์อย่างถูกต้องและให้ได้ผลนั้นมีรายละเอียดและต้องใช้ทรัพยาการขององค์กรค่อนข้างมากไม่ว่าจะเป็นบุคลากร, งบประมาณ ในการจัดซื้อจัดจ้าง Hardware/Software ตลอดจนค่าฝึกอบรมพนักงานด้าน Information Security ดังนั้น องค์กรในยุคปัจจุบัน จึงนิยมการ “Outsourcing” การดูแลรักษาความปลอดภัยข้อมูลให้กับหน่วยงานที่มีความชำนาญเฉพาะทางเรียกว่า MSSP (Managed Security Services Provider) โดยที่ MSSP มีหน้าที่ในการดูแลด้านความปลอดภัยโดยรวมของระบบ ไม่ว่าจะเป็นการการป้องกันและตรวจจับการจู่โจมของ Hacker, การป้องกันและกำจัด Virus Computer เป็นต้น
การจ้าง MSSP ดูแลระบบของเรา เพื่อที่จะได้ใช้ความสามารถของบุคลากรของ MSSP ได้อย่างคุ้มค่าและโอนย้ายความรับผิดชอบให้กับ MSSP ในการติดตามดูแลอย่างใกล้ชิด (Risk Transfer) ดังนั้น MSSP จึงต้องมีความชำนาญและมีความเข้าใจในระบบของเราระดับหนึ่ง

7. WhiteHat Hacking / Penetration Testing : “Time to Hacking Your Own Networks/Servers”
การที่เราต้องการจะพิสูจน์ว่าระบบของเรานั้นมีความแข็งแกร่งปลอดภัยจาก Hacker จริง ๆ คือ Hacker ไม่สามารถเจาะได้ง่าย ๆ วิธีการเดียวที่จะพิสูจน์ได้ก็คือ ต้องลองเจาะระบบตัวเองดูโดยทำในลักษณะคล้าย ๆ กับการเจาะของ Hacker โดยการจ้าง “WhiteHat” Hacker มาเจาะระบบเราและอธิบายวิธีการเจาะตลอดจนวิธีการป้องกันให้เราทราบ การเจาะระบบเพื่อที่จะให้ทะลุเข้ามาเอาข้อมูลที่เราต้องการป้องกัน หรือลองทำระบบของเราให้ล่ม ( Denial of Services) ในทางเทคนิคเราเรียกวิธีนี้ว่า “Penetration Testing” หรือ “PEN-TEST” โดยการเจาะจากอินเทอร์เน็ตเราเรียกว่า “Black-Box PEN-TEST” แต่ถ้าเจาะจากภายในระบบ LAN ของเราเองเรียกว่า “White-Box PEN-TEST” การทำ PEN-TEST ที่ถูกต้องก็ควรทำทั้ง 2 แบบ ที่สำคัญผู้ที่เราจ้างมาเจาะระบบเราต้องไว้ใจได้และมีความสามารถสูงพอที่จะเจาะระบบของเราและบอกวิธีการแก้ไขให้เราป้องกันระบบได้อย่างถูกต้อง

8. In-Depth ICT Auditing : “A Very Important process for ICT Governance”
การตรวจสอบ (Audit) ระบบ ICT ขององค์กรนั้นเป็นเรื่องสำคัญที่ต้องทำทุกปี เพื่อที่จะประเมินความเสี่ยงของระบบ และ เป็นการตรวจสอบการทำงานของบุคลากร ICT ขององค์กรด้วยไปในตัว โดยการตรวจสอบควรแบ่งออกเป็น Internal Audit คือ การตรวจสอบภายในโดย Auditor ที่เป็นพนักงานขององค์กรเองแต่มีความเป็นอิสระไม่ขึ้นกับแผนกที่ดูแลเรื่อง ICT เช่น MIS department แต่จะขึ้นกับ Board of Director โดยตรง อีกส่วนหนึ่งก็คือ External Audit คือการจ้างผู้ตรวจสอบมืออาชีพ เช่น CISA ( Certified Information System Auditor ) มาตรวจสอบระบบของเราอย่างถูกต้องตามหลักการ Audit ซึ่งทั่วโลกส่วนใหญ่ทำตามมาตรฐานของ ISACA (www.isaca.org)

9. Personal Firewall : “A Must-Have on your computer”
การใช้ Personal Firewall กับเครื่อง PC หรือ Notebook ของเราเวลาที่เราต่อเชื่อมกับโลกอินเทอร์เน็ตกลายเป็น “เรื่องจำเป็น” เสียแล้ว เพราะภัยในอินเทอร์เน็ตนั้น ค่อนข้างน่ากลัว พูดง่าย ๆ ว่าถ้าเรา On-Line กับอินเทอร์เน็ตประมาณหนึ่งชั่วโมง (โดยต่อกับ ISP) อาจมีการโจมตีจาก Virus/Worm หรือ Hacker อิสระเข้ามายังเครื่องของเราโดย Personal Firewall จะบอกเราและเก็บ Log ไว้ให้เราตรวจสอบหาต้นตอของผู้บุกรุก และป้องกันไม่ให้เครื่องเราถูกเจาะ จากการที่เรายังไม่มีเวลาลง Patch ให้กับเครื่องของเรา หรือ อาจลืมลง Patch ทำให้เครื่องเรายังคงมีช่องโหว่ (Vulnerability) ให้ Virus เข้ามาได้
Personal Firewall จะช่วยป้องกันเครื่องเราในขณะที่เครื่องเรามีช่องโหว่ที่ยังไม่ได้ Patch ได้ระดับหนึ่ง ดังนั้นเราจึงมีความจำเป็นที่ต้องติดตั้ง Personal Firewall ไว้เสมอเวลา On-Line

10. Lack of Professional Information Security Certified Staff : “ICT Security moves to Professionalism”
ความต้องการ (Demand) ผู้เชี่ยวชาญด้าน Information Security นับวันยิ่งเพิ่มมากขึ้น เนื่องจากการโจมตีของ Hacker/Virus ที่มากขึ้นเป็นเวลาตามตัว ขณะที่จำนวนของผู้เชี่ยวชาญนั้น (Supply) มีจำนวนน้อยกว่าความต้องการจึงทำให้ผู้เชี่ยวชาญโดยเฉพาะที่ได้รับ Professional Certification ด้าน Information Security โดยตรง เช่น CISSP จาก ISC2, CISA จาก ISACA หรือ GIAC Certified จาก GIAC เป็นบุคลากรที่องค์กรต้องการให้ไปร่วมงานด้วยตลอดจนเงินเดือนค่อนข้างสูง และยังไม่พอกับความต้องการของแวดวง ICT Security ในทุกวันนี้ ดังนั้น “Security Professional” หรือ ผู้เชี่ยวชาญมืออาชีพด้านระบบการรักษาความปลอดภัยเป็นอาชีพที่น่าสนใจ และควรสนับสนุนให้เพิ่มจำนวนมากขึ้นเพื่อศักยภาพในการพัฒนาประเทศและการป้องกันประเทศทางด้าน Cyber Security ต่อไป

จาก : หนังสือ eWeek Thailand
ปักษ์หลัง เดือนธันวาคม 2546
Update Information : 24 ธันวาคม 2546