สำหรับภัยอินเทอร์เน็ตประจำปี ค.ศ. 2009 ต่อจากฉบับที่แล้ว มีรายละเอียดดังต่อไปนี้ครับ
6. ภัยจากโปรแกรมมุ่งร้ายหรือโปรแกรมมัลแวร์ (Malware Threat)
ในปัจจุบันปัญหาไวรัสคอมพิวเตอร์ไม่ได้ถูกจำกัดอยู่เฉพาะโปรแกรมไวรัสคอมพิวเตอร์อีกต่อไป แต่ถูกขยายวงเพิ่มมากขึ้น เป็นโปรแกรมประเภทมัลแวร์ ซึ่งโปรแกรมประเภทนี้มีชื่อเรียกที่รู้จักกันในหลายๆชื่อ ขึ้นอยู่กับลักษณะการทำงานของโปรแกรม แต่ก็ล้วนจัดอยู่ในกลุ่มมัลแวร์ด้วยกันทั้งสิ้น โดยมัลแวร์สามารถแบ่งออกเป็น4 ประเภทใหญ่ๆ ดังนี้
6.1 Infectious Malware : Viruses and worms
เป็นประเภทของมัลแวร์ถูกพบและรู้จักมากที่สุด โดยเรามักนิยมเรียกว่า ไวรัสคอมพิวเตอร์ (viruses) ซึ่งส่วนใหญ่จะติดมากับไฟล์นามสกุล .EXE หรือ .COM โดยมีผลกระทบ หรือ payload กับคอมพิวเตอร์ที่ติดไวรัสแตกต่างกันไป แต่สำหรับเวิร์ม (worms) ซึ่งเรามักเข้าใจว่าเป็นไวรัสรูปแบบหนึ่งจะมีรูปแบบการทำงานที่แตกต่างออกไปจากไวรัสคอมพิวเตอร์ โดยโปรแกรมประเภท worms จะมีรูปแบบในการแพร่กระจายตัวเข้าไปในระบบเครือข่ายโดยโจมตีเครื่องคอมพิวเตอร์ที่อยู่ในระบบเครือข่ายเดียวกัน ซึ่ง Worm สมัยใหม่ในปัจจุบันนิยมใช้วิธีนี้ โดยมักจะติดมากับการใช้ Thumb Drive หรือ USB Drive ที่ไม่ได้รับการควบคุม (Device Control) โปรแกรมมัลแวร์ที่ทำงานในลักษณะเวิร์มจะพยายามแพร่กระจายเข้าสู่ระบบเครือข่าย โดยพยายามอาศัยช่องโหว่ของระบบปฏิบัติการ ยกตัวอย่าง เช่น เวิร์มชื่อWORM_GIMMIV.A หรือ TSPY_GIMMIV.A อาศัยช่องโหว่ MS08-067 ของระบบปฏิบัติการ Microsoft Windows ที่ยังไม่ได้รับการติดตั้ง Patch โดยเวิร์มดังกล่าวมีการพัฒนาตัวเองต่ออีกหลายเวอร์ชั่น ซึ่งเวอร์ชั่นที่ถูกพบในประเทศไทยมากที่สุดคือ WORM_DOWNAD.A และ WORM_NETWORM.C ทำให้คอมพิวเตอร์ที่ติดไวรัสเพิ่มปริมาณจราจรข้อมูลจำนวนมาก และ ทำให้ระบบเครือข่ายของหลายองค์กรประสบปัญหา Denial of Service (DoS Attack) ไม่สามารถทำงานได้ตามปกติ ต้องสิ้นเปลืองงบประมาณในการลบเวิร์ม และติดตั้ง Patch จำนวนมาก
ในเมื่อทิศทางของไวรัสและเวิร์มมาในรูปแบบนี้ ผู้บริหารระบบสารสนเทศขององค์กรควรให้ความสำคัญกับสองเรื่องใหญ่ๆ คือ 1. การใช้งาน Thumb Drive หรือ USB Drive ในองค์กรอย่างปลอดภัยไม่ติดไวรัส และ 2. การควบคุมไฟล์แนบ (Attached File) ที่มากับอิเล็คโทรนิคส์เมล์ที่ทุกคนต้องเปิดใช้งานอยู่เป็นประจำทุกวันโดยควบคุมไม่ให้โปรแกรมนามสกุลที่มีความเสี่ยง เช่น *.exe หรือ *.com (ดูรูปที่1) สามารถผ่าน Gateway ขององค์กรเข้ามาได้ เพราะถ้าหากโปรแกรมมุ่งร้ายดังกล่าวสามารถหลุดรอดผ่านGateway มาได้จะทำให้ผู้ใช้คอมพิวเตอร์ที่เป็น ”User” ทั่วไปและยังไม่ได้รับการอบรม “Information Security Awareness Training” อาจเผลอเปิด หรือ ”Run” โปรแกรมมุ่งร้ายดังกล่าว ทำให้เครื่องคอมพิวเตอร์ขององค์กรอาจติดไวรัสกันทั้งองค์กรได้โดยง่าย เพราะไวรัสหรือเวิร์มหลายตัวในปัจจุบัน ยังเป็น ”Zero-Day Attack” ที่ยังไม่มีโปรแกรมกำจัดหรือยังไม่มี Patch ออกมาแก้ปัญหาช่องโหว่ที่เวิร์มโจมตี
ดังนั้นการฝึกอบรม ”Information Security Awareness Training” จึงมีความจำเป็นอย่างยิ่งยวดสำหรับผู้ใช้คอมพิวเตอร์ทุกคนในองค์กร เพื่อให้ผู้ใช้คอมพิวเตอร์เกิดความตระหนักและเข้าใจถึงภัยที่มาจากการใช้งานอินเทอร์เน็ตโดยไม่ระมัดระวังและรู้เท่าไม่ถึงการ ตลอดจนเพื่อให้องค์กรสามารถรักษาความมั่นคงปลอดภัยข้อมูลในภาพรวมได้ดีขึ้นเมื่อเปรียบเทียบกับองค์กรที่ยังไม่มีการจัดอบรมดังกล่าว การฝึกอบรม “Information Security Awareness Training” ถือได้ว่าเป็นปราการด่านสุดท้ายระหว่างมัลแวร์และผู้ใช้คอมพิวเตอร์ปลายทาง ซึ่งการอบรมควรจัดขึ้นหนึ่งหรือสองครั้งต่อปี เพื่อ”Update” ข้อมูลภัยอินเทอร์เน็ตใหม่ๆให้กับผู้ใช้คอมพิวเตอร์ทุกคนในองค์กร
รูปที่1
6.2 Concealment Malware : Trojan horses, Rootkits and Backdoors
โปรแกรมมุ่งร้ายเหล่านี้มีลักษณะการทำงานแบบแอบซ่อนไม่ให้ผู้ใช้คอมพิวเตอร์มองเห็นวัตถุประสงค์ที่แท้จริงของมัลแวร์ หรือไม่ ก็หลอกให้เข้าใจว่าเป็นโปรแกรมประสงค์ดี โดยใช้เทคนิค ”Social engineering” มีวัตถุประสงค์คล้ายกันกับวัตถุประสงค์ในภัยข้อหนึ่ง คือ การขโมยความเป็นตัวตนของผู้ใช้คอมพิวเตอร์ที่ตกเป็นเหยื่อ (Identity Theft) เช่น การ Remote เข้าไปควบคุมเครื่องเหยื่อโดยผ่านทางโปรแกรม Remote Administration Tool (RAT) ในประเทศไทยมีลูกค้าอินเทอร์เน็ตแบงค์กิ้งคนหนึ่งตกเป็นเหยื่อของโปรแกรมดังกล่าว ทำให้เงินในบัญชีของเขาถูกโอนไปซื้อ SIM card แบบ PRE-PAID โดยไม่รู้ตัวมีมูลค่าความเสียหายเกือบหนึ่งล้านบาท ดังนั้นก่อนการเปิดโปรแกรมขึ้นมาทำงาน (Run Program) หรือ ก่อนการดาวน์โหลดโปรแกรมจากเว็บไซด์ต่างๆ ต้องพยายามหลีกเลี่ยงโปรแกรมที่มีนามสกุลดังที่กล่าวไว้ในรูปที่ 1 ปัจจุบันผู้ไม่หวังดีเริ่มเขียนโปรแกรมมัลแวร์ของตนโดยบรรจุโปรแกรมลงใน ไฟล์ ZIP หรือ ไฟล์ RAR ดังนั้น ก่อนการเปิดไฟล์ที่ถูก Compressed จึงต้องระมัดระวังเป็นพิเศษด้วย
6.3 Malware for Profit : Spyware, Botnet, Keystroke loggers and Dialers
ในอดีตผู้ไม่หวังดีสร้างมัลแวร์ประเภทนี้เพื่อความสนุก เรียกว่า “Hack for fun” แต่ในปัจจุบันและอนาคต โปรแกรมมัลแวร์สมัยใหม่ถูกออกแบบให้”Hack for profit” คือต้องสามารถสร้างรายได้ให้กับผู้เขียนโปรแกรมมัลแวร์ได้ด้วย โปรแกรมประเภทนี้เรียกว่า “Spyware” หรือ โปรแกรมแอบล้วงความลับ หรือ โปรแกรมลักลอบดักข้อมูลส่วนตัว ซึ่งหลักการทำงานจะเหมือนกันคือโปรแกรมจะแอบดูว่าเรามีพฤติกรรมในการงานคอมพิวเตอร์อย่างไร เช่น เราชอบเข้าเว็บใดบ่อยๆ เราพิมพ์รหัสผ่านเวลาเข้าระบบอย่างไร เป็นต้น จากนั้นโปรแกรมมัลแวร์เหล่านี้จะส่งข้อมูลกลับไปยังผู้เขียนโปรแกรม เพื่อให้ผู้ไม่หวังดีสามารถนำข้อมูลพฤติกรรมส่วนตัวของเราไปใช้ในทางไม่ดีได้และสร้างความเดือดร้อนให้กับเหยื่อในที่สุดเพราะข้อมูลที่ถูกส่งไปเป็นข้อมูลที่ ”Sensitive” เช่น รหัสผ่าน, เลขที่บัตรเครดิต, เลขที่บัตรประชาชน, เลขที่บัญชีและข้อมูลส่วนตัวอื่นๆที่ไม่ควรเปิดเผยให้ผู้อื่นได้รับทราบ สำหรับทางแก้ปัญหาก็จะคล้ายๆกับมัลแวร์ทั้ง2ประเภทที่ผ่านมา คือ ต้องคอยเฝ้าระวังในการเปิดไฟล์นามสกุลอันตรายดังกล่าว ประกอบกับระวังการใช้งาน Removable Storage Device อีกด้วย
6.4 Web Threat Malware : Malicious Web Link, Phishing, URL redirect
คือวิธีการสมัยใหม่ในการแพร่กระจายมัลแวร์ โดยผู้ไม่หวังดีจะแอบฝังมัลแวร์ไว้ในเว็บไซด์ที่เราเข้าไปเยี่ยมชม โดยผู้ใช้อินเทอร์เน็ตอาจไม่รู้ตัวว่าเว็บดังกล่าวถูกฝังมัลแวร์เอาไว้ เนื่องจากบางทีแม้แต่เจ้าของเว็บเองยังไม่รู้ว่าเว็บตัวเองถูกเจาะและถูกแอบฝังโปรแกรมมุ่งร้ายเอาไว้ดักรอเหยื่อ โดยเฉพาะเว็บดังๆที่มีผู้เข้าเยี่ยมชมมากๆ หรือเว็บประเภท ”Social Networking” ก็เป็นแหล่งในการปล่อยมัลแวร์ที่นิยมในหมู่แฮกเกอร์ บางครั้งมัลแวร์ถูกส่งมาในลักษณะของ ”Web Link” หรือ “Hyperlink” ที่ปรากฏในอิเล็กทรอนิกส์เมล์ หรือ ปรากฏในโปรแกรม Instant Messaging เช่น MSN เป็นต้น ดังนั้นก่อนที่เราจะ ”Click” ไปยัง Web Link ต่างๆ เราควรสังเกตและระวังว่า Web Link ไม่ได้ถูกเชื่อมโยงไปยังโปรแกรมนามสกุลอันตรายดังกล่าวมาแล้ว เช่น http://www.abc.com/../../../GAME.EXE หรือ http://www.abc.com/../…/NUDE.SCR เป็นต้น

อนาคตของมัลแวร์ “The Future of Malware”
ปัญหาไวรัสคอมพิวเตอร์ยังคงไม่หมดไปจากโลกนี้ง่ายๆ ตราบใดที่มียังมีมัลแวร์อยู่ใน Cyberspace ดังนั้นเราจึงมีความจำเป็นต้องศึกษาและเรียนรู้พฤติกรรมของมัลแวร์ในอนาคต เพื่อจะได้แก้ปัญหาและป้องกันได้อย่างมีประสิทธิภาพ โดยลักษณะการทำงานของมัลแวร์ในอนาคต สรุปได้ดังนี้
1. นิยมใช้เทคนิค ”Social Engineering”
โดยหลอกให้ผู้ใช้อินเตอร์เน็ตเข้าใจผิดไปต่างๆนานา ดังนั้นจึงต้อง “ระวัง” ก่อน ”Click” ”Downloads” หรือ “Open/RUN” โปรแกรมในทุกครั้ง
2. นิยมแพร่กระจายผ่าน Web โดยเฉพาะ “Social Networking Web”
จากความนิยมของ Hi5, Facebook , Linkedinและ Myspace ทำให้เว็บ Social Network ดังกล่าวเป็นแหล่งแพร่กระจายของมัลแวร์ในอนาคต จึงจำเป็นต้องมีสติในการใช้งานเว็บเหล่านี้
3. นิยมแพร่กระจายผ่านทาง Instant Messaging เช่น MSN
โดยมัลแวร์จะถูกส่งมาในลักษณะของ” Hyperlink” เพื่อให้ดาวน์โหลดไฟล์ผ่านทาง MSN หรือ Windows Live Messenger เป็นต้น จึงต้องระวังเวลารับไฟล์ผ่านทาง Instant Messaging
4. นิยมแพร่กระจายผ่านทางการใช้งาน USB Drive, Flash Drive หรือ Thumb Drive
องค์กรที่มีนโยบายในการควบคุมการใช้งาน Removable Storage device ในองค์กร ได้แก่ เอกสาร Acceptable Use Policy (AUP) เพื่อให้ผู้ใช้คอมพิวเตอร์รับทราบถึงข้อควรปฏิบัติ และ องค์กรควรจัดการฝึกอบรม Information Security Awareness Training ให้ผู้ใช้คอมพิวเตอร์เกิดความเข้าใจและสามารถป้องกันตัวเองได้
5. นิยมใช้ช่องโหว่ใหม่ๆ (New Vulnerability) ของไมโครซอฟท์ในการโจมตีและแพร่กระจาย
องค์กรที่มีนโยบายในการ”Harden Operating System (OS)” หรือ ปิดพอร์ตสื่อสาร (Port) และ ปิดบริการ(Service) ที่ไม่ถูกใช้งานที่เครื่องลูกข่าย เช่น พอร์ต TCP 135 (Microsoft RPC), TCP 445(SMB Direct) หรือ TCP 139 (NETBIOS Session)ในกรณีที่ไม่ได้ใช้งานพอร์ตดังกล่าว จะสามารถลดปัญหาในการโจมตีเครื่องที่ไม่ได้รับการติดตั้ง Patch แต่สำหรับพอร์ตที่จำเป็นต้องเปิดใช้ ก็ควรติดตั้งโปรแกรม ”Patch Management” จะช่วยให้การ Patch เป็นระบบมากขึ้น

สำหรับภัยอินเทอร์เน็ตที่เหลืออีก 4 ภัย ผมขอจบในฉบับหน้า อย่าลืมติดตามนะครับ ขอบคุณครับ