by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
ปัญหาของโปรแกรมป้องกันไวรัส (Anti-virus Software หรือ AV) ในปัจจุบันก็คือ ไม่สามารถจัดการกับ MalWare หรือโปรแกรมประสงค์ร้ายต่างๆ ที่มีอยู่ในอินเทอร์เน็ต ไม่ว่าจะเป็นโปรแกรมประเภท AdWare, SpyWare, Key logger ต่างๆ ตลอดจนโปรแกรมจำพวก Backdoor หรือ Rootkit ที่แฮกเกอร์แอบนำมาติดตั้งไว้ในเครื่องของเรา
หลายคนอาจคิดว่า ทำไมเครื่องยังติดไวรัสอยู่ หรือ ยังโดนโจมตีจากแฮกเกอร์อยู่ แม้ว่าเราจะติดตั้งโปรแกรมป้องกันไวรัสและ Update Virus Signature ล่าสุดแล้วก็ยังไม่สามารถป้องกันได้ เหตุผลก็คือโปรแกรมไวรัสคอมพิวเตอร์ หรือโปรแกรมประสงค์ร้ายที่เรียกว่า MalWare นั้น มีลักษณะเป็น “Blend Threat” คือ มีการผสมผสารทั้งคุณสมบัติของ Worm, Trojan horse, Exploit, DoS Agent, Mass Mailing และอีกหลายๆรูปแบบการโจมตีไว้ในโปรแกรมไวรัสหรือ MalWare เพียงโปรแกรมเดียว ช่วงหลังๆที่เราเห็นเป็นประจำก็คือ Sasser Worm, Bagle Worm, Netsky Worm และ Mydoom Virus เป็นต้น

ไวรัสรุ่นใหม่ๆ เหล่านี้มีพิษสงรอบด้าน และ มีความฉลาดเปรียบได้กับเป็นแฮกเกอร์ในตัว ซึ่งตัวโปรแกรมไวรัสจะมีความสามารถในการเจาะระบบโดยอาศัยช่องโหว่ (Vulnerability) ต่างๆ ในระบบของเราที่ยังไม่ได้รับการ “Patch” เช่นไวรัส Sass er อาศัยช่องโหว่ของ Windows LSASS หรือ MS04-001 ของไมโครซอฟต์ ในการโจมตีระบบที่เป็น Windows ตั้งแต่ Windows NT ขึ้นไปจนถึง Windows 2003 ถึงแม้ว่าเราจะมีโปรแกรมป้องกันไวรัสก็ไม่สามารถจะช่วยปิดช่องโหว่ให้กับเราได้ การปิดช่องโหว่ต้องใช้ “Patch” ที่มีให้เรา download จาก Web Site ของไมโครซอฟท์ (Windows Update) ถึงจะแก้ปัญหาได้อย่างถูกจุด ดังนั้น เมื่อเราฆ่าไวรัสไปแล้วก็กลับติดไวรัสอีกเนื่องจากระบบของเรายังคงมีช่องโหว่ที่ไม่ได้รับการแก้ไขนั่นเอง

นอกจากนี้โปรแกรมจำพวก MalWare ทั้งหลาย เช่น โปรแกรมดักจับคีย์บอร์ดหรือแป้นพิมพ์คอมพิวเตอร์ (Key logger) หรือ โปรแกรมแอบดักหน้าจอที่มาในลักษณะของม้าโทรจัน (Trojan horse) คือมาทางอีเมล์ในรูปแบบของ Attachment ซึ่งจะมีเนื้อความและชื่ออีเมล์ ตลอดจนชื่อคนส่งที่ปลอมชื่อมา ดูแล้วน่าเชื่อถือและเป็นเรื่องเป็นราว วิธีนี้พวกแฮกเกอร์ เรียกว่าวิธี “หลอกอำผู้ใช้” หรือ “Social Engineer” นั่นเอง ถ้าเราไม่ระวังในการเปิด Attachment โปรแกรม MalWare เหล่านี้ก็จะฝังตัวลงในเครื่องเราทันที โดยที่โปรแกรมป้องกันไวรัสไม่สามารถที่จะตรวจจับได้เลย นอกจากนี้โปรแกรมเหล่านี้ยังหลบซ่อนอยู่ใน Alternate Data Stream (ADS) เป็นระบบไฟล์พิเศษของ Windows NT/2000/2003 ที่โปรแกรมป้องกันไวรัสส่วนใหญ่เข้าไม่ถึง
โปรแกรมป้องกันไวรัส โดยทั่วไปมีปัญหากับการจัดการโปรแกรมประเภท MalWare หรือโปรแกรมที่มีการบีบอัดมาด้วย Winzip ตลอดจนไม่สามารถตรวจสอบพวกโปรแกรมที่แฮกเกอร์ใช้เป็นประจำเช่น netcat (nc) เป็นต้น ดังนั้นเราจึงจำเป็นต้องมีโปรแกรมที่จัดการกับพวก MalWare โดยเฉพาะเช่น โปรแกรม Ad-aware, SpyBot Search & Destroy หรือ PestPatrol เป็นต้น

การแก้ปัญหาด้วยแนวทาง End Node Security หรือ Client Security 
โปรแกรมป้องกันไวรัสหลายค่ายกำลังปรับตัวโดยการปรับปรุงแก้ไขคุณสมบัติของโปรแกรมให้มีความสามารถมากขึ้น เช่น เพิ่มการตรวจจับ MalWare/Spyware, การตรวจใน ADS, การตรวจจับใน Zip File, การเพิ่มคุณสมบัติ Personal Firewall และ IPS (Intrusion Prevention Systems) และการบริหารจัดการจากส่วนการเป็นต้น กล่าวโดยสรุป แนวความคิดใหม่ในการทำให้ Client ของเรามีความปลอดภัยจากไวรัส และ MalWare ต่างๆ นั้นในแนวของ “End Node Security” หรือ “Client Security” ควรประกอบไปด้วยโปรแกรมที่มีคุณสมบัติดังต่อไปนี้
1. โปรแกรมป้องกันไวรัส (Antivirus Software) ถือเป็นโปรแกรมขั้นพื้นฐานที่จำต้องมีไว้ในเครื่อง Client ของและควรหมั่นอัพเดท “Virus Signature” ให้ทันสมัยกับไวรัสใหม่ๆ อยู่เสมอ ถ้ามีการควบคุมบริหารจากส่วนกลางได้จะดีมาก
2. โปรแกรมป้องกัน MalWare (SpyWare, AdWare, Key logger, Malicious Trojan) เป็นคุณสมบัติที่ต้องเพิ่มเข้ามาในการตรวจจับโปรแกรมประสงค์ร้ายต่างๆ ที่ในปัจจุบันมาในลักษณะการผสมผสานในรูปแบบต่างๆ ที่เรารู้จักกันในนาม “Blend Threat”
3. โปรแกรมไฟล์วอลล์ส่วนตัว (Personal Firewall) โปรแกรม Personal Firewall สามารถช่วยปิดพอร์ทที่เราไม่ได้ใช้และป้องกันการโจมตีช่องโหว่ของเครื่องเราได้ระดับหนึ่งถึงแม้ว่าเรายังไม่ได้ลง Patch ให้กับระบบของเรา เพราะพวก Malicious Code จะไม่สามารถเข้าถึงระบบ Client ของเราได้ เพราะเราสามารถตั้งค่าให้กับ Personal Firewall เพื่อให้ช่วย Block Threat ต่างๆ ที่เข้ามาหาเราเวลาที่เรา Outline อยู่กับโลกอินเทอร์เน็ต
4. โปรแกรมป้องกันผู้บุกรุก (Host-Based IDS/IPS) ควรมีความสามารถในการตรวจจับ และเตือนในกรณีที่ Client โดนโจมตีในรูปแบบต่างๆ ที่ตัวโปรแกรม IPS/IDS นั้นรู้จักและสามารถตรวจจับพฤติกรรมของการจู่โจมได้ นอกจากนี้ควรมีความสามารถในการ Block การโจมตีต่างๆ ได้อย่างมีประสิทธิภาพอีกด้วย

“ฝึกอบรมผู้ใช้ และปรับปรุงปิดช่องโหว่” (User Awareness Training and Update Latest Patch)
เราควรหมั่นอัพเดท Patch ต่างๆ ที่ออกมาเป็นระยะๆ ให้กับระบบของเราอยู่เสมอ ตลอดจนฝึกอบรมผู้ใช้คอมพิวเตอร์ โดยการจัดโปรแกรมที่เรียกว่า “User Awareness Training” เพื่อกระตุ้นให้ผู้ใช้คอมพิวเตอร์เกิดความตระหนักในภัยของไวรัส, MalWare ต่างๆ และเรียนรู้วิธีการป้องกันตนเพื่อไม่ให้ตกเป็นเหยื่อของโปรแกรมประสงค์ร้ายเหล่านี้

จาก : หนังสือ eWeek Thailand
ปักษ์แรก เดือนกรกฎาคม 2547
Update Information : 1 กรกฎาคม 2547