balldakhack
02-07-2009, 02:31 AM
"Top 10 Cyber Security Threats Year 2009"
10 อันดับภัยอินเทอร์เน็ตประจำปี ค.ศ. 2009 และ แนวทางในการป้องกันภัยอินเทอร์เน็ตอย่างได้ผล (ตอนที่1)
ในปัจจุบันการใช้งานระบบอินเทอร์เน็ตในประเทศไทยนั้น มีจำนวนผู้ใช้งานมากกว่า 10 ล้านคน (ข้อมูลจาก NECTEC และสำนักงานสถิติแห่งชาติ) ส่วนใหญ่จะมีช่วงอายุที่ยังไม่มากนัก เช่น เด็กมัธยมและวัยรุ่น ยกตัวอย่างเช่น การเล่นเกมส์ออนไลน์ผ่านอินเทอร์เน็ตทุกครัวเรือน จากความนิยมของเทคโนโลยีอินเทอร์เน็ตความเร็วสูง (ADSL) ผู้ใช้งานอินเทอร์เน็ตส่วนใหญ่ในวันนี้กำลังเพลิดเพลินไปกับเทคโนโลยี WEB2.0 ที่เรารู้จักกันในนามของ Social Network เช่น Hi5 , My Space และ Face Book
ภัยอินเทอร์เน็ตสมัยใหม่จึงมุ่งไปยังกลุ่มผู้ใช้งานตามบ้านผ่านทางการเข้าเว็บไซต์ Social Network ดังกล่าว อีกทั้ง การนิยมชำระเงินและทำธุรกรรมผ่านทางระบบออนไลน์ เช่น ระบบ Internet Banking และระบบ Pay-Online ทำให้กลุ่มผู้ไม่หวังดีหันมาปล้นเงินผ่านทางระบบออนไลน์เพิ่มมากขึ้น ด้วยวิธีการล่อลวงในแบบต่างๆ เช่น Phishing และ Pharming ดังนั้นจึงสรุปได้ว่า ภัยอินเทอร์เน็ตประจำปี 2009 (ตอนที่1) นั้น แบ่งประเภทได้เป็น 10 ประเภท ดังต่อไปนี้
1. ภัยจากการใช้เทคโนโลยี WEB2.0 และ Social Networking (Client Side Attack)
การหลอกลวงผ่านทางการเข้าเว็บไซต์ยอดนิยม เช่น Hi5 หรือ Face Book นั้นกำลังเป็นที่นิยมไปยังหมู่แฮกเกอร์ ด้วยเทคนิคหลากหลายรูปแบบผสมผสานกัน เช่น การใช้ Phishing ร่วมกับ Social Engineering เช่น การหลอกให้ผู้ใช้หลงเข้าไป ล็อกอินในเว็บไซต์ปลอมที่ดูเหมือนเว็บไซต์ Social Network ยอดนิยม ทำให้ผู้ใช้งานอินเทอร์เน็ตถูกขโมย Username และ Password โดยไม่รู้ตัว (Identity Theft) ยิ่งไปกว่านั้นโปรแกรมประสงค์ร้าย เช่น โปรแกรมม้าโทรจันยังนิยมแพร่กระจายผ่านทางเว็บไซต์ Social Network ดังกล่าวด้วย
การป้องกันไม่ให้ตกเป็นเหยื่อการล่อลวงอย่างที่กล่าวมาแล้ว คือ ต้องคอยสังเกตเวลา login เข้าเว็บไซต์ว่าเป็น เว็บไซต์จริงหรือเว็บไซต์ปลอม ต้องมีสติระลึกให้รู้ก่อนคลิกหรือป้อนข้อมูลส่วนตัว เช่น Username หรือ Password ลงในเว็บไซต์ที่กำลังใช้งานอยู่ นอกจากนี้ยังควรหมั่น update ข้อมูลข่าวสารให้เป็นปัจจุบันโดยการเข้าไปอ่านข่าวเกี่ยวกับเรื่องความปลอดภัยในอินเทอร์เน็ตหรืออ่านจากแมกกาซีนต่างๆ เพื่อให้เข้าใจถึงเทคนิคการล่อลวงใหม่ๆ ที่อาจเกิดขึ้นได้ตลอดเวลา
2. ภัยจากการทำธุรกรรมออนไลน์และการใช้ E-Commerce
ภัยในข้อสองนี้กำลังมีอัตราการเพิ่มขึ้นตามความนิยมที่ผู้คนชอบหันมาทำธุรกรรมออนไลน์มากขึ้น เช่น การโอนเงินไม่จำเป็นต้องโอนเงินที่ตู้เอทีเอ็ม แต่สามารถโอนผ่าน Internet Banking ได้เนื่องจากสะดวกสบาย รวดเร็ว และประหยัดค่าใช้จ่ายในการเดินทาง ที่สำคัญไม่ต้องใช้บัตรเอทีเอ็มก็สามารถโอนได้ หรือการซื้อของผ่านทางอินเทอร์เน็ตใช้เพียงแค่ข้อมูลในบัตรเครดิตก็สามารถสั่งซื้อของได้โดยง่าย ดังนั้น กลุ่มอาชญากรคอมพิวเตอร์รุ่นใหม่จึงนิยมเจาะระบบการทำธุรกรรมออนไลน์เป็นหลัก เนื่องจากมีผลประโยชน์จากการได้ขโมยเงินในบัญชีของเหยื่อ เรียกว่า No Hack For Fun แต่ Hack For Money สามารถดำรงชีวิตอยู่ได้จากการประกอบมิจฉาชีพโดยการเจาะระบบ แฮกเกอร์บางคนทำเป็นอาชีพเลยก็มี นอกจากการเจาะระบบแล้วยังมีกลโกงโดยการปลอมและ copy บัตรเอทีเอ็มอย่างผิดกฎหมายอีกด้วย เหยื่อมักถูกหลอกให้ติดตั้งโปรแกรมม้าโทรจันลงบนเครื่องผ่านทาง Internet Browser ยอดนิยมเช่น IE และ Firefox โดยเทคนิค Phishing และ Pharming โปรแกรมม้าโทรจันดังกล่าวมักจะทำงานในลักษณะของโปรแกรมดักข้อมูลจากคีย์บอร์ด (Key Logger) เคยมีกรณีตัวอย่างเกิดขึ้นในประเทศไทยมาแล้ว
โดยลูกค้าธนาคารแห่งหนึ่งถูกขโมยโอนเงินไปกว่า 800,000 บาท จากวิธีดังกล่าว เทคนิคการหลอกหลวงนั้นยังพัฒนาเพื่อการขโมย Username และ Password ของเหยื่อ เช่น เทคนิค Fast Flux (DNS Hijacking) หรือเทคนิค TYPO-SQUATTING (URL Hijacking) ตลอดจนการโทรศัพท์หลอกลวงให้บอกข้อมูลส่วนตัวดังที่เป็นข่าวใหญ่ในหนังสือพิมพ์หลายฉบับ ด้วยเทคนิค Vishing และการแอบ copy บัตรเครดิตเพื่อทำบัตรปลอมที่เรียกว่า Skimming รวมทั้งการหลอกลวงโดยเทคโนโลยีเดิมที่เก่าแก่ที่สุดในโลก ได้แก่ เทคนิค Social Engineering โดยการหลอกอำเหยื่อเพียงแค่ส่งอีเมลล์มาหลอก นิยมเรียกเทคนิคนี้ว่า Internet SCAM เช่น จดหมายหลอกลวงไนจีเรียสสแคม(Internet SCAM) โดยหลอกลวงว่าเราจะได้รับเงินก้อนใหญ่แค่เพียงโอนเงินค่าธรรมเนียมเล็กน้อยไปให้เขาก่อน เรียกว่าตกทองยุคไฮเทคก็ว่าได้ ทางแก้ปัญหาทั้งหมดดังกล่าวนี้ ก็เป็นทางแก้เดิมๆ ด้วยการกำหนดสติเวลาที่เราทำธุรกรรมออนไลน์ ไม่หลงเชื่ออีเมลล์หลอกลวงที่ทำให้เราเกิดความโลภ และตกเป็นเหยื่อโดยรู้เท่าไม่ถึงการณ์ ส่วนการถูกแอบปลอมบัตรเครดิตนั้น ทางแก้คือ ควรหมั่นตรวจเช็ค Credit Card Statement และ ถ้าพบปัญหาให้แจ้งไปยังธนาคารต้นสังกัดที่เราใช้บัตรเครดิตอยู่ ก็สามารถป้องกันและแก้ไขปัญหาดังกล่าวได้
[hide=10]
3. ภัยจากระบบ BOTNET (Robot Network)
กล่าวถึงปัญหา BOTNET เป็นปัญหาใหญ่ของ ISP ทั่วโลกในช่วง 2-3 ปีที่ผ่านมา เพราะจะทำให้ลูกค้าของ ISP เช่น ผู้ใช้งานอินเทอร์เน็ตตามบ้านถูกยึดเครื่องเปลี่ยนไปเป็นเครื่องของแฮกเกอร์โดยไม่รู้ตัว เมื่อเครื่องที่ถูกยึดมีจำนวนมากขึ้น เป็นหลักหมื่น หลักพัน ทำให้การจราจรข้อมูลของ ISP เกิดปัญหาเรื่องความล่าช้า บางรายไม่สามารถให้บริการได้ ปัญหาดังกล่าวเกิดจากผู้ใช้งานอินเทอร์เน็ตตามบ้านยังไม่มีความเข้าใจและยังไม่ระมัดระวังภัยที่เกิดขึ้นจากการใช้งานระบบอินเทอร์เน็ต เช่น ได้รับข่าวสารว่าจะมีภัยสึนามิเกิดขึ้นในภาคใต้เป็นครั้งที่ 2 ก็รีบเปิดไฟล์ดูกันด้วยความตื่นตระหนกตกใจในข่าวดังกล่าว เป็นเหตุให้ถูกหลอกให้เปิดโปรแกรมไวรัสหรือ worm ทำให้เครื่องของเหยื่อกลายเป็น BOT หรือ Zombie ไปโดยปริยาย จากนั้นเครื่องของเหยื่อจะถูกควบคุมระยะไกลโดยแฮกเกอร์ที่ส่งโปรแกรมดังกล่าวหลอกผ่านมาทางอีเมลล์ ข่าวร้ายที่เราได้รับวิธีการนี้นิยมกันมากในยุโรปเรียกว่า Strong Worm โดยหลอกว่ามีคน 230 คนตายเนื่องจากพายุที่เกิดขึ้นในยุโรป ทางแก้ปัญหานั้นแบ่งออกเป็น 2 ทาง คือ
- 3.1. แก้ปัญหาที่ ISP โดยใช้เทคโนโลยีในการควบคุมเครื่องลูกค้าที่เป็น BOT ไปแล้ว ไม่ให้ส่งข้อมูลมารบกวนเครื่องลูกค้าปกติที่ยังไม่ได้กลายเป็น BOT ซึ่ง ISP แต่ละรายจะใช้เทคนิคในการแก้ปัญหาที่แตกต่างกัน
- 3.2 การแก้ปัญหาอีกทางหนึ่งคือ การแก้ปัญหาที่เครื่องผู้ใช้งานอินเทอร์เน็ตตามบ้าน โดยแนะนำให้ตั้งเป็นโปรแกรม Anti Malware ในคอมพิวเตอร์ทุกเครื่อง ตลอดจนไม่ดาวน์โหลดหรือเปิดโปรแกรม .EXE โดยไม่จำเป็นเพื่อไม่ให้โปรแกรมมุ่งร้ายสามารถทำงานบนเครื่องของเราได้
4. ภัยจากพนักงานภายในบริษัท หรือลูกจ้างชั่วคราวเข้าเจาะระบบของบริษัทเอง(Insider Attack)
โดยปกติแล้วพนักงานบริษัททั่วไปจะมีคอมพิวเตอร์ใช้งานกันทุกคนและมักใช้งานในเรื่องที่ไม่เกี่ยวข้องกับการทำงานของบริษัทอยู่มากพอสมควรเช่น การโหลดหนัง โหลดเพลง การใช้ MSN และการใช้งานเว็บไซต์ Social Network นอกจากเรื่องเสียเวลาทำงานแล้ว ซึ่งไม่ใช่ประเด็นหลัก ปัญหาที่ควรกังวลก็คือ การที่ผู้ใช้งานคอมพิวเตอร์รู้เท่าไม่ถึงการณ์เผลอโหลดหรือเปิดไฟล์ไวรัสที่ถูกส่งมาผ่านทางอินเทอร์เน็ต จากการใช้งานโปรแกรมดังกล่าว โดยไม่ระมัดระวัง ทำให้เครือข่ายภายในบริษัทหรือองค์กรเกิดปัญหาติดไวรัสเป็นจำนวนมาก ทางแก้ปัญหาสามารถทำได้โดยการกำหนดให้มีนโยบายหรือ Policy ที่เราเรียกว่า Acceptable Use Policy (AUP) เพื่อให้ผู้ใช้ได้ปฏิบัติตามนโยบายดังกล่าว จำเป็นต้องมีการฝึกอบรมที่เราเรียกว่า iSAT หรือ Information Security Awareness Training เกิดขึ้นเป็นประจำอย่างน้อยปีละ 2 ครั้ง จะช่วยแก้ปัญหาดังกล่าวได้มาก
องค์กรใหญ่หลายองค์กรนิยมเชิญผู้เชี่ยวชาญภายนอกมาฝึกอบรมในหลักสูตรดังกล่าวเป็นประจำทุกปี โดยจะให้ได้ผลที่ดีนั้น จำเป็นอย่างยิ่งที่ต้องอบรมพนักงานทุกคนทั้ง IT และ Non-IT นอกจากนี้ ปัญหา Insider Attack ยังรุนแรงกว่าการรู้เท่าไม่ถึงการณ์ของการใช้คอมพิวเตอร์ทั่วไปดังที่กล่าวมาแล้วในตอนต้นคือ การที่พนักงานบางคนมีเจตนามุ่งร้ายในการแอบขโมยข้อมูลบริษัทเพื่อผลประโยชน์ส่วนตัว หรืออาจจะเกิดจากความแค้นในบางเรื่องแล้วทำการเจาะเข้าระบบของบริษัทตัวเอง ซึ่งธรรมดาก็จะง่ายกว่าคนนอกมาเจาะอยู่แล้ว เนื่องจากเป็นการเจาะระบบจากภายใน ทำให้ข้อมูลรั่วไหลออกไปโดยง่าย ไม่ว่าจะผ่านทางการส่งอีเมลล์หรือ copy ลง USB Drive ก็ยากที่จะตรวจสอบ หากบริษัทหรือองค์กรไม่มีเทคโนโลยี DRM และ DLP ไว้ป้องกัน สิ่งที่น่ากลัวในอนาคตก็คือ อัตราการเพิ่มของ Insider Attack นั้นมีอัตราเพิ่มขึ้นทุกปี ทำให้การป้องกันข้อมูลรั่วไหลในองค์กรหรือ Data Loss Prevention กลายเป็นเรื่องสำคัญขึ้นมา ในองค์กรที่มีข้อมูลสำคัญอยู่เช่น ธนาคาร บริษัทที่ปรึกษา บริษัทวิจัย บริษัทออกแบบ และบริษัทที่มีทรัพย์สินทางปัญญาที่มีความสำคัญกับการดำเนินการธุรกิจ ทางแก้ปัญหาดังกล่าวนั้น ควรมีเทคโนโลยีขั้นสูงที่จะป้องกันไม่ให้ข้อมูลรั่วไหลจากที่กล่าวมาแล้วคือ DLP และ DRM ปัญหาคือ ราคายังค่อนข้างสูง อาจนำมาใช้ได้ในบางระบบก่อนแล้วค่อยเพิ่มเติมในภายหลัง อีกสิ่งที่ได้ผลคือ หมั่นตรวจสอบระบบโดย Internal Audit หรือ External Audit อย่างสม่ำเสมอ ก็จะช่วยให้เราทราบถึงเหตุการณ์ต่างๆ ที่เกิดขึ้น ก่อนที่ปัญหาจะลุกลามออกไปในอนาคต เพราะความเสียหายที่เกิดขึ้นจากข้อมูลรั่วไหลนั้นเป็นความเสียหายที่รุนแรง อาจทำให้ถูกฟ้องร้องซึ่งมีหลายบริษัทที่ต้องปิดกิจการไปแล้วหลายราย ดังนั้นผู้บริหารระดับสูงไม่ควรมองข้ามภัยข้อนี้เด็ดขาด
5. ภัยจากการไม่เข้าใจในแนวคิด GRC ของผู้บริหารระดับสูงขององค์กร
แนวคิด GRC ย่อมาจาก Governance , Risk and Compliance กำลังเป็นแนวคิดที่ได้รับความนิยมไปทั่วโลก เห็นได้จากหน่วยงานที่มีหน้าที่ในการควบคุมกำกับดูแล เช่น ธนาคารแห่งประเทศไทย กรต. สตง. ตลอดจนสคร. (โดยบริษัท TRIS Corporation) ได้กำหนดกฎเกณฑ์ในการตรวจสอบ ( Assess and Audit) หน่วยงายภายใต้การกำกับดูแลโดยใช้แนวความคิด GRC ด้วยกันทั้งสิ้น ดังนั้น จะเห็นได้ว่าแนวความคิด GRC นั้นมีความสำคัญอย่างยิ่งในการบริหารจัดการสมัยใหม่ที่ต้องการความโปร่งใสและมีประสิทธิภาพในการบริหารจัดการ ปัญหาก็คือ ผู้บริหารระดับสูงในองค์กรส่วนใหญ่ยังไม่ซึมซับในหลักการ ในแนวคิด GRC อย่างลึกซึ้งและถ่องแท้ โดยยังไม่เข้าใจในปรัชญาและแนวการปฏิบัติตามแนวคิดดังกล่าว ทำให้องค์กรไม่ผ่านการตรวจสอบหรือมีคะแนนจากการตรวจสอบในระดับต่ำ ส่งผลให้ KPI ของผู้บริหารตลอดจนองค์กรโดยรวมนั้นไม่ผ่านเกณฑ์ที่ Regulator ได้กำหนดไว้ ถามว่ามีความเกี่ยวข้องกับภัยอินเทอร์เน็ตตรงไหน ตอบได้ว่า การไม่เข้าใจในหลักการบริหารความเสี่ยงที่ถูกต้องตามหลักวิชาการ ความไม่โปร่งใสในการบริหารจัดการและการไม่ปฏิบัติตามกฎหมายและกฎข้อบังคับต่างๆ สามารถเกิดขึ้นโดยง่ายผ่านการใช้งานอินเทอร์เน็ตที่ไม่ถูกต้อง
หรืออาจเกิดจากการใช้งานอินเทอร์เน็ตของพนักงานภายในองค์กรแล้วไปละเมิดกฎหมายโดยไม่รู้ตัว เช่น พนักงานบริษัทมีการทำผิดในพรบ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์ โดยการ forward ภาพลามกอนาจาร หรือ ผู้ดูแลระบบสารสนเทศไม่มีการจัดเก็บ Log File ไว้ในระบบ Centralized Log อย่างน้อย 90 วัน เป็นต้น การแก้ปัญหาที่ถูกต้องคือ หน่วยงานต้องสนับสนุนในการจัดตั้งคณะกรรมการในการดำเนินงานเกี่ยวกับการศึกษากฎหมายและกฎระเบียบข้อบังคับต่างๆ เช่น พรบ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์ และพรบ.ธุรกรรมทางอิเล็กทรอนิกส์ ตลอดจนศึกษา Standard , Best Practice ต่างๆ เช่น ISO/IEC 27001 และ ITIL ตลอดจน CoBIT เป็นต้น จากนั้นนำแนวทางจากมาตรฐานและ Standard , Best Practice มาประยุกต์ใช้ในองค์กรให้สอดคล้องกับแนวคิด GRC ก็จะทำให้องค์กรมีประสิทธิภาพในการปฏิบัติงานมากขึ้นและยัง Comply กับกฎหมายและกฎระเบียบต่างๆ อีกด้วย ดังนั้น ผู้บริหารระดับสูงรุ่นใหม่ไม่ควรมองข้าม แนวความคิด GRC และควรรีบปรับกระบวนการบริหารจัดการในบริษัท (Internal Process) ให้เป็นระบบและสอดคล้องกับ Standard , Best Practice อย่างที่กล่าวมาแล้วจะช่วยเสริมภาพลักษณ์และความน่าเชื่อถือให้องค์กรและสร้างความสามารถในการแข่งขันให้แก่องค์กรแบบบูรณาการต่อไปในอนาคต
6. ภัยจากโปรแกรมมุ่งร้ายหรือโปรแกรมมัลแวร์ (Malware Threat)
ในปัจจุบันปัญหาไวรัสคอมพิวเตอร์ไม่ได้ถูกจำกัดอยู่เฉพาะโปรแกรมไวรัสคอมพิวเตอร์อีกต่อไป แต่ถูกขยายวงเพิ่มมากขึ้น เป็นโปรแกรมประเภทมัลแวร์ ซึ่งโปรแกรมประเภทนี้มีชื่อเรียกที่รู้จักกันในหลายๆชื่อ ขึ้นอยู่กับลักษณะการทำงานของโปรแกรม แต่ก็ล้วนจัดอยู่ในกลุ่มมัลแวร์ด้วยกันทั้งสิ้น โดยมัลแวร์สามารถแบ่งออกเป็น4 ประเภทใหญ่ๆ ดังนี้
- 6.1 Infectious Malware : Viruses and worms
เป็นประเภทของมัลแวร์ถูกพบและรู้จักมากที่สุด โดยเรามักนิยมเรียกว่า ไวรัสคอมพิวเตอร์ (viruses) ซึ่งส่วนใหญ่จะติดมากับไฟล์นามสกุล .EXE หรือ .COM โดยมีผลกระทบ หรือ payload กับคอมพิวเตอร์ที่ติดไวรัสแตกต่างกันไป แต่สำหรับเวิร์ม (worms) ซึ่งเรามักเข้าใจว่าเป็นไวรัสรูปแบบหนึ่งจะมีรูปแบบการทำงานที่แตกต่างออกไปจากไวรัสคอมพิวเตอร์ โดยโปรแกรมประเภท worms จะมีรูปแบบในการแพร่กระจายตัวเข้าไปในระบบเครือข่ายโดยโจมตีเครื่องคอมพิวเตอร์ที่อยู่ในระบบเครือข่ายเดียวกัน ซึ่ง Worm สมัยใหม่ในปัจจุบันนิยมใช้วิธีนี้ โดยมักจะติดมากับการใช้ Thumb Drive หรือ USB Drive ที่ไม่ได้รับการควบคุม (Device Control) โปรแกรมมัลแวร์ที่ทำงานในลักษณะเวิร์มจะพยายามแพร่กระจายเข้าสู่ระบบเครือข่าย โดยพยายามอาศัยช่องโหว่ของระบบปฏิบัติการ ยกตัวอย่าง เช่น เวิร์มชื่อ WORM_GIMMIV.A หรือ TSPY_GIMMIV.A อาศัยช่องโหว่ MS08-067 ของระบบปฏิบัติการ Microsoft Windows ที่ยังไม่ได้รับการติดตั้ง Patch โดยเวิร์มดังกล่าวมีการพัฒนาตัวเองต่ออีกหลายเวอร์ชั่น ซึ่งเวอร์ชั่นที่ถูกพบในประเทศไทยมากที่สุดคือ WORM_DOWNAD.A และ WORM_NETWORM.C ทำให้คอมพิวเตอร์ที่ติดไวรัสเพิ่มปริมาณจราจรข้อมูลจำนวนมาก และ ทำให้ระบบเครือข่ายของหลายองค์กรประสบปัญหา Denial of Service (DoS Attack) ไม่สามารถทำงานได้ตามปกติ ต้องสิ้นเปลืองงบประมาณในการลบเวิร์ม และติดตั้ง Patch จำนวนมาก
ในเมื่อทิศทางของไวรัสและเวิร์มมาในรูปแบบนี้ ผู้บริหารระบบสารสนเทศขององค์กรควรให้ความสำคัญกับสองเรื่องใหญ่ๆ คือ 1. การใช้งาน Thumb Drive หรือ USB Drive ในองค์กรอย่างปลอดภัยไม่ติดไวรัส และ 2. การควบคุมไฟล์แนบ (Attached File) ที่มากับอิเล็คโทรนิคส์เมล์ที่ทุกคนต้องเปิดใช้งานอยู่เป็นประจำทุกวันโดยควบคุมไม่ให้โปรแกรมนามสกุลที่มีความเสี่ยง เช่น *.exe หรือ *.com (ดูรูปที่1) สามารถผ่าน Gateway ขององค์กรเข้ามาได้ เพราะถ้าหากโปรแกรมมุ่งร้ายดังกล่าวสามารถหลุดรอดผ่านGateway มาได้จะทำให้ผู้ใช้คอมพิวเตอร์ที่เป็น ”User” ทั่วไปและยังไม่ได้รับการอบรม “Information Security Awareness Training” อาจเผลอเปิด หรือ ”Run” โปรแกรมมุ่งร้ายดังกล่าว ทำให้เครื่องคอมพิวเตอร์ขององค์กรอาจติดไวรัสกันทั้งองค์กรได้โดยง่าย เพราะไวรัสหรือเวิร์มหลายตัวในปัจจุบัน ยังเป็น ”Zero-Day Attack” ที่ยังไม่มีโปรแกรมกำจัดหรือยังไม่มี Patch ออกมาแก้ปัญหาช่องโหว่ที่เวิร์มโจมตี
ดังนั้นการฝึกอบรม ”Information Security Awareness Training” จึงมีความจำเป็นอย่างยิ่งยวดสำหรับผู้ใช้คอมพิวเตอร์ทุกคนในองค์กร เพื่อให้ผู้ใช้คอมพิวเตอร์เกิดความตระหนักและเข้าใจถึงภัยที่มาจากการใช้งานอินเทอร์เน็ตโดยไม่ระมัดระวังและรู้เท่าไม่ถึงการ ตลอดจนเพื่อให้องค์กรสามารถรักษาความมั่นคงปลอดภัยข้อมูลในภาพรวมได้ดีขึ้นเมื่อเปรียบเทียบกับองค์กรที่ยังไม่มีการจัดอบรมดังกล่าว การฝึกอบรม “Information Security Awareness Training” ถือได้ว่าเป็นปราการด่านสุดท้ายระหว่างมัลแวร์และผูใช้คอมพิวเตอร์ปลายทาง ซึ่งการอบรมควรจัดขึ้นหนึ่งหรือสองครั้งต่อปี เพื่อ”Update” ข้อมูลภัยอินเทอร์เน็ตใหม่ๆให้กับผู้ใช้คอมพิวเตอร์ทุกคนในองค์กร
http://www.acisonline.net/images_article/malware1(1).jpg
รูปที่ 1
- 6.2 Concealment Malware : Trojan horses, Rootkits and Backdoors
โปรแกรมมุ่งร้ายเหล่านี้มีลักษณะการทำงานแบบแอบซ่อนไม่ให้ผู้ใช้คอมพิวเตอร์มองเห็นวัตถุประสงค์ที่แท้จริงของมัลแวร์ หรือไม่ ก็หลอกให้เข้าใจว่าเป็นโปรแกรมประสงค์ดี โดยใช้เทคนิค ”Social engineering” มีวัตถุประสงค์คล้ายกันกับวัตถุประสงค์ในภัยข้อหนึ่ง คือ การขโมยความเป็นตัวตนของผู้ใช้คอมพิวเตอร์ที่ตกเป็นเหยื่อ (Identity Theft) เช่น การ Remote เข้าไปควบคุมเครื่องเหยื่อโดยผ่านทางโปรแกรม Remote Administration Tool (RAT) ในประเทศไทยมีลูกค้าอินเทอร์เน็ตแบงค์กิ้งคนหนึ่งตกเป็นเหยื่อของโปรแกรมดังกล่าว ทำให้เงินในบัญชีของเขาถูกโอนไปซื้อ SIM card แบบ PRE-PAID โดยไม่รู้ตัวมีมูลค่าความเสียหายเกือบหนึ่งล้านบาท ดังนั้นก่อนการเปิดโปรแกรมขึ้นมาทำงาน (Run Program) หรือ ก่อนการดาวน์โหลดโปรแกรมจากเว็บไซด์ต่างๆ ต้องพยายามหลีกเลี่ยงโปรแกรมที่มีนามสกุลดังที่กล่าวไว้ในรูปที่ 1 ปัจจุบันผู้ไม่หวังดีเริ่มเขียนโปรแกรมมัลแวร์ของตนโดยบรรจุโปรแกรมลงใน ไฟล์ ZIP หรือ ไฟล์ RAR ดังนั้น ก่อนการเปิดไฟล์ที่ถูก Compressed จึงต้องระมัดระวังเป็นพิเศษด้วย
- 6.3 Malware for Profit : Spyware, Botnet, Keystroke loggers and Dialers
ในอดีตผู้ไม่หวังดีสร้างมัลแวร์ประเภทนี้เพื่อความสนุก เรียกว่า “Hack for fun” แต่ในปัจจุบันและอนาคต โปรแกรมมัลแวร์สมัยใหม่ถูกออกแบบให้”Hack for profit” คือต้องสามารถสร้างรายได้ให้กับผู้เขียนโปรแกรมมัลแวร์ได้ด้วย โปรแกรมประเภทนี้เรียกว่า “Spyware” หรือ โปรแกรมแอบล้วงความลับ หรือ โปรแกรมลักลอบดักข้อมูลส่วนตัว ซึ่งหลักการทำงานจะเหมือนกันคือโปรแกรมจะแอบดูว่าเรามีพฤติกรรมในการงานคอมพิวเตอร์อย่างไร เช่น เราชอบเข้าเว็บใดบ่อยๆ เราพิมพ์รหัสผ่านเวลาเข้าระบบอย่างไร เป็นต้น จากนั้นโปรแกรมมัลแวร์เหล่านี้จะส่งข้อมูลกลับไปยังผู้เขียนโปรแกรม เพื่อให้ผู้ไม่หวังดีสามารถนำข้อมูลพฤติกรรมส่วนตัวของเราไปใช้ในทางไม่ดีได้และสร้างความเดือดร้อนให้กับเหยื่อในที่สุดเพราะข้อมูลที่ถูกส่งไปเป็นข้อมูลที่ ”Sensitive” เช่น รหัสผ่าน, เลขที่บัตรเครดิต, เลขที่บัตรประชาชน, เลขที่บัญชีและข้อมูลส่วนตัวอื่นๆที่ไม่ควรเปิดเผยให้ผู้อื่นได้รับทราบ สำหรับทางแก้ปัญหาก็จะคล้ายๆกับมัลแวร์ทั้ง2ประเภทที่ผ่านมา คือ ต้องคอยเฝ้าระวังในการเปิดไฟล์นามสกุลอันตรายดังกล่าว ประกอบกับระวังการใช้งาน Removable Storage Device อีกด้วย
- 6.4 Web Threat Malware : Malicious Web Link, Phishing, URL redirect
คือวิธีการสมัยใหม่ในการแพร่กระจายมัลแวร์ โดยผู้ไม่หวังดีจะแอบฝังมัลแวร์ไว้ในเว็บไซด์ที่เราเข้าไปเยี่ยมชม โดยผู้ใช้อินเทอร์เน็ตอาจไม่รุ้ตัวว่าเว็บดังกล่าวถูกฝังมัลแวร์เอาไว้ เนื่องจากบางทีแม้แต่เจ้าของเว็บเองยังไม่รู้ว่าเว็บตัวเองถูกเจาะและถูกแอบฝังโปรแกรมมุ่งร้ายเอาไว้ดักรอเหยื่อ โดยเฉพาะเว็บดังๆที่มีผู้เข้าเยี่ยมชมมากๆ หรือเว็บประเภท ”Social Networking” ก็เป็นแหล่งในการปล่อยมัลแวร์ที่นิยมในหมู่แฮกเกอร์ บางครั้งมัลแวร์ถูกส่งมาในลักษณะของ ”Web Link” หรือ “Hyperlink” ที่ปรากฏในอิเล็คโทรนิคส์เมล์ หรือ ปรากฏในโปรแกรม Instant Messaging เช่น MSN เป็นต้น ดังนั้นก่อนที่เราจะ ”Click” ไปยัง Web Link ต่างๆ เราควรสังเกตและระวังว่า Web Link ไม่ได้ถูกเชื่อมโยงไปยังโปรแกรมนามสกุลอันตรายดังกล่าวมาแล้ว เช่น http://www.abc.com/../../../GAME.EXE หรือ http://www.abc.com/../.../NUDE.SCR เป็นต้น
อนาคตของมัลแวร์ “The Future of Malware”
ปัญหาไวรัสคอมพิวเตอร์ยังคงไม่หมดไปจากโลกนี้ง่ายๆ ตราบใดที่มียังมีมัลแวร์อยู่ใน Cyberspace ดังนั้นเราจึงมีความจำเป็นต้องศึกษาและเรียนรู้พฤติกรรมของมัลแวร์ในอนาคต เพื่อจะได้แก้ปัญหาและป้องกันได้อย่างมีประสิทธิภาพ โดยลักษณะการทำงานของมัลแวร์ในอนาคต สรุปได้ดังนี้
- 1. นิยมใช้เทคนิค ”Social Engineering”
โดยหลอกให้ผู้ใช้อินเตอร์เน็ตเข้าใจผิดไปต่างๆนานา ดังนั้นจึงต้อง “ระวัง” ก่อน ”Click” ”Downloads” หรือ “Open/RUN” โปรแกรมในทุกครั้ง
- 2. นิยมแพร่กระจายผ่าน Web โดยเฉพาะ “Social Networking Web”
จากความนิยมของ Hi5, Facebook , Linkedin และ Myspace ทำให้เว็บ Social Network ดังกล่าวเป็นแหล่งแพร่กระจายของมัลแวร์ในอนาคต จึงจำเป็นต้องมีสติในการใช้งานเว็บเหล่านี้
- 3. นิยมแพร่กระจายผ่านทาง Instant Messaging เช่น MSN
โดยมัลแวร์จะถูกส่งมาในลักษณะของ”Hyperlink” เพื่อให้ดาวน์โหลดไฟล์ผ่านทาง MSN หรือ Windows Live Messenger เป็นต้น จึงต้องระวังเวลารับไฟล์ผ่านทาง Instant Messaging
- 4. นิยมแพร่กระจายผ่านทางการใช้งาน USB Drive, Flash Drive หรือ Thumb Drive
องค์กรที่มีนโยบายในการควบคุมการใช้งาน Removable Storage device ในองค์กร ได้แก่ เอกสาร Acceptable Use Policy (AUP) เพื่อให้ผู้ใช้คอมพิวเตอร์รับทราบถึงข้อควรปฏิบัติ และ องค์กรควรจัดการฝึกอบรม Information Security Awareness Training ให้ผู้ใช้คอมพิวเตอร์เกิดความเข้าใจและสามารถป้องกันตัวเองได้
- 5. นิยมใช้ช่องโหว่ใหม่ๆ (New Vulnerability) ของไมโครซอฟในการโจมตีและแพร่กระจาย
องค์กรที่มีนโยบายในการ”Harden Operating System (OS)” หรือ ปิดพอร์ตสื่อสาร (Port) และ ปิดบริการ(Service) ที่ไม่ถูกใช้งานที่เครื่องลูกข่าย เช่น พอร์ต TCP 135 (Microsoft RPC), TCP 445(SMB Direct) หรือ TCP 139 (NETBIOS Session)ในกรณีที่ไม่ได้ใช้งานพอร์ตดังกล่าว จะสามารถลดปัญหาในการโจมตีเครื่องที่ไม่ได้รับการติดตั้ง Patch แต่สำหรับพอร์ตที่จำเป็นต้องเปิดใช้ ก็ควรติดตั้งโปรแกรม ”Patch Management” จะช่วยให้การ Patch เป็นระบบมากขึ้น
7. ภัยจากช่องโหว่ในโปรแกรมประยุกต์ที่ถูกพัฒนาขึ้นอย่างไม่ปลอดภัย (Application Security Threat)
ข้อมูลจาก Gartner Research ระบุว่า การโจมตีของแฮกเกอร์ในปัจจุบันและอนาคตกว่า 70% มุ่งไปที่การโจมตีช่องโหว่ด้านความปลอดภัยข้อมูลในระดับโปรแกรมประยุกต์ (Application Level Attack) ซึ่งในปัจจุบันโปรแกรมเมอร์ หรือ Software Developer ไม่ค่อยได้ให้ความสำคัญกับเรื่องความปลอดภัยข้อมูลมากนัก หรือ อาจจะยังขาดความรู้ด้าน ”Application Security” ทำให้เกิดเป็นช่องโหว่ที่สำคัญยิ่งกว่าช่องโหว่ของโปรแกรมประยุกต์เองเสียอีก โปรแกรมประยุกต์ หรือ Application ส่วนใหญ่ในปัจจุบันล้วนพัฒนาเป็น ”Web Application” ซึ่งปกติจะทำงานผ่านทาง Internet Browser เช่น Internet Explorer, Firefox, Safari โดย Web Server นิยมใช้ Microsoft IIS หรือ Apache และ ภาษาที่นิยมใช้ได้แก่ ASP.NET, JSP และ PHP การเข้าถึง Web Application ผ่านทางพอร์ต TCP 80 (http) และ พอร์ตTCP 443 (https) โดยไฟล์วอลส์ไม่สามารถป้องกันการโจมตี Web Application ผ่านทางพอร์ตทั้งสองได้เลย เพราะไฟล์วอลส์ส่วนใหญ่ไม่เข้าใจ Attack Pattern ในระดับ Application Layer และ พอร์ตทั้งสองเป็นพอร์ตที่จำเป็นต้องเปิดใช้งานอยู่แล้ว (ดูรูปที่ 2) โดยการโจมตีของแฮกเกอร์นิยมใช้ช่องโหว่ทั้ง 10 ประเภทของ Web Application จาก Open Web Application Security Project (www.owasp.org) หรือ อาจหาข้อมูลจาก Web Hacking Incident Database ของ Web Application Security Consortium (www.webappsec.org) มาใช้ในการโจมตี Web Application
http://www.acisonline.net/images_article/web_application_hacking(1).jpg
รูปที่ 2
สำหรับช่องโหว่ที่แฮกเกอร์นิยมใช้ในการเจาะระบบมากที่สุดตามรายงานจาก OWASP คือ Cross Site Scripting หรือ XSS Attack และ Injection Flaw หรือ SQL Injection ที่เรารู้จักกันดี (ดูรูปที่ 3)
http://www.acisonline.net/images_article/owasp.JPG
รูปที่ 3
นอกจากนี้แฮกเกอร์ยังนิยมใช้เทคนิค ”Google Hacking” ในการโจมตีเป้าหมายอีกด้วย ดูข้อมูลเพิ่มเติมได้ที่ Google Hacking Database (http://johnny.ihackstuff.com/ghdb.php)
วิธีการป้องกันภัยจาก Application Security Threat มีรายละเอียดดังนี้
- 7.1 ติดตั้ง Web Application Firewall (WAF)
เพื่อป้องกันการโจมตีของแฮกเกอร์ในกรณีที่เราไม่สามารถแก้ไขช่องโหว่ของ Web Application ได้อย่างทันท่วงที และเรายังไม่มีการฝึกอบรมให้โปรแกรมเมอร์เข้าใจในเรื่องการเขียนโปรแกรมให้ปลอดภัย (How to write a secured code) ข้อเสียคือเราต้องลงทุนเพิ่มสำหรับการจัดซื้อ WAF
- 7.2 ตรวจสอบช่องโหว่ของ Web Application ด้วย Web Application Scanner หรือตรวจสอบ Source Code ด้วย Source Code Analysis Tool
การตรวจสอบทั้ง 2 แบบเป็นวิธีการที่ผู้ตรวจสอบระบบสารสนเทศ (IT Auditor) นิยมใช้ในการตรวจหาช่องโหว่ของ Web Application เพื่อเตือนให้ทราบแต่ไม่สามารถแก้ไขหรือป้องกันปัญหาได้เมื่อเปรียบเทียบกับการใช้ Web Application Firewall (WAF) ข้อเสียคือ ได้แค่เพียงข้อมูล Vulnerability แต่ไม่ลึกระดับ Penetration Testing และยังไม่สามารถป้องกันการโจมตีได้
- 7.3 ตรวจสอบเชิงลึกด้านวิธีการ Black-box Penetration Testing
เป็นการจ้างผู้เชี่ยวชาญจากภายนอกทำการเจาะระบบ Web Application ขององค์กรดูว่ามีช่องโหว่ที่แฮกเกอร์สามารถใช้ในการเจาะระบบเพื่อเข้าถึงข้อมูลสำคัญได้หรือไม่ ผู้เชี่ยวชาญจำเป็นต้องเป็นผู้เชี่ยวชาญพิเศษที่มีความรู้ด้านการทำ Penetration Testing ในระดับสูง มี Certification ที่เกี่ยวข้องกับการทำ Penetration Testing มี Hacking Skill และ มีประสบการณ์ในการทำ Penetration Testing มาแล้วจะทำให้มีมุมมองกว้างขึ้น
การตรวจสอบเชิงลึกด้วยวิธีการ Black-box Penetration Testing ไม่สามารถใช้เพียงแค่ Web Application Scanner มาเจาะระบบได้ ต้องใช้จินตนาการของ Pen-Tester ในการเจาะระบบ หรือจะเรียกว่าต้องคิดแบบเดียวกับแฮกเกอร์ก็ไม่ผิดนัก
- 7.4 การฝึกอบรม Software Developer ให้เกิดความเข้าใจในการเขียนโปรแกรมให้มีความปลอดภัย
วิธีการนี้เป็นวิธีการแก้ปัญหาที่ยั่งยืนคือเป็นการแก้ปัญหาที่ต้นเหตุของปัญหา (Root Causes of Application Insecurity) คือ การแก้ปัญหาที่ ”คน” (people) และ “กระบวนการ” (process) เสริมไปกับการแก้ปัญหาที่ ”เทคโนโลยี” (technology) ดังที่กล่าวมาแล้ว “คน” จำเป็นต้องเข้ารับการอบรมวิธีการเขียนโปรแกรมให้ปลอดภัย (How to Write a Secured Code) เพราะผู้บริหารควรศึกษากระบวนการในการบริหารความเสี่ยงที่อาจเกิดขึ้นกับการพัฒนาโปรแกรมประยุกต์ที่ไม่ปลอดภัย
ในปัจจุบัน (ISC)2 เป็นสถาบันที่จัดสอบและออกใบรับรองผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลคอมพิวเตอร์ที่เรารู้จักกันดี ได้แก่ CISSP และ SSCP ได้ออกมาตรฐาน CSSLP CBK (Certified Secure Software Lifecycle Professional Common Body of Knowledge) (ดูรูปที่ 4 และ รูปที่ 5) ตลอดจนทำการจัดสอบ ฝึกอบรมมาตรฐานในผู้เชี่ยวชาญด้านการพัฒนาโปรแกรมประยุกต์ให้ปลอดภัย ได้แก่ ใบรับรอง Certified Secure Software Lifecycle Professional (CSSLP) โดยเน้นไปที่การแก้ปัญหาด้านความปลอดภัยของโปรแกรมประยุกต์ในทุกขั้นตอนของการพัฒนาโปรแกรมประยุกต์ไม่ว่าจะเป็น SDLC Software Development Model หรือ Non-SDLC Software Development Model เช่น Waterfall Model Spiral Model หรือ Agile Development
ด้วยวิธีการตามแนวคิดนี้จะลดความเสี่ยงในการพัฒนาโปรแกรมประยุกต์ที่ไม่ปลอดภัยด้วยการลดความเสี่ยงในทุกขั้นตอนของการพัฒนาโปรแกรม ไม่ใช่การแก้ปัญหาหลังจากที่โปรแกรมถูกพัฒนาเสร็จแล้ว ทำให้สายเกินไปที่จะแก้ปัญหาได้ทันท่วงที ยังเป็นบ่อเกิดของปัญหา Web Application Hacking ตามมาในที่สุด ดังนั้นกระบวนการในการพัฒนาโปรแกรมให้ปลอดภัย “Secured Software Development Process” จึงจำเป็นต้องศึกษาและถูกนำมาใช้ในองค์กรเพื่อแก้ปัญหาจากสาเหตุที่แท้จริง จะส่งผลให้เกิดความมั่นคงปลอดภัยแก่ Web Application ขององค์กรได้ในระยะยาวเชิงบูรณาการ
http://www.acisonline.net/images_article/csslp.JPG
รูปที่ 4
http://www.acisonline.net/images_article/csslp2.JPG
รูปที่ 5
8. ภัยจากการใช้งานระบบไร้สาย (Threat from using Mobile and Wireless Systems)
ชีวิตประจำวันของเราในวันนี้จะปฏิเสธไม่ได้เลยว่าเราไม่ได้ใช้งานระบบไร้สาย เช่น การใช้งานโทรศัพท์มือถือ การใช้งาน Wireless LAN ที่บ้านและที่ทำงาน ตลอดจนการใช้งาน Wireless ตามศูนย์การค้าและสนามบิน เป็นต้น จากความนิยมของการใช้งานเครือข่ายไร้สายด้วย 1.Notebook 2.PDA 3.Smart Phone และ 4.iPhone ทำให้เรื่องความปลอดภัยของเครือข่ายไร้สายกลายเป็นประเด็นสำคัญขึ้นมา เพราะข้อมูลที่ถูกส่งผ่าน ”อากาศ” อาจถูกแอบดักข้อมูลได้โดยเจ้าของข้อมูลไม่รู้ตัวเลย อีกทั้งอาจถูกโจมตีโครงสร้างพื้นฐานของระบบ เช่น โจมตี Access Point ด้วยวิธี Denial of Service ทำให้ Access Point ล่ม เป็นต้น
การแก้ปัญหาด้านความปลอดภัยในการใช้งานระบบไร้สาย สามารถสรุปได้ดังนี้
- 8.1 ควรมีการเข้ารหัสเวลารับส่งข้อมูลระหว่าง Mobile Device และ Base Station หรือ ระหว่างเครื่องลูกข่าย Wireless LAN กับ Access Point เพื่อป้องกันการถูกแอบดักข้อมูลโดยไม่ได้รับอนุญาต เช่น การใช้ Packet Sniffer แอบดักข้อมูล เป็นต้น Algorithm ที่ควรนำมาใช้ในการเข้ารหัสที่ แนะนำในปัจจุบันคือ WPA Version 2 ขึ้นไป โดยเข้ารหัสแบบ AES Encryption
8.2 ควรมีการตรวจสอบชื่อผู้ใช้ (Authentication) ก่อนการใช้งานระบบไร้สาย ร่วมกับการเข้ารหัสข้อมูลในข้อ 8.1 และ ควรใช้โปรโตคอลที่มีการเข้ารหัสเวลาทำการตรวจสอบชื่อผู้ใช้ เช่น โปรโตคอล https หรือ ใช้ Token Device ร่วมกับการใช้รหัสผ่านในรูปแบบของ ”Two Factor Authentication”
- 8.3 ควรทำการปิดช่องโหว่ด้วยการปิดช่องโหว่ (Hardening) ระบบให้เรียบร้อยก่อนใช้งาน เพราะ ระบบไร้สายอาจมีช่องโหว่ที่สามารถถูกโจมตีแบบ Denial of Service (DoS) Attack ทำให้ระบบไม่สามารถใช้งานได้ตามปกติ จึงควรปิดช่องโหว่ก่อนนำมาใช้งานจริง
- 8.4 ติดตั้ง Wireless IPS เพื่อป้องกันผู้บุกรุกแบบไร้สาย โดยอุปกรณ์ Wireless IPS จะถูกออกแบบมาพิเศษในการป้องกันการโจมตีอุปกรณ์ไร้สายได้ในหลากหลายรูปแบบและเหมาะสำหรับใช้ในองค์กรมากกว่าที่จะถูกนำมาใช้งานตามบ้าน เนื่องจากมีราคาค่อนข้างสูง
- 8.5 มีการกำหนดนโยบายและมาตรฐาน (Security Policy and Standard) และ สร้างความตระหนักในการใช้งาน Wirelessอย่างปลอดภัย (Security Awareness Training Program) ในการใช้งานระดับองค์กร และ มีการประชาสัมพันธ์ให้ผู้ใช้ในองค์กรเกิดความเข้าใจและรับทราบวิธีการใช้งานเครือข่ายไร้สายอย่างปลอดภัยโดยผ่านการฝึกอบรม Security Awareness Training และ เซ็นรับทราบเอกสารยินยอมรับเงื่อนไขนโยบายเกี่ยวกับความปลอดภัยระบบสารสนเทศ Acceptable Use Policy (AUP) จะเป็นการแก้ปัญหาแบบบูรณาการและเหมาะกับองค์กรที่มีการใช้งานเครือข่ายไร้สายอย่างจริงจัง
[b]9. ภัยจากปัจจัยภายนอก ได้แก่ การโจมตีจากแฮกเกอร์ระดับมืออาชีพ (Th
10 อันดับภัยอินเทอร์เน็ตประจำปี ค.ศ. 2009 และ แนวทางในการป้องกันภัยอินเทอร์เน็ตอย่างได้ผล (ตอนที่1)
ในปัจจุบันการใช้งานระบบอินเทอร์เน็ตในประเทศไทยนั้น มีจำนวนผู้ใช้งานมากกว่า 10 ล้านคน (ข้อมูลจาก NECTEC และสำนักงานสถิติแห่งชาติ) ส่วนใหญ่จะมีช่วงอายุที่ยังไม่มากนัก เช่น เด็กมัธยมและวัยรุ่น ยกตัวอย่างเช่น การเล่นเกมส์ออนไลน์ผ่านอินเทอร์เน็ตทุกครัวเรือน จากความนิยมของเทคโนโลยีอินเทอร์เน็ตความเร็วสูง (ADSL) ผู้ใช้งานอินเทอร์เน็ตส่วนใหญ่ในวันนี้กำลังเพลิดเพลินไปกับเทคโนโลยี WEB2.0 ที่เรารู้จักกันในนามของ Social Network เช่น Hi5 , My Space และ Face Book
ภัยอินเทอร์เน็ตสมัยใหม่จึงมุ่งไปยังกลุ่มผู้ใช้งานตามบ้านผ่านทางการเข้าเว็บไซต์ Social Network ดังกล่าว อีกทั้ง การนิยมชำระเงินและทำธุรกรรมผ่านทางระบบออนไลน์ เช่น ระบบ Internet Banking และระบบ Pay-Online ทำให้กลุ่มผู้ไม่หวังดีหันมาปล้นเงินผ่านทางระบบออนไลน์เพิ่มมากขึ้น ด้วยวิธีการล่อลวงในแบบต่างๆ เช่น Phishing และ Pharming ดังนั้นจึงสรุปได้ว่า ภัยอินเทอร์เน็ตประจำปี 2009 (ตอนที่1) นั้น แบ่งประเภทได้เป็น 10 ประเภท ดังต่อไปนี้
1. ภัยจากการใช้เทคโนโลยี WEB2.0 และ Social Networking (Client Side Attack)
การหลอกลวงผ่านทางการเข้าเว็บไซต์ยอดนิยม เช่น Hi5 หรือ Face Book นั้นกำลังเป็นที่นิยมไปยังหมู่แฮกเกอร์ ด้วยเทคนิคหลากหลายรูปแบบผสมผสานกัน เช่น การใช้ Phishing ร่วมกับ Social Engineering เช่น การหลอกให้ผู้ใช้หลงเข้าไป ล็อกอินในเว็บไซต์ปลอมที่ดูเหมือนเว็บไซต์ Social Network ยอดนิยม ทำให้ผู้ใช้งานอินเทอร์เน็ตถูกขโมย Username และ Password โดยไม่รู้ตัว (Identity Theft) ยิ่งไปกว่านั้นโปรแกรมประสงค์ร้าย เช่น โปรแกรมม้าโทรจันยังนิยมแพร่กระจายผ่านทางเว็บไซต์ Social Network ดังกล่าวด้วย
การป้องกันไม่ให้ตกเป็นเหยื่อการล่อลวงอย่างที่กล่าวมาแล้ว คือ ต้องคอยสังเกตเวลา login เข้าเว็บไซต์ว่าเป็น เว็บไซต์จริงหรือเว็บไซต์ปลอม ต้องมีสติระลึกให้รู้ก่อนคลิกหรือป้อนข้อมูลส่วนตัว เช่น Username หรือ Password ลงในเว็บไซต์ที่กำลังใช้งานอยู่ นอกจากนี้ยังควรหมั่น update ข้อมูลข่าวสารให้เป็นปัจจุบันโดยการเข้าไปอ่านข่าวเกี่ยวกับเรื่องความปลอดภัยในอินเทอร์เน็ตหรืออ่านจากแมกกาซีนต่างๆ เพื่อให้เข้าใจถึงเทคนิคการล่อลวงใหม่ๆ ที่อาจเกิดขึ้นได้ตลอดเวลา
2. ภัยจากการทำธุรกรรมออนไลน์และการใช้ E-Commerce
ภัยในข้อสองนี้กำลังมีอัตราการเพิ่มขึ้นตามความนิยมที่ผู้คนชอบหันมาทำธุรกรรมออนไลน์มากขึ้น เช่น การโอนเงินไม่จำเป็นต้องโอนเงินที่ตู้เอทีเอ็ม แต่สามารถโอนผ่าน Internet Banking ได้เนื่องจากสะดวกสบาย รวดเร็ว และประหยัดค่าใช้จ่ายในการเดินทาง ที่สำคัญไม่ต้องใช้บัตรเอทีเอ็มก็สามารถโอนได้ หรือการซื้อของผ่านทางอินเทอร์เน็ตใช้เพียงแค่ข้อมูลในบัตรเครดิตก็สามารถสั่งซื้อของได้โดยง่าย ดังนั้น กลุ่มอาชญากรคอมพิวเตอร์รุ่นใหม่จึงนิยมเจาะระบบการทำธุรกรรมออนไลน์เป็นหลัก เนื่องจากมีผลประโยชน์จากการได้ขโมยเงินในบัญชีของเหยื่อ เรียกว่า No Hack For Fun แต่ Hack For Money สามารถดำรงชีวิตอยู่ได้จากการประกอบมิจฉาชีพโดยการเจาะระบบ แฮกเกอร์บางคนทำเป็นอาชีพเลยก็มี นอกจากการเจาะระบบแล้วยังมีกลโกงโดยการปลอมและ copy บัตรเอทีเอ็มอย่างผิดกฎหมายอีกด้วย เหยื่อมักถูกหลอกให้ติดตั้งโปรแกรมม้าโทรจันลงบนเครื่องผ่านทาง Internet Browser ยอดนิยมเช่น IE และ Firefox โดยเทคนิค Phishing และ Pharming โปรแกรมม้าโทรจันดังกล่าวมักจะทำงานในลักษณะของโปรแกรมดักข้อมูลจากคีย์บอร์ด (Key Logger) เคยมีกรณีตัวอย่างเกิดขึ้นในประเทศไทยมาแล้ว
โดยลูกค้าธนาคารแห่งหนึ่งถูกขโมยโอนเงินไปกว่า 800,000 บาท จากวิธีดังกล่าว เทคนิคการหลอกหลวงนั้นยังพัฒนาเพื่อการขโมย Username และ Password ของเหยื่อ เช่น เทคนิค Fast Flux (DNS Hijacking) หรือเทคนิค TYPO-SQUATTING (URL Hijacking) ตลอดจนการโทรศัพท์หลอกลวงให้บอกข้อมูลส่วนตัวดังที่เป็นข่าวใหญ่ในหนังสือพิมพ์หลายฉบับ ด้วยเทคนิค Vishing และการแอบ copy บัตรเครดิตเพื่อทำบัตรปลอมที่เรียกว่า Skimming รวมทั้งการหลอกลวงโดยเทคโนโลยีเดิมที่เก่าแก่ที่สุดในโลก ได้แก่ เทคนิค Social Engineering โดยการหลอกอำเหยื่อเพียงแค่ส่งอีเมลล์มาหลอก นิยมเรียกเทคนิคนี้ว่า Internet SCAM เช่น จดหมายหลอกลวงไนจีเรียสสแคม(Internet SCAM) โดยหลอกลวงว่าเราจะได้รับเงินก้อนใหญ่แค่เพียงโอนเงินค่าธรรมเนียมเล็กน้อยไปให้เขาก่อน เรียกว่าตกทองยุคไฮเทคก็ว่าได้ ทางแก้ปัญหาทั้งหมดดังกล่าวนี้ ก็เป็นทางแก้เดิมๆ ด้วยการกำหนดสติเวลาที่เราทำธุรกรรมออนไลน์ ไม่หลงเชื่ออีเมลล์หลอกลวงที่ทำให้เราเกิดความโลภ และตกเป็นเหยื่อโดยรู้เท่าไม่ถึงการณ์ ส่วนการถูกแอบปลอมบัตรเครดิตนั้น ทางแก้คือ ควรหมั่นตรวจเช็ค Credit Card Statement และ ถ้าพบปัญหาให้แจ้งไปยังธนาคารต้นสังกัดที่เราใช้บัตรเครดิตอยู่ ก็สามารถป้องกันและแก้ไขปัญหาดังกล่าวได้
[hide=10]
3. ภัยจากระบบ BOTNET (Robot Network)
กล่าวถึงปัญหา BOTNET เป็นปัญหาใหญ่ของ ISP ทั่วโลกในช่วง 2-3 ปีที่ผ่านมา เพราะจะทำให้ลูกค้าของ ISP เช่น ผู้ใช้งานอินเทอร์เน็ตตามบ้านถูกยึดเครื่องเปลี่ยนไปเป็นเครื่องของแฮกเกอร์โดยไม่รู้ตัว เมื่อเครื่องที่ถูกยึดมีจำนวนมากขึ้น เป็นหลักหมื่น หลักพัน ทำให้การจราจรข้อมูลของ ISP เกิดปัญหาเรื่องความล่าช้า บางรายไม่สามารถให้บริการได้ ปัญหาดังกล่าวเกิดจากผู้ใช้งานอินเทอร์เน็ตตามบ้านยังไม่มีความเข้าใจและยังไม่ระมัดระวังภัยที่เกิดขึ้นจากการใช้งานระบบอินเทอร์เน็ต เช่น ได้รับข่าวสารว่าจะมีภัยสึนามิเกิดขึ้นในภาคใต้เป็นครั้งที่ 2 ก็รีบเปิดไฟล์ดูกันด้วยความตื่นตระหนกตกใจในข่าวดังกล่าว เป็นเหตุให้ถูกหลอกให้เปิดโปรแกรมไวรัสหรือ worm ทำให้เครื่องของเหยื่อกลายเป็น BOT หรือ Zombie ไปโดยปริยาย จากนั้นเครื่องของเหยื่อจะถูกควบคุมระยะไกลโดยแฮกเกอร์ที่ส่งโปรแกรมดังกล่าวหลอกผ่านมาทางอีเมลล์ ข่าวร้ายที่เราได้รับวิธีการนี้นิยมกันมากในยุโรปเรียกว่า Strong Worm โดยหลอกว่ามีคน 230 คนตายเนื่องจากพายุที่เกิดขึ้นในยุโรป ทางแก้ปัญหานั้นแบ่งออกเป็น 2 ทาง คือ
- 3.1. แก้ปัญหาที่ ISP โดยใช้เทคโนโลยีในการควบคุมเครื่องลูกค้าที่เป็น BOT ไปแล้ว ไม่ให้ส่งข้อมูลมารบกวนเครื่องลูกค้าปกติที่ยังไม่ได้กลายเป็น BOT ซึ่ง ISP แต่ละรายจะใช้เทคนิคในการแก้ปัญหาที่แตกต่างกัน
- 3.2 การแก้ปัญหาอีกทางหนึ่งคือ การแก้ปัญหาที่เครื่องผู้ใช้งานอินเทอร์เน็ตตามบ้าน โดยแนะนำให้ตั้งเป็นโปรแกรม Anti Malware ในคอมพิวเตอร์ทุกเครื่อง ตลอดจนไม่ดาวน์โหลดหรือเปิดโปรแกรม .EXE โดยไม่จำเป็นเพื่อไม่ให้โปรแกรมมุ่งร้ายสามารถทำงานบนเครื่องของเราได้
4. ภัยจากพนักงานภายในบริษัท หรือลูกจ้างชั่วคราวเข้าเจาะระบบของบริษัทเอง(Insider Attack)
โดยปกติแล้วพนักงานบริษัททั่วไปจะมีคอมพิวเตอร์ใช้งานกันทุกคนและมักใช้งานในเรื่องที่ไม่เกี่ยวข้องกับการทำงานของบริษัทอยู่มากพอสมควรเช่น การโหลดหนัง โหลดเพลง การใช้ MSN และการใช้งานเว็บไซต์ Social Network นอกจากเรื่องเสียเวลาทำงานแล้ว ซึ่งไม่ใช่ประเด็นหลัก ปัญหาที่ควรกังวลก็คือ การที่ผู้ใช้งานคอมพิวเตอร์รู้เท่าไม่ถึงการณ์เผลอโหลดหรือเปิดไฟล์ไวรัสที่ถูกส่งมาผ่านทางอินเทอร์เน็ต จากการใช้งานโปรแกรมดังกล่าว โดยไม่ระมัดระวัง ทำให้เครือข่ายภายในบริษัทหรือองค์กรเกิดปัญหาติดไวรัสเป็นจำนวนมาก ทางแก้ปัญหาสามารถทำได้โดยการกำหนดให้มีนโยบายหรือ Policy ที่เราเรียกว่า Acceptable Use Policy (AUP) เพื่อให้ผู้ใช้ได้ปฏิบัติตามนโยบายดังกล่าว จำเป็นต้องมีการฝึกอบรมที่เราเรียกว่า iSAT หรือ Information Security Awareness Training เกิดขึ้นเป็นประจำอย่างน้อยปีละ 2 ครั้ง จะช่วยแก้ปัญหาดังกล่าวได้มาก
องค์กรใหญ่หลายองค์กรนิยมเชิญผู้เชี่ยวชาญภายนอกมาฝึกอบรมในหลักสูตรดังกล่าวเป็นประจำทุกปี โดยจะให้ได้ผลที่ดีนั้น จำเป็นอย่างยิ่งที่ต้องอบรมพนักงานทุกคนทั้ง IT และ Non-IT นอกจากนี้ ปัญหา Insider Attack ยังรุนแรงกว่าการรู้เท่าไม่ถึงการณ์ของการใช้คอมพิวเตอร์ทั่วไปดังที่กล่าวมาแล้วในตอนต้นคือ การที่พนักงานบางคนมีเจตนามุ่งร้ายในการแอบขโมยข้อมูลบริษัทเพื่อผลประโยชน์ส่วนตัว หรืออาจจะเกิดจากความแค้นในบางเรื่องแล้วทำการเจาะเข้าระบบของบริษัทตัวเอง ซึ่งธรรมดาก็จะง่ายกว่าคนนอกมาเจาะอยู่แล้ว เนื่องจากเป็นการเจาะระบบจากภายใน ทำให้ข้อมูลรั่วไหลออกไปโดยง่าย ไม่ว่าจะผ่านทางการส่งอีเมลล์หรือ copy ลง USB Drive ก็ยากที่จะตรวจสอบ หากบริษัทหรือองค์กรไม่มีเทคโนโลยี DRM และ DLP ไว้ป้องกัน สิ่งที่น่ากลัวในอนาคตก็คือ อัตราการเพิ่มของ Insider Attack นั้นมีอัตราเพิ่มขึ้นทุกปี ทำให้การป้องกันข้อมูลรั่วไหลในองค์กรหรือ Data Loss Prevention กลายเป็นเรื่องสำคัญขึ้นมา ในองค์กรที่มีข้อมูลสำคัญอยู่เช่น ธนาคาร บริษัทที่ปรึกษา บริษัทวิจัย บริษัทออกแบบ และบริษัทที่มีทรัพย์สินทางปัญญาที่มีความสำคัญกับการดำเนินการธุรกิจ ทางแก้ปัญหาดังกล่าวนั้น ควรมีเทคโนโลยีขั้นสูงที่จะป้องกันไม่ให้ข้อมูลรั่วไหลจากที่กล่าวมาแล้วคือ DLP และ DRM ปัญหาคือ ราคายังค่อนข้างสูง อาจนำมาใช้ได้ในบางระบบก่อนแล้วค่อยเพิ่มเติมในภายหลัง อีกสิ่งที่ได้ผลคือ หมั่นตรวจสอบระบบโดย Internal Audit หรือ External Audit อย่างสม่ำเสมอ ก็จะช่วยให้เราทราบถึงเหตุการณ์ต่างๆ ที่เกิดขึ้น ก่อนที่ปัญหาจะลุกลามออกไปในอนาคต เพราะความเสียหายที่เกิดขึ้นจากข้อมูลรั่วไหลนั้นเป็นความเสียหายที่รุนแรง อาจทำให้ถูกฟ้องร้องซึ่งมีหลายบริษัทที่ต้องปิดกิจการไปแล้วหลายราย ดังนั้นผู้บริหารระดับสูงไม่ควรมองข้ามภัยข้อนี้เด็ดขาด
5. ภัยจากการไม่เข้าใจในแนวคิด GRC ของผู้บริหารระดับสูงขององค์กร
แนวคิด GRC ย่อมาจาก Governance , Risk and Compliance กำลังเป็นแนวคิดที่ได้รับความนิยมไปทั่วโลก เห็นได้จากหน่วยงานที่มีหน้าที่ในการควบคุมกำกับดูแล เช่น ธนาคารแห่งประเทศไทย กรต. สตง. ตลอดจนสคร. (โดยบริษัท TRIS Corporation) ได้กำหนดกฎเกณฑ์ในการตรวจสอบ ( Assess and Audit) หน่วยงายภายใต้การกำกับดูแลโดยใช้แนวความคิด GRC ด้วยกันทั้งสิ้น ดังนั้น จะเห็นได้ว่าแนวความคิด GRC นั้นมีความสำคัญอย่างยิ่งในการบริหารจัดการสมัยใหม่ที่ต้องการความโปร่งใสและมีประสิทธิภาพในการบริหารจัดการ ปัญหาก็คือ ผู้บริหารระดับสูงในองค์กรส่วนใหญ่ยังไม่ซึมซับในหลักการ ในแนวคิด GRC อย่างลึกซึ้งและถ่องแท้ โดยยังไม่เข้าใจในปรัชญาและแนวการปฏิบัติตามแนวคิดดังกล่าว ทำให้องค์กรไม่ผ่านการตรวจสอบหรือมีคะแนนจากการตรวจสอบในระดับต่ำ ส่งผลให้ KPI ของผู้บริหารตลอดจนองค์กรโดยรวมนั้นไม่ผ่านเกณฑ์ที่ Regulator ได้กำหนดไว้ ถามว่ามีความเกี่ยวข้องกับภัยอินเทอร์เน็ตตรงไหน ตอบได้ว่า การไม่เข้าใจในหลักการบริหารความเสี่ยงที่ถูกต้องตามหลักวิชาการ ความไม่โปร่งใสในการบริหารจัดการและการไม่ปฏิบัติตามกฎหมายและกฎข้อบังคับต่างๆ สามารถเกิดขึ้นโดยง่ายผ่านการใช้งานอินเทอร์เน็ตที่ไม่ถูกต้อง
หรืออาจเกิดจากการใช้งานอินเทอร์เน็ตของพนักงานภายในองค์กรแล้วไปละเมิดกฎหมายโดยไม่รู้ตัว เช่น พนักงานบริษัทมีการทำผิดในพรบ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์ โดยการ forward ภาพลามกอนาจาร หรือ ผู้ดูแลระบบสารสนเทศไม่มีการจัดเก็บ Log File ไว้ในระบบ Centralized Log อย่างน้อย 90 วัน เป็นต้น การแก้ปัญหาที่ถูกต้องคือ หน่วยงานต้องสนับสนุนในการจัดตั้งคณะกรรมการในการดำเนินงานเกี่ยวกับการศึกษากฎหมายและกฎระเบียบข้อบังคับต่างๆ เช่น พรบ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์ และพรบ.ธุรกรรมทางอิเล็กทรอนิกส์ ตลอดจนศึกษา Standard , Best Practice ต่างๆ เช่น ISO/IEC 27001 และ ITIL ตลอดจน CoBIT เป็นต้น จากนั้นนำแนวทางจากมาตรฐานและ Standard , Best Practice มาประยุกต์ใช้ในองค์กรให้สอดคล้องกับแนวคิด GRC ก็จะทำให้องค์กรมีประสิทธิภาพในการปฏิบัติงานมากขึ้นและยัง Comply กับกฎหมายและกฎระเบียบต่างๆ อีกด้วย ดังนั้น ผู้บริหารระดับสูงรุ่นใหม่ไม่ควรมองข้าม แนวความคิด GRC และควรรีบปรับกระบวนการบริหารจัดการในบริษัท (Internal Process) ให้เป็นระบบและสอดคล้องกับ Standard , Best Practice อย่างที่กล่าวมาแล้วจะช่วยเสริมภาพลักษณ์และความน่าเชื่อถือให้องค์กรและสร้างความสามารถในการแข่งขันให้แก่องค์กรแบบบูรณาการต่อไปในอนาคต
6. ภัยจากโปรแกรมมุ่งร้ายหรือโปรแกรมมัลแวร์ (Malware Threat)
ในปัจจุบันปัญหาไวรัสคอมพิวเตอร์ไม่ได้ถูกจำกัดอยู่เฉพาะโปรแกรมไวรัสคอมพิวเตอร์อีกต่อไป แต่ถูกขยายวงเพิ่มมากขึ้น เป็นโปรแกรมประเภทมัลแวร์ ซึ่งโปรแกรมประเภทนี้มีชื่อเรียกที่รู้จักกันในหลายๆชื่อ ขึ้นอยู่กับลักษณะการทำงานของโปรแกรม แต่ก็ล้วนจัดอยู่ในกลุ่มมัลแวร์ด้วยกันทั้งสิ้น โดยมัลแวร์สามารถแบ่งออกเป็น4 ประเภทใหญ่ๆ ดังนี้
- 6.1 Infectious Malware : Viruses and worms
เป็นประเภทของมัลแวร์ถูกพบและรู้จักมากที่สุด โดยเรามักนิยมเรียกว่า ไวรัสคอมพิวเตอร์ (viruses) ซึ่งส่วนใหญ่จะติดมากับไฟล์นามสกุล .EXE หรือ .COM โดยมีผลกระทบ หรือ payload กับคอมพิวเตอร์ที่ติดไวรัสแตกต่างกันไป แต่สำหรับเวิร์ม (worms) ซึ่งเรามักเข้าใจว่าเป็นไวรัสรูปแบบหนึ่งจะมีรูปแบบการทำงานที่แตกต่างออกไปจากไวรัสคอมพิวเตอร์ โดยโปรแกรมประเภท worms จะมีรูปแบบในการแพร่กระจายตัวเข้าไปในระบบเครือข่ายโดยโจมตีเครื่องคอมพิวเตอร์ที่อยู่ในระบบเครือข่ายเดียวกัน ซึ่ง Worm สมัยใหม่ในปัจจุบันนิยมใช้วิธีนี้ โดยมักจะติดมากับการใช้ Thumb Drive หรือ USB Drive ที่ไม่ได้รับการควบคุม (Device Control) โปรแกรมมัลแวร์ที่ทำงานในลักษณะเวิร์มจะพยายามแพร่กระจายเข้าสู่ระบบเครือข่าย โดยพยายามอาศัยช่องโหว่ของระบบปฏิบัติการ ยกตัวอย่าง เช่น เวิร์มชื่อ WORM_GIMMIV.A หรือ TSPY_GIMMIV.A อาศัยช่องโหว่ MS08-067 ของระบบปฏิบัติการ Microsoft Windows ที่ยังไม่ได้รับการติดตั้ง Patch โดยเวิร์มดังกล่าวมีการพัฒนาตัวเองต่ออีกหลายเวอร์ชั่น ซึ่งเวอร์ชั่นที่ถูกพบในประเทศไทยมากที่สุดคือ WORM_DOWNAD.A และ WORM_NETWORM.C ทำให้คอมพิวเตอร์ที่ติดไวรัสเพิ่มปริมาณจราจรข้อมูลจำนวนมาก และ ทำให้ระบบเครือข่ายของหลายองค์กรประสบปัญหา Denial of Service (DoS Attack) ไม่สามารถทำงานได้ตามปกติ ต้องสิ้นเปลืองงบประมาณในการลบเวิร์ม และติดตั้ง Patch จำนวนมาก
ในเมื่อทิศทางของไวรัสและเวิร์มมาในรูปแบบนี้ ผู้บริหารระบบสารสนเทศขององค์กรควรให้ความสำคัญกับสองเรื่องใหญ่ๆ คือ 1. การใช้งาน Thumb Drive หรือ USB Drive ในองค์กรอย่างปลอดภัยไม่ติดไวรัส และ 2. การควบคุมไฟล์แนบ (Attached File) ที่มากับอิเล็คโทรนิคส์เมล์ที่ทุกคนต้องเปิดใช้งานอยู่เป็นประจำทุกวันโดยควบคุมไม่ให้โปรแกรมนามสกุลที่มีความเสี่ยง เช่น *.exe หรือ *.com (ดูรูปที่1) สามารถผ่าน Gateway ขององค์กรเข้ามาได้ เพราะถ้าหากโปรแกรมมุ่งร้ายดังกล่าวสามารถหลุดรอดผ่านGateway มาได้จะทำให้ผู้ใช้คอมพิวเตอร์ที่เป็น ”User” ทั่วไปและยังไม่ได้รับการอบรม “Information Security Awareness Training” อาจเผลอเปิด หรือ ”Run” โปรแกรมมุ่งร้ายดังกล่าว ทำให้เครื่องคอมพิวเตอร์ขององค์กรอาจติดไวรัสกันทั้งองค์กรได้โดยง่าย เพราะไวรัสหรือเวิร์มหลายตัวในปัจจุบัน ยังเป็น ”Zero-Day Attack” ที่ยังไม่มีโปรแกรมกำจัดหรือยังไม่มี Patch ออกมาแก้ปัญหาช่องโหว่ที่เวิร์มโจมตี
ดังนั้นการฝึกอบรม ”Information Security Awareness Training” จึงมีความจำเป็นอย่างยิ่งยวดสำหรับผู้ใช้คอมพิวเตอร์ทุกคนในองค์กร เพื่อให้ผู้ใช้คอมพิวเตอร์เกิดความตระหนักและเข้าใจถึงภัยที่มาจากการใช้งานอินเทอร์เน็ตโดยไม่ระมัดระวังและรู้เท่าไม่ถึงการ ตลอดจนเพื่อให้องค์กรสามารถรักษาความมั่นคงปลอดภัยข้อมูลในภาพรวมได้ดีขึ้นเมื่อเปรียบเทียบกับองค์กรที่ยังไม่มีการจัดอบรมดังกล่าว การฝึกอบรม “Information Security Awareness Training” ถือได้ว่าเป็นปราการด่านสุดท้ายระหว่างมัลแวร์และผูใช้คอมพิวเตอร์ปลายทาง ซึ่งการอบรมควรจัดขึ้นหนึ่งหรือสองครั้งต่อปี เพื่อ”Update” ข้อมูลภัยอินเทอร์เน็ตใหม่ๆให้กับผู้ใช้คอมพิวเตอร์ทุกคนในองค์กร
http://www.acisonline.net/images_article/malware1(1).jpg
รูปที่ 1
- 6.2 Concealment Malware : Trojan horses, Rootkits and Backdoors
โปรแกรมมุ่งร้ายเหล่านี้มีลักษณะการทำงานแบบแอบซ่อนไม่ให้ผู้ใช้คอมพิวเตอร์มองเห็นวัตถุประสงค์ที่แท้จริงของมัลแวร์ หรือไม่ ก็หลอกให้เข้าใจว่าเป็นโปรแกรมประสงค์ดี โดยใช้เทคนิค ”Social engineering” มีวัตถุประสงค์คล้ายกันกับวัตถุประสงค์ในภัยข้อหนึ่ง คือ การขโมยความเป็นตัวตนของผู้ใช้คอมพิวเตอร์ที่ตกเป็นเหยื่อ (Identity Theft) เช่น การ Remote เข้าไปควบคุมเครื่องเหยื่อโดยผ่านทางโปรแกรม Remote Administration Tool (RAT) ในประเทศไทยมีลูกค้าอินเทอร์เน็ตแบงค์กิ้งคนหนึ่งตกเป็นเหยื่อของโปรแกรมดังกล่าว ทำให้เงินในบัญชีของเขาถูกโอนไปซื้อ SIM card แบบ PRE-PAID โดยไม่รู้ตัวมีมูลค่าความเสียหายเกือบหนึ่งล้านบาท ดังนั้นก่อนการเปิดโปรแกรมขึ้นมาทำงาน (Run Program) หรือ ก่อนการดาวน์โหลดโปรแกรมจากเว็บไซด์ต่างๆ ต้องพยายามหลีกเลี่ยงโปรแกรมที่มีนามสกุลดังที่กล่าวไว้ในรูปที่ 1 ปัจจุบันผู้ไม่หวังดีเริ่มเขียนโปรแกรมมัลแวร์ของตนโดยบรรจุโปรแกรมลงใน ไฟล์ ZIP หรือ ไฟล์ RAR ดังนั้น ก่อนการเปิดไฟล์ที่ถูก Compressed จึงต้องระมัดระวังเป็นพิเศษด้วย
- 6.3 Malware for Profit : Spyware, Botnet, Keystroke loggers and Dialers
ในอดีตผู้ไม่หวังดีสร้างมัลแวร์ประเภทนี้เพื่อความสนุก เรียกว่า “Hack for fun” แต่ในปัจจุบันและอนาคต โปรแกรมมัลแวร์สมัยใหม่ถูกออกแบบให้”Hack for profit” คือต้องสามารถสร้างรายได้ให้กับผู้เขียนโปรแกรมมัลแวร์ได้ด้วย โปรแกรมประเภทนี้เรียกว่า “Spyware” หรือ โปรแกรมแอบล้วงความลับ หรือ โปรแกรมลักลอบดักข้อมูลส่วนตัว ซึ่งหลักการทำงานจะเหมือนกันคือโปรแกรมจะแอบดูว่าเรามีพฤติกรรมในการงานคอมพิวเตอร์อย่างไร เช่น เราชอบเข้าเว็บใดบ่อยๆ เราพิมพ์รหัสผ่านเวลาเข้าระบบอย่างไร เป็นต้น จากนั้นโปรแกรมมัลแวร์เหล่านี้จะส่งข้อมูลกลับไปยังผู้เขียนโปรแกรม เพื่อให้ผู้ไม่หวังดีสามารถนำข้อมูลพฤติกรรมส่วนตัวของเราไปใช้ในทางไม่ดีได้และสร้างความเดือดร้อนให้กับเหยื่อในที่สุดเพราะข้อมูลที่ถูกส่งไปเป็นข้อมูลที่ ”Sensitive” เช่น รหัสผ่าน, เลขที่บัตรเครดิต, เลขที่บัตรประชาชน, เลขที่บัญชีและข้อมูลส่วนตัวอื่นๆที่ไม่ควรเปิดเผยให้ผู้อื่นได้รับทราบ สำหรับทางแก้ปัญหาก็จะคล้ายๆกับมัลแวร์ทั้ง2ประเภทที่ผ่านมา คือ ต้องคอยเฝ้าระวังในการเปิดไฟล์นามสกุลอันตรายดังกล่าว ประกอบกับระวังการใช้งาน Removable Storage Device อีกด้วย
- 6.4 Web Threat Malware : Malicious Web Link, Phishing, URL redirect
คือวิธีการสมัยใหม่ในการแพร่กระจายมัลแวร์ โดยผู้ไม่หวังดีจะแอบฝังมัลแวร์ไว้ในเว็บไซด์ที่เราเข้าไปเยี่ยมชม โดยผู้ใช้อินเทอร์เน็ตอาจไม่รุ้ตัวว่าเว็บดังกล่าวถูกฝังมัลแวร์เอาไว้ เนื่องจากบางทีแม้แต่เจ้าของเว็บเองยังไม่รู้ว่าเว็บตัวเองถูกเจาะและถูกแอบฝังโปรแกรมมุ่งร้ายเอาไว้ดักรอเหยื่อ โดยเฉพาะเว็บดังๆที่มีผู้เข้าเยี่ยมชมมากๆ หรือเว็บประเภท ”Social Networking” ก็เป็นแหล่งในการปล่อยมัลแวร์ที่นิยมในหมู่แฮกเกอร์ บางครั้งมัลแวร์ถูกส่งมาในลักษณะของ ”Web Link” หรือ “Hyperlink” ที่ปรากฏในอิเล็คโทรนิคส์เมล์ หรือ ปรากฏในโปรแกรม Instant Messaging เช่น MSN เป็นต้น ดังนั้นก่อนที่เราจะ ”Click” ไปยัง Web Link ต่างๆ เราควรสังเกตและระวังว่า Web Link ไม่ได้ถูกเชื่อมโยงไปยังโปรแกรมนามสกุลอันตรายดังกล่าวมาแล้ว เช่น http://www.abc.com/../../../GAME.EXE หรือ http://www.abc.com/../.../NUDE.SCR เป็นต้น
อนาคตของมัลแวร์ “The Future of Malware”
ปัญหาไวรัสคอมพิวเตอร์ยังคงไม่หมดไปจากโลกนี้ง่ายๆ ตราบใดที่มียังมีมัลแวร์อยู่ใน Cyberspace ดังนั้นเราจึงมีความจำเป็นต้องศึกษาและเรียนรู้พฤติกรรมของมัลแวร์ในอนาคต เพื่อจะได้แก้ปัญหาและป้องกันได้อย่างมีประสิทธิภาพ โดยลักษณะการทำงานของมัลแวร์ในอนาคต สรุปได้ดังนี้
- 1. นิยมใช้เทคนิค ”Social Engineering”
โดยหลอกให้ผู้ใช้อินเตอร์เน็ตเข้าใจผิดไปต่างๆนานา ดังนั้นจึงต้อง “ระวัง” ก่อน ”Click” ”Downloads” หรือ “Open/RUN” โปรแกรมในทุกครั้ง
- 2. นิยมแพร่กระจายผ่าน Web โดยเฉพาะ “Social Networking Web”
จากความนิยมของ Hi5, Facebook , Linkedin และ Myspace ทำให้เว็บ Social Network ดังกล่าวเป็นแหล่งแพร่กระจายของมัลแวร์ในอนาคต จึงจำเป็นต้องมีสติในการใช้งานเว็บเหล่านี้
- 3. นิยมแพร่กระจายผ่านทาง Instant Messaging เช่น MSN
โดยมัลแวร์จะถูกส่งมาในลักษณะของ”Hyperlink” เพื่อให้ดาวน์โหลดไฟล์ผ่านทาง MSN หรือ Windows Live Messenger เป็นต้น จึงต้องระวังเวลารับไฟล์ผ่านทาง Instant Messaging
- 4. นิยมแพร่กระจายผ่านทางการใช้งาน USB Drive, Flash Drive หรือ Thumb Drive
องค์กรที่มีนโยบายในการควบคุมการใช้งาน Removable Storage device ในองค์กร ได้แก่ เอกสาร Acceptable Use Policy (AUP) เพื่อให้ผู้ใช้คอมพิวเตอร์รับทราบถึงข้อควรปฏิบัติ และ องค์กรควรจัดการฝึกอบรม Information Security Awareness Training ให้ผู้ใช้คอมพิวเตอร์เกิดความเข้าใจและสามารถป้องกันตัวเองได้
- 5. นิยมใช้ช่องโหว่ใหม่ๆ (New Vulnerability) ของไมโครซอฟในการโจมตีและแพร่กระจาย
องค์กรที่มีนโยบายในการ”Harden Operating System (OS)” หรือ ปิดพอร์ตสื่อสาร (Port) และ ปิดบริการ(Service) ที่ไม่ถูกใช้งานที่เครื่องลูกข่าย เช่น พอร์ต TCP 135 (Microsoft RPC), TCP 445(SMB Direct) หรือ TCP 139 (NETBIOS Session)ในกรณีที่ไม่ได้ใช้งานพอร์ตดังกล่าว จะสามารถลดปัญหาในการโจมตีเครื่องที่ไม่ได้รับการติดตั้ง Patch แต่สำหรับพอร์ตที่จำเป็นต้องเปิดใช้ ก็ควรติดตั้งโปรแกรม ”Patch Management” จะช่วยให้การ Patch เป็นระบบมากขึ้น
7. ภัยจากช่องโหว่ในโปรแกรมประยุกต์ที่ถูกพัฒนาขึ้นอย่างไม่ปลอดภัย (Application Security Threat)
ข้อมูลจาก Gartner Research ระบุว่า การโจมตีของแฮกเกอร์ในปัจจุบันและอนาคตกว่า 70% มุ่งไปที่การโจมตีช่องโหว่ด้านความปลอดภัยข้อมูลในระดับโปรแกรมประยุกต์ (Application Level Attack) ซึ่งในปัจจุบันโปรแกรมเมอร์ หรือ Software Developer ไม่ค่อยได้ให้ความสำคัญกับเรื่องความปลอดภัยข้อมูลมากนัก หรือ อาจจะยังขาดความรู้ด้าน ”Application Security” ทำให้เกิดเป็นช่องโหว่ที่สำคัญยิ่งกว่าช่องโหว่ของโปรแกรมประยุกต์เองเสียอีก โปรแกรมประยุกต์ หรือ Application ส่วนใหญ่ในปัจจุบันล้วนพัฒนาเป็น ”Web Application” ซึ่งปกติจะทำงานผ่านทาง Internet Browser เช่น Internet Explorer, Firefox, Safari โดย Web Server นิยมใช้ Microsoft IIS หรือ Apache และ ภาษาที่นิยมใช้ได้แก่ ASP.NET, JSP และ PHP การเข้าถึง Web Application ผ่านทางพอร์ต TCP 80 (http) และ พอร์ตTCP 443 (https) โดยไฟล์วอลส์ไม่สามารถป้องกันการโจมตี Web Application ผ่านทางพอร์ตทั้งสองได้เลย เพราะไฟล์วอลส์ส่วนใหญ่ไม่เข้าใจ Attack Pattern ในระดับ Application Layer และ พอร์ตทั้งสองเป็นพอร์ตที่จำเป็นต้องเปิดใช้งานอยู่แล้ว (ดูรูปที่ 2) โดยการโจมตีของแฮกเกอร์นิยมใช้ช่องโหว่ทั้ง 10 ประเภทของ Web Application จาก Open Web Application Security Project (www.owasp.org) หรือ อาจหาข้อมูลจาก Web Hacking Incident Database ของ Web Application Security Consortium (www.webappsec.org) มาใช้ในการโจมตี Web Application
http://www.acisonline.net/images_article/web_application_hacking(1).jpg
รูปที่ 2
สำหรับช่องโหว่ที่แฮกเกอร์นิยมใช้ในการเจาะระบบมากที่สุดตามรายงานจาก OWASP คือ Cross Site Scripting หรือ XSS Attack และ Injection Flaw หรือ SQL Injection ที่เรารู้จักกันดี (ดูรูปที่ 3)
http://www.acisonline.net/images_article/owasp.JPG
รูปที่ 3
นอกจากนี้แฮกเกอร์ยังนิยมใช้เทคนิค ”Google Hacking” ในการโจมตีเป้าหมายอีกด้วย ดูข้อมูลเพิ่มเติมได้ที่ Google Hacking Database (http://johnny.ihackstuff.com/ghdb.php)
วิธีการป้องกันภัยจาก Application Security Threat มีรายละเอียดดังนี้
- 7.1 ติดตั้ง Web Application Firewall (WAF)
เพื่อป้องกันการโจมตีของแฮกเกอร์ในกรณีที่เราไม่สามารถแก้ไขช่องโหว่ของ Web Application ได้อย่างทันท่วงที และเรายังไม่มีการฝึกอบรมให้โปรแกรมเมอร์เข้าใจในเรื่องการเขียนโปรแกรมให้ปลอดภัย (How to write a secured code) ข้อเสียคือเราต้องลงทุนเพิ่มสำหรับการจัดซื้อ WAF
- 7.2 ตรวจสอบช่องโหว่ของ Web Application ด้วย Web Application Scanner หรือตรวจสอบ Source Code ด้วย Source Code Analysis Tool
การตรวจสอบทั้ง 2 แบบเป็นวิธีการที่ผู้ตรวจสอบระบบสารสนเทศ (IT Auditor) นิยมใช้ในการตรวจหาช่องโหว่ของ Web Application เพื่อเตือนให้ทราบแต่ไม่สามารถแก้ไขหรือป้องกันปัญหาได้เมื่อเปรียบเทียบกับการใช้ Web Application Firewall (WAF) ข้อเสียคือ ได้แค่เพียงข้อมูล Vulnerability แต่ไม่ลึกระดับ Penetration Testing และยังไม่สามารถป้องกันการโจมตีได้
- 7.3 ตรวจสอบเชิงลึกด้านวิธีการ Black-box Penetration Testing
เป็นการจ้างผู้เชี่ยวชาญจากภายนอกทำการเจาะระบบ Web Application ขององค์กรดูว่ามีช่องโหว่ที่แฮกเกอร์สามารถใช้ในการเจาะระบบเพื่อเข้าถึงข้อมูลสำคัญได้หรือไม่ ผู้เชี่ยวชาญจำเป็นต้องเป็นผู้เชี่ยวชาญพิเศษที่มีความรู้ด้านการทำ Penetration Testing ในระดับสูง มี Certification ที่เกี่ยวข้องกับการทำ Penetration Testing มี Hacking Skill และ มีประสบการณ์ในการทำ Penetration Testing มาแล้วจะทำให้มีมุมมองกว้างขึ้น
การตรวจสอบเชิงลึกด้วยวิธีการ Black-box Penetration Testing ไม่สามารถใช้เพียงแค่ Web Application Scanner มาเจาะระบบได้ ต้องใช้จินตนาการของ Pen-Tester ในการเจาะระบบ หรือจะเรียกว่าต้องคิดแบบเดียวกับแฮกเกอร์ก็ไม่ผิดนัก
- 7.4 การฝึกอบรม Software Developer ให้เกิดความเข้าใจในการเขียนโปรแกรมให้มีความปลอดภัย
วิธีการนี้เป็นวิธีการแก้ปัญหาที่ยั่งยืนคือเป็นการแก้ปัญหาที่ต้นเหตุของปัญหา (Root Causes of Application Insecurity) คือ การแก้ปัญหาที่ ”คน” (people) และ “กระบวนการ” (process) เสริมไปกับการแก้ปัญหาที่ ”เทคโนโลยี” (technology) ดังที่กล่าวมาแล้ว “คน” จำเป็นต้องเข้ารับการอบรมวิธีการเขียนโปรแกรมให้ปลอดภัย (How to Write a Secured Code) เพราะผู้บริหารควรศึกษากระบวนการในการบริหารความเสี่ยงที่อาจเกิดขึ้นกับการพัฒนาโปรแกรมประยุกต์ที่ไม่ปลอดภัย
ในปัจจุบัน (ISC)2 เป็นสถาบันที่จัดสอบและออกใบรับรองผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลคอมพิวเตอร์ที่เรารู้จักกันดี ได้แก่ CISSP และ SSCP ได้ออกมาตรฐาน CSSLP CBK (Certified Secure Software Lifecycle Professional Common Body of Knowledge) (ดูรูปที่ 4 และ รูปที่ 5) ตลอดจนทำการจัดสอบ ฝึกอบรมมาตรฐานในผู้เชี่ยวชาญด้านการพัฒนาโปรแกรมประยุกต์ให้ปลอดภัย ได้แก่ ใบรับรอง Certified Secure Software Lifecycle Professional (CSSLP) โดยเน้นไปที่การแก้ปัญหาด้านความปลอดภัยของโปรแกรมประยุกต์ในทุกขั้นตอนของการพัฒนาโปรแกรมประยุกต์ไม่ว่าจะเป็น SDLC Software Development Model หรือ Non-SDLC Software Development Model เช่น Waterfall Model Spiral Model หรือ Agile Development
ด้วยวิธีการตามแนวคิดนี้จะลดความเสี่ยงในการพัฒนาโปรแกรมประยุกต์ที่ไม่ปลอดภัยด้วยการลดความเสี่ยงในทุกขั้นตอนของการพัฒนาโปรแกรม ไม่ใช่การแก้ปัญหาหลังจากที่โปรแกรมถูกพัฒนาเสร็จแล้ว ทำให้สายเกินไปที่จะแก้ปัญหาได้ทันท่วงที ยังเป็นบ่อเกิดของปัญหา Web Application Hacking ตามมาในที่สุด ดังนั้นกระบวนการในการพัฒนาโปรแกรมให้ปลอดภัย “Secured Software Development Process” จึงจำเป็นต้องศึกษาและถูกนำมาใช้ในองค์กรเพื่อแก้ปัญหาจากสาเหตุที่แท้จริง จะส่งผลให้เกิดความมั่นคงปลอดภัยแก่ Web Application ขององค์กรได้ในระยะยาวเชิงบูรณาการ
http://www.acisonline.net/images_article/csslp.JPG
รูปที่ 4
http://www.acisonline.net/images_article/csslp2.JPG
รูปที่ 5
8. ภัยจากการใช้งานระบบไร้สาย (Threat from using Mobile and Wireless Systems)
ชีวิตประจำวันของเราในวันนี้จะปฏิเสธไม่ได้เลยว่าเราไม่ได้ใช้งานระบบไร้สาย เช่น การใช้งานโทรศัพท์มือถือ การใช้งาน Wireless LAN ที่บ้านและที่ทำงาน ตลอดจนการใช้งาน Wireless ตามศูนย์การค้าและสนามบิน เป็นต้น จากความนิยมของการใช้งานเครือข่ายไร้สายด้วย 1.Notebook 2.PDA 3.Smart Phone และ 4.iPhone ทำให้เรื่องความปลอดภัยของเครือข่ายไร้สายกลายเป็นประเด็นสำคัญขึ้นมา เพราะข้อมูลที่ถูกส่งผ่าน ”อากาศ” อาจถูกแอบดักข้อมูลได้โดยเจ้าของข้อมูลไม่รู้ตัวเลย อีกทั้งอาจถูกโจมตีโครงสร้างพื้นฐานของระบบ เช่น โจมตี Access Point ด้วยวิธี Denial of Service ทำให้ Access Point ล่ม เป็นต้น
การแก้ปัญหาด้านความปลอดภัยในการใช้งานระบบไร้สาย สามารถสรุปได้ดังนี้
- 8.1 ควรมีการเข้ารหัสเวลารับส่งข้อมูลระหว่าง Mobile Device และ Base Station หรือ ระหว่างเครื่องลูกข่าย Wireless LAN กับ Access Point เพื่อป้องกันการถูกแอบดักข้อมูลโดยไม่ได้รับอนุญาต เช่น การใช้ Packet Sniffer แอบดักข้อมูล เป็นต้น Algorithm ที่ควรนำมาใช้ในการเข้ารหัสที่ แนะนำในปัจจุบันคือ WPA Version 2 ขึ้นไป โดยเข้ารหัสแบบ AES Encryption
8.2 ควรมีการตรวจสอบชื่อผู้ใช้ (Authentication) ก่อนการใช้งานระบบไร้สาย ร่วมกับการเข้ารหัสข้อมูลในข้อ 8.1 และ ควรใช้โปรโตคอลที่มีการเข้ารหัสเวลาทำการตรวจสอบชื่อผู้ใช้ เช่น โปรโตคอล https หรือ ใช้ Token Device ร่วมกับการใช้รหัสผ่านในรูปแบบของ ”Two Factor Authentication”
- 8.3 ควรทำการปิดช่องโหว่ด้วยการปิดช่องโหว่ (Hardening) ระบบให้เรียบร้อยก่อนใช้งาน เพราะ ระบบไร้สายอาจมีช่องโหว่ที่สามารถถูกโจมตีแบบ Denial of Service (DoS) Attack ทำให้ระบบไม่สามารถใช้งานได้ตามปกติ จึงควรปิดช่องโหว่ก่อนนำมาใช้งานจริง
- 8.4 ติดตั้ง Wireless IPS เพื่อป้องกันผู้บุกรุกแบบไร้สาย โดยอุปกรณ์ Wireless IPS จะถูกออกแบบมาพิเศษในการป้องกันการโจมตีอุปกรณ์ไร้สายได้ในหลากหลายรูปแบบและเหมาะสำหรับใช้ในองค์กรมากกว่าที่จะถูกนำมาใช้งานตามบ้าน เนื่องจากมีราคาค่อนข้างสูง
- 8.5 มีการกำหนดนโยบายและมาตรฐาน (Security Policy and Standard) และ สร้างความตระหนักในการใช้งาน Wirelessอย่างปลอดภัย (Security Awareness Training Program) ในการใช้งานระดับองค์กร และ มีการประชาสัมพันธ์ให้ผู้ใช้ในองค์กรเกิดความเข้าใจและรับทราบวิธีการใช้งานเครือข่ายไร้สายอย่างปลอดภัยโดยผ่านการฝึกอบรม Security Awareness Training และ เซ็นรับทราบเอกสารยินยอมรับเงื่อนไขนโยบายเกี่ยวกับความปลอดภัยระบบสารสนเทศ Acceptable Use Policy (AUP) จะเป็นการแก้ปัญหาแบบบูรณาการและเหมาะกับองค์กรที่มีการใช้งานเครือข่ายไร้สายอย่างจริงจัง
[b]9. ภัยจากปัจจัยภายนอก ได้แก่ การโจมตีจากแฮกเกอร์ระดับมืออาชีพ (Th