SRAN Technology

ในทุกๆปี ช่วงปลายปี ทีมงาน SRAN จะจัดทำบทความสรุปภัยคุกคามด้านไอทีที่เกิดขึ้นในรอบปี ( http://sran.org/fq ) และได้จัดทำการทำนายภัยคุกคามด้านไอทีในปีถัดไปเช่นเป็นเวลา 4 ปีติดต่อกันแล้ว ตอนนี้มาถึงปีนี้ก็ได้มีการจัดทำขึ้นชื่อบทความว่าทำนายภัยคุกคามด้านไอทีปี 2010

บทความนี้จัดทำขึ้นโดยทีมงาน SRAN Dev จากการรวบรวมข้อมูลและผลที่น่าจะเป็นไปได้ว่าจะเกิดภัยคุกคามด้านความมั่นคงปลอดภัยทางคอมพิวเตอร์ ปี 2010  ซึ่งจะเป็นเอกสารที่แตกต่างจากที่ส่งให้กับสื่อสารมวลชนจากที่อื่นๆ เนื่องจากจะลงรายละเอียดทางเทคนิคเข้าไปด้วยการทำนายภัยคุกคามด้านไอทีในครั้งนี้ประกอบไปด้วย 10 หัวข้อหลัก โดยมีรายละเอียดดังนี้

1. แอนตี้ไวรัสไม่เพียงพอสำหรับการป้องกัน

การกำเนิดขึ้นของภัยคุกคามแบบโพลีมอร์ฟิค (polymorphic code – เป็นโค้ดที่ใช้กลไกโพลีมอร์ฟิค เพื่อเปลี่ยนรูปแบบ ในเวลาเดียวกันก็ยังคงรักษาอัลกอรึทึมเดิมไว้โดยไม่เปลี่ยนแปลง โค้ดดังกล่าวจะเปลี่ยนแปลงทุกครั้งที่มันทำงาน แต่การทำงานของโค้ดทั้งหมดจะไม่เปลี่ยนแปลง ในบางครั้งไวรัสคอมพิวเตอร์ เชลล์โค้ดและหนอนคอมพิวเตอร์ใช้เทคนิคนี้เพื่อซ่อนการมีอยู่ของตัวมัน) และการแพร่กระจายของมัลแวร์ที่มีลักษณะเฉพาะในปีค.ศ. 2009 ทำให้ธุรกิจนี้ตระหนักได้อย่างรวดเร็วว่าวิธีการดั้งเดิมสำหรับแอนตี้ไวรัส (ทั้งแบบอาศัย signatures และ heuristic/behavioral) ไม่เพียงพอสำหรับการป้องกันภัยคุกคามในทุกวันนี้ โปรแกรมมัลแวร์มีอัตราในการสร้างที่สูงกว่าโปรแกรมทั่วไปที่ไม่มีประสงค์ร้าย ดังนั้นจึงอาศัยเพียงการวิเคราะห์มัลแวร์เพียงอย่างเดียวไม่ได้อีกต่อไป การใช้ข้อมูลจากไฟล์ซอฟท์แวร์ทั้งหมด อย่างเช่นการใช้ “ชื่อเสียง” ของซอฟท์แวร์ (reputation-based security) เพื่อมาประกอบการตัดสินใจ จะเป็นวิธีการหลักในปีค.ศ. 2010

2. โซเชียล เอนจิเนียริ่งเป็นวิธีหลักในการโจมตี (Social Engineering Attack)

ผู้โจมตีมุ่งเป้าไปที่ผู้ใช้ปลายทางและพยายามหลอกล่อให้ผู้ใช้ดาวน์โหลดมัลแวร์หรือขโมยข้อมูลความลับ ความนิยมของการโจมตีแบบนี้มาจากเหตุผลที่ว่าชนิดของระบบปฏิบัติการและเว็บบราวเซอร์ของในคอมพิวเตอร์ของผู้ใช้ไม่มีความเกี่ยวข้องกับการโจมตี เนื่องจากผู้ใช้เป็นเป้าหมายโดยตรง โดยไม่จำเป็นต้องอาศัยช่องโหว่ในเครื่องคอมพิวเตอร์ โซเชียล เอนจิเนียริ่งเป็นหนึ่งในวิธีการเบื้องต้นอยู่แล้วในปัจจุบัน และคาดว่าความพยายามในการโจมตีโดยใช้เทคนิคจะเพิ่มขึ้นมาอีกในปีค.ศ. 2010

3. ผู้ขายซอฟท์แวร์ประเภท “rogue security software” จะเพิ่มความพยายามมากขึ้น

ในปีค.ศ 2010 คาดว่าจะมีความพยายามของผู้แพร่กระจาย rogue security software (มัลแวร์ที่พยายามลวงให้ผู้ใช้จ่ายเงินสำหรับผลิตภัณฑ์ปลอม) เพิ่มไปอีกระดับ แม้แต่กระทั่งการโจมตีคอมพิวเตอร์ของผู้ใช้ เพื่อทำให้ใช้การไม่ได้และเรียกค่าไถ่ จากนั้นผู้ขายซอฟท์แวร์เปลี่ยนชื่อซอฟท์แวร์แอนตี้ไวรัสแจกฟรีที่สามารถดาวน์โหลดได้ทั่วไป ที่ผู้ใช้เข้าใจว่าจำเป็นต้องจ่ายเงินซื้อ เพื่อมาเสนอขายให้กับผู้ใช้ที่ไม่รู้ข้อเท็จจริง

4. การโจมตีผลการค้นหาเสิร์ชเอนจิ้น (SEO Poisoning attack)

SEO ถือว่าเป็นเทวะ และ ซาตาน ในตัวเอง หากใช้ถูกทางก็สามารถสร้างรายได้จาก SEO ได้แต่บางครั้งเราจะพบว่า SEO เป็นช่องทางในการหลอกหลวงโดยการเกาะกะแสสังคมที่เกิดขึ้นได้เช่นกัน การโจมตีที่เรียกว่า SEO poisoning attack หรือ Blackhat SEO attack เกิดขึ้นเมื่อแฮกเกอร์โจมตีผลการค้นหาจากเสิร์ชเอนจิ้นเพื่อทำให้ลิงค์ของพวกเขาอยู่สูงกว่าผลการค้นหาทั่วไป เมื่อผู้ใช้ค้นหาคำค้นที่เกี่ยวข้อง ลิงค์ที่มีมัลแวร์จะปรากฏใกล้กับตำแหน่งสูงสุดของผลการค้นหา ทำให้เกิดจำนวนคลิกไปยังเว็บมุ่งร้ายที่มากขึ้นกว่าเดิมมาก ในปีค.ศ. 2008 ผู้โจมตีใช้เทคนิคนี้เพื่อเพิ่มผลการค้นหาที่มุ่งร้ายจากการค้นหาทุกอย่างที่เกี่ยวกับ “MTV VMA awards” และ “Google Wave invites” ไปจนถึง “iPhone SMS features” และ “US Labour Day sales” การโจมตีนี้ประสบความสำเร็จ เพราะทันทีที่การรณรงค์ที่มุ่งร้ายนี้ถูกจับได้และลบออกจากผลการค้นหา ผู้โจมตีก็จะเปลี่ยนเส้นทางของบอทเน็ตไปยังคำค้นใหม่ที่เหมาะสมกับเวลา การรณรงค์ที่ไม่หยุดยั้งนี้ดูเหมือนจะเพิ่มขึ้นในปีค.ศ. 2010 และอาจทำให้เกิดปัญหาด้านความเชื่อถือในผลการค้นหาของผู้ใช้บริการ ถ้าผู้ให้บริการยังไม่เปลี่ยนวิธีการบันทึกและแสดงลิงค์

(more…)

เมื่อปีเก่ากำลังจะผ่านไป ปีใหม่เข้ามา หลายคนอาจกำลังทบทวนสิ่งที่เกิดขึ้นเพื่อนำมาเป็นบทเรียนแก้ไขข้อผิดพลาดต่าง ๆ ทั้งในการดำเนินชีวิตและการทำงาน

เช่นเดียวกับบทความนี้ เราลองมาย้อนเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นในรอบปีค.ศ. 2009 ดูว่าเกิดอะไรขึ้น จากนั้นเราลองมาดูแนวโน้มความปลอดภัยที่จะเกิดขึ้นในปีหน้า ค.ศ. 2010 ที่ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยได้ทำนายไว้ เพื่อจะได้เตรียมพร้อมรับมือภัยคุกคามเหล่านี้อย่างรู้เท่าทัน ดังพุทธภาษิตที่กล่าวไว้ว่า “คนมีปัญญาดีไม่ประมาทในเมื่อผู้อื่นประมาท มักตื่นในเมื่อผู้อื่นหลับ ย่อมละทิ้งผู้ประมาท (คนโง่) เหมือนม้าฝีเท้าเร็ว ทิ้งม้าไม่มีกำลังไปฉะนั้น”

สรุปเหตุการณ์ด้านความปลอดภัยปี ค.ศ. 2009

หนอนอินเทอร์เน็ตคอนฟิกเกอร์ (The Conficker Worm)

คอนฟิกเกอร์ (Conficker) โจมตีช่องโหว่ในส่วนของวินโดวส์เซิร์ฟเวอร์เซอร์วิส (Windows Server service) ซึ่งไมโครซอทฟ์ได้ออกซอฟท์แวร์แก้ไข (MS08-067) ในเดือนตุลาคม ค.ศ. 2008 มันอาศัยเทคนิคออโต้รันเพื่อการแพร่กระจายผ่านทางทัมบ์ไดรฟ์ (thumb drive) แบบยูเอสบี หลังจากที่มันเข้าไปอยู่ในคอมพิวเตอร์เครื่องหนึ่งแล้ว มันจะพยายามเข้าถึงเน็ตเวิร์คแชร์ (Network Shares) และพยายามแคร็กรหัสผ่านของแอคเคาท์ในเครื่อง ถ้าคอนฟิกเกอร์สามารถแคร็กรหัสผ่านของผู้ดูแลระบบได้ มันจะใช้เซอร์วิสที่ชื่อว่า วินโดวส์ ทาสค์ เชดดูเลอร์ (Windows Task Scheduler service) เพื่อแพร่กระจายตัวมันเองไปยังคอมพิวเตอร์เครื่องอื่น ๆ ต่อไป

เนื่องจากคอนฟิกเกอร์จำเป็นต้องใช้ช่องโหว่เฉพาะ (MS08-067) เพื่อการแพร่กระจาย มันจำเป็นต้องรู้ว่าคอมพิวเตอร์ที่มันโจมตีใช้ภาษาอะไร คอนฟิกเกอร์เวอร์ชั่นก่อน ๆ จะมีความสามารถจำกัด เนื่องจากมันจะทำการแปลงข้อมูลที่อยู่ไอพี (IP address) ให้เป็นที่อยู่ทางภูมิศาสตร์โดยการสอบถามข้อมูลผ่านทางอินเทอร์เน็ต เมื่อได้รับข้อมูลมาจึงสามารถเปลี่ยนที่อยู่ไอพีให้เป็นที่อยู่ทางภูมิศาสตร์ได้ เมื่อโจมตีคอมพิวเตอร์ที่อยู่ในอเมริกา หนอนอินเทอร์เน็ตตัวนี้จึงพยายามโจมตีวินโดวส์เวอร์ชั่นภาษาอังกฤษ แต่ถ้าที่อยู่ไอพีที่ถูกโจมตีอยู่ในจีน มันจะพยายามโจมตีวินโดวส์เวอร์ชั่นภาษาจีนแทน ลักษณะเช่นเดียวกับวินโดวส์เวอร์ชั่นภาษาอื่น ๆ

จากการที่คอนฟิกเกอร์เวอร์ชั่นเอ (Conficker.A) ใช้ฐานข้อมูลในการเปลี่ยนที่อยู่ไอพีเป็นที่อยู่ทางภูมิศาสตร์ ทำให้ผู้บริการฐานข้อมูลดังกล่าวต้องเปลี่ยนชื่อและที่อยู่เพื่อไม่ให้หนอนดังกล่าวสามารถใช้ความสามารถดังกล่าวอีกต่อไป ทำให้คอนฟิกเกอร์เวอร์ชั่นบี (Conficker.B) ใช้วิธีการรวมฐานข้อมูลนั้นมาไว้กับตัวมันเอง นอกจากนี้การปรับปรุงการทำงานของตัวหนอนอินเทอร์เน็ตเองยังทำให้มันสามารถแพร่กระจายได้ดีขึ้นกว่าเดิมมาก

คอนฟิกเกอร์เวอร์ชั่นบีแพร่กระจายอย่างรวดเร็ว มีคอมพิวเตอร์หลายล้านเครื่องที่ถูกหนอนอินเทอร์เน็ตนี้ยึดครอง จำนวนการแพร่กระจายที่จุดสูงสุดมีมากกว่า 12 ล้านเครื่องทั่วโลก ประเทศจีน บราซิล รัสเซีย และอินเดีย ติดอยู่อันดับประเทศที่มีจำนวนคอมพิวเตอร์ที่ติดหนอนอินเทอร์เน็ตตัวนี้มากที่สุด ทำให้เกิดปัญหาใหญ่กับบริษัท
โรงพยาบาล สนามบินและสถาบันต่าง ๆ ทั่วโลก

จำนวนที่เพิ่มขึ้นอย่างรวดเร็วของคอมพิวเตอร์ที่ติดหนอนอินเทอร์เน็ตชนิดนี้ และภัยคุกคามที่เกิดจากความสามารถในการติดต่อและรับคำสั่งจากผู้สร้างหนอนอินเทอร์เน็ต ทำให้บริษัทต่าง ๆ ในธุรกิจแอนตี้ไวรัสได้สร้าง “คณะทำงานคอนฟิกเกอร์” (Conficker Working Group) ขึ้น กลุ่มนี้ประสบความสำเร็จในการทำงานร่วมกับผู้ให้บริการจดทะเบียนโดเมนเนมจากหลายประเทศ เพื่อปิดโดเมนที่คอนฟิกเกอร์พยายามสื่อสารด้วย ทำให้ผู้สร้างหนอนอินเทอร์เน็ตดังกล่าวไม่สามารถใช้คอมพิวเตอร์ที่ติดหนอนอินเทอร์เน็ตนี้เพื่อจุดประสงค์ทางด้านอาชญากรรมได้ การเฝ้าดูที่ประสบความสำเร็จนี้ยังคงดำเนินการต่อไปเพื่อไม่ให้คอนฟิกเกอร์เวอร์ชั่นซี (Conficker.C) สามารถติดต่อกับโดเมนต่าง ๆ ที่มีจำนวนเพิ่มขึ้นอย่างมากมาย)

อย่างไรก็ตามยังมีคอมพิวเตอร์นับล้านเครื่องที่ยังติดคอนฟิกเกอร์อยู่ในช่วงสิ้นปีค.ศ. 2009 และยังคงเป็นปริศนาอยู่ว่าใครเป็นคนสร้างมันขึ้นมา

เครือข่ายสังคม (Social Networking)

บริการเครือข่ายสังคม เป็นรูปแบบของเว็บไซต์ ในการสร้างเครือข่ายสังคม สำหรับผู้ใช้งานในอินเทอร์เน็ต เขียนและอธิบายความสนใจ และกิจการที่ได้ทำ และเชื่อมโยงกับความสนใจและกิจกรรมของผู้อื่น ในบริการเครือข่ายสังคมมักจะประกอบไปด้วย การแช็ต ส่งข้อความ ส่งอีเมล วิดีโอ เพลง อัปโหลดรูป บล็อก

เฟซบุ๊ก (Facebook)

เฟซบุ๊ค (www.facebook.com) ได้กลายเป็นผู้นำเว็บไซต์เครือข่ายสังคม มีสมาชิกถึง 175 ล้านแอคเคาท์ในระหว่างไตรมาสที่หนึ่งของปีค.ศ. 2009 มีการคาดหมายว่าจะมีผู้ใช้ถึง 300 ล้านแอคเคาท์ก่อนสิ้นปีค.ศ. 2009 ทำให้เฟซบุ๊คกลายเป็นเป้าหมายที่น่าดึงดูดใจของผู้ก่ออาชญากรรมออนไลน์ ซึ่งนำไปสู่ภัยคุกคามต่าง ๆ ของเฟซบุ๊ค อาทิเช่น

(more…)