IT Digest เคยนำเสนอเรื่องเกี่ยวกับ พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ไปอยู่หลายครั้งแล้ว เชื่อว่าผู้ใช้งานคอมพิวเตอร์และอินเทอร์เน็ต คงเริ่มตระหนักและสนใจกับกฎหมายฉบับนี้กันพอสมควร ทั้งนี้ตามกฎหมายผู้ใช้งานยังคงมีเวลาที่จะปรับตัว และเตรียมการเพื่อปฏิบัติตามระเบียบกฎหมาย และกฎกระทรวงไอซีที ไปจนถึงประมาณกลางปี 2551 แต่อย่างไรก็ตามดูเหมือนว่า จากสถานการณ์โดยรวม ก็ยังไม่มีวี่แววว่าผู้ใช้งานคอมพิวงเตอร์ตามบ้าน จะต้องเดือดเนื้อร้อนใจ หรือมานั่งวิตกว่าใครจะมาแฮกคอมพิวเตอร์ที่บ้าน หรือเข้ามาโจมตีการทำงานของพีซีเครื่องเดียวแน่นอน
มาถึงตรงนี้ หากใครยังคงเป็นยูสเซอร์แบบหวานเย็น อาจจะต้องมาคิดหนักกันสักหน่อย เพราะรู้หรือไม่ว่า เวลานี้ กองทัพซอมบี้เริ่มก่อตัวขึ้นอย่างช้าๆ ในประเทศไทย ซอมบี้เหล่านี้ไม่ใช่คนติดเชื้อทีไวรัส แล้วไปไล่กัดกินคนธรรมดาแบบในภาพยนตร์ฮอลลีวูด แต่กำลังหมายถึงคอมพิวเตอร์ซอมบี้ที่ถูกแฮกเกอร์เข้าสิงผ่านโปรแกรมสุดแสบขนาดเล็กที่ฝังตัวอยู่ในฮาร์ดดิสก์นั่น คือ “บ็อตเน็ต” (Bot Net) ที่แอบทำงานเงียบๆ เปลี่ยนเครื่องพีซีที่ติดบ็อต กลายเป็นเครื่องมือให้แฮกเกอร์ยิงถล่มเซิร์ฟเวอร์ชาวบ้าน และตาม พรบ.ใหม่ที่เพิ่งใช้นี้ เจ้าของคอมพิวเตอร์ที่ติดบ็อต ถือว่ามีส่วนรู้เห็นกับการเจาะระบบมีโทษถึงขั้นจำคุกด้วย กลายเป็นแพะรับบาปไปโดยปริยาย
ใครจะคิดว่าพีซีสุดรักของท่านทั้งหลาย ที่ไปซื้อมาใช้ไม่ว่าจะเป็นแบรนด์ไฮโซระดับโลก หรือจะโลโซติดดินแต่แรงเป็นม้าพยศแบบพันธุ์ทิพย์ โดยเมื่อช่วงเช้าเราก็ใช้งานอยู่ดีๆ แต่พอตี 3 ตี4 ใครก็ไม่รู้แอบมาเอาเครื่องเราไปแฮกเซิร์ฟเวอร์ธนาคาร หรือ บริษัทชื่อดังระดับประเทศ กว่าจะมารู้อีกที่ก็มีตำรวจ และเจ้าพนักงานของกระทรวงไอซีทีถือหมายศาล มายกเครื่องพีซีสุดรักของเราไปที่โรงพักแล้ว พร้อมกับการที่ท่านทั้งหลายต้องเสียเวลาทำมาหากิน ไปให้รายละเอียดแก่เจ้าหน้าที่ เพราะถูกสงสัยว่าสมรู้ร่วมคิดกับแฮกเกอร์ เจาะระบบคอมพิวเตอร์ชาวบ้าน...ทั้งที่ชีวิตจริงใช้แต่พิมพ์งานแบบนี้จะเป็นอย่างไร
อาจารย์ปริญญา หอมอเนก ผู้เชี่ยวชาญด้านความปลอดภัยทางคอมพิวเตอร์ อธิบายถึงภัยจากบ็อตเน็ตว่า จากข้อมูลที่ได้มาจากผู้ให้บริการอินเทอร์เน็ต (ไอเอสพี) ชื่อดังพบว่า เครื่องคอมพิวเตอร์ของผู้ใช้ตามบ้าน หรือ ในบางองค์กรในประเทศไทย ขณะนี้มากกว่า 50,000 เครื่อง กำลังถูกแฮกเกอร์ครอบครองและแปรสภาพเครื่องดังกล่าวเป็น “bots”, “zombies” หรือ “drones” หรือพูดได้ว่า กลายเป็นเครื่องที่แฮกเกอร์สามารถควบคุมได้จากระยะไกล เราเรียกเครื่องคอมพิวเตอร์หลาย ๆ เครื่องที่ถูกแฮกเกอร์ควบคุม ว่า “BOTNET” หรือ “roBOT NETwork”
ผู้เชี่ยวชาญด้านความปลอดภัยทางคอมพิวเตอร์ อธิบายต่อว่า ตัวบ็อตเน็ตกลายเป็นเครือข่ายของแฮกเกอร์ เพื่อใช้ในการประกอบกิจกรรมที่ขัดต่อกฎหมาย เช่น ส่งสแปมเมล์ หรือ เป็นฐานในการโจมตีเป้าหมายโดยวิธี Denial of Service (Dos Attack) เป็นต้น ในประเทศสหรัฐอเมริกาทางตำรวจสอบสวนกลางของสหรัฐ หรือ FBI ได้รายงานว่ามี bots ถึง 1 ล้านเครื่อง และ มีรายงานจาก บริษัทความปลอดภัยชื่อดังแจ้งว่า ใน 6 เดือน ที่ผ่านมาตั้งแต่ต้นปี 2549 มีเครื่องที่กลายเป็น “bots” แล้วทั่วโลกมากกว่า 4 ล้านเครื่องเลยทีเดียว และมีแนวโน้มที่จะเพิ่มขึ้นอีกในปี 2551
อ.ปริญญา อธิบายถึงสาเหตุที่ผู้ใช้คอมพิวเตอร์ทั่วไป ตกเป็นเหยื่อของ BOTNET attack ว่า สาเหตุหลักๆ คือ การที่ผู้ใช้คอมพิวเตอร์ไม่ได้ติดตั้ง Personal Firewall ที่โดยปกติในระบบปฏิบัติการ Windows XP service Pack 2 ก็จะมีโปรแกรม Windows Firewall มาให้อยู่แล้ว เพียงแค่เปิดใช้งาน (Enable) ก็จะสามารถป้องกันภัย BOTNET ได้ดีในระดับหนึ่ง เพราะบ็อดเน็ตมาได้จากโทรจันที่แอบเข้ามาเวลาที่เปิดเว็บไซต์บางแห่ง หรือดาวน์โหลดไฟล์จากอีเมล์ โทรจันพวกนี้จะฝังตัวอยู่ในเครื่องรอเวลา จากนั้นจะไปดาวนโหลดบ็อตเข้ามาอีกที่ เพื่อให้แฮกเกอร์สามารถเข้าควบคุมได้
ปัญหาอีกเรื่อง คือ ผู้ใช้คอมพิวเตอร์มักจะไม่ค่อยอัพเดทแพทช์ “Patch” ระบบปฏิบัติการที่ใช้อยู่ ทำให้เกิดช่องโหว่ (Vulnerability) ที่แฮกเกอร์สามารถใช้เป็นช่องทาง ในการเข้ายึดเครื่องของผู้ใช้ได้จากระยะไกล หรือ Remote Access Control โดยการอาศัยช่องโหว่ในระบบ หรือโปรแกรมต่างๆ ผ่านทางโทรจันที่กล่าวข้างต้น ดังนั้น การ “Patch” ระบบโดยโปรแกรม “Window Update” ก็เป็นสิ่งที่ควรทำเป็นประจำทุกวัน โดยท่านผู้ใช้งานสามารถตั้งให้เครื่องดาวน์โหลด “Patch” โดยอัตโนมัติ เวลาที่เรากำลังเปิดเครื่อง เป็นต้น
“ปัญหาบ๊อตเน็ตกำลังกลายเป็นปัญหาระดับโลก โดยเฉพาะไอเอสพีได้รับผลกระทบเต็ม ๆ กับเรื่องนี้ เนื่องจากไม่สามารถให้บริการลูกค้าที่กลายเป็น “bots” ได้ ทำให้เกิดปัญหาความไม่เข้าใจกันระหว่างลูกค้า และ ไอเอสพีเอง ดังนั้น การให้ความรู้ความเข้าใจ เรื่อง Security Awareness Training จึงเป็นเรื่องสำคัญอย่างยิ่งยวด เพื่อที่จะบรรเทาปัญหาดังกล่าวและ ทำให้เกิดความเข้าใจตระหนักถึงภัยบ๊อตเน็ต ที่กำลังเพิ่มขึ้นอย่างรวดเร็ว ในขณะนี้” ผู้เชี่ยวชาญด้านความปลอดภัยทางคอมพิวเตอร์ กล่าว
อ.ปริญญา อธิบายเพิ่มเติมว่า สำหรับองค์กรทั้งภาครัฐและเอกชน ก็เกิดปัญหาบ๊อตเน็ตเช่นกัน เนื่องจาก เครื่องคอมพิวเตอร์ในระบบเครือข่าย LAN ขององค์กรกลายเป็น “Zombies” หรือ “”bots” โดยเครื่องดังกล่าวจะส่งข้อมูลแปลก ๆ ออกไปยังระบบอินเทอร็เน็ต องค์กรควรมีระบบ Content Filtering หรือ URL Filtering เพื่อคอยดับจับการทำงานของ bots ตลอดจน ควรมีการเฝ้าระวังโดยใช้แนวคิดใหม่ที่เรียกว่า “Extrusion Detection” คือ การวิเคราะห์ข้อมูลการจราจรบนเครือข่าย (Traffic) ที่ออกมาจากองค์กร ไปยังระบบอินเทอร์เน็ตว่ามี Trafficแปลกปลอม หรือไม่
ผู้เชี่ยวชาญด้านความปลอดภัยทางคอมพิวเตอร์ อธิบายเสริมว่า เนื่องจากปกติแล้วผู้ควบคุม bots หรือแฮกเกอร์ จะใช้โปรโตคอล IRC (Internet Relay Chat) ในการสั่งการ bots ผ่านทาง พอร์ท TCP 6665-6669 ถ้าองค์กรมีระบบตรวจจับผู้บุกรุกที่คอยสังเกตพอร์ทดังกล่าว ก็จะรู้ได้ว่ากำลังถูกโจมตีจากบ๊อตเน็ต ส่วนการป้องกันที่ดีที่สุด คือ การให้ความรู้ความเข้าใจแก่ผู้ใช้คอมพิวเตอร์ และ การสอนวิธีการป้องกันที่ถูกต้อง เช่น การเปิดใช้งาน Personal Firewall และการหมั่น Update Patch ด้วย Window Update ก็เพียงพอที่จะป้องกันตัวเอง และองค์กรให้รอดพ้นจากภัยบ๊อตเน็ตได้ง่ายๆ
“ไม่ต้องเสียเวลาในการอธิบายกับพนักงานเจ้าหน้าที่ ในกรณีที่เครื่องคอมพิวเตอร์ของเรากลายเป็นผู้ต้องสงสัยในการโจมตีเครื่องของผู้อื่น เพราะกฎหมายได้มีบทลงโทษชัดเจนสำหรับแฮกเกอร์ โดยคำนึงถึงเจตนาในการกระทำเป็นหลัก ดังนั้น การสืบสวนสอบสวนพิสูจน์หลักฐานทางคอมพิวเตอร์จึงจำเป็นต้องมีความละเอียดรอบคอบ ในการะบุถึงผู้ต้องหาให้ถูกต้องว่าเป็นแฮกเกอร์ที่แท้จริง หรือเป็นแค่เพียง “เหยื่อ” ของ ภัยBOTNET เท่านั้น” อ.ปริญญา กล่าวทิ้งท้าย
ด้านข้อมูลจาก รายงานภัยคุกคามด้านความปลอดภัยบนอินเทอร์เน็ตโดยไซแมนเทค ในช่วงหกเดือนแรกของปี 2550 พบว่า การโจมตีระบบแบบหลายขั้นตอน (multi-staged attacks) มีจำนวนเพิ่มขึ้นมาก โดยการโจมตีครั้งแรกนั้น ไม่ได้มุ่งหวังเพื่อการสร้างความเสียหายในทันที แต่ใช้เพื่อเป็นทางผ่านไปสู่การโจมตีครั้งต่อๆ ไป ตัวอย่างของการโจมตีประเภทนี้ คือ การใช้วิธีการดาวน์โหลดแบบหลายขั้นตอน (staged downloader) ที่ทำให้ผู้โจมตีระบบสามารถเลือกดาวน์โหลดองค์ประกอบต่างๆ ที่ใช้ทำการคุกคามได้ตามวัตถุประสงค์ที่ต้องการ
ตามรายงานเกี่ยวกับภัยคุกคามต่อความปลอดภัยบนอินเทอร์เน็ต ไซแมนเทคสังเกตเห็นว่า จากตัวอย่างโค้ดอันตรายที่แพร่ระบาดมากที่สุด 50 ตัว มีโค้ดอันตรายในรูปแบบดังกล่าวมากถึง 28 ตัว เช่น โทรจัน Peacomm หรือที่รู้จักกันทั่วไปในชื่อ เวิร์ม Storm เป็นโค้ดอันตรายแบบใหม่ที่ใช้วิธีการโจมตีดังกล่าวที่แพร่ระบาดมากที่สุดในช่วงที่ผ่านมา นอกจากนี้ตัว MPack เองก็เป็นชุดเครื่องมือที่ใช้ในการโจมตี และเป็นตัวอย่างของวิธีการโจมตีแบบหลายขั้นตอน ที่มีส่วนประกอบของการดาวน์โหลดแบบหลายขั้นตอนรวมอยู่ด้วย
ทั้งหมดนี้เป็นสัญญาณที่เตือนให้ผู้ใช้คอมพิวเตอร์ได้รู้ และตระหนักที่จะตื่นตัวป้องกันตัวเอง จากบ็อตเน็ต สปายแวร์ โทรจัน หรือไวรัสคอมพิวเตอร์ได้แล้ว ไม่ใช่โดน หรือติดแล้วก็แล้วไป ยกไปให้ช่างที่ร้านเขาฟอร์แมตเครื่องให้ใหม่ หรือ เอาตัวเองไปเสี่ยงคุกตารางจากโปรแกรมฟรีแวร์ที่ดาวน์โหลดฟรี เพราะอาจมีโทรจันแอบมากับไฟล์เหล่านั้นด้วย ดังนั้นเรียนรู้ และป้องกันตัวเองก่อน เพราะเมื่อตำรวจมาหน้าบ้านแล้วคงไม่มีใครช่วยท่านได้นอก
http://thairath.co.th/news.php?section=technology03a&content=64081
อื่นๆ
