ACIS Article

"BOTNET" มหันตภัยคุกคามอินเทอร์เน็ตวันนี้ (Botnet Threat in Thailand)
by A.Pinya Hom-anek,
GCFW, CISSP, SSCP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:

จากการบังคับใช้ พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 เมื่อวันที่ 19 กรกฏาคม 2550 ที่ผ่านมา ทำให้หลายคนต้องระมัดระวังในการใช้งานอินเทอร์เน็ตมากขึ้น เนื่องจาก พรบ. ได้กำหนดบทลงโทษผู้ที่ใช้งานคอมพิวเตอร์ในทางมิชอบ ไม่ว่าจะเป็นการเจาะระบบ, การส่งสแปมเมล์ หรือการส่งต่อข้อมูลที่ไม่เหมาะสม และทำให้ผู้อื่นเสียหาย เป็นต้น ปัญหาที่อาจจะเกิดขึ้นตามมาอย่างหลีกเลียงไม่ได้ก็คือ ถ้าหากมีผู้ใช้งานคอมพิวเตอร์ที่รู้เท่าไม่ถึงการณ์ หรือ เครื่องคอมพิวเตอร์ไม่มีระบบความปลอดภัยที่เพียงพอ อาจตกเป็นเหยื่อของแฮกเกอร์เข้ามายึดเครื่องคอมพิวเตอร์นั้น และเข้ามาทำการควบคุมสั่งการให้คอมพิวเตอร์ของเราทำในสิ่งผิดกฎหมายตามที่แฮกเกอร์ต้องการ เช่น การส่งสแปมเมล์ เป็นต้น ทำให้ผู้ใช้คอมพิวเตอร์ ดังกล่าวซึ่งส่วนใหญ่เป็นผู้ใช้งานตามบ้านที่เชื่อมต่อกับระบบอินเทอร์เน็ตความเร็วสูง หรือ ADSL Broadband Internet อาจตกเป็นผู้ต้องหา หรือ "แพะรับบาป" โดยไม่รู้ตัวว่าเครื่องของตนเองได้กลายสภาพเป็นเครื่องของแฮกเกอร์ไปเรียบร้อยแล้ว

ดังนั้น พนักงานเจ้าหน้าที่ หรือ "Forensic Examiner" จึงมีความจำเป็นที่จะต้องมีความรู้ความเข้าใจปัญหาดังกล่าว และ สามารถแยกแยะได้ว่าผู้ใช้งานคอมพิวเตอร์ตามบ้านนั้น เป็นเพียงแค่ "เหยื่อ" ของแฮกเกอร์ และไม่ได้มีเจตนาในการกระทำผิด แต่อย่างใด พนักงานเจ้าหน้าที่ตาม พรบ. การกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ต้องผ่านการฝึกอบรมความรู้ด้านการพิสูจน์หลักฐานทางคอมพิวเตอร์ หรือ "Computer Forensic" ในระดับสูงเพื่อที่จะเพิ่มทักษะในการพิสูจน์หลักฐาน และสามารถปฏิบัติภาระกิจโดยไม่เกิดปัญหาดังที่กล่าวมาแล้วในตอนต้น

เครื่องคอมพิวเตอร์ของผู้ใช้ตามบ้าน หรือ ในบางองค์กรในประเทศไทย ขณะนี้มากกว่า 50,000 เครื่อง กำลังถูกแฮกเกอร์ครอบครองและแปรสภาพเครื่องดังกล่าวเป็น "bots", "zombies" หรือ "drones" กล่าวคือ กลายเป็นเครื่องที่แฮกเกอร์สามารถควบคุมได้จากระยะไกล เราเรียกเครื่องคอมพิวเตอร์หลาย ๆ เครื่องที่ถูกแฮกเกอร์ควบคุม ว่า "BOTNET" หรือ "roBOT NETwork" กลายเป็นเครือข่ายของแฮกเกอร์เพื่อใช้ในการประกอบกิจกรรมที่ขัดต่อกฎหมาย เช่น ส่งสแปมเมล์ หรือ เป็นฐานในการโจมตีเป้าหมายโดยวิธี Denial of Service (Dos Attack) เป็นต้น ในประเทศสหรัฐอเมริกาทาง FBI ได้รายงานว่ามี bots ถึงหนึ่งล้านเครื่อง และ มีรายงานจาก บริษัทความปลอดภัยชื่อดังฉจ้งว่า ใน 6 เดือน ที่ผ่านมาตั้งแต่ต้นปี 2549 มีเครื่องที่กลายเป็น "bots" แล้วทั่วโลกมากกว่าสี่ล้านเครื่องเลยทีเดียว และมีแนวโน้มที่จะเพิ่มขึ้นอีกในปี 2551

รูปที่ 1 แสดงการทำงานของ BOTNET จาก WIKIPEPIA.ORG

รูปที่ 2 แสดงตำแหน่งของ bots หรือ drones (สังเกตที่ปักกิ่ง ประเทศจีน เป็นแหล่งใหญ่ของ bots และที่กรุงเทพ ประเทศไทยก็เป็นแหล่งของ bots เช่นกัน) จาก SHADOWSERVER.ORG

สาเหตุที่ผู้ใช้คอมพิวเตอร์ทั่วไป ตกเป็นเหยื่อของ BOTNET attack ก็คือ การที่ผู้ใช้คอมพิวเตอร์ไม่ได้ติดตั้ง Personal Firewall ซึ่งโดยปกติใน Windows XP service Pack 2 ก็จะมีโปรแกรม Windows Firewall มาให้อยู่แล้ว เพียงแค่เปิดใช้งาน (Enable) ก็จะสามารถป้องกันภัย BOTNET ได้ดีในระดับหนึ่ง ปัญหาอีกเรื่องก็คือ ผู้ใช้คอมพิวเตอร์มักจะไม่ค่อย "Patch" ระบบปฏิบัติการที่ใช้อยู่ ทำให้เกิดช่องโหว่ (Vulnerability) ที่แฮกเกอร์สามารถใช้เป็นช่องทางในการเข้ายึดเครื่องของเราได้ ดังนั้น การ "Patch" ระบบโดยโปรแกรม "Window Update" ก็เป็นสิ่งที่ควรทำเป็นประจำทุกวัน โดยเราสามารถตั้งให้เครื่องดาวน์โหลด "Patch" โดยอัตโนมัติ เวลาที่เรากำลังเปิดเครื่อง เป็นต้น

ปัญหา BOTNET กำลังกลายเป็นปัญหาระดับโลก โดยเฉพาะ ISP ได้รับผลกระทบเต็ม ๆ กับเรื่องนี้ เนื่องจากไม่สามารถให้บริการลูกค้าที่กลายเป็น "bots" ได้ทำให้เกิดปัญหาความไม่เข้าใจกันระหว่างลูกค้า และ ISP เอง ดังนั้น การให้ความรู้ความเข้าใจ เรื่อง "Security Awareness Training จึงเป็นเรื่องสำคัญอย่างยิ่งยวด เพื่อที่จะบรรเทาปัญหาดังกล่าวและ ทำให้เกิดความเข้าใจตระหนักถึงภัย BOTNET ที่กำลังเพิ่มขึ้นอย่างรวดเร็ว ในขณะนี้ สำหรับองค์กรทั้งภาครัฐและเอกชน ก็เกิดปัญหา BOTNET เช่นกัน เนื่องจาก เครื่องคอมพิวเตอร์ในระบบเครือข่าย LAN ขององค์กรกลายเป็น "Zombies" หรือ ""bots" ซึ่งเครื่องดังกล่าวจะส่งข้อมูลแปลก ๆ ออกไปยังระบบอินเทอร็เน็ต องค์กรควรมีระบบ Content Filtering หรือ URL Filtering เพื่อคอยดับจับการทำงานของ bots ตลอดจน ควรมีการเฝ้าระวังโดยใช้ CONCEPT ใหม่ที่เรียกว่า "Extrusion Detection" กล่าวคือ การวิเคราะห์ Traffic ที่ออกมาจากองค์กรไปยังระบบอินเทอร์เน็ตว่ามี Trafficแปลกปลอม หรือไม่ โดยปกติแล้ว ผู้ควบคุม bots หรือแฮกเกอร์ จะใช้โปรโตคอล IRC (Internet Relay Chat) ในการสั่งการ bots ผ่านทาง พอร์ท TCP 6665-6669 ซึ่งถ้าองค์กรมีระบบตรวจจับผู้บุกรุกที่คอยสังเกตพอร์ทดังกล่าว ก็สามารถที่จะรู้ได้ว่ากำลังถูกโจมตีจากภัย BOTNET ดังที่กล่าวมาแล้วในตอนต้น

การป้องกัน BOTNET ที่ดีที่สุดคือ การให้ความรู้ความเข้าใจแก่ผู้ใช้คอมพิวเตอร์ถึงภัยจาก BOTNET และ การสอนวิธีการป้องกันที่ถูกต้องให้กับผู้ใช้คอมพิวเตอร์ เช่น การเปิดใช้งาน Personal Firewall และการหมั่น Update Patch ด้วย Window Update ก็สามารถที่จะป้องกันตนเองและองค์กรให้รอดพ้นจากภัย BOTNET ได้โดยง่าย อีกทั้งยังไม่ต้องเสียเวลาในการอธิบายกับพนักงานเจ้าหน้าที่ ในกรณีที่เครื่องคอมพิวเตอร์ของเรากลายเป็นผู้ต้องสงสัยในการโจมตีเครื่องของผู้อื่น เพราะกฎหมายได้มีบทลงโทษชัดเจนสำหรับแฮกเกอร์ โดยคำนึงถึงเจตนาในการกระทำเป็นหลัก

ดังนั้น การสืบสวนสอบสวนพิสูจน์หลักฐานทางคอมพิวเตอร์จึงจำเป็นต้องมีความละเอียดรอบคอบในการะบุถึงผู้ต้องหาให้ถูกต้องว่าเป็นแฮกเกอร์ที่แท้จริง หรือเป็นแค่เพียง "เหยื่อ" ของ ภัยBOTNET เท่านั้น

จาก : หนังสือ eWeek Thailand
ปักษ์แรก ประจำ เดือนสิงหาคม2550
Update Information : 1 สิงหาคม 2550