ACIS Article

TOP 10 Information Security Threat Year 2006 (Part I)
ทิศทางภัยคุกคามด้านความปลอดภัยข้อมูลคอมพิวเตอร์ปี 2006 (ตอนที่1)
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:

ภัยคุกคามด้านความปลอดภัยข้อมูลคอมพิวเตอร์นั้น นับวันยิ่งทวีความซับซ้อน และ เพิ่มความรุนแรงขึ้น สังเกตุได้จากสถิติของสำนักวิจัยหลายสำนักได้ทำการวิเคราะห์ภัยคุกคามต่างๆ ที่กำลังเป็นปัญหาใหญ่ของผู้ดูแลระบบความปลอดภัยข้อมูลคอมพิวเตอร์ หรือ ผู้จัดการฝ่ายเทคโนโลยีสารสนเทศ ตลอดจนกระทบถึงการปฏิบัติงานขององค์กร เพราะทุกวันนี้ ระบบสารสนเทศ และ เครือข่ายอินเทอร์เน็ตนั้น มีความสำคัญเป็นแกนหลักในการทำธุรกิจและ ธุรกรรมของทุกองค์กรไม่ว่าจะเป็นภาครัฐและเอกชน ดังนั้นถ้าระบบสารสนเทศไม่มีความปลอดภัยที่ดีพอ และ เรายังจัดการกับปัญหาของระบบได้ไม่ถูกทางหรือไม่ถูกจุด ทำให้ปัญหาต่าง ๆ ยังคงอยู่ ถึงแม้ว่าเราจะลงทุนกับระบบรักษาความปลอดภัย ข้อมูลคอมพิวเตอร์ไปมากเท่าไหร่ก็ตาม ดังนั้นเราควรทำความเข้าใจศึกษาและวิเคราะห์ปัญหาภัยคุกคามทางคอมพิวเตอร์เหล่านั้นเพื่อที่จะได้วางแผนจัดการได้อย่างตรงประเด็น เพื่อ ความปลอดภัยและเสถียรภาพที่ดีขึ้นของระบบคอมพิวเตอร์ในองค์กร รวมถึงคอมพิวเตอร์ที่เราใช้อยู่เป็นส่วนตัวในลักษณะ Home User อีกด้วย

เราสามารถจัดอันดับทิศทางของภัยคุกคามความปลอดภัยข้อมูลคอมพิวเตอร์ในปี 2006 ได้ 10 อันดับดังนี้

1. ภัย SPAM Email และ Malicious Email content

เราคงปฏิเสธไม่ได้ว่า Email ได้กลายเป็นส่วนหนึ่งของชีวิตประจำวันในการทำงานไปแล้ว ปัญหาก็คือ พวกผู้ไม่หวังดีได้ใช้ Email เป็นเครื่องมือในการส่งข้อมูลที่มีอันตรายให้กับเราและองค์กร เช่น MalWare หรือ โปรแกรมมุ่งร้ายในรูปแบบต่าง ๆ ไม่ว่าจะมาทาง Attached File หรือมาในรูปแบบของ เนื้อหาล่อลวงใน Email Body จากปี 1997 ปริมาณ SPAM Email เพิ่มขึ้นถึง 10 เท่า และมีแนวโน้มที่จะเพิ่มขึ้นเป็นทวีคูณในปีต่อ ๆ ไป เนื่องจากทุกวันนี้ บรรดา SPAMMER สามารถทำเงินได้จากการส่ง SPAM Email กลายเป็นอาชีพด้านมืดที่ทำรายได้งามให้กับเหล่ามิจฉาชีพ ทางอินเทอร์เน็ต จนทางสหรัฐอเมริกาต้องออกกฎหมาย "CAN SPAM ACT" ขึ้นมาเพื่อต่อต้านเหล่า SPAMMER แต่ก็ยังไม่สามารถ กำจัด SPAM Email ให้หมดไปจากโลกอินเทอร์เน็ตได้

วิธีการแก้ปัญหาที่ถูกทางก็คือ การใช้ระบบ ANTI-SPAM/ANTI-Virus ที่บริเวณ Internet Gateway หรือ DMZ กรอง SPAM Email ในจุดที่ที่ระบบเรา รับ - ส่ง Email จากอินเทอร์เน็ต และ การใช้ ANTI-SPAM Software ช่วยที่ PC Client เพื่อเป็นการกรอง SPAM MAIL แบบละเอียดอีกชั้นหนึ่ง ตลอดจนพยายามไม่ประกาศ Email เราใน Web board หรือ ในเว็บไซด์ของเราเอง ถ้าต้องการประกาศ Email ให้ผู้อื่นรับทราบให้ใช้วิธีประกาศเป็น รูปภาพ หรือใช้ HTML Characterจะปลอดภัยกว่า การประกาศแสดงเป็น Plain Test ธรรมดา ซึ่งจะทำให้พวก SPAMMER สามารถเข้ามาเก็บ Email ของเรา ไปทำการส่ง SPAM Email ต่อไป โดยใช้โปรแกรม ประเภท BOTNET เช่น Email Harvester Program เป็นต้น

2. ภัย SPYWARE

มีงานวิจัย เรื่อง SPYWARE ได้สรุปว่า 80% ของ PC ทั่วโลกติด SPYWARE และ เครื่อง PC เหล่านั้น ล้วนมีโปรแกรม ANTI-VIRUS แล้วเป็นส่วนใหญ่ ปัญหาก็คือโปรแกรม SPYWARE ไม่ใช่โปรแกรม VIRUS ยกตัวอย่างเช่น โปรแกรมดักคีย์บอร์ด และเก็บหน้าจอการใช้งานคอมพิวเตอร์ ของเราที่ในวงการเรียกว่าโปรแกรม "KEY LOGGER" เป็นโปรแกรม SPYWARE ที่ระบบ ANTI-VIRUS ส่วนใหญ่ มองไม่เห็น และไม่สามารถกำจัด SPYWARE เหล่านี้ออกจากเครื่องคอมพิวเตอร์ของเราได้ เราติดโปรแกรม SPYWARE ก็เพราะ การใช้งานอินเทอร์เน็ตโดยการเข้า Web site ต่าง ๆ โดยไม่ระมัดระวังให้ดีพอ รวมทั้งการ Download ไฟล์ที่มี SPYWARE ติดมาด้วย ตลอดจนการเปิด Email attached file ที่มีโปรแกรม SPYWARE แนบมาด้วย ขณะนี้โปรแกรม SPYWARE สามารถ มาในรูปของ Cookies เวลาเราเข้าเว็บไซด์ที่ไม่เหมาะสม เช่น เว็บภาพลามก หรือ เว็บที่ใช้ในการหา Serial number ของ ซอฟท์แวร์ผิดกฎหมายเป็นต้น บางครั้ง SPYWARE ก็ติดมากับโปรแกรม ประเภท P2P ที่กำลังได้รับความนิยมอยู่ในขณะนี้ ทางแก้ปัญหาก็คือ เราต้องระมัดระวังในการใช้งานอินเทอร์เน็ตให้มากขึ้น ตลอดจน หมั่นใช้โปรแกรม ประเภท Freeware หรือ Shareware เช่น AD-AWARE หรือ SPYBOT Search & Destroy ในการช่วยตรวจสอบระบบ PC ของเราว่าตกเป็นเหยื่อ SPYWARE หรือไม่ ถ้าตรวจพบก็ควรกำจัดออกโดยเร็วจะทำให้เราไม่เสียความเป็นส่วนตัว และ ทำให้ PC ของเราเร็วขึ้น ตลอดจนประหยัด Bandwidth ในการใช้งานเครือข่ายให้แก่องค์กรโดยรวมอีกด้วย

3. ภัย Mal ware (Malicious Software)

Mal ware คือ Malicious Software หรือ โปรแกรมมุ่งร้ายที่มาในรูปแบบต่าง ๆ ไม่ว่าจะเป็น ActiveX หรือ Java Applet ที่มากับการใช้งาน Internet Browser โดยไม่ได้รับการติดตั้ง Patch หรืออาจมาในรูปของ Attached File ที่อยู่ใน Email ตลอดจนแฝงมากับโปรแกรม Shareware หรือ โปรแกรม Utility หรือ โปรแกรม P2P ที่เรานิยมใช้ในการ Download เพลง หรือ ภาพยนตร์ ผ่านทางอินเทอร์เน็ต โปรแกรม Mal ware อาจจะเป็น SPYWARE, Trojan Horse, Key logger หรือ Viruses และ Worm ที่เรารู้จักกันดี ในช่วงหลัง ๆ ไวรัสคอมพิวเตอร์มักจะมากับ Email โดยมักจะมาในรูป Zip File และ มีการปลอมแปลง ชื่อผู้ส่ง ปลอมแปลง Email Subject เป็นส่วนใหญ่ เทคนิคการหลอกผู้ใช้ Email ให้หลงเชื่อที่เราเรียกว่า "Social Engineering" เป็นวิธีการเก่าแก่ที่ผู้ไม่หวังดีนิยมใช้เป็นประจำ ทางแก้ปัญหานอกจากจะใช้โปรแกรม ANTI-VIRUS และ ANTI-MalWare แล้วยังควรจะต้องฝึกอบรม "Information Security Awareness Training" ให้กับผู้ใช้งานคอมพิวเตอร์อีกด้วยโดยเฉพาะกลุ่มผู้ใช้คอมพิวเตอร์ที่ไม่ใช่คนไอที (Non-IT people) เพื่อให้ ผู้บริหาร หรือ ผู้ใช้งานคอมพิวเตอร์ทั่วไปมีความเข้าใจถึงวิธีการหลอกลวงของผู้ไม่หวังดี และ เพื่อให้รู้เท่าทันไม่ตกเป็นเหยื่อของผู้ไม่หวังดี เพราะ การหวังพึ่งโปรแกรม ANTI-VIRUS โดยการหมั่น Update Virus Signature หรือ VIRUS Pattern ดังนั้นไม่เพียงพอเสียแล้ว เพราะไ วรัสตัวใหม่ ๆ สามารถสั่งปิดการทำงานของโปรแกรม ANTI-VIRUS ได้แ ละ ยังมีไวรัสใหม่ ๆ ที่ออกมาโดยที่โปรแกรม ANTI-VIRUS ยังไม่มี Signature หรือ Pattern ที่เราเรียกว่า ZERO-DAY ATTACK หรือ VIRUS Outbreak ดังนั้น การฝึกอบรมให้ผู้ใช้คอมพิวเตอร์มีความตระหนัก และ ความเข้าใจ จึงเป็นหนทางที่ไม่อาจถูกมองข้ามได้ในสถานการณ์การแพร่ระบาดไวรัสในขณะนี้และในอนาคต

4. ภัยจากการล่อลวงโดยวิธี Phishing และ Pharming

"Phishing" นั้นอ่านออกเสียงว่า "Fishing" หมายถึง การตกปลา เราอาจตกเป็นเหยื่อ ของการตกปลา ถ้าเราเผลอ ไปกับเหยื่อที่เหล่า "Phisher" หรือผู้ไม่หวังดีล่อไว้ วิธีการของผู้ไม่หวังดีก็คือการส่ง Email ปลอมแปลง ชื่อคนส่ง และ ชื่อเรื่อง (Email address & Email subject) ตลอดจนปลอมแปลงเนื้อหาใน Email ให้ดูเหมือนจริงเช่น ส่ง Email มาบอกเราว่า มาจากธนาคารที่เราติดต่ออยู่เป็นประจำแล้วบอกให้เรา Login เข้าใช้งาน Internet Banking โดยจะทำ Link มาล่อให้เรา Click ถ้าเราเผลอ Click โดยไม่ระมัดระวัง เราก็จะเข้าไปติดกับดักที่ Phisher วางไว้ โดยทำการจำลองเว็บไซด์ของธนาคารให้ดูเหมือนจริง แต่จริง ๆ เป็นเว็บของผู้ไม่หวังดีเอาไว้ดักจับ User Name และ Password ของเราจ ากนั้น Phisher จะเอา จับ User Name และ Password ของเราเข้าไป Login ใช้งานในเว็บไซด์จริงของธนาคาร และ ทำการโอนเงิน หรือ ชำระเงินค่าสาธารณูปโภค เช่น ค่าน้ำ, ค่าไฟ, ค่าโทรศัพท์, ค่า UBC หรือ ค่าเล่าเรียน โดยที่เราต้องเป็นผู้รับผิดชอบค่าใช้จ่ายทั้งหมด ธนาคารคงไม่สามารถรับใช้แทนเราได้เพราะเราเป็นคนบอก User Name และ Password ให้กับผู้ไม่หวังดีเสียเอง เป็นต้น

ทางแก้ปัญหาคือเราต้องมีสติและคอยระมัดระวัง Email ประเภทนี้ บางครั้ง Email เหล่านั้น อาจมาในรูปของ Trojan Program ที่เข้ามาแก้ไขไฟล์ HOSTS ในเครื่องเราให้ Redirect ไปยังเว็บของผู้ไม่หวังดีโดยตรงเลยก็มี วิธีการแบบนี้ รวมทั้งการ Hijack DNS Server เราเรียกว่าวิธีการ "Pharming" ซึ่งกำลังได้รับความนิยมเพิ่มขึ้น รายละเอียด เพิ่มเติม เข้าไปดูได้ที่ Website www.antiphishing.org.

ในฉบับหน้าเราจะมากล่าวถึง ภัยด้านความปลอดภัยข้อมูลคอมพิวเตอร์ที่เหลืออีก 6 รูปแบบ รวมทั้งการป้องกันอย่างได้ผลต่อไป อย่าลืมติดตามนะครับ

จาก : หนังสือ eWeek Thailand
ปักษ์แรก ประจำ เดือนพฤศจิกายน 2548
Update Information : 14 พฤศจิกายน 2548