ACIS Article

การกลับมาของการโจมตีด้วยกลศึกม้าโทรจัน : ภัยเงียบทางอินเทอร์เน็ตยุคปัจจุบันและอนาคตที่โปรแกรมกำจัดไวรัสไม่เพียงพออีกต่อไป
by A.Pinya Hom-anek,
GCFW, CISSP, SSCP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:

         หลายคนคงรู้จักความหมายของคำว่า "ม้าโทรจัน" (Trojan Horse) เป็นอย่างดีว่า เป็นกลยุทธในการโจมตีกรุงทรอยของชาวกรีกโบราณ หลังจากการพยายามยึดกรุงทรอยอยู่ยาวนานหลายปี ทำอย่างไรกองทัพกรีกก็ไม่สามารถโจมตีกรุงทรอยได้สำเร็จเพราะกรุงทรอยมีการป้องกันที่แน่นหนามาก เปรียบเสมือนองค์กรมีไฟล์วอลล์ป้องกันภัยจากอินเทอร์เน็ต กุนซือของกองทัพกรีกจึงได้คิดอุบายอันแยบยลในการลอบโจมตีกรุงทรอยโดยการสร้างม้าไม้ขนาดใหญ่ที่มีความสวยงามตั้งทิ้งไว้ที่หน้ากรุงทรอย ซึ่งภายในม้าไม้มีทหารกรีกแอบซ่อนอยู่ในท้องม้า เมื่อชาวทรอยหลงกลนำม้าไม้เข้าไปในเมือง ทหารกรีกจึงออกมาเข่นฆ่าชาวกรุงทรอยและยึดเมืองได้สำเร็จในที่สุด

         กลศึกนี้จึงกลายเป็นตัวอย่างแนวคิดของแฮกเกอร์จากอดีตจนถึงปัจจุบันและอนาคต ในการเขียนโปรแกรมโจมตีเป้าหมายในลักษณะเดียวกันกับการโจมตีกรุงทรอยของทหารกรีกดังที่กล่าวมา โดยในปัจจุบันทุกองค์กรล้วนมีไฟล์วอลล์ ในการป้องกันภัยจากอินเทอร์เน็ต ทำให้แฮกเกอร์โจมตีเครือข่ายขององค์กรได้ยากยิ่งขึ้น ดังนั้นแฮกเกอร์จึงต้องใช้กลยุทธม้าโทรจันดังกล่าวในการส่งโปรแกรมม้าโทรจันที่ออกแบบมาโดยเฉพาะเข้ามาในเครือข่ายขององค์กรโดยอาจส่งผ่านทางอีเมล์ โดยแฮกเกอร์สามารถค้นหาอีเมล์ขององค์กรได้จาก google โดยพิมพ์ *@ ตามด้วยโดเมนเนมขององค์กร เช่น *@abc.com จากนั้นก็จะพบอีเมล์หลุดอยู่มากมายใน google แฮกเกอร์อาจส่งโปรแกรมม้าโทรจันในรูปแบบของไฟล์แนบ (Attached File) หรือในรูปแบบของไฮเปอร์ลิงค์ (Hyper Link) หลอกให้เหยื่อคลิ๊กลิงค์ดังกล่าว โดยสร้างข้อความหลอกในลักษณะ "Social Engineering" ให้เหยื่อตายใจเข้าใจว่าเป็นอีเมล์จากคนหรือหน่วยงานที่รู้จัก เมื่อเหยื่อคลิ๊กลิงค์ หรือ เปิดโปรแกรมที่มากับ Attached File โดยไม่รู้ตัว โปรแกรมม้าโทรจันก็จะเริ่มทำงานโดยอัตโนมัติในลักษณะของเทคนิคที่เรียกว่า "Inside-Out-Attack" คือการเจาะระบบจากด้านในเครือข่ายขององค์กร โดยโปรแกรมม้าโทรจันจะติดต่อออกมาข้างนอกเครือข่ายขององค์กร เข้าสู่ระบบอินเตอร์เน็ตโดยผ่านทางไฟล์วอลล์หรือProxy ขององค์กร ถ้าหากองค์กรไม่มีการตรวจสอบตัวตน(Authentication) แล้ว ก็จะทำให้โปรแกรมม้าโทรจันออกสู่ระบบอินเตอร์เน็ตอย่างง่ายดาย โดยใช้โปรโตคอลที่นิยมใช้กันโดยทั่วไปได้แก่ โปรโตคอล http หรือโปรโตคอล https (ซึ่งเข้ารหัสด้วยโปรโตคอล SSL) ทำให้ตรวจสอบได้ยาก

         ในหลายองค์กรที่มี IDS (Intrusion Detection System) หรือ IPS (Intrusion Prevention System) นั้นไม่สามารถตรวจสอบการเชื่อมต่อของโปรแกรมม้าโทรจันในลักษณะนี้ได้เลย จึงดูเหมือนไม่มีอะไรเกิดขึ้น แต่โดยที่จริงแล้วโปรแกรมม้าโทรจันกำลังทำงานอยู่ แต่เราคิดว่าเป็นการใช้งานอินเทอร์เน็ตทั่วไป โปรแกรมม้าโทรจันจะติดต่อกับแฮกเกอร์ผ่านทางอินเทอร์เน็ตโดยแฮกเกอร์จะเปิดโปรแกรมภาครับรอการติดต่อจากโปรแกรมม้าโทรจันซึ่งเป็นภาคส่ง เมื่อโปรแกรมภาครับได้รับการติดต่อจากโปรแกรมภาคส่งที่ Run อยู่ภายในเครือข่ายของเหยื่อแล้วแฮกเกอร์ก็จะอาศัยช่องทางการเชื่อมต่อดังกล่าวเข้าโจมตีเครือข่ายภายในองค์กรของเหยื่อต่อไป

         จากข่าวในหน้าหนังสือพิมพ์หลายฉบับพบว่า ในปัจจุบันรัฐบาลในหลายประเทศนั้นมีการใช้กลศึกม้าโทรจันในการโจมตีรัฐบาลของประเทศฝ่ายตรงข้าม ซึ่งอาจเกิดจากความร่วมมือของแฮกเกอร์และคนในหน่วยข่าวกรองของรัฐบาลก็อาจเป็นไปได้แต่ยังไม่มีหลักฐานยืนยันชัดเจน ล่าสุดมีข่าวใหญ่กล่าวหารัฐบาลประเทศจีนว่ามีคนในรัฐบาลร่วมมือกับแฮกเกอร์ชาวจีนในการเจาะระบบของรัฐบาลประเทศสหรัฐอเมริกา ประเทศอังกฤษ และประเทศเยอรมันนี ซึ่งทางรัฐบาลประเทศจีนได้ออกมาปฏิเสธทุกข้อกล่าวหาว่าเป็นเรื่องที่กุขึ้นมาทั้งหมดโดยผู้ไม่หวังดี เหตุการณ์ที่เกิดขึ้นนี้ไม่ได้เกิดขึ้นเฉพาะภาครัฐเท่านั้นแต่ยังเกิดขึ้นกับภาคเอกชนโดยเฉพาะสถาบันการเงิน หรือองค์กรที่มีความลับจากงานวิจัย เช่นบริษัทยาหรือบริษัทรถยนต์ ก็ล้วนแต่ตกเป็นเป้าของการโจมตีในลักษณะนี้ด้วยกันทั้งสิ้น

         หลายคนอาจมีคำถามว่า ทำไมโปรแกรมกำจัดไวรัสในเครือข่ายของเหยื่อที่เป็นเป้าหมายถึงตรวจสอบโปรแกรมม้าโทรจันดังกล่าวไม่พบ ตอบได้ว่า โปรแกรมม้าโทรจันดังกล่าวเป็นโปรแกรมที่ออกแบบมาเพื่อหลบการตรวจจับจากโปรแกรมกำจัดไวรัสหรือมัลแวร์โดยเฉพาะ เรียกว่า Customized Trojan หรือ Undetected Trojan ดังนั้นจะหวังพึ่งโปรแกรมกำจัดไวรัสหรือมัลแวร์อย่างเดียวก็คงจะไม่พออีกต่อไป

         การแก้ปัญหาที่ถูกต้องและได้ผลคือ การฝึกอบรม "Information Security Awareness Training" ให้กับผู้ใช้งานคอมพิวเตอร์ทุกระดับในองค์กร ตลอดจนการติดตั้งระบบการวิเคราะห์ภัยคุกคามในลักษณะการวิเคราะห์แบบ Extrusion Detection เพื่อทำการวิเคราะห์รูปแบบพิเศษของกระแสจราจรของข้อมูล IP ที่ไหลออกจากระบบเครือข่ายในองค์กรสู่อินเตอร์เน็ตว่ามีความผิดปกติหรือไม่ ซึ่งควรวิเคราะห์โดยผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลโดยตรงหรือจัดจ้าง Outsource ไปยังหน่วยงานที่รับเฝ้าระวังโดยเฉพาะเช่น MSSP (Managed Security Service Provider) เป็นต้น

         การฝึกอบรม "Information Security Awareness Training" ดังกล่าวจะช่วยให้ผู้ใช้คอมพิวเตอร์เกิดความเข้าใจและมีความระมัดระวังในการเปิดไฟล์แนบ หรือการคลิ๊กลิงค์ที่มากับอีเมล์ดังที่กล่าวมาแล้วในตอนต้นได้อย่างรอบคอบยิ่งขึ้น ไม่ตกเป็นเหยื่อของโปรแกรมม้าโทรจันโดยง่าย ทำให้โปรแกรมม้าโทรจันไม่สามารถทำงานได้ เมื่อผู้ใช้ไม่เปิดโปรแกรมให้ Run ในเครื่องคอมพิวเตอร์แล้วโปรแกรมม้าโทรจันก็จะแผลงฤทธิ์ไม่ได้ไปโดยปริยาย แต่ถ้าหากผู้ใช้คอมพิวเตอร์ไม่ได้รับการฝึกอบรมหรือเผลอไปเปิดโปรแกรมดังกล่าว ก็ยังมีอีกวิธีหนึ่งที่จะควบคุมไม่ให้โปรแกรมม้าโทรจันตื่นขึ้นมาทำงาน กล่าวคือ Dialog Box "Open File - Security Warning" (ดูรูป) ซึ่งมากับ Window XP Service Pack จะถามผู้ใช้คอมพิวเตอร์ทุกครั้งที่มีการ Run โปรแกรม เพื่อให้ผู้ใช้ได้ตัดสินใจว่าจะเปิด Run โปรแกรมหรือไม่ ซึ่งทางผู้ดูแลระบบสามารถตั้งนโยบายในระบบ Microsoft AD (Active Directory) ได้ว่าไม่ให้ Run โปรแกรมที่นอกเหนือไปจากที่องค์กรกำหนดไว้ก็ได้ ซึ่งถ้าผู้ใช้คอมพิวเตอร์เผลอ Run โปรแกรม ตัวโปรแกรมม้าโทรจันก็ยังไม่สามารถทำงานได้ถือว่าเป็นการควบคุมที่เข้มงวด แต่อาจทำให้ผู้ใช้คอมพิวเตอร์บางคนไม่พอใจ เพราะไม่สามารถติดตั้งโปรแกรมอื่นได้นอกเหนือไปจากโปรแกรมที่องค์กรได้กำหนดไว้ในนโยบาย (Security Policy) เท่านั้น ถือได้ว่าเป็นการควบคุมโปรแกรมละเมิดลิขสิทธิ์ไปในตัว

         ดังนั้นเพื่อป้องกันไม่ให้เกิดปํญหากับผู้ใช้คอมพิวเตอร์ องค์กรควรจัดการอบรม Information Security Awareness Training อย่างน้อยปีละ 2 ครั้ง เพื่อให้ผู้ใช้คอมพิวเตอร์เกิดความเข้าใจด้วยตัวเอง และให้รับรู้ว่าการห้าม Run โปรแกรมนอกเหนือไปจากโปรแกรมที่ได้กำหนดไว้เป็นนโยบายด้านความปลอดภัยขององค์กรที่ละเมิดไม่ได้ ซึ่งนโยบายดังกล่าวควรประกาศใช้โดยผู้บริหารระดับสูงสุดขององค์กร เช่น กรรมการผู้จัดการใหญ่ และควรให้ผู้ใช้คอมพิวเตอร์ได้ลงนามในหนังสือยินยอมรับการปฏิบัติตามนโยบายด้านความปลอดภัยคอมพิวเตอร์ขององค์กรหรือที่นิยมเรียกว่า AUP (Acceptable Use Policy) เมื่อผู้ใช้ได้ลงนามในเอกสาร AUP แล้ว ผู้ใช้คอมพิวเตอร์ต้องปฏิบัติตามนโยบายขององค์กรอย่างเคร่งครัด มิฉะนั้นอาจมีโทษทางวินัยได้

         กล่าวโดยสรุปจะเห็นว่าการป้องกันภัยมืดจากม้าโทรจันที่ได้ผลนั้นควรเป็นการป้องกันแบบProactive คือการป้องกันล่วงหน้าก่อนเกิดเหตุ จะสามารถช่วยให้องค์กรรอดพ้นภัยมืดดังกล่าวอย่างได้ผลในทางปฏิบัติ เพื่อเป็นการป้องกันข้อมูลรั่วไหลออกจากองค์กรซึ่งถือว่าเป็นปํญหาใหญ่ในปัจจุบันและในอนาคตอันใกล้นี้ ท่านผู้อ่านสามารถติดตามชมการสาธิตการทำงานของโปรแกรมม้าโทรจัน(Customized and Undetected Trojan) ดังกล่าวได้ที่งานสัมมนา CDIC 2007 (Cyber Defense Initiative Conference) ในวันที่ 22-23 พฤศจิกายน 2550 ที่ ห้องบางกอกคอนเวนชั่นเซ็นเตอร์ ณ เซ็นทรัลเวิลด์

จาก : หนังสือ eWeek Thailand
ปักษ์หลัง ประจำ เดือนกันยายน 2550
Update Information : 25 กันยายน 2550