ACIS Article

มุมมองใหม่ของแฮกเกอร์ในการโจมตีระบบความปลอดภัยข้อมูลคอมพิวเตอร์ บทวิเคราะห์ SANS TOP 20 Version 6.01 จากสถาบัน SANS USA
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:

สถาบัน SANS USA ได้ประกาศสรุปช่องโหว่ของระบบอินเทอร์เน็ตใหม่ล่าสุดเพิ่มเติมจาก SANS Top 20 2005 (http://www.sans.org/top20) ซึ่งพัฒนามาจากประกาศ SANS/FBI Top 20 ครั้งแรก เมื่อ 4 ปีที่แล้ว ในปัจจุบัน SANS Top 20 กลายเป็นมาตรฐานในการตรวจสอบเชิงลึกทางด้านเทคนิค (IT Technical Audit) สำหรับตรวจสอบระบบความปลอดภัยข้อมูลคอมพิวเตอร์ ที่ถูกนำมาใช้ในองค์กรต่าง ๆ ทั่วโลก ในอดีต ประกาศ SANS Top 20 จะกล่าวถึง เฉพาะ ช่องโหว่ของระบบ Microsoft Windows ที่พบกันเป็นประจำรวม 10 ช่องโหว่ และช่องโหว่ของระบบ UNIX / LINUX ที่พบเป็นประจำรวม 10 ช่องโหว่ จึงเป็นที่มาของคำว่า SANS Top 20 นั่นเอง

แต่ในปัจจุบันมุมมองใหม่ของแฮกเกอร์ตลอดจนไวรัส เวอร์ม และ สปายแวร์ ต่าง ๆ ล้วนมีการพัฒนาขึ้นมาก และ ได้เปลี่ยนเป้าหมายจากการโจมตี เฉพาะระบบปฏิบัติการ Microsoft Windows หรือ ระบบปฏิบัติการ UNIX/LINUX มาเป็นการโจมตีอุปกรณ์ระบบเครือข่าย เช่น Router หรือ Switching ตลอดจน โจมตีโปรแกรมระบบฐานข้อมูล และ โจมตีโปรแกรมต่าง ๆ เช่น โปรแกรม Backup Software เช่น Symantec/Veritas, EMC Legato และ CA, โปรแกรม Anti-Virus เช่น Symantec, TrendMicro, CA และ McAfee, โปรแกรมที่เขียนโดยภาษา PHP, โปรแกรมระบบฐานข้อมูล เช่น Oracle, Microsoft SQL Server, IBM DB2 และ MySQL, โปรแกรม Browser เช่น IE, Firefox และ Mozilla, โปรแกรม Instant Messaging เช่น MSN, AOL Messenger และ Yahoo Messenger ตลอดจน โปรแกรม Media Player ต่าง ๆ เช่น Windows Media Player, RealPlayer, QuickTime และ iTune เป็นต้น

จะเห็นได้ว่าในปัจจุบัน ระบบปฎิบัติการ เช่น Microsoft Windows มีระบบการ Update Patch เป็นแบบอัตโนมัติ เช่น Windows Update แต่โปรแกรมต่าง ๆ ดังที่กล่าวมาในตอนต้น เช่น โปรแกรม Backup ไม่ได้มีระบบการ Update Patch เป็นแบบอัตโนมัติ ดังนั้น โปรแกรมเหล่านี้ จึงกลายเป็นเป้าโจมตีให้กับแฮกเกอร์ได้โดยง่าย และ Backup Software Vendor ต้องใช้เวลาในการออก Update Patch ในขณะที่บางองค์กรไม่เคย Update Patch ให้กับโปรแกรม Backup เลยด้วยซ้ำไป การโจมตีโปรแกรม Backup ทำให้ข้อมูลที่ถูกเก็บไว้ใน TAPE Backup หรือ อุปกรณ์ Backup Storage ขององค์กรรั่วไหลไปยังผู้ไม่หวังดีได้อย่างง่ายดาย ดังนั้น เราไม่ควรมองข้ามช่องโหว่ของโปรแกรม Backup ต่าง ๆ ที่เราใช้งานอยู่ เราควรรีบทำการ Update Patch ให้กับโปรแกรม Backup ทันทีที่มีโอกาส

โปรแกรมรักษาความปลอดภัยเองก็มีปัญหาเรื่องช่องโหว่เช่นกัน ไม่ว่าจะเป็นโปรแกรม Anti-Virusแทบทุกค่าย (Symantec, McAfee, TrendMicro, Kaspersky, ClamAV, F-secure, CA, Sophos) ตลอดจนโปรแกรม Firewall และ Personal Firewall ต่างๆ โปรแกรมรักษาความปลอดภัยเหล่านี้ควรจะป้องกันระบบให้กับเรา แต่ โปรแกรมรักษาความปลอดภัยก็มีช่องโหว่เกิดขึ้นเหมือนกับช่องโหว่ของระบบปฎิบัติการทั่วไปเช่นกัน ดังนั้น เราต้องคอยติดตามข่าว และ Update Patch อย่างสม่ำเสมอ เหมือนกับการ Update Patch ของระบบปฎิบัติการ

โปรแกรม Media Player ต่าง ๆ ก็มีช่องโหว่ออกมาเป็นระยะโดยช่องโหว่เหล่านี้สามารถทำให้แฮกเกอร์สามารถเข้ามาขโมยข้อมูลในเครื่องของเราได้ จากการที่เราเปิดเครื่องเข้าไป Download เพลงใน Web site ที่แฮกเกอร์เตรียมดักรอโจมตีเราอยู่ ดังนั้น เราควรรีบ Update Patch ให้กับโปรแกรมที่เราใช้ดูหนังฟังเพลงอยู่เป็นประจำเช่นกัน

สำหรับช่องโหว่ของโปรแกรม Web Browser จากการสำรวจพบว่าโปรแกรม IE หรือ Internet Explorer เป็นโปรแกรมที่มีช่องโหว่มากที่สุด บริษัท Microsoft พยายามออก Patch Update สำหรับแก้ปัญหาให้ IE อย่างต่อเนื่อง แต่บางทีช่องโหว่ของ IE นั้นเป็นช่องโหว่ประเภท Zero Day คือ Microsoft ยังไม่ได้ออก Patch มาจัดการปิดช่องโหว่ ทำให้เราต้องระมัดระวังในการเข้าอินเทอร์เน็ตด้วย Browser IE ในช่วงเวลาที่เรายังไม่ได้ Patch IE หรือ ในช่วงที่ IE ยังไม่มี Patch ออกมา เราอาจจะหันไปใช้ Browser ตัวอื่นเช่น FireFox หรือ Mozilla ก็เป็นทางเลือกที่ดี แต่ก็ต้องระวังช่องโหว่ของ FireFox และ Mozilla ด้วย ดังนั้นเราจึงต้องหมั่น Update Patch ให้กับ Browser ทั้ง 2 ค่ายด้วยเหมือนกับการ Update Patch ให้ Browser IE

โปรแกรม Download ที่เรากำลังนิยมใช้กันในลักษณะ P2P (Peer-to-Peer) เช่น โปรแกรม eMule, eDonkey, Bittorrent, Kazaa และ โปรแกรมโทรศัพท์ฟรีผ่านอินเทอร์เน็ตยอดนิยม ได้แก่ โปรแกรม Skype นั้นล้วนมีช่องโหว่ด้วยกันทั้งสิ้น โปรแกรม P2P กลายเป็นช่องทางของการแพร่กระจายของไวรัส และเวอร์มต่าง ๆ ตลอดจน โปรแกรม P2P มักจะมาพร้อมกับโปรแกรม AdWare และโปรแกรม SpyWare เพราะโปรแกรมเหล่านี้มีผลประโยชน์ทางธุรกิจร่วมกันอยู่ นอกจากโปรแกรม P2P จะมีช่องโหว่ดังกล่าวแล้ว โปรแกรมเหล่านี้ยังใช้ Bandwidth ของระบบเครือข่ายอย่างมหาศาล ทำให้รบกวน Traffic ของการใช้งานเครือข่ายในองค์กรอย่างหลีกเลี่ยงไมได้ องค์กรควรกำหนด "Security Policy" ในการจัดการกับโปรแกรม P2P เหล่านี้

นอกจากโปรแกรม P2P แล้วโปรแกรม IM (Instant Messaging) ได้แก่ โปรแกรม MSN, ICQ, AOL Instant Messenger, Yahoo Messenger รวมทั้ง SKYPE และ IRC ด้วย และ ใหม่ล่าสุด ได้แก่ โปรแกรม GoogleTalk โปรแกรม IM เหล่านี้ล้วนมีช่องโหว่ Buffer Overflow ที่ทำให้แฮกเกอร์และเวอร์มต่าง ๆ สามารถเข้ามาโจมตีเครื่องของเราได้โดยเฉพาะการโจมตีผ่านทางระบบ File Transfer upload/download ของโปรแกรม IM นอกจากนี้ โปรแกรม IM ยังทำให้ข้อมูลขององค์กรรั่วไหลได้โดยง่ายด้วยระบบ File Transfer ดังกล่าว โปรแกรมไวรัสและเวอร์มส่วนใหญ่ชอบใช้ IM และ IRC Channel ได้การแพร่กระจาย หรือทำการโจมตีแบบ DDoS Attack ด้วย ดังนั้นองค์กรควรออก "Security Policy" มากำหนดกฎข้อปฎิบัติในการใช้โปรแกรม IM เช่นเดียวกับโปรแกรม P2P ดังที่กล่าวมาแล้ว

กล่าวโดยสรุปจะเห็นได้ว่าทั้งแฮกเกอร์ ไวรัส และ เวอร์มต่าง ๆ ล้วนเปลี่ยนเป้าหมายจากการโจมตีระบบปฎิบัติการมาเป็นการโจมตีอุปกรณ์ระบบเครือข่าย เช่น Router หรือ Switching โปรแกรมระบบฐานข้อมูล ตลอดจน โปรแกรมรักษาความปลอดภัย โปรแกรม P2P โปรแกรม IM โปรแกรม Media Player และ โปรแกรม Utility เช่น โปรแกรม Backup ซึ่งโปรแกรมเหล่านี้ยังไม่มีระบบการ Patch แบบอัตโนมัติ หรือ ระบบการ Patch แบบอัตโนมัติยังไม่ดีเหมือนระบบการ Patch ของระบบปฏิบัติการ ดังนั้น เราควรหมั่นติดตามข่าวสารอย่างสม่ำเสมอและ เมื่อมีการค้นพบช่องโหว่ ก็ให้เราทำการ Update Patch เพื่อป้องกันระบบของเราให้ปลอดภัยจากการโจมตีใน หลากหลายรูปแบบทั้งในปัจจุบันและอนาคต อย่าลืมว่า การป้องกันความปลอดภัยระบบนั้น หัวใจอยู่ที่ "ความรวดเร็ว" ในการปิดช่องโหว่ให้กับระบบปฎิบัติการ อุปกรณ์ระบบเครือข่าย และ โปรแกรมต่างๆ ได้อย่างทันท่วงที

จาก : หนังสือ eWeek Thailand
ปักษ์หลัง ประจำ เดือนพฤศจิกายน 2548
Update Information : 8 ธันวาคม 2548