ref. http://sran.org/fq

บทความจากทีมพัฒนา SRAN

สัญญาอนุญาตประเภทแสดงที่มา ไม่ใช้เพื่อการค้า และอนุญาตแบบเดียวกัน (by-nc-sa)

Kiattisak Somwong 

 

========================================== 

 

เมื่อปีเก่ากำลังจะผ่านไป ปีใหม่เข้ามา หลายคนอาจกำลังทบทวนสิ่งที่เกิดขึ้นเพื่อนำมาเป็นบทเรียนแก้ไขข้อผิดพลาดต่าง ๆ ทั้งในการดำเนินชีวิตและการทำงาน

เช่นเดียวกับบทความนี้ เราลองมาย้อนเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นในรอบปีค.ศ. 2009 ดูว่าเกิดอะไรขึ้น จากนั้นเราลองมาดูแนวโน้มความปลอดภัยที่จะเกิดขึ้นในปีหน้า ค.ศ. 2010 ที่ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยได้ทำนายไว้ เพื่อจะได้เตรียมพร้อมรับมือภัยคุกคามเหล่านี้อย่างรู้เท่าทัน ดังพุทธภาษิตที่กล่าวไว้ว่า “คนมีปัญญาดีไม่ประมาทในเมื่อผู้อื่นประมาท มักตื่นในเมื่อผู้อื่นหลับ ย่อมละทิ้งผู้ประมาท (คนโง่) เหมือนม้าฝีเท้าเร็ว ทิ้งม้าไม่มีกำลังไปฉะนั้น”

สรุปเหตุการณ์ด้านความปลอดภัยปี ค.ศ. 2009

หนอนอินเทอร์เน็ตคอนฟิกเกอร์ (The Conficker Worm)

 คอนฟิกเกอร์ (Conficker) โจมตีช่องโหว่ในส่วนของวินโดวส์เซิร์ฟเวอร์เซอร์วิส (Windows Server service) ซึ่งไมโครซอทฟ์ได้ออกซอฟท์แวร์แก้ไข (MS08-067) ในเดือนตุลาคม ค.ศ. 2008 มันอาศัยเทคนิคออโต้รันเพื่อการแพร่กระจายผ่านทางทัมบ์ไดรฟ์ (thumb drive) แบบยูเอสบี หลังจากที่มันเข้าไปอยู่ในคอมพิวเตอร์เครื่องหนึ่งแล้ว มันจะพยายามเข้าถึงเน็ตเวิร์คแชร์ (Network Shares) และพยายามแคร็กรหัสผ่านของแอคเคาท์ในเครื่อง ถ้าคอนฟิกเกอร์สามารถแคร็กรหัสผ่านของผู้ดูแลระบบได้ มันจะใช้เซอร์วิสที่ชื่อว่า วินโดวส์ ทาสค์ เชดดูเลอร์ (Windows Task Scheduler service) เพื่อแพร่กระจายตัวมันเองไปยังคอมพิวเตอร์เครื่องอื่น ๆ ต่อไป

เนื่องจากคอนฟิกเกอร์จำเป็นต้องใช้ช่องโหว่เฉพาะ (MS08-067) เพื่อการแพร่กระจาย มันจำเป็นต้องรู้ว่าคอมพิวเตอร์ที่มันโจมตีใช้ภาษาอะไร คอนฟิกเกอร์เวอร์ชั่นก่อน ๆ จะมีความสามารถจำกัด เนื่องจากมันจะทำการแปลงข้อมูลที่อยู่ไอพี (IP address) ให้เป็นที่อยู่ทางภูมิศาสตร์โดยการสอบถามข้อมูลผ่านทางอินเทอร์เน็ต เมื่อได้รับข้อมูลมาจึงสามารถเปลี่ยนที่อยู่ไอพีให้เป็นที่อยู่ทางภูมิศาสตร์ได้ เมื่อโจมตีคอมพิวเตอร์ที่อยู่ในอเมริกา หนอนอินเทอร์เน็ตตัวนี้จึงพยายามโจมตีวินโดวส์เวอร์ชั่นภาษาอังกฤษ แต่ถ้าที่อยู่ไอพีที่ถูกโจมตีอยู่ในจีน มันจะพยายามโจมตีวินโดวส์เวอร์ชั่นภาษาจีนแทน ลักษณะเช่นเดียวกับวินโดวส์เวอร์ชั่นภาษาอื่น ๆ

จากการที่คอนฟิกเกอร์เวอร์ชั่นเอ (Conficker.A) ใช้ฐานข้อมูลในการเปลี่ยนที่อยู่ไอพีเป็นที่อยู่ทางภูมิศาสตร์ ทำให้ผู้บริการฐานข้อมูลดังกล่าวต้องเปลี่ยนชื่อและที่อยู่เพื่อไม่ให้หนอนดังกล่าวสามารถใช้ความสามารถดังกล่าวอีกต่อไป ทำให้คอนฟิกเกอร์เวอร์ชั่นบี (Conficker.B) ใช้วิธีการรวมฐานข้อมูลนั้นมาไว้กับตัวมันเอง นอกจากนี้การปรับปรุงการทำงานของตัวหนอนอินเทอร์เน็ตเองยังทำให้มันสามารถแพร่กระจายได้ดีขึ้นกว่าเดิมมาก

คอนฟิกเกอร์เวอร์ชั่นบีแพร่กระจายอย่างรวดเร็ว มีคอมพิวเตอร์หลายล้านเครื่องที่ถูกหนอนอินเทอร์เน็ตนี้ยึดครอง จำนวนการแพร่กระจายที่จุดสูงสุดมีมากกว่า 12 ล้านเครื่องทั่วโลก ประเทศจีน บราซิล รัสเซีย และอินเดีย ติดอยู่อันดับประเทศที่มีจำนวนคอมพิวเตอร์ที่ติดหนอนอินเทอร์เน็ตตัวนี้มากที่สุด ทำให้เกิดปัญหาใหญ่กับบริษัท
โรงพยาบาล สนามบินและสถาบันต่าง ๆ ทั่วโลก

จำนวนที่เพิ่มขึ้นอย่างรวดเร็วของคอมพิวเตอร์ที่ติดหนอนอินเทอร์เน็ตชนิดนี้ และภัยคุกคามที่เกิดจากความสามารถในการติดต่อและรับคำสั่งจากผู้สร้างหนอนอินเทอร์เน็ต ทำให้บริษัทต่าง ๆ ในธุรกิจแอนตี้ไวรัสได้สร้าง “คณะทำงานคอนฟิกเกอร์” (Conficker Working Group) ขึ้น กลุ่มนี้ประสบความสำเร็จในการทำงานร่วมกับผู้ให้บริการจดทะเบียนโดเมนเนมจ