ref. http://sran.org/fq

บทความจากทีมพัฒนา SRAN

สัญญาอนุญาตประเภทแสดงที่มา ไม่ใช้เพื่อการค้า และอนุญาตแบบเดียวกัน (by-nc-sa)

Kiattisak Somwong 

 

========================================== 

 

เมื่อปีเก่ากำลังจะผ่านไป ปีใหม่เข้ามา หลายคนอาจกำลังทบทวนสิ่งที่เกิดขึ้นเพื่อนำมาเป็นบทเรียนแก้ไขข้อผิดพลาดต่าง ๆ ทั้งในการดำเนินชีวิตและการทำงาน

เช่นเดียวกับบทความนี้ เราลองมาย้อนเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นในรอบปีค.ศ. 2009 ดูว่าเกิดอะไรขึ้น จากนั้นเราลองมาดูแนวโน้มความปลอดภัยที่จะเกิดขึ้นในปีหน้า ค.ศ. 2010 ที่ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยได้ทำนายไว้ เพื่อจะได้เตรียมพร้อมรับมือภัยคุกคามเหล่านี้อย่างรู้เท่าทัน ดังพุทธภาษิตที่กล่าวไว้ว่า “คนมีปัญญาดีไม่ประมาทในเมื่อผู้อื่นประมาท มักตื่นในเมื่อผู้อื่นหลับ ย่อมละทิ้งผู้ประมาท (คนโง่) เหมือนม้าฝีเท้าเร็ว ทิ้งม้าไม่มีกำลังไปฉะนั้น”

สรุปเหตุการณ์ด้านความปลอดภัยปี ค.ศ. 2009

หนอนอินเทอร์เน็ตคอนฟิกเกอร์ (The Conficker Worm)

 คอนฟิกเกอร์ (Conficker) โจมตีช่องโหว่ในส่วนของวินโดวส์เซิร์ฟเวอร์เซอร์วิส (Windows Server service) ซึ่งไมโครซอทฟ์ได้ออกซอฟท์แวร์แก้ไข (MS08-067) ในเดือนตุลาคม ค.ศ. 2008 มันอาศัยเทคนิคออโต้รันเพื่อการแพร่กระจายผ่านทางทัมบ์ไดรฟ์ (thumb drive) แบบยูเอสบี หลังจากที่มันเข้าไปอยู่ในคอมพิวเตอร์เครื่องหนึ่งแล้ว มันจะพยายามเข้าถึงเน็ตเวิร์คแชร์ (Network Shares) และพยายามแคร็กรหัสผ่านของแอคเคาท์ในเครื่อง ถ้าคอนฟิกเกอร์สามารถแคร็กรหัสผ่านของผู้ดูแลระบบได้ มันจะใช้เซอร์วิสที่ชื่อว่า วินโดวส์ ทาสค์ เชดดูเลอร์ (Windows Task Scheduler service) เพื่อแพร่กระจายตัวมันเองไปยังคอมพิวเตอร์เครื่องอื่น ๆ ต่อไป

เนื่องจากคอนฟิกเกอร์จำเป็นต้องใช้ช่องโหว่เฉพาะ (MS08-067) เพื่อการแพร่กระจาย มันจำเป็นต้องรู้ว่าคอมพิวเตอร์ที่มันโจมตีใช้ภาษาอะไร คอนฟิกเกอร์เวอร์ชั่นก่อน ๆ จะมีความสามารถจำกัด เนื่องจากมันจะทำการแปลงข้อมูลที่อยู่ไอพี (IP address) ให้เป็นที่อยู่ทางภูมิศาสตร์โดยการสอบถามข้อมูลผ่านทางอินเทอร์เน็ต เมื่อได้รับข้อมูลมาจึงสามารถเปลี่ยนที่อยู่ไอพีให้เป็นที่อยู่ทางภูมิศาสตร์ได้ เมื่อโจมตีคอมพิวเตอร์ที่อยู่ในอเมริกา หนอนอินเทอร์เน็ตตัวนี้จึงพยายามโจมตีวินโดวส์เวอร์ชั่นภาษาอังกฤษ แต่ถ้าที่อยู่ไอพีที่ถูกโจมตีอยู่ในจีน มันจะพยายามโจมตีวินโดวส์เวอร์ชั่นภาษาจีนแทน ลักษณะเช่นเดียวกับวินโดวส์เวอร์ชั่นภาษาอื่น ๆ

จากการที่คอนฟิกเกอร์เวอร์ชั่นเอ (Conficker.A) ใช้ฐานข้อมูลในการเปลี่ยนที่