dot dot
dot
dot
bulletคณะกรรมการบริหาร
bulletหน้าที่ของ กบร.
bulletนโยบายชมรม
bulletขอบเขตรับผิดชอบอนุกรรมการ
bulletข้อบังคับชมรมฯ
bulletธนาคาร&สถาบันการเงินสมาชิก
bulletแผนการดำเนินงาน
dot
dot
bulletข้อมูล ธปท.สำหรับสถาบันการเงิน
bullet Web App. Security (OWASP Top 10)
bullet Checklist สำหรับบริหารจัดการ Cisco Router
bulletRouter Audit Tool (RAT)
bulletweb application testing
dot
dot
bulletกระทรวงการคลัง
bulletธนาคารแห่งประเทศไทย
bulletสมาคมผู้ตรวจสอบภายในฯ
bulletสมาคมธนาคารไทย
bulletISACA Bangkok
bulletสำนักงานคณะกรรมการ กลต.
bulletInformation Technology Governance (โดย อ.เมธา )
bulletThaiCERT
bulletAudit Net




7 อันดับภัยอินเทอร์เน็ตในประเทศไทย

7 อันดับภัยอินเทอร์เน็ตในประเทศไทย Top 7 Internet Threats in Thailand and 10 Easy Steps to Protect Yourself from the Internet Threats by A.Pinya Hom-anek,GCFW, CISSP, SSCP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:

ปัญหาภัยอินเทอร์เน็ตของประเทศไทยจากสถิติในสองสามปีที่ผ่านมา พบว่ามีอัตราการเพิ่มขึ้นของปัญหาต่าง ๆ เป็นไปอย่างก้าวกระโดดตามอัตราการเพิ่มขึ้นของจำนวนผู้ใช้อินเทอร์เน็ตในประเทศไทย ซึ่งในขณะนี้คาดว่า ผู้ใช้งานอินเทอร์เน็ตมีจำนวนไม่ต่ำกว่า 10 ล้านคน ตลอดจนการเพิ่มจำนวนของผู้ใช้อินเทอร์เน็ตตามบ้านที่ใช้ Broadband Internet (ADSL) จำนวนไม่ต่ำกว่า 500,000 ครัวเรือน ปัญหาภัยที่มาจากอินเทอร์เน็ตจึงมีอัตราเพิ่มขึ้นจากปัจจัยดังกล่าว ซึ่งในอนาคตอันใกล้คาดว่าผู้ใช้ Broadband Internet น่าจะไม่ต่ำกว่า 1 ล้านครัวเรือน

ส่วนใหญ่ผู้ใช้อินเทอร์เน็ตตามบ้านมักจะไม่ค่อยมีความรู้ความเข้าใจเรื่องภัยอินเทอร์เน็ตเพียงพอจึงตกเป็นเหยื่อของผู้ไม่หวังดีเข้ามายึดเครื่องเพื่อทำเป็น "BOTNET" หรือ "Robot Network" จากนั้น แฮกเกอร์ ก็จะใช้เครื่องคอมพิวเตอร์ตามบ้านของเราส่ง SPAM Mail หรือส่งข้อมูลตามที่แฮกเกอร์ต้องการซึ่งในปัจจุบันกฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ได้ผ่าน สนช. เป้นที่เรียบร้อยแล้ว และ กำลังจะมีผลบังคับใช้ในอีก ไม่กี่เดือนข้างหน้าภายในปี พ.ศ. 2550 นี้ โดยมาตรา 11 ระบุชัดเจนว่าผู้ส่ง SPAM Mail มีโทษปรับไม่เกิน 100,000 บาท และ ผู้ที่ชอบ Forward Mail โดยไม่ระมัดระวัง และทำให้ผู้อื่นเกิดความเสียหายก็มีโทษเช่นกัน (เข้ามาตรา 14)

ดังนั้นผู้ใช้อินเทอร์เน็ตตามบ้าน อาจกลายเป็น "แพะรับบาป"โดยไม่รู้ตัว เนื่องจากแฮกเกอร์เข้ามาใช้เครื่องของเราในการทำกิจกรรมที่ไม่ชอบด้วยกฎหมายดังที่กล่าวมาแล้ว เราจึงควรเตรียมตัวพร้อมรับภัยจากอินเทอร์เน็ตในรูปแบบต่าง ๆ ที่นับวันจะมีพัฒนาการเปลี่ยนแปลงรูปแบบ ทำให้โปรแกรมกำจัดไวรัสไม่สามารถที่จะตรวจรับโปรแกรมมุ่งร้าย (MalWare) ในบางโปรแกรมได้ เราจึงจำเป็นต้องเรียนรู้และเข้าใจภัยอินเทอร์เน็ตให้มากขึ้น และตระหนักไว้เสมอว่าไม่มีโปรแกรมกำจัดไวรัส โปรแกรมใดที่สามารถป้องกันภัยอินเทอร์เน็ตให้เราได้ 100% ตัวเราเองจำเป็นต้องมีสติ และ ระมัดระวังในการเปิดไฟล์ที่แนบมากับ อิเล็กโทรนิคส์เมล์ หรือ ระวังในการ "Click" Link ต่าง ๆ ที่อยู่ใน Web Browser หรือมากับเนื้อความใน อิเล็กโทรนิคส์เมล์ (eMail) ตลอดจน Link มักถูกส่งมาจากเพื่อนที่ใช้งาน MSN หรือ IM (Instant Messaging) กับเราอยู่โดยที่เครื่องของเพื่อนเราอาจถูก MalWare เล่นงานแล้วส่ง Link มาหลอกเรา โดยที่เพื่อเราเองยังไม่รู้ตัวเลยก็เป็นได้

ผมขอจัดอันดับภัยอินเทอร์เน็ตทั้ง 7 ภัยเรียงตามภัยที่พบมากที่สุดเป็นอันดับหนึ่งจนถึงภัยที่พบน้อยที่สุดเป็นอันดับสุดท้ายซึ่งอันดับของภัยต่าง ๆ นั้น อาจมีการปรับเปลี่ยนได้ตามเทคโนโลยีอินเทอร์เน็ตใหม่ ๆ ที่ผู้ใช้งานอินเทอร์เน็ต นิยมใช้ เราจึงควรระวังภัยทั้ง 7 ประการนี้ และ เรียนรู้ 10 วิธีง่าย ๆ ในการป้องกันภัยอินเทอร์เน็ตด้วยตัวเอง เพื่อที่จะให้เราสามารถนำไปประยุกต์ใช้กับการใช้งานอินเทอร์เน็ตโดยทั่วไป ให้ปลอดภัยจาก 7 ภัยดังกล่าว ซึ่งมีรายละเอียดดังต่อไปนี้ ครับ

ภัย อันดับหนึ่ง : ภัยจาก SPAM Mail (SPAM Threat)

ปัญหา SPAM Mail ถือเป็นปัญหาอันดับหนึ่งของผู้ใช้อินเทอร์เน็ตในวันนี้ เพราะเราต้องเปิดอ่าน อิเล็กโทรนิคส์เมล์ทุกวัน ซึ่งหลายครั้งพบว่าเราได้รับอิเล็กโทรนิคส์เมล์ที่เราไม่อยากอ่านแต่มีผู้ส่งมาให้เราเป็นประจำ เช่น email ขายยา Viagra เป็นต้น นอกจากจะเกิดความรำคาญในการคัดเลือก Junk Email แล้ว อิเล็กโทรนิคส์เมล์บางฉบับมีไฟล์แนบหรือ "Attached File" ที่เป็น Mal Ware หรือ Virus โดยจะมีนามสกุลไฟล์แปลก ๆ เช่น .SCR หรือ .PIF บางครั้งก็ใช้นามสกุลไฟล์ที่เห็นได้ชัดว่าเป็นโปรแกรมไม่ใช่ไฟล์เอกสาร เช่น นามสกุลไฟล์ .EXE, .COM หรือเป็น Script เช่น .VBS, .BAT หรือ .CMD เป็นต้น ไฟล์นามสกุลต่าง ๆ ดังที่กล่าวมาแล้วล้วนมีโอกาสเป็น Mal ware ถึง 95% ขึ้นไป ดังนั้น เราจึงไม่ควรเปิดไฟล์แนบดังกล่าว (ควรจะลบทิ้งเลยด้วยซ้ำ) และนอกจากนั้นไฟล์นามสกุล .ZIP ซึ่งเป็นไฟล์ที่ถูกบีบอัดมาบางไฟล์มีไฟล์ MalWare อยู่ข้างในก็มี เราจึงต้องระมัดระวังเป็นพิเศษ ในการเปิดไฟล์แนบ แม้ว่า email นั้นจะมาจากคนรู้จักหรือเพื่อนร่วมงานก็ไม่ควรไว้ใจเพราะ SPAMMER อาจจะแอบขโมย email address จาก Google ได้เพียงแค่พิมพ์ @ ตามด้วย Domain name เช่น @ abc.com ก็สามารถจะหา email address ได้อย่างง่ายดาย เราจึงไม่ควรเปิดเผย email address ของเราในอินเทอร์เน็ตโดยไม่จำเป็น

เนื่องจากผลกระทบของ SPAM Mail ไม่ใช่แค่เรื่องความรำคาญแต่ SPAM Mail อาจนำ MalWare หรือ Virus เข้ามาในเครื่องคอมพิวเตอร์ตลอดจนระบบเครือข่ายของเรา ดังนั้น การใช้โปรแกรมหรืออุปกรณ์ในการป้องกัน SPAM (ANTI-SPAM) จึงมีความสำคัญอย่างยิ่งยวด โดยเฉพาะองค์กรที่มีผู้ใช้งาน email เป็นจำนวนมาก ยิ่งจำเป็นต้องจัดหาอุปกรณ์ ANTI-SPAM มาใช้ที่บริเวณ Gateway หรือ บริเวณ DMZ ของระบบเครือข่าย เพื่อให้มั่นใจว่าเราได้มีการป้องกันในระดับที่ไม่ส่งผลกระทบกับองค์กรในกรณีที่ผู้ใช้ได้รับ SPAM Mail แล้วเผลอเปิดไฟล์แนบที่มี MalWare หรือ Virus ติดมาโดยไม่ระมัดระวัง การป้องกัน SPAM ที่บริเวณ Gateway นั้นเป็นปราการด่านแรกที่เราควรจะมี หากหลุดจาก Gateway มาแล้วก็ควรจะกรองที่ email server และ email client อีก สองชั้น หากทำได้ตามนี้ เชื่อว่าปัญหา SPAM ก็จะลดลง เช่น จากเคยได้รับ SPAM Mailวันละ 20-30 ฉบับ ก็ อาจเหลือเพียง 1-2 ฉบับ ต่อวัน ก็ถือว่าได้ผลเป็นที่น่าพอใจในระดับหนึ่ง

ภัย อันดับสอง : ภัยจาก ไวรัสคอมพิวเตอร์ (Virus/Worm Threat)

สำหรับปัญหาไวรัสคอมพิวเตอร์นั้นไม่ต้องสงสัยเลยว่าอยู่กับเรามาเป็นเวลานานเป็นสิบปีแล้ว ดูเหมือนว่าสองสามปีที่ผ่านมา เราสามารถจัดการกับไวรัสคอมพิวเตอร์ได้ในระดับหนึ่ง แต่ในปัจจุบันจากช่วงกลางปี พ.ศ. 2549 พบว่าไวรัสคอมพิวเตอร์ได้กลับมาสร้างปัญหาอีกครั้งหนึ่งและมีผลกระทบในวงกว้าง ไวรัส หลายตัวมากับ USB Drive ตามสมัยนิยม ไวรัส บางตัวก็สามารถหลบการตรวจจับของโปรแกรมกำจัดไวรัสถึงแม้ว่าจะมีการ "Update Pattern" ของ ไวรัสใหม่ล่าสุดแล้วก็ตาม เทคนิคใหม่ในการโจมตีของผู้สร้างไวรัสคอมพิวเตอร์นั้นเราเรียกว่า "Targeted Attack" ซึ่งไวรัสจะถูกออกแบบมาพิเศษไม่ให้โปรแกรมกำจัดไวรัสสามารถตรวจจับได้โดยง่าย อีกทั้งยังมีลักษณะการโจมตีโดยตรงไปที่โปรแกรมกำจัดไวรัสให้ทำงานผิดพลาดไปจากปกติ ขณะเดียวกันไวรัสก็อาศัยช่องทางในการดาวน์โหลดโปรแกรมไวรัสผ่านทาง Web โดยใช้ http protocol เราเรียกไวรัสลักษณะนี้ว่า "Trojan Downloader" (นิยามโดย "Kaspersky Lab") ซึ่งอาจจะเป็นโปรแกรม .EXE เล็ก ๆ ทำการดาวน์โหลดไฟล์ .JPG หรือ .GIF มายังเครื่องคอมพิวเตอร์และระบบเครือข่ายของเรา

ดังนั้นโปรแกรมกำจัดไวรัสควรมีการปรับปรุงเทคนิคในการตรวจรับไวรัสดังกล่าวโดยดูจากลักษณะของไฟล์ เช่น ดูจาก Packer ก็จะทราบว่าเป็น .EXE ไฟล์ไม่ใช่ไฟล์รูปภาพธรรมดา วิธีการดังกล่าวนั้นต้องอาศัยเทคโนโลยี "Behavior-based analysis" หรือ "Heuristic" ในการวิเคราะห์พฤติกรรมของไวรัส โดยจะอาศัยเฉพาะเทคโนโลยี "Signature-based Analysis" หรือการวิเคราะห์ตรวจจับไวรัสตาม "Virus Signature" น่าจะ ไม่เพียงพอแล้วในการป้องกันไวรัสใหม่ที่เกิดขี้นในช่วงหลัง ๆ และไวรัสที่จะเกิดใหม่ในอนาคตอีกด้วย การใช้เทคโนโลยี Signature-based ผสมผสานกับ Behavior-based หรือ Heuristic น่าจะเป็น สูตรสำเร็จที่ลงตัวสำหรับโปรแกรมกำจัดไวรัสรุ่นใหม่ในปัจจุบัน เราจึงควรตรวจสอบโปรแกรมกำจัดไวรัสที่เราใช้อยู่ว่าได้ใช้เทคโนโลยีทั้งสองแบบดังกล่าวหรือไม่

หลักการในการใช้โปรแกรมกำจัดไวรัสให้มีประสิทธิภาพสำหรับองค์กรสมัยใหม่คือ การใช้โปรแกรมกำจัดไวรัสมากกว่าหนึ่งโปรแกรมในต่างบริเวณที่ใช้งาน (Multiple ANTI-Virus Engine with Defense-In-Depth Concept) เช่น บริเวณ Gateway หรือ DMZ ใช้โปรแกรมกำจัดไวรัส Engine "A", ที่ email Server ใช้โปรแกรมกำจัดไวรัส Engine "B" และ ที่เครื่องลูกข่ายใช้โปรแกรมกำจัดไวรัส Engine "C" เป็นต้น การนำหลักการ "Multiple ANTI-Virus Engine" มาใช้จะทำให้เพิ่มประสิทธิภาพให้การตรวจจับไวรัสใหม่ ๆ มากขึ้น แต่ขณะเดียวกันก็เป็นการเพิ่มค่าใช้จ่ายให้กับองค์กรตลอดจนต้องบริหารจัดการโปรแกรมกำจัดไวรัสมากกว่าหนึ่งโปรแกรม โดยรวมแล้ว ถือว่าคุ้มค่าหากเราต้องการป้องกัน MalWare และ Virus ให้ได้ผล

ภัย อันดับที่สาม : ภัยจากการหลอกลวงผ่านทางอิเล็กโทรนิคส์เมล์ (HOAX and PHISHING Threat)

ภัยอินเทอร์เน็ตมักจะมากับ email เสมอ จาก SPAM Mail พัฒนาเป็น "HOAX" หรือจดหมายหลอกลวงและล่าสุดพัฒนาเป็น "PHISHING" หรือ กับดักลวงเพื่อขโมยข้อมูลส่วนบุคคล (Identity Theft) ซึ่งกำลังเป็นปัญหาใหญ่ของประเทศไทยที่มีแนวโน้มเพิ่มสูงขึ้นทุกปี ขณะนี้ธนาคารในประเทศได้ถูกโจมตีแบบ PHISHING ซึ่ง PHISHER จะทำการส่ง email หลอกลวงไปยังลูกค้าของธนาคารให้เข้าใจผิดคิดว่าเป็น email จากธนาคารโดยมีการปลอมแปลงชื่อผู้ส่ง (Sender) ให้เป็น email address ที่มาจากธนาคาร (แต่จริง ๆ แล้วธนาคารไม่ได้ส่ง email ดังกล่าว) และ ลงทุนแต่งเรื่องเขียน email เป็นเรื่องเป็นราวเกี่ยวกับปัญหาในการใช้งานอินเทอร์เน็ตแบงค์กิ้งหรือเป็นขอข้อมูลลูกค้าจากทางธนาคาร โดยมีจุดมุ่งหมายให้เราหลง "Click" เข้าไป Logon ให้หน้า Web page หรือ Web site ลวงที่ถูกสร้างขึ้นมาให้มีลักษณะคล้ายหรือใกล้เคียง กับ Web site จริงของธนาคารมากเสียจนแทบจะดูไม่ออก แต่ถ้าสังเกต URL ดี ๆ จะพบว่ามีความแตกต่างจาก URL ของธนาคารที่เราเข้าอยู่เป็นประจำเล็กน้อย เช่น www.abcbank.com แฮกเกอร์อาจจดชื่อโดเมนใหม่เป็น www.abcbanking.com หรือ www.abcbanks.com ก็ได้ เมื่อเราหลงเข้าไป Logon แล้ว แฮกเกอร์ก็จะได้ ชื่อผู้ใช้และรหัสผ่านของเราไปใช้ในการ Logon เข้าระบบจริงของธนาคารเพื่อทำธุรกรรมในนามของเราต่อไปโดยที่เราอาจจะไม่รู้ตัวเลย ดังนั้น เราจึงควรระวัง email ในลักษณะดังกล่าว ถ้าจะให้ดี ควรโทรศัพท์ไปตรวจสอบที่ธนาคารกับฝ่ายบริการลูกค้าเพื่อความแน่ใจน่าจะเป็นวิธีป้องกันที่ดีที่สุด สำหรับจดหมายหลอกลวง หรือ จดหมายอำชาวบ้านที่ทางวิชาการเรียกว่า "HOAX" นั้นก็เป็นอีกปัญหาหนึ่งที่เราควรใช้สติพิจารณา email บางฉบับที่สร้างเรื่องขึ้นมาให้เราหลงเข้าใจผิดไปต่าง ๆ นานา เช่น email มาบอกว่าเราได้รับรางวัลจากบริษัท Microsoft เป็นจำนวนเงินถึงหนึ่งล้านบาทจากการจับฉลากในประเทศสหรัฐอเมริกา ทาง Microsoft (ปลอม) กำลังจะโอนเงินให้เราผ่านทาง Wired transfer โดยก่อนที่เราจะได้หนึ่งล้าน เราต้องโอนค่าธรรมเนียมให้กับทางผู้จัดส่งประมาณ สองถึงสามพันบาทก่อน ทางนั้นถึงจะโอนเงินมาให้ การหลอกลวงในลักษณะนี้เรียกว่า เป็นการ "ตกทองยุคไฮเทค" คือ email ดังกล่าวไม่ได้มาจากบริษัท Microsoft แต่อย่างใด หากแต่เป็นการแอบอ้าง ดังนั้น "สติ" และ การใช้เหตุผลวิเคราะห์ จึงเป็นเรื่องสำคัญในการใช้งาน ระบบอินเทอร์เน็ตในทุกวันนี้ ก่อนที่เราจะ "Click" หรือป้อนข้อมูลส่วนตัวลงในหน้า Web page ต่าง ๆ เราควรพิจารณาให้รอบคอบว่าไม่ใช่เป็นการหลอกลวงในลักษณะที่กล่าวมาแล้วในตอนต้น

ภัย อันดับที่สี่ : ภัยจากการถูกแฮกเกอร์ยึดเครื่องคอมพิวเตอร์ไปทำเป็น "BOT" เพื่อสร้างเครือข่าย "BOTNET"

ปัญหาใหญ่ของ ISP ในประเทศไทยวันนี้คือ เครื่องคอมพิวเตอร์ของลูกค้าทั้งตามบ้านและในองค์กรหลายร้อยหลายพันเครื่องถูกแฮกเกอร์เข้าโจมตีและยึดเครื่องเหล่านั้น เพื่อทำเป็น "BOT" หรือ "ROBOT" ให้รับฟังคำสั่งจากเครื่องของแฮกเกอร์ซึ่งจะ "Remote control" เครื่องของเราจากระยะไกล เมื่อแฮกเกอร์ยึดเครื่องได้หลาย ๆ เครื่องก็จะเกิดเป็นเครือข่ายของแฮกเกอร์ขึ้นโดยเราเรียกว่า "BOTNET" ย่อมาจาก "Robot Network" โดยที่เครื่องของเราเองจะดูเหมือนไม่มีอะไรเกิดขึ้น แต่กลายเป็นเครื่องที่ถูกแฮกเกอร์ควบคุมสั่งการจากระยะไกล ให้ทำเรื่องที่แฮกเกอร์ประสงค์ เช่น ส่ง SPAM Mail เป็นต้น

ปัญหา "BOTNET" เกิดจากผู้ใช้คอมพิวเตอร์ตามบ้าน และ ในบางองค์กร ไม่มีความรู้ความเข้าใจเรื่องการรักษาความปลอดภัยให้กับเครื่องคอมพิวเตอร์อย่างเพียงพอ เช่น ไม่เปิด Personal Firewall หรือ "Windows Firewall บางที ก็ไม่ลง Patch ล่าสุด ไม่ "Update Patch" ให้เป็นปัจจุบัน ทำให้เครื่องคอมพิวเตอร์มีช่องโหว่ (Vulnerability) ที่ยังไม่ได้รับการแก้ไขที่ถูกต้อง เป็นสาเหตุให้แฮกเกอร์สแกนตรวจพบช่องโหว่ และ เข้าโจมตีเครื่องของเราได้ง่ายผ่านทางอินเทอร์เน็ต โดยเฉพาะ "Broadband Internet" ซึ่งแต่ละคนสามารถสแกนกันได้อยู่แล้ว ดังนั้น เราจำต้องป้องกันเครื่องของเราโดยที่อย่างน้อยก็ควรติดตั้ง Personal Firewall หรือ Windows Firewall ให้เรียบร้อย ตลอดจนควรหมั่นขยัน "Update Patch" โดยการใช้ Windows Update หรือถ้าเป็นองค์กรก็ควรใช้ Microsoft WSUS, Microsoft SMS หรือ 3rdParty Patch Management Software เช่น PatchLink หรือ BigFix เป็นต้น

ปัจจุบันปัญหา BOTNET กลายเป็นปัญหาใหญ่ของ ISP ทั่วโลก ไม่ใช่เฉพาะในประเทศไทย ทุกประเทศจึงพบกับปัญหาที่ไม่ค่อยแตกต่างกันนัก การแก้ปัญหาชั่วคราวของ ISP ก็คือ การ "Block" เครื่องที่กลายเป็น BOT แต่ก็อาจทำให้เกิดปัญหากับลูกค้าได้ ดังนั้น หนทางแก้ปัญหาในระยะยาวที่ถูกต้องก็คือ การให้ความรู้กับผู้ใช้คอมพิวเตอร์ตามบ้านและในสำนักงานให้ตระหนักถึงภัยจาก "BOTNET" ตลอดจนคำแนะนำในการป้องกันตนเองอย่างง่าย ๆ ดังที่กล่าวมาแล้วในตอนต้น เพื่อให้ผู้ใช้ ได้มีส่วนร่วมในการป้องกันตนเองจากแฮกเกอร์ และเพื่อเสริมสร้างสัมพันธ์อันดีระหว่าง ISP และลูกค้า เพราะปัญหา "BOTNET" เป็นปัญหาที่ต้อง "ร่วมด้วยช่วยกัน" ก็จะลุล่วงและต่อกรกับแฮกเกอร์ได้อย่างมีประสิทธิภาพ

โปรแกรมควบคุม BOT ส่วนใหญ่จะใช้โปรโตคอล IRC (Internet Relay Chat) ในการควบคุม BOT ผ่านทาง "Remote Control" ดังนั้น หากอุปกรณ์ IDS/IPS ขององค์กรตรวจสอบพบ IRC Traffic วิ่งอยู่ ในเครือข่ายก็ให้สันนิษฐานไว้ก่อนเลยว่าอาจจะโดย "BOTNET" เล่นงานเข้าให้แล้ว เพราะในปัจจุบันผู้ใช้อินเทอร์เน็ตไม่นิยมเล่น IRC กันแล้ว โดยหันมาใช้งาน IM เช่น MSN หรือ Yahoo Messenger แทน คงมีแต่เฉพาะพวกแฮกเกอร์ที่ยังนิยมใช้โปรโตรคอล IRC กันอยู่ ทั้งการควบคุม BOT และ การคุยกันในกลุ่มแฮกเกอร์ผ่านทาง IRC Channel ต่าง ๆ ที่มักจะ ไม่เปิดให้คนนอกเข้าไปร่วมสนทนาด้วย ดังนั้น IRC Traffic จึงเป็น Traffic ที่เราต้องจับตาเป็นพิเศษ

ภัยอันดับที่ห้า : ภัยจากการใช้งานโปรแกรม Peer-To-Peer (P2P) (P2P Threat)

ความนิยมของการใช้งานโปรแกรมประเภท P2P เช่น โปรแกรม Bittorrent, Emule, Kazaa, Edonkey หรือ Limewire นั้น กำลังเป็นอย่างที่นิยมมากในกลุ่มผู้ใช้อินเทอร์เน็ตที่เป็นวัยรุ่นและวัยกลางคน เนื่องจากสามารถดาวน์โหลด โปรแกรมซอฟท์แวร์ต่าง ๆ รวมทั้งเพลง หนังสือในรูป อิเล็กโทรนิคส์ฟอร์เมต เช่น .CHM หรือ .PDF และ ภาพยนตร์ ในรูปแบบ MPEG, QuickTime หรือ DIVX โดยไม่ต้องมีค่าใช้จ่ายแต่อย่างใด เพียงแค่เสียค่าบริการอินเทอร์เน็ตความเร็วสูงรายเดือนก็สามารถดาวน์โหลดได้ตามสบายโดยไม่มีการกำจัดปริมาณข้อมูลที่ต้องการดาวน์โหลด ทำให้การใช้งานอินเทอร์เน็ตในลักษณะนี้ ได้รับความนิยมอย่างสูงทั่วประเทศไทย ทั้งผู้ใช้ตามบ้านและ ผู้ใช้ในองค์กรหลายองค์กรที่ต่อเชื่อมต่ออินเทอร์เน็ตความเร็วสูงเข้ากับเครือข่ายขององค์กร

ดูในภาพรวมเหมือนว่าไม่น่าจะมีปัญหาอะไรที่จะกระทบกับเครื่องคอมพิวเตอร์หรือระบบเครือข่ายขององค์กร แต่เมื่อวิเคราะห์เจาะลึกแล้วพบว่าโปรแกรม P2P ให้ผลลบมากกว่าผลดี และอาจทำให้ระบบล่มได้ เนื่องจาก โปรแกรม P2P เป็นโปรแกรมประเภทเห็นแก่ตัว กล่าวคือ โปรแกรม P2P จะใช้งานอินเทอร์เน็ตโดยกิน "Bandwidth" ขององค์กรในลักษณะที่เรียกว่าทำให้ผู้ใช้งานคนอื่น ๆ ใช้งานอินเทอร์เน็ตช้าลงโดยปริยายถ้าหากมีคนกำลังโหลดข้อมูลผ่านโปรแกรม P2P อยู่ในเครือข่ายภานใน และข้อมูลส่วนใหญ่โหลดมานั้น เป็นข้อมูลที่ไม่ถูกต้องตามลิขสิทธิ์ทั้งสิ้น ตลอดจน บางครั้งก็นำพา MalWare และ Virus ต่าง ๆ เข้ามาในระบบ โดยที่ผู้ใช้รู้เท่าไม่ถึงการณ์ เป็นโปรแกรมที่ตนต้องการ กลับถูกหลอกให้ดาวน์โหลดโดยไม่รู้ตัว พอมาเปิดโปรแกรมหลังดาวน์โหลดก็พบว่าติดไวรัสไปเรียบร้อยแล้ว ดังนั้น หากเป็นผู้ใช้ตามบ้าน หากต้องการใช้งานโปรแกรม P2P ต้องมีความระมัดระวังเป็นพิเศษ และหากเป็นผู้ใช้ในองค์กร ควรมีกฎระเบียบ หรือ "Security Policy" ในการควบคุมการใช้งานโปรแกรมดังกล่าวอย่างเคร่งครัด

ในองค์กรใหญ่ ๆ นิยมแก้ปัญหาโดยการใช้อุปกรณ์ประเภท "Bandwidth Management" บวกกับความสามารถด้าน "Security Defence" เช่น การ Block โปรแกรม P2P ที่นิยมใช้กันเป็นประจำเช่น Bittorrent หรืออนุญาตให้ใช้โปรแกรม P2P บางโปรแกรม เช่น โปรแกรม SKYPE ในการโทรศัพท์ทางไกลผ่านอินเทอร์เน็ต แต่จะควบคุมปริมาณข้อมูลไม่ให้ใช้ Bandwidth ของเครือข่ายที่เชื่อมไปยัง ISP จนหมด โดยมีการจัดสรร Quota ให้ผู้ใช้ในแต่ละกลุ่มให้มี "Priority" ที่แตกต่างกันก็จะช่วยแก้ปัญหาการใช้งานอินเทอร์เน็ตที่ค่อนข้างช้าอย่างได้ผล

ภัยอันดับที่หก : ภัยจาก Spyware และ Adware (Spyware and Adware Threat)

ปัจจุบันโปรแกรมมุ่งร้าย หรือ MalWare ไม่ได้มีเฉพาะโปรแกรมไวรัสคอมพิวเตอร์เท่านั้น หากแต่มีโปรแกรมอีกจำพวกหนึ่งเรียกว่า โปรแกรมสายลับ หรือ "Spyware" ซึ่งมักจะทำงานร่วมกับโปรแกรมโฆษณา หรือ "Adware" โดยโปรแกรม Spyware บางครั้งถูกออกแบบมาโจมตีเป้าหมายที่ถูกกำหนดไว้ล่วงหน้าโดยเฉพาะที่เราเรียกว่า "Targeted attack Spyware" มักจะมาในรูปแบบของโปรแกรมที่ดูเหมือนจะเป็นโปรแกรมที่ดี เช่น โปรแกรม WINZIP version ใหม่ล่าสุด, โปรแกรมฆ่าไวรัสล่าสุด จากบริษัทกำจัดไวรัสชื่อดัง หรือ โปรแกรม Patch ล่าสุดจากไมโครซอฟท์ ส่งมาให้เราติดตั้งผ่านทาง email โดยมาในรูปของไฟล์แนบที่เป็นนามสกุล .EXE ซึ่งโปรแกรมทั้งสามลักษณะดังกล่าวนั้น ทางวิชาการเรียกว่า โปรแกรมม้าโทรจัน หรือ "Trojan Horse Program" เป็นรูปแบบหนึ่งของ "Spyware" ที่ต้องการหลอกเราโดยวิธี "Social Engineering" ให้เราหลงเข้าใจผิดว่าเป็นโปรแกรมที่ดีมีประโยชน์ แต่จริงๆแล้วกลับกลายเป็นโปรแกรมสายลับเข้ามาแอบขโมยข้อมูลต่าง ๆ ในเครื่องคอมพิวเตอร์ของเราโดยไม่รู้ตัว บางครั้ง Spyware จะส่งข้อมูลให้กับบริษัทโฆษณา ต่าง ๆ เพื่อนำเอาโฆษณา (ที่เราไม่อยากดูเท่าไร) มา "POP-UP" ให้เราเห็นบนจอภาพ หรือ หลอกล่อให้เราเข้าไป "Click" เพื่อหาทาง "Make Money" จากการที่เราหลงและเข้าไปเยี่ยมชม Web site ต่าง ๆ ทางที่ทางโปรแกรม Adware จัดให้ ดังนั้นจึงไม่น่าแปลกใจที่อยู่ ๆ จะมี email ส่งมาโฆษณาสินค้าบางอย่างที่เราสนใจโดยโปรแกรม Spyware จะวิเคราะห์พฤติกรรมของเราจากไฟล์ "Cookie" ซึ่งเป็น Text File เล็ก ๆ อยู่ในเครื่องคอมพิวเตอร์ของเรา โดยที่โปรแกรม Spyware จะแอบอ่านข้อมูลพฤติกรรมการใช้อินเทอร์เน็ตของเราจากไฟล์ Cookie แล้วส่งข้อมูลกลับไปให้บริษัทวิจัยตลาด หรือ บริษัทโฆษณาให้ทำการวิเคราะห์ ซึ่งในบางครั้ง Spyware จะมีไฟล์ Cookie เป็นของตนเองในการติดตามพฤติกรรมของเรา เรียกว่า "Spyware Cookie" ซึ่งโปรแกรมกำจัด Spyware หลายๆโปรแกรมจะแสดงเป็นโปรแกรม Spyware แต่จริง ๆ แล้วเป็นเพียง Text File เล็ก ๆ ที่คอยติดตาม "Track" พฤติกรรมการใช้งานอินเทอร์เน็ตของเราอยู่ตลอดเวลา ถ้าตรวจสอบพบ Spyware Cookie ก็ควรจะลบทิ้งแต่ไม่ต้องตกใจมากนักเพราะไม่มีผลกระทบรุนแรงกับเครื่องของเราเหมือนพวกไวรัส

การป้องกันไม่ให้เครื่องติด Spyware หรือ Adware เริ่มจากการปรับเปลี่ยนพฤติกรรมในการใช้งานอินเทอร์เน็ตเสียใหม่ โดยระมัดระวังในการดาวน์โหลดไฟล์มากขึ้น ไฟล์นามสกุล .EXE หรือ .COM นั้นไม่ควรดาวน์โหลดเป็นอย่างยิ่ง (รวมทั้งไฟล์นามสกุล .CMD, .BAT, .HTA, .VBS, .SCR, .PIF) และ เรายังต้องระวังไม่ไปเข้าเยี่ยมชม Web site ที่ไม่ค่อยเป็นที่รู้จักโดยเฉพาะเว็บไซด์ภาพโป๊ เว็บไซด์พนัน หรือ เว็บไซด์ที่เกี่ยวกับการ Crack Software หรือ Crack Serial Number รวมถึงการ Crack Game ด้วย เพราะเว็บไซด์เหล่านี้จะร่วมมือกับผู้สร้าง Spyware และ บริษัทโฆษณาทางอินเทอร์เน็ต เพื่อวิเคราะห์พฤติกรรมการใช้อินเทอร์เน็ตของเรา และ ในบางครั้งอาจจะแอบขโมย ข้อมูลส่วนตัวบางอย่างของเราไปโดยไม่รู้ตัว

โปรแกรม Spyware ที่ส่งผลกระทบรุนแรงที่สุด ก็คือ โปรแกรมประเภทแอบดักข้อมูลหน้าจอ และดัก Key Stroke ที่เราพิมพ์ทางคีย์บอร์ด เรียกว่า โปรแกรม "Keylogger" โดยโปรแกรมดังกล่าวจะถูกติดตั้งบนเครื่องเราได้ 2 วิธี คือ วิธีที่หนึ่ง ติดจากการที่เราเผลอเปิดไฟล์แนบที่เป็น Executable File เช่น ไฟล์นามสกุล .EXE, .COM, .SCR หรือ .PIF เป็นต้น วิธีที่สอง ซึ่งเป็นวิธียอดนิยมของแฮกเกอร์คือ การแอบติดตั้งโปรแกรมตอนที่ผู้ใช้งานไม่อยู่หน้าเครื่อง คือ ผู้ใช้เปิดเครื่องทิ้งไว้ โดยไม่ Lock หน้าจอ เช่น ผู้ใช้ลุกไปชงกาแฟสัก 5 นาที จากนั้น แฮกเกอร์จะอาศัยเวลาที่เราเผลอทำการติดตั้งโปรแกรม Keylogger ดังกล่าวผ่านทาง USB Drive ซึ่งใช้เวลาแค่เพียงหนึ่งนาทีก็เรียบร้อยจากนั้น เมื่อเรากลับมาที่เครื่องก็ดูเหมือนทุกอย่างเป็นปกติซึ่งจริง ๆ แล้วเรากำลังโดนแอบดูอย่างใกล้ชิด ทั้งข้อมูลหน้าจอและคีย์บอร์ดจะถูกส่งผ่านทาง email ไปหาแฮกเกอร์โดยอัตโนมัติ เช่น แฮกเกอร์อาจตั้งเวลาส่งทุก 5 นาที เป็นต้น

วิธีการแก้ปัญหาก็คือ การใช้โปรแกรมประเภท Anti-Keylogger เช่น โปรแกรม PrivacyKeyboard หรือ โปรแกรม Advanced Anti-Keylogger เป็นต้น ในปัจจุบันโปรแกรมกำจัดไวรัสรุ่นใหม่ ๆ หลายโปรแกรมสามารถตรวจจับโปรแกรม Keylogger ได้โดยอัตโนมัติ ก็สามารถช่วยป้องกันได้เช่นกัน

ภัยอันดับสุดท้าย : ภัยจากการใช้ Google ในทางมิชอบ (Google Hacking Threat)

หลายองค์กรในประเทศไทยทั้งภาครัฐและเอกชนได้ทำการอัพโหลดข้อมูลขององค์กรไว้ในเว็บไซด์ขององค์กร เพื่อสามารถเข้าถึงข้อมูลได้ผ่านทางระบบอินเทอร์เน็ต ข้อมูลบางอย่างเป็นข้อมูลลับที่ไม่เปิดเผยต่อสาธารณชน ก็มักจะนำระบบป้องกันการเข้าถึงข้อมูลโดยให้ใส่ ชื่อ และ รหัสผ่าน

ปัญหาใหญ่ก็คือ ระบบป้องกันการเข้าถึงข้อมูลลับเหล่านั้นมักจะมีช่องโหว่ที่แฮกเกอร์ หรือ Google search engine สามารถเจาะทะลุทะลวง เข้ามาดูข้อมูลได้โดยไม่ต้องใช้ชื่อผู้ใช้และ รหัสผ่านแต่อย่างใด สำหรับแฮกเกอร์นิยมใช้วิธีที่เรียกว่า "SQL injection" แต่สำหรับ Google ถือว่าเป็นความสามารถของ Google Search Engine ที่สามารถเจาะลึกลงไปใน ระดับ Directory หรือ File ต่าง ๆ ที่อยู่ใน Web Server ของเรา ซึ่งหลาย ๆ ไฟล์อยู่ในรูปแบบของ Microsoft Office format เช่น .DOC, .XLS, .PPT หรือ MDB เป็นต้น

การใช้ Google Hack ระบบเพื่อค้นหาไฟล์ดังกล่าวสามารถทำได้โดยง่ายโดยใช้ Advanced Google Operator คือ File type: และ Site: เช่น ถ้าต้องการหาข้อมูลไฟล์ EXCEL ของบริษัท ABC ที่จดทะเบียนในประเทศไทย ก็ให้พิมพ์ ว่า "Filetype:XLS Site:ABC.co.th" ทาง Google ก็จะแสดงไฟล์ EXCEL เท่าที่สามารถตรวจสอบให้เราเห็นและสามารถเข้าถึงได้ถ้าไฟล์ดังกล่าวไม่ได้มีระบบ "Access Control" ที่ดีพอ แฮกเกอร์สามารถใช้ Advanced Operator ของ Google ในการโจมตีระบบได้อีกหลายแบบซึ่งหนทางในการแก้ปัญหาก็คือ เราสามารถบอกให้ Google ช่วย "remove file" หรือ บอกให้ Google ข้ามไฟล์ที่เราไม่อยากให้ผู้อื่นเข้าถึง โดยใช้ไฟล์ "ROBOTS.TXT" ใน Web Server จากนั้นก็กำหนดนามสกุลของไฟล์ที่เราไม่ต้องการให้ Google นำไปเก็บไว้ใน Search Engine Database โดยทาง Google จะ SKIP หรือ ข้ามไฟล์เหล่านั้นไป และ Google ก็จะไม่จัดเก็บ LINK และชื่อไฟล์เหล่านั้นก็เป็นทางแก้ปัญหาอีกวิธีหนึ่ง แต่วิธีที่ดีที่สุด คือ การ Harden Web Server ของเราเองและไม่นำ "Sensitive Information" หรือ ไฟล์ข้อมูลที่มีความลับหรือมีความสำคัญมาก ๆ มาเก็บไว้ใน Web Server ควรเก็บไฟล์แยกจาก ระบบที่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ต น่าจะเป็นแนวคิดที่ดีกว่า



จาก : หนังสือ eWeek Thailand
ปักษ์แรก ประจำ เดือนมิถุนายน2550
Update Information : 1 มิถุนายน 2550




บทความการตรวจสอบภายใน

Audit Technique article
การทุจริตบัตรเครดิตโดยการดูดข้อมูลบัตรเครดิตผ่านทางสายโทรศัพท์
วิธีการใช้บัตรเครดิตอย่างปลอดภัย
งานวิจัยบุคคลเรื่องการทุจริตบัตรเครดิต
พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
คำทำนายอนาคตทิศทางเทคโนโลยีและภัยด้านความปลอดภัยข้อมูล
การพัฒนา การกำกับดูแลกิจการ ของต่างประเทศ
แนะนำการลงทุนในกองทุนรวมเพื่อการเลี้ยงชีพ (RMF) article
9 คำถาม สำหรับตัดสินใจเลือกลงทุน RMF และ LTF article
นโยบายการตรวจสอบสถาบันการเงิน ปี 49 ของ ธปท. article
เรื่องน่ารู้ "ทรัพย์สิน ของคู่สมรส" article
สตท. กับบริการ Quality Assurance Review article



Copyright © 2012 All Rights Reserved.
ชมรมผู้ตรวจสอบภายในธนาคาร และสถาบันการเงิน (Bank & Financial Institution Internal Auditors Club) ที่ทำการ สมาคมธนาคารไทย เลขที่ 5/13 ชั้น 4 หมู่ 3 ถนนแจ้งวัฒนะ ตำบลคลองเกลือ อำเภอปากเกร็ด จังหวัดนนทบุรี 11120 โทร. 0-2264-0883-7 โทรสาร. 0-2264-0888 สถานที่ติดต่อ ประธานและเลขาธิการกรรมการบริหารและคณะกรรมการบริหารชมรมฯ ตามระยะเวลาที่ดำรงตำแหน่งอยู่ โปรดดูรายละเอียดในหัวเรื่องคณะกรรมการ ผู้ดูแลเว็บ : SurachetN(at)gsb.or.th