กรุงเทพฯ--29 มิ.ย.--คอร์ แอนด์ พีค
โดย เจมซ์ เอ. เยเนซ่า
ที่ปรึกษาอาวุโส ด้านการป้องกันไวรัส
เทรนด์แล็ป บริษัท เทรนด์ ไมโคร อิงค์
โลกของเรากำลังหมุนไป ในขณะที่การติดตามเรื่องของหนอนไวรัสยังคงส่งเมล์ที่มีการโจมตีหลายรูปแบบสู่ผู้ใช้ทั้งระดับองค์กรและตามบ้าน เราลองมาดูการเปลี่ยนแปลงจากปี 2003 ไปจนถึงในช่วงสามเดือนแรกของปี 2004 โดยข้อมูลทั้งหมดที่นำมาอ้างอิงนั้นมาจากสถิติที่ได้บันทึกไว้โดย Trend Micro World Malware Tracking Center ซึ่งเป็นส่วนหนึ่งของเทรนด์แล็ป ศูนย์การวิจัยระดับโลกของเทรนด์ ไมโคร
จากตารางที่มีการเปรียบเทียบให้เห็นถึงจำนวนการติดเชื้อไวรัสของคอมพิวเตอร์ในไตรมาสแรกของปี 2003 เปรียบเทียบกับไตรมาสแรกของปี 2004 พบว่าเป็นเรื่องที่น่าประหลาดใจ เพราะไวรัสที่มีคุณสมบัติการโจมตีหลายทิศทางที่มีอายุนานกว่า 5 ปี อย่างPE_FUNLOVE.4099 ที่อยู่ในอันดับหนึ่งของตารางมาอย่างเหนียวแน่น ล่าสุดได้ตกไปอยู่อันดับ 8 ของตารางเรียบร้อยแล้ว
PE_FUBLOVE ได้ก้าวมามีอันดับในตาราง และมีการแพร่ะระบาดมาอย่างต่อเนื่องและยาวนานเป็นเพราะว่ามีการใช้ช่องโหว่ของ Incorrect MIME Header Vulnerability (MS01-020) ซึ่งช่วยให้มันสามารถเรียกไฟล์ที่แนบมากับเมล์ขึ้นมาทำงานโดยอัตโนมัติได้ และนอกจากนี้ยังมีความสามารถในการเขียนข้อมูลลงในไฟล์ที่ถูกป้องกันโดยระบบของวินโดวส์เอ็นทีได้อย่างสมบูรณ์ และทิ้งหนอนไวรัสเอาไว้สองชนิดคือ WORM_WINEVAR.A และ WORM_BRAID.A ซึ่งปรากฏในช่วงพฤศจิกายนของปี 2002
ในลำดับที่สองและตามมาของตารางนั้น ยึดครองด้วย WORM_KLEZ.H และ PE_ELKERN.D เป็นไวรัสในลำดับท็อปของตารางก็เพราะว่าวงจรของวิธีการ wormdrops-virus-mass-mail ซึ่งเป็นการส่งไวรัสพร้อมเมล์ออกไปจำนวนมหาศาล ได้ตกมาอยู่ในลำดับที่ 10 ของตารางในปี 2004
ในจำนวนทั้งหมดของไวรัสแพร่ระบาดในปลายปี มีเพียง WORM_SOBIG.F เท่านั้นที่ยังคงเหลือรอดอยู่ใน 20 ลำดับแรกของตารางในระหว่างไตรมาสแรกของปี 2004 โดยจำนวนที่ติดไวรัสมีเพิ่มขึ้น 34 เปอร์เซ็นต์ เมื่อเปรียบเทียบกับช่วงเวลาเดียวกันของปี 2003 และรวมแล้วเป็นจำนวนเกือบ 9.9 ล้านเครื่องเลยทีเดียว ในไตรมาสแรกของปี 2004
เรื่องที่น่าประหลาดใจก็คือ จำนวนของซอฟต์แวร์ที่เป็นภัยร้ายตัวใหม่ๆ (ทั้งไวรัสและโค้ดร้ายอื่นๆ) ต่างเกิดขึ้นในช่วงไตรมาสแรกของปี 2004 นี่เอง และยังมีรายงานบางส่วนที่แสดงให้เห็นถึงไวรัสที่ซ่อนตัวอยู่ จากตารางดังต่อไปนี้ แสดงให้เห็นถึง ไวรัสที่เกิดขึ้นในปี 2003 มาจากไวรัสในปี 1999
จากรายงานย้อนหลังไป 3 ปี จำนวนการเตือนของการแพร่ระบาดจากเทรนด์ ไมโครนั้นส่วนใหญ่มีจำนวนเฉลี่ย 18 ครั้งต่อปี 2 แต่สำหรับปี 2004 เพียงแค่ไตรมาสแรกมีรายงานการแพร่ระบาดถึง 12 ครั้งแล้ว และเมื่อเปรียบเทียบกับช่วงเวลาเดียวกันของปี 2003 พบว่ามีเพียง 2 ครั้งเท่านั้นเอง ซึ่งแสดงให้เห็นว่าความเร็วในการแพร่ระบาดของภัยคุกคามใหม่ๆ สามารถแผ่ขยายไปทั่วโลกโดยใช้เวลาเพียงไม่กี่นาทีเท่านั้นเอง
ปรากฏว่าในโลกนี้ มีไวรัสที่ระบาดมีเพียงสามตัวเท่านั้นเอง คือตามสายพันธุ์ของ MYDOOM, BAGLE และ NETSKY
แล้วไวรัสทั้งหมดนี้มาจากไหน? จากรายงานทั้งหมดที่ผ่านมา โดยส่วนใหญ่ไวรัสเกิดขึ้นมาจากทางฝั่งยุโรป ซึ่งอาจเป็นเยอรมนีหรือว่ารัสเซีย มีเพียงสองสามปีเท่านั้นเอง ที่มาจากจีนแผ่นดินใหญ่ แต่การรายงานแรกย่อมไม่สามารถพิสูจน์อะไรได้ ซึ่งจากการที่ซอฟต์แวร์ภัยร้ายที่ได้ทิ้งไวรัสไว้ที่ประตูหลังยังผู้ใช้ที่คาดไม่ถึงที่มีอยู่ทั่วโลก (ยกตัวอย่างเช่น WORM_SOBIG.F) ซึ่งเป็นเรื่องง่ายมากสำหรับผู้พัฒนาไวรัส ที่จะค้นหาที่อยู่ของไวรัส และใช้มันในการโจมตี
จากการจัดลำดับของ 20 อันดับของซอฟต์แวร์ที่เป็นภัยร้ายที่เกิดขึ้นมากที่สุด (จากภาพที่ 4) ในไตรมาสแรกของปี 2004 ปรากฎว่าเมื่อ WORM_MYDOOM.A ออกมาสู่โลกภายนอก และจู่โจมไปยังสังคมบนโลกอินเทอร์เน็ตอย่างรุนแรงและหนักหน่วง และเพิ่มจำนวนเป็นสองเท่าอย่างรวดเร็วในเดือนกุมภาพันธ์ ที่น่าสนใจก็คือ WORM_NETSKY.D ได้ทำในแบบเดียวกันในเดือนมีนาคม เมื่อได้เอา MYDOOM ออกจากระบบที่ติดเชื้อ ทั้งนี้ลูกค้าที่มีการติดเชื้อ MYDOOM ต้องแยกส่วนเพื่อตรวจจับด้วยโปรแกรมการต่อต้านไวรัส
ตั้งแต่ WORM_BAGLE.A ได้เริ่มสู่โลกภายนอกอย่างรวดเร็วในเดือนมกราคม ซึ่งได้รับการคาดหมายว่า จำนวนของหนอนไวรัส BAGLE ควรจะมีอันดับสูงขึ้นในตารางด้านล่างนี้ ซึ่ง BAGLE ก็เป็นเช่นเดียวกับ NETSKY ที่ติดอันดับที่ต้องลบออกจากระบบ
ไวรัสร้าย ได้แสร้งทำไปไวรัสที่ดีๆ จริงหรือ? เราก็ได้ยินมาก่อนหน้านี้ จากผู้เขียนได้มีการอ้างว่า การช่วยกำจัดไวรัสออกจากคอมพิวเตอร์ของคุณมีบางสิ่งที่ควรคำนึงถึงจาก NETSKY ดังนี้
ติดเชื้อในระบบแม้ว่าได้ล้างเรียบร้อยแล้ว และอาจทำให้เกิดความไม่มั่นคงกับระบบได้
เข้ามาในระบบของคุณโดยไม่ได้รับอนุญาต และปราศจากการรู้เห็นของเลย
ออกไปโดยไม่รับประกันว่าจะไม่ทิ้งอะไรบางอย่างเอาไว้เพื่อใช้เป็นภัยร้ายคุกคาม
ดังนั้นความจริงแล้วก็เหมือนไวรัสที่เราเคยเห็นนั่นเอง
จากจำนวนที่แสดงเห็นข้างต้น จะเห็นว่า PE_FUNLOVE.4099 มีจำนวนลดน้อยลง ซึ่งจากจำนวนตรงกลางตาราง เราสามารถสรุปความเป็นไปได้สามประการคือ
1. จำนวนผู้ใช้พีซีคอมพิวเตอร์โดยส่วนใหญ่มีผลิตภัณฑ์ป้องกันไวรัสอย่างน้อย 1 ตัว ติดตั้งอยู่ในเครื่องและได้มีการอัพเดทถึงสายพันธุ์ต่างๆ เอาไว้ เพื่อควบคุมไวรัสตัวนี้ไว้ได้
2. ผู้ใช้ต่างได้เรียนรู้ในการเฝ้าระวังสิทธิ์ในการเข้าใช้งานไฟล์ที่แชร์ไว้
3. ระบบปฏิบัติการพื้นฐานในปัจจุบัน ได้มีการปรับแต่งเอาไว้ ว่าจะไม่มีการแชร์ไฟล์โดยที่จะสามารถเข้าถึงไฟล์ได้อย่างสมบูรณ์
คำถามก็คืออันไหนที่เป็นไปได้จากข้างต้นว่าเป็นความจริงหรือความเพ้อฝัน ตามประสบการณ์แล้วเป็นเรื่องของการคาดเดา ซึ่งตามความเป็นจริงแล้ว ความสามารถในการจดจำวิธีการทางด้านวิศวกรรมทางสังคม (social engineering) และระดับของมุมมองของผู้ใช้ในระบบการรักษาความปลอดภัย ที่หลีกเลี่ยงการติดเชื้อมีความจำเป็นมาก
จากสถิติของการแพร่กระจายของซอฟต์แวร์ภัยร้ายเหล่านี้ ในไตรมาสนี้ (จากตารางที่ 5) ส่วนใหญ่ใช้โทรจันที่เป็นแบคดอร์ถึงแม้ว่าเป็นลำดับที่สองของการรายงาน จากจำนวนทั้งหมดของรายงานไวรัสที่เข้ามา พบว่ามีการลดลงทีละน้อย สิ่งที่ปรากฏขึ้นมา ให้เห็นอย่างชัดเจนก็คือ ภัยร้ายคุกคามต่างๆ ไม่ได้ขึ้นอยู่กับโทรจันในการแพร่กระจาย แต่แทนที่ด้วย Spyware และ Adware ที่เป็นพื้นที่สีเทา ซึ่งทำให้เกิดผลิตภัณฑ์สำหรับต่อต้านสปายแวร์มากขึ้นในท้องตลาด และทำให้บางบริษัทมีการตรวจจับสปายแวร์ รวมทั้งการลบมันออกไป ซึ่งผลลัพธ์ก็คือเป็นการต่อต้านการแพร่ระบาดอย่างเข้มแข็งขึ้น
เช่นเดียวกับซอฟต์แวร์ที่เป็นภัยร้ายประเภทมาโคร หรือว่าสคริปต์ ที่มีแนวโน้มการแพร่ระบาดลดลง จากการพัฒนาระบบการตรวจจับโดยทั่วๆ ไปที่ค้นหาและพบเจอได้ในพื้นที่แห่งนี้ ไวรัสประเภทบูต, ไวรัสเก่า และที่ไม่ได้ติดกับระบบปฏิบัติการยอดนิยม ต่างลดลง โดยเฉพาะบูตไวรัสที่จะเกิดขึ้นเมื่อมีการใช้งานมีเดียแบบเก่าๆ (ยกตัวอย่างเช่น ฟลอปปี้ดิสก์) ซึ่งจะมีการใช้งานก็ต่อเมื่อมีใช้งานเพื่อสำรองข้อมูลนั่นเอง
การบล็อกไฟล์ชนิดต่างๆ ที่ทำเป็นประจำสามารถทำงานได้ด้วยตัวเองจากการแนบมาพร้อมกับอีเมล์ ได้ถูกนำมาใช้ในการสกัดกั้น แต่ภัยคุกคามต่างๆ นั้นยังคงเข้าทะลวงถึงข้างในองค์กรได้อยู่ ซึ่งสิ่งที่ทำให้ยากแก่การค้นหาก็คือการเพิ่มการบีบอัด ทำให้ไม่สามารถสแกนค้นหาไวรัสได้ ผู้ใช้ในองค์กรต่างมีจุดอ่อนที่อยู่ในระบบเน็ตเวิร์ก ซึ่งต้องการการอัพเดทและให้ความรู้แก่ผู้ใช้ในทิศทางและแนวโน้มของไวรัสอยู่ตลอดเวลา ซึ่งช่วยลดความยุ่งยากที่จะเกิดขึ้นหากมีภัยคุกคามบางตัวมาถึง ซึ่งได้พิสูจน์ในกรณีของไวรัสที่ชื่อว่า WORM_BAGLE ที่ใช้เทคนิคแบบเก่าๆ เช่นการใช้รหัสผ่านในการป้องกันไฟล์ที่แนบมา พร้อมกับให้พาสเวิร์ดมากับข้อความบางส่วนด้วย โดยส่วนใหญ่จะอยู่ในรูปแบบของกราฟิกไฟล์ ที่ต้องการให้ผู้ใช้ทำการแตกไฟล์ที่มีภัยร้ายอยู่นั้นออกมาด้วยตัวเอง พร้อมกับเรียกการทำงานของมันขึ้นมา (ภาพที่ 6)
หนอนที่เป็นสแปมเหล่านี้ ล้วนแล้วแต่สามารถสร้างอีเมล์ขึ้นมาได้ พร้อมกับสร้างความปั่นป่วนให้กับระบบการจราจรของเน็ตเวิร์ก ซึ่งเทรนด์แล็ปกำลังค้นคว้าวิจัยหาหนทางของการกระจายตัวเองของภัยคุกคามเหล่านี้ ทั้งในลักษณะของภัยร้าย และโปรแกรม Backdoor ที่มีการติดตั้งอยู่ในเครื่อง ซึ่งจากการค้นหาความจริงที่เพิ่มเข้ามาก็เป็นส่วนที่สามารถอธิบายได้ถึงรายงานต่อไปนี้จากเวลาเฉลี่ยดังกราฟ (ในภาพที่ 7) แสดงให้เห็นถึงจำนวนการกลั่นกรองการแพร่กระจายของสแปมแต่ละประเภท ซึ่งมาจากการเฝ้ามองของเทรนด์แล็ป การจับตาดูสแปม และจากลูกค้าที่เข้ามาใช้งาน
การแสดงกราฟเฉพาะ 5 ส่วนหลักๆ ได้แก่ commercial, financial, health, pornography และ religion ส่วนประเภทที่ไม่ได้คัดเลือกจะจัดอยู่ในกลุ่มของอื่นๆ ดูจากตารางแสดงให้เห็นว่าในส่วนของ commercial และ financial จัดอยู่ในอีเมล์ที่ไม่ต้องการไปยังเมล์บ็อกของผู้ใช้ โดยบางส่วนของสแปมประเภท commercial และ financial จะมีส่วนที่เกี่ยวข้องกัน ทำให้เกิดความวิตกเพิ่มขึ้น และทำให้เกิดธุรกิจนอกกฏหมายขึ้นมาได้ นั่นเป็นเพราะว่าในช่วงของปลายปีที่แล้วภัยร้ายต่างๆ จะมีการหยิบยืมเทคนิคของสแปมเข้ามาใช้งาน ทำให้เกิดอาชญากรรมขึ้นในองค์กร โดยคอนเซ็ปต์ที่เห็นได้ชัดเจนของสแปมก็คือการขโมยข้อมูลส่วนตัวของผู้ใช้งาน สำหรับสแปมที่เป็นเรื่องลามกกำลังเป็นสิ่งที่น่าสนใจอย่างมาก ขณะนี้สแปมด้านศาสนา (religion) ยังคงมีอยู่เหลือเพียงเล็กน้อยเท่านั้น
เทรนด์ ไมโครได้สรุปสิ่งที่เกิดขึ้นในไตรมาสแรกของปี 2004 ด้วยการสังเกตและมีข้อแนะนำดังต่อไปนี้
1. มีการใช้วิธีโจมตีหลายแบบ และมีการผสานชนิดต่างๆ ของภัยร้ายเข้าด้วยกัน ซึ่งผลลัพธ์ก็คือช่วงชีวิตของไวรัสเพิ่มขึ้น และมีชนิดของซอฟต์แวร์ร้ายแพร่กระจายมากที่สุดในปีนี้
2. การเผยแพร่ซอร์สโค้ดของไวรัสหลายชนิดไปในโลกมืดของอินเทอร์เน็ต ทำให้เกิดการรวมของวิธีการแพร่ะกระจายที่มีประสิทธิภาพสูงสุดของไวรัสที่ต่างชนิดกัน ทำให้เกิดการติดเชื้อมากขึ้น ส่งผลให้ผลิตภัณฑ์ต้องมีความสามารถในการค้นหาซึ่งเป็นส่วนหนึ่งของกลยุทธ์ในการป้องกัน และอาวุธในการต่อสู้
3. นักพัฒนาไวรัสและแฮกเกอร์มักใช้จุดอ่อนและบักที่เกิดขึ้นในซอฟต์แวร์เป็นประโยชน์ และอาจเป็นเหมือนกับเทพนิยายประวัติศาสตร์ Achilles-heel ในกลยุทธ์การป้องกัน และแสดงให้ว่า ซอฟต์แวร์ภัยร้ายสามารถข้ามผ่านแนวป้องกันที่มีอยู่ในปัจจุบัน
4. สปายแวร์และ adware ต่างก็เป็นภัยที่คุกคามความเป็นส่วนตัวของคุณ ซึ่งต้องใช้ผลิตภัณฑ์ที่มีความสามารถด้านการตรวจจับ และล้างออกไปจากองค์กร
5. Backdoor สามารถสร้างเส้นทางสำหรับไวรัสใหม่ๆ เพื่อเข้ามาติดเชื้อในระบบได้ และทำให้ผู้ใช้ต้องแพตช์ระบบด้วยการใช้ไฟร์วอลล์ส่วนบุคคล และส่วนขององค์กร และใช้ทั้งซอฟต์แวร์ป้องกันไวรัส รวมถึงทั้งบริการด้วย
6. ผู้ใช้ควรระวังเมื่อได้รับอีเมล์ที่มาจากทางสถาบันการเงิน ซึ่งทางที่ดีที่สุดคุณควรจะติดต่อกับทางธนาคาร โดยทางโทรศัพท์ หากว่าคุณกังวลในเรื่องดังกล่าว
7. กลวิธีที่ออกมารูปแบบของการให้บริการฟรี และบริการจัดส่งสำหรับแพตช์ซอฟต์แวร์ป้องกันไวรัส ซึ่งเหมือนเป็นเมล์ที่มาจากผู้ให้บริการด้านการป้องกันไวรัสโดยเฉพาะ สามารถใช้กับผู้ใช้ที่ไม่มีความรู้ เพราะไม่มีผู้ให้บริการรายใดในปัจจุบันส่งแพตช์ขนาดเป็นเมกะไบต์มาทางอีเมล์ ซึ่งให้แน่ใจไว้ก่อนเลยว่านั่นเป็นอีเมล์ที่มีการติดเชื้อไวรัสส่งเข้ามา
8. การให้ความรู้และข้อมูลแก่ผู้ใช้ในองค์กร ขนาดใหญ่ อาจจะไม่ใช่วิธีการที่เหมาะสมที่สุด ซึ่งทางที่ดีควรจะออกกฏบังคับเพื่อให้มีการใช้งานซอฟต์แวร์ที่ง่ายต่อการจัดการ และแบ่งแยกระบบเน็ตเวิร์กออกเป็นส่วนๆ เพื่อจำกัดความเสียหายที่จะเกิดขึ้น และช่วยบรรเทาความเสียหายเหล่านั้นได้
9. ในโลกของไวรัสและโทรจันนั้น เป็นเรื่องราวที่ยังคงไม่ชัดจน ส่วนรสแปมเมอร์สามารถใช้ภัยคุกคามเหล่านี้สร้างอีเมล์ที่ไม่มีวันตายในเครือข่าย ทำให้องค์กรต้องมีการเพิ่มความระมัดระวังสำหรับความเป็นส่วนตัวและการรักษาความปลอดภัยขึ้นมา
10. องค์กรต้องตรวจสอบนโยบายการใช้งานและความสามารถของผู้ดูแลระบบเครือข่ายที่สามารถดูแล help-desk ที่เกี่ยวข้องกับซอฟต์แวร์ที่เป็นภัยร้าย และความสามารถในการอัพเดทความรู้ทางด้านการรักษาความปลอดภัยที่ภัยคุกคามนับวันต่างมีการรวมเข้าด้วยกันมากขึ้น
สอบถามรายละเอียดเพิ่มเติม กรุณาติดต่อ:
คุณศรีสุพัฒ เสียงเย็น ที่ปรึกษาประชาสัมพันธ์
บริษัท คอร์ แอนด์ พีค จำกัด โทร. 0-2439- 4600 ต่อ 8300
อีเมล์ srisuput@corepeak.com--จบ--
--อินโฟเควสท์ (นท)--