Thaimisc.com : ล้อมคอกก่อนวัวหายกันดีกว่า (2)
ThaiMisc.Com : Free Webboard | Free GuestBook | Free Poll | Free Ecard Server | Free Java Chat Room | Advertising | Contact Us | Colocation | Web Hosting | เปิดร้านค้าฟรี


Category : Sortware Corner Print Article Only Print Aticle With Comment
ล้อมคอกก่อนวัวหายกันดีกว่า (2)
เขียนโดย เดอะกาฝากไดอารี่ (ball@bbznet.com) , 13-05-2004

หนอนวายร้ายตัวใหม่กำลังระบาดครับ ช่วงนี้ป้องกันตัวเองเอาไว้หน่อยก็เป็นดี เพื่อนๆ น้องๆ ผมหลายคนโดนไปตามๆ กันเยอะแล้ว... แม้จะมีข่าวว่า ตำรวจเยอรมนีสามารถจับกุมผู้ต้องสงสัยที่คาดว่าจะเป็นตัวการ ในการแพร่กระจายเจ้าหนอน W32.Sasser.Worm ได้แล้ว แต่ก็ไม่ได้หมายความว่าเราจะปลอดภัยจากหนอนร้ายตัวนี้นะครับ มันไม่เกี่ยวกัน


อีกประการหนึ่งก็คือ... เราไม่ได้กำลังเผชิญอยู่กับเจ้า W32.Sasser.Worm เพียงแค่ตัวเดียวซะที่ไหนล่ะ (เฉพาะเจ้า Sasser นี่ ตอนนี้มันก็มี variant หรือสายพันธุ์ถึง F แล้วนะครับ)

"รู้เขารู้เรา รบร้อยครั้ง ชนะร้อยครั้ง" คำยอดฮิตที่เอามาจากตำราพิชัยสงครามของซุนวู ก็ยังคงนำมาประยุกต์ใช้ได้กับการป้องกันตนเอง จากบรรดาไวรัส หนอนร้าย และโปรแกรมอันไม่ประสงค์ดีต่างๆ ที่แพร่กระจายอยู่ในปัจจุบันนี้... พูดง่ายๆ ก็คือ หากเราศึกษาอย่างถ่องแท้ ว่าเจ้าผู้ไม่ประสงค์ดีเหล่านี้ มันจู่โจมเข้ามาในเครื่องคอมพิวเตอร์เราได้อย่างไร มันมีความสามารถในการแพร่กระจายบนระบบเครือข่าย หรือบนเครื่องคอมพิวเตอร์ได้อย่างไร และทางใดบ้าง เราก็สามารถที่จะป้องกันมันได้อย่างไม่ยากเย็นนัก

กลยุทธ์การจู่โจม
มองผิวเผิน เราจะรู้สึกเหมือนกับว่า เจ้าไวรัส, หนอนร้าย, โทรจัน และโปรแกรมอันไม่ประสงค์ดี ต่างๆ จะมีวิธีการในการจู่โจมเครื่องคอมพิวเตอร์ของเราหลากหลายทางมากๆ แต่ในความเป็นจริงแล้ว หากเรามาจัดหมวดหมู่ดีๆ จะพบว่ารูปแบบการจู่โจมนั้น มีเพียงไม่กี่แบบเท่านั้นเองครับ ที่แตกต่างกันจะเป็นเรื่องของทางเทคนิคเสียมากกว่า... ซึ่งจากที่ผมเคยพบเคยเห็นมา ก็พอจะแบ่งหมวดหมู่ได้ดังนี้

1. จู่โจมผ่านการเรียกไฟล์โดยตรง
อันนี้ถือเป็นวิธีการคลาสสิคครับ โดยมากจะเป็นพวกไวรัสซะมากกว่าที่จะอยู่ในรูปแบบนี้... วิธีการนี้ก็ประมาณ เดินหน้าฆ่าลูกเดียว ไวรัสติดอยู่กับไฟล์ ใครเรียกใช้งานไฟล์นี้ ก็ติดไวรัสไปด้วย ประมาณนี้เลย ปัจจุบันนี้ไม่ค่อยสัมฤทธิ์ผลเท่าไหร่แล้ว เพราะว่าโปรแกรมป้องกันไวรัสปัจจุบัน มีความสามารถในการตรวจจับไวรัสได้แบบ real time เลยสามารถป้องกันไวรัสที่โจมตีในรูปแบบนี้ได้แถบจะชะงัดไปทีเดียว

2. จู่โจมโดยอาศัยเทคนิคหลอกลวง
อันนี้ถือเป็นการพัฒนาขึ้นมาอีกขั้นครับ รูปแบบการจู่โจมนี้เกิดขึ้น เมื่อผู้ใช้งานคอมพิวเตอร์เริ่มฉลาดขึ้นครับ ไม่ยอมรันไฟล์อะไรที่แปลกประหลาดง่ายๆ พวกนักพัฒนาโปรแกรมโฉดๆ พวกนี้เขาก็จะอาศัยเทคนิคพื้นๆ ในการหลอกให้คนเปิดเรียกไฟล์เหล่านี้ขึ้นมา ยกตัวอย่างก็การตั้งชื่อไฟล์ให้มีนามสกุลซ้อนกัน เช่น important.doc.bat เป็นต้น... วิธีการอย่างการตั้งชื่อไฟล์ให้มีนามสกุลซ้อน จะได้ผลอย่างมาก กับเครื่องคอมพิวเตอร์ที่มีการติดตั้งระบบปฏิบัติการ Windows แบบอิงค่า default เป็นหลักครับ เพราะค่า default ของ Windows นั้น จะมีอยู่ค่าหนึ่งที่เรียกว่า Hide file extensions for known file type ซึ่งจะทำให้ Windows ทำการซ่อนนามสกุลของไฟล์ ในกรณีที่ Windows รู้จักนามสกุลของไฟล์นั้น ว่าจะต้องใช้โปรแกรมไหนในการเปิด ผลก็คือ เวลาที่คนอ่านเจอ ก็จะเห็นเป็นแค่ชื่อ important.doc เฉยๆ ก็จะมองนึกว่าเป็นไฟล์เอกสารทั่วๆ ไป และมีชื่อว่า important แสดงว่าน่าจะสำคัญ ก็จะเปิดขึ้นมา ที่ไหนได้ กลายเป็นรัน batch ไฟล์ที่อาจจะทำหน้าที่ในการก็อปปี้ไวรัสเข้าเครื่องไปเป็นที่เรียบร้อย

การจู่โจมโดยอาศัยเทคนิคหลอกลวงอีกแบบนึงเราเรียกว่า hoax ครับ เป็นการจู่โจมแบบ ยืมดาบฆ่าคน ซะมากกว่า คือจะปล่อยข่าวมาแบบน่าเชื่อถือมาก ว่ามีไวรัส หรือหนอนร้ายชนิดใหม่ ถูกค้นพบ หากเจอไฟล์ดังต่อไปนี้อยู่ในเครื่องคอมพิวเตอร์ (จะบอกวิธีการค้นหามาให้ โดยมากมักจะเป็นไฟล์ชื่อประหลาดๆ มีไอคอนประจำตัวแปลกๆ) ก็แสดงว่าติดเป็นที่เรียบร้อย ให้ทำการลบทิ้งไป อะไรทำนองนี้ แต่ปรากฏว่าที่ลบไปน่ะ เป็นไฟล์สำคัญของระบบ เป็นต้น ผลก็คือ คนที่หลงเชื่อ ก็จะทำการสร้างความเสียหายให้กับเครื่องคอมพิวเตอร์ของตัวเอง ด้วยมือของตัวเอง เหอๆ

3. จู่โจมโดยอาศัยช่องโหว่ของซอฟต์แวร์
ซอฟต์แวร์ที่เราใช้งานแต่ละตัว ถูกพัฒนาโดยทีมพัฒนาหลายคน มีโค้ดเป็นพันๆ หมื่นๆ แสนๆ หรือเผลอๆ เป็นล้าน หรือหลายล้านบรรทัดทีเดียว ดังนั้นจะไม่แปลกอะไร หากซอฟต์แวร์เหล่านี้จะต้องมีข้อบกพร่อง ข้อผิดพลาดอยู่บ้าง ปัญหาก็คือ บางครั้งข้อผิดพลาดดังกล่าว ก็จะเป็นช่องทางอันดี ที่จะนำมาซึ่งการถูกจู่โจม โดยโปรแกรมไม่ปรารถนาดีเหล่านี้น่ะสิครับ ยกตัวอย่างเช่น

  • อีเมล์ไวรัส ใช้ช่องโหว่ในตัวโปรแกรมรับส่งอีเมล์อย่าง Microsoft Outlook หรือ Microsoft Outlook Express ทำให้ไวรัสสามารถถูกเรียกรันได้ เพียงแค่ทำการ preview ดูเนื้อหาในจดหมาย
  • หนอนอินเตอร์เน็ต อาศัยช่องโหว่ในตัวระบบปฏิบัติการ ในการแพร่กระจายตัวมันเองไปยังเครื่องคอมพิวเตอร์เครื่องอื่นๆ บนระบบเครือข่าย

วิธีการที่ 3 นี่น่ากลัวสุดครับ เพราะมันเปรียบได้กับการลอบสังหารเครื่องคอมพิวเตอร์ของเราทีเดียว ซึ่งหากเราวางแนวป้องกันไว้เป็นอย่างดี ก็จะสามารถป้องกันการจู่โจมด้วยวิธีนี้อย่างได้ผล แต่หากเราไม่วางแนวป้องกันเอาไว้อย่างดีแล้ว การจู่โจมด้วยวิธีนี้จะได้ผลถึง 100% เลยทีเดียว

หากจะนับๆ ไปแล้ว การจู่โจมด้วยวิธีที่ 2 และ 3 นั้นจะพบมากที่สุดครับ เพราะว่าประสบผลสำเร็จมากกว่า และสามารถหลีกเลี่ยงพวกโปรแกรมป้องกันไวรัสได้ดีกว่า

(ติดตามตอนต่อไป)

<- Back | Next ->

ThaiMisc.Com : Free Webboard | Free GuestBook | Free Poll | Free Ecard Server | Free Java Chat Room | Advertising | Contact Us
Copyright 1999-2006 Thailand Miscellaneous. Allrights reserved. webmaster@thaimisc.com