ไวรัส โปรแกรมแอนตี้ไวรัส ภัยคุกคามและแนวโน้มด้านไอทีปี 2553
บทนำ
ณ ปัจจุบัน นวัตกรรมด้านเทคโนโลยีต่างก็มีการพัฒนาแบบก้าวกระโดด ไม่ว่าจะเป็น ด้านฮาร์ดแวร์ ซอฟต์แวร์ หรือ ด้านการสื่อสารต่างๆ ทำให้อุปกรณ์เหล่านั้นเป็น Common ไปแล้วกอปรกับมีราคาถูกและช่วยเพิ่มความสะดวกสบายให้แก่ผู้ใช้ในยุคสมัยนี้เป็นอย่างมาก แต่ก็มีเบื้องหลังหรือด้านมืดของเทคโนโลยีเหล่านั้นด้วยเหมือนกัน ซึ่งไม่พ้นพวกภัยคุกคามต่างๆ เช่น ไวรัส, แฮกเกอร์ ฯลฯ ทำให้ผู้ใช้ส่วนใหญ่ได้รับความเดือดร้อน จึงต้องมีระบบรักษาความปลอดภัยที่ดีและมีข่าวสารต่างๆ ที่คอยเตือนให้ผู้ใช้ระมัดระวังภัยคุกคามที่เกิดขึ้นในปัจจุบันและอนาคต และยังคาดว่าภัยคุกคามเหล่านี้ก็จะมีการพัฒนาเรื่อยๆ เหมือนกับเทคโนโลยีต่างๆ ไปอีกนานแค่ไหนนั้นก็ขึ้นอยู่กับผู้ใช้และระบบรักษาความปลอดภัยว่าสิ่งไหนจะเหนือกว่านั่นเอง
ณ ปัจจุบัน นวัตกรรมด้านเทคโนโลยีต่างก็มีการพัฒนาแบบก้าวกระโดด ไม่ว่าจะเป็น ด้านฮาร์ดแวร์ ซอฟต์แวร์ หรือ ด้านการสื่อสารต่างๆ ทำให้อุปกรณ์เหล่านั้นเป็น Common ไปแล้วกอปรกับมีราคาถูกและช่วยเพิ่มความสะดวกสบายให้แก่ผู้ใช้ในยุคสมัยนี้เป็นอย่างมาก แต่ก็มีเบื้องหลังหรือด้านมืดของเทคโนโลยีเหล่านั้นด้วยเหมือนกัน ซึ่งไม่พ้นพวกภัยคุกคามต่างๆ เช่น ไวรัส, แฮกเกอร์ ฯลฯ ทำให้ผู้ใช้ส่วนใหญ่ได้รับความเดือดร้อน จึงต้องมีระบบรักษาความปลอดภัยที่ดีและมีข่าวสารต่างๆ ที่คอยเตือนให้ผู้ใช้ระมัดระวังภัยคุกคามที่เกิดขึ้นในปัจจุบันและอนาคต และยังคาดว่าภัยคุกคามเหล่านี้ก็จะมีการพัฒนาเรื่อยๆ เหมือนกับเทคโนโลยีต่างๆ ไปอีกนานแค่ไหนนั้นก็ขึ้นอยู่กับผู้ใช้และระบบรักษาความปลอดภัยว่าสิ่งไหนจะเหนือกว่านั่นเอง
ประวัติความเป็นมาของไวรัสคอมพิวเตอร์
ในปี พ.ศ. 2492 John Von Neumann ได้เขียนทฤษฎีเกี่ยวกับโปรแกรมคอมพิวเตอร์ที่สามารถสร้างตัวเองได้ ชื่อ “Theory and Organization of Complicated Automata” ต่อมาปี พ.ศ.2524 Richard Skrenta ได้พัฒนาไวรัสบนเครื่องไมโครคอมพิวเตอร์ตัวแรก ชื่อ “Elk Cloner” หลังจากนั้นปี พ.ศ.2525 Joe Deliinger พัฒนาไวรัสบนเครื่อง Apple II ชื่อ Apple และได้พัฒนาโปรแกรมกำจัดไวรัสชนิดนี้ไว้ด้วย ในปี พ.ศ.2526 ดร.เฟรดเดอริก โคเฮน นักวิจัยของมหาวิทยาลัยเพนซิลวาเนีย สหรัฐอเมริกา ได้ทำการศึกษาโปรแกรมที่สามารถสำเนาตัวเองและเสนอทฤษฎีชื่อ “Computer Virus”-Theory and Experiments” รวมถึงคำนิยามความหมายของคำว่าไวรัสคอมพิวเตอร์ แต่ไวรัสที่แพร่ระบาดและสร้างความเสียหายให้กับเครื่องคอมพิวเตอร์ตามที่มีการบันทึกไว้ครั้งแรกเมื่อปี พ.ศ. 2529 ด้วยผลงานของไวรัสที่ชื่อ "เบรน (Brain)" ซึ่งเขียนขึ้นโดยโปรแกรมเมอร์สองพี่น้องชาวปากีสถาน ชื่อ อัมจาด (Amjad) และ เบซิท (Basit) เพื่อป้องกันการคัดลอกทำสำเนาโปรแกรมของพวกเขาโดยไม่จ่ายเงิน
ไวรัสคอมพิวเตอร์ในยุคแรกๆ จะระบาดโดยการสำเนาซอฟท์แวร์เถื่อนหรือซอฟท์แวร์ละเมิดลิขสิทธิ์ที่มีโปรแกรมไวรัสคอมพิวเตอร์ติดอยู่ ด้วยการใช้แผ่น FLOPPY DISK หรือซีดีรอม แต่ในปัจจุบันเนื่องจากการเติบโตของเครือข่ายคอมพิวเตอร์ทำให้ไวรัสยุคหลังๆ มีความสามารถในการทำสำเนาคัดลอกและแพร่กระจายตัวเองได้มากขึ้น รวมทั้งมีความรุนแรงมากกว่าเดิมในปัจจุบันนี้พบว่ามีมากกว่า 40,000 ชนิด และยังเกิดเพิ่มขึ้นอีกอยู่ทุกๆ วัน อย่างน้อยวันละ 4-6 ตัว
ในปี พ.ศ. 2492 John Von Neumann ได้เขียนทฤษฎีเกี่ยวกับโปรแกรมคอมพิวเตอร์ที่สามารถสร้างตัวเองได้ ชื่อ “Theory and Organization of Complicated Automata” ต่อมาปี พ.ศ.2524 Richard Skrenta ได้พัฒนาไวรัสบนเครื่องไมโครคอมพิวเตอร์ตัวแรก ชื่อ “Elk Cloner” หลังจากนั้นปี พ.ศ.2525 Joe Deliinger พัฒนาไวรัสบนเครื่อง Apple II ชื่อ Apple และได้พัฒนาโปรแกรมกำจัดไวรัสชนิดนี้ไว้ด้วย ในปี พ.ศ.2526 ดร.เฟรดเดอริก โคเฮน นักวิจัยของมหาวิทยาลัยเพนซิลวาเนีย สหรัฐอเมริกา ได้ทำการศึกษาโปรแกรมที่สามารถสำเนาตัวเองและเสนอทฤษฎีชื่อ “Computer Virus”-Theory and Experiments” รวมถึงคำนิยามความหมายของคำว่าไวรัสคอมพิวเตอร์ แต่ไวรัสที่แพร่ระบาดและสร้างความเสียหายให้กับเครื่องคอมพิวเตอร์ตามที่มีการบันทึกไว้ครั้งแรกเมื่อปี พ.ศ. 2529 ด้วยผลงานของไวรัสที่ชื่อ "เบรน (Brain)" ซึ่งเขียนขึ้นโดยโปรแกรมเมอร์สองพี่น้องชาวปากีสถาน ชื่อ อัมจาด (Amjad) และ เบซิท (Basit) เพื่อป้องกันการคัดลอกทำสำเนาโปรแกรมของพวกเขาโดยไม่จ่ายเงิน
ไวรัสคอมพิวเตอร์ในยุคแรกๆ จะระบาดโดยการสำเนาซอฟท์แวร์เถื่อนหรือซอฟท์แวร์ละเมิดลิขสิทธิ์ที่มีโปรแกรมไวรัสคอมพิวเตอร์ติดอยู่ ด้วยการใช้แผ่น FLOPPY DISK หรือซีดีรอม แต่ในปัจจุบันเนื่องจากการเติบโตของเครือข่ายคอมพิวเตอร์ทำให้ไวรัสยุคหลังๆ มีความสามารถในการทำสำเนาคัดลอกและแพร่กระจายตัวเองได้มากขึ้น รวมทั้งมีความรุนแรงมากกว่าเดิมในปัจจุบันนี้พบว่ามีมากกว่า 40,000 ชนิด และยังเกิดเพิ่มขึ้นอีกอยู่ทุกๆ วัน อย่างน้อยวันละ 4-6 ตัว
ไวรัสคอมพิวเตอร์คืออะไร
ไวรัสคอมพิวเตอร์ คือโปรแกรมชนิดหนึ่งที่มีความสามารถในการสำเนาตัวเองเข้าไปติดอยู่ในระบบคอมพิวเตอร์ได้และถ้ามีโอกาสก็สามารถแทรกเข้าไประบาดในระบบคอมพิวเตอร์อื่น ๆ ซึ่งอาจเกิดจากการนำเอาดิสก์ที่ติดไวรัสจากเครื่องหนึ่งไปใช้อีกเครื่องหนึ่ง หรืออาจผ่านระบบเครือข่ายหรือระบบสื่อสารข้อมูลไวรัสก็อาจแพร่ระบาดได้เช่นกัน
การที่คอมพิวเตอร์ใดติดไวรัส หมายถึงว่าไวรัสได้เข้าไปผังตัวอยู่ในหน่วยความจำคอมพิวเตอร์ เรียบร้อยแล้ว เนื่องจากไวรัสก็เป็นแค่โปรแกรมๆ หนึ่งการที่ไวรัสจะเข้าไปอยู่ในหน่วยความจำได้นั้นจะต้องมีการถูกเรียกให้ทำงานได้นั้นยังขึ้นอยู่กับประเภทของไวรัสแต่ละตัวปกติผู้ใช้มักจะไม่รู้ตัวว่าได้ทำการปลุกคอมพิวเตอร์ไวรัสขึ้นมาทำงานแล้ว
จุดประสงค์ของการทำงานของไวรัสแต่ละตัวขึ้นอยู่กับตัวผู้เขียนโปรแกรมไวรัสนั้น เช่น อาจสร้างไวรัสให้ไปทำลายโปรแกรมหรือข้อมูลอื่นๆ ที่อยู่ในเครื่องคอมพิวเตอร์ หรือแสดงข้อความวิ่งไปมาบน หน้าจอ เป็นต้น
ชื่อของไวรัสที่เห็นทั่วไปนั้นมีความหมายว่าอย่างไร ทำไมบริษัทที่พัฒนาโปรแกรมป้องกันไวรัสจึงตั้งชื่อแตกต่างกันไป ทั้งๆ ที่ไวรัสที่ค้นพบนั้นเป็นตัวเดียวกัน อย่างไรก็ตามแม้ว่าชื่อจะเขียนไม่เหมือนกันทุกตัวอักษร แต่ความหมายที่แปลได้จากชื่อนั้นเหมือนกัน ตัวอย่างเช่น W32.Klez.h@mm W32/Klez.h@MM WORM_KLEZ.H I-Worm.Klez.h เป็นต้น บทความนี้จะอธิบายถึงส่วนต่างๆ ของชื่อไวรัส เพื่อทำให้ผู้อ่านสามารถจำแนกแยกแยะประเภทของไวรัสจากชื่อของไวรัส ความสามารถเด่นๆ ตลอดจนวิธีการแพร่กระจายตัวของไวรัสได้
ไวรัสคอมพิวเตอร์ คือโปรแกรมชนิดหนึ่งที่มีความสามารถในการสำเนาตัวเองเข้าไปติดอยู่ในระบบคอมพิวเตอร์ได้และถ้ามีโอกาสก็สามารถแทรกเข้าไประบาดในระบบคอมพิวเตอร์อื่น ๆ ซึ่งอาจเกิดจากการนำเอาดิสก์ที่ติดไวรัสจากเครื่องหนึ่งไปใช้อีกเครื่องหนึ่ง หรืออาจผ่านระบบเครือข่ายหรือระบบสื่อสารข้อมูลไวรัสก็อาจแพร่ระบาดได้เช่นกัน
การที่คอมพิวเตอร์ใดติดไวรัส หมายถึงว่าไวรัสได้เข้าไปผังตัวอยู่ในหน่วยความจำคอมพิวเตอร์ เรียบร้อยแล้ว เนื่องจากไวรัสก็เป็นแค่โปรแกรมๆ หนึ่งการที่ไวรัสจะเข้าไปอยู่ในหน่วยความจำได้นั้นจะต้องมีการถูกเรียกให้ทำงานได้นั้นยังขึ้นอยู่กับประเภทของไวรัสแต่ละตัวปกติผู้ใช้มักจะไม่รู้ตัวว่าได้ทำการปลุกคอมพิวเตอร์ไวรัสขึ้นมาทำงานแล้ว
จุดประสงค์ของการทำงานของไวรัสแต่ละตัวขึ้นอยู่กับตัวผู้เขียนโปรแกรมไวรัสนั้น เช่น อาจสร้างไวรัสให้ไปทำลายโปรแกรมหรือข้อมูลอื่นๆ ที่อยู่ในเครื่องคอมพิวเตอร์ หรือแสดงข้อความวิ่งไปมาบน หน้าจอ เป็นต้น
ชื่อของไวรัสที่เห็นทั่วไปนั้นมีความหมายว่าอย่างไร ทำไมบริษัทที่พัฒนาโปรแกรมป้องกันไวรัสจึงตั้งชื่อแตกต่างกันไป ทั้งๆ ที่ไวรัสที่ค้นพบนั้นเป็นตัวเดียวกัน อย่างไรก็ตามแม้ว่าชื่อจะเขียนไม่เหมือนกันทุกตัวอักษร แต่ความหมายที่แปลได้จากชื่อนั้นเหมือนกัน ตัวอย่างเช่น W32.Klez.h@mm W32/Klez.h@MM WORM_KLEZ.H I-Worm.Klez.h เป็นต้น บทความนี้จะอธิบายถึงส่วนต่างๆ ของชื่อไวรัส เพื่อทำให้ผู้อ่านสามารถจำแนกแยกแยะประเภทของไวรัสจากชื่อของไวรัส ความสามารถเด่นๆ ตลอดจนวิธีการแพร่กระจายตัวของไวรัสได้
ส่วนประกอบของชื่อไวรัสนั้นแบ่งได้เป็นส่วนๆ ดังนี้
1. ส่วนแรกแสดงชื่อตระกูลของไวรัส (Family_Names) ส่วนใหญ่จะตั้งตามชนิดของปัญหาที่ไวรัสก่อขึ้น หรือภาษาที่ใช้ในการพัฒนา เช่น เป็นม้าโทรจัน ถูกพัฒนาด้วย Visual Basic scripts หรือเป็นไวรัสที่รันบนระบบปฏิบัติการวินโดวส์ 32 บิต เป็นต้น ซึ่งชื่อของตระกูลของไวรัสที่ค้นพบในปัจจุบันดังตาราง
2. ส่วนชื่อของไวรัส (Group_Name) เป็นชื่อดั้งเดิมที่ผู้เขียนไวรัสเป็นคนตั้ง โดยปกติจะถูกแทรกไว้อยู่ในโค้ดของไวรัส และในส่วนนี้เองจะเอามาเรียกชื่อไวรัสเปรียบเสมือนเรียกชื่อเล่น ตัวอย่างเช่น ชื่อของไวรัสคือ W32.Klez.h@mm และจะถูกเรียกว่า Klez.h เพื่อให้สั้นและกระชับขึ้น
3. ส่วนของ Variant รายละเอียดส่วนนี้จะบอกว่าสายพันธุ์ของไวรัสชนิดนั้นๆ มีการปรับปรุงสายพันธุ์จนมีความสามารถต่างจากสายพันธุ์เดิมที่มีอยู่ variant มี 2 ลักษณะคือ
- Major_Variants จะตามหลังส่วนชื่อของไวรัส เพื่อบ่งบอกว่ามีความแตกต่างกันอย่างชัดเจน เช่นหนอนชื่อ VBS.LoveLetter.A (A เป็น Major_Variant) แตกต่างจาก VBS.LoveLetterอย่างชัดเจน
- Minor_Variants ใช้บ่งบอกในกรณีที่แตกต่างกันนิดหน่อย ในบางครั้ง Minor_Variant เป็นตัวเลขที่บอกขนาดไฟล์ของไวรัส ตัวอย่างเช่น W32.Funlove.4099 หนอนชนิดนี้มีขนาด 4099 KB.
4. ส่วนท้าย (Tail) เป็นส่วนที่จะบอกว่าวิธีการแพร่กระจาย ประกอบด้วย
- @M หรือ @m บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น "mailer" ที่จะส่งตัวเองผ่านทางอี-เมล์เมื่อผู้ใช้ส่งอี-เมล์เท่านั้น
- @MM หรือ @mm บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น "mass-mailer" ที่จะส่งตัวเองผ่านทุกอีเมล์แอดเดรสที่อยู่ในเมล์บอกซ์
ตัวอย่าง W32.HILLW.Lovgate.C@mm แสดงว่า
- อยู่ในตระกูลที่มีผลกระทบต่อระบบปฏิบัติการวินโดวส์ 32 บิต และถูกคอมไพล์ด้วยภาษาระดับสูง
- ชื่อของไวรัสคือ Lovgate
- ที่มี variant คือ C
- มีความสามารถในการแพร่กระจายผ่านทางอี-เมล์โดยส่งไปยังทุกอี-เมล์แอดเดรสที่อยู่ในเมล์บอกซ์
จากส่วนประกอบของชื่อไวรัสที่ได้อธิบายไว้ข้างต้น จะเห็นได้ว่าชื่อของไวรัสนั้นสามารถบอกถึงประเภทของไวรัส ชื่อดั้งเดิมของไวรัสที่ผู้เขียนไวรัสเป็นคนตั้ง สายพันธุ์ต่างๆ ของไวรัสที่ถูกพัฒนาต่อไป และวิธีการแพร่กระจายตัวของไวรัสเองด้วย
ประเภทของไวรัส
- Boot Sector Viruses หรือ Boot Infector Viruses คือไวรัสที่เก็บตัวเองอยู่ในบูตเซกเตอร์ของดิสก์ การใช้งานของบูตเซกเตอร์คือ เมื่อเครื่องคอมพิวเตอร์เริ่มทำงานขึ้นมาตอนแรก เครื่องจะเข้าไปอ่านบูตเซกเตอร์ โดยในบูตเซกเตอร์จะมีโปรแกรมเล็กๆ ไว้ใช้ในการเรียกระบบปฎิบัติการขึ้นมาทำงานอีกทีหนึ่ง บูตเซกเตอร์ไวรัสจะเข้าไปแทนที่โปรแกรมดังกล่าว และไวรัสประเภทนี้ถ้าไปติดอยู่ในฮาร์ดดิสก์ โดยทั่วไปจะเข้าไปอยู่บริเวณที่เรียกว่า Master Boot Sector หรือ Parition Table ของฮาร์ดดิสก์นั้น
ถ้าบูตเซกเตอร์ของดิสก์ใดมีไวรัสประเภทนี้ติดอยู่ทุกๆ ครั้งที่บูตเครื่องขึ้นมาโดย พยายามเรียกดอสจากดิสก์นี้ ตัวโปรแกรมไวรัสจะทำงานก่อนและจะเข้าไปฝังตัวอยู่ในหน่วยความจำเพื่อเตรียมพร้อมที่ จะทำงานตามที่ได้ถูกโปรแกรมมา แล้วตัวไวรัสจึงค่อยไปเรียกดอสให้ขึ้นมาทำงานต่อไป ทำให้เหมือนไม่มีอะไรเกิดขึ้น
- Program Viruses หรือ File Intector Viruses เป็นไวรัสอีกประเภทหนึ่งที่จะติดอยู่กับโปรแกรม ซึ่งปกติก็คือ ไฟล์ที่มีนามสกุลเป็น COM หรือ EXE และบางไวรัสสามารถเข้าไปติดอยู่ในโปรแกรมที่มีนามสกุลเป็น sys และโปรแกรมประเภท Overlay Programsได้ด้วย โปรแกรมโอเวอร์เลย์ปกติจะเป็นไฟล์ที่มีนามสกุลที่ขึ้นต้นด้วย OV วิธีการที่ไวรัสใช้เพื่อที่จะ เข้าไปติดโปรแกรมมีอยู่สองวิธี คือ การแทรกตัวเองเข้าไปอยู่ในโปรแกรมผลก็คือหลังจากที่โปรแกรมนั้นติดไวรัสไปแล้ว ขนาดของโปรแกรมจะใหญ่ขึ้น หรืออาจมีการสำเนาตัวเองเข้าไปทับส่วนของโปรแกรมที่มีอยู่เดิมดังนั้นขนาดของโปรแกรมจะไม่เปลี่ยนและยากที่จะซ่อมให้กลับเป็นดังเดิม
การทำงานของไวรัสโดยทั่วไป คือ เมื่อมีการเรียกโปรแกรมที่ติดไวรัส ส่วนของไวรัสจะทำงานก่อนและจะถือโอกาสนี้ฝังตัวเข้าไปอยู่ในหน่วยความจำทันทีแล้วจึงค่อยให้โปรแกรมนั้นทำงานตามปกติต่อไป เมื่อไวรัสเข้าไปฝังตัวอยู่ในหน่วยความจำแล้ว หลังจากนี้ไปถ้ามีการเรียกโปรแกรมอื่นๆ ขึ้นมาทำงานต่อ ตัวไวรัสก็จะสำเนาตัวเองเข้าไปในโปรแกรมเหล่านี้ทันทีเป็นการแพร่ระบาดต่อไป
วิธีการแพร่ระบาดของโปรแกรมไวรัสอีกแบบหนึ่งคือ เมื่อมีการเรียกโปรแกรมที่มีไวรัสติดอยู่ ตัวไวรัสจะเข้าไปหาโปรแกรมอื่นๆ ที่อยู่ในดิสก์เพื่อทำสำเนาตัวเองลงไปทันทีแล้วจึงค่อยให้โปรแกรมที่ถูกเรียกนั้นทำงานตามปกติต่อไป
- ม้าโทรจัน (Trojan Horse) เป็นโปรแกรมที่ถูกเขียนขึ้นมาให้ทำตัวเหมือนว่าเป็นโปรแกรมธรรมดาทั่วๆ ไป เพื่อหลอกล่อผู้ใช้ให้ทำการเรียกขึ้นมาทำงาน แต่เมื่อถูกเรียกขึ้นมาแล้วก็จะเริ่มทำลายตามที่โปรแกรมมาทันที ม้าโทรจันบางตัวถูกเขียนขึ้นมาใหม่ทั้งชุด โดยคนเขียนจะทำการตั้งชื่อโปรแกรมพร้อมชื่อรุ่นและคำอธิบายการใช้งานที่ดูสมจริงเพื่อหลอกให้คนที่จะเรียกใช้ตายใจ
จุดประสงค์ของคนเขียนม้าโทรจันอาจจะเช่นเดียวกับคนเขียนไวรัส คือ เข้าไปทำ อันตรายต่อข้อมูลที่มีอยู่ในเครื่อง หรืออาจมีจุดประสงค์เพื่อที่จะล้วงเอาความลับของระบบคอมพิวเตอร์
ม้าโทรจันนี้อาจจะถือว่าไม่ใช่ไวรัส เพราะเป็นโปรแกรมที่ถูกเขียนขึ้นมาโดดๆ และจะไม่มีการเข้าไปติดในโปรแกรมอื่นเพื่อสำเนาตัวเอง แต่จะใช้ความรู้เท่าไม่ถึงการณ์ของผู้ใช้เป็นตัวแพร่ระบาดซอฟต์แวร์ที่มีม้าโทรจันอยู่ในนั้นและนับว่าเป็นหนึ่งในประเภทของโปรแกรมที่มีความอันตรายสูง เพราะยากที่จะตรวจสอบและสร้างขึ้นมาได้ง่ายซึ่งอาจใช้แค่แบตซ์ไฟล์ก็สามารถสร้างโปรแกรมประเภทม้าโทรจันได้
- Polymorphic Viruses เป็นชื่อที่ใช้ในการเรียกไวรัสที่มีความสามารถในการแปรเปลี่ยนตัวเอง ได้เมื่อมีสร้างสำเนาตัวเองเกิดขึ้น ซึ่งอาจสร้างได้ถึงหลายร้อยรูปแบบ ผลก็คือ ทำให้ไวรัสเหล่านี้ยากต่อการถูกตรวจจับ โดยโปรแกรมตรวจหาไวรัสที่ใช้วิธีการสแกนอย่างเดียว ไวรัสใหม่ๆ ในปัจจุบันที่มีความสามารถนี้เริ่มมีจำนวนเพิ่มมากขึ้นเรื่อย ๆ
- Stealth Viruses เป็นชื่อเรียกไวรัสที่มีความสามารถในการพรางตัวต่อการตรวจจับได้ เช่น ไฟล์อินเฟกเตอร์ ไวรัสประเภทที่ไปติดโปรแกรมใดแล้วจะทำให้ขนาดของโปรแกรมนั้นใหญ่ขึ้น ถ้าโปรแกรมไวรัสนั้นเป็นแบบสทีลต์ไวรัส จะไม่สามารถตรวจดูขนาดที่แท้จริงของโปรแกรมที่เพิ่มขึ้นได้ เนื่องจากตัวไวรัสจะเข้าไปควบคุมดอส เมื่อมีการใช้คำสั่ง DIR หรือโปรแกรมใดก็ตามเพื่อตรวจดูขนาดของโปรแกรม ดอสก็จะแสดงขนาดเหมือนเดิม ทุกอย่างราวกับว่าไม่มีอะไรเกิดขึ้น
- หนอน (Worm) เป็นรูปแบบหนึ่งของไวรัส มีความสามารถในการทำลายระบบในเครื่องคอมพิวเตอร์สูงที่สุดในบรรดาไวรัสทั้งหมด สามารถกระจายตัวได้รวดเร็วผ่านทางระบบอินเทอร์เน็ต ซึ่งสาเหตุที่เรียกว่าหนอนนั้นคงจะเป็นลักษณะของการกระจายและทำลายที่คล้ายกับหนอนกินผลไม้ที่สามารถกระจายตัวได้มากมาย รวดเร็ว และเมื่อยิ่งเพิ่มจำนวนมากขึ้นระดับการทำลายล้างยิ่งสูงขึ้น
- Macro viruses จะติดต่อกับไฟล์ซึ่งใช้เป็นต้นแบบ (template) ในการสร้างเอกสาร (documents หรือ spreadsheet) หลังจากที่ต้นแบบในการใช้สร้างเอกสารติดไวรัสแล้ว ทุกๆ เอกสารที่เปิดขึ้นใช้ด้วยต้นแบบอันนั้นจะเกิดความเสียหายขึ้น
ลักษณะการทำงานของไวรัส
ตั้งแต่ยุคเริ่มต้นของไวรัสเป็นต้นมานั้น วิวัฒนาการของไวรัสก็ก้าวไปอย่างรวดเร็วเช่นเดียวกับวิวัฒนาการของคอมพิวเตอร์ ทั้งนี้ก็เพราะทรัพยากรของคอมพิวเตอร์ที่เปลี่ยนไปทำให้ไวรัสต้องเปลี่ยนแปลงตัวเองตามไปด้วย
- Variant คือไวรัสที่ถูกสร้างขึ้นมาโดยการนำไวรัสตัวเก่ามาเปลี่ยนแปลงแก้ไขการทำงานเพียงบางส่วน การแก้ไขที่ว่านั้นเป็นการแก้ไขเพียงเล็กน้อยแต่ว่าวิธีการทำงานหลัก ๆ นั้นก็ยังคงเหมือนเดิมอยู่
- Overwriting คือไวรัสที่จะแก้ไขข้อมูลบางส่วนของไฟล์ที่มันจะไปเกาะโดยการเขียนตัวเองลงไปทับบางส่วนของไฟล์ทำให้การทำงานของโปรแกรมนั้นผิดแปลกจากที่สมควรจะเป็น ดังนั้นไวรัสส่วนใหญ่จึงมักจะเพิ่มตัวเองเข้าไปในไฟล์มากกว่าทีจะเขียนตัวเองลงไปทับบางส่วนของไฟล์ เพื่อให้การทำงานยังคงทำได้เหมือนเดิมเราเรียกพวกนี้ว่า Non-Overwriting
- Self-Recognition การทำงานของไวรัสบางส่วนจะมีการตรวจสอบไฟล์ที่จะเข้าไปติดว่าเคยมีการติดไวรัสอยู่ก่อนหรือเปล่า เพื่อที่จะหลีกเลี่ยงการติดไวรัสซ้ำซ้อน เพราะการที่ไฟล์ที่ติดไวรัสอยู่แล้วมีไวรัสตัวเดิมติดเข้าไปอีกทำให้ขนาดของไฟล์มีขนาดใหญ่ขึ้นเรื่อยๆ และทำให้การตรวจพบของโปรแกรมแอนตี้ไวรัสนั้นทำงานง่ายขึ้น
- Resident คือไวรัสที่ฝังตัวและพยายามทำตัวเป็นส่วนหนึ่งของระบบปฏิบัติการ ทำให้เมื่อเปิดเครื่องขึ้นใช้งานไวรัสเองก็จะทำงานพร้อมๆ กับระบบปฏิบัติการและฝังตัวอยู่ในหน่วยความจำและพร้อมที่จะแพร่กระจายไปยังโปรแกรมหรือไฟล์อื่นๆ ที่เข้ามาทำงานเกี่ยวข้องเครื่องๆ นี้
- Stealth เป็นไวรัสประเภท Resident อีกประเภทหนึ่งที่พยายามหลบซ่อนตัวเองจากการตรวจจับของโปรแกรมแอนตี้ไวรัส โดยการปิดบังร่องร่อยต่างๆ ก่อนที่จะโดนตรวจ ซึ่งการดักจับการทำงานของระบบปฏิบัติการนั้นทำเพื่อให้รู้ว่าตอนนี้ระบบปฏิบัติการกำลังจะทำอะไร เช่น ไวรัสรู้ว่าจะมีการอ่านไฟล์ได้ ไวรัสก็ลบส่วนที่เป็นไวรัสออกจากไฟล์ก่อนที่โปรแกรมแอนตี้ไวรัสจะเข้าไปตรวจสอบ ทำให้ไม่สามารถตรวจสอบเจอ
- Encrypted ไวรัสประเภทนี้จะประกอบไปด้วย 2 ส่วนด้วยกันคือส่วน Decrypt เล็กๆ และส่วน Encrypt ที่เป็นตัวเนื้อของไวรัสทั้งหมด โดยก่อนที่จะทำงานส่วนที่ Decrypt นั้นจะถอดรหัสส่วนที่ Encrypt ออกมาก่อนทำให้ไวรัสนั้นสามารถทำงานและฝังตัวอยู่ในระบบได้
- Polymorphic จะเป็นการก๊อปปี้ตัวเองของไวรัส ซึ่งโดยปกติแล้วส่วนต่าง ๆ ที่สำคัญในการทำงานของไวรัสนั้นจะถูกก๊อปปี้ตัวเองไปด้วยเสมอ สิ่งที่ต่างไปคือ ไวรัสประเภทนี้สามารถก๊อปปี้ตัวเองแล้วทำให้ขนาดของไวรัสนั้นไม่เท่ากันได้ ไม่ว่าจะโดยการสุ่มเพิ่มข้อมูลต่างๆ เข้าไปในตัวเองหรือด้วยวิธีการใดๆ ก็ตาม แต่นั่นก็ทำให้การทำงานของโปรแกรมแอนตี้ไวรัสนั้นทำงานยากขึ้น
อาการของเครื่องที่ติดไวรัส
สามารถสังเกตุการทำงานของเครื่องคอมพิวเตอร์ถ้ามีอาการดังต่อไปนี้อาจเป็นไปได้ว่าได้มีไวรัสเข้าไปติดอยู่ในเครื่องแล้วอาการที่ว่านั้นได้แก่
- ใช้เวลานานผิดปกติในการเรียกโปรแกรมขึ้นมาทำงาน
- ขนาดของโปรแกรมใหญ่ขึ้น
- วันเวลาของโปรแกรมเปลี่ยนไป
- ข้อความที่ปกติไม่ค่อยได้เห็นกลับถูกแสดงขึ้นมาบ่อย ๆ
- เกิดอักษรหรือข้อความประหลาดบนหน้าจอ
- เครื่องส่งเสียงออกทางลำโพงโดยไม่ได้เกิดจากโปรแกรมที่ใช้อยู่
- แป้นพิมพ์ทำงานผิดปกติหรือไม่ทำงานเลย
- ขนาดของหน่วยความจำที่เหลือลดน้อยกว่าปกติ โดยหาเหตุผลไม่ได้
- ไฟล์แสดงสถานะการทำงานของดิสก์ติดค้างนานกว่าที่เคยเป็น
- ไฟล์ข้อมูลหรือโปรแกรมที่เคยใช้อยู่ๆ ก็หายไป
- เครื่องทำงานช้าลง
- เครื่องบูตตัวเองโดยไม่ได้สั่ง
- ระบบหยุดทำงานโดยไม่ทราบสาเหตุ
- เซกเตอร์ที่เสียมีจำนวนเพิ่มขึ้นโดยมีการรายงานว่าจำนวนเซกเตอร์ที่เสียมีจำนวนเพิ่มขึ้นกว่าแต่ก่อนโดยที่ยังไม่ได้ใช้โปรแกรมใดเข้าไปตรวจหาเลย
คำแนะนำและการป้องกันไวรัส
- สำรองไฟล์ข้อมูลที่สำคัญ
- ป้องกันการเขียนให้กับฟลอปปีดิสก์
- อย่าเรียกโปรแกรมที่ติดมากับดิสก์อื่น, Removable Drive
- เสาะหาโปรแกรมตรวจหาไวรัสที่ใหม่และมากกว่าหนึ่งโปรแกรมจากคนละบริษัท
- เรียกใช้โปรแกรมตรวจหาไวรัสเป็นช่วง ๆ
- เรียกใช้โปรแกรมตรวจจับไวรัสแบบเฝ้าดูทุกครั้ง
- เลือกคัดลอกซอฟแวร์เฉพาะที่ถูกตรวจสอบแล้วในบีบีเอส
- สำรองข้อมูลที่สำคัญของฮาร์ดดิสก์ไปเก็บในฟลอปปีดิสก์, Removable Drive
- เมื่อเครื่องติดไวรัสให้พยายามหาที่มาของไวรัสนั้น
คำแนะนำเมื่อเครื่องคอมพิวเตอร์ติดไวรัส
เมื่อแน่ใจว่าเครื่องติดไวรัสแล้วให้ทำการแก้ไขด้วยความใคร่ครวญและระมัดระวังอย่างมาก เพราะบางครั้งตัวคนแก้เองจะเป็นตัวทำลายมากกว่าตัวไวรัสจริงๆ เสียอีก การฟอร์แมตฮาร์ดดิสก์ใหม่อีกครั้งก็ไม่ใช่ วิธีที่ดีที่สุดเสมอไปยิ่งแย่ไปกว่านั้นถ้าทำไปโดยยังไม่ได้มีการสำรองข้อมูลขึ้นมาก่อน การแก้ไขนั้นถ้าผู้ใช้มีความรู้เกี่ยวกับไวรัสที่กำลังติดอยู่ว่าเป็นประเภทใดก็จะช่วยได้อย่างมาก
คำแนะนำเมื่อเครื่องติดไวรัส ควรปฏิบัติดังนี้
1. สังเกตความเปลี่ยนแปลงของเครื่องและนำข้อมูลดังกล่าว ค้นหาข้อมูลกับ search engine เพื่อระบุว่าเป็นไวรัสประเภทใด เพื่อที่จะหาโปรแกรมสำหรับกำจัดไวรัสโดยเฉพาะของแต่ละชนิด
2. หากเป็นติดไวรัสหลายตัว หรือร้ายแรง ก็ให้นำแผ่น Windows PE ซึ่งแผ่นประเภทนี้จะเป็นการเรียกใช้งานวินโดว์จากแผ่นเลย เรียกใช้โปรแกรมแอนตี้ไวรัสจากแผ่นเพื่อตรวจหาไวรัส
3. ควรเรียกโปรแกรมแอนตี้ไวรัสจากหลายๆ ผู้ผลิตมาสแกน หากสแกนแล้วไม่พบควรต้องติดตั้งระบบปฏิบัติการใหม่ โดยการฟอร์แมตฮาร์ดดิสก์ให้ทำการสำรองข้อมูลที่จำเป็นก่อนฟอร์แมตฮาร์ดดิสก์
วิธีการเรียกโปรแกรมจัดการไวรัสขึ้นมาตรวจหาและทำลาย
ให้เรียกโปรแกรมตรวจจับไวรัส เพื่อตรวจสอบดูว่ามีโปรแกรมใดบ้างติดไวรัส ถ้าโปรแกรมตรวจ หาไวรัสที่ใช้อยู่สามารถกำจัดไวรัสตัวที่พบได้ ก็ให้ลองทำดู แต่ก่อนหน้านี้ให้ทำการคัดลอกเพื่อสำรองโปรแกรมที่ติดไวรัสไปเสียก่อน โดยโปรแกรมจัดการไวรัสบางโปรแกรมสามารถสั่งให้ทำสำรองโปรแกรมที่ติดไวรัสไปเป็นอีกชื่อหนึ่งก่อนที่จะกำจัดไวรัส การทำสำรองก็เพราะว่า เมื่อไวรัสถูกกำจัดออกจากโปรแกรมไป โปรแกรมนั้นอาจไม่สามารถทำงานได้ตามปกติ หรือทำงานไม่ได้เลยก็เป็นไปได้ วิธีการตรวจขั้นต้นคือ ให้ลองเปรียบเทียบขนาดของโปรแกรมหลังจากที่ถูกกำจัดไวรัสไปแล้วกับขนาดเดิม ถ้ามีขนาดน้อยกว่า แสดงว่าไม่สำเร็จ หากเป็นเช่นนั้นให้เอาโปรแกรมที่ติดไวรัสที่สำรองไว้ แล้วหาโปรแกรมจัดการไวรัสตัวอื่นมาใช้แทน แต่ถ้ามีขนาดมากกว่าหรือเท่ากับของเดิม เป็นไปได้ว่าการกำจัดไวรัสอาจสำเร็จ โดยอาจลองเรียกโปรแกรมตรวจหาไวรัสเพื่อทดสอบโปรแกรมอีกครั้ง
หากผลการตรวจสอบออกมาว่าปลอดเชื้อ ก็ให้ลองเรียกโปรแกรมที่ถูกกำจัดไวรัสไปนั้นขึ้นมาทดสอบการทำงานดูอย่างละเอียดว่าเป็นปกติดีอยู่หรือไม่อีกครั้ง ในช่วงดังกล่าวควรเก็บโปรแกรมนี้ที่สำรองไปขณะที่ติดไวรัสอยู่ไว้ เผื่อว่าภายหลังพบว่าโปรแกรมทำงานไม่เป็นไปตามปกติ ก็สามารถลองเรียกโปรแกรมจัดการไวรัสตัวอื่นขึ้นมากำจัดต่อไปได้ในภายหลัง แต่ถ้าแน่ใจว่าโปรแกรมทำงานเป็นปกติดีก็ทำการลบโปรแกรมสำรองที่ยังติดไวรัสติดอยู่ทิ้งไปทันที เป็นการป้องกันไม่ให้มีการเรียกขึ้นมาใช้งานภายหลังเพราะความบังเอิญได้
โปรแกรมแอนตี้ไวรัส
โปรแกรมเหล่านี้เปรียบเสมือนยาสามัญประจำบ้านที่เราจำเป็นต้องมีติดไว้เพื่อใช้รักษาโรค ซึ่งโรคเหล่านั้นก็เปรียบได้กับ virus ประเภทต่างๆ และหากมีโรคชนิดใหม่เกิดขึ้นเราก็จำเป็นจะต้องหายามาเตรียมพร้อมไว้ซึ่งก็คือการอัพเดตโปรแกรมแอนตี้ไวรัสให้รู้จักไวรัสและวิธีการกำจัดไวรัส
หน้าที่หลักของโปรแกรม Antivirus คือ
- ป้องกันเครื่องคอมพิวเตอร์จาก virus ที่บุกรุกเข้ามา
- ตรวจสอบภายในเครื่องว่ามี virus หรือไม่
- กำจัด virus ที่ตรวจพบ
ขั้นตอนสำคัญคือการระบุว่าข้อมูลเหล่านั้นคือ virus หรือไม่นั้นมีเทคนิคที่ถูกพัฒนาขึ้นเพื่อใช้ในการตรวจสอบมากมาย สามารถแบ่งเป็นวิธีหลัก ๆ ได้ 4 วิธีดังนี้
1. การตรวจหา (Scanning)
เป็นการใช้ตัวตรวจหา(Scanner) เข้าไปค้นหาไฟล์ที่ถูกสงสัยว่ามี virus แฝงตัวอยู่ในหน่วยความจำ ส่วนเริ่มต้นในการบูต (Boot sector) และไฟล์ที่ถูกเก็บอยู่ในฮาร์ดดิสก์ โดยใช้หลักการ Checksum
มีหลักการทำงานดังนี้
ทุกไฟล์จะมีส่วนที่เก็บข้อมูลจุดเริ่มต้นและจุดสิ้นสุดของไฟล์ว่าอยู่ที่ตำแหน่งใด ตามด้วยข้อมูลของไฟล์ และปิดท้ายด้วยค่า Checksum ตัวตรวจหาจะคำนวณหาค่า Checksum ของแต่ละไฟล์แล้วนำไปทำการเปรียบเทียบกับค่า Checksum ของไฟล์นั้นๆ หากไฟล์ใดถูก virus แฝงตัวก็จะทำให้ค่า Checksum ที่ได้จากการคำนวณของโปรแกรม antivirus มีค่าไม่เท่ากับ Checksum ของไฟล์ดังกล่าว โปรแกรม Anti virus ทั่วๆ ไป จะมีวิธีการตรวจหา 2 ชนิดคือ
- การตรวจหาชนิด On - access เป็นวิธีการตรวจหาไฟล์ก่อนที่จะถูกโหลดเข้าหน่วยความจำ เพื่อทำการ execute
- การตรวจหาชนิด On - demand เป็นวิธีการตรวจหาในหน่วยความจำหลัก ส่วนเริ่มต้นในการบูต และฮาร์ดดิสก์ผู้ใช้งานยังสามารถเรียกใช้งานวิธีการตรวจหาชนิดนี้ตามความต้องการได้
ข้อดีของเทคนิคนี้คือ สามารถตรวจพบ virus ก่อนทำการ execute
2. การตรวจสอบความคงอยู่ (Integrity Checking)
วิธีคือใช้ตัวตรวจสอบความคงอยู่ (Integrity Checker) ที่เก็บข้อมูลความคงอยู่ (Integrity Information) ของไฟล์สำคัญไว้สำหรับเปรียบเทียบ ตัวอย่างข้อมูลเช่น ขนาดไฟล์ เวลาแก้ไขครั้งล่าสุด และค่า Checksum เป็นต้น ส่วนมากจะใช้ค่าของ Checksum ในการเปรียบเทียบ เมื่อมีไฟล์เปลี่ยนแปลงที่มีสาเหตุจาก virus หรือความผิดพลาดใดๆ จนทำให้ข้อมูลความคงอยู่เปลี่ยนแปลงไป ระบบจะแจ้งให้ผู้ใช้งานทราบถึงความผิดปกติและมีทางเลือกให้ผู้ ใช้สามารถกู้ไฟล์ข้อมูลดังกล่าวคืนได้
ข้อดีของเทคนิคนี้คือ เป็นเทคนิคเดียวที่ตรวจสอบได้ว่ามี virus ทำลายไฟล์หรือไม่ เกิดความผิดพลาดน้อย ตัวตรวจสอบความคงอยู่ในปัจจุบันมีความสามารถที่จะตรวจจับการทำลายข้อมูลชนิดต่างๆ ได้ เช่นไฟล์ไม่สมบูรณ์ (corruption) และยังสามารถกู้ไฟล์คืนได้
3. การตรวจจับ virus โดยใช้การวิเคราะห์พฤติกรรม (Heuristic)
เป็นเทคนิคที่นิยมใช้ในการตรวจจับ virusโดยจะเปรียบเทียบการทำงานของ virus กับกฎ Heuristic (Rules Based System) และชุดกฏ Heuristic ถูกพัฒนาให้สามารถแยกแยะพฤติกรรมการทำงานว่าเป็นการทำงานของ virus หรือไม่ มีการเก็บข้อมูลของ virus ที่รู้จักเพื่อใช้ในการจับคู่แพตเทิร์น และชุดกฎนี้ถูกพัฒนาโดยผู้พัฒนาโปรแกรม Antivirus ยกตัวอย่างวิธีการตรวจจับ virus ชนิดนี้เช่น โปรแกรมAntivirus รู้จักพฤติกรรมการทำงานของ virus ทั่วไป (เช่น การอ่าน/เขียนลงใน Master Boot Record ซึ่งโปรแกรมทั่วๆ ไปจะไม่ทำเช่นนี้) เมื่อโปรแกรมAntivirus ตรวจพบว่ามีการทำงานที่ผิดปกติขึ้นในเครื่อง โปรแกรมAntivirus จะใช้กฎ Heuristic เปรียบเทียบกับลักษณะดังกล่าว เพื่อที่จะระบุว่าเป็นพฤติกรรมการทำงานของ virus ชนิดใด
ข้อดีของเทคนิคนี้คือ มีความยืดหยุ่นในการตรวจจับ และสามารถรู้จัก virus ชนิดใหม่ๆ ได้เอง
4. การตรวจจับ virus โดยการดักจับ (Interception)
วิธีนี้เริ่มต้นด้วยการที่โปรแกรมAntivirus จะสร้าง virtual machine ที่มีความอ่อนแอมากไว้ภายในเครื่อง คอยล่อให้โปรแกรมประเภท virusโจมตี และยังมีหน้าที่เฝ้าดูว่ามี virus หรือโปรแกรมใดบ้างที่มีพฤติกรรมผิดปกติน่า สงสัยเข้ามาทำงานใน virtual machine ตัวอย่างเช่น มีโปรแกรมที่ทำการติดตั้งตัวเอง รวมทั้งมีการส่ง request ผิดปกติออกมาเพื่อทำให้เครื่องทำงานผิดพลาด เป็นต้น โปรแกรมที่ผิดปกติหรือน่าสงสัยนี้อาจจะเป็น virus ก็ได้
ข้อดีของเทคนิคนี้คือ สามารถหยุดการทำงานของโปรแกรม virus ที่พยายามที่จะฝังตัวในหน่วยความจำ
เทคนิคทั้ง 4 นี้เป็นเทคนิคพื้นฐานที่พัฒนาขึ้นเพื่อใช้ในการตรวจจับ virus โดยโปรแกรมAntivirus ทั่วไป จะอาศัยเทคนิคที่กล่าวมา โดยอาจรวบรวมเอาจุดเด่นของแต่ละเทคนิคมาพัฒนาจนเป็นเทคนิคใหม่ เพื่อใช้กำจัด virus ที่เกิดขึ้นใหม่ในปัจจุบัน
2010 AntiVirus Software Review Product Comparisons
2010 Anti-Spyware Software Review Product Comparisons
ตัวอย่างโปรแกรมแอนตี้ไวรัสและสปายแวร์
Bitdefender Total Security 2010
ลักษณะทั่วไปและคุณสมบัติ
- มั่นใจในการดาวน์โหลด หรือแชร์ไฟล์จากเพื่อน, ครอบครัว, เพื่อนร่วมงาน รวมถึงการป้องกันไวรัสและเมลแวร์อื่นๆ โดยใช้เทคโนโลยีใหม่ๆจากธุรกิจอุตสาหกรรมชั้นนำ สามารถสแกนเว็บ อีเมล์ และ IM แบบเรียลไทม์ มีการป้องกันภัยคุกคามใหม่จากฐานข้อมูลของโปรแกรมเชิงรุก 2 เทคโนโลยี บล็อกสปายแวร์ที่โจมตีการทำกิจกรรมออนไลน์ของคุณ
- มีระบบป้องกันร้านค้า ธนาคาร โดยบล็อกหน้าเว็บเพื่อป้องกันการขโมยข้อมูลบัตรเครดิต ป้องกันการรั่วไหลของข้อมูลส่วนตัว อาทิ อีเมล์ เว็บ IM
- ป้องกันไฟล์และบทสนทนาของคุณ โดยการเข้ารหัสไว้ จากการใช้ yahoo หรือ msn สามารถสำรองไฟล์และโฟลเดอร์อัตโนมัติ
- ป้องกันการเชื่อมต่อเครือข่ายอย่างปลอดภัยด้วยระบบ Firewall 2 ทิศทาง และยังป้องกันการเชื่อมต่อ wifi เข้าระบบของคุณจากผู้ใช้ที่ไม่ได้รับอนุญาต
- มี Parental Control ซึ่งใช้บล็อก การเข้าถึง เว็บ หรือ อีเมล์ ที่ไม่เหมาะสม และจำกัดการใช้งานอินเตอร์เน็ต เกม หรือ อื่นๆ ของเด็ก
- ลบไฟล์และรีจีสทรี ที่ไม่จำเป็นเพื่อเพิ่มประสิทธิภาพของระบบ การสแกนระบบ รวดเร็วและลดการใช้ทรัพยากร สามารถกำจัด spam mail ก่อนที่จะส่งเข้าอีเมล์ของคุณ
ESET Smart Security 4
ลักษณะทั่วไปและคุณสมบัติ
- เทคโนโลยี ThreatSense ได้รับรางวัลในการตรวจสอบภัยคุกคามและมีประสิทธิภาพในการป้องกันสูงสุด โดยเทคโนโลยีมีความอัจฉริยะในการสร้างความเชี่ยวชาญเพิ่มขึ้นจากการวิเคราะห์ภัยคุกคามที่เกิดขึ้นใหม่ๆ และสามารถตรวจสอบภัยคุกคามพบในขณะที่บางผลิตภัณฑ์ตรวจสอบไม่พบ
- การสแกนระบบรวดเร็วไม่ส่งผลกระทบต่อการทำงานของคุณ โดยใช้ทรัพยากรเพียง 48 MB ป้องกันระบบโดยใช้ Firewall และคุณสมบัติอื่นๆ
- ใช้การเข้ารหัสแบบ SSL ซึ่งคล้ายกับ HTTPS หรือ POP3S มีความฉลาดในการสแกนไฟล์ที่บีบอัดข้อมูลเพื่อค้นหาภัยคุกคามต่างๆ มีระบบ Antispam ที่มีขนาดเล็ก ทำงานรวดเร็ว และมีประสิทธิภาพ
- สามารถสแกนอุปกรณ์ประเภท Removable media drive เมื่อระบบ Detect กับอุปกรณ์นั้นหรือในขณะกำลังเข้าใช้งานอุปกรณ์ดังกล่าว โดยบล็อกไฟล์ autorun.inf ที่มาจากอุปกรณ์เหล่านั้น
- มี built-in เทคโนโลยีในการป้องกันการใช้งานโปรแกรมที่ไม่น่าเชื่อถือ และมีรหัสผ่านสำหรับการยกเลิกการใช้งานโปรแกรมจากผู้ใช้อื่นๆ
- เพิ่ม Interface และ แป้นคีย์ลัด ให้ใช้งานสำหรับผู้ที่ปัญหาทางด้านสายตา
Spy Sweeper
จุดเด่น
- มีระบบป้องกัน Antispam รอบทิศทาง และตรวจสอบระบบตลอดเวลาเพื่อป้องกันการโจมตีจากspyware สามารถกำจัด spyware ได้ในครั้งเดียวโดยไม่ต้อง restart pc
- มีระบบ Real-Time Protection ใช้ rootkit เทคโนโลยีในการสแกนไฟล์
- ติดตั้งและใช้งานง่าย หลังจากสแกนเรียบร้อย มีระบบประเมินความเสี่ยงให้เห็นเพื่อให้ผู้ใช้เลือกที่จะลบหรือเก็บไฟล์ดังกล่าวไว้ได้
- ไม่รบกวนขณะเล่นเกมหรือดูภาพยนตร์ ด้วยระบบ Gamer Mode
สรุปเหตุการณ์ด้านภัยคุกคามในแวดวงไอทีที่เกิดขึ้นในปี 2552 พร้อมคาดการณ์แนวโน้มในปี 2553
บริษัท โกลบอลเทคโนโลยี อินทิเกรเทด จำกัด
โกลบอลเทคฯ จึงขอสรุปเหตุการณ์ด้านภัยคุกคามในแวดวงไอทีที่เกิดขึ้นในปี 2552 พร้อมคาดการณ์แนวโน้มในปี 2553 ดังต่อไปนี้
สรุปภัยคุกคามในแวดวงไอทีปี 2552
1. หนอนคอมพิวเตอร์ (คอนฟิกเกอร์)
คอนฟิกเกอร์ คือหนอนคอมพิวเตอร์ที่ตั้งเป้าโจมตีระบบปฏิบัติการวินโดวส์ และผู้สร้างสามารถสั่งการได้จากระยะไกล ปัจจุบันหนอนชนิดนี้ควบคุมเครื่องคอมพิวเตอร์กว่าเจ็ดล้านเครื่อง ทั้งภาครัฐ, เอกชน และเครื่องคอมพิวเตอร์ส่วนตัวในกว่า 200 ประเทศทั่วโลก
คอนฟิกเกอร์จะโจมตีช่องโหว่ในส่วนของวินโดวส์เซิร์ฟเวอร์เซอร์วิส (Windows Server service) (ซึ่งไมโครซอฟต์ได้ออกซอฟต์แวร์แก้ไข (MS08-067) ในเดือนตุลาคม 2552) โดยอาศัยเทคนิคออโต้รันเพื่อการแพร่กระจายผ่านทาง Thumb Drive แบบยูเอสบี เมื่อเข้าถึงคอมพิวเตอร์เครื่องหนึ่งแล้ว มันจะพยายามเข้าถึงเน็ตเวิร์กแชร์ (Network Shares) และพยายามแคร็กรหัสผ่านของแอคเคานต์ในเครื่อง หากแคร็กรหัสผ่านของผู้ดูแลระบบได้ ก็จะใช้เซอร์วิสที่ชื่อ Windows Task Scheduler Service เพื่อแพร่กระจายตัวเองไปยังคอมพิวเตอร์เครื่องอื่นต่อไป
เนื่องจากคอนฟิกเกอร์จำเป็นต้องใช้ช่องโหว่เฉพาะ (MS08-067) เพื่อการแพร่กระจาย จึงจำเป็นต้องรู้ว่าคอมพิวเตอร์ที่มันโจมตีใช้ภาษาอะไร โดยคอนฟิกเกอร์เวอร์ชั่นก่อนๆ จะมีความสามารถจำกัด ต้องรับข้อมูลทางอินเทอร์เน็ตก่อนจึงจะแปลง IP Address ให้เป็น Physical Address ได้ ทั้งนี้เมื่อโจมตีคอมพิวเตอร์ในอเมริกา หนอนชนิดนี้จะพยายามโจมตีวินโดวส์เวอร์ชั่นภาษาอังกฤษ แต่ถ้า IP Address ที่ถูกโจมตีอยู่ในจีน มันจะพยายามโจมตีวินโดวส์เวอร์ชั่นภาษาจีนแทน การโจมตีวินโดวส์เวอร์ชั่นภาษาอื่นๆ ก็เป็นลักษณะเดียวกัน
ด้วยความที่หนอนคอมพิวเตอร์ชนิดนี้สร้างด้วยเทคนิคชั้นสูง ทำให้ตรวจจับได้ยากและแพร่กระจายอย่างรวดเร็วสู่เครื่องคอมพิวเตอร์ทั่วโลก ซึ่งส่วนใหญ่ยังใช้ระบบปฏิบัติการวินโดวส์เป็นหลัก จึงเป็นหนอนที่เชื่อกันว่าแพร่เชื้อขยายวงกว้างที่สุดนับแต่ปี พ.ศ. 2546
2. เครือข่ายสังคม ภัยร้ายใกล้ตัว
บริการเครือข่ายสังคม หรือ Social Network ที่เปิดโอกาสให้ผู้ใช้งานอินเทอร์เน็ตสร้างบัญชีผู้ใช้ส่วนตัวเพื่อสื่อสารกับบุคคลอื่นในเครือข่าย และสามารถเขียนข้อความ, แช็ต, แบ่งปันรูปภาพ / เพลง / วิดีโอ และสร้างบล็อกส่วนตัวนั้น มีผู้ใช้งานอย่างแพร่หลายมากเป็นจำนวนหลายร้อยล้านแอคเคานต์ จึงตกเป็นเป้าหมายหลักของอาชญากรออนไลน์ที่อาศัยความเชื่อถือระดับสูงในกลุ่มเพื่อน นำไปสู่ภัยคุกคามรูปแบบต่างๆ เช่น
กรณีเฟซบุ๊ค
- แอคเคานต์ผู้ใช้งานถูกบุกรุก ซึ่งอาจเกิดการขโมยรหัสผ่านจากฟิชชิงหรือมัลแวร์ แล้วใช้บัญชีนั้นเพื่อขอความช่วยเหลือทางการเงินจากกลุ่มเพื่อนในเครือข่ายของเหยื่อ จนมีผู้หลงเชื่อส่งเงินไปให้
- ผู้ใช้งานถูกขโมยรหัสผ่านและเปลี่ยนหน้าเว็บโดยมิชอบ
- ผู้พัฒนาแอพพลิเคชั่นที่มีเจตนามุ่งร้ายใช้เอพีไอ (API) หรือแอพพลิเคชั่นโปรแกรมของเฟซบุ๊ค เพื่อหลอกล่อผู้ใช้ให้ติดตั้งแอพพลิเคชั่นของผู้พัฒนา
- การเผยแพร่ลิงค์เว็บไซต์มุ่งร้าย เพราะผู้ใช้งานมีแนวโน้มที่จะเชื่อถือและคลิกลิงค์ที่มาจากเพื่อนหรือญาติ มากกว่าไฟล์หรือลิงค์ในอีเมล์จากคนไม่รู้จัก
กรณีทวิตเตอร์
- แอคเคานต์ของทวิตเตอร์ถูกใช้เป็นเครื่องมือของบอทเน็ต โดยใช้หน้าทวิตเตอร์ของผู้ใช้รายหนึ่งที่แสดงข้อความที่เข้ารหัสไว้ เพื่อสั่งการให้คอมพิวเตอร์ที่ติดมัลแวร์เข้าไปยังเว็บไซต์อื่นๆ เพื่อรับคำสั่งจากผู้ควบคุมบอทเน็ต เช่น ดาวน์โหลดและเปิดใช้มัลแวร์เพื่อขโมยข้อมูลในระบบของผู้ใช้
- แอคเคานต์ของทวิตเตอร์ถูกใช้ในการส่งผู้ใช้งานไปยังผลิตภัณฑ์ที่ลวงว่าเป็นซอฟต์แวร์แอนตี้ไวรัส (Rogue Antivirus Products) โดยข้อความทวีตที่ส่งจากแอคเคานต์เหล่านี้ถูกสร้างขึ้นโดยอัตโนมัติ ไม่ว่าจะเลือกจากคำค้นของทวิตเตอร์เอง หรือการ re-tweet ที่ส่งโดยคนจริงๆ ซึ่งลิงค์เหล่านี้จะนำผู้ใช้ไปยังเว็บไซต์ปลอม ที่ใช้วิธีต่างๆ หลอกล่อให้ผู้ใช้งานกลัว และหลงเชื่อ ซื้อผลิตภัณฑ์ที่ไม่จำเป็นต้องใช้
- หนอนทวิตเตอร์ (Twitter Worm) อาศัยช่องโหว่ชนิด cross-site scripting ที่มักพบในเว็บแอพพลิเคชั่น แล้วส่งข้อความสแปม เช่น "I love www.StalkDaily.com!" ซึ่งสร้างความรำคาญให้ผู้ใช้งานทวิตเตอร์จำนวนมากที่คลิกไปที่ลิงค์นั้น ด้วยหลงเชื่อว่าเป็นข้อความทวีตจากเพื่อนของตน และมีการทวีตข้อความแบบเดียวกันต่อไปอีกหลายทอด การโจมตีเหล่านี้อาศัยจาวาสคริปต์ จึงควรปิดการทำงานของจาวาสคริปต์ หรือจำกัดการทำงานของจาวาสคริปต์ให้ทำงานกับเว็บไซต์ที่น่าเชื่อถือเท่านั้น เพื่อป้องกันภัยจากหนอนอินเทอร์เน็ตในลักษณะนี้
3. การโจมตีการเพิ่มประสิทธิภาพเครื่องมือค้นหา (Search Engine Optimization; SEO)
การโจมตีรูปแบบนี้ ผู้โจมตีจะส่งหัวข้อยอดนิยมเข้าไปในเว็บค้นหา หรือ Search Engine เช่น ชื่อดาราดังที่ตกเป็นข่าว, ไข้หวัดใหญ่ 2009 เป็นต้น เมื่อมีผู้คลิกเปิดดูเว็บไซต์ ไซต์นั้นกลับกลายเป็นเว็บไซต์มุ่งร้าย ส่งผลให้คอมพิวเตอร์ที่ใช้งานถูกควบคุม หรือนำผู้ใช้ไปยังผลิตภัณฑ์ที่ลวงว่าเป็นซอฟต์แวร์แอนตี้ไวรัส (rogue antivirus products) ด้วยเหตุนี้จึงควรคำนึงถึงชื่อเสียงและความน่าเชื่อถือของเว็บไซต์ที่แสดงผลโดยเว็บค้นหา ก่อนเข้าเยี่ยมชม
ผลิตภัณฑ์ประเภท “Rogue Security Product” เป็นมัลแวร์ที่ล่อลวงให้ผู้ใช้งานจ่ายเงินซื้อผลิตภัณฑ์ปลอม ตัวอย่างเช่น “File Fix Professional” ที่ผู้เขียนซอฟต์แวร์นี้ไม่ได้ผลักดันซอฟท์แวร์เอง แต่ทำโดยผู้เป็นเจ้าของบอทเน็ต โดย "File Fix Pro" จะ “เข้ารหัส” ไฟล์บางไฟล์ในโฟลเดอร์ "My Documents" แล้วแสดงข้อความบ่งบอกความผิดพลาดที่ดูสมจริง บอกว่าระบบวินโดวส์แนะนำให้ดาวน์โหลดเครื่องมือพิเศษเพื่อแก้ไขไฟล์ โดยให้ผู้ใช้คลิกดาวน์โหลด "File Fix Pro" เพื่อ “ซ่อม” ไฟล์ดังกล่าว แต่แท้จริงแล้วเป็นเพียงการ “ถอดรหัส” ให้สามารถใช้งานได้ตามปกติ หากผู้ใช้ยอมจ่ายเงินจำนวนหนึ่งสำหรับผลิตภัณฑ์นี้
วิธีนี้เป็นกลยุทธ์ที่แยบยลในการหลอกผู้ใช้ ซึ่งไม่รู้ว่าไฟล์ของตน “ถูกจับเป็นตัวประกัน” และการซื้อซอฟต์แวร์นี้เป็นเพียงการจ่ายค่าประกันตัวในการกู้คืนไฟล์เท่านั้น ซึ่งผู้ขายซอฟต์แวร์ดังกล่าวไม่ได้ทำสิ่งผิดกฎหมายแต่อย่างใด
4. แม็ค โอเอส เอ็กซ์ (MAC OS X)
เดือนมกราคม 2552 ได้มีการเผยแพร่ก็อปปี้ของซอฟต์แวร์ไอเวิร์ค 2009 (iWork 2009) ในเว็บไซต์แชร์ไฟล์ยอดนิยมแห่งหนึ่ง ซึ่งผู้ดาวน์โหลดเวอร์ชั่นฟรีนี้ ได้รับของแถมที่น่าประหลาดใจในซอฟท์แวร์ติดตั้ง คือ Backdoor ชื่อไอเวิร์คเซิร์ฟดอทเอ (iWorkServ.A) โดยกลุ่มผู้เผยแพร่มัลแวร์รายเดียวกันนี้ยังได้เผยแพร่โปรแกรมโฟโต้ชอป เวอร์ชั่นสำหรับ MAC ที่แถม Backdoor ด้วยเช่นกัน
ซอฟต์แวร์มุ่งร้ายทุกชนิด จะอาศัยการหลอกล่อให้ผู้ใช้ป้อนรหัสผ่าน ซอฟต์แวร์นี้ก็เช่นกัน การติดตั้งซอฟต์แวร์ในแม็ค โอเอส เอ็กซ์ จะบังคับให้ผู้ใช้ใส่รหัสผ่านของผู้ดูแลระบบ เมื่อผู้ใช้ใส่รหัสผ่านเพื่อติดตั้งซอฟต์แวร์ผิดกฏหมายนี้เข้าไปแล้ว นอกจากจะได้ซอฟท์แวร์ที่ทำงานได้จริงแล้ว ยังทำให้ระบบของเขาถูกบุกรุกไปด้วย
5. การโจมตีแอพพลิเคชั่นเป้าหมาย
แอพพลิเคชั่นที่ถูกโจมตีมากที่สุด ในปี 2551 นั้น คือไมโครซอฟต์เวิร์ด (.doc) แต่ช่วงปี 2552 ตำแหน่งไฟล์ยอดนิยมที่ถูกโจมตีสูงสุดตกเป็นของ ไฟล์พีดีเอฟ (.pdf) ของค่าย Adobe อันเนื่องจากช่องโหว่ในโปรแกรม Adobe Acrobat และ Adobe Reader
6. หนอนอินเทอร์เน็ตไอโฟน (iPhone Worm)
ปี 2552 สมาร์ทโฟนเข้ามามีบทบาทและได้รับความนิยมเพิ่มมากขึ้น มีการใช้งานอินเทอร์เน็ตผ่านสมาร์ทโฟนอย่างกว้างขวาง รวมไปถึงเว็บเครือข่ายสังคม โดยไอโฟนมีส่วนแบ่งตลาดในระดับต้นๆ จึงดึงดูดความสนใจจากผู้เขียนมัลแวร์จำนวนมาก
ไอโฟนส่วนหนึ่งผ่านการทำเจลเบรก (Jailbreak) ซึ่งเป็นขั้นตอนที่ทำให้ไอโฟนและไอพอด ทัช สามารถใช้คำสั่งที่ไม่เป็นทางการในอุปกรณ์ โดยไม่ต้องผ่านระบบป้องกันของบริษัทแอปเปิล ทำให้ผู้ใช้ไอโฟนสามารถติดตั้งแอพพลิคชั่นต่าง ๆ ที่ละเมิดลิขสิทธิ์ได้ และเครื่องที่ทำเจลเบรกได้กลายเป็นเป้าหมายของมัลแวร์ที่ผู้สร้างต้องการทำเงิน เช่น โจมตีช่องโหว่ในไอโฟนที่ผ่านการทำเจลเบรก, หนอนคอมพิวเตอร์ “ไอคี” (Ikee) ที่เจาะระบบของผู้ใช้ที่ไม่เปลี่ยนรหัสผ่านของซีเคียวเชลล์ (SSH) ที่กำหนดมาพร้อมกับการติดตั้ง โดยเปลี่ยนภาพวอลล์เปเปอร์ของไอโฟนให้เป็นรูปอื่น
นอกจากนี้ยังมีหนอนคอมพิวเตอร์ที่เจาะระบบไอโฟน โดยพยายามเปลี่ยนเส้นทางเว็บของผู้ใช้ จากธนาคารแห่งหนึ่งไปยังไซต์ฟิชชิ่ง เมื่อผู้ใช้งานพยายามเข้าถึงบริการธนาคารออนไลน์จากไอโฟน จึงควรที่ผู้ใช้งานสมาร์ทโฟนจะได้หันมาให้ความสนใจกับความปลอดภัยของเครื่องมือสื่อสารของตนให้มากยิ่งขึ้น
7. การโจมตีเครือข่ายแบบ DDoS มีแนวโน้มเพิ่มสูงขึ้น
การโจมตีเครือข่ายเพื่อให้เครื่องคอมพิวเตอร์ปลายทางหยุดทำงาน ซึ่งมีผู้โจมตีพร้อมกันจำนวนมาก หรือที่เรียกว่า Distributed Denial of Service (DDoS) นั้น เกิดขึ้นมากมายทั่วโลกในปี 2552 ด้วยหลายเหตุปัจจัย และมีแนวโน้มทวีความรุนแรงขึ้น สรุปได้ดังนี้
- เหตุการณ์ความขัดแย้งในการเลือกตั้งประธานาธิบดีของอิหร่านเมื่อกลางปี 2552 นำไปสู่การประท้วงครั้งใหญ่ และเกิดกระแสการใช้สื่อเครือข่ายสังคม ทั้งทวิตเตอร์, เฟซบุ๊ค, ยูทูบ และไซต์อื่นๆ เพื่อกระจายข้อมูลข่าวสารและหลีกเลี่ยงการตรวจจับของรัฐบาล อีกมุมหนึ่งของเทคโนโลยีคือการโจมตีเครือข่ายแบบ DDoS ซึ่งถูกนำมาใช้โจมตีเครื่องแม่ข่ายของรัฐบาลอิหร่าน รวมทั้งโจมตีแอคเคานต์ ของผู้ใช้งานทวิตเตอร์และเฟซบุ๊คนับล้านคน ซึ่งผู้อยู่เบื้องหลังการโจมตีนี้จะต้องมีแบนด์วิธมหาศาลเพื่อการโจมตีครั้งนี้โดยเฉพาะ
- การโจมตี DDoS ในวันที่ 31 สิงหาคม 2552 ซึ่งเป็นวันชาติของมาเลเซียโดยเป้าหมายคือเว็บไซต์ในมาเลเซียที่ถูกบุกรุกและเปลี่ยนเนื้อหาไปกว่าร้อยเว็บไซต์ รวมถึงเว็บไซต์ที่เกี่ยวข้องกับสถาบันแห่งชาติ สื่อมวลชน และภาคธุรกิจของมาเลเซีย
- เว็บไซต์รัฐบาลสหรัฐและเกาหลีใต้ ถูกโจมตีแบบ DDoS จนทำให้เครือข่ายใช้งานไม่ได้เป็นเวลาหลายชั่วโมง
การโจมตีเครือข่ายแบบ DDoS นี้ มีแนวโน้มเกิดขึ้นได้กับทุกประเทศในโลก โดยเฉพาะอย่างยิ่งเมื่อมีการใช้สมาร์ทโฟน และเว็บไซต์ประเภทเครือข่ายสังคม อย่างแพร่หลาย ซึ่งหากผู้ใช้งานไม่ป้องกันตนเองอย่างเหมาะสมแล้ว ก็อาจตกเป็นเหยื่อของผู้ไม่ประสงค์ดีที่ใช้เราเป็นเครื่องมือโจมตีผู้อื่นได้โดยที่เราไม่รู้ตัว
แนวโน้มภัยคุกคามข้อมูลสารสนเทศ ปี 2553
1. แอนตี้ไวรัสไม่เพียงพอสำหรับการป้องกัน
การกำเนิดขึ้นของมัลแวร์แบบโพลีมอร์ฟิค (polymorphic code) ซึ่งเป็นโค้ดที่สามารถเปลี่ยนรูปแบบได้ทุกครั้งที่มันทำงาน แต่ยังคงรักษาอัลกอรึทึมเดิมไว้ โดยเชลล์โค้ดและหนอนคอมพิวเตอร์ หรือมัลแวร์ชนิดใหม่ๆ จะใช้เทคนิคในการซ่อนตัวตนของมัน ดังนั้นแอนตี้ไวรัสที่ใช้วิธีการเดิมๆ ที่อาศัยการวิเคราะห์มัลแวร์เพียงอย่างเดียวจึงไม่เพียงพอต่อการป้องกันภัยคุกคามอีกต่อไป จึงต้องอาศัยวิธีการใหม่ๆ ในการตรวจจับมัลแวร์มาใช้ด้วย
2.โซเชียล เอนจิเนียริ่งเป็นวิธีหลักในการโจมตี (Social Engineering Attack)
การโจมตีในลักษณะนี้ ผู้โจมตีจะมุ่งเป้าไปที่ผู้ใช้ปลายทางและพยายามขโมยข้อมูลความลับจากผู้ใช้ หรือหลอกล่อให้ผู้ใช้ดาวน์โหลดมัลแวร์ เช่น ผู้โจมตีส่งอีเมล์ให้บุคคลอื่นโดยหลอกว่าเป็นผู้ดูแลระบบ และถามรหัสผ่านหรือชักจูงให้เหยื่อเปิดไวรัสที่แนบมาพร้อมกับอีเมล์ เป็นต้น ซึ่งเป็นวิธีการที่ได้รับความนิยมมากขึ้น เนื่องจากไม่เกี่ยวข้องกับช่องโหว่ในระบบปฏิบัติการและเว็บบราวเซอร์ของเครื่องคอมพิวเตอร์เหยื่อ แต่มุ่งเป้าไปที่ผู้ใช้งานโดยตรง ด้วยเหตุนี้โซเชียล เอ็นจิเนียริ่ง จึงเป็นวิธีการเบื้องต้นที่แพร่หลายในปัจจุบัน และคาดว่าจะมีเทคนิคการโจมตีที่สลับซับซ้อนยิ่งขึ้นในปี 2553
3. ผู้ขายซอฟท์แวร์ประเภท "Rogue Security Software" จะเพิ่มความพยายามมากขึ้น
คาดว่าการแพร่กระจาย Rogue Security Software หรือมัลแวร์ที่พยายามลวงให้ผู้ใช้จ่ายเงินซื้อผลิตภัณฑ์ปลอม จะเพิ่มจำนวนขึ้น โดยการโจมตีคอมพิวเตอร์ของผู้ใช้งาน เพื่อทำให้เครื่องนั้นใช้การไม่ได้ หรือการ “เข้ารหัส” ไฟล์แล้วเรียกเงินค่าไถ่จากเจ้าของเครื่องนั้น ซึ่งผู้ขายซอฟต์แวร์จะเปลี่ยนชื่อซอฟท์แวร์แอนตี้ไวรัสแจกฟรีที่สามารถดาวน์โหลดได้ทั่วไป มาใช้เป็น “สินค้า” เพื่อเสนอขายให้กับผู้ใช้ที่ไม่รู้ข้อเท็จจริง และเข้าใจว่าต้องจ่ายเงินซื้อซอฟต์แวร์ดังกล่าว
4. การโจมตีผลการค้นหาเสิร์ชเอนจิ้น (SEO Poisoning attack)
การโจมตีในลักษณะนี้เกิดขึ้นเมื่อแฮกเกอร์โจมตีผลการค้นหาจากเสิร์ชเอนจิ้น เพื่อส่งลิงค์ของตนให้อยู่สูงกว่าผลการค้นหาทั่วไป เมื่อผู้ใช้ค้นหาคำค้นที่เกี่ยวข้อง ลิงค์ที่มีมัลแวร์จะปรากฏใกล้กับตำแหน่งสูงสุดของผลการค้นหา ทำให้เกิดจำนวนคลิกไปยังเว็บมุ่งร้ายที่มากยิ่งกว่าเดิมหลายเท่า เมื่อมีการรณรงค์ตรวจจับและลบลิงค์ดังกล่าวออกจากผลการค้นหา ผู้โจมตีก็จะเปลี่ยนเส้นทางของบอทเน็ตไปยังคำค้นใหม่ที่เหมาะกับเวลาและสถานการณ์ และอาจก่อให้เกิดปัญหาที่ผู้ใช้บริการไม่ให้ความเชื่อถือในผลการค้นหา ตราบใดที่ผู้ให้บริการยังไม่เปลี่ยนวิธีการบันทึกและแสดงผลลิงค์
5. โปรแกรมเสริมสำหรับเครือข่ายสังคมจะถูกใช้เพื่อการหลอกลวง
ด้วยความนิยมของเว็บไซต์เครือข่ายสังคมที่มีการเติบโตอย่างสูง ประกอบกับเว็บไซต์ดังกล่าวยอมให้นักพัฒนาโปรแกรมสามารถเข้าถึงเอพีไอ (API) และพัฒนาแอพพลิเคชั่นเสริมสำหรับผู้ใช้เครือข่ายสังคมได้ ด้วยเหตุนี้จึงมีผู้โจมตีที่พยายามบุกรุกช่องโหว่ในแอพพลิเคชั่นเสริมดังกล่าว จึงคาดว่าจะมีความพยายามในการหลอกลวงผู้ใช้เพิ่มขึ้น เช่นเดียวกับเจ้าของเว็บไซต์ที่พยายามสร้างมาตรการในการแก้ไขภัยคุกคามเหล่านี้เพื่อสร้างความปลอดภัยให้กับผู้ใช้งาน
6. บริการ Short URL จะกลายเป็นเครื่องมือสำหรับฟิชชิ่ง (Short URL Phishing)
บริการ Short URL หรือการย่อลิงค์ URL ให้สั้นลง ที่นิยมทำกันเวลาโพสต์ลิงค์ที่อยากเผยแพร่บนเว็บบอร์ดหรือเว็บไซต์ประเภทเครือข่ายสังคมนั้น เนื่องจากผู้ใช้มักไม่ทราบว่าลิงค์ URL ที่ย่อให้สั้นแล้วนั้นจะพาไปที่ไหน ผู้โจมตีฟิชชิ่ง (phishing) จึงสามารถซ่อนลิงค์เพื่อล่อลวงผู้ใช้งานที่ไม่ระแวดระวัง และไม่คิดก่อนคลิกได้ โดย Short URL นี้จะเป็นภัยคุกคามที่ผสมผสานกับหลายเรื่อง ไม่ว่าจะเป็นการค้นหาบน Search Engine, การทำลิงค์บน SEO หรือแม้แต่การสนทนาออนไลน์ผ่านระบบคอมพิวเตอร์หรืออุปกรณ์มือถือ ก็สามารถซ่อนลิงค์ URL มุ่งร้ายไปกับผู้ให้บริการ short URL ได้เช่นกัน
ด้วยเหตุนี้จึงมีแนวโน้มที่จะนำ Short URL มาใช้ในการแพร่กระจายแอพพลิเคชั่นหลอกลวง เพิ่มมากขึ้น ทั้งยังมีความพยายามหลีกเลี่ยงระบบกลั่นกรองสแปม โดยคาดว่าผู้ส่งสแปมจะใช้บริการย่อลิงค์ให้สั้นเพื่อใช้กระทำการที่มุ่งร้าย ดังนั้น จึงควรใช้บริการ short URL ที่สามารถตรวจสอบภัยคุกคามได้ เช่น SRAN ที่มีบริการตรวจหาฟิชชิ่ง (phishing) และภัยคุกคามจาก URL ต้นฉบับได้ เป็นต้น
7. มัลแวร์ในระบบปฏิบัติการแม็คและอุปกรณ์พกพาจะเพิ่มมากขึ้น
รูปแบบและจำนวนการโจมตีที่ออกแบบมาเพื่อระบบปฏิบัติการหรือแพลตฟอร์มหนึ่งๆ เช่น วินโดวส์, แม็ค, สมาร์ทโฟน นั้น มีความสัมพันธ์โดยตรงกับส่วนแบ่งทางการตลาดของแพลตฟอร์มนั้น ๆ เนื่องจากผู้สร้างมัลแวร์ต้องการรายได้สูงสุด ช่วงหลายปีที่ผ่านจึงเห็นภาพการโจมตีระบบปฏิบัติการวินโดวส์เป็นหลัก แต่ในปี 2552 จะเห็นได้ชัดว่าระบบปฏิบัติการแม็คและสมาร์ทโฟน ตกเป็นเป้าหมายการโจมตีมากขึ้น เช่น บอทเน็ต "Sexy Space" ที่โจมตีระบบปฏิบัติการซิมเบียน และโทรจัน "OSX.lservice" ที่โจมตีระบบแม็ค
เนื่องจากแม็คและสมาร์ทโฟน มีความนิยมเพิ่มสูงขึ้นอย่างต่อเนื่อง และคาดว่าจะมีส่วนแบ่งตลาดเพิ่มมากขึ้นในปี 2553 จึงคาดว่าจะมีผู้โจมตีที่อุทิศเวลาเพื่อสร้างมัลแวร์ที่โจมตีอุปกรณ์เหล่านี้มากขึ้นเช่นกัน
8. ผู้ส่งสแปมปรับตัว ทำให้จำนวนสแปมผันผวน
นับตั้งแต่ปี 2550 สแปมมีจำนวนเพิ่มขึ้นเฉลี่ยร้อยละ 15 ถึงแม้ว่าจำนวนสแปมเมล์จะไม่เพิ่มขึ้นในระยะยาว แต่ก็เป็นที่แน่ชัดว่าผู้ส่งสแปมยังไม่ยอมเลิกราง่าย ๆ ตราบใดที่ยังมีเหตุจูงใจทางการเงินอยู่ ในขณะเดียวกันผู้ส่งสแปมยังต้องปรับตัวให้เข้ากับความซับซ้อนของซอฟต์แวร์รักษาความปลอดภัย, การแทรกแซงของผู้ให้บริการอินเทอร์เน็ต ตลอดจนรัฐบาลในหลายประเทศที่หันมาให้ความสำคัญกับภัยคุกคามเครือข่ายสารสนเทศมากขึ้น
ทั้งนี้คาดว่าผู้ส่งสแปมจะปรับตัวและหาวิธีส่งสแปมผ่าน IM หรือ Instant Messaging มากขึ้น เนื่องจากเหล่าสแปมเมอร์ (Spammer) ค้นพบวิธีใหม่ในการเอาชนะเทคโนโลยี CAPTCHA (การกรอกรหัสก่อนส่งข้อความ) การโจมตีโปรแกรมประเภท IM นี้จึงน่าจะมีแนวโน้มเพิ่มมากขึ้น ด้วยการส่งข้อความสแปมที่ผู้รับไม่ต้องการและมีลิงค์มุ่งร้าย โดยเฉพาะการโจมตีที่มุ่งเป้าไปที่การขโมยแอคเคานต์ IM เพื่อนำไปกระทำการไม่เหมาะสม
9. เกิดมัลแวร์ที่ออกแบบมาเพื่องานเฉพาะด้าน
ในปี 2552 ได้มีการค้นพบมัลแวร์ที่ออกแบบมาเพื่อทำงานเฉพาะด้าน ซึ่งมีเป้าหมายโจมตีระบบเอทีเอ็ม ชี้ให้เห็นว่ามีการล่วงรู้กระบวนการทำงานภายในตลอดจนช่องโหว่ที่สามารถโจมตีได้ คาดว่าแนวโน้มนี้จะยังดำเนินต่อไป รวมถึงความเป็นไปได้ของมัลแวร์ที่สามารถโจมตีระบบเฉพาะทางอื่นๆ อีก เช่น ระบบการโหวตผ่านเครือข่ายโทรศัพท์ที่เชื่อมต่อกับรายเรียลลิตี้โชว์หรือการแข่งขันรูปแบบต่าง เป็นต้น
10. วินโดวส์ 7 จะตกเป็นเป้าโจมตี
วินโดวส์ 7 เป็นระบบปฏิบัติการใหม่ที่เพิ่งเปิดตัวไปไม่นาน จึงคาดว่าจะมีผู้ใช้งานเพิ่มมากขึ้นทั้งบนเครื่องคอมพิวเตอร์และสมาร์ทโฟน เป็นช่องทางใหม่ให้ผู้โจมตีระบบคิดค้นไวรัสสายพันธุ์ใหม่ รวมทั้งมัลแวร์รูปแบบอื่น เพื่อเจาะและทำลายระบบปฏิบัติการนี้ในระยะเวลาอันใกล้อย่างแน่นอน ไม่ว่าไมโครซอฟต์จะทดสอบระบบก่อนวางตลาดอย่างละเอียดเพียงใด แต่หากโค้ดมีความซับซ้อนมาก ก็ยิ่งมีโอกาสสูงที่จะมีช่องโหว่ที่ยังค้นไม่พบเช่นกัน
ศูนย์เฝ้าระวังภัยเทคโนโลยี (IT WATCH) มูลนิธิกระจกเงา
ศูนย์เฝ้าระวังภัยเทคโนโลยีมูลนิธิกระจกเงาทำการประมวลสถานการณ์ภัยเทคโนโลยีที่เกิดขึ้นทั้งหมดเพื่อให้ได้ทราบถึงที่มาที่ไป การกระจายตัวของปัญหาและช่องโหว่ในเรื่องนั้นๆ โดยในปี 2552 มีประเด็นเกี่ยวกับภัยเทคโนโลยีที่เกิดขึ้น ดังนี้
1. คลิปหลุด คลิปแอบถ่าย
ข่มขืนถ่ายคลิป ตลอดปีที่ผ่านมามีการนำเสนอข่าวเหตุการณ์นี้อยู่มากมาย ต้นตอของการถ่ายคลิปเกิดขึ้นเมื่อมีการข่มขืนเพราะต้องการใช้คลิปเป็นตัวข่มขู่เหยื่อเฉกเช่นการถือไพ่ที่เหนือกว่า หลุดปากเมื่อไหร่ส่งประจานทันทีต่อด้วยพัฒนาการของกล้องและการแพร่กระจายที่กล้องนั้นมีขนาดเล็กลงมาก พวกกล้องแอบถ่าย (Spy Camera) อย่างที่เคยได้ยินกัน อาทิ กล้องปากกา กล้องรีโมท กล้องหมากฝรั่ง เป็นต้น ซึ่งมีการนำมาใช้แอบถ่ายกันทั้งในห้องน้ำหรือแม้กระทั่งในห้องพักซึ่งเป็นสถานที่ส่วนตัวที่สุด ไม่เพียงแต่ผู้หญิงเท่านั้นที่จะตกเป็นเหยื่อผู้ชายก็โดน
ด้านการเผยแพร่ทางอินเตอร์เน็ต แค่การ Forward หรืออัพไว้ตามเว็บต่างๆ ดูจะเป็นเรื่องธรรมดาที่คุ้นชินกันไปซะแล้ว จะโหลดให้ไวมันต้องในระบบ Bittorrent ซึ่งจากการศึกษาวิจัยของศูนย์เฝ้าระวังภัยเทคโนโลยี(IT WATCH) พบว่ามีคลิปหลุดคลิปแอบถ่ายอยู่ในระบบนี้จริง ตั้งแต่มกราคมถึงมิถุนายน 2552 พบการแลกเปลี่ยนคลิปหลุดและแอบถ่ายกว่า 996 หัวข้อ และโหลดเสร็จไปแล้ว 902,636 ครั้ง ยิ่งกระจายไว ปัญหายิ่งหนักกว่าเดิม
2. เด็กติดเกม
ปีนี้ทางศูนย์เฝ้าระวังภัยเทคโนโลยี(IT WATCH) มูลนิธิกระจกเงา ได้รับแจ้งเด็กหายเนื่องจากติดเกมมาทั้งหมด 8 ราย ซึ่งล้วนแล้วแต่เป็นเด็กชาย ช่วงอายุระหว่าง 11-15 ปี ทั้งติดเกมจนไม่ยอมไปเรียน พฤติกรรมก้าวร้าวรุนแรง จนถึงเด็กที่หายไปกับคนที่รู้จักกันในเกม อีกด้านหนึ่งการดุด่าว่ากล่าวอย่างรุนแรงจากผู้ปกครองและคนในครอบครัวเปรียบเสมือนการจุดชนวนให้ระเบิดขึ้น
ติดเกมอย่างหนักจนต้องลักขโมย เล่นมาก ค่าชั่วโมงก็มาก เงินก็หมด ไม่น้อยเลยต้องลักขโมยทรัพย์สินเงินทองเพราะว่าอยากได้เงินมาเล่นเกม เด็กบางรายถึงขั้นต้องไปขอทาน ไม่ใช่แค่เอามาเล่นเกมออนไลน์แต่ยังมีตู้เกมยอดเหรียญอีกมากมาย ฝ่ายเจ้าของร้านเกมก็มีบางร้านที่ปล่อยให้เด็กเล่นทั้งวันทั้งคืนไม่กลับบ้าน มิหนำซ้ำยังมีร้านที่ปล่อยให้เล่นจนติดงอมแงมแล้วบังคับให้ไปขายบริการเพื่อใช้หนี้หากินกับเด็กเพื่อผลประโยชน์
3. แชทและ Hi5
เด็กหายติดแชททั้งทางอินเตอร์เน็ตและโทรศัพท์ปีนี้มีทั้งหมด 37 ราย สูงสุดในประวัติการณ์ เป็นเด็กหญิงถึง 36 ราย เป็นเด็กชายแค่รายเดียว ช่วงอายุระหว่าง 12 – 18 ปี ติดแชทแล้วหายไปกับคนที่รู้จักทางอินเตอร์เน็ต อาจเคยนัดพบกันมาก่อนหรือไม่เคยเลย เรื่องความรักความเอาใจใส่เป็นเรื่องอ่อนไหว หากพ่อแม่ผู้ปกครองให้รักและเอาใจใส่ไม่เพียงพอเด็กจึงต้องหาจากที่อื่น ในทางกลับกันให้รักมากไปก็จะสำลักความรักที่มาพร้อมกับความเข้มงวด จนต้องหาอิสระหาแหล่งพักพิงทั้งทางใจและทางกาย
แชทลวงข่มขืนเด็กหญิง ไม่ใช่เรื่องใหม่ในสังคมแต่มันก็ยังเกิดขึ้นซ้ำแล้วซ้ำอีก เด็กที่ตกเป็นเหยื่อจะอยู่ในช่วงเดียวกันกับเด็กหายคือ 12 – 18 ปี ผู้ใหญ่ก็ใช่ว่าจะรอดเพราะยังมีแชทรูดทรัพย์อีกก็หลายรายจับได้ก็ดีแต่ที่ยังจับไม่ได้เลยก็มีจิ้งจอกสังคมไฮเทคยังมีอยู่อีกเกลื่อน
4. เว็บไซต์ / บล็อก
“รวบเว็บมาสเตอร์ปล่อยภาพหลุด”
“จำคุก 2 ปี เจ้าของเว็บไซต์ให้โพสต์ภาพสาวเปลือยลงเน็ต”
“ขายตัวกระหึ่มเว็บ”
“สาวออฟฟิศแจ้ง ปดส.จับ “มือเลว” ลักข้อมูลส่วนตัวโพสต์ล่อแหลม”
ตัวอย่างข่าวเล็กๆน้อยๆ แต่เว็บเหล่านี้มีอยู่ไม่น้อย เว็บไซต์และเว็บบล็อกถูกนำมาใช้งานทั้งการเผยแพร่ภาพลามก ขายซีดีลามกรวมถึงขายคลิปหลุดคลิปแอบถ่าย บ้างก็มีข้อมูลไซด์ไลน์ ประกาศขายบริการกันให้พรึบ ส่วนการกลั่นแกล้งทางเน็ตยอดฮิตก็จะเป็นการนำภาพหรือข้อมูลส่วนตัวอื่นๆ ไปโพสไว้ตามเว็บไซต์ต่างๆ พร้อมข้อมูลเท็จต่างๆ นานาและผู้เสียหายก็เป็นผู้หญิงเช่นเคยซึ่งที่ผ่านมาก็โร่แจ้งร้องทุกข์อยู่หลายราย อีกกรณีหนึ่งใช้เว็บไซต์ขายสินค้ามาใช้เป็นเครื่องมือในการล่อลวงทรัพย์สิน สั่งซื้อสินค้าจ่ายเงินแต่ไม่ได้ของ เป็นต้น
แนวโน้มสถานการณ์ภัยเทคโนโลยี ปี 2553
เด็กติดแชทหรือการหายไปกับคนที่รู้จักกันทางอินเตอร์เน็ตยังเป็นเรื่องที่มีแนวโน้มสูงขึ้นมาอย่างต่อเนื่องตั้งแต่ปีที่แล้วจนปีนี้ส่งผลให้จำนวนเด็กหายพุ่งสูงอย่างน่าตกใจปีหน้าคาดว่าจะยิ่งสูงขึ้นอีก เพราะทั้งเน็ตทั้งมือถือมีอยู่รอบข้างเด็กไม่ห่างกายและเมื่อพิจารณาถึงช่องว่างระหว่างผู้ปกครองและบุตรหลานทั้งเรื่องความคิดความเข้าใจในเทคโนโลยีที่ต่างกัน ประกอบกับการดำรงชีวิตที่พ่อแม่ส่วนใหญ่จะทำงานหามรุ่งหามค่ำจนไม่ค่อยมีเวลา ไม่ค่อยได้ทำกิจกรรมร่วมกัน ยิ่งเป็นปัจจัยสนับสนุนให้เด็กหันไปหาความสุขจากเทคโนโลยีมากขึ้น เช่นเดียวกับปัญหาเด็กติดเกมที่หลายครอบครัวกำลังประสบกับภาวะเด็กก้าวร้าว รุนแรง หนีเรียน เพราะติดอกติดใจกับเกมเยอะจนเกินเหตุ หน่วยงานที่ดูแลเรื่องนี้ก็ยังมีไม่เพียงพอ ปัญหาเด็กติดเกมไม่ได้กระจุตัวอยู่แค่ในชุมชนเมืองและกำลังแผ่ขยายไปทั่ว ประชาชนคงไม่อยากโทรไปรับคำปรึกษาจากระบบโทรศัพท์อัตโนมัติที่ฟังได้เพียงอย่างเดียว แล้วจะไปถามใคร?
คลิปหลุดคลิปแอบถ่ายและเว็บไซต์ที่ไม่เหมาะสม (เผยแพร่ภาพลามก คลิปหลุดคลิปแอบถ่าย จำหน่ายซีดี ไซด์ไลน์) ที่ผุดขึ้นอย่างรวดเร็วและอยู่ทน การส่งต่อก็ยังไม่ลดละเรื่องเก่าเรื่องใหม่วนไปวนมา คงต้องเร่งจัดการอย่างรวดเร็วและเข้มงวด ก่อนที่เด็กจะเอาตัวอย่างจากเว็บเหล่านี้มาใช้ให้เห็นมากกว่าเดิม
Social Network เมื่อ 3G เข้ามาก็แน่นอนว่ามันจะอำนวยความสะดวกอีกมากมาย แต่อีกด้านหนึ่งควรระมัดระวังเรื่องข้อมูลส่วนตัวไว้ให้ดี เทคโนโลยีใหม่ๆ จะเข้ามาอย่างรวดเร็ว ตั้งตัวรับให้ทันแต่อย่าได้นิ่งนอนใจ เพราะรูปแบบของภัยเทคโนโลยีที่จะเข้ามานั้นอาจเปลี่ยนรูปแบบไปแต่มันก็ยังอยู่รอบข้างเหมือนอย่างเคย รอวันที่เหยื่อตกหลุมพราง
Symantec Corporation
บริษัทซอฟต์แวร์ความปลอดภัย Symantec ออกรายงาน Security Trends to Watch in 2010 กล่าวถึงแนวโน้มของวงการความปลอดภัย 13 ข้อดังนี้
1. วิธีแก้ไวรัสแบบเดิมๆ เช่น การสแกน เริ่มไม่พอแล้ว อาจต้องเริ่มมองวิธีรักษาความปลอดภัยแบบใหม่ๆ เช่น reputation-based security หรือการรักษาความปลอดภัยจากตัวโครงสร้าง
2. การหลอกลวงหรือโจมตีโดยใช้วิธีทางสังคม (social engineering เช่น จดหมายหลอกลวงที่บอกว่าเป็นโน่นนี่) จะเป็นวิธีการโจมตีที่สำคัญเพราะมันได้ผล
3. ระวังซอฟต์แวร์ด้านความปลอดภัยปลอม ซึ่งเอาจริงมันจะขโมยข้อมูลของเราแทน
4. แอพพลิเคชันใน social network ก็เป็นอีกจุดที่หลอกลวงผู้ใช้ได้
5. Windows 7 จะเริ่มกลายเป็นเป้าหมายในการถูกโจมตีมากขึ้น
6. Botnet จะมีเทคนิคใหม่ๆ เข้ามามากขึ้น เช่น fast flux
7. บริการย่อ URL จะเป็นช่องทางที่ใช้ทำ phishing ได้เช่นกัน
8. มัลแวร์สำหรับแมคและโทรศัพท์มือถือจะเพิ่มขึ้น
9. สแปมเมอร์จะเลี่ยงกฎหมายสแปม อันเป็นเหตุมาจากช่องโหว่และการบังคับใช้ที่หย่อนยาน
10. จากข้อ 9. สแปมจะเยอะขึ้นได้อีก
11. มัลแวร์เฉพาะทาง เฉพาะอุปกรณ์ เช่น ATM
12. CAPTCHA จะพัฒนาขึ้น ส่งผลให้เกิดการจ้างคนมาแกะ CAPTCHA มากตามไปด้วย
13. สแปมผ่าน IM จะเพิ่มขึ้น
รายงานสถานการณ์อีเมลขยะประจำเดือนธันวาคม 2552 และ อีเมลขยะปี 2553 แนวโน้มพุ่งสูงกว่า 95 เปอร์เซ็นต์ ด้วยเทคนิคใหม่ๆ
ต้นกำเนิดอีเมลขยะในเอเชียแปซิฟิกและอเมริกาใต้ได้มีการเปลี่ยนแปลงขนาดของข้อความอีเมลขยะเฉลี่ย 71.08 เปอร์เซ็นต์ของจำนวนข้อความเฉลี่ยอยู่ที่ 2kb- 5kb มีอยู่ 19.53 เปอร์เซ็นต์ของข้อความ ระหว่าง 5kb-10kb ในช่วงเดือนพฤศจิกายนเพิ่มขึ้นเป็น 20 เปอร์เซ็นต์ และ 5kb-10kb ลดลงเหลือเพียง 18 เปอร์เซ็นต์ ซึ่งการเปลี่ยนแปลงนี้สอดคล้องกับอีเมลขยะที่แนบไฟล์มา อีเมลขยะที่มีการแนบไฟล์มานั้นเฉลี่ย 5.27 เปอร์เซ็นต์ในเดือนพฤศจิกายน เนื่องมาจากประเภทของอีเมลขยะ อย่างอีเมลขยะประเภทอินเทอร์เน็ตลดลงไปถึง 4 เปอร์เซ็นต์และเมื่อคำนวณใหม่จะมี 35 เปอร์เซ็นต์ที่เป็นจำนวนข้อความอีเมลขยะทั้งหมด
นายนพชัย ตั้งไตรธรรม ที่ปรึกษาทางเทคนิค บริษัท ไซแมนเทค คอร์ปอเรชัน เปิดเผยว่า “ไซแมนเทคได้มีการรวบรวมประเด็นเด่นๆ ในปี 2552 นี้ โดยมีปริมาณอีเมลขยะสูงถึง 87.5 เปอร์เซ็นต์ เมื่อเทียบกับเดือนพฤศจิกายนในปี 2551 ลดวูบไปถึง 65 เปอร์เซ็นต์สืบเนื่องมาจากการปิดให้บริการของ McColo ในปี 2552 ก็เช่นกันสแปมเมอร์ยังคงใช้หัวข้อการโจมตีต้อนรับเทศกาลด้วยการโจมตีในรูปของขวัญและโปรโมชันต่างๆ ซึ่งสิ่งที่เรายังคงเห็นอย่างต่อเนื่อง ก็คือการเปลี่ยนรูปแบบการโจมตีด้วยวิธีการใหม่ เช่น อีเมลขยะแฝงมัลแวร์ การใช้เหตุการณ์สำคัญมาเป็นหัวข้อในการโจมตี หรือการใช้รูปแบบการโจมตีแบบใหม่ที่มัลแวร์สามารถเปลี่ยนรูปเพื่อหลีกเลี่ยงการตรวจจับของแอนตี้ไวรัสและแอนตี้สแปม คาดว่าปี 2553 ผู้ใช้งานอินเทอร์เน็ต หรือองค์กรต่างๆ ควรหันมาเตรียมพร้อมรับมือกับภัยคุกคามบนอินเทอร์เน็ตกันมากยิ่งขึ้น”
สร้างกองทัพ "มดดิจิตอล" รับมือไวรัสคอมพิวเตอร์
ผู้เชี่ยวชาญคอมพิวเตอร์มหาวิทยาลัยเวกฟอเรสต์ และห้องปฏิบัติการนอร์ธเวสต์ เนชั่นแนล ประเทศสหรัฐอเมริกา พัฒนาโปรแกรมตรวจสอบ-กำจัดไวรัสคอมพิวเตอร์ใหม่ล่าสุด โดยจำลองแบบมาจากการทำงานของ "มด"
โปรแกรมนี้ได้รับการขนานนามว่า "มดดิจิตอล" หรือเรียกอย่างเป็นทางการว่าระบบ "สวอร์ม อิลเทลลิเจนซ์" (ฝูงแมลงอัจฉริยะ) ภายในโปรแกรมจะแบ่งวิธีตรวจหาไวรัสคอม พิวเตอร์เป็น 3 ระดับ ไล่ตามยศจากต่ำไปหาสูง ได้แก่ มดงานธรรมดา มดยาม และมดยศนายสิบ
ศาสตราจารย์เอียร์ริน ฟัลป์ อาจารย์วิศวะคอมพิวเตอร์ ม.เวกฟอเรสต์ กล่าวว่า มดระดับล่างจะทำหน้าที่คอยค้นหาสัญญาณผิดปกติขั้นพื้นฐานที่เกิดขึ้นในระบบ จากนั้นแจ้งให้มดยามเข้ามาวิเคราะห์ปัญหา และส่งต่อข้อมูลให้มดนายสิบรับทราบ เพื่อให้แจ้งกับเจ้าหน้าที่ควบคุมระบบคอมพิวเตอร์เข้ามาแก้ไขปัญหาในขั้นตอนสุดท้าย
จุดเด่นของกองทัพ "มดดิจิตอล" ก็คือไม่กินหน่วยความจำของคอมพิวเตอร์ เนื่องจากโปรแกรม หรือฝูงมดจะออกทำงานเป็นจำนวนมากต่อเมื่อพบความผิดปกติเท่านั้น แต่ในยามที่ไม่มีสิ่งแปลกปลอมแทรกซึมเข้ามาในเครือข่าย จำนวนมดที่ออกปฏิบัติงานก็จะลดจำนวนลงมา แตกต่างจากโปรแกรมต่อต้านไวรัสคอมพิวเตอร์ตามปกติ ซึ่งคอยกินพื้นที่หน่วยความจำอยู่ตลอดเวลา
"เราทราบว่ามดตามธรรมชาติมีวิธีป้องกันตัวเองจากผู้บุก รุกที่มีประสิทธิภาพดีมากๆ เพราะพวกมันรวมตัวกันรับมือปัญหาอย่างรวดเร็ว และเมื่อจัดการผู้บุกรุกสำเร็จแล้วก็กลับไปทำหน้าที่ดั้งเดิมของมันตามปกติ แนวคิดของเราตอนนี้คือ จะสร้างมดดิจิตอลขึ้นมาสัก 3,000 ชนิด ซึ่งแต่ละชนิดมีความสามารถควานหาภัยคุกคามในระบบคอมพิวเตอร์ที่แตกต่างกันไป" ศาสตราจารย์ฟัลป์กล่าว
สรุป
หลังจากที่ได้ทราบถึงภัยคุกคามที่เกิดขึ้นในปี 2552 และแนวโน้มที่จะเกิดขึ้นในปี 2553 แล้ว หลายท่านอาจไม่จำเป็นต้องตื่นตระหนกแต่อย่างใด เนื่องจากธุรกิจด้านการรักษาความปลอดภัยยังคงมีความแข็งแกร่งในการรับมือกับภัยคุกคามเหล่านี้ มีการสร้างสรรค์สิ่งใหม่ๆ และตระหนักถึงภัยคุกคามที่มีเพิ่มขึ้น ตลอดจนการแข่งขันกันระหว่างผู้ขายเอง ทำให้ภาพในอนาคตไม่น่าจะเลวร้ายมากนัก อย่างไรก็ตามการสร้าง “Security Awareness” ทั้งในแง่ส่วนบุคคลและองค์กร ก็ยังเป็นส่วนสำคัญที่ไม่ควรมองข้าม ถึงแม้กระนั้นก็ตามผู้ใช้เองก็ไม่ควรประมาทกับภัยคุกคามที่เกิดขึ้นในด้านๆต่าง มั่นศึกษาหาความรู้เพิ่มเติมเกี่ยวกับภัยคุกคามดังกล่าว และหาวิธีป้องกัน เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นได้กับผู้ใช้เองในปัจจุบันและอนาคต
เอกสารอ้างอิง
- www.bitdefender.com
- www.eset.com
- www.webroot.com
- www.anti-virus-software-review.toptenreviews.com
- www.anti-spyware-review.toptenreviews.com
- www.ohodownloads.com/software-news/security-trends-to-watch-in-2010
- www.thaipr.net
- www.bangkokbiznews.com
- www.gooab.net
- www.kapook.com
- www.dungdee.com
- www.web.ku.ac.th
- www.science.bu.ac.th
- www.dol.go.th