แนวโน้มที่สำคัญเกี่ยวกับความปลอดภัยบนเครือข่ายอินเทอร์เน็ตครึ่งปีแรก 2552

17 Sep 2009

กรุงเทพฯ--17 ก.ย.--เอพีพีอาร์ มีเดีย

เมื่อเดือนธันวาคม 2551 ที่ผ่านมา ไซแมนเทคได้คาดการณ์แนวโน้มด้านความปลอดภัยในปี 2552 ไว้หลายประการด้วยกัน ซึ่งสิ่งที่เกิดขึ้นได้ยืนยันถึงการคาดการณ์ที่ถูกต้องดังรายละเอียดในรายงานฉบับนี้ พร้อมด้วยแนวโน้มน่าสนใจที่เด่นชัดในช่วงครึ่งแรกของปี 2552

  • การเพิ่มขึ้นของมัลแวร์หลากหลายสายพันธุ์ : นักวิจัยด้านความปลอดภัยของไซแมนเทคได้ตรวจพบและป้องกันการโจมตีจากโค้ดอันตรายกว่า 245 ล้านครั้งทั่วโลกในแต่ละเดือน ซึ่งส่วนใหญ่เป็นภัยคุกคามที่ไม่เคยพบมาก่อนและแพร่ระบาดบนเว็บเป็นหลัก ผู้โจมตีระบบได้ปรับเปลี่ยนจากเป้าหมายในวงกว้างที่ใช้โค้ดอันตรายจำนวนไม่มาก มาเป็นการโจมตีแบบจำกัดกลุ่มแต่ใช้โค้ดอันตรายที่แตกต่างกันนับล้าน มัลแวร์หลากหลายประเภทชนิดใหม่นั้นประกอบไปด้วยภัยคุกคามหลายพันรูปแบบซึ่งแพร่ระบาดผ่านทั้งระบบไฟล์แชร์ (file sharing) อีเมลและสื่อเก็บข้อมูลแบบพกพา ด้วยการผสมผสานดังกล่าวทำให้เกิดจำนวนมัลแวร์ที่มีลักษณะจำเพาะแบบนับไม่ถ้วน เป็นการประกาศเตือนถึงความจำเป็นในการค้นหาวิธีใหม่ในการตรวจสอบภัยคุกคาม ทั้งแบบที่สามารถตรวจจับได้ตามลักษณะสถานการณ์แวดล้อม (heuristics) การป้องกันแบบอิงตามพฤติกรรม (behavior blocking) และโมเดลด้านความปลอดภัยแบบอิงตามข้อมูลความปลอดภัยจากผู้ใช้ทั่วโลก (reputation-based security models)
  • วิกฤตเศรษฐกิจ : การโจมตีรูปแบบใหม่ในปี 2552 นั้นได้อาศัยวิกฤติเศรษฐกิจโลกเป็นช่องทางในการโจมตีผ่านทั้งฟิชชิ่ง (phishing) และอีเมลขยะ (spam) โดยมีเป้าหมายไปที่บรรดาผู้คนที่ตกงานเป็นจำนวนมาก นอกจากรูปแบบคำชวนเชื่อที่ชักชวนเรื่องของการทำงานที่บ้านซึ่งเราคาดการณ์ไว้เมื่อปีที่แล้ว ขณะนี้ยังพบรูปแบบอื่นๆ ด้วยทผ่านเว็บบอร์ดโฆษณาและประกาศสมัครงานต่างๆ โดยเรายังคงเห็นการหลอกลวงรูปแบบต่างๆ ที่พุ่งเป้าไปยังผู้คนซึ่งจำนองบ้านหรือกำลังมองหาช่องทางในการจำนองบ้านและรีไฟแนนซ์ นอกจากนี้ยังมีการหลอกลวงอีกจำนวนหนึ่งที่แอบอ้างถึงนโยบายการกระตุ้นเศรษฐกิจของภาครัฐในสหรัฐฯ ด้วย
  • เว็บเครือข่ายเชิงสังคม (social networks): เว็บเครือข่ายเชิงสังคมนั้นยังคงเป็นเป้าหมายที่ได้รับความนิยมจากบรรดาผู้ไม่หวังดีที่ล่อลวงผ่านทางฟิชชิ่ง เพราะการโจมตีแต่ละครั้งนั้นได้ผลตอบรับกลับอย่างมากมาย ตัวอย่างเช่น การโจมตีเว็บเครือข่ายเชิงสังคมชื่อดังผ่านรูปแบบต่างๆ ซึ่งฟิชเชอร์ (phishers) ได้เข้าควบคุมบัญชีผู้ใช้ของผู้อื่น และใช้เป็นทางผ่านในการโจมตีเพื่อนของผู้ใช้ดังกล่าวอีกต่อหนึ่ง หรือบางอย่างก็มาในรูปของเกมที่ปรากฏบนเว็บบล็อกชื่อดัง โดยที่ผู้เล่นจะถูกสอบถามรายละเอียดส่วนบุคคล ทั้งชื่อถนนของที่อยู่ และนามสกุลเก่าของมารดา โดยที่ผู้เล่นไม่มีโอกาสได้รู้ตัวเลยว่า เกมปลอมๆ ดังกล่าวได้แอบเก็บรวบรวมข้อมูลสำคัญเกี่ยวกับผู้ใช้ไปเรียบร้อยแล้ว
  • อีเมลขยะที่มีจำนวนเพิ่มสูงขึ้น : ในปี 2551 ไซแมนเทคพบว่าอีเมลขยะนั้นได้ลดลงไปกว่า 65 เปอร์เซ็นต์ ในช่วงระยะเวลา 24 ชั่วโมงก่อนที่ McColo (หนึ่งในแหล่งต้นตอของปัญหาอีเมลขยะทั่วโลก) จะถูกปิดตัวลง และในอีก 24 ชั่วโมงหลังจากนั้น เรายังได้คาดการณ์ด้วยว่า ปัญหาอีเมลขยะจะกลับมาอีกครั้งในระดับ 75-80 เปอร์เซ็นต์ ซึ่งเมื่อต้นเดือนมิถุนายนที่ผ่านมา ไซแมนเทคได้รายงานว่าทางหน่วยงานที่รับผิดชอบให้ร่วมมือกันเพื่อสั่งปิดผู้ให้บริการอินเทอร์เน็ตอย่าง Pricewert LLC ที่เป็นอีกหนึ่งแหล่งต้นตอของอีเมลขยะทั่วโลก ซึ่งถือเป็นตัวอย่างอันดีในการร่วมมือกันระหว่างผู้เชี่ยวชาญด้านความปลอดภัยที่ต่อสู้ร่วมกันเพื่อจัดการกับอาชญากรรมออนไลน์ อย่างไรก็ดีปัญหาอีเมลขยะนั้นยังคงอยู่ในระดับสูงตลอดเดือนมิถุนายน คิดเฉลี่ยเป็นจำนวน 90 เปอร์เซ็นต์ของอีเมลทั้งหมด นอกจากนี้สแปมเมอร์ยังได้อาศัยเหตุการณ์สำคัญที่เกิดขึ้น อาทิ การเสียชีวิตของไมเคิล แจ็คสัน และปัญหาไข้หวัดใหญ่สายพันธ์ใหม่ 2009 รวมไปถึงเหตุการณ์แผ่นดินไหวในอิตาลี เพื่อหลอกล่อผู้ใช้ผ่านอีเมลขยะด้วย
  • ความก้าวหน้าของภัยคุกคามทางเว็บ: ภัยคุกคามยังคงเกิดขึ้นอย่างต่อเนื่องโดยเฉพาะบนเว็บ ซึ่งมีเป้าหมายหลักก็คือผู้ใช้ที่เข้ามาเยี่ยมชมเว็บไซต์ต่างๆ ที่ถูกลอบควบคุมสั่งการ และส่งผู้ใช้ไปยังเว็บไซต์ที่เต็มไปด้วยโค้ดอันตราย หนึ่งรูปแบบที่ใช้บ่อยก็คือ การสั่งให้เกิดการดาวน์โหลดโค้ดอันตรายโดยที่ผู้ใช้ไม่รู้ตัว และเราก็ได้ตรวจพบการโจมตีผ่านเว็บไปยังโดเมนชื่อดังต่างๆ ผ่านสภาพแวดล้อมแบบเครือข่ายเชิงสังคม หนึ่งกรณีที่เพิ่งเกิดขึ้นไม่นานและกลายเป็นข่าวดังก็คือ คำเชิญแบบปลอมๆ ให้เข้าร่วมเป็นสมาชิกบนเว็บเครือข่ายเชิงสังคมแห่งหนึ่ง ที่มาพร้อมกันไฟล์แนบและเวิร์ม (worm) สำหรับส่งอีเมลขยะแบบอัตโนมัติ นอกจากนี้ยังพบการโจมตีแบบอื่นๆ ด้วย เช่น การเจาะแอพพลิเคชันผ่านโปรแกรมเสริมประเภทปลั๊กอิน หรือช่องโหว่ cross-site scripting ได้รับความนิยมเพิ่มขึ้นเหนือการโจมตีรูปแบบเดิมที่ผ่านจาวาสคริปต์และบราวเซอร์รุ่นที่ไม่ปลอดภัย

แนวโน้มภัยคุกคามเพิ่มเติมที่น่าจับตามองช่วงครึ่งแรกของปี 2552

ขณะที่เราได้คาดการณ์แนวโน้มใหม่ในปี 2552 ก็ยังมีแนวโน้มอื่นๆ เพิ่มเติม และน่าจับตาในช่วงครึ่งแรกของปีนี้ด้วยเช่นกัน

  • การกลับมาของภัยคุกคามเดิมๆในปี 2552: ช่วงครึ่งแรกของปี 2552 เริ่มมีภัยคุกคามแบบเดิมได้กลับมาสร้างปัญหาให้กับผู้ใช้อีกครั้ง การปล่อยภัยคุกคามจำนวนไม่มากแต่ส่งผลกระทบในวงกว้างดังเช่น CodeRed และ Nimda นั้น ได้กลายเป็นส่วนหนึ่งในเทคนิคการโจมตีที่ถูกใช้โดยเวิร์ม Koobface ที่แพร่ระบาดผ่านเว็บเครือข่ายเชิงสังคมและเวิร์ม Conficker ซึ่งเป็นหนึ่งในภัยคุกคามที่มีความซับซ้อนและระบาดอย่างหนักบนอินเทอร์เน็ตในช่วงหลายปีที่ผ่านมา โดยที่การระบาดของภัยคุกคามก่อนหน้านี้มักมีแรงจูงใจมาจากด้านการเงินเป็นหลัก (เช่น ขโมยข้อมูลส่วนบุคคล การปล่อยโปรแกรมแอนตี้ไวรัสปลอม หรือการแพร่กระจายอีเมลขยะ) เช่นเดียวกับโทรจัน Dozer ที่แพร่กระจายโดยการโจมตีแบบ DDoS (distributed denial of service) ด้วยเหตุผลในการสร้างชื่อเสียงและสร้างความเสียหายเหมือนกับการโจมตีในช่วงที่ผ่านมา ทั้งนี้จะเห็นได้ว่าเทคนิคในการโจมตีต่างๆ ที่เกิดขึ้นก่อนหน้านี้ ยังคงถูกใช้ในภัยคุกคามในปัจจุบัน และเราเชื่อว่ามาตรการป้องกันแบบหลายชั้นที่รวมวิธีการปกป้องแบบดั้งเดิมเข้ากับปราการเสริมรูปแบบใหม่ เช่น การใช้โมเดลด้านความปลอดภัยแบบอิงตามข้อมูลความปลอดภัยจากผู้ใช้ทั่วโลกถือเป็นเรื่องที่สำคัญยิ่ง
  • ความร่วมมือในวงกว้างเพื่อจัดการกับปัญหาความปลอดภัยบนโลกไซเบอร์: เมื่อรูปแบบการโจมตีเริ่มมีความซับซ้อนมากยิ่งขึ้น ความร่วมมือกันระหว่างหน่วยงานต่างๆ ในระดับที่เข้มข้นถือเป็นสิ่งจำเป็นในการจัดการกับการแพร่ระบาดของภัยคุกคามเหล่านั้น ในเดือนกุมภาพันธ์ 2552 ที่ผ่านมา ได้มีการก่อตั้งคณะทำงานเกี่ยวกับเวิร์ม Conficker ขึ้นมาเฉพาะ ซึ่งเป็นความร่วมมือระหว่างบริษัทชั้นนำในอุตสาหกรรมและด้านการศึกษา เพื่อจัดการกับการแพร่ระบาดของ Conficker ทั่วโลก โดยมีทั้งนักวิจัยด้านความปลอดภัย หน่วยงานด้านการจัดสรรชื่อโดเมนอย่าง ICANN (Internet Corporation for Assigned Names and Numbers) และผู้ให้บริการอีกจำนวนมากบนระบบชื่อโดเมน รวมไปถึงบริษัทชั้นนำต่างๆ ที่ร่วมมือกันสกัดกั้นโดเมนที่เป็นเป้าหมายของ Conficker ซึ่งเราน่าจะได้เห็นความร่วมมือลักษณะนี้เพิ่มมากขึ้นในอุตสาหกรรม วงการการศึกษา และหน่วยงานภาครัฐ เพื่อจัดการกับภัยคุกคามอื่นๆ ที่กำลังเกิดขึ้นอยู่ในขณะนี้
  • โปรแกรมหลอกและสร้างความเข้าใจผิด ยังคงมีให้เห็นอย่างต่อเนื่อง: ทุกวันนี้ผู้โจมตีระบบนั้นได้เพิ่มความซับซ้อนและวางแผนมาเป็นอย่างดี และยังคงใช้แนวทางการเลียนแบบธุรกิจต่างๆ ที่มีชื่อเสียงเพื่อหลอกลวงเหยื่อ อาทิ โฆษณาอันตรายหรือ malvertisments ที่มาในรูปของโฆษณาแบบแฟลช ที่ส่งผู้ใช้ไปยังหน้าเว็บปลอม โดยเลียนแบบเว็บไซต์ชื่อดังหลายแห่ง หรือที่มาในรูปของแอพพลิเคชันปลอมที่เรียกว่า scareware ที่เลียนแบบซอฟต์แวร์แอนตี้ไวรัสและโฆษณาถึงคุณสมบัติในการกำจัดภัยคุกคาม แต่เมื่อติดตั้งลงบนระบบคอมพิวเตอร์ กลับพยายามแจ้งเตือนผู้ใช้อย่างไม่ถูกต้องให้เชื่อว่าบนคอมพิวเตอร์ดังกล่าวมีภัยคุกคามอยู่มากมาย ผ่านการแจ้งเตือนด้วยหน้าต่างป๊อบอัพ ไอคอนบนแถบเครื่องมือ ฯลฯ โดยหลอกล่อด้วยการสแกนหาภัยคุกคามทั้งที่ไม่ได้เกิดขึ้นจริง และแสดงรายงานที่ผิดๆ ให้แก่ผู้ใช้ โดยมีเป้าหมายเพื่อให้ผู้ใช้หันมาซื้อผลิตภัณฑ์ปลอมที่โฆษณาถึงคุณสมบัติในการจัดการกับภัยคุกคามที่เกิดขึ้นทั้งที่ทำไม่ได้จริง โดยผู้ที่ตกเป็นเหยื่อมักถูกชักนำไปสู่หน้าเว็บสำหรับสั่งซื้อสินค้าและถูกหลอกล่อให้จ่ายเงินผ่านระบบออนไลน์ในที่สุด

สอบถามรายละเอียดเพิ่มเติมติดต่อ

ที่ปรึกษาฝ่ายประชาสัมพันธ์ บริษัท เอพีพีอาร์ มีเดีย

กณวรรธน์ (เกศ), บุษกร (ติ๊ก)

โทร. 02-655-6633

สามารถคลิกดูภาพประกอบได้ที่ www.thaipr.net