ในทุกๆปี ช่วงปลายปี ทีมงาน SRAN จะจัดทำบทความสรุปภัยคุกคามด้านไอทีที่เกิดขึ้นในรอบปี ( http://sran.org/fq ) และได้จัดทำการทำนายภัยคุกคามด้านไอทีในปีถัดไปเช่นเป็นเวลา 4 ปีติดต่อกันแล้ว ตอนนี้มาถึงปีนี้ก็ได้มีการจัดทำขึ้นชื่อบทความว่าทำนายภัยคุกคามด้านไอทีปี 2010
บทความนี้จัดทำขึ้นโดยทีมงาน SRAN Dev จากการรวบรวมข้อมูลและผลที่น่าจะเป็นไปได้ว่าจะเกิดภัยคุกคามด้านความมั่นคงปลอดภัยทางคอมพิวเตอร์ ปี 2010 ซึ่งจะเป็นเอกสารที่แตกต่างจากที่ส่งให้กับสื่อสารมวลชนจากที่อื่นๆ เนื่องจากจะลงรายละเอียดทางเทคนิคเข้าไปด้วยการทำนายภัยคุกคามด้านไอทีในครั้งนี้ประกอบไปด้วย 10 หัวข้อหลัก โดยมีรายละเอียดดังนี้
1. แอนตี้ไวรัสไม่เพียงพอสำหรับการป้องกัน
การกำเนิดขึ้นของภัยคุกคามแบบโพลีมอร์ฟิค (polymorphic code – เป็นโค้ดที่ใช้กลไกโพลีมอร์ฟิค เพื่อเปลี่ยนรูปแบบ ในเวลาเดียวกันก็ยังคงรักษาอัลกอรึทึมเดิมไว้โดยไม่เปลี่ยนแปลง โค้ดดังกล่าวจะเปลี่ยนแปลงทุกครั้งที่มันทำงาน แต่การทำงานของโค้ดทั้งหมดจะไม่เปลี่ยนแปลง ในบางครั้งไวรัสคอมพิวเตอร์ เชลล์โค้ดและหนอนคอมพิวเตอร์ใช้เทคนิคนี้เพื่อซ่อนการมีอยู่ของตัวมัน) และการแพร่กระจายของมัลแวร์ที่มีลักษณะเฉพาะในปีค.ศ. 2009 ทำให้ธุรกิจนี้ตระหนักได้อย่างรวดเร็วว่าวิธีการดั้งเดิมสำหรับแอนตี้ไวรัส (ทั้งแบบอาศัย signatures และ heuristic/behavioral) ไม่เพียงพอสำหรับการป้องกันภัยคุกคามในทุกวันนี้ โปรแกรมมัลแวร์มีอัตราในการสร้างที่สูงกว่าโปรแกรมทั่วไปที่ไม่มีประสงค์ร้าย ดังนั้นจึงอาศัยเพียงการวิเคราะห์มัลแวร์เพียงอย่างเดียวไม่ได้อีกต่อไป การใช้ข้อมูลจากไฟล์ซอฟท์แวร์ทั้งหมด อย่างเช่นการใช้ “ชื่อเสียง” ของซอฟท์แวร์ (reputation-based security) เพื่อมาประกอบการตัดสินใจ จะเป็นวิธีการหลักในปีค.ศ. 2010
2. โซเชียล เอนจิเนียริ่งเป็นวิธีหลักในการโจมตี (Social Engineering Attack)
ผู้โจมตีมุ่งเป้าไปที่ผู้ใช้ปลายทางและพยายามหลอกล่อให้ผู้ใช้ดาวน์โหลดมัลแวร์หรือขโมยข้อมูลความลับ ความนิยมของการโจมตีแบบนี้มาจากเหตุผลที่ว่าชนิดของระบบปฏิบัติการและเว็บบราวเซอร์ของในคอมพิวเตอร์ของผู้ใช้ไม่มีความเกี่ยวข้องกับการโจมตี เนื่องจากผู้ใช้เป็นเป้าหมายโดยตรง โดยไม่จำเป็นต้องอาศัยช่องโหว่ในเครื่องคอมพิวเตอร์ โซเชียล เอนจิเนียริ่งเป็นหนึ่งในวิธีการเบื้องต้นอยู่แล้วในปัจจุบัน และคาดว่าความพยายามในการโจมตีโดยใช้เทคนิคจะเพิ่มขึ้นมาอีกในปีค.ศ. 2010
3. ผู้ขายซอฟท์แวร์ประเภท “rogue security software” จะเพิ่มความพยายามมากขึ้น
ในปีค.ศ 2010 คาดว่าจะมีความพยายามของผู้แพร่กระจาย rogue security software (มัลแวร์ที่พยายามลวงให้ผู้ใช้จ่ายเงินสำหรับผลิตภัณฑ์ปลอม) เพิ่มไปอีกระดับ แม้แต่กระทั่งการโจมตีคอมพิวเตอร์ของผู้ใช้ เพื่อทำให้ใช้การไม่ได้และเรียกค่าไถ่ จากนั้นผู้ขายซอฟท์แวร์เปลี่ยนชื่อซอฟท์แวร์แอนตี้ไวรัสแจกฟรีที่สามารถดาวน์โหลดได้ทั่วไป ที่ผู้ใช้เข้าใจว่าจำเป็นต้องจ่ายเงินซื้อ เพื่อมาเสนอขายให้กับผู้ใช้ที่ไม่รู้ข้อเท็จจริง
4. การโจมตีผลการค้นหาเสิร์ชเอนจิ้น (SEO Poisoning attack)
SEO ถือว่าเป็นเทวะ และ ซาตาน ในตัวเอง หากใช้ถูกทางก็สามารถสร้างรายได้จาก SEO ได้แต่บางครั้งเราจะพบว่า SEO เป็นช่องทางในการหลอกหลวงโดยการเกาะกะแสสังคมที่เกิดขึ้นได้เช่นกัน การโจมตีที่เรียกว่า SEO poisoning attack หรือ Blackhat SEO attack เกิดขึ้นเมื่อแฮกเกอร์โจมตีผลการค้นหาจากเสิร์ชเอนจิ้นเพื่อทำให้ลิงค์ของพวกเขาอยู่สูงกว่าผลการค้นหาทั่วไป เมื่อผู้ใช้ค้นหาคำค้นที่เกี่ยวข้อง ลิงค์ที่มีมัลแวร์จะปรากฏใกล้กับตำแหน่งสูงสุดของผลการค้นหา ทำให้เกิดจำนวนคลิกไปยังเว็บมุ่งร้ายที่มากขึ้นกว่าเดิมมาก ในปีค.ศ. 2008 ผู้โจมตีใช้เทคนิคนี้เพื่อเพิ่มผลการค้นหาที่มุ่งร้ายจากการค้นหาทุกอย่างที่เกี่ยวกับ “MTV VMA awards” และ “Google Wave invites” ไปจนถึง “iPhone SMS features” และ “US Labour Day sales” การโจมตีนี้ประสบความสำเร็จ เพราะทันทีที่การรณรงค์ที่มุ่งร้ายนี้ถูกจับได้และลบออกจากผลการค้นหา ผู้โจมตีก็จะเปลี่ยนเส้นทางของบอทเน็ตไปยังคำค้นใหม่ที่เหมาะสมกับเวลา การรณรงค์ที่ไม่หยุดยั้งนี้ดูเหมือนจะเพิ่มขึ้นในปีค.ศ. 2010 และอาจทำให้เกิดปัญหาด้านความเชื่อถือในผลการค้นหาของผู้ใช้บริการ ถ้าผู้ให้บริการยังไม่เปลี่ยนวิธีการบันทึกและแสดงลิงค์
5. โปรแกรมเสริมสำหรับเครือข่ายสังคมจะถูกใช้เพื่อการหลอกลวง
ด้วยความนิยมของไซต์เครือข่ายสังคมที่มีการเติบโตอย่างคาดไม่ถึง คาดว่าจะมีความพยายามในการหลอกลวงผู้ใช้เพิ่มขึ้น เช่นเดียวกันกับเจ้าของไซต์เหล่านี้จะพยายามสร้างมาตรการในการแก้ไขภัยคุกคามเหล่านี้ด้วย เนื่องจากสิ่งเหล่านี้เกิดขึ้น และไซต์เหล่านี้ได้ยอมให้นักพัฒนาสามารถเข้าถึงเอพีไอ (APIs) ผู้โจมตีจะพยายามโจมตีช่องโหว่ในแอพพลิเคชั่นเสริมสำหรับผู้ใช้เครือข่ายสังคม เหมือนกับที่เราเห็นผู้โจมตีมุ่งเป้าการโจมตีไปที่ปลั๊กอินเนื่องจากเว็บบราวเซอร์ปลอดภัยมากขึ้น
6. วินโดวส์ 7 จะตกเป็นเป้าหมายการผู้โจมตี
ไมโครซอฟท์ได้ออกซอฟท์แวร์แก้ไขตัวแรกสำหรับระบบปฏิบัติการใหม่แล้ว ตราบใดที่มนุษย์เป็นผู้โปรแกรมโค้ดคอมพิวเตอร์ ก็ยังจะมีช่องโหว่ในโค้ดนั้น ไม่ว่าจะมีการทดสอบก่อนการวางตลาดของซอฟท์แวร์อย่างละเอียดเพียงใด ถ้าโค้ดนั้นมีความซับซ้อนมาก ยิ่งทำให้เป็นไปได้ที่จะมีช่องโหว่ที่ยังไม่ค้นพบ ระบบปฏิบัติการใหม่ของไมโครซอฟท์ก็ไม่มีข้อยกเว้น และเนื่องจากวินโดวส์ 7 ได้ออกวางตลาดและใช้งานแล้ว ผู้โจมตีจะสามารถค้นพบวิธีโจมตีผู้ใช้งานอย่างไม่ต้องสงสัยเลย
7. บอทเน็ตแบบฟาสฟลักซ์จะมีจำนวนเพิ่มขึ้น (Botnet Fast Flux)
ฟาสฟลักซ์ (fast flux) เป็นเทคนิคที่ใช้โดยบอทเน็ตบางประเภทเช่น สตอร์มบอทเน็ต (Storm botnet) เพื่อซ่อนไซต์ฟิชชิ่งและเว็บไซต์มุ่งร้ายที่อยู่เบื้องหลังเครือข่ายของโฮสต์ที่ถูกบุกรุก ที่ทำตัวเป็นพร็อกซี่ (proxies) ที่เปลี่ยนแปลงตลอดเวลา โดยการใช้เครือข่ายเพียร์ทูเพียร์ (peer-to-peer) คำสั่งและการควบคุมแบบกระจาย โหลดบาลานซิ่ง (load balancing) และการเปลี่ยนเส้นทางของพร็อกซี (proxy redirection) ทำให้ยากในการติดตามที่อยู่ทางภูมิศาสตร์ดั้งเดิมของบอทเน็ต เนื่องจากมาตรการตอบโต้เพื่อลดประสิทธิภาพของบอทเน็ตแบบดั้งเดิมของธุรกิจด้านความปลอดภัย ทำให้คาดได้ว่าจะมีการใช้เทคนิคนี้เพื่อการโจมตีมากขึ้น
8. บริการย่อลิงค์ให้สั้นจะกลายเป็นเครื่องมือสำหรับฟิชชิ่ง (Short URL Phishing)
ทุกวันนี้มีผู้ใช้บริการที่เรียกว่า miniblog เป็นจำนวนมากที่ประสบความสำเร็จคือ twitter เนื่องจาก twitter มีการส่งข้อความที่จำกัดตัวอักษรจึงเป็นเหตุให้หากทำ Link URL ในข้อความจำเป็นต้องอาศัยบริการ short URL ขึ้น ดังนั้นในปี 2010 การใช้ short URL ในการสื่อสารจะมีปริมาณมากขึ้น และเนื่องจากผู้ใช้มักไม่รู้ว่าลิงค์ยูอาร์แอล (URL) ที่ย่อให้สั้นแล้วนั้นจะพาไปที่ไหน ผู้โจมตีฟิชชิ่ง (phishing) จึงสามารถซ่อนลิงค์ที่ผู้ใช้ที่ระมัดระวังเรื่องความปลอดภัยและคิดก่อนคลิก ดังนั้นจึงมีแนวโน้มที่จะใช้วิธีนี้เพื่อแพร่กระจายแอพพลิเคชั่นหลอกลวง ซึ่งจะมีจำนวนมากกว่าเดิม นอกจากนี้ยังมีความพยายามที่จะหลีกเลี่ยงระบบกลั่นกรองสแปม โดยคาดว่าผู้ส่งสแปมจะใช้บริการย่อลิงค์ให้สั้นเพื่อใช้ในกระทำที่มุ่งร้าย ควรหาบริการ short URL ที่สามารถตรวจสอบภัยคุกคามได้ เช่น http://sran.org ที่ให้บริการตรวจหาฟิชชิ่ง (phishing) ้และภัยคุกคามจาก URL ต้นฉบับได้ เป็นต้น
9. มัลแวร์ที่ออกแบบมาเพื่อทำงานเฉพาะด้าน
ได้มีการค้นพบมัลแวร์ที่ออกแบบมาเพื่อทำงานเฉพาะด้านในค.ศ 2009 ที่มีเป้าหมายการโจมตีระบบเอทีเอ็ม บ่งให้เห็นถึงระดับความรู้ข้อมูลภายใน เกี่ยวกับการทำงานและช่องโหว่ที่โจมตีได้ คาดว่าแนวโน้มนี้ยังดำเนินต่อไปในปีค.ศ. 2010 รวมถึงความเป็นไปได้ของมัลแวร์ที่โจมตีระบบลงคะแนนอิเล็กทรอนิกส์ (electronic voting systems) ทั้งแบบที่ใช้ในการเลือกตั้งทางการเมืองและการโหวตผ่านเครือข่ายโทรศัพท์ สาธารณะที่เชื่อมต่อกับรายการเรียลลิตี้โชว์และการแข่งขันต่าง ๆ
- มัลแวร์สำหรับแม็คและอุปกรณ์พกพาจะมีจำนวนเพิ่มขึ้น
จำนวนของการโจมตีที่ออกแบบมาเพื่อระบบปฏิบัติการหรือแพลตฟอร์มเจาะจง มีความสัมพันธ์โดยตรงกับส่วนแบ่งทางการตลาดของแพลตฟอร์มนั้น ๆ เนื่องจากผู้สร้างมัลแวร์ต้องการรายได้ที่มากที่สุด ในปีค.ศ. 2009 สังเกตเห็นได้ว่าแม็คและสมาร์ทโฟนตกเป็นเป้าหมายการโจมตีมากขึ้น ตัวอย่างเช่น บอทเน็ต “Sexy Space” ที่โจมตีระบบปฏิบัติการซิมเบียนและโทรจัน “OSX.lservice” โจมตีแม็ค เนื่องจากแม็คและสมาร์ทโฟนจะมีความนิยมเพิ่มขึ้นในปีค.ศ. 2010 ดังนั้นจะมีผู้โจมตีที่อุทิศเวลาเพื่อสร้างมัลแวร์ที่โจมตีอุปกรณ์เหล่านี้มากขึ้น
10. การปรับตัวของผู้ส่งสแปม
ตั้งแต่ค.ศ. 2007 สแปมมีจำนวนเพิ่มขึ้นเฉลี่ยร้อยละ 15 ถึงแม้ว่าจำนวนอีเมลสแปมจะไม่เพิ่มขึ้นในระยะยาว แต่เป็นที่แน่ชัดว่าผู้ส่งสแปมยังไม่ยอมเลิกราง่าย ๆ ตราบใดที่ยังมีเหตุจูงใจทางการเงินอยู่ จำนวนของสแปมยังคงผันผวนในปีค.ศ. 2010 เนื่องจากผู้ส่งสแปมยังต้องปรับตัวให้เข้ากับความซับซ้อนของซอฟท์แวร์รักษาความปลอดภัย การแทรกแซงของของผู้ให้บริการอินเทอร์เน็ตและหน่วยงานรัฐบาลที่มีความรับผิดชอบทั่วโลก
- สแปมใน Instant messaging จะมากขึ้นกว่าทุกปี
เนื่องจากอาชญากรอินเทอร์เน็ตค้นพบวิธีใหม่ในการเอาชนะเทคโนโลยี CAPTCHA การโจมตีโปรแกรมประเภท instant messenger (IM) จะได้รับความนิยมมากขึ้น ภัยคุกคามไอเอ็มจะประกอบด้วยข้อความสแปมที่ผู้รับไม่ต้องการและมีลิงค์มุ่ง ร้าย โดยเฉพาะการโจมตีที่มุ่งเป้าที่การขโมยแอคเคาท์ไอเอ็ม ก่อนสิ้นปีค.ศ. 2010คาดว่า 1 ใน 12 ลิงค์จะเป็นลิงค์ไปยังโดเมนที่มีมัลแวร์อยู่ ในกลางปีค.ศ. 2009ระดับดังกล่าวจะอยู่ที่ 1 ใน 87 ลิงค์
- เทคโนโลยี CAPTCHA จะพัฒนามากขึ้น
เนื่องจากผู้ส่งสแปมมีความยากลำบากในการเอาชนะระบบ CAPTCHA ผ่านวิธีอัตโนมัติมากขึ้น จึงทำให้ผู้ส่งสแปมใช้คนจริง ๆ เพื่อสร้างแอคเคาท์ใหม่ เพื่อใช้ในการส่งสแปม ดังนั้นจึงมีความพยายามในการเอาชนะเทคโนโลยีที่พัฒนาแล้ว คาดการณ์ว่าจะมีการจ้างคนเพื่อสร้างแอคเคาท์เหล่านี้ ซึ่งจะได้รับค่าจ้างน้อยกว่าร้อยละ 10 ของค่าตอบแทนที่ผู้ส่งสแปมได้รับ โดยคิดราคาอยู่ที่ 30-40 เหรียญสหรัฐต่อ 1,000 แอคเคาท์
บทสรุป
หลังจากที่ได้ทราบถึงภัยคุกคามที่เกิดขึ้นทั้งในปีค.ศ. 2009 และแนวโน้มที่จะเกิดขึ้นแล้ว ผู้อ่านไม่จำเป็นต้องตื่นตระหนกแต่ประการใด ธุรกิจด้านการรักษาความปลอดภัยยังคงมีความแข็งแกร่งในการรับมือกับภัยคุกคามเหล่านี้ เนื่องจากการสร้างสรรค์สิ่งใหม่ ๆ การตระหนักของภัยคุกคามที่มีเพิ่มขึ้น การแข่งขันกันระหว่างผู้ขายเอง ทำให้เกิดภาพในอนาคตในทางที่ดี อย่างไรก็ตามแล้วการสร้าง “Security Awareness” สำหรับทุกคนที่เกี่ยวข้องยังเป็นส่วนสำคัญที่ไม่ควรมองข้าม
สวัสดีปีใหม่ ขอให้เป็นปีแห่งความสำเร็จของทุกท่านที่ได้รับข่าวสารจากทีม SRAN
ข้อมูลอ้างอิงและศึกษาเพิ่มเติม
http://www.f-secure.com/en_EMEA/security/security-lab/latest-threats/security-threat-summaries/2009-1.html
http://downloads.messagelabs.com/dotcom/2010MessageLabsPredictions.pdf
http://th.wikipedia.org/wiki/บริการเครือข่ายสังคม
http://blog.webroot.com/2009/11/20/internet-security-trends-–-a-look-back-at-2009-a-look-ahead-to-2010
http://www.tpa.or.th/tpanews/upload/mag_content/26/ContentFile321.pdf
http://www.techspot.com/news/32211-symantec-touts-reputationbased-security.html
http://www.eweek.com/c/a/Security/IT-Security-Predicitons-for-2010-544436/
http://www.computerworld.com.au/article/328688
From SRAN Technology
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment