ดูแลคอมก่อนจะโดนบุก

posted on 30 Aug 2008 19:37 by mrwar in TALK

Talk: เรื่องราวไม่ค่อยเข้ากับสถานการณ์บ้านเมืองสักเท่าไหร่ แต่ก็สำคัญสำหรับวอร์ทีเดียวเมื่อไม่นานมานี้ก็บุกเข้าเครื่อง เพราะความไม่โดนมานานเลยไม่คิดอัพเรื่องนี้เอาไว้ แต่ไหนๆก็โดนแล้วไปเอาข้อมูลมาเผยแผ่ให้ได้ เชิญอ่านเลยจ้า

Cradit :  ThaiCERT: Thai Computer Emergency Response Team

...................................................................................................

ไวรัสคอมพิวเตอร์เป็นปัญหาที่ผู้ใช้งานคอมพิวเตอร์เกือบทุกคนเคยประสบมาแล้ว ทั้งสิ้น อย่างไรก็ตามถึงแม้ว่าท่านจะเคยมีประสบการณ์เกี่ยวกับการถูกไวรัส คอมพิวเตอร์คุกคามระบบมาแล้ว แต่ท่านทราบหรือไม่ว่าในความจริงแล้วไวรัสคอมพิวเตอร์คืออะไร ไวรัสคอมพิวเตอร์เข้ามาคุกคามระบบของท่านได้อย่างไร วิธีแก้ไขระบบที่ถูกคุกคามเป็นอย่างไร และที่สำคัญคือ ทำอย่างไรจึงจะทำให้ระบบของท่านปลอดภัยจากไวรัสคอมพิวเตอร์ ผมขอนำเสนอความรู้ความเข้าใจเกี่ยวกับไวรัสคอมพิวเตอร์เบื้องต้นอย่างพอเป็น สังเขป เพื่อให้ท่านสามารถป้องกันระบบจากการถูกไวรัสคอมพิวเตอร์คุกคามได้อย่างมี ประสิทธิภาพ

ไวรัสคอมพิวเตอร์คืออะไร


ในอดีต คำว่า "ไวรัสคอมพิวเตอร์" เป็นนิยามของโปรแกรมที่สร้างปัญหาและก่อให้เกิดความเสียหายต่างๆ กับเครื่องคอมพิวเตอร์และสามารถแพร่กระจายตัวเองจากไฟล์หนึ่งไปยังไฟล์อื่นๆ ภายในเครื่องคอมพิวเตอร์ แต่ไม่สามารถแพร่กระจายข้ามเครื่องคอมพิวเตอร์ได้ด้วยตัวเอง ซึ่งการที่ไวรัสคอมพิวเตอร์สามารถแพร่กระจายข้ามเครื่องคอมพิวเตอร์ได้นั้น มีสาเหตุมาจากการที่ผู้ใช้นำไฟล์ที่มีไวรัสคอมพิวเตอร์ไปใช้บนเครื่อง คอมพิวเตอร์อื่นๆ เช่น นำแผ่น diskette หรือสื่อบันทึกข้อมูลต่างๆ ที่มีไฟล์ของไวรัสคอมพิวเตอร์ฝังตัวอยู่มาใช้งาน เป็นต้น


อย่าง ไรก็ตามเมื่อเวลาผ่านไปไวรัสคอมพิวเตอร์ได้รับการพัฒนารูปแบบ เทคนิคการแพร่กระจาย ความสามารถ รวมทั้งความรุนแรงในการก่อความเสียหายให้ระบบ ที่แตกต่างไปจากเดิมมาก ดังนั้น ปัจจุบันคำว่า "ไวรัสคอมพิวเตอร์" จึงมีความหมายที่กว้างขึ้นไปจากเดิมและมีการบัญญัติคำศัพท์ขึ้นมาใหม่ว่า "มาลแวร์ (Malware: Malicious Software)" ซึ่งหมายถึงชุดคำสั่งทางคอมพิวเตอร์ โปรแกรมหรือซอฟต์แวร์ใดๆ ที่ได้รับการจัดทำขึ้นมาโดยมีจุดมุ่งหมายที่จะสร้างความเสียหายให้แก่ เครื่องคอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์ และอาจมีความสามารถในการเคลื่อนที่จากคอมพิวเตอร์หนึ่งไปยังอีกเครื่องหนึ่ง หรือจากเครือข่ายหนึ่งไปยังอีกเครือข่ายหนึ่งได้ด้วยตัวเอง


นั่น คือ ปัจจุบัน "ไวรัสคอมพิวเตอร์" ถูกนำมาใช้ในความหมายของ "มาลแวร์" กันอย่างกว้างขวาง (ในบทความนี้ก็เช่นเดียวกัน) ซึ่งนอกจากจะหมายถึงไวรัสคอมพิวเตอร์ในรูปแบบก่อนๆ แล้วนั้น ยังรวมไปถึง (หรืออาจประกอบมาจากส่วนประกอบที่กล่าวถึงข้างล่างนี้)

- หนอนอินเทอร์เน็ต (Internet Worm) ซึ่งหมายถึง โปรแกรมที่ออกแบบมาให้สามารถแพร่กระจายไปยังเครื่องคอมพิวเตอร์เครื่องอื่น ได้ด้วยตัวเอง โดยอาศัยระบบเครือข่ายคอมพิวเตอร์ เช่น อี-เมล์ หรือ การแชร์ไฟล์ ทำให้การแพร่กระจายเป็นไปอย่างรวดเร็วและเป็นวงกว้าง
- โทรจัน (Trojan) ซึ่งหมายถึง โปรแกรมที่ออกแบบมาให้แฝงเข้าไปสู่ระบบคอมพิวเตอร์ของผู้ใช้อื่นในหลากหลาย รูปแบบ เช่น โปรแกรม หรือ การ์ดอวยพร เป็นต้น เพื่อดักจับ ติดตาม หรือควบคุมการทำงานของเครื่องคอมพิวเตอร์ที่ถูกคุกคาม
- โค้ด Exploit ซึ่งหมายถึง โปรแกรมที่ออกแบบมาให้สามารถเจาะระบบโดยอาศัยช่องโหว่ของระบบปฏิบัติการหรือ แอพพลิเคชันที่ทำงานอยู่บนระบบ เพื่อให้ไวรัสหรือผู้บุกรุกสามารถครอบครอง ควบคุม หรือกระทำการอย่างหนึ่งอย่างใดบนระบบได้
- ข่าวไวรัสหลอกลวง (Hoax) ซึ่งมักจะอยู่ในรูปแบบของการส่งข้อความต่อๆ กันไป เหมือนกับการส่งจดหมายลูกโซ่ โดยข้อความประเภทนี้จะใช้หลักจิตวิทยา ทำให้ข่าวสารนั้นน่าเชื่อถือ ถ้าผู้ที่ได้รับข้อความปฏิบัติตามอาจจะทำให้เกิดความเสียหายต่อระบบ คอมพิวเตอร์ เช่น การให้ลบไฟล์ข้อมูลที่จำเป็นของระบบปฏิบัติการโดยหลอกว่าเป็นไวรัส คอมพิวเตอร์ ทำให้ระบบปฏิบัติการทำงานผิดปกติ เป็นต้น

หมายเหตุ: เมื่อกล่าวถึง hoax จึงขอนำเสนอความรู้เพิ่มเติมเกี่ยวกับลักษณะของ hoax อีกรูปแบบหนึ่งที่ไม่ใช่ไวรัสคอมพิวเตอร์ แต่เป็นอาชญากรรมทางคอมพิวเตอร์รูปแบบหนึ่งที่กำลังเป็นที่พบเห็นได้มากขึ้น เรื่อยๆ ในปัจจุบัน นั่นคือ "Phishing" ซึ่งเป็นการปลอมแปลงอี-เมล์ (E-mail Spoofing) และทำการสร้างเว็บไซต์ปลอมที่มีเนื้อหาเหมือนกับเว็บไซต์ของจริงและมี Address ใกล้เคียงกับเว็บไซต์จริง เพื่อทำการหลอกลวงให้เหยื่อหรือผู้รับอี-เมล์เปิดเผยข้อมูลทางด้านการเงิน หรือข้อมูลส่วนบุคคลอื่นๆ อาทิ ข้อมูลของหมายเลขบัตรเครดิต บัญชีผู้ใช้ (Username) และ รหัสผ่าน (Password) หมายเลขบัตรประจำตัวประชาชน หรือข้อมูลส่วนบุคคลอื่นๆ

ไวรัสคอมพิวเตอร์เข้ามาคุกคามระบบได้อย่างไร

โดยปกติแล้วไวรัสคอมพิวเตอร์เข้าคุมคามระบบได้เนื่องจากสาเหตุหลักๆ 3 ประการ คือ

1) มีการเรียกใช้งานไฟล์ที่มีไวรัสคอมพิวเตอร์ฝังตัวอยู่

ในส่วนของสาเหตุจากการที่ผู้ใช้คอมพิวเตอร์เรียกใช้งานไฟล์ที่มีไวรัส คอมพิวเตอร์ฝังตัวอยู่แล้วทำให้ระบบถูกไวรัสคอมพิวเตอร์เข้ามาคุกคามได้นั้น เป็นสาเหตุซึ่งเป็นที่รู้จักกันดี นอกจากการฝังตัวอยู่กับไฟล์ของผู้ใช้งานซึ่งเป็นรูปแบบของไวรัสคอมพิวเตอร์ แบบยุคต้นๆ แล้วนั้น ในปัจจุบันไวรัสคอมพิวเตอร์มักจะใช้หลักจิตวิทยาที่เรียกว่า Social Engineering เพื่อทำการล่อลวงให้ผู้ใช้งานเรียกเปิดไฟล์ที่เป็นไวรัส เช่น แฝงมาในรูปแบบของโปรแกรมการ์ดอวยพร หรือ โปรแกรม screen saver หรือ แฝงอยู่ในไฟล์ที่ได้รับมาจากบุคคลที่ผู้ใช้รู้จัก ซึ่งผู้ใช้อาจจะได้รับมาทางอี-เมล์ที่มีการปลอมแปลงว่ามาจากบุคคลที่ผู้ใช้ รู้จัก หรือไวรัสอาจแฝงอยู่ในรูปแบบของ link ในอี-เมล์หรือเว็บไซต์ต่างๆ ที่หลอกลวงให้ผู้ใช้ click เพื่อเรียกใช้งาน เป็นต้น

2) ระบบที่ไม่มีการใช้งานโปรแกรม Anti-Virus หรือมีการใช้งานโปรแกรม Anti-Virus แต่ไม่ได้ทำการ update ฐานข้อมูลไวรัส


สำหรับสาเหตุหลักอีกสาเหตุหนึ่งของการที่ระบบถูกไวรัสคอมพิวเตอร์คุกคามคือ การที่ระบบไม่มีการใช้งานโปรแกรม Anti-Virus หรือมีการใช้งานโปรแกรม Anti-Virus แต่ไม่ได้ทำการ update ฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ ซอฟต์แวร์ Anti-Virus ส่วนใหญ่จะสามารถต่อต้านการคุกคามจากไวรัสคอมพิวเตอร์ที่โปรแกรมรู้จักซึ่ง จะได้รับการจัดเก็บอยู่ในฐานข้อมูลไวรัสคอมพิวเตอร์ (Virus Definition Database) ซึ่งจำเป็นต้องมีการ Update ฐานข้อมูลดังกล่าวนี้ให้ทันสมัยอยู่เสมอเพื่อให้โปรแกรมรู้จักและสามารถต่อ ต้านไวรัสคอมพิวเตอร์ตัวใหม่ๆ ได้ บางท่านอาจมีความเชื่อที่ผิดๆ ว่าหากมีการติดตั้งซอฟต์แวร์ Anti-virus บนระบบแล้วไวรัสคอมพิวเตอร์จะไม่สามารถเข้ามาคุกคามระบบได้ ในความเป็นจริงแล้วถึงแม้ระบบจะมีการติดตั้งซอฟต์แวร์ดังกล่าวอยู่ แต่หากไม่มีการ update ฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ หรือ ไม่มีการใช้งานซอฟต์แวร์ Anti-virus เพื่อตรวจสอบโดยละเอียดว่าระบบปราศจากไวรัสคอมพิวเตอร์อย่างสม่ำเสมอแล้ว นั้น ไวรัสคอมพิวเตอร์ก็ยังอาจสามารถเข้ามาคุกคามระบบได้ ยิ่งไปกว่านั้นถึงแม้ซอฟต์แวร์ Anti-virus จะได้รับการติดตั้งและใช้งานอย่างเหมาะสมทุกประการ แต่ระบบก็ยังอาจมีความเสี่ยงต่อการถูกคุมคามอยู่หากระบบมีช่องโหว่ (Vulnerbilities) ซึ่งจะกล่าวถึงในช่วงต่อไป


3) ระบบปฏิบัติการหรือซอฟต์แวร์ที่ทำงานอยู่บนระบบมีช่องโหว่ (Vulnerbilities) พร้อมทั้งระบบมีการเชื่อมต่อกับเครือข่าย

สำหรับสาเหตุในส่วนของการที่ระบบมีช่องโหว่นั้นยังไม่ค่อยเป็นที่เข้าใจและ ตระหนักถึงกันอย่างถ่องแท้มากนัก ในความเป็นจริง ระบบปฏิบัติการและซอฟต์แวร์ที่ทำงานอยู่บนระบบมักจะมีช่องโหว่อยู่ทั้งสิ้น ซึ่งมักจะมีผู้ค้นพบช่องโหว่ใหม่ๆ ของระบบอยู่เรื่อยๆ อย่างต่อเนื่อง ช่องโหว่ (vulnerbilities) มีความหมายคล้ายๆ กับ จุดบกพร่อง (Bugs) ของระบบ โดยรวมๆ ช่องโหว่หมายถึง การที่ระบบมีช่องทางให้ผู้โจมตีสามารถเข้ามาครอบครอง ควบคุมการทำงาน นำไวรัสคอมพิวเตอร์มาเรียกใช้งาน หรือ ทำการบางอย่างบนระบบได้ ในกรณีที่ท่านใช้ระบบปฏิบัติการ Microsoft Windows ท่านสามารถตรวจสอบว่าระบบของท่านมีช่องโหว่อะไรบ้างได้โดยการเรียกใช้งาน Windows Update หรือ browse ไปที่ http://windowsupdate.microsoft.com/ ท่านอาจพบว่าระบบของท่านมีช่องโหว่ที่ร้ายแรงมากมาย ซึ่งช่องโหว่เหล่านี้เป็นช่องทางให้ไวรัสคอมพิวเตอร์หรือผู้ไม่ประสงค์ดี สามารถเข้ามาในระบบของท่านผ่านเครือข่ายได้ การที่ระบบมีช่องโหว่เป็นสาเหตุที่ทำให้เกิดเหตุการณ์ที่เรียกได้ว่า "อยู่ดีๆ ก็ติดไวรัส" นั่นเอง นอกจากนี้การใช้งานระบบปฏิบัติการหรือซอฟต์แวร์ในบางลักษณะก็ทำให้เกิดช่อง โหว่ได้ เช่น การให้โปรแกรมเปิดอ่านอี-เมล์และไฟล์ที่แนบมาโดยอัตโนมัติ การอนุญาตให้บุคคลอื่นนำไฟล์มาติดตั้งบนระบบได้ (Full-Right File Sharing) เป็นต้น

การแก้ไขระบบที่ติดไวรัสคอมพิวเตอร์

การแก้ไขระบบที่ถูกไวรัสคอมพิวเตอร์คุกคามนั้นแตกต่างกันไปขึ้นอยู่กับไวรัส ที่เข้ามาคุกคามระบบ ดังนั้นก่อนอื่นท่านจะต้องทราบก่อนว่าไวรัสอะไรเข้ามาอยู่บนระบบของท่าน ส่วนใหญ่ระบบที่ถูกไวรัสคอมพิวเตอร์คุกคามคือระบบที่ไม่มีการใช้งานโปรแกรม Anti-virus หรือมีการใช้งานโปรแกรม Anti-virus แต่ไม่ได้ทำการ update ฐานข้อมูลไวรัส ดังนั้นการจะทราบถึงว่าไวรัสอะไรอยู่ในระบบได้นั้น ท่านสามารถเลือกใช้วิธีการต่อไปนี้


- นำเครื่องคอมพิวเตอร์อื่นที่มีซอฟต์แวร์ Anti-virus ติดตั้งอยู่และได้รับการ update ฐานข้อมูลไวรัสให้ทันสมัยและผ่านการตรวจสอบแล้วว่าระบบปราศจากไวรัส คอมพิวเตอร์ เข้ามาช่วยในการตรวจสอบว่าระบบของท่านถูกไวรัสอะไรคุกคาม (สำหรับรายละเอียดเกี่ยวกับวิธีการตรวจสอบไวรัสโดยอาศัยเครื่องคอมพิวเตอร์ อื่นด้วยการเชื่อมต่อคอมพิวเตอร์ทั้งสองเครื่องผ่านเครือข่าย (หรือการต่อสาย Cross) สามารถปรึกษาผู้เชี่ยวชาญได้ เช่น ThaiCERT ฯ)
- ใช้บริการระบบตรวจหาไวรัสคอมพิวเตอร์ผ่านเว็บ (ฟรี) เช่นที่ http://housecall.trendmicro.com/housecall/ หรือ http://www.pandasoftware.com/products/activescan/ เป็นต้น จุดอ่อนของวิธีนี้คือการตรวจสอบอาจทำได้ไม่เร็วนักเนื่องจากความล่าช้าของ เครือข่าย นอกจากนั้นระบบเหล่านี้อาจไม่ทำงานบนระบบของท่านที่มีซอฟต์แวร์ Anti-virus ยี่ห้ออื่นติดตั้งอยู่ และยิ่งไปกว่านั้น ไวรัสบางชนิดทำให้ระบบของท่านไม่สามารถใช้งานเครือข่ายได้เลย

บาง ท่านอาจสงสัยว่าทำไมไม่ใช้วิธีติดตั้งซอฟต์แวร์ Anti-virus และ/หรือ update ฐานข้อมูลไวรัส และเรียกใช้งานโปรแกรมดังกล่าว เพื่อทำการตรวจหาไวรัสบนระ