กลยุทธม้าโทรจัน เรื่องนี้คนที่เป็นแฮกเกอร์จะรู้ดี เพราะเป็นกลยุทธที่ใช้ได้แม้กระทั่งในอินเทอร์เน็ต
ม้าโทรจันเป็นนิยายกรีก คือมีสงครามระหว่างเมืองสองเมือง เมืองโทรจันกับเมืองทรอย สู้รบกันยืดเยื้อยาวนาน สุดท้ายเมืองโทรจันจึงวางแผน สร้างม้าไม้ขึ้นมาตัวหนึ่ง ให้ทหารเข้าไปอยู่ในม้า แล้วเอาม้าไปวางหน้าประตูเมืองทรอย ทหารเมืองทรอยก็สงสัยว่าม้าอะไร จึงลากม้าเข้าเมือง แล้วทหารที่อยู่ในม้าก็แอบออกมาเปิดประตูเมือง ทำให้ทหารเมืองโทรจันบุกเข้าไปยึดเมืองทรอยได้
Trojan = เกี่ยวกับเมืองทรอย (Troy) หรือชาวเมืองทรอย สงครามระหว่างกรีซกับทรอยอ้างอิงจาก Dict. Eng-Thai ส.เศรษฐบุตร
ถ้ากล่าวถึงม้าโทรจัน ในทางคอมพิวเตอร์ จะหมายถึงโปรแกรมที่ถูกโหลดเข้าไปในคอมพิวเตอร์ เพื่อ ปฎิบัติการ "ล้วงความลับ" "ยึดเป็นฐานที่มั่นเพื่อโจมตีคอมพิวเตอร์เครื่องอื่น" สำหรับในคอมพิวเตอร์ ความลับนั้นคืออะไรบ้าง รหัสผ่าน User Name , และข้อมูลส่วนตัวเกี่ยวกับการ Login ระบบ ที่ถูกพิมพ์ผ่านคีย์บอร์ดโดยผู้ใช้งาน
โดยส่วนใหญ่แฮคเกอร์จะส่งโปรแกรม "ม้าโทรจัน" เข้าไปในคอมพิวเตอร์เพื่อดักจับข้อมูลดังกล่าว แล้วนำไปใช้ในการเจาะระบบ และเพื่อโจมตีคอมพิวเตอร์ เซิร์ฟเวอร์ ระบบเครือข่ายอีกที ซึ่งเป็นที่รู้จักกันในชื่อการโจมตีเพื่อ "ปฎิเสธการให้บริการ" (Denied of Services)
โปรแกรมม้าโทรจัน ถือเป็นโปรแกรมที่สอดคล้องกับการทำงานของคอมพิวเตอร์ ไม่มีคำสั่งหรือการปฏิบัติการที่เป็นอันตรายต่อคอมพิวเตอร์ พูดง่ายๆมันไม่ใช่ "ไวรัส ซึ่งถูกถือเป็นเชื้อโรค" แต่ม้าโทรจันเป็นโปรแกรมธรรมดา ที่โปรแกรมตรวจสอบไวรัสไม่สามารถตรวจจับพฤติกรรมร้ายๆได้ แต่วัตถุประสงค์ของโปรแกรมม้าโทรจันนั้นกลับเป็นการทำงานเพื่อละเมิดความปลอดภัย และก่อให้เกิดการโจมตีระบบและความเสียหายอื่นๆ ตามมา ดังนั้นม้าโทรจันจึงไม่เป็นที่ปรารถนาของใครๆ
ม้าโทรจันในคอมพิวเตอร์ทำงานอย่างไร
อย่างที่กล่าวแล้วว่า ม้าโทรจันแตกต่างจากไวรัสที่การทำงาน ไวรัสทำงานโดย ทำลายคอมพิวเตอร์ ทั้งฮาร์ดแวร์และซอฟต์แวร์อย่างแท้จริง ไวรัสบางตัวอย่าง Love BUG ทำลายไฟล์โดยการเปลี่ยนแปลงรายละเอียดในไฟล์ ไวรัส CIH ทำให้ไบออสของคอมพิวเตอร์เสีย และเข้าถึงข้อมูลในฮาร์ดดิสก์ไม่ได้ แต่ "ม้าโทรจัน" ไม่ทำอะไรกับคอมพิวเตอร์ ม้าโทรจันไม่มีคำสั่งหรือพฤติกรรมการทำลายคอมพิวเตอร์เหมือนไวรัส ม้าโทรจันเหมือนโปรแกรมทั่วไปในคอมพิวเตอร์
สมัยก่อนเวลาพูดถึงม้าโทรจัน จะว่ากันว่าขนาดของไฟล์ แตกต่างจากไวรัสที่ขนาดของม้าโทรจันนั้นเป็นโปรแกรมขนาดเล็ก และเป็นโปรแกรมที่ไม่ถือว่ามีพฤติกรรมเป็นอันตรายต่อคอมพิวเตอร์ ซึ่งในทางการกำจัดไวรัส จะมีการตรวจสอบโดยการดูลักษณะการทำงาน ไวรัสนั้นมีคำสั่งอันตราย แต่โทรจันไม่มี ดังนั้นโปรแกรมตรวจสอบไวรัสไม่มีทางที่จะตรวจสอบหา "ม้าโทรจัน" พบ
ม้าโทรจันนั้นเป็นเครื่องมือของแฮคเกอร์ในการเจาะระบบ ว่ากันว่าบรรดาแฮคเกอร์นั้นมีสังคมเฉพาะที่แจกจ่าย เผยแพร่ม้าโทรจันออกไปใช้งาน โดยส่วนใหญ่ม้าโทรจันซึ่งปัจจุบันมีอยู่นับพันโปรแกรม ถูกพัฒนาโดยพวกนักศึกษา แฮคเกอร์ และมือสมัครเล่นอีกหลายคน เพราะม้าโทรจันนั้นคือโปรแกรมที่เขียนขึ้นเพื่อบันทึกว่าแป้นคีย์บอร์ดแป้นไหนถูกกดบ้าง ด้วยวิธีการนี้ก็จะได้ข้อมูลของ User ID, Password หลังจากนั้นโปรแกรมม้าโทรจันจะบันทึกข้อมูลลงไปใน RAM , CMOS หรือ Hidden Directory ในฮาร์ดดิสก์ แล้วก็หาโอกาสที่จะอัพโหลดตัวเองไปยังแห่งที่ผู้เขียนม้าโทรจันกำหนด หรือบางทีแฮคเกอร์อาจจะใช้วิธีการเก็บไฟล์ดังกล่าวไปด้วยวิธีอื่น การใช้อินเตอร์เน็ต ใช้โมเด็ม หรือใช้ LAN
อย่างไรก็ตาม ปัจจุบัน เนื่องจากเป็นยุคของอินเตอร์เน็ต ขนาดของโปรแกรมม้าโทรจันนั้นใหญ่ขึ้น และทำอะไรได้เบี่ยงเบนความสนใจมากขึ้น เช่น แสดงรูปภาพสกรีนเซฟเวอร์น่ารักๆ แต่จุดประสงค์ที่แท้จริงของม้าโทรจันคือ "สืบเสาะหาความลับ" ยังคงไม่เปลี่ยนแปลง แถมตัวใหม่ที่รันบนวินโดวส์ 95/98 นั้น สืบหาความลับมากกว่าเดิมด้วย เอาข้อมูลส่วนบุคคลส่งไปได้เลย ม้าโทรจันบางตัวเข้ามาเพื่อ "เปิดประตู" จริงๆ คือ เปิดช่องว่างด้านระบบรักษาความปลอดภัยรอพวก "หัวขโมย" เข้ามาปฎิบัติการอีกที และอย่างที่เราทราบกันแฮคเกอร์บางคนวางแผนยึดเครื่องพีซีเพื่อดำเนินการโจมตีเซิร์ฟเวอร์ที่ให้บริการทางอินเตอร์ให้หยุดให้บริการ
ประเภทต่างๆของม้าโทรจัน
ม้าโทรจันนั้นไม่มีเพียงประเภทเดียว แต่มีการแบ่งออกเป็นหลายประเภท ตามลักษณะการคุกคามและการทำงาน
- Client / server ม้าโทรจันแบบนี้จะส่งจากเซิร์ฟเวอร์ไปไว้ที่ไคลเอ็นต์ โดยสั่งเปิด
พอร์ตที่ไคลเอ็นท์แล้วให้เครื่องไคลเอ็นต์อีกเครื่องไปควบคุม
- DDOS Distributed Denial of Service แฮคเกอร์จส่งโทรจันไปไว้ที่เครื่องไคลเอ็นต์หลายๆเครื่อง หลังจากนั้นจะใช้เครื่องไคลเอนต์เหล่านั้นโจมตีเว็บไซต์เป้าหมายพร้อมๆกันเพื่อให้หยุดบริการอย่างที่ได้ยินกันในเดือนมิถุนายน 2543 ที่ผ่านมา
- Destructive โทรจันประเภทนี้ทำงานเหมือนไวรัสคือ พยายามทำลายไฟล์ระบบของเครื่อง จนกระทั่งบูตไม่ได้
- FTP โทรจันแบบนี้ทำให้ไดรฟ์ C สามารถใช้คำสั่ง FTP ได้ ข้อมูลในไดรฟ์ C จะถูกดูดออกไปด้วย
- IRC Internet Relay Chat ทำให้เปิด Connection กับ Chat Server หลายๆตัว
- Keylogger ทำหน้าที่บันทึกแป้นคีย์บอร์ดที่ถูกคีย์ลงไปขณะที่เราใช้คอมพิวเตอร์ การบันทึกนั้นรวมถึงรหัสผ่าน User Name และทุกๆคีย์ที่ถูกกดผ่านคีย์บอร์ด
- Password Stealer ตัวขโมยรหัสผ่าน โดยขโมยรหัสผ่านของ ICQ , e-mail , ระบบคอมพิวเตอร์ ,การต่อเชื่อม ISP แล้วเก็บรหัสผ่านนั้นไว้ในไฟล์หนึ่ง แล้วเอาม้าโทรจันอีกตัวมาอัพโหลดไฟล์นั้นไปยังปลายทาง
- Remote Flooder ทำงานเหมือนกับ DDOS คือส่งโทรจันไปที่เครื่องปลายทาง (รีโมท) แล้วสั่งจากเครื่องมาสเตอร์ให้เครื่องปลายทาง (รีโมท) โจมตีเป้าหมายอีกทีหนึ่ง
- Telnet ม้าโทรจันตัวนี้จะยึดเครื่องรีโมทเป็นอาวุธโจมตีเครื่องปลายทาง โดยผ่าน Telnet ใช้คำร้องขอบริการ Telnet เพื่อจัดการกับเครื่องเหยื่อเป้าหมาย เหมือน DDOS อีกตัว
- VBSscript ตัวนี้เป็นโทรจันที่อันตราย เพราะมันอาจจะซ่อนตัวในเว็บไซต์ รอโจมตีเครื่องเป้าหมาย แล้วหลังจากนั้นก็เผยแพร่ผ่าน e-mail Outlook Express เพื่อโจมตีหรือกระจายไวรัสต่อไป นอกจากนี้ VBScript ยังมีอันตรายอย่างมากด้วย เพราะสามารถใช้คำสั่งในการรันคำสั่งอื่นเพื่อทำลายระบบ หรือเปลี่ยนไฟล์ได้
ป้องกัน-กำจัดม้าโทรจันสำหรับสำนักงาน
นับวันม้าโทรจันจะยิ่งมีโอกาสในการแพร่ระบาดสูงขึ้น เพราะพัฒนาการของของเทคโนโลยีพีซี จากยุคเก่าที่มีเพียงเครื่องมินิคอมพิวเตอร์หรือเมนเฟรม 1 เครื่อง และ Dumb Terminal ที่ Dumb Terminalนั้นไม่มีดิสก์เก็ต ดังนั้นโอกาสที่ม้าโทรจันจะถูกโหลดผ่านดิสก์เก็ตย่อมไม่มี แต่หลังจากนั้น Dumb Terminal ถูกแทนที่โดย Thin Client ซึ่งอาจจะมีดิสก์เก็ตและมีฮาร์ดดิสก์ ทำให้ง่ายต่อการแพร่ระบาดของม้าโทรจัน นอกจากนี้ การที่อินเตอร์เน็ตถูกนำเข้าเป็นส่วนหนึ่งของระบบคอมพิวเตอร์ ก็ทำให้การแพร่ระบาดของม้าโทรจันง่ายขึ้น ดังนั้นการวางแผนและกำหนดนโยบายเกี่ยวกับระบบรักษาความปลอดภัยที่รัดกุมจะช่วยป้องกันม้าโทรจันได้
สำหรับในสำนักงาน การป้องกันม้าโทรจัน ทำได้หลายวิธี เช่น
การห้ามไม่ให้เอาแผ่นดิสก์เก็ตจากแหล่งภายนอกมาใช้งาน การใช้ Firewall เพื่อป้องกันการถูกโจมตีจากแฮคเกอร์ เพราะแฮคเกอร์ใช้ม้าโทรจันเป็นเครื่องมือเช่นกัน การป้องกันโดยการห้ามไม่ให้พนักงานใช้โมเด็มต่อเชื่อมเข้าด้วยอินเตอร์เน็ตโดยใช้คอมพิวเตอร์เครื่องที่ต่อเชื่อมกับระบบเครือข่ายภายในสำนักงานก็เป็นวิธีหนึ่งด้วย ประเด็นนี้สำคัญนะครับ โดยมาก ฝ่าย IS ของหลายๆแห่งกำหนดไว้ชัดเจนเลย แต่ถ้ายังไม่กำหนด ก็รีบเถอะครับ
ปัจจุบันมีผลิตภัณฑ์ Firewall ใหม่หลายตัว ที่ถูกพัฒนาขึ้นมาเพื่อป้องกันการโจมตีของม้าโทรจันโดยเฉพาะ โดยผนวกเอาคุณสมบัติการป้องกันม้าโทรจันเข้าไปในผลิตภัณฑ์ Firewall ทั้งฮาร์ดแวร์และซอฟต์แวร์ นอกจากนี้ยังเพิ่มฟังก์ชันในการตรวจสอบว่าระบบถูกการโจมตีแบบ DDOS หรือไม่ด้วย
สำหรับสำนักงานแล้ว ดูเหมือนเป็นหน้าที่ของฝ่ายไอทีในการตรวจสอบ (Audit) ระบบ เพื่อดูว่ามีความเสี่ยงต่อการถูกโทรจันหรือไม่ เพราะแต่ละองค์กรมีความเสี่ยงเรื่องการถูกโทรจันไม่เท่ากัน เช่นองค์กรที่เคยใช้คอมพิวเตอร์เฉพาะในองค์กรเท่านั้น และมีการควบคุมที่ดี ย่อมเสี่ยงต่อมาโทรจันน้อย แต่ต่อมา ถ้าหากองค์กรนั้นต่อเชื่อมระบบเครือข่ายของตัวเองเข้ากับอินเตอร์เน็ต ความเสี่ยงย่อมสูงขึ้น ทำให้ฝ่ายไอทีต้องสำรวจว่ามีเครื่องมือที่เหมาะสมในการป้องกันหรือไม่
สำหรับสำนักงาน การป้องกันม้าโทรจัน ควรกำหนดแผนการป้องกันไว้ก่อนที่จะติดตั้งระบบคอมพิวเตอร์ และควรมีการตรวจสอบ (Audit) ระบบอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าปลอดภัยจากม้าโทรจัน บางที่ม้าโทรจันอาจจะถูกนำมาวางไว้ที่ไหนสักแห่งในคอมพิวเตอร์และปฎิบัติการอย่างเงียบๆ
กรณีที่ต้องการตรวจสอบระบบ ซอฟต์แวร์ในการป้องกันและตรวจสอบโทรจันที่มีประสิทธิภาพดีพอ อย่าง The Cleaner จาก Moosoft มาใช้ในการตรวจสอบว่ามีโทรจันในคอมพิวเตอร์หรือไม่
ป้องกัน-กำจัดม้าโทรจันสำหรับคอมพิวเตอร์ที่บ้าน
ส่วนการใช้งานคอมพิวเตอร์ภายในบ้าน โดยการออนไลน์ปกติโดยการต่อเชื่อมอินเตอร์เน็ตจากคอมพิวเตอร์ภายในบ้านที่ใช้ Dial Up Network โดยการต่อเชื่อมผ่านโมเด็มนั้น เสี่ยงต่อม้าโทรจันเช่นกัน ผมเคยถูกม้าโทรจันหลายๆตัวโจมตีภายในเดือนเดียวกัน 5 ครั้ง วิธีการป้องกันได้แก่การติดตั้งโปรแกรม อย่าง NetBUS Detective จะคอยตรวจจับม้าโทรจันพวก Netbus ,BO Orifice , หรือโปรแกรม NukeNubber ก็ป้องกันระบบ โดยการตรวจสอบพอร์ตต่างๆของ TCP/IP ถึง 50 พอร์ต
ระบบการป้องกันสำหรับบ้านที่ดีที่สุดคือ ไฟร์วอลส่วนตัว (personal firewalls) ซึ่งเป็นซอฟต์แวร์ติดตั้งในพีซี เช่น Norton Personal Firewall 2.0 , Norton Internet Security 2.0 , ZoneAlarm 2.1.44 โปรแกรม Firewall เหล่านี้จะเป็นทหารยามป้องกันการลักลอบแฝงเข้ามาในพอร์ตต่างๆของการต่อเชื่อมที่ไม่ได้รับอนุญาต
สำหรับกรณีที่ต้องการตรวจสอบว่ามีม้าโทรจัน หรือต้องการกำจัดนั้น ต้องทำความเข้าใจคือ โปรแกรมป้องกันไวรัสทั้งหลายที่มีขายในท้องตลาดนั้น อาจจะป้องกันและตรวจสอบม้าโทรจันได้ไม่ครบ ทางที่ดีแนะนำให้ใช้โปรแกรมการป้องกัน ตรวจสอบม้าโทรจันเฉพาะ อย่าง PC Guard , The Cleaner ซึ่งในการตรวจจับม้าโทรจันโดยเฉพาะ
นโยบายการป้องกันม้าโทรจันนั้น แตกต่างกันไปในแต่ละที่ โดยส่วนใหญ่จะต้องใช้วิธีการ กันไว้ดีกว่าแก้ โดยการติดตั้ง Firewall ไว้ก่อนเลยในชั้นแรก แต่ถ้าหากวันหนึ่งเกิดสงสัยว่าในระบบคอมพิวเตอร์นั้นมีม้าโทรจันถูกส่งมาหรือไม่ ก็ต้องใช้ซอฟต์แวร์ในการตรวจจับ
ซอฟต์แวร์สำหรับการตรวจจับและทำลายโทรจัน
กรณีที่ต้องการตรวจจับและทำลายม้าโทรจัน ซอฟต์แวร์กำจัดไวรัสทั่วไปอย่าง Norton Antivirus ,Mcafee Virus SCAN นั้นสามารถตรวจจับและกำจัดม้าโทรจันได้บ้างบางตัว แต่ไม่ครอบคลุมทั้งหมด ทั้งนี้เพราะซอตฟ์แวร์ป้องกันกำจัดไวรัสนั้น มุ่งจะกำจัดไวรัส (โปรแกรมคอมพิวเตอร์ที่มีอันตรายต่อคอมพิวเตอร์) มากกว่าจะตรวจจับและทำลายโทรจัน วิธีการส่งเข้ามาในคอมพิวเตอร์ และพฤติกรรมการทำงานของโทรจันนั้นแตกต่างจากไวรัส เครื่องมือในการตรวจจับ การป้องกัน จึงแตกต่างจากไวรัสด้วย
The Cleaner 3.1 จาก Moosoft เป็นซอฟต์แวร์ที่ทำหน้าที่ทั้ง ป้องกัน ตรวจจับ และกำจัดไวรัสที่ได้รับความนิยมมากตัวหนึ่ง เพราะทาง ZDNet ,Tucows และอีกหลายๆสื่อออนไลน์ที่ได้รีวิวซอฟต์แวร์ตัวนี้ต่างก็โหวดให้ประสิทธิภาพของการทำงาน "ยอดเยี่ยม" ทั้งหมด พูดได้ว่า The Cleaner เป็นซอฟต์แวร์ในการกำจัดโทรจันที่เป็นที่รู้จักกันดีและได้รับความนิยม ประสิทธิภาพของ The Cleaner นั้นมีฐานข้อมูลโทรจันที่ตรวจสอบและกำจัดได้กว่า 3000 ตัว และยังมีการอัพเดททุกๆ เดือน การตรวจจับความเร็วสูง สนับสนุนการตรวจสอบไฟล์ที่บีบอัดไว้ (Compress Files) OS ที่ The Cleaner สนับสนุนคือ Windows 95/98/ME , NT 4.0 Server , 4.0 Workstation , Windows 2000 Pro , Windows 2000 Server นอกจากส่วนที่ทำหน้าที่ในการ Cleaner แล้ว ยังมีส่วนที่ยับยั้งไม่ให้ไวรัสทำงานคือ TCActive นอกจากนี้ยังมี TCMonitor ที่จะมีการตรวจสอบไฟล์ของระบบวินโดวส์ตัวที่อาจจะมีการส่งโทรจันมาด้วย
Trojan Remover เป็นซอฟต์แวร์ที่ทำหน้าที่ตรวจสอบและกำจัดโทรจันอีกตัวหนึ่งที่ได้รับการพัฒนาอย่างต่อเนื่อง ปัจจุบันพัฒนาถึงเวอร์ชัน 4.0.4 แล้ว Trojan Remover ได้รับความนิยมเช่นกัน ถึงแม้ว่า OS ที่ Trojan Remover สนับสนุนจะมีเพียง 95/98/ME เท่านั้นเอง Trojan Remover ทำงานไม่แตกต่างจาก The Cleaner คือ ถ้าหากตรวจสอบพบว่าไฟล์ระบบหรือไฟล์ข้อมูลได้มีโทรจันแฝงตัวอยู่ Trojan Remover จะดำเนินการแก้ไขไฟล์นั้นให้เข้าสู่สภาพปกติ รวมไปถึงการแก้ไข Registry ของวินโดวส์ด้วย นอกจากนี้สำหรับโทรจันที่แฝงตัวในหน่วยความจำ Trojan Remover ก็มีวิธีการที่ชาญฉลาดในการจัดการโดยใช้กระบวนการ REMOVE all traces
Anti-Trojan 5 ซอฟต์แวร์จากเยอรมัน เป็นซอฟต์แวร์สำหรับจัดการกับ Trojan อีกตัวที่น่าสนใจ Anti-Trojan มีขนาดไฟล์สำหรับติดตั้ง 4.8 เมกะไบต์ มากกว่า Trojan Remover และ The Cleaner การพัฒนาอย่างต่อเนื่องจนถึงเวอร์ชัน 5.0 น่าจะประกันได้ว่าซอฟต์แวร์ป้องกันโทรจันตัวนี้น่าสนใจไม่น้อย การทำงานของ Anti-Trojan ทำงานในการตรวจสอบโทรจันโดยการสแกนพอร์ต (เพราะโทรจันโดยส่วนใหญ่จะเล็ดลอดเข้ามาและเปิดพอร์ตต่างๆ) สแกน Registy และสแกนฮาร์ดดิสก์ การค้นหาและตรวจจับไวรัสใช้ Signature ของโทรจัน การสแกนในไฟล์รวมถึงการสแกนไฟล์บีบอัดด้วย คุณสมบัติเด่นของ Anti-Trojan คือ รู้จัก Trojan มากกว่า 5000 รายการ
ความเร็วในการตรวจจับสูง และมีฐานข้อมูลออนไลน์สำหรับไวรัสให้อัพเดทเช่นกัน นอกจากนี้ยังรวมถึง Plugin ของ PortScanner , Processviewer ด้วย
ทั้งสามตัวนั้นมีการอัพเดทข้อมูลโทรจันตลอดเวลาเช่นกัน ดังนั้นกรณีที่ต้องการให้การป้องกันมีประสิทธิภาพที่สุด ผู้ใช้ควรอัพเดทข้อมูลโทรจันด้วย
http://www.bkk1.in.th
http://tuen1997.blogspot.com/
ไม่มีความคิดเห็น:
แสดงความคิดเห็น