ที่มา : http://www.cert.org/tech_tip/home_networks.html
เรียบเรียงโดย : มนัชยา ชมธวัช , ปนิดา จัยสิทธิ์ , ศรัณยา ทัพเหลือ
เผยแพร่เมื่อ : 16 พฤศจิกายน 2544
เอกสารฉบับนี้จัดทำขึ้นให้ความรู้แก่ผู้ใช้งานระบบคอมพิวเตอร์ที่บ้าน ถึงภาพรวมของความเสี่ยงด้านความปลอดภัยและวิธีการรับมือเกี่ยวกับการใช้งานและการเชื่อมต่ออินเทอร์เน็ต โดยเน้นไปที่ระบบที่เชื่อมต่อตลอดเวลา หรือการให้บริการแบบ broadband (เช่น เคเบิลโมเด็มและสายชนิด DSL) อย่างไรก็ตาม เนื้อหาในเอกสารฉบับนี้หลายๆ ส่วนเกี่ยวข้องกับผู้ใช้ที่ใช้งานแบบ dial-up (ผู้ใช้ที่เชื่อมต่อเข้าสู่อินเทอร์เน็ตผ่านโมเด็ม) ด้วยเช่นกัน
กล่าวนำ
1. ความปลอดภัยคอมพิวเตอร์
1. ความปลอดภัยคอมพิวเตอร์คืออะไร
2. ทำไมจึงต้องให้ความสนใจต่อความปลอดภัยคอมพิวเตอร์
3. ใครต้องการบุกรุกเครื่องคอมพิวเตอร์ที่ใช้งานที่บ้าน
4. การบุกรุกเข้ามาใช้งานเครื่องคอมพิวเตอร์ที่บ้านเป็นเรื่องง่ายมาก จริงหรือไม่
2. เทคโนโลยี
1. "Broadband" คืออะไร
2. การเข้าถึงผ่านเคเบิลโมเด็มคืออะไร
3. การเข้าถึงผ่านสายชนิด DSL คืออะไร
4. การให้บริการแบบ broadband แตกต่างจากการให้บริการแบบ dial-up ที่ใช้งานโดยทั่วไปอย่างไร
5. การเข้าถึงแบบ broadband แตกต่างจากเครือข่ายที่ใช้ในที่ทำงานอย่างไร
6. โพรโตคอล (Protocol) คืออะไร
7. IP คืออะไร
8. IP address คืออะไร
9. Address แบบ static และแบบ dynamic แตกต่างกันอย่างไร
10. NAT คืออะไร
11. พอร์ทชนิด TCP และ UDP คืออะไร
12. ไฟร์วอลล์ (firewall) คืออะไร
13. ซอฟต์แวร์ anti-virus มีการทำงานอย่างไร
3. ความเสี่ยงด้านความปลอดภัยคอมพิวเตอร์ต่อผู้ใช้งานเครื่องคอมพิวเตอร์ที่บ้าน
1. ความเสี่ยงหมายถึงอะไร
2. การนำเครื่องคอมพิวเตอร์ไปใช้งานเพื่อจุดประสงค์ร้าย
1. โปรแกรม Trojan
2. Back door และโปรแกรมควบคุมระบบจากระยะไกล (remote administration program)
3. Denial of Service
4. การถูกใช้เป็นตัวกลางเพื่อการโจมตีระบบอื่นๆ
5. การไม่ป้องกันการแชร์ (share) ทรัพยากรบนวินโดวส์
6. Mobile code (เช่น Java, JavaScript และ ActiveX)
7. Cross-site scripting
8. E-mail spoofing
9. E-mail ที่ส่งมาพร้อมกับไวรัส
10. ออปชัน "hide file extensions"
11. โปรแกรมสนทนา (chat)
12. การดักจับ Packet
3. อุบัติเหตุ และความเสี่ยงอื่นๆ
1. ดิสก์ขัดข้อง
2. กระแสไฟฟ้าขัดข้องหรือไม่สม่ำเสมอ
3. ถูกบุกรุกทางกายภาพ
4. วิธีการที่ผู้ใช้งานเครื่องคอมพิวเตอร์ควรใช้ในการป้องกันระบบคอมพิวเตอร์ของตนที่บ้าน
1. ขอคำปรึกษาจากผู้ให้บริการหรือผู้ดูแลโดยตรง หากจำเป็นต้องทำงานจากที่บ้าน
2. นำซอฟต์แวร์ป้องกันไวรัสมาใช้งาน
3. ใช้ไฟร์วอลล์
4. ไม่เปิดไฟล์ที่ไม่รู้จักซึ่งถูกแนบมากับ e-mail
5. ไม่เรียกใช้งานโปรแกรมที่ไม่ทราบที่มา
6. ยกเลิกการใช้งานออปชัน "hide file extensions"
7. ติดตั้ง patch ให้กับแอพลิเคชันที่ใช้งาน (รวมถึงระบบปฏิบัติการ)
8. ปิดเครื่องคอมพิวเตอร์หรือหยุดการเชื่อมต่อกับเครือข่ายทันทีที่เลิกใช้งาน
9. ยกเลิกการใช้งาน Java, JavaScript และ ActiveX ให้มากที่สุดเท่าที่จะเป็นไปได้
10. ยกเลิกการใช้งานสคริปต์ที่เกี่ยวกับลักษณะพิเศษต่างๆ ในโปรแกรม e-mail
11. ทำการสำรองข้อมูลที่สำคัญ
12. ทำแผ่นบูทเพื่อใช้งานในกรณีที่เครื่องคอมพิวเตอร์เกิดความเสียหายหรือถูกบุกรุก
Appendix : แหล่งอ้างอิงและข้อมูลเพิ่มเติม
I. ความปลอดภัยคอมพิวเตอร์
A. ความปลอดภัยคอมพิวเตอร์คืออะไร
ความปลอดภัยคอมพิวเตอร์เป็นกระบวนการที่เกี่ยวข้องกับการป้องกันและตรวจสอบการเข้าใช้งานเครื่องคอมพิวเตอร์โดยไม่ได้รับอนุญาต ขั้นตอนการป้องกันจะช่วยให้ผู้ที่ใช้งานสกัดกั้นไม่ให้เครื่องคอมพิวเตอร์ถูกเข้าใช้งานโดยผู้ที่ไม่ได้รับสิทธิ์ (นิยมเรียกว่า ผู้บุกรุก) ส่วนการตรวจสอบจะทำให้ทราบได้ว่ามีใครกำลังพยายามที่จะบุกรุกเข้ามาในระบบหรือไม่ การบุกรุกสำเร็จหรือไม่ และผู้บุกรุกทำอะไรกับระบบบ้าง
B. ทำไมจึงต้องให้ความสนใจต่อความปลอดภัยคอมพิวเตอร์
ในทุกวันนี้ คอมพิวเตอร์ถูกใช้งานเพื่อการทำธุรกรรมต่างๆ ทั้งด้านการเงินการลงทุน รวมไปถึงการใช้เพื่อติดต่อสื่อสารไปยังบุคคลอื่นผ่าน e-mail และโปรแกรมสนทนาต่างๆ ถึงแม้ว่าผู้ใช้งานอาจจะไม่คิดว่า การติดต่อสื่อสารทั้งหมดนี้ถือเป็นข้อมูลที่ "ลับที่สุด" แต่ผู้ใช้ก็คงไม่อยากให้ผู้ที่ไม่เกี่ยวข้องอ่าน e-mail ของตน นำเครื่องคอมพิวเตอร์ของตนไปใช้ในการบุกรุกระบบอื่นๆ ต่อ ส่ง e-mail จากเครื่องของตน หรือเข้ามาอ่านข้อมูลส่วนตัวที่อยู่ในเครื่อง (เช่น เอกสารทางการเงิน)
C. ใครต้องการบุกรุกเครื่องคอมพิวเตอร์ที่ใช้งานที่บ้าน
ผู้บุกรุก (ซึ่งอาจจะหมายความถึง hacker, attacker และ cracker) อาจจะไม่สนใจว่าเจ้าของเครื่องเป็นใคร บ่อยครั้งที่คนเหล่านั้นต้องการเข้ามาควบคุมเครื่องคอมพิวเตอร์เพื่อที่จะนำไปใช้ในการบุกรุกระบบอื่นๆ อีกต่อหนึ่ง
การได้รับสิทธิ์ในการควบคุมเครื่องคอมพิวเตอร์จะทำให้ผู้บุกรุกสามารถปกปิดตัวตนและแหล่งที่อยู่จริงที่ใช้ในการโจมตีได้ มักนำไปใช้ในการโจมตีระบบที่มีการเก็บข้อมูลผู้บุกรุกอย่างละเอียด เช่น ระบบของรัฐบาล หรือระบบของสถาบันการเงิน ถึงแม้ว่าผู้ใช้บางคนอาจจะเชื่อมต่อเครื่องของตนเข้าสู่เครือข่ายอินเทอร์เน็ตเพียงเพื่อเล่นเกมส์ หรือส่ง e-mail ไปหาเพื่อนและครอบครัวก็ตาม เครื่องคอมพิวเตอร์เครื่องนั้นก็อาจตกเป็นเป้าหมายในการโจมตีของผู้บุกรุกได้
ผู้บุกรุกสามารถเข้ามาดูว่าผู้ใช้งานกำลังทำอะไรอยู่ หรืออาจจะสร้างความเสียหายหรือทำลายคอมพิวเตอร์ที่บุกรุกได้โดยการ format ฮาร์ดดิสก์หรือแก้ไขข้อมูลที่อยู่ในเครื่อง
D. การบุกรุกเข้ามาใช้งานเครื่องคอมพิวเตอร์ที่บ้านเป็นเรื่องง่ายมาก จริงหรือไม่
เป็นความโชคร้ายของผู้ใช้งาน เนื่องจากผู้บุกรุกมักจะค้นพบช่องโหว่ใหม่ๆ ของซอฟต์แวร์ในเครื่องคอมพิวเตอร์ได้ตลอดเวลา โดยที่ผู้ใช้ไม่สามารถทดสอบความปลอดภัยให้ครอบคลุมระบบทั้งหมดได้เลย เพราะซอฟต์แวร์เหล่านั้นมีความซับซ้อนมาก
เมื่อ รูรั่วของระบบถูกค้นพบ ผู้ผลิตซอฟต์แวร์ก็จะพัฒนา patch ขึ้นมาเพื่อแก้ไขปัญหาที่เกิดขึ้น อย่างไรก็ตาม ผู้ใช้จะเป็นผู้ตัดสินในว่าจะรับเอา patch ดังกล่าวมาติดตั้งในเครื่อง หรือจะแก้ไขค่าการทำงานของซอฟต์แวร์ให้มีความปลอดภัยยิ่งขึ้นหรือไม่ ถ้าผู้ดูแลระบบและผู้ใช้งานคอยดูแลให้เครื่องคอมพิวเตอร์ของตนได้รับการติด ตั้ง patch และแก้ไขปัญหาด้านความปลอดภัยให้ทันสมัยอยู่ตลอดเวลา จะช่วยป้องกันระบบจากเหตุการณ์ละเมิดความปลอดภัยคอมพิวเตอร์ ทำให้จำนวนเหตุการณ์ที่เกิดขึ้นลดลง
นอกจาก นี้ ซอฟต์แวร์ที่ใช้ในงานแอพลิเคชันบางโปรแกรมได้ถูกตั้งค่าเริ่มต้นในการติด ตั้งเป็นค่าที่อนุญาตให้บุคคลภายนอกเข้าถึงเครื่องคอมพิวเตอร์ของผู้ใช้ได้ ผู้ใช้จำเป็นจะต้องแก้ไขค่าให้ปลอดภัยขึ้นด้วยตนเอง ตัวอย่างที่กล่าวถึงนี้ รวมทั้งโปรแกรมสนทนาที่ค่าเริ่มต้นของโปรแกรมถูกกำหนดให้อนุญาตให้ผู้อื่น เข้ามาเรียกใช้งานคำสั่งบนเครื่องของผู้ใช้ หรือโปรแกรมเว็บบราวเซอร์ที่อนุญาตให้ภายนอกเข้ามาติดตั้งโปรแกรมที่อันตราย ไว้บนเครื่องของผู้ใช้ โดยโปรแกรมดังกล่าวจะทำงานทันทีที่ผู้ใช้เลือก
II. เทคโนโลยี
เนื้อหาในส่วนนี้จะทำการแนะนำให้ผู้อ่านรู้จักกับ เทคโนโลยีเบื้องต้นที่เกี่ยวข้องกับอินเทอร์เน็ต มีจุดประสงค์เพื่ออธิบายให้ผู้เริ่มต้นใช้งานคอมพิวเตอร์เข้าใจ โดยมิได้ตั้งใจจะสรุปรวมความรู้ด้านเทคโนโลยีพื้นฐานของอินเทอร์เน็ตแต่ อย่างใด จัดแบ่งเป็นหัวข้อย่อย ซึ่งภายในจะประกอบด้วยคำอธิบายถึงภาพรวมของแต่ละเรื่อง คำอธิบายเหล่านี้เป็นเพียงการให้ความรู้ในเบื้องต้นเกี่ยวกับเทคโนโลยีที่ เกี่ยวข้อง สำหรับผู้อ่านที่ต้องการศึกษาเพิ่มเติมจากที่ได้อธิบายไว้ สามารถอ่านรายละเอียดเพิ่มเติมได้ตามเว็บไซต์ที่ได้แทรกไว้ในตอนท้าย
A. "Broadband" คืออะไร
"Broadband" เป็นคำศัพท์เฉพาะที่ใช้ทั่วไปในการกล่าวถึงการติดต่อผ่านเครือข่ายความเร็วสูง ในที่นี้จะหมายถึงการติดต่ออินเทอร์เน็ตผ่านทางเคเบิลโมเด็มและสายชนิด Digital Subscriber Line (DSL) ซึ่งนิยมเรียกว่าการติดต่ออินเทอร์เน็ตแบบ broadband โดยมีค่า "Bandwidth" จะเป็นค่าที่อธิบายถึงความเร็วสัมพัทธ์ในการติดต่อกับเครือข่าย เช่น การติดต่อผ่านโมเด็มโดยการ dial-up ที่ใช้งานทั่วไปในปัจจุบันทำงานมีค่า bandwidth 56 กิโลบิตต่อวินาที (kbps (103)) ไม่มีการกำหนดค่าที่แน่นอนไว้ว่า การติดต่อแบบ broadband จะต้องมีค่า bandwidth เท่าใด แต่โดยทั่วไปแล้วจะใช้ค่าประมาณ 1 เมกกะบิตต่อวินาที (Mbps (106)) ขึ้นไป
B. การเข้าถึงผ่านเคเบิลโมเด็มคืออะไร
เคเบิลโมเด็มเป็นการติดต่อที่ให้เครื่องคอมพิวเตอร์แต่ละเครื่อง (หรือแต่ละเครือข่ายคอมพิวเตอร์) ติดต่อเข้าสู่อินเทอร์เน็ตผ่านทางเครื่องข่ายเคเบิลของโทรทัศน์ การทำงานของเคเบิลโมเด็มมีลักษณะคล้ายกับเครือข่าย Ethernet LAN (Local Area Network) และมีความเร็วในการทำงานสูงสุดถึง 5 Mbps
แต่ ความเร็วขณะที่ใช้งานจริงมักจะได้ค่าที่น้อยกว่าค่าสูงสุดนี้ เนื่องมาจากสายเคเบิลที่ใช้งานถูกลากผ่านบริเวณใกล้เคียงเกิดเป็นเครือข่าย LANs ซึ่งทำการแบ่งการใช้งาน bandwidth ที่ได้ทั้งหมดของสาย ด้วยสาเหตุของรูปแบบการเชื่อมต่อที่ "แบ่งใช้งานตัวกลางการติดต่อ" ผู้ใช้งานเคเบิลโมเด็มบางรายจึงประสบปัญหาว่า ในบางครั้งการเข้าถึงเครือข่ายทำได้ช้ามาก โดยเฉพาะในช่วงเวลาที่มีผู้ใช้งานจำนวนมาก นอกจากนี้ เคเบิลโมเด็มยังมีจุดอ่อนด้านความเสี่ยงต่อการถูกดักจับ packet และอันตรายจากการแชร์ทรัพยากรบนระบบปฏิบัติการวินโดวส์มากกว่าการติดต่อด้วย วิธีอื่นๆ (อ่านรายละเอียดได้จากหัวข้อ "ความเสี่ยงด้านความปลอดภัยคอมพิวเตอร์ต่อผู้ใช้งานเครื่องคอมพิวเตอร์ที่บ้าน" ของเอกสารฉบับนี้)
C. การเข้าถึงผ่านสายชนิด DSL คืออะไร
การติดต่ออินเทอร์เน็ตแบบ Digital Subscriber Line (DSL) แตกต่างจากการติดต่อแบบเคเบิลโมเด็ม โดยผู้ใช้แต่ละคนที่เชื่อมต่อกับเครือข่ายจะได้รับ bandwidth คงที่ อย่างไรก็ตามค่า bandwidth สูงสุดที่ผู้ใช้ได้รับจากการใช้งานสายชนิด DSL ต่ำกว่าค่า bandwidth สูงสุดที่ผู้ใช้ได้รับจากการใช้งานสายเคเบิลโมเด็ม เนื่องจากเทคโนโลยีที่นำมาใช้ต่างกัน นอกจากนั้น ค่า bandwidth ที่ผู้ใช้แต่ละคนได้รับเป็นค่าการใช้งานระหว่างเครื่องคอมพิวเตอร์ที่บ้านกับศูนย์ของผู้ให้บริการ DSL เท่านั้น ผู้ให้บริการจะไม่ให้การรับรองหรืออาจจะให้การรับรองน้อยมากสำหรับ bandwidth ที่ใช้ในการติดต่อออกไปยังอินเทอร์เน็ต
การเชื่อมต่อแบบ DSL ไม่มีจุดอ่อนต่อการถูกดักจับ packet เหมือนกับการใช้งานเคเบิลโมเด็ม แต่ความเสี่ยงด้านความปลอดภัยอื่นๆ ยังคงมีผลต่อทั้งการติดต่อแบบ DSL และเคเบิลโมเด็ม (อ่านรายละเอียดได้จากหัวข้อ "ความเสี่ยงด้านความปลอดภัยคอมพิวเตอร์ต่อผู้ใช้งานเครื่องคอมพิวเตอร์ที่บ้าน" ของเอกสารฉบับนี้)
D. การให้บริการแบบ broadband แตกต่างจากการให้บริการแบบ dial-up ที่ใช้งานโดยทั่วไปอย่างไร
การให้บริการแบบ dial-up ที่ใช้งานโดยทั่วไปอาจเรียกได้ว่าเป็นการให้บริการแบบ "ติดต่อเมื่อต้องการใช้งาน" นั่นคือ เครื่องคอมพิวเตอร์จะติดต่อเข้าสู่อินเทอร์เน็ตเมื่อต้องการจะส่งข้อมูล เช่น e-mail หรือต้องการดาวน์โหลดเว็บเพจ หลังจากไม่มีข้อมูลที่ต้องการส่ง หรือหลังจากไม่มีการส่งข้อมูลเป็นระยะเวลาหนึ่ง เครื่องคอมพิวเตอร์จะตัดการติดต่อ นอกจากนี้ การติดต่อแต่ละครั้งโดยทั่วไปจะเป็นการขอเข้าใช้งานเครื่องรับโมเด็ม 1 เครื่องจากผู้ให้บริการอินเทอร์เน็ต ซึ่งเครื่องรับโมเด็มแต่ละเครื่องจะมี IP address ที่แตกต่างกัน เครื่องคอมพิวเตอร์ของผู้ใช้จะรับเอา IP address นั้นมาใช้งาน ทำให้แต่ละเครื่องมี IP address ต่างกันออกไป วิธีการดังกล่าวนี้ทำให้เป็นการยาก (แต่ยังมีความเป็นไปได้) ที่ผู้บุกรุกจะตรวจหาช่องโหว่ในเครื่องคอมพิวเตอร์ของผู้ใช้ แล้วนำไปใช้เพื่อลักลอบเข้าไปควบคุมเครื่อง
การให้บริการแบบ broadband อาจเรียกได้ว่าเป็นการให้บริการแบบ "ติดต่อตลอดเวลา" เนื่องจากเมื่อเครื่องคอมพิวเตอร์ต้องการส่งข้อมูลแต่ละครั้ง ไม่จำเป็นจะต้องเริ่มต้นการติดต่อใหม่ คอมพิวเตอร์จะติดต่อกับเครือข่ายตลอดเวลา และพร้อมที่จะรับส่งข้อมูลผ่านทาง Network Interface Card (NIC) ผลจากการที่เครื่องคอมพิวเตอร์ติดต่อกับเครือข่ายตลอดเวลา ทำให้ IP address ที่ใช้มีการเปลี่ยนแปลงน้อยมาก (หรือไม่เปลี่ยนแปลงเลย) ทำให้เครื่องคอมพิวเตอร์ตกเป็นเป้าหมายในการโจมตี
สาเหตุ อีกข้อหนึ่งก็คือ ผู้ให้บริการเครือข่ายแบบ broadband นิยมแจก IP address ที่เป็นที่รู้จักให้แก่ผู้ใช้งาน ดังนั้น แม้ว่าผู้บุกรุกเครือข่ายจะไม่สามารถเจาะจงได้ว่า IP address ใดเป็นของเครื่องคอมพิวเตอร์ที่ใครใช้งาน แต่ผู้บุกรุกก็สามารถทราบได้ว่าลูกค้าซึ่งใช้บริการเครือข่ายแบบ broadband ของผู้ให้บริการแต่ละรายได้รับ IP address อยู่ในช่วงใด ทำให้เครื่องคอมพิวเตอร์ของผู้ที่ใช้บริการแบบนี้ตกเป็นเป้าหมายในการบุกรุก ได้มากกว่าแบบอื่นๆ
ตารางที่ 1 แสดงการเปรียบเทียบความแตกต่างระหว่างการติดต่อแบบ dial-up ที่ใช้งานทั่วไปกับบริการแบบbroadband
แบบ dial-up
แบบ broadband
ชนิดการติดต่อ ติดต่อเมื่อต้องการใช้งาน ติดต่อตลอดเวลา
IP address ที่ใช้งาน เปลี่ยนแปลงทุกครั้งที่ติดต่อ เหมือนเดิม / เปลี่ยนแปลงไม่บ่อย
ความเร็วในการเชื่อมต่อเมื่อเปรียบเทียบกัน ต่ำกว่า สูงกว่า
ความสามารถในการควบคุมจากระยะไกล คอมพิวเตอร์จะต้องติดต่อเข้าสู่ระบบเพื่อทำการควบคุม คอมพิวเตอร์ติดต่อกับระบบตลอด จึงทำการควบคุมได้ตลอดเวลา
ระดับความปลอดภัยที่ทางผู้บริการจัดเตรียมให้ น้อยมาก / ไม่มีเลย น้อยมาก / ไม่มีเลย
E. การเข้าถึงแบบ broadband แตกต่างจากเครือข่ายที่ใช้ในที่ทำงานอย่างไร
เครือข่ายขององค์กรและภาครัฐบาลโดยทั่วไปจะได้รับการป้องกันความปลอดภัยในหลายระดับ เริ่มตั้งแต่การใช้งานไฟร์วอลล์ สำหรับเครือข่ายไปจนถึงการเข้ารหัสข้อมูล นอกจากนั้น ผู้ใช้งานยังมีทีมงานที่ทำหน้าที่รับผิดชอบดูแลและแก้ไขความปลอดภัยของระบบ และจัดการให้เครือข่ายติดต่อใช้งานได้ตลอดเวลา
ถึง แม้ว่า ทางผู้ให้บริการเครือข่ายจะรับผิดชอบต่อการแก้ไขปรับปรุงบริการที่ให้แก่ ลูกค้า แต่ผู้ใช้ไม่ได้รับการดูแลจากทีมงานโดยตรงเพื่อที่จะจัดการกับเครือข่ายที่ ใช้งานที่บ้านของผู้ใช้เอง ในที่สุดแล้ว ผู้ใช้จำเป็นต้องรับผิดชอบต่อเครื่องคอมพิวเตอร์ของตนเอง นั่นคือการดำเนินการทั้งหมดขึ้นอยู่กับการตัดสินใจของผู้ใช้ว่าควรระมัด ระวังในการใช้งานเครื่องคอมพิวเตอร์ในระดับใด จึงจะปลอดภัยจากผู้บุกรุกที่ต้องการนำเครื่องไปใช้ในทางไม่ถูกต้อง
F. โพรโตคอล (Protocol) คืออะไร
โพรโตคอล (Protocol) เป็นข้อกำหนดถึงรูปแบบที่จะใช้งานในการติดต่อระหว่างเครื่องคอมพิวเตอร์ที่ส่งไปมาในเครือข่าย หรืออีกนัยหนึ่งโพรโตคอลเป็นตัวกำหนด "ไวยากรณ์ (รูปประโยค)" ที่เครื่องคอมพิวเตอร์ใช้ในการพูดคุยกัน
G. IP คืออะไร
IP ย่อมาจาก "Internet Protocol" เปรียบเทียบได้กับภาษากลางที่เครื่องคอมพิวเตอร์ทั่วไปใช้บนอินเทอร์เน็ต มีผู้ได้ให้คำอธิบายโดยละเอียดของ IP ไว้มากมาย ซึ่งจะไม่นำมากล่าวถึงรายละเอียดในที่นี้ อย่างไรก็ตาม ผู้ใช้ควรรู้เกี่ยวกับ IP สักเล็กน้อย เพื่อที่จะสามารถทำความเข้าใจต่อได้ถึงวิธีการในการสร้างความปลอดภัยให้กับเครื่องคอมพิวเตอร์ ได้แก่ เรื่อง IP address, address แบบ static และแบบ dynamic, NAT และพอร์ทชนิด TCP และ UPD
รายละเอียดโดยภาพรวมของ TCP/IP สามารถอ่านได้จากเอกสาร TCP/IP Frequently Asked Questions (FAQ) ที่นี่
http://www.faqs.org/faqs/internet/tcp-ip/tcp-ip-faq/part1/
และ
http://www.faqs.org/faqs/internet/tcp-ip/tcp-ip-faq/part2/
H. IP address คืออะไร
IP address มีลักษณะคล้ายคลึงกับหมายเลขโทรศัพท์ เมื่อผู้ใช้โทรศัพท์ต้องการจะโทรหาใคร สิ่งแรกที่จะต้องทราบคือเบอร์โทรศัพท์ของเขาคือเบอร์อะไร เช่นเดียวกัน เมื่อเครื่องคอมพิวเตอร์เครื่องใดบนอินเทอร์เน็ตต้องการส่งข้อมูลไปยังเครื่องคอมพิวเตอร์เครื่องอื่นๆ คอมพิวเตอร์เครื่องนั้นก็จำเป็นจะต้องทราบว่า IP address ของเครื่องดังกล่าวคืออะไร โดยทั่วไปแล้ว IP address จะถูกแสดงด้วยตัวเลข 4 จำนวนคั่นระหว่างกันด้วยจุด (.) เช่น 10.24.254.3 และ 192.168.62.231 เป็นต้น
ในระบบโทรศัพท์ หากผู้ใช้ต้องการติดต่อหาใครแต่ทราบเฉพาะชื่อของคนๆ นั้น ผู้ใช้สามารถค้นหาเบอร์โทรศัพท์ได้จากสมุดโทรศัพท์ (หรือบริการสอบถามหมายเลขโทรศัพท์) สำหรับระบบอินเทอร์เน็ตนั้น การค้นหารายการผู้ใช้จะผ่านบริการที่เรียกว่า Domain Name Service หรือที่เรียกสั้นๆ ว่า DNS ถ้าหากผู้ใช้ทราบชื่อเครื่องให้บริการ เช่น www.cert.org และพิมพ์ชื่อนี้ลงในเว็บบราวเซอร์ เครื่องคอมพิวเตอร์ไปสอบถามเครื่องให้บริการ DNS ว่าตัวเลข IP address ที่เกี่ยวข้องกับชื่อนี้คืออะไร
เครื่อง คอมพิวเตอร์ทุกเครื่องบนเครือข่ายอินเทอร์เน็ตมี IP address ไว้ใช้งานซึ่งค่าดัวกล่าวนี้เป็นค่าเฉพาะที่ใช้ในการบอกว่าเป็นเครื่อง คอมพิวเตอร์เครื่องไหน อย่างไรก็ตาม ค่า address นี้สามารถเปลี่ยนแปลงได้ในระยะเวลาหนึ่ง ถ้าเครื่องคอมพิวเตอร์มีการใช้งานดังนี้
* การติดต่อผ่านการ dial เข้าไปยังผู้ให้บริการอินเทอร์เน็ต
* เชื่อมต่ออยู่ด้านหลังไฟร์วอลล์
* ติดต่อไปยังบริการแบบ broadband โดยใช้ IP address แบบ dynamic
I. Address แบบ static และแบบ dynamic แตกต่างกันอย่างไร
IP address แบบ static เกิดขึ้นเมื่อผู้ให้บริการอินเทอร์เน็ตแจก IP address ให้กับผู้ใช้แต่ละคนอย่างถาวร ทำให้ address เหล่านี้จะไม่เปลี่ยนแปลงไม่ว่าจะใช้งานไปนานเท่าใด อย่างไรก็ตาม ถ้ามีการแจก IP address แบบ static ไปให้ผู้ใช้แล้ว IP address นั้นไม่ได้ถูกใช้งาน จะทำให้สูญเสีย IP address นั้นไปโดยเปล่าประโยชน์ เนื่องจากผู้ให้บริการอินเทอร์เน็ตแต่ละรายมีจำนวน IP address ที่ให้ใช้งานอยู่จำกัด จึงจำเป็นจะต้องทำให้เกิดประสิทธิภาพสูงสุดในการใช้งาน IP address
IP address แบบ dynamic เป็นวิธีที่ทำให้ผู้ให้บริการอินเทอร์เน็ตใช้ประโยชน์จาก IP address ที่มีได้ประสิทธิภาพสูงสุด เนื่องจากระบบ IP address แบบ dynamic นี้จะทำให้ IP address ของเครื่องคอมพิวเตอร์ของผู้ใช้แต่ละคนเปลี่ยนแปลงไปตามระยะเวลา ถ้าหาก address ใดไม่ถูกใช้งานก็จะสามารถนำไปแจกต่อให้กับเครื่องคอมพิวเตอร์เครื่องอื่นที่ต้องการใช้งานต่อไปได้
J. NAT คืออะไร
Network Address Translation (NAT) เป็นวิธีการที่ใช้ในการซ่อน IP address ของเครื่องคอมพิวเตอร์ที่ใช้งานในเครือข่ายส่วนตัว (private network) ไม่ให้มองเห็นได้จากอินเทอร์เน็ต โดยที่เครื่องภายในเครือข่ายส่วนตัวเหล่านั้นยังคงเชื่อมต่อกับเครือข่ายและ สามารถใช้งานอินเทอร์เน็ตได้ ผู้ใช้สามารถนำเอา NAT ไปใช้งานได้หลายรูปแบบ ซึ่งวิธีการหนึ่งที่นิยมนำไปใช้กับเครือข่ายที่ใช้งานที่บ้านเรียกว่า การทำ "masquerading"
การทำ NAT แบบ masquerading ทำให้อุปกรณ์ทั้งหมดที่ใช้งานในเครือข่าย (เช่น เครื่องคอมพิวเตอร์) ตั้งแต่ 1 เครื่องขึ้นไปจนถึงหลายๆ เครื่องในวง LAN สามารถใช้งานอินเทอร์เน็ตได้โดยมีหมายเลข IP address เพียงอันเดียว ส่งผลให้เครื่องคอมพิวเตอร์หลายๆ เครื่องที่ใช้งานในเครือข่ายที่บ้านสามารถใช้งานการติดต่อผ่านเคเบิลโมเด็มหรือสายชนิด DSL โดยอาศัยการเชื่อมต่อเพียงครั้งเดียว และใช้หมายเลข IP address เดียว ทำให้ผู้ใช้ไม่จำเป็นต้องขอ IP address เพิ่มเติมจากผู้ให้บริการอินเทอร์เน็ต นอกจากนี้ ยังทำให้ผู้ให้บริการอินเทอร์เน็ตสามารถแจก IP address ให้แก่ผู้ต้องการใช้งานได้ทั้งแบบ static และแบบ dynamic โดยไม่ต้องคำนึงถึงจำนวน IP address ที่จำเป็นต้องแจกให้กับผู้ใช้แต่ละคนไฟร์วอลล์ แบบเครือข่ายจำนวนมากรองรับการทำงานของ NAT แบบ masquerading ได้
K. พอร์ทชนิด TCP และ UDP คืออะไร
TCP ย่อมาจาก Transmission Control Protocol และ UDP ย่อมาจาก User Datagram Protocol ซึ่งทั้ง TCP และ UDP เป็นโพรโตคอลที่ทำงานโดยอาศัย IP ในขณะที่ IP เป็นตัวจัดการให้เครื่องคอมพิวเตอร์ 2 เครื่องสามารถติดต่อสื่อสารกันไปมาผ่านเครือข่ายอินเทอร์เน็ต TCP และ UDP ทำหน้าที่ในการอนุญาตให้แอพลิเคชันแต่ละชนิด (หรือที่นิยมเรียกว่า "บริการ") ของเครื่องคอมพิวเตอร์แต่ละเครื่องสามารถติดต่อกันได้
การติดต่อระหว่างเครื่องคอมพิวเตอร์ก็มีลักษณะคล้ายคลึงกับระบบของหมายเลขโทรศัพท์หรือตู้จดหมาย ที่จะต้องติดต่อกับบุคคลอื่นมากกว่า 1 คน สำหรับเครื่องคอมพิวเตอร์นั้นก็มีแอพลิเคชันที่ใช้งานมากมาย (เช่น e-mail การให้บริการไฟล์ การให้บริการเว็บเพจ) ใช้งานการติดต่อที่ IP address เดียวกัน พอร์ทของเครื่องคอมพิวเตอร์จะทำหน้าที่แบ่งแยกความแตกต่างของบริการที่ใช้ออกจากกัน เช่น แยกข้อมูล e-amil ออกจากข้อมูลเว็บเพจ โดยแต่ละพอร์ทจะแทนด้วยหมายเลขที่เกี่ยวข้องกับแอพลิเคชันที่ใช้งาน และเป็นค่าเฉพาะใช้บ่งชี้ถึงแต่ละบริการบนเครื่องคอมพิวเตอร์ การทำงานของ TCP และ UDP จะใช้หมายเลขพอร์ทเพื่อแบ่งแยกบริการแต่ละอัน หมายเลขพอร์ทที่มักจะพบเห็นในการใช้งานทั่วไป ได้แก่ พอร์ท 80 ใช้สำหรับเว็บ (HTTP) พอร์ท 25 ใช้สำหรับ e-mail (SMTP) และพอร์ท 53 ใช้สำหรับการให้บริการชื่อโดเมน (DNS)
L. ไฟร์วอลล์ (firewall) คืออะไร
ในเอกสารเรื่องคำถามคำตอบที่พบบ่อยเกี่ยวกับไฟร์วอลล์ (http://www.faqs.orgs/faqs/firewalls-faq/) ได้ให้นิยามไว้ว่า ไฟร์วอลล์ คือ "ระบบหรือกลุ่มของระบบคอมพิวเตอร์ ซึ่งทำหน้าที่บังคับใช้นโยบายการควบคุมการเข้าถึงระบบระหว่างเครือข่าย 2 เครือข่ายใดๆ" เมื่อพิจารณาในส่วนการนำไปใช้งานกับเครือข่ายที่บ้าน ไฟร์วอลล์ที่จะนำไปใช้งานจะมีรูปแบบการทำงานตามลักษณะใด ลักษณะหนึ่ง ต่อไปนี้
* ไฟร์วอลล์ชนิดซอฟต์แวร์ หมายความถึงซอฟต์แวร์ที่ทำงานกับเครื่องคอมพิวเตอร์เครื่องใดเครื่องหนึ่งที่กำหนดโดยเฉพาะ
* ไฟร์วอลล์ชนิดเครือข่าย เป็นการนำเอาเครื่องคอมพิวเตอร์หรืออุปกรณ์คอมพิวเตอร์มาใช้ในการป้องกันเครื่องคอมพิวเตอร์ตั้งแต่หนึ่งเครื่องขึ้นไป จนถึงหลายๆ เครื่อง
โดยไฟร์วอลล์ทั้งสองชนิดจะอนุญาตให้ผู้ใช้กำหนดนโยบายการเข้าถึงเครือข่ายภายใน เพื่อป้องกันเครื่องคอมพิวเตอร์ ที่ตนเองใช้งาน ไฟร์วอลล์หลายอันมีความสามารถที่จะควบคุมได้ว่า เครื่องคอมพิวเตอร์ที่อยู่ภายใต้การป้องกันของไฟร์วอลล์จะเปิดให้บริการ (พอร์ท) ใดบ้างให้เครื่องคอมพิวเตอร์เครื่องอื่นจากภายนอกติดต่อเข้ามาใช้งานผ่านทาง เครือข่ายอินเทอร์เน็ต ไฟร์วอลล์หลายอันที่ออกแบบมาสำหรับผู้ใช้งานเครื่องคอมพิวเตอร์ที่บ้านได้ทำ การปรับแต่งค่าเริ่มต้นด้านความปลอดภัยไว้ให้กับผู้ใช้ไว้ก่อนแล้ว และบางอันอนุญาตให้ผู้ใช้ปรับแต่งค่าการใช้งานได้ตามความต้องการเฉพาะของแต่ ละระบบ
หากต้องการศึกษาเพิ่มเติมเกี่ยวกับไฟร์วอลล์สามารถหาข้อมูลได้จากส่วนข้อมูลเพิ่มเติมของเอกสารฉบับนี้
M. ซอฟต์แวร์ anti-virus มีการทำงานอย่างไร
ผลิตภัณฑ์ ที่เกี่ยวข้องกับซอฟต์แวร์ anti-virus มีหลายรูปแบบ แต่ละแบบมีวิธีการทำงานที่แตกต่างกันไปขึ้นกับผู้ผลิตว่าจะให้ซอฟต์แวร์ของ ตนเป็นอย่างไร ส่วนที่ซอฟต์แวร์เหล่านี้ทำงานเหมือนกันคือ การตรวจหารูปแบบภายในไฟล์หรือหน่วยความจำของเครื่องคอมพิวเตอร์ของผู้ใช้ เพื่อบ่งชี้ว่า มีส่วนใดที่อาจจะมีไวรัสแฝงตัวอยู่ ผลิตภัณฑ์ anti-virus เหล่านี้จะมีการเก็บข้อมูลประวัติของไวรัสแต่ละตัวไว้ (บางครั้งเรียกว่า "signatures") เพื่อใช้เป็นต้นแบบในการค้นหา ซึ่งผู้ผลิตซอฟต์แวร์จะเป็นผู้ทำการรวบรวมและจัดเตรียมข้อมูลประวัติของ ไวรัส
ในขณะที่มีการตรวจพบไวรัสชนิดใหม่ๆ อยู่ทุกวัน ดังนั้นประสิทธิภาพของซอฟต์แวร์ anti-virus จึงขึ้นอยู่กับการที่เครื่องคอมพิวเตอร์เครื่องนั้นจะต้องมีข้อมูลประวัติของไวรัสล่าสุดอยู่ตลอดเวลา เพื่อให้ซอฟต์แวร์ anti-virus ตรวจพบไวรัสชนิดล่าสุดในเครื่องคอมพิวเตอร์ได้ ดังนั้น สิ่งสำคัญที่สุดก็คือผู้ใช้จะต้องปรับปรุงให้ข้อมูลประวัติไวรัสในเครื่องคอมพิวเตอร์ของตนทันสมัยอยู่ตลอดเวลา
ข้อมูลเพิ่มเติมเกี่ยวกับไวรัสและซอฟต์แวร์ anti-virus สามารถอ่านได้ที่หน้า CERT Computer Virus Resource
http://www.cert.org/other_sources/viruses.html
III. ความเสี่ยงด้านความปลอดภัยคอมพิวเตอร์ต่อผู้ใช้งานเครื่องคอมพิวเตอร์ที่บ้าน
A. ความเสี่ยงหมายถึงอะไร
ความปลอดภัยของข้อมูลจะพิจารณาจาก 3 ส่วนที่เกี่ยวข้องดังนี้
* ความลับ - ข้อมูลควรจะถูกเรียกใช้ได้เฉพาะจากผู้ที่มีสิทธิ์ในการเข้าถึงเท่านั้น
* ความสมบูรณ์ - ข้อมูลควรจะถูกแก้ไขได้เฉพาะจากผู้ได้รับสิทธิ์เท่านั้น จะต้องไม่ถูกเปลี่ยนแปลงโดยผู้อื่น ไม่ว่าจะโดยเจตนาหรืออุบัติเหตุก็ตาม
* ความพร้อมใช้ - ข้อมูลควรจะพร้อมให้ผู้ต้องการใช้ได้ทันที ในขณะที่ต้องการจะใช้
คำ นิยามเหล่านี้นำไปประยุกต์ใช้กับการใช้งานเครือข่ายคอมพิวเตอร์ที่บ้านได้ เช่นเดียวกับการใช้งานเครือข่ายขององค์กร ผู้ใช้ทั่วไปคงไม่ต้องการให้ผู้อื่นอ่านเอกสารสำคัญของตน ในทำนองเดียวกัน ผู้ใช้ก็คงต้องการที่จะให้งานทั้งหมดที่ตนเองเก็บไว้ในเครื่องคอมพิวเตอร์ เป็นความลับ ไม่ว่าจะเป็นข้อมูลส่วนที่เกี่ยวกับการลงทุนหรือข้อความใน e-mail ที่ส่งไปยังเพื่อนและครอบครัวก็ตาม ผู้ใช้ควรจะสามารถมั่นใจได้ว่าข้อมูลที่ตนเองเก็บไว้ในเครื่องคอมพิวเตอร์ ของตนจะยังคงไม่เปลี่ยนแปลงและพร้อมให้เรียกใช้งานได้ตลอดเวลา
บาง ครั้ง ความเสี่ยงด้านความปลอดภัยคอมพิวเตอร์ที่เพิ่มขึ้นเป็นผลมาจากการที่ผู้ บุกรุกต้องการนำเอาเครื่องคอมพิวเตอร์ไปใช้งานเพื่อจุดประสงค์ร้าย แต่ก็มีความเสี่ยงอื่นๆ ที่เกิดขึ้นแม้ว่าผู้ใช้จะไม่ได้เชื่อมต่อเครื่องคอมพิวเตอร์ของตนเองกับอิน เทอร์เน็ตก็ตาม (เช่น ความผิดพลาดของฮาร์ดดิสก์ การถูกลักขโมย กระแสไฟฟ้าที่ใช้งานไม่เพียงพอ) ข่าวร้ายก็คือ ผู้ใช้ไม่สามารถเตรียมการเพื่อรับมือกับความเสี่ยงเหล่านี้ได้ทั้งหมด ส่วนข่าวดีก็คือ มีขั้นตอนง่ายๆ ที่ผู้ใช้สามารถนำไปใช้เพื่อลดโอกาสที่จะเกิดเหตุการณ์เหล่านี้ได้ นอกจากนั้น บางขั้นตอนยังช่วยป้องกันความเสี่ยงที่อาจจะขึ้นทั้งโดยเจตนาหรือไม่เจตนาก็ ตามที่ผู้ใช้อาจจะประสบได้อีกด้วย
ก่อนที่จะนำเสนอถึงวิธีการในการป้องกันเครื่องคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์ที่ใช้งานที่บ้าน จะขอนำเสนอถึงรายละเอียดของความเสี่ยงเหล่านี้พอสังเขป
B. การนำเครื่องคอมพิวเตอร์ไปใช้งานเพื่อจุดประสงค์ร้าย
วิธีการที่ผู้บุกรุกนิยมนำไปใช้เพื่อให้ได้รับสิทธิ์ในการควบคุมเครื่องคอมพิวเตอร์ที่ใช้งานที่บ้าน ได้ถูกนำมาอธิบายไว้ตามหัวข้อด้านล่าง รายละเอียดเพิ่มเติมสามารถศึกษาได้ตามรายการในส่วนของ แหล่งอ้างอิง ด้านล่าง
1. โปรแกรม Trojan
2. Back door และโปรแกรมควบคุมระบบจากระยะไกล (remote administration)
3. Denial of Service
4. การถูกใช้เป็นตัวกลางเพื่อการโจมตีระบบอื่นๆ
5. การไม่ป้องกันการแชร์ (share) ทรัพยากรบน Windows
6. Mobile code (เช่น Java, JavaScript และ ActiveX)
7. Cross-site scripting
8. E-mail spoofing
9. E-mail ที่ส่งมาพร้อมกับไวรัส
10. ออปชัน "hide file extensions"
11. โปรแกรมสนทนา (chat)
12. การดักจับ Packet
1. โปรแกรม Trojan
โปรแกรม Trojan เป็นวิธีการที่ผู้บุกรุกโดยทั่วไปใช้ในการหลอกลวงผู้ใช้เพื่อลักลอบติดตั้งโปรแกรมจำพวก back door (บางครั้งเรียกวิธีการดังกล่าวนี้ว่า "social engineering" ซึ่งหมายถึงเทคนิคการเข้าถึงข้อมูลในระบบด้วยการหลอกลวงหรือล่อหลอกให้ผู้อื่นหลงเชื่อ) ด้วยวิธีการนี้ทำให้ผู้บุกรุกเข้าถึงเครื่องคอมพิวเตอร์ของผู้ใช้ทั่วไปโดยที่ผู้ใช้ไม่รู้ตัว หลังจากนั้นผู้บุกรุกสามารถแก้ไขค่าใดๆ ในระบบ หรือนำเอาไวรัสคอมพิวเตอร์เข้ามาติดไว้ในเครื่องได้โดยง่าย รายละเอียดเพิ่มเติมเกี่ยวกับ trojan สามารถศึกษาได้จาก
http://www/cert.org/advisories/CA-99-02-Trijan-Horses.html
2. Back door และโปรแกรมควบคุมระบบจากระยะไกล (remote administration)
สำหรับ เครื่องคอมพิวเตอร์ของผู้ใช้ที่ใช้ระบบปฏิบัติการวินโดวส์ เครื่องมือที่ผู้บุกรุกนิยมใช้เพื่อให้ตนเองได้รับสิทธิ์ในการเข้าถึง เครื่องคอมพิวเตอร์ดังกล่าวจากระยะไกลมี 3 อย่างคือ BackOrifice, Netbus และ SubSeven หลังจากที่ Back door หรือโปรแกรมควบคุมระบบจากระยะไกลเหล่านี้ถูกติดตั้งไว้ในเครื่องคอมพิวเตอร์ แล้ว จะทำให้ผู้อื่นที่อยู่ภายนอกเข้าถึงและสามารถควบคุมเครื่องคอมพิวเตอร์ เครื่องนั้นได้ จึงขอให้ผู้ใช้ทำการศึกษาเพิ่มเติมจากเอกสารของ CERT เรื่องช่องโหว่เกี่ยวกับ BackOrifice ซึ่งภายในเอกสารฉบับนี้จะอธิบายถึงวิธีการทำงานและกาตรวจหา รวมถึงการป้องกันเครื่องคอมพิวเตอร์จาก BackOrifice ที่นี่
http://www.cert.org/vul_notes/VN-98.07.backorifice.html
3. Denial of Service
Denial of Service (DoS) เป็นการโจมตีอีกรูปแบบหนึ่ง ซึ่งจะส่งผลให้เครื่องคอมพิวเตอร์ของผู้ใช้หยุดการทำงานโดยไม่ทราบสาเหตุหรือทำให้การทำงานของเครื่องเพิ่มมากขึ้นจนกระทั่งผู้ใช้ไม่สามารถใช้งานได้ ในหลายกรณี การนำ patch ล่าสุดมาติดตั้งลงในเครื่องจะช่วยป้องกันการโจมตีแบบนี้ได้ รายละเอียดเพิ่มเติมเกี่ยวกับ Denial of Service ได้ถูกอธิบายในเอกสารต่อไปนี้
http://www.cert.org/advisories/CA-2000-01.html
ข้อควรจำสำคัญอีกข้อหนึ่งคือ บางครั้งแทนที่เครื่องของผู้ใช้จะตกเป็นเป้าหมายของการโจมตีแบบ Denial of Service กลับถูกนำไปใช้เป็นส่วนหนึ่งในการสร้างการโจมตี Denial of Service ไปยังระบบอื่นแทนก็ได้
4. การถูกใช้เป็นตัวกลางเพื่อการโจมตีระบบอื่นๆ
ใน หลายๆ ครั้ง ที่ผู้บุกรุกนำเครื่องคอมพิวเตอร์ที่ตนเองได้รับสิทธิ์ในการเข้าใช้งานไปใช้ เป็นตัวกลางในการโจมตีระบบอื่น ตัวอย่างเช่น วิธีการโจมตีแบบ Distributed Denial of Service (DDoS) นั่นคือ ผู้บุกรุกจะติดตั้ง "agent" (ส่วนใหญ่มักเป็นโปรแกรมประเภท trojan) ให้ทำงานในเครื่องที่ตนเองได้รับสิทธิ์เข้าใช้งานดังกล่าว เพื่อให้เครื่องคอมพิวเตอร์เครื่องนั้นพร้อมที่จะรับคำสั่งต่อไป หลังจากที่ผู้บุกรุกสร้างเครื่องที่จะทำหน้าที่เป็น agent ได้ตามจำนวนที่ต้องการแล้ว จะมีเครื่องคอมพิวเตอร์เครื่องหนึ่งทำหน้าที่เป็น "handler" ทำการสั่งให้เครื่องที่เป็น agent ทั้งหมดทำการโจมตีแบบ Denial of Service ไปยังระบบอื่น ดังนั้น เป้าหมายสุดท้ายของการโจมตีจึงไม่ใช่เครื่องคอมพิวเตอร์ของผู้ใช้โดยตรง แต่เป็นเครื่องคอมพิวเตอร์เครื่องอื่น โดยเครื่องคอมพิวเตอร์ของผู้ใช้เป็นเพียงเครื่องช่วยขยายขอบเขตในการโจมตี
5. การไม่ป้องกันการแชร์ (share) ทรัพยากรบนวินโดวส์
การ แชร์ทรัพยากรของเครือข่ายที่ใช้งานระบบปฏิบัติการวินโดวส์ซึ่งไม่รับการ ป้องกันที่เพียงพอสามารถเกิดเป็นช่องโหว่ให้ผู้บุกรุกใช้เป็นช่องทางในการ ติดตั้งเครื่องมือเพื่อใช้ในการโจมตีทางอินเทอร์เน็ตลงในเครื่องคอมพิวเตอร์ เหล่านั้นได้มากมาย เนื่องจากความปลอดภัยของเครื่องคอมพิวเตอร์แต่ละที่ในเครือข่ายอินเทอร์เน็ต มีความสัมพันธ์กัน เครื่องคอมพิวเตอร์เครื่องใดๆ ก็ตามที่ถูกบุกรุกไม่เพียงแต่จะสร้างปัญหาให้กับผู้เป็นเจ้าของเครื่องเท่า นั้น แต่ยังจะส่งผลกระทบต่อเครื่องคอมพิวเตอร์อื่นๆ บนอินเทอร์เน็ตด้วย ความเสี่ยงด้านความปลอดภัยบนโลกอินเทอร์เน็ตที่เพิ่มขึ้นในปัจจุบันนี้มีผล มาจากเครื่องคอมพิวเตอร์จำนวนมากที่เชื่อมต่อกับเครือข่ายอินเทอร์เน็ดโดย ขาดการป้องกันการแชร์ทรัพยากรของเครือข่ายที่เพียงพอ รวมกับเครื่องมือในการโจมตีซึ่งมีอยู่แพร่หลาย ดังเช่นตัวอย่างที่ได้แสดงไว้ในนี้
http://www.cert.org/incident_notes/IN-2000-01.html
นอกจากนั้น ยังมีภัยจากโค้ดโปรแกรมที่มีจุดประสงค์ในการโจมตีหรือทำลายระบบ เช่น ไวรัส หรือ worm เมื่อเครื่องคอมพิวเตอร์ขาดการป้องกันการแชร์ทรัพยากรบนเครือข่าย โปรแกรมเหล่านี้จะสามารถแพร่กระจายเข้าไปในเครื่องได้โดยง่าย ตัวอย่างเช่น กรณีของ worm ชื่อ 911 ซึ่งได้อธิบายไว้ที่นี่
http://www.cert.org/incident_notes/IN-2000-03.html
ด้วยสาเหตุของการขาดการป้องกันการแชร์ทรัพยากรบนเครือข่ายนี้เองนี้เอง ส่งผลให้เครื่องมือบุกรุกชนิดอื่นๆ สามารถเข้าไปใช้งานหรือทำลายระบบได้อย่างง่ายดายและรวดเร็ว
6. Mobile code (เช่น Java, JavaScript และ ActiveX)
มีการรายงานปัญหาที่เกิดขึ้นจากการใช้ "mobile code" (เช่น Java, JavaScript และ ActiveX) ซึ่งโค้ดประเภทนี้ถือเป็นภาษาที่ใช้ในการเขียนโปรแกรมแบบหนึ่ง (บางครั้งอาจเรียกว่าสคริปต์) มีคุณสมบัติพิเศษคือ เป็นภาษาอนุญาตให้ผู้พัฒนาเว็บเขียนโปรแกรมขึ้นมา แล้วนำโปรแกรมที่ได้ไปทำงานบนบราวเซอร์ของผู้ใช้แต่ละคน (ต่างจากโปรแกรมที่เขียนด้วยภาษาอื่นๆ ซึ่งโปรแกรมจะทำงานที่เครื่องให้บริการ) ถึงแม้ว่าโค้ดที่เขียนขึ้นแบบนี้จะมีประโยชน์ต่อการใช้งาน แต่ก็เป็นวิธีการที่ผู้บุกรุกสามารถนำไปใช้เพื่อเก็บข้อมูลจากเครื่องคอมพิวเตอร์ของผู้ใช้ (เช่น ผู้ใช้เข้าเว็บไซต์ใดบ้าง) หรือเพื่อให้เกิดการเรียกโปรแกรมที่ใช้ในการบุกรุกระบบอื่นๆ ให้ทำงานที่เครื่องคอมพิวเตอร์ของผู้ใช้ ผู้ใช้สามารถแก้ไขได้โดยการยกเลิกการใช้งาน Java, JavaScript และ ActiveX ที่เว็บบราวเซอร์ในเครื่องคอมพิวเตอร์ของตน ซึ่งทาง CERT ขอแนะนำให้ผู้ใช้ทุกคนนำไปปฏิบัติทุกครั้งที่เข้าไปที่เว็บไซต์ที่ไม่คุ้นเคย หรือไม่น่าเชื่อถือ
นอกจากการเปิดเว็บแล้ว อีกทางหนึ่งที่ทำให้เกิดความเสี่ยงคือการโค้ดประเภทนี้ร่วมกับโปรแกรมรับส่ง e-mail ซึ่งโปรแกรมรับส่ง e-mail หลายโปรแกรมใช้โค้ดในลักษณะเดียวกับการที่บราวเซอร์ใช้ในการแสดงผล ทำให้ผลกระทบที่ได้รับจากการใช้งาน e-mail ก็มีลักษณะเช่นเดียวกับการใช้งานเว็บ
รายละเอียดเพิ่มเติมเกี่ยวกับโค้ดที่มีจุดประสงค์ในการทำความเสียหายให้แก่ระบบอยู่ที่ http://www.cert.org/tech_tips/malicious_code_FAQ.html
รายละเอียดเพิ่มเติมเกี่ยวกับความปลอดภัยในการใช้งาน ActiveX อยู่ที่ http://www.cert.org/archive/pdf/activeX_report.pdf
7. Cross-site scripting
ผู้พัฒนาเว็บโดยมีจุดประสงค์ร้ายบางคนอาจจะเขียนสคริปต์การทำงานบางอย่างรวมไว้ในโค้ดโปรแกรมของตน แล้วส่งไปยังเว็บไซต์ เช่น ค่า URL (Uniform Resource Locator), ส่วนใดส่วนหนึ่งของฟอร์ม หรือการสืบค้นฐานข้อมูล หลังจากนั้น เมื่อเว็บไซต์ดังกล่าวตอบรับการขอใช้งานจากผู้ใช้ สคริปต์ส่วนดังกล่าวนี้จะถูกส่งมายังบราวเซอร์ที่เครื่องคอมพิวเตอร์ของผู้ใช้ด้วย
ช่องทางที่ผู้ใช้ทำให้เว็บบราวเซอร์ของตนเองได้รับสคริปต์จำพวกนี้ได้แก่
* เรียกดูลิงก์ (link) ตามที่ปรากฏในเว็บเพจ, e-mail หรือข้อความที่ปรากฏใน newsgroup โดยไม่ทราบว่าปลายทางของลิงก์ดังกล่าวคือที่ใด
* ใช้งานฟอร์มที่ทำงานแบบ interactive ของเว็บไซต์ที่ไม่น่าเชื่อถือ
* เรียกดูที่ห้องสนทนาหรืออื่นๆ ที่อนุญาตให้ผู้ใช้แต่ละคนใส่ข้อมูลที่เป็นทั้งข้อความธรรมดาและข้อความแบบ HTML ลงไปได้ และมีการอัพเดตตัวเองอยู่ตลอดเวลา
รายละเอียดเพิ่มเติมเกี่ยวกับความเสี่ยงนี้ได้แสดงไว้ในหัวข้อ malicious code ที่ CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests
8. E-mail spoofing
E-mail "spoofing" คือ e-mail ที่ถูกส่งเข้ามาในระบบโดยที่ชื่อต้นทางของ e-mail ที่ปรากฏกับต้นทางของ e-mail ที่ใช้ส่งจริงไม่ตรงกัน จุดมุ่งหมายของ e-mail spoofing คือการลวงให้ผู้ได้รับเข้าใจผิด เพื่อให้เกิดความเสียหายแก่ระบบ หรือข้อมูลสำคัญ (เช่น รหัสผ่าน)
การส่ง e-mail โดยการ spoof นี้มีตั้งแต่ระดับที่ส่งเพื่อล้อเล่นไม่ได้มีเจตนาร้ายแรงใดๆ จนถึงระดับที่เป็น social engineering ตัวอย่างเช่น
* e-mail จากผู้ดูแลระบบที่ส่งไปยังผู้ใช้ เพื่อสั่งให้ผู้ใช้เปลี่ยนรหัสผ่านของตนเองไปเป็นรหัสผ่านที่ผู้ส่งต้องการ พร้อมทั้งข่มขู่ผู้ใช้ว่า ถ้าไม่เปลี่ยนแปลงจะถูกระงับการใช้งาน
* e-mail ที่ปลอมว่าส่งจากผู้มีอำนาจร้องขอให้ผู้ใช้ส่งสำเนาไฟล์รหัสผ่านหรือข้อมูลสำคัญอื่นๆ กลับมา
ผู้ใช้จึงควรระลึกไว้เสมอว่า เมื่อใดก็ตามที่ผู้ให้บริการ (เช่น บริการอินเทอร์เน็ต) ร้องขอให้ผู้ใช้เปลี่ยนแปลงรหัสผ่าน ผู้ให้บริการจะต้องไม่กำหนดว่ารหัสผ่านใหม่ของผู้ใช้ควรจะเป็นอะไร นอกจากนั้น ผู้ให้บริการที่ถูกกฎหมายจะไม่ขอให้ผู้ใช้ส่งข้อมูลรหัสผ่านไปให้ผู้บริการผ่านทาง e-mail ถ้าผู้ใช้คนใดสงสัยว่าตนเองได้รับ e-mail จากผู้ส่งที่มีเจตนาร้าย และ e-mail ดังกล่าวที่มีการ spoof ชื่อผู้ส่ง ขอให้ติดต่อไปยังผู้ให้บริการของท่านโดยทันที
9. E-mail ที่ส่งมาพร้อมกับไวรัส
ไวรัสและโค้ดโปรแกรมที่มีจุดประสงค์ในการทำลายระบบอื่นๆ มักจะแพร่กระจายผ่านการแนบไปกับ e-mail ดังนั้น ก่อนที่ผู้ใช้จะเปิดไฟล์แนบใดๆ ที่ส่งมากับ e-mail ผู้ใช้ควรจะแน่ใจก่อนว่าไฟล์นั้นมาจากที่ใด ซึ่งการทราบถึงแหล่งที่มาของไฟล์นั้น ไม่ได้หมายถึงการที่ผู้ใช้ทราบว่าใครเป็นผู้ส่ง e-mail มาให้ตนเองเท่านั้น ยกตัวอย่างกรณีของไวรัส Melissa (อ่านรายละเอียดได้จากส่วน แหล่งอ้างอิง) แพร่กระจายได้อย่างรวดเร็ว เนื่องจากถูกส่งจาก e-mail address ที่ผู้รับคุ้นเคย นอกจากนั้นโค้ดโปรแกรมที่มีจุดประสงค์ร้ายหลายอันอาจจะแพร่กระจายผ่าน โปรแกรมที่ให้ความบันเทิงหรือโปรแกรมล่อลวงอื่นๆ
ผู้ใช้จึงไม่ควรเรียกใช้งานโปรแกรมใดๆ ถ้าหากไม่แน่ใจว่าถูกพัฒนาขึ้นโดยนักพัฒนาโปรแกรมหรือบริษัทที่เชื่อถือหรือไม่ และยังไม่ควรส่งโปรแกรมที่ตนเองไม่รู้ที่มาไปให้เพื่อนหรือเพื่อนร่วมงานโดยเด็ดขาด แม้ว่าโปรแกรมดังกล่าวจะเป็นโปรแกรมที่ให้ความสนุกสนานก็ตาม เพราะโปรแกรมลักษณะดังกล่าวมักจะมีโปรแกรม trojan แฝงมาด้วยเสมอ
10. ออปชัน "hide file extensions"
ในระบบปฏิบัติการวินโดวส์จะมีออปชันอย่างหนึ่งคือ "Hide file extensions for known file types" เป็นออปชันที่สั่งให้ระบบซ่อนนามสกุล 3 ตัวหลังสุด (extension) ของไฟล์ที่ระบบรู้จักไว้เพื่อให้สะดวกต่อการเรียกดูไฟล์บนหน้าจอ ซึ่งโดยปกติแล้วระบบจะตั้งค่าให้ออปชันนี้ทำงาน แต่ผู้ใช้สามารถยกเลิกการใช้งานออปชันนี้ได้เพื่อให้มีการแสดงนามสกุลของ ไฟล์ทั้งหมดบนหน้าจอ e-mail ที่ส่งมาพร้อมกับไวรัสหลายฉบับใช้ช่องโหว่ข้อนี้ในการโจมตี ตัวอย่างเช่น worm ชื่อ VBS/LoveLetter ที่ใช้การซ่อนนามสกุล 3 ตัวหลังสุดของไฟล์ที่ส่งมากับ e-mail ทำให้ไฟล์ที่ชื่อ "LOVE-LETTER-FOR-YOU.TXT.vbs" ปรากฏเพียง "LOVE-LETTER-FOR-YOU.TXT" ส่งผลให้ผู้ใช้เปิดดูไฟล์ดังกล่าวโดยไม่รู้ตัว โปรแกรมที่มีจุดประสงค์ในการบุกรุกระบบอีกหลายๆ โปรแกรมก็ใช้วิธีการทำนองเดียวกันนี้ด้วย เช่น
* Downloader (MySis.avi.exe หรือ QuickFlick.mpg.exe)
* VBS/Timofonica (TIMOFONICA.TXT.vbs)
* VBS/CoolNote (COOL_NOTEPAD_DEMO.TXT.vbs)
* VBS/OnTheFly (AnnaKournikova.jpg.vbs)
ไฟล์ดังกล่าวจะถูกแนบไปกับ e-mail ที่ไวรัสเหล่านี้ส่งออกไป ผู้ใช้จะพบว่าไฟล์ที่ได้รับอยู่ในรูปแบบของไฟล์ข้อความ (.txt) ไฟล์รูปภาพ (.mpg) ไฟล์วีดีโอ (.avi) หรือไฟล์ ชนิดอื่นๆ ที่ผู้ใช้เห็นว่าไม่น่าจะทำอันตรายต่อระบบ แต่ในความเป็นจริง ไฟล์เหล่านั้นมีส่วนการทำงานหรือเป็นโปรแกรมที่สามารถทำลายระบบได้ (เช่น เป็นไฟล์ .vbs หรือ .exe) รายละเอียดเพิ่มเติมที่เกี่ยวข้องและไวรัสที่ทำงานโดยวิธีนี้ สามารถอ่านได้จากเอกสาร Computer Virus Resource
http://www.cert.org/other_sources/viruses.html
11. โปรแกรมสนทนา (chat)
โปรแกรม สนทนาทางอินเทอร์เน็ต เช่นโปรแกรมที่ใช้ส่งข้อความผ่านเครือข่ายและโปรแกรม Internet Relay Chat (IRC) เป็นแอพลิเคชันที่ทำหน้าที่ในการรับและส่งข้อมูลระหว่างเครื่องคอมพิวเตอร์ สองเครื่องผ่นเครือข่ายอินเทอร์เน็ต โปรแกรมสนทนาที่ติดตั้งไว้ในเครื่องของผู้ใช้นั้นมีการจัดกลุ่มสำหรับผู้ใช้ แต่ละคน เพื่อเป็นตัวกลางในการแลกเปลี่ยนข่าวสาร ข้อมูล บทสนทนา ชื่อเว็บไซต์ และในหลายๆ ครั้งยังรวมไปถึงการแลกเปลี่ยนไฟล์ชนิดต่างๆ ด้วย
ด้วย เหตุที่โปรแกรมสนทนาจำนวนมากอนุญาตให้ผู้ใช้แลกเปลี่ยนโปรแกรมที่จะนำไปใช้ งาน ทำให้เกิดความเสี่ยงในลักษณะเดียวกับการส่ง e-mail แต่การใช้งานโปแกรมสนทนานี้ยังมีข้อจำกัดที่ความสามารถของโปรแกรมสนทนาใน เครื่องในการสั่งให้ไฟล์ที่ได้รับมาทำงาน ดังนั้น ผู้ใช้จึงควรให้ความระมัดระวังในการแลกเปลี่ยนไฟล์กับกลุ่มคนที่ไม่รู้จัก
12. การดักจับ Packet
การดักจับ packet เป็นการทำงานโดยอาศัยโปรแกรมดักจับข้อมูลในการเก็บข้อมูลที่ถูกส่งไปมาในเครือข่าย ข้อมูลเหล่านี้อาจรวมไปถึงชื่อผู้ใช้ รหัสผ่าน และข้อมูลทางธุรกิจอื่นๆ ที่ถูกส่งในรูปที่ไม่มีการเข้ารหัส บางครั้งอาจทำให้ผู้ที่ทำการดักจับ packet ได้รับข้อมูลรหัสผ่านจากการกระทำนี้มากมาย ซึ่งผู้บุกรุกสามารถนำเอาค่ารหัสผ่านที่ได้นี้ไปใช้ในการบุกรุกระบบ ข้อสำคัญอีกอย่างหนึ่งก็คือ ผู้ที่จะติดตั้งโปรแกรมดักจับ packet ไม่จำเป็นต้องได้รับสิทธิ์เป็นผู้ดูแลระบบแต่อย่างใด
เมื่อเปรียบเทียบระหว่างการใช้งานผ่านสายชนิด DSL และการใช้งานแบบ dial-up ที่ใช้โดยทั่วไป ผู้ที่ใช้งานเคเบิลโมเด็มเป็นผู้ที่ได้รับความเสี่ยงสูงสุดต่อการถูกดักจับ packet เนื่องมาจากผู้ใช้งานเคเบิลโมเด็มที่อยู่ใกล้เคียงกันจะถูกเชื่อมต่อเข้าสู่เครือข่ายเสมือนหนึ่งอยู่ในวงเครือข่าย LAN เดียวกัน หากผู้ใช้คนใดคนหนึ่งของเครือข่ายเคเบิลโมเด็มติดตั้งโปรแกรมดักจับ packet ลงที่เครื่องคอมพิวเตอร์ของตนก็จะสามารถดักจับข้อมูลทั้งหมดที่ส่งเข้าออกจากเคเบิลโมเด็มอื่นๆ ที่อยู่ใกล้เคียงได้ทันที
C. อุบัติเหตุ และความเสี่ยงอื่นๆ
ความ เสี่ยงอื่นๆ ที่ไม่เกี่ยวข้องกับการเชื่อมต่อเครื่องคอมพิวเตอร์แต่ละเครื่องเข้าสู่ เครือข่ายอินเทอร์เน็ต คือความเสี่ยงที่เกิดขึ้นไม่ว่าผู้ใช้จะเชื่อมต่อเครื่องคอมพิวเตอร์ของตน เข้าสู่เครือข่ายหรือไม่ก็ตาม ส่วนใหญ่แล้วความเสี่ยงประเภทนี้มักเป็นสิ่งที่ผู้ใช้งานคอมพิวเตอร์ทุกคน ทราบดีอยู่แล้ว จึงไม่ขออธิบายโดยละเอียด อย่างไรก็ตาม มีข้อควรจำข้อหนึ่งคือ ข้อปฏิบัติง่ายๆ ที่ช่วยลดความเสี่ยงประเภทนี้อาจจะช่วยลดจุดอ่อนอื่นๆ ที่เป็นความเสี่ยงของการเชื่อมต่อใช้งานเครือข่ายตามที่ได้อธิบายไว้ในหัว ข้อได้
1. ดิสก์ขัดข้อง
ความ สามารถที่จะเรียกใช้ข้อมูลที่เก็บไว้ ตรงกับ 1 ใน 3 คุณสมบัติที่ใช้ในการพิจารณาเรื่องความปลอดภัยของข้อมูลในข้อความพร้อมใช้ (ข้อมูลควรจะพร้อมให้ผู้ต้องการใช้ได้ทันที ในขณะที่ต้องการจะใช้) ถึงแม้ว่าจะมีความเป็นไปได้ที่ผู้ใช้จะไม่สามารถเรียกข้อมูลทั้งหมดที่เก็บ ไว้กลับมาใช้งาน เช่น การที่สื่อเก็บข้อมูลได้รับความเสียหายทางกายภาพ ถูกทำลายหรือสูญหาย ข้อมูลที่เก็บไว้ในฮาร์ดดิสก์จึงได้รับผลความเสี่ยงจากอุปกรณ์ที่ใช้เก็บ ข้อมูลด้วย ความขัดข้องของฮาร์ดดิสก์เป็นสาเหตุทั่วไปที่ทำให้ข้อมูลในเครื่อง คอมพิวเตอร์ของผู้ใช้แต่ละคนสูญหาย แนวทางแก้ไขที่ดีที่สุดคือการใช้ระบบสำรองข้อมูล
2. กระแสไฟฟ้าขัดข้องหรือไม่สม่ำเสมอ
ปัญหาจากกระแสไฟฟ้าที่เครื่องคอมพิวเตอร์ใช้งาน (เช่น ไฟกระชาก ไฟตก เป็นต้น) เป็นสาเหตุให้เครื่องคอมพิวเตอร์เสียหาย ทั้งยังทำให้ฮาร์ดดสก์ขัดข้องหรือเป็นอันตรายต่อชิ้นส่วนอิเล็กทรอนิกส์อื่นๆ ภายในเครื่องคอมพิวเตอร์ แนวทางในการลดความเสี่ยงข้อนี้คือการนำเอาเครื่องป้องกันไฟกระชากหรือเครื่องจ่ายกระแสไฟฟ้าสำรอง (UPS) มาใช้งาน
3. การถูกโจรกรรม
การ ถูกโจรกรรมเครื่องคอมพิวเตอร์ ถือเป็นวิธีการที่ทำให้สูญเสียความปลอดภัยของข้อมูล ทั้งในข้อความลับและความพร้อมใช้ ทั้งยังทำให้ผู้ใช้เกิดความไม่แน่ใจว่าความสมบูรณ์ของข้อมูลดังกล่าวจะยังคง เดิมหรือไม่ (ในกรณีที่ผู้ใช้สามารถกู้คืนข้อมูลมาได้) การมีระบบสำรองข้อมูล (ที่เก็บข้อมูลสำรองไว้ในสถานที่อื่น) เป็นวิธีการที่ทำให้ผู้ใช้กู้คืนข้อมูลทั้งหมดกลับมาได้ แต่การมีระบบสำรองข้อมูลเพียงอย่างเดียวไม่ช่วยรักษาความลับของข้อมูล ผู้ใช้จำเป็นจะต้องนำเครื่องมือที่ช่วยในการเข้ารหัสมาใช้เข้ารหัสข้อมูล ซึ่งเก็บไว้ในฮาร์ดดิสก์ของเครื่องคอมพิวเตอร์ CERT/CC แนะนำให้ผู้ใช้งานเครื่องคอมพิวเตอร์ที่มีข้อมูลสำคัญหรือมีความเสี่ยงที่จะ ถูกโจรกรรม (เช่น เครื่องคอมพิวเตอร์พกพาแบบต่างๆ) นำเครื่องมือเหล่านี้มาติดตั้งไว้ใช้งานในเครื่อง
IV. วิธีการที่ผู้ใช้งานเครื่องคอมพิวเตอร์ควรใช้ในการป้องกันระบบคอมพิวเตอร์ของตนที่บ้าน
CERT/CC แนะนำให้ผู้ใช้งานเครื่องคอมพิวเตอร์ที่บ้านปฏิบัติตามขั้นตอนต่อไปนี้
1. ขอคำปรึกษาจากผู้ให้บริการหรือผู้ดูแลโดยตรง หากจำเป็นต้องทำงานจากที่บ้าน
2. นำซอฟต์แวร์ป้องกันไวรัสมาใช้งาน
3. ใช้ไฟร์วอลล์
4. ไม่เปิดไฟล์ที่ไม่รู้จักซึ่งถูกแนบมากับ e-mail
5. ไม่เรียกใช้งานโปรแกรมที่ไม่ทราบที่มา
6. ยกเลิกการใช้งานออปชัน "hide file extensions"
7. ติดตั้ง patch ให้กับแอพลิเคชันที่ใช้งาน (รวมถึงระบบปฏิบัติการ)
8. ปิดเครื่องคอมพิวเตอร์หรือหยุดการเชื่อมต่อกับเครือข่ายทันทีที่เลิกใช้งาน
9. ยกเลิกการใช้งาน Java, JavaScript และ ActiveX ให้มากที่สุดเท่าที่จะเป็นไปได้
10. ยกเลิกการใช้งานสคริปต์ที่เกี่ยวกับลักษณะพิเศษต่างๆ ในโปรแกรม e-mail
11. ทำการสำรองข้อมูลที่สำคัญ
12. ทำแผ่นบูทเพื่อใช้งานในกรณีที่เครื่องคอมพิวเตอร์เกิดความเสียหายหรือถูกบุกรุก
รายละเอียดเพิ่มเติมของคำแนะนำแต่ละข้อได้อธิบายไว้ด้านล่าง
คำแนะนำ
1. ขอคำปรึกษาจากผู้ให้บริการหรือผู้ดูแลโดยตรง หากจำเป็นต้องทำงานจากที่บ้าน
ถ้า เป็นการใช้งานที่มีเข้าถึงแบบ broadband เพื่อเชื่อมต่อไปยังเครือข่ายขององค์กร ไม่ว่าจะเป็นการใช้ Virtual Private Network (VPN) หรือวิธีอื่นๆ ก็ตาม ทางองค์กรมักจะมีนโยบายหรือกระบวนการที่เกี่ยวข้องกับความปลอดภัยในการใช้ งานเครื่องคอมพิวเตอร์ที่บ้านให้ผู้ใช้ปฏิบัติ ดังนั้น ผู้ใช้จึงควรขอคำปรึกษาจากผู้รับผิดชอบดูแลด้านนี้โดยตรงตามความเหมาะสม ก่อนที่จะปฏิบัติตามคำแนะนำภายในเอกสารฉบับนี้
2. นำซอฟต์แวร์ป้องกันไวรัสมาใช้งาน
CERT/CC แนะนำให้นำซอฟต์แวร์ anti-virus มาใช้งานที่เครื่องคอมพิวเตอร์ทุกเครื่องที่เชื่อมต่ออินเทอร์เน็ต โดยที่ผู้ใช้ทุกคนจะต้องปรับปรุงข้อมูลของโปรแกรม anti-virus ในเครื่องคอมพิวเตอร์ของตนให้ทันสมัยอยู่เสมอ ผลิตภัณฑ์ anti-virus หลายอันรองรับการทำงานแบบอัพเดตข้อมูลประวัติไวรัส (บางครั้งเรียกว่า virus definition) โดยอัตโนมัติ ซึ่ง CERT/CC แนะนำให้ผู้ใช้ทุกคนทำการอัพเดตข้อมูลโดยอัตโนมัติทันทีที่มีข้อมูลใหม่ออก มา
อ่านรายละเอียดเพิ่มเติมได้ที่ http://www.cert.org/other_sources/viruses.html#VI
3. ใช้ไฟร์วอลล์
การนำไฟรวอลล์ชนิดใดก็ได้มาใช้งานในระบบเป็นวิธีที่ควรปฏิบัติอีกข้อหนึ่ง ไม่ว่าจะเป็นชนิดที่นำมาใช้งานในเครือข่าย หรือชนิดซอฟต์แวร์ที่นำมาติดตั้งที่เครื่องโดยเฉพาะ ผู้บุกรุกทำการตรวจสอบหาช่องโหว่ในระบบของผู้ใช้คนอื่นๆ อยู่ตลอดเวลา ไฟร์วอลล์ชนิดเครือข่าย (อาจเป็นได้ทั้งแบบซอฟต์แวร์และฮาร์ดแวร์) มีความสามารถในการป้องกันการโจมตีจากผู้บุกรุก อย่างไรก็ตาม ไม่มีไฟร์วอลล์ชนิดใดที่สามารถตรวจสอบหรือหยุดการโจมตีได้ทุกรูปแบบ ดังนั้น การติดตั้งไฟร์วอลล์เพียงอย่างเดียวไว้ในระบบ แล้วละเลยการดำเนินการเกี่ยวกับความปลอดภัยอื่นๆ จึงไม่เพียงพอต่อความปลอดภัยของระบบ
4. ไม่เปิดไฟล์ที่ไม่รู้จักซึ่งถูกแนบมากับ e-mail
ก่อนที่ผู้ใช้จะเปิดไฟล์แนบใดๆ ที่ส่งมากับ e-mail ผู้ใช้ควรจะแน่ใจก่อนว่าไฟล์นั้นมาจากที่ใด การทราบเพียงว่าใครเป็นผู้ส่ง e-mail ฉบับนั้นมาให้ตนหรือ e-mail address ต้นทางที่ส่งมาเป็นผู้ที่ตนเองรู้จักเท่านั้นถือว่าไม่พียงพอ ไวรัส Melissa แพร่กระจายได้อย่างรวดเร็ว เนื่องจากถูกส่งจาก e-mail address ที่ผู้รับคุ้นเคย นอกจากนั้นโค้ดโปรแกรมที่มีจุดประสงค์ร้ายหลายอันอาจจะแพร่กระจายผ่านโปรแกรมที่ให้ความบันเทิงหรือโปรแกรมล่อลวงอื่นๆ
หากผู้ใช้มีความจำเป็นจะต้องเปิดไฟล์ที่แนบมาก่อนที่จะสามารถตรวจสอบแหล่งที่มาของไฟล์ได้ ขอให้ปฏิบัติตามขั้นตอนต่อไปนี้
1. ทำการอัพเดตข้อมูลรูปแบบไวรัสในเครื่องให้ทันสมัยที่สุด (อ่านรายละเอียดเพิ่มเติมได้จากข้อ "นำซอฟต์แวร์ป้องกันไวรัสมาใช้งาน" ด้านบน)
2. บันทึกไฟล์ดังกล่าวลงในฮาร์ดดิสก์
3. ตรวจสอบไฟล์โดยใช้ซอฟต์แวร์ anti-virus ที่มีในเครื่อง
4. เปิดไฟล์
นอกจากนั้น อีกสิ่งที่ควรทำก่อนที่จะเปิดไฟล์คือให้ยกเลิกการเชื่อมต่อเครื่องคอมพิวเตอร์เข้ากับเครือข่าย
การปฏิบัติตามขั้นตอนที่กล่าวมานี้จะช่วยลดความเสี่ยง แต่ไม่สามารถทำให้ความเสี่ยงหมดไปได้ โอกาสที่โปรแกรมทำลายระบบซึ่งแนบมากับ e-mail เหล่านั้นจะแพร่กระจายจากเครื่องคอมพิวเตอร์ของผู้ใช้ไปยังเครื่องอื่นๆ ยังคงมีอยู่
5. ไม่เรียกใช้งานโปรแกรมที่ไม่ทราบที่มา
ไม่ควรใช้งานโปรแกรมใดๆ ที่ไม่ทราบว่าถูกพัฒนาขึ้นโดยนักพัฒนาโปรแกรมหรือบริษัทที่เชื่อถือหรือไม่ และไม่ควรส่งโปรแกรมที่ตนเองไม่รู้ที่มาไปให้เพื่อนหรือเพื่อนร่วมงานโดยเด็ดขาด แม้ว่าโปรแกรมดังกล่าวจะเป็นโปรแกรมที่ให้ความสนุกสนานก็ตาม เพราะโปรแกรมลักษณะดังกล่าวมักจะมีโปรแกรม trojan แฝงมาด้วยเสมอ
6. ยกเลิกการใช้งานออปชัน "hide file extensions"
ใน ระบบปฏิบัติการวินโดวส์มีออปชันอันหนึ่งคือ "Hide file extensions for known file types" โดยปกติแล้วระบบจะตั้งค่าให้ออปชันนี้ทำงาน แต่ผู้ใช้สามารถยกเลิกการใช้งานออปชันนี้ได้เพื่อให้มีการแสดงนามสกุลของ ไฟล์ทั้งหมดบนหน้าจอ หลังจากที่ยกเลิกออปชันนี้ จะยังคงมีไฟล์บางไฟล์ที่ไม่แสดงนามสกุลเนื่องจากถูกระบบกำหนดไว้
เนื่องจากมี registry อยู่ 1 ค่าซึ่งหากมีการตั้งค่าให้กับ registry นี้แล้ว จะทำให้ระบบปฏิบัติการซ่อนนามสกุลของไฟล์ โดยไม่คำนึงว่าค่าที่กำหนดให้กับออปชัน "Hide file extensions for known file types" บนระบบปฏิบัติการคืออะไร นั่นคือ registry ชื่อ "NeverShowExt" จะเป็นตัวกำหนดการซ่อนนามสกุลของไฟล์ชนิดพื้นฐานที่ใช้งานในระบบปฏิบัติการวินโดวส์ เช่น ".LNK" ซึ่งเป็นนามสกุลของช็อตคัท (shortcut) จะยังคงถูกซ่อนไว้แม้ว่าจะยกเลิกออปชัน "Hide file extensions for known file types" แล้วก็ตาม
คำสั่งเฉพาะอื่นๆ ที่ใช้ในการยกเลิกการซ่อนนามสกุลของไฟล์ ถูกรวบรวมไว้ใน http://www.cert.org/incident_notes/IN-2000-07.html
7. ติดตั้ง patch ให้กับแอพลิเคชันที่ใช้งาน (รวมถึงระบบปฏิบัติการ)
ผู้ ผลิตซอฟต์แวร์และระบบปฏิบัติการต่างๆ มักจะนำ patch ของซอฟต์แวร์ของตนออกมาให้ผู้ใช้นำไปใช้งาน เมื่อพบว่ามีช่องโหว่เกิดขึ้นกับผลิตภัณฑ์ของตน เอกสารเกี่ยวกับผลิตภัณฑ์ต่างๆ มักจะนำเสนอวิธีการที่ผู้ใช้จะรับข้อมูลล่าสุดและ patch ใหม่ๆ ไว้ด้วย ผู้ใช้ควรจะหาทางที่จะทำให้ตนเองสามารถเข้าไปรับสิ่งเหล่านี้ และข้อมูลอื่นๆ ได้ผ่านทางเว็บไซต์ของผู้ผลิต
แอพลิเคชันบางอันมีความสามารถที่จะตรวจสอบว่าจะต้องทำการอัพเดตหรือไม่ได้โดยอัตโนมัติ และผู้ผลิตหลายรายยังได้จัดเตรียมการแจ้งเตือนการอัพเดตให้กับผู้ใช้โดยอัตโนมัติผ่านทาง mailing list ผู้ใช้สามารถหาข้อมูลเพิ่มเติมได้จากเว็บไซต์ของผู้ผลิตโดยตรง ถ้าหากไม่มีกระบวนการทั้งสองอย่างที่กล่าวมานี้ ผู้ใช้จำเป็นจะต้องเข้าไปตรวจสอบด้วยตนเองเป็นระยะๆ ว่ามี patch ใดที่ควรนำมาทำการอัพเดตให้กับซอฟต์แวร์ในเครื่องคอมพิวเตอร์ของตนหรือไม่
8. ปิดเครื่องคอมพิวเตอร์หรือหยุดการเชื่อมต่อกับเครือข่ายทันทีที่เลิกใช้งาน
ผู้ใช้ควรปิดเครื่องคอมพิวเตอร์ของตน หรือยกเลิกการเชื่อมต่อกับเครือข่ายทันทีที่ไม่ต้องการใช้งาน ผู้บุกรุกจะไม่สามารถโจมตีเครื่องคอมพิวเตอร์ใดๆ ได้ ถ้าหากเครื่องคอมพิวเตอร์ดังกล่าวปิด หรือได้ยกเลิกการเชื่อมต่ออินเทอร์เน็ตอย่างสมบูรณ์แล้ว
9. ยกเลิกการใช้งาน Java, JavaScript และ ActiveX ให้มากที่สุดเท่าที่จะเป็นไปได้
ผู้ ใช้จะต้องระมัดระวังความเสี่ยงที่เกิดขึ้นจากการใช้งาน "mobile code" เช่น ActiveX, Java และ JavaScript ผู้พัฒนาเว็บโดยมีจุดประสงค์ร้ายบางคนบางคนอาจจะเขียนสคริปต์การทำงาน บางอย่างรวมไว้ในโค้ดโปรแกรมของตน แล้วส่งไปยังเว็บไซต์ เช่น ค่า URL (Uniform Resource Locator), ส่วนใดส่วนหนึ่งของฟอร์ม หรือการสืบค้นฐานข้อมูล หลังจากนั้น เมื่อเว็บไซต์ดังกล่าวตอบรับการขอใช้งานจากผู้ใช้ สคริปต์ส่วนดังกล่าวนี้จะถูกส่งมายังบราวเซอร์ที่เครื่องคอมพิวเตอร์ของผู้ ใช้ด้วย
วิธีการหลีกเลี่ยงไม่ให้ตนเองได้รับผลกระทบจากช่องโหว่นี้คือ ให้ยกเลิกการใช้งานโปรแกรมทั้งหมดที่มีการใช้ภาษาสคริปต์ การไม่ใช้งานออปชันนี้จะช่วยป้องกันความเสี่ยงจากโปรแกรมการทำงานที่มีจุดประสงค์ร้ายต่อเครื่องคอมพิวเตอร์ได้ อย่างไรก็ตาม การยกเลิกออปชันนี้จะส่งให้เกิดการจำกัดการเข้าใช้งานบางเว็บไซต์
ในขณะที่เว็บไซต์หลายแห่งที่ผู้พัฒนาไม่ได้มีจุดประสงค์ในการอันตรายใดๆ ต่อเครื่องคอมพิวเตอร์ของผู้ใช้ แต่ภายในเว็บมีการใช้งานสคริปต์เหล่านี้เพื่อให้เว็บสามารถใช้งานลักษณะพิเศษบางอย่างได้ การยกเลิกออปชันดังกล่าวนี้ จะทำให้การใช้งานเว็บไซต์ทำได้อย่างไม่เต็มประสิทธิภาพ
รายละเอียดเกี่ยวกับคำสั่งในการยกเลิกการใช้งานภาษาสคริปต์บนบราวเซอร์สามารถอ่านได้ที่ http://www.cert.org/tech_tips/malicious_code_FAQ.html
รายละเอียดเพิ่มเติมเกี่ยวกับความปลอดภัยของ ActiveX รวมไปถึงข้อแนะนำสำหรับผู้ใช้ที่ต้องดูแลเครื่องคอมพิวเตอร์ของตนเอง สามารถอ่านเพิ่มเติมได้ที่ http://www.cert.org/archive/pdf/activeX_report.pdf
รายละเอียดเกี่ยวกับความเสี่ยงที่เกิดจากโปรแกรมการทำงานที่มีจุดประสงค์ในการทำลายระบบผ่านทางเว็บไซต์สามารถอ่านได้จาก CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests
10. ยกเลิกการใช้งานสคริปต์ที่เกี่ยวกับลักษณะพิเศษต่างๆ ในโปรแกรม e-mail
โปรแกรมที่ใช้ในการรับส่ง e-mail หลายโปรแกรมที่ถูกพัฒนาขึ้นในลักษณะเดียวกับโปรแกรมบราวเซอร์ในการเปิดไฟล์ชนิด HTML ส่งผลให้โปรแกรม e-mail เหล่านั้นได้รับผลกระทบจากการใช้งาน ActiveX, Java และ JavaScript ได้เช่นเดียวกับการใช้งานเว็บเพจ ดังนั้น นอกจากยกเลิกการใช้งานสคริปต์ในโปรแกรมเว็บบราวเซอร์แล้ว (อ่านรายละเอียดได้จากหัวข้อ "ยกเลิกการใช้งาน Java, JavaScript และ ActiveX ให้มากที่สุดเท่าที่จะเป็นไปได้") CERT/CC ยังขอแนะนำให้ผู้ใช้ยกเลิกการใช้งานสคริปต์ที่เกี่ยวข้องกับลักษณะพิเศษต่างๆ เหล่านี้บนโปรแกรม e-mail ด้วย
11. ทำการสำรองข้อมูลที่สำคัญ
ผู้ใช้ควรทำการเก็บสำรองไฟล์ที่สำคัญลงบนสื่อเก็บข้อมูลที่สามารถเคลื่อนย้ายได้ง่าย เช่น ZIP disk หรือ CD-ROM ชนิดที่บันทึกข้อมูลได้ อาจทำการสำรองข้อมูลโดยการใช้ซอฟต์แวร์ และนำดิสก์เหล่านี้ไปเก็บที่อื่นให้ห่างจากเครื่องคอมพิวเตอร์
12. ทำแผ่นบูทเพื่อใช้งานในกรณีที่เครื่องคอมพิวเตอร์เกิดความเสียหายหรือถูกบุกรุก
ขั้น ตอนเบื้องต้นในการกู้คืนระบบถ้าหากเครื่องคอมพิวเตอร์ได้รับความเสียหาย ถูกละเมิดความปลอดภัยหรือเกิดปัญหากับฮาร์ดดิสก์ คือการเตรียมแผ่นบูทโดยใช้แผ่นดิสก์ 1 แผ่นไว้ล่วงหน้า สามารถนำเอาแผ่นบูทนี้ไปใช้ในการกู้คืนระบบที่เกิดปัญหาต่างๆ ดังที่กล่าวมาแล้วได้ ข้อควรจำก็คือ ผู้ใช้เครื่องคอมพิวเตอร์จะต้องจัดเตรียมแผ่นบูทนี้ไว้ก่อนที่เครื่อง คอมพิวเตอร์จะได้รับอันตรายจากเหตุการณ์ความปลอดภัยต่างๆ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น