"BOT"เครือข่าย "BOTNET"

"BOT"เครือข่าย "BOTNET"

ภัยจากการถูกแฮกเกอร์ยึดเครื่องคอมพิวเตอร์ไปทำเป็น "BOT" เพื่อสร้างเครือข่าย "BOTNET"

ปัญหาใหญ่ของ ISP ในประเทศไทยวันนี้คือ เครื่องคอมพิวเตอร์ของลูกค้าทั้งตามบ้านและในองค์กรหลายร้อยหลายพันเครื่องถูกแฮกเกอร์เข้าโจมตีและยึดเครื่องเหล่านั้น เพื่อทำเป็น "BOT" หรือ "ROBOT" ให้รับฟังคำสั่งจากเครื่องของแฮกเกอร์ซึ่งจะ "Remote control" เครื่องของเราจากระยะไกล เมื่อแฮกเกอร์ยึดเครื่องได้หลาย ๆ เครื่องก็จะเกิดเป็นเครือข่ายของแฮกเกอร์ขึ้นโดยเราเรียกว่า "BOTNET" ย่อมาจาก "Robot Network" โดยที่เครื่องของเราเองจะดูเหมือนไม่มีอะไรเกิดขึ้น แต่กลายเป็นเครื่องที่ถูกแฮกเกอร์ควบคุมสั่งการจากระยะไกล ให้ทำเรื่องที่แฮกเกอร์ประสงค์ เช่น ส่ง SPAM Mail เป็นต้น

ปัญหา "BOTNET" เกิดจากผู้ใช้คอมพิวเตอร์ตามบ้าน และ ในบางองค์กร ไม่มีความรู้ความเข้าใจเรื่องการรักษาความปลอดภัยให้กับเครื่องคอมพิวเตอร์อย่างเพียงพอ เช่น ไม่เปิด Personal Firewall หรือ "Windows Firewall บางที ก็ไม่ลง Patch ล่าสุด ไม่ "Update Patch" ให้เป็นปัจจุบัน ทำให้เครื่องคอมพิวเตอร์มีช่องโหว่ (Vulnerability) ที่ยังไม่ได้รับการแก้ไขที่ถูกต้อง เป็นสาเหตุให้แฮกเกอร์สแกนตรวจพบช่องโหว่ และ เข้าโจมตีเครื่องของเราได้ง่ายผ่านทางอินเทอร์เน็ต โดยเฉพาะ "Broadband Internet" ซึ่งแต่ละคนสามารถสแกนกันได้อยู่แล้ว ดังนั้น เราจำต้องป้องกันเครื่องของเราโดยที่อย่างน้อยก็ควรติดตั้ง Personal Firewall หรือ Windows Firewall ให้เรียบร้อย ตลอดจนควรหมั่นขยัน "Update Patch" โดยการใช้ Windows Update หรือถ้าเป็นองค์กรก็ควรใช้ Microsoft WSUS, Microsoft SMS หรือ 3rdParty Patch Management Software เช่น PatchLink หรือ BigFix เป็นต้น

ปัจจุบันปัญหา BOTNET กลายเป็นปัญหาใหญ่ของ ISP ทั่วโลก ไม่ใช่เฉพาะในประเทศไทย ทุกประเทศจึงพบกับปัญหาที่ไม่ค่อยแตกต่างกันนัก การแก้ปัญหาชั่วคราวของ ISP ก็คือ การ "Block" เครื่องที่กลายเป็น BOT แต่ก็อาจทำให้เกิดปัญหากับลูกค้าได้ ดังนั้น หนทางแก้ปัญหาในระยะยาวที่ถูกต้องก็คือ การให้ความรู้กับผู้ใช้คอมพิวเตอร์ตามบ้านและในสำนักงานให้ตระหนักถึงภัยจาก "BOTNET" ตลอดจนคำแนะนำในการป้องกันตนเองอย่างง่าย ๆ ดังที่กล่าวมาแล้วในตอนต้น เพื่อให้ผู้ใช้ ได้มีส่วนร่วมในการป้องกันตนเองจากแฮกเกอร์ และเพื่อเสริมสร้างสัมพันธ์อันดีระหว่าง ISP และลูกค้า เพราะปัญหา "BOTNET" เป็นปัญหาที่ต้อง "ร่วมด้วยช่วยกัน" ก็จะลุล่วงและต่อกรกับแฮกเกอร์ได้อย่างมีประสิทธิภาพ

โปรแกรมควบคุม BOT ส่วนใหญ่จะใช้โปรโตคอล IRC (Internet Relay Chat) ในการควบคุม BOT ผ่านทาง "Remote Control" ดังนั้น หากอุปกรณ์ IDS/IPS ขององค์กรตรวจสอบพบ IRC Traffic วิ่งอยู่ ในเครือข่ายก็ให้สันนิษฐานไว้ก่อนเลยว่าอาจจะโดย "BOTNET" เล่นงานเข้าให้แล้ว เพราะในปัจจุบันผู้ใช้อินเทอร์เน็ตไม่นิยมเล่น IRC กันแล้ว โดยหันมาใช้งาน IM เช่น MSN หรือ Yahoo Messenger แทน คงมีแต่เฉพาะพวกแฮกเกอร์ที่ยังนิยมใช้โปรโตรคอล IRC กันอยู่ ทั้งการควบคุม BOT และ การคุยกันในกลุ่มแฮกเกอร์ผ่านทาง IRC Channel ต่าง ๆ ที่มักจะ ไม่เปิดให้คนนอกเข้าไปร่วมสนทนาด้วย ดังนั้น IRC Traffic จึงเป็น Traffic ที่เราต้องจับตาเป็นพิเศษ

Refer to http://www.acisonline.net/article_prinya_eweek_010650.htm