싼야민공- Phomthong's LiveTV 3G+ Online

phomthong on livestream.com. Broadcast Live Free

Virus Computer Killer Chat

Tuesday, 2 February 2010

"BOT"เครือข่าย "BOTNET"

"BOT"เครือข่าย "BOTNET"

ภัยจากการถูกแฮกเกอร์ยึดเครื่องคอมพิวเตอร์ไปทำเป็น "BOT" เพื่อสร้างเครือข่าย "BOTNET"

ปัญหาใหญ่ของ ISP ในประเทศไทยวันนี้คือ เครื่องคอมพิวเตอร์ของลูกค้าทั้งตามบ้านและในองค์กรหลายร้อยหลายพันเครื่องถูกแฮกเกอร์เข้าโจมตีและยึดเครื่องเหล่านั้น เพื่อทำเป็น "BOT" หรือ "ROBOT" ให้รับฟังคำสั่งจากเครื่องของแฮกเกอร์ซึ่งจะ "Remote control" เครื่องของเราจากระยะไกล เมื่อแฮกเกอร์ยึดเครื่องได้หลาย ๆ เครื่องก็จะเกิดเป็นเครือข่ายของแฮกเกอร์ขึ้นโดยเราเรียกว่า "BOTNET" ย่อมาจาก "Robot Network" โดยที่เครื่องของเราเองจะดูเหมือนไม่มีอะไรเกิดขึ้น แต่กลายเป็นเครื่องที่ถูกแฮกเกอร์ควบคุมสั่งการจากระยะไกล ให้ทำเรื่องที่แฮกเกอร์ประสงค์ เช่น ส่ง SPAM Mail เป็นต้น

ปัญหา "BOTNET" เกิดจากผู้ใช้คอมพิวเตอร์ตามบ้าน และ ในบางองค์กร ไม่มีความรู้ความเข้าใจเรื่องการรักษาความปลอดภัยให้กับเครื่องคอมพิวเตอร์อย่างเพียงพอ เช่น ไม่เปิด Personal Firewall หรือ "Windows Firewall บางที ก็ไม่ลง Patch ล่าสุด ไม่ "Update Patch" ให้เป็นปัจจุบัน ทำให้เครื่องคอมพิวเตอร์มีช่องโหว่ (Vulnerability) ที่ยังไม่ได้รับการแก้ไขที่ถูกต้อง เป็นสาเหตุให้แฮกเกอร์สแกนตรวจพบช่องโหว่ และ เข้าโจมตีเครื่องของเราได้ง่ายผ่านทางอินเทอร์เน็ต โดยเฉพาะ "Broadband Internet" ซึ่งแต่ละคนสามารถสแกนกันได้อยู่แล้ว ดังนั้น เราจำต้องป้องกันเครื่องของเราโดยที่อย่างน้อยก็ควรติดตั้ง Personal Firewall หรือ Windows Firewall ให้เรียบร้อย ตลอดจนควรหมั่นขยัน "Update Patch" โดยการใช้ Windows Update หรือถ้าเป็นองค์กรก็ควรใช้ Microsoft WSUS, Microsoft SMS หรือ 3rdParty Patch Management Software เช่น PatchLink หรือ BigFix เป็นต้น

ปัจจุบันปัญหา BOTNET กลายเป็นปัญหาใหญ่ของ ISP ทั่วโลก ไม่ใช่เฉพาะในประเทศไทย ทุกประเทศจึงพบกับปัญหาที่ไม่ค่อยแตกต่างกันนัก การแก้ปัญหาชั่วคราวของ ISP ก็คือ การ "Block" เครื่องที่กลายเป็น BOT แต่ก็อาจทำให้เกิดปัญหากับลูกค้าได้ ดังนั้น หนทางแก้ปัญหาในระยะยาวที่ถูกต้องก็คือ การให้ความรู้กับผู้ใช้คอมพิวเตอร์ตามบ้านและในสำนักงานให้ตระหนักถึงภัยจาก "BOTNET" ตลอดจนคำแนะนำในการป้องกันตนเองอย่างง่าย ๆ ดังที่กล่าวมาแล้วในตอนต้น เพื่อให้ผู้ใช้ ได้มีส่วนร่วมในการป้องกันตนเองจากแฮกเกอร์ และเพื่อเสริมสร้างสัมพันธ์อันดีระหว่าง ISP และลูกค้า เพราะปัญหา "BOTNET" เป็นปัญหาที่ต้อง "ร่วมด้วยช่วยกัน" ก็จะลุล่วงและต่อกรกับแฮกเกอร์ได้อย่างมีประสิทธิภาพ

โปรแกรมควบคุม BOT ส่วนใหญ่จะใช้โปรโตคอล IRC (Internet Relay Chat) ในการควบคุม BOT ผ่านทาง "Remote Control" ดังนั้น หากอุปกรณ์ IDS/IPS ขององค์กรตรวจสอบพบ IRC Traffic วิ่งอยู่ ในเครือข่ายก็ให้สันนิษฐานไว้ก่อนเลยว่าอาจจะโดย "BOTNET" เล่นงานเข้าให้แล้ว เพราะในปัจจุบันผู้ใช้อินเทอร์เน็ตไม่นิยมเล่น IRC กันแล้ว โดยหันมาใช้งาน IM เช่น MSN หรือ Yahoo Messenger แทน คงมีแต่เฉพาะพวกแฮกเกอร์ที่ยังนิยมใช้โปรโตรคอล IRC กันอยู่ ทั้งการควบคุม BOT และ การคุยกันในกลุ่มแฮกเกอร์ผ่านทาง IRC Channel ต่าง ๆ ที่มักจะ ไม่เปิดให้คนนอกเข้าไปร่วมสนทนาด้วย ดังนั้น IRC Traffic จึงเป็น Traffic ที่เราต้องจับตาเป็นพิเศษ

Refer to http://www.acisonline.net/article_prinya_eweek_010650.htm

No comments:

Post a Comment

Malware Fix New Update

Latest Virus Descriptions

Latest Virus News

BitDefender - Latest Threats

Sophos latest virus and spyware detection

ESET Threat Center

Trend Micro - Malware Top10

Avira - Latest Threats Descriptions

CA Security Advisor Virus Alerts

AVG | Virus Database Updates

AVG | Virus Database Updates

Free Download Antivirus & Safety Software

US-CERT Current Activity

Clam AntiVirus

NORMAN:Virus warnings

ข่าวไอทีและโปรแกรมสแกนไวรัส

Top Ten Security Privacy Reviews