A Quiet Word

ไม่มีอะไรใหม่ภายใต้ดวงอาทิตย์

เตือนระวังภัยอินเตอร์เน็ตใหม่ล่าสุด “Pharming” กุมภาพันธ์ 7, 2008

Filed under: Computers and Internet — Korkai @ 5:55 am
 
               เหล่าอาชญากรยุคไฮเทคในปัจจุบันกำลังใช้เทคนิคใหม่ที่เข้ามาแอบขโมยข้อมูลส่วนตัวของเราตลอดจนทำให้เงินออกจากกระเป๋าเราได้อย่างง่ายดาย โดยเฉพาะผู้ที่ใช้บริการอินเตอร์เน็ตแบงค์กิ้งอยู่ในเวลานี้ วิธีการที่เหล่าอาชญกรไฮเทคนิยมใช้ได้แก่วิธี "Phishing" และ ล่าสุดคือวิธี "Pharming"
ซึ่งอันตรายและน่ากลัวกว่าเดิมหลายเท่า วิธี "Phishing" นั้น ใช้วิธีทางจิตวิทยา (Social Engineering) โดยการส่ง eMail มาหลอกผู้ใช้บริการ Online หรือ ผู้ใช้บริการอินเตอร์เน็ตแบงค์กิ้ง ว่าให้รีบติดต่อกลับไปที่ Web Site ของบริการ Online เช่น eBay หรือ Paypal ตลอดจน บริการอินเตอร์เน็ตแบงค์กิ้งของธนาคาร เช่น ธนาคาร CITIBANK หรือ Bank of America เป็นต้น โดย eMail เหล่านั้นจะทำ Link หลอกผู้ใช้บริการไว้ให้คิดว่าเป็น URL ที่ Link ไปยัง Web Site ของผู้ให้บริการ แต่จริงๆแล้วเมื่อหลงคลิ๊กเข้าไปก็พบว่าถูกหลอกให้ไปยัง Web Site ปลอมที่พวกอาชญากรไซเบอร์เตรียมไว้สำหรับรอดัก Username และ Password ของเรา หลังจากนั้นเหล่าผู้ไม่หวังดีก็จะนำ Username และ Password ของเราไปใช้ในการชำระเงินต่างๆ ทำให้เราต้องเสียเงิน และ เเสียวลาในการติดต่อกับธนาคารซึ่งส่วนใหญ่แล้ว ธนาคารก็จะไม่สามารถรับผิดชอบให้เราได้ เพราะเราไม่ระมัดระวัง eMail ลักษณะหลอกลวงแบบนี้ ดังนั้น เราจึงต้องพยายามสังเกตุ eMail และคอยติดตามข่าวสารเรื่องนี้ได้ที่ Anti Phishing Working Group ซึ่งมี Web Site www.antiphishing.org
               สำหรับเทคนิคใหม่ที่ซับซ้อนกว่า "Phishing" นั้นได้แก่เทคนิค "Pharming" ซึ่งไม่จำเป็นต้องใช้วิธีเดิมคือส่ง eMail มาหลอกผู้ใช้บริการ Online และ ผู้ใช้บริการก็ไม่ต้องคลิ๊ก Link ที่หลอกมาแต่อย่างใด เหล่าอาชญากรไซเบอร์ใช้วิธีใหม่ที่แนบเนียนกว่า คือ การโจมตีไปที่ระบบ DNS Server ของบริษัท หรือ ผู้ให้บริการอินเตอร์เน็ต (ISP) โดยตรง โดยวิธีแฮกเข้าไปในระบบ DNS เลย หรือ ไม่ก็ใช้วิธีการที่เรียกว่า DNS Hijacking หรือ Poisoning ทำให้ผู้ใช้บริการที่ตกเป็นเหยื่อคิดว่าได้เข้าไปใน URL ที่ถูกต้องจริงๆ แต่ปรากฏว่า URL นั้นได้ถูก "Redirect" ไปยัง Web Site ปลอมที่อาชญากรไซเบอร์ทำรอไว้ให้หลงเข้าไปติดกับดัก
               อีกวิธีหนึ่งก็คือ การแฮกเข้าที่เครื่อง Client ตามบ้าน ซึ่งใช้อินเตอร์เน็ตความเร็วสูง หรือ Broadband Internet แล้วส่งโทรจันเช่น Trojan/BankAsh-A หรือ PWSteal.Banking.A เข้ามาดักรออยู่ ในเครื่องของเหยื่อโดยตรง โทรจันตัวนี้ถือว่าเป็นไวรัสคอมพิวเตอร์แบบหนึ่ง ซึ่งมันจะเข้าไปแก้ไขไฟล์ HOSTS ที่อยู่ใน Sub Directory c:\windows\system32\drivers\etc หรือ c:\winnt\systems\drivers\etc และ เพิ่มบรรทัดที่หลอกให้เหยื่อไปยัง URL ปรกติแต่ถูก "Redirect" ไปยัง Web Site ที่อาชญากรไซเบอร์เตรียมไว้ ที่โดนกันไปก็คือ ธนาคารต่างๆในต่างประเทศ Barclays Bank และ HSBC Bank เป็นต้น
\ การโจมตีด้วยวิธีการ "Pharming" นี้ เหยื่อจะสังเกตุได้ยากมาก หรือ เรียกได้ว่าแทบไม่รู้ตัวเลยก็ว่าได้ เพราะ URL ที่เข้าไปก็เหมือนกับของ Web Site จริงทุกประการ แต่เป็นกลลวงที่ระบบ DNS ทำให้เหยื่อเกิดความเข้าใจผิด
               สำหรับวิธีการแก้ไขในระยะสั้น นอกจากการที่เราต้องหมั่นตรวจสอบไฟล์ HOSTS ที่อยู่ในเครื่องเราบ่อยๆ แล้ว เราก็ต้องคอยอ่านข่าวสารใหม่ๆ เกี่ยวข้องกับเรื่อง Phishing เป็นระยะๆ จาก web site ที่ได้กล่าวมาแล้วในตอนต้น วิธีการแก้ไขในระยะยาวแบบบูรณาการ ก็คือ การใช้ระบบวิธีบริหารจัดการตรวจสอบการแสดงตัวตน IAM (Identity and Access Control Management System) ซึ่งต้องใช้ Digital Certificate มาช่วยในการตรวจสอบการเข้าถึงระบบ (Authentication Process) นั่นหมายถึง CA (Certificate Authority) และ PKI (Public Key Infrastructure) จะต้องเข้ามาเกี่ยวข้องโดยตรง นอกจากนั้น ผู้ที่ดูแล DNS Server อยู่ เช่น ผู้ให้บริการในอินเทอร์เน็ตหรือ ISP ก็ต้องคอย "Patch" เครื่อง DNS Server ของตน และหมั่นตรวจสอบประเมินความเสี่ยง (Vulnerability Assessment) ระบบของตนเองอยู่เป็นระยะๆ
               ภัยอินเทอร์เน็ตในวันนี้น่ากว่าที่เราคิดไว้มาก ดังนั้นเราควรต้องหมั่น "Update" ข่าวสารความเคลื่อนไหวด้าน Information Security บ่อยๆเพื่อไม่ให้ตกเป็นเหยื่อการหลอดลวงใหม่ๆทางอินเทอร์เน็ต ที่นับวันจะเพิ่มมากขึ้นอย่างน่าตกใจ
________________________________________
จาก : หนังสือ eWeek Thailand
ประจำเดือน ปักษ์แรก เดือนพฤษภาคม 2548
Update Information : 22 เมษายน 2548

 http://s10.histats.com/6.swf  

 

บทเรียนจากหนอนอินเทอร์เน็ต Blaster Worm

Filed under: Computers and Internet — Korkai @ 4:19 am
 
 
            นับตั้งแต่นาย Robert T. Morris นักศึกษามหาวิทยาลัย Cornell ได้ทำการปล่อย "หนอนอินเทอร์เน็ต" ตัวแรกของโลกที่ทำให้อินเทอร์เน็ตปั่นป่วนไปทั่วอเมริกาในปี 1988 ซึ่งกลายเป็นต้นแบบของ "Internet Worm" ทำให้เกิด Worm ต่าง ๆ ตามมามากมาย เช่น Code Red/Nimda Worm ที่เรารู้จักกันดี ล่าสุด "Blaster Worm" , "MSBlast" หรือ LovSan" เป็น worm ที่ระบาดอย่างรุนแรงที่สุด โดยอาศัยช่องโหว่ RPC DCOM ของ Microsoft Windows Platform ตั้งแต่ Windows NT, Windows 2000 จนถึง Windows XP ตลอดจน Windows Server 2003 โดยก่อนที่ worm จะระบาดไปทั่วนั้น Hacker ได้ค้นพบช่องโหว่ ( Vulnerability ) ของ Windows Platform แล้วทำโปรแกรมเจาะระบบ ( Exploit ) มาเผยแพร่ในอินเทอร์เน็ต จากนั้นอีกไม่กี่วันต่อมาเจ้า Blaster Worm ก็ออกมาอาละวาดในอินเทอร์เน็ต โดยทำให้เครื่อง PC ส่วนใหญ่ที่ใช้ Windows XP อยู่ในเวลานี้เกิดอาการ Shutdown ขึ้นมาดื้อ ๆ หรือ เครื่อง Windows 2000 ก็จะออกอาการไม่สามารถที่จะ Copy/Paste Folder ต่าง ๆ ได้ เล่นเอาผู้ดูแลระบบล้วนปวดหัวไปตาม ๆ กัน
            จากปัญหาของหนอนอินเทอร์เน็ตที่เกิดขึ้นอยู่เป็นระยะ ทำให้เรามองเห็นแนวโน้มในอนาคตว่าจะต้องมีช่องโหว่ และไวรัส ตัวใหม่ ๆ เกิดขึ้นอีกอย่างแน่นอน ซึ่งตอนนี้ก็มีไวรัสที่ทำงานในรูปแบบเดียวกับ Blaster เกิดขึ้นตามมาอีก หลายตัว เราเรียกอาการแบบนี้ว่าเป็น "Variant" ของไวรัสต้นแบบ เช่น ต้นแบบคือ Blaster.A ไวรัสที่เป็น Variant ก็จะเปลี่ยนอักษรตัวสุดท้ายไปเรื่อย ๆ เช่น Blaster.D หรือ Blaster.E อะไรทำนองนี้ แต่อาการของมันจะมีความแตกต่างกัน โดยปกติแล้วไวรัส Variant ที่ออกมาทีหลังจะมีระดับความรุนแรงในการทำลายล้างมากกว่า เช่น Blaster ตัวต้นแบบอาจจะแค่ Shutdown เครื่อง PC แต่ตัวหลัง ๆ อาจจะลบไฟล์หรือ ก่อความเสียหายให้กับระบบมากกว่าตัวแรกก็เป็นไปได้ ซึ่งขณะนี้ก็มีตัวใหม่ออกมาแล้วชื่อ W32.Nachi.Worm (หรือชื่อ MSBLAST.D, Welchia) โดยจะทำการส่ง Packet ICMP จำนวนมากออกมาท่วม (Flood) เครือข่ายของเรา ซึ่งส่งผลให้มีความคับคั่งของข้อมูลในเครือข่ายสูง ซึ่ง Blaster ตัวต้นแบบไม่มีอาการในทำนองนี้
เราควรมีวิธีป้องกันไวรัสหรือหนอนอินเทอร์เน็ตตัวใหม่ ๆ ที่จะเกิดขึ้นในอนาคตอย่างถูกวิธีโดย เราควรแบ่งแยกวิธีการแก้ปัญหาออกตามประเภทของการใช้งานว่าเป็น ผู้ใช้ตามบ้าน (Home users) หรือ ผู้ใช้ระดับองค์กร (Corporate users) ที่ใช้เครื่อง PC ที่ทำงานด้วย Windows OS เป็นจำนวนมาก
ในระดับผู้ใช้งานตามบ้านนั้น ควรจะมีการติดตั้งโปรแกรม ประเภท Personal firewall เช่น Zone Alarm (ตัวที่ไม่เสียเงินคือ ZoneAlarm ธรรมดา ถ้าเป็น ZoneAlarm Pro จะไม่ฟรีนะครับ) หรือ Sygate Personal Firewall ก็ได้ ในกรณีของ Windows XP และ Windows Server 2003 ก็มี Firewall ในตัวอยู่แล้วซึ่งเราสามารถจะ "enable" มาใช้งานได้ ( รายละเอียดดูได้ที่ www.microsoft.com/security) จากนั้นถ้ามีเวลาก็ควร Update Windows ของเราด้วยการติดตั้ง "Patch" เพื่อแก้ปัญหาอย่างถาวรโดยสามารถ Download ได้จาก Web site "Windows Update" http://windowsupdate.microsoft.com เราพบว่าในทางปฏิบัติ Windows Update นั้นผู้ใช้ตามบ้านมักจะไม่ค่อยทำถ้าไม่มีความรู้เรื่องช่องโหว่ใหม่ ๆ หรือไม่ได้ตระหนัก (Awareness) ว่าต้องคอยลง Patch อยู่เป็นประจำ ดังนั้นการติดตั้ง Personal Firewall หรือ การติดตั้งโปรแกรม Anti-Virus โดยหมั่น Update "Virus Signature" บ่อย ๆ เห็นจะเป็นวิธีที่จะดูสะดวกกว่า ซึ่งจริง ๆ แล้วการ "Update Patch" นั้นเป็นวิธีที่ดีที่สุดแต่อาจจะไม่ค่อยสะดวกสำหรับผู้ใช้ที่มี bandwidth ต่ำและคนที่ขี้เกียจลง Patch เป็นต้น ในกรณีที่ติดไวรัสเข้าไปแล้วก็ควรทำการ "Remove" เจ้าไวรัสตัวร้ายให้หมดไปจากเครื่องเสียก่อนที่จะทำการปิดช่องโหว่นะครับ
            สำหรับผู้ใช้ระดับองค์กรผมแนะนำว่าที่ PC workstation ในเครือข่าย LAN ให้ใช้วิธีเดียวกับผู้ใช้ตามบ้านแต่ให้เพิ่มการ update virus signature และ update Windows Patch ด้วยวิธีอัตโนมัติโดยใช้ความสามารถของโปรแกรม Anti-Virus ให้ลักษณะ Enterprise Update และใช้โปรแกรม HFNetchk LT (ฟรี) หรือ HFNetchk Pro (ต้องซื้อ) มาทำการ Deploy Patch ให้แก่ PC Workstation ในลักษณะ Automatic หลายเครื่องพร้อม ๆ กัน
           นอกจากนี้ควรติดตั้ง IDS (Intrusion Detection System) เช่น snort ในการตรวจจับ traffic ของไวรัสตัวใหม่ที่จะเกิดขึ้น ตลอดจนเขียน Access List ที่ Border Router เพื่อทำการ Block Port ที่ไวรัสชอบเจาะเป็นประจำ เช่น Port TCP 135, 137, 139, 445 และ Port ที่ไวรัสใช้ในการกระจายตัวเอง เช่น Port UDP 69 (TFTP) เป็นต้น จะช่วยให้ป้องกันองค์กรของเราไม่ให้ไวรัสกระจายเป็นวงกว้างและปิดกั้นเส้นทางของไวรัสในการกระจายออกสู่ระบบ WAN อย่างได้ผล

________________________________________
จาก : หนังสือ eLeaderThailand
ฉบับที่175 ประจำเดือนกันยายน 2546
Update Information : 15 กันยายน 2546

 http://s10.histats.com/6.swf  

 

เรียนรู้วิธีป้องกัน PC ด้วยโปรแกรมประเภท Personal Firewalls , SteathWare Finders / Removers และ SPAM Fighters กุมภาพันธ์ 6, 2008

Filed under: Computers and Internet — Korkai @ 3:31 pm
 
 

                  "หยุดไวรัส , กำจัดโปรแกรมแฮกเกอร์ , ต่อต้านสแปมเมอร์ " เรามักได้ยินคำกล่าวเหล่านี้บ่อยๆ จากคนที่ใช้ PC หรือ Personal Computer อยู่เป็นประจำ ทุกวันนี้ไม่มีใครปฏิเสธได้ว่า PC ได้เข้ามามีบทบาทกับการทำงานและการดำเนินชีวิตของเรา ในหนึ่งวันเราต้องอยู่หน้าคอมพิวเตอร์ PC เพื่อการทำงาน การรับส่งเมล์ ท่องเว็บ ค้นหาข้อมูล เขียนเว็บบอร์ด หรืออ่านข่าวสารต่างๆจาก Magazine Online เครื่องคอมพิวเตอร์ PC แทบทุกเครื่องในปัจจุบันนี้ จะต้องมีโมเด็ม (Modem) มากับเครื่องเพื่อต่อเชื่อมกับโลกอินเทอร์เน็ต เรียกว่าโมเด็มได้กลายมาเป็นอุปกรณ์มาตรฐานของเครื่องคอมพิวเตอร์ PC ไปแล้วก็ว่าได้ ดังนั้นเครื่องคอมพิวเตอร์ PC ไม่ได้ทำงานแบบเครื่องเดียว (Stand alone) อีกต่อไป เพราะเราต้องการเชื่อมต่อ PC ของเราเข้ากับเครือข่ายที่ใหญ่ที่สุดในโลกก็คืออินเทอร์เน็ตกันแทบทุกวัน ซึ่งในปัจจุบันนี้ ภัยจากแฮกเกอร์และไวรัสคอมพิวเตอร์ ที่อยู่ในอินเทอร์เน็ตนั้นมีมากมายเหลือประมาณ ไม่เหมือนกับช่วง 2-3 ปีก่อน ดูตัวอย่างรูปที่ 1 Events Screen ของโปรแกรม Personal Firewall ชื่อ "BlackICE PC Protection" (http://www.iss.net
/products/networkice/eval ) แสดงรายงานให้เราดูว่า เพียงแค่เราต่อโมเด็มเล่นอินเทอร์เน็ต 1 ถึง 2 ชั่วโมงก็พบว่ามี IP Address ที่แปลกๆ เข้ามาติดต่อเครื่องเราเป็นว่าเล่น อาทิ เข้ามาตรวจพอร์ต Web Server ของเรา (HTTP Port Probe) ทั้งๆที่เราไม่ได้เป็น Web Server มักมาจากจีนบ้าง , เกาหลีบ้าง ไต้หวันก็มีครับ
    
                    วิธีการจะดูว่า IP Address นั้นมาจากไหนให้เข้าไปหาในเว็บไซต์ http://combat.uxn.com แล้วเติม IP Address เข้าไปในช่อง IP Address ก็จะทราบได้ทันทีว่าต้นทางของ IP Address นั้นมาจากที่ใด โปรแกรม Personal firewall จะรายงานให้เราทราบถึงผู้บุกรุกที่ไม่ได้รับเชิญ และช่วยแกะรอยให้เราว่ามาจาก Host ชื่ออะไร (ทำ DNS Reverse Lookup Query) จะเห็นได้ว่าโปรแกรมประเภทนี้ นั้นมีประโยชน์หลายอย่าง นอกจากจะเตือนให้เราทราบถึงการเข้าถึง PC ของเราแบบแปลกๆ แล้วยังช่วยให้เรารู้ว่าเราโดนจู่โจจากที่ไหน โปรแกรม Personal Firewall ตัวเด่นที่ผมอยากจะแนะนำให้ลองดูได้แก่ "Sygate Personal Firewall" (http://soho.sygate.com) ซึ่งแจกฟรีสำหรับใช้ส่วนบุคคล หรือ "Zonelabs ZoneAlarm" (http://www.zonelabs.com) แจกฟรีสำหรับ Basic Version ยกตัวอย่าง ZoneAlarm นั้น สามารถป้องกันได้ทั้งข้อมูลที่เข้ามาโจมตี PC เราและข้อมูลที่ถูกส่งออกไปจาก PC เราโดยโปรแกรมพวกม้าโทรจัน (Trojan Horse) ถ้ามีการเปิดโปรแกรม Backdoor ไว้ที่เครื่องเราเพื่อแฮกเกอร์จะได้เข้ามาควบคุมเครื่องเราแบบ Remote Control โปรแกรมก็จะ pop-up แสดงให้เราทราบถึงความเคลื่อนไหวในแบบ Real Time และยังบล็อก (Block) การจู่โจมของพวก Virus ตระกูล NIMDA ที่ชอบเข้ามาทางพอร์ต HTTP ( Web Server) เป็นต้น โปรแกรมจะปิดพอร์ตสำคัญๆให้กับ PC ของเราโดยอัตโนมัติ เช่น พอร์ต HTTP, พอร์ต NetBIOS ซึ่งโดยปกติแล้ว แฮกเกอร์จะเข้ามาสำรวจข้อมูลเครื่องเราโดยผ่านทางช่องโหว่ Null Session ของ NetBIOS ซึ่งโปรแกรม Personal Firewall ทั้งหลายก็จะทำการปิดพอร์ตตระกูล NetBIOS ให้เราโดยอัตโนมัติ ทำให้คนอื่นไม่สามารถมาถึงข้อมูลจากเครื่องเราโดยการ Map Network Drive ตามปกติได้ พูดง่ายๆ ว่าปิด Share ในเครื่องเราทันทีที่โปรแกรมทำงาน แต่เราก็สามารถสั่งให้เปิดได้ถ้าต้องการเปิดให้เฉพาะคนบางคนเท่านั้น รูปที่ 3 แสดงถึงหน้าจอ Alert เตือนเราเวลามีคนมาติดต่อกับ PC เราผ่านทาง NetBIOS โดยจะแสดง IP Address พร้อมวันและเวลาที่มีเหตุการณ์เกิดขึ้นจากนั้นก็จะบันทึกลงใน Log File เพื่อพิมพ์รายงานในภายหลัง โปรแกรมจะมี Link ไปยัง WHOIS Search เพื่อระบุว่า IP Address นี้มาจากที่ใดในโลก โดยจะระบุเป็นชื่อ ISP ที่ดูแล IP Address นั้นๆอยู่
 
                   ขณะนี้โปรแกรม Personal Firewall ดังกล่าวมาในตอนต้นนั้น ในความเห็นของผม ผมคิดว่าเป็นสิ่งที่จำเป็นที่ต้องอยู่คู่กับ PC ของเรา เปรียบเสมือนตอนนี้ถ้าใครไม่มีโปรแกรมประเภท Anti-virus บนเครื่องก็ถือว่าค่อนข้างอันตรายพอสมควร เพราะภัยจากอินเทอร์เน็ตเข้ามาจู่โจมเราได้หลายแบบ ไม่ว่าจะเป็นไวรัส หรือพวกแฮกเกอร์ ที่สแกนมาเจอ IP Address ของเครื่องเราพอดี ดูจากรูปจะเห็นว่า IP Address ส่วนใหญ่มาจากต่างประเทศครับ
ยังมีโปรแกรมอีกประเภทหนึ่งเรียกว่า "STEATHWARE" มาแอบซ่อนอยู่ใน PC ของเรา โดยเราเคยคิดไหมว่ามีคนกำลังแอบดูหน้าจอเครื่องของเราอยู่แบบรีโมต (Remote) หรือบางครั้งเราไม่ได้ทำอะไรเลยขณะที่เรา online อยู่ แต่ก็มีสัญญาณไฟของโมเด็มกระพริบแสดงข้อมูลงเข้าออกจากเครื่องเราอยู่ตลอดเวลา แถมยังอยู่ดีๆก็มี pop-up โฆษณาต่างๆโผล่ขึ้นมาบนจอภาพของเรา โปรแกรมพวกนี้บางที่เราเรียกว่า "SPYWARE" หรือ "ADWARE" ซึ่งเราต้องหมั่นตรวจสอบ โดยการสแกนเครื่อง PC ของเราว่ามีโปรแกรม SPY พวกนี้อยู่ในเครื่องเราหรือไม่ ผมแนะนำโปรแกรม LAVASOFT AD-AWARE PLUS 5 จาก http://www.lavasoftusa.com เป็นโปรแกรมที่จะช่วยตรวจและลบโปรแกรม STEATHWARE ทั้งหลายออกจากเครื่อง PC ของเรา ผมแนะนำให้ลอง download มาใช้ดูจะทำให้เราเข้าใจโปรแกรมประเภทนี้มากขึ้น
                         เคยมีคนถามผมว่าแล้ว Microsoft เองไม่มีโปรแกรม Personal Firewall ติดมากับ OS เลยหรือ คำตอบก็คือมีครับ ใน Microsoft Windows XP นั้น จะมี Internet Connection Firewall อยู่ แต่คุณสมบัติจะสู้โปรแกรมจาก 3rd Party ไม่ได้ อาทิ ไม่มีการเตือนเวลาถูกบุกรุก หรือการเก็บ Log File ก็อาจจะยากที่จะเข้าใจและเข้าถึง แต่ก็เป็นนิมิตหมายที่ดีนะครับที่ Microsoft ได้ติดตั้งคุณสมบัติ Personal Firewall ให้กับ Microsoft Windows XP มาระดับหนึ่ง (ก็ดีกว่าไม่มีครับ) สำหรับโปรแกรมประเภทสุดท้ายก็คือโปรแกรมจัดการกับ SPAM ทั้งหลาย ก็ขอแนะนำ "SpamKiller" ของ www.mcafee.com ซึ่งจะใช้ได้กับ POP3 mail และ Microsoft Exchange โปรแกรมนี้ใช้ฟรีอย่างเต็ม Feature 30 วันครับ
จะเห็นได้ว่าตอนนี้ เราต้องมีทั้ง Personal Firewalls, STEATHWARE Finders and Removers และ SPAM Fighters ในเครื่อง PC ของเรา ถึงจะปลอดภัยจากภัยอินเทอร์เน็ตได้พอสมควร ถึงแม้แต่จะไม่เกิดขึ้นก็ตาม นี่ยังไม่รวมโปรแกรมกลุ่ม Anti-virus อีกนะครับ โปรแกรมเหล่านี้เป็นสิ่งจำเป็นที่เราเห็นทีจะหลีกเลี่ยงไม่ได้เสียแล้ว แต่ถ้าเรามีงบประมาณจำกัด ผมก็ขอแนะนำให้ใช้ Free Version ของแต่ละโปรแกรมดังทีแนะนำมาก็ยังดีกว่าปล่อยเครื่อง PC เราไว้โดยไม่ป้องกันอะไรเลยนะครับ
ต้องการทราบข้อมูลเพิ่มเติมไปดูได้ที่ www.acisonline.net 
 
จาก : หนังสือ eLeader Thailand
ปีที่14 ฉบับที่161 ประจำเดือน กรกฎาคม 2545
Update Information : 4 กรกฎาคม 2545

 http://s10.histats.com/6.swf  

 

วิเคราะห์ปัญหาสแปมอีเมล์ เทคนิคใหม่ของสแปมเมอร์ DHAs (Directory Harvest Attacks) และ วิธีการป้องกันระบบอีเมล์ของเราอย่างมีประสิทธิภาพ กุมภาพันธ์ 5, 2008

Filed under: Computers and Internet — Korkai @ 10:44 am

 

0

อลัน เรลสกาย สแปมเมอร์ผู้มี eMail Address อยู่ในมือทั้งสิ้น 87 ล้านรายการ

         อันที่จริง ปัญหาสแปมข้อมูลข่าวสารโฆษณาสินค้าและบริการนั้นเป็นปัญหาที่อยู่คู่กับสังคมมาเป็นเวลานานแล้ว ยกตัวอย่างเช่น การสแปมข่าวสารในรูปของใบปลิวโฆษณาที่ถูกส่งมายังตู้จดหมายตามบ้านของเรา แต่การส่งใบปลิวนั้นถูกมองว่าไม่ใช่ปัญหาใหญ่ เพราะว่าต้นทุนในการส่งใบปลิวโฆษณานั้นค่อนข้างสูง จึงทำให้โฆษณาเหล่านั้นมาถึงเราในจำนวนที่ไม่มากนัก แต่การส่งอีเมล์โฆษณาสถานะการณ์กลับตรงกันข้าม เพราะ ต้นทุนในการส่งอีเมล์ โฆษณานั้นต่ำมาก ทำให้เกิดคนที่มีอาชีพทำธุรกิจในการส่งอีเมล์เพื่อการโฆษณาโดยเฉพาะ หรือ ที่เราเรียกว่า "สแปมเมอร์" นั่นเอง

         การทำธุรกิจของพวกสแปมเมอร์นี้เป็นงานที่ง่ายมาก นั่นคือ การที่สแปมเมอร์ พยายามหา eMail address มาเก็บไว้ให้มากที่สุด เพื่อใช้ในการส่งอีเมล์โฆษณาไปยังเป้าหมายให้ได้มากที่สุด โดยสแปมเมอร์จะได้รับค่า commission จากการสั่งซื่อสินค้าผ่านโฆษณาเหล่านั้น สำหรับผลตอบแทนที่สแปมเมอร์ จะได้นั้นลองเข้าไปดูได้ใน http://www.fxstyle.net/ ซึ่งเป็นเว็ปเริ่มต้นสำหรับคนที่ต้องการทำธุรกิจสแปม (เว็ปนี้มี eMail address อยู่ 238 ล้านรายการ) พวกสแปมเมอร์น่าจะมีรายได้ไม่น้อยเลย ถึงขนาดมีการคำนวณคาดว่าหากมีคนตอบกลับอีเมล์เพื่อซื้อสินค้าเพียง 1 ใน 100,000 สแปมเมอร์ก็ยังได้ผลตอบแทนถึง $7,140 x 40 = 285,600 บาท ซึ่งในความเป็นจริงแล้ว สแปมเมอร์อาจจะส่งสแปมอีเมล์ ได้หลายครั้งในหนึ่งเดือน สมมุติว่าเป็นสแปมเมอร์ที่ใช้ชีวิตแบบสบายๆ ส่งสแปมอีเมล์ เดือนละ 10 ครั้ง ก็จะมีรายได้สบายๆถึง 285,600 x 10 = 2,856,000 บาทต่อเดือน โดยไม่ต้องทำงานตามปกติเหมือนคนทั่วไป งานที่ต้องทำก็เพียงแค่คลิ๊กเม้าส์สัก 10 ครั้งเท่านั้น

         ถึงจุดนี้หลายคนอาจจะสงสัยว่า พวกสแปมเมอร์นั้นจะส่ง อีเมล์ จำนวนมากขนาดที่ว่าได้หรือ? คำตอบคือ ได้สบายครับ อันที่จริงแล้วธุรกิจของสแปมเมอร์ นั้นก็ไม่ได้สวยหรูอย่างที่ว่าซะทีเดียว เนื่องจากต้องมีการลงทุนที่สูงด้วยเช่นกัน จากรูปที่ 3 นั้นจะแสดงถึง ห้อง server ชั้นใต้ดินของสแปมเมอร์รายหนึ่ง ซึ่งใช้พลังจากเครื่อง PC Server ต่อเชื่อมกันเป็น Server Farm โดยมีเครื่องทำความเย็นขนาดใหญ่เพื่อลดความร้อนที่เกิดจากการทำงานของเครื่อง PC Server จำนวนมาก

         เราได้ทราบถึงเหตุผลและแรงจูงใจของพวกสแปมเมอร์กันแล้ว ทำให้เรารู้ว่าทำไมปัญหาสแปมอีเมล์ถึงเป็นปัญหาใหญ่ที่เราไม่อาจมองข้ามได้ คำถามที่ยังคาใจก็คือ พวกสแปมเมอร์เอา Email Address มาจากไหนในการส่งสแปมอีเมล์จำนวนมาก   เราได้ทราบถึงเหตุผลและแรงจูงใจของพวกสแปมเมอร์กันแล้ว ทำให้เรารู้ว่าทำไมปัญหาสแปมอีเมล์ถึงเป็นปัญหาใหญ่ที่เราไม่อาจมองข้ามได้ คำถามที่ยังคาใจก็คือ พวกสแปมเมอร์เอา Email Address มาจากไหนในการส่งสแปมอีเมล์จำนวนมาก  คำตอบมีหลายข้อได้แก่ จากการซื้อ Email Address มาจากเว็ปที่ขาย Email Address (ตัวอย่าง เช่น http://www.fxstyle.net/ ) หรือ มาจากการใช้โปรแกรม Email Spider หรือ Email Harvester หา Email Address จากอินเทอร์เน็ต และ เทคนิคล่าสุด จากวิธี "Directory Harvest Attacks" หรือที่เรียกสั้นๆว่า "DHAs"

          ในอินเทอร์เน็ตนั้นมีการจำหน่าย Email Address และ โปรแกรมที่ใช้ในการทำธุรกิจสแปมอีเมล์อยู่เป็นจำนวนมาก จากการสำรวจของบริษัทจำหน่ายอุปกรณ์ Anti-SPAM รายหนึ่งได้ระบุว่าใน eBay.com นั้นมีการเสนอประมูล eMail address 100 ล้านรายการพร้อมทั้งโปรแกรมที่ใช้ในการส่ง SPAM โดยมีราคาเริ่มต้นต่ำกว่า 500 บาท อยู่เป็นจำนวนมาก หรือ ในบางครั้งอาจมีการจัดแยก Email Address ออกเป็นกลุ่มต่างๆ เพื่อการกำหนดกลุ่มเป็นหมายในการส่งสแปมอีเมล์ที่ชัดเจน เช่นในรูปที่ 1 เป็นการขาย Email Address ของคนที่ชอบสะสมภาพศิลปะ บน https://richter.wwar.com/orders/email-index.html

          สำหรับการเก็บ Email Address จากการใช้โปรแกรม Email Spider หรือ Email Harvester โดยเก็บ Email Address ที่ถูกโพสต์อยู่บน web site ต่างๆในอินเทอร์เน็ต ทั้งนี้ท่านสามารถทดสอบด้วยตัวเองว่าบริษัทของท่านนั้นมี eMail ที่หลุดอยู่ในอินเทอร์เน็ตบ้างหรือไม่ โดยการค้นหาใน Google Search Engine โดยใช้คีย์เวริด์ "@yourcompany.com"

          ในช่วงต้นปี 2004 พวกสแปมเมอร์ก็ได้คิดค้นเทคนิคใหม่ที่เน้นการโจมตีที่บริเวณ "SMTP connection point" เป็นหลัก ซึ่งเรียกว่า "Directory Harvest Attacks" หรือ "DHAs" การโจมตีประเภทนี้จะทำให้พวกสแปมเมอร์ นั้นสามารถขุดหา Email Address ขององค์กรของคุณเพื่อส่ง สแปมอีเมล์เอง หรือ ขายให้กับ พวกสแปมเมอร์คนอื่นๆ การทำงานของ DHAs คือ การที่สแปมเมอร์จะส่ง Email delivery attempt requests ไปยัง Mail Transfer Agent (MTA) ขององค์กร แล้วคอยรับสัญญานการตอบกลับ ถ้าตอบกลับเป็น "No" จะแปลว่า Email Address นั้นไม่มีอยู่จริง แต่หากตอบกลับเป็น "Yes" นั้นหมายความว่า Email Address นั้นมีอยู่และพร้อมที่จะให้ พวกสแปมเมอร์นำไปใช้ในการทำธุรกิจต่อไป

         ในทางปฎิบัตินั้นพวกสแปมเมอร์ จะค้นหา Email Address ในหน่วยงานและองค์กรต่างๆ โดยการสุ่มส่ง Email Address ในชื่อต่างๆ เช่น somchai@yourcompany.com somsak@yourcompany.com aaa@yourcompany.comzzz@yourcompany.com เปลี่ยนไปเรื่อยๆ เป็นแสนเป็นล้านครั้ง เพื่อที่พวกสแปมเมอร์ จะได้เก็บ Email Address ที่เมื่อส่งอีเมล์ไปแล้วไม่เกิดข้อความ error โดยคอยสังเกตุข้อความที่ Email server ถ้าตอบกลับเป็น "Yes" ก็ถือว่า Email Address เหล่านั้นมีอยู่จริง  ยิ่งไปกว่านั้น เทคนิค DHAs นั้นมักจะมีการโจมตีพร้อมๆกันจากเครื่องคอมพิวเตอร์หลายๆเครื่อง ซึ่งทำให้ SMTP Traffic พุ่งขึ้นสูง ดังนั้นการโจมตีด้วยเทคนิค DHAs จึงสามารถทำให้เครื่อง Email server ขององค์กรล่มได้อย่างง่ายดาย ผลกระทบรุนแรงโดยการโจมตีโดยใช้ เทคนิค DHAs ดังกล่าว ก่อให้เกิดผลกระทบต่อประสิทธิภาพในการทำงานของระบบ Email server ขององค์กร

          การป้องกัน DHAs นั้นต้องกระทำที่บริเวณหน้า Mail Relay Server ในแบบ Real-time โดยป้องกันก่อนที่ Email จะมาถึง Email Gateway โดยใช้อุปกรณ์ป้องกันการสแปมอีเมล์ที่สามารถป้องกันบริเวณ SMTP connection point โดยควรต้องมีเทคโนโลยีในการ Block IP Address ของต้นทางที่ส่ง Email delivery attempt requests โดยพวกสแปมเมอร์ ระบบป้องกันที่ดี ควรต้องฉลาดถึงขั้นที่สามารถ Block IP Address ของพวกสแปมเมอร์ ได้ถึงแม้ว่าสแปมเมอร์ จะเปลี่ยน IP address ไปเรื่อยๆก็ตาม

        แต่ถึงแม้ว่า อุปกรณ์ดังกล่าวจะสามารถป้องกันการทำ DHAs ของสแปมเมอร์ได้ แต่ SMTP traffic ของพวกสแปมเมอร์ก็ยังคงอยู่ในเครือข่ายของเรา ซึ่งทำให้เราต้องสิ้นเปลือง bandwidth ไปโดยใช่เหตุ ดังนั้นทางแก้ปัญหาที่ดีที่สุดคือ การย้าย Mail Relay Server ไปยัง IDC (Internet Data Center) หรือ ISP (Internet Service Provider) เพื่อลดการสิ้นเปลือง bandwidth อย่างเปล่าประโยชน์ระหว่างเรากับ IDC หรือ ISP 
        การโจมตีของพวกพวกสแปมเมอร์ จึงไม่ใช่ปัญหาเล็กๆ ที่เป็นแค่ทำให้เกิดความรำคาญแก่ ผู้ใช้คอมพิวเตอร์ทั่วไป แต่เป็นปัญหาใหญ่ที่กระทบกับ Availability โดยรวมของระบบ Email องค์กรที่จะมองข้ามไม่ได้อีกต่อไป ดังนั้นองค์กรควรให้ความสำคัญกับปัญหาสแปมอีเมล์ อย่างจริงจังและเตรียมการป้องกันให้พร้อมกับปัญหาสแปมอีเมล์ที่จะทวีความรุนแรงมากขึ้นเรื่อย ๆ

 

by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center

 http://s10.histats.com/6.swf  

 

Windows Media Player 11 กุมภาพันธ์ 2, 2008

Filed under: Computers and Internet — Korkai @ 2:22 pm
 

Download now

ที่สามารถดาวน์โหลดได้ฟรีจากไมโครซอฟท์  ได้มีการพัฒนาขึ้นมามาก มีความสามารถในการเล่นภาพยนตร์จาก CD/DVD ได้ไม่น้อยหน้า PowerDVD หรือ WinDVD
 ส่วนในการเล่นไฟล์เพลงอย่าง MP3 ยอดนิยมนั้น ก็ทำได้ไม่แพ้ iTunes และอาจเรียกได้ว่าดีกว่า WinAmp แล้วด้วยซ้ำไป 
ซึ่งถือว่า Windows Media Player 11 เป็นทางเลือกที่ดีมาก ๆ ที่จะเลือกไว้เป็นโปรแกรมสำหรับเล่นภาพยนตร์จากแผ่น CD/DVD
และเล่นไฟล์เพลงดิจิตอลบนคอมพ์ของคุณโดยไม่จำเป็นต้องติดตั้งโปรแกรมอื่นให้เสียเวลา

 

 http://s10.histats.com/6.swf  

 

USB Flash Drive บางที่สุดในโลก มกราคม 15, 2008

Filed under: Computers and Internet — Korkai @ 3:17 pm
 

เราทราบกันดีว่าคุณสมบัติพื้นฐานของ flash drive นั้นก็คือ เอาไว้เก็บข้อมูล ดังนั้น ผู้ผลิตจึงพยายามแข่งกันคิดค้นวิธีจูงใจลูกค้าให้มาซื้อสินค้าของตน Freecom ก็เป็นรายหนึ่ง…จึงได้ออก flash drive ใหม่ที่บางที่สุดในตลาดออกมายั่วยวนใจนักช้อปกัน โดยมีความหนาเพียง 2mm เท่านั้น

Freecom เค้าชูคอนเซ็ปต์ของเจ้า flash drive ตัวนี้ว่า ไม่ว่าจะเดินทางไปไหน ไม่มีใครที่จะลืมกระเป๋าสตางค์แน่นอน เพราะฉะนั้น เจ้า Freecom USB Cards จึงได้ดีไซน์ออกมาให้บางเท่า credit card เพื่อที่จะพกพาไปไหนๆ ได้โดยไม่ลืม

ขนาดความจำมีตั้งแต่ 256 MB ถึง 4 GB เลยทีเดียว

256 MB – ประมาณ 1,060 บาท

512 MB – ประมาณ 1,080 บาท

1 GB – ประมาณ 1,160 บาท

2 GB – ประมาณ 1,750 บาท

4 GB – ประมาณ 3,140 บาท

  http://s10.histats.com/6.swf  

 

วิวัฒนาการของ USB Memory Key

Filed under: Computers and Internet — Korkai @ 3:08 pm

 

ฟิลิปส์ ร่วมมือ สวารอฟสกี้ นำเสนอการสอดประสานกันอย่างลงตัวของแฟชั่นและนวัตกรรมเทคโนโลยี กับหลากหลายผลิตภัณฑ์ในคอลเลกชั่น "แอ็กทีฟ คริสตัล" (Active Crystals)  USB Memory Key ในรูปแบบของพวงกุญแจ 4 รุ่น ที่สามารถคล้องคอเสมือนเป็นสร้อยคอแฟชั่น

Heart Ware

คำนึงถึงความสำคัญของไฟล์งานใน USB Flash Drive ของคุณ จึงได้คิดค้น USB Flash Drive ในรูปแบบของพวงกุญแจ รุ่น Heart Ware ที่คุณสามารถคล้องคอเสมือนเป็นสร้อยคอแฟชั่น ป้องกันการสูญหายของ USB Flash drive โดย USB Flash Drive มีลักษณะเป็นรูปหัวใจสมมาตร ประกอบด้วยโลหะสีเงินวาว และคริสตัลเจียระไนทั้งชิ้นของสวารอฟสกี้ เมื่อเปิดหัวใจแต่ละดวงจะมี USB Flash Drive ที่มีความจุ 1 กิกะไบต์ เก็บภาพได้ถึง 1000 ภาพ หรือเพลง 250 เพลง


Heart Beat

USB Flash Drive มีลักษณะเป็นรูปหัวใจสมมาตร ประกอบด้วยโลหะสีเงินกับการประดับคริสตัลด้วยเทคนิคเฉพาะ Ceralun™ ของสวารอฟสกี้ เมื่อเปิดหัวใจแต่ละดวงจะมี USB memory ที่มีความจุ 1 กิกะไบต์ เก็บภาพได้ถึง 1000 ภาพ หรือเพลง 250 เพลง


Lock In

รุ่น Lock In เป็นรูปของตัวล็อคกุญแจ ซึ่งสามารถใช้เข้าได้กับพวงกุญแจของคุณหรือเป็นห่วงคล้อง ในกระเป๋าได้ โดย USB Flash Drive สุดหรูนี้ได้ผสมผสานโลหะเงินเข้ากับคริสตัลนับเป็นการออกแบบที่ลงตัวและเหมาะสม โดยรุ่นนี้ประดับด้วยคริสตัลเจียระไนแบบบาแกต เพียงแค่กดที่ด้านข้างของตัวล็อค ก็จะถูกปลดออก สามารถใช้งานได้ทันที USB Flash Drive บันทึกข้อมูลได้ 1GB มีรหัสผ่านป้องกัน บันทึกเพลงได้ถึง 250 เพลง หรือ 1000 ภาพ ตัวเครื่องเป็นสเตนเลสขัดเงาพร้อมด้วยคริสตัลเจียระไน เป็นรูปทรงสี่เหลี่ยมผืนผ้าโดยเฉพาะ

Lock Out

รุ่น Lock Out ในรูปของตัวล็อคกุญแจ ซึ่งสามารถใช้เข้าได้กับพวงกุญแจของคุณหรือเป็นห่วงคล้องในกระเป๋าได้ โดย USB Flash Drive สุดหรูนี้ได้ผสมผสานโลหะเงินเข้ากับคริสตัลนับเป็นการออกแบบที่ลงตัวและเหมาะสม โดยรุ่นนี้จะรายล้อมคริสตัลด้วยเทคนิค Ceralun™ เพียงแค่กดที่ด้านข้างของตัวล็อคก็จะถูกปลดออก สามารถใช้งานได้ทันที USB Flash Drive บันทึกข้อมูลได้ มีรหัสผ่านป้องกัน บันทึกเพลงได้ถึง 250 เพลง หรือ 1000 ภาพ

     

 

 http://s10.histats.com/6.swf