กรุงเทพฯ--6 ม.ค.--Goslar & Associates
ฟอร์ติเน็ตทำนายแนวโน้มภัยคุกคาม 5 อันดับแรกในปี 2011 ว่าจะมี :
1. การประสานงานกันมากขึ้น เพื่อลดอาชญากรรมไซเบอร์ต่างๆ
2. มูลค่าของธุรกิจด้านบริการปกป้องและแก้ไขภัยคุกคามมากขึ้น
3. มีการุกรานที่ข้ามผ่านระบบการป้องกันมากขึ้น
4. เกิดงานด้านอาชญากรรมไซเบอร์มากขึ้น
5. อาชญากรรมไซเบอร์จะพยายามใช้ซอร์สโค้ดเดิม (Use recycled existing source code) มากขึ้น
1. การประสานงานกันมากขึ้น เพื่อลดภัยคุกคามต่างๆ
ในปีคศ 2010 นี้ เราได้เห็นตัวอย่างมากมายที่ประเทศต่างๆ ทำงานร่วมกัน เช่น Operation Bot Roast (นำโดย FBI) รวมทั้งกลุ่ม Conficker Working Group และล่าสุด Mariposa/Pushdo/Zeus/Bredolab busts ในการช่วยกันลดภัยคุกคามต่างๆ แต่ความร่วมมือในปัจจุบันมุ่งเพียงแค่ที่ภัยคุกคามที่เห็นได้ชัดเจนและบางครั้งก็มีผลกระทบเพียงระยะสั้นเท่านั้น อาทิ ในเดือนพฤศจิกายนที่เจ้าหน้าที่เร่งกำจัด Koobface botnet แต่เพียงในสัปดาห์ต่อมาก็กลับมาเปิดเซิร์ฟเวอร์ใช้งานเต็มที่ใหม่อีกครั้งหนึ่ง
ในปีคศ 2011 นี้ เราคาดว่าผู้เกี่ยวข้องจะจับมือกันและทำงานกับหน่วยงานด้านความปลอดภัยในระดับโลกมากขึ้น เนื่องจากอาชญากรรมต้องการทรัพยากรจากแหล่งต่างๆ ในการทำงาน เช่น ต้องการผู้ให้บริการ ผู้รับชำระเงินค่าบริการ ผู้จัดการแพร่ botnet ในอุปกรณ์ รวมทั้งผู้ช่วยกันผลิตภัณฑ์ ดังนั้น จึงต้องการความร่วมมือช่วยกันจากหลายๆ ด้านเพื่อปิดการปฏิบัติการด้านอาชญากรรมไซเบอร์ที่ขยายตัวอยู่ในปัจจุบันลงได้ ถึงแม้ว่าในปี 2009 ที่ European Electronic Crime Task Force ในประเทศอเมริกาและอังกฤษได้ร่วมมือกันมาแล้วแต่ก็ยังไม่สามารถครอบคลุมได้ทั่วถึง ซึ่งในปีคศ 2010 นี้ มีการช่วยกันยับหยั้งหนอน Zeus จากผู้เกี่ยวข้องในประเทศอเมริกาและอังกฤษจึงนับว่าเริ่มมีความก้าวหน้าที่ดี จึงหวังว่าจะเห็นการประสานงานกันมากขึ้นต่อไปในปีหน้า
2. มูลค่าความเสียหายจะเพิ่มมากขึ้น
ในทุกวันนี้ เราเห็นพวกอาชญากรสร้างอนาจักรมัลแวร์ของตนเองเนื่องจากสามารถสร้างรายได้ดีในขณะที่การป้องกันการแพร่ระบาดของมัลแวร์ยังใช้เวลานานอยู่ ดังนั้น จึงมีการเพิ่มคุณสมบัติ “bot killers” ลงไปใน bots ใหม่ๆ เพื่อกำจัดภัยคุกคามที่อาจจะเกิดในระบบเดียวกันด้วย เช่น เพิ่ม Skynet กับ MyDoom/Bagle และ Storm กับ Warezov/Stration ตัวอย่างเช่น เราเคยเห็น bot เข้ามาในโพรเซสด้านเมมโมรี่เพื่อหาคำสั่งที่ใช้โดย IRC bots ที่แฝงตัวอยู่ และเมื่อเจอโพรเซสที่ใช้คำสั่งนั้นๆ มันจะฆ่าโพรเซสนั้นทันที่เนื่องจากมันเห็นว่าเป็นการคุกคามข้ามเข้ามาในเขตแดนของตน
ในปีคศ 2011 เมื่อภัยรุกรานแพร่เข้ามาในอุปกรณ์ มูลค่าความเสียหายจะเพิ่มมากขึ้น ดังนั้น เราจะคาดว่าอาจจะได้เห็นมูลค่าของธุรกิจด้านบริการปกป้องและแก้ไขภัยคุกคามมีมากขึ้นเช่นกัน ไม่ว่าจะเป็นด้านการเช่า bot ที่โหลดมัลแวร์แปลกปลอมอื่นๆ เข้ามาในเครื่อง รวมทั้งด้านบริการดูแลอุปกรณ์ที่ติดภัยแล้วให้ยังสามารถใช้งานได้มีประสิทธิภาพสูงสุด
3. มีการุกรานที่ข้ามผ่านระบบการป้องกันมากขึ้น
จะการเริ่มใช้เทคโนโลยีที่ป้องกันการแพร่กระจายของซอฟท์แวร์ที่มีรูโหว่ในระบบปฏิบัติการใหม่ๆ เช่น (ASLR, DEP, sandboxing…) มากขึ้น และขณะเดียวกัน จะมีมัลแวร์ที่พยายามจะข้ามเทคโนโลยีนี้เช่นกัน เช่น ในปีคศ 2010 เราเคยเห็น rootkits พวก Alureon ที่ข้ามเทคโนโลยีความปลอดภัยไปได้โดยเฉพาะอย่างยิ่งจะสร้างปัญหาในช่วง Start up ของระบบ ในปี 2011 นี้ เราอาจเห็น rootkits ที่ข้ามเทคโนโลยีความปลอดภัยในอุปกรณ์รุ่นใหม่ๆ มากขึ้นอีก และอาจมีภัยจู่โจมในรูปแบบใหม่ๆ ต่อระบบการป้องกันใหม่ เช่น ASLR/DEP และ Sandboxing ที่ให้บริการโดย Google Chrome and Adobe ในปี 2010
4. มีงานด้านก่ออาชญากรรมไซเบอร์มากขึ้น
มีความต้องการผู้เชี่ยวชาญก่ออาชญากรรมไซเบอร์ ที่เฉพาะด้าน หลากหลายด้านมากขึ้น เช่น นักพัฒนาสำหรับ Custom packers เฉพาะแพลทฟอร์ม เฉพาะบริการโฮสติ้งสำหรับข้อมูลและ drop-zones เฉพาะ CAPTCHA breakers เฉพาะ Quality assurance (anti-detection) และ Distributors (affiliates) ที่ส่งโค้ดแปลกๆ เป็นต้น เราเชื่อว่า น่าจะมีโปรแกรมรุกราน (Affiliate programs) ใหม่ๆ เช่น Alureon และ Hiloti botnets จ้างกลุ่มคน (ที่เรียกว่า Distributors หรือ affiliates) ให้กระหน่ำส่งโค้ดแปลกๆ มาที่ระบบ และด้วยการจ้างคนมากมายนี้ทำให้ผู้ให้บริการ botnets ยังคงอยู่รอดต่อไป
5. อาชญากรรมไซเบอร์จะพยายามให้ใช้ซอร์สโค้ดเดิมมากขึ้น
มัลแวร์ในปัจจุบันอาจใช้ชื่อแฝงมากมาย การดักตรวจร่วมกันระหว่างผู้ค้าอุปกรณ์ด้านความปลอดภัยต่างๆ ก็อาจทำให้ยิ่งสับสนมากขึ้นได้ ซึ่งเกิดจากการขยายตัวของธุรกิจที่ขายมัลแวร์ใหม่ๆ ที่ “ยืม” ซอร์สโค้ดเก่าๆ มาพัฒนาต่อยอด มัลแวร์ทั้งสองประเภทนี้ดูเผินๆ จะคล้ายๆ กัน แต่มีความแตกต่างกันภายใน
ในปี 2011 เราทำนายว่าอาชญากรรมไซเบอร์จะสร้างรายได้โดยพยายามใช้ซอร์สโค้ดเดิมมาใช้ใหม่มากขึ้น (Recycled existing source code) ในขณะที่พวกพับบลิคซอร์สโค้ดยังอาจมีปัญหาด้านความปลอดภัย พวกไพรเวทซอร์สโค้ดกลับมีคุณค่า ช่วยสร้างงานให้กับนักพัฒนาเก่งๆ ต่อไป ในขณะเดียวกัน เราอาจจะเห็นการทำงานร่วมกันด้านสร้างการควบคุมซอร์สร่วมกัน เหมือนกับที่มีองค์กรพัฒนาซอฟท์แวร์ใหม่ๆ หรือโครงการ Open source project (SourceForge) ที่พยายามร่วมมือกันด้านการควบคุม
For Media Contact:
นฤอร สังขจันทร์
Communications Consultant
Goslar & Associates
naruhorn@yahoo.com