440 likes | 449 Views
Chapter 4 – Part 1. การโจมตีด้วย เทคนิควิธีทางคอมพิวเตอร์ และโปรแกรมประสงค์ ร้าย. การโจมตีด้วย เทคนิควิธีทางคอมพิวเตอร์ และโปรแกรมประสงค์ ร้าย.
E N D
Chapter 4 – Part 1 การโจมตีด้วยเทคนิควิธีทางคอมพิวเตอร์และโปรแกรมประสงค์ร้าย
การโจมตีด้วยเทคนิควิธีทางคอมพิวเตอร์และโปรแกรมประสงค์ร้ายการโจมตีด้วยเทคนิควิธีทางคอมพิวเตอร์และโปรแกรมประสงค์ร้าย จุดมุ่งหมายของอาชญากรรมอิเล็กทรอนิกส์ คือการทำให้ระบบได้รับความเสียหาย ทำลายข้อมูล หรือแม้กระทั่งการก่อกวนเพื่อไม่ให้ระบบทำงานได้อย่างเต็มประสิทธิภาพจนบางครั้งอาจทำให้ระบบไม่สามารถให้บริการอีกได้ ตัวอย่างของการทำลายและก่อกวนระบบคอมพิวเตอร์ด้วยเทคนิควิธีทางคอมพิวเตอร์และการโปรแกรมแบบประสงค์ร้าย : • การลักลอบเข้าถึงโดยไม่ได้รับอนุญาต (Unauthorized Access and Use) • การก่อกวนและการเข้าควบคุมเครื่องคอมพิวเตอร์ที่ตกเป็นเครื่องเป้าหมายด้วยโปรแกรมประสงค์ร้าย (Malicious code) เช่น • Virus, Worm, Trojan • Spyware • การโจมตีแบบอื่น ๆ เพื่อก่อกวนระบบ • การทำให้ระบบคอมพิวเตอร์ปฏิเสธการให้หรือรับบริการเครื่องอื่นตามหน้าที่ปกติ (Denial of Service และ DDoS) • การก่อกวนระบบด้วยโปรแกรมหลอกลวง (Hoax) • การก่อกวนระบบระบบด้วยสแปมเมล์ (Spam Mail) • การหลอกลวงเหยื่อเพื่อล้วงเอาข้อมูลส่วนต้ว (Phishing) • การดักจับ หรือสอดแนมข้อมูลบนระบบเครือข่าย (Sniffing) • การใช้ Social Engineering
ผู้บุกรุก (Intruder) เป็นใครได้บ้าง บุคคลที่กระทำการโจมตี หรือบุกรุกระบบ (Intruder) แบ่งได้เป็น 2 ประเภท : 1. ผู้บุกรุกจากภายนอก (Outside Intruder) หมายถึง ผู้บุกรุกที่มาจากภายนอกเครือข่ายขององค์กร โดยโจมตีผ่านเครือข่ายอินเทอร์เน็ตในรูปแบบต่าง ๆ เช่น ส่ง virus แนบมากับอีเมล์ การสอดแนม (snooping) 2. ผู้บุกรุกจากภายใน (Inside Intruder) หมายถึง ผู้บุกรุกที่เป็นผู้ใช้ที่มีสิทธิ์ในการเข้าถึงระบบสารสนเทศหรือเครือข่ายภายในขององค์กร โดยรวมถึงผู้ใช้ที่ใช้สิทธิ์ในทางที่ผิด หรือการลักลอบใช้สิทธิ์ของผู้อื่น
การแบ่งประเภทการโจมตีโดย William Stallings [Stallings, 1995] การโจมตีระบบหรือเครือข่าย ผู้บุกรุกทำการโจมตีในลักษณะที่แตกต่างกันทั้งนี้ขึ้นอยู่กับวัตถุประสงค์ของการโจมตี William Stallings [Stallings, 1995]ได้แบ่งประเภทการโจมตีตามลักษณะการกระทำ ได้ 4 ประเภท ดังนี้ 1. Interruption คือ การทำให้ทรัพยากรของระบบถูกทำลายจนไม่สามารถให้บริการได้ตามปกติ เช่น การทำลายอุปกรณ์คอมพิวเตอร์ การตัดสายสัญญาณที่ใช้ในการติดต่อ การทำให้เครือข่ายเกิดการ Flooding เช่น การโจมตี server แบบ Syn Flooding หากมีการส่ง requests จำนวนมากไปยัง server (ซึ่งอาศัยหลักเกณฑ์ 3-ways handshake) จนทำให้ทรัพยากรระบบของ server เต็ม ทำให้ไม่สามารถให้บริการตามปกติได้ ทรัพยากรนี้ได้แก่ หน่วยความจำ (Memory) หน่วยประมวณผลกลาง (CPU) หรือ แบนด์วิธ (Bandwidth) เป็นต้น 2. Interception คือ การสกัดกั้นการดักจับ โดยบุคคลหรือโปรแกรมที่ไม่ได้รับอนุญาต สามารถลักลอบเข้าถึงทรัพยากรสารสนเทศได้ เช่น การดักฟังสัญญาณการสื่อสาร (Wiretapping), การคัดลอกไฟล์ข้อมูล หรือโปรแกรมโดยไม่ได้รับอนุญาต เป็นต้น
3. Modification คือ การเปลี่ยนแปลงจากเดิม โดยบุคคลหรือโปรแกรมที่ไม่ได้รับอนุญาต สามารถลักลอบเข้าถึงทรัพยากรสารสนเทศได้ และปรับแก้ด้วย เช่น การเปลี่ยนแปลงข้อมูลในไฟล์ การเปลี่ยนแปลงโปรแกรมให้มีการประมวลผลที่ต่างไปจากการทำงานปกติ ตลอดจนการแก้ไขข้อมูลที่รับส่งบนเครือข่าย 4. Fabrications คือ การปลอม โดยบุคคลหรือโปรแกรมที่ไม่ได้รับอนุญาต ทำการปลอมข้อมูลที่รับส่งบนเครือข่าย
การแสดงการโจมตีทั้ง 4 ประเภทด้วยแผนภาพ Information Source Information Destination (a) Normal flow (b) Interruption (c) Interception (e) Fabrication (d) Modification
Passive และ Active Attack ลักษณะการโจมตีแบบ Interception นั้น William Stallings ได้จัดให้เป็นการโจมตีแบบpassive คือ ไม่มีการเปลี่ยนแปลงใดๆ กับข้อมูล เป็นเพียงการดักเพื่อแอบดู (การสอดแนม : snooping) ข้อมูลในระบบที่ไม่ได้เข้ารหัส เป็นการลักลอบดักฟังสัญญาณการสื่อสารโดยเจตนาเพื่อหาประโยชน์จากการเข้าถึงข้อมูล ส่วนลักษณะการโจมตีแบบ Interruption, Modification และ Fabrication จัดเป็นการโจมตีแบบ active เพราะเป็นการโจมตีที่ทำให้ข้อมูลเดิมเสียหาย ถูกเปลี่ยนแปลง หรือทำการปลอมข้อมูลขึ้นมาใหม่
Passive Attack การโจมตีประเภท Interceptionเรียกอีกอย่างหนึ่งว่า Eavesdropping Attack มีลักษณะการโจมตีแบบ passive คือไม่มีการเปลี่ยนแปลงใด ๆ เกิดขึ้นกับข้อมูล Eavesdropping is the unauthorized real-time interception (การสกัดจับ)of a private communication, such as a phone call, instant message, videoconference or fax transmission. Eavesdropping attacks involve a weakened connection between client and server that allows the attacker to send network traffic to itself. Attackers can install network monitoring software (a sniffer) on a computer or a server to carry out an eavesdropping attack and intercept data during transmission.
การโจมตี Eavesdropping Attack อาจเป็น Wiretappingคือการเฝ้าดูข้อมูล (โดยเจตนา) ที่วิ่งบนเครือข่ายเท่านั้น โดยเฉพาะช่องสัญญาณสำหรับการสื่อสารแบบไร้สาย ซึ่งใช้มาตรฐานกลาง 802.11 กำหนดโดย Institute of Electrical and Electronics Engineers (IEEE)ในการส่งสัญญาณแบบคลื่นวิทยุ ถ้าสัญญาณแรงจะง่ายต่อการตรวจจับ ถึงแม้ว่าช่องสัญญาณมีการป้องกันโดยการเข้ารห้สข้อมูล แต่หากการเข้ารหัสมีประสทธิภาพต่ำ ผู้โจมตีก็สามารถถอดรหัสได้เช่นกัน Packet sniffing คือการลักลอบดักฟังสัญญาณการสื่อสารโดยเจตนาเพื่อหาประโยชน์จากการเข้าถึงข้อมูลเครื่องมือสำคัญของการโจมตีแบบ Packet sniffing คือโปรแกรม snifferซึ่งโดยปกติถูกใช้ในทางดีคือใช้ในการ analyzes all data packets ดังนั้น การดักจับข้อมูลที่ผ่านไปมาระหว่างเน็ตเวิร์คจึงถูกเรียกว่า sniffing หลายๆ Protocols ที่ใช้งานในปัจจุบัน เช่น POP3 , HTTP และ FTP ที่ไม่มีการเข้ารหัสข้อมูล ทำให้เมื่อมีการ sniffing เพื่อดักจับข้อมูลแล้ว ผู้โจมตีสามารถอ่านข้อมูลสำคัญต่างๆได้ทันที
Packet sniffing เป็นการลักลอบเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ซึ่งเป็นการโจมตีแบบสอดแนมข้อมูลที่ส่งผ่านเครือข่าย โดยปกติข้อมูลจะถูกแบ่งย่อยเป็นชุดเล็กๆซึ่งเรียกว่าแพ็กเก็ต ซึ่งApplication บางชนิดส่งข้อมูลแบบไม่ได้เข้ารหัสหรือแบบเคลียร์เท็กซ์ (Clear Text) ดังนั้นข้อมูลอาจถูกดักจับ โดยเครื่องอื่นที่มิใช่เครื่องปลายทางได้ และโปรแกรมที่สามารถดักจับข้อมูลก็คือ sniffer ซึ่งถูกใช้เพื่อดักจับเลขประจำตัวและรหัสเข้าระบบรวมทั้งข้อมูลบัตรเครดิตและข้อมูลอีเมล์ส่วนบุคคล เป็นต้น ในแต่ละแพ็กเก็ตจะมีการระบุ MAC Address ของเครื่องปลายทางไว้ด้วย เพื่อให้แพ็กเก็ตนั้นส่งถึงเครื่องปลายทางถูกต้อง (เครื่องอื่นจะเอาข้อมูลไปใช้ไม่ได้) แต่ถ้า Hacker ทำการ Sniffing ไว้ ก็สามารถดักจับแพ็กเก็ตข้อมูลเพื่อเอาไปใช้งานได้ทั้งหมด ถึงแม้จะไม่ใช่ MAC Address ตนเองก็ตาม หาก sniffer ถูกนำไปใช้ในการดักข้อมูล โดยเอาไปวางไว้บนทางของระบบ E-Mail ก็ทำให้ข้อมูลของ e-mail ถูกเปิดอ่านได้ (ทั้งๆ ที่ควรจะเป็นความลับ)
การดักจับข้อมูลของ sniffer (การ sniffing) โปรแกรม sniffer สามารถดักจับข้อมูลที่อยู่ในเครือข่ายได้เพราะอาศัยหลักการทำงานของเครืยข่ายที่มีการกระจายข้อมูลทุก packets ไปยังเครื่องทุกเครื่องในเครือข่ายเดียวกันให้ได้รับพร้อมกัน เพียงแต่อาศัยกระบวนการที่เครื่องแต่ละเครื่อง (network adaptor) ทำการตรวจสอบ Mac address ปลายทางว่า data packets นั้นเป็นของตนหรือไม่ หรือเป็น address พิเศษที่เรียกว่า บรอดคาสแอดเดรส ก็จะรับ data packets เหล่านั้นมา โดยไม่สนใจ packets ที่ไม่ใช่ของตนเอง (ปกติ ทุก packets ที่กระจายไปบนเครือข่าย จะมีหมายเลข Mac Address ซึ่งเป็นสิ่งที่ระบุว่า packet นั้นถูกส่งมาจากเครื่องใด และต้องการส่งไปให้เครื่องใด) ข้อจำกัดของโปรแกรม sniffer คือ sniffer ไม่สามารถทำงานข้ามเครือข่ายได้ ดังนั้น ถ้ามีอุปกรณ์สื่อสาร เช่น switch หรือ router คั่นระหว่างเครือข่าย sniffer จะจับ packets ได้เฉพาะภายในเครือข่ายนั้น
สรุป Sniffer ถูกนำมาใช้ในด้านใดบ้าง Sniffer (พิมพ์ด้วย S ตัวใหญ่) เป็นชื่อโปรแกรม (เครื่องหมายการค้า)ซึ่งจดทะเบียนโดยบริษัท Network Associates Inc. สหรัฐฯ เพื่อใช้ในผลิตภัณฑ์ของตนเองในเครือ Sniffer Network Analyzer ซึ่งเป็นโปรแกรมวิเคราะห์ network โดยอาศัยการดักอ่านข้อมูลทั้งหมดบนเครือข่ายมาทำการวิเคราะห์แยกแยะประเภทการใช้งานเครือข่ายออกไปตามโปรโตคอลที่ใช้งานตามปกติ เพื่อช่วยในการวางแผน การบริหารจัดการเครือข่ายในการอำนวยความสะดวกแก่ผู้ใช้ให้มากที่สุด และ ใช้ในการตรวจสอบ แก้ไขข้อบกพร่องที่เกิดขึ้นในเครือข่าย แต่หากเขียน sniffer (ด้วย s ตัวเล็ก) หมายถึงโปรแกรมที่เป็นเครื่องมือใช้ดักจับข้อมูลบนเครือข่ายเพื่อตรวจสอบและวิเคราะห์ข้อมูลการจราจรในเครือข่าย แรกเริ่ม โปรแกรม Sniffer ถูกสร้างมาเพื่อใช้ประโยชน์ในการป้องกัน (แม้บางครั้งอาจจะละเมิดความเป็นส่วนตัวไปบ้าง) เช่น ใช้ตรวจแพ็คเก็ตข้อมูลทั้งหมดบนเครือข่าย , ใช้ประเมินประสิทธิภาพของระบบเครือข่าย ต่อมา มีการนำ sniffer มาใช้งานแบบซ่อนเร้น คือนำมาเป็นเครื่องมือในการโจมตีแบบ Interception
สรุปหน้าที่ (ทั้งทางบวก และทางลบ) ของโปรแกรม Snifferได้แก่ • ใช้ในการตรวจจับการบุกรุก (Intrusion Detection Tool) • ใช้ในการบุกรุก (Intrusion Tool) โดยการดักจับรหัสผ่านและ username จากเครือข่าย • ใช้ในการวิเคราะห์ปัญหาเรื่องความผิดพลาดของเครือข่าย (Network Debugging Tools) • ใช้ในการวิเคราะห์ประสิทธิภาพของเครือข่าย (Network Analyzer) • ใช้ตรวจ data packets ทั้งหมดบนเครือข่าย (Packet Monitoring )
การใช้ประโยชน์จาก Sniffer 1. Network Analyzer ใช้ประเมิน network ว่า Data Packet ที่วิ่งไปวิ่งมานั้น มีอะไรบ้าง และ แพ็กเก็ตเหล่านั้นมีอันตรายอะไรหรือไม่ มีผู้ใช้มากน้อยเพียงไร เวลาใดมีคนใช้เยอะและเวลาใดมีคนใช้น้อย ผู้ใช้ใช้แบนด์วิดธ์ไปในทางใดบ้าง โดยสามารถเอาข้อมูลเหล่านี้มาประเมินเพื่อจัดการระบบ network ได้ 2. Network Debugging Tools ใช้ตรวจสอบข้อผิดพลาดใน Network เพื่อดูว่าการส่งข้อมูลนั้นถูกต้องหรือไม่ โดยเฉพาะกรณีที่มีการใช้เครื่องมือระดับ network มาเกี่ยวด้วย เช่น ส่งไฟล์ผ่าน fire wall แล้วมีปัญหา หรือการทดสอบ ACL (Access Control List) ของเราเตอร์ เป็นต้น ถ้าไม่มี sniffer การหาต้นตอของปัญหาคงทำได้ยาก 3. Packet Monitoring ใช้ในกรณีการศึกษาโปรโตคอลในระดับ network จำเป็นต้องเห็นข้อมูลที่สื่อสารกันจึงจะเห็นภาพจริงได้ packet monitoring เป็นการนำแพ็กเก็ตมาแสดงให้เห็นในรูปแบบต่างๆ เช่นการ scan ของ hacker หากไม่มีเครื่องมือประเภท sniffer แล้วเราก็จะรู้ได้ยาก 4. IDS (Intrusion Detection System) ใช้ตรวจจับผู้บุกรุก หากมีข้อมูลที่เป็นอันตราย ตามที่มันได้ถูก configไว้มันก็จะโยนข้อมูล(หรือแพ็กเก็ต)นั้นทิ้งไป และหาก Sniffer พบว่าข้อมูลไม่เป็นอันตราย มันก็จะอนุญาตให้ผ่านไป
Spyware สปายแวร์ (Spyware) คืออะไรSpyware เป็นโปรแกรมที่แฝงมาขณะเล่นอินเตอร์เน็ตโดยทำการติดตั้งลงไปในเครื่องของเรา และทำการเก็บพฤติกรรมการใช้งานอินเตอร์เน็ต รวมถึงข้อมูลส่วนตัว ได้แก่ ชื่อ - นามสกุล , ที่อยู่ , E-Mail Address และอื่น ๆ ซึ่งอาจจะรวมถึงสิ่งสำคัญ ๆ เช่น Password หรือ หมายเลข บัตรเครดิตของผู้ใช้ด้วย นอกจากนี้ Spyware อาจทำการสำรวจโปรแกรม และไฟล์ต่าง ๆ ในเครื่องด้วย และ Spyware จะทำการส่งข้อมูลดังกล่าวไปยังเครื่องปลายทางที่โปรแกรมได้ระบุเอาไว้ ดังนั้นข้อมูลต่าง ๆ ในเครื่องของผู้ใช้ อาจไม่เป็นความลับอีกต่อไป Spyware อาจเข้ามาเพื่อโฆษณาสินค้าต่าง ๆ สร้างความรำคาญเพราะจะเปิดหน้าต่างโฆษณาบ่อย ๆ แอดแวร์Adware จัดเป็นโปรแกรมจำพวก Spyware ซึ่งย่อมาจากคำว่า Advertising Supported Software หรือ "โปรแกรมสนับสนุนโฆษณา" โดยบริษัทต่าง ๆ จะพยายามโฆษณาสินค้าของตนเอง ถ้าเราลองไปดาวน์โหลดโปรแกรมฟรีตามเว็บต่าง ๆ ก็จะเห็นโฆษณาสินค้าปรากฏขึ้นมาบ่อย ๆ ถ้าอยากให้โฆษณานั้นหายไปก็ต้องเสียเงินเพื่อไม่ให้มีโฆษณาขึ้นมากวนในอีกต่อไป
Adware ถูกจัดให้เป็น Spyware เพราะมีส่วนประกอบของโปรแกรมที่ทำให้สามารถติดตามข้อมูลของผู้ใช้ และส่งข้อมูลนั้นออกไปที่อื่นได้ • Spyware มีวิธีการในการเข้ามาในเครื่องของผู้ใช้ได้อย่างไร • ใช้วิธีเปิดเผย คือ ขอให้ผู้ใช้ Install เมื่อผู้ใช้ตอบปุ่ม "ตกลง" โดยไม่อ่านให้ละเอียด ก็จะทำการติดตั้งลงมาที่เครื่องทันที บางตัวอาจมาในลักษณะของ Plug-in หรือแอบแฝง โดยผู้ใช้ไม่รู้ตัว เช่น แฝงมากับโปรแกรมฟรีต่าง ๆ และ เกมส์ต่าง ๆ เป็นต้น • เมื่อใช้เบราเซอร์เพื่อค้นหาข้อมูลในอินเตอร์เน็ต มักจะมีโฮมเพจโฆษณาที่ popup ขึ้นเองอัตโนมัติ ในบางครั้งมันก็เอาโฆษณาอื่นๆ (Adware) เข้ามา และมี spyware ตัวอื่นตามเข้ามาอีก และในบางทีมันติดตั้งในเครื่องเราได้โดยที่เราไม่รู้ตัว
เมื่อผู้ใช้ติดตั้งโปรแกรมที่ดาวน์โหลดมาฟรี แต่มีโฆษณามาด้วย(พวกโปรแกรม Adware) ส่วนใหญ่จะทิ้งไฟล์ cookie ไว้และไฟล์ cookie เหล่านี้ แม้จะไม่ใช้ spyware แต่ก็ถือว่า ไฟล์ cookie เหล่านี้ จะเก็บข้อมูลบางอย่างเอาไว้ ซึ่ง spyware จะนำไฟล์ cookie เหล่านี้ไป วิเคราะห์ด้วย ซึ่งถือได้ว่า เป็นการเอื้อประโยชน์ให้กับ Spyware และเมื่อมี Spyware เข้ามาหนึ่งตัว หลายๆ ตัวมักจะตามมาด้วย
ทราบได้อย่างไรว่าเครื่องติด Spyware ใช้การสังเกตจากข้อบ่งชี้หลาย ๆ ข้อต่อไปนี้ ในการสันนิษฐานเป็นเบื้องต้น ก่อนที่จะหาเครื่องมือ หรือโปรแกรมในการตรวจสอบและกำจัดออกไป 1. การติดต่อเข้าสู่อินเตอร์เน็ตช้าผิดปกติ พวกสปายแวร์จะเป็นตัวถ่วงหรืออุดเส้นทางในการเชื่อมต่อเข้ากับอินเตอร์เน็ต เพราะมันจะกันช่องทางส่วนหนึ่งในการส่งข้อมูลออกไปยังผู้เขียนโปรแกรม หรือไม่ก็นำข้อมูลเข้ามาในเครื่องของเรา เช่น หน้าต่างป๊อบอัพโฆษณาสินค้าและบริการที่ผู้ใช้ไม่ได้เรียกร้อง ทำให้เหลือช่องทางในการสื่อสารน้อยลง ถ้ามีเครื่องอื่นเปรียบเทียบการใช้งานจะเห็นชัดมากขึ้น 2. ค่าเว็บไซด์เริ่มต้น (Default Homepage) เปลี่ยนไป ปกติเรามักจะกำหนดให้เว็บไซต์ใดเว็บไซต์หนึ่งที่ใช้งานบ่อย ๆ เป็นค่าเริ่มต้น ทุกครั้งในการเปิดหน้าต่างบราวเซอร์ โปรแกรมพวกนี้จะเปลี่ยนค่าให้ชี้ไปยังเว็บไซด์ที่ผู้เขียนโปรแกรมต้องการ ไม่สามารถเปลี่ยนไป URL อื่น ได้จนกว่าจะโหลดหน้านั้น ๆ เสร็จ ถ้าผู้ใช้งานคลิกหยุดการทำงานบราวเซอร์แล้วเปลี่ยนไปยัง URL ใหม่จะทำให้ไม่สามารถออกไปยังเครือข่ายอินเตอร์เน็ตได้เลย
ทราบได้อย่างไรว่าเครื่องติด Spyware 3. ประสิทธิภาพของคอมพิวเตอร์ลดลง เนื่องจากโปรแกรมพวกนี้จะทำงานตลอดเวลาเมื่อเชื่อมต่ออินเตอร์เน็ต ทั้งการรับ - ส่ง ข้อมูล จึงทำให้ผู้ใช้ใช้งานโปรแกรมอื่น ๆ ได้ช้าลง ฮาร์ดดิสก์ทำงานหนักและตลอดเวลา จนการเข้าถึงไฟล์ต่าง ๆ ช้าลงอย่างเห็นได้ชัด นอกจากนั้นผู้ใช้ยังเป็นพาหะหรือผู้แพร่เชื้อให้กับบุคคลอื่น ๆ ในเครือข่ายแบบไม่รู้ตัวอีกด้วย 4. มี Pop up ขึ้นมาบ่อยครั้งที่เข้าเว็บ 6. หน้า Desktop มีไอคอนประหลาดๆ เพิ่มขึ้น7. เมื่อเปิด Internet Explorer หน้าเว็บแรกที่พบแสดงเว็บที่ไม่เคยเห็นมาก่อน8. เว็บใดที่ผู้ใช้ไม่สามารถเข้าได้ หน้าเว็บโฆษณาของ Spyware จะมาแทนที่
วิธี และ การป้องกัน Spyware เบื้องต้น • ระวังเรื่องการ Download โปรแกรมจากเว็บไซต์ต่าง ๆ • ระวังอีเมลล์ ที่ให้คำแนะนำเกี่ยวกับการแจกโปรแกรมฟรี เกี่ยวกับการกำจัด Spyware • ระหว่างการใช้งานอินเตอร์เน็ต ถ้มีหน้าต่างบอกให้คลิกปุ่ม Yes ระวังสักนิด อ่านรายละเอียดให้ดี อาจมี Spyware แฝงอยู่ แนะนำให้คลิก No ไว้ก่อน จะ ปลอดภัยกว่า
Port Scanning Port Scanning เป็นการโจมตีแบบ passive อีกรูปแบบหนึ่ง ที่ผู้โจมตีใช้ในการค้นหาบริการที่จะสามารถบุกรุกเข้าไปยังระบบได้ โดยปกติแล้วทุกระบบงานที่ต่อเข้าสู่เครือข่ายอินเทอร์เน็ตจะเปิดบริการต่างๆ ซึ่งทำงานอยู่บนพอร์ตที่เป็นที่รู้จัก และที่ไม่เป็นที่รู้จัก การทำ Port Scanning นั้น ผู้โจมตีสามารถค้นหาข้อมูลได้มากมายจากระบบงานเหล่านั้น ได้แก่ บริการอะไรบ้างที่กำลังทำงานอยู่ ผู้ใช้รายใดเป็นเจ้าของบริการนั้น สนับสนุนการใช้งานผ่านบัญชีผู้ใช้ anonymous หรือไม่ เป็นต้น เพื่อค้นหาจุดอ่อนที่จะใช้โจมตีต่อไป อย่างไรก็ตาม Port Scanning ก็มีประโยชน์กับ Network Administrator เช่นกัน เพราะผู้ดูแลเครือข่ายก็สามารถใช้วิธี Port Scanning ในการตรวจสอบและค้นหาจุดด่อนด้านความมั่นคงปลอดภัยที่ตนดูแลอยู่
การสื่อสารแบบปลอดภัย SSL (Secure Sockets Layer) คือเทคโนโลยีการรักษาความปลอดภัยมาตรฐาน ในการเข้ารหัสข้อมูลเพื่อเพิ่มความปลอดภัยในการสื่อสารข้อมูลบนเครือข่ายอินเทอร์เน็ต โดยวิธีการเรียกใช้งาน จะเรียกผ่านโปรโตคอล HTTPS SSL ถูกสร้างมาเพื่อใช้กับ browsers และ web servers และถูกใช้ใน e-commerce เมื่อมีการซื้อขายโดยใช้ credit card ผ่านทางหน้าweb ดังนั้น การเลือกใช้ผู้บริการที่เข้ารหัสข้อมูลด้วย SSL โดย URL ของ Website ระบุเป็น HTTPS จึงเป็นการสื่อสารแบบปลอดภัย (ตัวอย่างที่เห็นโดยทั่วไป คือ เว็บไซต์ธนาคารต่างๆ ตรง URL จะระบุเป็น HTTPS ) เพราะถึงแม้ว่า การส่งแบบนี้อาจจะโดนดักได้ แต่ข้อมูลก็ยังมีการเข้ารหัสไว้
การสื่อสารแบบปลอดภัย (ต่อ...) ผู้ใช้ควรหลีกเลี่ยงการใช้งานโปรแกรมประยุกต์ที่รับส่งข้อมูลโดยไม่มีการเข้ารหัส เช่น Telnet, FTP และเปลียนมาใช้โปรแกรมประยุกต์ที่มีการเข้ารหัสข้อมูลในการรับส่งมาใช้แทน เช่น โปรแกรม Secure Shell แทน Telnet เป็นต้น ผู้ดูแลระบบเครือข่ายควรปรับโครงสร้างการเชื่อมต่อเครือข่ายให้เป็นแบบที่ใช้สวิตซ์ (Switched Ethernet) ซึ่งข้อมูลจะไม่กระจาย แต่จะวิ่งจากต้นทางไปยังปลายทางที่ระบุเลย ทำให้ช่วยลดความเสี่ยงจากการที่ข้อมูลจะถูกดักจับได้มาก แทนการใช้การเชื่อมต่อเครือข่ายแบบฮับ ซึ่งข้อมูลจะกระจายไปทั่วเครือข่ายเมื่อมีการรับส่งข้อมูล จึงเสี่ยงที่จะถูก sniffer ดักจับได้ นอกจากนี้ หากมีการสื่อสารข้อมูลภายในองค์กรโดยผ่านอินเทอร์เน็ต การนำเทคโนโลยีของ VPN (Virtual Private Network) มาใช้จะช่วยเพิ่มความปลอดภัยได้
Active Attack การโจมตีประเภท Interruption, Modification, และ Fabrication จัดเป็นการโจมตีแบบ active หรือ เรียกว่า Data Diddling เพราะมีการเปลี่ยนแปลงเกิดขึ้นกับข้อมูลหรือระบบงาน เช่น การเปลี่ยนข้อมูลในไฟล์ การลบแฟ้มข้อมูลหรือโปรแกรมการสร้างข้อมูลขึ้นมาใหม่การเพิ่มไฟล์ที่ไม่ได้รับอนุญาตเข้าไปในระบบ รวมถึงการทำให้ระบบไม่สามารภให้บริการได้ตามปกติ การเปลี่ยนแปลงข้อมูลดังกล่าว สามารถกระทำโดยบุคคลใดก็ได้ที่สามารถเข้าไปถึงตัวข้อมูลได้ เช่น พนักงานบันทึกเวลาการทำงาน ทำการแก้ไขตัวเลขชั่วโมงการทำงาน การโจมตีแบบ active สามารถตรวจจับได้ง่ายกว่า passive เนื่องจาก active มีร่องรอยการกระทำเกิดขึ้นใน log file ที่ใช้บันทึกการทำงานของระบบ และข้อมูลเหล่านี้จะถูกนำไปใช้ตรวจสอบเพื่อตรวจจับการบุกรุกต่อไป แต่การป้องกันทำได้ค่อนข้าวยาก วิธีการโจมตีแบบ active โดยทั่วไป มีดังนี้ - Virus - Logic Bomb/Time Bomb - Trojan - Masquerade - Worm - Denial of Service - Bacterium - Brute-force Attack
วิธีการการลักลอบเข้าถึงโดยไม่ได้รับอนุญาต แบบ Active ตัวอย่างการลักลอบเข้าถึงข้อมูลที่พบบ่อยในปัจจุบัน เช่น การลักลอบเข้าไปเปลี่ยนแปลงแก้ไขข้อมูลเว็บเพจหน้าแรกขององค์กรต่างๆ ซึ่งอาจเกิดจากความไม่พอใจในเหตุการณ์บางอย่าง หรือทำเพื่อให้องค์กรนั้นได้รับความเสียหาย หรือเพียงแค่ต้องการสร้างชื่อเสียงให้กับตนเอง บางรายทิ้งร่องรอยให้ทราบว่าพวกเขาได้เข้ามายังระบบเว็บเซอร์ฟเวอร์ขององค์กรนั้น ๆ แล้ว วิธีการโจมตีแบบ active โดยทั่วไป มีดังนี้ - Virus - Trojan - Bacterium - Worm - Bacterium - Logic Bomb/Time Bomb - Masquerade - Denial of Service - Brute-force Attack
การก่อกวนและการเข้าควบคุมเครื่องคอมพิวเตอร์ที่ตกเป็นเครื่องเป้าหมายด้วยโปรแกรมประสงค์ร้าย (Malicious code) รูปแบบอาชญากรรมทางคอมพิวเตอร์ที่พบมากและสร้างความเสียหายต่อข้อมูล และระบบคอมพิวเตอร์อย่างมาก คือกลุ่มโปรแกรมประสงค์ร้าย (Malware ย่อมาจาก Malicious Software)ซึ่งเป็นโปรแกรมคอมพิวเตอร์ทุกชนิดที่ประสงค์ร้ายต่อคอมพิวเตอร์และเครือข่ายโดยมีวัตถุประสงค์ที่จะเข้าไปใช้สิทธิโดยปราศจากการขออนุญาตเพื่อทำลายหรือขโมยข้อมูล ทำลายการให้บริการตามปกติของเครื่องคอมพิวเตอร์ ตลอดจนเข้าควบคุมทำให้ระบบคอมพิวเตอร์ที่ถูกคุกคามทำงานตามความต้องการ เป็นต้น เครื่องคอมพิวเตอร์ที่มี malware บางประเภทติดตั้งอยู่ เช่น บ็อตเน็ต (Botnet)ย่อมาจาก Robot Network จะถูกควบคุมและสามารถถูกสั่งการได้จากระยะไกล โดยมีเป้าหมายเพื่อโจมตีคอมพิวเตอร์และเครือข่าย บอตเน็ตที่ถูกสร้างขึ้นนี้อาจเป็นเครื่องมือที่ใช้ส่งสแปมเมล์ (Spam Mail) และ Phishing (อ่านรายละเอียดเพิ่มเติมที่http://www.thaicert.nectec.or.th/paper/basic/phishing.php) ซึ่งเป็นวิธีการสร้างความเสียหายให้กับระบบเครือข่ายอินเทอร์เน็ตได้มาก
โปรแกรม Malware:Virus คอมพิวเตอร์ เนื่องจาก Virus คือ Malware ชนิดแรกที่เกิดขึ้นบนโลกนี้และอยู่มานาน ดังนั้นโดยทั่วไปตามข่าวหรือบทความต่างๆ ที่ไม่เน้นไปในทางวิชาการมากเกินไป จะใช้คำว่า Virus แทนคำว่า malware และยังเข้าใจว่า Virus คือ Malicious software ทั้งหมดซึ่งเป็นความเข้าใจที่ผิด เพราะ Malware แต่ละชนิดไม่เหมือนกันแม้กระทั่งในกฎหมายการกระทำความผิดทางคอมพิวเตอร์ ก็ยังมีการเสนอให้แก้ไขคำว่า Virus โดยเปลี่ยนไปใช้คำว่า Malware แทน เพราะมิฉะนั้น คนที่ใช้ worm, trojanโจมตีคนอื่นอาจจะมีความผิดน้อย เพราะความจริงแล้ว Worm, Trojan เป็น Malicious Softwareชนิดหนึ่ง ทีไม่ใช่ Virus
โปรแกรม Malware: Virus คอมพิวเตอร์ ไวรัส (virus) เป็นมัลแวร์ที่รู้จักกันมากที่สุด ซึ่งก็คือกลุ่มของรหัสคำสั่ง (Code) ที่ถูกนำไปติดหรือฝังตัวเอง ไว้กับไฟล์ (File-infector) หรือเซคเตอร์ระบบ(System Sector) ภายในหน่วยความจำของเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อ Virus เป็นโปรแกรมที่สามารถสำเนาตัวเองได้ เกิดขึ้นเป็นครั้งแรกในปี พ.ศ. 2526 โดย ดร.เฟรดเดอริก โคเฮน นักวิจัยของมหาวิทยาลัยเพนซิลวาเนีย สหรัฐอเมริกา ได้ทำการศึกษาโปรแกรมลักษณะนี้และได้ตั้งชื่อว่า "ไวรัส" แต่ไวรัสที่แพร่ระบาดและสร้างความเสียหายให้กับคอมพิวเตอร์ตามที่มีการบันทึกไว้ครั้งแรกเมื่อปี พ.ศ. 2529 ด้วยผลงานของไวรัสที่มีชื่อ "เบรน(Brain)" ซึ่งเขียนขึ้นโดยโปรแกรมเมอร์สองพี่น้องชาวปากีสถาน ชื่อ อัมจาด (Amjad) และ เบซิท(Basit) เพื่อป้องกันการคัดลอกทำสำเนาโปรแกรมของพวกเขาโดยไม่จ่ายเงิน โดยปกติแล้วไวรัสคอมพิวเตอร์ไม่สามารถแพร่กระจายจากเครื่องคอมพิวเตอร์หนึ่งไปยังอีกเครื่องหนึ่งได้ด้วยตัวเอง จำเป็นต้องอาศัย "ไฟล์พาหะ หรือ host file" เป็นไฟล์ที่มีไวรัสคอมพิวเตอร์ฝังตัวอยู่ ซึ่งไฟล์พาหะนี้จะถูกส่งต่อไปเรื่อยๆ ผ่านทางสื่อต่างๆ เช่น แนบไปกับอีเมล์ การแชร์ไฟล์ผ่านเครือข่ายอินเทอร์เน็ต รวมทั้งสื่อบันทึกต่างๆ ได้แก่ ดิสก์เก็ต (Diskette) หรือไดร์ฟยูเอสบี (USB drive) ได้ เป็นต้น
ดังนั้น การแพร่กระจายของไวรัสจะเกิดขึ้นได้ก็ต่อเมื่อไฟล์หรือโปรแกรมที่ติดรหัสคำสั่งไวรัสนั้นถูกนำไปติดตั้งและประมวลผลบนคอมพิวเตอร์เครื่องอื่นต่อกันไป กล่าวโดยสรุป Virus จึงเป็นโปรแกรมคอมพิวเตอร์ประเภทหนึ่งที่ถูกออกแบบมาให้แพร่กระจายตัวเองจากไฟล์หนึ่งไปยังไฟล์อื่นๆ ภายในเครื่องคอมพิวเตอร์ แต่ไม่สามารถแพร่กระจายจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งได้ด้วยตัวมันเอง โดยทั่วไปเกิดจากผู้ใช้เป็นพาหะนำไวรัสจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งเช่น รันโปรแกรม เปิดไฟล์ที่แนบมากับอีเมล์ ฯลฯ ไวรัสคอมพิวเตอร์จะไม่สามารถทำลายระบบฮาร์ดแวร์ เช่น โพรเซสเซอร์ จอภาพ หรือคีย์บอร์ดได้ แต่ไวรัสทำความเสียหายต่อซอฟต์แวร์ซึ่งส่งผลให้การทำงานของระบบฮาร์ดแวร์ผิดพลาด กล่าวคือ ทำให้ระบบไม่สามารถทำงานได้ตามปกติเช่น ไวรัสบางตัวจะเข้าควบคุมการทำงานของการ์ดแสดงผล ทำ ให้ภาพที่ปรากฏหน้าจอหายไป ไม่แสดงตัวอักษร
Virus คอมพิวเตอร์ การที่คอมพิวเตอร์ติดไวรัส หมายถึงว่าไวรัสได้เข้าไปผังตัวอยู่ในหน่วยความจำคอมพิวเตอร์ เรียบร้อยแล้ว เนื่องจากไวรัสเป็นโปรแกรม ๆ หนึ่งการที่ไวรัสจะเข้าไปอยู่ในหน่วยความจำได้นั้นจะต้องมีการถูกเรียกให้ทำงานและยังขึ้นอยู่กับประเภทของไวรัสแต่ละตัว ปกติผู้ใช้มักจะไม่รู้ตัวว่าได้ทำการปลุกไวรัสขึ้นมาทำงาน และจุดประสงค์ของการทำงานของไวรัสแต่ละตัวขึ้นอยู่กับตัวผู้เขียนโปรแกรมไวรัสนั้น เช่น อาจสร้างไวรัสให้ไปทำลายโปรแกรมหรือข้อมูลอื่น ๆ ที่อยู่ในเครื่องคอมพิวเตอร์ หรือ แสดงข้อความวิ่งไปมาบน หน้าจอ เป็นต้น การทำงานของไวรัส โดยทั่วไป คือ เมื่อมีการเรียกโปรแกรมที่ติดไวรัส ส่วนของไวรัสจะถือโอกาสนี้ฝังตัวเข้าไปอยู่ในหน่วยความจำทันทีแล้วจึงค่อยให้โปรแกรมนั้นทำงานตามปกติต่อไป เมื่อไวรัสเข้าไปฝังตัวอยู่ในหน่วยความจำแล้ว หลังจากนี้ไปถ้ามีการเรียกโปรแกรมอื่น ๆ ขึ้นมาทำงานต่อ ตัวไวรัสก็จะสำเนาตัวเองเข้าไปในโปรแกรมเหล่านี้ทันที เป็นการแพร่ระบาดต่อไป
อาการของเครื่องที่ติดไวรัสอาการของเครื่องที่ติดไวรัส สามารถสังเกตุการทำงานของเครื่องคอมพิวเตอร์ถ้ามีอาการดังต่อไปนี้อาจเป็นไปได้ว่าได้มีไวรัสเข้าไปติดอยู่ในเครื่องแล้ว อาการที่ว่านั้นได้แก่ • ใช้เวลานานผิดปกติในการเรียกโปรแกรมขึ้นมาทำงาน • ขนาดของโปรแกรมใหญ่ขึ้น • วันเวลาของโปรแกรมเปลี่ยนไป • ข้อความที่ปกติไม่ค่อยได้เห็นกลับถูกแสดงขึ้นมาบ่อย ๆ • เกิดอักษรหรือข้อความประหลาดบนหน้าจอ • เครื่องส่งเสียงออกทางลำโพงโดยไม่ได้เกิดจากโปรแกรมที่ใช้อยู่ • แป้นพิมพ์ทำงานผิดปกติหรือไม่ทำงานเลย • ขนาดของหน่วยความจำที่เหลือลดน้อยกว่าปกติ โดยหาเหตุผลไม่ได้ • ไฟล์แสดงสถานะการทำงานของดิสก์ติดค้างนานกว่าที่เคยเป็น • ไฟล์ข้อมูลหรือโปรแกรมที่เคยใช้อยู่ ๆ ก็หายไป • เครื่องทำงานช้าลง • เครื่องบูตตัวเองโดยไม่ได้สั่ง • ระบบหยุดทำงานโดยไม่ทราบสาเหตุ • เซกเตอร์ที่เสียมีจำนวนเพิ่มขึ้น
ประเภทของ Virus คอมพิวเตอร์ 1. บูตเซกเตอร์ไวรัส บู๊ตเซกเตอร์ไวรัส (Boot Sector Viruses หรือ Boot Infector Viruses) คือไวรัสที่เก็บตัวเองอยู่ในบู๊ตเซกเตอร์ของฮาร์ดดิสก์ บู๊ตเซ็กเตอร์ไวรัสจะทำงานได้ก็ต่อเมื่อผู้ใช้เสียบแผ่นดิสก์เก็ตคาไว้ที่ไดรว์ เมื่อเปิดเครื่องคอมพิวเตอร์ขึ้นมา เครื่องจะบู๊ตข้อมูลจากแผ่นดิสก์ก่อน ถึงแม้ว่าแผ่นนี้จะเป็น Boot disk หรือไม่ก็ตาม แต่ถ้ามีไวรัสประเภทบู๊ตเซ็กเตอร์อยู่ก็จะสามารถส่งไวรัสเข้ามาที่เครื่องคอมพิวเตอร์ได้ ไวรัสประเภทนี้บางตัวไม่มีอันตราย แต่บางตัวมีอันตรายมากถึงขั้นทำให้เครื่องคอมพิวเตอร์บู๊ตไม่ขึ้นเมื่อคอมพิวเตอร์เริ่มทำงาน เครื่องจะเข้าไปอ่านบู๊ตเซกเตอร์ โดยในบู๊ตเซกเตอร์จะมีโปรแกรมเล็ก ๆ ไว้ใช้ในการเรียกระบบปฎิบัติการขึ้นมาทำงานอีกทีหนึ่ง ไวรัสจะเข้าไปแทนที่โปรแกรมดังกล่าว และไวรัสประเภทนี้ถ้าไปติดอยู่ในฮาร์ดดิสก์ จะเข้าไปอยู่บริเวณที่เรียกว่า Master Boot Sector ของฮาร์ดดิสก์นั้น ถ้าบู๊ตเซกเตอร์ของดิสก์ใดมีไวรัสประเภทนี้ติดอยู่ ทุก ๆ ครั้งที่บู๊ตเครื่องขึ้นมา ตัวโปรแกรมไวรัสจะทำงานก่อนและจะเข้าไปฝังตัวอยู่ในหน่วยความจำเพื่อเตรียมพร้อมที่จะทำงานตามที่ได้ถูกโปรแกรมมา แล้วตัวไวรัสจึงค่อยไปเรียกระบบปฏิบัติการให้ขึ้นมาทำงานต่อไป ทำให้เหมือนไม่มีอะไรเกิดขึ้น virus ประเภทนี้ ได้แก่ Michelangello, Empire และ Stoned เป็นต้น
2. โปรแกรมไวรัส (Program Viruses หรือ File Infector Viruses) เป็นไวรัสอีกประเภทหนึ่งที่จะติดอยู่กับโปรแกรมซึ่งปกติก็คือ ไฟล์ที่มีนามสกุลเป็น .COM หรือ .EXE และไวรัสบางชนิดสามารถเข้าไปติดอยู่ในโปรแกรมที่มีนามสกุลเป็น .SYS, .DLL และ .OVL(Overlay Programs)ได้ด้วย วิธีการที่ไวรัสใช้เพื่อที่จะเข้าไปติดโปรแกรมมีอยู่สองวิธี คือ การแทรกตัวเองเข้าไปอยู่ในโปรแกรมผลก็คือหลังจากที่โปรแกรมนั้นติดไวรัสแล้ว ขนาดของโปรแกรมจะใหญ่ขึ้น หรืออาจมีการสำเนาตัวเองเข้าไปทับส่วนของโปรแกรมที่มีอยู่เดิมทำให้ขนาดของโปรแกรมไม่เปลี่ยนและยากที่จะซ่อมให้กลับเป็นดังเดิม การทำงานของโปรแกรมไวรัสโดยทั่วไป คือ เมื่อมีการเรียกโปรแกรมที่ติดไวรัส ส่วนของไวรัสจะทำงานก่อนและจะถือโอกาสนี้ฝังตัวเข้าไปอยู่ในหน่วยความจำทันทีแล้วจึงค่อยให้โปรแกรมนั้นทำงานตามปกติต่อไป เมื่อไวรัสเข้าไปฝังตัวอยู่ในหน่วยความจำแล้ว หลังจากนี้ไปถ้ามีการเรียกโปรแกรมอื่น ๆ ขึ้นมาทำงานต่อ ตัวไวรัสก็จะสำเนาตัวเองเข้าไปในโปรแกรมเหล่านี้ทันทีเป็นการแพร่ระบาดต่อไป ส่วนวิธีการแพร่ระบาดของโปรแกรมไวรัสอีกวิธีหนึ่งคือ เมื่อมีการเรียกโปรแกรมที่มีไวรัสติดอยู่ ไวรัสจะเข้าไปหาโปรแกรมอื่น ๆ ที่อยู่ในดิสก์เพื่อทำสำเนาตัวเองลงไปทันทีแล้วจึงค่อยให้โปรแกรมที่ถูกเรียก นั้นทำงานตามปกติต่อไป วรัสประเภทนี้ได้แก่ WinVir, CIH/Chermobyl, Christmas tree เป็นต้น
3. Polymorphic Virus เป็นชื่อที่ใช้ในการเรียกไวรัสที่มีความสามารถในการแปรเปลี่ยนตัวเองได้หลากหลายรูปแบบ เมื่อมีการสร้างสำเนาตัวเองเกิดขึ้น ทำให้ไวรัสประเภทนี้ยากต่อการถูกตรวจจับด้วยโปรแกรมตรวจหาไวรัส ไวรัสประเภทนี้ ได้แก่ DarkParanoid, Whale, WildLickเป็นต้น 4. Stealth Virus เป็นชื่อที่ใช้เรียกไวรัสที่มีความสามารถในการพรางตัวต่อการตรวจจับ กล่าวคือ ในขณะที่ไวรัสแบบ File Infector นั้นเมื่อไวรัสแฝงตัวอยู่กับโปรแกรมใดแล้วจะทำให้ขนาดของโปรแกรมนั้นใหญ่ขึ้น ถ้าใช้คำสั่ง DIR ของระบบปฏิบัติการเพื่อแสดงรายการและขนาดของไฟล์ จะพบว่าไฟล์มีขนาดใหญ่ขึ้นจริง แต่ถ้าเป็นไวรัสแบบ stealth มันจะเข้าไปควบคุมระบบปฏิบัติการ ดังนั้นเมื่อมีการใช้คำสั่ง DIR เพื่อแสดงรายการ และตรวจดูขนาดไฟล์ ไวรัส stealth ทำให้การแสดงขนาดของไฟล์เท่าเดิมราวกับว่าไม่มีอะไรเกิดขึ้น ทำให้ไม่สามารถดูขนาดที่แท้จริงของโปรแกรมได้ ไวรัสประเภทนี้ ได้แก่ Brain, Soulfly, Shrapnel, Pandemonium เป็นต้น
5. Macro Virus โดยทั่วไป ไฟล์ข้อมูลไม่สามารถแพร่กระจายไวรัสได้เพราะไม่สามารถสั่งไฟล์นั้นให้ทำงานได้ แต่โปรแกรมชุด Office เช่น Microsoft Word, Excel ได้เพิ่มความสามารถในส่วนชุดคำสั่งภาษามาโคร (Macro Language) ในการทำงานกับไฟล์ข้อมูล ซึ่งคำสั่งมาโครสามารถทำงานโดยอัตโนมัติตามเหตุการณ์ที่กำหนด เช่น ทำงานเมื่อเปิดไฟล์ ซึ่งความสามารถดังกล่าวได้นำไปสู่การพัฒนาไวรัสในรูปแบบของ Macro Virus โดยแฝงอยู่กับไฟล์ข้อมูลหรือไฟล์ซึ่งใช้เป็นต้นแบบ (Template) ในการสร้างเอกสาร (ประเภท document, spreadsheet, และ powerpointเป็นต้น) หลังจากที่ต้นแบบที่ใช้ในการสร้างเอกสารมีไวรัสแล้ว ทุก ๆ เอกสารที่เปิดขึ้นใช้ด้วยต้นแบบนั้นก็จะมีไวรัสด้วย ไวรัสประเภทนี้ได้แก่ ไวรัส Access.Lovely, Winword/Concept, Excel/Compatเป็นต้น 6. Visual Basic Script Virus หรือ VBScriptเป็นภาษาหนึ่งที่ใช้ร่วมกับภาษา HTML ในการพัฒนาเว็บเพจ ดังนั้นไวรัสที่พัฒนาด้วย VBScript จะซ่อนตัวในเว็บไซต์ต่าง ๆ และเมื่อผู้ใช้งานเปิดเว็บเพจที่มีไวรัสนี้อยู่ ก็จะโจมตีเครื่องของผู้ใช้ผ่านโปรแกรม Web Browser หลังจากนั้นก็แพร่กระจายผ่าน e-mail ด้วยโปรแกรม Microsoft Outlook เพื่อโจมตีหรือกระจายไวรัสไปยังผู้อื่นต่อไป โดยอาศัย mailing list หรือรายชื่ออีเมล์ที่เก็บอยู่ในเครื่องนั้น ๆไวรัสประเภทนี้ได้แก่ VBS/Haptime, VBS/Redlof, VBS/AnnaKournikova และ JS.Fortnightเป็นต้น
7. Companion Virus เป็นไวรัสที่อาศัยจุดอ่อนในเรื่องลำดับความสำคัญในการทำงานของนามสกุลไฟล์โปรแกรม โดยทั่วไปเมื่อผู้ใช้พิมพ์ชื่อโปรแกรมที่ต้องประมวลผล ระบบจะตรวจสอบว่ามีชื่อไฟล์โปรแกรมที่ต้องการและนามสกุลเป็น .COM ก่อน แต่หากไม่มี จึงจะหาชื่อไฟล์โปรแกรมที่มีนามสกุลเป็น .EXE ต่อไป ดังนั้น หลักการทำงานของไวรัสประเภทนี้คือหาไฟล์โปรแกรมที่มีนามสกุล .EXE และสร้างไฟล์ที่เป็นไวรัสให้มีชื่อเหมือนกันกับชื่อไฟล์ดังกล่าว แต่มีนามสกุลเป็น .COM และเมื่อผู้ใช้พิมพ์คำสั่งเรียกใช้โปรแกรมมาทำการประมวลผล โปรแกรมที่เป็นไวรัสก็จะถูกสั่งให้ทำงานก่อน แล้วจึงส่งการทำงานไปยังไฟล์โปรแกรมที่เป็น .EXE ในภายหลัง ดังนั้นหากในระบบมีไวรัสประเภทนี้อยู่ สามารถสังเกตได้ง่ายคือ มีไฟล์ที่มีนามสกุล .COM มากเป็นพิเศษและมีไฟล์ที่มีชื่อเหมือนกันโดยมีทั้งนามสกุล .COM และ .EXE ไวรัสประเภทนี้ได้แก่ไวรัส W32/Parrot-A, W32/Lovgate, Win95.Companion และ Sandrine เป็นต้น 8. Cluster Virus/Directory Virus ไวรัสประเภทนี้ทำงานโดยการเปลี่ยนแปลงข้อมูลเกี่ยวกับไดเร็กทอรี่ของไฟล์ต่าง ๆ ให้ชี้ไปยังตำแหน่งที่เก็บโปรแกรมไวรัสแทนที่จะชี้ไปยังตำแหน่งที่เก็บไฟล์โปรแกรมปกติ ดังนั้น เมื่อสั่งให้ไฟล์โปรแกรมทำงาน ไวรัสก็จะทำงานก่อนแล้วจึงสั่งให้โปรแกรมที่ต้องทำงานจริง ในภายหลัง ไวรัสประเภทนี้ได้แก่ ไวรัส DIR-II และ Byway เป็นต้น
โปรแกรม Malware: Trojan • ม้าโทรจัน (Trojan horse)เป็นชื่อม้าไม้ของกรีกจากมหากาพย์เมืองทรอยในอดีตของโฮมเมอร์ ถูกนำมาใช้เป็นชื่อของโปรแกรมคอมพิวเตอร์ที่ไม่ได้ถูกออกแบบมาเพื่อสร้างความเสียหายต่อระบบเครือข่ายคอมพิวเตอร์โดยตรงเหมือนกับไวรัสและหนอนอินเทอร์เน็ต แต่ม้าโทรจันถูกออกแบบมาให้แฝงตัวเองเข้าไปในระบบเครือข่ายคอมพิวเตอร์ต่างๆ และมีเจตนาทำสิ่งที่เหยื่อคาดไม่ถึง ดังต่อไปนี้ • ทำลายข้อมูลสำคัญที่ถูกเก็บอยู่ในเครื่องคอมพิวเตอร์ของเหยื่อ • เปิดประตูลับ (Back door)ที่คอมพิวเตอร์เซิร์ฟเวอร์เพื่อให้แฮกเกอร์สามารถกลับเข้ามาในระบบได้อีกและยึดเป็นฐานที่มั่นเพื่อโจมตีคอมพิวเตอร์เครื่องอื่น • ดักจับหรือขโมยข้อมูลส่วนบุคคลของเหยื่อ เช่นรหัสผ่านเข้าสู่ระบบต่างๆ หมายเลขบัตรเครดิต เลขที่บัญชีธนาคาร หรือแม้กระทั่งปุ่มแป้นพิมพ์ที่เหยื่อกด เป็นต้น จากนั้นจะส่งข้อมูลความลับเหล่านี้กลับไปยังผู้โจมตีเพื่อนำไปใช้ประโยชน์ได้ต่อไป
ทำการเชื่อมต่อเครื่องคอมพิวเตอร์ของเหยื่อสู่อินเทอร์เน็ต เพื่อให้แฮกเกอร์หรือมัลแวร์อื่นๆ สามารถเชื่อมต่อและทำอันตรายเครื่องคอมพิวเตอร์นี้ได้ รวมทั้งอาจถูกใช้เป็นเครื่องมือในการบุกรุกระบบอื่นต่อไปอีกด้วย • โดยส่วนใหญ่แฮกเกอร์จะส่งโปรแกรมเข้าไปในคอมพิวเตอร์เพื่อดักจับข้อมูลดังกล่าว แล้วนำไปใช้ในการเจาะระบบ และเพื่อโจมตีคอมพิวเตอร์, เซิร์ฟเวอร์,หรือระบบเครือข่ายอีกที เปิดช่องทาง (back door) ให้ผู้บุกรุกเข้าโจมตีระบบได้ • ม้าโทรจันเป็นโปรแกรมที่ไม่มีคำสั่ง หรือการทำงานที่เป็นอันตรายต่อคอมพิวเตอร์โดยตรง และแตกต่างจากหนอนอินเทอร์เน็ต และไวรัสคอมพิวเตอร์ตรงที่ม้าโทรจันไม่สามารถทำสำเนาตัวเองและแพร่กระจายตัวเองได้ แต่มันอาศัยตัวกลางคือแอบแฝงมากับซอฟต์แวร์หลากหลายรูปแบบที่ดูน่าสนใจ มีประโยชน์ และดูไม่มีอันตราย เช่น เกมส์ การ์ดอวยพร จำลองตัวเองเป็นโปรแกรมยูทิลิตี้ ต่างๆ เป็นต้น โดยซอฟต์แวร์เหล่านี้จะมีลักษณะเชิญชวนหรือหลอกล่อให้เหยื่อหลงเชื่อและดาวน์โหลดมาติดตั้งในเครื่องคอมพิวเตอร์ของเหยื่อโดยไม่ทันระวังตัว หรือมีผู้ลักลอบแอบเข้ามาติดตั้งลงในคอมพิวเตอร์เป้าหมายก็ได้
การแบ่งประเภทของ Trojan Trojan แบ่งออกได้เป็นหลายประเภทตามลักษณะการโจมตี - Remote Access Trojan (RAT) หรือ Backdoor เป็นม้าโทรจันที่ประกอบด้วยโปรแกรม 2 ส่วน คือส่วนที่ทำงานบนเครื่องปลายทางที่ต้องการโจมตี เรียกว่าเซิร์ฟเวอร์ และเมื่อโปรแกรมส่วนนี้ถูกติดตั้งและทำงาน ก็จะเปิดช่องทางให้โปรแกรมอีกส่วนหนึ่งที่ทำงานอยู่บนเครื่องของผู้โจมตี ซึ่งเรียกว่า ไคลเอ็นต์ สามารถเข้ามาควบคุม หรือทำอะไรก็ได้บนเครื่องเซิร์ฟเวอร์ที่ตกเป็นเหยื่อ ในแบบระยะไกล- Keylogger Trojan ทำหน้าที่บันทึกการกดคีย์ต่าง ๆ ในขณะกำลังใช้คอมพิวเตอร์ เช่น malware โทรจัน บนเครื่อง MacBook ที่สามารถทำงานบนระบบปฎิบัติการ OS X และ Linux ได้ มีชื่อว่าBackDoor.Wirenet.1ซึ่งเป็นmalware เป็นประเภท Keyloggerจะจดจำการกดแป้นพิมพ์รวมถึงการกดคีย์เพื่อใส่ข้อมูลบัญชีผู้ใช้และรหัสผ่าน จากโปรแกรมเว็บบราวเซอร์ที่ใช้กันอยู่เป็นประจำเช่น Google Chrome, FireFox, หรือแม้กระทั่งโปรแกรมอีเมล์ และส่งข้อมูลนี้ไปยังผู้โจมตี มีผลเสียอย่างไร ? เวลาเราใช้งานโปรแกรมท่องเว็บเหล่านี้ อาจจะต้องมีการกรอกรหัสผ่านเช่นเข้า Facebook, เช็คอีเมล์ หรือใช้บริการธนาคารออนไลน์ทำให้รหัสผ่านสำคัญๆที่เกิดจากการใช้งานทั้งหมดถูกขโมยไปโดยBackDoor.Wirenet.1นี้ได้
การแบ่งประเภทของ Trojan - Destructive Trojan ลบไฟล์บนเครื่องที่ตกเป็นเหยื่อ - Proxy Trojan เปลี่ยนเครื่องที่ตกเป็นเหยื่อให้กลายเป็น proxy server หรือ web server, mail server เพื่อสร้าง zombie network ซึ่งจะถูก attacker/hacker ใช้เป็นฐานปฏิบัติการในการส่ง spam mail, phishing หรือเอาไว้เก็บไฟล์หรือซอฟแวร์ที่ผิดกฎหมาย - Security software Killer Trojan ฆ่า process หรือลบโปรแกรมป้องกันไวรัส/โทรจัน/ไฟล์วอลบนเครื่องที่ตกเป็นเหยื่อ- Trojan Downloader ดาวน์โหลด adware, spyware, worm เอามาติดตั้งบนเครื่องเหยื่อ
Worm อินเตอร์เน็ต หนอนอินเทอร์เน็ต (Internet Worm)เป็นโปรแกรมคอมพิวเตอร์เล็ก ๆที่สร้างผลกระทบรุนแรงต่อเนื่องไปยังคอมพิวเตอร์หรืออุปกรณ์อื่น ๆ ที่ต่ออยู่บนเครือข่ายด้วยกัน หนอนอินเทอร์เน็ตมีความสามารถแพร่กระจายในะระบบเครือข่ายได้ด้วยตัวมันเอง ไม่จำเป็นต้องอาศัยไฟล์พาหะในการแพร่กระจายเหมือนไวรัส กล่าวคือแพร่พันธุ์ด้วยการคัดลอกตัวเองออกเป็นหลาย ๆ โปรแกรมและส่งต่อผ่านเครือข่ายออกไป จึงมีลักษณะคล้ายกับหนอนผลไม้ทางชีวภาพที่สามารถเคลื่อนที่จากผลไม้ลูกหนึ่งไปยังผลไม้อีกลูกหนึ่งได้โดยที่ไม่ต้องอาศัยพาหะพาไป โปรแกรมหนอนเกิดขึ้นมาในยุคอินเตอร์เน็ตเฟื่องฟู อาศัยเครือข่ายคอมพิวเตอร์ในการแพร่กระจาย อาจจะส่่งตัวเองผ่านทางอีเมล์ แพร่กระจายผ่านทางช่องโหว่ของระบบปฏิบัติการ หรือช่องทางอื่นๆผ่านเครือข่ายอินเทอร์เน็ต เป็นต้น ลักษณะเด่นของหนอนคือ สามารถทำสำเนาตัวเองได้อย่างมหาศาลในเวลาเพียงไม่กี่นาที ดังนั้นหนอนอินเทอร์เน็ตจึงมีอัตราการแพร่กระจายสูงและสร้างความเสียหายรุนแรงกว่าไวรัสมาก หนอนไม่ทำลายไฟล์หรือข้อมูล ต่างจากไวรัสที่อาจมีการทำลายไฟล์หรือข้อมูล แต่ผลของการติดหนอนจะทำให้ทรัพยากรของระบบคอมพิวเตอร์น้อยลง เกิดการทำงานผิดพลาด ฮาร์ดดิสมีข้อมูลเต็ม หน้าจอดับไปเอง คอมพิวเตอร์ปิดตัวเอง สั่งพิมพ์งานไม่ได้ เป็นต้น
โปรแกรมหนอน : Worm กำเนิดของหนอนเกิดขึ้นในปี ค.ศ. 1988 โดย Robert Morris, Jr. ส่งที่อันตรายอย่างยิ่งของหนอนคือ สามารถสำเนาตัวเองในคอมพิวเตอร์เครื่องหนึ่งแล้วแพร่กระจายตัวเองออกไปได้จำนวนมาก เมื่อมีผู้ส่งอีเมล์และแนบโปรแกรมติดมาเป็นไฟล์แนบ (attached file) เมื่อผู้รับคลิกไฟล์นั้นเพื่อเรียกใช้ เท่ากับเป็นการเรียกโปรแกรมที่แนบมาให้ทำงาน ถ้าสิ่งที่แนบมาเป็นโปรแกรมหนอน ก็จะเป็นการเริ่มต้นการทำงานโดยจะคัดลอกตัวเอง และส่งอีเมล์ไปยังทุกรายชื่อที่มีอยู่ในลิสต์อีเมล์ และเมื่อสำเนาตัวเองเป็นจำนวนมากจะทำให้การส่งข้อมูลผ่านเครือข่ายช้าลง เป็นเหตุให้ Web Server และเครื่องคอมพิวเตอร์หยุดทำงาน ตัวอย่างโปรแกรมหนอนที่แพร่กระจายผ่านอีเมล์ที่รู้จักแพร่หลายคือ Love BUG/Love Letter ระบาดเมื่อ 4 พฤษภาคม 2543 [CERT Advisory CA-2000-04,2000] โปรแกรมนี้เขียนขึ้นเป็นไฟล์ .vbs(Visual Basic Script) ซึ่งสามารถเรียกใช้งานได้ทันทีเหมือนไฟล์โปรแกรม
Bacterium แบคทีเรียมเป็นโปรแกรมประสงค์ร้ายที่คัดลอกตัวเอง (replica) ภายในระบบคอมพิวเตอร์ที่อาศัยอยู่ จนกระทั่งครอบครองการทำงานของหน่วยประมวลผล หน่วยความจำ พื้นที่ดิสก์ หรือ ทรัพยากรอื่น ๆ ของเครื่อง จนทำให้การทำงานช้าลงและไม่สามารถให้บริการได้ในที่สุด การแพร่กระจายของแบคทีเรียมภายในคอมพิวเตอร์แต่ละเครื่องนั้นสามารถทำได้ด้วยตัวเองในลักษณะการคัดลอกตัวเองขึ้นมา ต่างจากไวรัสที่ต้องอาศัย หรือแฝงตัวกับไฟล์หรือโปรแกรมอื่น อย่างไรก็ตาม การแพร่กระจายไปยังเครื่องอื่น ต้องอาศัยผู้ใช้เป็นพาหะเช่นเดียวกับไวรัส
Logic Bomb/Time Bomb Logic Bomb/Time Bomb เป็นโปรแกรมประสงค์ร้ายประเภทไวรัสหรือหนอนที่ถูกสร้างขึ้นมาเพื่อนำไปใส่ในระบบอย่างจงใจ โดยมีเป้าหมายในการทำลายข้อมูลตามเงื่อนไขที่ผู้เขียนโปรแกรมระเบิดตั้งขึ้น โปรแกรมbomb จะเริ่มทำงานโดยมีตัวกระตุ้นบางอย่าง หรือว่าเกิดเหตุการณ์ที่ตรงกับเงื่อนไขขึ้นมา เช่น programmer ใส่โปรแกรมbomb เข้าไปที่ server แล้วกำหนดให้เมื่อถึงวันศุกร์ที่ 13 ขึ้นมาเมื่อไหร่ให้โปรแกรม bomb ทำการ format server หรือถ้ามีการกดปุ่มบนแป้นพิมพ์ ก็ให้โปรแกรม bomb เริ่มปฏิบัติการทันที เป็นต้น ซึ่งลักษณะการทำงานดังกล่าวคล้ายกับการทำงานของระเบิดเวลานั่นเอง โปรแกรมที่ทำงานในลักษณะ Logic Bomb และ Time Bomb จะไม่เหมือนไวรัส เพราะว่าโปรแกรม Bomb ทำงานครั้งเดียว หรือทำงานที่ช่วงเวลาใดเวลาหนึ่งเท่านั้น แต่การกระทำของไวรัส ทำงานอย่างต่อเนื่องตลอดเวลา