1 สัปดาห์กับ WannaCry

สัปดาห์ที่ผ่านมาไม่มีเรื่องอะไรฮอตฮิตและทำให้คนไอที ผู้ใช้คอมพิวเตอร์ทั่วโลกหวั่นไหว และหวาดกลัวมากกว่ามัลแวร์เรียกค่าไถ่ที่ชื่อ WannaCry, WannaCrypt, WannaCryptor หรือ Wanna Decryptor ซึ่งทำให้คอมพิวเตอร์ทั่วโลกปั่นป่วนเพียงวันแรกทำให้คอมพิวเตอร์มากกว่า 1 แสนเครื่องมากกว่า 100 ประเทศทั่วโลกติดมัลแวร์เรียกค่าไถ่ตัวนี้ จากรายงานทั่วโลก พอสรุปได้คร่าวๆ ว่า มัลแวร์ตัวนี้ระบาดอย่างรุนแรงในประเทศญี่ปุ่น มากกว่า 600 บริษัท รวมถึงบริษัทอิเล็กทรอนิกซ์ชั้นนำ และบริษัทผลิตรถยนต์หลายแห่งที่ถูกมัลแวร์ตัวนี้เล่นงาน สำหรับที่มาของมัลแวร์ WannaCry สรุปพอสังเขป ดังนี้

เริ่มแรกเมื่อปลายปีก่อน มีกลุ่มแฮกเกอร์ ชื่อ The Shadow Broker เข้าแฮกเครื่องมือระดับสูงของเอ็นเอสเอ (NSA : National Security Agency) หน่วยงานความมั่นคงของอเมริกา เอ็นเอสเอพัฒนาเครื่องมือตัวนี้โดยอาศัยช่องโหว่โจมตีที่เรียกว่า Exploit ช่องโหว่นี้เป็นช่องโหว่ของ เอสเอ็มบี โปรโตคอล (SMB Protocol) เป็นโปรโตคอลสำหรับแชร์ไฟล์เป็น เอสเอ็มบี เวอร์ชั่น 1 ซึ่งระบบปฏิบัติการไมโครซอฟท์ตั้งแต่ทุกยุคทุกสมัยใช้แชร์ไฟล์ โดยเอ็นเอสเอได้แจ้งเรื่องช่องโหว่นี้ให้ไมโครซอฟท์ จากนั้นไมโครซอฟท์ออกอัพเดท แพตช์มาเมื่อวันที่ 14 มี.ค.2560 เพื่อแก้ไขช่องโหว่นี้ ที่ชื่อว่า MS17-010 สำหรับวินโดว์สเวอร์ชั่นที่ยังสนับสนุนทางเทคนิคตั้งแต่ วิสต้า วินโดว์ส10 และวินโดว์ส เซิร์ฟเวอร์ 2016

หลังการออกกอัพเดทจากไมโครซอฟท์ วันที่ 14 เม.ย.2560 แฮกเกอร์ The Shadow Broker ได้เปิดเผย Code Eternal Blue ซึ่งเป็นเครื่องมือของเอ็นเอสเอ เป็นสาเหตุทำให้เกิดเรื่อง 12 พ.ค.ที่ผ่านมา

เนื่องจากมีการนำโค้ด มาสร้าง WannaCry ออกสู่โลกไซเบอร์และเริ่มโจมตี วันที่ 12 เพียงวันเดียว ทั่วโลกโดนโจมตีและระบาดอย่างรวดเร็ว ลักษณะการโจมตี คือ อาศัยช่องโหว่เข้าไปในเครื่องของเหยื่อ หลังจากนั้นทำการเข้ารหัสไฟล์สำคัญ และเรียกค่าไถ่ มีมูลค่าตั้งแต่ 300-500 ดอลลาร์สหรัฐ ให้จ่ายผ่านบิตคอยน์ ซึ่งเป็นสกุลเงินเข้ารหัสทางออนไลน์

วันที่ 13 พ.ค.2560 ไมโครซอฟท์จึงออกอัพเดตซิเคียวริตี้ เพื่ออุดรอยรั่ววินโดว์สเวอร์ชั่นซึ่งหยุดซัพพอร์ทไปแล้วอย่าง เอ็กซ์พี, วินโดว์ส 8, วินโดว์ส 2003 เพื่อไม่ให้มัลแวร์แพร่กระจายรวดเร็ว ต้องขอบคุณไมโครซอฟท์ที่ยังคงใส่ใจผู้ใช้งานรุ่นเก่า

แต่เมื่อวันที่ 14 พ.ค.2560 ได้ค้นพบ Variants WannaCry ตัวใหม่ ซึ่งต่างจากตัวแรก เนื่องจากตัวใหม่นี้ไม่มีระบบ Kill-Switch คือระบบตัดตัวเองปกติจะมีระบบนี้ในมัลแวร์ทั่วไป q-switch ช่วยหยุดมัลแวร์นั้นๆ ได้ โดย WannaCry ตัวแรกพบ Kill-Switch และสามารถหยุดแพร่กระจายได้แล้ว แต่ตัวใหม่นี้ไม่พบ q-switch และยังพบว่าแพร่ระบาดในปัจจุบันซึ่งยากหยุดและมีโอกาสแพร่กระจายต่อเนื่องอีก 2-3 สัปดาห์

และวันที่ 15 พ.ค.2560 บริษัทแอ๊ปเปิ้ลออกอัพเดท ซิเคียวริตี้ให้ทุกอุปกรณ์ที่จำหน่ายไป ทั้งที่มัลแวร์ WannaCry ไม่ได้ส่งผลกระทบใดๆ ต่อระบบปฎิบัติการแมค โอเอส และไอโอเอส แต่ทางแอ๊ปเปิ้ล เมื่อพบช่องโหว่จึงส่งอัพเดท ซิเคียวริตี้อุดช่องโหว่ทันที เป็นการแสดงความรับผิดชอบ ป้องกันความเสียหายที่อาจเกิดขึ้นในอนาคตกับผู้ใช้งาน

แต่สงครามนี้ยังไม่จบ เพราะเนื่องด้วยเครื่องทั่วโลกไม่ได้อุดช่องโหว่หรืออัพเดท แพตช์ที่ไมโครซอฟท์ส่งออกมา แม้จะปิดเอสเอ็มบี โปรโตคอล หรือลงซอฟต์แวร์ป้องกันการแพร่ระบาด นั่นยังไม่สามารถป้องกันมัลแวร์ได้ เพราะเป็นแค่รักษาโรคชั่วคราว สาเหตุที่แท้จริงยังไม่ได้แก้ไขหรืออุดช่องโหว่ และถึงแม้จะอุดช่องโหว่แล้วยังคงมีโอกาสติดมัลแวร์ การอุดช่องโหว่ เป็นเพียงทำให้เครื่องเราไม่ติดมัลแวร์ที่แพร่กระจายมาจากเครื่องอื่นเท่านั้น แต่เครื่องเรายังสามารถติดมัลแวร์ที่แนบมากับอีเมลหรือเวบไซต์ได้เสมอ

จากช่องโหว่ MS17-010 ทำให้เห็นมัลแวร์แรนซัมแวร์อย่าง WannaCry เข้ามาในเครื่อง และเข้ารหัสไฟล์ในเครื่อง ทำให้ใช้ไฟล์ไม่ได้ ต้องจ่ายเงินค่าไถ่เพื่อได้รหัสมาปลดล็อกไฟล์ ยังมีมัลแวร์อีกประเภทที่อาศัยช่องโหว่นี้ ที่เมื่อเข้ามาในเครื่องเราแต่ไม่ได้เข้ารหัสไฟล์อย่าง Wannacry แต่จะเข้าควบคุมเครื่องเรา และอาศัยเครื่องเราไปทำ บิตคอยน์ ไมน์นิ่งหรือการขุด บิตคอยน์เพื่อมาขายต่อเพื่อรับเงินจริง การรับทำ Hash Function ของบล็อกเชนโดยอาศัย CPU,GPU ในเครื่องเหยื่อที่ถูกมัลแวร์ตัวนี้เข้าควบคุม ทำให้สูญเสียประสิทธิภาพของเครื่องไปมาก สังเกตได้จากการพบว่า CPU,GPU เครื่องเราทำงานหนักผิดปกติ เราอาจถูกมัลแวร์นี้เข้าเล่นงานและแอบใช้เครื่องเราหาเงินอยู่

คำถามยอดฮิตเกี่ยวกับ Wannacry คือ จะเอาตัวรอดจากแรนซัมแวร์ได้อย่างไร 1.ต้องอัพเดทความปลอดภัย หรือแพตช์อยู่เสมอ จำเป็นต้องใช้ของถูกกฎหมายเพื่อจะได้รับการอัพเดทด้านความปลอดภัยตลอดเวลา 2.กรณีที่ยังไม่ได้อัพเดทแพตช์ ต้องเปิดเพอร์ซันนัล ไฟร์วอลล์ ในเครื่องเพื่อไม่ให้มัลแวร์อาศัยพอร์ตต่างๆโจมตีเครื่องได้

3.แต่ละเครื่องควรต้องมีแอนตี้ ไวรัสอย่างน้อย 1 ตัว อย่าเปิดอีเมลที่ไม่รู้จักหรือต้องสงสัย รวมถึงป็อปอัพบนเวบไซต์ และแอพพลิเคชั่นต่างๆ บนอินเทอร์เน็ต 4.สำรองข้อมูลอย่างน้อยสัปดาห์ละ 1 ครั้ง ไม่ว่าจะเป็นการสำรองด้วยคลาวด์ หรืออุปกรณ์ต่างๆ เช่น เอ็กซ์เทอร์นัล ฮาร์ดดิสก์, แฟลช ไดร์ฟเป็นต้น 5.ผู้ใช้คอมพิวเตอร์หรือแม้กระทั่งผู้ที่ไม่ได้ใช้ก็ตามควรต้องให้ความสนใจและติดตามข่าวสารไอทีเสมอ เพราะยุคไทยแลนด์ 4.0 ไอทีเป็นส่วนหนึ่งของชีวิตเราไปแล้ว