หลักการความปลอดภัยข้อหนึ่งที่ดูจะไม่เกี่ยวกับความปลอดภัยนัก คือ availability หรือสถานะพร้อมใช้งาน แม้ว่าแฮกเกอร์อาจจะไม่ได้ขโมยข้อมูลออกไปจากระบบ หรือทำลายข้อมูลสร้างความเสียหายโดยตรง แต่ทุกวันนี้เพียงแค่การทำให้ระบบไม่สามารถใช้งานได้โดยผู้ใช้ที่ถูกต้อง ก็สร้างความเสียหายได้มากมาย ระบบสำคัญอย่างสาธารณูปโภค เช่น ไฟฟ้า, โทรศัพท์, หรือน้ำประปา หากไม่สามารถใช้งานเพียงไม่กี่ชั่วโมง ความเสียหายอาจจะสูงจนคาดไม่ถึง ในโลกอินเทอร์เน็ต ธนาคารออนไลน์อาจจะถูกโจมตีจนกระทั่งไม่สามาถใช้งานได้สร้างความเสียหายให้กับลูกค้าของธนาคารและความน่าเชื่อถือของธนาคารเอง

ช่องโหว่ซอฟต์แวร์

ช่องโหว่ซอฟต์แวร์ที่เป็นข่าว มักเป็นช่องโหว่ที่ทำให้ข้อมูลเสียหาย หรือรั่วไหลกลับไปยังแฮกเกอร์ได้ แต่ในหลายครั้งช่องโหว่อาจจะอยู่ในส่วนที่ไม่มีข้อมูลสำคัญ หรือมีกระบวนการป้องกันทำให้แม้จะทำงานผิดพลาดแต่ก็ไม่พอให้แฮกเกอร์เข้ามารันโค้ดได้ตามใจชอบ หรือดึงข้อมูลกลับไป แต่ยังสามารถทำให้บริการล่มลงได้

ตัวอย่างของช่องโหว่เหล่านี้ เช่น ช่องโหว่แอพพลิเคชั่นอ่านเมลบนแอนดรอยด์ หากมีความผิดพลาดในข้อมูลอีเมลส่วนฟิลด์ Content-Disposition จะทำให้แอพพลิเคชั่นแครชไปทันทีที่ตัวแอพพยายามดาวน์โหลดอีเมล ผลของช่องโหว่นี้ทำให้แฮกเกอร์สามารถส่งอีเมลไปยังเหยื่อเพื่อให้เหยื่อไม่สามารถอ่านอีเมลได้

ช่องโหวในตัวแอพพลิเคชั่นอาจจะไม่ได้สร้างความเสียหายเป็นวงกว้างนัก แต่ในเซิร์ฟเวอร์ก็มีช่องโหว่เหล่านี้ได้เช่นกัน ตัวอย่างเช่น CVE-2014-9016 เป็นช่องโหว่ของ Drupal ที่รองรับรหัสผ่านที่ยาวมาก แต่กระบวนการตรวจสอบรหัสผ่านเหล่านี้กลับใช้หน่วยความจำและซีพียูที่สูงมาก ทำให้แฮกเกอร์สามารถใช้โปรแกรมล็อกอินจากเครื่องจำนวนไม่มากนัก แต่ทำให้เซิร์ฟเวอร์ล่มไปได้อย่างง่ายดาย

DoS พายุอินเทอร์เน็ต

กระบวนการโจมตีให้บริการไม่สามารถใช้งานมีความน่ากลัวสำคัญที่ไม่ได้ต้องการ "ช่องโหว่" ของซอฟต์แวร์เพื่อการโจมตีเสมอไป เนื่องจากการให้บริการทุกอย่างนั้นล้วนมีขีดจำกัดในตัวเอง กระบวนการทำให้บริการไม่สามารถให้บริการต่อไปได้จึงทำให้เซิร์ฟเวอร์ไม่สามารถให้บริการกับผู้ใช้จริงได้ เรียกว่า Denial of Service (DoS)

ภาพการประท้วง Occupy Wall Street เมื่อปี 2011 -ภาพโดย David Shankbone

การโจมตีแบบพื้นฐาน เช่น การเขียนสคริปต์ให้เปิดเว็บซ้ำไปเรื่อยๆ จนกว่าเซิร์ฟเวอร์จะไม่สามารถทำงานได้เป็นกระบวนการที่มีการใช้งานมานาน เจ้าของเซิร์ฟเวอร์เองก็มักจะทดสอบศักยภาพของเซิร์ฟเวอร์ด้วยแนวทางนี้เช่นกัน แม้จะทำได้ง่าย แต่การโจมตีแบบนี้ก็แก้ไขได้ง่าย ตัวเซิร์ฟเวอร์มักมีระบบป้องกันที่จะแบนหมายเลขไอพีต้นทางหากมีการเข้าใช้งานมากผิดปกติ

การโจมตีในช่วงหลังจึงจำเป็นต้องใช้หมายเลขไอพีจำนวนมาก แล้วนัดหมายการให้เข้าใช้บริการพร้อมๆ กัน จนเซิร์ฟเวอร์ล่ม กระบวนการนี้ทำให้เซิร์ฟเวอร์ป้องกันตัวได้ยาก เพราะไม่สามารถแบนหมายเลขไอพีใดไอพีหนึ่งออกไปได้ หากแบนไอพีจำนวนมากผู้ใช้จริงก็มักจะถูกแบนออกไปด้วยพร้อมๆ กัน การโจมตีเช่นนี้เรียกว่า Distributed Denial of Service (DDoS)

กระบวนการป้องกันการถูกโจมตีแบบ DDoS ต้องใช้เทคนิคขั้นสูง กระนั้นก็ยังมีความผิดพลาดได้เมื่อซอฟต์แวร์ตรวจสอบการโจมตีคาดการณ์ผิดว่าผู้ใช้ทั่วไปเป็นเครื่องที่เข้ามาโจมตีและบล็อคผู้ใช้ทั่วไปทำให้ใช้งานไม่ได้ บริการต่อต้านการโจมตีแบบ DDoS จึงมักเปิดช่องให้ผู้ที่ถูกบล็อค สามารถยืนยันตัวตนเพื่อใช้บริการต่อไปได้ เช่น บางครั้งเราอาจจะเข้าใช้งานกูเกิลแล้วพบว่ากูเกิลบอกให้เรายืนยันว่าเป็นมนุษย์ด้วยการกรอกช่อง Captcha

แผนภาพแสดงกระบวนการทำงานของ Botnet - ภาพโดย Tom-b

อย่างไรก็ดี DDoS เองมักมีค่าใช้จ่ายในการโจมตีที่แพงพอสมควร คนร้ายต้องวางมัลแวร์ไว้ในเครื่องเหยื่อจำนวนมาก เรียกว่า Botnet เพื่อให้รอรับคำสั่งโจมตีจากศูนย์กลาง กระบวนการเช่นนี้มักมีค่าใช้จ่าย โดยกลุ่มผู้สร้างมัลแวร์และควบคุม Botnet จะให้บริการโจมตีตามคำสั่ง หรือซื้อขายศูนย์กลางควบคุมกันในตลาดมืด ค่าใช้จ่ายนี้ทำให้เซิร์ฟเวอร์โดยทั่วไปไม่ได้ถูกโจมตีแบบ DDoS บ่อยนัก

การโจมตีอีกรูปแบบที่สำคัญคือการโจมตีแบบ Amplification ที่อาศัยกลไกการ "ปลอมไอพี" เป็นหลัก เนื่องจากมีบริการจำนวนมากในอินเทอร์เน็ตที่เปิดให้บริการเป็นสาธารณะ และผู้ให้บริการก็มักตอบกลับโดยไม่ได้ตรวจสอบอะไรมากนัก เช่น บริการ DNS, NTP และบริการอื่นๆ กระบวนการนี้คือผู้โจมตีจะอาศัยอยู่ใน ISP ที่ปล่อยให้มีการปลอมไอพีที่มาได้ แล้วปลอมไอพีเป็นเครื่องของเหยื่อ จากนั้นยิงคำร้องขอไปยังเซิร์ฟเวอร์ที่ให้บริการ ทั่วโลก

เนื่องจาก ข้อมูลตอบกลับมักมีขนาดใหญ่กว่าข้อมูลร้องขอมาก ผู้โจมตีจึงใช้แบนวิดท์ไม่มากนักในการส่งคำร้องขอไปยังเซิร์ฟเวอร์ทั่วโลก แต่เมื่อเซิร์ฟเวอร์เหล่านั้นตอบกลับไปยังเครื่องของเหยื่อที่ไปพร้อมๆ กัน ปริมาณข้อมูลที่ถูกส่งกลับไปจะมหาศาลจนกระทั่งเครื่องของเหยื่อไม่สามารถทำงานได้ หรือบางครั้งอาจจะล่มไปทั้งผู้ให้บริการอินเทอร์เน็ตเนื่องจากแบนวิดท์เต็ม

กระบวนการแก้ปัญหาเช่นนี้ต้องอาศัยความร่วมมือของ ISP จากนานาชาติ ติดไปกันเพื่อหาต้นตอของการโจมตี ทุกวันนี้ในวงการ ISP เองมีความพยายามกำหนดแนวทาง BCP38 เพื่อให้ทุก ISP รับผิดชอบร่วมกันแก้ปัญหาการปลอมไอพีต้นทาง

การดูแลบริการให้สามารถทำงานได้อย่างต่อเนื่องกลายเป็นประเด็นความมั่นคงปลอดภัยไซเบอร์ไปในทุกวันนี้ บริการต่างๆ ที่อาจจะต้องเตรียมมาตรการเพิ่มเติมในกรณีที่ถูกโจมตีเพื่อให้ "ให้บริการไม่ได้"

ส่งท้าย คนโสดในภาษาอังกฤษ ก็เรียกว่า available ครับ