ในงานแถลงข่าวรายงาน Security Intelligence Report (SIR) ของไมโครซอฟท์มีช่วงสัมภาษณ์ผู้บริหารที่มาแถลงข่าวโดยตรงนานพอสมควร โดยมีทั้งช่วงสัมภาษณ์รวมและแยกรายประเทศ ผมรวบรวมคำถามที่น่าสนใจมาเป็นบทความเดียวกันครับ

รายงานฉบันนี้บอกว่าแต่ละประเทศมีอัตราการถูกโจมตีต่างกันไป อะไรเป็นปัจจัยที่ทำให้แต่ละประเทศต่างกันเช่นนี้

ไมโครซอฟท์มองหาต้นเหตุของความแตกต่างของแต่ละประเทศ จากการสำรวจปัจจัยมากกว่า 80 ปัจจัย เราพบว่ามี 11 ปัจจัยที่มีความเชื่อมโยงกับอัตราการติดมัลแวร์สูง เช่น GDP ของประเทศ ปริมาณการใช้ซอฟต์แวร์เถื่อน

ปัจจัยหนึ่งที่ไมโครซอฟท์เองก็แปลกใจคือ "เสถียรภาพของรัฐบาล" ในช่วงที่อียิปต์มีความวุ่นวายในประเทศ ปริมาณมัลแวร์เพิ่มขึ้นไปพร้อมกัน เหตุผลที่เป็นเช่นนี้อาจเป็นเพราะช่วงเวลาปกติ รัฐบาลสามารถทำงานร่วมกับเอกชนได้อย่างมีประสิทธิภาพ สามารถแจ้งเตือนแล้วแก้ไขปัญหาได้ แต่ในช่วงที่วุ่นวาย กระบวนการนี้อาจทำงานได้ไม่ดี

ทำไมไมโครซอฟท์จึงตัดสินใจปล่อยอัพเดต Internet Explorer บน Windows XP ทั้งที่เพิ่งประกาศหยุดซัพพอร์ตไป

บั๊กนี้เกิดขึ้นหลังจากวันหยุดซัพพอร์ตเพียงไม่ถึงสัปดาห์ เราพิจารณาแล้วจึงตัดสินใจปล่อยแพตซ์นี้ออกไป

ประเด็นนี้ Adrienne Hall หัวหน้าของผมเขียนบล็อกอธิบายไว้อย่างละเอียด ว่าทำไมเราจึงตัดสินใจเช่นนี้

แต่ถ้าคุณดูอัพเดตรอบล่าสุดของไมโครซอฟท์ คุณจะไม่เห็นอัพเดตสำหรับ Windows XP แล้ว การที่เราปล่อยอัพเดตให้ครั้งนั้นไม่ได้แปลว่าคุณควรอยู่กับ Windows XP ต่อไป

Windows XP ยังมีผู้ใช้อยู่จำนวนมากแม้หมดอายุซัพพอร์ตไปแล้ว คำถามคือไมโครซอฟท์เรียนรู้อะไรจากเรื่องนี้ และจะมีมาตรการอะไรให้ไม่เกิดเหตุการณ์เดิมซ้ำกับ Windows Vista หรือ Windows 7

แนวทางของเราคือแสดงแผนการหยุดซัพพอร์ตอย่างโปร่งใส เพื่อให้ลูกค้าสามารถพิจารณาได้ว่าจะเตรียมอัพเดตเมื่อใด

มีข่าวว่าบางประเทศ (เช่น จีน) สามารถซื้ออัพเดตจากไมโครซอฟท์ต่อไปได้ ประเทศอื่นๆ จะสามารถทำแบบเดียวกันบ้างได้ไหม

รายงานพวกนั้นเป็นรายงานที่ไม่ถูกต้อง การซัพพอร์ต Windows XP นั้นจบไปแล้ว เรามีข้อตกลงกับองค์กรขนาดใหญ่บางองค์กรที่ไม่สามารถอัพเกรดซอฟต์แวร์ของพวกเขาไปเป็นวินโดวส์รุ่นอื่นได้ อาจเป็นเพราะผู้ผลิตซอฟต์แวร์ที่พัฒนาขึ้นมาไม่อยู่แล้วหรือเหตุผลอื่นๆ ในกรณีแบบนั้น เรามีข้อตกลงว่าจะอัพเดตให้เฉพาะบั๊กที่จัดอยู่ในระดับวิกฤติ (critical) เท่านั้น

ไมโครซอฟท์หยุดอัพเดต Windows XP แล้ว ในอนาคตตัวเลขในรายงาน SIR ของ Windows XP จะแม่นยำไหม

ไมโครซอฟท์ยังคงปล่อย Malicious Software Removal Tool ที่ใช้เก็บข้อมูลในรายงานนี้ต่อไปจนถึงวันที่ 14 กรกฎาคม 2014 และอัพเดต Microsoft Security Essential ต่อไป ทำให้เรายังเก็บข้อมูลต่อไปได้

อย่างไรก็ดีการที่ไมโครซอฟต์อัพเดตซอฟต์แวร์เหล่านั้นให้ไม่ได้แปลว่ายังใช้งาน Windows XP ได้อย่างปลอดภัย เมื่อมีช่องโหว่ที่ไม่ได้แพตซ์ ซอฟต์แวร์ป้องกันอาจจะช่วยหยุดภัยที่เข้ามาได้บ้าง หากมันรู้จักซอฟต์แวร์ที่อาศัยช่องโหว่ แต่หากไม่รู้จักก็ไม่สามารถหยุดภัยไว้ได้

มัลแวร์อย่าง Rotbrow สามารถติดคอมพิวเตอร์จำนวนมากก่อนจะเริ่มแสดงภัยออกมาในภายหลัง มีแนวโน้มว่าจะมีมัลแวร์อื่นเอาแบบอย่างเพิ่มขึ้นไหม

เราไม่เห็นแนวโน้มแบบนั้น แนวโน้มที่เราเห็นคือการใช้ช่องโหว่ที่ยังไม่มีการประกาศเพื่อโจมตีเป้าหมายอย่างเจาะจง

แฮกเกอร์เหล่านี้เมื่อพบช่องโหว่พวกเขาเริ่มเก็บช่องโหว่ได้กับตัวมากขึ้น เพื่อวันหนึ่งเขาจะใช้กับเป้าหมายที่ทำเงินได้อย่างชัดเจน

ไมโครซอฟท์ติดตามพฤติกรรมนี้มาตั้งแต่ปี 2012 พบว่าในภัยระดับ "ร้ายแรง" ที่ถูกรายงานทั้งหมด 16 ครั้ง มีถึง 9 ครั้งที่ถูกพบเพราะมีการใช้งานกับเป้าหมายอย่างเจาะจงไปแล้ว

โดยทั่วไปแล้ว การโจมตีแบบนี้เรียกกันว่า "advanced persistent threats" แต่ไมโครซอฟท์เรียกว่า "targeted attacks by determined adversaries" เพราะในความเป็นจริงแล้วภัยแบบนี้ไม่ได้ ก้าวหน้ากว่าภัยอื่นๆ แต่อย่างใด แต่แฮกเกอร์เหล่านี้เลือกจะใช้ช่องโหว่เพื่อเจาะเข้าไปยังเป้าหมายโดยใช้ช่องโหว่ที่ค้นพบไว้ก่อนแทนที่จะเปิดเผยช่องโหว่ หรือนำข่องโหว่ไปขายหรือไปแจก