• Save
Cyber threats 2013
Upcoming SlideShare
Loading in...5
×
 

Cyber threats 2013

on

  • 100 views

บทความ Cyber Threats 2013

บทความ Cyber Threats 2013
โดย ThaiCERT

Statistics

Views

Total Views
100
Views on SlideShare
99
Embed Views
1

Actions

Likes
2
Downloads
0
Comments
0

1 Embed 1

https://www.facebook.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Cyber threats 2013 Cyber threats 2013 Document Transcript

  • ชื่อเรื่อง บทความ Cyber Threats 2013 โดย ThaiCERT เรียบเรียงโดย นายชัยชนะ มิตรพันธ์์ นายสรณันท์ จิวะสุรัตน์ นายธงชัย แสงศิริ นายไพชยนต์ วิมุกตะนันทน์ นายพรพรหม ประภากิตติกุล นายเสฏฐวุฒิ แสนนาม นายเจษฎา ช้างสีสังข์ นายวิศัลย์ ประสงค์สุข นายธงชัย ศิลปวรางกูร นายแสนชัย ฐิโนทัย นางสาวโชติกา สินโน นางสาวกรรณิกา ภัทรวิศิษฏ์สัณธ์ นายณัฐโชติ ดุสิตานนท์ นายนวรัตน์ พัฒโนทัย นางสาวนันทพร เหมะจันทร นายรณนเรศร์ เรืองจินดา และทีมไทยเซิร์ต พิมพ์ครั้งที่ 1 พฤษภาคม 2557 พิมพ์จำ�นวน 3,000 เล่ม ราคา 300 บาท สงวนลิขสิทธิ์ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2537 จัดพิมพ์และเผยแพร่โดย ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) (Thailand Computer Emergency Response Team : ThaiCERT) สำ�นักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) Electronic Transactions Development Agency (Public Organization : ETDA) ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา 5 ธันวาคม 2550 เลขที่ 120 หมู่ 3 อาคารรัฐประศาสนภักดี (อาคาร B) ชั้น 7 ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพฯ 10210 โทรศัพท์ : 0-2142-2483 | โทรสาร : 0-2143-8071 อีเมล : office@thaicert.or.th เว็บไซต์ไทยเซิร์ต : www.thaicert.or.th เว็บไซต์ สพธอ. : www.etda.or.th เว็บไซต์กระทรวงฯ : www.mict.go.th
  • ทุกวันนี้ เทคโนโลยีสารสนเทศ เข้ามามีบทบาท ในชีวิตของทุกคน ไม่ว่าจะในการทำ�งาน การ ติดต่อสื่อสาร การทำ�ธุรกรรมทางการเงิน หรือ แม้แต่ความบันเทิง แต่ขณะที่เทคโนโลยีเจริญ ก้าวหน้าขึ้น ผู้ไม่หวังดีที่ใช้ช่องโหว่ของเทคโนโลยี ในการหาผลประโยชน์ก็มีจำ�นวนมากขึ้น และมี การพัฒนาเทคนิควิธีการใหม่ๆ ตามติดกับความ ก้าวหน้าของเทคโนโลยีเช่นกัน การโจมตีระบบ เครือข่ายของหน่วยงานทั้งของรัฐและเอกชนใน หลายๆ ประเทศ โดยเฉพาะหน่วยความที่มีความ สำ�คัญในระดับสูง หรือหน่วยงานด้านเทคโนโลยี สารสนเทศ จัดว่าเป็นเหตุการณ์ที่สามารถเกิด ขึ้นได้ทุกเวลา ดังจะเห็นได้จากสำ�นักข่าวต่างๆ ที่นำ�เสนอเหตุการณ์ในลักษณะนี้อย่างต่อเนื่อง อย่างไรก็ตาม สถานการณ์ภัยคุกคามทาง ไซเบอร์ ไม่ได้จำ�กัดอยู่แต่ในกลุ่มที่เกี่ยวข้องกับ เทคโนโลยี หรือหน่วยงานสำ�คัญๆ เท่านั้น แต่ รวมไปถึงผู้ใช้งานทั่วไปที่ใช้อินเทอร์เน็ตในด้าน ที่ไม่เกี่ยวข้องกับเทคโนโลยีโดยตรง เช่น กรณี เว็บไซต์ยอดนิยมที่ถูกเจาะระบบเพื่อฝังโปรแกรม ไม่พึงประสงค์ ทำ�ให้ผู้เข้าชมเว็บไซต์ตกเป็นเหยื่อ ของโปรแกรมไม่พึงประสงค์นั้น ซึ่งหวังผลใน ด้านการขโมยเงินจากบัญชีธนาคารออนไลน์ ที่ มีการพบในเดือนมิถุนายน 2556 เป็นตัวอย่าง ของกรณีการโจมตีที่มุ่งเป้าหมายไปที่ผู้ใช้ทั่วไป ซึ่งอาศัยความจริงที่ว่าผู้ใช้งานจำ�นวนไม่น้อย ยังขาดความรู้ความเข้าใจที่เพียงพอในการ ป้องกันตัวเองจากการโจมตีเหล่านี้ นอกจากนี้ ผู้ใช้งานส่วนมากที่ไม่ได้อยู่ในสายเทคโนโลยี มักจะไม่ได้ติดตามหรือไม่มีเวลาติดตามข้อมูล ข่าวสารเกี่ยวกับภัยคุกคามทางไซเบอร์ และการ ขาดความตระหนักในด้านความมั่นคงปลอดภัย ในการใช้อินเทอร์เน็ต หรือความสำ�คัญของการ รักษาความลับของข้อมูลส่วนบุคคล ไทยเซิร์ต (ThaiCERT) ภายใต้ ETDA นอกจากมีภารกิจหลักในการรับแจ้ง และ ประสานงานเพื่อรับมือภัยคุกคามทางไซเบอร์ แล้ว ยังมีภารกิจในการเผยแพร่ความรู้
  • และสร้างความตระหนักในการป้องกันและแก้ไข ปัญหาภัยคุกคามทางไซเบอร์แก่สาธารณชน โดยทั่วไป โดยมุ่งหวังจะให้เป็นแหล่งเผยแพร่ ข้อมูลการเตือนภัยการโจมตี หรือช่องโหว่ที่มี ผู้ค้นพบใหม่ในเวลานั้น และแนะนำ�แนวทางแก้ไข ที่ได้ผลสำ�หรับผู้ได้รับผลกระทบ โดยนำ�เสนอใน รูปแบบภาษาไทย ที่มีความครบถ้วน ถูกต้อง และทันต่อเวลา ทีมงานไทยเซิร์ตได้ติดตามข่าวสารจากแหล่งข่าว ด้านความมั่นคงปลอดภัยระบบคอมพิวเตอร์ จากทั่วโลก ศึกษาและและกลั่นกรองเฉพาะ เหตุการณ์ที่อาจส่งผลกระทบต่อผู้ใช้งานใน ประเทศไทย โดยมีการตรวจสอบยืนยัน และ วิเคราะห์เพิ่มเติมก่อนที่จะเผยแพร่ทางเว็บไซต์ รวมถึงการเผยแพร่บทความด้านความมั่นคง ปลอดภัยสารสนเทศที่น่าสนใจ และมีประโยชน์ ต่อผู้ใช้งานในทุกระดับ หนังสือเล่มนี้รวบรวมการแจ้งเตือนและบทความ ที่เผยแพร่บนเว็บไทยเซิร์ต ในปี 2013 โดยหวัง เป็นอย่างยิ่งว่าผู้อ่านจะได้รับความรู้เพิ่มเติม ตื่นตัว รวมทั้งตระหนักถึงผลกระทบและความ สำ�คัญของการรักษาความมั่นคงปลอดภัย สารสนเทศ จนสามารถป้องกันและแก้ไข ภัยคุกคามเบื้องต้นได้อย่างเหมาะสม และ เป็นการเสริมสร้างความเข้มแข็งให้แก่สังคม ไซเบอร์ของประเทศไทยได้อีกทางหนึ่ง สุรางคณา วายุภาพ ผู้อำนวยการสำนักงานพัฒนาธุรกรรม ทางอิเล็กทรอนิกส์ (องค์การมหาชน)
  • บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ ‘CDwnBindInfo’ ใน Internet Explorer 6-7-8 (CVE-2012-4792) ติดตั้งแพทช์โดยด่วน........14 ระวังภัย ช่องโหว่ใน Java 7 Update 10 (CVE-2013-0422)................................................................................................................ 16 ระวังภัย ช่องโหว่ Buffer Overflow ใน Foxit Reader 5.4.4.1128 (npFoxitReaderPlugin.dll)................................ 18 ระวังภัย ช่องโหว่ DoS และ Remote code execution ในโพรโทคอล Universal Plug-and-Play (UPnP)......... 20 ระวังภัย มัลแวร์ใน Android หลอกขโมยเงินจากธนาคาร.................................................................................................................................24 ระวังภัย ช่องโหว่ในเครื่องพิมพ์ HP ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำ�คัญได้้3� 30 ระวังภัย ช่องโหว่ 0-day ใน MongoDB ผู้ไม่หวังดีสามารถสั่งประมวลผลคำ�สั่งอันตรายได้3� 32 ระวังภัย ช่องโหว่ในเกม Battlefield Play4Free ผู้ไม่หวังดีสามารถควบคุมเครื่องของเหยื่อได้..............................................34 ระวังภัย ช่องโหว่ในแอป Viber ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึงข้อมูลในมือถือระบบปฏิบัติการ Android.............................................................................................................................................. 38 ระวังภัย มัลแวร์ใน Android ในรูปแบบของแอนตี้ไวรัส AVG ปลอม..........................................................................................................40 ระวังภัย เว็บไซต์สำ�นักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ดาวน์โหลดแอนตี้ไวรัสปลอม4� 46 ระวังภัย ช่องโหว่ใน Samsung Galaxy S3 และ Galaxy S4 เปิดให้แอปพลิเคชันใดๆ สามารถสร้าง SMS ปลอม หรือแอบส่ง SMS ได้................................................................................................................................................................................................................54
  • ระวังภัย Firefox for Android มีช่องโหว่ดาวน์โหลดแอปพลิเคชันอันตรายมาติดตั้งทันทีที่เข้าเว็บไซต์................................58 ระวังภัย แอปพลิเคชัน iMessage Chat ใน Google Play Store อาจขโมยข้อมูลสำ�คัญ6� 60 ระวังภัย ช่องโหว่ใน Internet Explorer ทุกเวอร์ชัน Microsoft ออกแพทช์แก้ไขแล้ว ติดตั้งโดยด่วน (CVE-2013-3893)........................................................................................................................................................................... 64 เว็บไซต์ Adobe ถูกแฮก ข้อมูลผู้ใช้และซอร์สโค้ดของโปรแกรมหลุดสู่อินเทอร์เน็ต..............................................................................66 ระวังภัย Microsoft แจ้งเตือนช่องโหว่ 0-Day TIFF Codec ในโปรแกรม Microsoft Office (CVE-2013-3906).....................................................................................................................................68 ระวังภัย Microsoft แจ้งเตือนช่องโหว่ 0-Day ใน Windows XP/2003 โจมตีผ่าน Adobe Reader........................70 ระวังภัย ช่องโหว่ในคำ�สั่ง sudo ผู้ไม่หวังดีสามารถได้สิทธิ์ของ root โดยไม่ต้องใส่รหัสผ่าน7� 74 ระวังภัย ช่องโหว่ 0-day ใน Internet Explorer 8 (CVE-2013-1347) หน่วยงานในสหรัฐถูกโจมตีแล้ว................ 76 ระวังภัย ช่องโหว่ “Master Key” ในระบบปฏิบัติการ Android................................................................................................................ 78 ระวังภัย ช่องโหว่ใน Joomla ผู้ไม่หวังดีสามารถอัพโหลดไฟล์อันตรายใดๆ เข้ามาในระบบได้............................................................88
  • บทความทั่วไป การใช้ PGP ด้วย Command line......................................................................................................................................................................92 มหากาฬแฮกกิ้งกับดิจิทัลไลฟ์ที่สูญสิ้นของนายแมท โฮนาน........................................................................................................................104 Facebook Community Standards กับการโพสต์บนเฟชบุ๊ค.........................................................................................................110 เปิดใช้ 2-Step Authentication ใน Google แล้วมีปัญหาใช้แอปบนมือถือ ทำ�ไงดี !!1� 114 Secure delete: ลบไฟล์อย่างไรให้ปลอดภัยจากการกู้คืน.......................................................................................................................118 iPhone iPad iPod ติดมัลแวร์ภายใน 1 นาที...............................................................................................................................................124 Blackhat USA 2013................................................................................................................................................................................................132 ATM Skimmer และข้อควรระวังในการใช้งานตู้ ATM................................................................................................................................142 ไทยเซิร์ตพบช่องโหว่ของแอปพลิเคชัน LINE แฮกเกอร์สามารถดักรับข้อมูลบนเครือข่าย LAN/WiFi และอ่านบทสนทนาได้ทันที ผู้ใช้งานควรอัพเดตเวอร์ชันใหม่........................................................................................................................150 เช็ครูปก่อนแชร์....................................................................................................................................................................................................................162 Digital Forensics 101 (ตอนที่ 1)......................................................................................................................................................................166 แนวโน้มภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์ ปี 2557.............................................................................................................172 Digital Forensics 101 (ตอนที่ 2)....................................................................................................................................................................178
  • บทความเชิงเทคนิค Nmap .............................................................................................................................................................................................................................188 DDoS: DNS Amplification Attack.............................................................................................................................................................. 196 Nmap Scripting Engine....................................................................................................................................................................................206 Full disk encryption และ Cold boot attack...................................................................................................................................214 เสริมความมั่นคงปลอดภัยให้กับซอฟต์แวร์ด้วย EMET Version 4...............................................................................................222 Global Surveillance: ตอนที่ 1........................................................................................................................................................................228 นักวิจัยพบว่าแอปบน iOS สามารถถูก Hijack ดักแก้ไขข้อมูลระหว่างทางได้.............................................................................232 Security Information Manager (1)..........................................................................................................................................................236 Global Surveillance: ตอนที่ 2......................................................................................................................................................................240 badBIOS มัลแวร์ที่ส่งข้อมูลผ่านคลื่นเสียง เรื่องจริงหรือโกหก?.....................................................................................................244 CryptoLocker: เรื่องเก่าที่ถูกเอามาเล่าใหม่.....................................................................................................................................................250 การวิเคราะห์มัลแวร์เบื้องต้น ตอนที่ 1.................................................................................................................................................................258 URL Obfuscation....................................................................................................................................................................................................264 Security Information Manager (2)........................................................................................................................................................270 Risk on LINE................................................................................................................................................................................................................274
  • CYBER THREATS 2013 13 บทความ ประเภท แจ้งเตือนและ ข้อแนะนำ�
  • 14 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ ‘CDWNBINDINFO’ ใน INTERNET EXPLORER 6-7-8 (CVE-2012- 4792) ติดตั้งแพทช์โดยด่วน วันที่ประกาศ : 4 มกราคม 2556 ปรับปรุงล่าสุด : 15 มกราคม 2556 เรื่อง : ระวังภัย ช่องโหว่ ‘CDwnBindInfo’ ใน Internet Explorer 6-7-8 (CVE-2012-4792) ติดตั้งแพทช์โดยด่วน ประเภทภัยคุกคาม : Intrusion, Malicious Code ข้อมูลทั่วไป เมื่อวันที่ 29 ธันวาคม 2556 Microsoft ได้ออกประกาศแจ้งเตือน Security Advisory หมายเลข 2794220 [1] เรื่อง ช่องโหว่ในโปรแกรม Internet Explorer เวอร์ชัน 6, 7 และ 8 โดยช่องโหว่ดังกล่าวนี้เกิดจากข้อผิดพลาด Use-after-free (เรียกใช้งานข้อมูลที่ถูกลบออกจาก หน่วยความจำ� ไปแล้ว) ช่องโหว่ดังกล่าวนี้มีหมายเลข CVE-2012-4792 [2] ผลกระทบ ในการโจมตี ผู้ไม่หวังดีจะสร้างเว็บไซต์ที่มีคำ� สั่งอันตราย หรือเจาะระบบเว็บไซต์ของผู้อื่น แล้วฝัง คำ� สั่งอันตรายไว้ เมื่อผู้ใช้เข้าใช้งานเว็บไซต์นั้นด้วยโปรแกรม Internet Explorer คำ� สั่งอันตราย ดังกล่าวจะทำ� ให้เกิดความผิดพลาดในการเรียกใช้งานหน่วยความจำ� และส่งผลให้ผู้ไม่หวังดีสามารถสั่ง ประมวลผลคำ� สั่งอันตรายจากระยะไกล (Remote Code Execution) โดยได้สิทธิ์ในระดับเดียวกัน กับบัญชีผู้ใช้ที่ใช้งานโปรแกรม Internet Explorer [3]
  • CYBER THREATS 2013 15 ระบบที่ได้รับผลกระทบ 1. ระบบปฏิบัติการ Windows ที่ติดตั้งโปรแกรม Internet Explorer เวอร์ชัน 6, 7 และ 8 2. Microsoft แจ้งว่าโปรแกรม Internet Explorer ใน Windows Server 2003, Windows Server 2008, และ Windows Server 2008 R2 ที่ตั้งค่าเริ่มต้นให้ทำ� งานในโหมด Enhanced Security Configuration ช่วยลดผลกระทบจากการโจมตีผ่านช่องโหว่นี้ได้ ข้อแนะนำ� ในการป้องกันและแก้ไข ช่องโหว่นี้ไม่มีผลกระทบกับผู้ที่ใช้งาน Internet Explorer เวอร์ชัน 9 และ 10 ดังนั้นเพื่อ ความปลอดภัยควรอัพเกรดโปรแกรม Internet Explorer ให้เป็นเวอร์ชันดังกล่าว เนื่องจากผลกระทบที่เกิดจากการโจมตีนี้ ทำ� ให้ผู้ไม่หวังดีได้รับสิทธิ์เดียวกันกับบัญชีผู้ใช้ที่ใช้งาน โปรแกรม Internet Explorer ดังนั้นผู้ใช้ควรใช้งานบัญชีผู้ใช้ที่เป็น Limited User เนื่องจากจะได้ รับผลกระทบน้อยกว่า Administrator เมื่อวันที่ 14 มกราคม 2556 Microsoft ได้เผยแพร่แพทช์ MS13-008 เพื่อแก้ไขช่องโหว่ ดังกล่าวแล้ว โดยได้แนะนำ� ให้ผู้ใช้งานติดตั้งแพทช์ดังกล่าวอย่างเร่งด่วนที่สุด เนื่องจากช่องโหว่นี้ถูกจัด ให้มีความรุนแรงอยู่ในระดับ Critical และพบว่าเริ่มมีการโจมตีผ่านช่องโหว่นี้อย่างแพร่หลายแล้ว โดย สามารถติดตั้งได้ผ่านทาง Windows Update และดาวน์โหลดได้จากเว็บไซต์ของ Microsoft [4] อ้างอิง 1. http://technet.microsoft.com/en-us/security/advisory/2794220 2. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4792 3. http://blogs.technet.com/b/srd/archive/2012/12/29/new-vulnerability-affecting-internet- explorer-8-users.aspx 4. http://support.microsoft.com/kb/2799329
  • 16 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ใน JAVA 7 UPDATE 10 (CVE-2013-0422) วันที่ประกาศ : 11 มกราคม 2556 ปรับปรุงล่าสุด : 15 มกราคม 2556 เรื่อง : ระวังภัย ช่องโหว่ใน Java 7 Update 10 (CVE-2013-0422) ประเภทภัยคุกคาม : Malicious Code ข้อมูลทั่วไป เมื่อเดือนมกราคม นักวิจัยด้านความมั่นคงปลอดภัยที่ใช้ชื่อว่า Kafeine ได้ค้นพบมัลแวร์ที่ โจมตีผ่านช่องโหว่ของโปรแกรม Java เวอร์ชัน 7 Update 10 หรือเก่ากว่า และได้พบว่าซอฟต์แวร์ ประเภท Exploit Kit หลายตัว เช่น Metasploit, Redkit หรือ Blackhole ได้เพิ่มความสามารถ ในการโจมตีผ่านช่องโหว่ดังกล่าวนี้เข้าไปในโปรแกรมของตนเองแล้ว [1] ช่องโหว่ดังกล่าวนี้มีหมายเลข CVE-2013-0422 [2] บริษัท FireEye แจ้งว่าได้ตรวจสอบพบการโจมตีผ่านช่องโหว่นี้ตั้งแต่เมื่อวันที่ 2 มกราคม 2556 แล้ว โดยพบว่ามีการฝังโค้ดที่ใช้ในการโจมตีไว้ในเว็บไซต์ประเภทแชร์ไฟล์ [3] ในเบื้องต้นทาง FireEye พบว่าช่องโหว่ดังกล่าวนี้ถูกใช้เป็นช่องทางในการโจมตี Java 7 Update 10 หรือตË่ำกว่าใน Java เวอร์ชัน Windows แต่คาดว่าช่องโหว่นี้สามารถใช้ในการโจมตีระบบปฏิบัติการอื่นๆ ได้ด้วย US-CERT ได้วิเคราะห์ว่าช่องโหว่ดังกล่าวเกิดจากข้อผิดพลาดในฟังก์ชัน setSecurityManager() ของระบบ Security Manager ใน Java Runtime Environment (JRE) มีผลทำ� ให้แอปพลิเคชันสามารถได้รับสิทธิ์การทำ� งานเกินปกติ (Privilege Escalation) [4] ผลกระทบ ช่องโหว่ดังกล่าวนี้สามารถโจมตีได้ด้วยการฝังโค้ดอันตรายไว้ในเว็บไซต์ ซึ่งหากผู้ใช้งานเข้าชม เว็บไซต์ดังกล่าว อาจถูกติดตั้งมัลแวร์ หรืออาจถูกสั่งให้ประมวลผลคำ� สั่งอันตรายจากระยะไกลได้ (Remote Code Execution)
  • CYBER THREATS 2013 17 ระบบที่ได้รับผลกระทบ Java 7 Update 10 หรือตË่ำกว่า ในเวอร์ชัน Windows ข้อแนะนำ� ในการป้องกันและแก้ไข Oracle ได้ออก Java 7 Update 11 เพื่อแก้ไขปัญหานี้แล้ว ผู้ใช้สามารถดาวน์โหลด ได้จากเว็บไซต์ของ Oracle [5] โดยอัพเดต เวอร์ชันดังกล่าวนี้ได้ปิดช่องโหว่ CVE-2012-3174 ด้วย อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความ มั่นคงปลอดภัยหลายฝ่ายให้ความเห็นว่าถึงแม้ จะมีอัพเดตออกมาแล้ว แต่ Java ยังคงมี ความเสี่ยงอยู่ และแนะนำ� ให้ปิดการทำ� งานของ Java เมื่อไม่มีความจำ� เป็นต้องใช้งาน [6] โดย ตั้งแต่ Java 7 Update 10 เป็นต้นไป ทาง Oracle ได้เพิ่มคุณสมบัติการปิดการทำ� งาน ของ Java ในเว็บเบราว์เซอร์แล้ว ซึ่งผู้ใช้ สามารถศึกษาวิธีการปิดการทำ� งานได้จาก เว็บไซต์ของ Java [7] อ้างอิง 1. http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable. html 2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0422 3. http://blog.fireeye.com/research/2013/01/happy-new-year-from-new-java-zero-day. html 4. http://www.kb.cert.org/vuls/id/625617 5. http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html 6. http://www.reuters.com/article/2013/01/14/us-java-oracle-security-idUSBRE90D10P20130114 7. http://www.java.com/en/download/help/disable_browser.xml
  • 18 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ BUFFER OVERFLOW ใน FOXIT READER 5.4.4.1128 (NPFOXITREADERPLUGIN.DLL) วันที่ประกาศ : 22 มกราคม 2556 ปรับปรุงล่าสุด : 22 มกราคม 2556 เรื่อง : ระวังภัย ช่องโหว่ Buffer Overflow ใน Foxit Reader 5.4.4.1128 (npFoxitReaderPlugin.dll) ประเภทภัยคุกคาม : Malicious Code ข้อมูลทั่วไป เมื่อเดือนมกราคม นักวิจัยด้านความมั่นคงปลอดภัยชาวอิตาลีชื่อ Andrea Micalizzi ได้ ค้นพบช่องโหว่ของโปรแกรม Foxit Reader ซึ่งเป็นโปรแกรมที่ใช้สำ� หรับอ่านไฟล์ PDF โดยช่องโหว่ที่ พบนี้อยู่ในไฟล์ npFoxitReaderPlugin.dll ซึ่งเป็นปลั๊กอินสำ� หรับเปิดไฟล์ .pdf ในเว็บเบราว์เซอร์ โดยเมื่อผู้ใช้เปิดไฟล์ .pdf จาก URL ที่มีความยาวมากๆ จะส่งผลให้ปลั๊กอิน ดังกล่าวเกิดอาการ Buffer Overflow [1] ตัวอย่างหน้าจอการทำ� งานผิดพลาด เป็นดังรูปที่ 1 รูปที่ 1 หน้าจอของเว็บ เบราว์เซอร์เมื่อปลั๊กอินเกิดอาการ Buffer Overflow (ที่มา : Naked Security [1])
  • CYBER THREATS 2013 19 ผลกระทบ ผู้ไม่หวังดีสามารถสั่งประมวลผลคำ� สั่งอันตรายบนเครื่องคอมพิวเตอร์ ของผู้ใช้ได้ [2] ระบบที่ได้รับผลกระทบ Foxit Reader เวอร์ชั่น 5.4.4.1128 หรือเก่ากว่า (ปลั๊กอิน npFoxitReaderPlugin.dll เวอร์ชัน 2.2.1.530) [3] ข้อแนะนำ� ในการป้องกันและแก้ไข Foxit Software ได้เผยแพร่โปรแกรม Foxit Reader เวอร์ชัน 5.4.5 เพื่อแก้ไขปัญหานี้แล้ว [4] ผู้ใช้สามารถดาวน์โหลดได้จากเว็บไซต์ของ Foxit Software [5] อ้างอิง 1. http://nakedsecurity.sophos.com/2013/01/11/vulnerability-in-foxit-pdf-plugin-for-firefox 2. http://secunia.com/advisories/51733/ 3. http://threatpost.com/en_us/blogs/vulnerability-foxit-reader-allows-attackers-remotely- execute-code-011013 4. http://www.foxitsoftware.com/support/security_bulletins.php#FRD-18 5. http://www.foxitsoftware.com/downloads/index.php
  • 20 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ DOS และ REMOTE CODE EXECUTION ใน โพรโทคอล UNIVERSAL PLUG-AND-PLAY (UPNP) วันที่ประกาศ : 31 มกราคม 2556 ปรับปรุงล่าสุด : 31 มกราคม 2556 เรื่อง : ระวังภัย ช่องโหว่ DoS และ Remote code execution ในโพรโทคอล Universal Plug-and-Play (UPnP) ประเภทภัยคุกคาม : Denial-of-Service, Malicious Code ข้อมูลทั่วไป เมื่อวันที่ 29 มกราคม 2556 นักวิจัยจากบริษัท Rapid 7 ได้ค้นพบช่องโหว่ของโพรโทคอล Universal Plug-and-Play (UPnP) ซึ่งเป็นโพรโทคอลที่ใช้ในระบบเครือข่าย สำ� หรับให้อุปกรณ์ที่ อยู่ในระบบสามารถเชื่อมต่อ และค้นหาเครื่องอื่นๆ ในเครือข่าย เพื่อควบคุมแชร์ไฟล์ สั่งพิมพ์เอกสาร หรือ เข้าถึงทรัพยากรอื่นๆ ที่ถูกแชร์ไว้ได้ โดยส่วนมาก โพรโทคอล UPnP จะเปิดใช้งาน (Enable) ไว้แล้ว ตั้งแต่แรกในอุปกรณ์ที่สามารถเชื่อมต่อกับระบบเครือข่ายได้ ไม่ว่าจะเป็นคอมพิวเตอร์ เราท์เตอร์ เครื่องพิมพ์ หรือแม้กระทั่ง Smart TV ตัวอย่างการใช้งานโพรโทคอล UPnP เช่น โปรแกรมประเภท Bittorrent จะใช้ UPnP ในการทำ� Port Forward จากเราท์เตอร์ เพื่อให้สามารถ แลกเปลี่ยนข้อมูลกับผู้ใช้โปรแกรม Bittorrent อื่นๆ ได้ หรือหน้าจอ “Add Device” ของระบบปฏิบัติการ Windows ที่จะใช้ UPnP ในการตรวจสอบหาอุปกรณ์ที่อยู่ในระบบเครือข่าย เช่น เครื่องพิมพ์ เพื่อที่จะเข้าไปจัดการกับอุปกรณ์ดังกล่าว เช่น ตั้งค่าการทำ� งาน หรือ เคลียร์รายการเอกสารที่สั่งพิมพ์อยู่ เป็นต้น [1]
  • CYBER THREATS 2013 21 ผลกระทบ ช่องโหว่ที่ค้นพบนี้เกิดจากข้อผิดพลาด Buffer overflow ในไลบรารี libupnp ซึ่งเป็น Portable SDK ที่นำ� ไปใช้ในอุปกรณ์ที่รองรับระบบ UPnP เช่น เราท์เตอร์สำ� หรับเชื่อมต่อ อินเทอร์เน็ต ADSL ที่ใช้งานตามบ้าน หรือ WiFi Access Point โดยทาง Rapid 7 ได้จัด ผลกระทบออกเป็น 3 ประเด็นดังนี้ • ช่องโหว่ใน UPnP discovery protocol (SSDP) ส่งผลให้ผู้ไม่หวังดีสามารถปิดระบบ การทำ� งานของ UPnP หรือสั่งประมวลผลคำ� สั่งอันตรายได้ • ช่องโหว่ใน UPnP control interface (SOAP) เปิดเผยข้อมูลที่เกี่ยวข้องกับระบบ เครือข่ายภายใน (Internal network) ให้กับบุคคลภายนอก • ช่องโหว่ใน UPnP HTTP และ SOAP ส่งผลให้ผู้ไม่หวังดีสามารถปิดระบบการทำ� งานของ UPnP หรือสั่งประมวลผลคำ� สั่งอันตรายได้ นักวิจัยจากบริษัท Rapid 7 ได้ทำ� การทดลองแล้วพบว่ามีอุปกรณ์กว่า 80 ล้านเครื่องทั่วโลกที่ ตอบรับ UPnP discovery request ที่มาจากอินเทอร์เน็ต และจากการตรวจสอบพบว่ามีอุปกรณ์ ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวอยู่มาก ถึง 40-50 ล้านเครื่องทั่วโลก [2] โดยมีข้อมูล เพิ่มเติมดังรูปที่ 1 ระบบที่ได้รับผลกระทบ หน่วยงาน CERT.org ได้ติดต่อผู้ผลิตอุปกรณ์เครือข่ายและระบบปฏิบัติการคอมพิวเตอร์เพื่อ ขอข้อมูลระบบที่ได้รับผลกระทบ โดยปัจจุบัน (ณ วันที่ประกาศแจ้งเตือนนี้) มีผู้ผลิตที่ยืนยันแล้วว่า ระบบมีช่องโหว่ คือ • Cisco Systems, Inc. • Fujitsu Technology • Huawei Technologies • Linksys • NEC Corporation • Siemens • Sony Corporation และผู้ผลิตที่ยืนยันแล้วว่าระบบไม่ได้รับผลกระทบคือ Ubiquiti Networks ในส่วนของระบบอื่นๆ ที่ใช้งาน UPnP ยังอยู่ระหว่างการประสานงานและตรวจสอบข้อมูล ผู้ใช้งานระบบดังกล่าวควรตรวจสอบ และติดตามข้อมูลของช่องโหว่จากเว็บไซต์ของ CERT.org และ เว็บไซต์ของผู้ผลิตอย่างสมË่ำเสมอ [3]
  • 22 บทความแจ้งเตือนและข้อแนะนำ� รูปที่ 1 ข้อมูลของระบบที่ได้รับ ผลกระทบจากช่องโหว่ UPnP (ที่มา : Rapid 7 [1]) ข้อแนะนำ� ในการป้องกันและแก้ไข ผู้พัฒนา libupnp ได้เผย แพร่ไลบรารีเวอร์ชัน 1.6.18 ซึ่งแก้ไข ปัญหาดังกล่าวแล้ว [4] ระหว่างที่ รอผู้ผลิตนำ� ไลบรารีดังกล่าวไป ปรับปรุงระบบ ผู้ใช้งานควร ป้องกันปัญหาที่อาจจะเกิดขึ้นโดย ตรวจสอบ และปิดการทำ� งานของ ระบบ UPnP ในอุปกรณ์ต่างๆ หรือตั้งค่า Firewall โดยไม่ อนุญาตให้มีการเข้าถึงพอร์ต 1900/udp จากโฮสต์ที่น่าสงสัย ทาง Rapid 7 ได้เผยแพร่ ซอฟต์แวร์ ScanNow for UPnP ซึ่งเป็นซอฟต์แวร์ที่ใช้สำ� หรับการสแกนอุปกรณ์ในระบบเครือข่ายเพื่อตรวจสอบ ว่ามีช่องโหว่ UPnP อยู่หรือไม่ โดยซอฟต์แวร์ดังกล่าวทำ� งานได้เฉพาะบนระบบปฏิบัติการ Windows ผู้ใช้งาน สามารถดาวน์โหลดได้ฟรีจากเว็บไซต์ของ Rapid 7 [5] ตัวอย่างหน้าจอของโปรแกรม ScanNow for UPnP เป็นดังรูปที่ 2 รูปที่ 2 ตัวอย่างหน้าจอของ โปรแกรม ScanNow for UPnP (ที่มา : Rapid 7 [1])
  • CYBER THREATS 2013 23 สำ� หรับผู้ใช้ระบบปฏิบัติการ Mac OS X หรือ Linux ทาง Rapid 7 แนะนำ� ให้ใช้โปรแกรม Metasploit [6] และเรียกใช้โมดูลที่ชื่อ UPnP SSDP M-SEARCH Information Discovery สำ� หรับสแกนช่องโหว่ในระบบเครือข่าย สำ� หรับผู้ใช้งานอินเทอร์เน็ตตามบ้าน ทาง Rapid 7 ได้เปิดเว็บไซต์สำ� หรับให้บริการสแกน เราท์เตอร์ที่ใช้งานอยู่เพื่อตรวจสอบว่า อุปกรณ์ดังกล่าวยอมรับ UPnP discovery request จาก อินเทอร์เน็ตหรือไม่ โดยสามารถตรวจสอบได้จากเว็บไซต์ http://upnp-check.rapid7.com/ [7] ตัวอย่างหน้าเว็บไซต์ดังกล่าวเป็นดังรูปที่ 3 อ้างอิง 1. https://community.rapid7.com/community/infosec/blog/2013/01/29/security-flaws-in-universal- plug-and-play-unplug-dont-play 2. https://community.rapid7.com/servlet/JiveServlet/download/2150-1-16596/ SecurityFlawsUPnP.pdf 3. http://www.kb.cert.org/vuls/id/922681 4. http://pupnp.sourceforge.net/ 5. http://www.rapid7.com/resources/free-security-software-downloads/universal-plug-and- play-jan-2013.jsp 6. http://www.rapid7.com/products/metasploit/download.jsp 7. http://upnp-check.rapid7.com/ รูปที่ 3 ตัวอย่างหน้าจอของ โปรแกรม ScanNow for UPnP (ที่มา : Rapid 7 [1])
  • 24 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย มัลแวร์ใน ANDROID หลอกขโมยเงินจากธนาคาร วันที่ประกาศ : 8 มีนาคม 2556 ปรับปรุงล่าสุด : 8 มีนาคม 2556 เรื่อง : ระวังภัย มัลแวร์ใน Android หลอกขโมยเงินจากธนาคาร ประเภทภัยคุกคาม : Malicious Code ข้อมูลทั่วไป จากที่มีการเผยแพร่ข้อมูลในงาน CDIC2013 ที่จัดขึ้นเมื่อวันที่ 27 - 28 กุมภาพันธ์ 2556 เรื่องมัลแวร์ในระบบปฏิบัติการ Android หลอกขโมยเงิน จากธนาคาร [1] ทางไทยเซิร์ตได้ตรวจสอบเว็บไซต์ที่เผยแพร่มัลแวร์ และได้ทำ� การ วิเคราะห์มัลแวร์ดังกล่าว ได้ผลสรุปดังนี้ ในการโจมตี ผู้ไม่หวังดีได้ส่ง SMS มายังโทรศัพท์มือถือของเหยื่อ ข้อความใน SMS ระบุลิงก์สำ� หรับดาวน์โหลดไฟล์ .apk ซึ่งเป็นแอปพลิเคชัน ของระบบปฏิบัติการ Android โดยลิงก์ที่ให้ดาวน์โหลดไฟล์ดังกล่าวคือ [2] [3] • http://scb.<สงวนข้อมูล>.info/scbeasy.apk • File Name: scbeasy.apk • File size: 235093 bytes • MD5: 1108B16034254CA989B84A48E8E03D78 • SHA1: D504E50CB4560B7E8AF3E9D868975D3A83E8EEB3 • http://kasikorn.<สงวนข้อมูล>.info/ibanking.apk • File Name: ibanking.apk • File size: 266157 bytes • MD5: 06806E271792E7E521B28AD713601F2E • SHA1: 76CE639C5FFEA7B25455A219011B28E36A6458E6
  • รูปที่ 1 เปรียบเทียบโครงสร้างของไฟล์ ibanking. apk และ scbeasy.apk CYBER THREATS 2013 25 หากผู้ใช้เข้าไปยังหน้าแรกของเว็บไซต์ ที่เผยแพร่มัลแวร์โดยไม่ระบุพาธของ ไฟล์ .apk จะพบว่าหน้าเว็บไซต์ดังกล่าว Redirect ไปยังหน้าเว็บไซต์จริงของ ธนาคาร ซึ่งผู้ไม่หวังดีใช้วิธีนี้ในการ หลอกลวงเหยื่อให้เชื่อว่าเว็บไซต์ดังกล่าวนี้ เป็นเว็บไซต์จริงของธนาคาร ทีมไทยเซิร์ตได้ตรวจสอบข้อมูลที่อยู่ ในไฟล์ .apk ทั้งสองไฟล์ พบว่ามี โครงสร้างภายในเหมือนกัน ดังรูปที่ 1 โดยมีส่วนที่แตกต่าง คือ ไฟล์กราฟิกที่อยู่ ในไดเรกทอรี drawable จะเป็นโลโก้ของ ธนาคารที่ถูกผู้ไม่หวังดีแอบอ้าง เมื่อตรวจสอบข้อมูลในไฟล์ AndroidManifest.xml ของทั้งสองไฟล์ พบว่าใช้ชื่อ package เหมือนกันคือ “com.fake.site” ดังรูปที่ 2 รูปที่ 2 ข้อมูลในไฟล์ AndroidManifest.xml
  • 26 บทความแจ้งเตือนและข้อแนะนำ� ไฟล์ AndroidManifest.xml เป็นไฟล์ที่ใช้กำ� หนดคุณสมบัติของแอปพลิเคชัน รวมถึงกำ� หนด สิทธิ์ (Permission) ที่แอปพลิเคชันนั้นสามารถเข้าถึงได้ [4] ซึ่งจากข้อมูลดังกล่าว พบว่าทั้งสอง แอปพลิเคชันมีความสามารถในการเขียนข้อมูลลงใน External storage (เช่น SD Card) และรับส่ง SMS อย่างไรก็ตาม ทั้งสองแอปพลิเคชันนี้ไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้ เมื่อตรวจสอบโค้ดของทั้งสองแอปพลิเคชัน พบว่ามีฟังก์ชันในการส่ง SMS ไปยังหมายเลข โทรศัพท์ที่อยู่ในประเทศรัสเซีย ดังรูปที่ 3 รูปที่ 3 หมายเลขโทรศัพท์ที่จะส่ง SMS ไป และพบ String ที่เป็นรหัส Unicode ซึ่งสามารถแปลงกลับได้เป็นข้อความภาษาไทยว่า “รหัส ผ่านไม่ตรงกัน” ดังรูปที่ 4 รูปที่ 4 String ที่พบในแอปพลิเคชัน เมื่อทดลองติดตั้งทั้งสองแอปพลิเคชันลงในโปรแกรม Android emulator พบไอคอนของ แอปพลิเคชันที่ชื่อ certificate ดังรูปที่ 5 รูปที่ 5 ไอคอนของแอปพลิเคชันที่ถูกติดตั้ง
  • CYBER THREATS 2013 27 เมื่อเปิดเข้าไปยังแอปพลิเคชันดังกล่าว จะพบหน้าจอให้ใส่รหัสผ่านสำ�หรับเข้าใช้งานบัญชีธนาคาร ออนไลน์ ดังรูปที่ 6 หากใส่รหัสผ่านทั้งสองช่องไม่ตรงกัน จะปรากฏข้อความว่า “รหัสผ่านไม่ตรงกัน” เมื่อป้อนรหัสผ่าน และกดปุ่ม “ต่อ” จะพบหน้าจอดังรูปที่ 7 รูปที่ 6 ตัวอย่างหน้าจอแอปพลิเคชันปลอมของธนาคารออนไลน์ จากการใช้คำ� สั่ง logcat [5] เพื่อบันทึก Log ของสิ่งที่เกิดขึ้นในระบบ พบว่ามีการส่ง SMS ออกไปยังหมายเลขโทรศัพท์ตามที่ปรากฏอยู่ในโค้ดของแอปพลิเคชัน ดังรูปที่ 8 รูปที่ 7 ตัวอย่างหน้าจอหลังกรอกข้อมูลรหัสผ่าน
  • 28 บทความแจ้งเตือนและข้อแนะนำ� รูปที่ 8 Log แสดงการส่ง SMS ผลกระทบ ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวอาจถูกหลอกให้กรอกข้อมูลที่เกี่ยวข้องกับบัญชีธนาคาร ออนไลน์ แล้วถูกผู้ไม่หวังดีขโมยบัญชีผู้ใช้ ซึ่งอาจนำ� ไปสู่การขโมยเงินจากธนาคารในภายหลังได้ ระบบที่ได้รับผลกระทบ ระบบปฏิบัติการ Android ที่ติดตั้งแอปพลิเคชันปลอมของธนาคารออนไลน์ ข้อแนะนำ� ในการป้องกันและแก้ไข จะเห็นได้ว่า การโจมตีดังกล่าวนี้เกิดจากการที่ผู้ไม่หวังดีหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชัน หลอกลวงที่อ้างว่าสามารถเข้าใช้งานบัญชีธนาคารออนไลน์ได้ โดยแหล่งที่มาของแอปพลิเคชันนั้นไม่ได้มา จากเว็บไซต์จริงของธนาคาร และเป็นการติดตั้งแอปพลิเคชันจากแหล่งซอฟต์แวร์ภายนอกที่ไม่ใช่ Google Play Store การป้องกันตัวไม่ให้ตกเป็นเหยื่อจากการโจมตีด้วยวิธีดังกล่าว ผู้ใช้งานควรพิจารณาแอปพลิเคชัน ที่จะติดตั้งลงในโทรศัพท์มือถืออย่างรอบคอบ ไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่น่าเชื่อถือ รวมถึงตรวจสอบการร้องขอสิทธิ์ (Permission) ของแอปพลิเคชันนั้นๆ ว่ามีความเหมาะสมหรือไม่ อย่างไรก็ตาม ปัญหามัลแวร์ในระบบปฏิบัติการ Android ไม่ใช่เรื่องใหม่ ทางไทยเซิร์ตได้เคยนำ� เสนอวิธีการตรวจสอบและป้องกันปัญหามัลแวร์ รวมถึงวิธีการใช้งานโทรศัพท์มือถือให้ปลอดภัย ผู้อ่านสามารถศึกษาเพิ่มเติมได้จากบทความ • แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม [6] • รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android [7] • รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android ตอนที่ 2 [8]
  • CYBER THREATS 2013 29 อ้างอิง 1. http://www.acisonline.net/ 2. https://twitter.com/PrinyaACIS/status/307711776873668608 3. https://www.scbeasy.com/v1.4/site/presignon/mtrl/File/SCB%20Easy%20Net_%20Ex. Phishing%20SMS.pdf 4. http://docs.xamarin.com/guides/android/advanced_topics/working_with_ androidmanifest.xml 5. http://developer.android.com/tools/help/logcat.html 6. http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html 7. http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html 8. http://www.thaicert.or.th/papers/technical/2012/pa2012te011.html
  • 30 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ ในเครื่องพิมพ์ HP ผู้ไม่หวังดีสามารถ เข้าถึงข้อมูลสำ� คัญได้ วันที่ประกาศ : 13 มีนาคม 2556 ปรับปรุงล่าสุด : 13 มีนาคม 2556 เรื่อง : ระวังภัย ช่องโหว่ในเครื่องพิมพ์ HP ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำ� คัญได้ ประเภทภัยคุกคาม : Intrusion, Denial of Service (DoS) ข้อมูลทั่วไป วันที่ 11 มีนาคม 2556 หน่วยงาน CERT และบริษัท HP ได้ประกาศแจ้งเตือนช่องโหว่ที่พบ ในเครื่องพิมพ์ HP LaserJet Professional โดยเป็นช่องโหว่ในระบบที่ใช้สำ�หรับเชื่อมต่อเข้ามา debug เครื่องพิมพ์ผ่านโพรโทคอล telnet [1] ช่องโหว่ดังกล่าวนี้มีหมายเลข CVE-2012-5215 [2] ผลกระทบ ผู้ไม่หวังดีสามารถเชื่อมต่อเข้ามายังเครื่องพิมพ์ผ่านโพรโทคอล telnet แล้วสามารถเห็นข้อมูล สำ� คัญ หรืออาจทำ� ให้เครื่องพิมพ์ไม่สามารถทำ� งานต่อได้
  • CYBER THREATS 2013 31 ระบบที่ได้รับผลกระทบ • HP LaserJet Pro P1102w ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130213 • HP LaserJet Pro P1606dn ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130213 • HP LaserJet Pro M1212nf MFP ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211 • HP LaserJet Pro M1213nf MFP ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211 • HP LaserJet Pro M1214nfh MFP ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211 • HP LaserJet Pro M1216nfh Multifunction Printer ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211 • HP LaserJet Pro M1217nfw Multifunction Printer ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211 • HP HotSpot LaserJet Pro M1218nfs MFP ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211 • HP LaserJet Pro M1219nf MFP ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130211 • HP LaserJet Pro CP1025nw ที่ใช้เฟิร์มแวร์เวอร์ชันเก่ากว่า 20130212 ข้อแนะนำ� ในการป้องกันและแก้ไข ทาง HP ได้เผยแพร่เฟิร์มแวร์สำ� หรับแก้ไขช่องโหว่ในเครื่องพิมพ์รุ่นที่มีปัญหาแล้ว ผู้ใช้งานควร ตรวจสอบเวอร์ชันของเฟิร์มแวร์ที่ใช้งานอยู่ หากพบว่าเป็นเวอร์ชันที่มีช่องโหว่ควรทำ� การติดตั้ง เฟิร์มแวร์รุ่นล่าสุดจากเว็บไซต์ของ HP [3] วิธีการตรวจสอบเวอร์ชันของเฟิร์มแวร์อาจมีความ แตกต่างกันในเครื่องพิมพ์แต่ละรุ่น ซึ่งผู้ใช้สามารถศึกษาวิธีการตรวจสอบได้จากคู่มือการใช้งานของ เครื่องพิมพ์รุ่นนั้นๆ อ้างอิง 1. http://www.kb.cert.org/vuls/id/782451 2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5215 3. https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03684249
  • 32 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ 0-DAY ใน MONGODB ผู้ไม่หวังดีสามารถสั่ง ประมวลผลคำ� สั่งอันตรายได้ วันที่ประกาศ : 26 มีนาคม 2556 ปรับปรุงล่าสุด : 26 มีนาคม 2556 เรื่อง : ระวังภัย ช่องโหว่ 0-day ใน MongoDB ผู้ไม่หวังดีสามารถสั่งประมวลผล คำ� สั่งอันตรายได้ ประเภทภัยคุกคาม : Intrusion ข้อมูลทั่วไป MongoDB เป็นโปรแกรมระบบฐานข้อมูลแบบ NoSQL ที่แจกจ่ายให้ใช้งานในลักษณะ Open-source โดยมีผู้พัฒนา คือ บริษัท 10gen โปรแกรม MongoDB มีการนำ�ไปใช้ เป็นระบบฐานข้อมูลในหลายๆ บริการ เช่น MTV Network, Foursquare เป็นต้น [1] เมื่อวันที่ 24 มีนาคม 2556 นักวิจัยจากบริษัท SCRT ได้ค้นพบ ช่องโหว่ของ MongoDB โดยช่องโหว่ที่พบนี้อยู่ในฟังก์ชัน NativeHelper ที่ใช้ ในการประมวลผล Javascript ฟังก์ชันดังกล่าวนี้จะรับข้อมูล Javascript เข้าไปประมวลผลโดยไม่มีการตรวจสอบ ทำ� ให้ผู้ไม่หวังดีสามารถส่งคำ� สั่ง อันตรายเข้าไปประมวลผลที่ฝั่งเซิร์ฟเวอร์ได้ นักวิจัยได้แจ้งช่องโหว่ที่ค้นพบนี้ ไปยังบริษัท 10gen แล้ว แต่ยังไม่มีการตอบกลับจากทาง 10gen [2] อย่างไรก็ตามในโปรแกรม MongoDB เวอร์ชัน 2.4 เป็นต้นมา ได้ เปลี่ยนเอนจินที่ใช้ในการประมวลผล Javascript จาก SpiderMonkey มา เป็น Google V8 และได้ตัดฟังก์ชัน nativeHelper ออกไปแล้ว จึงไม่ได้รับ ผลกระทบจากช่องโหว่นี้ แต่ใน MongoDB เวอร์ชัน 2.2.4 ซึ่งเป็นอัพเดต ล่าสุดของเวอร์ชัน 2.2.x ยังไม่ได้มีการแก้ไขปัญหานี้แต่อย่างใด [3] นักวิจัยแจ้งว่าจะมีการเผยแพร่โมดูลสำ� หรับใช้ในการโจมตีผ่านช่องโหว่ดังกล่าว นี้ลงในโปรแกรม Metasploit ในอีกไม่นาน
  • CYBER THREATS 2013 33 ผลกระทบ ผู้ไม่หวังดีสามารถส่งคำ� สั่งอันตรายเข้ามา ประมวลผลที่เครื่องเซิร์ฟเวอร์ หรืออาจส่งคำ� สั่งเข้ามา เพื่อให้เซิร์ฟเวอร์ไม่สามารถให้บริการต่อได้ ระบบที่ได้รับผลกระทบ MongoDB เวอร์ชัน 2.2.4 และตË่ำกว่า ทั้งเวอร์ชัน 32 บิตและ 64 บิต ข้อแนะนำ� ในการป้องกันและแก้ไข สำ� หรับผู้ที่ใช้งานโปรแกรม MongoDB เวอร์ชัน ที่ได้รับผลกระทบ เนื่องจากยังไม่มีการชี้แจง หรือการแก้ไขจากทางผู้พัฒนา หากเป็นไปได้ควรอัพเกรด โปรแกรม MongoDB ให้เป็นเวอร์ชัน 2.4 ซึ่งเป็นเวอร์ชันที่ได้รับการแก้ไขปัญหาดังกล่าวแล้ว แต่หาก ทำ� ไม่ได้ควรตรวจสอบข้อมูลจากเว็บไซต์ของผู้พัฒนาอยู่อย่างสมË่ำเสมอ และหากมีการเผยแพร่ ซอฟต์แวร์เวอร์ชันที่แก้ไขปัญหานี้แล้วควรทำ� การอัพเดตโดยเร็วที่สุด อ้างอิง 1. http://www.mongodb.org/ 2. http://blog.scrt.ch/2013/03/24/mongodb-0-day-ssji-to-rce/ 3. http://www.h-online.com/security/news/item/MongoDB-Exploit-on-the-net- Metasploit-in-the-making-1829690.html
  • 34 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ใน เกม BATTLEFIELD PLAY4FREE ผู้ไม่หวังดี สามารถควบคุมเครื่อง ของเหยื่อได้ วันที่ประกาศ : 26 มีนาคม 2556 ปรับปรุงล่าสุด : 26 มีนาคม 2556 เรื่อง : ระวังภัย ช่องโหว่ในเกม Battlefield Play4Free ผู้ไม่หวังดีสามารถควบคุม เครื่องของเหยื่อได้ ประเภทภัยคุกคาม : Intrusion ข้อมูลทั่วไป เกม Battlefield Play4Free เป็นเกมออนไลน์ที่เปิดให้เล่นได้ฟรี โดยมีผู้ให้บริการคือบริษัท EA ปัจจุบันมีผู้เล่นเกมนี้อยู่ประมาณ 1 ล้านคนทั่วโลก [1] เมื่อวันที่ 22 มีนาคม 2556 นักวิจัยจากบริษัท ReVuln ได้ค้นพบช่องโหว่ในระบบการทำ� งาน ของเกม Battlefield Play4Free ซึ่งช่องโหว่นี้มีผลทำ� ให้ผู้ไม่หวังดีสามารถควบคุมเครื่องของเหยื่อ ได้ผ่านการเปิดหน้าเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่ โดยช่องโหว่ดังกล่าวนี้มีการเผยแพร่ในงาน Black Hat Europe 2013 การทำ� งานของเกม Battlefield Play4Free ประกอบด้วย 3 ส่วนหลักๆ คือ 1. Browser plugin เป็นปลั๊กอินที่ติดตั้งในเบราว์เซอร์เพื่อเรียกใช้งานโปรแกรมเกม 2. Game updater เป็นระบบที่ใช้สำ� หรับตรวจสอบการอัพเดตเวอร์ชันของเกม และเปิดให้ เข้าเล่นเกมเมื่อตรวจสอบพบว่าเป็นเวอร์ชันล่าสุดแล้ว 3. Game เป็นตัวโปรแกรมเกมที่ใช้ในการเล่น เมื่อผู้เล่นกดเข้าเล่นเกม Battlefield Play4Free จากหน้าเว็บไซต์ โปรแกรม Browser
  • CYBER THREATS 2013 35 Plugin ที่ติดตั้งอยู่จะเรียกใช้งาน โปรแกรม Game updater และ เรียกใช้งานโปรแกรม Game ตามลำ� ดับ ตัวอย่างหน้าจอการ เข้าเล่นเกมเป็นดังรูปที่ 1 รูปที่ 1 ตัวอย่างหน้าจอการเข้า เล่นเกม Battlefield Play4Free สาเหตุของ ช่องโหว่ เกิดจาก การที่ระบบ Game updater รับค่าตัวแปรจากภายนอกเข้ามาประมวลผล ก่อนที่จะเรียกใช้งานโปรแกรม Game โดยไม่ได้มีการตรวจสอบ ความถูกต้องของตัวแปรที่ได้รับเข้ามา ส่งผลให้ผู้ไม่หวังดีสามารถปลอมแปลงค่าของ ตัวแปรดังกล่าวให้เป็นคำ� สั่งอันตรายใดๆ ก็ได้ [2] ทางบริษัท ReVuln ได้เผยแพร่วิดีโอสาธิตการโจมตีผ่านช่องโหว่ดังกล่าว โดยได้จำ� ลองหน้า เว็บไซต์ที่มีโค้ดสำ� หรับโจมตีช่องโหว่ เมื่อผู้ใช้เปิดเว็บเบราว์เซอร์ที่ติดตั้งปลั๊กอินของเกม Battlefield Play4Free เข้าไปยังเว็บไซต์ดังกล่าว จะมีการเรียกใช้งานโปรแกรม Game updater และประมวล ผลคำ� สั่งอันตรายทันที ซึ่งผลลัพธ์ของการโจมตีคือสามารถติดตั้งไฟล์ที่เปิดช่องทางให้ผู้ไม่หวังดีเข้ามา ควบคุมเครื่องของเหยื่อได้ [3] อย่างไรก็ตาม ช่องโหว่ดังกล่าวนี้สามารถทำ� งานได้เฉพาะใน Windows XP และ Windows Server 2003 เท่านั้น และทางบริษัท ReVuln ยังไม่ได้เผยแพร่ตัวอย่างโค้ดที่ใช้สำ� หรับการโจมตีผ่าน ช่องโหว่ดังกล่าวออกสู่สาธารณะ มีเพียงการเผยแพร่ข้อมูลรายละเอียดของช่องโหว่และตัวอย่างวิดีโอ สาธิตการโจมตีเท่านั้น ผลกระทบ ผู้ที่ติดตั้งเกม Battlefile Play4Free อาจถูกผู้ไม่หวังดีติดตั้งโปรแกรมเพื่อใช้ในการเชื่อมต่อ เข้ามาควบคุมการทำ� งานของเครื่องคอมพิวเตอร์ ระบบที่ได้รับผลกระทบ ผู้ใช้งานระบบปฏิบัติการ Windows XP หรือ Windows Server 2003 ที่ติดตั้งเกม Battlefield Play4Free
  • 36 บทความแจ้งเตือนและข้อแนะนำ� ข้อแนะนำ� ในการป้องกันและแก้ไข ยังไม่มีข้อมูลรายละเอียดความเสียหาย หรือวิธีการแก้ไขจากบริษัท EA ในเรื่องของช่องโหว่นี้ ผู้ที่ติดตั้งโปรแกรม Battlefiled Play4Free อาจจำ� เป็นต้องปิดการทำ� งานของปลั๊กอิน Battlefield Play4Free ในเว็บเบราว์เซอร์ และเปิดใช้งานในกรณีที่ต้องการเล่นเกมเท่านั้น ดังรูปที่ 2 รูปที่ 2 การปิดใช้งานปลั๊กอิน Battlefield Play4Free อ้างอิง 1. http://battlefield.play4free.com/en/forum/showthread.php?tid=115716 2. http://revuln.com/files/ReVuln_Battlefield_play4free.pdf 3. http://vimeo.com/61364094
  • CYBER THREATS 2013 37
  • 38 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ใน แอปVIBERผู้ไม่หวังดี สามารถผ่าน LOCK SCREEN และเข้าถึงข้อมูลในมือถือ ระบบปฏิบัติการ ANDROID วันที่ประกาศ : 30 เมษายน 2556 ปรับปรุงล่าสุด : 30 เมษายน 2556 เรื่อง : ระวังภัย ช่องโหว่ในแอป Viber ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึง ข้อมูลในมือถือระบบปฏิบัติการ Android ประเภทภัยคุกคาม : Intrusion ข้อมูลทั่วไป เมื่อวันที่ 23 เมษายน 2556 Viber เป็นโปรแกรมแชทบนมือถือที่มีความสามารถส่งข้อความ หรือโทรศัพท์ฟรี คล้ายกับแอปพลิเคชัน LINE ที่ได้รับความนิยมสูง โดยมีผู้ใช้มากกว่า 50,000,000 คน และสามารถติดตั้งบนระบบปฏิบัติการที่ได้รับความนิยมอย่าง Android, iOS และ Windows Phone [1] บริษัท Bkav ได้ค้นพบช่องโหว่ในแอปพลิเคชัน Viber รุ่นที่ใช้งานกับระบบปฏิบัติการ Andriod ซึ่งช่องโหว่นี้มีผลทำ� ให้ผู้ไม่หวังดีผ่านการป้องกัน lock screen และสามารถเข้าถึงข้อมูล ในมือถือบนระบบปฏิบัติการ Android โดยมีการเผยแพร่รายละเอียดของช่องโหว่ผ่านเว็บไซต์ของ บริษัท ในการเข้าถึงข้อมูลมือถือผ่านช่องโหว่นี้ ผู้ไม่หวังดีต้องสามารถเข้าถึงเครื่องมือถือของเหยื่อ ทางกายภาพ เช่น เหยื่ออาจจะลืมมือถือไว้บนโต๊ะ ซึ่งระบบปฏิบัติการบนมือถือนั้นต้องเป็น Android และมีการติดตั้งแอปพลิเคชัน Viber และผู้ไม่หวังดีต้องรู้เบอร์มือถือของเหยื่อเพื่อที่จะส่งข้อความไปยัง Viber บนเครื่องของเหยื่อ โดยเครื่องของเหยื่อไม่จำ� เป็นต้องมี contact ของผู้ไม่หวังดีใน contact list แต่อย่างใด จากนั้นผู้ไม่หวังดีอาศัยความผิดพลาดของแอปพลิเคชันในส่วนของการแจ้งเตือน เมื่อ ได้รับข้อความ ซึ่งปกติจะมีลักษณะดังรูปที่ 1 ทำ� ให้สามารถผ่าน lock screen ได้โดยอาศัยเงื่อนไข บางประการ ดังรายละเอียดที่ระบุในเว็บไซต์ของผู้ค้นพบช่องโหว่นี้ [2]
  • CYBER THREATS 2013 39 ผลกระทบ ผู้ไม่หวังดีสามารถผ่าน lock screen และเข้าถึง ข้อมูลบนมือถือระบบปฏิบัติการ Android ได้ ระบบที่ได้รับผลกระทบ ผู้ใช้งานมือถือระบบปฏิบัติการ Android ที่ติดตั้ง แอปพลิเคชัน Viber ข้อแนะนำ� ในการป้องกันและแก้ไข ยังไม่มีวิธีการแก้ไขจาก Viber ในเรื่องของช่องโหว่ นี้ ผู้ที่ติดตั้ง Viber ควรเก็บมือถือไว้กับตัว และไม่ควร ให้คนอื่นยืม และทำ� การอัพเดต Viber เพื่อปิดช่องโหว่ เมื่อมีการปล่อยอัพเดตในอนาคต อ้างอิง 1. http://www.viber.com 2. http://www.bkav.com/top-news/-/view_ content/content/46264/critical-flaw-in-viber-allows- full-access-to-android-smartphones-bypassing- lock-screen รูปที่ 1 แสดงการแจ้งเตือน เมื่อได้รับข้อความของ Viber
  • 40 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย มัลแวร์ใน ANDROID ในรูปแบบของแอนตี้ไวรัส AVG ปลอม วันที่ประกาศ : 12 มิถุนายน 2556 ปรับปรุงล่าสุด : 17 มิถุนายน 2556 เรื่อง : ระวังภัย มัลแวร์ใน Android ในรูปแบบของ แอนตี้ไวรัส AVG ปลอม ประเภทภัยคุกคาม : Malicious Code ข้อมูลทั่วไป เมื่อเดือนมิถุนายน ไทยเซิร์ตได้รับรายงานมัลแวร์ที่ทำ� งานบนระบบปฏิบัติการ Android เผยแพร่อยู่บนอินเทอร์เน็ต ในการโจมตีผู้ไม่ประสงค์ดีจะหลอกผู้ใช้งานอินเทอร์เน็ตให้เปิดหน้าเว็บไซต์ ธนาคารปลอม ซึ่งในหน้าเว็บไซต์ดังกล่าวจะมีการปรับแต่งให้เสมือนว่าเป็นหน้าของเว็บไซต์จริงทั้งหมด รวมถึงมีการแจ้งเตือนให้ผู้ใช้งานดาวน์โหลดแอปพลิเคชันแอนตี้ไวรัสที่ชื่อว่า AVG ได้ฟรี แอปพลิเคชัน ดังกล่าวเป็นแอปพลิเคชันปลอมที่ผู้ไม่ประสงค์ดีสร้างขึ้นมาเลียนแบบแอปพลิเคชันแอนตี้ไวรัสของ AVG และมีวัตถุประสงค์เพื่อขโมยข้อมูล SMS บนโทรศัพท์มือถือของผู้ใช้งานที่ติดตั้งแอปพลิเคชันดังกล่าว • http://avg.<สงวนข้อมูล>.mobi/avg.apk • File Name: avg.apk • File size: 279,115 bytes • MD5: d232f20d95f97147c36ec246c8a140a6 • SHA1: 9b165adf118e957ecc50c063ca5bd0013cb9fe2a ทีมไทยเซิร์ตได้ตรวจสอบข้อมูลต่างๆ ของแอปพลิเคชันที่อยู่ในไฟล์ .apk โดยวิธีการ Reverse Engineering พบว่ามีโครงสร้างซอร์สโค้ด ดังรูปที่ 1
  • CYBER THREATS 2013 41 ไฟล์ AndroidManifest.xml เป็นไฟล์ที่ใช้กำ� หนด คุณสมบัติของแอปพลิเคชัน รวมถึงกำ� หนดสิทธิ์ (Permission) ที่แอปพลิเคชันนั้นสามารถเข้าถึงได้ ซึ่งพบ ว่าแอปพลิเคชันดังกล่าวมีความสามารถในการอ่าน เขียน และส่ง SMS อย่างไรก็ตาม ไม่พบว่าแอปพลิเคชันนี้มีสิทธิ์ ในการเชื่อมต่ออินเทอร์เน็ตได้ ดังรูปที่ 2 รูปที่ 1 แสดงโครงสร้างของไฟล์ avg.apk รูปที่ 2 ข้อมูลจากไฟล์ AndroidManifest.xml เมื่อตรวจสอบซอร์สโค้ดของแอปพลิเคชัน พบว่ามีฟังก์ชันในการส่ง SMS ไปยังหมายเลข โทรศัพท์ที่อยู่ในประเทศอังกฤษ (+447624803598) ดังรูปที่ 3 รูปที่ 3 แสดงฟังก์ชันที่แสดงให้เห็นว่ามีการตั้งค่าและมีการส่ง SMS ไปยังหมายเลข +447624803598
  • 42 บทความแจ้งเตือนและข้อแนะนำ� เมื่อทดลองติดตั้งแอปพลิเคชันลงในโปรแกรม โทรศัพท์มือถือที่ใช้งานระบบปฏิบัติการ Android พบไอคอนของแอปพลิเคชันที่ชื่อ AVG AntiVirus ดังรูปที่ 4 เมื่อเปิดเข้าไปยังแอปพลิเคชันดังกล่าว จะพบ หน้าจอเป็นรูปโลโก้แอนตี้ไวรัส และมีลักษณะเป็น ช่องกรอกข้อมูลพร้อมหมายเลขรายละเอียด “777390927” แต่จากการตรวจสอบพบว่าเป็น เพียงรูปโลโก้และไม่สามารถแก้ไขข้อมูลหรือทำ� อะไร ได้ เมื่อทดสอบกดที่ปุ่ม OK พบว่าแอปพลิเคชันจะ ปิดตัวลงโดยอัตโนมัติ รวมถึงจากการวิเคราะห์ ซอร์สโค้ดร่วมกับการทดสอบจริงพบว่ามีการ ซ่อนไอคอนของแอปพลิเคชันภายหลังจากการรีบู๊ต หรือปิดเครื่อง ซึ่งจุดประสงค์คาดว่าต้องการ อำ� พรางการทำ� งานของแอปพลิเคชันดังกล่าว จากการตรวจสอบเพิ่มเติม ทางไทยเซิร์ตพบ ความสามารถในการสั่งการและตอบสนองการสั่ง การจากเครื่องที่เป็น C&C (Command & Control) โดยทำ� ผ่าน SMS ตัวอย่างหน้าจอการ โต้ตอบกับ C&C เป็นดังรูปที่ 6 ซึ่งสามารถ อธิบายการทำ� งานได้ดังนี้ 1. เครื่องที่เป็น C&C คือเครื่อง iPhone มีหมายเลขโทรศัพท์คือ +66819xxxxxx 2. เครื่องที่ตกเป็นเหยื่อ คือเครื่อง Android มีหมายเลขโทรศัพท์คือ 083xxxxxxx 3. เครื่อง C&C ส่ง SMS ไปที่เครื่องเหยื่อ โดย มีข้อความว่า “set admin +66819xxxxxx” เพื่อกำ� หนดให้เครื่องของ เหยื่อรับคำ� สั่งจากเครื่องที่มีหมายเลข โทรศัพท์ +66819xxxxxx 4. เครื่องของเหยื่อตอบกลับมาด้วยข้อความ “yes we are” รูปที่ 4 ไอคอนของแอปพลิเคชันที่ถูกติดตั้ง รูปที่ 5 ตัวอย่างหน้าจอแอปพลิเคชันปลอม ของแอนตี้ไวรัส
  • CYBER THREATS 2013 43 5. เครื่อง C&C ส่งคำ� สั่ง “On” ไปเพื่อบอกว่า ให้เครื่องของเหยื่อส่งต่อ SMS ทุกอย่างที่ได้ รับมาที่เครื่องของ C&C 6. หลังจากที่เครื่องของเหยื่อได้รับคำ� สั่ง จะส่ง SMS ตอบกลับมาว่า “Oh ok” 7. หลังจากนั้น ไม่ว่าจะมี SMS อะไรส่งเข้ามาที่เครื่องของเหยื่อ SMS นั้นจะถูกส่งต่อมาที่ เครื่องของ C&C และหลังจากที่ส่งต่อ SMS นั้นมาที่เครื่องของ C&C แล้ว เครื่องของ เหยื่อจะลบ SMS ต้นฉบับทิ้งเพื่อไม่ให้ผู้ใช้สังเกตเห็นความผิดปกติ 8. จากรูปจะพบว่าเมื่อเครื่องที่มีหมายเลขโทรศัพท์คือ +66815xxxxxx ส่งข้อความว่า “message test 1234.” เข้ามาที่เครื่องของเหยื่อ SMS นั้นจะถูกส่งต่อมาที่เครื่อง C&C พร้อมทั้งระบุหมายเลขโทรศัพท์ของผู้ส่ง 9. หากเครื่อง C&C ส่งคำ� สั่งมาว่า “off” เครื่องของเหยื่อจะหยุดการส่ง SMS มาที่เครื่อง ของ C&C พร้อมกับส่งข้อความว่า “Eh no” ผลกระทบ ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวอาจถูกขโมย ข้อมูลสำ� คัญจาก SMS เช่น ข้อมูลรหัส OTP สำ� หรับเข้าทำ� ธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งอาจ ถูกนำ� ไปใช้โดยผู้ไม่ประสงค์ดีและนำ� ไปสู่การขโมยเงิน จากบัญชีธนาคารภายหลังได้ ระบบที่ได้รับผลกระทบ ระบบปฏิบัติการ Android ที่ติดตั้ง แอปพลิเคชันแอนตี้ไวรัส AVG ปลอม ข้อแนะนำ� ในการป้องกันและแก้ไข จะเห็นได้ว่า การโจมตีดังกล่าวนี้เกิดจากการที่ ผู้ไม่หวังดีหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชันหลอก ลวงที่อ้างว่าเป็นแอนตี้ไวรัสเพื่อใช้ตรวจสอบมัลแวร์ บนโทรศัพท์มือถือ โดยแหล่งที่มาของแอปพลิเคชัน นั้นไม่ได้มาจากเว็บไซต์จริงของเว็บไซต์ผู้พัฒนา และ เป็นการติดตั้งแอปพลิเคชันจากแหล่งซอฟต์แวร์ ภายนอกที่ไม่ใช่ Google Play Store และเมื่อใช้ งานแอปพลิเคชันแอนตี้ไวรัส AVG ที่ดาวน์โหลดจาก Google Play Store มาทดสอบ พบว่าสามารถ ตรวจจับการทำ� งานที่เป็นอันตราย รูปที่ 6 ตัวอย่างหน้าจอการโต้ตอบกับ C&C ของเครื่องที่ติดแอนตี้ไวรัสปลอม
  • 44 บทความแจ้งเตือนและข้อแนะนำ� ของแอปพลิเคชันปลอมดังกล่าวได้ดังรูปที่ 7 รวมถึงเมื่อนำ� ไฟล์มัลแวร์ไปตรวจสอบบนเว็บไซต์ www.virustotal.com แล้วพบว่าเป็นมัลแวร์ตระกูลชื่อ Zitmo ซึ่งมีความ สามารถในการขโมยข้อมูล SMS เป็นหลัก การป้องกันตัวไม่ให้ตกเป็นเหยื่อ จากการโจมตีด้วยวิธีดังกล่าว ผู้ใช้ งานควรพิจารณาแอปพลิเคชันที่จะ ติดตั้งลงในโทรศัพท์มือถืออย่าง รอบคอบ ไม่ควรติดตั้งแอปพลิเคชัน ที่มีแหล่งที่มาไม่น่าเชื่อถือ รวมถึงตรวจ สอบการร้องขอสิทธิ์ (Permission) ของ แอปพลิเคชันนั้นๆ ว่ามีความเหมาะสมหรือไม่ อย่างไรก็ตาม ปัญหามัลแวร์ในระบบปฏิบัติ การ Android ไม่ใช่เรื่องใหม่ ทางไทยเซิร์ตได้เคย นำ� เสนอวิธีการตรวจสอบ และป้องกันปัญหา มัลแวร์ รวมถึงวิธีการใช้งานโทรศัพท์มือถือให้ ปลอดภัย รูปที่ 7 ตัวอย่างหน้าจอแอปพลิเคชันของแอนตี้ ไวรัส AVG ที่ดาวโหลดจาก Google Play Store และสามารถตรวจจับพฤติกรรมอันตราย ของแอปพลิเคชันปลอมดังกล่าวได้ ผู้อ่านสามารถศึกษาเพิ่มเติมได้จากบทความ • แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม [1] • รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android [2] • รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android ตอนที่ 2 [3] อ้างอิง 1. http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html 2. http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html 3. http://www.thaicert.or.th/papers/technical/2012/pa2012te011.html
  • CYBER THREATS 2013 45
  • 46 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย เว็บไซต์สำ� นักข่าวหลายแห่ง ในประเทศไทยถูกเจาะ ฝัง โทรจันที่หลอกให้ดาวน์โหลด แอนตี้ไวรัสปลอม วันที่ประกาศ : 13 มิถุนายน 2556 ปรับปรุงล่าสุด : 14 มิถุนายน 2556 เรื่อง : ระวังภัย เว็บไซต์สำ� นักข่าวหลายแห่งในประเทศไทยถูกเจาะ ฝังโทรจันที่หลอกให้ ดาวน์โหลดแอนตี้ไวรัสปลอม ประเภทภัยคุกคาม : Malicious Code ข้อมูลทั่วไป เมื่อวันที่ 12 มิถุนายน 2556 ทีมไทยเซิร์ตได้พบว่าเว็บไซต์ของสำ� นักข่าวหลายแห่งในประเทศไทย ได้ถูกเจาะระบบ เพื่อฝังโทรจันที่โจมตีผ่านช่องโหว่ของ Java ดังรูปที่ 1 ซึ่งโทรจันนี้สามารถถูกติดตั้ง ลงในเครื่องคอมพิวเตอร์ของผู้ใช้ได้ในทันทีที่เข้าเว็บไซต์ดังกล่าว (Drive-by-Download) รูปที่ 1 ตัวอย่างโทรจันที่พบในเว็บไซต์สำ� นักข่าวแห่งหนึ่ง
  • CYBER THREATS 2013 47 โทรจันจะตรวจสอบการใช้งานเบราว์เซอร์ เมื่อพบว่าผู้ใช้ล็อกอินเข้าใช้งานเว็บไซต์ของธนาคารออนไลน์ ในประเทศไทย จะแทรกหน้าจอสำ� หรับกรอกข้อมูลหมายเลขโทรศัพท์มือถือ ดังรูปที่ 2, 3, 4 และ 5 ซึ่งหากผู้ใช้หลงเชื่อและกรอกข้อมูลลงไป จะมี SMS พร้อมลิงก์สำ� หรับดาวน์โหลดแอปพลิเคชันของ Android ชื่อ AVG AntiVirus Mobile Pro ส่งมาที่โทรศัพท์มือถือ ซึ่งแอปพลิเคชันดังกล่าวนี้เป็น แอนตี้ไวรัสปลอม มีจุดประสงค์เพื่อดักรับข้อมูล SMS OTP ที่ผู้ใช้จะได้รับเมื่อล็อกอินเข้าใช้งานเว็บไซต์ ธนาคาร ตามรายละเอียดที่ไทยเซิร์ตเคยแจ้งเตือนไปก่อนหน้านี้ [1] ผู้ใช้จะสังเกตได้ยากว่าเว็บไซต์ของธนาคารถูกเปลี่ยน เนื่องจากการทำ� งานของโทรจันจะเข้าไปแก้ไข ข้อมูลที่แสดงผลอยู่ในเบราว์เซอร์ ไม่ใช่การสร้างเว็บไซต์ปลอม ทำ� ให้การเชื่อมต่อแบบ HTTPS และ รูปที่ 2 ตัวอย่างหน้าจอให้ ดาวน์โหลดโปรแกรม AVG ปลอมที่โทรจันแทรกเข้าไปในหน้า เว็บไซต์ธนาคารกสิกรไทย รูปที่ 3 ตัวอย่างหน้าจอให้ ดาวน์โหลดโปรแกรม AVG ปลอมที่โทรจันแทรกเข้าไปในหน้า เว็บไซต์ธนาคารกรุงไทย รูปที่ 4 ตัวอย่างหน้าจอให้ ดาวน์โหลดโปรแกรม AVG ปลอมที่โทรจันแทรกเข้าไปในหน้า เว็บไซต์ธนาคารกรุงเทพ รูปที่ 5 ตัวอย่างหน้าจอให้ ดาวน์โหลดโปรแกรม AVG ปลอมที่โทรจันแทรกเข้าไปในหน้า เว็บไซต์ธนาคารไทยพาณิชย์
  • 48 บทความแจ้งเตือนและข้อแนะนำ� ข้อมูลใบรับรองดิจิทัล (Digital Certificate) ที่แสดงอยู่ในเว็บไซต์ เป็นใบรับรองฯ จริงของธนาคาร ทางไทยเซิร์ตได้ติดต่อไปยังผู้ดูแลเว็บไซต์ของสำ� นักพิมพ์ที่ได้รับผลกระทบ รวมทั้งประสานงาน กับหน่วยงานด้านความมั่นคงปลอดภัยในประเทศที่เกี่ยวข้อง เพื่อขอความร่วมมือในการแก้ไขช่องโหว่ และปิดเว็บไซต์ที่เผยแพร่โทรจันแล้ว อย่างไรก็ตาม ผู้ที่เข้าใช้งานเว็บไซต์ของสำ� นักพิมพ์ในตอนที่ถูกเจาะ ระบบอาจถูกติดตั้งโทรจันลงในเครื่องได้ ผลกระทบ ผู้ใช้ที่เข้าเว็บไซต์ของสำ� นักพิมพ์ที่ถูกเจาะระบบเพื่อฝังมัลแวร์ดังกล่าว อาจถูกติดตั้งมัลแวร์ลงใน เครื่องคอมพิวเตอร์ และอาจถูกหลอกให้ติดตั้งมัลแวร์ลงในโทรศัพท์มือถือ เพื่อที่ผู้ไม่หวังดีสามารถ ขโมยเงินจากธนาคารได้ ระบบที่ได้รับผลกระทบ • ระบบปฏิบัติการ Windows ที่ติดตั้ง Java • Internet Explorer • โทรศัพท์มือถือ หรือแท็บเล็ตที่ใช้ระบบปฏิบัติการ Android • ผู้ที่เข้าใช้งานเว็บไซต์สำ� นักข่าวในประเทศไทยที่ถูกฝังโทรจันในวันที่ 12 - 13 มิถุนายน 2556 (หรืออาจรวมถึงช่วงก่อนหน้านั้น) ข้อแนะนำ� ในการป้องกันและแก้ไข วิธีการตรวจสอบ จากการตรวจสอบของทีมไทยเซิร์ต พบว่าโทรจันที่พบนี้เป็นเวอร์ชันดัดแปลงของโทรจันที่ชื่อ Critex ซึ่งเคยถูกใช้ในการโจมตีธนาคารต่างประเทศมาแล้วเมื่อต้นปี 2555 [2] ซึ่งผู้ที่เจาะระบบ เว็บไซต์ของสำ� นักพิมพ์ได้ดัดแปลงให้โทรจันนี้โจมตีธนาคารในประเทศไทย เนื่องจากโทรจันที่พบนี้เป็น เวอร์ชันดัดแปลง จึงอาจทำ� ให้โปรแกรมแอนตี้ไวรัสจำ� นวนหนึ่งไม่สามารถตรวจจับโทรจันนี้ได้ หลังจากที่ผู้ใช้เข้าใช้งานเว็บไซต์ที่มีโทรจันฝังอยู่ ไฟล์ของโทรจันจะถูกติดตั้งลงในเครื่อง คอมพิวเตอร์ และมีการตั้งค่าระบบให้มีการเรียกใช้งานไฟล์ดังกล่าวทุกครั้งที่เปิดเครื่อง เนื่องจากไฟล์ของโทรจันถูกซ่อนไว้ ในการตรวจสอบเครื่องคอมพิวเตอร์ว่ามีไฟล์ของโทรจันอยู่ หรือไม่ ผู้ใช้จำ� เป็นต้องตั้งค่าระบบให้แสดงผลไฟล์และโฟลเดอร์ที่ถูกซ่อน โดยสามารถทำ� ได้ดังนี้
  • CYBER THREATS 2013 49 รูปที่ 6 แสดงวิธีการตั้งค่า Windows XP ให้แสดงผลไฟล์และ โฟลเดอร์ที่ถูกซ่อน • Windows XP (http://goo.gl/nSMjHq) • Windows Vista (http://goo.gl/aCZUDe) • Windows 7 (http://goo.gl/0Pzw0B) • Windows 8 (http://goo.gl/lJ9sgl) ตัวอย่างการตั้งค่า Windows XP และ Windows 7 ให้แสดงผลไฟล์และโฟลเดอร์ที่ถูกซ่อน เป็นดังรูปที่ 6 และ 7 รูปที่ 7 แสดงวิธีการตั้งค่า Windows 7 ให้แสดงผลไฟล์และโฟลเดอร์ที่ถูกซ่อน
  • 50 บทความแจ้งเตือนและข้อแนะนำ� จากนั้นให้ตรวจสอบว่ามีไฟล์ตามตัวอย่างรายชื่อด้านล่างอยู่ในเครื่องหรือไม่ • C:UsersadminAppDataLocalTempfvJcrgR.exe (ชื่อไฟล์สุ่ม ขนาดไฟล์ 64000 bytes) • C:UsersadminAppDataRoamingKB00695775.exe (ชื่อไฟล์ KB ตามด้วย หมายเลขสุ่ม 8 ตัว) • C:UsersadminAppDataLocalTempPOSDDA1.tmp • C:UsersadminAppDataLocalTempPOSDDA1.tmp.BAT หากพบไฟล์ที่มีลักษณะคล้ายคลึงกันอาจเป็นไปได้ว่าเครื่องคอมพิวเตอร์ที่ใช้งานอยู่ได้ ติดโทรจันแล้ว วิธีการแก้ไข การลบไฟล์ของโทรจันออกจากเครื่อง อาจไม่สามารถทำ� ได้ด้วยวิธีปกติ เนื่องจากโทรจันกำ� ลัง เรียกใช้งานไฟล์ดังกล่าวอยู่ วิธีการลบไฟล์อาจทำ� ได้โดยเข้าไปลบใน Safe mode ซึ่งสามารถทำ� ได้โดย การ Restart เครื่องแล้วกดปุ่ม F8 ก่อนที่หน้าจอจะปรากฏโลโก้ของ Windows วิธีการเข้า Safe mode ของระบบปฏิบัติการ Windows เวอร์ชั่นต่างๆ มีดังนี้ • Windows XP (http://support.microsoft.com/kb/315222/th) • Windows Vista (http://windows.microsoft.com/th-th/windows/start-computer- safe-mode#start-computer-safe-mode=windows-vista) • Windows 7 (http://windows.microsoft.com/th-th/windows/start-computer- safe-mode#start-computer-safe-mode=windows-7) • Windows 8 (http://windows.microsoft.com/th-th/windows-8/windows-startup- settings-including-safe-mode) สำ� หรับผู้ที่มีประสบการณ์ สามารถตรวจสอบ และลบ Registry ที่ถูกมัลแวร์เข้าไปเปลี่ยนแปลง ได้ตามรายการด้านล่างนี้ • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion Run”KB00582800.exe” = “C:Documents and Settingsadmin Application DataKB00582800.exe” หมายเหตุ: ชื่อ “KB00582800.exe” เป็นชื่อไฟล์ที่มัลแวร์สร้าง ซึ่งอาจมีการเปลี่ยนแปลงได้ ตามแต่ละเครื่อง อย่างไรก็ตาม ในขณะที่ดำ� เนินการตรวจสอบโทรจัน ทางไทยเซิร์ตพบว่าโปรแกรมแอนตี้ไวรัสโดย ส่วนใหญ่ไม่สามารถตรวจสอบ และกำ� จัดโทรจันนี้ได้ ขณะนี้ทางไทยเซิร์ตอยู่ระหว่างการประสานงานไป
  • CYBER THREATS 2013 51 ยังผู้ผลิตซอฟต์แวร์แอนตี้ไวรัสเพื่อขอให้ช่วยอัพเดตฐานข้อมูลเพื่อใช้ในการกำ� จัดโทรจันที่พบนี้ต่อไป วิธีการป้องกัน 1. จากการตรวจสอบพบว่าหากเครื่องคอมพิวเตอร์ที่ติดตั้ง Java 6 เปิดเข้าใช้งานเว็บไซต์ที่มี โทรจันฝังอยู่ โทรจันดังกล่าวจะถูกดาวน์โหลด และถูกเรียกใช้งานที่เครื่องของผู้ใช้โดยทันที แต่จากการตรวจสอบบนระบบที่ติดตั้ง Java 7 Update 21 ซึ่งเป็นเวอร์ชันล่าสุด พบว่าจะ มีหน้าจอแจ้งเตือนการใช้งาน Java Applet ที่อาจไม่ปลอดภัย ดังรูปที่ 8 หากผู้ใช้งานคลิกปุ่ม Cancel โทรจันดังกล่าวจะไม่ถูกเรียกใช้งาน รูปที่ 8 ตัวอย่างหน้าจอการแจ้งเตือนเมื่อเปิดเว็บไซต์ด้วย Java 7 Update 21 ผู้ใช้สามารถอัพเดต Java ให้เป็นเวอร์ชันล่าสุด โดยดาวน์โหลดได้ที่ http://www.java.com/ en/download/
  • 52 บทความแจ้งเตือนและข้อแนะนำ� 2. ผู้ใช้ควรสังเกตการแจ้งเตือนของเว็บเบราว์เซอร์ ในกรณีที่ได้รับการแจ้งเตือนว่าเว็บไซต์นั้นไม่ ปลอดภัย ดังรูปที่ 9 และ 10 ไม่ควรเข้าใช้งานเว็บไซต์นั้น รูปที่ 9 ตัวอย่างการแจ้งเตือนของ Google Chrome รูปที่ 10 ตัวอย่างการแจ้งเตือนของ Mozilla Firefox
  • CYBER THREATS 2013 53 3. หากเครื่องของผู้ใช้ไม่มีความจำ� เป็นต้องใช้งาน Java ควรพิจารณาถอนการติดตั้ง Java ออก หรือปิดการทำ� งานของ Java ในเว็บเบราว์เซอร์ [3] เป็นอย่างน้อย 4. อัพเดตฐานข้อมูลของโปรแกรมแอนตี้ไวรัสอย่างสมË่ำเสมอ เพื่อช่วยให้สามารถตรวจจับและ ป้องกันมัลแวร์ใหม่ๆ ได้ อ้างอิง 1. https://www.thaicert.or.th/alerts/user/2013/al2013us007.html 2. http://labs.m86security.com/2012/03/the-cridex-trojan-targets-137-financial-organizations- in-one-go/ 3. https://www.thaicert.or.th/papers/general/2012/pa2012ge015.html
  • 54 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ใน SAMSUNG GALAXY S3 และ GALAXY S4 เปิดให้ แอปพลิเคชันใดๆ สามารถ สร้าง SMS ปลอมหรือ แอบส่ง SMS ได้ วันที่ประกาศ : 17 กรกฎาคม 2556 ปรับปรุงล่าสุด : 17 กรกฎาคม 2556 เรื่อง : ระวังภัย ช่องโหว่ใน Samsung Galaxy S3 และ Galaxy S4 เปิดให้ แอปพลิเคชันใดๆ สามารถสร้าง SMS ปลอมหรือแอบส่ง SMS ได้ ประเภทภัยคุกคาม : Intrusion ข้อมูลทั่วไป เมื่อวันที่ 6 กรกฎาคม นักวิจัยจากบริษัท QIHU ได้แจ้งเตือนเรื่องช่องโหว่ในแอปพลิเคชันที่ถูก ติดตั้งมาพร้อมกับโทรศัพท์มือถือ Samsung Galaxy S3 และ Samsung Galaxy S4 ซึ่งผู้ไม่ หวังดีสามารถใช้ช่องโหว่ดังกล่าวแอบส่ง SMS ได้ [1] โทรศัพท์มือถือ Samsung Galaxy S3 และ Galaxy S4 มีแอปพลิเคชันที่ติดตั้งมาจาก โรงงานชื่อ Samsung Backup Provider (ไฟล์ sCloudBackupProvider.apk) ซึ่งใช้สำ� หรับ Backup และ Restore ข้อมูลจากบริการ S Cloud ของ Samsung นักวิจัยพบว่าแอปพลิเคชันดังกล่าวมีช่องโหว่ที่เปิดให้แอปพลิเคชันอื่น เรียกใช้ฟังก์ชัน Restore เพื่อเขียนข้อมูลลงในไฟล์ฐานข้อมูล SMS (ไฟล์ mmssms.db) โดยสามารถสร้าง SMS หรือ Call log ปลอมในเครื่องได้ ช่องโหว่ดังกล่าวนี้มีหมายเลข CVE-2013-4763 [2] นอกจากนี้ ยังมีอีกหนึ่งช่องโหว่ในแอปพลิเคชันเดียวกันนี้ที่เปิดให้แอปพลิเคชันอื่นสามารถส่ง SMS หรือ MMS ออก โดยช่องโหว่ดังกล่าวนี้มีหมายเลข CVE-2013-4764 [3]
  • CYBER THREATS 2013 55 ผลกระทบ แอปพลิเคชันใดๆ ก็ตามที่ถึงแม้จะไม่ได้รับสิทธิ SEND_SMS หรือ WRITE_SMS สามารถใช้ช่อง โหว่นี้ในการสร้าง SMS MMS หรือ Call log ปลอมในเครื่อง หรือส่ง SMS และ MMS ออกได้ ระบบที่ได้รับผลกระทบ Samsung Galaxy S3 (build #: IMM76D.I9300UBALF5): • Package Name: com.sec.android.sCloudBackupProvider • Version Code: 1 • Version Name: 1.0 Samsung Galaxy S4 (build #: JDQ39.I9505XXUAMDE และ JDQ39. I9500ZCUAMDH): • Package Name: com.sec.android.sCloudBackupProvider • Version Code: 14 • Version Name: 1.4 หมายเหตุ: ข้อมูล Build number ของโทรศัพท์ สามารถตรวจสอบได้จาก Settings โดย ตรวจสอบที่ About phone ข้อแนะนำ� ในการป้องกันและแก้ไข บริษัท QIHU ได้แจ้งช่องโหว่นี้ไปยังบริษัท Samsung แล้ว ซึ่งทาง Samsung ยอมรับว่ามี ปัญหานี้อยู่จริงและจะออกอัพเดตเพื่อแก้ไขช่องโหว่นี้โดยเร็ว ระหว่างที่รอการอัพเดต ผู้ที่ใช้โทรศัพท์มือถือ Samsung Galaxy S3 และ Galaxy S4 สามารถปิดการทำ� งานของแอปพลิเคชัน Samsung Backup Provider เป็นการชั่วคราวได้ เพื่อ ลดผลกระทบจากช่องโหว่นี้ ซึ่งสามารถทำ� ได้โดยการ 1. เข้าไปที่ Settings เลือก Application Manager 2. เลื่อนไปทางขวามือสุดจนถึงแท็บ ALL 3. กดเข้าไปที่แอปพลิเคชันชื่อ Samsung Backup Provider ดังรูปที่ 1
  • 56 บทความแจ้งเตือนและข้อแนะนำ� รูปที่ 1 ไอคอนของ แอปพลิเคชัน Samsung Backup Provider
  • CYBER THREATS 2013 57 กดปุ่ม Disable จะปรากฏหน้าจอถามเพื่อยืนยัน ดังรูปที่ 2 ให้กดปุ่ม OK หมายเหตุ: การปิดการทำ� งานของแอปพลิเคชัน Samsung Backup Provider จะทำ� ให้ไม่ สามารถใช้งานฟังก์ชัน Backup หรือ Restore ข้อมูลจาก S Cloud ได้ และอาจมีผลกับ แอปพลิเคชันอื่นๆ ที่ใช้บริการ S Cloud รูปที่ 2 การยืนยันการ Disable แอปพลิเคชัน Samsung Backup Provider อ้างอิง 1. http://seclists.org/ bugtraq/2013/Jul/107 2. http://shouji.360.cn/ securityReportlist/CVE- 2013-4763.html 3. http://shouji.360.cn/ securityReportlist/CVE- 2013-4764.html
  • 58 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย FIREFOX FOR ANDROID มีช่องโหว่ ดาวน์โหลด แอปพลิเคชัน อันตราย มาติดตั้งทันที ที่เข้าเว็บไซต์ วันที่ประกาศ : 12 กันยายน 2556 ปรับปรุงล่าสุด : 12 กันยายน 2556 เรื่อง : ระวังภัย Firefox for Android มี ช่องโหว่ดาวน์โหลดแอปพลิเคชันอันตราย มาติดตั้งทันทีที่เข้าเว็บไซต์ ประเภทภัยคุกคาม : Intrusion
  • CYBER THREATS 2013 59 ข้อมูลทั่วไป Firefox for Android มีช่องโหว่ดาวน์โหลดไฟล์ .apk มาติดตั้งโดยอัตโนมัติในทันทีที่ผู้ใช้งาน เข้าเยี่ยมชมเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่ ช่องโหว่ดังกล่าวนี้มีการเปิดเผยเป็นครั้งแรกเมื่อวันที่ 9 กันยายน 2556 โดยมีจุดประสงค์เพื่อต้องการขายข้อมูลช่องโหว่ และปัจจุบันยังไม่พบว่ามีการ เผยแพร่ข้อมูลวิธีการโจมตีผ่านช่องโหว่นี้ออก สู่สาธารณะ [1] ตัวอย่างวิธีการโจมตีสามารถดูได้จากวิดีโอ http://www.youtube.com/ watch?v=rHPFGyUFtrI#t=393 ผลกระทบ เมื่อผู้ใช้งานเข้าถึงเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่โดยใช้ Firefox for Android ตัวโปรแกรมจะ ดาวน์โหลดไฟล์ .apk มาลงในเครื่องแล้วเรียกแสดงหน้าจอการติดตั้งแอปพลิเคชันดังกล่าว ซึ่งหากผู้ใช้ หลงเชื่อแล้วกดปุ่มติดตั้ง ก็อาจก่อให้เกิดอันตรายกับข้อมูลที่อยู่ในเครื่องได้ อย่างไรก็ตาม การที่จะตกเป็นเหยื่อจากการโจมตีโดยวิธีนี้ได้ ผู้ใช้จำ� เป็นต้องเปิดใช้งานการติดตั้ง แอปพลิเคชันจากแหล่งที่มาที่ไม่รู้จัก (Install apk from unknown sources) และเป็นผู้กด ยอมรับการติดตั้งไฟล์ .apk ดังกล่าวเอง [2] ระบบที่ได้รับผลกระทบ Firefox for Android เวอร์ชัน 23, 24 และ 26 (Nightly) ข้อแนะนำ� ในการป้องกันและแก้ไข เนื่องจากปัจจุบันยังไม่มีข้อมูลช่องโหว่นี้เผยแพร่ออกสู่สาธารณะ และทาง Mozilla ผู้พัฒนา Firefox for Android ยังไม่มีแถลงการณ์เกี่ยวกับช่องโหว่ดังกล่าว ผู้ใช้งาน Firefox for Android ควรเปลี่ยนไปใช้เว็บเบราว์เซอร์อื่นเป็นการชั่วคราวจนกว่าจะมีอัพเดตออกมาแก้ไขช่องโหว่นี้ หรือหากจำ� เป็นต้องใช้ Firefox for Android ไม่ควรติดตั้งแอปพลิเคชันที่ไม่ได้ดาวน์โหลดมาจาก แหล่งที่มาที่น่าเชื่อถือ เช่น Google Play Store อ้างอิง 1. http://1337day.com/exploits/21214 2. http://www.androidpolice.com/2013/09/11/security-firefox-for-android-can-be-tricked- into-automatically-downloading-and-executing-malicious-code/
  • 60 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย แอปพลิเคชัน IMESSAGE CHAT ใน GOOGLE PLAY STORE อาจขโมยข้อมูลสำ� คัญ วันที่ประกาศ : 24 กันยายน 2556 ปรับปรุงล่าสุด : 25 กันยายน 2556 เรื่อง : ระวังภัย แอปพลิเคชัน iMessage Chat ใน Google Play Store อาจขโมยข้อมูลสำ� คัญ ประเภทภัยคุกคาม : Malicious Software ข้อมูลทั่วไป iMessage คือระบบที่ Apple พัฒนาขึ้นมาเพื่อใช้ในการส่งข้อความระหว่างอุปกรณ์ที่ใช้งาน ระบบปฏิบัติการ iOS หรือ OS X โดยเริ่มมีใน iOS 5.0 และ OS X 10.8 แต่ยังไม่เปิดให้ใช้งาน ในระบบปฏิบัติการอื่น [1]
  • CYBER THREATS 2013 61 ผู้ใช้งานระบบปฏิบัติการ Android หลายคนรายงานว่ามีแอปพลิเคชันชื่อ iMessage Chat ปรากฏใน Google Play Store โดยอ้างว่าสามารถใช้คุย iMessage กับคนที่ใช้ระบบปฏิบัติการ iOS หรือ OS X ได้ แอปพลิเคชันดังกล่าวสามารถดาวน์โหลดได้ฟรี และมีคนดาวน์โหลดไปแล้วกว่า 50,000 ครั้ง [2] เมื่อเดือนกันยายน ไทยเซิร์ตได้ตรวจสอบแอปพลิเคชันดังกล่าวแล้วพบว่าไม่ได้ถูกพัฒนาขึ้นโดย Apple จึงได้ทดลองติดตั้งแอปพลิเคชันดังกล่าวลงในเครื่อง Galaxy Nexus ที่ใช้ Android 4.3 แล้วทดลองส่งข้อความไปยังเครื่อง iPad ที่ใช้ iOS 7.0 ผลการทดสอบพบว่าทั้ง 2 เครื่องสามารถ ส่งข้อความสนทนากันได้จริง ดังแสดงในรูปที่ 2 และ 3 รูปที่ 1 การสนทนาผ่าน แอปพลิเคชัน iMessage Chat จากเครื่อง Galaxy Nexus รูปที่ 2 การสนทนาผ่าน แอปพลิเคชัน Message จากเครื่อง iPad
  • 62 บทความแจ้งเตือนและข้อแนะนำ� อย่างไรก็ตาม จากการตรวจสอบเพิ่มเติม ทางไทยเซิร์ตได้พบว่าแอปพลิเคชันดังกล่าวนี้มีการส่ง ข้อมูลไปที่หมายเลขไอพี 222.77.191.206 ซึ่งอยู่ในประเทศจีน (สอดคล้องกับผลการวิเคราะห์จาก saurik ผู้พัฒนาซอฟต์แวร์ Cydia ใน iOS [3]) ขณะนี้ยังไม่ทราบจุดประสงค์แน่ชัดของการเชื่อมต่อ ไปที่ไอพีดังกล่าว แต่จากข้อมูลจากการตรวจสอบด้วยบริการ Whois กับไอพีแอดเดรสหมายเลขดัง กล่าว ไม่พบข้อมูลที่อ้างว่าเป็นเซิร์ฟเวอร์ของ Apple แต่อย่างใด รูปที่ 3 ข้อมูลแสดงการตรวจสอบรายชื่อผู้ให้บริการหมายเลขไอพี กับบริการ Whois แอปพลิเคชันดังกล่าวนี้ร้องขอ Permission ที่น่าสงสัย ดังนี้: • ตรวจสอบสถานะ และเชื่อมต่อกับระบบเครือข่าย • ตรวจสอบสถานะการใช้งานโทรศัพท์ • แก้ไข หรือลบข้อมูลที่อยู่ใน SD Card • ติดตั้ง Shortcut เพิ่มเติมในระบบ • เข้าถึงข้อมูลในส่วนที่ถูกสงวนสิทธิ์ (protected storage) • เปิดใช้งานกล้องถ่ายภาพ บันทึกเสียง • อ่านข้อมูลรายชื่อผู้ติดต่อ และข้อมูลบันทึกการโทรล่าสุด
  • CYBER THREATS 2013 63 การขอ Permission ซึ่งอนุญาตให้แอปพลิเคชันเข้าถึงข้อมูลเหล่านี้ อาจทำ� ให้ถูกขโมยข้อมูล ส่วนตัวได้ ขณะนี้ทางทีมไทยเซิร์ตอยู่ระหว่างการตรวจวิเคราะห์การทำ� งานเชิงเทคนิคของแอปพลิเคชัน ดังกล่าว ซึ่งหากมีความคืบหน้าอย่างไรจะนำ� มาแจ้งให้ทราบต่อไป ผลกระทบ ผู้ที่ติดตั้งหรือใช้งานแอปพลิเคชัน iMessage Chat อาจถูกขโมย Apple ID หรืออาจถูกดัก ข้อมูลการสนทนาใน iMessage นอกจากนี้ยังอาจถูกขโมยข้อมูลสำ� คัญ เช่น รายชื่อผู้ติดต่อ ภาพถ่าย วิดีโอคลิป ไฟล์ที่อยู่ใน SD Card หรือข้อมูลสำ� คัญอื่นๆ ที่อยู่ในเครื่องได้ ระบบที่ได้รับผลกระทบ ผู้ใช้ที่ติดตั้งแอปพลิเคชัน iMessage Chat ข้อแนะนำ� ในการป้องกันและแก้ไข ถึงแม้แอปพลิเคชันดังกล่าวนี้จะสามารถส่งข้อความผ่านระบบ iMessage ระหว่างเครื่องที่ใช้ งานระบบปฏิบัติการ Android และ iOS/OS X ได้จริง แต่ยังมีข้อสงสัยในเรื่องความเสี่ยงในการถูก ดักรับข้อมูล เนื่องจากในการทำ� งานไม่ได้ส่งข้อมูลไปยังเซิร์ฟเวอร์ของ Apple โดยตรง แต่ข้อมูลจะถูก ส่งผ่านเซิร์ฟเวอร์ของผู้พัฒนาแอปพลิเคชันอีกทีหนึ่ง และอาจมีความเสี่ยงที่จะถูกขโมยข้อมูลสำ� คัญ เช่น Apple ID หรือข้อมูลอื่นๆ ที่อยู่ในเครื่อง เนื่องจากแอปพลิเคชันดังกล่าวนี้มีการขอ Permission ที่อาจนำ� ไปสู่การทำ� งานดังกล่าวได้ การติดตั้งแอปพลิเคชันในระบบปฏิบัติการ Android ผู้ใช้ควรตระหนักในเรื่องของความ ปลอดภัย ไม่ควรติดตั้งแอปพลิเคชันที่ไม่ได้มาจากผู้พัฒนาที่เชื่อถือได้ ซึ่งอาจก่อให้เกิดความเสียหาย ต่อเครื่อง หรือข้อมูลสำ� คัญที่อยู่ในเครื่องได้ อัพเดตข้อมูลล่าสุด (25 กันยายน 2556) Google Play Store ได้ถอนแอปพลิเคชัน iMessage Chat ออกจากการให้บริการ ดาวน์โหลดแล้ว อ้างอิง 1. http://www.apple.com/ios/messages/ 2. https://play.google.com/store/apps/details?id=com.huluwa.imessage 3. https://plus.google.com/u/0/116098411511850876544/posts/UkgaXa1oa6M
  • 64 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ ใน INTERNET EXPLORER ทุกเวอร์ชัน MICROSOFT ออกแพทช์ แก้ไขแล้ว ติดตั้งโดยด่วน (CVE-2013-3893) วันที่ประกาศ : 18 กันยายน 2556 ปรับปรุงล่าสุด : 9 ตุลาคม 2556 เรื่อง : ระวังภัย ช่องโหว่ใน Internet Explorer ทุกเวอร์ชัน Microsoft ออกแพทช์ แก้ไขแล้ว ติดตั้งโดยด่วน (CVE-2013-3893) ประเภทภัยคุกคาม : Intrusion ข้อมูลทั่วไป เมื่อวันที่ 17 กันยายน 2556 Microsoft ประกาศแจ้งเตือนเรื่องความมั่นคงปลอดภัย (Microsoft Security Advisory) หมายเลขรหัส 2887505 เรื่องช่องโหว่ใน Internet Explorer ทุกเวอร์ชัน [1] โดย Microsoft แจ้งว่าพบเว็บไซต์ที่มีการโจมตีช่องโหว่นี้ใน Internet Explorer เวอร์ชัน 8 และ 9 แล้ว สาเหตุของช่องโหว่ดังกล่าว เกิดจากข้อผิดพลาดในการจัดการหน่วยความจำ� ของโปรแกรม Internet Explorer ทำ� ให้ผู้ไม่หวังดีสามารถสั่งให้ประมวลผลคำ� สั่งอันตรายใดๆ ก็ได้ (Remote Code Execution) ช่องโหว่นี้ได้ขึ้นทะเบียนฐานข้อมูลช่องโหว่สากลหมายเลข CVE-2013-3893 ผลกระทบ ผู้ที่เข้าชมเว็บไซต์ที่มีโค้ดอันตรายสำ� หรับโจมตีผ่านช่องโหว่ดังกล่าว อาจถูกผู้ไม่หวังดีสั่งให้ โปรแกรม Internet Explorer ประมวลผลคำ� สั่งอันตรายใดๆ ก็ได้ เช่น สั่งให้ดาวน์โหลดมัลแวร์มา ติดตั้งในเครื่องคอมพิวเตอร์ของผู้ใช้งาน เป็นต้น
  • CYBER THREATS 2013 65 ระบบที่ได้รับผลกระทบ Microsoft Internet Explorer เวอร์ชัน 6 - 11 ข้อแนะนำ� ในการป้องกันและแก้ไข เมื่อวันที่ 8 ตุลาคม 2556 Microsoft ได้ออกแพทช์หมายเลข 2879017 เพื่อแก้ไขปัญหา ช่องโหว่นี้แล้ว ผู้ใช้สามารถดาวน์โหลดได้จากเว็บไซต์ของ Microsoft [2] หรือติดตั้งได้จากระบบ Windows Update หากไม่สามารถติดตั้งแพทช์ได้ อาจใช้เครื่องมือ Fix it ชื่อ MSHTML Shim Workaround เพื่อใช้ลดผลกระทบจากปัญหาดังกล่าว โดยสามารถดาวน์โหลดได้จากเว็บไซต์ของ Microsoft [3] อย่างไรก็ตาม วิธีนี้ไม่ใช่การแก้ปัญหาโดยถาวร และอาจจะมีผลกระทบข้างเคียงที่อาจเกิดขึ้นได้ ผู้ใช้ ควรติดตั้งแพทช์หมายเลข 2879017 เพื่อเป็นการแก้ไขที่สาเหตุของปัญหาโดยตรง สำ� หรับผลกระทบจากช่องโหว่นี้ Microsoft แจ้งว่าผู้ไม่หวังดีสามารถสั่งการให้ประมวลผล คำ� สั่งอันตรายได้ภายใต้สิทธิ์ของผู้ใช้ที่เปิดใช้งานโปรแกรม Internet Explorer ในขณะนั้น ดังนั้นการ ใช้งาน User account ที่ไม่ใช่ Administrator จะส่งผลเสียหายต่อระบบน้อยกว่า หากไม่สามารถติดตั้งแพทช์หรือ Fix it ได้ ผู้ใช้อาจเลี่ยงไปใช้งานเบราว์เซอร์อื่นเป็นการชั่วคราว เพื่อป้องกันปัญหาการถูกโจมตีจากช่องโหว่นี้ อ้างอิง 1. https://technet.microsoft.com/en-us/security/advisory/2887505 2. https://technet.microsoft.com/en-us/security/bulletin/ms13-080 3. http://support.microsoft.com/kb/2879017
  • 66 บทความแจ้งเตือนและข้อแนะนำ� เว็บไซต์ ADOBE ถูกแฮก ข้อมูลผู้ใช้ และซอร์สโค้ดของ โปรแกรมหลุดสู่ อินเทอร์เน็ต วันที่ประกาศ : 30 ตุลาคม 2556 ปรับปรุงล่าสุด : 30 ตุลาคม 2556 เรื่อง : เว็บไซต์ Adobe ถูกแฮก ข้อมูลผู้ใช้ และซอร์สโค้ดของโปรแกรมหลุดสู่ อินเทอร์เน็ต ประเภทภัยคุกคาม : Intrusion ข้อมูลทั่วไป เมื่อวันที่ 3 ตุลาคมที่ผ่านมา เซิร์ฟเวอร์ของบริษัท Adobe ผู้ผลิตโปรแกรมด้านกราฟิกอย่าง Photoshop, Acrobat ได้ถูกผู้ไม่หวังดีเจาะระบบเพื่อขโมยข้อมูลลูกค้า และซอร์สโค้ดของโปรแกรม รูปที่ 1 ตัวอย่างเว็บไซต์ ที่เผยแพร่ข้อมูลที่หลุด จาก Adobe (ที่มา : KrebsOnSecurity [2])
  • CYBER THREATS 2013 67 โดยข้อมูลลูกค้าที่ถูกขโมยไปประกอบไปด้วยชื่อผู้ใช้ รหัสผ่านที่ถูกเข้ารหัสลับข้อมูลไว้ หมายเลขบัตร เครดิตที่ถูกเข้ารหัสลับข้อมูลไว้ และข้อมูลอื่นๆ ที่เกี่ยวข้องกับการซื้อสินค้า ในเบื้องต้น Adobe คาดว่ามีลูกค้าได้รับผลกระทบประมาณ 2.9 ล้านราย [1] ในวันที่ 29 ตุลาคม 2556 มีรายงานว่า ข้อมูลลูกค้ากว่า 38 ล้านราย และซอร์สโค้ดของ โปรแกรมอย่าง Photoshop, Acrobat ถูกเผยแพร่อยู่ในเว็บไซต์ Bittorrent [3] ตัวอย่างเว็บไซต์ ที่เผยแพร่ข้อมูลดังกล่าวเป็นดังรูปที่ 1 ผลกระทบ • ลูกค้าของ Adobe ที่มีรายชื่ออยู่ในบัญชีที่ถูกขโมยข้อมูล อาจถูกผู้ไม่หวังดีเข้าถึงข้อมูล สำ� คัญได้ • ผู้ที่ใช้งานโปรแกรมของ Adobe ที่ถูกขโมยซอร์สโค้ด อาจถูกโจมตีจากช่องโหว่ 0-day ได้ ผู้ที่ได้รับผลกระทบ • ลูกค้าของบริษัท Adobe ที่มีรายชื่ออยู่ในบัญชีที่ถูกขโมยข้อมูล • ผู้ที่ใช้งานโปรแกรมของ Adobe ที่ถูกขโมยซอร์สโค้ด ข้อแนะนำ� ในการป้องกันและแก้ไข ทางบริษัท Adobe ได้ทำ� การรีเซ็ตรหัสผ่านของลูกค้าที่ได้รับผลกระทบ และได้แจ้งให้ลูกค้า เปลี่ยนรหัสผ่านและข้อมูลอื่นๆ ที่เกี่ยวข้องแล้ว เพื่อป้องกันไม่ให้ผู้ไม่หวังดีนำ� ข้อมูลเหล่านี้ไปใช้งานได้ สำ� หรับผู้ที่ใช้งานโปรแกรมของ Adobe ควรติดตามข่าวสาร และหมั่นอัพเดตโปรแกรมที่ใช้งานให้ เป็นเวอร์ชันล่าสุดอยู่เสมอ เพื่อป้องกันการโจมตีผ่านช่องโหว่ 0-day อ้างอิง 1. http://www.theregister.co.uk/2013/10/03/adobe_major_hack/ 2. http://krebsonsecurity.com/2013/10/adobe-breach-impacted-at-least-38-million-users/ 3. http://www.theregister.co.uk/2013/10/30/adobe_data_breach_millions_of_accounts/
  • 68 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย MICROSOFT แจ้งเตือน ช่องโหว่ 0-DAY TIFF CODEC ในโปรแกรม MICROSOFT OFFICE (CVE-2013-3906) วันที่ประกาศ : 6 พฤศจิกายน 2556 ปรับปรุงล่าสุด : 6 พฤศจิกายน 2556 เรื่อง : ระวังภัย Microsoft แจ้งเตือนช่องโหว่ 0-Day TIFF Codec ในโปรแกรม Microsoft Office (CVE-2013-3906) ประเภทภัยคุกคาม : Intrusion ข้อมูลทั่วไป เมื่อวันที่ 5 พฤศจิกายน 2556 Microsoft แจ้งเตือนช่องโหว่เรื่องความมั่นคงปลอดภัย (Security Advisory) หมายเลข 2896666 เรื่องข้อผิดพลาดในการประมวลผลไฟล์ TIFF ใน โปรแกรม Microsoft Office ส่งผลให้ผู้ไม่หวังดีสามารถติดตั้งโปรแกรมไม่พึงประสงค์ลงในเครื่อง ของผู้ใช้ได้ ช่องโหว่นี้มีหมายเลข CVE-2013-3906 โดย Microsoft แจ้งว่าพบการโจมตีด้วย ช่องโหว่นี้แล้วในประเทศแถบในตะวันออกกลาง และเอเชียใต้ [1] วิธีการโจมตีผ่านช่องโหว่นี้ ผู้ไม่หวังดีจะส่งอีเมลที่มีเอกสารแนบเป็นไฟล์ Microsoft Word ที่ ภายในเอกสารมีการฝังไฟล์ TIFF ที่มีโค้ดโจมตีผ่านช่องโหว่นี้เอาไว้ เมื่อผู้ใช้กด Preview หรือเปิด เอกสารนั้นขึ้นมาดูก็จะถูกติดตั้งโปรแกรมไม่พึงประสงค์ลงในเครื่อง ผลกระทบ ผู้ใช้ที่เปิดไฟล์เอกสาร Microsoft Office ที่มีโค้ดอันตรายฝังอยู่จะถูกติดตั้งโปรแกรมไม่พึง ประสงค์ลงในเครื่อง ซึ่งอาจทำ� ลายข้อมูลในเครื่อง หรือเปิดโอกาสให้ผู้ไม่หวังดีเชื่อมต่อเข้ามาควบคุม เครื่องจากระยะไกลได้
  • CYBER THREATS 2013 69 ระบบที่ได้รับผลกระทบ • Microsoft Office 2003 • Microsoft Office 2007 • Microsoft Office 2010 (มีผลเฉพาะบน Windows XP และ Windows Server 2003) สำ� หรับ Microsoft Office 2013 ไม่ได้รับผลกระทบจากช่องโหว่นี้ และช่องโหว่ดังกล่าวนี้ไม่มี ผลกับ Windows Vista, 7, 8, 8.1 [2] ข้อแนะนำ� ในการป้องกันและแก้ไข ปัจจุบันยังอยู่ระหว่างการตรวจสอบ และวิเคราะห์สาเหตุ โดยในเบื้องต้น Microsoft ได้แนะนำ� ให้ผู้ใช้ติดตั้งโปรแกรม Fix-it เพื่อปิดการแสดงผลไฟล์ TIFF เป็นการชั่วคราว [3] อย่างไรก็ตาม Fix-it นี้เป็นเพียงวิธีการแก้ไขปัญหาเฉพาะหน้าเท่านั้น ผู้ใช้ควรติดตามข่าวสารอย่างสมË่ำเสมอ และรีบ ติดตั้งแพทช์จาก Microsoft ทันทีที่สามารถทำ� ได้ อย่างไรก็ตามการติดตั้ง Fix-it นี้อาจก่อให้เกิด ปัญหากับบางโปรแกรมที่มีการเรียกใช้งานไฟล์ TIFF หากไม่สามารถติดตั้ง Fix-it ได้ Microsoft ได้แนะนำ� ให้ติดตั้งโปรแกรม EMET เพื่อช่วยลด ผลกระทบที่เกิดจากช่องโหว่นี้ ดังรูปที่ 1 รูปที่ 1 ตัวอย่างการแจ้งเตือนของโปรแกรม EMET เมื่อพบการโจมตีผ่านช่องโหว่ของ Microsoft Word นอกจากนี้ Microsoft ได้แนะนำ� ให้ผู้ที่ยังใช้งาน Windows XP อยู่ ควรอัพเกรดเป็น Windows เวอร์ชันใหม่ก่อนวันที่ 8 เมษายน 2557 เพราะจะหมดระยะเวลาการสนับสนุน ผลิตภัณฑ์แล้ว และจะไม่มีการอัพเดตแก้ไขช่องโหว่ความมั่นคงปลอดภัยอีกต่อไป อ้างอิง 1. http://blogs.technet.com/b/srd/archive/2013/11/05/cve-2013-3906-a-graphics-vulnerability- exploited-through-word-documents.aspx?Redirected=true 2. http://blogs.technet.com/b/msrc/archive/2013/11/05/microsoft-releases-security-advisory- 2896666-v2.aspx?Redirected=true 3. https://support.microsoft.com/kb/2896666
  • 70 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย MICROSOFT แจ้งเตือนช่องโหว่ 0-DAY ใน WINDOWS XP/2003 โจมตีผ่าน ADOBE READER วันที่ประกาศ : 3 ธันวาคม 2556 ปรับปรุงล่าสุด : 18 ธันวาคม 2556 เรื่อง : ระวังภัย Microsoft แจ้งเตือนช่องโหว่ 0-Day ใน Windows XP/2003 โจมตีผ่าน Adobe Reader ประเภทภัยคุกคาม : Intrusion ข้อมูลทั่วไป เมื่อวันที่ 27 พฤศจิกายน 2556 บริษัท FireEye ได้ประกาศช่องโหว่ในระบบปฏิบัติการ Windows XP ที่ส่งผลให้ User ระดับใดๆ ก็ตามสามารถสั่งประมวลผลคำ� สั่งอันตรายได้ภายใต้สิทธิ์ Kernel ของระบบ ปัจจุบันพบการโจมตีผ่านช่องโหว่นี้แล้ว [1] ถึงแม้ว่าการโจมตีผ่านช่องโหว่นี้จะไม่สามารถทาได้จากระยะไกล (Remote code execution) แต่ผู้ไม่หวังดีสามารถโจมตีผ่านช่องโหว่ของซอฟต์แวร์อื่นๆ ที่เรียกใช้งานฟังก์ชันที่เกี่ยวข้องกับช่องโหว่ นี้ได้ ซึ่งโปรแกรมที่ว่านั้นก็ได้รับการยืนยันว่าเป็นโปรแกรม Adobe Reader โดยในการโจมตี ผู้ไม่ หวังดีจะหลอกให้ผู้ใช้เปิดไฟล์ PDF ที่มีโค้ดสาหรับโจมตีผ่านช่องโหว่นี้อยู่ ทาง Microsoft ได้ออกแจ้งเตือน Security Advisory หมายเลข 2914486 เพื่อเพิ่มเติม ข้อมูลของช่องโหว่นี้แล้ว โดยแจ้งว่าระบบที่ได้รับผลกระทบคือ Windows XP และ Windows 2003 ปัจจุบันกำ� ลังอยู่ระหว่างการตรวจสอบเพื่อหาวิธีแก้ไข ช่องโหว่นี้ได้รับหมายเลข CVE- 2013-5065 [2] ล่าสุดทีมพัฒนาโปรแกรม Metasploit ซึ่งเป็นโปรแกรมที่ใช้ทดสอบช่องโหว่ ของระบบ ได้พัฒนาโมดูลสำ� หรับโจมตีผ่านช่องโหว่นี้ออกมาแล้ว [3]
  • CYBER THREATS 2013 71 ผลกระทบ ช่องโหว่นี้เป็นการสั่งประมวลผลคำ� สั่งใดๆ ก็ได้ภายใต้สิทธิ์ระดับเดียวกับ Kernel ของระบบ ผู้ไม่หวังดีสามารถสั่งติดตั้งโปรแกรม เรียกดู แก้ไข หรือลบข้อมูลในเครื่อง หรืออาจสร้าง User account ใหม่ขึ้นมาให้มีสิทธิ์เป็น Administrator ของระบบได้ ระบบที่ได้รับผลกระทบ • Windows XP Service Pack 3 • Windows XP Professional x64 Edition Service Pack 2 • Windows Server 2003 Service Pack 2 • Windows Server 2003 x64 Edition Service Pack 2 • Windows Server 2003 with SP2 for Itanium-based Systems • Adobe Reader 9.5.4, 10.1.6, 11.0.02 หรือเก่ากว่า ข้อแนะนำ� ในการป้องกันและแก้ไข เนื่องจากวิธีการโจมตีผ่านช่องโหว่นี้ ในปัจจุบันยังพบแค่การโจมตีผ่านโปรแกรม Adobe Reader เวอร์ชันเก่า ดังนั้นวิธีการลดผลกระทบจากปัญหาดังกล่าวจึงสามารถทำ� ได้โดยการอัพเดต โปรแกรม Adobe Reader ให้เป็นเวอร์ชันล่าสุด [4] สาเหตุของช่องโหว่เกิดจากไฟล์ NDProxy.sys ซึ่งเป็นไดรเวอร์ของระบบที่เกี่ยวข้องกับการ ติดต่อสื่อสารผ่านทางโทรศัพท์ [5] มีความผิดพลาดในการประมวลผลข้อมูลที่รับเข้ามา เนื่องจาก ช่องโหว่ดังกล่าวนี้ยังอยู่ระหว่างการตรวจสอบและยังไม่มีวิธีการแก้ไข ทาง Microsoft ได้แนะนำ� วิธี ลดผลกระทบจากปัญหานี้ชั่วคราวโดยการปิดการทำ� งานของระบบ NDProxy วิธีปิดการทางานของระบบ NDProxy 1. รันโปรแกรม Command Prompt ภายใต้สิทธิ์ของ Administrator 2. พิมพ์คำ� สั่ง sc stop ndproxy reg add HKLMSystemCurrentControlSet Servicesndproxy /v ImagePath /t REG_EXPAND_SZ /d system32driversnull. sys /f 3. รีสตาร์ทเครื่อง หมายเหตุ: การปิดการทำ� งานของระบบ NDProxy อาจส่งผลให้ระบบอื่นๆ ที่ เกี่ยวข้องไม่สามารถใช้งานได้ เช่น Remote Access Service (RAS), Dial-up networking, Virtual Private Networking (VPN) ในกรณีที่พบปัญหาข้างต้น สามารถเปิดการทำ� งานของระบบ NDProxy กลับคืนได้ โดยใช้วิธีการดังนี้
  • 72 บทความแจ้งเตือนและข้อแนะนำ� วิธีเปิดการทางานของระบบ NDProxy 1. รันโปรแกรม Command Prompt ภายใต้สิทธิ์ของ Administrator 2. พิมพ์คำ� สั่ง sc stop ndproxy reg add HKLMSystemCurrentControlSet Servicesndproxy /v ImagePath /t REG_EXPAND_SZ /d system32drivers ndproxy.sys /f 3. รีสตาร์ทเครื่อง เนื่องจาก Windows XP จะหมดระยะเวลาการสนับสนุนด้านความมั่นคงปลอดภัย ในเดือน เมษายน 2557 ดังนั้นจึงควรอัพเกรดไปใช้งานระบบปฏิบัติการรุ่นที่ใหม่กว่าเพื่อความปลอดภัย อ้างอิง 1. http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/ms-windows- local-privilege-escalation-zero-day-in-the-wild.html 2. https://technet.microsoft.com/en-us/security/advisory/2914486 3. http://www.exploit-db.com/exploits/30392/ 4. http://www.adobe.com/support/security/bulletins/apsb13-15.html 5. http://msdn.microsoft.com/library/windows/hardware/ ff568322%28v=vs.85%29.aspx
  • CYBER THREATS 2013 73
  • 74 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ใน คำ� สั่ง SUDO ผู้ไม่หวังดี สามารถได้สิทธิ์ของ ROOT โดยไม่ต้องใส่รหัสผ่าน วันที่ประกาศ : 6 มีนาคม 2556 ปรับปรุงล่าสุด : 6 มีนาคม 2556 เรื่อง : ระวังภัย ช่องโหว่ในคำ� สั่ง sudo ผู้ไม่หวังดีสามารถได้สิทธิ์ของ root โดยไม่ต้อง ใส่รหัสผ่าน ประเภทภัยคุกคาม : Intrusion ข้อมูลทั่วไป ในระบบปฏิบัติการตระกูล Unix หรือ Unix-like (เช่น Mac OS X หรือ Linux) จะมีคำ� สั่ง sudo ไว้สำ� หรับเรียกใช้งานคำ� สั่ง หรือโปรแกรมใดๆ โดยใช้สิทธิ์ของ root ซึ่งคำ� สั่งนี้มีไว้เพื่อความ ปลอดภัยเพราะผู้ใช้ไม่จำ� เป็นต้องล็อกอินเป็น root เพื่อใช้คำ� สั่ง หรือใช้งานโปรแกรม แต่จะเรียกใช้งาน คำ� สั่งหรือโปรแกรมที่ต้องการผ่านคำ� สั่ง sudo โดยใช้รหัสผ่านของตัวเองในการยืนยันตัวตน หลังจากผู้ใช้ใส่รหัสผ่านเพื่อใช้งานคำ� สั่ง sudo แล้ว ระบบจะบันทึก timestamp ไว้ เพื่อ อำ� นวยความสะดวกให้ผู้ใช้สามารถใช้คำ� สั่ง sudo ในการเรียกใช้งานคำ� สั่ง หรือโปรแกรมใดๆ ได้โดยไม่ ต้องใส่รหัสผ่านอีก ซึ่งช่วงเวลาดังกล่าวมีเวลาประมาณ 5 นาที อย่างไรก็ตาม เมื่อเดือนมีนาคม มีผู้ค้นพบช่องโหว่ของกลไกดังกล่าว โดยพบว่าหากใช้คำ� สั่ง sudo และระบบบันทึก timestamp ไว้แล้ว ในช่วงเวลาดังกล่าวหากมีการแก้ไขวันเวลาของระบบโดย ใช้คำ� สั่ง sudo -k เพื่อรีเซ็ตวันเวลาให้กลับไปเป็นเวลา 1970-01-01 01:00:00 (วันเวลาเริ่มต้นของ Unix time) ผู้ใช้คนดังกล่าวก็จะสามารถใช้คำ� สั่ง sudo โดยไม่ต้องใส่รหัสผ่านได้ตลอดไป [1] ช่องโหว่ดังกล่าวนี้มีหมายเลข CVE-2013-1775 [2] ผลกระทบ ผู้ใช้ที่สามารถใช้คำ� สั่ง sudo ได้ จะสามารถทำ� งานภายใต้สิทธิ์ของ root ผ่านคำ� สั่ง sudo ได้ โดยไม่ต้องใส่รหัสผ่าน ในกรณีที่เป็นระบบที่ใช้งานเพียงคนเดียว ช่องโหว่นี้อาจไม่มีผลกระทบมากนัก แต่หากมีการใช้ คำ�สั่ง sudo แล้วมีผู้อื่นมาใช้งานต่อ อาจเกิดความเสียหายกับระบบได้ อย่างไรก็ตามจากช่องโหว่นี้
  • CYBER THREATS 2013 75 ผู้ใช้ไม่สามารถเรียกใช้คำ� สั่งที่อยู่นอกเหนือจากสิทธิ์ที่กำ� หนดไว้ในไฟล์ /etc/sudoers ได้ ระบบที่ได้รับผลกระทบ ระบบปฏิบัติการ Unix และ Unix-like ที่ติดตั้งโปรแกรม sudo เวอร์ชัน 1.6.0 ถึง 1.7.10p6 และ sudo 1.8.0 ถึง 1.8.6p6 ข้อแนะนำ� ในการป้องกันและแก้ไข ช่องโหว่นี้มีการแก้ไขแล้วใน sudo เวอร์ชัน 1.7.10p7 และ 1.8.6p7 ผู้ใช้งานระบบปฏิบัติการ Linux สามารถอัพเดตโปรแกรมเวอร์ชันใหม่ได้จากระบบ Package manager ของ Distro ที่ใช้ สำ� หรับผู้ใช้งานระบบปฏิบัติการ Mac OS X ปัจจุบัน Mac OS X 10.8.2 ใช้ sudo เวอร์ชัน 1.7.4p6 ซึ่งมีช่องโหว่ และยังไม่มีวิธีแก้ไขจนกว่า Apple จะปล่อยซอฟต์แวร์อัพเดต [3] ผู้ใช้งานสามารถตรวจสอบเวอร์ชันของ sudo ได้โดยพิมพ์คำ� สั่ง sudo -V ซึ่งจะได้ผลลัพธ์ดัง ตัวอย่างในรูปที่ 1 รูปที่ 1 ตัวอย่างการตรวจสอบเวอร์ชันของคำ� สั่ง sudo อ้างอิง 1. http://www.sudo.ws/sudo/alerts/epoch_ticket.html 2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1775 3. http://www.h-online.com/security/news/item/Security-vulnerability-in-sudo-allows-privilege- escalation-1816387.html
  • 76 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ 0-DAY ใน INTERNET EXPLORER 8 (CVE-2013-1347) หน่วยงานในสหรัฐถูกโจมตีแล้ว วันที่ประกาศ : 7 พฤษภาคม 2556 ปรับปรุงล่าสุด : 8 พฤษภาคม 2556 เรื่อง : ระวังภัย ช่องโหว่ 0-day ใน Internet Explorer 8 (CVE-2013-1347) หน่วยงานในสหรัฐถูกโจมตีแล้ว ประเภทภัยคุกคาม : Intrusion ข้อมูลทั่วไป เมื่อวันที่ 3 พฤษภาคม 2556 บริษัท Microsoft ได้ประกาศแจ้งเตือนช่องโหว่ด้านความ มั่นคงปลอดภัย (Security Advisory) หมายเลข 2847140 เรื่องช่องโหว่ในโปรแกรม Internet Explorer 8 ซึ่งอนุญาตให้ผู้ไม่หวังดีสามารถสั่งประมวลผลคำ� สั่งอันตรายบน เครื่องของเหยื่อได้ (Remote Code Execution) [1] ช่องโหว่ดังกล่าวนี้ยังอยู่ระหว่างการ ตรวจสอบและยังไม่มีวิธีแก้ไข ในการโจมตี ผู้ไม่หวังดีจะสร้างเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่ หรือแทรกโค้ดที่มีอันตราย นั้นไว้ในเว็บไซต์ที่ถูกแฮก จากนั้นใช้วิธีการทาง Social Engineering หลอกล่อให้เหยื่อเข้าไปยัง เว็บไซต์ดังกล่าว จากนั้นโค้ดอันตรายที่ถูกฝังอยู่ก็จะเริ่มทำ� งานทันทีที่เหยื่อเข้าเยี่ยมชมหน้าเว็บไซต์ เมื่อวันที่ 4 พฤษภาคม 2556 มีรายงานว่าผู้ไม่หวังดีได้ฝังโค้ดไว้ในเว็บไซต์ของกระทรวง แรงงาน ประเทศสหรัฐอเมริกา (U.S. Department of Labor) เพื่อให้หน้าเว็บไซต์ดังกล่าว Redirect ไปยังหน้าเว็บไซต์ที่มีโค้ดที่โจมตีผ่านช่องโหว่ดังกล่าวนี้ โดยโค้ดนั้นจะติดตั้งโทรจันชื่อ Poison Ivy ในเครื่องของเหยื่อ หลังจากนั้นไม่นานก็ปรากฏว่าฐานข้อมูลรายชื่อของพนักงานที่ ทำ� งานเกี่ยวกับการวิจัยด้านอาวุธนิวเคลียร์ถูกเปิดเผย [2] [3] ผลกระทบ
  • CYBER THREATS 2013 77 ผู้ไม่หวังดีสามารถสั่งให้เครื่องของเหยื่อประมวลผลคำ� สั่งใดๆ ก็ได้ เพียงแค่หลอกให้เหยื่อเข้าไปยัง เว็บไซต์ที่มีโค้ดอันตรายฝังอยู่ ระบบที่ได้รับผลกระทบ ช่องโหว่ดังกล่าวนี้มีผลเฉพาะ Internet Explorer 8 เท่านั้น สำ� หรับเวอร์ชั่น 6, 7, 9 และ 10 ไม่ได้รับผลกระทบ จากสถิติของเว็บไซต์ TrueHits พบว่าในเดือนเมษายน 2556 ผู้ใช้งานอินเทอร์เน็ตใน ประเทศไทย ยังมีการใช้งาน Internet Explorer 8 อยู่ถึง 13.07% ซึ่งผู้ใช้เหล่านี้มีโอกาสเสี่ยงที่จะ ถูกโจมตีผ่านช่องโหว่ดังกล่าว [4] ข้อแนะนำ� ในการป้องกันและแก้ไข ทาง Microsoft ยังอยู่ระหว่างการตรวจสอบข้อมูล และยังไม่มีแพทช์แก้ไขช่องโหว่ดังกล่าวออก มาในขณะนี้ ผู้ใช้งานควรอัพเดตเวอร์ชันของโปรแกรม Internet Explorer ให้เป็นเวอร์ชันล่าสุด (9 หรือ 10) หรือเปลี่ยนไปใช้เบราว์เซอร์อื่นเป็นการชั่วคราว อย่างไรก็ตามทาง Microsoft ได้มีทางออกชั่วคราวสำ� หรับผู้ที่จำ� เป็นต้องใช้งานโปรแกรม Internet Explorer 8 อยู่ โดยสามารถใช้ทางเลือกดังกล่าวนี้ในการลดความเสียหายที่อาจจะ เกิดขึ้นได้ • ติดตั้งโปรแกรม EMET และกำ� หนดค่าให้ใช้งานกับโปรแกรม Internet Explorer ซึ่งทาง ไทยเซิร์ตเคยเผยแพร่บทความเรื่องวิธีการใช้งาน EMET ไว้แล้ว [5] • กำ� หนดค่า Security Level ของ Internet และ Local intranet ใน Internet Explorer ให้เป็น High รวมถึงปิดการทำ� งานของ ActiveX Controls และ Active Scripting • กำ� หนดค่าให้ Internet Explorer ถามการยืนยันจากผู้ใช้ทุกครั้งก่อนที่จะมีการใช้งาน Active Scripting ซึ่งวิธีการกำ� หนดค่า Security Level ของโปรแกรม Internet Explorer ผู้ใช้ สามารถศึกษาได้จากหน้าเว็บไซต์ Security Advisory ของ Microsoft [1] ในส่วน หัวข้อ Suggested Actions อ้างอิง 1. http://technet.microsoft.com/en-us/security/advisory/2847140 2. http://arstechnica.com/security/2013/05/internet-explorer-zero-day-exploit-targets- nuclear-weapons-researchers/ 3. http://www.technewsworld.com/rsstory/77968.html 4. http://truehits.net/graph/graph_stat.php#WEB 5. http://www.thaicert.or.th/papers/technical/2012/pa2012te004.html
  • 78 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ “MASTER KEY” ในระบบ ปฏิบัติการ ANDROID วันที่ประกาศ : 17 กรกฏาคม 2556 ปรับปรุงล่าสุด : 17 กรกฏาคม 2556 เรื่อง : ระวังภัย ช่องโหว่ “Master Key” ในระบบปฏิบัติการ Android ประเภทภัยคุกคาม : Intrusion ข้อมูลทั่วไป เมื่อช่วงต้นเดือนกรกฎาคม 2556 นักวิจัยจากบริษัท Bluebox Security ได้เปิดเผยข้อมูล ช่องโหว่ในกระบวนการตรวจสอบแอปพลิเคชันของระบบปฏิบัติการ Android ซึ่งช่องโหว่ดังกล่าวนี้ มีผลกระทบกับอุปกรณ์ที่ใช้งานระบบปฏิบัติการ Android ตั้งแต่เวอร์ชัน 1.6 จนถึง 4.2.2 ซึ่งคิด เป็นจำ� นวนกว่า 99% ของเครื่องที่มีการใช้งานอยู่ในปัจจุบัน (ประมาณ 900 ล้านเครื่อง) [1] โดยปกติแล้วแอปพลิเคชันของระบบปฏิบัติการ Android (ไฟล์นามสกุล .apk) ที่ผู้ใช้จะนำ� มา ติดตั้งลงในเครื่องได้ จะต้องผ่านกระบวนการ Sign โดยใช้ Digital certificate ของผู้พัฒนา ซึ่ง หลังจากที่ผ่านกระบวนการ Sign แล้ว ไฟล์ .apk นั้นก็จะมีข้อมูลที่เรียกว่า Signature ที่เอาไว้ใช้ ยืนยันว่าข้อมูลทั้งหมดที่อยู่ในไฟล์ .apk นั้นมาจากผู้พัฒนาตัวจริง ไม่ได้ถูกดัดแปลงแก้ไขโดยบุคคล อื่นในภายหลัง [2] เมื่อผู้ใช้ทำ� การติดตั้งแอปพลิเคชันจากไฟล์ .apk ระบบจะตรวจสอบว่าในเครื่องมี แอปพลิเคชันตัวเดียวถูกติดตั้งอยู่แล้วหรือไม่ หาก พบว่ามีอยู่แล้ว ก็จะตรวจสอบว่าแอปพลิเคชันตัวที่ จะติดตั้งนั้นมาจากผู้พัฒนาคนเดียวกันกับ แอปพลิเคชันตัวที่เคยติดตั้งอยู่ในเครื่องหรือเปล่า ซึ่งทำ� ได้โดยการเปรียบเทียบ Signature ว่าตรง กันหรือไม่ หากไม่ตรงกันก็จะไม่ยอมให้ผู้ใช้ติดตั้ง แอปพลิเคชันดังกล่าว โดยตัวอย่างในรูปที่ 1 แสดง การติดตั้งแอปพลิเคชันชื่อ Falcon Pro เวอร์ชัน ที่มีการดัดแปลงลงในเครื่องที่ติดตั้งแอปพลิเคชัน ตัวจริงจากผู้พัฒนาไว้ก่อนแล้ว ซึ่งระบบจะไม่ยอม ให้ติดตั้งแอปพลิเคชันตัวใหม่ลงในเครื่อง
  • CYBER THREATS 2013 79 รูปที่ 1 ตัวอย่างหน้าจอการแจ้งเตือนไม่ยอมให้ติดตั้งแอปพลิเคชัน ที่มี Signature ไม่ถูกต้อง ในแอปพลิเคชันที่มาจากผู้พัฒนารายเดียวกันจะมี Signature ที่ตรงกัน ทำ� ให้ผู้ใช้สามารถ ติดตั้งหรืออัพเดตแอปพลิเคชันได้อย่างไม่มีปัญหา แต่หากแอปพลิเคชันดังกล่าวถูกบุคคลอื่นนำ� ไฟล์ .apk ไปเปลี่ยนแปลง เช่น แก้ไขข้อมูลใน Source Code แล้ว Repack ไฟล์ .apk นั้นกลับเข้ามา ใหม่ ในกระบวนการ Repack จะต้องมีการ Sign Signature ให้กับแอปพลิเคชัน ซึ่งผู้ที่แก้ไขไฟล์ .apk นั้นอาจจะต้องสร้าง Certificate ขึ้นมาใหม่ ทำ� ให้ Signature ของไฟล์ .apk ที่ถูกแก้ไขนั้นไม่ ตรงกับสิ่งที่อยู่ในแอปพลิเคชันของผู้พัฒนาตัวจริง นักวิจัยจาก Bluebox Security ค้นพบวิธีแก้ไขไฟล์ .apk โดยคง Signature ของเดิมไว้ ซึ่งช่องโหว่ดังกล่าวนี้ทำ� ให้ผู้ไม่หวังดีสามารถแก้ไขโค้ดของไฟล์ .apk แล้ว Repack เข้าไปใหม่โดยยังคง Signature เดิมไว้ได้ ทำ� ให้เมื่อผู้ใช้ติดตั้งแอปพลิเคชันดังกล่าวลงในเครื่องที่เคยติดตั้งแอปพลิเคชันนี้ได้ แล้ว ระบบจะไม่แจ้งว่า Signature ไม่ถูกต้อง ซึ่งทำ� ให้ผู้ไม่หวังดีสามารถนำ� เอาแอปพลิเคชันใดๆ มา ดัดแปลงให้เป็นมัลแวร์ได้ โดยระบบจะไม่สามารถรู้ได้เลยว่าแอปพลิเคชันนั้นไม่ใช่ตัวจริงที่มาจากผู้พัฒนา สาเหตุของช่องโหว่ แอปพลิเคชันของระบบปฏิบัติการ Android จะอยู่ในรูปแบบไฟล์ .apk (Android Package) ซึ่งโดยแท้จริงแล้วเป็นไฟล์ประเภท Zip ที่สามารถใช้โปรแกรมประเภท Archiver ทั่วไปทำ� การ Extract ไฟล์ที่อยู่ข้างในออกมาดูได้ ในไฟล์ .apk เกือบทุกไฟล์จะมีไดเรกทอรีชื่อ META-INF ซึ่งภายในจะมีไฟล์ MANIFEST.MF ที่
  • 80 บทความแจ้งเตือนและข้อแนะนำ� เก็บข้อมูล Checksum แบบ SHA1-Digest ของไฟล์ทุกไฟล์ที่อยู่ใน Package นั้น ดังรูปที่ 2 เมื่อผู้ใช้ทำ� การติดตั้งแอปพลิเคชันจากไฟล์ .apk ตัวระบบปฏิบัติการ Android จะตรวจสอบค่า Checksum ของแต่ละไฟล์ เทียบกับข้อมูลในไฟล์ MANIFEST.MF หากพบว่าไฟล์ใดไฟล์หนึ่งมีค่า Checksum ไม่ตรง ก็จะไม่อนุญาตให้ติดตั้งไฟล์ .apk ดังกล่าวลงในเครื่อง รูปที่ 2 ตัวอย่างข้อมูลในไฟล์ MANIFEST.MF (ที่มา : NakedSecurity [3]) นักวิจัยจาก Bluebox Security พบว่าระบบการตรวจสอบนี้จะทำ� งานผิดพลาดหากพบว่า ไฟล์ .apk นั้นมีข้อมูลไฟล์ชื่อเดียวกันซË้ำกัน 2 ไฟล์ ซึ่งถึงแม้ว่าโปรแกรมประเภท Archiver โดย ทั่วไปจะไม่อนุญาตให้มีเหตุการณ์แบบนี้เกิดขึ้นได้ แต่เนื่องจากโครงสร้างของไฟล์ประเภท Zip นั้นไม่มี ระบบการป้องกันในเรื่องของชื่อไฟล์ซË้ำ ทำ� ให้การเข้าไปแก้ไขข้อมูลในไฟล์ Zip โดยตรง หรือเขียน โปรแกรมขึ้นมาเพื่อใส่ไฟล์ที่มีชื่อเดียวกันและอยู่ใน Path เดียวกันลงไปในไฟล์ Zip นั้นสามารถทำ� ได้ [4] ดังรูปที่ 3
  • CYBER THREATS 2013 81 รูปที่ 3 ตัวอย่างการแก้ไขไฟล์ .apk โดยใส่ไฟล์ที่มีชื่อซË้ำกัน (ที่มา : NakedSecurity [3]) เมื่อผู้ใช้ติดตั้งไฟล์ .apk ที่ถูกแก้ไขให้มีไฟล์ที่มีชื่อซË้ำกัน 2 ไฟล์ ตัวติดตั้งของระบบปฏิบัติการ Android จะตรวจสอบข้อมูล Checksum ของไฟล์แรก แต่จะ Extract และติดตั้งข้อมูลจากไฟล์ที่ สอง ด้วยช่องโหว่นี้ ทำ� ให้ผู้ไม่หวังดีสามารถแก้ไขไฟล์ .apk ใดๆ เพื่อหลอกให้ระบบเห็นว่าถูกสร้างมา จากนักพัฒนาตัวจริง ด้วยการเพิ่มไฟล์ใหม่เข้าไปให้มีชื่อซË้ำกับไฟล์เดิมเท่านั้น
  • 82 บทความแจ้งเตือนและข้อแนะนำ� หลังจากที่ทาง Bluebox Security ได้เผยแพร่ข้อมูลช่องโหว่ไปได้ไม่นาน นักวิจัยชาวจีนที่ใช้ชื่อ ทีมว่า “Android Security Squad” ก็ได้ค้นพบช่องโหว่ลักษณะคล้ายกันนี้ในไฟล์ classes.dex ซึ่งพบว่าในโครงสร้างของไฟล์ classes.dex นั้น หากแก้ไขข้อมูลในส่วน extra field ให้มีค่าเป็น 0xFFFD จะสามารถหลอกการทำ� งานของระบบตรวจสอบความถูกต้องของไฟล์ ให้ไปโหลดไฟล์ classes.dex ตัวที่ถูกแก้ไขมาใช้แทนไฟล์ที่ถูกต้องได้ [3] ดังแสดงในรูปที่ 4 รูปที่ 4 ตัวอย่างการแก้ไขไฟล์ class.dex (ที่มา : sina [5]) วิธีการโจมตี เนื่องจากสาเหตุของช่องโหว่นี้เกิดจากความผิดพลาดในการตรวจสอบความถูกต้องของไฟล์ .apk ในขณะที่ทำ� การติดตั้งแอปพลิเคชัน ดังนั้น รูปแบบหลักๆ ของการโจมตีผ่านช่องโหว่นี้ ผู้ไม่หวัง ดีจะพยายามหลอกล่อให้ผู้ใช้ติดตั้งแอปพลิเคชันที่ผ่านการแก้ไขมาแล้วให้ได้ ซึ่งอาจใช้วิธีการ เช่น แอปพลิเคชันเถื่อน ที่จริงแล้วก็ไม่ใช่เรื่องน่าแปลกใจอะไร เพราะแอปพลิเคชันเถื่อนส่วนมากจะเป็นการนำ� เอา แอปพลิเคชันที่ถูกลิขสิทธิ์มาดัดแปลงแก้ไขการทำ� งานให้ผิดเพี้ยนไป ซึ่งผู้ไม่หวังดีสามารถเพิ่มโค้ด อันตรายใส่เข้าไปได้ง่ายๆ และถึงแม้จะไม่มีการค้นพบช่องโหว่นี้ ผู้ที่ใช้แอปพลิเคชันเถื่อนก็มีความเสี่ยงใน การติดมัลแวร์มากอยู่แล้ว
  • CYBER THREATS 2013 83 Social Engineering การหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชันด้วยวิธี Social Engineering เริ่มจะมีแนวโน้มเพิ่มมากขึ้น เพราะตัวอย่างกรณีมัลแวร์ที่แก้ไขหน้าเว็บไซต์ธนาคารออนไลน์ [6] เพื่อหลอกให้ผู้ใช้ติดตั้งแอนตี้ไวรัส ปลอม [7] ที่มีผู้ตกเป็นเหยื่ออยู่หลายรายนั้นก็แสดงให้เห็นแล้วว่าวิธีนี้ใช้ได้ผล และในอนาคตน่าจะมี การโจมตีในลักษณะนี้ออกมาอีกเรื่อยๆ Drive-by-download ในช่วง 1-2 ปีที่ผ่านมา มีข่าวการเจาะเว็บไซต์เพื่อฝังมัลแวร์ที่โจมตีอุปกรณ์ที่ใช้งานระบบปฏิบัติ การ Android ออกมาให้เห็นกันอยู่เรื่อยๆ โดยจะมีวิธีการโจมตี คือ หลังจากที่ผู้ใช้เข้าไปยังเว็บไซต์ที่ ถูกเจาะ จะมีการดาวน์โหลดไฟล์ .apk ที่เป็นมัลแวร์ลงมาในเครื่องของผู้ใช้โดยอัตโนมัติ โดยจะมีการ ตั้งชื่อไฟล์หลอกล่อให้ผู้ใช้หลงเชื่อ เช่น Updater.apk เป็นต้น แต่ในการจะติดมัลแวร์นี้ได้ผู้ใช้ต้องเป็น คนกดอนุญาตให้ติดตั้งโปรแกรมเสียก่อน [8] [9] อย่างไรก็ตามในระบบปฏิบัติการ Android รุ่นเก่าๆ (เช่น 2.1) จะมีช่องโหว่ในแอปพลิเคชัน Browser ที่มากับตัวเครื่อง (CVE-2010-1807) ซึ่งเป็นช่องโหว่ของเอนจิน Webkit ที่ใช้ในการ แสดงผลหน้าเว็บไซต์ ซึ่งทำ� ให้ผู้ไม่หวังดีสามารถสั่งประมวลผลคำ� สั่งใดๆ ก็ตามบนเครื่องของผู้ใช้ได้เมื่อ ผู้ใช้เข้าไปยังเว็บไซต์ที่มีการโจมตีผ่านช่องโหว่ดังกล่าวผ่านเบราว์เซอร์ของ Android [10] นั่นทำ� ให้ผู้ใช้ สามารถติดมัลแวร์ได้ทันที่ที่เข้าเว็บไซต์ โดยไม่จำ� เป็นต้องกดยอมรับการติดตั้งแอปพลิเคชันแต่อย่างใด การโจมตีผ่านช่องโหว่นี้เคยเกิดขึ้นแล้วเมื่อเดือนมีนาคม 2555 โดยผู้ไม่หวังดีจะส่ง SMS ที่มีลิงก์ สำ� หรับเปิดเว็บไซต์มาที่เครื่องของเหยื่อ โดยทันทีที่เหยื่อกดเข้าไปในลิงก์นั้นก็จะติดมัลแวร์ในทันที [11] Fake OTA Update OTA Update หรือ “Over the Air Update” เป็นคำ� ที่ใช้เรียกการติดตั้งซอฟต์แวร์อัพเดตได้ โดยตรงจากตัวเครื่อง โดยไม่ต้องเชื่อมต่อสายเคเบิลเข้ากับเครื่องคอมพิวเตอร์เพื่อทำ� การอัพเดต ซึ่ง โดยปกติแล้วเมื่อผู้ผลิตมีการปล่อยซอฟต์แวร์อัพเดตออกมาก็จะมีการแสดงข้อความแจ้งเตือนมายัง อุปกรณ์เพื่อให้ติดตั้งการอัพเดต โดยปกติแล้วระบบซอฟต์แวร์อัพเดตจะมีการตรวจสอบ Certificate หรือ Signature ของ ซอฟต์แวร์อยู่แล้วว่าเป็นอัพเดตที่มาจากผู้ผลิตจริงหรือไม่ แต่ในกรณีที่ผู้ไม่หวังดีสามารถปลอมแปลง ตัวแอปพลิเคชันเพื่อหลอกว่ามาจากผู้ผลิตได้ ก็อาจจะมีผู้นำ� เทคนิคนี้มาใช้ในการโจมตีได้ การปลอมแปลง Certificate เพื่อปล่อยอัพเดตแบบปลอมๆ นั้นไม่ใช่เรื่องใหม่ เพราะในเดือน มิถุนายน 2555 มีมัลแวร์ชื่อ Flame ใช้วิธีการปลอมแปลง Certificate ของ Microsoft เพื่อเผยแพร่ Windows Update ปลอมไปยังเครื่องในเครือข่าย [12] Play Store Play Store ดูจะเป็นที่ที่ปลอดภัยที่สุดสำ� หรับการดาวน์โหลดแอปพลิเคชันมาติดตั้ง ถึงแม้ ปัจจุบันทาง Google แจ้งว่าได้ปรับปรุง Play Store ให้มีการตรวจสอบ และป้องกันแอปพลิเคชัน ที่โจมตีผ่านช่องโหว่นี้แล้ว [13] แต่ก็ยังมีผู้ไม่หวังดีพยายามหาวิธีที่จะหลบเลี่ยงระบบตรวจสอบเพื่อ
  • 84 บทความแจ้งเตือนและข้อแนะนำ� ส่งแอปพลิเคชันที่เป็นมัลแวร์เข้ามาใน Play Store อยู่เรื่อยๆ และจากการที่มีข่าวมัลแวร์ใน Play Store ออกมาอยู่เป็นระยะๆ ก็อาจทำ� ให้เราไม่สามารถไว้วางใจแอปพลิเคชันจาก Play Store ได้อย่าง 100% นัก การป้องกันและแก้ไขปัญหา ทาง Bluebox Security ได้แจ้งช่องโหว่นี้ไปยัง Google ตั้งแต่เดือนกุมภาพันธ์ 2556 แล้ว ซึ่งหลังจากนั้นทาง Google ได้ประสานงานไปยังผู้ผลิตอุปกรณ์ที่ใช้งานระบบปฏิบัติการ Android เพื่อให้ออกอัพเดตที่แก้ไขปัญหานี้ อย่างไรก็ตาม ในปัจจุบัน (ขณะที่เขียนบทความนี้) มีอุปกรณ์ที่ใช้งานระบบปฏิบัติการ Android เพียงแค่ 2 รุ่นที่ได้รับการอัพเดตแก้ไขช่องโหว่อย่างเป็นทางการ นั่นคือ Samsung Galaxy S4 และ HTC One ที่ใช้งานเฟิร์มแวร์ Android เวอร์ชั่น 4.2.2 [14] ในขณะที่อุปกรณ์ที่มาจากผู้ผลิต รายอื่นๆ หรือแม้กระทั่ง Nexus ที่ใช้ซอฟต์แวร์จากทาง Google เอง ก็ยังไม่ได้มีซอฟต์แวร์อัพเดต หรือแพทช์ออกมาแต่อย่างใด จากปัญหาข้างต้นก็ทำ� ให้เกิดคำ� ถามตามมาในเรื่องของการอัพเดตแก้ไขช่องโหว่ของเครื่องที่ใช้งาน ระบบปฏิบัติการ Android ไม่ว่าจะเป็นความล่าช้าในการอัพเดต หรือปัญหาของเครื่องบางรุ่นที่ผู้ ผลิตไม่ได้ให้การสนับสนุนแล้วจะต้องทำ� อย่างไรต่อ ซึ่งถึงแม้ว่าทาง Google จะมีนโยบายว่าอุปกรณ์ที่ ใช้งานระบบปฏิบัติการ Android ทุกรุ่นต้องได้รับการสนับสนุนทางซอฟต์แวร์อย่างน้อย 18 เดือน หลังจากวางจำ� หน่วยแล้วก็ตาม [15] แต่ในความเป็นจริงแล้วผู้ผลิตส่วนใหญ่ก็ยังไม่ได้ให้ความร่วมมือ มากนัก และในปัจจุบันผู้ที่ใช้งานเครื่องที่เป็นระบบปฏิบัติการ Android ที่ไม่ได้รับการอัพเดตก็ยังมีอยู่ มาก สำ� หรับผู้ที่ใช้งานอุปกรณ์รุ่นใหม่ๆ ที่ผู้ผลิตยังให้การสนับสนุนอยู่แต่ยังไม่มีอัพเดตออกมา ก็อาจ ต้องติดตามข่าวสารอยู่เป็นระยะ แต่สำ� หรับผู้ใช้อุปกรณ์ที่ผู้ผลิตยืนยันว่าจะไม่ได้รับการอัพเดตอย่าง แน่นอนแล้ว ถ้าไม่ซื้อเครื่องใหม่ก็อาจจะมีทางเลือกเหลืออยู่ไม่มากนัก ทางฝั่งผู้พัฒนา Custom Rom อย่าง CyanogenMod นั้นได้มีการแก้ไขช่องโหว่ดังกล่าวใน CyanogenMod เวอร์ชัน 10.1.1 แล้ว [16] ซึ่งผู้ที่ใช้งานอุปกรณ์ที่ไม่ได้รับการอัพเดตจากผู้ผลิตอาจ ลองพิจารณาใช้ Custom Rom ดังกล่าวเพื่อเพิ่มความปลอดภัยได้ อย่างไรก็ตามผู้ใช้ทั่วไปอาจไม่ สามารถติดตั้ง Custom Rom กันได้ทุกคน เพราะมีขั้นตอนวิธีที่ค่อนข้างซับซ้อน และอาจเสี่ยงต่อ การที่ข้อมูลสูญหาย หรืออาจทำ� ให้เครื่องใช้งานไม่ได้โดยถาวรหากมีการทำ� งานผิดพลาดในขั้นตอนการ ติดตั้ง นอกจากนี้การใช้งาน Custom Rom อาจทำ� ให้ฟังก์ชันการใช้งานของซอฟต์แวร์ไม่สมบูรณ์ หรือทำ� งานผิดไปจาก Rom ของผู้ผลิต และที่สำ� คัญ อุปกรณ์หลายรุ่นไม่สามารถติดตั้ง Custom Rom ได้เพราะไม่มีผู้พัฒนา Rom สำ� หรับอุปกรณ์ยี่ห้อหรือรุ่นนั้นๆ การติดตั้งแอปพลิเคชันจาก Play Store เพียงอย่างเดียว ก็อาจจะช่วยลดความเสี่ยงได้ในระดับ หนึ่ง แต่ก็เป็นเพียงการแก้ไขปัญหาที่ปลายเหตุ อีกทั้งผู้ใช้งานบางกลุ่มอาจมีความจำ� เป็นที่ต้องติดตั้ง แอปพลิเคชันจากไฟล์ .apk เช่น แอปพลิเคชันที่ต้องการใช้ไม่มีอยู่ใน Play Store (เช่นแอปพลิเคชัน เฉพาะที่ใช้งานภายในองค์กร) ต้องการทดลองแอปพลิเคชันที่เป็นรุ่น Beta หรือบางทีแอปพลิเคชันที่มี
  • CYBER THREATS 2013 85 การซื้อขายอย่างถูกลิขสิทธิ์ก็ได้มาเป็นไฟล์ .apk (เช่น เกมในชุด Humble Bundle for Android หรือซื้อจาก Store อื่นที่ไม่ใช่ Play Store) ซึ่งนั่นก็เป็นความเสี่ยงที่ผู้ใช้ต้องแบกรับจากการที่ใช้ ระบบปฏิบัติการที่ ไม่ได้รับการอัพเดต ทาง Bluebox Security ได้ปล่อยให้ดาวน์โหลดแอปพลิเคชัน Bluebox Security Scanner ใน Play Store [17] เพื่อใช้ในการตรวจอุปกรณ์ที่ใช้งานอยู่ว่าได้มีการแพทช์ช่องโหว่แล้ว หรือยัง และยังสามารถสแกนแอปพลิเคชันที่ติดตั้งอยู่ในเครื่องได้ว่ามีแอปพลิเคชันไหน ที่เป็นมัลแวร์ที่ โจมตีผ่านช่องโหว่นี้ ดังรูปที่ 5 ซึ่งผู้ใช้งานสามารถดาวน์โหลดมาตรวจสอบเครื่องของตัวเองได้ฟรี นอกจากนี้การติดตั้งซอฟต์แวร์แอนตี้ไวรัสก็อาจช่วยป้องกันได้ในระดับหนึ่ง รูปที่ 5 Bluebox Security Scanner
  • 86 บทความแจ้งเตือนและข้อแนะนำ� อย่างไรก็ตาม ประเด็นปัญหาสำ� คัญจากเหตุการณ์ค้นพบช่องโหว่ในครั้งนี้ คือ เรื่องของความ น่าเชื่อถือ และความปลอดภัยในการใช้งานอุปกรณ์ที่เป็นระบบปฏิบัติการ Android จริงอยู่ที่ถึงแม้ว่า ช่องโหว่ Master Key นี้จะสามารถป้องกัน หรือหลีกเลี่ยงได้ด้วยการไม่ติดตั้งแอปพลิเคชันจากไฟล์ .apk แต่ก็ไม่ได้หมายความว่าการใช้งานระบบปฏิบัติการที่ไม่ได้รับการอัพเดตที่เกี่ยวข้องกับความ ปลอดภัยเลยนั้นจะเป็นเรื่องที่ดี เพราะไม่มีอะไรที่จะรับประกันได้เลยว่าจะไม่มีช่องโหว่อื่นที่ร้ายแรงกว่า นี้ซ่อนอยู่ และหากมีการค้นพบช่องโหว่ที่ว่านั้นผู้ใช้จะสามารถหลีกเลี่ยงปัญหาได้ง่ายเหมือนครั้งนี้ สำ� หรับหน่วยงานที่จะมีการจัดซื้ออุปกรณ์ที่ใช้งานระบบปฏิบัติการ Android มาใช้ในการทำ� งาน อาจต้องพิจารณาเรื่องการสนับสนุนด้านความปลอดภัยจากผู้ผลิตร่วมด้วย โดยเฉพาะหน่วยงานที่ อนุญาตให้พนักงานนำ� อุปกรณ์ เช่น โทรศัพท์มือถือ หรือแท็บเล็ตเข้ามาเชื่อมต่อกับระบบเครือข่าย หลักของหน่วยงานอาจต้องพิจารณาความ เสี่ยงในเรื่องนี้เป็นพิเศษ โดยเฉพาะความเสี่ยงในเรื่องของ ผลกระทบหากอุปกรณ์นั้นไม่ได้รับการอัพเดตอย่างต่อเนื่องและสมË่ำเสมอจากผู้ผลิต สุดท้าย ส่วนที่สำ� คัญที่สุด คือ การปรับเปลี่ยนพฤติกรรมการใช้งาน และติดตามข่าวสารเรื่อง ความปลอดภัยอยู่อย่างสมË่ำเสมอ เพราะมัลแวร์ตัวใหม่ๆ นั้นมีคนพัฒนาขึ้นมาอยู่ทุกวัน รวมถึง เทคนิคการโจมตีรูปแบบใหม่ก็มีการค้นพบอยู่เรื่อยๆ หากผู้ใช้ไม่ติดตามข่าวสาร หรือไม่ระมัดระวัง ในการใช้งานก็อาจตกเป็นเหยื่อของผู้ไม่หวังดีได้
  • CYBER THREATS 2013 87 อ้างอิง 1. http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/ 2. http://developer.android.com/tools/publishing/app-signing.html 3. http://nakedsecurity.sophos.com/2013/07/10/anatomy-of-a-security-hole-googles-android- master-key-debacle-explained/ 4. http://threatpost.com/second-android-master-key-attack-surfaces/101297 5. http://blog.sina.com.cn/s/blog_be6dacae0101bksm.html 6. https://www.thaicert.or.th/alerts/user/2013/al2013us008.html 7. https://www.thaicert.or.th/alerts/user/2013/al2013us007.html 8. http://www.zdnet.com/blog/ security/a-first-hacked-sites-with-android-drive-by-download-malware/11810 9. http://blog.avast.com/2013/03/11/mobile-drive-by-malware-example/ 10. http://www.exploit-db.com/exploits/15548/ 11. http://www.h-online.com/security/news/item/Android-smartphones-infected-via-drive- by-exploit-Update-1446992.html 12. https://thaicert.or.th/papers/technical/2012/pa2012te009.html 13. https://www.cio.com.au/article/466577/vulnerability_allows_attackers_modify_ android_apps_without_breaking_their_signatures/ 14. http://www.androidpolice.com/2013/07/08/infamous-master-key-exploit-was-quietly- patched-by-google-in-february-cyanogenmod-following-suit-today-oems-at- some-point/ 15. http://www.theverge.com/2011/05/10/google-promises-android-devices-updates-18- months/ 16. http://www.cyanogenmod.org/blog/cyanogenmod-10-1-1-release/comment-page- 1#comment-56919 17. https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner
  • 88 บทความแจ้งเตือนและข้อแนะนำ� ระวังภัย ช่องโหว่ ใน JOOMLA ผู้ไม่หวังดี สามารถอัพโหลดไฟล์ อันตรายใดๆ เข้ามาในระบบได้ วันที่ประกาศ : 15 สิงหาคม 2556 ปรับปรุงล่าสุด : 15 สิงหาคม 2556 เรื่อง : ระวังภัย ช่องโหว่ใน Joomla ผู้ไม่หวังดีสามารถอัพโหลดไฟล์อันตรายใดๆ เข้ามาในระบบได้ ประเภทภัยคุกคาม : Intrusion ข้อมูลทั่วไป โดยปกติแล้วระบบอัพโหลดไฟล์ของ Joomla จะมีการตรวจสอบ Extension ของไฟล์ ว่าอยู่ ในประเภทไฟล์อันตรายหรือเปล่า (เช่น ไฟล์ .php) ซึ่งหากพบว่าไฟล์ที่ผู้ใช้อัพโหลดเข้ามานั้นเข้าข่ายไฟล์ อันตรายก็จะไม่ยอมให้อัพโหลด นักวิจัยจากบริษัท Versafe ได้พบช่องโหว่ใน คอมโพเนนต์ Media Manager ซึ่งใช้ในการอัพโหลด ไฟล์ (ถูกติดตั้งมาพร้อมกับ Joomla เป็นค่าเริ่มต้น) [1] โดยพบว่าผู้ไม่หวังดีสามารถ Bypass ระบบ การตรวจสอบ Extension เพื่ออัพโหลดไฟล์อันต รายใดๆ เข้ามาในระบบได้เพียงแค่เติมเครื่องหมายจุด (.) ต่อท้ายชื่อไฟล์ [2] โดยจะทำ� ให้เกิดการ Bypass การ ตรวจสอบของระบบ และระบบจะทำ� การตัดเครื่องหมาย จุดหลังไฟล์ทิ้ง ทำ� ให้ผู้ไม่หวังดีสามารถสั่งประมวลผลไฟล์ที่ อัพโหลดขึ้นไปได้ทันที ปัจจุบันช่องโหว่นี้ยังไม่มีการออก หมายเลข CVE แต่มีโค้ดสำ� หรับโจมตีผ่าน Metasploit ออกมาแล้ว [3]
  • CYBER THREATS 2013 89 ผลกระทบ ผู้ไม่หวังดีสามารถอัพโหลดไฟล์อันตรายใดๆ เข้ามาในระบบได้ (เช่น ไฟล์ PHP Backdoor) แต่ อย่างไรก็ตามผู้ไม่หวังดีจะต้องได้สิทธิ์ในการเข้าระบบบริหารจัดการก่อน ถึงจะสามารถเข้าถึง คอมโพเนนต์ดังกล่าวได้ ระบบที่ได้รับผลกระทบ • Joomla เวอร์ชัน 2.5.13 หรือตË่ำกว่า • Joomla เวอร์ชัน 3.1.4 หรือตË่ำกว่า สำ� หรับ Joomla เวอร์ชัน 1.5.x นั้นถึงแม้จะสามารถอัพโหลดไฟล์ .php ดังกล่าวขึ้นบนระบบได้ ก็จริง แต่อย่างไรก็ตามระบบไม่ได้มีการตัดเครื่องหมายจุดที่ต่อท้ายไฟล์ออก ทำ� ให้ไม่ได้รับผลกระทบ จากช่องโหว่นี้ ข้อแนะนำ� ในการป้องกันและแก้ไข ผู้ที่ใช้งาน Joomla ควรอัพเดตเวอร์ชันของซอฟต์แวร์ให้เป็น 2.5.14 หรือ 3.1.5 หรือใหม่กว่า [4] และควรตั้งค่าให้ฟังก์ชัน Media Manager สามารถใช้งานได้เฉพาะผู้ดูแลระบบเท่านั้น อ้างอิง 1. http://www.versafe-login.com/sites/default/files/Versafe%20Intelligence%20Brief%20 --%20Joomla%20Exploit%20Enabling%20Phishing%2C%20Malware%20Attacks%20 from%20Genuine%20Sites.pdf 2. http://blog.malwarebytes.org/intelligence/2013/08/do-you-own-a-website-now-would- be-a-good-time-to-patch-it/ 3. http://1337day.com/exploit/21108 4. http://developer.joomla.org/security/news/563-20130801-core-unauthorised-uploads
  • บทความทั่วไป
  • 92 บทความทั่วไป การใช้ PGP ด้วย COMMAND LINE ผู้เขียน : วิศัลย์ ประสงค์สุข วันที่เผยแพร : 1 มีนาคม 2556 ปรับปรุงล่าสุด : 1 มีนาคม 2556 บทความของไทยเซิร์ตก่อนหน้านี้ ได้อธิบายที่มา รวมถึงวิธีการใช้งาน PGP ด้วยการใช้ โปรแกรมแบบ GUI ซึ่งสามารถใช้งานโดยใช้เมาส์คลิกได้ ทั้งในระบบปฏิบัติการ Windows และ MAC OS X สำ� หรับบทความนี้ จะพาท่านผู้อ่าน หันมาลองใช้ Command line กันบ้าง เนื่องจากหากใช้ Command line ได้แล้ว ไม่ว่าผู้ใช้จะทดลองเปลี่ยนไปใช้คอมพิวเตอร์ระบบปฏิบัติการใด ก็จะสามารถ ใช้งาน PGP ได้ ก่อนที่จะเริ่ม ขอทบทวน Concept กันก่อน ทบทวน Concept เนื่องจากเป็นการทบทวนดังนั้นในส่วนนี้จึงเป็น เขียนเป็นคำ� อธิบายสั้นๆ ที่ไม่ได้ลงรายละเอียดลึก มากนัก แต่เพียงพอที่จะทำ� ให้เห็นภาพว่าหัวข้อดังต่อไปนี้คืออะไร และมี Concept เป็นอย่างไร Public key cryptography Public key cryptography จะประกอบด้วย key อยู่ 2 ชนิดที่มีความสัมพันธ์กันทาง คณิตศาสตร์ เรียกว่า คู่กุญแจ คือ Private key ซึ่งเก็บไว้กับเจ้าของเท่านั้น และ Public key ซึ่ง สามารถแจกจ่ายให้ผู้อื่นได้ แน่นอนว่าทั้ง Private และ Public key นั้น เจ้าของต้องเป็นผู้สร้างเอง แต่เจ้าของไม่จำ� เป็นต้องแจก Public key ด้วยตัวเอง เพราะว่าในปัจจุบันมีเครื่องให้บริการกุญแจ สาธารณะ (Public key server) ซึ่งเจ้าของกุญแจสามารถอัพโหลดไฟล์ Public key ของตนเอง ขึ้นไปเก็บไว้ที่เครื่องได้ ซึ่งทำ� ให้ผู้อื่นสามารถดาวน์โหลด Public key ของท่านไปใช้งานได้ การใช้งาน Public key cryptography หลักๆ มีอยู่ 2 กระบวนการด้วยกัน คือ กระบวนการเข้ารหัสลับ (Encryption) และ กระบวนการตรวจสอบลายมือชื่อดิจิทัล (Digital Signature Verification) การเข้ารหัสลับ (Encryption) สมมุติให้ Alice เป็นผู้ส่ง และ Bob เป็นผู้รับ ในการส่งข้อความลับ Alice จะใช้ Public key ของ Bob ซึ่งอาจได้มาจาก Public key server หรือ Bob ส่งมาให้ เข้ารหัสลับข้อความแล้วจึงส่ง ไปให้ Bob เมื่อ Bob ได้รับข้อความที่เข้ารหัสลับแล้ว ก็จะใช้ Private key ของตนเองในการ ถอดรหัสลับเพื่ออ่านข้อความ เป็นต้น
  • CYBER THREATS 2013 93 การตรวจสอบลายมือชื่อดิจิทัล (Digital Signature Verification) ในกรณีที่ Bob ได้รับข้อความมาจาก Alice ในการนี้ Bob จะแน่ใจได้อย่างไรว่ามาจาก Alice จริง ผู้อ่านลองนึกถึงตอนที่มีคนส่งกระดาษโน้ตมาให้ บอกว่าผู้จัดการอยากให้ทำ� งานอย่างหนึ่ง ผู้อ่านจะทราบได้อย่างไรว่ากระดาษโน้ตนั้นมาจากผู้จัดการจริง วิธีการหนึ่งที่ใช้กันอยู่ทั่วไปคือการใช้ ลายมือชื่อหรือการเซ็นกำ� กับ ในทางดิจิทัลก็เช่นกัน Alice สามารถใช้ Private key ในการลง ลายมือชื่อ (Sign) หรือเซ็นรับรองเอกสารได้ (อย่าลืมว่า Private key ของ Alice มีเพียง Alice ที่ใช้ได้) เมื่อ Bob ได้รับเอกสารก็จะสามารถใช้ Public key ของ Alice ในการตรวจสอบลายเซ็นได้ [1] Web of Trust ย้อนกลับไปตรงที่ Alice หรือ Bob ทำ� การดาวน์โหลด Public key มาจาก Public key server พวกเขาจะทราบได้อย่างไรว่าดาวน์โหลด Public key มาถูกอัน ไม่ใช่อันที่ผู้ไม่หวังดีสร้างขึ้น มาเพื่อหลอกลวงผู้อื่น ในกรณีเช่นนี้ Web of Trust สามารถเข้ามาแก้ปัญหาได้ โดยใช้วิธีการให้ผู้อื่น มารับรอง Public key ว่า Public key นั้นเป็นของคนผู้นั้นจริง [1] ลองนึกถึงโลกความเป็นจริง สมมุติมีเพื่อนของน้องสาวมาที่บ้าน ผู้อ่านจะทราบได้อย่างไรว่าคนผู้นั้นเป็นเพื่อนของน้องสาวจริง ซึ่ง ก็แน่นอน ผู้อ่านก็ต้องถามน้องสาวว่าใช่เพื่อนของน้องจริงหรือไม่ หลักการนี้อาศัยการที่ผู้อ่านเชื่อคน ที่สามารถเชื่อใจได้ ว่าบุคคลแปลกหน้านั้นไม่ใช่คนอันตราย ในการแลกเปลี่ยน Public key ก็เช่น เดียวกัน หาก Alice ต้องการ Public key ของ Bob แต่ไม่แน่ใจว่า Public key นั้นเป็นของ Bob จริง แต่หาก Alice พบว่า Public key นั้นมี Carol เซ็นรับรองอยู่ และ Carol เป็นคนที่ Alice เชื่อใจได้ Alice ก็สามารถยอมรับว่า Public key เป็นของ Bob ได้ อันที่จริงแล้วหลักการ การเชื่อใจยังมีความวุ่นวายมากกว่านี้ อย่างเช่นเรื่องระดับของความเชื่อถือ (Trust level) ซึ่งจะ กล่าวถึงในหัวข้อการตั้งระดับความเชื่อถือของเจ้าของ Public key การใช้ PGP ด้วย Command line การสร้างคู่กุญแจ ผู้อ่านสามารถสร้างคู่กุญแจได้ด้วยการใช้คำ� สั่ง gpg --gen-key ซึ่งจะมีคำ� ถามเกี่ยวกับ รายละเอียดของกุญแจขึ้นมาให้ผู้ใช้เลือกดังรูปที่ 1
  • 94 บทความทั่วไป รูปที่ 1 รายละเอียดของคู่กุญแจ หมายเลข 1 คือการเรียกใช้คำ� สั่ง gpg --gen-key หมายเลข 2 คือการเลือกอัลกอริทึมของการสร้างคู่กุญแจ ในที่นี้เลือกใช้ RSA เป็นอัลกอริทึม ที่สร้าง Public key และ private key หมายเลข 3 คือการเลือก keysize ซึ่งในที่นี้คือ 2048 bits การเลือก keysize นี้ หาก เลือกขนาดเล็ก จะทำ� ให้ประสิทธิภาพของการคำ� นวณเร็ว แต่มีความมั่นคงปลอดภัยน้อย เพราะถูก
  • CYBER THREATS 2013 95 แคร็ก (Crack) ได้ง่าย กลับกันหากเลือก keysize ใหญ่ ก็จะทำ� ให้การคำ� นวณช้า แต่มีความมั่นคง ปลอดภัยเพิ่มขึ้น * keysize ทำ�ไมหน่วยเป็น bit? จากหมายเลข 2 ที่เราเลือกอัลกอริทึมเป็น RSA วิธีการสร้างคู่กุญแจของอัลกอรึทึมนี้คือการ เลือกตัวเลขจำ� นวนเฉพาะ (Prime number) มาใช้ในการคำ� นวนเพื่อสร้างคู่กุญแจ หากเป็นคนคำ� นวน ก็คงเลือกจำ� นวนเฉพาะที่มีค่าน้อยเช่น 3 5 7 หรืออื่นๆ มาคำ� นวน ซึ่งหากเป็นเลข 7 นี้เมื่อแปลงเป็น เลขฐานสองแล้วจะใช้ bit จำ� นวน 5 bit ในการแสดงค่า (7 = 10001, ใช้ 5 bits ในการแสดงค่า) แต่ ในที่นี้เลือกใช้จำ� นวนเฉพาะที่ใช้ bit ในการแสดงค่าถึง 2048 bits * ทำ�ไมต้องใช้จำ�นวนเฉพาะ? ขั้นตอนหนึ่งของการคำ� นวนเพื่อสร้างคู่กุญแจของอัลกอริทึม RSA จะต้องใช้จำ� นวนเฉพาะและ ผลคูณของจำ� นวนเฉพาะมาใช้ในสมการ คุณสมบัติหนึ่งของจำ� นวนเฉพาะคือเมื่อนำ� มาคูณกัน จะมีแต่ จำ� นวนเฉพาะ 2 ตัวนี้เท่านั้นที่เป็นตัวประกอบของผลคูณ ซึ่งเมื่อเราเลือก keysize เป็น 2048 bits ก็ทำ� ให้แทบที่จะเป็นไปไม่ได้เลย ที่จะหาจำ� นวนเฉพาะขนาด 2048 bits 2 ตัว มาสร้างคู่กุญแจ เพื่อเลียนแบบได้ หมายเลข 4 คือการกำ� หนดอายุของคู่กุญแจ ในที่นี้กำ� หนดให้ใช้ได้เป็นเวลา 2 ปี การตั้งวันหมด อายุของคู่กุญแจนี้มีความสำ� คัญ เนื่องจากหาก Private key ถูกขโมยออกไปโดยที่ผู้ใช้ไม่ทราบ และผู้ใช้ไม่ตั้งวันหมดอายุก็จะทำ� ให้ผู้ไม่หวังดีทำ� การ Crack Passphrase ได้อย่างสบายใจ แต่หาก ตั้งวันหมดอายุเอาไว้ ผู้ไม่หวังดีต้องทำ� งานแข่งกับเวลา ซึ่งการตั้งวันหมดอายุที่เหมาะสมนั้น จึง เป็นการกำ� หนดเวลาที่คาดว่า Passphrase นี้จะไม่ถูก Crack ภายในเวลาที่กำ� หนด หมายเลข 5 คือการยืนยันวันที่ที่กุญแจหมดอายุ หมายเลข 6 คือการกรอกรายละเอียดของเจ้าของกุญแจ ซึ่งจะประกอบไปด้วย ชื่อ และอีเมล ของผู้ใช้ หมายเลข 7 คือการยืนยันความถูกต้องของข้อมูลรายละเอียดของเจ้าของกุญแจ หมายเลข 8 คือการกำ� หนด Passphrase ให้กับกุญแจ ผู้ใช้จำ� เป็นต้องจำ� Passphrase ให้ ได้ เนื่องจากการจะใช้งาน Private key ระบบจะให้ป้อน Passphrase ในการยืนยันว่าเป็นเจ้าของ คู่กุญแจนั้นจริง เมื่อดำ� เนินการทั้งหมดเรียบร้อยแล้ว โปรแกรมจะแสดงรายละเอียดของคู่กุญแจที่เพึ่งมีการสร้าง ซึ่งจากรูปที่ 1 จะพบว่ารายละเอียดของคู่กุญแจที่ควรทราบมีดังนี้ UID คือ Alice Thesender key ID คือ 50DC73A7 Fingerprint คือ B3E5 73B7 4579 E458 DC01 4A56 3561 B6F6 50DC 73A7
  • 96 บทความทั่วไป * Fingerprint ใช้สำ� หรับตรวจสอบความครบถ้วนสมบูรณ์ของ Public key (รายละเอียด อธิบายในหัวข้อการเซ็นรับรองกุญแจสาธารณะที่นำ� เข้าสู่ระบบ) การสร้าง Revocation Certificate ในกรณีที่ต้องการยกเลิกคู่กุญแจด้วยเหตุผลบางประการ เช่น ผู้ไม่ประสงค์ดีทราบ Passphrase และได้ Private key ของผู้ใช้ไป หรือเทคโนโลยีพัฒนามากขึ้น ทำ� ให้อัลกอริทึมที่ใช้ สร้างคู่กุญแจมีความมั่นคงปลอดภัยไม่เพียงพอ ผู้ใช้สามารถใช้ Revocation Certificate ในการ ประกาศหยุดการใช้งานคู่กุญแจนั้นได้ แต่ในการสร้าง Revocation Certificate นั้นจำ� เป็นต้องมี Private key และ จำ� Passphrase ได้ จึงเป็นการดีกว่าที่จะสร้าง Revocation Certificate เอาไว้ในตอนที่ยังมีสิ่งเหล่านี้อยู่ เมื่อสร้างเสร็จแล้วก็ควรจะเก็บ Revocation Certificate เอาไว้ อย่างดี [2] และไม่ควรเก็บไว้ที่เดียวกับ Private key การสร้าง Revocation Certificate สามารถทำ� ได้โดยใช้คำ� สั่ง gpg -o [output file name] --gen-revoke [UID] เช่น gpg -o Alice_revoke --gen-revoke “Alice Thesender” ดังรูปที่ 2 รูปที่ 2 การสร้าง Revocation Certificate
  • CYBER THREATS 2013 97 หมายเลข 1 คือการใช้คำ� สั่งในการสร้าง Revocation Certificate -o หมายถึง การเขียนผลลัพธ์ของคำ� สั่งลงในไฟล์ ซึ่งในที่นี้กำ� หนดให้ไฟล์ชื่อ Alice_revoke หมายเลข 2 คือการยืนยันความถูกต้องของ Private key ที่ต้องการทำ� Revocation Certificate หมายเลข 3 คือการเลือกเหตุผลของการทำ� Revocation Certificate ในที่นี้เลือก key is no longer used. หมายเลข 4 คือการอธิบายเหตุผลเพิ่มเติม อาจจะเป็นเหตุผลสนับสนุนเหตุผลที่เลือกใน หมายเลข 3 ในที่นี้ไม่ได้ใส่เหตุผลใดเพิ่มเติม หมายเลข 5 คือการยืนยันว่าผู้ใช้ต้องการสร้าง Revocation key นั้นจริง ด้วยเหตุผลตาม หมายเลข 3 และ 4 หมายเลข 6 คือการใส่ Passphrase ของ Private key เพื่อยืนยันว่าเจ้าของกุญแจเป็น ผู้ดำ� เนินการสร้าง Revocation Certificate หลังจากสร้างแล้ว เมื่อเกิดเหตุที่ต้องการยกเลิกการใช้งานกุญแจ ผู้ใช้จะต้องอัพโหลด Revocation Certificate ไปยัง Public key server ซึ่งวิธีการอัพโหลดนั้นจะกล่าวในลำ�ดับถัดไป การแลกเปลี่ยนกุญแจสาธารณะ การส่งกุญแจสาธารณะให้กับผู้รับ ผู้ใช้สามารถส่งกุญแจสาธารณะให้กับผู้รับได้ 2 วิธี คือส่งด้วยตนเอง และให้ผู้รับดาวน์โหลด Public key จาก Public key server ทั้งสองวิธีจะต้องทำ� การ Export ด้วยคำ� สั่งที่แตกต่างกัน โดยที่ การส่ง Public key ด้วยตนเอง สามารถใช้คำ� สั่ง gpg --export -u [UID] -o [output file name] เช่น gpg --export -u “Alice Thesender” -o alice_pub -u คือการเลือกกุญแจตาม UID หรือส่วนของ UID (เช่น Alice) ในกรณีที่ใน คอมพิวเตอร์เครื่องนั้นมี Public key อยู่หลายอัน ผู้ใช้สามารถเลือก Public key ที่ต้องการ Export ได้ด้วยการระบุ UID หรือ key Id ได้ หลังจากได้ไฟล์ alice_pub ผู้ใช้สามารถส่ง Public key นี้ด้วยการคัดลอกลง Thumb drive หรือ แนบไฟล์ในอีเมลส่งไปหาผู้รับได้ การส่ง Public key ไปเก็บไว้ที่ Public key server สามารถใช้คำ� สั่ง gpg --send-key --keyserver [key server] [key id]
  • 98 บทความทั่วไป เช่น gpg --send-key --keyserver pgp.mit.edu 50DC73A7 Public key server นั้นมีอยู่หลาย Server ด้วยกัน [3] แต่ทั้งหมดจะทำ� การ Synchronize ข้อมูลกัน ดังนั้นไม่ว่าผู้ใช้จะอัพโหลด Public key ไปไว้กับ Server ใด Server อื่นๆ ก็จะมีข้อมูล Public key ของผู้ใช้ การนำ� เข้ากุญแจสาธารณะ ผู้ใช้สามารถนำ� เข้ากุญแจสาธารณะได้ 2 รูปแบบ คือ นำ� เข้าจากไฟล์ที่ได้รับ และ นำ� เข้าจาก Public key server ซึ่งมีวิธีการที่แตกต่างกันดังต่อไปนี้ การนำ� เข้า Public key จากไฟล์ ผู้ใช้สามารถนำ� เข้า Public key จากไฟล์ได้โดยใช้คำ� สั่ง gpg --import [public key file name] เช่น gpg --import alice_pub การนำ� เข้า Public key จาก Public key server gpg --search-keys [email หรือ UID] เช่น gpg --search-keys alice.thesender wonderland.com หรือ gpg --search-keys “Alice Thesender” หากมีผลลัพธ์ที่ตรงกับสิ่งที่ค้นหา จะมีข้อความแสดงขึ้นมาเพื่อให้ผู้ใช้เลือก Public key ที่ต้องการ ดังแสดงในรูปที่ 3 รูปที่ 3 เลือก Public key ที่ต้องการ ในกรณีที่ทราบ key id ของ Public key ที่ต้องการอยู่แล้ว ผู้ใช้สามารถใช้คำ� สั่งดังต่อ ไปนี้เพื่อนำ� กุญแจสาธารณะเข้าสู่ระบบ gpg --recv-keys [key_id] เช่น gpg --recv-keys 50DC73A7 การเซ็นรับรองกุญแจสาธารณะที่นำ� เข้าสู่ระบบ เมื่อผู้ใช้นำ� เข้ากุญแจสาธารณะที่ต้องการได้แล้ว ลำ� ดับถัดไป ในการที่จะนำ� กุญแจสาธารณะนั้นมาใช้
  • CYBER THREATS 2013 99 ผู้ใช้จะต้องทำ� การเซ็นรับรองกุญแจสาธารณะก่อน มิเช่นนั้นระบบจะทำ� การเตือนทุกครั้งเมื่อกุญแจ สาธารณะนี้ถูกเรียกใช้งาน การเซ็นรับรองกุญแจสาธารณะ เปรียบเสมือนผู้ใช้ทำ� การรับรองว่ากุญแจ สาธารณะนั้นเป็นของเจ้าของตามที่ระบุ ใน UID จริง ซึ่งผู้ใช้สามารถตรวจสอบความถูกต้องของ กุญแจสาธาณะนี้ได้โดยการตรวจสอบ Fingerprint ของ Public key ว่าตรงตามที่เจ้าของประกาศ ไว้หรือไม่ [4] ดังนั้นการประกาศ Fingerprint ของกุญแจนั้นจึงเป็นสิ่งสำ� คัญ หน่วยงาน หรือ บุคคลอาจจะเลือกใช้วิธีการประกาศโดยเขียนเอาไว้บนเว็บไซต์ของหน่วยงาน หรือเว็บไซต์ส่วนตัว หรือ อีกวิธีหนึ่งคือพิมพ์ Fingerprint ไว้ในนามบัตรก็ได้ การดู Fingerprint ของ Public key ที่รับ มาสามารถทำ� ได้ด้วยคำ� สั่ง gpg --fingerprint [UID] เช่น gpg --fingerprint Alice Thesender หลังจากที่ผู้ใช้ทำ� การตรวจสอบจนมั่นใจได้แล้วว่า Public key ที่รับมานั้นเป็นของเจ้าของจริง ผู้ใช้สามารถทำ� การเซ็นรับรอง Public key ได้โดยใช้คำ� สั่ง gpg --sign-key [Public key] ซึ่งคำ�สั่งด้านบนนี้จะใช้ Private key ที่เป็น Default key (Default key เป็น Private key ตัวแรกที่มีอยู่ในคอมพิวเตอร์ ส่วนใหญ่จะเป็นคู่กุญแจที่ผู้ใช้สร้างในคอมพิวเตอร์เครื่องนั้นเป็นครั้งแรก) เป็นตัวเซ็นรับรอง แต่หากต้องการเลือกใช้ Private key อื่นในการเซ็นรับรอง สามารถทำ�ได้ด้วยคำ� สั่งgpg --local-user [UID of Private key] --sign-key [UID of Public key] เช่น gpg --local-user Alice --sign-key Bob คำ� สั่งด้านบนนี้หมายถึง ใช้ Private key ที่มี UID คือ Alice ในการเซ็นรับรอง Public key ที่มี UID คือ Bob การตั้งระดับความเชื่อถือของ Public key ระดับความเชื่อถือ (Trust level) เป็นเหมือนการแสดงความคิดเห็นของผู้ใช้ว่า เจ้าของ Public key ที่ผู้ใช้รับมานั้น มีความน่าเชื่อถือเพียงใด อาจจะดูจากลักษณะนิสัยว่าเป็นคนมีความตระหนักใน การใช้งานระบบคอมพิวเตอร์มากน้อยเพียงใด เช่น มีการตรวจสอบความถูกต้องของ Public key ก่อนเซ็นรับรอง Public key ของผู้อื่นหรือไม่ ระดับความเชื่อถือนี้จะมีผลต่อระบบ Web of Trust ซึ่งระดับความเชื่อถือ มีดังนี้ 1. Unknown trust ผู้ใช้ควรเลือกก็ต่อเมื่อผู้ใช้ไม่ทราบว่าเจ้าของ Public key นั้นทำ� การ ตรวจสอบ Public key ของผู้อื่นก่อนเซ็นรับรองความถูกต้องหรือไม่ Trust level นี้ จะทำ� ให้ Web of Trust ของผู้ใช้ไม่เชื่อว่า Public key ที่ผู้นั้นเซ็นรับรองเป็นของ เจ้าของจริง 2. Never Trust ผู้ใช้ควรเลือกก็ต่อเมื่อ ผู้ใช้ทราบว่าเจ้าของ Public key ที่ผู้ใช้รับมานั้น ไม่มีการตรวจสอบความถูกต้องของ Public key เลย แต่เซ็นรับรองความถูกต้อง Public key ของผู้อื่น Trust level นี้จะทำ� ให้ Web of Trust ของผู้ใช้ไม่เชื่อว่า Public key ที่ผู้นั้นเซ็นรับรองเป็นของเจ้าของจริง
  • 100 บทความทั่วไป 3. Marginal Trust ผู้ใช้ควรเลือกก็ต่อเมื่อ ผู้ใช้เห็นว่าเจ้าของ Public key ที่ผู้ใช้รับมานั้น ทำ� การตรวจสอบความถูกต้องของ Public key เป็นบางครั้ง ก่อนเซ็นรับรองความ ถูกต้อง Public key ของผู้อื่น Trust level นี้จะทำ� ให้ Web of Trust ของผู้ใช้ยังไม่ เชื่อว่า Public key ที่ผู้นั้นรับรองเป็นของเจ้าของจริง จนกว่าจะมีผู้ที่อยู่ในระดับ Marginal Trust 3 คน เซ็นรับรอง Public key นั้น 4. Full Trust ผู้ใช้ควรเลือกก็ต่อเมื่อ ผู้ใช้เห็นว่าเจ้าของ Public key ที่ผู้ใช้รับมานั้น ทำ� การตรวจสอบความถูกต้องของ Public key ก่อนทำ� การเซ็นรับรองอยู่เสมอ Trust level นี้จะทำ� ให้ Web of Trust ของผู้ใช้เชื่อว่า Public key ที่ผู้นั้นรับรองเป็นของ เจ้าของจริง 5. Ultimate trust สำ� หรับ Trust level นี้ ควรเลือกก็ต่อเมื่อเป็น Public key ของผู้ใช้ เอง เช่น ในกรณีผู้ใช้นำ� เข้า Public key ของตนเองในคอมพิวเตอร์อีกเครื่องหนึ่ง ผู้ใช้สามารถตั้งระดับความเชื่อถือของ Public key ที่รับเข้ามาได้ด้วยคำ� สั่ง gpg --edit-key [UID] เช่น gpg --edit-key Bob ดังรูปที่ 4 รูปที่ 4 กำ� หนด Trust level ให้ Public key
  • CYBER THREATS 2013 101 หมายเลข 1 คือการเรียกใช้คำ� สั่ง Edit key หมายเลข 2 จะเห็นว่า Public key ที่ผ่านการเซ็นรับรองแล้วจะมีความถูกต้อง (Validity) เป็น Full ส่วน Trust จะเป็น unknown หมายเลข 3 เป็นการพิมพ์คำ� สั่ง trust เพื่อตั้งระดับของ Trust level หมายเลข 4 เป็นการเลือก Trust level ซึ่งในที่นี้เลือกเป็น Marginal trust หมายเลข 5 จะเห็นว่าหลังจากตั้ง Trust level แล้วค่า Trust จะเปลี่ยนเป็น marginal การลงลายมือชื่อและการตรวจสอบ การลงลายมือชื่อ การลงลายมือชื่อหรือการเซ็นรับรองในที่นี้ มี 3 คำ� สั่งที่แตกต่างกันดังนี้ คำ� สั่ง Sign คำ� สั่ง Sign นี้จะเป็นการเข้ารหัสลับ (Encrypt) ข้อความหรือไฟล์ด้วย Private key ของผู้ใช้ ซึ่งผู้รับจะต้องนำ� Public key ของผู้ใช้ในการถอดรหัสลับ (Decrypt) เพื่ออ่านข้อความ ภายใน ผู้ใช้สามารถทำ� การเซ็นรับรองเอกสารได้โดยใช้คำ� สั่ง gpg -a --sign [file name] -a หมายถึง การกำ� หนดให้เปลี่ยนรูปแบบของผลลัพธ์จากรูปแบบ Binary เป็นรูปแบบ ASCII ซึ่งเหมาะกับใช้ในการส่งอีเมลมากกว่า [5] คำ� สั่ง Clearsign คำ� สั่ง Clearsign จะแสดงข้อความหรือเนื้อของไฟล์ไว้ และนำ� ผลการเข้ารหัสลับมาต่อท้าย เป็นส่วนของ Signature ซึ่งผู้รับยังสามารถใช้ Public key ของผู้ส่งในการตรวจสอบได้ ผู้ใช้ สามารถทำ� การเซ็นรับรองเอกสารได้โดยใช้คำ� สั่ง gpg --clearsign [file name] * คำ�สั่ง Clearsign ไม่จำ�เป็นต้องใส่ -a เนื่องจากผลลัพธ์ออกมาในรูปแบบ ASCII อยู่แล้ว คำ� สั่ง Detach-sign คำ� สั่ง Detach-sign จะแยกเอาเฉพาะส่วน Signature ของ Clearsign มาไว้อีกไฟล์ หนึ่งทำ� ให้มีขนาดเล็กมาก ซึ่งจะทำ� ให้เกิดประโยชน์เมื่อไฟล์ที่ต้องการเซ็นรับรองมีขนาดใหญ่ ช่วยให้ ประหยัดพื้นที่ในการจัดเก็บไฟล์ ผู้ใช้สามารถทำ� การเซ็นรับรองเอกสารได้โดยใช้คำ� สั่ง gpg -a --detach-sign [file name] * ทั้งสามคำ� สั่ง หากผู้ใช้ต้องการเลือก Private key อื่นนอกจาก Default key ให้เพิ่ม -u [UID] หลัง –a ผลลัพธ์ของการ Sign ด้วยคำ� สั่งทั้งสามดังกล่าวแสดงไว้ในตารางที่ 1
  • 102 บทความทั่วไป คำ�สั่ง ผลลัพธ์ Sign with -a option Clearsign Detach sign with -a option ตารางที่ 1 ผลของการเซ็นรับรองข้อความหรือไฟล์ด้วยคำ� สั่งทั้งสาม
  • CYBER THREATS 2013 103 การตรวจสอบ ผู้ใช้สามารถตรวจสอบเอกสารที่ได้รับการเซ็นรับรองได้ หากทำ� การนำ� เข้า Public key ของผู้ส่งมาแล้ว สามารถใช้คำ� สั่งต่อไปนี้ในการตรวจสอบ gpg --verify [Sign_file name] เช่น gpg --verify Sign-a-Myfile.txt.sig ผลของการตรวจสอบแสดงดังรูปที่ 5 รูปที่ 5 ตรวจสอบ หมายเลข 1 คือการใช้คำ� สั่งในการตรวจสอบไฟล์ที่ได้รับการเซ็นรับรอง หมายเลข 2 จะเห็น วัน เวลา และ key id ที่ใช้ในการเซ็นรับรองเอกสาร หมายเลข 3 แสดงให้เห็นว่า key id ที่แสดงดังกล่าว เป็นของ Alice Thesender * ในการตรวจสอบ Detach Signature สามารถทำ� ได้ด้วยคำ� สั่ง gpg --verify [Sign_file name] [file name] เช่น gpg --verify Detach-sign-a-Myfile.txt Myfile.txt การเข้ารหัสลับและการถอดรหัสลับ การเข้ารหัสลับ เมื่อผู้ใช้นำ� เข้า Public key ของผู้รับแล้ว สามารถใช้คำ� สั่งดังต่อไปนี้ในการเข้ารหัสลับ gpg -e -r [UID of Receiver] [file name] เช่น gpg -e -r Bob Myfile.txt -r คือ คำ� สั่งในการระบุผู้รับ การถอดรหัสลับ ผู้ใช้สามารถทำ� การถอดรหัสลับได้ โดยใช้คำ� สั่ง gpg -o [New file name] -d [Encrypted file name] เช่น gpg -o Myfile.txt -d Myfile.txt.gpg อ้างอิง 1. http://www.dewinter.com/gnupg_howto/english/GPGMiniHowto-1.html 2. http://www.dewinter.com/gnupg_howto/english/GPGMiniHowto-3.html#ss3.4 3. https://github.com/GPGTools/GPGTools/wiki/Keyservers 4. http://www.spywarewarrior.com/uiuc/gpg/gpg-com-4.htm#4-6 5. http://www.spywarewarrior.com/uiuc/gpg/gpg-com-0.htm
  • 104 บทความทั่วไป มหากาฬแฮกกิ้งกับ ดิจิทัลไลฟ์ที่สูญสิ้นของ นายแมท โฮนาน ผู้เขียน : ณัฐโชติ ดุสิตานนท์ วันที่เผยแพร่ : 1 มีนาคม 2556 ปรับปรุงล่าสุด : 1 มีนาคม 2556 ปัจจุบันนี้ถ้าพูดถึงการใช้ชีวิตของมนุษย์ เราจะพบว่าชีวิตของเราเกี่ยวข้องกับโลกออนไลน์มาก ขึ้นกว่าแต่ก่อนอย่างเห็นได้ชัด แต่เดิมการใช้อีเมล หรือการใช้อินเทอร์เน็ตในการติดต่อสื่อสารก็ถือว่า เป็นรูปแบบการสื่อสารที่ทันสมัยและส่วนใหญ่ใช้ในด้านธุรกิจ แต่เดี๋ยวนี้นอกจากการใช้อีเมลจะถือว่าเป็น ของธรรมดาแล้ว หลายคนยังใช้อีเมล และการสื่อสารผ่านระบบอินเทอร์เน็ตเหล่านี้แทนการสื่อสารกัน ในชีวิตจริงอีกด้วย นอกจากการพึ่งพาระบบอินเทอร์เน็ตในการสื่อสารแล้ว ยังมีการเก็บข้อมูล ออนไลน์ผ่านบริการ Cloud หลายคนอาจจะใช้เก็บรูปครอบครัวจนถึงเอกสารสำ� คัญในการทำ� งาน เรียกได้ว่าทั้งชีวิตของคนจำ� นวนไม่น้อยได้หลอมรวมกับโลกออนไลน์อย่างแยกกันไม่ออก จนกระทั่งเรา มีศัพท์บัญญัติว่า ชีวิตในโลกดิจิทัล หรือ Digital Life ซึ่งเปรียบเสมือนอีกภาคหนึ่งของบุคคล และ อาจจะหมายถึงทุกสิ่งทุกอย่างในชีวิตของบางคนเลยทีเดียว ในโลกดิจิทัลนั้น ส่วนที่ใช้เชื่อมต่อกันกับโลกจริง ชีวิตจริงของมนุษย์ ก็คือบัญชีผู้ใช้งาน (User Account) ที่เป็นพื้นฐานของความมีตัวตนในโลกอินเทอร์เน็ต ลองคิดดูว่าหากบัญชีผู้ใช้งานเหล่านี้ถูก ขโมยโดยแฮกเกอร์ จะสร้างความเดือดร้อนต่อเจ้าของเพียงใด ในครั้งนี้ ผู้เขียนจึงอยากขอกล่าวถึง กรณีศีกษาจริง ชีวิตในโลกดิจิทัลของนายแมท โฮนาน (Mat Honan) ที่ถูกทำ� ลายลงอย่างสิ้นเชิง ด้วยฝีมือของแฮกเกอร์ ซึ่งเริ่มจากการใช้วิธี Social Engineering ที่ดูเหมือนไม่น่าเป็นไปได้ จนกระทั่งสามารถทำ� ให้เข้าถึงบัญชีผู้ใช้ทั้งหมดได้ในเวลาต่อมา แมท โฮนาน เป็นนักเขียนประจำ� ของ Wired ซึ่งเป็นนิตยสารเกี่ยวกับวิทยาศาสตร์และเทคโนโลยี ที่รู้จักกันมานานกว่า 10 ปี นอกจากนี้เขายังเป็นทีมงานของ Gizmodo ซึ่งเป็นเว็บไซต์เกี่ยวกับ แกดเจ็ตที่มีชื่อเสียงอีกด้วย และก็เป็นธรรมดาของผู้ที่อยู่ในวงการเทคโนโลยีสมัยใหม่ และเป็นนักเขียน ที่มีผู้ติดตามจำ� นวนไม่น้อยผ่านเว็บไซต์อย่างนายแมท จะมีบัญชีผู้ใช้งานของบริการออนไลน์มากมาย สิ่งเดียวที่เป็นจุดเริ่มต้นของการแฮกครั้งยิ่งใหญ่นี้ก็คือ บัญชีผู้ใช้งานทวิตเตอร์ (Twitter) ของ Gizmodo (http://twitter.com/Gizmodo) ที่กลายเป็นที่ต้องการของแฮกเกอร์ [1] และนายแมท ซึ่งเป็นเจ้าของบัญชีผู้ใช้งานอยู่
  • CYBER THREATS 2013 105 ในระบบการรักษาความปลอดภัยบัญชีผู้ใช้งานด้วยรหัสผ่าน (Password) นั้น เป็นธรรมดาที่ จะต้องมีผู้ที่จำ� รหัสผ่านของตนเองไม่ได้ และผู้ให้บริการทั้งหลายไม่ว่าจะเป็น Google Yahoo หรือ Apple จะต้องมีวิธีให้ผู้ใช้งานที่ลืมรหัสผ่านเหล่านี้ สามารถเข้าใช้งานบัญชีผู้ใช้ของพวกเขาได้อีกครั้ง โดยไม่ต้องวุ่นวายกับการติดต่อกับผู้ให้บริการโดยตรง เช่น ผู้ใช้สามารถทำ� การขอให้ผู้ให้บริการส่ง รหัสผ่านใหม่ไปยังที่อยู่อีเมลสำ� รอง (Backup หรือ Secondary Email Address) ที่เราระบุไว้ ตอนสมัครบัญชีผู้ใช้ หรือใช้วิธีตอบคำ� ถามลับ ซึ่งส่วนมากก็เป็นข้อมูลส่วนบุคคลที่ไม่ได้ยากเย็นที่ แฮกเกอร์จะค้นหาได้ โดยเฉพาะสำ� หรับบุคคลที่มีชื่อเสียงหรืออยู่ในเครือข่ายสังคมออนไลน์ (Social Network) ดังนั้นหากแฮกเกอร์สามารถยึดครองบัญชีผู้ใช้สำ� รองได้ก็เท่ากับว่าแฮกเกอร์ยึดบัญชีผู้ใช้ หลัก และเป็นหนึ่งในเทคนิคที่แฮกเกอร์ใช้ในการยึดครองบัญชีของนายแมท โฮนานนั่นเอง จากรายละเอียดของสิ่งที่เกิดขึ้นกับแมท โฮนาน ที่มีการเปิดเผยในอินเทอร์เน็ต แฮกเกอร์มี เป้าหมายที่จะยึดครองบัญชีผู้ใช้งานของทวิตเตอร์ อาจจะลำ� ดับเหตุการณ์ได้ว่า แฮกเกอร์ทราบข้อมูล จากรายละเอียดในทวิตเตอร์ว่า แมท มีเว็บไซต์ส่วนตัวอยู่ และในเว็บไซต์นั้น ก็มีข้อมูลเกี่ยวกับที่อยู่ อีเมล (Email Address) ของเขาอยู่ ซึ่งเป็นของ GMail (Google Mail) ซึ่งทำ� ให้แฮกเกอร์คาดได้ ว่าที่อยู่อีเมลนี้ คงจะเป็นอีเมลสำ� รองของทวิตเตอร์แน่นอน ดังนั้นหากจะเข้ายึดครองบัญชีผู้ใช้งานของ ทวิตเตอร์ แฮกเกอร์ต้องเข้าถึงบัญชีผู้ใช้งาน GMail ของแมทเสียก่อน เพื่อให้ได้มาซึ่งบัญชีผู้ใช้งาน GMail แฮกเกอร์ได้เรียกใช้ความสามารถของการกู้คืนบัญชีเมื่อลืม รหัสผ่าน ซึ่งตามระบบของ Google Mail นั้น ระบบจะส่ง URL พิเศษสำ� หรับกู้คืนบัญชีผู้ใช้ไปยัง อีเมลสำ� รองที่ผู้ใช้ได้ลงทะเบียนไว้ ถึงแม้ว่า Google จะมีมาตรการความปลอดภัยเพิ่มเติมโดยการไม่ ระบุอย่างชัดเจนว่าอีเมลสำ� รองที่ส่ง URL สำ� หรับกู้คืนบัญชีนั้นคืออีเมลใด โดยจะปิดบังตัวอักษร บางตัว เช่นในกรณีของแมท แฮกเกอร์จะเห็นเพียงว่า URL พิเศษนั้น ถูกส่งไปที่ m••••n@me.com แม้ว่าข้อมูลจะมีเพียงเท่านี้ แต่ก็สามารถบอกได้ว่าอีเมลสำ� รองของแมทเป็นระบบ me.com ซึ่งเป็น บริการของ Apple นั่นเอง ด้วยข้อมูลที่มีเท่านี้ก็เพียงพอสำ� หรับแฮกเกอร์แล้ว เพราะวิธีที่จะสวมรอยเป็นเจ้าของบัญชีผู้ใช้ งานของ Apple นั้น อาศัยเพียงข้อมูลเลขบัตรเครดิต 4 หลักสุดท้ายของแมท ซึ่งเราอาจจะคิดว่า ไม่ใช่ของง่ายที่จะหาข้อมูลนี้ แต่แฮกเกอร์รู้ดีว่า ใน Amazon ซึ่งเป็นเว็บไซต์ขายสินค้าชื่อดัง จะแสดง เลขบัตรเครดิต 4 หลักสุดท้ายในหน้ารายการบัตรเครดิตของผู้ใช้งานแต่ละคน และแมท ก็มีบัญชีผู้ใช้ งานของ Amazon อยู่ ดังนั้นงานต่อไปที่แฮกเกอร์ต้องทำ� ก็คือสวมรอยเป็นแมท โฮนานใน Amazon ให้ได้ จากข้อมูลที่อยู่สำ� หรับเรียกเก็บเงิน (Billing Address) ที่แฮกเกอร์ได้จากการตรวจสอบข้อมูล การจดทะเบียนโดเมน (Domain Registeration) เว็บไซต์ส่วนตัวของแมท ซึ่งข้อมูลนี้เป็นข้อมูล สาธารณะ และแฮกเกอร์คาดว่า น่าจะตรงกับที่อยู่สำ� หรับเรียกเก็บเงินที่แมทใช้ลงทะเบียนใน Amazon แฮกเกอร์จึงได้โทรศัพท์ไปยังฝ่ายบริการลูกค้าของ Amazon และอ้างชื่อผู้ใช้ กับที่อยู่สำ� หรับเรียกเก็บ เงิน เพื่อขอให้ Amazon เพิ่มรายการบัตรเครดิตปลอมเข้าไปในบัญชีผู้ใช้งาน ณ จุดนี้ดูเหมือนสิ่งที่แฮกเกอร์ทำ� จะไม่ส่งผลอะไรต่อบัญชีผู้ใช้งานของแมท เพียงแค่มีรายการ บัตรเครดิตที่ใช้งานไม่ได้เข้ามาอยู่ในบัญชีผู้ใช้งานอีก 1 รายการเท่านั้น แต่นี่เท่ากับว่า แฮกเกอร์สามารถ
  • 106 บทความทั่วไป ล่วงรู้รายละเอียดสำ� คัญในบัญชีผู้ใช้งานที่เป็นเป้าหมายเพิ่มขึ้นอีก 1 รายการเช่นกัน นั่นคือเลขบัตร เครดิต (ปลอม) และมันก็ได้แสดงให้เห็นว่า เป็นจุดเปลี่ยนที่สำ� คัญยิ่ง เมื่อแฮกเกอร์ติดต่อไปยัง Amazon อีกครั้ง คราวนี้อ้างว่าลืมรหัสผ่านและใช้หลักฐานอันประกอบด้วย ชื่อผู้ใช้งาน ที่อยู่ สำ� หรับเรียกเก็บเงิน และเลขบัตรเครดิต (ปลอม) ที่กลายเป็นส่วนหนึ่งของบัญชีผู้ใช้ไปตั้งแต่ก่อนหน้านี้ แล้ว ด้วยหลักฐาน 3 อย่างนี้ และฝีมือในการทำ� Social Engineering ของแฮกเกอร์ ทำ� ให้ Amazon ยอมให้แฮกเกอร์กำ� หนดอีเมลสำ� รองใหม่ และแน่นอน ย่อมเป็นที่อยู่อีเมลที่แฮกเกอร์สร้างขึ้น มาเอง ดังนั้น แฮกเกอร์จึงสามารถเข้าสู่บัญชีผู้ใช้ Amazon ของแมท โฮนาน นำ� เลข 4 ตัวสุดท้าย ของบัตรเครดิต (ที่แท้จริง) มาประกอบกับที่อยู่สำ� หรับเรียกเก็บเงิน นำ� ไปอ้างกับ Apple เพื่อกู้คืน บัญชีของ me.com และใน me.com แฮกเกอร์ก็ได้ URL พิเศษที่ใช้กู้คืนบัญชีผู้ใช้งานของ GMail และในขั้นตอนสุดท้าย เมื่อแฮกเกอร์เข้าควบคุมบัญชีผู้ใช้งาน GMail ของแมทได้ ก็คือการกู้คืนบัญชี ผู้ใช้งานทวิตเตอร์ ซึ่งใช้ที่อยู่อีเมลของแมทเป็นอีเมลสำ� รอง และเข้าควบคุมบัญชีผู้ใช้งานทวิตเตอร์ของ Gizmodo ได้ในที่สุด เพื่อให้เข้าใจง่ายขึ้นอีก ขอให้ดูที่รูปที่ 1 และ 2 ซึ่งเป็นการแสดงขั้นตอนทั้งหมดที่กล่าวมา รูปที่ 1 ลำ� ดับขั้นตอนที่แฮกเกอร์ใช้ในการเข้าถึงบัญชีผู้ใช้งานใน Amazon
  • CYBER THREATS 2013 107 รูปที่ 2 ลำ� ดับขั้นตอนที่แฮกเกอร์ใช้ในการเข้าถึงบัญชีผู้ใช้งานในทวิตเตอร์ ผ่าน GMail และ me.com นอกจากแฮกเกอร์จะขโมยบัญชีผู้ใช้งานทวิตเตอร์ของแมท โฮนานไปได้ในที่สุดแล้ว แฮกเกอร์ยังได้ ลบบัญชีผู้ใช้งาน GMail และสั่งลบข้อมูลบนเครื่องแมคบุค ไอโฟน และไอแพดของแมท โดยใช้คำ� สั่ง Remote Wipe ของ iCloud [2] ทำ� ให้แมทไม่สามารถกลับเข้าไปกู้คืนบัญชีผู้ใช้งานทั้งหมดได้ นอกจากแมทจะสูญเสียบัญชีผู้ใช้งานทั้งหมดไปแล้ว ข้อมูลเช่นรูปถ่ายครอบครัว และอีเมลทั้งหมดก็ ถูกแฮกเกอร์ทำ� ลายไปด้วย เท่ากับว่าเป็นหายนะครั้งยิ่งใหญ่สำ� หรับแมท โฮนาน ทั้งกับตัวตนในโลก ดิจิทัล และตัวตนในโลกจริงของเขาทีเดียว
  • 108 บทความทั่วไป อาจจะกล่าวได้ว่าถึงแม้แมท โฮนานจะระมัดระวังตัวเป็นอย่างดีแล้ว แต่ช่องโหว่ที่ไม่น่าเกิดขึ้นใน ขั้นตอนการขอกู้คืนบัญชีผู้ใช้ ในกรณีของ Amazon อาจจะเกิดจากไม่มีการตรวจสอบความผิดปกติ ของการเพิ่มเลขบัตรเครดิตเข้ามาใหม่ด้วยช่องทางที่ไม่ปกติ (ใช้เพียงที่อยู่สำ� หรับเรียกเก็บเงินเท่านั้น) และยังมีการนำ� เลขบัตรนี้ไปใช้อ้างความเป็นเจ้าของบัญชีผู้ใช้ในระยะเวลาไม่นานหลังจากนั้น ส่วน Apple นั้นก็ต้องการเพียงที่อยู่สำ� หรับเรียกเก็บเงินและเลข 4 หลักสุดท้ายของบัตรเครดิต แต่ทั้งนี้ อาจต้องให้เครดิตกับผลงาน Social Engineering ของแฮกเกอร์ ที่หากแฮกเกอร์ไม่มีความสามารถ ในด้านนี้ดีพอ เจ้าหน้าที่ของ Amazon และ Apple อาจจะรู้สึกได้ถึงความไม่ชอบมาพากล และ สามารถหยุดยั้งไม่ให้เกิดความเสียหายขึ้นอย่างเช่นในกรณีนี้ได้ จากตัวอย่างของแมท โฮนาน เราอาจป้องกันตัวไม่ให้ตกเป็นเหยื่อของแฮกเกอร์ในลักษณะนี้ได้โดย ไม่เชื่อมต่อบัญชีผู้ใช้เข้าด้วยกันในลักษณะการเป็นบัญชีสำ� รองหลายๆ ทอด เพราะในกรณีที่มีบัญชีใด บัญชีหนึ่งถูกเจาะได้ ก็จะส่งผลให้บัญชีที่เหลือถูกเจาะตามไปด้วยเป็นลูกโซ่ รวมถึงการใช้ชื่อผู้ใช้ที่ แตกต่างกันในแต่ละบัญชีผู้ใช้ก็อาจช่วยได้ในบางกรณี แต่อย่างไรก็ตาม ปัญหาใหญ่ที่เราไม่อาจควบคุมได้ เกิดที่ผู้ให้บริการ (ในที่นี้คือ Amazon และ Apple) ซึ่งมีนโยบายที่แตกต่างกันไปในการให้บริการ ลูกค้าในกรณีฉุกเฉิน [3] เช่น ลืมรหัสผ่านอย่างเช่นที่แฮกเกอร์ใช้ในครั้งนี้ แต่ข้อมูลทั้งอีเมล และ ภาพถ่ายของแมท ที่ถูกแฮกเกอร์ทำ� ลายทิ้งไปนั้น หากมีการสำ� รองข้อมูลเอาไว้ในอุปกรณ์สำ� รองส่วน บุคคล เช่น ฮาร์ดดิสก์แบบพกพา หรือเขียนลงในแผ่นดีวีดี หรือซีดี อย่างสมË่ำเสมอ ก็อาจช่วยลด ความเสียหายลงได้ แทนที่จะให้ความเชื่อมั่นบนบริการออนไลน์ทั้งหมดอย่างที่หลายๆ คนเป็นอยู่ใน ขณะนี้ โดยอาจลืมไปว่าบัญชีผู้ใช้งานในโลกดิจิทัลทั้งหลายนั้น อาจถูกเจาะได้โดยแฮกเกอร์ ไม่วันใด ก็วันหนึ่ง อ้างอิง 1. http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/ 2. http://www.emptyage.com/post/28679875595/yes-i-was-hacked-hard 3. http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/2/
  • CYBER THREATS 2013 109
  • 110 บทความทั่วไป FACEBOOK COMMUNITY STANDARDS กับการโพสต์บนเฟชบุ๊ค ผู้เขียน : ณัฐโชติ ดุสิตานนท์ วันที่เผยแพร่ : 6 มิถุนายน 2556 ปรับปรุงล่าสุด : 6 มิถุนายน 2556 ในปัจจุบันเราคงปฏิเสธไม่ได้ว่าเฟชบุ๊คกลายเป็น Social Media อันดับหนึ่งที่ผู้ใช้อินเทอร์เน็ต ส่วนใหญ่นิยมใช้กัน ไม่ว่าจะเป็นการโพสต์ข้อความ หรือการแชร์รูปภาพเพื่อแสดงความเป็นตัวเองบน สังคมออนไลน์ และแม้แต่ในสังคมออนไลน์ก็มีปัญหาในการอยู่ร่วมกัน เช่น ในอังกฤษ มีการรังแกใน หมู่เด็กโดยโพสต์ด่าออนไลน์ผ่านเฟชบุ๊คจนทำ� ให้เด็กฆ่าตัวตาย [1] นอกจากนี้การแสดงความคิดบาง อย่างอาจจะยอมรับได้จากคนกลุ่มหนึ่ง เช่น มองว่าเป็นเรื่องของเสรีภาพ แต่อาจจะไม่ได้รับการยอมรับ จากคนอีกกลุ่ม เช่น มองว่าเป็นการละเมิดสิทธิของอีกคน หรือสร้างผลกระทบต่อสังคม เฟชบุ๊คจึง ได้สร้าง Facebook Community Standards เป็นมาตรฐานหรือข้อตกลงของการแสดงความ คิดเห็นไม่ว่าจะเป็นการโพสต์หรือการแชร์ในเฟชบุ๊ค เพื่อเป็นแนวทางว่านี่คือสิ่งที่ยอมรับได้ และนี่คือสิ่งที่ ยอมรับไม่ได้ ถือเป็นเรื่องที่เราควรรู้และคำ� นึงถึงก่อนที่จะโพสต์ข้อความหรือแชร์สื่อ ต่างๆ Facebook Community Standards สามารถแบ่งได้ตามหัวข้อดังนี้ รูปที่ 1 ตัวอย่าง facebook community standards บนเฟชบุ๊ค
  • CYBER THREATS 2013 111 ความรุนแรงและการข่มขู่ (Violence and Threat) ห้ามโพสต์ข้อความที่เป็นการข่มขู่ว่าจะทำ� ร้าย หรือชักชวนให้ทำ� ร้าย ก่อการร้าย ต่อบุคคล โดยตรง หรือต่อสาธารณชน เช่น โพสต์ข้อความว่าจะวางระเบิดสวนสาธารณะ รวมถึงการสร้างบัญชี หรือสร้างฟนเพจเป็นผู้ก่อการร้ายหรือองค์กรก่อการร้าย การทำ� ร้ายร่างกายตัวเอง (Self-harm) ห้ามไม่ให้ชักชวนฆ่าตัวตาย หรือการกระทำ� ใดๆ ก็ตามที่เป็นการทำ� ร้ายร่างกายตัวเอง รวมถึงการ ชักชวนให้ใช้ยาเสพติด การหมิ่นประมาท (Bullying and Harassment) ห้ามไม่ให้โพสต์ในบัญชีคนอื่น หรือสร้างเพจ ที่เป็นการกล่าวให้ร้าย หรือหมิ่นประมาท เฮทสปีช (Hate Speech) เฮทสปีชคือการพูดซึ่งมีเจตนาทางเกลียดชังและก่อให้เกิดการเกลียดชังอีกฝ่ายหนึ่ง โดยเป้าหมาย นั้นจะเป็นในลักษณะวงกว้าง ไม่ใช่ตัวบุคคล เช่น ศาสนา สีผิว เชื้อชาติ ถิ่นกำ� เนิด เพศ ความพิการ ซึ่งการแสดงความคิดเห็นในลักษณะนี้เป็นสิ่งที่ยอมรับไม่ได้ในเฟชบุ๊ค สื่อรูปภาพและวิดีโอ (Graphic Content) สื่อบางอย่างที่เป็นสิ่งที่รับได้สำ� หรับคนกลุ่มหนึ่ง แต่เราจำ� เป็นต้องคำ� นึงถึงความหลากหลายด้าน วัฒนธรรมและเชื้อชาติ อย่างไรก็ตามเฟชบุ๊คห้ามไม่ให้โพสต์สื่อที่มีลักษณะลามกอนาจาร การแสดงยืนยันตัวตนและความเป็นส่วนตัว (Identity and Privacy) เฟชบุ๊คมีนโยบายให้บุคคลต้องใช้ชื่อจริงในการสมัครบัญชี และห้ามบุคคลไม่ให้เปิดเผยข้อมูลส่วน บุคคลอื่นโดยที่ไม่ได้รับการยอมรับจากเจ้าของ รวมถึงการสร้างชื่อบัญชีปลอมแสดงตัวเป็นคนอื่น การแสดงตัวหรือสร้างแฟนเพจเป็นองค์กร บริษัท บุคคลโดยไม่ได้รับการอนุญาต ทรัพย์สินทางปัญญา (Intellectual property) ห้ามแชร์สื่อที่ได้รับความคุ้มครองลิขสิทธิ์ หรือเครื่องหมายทางการค้า ฟิชชิ่งและสแปม (Phishing and Spam) การหลอกลวงโดยใช้อีเมลหรือหน้าเว็บไซต์ปลอมของเฟชบุ๊คเพื่อให้ได้มาซึ่งข้อมูล (Phishing) เช่น ชื่อผู้ใช้ รหัสผ่าน และการส่งข้อความถึงผู้ที่ไม่ต้องการรับ ก่อให้เกิดความรำ� คาญ (Spam) ก็ เป็นการละเมิดข้อตกลงเช่นกัน ความมั่นคงปลอดภัย (Security) นอกจากเทคนิคฟิชชิ่งและสแปมแล้ว ก็ยังห้ามไม่ให้ใช้เทคนิคอื่นๆ เพื่อขโมยข้อมูลลับส่วนบุคคล รวมถึงการขโมยบัญชีเฟชบุ๊ค ทางเฟชบุ๊คได้ให้ความสำ� คัญในเรื่องของ security โดยมีการเปิดให้ผู้ใช้ สามารถ log in แบบยืนยัน 2 ขั้นตอน (2 step verification) เหมือนกับ google
  • 112 บทความทั่วไป ถึงแม้เฟชบุ๊คสร้าง Facebook Community Standards ก็ตาม แต่ก็เป็นเพียงแนวทาง โดยไม่ได้ระบุรายละเอียดอย่างชัดเจน ทำ� ให้เกิดข้อสงสัย เช่น รูปลักษณะอย่างไรถึงเรียกว่าเป็น สื่อลามกอนาจาร หรือการโพสต์ข้อความในบางลักษณะที่อาจมองว่าเป็น hate speech หรือเป็น มุกตลกก็ได้ ซึ่งขึ้นอยู่กับการตีความของแต่ละบุคคล ดังนั้นผู้ใช้ควรใช้วิจารณญาณก่อนโพสต์โดย คิดถึงผลกระทบที่จะเกิดขึ้นด้วย อย่างไรก็ตามหากผู้อ่านพบเห็นการละเมิด Facebook Community Standards เช่น มีการโพสต์ข้อความประกาศการก่อการร้าย หมิ่นสถาบันเบื้องสูง หรือมีคนสร้างบัญชีแอบอ้างเป็นผู้อ่าน ผู้อ่านก็สามารถที่จะแจ้งทีมงาน Facebook เพื่อที่จะนำ� ไป ดำ� เนินการ ซึ่งผู้เขียนจะอธิบายวิธีการแจ้งในตอนต่อไป อ้างอิง 1. http://www.bbc.co.uk/news/uk-england-birmingham-14121631 2. https://www.facebook.com/communitystandards
  • CYBER THREATS 2013 113
  • 114 บทความทั่วไป เปิดใช้ 2-STEP AUTHENTICATION ใน GOOGLE แล้วมีปัญหา ใช้แอปบนมือถือ ทำ� ไงดี !! ผู้เขียน : ณัฐโชติ ดุสิตานนท์ วันที่เผยแพร่ : 6 มิถุนายน 2556 ปรับปรุงล่าสุด : 6 มิถุนายน 2556 สืบเนื่องจากบทความเรื่อง 2-Step Authentication ที่ทางไทยเซิร์ตได้เผยแพร่ในเว็บไซต์ ผู้อ่านอาจจะสงสัยว่าแอปพลิเคชันบางตัวที่ไม่รองรับ 2-Step Authentication เช่น Gmail บน โทรศัพท์มือถือ หรือ Outlook บน Windows จะสามารถเข้าถึงข้อมูลในบัญชีกูเกิลได้อย่างไรในเมื่อ แอปพลิเคชันเหล่านี้ไม่ได้สนับสนุนการยืนยันตัวบุคคลในลักษณะนี้ ผู้เขียนจึงขอแนะนำ� วิธีการที่จะทำ� ให้ แอปพลิเคชันเหล่านี้สามารถทำ� งานร่วมกับบัญชีผู้ใช้งานที่เปิดการใช้งาน 2-Step Authentication ไว้ได้ โดยเจ้าของบัญชีสามารถสร้างรหัสผ่านพิเศษที่เรียกว่า Application-specific password เพื่อใช้สำ� หรับแอปพลิเคชันเหล่านี้โดยเฉพาะ ทำ� ให้สามารถเข้าถึงเข้าข้อมูลในบัญชีกูเกิลได้เป็นรายกรณี [1] [2] วิธีการสร้าง Application-specific password 1. ผู้ใช้ต้องเปิดใช้ 2-Step Authentication โดยวิธีเปิดใช้สามารถศึกษาได้ที่บทความที่อ้างถึง ข้างต้น [1] 2. เข้า https://www.google.com/settings/security และคลิกที่ Settings ตามรูปที่ 1
  • CYBER THREATS 2013 115 รูปที่ 1 คลิกที่ Settings 3. คลิกที่ Manage application-specific passwords ตามรูปที่ 2 รูปที่ 2 คลิกที่ Manage application-specific passwords 4. หลังจากคลิก ผู้ใช้จะไปยังหน้า log in เมื่อ log in เพื่อยืนยันตัวตนเสร็จเรียบร้อย ผู้ใช้จะ มายังหน้าสำ� หรับสร้าง Application-specific password ตามรูปที่ 3 ให้ผู้ใช้ใส่ชื่อเพื่อให้จำ� ได้ว่า รหัสผ่านที่จะสร้างนั้นใช้กับแอปพลิเคชันอะไร เช่น “My Gmail on Android” จากนั้นให้คลิก Generate password เพื่อสร้างรหัสผ่าน
  • 116 บทความทั่วไป รูปที่ 3 ใส่ชื่อเพื่อช่วยจำ� รหัสผ่านและคลิก Generate password 5. ผู้ใช้สามารถนำ� รหัสผ่านที่สร้างขึ้นแบบสุ่ม ซึ่งตามรูปที่ 4 คือ “yanwjmyzqpqpwtdv” (ไม่มี space) ไปใช้กับแอปพลิเคชันที่ต้องการ โดยใส่ตรงหน้า log in เหมือนรหัสผ่านทั่วไป และ เนื่องจากปกติแล้วแอปพลิเคชันในโทรศัพท์มือถือจะจำ� รหัสผ่านไว้ ดังนั้นผู้ใช้ไม่จำ� เป็นต้องจำ� รหัสผ่านนี้ เพื่อไว้ใช้งานอีก และเมื่อคลิกที่ปุ่ม Done แล้ว จะไม่มีทางเปิดดูรหัสผ่านนี้ได้อีก ซึ่งถือว่าเป็นมาตรการ ความปลอดภัยของ Google รูปที่ 4 แสดงรหัสผ่านที่ถูกสร้าง ถึงแม้ว่ารหัสผ่านนี้ จะสามารถใช้งานได้มากกว่าหนึ่งแอปพลิเคชัน ผู้เขียนขอแนะนำ� ว่าควรสร้าง รหัสผ่านขึ้นมาแยกกัน เพราะในกรณีที่สงสัยว่ารหัสผ่านของแอปพลิเคชันใดที่อาจรั่วไหล หรือถูกใช้
  • CYBER THREATS 2013 117 งานอย่างมิชอบ ผู้ใช้สามารถทำ� การเพิกถอนรหัสผ่านเป็นรายตัวได้โดยคลิกที่ Revoke ตามรูปที่ 4 และถึงแม้ว่า Application-specific password จะเพิ่มความสะดวกสบายให้กับผู้ใช้ แต่ก็เป็นการเพิ่มช่องทางในการเจาะระบบสำ� หรับแฮกเกอร์เพราะผู้ที่ได้ Application-specific password มีสิทธิ์เข้าถึงข้อมูลทุกอย่าง ตามที่ระบุไว้ในรูปที่ 4 เทียบเท่ากับการเข้าสู่ระบบผ่าน 2-Step Authentication นอกจากนี้เมื่อวันที่ 21 กุมภาพันธ์ 2556 นักวิจัยค้นพบช่องโหว่ทำ� ให้ แฮกเกอร์ที่มี Applicaton-specific password สามารถทำ� password recovery หรือ ปิด การใช้ 2-Step Authentication ได้ [3] ซึ่งปัจจุบันนี้ ช่องโหว่ได้ถูกปิดไปแล้ว สรุป การใช้ 2-Step Authentication ถือเป็นการเพิ่มความมั่นคงปลอดภัยให้กับบัญชีขึ้นอีก ระดับ และการใช้ Application-specific password ก็ช่วยกำ� จัดปัญหาเรื่องแอปพลิเคชันที่ไม่ รองรับ 2-Step Authentication ได้ อย่างไรก็ตามผู้ใช้ไม่ควรใช้งาน Application-specific password นอกเหนือจากการใช้กับแอปพลิเคชันที่จำ� เป็นต้องใช้งานเท่านั้น และควรเป็น แอปพลิเคชันที่มาจากแหล่งน่าเชื่อถือ เช่น แอปพลิเคชันที่ดาวน์โหลดมาจาก Official site หรือเป็น แอปพลิเคชันบนมือถือที่ดาวน์โหลดจาก Google play หรือ App Store เพราะอย่าลืมว่า Application-specific password นั้น หากเกิดการรั่วไหล ผู้ไม่ประสงค์ดีสามารถเข้าถึงบัญชี ผู้ใช้งานของเราได้โดยไม่ต้องผ่าน 2-Step Authentication ได้ ถึงแม้ว่าจะมีข้อจำ� กัดบางประการ ก็ตาม อ้างอิง 1. http://support.google.com/a/bin/answer.py?hl=en&answer=1032419 2. http://support.google.com/accounts/bin/answer.py?hl=en&answer=185833 3. http://www.computerworld.com/s/article/9237148/Application_specific_passwords_ weaken_Google_s_two_factor_authentication_researchers_say 4. https://blog.duosecurity.com/2013/02/bypassing-googles-two-factor-authentication/
  • 118 บทความทั่วไป SECURE DELETE: ลบไฟล์อย่างไรให้ปลอดภัย จากการกู้คืน ผู้เขียน : เจษฎา ช้างสีสังข์ วันที่เผยแพร่ : 19 กรกฎาคม 2556 ปรับปรุงล่าสุด : 19 กรกฎาคม 2556 ยุคสมัยที่เทคโนโลยีก้าวเข้ามามีบทบาทต่อการใช้ชีวิตประจำ� วันบนโลกออนไลน์ ผู้คนส่วนมากใช้ งานคอมพิวเตอร์เพื่อการสื่อสาร แลกเปลี่ยนข้อมูล รวมถึงเพื่อการทำ� ธุรกรรมออนไลน์ ข้อมูลสำ� คัญ มีการสร้างและเก็บอยู่บนเครื่องคอมพิวเตอร์ไม่ว่าจะเป็นชื่อ ที่อยู่ หมายเลขโทรศัพท์ รูปถ่าย หรือ ข้อมูลส่วนบุคคลอื่นๆ ที่อาจสร้างความเสียหายกับเจ้าของข้อมูลได้หากมีการรั่วไหลออกไป สาเหตุของการรั่วไหลของข้อมูลส่วนบุคคลเหล่านี้ ที่เป็นที่รู้กันดีอย่างหนึ่งก็คือ การนำ� เครื่อง คอมพิวเตอร์ไปซ่อมที่ร้าน อย่างที่จะเห็นได้จากข้อมูลตามรูปที่ 1 เป็นผลการค้นหาด้วยคีย์เวิร์ด “ภาพหลุดจากร้านซ่อมคอม” โดย Google ซึ่งจะพบคลิปหรือรูปภาพที่อ้างว่าหลุดมาจากร้านที่รับ ซ่อมคอมพิวเตอร์เป็นจำ� นวนมากกว่า 100 รายการ ถึงแม้ว่าบางส่วนอาจเป็นการแอบอ้างเท่านั้น แต่ถ้า ลองพิจารณาถึงเหตุผลก็คงไม่มีใครปฏิเสธว่า ข้อมูลเหล่านี้สามารถถูกขโมยออกมาได้จากเครื่อง คอมพิวเตอร์ได้ไม่ยาก และเชื่อว่าส่วนหนึ่งมาจากที่ผู้ใช้งานไม่ได้สนใจที่จะลบข้อมูลสำ� คัญเหล่านั้น ออกก่อน ซึ่งในกรณีนี้ คงต้องโทษเจ้าของข้อมูลส่วนหนึ่งที่ไม่เอาใจใส่ในการป้องกันข้อมูลของตัวเอง อย่างเพียงพอ
  • CYBER THREATS 2013 119 รูปที่ 1 แสดงผลการค้นหาด้วยคีย์เวิร์ด “ภาพหลุดจากร้านซ่อมคอม” โดย Google แต่ผู้ใช้คอมพิวเตอร์จำ� นวนหนึ่ง ที่ทราบถึงความสำ� คัญของการปกป้องข้อมูลส่วนตัว ถึงขนาด ลบข้อมูลออกก่อนที่จะส่งไปให้ร้านซ่อมแล้ว แต่ข้อมูลก็ยังรั่วไหลออกไปได้ จะมีคำ� อธิบายอย่างไร? ใน กรณีนี้อาจจะไม่ใช่เรื่องใหม่ หรือแปลกหูสำ� หรับคนไอทีมากนัก เนื่องจากเป็นที่รู้กันดีว่า มีโปรแกรม หลายตัวที่มีความสามารถในการกู้คืนไฟล์ที่ถูกลบไปแล้ว ให้กลับมาในสภาพเดิมได้อย่างไม่ยากเย็น ดังนั้น บทความในครั้งนี้จะกล่าวถึงแนวทางการป้องกันข้อมูลสำ� คัญ จากการถูกกู้คืนโดยโปรแกรม ดังกล่าว พร้อมตัวอย่างเพื่อให้ผู้อ่านสามารถนำ� ไปปรับใช้ได้ด้วยตนเอง ลบข้อมูลแล้ว กู้ได้จริงหรือ ในความเข้าใจของผู้ใช้งานคอมพิวเตอร์โดยทั่วไปแล้ว หากต้องการลบข้อมูลโดยที่ไม่ให้สามารถกู้ คืนได้อีก เช่น ในระบบปฏิบัติการวินโดวส์ จะใช้คำ� สั่ง Delete เพื่อลบข้อมูลทิ้ง แต่ในความเป็นจริง แล้ว ข้อมูลดังกล่าวไม่ได้ถูกลบออกจากฮาร์ดดิสก์จริง ยังมีกระบวนการที่สามารถกู้คืนข้อมูลส่วน นั้นขึ้นมาใช้งานได้อยู่ ซึ่งก่อนที่เข้าใจวิธีการกู้คืนข้อมูลนั้น ผู้เขียนจะขออธิบายพื้นฐานของการจัดเก็บ ข้อมูลเบื้องต้น เพื่อความเข้าใจที่ชัดเจน ในการจัดเก็บข้อมูลบนระบบปฏิบัติการส่วนมาก มีการเก็บข้อมูลเบื้องต้นอยู่ 2 ส่วน ได้แก่ Index หรือส่วนที่ใช้ชี้ตำ� แหน่งของข้อมูลว่าเก็บอยู่ที่ตำ� แหน่งใดในพื้นที่จัดเก็บข้อมูล (เช่น ฮาร์ดดิสก์) และมีข้อมูลอื่นๆ ที่เรียกว่า Metadata เช่น ชื่อไฟล์ วันที่เปลี่ยนแปลงข้อมูล เป็นต้น ในส่วนถัดมาคือ ตัวข้อมูลจริงๆ คือเนื้อไฟล์ที่เก็บอยู่ในฮาร์ดดิสก์ ซึ่งเมื่อผู้ใช้งานลบไฟล์ด้วยคำ� สั่ง Delete ระบบ ปฏิบัติการจะลบเฉพาะ Index ที่ใช้ชี้ตำ� แหน่งของข้อมูลทิ้งเท่านั้น โดยเนื้อไฟล์จริงๆ จะไม่ถูกแตะต้อง
  • 120 บทความทั่วไป แต่บริเวณที่เนื้อไฟล์อยู่นั้น จะถูกมองเหมือนเป็นพื้นที่ว่าง ซึ่งหากระบบปฏิบัติการยังไม่เขียนข้อมูล อะไรทับลงไป ข้อมูลเดิมทั้งหมดก็มีโอกาสถูกกู้คืนได้ [1] [2] ลบข้อมูลอย่างไรให้กู้คืนไม่ได้ จะเห็นได้ว่า ถึงแม้เราจะลบข้อมูลแล้ว แต่หากเนื้อไฟล์ยังไม่ถูกเขียนทับ ก็ยังไม่ถือว่าข้อมูลนั้นหาย ไปไหน วิธีการที่จะทำ� ให้ข้อมูลนั้นไม่สามารถนำ� ออกมาใช้ได้อีก สามารถทำ� ได้ด้วยการเขียนข้อมูลอื่นๆ ทับลงไป เช่น เทคนิคที่เรียกว่า Zero fill จะเป็นการเขียนตัวเลข 0 ทับลงไปบนข้อมูลที่ต้องการลบ หรือการ Random fill จะเป็นการเขียนทับด้วยข้อมูลที่เป็นค่าสุ่ม และสำ� หรับผู้ที่ต้องการความ แน่นอนในการลบ ก็สามารถเขียนข้อมูลทับลงไปหลายๆ รอบได้ เพื่อลดโอกาสสำ� เร็จในการกู้คืนข้อมูล ให้ได้มากที่สุด [3] [4] [5] ตัวอย่างเครื่องมือ และวิธีการใช้สำ� หรับลบไฟล์ ในหัวข้อนี้จะเป็นการกล่าวถึงการยกตัวอย่าง เครื่องมือที่ใช้ในการลบไฟล์อย่างมั่นคงปลอดภัย ซึ่งจะขอแบ่งเป็นเครื่องมือ ที่ใช้กับระบบปฏิบัติการวินโดวส์และลินุกซ์ ดังนี้ ตัวอย่างเครื่องมือที่ใช้ในระบบปฏิบัติการวินโดวส์ เครื่องมือที่สามารถลบข้อมูลได้อย่างมั่นคงปลอดภัยบนวินโดวส์นั้นมีหลายตัว แต่ในที่นี้จะขอยก ตัวอย่างโปรแกรมที่ชื่อว่า SDelete ซึ่งเป็นซอฟต์แวร์ที่ใช้งานได้ฟรี และเป็นของ Microsoft เอง สามารถดาวน์โหลดได้จาก (http://technet.microsoft.com/en-us/sysinternals/ bb897443) และเมื่อดาวน์โหลดเสร็จแล้ว สามารถเรียกใช้ไฟล์ sdelete.exe ได้โดยตรง ซึ่งมี ตัวอย่างการใช้งานดังนี้ [6]
  • CYBER THREATS 2013 121 1. คำ� สั่ง “sdelete.exe -h” จะแสดง Option ต่างๆ ที่ซอฟต์แวร์รองรับการใช้งาน ดังรูปที่ 2 รูปที่ 2 แสดง Option ต่างๆ ของ sdelete 2. คำ� สั่ง “sdelete.exe -p 10 data.txt” คือการลบไฟล์ data.txt และเขียนทับตำ� แหน่งของ ข้อมูลดังกล่าวซË้ำกัน 10 ครั้ง ดังรูปที่ 3 รูปที่ 3 แสดงตัวอย่างการลบไฟล์ด้วย sdelete 3. คำ� สั่ง “sdelete.exe -z” คือการเขียนข้อมูลทับในตำ� แหน่งที่ว่างทั้งหมดในไดร์ฟ ซึ่งการใช้ คำ� สั่งนี้ จะทำ� ให้ข้อมูลที่ถูกลบด้วยวิธีธรรมดาก่อนหน้านี้หายไปอย่างถาวร เช่นเดียวกับการใช้คำ� สั่ง sdelete กับไฟล์เหล่านั้นโดยตรง ตัวอย่างการใช้งานดังรูปที่ 4 รูปที่ 4 แสดงตัวอย่างการเขียนข้อมูลทับตำ� แหน่งที่ว่าง
  • 122 บทความทั่วไป ตัวอย่างเครื่องมือที่ใช้ในระบบปฏิบัติการลินุกซ์ สำ� หรับระบบปฏิบัติการลินุกซ์นั้น ผู้เขียนขอยกตัวอย่าง 2 เครื่องมือ ได้แก่ shred [7] ซึ่งใช้ ในการลบไฟล์ และ sfill [8] [9] ใช้ในการเขียนข้อมูลทับตำ� แหน่งที่ว่างอยู่ ดังแสดงในตัวอย่างต่อไปนี้ 1. คำ� สั่ง “shred -n 10 -z -v data.txt” คือการลบไฟล์ data.txt โดยจะเขียนค่าทับข้อมูล ที่ต้องการลบจำ� นวน 10 ครั้ง (-n 10) และเขียนทับในรูปแบบ Zero fill (-z) ครั้งสุดท้าย ดังรูปที่ 5 รูปที่ 5 แสดงตัวอย่างการลบไฟล์ด้วยคำ� สั่ง shred 2. คำ� สั่ง “sfill -v /” คือการเขียนข้อมูลทับในตำ� แหน่งที่ว่างทั้งหมดใน Root Directory ซึ่ง การใช้คำ� สั่งนี้ มีผลเช่นเดียวกับโปรแกรม sfill ของวินโดวส์ที่ได้กล่าวไปแล้ว แสดงตัวอย่างดังรูปที่ 6 รูปที่ 6 แสดงตัวอย่างการเขียนข้อมูลทับตำ� แหน่งที่ว่าง ด้วยซอฟต์แวร์ sfill
  • CYBER THREATS 2013 123 สรุป การเก็บข้อมูลภายในเครื่องควรคำ� นึงถึงการรักษาความลับของข้อมูลที่สำ� คัญ ซึ่งรวมถึงข้อมูล สำ� คัญที่เราไม่ต้องการใช้งานแล้ว ควรมีวิธีการในการป้องกันไม่ให้ข้อมูลเหล่านั้นรั่วไหล ซึ่งในบทความนี้ ได้แสดงให้เห็นถึง ผลกระทบที่เกิดขึ้นหากข้อมูลรั่วไหล และวิธีลบข้อมูลที่ไม่ต้องการใช้งานแล้ว ไม่ให้ สามารถกู้คืนได้ อ้างอิง 1. http://www.howtogeek.com/72130/learn-how-to-securely-delete-files-in-windows/ 2. https://ssd.eff.org/tech/deletion 3. http://techthrob.com/2009/03/02/howto-delete-files-permanently-and-securely-in-linux/ 4. http://techthrob.com/2010/03/25/howto-delete-files-permanently-and-securely-in-windows/ 5. http://wiki.answers.com/Q/What_is_zero_filling 6. http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx 7. http://linux.about.com/library/cmd/blcmdl1_shred.htm 8. http://manpages.ubuntu.com/manpages/lucid/man1/sfill.1.html 9. http://www.lylebackenroth.com/blog/2010/09/30/how-to-securely-delete-unused-drive- space-other-system-areas/
  • 124 บทความทั่วไป IPHONE IPAD IPOD ติดมัลแวร์ภายใน 1 นาที ผู้เขียน : พรพรหม ประภากิตติกุล วันที่เผยแพร่ : 4 สิงหาคม 2556 ปรับปรุงล่าสุด : 4 สิงหาคม 2556 “iPhone iPad iPod หรือเรียกอีกชื่อว่าเป็น อุปกรณ์ iOS ปัจจุบันพบว่าสามารถ ติดมัลแวร์ภายหลังจากเสียบที่ชาร์จไฟ สาธารณะเพียง 1 นาที” กลุ่มนักวิจัยจาก Georgia Institute of Technology ได้เผยแพร่ข้อมูลงานวิจัยชิ้นสำ� คัญ ภายในงาน Blackhat ที่จัดขึ้นที่ลาสเวกัส สหรัฐเมริกา หรือ Blackhat USA 2013 ในห้วข้อ “MACTANS: INJECTING MALWARE INTO IOS DEVICES VIA MALICIOUS CHARGERS” โดยกล่าวว่าอุปกรณ์ที่ใช้งานระบบปฏิบัติการ iOS สามารถถูกฝังมัลแวร์ได้อย่างง่ายดาย เพียงแค่นำ� อุปกรณ์ iOS มาเชื่อมต่อเข้ากับอุปกรณ์สำ� หรับชาร์จไฟที่พัฒนาขึ้นโดยเฉพาะชื่อ MACTANS Charger โดยกลุ่มนักวิจัยได้อธิบายหลักการทำ� งานเบื้องต้นของอุปกรณ์ที่ได้พัฒนาขึ้นว่าเป็นการนำ� BeagleBoard (http://beagleboard.org/) ซึ่งเป็นเมนบอร์ดที่แพร่หลายในกลุ่มนักพัฒนา OpenSource เนื่องจากมีขนาดเล็กและสามารถติดตั้งระบบปฏิบัติการ Linux ได้ ทำ� ให้กลุ่มนักวิจัย นำ� มาใช้งานสำ� หรับประมวลผลซอร์สโค้ดที่พัฒนาขึ้น ความสามารถของ MACTANS Charger คือสั่งการให้อุปกรณ์ iOS ที่มาเชื่อมต่ออยู่นั้น ประมวลผลซอร์สโค้ดที่พัฒนาขึ้นและสั่งให้มีการติดตั้ง มัลแวร์แอปพลิเคชันลงในอุปกรณ์ iOS ได้ภายใน 1 นาที จากกรณีดังกล่าวกลุ่มนักวิจัยอ้างว่าได้อาศัย เทคนิคและช่องโหว่ของระบบปฏิบัติการ iOS ที่พบ และสร้างอุปกรณ์ขึ้นมาเพื่อทดสอบสมมติฐานที่ ตั้งขึ้น (Proof of concept) ซึ่งในเบื้องต้นบทความนี้จะอธิบายกระบวนการทำ� งานด้านความ ปลอดภัยของระบบปฏิบัติการ iOS ให้ทราบก่อน จากนั้นจึงเข้าถึงส่วนที่อธิบายการทำ� งานของ อุปกรณ์ที่เกี่ยวข้องและการติดมัลแวร์ต่อไป
  • CYBER THREATS 2013 125 กลไกการป้องกันด้านความมั่นคงปลอดภัยของระบบปฏิบัติการ iOS 1. การ Review แอปพลิเคชันก่อนเปิดให้ผู้ใช้งานดาวน์โหลดจาก App Store แอปพลิเคชันที่จะนำ� ขึ้น App Store เพื่อให้ผู้ใช้งานเริ่มดาวน์โหลดได้จะต้องผ่านกระบวนการ ตรวจสอบด้านความมั่นคงปลอดภัยจากทีมงานของ App Store ก่อนทุกครั้ง ว่าแอปพลิเคชันมี ลักษณะการทำ� งานที่เป็นอันตรายหรือไม่ ซึ่งจากอดีตที่ผ่านมาจะเห็นได้ว่ามีโอกาสน้อยมากที่จะพบ แอปพลิเคชันบน App Store ที่ทำ� งานในลักษณะเป็นมัลแวร์ 2. การตรวจสอบ Code Siging ก่อนการติดตั้งหรือการทำ� งานของแอปพลิเคชัน Code Signing หรือที่เข้าใจในอีกมุมหนึ่งว่าเป็นการตรวจสอบความถูกต้องของแอปพลิเคชัน ว่าเป็นแอปพลิเคชันที่ได้รับอนุญาตให้ติดตั้งได้โดย App Store หรือไม่ ในอุปกรณ์ iOS ที่ไม่ได้มีการ Jailbreak ส่วนการทำ� งานของระบบปฏิบัติการระบบปฎิบัติการจะทำ� การตรวจสอบ Code Signing ของแอปพลิเคชันที่จะมีการติดตั้งหรือมีการเรียกใช้งาน หากระบบปฏิบัติการพบว่า แอปพลิเคชันไม่ได้รับการยืนยันว่ามาจาก App Store ก็จะทำ� ให้แอปพลิเคชันนั้นทำ� งานต่อไปไม่ได้ 3. การทำ� Sandbox ป้องกันพื้นที่การทำ� งานและโพรเซสการทำ� งานของแอปพลิเคชัน Sandbox คือความสามารถในการแบ่งการทำ� งานออกเป็นส่วนๆ แยกกัน ทำ� เพื่อป้องกันการ เข้าถึงข้อมูลสำ� คัญของแต่ละส่วน ในระบบปฏิบัติการ iOS ก็มีการทำ� งานลักษณะนี้ซึ่งแยกการทำ� งาน ออกเป็นส่วนเฉพาะหรือที่เรียกว่า iOS Sandbox หมายถึงแอปพลิเคชันทุกตัวไม่ได้แชร์พื้นที่ร่วมกัน เพื่อป้องกันการเข้าถึงข้อมูลของแอปพลิเคชันอื่น แต่ก็มีความยืดหยุ่นให้ผู้พัฒนาสามารถเลือกที่จะแชร์ ข้อมูลหรือพื้นที่บางส่วนกับแอปพลิเคชันอื่นได้ และความสามารถของ iOS Sandbox ดังกล่าวก็ ทำ� ให้การเข้าถึงข้อมูลโพรเซสการทำ� งานของแอปพลิเคชันไม่สามารถทำ� ได้เช่นกัน อย่างไรก็ตามข้อจำ� กัดและกลไกการป้องกันทั้งหมดที่ระบบปฏิบัติการ iOS มีดังที่ได้กล่าวมา ข้างต้น ปัจจุบันสามารถถูก Bypass ได้อย่างสิ้นเชิง โดยอาศัยเทคนิคและช่องโหว่ที่จะกล่าวถึงใน อุปกรณ์ต้นแบบชื่อ MACTANS Charger โดยที่อุปกรณ์ดังกล่าวอาจดูเป็นเพียงอุปกรณ์สำ� หรับ ชาร์จแบตเตอรี่ของอุปกรณ์ iOS ธรรมดา แต่เมื่อมีการนำ� อุปกรณ์ iOS เสียบเข้ากับอุปกรณ์ดังกล่าว แล้วก็จะทำ� ให้อุปกรณ์ iOS ถูกติดตั้งมัลแวร์ได้เพียงไม่เกิน 1 นาที คุณสมบัติของอุปกรณ์ต้นแบบ MACTANS Charger 1. สามารถทำ� งานได้กับอุปกรณ์ iOS ทุกชนิดและทุกเวอร์ชันโดยไม่จำ� เป็นว่าอุปกรณ์จะต้อง Jailbreak อยู่หรือไม่ 2. ทำ� งานอัตโนมัติภายหลังจากการ Pair ระหว่างอุปกรณ์ iOS กับ MACTANS สมบูรณ์แล้ว (จะกล่าวถึงการ Pair ในลำ� ดับถัดไป) 3. ไม่มีการแสดงผลฝั่งผู้ใช้งาน ทำ� ให้ไม่พบความผิดปกติบนหน้าจอ 4. อุปกรณ์ต้นแบบมีขนาดเพียง 8 x 7 ซม. ทำ� ให้ง่ายต่อการติดตั้งแบบหลบซ่อน
  • 126 บทความทั่วไป 5. ยังไม่พบว่ามีแอปพลิเคชันอื่นๆที่สามารถทำ� งานได้เทียบเท่า รูปที่ 1 แสดงแผงวงจรควบคุมภายในของอุปกรณ์ MACTANS ขั้นตอนการติดมัลแวร์จากอุปกรณ์ต้นแบบ MACTANS Charger 1. ดึงค่า UDID ของอุปกรณ์ iOS ที่เชื่อมต่อกับ MACTANS Charger ออกมา ค่า UDID เป็นค่า 40 หลักที่นำ� มาใช้ระบุอุปกรณ์ iOS แต่ละตัว ซึ่งค่าที่อยู่ในแต่ละอุปกรณ์จะ ต้องมีค่าที่ต่างกัน (Unique ID) โดยปกติเมื่อมีการเชื่อมต่อผ่านสาย USB ระบบปฏิบัติการ iOS จะส่งค่าดังกล่าวมายังอุปกรณ์ที่เชื่อมต่อเพื่อใช้เป็นข้อมูลในการยืนยันการเชื่อมต่อ กลุ่มนักวิจัยได้นำ� เอาข้อมูล UDID มาใช้ประโยชน์ต่อในกระบวนการจัดการที่จะเกิดขึ้นในลำ� ดับต่อๆ ไป 2. Pair อุปกรณ์ iOS กับ MACTANS Charger การ Pair คืออะไร ? ผู้ใช้งานหลายท่านอาจยังไม่เคยสังเกตว่าในอุปกรณ์ iOS ของตนเองที่นำ� มาเชื่อมต่อกับโปรแกรม ชื่อ iTunes นั้น ทำ� ไมถึงสามารถเชื่อมต่อและใช้งานฟังก์ชันในการจัดการอุปกรณ์ iOS ได้ทันทีเมื่อมี การเชื่อมต่อผ่านสาย USB ซึ่งนั่นคือที่มาของคำ� ว่าการ Pair นั่นเอง การ Pair อุปกรณ์ iOS เกิด ขึ้นระหว่างอุปกรณ์ iOS และเครื่องคอมพิวเตอร์ที่เชื่อมต่อกับอุปกรณ์ iOS อยู่ การ Pair อุปกรณ์ iOS ในครั้งแรกจะสมบูรณ์ก็ต่อเมื่ออุปกรณ์ iOS ต้องมีการปลดล็อกหน้าจอแล้ว ซึ่งภายหลังจาก การ Pair ครั้งแรกสมบูรณ์แล้ว ในครั้งต่อไปก็ไม่จำ� เป็นว่าอุปกรณ์ iOS จะต้องมีการปลดล็อกอีก เนื่องจากมีการจดจำ� การเชื่อมต่อไว้แล้ว ทำ� ให้สามารถเข้าถึงข้อมูลต่างๆ ในอุปกรณ์ iOS ได้ทันที
  • CYBER THREATS 2013 127 เกิดอะไรขึ้นบ้างภายหลังจาก Pair กับอุปกรณ์ iOS สำ� เร็จแล้ว • อุปกรณ์ที่เชื่อมต่อกับอุปกรณ์ iOS สามารถเข้าถึงข้อมูลรายละเอียดจากอุปกรณ์ iOS เช่น ข้อมูล UDID ข้อมูล Serial number • อุปกรณ์ที่เชื่อมต่อกับอุปกรณ์ iOS สามารถเลือกติดตั้งและถอนแอปพลิเคชันจากอุปกรณ์ iOS • อุปกรณ์ที่เชื่อมต่อกับอุปกรณ์ iOS สามารถจัดการข้อมูล Provisioning Profiles ของอุปกรณ์ iOS (จะกล่าวถึง Provisioning Profiles ในลำ� ดับถัดไป) • อุปกรณ์ที่เชื่อมต่อกับอุปกรณ์ iOS สามารถมองเห็นข้อมูลที่มีการ Debugging ของ อุปกรณ์ iOS 3. ติดตั้ง Provisioning Profiles บนอุปกรณ์ iOS ใหม่ Provisioning Profiles คืออะไร? โดยปกติแล้ว Provisioning Profiles นั้นจะใช้กับอุปกรณ์ iOS ที่อนุญาตให้มีการลงทะเบียน เป็นอุปกรณ์สำ� หรับใช้ในการพัฒนา หมายถึงอุปกรณ์ iOS ใดก็ตามที่ติดตั้ง Provisioning Profiles เท่ากับว่าสามารถติดตั้งแอปพลิเคชันที่พัฒนาขึ้นเองได้ทันที มักจะถูกนำ� มาใช้งานกับ นักพัฒนาแอปพลิเคชันเป็นส่วนใหญ่ MACTANS Charger ใช้ประโยชน์จาก Provisioning Profiles อย่างไร และมีขั้นตอนอย่างไร? MACTANS Charger จะส่งค่า UDID ของอุปกรณ์ iOS ที่เชื่อมต่ออยู่ ผ่านเครือข่าย อินเทอร์เน็ตไปลงทะเบียนกับ App Store พร้อมกับ Profile ของนักพัฒนาแอปพลิเคชันบน อุปกรณ์ iOS หรือที่เรียกว่า Developer Account (หมายความว่าต้องมีลงทะเบียน Developer Account ดังกล่าวไว้ก่อนแล้วจึงจะนำ� Profile ของอุปกรณ์ iOS มาลงทะเบียน) เพื่อให้นักพัฒนา ดังกล่าวสามารถติดตั้งแอปพลิเคชันทดสอบบนอุปกรณ์ iOS เครื่องนั้นได้ และเมื่อการลงทะเบียนกับ App Store สำ� เร็จแล้ว ต่อไปก็จะเริ่มการสร้าง Profile หรือที่เรียกว่า Provisioning Profiles บนอุปกรณ์ iOS เพื่อให้นักพัฒนาดังกล่าวมีสิทธิ์ในการติดตั้งและรันแอปพลิเคชันทดสอบบนอุปกรณ์ iOS เครื่องนั้นได้ โดยรูปที่ 2 เป็นตัวอย่างข้อมูลจากเว็บของ Apple Developer ที่แสดงให้เห็นว่ามี อุปกรณ์ชื่ออะไรและ UDID อะไรบ้างที่ลงทะเบียนไว้กับ Developer Account รายหนึ่ง แต่อย่างไร ก็ตามยังพบข้อจำ� กัดของการใช้งานในลักษณะนี้ เนื่องจากการลงทะเบียนกับอุปกรณ์ iOS สามารถ ทำ� ได้เพียง 100 เครื่องต่อ 1 Developer Account สังเกตได้จากรูปที่จะบอกว่าเหลือที่ติดตั้งได้อีก 54 เครื่องอยู่ ตามรูปที่ 2
  • 128 บทความทั่วไป รูปที่ 2 แสดงตัวอย่างข้อมูลการติดตั้ง Provisioning Profiles บนอุปกรณ์ iOS โดยเช็คจาก Developer Account หนึ่ง [1] รูปที่ 3 แสดงตัวอย่าง Provisioning Profiles ที่มีการติดตั้งอยู่ในอุปกรณ์ iOS สามารถดูได้จาก เมนู General -> Profiles [2]
  • CYBER THREATS 2013 129 รูปด้านบนเป็นหน้าแสดงข้อมูล Provisioning Profiles เมื่ออุปกรณ์ iOS ดังกล่าวมีการ ติดตั้ง Provisioning Profiles แล้วจะเห็นข้อมูลดังกล่าวในเมนูของอุปกรณ์ iOS ได้ (เข้าไปที่เมนู General -> Profiles) แต่ส่วนใหญ่มักไม่มีใครสังเกตเนื่องจากไม่ใช่นักพัฒนาและไม่เข้าใจความหมาย ของข้อมูลในส่วนดังกล่าว (ในอุปกรณ์ iOS ที่ไม่ได้มีการติดตั้ง Provisioning Profiles จะไม่พบ เมนูที่ชื่อว่า Profiles) 4. ติดตั้งมัลแวร์แอปพลิเคชัน ภายหลังจากที่ MACTANS Charger ได้ติดตั้ง Provisioning Profiles บนอุปกรณ์ iOS สำ� เร็จแล้ว ก็จะเข้าสู่ขั้นตอนการติดตั้งแอปพลิเคชันมัลแวร์ โดยกลุ่มนักวิจัยเพิ่มเติมว่าแอปพลิเคชัน ที่ทำ� งานเป็นมัลแวร์นั้น ได้รับการออกแบบให้ทำ� งานในโหมดซ่อนตัวเพื่อป้องกันไม่ให้ผู้ใช้งานสังเกต ความผิดปกติได้ โดยการซ่อนการทำ� งานของแอปพลิเคชัน และได้ทำ� การแสดงตัวอย่างของแอปพลิเคชัน ที่พัฒนาขึ้นในลักษณะคลิปวิดีโอ ในลักษณะที่แสดงให้เห็นว่าเมื่อมีการเชื่อมต่ออุปกรณ์ iPhone5 เข้ากับ MACTANS Charger จากนั้นทำ� การปลดล็อกที่ iPhone5 และเข้าใช้งานซึ่งจะพบว่าสามารถ ใช้งานได้ตามปกติ แต่แท้ที่จริงแล้วมีการทำ� งานเบื้องหลังอยู่ และได้ทำ� การติดตั้งมัลแวร์แอปพลิเคชัน ลงใน iPhone5 เรียบร้อยภายในช่วงเวลาไม่ถึง 1 นาที โดยกลุ่มนักวิจัยใช้เทคนิคที่เรียกว่าการ Repackaging กับแอปพลิเคชัน Facebook เพื่อฝังการทำ� งานที่มีการเรียกมัลแวร์แอปพลิเคชัน มาทำ� งานอีกที และในคลิปช่วงสุดท้ายแสดงให้เห็นว่าเมื่อผู้ใช้งานเปิดแอปพลิเคชัน Facebook ก็จะพบ การทำ� งานในลักษณะอัตโนมัติเพื่อโทรออกไปยังปลายทาง โดยโทรศัพท์คลิกไปที่เมนูโทรออกและกด โทรศัพท์ออกไปหาปลายทางโดยอัตโนมัติทั้งหมด กลุ่มนักวิจัยกล่าวว่าการสาธิตนี้เพื่อให้เห็นภาพว่า มัลแวร์แอปพลิเคชัน หรือแอปพลิเคชันอันตรายสามารถถูกติดตั้งเข้ามาในอุปกรณ์ iOS และสามารถทำ� อะไรได้บ้าง แต่ในความเป็นจริงแอปพลิเคชันมัลแวร์ที่เกิดขึ้นคงไม่ได้ทำ� งานในลักษณะที่แสดงให้เห็น ชัดเจนอย่างนี้แน่นอน รูปที่ 4 แสดงตัวอย่างการตั้งค่าเพื่อซ่อนแอปพลิเคชันในไฟล์ info.plist
  • 130 บทความทั่วไป รูปที่ 5 กลุ่มนักวิจัยกำ� ลังตอบคำ� ถามภายหลังจากการบรรยาย จบลงที่งาน Blackhat USA 2013 การป้องกันและการตรวจสอบ 1. จากการสอบถามกลุ่มนักวิจัยถึงการรับรู้ข้อมูล ดังกล่าวของทีมพัฒนาระบบปฏิบัติการ iOS โดยได้ทราบว่า ทีมพัฒนาดังกล่าวได้รับทราบข้อมูลนี้แล้วและได้มีแผนการ ในอนาคตเกี่ยวกับการป้องกันปัญหาในลักษณะดังกล่าวโดย ในระบบปฏิบัติการ iOS เวอร์ชัน 7 ที่จะเกิดขึ้น จะมีโมดูล ในการแจ้งเตือนและยืนยันการเชื่อมต่อที่อุปกรณ์ iOS ก่อน เพื่อป้องกันการเชื่อมต่อกับอุปกรณ์โดยไม่ตั้งใจได้ แต่อย่างไร ก็ตามการเพิ่มโมดูลดังกล่าวอาจจะยังไม่ใช่ทางออกที่เด็ดขาด เนื่องจากหากผู้ใช้งานยังคงใช้งานโดยไม่ใช้วิจารณญาณก็อาจ ทำ� ให้ผลลัพธ์ของการโจมตียังคงได้ผลเช่นเดิม รูปที่ 6 แสดงตัวอย่างการแจ้งเตือนการเชื่อมต่อกับ Host ที่มีอยู่ในระบบปฏิบัติการ iOS เวอร์ชัน 7 เพื่อป้องกันการเชื่อมต่อโดยไม่ได้รับอนุญาต
  • CYBER THREATS 2013 131 2. ข้อมูลที่กลุ่มนักวิจัยอธิบายในเบื้องต้น พบว่าการตรวจสอบการติดมัลแวร์ยังมีข้อจำ� กัดใน การตรวจสอบอยู่บ้างเนื่องจาก มัลแวร์แอปพลิเคชันสามารถซ่อนการทำ� งานได้ แต่อย่างไรก็ตามการ ทำ� งานดังกล่าวต้องอาศัยส่วนประกอบสำ� คัญที่ชื่อ Provisioning Profiles ซึ่งปัจจุบันยังไม่พบว่า สามารถซ่อนตัวได้ ฉะนั้นผู้ใช้งานอาจสังเกตจากเมนู Profiles ได้ก่อนว่ามีรายการ Provisioning Profiles อยู่บนอุปกรณ์ iOS ของตนเองหรือไม่ (ตรวจสอบได้จากเมนู General และดูเมนูชื่อ Profiles หากไม่พบแสดงว่าไม่มีการติดตั้ง Provisioning Profiles) เพราะนี่คือต้นทางของความ สามารถในการติดตั้งและการทำ� งานมัลแวร์แอปพลิเคชัน ในอุปกรณ์ iOS ของผู้ใช้งาน แต่อย่างไรก็ตาม เป็นไปได้ว่าในอนาคตอาจมีผู้ค้นพบวิธีการซ่อนข้อมูล Provisioning Profiles บนอุปกรณ์ iOS ก็ เป็นได้ ฉะนั้นการป้องกันที่น่าจะมีประสิทธิภาพมากที่สุดก็คือการหลีกเลี่ยงการเชื่อมต่อกับอุปกรณ์ที่ ไม่รู้จัก หรือเชื่อมต่อเฉพาะอุปกรณ์ที่เป็นของตนเองเท่านั้น เท่านี้ก็น่าจะช่วยให้การใช้งานอุปกรณ์ iOS ของเรามีความปลอดภัยมากขึ้นได้แล้ว อ้างอิง 1. http://ismashphone.com/2012/05/how-to-delete-provisioning-profiles-from-your-iphone- ipad-or-ipod-touch.html 2. http://3qilabs.com/2012/07/how-to-ad-hoc-distribute-your-ios-app-via-a-website-and- ota/
  • 132 บทความทั่วไป BLACKHAT USA 2013 ผู้เขียน : พรพรหม ประภากิตติกุล วันที่เผยแพร่ : 4 สิงหาคม 2556 ปรับปรุงล่าสุด : 4 สิงหาคม 2556 งาน Blackhat Conference หรืองานชุมนุมเหล่าผู้เชี่ยวชาญด้าน Computer security และแฮกเกอร์ทั่วโลก ในปีนี้จัดขึ้นที่ลาสเวกัส ประเทศสหรัฐเมริกา โดยใช้ชื่องานว่า Blackhat USA 2013 และเป็นอีก 1 ปีที่ไทยเซิร์ตได้มีโอกาสเข้าร่วมงานระดับโลกนี้ งานนี้จัดขึ้นในโรงแรม CEASAR PALACE โรงแรมที่มีชื่อเสียงและใหญ่โตมากแห่งหนึ่งในลาสเวกัส ภายในโรงแรมประดับตกแต่งในสไตล์ โรมัน ผสมกับกลิ่นอายลูกเต๋าและตู้สล็อตที่เยอะกว่าร้านอาหารเสียอีก (อันนี้ Joking จริงๆ แล้วไป โรงแรมไหนในลาสเวกัสก็จะเจอแบบนี้อยู่แล้ว) ทางเข้างานเป็นทางขึ้นมีบันไดเลื่อน 4 ตัว ข้างหน้าจัดให้มี โลโก้ชื่อ Blackhat เด่นชัดว่าทั้งหมดที่อยู่ข้างบนนั้นเป็นงานของ Blackhat เท่านั้น รูปที่ 1 เปิดประตูเข้ามาจาก โรงแรมก็เห็นรูปปั้นโรมันเด่น เป็นสง่า พร้อมการตกแต่ง สไตล์โรมันทั้งโรงแรม รูปที่ 2 คาสิโนที่พบอยู่ในทุกโรงแรม กินบริเวณชั้นล่างเป็นส่วนใหญ่เลยก็ว่าได้ นักท่องเที่ยวเริ่มเข้ามาเล่นก็เห็นจะเป็น ช่วงสายๆ แล้ว
  • CYBER THREATS 2013 133 รูปที่ 4 ผู้สนับสนุนและ จัดเตรียม Wireless ภายใน งานคือ Xirrus มีป้ายอธิบาย ครบแบบมืออาชีพ รูปที่ 3 ทางขึ้นส่วนจัดงานของ Blackhat มีป้ายงานอยู่ซ้าย ขวา รูปที่ 5 มีการประกาศ Code of Conduct ของงาน ส่วนใหญ่เป็นเรื่องที่ ไม่รุนแรงอะไร ทำ�เพื่อต้องการให้อยู่ร่วม กันอย่างมีกฎระเบียบ เช่น ให้สูบบุหรี่ใน ที่ที่จัดเตรียมไว้ให้โดยเฉพาะ
  • 134 บทความทั่วไป ในตัวตึกประชุมมี 2 ส่วนแบ่งเป็น 3 ชั้นหลักๆ รูปแบบของการจัดงานแบ่งเป็น 4 โซน คือ โซนจัดอบรม (Training) โซนการบรรยาย (Briefing) โซนออกบูท (Sponsor Hall) โซนหนังสือ (Book Store) และสุดท้ายคือโซนร้านค้าของ Blackhat (Blackhat Store) ระยะเวลาในการ จัดงานทั้งหมด 6 วันคือวันที่ 27 กรกฎาคม 2556 ถึง 1 สิงหาคม 2556 ไฮไลท์ของงานน่าจะอยู่ในเซสชั่นบรรยาย ซึ่งจัดขึ้นในวันที่ 27 กรกฎาคม 2556 ถึง 1 สิงหาคม 2556 และครอบคลุมจำ� นวนผู้เข้าร่วมรวมถึงพื้นที่ที่ใช้ในการจัดงานมากที่สุด และสาเหตุที่ ทำ� ให้เซสชั่นบรรยายได้รับความสนใจมากเพราะหลายเซสชั่นเป็นการเปิดเผยข้อมูลการวิจัยแบบลง รายละเอียดในที่นี้เป็นที่แรก ในเซสชั่นบรรยายที่ถือว่าฟังแล้วอึ้งกันไปเป็นทั้งห้องประชุมคือเซสชั่น บรรยายหัวข้อ “MACTANS: INJECTING MALWARE INTO IOS DEVICES VIA MALICIOUS CHARGERS” ที่ ออกมาพูดถึงผู้ใช้งานที่ใช้งานอุปกรณ์ที่ติดตั้งระบบปฏิบัติการ iOS สามารถถูกฝังมัลแวร์ภายใน 1 นาที ถือเป็นการเปิดเผยครั้งแรกและเป็นข้อมูลน่าสนใจมาก จนไทยเซิร์ตต้องเขียนบทความให้ผู้อ่าน ได้รู้ถึงเทคโนโลยีและภัยที่มารออยู่ข้างหน้าแล้วได้อย่างทันท่วงที เป็นที่น่าเสียดายไม่น้อยเพราะเซสชั่นที่ต้องการมาฟังโดยเฉพาะอย่าง เช่น Rooting Sim Cards กลับกลายเป็นมีการเปลี่ยนกะทันหัน ทำ� ให้ผู้เข้าร่วมที่ไปรอฟังในวันที่สองของการจัดบรรยายงุนงง เนื่องจากเมื่อถึงช่วงเวลาของการบรรยายกลับกลายเป็นหัวข้ออื่นนั้น แล้วเจ้าหน้าที่บอกว่าต้องขอโทษ ด้วยจริงๆ มีการเปลี่ยนแปลงกะทันหันทำ� ให้เซสชั่น Rooting Sim Cards ได้บรรยายเสร็จไปในวัน แรกแล้ว อย่างไรก็ตามในเซสชั่น KEYNOTE ที่ถือเป็นพิธีปกติที่ในทุกวันของเซสชั่นบรรยายจะมี เหล่าคนดังมาพูดในห้องประชุมรวมขนาดใหญ่ ในปีนี้มีความน่าสนใจว่า Blackhat ได้เชิญ Keith Alexander ในฐานะ Director of National Security Agency director (NSA) เจ้าของ ประเด็นร้อนเรื่องการละเมิดสิทธิบนโลกออนไลน์จากโครงการ Foreign Intelligence Surveillance Act (FISA) มาพูดให้ฟังเกี่ยวกับโครงการดังกล่าว โดยอ้างว่าไม่ได้เป็นการดักฟัง ข้อมูลแต่อย่างใด เพราะดูข้อมูลเพียงบางส่วนเท่านั้นแต่แท้ที่จริงแล้ว โครงการดังกล่าวมีจุดประสงค์เพื่อช่วยลดอาชญากรรมระดับประเทศที่อาจสร้างความรุนแรงมา มากกว่า 50 ครั้งแล้วต่างหาก และหากท่านใดที่มีความไม่สบายใจก็อยากให้เกิดการพูดคุยกันบนโต๊ะ มากกว่าที่จะเรียกร้องทางโลกออนไลน์เช่นนี้ ทำ� เอาผู้ฟังในห้องบางคนถึงกับตะโกนเป็นคำ� พูดไม่น่า ชวนฟังว่า Bu..Shi.. กันหลายรอบเลยทีเดียว
  • CYBER THREATS 2013 135 รูปที่ 6 แผนที่ของงานแสดงให้เห็นถึงตัว ตึกประชุมที่แบ่งเป็น 2 ส่วนโดยส่วนหนึ่ง ใช้สำ�หรับจัดประชุมและอบรม อีกส่วน สำ�หรับจัดเซสชั่นบรรยายในงาน ครอบคลุมบริเวณกว้างถึง 2 ชั้น รูปที่ 8 ป้ายในงานบอกถึงห้องสำ�หรับลง ทะเบียน ซึ่งภายในห้องลงทะเบียน จัดแบ่งเป็น แถวพร้อมเครื่องคอมพิวเตอร์สำ�หรับลงทะเบียน และซุ้มสำ�หรับรับ Badge หรือป้ายห้อยคอ ที่ระบุชื่อผู้เข้าร่วม (สามารถเลือกได้ว่าจะให้ใส่ชื่อ หน่วยงานหรือไม่ ซึ่งโดยทั่วไปจะไม่ใส่กัน) รูปที่ 7 ตารางการเวลาบรรยาย แต่ละห้องแสดงให้เห็นทั้ง 2 วัน
  • 136 บทความทั่วไป รูปที่ 9 บรรยากาศตอน Keith Alexander กำ�ลัง พูดถึง Timeline ของการ ก่ออาชญากรรมทั่วโลกใน อดีต เพื่อจะวกเข้ามาบอกว่า โครงการ FISA ช่วยลดการก่อ อาชญากรรมได้เป็นจำ�นวนมาก รูปที่ 10 บรรยายกาศ ภายหลังเซสชั่น KEYNOTE จบ ทุกคนกรูกันออกจาก ห้องประชุมรวม รูปที่ 11 บรรยากาศเวลาแต่ละ เซสชั่นบรรยายจบ ไม่ต่างกับ ตอนที่จบเซสชั่น KEYNOTE
  • CYBER THREATS 2013 137 จากที่ได้กล่าวไปในตอนต้น ส่วนอื่นๆ ภายในงานก็ดูน่าสนใจไม่แพ้กัน โซนหนังสือมีหนังสือให้เลือก หลากหลาย ราคาสนนอยู่ที่ประมาณเล่มละ 60 USD ขึ้นไป มีทั้งที่เป็นหนังสือในแนวการทำ� Pen Test การ Analysis และ Forensics ต่างๆ เดินดูทั้งร้านแล้วถือว่าครบทุกหมวดหมู่ในเชิง Computer Security เลยทีเดียว รวมถึงในงานยังมีช่วงเวลาที่เชิญนักเขียนหนังสือต่างๆ มาแจก ลายเซ็นให้ด้วย แต่เนื่องจากเวลาดังกล่าวเป็นเวลาที่กำ� ลังเดินวุ่นวายกันเข้าห้องนี้ออกห้องนั้นเพื่อฟัง บรรยายจึงไม่ได้เก็บภาพมาฝากกัน รูปที่ 12 โซน Book Store รูปที่ 13 โซน Book Store มีหนังสือทุกแนวที่เกี่ยวกับ Computer Security จริงๆ
  • 138 บทความทั่วไป เนื่องจากการไปถึงลาสเวกัสก่อน 1 วันจึงทำ� ให้มีโอกาสไป Survey ดูรอบๆ ที่งานได้ก่อน ซึ่งโซน ร้านค้าเปิดตั้งแต่วันนั้นเช่นกัน ภายในร้านแม้จะไม่ได้มีของมากแต่ดูแล้วของแต่ละชิ้นน่าสนใจไม่น้อย มีทั้ง Flash drive 16GB ปากกา Stylus Tag ห้อยกระเป๋า โดยของทุกอย่างจะมีชื่อ Blackhat ติดอยู่ และที่มีให้เลือกหลากหลายที่สุดก็หนีไม่พ้นเสื้อยืดและแจ็คเก็ต มีให้เลือกประมาณ 10 แบบ มีหลายขนาดให้เลือกตั้งแต่ S M L XL โดยสิ่งที่แปลกใจคือวันก่อนงานเปิด (30 กรกฎาคม 2556) กับวันที่เปิดงานเซสชั่นบรรยายวันแรก (31 กรกฎาคม 2556) ของในร้านไม่ว่าจะเป็นเสื้อยืด แจ็คเก็ต กระเป๋า ทุกอย่างขายไปหมดเร็วมาก ราวกับว่าแจกฟรี รูปที่ 14 Blackhat Store ร้านไม่ใหญ่แต่ข้างในของน่าสนใจเพียบ รูปที่ 15 ขายตุ๊กตา Flash drive ปากกา แก้ว ประทับตรา Blackhat ทุกชิ้น สนนราคาตั้งแต่ 5 USD ไปจนถึง 40 USD
  • CYBER THREATS 2013 139 โซนออกบูทภายในงาน หรือที่เรียกว่า Sponsor Hall มีความใหญ่โตไม่แพ้กัน ถึงแม้จะออก บูทแค่ 2 วัน แต่ก็นำ�ผลิตภัณฑ์และพนักงานมาคอยอธิบายและดูแลผู้เข้าฟังอย่างเป็นกันเอง บูทที่มีคน สนใจมากก็ตั้งแต่ RSA Microsoft Splunk Fireeye หลายบูททุกคนรู้จักดีอยู่แล้วเพราะ เป็นเจ้าของผลิตภัณฑ์ที่มีผู้สนใจและใช้งานอย่างแพร่หลาย โดยที่เห็นว่าน่าสนใจและกำ�ลังอยู่ในเทรนด์ก็ เห็นจะไปอยู่ที่การออกมาประกาศของ Microsoft ในการเปิดให้เหล่าบรรดาแฮกเกอร์ได้ทดสอบฝีมือ ในการเจาะช่องโหว่ของระบบปฏิบัติการวินโดส์ 8.1 โดยมีรายละเอียดของข้อมูลช่องโหว่ที่เคย รายงาน ภายใต้ชื่อโครงการ “Bug bounty reward program” มาให้เป็นแนวทางในการเจาะครั้งนี้ ซึ่งรางวัลของผู้สามารถเจาะช่องโหว่นั้นๆ ได้จะได้เป็น โน้ตบุ๊ก Thinkpad X1 จากทาง Microsoft ทันที นอกจากนั้นส่วนใหญ่ก็จะเป็นการออกบูทเพื่ออธิบายสินค้าและให้ของรางวัล เช่น เสื้อยืด ปากกา แว่นตา เป็นต้น แต่มีเงื่อนไขว่าอย่างไรก็ตามต้องให้สแกน Badge หรือป้ายห้อยคอก่อน ซึ่งโดยปกติก็เป็นที่รู้กันว่าทางบูทต่างๆ ก็จะเก็บเป็นฐานข้อมูลไว้ใช้ในการประชาสัมพันธ์สินค้าต่อไป รูปที่ 16 Sponsor Hall ทางเข้ามี ทางเดียว แต่เปิดทั้งหมด 3 ประตู คนไม่มี Badge ไม่มีสิทธิ์เข้าเพราะมี เจ้าหน้าที่อยู่ตลอดเวลา รูปที่ 17 Sponsor Hall จะเปิดเป็นเวลา 2 วันและปิดในช่วง 19.00 น. ของทุกวัน
  • 140 บทความทั่วไป รูปที่ 18 ภายในมีการออกบูทจากบริษัทชื่อดัง นับได้มากกว่า 50 บริษัท ใครเข้าไปฟังไปคุยไปถาม ก็จะได้รับของแจกของกลับมาทุกคน เช่น ปากกา ถุงผ้า เสื้อยิด เป็นต้น รูปที่ 19 Microsoft ที่เอา Surface มาให้ลองกันถึง ในงาน เป็นอีกหนึ่งบูทที่มีคน เยี่ยมชมไม่ขาดสาย
  • CYBER THREATS 2013 141 รูปที่ 20 สุดท้ายก่อนจะออกจากงาน ตรงทางลงมีป้ายบอกถึงการจัดงาน Blackhat ที่จะเกิดขึ้น ในปี 2014 หรือ Blackhat USA 2014 ที่ Mandalay bay
  • 142 บทความทั่วไป ATM SKIMMER และข้อควรระวัง ในการใช้งานตู้ ATM ผู้เขียน : ทีมไทยเซิร์ต วันที่เผยแพร่ : 7 พฤศจิกายน 2556 ปรับปรุงล่าสุด : 25 พฤศจิกายน 2556 Skimmer คืออะไร โดยปกติทั่วไป Skimmer คืออุปกรณ์ที่ใช้อ่านข้อมูลจากบัตรอิเล็กทรอนิกส์ต่างๆ ไม่ว่าจะเป็น สมาร์ตการ์ด บัตรเครดิต หรือบัตร ATM แต่มีผู้ไม่หวังดีนำ� อุปกรณ์ที่มีความสามารถดังกล่าวนี้มาใช้ ในการขโมยข้อมูล จากผู้ใช้บริการตู้ ATM การกระทำ� แบบนี้เรียกว่า ATM Skimming การทำ� ATM Skimming จะมีองค์ประกอบหลักๆ อยู่ 2 อย่าง คือดักข้อมูลบัตร ATM และ ดักรหัสบัตร โดยอาจจะใช้วิธีการทำ� ปุ่มกดปลอมและเครื่องอ่านบัตรปลอมไปประกบทับกับอุปกรณ์ ของจริงบนตัวเครื่อง เครื่องอ่านบัตรปลอมจะอ่านข้อมูลจากแถบแม่เหล็กบนตัวบัตรแล้วคัดลอกข้อมูลลงในชิปหน่วย ความจำ� อุปกรณ์ดังกล่าวนี้ผู้ไม่หวังดีจะทำ� ให้มีขนาดเล็กและใกล้เคียงกับเครื่องอ่านบัตรจริงของตู้ ATM เพื่อจะได้เอาไปประกบกันได้อย่างแนบเนียน โดยอาจจะทำ� เป็นฝาพลาสติกไปครอบทับบนเครื่อง อ่านบัตรของจริงอีกที เนื่องจากต้องการซ่อนอุปกรณ์ดักข้อมูลที่อยู่ข้างใน เครื่องอ่านบัตรปลอมที่ทำ� จึงจะมีลักษณะทึบแสง ตู้ ATM สมัยใหม่ส่วนใหญ่จะมีไฟกะพริบที่เครื่องอ่านบัตร เพื่อให้เป็นจุดสังเกตเนื่องจาก Skimmer มักจะเป็นอุปกรณ์ทึบแสงทำ� ให้สังเกตได้ง่ายว่าไม่มีไฟกะพริบ แต่อย่างไรก็ตามพบว่า Skimmer รุ่นใหม่มีการเปลี่ยนแปลงรูปแบบจากเดิมที่เป็นอุปกรณ์ในลักษณะทึบแสงมาเป็นอุปกรณ์ แบบโปร่งแสงทำ� ให้ผู้ใช้งานเข้าใจว่าตู้ ATM ที่ใช้งานอยู่นั้นปลอดภัยแล้ว ตัวอย่างการนำ� เครื่องอ่านบัตร ปลอมมาครอบไว้ที่ตู้เป็นดังรูปที่ 1 และ 2
  • CYBER THREATS 2013 143 รูปที่ 1 ตัวอย่างเครื่องอ่านบัตรของจริงและเครื่องอ่านบัตรของปลอมที่ผู้ไม่หวังดีนำ� มาครอบไว้ (ที่มา : Commonwealth Bank [1]) รูปที่ 2 ภายในเครื่องอ่านบัตรของปลอมจะมีอุปกรณ์สำ� หรับอ่านข้อมูลบัตร ATM และคัดลอก ข้อมูลลงในชิปหน่วยความจำ� (ที่มา : Commonwealth Bank [1])
  • 144 บทความทั่วไป สำ� หรับวิธีการดักข้อมูลรหัสบัตร ATM ผู้ไม่หวังดีจะทำ� ปุ่มกดปลอมมาครอบทับปุ่มกดของ จริง โดยภายในปุ่มกดปลอมที่ทำ� มานั้นจะมีชิปหน่วยความจำ� ที่ใช้เก็บข้อมูลว่าเหยื่อกดรหัสอะไร หรือ อาจจะเป็นเครื่องส่งสัญญาณแบบไร้สายก็ได้ ตัวอย่างปุ่มกดปลอมเป็นดังรูปที่ 3 รูปที่ 3 การทำ� ปุ่มกดปลอมมาครอบทับของจริง (ที่มา : Krebsonsecurity [2]) ถ้าหากไม่ทำ� ปุ่มกดปลอมมาประกบ ก็อาจใช้วิธีการซ่อนกล้องขนาดเล็กไว้ที่มุมด้านใดด้านหนึ่ง ของตู้ โดยตั้งองศาการถ่ายให้เห็นตอนกดปุ่ม ตำ� แหน่งที่ซ่อนกล้องอาจจะอยู่มุมด้านบนของตู้หรือ ซ่อนกล้องไว้ในกล่องใส่โบรชัวร์ที่ติดไว้ข้างๆ ตู้ ATM ซึ่งสังเกตได้ยาก ดังรูปที่ 4 และ 5
  • CYBER THREATS 2013 145 รูปที่ 4 ตัวอย่างการซ่อนกล้องไว้ในกล่องโบรชัวร์ที่ติดข้างตู้ ATM (ที่มา : Commonwealth Bank [3]) รูปที่ 5 ตัวอย่างการซ่อนกล้องที่ติดตั้งไว้ข้างบนตู้ ATM (ที่มา : Debt Relief [4])
  • 146 บทความทั่วไป ส่วนมากผู้ไม่หวังดีจะเลือกตู้ ATM ที่ไม่ค่อยมีคนผ่านไปผ่านมาบ่อยนัก เช่น ตู้ที่ตั้งอยู่ตรงซอก หลืบของอาคาร หรือตู้ที่ตั้งอยู่ในบริเวณที่มีแสงไฟสลัวๆ เพื่อที่ผู้ใช้บริการจะได้สังเกตเห็นความผิดปกติ ได้ยาก ปกติ Skimmer จะไม่ติดตั้งไว้นานหลายวัน (บางที่อาจจะน้อยกว่า 24 ชั่วโมง) เพราะอาจมี คนสังเกตเห็นความผิดปกติแล้วแจ้งให้ทางธนาคารทราบ ข้อควรระวังในการใช้งานตู้ ATM • ตั้งรหัสผ่านให้คาดเดาได้ยาก และควรเปลี่ยนรหัสผ่านอย่างสมË่ำเสมอ • ไม่ฝากบัตรและมอบรหัสให้ผู้อื่นไปทำ� รายการแทน • สังเกตความผิดปกติของตู้ ATM เช่น ปุ่มกดนูนผิดปกติ หรือช่องเสียบบัตรมีความผิด ปกติ • ถ้ามีป้ายโฆษณาหรือกล่องใส่โบรชัวร์มาแปะอยู่ข้างๆ ตู้ สันนิษฐานว่าอาจจะมีการซ่อนกล้อง ไว้แล้วเอาของอย่างอื่นมาบัง • เลือกใช้งานตู้ ATM ที่ตั้งอยู่ในบริเวณที่มีคนเดินผ่านไปผ่านมาบ่อยๆ เพราะเป็นการยากที่จะ มีคนมาวางอุปกรณ์ดักไว้ • ใช้มือบังขณะที่กดรหัสบัตร ATM เพื่อป้องกันกรณีที่มีกล้องแอบถ่ายขณะที่ใช้งาน • เลือกใช้เครื่อง ATM ที่ใช้อยู่เป็นประจำ� เพื่อที่จะได้คุ้นเคย และสามารถสังเกตได้หากมี สิ่งผิดปกติเกิดขึ้น โดยเฉพาะที่บริเวณช่องสอดบัตร • ไม่ใช้เครื่อง ATM หากพบว่ามีบุคคลที่ไม่น่าไว้วางใจอยู่ที่บริเวณนั้น และไม่หลงเชื่อบุคคลอื่น ให้ไปทำ� รายการที่เครื่อง ATM • อย่าไว้ใจคนแปลกหน้าที่จะมาให้ความช่วยเหลือในกรณีบัตรถูกยึด หากไม่มั่นใจให้แจ้งอายัด บัตรที่ Call Center ที่ธนาคารเจ้าของบัตรได้ทันที • หากพบสิ่งผิดปกติหรือมีข้อสงสัยใดๆ ในขณะทำ� รายการผ่านเครื่อง ATM ให้ยกเลิกการใช้ งาน และติดต่อแจ้งมายัง Call Center ตามหมายเลขที่ติดอยู่ที่หน้าเครื่อง ATM ของ แต่ละธนาคารในทันที
  • CYBER THREATS 2013 147 วิธีแก้ไขหากตกเป็นเหยื่อ • รีบติดต่อกับธนาคารเจ้าของบัตร เพื่อทำ� การอายัดบัตรโดยเร็ว • ตรวจสอบข้อมูลการใช้งานบัตร ATM อย่างสมË่ำเสมอ • เปลี่ยนรหัสบัตร ATM เพื่อป้องกันไม่ให้ผู้ไม่หวังดีนำ� ข้อมูลไปใช้ การโจมตีด้วยวิธีอื่นๆ ATM Skimmer นั้นเป็นเพียงหนึ่งในวิธีที่ผู้ไม่หวังดีสามารถใช้ในการโจมตีผู้ใช้บริการเครื่อง ATM ได้ นอกจากนั้นยังมีวิธีอื่นๆ อีกหลายวิธี เช่น [5] • Shoulder Surfing - แอบชะเง้อมองตอนที่คนก่อนหน้ากดรหัสบัตร ATM • Wire tapping - เป็นการลักลอบแกะเปลือกสายโทรศัพท์ที่เชื่อมต่อระหว่างตู้ ATM กับ ทางธนาคาร แล้วเชื่อมต่อสายทองแดงเข้าไปเพื่อดักรับหรือเปลี่ยนแปลงข้อมูลที่รับส่ง • Slot tampering - ใช้อุปกรณ์บางอย่างไปปิดทับช่องปล่อยเงินของเครื่อง ATM เมื่อผู้ใช้กดถอนเงินแล้วจะไม่ได้รับเงินที่กด หลังจากที่เหยื่อเดินออกจากตู้ไป ผู้ไม่หวังดีจะ กลับเข้ามาที่ตู้แล้วนำ� อุปกรณ์ดังกล่าวออกเพื่อเอาเงินจากตู้ • Lebanese Loop - ใช้เทปกาวหรืออุปกรณ์บางอย่างติดไว้ในช่องใส่บัตร เมื่อมีผู้ใช้ บริการสอดบัตรเข้าไปในเครื่อง ATM บัตรจะติดอยู่ข้างใน ผู้ไม่หวังดีจะแกล้งทำ�เป็นว่าเดิน มาเสนอให้ความช่วยเหลือ โดยจะลองกดรหัสบัตรเพื่อให้เครื่องคายบัตร แต่กดอย่างไร เครื่องก็ยังไม่ยอมคาย พอหลังจากที่เหยื่อเดินออกจากตู้แล้วผู้ไม่หวังดีจะนำ�บัตร ATM ออกมาแล้วกดเงินเอง • สร้างตู้ ATM ปลอมมาวางไว้ข้างๆ ตู้ ATM ของจริง • โจมตีผ่านช่องโหว่ของระบบที่ใช้ในตู้ ATM โดยฝังโปรแกรมดักข้อมูลไว้ในเครื่อง ตัวอย่าง การเอาโปรแกรมแปลกปลอมไปรันในเครื่อง ATM เป็นดังคลิปด้านล่าง
  • 148 บทความทั่วไป ที่มา : http://goo.gl/lPkhNp Anti Skimmer ปัจจุบันธนาคารหลายแห่งในประเทศไทยเริ่มมีการติดตั้งระบบ Anti Skimmer ในตู้ ATM ตัวอย่างเช่น ใช้เซ็นเซอร์ตรวจสอบว่ามีอุปกรณ์แปลกปลอมมาปิดทับหรือสอดแทรกในเครื่องอ่าน บัตรหรือไม่ ถ้าพบ ตู้ ATM จะหยุดให้บริการทันที อนาคตธนาคารในประเทศไทยน่าจะเปลี่ยนระบบการใช้งานบัตร ATM จากแถบแม่เหล็กมาเป็น แบบฝังชิปอิเล็กทรอนิกส์บนตัวบัตร (EMV หรือ Chip-and-PIN) ซึ่งช่วยลดปัญหาการปลอม แปลงบัตรได้
  • CYBER THREATS 2013 149 ข้อมูลเพิ่มเติม ที่มา : http://goo.gl/GWtCvD อ้างอิง 1. http://cache.gawker.com/assets/images/consumerist/2009/04/Skimmer_presentation_ v1_230109_ppt_1__01.pdf 2. http://krebsonsecurity.com/all-about-skimmers/ 3. https://www.commbank.com.au/personal/apply-online/download-printed-forms/ ATM_awareness_guide.pdf 4. http://www.debtreliefnw.com/debt-relief-blog/bid/57330/CREDIT-CARD-SKIMMING-4- Tips-to-Protect-Yourself-from-it 5. http://businesstoday.intoday.in/story/how-safe-is-your-atm/1/7590.html
  • 150 บทความทั่วไป ไทยเซิร์ตพบช่องโหว่ ของแอปพลิเคชัน LINE แฮกเกอร์สามารถดักรับข้อมูล บนเครือข่าย LAN/WIFI และ อ่านบทสนทนาได้ทันที ผู้ใช้งาน ควรอัพเดตเวอร์ชันใหม่ ผู้เขียน : พรพรหม ประภากิตติกุล วันที่เผยแพร่ : 20 ธันวาคม 2556 ปรับปรุงล่าสุด : 20 ธันวาคม 2556 ถึงแม้เทคโนโลยีช่วยเพิ่มความสะดวกสบายในการใช้ชิวิตประจำ�วัน แต่ก็ยังพบว่าในหลายครั้งที่ เทคโนโลยีคือปัจจัยสำ�คัญที่สามารถสร้างปัญหาให้กับผู้ใช้งานได้เช่นกัน บางครั้งถึงขั้นทำ�ให้เสื่อมเสีย ชื่อเสียงจนไปถึงขั้นสูญเสียทรัพย์สินก็เป็นได้ ดังจะกล่าวถึงในบทความนี้เกี่ยวกับปัญหาช่องโหว่ของ แอปพลิเคชัน LINE ที่นักวิจัยจากไทยเซิร์ตพบ ซึ่งการโจมตีช่องโหว่ดังกล่าวอาจถูกใช้เป็นช่องทางของ แฮกเกอร์ในการเข้าถึงข้อมูลบทสนทนาของแอปพลิเคชัน LINE ที่มีความสำ�คัญของผู้ใช้งานได้อย่าง ง่ายดาย แอปพลิเคชัน LINE กับการเชื่อมต่อบนโลกออนไลน์ยุคใหม่ LINE เป็นแอปพลิเคชันประเภทแชทที่ได้รับความสนใจจากผู้ใช้งานในประเทศไทยเป็นอย่างมาก ปัจจุบันมีจำ�นวนผู้ใช้งานในประเทศไทยแล้วมากกว่า 18 ล้านผู้ใช้งาน เนื่องด้วยมีฟังก์ชันการใช้งานที่ หลากหลาย เช่น การสนทนาแบบกลุ่ม การแชร์พิกัดสถานที่ การคุยผ่านเสียง การคุยผ่านวิดีโอ การ ส่งสติกเกอร์ ส่วนใหญ่เป็นบริการที่ไม่เสียค่าใช้จ่าย รวมถึงแอปพลิเคชันยังรองรับการใช้งานได้ทั้งบน สมาร์ตโฟน และบนเครื่องคอมพิวเตอร์อีกด้วย โดยเว็บไซต์ผู้พัฒนาของ LINE ได้ระบุว่า ผู้ใช้งานในประเทศไทยอยู่ในอันดับที่ 3 จากทั่วโลก [1] และคงหลีกเลี่ยงไม่ได้ว่าปัจจุบันการใช้งาน แอปพลิเคชัน LINE ของคนไทยไม่ได้จำ�กัดเฉพาะในหมู่เพื่อน ดังจะเห็นจากหลายองค์กรนำ�มาใช้สำ�หรับ
  • CYBER THREATS 2013 151 สื่อสารองค์กร การทำ�งาน การแชร์รูปภาพ คลิปเสียง หรือแม้แต่บางครั้งใช้บอกพิกัดสถานที่ใช้งานกับ คนสนิท ญาติพี่น้อง ครอบครัว แต่จะเป็นอย่างไรหากการใช้งานแอปพลิเคชันดังกล่าวถูกดักรับข้อมูลการสื่อสารระหว่างทางออก ไปได้ทั้งหมด โดยที่ผู้ใช้งานไม่สามารถล่วงรู้ได้เลย เมื่อถึงเวลานั้นคงไม่มีใครการันตีได้ว่าข้อมูลดังกล่าว จะยังคงเป็นความลับอยู่อีกหรือไม่ รวมถึงข้อมูลที่หลุดออกไปนั้น หากเป็นข้อมูลที่มีความสำ�คัญก็ อาจถูกนำ�ไปหาผลประโยชน์ในทางที่ผิดต่อก็เป็นได้ และจากสถานการณ์ความนิยมของแอปพลิเคชัน LINE ทั่วโลก จึงทำ�ให้มีนักวิจัยหลายรายเริ่มศึกษาวิจัยถึงการทำ�งานของ LINE อย่างละเอียด โดย พบหัวข้อข่าวช่วงเดือนสิงหาคมว่ามีนักวิจัยจากเว็บไซต์ Telecom asia เปิดเผยข้อมูลเกี่ยวกับการ ทำ�งานของแอปพลิเคชัน LINE ที่รับส่งข้อมูลของแอปพลิเคชันบนเครื่องผู้ใช้งานกับเซิร์ฟเวอร์ของผู้ให้ บริการ LINE ในรูปแบบ Plain-text [2] กรณีที่ใช้งานอินเทอร์เน็ตบนเครือข่าย 2G/3G นั้น ทำ�ให้ เกิดคำ�ถามเกี่ยวกับมาตรการในการรักษาความลับของผู้ใช้งานมากขึ้น อันเนื่องจากกรณีดังกล่าว ผู้ให้บริการโทรศัพท์สามารถดักอ่านข้อมูลของผู้ใช้งานได้อย่างง่ายดาย แต่อย่างไรก็ตาม การกระทำ�การ ดังกล่าวได้ ยังคงจำ�กัดอยู่เฉพาะผู้ให้บริการโทรศัพท์มือถือเท่านั้นที่จะสามารถเห็นข้อมูล ซึ่งเป็นเรื่อง ที่ต้องพิจารณาต่อไปถึงแนวทางการบริหารจัดการของผู้ให้บริการเครือข่ายโทรศัพท์มือถือเพื่อให้ผู้ใช้ งานมีความเชื่อมั่นว่าข้อมูลจะไม่ถูกเปิดเผยหรือเข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาต โดยในบทความนี้จะ กล่าวถึงอีกมุมหนึ่งของบทวิเคราะห์ช่องโหว่บนแอปพลิเคชัน LINE ที่นักวิจัยของไทยเซิร์ตได้ตรวจ สอบพบ และคาดหวังจะให้ผู้อ่านได้รู้เท่าทันสถานการณ์ภัยคุกคามและอันตรายต่างๆ ที่มากับการใช้งาน เทคโนโลยีในปัจจุบัน เพื่อให้ผู้ใช้งานสามารถใช้งานอย่างระมัดระวังและมีความปลอดภัยมากยิ่งขึ้นได้ วิเคราะห์การรับส่งข้อมูลของแอปพลิเคชัน LINE นักวิจัยของไทยเซิร์ตได้ทำ�การวิเคราะห์การรับส่งข้อมูลของแอปพลิเคชัน LINE โดยจำ�ลอง สถานการณ์การรับส่งข้อมูลใน 2 ลักษณะคือรับส่งผ่านเครือข่าย 2G/3G และผ่านเครือข่าย LAN/ WiFi และใช้โปรแกรมเฉพาะสำ�หรับดักรับข้อมูลบนเครือข่าย โดยได้นำ�ข้อมูลทั้งหมดมาวิเคราะห์และ สรุปผลดังนี้ ใช้งานบนเครือข่าย 2G/3G ทดสอบโดยใช้งานแอปพลิเคชัน LINE เวอร์ชัน 3.8.8 บนระบบปฏิบัติการแอนดรอยด์ผ่าน เครือข่าย 2G/3G พบว่ามีการรับส่งข้อมูลในลักษณะ Plain text ผ่านโพรโทคอล HTTP โดยข้อดี ในการรับส่งข้อมูลบนโพรโทคอล HTTP คือรับส่งข้อมูลได้เร็ว แต่ข้อเสียคือหากมีผู้ที่สามารถดักรับ ข้อมูลตรงกลางระหว่างผู้ใช้งานกับเซิร์ฟเวอร์ให้บริการของ LINE แล้ว ก็จะสามารถมองเห็นข้อมูล ที่รับส่งกันอยู่ระหว่างผู้ใช้งานกับเซิร์ฟเวอร์ของ LINE ได้ทันที สังเกตจากรูปที่ 2 ซึ่งเป็นข้อมูลที่ได้ จากการทดสอบดักรับข้อมูลการใช้งานแอปพลิเคชัน LINE บนระบบปฏิบัติการแอนดรอยด์เวอร์ชัน 3.8.8 ซึ่งใช้งานเครือข่าย 3G โดยพบข้อความว่า “where r u” ซึ่งเป็นข้อความที่นักวิจัยของ ไทยเซิร์ตได้ทำ�การทดสอบส่งออกไปจริง แต่อย่างไรก็ตามจากที่ได้กล่าวไว้ข้างต้นว่าข้อมูลที่รับส่ง บนเครือข่าย 2G/3G อาจยังมีความเสี่ยงไม่มากนัก เนื่องจากเทคนิคการดักรับข้อมูลบนเครือข่าย 2G/3G โดยผู้ใช้งานด้วยกันยังไม่สามารถทำ�ได้โดยง่าย แต่ก็ยังมีความเสี่ยงมุมที่ผู้ให้บริการ เครือข่ายโทรศัพท์อาจตรวจสอบการใช้งานของลูกค้าได้ รวมถึงปัจจุบันทางผู้พัฒนาแอปพลิเคชัน
  • 152 บทความทั่วไป LINE ได้มีการปรับปรุงการทำ�งานแอปพลิเคชัน LINE ตั้งแต่เวอร์ชัน 3.9 ขึ้นไป ที่ทำ�งานบนระบบ ปฏิบัติการแอนดรอยด์นั้น โดยเปลี่ยนมาใช้โพรโทคอล HTTPS ในการรับส่งข้อมูล ซึ่งมีการเข้ารหัส ลับข้อมูลแทนการรับส่งข้อมูลแบบเดิมในลักษณะ Plain-text แล้ว ในส่วนนี้ทางไทยเซิร์ตขอแนะนำ� ให้ผู้ใช้งานที่ใช้งานแอปพลิเคชัน LINE บนระบบปฏิบัติการแอนดรอยด์ทำ�การตรวจสอบเวอร์ชันของ แอปพลิเคชันที่ใช้งานและหากพบว่าใช้เวอร์ชันต่ำ�กว่า 3.9 ให้รีบทำ�การอัพเดตทันที รูปที่ 1 แสดงโครงสร้างการทำ�งานของแอปพลิเคชัน LINE เวอร์ชันต่ำ�กว่า 3.9 ทำ�งานบนระบบ ปฏิบัติการแอนดรอยด์ เมื่อมีการเชื่อมต่อเครือข่าย 2G/3G รูปที่ 2 แสดงตัวอย่างเมื่อมีการทดสอบดักรับข้อมูลบนโทรศัพท์มือถือที่ใช้ระบบปฏิบัติการ แอนดรอยด์ และใช้แอปพลิเคชัน LINE เวอร์ชัน 3.8.8 โดยพบว่าเมื่อมีการเชื่อมต่อเครือข่าย 3G ข้อมูลที่รับส่งในแอปพลิเคชัน LINE จะเป็นลักษณะ Plain text
  • CYBER THREATS 2013 153 ใช้งานบนเครือข่าย LAN/WiFi ทดสอบโดยใช้งานแอปพลิเคชัน LINE บนระบบปฏิบัติการ Windows ผ่านเครือข่าย LAN/ WiFi พบว่ามีการทำ�างานในโหมดที่มีการเข้ารหัสลับข้อมูลก่อนมีการรับส่งกับเซิร์ฟเวอร์ของ LINE ผ่านโพรโทคอล HTTPS เพื่อป้องกันการดักรับและถอดรหัสข้อมูล เนื่องจากการใช้งานบนเครือข่าย LAN/WiFi มีความเสี่ยงสูงที่จะถูกผู้ไม่ประสงค์ดีพยายามดักรับข้อมูลได้โดยง่าย มากกว่าการใช้งาน บนเครือข่าย 2G/3G จากรูปที่ 4 ไทยเซิร์ตตรวจสอบพบว่าข้อมูลที่ได้จากการดักรับข้อมูลนั้น ถูก เข้ารหัสลับและรับส่งด้วยโพรโทคอล HTTPS แสดงให้เห็นว่าข้อมูลที่รับส่งกับเซิร์ฟเวอร์ผู้ให้บริการ LINE นั้นไม่สามารถดักรับเพื่ออ่านข้อมูลได้โดยง่าย รูปที่ 3 แสดงโครงสร้างการทำ�งานของแอปพลิเคชัน LINE เมื่อทำ�งานบนระบบเครือข่าย LAN/WiFi รูปที่ 4 แสดงตัวอย่างเมื่อมีการทดสอบดักรับข้อมูลการใช้งานแอปพลิเคชัน LINE บนระบบปฏิบัติการ Windows โดยพบว่าเมื่อมีการเชื่อมต่อเครือข่าย WiFi ข้อมูลที่รับส่งมีการเข้า รหัสลับไว้ (Encrypted) และรับส่งผ่านโพรโทคอล HTTPS
  • 154 บทความทั่วไป อธิบายเพิ่มเติมเกี่ยวกับการทำ�งานของโพรโทคอล HTTPS เพื่อให้เกิดความเข้าใจในเนื้อหาที่มากขึ้น จึงขออนุญาตอธิบายหลักการทำ�งานของโพรโทคอล HTTPS ในเบื้องต้น โดยการทำ�งานของโพรโทคอล HTTPS สามารถแบ่งออกเป็น 2 ส่วนประกอบ หลักๆ คือ การตรวจสอบใบรับรองอิเล็กทรอนิกส์ (Certificate) ของผู้ให้บริการ ดังจะเห็นจาก ตัวอย่างในรูปที่ 5 เป็นตัวอย่างการเข้าใช้งานเว็บไซต์ของธนาคารกสิกรไทย ที่มีการทำ�งานในโหมดเข้า รหัสลับข้อมูลและรับส่งผ่านโพรโทคอล HTTPS ซึ่งส่วนประกอบสำ�คัญในขั้นตอนการทำ�งานของ HTTPS คือข้อมูลใบรับรองอิเล็กทรอนิกส์ หรือที่เรียกว่า Certificate ซึ่งสามารถแสดงข้อมูล ใบรับรองของเซิร์ฟเวอร์ที่เราเชื่อมต่ออยู่ได้ รูปที่ 5 แสดงตัวอย่างเว็บไซต์ที่ใช้งานโพรโทคอล HTTPS ซึ่งการเชื่อมต่อจะมีการรับข้อมูลใบรับรอง อิเล็กทรอนิกส์ เพื่อให้แอปพลิเคชันฝั่งผู้ใช้งานพิจารณาความถูกต้องก่อนจะใช้งานต่อไป และอีกส่วนประกอบสำ�คัญคือการเข้ารหัสลับข้อมูลที่มีการรับส่งอยู่กับเซิร์ฟเวอร์ที่ให้บริการ ปลายทาง รูปแบบคือจะมีกุญแจที่สำ�คัญ 2 ชนิด คือ • กุญแจเซสชัน (Session key) เป็นกุญแจที่ใช้เข้ารหัสลับข้อมูลแบบ Symmetric Key ใช้ กุญแจเพียงดอกเดียว นำ�มาใช้สำ�หรับเข้ารหัสลับและถอดรหัสลับข้อมูลที่รับส่งระหว่าง แอปพลิเคชัน ฝั่งผู้ใช้งานและเครื่องเซิร์ฟเวอร์ • กุญแจคู่ เป็นกุญแจที่ใช้เข้ารหัสลับข้อมูลแบบ Asymmetric Key ประกอบไปด้วยกุญแจ 2 ส่วนคือกุญแจสาธารณะ (Public key) และกุญแจส่วนตัว (Private key) ของเครื่อง เซิร์ฟเวอร์ที่ให้บริการ นำ�มาใช้เข้ารหัสลับและถอดรหัสลับกุญแจเซสชันในข้อที่ 1 โดยการทำ�งานของโพรโทคอล HTTPS สามารถสรุปเป็นขั้นตอนได้ตามรูปที่ 6
  • CYBER THREATS 2013 155 รูปที่ 6 ขั้นตอนการทำ�งานของโพรโทคอล HTTPS [3] ขั้นตอนที่ 1 ผู้ใช้งานมีการเชื่อมต่อไปยังเซิร์ฟเวอร์ของผู้ให้บริการ เพื่อขอให้เริ่มการเชื่อมต่อด้วย โพรโทคอล HTTPS ขั้นตอนที่ 2 เครื่องเซิร์ฟเวอร์ที่ให้บริการจะทำ�การส่งข้อมูลใบรับรองอิเล็กทรอนิกส์ (Certificate) ของผู้ให้บริการกลับมายังแอปพลิเคชันในฝั่งผู้ใช้งานเพื่อตรวจสอบ หากเป็น ใบรับรองอิเล็กทรอนิกส์ที่แอปพลิเคชันนั้นเชื่อถือและรู้จักอยู่แล้ว ก็จะสามารถทำ�งานในลำ�ดับถัดไป ทันที แต่ในทางตรงกันข้าม ถ้าแอปพลิเคชันไม่สามารถตรวจสอบใบรับรองอิเล็กทรอนิกส์ได้ว่า มีความน่าเชื่อถือหรือไม่ ก็ขึ้นอยู่กับการบริหารจัดการของแอปพลิเคชันนั้นๆ ว่าจะเป็นอย่างไรต่อไป เช่น แอปพลิเคชันนั้นยอมให้ดำ�เนินการต่อได้ หรือ แอปพลิเคชันนั้นสั่งยกเลิกการเชื่อมต่อ เป็นต้น ขั้นตอนที่ 3 แอปพลิเคชันในฝั่งผู้ใช้งานจะสร้างกุญแจเซสชัน (Session key) ที่ใช้ในการเข้า รหัสลับและถอดรหัสลับข้อมูล จากนั้นทำ�การเข้ารหัสลับกุญแจเซสชันด้วยกุญแจสาธารณะ (Public key) ซึ่งเป็นข้อมูลที่ได้มาจากใบรับรองอิเล็กทรอนิกส์ในขั้นตอนที่ 2 จากนั้นแอปพลิเคชันจะส่งข้อมูล ที่เข้ารหัสลับกลับไปยังเครื่องเซิร์ฟเวอร์ที่ให้บริการ โดยเซิร์ฟเวอร์ที่ให้บริการจะทำ�การถอดรหัสลับ ข้อมูลด้วยกุญแจส่วนตัว (Private key) ผลลัพธ์สุดท้ายคือเครื่องเซิร์ฟเวอร์ให้บริการจะได้รับกุญแจ เซสชัน (Session key) เพื่อนำ�มาใช้งานในขั้นตอนต่อไป ขั้นตอนที่ 4 การรับส่งข้อมูลระหว่างผู้ใช้งานกับเซิร์ฟเวอร์ให้บริการจะทำ�ผ่านการเข้ารหัสลับ และถอดรหัสลับข้อมูลด้วยกุญแจเซสชันที่ได้จากขั้นตอนที่ 3 ตลอดเวลา เช่น ผู้ใช้งานส่งคำ�ขอการเข้า ถึงหน้าเว็บไซต์ ซึ่งเนื้อหาต่างๆ ที่ใช้ทำ�การเรียกไปยังเซิร์ฟเวอร์ที่ให้บริการเว็บไซต์นั้นจะมีการเข้ารหัสลับ ข้อมูลที่ฝั่งแอปพลิเคชันของผู้ใช้งาน ด้วยกุญแจเซสชันที่สร้างขึ้นในขั้นตอนที่ 3 และข้อมูลดังกล่าวจะ มีการถอดรหัสลับออกด้วยกุญแจเซสชันตัวเดิมในฝั่งเซิร์ฟเวอร์ที่ให้บริการเว็บไซตเช่นกัน
  • 156 บทความทั่วไป ไทยเซิร์ตพบช่องโหว่ของแอปพลิเคชัน LINE สามารถดักรับข้อมูลบนเครือข่าย LAN/WiFi ในช่วงต้นเดือนพฤศจิกายนปี 2556 นักวิจัยจากไทยเซิร์ตพบช่องโหว่ของแอปพลิเคชัน LINE บนระบบปฏิบัติการ Windows (ยกเว้น Windows 8) และ Mac OS X ซึ่งจากการวิเคราะห์ ข้อมูล พบว่าข้อมูลการสนทนาสามารถถูกดักรับในขณะที่ผู้ใช้งานกำ�ลังใช้งานแอปพลิเคชัน LINE อยู่ บนเครือข่าย LAN/WiFi ถึงแม้จะมีการเข้ารหัสลับข้อมูลด้วยโพรโทคอล HTTPS แล้วก็ตาม แต่จาก การวิเคราะห์ข้อมูลการโจมตีในเบื้องต้น ผลลัพธ์จากการทดสอบพบว่านักวิจัยจากไทยเซิร์ตสามารถ โจมตีผู้ใช้งานที่กำ�ลังใช้งานแอปพลิเคชัน LINE ได้ทันที โดยใช้เทคนิค Man in the middle (MITM) [4] เพื่อดักรับและถอดรหัสลับข้อมูลของผู้ใช้งานที่ตกเป็นเหยื่อ ให้ออกมาอยู่ในรูปแบบ Plain-text อย่างง่ายดาย โดยตัวอย่างผลลัพธ์ในรูปที่ 7 แสดงให้เห็นว่าการโจมตีที่เกิดขึ้นทำ�ให้นักวิจัยของ ไทยเซิร์ตสามารถดักรับข้อความที่มีการส่งออกจากผู้ใช้งานคนหนึ่งและแสดงผลออกมาได้ในลักษณะ Plain-text รวมถึงการทดสอบเพิ่มเติมยังพบว่าผู้ไม่ประสงค์ดีสามารถทำ�การเปลี่ยนแปลงข้อมูล ของผู้ใช้งานที่มีการรับส่งกับเซิร์ฟเวอร์ของ LINE ได้อีกด้วย แสดงให้เห็นว่าเมื่อผู้ใช้งานถูกโจมตีจาก ช่องโหว่ดังกล่าวแล้วอาจทำ�ให้ข้อความที่ส่งออกมาถูกดักรับและแก้ไขก่อนส่งไปยังผู้รับได้ รวมถึงผู้ไม่ ประสงค์ดีสามารถสร้างข้อความใหม่และส่งออกไปโดยใช้ชื่อผู้ส่งได้ทันที โดยที่ผู้ใช้งานอาจไม่รู้ถึง การส่งข้อความดังกล่าว อย่างไรก็ตามไทยเซิร์ตได้ทดสอบกับแอปพลิเคชัน LINE ที่ทำ�งานบนระบบ ปฏิบัติการแอนดรอยด์ iOS Windows Phone 8 และ LINE for Windows 8 แล้ว ไม่พบว่ามี ปัญหาช่องโหว่ในรูปแบบดังกล่าว รูปที่ 7 แสดงการจำ�ลองสถานการณ์การดักรับข้อมูลและถอดรหัสลับขณะที่ผู้ใช้งานแอปพลิเคชัน LINE บนระบบปฏิบัติการ Windows เมื่อมีการส่งข้อความ
  • CYBER THREATS 2013 157 รูปที่ 8 แสดงการจำ�ลองสถานการณ์การดักรับข้อมูลและถอดรหัสลับขณะที่ใช้งานแอปพลิเคชัน LINE บนระบบปฏิบัติการ Windows เมื่อได้รับข้อความ จากรูปที่ 7 และ 8 แสดงให้เห็นว่า การโจมตีช่องโหว่ดังกล่าวทำ�ให้ผู้ไม่ประสงค์ดีสามารถ ถอดรหัสลับข้อมูลที่มีการรับส่งกับเซิร์ฟเวอร์ผู้ให้บริการ LINE ทำ�ให้ผู้ไม่ประสงค์ดีสามารถอ่าน ข้อความที่มีการรับส่งในลักษณะ Plain-text ได้ทันที และจากการตรวจสอบเนื้อหาขณะที่มีการส่ง ข้อความจะพบว่า มีลักษณะของการส่งคำ�สั่งโดยเป็นข้อความว่า sendMessage และตามด้วยค่าที่ ถูกสุ่มขึ้นจำ�นวน 2 กลุ่ม ซึ่งมีความเป็นไปได้สูงว่าจะเป็นข้อมูล UserID ของผู้ใช้งานในฝั่งผู้รับและ ผู้ส่ง และจากการทดสอบในหลายครั้งจะพบว่าค่า UserID เป็นค่าคงที่ ซึ่งไม่มีการเปลี่ยนแปลง นั่น เท่ากับว่าผู้ที่สามารถเข้าถึงข้อมูล UserID ของผู้ใช้งานได้แล้วนั้น อาจเก็บค่า UserID ดังกล่าวเพื่อมา ใช้โจมตีต่อในภายหลังได้ วิเคราะห์การโจมตีช่องโหว่ของแอปพลิเคชัน LINE บนเครือข่าย LAN/WiFi สถานการณ์จำ�ลองการโจมตี • ผู้ใช้งานเปิดใช้งานแอปพลิเคชัน LINE ผ่านเครือข่าย WiFi สำ�นักงาน • ผู้ไม่ประสงค์ดีเชื่อมต่อเครือข่ายสำ�นักงานด้วยเช่นกัน และเริ่มการโจมตีด้วยเทคนิค Man in the middle รวมถึงมีการปลอมแปลงใบรับรองอิเล็กทรอนิกส์ (Fake Certificate) ของโดเมนผู้ให้บริการ LINE ในระหว่างที่มีการเชื่อมต่อกับผู้ใช้งาน • แอปพลิเคชัน LINE ยอมรับใบรับรองอิเล็กทรอนิกส์ปลอมที่ผู้ไม่ประสงค์ดีส่งให้ ในขั้นตอนที่ 2 เป็นผลให้การทำ�งานที่ผิดพลาดยังคงดำ�เนินการต่อไปได้ และทำ�ให้ ผู้ไม่ประสงค์ดีสามารถดักรับข้อมูลของผู้ใช้งาน และเลือกกรองเฉพาะข้อมูลที่เกี่ยวข้อง กับการใช้งานแอปพลิเคชัน LINE จากนั้นทำ�การถอดรหัสลับข้อมูลเพื่อดูบทสนทนาหรือ ข้อความที่รับส่งของผู้ใช้งานในลักษณะ Plain text ได้ทันที
  • 158 บทความทั่วไป รูปที่ 9 แสดงแผนผังสถานการณ์จำ�ลองการโจมตี จากรูปที่ 9 และสถานการณ์จำ�ลองการโจมตีจะสังเกตได้ว่า ผู้ไม่ประสงค์ดีสามารถโจมตี เครือข่าย LAN/WiFi เพื่อเปลี่ยนเส้นทางการใช้งานของเครื่องผู้ใช้งานที่เป็นเหยื่อให้ใช้เส้นทางการ รับส่งข้อมูล โดยข้อมูลจะไหลผ่านเครื่องคอมพิวเตอร์ของผู้ไม่ประสงค์ดี ซึ่งในเทคนิคการขโมยข้อมูล ที่เชื่อมต่อกันด้วยโพรโทคอล HTTPS นั้น ผู้ไม่ประสงค์ดีจะใช้เทคนิคการปลอมแปลงข้อมูลใบรับรอง อิเล็กทรอนิกส์ (Fake Certificate) และส่งให้กับแอปพลิเคชันของผู้ใช้งาน ซึ่งช่องโหว่หรือปัญหา ที่พบคือ แอปพลิเคชัน LINE ไม่มีการตรวจสอบความถูกต้องของใบรับรอง ทำ�ให้แอปพลิเคชันทำ�งาน ต่อไปได้ ส่งผลให้ผู้ไม่ประสงค์ดีสามารถโจมตีด้วยเทคนิค Man in the middle และถอดรหัสลับ ข้อมูลการสนทนาได้ทันที ผลกระทบ ผู้ใช้งานอินเทอร์เน็ตสาธารณะหรือใช้งานในองค์กรที่มีการเชื่อมต่อกันผ่าน LAN หรือ WiFi อาจ ถูกโจมตีด้วยเทคนิค Man in the middle เพื่อดักรับข้อมูลการใช้งานของแอปพลิเคชัน LINE และ สามารถถอดรหัสลับข้อมูลออกมาเพื่อเข้าถึงข้อมูลบทสนานาที่เกี่ยวข้องได้ทันที เช่น ข้อมูล UserID ของผู้ใช้งาน การรับส่งข้อความบทสนทนา รวมถึงสามารถส่งคำ�สั่งปลอมแปลงไปยังเซิร์ฟเวอร์ของ LINE ในลักษณะสวมรอยการใช้งาน เป็นต้น ระบบที่ได้รับผลกระทบ • แอปพลิเคชัน LINE บนระบบปฏิบัติการ Windows เวอร์ชัน 3.2.1.83 และต่ำ�กว่า • แอปพลิเคชัน LINE บนระบบปฏิบัติการ Mac OS X เวอร์ชัน 3.2.1 และต่ำ�กว่า
  • CYBER THREATS 2013 159 รูปที่ 10 แสดงรายการระบบปฏิบัติการที่รองรับการทำ�งานของแอปพลิเคชัน LINE พบว่า แอปพลิเคชัน LINE ที่ทำ�งานบน Windows กับ MAC OS X เท่านั้นที่มีช่องโหว่ รูปที่ 11 แสดงเวอร์ชันชองแอปพลิเคชัน LINE ที่มีช่องโหว่ซึ่งสามารถถูกโจมตีได้
  • 160 บทความทั่วไป การดำ�เนินการของไทยเซิร์ตและข้อแนะนำ�สำ�หรับผู้ใช้งาน ภายหลังจากการตรวจพบช่องโหว่บนแอปพลิเคชัน LINE ไทยเซิร์ตได้ทำ�การประสานเพื่อ แจ้งปัญหาช่องโหว่ไปยังผู้พัฒนาแอปพลิเคชัน LINE ในประเทศญี่ปุ่นโดยเร่งด่วน ซึ่งทีมผู้พัฒนา แอปพลิเคชัน LINE ได้รับทราบและตรวจสอบปัญหาดังกล่าวรวมถึงปัจจุบันได้ดำ�เนินการแก้ไขปัญหา ช่องโหว่ดังกล่าวเรียบร้อยแล้ว และได้เผยแพร่เวอร์ชันที่แก้ไขปัญหาแล้วเช่นกัน แต่อย่างไรก็ตามผู้ใช้งาน จำ�เป็นต้องมีการอัพเดตแอปพลิเคชันของตนเอง ซึ่งโดยปกติแล้วแอปพลิเคชัน LINE จะตั้งค่ามาตรฐาน ให้มีการแจ้งเตือนเมื่อมีการเผยแพร่เวอร์ชันใหม่ออกมา เมื่อผู้ใช้งานพบการแจ้งเตือนดังตัวอย่างใน รูปที่ 12 ให้ผู้ใช้งานรีบทำ�การอัพเดตแอปพลิเคชัน LINE ทันที หรือหากผู้ใช้งานท่านใดไม่แน่ใจว่าใช้งาน แอปพลิเคชัน LINE เวอร์ชันที่มีผลกระทบหรือไม่ ให้ทำ�การตรวจสอบเวอร์ชันของแอปพลิเคชัน LINE ที่ใช้งานอยู่โดยคลิกที่เมนู “About LINE” ตามรูปที่ 14 หากผู้ใช้งานพบว่าใช้งานแอปพลิเคชัน LINE ที่ได้รับผลกระทบ (ตรวจสอบจากหัวข้อ “ระบบที่ได้รับผลกระทบ”) ให้รีบอัพเดตแอปพลิเคชันตาม ข้อมูลดังต่อไปนี้ทันที • อัพเดทแอปพลิเคชัน LINE บนระบบปฏิบัติการ Windows เป็นเวอร์ชันที่สูงกว่า 3.2.1.83 • อัพเดทแอปพลิเคชัน LINE บนระบบปฏิบัติการ Mac OS X เป็นเวอร์ชันที่สูงกว่า 3.2.1 อย่างไรก็ตามผู้ใช้งานควรอัพเดตแอปพลิเคชันอย่างสม่ำ�เสมอ และติดตามข่าวสารด้านความมั่นคง ปลอดภัยจากแหล่งข่าวที่น่าเชื่อถืออยู่เป็นประจำ�อีกด้วย รูปที่ 12 แสดงเวอร์ชันชองแอปพลิเคชัน LINE ที่มีช่องโหว่ซึ่งสามารถถูกโจมตีได้
  • CYBER THREATS 2013 161 รูปที่ 13 แสดงหน้าต่างภายหลังจากกด OK จะพบหน้าต่างแจ้งข้อมูลรายละเอียดการอัพเดต รูปที่ 14 แสดงวิธีการตรวจสอบเวอร์ชันของแอปพลิเคชัน LINE บนระบบปฏิบัติการ Windows อ้างอิง 1. http://en.lineblog.naver.jp/archives/30767259.html 2. http://www.telecomasia.net/blog/content/line-vulnerable-man-middle-attack?Don%20 Sambandaraksa 3. http://www.awghost.com/ssl.html 4. https://www.thaicert.or.th/papers/general/2011/pa2011ge001.html
  • 162 บทความทั่วไป เช็ครูปก่อนแชร์ วันที่เผยแพร่ : 26 ธันวาคม 2556 ปรับปรุงล่าสุด : 26 ธันวาคม 2556 ทุกท่านคงรู้จักเว็บไซต์สำ�หรับค้นหาข้อมูลบนอินเทอร์เน็ต (Web Search Engine) เป็นอย่าง ดี เพราะเชื่อว่า ต้องเคยใช้ค้นคว้าหาข้อมูลข่าวสารเรื่องน่าสนใจต่างๆ สำ�หรับนักศึกษา นักเรียน หรือ แม้กระทั่งคนทำ�งาน ก็มักใช้ในการสืบหาข้อมูลเพื่อมาใช้ประกอบการทำ�รายงาน การสอบ การเขียน วิจัยต่างๆ อยู่เสมอ ซึ่งเว็บไซต์ประเภทนี้ที่เป็นที่รู้จักในปัจจุบันมีอยู่หลายเว็บไซต์ด้วยกัน เช่น Google Yahoo Bing หรือ Ask.com ซึ่งตามหลักการ ผู้ใช้งานจะใส่คำ�เฉพาะ (Keyword) ที่เกี่ยวข้องกับ สิ่งที่ต้องการค้นหาลงไปในช่องค้นหา และ Web Search Engine จะค้นหาและแสดงผลลัพธ์ ที่เกี่ยวข้องทั้งข้อความ รูปภาพ หรือวิดีโอคลิป ที่พบในอินเทอร์เน็ตให้กับผู้ใช้งาน อย่างไรก็ตาม บริการ Web Search Engine บางราย เช่น Google ได้มีความสามารถ พิเศษให้ผู้ใช้งานสามารถค้นหารูปภาพคล้ายกันที่อยู่ในเครือข่ายอินเทอร์เน็ตจากรูปภาพของผู้ใช้งาน แทนการใช้คำ�เฉพาะในการค้นหา ซึ่งความสามารถนี้ทำ�ให้ผู้ใช้งานสามารถตรวจสอบได้ว่า มีรูปภาพ ที่คล้ายกันถูกเผยแพร่อยู่ที่เว็บไซต์ใดบ้างในอินเทอร์เน็ต การค้นหารูปภาพบน Google สามารถทำ�ได้ผ่านบริการ http://images. google.com/ ซึ่ง ผู้ใช้งานสามารถป้อน URL ของรูปภาพ หรืออาจจะอัพโหลดไฟล์รูปภาพที่ต้องการค้นหา หลังจากนั้น Google จะทำ�การค้นหาและแสดงผลรูปภาพคล้ายกันที่ Google พบในเครือข่ายอินเทอร์เน็ต ให้ผู้ใช้งาน
  • CYBER THREATS 2013 163 รูปที่ 1 หน้าจอบริการ Google Image Search ผลการค้นหารูปภาพ จะแสดงตัวอย่างรูปภาพ วันที่รูปมีการเผยแพร่ แหล่งที่มา รายละเอียด ทางเทคนิค เช่น ความละเอียดของรูปภาพนั้น [1] ทำ�ให้ผู้ใช้งานสามารถค้นหาข้อมูลเบื้องต้น ที่เกี่ยวข้องกับรูปภาพที่ต้องการค้นหานั้นว่า เป็นภาพใหม่ที่ไม่เคยมีการเผยแพร่ทางอินเทอร์เน็ตมาก่อน เลยหรือเป็นภาพเก่าที่เคยเผยแพร่ไว้แล้ว นอกจาก Google Image Search แล้ว อีกหนึ่งวิธีการตรวจสอบรูปภาพว่า ได้เผยแพร่อยู่ที่ ใดบ้าง เป็นรูปเก่า-ใหม่เพียงใดนั้น อาจทำ�ได้โดยเข้าใช้ “TinEye” โดยเข้าถึงได้ที่ “http://www.tineye. com/” [2] ค่ะ TinEye นี้ ถือเป็น Image Search Engine ที่มีมาเก่าแก่ ก่อน Google Image Search ซึ่งพัฒนาโดยบริษัท Idae ประเทศแคนาดา และเป็น Search engine ที่ใช้เทคนิคการให้บริการแบบ Reverse Image Search หรือ Image Identification Technology กล่าวคือ ให้ผู้ใช้ค้นหาภาพจาก Search Engine ทั่วไป และอัพโหลดหรือใส่ URL ของรูปภาพดังกล่าว
  • 164 บทความทั่วไป มายัง TinEye จากนั้น ระบบจะค้นหาภาพที่เหมือนกันจากเว็บต่างๆ และแสดงผลลัพธ์ให้ผู้ใช้งาน บริการ TinEye นี้ ยังมีลักษณะพิเศษตรงที่สามารถค้นหาได้ทั้งรูปที่เหมือนกับรูปตัวอย่างที่ ต้องการค้นหา และ/หรือ ที่มีการตัดต่อ ทำ�เลียนแบบ ย่อ/ขยาย เพิ่ม/ลด ความสว่าง หรืออาจกล่าว ว่า TinEye สามารถค้นหารูปภาพที่ผ่านการ retouch แล้วได้อีกด้วย นอกจากนี้ TinEye ยัง สามารถเปรียบเทียบรูปตัวอย่างกับรูปที่โปรแกรมค้นหาว่า มีความเหมือนหรือต่างกันตรงไหนด้วย จึงสามารถใช้ตรวจหาภาพลอกเลียนแบบ และเช็คดูงานลิขสิทธิ์ได้ในระดับหนึ่ง รูปที่ 2 ตัวอย่างหน้าจอ จากการค้นหารูปภาพจาก TinEye
  • CYBER THREATS 2013 165 หวังเป็นอย่างยิ่งว่า บทความนี้ นอกจากจะช่วยให้ความรู้เบื้องต้นในการค้นหาแหล่งที่มาของ รูปภาพที่ โพสต์-แชร์-ส่งต่อกันแล้ว ยังเป็นการสร้างความตระหนักและกระตุ้นเตือนให้มีความ รับผิดชอบต่อสังคม ช่วยป้องกันและสร้างความเข้าใจที่ดีในการโพสต์-แชร์-ส่งต่อ รูปภาพ อีกทั้ง เป็นการหลีกเลี่ยงกระแสยุยงปลุกปั่นในสังคมไทยอย่างไม่ถูกไม่ควร และการตกเป็นเหยื่อของบางคน หรือบางกลุ่ม โดยไม่รู้ตัว ทั้งนี้ หากพบเห็นรูปภาพหรือข้อความใด ที่ดูแล้วรุนแรง หยาบคาบ กระตุ้นให้เกิดความโกธร เกลียดกันขึ้นในสังคม ก็ควรหลีกเลี่ยงการโพสต์-แชร์-ส่งต่อ รูปภาพหรือข้อความนั้น โดยเฉพาะ อย่างยิ่ง บน Social Media ที่สามารถสร้างกระแสต่างๆ ได้อย่างรวดเร็วและรุนแรง การคาดหวัง เพียงแค่การกด Like มากๆ อาจสร้างและส่งต่อความรุนแรงได้โดยไม่รู้ตัว ขอให้รับข้อมูลข่าวสารกัน อย่างมีสติและรอบคอบ และขอให้ใช้วิจารณญาณก่อนโพสต์-แชร์-ส่งต่อ รูปภาพหรือข้อความกันให้ มากๆ อ้างอิง 1. https://support.google.com/websearch/?hl=th#topic=3180360 2. http://www.tineye.com/about
  • 166 บทความทั่วไป DIGITAL FORENSICS 101 (ตอนที่ 1) ผู้เขียน : กรรณิกา ภัทรวิศิษฏ์สัณธ์ วันที่เผยแพร่ : 26 ธันวาคม 2556 ปรับปรุงล่าสุด : 26 ธันวาคม 2556 หากผู้อ่านได้ติดตามข่าวในแวดวงไอทีอยู่เป็นประจำ� อาจสังเกตว่ามีข่าวเว็บไซต์ราชการที่สำ�คัญ หลายแห่งถูกแฮกอยู่เป็นระยะๆ สิ่งที่เป็นผลตามมาคือ เจ้าหน้าที่ตำ�รวจต้องตรวจค้นหาพยานหลัก ฐานเพื่อสืบสาวหาตัวผู้ที่อยู่เบื้องหลัง ที่เรียกว่าพยานหลักฐานดิจิทัล (Digital evidence) โดยใช้ กระบวนการที่คาดว่าหลายคนน่าจะเคยได้ยิน ที่เรียกว่า Digital Forensics ผ่านหูผ่านตากันมาบ้าง ในโอกาสนี้ ผู้เขียนในฐานะหนึ่งในเจ้าหน้าที่ผู้ปฏิบัติงานศูนย์ดิจิทัลฟอเรนสิกส์ (Digital Forensics Center) ของ ETDA จึงขอใช้บทความนี้อธิบายว่า Digital Forensics นั้นคืออะไร และมี กระบวนการอะไรบ้างที่เกี่ยวข้อง ศูนย์ดิจิทัลฟอเรนสิกส์ (Digital Forensics Center) ของ ETDA. เป็นส่วนงานที่มีภารกิจ ต่างๆ ได้แก่ การตรวจพิสูจน์พยานหลักฐานดิจิทัลและออกรายงานผลการตรวจวิเคราะห์ตาม คำ�ร้องขอของหน่วยงานรักษากฎหมาย ให้คำ�ปรึกษาและคำ�แนะนำ�ทางวิชาการแก่เจ้าหน้าที่ที่อาจจะไม่ คุ้นเคยกับเทคโนโลยีที่มีการเปลี่ยนแปลงอยู่ตลอดเวลาและพยานหลักฐานดิจิทัลสมัยใหม่ที่มีรูปแบบ ต่างๆ กัน ไม่ว่าจะเป็นเครื่องคอมพิวเตอร์ โน้ตบุ๊ก แท็บเล็ต โทรศัพท์มือถือ กล้องวงจรปิด หรือเป็น หน่วยบันทึกข้อมูล ได้แก่ ฮาร์ดดิสก์ที่ถอดออกมาจากเครื่องเซิร์ฟเวอร์อิมเมจของเครื่องคอมพิวเตอร์ ฯลฯ จุดประสงค์ส่วนใหญ่จะขอให้ช่วยตรวจพิสูจน์หรือค้นหาข้อมูลที่เป็นประโยชน์ต่อการดำ�เนิน คดีกับผู้กระทำ�ความผิดหรือผู้ต้องสงสัย ซึ่งภายหลังจากที่ศูนย์ดิจิทัลฟอเรนสิกส์ตรวจวิเคราะห์ เรียบร้อยจึงจะส่งรายงานสรุปผลการตรวจวิเคราะห์พร้อมพยานหลักฐานคืนให้แก่หน่วยงานต้นเรื่อง ต่อไป Digital Forensics หรือที่เรียกในภาษาไทยว่า การตรวจพิสูจน์พยานหลักฐานทางดิจิทัล มีกระบวนการทำ�งานแบ่งได้เป็น 3 ขั้นตอนหลัก คือ 1. การรวบรวมพยานหลักฐาน (Acquisition) 2. การวิเคราะห์ (Analysis) 3. การรายงานผลการตรวจพิสูจน์ (Report) เพื่อให้ผลการตรวจพิสูจน์มีความถูกต้อง น่าเชื่อถือ และเป็นที่ยอมรับในชั้นศาลนั้น การดำ�เนิน การตามกระบวนการทั้งสามขั้นตอนนี้ต้องเป็นไปตามหลักการมาตรฐานที่ได้รับการยอมรับ หรือที่ นิยมเรียกกันว่า Forensically sound methods ซึ่งจะต้องมีการบันทึกรายละเอียดการดำ�เนิน
  • CYBER THREATS 2013 167 การในทุกขั้นตอน หากได้ผลเช่นใดก็จะต้องสามารถทำ�ซ้ำ�โดยผู้อื่นในภายหลังและจะต้องได้ผลลัพธ์เช่น เดียวกันทุกครั้ง เครื่องมือทั้งฮาร์ดแวร์และซอฟต์แวร์ที่เลือกใช้ต้องผ่านการตรวจสอบมาอย่างละเอียด ว่ามีความน่าเชื่อถือ และหากจำ�เป็นก็จะต้อง Validate ให้แน่ใจ รวมทั้งการทดสอบผลการทำ�งานก่อน และที่สำ�คัญคือ ผู้ปฏิบัติงาน Digital Forensics ก็ต้องมีความรู้ความสามารถในการปฏิบัติงาน มี ความสามารถในการวิเคราะห์ข้อมูล เข้าใจระบบการทำ�งานของระบบปฏิบัติการและเครื่องมือที่ใช้ และ ได้รับการฝึกมาเป็นอย่างดี นอกจากปัจจัยข้างต้นที่กล่าวมา หัวใจสำ�คัญที่จะทำ�ให้ผลการตรวจได้รับการยอมรับในชั้นศาล โดยไม่ถูกโต้แย้ง คือ เราต้องสามารถยืนยันได้ว่าหลักฐานที่นำ�มาตรวจสอบนั้นเป็นหลักฐานชิ้นเดียว กับที่เก็บมาจากสถานที่เกิดเหตุจริง (Authentication) และไม่มีการเปลี่ยนแปลงข้อมูลใดๆ ไปจากเดิม (Integrity) ในการทำ�งานเราจะแตะต้องพยานหลักฐานให้น้อยที่สุดเพื่อคงสภาพความสมบูรณ์ของ หลักฐานนั้นๆ ซึ่งในการจะยืนยันคุณสมบัติทั้งสองข้อนี้ได้นั้น เราต้องอาศัยหลักการสำ�คัญของการ ตรวจพิสูจน์พยานหลักฐานดิจิทัลคือ Chain of custody และ Hash value (1) Chain of custody หากแปลตรงตัวก็คือ “ห่วงโซ่การคุ้มครองพยานหลักฐาน” หมายถึงข้อมูลที่ระบุรายละเอียดของพยานหลักฐานและการส่งต่อพยานหลักฐานโดยเจ้าหน้าที่ที่ รับผิดชอบ ซึ่งจะต้องมีการบันทึกไว้เริ่มตั้งแต่เมื่อพยานหลักฐานชิ้นนั้นมีการเก็บมาจากที่เกิดเหตุมาอยู่ ในความครอบครองของเจ้าหน้าที่ที่เกี่ยวข้องจนถึงเมื่อสิ้นสุดคดีไว้ในแบบฟอร์ม Chain of custody ซึ่งจะเป็นประโยชน์หากผู้ที่เกี่ยวข้องต้องไปให้การในศาล โดยจะต้องสามารถยืนยันได้ว่า ในระหว่างการ ครอบครองพยานหลักฐานชิ้นนั้นได้จัดเก็บไว้ที่ไหน นำ�ไปทำ�อะไรบ้าง มีปัจจัยที่จะทำ�ให้พยานหลักฐาน เปลี่ยนแปลงหรือไม่ ได้ส่งต่อให้กับบุคคลอื่นหรือไม่ เมื่อวัน/เวลาใด (เรียกได้ว่า จะต้องสามารถระบุ ตัวตนของผู้รับผิดชอบได้ตลอดเวลาที่ครอบครองพยานหลักฐานนั่นเอง) ตัวอย่างข้อมูลที่จดบันทึกไว้ ในแบบฟอร์ม Chain of custody เช่น หากเจ้าหน้าที่ตำ�รวจเป็นผู้จัดเก็บพยานหลักฐานจากสถานที่ เกิดเหตุเอง ก็ต้องระบุชื่อ ตำ�แหน่ง หน่วยงาน วัน/เวลา รวมถึงข้อมูลสำ�หรับติดต่อให้ครบถ้วน เมื่อ นำ�พยานหลักฐานกลับมาเก็บไว้ที่ห้องเก็บพยานหลักฐานที่สถานีตำ�รวจ ก็ต้องจดบันทึกสถานที่และวัน เวลารวมทั้งผู้รับผิดชอบไว้ในแบบฟอร์ม หากในวันถัดไปต้องส่งพยานหลักฐานชิ้นนั้นไปให้เจ้าหน้าตรวจ พิสูจน์หลักฐาน ดำ�เนินการตรวจพิสูจน์ ก็ต้องบันทึกไว้ในแบบฟอร์มว่า ณ วันเวลาใดที่พยานหลักฐาน ได้เคลื่อนย้ายออกจากห้องเก็บพยานหลักฐานและปัจจุบันอยู่ในความครอบครองของใคร เป็นต้น
  • 168 บทความทั่วไป รูปที่ 1 ตัวอย่างแบบฟอร์ม Chain of custody ที่ใช้เก็บข้อมูลพยานหลักฐานและการส่งต่อ พยานหลักฐานโดยเจ้าหน้าที่ที่รับผิดชอบ
  • CYBER THREATS 2013 169 (2) Hash value เป็นผลลัพธ์จากการนำ�ข้อมูล (จะเป็นฮาร์ดดิสก์ทั้งลูกหรือไฟล์ชนิด หรือขนาดใดก็ได้) มาผ่านกระบวนการย่อย (Digest) หรือการคำ�นวณด้วย Hash Function เรียกกระบวนการนี้ว่า Hashing โดยผลลัพธ์นี้จะเป็นค่าเฉพาะ ซึ่งโดยทั่วไปนิยมแสดงโดยใช้ เลขฐาน 16 (Hexadecimal) ซึ่งมีความยาวแตกต่างกันขึ้นอยู่กับวิธีการ หรือฟังก์ชันที่ใช้ เช่น MD5 (Message Digest 5) ซึ่งให้ผลลัพธ์ 128 bit หรือ 32 digit (เลขฐาน 16) และ SHA1 (Secure Hash Algorithm 1) ให้ผลลัพธ์ 160 bit หรือ 40 digit (เลขฐาน 16) หมายเหตุ: Hashing จะคำ�นวณจากข้อมูลที่อยู่ในไฟล์เท่านั้น ไม่รวม metadata ซึ่งได้แก่ ชื่อไฟล์ วันเวลาที่ไฟล์ถูกสร้าง เปลี่ยนแปลง/เข้าถึงครั้งสุดท้าย เป็นต้น รูปที่ 2 ตัวอย่างค่าแฮช SHA1 และ MD5 คุณลักษณะที่สำ�คัญของ Hashing คือ เป็นวิธีการแบบ Non-reversible คือ เราไม่สามารถ นำ�ผลลัพธ์จากกระบวนการย่อยมาคำ�นวณกลับเป็นข้อมูลตั้งต้นได้ และหากนำ�ข้อมูลที่เหมือนกันทุก ประการมาผ่านกระบวนการย่อย ผลลัพธ์ที่ได้จะเหมือนกันทุกครั้ง แต่ถ้าหากข้อมูลที่จะนำ�มาย่อยมี ความต่างกันแม้เพียงบิตเดียว ผลลัพธ์ที่ได้ก็ต่างกันทันที ในปัจจุบันนี้การใช้ Hash value ไม่ว่าจะ เป็น MD5 หรือ SHA1 ได้รับการยอมรับว่าสามารถยืนยันความถูกต้องแท้จริงของพยานหลักฐานใน กระบวนการยุติธรรม โดยในทางปฏิบัติส่วนมากเราจะให้ซอฟต์แวร์หรือฮาร์ดแวร์คำ�นวณทั้งค่า MD5 และ SHA1 ออกมา เพื่อยืนยันความถูกต้องของข้อมูล ในส่วนของ MD5 ต้องขออธิบายเพิ่มเติมสักหน่อย เนื่องจากตั้งแต่ปี 2004 ได้เคยมีนักวิชาการ พิสูจน์แล้วว่าสามารถสร้างไฟล์สองไฟล์ที่มีเนื้อหาแตกต่างกัน แต่เมื่อนำ�มาคำ�นวณค่า MD5 แล้วได้ค่า เหมือนกันได้ จึงเป็นเหตุให้ MD5 ไม่เหมาะสมสำ�หรับการใช้งานที่ต้องมีคุณสมบัติแบบ Collision resistant เช่น SSL certificates หรือ Digital signatures ทีนี้หลายคนอาจสงสัยว่าทำ�ไม Digital Forensics ยังนิยมใช้ MD5 อยู่ ทำ�ไมซอฟต์แวร์เฉพาะสำ�หรับงานตรวจพิสูจน์พยาน หลักฐานดิจิทัลที่เป็นที่รู้จักแพร่หลาย เช่น EnCase และ FTK ยังใช้ MD5 ในการยืนยันความ ถูกต้องแท้จริงของข้อมูลพยานหลักฐานกับสำ�เนาพยานหลักฐาน คำ�อธิบายหนึ่งคือมีความเป็นไปได้ น้อยมากๆ ที่จะสามารถดัดแปลงเนื้อหาบางส่วนของไฟล์พยานหลักฐานที่มีอยู่เพื่อบังคับ ให้มีค่า MD5 ตามที่เราต้องการโดยที่เนื้อหาของไฟล์นั้นยังคงสื่อความหมายเข้าใจได้เหมือนเดิม และนอกจากนี้ MD5 ยังเป็นกระบวนที่ใช้เวลาไม่นานมากในการคำ�นวณเมื่อเปรียบเทียบกับการคำ�นวณ Hashing แบบอื่นๆ ดังนั้นจึงเป็นที่นิยมในกลุ่มผู้ปฏิบัติงาน Digital Forensics
  • 170 บทความทั่วไป ต่อไปผู้เขียนจะอธิบายกระบวนการทำ�งาน Digital Forensics โดยเริ่ม ตั้งแต่การรวบรวมพยานหลักฐาน ไปจนถึงการเขียนรายงานสรุปผล ซึ่งจะ เน้นข้อมูลทางด้านเทคนิค และต้องอธิบายค่อนข้างยาว ดังนั้นผู้เขียนจึงขอให้ ผู้อ่านได้พักกันก่อน ค่อยมาติดตาม Digital Forensics 101 ตอนที่ 2 กัน ต่อไปค่ะ อ้างอิง 1. http://en.wikipedia.org/wiki/MD5 2. http://computer-forensics.sans.org/blog/2009/01/07/law-is-not- a-science-admissibility-of-computer-evidence-and-md5- hashes
  • CYBER THREATS 2013 171
  • 172 บทความทั่วไป แนวโน้มภัยคุกคาม ด้านความมั่นคงปลอดภัย ไซเบอร์ ปี 2557 ผู้เขียน : ทีมไทยเซิร์ต วันที่เผยแพร่ : 27 ธันวาคม 2556 ปรับปรุงล่าสุด : 27 ธันวาคม 2556 ในช่วงปลายปี หลายบริษัทชื่อดังด้าน Cybersecurity เช่น FireEye, Kaspersky, Microsoft, Sophos, Symantec, Trend Micro และ InfoSec Institute เผยแพร่รายงาน วิเคราะห์แนวโน้มของภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์ใน ปี 2557 ว่ามีแนวโน้มจะเป็นไป ในทิศทางใด ซึ่งความเห็นของแต่ละบริษัทนั้นก็มีทั้งในลักษณะที่คล้ายคลึงและแตกต่างกันไป ในโอกาสนี้ ทีมไทยเซิร์ตได้สรุปประเด็นสำ�คัญที่เป็นประโยชน์จากรายงานวิเคราะห์แนวโน้มภัยคุกคามปี 2557 ที่ ได้รวบรวม โดยสามารถสรุปเป็นหัวข้อที่น่าสนใจดังต่อไปนี้ ช่องโหว่ในซอฟต์แวร์ที่ถูกยุติการให้บริการสนับสนุน ในปี 2556 เราได้เห็นช่องโหว่ของ Java [1], Internet Explorer [2], Microsoft Office [3] และ Adobe Reader [4] ที่ผู้ไม่หวังดีนำ�มาใช้อย่างแพร่หลายเพื่อเข้าถึงและขโมยข้อมูลจาก เครื่องคอมพิวเตอร์ผู้ใช้ ในปี 2557 Microsoft, Sophos และ Trend Micro ได้คาดการณ์ ว่า หลังจากที่ Microsoft ยุติการให้บริการสนับสนุนผลิตภัณฑ์ Windows XP และ Microsoft Office 2003 ในเดือนเมษายน 2557 และ Oracle ยุติการให้บริการสนับสนุนผลิตภัณฑ์ Java 6 ในเดือนกุมภาพันธ์ 2557 ซึ่งหมายความว่าจะไม่มีการอัพเดตเพื่อแก้ไขช่องโหว่ใดๆ อีกต่อไป แล้ว เป็นผลทำ�ให้อาจจะมีการเผยแพร่ช่องโหว่ของผลิตภัณฑ์ดังกล่าวมากขึ้น เนื่องจากมีความเป็น ไปได้ว่าผู้ไม่หวังดีจะนำ�ช่องโหว่ที่ตนเองเคยค้นพบแต่ยังไม่เคยเผยแพร่ออกสู่สาธารณะออกมาใช้ในการ โจมตีผู้อื่น ดังนั้น ผู้ใช้ Windows XP ในปัจจุบันควรเปลี่ยนไปใช้ระบบปฏิบัติการเวอร์ชันที่ใหม่ กว่า เช่น Windows 7 หรือ Windows 8 ก่อนกำ�หนดการยุติการให้บริการสนับสนุน อย่างไร ก็ตาม ในปัจจุบันยังพบว่ามีผู้ใช้ Windows XP อยู่เป็นจำ�นวนมาก เนื่องจากข้อมูลในเว็บไซต์ netmarketshare.com พบว่ายังมีผู้ที่ใช้ Windows XP เป็นจำ�นวนกว่า 32 เปอร์เซ็นต์ของระบบ ปฏิบัติการทั้งหมด [5] อย่างไรก็ตาม FireEye ได้ให้ความเห็นว่าปี 2557 จะพบช่องโหว่ใน Java น้อยลง ซึ่งสอดคล้องกับสถิติปี 2556 ที่พบจำ�นวนช่องโหว่ใน Java ลดลง และยังให้ความเห็นว่าจะ พบช่องโหว่ในโปรแกรมเว็บเบราว์เซอร์มากขึ้น
  • CYBER THREATS 2013 173 มัลแวร์ที่มีความซับซ้อนมากขึ้น FireEye ได้คาดการณ์ลักษณะของมัลแวร์ที่จะพบในปี 2557 ไว้หลายอย่าง เช่น มัลแวร์จะ สามารถหลบหลีกการตรวจจับการติดต่อสื่อสารกับผู้ไม่หวังดีได้แยบยลขึ้น หรือมีความสามารถใน การลบระบบปฏิบัติการเพื่อทำ�ลายร่องรอยหลังปฏิบัติการสำ�เร็จ เช่น การลบตัวระบบปฏิบัติการ Windows ทิ้งทั้งหมด ทำ�ให้ไม่สามารถใช้งานคอมพิวเตอร์ได้ นอกจากนี้ มัลแวร์ยังอาจใช้ลายเซ็น ดิจิทัลที่ขโมยมาจากบริษัทพัฒนาซอฟต์แวร์ เพื่อทำ�ให้ดูเหมือนว่าเป็นซอฟต์แวร์ที่พัฒนาอย่างถูกต้อง โดยบริษัทพัฒนาซอฟต์แวร์ดังกล่าว ซึ่ง Sophos ก็ได้ให้ความเห็นเกี่ยวกับเรื่องของมัลแวร์ในลักษณะ ที่คล้ายคลึงกัน ส่วนกรณีตัวอย่างที่พบเกี่ยวกับการใช้ลายเซ็นดิจิทัลกับมัลแวร์นั้น เช่น กรณีที่บริษัท ผู้พัฒนาโปรแกรมเว็บเบราว์เซอร์ Opera ถูกเจาะระบบและถูกขโมย Digital certificate ส่งผลให้ ผู้ไม่หวังดีอาจใช้ Digital certificate ดังกล่าวในการรับรองมัลแวร์ว่าเป็นโปรแกรม Opera หรือ ตัวอัพเดตของ Opera ได้ [6] นอกจากนี้ FireEye ยังได้คาดการณ์ว่า มัลแวร์ใน BIOS และตัว อัพเดตของ Firmware จะมีจำ�นวนเพิ่มมากขึ้นอีกด้วย ในขณะที่การตรวจหามัลแวร์ก็จะใช้เวลานาน ขึ้น โดยปัจจุบันจากรายงานของ Ponemon Institute พบว่าต้องใช้เวลาในการตรวจพบมัลแวร์หรือ โปรแกรมไม่พึงประสงค์ 80-100 วัน และต้องใช้เวลาในการแก้ไขปัญหานานถึง 120-150 วัน ภัยคุกคามที่เกี่ยวข้องกับโทรศัพท์มือถือ ในเรื่องของภัยคุกคามที่เกี่ยวข้องกับโทรศัพท์มือถือ หลายบริษัทต่างกล่าวเป็นเสียงเดียวกันว่า จะมีแนวโน้มเพิ่มมากขึ้น เนื่องจากจำ�นวนผู้ใช้โทรศัพท์มือถือที่เพิ่มขึ้น โดยการขโมย SMS ในมือถือที่ใช้ในการยืนยันตัวตน 2 ขั้น (2-step verification) เช่น การขโมยรหัส OTP ที่เป็น SMS สำ�หรับใช้ล็อกอินบัญชีธนาคารออนไลน์จะพบเห็นได้มากขึ้น ซึ่งเมื่อเดือนกรกฎาคม 2556 ที่ผ่านมา ผู้ใช้บัญชีธนาคารออนไลน์ในประเทศไทยก็ได้ตกเป็นเป้าหมายของภัยคุกคามประเภทนี้ โดยสามารถอ่านรายละเอียดเพิ่มเติมได้จากบทความของไทยเซิร์ต [7] นอกจากนี้ Symantec ได้ คาดการณ์ว่าผู้ใช้จะตกเป็นเหยื่อของแอปพลิเคชันบนโทรศัพท์มือถือที่หลอกลวงมากขึ้น เนื่องจาก ความไว้เนื้อเชื่อใจในโทรศัพท์มือถือของผู้ใช้ โดย Symantec ได้ยกตัวอย่างแอปพลิเคชันที่เพิ่ม like ของโพสต์ในบัญชี Instagram ของโดยผู้ใช้ต้องระบุชื่อบัญชีผู้ใช้และรหัสผ่านของบัญชี Instagram ให้กับแอปพลิเคชัน ซึ่งมีคนมากกว่าแสนคนตกเป็นเหยื่อ การโจมตีผู้ใช้ทั่วไป ถึงแม้ว่ากระบวนการรักษาความมั่นคงปลอดภัยจะแข็งแกร่งและมีประสิทธิภาพมากเพียงใด แต่ถ้าหากตัวผู้ใช้เองไม่ได้มีความตระหนักรู้และความเข้าใจในเรื่องความมั่นคงปลอดภัยไซเบอร์ แล้ว กระบวนการดังกล่าวก็ย่อมจะถูกทำ�ลายลงได้โดยง่าย ซึ่ง Trend Micro ได้ให้ความเห็นว่า ผู้ไม่หวังดีจะยังคงนิยมใช้วิธี Spear phishing ในการโจมตีผู้ใช้โดยตรงแทนที่จะโจมตีระบบ โดย รูปแบบในการโจมตีนั้น อาจเป็นการส่งอีเมลหลอกลวงจากผู้ไม่หวังดี โดยเนื้อหาในอีเมลส่วนหนึ่งจะ ประกอบด้วยข้อมูลส่วนตัวของเหยื่อเพื่อสร้างความน่าเชื่อถือ ผู้ใช้จะถูกหลอกให้เปิดไฟล์อันตราย ที่แนบมาหรือหลอกให้เข้าเว็บไซต์อันตรายที่สร้างขึ้นโดยผู้ไม่หวังดี ส่งผลให้ผู้ไม่หวังดีสามารถ เข้าถึงเครื่องคอมพิวเตอร์ของผู้ใช้และขโมยข้อมูลได้ วิธีนี้เป็นที่นิยมเนื่องจากข้อมูลส่วนตัวของ ผู้ใช้อินเทอร์เน็ตมักหาได้โดยง่ายจากการที่ผู้ใช้เปิดเผยข้อมูลส่วนตัวลงบนสื่อสังคมออนไลน์ เช่น
  • 174 บทความทั่วไป Facebook โดยไม่ได้ตระหนักถึงผลกระทบต่างๆ ที่อาจตามมา ส่วน Microsoft คาดการณ์ว่า เทคนิคการหลอกลวงด้วยวิธี Social engineering [8] จะถูกนำ�มาใช้มากยิ่งขึ้น ในขณะที่ FireEye ได้คาดการณ์ว่าการโจมตีแบบ Watering hole attack ซึ่งเป็นรูปแบบการโจมตีด้วย การเจาะระบบเว็บไซต์ที่มีผู้เข้าชมเป็นจำ�นวนมาก แล้วฝังมัลแวร์ลงบนเว็บไซต์ดังกล่าวเพื่อให้ผู้ที่เข้าชม เว็บไซต์ติดมัลแวร์นั้น จะถูกนำ�มาใช้แทนวิธีการส่งอีเมลหลอกลวงไปหาบุคคลอย่างเฉพาะเจาะจงมากขึ้น การโจมตีในระดับองค์กร Kaspersky ได้บรรยายถึงประเภทการโจมตีทางไซเบอร์ เปรียบเป็นรูปพีระมิดที่ถูกแบ่งออก เป็น 3 ส่วน ส่วนล่างคือการโจมตีบุคคลทั่วไปโดยอาชญากรทางไซเบอร์เพื่อเงิน ส่วนกลางคือการ จารกรรมข้อมูลขององค์กร รวมถึงการสอดแนมประชาชนโดยรัฐบาล และส่วนบนคือการโจมตี ทางไซเบอร์จากประเทศหนึ่งไปยังประเทศอื่นๆ โดย Kaspersky ได้ให้ความเห็นว่าการโจมตีในระดับ องค์กรจะมีแนวโน้มเพิ่มมากขึ้น โดยกลุ่มของผู้ที่เป็นอาชญากรทางไซเบอร์ทั่วไป หรือแม้กระทั่ง ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยที่ไม่เคยมีส่วนเกี่ยวข้อง กับอาชญากรรมทางไซเบอร์มาก่อน มีแนวโน้มที่จะผันตัวเองไปทำ�งานในลักษณะของมือปืนรับจ้าง ซึ่งผู้จ้างวานอาจเป็นบริษัทที่ต้องการ สอดแนมข้อมูลของคู่ค้าและคู่แข่ง เพื่อชิงความได้เปรียบทางด้านธุรกิจ การโจมตีระบบคลาวด์ Kaspersky ได้ให้ความเห็นเกี่ยวกับแนวโน้มในการโจมตีบริการคลาวด์เพื่อขโมย เปลี่ยนแปลง หรือทำ�ลายข้อมูล โดยเฉพาะการโจมตีกับเจ้าหน้าที่ของบริษัทผู้ให้บริการคลาวด์ที่จะมีมากขึ้น เนื่องจากมองว่าเจ้าหน้าที่เหล่านี้เป็นจุดอ่อนที่สุดของกระบวนการรักษาความมั่นคงปลอดภัย ซึ่งหากผู้ไม่หวังดีสามารถโจมตีได้สำ�เร็จ ก็อาจเปิดโอกาสให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลบนระบบ คลาวด์ที่มีจำ�นวนมากมายมหาศาลได้ ในขณะที่ Sophos ก็ได้คาดการณ์ว่าการโจมตีระบบคลาวด์ จะมีแนวโน้มเพิ่มมากขึ้นเช่นกัน โดยอาจเป็นการโจมตีที่พุ่งเป้าหมายไปยังอุปกรณ์ส่วนบุคคลต่างๆ เช่น โทรศัพท์มือถือของผู้ใช้ เพื่อใช้เป็นช่องทางไปสู่การเข้าถึงข้อมูลส่วนบุคคลหรือข้อมูลขององค์กรบน ระบบคลาวด์ หรืออาจเกิดจากการทำ�งานของมัลแวร์ประเภท Ransomware ที่มีเป้าหมายการโจมตี ไปยังข้อมูลบนเครื่องคอมพิวเตอร์และข้อมูลบนระบบคลาวด์ที่สามารถเข้าถึงได้จากเครื่องคอมพิวเตอร์ ของเหยื่อด้วย การโจมตีเพื่อขโมย Bitcoin เนื่องจากปัจจุบัน Bitcoin เริ่มเป็นที่ยอมรับและมีการช้มากขึ้นในฐานะเงินอิเล็กทรอนิกส์ Kaspersky และ InfoSec Institute ได้ให้ความเห็นไปในทิศทางเดียวกันว่า แทนที่ในปัจจุบันเรา มักจะพบว่ามีการเผยแพร่มัลแวร์ที่มีหน้าที่ในการคำ�นวณสำ�หรับการทำ� Bitcoin mining บนเครื่อง คอมพิวเตอร์ของผู้ใช้ การขโมย Bitcoin โดยตรงไม่ว่าจะเป็นการเผยแพร่มัลแวร์ที่ทำ�การขโมย Bitcoin โดยเฉพาะบนคอมพิวเตอร์ของผู้ใช้ หรือแม้กระทั่งการโจมตีผู้ให้บริการแลกเปลี่ยน Bitcoin กับเงินสกุลอื่นๆ จะพบเห็นได้มากขึ้นแทน เนื่องจากผู้ไม่หวังดีสามารถนำ� Bitcoin ที่ขโมยได้ไปแลกเป็น เงินสกุลอื่นได้ทันที ในขณะที่การสืบหาตัวบุคคลที่แลกนั้นก็ยังเป็นเรืองที่ทำ�ได้ยาก
  • CYBER THREATS 2013 175 ความเป็นส่วนตัวของผู้ใช้ จากการเผยแพร่ข้อมูลโดยนายเอ็ดเวิร์ด สโนว์เดน เกี่ยวกับโครงการสอดแนมและดักจับข้อมูล ส่วนบุคคลโดยหน่วยงาน NSA ของสหรัฐอเมริกา ทำ�ให้ประชาชนตื่นตัวในเรื่องของการปกป้อง ข้อมูลส่วนบุคคลมากขึ้น โดยหลายรายงานให้ความเห็นไปในทิศทางเดียวกันว่าประชาชนจะใช้บริการ อินเทอร์เน็ตผ่านช่องทางที่มีการเข้ารหัสลับข้อมูล เช่น VPN หรือ TOR มากขึ้น เพื่อปกป้องข้อมูล ส่วนบุคคลเมื่อท่องอินเทอร์เน็ต หรือในกรณีของผู้ไม่หวังดีก็สามารถใช้บริการ TOR เช่นกัน เพื่อซ่อน ตัวเองเมื่อปฏิบัติการโจมตีทางไซเบอร์ บทสรุป จะเห็นได้ว่าแนวโน้มภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์สำ�หรับปี 2557 ในภาพรวมนั้น อาจมีความรุนแรงมากขึ้น ไม่ว่าจะเป็นการที่ผู้ไม่หวังดีโจมตีช่องโหว่ของผลิตภัณฑ์ที่ยุติการให้บริการ สนับสนุนไปแล้ว มัลแวร์ที่มีความซับซ้อนและความสามารถในการหลบหลีกการตรวจจับมากขึ้น รวมถึงภัยคุกคามที่เกี่ยวข้องกับโทรศัพท์มือถือจะพบเห็นได้มากขึ้น ในขณะที่รูปแบบการโจมตีผู้ใช้ ทั่วไป องค์กร และระบบสารสนเทศต่างๆ อาจมีการเปลี่ยนแปลงทั้งในเชิงกระบวนการและเทคนิค และ เรื่องการสอดแนมข้อมูลโดยรัฐบาลที่เป็นประเด็นร้อนและมีข่าวคราวให้ติดตามมาโดยตลอดในช่วง ครึ่งปีหลังของปี 2556 ก็ทำ�ให้ทั้งประชาชนรวมถึงรัฐบาลของแต่ละประเทศให้ความสำ�คัญกับการ ปกป้องข้อมูลมากยิ่งขึ้น ซึ่งจะส่งผลให้ข้อมูลที่สื่อสารบนเครือข่ายอินเทอร์เน็ตเป็นข้อมูลที่มีการเข้า รหัสลับข้อมูลเพิ่มมากขึ้นในปี 2557 ประเด็นดังกล่าวคาดว่าจะยังคงร้อนแรงและเป็นที่ถกเถียงกัน ต่อไป ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านได้จากรายงานและบทวิเคราะห์แนวโน้มภัยคุกคามของ แต่ละบริษัทตามรายการด้านล่าง FireEye: Top Security Predictions for 2014 http://www.fireeye.com/blog/corporate/2013/11/top-security-predictions-for- 2014.html Kaspersky: Security Bulletin 2013 Forecasts http://www.securelist.com/en/analysis/204792320/Kaspersky_ SecurityBulletin_2013_Forecasts Microsoft: Top Cyber Threat Predictions for 2014 http://blogs.technet.com/b/security/archive/2013/12/12/security-professionals-top- threat-predictions-for-2014.aspx Sophos: Security Threat Report 2014 http://www.sophos.com/en-us/threat-center/security-threat-report.aspx Symantec: 2014 Predictions http://www.symantec.com/connect/blogs/2014-predictions-symantec-0
  • 176 บทความทั่วไป Trend Micro: Security Predictions for 2014 and Beyond http://about-threats.trendmicro.com/apac/security-predictions/2014/blurring-boundaries InfoSec Institute: Security Predictions for 2014 http://resources.infosecinstitute.com/security-predictions-2014 อ้างอิง 1. https://www.thaicert.or.th/alerts/admin/2012/al2012ad018.html 2. https://www.thaicert.or.th/alerts/admin/2013/al2013ad005.html 3. https://www.thaicert.or.th/alerts/admin/2013/al2013ad009.html 4. https://www.thaicert.or.th/alerts/admin/2013/al2013ad010.html 5. http://www.netmarketshare.com/operating-system-market-share. aspx?qprid=10&qpcustomd=0 6. http://www.nbcnews.com/id/52333655/ns/technology_and_science-tech_and_ gadgets/#.Uruph6GLe1E 7. https://www.thaicert.or.th/alerts/user/2013/al2013us007.html 8. https://www.thaicert.or.th/papers/general/2012/pa2012ge017.html
  • CYBER THREATS 2013 177
  • 178 บทความทั่วไป DIGITAL FORENSICS 101 (ตอนที่ 2) ผู้เขียน : กรรณิกา ภัทรวิศิษฏ์สัณธ์ วันที่เผยแพร่ : 30 ธันวาคม 2556 ปรับปรุงล่าสุด : 30 ธันวาคม 2556 สวัสดีอีกครั้งค่ะ ก่อนที่จะเริ่มเข้าเนื้อหาของบทความตอนที่สองนี้ขอย้อนกลับไปในตอนที่ หนึ่ง ที่ได้อธิบายแล้วว่ากระบวนการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล สามารถแบ่งออกได้เป็น 3 ขั้นตอนหลัก คือ (1) การรวบรวมพยานหลักฐาน (Acquisition) (2) การวิเคราะห์ (Analysis) และ (3) การรายงานผลการตรวจพิสูจน์ (Report) สำ�หรับบทความตอนที่สองนี้จะเป็นการอธิบาย ถึงขั้นตอนการรวบรวมพยานหลักฐาน (Acquisition) ซึ่งในที่นี้หมายถึงการทำ�สำ�เนาพยานหลักฐาน ดิจิทัลไม่ว่า ณ ที่จุดเกิดเหตุ หรือภายในห้องปฏิบัติการในภายหลัง ก่อนที่จะนำ�สำ�เนาไปตรวจวิเคราะห์ เนื่องจากหลักการสำ�คัญข้อหนึ่งของ Digital forensics คือ การตรวจวิเคราะห์จะไม่กระทำ�กับ พยานหลักฐานต้นฉบับโดยตรง โดยทั่วไปข้อมูลดิจิทัลสามารถแบ่งได้เป็นสองประเภทคือ ข้อมูลที่บันทึกอยู่ในหน่วยความจำ� ประเภทที่สามารถสูญหายได้เมื่อปิดอุปกรณ์ ซึ่งเรียกว่า Volatile data ได้แก่ข้อมูลในแรม (RAM) และข้อมูลประเภทที่บันทึกอยู่ในหน่วยความจำ�ที่ยังคงสภาพเช่นเดิมเมื่อปิดอุปกรณ์ไปแล้วซึ่งเรียกว่า Non-volatile data ได้แก่ข้อมูลที่บันทึกอยู่ในฮารด์ดิสก์หรือ Thumb drive ฯลฯ การทำ�สำ�เนาข้อมูล Volatile Data Volatile data เป็นข้อมูลที่สามารถสูญหายไปทันทีที่ปิดเครื่องคอมพิวเตอร์ ได้แก่ ข้อมูล ที่บันทึกในแรม เช่น ข้อมูล Network connections, Running applications, Running processes, Open/listening network connections รวมถึงพาสเวิร์ดสำ�หรับใช้งาน โปรแกรม เปิดอ่านอีเมล หรือเข้าถึงพาร์ทิชันฮาร์ดดิสก์ที่มีการเข้ารหัสไว้ เป็นต้น ซึ่งประโยชน์ของ ข้อมูล Volatile data นอกจากจะสามารถใช้กู้พาสเวิร์ดที่คนร้ายอาจไม่ยอมบอกแล้วยังสามารถใช้ ในการตรวจยืนยันว่าเครื่องคอมพิวเตอร์มีมัลแวร์ฝังอยู่หรือไม่ หรือถูกควบคุมโดยบุคคลอื่นโดยที่ เจ้าของไม่รู้ตัวหรือไม่ด้วย ในสมัยก่อน เจ้าหน้าที่เก็บพยานหลักฐานมักจะได้รับการสอนว่าเมื่อพบเครื่องคอมพิวเตอร์ ที่เปิดอยู่ในที่เกิดเหตุ ควรถ่ายภาพสิ่งที่ปรากฏที่หน้าจอแล้วดึงปลั๊กไฟที่หลังเครื่องออกทันทีเพื่อ คงสภาพความสมบูรณ์ของพยานหลักฐาน แต่ในปัจจุบันแนวคิดนี้ได้เปลี่ยนไปแล้วเนื่องจากพบว่า Volatile data มีข้อมูลที่เป็นประโยชน์ และในบางครั้งหากปิดเครื่องคอมพิวเตอร์ไปแล้วอาจจะไม่ สามารถเปิดขึ้นมาได้อีกหากไม่รู้พาสเวิร์ด ส่งผลให้ไม่สามารถกู้ข้อมูลใดๆ จากพยานหลักฐานชิ้นนั้น
  • CYBER THREATS 2013 179 ปัจจุบันมีซอฟต์แวร์สำ�หรับใช้เก็บ Volatile data หลายหลากยี่ห้อ เช่น FTK Imager, DumpIt, Memoryze, Audit Viewer และ HELIX เป็นต้น ในบทความนี้ผู้เขียนจะขอแนะนำ�โปรแกรม 2 ตัว ที่สามารถดาวน์โหลดมาใช้งานได้ฟรี ได้แก่ FTK Imager Lite และ DumpIt ซึ่งมีความพิเศษคือ ไม่จำ�เป็นต้องติดตั้งลงในเครื่องคอมพิวเตอร์ เพียงแค่ก็อปปี้ใส่ Thumb drive เสียบใส่คอมพิวเตอร์ ที่ต้องการเก็บแรม แล้วสั่งรันโปรแกรมได้เลย โปรแกรม FTK Imager Lite [1] ของบริษัท AccessData สามารถดาวน์โหลดได้จาก http://www.accessdata.com/support/product-downloads เพียงแค่ดาวน์โหลดมาแล้ว แตกไฟล์ใส่ลงใน Thumb drive ก็สามารถใช้งานได้เลย โดยเลือกคำ�สั่ง Capture Memory จากเมนู ที่แสดง โดยก่อนใช้งานจะต้องรู้รหัสผ่านของผู้ดูแลระบบที่จะทำ�สำ�เนาแรมจึงจะสามารถรันโปรแกรมนี้ได้ รูปที่ 1 การเลือกคำ�สั่ง Capture Memory จากเมนู File ของโปรแกรม FTK Imager Lite
  • 180 บทความทั่วไป โปรแกรมถัดมาที่จะขอแนะนำ� คือ โปรแกรม DumpIt [2] จากบริษัท Moonsols สามารถ ดาวน์โหลดได้จาก http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/ ข้อดีของโปรแกรมนี้คือไฟล์ DumpIt.exe มีขนาดเล็กแค่ประมาณ 200 KB และวิธี การทำ�งานง่ายๆ เพียงแค่ก็อปปี้ไฟล์ DumpIt.exe ใส่ไว้ใน Thumb drive แล้วนำ�ไปเสียบกับเครื่อง คอมพิวเตอร์ที่ต้องการเก็บแรม แล้วใช้คำ�สั่งเดียวก็สามารถเริ่มสำ�เนาแรมได้ทันทีโดยโปรแกรมจะเก็บ ไฟล์ Image ไว้ในโฟลเดอร์เดียวกับไฟล์ DumpIt.exe โดยอัตโนมัติ ข้อควรระวังเมื่อใช้โปรแกรมนี้คือ เนื่องจากโปรแกรมนี้ไม่มีการตั้งค่าอะไร ดังนั้นจะต้องเตรียมพื้นที่ให้เพียงพอกับขนาดแรมที่ต้องการ จัดเก็บ และเช่นเดียวกับโปรแกรม FTK Imager Lite คือจะต้องรู้รหัสผ่านของผู้ดูแลระบบจึงจะ สามารถรันโปรแกรมนี้ได้ รูปที่ 2 การรันโปรแกรม DumpIt.exe เพียงแค่นี้ก็สำ�เร็จขั้นตอนการเก็บข้อมูล Volatile data จากแรม (RAM) แล้ว ไฟล์ Image ที่เก็บมานี้สามารถนำ�ไปวิเคราะห์ต่อโดยใช้โปรแกรม เช่น Volatility หรือโปรแกรมวิเคราะห์พยาน หลักฐานดิจิทัลอื่นๆ ซึ่งสามารถช่วยสกัดข้อมูลที่เป็นประโยชน์ออกมาได้ หมายเหตุ เนื่องจากการจัดเก็บข้อมูล Volatile data นั้นจำ�เป็นต้องทำ�ในขณะที่เครื่อง คอมพิวเตอร์ยังเปิดใช้งานอยู่ ดังนั้นข้อมูลในแรมจะเปลี่ยนแปลงได้ตลอดเวลา ทำ�ให้การทำ�สำ�เนาข้อมูล Volatile data ในแต่ละครั้งอาจได้ผลลัพธ์ที่แตกต่างกันได้ถึงแม้ว่าจะเป็นเครื่องคอมพิวเตอร์ เครื่องเดียวกันภายในเวลาที่ใกล้เคียงกัน การทำ�สำ�เนาข้อมูล Non-volatile data การทำ�สำ�เนาข้อมูล Non-volatile data หรือข้อมูลที่ไม่สูญหายเมื่อปิดคอมพิวเตอร์ เป็นกระบวนการที่คนทั่วไปน่าจะคุ้นเคยและรู้จักดี เพราะเป็นการทำ�สำ�เนาสื่อบันทึกข้อมูล เช่น
  • CYBER THREATS 2013 181 ฮาร์ดดิสก์ ซีดี ดีวีดี Thumb drive SSD ฯลฯ โดยใช้วิธีการก็อปปี้แบบ bit-to-bit นั่นเอง ซึ่ง ข้อมูลที่ทำ�สำ�เนาแล้วจะเหมือนกับต้นฉบับทุกประการ เนื่องจากฮาร์ดดิสก์มีความจุเพิ่มมากขึ้นเรื่อยๆ จนถึง 4 เทราไบต์แล้ว ดังนั้นการเลือกใช้เครื่องมือไม่ว่าจะเป็นฮาร์ดแวร์หรือซอฟต์แวร์ควรคำ�นึงถึง ความเร็วในการอ่านและเขียนข้อมูลด้วย รวมทั้งจะต้องคำ�นึงถึงเวลาที่ใช้ในการตรวจสอบยืนยันความ ถูกต้องสมบูรณ์ของสำ�เนาด้วย เช่น เครื่องมือทำ�สำ�เนาฮาร์ดดิสก์แบบ bit-to-bit มีคุณสมบัติ สามารถสำ�เนาข้อมูลด้วยความเร็ว 6 กิกะไบต์ต่อนาที ดังนั้นควรจะสามารถทำ�สำ�เนาฮาร์ดดิสก์ ขนาด 1 เทราไบต์เสร็จภายในเวลา 3 ชั่วโมง แต่เมื่อทดสอบในห้องปฏิบัติการ ก็พบว่าต้องใช้เวลานาน ถึง 6 ชั่วโมงครึ่ง เนื่องจากจะต้องใช้เวลาอีกหนึ่งเท่าตัวในการคำ�นวณและเปรียบเทียบค่าแฮชเพื่อยืนยัน ความสมบูรณ์ของสำ�เนาด้วย ดังนั้นก่อนที่จะเริ่มกระบวนการทำ�สำ�เนาพยานหลักฐานควรจะวางแผน ล่วงหน้าและเผื่อเวลาไว้ด้วย และนอกจากนี้ก็จะต้องเตรียมฮาร์ดดิสก์ที่จะใช้บันทึกไฟล์ Image ที่มี ขนาดความจุไม่น้อยกว่าพยานหลักฐานต้นฉบับ และควรเป็นฮาร์ดดิสก์ที่ผ่านการล้างข้อมูล (Wipe) มาก่อน ซึ่งการ Wipe คือการสั่งเขียนข้อมูลลงฮาร์ดดิสก์ให้เต็มพื้นที่ โดยอาจเขียนด้วยเลข 0 หรือ เลขฐานสิบหกอื่นๆ แล้วแต่เครื่องมือที่เลือกใช้ เพื่อป้องกันการปนเปื้อนของพยานหลักฐานกับข้อมูล เดิมที่อยู่ในฮาร์ดดิสก์ ด้วยเทคโนโลยีในปัจจุบันการทำ�สำ�เนาข้อมูล Non-volatile data ทำ�ได้หลายวิธี ไม่ว่าจะใช้ เครื่องมือฮาร์ดแวร์เฉพาะที่สามารถอ่านฮาร์ดดิสก์พยานหลักฐานต้นฉบับและเขียนข้อมูล bit-to-bit ไปยังฮาร์ดดิสก์สำ�เนาโดยไม่ต้องผ่านเครื่องคอมพิวเตอร์ (เช่น Forensic Imager 3, Forensic Duplicator 2, HardCopy 3P, Imager Master หรือ Shadow3 เป็นต้น) หรือใช้เครื่อง คอมพิวเตอร์ที่ได้ติดตั้งซอฟต์แวร์เฉพาะอ่านข้อมูลจากฮาร์ดดิสก์พยานหลักฐานผ่านอุปกรณ์ที่เรียกว่า “Write blocker” เพื่อป้องกันมิให้เกิดการเปลี่ยนแปลงของข้อมูลภายในพยานหลักฐาน (เช่น dd, EnCase Imager, Raptor, Helix, FTK Imager เป็นต้น) ตัวอย่างที่ 1 แสดงวิธีการทำ�สำ�เนาฮาร์ดดิสก์โดยใช้อุปกรณ์ HardCopy ซึ่งมีสายดาต้าเชื่อมต่อ ไปยังพยานหลักฐานต้นฉบับที่อยู่ด้านซ้ายเพื่ออ่านข้อมูล และมีสายดาต้าอีกเส้นที่ต่อไปยังฮาร์ดดิสก์ สำ�เนาที่อยู่ด้านขวาเพื่อเขียนข้อมูล อุปกรณ์นี้มีจอแสดงผลซึ่งสามารถแสดงค่าแฮชเพื่อยืนยันความ ครบถ้วนสมบูรณ์ของกระบวนการทำ�สำ�เนา และนอกจากนี้ก็ยังมีการสร้าง Log เพื่อบันทึก รายละเอียดที่เกี่ยวข้องทั้งหมด เช่น ข้อมูลรุ่น ยี่ห้อ Serial number ความจุ จำ�นวนและขนาด เซ็กเตอร์ เวลาเริ่มต้น/สำ�เร็จ ค่าแฮช เป็นต้น
  • 182 บทความทั่วไป รูปที่ 3 การทำ�สำ�เนาฮาร์ดดิสก์ด้วยอุปกรณ์ HardCopy รูปที่ 4 แสดงผลค่าแฮช MD5 ของสำ�เนา
  • CYBER THREATS 2013 183 รูปที่ 5 Log file แสดงข้อมูลฮาร์ดดิสก์ วันและเวลาที่ทำ�สำ�เนา และค่าแฮชของพยานหลักฐาน ต้นฉบับเปรียบเทียบกับสำ�เนา ตัวอย่างที่ 2 ในกรณีที่ไม่มีฮาร์ดแวร์เฉพาะสำ�หรับทำ�สำ�เนาข้อมูล ก็สามารถใช้โปรแกรมเช่น FTK Imager อ่านข้อมูลจากฮาร์ดดิสก์พยานหลักฐานผ่าน Write blocker เพื่อป้องกันการเปลี่ยนแปลง ข้อมูลพยานหลักฐานต้นฉบับ แล้วเขียนข้อมูลไปยังฮาร์ดดิสก์สำ�เนา ในตัวอย่างนี้ฮาร์ดดิสก์พยาน
  • 184 บทความทั่วไป หลักฐานต้นฉบับอยู่ในกล่อง Write blocker ด้านซ้ายมือซึ่งมีไฟสีแดงแสดงสถานะ Read Only เมื่อโปรแกรม FTK Imager ซึ่งติดตั้งอยู่ในเครื่องคอมพิวเตอร์แล็ปท็อป อ่านข้อมูลมาแล้วก็จะเขียน ลงในฮาร์ดดิสก์สำ�เนาแบบ bit-to-bit จนกว่าจะอ่านข้อมูลทั้งหมดจากพยานหลักฐานต้นฉบับและ เขียนไว้ในสำ�เนาครบถ้วนสมบูรณ์ ซึ่งสามารถตรวจสอบได้จากไฟล์ Log ที่บันทึกข้อมูลที่เกี่ยวข้อง ทั้งหมด รูปที่ 6 การทำ�สำ�เนาฮาร์ดดิสก์ด้วยซอฟต์แวร์ FTK Imager โดยใช้อุปกรณ์ Write blocker
  • CYBER THREATS 2013 185 รูปที่ 7 Log file แสดงข้อมูลเกี่ยวกับฮาร์ดดิสก์ วันและเวลาที่ทำ�สำ�เนา และค่าแฮชของ พยานหลักฐานต้นฉบับเปรียบเทียบกับสำ�เนา สำ�หรับตอนนี้ขอจบแต่เพียงเท่านี้ ตอนหน้ามาเริ่มเรียนรู้เทคนิคการวิเคราะห์ข้อมูลกันค่ะ อ้างอิง 1. http://www.accessdata.com/support/product-downloads 2. http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/ 3. http://www.digitalintelligence.com/
  • 186 บทความเชิงเทคนิค
  • CYBER THREATS 2013 187 บทความ เชิงเทคนิค
  • 188 บทความเชิงเทคนิค NMAP ผู้เขียน : ธงชัย ศิลปวรางกูร วันที่เผยแพร่ : 1 มีนาคม 2556 ปรับปรุงล่าสุด : 1 มีนาคม 2556 ในบรรดาซอฟต์แวร์ที่เกี่ยวข้องกับทางด้าน Network security นั้น Nmap ถือว่าเป็น ซอฟต์แวร์ตัวหนึ่งที่ได้รับความนิยมเป็นอย่างสูง และมีการนำ� ไปใช้กันอย่างแพร่หลายโดยเฉพาะผู้ที่ ทำ� งานในด้านการดูแลระบบเครือข่ายและระบบความมั่นคงปลอดภัย เริ่มแรกนั้น Nmap ได้รับการ พัฒนาขึ้นสำ� หรับระบบปฏิบัติการ Linux เพื่อใช้ในการค้นหาและสร้างรูปแบบการเชื่อมต่อระหว่าง อุปกรณ์ภายในระบบเครือข่ายเป็นหลัก แต่ต่อมาได้พัฒนาให้มีความสามารถในการค้นหาบริการที่เปิด ใช้งานอยู่บนระบบคอมพิวเตอร์ และยังนำ� ไปพัฒนาต่อเพื่อให้สามารถใช้บนระบบปฏิบัติการอื่นๆ ได้อีก ด้วย สิ่งที่ทำ� ให้ Nmap ได้รับความนิยมนั้นคือ ฟังก์ชันการทำ� งานที่มีให้เลือกใช้และสามารถปรับแต่ง ได้อย่างหลากหลาย รวมถึงสามารถเลือกใช้ได้บนแทบทุกระบบปฏิบัติการที่นิยมใช้กันในปัจจุบัน ไม่ว่าจะเป็น Windows, Linux, Mac OS X หรือแม้กระทั่งระบบปฏิบัติการสำ� หรับอุปกรณ์พกพา อย่างเช่น Android จึงทำ� ให้ Nmap เป็นตัวเลือกแรกๆ ในบรรดาซอฟต์แวร์ประเภท Network security scanner ความสามารถโดยทั่วไป • Host Discovery: การค้นหาอุปกรณ์ที่กำ� ลังทำ� งานอยู่ในระบบเครือข่ายเป้าหมาย • Port Scanning: การตรวจสอบพอร์ตที่เปิดใช้งานอยู่บนระบบเป้าหมาย เพื่อนำ� หมายเลขพอร์ตที่ได้ไปค้นหาต่อว่าระบบดังกล่าวเปิดให้บริการอะไร • Operating System / Service Version Detection: การตรวจสอบเวอร์ชันของ ระบบปฏิบัติการและบริการที่เปิดใช้งานบนระบบเป้าหมาย • Script Scanning: การใช้สคริปต์เพื่อเพิ่มความสามารถของ Nmap ในการทำ� งานด้าน อื่นๆ โดยทั่วไปจะเกี่ยวข้องกับการตรวจสอบความมั่นคงปลอดภัยของระบบ ความสามารถของ Nmap ในการเรียกใช้สคริปต์นี้มีชื่อว่า Nmap Scripting Engine ซึ่งไม่ได้อธิบายในบทความนี้ แต่จะขอกล่าวในโอกาสต่อไป การติดตั้งโปรแกรม Windows, Mac OS X และ RPM-based Linux distribution ระบบปฏิบัติการที่อยู่ในหัวข้อนี้นอกจาก Windows และ Mac OS X แล้ว ยังรวมถึง Linux ที่ใช้ RPM เป็นระบบจัดการแพ็กเกจ เช่น Red Hat Enterprise Linux, CentOS, Fedora,
  • CYBER THREATS 2013 189 openSUSE และ Mandriva ผู้ที่ใช้ระบบปฏิบัติการเหล่านี้สามารถดาวน์โหลดตัวติดตั้งสำ� เร็จรูป จากหน้า Download ได้โดยตรง [1] ส่วนขั้นตอนการติดตั้งโปรแกรมนั้น หากเป็น Windows หรือ Mac OS จะทำ� ผ่านทาง Installation wizard เหมือนโปรแกรมอื่นๆ ทั่วไป ส่วน Linux สามารถใช้ คำ� สั่ง rpm ผ่านทาง Command-line เพื่อติดตั้งโปรแกรม Debian-based Linux distribution ระบบปฏิบัติการที่อยู่ในหัวข้อนี้ เช่น Debian และ Ubuntu เป็นต้น ผู้ที่ใช้ระบบปฏิบัติการ เหล่านี้สามารถติดตั้งผ่านทางโปรแกรมจัดการแพ็กเกจ ที่มาพร้อมกับระบบปฏิบัติการ เช่น apt-get ได้โดยใช้คำ� สั่งต่อไปนี้ผ่านทาง Command-line sudo apt-get install nmap sudo apt-get install zenmap (สำ� หรับผู้ที่ต้องการใช้โปรแกรม Zenmap) เมื่อติดตั้งเสร็จแล้ว ปกติจะสามารถเรียกใช้ผ่านทาง Command-line โดยใช้โปรแกรม Command Prompt บน Windows หรือโปรแกรม Terminal บน Mac OS X และ Linux ได้ ทันที แต่สำ� หรับผู้เริ่มต้นอาจเลือกใช้โปรแกรมผ่านทาง GUI เช่น Zenmap ได้เช่นกัน ซึ่งจะอธิบายใน หัวข้อถัดๆ ไป อย่างไรก็ตาม วิธีดังกล่าวมักไม่ได้ติดตั้งโปรแกรมที่เป็นเวอร์ชันล่าสุด ดังนั้นหากผู้ที่ใช้ ระบบปฏิบัติการในหัวข้อนี้ต้องการติดตั้งโปรแกรม เวอร์ชันล่าสุดจะต้องดาวน์โหลด Source code มา Compile และติดตั้งด้วยตัวเอง หรือใช้คำ� สั่ง alien ในการแปลงไฟล์แพ็กเกจ .rpm ให้เป็น .deb ก่อนที่จะติดตั้งด้วยคำ� สั่ง dpkg ผ่านทาง Command-line [2] คำ� สั่งการใช้งานพื้นฐาน Nmap นั้นมีคำ� สั่งให้เลือกใช้เป็นจำ� นวนมาก แต่สำ� หรับการใช้งานทั่วไปนั้นจะใช้เพียงไม่กี่คำ� สั่ง เนื่องจากส่วนใหญ่มักจะเป็นคำ� สั่งเกี่ยวกับการกำ� หนดรายละเอียดของเทคนิคการตรวจสอบระบบ เป้าหมายให้ทำ� งานตามจุดประสงค์ที่เฉพาะเจาะจงมากกว่า ดังนั้นในหัวข้อนี้จึงขออธิบายเฉพาะคำ� สั่ง พื้นฐานที่นิยมใช้กันโดยทั่วไปเพื่อไม่ให้เกิดความสับสนสำ� หรับผู้ที่เริ่มต้นใช้ แต่ก่อนอื่นผู้ใช้ควรมีความ เข้าใจเกี่ยวกับส่วนประกอบหลักของคำ� สั่งดังต่อไปนี้ nmap <scan-technique> <options> <target> คำ� สั่งของ Nmap นั้นประกอบด้วย 3 ส่วนหลักดังที่เห็นข้างบน ในส่วนของ <scan-technique> เป็นการระบุเทคนิคที่จะใช้ในการสแกนระบบเป้าหมาย เช่น TCP SYN scan หรือ UDP scan ซึ่งสามารถระบุได้หลายเทคนิคพร้อมกัน ส่วน <options> เป็นการระบุตัวเลือกอื่นๆ ประกอบซึ่งมีให้เลือกใช้เป็นจำ� นวนมาก ตัวอย่างเช่น การตรวจสอบระบบปฏิบัติการ การระบุ หมายเลขพอร์ตที่จะสแกน และการกำ� หนดรูปแบบของผลลัพธ์ที่ได้ ส่วนสุดท้ายคือ <target> เป็น ส่วนที่ใช้ระบุเป้าหมายที่จะทำ� การตรวจสอบ โดยทั่วไปจะนิยมระบุเป็น IP address, กลุ่มของ IP address ในรูปของ CIDR notation (เช่น 192.168.1.0/24), Hostname หรือ Domain name ทั้งนี้บางคำ� สั่ง เช่น การตรวจสอบระบบปฏิบัติการ จำ� เป็นที่จะต้องใช้สิทธิ์ของผู้ดูแลระบบ
  • 190 บทความเชิงเทคนิค (Administrator account ใน Windows หรือ root ใน Mac OS X และ Linux) ในการใช้งาน เนื่องจากคำ� สั่งเหล่านี้ต้องการที่จะสร้างแพ็กเก็ตเพื่อส่งไปยังระบบเป้าหมายในรูปแบบพิเศษที่ไม่อ้างอิง กับมาตรฐานการทำ� งานของโพรโทคอลตามปกติ หรือไม่ใช้รูปแบบที่ระบบปฏิบัติการจัดเตรียมไว้ให้ การตรวจสอบหาระบบที่กำ� ลังทำ� งาน วิธีนี้เป็นการตรวจสอบหาอุปกรณ์หรือเครื่องคอมพิวเตอร์ที่กำ� ลังทำ� งานอยู่ในระบบเครือข่าย โดยการ Ping ไปยังเป้าหมายที่ระบุไว้ วิธีนี้เหมาะกับการจำ� กัดกลุ่มเป้าหมายในกรณีที่ทำ� การ ตรวจสอบบนเครือข่ายขนาดใหญ่ เนื่องจากมีการทำ� งานที่รวดเร็ว โดยมีคำ� สั่งการใช้งานดังนี้ nmap -sn <target> ตัวแปร -sn หมายถึงการทำ� Ping scan ในอีกความหมายหนึ่งคือการกำ� หนดไม่ให้ทำ� Port scan การตรวจสอบบริการ เวอร์ชันของบริการ และระบบปฏิบัติการ วิธีนี้จะทำ� การตรวจสอบบริการและเวอร์ชันของบริการที่ตรวจพบ รวมถึงระบบปฏิบัติการของ ระบบเป้าหมาย โดยใช้คำ� สั่งดังนี้ nmap -sS -sV -O <target> ตัวแปร -sS หมายถึง ใช้เทคนิคการสแกนแบบ TCP SYN Scan ซึ่งเป็นเทคนิคพื้นฐานที่มัก นิยมใช้ทั่วไป โดยผู้ใช้สามารถเปลี่ยนหรือเพิ่มเทคนิคการสแกนรูปแบบอื่นได้ ส่วนตัวแปร -sV และ -O หมายถึงการตรวจสอบหาเวอร์ชันของบริการและระบบปฏิบัติการตามลำ� ดับ การตรวจสอบบริการที่เปิดใช้งานโดยระบุหมายเลขพอร์ต วิธีนี้จะใช้ในการตรวจสอบบริการที่เปิดใช้งาน โดยระบุหมายเลขพอร์ตเพื่อจำ� กัดกลุ่มของบริการ ที่จะตรวจสอบ ทำ� ให้ช่วยลดระยะเวลาในการทำ� งานและจำ� กัดผลลัพธ์เฉพาะที่ต้องการ การตรวจสอบ ดังกล่าวใช้คำ� สั่งดังนี้ nmap -p <port-range> <target> ตัวแปร -p หมายถึง การกำ� หนดให้สามารถระบุหมายเลขพอร์ตได้ ส่วน <port-range> คือ ช่วงของหมายเลขพอร์ตที่ต้องการตรวจสอบ ซึ่งสามารถระบุได้หลายรูปแบบดังนี้ • ระบุหมายเลขพอร์ตเดียว • ระบุหลายหมายเลขพอร์ต เช่น 80,443 • ระบุหมายเลขพอร์ตเป็นช่วงที่ต่อเนื่องกัน เช่น 21-25 • ระบุหมายเลขพอร์ตและช่วงของหมายเลขพอร์ตผสมกัน เช่น 21-25,80,443 • ระบุหมายเลขพอร์ตและโพรโทคอล (TCP หรือ UDP) เช่น T:21-25,80,443,U:53
  • CYBER THREATS 2013 191 ตัวเลือกคำ� สั่งอื่นๆ การกำ� หนดความเร็วในการสแกน เป็นวิธีที่ใช้กำ� หนดความเร็วในการสแกนระบบเป้าหมาย ซึ่งในทางเทคนิคหมายถึงการกำ� หนด ระยะเวลาที่จะส่งแพ็กเก็ตและรอการตอบรับจากระบบเป้าหมาย โดยตัวแปรที่ใช้คือ -T<number> <number> สามารถระบุได้ตั้งแต่ 0 ถึง 5 ยิ่งมีค่ามากก็จะยิ่งทำ� การสแกนได้เร็ว แต่ก็แลกกับ ความถูกต้องแม่นยำ� ของผลลัพธ์ที่ได้ โดยปกติหากไม่ระบุตัวแปรนี้ลงในคำ� สั่งจะมีค่าเท่ากับการใช้ ตัวแปร -T3 สำ� หรับวิธีการใช้ตัวแปรนี้ ให้ระบุควบคู่ไปกับตัวแปรที่ระบุเทคนิคการสแกนและตัวแปรที่ ระบุระบบเป้าหมาย ตัวอย่างเช่น nmap -sS -T4 192.168.1.1 อย่างไรก็ตาม ยังมีอีกหลายตัวแปร สำ� หรับใช้กำ� หนดค่าต่างๆ ที่เกี่ยวกับการรับส่งแพ็ตเก็ตอย่างละเอียด เช่น การกำ� หนด Timeout และ Delay แต่จะขอไม่อธิบายวิธีการใช้ในบทความนี้ ผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากเว็บไซต์ทางการ ของ Nmap ในหัวข้อ Timing and Performance [3] การกำ� หนดรูปแบบของผลลัพธ์ nmap อนุญาตให้ผู้ใช้สามารถเลือกรูปแบบของผลลัพธ์และบันทึกผลลัพธ์ดังกล่าวลงในไฟล์ได้ ใน ปัจจุบันนิยมใช้อยู่ 2 ตัวแปรคือ -oN <output-file>: แสดงผลลัพธ์ในรูปแบบปกติทั่วไป (เป็นค่าตั้งต้น ไม่จำ� เป็นต้องระบุก็ได้) -oX <output-file>: แสดงผลลัพธ์ในรูปของ XML ส่วน <output-file> คือ Path ของไฟล์ที่จะบันทึกผลลัพธ์การสแกนไว้ Runtime Interaction คำ� สั่งในหมวดนี้ใช้สำ� หรับดูรายละเอียดการทำ� งานเบื้องหลัง โดยวิธีการใช้นั้นจะให้ผู้ใช้กดปุ่ม คีย์บอร์ดในขณะที่ Nmap กำ� ลังทำ� การสแกนดังต่อไปนี้ p: เปิดการทำ� งาน Packet tracing v: แสดงสถานะการทำ� งานในแต่ละขั้นตอนให้มากขึ้น d: แสดงการทำ� งานเบื้องหลังที่ละเอียดมากขึ้น ?: แสดงรายละเอียดคำ� สั่งที่สามารถใช้ได้ในโหมดนี้ หากผู้ใช้ต้องการยกเลิกคำ� สั่งใด ให้พิมพ์อักษรตัวพิมพ์ใหญ่ของคำ� สั่งนั้นๆ การใช้งานผ่านโปรแกรม Zenmap สำ� หรับผู้ใช้ในระดับเริ่มต้นที่ไม่ถนัดจะใช้โปรแกรม Nmap ผ่านทาง Command-line สามารถ เลือกใช้โปรแกรม Zenmap ซึ่งเป็น GUI front-end ของโปรแกรม Nmap ที่มาพร้อมกับตัวติดตั้ง
  • 192 บทความเชิงเทคนิค มาตรฐานแทนได้ โดยเมื่อเปิดโปรแกรม Zenmap ขึ้นมาจะพบกับหน้าต่างดังรูปที่ 1 รูปที่ 1 หน้าต่างหลักของโปรแกรม Zenmap หน้าต่างหลักของโปรแกรม Zenmap แบ่งออกเป็น 3 ส่วนดังนี้ 1. ส่วนที่เกี่ยวข้องกับคำ� สั่ง ประกอบด้วย • Target: ระบบเป้าหมายที่จะทำ� การตรวจสอบ ในช่องนี้สามารถระบุเป็น IP address, Hostname หรือ Domain name ก็ได้ • Profile: ลักษณะการสแกนในรูปแบบต่างๆ เช่น Ping scan หรือการสแกนเฉพาะพอร์ต TCP โดยโปรแกรม Zenmap จะมีโปรไฟล์มาให้เลือกใช้อยู่แล้วส่วนหนึ่ง • Command: คำ� สั่งที่จะใช้ในการประมวลผล ซึ่งจะปรากฏหลังจากที่ระบุค่าในช่อง Target และเลือก โปรไฟล์แล้ว ทั้งนี้ผู้ใช้สามารถระบุคำ� สั่งลงในช่องนี้ได้โดยตรง โดยไม่ต้องระบุค่าในช่อง Target และเลือก โปรไฟล์ก็ได้ 2. หน้าต่างสำ� หรับกรองผลการสแกนตามอุปกรณ์หรือบริการที่ตรวจพบ เมื่อเลือกรายการใดๆ ในหน้าต่างนี้จะทำ� ให้หน้าต่างทางด้านขวาแสดงผลลัพธ์ที่สัมพันธ์กับรายการที่เลือกไว้ แบ่งออกเป็น 2 ส่วนย่อยคือ • Hosts: รายการอุปกรณ์ทั้งหมดที่ตรวจพบว่ากำ� ลังทำ� งานอยู่ในระบบเครือข่าย โดยแสดงข้อมูลของ ระบบปฏิบัติการที่ใช้, Hostname (ถ้ามี) และ IP address ของแต่ละเครื่อง • Services: บริการที่ตรวจพบว่ากำ� ลังเปิดใช้งานอยู่บนระบบ หน้าต่างแสดงผลการสแกนระบบเป้าหมาย แบ่งออกเป็น 5 แท็บได้แก่ • Nmap Output: แสดงผลลัพธ์การสแกนที่ได้ทั้งหมด ซึ่งจะมีหน้าตาเหมือนกับผลลัพธ์ที่ได้จากการ เรียกใช้ Nmap ผ่านทาง Command line
  • CYBER THREATS 2013 193 • Ports / Hosts: รายละเอียดของบริการที่เปิดใช้งานอยู่บนระบบเป้าหมาย ประกอบไปด้วยหมายเลข และสถานะของพอร์ต โพรโทคอล ชื่อและเวอร์ชันของบริการ • Topology: รูปแบบโครงสร้างการเชื่อมต่อของอุปกรณ์ที่ตรวจพบภายในเครือข่าย ซึ่งสร้างขึ้นจาก ผลลัพธ์ที่ได้จากการสแกน • Host Details: รายละเอียดของระบบเป้าหมายที่ตรวจพบ เช่น IP address, MAC address และ Hostname • Scans: รายการคำ� สั่งที่เคยเรียกใช้ ในการใช้งานทั่วไปนั้น ผู้ใช้เพียงระบุค่าในช่อง Target จากนั้นเลือกโปรไฟล์แล้วคลิกปุ่ม Scan ก็ถือว่าเป็นอันเสร็จสิ้น แต่ในกรณีที่ผู้ใช้ต้องการสแกนในรูปแบบอื่นๆ นอกเหนือจากโปรไฟล์ที่มีให้เลือก ผู้ใช้สามารถเพิ่มโปรไฟล์ได้เองโดยการเลือกเมนู Profile -> New Profile or Command จะพบ กับหน้าต่าง Profile Editor ดังรูปที่ 2 โดยคำ� สั่งพื้นฐานของ Nmap จะอยู่ในแท็บ Scan และ Ping ผู้ใช้เพียงระบุชื่อโปรไฟล์ในแท็บ Profile จากนั้นเลือกคำ� สั่งที่ต้องการในแท็บอื่นๆ แล้วคลิกปุ่ม Save Changes ก็สามารถนำ� โปรไฟล์ดังกล่าวไปใช้งานได้ รูปที่ 2 หน้าต่าง Profile Editor
  • 194 บทความเชิงเทคนิค เมื่อทำ� การสแกนเสร็จแล้ว ผู้ใช้สามารถบันทึกผลลัพธ์ของการสแกนได้โดยเลือกเมนู Scan -> Save Scan สรุป nmap เป็นโปรแกรมที่ใช้ในการตรวจสอบระบบในเครือข่ายอย่างมีประสิทธิภาพ อย่างไรก็ตาม คงเป็นการยากที่จะอธิบายวิธีการใช้งานทุกคำ� สั่งที่มี เนื่องจากมีตัวเลือกให้ใช้เป็นจำ� นวนมาก และบาง คำ� สั่งก็มีรายละเอียดการทำ� งานที่ซับซ้อน ดังนั้นผู้ใช้ควรศึกษาและทดลองการใช้งานแต่ละคำ� สั่งด้วย ตัวเอง โดยส่วนตัวนั้น ผู้เขียนแนะนำ� ให้ผู้ใช้ในระดับเริ่มต้นทดลองใช้ผ่านโปรแกรม Zenmap ก่อนที่ จะเปลี่ยนไปใช้ผ่านทาง Command-line เมื่อมีความชำ� นาญแล้ว เพราะนอกจากการใช้งานผ่านทาง GUI ที่ง่ายกว่า ผู้ใช้ยังสามารถเห็นฟังก์ชันการทำ� งานในส่วนต่างๆ ทำ� ให้รู้และเข้าใจความสามารถของ Nmap ในภาพรวมได้ดียิ่งขึ้น อ้างอิง 1. http://nmap.org/download.html 2. http://nmap.org/book/inst-linux.html 3. http://nmap.org/book/man-performance.html
  • CYBER THREATS 2013 195
  • 196 บทความเชิงเทคนิค DDOS: DNS AMPLIFICATION ATTACK ผู้เขียน : ธงชัย ศิลปวรางกูร วันที่เผยแพร่ : 6 เมษายน 2556 ปรับปรุงล่าสุด : 17 เมษายน 2556 ตั้งแต่ช่วงกลางเดือนมีนาคม 2556 ที่ผ่านมา มีรายงานข่าวใหญ่เกี่ยวกับระบบของหน่วยงาน Spamhaus Project ซึ่งเป็นหน่วยงานไม่แสวงหากำ� ไร ที่มีภารกิจหลักในการจัดการปัญหาข้อมูลไม่ พึงประสงค์บนอินเทอร์เน็ต โดยที่ระบบของ Spamhaus นั้นถูกโจมตีในรูปแบบ Distributed Denial-of-Service (DDoS) เป็นระยะๆ ส่งผลให้เว็บไซต์ spamhaus.org และบริการอีเมลของ Spamhaus ไม่สามารถใช้งานได้ชั่วขณะ จนถึงปัจจุบันยังไม่มีกลุ่มบุคคลใดออกมาประกาศว่าเป็น ผู้อยู่เบื้องหลังการโจมตีในครั้งนี้ แต่มีการสันนิษฐานว่าเหตุการณ์ดังกล่าวอาจมีจุดเริ่มต้นมาจาก เหตุขัดแย้งระหว่าง Spamhaus และ Cyberbunker ซึ่งเป็นผู้ให้บริการ Hosting ในประเทศ เนเธอร์แลนด์ เมื่อ Spamhaus ทำ� การบล็อก IP address ของเซิร์ฟเวอร์ที่อยู่ภายใต้การดูแลของ Cyberbunker เนื่องจากสงสัยว่าเซิร์ฟเวอร์เหล่านั้นเป็นฐานในการส่งสแปม ทำ� ให้เกิดการตอบโต้ การกระทำ� ดังกล่าว [1] เบื้องหลังของการโจมตี สิ่งที่น่าสนใจเกี่ยวกับเหตุการณ์นี้ นอกจากจะเป็นหนึ่งในการโจมตีประเภท DDoS ที่รุนแรงที่สุด เท่าที่มีการค้นพบมาแล้ว ประเด็นเกี่ยวกับเทคนิคที่ใช้ในการโจมตีก็เป็นอีกสิ่งหนึ่งที่ควรนำ� มาเป็นกรณี ศึกษา โดยพบว่าผู้ที่ทำ� การโจมตีในครั้งนี้ ใช้เทคนิคที่เรียกว่า DNS amplification attack (มีอีก ชื่อหนึ่งว่า DNS reflection attack) ดังรูปที่ 1 ซึ่งเป็นวิธีการส่ง DNS request ไปยัง DNS resolver ที่ต่างๆ โดยปลอมแปลง IP address ต้นทางในแพ็กเก็ตเป็น IP address ของระบบ เป้าหมาย ทำ� ให้ DNS response ที่ตอบกลับมาจาก DNS resolver ถูกส่งไปยังระบบเป้าหมาย แทนที่จะเป็นผู้โจมตี ยิ่งมีการส่ง DNS request ในทำ� นองนี้เป็นจำ� นวนมากเท่าใด ก็จะมี DNS response ตอบกลับไปยังระบบเป้าหมายมากยิ่งขึ้น จนกระทั่งถึงจุดหนึ่งที่ทำ� ให้ Network bandwidth ของระบบเป้าหมายมีไม่เพียงพอต่อปริมาณข้อมูลจำ� นวนมากที่ได้รับ ส่งผลให้ระบบ เป้าหมายไม่สามารถให้บริการกับผู้ใช้รายอื่นๆ ได้
  • CYBER THREATS 2013 197 รูปที่ 1 รูปแบบโดยทั่วไปของการโจมตีด้วยเทคนิค DNS amplification attack สาเหตุสำ� คัญที่ทำ� ให้การโจมตีด้วยเทคนิคนี้มีประสิทธิภาพคือ ขนาดของ Response ที่มักใหญ่ กว่า Request มาก โดย Request ที่ส่งไปยัง DNS resolver นั้น ถึงแม้ว่าจะมีขนาดข้อมูลโดย ทั่วไปที่เล็กมากเพียงไม่กี่สิบไบต์ แต่ Response ที่ตอบกลับมาอาจมีขนาดใหญ่กว่า Request ที่ส่ง ไปถึงหลายสิบเท่าได้ ดังนั้นผู้โจมตีจึงไม่จำ� เป็นต้องมี Botnet [2] ขนาดใหญ่ไว้ในครอบครองเพื่อใช้สั่ง การโจมตีระบบเป้าหมายพร้อมๆ กัน ก็สามารถทำ� ให้การโจมตีนั้นมีความรุนแรงอย่างมากได้ อย่างไร ก็ตาม ต้นตอของปัญหาที่แท้จริงที่เอื้ออำ� นวยให้ผู้ไม่หวังดีสามารถใช้เทคนิคการโจมตีแบบ DNS amplification attack ได้ผลเป็นอย่างดีจนเป็นที่นิยมในปัจจุบันนั้นคือ Open DNS resolver ซึ่งหมายถึงเซิร์ฟเวอร์หรืออุปกรณ์เครือข่ายใดๆ ก็ตามที่เปิดให้บริการ DNS และมีการตั้งค่าอย่างไม่ เหมาะสม โดยอนุญาตให้ผู้บุคคลทั่วไปสามารถใช้บริการได้ แทนที่จะจำ� กัดการใช้งานให้เฉพาะกับผู้ที่ได้ รับอนุญาต ผู้ไม่หวังดีจึงสามารถค้นหา Open DNS resolver ที่มีอยู่ทั่วไปในอินเทอร์เน็ต และใช้ ประโยชน์จากมันในการโจมตีระบบอื่นๆ ด้วยเทคนิคดังกล่าวได้อย่างง่ายดาย
  • 198 บทความเชิงเทคนิค รูปที่ 2 จำ� นวน IP address ที่ไม่ซË้ำของ Open DNS resolver ที่ไทยเซิร์ตได้รับรายงานในแต่ละ เดือน ระหว่างเดือน ก.ย. 2555 ถึงเดือน มี.ค. 2556 จากข้อมูลที่ไทยเซิร์ตได้รับรายงานจากหน่วยงานต่างประเทศตั้งแต่เดือนกันยายน 2555 จนถึง เดือนมีนาคม 2556 พบว่ามีจำ� นวน IP address ของ Open DNS resolver ที่อยู่ใน ประเทศไทยเฉลี่ยประมาณวันละ 1,000 หมายเลข และมีจำ� นวน IP address ที่ไม่ซË้ำรวมกันสูงถึง หลักหมื่นต่อเดือนดังรูปที่ 2 ส่วนรายงานผลการสำ� รวจของเว็บไซต์ dns.measurement-factory. com เมื่อวันที่ 16 เมษายน 2556 [3] พบว่า จำ� นวน Open DNS resolver ที่อยู่ ภายใต้การดูแลของหน่วยงานในประเทศไทยมีจำ� นวน 947 หมายเลขจาก 59 หน่วยงานซึ่งประกอบ ไปด้วยผู้ให้บริการอินเทอร์เน็ต หน่วยงานภาครัฐและเอกชน และสถาบันการศึกษา ในขณะที่ CloudFlare ผู้ที่ให้บริการ Content Delivery Network (CDN) กับ Spamhaus ได้ตรวจสอบการ โจมตีที่เกิดขึ้นกับ Spamhaus และพบว่า Open DNS resolver ในประเทศไทยที่ถูกใช้เป็นฐาน ในการโจมตีระบบของ Spamhaus มีจำ� นวนทั้งสิ้นถึง 898 หมายเลข [4] ทำ� ให้สามารถสันนิษฐาน ในเบื้องต้นได้ว่า Open DNS resolver ส่วนใหญ่ในประเทศไทยนั้นถูกผู้ไม่หวังดีนำ� ไปใช้เป็นเครื่องมือ ในการโจมตีผู้อื่นแล้ว ดังนั้นปัญหาที่เกิดจากการตั้งค่าบริการ DNS ที่ไม่เหมาะสมนั้น ถือเป็น เรื่องสำ� คัญที่ควรดำ� เนินการแก้ไขอย่างเร่งด่วน การตรวจสอบหา Open DNS resolver วิธีการตรวจสอบเบื้องต้นว่ามีอุปกรณ์ในเครือข่ายของตนที่เป็น Open DNS resolver หรือไม่ สามารถตรวจสอบได้จากหลากหลายเว็บไซต์ดังนี้ 1. ตรวจสอบจากเว็บไซต์ openresolverproject.org [5]
  • CYBER THREATS 2013 199 สามารถตรวจสอบได้โดยการระบุ IP subnet ที่ต้องการตรวจสอบในหน้าเว็บหลัก หากมี IP address ใดที่มีการพิจารณาว่าเป็นหมายเลขของอุปกรณ์ที่มีลักษณะเป็น Open DNS resolver หมายเลขดังกล่าวก็จะปรากฏอยู่ในตารางผลลัพธ์ดังรูปที่ 3 รูปที่ 3 ผลลัพธ์ที่ได้จากการค้นหา Open DNS resolver จาก IP subnet ที่ระบุ 2. ตรวจสอบจากเว็บไซต์ dns.measurement-factory.com [6] [7] เว็บไซต์ dns.measurement-factory.com นอกจากจะมีรายงานผลการสำ� รวจของ Open DNS resolver แล้ว ยังเปิดบริการให้กับบุคคลทั่วไปสามารถตรวจสอบหา Open DNS resolver ได้อีกหลายช่องทาง โดยช่องทางแรกของเว็บไซต์นี้เป็นการตรวจสอบหาว่า IP address ใดบ้างที่ถูก พิจารณาว่าเป็น Open DNS resolver [6] เริ่มจากการระบุ IP address หรือ IP subnet ที่ ต้องการตรวจสอบ จากนั้นเว็บไซต์จะขึ้นรายการอีเมลที่ต้องการรับผลการตรวจสอบ ซึ่งอีเมลเหล่านี้ จะได้มาจากข้อมูลที่ระบุไว้ใน Whois record ของ IP address หรือ IP subnet ที่ทำ� การ ตรวจสอบ เมื่อเลือกอีเมลที่ต้องการแล้วจะพบกับหน้าต่างยืนยันการส่งผลการตรวจสอบ ดังรูปที่ 4
  • 200 บทความเชิงเทคนิค รูปที่ 4 หน้าต่างยืนยันการส่งผลการตรวจสอบไปยังอีเมลที่เลือกไว้ อีกช่องทางหนึ่งของเว็บไซต์ dns.measurement-factory.com เป็นการตรวจสอบหา Open DNS resolver จากรายการของ IP address [7] โดยหลังจากที่ระบุรายการของ IP address ที่ต้องการตรวจสอบแล้ว จะได้ผลลัพธ์แสดงทางหน้าเว็บไซต์ หากผลลัพธ์ในคอลัมน์ Status เป็น open แสดงว่าเครื่องที่มี IP address ดังกล่าวเข้าข่ายที่จะเป็น Open DNS resolver ดังรูปที่ 5 รูปที่ 5 หน้าต่างแสดงผลลัพธ์ของการตรวจสอบบนเว็บไซต์
  • CYBER THREATS 2013 201 3. ตรวจสอบจากเว็บไซต์ dnsinspect.com [8] เป็นเว็บไซต์หนึ่งที่ใช้สำ� หรับตรวจสอบการทำ� งานของ DNS server อย่างละเอียด โดยเมื่อระบุ โดเมนเนมผ่านทางหน้าเว็บหลักแล้ว เว็บไซต์ดังกล่าวจะประมวลผลและจัดทำ� รายงานแสดงผลการ ตรวจสอบในแต่ละส่วน ซึ่งรวมถึงส่วนที่ตรวจสอบว่า DNS server อนุญาตให้ทำ� การ Query แบบ Recursive ได้หรือไม่ดังรูปที่ 6 รูปที่ 6 ส่วนหนึ่งของรายงานผลการตรวจสอบที่ได้จากเว็บไซต์ dnsinspect.com นอกจากการตรวจสอบด้วยตนเองจากเว็บไซต์ต่างๆ แล้ว Team Cymru ซึ่งเป็นหน่วยงานวิจัย ทางด้าน Information security ยังเปิดบริการให้กับผู้ดูแลระบบสามารถขอรับรายงานประจำ� วัน ของ Open DNS resolver ที่อยู่ภายในเครือข่ายของตนได้อีกด้วย [9] การแก้ไขการตั้งค่าของ DNS server สำ� หรับวิธีแก้ไขการตั้งค่า DNS server เพื่อป้องกันไม่ให้ถูกนำ� ไปใช้ในทางที่ไม่ดี และบรรเทา ความเสียหายที่เกิดจากการโจมตีในเบื้องต้นนั้น มีอยู่ด้วยกันหลายแนวทางดังที่จะกล่าวต่อไปนี้ BIND เวอร์ชัน 9 ขึ้นไป ในกรณีของ DNS server ที่ตั้งอยู่ในระบบขององค์กรที่ทำ� หน้าที่เป็น Caching name server ให้จำ� กัดการอนุญาตการทำ� Recursion เฉพาะ Request ที่ส่งมาจากกลุ่มผู้ใช้ในระบบ เครือข่ายเดียวกัน โดยมีตัวอย่างการตั้งค่าดังรูปที่ 7
  • 202 บทความเชิงเทคนิค รูปที่ 7 ตัวอย่างการตั้งค่าเพื่อจำ� กัดการอนุญาตการทำ� Recursion ในโปรแกรม BIND จากรูปที่ 7 ในส่วนของ acl จะมีการสร้างรายการที่ชื่อว่า trustednet ซึ่งประกอบไปด้วย IP subnet ของเครือข่ายภายใน (ในที่นี้คือ 10.10.1.0/24 และ 10.10.2.0/24) และในของ view เป็นการเพิ่มเงื่อนไขให้ IP subnet ในรายการดังกล่าวสามารถทำ� Recursion ได้ ส่วน IP address หรือ IP subnet อื่นๆ นอกเหนือจากที่ระบุไว้จะไม่สามารถทำ� การ Query ใดๆ ได้ดังที่ ระบุในส่วนของ options สำ� หรับการตั้งค่าจริงนั้น ผู้ดูแลระบบสามารถเพิ่มการตั้งค่าลงในไฟล์ named.conf โดยใช้ตัวอย่างจากรูปที่ 7 ได้เลย เพียงแค่เปลี่ยนค่าในส่วนของ acl ให้เป็น IP address, IP subnet หรือชื่อของ acl รายการอื่นที่เป็นของระบบเครือข่ายภายในเท่านั้น สำ� หรับกรณีที่ DNS server ทำ� หน้าที่เป็น Authoritative name server ให้เพิ่มการตั้งค่า ในไฟล์ named.conf เพื่อปิดการทำ� งาน Recursion ดังรูปที่ 8 รูปที่ 8 ตัวอย่างการตั้งค่าเพื่อปิดการทำ� งาน Recursion ในโปรแกรม BIND
  • CYBER THREATS 2013 203 ทั้งนี้ผู้อ่านสามารถศึกษารายละเอียดเพิ่มเติมเกี่ยวกับแนวทางการตั้งค่า ในโปรแกรม BIND ให้มี ความมั่นคงปลอดภัยได้จากเอกสารของ Team Cymru [10] Windows Server 2003 ขึ้นไป ในการตั้งค่าเพื่อปิดการทำ� งาน Recursion ผ่านทาง GUI นั้น มีขั้นตอนดังต่อไปนี้ 1. เปิดโปรแกรม DNS Manager โดยไปที่ Start > All Programs > Administrative Tools > DNS 2. คลิกขวาบนเซิร์ฟเวอร์ที่ต้องการแล้วเลือก Properties 3. ในหน้าต่างใหม่ เลือกแท็บ Advanced แล้วติ๊กเครื่องหมายถูกที่รายการ Disable recursion (also disables forwarders) แล้วคลิก Apply ดังรูปที่ 9 รูปที่ 9 ตัวอย่างการตั้งค่าเพื่อปิดการทำ� งาน Recursion บน Windows Server สำ� หรับการตั้งค่าเพื่อปิดการทำ� งาน Recursion ผ่านทาง Command-line สามารถทำ� ได้ผ่าน โปรแกรม Command Prompt โดยใช้คำ� สั่ง dnscmd ดังรูปแบบต่อไปนี้ dnscmd <ip-address>|<hostname> /Config /NoRecursion {0|1}
  • 204 บทความเชิงเทคนิค โดย Parameter ตัวแรกหลังจากคำ� สั่ง dnscmd ให้ระบุ IP address หรือ Hostname ของ DNS server ส่วน Parameter ตัวสุดท้ายให้ระบุเป็นเลข 0 หรือ 1 โดยเลข 0 หมายถึงเปิด การทำ� งาน Recursion ส่วนเลข 1 หมายถึงปิดการทำ� งาน Recursion เมื่อใช้คำ� สั่งดังกล่าวจะได้ ผลลัพธ์ดังรูปที่ 10 รูปที่ 10 ตัวอย่างผลลัพธ์ที่ได้จากการใช้คำ� สั่ง dnscmd นอกจากการตั้งค่าเพื่อปิดหรือจำ� กัดการทำ� งาน Recursion แล้ว ผู้ดูแลระบบยังสามารถทำ� การ ตั้งค่า DNS Response Rate Limiting (RRL) ซึ่งเป็นความสามารถที่อนุญาตให้ผู้ดูแลระบบ สามารถกำ� หนดจำ� นวนครั้งที่ DNS server สามารถตอบผลลัพธ์ที่เหมือนกันกลับไปยังผู้ร้องขอ รายหนึ่งๆ ได้มากที่สุดในแต่ละวินาที ทำ� ให้ช่วยลดปริมาณข้อมูลที่ DNS server ตอบกลับไปยัง ผู้ร้องขอได้ในระดับหนึ่ง ซึ่งหมายถึงการช่วยลดผลกระทบที่เกิดจากการนำ� DNS server ไปใช้ใน การโจมตีด้วยเทคนิค DNS amplification attack ดังที่อธิบายไว้ในตอนแรก ทั้งนี้ผู้ที่ต้องการ กำ� หนดค่าดังกล่าวกับ DNS server ที่ตนเองดูแลอยู่นั้น ควรมีความรู้ความเข้าใจ รวมถึงสามารถ ตรวจสอบและแก้ไขการทำ� งานของโปรแกรมที่ทำ� หน้าที่ให้บริการ DNS ได้เป็นอย่างดี เนื่องจากการใช้ ความสามารถนี้ มีความจำ� เป็นที่จะต้องอัพเกรดเวอร์ชันหรือติดตั้งแพทช์ของโปรแกรม ซึ่งอาจส่ง ผลกระทบต่อการทำ� งานของระบบได้ในกรณีที่ติดตั้งไม่ถูกวิธี ปัจจุบันความสามารถดังกล่าวเริ่มมีให้ เลือกใช้ในหลายโปรแกรมแล้ว ไม่ว่าจะเป็น BIND, Knot DNS หรือ NSD และกำ� ลังอยู่ในขั้นตอนการ พัฒนาเพื่อรองรับโปรแกรมตัวอื่นๆ เช่นกัน ผู้ที่สนใจสามารถศึกษาวิธีการติดตั้งและตั้งค่า Rate limiting ได้จากเว็บไซต์ Red Barn [11]
  • CYBER THREATS 2013 205 อ้างอิง 1. http://nakedsecurity.sophos.com/2013/03/28/massive-ddos-attack-against-anti-spam- provider-impacts-millions-of-internet-users 2. http://www.etda.or.th/etda_website/files/1/files/Malware.pdf 3. http://dns.measurement-factory.com/surveys/openresolvers/ASN-reports/20130416. html 4. http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack 5. http://openresolverproject.org 6. http://dns.measurement-factory.com/cgi-bin/openresolverquery.pl 7. http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl 8. http://www.dnsinspect.com 9. http://www.team-cymru.org/Services/Resolvers 10. http://www.cymru.com/Documents/secure-bind-template.html 11. http://www.redbarn.org/dns/ratelimits
  • 206 บทความเชิงเทคนิค NMAP SCRIPTING ENGINE ผู้เขียน : ธงชัย ศิลปวรางกูร วันที่เผยแพร่ : 11 เมษายน 2556 ปรับปรุงล่าสุด : 11 เมษายน 2556 สำ� หรับท่านที่เคยศึกษา หรือมีประสบการณ์ในการทำ� งานด้านการดูแลระบบสารสนเทศมาก่อน อาจรู้จักหรือคุ้นเคยกับโปรแกรมที่ชื่อว่า Nmap เนื่องจากเป็นเครื่องมือที่สามารถใช้ตรวจสอบข้อมูล เบื้องต้นของระบบได้เป็นอย่างดี มีฟังก์ชันการใช้งานให้เลือกที่หลากหลาย และที่สำ� คัญคือสามารถใช้ งานได้ฟรี อย่างไรก็ตาม ความสามารถของ Nmap ไม่ได้จำ� กัดอยู่เพียงแค่การใช้งานโดยทั่วไป เช่น การ สแกนระบบเป้าหมายเพื่อค้นหา Service และหมายเลขพอร์ตที่เปิดใช้งาน หรือรายละเอียดของระบบ ปฏิบัติการที่ทำ� งานบนระบบดังกล่าวเท่านั้น แต่เรายังสามารถใช้ Nmap ในการทดสอบความมั่นคง ปลอดภัยของระบบ และสืบหาข้อมูลในมุมมองอื่นๆ ได้อีกด้วย โดยใช้ความสามารถที่เรียกว่า Nmap Scripting Engine ข้อมูลเบื้องต้นเกี่ยวกับ Nmap Scripting Engine Nmap Scripting Engine (NSE) เป็นความสามารถที่มีมาพร้อมกับ Nmap อย่างเป็น ทางการตั้งแต่เวอร์ชัน 4.50 ซึ่งเผยแพร่เมื่อปี 2007 [1] โดยมีจุดเด่นอยู่ที่ความสามารถในการเรียก ใช้สคริปต์ที่มีชื่อว่า NSE script ซึ่งผู้ใช้สามารถเขียนสคริปต์ดังกล่าวขึ้นมาใช้งานได้เอง ทำ� ให้ความ สามารถในการทำ� งานของ Nmap นั้นขยายขอบเขตออกไปขึ้นอยู่กับฟังก์ชันการทำ� งานของสคริปต์ที่ มีการเรียกใช้ในปัจจุบัน (ณ วันที่เผยแพร่บทความ) สคริปต์นั้นแบ่งออกเป็นหมวดย่อยต่างๆ ดังนี้ • auth: สคริปต์ที่เกี่ยวข้องกับการยืนยันตัวบุคคลเพื่อเข้าใช้งานระบบ เช่น การทดสอบเข้า ใช้งานระบบโดยใช้ชื่อบัญชีผู้ใช้และรหัสผ่านที่เป็นค่าเริ่มต้น • broadcast: สคริปต์ที่ใช้ในการค้นหาอุปกรณ์หรือเครื่องแม่ข่ายที่ทำ� งานอยู่บนระบบ เครือข่ายประเภทต่างๆ • brute: สคริปต์ที่ใช้ในการเดาสุ่มรหัสผ่านของ Service ต่างๆ • default: สคริปต์ที่ใช้ในการสืบหาข้อมูลพื้นฐานของระบบ • discovery: สคริปต์ที่ใช้ในการค้นหาข้อมูลเชิงลึกของระบบเป้าหมาย • dos: สคริปต์ที่ใช้ทดสอบการโจมตีระบบด้วยวิธี Denial-of-Service • exploit: สคริปต์ที่ใช้ทดสอบการเจาะระบบผ่านทางช่องโหว่ของ Service ต่างๆ • external: สคริปต์ที่ใช้ในการค้นหาข้อมูลเพิ่มเติมจากบริการภายนอก เช่น WHOIS • fuzzer: สคริปต์ที่ใช้ในการทำ� Fuzzing ซึ่งเป็นเทคนิคการตรวจสอบซอฟต์แวร์ด้วย การป้อนข้อมูลสุ่มในรูปแบบที่คาดว่าจะทำ� ให้เกิดการทำ� งานที่ผิดพลาด
  • CYBER THREATS 2013 207 • intrusive: สคริปต์ที่เกี่ยวข้องกับการทดสอบโจมตีระบบเป็นหลัก ส่วนใหญ่เป็นสคริปต์ ที่อยู่ในหมวด brute, exploit และ dos • malware: สคริปต์ที่ใช้ตรวจสอบระบบว่ากำ� ลังติดมัลแวร์ หรือมีช่องโหว่ที่อาจถูกโจมตี โดยมัลแวร์หรือไม่ • safe: สคริปต์ที่ใช้ในการค้นหาข้อมูลต่างๆ โดยการทำ� งานของสคริปต์ที่อยู่ในหมวดนี้ ไม่มี ความเสี่ยงที่จะทำ� ให้เกิดผลกระทบต่อการทำ� งานของระบบ • version: สคริปต์ที่ใช้ในการค้นหารายละเอียดของ Service ที่ทำ� งานอยู่บนระบบ เป้าหมาย • vuln: สคริปต์ที่ใช้ตรวจสอบหาช่องโหว่ของ Service ที่ทำ� งานอยู่บนระบบเป้าหมาย การเรียกใช้ NSE Script การใช้โดยระบุหมวดหมู่ของสคริปต์ วิธีนี้เป็นการเรียกใช้สคริปต์ทั้งหมดที่อยู่ในหมวดที่ระบุไว้ โดยมีรูปแบบคำ� สั่งการใช้งาน โดยทั่วไปดังนี้ nmap --script <category-name> <target> ซึ่งการเรียกใช้คำ� สั่งนั้นสามารถทำ� ได้ผ่านทางโปรแกรม Command Prompt บน Windows หรือ Terminal บน Linux และ Mac OS X รูปที่ 1 ตัวอย่างการใช้คำ� สั่งโดยระบุชื่อหมวดหมู่ของสคริปต์ และผลลัพธ์ส่วนหนึ่งที่ได้
  • 208 บทความเชิงเทคนิค จากรูปที่ 1 เป็นการใช้คำ� สั่ง nmap --script auth 192.168.1.2 ซึ่งจะไปเรียกใช้สคริปต์ที่อยู่ ในหมวด auth เพื่อทำ� การตรวจสอบว่า ระบบเป้าหมายที่มี IP address เป็น 192.168.1.2 นั้นมี ข้อมูลใดๆก็ตามที่เกี่ยวข้องกับกระบวนการยืนยันตัวบุคคลหรือไม่ จากส่วนหนึ่งของผลลัพธ์ที่ได้จะ พบว่า บริการ FTP ของระบบดังกล่าวมีการตั้งค่าอนุญาตให้บุคคลใดๆสามารถเข้าใช้งานระบบ FTP ก็ได้ (Anonymous FTP) ทั้งนี้ในการใช้งาน Nmap โดยทั่วไปที่มีการระบุตัวแปร -sC, -sV หรือ -A อยู่ในคำ� สั่ง ก็จะมี การเรียกใช้สคริปต์จากทั้งหมวดหมู่โดยอัตโนมัติอยู่แล้ว โดยตัวแปร -sC จะกำ� หนดให้เรียกใช้สคริปต์ ที่อยู่ในหมวด default ส่วนตัวแปร -sV จะกำ� หนดให้เรียกใช้สคริปต์ที่อยู่ในหมวด version และ ตัวแปร -A จะกำ� หนดให้เรียกใช้สคริปต์ที่อยู่ในหมวด default และ version รวมถึงการตรวจ สอบระบบปฏิบัติการและการทำ� Traceroute ข้อดีของการเรียกใช้สคริปต์ทั้งหมดที่อยู่ในหมวดๆหนึ่งคือการที่ได้ผลลัพธ์จากทุกๆสคริปต์ที่ ทำ� งานเพื่อจุดประสงค์เดียวกันในคราวเดียว เช่น หากต้องการตรวจสอบหาช่องโหว่ของ Service ต่างๆ ที่ทำ� งานอยู่บนระบบ เพียงแค่ระบุชื่อหมวดเป็น vuln ก็จะได้ผลลัพธ์จากการตรวจสอบ Service ทุกประเภทเท่าที่สคริปต์ทั้งหมดในหมวดดังกล่าวจะรองรับ แต่การใช้งานที่ง่ายก็แลกกับ เวลาที่ใช้ในการประมวลค่อนข้างนาน เนื่องจากเป็นการเรียกใช้สคริปต์จำ� นวนมากในครั้งเดียว ดังนั้น ผู้ที่ต้องการสืบหาข้อมูลหรือตรวจสอบส่วนใดส่วนหนึ่งของระบบโดยเฉพาะ การเรียกใช้สคริปต์เป็น รายตัวจะเป็นวิธีที่เหมาะสมกว่า การใช้โดยระบุชื่อของสคริปต์ ในกรณีที่ต้องการเรียกใช้สคริปต์ตัวใดตัวหนึ่ง สามารถทำ� ได้โดยมีรูปแบบคำ� สั่งโดยทั่วไปดังนี้ nmap --script <script-name>|<script-path> <target>
  • CYBER THREATS 2013 209 รูปที่ 2 ตัวอย่างการใช้คำ� สั่งโดยระบุชื่อของสคริปต์ และผลลัพธ์ส่วนหนึ่งที่ได้ จากรูปที่ 2 เป็นการเรียกใช้คำ� สั่ง nmap --script mysql-info 192.168.1.2 ซึ่งจะไปเรียก ใช้สคริปต์ที่มีชื่อว่า mysql-info เพื่อสืบหารายละเอียดของ MySQL บนระบบเป้าหมายที่มี IP address เป็น 192.168.1.2 ผลลัพธ์ที่ได้คือเวอร์ชันของ MySQL (5.0.51a-3ubuntu5) และราย ละเอียดปลีกย่อยอื่นๆ ในกรณีนี้สคริปต์ที่ถูกเรียกใช้นั้นอยู่ใน Directory ที่ถูกสร้างขึ้นตั้งแต่ตอนติด ตั้งโปรแกรม Nmap อยู่แล้ว (ซึ่งก็คือ C:Program FilesNmapscripts สำ� หรับ Windows และ /usr/share/nmap/scripts หรือ /usr/local/share/nmap/scripts สำ� หรับ Linux ตามที่ได้กล่าวไว้ในตอนต้น) แต่ถ้าต้องการเรียกใช้สคริปต์ที่อยู่ภายนอก Directory ดังกล่าว ในคำ� สั่ง จะต้องระบุ Absolute path ของไฟล์สคริปต์นั้นๆ เช่น หากไฟล์ mysql-info.nse อยู่ใน / home/user/Desktop คำ� สั่งที่ใช้ก็จะเปลี่ยนเป็น nmap --script /home/user/Desktop/ mysql-info.nse 192.168.1.2
  • 210 บทความเชิงเทคนิค การระบุ Argument ของสคริปต์ NSE script แต่ละตัวนั้นสามารถรับค่า Argument เพื่อนำ� ไปใช้เป็นเงื่อนไขในการประมวลผลได้ ซึ่งรูปแบบคำ� สั่งโดยทั่วไปที่ใช้ในการระบุ Argument คือ nmap --script <script-name> --script-args <arg1>=<val1>[,<arg2>=<val2>,...] <target> ในคำ� สั่งส่วนที่เป็นการระบุ Argument นั้น ผู้ใช้สามารถระบุเพียง Argument ตัวเดียวหรือ หลายตัวก็ได้ หากระบุ Argument หลายตัวจะต้องคั่นด้วยเครื่องหมาย Comma และหากค่าของ Argument มีช่องว่างให้ครอบด้วยเครื่องหมาย Double quote ตัวอย่างของคำ� สั่งที่มีการระบุ Argument เช่น nmap --script http-enum --script-args http-enum.category=general http. useragent=”Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)” 192.168.1.2 จากตัวอย่างข้างบนเป็นการเรียกใช้สคริปต์ที่ชื่อ http-enum ซึ่งใช้สำ� หรับสแกนหาชื่อ Directory ที่นิยมใช้กันใน Web application ต่างๆ โดยระบุค่าของ Argument ที่ชื่อ http-enum. category เป็น general ซึ่งจะทำ� การค้นหาเฉพาะชื่อ Directory ทั่วไป และ http. useragent เป็น HTTP user agent ที่แสดงตัวเป็นผู้ใช้เว็บเบราว์เซอร์ Internet Explorer 10 บน Windows 7 ข้อดีของ Nmap ของการเรียกใช้สคริปต์โดยระบุ Argument คือ ผู้ใช้ไม่จำ� เป็นที่จะต้องระบุ Argument ให้ตรงกับ Argument ที่สคริปต์รองรับ แต่ Nmap จะเป็นตัวจัดการเองว่าสคริปต์ นั้นๆ รองรับ Argument ที่ระบุไว้ได้หรือไม่ ซึ่งหากไม่รองรับก็ไม่ได้มีผลกระทบต่อการเรียกใช้ สคริปต์ดังกล่าวแต่อย่างใด และข้อดีอีกประการหนึ่งก็คือ Argument บางตัวสามารถใช้กับสคริปต์ ได้หลายตัว ทำ� ให้เวลาที่จะเรียกใช้สคริปต์ครั้งละหลายๆ ตัวที่เกี่ยวข้องกับโพรโทคอลหรือ Service เดียวกัน สามารถใช้ Argument ร่วมกันได้ เช่น http.useragent ที่ใช้ในตัวอย่างคำ� สั่งข้างต้น สามารถใช้ร่วมกับสคริปต์อื่นๆ ที่มีชื่อขึ้นต้นด้วย http ได้ทั้งหมด ไม่ว่าจะเป็น http-auth, http-headers หรือ http-php-version เป็นต้น ผู้ใช้สามารถศึกษาข้อมูลเพิ่มเติมเกี่ยวกับสคริปต์แต่ละตัวได้จาก NSEDoc Reference Portal [2] ซึ่งจะมีรายละเอียดเกี่ยวกับ Argument ที่สคริปต์แต่ละตัวรองรับ หรือในกรณีที่ผู้ใช้ ใช้งาน Zenmap ซึ่งเป็นโปรแกรม Nmap เวอร์ชันที่มี GUI ก็สามารถเรียกดูข้อมูลดังกล่าวทางอ้อม ได้จากตัวโปรแกรมเองเช่นกัน โดยเริ่มจากเปิดโปรแกรม Zenmap แล้วเลือกเมนู Profile จากนั้น เลือกเมนู New Profile or Command หรือ Edit Selected Profile จะพบกับหน้าต่าง Profile Editor ให้เลือกแท็บ Scripting ก็จะพบกับรายการสคริปต์ทั้งหมด และรายละเอียด การใช้งานของสคริปต์แต่ละตัวดังรูปที่ 3 ซึ่งจากหน้าต่างนี้ ผู้ใช้สามารถเลือกคำ� สั่งและกำ� หนดค่า Argument ต่างๆ แล้วบันทึกเก็บไว้เป็น Profile เพื่อที่จะสามารถเรียกใช้คำ� สั่งดังกล่าวได้ในภายหลัง
  • CYBER THREATS 2013 211 รูปที่ 3 หน้าต่าง Profile Editor ในโปรแกรม Zenmap คำ� สั่งอื่นๆ การเรียกดูคำ� อธิบายการใช้งานของสคริปต์ ผู้ใช้สามารถเรียกดูคำ� อธิบายการใช้งานสคริปต์เบื้องต้นได้ โดยใช้คำ� สั่งดังนี้ nmap --script-help <script-name> การตรวจสอบการทำ� งานของสคริปต์ ในกรณีเกิดปัญหาระหว่างการเรียกใช้สคริปต์ ผู้ใช้สามารถเปิดการทำ� งานในโหมด Debug เพื่อ ตรวจสอบการทำ� งานเบื้องหลังของสคริปต์ได้ โดยระบุตัวแปร -d (หรือ -dd หากต้องการดู รายละเอียดการทำ� งานมากยิ่งขึ้น) ลงในคำ� สั่ง ตัวอย่างเช่น nmap --script http-headers -d 192.168.1.2
  • 212 บทความเชิงเทคนิค รูปที่ 4 ผลลัพธ์ส่วนหนึ่งที่ได้จากการทำ� งานในโหมด Debug การอัพเดตฐานข้อมูลของสคริปต์ ในกรณีที่ต้องการเรียกใช้สคริปต์โดยระบุเป็นหมวดหมู่ แต่เคยมีการเพิ่มหรือลบสคริปต์ออกจาก หมวด default หรือมีการเปลี่ยนหมวดหมู่ของสคริปต์ใดๆ มาก่อน ควรทำ� การอัพเดตฐานข้อมูล ของสคริปต์โดยใช้คำ� สั่งดังนี้ nmap --script-updatedb หมายเหตุ: ผู้อ่านสามารถศึกษาวิธีการเรียกใช้ NSE script เพิ่มเติมได้จาก Nmap documentation [3] ซึ่งมีคำ� อธิบายวิธีการใช้งานในรูปแบบอื่นๆ เช่น การเรียกใช้สคริปต์ครั้งละ หลายตัวหรือหลายหมวดโดยใช้ Wildcard หรือ Logical operator หรือการระบุ Argument ของสคริปต์ในรูปแบบที่ซับซ้อนขึ้น เป็นต้น
  • CYBER THREATS 2013 213 สรุป Nmap เป็นโปรแกรมที่มีความสามารถหลากหลาย ซึ่งนอกจากจะใช้ในการสำ� รวจข้อมูลทั่วไป ของระบบแล้ว ยังสามารถใช้ในการตรวจสอบหาช่องโหว่ของระบบ หรือแม้กระทั่งทดสอบการเจาะ ระบบได้ อย่างไรก็ตาม Nmap ไม่ได้พัฒนาขึ้นเพื่อนำ� มาใช้ทดแทนเครื่องมืออื่นๆ ที่ทำ� หน้าที่เฉพาะทาง อย่างเช่นโปรแกรมจำ� พวก Vulnerability scanner หรือ Password cracker แต่เราก็สามารถใช้ Nmap ในการตรวจสอบระบบเบื้องต้นอย่างคร่าวๆ เพื่อนำ� ผลลัพธ์ไปวิเคราะห์ว่าควรทำ� การ ตรวจสอบเชิงลึกในด้านใดต่อไปได้ ข้อสำ� คัญอีกประการคือ โปรแกรมส่วนใหญ่ที่ใช้ในการทดสอบ ความมั่นคงปลอดภัยของระบบรวมถึง Nmap ด้วยนั้น ก็เปรียบเสมือนกับดาบสองคมที่อาจถูกนำ� ไปใช้งานในทางที่ไม่ดีหรือไม่ถูกต้อง จนก่อให้เกิดความเสียหายต่อระบบได้ ดังนั้น ผู้ใช้จึงควรศึกษาวิธี การใช้งานให้ดีก่อนที่จะใช้งานจริง และระลึกเสมอว่าควรใช้เครื่องมือเหล่านี้กับระบบที่ตนเองเป็นผู้ดูแล รับผิดชอบ หรือเป็นระบบที่ได้รับการอนุญาตจากเจ้าของหรือผู้ดูแลให้สามารถทำ� การทดสอบได้เท่านั้น อ้างอิง 1. http://insecure.org/stf/Nmap-4.50-Release.html 2. http://nmap.org/nsedoc 3. http://nmap.org/book/nse-usage.html
  • 214 บทความเชิงเทคนิค FULL DISK ENCRYPTION และ COLD BOOT ATTACK ผู้เขียน : เสฏฐวุฒิ แสนนาม วันที่เผยแพร่ : 7 มิถุนายน 2556 ปรับปรุงล่าสุด : 7 มิถุนายน 2556 Full disk encryption ในหลายๆ องค์กร มีนโยบายให้พนักงานทำ� สิ่งที่เรียกว่า Full disk encryption (FDE) ซึ่ง เป็นการเข้ารหัสลับ (Encrypt) ข้อมูลในฮาร์ดดิสก์ทั้งลูก (หรือเฉพาะบาง Partition) เพื่อป้องกันไม่ ให้ผู้ไม่หวังดีเข้าถึงข้อมูลสำ� คัญที่เป็นความลับที่อยู่ในฮาร์ดดิสก์ได้ในกรณีที่ฮาร์ดดิสก์สูญหายหรือ ถูกขโมย การทำ� Full disk encryption นั้นสามารถทำ� ได้ทั้งแบบฮาร์ดแวร์และซอฟต์แวร์ โดยในแบบ ฮาร์ดแวร์จะเป็นการใช้ฮาร์ดดิสก์ที่มีระบบ FDE ในตัว ซึ่งการเข้ารหัสลับ/ถอดรหัสลับข้อมูล จะทำ� ผ่านทางชิปพิเศษที่อยู่ในส่วน Controller ของดิสก์นั้นๆ ตัวอย่างดิสก์ที่รองรับ FDE ในระดับ ฮาร์ดแวร์เป็นดังรูปที่ 1 รูปที่ 1 ตัวอย่างดิสก์ที่รองรับ FDE ในระดับฮาร์ดแวร์ (ที่มา : ZDNet [1])
  • CYBER THREATS 2013 215 ส่วนการทำ� FDE ในระดับซอฟต์แวร์นั้น ระบบปฏิบัติการสมัยใหม่ส่วนใหญ่จะมีเครื่องมือ สำ� หรับทำ� FDE มาให้ด้วยแล้ว เช่น BitLocker ใน Windows [2] หรือ FileVault ใน Mac OS X เป็นต้น [3] ในระบบปฏิบัติการ Linux บาง Distro จะมีเครื่องมือสำ� หรับทำ� FDE มาให้ด้วยแต่ แรก เช่น Ubuntu 12.10 สามารถเลือกทำ� FDE ได้ตั้งแต่ขั้นตอนการติดตั้ง [4] ดังรูปที่ 2 หาก ระบบปฏิบัติการที่ใช้งานอยู่ไม่มีเครื่องมือที่ใช้สำ� หรับทำ� FDE ก็อาจติดตั้งโปรแกรมจากผู้พัฒนา ภายนอกได้ เช่น dm-crypt [5] หรือ TrueCrypt [6] เป็นต้น รูปที่ 2 การทำ� FDE ในขั้นตอนการติดตั้ง Ubuntu 12.10 (ที่มา : EFF [4]) นอกจากนี้ ระบบปฏิบัติการในโทรศัพท์มือถือในปัจจุบันส่วนใหญ่รองรับการทำ� FDE แล้ว เช่น ใน Android สามารถตั้งค่าให้เข้ารหัสลับข้อมูลใน Internal memory ได้ แต่ไม่รวมข้อมูลที่อยู่ใน SD Card (Android ใช้ dm-crypt ในการเข้ารหัสลับข้อมูล [7]) ตัวอย่างหน้าจอ Storage Encryption ใน Android เป็นดังรูปที่ 3 ส่วน iOS เวอร์ชันหลังๆ จะเข้ารหัสลับข้อมูลที่อยู่ใน เครื่องไว้แต่แรก โดยจะมีชิปที่ใช้สำ� หรับทำ� งานด้านนี้โดยเฉพาะ [8]
  • 216 บทความเชิงเทคนิค รูปที่ 3 Storage Encryption ใน Android ซอฟต์แวร์ที่ใช้สำ� หรับทำ� Disk Encryption จะมีลักษณะการทำ� งานคล้ายคลึงกัน คือ ข้อมูล ที่เก็บอยู่ในดิสก์จะมีการเข้ารหัสลับไว้ ซึ่งถ้าถอดดิสก์ออกไปใส่ในเครื่องอื่นจะไม่สามารถอ่านข้อมูลได้ เหมือนกับดิสก์ปกติ ในการใช้งาน เมื่อเปิดเครื่องขึ้นมา ระบบจะแสดงหน้าจอให้ใส่รหัสผ่าน (Encryption key) หลังจากใส่รหัสผ่านได้ถูกต้อง ระบบจะเก็บ Key นั้นไว้ใน RAM เพื่อใช้ในการ ถอดรหัสลับ (Decrypt) ข้อมูลอื่นๆ ที่มีการเรียกใช้งานในภายหลัง [9] Key จะเก็บอยู่ใน RAM ไป จนกว่าผู้ใช้จะสั่ง Shut down หรือสั่งปิดเครื่องโดยวิธีปกติ อย่างไรก็ตาม ถึงจะมีการทำ� FDE แล้ว แต่ก็ยังมีโอกาสเสี่ยงที่จะถูกผู้ไม่หวังดีขโมยข้อมูลสำ� คัญ ออกไปจากเครื่องได้ โดยการใช้วิธีที่เรียกว่า Cold boot attack ซึ่งเป็นการนำ� Encryption key ออกมาจาก RAM
  • CYBER THREATS 2013 217 Cold boot attack เพื่อให้เกิดความเข้าใจ ก่อนอื่นต้องขออธิบายหลักการทำ� งานของ RAM กันก่อน RAM หรือ Random Access Memory เกิดจากการนำ� Capacitor ขนาดเล็กหลายๆ ตัวมาใช้ในการเก็บ ข้อมูล เมื่อมีการจ่ายไฟเข้าไปใน Capacitor ข้อมูลที่ตำ� แหน่งนั้นก็จะมีค่าเป็น 1 แต่ถ้าไม่มีการจ่ายไฟ Capacitor ก็จะคายประจุ และข้อมูลในตำ� แหน่งนั้นก็จะมีค่าเป็น 0 ดังรูปที่ 4 รูปที่ 4 หลักการทำ� งานของ RAM (ที่มา : Lorentz Center [10]) ตามหลักการแล้ว RAM จะทำ� งานได้ก็ต่อเมื่อมีไฟเลี้ยง ถ้าไม่มีไฟเลี้ยงข้อมูลที่อยู่ข้างในจะหาย หมด แต่ในความเป็นจริง หลังจากที่ปิดเครื่องคอมพิวเตอร์หรือปิดสวิตช์ไฟ ข้อมูลใน RAM จะไม่ได้ หายไปในทันที แต่จะค่อยๆ หายไปภายในเวลาประมาณ 1-2 นาที เนื่องจากการคายประจุของ Capacitor รูปที่ 5 แสดงตัวอย่างข้อมูลที่ยังหลงเหลืออยู่ใน RAM หลังจากที่ปิดเครื่องเมื่อเวลา ผ่านไป 5 วินาที 30 วินาที 60 วินาที และ 300 วินาที ตามลำ� ดับ
  • 218 บทความเชิงเทคนิค รูปที่ 5 ตัวอย่างข้อมูลที่ยังหลงเหลืออยู่ใน RAM หลังจากที่ปิดเครื่อง (ที่มา : Princeton University [11]) จากการวิจัยพบว่า เมื่อลดอุณหภูมิของ RAM ลง จะทำ� ให้การคายประจุช้าลง แสดงว่ายิ่งทำ� ให้ RAM มีอุณหภูมิตË่ำได้มากเท่าไหร่ ยิ่งรักษาข้อมูลไว้ได้นานมากเท่านั้น ถ้าทำ� ให้ RAM อยู่ในสภาวะที่ อุณหภูมิตË่ำมากๆ ข้อมูลอาจอยู่ได้นานหลายสิบนาที หรืออาจอยู่ได้นานเป็นชั่วโมง การทำ� ให้ RAM มี อุณหภูมิลดลงอย่างรวดเร็วเพื่อรักษาข้อมูลที่อยู่ข้างใน นักวิจัยเรียกเทคนิคนี้ว่า Cold boot attack เทคนิค Cold boot attack ได้รับการเผยแพร่เป็นงานวิจัยตั้งแต่ปี 2008 • YouTube: https://www.youtube.com/watch?v=JDaicPIgn9U • Website: https://citp.princeton.edu/research/memory/ การทำ� Cold boot attack คือการทำ� ให้เครื่องปิดแล้วเปิดขึ้นมาใหม่ในทันที โดยไม่ให้เครื่องทำ� กระบวนการ Shut Down ตามปกติ เพื่อป้องกันไม่ให้มีการเปลี่ยนแปลงข้อมูลใน RAM ซึ่งมีวิธีการ หลักๆ อยู่ 2 วิธี คือกดปุ่ม Reset ที่ตัวเครื่องแล้วตั้งค่าให้บู๊ตจาก CD/USB ที่มีโปรแกรมสำ� หรับ ทำ� สำเนาข้อมูลออกจาก RAM โดยเฉพาะ หรือถอดฝาเครื่องออกมา จากนั้นใช้สารทำ� ความเย็น (เช่น นË้ำยาแอร์ หรือ ไนโตรเจนเหลว) ฉีดใส่ RAM แล้วถอด RAM ออกมาเสียบในอีกเครื่องที่เตรียมไว้เพื่อ ดึงข้อมูลออกมา ดังรูปที่ 6
  • CYBER THREATS 2013 219 รูปที่ 6 การฉีดสารทำ� ความเย็นใส่ RAM เพื่อทำ� Cold boot attack (ที่มา : Princeton University [11]) ในการนำ� Key ออกมาจาก RAM ผู้โจมตีจะทำ� สำเนา (Clone) ข้อมูลทั้งหมดที่อยู่ใน RAM ออกมาโดยใช้โปรแกรมประเภท Memory imaging จากนั้นจึงจะใช้โปรแกรมสำ� หรับกู้ข้อมูลที่อยู่ใน หน่วยความจำ� เช่น AESKeyFinder หรือ RSAKeyFinder เพื่อดึงเฉพาะ Encryption key ออกมา [12] การทำ� Cold boot attack ต้องทำ� แข่งกับเวลา เพราะข้อมูลใน RAM จะค่อยๆ หายไป เรื่อยๆ อย่างไรก็ตาม ถึงแม้ข้อมูลบาง bit จะหายไป แต่ยังมีโอกาสที่จะกู้ข้อมูลตรงส่วนนั้นกลับคืนมา ได้ [13] การทำ� Cold boot attack อาจมีการนำ� มาใช้ในการทำ� Digital Forensics เพื่อเก็บข้อมูลที่ อยู่ในหน่วยความจำ� (Memory acquisition) เพราะการเก็บข้อมูลที่อยู่ในหน่วยความจำ� โดยวิธีปกติ นั้นอาจมีความเสี่ยงต่อการเปลี่ยนแปลงข้อมูลที่อยู่ภายใน [14] [15] นักวิจัยเยอรมันค้นพบว่า ถ้านำ� โทรศัพท์มือถือที่ใช้งานระบบปฏิบัติการ Android ไปแช่เย็นที่ อุณหภูมิ -15 C เป็นเวลาประมาณ 1 ชั่วโมง จะยังสามารถอ่าน Encryption key ที่อยู่ใน RAM ของโทรศัพท์มือถือออกมาได้ [16] นอกจากนี้ยังได้พัฒนาซอฟต์แวร์ที่ชื่อว่า FROST ซึ่งใช้สำ� หรับดึง ข้อมูลออกมาจาก RAM ของโทรศัพท์มือถือ โดยซอฟต์แวร์ดังกล่าวสามารถติดตั้งได้ผ่านโหมด fastboot ของโทรศัพท์มือถือที่ใช้ระบบปฏิบัติการ Android [17]
  • 220 บทความเชิงเทคนิค Mitigations ในการที่จะโจมตีด้วยวิธี Cold boot attack ให้สำ� เร็จได้นั้น มีองค์ประกอบหลักๆ ที่สำ� คัญคือ ผู้โจมตีต้องสามารถเข้าถึงตัวเครื่องคอมพิวเตอร์นั้นได้ (Physical access) รวมถึงเครื่องนั้นต้อง เปิดใช้งานอยู่และมีการใส่ Encryption key ไว้เรียบร้อยแล้ว วิธีการลดความเสี่ยงที่ดีที่สุดจึงน่าจะเป็นการป้องกันไม่ให้ผู้ไม่หวังดีสามารถเข้าถึงตัวเครื่อง คอมพิวเตอร์ได้ และระมัดระวังไม่ให้เครื่องหายหรือถูกขโมยในขณะที่เปิดใช้งานอยู่ หรืออาจจะป้องกัน ไม่ให้มี Encryption key อยู่ใน RAM ด้วยการสั่ง Shut Down เครื่องเมื่อไม่ได้ใช้งาน เพราะเมื่อ สั่ง Shut Down ซอฟต์แวร์ Disk encryption จะลบข้อมูล Encryption key ออกจาก RAM การที่ปล่อยให้เครื่องอยู่ใน Sleep mode นั้นถึงแม้ว่าหน้าจอและฮาร์ดดิสก์จะหยุดทำ� งาน แต่ข้อมูล ใน RAM ยังคงอยู่ [18] ในระบบปฏิบัติการ Linux มีผู้พัฒนาซอฟต์แวร์ที่ชื่อ TRESOR [19] ซึ่งเป็น Kernel patch ที่เปลี่ยนจากการเก็บ Encryption key ไว้ใน RAM มาเก็บไว้ที่ Register ของ CPU แทน ซึ่ง ข้อมูลที่เก็บในส่วนนี้จะมีการรีเซ็ตเมื่อปิดเครื่องคอมพิวเตอร์ ทำ� ให้ปลอดภัยจากการโจมตีด้วยวิธี Cold boot attack ได้
  • CYBER THREATS 2013 221 อ้างอิง 1. http://www.zdnet.com/integral-crypto-ssd-sata-ii-2-5-inch-7000000566/#photo 2. http://technet.microsoft.com/en-us/library/c61f2a12-8ae6-4957-b031-97b4d762cf31 3. http://support.apple.com/kb/ht4790 4. https://www.eff.org/deeplinks/2012/11/privacy-ubuntu-1210-full-disk-encryption 5. http://code.google.com/p/cryptsetup/wiki/DMCrypt 6. http://www.truecrypt.org/ 7. http://source.android.com/tech/encryption/android_crypto_implementation.html 8. http://support.apple.com/kb/ht4175 9. http://www.truecrypt.org/docs/?s=unencrypted-data-in-ram 10. http://www.lorentzcenter.nl/lc/web/2010/383/presentations/Heninger.pdf 11. https://citp.princeton.edu/research/memory/media/ 12. https://citp.princeton.edu/research/memory/code/ 13. http://icerm.brown.edu/materials/Slides/VI_MSS_12/An_overview_of_Cold-Boot_ Attack,_related_to_RSA_and_Factorization_%5D_Sourav_Sen_Gupta,_Indian_ Statistical_Institute,_Kolkata.pdf 14. http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA545078 15. http://www.linuxjournal.com/magazine/cold-boot-attack-tools-linux 16. http://reviews.cnet.com/8301-19736_7-57573226-251/android-phones-susceptible- to-freezing-cold-boot-attacks/ 17. https://www1.informatik.uni-erlangen.de/frost 18. https://citp.princeton.edu/research/memory/faq/ 19. http://linuxaria.com/howto/protect-linux-from-cold-boot-attacks-with-tresor?lang=e
  • 222 บทความเชิงเทคนิค เสริมความมั่นคงปลอดภัย ให้กับซอฟต์แวร์ด้วย EMET VERSION 4 ผู้เขียน : ณัฐโชติ ดุสิตานนท์ วันที่เผยแพร่ : 16 สิงหาคม 2556 ปรับปรุงล่าสุด : 16 สิงหาคม 2556 โปรแกรม Enhanced Mitigation Experience Toolkit หรือ EMET ของบริษัท Microsoft เป็นเครื่องมือที่ใช้เสริมความมั่นคงปลอดภัยให้กับซอฟต์แวร์ต่างๆ ที่ติดตั้งอยู่ในระบบ ปฏิบัติการ Windows หากผู้อ่านติดตามเว็บไซต์ของไทยเซิร์ตมาเป็นระยะเวลาหนึ่งอาจจะจำ� ได้ว่า เคย มีบทความที่อธิบายการทำ� งาน และประโยชน์ของ EMET มาแล้ว [1] แต่เนื่องในโอกาสที่ Microsoft ได้พัฒนา EMET รุ่นใหม่ที่มีความสามารถเพิ่มขึ้นจากที่เคยกล่าวถึงในครั้งก่อน ประกอบกับภัย คุกคามที่เกิดขึ้นในปัจจุบัน ยังเป็นรูปแบบของซอฟต์แวร์ที่มีช่องโหว่ เปิดโอกาสให้มีการประมวลผล คำ� สั่งอันตราย เช่น ช่องโหว่ใน Adobe reader [2] ซึ่งถือว่าเป็นช่องโหว่ที่มีการนำ� มาใช้โดย ผู้ไม่หวังดีอย่างแพร่หลาย Mitigation Technology ของ EMET ที่มีความสามารถในการ ตรวจสอบและขัดขวางการประมวลผลคำ� สั่งอันตราย จึงเป็นสิ่งที่อาจช่วยผ่อนหนักเป็นเบาได้
  • CYBER THREATS 2013 223 รูปที่ 1 หน้าต่างของ EMET บทความของไทยเซิร์ตได้เคยเขียนถึง EMET นั้น เป็นของ EMET version 2.1 ในขณะนี้ EMET version 4 เป็นรุ่นล่าสุด มีการปล่อยเมื่อวันที่ 17 กรกฎาคม 2556 โดยผู้ใช้สามารถ ดาวน์โหลดได้ที่ http://www.microsoft.com/en-us/download/details.aspx?id=39273 โดยซอฟต์แวร์เวอร์ชันล่าสุดได้เพิ่มความสามารถที่น่าสนใจขึ้นไปอีก ดังนี้ 1. SSL/TLS Certificate Trust features ด้วย feature นี้ ผู้ใช้สามารถตั้งกฎเพื่อทำ� การตรวจสอบ SSL/TLS certificate ที่ใช้ในเว็บ ว่าตรงกับกฎที่เราตั้งไว้หรือไม่ เช่น ดูว่าใน certificate มี Root Certfiicate ตรงตามที่กำ� หนด
  • 224 บทความเชิงเทคนิค หรือไม่ โดย EMET จะทำ� การตรวจสอบทุกครั้งที่ผู้ใช้เข้าเว็บผ่าน internet explorer ถ้าหาก certificate ที่พบถูกแก้ไขโดยผู้ไม่หวังดี ก็จะทำ� การแจ้งเตือนถึงความผิดปกติ ผู้ใช้สามารถตั้งค่า กำ� หนดได้ดังนี้ 1.1 ตรวจสอบ Root Certificate ของเว็บที่ต้องการจะตรวจสอบโดยคลิกที่สัญลักษณ์กุญแจ จาก certificate detail จะเห็นได้ว่า Root Certifcate ของ accounts.google.com คือ Geotrust รูปที่ 2 วิธีหา Root Certificate ใน Certificate ที่เว็บไซต์ใช้ 1.2 เรียกใช้ EMET ระบุกฎโดยใส่รายละเอียดเช่น Root Certificate, Rule expiration รูปที่ 3 สร้างกฎโดยระบุ root certificate ที่ใช้
  • CYBER THREATS 2013 225 1.3 ระบุเว็บไซต์ที่ต้องการตรวจสอบและกฎที่ต้องการใช้กับเว็บไซต์นั้น รูปที่ 4 ระบุเว็บไซต์และกฎที่ต้องการใช้ 1.4 หาก Certificate ไม่ตรงตามกฎที่กำ� หนด ก็จะมีการแจ้งเตือนดังในรูป รูปที่ 5 แสดงการแจ้งเตือนเมื่อ certificate ไม่ตรงกับค่าที่ตั้งเอาไว้
  • 226 บทความเชิงเทคนิค 2. Strengthened mitigations, blocking bypasses มีการปรับปรุงแก้ไข mitigations technology เพื่อป้องกันเทคนิคการโจมตีในรูปแบบใหม่ๆ เช่น การ Bypass การป้องกันด้วย ASLR และ DEP ที่มีการนำ� เสนอในงาน CanSecWest 2013 [3] 3. Application compatibility fixes Microsoft ได้ทำ� การแก้ปัญหาความเข้ากันได้ (Compatibility) กับซอฟต์แวร์หลายตัว ได้แก่ 1. Internet Explorer 9 and the Snipping Tool 2. Internet Explorer 8 3. Office software through SharePoint 4. Access 2010 with certain mitigations enabled 5. Internet Explorer 10 on Windows 8 นอกจากนี้ สำ� หรับซอฟต์แวร์บางตัว เช่น Photoshop, Gtalk และ Chrome ที่ยังมีปัญหา ความเข้ากันได้อยู่ ใน EMET รุ่นนี้ก็จะปิดการทำ� งานของตัวเองที่เกี่ยวข้องกับซอฟต์แวร์ดังกล่าวโดย อัตโนมัติเพื่อป้องกันปัญหาการใช้งาน 4. Early Warning Program for enterprise customers and for Microsoft เมื่อ EMET ทำ� การตรวจสอบและป้องกันการประมวลผลคำ� สั่งอันตรายได้แล้ว สำ� หรับผู้ใช้งาน ในองค์กรที่มีการใช้ซอฟต์แวร์ Microsoft Desktop Optimization Package [4] หรือ Client Monitoring feature ใน System Center Operations Manager [5] สามารถสร้างรายงาน ซึ่งอาจจะเก็บไว้ในองค์กรเพื่อวิเคราะห์ หรืออาจส่งรายงานไปยังไมโครซอฟท์โดยตรงก็ได้ 5. Audit Mode โดยปกติหากมีความพยายามที่จะประมวลผลคำ� สั่งอันตราย EMET จะทำ� การป้องกันโดย อัตโนมัติ โดยการปิดโปรแกรมที่มีปัญหา แต่ใน EMET Version 4 ผู้ใช้สามารถเลือกใช้ Audit Mode แทน ในกรณีที่อาจต้องการทดสอบระบบ โดย EMET จะไม่ปิดโปรแกรม แต่จะทำ� การแจ้งให้ ทราบเท่านั้น
  • CYBER THREATS 2013 227 รูปที่ 6 แสดงการใช้งาน Audit mode สรุป EMET เป็นโปรแกรมที่ช่วยป้องกันการโจมตีจากผู้ไม่หวังดี ลดโอกาสสำ� เร็จของการประมวลผล คำ� สั่งอันตรายผ่านช่องโหว่ของซอฟต์แวร์อันส่งผลให้เครื่องคอมพิวเตอร์ติดมัลแวร์ และ EMET ก็เป็น อีกทางเลือกหนึ่งที่สามารถใช้ร่วมกับโปรแกรมแอนตี้ไวรัสที่ผู้ใช้มีอยู่ เพื่อเพิ่มความมั่นคงปลอดภัยให้ กับคอมพิวเตอร์ที่ใช้ในองค์กรหรือคอมพิวเตอร์ส่วนตัว ทั้งนี้ซอฟต์แวร์เกี่ยวกับความมั่นคงปลอดภัย เหล่านี้จะมีการปรับปรุงความสามารถอยู่เสมอ ผู้ใช้งานควรติดตามข่าวสารเพื่ออัพเดตซอฟต์แวร์ ดังกล่าวให้ทันสมัย สามารถรับมือกับภัยคุกคามใหม่ๆ ได้ ซึ่งผู้อ่านสามารถติดตามได้ในเว็บไซต์ของ ไทยเซิร์ต ซึ่งจะนำ� ข้อมูลเกี่ยวกับซอฟต์แวร์ด้านความมั่นคงปลอดภัยต่างๆ มาเสนออย่างต่อเนื่องต่อไป อ้างอิง 1. http://www.thaicert.or.th/papers/technical/2012/pa2012te004.html 2. https://www.thaicert.or.th/alerts/admin/2011/al2011ad006.html 3. http://cansecwest.com/slides/2013/DEP-ASLR%20bypass%20without%20ROP-JIT.pdf 4. http://www.microsoft.com/en-us/windows/enterprise/products-and-technologies/ mdop/default.aspx 5. http://www.microsoft.com/en-us/server-cloud/system-center/datacenter-management. aspx
  • 228 บทความเชิงเทคนิค GLOBAL SURVEILLANCE: ตอนที่ 1 ผู้เขียน : ไพชยนต์ วิมุกตะนันทน์ วันที่เผยแพร่ : 13 กันยายน 2556 ปรับปรุงล่าสุด : 13 กันยายน 2556 ระยะนี้ในวงการที่เกี่ยวกับความมั่นคงปลอดภัยทางสารสนเทศ โดยเฉพาะในระดับโลก คงไม่มี เรื่องอะไรที่น่าสนใจมากไปกว่าเรื่องของ NSA หรือ National Security Agency ซึ่งเป็นหน่วยงาน ด้านความมั่นคงของสหรัฐ มาถึงตอนนี้แม้ว่าผู้อ่านจะไม่ได้ติดตามข่าวอย่างใกล้ชิดมากนัก อย่างน้อยก็ คงคุ้นหูกับชื่อของนายเอ็ดเวอร์ด สโนว์เดน อดีตพนักงานของ NSA ที่นำ� ความลับขององค์กรตนเอง มาเปิดเผยใช้ชาวโลกรับรู้ และขณะนี้กำ� ลังลี้ภัยอยู่ในรัสเซีย แต่บทความนี้จะไม่ขอกล่าวถึงพฤติการณ์ และวิบากกรรมของนายสโนว์เดน ที่ต้องกลายเป็นผู้ ที่ทางการสหรัฐฯ ต้องการตัวกลับไปดำ� เนินคดี หรือการที่นายสโนว์เดน ออกมาเปิดเผยว่า NSA มี โครงการในการสอดแนมใครอย่างไรบ้าง แต่แรงบันดาลใจจากข่าวนี้ ทำ� ให้ผู้เขียนมาลองจินตนาการดูว่า หากจะวางโครงการสอดแนมเป้าหมายทั่วโลก จะทำ� ได้อย่างไร อาจจะมองว่าบทความนี้ เป็นจินตนาการ ที่ใช้หลักการทางเทคนิคประกอบก็ได้ แต่ขอยË้ำให้แน่ชัดอีกครั้งหนึ่งว่า ผู้เขียนไม่ได้มีเจตนาที่จะกล่าวถึง สิ่งที่เกิดขึ้น หรือมีอยู่จริงแต่ประการใด ในยุคก่อนที่เราจะใช้คอมพิวเตอร์ในลักษณะ “ออนไลน์” กันอย่างเป็นเรื่องปกติเหมือนในทุกวันนี้ การลักลอบดักฟัง หรือขโมยข้อมูล ก็มีการปฏิบัติกันอยู่แล้วในรูปแบบของดักฟังโทรศัพท์ การ ลักลอบติดตั้งเครื่องดักฟัง ส่วนที่เป็นเอกสารต่างๆ ก็มีการลักลอบสำ� เนาเอกสารลับ หรือขโมยออกมา โดยตรง ซึ่งในด้านของการป้องกันก็หนีไม่พ้นการใช้วิธีทาง Physical Security เป็นส่วนมาก เช่น การใช้เจ้าหน้าที่ รปภ. กล้องวงจรปิด การตรวจค้นตัว หรือที่ใช้เทคโนโลยีมากขึ้นอีกก็ได้แก่เครื่อง ตรวจหาเครื่องดักฟัง (ใช้วิธี Scan หาอุปกรณ์อิเล็กทรอนิกส์ หรือหาการส่งสัญญาณ) การใช้เครื่อง Scramble ซึ่งเปรียบเสมือนการเข้ารหัสลับในโลกของโทรศัพท์แอนะล็อก หรือแม้แต่การสื่อสารกัน ด้วยคำ� พูด หรือภาษาเขียนที่เป็นรหัสลับ ทั้งหมดนี้จะเห็นได้ว่าทั้งการลักลอบขโมยข้อมูล และการ ป้องกันการขโมยข้อมูลดูจะเป็นเรื่องที่โกลาหลไม่ใช่น้อย แต่เมื่อถึงยุคของการสื่อสารข้อมูลผ่าน อินเทอร์เน็ต และมีการเข้ารหัสลับเป็นความสามารถพื้นฐานในเกือบทุกช่องทางการสื่อสาร การลักลอบ ขโมยข้อมูลก็มีการปรับเปลี่ยนไปตามยุคสมัยเช่นเดียวกัน และอาจจะดูรุนแรงยิ่งขึ้นกว่าเดิมอีกด้วย เทคนิคในการ “ดักฟัง” หรือขโมยข้อมูลสารสนเทศในยุคใหม่ ไม่จำ� เป็นต้องมีการทำ� ในระดับ Physical Layer เสมอไป เพราะข้อมูลที่สื่อสารกันอยู่นั้น หากเข้าไปอยู่ในเครือข่ายสาธารณะ (ในที่นี้ คือ อินเทอร์เน็ต) การที่ข้อมูลจะเดินทางผ่านเส้นทาง หรืออุปกรณ์เครือข่ายใดๆ ไปยังปลายทางได้
  • CYBER THREATS 2013 229 ย่อมขึ้นอยู่กับการจัดการภายในระบบเครือข่ายเอง นั่นก็คือการ Routing ทั้งแบบ Static และ Dynamic หรือการบังคับให้ข้อมูลเดินทางผ่านอุปกรณ์ หรือเส้นทางใดๆ โดยเฉพาะโดยอาศัยเงื่อนไข บางอย่าง ที่เรียกกันว่า Policy Routing ก็ถือว่าเป็นเรื่องปกติในระบบเครือข่าย สมมุติว่า ข้อมูลจำ� นวนหนึ่ง ที่จะเดินทางหน่วยงาน O1 จากประเทศ C1 ไปยังหน่วยงาน O2 ในประเทศ C2 ตามธรรมดาก็จะวิ่งผ่าน ISP I1 ที่หน่วยงาน O1 ใช้บริการอยู่ ออกไปยัง ISP I2 ที่ หน่วยงาน O2 ใช้บริการอยู่ ผ่านเส้นทางที่เชื่อมต่อกันโดยตรง แต่ถ้า I1 มีการเชื่อมต่อไปยัง ISP I3 ที่อยู่ในประเทศ C3 ด้วย และรัฐบาลของประเทศ C3 ต้องการที่จะได้ข้อมูลนี้มา จะต้องทำ� อย่างไร? รัฐบาลของประเทศ C3 อาจไม่จำ� เป็นต้องส่งสายลับเข้าไปในประเทศ C1 หรือ C2 เพื่อดักข้อมูล หรือ ขโมยข้อมูลแต่อย่างใด แต่ใช้วิธีง่ายๆ อย่างเช่นการ “ขอร้อง” ให้ ISP I3 ส่งข้อมูล Dynamic Routing ชนิดหนึ่ง ที่เรียกว่า BGP Peer Advertisment/BGP Route Advertisment (คน ไทยเรียกกันว่า การประกาศ BGP) ที่มีข้อมูลพิเศษ เพื่อ “หลอก” ISP I1 ว่า เครือข่ายขององค์กร O2 อยู่ที่ ISP I3 โดยเงื่อนไขบางประการ (เงื่อนไข More specific route win ซึ่งไม่ขอกล่าวถึง รายละเอียดในที่นี้) จะทำ� ให้ Router ของ ISP I1 ส่งข้อมูลที่จะไป องค์กร O2 มาที่ ISP I3 แทน และรัฐบาลของประเทศ C3 ก็สามารถจะทำ� สำเนาข้อมูลนี้เอาไว้ก่อนที่จะส่งกลับไป ISP I2 ตามที่ควร จะเป็นต่อไป ปรากฏการณ์นี้ จะเกิดจากการตั้งใจ หรือไม่ตั้งใจ (Config ผิด) ก็ตามแต่ ย่อมเกิดผลกระทบ ต่อระบบเครือข่ายเป็นอย่างมาก อย่างเบาะๆ คือ ข้อมูลไปได้ถึงที่หมายช้าลง (เพราะต้องวิ่งไปที่อื่นก่อน ซึ่งไม่ใช่ Shortest path ธรรมชาติ) หรืออาจทำ� ให้ข้อมูลวิ่งไปไม่ถึงที่หมายเลย เปรียบเหมือนระบบ เครือข่ายของที่หมายถูกตัดขาดออกจากอินเทอร์เน็ต ดังนั้น ISP หลายแห่งจึงต้องมีวิธีการป้องกัน ด้วยการกรอง (Filter) ข้อมูล Dynamic Routing ที่ผิดปกติออกไป แต่วิธีนี้ไม่ได้ผลเต็มที่นักใน ระดับ ISP ต่อ ISP เพราะตามในตัวอย่างข้างบน ถึงแม้รัฐบาลของประเทศ C3 จะไม่ต้องการ สอดแนมประเทศ C1 และ C2 เลย และ ISP C3 ก็ไม่ได้มีการ Config ผิดพลาดแต่อย่างใด แต่ก็ยังมี โอกาสที่ ISP C3 จะมีการส่ง Peer Advertisment ให้ ISP I1 ส่งข้อมูลที่จะไปองค์กร O2 ผ่าน มาทาง ISP I3 ได้อย่างสุจริต เช่นในกรณีที่เส้นทางเชื่อมต่อจาก ISP I1 กับ ISP I2 ขัดข้อง หรือถูก ใช้งานจนเต็ม การที่ องค์กร O1 จะติดต่อกับองค์กร O2 ได้ก็มีเพียงวิธีเดียวคือส่งผ่าน ISP I3 เท่านั้น หาก ISP I1 ทำ� Filtering BGP Peer Advertisment ไม่ยอมให้ I3 เป็นทางผ่านไปยัง I2 ในกรณีที่เกิดความขัดข้องเช่นนี้ องค์กร O1 และ O2 ก็ติดต่อกันไม่ได้ หรือได้ยากลำ� บาก การประกาศ BGP “ผิดทาง” เคยเกิดขึ้นมาแล้วหลายครั้ง ทั้งที่เป็นที่ทราบกันทั่วไปและที่ไม่มีการ ยืนยัน เหตุการณ์หนึ่งที่น่าสนใจเกิดขึ้นในปี 2008 เมื่อ ISP แห่งหนึ่งของประเทศปากีสถาน ได้ส่ง BGP Peer Advertisment ออกมา “ผิดพลาด” ทำ� ให้ข้อมูลที่ควรจะส่งไปยังเว็บไซต์ Youtube ถูกส่งไปที่ปากีสถานทั้งหมด [1] หรือเมื่อวันที่ 24 ก.ค.2013 ลูกค้าของธนาคารชั้นนำ� หลายแห่งใน สหรัฐฯ ถูกบังคับให้ส่งข้อมูลอ้อมไปยัง ISP แห่งหนึ่งในประเทศเนเธอร์แลนด์ [2] ซึ่งแม้เหตุการณ์ที่ ยกมาทั้งสองเหตุการณ์นี้ จะเกิดผลแค่เพียงระยะเวลาสั้นๆ เนื่องจากมีการตรวจพบและ “แก้ไข” โดยผู้ที่ เกี่ยวข้อง แต่ก็แสดงให้เห็นได้ว่า การ “ดักฟัง” ข้อมูลบนอินเทอร์เน็ตด้วยเทคนิคนี้ มีความเป็นไปได้ เมื่อ ISP เป็นผู้ทำ� หรือถูก “บังคับ” ให้ทำ� ที่ระดับ ISP
  • 230 บทความเชิงเทคนิค ถ้าไม่นับความผิดพลาด แล้วใครล่ะ ที่จะบังคับ หรือ “ขอร้อง” ให้ ISP ประกาศ BGP เพื่อจุดประสงค์พิเศษแบบนี้ได้? ในคราวหน้า ผู้เขียนจะมา “จินตนาการ” ถึงสิ่งที่อาจเกิดขึ้นได้ต่อไป โดยเฉพาะการจัดการกับ ข้อมูลที่มีการเข้ารหัสลับ หรือระบบที่มีการป้องกันเป็นอย่างดี ขอให้ติดตามกันต่อไป อ้างอิง 1. http://www.youtube.com/watch?v=IzLPKuAOe50 2. https://isc.sans.edu/forums/diary/BGP+multiple+banking+addresses+hijacked/16249
  • CYBER THREATS 2013 231
  • 232 บทความเชิงเทคนิค นักวิจัยพบว่าแอปบน IOS สามารถถูก HIJACK ดัก แก้ไขข้อมูลระหว่างทางได้ ผู้เขียน : เสฏฐวุฒิ แสนนาม วันที่เผยแพร่ : 30 ตุลาคม 2556 ปรับปรุงล่าสุด : 30 ตุลาคม 2556 ปัญหาเรื่องความปลอดภัยของ Mobile application นั้นเป็นเรื่องที่มีการวิจัยมาโดยตลอด ส่วนหนึ่งเพราะการพัฒนาแอปพลิเคชันบนแพลตฟอร์มมือ ถือ/แท็บเล็ตนั้นมีข้อจำ� กัดอยู่หลายด้าน เช่น ความเร็วของหน่วยประมวลผล ขนาดหน้าจอ หรือการใช้พลังงาน ซึ่งในบางทีการออกแบบระบบ ให้ทำ� งานได้ดีบนข้อจำ� กัดเหล่านี้อาจทำ� ให้ระดับความปลอดภัยของแอปพลิเคชันลดน้อยลงไป Mobile application หลายตัวมีการรับส่งข้อมูลสำ� คัญที่เป็นความลับระหว่างอุปกรณ์ของ ผู้ใช้งานกับเซิร์ฟเวอร์ของผู้พัฒนา ซึ่งหากข้อมูลสำ� คัญเหล่านี้ถูกผู้ไม่หวังดีดักรับหรือดักแก้ไขข้อมูล ระหว่างทางก็อาจจะก่อให้เกิดปัญหาตามมาภายหลังได้ เมื่อวันที่ 29 ตุลาคม 2556 นักวิจัยจากศูนย์วิจัย Skycure ประเทศอิสราเอล พบว่า แอปพลิเคชัน iOS บน App Store อย่างน้อย 10,000 ตัว สามารถถูก Hijack เพื่อเปลี่ยนแปลง การรับส่งข้อมูลจากเซิร์ฟเวอร์จริงให้ไปยังเซิร์ฟเวอร์ของแฮกเกอร์ได้ โดยใช้ช่องโหว่ของ HTTP Request [1] การโจมตีด้วยวิธีนี้เรียกว่า HTTP Request Hijack (HRH) ซึ่งเป็นการใช้ประโยชน์จาก HTTP Status Code 301 [2] [3] ที่ใช้สำ� หรับการ Redirect จาก URL หนึ่งไปยังอีก URL หนึ่งโดยอัตโนมัติ ในกรณีที่ URL เดิมนั้นถูกเปลี่ยนชื่อหรือไม่มีอยู่บนเซิร์ฟเวอร์แล้ว ปกติเมื่อใช้เบราว์เซอร์เปิดไปยังเว็บไซต์ที่มีการส่ง HTTP Status Code 301 ตัวเบราว์เซอร์จะ Redirect ไปยังหน้าเว็บไซต์ปลายทางตามที่เซิร์ฟเวอร์ได้ตั้งค่าไว้ และแถบ Address Bar ของ เบราว์เซอร์จะแสดง URL ปลายทางที่ถูก Redirect ไป แต่สำ� หรับบางแอปพลิเคชันบน iOS จะไม่มี การแสดงข้อมูล URL ปลายทางที่ว่านี้ให้ผู้ใช้เห็น ดังนั้นผู้ใช้จะไม่สามารถทราบได้ว่าข้อมูลที่แสดงอยู่ใน แอปพลิเคชันนั้นมีแหล่งที่มาจากเซิร์ฟเวอร์จริงของผู้พัฒนาแอปหรือมาจากเซิร์ฟเวอร์ของแฮกเกอร์
  • CYBER THREATS 2013 233 การโจมตีสามารถทำ� ได้ง่ายๆ โดยใช้วิธี Man-in-the-Middle attack ผ่านการเชื่อมต่อแบบ WiFi หรือเครือข่ายที่ไม่ได้มีการตั้งค่าความปลอดภัย จากนั้นก็รอให้เหยื่อเปิดแอปพลิเคชันที่มีช่องโหว่ แล้วแฮกเกอร์ก็ส่ง HTTP Status 301 ออกไปเพื่อให้แอปพลิเคชันนั้นเชื่อมต่อเข้ามาที่เซิร์ฟเวอร์ของ ตัวเอง ตัวอย่างวิธีการโจมตีอธิบายดังคลิปด้านล่าง [4] ที่มา : http://www.youtube.com/watch?v=_X8ovx9vMZM ตัวอย่างแอปพลิเคชันที่นักวิจัยได้ทดลองแล้วพบว่าสามารถใช้การโจมตีด้วยวิธีนี้ได้ มีทั้งแอป ประเภทอ่านข่าว ดูหุ้น โซเชียลมีเดีย หรือแม้กระทั่งแอปพลิเคชันของบางธนาคาร ซึ่งผลการทดลอง พบว่าสามารถดักรับข้อมูลระหว่างทางได้โดยผู้ใช้ไม่อาจสังเกตเห็นความผิดปกติในแอปพลิเคชัน ดังตัวอย่างในคลิปต่อไป
  • 234 บทความเชิงเทคนิค ที่มา : http://goo.gl/Yt4sxE จากในคลิปจะพบว่าเมื่อแอปพลิเคชันถูกโจมตีด้วยวิธี HRH แล้ว จะจำ� ข้อมูลเซิร์ฟเวอร์ของ แฮกเกอร์ไว้ ต่อให้ปิดแล้วเปิดแอปพลิเคชันขึ้นมาใหม่ ก็จะยังคงเชื่อมต่อไปยังเซิร์ฟเวอร์ของแฮกเกอร์อยู่ อย่างนั้นไปตลอด ซึ่งวิธีการแก้ปัญหาทำ� ได้อย่างเดียวคือลบแอปพลิเคชันนั้นออกแล้วติดตั้งใหม่ อย่างไรก็ตาม การโจมตีด้วยวิธีนี้ไม่มีผลกับแอปพลิเคชันที่ใช้การเชื่อมต่อแบบ HTTPS (นอกเสีย จากว่าผู้ใช้จะไปติดตั้ง Certificate ปลอมลงในเครื่อง) ทีมนักวิจัยจาก Skycure คาดว่าแอปพลิเคชันบน Android และ Windows Phone อาจจะ สามารถใช้วิธีการโจมตีแบบเดียวกันนี้ได้เช่นกัน แต่ยังไม่ได้ทำ� การทดสอบแอปพลิเคชันในแพลตฟอร์ม ดังกล่าว สำ� หรับผู้ใช้งานระบบปฏิบัติการ iOS ควรใช้ความระมัดระวังในการเชื่อมต่อ WiFi สาธารณะ ในกรณีที่ต้องการใช้งานแอปพลิเคชันที่มีการรับส่งข้อมูลสำ� คัญที่เป็นความลับ เช่น แอปพลิเคชันของ ธนาคาร หากเป็นไปได้ควรเชื่อมต่อผ่าน Mobile Network และควรอัพเดตแอปพลิเคชันที่ใช้งานอยู่ให้ เป็นเวอร์ชันล่าสุดอย่างสมË่ำเสมอ
  • CYBER THREATS 2013 235 สำ� หรับนักพัฒนาแอปพลิเคชันบน iOS ทางนักวิจัยจาก Skycure แนะนำ� ว่าควรแก้ไขปัญหานี้ โดยเร็วที่สุด การเปลี่ยนไปใช้วิธีการเชื่อมต่อแบบ HTTPS ก็อาจจะพอช่วยได้ แต่ยังไม่ใช่การแก้ไขที่ สาเหตุของปัญหา นักวิจัยได้เขียนตัวอย่างโค้ดสำ� หรับใช้แก้ไขช่องโหว่นี้ โดยสามารถศึกษาได้จากเว็บไซต์ ของ Skycure อ้างอิง 1. http://arstechnica.com/security/2013/10/ios-apps-can-be-hijacked-to-show-fraudulent- content-and-intercept-data/ 2. https://support.google.com/webmasters/answer/93633?hl=en 3. http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.3.2 4. https://www.youtube.com/watch?v=wByvUoe7pHw 5. http://www.skycure.com/blog/http-request-hijacking
  • 236 บทความเชิงเทคนิค SECURITY INFORMATION MANAGER (1) ผู้เขียน : รณนเรศร์ เรืองจินดา วันที่เผยแพร่ : 30 ตุลาคม 2556 ปรับปรุงล่าสุด : 30 ตุลาคม 2556 ในระบบคอมพิวเตอร์ เครื่องแม่ข่าย และอุปกรณ์เครือข่ายแทบทุกชนิด มีความสามารถในการ เก็บข้อมูลบันทึกเหตุการณ์ (log หรือ event log) หลายองค์กรใช้วิธีตั้งเครื่องแม่ข่ายกลางขึ้นมา เพื่อรวบรวมข้อมูล log จากอุปกรณ์ต่างๆ ทั้งเพื่อให้เป็นไปตามกฎหมาย (ในกรณีที่เป็นผู้ให้บริการ ที่ต้องบันทึกข้อมูลจราจรทางคอมพิวเตอร์) และเพื่อให้สอดคล้องกับมาตรการความมั่นคงปลอดภัย สารสนเทศ ที่น่าสนใจคือ ในสถานการณ์ปรกติ ผู้ดูแลระบบโดยทั่วไปมักไม่ค่อยมีเวลาพิจารณาข้อมูล ดังกล่าวเพราะข้อมูลดังกล่าวมีปริมาณมาก และแต่ละอุปกรณ์ก็มีรูปแบบการบันทึกและข้อมูลสำ� คัญที่ ต้องพิจารณาแตกต่างกันออกไป การวิเคราะห์ข้อมูล log จึงมักทำ� กันเมื่อมีเหตุการณ์ผิดปรกติเกิด ขึ้นแล้วซึ่งก็มักจะไม่ทันการณ์ เพราะความเสียหายได้เกิดขึ้นแล้ว นอกจากนี้การรายงานสถานะระบบ หรือแนวโน้มภัยคุกคามสารสนเทศด้วยข้อมูลเชิงสถิติจากข้อมูล log ก็ยิ่งแทบจะเป็นไปไม่ได้เลย ในมุม ของความมั่นคงปลอดภัยกับข้อมูล log แล้ว คำ� ถามสำ� คัญก็เห็นจะไม่พ้นว่าจะมีวิธีการหรือระบบ อะไรที่จะช่วยในการ • วิเคราะห์และคัดกรองข้อมูล log เพื่อแจ้งเตือนเมื่อเกิดความผิดปกติ • วิเคราะห์ความสัมพันธ์ของข้อมูล log จากอุปกรณ์หลายๆ แบบเพื่อให้เห็นแนวโน้ม ในภาพรวม • จัดเก็บข้อมูล log ทั้งหลายให้เป็นรูปแบบเดียวกันเพื่อประโยชน์ในการสืบค้น (query) • นำ� ข้อมูล log เสนอเป็นรายงานความสอดคล้องตามกฎเกณฑ์มาตรฐาน (compliance) ที่กำ� หนด เป็นอาทิ
  • CYBER THREATS 2013 237 ในการตอบคำ� ถามข้างต้น หลายคนคงนึกถึงคำ� สามคำ� ต่อไปนี้ คือ SEM (Security Event Manager), SIM (Security Information Manager), และ SIEM (Security Information and Event Manager) ในปัจจุบันอาจกล่าวได้ว่าทั้งสามคำ� นี้หมายถึงอุปกรณ์ประเภทเดียวกัน เพียงแต่มีความสามารถต่างกัน โดยที่ SEM นั้นเน้นไปที่รวบรวมและจัดเก็บ log จากอุปกรณ์ต่างๆ เน้นการประมวลผลแบบ real time มีพื้นที่การจัดเก็บข้อมูลและความสามารถในการวิเคราะห์ หาความสัมพันธ์ของข้อมูล log จำ� กัด ในขณะที่ SIM เน้นไปที่ความสามารถในการวิเคราะห์หาความ สัมพันธ์และแนวโน้มของข้อมูล log ซึ่งต้องมีเนื้อที่ในการจัดเก็บ และหน่วยประมวลผลที่ใหญ่กว่า ถ้าให้เทียบกับระบบจัดการฐานข้อมูลก็อาจกล่าวได้ว่า SEM เทียบได้กับฐานข้อมูลที่ตั้งค่าไว้ให้เป็น OLTP ในขณะที่ SIM เทียบได้กับฐานข้อมูลที่ตั้งค่าให้ทำ� งานในแบบ OLAP ส่วน SIEM คือระบบ ที่รวมความสามารถของทั้ง SEM และ SIM เข้าด้วยกัน และเพิ่มความสามารถในการวิเคราะห์ข้อมูล log และด้านความมั่นคงปลอดภัยอื่นๆ อาทิ ความสามารถในการบริหารจัดการภัยคุกคาม (Incident Management) ความสามารถในการระบุรูปแบบ ข้อมูล log ที่ตรงกับรูปแบบ ภัยคุกคามที่เก็บรวบรวมไว้ในฐานความรู้ ให้คำ� แนะนำ� ทั่วไปในการแก้ปัญหาเมื่อตรวจพบช่องโหว่ ของระบบผ่านการวิเคราะห์ข้อมูล log หรือการออกรายงานความสอดคล้องตามกฎเกณฑ์มาตรฐาน ต่างๆ ติดตั้งมาแบบพร้อมใช้ เป็นต้น ปัจจุบันความก้าวหน้าทางเทคโนโลยีและราคาที่ถูกลงของ ฮาร์ดแวร์ ทำ� ให้ผู้ผลิตระบบประมวลผลข้อมูล log เพิ่มความสามารถในผลิตภัณฑ์ของตนเองและ เรียกระบบเหล่านี้เป็น SIEM แทบทั้งสิ้น หากจะให้นิยามระบบดังกล่าว อย่างน้อยต้องมีความสามารถ ดังต่อไปนี้ Data Collection คือความสามารถในการรวบรวมข้อมูล log จาก เครื่องแม่ข่ายและอุปกรณ์ กำ� เนิดข้อมูล log ประเภทต่างๆ ทั้งแบบการส่งข้อมูลมายัง SSIEM โดยตรง ผ่านโพรโทคอล มาตรฐานทั่วไป เช่น Syslog หรือติดตั้งตัวจัดเก็บข้อมูล (Collector Sensor) บนเครื่องแม่ข่าย และอุปกรณ์กำ� เนิดข้อมูล log คุณสมบัติข้อนี้มีความสำ� คัญในแง่ที่ว่า เครื่องแม่ข่ายและอุปกรณ์กำ� เนิด ข้อมูล log ใช้ระบบปฏิบัติการที่แตกต่างกัน จัดเก็บข้อมูล log ในรูปแบบที่แตกต่างกัน ซึ่งผู้ผลิต SIEM แต่ละราย จะระบุรายการของอุปกรณ์และระบบปฏิบัติการ และโพรโทคอลที่ SIEM ของตน รองรับ Aggregation คือความสามารถในการรวบรวมข้อมูลจากข้อมูล log ที่รับมาจากอุปกรณ์ ต่างๆ ซึ่งมีรูปแบบข้อมูลที่แตกต่างกัน นำ� มาจัดเก็บให้อยู่ในรูปแบบเดียวกัน เพื่อประโยชน์ในการ วิเคราะห์และแสดงผล โดยทั่วไปอุปกรณ์กำ� เนิดข้อมูล log เช่น เราท์เตอร์ ไฟร์วอลล์ IPS รวมทั้ง โปรแกรมประยุกต์ ระบบฐานข้อมูล และเว็บเซิร์ฟเวอร์ ต่างก็มีรูปแบบข้อมูล log ของตนเอง SIEM จะต้องสามารถนำ�ข้อมูลมาจัดเก็บในรูปแบบมาตรฐานและลดความซË้ำซ้อน (Normalization) ของ ข้อมูลที่รับมาจัดเก็บไว้ในระบบ SSIEM โดยต้องคงความหมายของข้อมูลเดิมไว้ และจัดเก็บให้ง่ายต่อ การสืบค้นและการประมวลผล เนื่องจากข้อมูล log มีปริมาณมากและซË้ำซ้อนเป็นธรรมชาติ พื้นที่ใน การจัดเก็บและประสิทธิภาพในการเข้าถึงข้อมูล log จึงขึ้นกับความสามารถในการรวบรวมข้อมูลและ การทำ� Normalization โดยทั่วไประบบ SIEM จะจัดเก็บข้อมูล log ส่วนที่ทำ� Normalization แล้วและต้องได้รับการสืบค้นบ่อย ไว้ในระบบฐานข้อมูล เช่น IP ต้นทางและปลายทาง หมายเลขพอร์ต ตารางรหัสผู้ผลิต เป็นต้น ส่วนข้อมูล log ที่เป็นข้อมูลจำ�เพาะอื่นๆ จะเก็บไว้ในรูปแบบแฟ้มข้อมูลระบบ
  • 238 บทความเชิงเทคนิค Correlation คือความสามารถในการหาความสัมพันธ์ของข้อมูล ตามเงื่อนไขที่กำ� หนดไว้ ตัวอย่างเช่น “มี IP ใดบ้างที่เชื่อมต่อเข้ามายัง IP ภายในองค์กรด้วยหมายเลขพอร์ตปลายทางที่สูงกว่า 1024 และถูกไฟร์วอลล์หรือ IPS ตัดการเชื่อมต่อมากกว่า 1,000 เหตุการณ์ต่อ 10 นาที ภายใน 24 ชั่วโมง” หรือ “มี IP ภายในองค์กรใดบ้างที่เชื่อมต่อออกไปยัง IP ภายนอกโดยมีพอร์ตต้นทางเป็น 56444 และหมายเลขพอร์ตปลายทางเป็น 16464 หรือ 16465” หรือ “มี IP ใดบ้างที่เชื่อมต่อเข้า มายังเว็บเซิร์ฟเวอร์ขององค์กรด้วยหมายเลขพอร์ตปลายทาง ที่ไม่ใช่พอร์ต 80 เป็นจำ� นวนมากกว่า 6,000 เหตุการณ์ต่อ 10 นาที” เป็นต้น จะเห็นได้ว่าความสามารถข้อนี้มีประโยชน์อย่างยิ่งในแง่ของ ความมั่นคงปลอดภัย สารสนเทศและการพิสูจน์พยานหลักฐานดิจิทัล Alerting คือความสามารถในการแจ้งเตือนไปยังผู้ดูแลระบบ เมื่อตรวจพบข้อมูล log ที่ สอดคล้องกับเงื่อนไขที่ตั้งไว้หรือเมื่อมีการตรวจพบผลของการทำ� Correlation ตามเงื่อนไขที่กำ� หนด ซึ่งระบบการแจ้งเตือนควรจะต้องส่งผ่านช่องทางอีเมลได้เป็นอย่างน้อย เพื่อให้ผู้ดูแลระบบหรือ ผู้เกี่ยวข้องรับมือกับเหตุการณ์ที่เกิดขึ้นได้อย่างทันท่วงที Dashboards นำ� เสนอกระดานแสดงสถานะข้อมูลระบบ เพื่อให้ผู้ดูแลระบบบริหารจัดการ ข้อมูลได้สะดวก เนื่องจาก SIEM นั้นมีข้อมูลข่าวสารที่สำ� คัญหลากหลายซึ่งไม่สะดวกและไม่ทันท่วงที หากไม่มี Dashboard Compliance ความสามารถในการรวบรวมข้อมูล log เพื่อนำ� เสนอรายงานความสอดคล้อง ตามกฎเกณฑ์มาตรฐาน เช่น ISO 27001, PCI, FISMA Retention รองรับการจัดเก็บข้อมูลในระยะยาวเพื่อการวิเคราะห์ Threat Intelligence คือความสามารถในการรับข้อมูลจากแหล่งรวบรวมข้อมูลภัยคุกคาม (Threat Management) จากอินเทอร์เน็ต ข้อมูลดังกล่าวก็อย่างเช่น รายการ IP ที่ถูกขึ้นบัญชีดำ� รูปแบบการเรียกใช้ข้อมูลผ่าน URL ที่เป็นอันตราย รวมทั้งช่องโหว่ที่มีผู้แจ้งเอาไว้ SIEM นำ� ข้อมูล ดังกล่าวมาประมวลผลร่วมกับ Correlation เพื่อคัดกรองหาร่องรอยหรือแนวโน้มภัยคุกคาม สารสนเทศหรือช่องโหว่ นอกจากนั้น Threat Intelligence ของผู้ผลิตบางรายยังสามารถให้ คำ� แนะนำ� ในการแก้ไขช่องโหว่หรือภัยคุกคามที่ตรวจพบจากข้อมูล log ได้อีกด้วย Incident Management มีความสามารถในการจัดการ Incident ที่เกิดขึ้น กล่าวคือ เมื่อ Correlation ตรวจพบข้อมูลสอดคล้องตามเงื่อนไขที่กำ� หนดก็จะนำ� ไปสร้างเป็นรายการปัญหา ที่ตรวจพบ (incident) ซึ่งจะต้องมีรายละเอียดของปัญหา ระดับความเร่งด่วน ระดับความรุนแรง รวมถึงข้อมูลจำ� เป็นอื่นๆ เพื่อให้ผู้ดูแลระบบ ติดตาม แก้ปัญหา และบันทึกไว้เป็นการอ้างอิงได้ต่อไป สังเกตว่า SIEM ต้องใช้ทรัพยากรของระบบในการประมวลผลสูง และเกิดคอขวดได้ง่าย เมื่อมี จำ� นวนข้อมูล log นำ� เข้าสู่ระบบมากขึ้น SIEM ควรจะมีคุณสมบัติรองรับการเพิ่มประสิทธิภาพ ทั้งแบบการเพิ่มขีดความสามารถด้วยการเพิ่มประสิทธิภาพของทรัพยากรระบบ (Scale Up) และ แบบขยายเพิ่มจำ� นวนทรัพยากรระบบ (Scale Out) โดยเฉพาะอย่างยิ่ง หน่วยจัดเก็บข้อมูล ซึ่งควร จะรองรับการเชื่อมต่อกับ SAN และ NAS
  • CYBER THREATS 2013 239
  • 240 บทความเชิงเทคนิค GLOBAL SURVEILLANCE: ตอนที่ 2 ผู้เขียน : ไพชยนต์ วิมุกตะนันทน์ วันที่เผยแพร่ : 5 พฤศจิกายน 2556 ปรับปรุงล่าสุด : 5 พฤศจิกายน 2556 ในตอนที่แล้ว [1] ผู้เขียนได้เล่าถึงวิธีการดักรับข้อมูล ด้วยการเปลี่ยนทิศทางข้อมูลในระดับ ISP ต่อ ISP (จริงๆ คือระดับ AS ต่อ AS) มาแล้ว อาจจะมีผู้อ่านบางท่านสงสัยว่า ข้อมูลในปัจจุบันนี้ อย่าว่าแต่ใช้วิธีหลอก BGP routing เลย แม้แต่จะมาดักข้อมูลกันโดยตรงในระบบเครือข่ายของผู้รับ หรือผู้ส่งก็ยังไม่อาจทำ� ได้โดยง่าย เพราะส่วนมากข้อมูลที่เรียกได้ว่าสำ� คัญสักหน่อย ก็มีการเข้ารหัสลับ ข้อมูลกันทั้งสิ้น ที่รู้จักกันดีก็คือ https หรือ SSL/TLS ที่ใช้การเข้ารหัสลับระดับ 1024 bits เป็น อย่างน้อย ถึงแม้ว่าความเร็วของเครื่องคอมพิวเตอร์ในปัจจุบันเพิ่มขึ้นอย่างมาก แต่ก็ยังไม่มีหลักฐาน ที่แน่ชัดว่า SSL/TLS ที่ใช้การเข้ารหัสลับระดับตË่ำสุดที่ 1024 bits จะสามารถถูก “เจาะ” ได้ด้วยวิธี ทางตรง คือการสุ่มหา Key ที่ถูกต้อง (วิธีการ Bruteforce) ได้ง่ายๆ ยิ่งไปกว่านั้น ส่วนมากขนาด ของ Key ในปัจจุบันนี้ก็ขยับกันขึ้นไปอยู่ที่ 2048 bits กันเสียเป็นส่วนมาก ส่วนวิธีการเจาะโดย อ้อม คือใช้ช่องโหว่ของอัลกอริทึมนั้น ก็ดูเหมือนจะเป็นไปได้ยากเช่นกัน เพราะอัลกอริทึมเท่าที่มีเหลือ ใช้งานในปัจจุบัน ก็ล้วนแต่ผ่านการวิเคราะห์และศึกษากันมาอย่างเข้มข้นพอสมควรจนอาจจะกล่าวได้ว่า คงไม่มีช่องโหว่เหลืออยู่กันอีกแล้ว การเข้ารหัสลับทุกชนิดนั้น ความสำ� คัญของมันอยู่ที่ Key ที่จะเป็นระบบ Symmetric (ใช้ Key เดียวทั้งเข้าและถอด) หรือ Asymmetric (ใช้ Key ใดเข้าต้องเอาอีก Key หนึ่งถอด) ก็ตาม ถ้าหาก ผู้ไม่หวังดีได้ Key ที่ว่านี้ไปก็เท่ากับจบเกมทันที ดังนั้น ขบวนการเข้ารหัสลับจึงจำ� เป็นต้องมีระบบการ บริหารจัดการ Key (Key Management) ที่เชื่อถือได้ และสะดวกต่อการใช้งานในชีวิตจริง การเข้ารหัสลับที่พบเห็นได้ทั่วไปสำ� หรับผู้ใช้งานแทบทุกระดับ ก็คงไม่พ้น TLS/SSL ที่มีใช้อยู่ใน https, smtps, imaps และอื่นๆ อีกจำ� นวนหนึ่ง ซึ่งเราเชื่อถือกันมาอย่างยาวนาน ถึงแม้จะมีข่าว เรื่องการพบช่องโหว่ใน TLS/SSL รุ่นต่างๆ แต่สำ� หรับ TLS รุ่น 1.1 และ 1.2 ที่เริ่มมีการใช้งานมากขึ้น ในปัจจุบันก็ได้มีการแก้ไขช่องโหว่เหล่านั้นไปจนเกือบหมดแล้ว ประโยชน์ของการเข้ารหัสลับแบบนี้ก็คือมี การทำ� Key Management ที่ง่าย และมีประสิทธิภาพ นั่นคือ Client และ Server มีการ แลกเปลี่ยน Key ซึ่งเป็นชนิด Asymmetric กันโดยอัตโนมัติ นอกจากนั้นยังมีการรับรองว่า Key
  • CYBER THREATS 2013 241 ที่ได้จาก Server นั้น เป็น Key ที่ถูกต้องด้วยกลไก PKI (อาศัย CA เป็นผู้รับรอง) อีกด้วย กระบวนการนี้เป็นกระบวนการเบื้องหลังที่ผู้ใช้งานอาจจะไม่รู้สึก ซึ่งในแง่หนึ่งก็เป็นเรื่องของความ สะดวกที่ผู้ใช้ไม่จำ� เป็นต้องมีความเข้าใจกลไกอะไรทั้งสิ้น แต่ก็สามารถเชื่อมต่อกับปลายทางได้อย่าง มั่นคงปลอดภัย แต่ถ้าเป็นคนมองโลกในแง่ร้ายก็คือ เชื่อได้แค่ไหนว่ากระบวนการการเข้ารหัสลับนี้จะ ทำ� งานได้อย่างที่มันควรจะทำ� ? เราจะมาลองดูกันว่า ถ้าต้องการทำ� ลายความมั่นคงปลอดภัยของการ เข้ารหัสลับด้วย TLS/SSL จะสามารถทำ� ได้อย่างไร ดังที่กล่าวแล้วว่า TLS/SSL เป็นการเข้ารหัสลับในรูปแบบ PKI หรือ Public Key Infrastructure ที่คำ� ว่า Infrastructure นี้เองเป็นคำ� ที่สำ� คัญ เพราะแสดงให้เห็นว่าประกอบด้วย ของหลายส่วน ส่วนที่ผู้เขียนจะขอพูดถึงในครั้งนี้ก็คือ CA (Certificate Authority) ที่เราเชื่อถือ และยอมรับให้เป็นผู้รับรองความถูกต้องของการเข้ารหัสลับนั่นเอง 1 ซึ่งตามปกติ เมื่อ CA จะออก ใบรับรองอิเล็กทรอนิกส์ เพื่อใช้ในการเข้ารหัสลับแบบ SSL/TLS กับโดเมนใดๆ ยกตัวอย่างเช่น mysecuredomain.com ทาง CA ก็ต้องมีการพิสูจน์ว่า ผู้ที่ส่งคำ� ขอให้ออกใบรับรอง เป็นเจ้าของ mysecuredomain.com จริง ซึ่งขั้นตอนนี้มีความแตกต่างปลีกย่อยกันไปใน CA แต่ละราย โดย ส่วนมากจะอ้างอิงตามข้อมูลใน Whois record เป็นหลัก อาจจะกล่าวได้ว่า CA มีการตรวจสอบ การเป็นเจ้าของโดเมน (Domain Ownership) ที่น่าเชื่อถือในระดับหนึ่ง ซึ่งในเรื่องนี้ถือว่าเป็นเครื่องชี้ ความอยู่รอดของ CA ประการหนึ่งก็ว่าได้ เพราะหาก CA ตรวจสอบไม่ดีพอ เปิดโอกาสให้ผู้ไม่หวังดี ไปลักลอบขอใบรับรองสำ� หรับโดเมนที่ไม่ได้เป็นเจ้าของได้ (และมหาชนรับรู้) มีโทษถึงหมดความ น่าเชื่อถือ ต้องปิดกิจการกันเลยทีเดียว สมมติว่า ผู้ไม่หวังดีต้องการดักรับข้อมูลของโดเมน mysecuredomain.com ซึ่งมี ใบรับรองอิเล็กทรอนิกส์ของตัวเองอยู่แล้ว การที่ผู้ไม่หวังดีจะสร้างเครื่องแม่ข่ายปลอมของ mysecuredomain.com และหลอกล่อให้เหยื่อเข้าไปสู่เครื่องแม่ข่ายนี้ได้ (อาจใช้ DNS Poison, Malware หรือ ARP Poison ก็ตาม) เหยื่อก็อาจสังเกตได้ว่า mysecuredomain.com ปลอมนี้ ไม่มี SSL ทำ� ให้ไหวตัวทัน หรือถ้าผู้ไม่หวังดีจะสร้างใบรับรองขึ้นมาเอง ก็ยิ่งทำ� ให้เหยื่อรู้ตัวเร็วเข้าไป อีก เพราะเว็บเบราว์เซอร์ของเหยื่อย่อมมีการเตือน “ใบรับรองที่ไม่น่าเชื่อถือ” (Untrusted Certificate) ขึ้นมา ทางเดียวที่ผู้ไม่หวังดีจะหลอกได้อย่างแนบเนียนก็คือ ต้องไปหาใบรับรองที่ “น่าเชื่อถือ” ของ mysecuredomain.com มาให้ได้ ซึ่งอย่างที่กล่าวแล้วว่า CA ต้องตรวจความเป็น เจ้าของโดเมนก่อน จึงอาจจะกล่าวได้ว่า หากเป็น CA ชั้นนำ� การถูกหลอกลวงให้ออกใบรับรอง โดยผู้ที่ไม่ใช่เจ้าของโดเมนได้นั้นย่อมเป็นไปได้ยาก และอาจถูกตรวจสอบพบได้โดยง่าย นอกจากนี้ การเจาะระบบของ CA เพื่อลักลอบออกใบรับรองในรูปแบบการดำ� เนินการของ CA บางแห่งที่มี ความมั่นคงปลอดภัยสูงก็แทบเป็นไปไม่ได้เลย เพราะจะมีการตรวจสอบซË้ำด้วยเจ้าหน้าที่ก่อนที่จะออก ใบรับรองทุกครั้ง แต่ถ้าหากว่ามีอำ� นาจมืดบางประการที่บังคับ CA ให้ออกใบรับรองของโดเมนใดๆ ได้ จะเกิดอะไร ขึ้น? “ผู้ไม่หวังดี” ที่อยู่ข้างเดียวกับอำ� นาจมืดดังกล่าว ย่อมสามารถที่จะสร้างเครื่องแม่ข่ายปลอมของ โดเมนใดๆ ได้ โดยที่ผู้ใช้ส่วนมากไม่มีทางทราบ เพราะต่อให้เป็นใบรับรองคนละใบกับเครื่องแม่ข่าย ที่แท้จริง (อาจจะออกจากคนละ CA กัน) แต่ก็เป็นใบรับรองที่ “น่าเชื่อถือ” เช่นเดียวกับใบที่แท้จริง
  • 242 บทความเชิงเทคนิค หรือต่อให้ผู้ใช้งานลงทุนตรวจสอบรายละเอียดในใบรับรองทุกครั้งก่อนจะป้อนข้อมูลใดๆ ในเว็บไซต์ (เว็บเบราว์เซอร์ทั่วไปสามารถแสดงรายละเอียดนี้ได้) หรือใช้วิธีการตรวจสอบแบบอัตโนมัติ เช่น ในเว็บ เบราว์เซอร์ Firefox มี Add-on ที่ชื่อ Certificate Patrol [2] ที่จะตรวจสอบใบรับรองของ เครื่องแม่ข่าย และแจ้งเตือนเมื่อพบการเปลี่ยนแปลง แต่การที่พบว่าผู้ออกใบรับรอง (คือ CA หรือใน ใบรับรองจะเรียกว่า Issuer) เปลี่ยนไปจากเดิม ก็อาจไม่ถือว่าเป็นเรื่องแปลกแต่อย่างใด เพราะบาง โดเมนอาจมีการขอใบรับรองจาก CA มากกว่า 1 แห่ง หรือเป็นใบรับรองใหม่ที่ออกทดแทนใบเดิมที่ กำ� ลังจะหมดอายุก็ได้ หรืออาจเป็นใบรับรองที่ออกมาโดยเจ้าของโดเมนไม่ได้รับทราบ เพื่อประโยชน์ ในการดักข้อมูลก็เป็นได้เช่นกัน แต่ที่แน่ๆ ในระดับของผู้ใช้งานส่วนมาก ไม่มีทางทราบได้ว่ากำ� ลังถูก ดักข้อมูลด้วยใบรับรอง “จริง” ที่ “ปลอม” นี้อย่างแน่นอน CA เป็นธุรกิจที่ขายความน่าเชื่อถือ มีระเบียบปฏิบัติและกระบวนการทำ� งานที่เป็นระบบ และ เคร่งครัด แต่ก็ไม่ได้มีข้อจำ� กัดใดที่ “ผู้ที่อยู่เหนือกว่า” จะเข้ามาแทรกแซงไม่ได้ โดยเฉพาะ “ผู้ที่อยู่เหนือ กว่า” ระดับหน่วยงานความมั่นคง หรือรัฐบาลบางประเทศ ที่มีนโยบายในการ “เฝ้าระวัง” เพื่อเหตุผล ด้านความมั่นคงของประเทศ เชิงอรรถ 1 ที่จริงคือ ความถูกต้องของใบรับรองอิเล็กทรอนิกส์ ที่ใช้เป็น Key ตัวหนึ่งในการเข้ารหัสลับ แต่จะไม่ขอพูดถึง รายละเอียดในที่นี้ อ้างอิง 1. https://www.thaicert.or.th/papers/technical/2013/pa2013te006.html 2. https://addons.mozilla.org/en-us/firefox/addon/certificate-patrol/
  • CYBER THREATS 2013 243
  • 244 บทความเชิงเทคนิค BADBIOS มัลแวร์ที่ส่ง ข้อมูลผ่านคลื่นเสียง เรื่องจริงหรือโกหก? ผู้เขียน : เสฏฐวุฒิ แสนนาม วันที่เผยแพร่ : 5 พฤศจิกายน 2556 ปรับปรุงล่าสุด : 5 พฤศจิกายน 2556 เมื่อวันที่ 31 ตุลาคม 2556 นาย Dragos Ruiu นักวิจัยด้านความมั่นคงปลอดภัยและ ผู้ก่อตั้งงานแข่งขันเจาะระบบคอมพิวเตอร์ อย่าง Pwn2Own ได้เผยแพร่ผลการวิเคราะห์มัลแวร์ ชนิดใหม่ที่ฝังตัวอยู่ในไบออส (BIOS) ของเครื่องคอมพิวเตอร์ ความพิเศษของมัลแวร์ตัวนี้คือใช้ วิธีการแพร่กระจายข้อมูลผ่านการส่งคลื่นเสียงความถี่สูง หลังจากที่บทความนี้ได้รับการเผยแพร่บน เว็บไซต์ข่าวไอทีชื่อดังอย่าง Arstechnica [1] ก็มีผู้คนให้ความสนใจและตั้งคำ� ถามเกี่ยวกับประเด็นและ ความสามารถของมัลแวร์ตัวใหม่นี้เป็นจำ� นวนมาก ก่อนที่จะไปว่ากันถึงเรื่องการทำ� งานของมัลแวร์ ขออธิบายความเข้าใจเบื้องต้นเกี่ยวกับไบออสและ ระบบการทำ� งานของคอมพิวเตอร์ก่อน ไบออสคืออะไร โดยปกติเมื่อเราเปิดเครื่องคอมพิวเตอร์ จะมีการรันโปรแกรมเล็กๆ ที่อยู่ในชิปบนเมนบอร์ด เพื่อ ทำ� การตรวจสอบและควบคุมฮาร์ดแวร์ที่เชื่อมต่ออยู่ จากนั้นก็เริ่มต้นการทำ� งานของระบบและโหลด ระบบปฏิบัติการขึ้นมาทำ� งาน โปรแกรมเล็กๆ ที่ว่านี้เรียกว่า BIOS (Basic Input/Output System) สมัยก่อนโปรแกรมในไบออสจะฝังอยู่ในชิป ROM ของเมนบอร์ดมาตั้งแต่ในโรงงานที่ผลิต ซึ่งไม่ สามารถเปลี่ยนแปลงข้อมูลในนั้นได้ แต่ปัจจุบันโปรแกรมในไบออสได้เปลี่ยนจากการเก็บใน ROM มาเก็บ ในหน่วยความจำ� แบบแฟลช (Flash memory) ซึ่งทำ� ให้สามารถแก้ไขข้อมูลข้างในได้ (วิธีการนี้เรียก อย่างไม่เป็นทางการว่า แฟลชรอม หรือ แฟลชไบออส) ตัวอย่างชิปไบออสเป็นดังรูปที่ 1
  • CYBER THREATS 2013 245 รูปที่ 1 ตัวอย่างชิปไบออส (ที่มา : Wikipedia [2]) จะเกิดอะไรขึ้นหากมีผู้ไม่หวังดีเปลี่ยนแปลงแก้ไขข้อมูลโปรแกรมในส่วนนี้ ให้ทำ� งานผิดปกติไป หรือฝังโค้ดอันตรายเอาไว้ให้เรียกใช้งานได้ทุกครั้งที่เปิดเครื่อง? badBIOS นาย Dragos อ้างว่าได้ค้นพบมัลแวร์ badBIOS นี้ตั้งแต่เมื่อ 3 ปีก่อน โดยเครื่อง Macbook Air ที่พึ่งติดตั้งระบบปฏิบัติการ OS X เสร็จใหม่ๆ อยู่ๆ ก็แสดงอาการแปลกๆ ไม่ว่าจะเป็นไม่ยอมให้บู๊ต จากแผ่นซีดีรอมหรือแก้ไขข้อมูลการตั้งค่าไบออสกลับเป็นค่าเดิมเองโดยไม่แสดงอะไรให้ผู้ใช้ทราบ ไม่นานนัก คอมพิวเตอร์เครื่องอื่นๆ ในห้องแล็บก็เริ่มแสดงอาการผิดปกติไปตามๆ กัน ไม่ว่าจะเป็น เครื่องที่ติดตั้งระบบปฏิบัติการ Open BSD, Windows หรือ Linux หรือแม้กระทั่งเครื่องที่ ตัดขาดจากระบบอื่นๆ โดยสิ้นเชิง (Air gap) [3] เครื่องที่ไม่ได้เชื่อมต่อกับระบบเครือข่ายอะไรเลย หรือแม้กระทั่งเครื่องที่มีการถอดสาย LAN และ Network card ออกแล้วก็ตาม ก็ยังพบว่าเครื่อง ดังกล่าวมีการแก้ไขข้อมูลในไบออสได้เองโดยที่ผู้ใช้ไม่ได้ทำ� อะไร และถึงแม้จะเปลี่ยนฮาร์ดดิสก์ใหม่และ ติดตั้งระบบปฏิบัติการใหม่ สักพักอาการผิดปกตินี้ก็กลับมาเป็นเหมือนเดิมอีก ในเบื้องต้น นาย Dragos สันนิษฐานว่ามัลแวร์ดังกล่าวนี้น่าจะแพร่กระจายผ่าน USB Drive โดยเขาได้ซื้อเครื่องคอมพิวเตอร์มาใหม่ หลังจากที่เอา USB Drive ที่เคยเอาไปเสียบกับเครื่องที่ ติดมัลแวร์ badBIOS มาเสียบเข้ากับเครื่องที่ซื้อมาใหม่ ก็พบว่าคอมพิวเตอร์เครื่องใหม่นั้นติดมัลแวร์
  • 246 บทความเชิงเทคนิค ในทันที เขาสันนิษฐานว่าน่าจะมีโค้ดบางส่วนในไบออสที่มีช่องโหว่ Buffer Overflow และคนเขียน มัลแวร์ badBIOS ก็ใส่โค้ดที่โจมตีช่องโหว่ที่ว่านี้ไว้ในส่วน Controller ของตัว USB Drive ทำ� ให้แค่ เสียบ USB Drive เข้ากับเครื่องก็สามารถถูกแทรกโค้ดอันตรายลงในไบออสได้ทันที ถึงแม้จะรู้แล้วว่ามัลแวร์น่าจะฝังตัวอยู่ใน BIOS, UEFI หรือเฟิร์มแวร์ของอุปกรณ์อื่นๆ ในเครื่อง ที่ติด แต่ก็ไม่สามารถตอบคำ� ถามได้ว่าทำ� ไมมัลแวร์ดังกล่าวนี้ถึงแพร่กระจายไปติดในเครื่องที่ไม่ได้เชื่อม ต่อกับระบบเครือข่ายอะไรเลยได้ ในการวิเคราะห์ว่ามัลแวร์ส่งข้อมูลผ่านเครื่องที่ไม่ได้เชื่อมต่อกับเครื่องอื่นๆ เลยได้อย่างไร เขาได้ ทดลองดักข้อมูลแพ็กเก็ตโดยใช้เครื่องมือพิเศษ (ในบทความต้นฉบับไม่ได้เปิดเผยว่าใช้เครื่องมือหรือวิธี การอะไร) โดยพบว่าถึงแม้จะถอดการ์ด WiFi และ Bluetooth ออกจากเครื่องไปแล้ว ก็ยังมีการส่ง ข้อมูลออกไปจากเครื่องที่ติดมัลแวร์ได้ และเมื่อลองถอดปลั๊กเครื่องโน้ตบุ๊กเพื่อจะดูว่ามีการส่งข้อมูล ผ่านกระแสไฟฟ้าหรือเปล่า ก็ยังมีการส่งข้อมูลได้อยู่ดี จนกระทั่งเขาได้ถอดลำ� โพงและไมโครโฟนออก จากเครื่อง การส่งข้อมูลก็หยุดลง มัลแวร์ badBIOS ใช้วิธีการส่งข้อมูลผ่านคลื่นเสียงความถี่สูง จากลำ� โพงของเครื่องที่ติดมัลแวร์ ส่งไปยังไมโครโฟนของเครื่องปลายทาง โดยใช้ Software Defined Radio (SDR) ถึงแม้ว่าเรื่องแบบนี้อาจจะฟังดูเหลือเชื่อเกินไปสักหน่อย แต่การใช้ลำ� โพงสร้างคลื่นเสียง Ultrasonic เพื่อใช้ในการสื่อสาร ก็มีนักวิทยาศาสตร์จาก MIT ได้ทำ� งานวิจัยเรื่องนี้แล้วพบว่าสามารถ ทำ� ได้จริง หัวข้องานวิจัยนี้ชื่อ Ultrasonic Local Area Communication [4] ตัวอย่างการส่ง ข้อมูลโดยใช้หลักการนี้สามารถดูได้จากคลิปด้านล่าง [5] ที่มา : http://www.youtube.com/watch?v=qzqCX2rB1oc
  • CYBER THREATS 2013 247 แต่การส่งข้อมูลผ่านคลื่นเสียงความถี่สูงนี้ไม่ได้ใช้สำ� หรับการแพร่กระจายมัลแวร์ โดยนาย Dragos บอกว่าการแพร่กระจายมัลแวร์มีอยู่ด้วยกัน 2 วิธี อย่างแรกคือ USB Drive แต่อีกอย่าง นั้นในตอนนี้ยังเปิดเผยไม่ได้จนกว่าจะมีแพทช์ออกมา สำ� หรับการส่งข้อมูลผ่านคลื่นเสียงนั้นใช้เพื่อ ควบคุมและสั่งการ (Command & Control) เครื่องที่ติดมัลแวร์เท่านั้น [6] นอกจากนี้นาย Dragos ยังได้โพสต์ผลการวิเคราะห์ของเขาลงใน Twitter [7] และ Google+ [8] ส่วนตัวอยู่เรื่อยๆ ตัวอย่างข้อมูลเพิ่มเติมที่ได้จากการวิเคราะห์ เช่น [9] • มัลแวร์บล็อกไม่ให้มีการเชื่อมต่อไปยังเว็บไซต์สำ� หรับดาวน์โหลด Firmware controller ที่ประเทศรัสเซีย • เมื่อใช้เครื่องที่ติดมัลแวร์เขียนซีดี ในแผ่นซีดีดังกล่าวจะมีไฟล์ประหลาดๆ โผล่มาด้วย • มัลแวร์น่าจะติดได้บนไบออสบางรุ่นเท่านั้น แต่ดูเหมือนจะสามารถทำ� งานได้บนหลาย OS • คลื่นเสียง 35 kHz ที่จับได้ เมื่อนำ� มาขยาย 20 เท่า จะพบว่ามีลักษณะคล้ายช่วง สัญญาณ ดังรูปที่ 2 รูปที่ 2 ตัวอย่างคลื่นเสียงที่ส่งจากมัลแวร์ badBIOS เมื่อนำ� มาขยาย 20 เท่า (ที่มา : +Dragos Ruiu [10]) อย่างไรก็ตาม นาย Dragos ยังไม่ได้เปิดเผยข้อมูลอะไรของ badBIOS มากในตอนนี้ โดยบอก เพียงแค่ว่าจะมีข้อมูลเพิ่มเติมในงาน PacSec ที่จะจัดขึ้นในวันที่ 13-14 พฤศจิกายนนี้ ณ กรุง โตเกียว ประเทศญี่ปุ่น [11] เรื่องจริงหรือโกหก? ถึงแม้ว่าการที่จะมีมัลแวร์ฝังตัวในไบออส และใช้วิธีส่งข้อมูลผ่านคลื่นเสียงจะเป็นสิ่งที่สามารถ ทำ� ได้ แต่ก็มีผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยหลายคนตั้งคำ� ถามเกี่ยวกับบทสรุปดังกล่าว ตัวอย่างข้อสงสัยในเรื่องนี้ เช่น สาเหตุหนึ่งที่เป็นไปได้ในการติดมัลแวร์คือการเสียบ USB Drive แต่ทำ� ไมถึงยังไม่มีการวิเคราะห์ข้อมูลที่ส่งผ่าน USB Drive ทั้งๆ ที่น่าจะมีประเด็นสำ� คัญที่จะนำ� ข้อมูล มาใช้งานต่อได้ หรือแม้กระทั่งการส่งข้อมูลผ่านเสียง ซึ่งในทางทฤษฎีแล้วสามารถส่งข้อมูลได้สูงสุดแค่ ไม่เกิน 600 ไบต์ต่อวินาทีเท่านั้น ถ้าต้องการส่งข้อมูล TCP แค่ 1 แพ็กเก็ตต้องใช้เวลาถึง 2 วินาที
  • 248 บทความเชิงเทคนิค การส่งโค้ดของมัลแวร์ผ่านช่องทางนี้จึงเป็นไปได้ยาก [12] นาย Igor Skochinsky นักพัฒนาซอฟต์แวร์จากบริษัท Hex-Ray ผู้ผลิตโปรแกรมสำ� หรับ ใช้ในการ Reverse Engineer อย่าง IDA ได้ตรวจสอบข้อมูล BIOS dump จากเครื่องที่นาย Dragos อ้างว่าติดมัลแวร์ badBIOS แต่กลับไม่พบสิ่งที่น่าสงสัยว่าเป็นมัลแวร์อยู่ในเฟิร์มแวร์ดังกล่าว [13] นาย Phillip R. Jaenke ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย ได้ออกมาโต้แย้งว่าการวิเคราะห์ ข้อมูลของมัลแวร์ของนาย Dragos มีความผิดพลาด เป็นไปไม่ได้ที่จะสร้างมัลแวร์ที่ติดในไบออส เครื่องหนึ่งแล้วจะกระจายตัวไปติดในไบออสของเครื่องอื่นได้ เนื่องจากเฟิร์มแวร์ของไบออสนั้นเป็นของ ใครของมัน ไม่สามารถนำ� ไปใส่ลงในไบออสของเครื่องอื่นได้ และถ้าหากมีโค้ดอันตรายที่ว่าอยู่ในไบออส จริงๆ ก็มีเครื่องมือสำ� หรับใช้ดูโค้ดดังกล่าวอยู่แล้ว ซึ่งสำ� หรับผู้เชี่ยวชาญแล้วก็ไม่ใช่เรื่องยากที่จะดู ข้อมูลพวกนี้ นอกจากนี้พื้นที่สำ� หรับเก็บข้อมูลในไบออสโดยส่วนใหญ่ก็มีแค่ 8 MB หรือใน UEFI ก็มี แค่ 4 MB เท่านั้น ซึ่งเป็นไปได้ยากที่จะเก็บข้อมูลของมัลแวร์ที่มีการทำ� งานสลับซับซ้อนขนาดนี้ได้ [14] ทางด้านนาย Robert Graham นักวิจัยด้านความมั่นคงปลอดภัย ผู้เขียนโปรแกรม BlackICE ได้แสดงความเห็นสนับสนุนต่อการวิเคราะห์มัลแวร์ของนาย Dragos ว่าพฤติกรรมของ badBIOS นั้นสามารถเป็นไปได้จริง [15] นาย Robert กล่าวว่า นอกจากจะสามารถเขียนข้อมูลลงในหน่วยความจำ� แบบแฟลชของไบออส ในเครื่องคอมพิวเตอร์ได้แล้ว ในอุปกรณ์ฮาร์ดแวร์ส่วนใหญ่ เช่น คีย์บอร์ด, กล้อง, แบตเตอรี่, ฮาร์ดดิสก์, การ์ดแลน, การ์ด Bluetooth, การ์ด WiFi, การ์ดจอ ฯลฯ ก็มีหน่วยความจำ� แบบแฟลช อยู่ภายในด้วยเช่นกัน ซึ่งหากมีผู้ไม่หวังดีต้องการเขียนมัลแวร์เพื่อฝังลงในอุปกรณ์เหล่านี้ก็สามารถ ทำ� ได้ สำ� หรับวิธีการส่งข้อมูลไปยังคอมพิวเตอร์เครื่องอื่นโดยใช้คลื่นเสียงความถี่สูงนั้นก็ไม่ใช่เทคนิค ที่แปลกใหม่อะไร เพราะโมเด็ม (Modem) ก็ใช้หลักการเดียวกันนี้ในการรับส่งข้อมูลผ่านสายโทรศัพท์ และลำ� โพงในเครื่องคอมพิวเตอร์สมัยใหม่ก็สามารถสร้างคลื่นความถี่เสียงที่มนุษย์ไม่ได้ยินได้ หากผู้ไม่ หวังดีต้องการใช้คลื่นความถี่ช่วงนี้เพื่อให้มัลแวร์ใช้ส่งข้อมูล ซอร์สโค้ดของโปรแกรมที่ใช้สั่งให้ลำ� โพง ส่งคลื่นความถี่เสียงแบบนี้ก็มีเผยแพร่อยู่ทั่วไปตามอินเทอร์เน็ต สำ� หรับการติดมัลแวร์ผ่าน USB Drive ในทันทีที่เสียบอุปกรณ์ดังกล่าวเข้ากับเครื่อง คอมพิวเตอร์นั้นก็เป็นเรื่องที่เป็นไปได้ เนื่องจากใน USB Drive เองก็มีส่วนของ Controller ซึ่ง ภายในมีเฟิร์มแวร์อยู่ อีกทั้งยังมีเว็บไซต์อย่าง http://flashboot.ru/ ที่เผยแพร่ข้อมูลเฟิร์มแวร์ของ อุปกรณ์ USB หลายๆ ตัวอยู่แล้ว และนอกจากนี้ไดรฟเวอร์ของอุปกรณ์ USB บางตัวมีช่องโหว่ Buffer Overflow ทำ� ให้สามารถโจมตีระบบที่ติดตั้งไดรฟเวอร์ดังกล่าวได้ผ่านอุปกรณ์ USB ที่แก้ไขข้อมูลเฟิร์มแวร์
  • CYBER THREATS 2013 249 สรุป ในขณะนี้เรายังไม่อาจทราบได้ว่าการค้นพบมัลแวร์ badBIOS และเทคนิคที่มัลแวร์ตัวนี้ใช้ ในการแพร่กระจายข้อมูลจะเป็นเรื่องจริง หรือเป็นแค่ความผิดพลาดในการวิเคราะห์ แต่ก็ถือเป็น เรื่องที่น่าสนใจ เพราะหากเป็นเรื่องจริงก็ถือว่าการค้นพบนี้มีผลกับความมั่นคงปลอดภัยของ เครื่องคอมพิวเตอร์ทั่วโลกไม่น้อยทีเดียว อ้างอิง 1. http://arstechnica.com/security/2013/10/meet-badbios-the-mysterious-mac-and-pc-malware- that-jumps-airgaps/ 2. http://en.wikipedia.org/wiki/BIOS 3. https://www.schneier.com/blog/archives/2013/10/air_gaps.html 4. http://alumni.media.mit.edu/~wiz/ultracom.html 5. http://www.youtube.com/watch?v=qzqCX2rB1oc 6. http://nakedsecurity.sophos.com/2013/11/01/the-badbios-virus-that-jumps-airgaps-and- takes-over-your-firmware-whats-the-story/ 7. https://twitter.com/dragosr 8. https://plus.google.com/103470457057356043365/posts 9. https://kabelmast.wordpress.com/2013/10/23/badbios-and-lotsa-paranoia-plus-fireworks/ 10. https://plus.google.com/photos/103470457057356043365/lbums/59422493988455 18961/5942249400698584306?pid=5942249400698584306&o id=103470457057356043365 11. http://pacsec.jp/ 12. http://news.softpedia.com/news/BadBIOS-Malware-Reality-or-Hoax-396177.shtml 13. http://www.reddit.com/r/netsec/comments/1o7jvr/bios_backdoor_bridges_airgapped_ networks_using_sdr/ccpw67k 14. http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/ 15. http://blog.erratasec.com/2013/10/badbios-features-explained.html
  • 250 บทความเชิงเทคนิค CRYPTOLOCKER: เรื่องเก่าที่ถูกเอามาเล่าใหม่ ผู้เขียน : ธงชัย ศิลปวรางกูร วันที่เผยแพร่ : 6 พฤศจิกายน 2556 ปรับปรุงล่าสุด : 6 พฤศจิกายน 2556 เป็นที่ทราบกันดีว่าทุกคนย่อมเคยมีประสบการณ์ที่คอมพิวเตอร์ของตนเองติดมัลแวร์ ไม่ว่าจะ เป็นในรูปแบบของโทรจัน เวิร์ม รูทคิท หรือที่ผู้ใช้ทั่วไปมักเรียกโปรแกรมไม่พึงประสงค์เหล่านี้รวมกัน ว่าไวรัส ซึ่งมัลแวร์แต่ละประเภทและแต่ละตัวก็จะก่อให้เกิดผลกระทบและความเสียหายที่แตกต่างกันไป ตัวอย่างของมัลแวร์ที่คนส่วนใหญ่มักเคยพบเจอได้แก่ โทรจันประเภท Keylogger ที่แอบขโมยข้อมูล การกดแป้นคีย์บอร์ดของผู้ใช้ส่งกลับไปยังผู้ไม่หวังดี หรือมัลแวร์ที่แอบตั้งค่าต่างๆ ในระบบปฏิบัติการ และป้องกันไม่ให้ผู้ใช้เข้าไปแก้ไขค่าดังกล่าว อย่างไรก็ตาม ยังมีมัลแวร์อยู่ประเภทหนึ่งที่เรียกว่า Ransomware ซึ่งไม่ได้ใช้วิธีการขโมยข้อมูลส่วนบุคคลของผู้ใช้เหมือนกับที่มัลแวร์ในสมัยนี้นิยมทำ� กัน หากแต่ทำ� การ “เรียกค่าไถ่” ด้วยการทำ� ให้ผู้ใช้ไม่สามารถเข้าถึงระบบหรือข้อมูลในคอมพิวเตอร์ หรือหลอกล่อด้วยวิธีการใดๆ ก็ตามที่จะทำ� ให้ผู้ใช้ยอมชำ� ระเงินให้กับผู้ไม่หวังดีเพื่อที่จะแก้ไขปัญหาที่เกิด ขึ้น ซึ่งวิธีการข่มขู่หรือหลอกล่อให้เหยื่อชำ� ระเงินนั้นมีด้วยกันสารพัดวิธี ไม่ว่าจะเป็นการขึ้นข้อความ แอบอ้างว่าเป็นเจ้าหน้าที่รัฐที่ตรวจสอบพบว่า คอมพิวเตอร์ของเหยื่อถูกนำ� ไปใช้ในทางที่ผิดกฎหมาย [1] หรือขึ้นข้อความหลอกให้ผู้ใช้ทำ� การ Reactivate Windows ด้วยการโทรศัพท์ไปยังเบอร์ที่ผู้ไม่หวัง ดีให้บริการ ซึ่งเป็นการโทรทางไกลที่เสียค่าใช้จ่ายสูง [2] เป็นต้น มัลแวร์ประเภท Ransomware นั้น เคยมีการค้นพบมานานนับสิบปีแล้ว แต่เนื่องจากในช่วงที่ผ่านมาไม่นานนี้มีการค้นพบ Ransomware ตัวใหม่ที่มีชื่อว่า CryptoLocker ซึ่งกำ� ลังตกเป็นข่าวที่ผู้คนกำ� ลังให้ความสนใจ ผู้เขียนจึงได้เขียน บทความนี้เพื่อให้ผู้อ่านได้ตระหนักและรู้เท่าทันถึงมัลแวร์ดังกล่าว ว่าด้วยเรื่องของ CryptoLocker CryptoLocker เป็น Ransomware บนระบบปฏิบัติการ Windows ตัวล่าสุดที่มีการ ค้นพบเมื่อช่วงเดือนกันยายน 2556 ที่ผ่านมา โดยเผยแพร่ผ่านทางไฟล์แนบในอีเมลหลอกลวง (ตัวอย่างที่มีผู้เคยพบ เช่น อีเมลแจ้งการติดตามพัสดุจาก FedEx, UHS หรือ UPS พร้อมกับแนบ ไฟล์ ZIP ซึ่งภายในมีไฟล์ EXE ที่ถูกปลอมแปลงว่าเป็นไฟล์ PDF [3]) หรือผ่านทางมัลแวร์ประเภท บอตเน็ตที่เคยถูกติดตั้งลงบนเครื่องของผู้ใช้มาก่อน หลักการทำ� งานโดยทั่วไปของ CryptoLocker นั้นคล้ายคลึงกับ Ransomware ตัวอื่นๆ ในอดีตที่ผ่านมา นั่นคือทำ� การเข้ารหัสลับข้อมูลไม่ว่าจะเป็น ไฟล์เอกสาร รูปภาพ และไฟล์ประเภทอื่นๆ ในเครื่องคอมพิวเตอร์ของเหยื่อ จากนั้นจะขึ้นข้อความข่มขู่ ให้ผู้ใช้ทำ� การชำ� ระเงินภายในเวลาที่กำ� หนด ก่อนที่ข้อมูลทั้งหมดจะไม่สามารถถอดรหัสลับได้อีกตลอด ไป ทั้งนี้ไม่ใช่เฉพาะข้อมูลในคอมพิวเตอร์ของเหยื่อเท่านั้นที่ถูกเข้ารหัสลับ แต่ข้อมูลที่แชร์ร่วมกันใน ระบบเครือข่ายก็ถูกเข้ารหัสลับด้วยเช่นกัน
  • CYBER THREATS 2013 251 รูปที่ 1 นามสกุลของไฟล์ที่ถูก CryptoLocker เข้ารหัสลับ (ที่มา : Naked Security [4]) รูปที่ 2 หน้าต่างของโปรแกรม CryptoLocker ที่ขึ้นข้อความข่มขู่ให้ผู้ใช้ชำ� ระเงิน (ที่มา : Naked Security [4]) พฤติกรรมที่น่าสนใจของ CryptoLocker อย่างหนึ่งหลังจากที่ติดตั้งตัวเองลงในคอมพิวเตอร์ แล้ว คือการสร้างสุ่มชื่อโดเมนด้วยเทคนิค Domain Generation Algorithm [5] เพื่อเชื่อมต่อไป
  • 252 บทความเชิงเทคนิค ยังเครื่องควบคุมและสั่งการ (Command-and-control server) ในการดาวน์โหลด Public key ที่ใช้สำ� หรับเข้ารหัสลับ ซึ่งเทคนิคการสุ่มชื่อโดเมนเพื่อเชื่อมต่อไปยังเครื่องควบคุมและสั่งการนี้ มักพบ เห็นในมัลแวร์สมัยใหม่ที่แพร่ระบาดอยู่ในปัจจุบัน โดย Public key ที่ดาวน์โหลดมานั้นใช้อัลกอริทึม RSA ที่มีความยาวถึง 2048 bits ซึ่งด้วยสมรรถนะของคอมพิวเตอร์ในปัจจุบันยังไม่สามารถ ทำ� การสุ่มหา Private key ที่ใช้ในการถอดรหัสลับที่มีความยาวขนาดนี้ในทางปฏิบัติได้ ทั้งนี้ RSA public key ดังกล่าวเป็นเพียง Key ที่ใช้ในการเข้ารหัสลับ Secret key ที่ใช้ในการเข้ารหัสลับ ข้อมูลในคอมพิวเตอร์ของเหยื่อจริงๆ อีกทอดหนึ่ง โดย Secret key ดังกล่าวใช้อัลกอริทึม AES ความยาว 256 bits นอกจากนี้สิ่งที่น่าสนใจอีกอย่างคือช่องทางการชำ� ระเงิน ซึ่งผู้ไม่หวังดีเปิด โอกาสให้เหยื่อสามารถชำ� ระเงินเพื่อขอรับ Private key ด้วย Bitcoin (ตัวย่อ: BTC) ซึ่งเป็น สกุลเงินในโลกดิจิทัลที่กำ� ลังได้รับความนิยมอยู่ในปัจจุบัน รูปที่ 3 หน้าต่างระบุช่องทางการชำ� ระเงินเป็น Bitcoin (ที่มา : Securelist [6]) ทั้งนี้เมื่อต้นเดือนพฤศจิกายน 2556 มีการรายงานว่าผู้พัฒนา CryptoLocker ได้ยืดระยะ เวลาให้กับผู้ใช้ที่ตกเป็นเหยื่อ ด้วยการเปิดเว็บไซต์ผ่านเครือข่าย TOR เพื่อให้บริการรับชำ� ระเงิน โดย วิธีการชำ� ระเงินนั้นจะเริ่มจากการให้ผู้ใช้อัพโหลดไฟล์ที่ถูกเข้ารหัสลับ ผ่านหน้าเว็บไซต์เพื่อทำ� การ ตรวจสอบหา Private key ที่ใช้ในการถอดรหัสลับ โดยอ้างว่าใช้เวลาในขั้นตอนดังกล่าวประมาณ 24 ชั่วโมง หลังจากเสร็จสิ้นจะมีหน้าต่างปรากฏให้ชำ� ระเงินเป็น Bitcoin เช่นเดิม แต่มีการขึ้นราคา จากเดิม 2 BTC เป็น 10 BTC หรือเทียบเท่ากับราคาจากเดิมประมาณ 460 USD เป็น 2,300 USD (ข้อมูลอัตราแลกเปลี่ยน ณ วันที่ 4 พฤศจิกายน 2556)
  • CYBER THREATS 2013 253 รูปที่ 4 หน้าหลักของเว็บไซต์ที่เปิดให้บริการชำ� ระเงิน (ที่มา : Bleeping Computer [7])
  • 254 บทความเชิงเทคนิค รูปที่ 5 หน้าต่างชำ� ระเงินหลังจากเสร็จสิ้นการค้นหา Private key (ที่มา : Bleeping Computer [7]) การป้องกันและแก้ไข ปัจจุบันยังไม่มีวิธีที่จะแก้ไขปัญหาหลังจากที่เครื่องติดมัลแวร์ CryptoLocker และข้อมูลมีการ เข้ารหัสลับได้อย่างสมบูรณ์ เพราะถึงแม้การกำ� จัด CryptoLocker ออกจากคอมพิวเตอร์นั้นจะเป็น เรื่องที่ง่ายเนื่องจากโปรแกรมป้องกันไวรัสหลายตัว ณ ปัจจุบันสามารถตรวจจับได้แล้ว [8] [9] [10] แต่ข้อมูลที่มีการเข้ารหัสลับอยู่ก็ยังไม่สามารถถอดรหัสลับออกมาได้อยู่ดี ซึ่งแน่นอนว่าผู้ที่ตกเป็นเหยื่อ ย่อมต้องการให้ข้อมูลของตนกลับคืนมาอยู่ในสภาพเดิมด้วย นอกจากแค่การกำ� จัดมัลแวร์เพียงอย่าง เดียว ดังนั้นในเมื่อยังไม่มีวิธีแก้ไขที่สมบูรณ์ ก็ควรจะทำ� การป้องกันตนเองล่วงหน้าก่อนที่จะตกเป็น เหยื่อตามไปด้วย
  • CYBER THREATS 2013 255 สำ� หรับวิธีการป้องกันนั้น ได้แก่ • Backup ข้อมูลอย่างสมË่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่มีการ Backup ไว้ในที่ ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ • ติดตั้ง/อัพเดตโปรแกรมป้องกันไวรัส รวมถึงอัพเดตโปรแกรมอื่นๆ โดยเฉพาะโปรแกรม ที่มักมีข่าวเรื่องช่องโหว่อยู่บ่อยๆ เช่น Java และ Adobe Reader และอัพเดตระบบ ปฏิบัติการอย่างสมË่ำเสมอ • ไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย หากไม่มั่นใจว่าเป็นอีเมลที่น่าเชื่อถือ หรือไม่ ให้สอบถามจากผู้ส่งโดยตรง • หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิ์ในการเข้าถึงข้อมูลแต่ละ ส่วน และกำ� หนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำ� เป็นต้องใช้สิทธิ์ เหล่านั้น • ตั้งค่า Policy ของระบบปฏิบัติการ เพื่อป้องกันไม่ให้มัลแวร์สามารถทำ� งานตาม Directory หรือ Path ที่ระบุได้ [11] จากวิธีการป้องกันตามที่กล่าวมาข้างต้นนั้น จะสังเกตได้ว่าส่วนใหญ่เป็นวิธีที่ผู้ใช้ทั่วไปมักทราบ กันดีอยู่แล้ว เพียงแต่อาจไม่ใส่ใจที่จะปฏิบัติตาม เนื่องจากคิดว่าตนเองไม่น่ามีโอกาสพบกับเหตุร้ายเหล่านี้ ได้ ซึ่งผู้เขียนขอเน้นยË้ำว่าการป้องกันนั้นย่อมดีกว่าการแก้ไข โดยเฉพาะกับ CryptoLocker ที่หากผู้ใช้ ไม่เคย Backup ข้อมูลแล้ว ผู้ใช้ก็จะสูญเสียข้อมูลทั้งหมดโดยถาวร เว้นแต่ผู้ใช้จะเลือกวิธีการชำ� ระเงิน ให้กับผู้ไม่หวังดี ซึ่งโดยความเห็นส่วนตัวของผู้เขียนนั้นไม่สนับสนุนวิธีนี้ เนื่องจากไม่มีหลักประกันใดๆ ว่าเมื่อชำ� ระเงินไปแล้ว ข้อมูลของผู้ใช้จะสามารถถอดรหัสลับกลับมาเป็นเหมือนเดิมได้ รวมถึงการชำ� ระ เงินให้กับผู้ไม่หวังดีนั้น เท่ากับว่าเป็นการสนับสนุนให้ผู้ไม่หวังดีมีแรงจูงใจที่จะกระทำ� การในลักษณะนี้ ต่อไปในอนาคตอีกด้วย สรุป CryptoLocker เป็นมัลแวร์ประเภท Ransomware ตัวหนึ่งที่กำ� ลังแพร่ระบาดอยู่ในปัจจุบัน ซึ่งอาจทำ� ให้ผู้ใช้สูญเสียข้อมูลสำ� คัญทั้งหมดในเครื่องคอมพิวเตอร์ได้ วิธีการป้องกันที่ดีที่สุดในตอนนี้ คือการ Backup ข้อมูล ติดตั้งโปรแกรมป้องกันไวรัส อัพเดตโปรแกรมและระบบปฏิบัติการอย่าง สมË่ำเสมอ รวมถึงการไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย ซึ่งล้วนแล้วแต่เป็นวิธี ปฏิบัติพื้นฐานในการป้องกันตนเองจากเหตุภัยคุกคามด้านสารสนเทศที่อาจเกิดขึ้นได้ทุกเมื่อ
  • 256 บทความเชิงเทคนิค อ้างอิง 1. http://www.microsoft.com/security/portal/threat/encyclopedia/Entry. aspx?Name=Trojan%3aWin32%2fReveton#tab=1 2. http://www.computerworld.com/s/article/9215711/Ransomware_squeezes_users_with_ bogus_Windows_activation_demand 3. http://www.examiner.com/article/crypto-locker-virus-hijacks-your-computer-makes-you- pay-300-ransom-what-to-do 4. http://nakedsecurity.sophos.com/2013/10/12/destructive-malware-cryptolocker-on-the- loose 5. http://en.wikipedia.org/wiki/Domain_generation_algorithm 6. http://www.securelist.com/en/blog/208214109/Cryptolocker_Wants_Your_Money 7. http://www.bleepingcomputer.com/forums/t/512668/cryptolocker-developers-charge- 10-bitcoins-to-use-new-decryption-service 8. http://www.yac.mx/th/guides/virus-guides/20130909-how-to-remove-cryptolocker-ransomware- through-yac-virus-removal-tool.html 9. http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you- need-to-know 10. http://nakedsecurity.sophos.com/2013/10/18/cryptolocker-ransomware-see-how-it-works- learn-about-prevention-cleanup-and-recovery 11. http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information# preven
  • CYBER THREATS 2013 257
  • 258 บทความเชิงเทคนิค การวิเคราะห์มัลแวร์ เบื้องต้น ตอนที่ 1 ผู้เขียน : เสฏฐวุฒิ แสนนาม วันที่เผยแพร่ : 19 ธันวาคม 2556 ปรับปรุงล่าสุด : 19 ธันวาคม 2556 หลายคนคงเคยได้ยินคำ�ว่ามัลแวร์ หรือไวรัสคอมพิวเตอร์กันอยู่บ่อยๆ และน่าจะเคยเห็นบทความ ที่วิเคราะห์การทำ�งานของมัลแวร์ ซึ่งก็อาจจะมีข้อสงสัยว่าสามารถทำ�ได้อย่างไร และต้องมีเครื่องมือ หรือขั้นตอนอะไรบ้าง บทความในชุด “การวิเคราะห์มัลแวร์เบื้องต้น” นี้จะอธิบายถึงหลักการและ วิธีการที่ใช้วิเคราะห์มัลแวร์ โดยจะนำ�เสนอเนื้อหาในระดับเบื้องต้น เพื่อผู้ที่สนใจสามารถนำ�ไปทดลอง และใช้เป็นข้อมูลในการศึกษาเพิ่มเติมได้ต่อไป มัลแวร์คืออะไร? มัลแวร์ (Malware) ย่อมาจาก Malicious Software หมายถึง ซอฟต์แวร์ไม่พึงประสงค์ เป็นโปรแกรมที่มีการเขียนขึ้นมาเพื่อทำ�อันตรายกับระบบ เช่น ทำ�ให้คอมพิวเตอร์ทำ�งานผิดปกติ ขโมย/ทำ�ลายข้อมูล หรือเปิดช่องทางให้ผู้ไม่หวังดีเข้ามาควบคุมเครื่องคอมพิวเตอร์ เป็นต้น ในการแบ่งประเภทของมัลแวร์ โดยปกติจะแบ่งตามพฤติกรรมการทำ�งาน ตัวอย่างเช่น • Virus - แพร่กระจายตัวเองไปยังเครื่องอื่นๆ ผ่านไฟล์ • Worm - แพร่กระจายตัวเองไปยังเครื่องอื่นๆ ผ่านระบบเครือข่าย (เช่น อีเมล หรือระบบ แชร์ไฟล์) • Trojan - หลอกว่าเป็นโปรแกรมที่ปลอดภัยแล้วให้ผู้ใช้หลงเชื่อนำ�ไปติดตั้ง • Backdoor - เปิดช่องทางให้ผู้ไม่หวังดีเข้ามาควบคุมเครื่อง • Rootkit - เปิดช่องทางให้ผู้ไม่หวังดีเข้ามาควบคุมเครื่อง พร้อมได้สิทธิ์ของผู้ดูแลระบบ • Spyware - แอบดูพฤติกรรมการใช้งานของผู้ใช้ และอาจขโมยข้อมูลส่วนตัวด้วย มัลแวร์หนึ่งตัวอาจมีพฤติกรรมหลายอย่าง จึงอาจจัดให้อยู่ได้ในหลายประเภท ตัวอย่างการแบ่ง ประเภทของมัลแวร์ เป็นดังรูปที่ 1
  • CYBER THREATS 2013 259 รูปที่ 1 ตัวอย่างการแบ่งประเภทของมัลแวร์ (ที่มา : Kaspersky [1]) นอกจากการทำ�งานข้างต้นแล้ว พฤติกรรมของมัลแวร์โดยส่วนใหญ่จะมีส่วนที่คล้ายๆ กันคือ หลบซ่อนตัวเองจากการตรวจจับ โหลดมัลแวร์ตัวอื่นมาลงเพิ่ม ปิดการทำ�งานของระบบรักษาความ ปลอดภัย (เช่น Antivirus) หรือฝังตัวเองในระบบเพื่อให้ยังสามารถกลับมาทำ�งานต่อได้เมื่อรีสตาร์ต เครื่อง เป็นต้น
  • 260 บทความเชิงเทคนิค วิธีการติดมัลแวร์ การติดมัลแวร์โดยหลักๆ มีอยู่ 2 วิธีคือ หลอกให้ผู้ใช้เป็นคนรันโปรแกรมมัลแวร์เอง หรือติดตั้ง ตัวเองลงในเครื่องโดยอัตโนมัติผ่านช่องโหว่ของซอฟต์แวร์ การหลอกให้ผู้ใช้เป็นคนรันโปรแกรมมัลแวร์เองส่วนใหญ่จะอยู่ในรูปแบบไฟล์ประเภท Executable หรือ Script ซึ่งเป็นโค้ดของโปรแกรมที่สามารถเปิดขึ้นมาทำ�งานตามคำ�สั่งได้ทันที โดย ส่วนใหญ่จะอยู่ในรูปแบบของไฟล์ประเภท .exe .bat .com หรือ .scr [2] วิธีการแพร่กระจายมัลแวร์แบบที่พบเห็นกันบ่อยๆ ก็คงจะเป็นการติดผ่าน USB Drive การ ส่งไฟล์ผ่านทางอีเมล หรือปล่อยไฟล์มัลแวร์ไปในเว็บไซต์ที่ให้ดาวน์โหลดซอฟต์แวร์เถื่อน หรือเว็บไซต์ ประเภท Bittorrent ในการหลอกให้ผู้ใช้เรียกใช้งานโปรแกรมมัลแวร์ ผู้เขียนมัลแวร์อาจใช้วิธีการหลอกลวงต่างๆ เช่น เปลี่ยนไอคอนของโปรแกรมให้เป็นรูปไฟล์เอกสาร รูปโฟลเดอร์ หรือตั้งชื่อไฟล์หลอกให้ผู้ใช้เข้าใจว่าเป็น ไฟล์เอกสารธรรมดา แต่ในบางกรณี มัลแวร์อาจมาในรูปของไฟล์เอกสาร เช่น ไฟล์ Microsoft Office หรือไฟล์ PDF เนื่องจากซอฟต์แวร์ที่ใช้อ่านข้อมูลจากไฟล์ประเภทดังกล่าวมีช่องโหว่ให้สามารถฝังโค้ด ของมัลแวร์ได้ นอกจากวิธีข้างต้นแล้ว แนวโน้มในปัจจุบันยังพบการโจมตีแบบ Drive-by-Download ซึ่ง เป็นการใช้ช่องโหว่ของเบราว์เซอร์หรือปลั๊กอินของเบราว์เซอร์ในการโจมตี ซึ่งโดยส่วนมากจะพบการ โจมตีผ่านช่องโหว่ของ Java, Adobe Reader หรือ Flash Player โดยผู้โจมตีจะฝังโค้ดอันตราย ไว้ในเว็บไซต์ เมื่อผู้ใช้เปิดเข้าไปยังเว็บไซต์ดังกล่าวก็จะติดมัลแวร์ในทันที (สามารถศึกษาเพิ่มเติมได้ที่ บทความ การโจมตีผ่านเว็บเบราว์เซอร์และการป้องกัน [3]) การวิเคราะห์มัลแวร์ ในการวิเคราะห์มัลแวร์มีจุดประสงค์หลักๆ คือ เพื่อต้องการศึกษาพฤติกรรมและขั้นตอนการ ทำ�งานของมัลแวร์ เพื่อตรวจสอบผลกระทบจากความเสียหาย รวมถึงศึกษาวิธีป้องกันและแก้ไขปัญหา หลังติดมัลแวร์ ซึ่งอาจจะเป็นประโยชน์ในการแจ้งเตือนเรื่องความปลอดภัย ในกรณีที่พบมัลแวร์ชนิด ใหม่ที่ Antivirus ส่วนใหญ่ยังไม่รู้จัก หรือเป็นมัลแวร์สายพันธุ์ใหม่ที่ข้อมูลผลการวิเคราะห์เดิมอาจ เชื่อถือได้ไม่ 100% ในกรณีพบไฟล์ที่ต้องสงสัยว่าเป็นมัลแวร์ การวิเคราะห์เบื้องต้นอาจทำ�ได้โดยการใช้เครื่องมือ Online Malware Scan ที่ใช้วิธีการอัพโหลดไฟล์ขึ้นไปเพื่อให้ Antivirus ค่ายต่างๆ ช่วยกันสแกน เช่น เว็บไซต์ http://www.virustotal.com หรือ http://virusscan.jotti.org/en ซึ่งทั้งสอง เว็บไซต์ดังกล่าวนี้สามารถใช้งานได้ฟรี อย่างไรก็ตาม หากเป็นมัลแวร์ชนิดใหม่ๆ ก็อาจจะตรวจสอบด้วย วิธีนี้ไม่ได้ ตัวอย่างการสแกนโดยใช้เว็บไซต์ Virustotal เป็นดังรูปที่ 2
  • CYBER THREATS 2013 261 รูปที่ 2 ตัวอย่างการสแกนไฟล์ที่น่าสงสัยโดยใช้เว็บไซต์ Virustotal ผลการสแกนโดยใช้ Antivirus หากพบว่าเป็นมัลแวร์ที่รู้จักดี ก็จะมีชื่อของมัลแวร์ตัวนั้นแสดง ขึ้นมา ซึ่งสามารถนำ�ชื่อไปค้นหาข้อมูลเพิ่มเติมรวมถึงวิธีการแก้ไขได้ อย่างไรก็ตาม ชื่อของมัลแวร์ ตัวเดียวกันอาจแตกต่างกันไปตามแต่บริษัท Antivirus จะตั้ง ในกรณีที่สแกนแล้วไม่พบข้อมูล หรือข้อมูลที่ได้รับไม่เพียงพอต่อการแก้ไขปัญหา ก็จำ�เป็นที่จะต้อง ทำ�การวิเคราะห์มัลแวร์เอง ซึ่งก็มีวิธีการหลักๆ อยู่ด้วยกัน 2 วิธี คือ Behavior Analysis และ Code Analysis Behavior Analysis มีอีกชื่อหนึ่งว่า Dynamic Analysis เป็นการวิเคราะห์พฤติกรรมของมัลแวร์โดยการรันตัว โปรแกรมมัลแวร์ แล้วตรวจสอบความเปลี่ยนแปลงหรือเหตุการณ์ที่เกิดขึ้นหลังจากที่มัลแวร์ทำ�งาน ข้อดีของการวิเคราะห์ด้วยวิธีนี้คือเร็ว สามารถรู้การทำ�งานเบื้องต้นและประเมินความเสียหายคร่าวๆ ได้ ถึงแม้ว่าผลที่ได้อาจไม่ครอบคลุมฟังก์ชันทั้งหมดที่มัลแวร์สามารถทำ�ได้ แต่ก็น่าจะเพียงพอสำ�หรับใช้ ในการแจ้งเตือนเรื่องความมั่นคงปลอดภัย ข้อมูลเบื้องต้นที่จะได้จากการวิเคราะห์ด้วยวิธีนี้ เช่น • ไฟล์ที่มีการสร้าง/แก้ไข/ลบ • Registry ที่เกี่ยวข้อง • การแก้ไขการตั้งค่าระบบ • Service ที่มัลแวร์สร้างขึ้นหรือใช้งาน • การเชื่อมต่อเครือข่าย
  • 262 บทความเชิงเทคนิค โดยทั่วไปการวิเคราะห์ด้วยวิธีนี้จะทำ�ในระบบจำ�ลองโดยใช้ Virtual Machine (เช่น VirtualBox หรือ VMWare) เนื่องจากมีข้อดีคือ เป็นระบบที่สามารถควบคุมสภาวะแวดล้อมได้ ง่าย (เช่น จำ�นวน CPU หรือรูปแบบการเชื่อมต่อเครือข่าย) และสามารถทำ� Snapshot เพื่อบันทึก สถานะของระบบในขณะนั้น และย้อนกลับคืนเหตุการณ์เพื่อทดสอบพฤติกรรมในรูปแบบอื่นๆ ได้ ตัวอย่างการวิเคราะห์มัลแวร์โดยใช้ Virtual Machine เป็นดังรูปที่ 3 รูปที่ 3 ตัวอย่างการวิเคราะห์มัลแวร์โดยใช้ Virtual Machine ข้อเสียของวิธีนี้คือ หากมีมัลแวร์ที่สามารถตรวจสอบได้ว่าตัวเองกำ�ลังทำ�งานอยู่ใน Virtual Machine ก็อาจไม่แสดงพฤติกรรมผิดปกติออกมา หรือหากมีมัลแวร์ที่มีโค้ดสำ�หรับโจมตีผ่าน ช่องโหว่ของโปรแกรม Virtual Machine ตัวมัลแวร์ก็อาจหลุดออกมาติดในระบบจริงได้ Code Analysis มีอีกชื่อหนึ่งว่า Static Analysis เป็นการวิเคราะห์โค้ดเพื่อทำ�ความเข้าใจฟังก์ชันการทำ�งาน ของมัลแวร์ สิ่งที่ต้องทำ�คือการ Reverse Engineer เพื่อดูโค้ดของโปรแกรมในแบบภาษาเครื่อง (เช่น ภาษา Assembly) และใช้วิธีการ Debug เพื่อทดสอบการทำ�งานในส่วนของโค้ดที่น่าสงสัย ตัวอย่างโปรแกรม IDA ที่ใช้วิเคราะห์มัลแวร์แบบ Code Analysis เป็นดังรูปที่ 4
  • CYBER THREATS 2013 263 รูปที่ 4 ตัวอย่างการ Reverse Engineer โดยใช้โปรแกรม IDA (ที่มา Hex-Rays [4]) การวิเคราะห์ด้วยวิธีนี้มีข้อเสียคือทำ�ได้ยาก เพราะต้องใช้ความรู้ระดับ Low-level language และใช้เวลานานในกรณีที่เป็นมัลแวร์ที่มีความซับซ้อนสูง แต่มีข้อดีคือถ้าวิเคราะห์โค้ดได้ทั้งหมดก็ สามารถเข้าใจทุกฟังก์ชันการทำ�งานของมัลแวร์ ข้อควรระวัง การวิเคราะห์มัลแวร์ ไม่ว่าจะด้วยวิธีใดก็ตาม จำ�เป็นต้องทำ�ในระบบปิด นั่นคือต้องไม่ทำ�ในเครื่อง ที่สามารถเชื่อมต่อกับระบบเครือข่ายภายนอกได้ เพื่อป้องกันไม่ให้มัลแวร์หลุดรอดออกไปสร้างความ เสียหายกับระบบอื่นๆ หากเป็นไปได้ควรทำ�ในระบบ Virtual Machine ที่อัพเดตแพทช์เป็นเวอร์ชัน ล่าสุดทั้งตัวโปรแกรมและระบบปฏิบัติการ หากไม่สามารถวิเคราะห์มัลแวร์ในระบบจำ�ลองได้ อาจจำ�เป็นต้องนำ�มัลแวร์มารันในเครื่องจริง ซึ่ง ก็อาจมีความเสี่ยงที่จะทำ�ให้ฮาร์ดแวร์เสียหายได้ เพราะมัลแวร์บางตัวมีความสามารถในการเขียนข้อมูล ทับ Firmware ของฮาร์ดแวร์เพื่อให้ทำ�งานผิดปกติหรือทำ�งานไม่ได้ สำ�หรับเนื้อหาของบทความ “การวิเคราะห์มัลแวร์เบื้องต้น ตอนที่ 1” นี้จะเป็นการเกริ่นนำ� ที่มาคร่าวๆ เพียงเท่านี้ก่อน สำ�หรับตอนที่ 2 จะเป็นเนื้อหาเกี่ยวกับการวิเคราะห์มัลแวร์ด้วยวิธี Behavior Analysis และตอนที่ 3 จะเป็นวิธี Code Analysis ซึ่งจะนำ�เสนอในโอกาสต่อไป อ้างอิง 1. http://www.kaspersky.com/internet-security-center/threats/malware-classifications 2. http://pcsupport.about.com/od/tipstricks/a/execfileext.htm 3. https://www.thaicert.or.th/papers/general/2012/pa2012ge008.html 4. https://www.hex-rays.com/products/ida/
  • 264 บทความเชิงเทคนิค URL OBFUSCATION ผู้เขียน : เจษฎา ช้างสีสังข์ วันที่เผยแพร่ : 26 ธันวาคม 2556 ปรับปรุงล่าสุด : 26 ธันวาคม 2556 ปัจจุบันมีภัยคุกคามมากมายบนโลกอินเทอร์เน็ต ไม่เว้นแม้แต่ URL ที่ผู้ใช้คลิกเพื่อเข้าไปยัง เว็บไซต์ ซึ่งอาจจะคิดว่าไม่เป็นอันตรายอะไร แต่แท้จริงแล้ว หากไม่ได้พิจารณาให้รอบคอบ URL ดังกล่าว อาจพาท่านไปยังเว็บไซต์อันตรายได้ ตัวอย่าง กรณีที่ผู้ใช้ต้องการเข้าไปยังเว็บไซต์ธนาคารแห่งหนึ่ง โดยการคลิก URL จาก Email ที่ได้รับ แต่ URL ดังกล่าวกลับพาผู้ใช้ไปยังเว็บไซต์ธนาคารปลอมของผู้ไม่ประสงค์ดี ซึ่งผลที่ตามมาอาจ ทำ�ให้บัญชีผู้ใช้และรหัสผ่านถูกผู้ไม่ประสงค์ดีขโมย และเครื่องของท่านยังอาจถูกโจมตี ทำ�ให้ติดมัลแวร์ได้ จากเหตุการณ์ดังกล่าว ปัญหาอาจเกิดจากการที่ผู้ใช้ไม่ได้พิจารณาตรวจสอบ URL ก่อนคลิก ซึ่งผู้ไม่ประสงค์ดีมีเทคนิคต่างๆ มากมาย ที่ทำ�ให้ผู้ใช้ไม่สามารถมองออกได้ว่า URL นั้นเป็น URL ที่ ถูกต้องหรือไม่ ในที่นี้ผู้เขียนขออธิบายวิธีการหนึ่งที่มีการนิยมใช้กัน นั้นคือ URL Obfuscation สำ�หรับเทคนิคอื่นๆนั้น ผู้เขียนจะนำ�มาอธิบายท่านให้ท่านทราบในโอกาสต่อไป URL คืออะไร ? ผู้ใช้หลายท่านอาจจะเคยได้ยินและมีความคุ้นเคยกับ URL แล้ว แต่จะขออธิบายถึงความหมาย และโครงสร้างเบื้องต้น เพื่อให้ผู้ใช้เข้าใจวิธีการของ URL Obfuscation และสามารถนำ�ไปใช้พิจารณา URL ที่น่าสงสัยต่อไปได้ URL (Uniform Resource Locator) คือสิ่งที่ใช้ระบุตำ�แหน่งของทรัพยากรบน เครือข่ายอินเทอร์เน็ต เช่น URL http://www.thaicert.or.th/index.html มีโครงสร้างที่อ้างอิง ตาม RFC1738 [1] ดังนี้ <scheme>//<user>:<password>@<host>:<port>/<url-path> • scheme คือ โพรโทคอลต่างๆ ที่ใช้เข้าถึง เช่น HTTP, HTTPS, FTP, SMB • user คือ Username ที่ใช้ในการยืนยันตัวตนในกรณีที่มีการพิจารณาการยืนยันตัวตน หากระบบไม่มีการพิจารณา จะไม่สนใจค่านี้ • password คือ รหัสผ่านที่ใช้ยืนยันตัวตนร่วมกับ Username • host คือ ตำ�แหน่งของเครื่องที่เราต้องการเข้าถึง โดยจะระบุเป็น Domain name หรือ IP Address
  • CYBER THREATS 2013 265 • port คือ หมายเลขอ้างอิงของบริการต่างๆ ที่เครื่องให้บริการเปิดให้เข้าถึง โดยทั่วไปหาก ไม่ได้กำ�หนด โปรแกรมจะกำ�หนดตามโพรโทคอล หรือ <scheme> เช่น http จะมีการ กำ�หนดเป็น 80 https จะมีการกำ�หนดเป็น 443 เป็นต้น • url-path คือ ตำ�แหน่งที่ระบุเป็นไฟล์หรือเป็นพารามิเตอร์ที่ใช้รับค่า เช่น /a/b/c/test. html, index.php?id=1 ตัวอย่างการระบุ URL “http://username:password@www.thaicert.or.th:80/image/test.html” อธิบายตัวอย่าง ดังตารางข้างล่างได้ดังนี้ Field Name Value scheme http user username password password host www.thaicert.or.th port 80 url-path /image/test.html URL Obfuscation Obfuscation คือ การทำ�ให้เกิดความสับสนหรือทำ�ให้ผู้อ่านไม่สามารถเข้าใจได้ง่าย ดังนั้น URL Obfuscation จึงเป็นการทำ�ให้ผู้ที่อ่าน URL เกิดความสับสนหรือไม่สามารถเข้าใจ URL ได้ทันที URL Obfuscation นั้นอาจให้ผลลัพธ์ในแต่ละ Browser ไม่เหมือนกัน โดยใน ที่นี้ผู้เขียนได้ทดลองใน Browser Chrome เนื่องจากสถิติที่มีการใช้งานเป็นอันดับ 1 เมื่อเทียบกับ Firefox และ Internet Explorer [2] โดยจะยกตัวอย่างให้ผู้ใช้ได้ทราบดังนี้ URL Encoding คือการแปลง IP หรือ Hostname ให้อยู่ในรูปของ URL Encoding โดยเป็นการแทน อักขระด้วยรหัสต่างๆ โดยสามารถดูได้จาก ตาราง (http://www.w3schools.com/tags/ ref_urlencode.asp ) หรือใช้เครื่องมือออนไลน์ เช่น http://www.url-encode-decode. com/urldecode
  • 266 บทความเชิงเทคนิค ตัวอย่าง การแปลง http://thaicert.or.th จะได้ http://%74%68%61%69%63%65%72%74%2E%6F%72%2E%74%68 IP Obfuscation เทคนิคนี้จะเป็นการพยายามแปลง IP Address ไม่ให้อยู่ในรูปเดิม โดยจะยกตัวอย่าง IP 74.125.131.105 ซึ่งเป็นการเขียนแทน host ที่ชื่อ www.google.com 1. Hexadecimal Number คือการแปลง IP Address ให้รูปในรูปฐาน 16 ทำ�ได้โดยการ แบ่ง IP Address เป็น 4 ส่วนจากนั้นแปลงให้เป็นในรูปฐาน 16 (Hex) ดังตาราง Dec 74 125 131 105 Hex 4A 7D 83 69 นำ�ค่าฐาน 16 ทั้ง 4 มากำ�หนดให้อยู่ในรูปแบบดังนี้ หากผู้ใช้ลอง เข้าถึง URL http://0x4a.0x7d.0x83.0x69/ Browser ของท่านจะพาไปยัง IP Address 74.125.131.105 โดยอัตโนมัติ 2. Octal Number คือการแปลง IP Address ให้รูปในรูปฐาน 8 ทำ�ได้โดยการ แบ่ง IP Address เป็น 4 ส่วน จากนั้นแปลงให้เป็นในรูปฐาน 8 (Oct) ดังตาราง Dec 74 125 131 105 Oct 112 175 203 151 นำ�ค่าฐาน 16 ทั้ง 4 มากำ�หนดให้อยู่ในรูปแบบดังนี้ หากผู้ใช้ลองเข้าถึง URL http://0112.0175.0203.0151/ เบราว์เซอร์ของท่านจะพาไปยัง IP Address 74.125.131.105 โดยอัตโนมัติ 3. DWORD หรือ Double Word คือ ตัวเลขจำ�นวนเต็ม โดยทั่วไปจะมีขนาด 32 bit รูปแบบที่ผู้ไม่ประสงค์ดีนำ�มาใช้โจม ตีเช่น การแปลงจาก IP Address 74.125.131.105 ให้อยู่ใน รูปแบบ DWORD ดังนี้ แบ่ง IP Address เป็น 4 ส่วนจากนั้นแปลงให้เป็นในรูปฐาน 16 (Hex) ดังตาราง
  • CYBER THREATS 2013 267 Dec 74 125 131 105 Hex 4A 7D 83 69 นำ�ค่าฐาน 16 ทั้ง 4 มาต่อกัน: 4A7D8369 แปลงค่าฐาน 16 กลับเป็นฐานสิบ (Decimal): 1249739625 หากผู้ใช้ลอง เข้าถึง URL http://1249739625 เบราว์เซอร์ของท่านจะพาไปยัง IP Address 74.125.131.105 โดยอัตโนมัติ[3][4] ตัวอย่างรูปแบบที่ผู้ไม่ประสงค์ดีนำ�ไปใช้ จากการแปลง IP Address ให้อยู่ในรูปเลขฐานต่างๆ ข้างต้น ผู้ไม่ประสงค์ดีอาจนำ�ความรู้ เกี่ยวกับโครงสร้างของ URL มาใช้เพิ่มเติม เพื่อให้เกิดความสมจริง ดังนี้ “http://www.bank.com:login.html@74.125.131.105” จาก URL ดังกล่าวหากเข้าถึง เบราว์เซอร์จะกำ�หนดให้ไปยัง IP Address 74.125.131.105 เนื่องจากหากดูจากโครงสร้างของ URL ดังที่ได้อธิบายก่อนหน้านี้จะพบว่า www.bank.com คือ Username และ login.html คือ รหัสผ่าน ซึ่งสังเกตได้จากเครื่องหมาย “:” ซึ่งคั่นระหว่าง Username และรหัสผ่าน และจะอยู่ก่อนเครื่องหมาย “@” เสมอ หากผู้โจมตีใช้เทคนิคดังกล่าว ร่วมกับ IP Obfuscation จะได้ตัวอย่างดังนี้ Type URL URL Encoding http://www.bank.com:login.html@%74%68%61%69%63 %65%72%74%2E%6F%72%2E%74%68 Hexadecimal http://www.bank.com:login.html@0x4a.0x7d.0x83.0x69/ Octal http://www.bank.com:login.html@0112.0175.0203.0151 DWORD http://www.bank.com:login.html@1249739625/ ผู้เขียนขอจำ�ลองสถานการณ์ว่า ผู้ไม่ประสงค์ดีได้ส่งอีเมลมายังเหยื่อที่ใช้งาน Gmail โดยส่ง
  • 268 บทความเชิงเทคนิค ข้อมูลแจ้งให้ทำ�การยืนยันตัวตน ไม่เช่นนั้น account ของผู้ใช้ จะถูกระงับการใช้งาน โดยให้ผู้ใช้คลิก URL ที่มีโดเมนเนมเป็นของ Google ดังนี้ http://www.google.co.th/url?sa=t&rct=j&q=&esrc=s&source=web&c d=1&ved=0CC4QFjAA&url=%68%74%74p%3A%2F%2F%74%68%61%69%63%65%72 %74%2E%6F%72%2E%74%68%2F&ei=JPgAUeieHs7wrQev5IC4DQ&usg=AFQjC NECZ1VHgfys3dSMAiaEU6H9_ftWfw&sig2=XQPZjnPhMpaNA1eu49Yljw&b vm=bv.41524429,d.bmk&cad=rja จะเห็นได้ว่า URL ดังกล่าวมีการ redirect ไปยังเว็บไซต์ http://thaicert.or.th โดยอัตโนมัติ ซึ่งหากผู้ไม่ประสงค์ดี กำ�หนดให้เป็นเว็บไซต์อันตรายที่มีมัลแวร์ฝังอยู่แทน ก็อาจทำ�ให้ผู้ใช้ติดมัลแวร์ได้ หมายเหตุ: redirect คือการเปลี่ยนเส้นทางการเข้าถึงข้อมูลหรือเว็บไซต์ จากแหล่งหนึ่งไปยังอีกแหล่ง ที่เครื่องต้นทางได้กำ�หนดไว้ ซึ่งเป็นอีกเทคนิคหนึ่งที่ผู้ไม่ประสงค์ดีนำ�ไปใช้หลอกล่อเหยื่อให้เข้าไปยัง เว็บไซต์อันตราย ซึ่งผู้เขียนจะขออธิบายให้ท่านเข้าใจในโอกาสต่อไป พิจารณาอย่างไร หากสังเกตลักษณะของ URL จะพบว่ามีส่วนที่ถูก Encode ด้วย URL Encoding อยู่ “%68%74%74p%3A%2F%2F%74%68%61%69%63%65%72%74%2E%6F%72%2E %74%68%2F” เมื่อนำ�ส่วนดังกล่าวมา Decode จะได้ http://thaicert.or.th/ URL ที่ถูก decode แล้ว “http://www.google.co.th/url?sa=t&rct=j&q=&esrc=s&source=web&c d=1&ved=0CC4QFjAA&url=http://thaicert.or.th/&ei=JPgAUeieHs7wrQev5IC 4DQ&usg=AFQjCNECZ1VHgfys3dSMAiaEU6H9_ftWfw&sig2=XQPZjnPhM paNA1eu49Yljw&bvm=bv.41524429,d.bmk&cad=rja” สรุป เนื้อหาที่ผู้เขียนได้เขียนมาข้างต้นนั้น เป็นแนวทางในการพิจารณารูปแบบของ URL Obfuscation ที่อาจพบโดยทั่วไป และอาจเป็นภัยคุกคามที่ผู้ไม่ประสงค์ดีนำ�มาใช้โจมตีผู้ใช้งาน ผู้เขียนจึงหวังเป็นอย่างยิ่งว่า ผู้อ่านจะเกิดความตระหนักจากผลกระทบที่เกิดขึ้น และสามารถนำ� ความรู้ดังกล่าวไปใช้พิจารณาก่อนคลิกลิงก์ใดๆ ก็ตามอยู่เสมอเพื่อไม่เข้าไปยังเว็บไซต์ที่อันตราย อ้างอิง • http://www.ietf.org/rfc/rfc1738.txt • http://www.w3schools.com/browsers/browsers_stats.asp • http://www.aldeid.com/wiki/Dword2url • http://research.zscaler.com/2011/08/malicious-urls-using-dword-formatted-ip.html • http://blog.opensecurityresearch.com/2013/01/deofuscating-potentially-malicious-urls. html
  • CYBER THREATS 2013 269
  • 270 บทความเชิงเทคนิค SECURITY INFORMATION MANAGER (2) ผู้เขียน : รณนเรศร์ เรืองจินดา วันที่เผยแพร่ : 26 ธันวาคม 2556 ปรับปรุงล่าสุด : 26 ธันวาคม 2556 ในบทความก่อนหน้านี้ ได้แนะนำ�ให้ผู้อ่านรู้จักกับ SSIM กันไปแล้ว ในบทความตอนนี้จะนำ�เสนอ ขั้นตอนดำ�เนินโครงการในการนำ�เอา SIM เข้ามาใช้ในองค์กรเพื่อการเฝ้าระวังความปลอดภัยระบบ สารสนเทศ เนื่องจากโครงการลักษณะนี้มีความซับซ้อน อีกทั้งไม่มีขั้นตอนวิธีที่เป็นมาตรฐาน ทำ�ให้ ผู้ดำ�เนินการมักจะมองโครงการลักษณะนี้เป็นการจัดซื้ออุปกรณ์ นำ�มาตั้งค่าและเชื่อมต่อเข้าด้วยกัน ทำ�นองเดียวกับการจัดซื้ออุปกรณ์เครือข่ายทั่วไป ทำ�ให้มองไม่เห็นรายละเอียดและความซับซ้อนที่ ซ่อนอยู่ ในความเห็นผู้เขียน โครงการลักษณะนี้จัดเป็น Solution มากกว่าจะเป็นการติดตั้งอุปกรฺณ์ หัวใจสำ�คัญจึงอยู่ที่การออกแบบ และนำ�เสนอ Solution ให้สอดคล้องกับความต้องการ ซึ่งหวังว่า ผู้อ่านจะได้รับประโยชน์ในการใช้บทความนี้เป็นแนวทางในการดำ�เนินโครงการลักษณะดังกล่าว ความ จริงแล้วขั้นตอนในการดำ�เนินโครงการลักษณะนี้แทบจะไม่แตกต่างกับโครงการระบบสารสนเทศอื่น คือ เริ่มจาก Preliminary (การสำ�รวจความต้องการเบื้องต้น) Requirement Analysis (การ วิเคราะห์ความต้องการ) Design (การออกแบบ) Implement (การติดตั้ง) Test (การทดสอบ) และ Production (เปิดใช้งาน) เพียงแต่มีกิจกรรมย่อยๆ ที่จำ�เป็นต้องใช้ความระมัดระวัง มิฉะนั้น โครงการอาจล่าช้า หรือถึงกับต้องรื้อออกแบบใหม่กันเลย ในที่นี้จะขอกล่าวถึงแต่รายละเอียดที่สำ�คัญ การสำ�รวจความต้องการเบื้องต้น ปกติขั้นตอนนี้จะทำ�กันก่อนการเลือกซื้อ หรือบางองค์กร อาจมองเป็นขั้นตอนเดียวกันเลย ในขั้นตอนนี้สิ่งสำ�คัญคงไม่พ้นการกำ�หนดจุดมุ่งหมายของการนำ� SIM มาใช้ ซึ่งก็มีได้สองลักษณะคือ การนำ�มาใช้เพื่อเป็นการเฝ้าระวัง คือแจ้งเตือนเมื่อมีเหตุการณ์ เกิดขึ้น หรือนำ�มาใช้เพื่อช่วยในการวิเคราะห์ข้อมูล log ย้อนหลัง สำ�หรับเหตุการณ์ที่เกิดขึ้นไปแล้ว ดังที่ได้อธิบายไว้แล้วว่า ทั้งสองแบบมีความต้องการหน่วยจัดเก็บข้อมูลและประสิทธิภาพต่างกัน อย่างแรกต้องการระบบที่มีประสิทธิภาพสูงที่ตอบสนองได้รวดเร็ว ในขณะที่แบบหลังต้องการ หน่วยจัดเก็บข้อมูลขนาดใหญ่ ลำ�ดับถัดมาที่ต้องพิจารณาควบคู่กันไปด้วยคือ ปริมาณข้อมูล log ที่จะจัดเก็บ ซึ่งหาได้จากจำ�นวนอุปกรณ์กำ�เนิดข้อมูล log ซึ่งจำ�เป็นต้องทราบให้แน่นอนระดับหนึ่งว่า มีปริมาณข้อมูลเหตุการณ์ (number of event) ต่อวันเท่าไร และที่สำ�คัญ มีอัตราการส่งข้อมูลต่อ
  • CYBER THREATS 2013 271 วินาที (event per sec หรือ EPS) เป็นเท่าไร ข้อมูลเหล่านี้จำ�เป็นสำ�หรับการเลือกรุ่นและยี่ห้อของ SIM นอกจากนี้ ยังต้องกำ�หนดความต้องการด้านเครือข่ายสำ�หรับการเชื่อมต่อให้ชัดเจน เนื่องจาก SIM จำ�เป็นต้องเชื่อมกับอุปกรณ์กำ�เนิด log ทุกตัว สิ่งเหล่านี้ล้วนต้องทำ�การวิเคราะห์และจัดทำ�เป็น ส่วนหนึ่งของข้อกำ�หนดความต้องการของโครงการ (TOR) การวิเคราะห์ความต้องการ ขั้นตอนนี้มีความจำ�เป็นอย่างยิ่ง เพราะหลังจากได้รับข้อเสนอจาก ผู้ค้าที่สอดคล้องกับ TOR ก็มักจะเข้าใจกันไปว่า ให้ผู้ค้าดำ�เนินโครงการให้สอดคล้องกับ TOR ก็น่าจะ เพียงพอแล้ว ในความเป็นจริง TOR เป็นเพียงข้อกำ�หนดกว้างๆ ที่ไม่ได้เฉพาะเจาะจง ผู้เขียนแนะนำ�ให้นำ� TOR แต่ละข้อมาวิเคราะห์และขยายความเพื่อให้เกิดความชัดเจน แล้วจัดทำ�เป็นเอกสารความต้องการ ของระบบ (System Requirement Specification-SRS) สำ�หรับ SIM จากนั้นสิ่งที่ต้องมา วิเคราะห์เพิ่มเติมคือ รายละเอียดการตั้งค่าที่สำ�คัญๆ ของ SIM ได้แก่ • Aggregation กำ�หนดรายชื่ออุปกรณ์ รุ่น และรูปแบบการบันทึกข้อมูล จัดทำ�เป็น เอกสาร และทดสอบยืนยันว่า SIM รองรับการเชื่อมต่อกับอุปกรณ์ดังกล่าวหรือไม่ และ ถ้าไม่ จะมีแนวทางการแก้ไขอย่างไร อย่างที่กล่าวไว้ในตอนที่ 1 ว่าเนื่องจากอุปกรณ์กำ�เนิด log มีความหลากหลาย ทำ�ให้ข้อมูล log มีรูปแบบไม่เหมือนกัน และอาจได้รับการตั้งค่าให้ ต่างไปจากค่าตั้งต้นโดยปริยาย รวมทั้งอุปกรณ์อาจมีการส่งข้อมูล log ไปยังระบบอื่นแล้ว ฯลฯ สิ่งเหล่านี้ล้วนจำ�เป็นจะต้องกำ�หนดลงในเอกสารให้ชัดเจน เนื่องจากมีผลกระทบต่อ การดำ�เนินโครงการในเฟสการออกแบบ ในส่วนของการเชื่อมต่อและติดตั้ง รวมถึงการ ตั้งค่าระบบ • Correlation การกำ�หนดขอบเขตและรายละเอียดการตั้งค่าการวิเคราะห์ความสัมพันธ์ ของข้อมูล (Correlation Rule) ซึ่งควรจะกำ�หนดให้ชัดเจนว่าจะมีจำ�นวนกี่แบบ แต่ละ แบบมีรายละเอียดอย่างไร ส่วนนี้นับเป็นประเด็นที่น่าสนใจตรงที่ว่า ผู้ใช้หรือผู้ซื้อระบบก็ คาดหวังว่าผู้ค้าหรือผู้ออกแบบติดตั้งจะให้คำ�แนะนำ�ที่เหมาะสมในการตั้งค่า ในขณะที่ผู้ค้า หรือผู้ออกแบบติดตั้งก็คาดหวังว่าผู้ใช้หรือผู้ซื้อจะกำ�หนด หรือบอกความต้องการของ ตนให้ทราบ ไปๆ มาๆ ต่างฝ่ายต่างก็ได้แต่แลตากัน สุดท้ายก็ใช้ค่าโดยปริยายที่ตั้งมาจาก โรงงานหรือผู้ผลิต ซึ่งโดยมากก็มักจะไม่ตรงตามความต้องการ และไปมีผลกระทบเมื่อ ระบบเริ่มใช้งาน เพราะจะมีแต่ข้อมูลส่วนเกิน หรือไม่ตรงความต้องการเต็มไปหมด ดังนั้น ผู้เขียนจึงขอแนะนำ�ว่าให้ทำ�การประชุมหารือและกำ�หนดรายละเอียดในส่วนนี้ให้เรียบร้อย ข้อสังเกตอีกประการหนึ่งคือ การตั้งค่า Correlation Rule นั้น เป็นเรื่องละเอียดอ่อน และซับซ้อนพอสมควร แม้จะมีการกำ�หนดขอบเขตชัดเจนแล้ว ก็ยังจำ�เป็นที่จะต้องทดสอบ และปรับให้สอดคล้องกับธรรมชาติการดำ�เนินงานของแต่ละระบบเป็นรายๆ ไป เพื่อลด False Positive ตัวอย่างเช่น การตั้งค่า Correlation Rule “มี IP ใดบ้างที่เชื่อมต่อ เข้ามายัง IP ภายในองค์กรด้วยหมายเลขพอร์ตปลายทางที่สูงกว่า 1024 มากกว่า 1,000 เหตุการณ์ต่อ 10 นาที ภายใน 24 ชั่วโมง” ซึ่งจะเห็นได้อย่างชัดเจนว่ามีสองประเด็นคือ หากองค์กรมีการเชื่อมต่อเข้ามาด้วยพอร์ตหมายเลขสูงกว่า 1024 โดยเจตนา (อาจจะด้วย ความจำ�เป็นหรือข้อจำ�กัดก็ตาม) เป็นประจำ�อยู่แล้ว Correlation Rule ข้อนี้ก็ต้องได้รับ การปรับแก้ กับอีกประเด็นคือ จำ�นวนการเชื่อมต่อเข้ามา ไม่ว่าจะเพื่อการทำ�งานโดยปกติ
  • 272 บทความเชิงเทคนิค หรือการถูกโจมตีด้วยการ Scan Port องค์กรหรือผู้ดูแลระบบจะมองว่าเป็นเรื่องผิด ปกติหรือไม่ เพราะองค์กรหรือผู้ดูแลแต่ละท่านก็มีวิจารณญาณที่ต่างกัน บางท่านอาจมอง ว่า การถูก Scan Port เป็นปกติ ไม่จำ�เป็นต้องสนใจ ในขณะที่บางองค์กรอาจมองว่าเป็น ภัยคุกคาม ซึ่งก็ต้องมีการปรับค่าในช่วงที่ระบบเริ่มดำ�เนินการ • Alert เป็นอีกสิ่งหนึ่งที่ควรจะกำ�หนดให้ชัดเจนว่า ระบบจะแจ้งเตือนไปที่ใคร อย่างไร แต่ละวันคาดว่าจะมีจำ�นวนประมาณเท่าไร และการจัดการตอบรับจะทำ�อย่างไร แม้เรื่อง เหล่านี้จะเป็นข้อกำ�หนดความต้องการที่เกี่ยวข้องกับการดำ�เนินการ (Operations Requirement) แต่หากไม่วิเคราะห์และทำ�ความเข้าใจให้ตรงกันระหว่างผู้ออกแบบติดตั้ง และผู้ใช้แล้ว ก็จะเกิดปัญหาการแจ้งเตือนที่มีมากจนล้นเกิน หรือในทางกลับกันที่ไม่มีการ แจ้งเตือนที่สำ�คัญไปยังผู้ดูแลระบบ เป็นต้น • รายงาน และ Dashboard ข้อนี้คงไม่ต้องบรรยายอะไรมาก เนื่องจากทุกท่านคงเข้าใจถึง ความสำ�คัญและความจำ�เป็นในการวิเคราะห์ความต้องการตรงส่วนนี้อยู่แล้ว สิ่งที่ผู้เขียน อยากแนะนำ�คงมีเพียงเรื่องปริมาณรายงาน ซึ่งจากประสบการณ์ของผู้เขียนพบว่า ผู้ใช้ มักจะอยากได้รายงานต่างๆ เป็นจำ�นวนมากๆ (เพื่อความอุ่นใจ) แทนที่จะเลือกเอารายงานที่ สำ�คัญและต้องใช้เท่านั้น อย่าลืมว่าในการทำ�โครงการที่ทรัพยากรมีจำ�กัด โดยเฉพาะอย่างยิ่ง เวลา การให้ความสำ�คัญหมดไปกับสิ่งที่ไม่ได้ใช้ นับเป็นเรื่องที่น่าเสียดาย การออกแบบ หลังจากที่ได้ SRS มาแล้ว ก็เป็นการนำ�เอาความต้องการแต่ละข้อมาออกแบบ สำ�หรับ SIM มีส่วนที่สำ�คัญอยู่สองประเด็นคือ การตั้งค่าระบบที่สำ�คัญอย่าง Correlation Rule, Alert และการออกแบบการเชื่อมต่อ โดยขอให้มีการจัดทำ�เอกสารการออกแบบระบบ (System Design) ที่ชัดเจนสำ�หรับใช้อ้างอิงในขั้นตอนการติดตั้งและทดสอบก็คงเพียงพอแล้ว แต่ถ้าให้ดีควร จัดทำ�เป็นเอกสารข้อกำ�หนดการออกแบบระบบ (System Design Specification - SDS) ใน กรณีที่ต้องการให้แน่ใจว่าความต้องการใน SRS สอดคล้องกับการออกแบบ นอกจากนี้ในช่วงของ การออกแบบ หากข้อกำ�หนดความต้องการใดมีความคลุมเครือ หรือมีความรู้สึกว่าการออกแบบ อาจจะไม่รองรับ ผู้เขียนแนะนำ�ให้ทำ�การทดสอบเบื้องต้นก่อน อาจจะเรียกว่าเป็น Proof Of Concept (POC) ก็ได้ แม้ว่าโดยปกติ เรามักจะทำ� POC กันก่อนที่จะซื้อหรือดำ�เนินโครงการ แต่จาก ประสบการณ์ของผู้เขียนแล้ว หากโครงการยังอยู่ในช่วงการวิเคราะห์ความต้องการ หรือช่วงออกแบบ หากมีข้อสงสัยที่สำ�คัญและคาดว่าจะมีผลกระทบสูง ก็สมควรจะทำ� POC เสมอ เพื่อลดความเสี่ยงใน การออกแบบผิดพลาด อย่างไรก็ตาม ขอให้คำ�นึงถึงเรื่องทรัพยากร เพราะการทำ� POC เป็นกิจกรรม พิเศษ ควรดำ�เนินการด้วยความระมัดระวังและรอบคอบ การติดตั้ง สำ�หรับ SIM ไม่มีอะไรที่ต้องจัดการเป็นพิเศษ เพียงผู้ติดตั้งดำ�เนินการตามการ ออกแบบ และจัดทำ�คู่มือเอกสารประกอบการตั้งค่าก็เพียงพอแล้ว สำ�หรับองค์กรที่นำ� SIM เข้ามาใช้เพื่อ เฝ้าระวังภัยคุกคาม ผู้เขียนแนะนำ�ให้ทำ�การทดสอบช่องโหว่ (Vulnerability Assessment – VA) ของระบบที่มีอยู่ก่อนทำ�การติดตั้ง ทั้งนี้เพื่อนำ�ข้อมูลที่ได้มาประกอบในการเฝ้าระวังภัยคุกคาม การทดสอบ โดยทั่วไปแล้วสำ�หรับ SIM การทดสอบระบบที่แนะนำ�ก็คือ การทดสอบการตั้งค่า ว่าเป็นไปตามที่ออกแบบไว้หรือไม่ ซึ่งหากมีการกำ�หนดความต้องการเรื่องปริมาณและอัตราการรับส่ง