Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
ชอเรอง บทความCyberThreats2013
โดย ThaiCERT
เรยบเรยงโดย นายชยชนะมตรพนธนายสรณนทจวะสรตนนายธงชยแสงศรนายไพชยนตวมกตะนนทนนายพรพรหมประภากตตกล นายเสฏฐวฒแสนนามนายเจษฎาชางสสงข นายวศลยประสงคสขนายธงชยศลปวรางกร นายแสนชยฐโนทยนางสาวโชตกาสนโน นางสาวกรรณกาภทรวศษฏสณธนายณฐโชตดสตานนท นายนวรตนพฒโนทยนางสาวนนทพรเหมะจนทร นายรณนเรศรเรองจนดาและทมไทยเซรต
พมพครงท1 พฤษภาคม2557
พมพจำนวน 3,000เลม
ราคา 300บาท
สงวนลขสทธตามพระราชบญญตลขสทธพ.ศ.2537
จดพมพและเผยแพรโดย
ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย(ไทยเซรต)(ThailandComputerEmergencyResponseTeam:ThaiCERT)
สำนกงานพฒนาธรกรรมทางอเลกทรอนกส(องคการมหาชน)(สพธอ.)ElectronicTransactionsDevelopmentAgency(PublicOrganization:ETDA)
ศนยราชการเฉลมพระเกยรต80พรรษา5ธนวาคม2550เลขท120หม3 อาคารรฐประศาสนภกด(อาคารB)ชน7ถนนแจงวฒนะแขวงทงสองหอง เขตหลกสกรงเทพฯ10210
โทรศพท:0-2142-2483|โทรสาร:0-2143-8071
อเมล:[email protected]
เวบไซตไทยเซรต:www.thaicert.or.th เวบไซตสพธอ.:www.etda.or.th เวบไซตกระทรวงฯ:www.mict.go.th
ทกวนนเทคโนโลยสารสนเทศเขามามบทบาทในชวตของทกคนไมวาจะในการทำงานการตดตอสอสารการทำธรกรรมทางการเงนหรอแมแตความบนเทงแตขณะทเทคโนโลยเจรญกาวหนาขนผไมหวงดทใชชองโหวของเทคโนโลยในการหาผลประโยชนกมจำนวนมากขนและมการพฒนาเทคนควธการใหมๆตามตดกบความกาวหนาของเทคโนโลยเชนกนการโจมตระบบเครอขายของหนวยงานทงของรฐและเอกชนในหลายๆประเทศโดยเฉพาะหนวยความทมความสำคญในระดบสงหรอหนวยงานดานเทคโนโลยสารสนเทศจดวาเปนเหตการณทสามารถเกดขนไดทกเวลาดงจะเหนไดจากสำนกขาวตางๆทนำเสนอเหตการณในลกษณะนอยางตอเนอง
อยางไรกตามสถานการณภยคกคามทางไซเบอรไมไดจำกดอยแตในกลมทเกยวของกบเทคโนโลยหรอหนวยงานสำคญๆเทานนแตรวมไปถงผใชงานทวไปทใชอนเทอรเนตในดานทไมเกยวของกบเทคโนโลยโดยตรงเชนกรณ
เวบไซตยอดนยมทถกเจาะระบบเพอฝงโปรแกรมไมพงประสงคทำใหผเขาชมเวบไซตตกเปนเหยอของโปรแกรมไมพงประสงคนนซงหวงผลในดานการขโมยเงนจากบญชธนาคารออนไลนทมการพบในเดอนมถนายน2556เปนตวอยางของกรณการโจมตทมงเปาหมายไปทผใชทวไปซงอาศยความจรงทวาผใชงานจำนวนไมนอยยงขาดความรความเขาใจทเพยงพอในการปองกนตวเองจากการโจมตเหลานนอกจากนผใชงานสวนมากทไมไดอยในสายเทคโนโลยมกจะไมไดตดตามหรอไมมเวลาตดตามขอมลขาวสารเกยวกบภยคกคามทางไซเบอรและการขาดความตระหนกในดานความมนคงปลอดภยในการใชอนเทอรเนตหรอความสำคญของการรกษาความลบของขอมลสวนบคคล
ไทยเซรต(ThaiCERT)ภายใตETDAนอกจากมภารกจหลกในการรบแจงและประสานงานเพอรบมอภยคกคามทางไซเบอรแลวยงมภารกจในการเผยแพรความร
และสรางความตระหนกในการปองกนและแกไขปญหาภยคกคามทางไซเบอรแกสาธารณชนโดยทวไปโดยมงหวงจะใหเปนแหลงเผยแพรขอมลการเตอนภยการโจมตหรอชองโหวทมผคนพบใหมในเวลานนและแนะนำแนวทางแกไขทไดผลสำหรบผไดรบผลกระทบโดยนำเสนอในรปแบบภาษาไทยทมความครบถวนถกตองและทนตอเวลา
ทมงานไทยเซรตไดตดตามขาวสารจากแหลงขาวดานความมนคงปลอดภยระบบคอมพวเตอรจากทวโลกศกษาและและกลนกรองเฉพาะเหตการณทอาจสงผลกระทบตอผใชงานในประเทศไทยโดยมการตรวจสอบยนยนและวเคราะหเพมเตมกอนทจะเผยแพรทางเวบไซตรวมถงการเผยแพรบทความดานความมนคงปลอดภยสารสนเทศทนาสนใจและมประโยชนตอผใชงานในทกระดบ
หนงสอเลมนรวบรวมการแจงเตอนและบทความทเผยแพรบนเวบไทยเซรตในป2013โดยหวงเปนอยางยงวาผอานจะไดรบความรเพมเตมตนตวรวมทงตระหนกถงผลกระทบและความสำคญของการรกษาความมนคงปลอดภยสารสนเทศจนสามารถปองกนและแกไขภยคกคามเบองตนไดอยางเหมาะสมและเปนการเสรมสรางความเขมแขงใหแกสงคมไซเบอรของประเทศไทยไดอกทางหนง
สรางคณาวายภาพ
ผอำนวยการสำนกงานพฒนาธรกรรมทางอเลกทรอนกส(องคการมหาชน)
บทความแจงเตอนและขอแนะนำระวงภยชองโหว‘CDwnBindInfo’ในInternetExplorer6-7-8(CVE-2012-4792)ตดตงแพทชโดยดวน.......14
ระวงภยชองโหวในJava7Update10(CVE-2013-0422)............................................................................................................... 16
ระวงภยชองโหวBufferOverflowในFoxitReader5.4.4.1128(npFoxitReaderPlugin.dll)............................... 18
ระวงภยชองโหวDoSและRemotecodeexecutionในโพรโทคอลUniversalPlug-and-Play(UPnP)........ 20
ระวงภยมลแวรในAndroidหลอกขโมยเงนจากธนาคาร................................................................................................................................24
ระวงภยชองโหวในเครองพมพHPผไมหวงดสามารถเขาถงขอมลสำคญได.........................................................................................30
ระวงภยชองโหว0-dayในMongoDBผไมหวงดสามารถสงประมวลผลคำสงอนตรายได................................................. 32
ระวงภยชองโหวในเกมBattlefieldPlay4Freeผไมหวงดสามารถควบคมเครองของเหยอได.............................................34
ระวงภยชองโหวในแอปViberผไมหวงดสามารถผานlockscreen และเขาถงขอมลในมอถอระบบปฏบตการAndroid............................................................................................................................................. 38
ระวงภยมลแวรในAndroidในรปแบบของแอนตไวรสAVGปลอม.........................................................................................................40
ระวงภยเวบไซตสำนกขาวหลายแหงในประเทศไทยถกเจาะฝงโทรจนทหลอกใหดาวนโหลดแอนตไวรสปลอม...................... 46
ระวงภยชองโหวในSamsungGalaxyS3และGalaxyS4เปดใหแอปพลเคชนใดๆสามารถสรางSMSปลอมหรอแอบสงSMSได...............................................................................................................................................................................................................54
ระวงภยFirefoxforAndroidมชองโหวดาวนโหลดแอปพลเคชนอนตรายมาตดตงทนททเขาเวบไซต............................... 58
ระวงภยแอปพลเคชนiMessageChatในGooglePlayStoreอาจขโมยขอมลสำคญ................................................... 60
ระวงภยชองโหวในInternetExplorerทกเวอรชนMicrosoftออกแพทชแกไขแลว ตดตงโดยดวน(CVE-2013-3893).......................................................................................................................................................................... 64
เวบไซตAdobeถกแฮกขอมลผใชและซอรสโคดของโปรแกรมหลดสอนเทอรเนต.............................................................................66
ระวงภยMicrosoftแจงเตอนชองโหว0-DayTIFFCodec ในโปรแกรมMicrosoftOffice(CVE-2013-3906)....................................................................................................................................68
ระวงภยMicrosoftแจงเตอนชองโหว0-DayในWindowsXP/2003โจมตผานAdobeReader.......................70
ระวงภยชองโหวในคำสงsudoผไมหวงดสามารถไดสทธของrootโดยไมตองใสรหสผาน.......................................................74
ระวงภยชองโหว0-dayในInternetExplorer8(CVE-2013-1347)หนวยงานในสหรฐถกโจมตแลว............... 76
ระวงภยชองโหว“MasterKey”ในระบบปฏบตการAndroid............................................................................................................... 78
ระวงภยชองโหวในJoomlaผไมหวงดสามารถอพโหลดไฟลอนตรายใดๆเขามาในระบบได...........................................................88
บทความทวไปการใชPGPดวยCommandline.....................................................................................................................................................................92
มหากาฬแฮกกงกบดจทลไลฟทสญสนของนายแมทโฮนาน.......................................................................................................................104
FacebookCommunityStandardsกบการโพสตบนเฟชบค........................................................................................................110
เปดใช2-StepAuthenticationในGoogleแลวมปญหาใชแอปบนมอถอทำไงด!!.........................................................114
Securedelete:ลบไฟลอยางไรใหปลอดภยจากการกคน......................................................................................................................118
iPhoneiPadiPodตดมลแวรภายใน1นาท..............................................................................................................................................124
BlackhatUSA2013...............................................................................................................................................................................................132
ATMSkimmerและขอควรระวงในการใชงานตATM...............................................................................................................................142
ไทยเซรตพบชองโหวของแอปพลเคชนLINEแฮกเกอรสามารถดกรบขอมลบนเครอขายLAN/WiFi และอานบทสนทนาไดทนทผใชงานควรอพเดตเวอรชนใหม.......................................................................................................................150
เชครปกอนแชร...................................................................................................................................................................................................................162
DigitalForensics101(ตอนท1).....................................................................................................................................................................166
แนวโนมภยคกคามดานความมนคงปลอดภยไซเบอรป2557............................................................................................................172
DigitalForensics101(ตอนท2)...................................................................................................................................................................178
บทความเชงเทคนคNmap .............................................................................................................................................................................................................................188
DDoS:DNSAmplificationAttack............................................................................................................................................................. 196
NmapScriptingEngine...................................................................................................................................................................................206
FulldiskencryptionและColdbootattack..................................................................................................................................214
เสรมความมนคงปลอดภยใหกบซอฟตแวรดวยEMETVersion4..............................................................................................222
GlobalSurveillance:ตอนท1.......................................................................................................................................................................228
นกวจยพบวาแอปบนiOSสามารถถกHijackดกแกไขขอมลระหวางทางได............................................................................232
SecurityInformationManager(1).........................................................................................................................................................236
GlobalSurveillance:ตอนท2.....................................................................................................................................................................240
badBIOSมลแวรทสงขอมลผานคลนเสยงเรองจรงหรอโกหก?....................................................................................................244
CryptoLocker:เรองเกาทถกเอามาเลาใหม....................................................................................................................................................250
การวเคราะหมลแวรเบองตนตอนท1................................................................................................................................................................258
URLObfuscation...................................................................................................................................................................................................264
SecurityInformationManager(2).......................................................................................................................................................270
RiskonLINE...............................................................................................................................................................................................................274
CYBER THREATS 2013 13
บทความประเภท
แจงเตอนและขอแนะนำ
บทความแจงเตอนและขอแนะนำา14
ระวงภยชองโหว
‘CDWNBINDINFO’ในINTERNETEXPLORER6-7-8(CVE-2012-4792)ตดตงแพทชโดยดวนวนทประกาศ : 4มกราคม2556ปรบปรงลาสด : 15มกราคม2556เรอง : ระวงภยชองโหว‘CDwnBindInfo’
ในInternetExplorer6-7-8 (CVE-2012-4792)ตดตงแพทชโดยดวน
ประเภทภยคกคาม : Intrusion,MaliciousCode
ขอมลทวไป
เมอวนท29ธนวาคม2556MicrosoftไดออกประกาศแจงเตอนSecurityAdvisoryหมายเลข2794220[1]เรองชองโหวในโปรแกรมInternetExplorerเวอรชน6,7และ8โดยชองโหวดงกลาวนเกดจากขอผดพลาดUse-after-free(เรยกใชงานขอมลทถกลบออกจากหนวยความจำไปแลว)ชองโหวดงกลาวนมหมายเลขCVE-2012-4792[2]
ผลกระทบ
ในการโจมตผไมหวงดจะสรางเวบไซตทมคำสงอนตรายหรอเจาะระบบเวบไซตของผอนแลวฝงคำสงอนตรายไวเมอผใชเขาใชงานเวบไซตนนดวยโปรแกรมInternetExplorerคำสงอนตราย ดงกลาวจะทำใหเกดความผดพลาดในการเรยกใชงานหนวยความจำและสงผลใหผไมหวงดสามารถสงประมวลผลคำสงอนตรายจากระยะไกล(RemoteCodeExecution)โดยไดสทธในระดบเดยวกนกบบญชผใชทใชงานโปรแกรมInternetExplorer[3]
CYBER THREATS 2013 15
ระบบทไดรบผลกระทบ
1.ระบบปฏบตการWindowsทตดตงโปรแกรมInternetExplorerเวอรชน6,7และ8
2.MicrosoftแจงวาโปรแกรมInternetExplorerในWindowsServer2003,WindowsServer2008,และWindowsServer2008R2ทตงคาเรมตนใหทำงานในโหมดEnhancedSecurityConfigurationชวยลดผลกระทบจากการโจมตผานชองโหวนได
ขอแนะนำในการปองกนและแกไข
ชองโหวนไมมผลกระทบกบผทใชงานInternetExplorerเวอรชน9และ10ดงนนเพอความปลอดภยควรอพเกรดโปรแกรมInternetExplorerใหเปนเวอรชนดงกลาว
เนองจากผลกระทบทเกดจากการโจมตนทำใหผไมหวงดไดรบสทธเดยวกนกบบญชผใชทใชงานโปรแกรมInternetExplorerดงนนผใชควรใชงานบญชผใชทเปนLimitedUserเนองจากจะไดรบผลกระทบนอยกวาAdministrator
เมอวนท14มกราคม2556MicrosoftไดเผยแพรแพทชMS13-008เพอแกไขชองโหว ดงกลาวแลวโดยไดแนะนำใหผใชงานตดตงแพทชดงกลาวอยางเรงดวนทสดเนองจากชองโหวนถกจดใหมความรนแรงอยในระดบCriticalและพบวาเรมมการโจมตผานชองโหวนอยางแพรหลายแลวโดยสามารถตดตงไดผานทางWindowsUpdateและดาวนโหลดไดจากเวบไซตของMicrosoft[4]
อางอง
1.http://technet.microsoft.com/en-us/security/advisory/2794220
2.http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4792
3.http://blogs.technet.com/b/srd/archive/2012/12/29/new-vulnerability-affecting-internet-explorer-8-users.aspx
4.http://support.microsoft.com/kb/2799329
บทความแจงเตอนและขอแนะนำา16
ระวงภยชองโหวใน
JAVA7UPDATE10(CVE-2013-0422)วนทประกาศ : 11มกราคม2556ปรบปรงลาสด : 15มกราคม2556เรอง : ระวงภยชองโหวในJava7Update10
(CVE-2013-0422)ประเภทภยคกคาม : MaliciousCode
ขอมลทวไป
เมอเดอนมกราคมนกวจยดานความมนคงปลอดภยทใชชอวาKafeineไดคนพบมลแวรทโจมตผานชองโหวของโปรแกรมJavaเวอรชน7Update10หรอเกากวาและไดพบวาซอฟตแวรประเภทExploitKitหลายตวเชนMetasploit,RedkitหรอBlackholeไดเพมความสามารถในการโจมตผานชองโหวดงกลาวนเขาไปในโปรแกรมของตนเองแลว[1]ชองโหวดงกลาวนมหมายเลขCVE-2013-0422[2]
บรษทFireEyeแจงวาไดตรวจสอบพบการโจมตผานชองโหวนตงแตเมอวนท2มกราคม2556แลวโดยพบวามการฝงโคดทใชในการโจมตไวในเวบไซตประเภทแชรไฟล[3]ในเบองตนทางFireEyeพบวาชองโหวดงกลาวนถกใชเปนชองทางในการโจมตJava7Update10หรอต�ากวาในJavaเวอรชนWindowsแตคาดวาชองโหวนสามารถใชในการโจมตระบบปฏบตการอนๆไดดวย
US-CERTไดวเคราะหวาชองโหวดงกลาวเกดจากขอผดพลาดในฟงกชนsetSecurityManager()ของระบบSecurityManagerในJavaRuntimeEnvironment(JRE)มผลทำใหแอปพลเคชนสามารถไดรบสทธการทำงานเกนปกต(PrivilegeEscalation)[4]
ผลกระทบ
ชองโหวดงกลาวนสามารถโจมตไดดวยการฝงโคดอนตรายไวในเวบไซตซงหากผใชงานเขาชมเวบไซตดงกลาวอาจถกตดตงมลแวรหรออาจถกสงใหประมวลผลคำสงอนตรายจากระยะไกลได(RemoteCodeExecution)
CYBER THREATS 2013 17
ระบบทไดรบผลกระทบ
Java7Update10หรอต�ากวา ในเวอรชนWindows
ขอแนะนำในการปองกนและแกไข
OracleไดออกJava7Update11เพอแกไขปญหานแลวผใชสามารถดาวนโหลดไดจากเวบไซตของOracle[5]โดยอพเดตเวอรชนดงกลาวนไดปดชองโหว CVE-2012-3174ดวย
อยางไรกตามผเชยวชาญดานความมนคงปลอดภยหลายฝายใหความเหนวาถงแมจะมอพเดตออกมาแลวแตJavaยงคงมความเสยงอยและแนะนำใหปดการทำงานของJavaเมอไมมความจำเปนตองใชงาน[6]โดยตงแตJava7Update10เปนตนไปทางOracleไดเพมคณสมบตการปดการทำงานของJavaในเวบเบราวเซอรแลวซงผใชสามารถศกษาวธการปดการทำงานไดจากเวบไซตของJava[7]
อางอง
1.http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html
2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0422
3.http://blog.fireeye.com/research/2013/01/happy-new-year-from-new-java-zero-day.html
4.http://www.kb.cert.org/vuls/id/625617
5.http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html
6.http://www.reuters.com/article/2013/01/14/us-java-oracle-security-idUSBRE90D10P20130114
7.http://www.java.com/en/download/help/disable_browser.xml
บทความแจงเตอนและขอแนะนำา18
ระวงภยชองโหว
BUFFEROVERFLOWในFOXITREADER5.4.4.1128(NPFOXITREADERPLUGIN.DLL)วนทประกาศ : 22มกราคม2556ปรบปรงลาสด : 22มกราคม2556เรอง : ระวงภยชองโหวBufferOverflowในFoxitReader5.4.4.1128
(npFoxitReaderPlugin.dll)ประเภทภยคกคาม :MaliciousCode
ขอมลทวไป
เมอเดอนมกราคมนกวจยดานความมนคงปลอดภยชาวอตาลชอAndreaMicalizziไดคนพบชองโหวของโปรแกรมFoxitReaderซงเปนโปรแกรมทใชสำหรบอานไฟลPDFโดยชองโหวท
พบนอยในไฟลnpFoxitReaderPlugin.dllซงเปนปลกอนสำหรบเปดไฟล.pdfในเวบเบราวเซอรโดยเมอผใชเปดไฟล.pdfจากURLทมความยาวมากๆจะสงผลใหปลกอนดงกลาวเกดอาการBufferOverflow[1] ตวอยางหนาจอการทำงานผดพลาด เปนดงรปท1
รปท1หนาจอของเวบเบราวเซอรเมอปลกอนเกดอาการ
BufferOverflow (ทมา:NakedSecurity[1])
CYBER THREATS 2013 19
ผลกระทบ
ผไมหวงดสามารถสงประมวลผลคำสงอนตรายบนเครองคอมพวเตอร ของผใชได[2]
ระบบทไดรบผลกระทบ
FoxitReaderเวอรชน5.4.4.1128หรอเกากวา (ปลกอนnpFoxitReaderPlugin.dllเวอรชน2.2.1.530)[3]
ขอแนะนำในการปองกนและแกไข
FoxitSoftwareไดเผยแพรโปรแกรมFoxitReaderเวอรชน5.4.5เพอแกไขปญหานแลว[4]ผใชสามารถดาวนโหลดไดจากเวบไซตของFoxitSoftware[5]
อางอง
1.http://nakedsecurity.sophos.com/2013/01/11/vulnerability-in-foxit-pdf-plugin-for-firefox
2.http://secunia.com/advisories/51733/
3.http://threatpost.com/en_us/blogs/vulnerability-foxit-reader-allows-attackers-remotely-execute-code-011013
4.http://www.foxitsoftware.com/support/security_bulletins.php#FRD-18
5.http://www.foxitsoftware.com/downloads/index.php
บทความแจงเตอนและขอแนะนำา20
ระวงภยชองโหว
DOSและREMOTECODEEXECUTIONในโพรโทคอลUNIVERSALPLUG-AND-PLAY(UPNP)วนทประกาศ : 31มกราคม2556ปรบปรงลาสด : 31มกราคม2556เรอง : ระวงภยชองโหวDoSและRemotecodeexecutionในโพรโทคอล
UniversalPlug-and-Play(UPnP)ประเภทภยคกคาม : Denial-of-Service,MaliciousCode
ขอมลทวไป
เมอวนท29มกราคม2556นกวจยจากบรษทRapid7ไดคนพบชองโหวของโพรโทคอลUniversalPlug-and-Play(UPnP)ซงเปนโพรโทคอลทใชในระบบเครอขายสำหรบใหอปกรณทอยในระบบสามารถเชอมตอและคนหาเครองอนๆในเครอขายเพอควบคมแชรไฟลสงพมพเอกสารหรอเขาถงทรพยากรอนๆทถกแชรไวได โดยสวนมาก โพรโทคอลUPnPจะเปดใชงาน (Enable) ไวแลวตงแตแรกในอปกรณทสามารถเชอมตอกบระบบเครอขายไดไมวาจะเปนคอมพวเตอรเราทเตอรเครองพมพหรอแมกระทงSmartTVตวอยางการใชงานโพรโทคอลUPnPเชนโปรแกรมประเภทBittorrent
จะใชUPnPในการทำPortForwardจากเราทเตอรเพอใหสามารถแลกเปลยนขอมลกบผใชโปรแกรม Bittorrent อนๆ ได หรอหนาจอ“Add Device” ของระบบปฏบตการ Windows ทจะใช UPnP ในการตรวจสอบหาอปกรณทอยในระบบเครอขาย เชน เครองพมพเพอทจะเขาไปจดการกบอปกรณดงกลาว เชน ตงคาการทำงาน หรอเคลยรรายการเอกสารทสงพมพอยเปนตน[1]
CYBER THREATS 2013 21
ผลกระทบ
ชองโหวทคนพบนเกดจากขอผดพลาดBufferoverflowในไลบรารlibupnpซงเปนPortableSDKทนำไปใชในอปกรณทรองรบระบบUPnPเชนเราทเตอรสำหรบเชอมตออนเทอรเนตADSLทใชงานตามบานหรอWiFiAccessPointโดยทางRapid7ไดจด ผลกระทบออกเปน3ประเดนดงน
• ชองโหวในUPnPdiscoveryprotocol(SSDP)สงผลใหผไมหวงดสามารถปดระบบการทำงานของUPnPหรอสงประมวลผลคำสงอนตรายได
• ชองโหวในUPnPcontrolinterface(SOAP)เปดเผยขอมลทเกยวของกบระบบ เครอขายภายใน(Internalnetwork)ใหกบบคคลภายนอก
• ชองโหวในUPnPHTTPและSOAPสงผลใหผไมหวงดสามารถปดระบบการทำงานของUPnPหรอสงประมวลผลคำสงอนตรายได
นกวจยจากบรษทRapid7ไดทำการทดลองแลวพบวามอปกรณกวา80ลานเครองทวโลกทตอบรบUPnPdiscoveryrequestทมาจากอนเทอรเนตและจากการตรวจสอบพบวามอปกรณทไดรบผลกระทบจากชองโหวดงกลาวอยมากถง40-50ลานเครองทวโลก[2]โดยมขอมล เพมเตมดงรปท1
ระบบทไดรบผลกระทบ
หนวยงานCERT.orgไดตดตอผผลตอปกรณเครอขายและระบบปฏบตการคอมพวเตอรเพอขอขอมลระบบทไดรบผลกระทบโดยปจจบน(ณวนทประกาศแจงเตอนน)มผผลตทยนยนแลววาระบบมชองโหวคอ
• CiscoSystems,Inc.
• FujitsuTechnology
• HuaweiTechnologies
• Linksys
• NECCorporation
• Siemens
• SonyCorporation
และผผลตทยนยนแลววาระบบไมไดรบผลกระทบคอUbiquitiNetworks
ในสวนของระบบอนๆทใชงานUPnPยงอยระหวางการประสานงานและตรวจสอบขอมล ผใชงานระบบดงกลาวควรตรวจสอบและตดตามขอมลของชองโหวจากเวบไซตของCERT.orgและเวบไซตของผผลตอยางสม�าเสมอ[3]
บทความแจงเตอนและขอแนะนำา22
ขอแนะนำในการปองกนและแกไข
ผพฒนาlibupnpไดเผยแพรไลบรารเวอรชน1.6.18ซงแกไขปญหาดงกลาวแลว[4]ระหวางทรอผผลตนำไลบรารดงกลาวไปปรบปรงระบบผใชงานควรปองกนปญหาทอาจจะเกดขนโดยตรวจสอบและปดการทำงานของระบบUPnPในอปกรณตางๆหรอตงคาFirewallโดยไมอนญาตใหมการเขาถงพอรต1900/udpจากโฮสตทนาสงสย
ทางRapid7ไดเผยแพรซอฟตแวรScanNowfor
UPnPซงเปนซอฟตแวรทใชสำหรบการสแกนอปกรณในระบบเครอขายเพอตรวจสอบวามชองโหวUPnPอยหรอไมโดยซอฟตแวรดงกลาวทำงานไดเฉพาะบนระบบปฏบตการWindowsผใชงานสามารถดาวนโหลดไดฟรจากเวบไซตของRapid7[5]ตวอยางหนาจอของโปรแกรมScanNowforUPnPเปนดงรปท2
รปท1ขอมลของระบบทไดรบผลกระทบจากชองโหวUPnP
(ทมา:Rapid7[1])
รปท2ตวอยางหนาจอของโปรแกรมScanNowforUPnP(ทมา:Rapid7[1])
CYBER THREATS 2013 23
สำหรบผใชระบบปฏบตการMacOSXหรอLinuxทางRapid7แนะนำใหใชโปรแกรมMetasploit[6]และเรยกใชโมดลทชอUPnPSSDPM-SEARCHInformationDiscoveryสำหรบสแกนชองโหวในระบบเครอขาย
สำหรบผใชงานอนเทอรเนตตามบานทางRapid7ไดเปดเวบไซตสำหรบใหบรการสแกน เราทเตอรทใชงานอยเพอตรวจสอบวาอปกรณดงกลาวยอมรบUPnPdiscoveryrequestจากอนเทอรเนตหรอไมโดยสามารถตรวจสอบไดจากเวบไซตhttp://upnp-check.rapid7.com/[7] ตวอยางหนาเวบไซตดงกลาวเปนดงรปท3
อางอง
1. https://community.rapid7.com/community/infosec/blog/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play
2.https://community.rapid7.com/servlet/JiveServlet/download/2150-1-16596/SecurityFlawsUPnP.pdf
3.http://www.kb.cert.org/vuls/id/922681
4.http://pupnp.sourceforge.net/
5.http://www.rapid7.com/resources/free-security-software-downloads/universal-plug-and-play-jan-2013.jsp
6.http://www.rapid7.com/products/metasploit/download.jsp
7.http://upnp-check.rapid7.com/
รปท3ตวอยางหนาจอของโปรแกรมScanNowforUPnP(ทมา:Rapid7[1])
บทความแจงเตอนและขอแนะนำา24
ระวงภยมลแวรใน
ANDROIDหลอกขโมยเงนจากธนาคารวนทประกาศ : 8มนาคม2556ปรบปรงลาสด : 8มนาคม2556เรอง : ระวงภยมลแวรในAndroidหลอกขโมยเงนจากธนาคารประเภทภยคกคาม : MaliciousCode
ขอมลทวไป
จากทมการเผยแพรขอมลในงานCDIC2013ทจดขนเมอวนท27-28กมภาพนธ2556เรองมลแวรในระบบปฏบตการAndroidหลอกขโมยเงนจากธนาคาร[1]ทางไทยเซรตไดตรวจสอบเวบไซตทเผยแพรมลแวรและไดทำการวเคราะหมลแวรดงกลาวไดผลสรปดงน
ในการโจมตผไมหวงดไดสงSMSมายงโทรศพทมอถอของเหยอขอความในSMSระบลงกสำหรบดาวนโหลดไฟล.apkซงเปนแอปพลเคชนของระบบปฏบตการAndroidโดยลงกทใหดาวนโหลดไฟลดงกลาวคอ[2] [3]
• http://scb.<สงวนขอมล>.info/scbeasy.apk• FileName:scbeasy.apk• Filesize:235093bytes• MD5:1108B16034254CA989B84A48E8E03D78• SHA1:D504E50CB4560B7E8AF3E9D868975D3A83E8EEB3
• http://kasikorn.<สงวนขอมล>.info/ibanking.apk• FileName:ibanking.apk• Filesize:266157bytes• MD5:06806E271792E7E521B28AD713601F2E• SHA1:76CE639C5FFEA7B25455A219011B28E36A6458E6
รปท1เปรยบเทยบโครงสรางของไฟลibanking.apkและscbeasy.apk
รปท2ขอมลในไฟลAndroidManifest.xml
CYBER THREATS 2013 25
หากผใชเขาไปยงหนาแรกของเวบไซตทเผยแพรมลแวรโดยไมระบพาธของไฟล.apkจะพบวาหนาเวบไซตดงกลาวRedirectไปยงหนาเวบไซตจรงของธนาคารซงผไมหวงดใชวธนในการหลอกลวงเหยอใหเชอวาเวบไซตดงกลาวนเปนเวบไซตจรงของธนาคาร
ทมไทยเซรตไดตรวจสอบขอมลทอยในไฟล.apkทงสองไฟลพบวามโครงสรางภายในเหมอนกนดงรปท1โดยมสวนทแตกตางคอไฟลกราฟกทอยในไดเรกทอรdrawableจะเปนโลโกของธนาคารทถกผไมหวงดแอบอาง
เมอตรวจสอบขอมลในไฟลAndroidManifest.xmlของทงสองไฟลพบวาใชชอpackageเหมอนกนคอ“com.fake.site”ดงรปท2
บทความแจงเตอนและขอแนะนำา26
ไฟลAndroidManifest.xmlเปนไฟลทใชกำหนดคณสมบตของแอปพลเคชนรวมถงกำหนดสทธ(Permission)ทแอปพลเคชนนนสามารถเขาถงได[4]ซงจากขอมลดงกลาวพบวาทงสองแอปพลเคชนมความสามารถในการเขยนขอมลลงในExternalstorage(เชนSDCard)และรบสงSMSอยางไรกตามทงสองแอปพลเคชนนไมสามารถเชอมตออนเทอรเนตได
เมอตรวจสอบโคดของทงสองแอปพลเคชนพบวามฟงกชนในการสงSMSไปยงหมายเลขโทรศพททอยในประเทศรสเซยดงรปท3
รปท3หมายเลขโทรศพททจะสงSMSไป
และพบStringทเปนรหสUnicodeซงสามารถแปลงกลบไดเปนขอความภาษาไทยวา“รหสผานไมตรงกน”ดงรปท4
รปท4Stringทพบในแอปพลเคชน
เมอทดลองตดตงทงสองแอปพลเคชนลงในโปรแกรมAndroidemulatorพบไอคอนของแอปพลเคชนทชอcertificateดงรปท5
รปท5ไอคอนของแอปพลเคชนทถกตดตง
CYBER THREATS 2013 27
เมอเปดเขาไปยงแอปพลเคชนดงกลาวจะพบหนาจอใหใสรหสผานสำหรบเขาใชงานบญชธนาคารออนไลนดงรปท6หากใสรหสผานทงสองชองไมตรงกนจะปรากฏขอความวา“รหสผานไมตรงกน”
เมอปอนรหสผานและกดปม“ตอ”จะพบหนาจอดงรปท7
รปท6ตวอยางหนาจอแอปพลเคชนปลอมของธนาคารออนไลน
จากการใชคำสงlogcat[5]เพอบนทกLogของสงทเกดขนในระบบพบวามการสงSMSออกไปยงหมายเลขโทรศพทตามทปรากฏอยในโคดของแอปพลเคชนดงรปท8
รปท7ตวอยางหนาจอหลงกรอกขอมลรหสผาน
บทความแจงเตอนและขอแนะนำา28
รปท8LogแสดงการสงSMS
ผลกระทบ
ผใชทตดตงแอปพลเคชนดงกลาวอาจถกหลอกใหกรอกขอมลทเกยวของกบบญชธนาคารออนไลนแลวถกผไมหวงดขโมยบญชผใชซงอาจนำไปสการขโมยเงนจากธนาคารในภายหลงได
ระบบทไดรบผลกระทบ
ระบบปฏบตการAndroidทตดตงแอปพลเคชนปลอมของธนาคารออนไลน
ขอแนะนำในการปองกนและแกไข
จะเหนไดวาการโจมตดงกลาวนเกดจากการทผไมหวงดหลอกใหผใชตดตงแอปพลเคชนหลอกลวงทอางวาสามารถเขาใชงานบญชธนาคารออนไลนไดโดยแหลงทมาของแอปพลเคชนนนไมไดมาจากเวบไซตจรงของธนาคารและเปนการตดตงแอปพลเคชนจากแหลงซอฟตแวรภายนอกทไมใชGooglePlayStore
การปองกนตวไมใหตกเปนเหยอจากการโจมตดวยวธดงกลาวผใชงานควรพจารณาแอปพลเคชนทจะตดตงลงในโทรศพทมอถออยางรอบคอบไมควรตดตงแอปพลเคชนทมแหลงทมาไมนาเชอถอรวมถงตรวจสอบการรองขอสทธ(Permission)ของแอปพลเคชนนนๆวามความเหมาะสมหรอไม
อยางไรกตามปญหามลแวรในระบบปฏบตการAndroidไมใชเรองใหมทางไทยเซรตไดเคยนำเสนอวธการตรวจสอบและปองกนปญหามลแวรรวมถงวธการใชงานโทรศพทมอถอใหปลอดภย ผอานสามารถศกษาเพมเตมไดจากบทความ
• แนวทางการใชงานโทรศพทมอถอใหปลอดภยจากภยคกคาม[6]• รทนและปองกนMalwareในระบบปฏบตการAndroid[7]• รทนและปองกนMalwareในระบบปฏบตการAndroidตอนท2[8]
CYBER THREATS 2013 29
อางอง
1. http://www.acisonline.net/
2.https://twitter.com/PrinyaACIS/status/307711776873668608
3.https://www.scbeasy.com/v1.4/site/presignon/mtrl/File/SCB%20Easy%20Net_%20Ex.Phishing%20SMS.pdf
4.http://docs.xamarin.com/guides/android/advanced_topics/working_with_androidmanifest.xml
5.http://developer.android.com/tools/help/logcat.html
6.http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html
7.http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html
8.http://www.thaicert.or.th/papers/technical/2012/pa2012te011.html
บทความแจงเตอนและขอแนะนำา30
ระวงภยชองโหว
ในเครองพมพHPผไมหวงดสามารถเขาถงขอมลสำคญไดวนทประกาศ : 13มนาคม2556ปรบปรงลาสด : 13มนาคม2556เรอง : ระวงภยชองโหวในเครองพมพHPผไมหวงดสามารถเขาถงขอมลสำคญไดประเภทภยคกคาม : Intrusion,DenialofService(DoS)
ขอมลทวไป
วนท11มนาคม2556หนวยงานCERTและบรษทHPไดประกาศแจงเตอนชองโหวทพบ ในเครองพมพHPLaserJetProfessionalโดยเปนชองโหวในระบบทใชสำหรบเชอมตอเขามาdebugเครองพมพผานโพรโทคอลtelnet[1]ชองโหวดงกลาวนมหมายเลขCVE-2012-5215[2]
ผลกระทบ
ผไมหวงดสามารถเชอมตอเขามายงเครองพมพผานโพรโทคอลtelnetแลวสามารถเหนขอมลสำคญหรออาจทำใหเครองพมพไมสามารถทำงานตอได
CYBER THREATS 2013 31
ระบบทไดรบผลกระทบ
•HPLaserJetProP1102wทใชเฟรมแวรเวอรชนเกากวา20130213
•HPLaserJetProP1606dnทใชเฟรมแวรเวอรชนเกากวา20130213
• HPLaserJetProM1212nfMFPทใชเฟรมแวรเวอรชนเกากวา20130211
• HPLaserJetProM1213nfMFPทใชเฟรมแวรเวอรชนเกากวา20130211
• HPLaserJetProM1214nfhMFPทใชเฟรมแวรเวอรชนเกากวา20130211
• HPLaserJetProM1216nfhMultifunctionPrinterทใชเฟรมแวรเวอรชนเกากวา20130211
• HPLaserJetProM1217nfwMultifunctionPrinterทใชเฟรมแวรเวอรชนเกากวา20130211
• HPHotSpotLaserJetProM1218nfsMFPทใชเฟรมแวรเวอรชนเกากวา20130211
• HPLaserJetProM1219nfMFPทใชเฟรมแวรเวอรชนเกากวา20130211
• HPLaserJetProCP1025nwทใชเฟรมแวรเวอรชนเกากวา20130212
ขอแนะนำในการปองกนและแกไข
ทางHPไดเผยแพรเฟรมแวรสำหรบแกไขชองโหวในเครองพมพรนทมปญหาแลวผใชงานควรตรวจสอบเวอรชนของเฟรมแวรทใชงานอยหากพบวาเปนเวอรชนทมชองโหวควรทำการตดตงเฟรมแวรรนลาสดจากเวบไซตของHP[3]วธการตรวจสอบเวอรชนของเฟรมแวรอาจมความแตกตางกนในเครองพมพแตละรนซงผใชสามารถศกษาวธการตรวจสอบไดจากคมอการใชงานของเครองพมพรนนนๆ
อางอง
1. http://www.kb.cert.org/vuls/id/782451
2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5215
3.https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03684249
บทความแจงเตอนและขอแนะนำา32
ระวงภยชองโหว
0-DAYในMONGODBผไมหวงดสามารถสงประมวลผลคำสงอนตรายไดวนทประกาศ : 26มนาคม2556ปรบปรงลาสด : 26มนาคม2556เรอง : ระวงภยชองโหว0-dayในMongoDBผไมหวงดสามารถสงประมวลผล
คำสงอนตรายไดประเภทภยคกคาม : Intrusion
ขอมลทวไป
MongoDBเปนโปรแกรมระบบฐานขอมลแบบNoSQLทแจกจายใหใชงานในลกษณะOpen-sourceโดยมผพฒนาคอบรษท10genโปรแกรมMongoDBมการนำไปใช
เปนระบบฐานขอมลในหลายๆบรการเชนMTVNetwork,Foursquareเปนตน[1]
เมอวนท24มนาคม2556นกวจยจากบรษทSCRTไดคนพบชองโหวของMongoDBโดยชองโหวทพบนอยในฟงกชนNativeHelperทใชในการประมวลผลJavascriptฟงกชนดงกลาวนจะรบขอมลJavascriptเขาไปประมวลผลโดยไมมการตรวจสอบทำใหผไมหวงดสามารถสงคำสงอนตรายเขาไปประมวลผลทฝงเซรฟเวอรไดนกวจยไดแจงชองโหวทคนพบน ไปยงบรษท10genแลวแตยงไมมการตอบกลบจากทาง10gen[2]
อยางไรกตามในโปรแกรมMongoDBเวอรชน2.4เปนตนมาไดเปลยนเอนจนทใชในการประมวลผลJavascriptจากSpiderMonkeyมาเปนGoogleV8และไดตดฟงกชนnativeHelperออกไปแลวจงไมไดรบผลกระทบจากชองโหวนแตในMongoDBเวอรชน2.2.4ซงเปนอพเดตลาสดของเวอรชน2.2.xยงไมไดมการแกไขปญหานแตอยางใด[3]
นกวจยแจงวาจะมการเผยแพรโมดลสำหรบใชในการโจมตผานชองโหวดงกลาวนลงในโปรแกรมMetasploitในอกไมนาน
CYBER THREATS 2013 33
ผลกระทบ
ผไมหวงดสามารถสงคำสงอนตรายเขามาประมวลผลทเครองเซรฟเวอรหรออาจสงคำสงเขามาเพอใหเซรฟเวอรไมสามารถใหบรการตอได
ระบบทไดรบผลกระทบ
MongoDBเวอรชน2.2.4และต�ากวา ทงเวอรชน32บตและ64บต
ขอแนะนำในการปองกนและแกไข
สำหรบผทใชงานโปรแกรมMongoDBเวอรชนทไดรบผลกระทบเนองจากยงไมมการชแจงหรอการแกไขจากทางผพฒนาหากเปนไปไดควรอพเกรดโปรแกรมMongoDBใหเปนเวอรชน2.4ซงเปนเวอรชนทไดรบการแกไขปญหาดงกลาวแลวแตหากทำไมไดควรตรวจสอบขอมลจากเวบไซตของผพฒนาอยอยางสม�าเสมอและหากมการเผยแพรซอฟตแวรเวอรชนทแกไขปญหานแลวควรทำการอพเดตโดยเรวทสด
อางอง
1. http://www.mongodb.org/
2.http://blog.scrt.ch/2013/03/24/mongodb-0-day-ssji-to-rce/
3.http://www.h-online.com/security/news/item/MongoDB-Exploit-on-the-net-Metasploit-in-the-making-1829690.html
บทความแจงเตอนและขอแนะนำา34
ระวงภยชองโหวใน
เกมBATTLEFIELDPLAY4FREEผไมหวงดสามารถควบคมเครองของเหยอไดวนทประกาศ : 26มนาคม2556ปรบปรงลาสด : 26มนาคม2556เรอง : ระวงภยชองโหวในเกมBattlefieldPlay4Freeผไมหวงดสามารถควบคม
เครองของเหยอไดประเภทภยคกคาม : Intrusion
ขอมลทวไป
เกมBattlefieldPlay4FreeเปนเกมออนไลนทเปดใหเลนไดฟรโดยมผใหบรการคอบรษทEAปจจบนมผเลนเกมนอยประมาณ1ลานคนทวโลก[1]
เมอวนท22มนาคม2556นกวจยจากบรษทReVulnไดคนพบชองโหวในระบบการทำงานของเกมBattlefieldPlay4FreeซงชองโหวนมผลทำใหผไมหวงดสามารถควบคมเครองของเหยอไดผานการเปดหนาเวบไซตทมโคดอนตรายฝงอยโดยชองโหวดงกลาวนมการเผยแพรในงานBlackHatEurope2013
การทำงานของเกมBattlefieldPlay4Freeประกอบดวย3สวนหลกๆคอ
1. Browserpluginเปนปลกอนทตดตงในเบราวเซอรเพอเรยกใชงานโปรแกรมเกม
2. Gameupdaterเปนระบบทใชสำหรบตรวจสอบการอพเดตเวอรชนของเกมและเปดใหเขาเลนเกมเมอตรวจสอบพบวาเปนเวอรชนลาสดแลว
3. Gameเปนตวโปรแกรมเกมทใชในการเลน
เมอผเลนกดเขาเลนเกมBattlefieldPlay4FreeจากหนาเวบไซตโปรแกรมBrowser
CYBER THREATS 2013 35
PluginทตดตงอยจะเรยกใชงานโปรแกรมGameupdaterและเรยกใชงานโปรแกรมGameตามลำดบตวอยางหนาจอการเขาเลนเกมเปนดงรปท1
รปท1ตวอยางหนาจอการเขาเลนเกมBattlefield
Play4Free
สาเหตของชองโหวเกดจากการทระบบ
Gameupdater รบคาตวแปรจากภายนอกเขามาประมวลผล
กอนทจะเรยกใชงานโปรแกรมGameโดยไมไดมการตรวจสอบความถกตองของตวแปรทไดรบเขามาสงผลใหผไมหวงดสามารถปลอมแปลงคาของ
ตวแปรดงกลาวใหเปนคำสงอนตรายใดๆกได[2]
ทางบรษทReVulnไดเผยแพรวดโอสาธตการโจมตผานชองโหวดงกลาวโดยไดจำลองหนาเวบไซตทมโคดสำหรบโจมตชองโหวเมอผใชเปดเวบเบราวเซอรทตดตงปลกอนของเกมBattlefieldPlay4FreeเขาไปยงเวบไซตดงกลาวจะมการเรยกใชงานโปรแกรมGameupdaterและประมวลผลคำสงอนตรายทนทซงผลลพธของการโจมตคอสามารถตดตงไฟลทเปดชองทางใหผไมหวงดเขามาควบคมเครองของเหยอได[3]
อยางไรกตามชองโหวดงกลาวนสามารถทำงานไดเฉพาะในWindowsXPและWindowsServer2003เทานนและทางบรษทReVulnยงไมไดเผยแพรตวอยางโคดทใชสำหรบการโจมตผานชองโหวดงกลาวออกสสาธารณะมเพยงการเผยแพรขอมลรายละเอยดของชองโหวและตวอยางวดโอสาธตการโจมตเทานน
ผลกระทบ
ผทตดตงเกมBattlefilePlay4Freeอาจถกผไมหวงดตดตงโปรแกรมเพอใชในการเชอมตอ เขามาควบคมการทำงานของเครองคอมพวเตอร
ระบบทไดรบผลกระทบ
ผใชงานระบบปฏบตการWindowsXPหรอWindowsServer2003ทตดตงเกมBattlefieldPlay4Free
บทความแจงเตอนและขอแนะนำา36
ขอแนะนำในการปองกนและแกไข
ยงไมมขอมลรายละเอยดความเสยหายหรอวธการแกไขจากบรษทEAในเรองของชองโหวน ผทตดตงโปรแกรมBattlefiledPlay4FreeอาจจำเปนตองปดการทำงานของปลกอนBattlefieldPlay4Freeในเวบเบราวเซอรและเปดใชงานในกรณทตองการเลนเกมเทานนดงรปท2
รปท2การปดใชงานปลกอนBattlefieldPlay4Free
อางอง
1. http://battlefield.play4free.com/en/forum/showthread.php?tid=115716
2.http://revuln.com/files/ReVuln_Battlefield_play4free.pdf
3.http://vimeo.com/61364094
CYBER THREATS 2013 37
บทความแจงเตอนและขอแนะนำา38
ระวงภยชองโหวใน
แอปVIBERผไมหวงดสามารถผานLOCKSCREENและเขาถงขอมลในมอถอระบบปฏบตการANDROIDวนทประกาศ : 30เมษายน2556ปรบปรงลาสด : 30เมษายน2556เรอง : ระวงภยชองโหวในแอปViberผไมหวงดสามารถผานlockscreenและเขาถง
ขอมลในมอถอระบบปฏบตการAndroidประเภทภยคกคาม : Intrusion
ขอมลทวไป
เมอวนท23เมษายน2556ViberเปนโปรแกรมแชทบนมอถอทมความสามารถสงขอความหรอโทรศพทฟรคลายกบแอปพลเคชนLINEทไดรบความนยมสงโดยมผใชมากกวา50,000,000คนและสามารถตดตงบนระบบปฏบตการทไดรบความนยมอยางAndroid,iOSและWindowsPhone[1]
บรษทBkavไดคนพบชองโหวในแอปพลเคชนViberรนทใชงานกบระบบปฏบตการAndriodซงชองโหวนมผลทำใหผไมหวงดผานการปองกนlockscreenและสามารถเขาถงขอมลในมอถอบนระบบปฏบตการAndroidโดยมการเผยแพรรายละเอยดของชองโหวผานเวบไซตของบรษทในการเขาถงขอมลมอถอผานชองโหวนผไมหวงดตองสามารถเขาถงเครองมอถอของเหยอทางกายภาพเชนเหยออาจจะลมมอถอไวบนโตะซงระบบปฏบตการบนมอถอนนตองเปนAndroidและมการตดตงแอปพลเคชนViberและผไมหวงดตองรเบอรมอถอของเหยอเพอทจะสงขอความไปยงViberบนเครองของเหยอโดยเครองของเหยอไมจำเปนตองมcontactของผไมหวงดในcontactlistแตอยางใดจากนนผไมหวงดอาศยความผดพลาดของแอปพลเคชนในสวนของการแจงเตอนเมอ ไดรบขอความซงปกตจะมลกษณะดงรปท1ทำใหสามารถผานlockscreenไดโดยอาศยเงอนไขบางประการดงรายละเอยดทระบในเวบไซตของผคนพบชองโหวน[2]
CYBER THREATS 2013 39
ผลกระทบ
ผไมหวงดสามารถผานlockscreenและเขาถงขอมลบนมอถอระบบปฏบตการAndroidได
ระบบทไดรบผลกระทบ
ผใชงานมอถอระบบปฏบตการAndroidทตดตงแอปพลเคชนViber
ขอแนะนำในการปองกนและแกไข
ยงไมมวธการแกไขจากViberในเรองของชองโหวนผทตดตงViberควรเกบมอถอไวกบตวและไมควรใหคนอนยมและทำการอพเดตViberเพอปดชองโหวเมอมการปลอยอพเดตในอนาคต
อางอง
1. http://www.viber.com
2.http://www.bkav.com/top-news/-/view_content/content/46264/critical-flaw-in-viber-allows-full-access-to-android-smartphones-bypassing-lock-screen
รปท1แสดงการแจงเตอน เมอไดรบขอความของViber
บทความแจงเตอนและขอแนะนำา40
ระวงภย
มลแวรในANDROIDในรปแบบของแอนตไวรสAVGปลอมวนทประกาศ :12มถนายน2556ปรบปรงลาสด :17มถนายน2556เรอง :ระวงภยมลแวรใน
AndroidในรปแบบของแอนตไวรสAVGปลอม
ประเภทภยคกคาม :MaliciousCode
ขอมลทวไป
เมอเดอนมถนายนไทยเซรตไดรบรายงานมลแวรททำงานบนระบบปฏบตการAndroid เผยแพรอยบนอนเทอรเนตในการโจมตผไมประสงคดจะหลอกผใชงานอนเทอรเนตใหเปดหนาเวบไซตธนาคารปลอมซงในหนาเวบไซตดงกลาวจะมการปรบแตงใหเสมอนวาเปนหนาของเวบไซตจรงทงหมดรวมถงมการแจงเตอนใหผใชงานดาวนโหลดแอปพลเคชนแอนตไวรสทชอวาAVGไดฟรแอปพลเคชนดงกลาวเปนแอปพลเคชนปลอมทผไมประสงคดสรางขนมาเลยนแบบแอปพลเคชนแอนตไวรสของAVGและมวตถประสงคเพอขโมยขอมลSMSบนโทรศพทมอถอของผใชงานทตดตงแอปพลเคชนดงกลาว
• http://avg.<สงวนขอมล>.mobi/avg.apk
• FileName:avg.apk
• Filesize:279,115bytes
• MD5:d232f20d95f97147c36ec246c8a140a6
• SHA1:9b165adf118e957ecc50c063ca5bd0013cb9fe2a
ทมไทยเซรตไดตรวจสอบขอมลตางๆของแอปพลเคชนทอยในไฟล.apkโดยวธการReverseEngineeringพบวามโครงสรางซอรสโคดดงรปท1
CYBER THREATS 2013 41
ไฟลAndroidManifest.xmlเปนไฟลทใชกำหนดคณสมบตของแอปพลเคชนรวมถงกำหนดสทธ(Permission)ทแอปพลเคชนนนสามารถเขาถงไดซงพบวาแอปพลเคชนดงกลาวมความสามารถในการอานเขยนและสงSMSอยางไรกตามไมพบวาแอปพลเคชนนมสทธในการเชอมตออนเทอรเนตไดดงรปท2
เมอตรวจสอบซอรสโคดของแอปพลเคชนพบวามฟงกชนในการสงSMSไปยงหมายเลขโทรศพททอยในประเทศองกฤษ(+447624803598)ดงรปท3
รปท3แสดงฟงกชนทแสดงใหเหนวามการตงคาและมการสงSMS ไปยงหมายเลข+447624803598
รปท1แสดงโครงสรางของไฟลavg.apk
รปท2ขอมลจากไฟลAndroidManifest.xml
บทความแจงเตอนและขอแนะนำา42
เมอทดลองตดตงแอปพลเคชนลงในโปรแกรมโทรศพทมอถอทใชงานระบบปฏบตการAndroidพบไอคอนของแอปพลเคชนทชอAVGAntiVirusดงรปท4
เมอเปดเขาไปยงแอปพลเคชนดงกลาวจะพบหนาจอเปนรปโลโกแอนตไวรสและมลกษณะเปนชองกรอกขอมลพรอมหมายเลขรายละเอยด“777390927”แตจากการตรวจสอบพบวาเปนเพยงรปโลโกและไมสามารถแกไขขอมลหรอทำอะไรไดเมอทดสอบกดทปมOKพบวาแอปพลเคชนจะปดตวลงโดยอตโนมตรวมถงจากการวเคราะหซอรสโคดรวมกบการทดสอบจรงพบวามการซอนไอคอนของแอปพลเคชนภายหลงจากการรบตหรอปดเครองซงจดประสงคคาดวาตองการอำพรางการทำงานของแอปพลเคชนดงกลาว
จากการตรวจสอบเพมเตมทางไทยเซรตพบความสามารถในการสงการและตอบสนองการสงการจากเครองทเปนC&C(Command&Control)โดยทำผานSMSตวอยางหนาจอการโตตอบกบC&Cเปนดงรปท6ซงสามารถอธบายการทำงานไดดงน
1. เครองทเปนC&CคอเครองiPhone มหมายเลขโทรศพทคอ+66819xxxxxx
2. เครองทตกเปนเหยอคอเครอง Androidมหมายเลขโทรศพทคอ 083xxxxxxx
3. เครองC&CสงSMSไปทเครองเหยอโดย มขอความวา“setadmin +66819xxxxxx”เพอกำหนดใหเครองของ เหยอรบคำสงจากเครองทมหมายเลข โทรศพท+66819xxxxxx
4. เครองของเหยอตอบกลบมาดวยขอความ “yesweare”
รปท4ไอคอนของแอปพลเคชนทถกตดตง
รปท5ตวอยางหนาจอแอปพลเคชนปลอมของแอนตไวรส
CYBER THREATS 2013 43
5. เครองC&Cสงคำสง“On”ไปเพอบอกวาใหเครองของเหยอสงตอSMSทกอยางทไดรบมาทเครองของC&C
6. หลงจากทเครองของเหยอไดรบคำสงจะสงSMSตอบกลบมาวา“Ohok”
7. หลงจากนนไมวาจะมSMSอะไรสงเขามาทเครองของเหยอSMSนนจะถกสงตอมาทเครองของC&CและหลงจากทสงตอSMSนนมาทเครองของC&CแลวเครองของเหยอจะลบSMSตนฉบบทงเพอไมใหผใชสงเกตเหนความผดปกต
8. จากรปจะพบวาเมอเครองทมหมายเลขโทรศพทคอ+66815xxxxxxสงขอความวา“messagetest1234.”เขามาทเครองของเหยอSMSนนจะถกสงตอมาทเครองC&Cพรอมทงระบหมายเลขโทรศพทของผสง
9. หากเครองC&Cสงคำสงมาวา“off”เครองของเหยอจะหยดการสงSMSมาทเครองของC&Cพรอมกบสงขอความวา“Ehno”
ผลกระทบ
ผใชทตดตงแอปพลเคชนดงกลาวอาจถกขโมยขอมลสำคญจากSMSเชนขอมลรหสOTPสำหรบเขาทำธรกรรมทางอเลกทรอนกสซงอาจถกนำไปใชโดยผไมประสงคดและนำไปสการขโมยเงนจากบญชธนาคารภายหลงได
ระบบทไดรบผลกระทบ
ระบบปฏบตการAndroidทตดตงแอปพลเคชนแอนตไวรสAVGปลอม
ขอแนะนำในการปองกนและแกไข
จะเหนไดวาการโจมตดงกลาวนเกดจากการทผไมหวงดหลอกใหผใชตดตงแอปพลเคชนหลอกลวงทอางวาเปนแอนตไวรสเพอใชตรวจสอบมลแวรบนโทรศพทมอถอโดยแหลงทมาของแอปพลเคชนนนไมไดมาจากเวบไซตจรงของเวบไซตผพฒนาและเปนการตดตงแอปพลเคชนจากแหลงซอฟตแวรภายนอกทไมใชGooglePlayStoreและเมอใชงานแอปพลเคชนแอนตไวรสAVGทดาวนโหลดจากGooglePlayStoreมาทดสอบพบวาสามารถตรวจจบการทำงานทเปนอนตราย
รปท6ตวอยางหนาจอการโตตอบกบC&Cของเครองทตดแอนตไวรสปลอม
บทความแจงเตอนและขอแนะนำา44
ของแอปพลเคชนปลอมดงกลาวไดดงรปท7รวมถงเมอนำไฟลมลแวรไปตรวจสอบบนเวบไซตwww.virustotal.com
แลวพบวาเปนมลแวรตระกลชอZitmoซงมความสามารถในการขโมยขอมลSMSเปนหลก
การปองกนตวไมใหตกเปนเหยอจากการโจมตดวยวธดงกลาวผใชงานควรพจารณาแอปพลเคชนทจะตดตงลงในโทรศพทมอถออยางรอบคอบไมควรตดตงแอปพลเคชน
ทมแหลงทมาไมนาเชอถอรวมถงตรวจสอบการรองขอสทธ(Permission)ของ
แอปพลเคชนนนๆวามความเหมาะสมหรอไม
อยางไรกตามปญหามลแวรในระบบปฏบตการAndroidไมใชเรองใหมทางไทยเซรตไดเคยนำเสนอวธการตรวจสอบและปองกนปญหามลแวรรวมถงวธการใชงานโทรศพทมอถอใหปลอดภย
ผอานสามารถศกษาเพมเตมไดจากบทความ
• แนวทางการใชงานโทรศพทมอถอใหปลอดภยจากภยคกคาม[1]
• รทนและปองกนMalwareในระบบปฏบตการAndroid[2]
• รทนและปองกนMalwareในระบบปฏบตการAndroidตอนท2[3]
อางอง
1. http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html
2. http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html
3. http://www.thaicert.or.th/papers/technical/2012/pa2012te011.html
รปท7ตวอยางหนาจอแอปพลเคชนของแอนตไวรสAVGทดาวโหลดจากGooglePlayStoreและสามารถตรวจจบพฤตกรรมอนตรายของแอปพลเคชนปลอมดงกลาวได
CYBER THREATS 2013 45
บทความแจงเตอนและขอแนะนำา46
ระวงภย
เวบไซตสำนกขาวหลายแหงในประเทศไทยถกเจาะฝงโทรจนทหลอกใหดาวนโหลดแอนตไวรสปลอมวนทประกาศ : 13มถนายน2556ปรบปรงลาสด : 14มถนายน2556เรอง : ระวงภยเวบไซตสำนกขาวหลายแหงในประเทศไทยถกเจาะฝงโทรจนทหลอกให
ดาวนโหลดแอนตไวรสปลอมประเภทภยคกคาม : MaliciousCode
ขอมลทวไป
เมอวนท12มถนายน2556ทมไทยเซรตไดพบวาเวบไซตของสำนกขาวหลายแหงในประเทศไทยไดถกเจาะระบบเพอฝงโทรจนทโจมตผานชองโหวของJavaดงรปท1ซงโทรจนนสามารถถกตดตงลงในเครองคอมพวเตอรของผใชไดในทนททเขาเวบไซตดงกลาว(Drive-by-Download)
รปท1ตวอยางโทรจนทพบในเวบไซตสำนกขาวแหงหนง
CYBER THREATS 2013 47
โทรจนจะตรวจสอบการใชงานเบราวเซอรเมอพบวาผใชลอกอนเขาใชงานเวบไซตของธนาคารออนไลนในประเทศไทยจะแทรกหนาจอสำหรบกรอกขอมลหมายเลขโทรศพทมอถอดงรปท2,3,4และ5ซงหากผใชหลงเชอและกรอกขอมลลงไป จะม SMS พรอมลงกสำหรบดาวนโหลดแอปพลเคชนของAndroidชอAVGAntiVirusMobileProสงมาทโทรศพทมอถอซงแอปพลเคชนดงกลาวนเปนแอนตไวรสปลอมมจดประสงคเพอดกรบขอมลSMSOTPทผใชจะไดรบเมอลอกอนเขาใชงานเวบไซตธนาคารตามรายละเอยดทไทยเซรตเคยแจงเตอนไปกอนหนาน[1]
ผใชจะสงเกตไดยากวาเวบไซตของธนาคารถกเปลยนเนองจากการทำงานของโทรจนจะเขาไปแกไขขอมลทแสดงผลอยในเบราวเซอรไมใชการสรางเวบไซตปลอมทำใหการเชอมตอแบบHTTPSและ
รปท2ตวอยางหนาจอใหดาวนโหลดโปรแกรมAVG
ปลอมทโทรจนแทรกเขาไปในหนาเวบไซตธนาคารกสกรไทย
รปท3ตวอยางหนาจอใหดาวนโหลดโปรแกรมAVG
ปลอมทโทรจนแทรกเขาไปในหนาเวบไซตธนาคารกรงไทย
รปท4ตวอยางหนาจอใหดาวนโหลดโปรแกรมAVG
ปลอมทโทรจนแทรกเขาไปในหนาเวบไซตธนาคารกรงเทพ
รปท5ตวอยางหนาจอใหดาวนโหลดโปรแกรมAVG
ปลอมทโทรจนแทรกเขาไปในหนาเวบไซตธนาคารไทยพาณชย
บทความแจงเตอนและขอแนะนำา48
ขอมลใบรบรองดจทล(DigitalCertificate)ทแสดงอยในเวบไซตเปนใบรบรองฯจรงของธนาคาร
ทางไทยเซรตไดตดตอไปยงผดแลเวบไซตของสำนกพมพทไดรบผลกระทบรวมทงประสานงานกบหนวยงานดานความมนคงปลอดภยในประเทศทเกยวของเพอขอความรวมมอในการแกไขชองโหวและปดเวบไซตทเผยแพรโทรจนแลวอยางไรกตามผทเขาใชงานเวบไซตของสำนกพมพในตอนทถกเจาะระบบอาจถกตดตงโทรจนลงในเครองได
ผลกระทบ
ผใชทเขาเวบไซตของสำนกพมพทถกเจาะระบบเพอฝงมลแวรดงกลาวอาจถกตดตงมลแวรลงในเครองคอมพวเตอรและอาจถกหลอกใหตดตงมลแวรลงในโทรศพทมอถอเพอทผไมหวงดสามารถขโมยเงนจากธนาคารได
ระบบทไดรบผลกระทบ
• ระบบปฏบตการWindowsทตดตงJava
• InternetExplorer
• โทรศพทมอถอหรอแทบเลตทใชระบบปฏบตการAndroid
• ผทเขาใชงานเวบไซตสำนกขาวในประเทศไทยทถกฝงโทรจนในวนท12-13มถนายน2556(หรออาจรวมถงชวงกอนหนานน)
ขอแนะนำในการปองกนและแกไข
วธการตรวจสอบ
จากการตรวจสอบของทมไทยเซรตพบวาโทรจนทพบนเปนเวอรชนดดแปลงของโทรจนทชอCritexซงเคยถกใชในการโจมตธนาคารตางประเทศมาแลวเมอตนป2555[2]ซงผทเจาะระบบเวบไซตของสำนกพมพไดดดแปลงใหโทรจนนโจมตธนาคารในประเทศไทยเนองจากโทรจนทพบนเปนเวอรชนดดแปลงจงอาจทำใหโปรแกรมแอนตไวรสจำนวนหนงไมสามารถตรวจจบโทรจนนได
หลงจากทผใชเขาใชงานเวบไซตทมโทรจนฝงอยไฟลของโทรจนจะถกตดตงลงในเครองคอมพวเตอรและมการตงคาระบบใหมการเรยกใชงานไฟลดงกลาวทกครงทเปดเครอง
เนองจากไฟลของโทรจนถกซอนไวในการตรวจสอบเครองคอมพวเตอรวามไฟลของโทรจนอยหรอไมผใชจำเปนตองตงคาระบบใหแสดงผลไฟลและโฟลเดอรทถกซอนโดยสามารถทำไดดงน
CYBER THREATS 2013 49
• WindowsXP (http://goo.gl/nSMjHq)
• WindowsVista (http://goo.gl/aCZUDe)
• Windows 7 (http://goo.gl/0Pzw0B)
• Windows8 (http://goo.gl/lJ9sgl)
ตวอยางการตงคาWindowsXPและWindows7ใหแสดงผลไฟลและโฟลเดอรทถกซอนเปนดงรปท6และ7
รปท7แสดงวธการตงคาWindows7ใหแสดงผลไฟลและโฟลเดอรทถกซอน
รปท6แสดงวธการตงคาWindowsXPใหแสดงผลไฟลและโฟลเดอรทถกซอน
บทความแจงเตอนและขอแนะนำา50
จากนนใหตรวจสอบวามไฟลตามตวอยางรายชอดานลางอยในเครองหรอไม
• C:\Users\admin\AppData\Local\Temp\fvJcrgR.exe(ชอไฟลสมขนาดไฟล64000bytes)
• C:\Users\admin\AppData\Roaming\KB00695775.exe(ชอไฟลKBตามดวยหมายเลขสม8ตว)
• C:\Users\admin\AppData\Local\Temp\POSDDA1.tmp
• C:\Users\admin\AppData\Local\Temp\POSDDA1.tmp.BAT
หากพบไฟลทมลกษณะคลายคลงกนอาจเปนไปไดวาเครองคอมพวเตอรทใชงานอยได ตดโทรจนแลว
วธการแกไข
การลบไฟลของโทรจนออกจากเครองอาจไมสามารถทำไดดวยวธปกตเนองจากโทรจนกำลงเรยกใชงานไฟลดงกลาวอยวธการลบไฟลอาจทำไดโดยเขาไปลบในSafemodeซงสามารถทำไดโดยการRestartเครองแลวกดปมF8กอนทหนาจอจะปรากฏโลโกของWindows
วธการเขาSafemodeของระบบปฏบตการWindowsเวอรชนตางๆ มดงน
• WindowsXP(http://support.microsoft.com/kb/315222/th)• WindowsVista(http://windows.microsoft.com/th-th/windows/start-
computer-safe-mode#start-computer-safe-mode=windows-vista)• Windows7(http://windows.microsoft.com/th-th/windows/start-
computer-safe-mode#start-computer-safe-mode=windows-7)• Windows8(http://windows.microsoft.com/th-th/windows-8/windows-
startup-settings-including-safe-mode)สำหรบผทมประสบการณสามารถตรวจสอบและลบRegistryทถกมลแวรเขาไปเปลยนแปลง
ไดตามรายการดานลางน
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”KB00582800.exe”=“C:\DocumentsandSettings\admin\ApplicationData\KB00582800.exe”
หมายเหต:ชอ“KB00582800.exe”เปนชอไฟลทมลแวรสรางซงอาจมการเปลยนแปลงไดตามแตละเครอง
อยางไรกตามในขณะทดำเนนการตรวจสอบโทรจนทางไทยเซรตพบวาโปรแกรมแอนตไวรสโดยสวนใหญไมสามารถตรวจสอบและกำจดโทรจนนไดขณะนทางไทยเซรตอยระหวางการประสานงานไป
CYBER THREATS 2013 51
ยงผผลตซอฟตแวรแอนตไวรสเพอขอใหชวยอพเดตฐานขอมลเพอใชในการกำจดโทรจนทพบนตอไป
วธการปองกน
1.จากการตรวจสอบพบวาหากเครองคอมพวเตอรทตดตงJava6เปดเขาใชงานเวบไซตทมโทรจนฝงอยโทรจนดงกลาวจะถกดาวนโหลดและถกเรยกใชงานทเครองของผใชโดยทนท
แตจากการตรวจสอบบนระบบทตดตงJava7Update21ซงเปนเวอรชนลาสดพบวาจะมหนาจอแจงเตอนการใชงานJavaAppletทอาจไมปลอดภยดงรปท8หากผใชงานคลกปมCancelโทรจนดงกลาวจะไมถกเรยกใชงาน
รปท8ตวอยางหนาจอการแจงเตอนเมอเปดเวบไซตดวยJava7Update21
ผใชสามารถอพเดตJavaใหเปนเวอรชนลาสดโดยดาวนโหลดไดทhttp://www.java.com/en/download/
บทความแจงเตอนและขอแนะนำา52
2.ผใชควรสงเกตการแจงเตอนของเวบเบราวเซอรในกรณทไดรบการแจงเตอนวาเวบไซตนนไมปลอดภยดงรปท9และ10ไมควรเขาใชงานเวบไซตนน
รปท9ตวอยางการแจงเตอนของGoogleChrome
รปท10ตวอยางการแจงเตอนของMozillaFirefox
CYBER THREATS 2013 53
3.หากเครองของผใชไมมความจำเปนตองใชงานJavaควรพจารณาถอนการตดตงJavaออกหรอปดการทำงานของJavaในเวบเบราวเซอร[3]เปนอยางนอย
4.อพเดตฐานขอมลของโปรแกรมแอนตไวรสอยางสม�าเสมอเพอชวยใหสามารถตรวจจบและ ปองกนมลแวรใหมๆได
อางอง
1. https://www.thaicert.or.th/alerts/user/2013/al2013us007.html
2.http://labs.m86security.com/2012/03/the-cridex-trojan-targets-137-financial-organizations-in-one-go/
3.https://www.thaicert.or.th/papers/general/2012/pa2012ge015.html
บทความแจงเตอนและขอแนะนำา54
ระวงภยชองโหวใน
SAMSUNGGALAXYS3และGALAXYS4เปดใหแอปพลเคชนใดๆสามารถสรางSMSปลอมหรอแอบสงSMSไดวนทประกาศ : 17กรกฎาคม2556ปรบปรงลาสด : 17กรกฎาคม2556เรอง : ระวงภยชองโหวในSamsungGalaxyS3และGalaxyS4เปดให
แอปพลเคชนใดๆสามารถสรางSMSปลอมหรอแอบสงSMSไดประเภทภยคกคาม : Intrusion
ขอมลทวไป
เมอวนท6กรกฎาคมนกวจยจากบรษทQIHUไดแจงเตอนเรองชองโหวในแอปพลเคชนทถกตดตงมาพรอมกบโทรศพทมอถอSamsungGalaxyS3และSamsungGalaxyS4ซงผไมหวงดสามารถใชชองโหวดงกลาวแอบสงSMSได[1]
โทรศพทมอถอSamsungGalaxyS3และGalaxyS4มแอปพลเคชนทตดตงมาจากโรงงานชอSamsungBackupProvider(ไฟลsCloudBackupProvider.apk)ซงใชสำหรบBackupและRestoreขอมลจากบรการSCloudของSamsung
นกวจยพบวาแอปพลเคชนดงกลาวมชองโหวทเปดใหแอปพลเคชนอนเรยกใชฟงกชนRestoreเพอเขยนขอมลลงในไฟลฐานขอมลSMS(ไฟลmmssms.db)โดยสามารถสรางSMSหรอCalllogปลอมในเครองไดชองโหวดงกลาวนมหมายเลขCVE-2013-4763[2]
นอกจากนยงมอกหนงชองโหวในแอปพลเคชนเดยวกนนทเปดใหแอปพลเคชนอนสามารถสงSMSหรอMMSออกโดยชองโหวดงกลาวนมหมายเลขCVE-2013-4764[3]
CYBER THREATS 2013 55
ผลกระทบ
แอปพลเคชนใดๆกตามทถงแมจะไมไดรบสทธSEND_SMSหรอWRITE_SMSสามารถใชชองโหวนในการสรางSMSMMSหรอCalllogปลอมในเครองหรอสงSMSและMMSออกได
ระบบทไดรบผลกระทบ
SamsungGalaxyS3(build#:IMM76D.I9300UBALF5):
• PackageName:com.sec.android.sCloudBackupProvider• VersionCode:1• VersionName:1.0
SamsungGalaxyS4(build#:JDQ39.I9505XXUAMDEและJDQ39.I9500ZCUAMDH):
• PackageName:com.sec.android.sCloudBackupProvider• VersionCode:14• VersionName:1.4หมายเหต:ขอมลBuildnumberของโทรศพทสามารถตรวจสอบไดจากSettingsโดย
ตรวจสอบทAboutphone
ขอแนะนำในการปองกนและแกไข
บรษทQIHUไดแจงชองโหวนไปยงบรษทSamsungแลวซงทางSamsungยอมรบวามปญหานอยจรงและจะออกอพเดตเพอแกไขชองโหวนโดยเรว
ระหวางทรอการอพเดตผทใชโทรศพทมอถอSamsungGalaxyS3และGalaxyS4สามารถปดการทำงานของแอปพลเคชนSamsungBackupProviderเปนการชวคราวไดเพอลดผลกระทบจากชองโหวนซงสามารถทำไดโดยการ
1. เขาไปทSettingsเลอกApplicationManager
2. เลอนไปทางขวามอสดจนถงแทบALL
3. กดเขาไปทแอปพลเคชนชอSamsungBackupProviderดงรปท1
บทความแจงเตอนและขอแนะนำา56
รปท1ไอคอนของแอปพลเคชนSamsungBackupProvider
CYBER THREATS 2013 57
กดปมDisableจะปรากฏหนาจอถามเพอยนยนดงรปท2ใหกดปมOK
หมายเหต:การปดการทำงานของแอปพลเคชนSamsungBackupProviderจะทำใหไมสามารถใชงานฟงกชนBackupหรอRestoreขอมลจากSCloudไดและอาจมผลกบแอปพลเคชนอนๆทใชบรการSCloud
อางอง
1. http://seclists.org/bugtraq/2013/Jul/107
2.http://shouji.360.cn/securityReportlist/CVE-2013-4763.html
3.http://shouji.360.cn/securityReportlist/CVE-2013-4764.html
รปท2การยนยนการ Disableแอปพลเคชน SamsungBackupProvider
บทความแจงเตอนและขอแนะนำา58
ระวงภย
FIREFOXFORANDROIDมชองโหวดาวนโหลดแอปพลเคชนอนตรายมาตดตงทนททเขาเวบไซตวนทประกาศ : 12กนยายน2556ปรบปรงลาสด: 12กนยายน2556เรอง : ระวงภยFirefoxforAndroidม
ชองโหวดาวนโหลดแอปพลเคชนอนตรายมาตดตงทนททเขาเวบไซต
ประเภทภยคกคาม : Intrusion
CYBER THREATS 2013 59
ขอมลทวไป
FirefoxforAndroidมชองโหวดาวนโหลดไฟล.apkมาตดตงโดยอตโนมตในทนททผใชงานเขาเยยมชมเวบไซตทมโคดอนตรายฝงอยชองโหวดงกลาวนมการเปดเผยเปนครงแรกเมอวนท9กนยายน2556โดยมจดประสงคเพอตองการขายขอมลชองโหวและปจจบนยงไมพบวามการเผยแพรขอมลวธการโจมตผานชองโหวนออกสสาธารณะ[1]
ตวอยางวธการโจมตสามารถดไดจากวดโอhttp://www.youtube.com/watch?v=rHPFGyUFtrI#t=393
ผลกระทบ
เมอผใชงานเขาถงเวบไซตทมโคดอนตรายฝงอยโดยใชFirefoxforAndroidตวโปรแกรมจะดาวนโหลดไฟล.apkมาลงในเครองแลวเรยกแสดงหนาจอการตดตงแอปพลเคชนดงกลาวซงหากผใชหลงเชอแลวกดปมตดตงกอาจกอใหเกดอนตรายกบขอมลทอยในเครองได
อยางไรกตามการทจะตกเปนเหยอจากการโจมตโดยวธนไดผใชจำเปนตองเปดใชงานการตดตงแอปพลเคชนจากแหลงทมาทไมรจก(Installapkfromunknownsources)และเปนผกดยอมรบการตดตงไฟล.apkดงกลาวเอง[2]
ระบบทไดรบผลกระทบ
FirefoxforAndroidเวอรชน23,24และ26(Nightly)
ขอแนะนำในการปองกนและแกไข
เนองจากปจจบนยงไมมขอมลชองโหวนเผยแพรออกสสาธารณะและทางMozillaผพฒนาFirefoxforAndroidยงไมมแถลงการณเกยวกบชองโหวดงกลาวผใชงานFirefoxforAndroidควรเปลยนไปใชเวบเบราวเซอรอนเปนการชวคราวจนกวาจะมอพเดตออกมาแกไขชองโหวนหรอหากจำเปนตองใชFirefoxforAndroidไมควรตดตงแอปพลเคชนทไมไดดาวนโหลดมาจากแหลงทมาทนาเชอถอเชนGooglePlayStore
อางอง
1. http://1337day.com/exploits/21214
2.http://www.androidpolice.com/2013/09/11/security-firefox-for-android-can-be-tricked-into-automatically-downloading-and-executing-malicious-code/
บทความแจงเตอนและขอแนะนำา60
ระวงภย
แอปพลเคชนIMESSAGECHATในGOOGLEPLAYSTOREอาจขโมยขอมลสำคญวนทประกาศ : 24กนยายน2556ปรบปรงลาสด : 25กนยายน2556เรอง : ระวงภยแอปพลเคชนiMessageChatในGooglePlayStore
อาจขโมยขอมลสำคญประเภทภยคกคาม : MaliciousSoftware
ขอมลทวไปiMessageคอระบบทAppleพฒนาขนมาเพอใชในการสงขอความระหวางอปกรณทใชงาน
ระบบปฏบตการiOSหรอOSXโดยเรมมในiOS5.0และOSX10.8แตยงไมเปดใหใชงาน ในระบบปฏบตการอน[1]
CYBER THREATS 2013 61
ผใชงานระบบปฏบตการAndroidหลายคนรายงานวามแอปพลเคชนชอiMessageChatปรากฏในGooglePlayStoreโดยอางวาสามารถใชคยiMessageกบคนทใชระบบปฏบตการiOSหรอOSXไดแอปพลเคชนดงกลาวสามารถดาวนโหลดไดฟรและมคนดาวนโหลดไปแลวกวา50,000ครง[2]
เมอเดอนกนยายนไทยเซรตไดตรวจสอบแอปพลเคชนดงกลาวแลวพบวาไมไดถกพฒนาขนโดยAppleจงไดทดลองตดตงแอปพลเคชนดงกลาวลงในเครองGalaxyNexusทใชAndroid4.3แลวทดลองสงขอความไปยงเครองiPadทใชiOS7.0ผลการทดสอบพบวาทง2เครองสามารถสงขอความสนทนากนไดจรงดงแสดงในรปท2และ3
รปท1การสนทนาผานแอปพลเคชนiMessageChat จากเครองGalaxyNexus
รปท2การสนทนาผานแอปพลเคชนMessage
จากเครองiPad
บทความแจงเตอนและขอแนะนำา62
อยางไรกตามจากการตรวจสอบเพมเตมทางไทยเซรตไดพบวาแอปพลเคชนดงกลาวนมการสงขอมลไปทหมายเลขไอพ222.77.191.206ซงอยในประเทศจน(สอดคลองกบผลการวเคราะหจากsaurikผพฒนาซอฟตแวรCydiaในiOS[3])ขณะนยงไมทราบจดประสงคแนชดของการเชอมตอไปทไอพดงกลาวแตจากขอมลจากการตรวจสอบดวยบรการWhoisกบไอพแอดเดรสหมายเลขดงกลาวไมพบขอมลทอางวาเปนเซรฟเวอรของAppleแตอยางใด
รปท3ขอมลแสดงการตรวจสอบรายชอผใหบรการหมายเลขไอพ กบบรการWhois
แอปพลเคชนดงกลาวนรองขอPermissionทนาสงสยดงน:
• ตรวจสอบสถานะและเชอมตอกบระบบเครอขาย
• ตรวจสอบสถานะการใชงานโทรศพท
• แกไขหรอลบขอมลทอยในSDCard
• ตดตงShortcutเพมเตมในระบบ
• เขาถงขอมลในสวนทถกสงวนสทธ(protectedstorage)
• เปดใชงานกลองถายภาพบนทกเสยง
• อานขอมลรายชอผตดตอและขอมลบนทกการโทรลาสด
CYBER THREATS 2013 63
การขอPermissionซงอนญาตใหแอปพลเคชนเขาถงขอมลเหลานอาจทำใหถกขโมยขอมลสวนตวได
ขณะนทางทมไทยเซรตอยระหวางการตรวจวเคราะหการทำงานเชงเทคนคของแอปพลเคชน ดงกลาวซงหากมความคบหนาอยางไรจะนำมาแจงใหทราบตอไป
ผลกระทบ
ผทตดตงหรอใชงานแอปพลเคชนiMessageChatอาจถกขโมยAppleIDหรออาจถกดกขอมลการสนทนาในiMessageนอกจากนยงอาจถกขโมยขอมลสำคญเชนรายชอผตดตอภาพถายวดโอคลปไฟลทอยในSDCardหรอขอมลสำคญอนๆทอยในเครองได
ระบบทไดรบผลกระทบ
ผใชทตดตงแอปพลเคชนiMessageChat
ขอแนะนำในการปองกนและแกไข
ถงแมแอปพลเคชนดงกลาวนจะสามารถสงขอความผานระบบiMessageระหวางเครองทใชงานระบบปฏบตการAndroidและiOS/OSXไดจรงแตยงมขอสงสยในเรองความเสยงในการถกดกรบขอมลเนองจากในการทำงานไมไดสงขอมลไปยงเซรฟเวอรของAppleโดยตรงแตขอมลจะถกสงผานเซรฟเวอรของผพฒนาแอปพลเคชนอกทหนงและอาจมความเสยงทจะถกขโมยขอมลสำคญเชนAppleIDหรอขอมลอนๆทอยในเครองเนองจากแอปพลเคชนดงกลาวนมการขอPermissionทอาจนำไปสการทำงานดงกลาวได
การตดตงแอปพลเคชนในระบบปฏบตการAndroidผใชควรตระหนกในเรองของความปลอดภยไมควรตดตงแอปพลเคชนทไมไดมาจากผพฒนาทเชอถอไดซงอาจกอใหเกดความเสยหาย ตอเครองหรอขอมลสำคญทอยในเครองได
อพเดตขอมลลาสด(25กนยายน2556)
GooglePlayStoreไดถอนแอปพลเคชนiMessageChatออกจากการใหบรการดาวนโหลดแลว
อางอง
1. http://www.apple.com/ios/messages/
2.https://play.google.com/store/apps/details?id=com.huluwa.imessage
3.https://plus.google.com/u/0/116098411511850876544/posts/UkgaXa1oa6M
บทความแจงเตอนและขอแนะนำา64
ระวงภยชองโหว
ในINTERNETEXPLORERทกเวอรชนMICROSOFTออกแพทชแกไขแลวตดตงโดยดวน(CVE-2013-3893)วนทประกาศ : 18กนยายน2556ปรบปรงลาสด : 9ตลาคม2556เรอง : ระวงภยชองโหวในInternetExplorerทกเวอรชนMicrosoftออกแพทช
แกไขแลวตดตงโดยดวน (CVE-2013-3893)
ประเภทภยคกคาม : Intrusion
ขอมลทวไป
เมอวนท17กนยายน2556Microsoftประกาศแจงเตอนเรองความมนคงปลอดภย(MicrosoftSecurityAdvisory)หมายเลขรหส2887505เรองชองโหวในInternetExplorerทกเวอรชน[1]โดยMicrosoftแจงวาพบเวบไซตทมการโจมตชองโหวนในInternetExplorerเวอรชน8และ9แลว
สาเหตของชองโหวดงกลาวเกดจากขอผดพลาดในการจดการหนวยความจำของโปรแกรมInternetExplorerทำใหผไมหวงดสามารถสงใหประมวลผลคำสงอนตรายใดๆกได(RemoteCodeExecution)ชองโหวนไดขนทะเบยนฐานขอมลชองโหวสากลหมายเลขCVE-2013-3893
ผลกระทบ
ผทเขาชมเวบไซตทมโคดอนตรายสำหรบโจมตผานชองโหวดงกลาวอาจถกผไมหวงดสงใหโปรแกรมInternetExplorerประมวลผลคำสงอนตรายใดๆกไดเชนสงใหดาวนโหลดมลแวรมาตดตงในเครองคอมพวเตอรของผใชงานเปนตน
CYBER THREATS 2013 65
ระบบทไดรบผลกระทบ
MicrosoftInternetExplorerเวอรชน6-11
ขอแนะนำในการปองกนและแกไข
เมอวนท8ตลาคม2556Microsoftไดออกแพทชหมายเลข2879017เพอแกไขปญหาชองโหวนแลวผใชสามารถดาวนโหลดไดจากเวบไซตของMicrosoft[2]หรอตดตงไดจากระบบWindowsUpdate
หากไมสามารถตดตงแพทชไดอาจใชเครองมอFixitชอMSHTMLShimWorkaroundเพอใชลดผลกระทบจากปญหาดงกลาวโดยสามารถดาวนโหลดไดจากเวบไซตของMicrosoft[3] อยางไรกตามวธนไมใชการแกปญหาโดยถาวรและอาจจะมผลกระทบขางเคยงทอาจเกดขนไดผใชควรตดตงแพทชหมายเลข2879017เพอเปนการแกไขทสาเหตของปญหาโดยตรง
สำหรบผลกระทบจากชองโหวนMicrosoftแจงวาผไมหวงดสามารถสงการใหประมวลผล คำสงอนตรายไดภายใตสทธของผใชทเปดใชงานโปรแกรมInternetExplorerในขณะนนดงนนการใชงานUseraccountทไมใชAdministratorจะสงผลเสยหายตอระบบนอยกวา
หากไมสามารถตดตงแพทชหรอFixitไดผใชอาจเลยงไปใชงานเบราวเซอรอนเปนการชวคราวเพอปองกนปญหาการถกโจมตจากชองโหวน
อางอง
1. https://technet.microsoft.com/en-us/security/advisory/2887505
2.https://technet.microsoft.com/en-us/security/bulletin/ms13-080
3.http://support.microsoft.com/kb/2879017
บทความแจงเตอนและขอแนะนำา66
เวบไซตADOBEถกแฮกขอมลผใชและซอรสโคดของโปรแกรมหลดสอนเทอรเนต
วนทประกาศ : 30ตลาคม2556ปรบปรงลาสด : 30ตลาคม2556เรอง : เวบไซตAdobeถกแฮกขอมลผใชและซอรสโคดของโปรแกรมหลดส
อนเทอรเนตประเภทภยคกคาม : Intrusion
ขอมลทวไป
เมอวนท3ตลาคมทผานมาเซรฟเวอรของบรษทAdobeผผลตโปรแกรมดานกราฟกอยางPhotoshop,Acrobatไดถกผไมหวงดเจาะระบบเพอขโมยขอมลลกคาและซอรสโคดของโปรแกรม
รปท1ตวอยางเวบไซตทเผยแพรขอมลทหลดจากAdobe(ทมา:
KrebsOnSecurity[2])
CYBER THREATS 2013 67
โดยขอมลลกคาทถกขโมยไปประกอบไปดวยชอผใชรหสผานทถกเขารหสลบขอมลไวหมายเลขบตรเครดตทถกเขารหสลบขอมลไวและขอมลอนๆทเกยวของกบการซอสนคาในเบองตนAdobe คาดวามลกคาไดรบผลกระทบประมาณ2.9ลานราย[1]
ในวนท29ตลาคม2556มรายงานวาขอมลลกคากวา38ลานรายและซอรสโคดของโปรแกรมอยางPhotoshop,AcrobatถกเผยแพรอยในเวบไซตBittorrent[3]ตวอยางเวบไซต ทเผยแพรขอมลดงกลาวเปนดงรปท1
ผลกระทบ
• ลกคาของAdobeทมรายชออยในบญชทถกขโมยขอมลอาจถกผไมหวงดเขาถงขอมลสำคญได
• ผทใชงานโปรแกรมของAdobeทถกขโมยซอรสโคดอาจถกโจมตจากชองโหว0-dayได
ผทไดรบผลกระทบ
• ลกคาของบรษทAdobeทมรายชออยในบญชทถกขโมยขอมล
• ผทใชงานโปรแกรมของAdobeทถกขโมยซอรสโคด
ขอแนะนำในการปองกนและแกไข
ทางบรษทAdobeไดทำการรเซตรหสผานของลกคาทไดรบผลกระทบและไดแจงใหลกคาเปลยนรหสผานและขอมลอนๆทเกยวของแลวเพอปองกนไมใหผไมหวงดนำขอมลเหลานไปใชงานได
สำหรบผทใชงานโปรแกรมของAdobeควรตดตามขาวสารและหมนอพเดตโปรแกรมทใชงานใหเปนเวอรชนลาสดอยเสมอเพอปองกนการโจมตผานชองโหว0-day
อางอง
1. http://www.theregister.co.uk/2013/10/03/adobe_major_hack/
2.http://krebsonsecurity.com/2013/10/adobe-breach-impacted-at-least-38-million-users/
3.http://www.theregister.co.uk/2013/10/30/adobe_data_breach_millions_of_accounts/
บทความแจงเตอนและขอแนะนำา68
ระวงภย
MICROSOFTแจงเตอนชองโหว0-DAYTIFFCODECในโปรแกรมMICROSOFTOFFICE(CVE-2013-3906)วนทประกาศ : 6พฤศจกายน2556ปรบปรงลาสด : 6พฤศจกายน2556เรอง : ระวงภยMicrosoftแจงเตอนชองโหว0-DayTIFFCodec
ในโปรแกรมMicrosoftOffice(CVE-2013-3906)ประเภทภยคกคาม : Intrusion
ขอมลทวไป
เมอวนท5พฤศจกายน2556Microsoftแจงเตอนชองโหวเรองความมนคงปลอดภย(SecurityAdvisory)หมายเลข2896666เรองขอผดพลาดในการประมวลผลไฟลTIFFในโปรแกรมMicrosoftOfficeสงผลใหผไมหวงดสามารถตดตงโปรแกรมไมพงประสงคลงในเครองของผใชไดชองโหวนมหมายเลขCVE-2013-3906โดยMicrosoftแจงวาพบการโจมตดวย ชองโหวนแลวในประเทศแถบในตะวนออกกลางและเอเชยใต[1]
วธการโจมตผานชองโหวนผไมหวงดจะสงอเมลทมเอกสารแนบเปนไฟลMicrosoftWordทภายในเอกสารมการฝงไฟลTIFFทมโคดโจมตผานชองโหวนเอาไวเมอผใชกดPreviewหรอเปดเอกสารนนขนมาดกจะถกตดตงโปรแกรมไมพงประสงคลงในเครอง
ผลกระทบ
ผใชทเปดไฟลเอกสารMicrosoftOfficeทมโคดอนตรายฝงอยจะถกตดตงโปรแกรมไมพงประสงคลงในเครองซงอาจทำลายขอมลในเครองหรอเปดโอกาสใหผไมหวงดเชอมตอเขามาควบคมเครองจากระยะไกลได
CYBER THREATS 2013 69
ระบบทไดรบผลกระทบ
• MicrosoftOffice2003• MicrosoftOffice2007• MicrosoftOffice2010(มผลเฉพาะบนWindowsXPและWindowsServer2003)สำหรบMicrosoftOffice2013ไมไดรบผลกระทบจากชองโหวนและชองโหวดงกลาวนไมม
ผลกบWindowsVista,7,8,8.1[2]
ขอแนะนำในการปองกนและแกไข
ปจจบนยงอยระหวางการตรวจสอบและวเคราะหสาเหตโดยในเบองตนMicrosoftไดแนะนำใหผใชตดตงโปรแกรมFix-itเพอปดการแสดงผลไฟลTIFFเปนการชวคราว[3]อยางไรกตามFix-itนเปนเพยงวธการแกไขปญหาเฉพาะหนาเทานนผใชควรตดตามขาวสารอยางสม�าเสมอและรบตดตงแพทชจากMicrosoftทนททสามารถทำไดอยางไรกตามการตดตงFix-itนอาจกอใหเกดปญหากบบางโปรแกรมทมการเรยกใชงานไฟลTIFF
หากไมสามารถตดตงFix-itไดMicrosoftไดแนะนำใหตดตงโปรแกรมEMETเพอชวยลดผลกระทบทเกดจากชองโหวนดงรปท1
รปท1ตวอยางการแจงเตอนของโปรแกรมEMETเมอพบการโจมตผานชองโหวของMicrosoftWord
นอกจากนMicrosoftไดแนะนำใหผทยงใชงานWindowsXPอยควรอพเกรดเปนWindowsเวอรชนใหมกอนวนท8เมษายน2557เพราะจะหมดระยะเวลาการสนบสนนผลตภณฑแลวและจะไมมการอพเดตแกไขชองโหวความมนคงปลอดภยอกตอไป
อางอง
1. http://blogs.technet.com/b/srd/archive/2013/11/05/cve-2013-3906-a-graphics-vulnerability-exploited-through-word-documents.aspx?Redirected=true
2.http://blogs.technet.com/b/msrc/archive/2013/11/05/microsoft-releases-security-advisory-2896666-v2.aspx?Redirected=true
3.https://support.microsoft.com/kb/2896666
บทความแจงเตอนและขอแนะนำา70
ระวงภย
MICROSOFTแจงเตอนชองโหว0-DAYในWINDOWSXP/2003โจมตผานADOBEREADERวนทประกาศ : 3ธนวาคม2556ปรบปรงลาสด : 18ธนวาคม2556เรอง : ระวงภยMicrosoftแจงเตอนชองโหว0-DayในWindowsXP/2003
โจมตผานAdobeReaderประเภทภยคกคาม : Intrusion
ขอมลทวไป
เมอวนท27พฤศจกายน2556บรษทFireEyeไดประกาศชองโหวในระบบปฏบตการWindowsXPทสงผลใหUserระดบใดๆกตามสามารถสงประมวลผลคำสงอนตรายไดภายใตสทธKernelของระบบปจจบนพบการโจมตผานชองโหวนแลว[1]
ถงแมวาการโจมตผานชองโหวนจะไมสามารถทาไดจากระยะไกล(Remotecodeexecution)แตผไมหวงดสามารถโจมตผานชองโหวของซอฟตแวรอนๆทเรยกใชงานฟงกชนทเกยวของกบชองโหวนไดซงโปรแกรมทวานนกไดรบการยนยนวาเปนโปรแกรมAdobeReaderโดยในการโจมตผไมหวงดจะหลอกใหผใชเปดไฟลPDFทมโคดสาหรบโจมตผานชองโหวนอย
ทางMicrosoftไดออกแจงเตอนSecurityAdvisoryหมายเลข2914486เพอเพมเตมขอมลของชองโหวนแลวโดยแจงวาระบบทไดรบผลกระทบคอWindowsXPและWindows2003ปจจบนกำลงอยระหวางการตรวจสอบเพอหาวธแกไขชองโหวนไดรบหมายเลขCVE-
2013-5065[2]ลาสดทมพฒนาโปรแกรมMetasploitซงเปนโปรแกรมทใชทดสอบชองโหวของระบบไดพฒนาโมดลสำหรบโจมตผานชองโหวนออกมาแลว[3]
CYBER THREATS 2013 71
ผลกระทบ
ชองโหวนเปนการสงประมวลผลคำสงใดๆกไดภายใตสทธระดบเดยวกบKernelของระบบ ผไมหวงดสามารถสงตดตงโปรแกรมเรยกดแกไขหรอลบขอมลในเครองหรออาจสรางUseraccountใหมขนมาใหมสทธเปนAdministratorของระบบได
ระบบทไดรบผลกระทบ
• WindowsXPServicePack3
• WindowsXPProfessionalx64EditionServicePack2
• WindowsServer2003ServicePack2
• WindowsServer2003x64EditionServicePack2
• WindowsServer2003withSP2forItanium-basedSystems
• AdobeReader9.5.4,10.1.6,11.0.02หรอเกากวา
ขอแนะนำในการปองกนและแกไข
เนองจากวธการโจมตผานชองโหวนในปจจบนยงพบแคการโจมตผานโปรแกรมAdobeReaderเวอรชนเกาดงนนวธการลดผลกระทบจากปญหาดงกลาวจงสามารถทำไดโดยการอพเดตโปรแกรมAdobeReaderใหเปนเวอรชนลาสด[4]
สาเหตของชองโหวเกดจากไฟลNDProxy.sysซงเปนไดรเวอรของระบบทเกยวของกบการตดตอสอสารผานทางโทรศพท[5]มความผดพลาดในการประมวลผลขอมลทรบเขามาเนองจากชองโหวดงกลาวนยงอยระหวางการตรวจสอบและยงไมมวธการแกไขทางMicrosoftไดแนะนำวธลดผลกระทบจากปญหานชวคราวโดยการปดการทำงานของระบบNDProxy
วธปดการทางานของระบบNDProxy
1. รนโปรแกรมCommandPromptภายใตสทธของAdministrator
2. พมพคำสงscstopndproxyregaddHKLM\System\CurrentControlSet\Services\ndproxy/vImagePath/tREG_EXPAND_SZ/dsystem32\drivers\null.sys/f
3.รสตารทเครอง
หมายเหต:การปดการทำงานของระบบNDProxyอาจสงผลใหระบบอนๆทเกยวของไมสามารถใชงานไดเชนRemoteAccessService(RAS),Dial-upnetworking,VirtualPrivateNetworking(VPN)ในกรณทพบปญหาขางตนสามารถเปดการทำงานของระบบNDProxyกลบคนไดโดยใชวธการดงน
บทความแจงเตอนและขอแนะนำา72
วธเปดการทางานของระบบNDProxy
1.รนโปรแกรมCommandPromptภายใตสทธของAdministrator
2.พมพคำสงscstopndproxyregaddHKLM\System\CurrentControlSet\Services\ndproxy/vImagePath/tREG_EXPAND_SZ/dsystem32\drivers\ndproxy.sys/f
3.รสตารทเครอง
เนองจากWindowsXPจะหมดระยะเวลาการสนบสนนดานความมนคงปลอดภยในเดอนเมษายน2557ดงนนจงควรอพเกรดไปใชงานระบบปฏบตการรนทใหมกวาเพอความปลอดภย
อางอง
1. http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/ms-windows-local-privilege-escalation-zero-day-in-the-wild.html
2. https://technet.microsoft.com/en-us/security/advisory/2914486
3. http://www.exploit-db.com/exploits/30392/
4. http://www.adobe.com/support/security/bulletins/apsb13-15.html
5. http://msdn.microsoft.com/library/windows/hardware/ff568322%28v=vs.85%29.aspx
CYBER THREATS 2013 73
บทความแจงเตอนและขอแนะนำา74
ระวงภยชองโหวใน
คำสงSUDOผไมหวงดสามารถไดสทธของROOTโดยไมตองใสรหสผานวนทประกาศ : 6มนาคม2556ปรบปรงลาสด : 6มนาคม2556เรอง : ระวงภยชองโหวในคำสงsudoผไมหวงดสามารถไดสทธของrootโดยไมตอง
ใสรหสผานประเภทภยคกคาม : Intrusion
ขอมลทวไป
ในระบบปฏบตการตระกลUnixหรอUnix-like(เชนMacOSXหรอLinux)จะมคำสงsudoไวสำหรบเรยกใชงานคำสงหรอโปรแกรมใดๆโดยใชสทธของrootซงคำสงนมไวเพอความปลอดภยเพราะผใชไมจำเปนตองลอกอนเปนrootเพอใชคำสงหรอใชงานโปรแกรมแตจะเรยกใชงานคำสงหรอโปรแกรมทตองการผานคำสงsudoโดยใชรหสผานของตวเองในการยนยนตวตน
หลงจากผใชใสรหสผานเพอใชงานคำสงsudoแลวระบบจะบนทกtimestampไวเพออำนวยความสะดวกใหผใชสามารถใชคำสงsudoในการเรยกใชงานคำสงหรอโปรแกรมใดๆไดโดยไมตองใสรหสผานอกซงชวงเวลาดงกลาวมเวลาประมาณ5นาท
อยางไรกตามเมอเดอนมนาคมมผคนพบชองโหวของกลไกดงกลาวโดยพบวาหากใชคำสงsudoและระบบบนทกtimestampไวแลวในชวงเวลาดงกลาวหากมการแกไขวนเวลาของระบบโดยใชคำสงsudo-kเพอรเซตวนเวลาใหกลบไปเปนเวลา1970-01-0101:00:00(วนเวลาเรมตนของUnixtime)ผใชคนดงกลาวกจะสามารถใชคำสงsudoโดยไมตองใสรหสผานไดตลอดไป[1] ชองโหวดงกลาวนมหมายเลขCVE-2013-1775[2]
ผลกระทบ
ผใชทสามารถใชคำสงsudoไดจะสามารถทำงานภายใตสทธของrootผานคำสงsudoไดโดยไมตองใสรหสผาน
ในกรณทเปนระบบทใชงานเพยงคนเดยวชองโหวนอาจไมมผลกระทบมากนกแตหากมการใชคำสงsudoแลวมผอนมาใชงานตออาจเกดความเสยหายกบระบบไดอยางไรกตามจากชองโหวน
CYBER THREATS 2013 75
ผใชไมสามารถเรยกใชคำสงทอยนอกเหนอจากสทธทกำหนดไวในไฟล/etc/sudoersได
ระบบทไดรบผลกระทบ
ระบบปฏบตการUnixและUnix-likeทตดตงโปรแกรมsudoเวอรชน1.6.0ถง1.7.10p6และsudo1.8.0ถง1.8.6p6
ขอแนะนำในการปองกนและแกไข
ชองโหวนมการแกไขแลวในsudoเวอรชน1.7.10p7และ1.8.6p7ผใชงานระบบปฏบตการLinuxสามารถอพเดตโปรแกรมเวอรชนใหมไดจากระบบPackagemanagerของDistroทใช
สำหรบผใชงานระบบปฏบตการMacOSXปจจบนMacOSX10.8.2ใชsudoเวอรชน1.7.4p6ซงมชองโหวและยงไมมวธแกไขจนกวาAppleจะปลอยซอฟตแวรอพเดต[3]
ผใชงานสามารถตรวจสอบเวอรชนของsudoไดโดยพมพคำสงsudo-Vซงจะไดผลลพธดงตวอยางในรปท1
รปท1ตวอยางการตรวจสอบเวอรชนของคำสงsudo
อางอง
1. http://www.sudo.ws/sudo/alerts/epoch_ticket.html
2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1775
3.http://www.h-online.com/security/news/item/Security-vulnerability-in-sudo-allows-privilege-escalation-1816387.html
บทความแจงเตอนและขอแนะนำา76
ระวงภยชองโหว
0-DAYในINTERNETEXPLORER8(CVE-2013-1347)หนวยงานในสหรฐถกโจมตแลววนทประกาศ : 7พฤษภาคม2556ปรบปรงลาสด : 8พฤษภาคม2556เรอง : ระวงภยชองโหว0-dayในInternetExplorer8(CVE-2013-1347)
หนวยงานในสหรฐถกโจมตแลวประเภทภยคกคาม : Intrusion
ขอมลทวไป
เมอวนท3พฤษภาคม2556บรษทMicrosoftไดประกาศแจงเตอนชองโหวดานความมนคงปลอดภย(SecurityAdvisory)หมายเลข2847140เรองชองโหวในโปรแกรมInternetExplorer8ซงอนญาตใหผไมหวงดสามารถสงประมวลผลคำสงอนตรายบนเครองของเหยอได(RemoteCodeExecution)[1]ชองโหวดงกลาวนยงอยระหวางการตรวจสอบและยงไมมวธแกไข
ในการโจมตผไมหวงดจะสรางเวบไซตทมโคดอนตรายฝงอยหรอแทรกโคดทมอนตรายนนไวในเวบไซตทถกแฮกจากนนใชวธการทางSocialEngineeringหลอกลอใหเหยอเขาไปยงเวบไซตดงกลาวจากนนโคดอนตรายทถกฝงอยกจะเรมทำงานทนททเหยอเขาเยยมชมหนาเวบไซต
เมอวนท4พฤษภาคม2556มรายงานวาผไมหวงดไดฝงโคดไวในเวบไซตของกระทรวงแรงงานประเทศสหรฐอเมรกา(U.S.DepartmentofLabor)เพอใหหนาเวบไซตดงกลาวRedirectไปยงหนาเวบไซตทมโคดทโจมตผานชองโหวดงกลาวนโดยโคดนนจะตดตงโทรจนชอPoisonIvyในเครองของเหยอหลงจากนนไมนานกปรากฏวาฐานขอมลรายชอของพนกงานททำงานเกยวกบการวจยดานอาวธนวเคลยรถกเปดเผย[2] [3]
ผลกระทบ
CYBER THREATS 2013 77
ผไมหวงดสามารถสงใหเครองของเหยอประมวลผลคำสงใดๆกไดเพยงแคหลอกใหเหยอเขาไปยงเวบไซตทมโคดอนตรายฝงอย
ระบบทไดรบผลกระทบ
ชองโหวดงกลาวนมผลเฉพาะInternetExplorer8เทานนสำหรบเวอรชน6,7,9และ10ไมไดรบผลกระทบ
จากสถตของเวบไซตTrueHitsพบวาในเดอนเมษายน2556ผใชงานอนเทอรเนตในประเทศไทยยงมการใชงานInternetExplorer8อยถง13.07%ซงผใชเหลานมโอกาสเสยงทจะถกโจมตผานชองโหวดงกลาว[4]
ขอแนะนำในการปองกนและแกไข
ทางMicrosoftยงอยระหวางการตรวจสอบขอมลและยงไมมแพทชแกไขชองโหวดงกลาวออกมาในขณะนผใชงานควรอพเดตเวอรชนของโปรแกรมInternetExplorerใหเปนเวอรชนลาสด(9
หรอ10)หรอเปลยนไปใชเบราวเซอรอนเปนการชวคราว
อยางไรกตามทางMicrosoftไดมทางออกชวคราวสำหรบผทจำเปนตองใชงานโปรแกรมInternetExplorer8อยโดยสามารถใชทางเลอกดงกลาวนในการลดความเสยหายทอาจจะเกดขนได
• ตดตงโปรแกรมEMETและกำหนดคาใหใชงานกบโปรแกรมInternetExplorerซงทางไทยเซรตเคยเผยแพรบทความเรองวธการใชงานEMETไวแลว[5]
• กำหนดคาSecurityLevelของInternetและLocalintranetในInternetExplorerใหเปนHighรวมถงปดการทำงานของActiveXControlsและActiveScripting
• กำหนดคาใหInternetExplorerถามการยนยนจากผใชทกครงกอนทจะมการใชงานActiveScripting
ซงวธการกำหนดคาSecurityLevelของโปรแกรมInternetExplorerผใชสามารถศกษาไดจากหนาเวบไซตSecurityAdvisoryของMicrosoft[1]ในสวนหวขอSuggestedActions
อางอง
1.http://technet.microsoft.com/en-us/security/advisory/2847140
2.http://arstechnica.com/security/2013/05/internet-explorer-zero-day-exploit-targets-nuclear-weapons-researchers/
3.http://www.technewsworld.com/rsstory/77968.html
4.http://truehits.net/graph/graph_stat.php#WEB
5.http://www.thaicert.or.th/papers/technical/2012/pa2012te004.html
บทความแจงเตอนและขอแนะนำา78
ระวงภยชองโหว
“MASTERKEY”ในระบบปฏบตการANDROIDวนทประกาศ : 17กรกฏาคม2556ปรบปรงลาสด : 17กรกฏาคม2556เรอง : ระวงภยชองโหว“MasterKey”ในระบบปฏบตการAndroidประเภทภยคกคาม : Intrusion
ขอมลทวไป
เมอชวงตนเดอนกรกฎาคม2556นกวจยจากบรษทBlueboxSecurityไดเปดเผยขอมลชองโหวในกระบวนการตรวจสอบแอปพลเคชนของระบบปฏบตการAndroidซงชองโหวดงกลาวนมผลกระทบกบอปกรณทใชงานระบบปฏบตการAndroidตงแตเวอรชน1.6จนถง4.2.2ซงคดเปนจำนวนกวา99%ของเครองทมการใชงานอยในปจจบน(ประมาณ900ลานเครอง)[1]
โดยปกตแลวแอปพลเคชนของระบบปฏบตการAndroid(ไฟลนามสกล.apk)ทผใชจะนำมาตดตงลงในเครองไดจะตองผานกระบวนการSignโดยใชDigitalcertificateของผพฒนาซงหลงจากทผานกระบวนการSignแลวไฟล.apkนนกจะมขอมลทเรยกวาSignatureทเอาไวใชยนยนวาขอมลทงหมดทอยในไฟล.apkนนมาจากผพฒนาตวจรงไมไดถกดดแปลงแกไขโดยบคคล
อนในภายหลง[2]
เมอผใชทำการตดตงแอปพลเคชนจากไฟล.apkระบบจะตรวจสอบวาในเครองมแอปพลเคชนตวเดยวถกตดตงอยแลวหรอไมหากพบวามอยแลวกจะตรวจสอบวาแอปพลเคชนตวทจะตดตงนนมาจากผพฒนาคนเดยวกนกบแอปพลเคชนตวทเคยตดตงอยในเครองหรอเปลาซงทำไดโดยการเปรยบเทยบSignatureวาตรงกนหรอไมหากไมตรงกนกจะไมยอมใหผใชตดตงแอปพลเคชนดงกลาวโดยตวอยางในรปท1แสดงการตดตงแอปพลเคชนชอFalconProเวอรชนทมการดดแปลงลงในเครองทตดตงแอปพลเคชน ตวจรงจากผพฒนาไวกอนแลวซงระบบจะไมยอมใหตดตงแอปพลเคชนตวใหมลงในเครอง
CYBER THREATS 2013 79
รปท1ตวอยางหนาจอการแจงเตอนไมยอมใหตดตงแอปพลเคชน ทมSignatureไมถกตอง
ในแอปพลเคชนทมาจากผพฒนารายเดยวกนจะมSignatureทตรงกนทำใหผใชสามารถ ตดตงหรออพเดตแอปพลเคชนไดอยางไมมปญหาแตหากแอปพลเคชนดงกลาวถกบคคลอนนำไฟล.apkไปเปลยนแปลงเชนแกไขขอมลในSourceCodeแลวRepackไฟล.apkนนกลบเขามาใหมในกระบวนการRepackจะตองมการSignSignatureใหกบแอปพลเคชนซงผทแกไขไฟล.apkนนอาจจะตองสรางCertificateขนมาใหมทำใหSignatureของไฟล.apkทถกแกไขนนไมตรงกบสงทอยในแอปพลเคชนของผพฒนาตวจรง
นกวจยจากBlueboxSecurityคนพบวธแกไขไฟล.apkโดยคงSignatureของเดมไวซงชองโหวดงกลาวนทำใหผไมหวงดสามารถแกไขโคดของไฟล.apkแลวRepackเขาไปใหมโดยยงคงSignatureเดมไวไดทำใหเมอผใชตดตงแอปพลเคชนดงกลาวลงในเครองทเคยตดตงแอปพลเคชนนไดแลวระบบจะไมแจงวาSignatureไมถกตองซงทำใหผไมหวงดสามารถนำเอาแอปพลเคชนใดๆมาดดแปลงใหเปนมลแวรไดโดยระบบจะไมสามารถรไดเลยวาแอปพลเคชนนนไมใชตวจรงทมาจากผพฒนา
สาเหตของชองโหว
แอปพลเคชนของระบบปฏบตการAndroidจะอยในรปแบบไฟล.apk(AndroidPackage)ซงโดยแทจรงแลวเปนไฟลประเภทZipทสามารถใชโปรแกรมประเภทArchiverทวไปทำการExtractไฟลทอยขางในออกมาดได
ในไฟล.apkเกอบทกไฟลจะมไดเรกทอรชอMETA-INFซงภายในจะมไฟลMANIFEST.MFท
บทความแจงเตอนและขอแนะนำา80
เกบขอมลChecksumแบบSHA1-DigestของไฟลทกไฟลทอยในPackageนนดงรปท2เมอผใชทำการตดตงแอปพลเคชนจากไฟล.apkตวระบบปฏบตการAndroidจะตรวจสอบคาChecksumของแตละไฟลเทยบกบขอมลในไฟลMANIFEST.MFหากพบวาไฟลใดไฟลหนงมคาChecksumไมตรงกจะไมอนญาตใหตดตงไฟล.apkดงกลาวลงในเครอง
รปท2ตวอยางขอมลในไฟลMANIFEST.MF(ทมา:NakedSecurity[3])
นกวจยจากBlueboxSecurityพบวาระบบการตรวจสอบนจะทำงานผดพลาดหากพบวาไฟล.apkนนมขอมลไฟลชอเดยวกนซ�ากน2ไฟลซงถงแมวาโปรแกรมประเภทArchiverโดยทวไปจะไมอนญาตใหมเหตการณแบบนเกดขนไดแตเนองจากโครงสรางของไฟลประเภทZipนนไมมระบบการปองกนในเรองของชอไฟลซ�าทำใหการเขาไปแกไขขอมลในไฟลZipโดยตรงหรอเขยนโปรแกรมขนมาเพอใสไฟลทมชอเดยวกนและอยในPathเดยวกนลงไปในไฟลZipนนสามารถทำได[4]ดงรปท3
CYBER THREATS 2013 81
รปท3ตวอยางการแกไขไฟล.apkโดยใสไฟลทมชอซ�ากน (ทมา:NakedSecurity[3])
เมอผใชตดตงไฟล.apkทถกแกไขใหมไฟลทมชอซ�ากน2ไฟลตวตดตงของระบบปฏบตการAndroidจะตรวจสอบขอมลChecksumของไฟลแรกแตจะExtractและตดตงขอมลจากไฟลทสอง
ดวยชองโหวนทำใหผไมหวงดสามารถแกไขไฟล.apkใดๆเพอหลอกใหระบบเหนวาถกสรางมาจากนกพฒนาตวจรงดวยการเพมไฟลใหมเขาไปใหมชอซ�ากบไฟลเดมเทานน
บทความแจงเตอนและขอแนะนำา82
หลงจากททางBlueboxSecurityไดเผยแพรขอมลชองโหวไปไดไมนานนกวจยชาวจนทใชชอทมวา“AndroidSecuritySquad”กไดคนพบชองโหวลกษณะคลายกนนในไฟลclasses.dexซงพบวาในโครงสรางของไฟลclasses.dexนนหากแกไขขอมลในสวนextrafieldใหมคาเปน0xFFFDจะสามารถหลอกการทำงานของระบบตรวจสอบความถกตองของไฟลใหไปโหลดไฟลclasses.dexตวทถกแกไขมาใชแทนไฟลทถกตองได[3]ดงแสดงในรปท4
รปท4ตวอยางการแกไขไฟลclass.dex(ทมา:sina[5])
วธการโจมตเนองจากสาเหตของชองโหวนเกดจากความผดพลาดในการตรวจสอบความถกตองของไฟล
.apkในขณะททำการตดตงแอปพลเคชนดงนนรปแบบหลกๆของการโจมตผานชองโหวนผไมหวงดจะพยายามหลอกลอใหผใชตดตงแอปพลเคชนทผานการแกไขมาแลวใหไดซงอาจใชวธการเชน
แอปพลเคชนเถอน
ทจรงแลวกไมใชเรองนาแปลกใจอะไรเพราะแอปพลเคชนเถอนสวนมากจะเปนการนำเอาแอปพลเคชนทถกลขสทธมาดดแปลงแกไขการทำงานใหผดเพยนไปซงผไมหวงดสามารถเพมโคดอนตรายใสเขาไปไดงายๆและถงแมจะไมมการคนพบชองโหวนผทใชแอปพลเคชนเถอนกมความเสยงในการตดมลแวรมากอยแลว
CYBER THREATS 2013 83
SocialEngineering
การหลอกใหผใชตดตงแอปพลเคชนดวยวธSocialEngineeringเรมจะมแนวโนมเพมมากขนเพราะตวอยางกรณมลแวรทแกไขหนาเวบไซตธนาคารออนไลน[6]เพอหลอกใหผใชตดตงแอนตไวรสปลอม[7]ทมผตกเปนเหยออยหลายรายนนกแสดงใหเหนแลววาวธนใชไดผลและในอนาคตนาจะมการโจมตในลกษณะนออกมาอกเรอยๆ
Drive-by-download
ในชวง1-2ปทผานมามขาวการเจาะเวบไซตเพอฝงมลแวรทโจมตอปกรณทใชงานระบบปฏบตการAndroidออกมาใหเหนกนอยเรอยๆโดยจะมวธการโจมตคอหลงจากทผใชเขาไปยงเวบไซตทถกเจาะจะมการดาวนโหลดไฟล.apkทเปนมลแวรลงมาในเครองของผใชโดยอตโนมตโดยจะมการตงชอไฟลหลอกลอใหผใชหลงเชอเชนUpdater.apkเปนตนแตในการจะตดมลแวรนไดผใชตองเปนคนกดอนญาตใหตดตงโปรแกรมเสยกอน[8] [9]
อยางไรกตามในระบบปฏบตการAndroidรนเกาๆ(เชน2.1)จะมชองโหวในแอปพลเคชนBrowserทมากบตวเครอง(CVE-2010-1807)ซงเปนชองโหวของเอนจนWebkitทใชในการแสดงผลหนาเวบไซตซงทำใหผไมหวงดสามารถสงประมวลผลคำสงใดๆกตามบนเครองของผใชไดเมอผใชเขาไปยงเวบไซตทมการโจมตผานชองโหวดงกลาวผานเบราวเซอรของAndroid[10]นนทำใหผใชสามารถตดมลแวรไดทนททเขาเวบไซตโดยไมจำเปนตองกดยอมรบการตดตงแอปพลเคชนแตอยางใดการโจมตผานชองโหวนเคยเกดขนแลวเมอเดอนมนาคม2555โดยผไมหวงดจะสงSMSทมลงกสำหรบเปดเวบไซตมาทเครองของเหยอโดยทนททเหยอกดเขาไปในลงกนนกจะตดมลแวรในทนท[11]
FakeOTAUpdate
OTAUpdateหรอ“OvertheAirUpdate”เปนคำทใชเรยกการตดตงซอฟตแวรอพเดตไดโดยตรงจากตวเครองโดยไมตองเชอมตอสายเคเบลเขากบเครองคอมพวเตอรเพอทำการอพเดตซงโดยปกตแลวเมอผผลตมการปลอยซอฟตแวรอพเดตออกมากจะมการแสดงขอความแจงเตอนมายงอปกรณเพอใหตดตงการอพเดต
โดยปกตแลวระบบซอฟตแวรอพเดตจะมการตรวจสอบCertificateหรอSignatureของซอฟตแวรอยแลววาเปนอพเดตทมาจากผผลตจรงหรอไมแตในกรณทผไมหวงดสามารถปลอมแปลงตวแอปพลเคชนเพอหลอกวามาจากผผลตไดกอาจจะมผนำเทคนคนมาใชในการโจมตได
การปลอมแปลงCertificateเพอปลอยอพเดตแบบปลอมๆนนไมใชเรองใหมเพราะในเดอนมถนายน2555มมลแวรชอFlameใชวธการปลอมแปลงCertificateของMicrosoft เพอเผยแพรWindowsUpdateปลอมไปยงเครองในเครอขาย[12]
PlayStore
PlayStoreดจะเปนททปลอดภยทสดสำหรบการดาวนโหลดแอปพลเคชนมาตดตงถงแมปจจบนทางGoogleแจงวาไดปรบปรงPlayStoreใหมการตรวจสอบและปองกนแอปพลเคชน ทโจมตผานชองโหวนแลว[13]แตกยงมผไมหวงดพยายามหาวธทจะหลบเลยงระบบตรวจสอบเพอ
บทความแจงเตอนและขอแนะนำา84
สงแอปพลเคชนทเปนมลแวรเขามาในPlayStoreอยเรอยๆและจากการทมขาวมลแวรในPlayStoreออกมาอยเปนระยะๆกอาจทำใหเราไมสามารถไววางใจแอปพลเคชนจากPlayStoreไดอยาง100%นก
การปองกนและแกไขปญหา
ทางBlueboxSecurityไดแจงชองโหวนไปยงGoogleตงแตเดอนกมภาพนธ2556แลวซงหลงจากนนทางGoogleไดประสานงานไปยงผผลตอปกรณทใชงานระบบปฏบตการAndroidเพอใหออกอพเดตทแกไขปญหาน
อยางไรกตามในปจจบน(ขณะทเขยนบทความน)มอปกรณทใชงานระบบปฏบตการAndroidเพยงแค2รนทไดรบการอพเดตแกไขชองโหวอยางเปนทางการนนคอSamsungGalaxyS4และHTCOneทใชงานเฟรมแวรAndroidเวอรชน4.2.2[14]ในขณะทอปกรณทมาจากผผลตรายอนๆหรอแมกระทงNexusทใชซอฟตแวรจากทางGoogleเองกยงไมไดมซอฟตแวรอพเดตหรอแพทชออกมาแตอยางใด
จากปญหาขางตนกทำใหเกดคำถามตามมาในเรองของการอพเดตแกไขชองโหวของเครองทใชงานระบบปฏบตการAndroidไมวาจะเปนความลาชาในการอพเดตหรอปญหาของเครองบางรนทผผลตไมไดใหการสนบสนนแลวจะตองทำอยางไรตอซงถงแมวาทางGoogleจะมนโยบายวาอปกรณทใชงานระบบปฏบตการAndroidทกรนตองไดรบการสนบสนนทางซอฟตแวรอยางนอย18เดอนหลงจากวางจำหนวยแลวกตาม[15]แตในความเปนจรงแลวผผลตสวนใหญกยงไมไดใหความรวมมอมากนกและในปจจบนผทใชงานเครองทเปนระบบปฏบตการAndroidทไมไดรบการอพเดตกยงมอยมาก
สำหรบผทใชงานอปกรณรนใหมๆทผผลตยงใหการสนบสนนอยแตยงไมมอพเดตออกมากอาจตองตดตามขาวสารอยเปนระยะแตสำหรบผใชอปกรณทผผลตยนยนวาจะไมไดรบการอพเดตอยางแนนอนแลวถาไมซอเครองใหมกอาจจะมทางเลอกเหลออยไมมากนก
ทางฝงผพฒนาCustomRomอยางCyanogenModนนไดมการแกไขชองโหวดงกลาวในCyanogenModเวอรชน10.1.1แลว[16]ซงผทใชงานอปกรณทไมไดรบการอพเดตจากผผลตอาจลองพจารณาใชCustomRomดงกลาวเพอเพมความปลอดภยไดอยางไรกตามผใชทวไปอาจไมสามารถตดตงCustomRomกนไดทกคนเพราะมขนตอนวธทคอนขางซบซอนและอาจเสยงตอการทขอมลสญหายหรออาจทำใหเครองใชงานไมไดโดยถาวรหากมการทำงานผดพลาดในขนตอนการตดตงนอกจากนการใชงานCustomRomอาจทำใหฟงกชนการใชงานของซอฟตแวรไมสมบรณหรอทำงานผดไปจากRomของผผลตและทสำคญอปกรณหลายรนไมสามารถตดตงCustomRomไดเพราะไมมผพฒนาRomสำหรบอปกรณยหอหรอรนนนๆ
การตดตงแอปพลเคชนจากPlayStoreเพยงอยางเดยวกอาจจะชวยลดความเสยงไดในระดบหนงแตกเปนเพยงการแกไขปญหาทปลายเหตอกทงผใชงานบางกลมอาจมความจำเปนทตองตดตงแอปพลเคชนจากไฟล.apkเชนแอปพลเคชนทตองการใชไมมอยในPlayStore(เชนแอปพลเคชนเฉพาะทใชงานภายในองคกร)ตองการทดลองแอปพลเคชนทเปนรนBetaหรอบางทแอปพลเคชนทม
CYBER THREATS 2013 85
การซอขายอยางถกลขสทธกไดมาเปนไฟล.apk(เชนเกมในชดHumbleBundleforAndroidหรอซอจากStoreอนทไมใชPlayStore)ซงนนกเปนความเสยงทผใชตองแบกรบจากการทใชระบบปฏบตการทไมไดรบการอพเดต
ทางBlueboxSecurityไดปลอยใหดาวนโหลดแอปพลเคชนBlueboxSecurityScannerในPlayStore[17]เพอใชในการตรวจอปกรณทใชงานอยวาไดมการแพทชชองโหวแลวหรอยงและยงสามารถสแกนแอปพลเคชนทตดตงอยในเครองไดวามแอปพลเคชนไหนทเปนมลแวรทโจมตผานชองโหวนดงรปท5ซงผใชงานสามารถดาวนโหลดมาตรวจสอบเครองของตวเองไดฟรนอกจากนการตดตงซอฟตแวรแอนตไวรสกอาจชวยปองกนไดในระดบหนง
รปท5BlueboxSecurityScanner
บทความแจงเตอนและขอแนะนำา86
อยางไรกตามประเดนปญหาสำคญจากเหตการณคนพบชองโหวในครงนคอเรองของความนาเชอถอและความปลอดภยในการใชงานอปกรณทเปนระบบปฏบตการAndroidจรงอยทถงแมวาชองโหวMasterKeyนจะสามารถปองกนหรอหลกเลยงไดดวยการไมตดตงแอปพลเคชนจากไฟล.apkแตกไมไดหมายความวาการใชงานระบบปฏบตการทไมไดรบการอพเดตทเกยวของกบความปลอดภยเลยนนจะเปนเรองทดเพราะไมมอะไรทจะรบประกนไดเลยวาจะไมมชองโหวอนทรายแรงกวานซอนอยและหากมการคนพบชองโหวทวานนผใชจะสามารถหลกเลยงปญหาไดงายเหมอนครงน
สำหรบหนวยงานทจะมการจดซออปกรณทใชงานระบบปฏบตการAndroidมาใชในการทำงานอาจตองพจารณาเรองการสนบสนนดานความปลอดภยจากผผลตรวมดวยโดยเฉพาะหนวยงานทอนญาตใหพนกงานนำอปกรณเชนโทรศพทมอถอหรอแทบเลตเขามาเชอมตอกบระบบเครอขายหลกของหนวยงานอาจตองพจารณาความเสยงในเรองนเปนพเศษโดยเฉพาะความเสยงในเรองของผลกระทบหากอปกรณนนไมไดรบการอพเดตอยางตอเนองและสม�าเสมอจากผผลต
สดทายสวนทสำคญทสดคอการปรบเปลยนพฤตกรรมการใชงานและตดตามขาวสารเรองความปลอดภยอยอยางสม�าเสมอเพราะมลแวรตวใหมๆนนมคนพฒนาขนมาอยทกวนรวมถงเทคนคการโจมตรปแบบใหมกมการคนพบอยเรอยๆหากผใชไมตดตามขาวสารหรอไมระมดระวง ในการใชงานกอาจตกเปนเหยอของผไมหวงดได
CYBER THREATS 2013 87
อางอง
1.http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/
2.http://developer.android.com/tools/publishing/app-signing.html
3.http://nakedsecurity.sophos.com/2013/07/10/anatomy-of-a-security-hole-googles-android-master-key-debacle-explained/
4.http://threatpost.com/second-android-master-key-attack-surfaces/101297
5.http://blog.sina.com.cn/s/blog_be6dacae0101bksm.html
6.https://www.thaicert.or.th/alerts/user/2013/al2013us008.html
7.https://www.thaicert.or.th/alerts/user/2013/al2013us007.html
8.http://www.zdnet.com/blog/security/a-first-hacked-sites-with-android-drive-by-download-malware/11810
9.http://blog.avast.com/2013/03/11/mobile-drive-by-malware-example/
10.http://www.exploit-db.com/exploits/15548/
11.http://www.h-online.com/security/news/item/Android-smartphones-infected-via-drive-by-exploit-Update-1446992.html
12.https://thaicert.or.th/papers/technical/2012/pa2012te009.html
13.https://www.cio.com.au/article/466577/vulnerability_allows_attackers_modify_android_apps_without_breaking_their_signatures/
14.http://www.androidpolice.com/2013/07/08/infamous-master-key-exploit-was-quietly-patched-by-google-in-february-cyanogenmod-following-suit-today-oems-at-some-point/
15.http://www.theverge.com/2011/05/10/google-promises-android-devices-updates-18-months/
16.http://www.cyanogenmod.org/blog/cyanogenmod-10-1-1-release/comment-page-1#comment-56919
17.https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner
บทความแจงเตอนและขอแนะนำา88
ระวงภยชองโหว
ในJOOMLAผไมหวงดสามารถอพโหลดไฟลอนตรายใดๆเขามาในระบบไดวนทประกาศ : 15สงหาคม2556ปรบปรงลาสด : 15สงหาคม2556เรอง : ระวงภยชองโหวในJoomlaผไมหวงดสามารถอพโหลดไฟลอนตรายใดๆ
เขามาในระบบไดประเภทภยคกคาม : Intrusion
ขอมลทวไป
โดยปกตแลวระบบอพโหลดไฟลของJoomlaจะมการตรวจสอบExtensionของไฟลวาอยในประเภทไฟลอนตรายหรอเปลา(เชนไฟล.php)ซงหากพบวาไฟลทผใชอพโหลดเขามานนเขาขายไฟลอนตรายกจะไมยอมใหอพโหลด
นกวจยจากบรษทVersafeไดพบชองโหวในคอมโพเนนตMediaManagerซงใชในการอพโหลดไฟล(ถกตดตงมาพรอมกบJoomlaเปนคาเรมตน)[1]โดยพบวาผไมหวงดสามารถBypassระบบการตรวจสอบExtensionเพออพโหลดไฟลอนต
รายใดๆเขามาในระบบไดเพยงแคเตมเครองหมายจด(.)ตอทายชอไฟล[2]โดยจะทำใหเกดการBypassการตรวจสอบของระบบและระบบจะทำการตดเครองหมาย
จดหลงไฟลทงทำใหผไมหวงดสามารถสงประมวลผลไฟลทอพโหลดขนไปไดทนทปจจบนชองโหวนยงไมมการออกหมายเลขCVEแตมโคดสำหรบโจมตผานMetasploit
ออกมาแลว[3]
CYBER THREATS 2013 89
ผลกระทบ
ผไมหวงดสามารถอพโหลดไฟลอนตรายใดๆเขามาในระบบได(เชนไฟลPHPBackdoor)แตอยางไรกตามผไมหวงดจะตองไดสทธในการเขาระบบบรหารจดการกอนถงจะสามารถเขาถงคอมโพเนนตดงกลาวได
ระบบทไดรบผลกระทบ
• Joomlaเวอรชน2.5.13หรอต�ากวา
• Joomlaเวอรชน3.1.4หรอต�ากวา
สำหรบJoomlaเวอรชน1.5.xนนถงแมจะสามารถอพโหลดไฟล.phpดงกลาวขนบนระบบไดกจรงแตอยางไรกตามระบบไมไดมการตดเครองหมายจดทตอทายไฟลออกทำใหไมไดรบผลกระทบจากชองโหวน
ขอแนะนำในการปองกนและแกไข
ผทใชงานJoomlaควรอพเดตเวอรชนของซอฟตแวรใหเปน2.5.14หรอ3.1.5หรอใหมกวา[4]และควรตงคาใหฟงกชนMediaManagerสามารถใชงานไดเฉพาะผดแลระบบเทานน
อางอง
1. http://www.versafe-login.com/sites/default/files/Versafe%20Intelligence%20Brief%20--%20Joomla%20Exploit%20Enabling%20Phishing%2C%20Malware%20Attacks%20from%20Genuine%20Sites.pdf
2.http://blog.malwarebytes.org/intelligence/2013/08/do-you-own-a-website-now-would-be-a-good-time-to-patch-it/
3.http://1337day.com/exploit/21108
4.http://developer.joomla.org/security/news/563-20130801-core-unauthorised-uploads
บทความทวไป
บทความท วไป92
การใชPGPดวยCOMMANDLINEผเขยน : วศลยประสงคสขวนทเผยแพร : 1มนาคม2556ปรบปรงลาสด : 1มนาคม2556
บทความของไทยเซรตกอนหนานไดอธบายทมารวมถงวธการใชงานPGPดวยการใชโปรแกรมแบบGUIซงสามารถใชงานโดยใชเมาสคลกไดทงในระบบปฏบตการWindowsและMACOSXสำหรบบทความนจะพาทานผอานหนมาลองใชCommandlineกนบางเนองจากหากใชCommandlineไดแลวไมวาผใชจะทดลองเปลยนไปใชคอมพวเตอรระบบปฏบตการใดกจะสามารถใชงานPGPไดกอนทจะเรมขอทบทวนConceptกนกอน
ทบทวนConcept
เนองจากเปนการทบทวนดงนนในสวนนจงเปนเขยนเปนคำอธบายสนๆทไมไดลงรายละเอยดลกมากนกแตเพยงพอทจะทำใหเหนภาพวาหวขอดงตอไปนคออะไรและมConceptเปนอยางไร
Publickeycryptography
Publickeycryptographyจะประกอบดวยkeyอย2ชนดทมความสมพนธกนทางคณตศาสตรเรยกวาคกญแจคอPrivatekeyซงเกบไวกบเจาของเทานนและPublickeyซงสามารถแจกจายใหผอนไดแนนอนวาทงPrivateและPublickeyนนเจาของตองเปนผสรางเองแตเจาของไมจำเปนตองแจกPublickeyดวยตวเองเพราะวาในปจจบนมเครองใหบรการกญแจสาธารณะ(Publickeyserver)ซงเจาของกญแจสามารถอพโหลดไฟลPublickeyของตนเองขนไปเกบไวทเครองไดซงทำใหผอนสามารถดาวนโหลดPublickeyของทานไปใชงานไดการใชงานPublickeycryptographyหลกๆมอย2กระบวนการดวยกนคอกระบวนการเขารหสลบ(Encryption)และกระบวนการตรวจสอบลายมอชอดจทล(DigitalSignatureVerification)
การเขารหสลบ(Encryption)
สมมตใหAliceเปนผสงและBobเปนผรบในการสงขอความลบAliceจะใชPublickeyของBobซงอาจไดมาจากPublickeyserverหรอBobสงมาใหเขารหสลบขอความแลวจงสงไปใหBobเมอBobไดรบขอความทเขารหสลบแลวกจะใชPrivatekeyของตนเองในการถอดรหสลบเพออานขอความเปนตน
CYBER THREATS 2013 93
การตรวจสอบลายมอชอดจทล(DigitalSignatureVerification)
ในกรณทBobไดรบขอความมาจากAliceในการนBobจะแนใจไดอยางไรวามาจากAliceจรงผอานลองนกถงตอนทมคนสงกระดาษโนตมาใหบอกวาผจดการอยากใหทำงานอยางหนง ผอานจะทราบไดอยางไรวากระดาษโนตนนมาจากผจดการจรงวธการหนงทใชกนอยทวไปคอการใชลายมอชอหรอการเซนกำกบในทางดจทลกเชนกนAliceสามารถใชPrivatekeyในการลงลายมอชอ(Sign)หรอเซนรบรองเอกสารได(อยาลมวาPrivatekeyของAliceมเพยงAliceทใชได)เมอBobไดรบเอกสารกจะสามารถใชPublickeyของAliceในการตรวจสอบลายเซนได[1]
WebofTrust
ยอนกลบไปตรงทAliceหรอBobทำการดาวนโหลดPublickeyมาจากPublickeyserverพวกเขาจะทราบไดอยางไรวาดาวนโหลดPublickeyมาถกอนไมใชอนทผไมหวงดสรางขนมาเพอหลอกลวงผอนในกรณเชนนWebofTrustสามารถเขามาแกปญหาไดโดยใชวธการใหผอนมารบรองPublickeyวาPublickeyนนเปนของคนผนนจรง[1]ลองนกถงโลกความเปนจรงสมมตมเพอนของนองสาวมาทบานผอานจะทราบไดอยางไรวาคนผนนเปนเพอนของนองสาวจรงซงกแนนอนผอานกตองถามนองสาววาใชเพอนของนองจรงหรอไมหลกการนอาศยการทผอานเชอคนทสามารถเชอใจไดวาบคคลแปลกหนานนไมใชคนอนตรายในการแลกเปลยนPublickeyกเชนเดยวกนหากAliceตองการPublickeyของBobแตไมแนใจวาPublickeyนนเปนของBobจรงแตหากAliceพบวาPublickeyนนมCarolเซนรบรองอยและCarolเปนคนทAliceเชอใจไดAliceกสามารถยอมรบวาPublickeyเปนของBobไดอนทจรงแลวหลกการการเชอใจยงมความวนวายมากกวานอยางเชนเรองระดบของความเชอถอ(Trustlevel)ซงจะกลาวถงในหวขอการตงระดบความเชอถอของเจาของPublickey
การใชPGPดวยCommandline
การสรางคกญแจ
ผอานสามารถสรางคกญแจไดดวยการใชคำสงgpg--gen-keyซงจะมคำถามเกยวกบ รายละเอยดของกญแจขนมาใหผใชเลอกดงรปท1
บทความท วไป94
รปท1รายละเอยดของคกญแจ
หมายเลข1คอการเรยกใชคำสงgpg--gen-key
หมายเลข2คอการเลอกอลกอรทมของการสรางคกญแจในทนเลอกใชRSAเปนอลกอรทมทสรางPublickeyและprivatekey
หมายเลข3คอการเลอกkeysizeซงในทนคอ2048bitsการเลอกkeysizeนหากเลอกขนาดเลกจะทำใหประสทธภาพของการคำนวณเรวแตมความมนคงปลอดภยนอยเพราะถก
CYBER THREATS 2013 95
แครก(Crack)ไดงายกลบกนหากเลอกkeysizeใหญกจะทำใหการคำนวณชาแตมความมนคงปลอดภยเพมขน
*keysizeทำไมหนวยเปนbit?
จากหมายเลข2ทเราเลอกอลกอรทมเปนRSAวธการสรางคกญแจของอลกอรทมนคอการเลอกตวเลขจำนวนเฉพาะ(Primenumber)มาใชในการคำนวนเพอสรางคกญแจหากเปนคนคำนวนกคงเลอกจำนวนเฉพาะทมคานอยเชน357หรออนๆมาคำนวนซงหากเปนเลข7นเมอแปลงเปนเลขฐานสองแลวจะใชbitจำนวน5bitในการแสดงคา(7=10001,ใช5bitsในการแสดงคา)แตในทนเลอกใชจำนวนเฉพาะทใชbitในการแสดงคาถง2048bits
*ทำไมตองใชจำนวนเฉพาะ?
ขนตอนหนงของการคำนวนเพอสรางคกญแจของอลกอรทมRSAจะตองใชจำนวนเฉพาะและผลคณของจำนวนเฉพาะมาใชในสมการคณสมบตหนงของจำนวนเฉพาะคอเมอนำมาคณกนจะมแตจำนวนเฉพาะ2ตวนเทานนทเปนตวประกอบของผลคณซงเมอเราเลอกkeysizeเปน2048bitsกทำใหแทบทจะเปนไปไมไดเลยทจะหาจำนวนเฉพาะขนาด2048bits2ตวมาสรางคกญแจเพอเลยนแบบได
หมายเลข4คอการกำหนดอายของคกญแจในทนกำหนดใหใชไดเปนเวลา2ปการตงวนหมดอายของคกญแจนมความสำคญเนองจากหากPrivatekeyถกขโมยออกไปโดยทผใชไมทราบ และผใชไมตงวนหมดอายกจะทำใหผไมหวงดทำการCrackPassphraseไดอยางสบายใจแตหากตงวนหมดอายเอาไวผไมหวงดตองทำงานแขงกบเวลาซงการตงวนหมดอายทเหมาะสมนนจงเปนการกำหนดเวลาทคาดวาPassphraseนจะไมถกCrackภายในเวลาทกำหนด
หมายเลข5คอการยนยนวนททกญแจหมดอาย
หมายเลข6คอการกรอกรายละเอยดของเจาของกญแจซงจะประกอบไปดวยชอ และอเมลของผใช
หมายเลข7คอการยนยนความถกตองของขอมลรายละเอยดของเจาของกญแจ
หมายเลข8คอการกำหนดPassphraseใหกบกญแจผใชจำเปนตองจำPassphraseใหไดเนองจากการจะใชงานPrivatekeyระบบจะใหปอนPassphraseในการยนยนวาเปนเจาของคกญแจนนจรง
เมอดำเนนการทงหมดเรยบรอยแลวโปรแกรมจะแสดงรายละเอยดของคกญแจทเพงมการสรางซงจากรปท1จะพบวารายละเอยดของคกญแจทควรทราบมดงน
UIDคอAliceThesender
keyIDคอ50DC73A7
FingerprintคอB3E573B74579E458DC014A563561B6F650DC73A7
บทความท วไป96
*FingerprintใชสำหรบตรวจสอบความครบถวนสมบรณของPublickey(รายละเอยดอธบายในหวขอการเซนรบรองกญแจสาธารณะทนำเขาสระบบ)
การสรางRevocationCertificate
ในกรณทตองการยกเลกคกญแจดวยเหตผลบางประการเชนผไมประสงคดทราบPassphraseและไดPrivatekeyของผใชไปหรอเทคโนโลยพฒนามากขนทำใหอลกอรทมทใชสรางคกญแจมความมนคงปลอดภยไมเพยงพอผใชสามารถใชRevocationCertificateในการประกาศหยดการใชงานคกญแจนนไดแตในการสรางRevocationCertificateนนจำเปนตองมPrivatekeyและจำPassphraseไดจงเปนการดกวาทจะสรางRevocationCertificateเอาไวในตอนทยงมสงเหลานอยเมอสรางเสรจแลวกควรจะเกบRevocationCertificateเอาไวอยางด[2]และไมควรเกบไวทเดยวกบPrivatekeyการสรางRevocationCertificateสามารถทำไดโดยใชคำสง
gpg-o[outputfilename]--gen-revoke[UID]เชนgpg-oAlice_revoke--gen-revoke“AliceThesender”ดงรปท2
รปท2การสรางRevocationCertificate
CYBER THREATS 2013 97
หมายเลข1คอการใชคำสงในการสรางRevocationCertificate
-oหมายถงการเขยนผลลพธของคำสงลงในไฟลซงในทนกำหนดใหไฟลชอAlice_revoke
หมายเลข2คอการยนยนความถกตองของPrivatekeyทตองการทำRevocationCertificate
หมายเลข3คอการเลอกเหตผลของการทำRevocationCertificateในทนเลอกkeyisnolongerused.
หมายเลข4คอการอธบายเหตผลเพมเตมอาจจะเปนเหตผลสนบสนนเหตผลทเลอกในหมายเลข3ในทนไมไดใสเหตผลใดเพมเตม
หมายเลข5คอการยนยนวาผใชตองการสรางRevocationkeyนนจรงดวยเหตผลตามหมายเลข3และ4
หมายเลข6คอการใสPassphraseของPrivatekeyเพอยนยนวาเจาของกญแจเปน ผดำเนนการสรางRevocationCertificate
หลงจากสรางแลวเมอเกดเหตทตองการยกเลกการใชงานกญแจผใชจะตองอพโหลดRevocationCertificateไปยงPublickeyserverซงวธการอพโหลดนนจะกลาวในลำดบถดไป
การแลกเปลยนกญแจสาธารณะ
การสงกญแจสาธารณะใหกบผรบ
ผใชสามารถสงกญแจสาธารณะใหกบผรบได2วธคอสงดวยตนเองและใหผรบดาวนโหลดPublickeyจากPublickeyserverทงสองวธจะตองทำการExportดวยคำสงทแตกตางกนโดยท
การสงPublickeyดวยตนเองสามารถใชคำสง
gpg--export-u[UID]-o[outputfilename]
เชนgpg--export-u“AliceThesender”-oalice_pub
-uคอการเลอกกญแจตามUIDหรอสวนของUID(เชนAlice)ในกรณทในคอมพวเตอรเครองนนมPublickeyอยหลายอนผใชสามารถเลอกPublickeyทตองการExportไดดวยการระบUIDหรอkeyIdได
หลงจากไดไฟลalice_pubผใชสามารถสงPublickeyนดวยการคดลอกลงThumbdriveหรอแนบไฟลในอเมลสงไปหาผรบได
การสงPublickeyไปเกบไวทPublickeyserverสามารถใชคำสง
gpg--send-key--keyserver[keyserver][keyid]
บทความท วไป98
เชนgpg--send-key--keyserverpgp.mit.edu50DC73A7
PublickeyserverนนมอยหลายServerดวยกน[3]แตทงหมดจะทำการSynchronizeขอมลกนดงนนไมวาผใชจะอพโหลดPublickeyไปไวกบServerใดServerอนๆกจะมขอมลPublickeyของผใช
การนำเขากญแจสาธารณะ
ผใชสามารถนำเขากญแจสาธารณะได2รปแบบคอนำเขาจากไฟลทไดรบและนำเขาจากPublickeyserverซงมวธการทแตกตางกนดงตอไปน
การนำเขาPublickeyจากไฟล
ผใชสามารถนำเขาPublickeyจากไฟลไดโดยใชคำสง
gpg--import[publickeyfilename]
เชนgpg--importalice_pub
การนำเขาPublickeyจากPublickeyserver
gpg--search-keys[emailหรอUID]
เชนgpg--search-keysalice.thesender wonderland.comหรอgpg--search-keys“AliceThesender”
หากมผลลพธทตรงกบสงทคนหาจะมขอความแสดงขนมาเพอใหผใชเลอกPublickeyทตองการดงแสดงในรปท3
รปท3เลอกPublickeyทตองการ
ในกรณททราบkeyidของPublickeyทตองการอยแลวผใชสามารถใชคำสงดงตอไปนเพอนำกญแจสาธารณะเขาสระบบgpg--recv-keys[key_id]
เชนgpg--recv-keys50DC73A7
การเซนรบรองกญแจสาธารณะทนำเขาสระบบ
เมอผใชนำเขากญแจสาธารณะทตองการไดแลวลำดบถดไปในการทจะนำกญแจสาธารณะนนมาใช
CYBER THREATS 2013 99
ผใชจะตองทำการเซนรบรองกญแจสาธารณะกอนมเชนนนระบบจะทำการเตอนทกครงเมอกญแจสาธารณะนถกเรยกใชงานการเซนรบรองกญแจสาธารณะเปรยบเสมอนผใชทำการรบรองวากญแจสาธารณะนนเปนของเจาของตามทระบในUIDจรงซงผใชสามารถตรวจสอบความถกตองของกญแจสาธาณะนไดโดยการตรวจสอบFingerprintของPublickeyวาตรงตามทเจาของประกาศไวหรอไม[4]ดงนนการประกาศFingerprintของกญแจนนจงเปนสงสำคญหนวยงานหรอบคคลอาจจะเลอกใชวธการประกาศโดยเขยนเอาไวบนเวบไซตของหนวยงานหรอเวบไซตสวนตวหรออกวธหนงคอพมพFingerprintไวในนามบตรกไดการดFingerprintของPublickeyทรบมาสามารถทำไดดวยคำสงgpg--fingerprint[UID]
เชนgpg--fingerprintAliceThesender
หลงจากทผใชทำการตรวจสอบจนมนใจไดแลววาPublickeyทรบมานนเปนของเจาของจรงผใชสามารถทำการเซนรบรองPublickeyไดโดยใชคำสง
gpg--sign-key[Publickey]
ซงคำสงดานบนนจะใชPrivatekeyทเปนDefaultkey(DefaultkeyเปนPrivatekeyตวแรกทมอยในคอมพวเตอรสวนใหญจะเปนคกญแจทผใชสรางในคอมพวเตอรเครองนนเปนครงแรก)เปนตวเซนรบรองแตหากตองการเลอกใชPrivatekeyอนในการเซนรบรองสามารถทำไดดวยคำสงgpg--local-user[UIDofPrivatekey]--sign-key[UIDofPublickey]
เชนgpg--local-userAlice--sign-keyBob
คำสงดานบนนหมายถงใชPrivatekeyทมUIDคอAliceในการเซนรบรองPublickeyทมUIDคอBob
การตงระดบความเชอถอของPublickey
ระดบความเชอถอ(Trustlevel)เปนเหมอนการแสดงความคดเหนของผใชวาเจาของPublickeyทผใชรบมานนมความนาเชอถอเพยงใดอาจจะดจากลกษณะนสยวาเปนคนมความตระหนกในการใชงานระบบคอมพวเตอรมากนอยเพยงใดเชนมการตรวจสอบความถกตองของPublickeyกอนเซนรบรองPublickeyของผอนหรอไมระดบความเชอถอนจะมผลตอระบบWebofTrustซงระดบความเชอถอมดงน
1. UnknowntrustผใชควรเลอกกตอเมอผใชไมทราบวาเจาของPublickeyนนทำการ ตรวจสอบPublickeyของผอนกอนเซนรบรองความถกตองหรอไมTrustlevelนจะทำใหWebofTrustของผใชไมเชอวาPublickeyทผนนเซนรบรองเปนของเจาของจรง
2. NeverTrustผใชควรเลอกกตอเมอผใชทราบวาเจาของPublickeyทผใชรบมานนไมมการตรวจสอบความถกตองของPublickeyเลยแตเซนรบรองความถกตองPublickeyของผอนTrustlevelนจะทำใหWebofTrustของผใชไมเชอวาPublickeyทผนนเซนรบรองเปนของเจาของจรง
บทความท วไป100
3. MarginalTrustผใชควรเลอกกตอเมอผใชเหนวาเจาของPublickeyทผใชรบมานนทำการตรวจสอบความถกตองของPublickeyเปนบางครงกอนเซนรบรองความถกตองPublickeyของผอนTrustlevelนจะทำใหWebofTrustของผใชยงไมเชอวาPublickeyทผนนรบรองเปนของเจาของจรงจนกวาจะมผทอยในระดบMarginalTrust3คนเซนรบรองPublickeyนน
4. FullTrustผใชควรเลอกกตอเมอผใชเหนวาเจาของPublickeyทผใชรบมานนทำการตรวจสอบความถกตองของPublickeyกอนทำการเซนรบรองอยเสมอTrustlevelนจะทำใหWebofTrustของผใชเชอวาPublickeyทผนนรบรองเปนของเจาของจรง
5. UltimatetrustสำหรบTrustlevelนควรเลอกกตอเมอเปนPublickeyของผใชเองเชนในกรณผใชนำเขาPublickeyของตนเองในคอมพวเตอรอกเครองหนง
ผใชสามารถตงระดบความเชอถอของPublickeyทรบเขามาไดดวยคำสงgpg--edit-key[UID]
เชนgpg--edit-keyBobดงรปท4
รปท4กำหนดTrustlevelใหPublickey
CYBER THREATS 2013 101
หมายเลข1คอการเรยกใชคำสงEditkey
หมายเลข2จะเหนวาPublickeyทผานการเซนรบรองแลวจะมความถกตอง(Validity)เปนFullสวนTrustจะเปนunknown
หมายเลข3เปนการพมพคำสงtrustเพอตงระดบของTrustlevel
หมายเลข4เปนการเลอกTrustlevelซงในทนเลอกเปนMarginaltrust
หมายเลข5จะเหนวาหลงจากตงTrustlevelแลวคาTrustจะเปลยนเปนmarginal
การลงลายมอชอและการตรวจสอบ
การลงลายมอชอ
การลงลายมอชอหรอการเซนรบรองในทนม3คำสงทแตกตางกนดงน
คำสงSign
คำสงSignนจะเปนการเขารหสลบ(Encrypt)ขอความหรอไฟลดวยPrivatekeyของผใชซงผรบจะตองนำPublickeyของผใชในการถอดรหสลบ(Decrypt)เพออานขอความภายในผใชสามารถทำการเซนรบรองเอกสารไดโดยใชคำสงgpg-a--sign[filename]
-aหมายถงการกำหนดใหเปลยนรปแบบของผลลพธจากรปแบบBinaryเปนรปแบบASCIIซงเหมาะกบใชในการสงอเมลมากกวา[5]
คำสงClearsign
คำสงClearsignจะแสดงขอความหรอเนอของไฟลไวและนำผลการเขารหสลบมาตอทายเปนสวนของSignatureซงผรบยงสามารถใชPublickeyของผสงในการตรวจสอบไดผใชสามารถทำการเซนรบรองเอกสารไดโดยใชคำสงgpg--clearsign[filename]
*คำสงClearsignไมจำเปนตองใส-aเนองจากผลลพธออกมาในรปแบบASCIIอยแลว
คำสงDetach-sign
คำสงDetach-signจะแยกเอาเฉพาะสวนSignatureของClearsignมาไวอกไฟลหนงทำใหมขนาดเลกมากซงจะทำใหเกดประโยชนเมอไฟลทตองการเซนรบรองมขนาดใหญชวยใหประหยดพนทในการจดเกบไฟลผใชสามารถทำการเซนรบรองเอกสารไดโดยใชคำสงgpg-a--detach-sign[filename]
*ทงสามคำสงหากผใชตองการเลอกPrivatekeyอนนอกจากDefaultkeyใหเพม-u[UID]หลง–a
ผลลพธของการSignดวยคำสงทงสามดงกลาวแสดงไวในตารางท1
บทความท วไป102
คำสง ผลลพธ
Sign with -a option
Clearsign
Detach sign with -a option
ตารางท1ผลของการเซนรบรองขอความหรอไฟลดวยคำสงทงสาม
CYBER THREATS 2013 103
การตรวจสอบ
ผใชสามารถตรวจสอบเอกสารทไดรบการเซนรบรองไดหากทำการนำเขาPublickey ของผสงมาแลวสามารถใชคำสงตอไปนในการตรวจสอบgpg--verify[Sign_filename] เชนgpg--verifySign-a-Myfile.txt.sigผลของการตรวจสอบแสดงดงรปท5
รปท5ตรวจสอบ
หมายเลข1คอการใชคำสงในการตรวจสอบไฟลทไดรบการเซนรบรองหมายเลข2จะเหนวนเวลาและkeyidทใชในการเซนรบรองเอกสารหมายเลข3แสดงใหเหนวาkeyidทแสดงดงกลาวเปนของAliceThesender*ในการตรวจสอบDetachSignatureสามารถทำไดดวยคำสงgpg--verify
[Sign_filename][filename]เชนgpg--verifyDetach-sign-a-Myfile.txtMyfile.txtการเขารหสลบและการถอดรหสลบการเขารหสลบเมอผใชนำเขาPublickeyของผรบแลวสามารถใชคำสงดงตอไปนในการเขารหสลบ
gpg-e-r[UIDofReceiver][filename]เชนgpg-e-rBobMyfile.txt-rคอคำสงในการระบผรบการถอดรหสลบผใชสามารถทำการถอดรหสลบไดโดยใชคำสงgpg-o[Newfilename]-d
[Encryptedfilename]เชนgpg-oMyfile.txt-dMyfile.txt.gpg
อางอง
1. http://www.dewinter.com/gnupg_howto/english/GPGMiniHowto-1.html
2.http://www.dewinter.com/gnupg_howto/english/GPGMiniHowto-3.html#ss3.4
3.https://github.com/GPGTools/GPGTools/wiki/Keyservers
4.http://www.spywarewarrior.com/uiuc/gpg/gpg-com-4.htm#4-6
5.http://www.spywarewarrior.com/uiuc/gpg/gpg-com-0.htm
บทความท วไป104
มหากาฬแฮกกงกบดจทลไลฟทสญสนของนายแมทโฮนานผเขยน : ณฐโชตดสตานนทวนทเผยแพร : 1มนาคม2556ปรบปรงลาสด : 1มนาคม2556
ปจจบนนถาพดถงการใชชวตของมนษยเราจะพบวาชวตของเราเกยวของกบโลกออนไลนมากขนกวาแตกอนอยางเหนไดชดแตเดมการใชอเมลหรอการใชอนเทอรเนตในการตดตอสอสารกถอวาเปนรปแบบการสอสารททนสมยและสวนใหญใชในดานธรกจแตเดยวนนอกจากการใชอเมลจะถอวาเปนของธรรมดาแลวหลายคนยงใชอเมลและการสอสารผานระบบอนเทอรเนตเหลานแทนการสอสารกนในชวตจรงอกดวยนอกจากการพงพาระบบอนเทอรเนตในการสอสารแลวยงมการเกบขอมลออนไลนผานบรการCloudหลายคนอาจจะใชเกบรปครอบครวจนถงเอกสารสำคญในการทำงานเรยกไดวาทงชวตของคนจำนวนไมนอยไดหลอมรวมกบโลกออนไลนอยางแยกกนไมออกจนกระทงเรามศพทบญญตวาชวตในโลกดจทลหรอDigitalLifeซงเปรยบเสมอนอกภาคหนงของบคคลและอาจจะหมายถงทกสงทกอยางในชวตของบางคนเลยทเดยว
ในโลกดจทลนนสวนทใชเชอมตอกนกบโลกจรงชวตจรงของมนษยกคอบญชผใชงาน(UserAccount)ทเปนพนฐานของความมตวตนในโลกอนเทอรเนตลองคดดวาหากบญชผใชงานเหลานถกขโมยโดยแฮกเกอรจะสรางความเดอดรอนตอเจาของเพยงใดในครงนผเขยนจงอยากขอกลาวถงกรณศกษาจรงชวตในโลกดจทลของนายแมทโฮนาน(MatHonan)ทถกทำลายลงอยางสนเชงดวยฝมอของแฮกเกอรซงเรมจากการใชวธSocialEngineeringทดเหมอนไมนาเปนไปได จนกระทงสามารถทำใหเขาถงบญชผใชทงหมดไดในเวลาตอมา
แมทโฮนานเปนนกเขยนประจำของWiredซงเปนนตยสารเกยวกบวทยาศาสตรและเทคโนโลยทรจกกนมานานกวา10ปนอกจากนเขายงเปนทมงานของGizmodoซงเปนเวบไซตเกยวกบ แกดเจตทมชอเสยงอกดวยและกเปนธรรมดาของผทอยในวงการเทคโนโลยสมยใหมและเปนนกเขยนทมผตดตามจำนวนไมนอยผานเวบไซตอยางนายแมทจะมบญชผใชงานของบรการออนไลนมากมายสงเดยวทเปนจดเรมตนของการแฮกครงยงใหญนกคอบญชผใชงานทวตเตอร(Twitter)ของGizmodo(http://twitter.com/Gizmodo)ทกลายเปนทตองการของแฮกเกอร[1]และนายแมทซงเปนเจาของบญชผใชงานอย
CYBER THREATS 2013 105
ในระบบการรกษาความปลอดภยบญชผใชงานดวยรหสผาน(Password)นนเปนธรรมดาทจะตองมผทจำรหสผานของตนเองไมไดและผใหบรการทงหลายไมวาจะเปนGoogleYahooหรอAppleจะตองมวธใหผใชงานทลมรหสผานเหลานสามารถเขาใชงานบญชผใชของพวกเขาไดอกครงโดยไมตองวนวายกบการตดตอกบผใหบรการโดยตรงเชนผใชสามารถทำการขอใหผใหบรการสงรหสผานใหมไปยงทอยอเมลสำรอง(BackupหรอSecondaryEmailAddress)ทเราระบไวตอนสมครบญชผใชหรอใชวธตอบคำถามลบซงสวนมากกเปนขอมลสวนบคคลทไมไดยากเยนทแฮกเกอรจะคนหาไดโดยเฉพาะสำหรบบคคลทมชอเสยงหรออยในเครอขายสงคมออนไลน(SocialNetwork)ดงนนหากแฮกเกอรสามารถยดครองบญชผใชสำรองไดกเทากบวาแฮกเกอรยดบญชผใชหลกและเปนหนงในเทคนคทแฮกเกอรใชในการยดครองบญชของนายแมทโฮนานนนเอง
จากรายละเอยดของสงทเกดขนกบแมทโฮนานทมการเปดเผยในอนเทอรเนตแฮกเกอรม เปาหมายทจะยดครองบญชผใชงานของทวตเตอรอาจจะลำดบเหตการณไดวาแฮกเกอรทราบขอมลจากรายละเอยดในทวตเตอรวาแมทมเวบไซตสวนตวอยและในเวบไซตนนกมขอมลเกยวกบทอยอเมล(EmailAddress)ของเขาอยซงเปนของGMail(GoogleMail)ซงทำใหแฮกเกอรคาดไดวาทอยอเมลนคงจะเปนอเมลสำรองของทวตเตอรแนนอนดงนนหากจะเขายดครองบญชผใชงานของทวตเตอรแฮกเกอรตองเขาถงบญชผใชงานGMailของแมทเสยกอน
เพอใหไดมาซงบญชผใชงานGMailแฮกเกอรไดเรยกใชความสามารถของการกคนบญชเมอลมรหสผานซงตามระบบของGoogleMailนนระบบจะสงURLพเศษสำหรบกคนบญชผใชไปยงอเมลสำรองทผใชไดลงทะเบยนไวถงแมวาGoogleจะมมาตรการความปลอดภยเพมเตมโดยการไมระบอยางชดเจนวาอเมลสำรองทสงURLสำหรบกคนบญชนนคออเมลใดโดยจะปดบงตวอกษรบางตวเชนในกรณของแมทแฮกเกอรจะเหนเพยงวาURLพเศษนนถกสงไปทm••••[email protected]แมวาขอมลจะมเพยงเทานแตกสามารถบอกไดวาอเมลสำรองของแมทเปนระบบme.comซงเปนบรการของAppleนนเอง
ดวยขอมลทมเทานกเพยงพอสำหรบแฮกเกอรแลวเพราะวธทจะสวมรอยเปนเจาของบญชผใชงานของAppleนนอาศยเพยงขอมลเลขบตรเครดต4หลกสดทายของแมทซงเราอาจจะคดวาไมใชของงายทจะหาขอมลนแตแฮกเกอรรดวาในAmazonซงเปนเวบไซตขายสนคาชอดงจะแสดงเลขบตรเครดต4หลกสดทายในหนารายการบตรเครดตของผใชงานแตละคนและแมทกมบญชผใชงานของAmazonอยดงนนงานตอไปทแฮกเกอรตองทำกคอสวมรอยเปนแมทโฮนานในAmazonใหได
จากขอมลทอยสำหรบเรยกเกบเงน(BillingAddress)ทแฮกเกอรไดจากการตรวจสอบขอมลการจดทะเบยนโดเมน(DomainRegisteration)เวบไซตสวนตวของแมทซงขอมลนเปนขอมลสาธารณะและแฮกเกอรคาดวานาจะตรงกบทอยสำหรบเรยกเกบเงนทแมทใชลงทะเบยนในAmazonแฮกเกอรจงไดโทรศพทไปยงฝายบรการลกคาของAmazonและอางชอผใชกบทอยสำหรบเรยกเกบเงนเพอขอใหAmazonเพมรายการบตรเครดตปลอมเขาไปในบญชผใชงาน
ณจดนดเหมอนสงทแฮกเกอรทำจะไมสงผลอะไรตอบญชผใชงานของแมทเพยงแคมรายการบตรเครดตทใชงานไมไดเขามาอยในบญชผใชงานอก1รายการเทานนแตนเทากบวาแฮกเกอรสามารถ
บทความท วไป106
ลวงรรายละเอยดสำคญในบญชผใชงานทเปนเปาหมายเพมขนอก1รายการเชนกนนนคอเลขบตรเครดต(ปลอม)และมนกไดแสดงใหเหนวาเปนจดเปลยนทสำคญยงเมอแฮกเกอรตดตอไปยงAmazonอกครงคราวนอางวาลมรหสผานและใชหลกฐานอนประกอบดวยชอผใชงานทอยสำหรบเรยกเกบเงนและเลขบตรเครดต(ปลอม)ทกลายเปนสวนหนงของบญชผใชไปตงแตกอนหนานแลว
ดวยหลกฐาน3อยางนและฝมอในการทำSocialEngineeringของแฮกเกอรทำใหAmazonยอมใหแฮกเกอรกำหนดอเมลสำรองใหมและแนนอนยอมเปนทอยอเมลทแฮกเกอรสรางขนมาเองดงนนแฮกเกอรจงสามารถเขาสบญชผใชAmazonของแมทโฮนานนำเลข4ตวสดทายของบตรเครดต(ทแทจรง)มาประกอบกบทอยสำหรบเรยกเกบเงนนำไปอางกบAppleเพอกคนบญชของme.comและในme.comแฮกเกอรกไดURLพเศษทใชกคนบญชผใชงานของGMailและในขนตอนสดทายเมอแฮกเกอรเขาควบคมบญชผใชงานGMailของแมทไดกคอการกคนบญช ผใชงานทวตเตอรซงใชทอยอเมลของแมทเปนอเมลสำรองและเขาควบคมบญชผใชงานทวตเตอรของGizmodoไดในทสด
เพอใหเขาใจงายขนอกขอใหดทรปท1และ2ซงเปนการแสดงขนตอนทงหมดทกลาวมา
รปท1ลำดบขนตอนทแฮกเกอรใชในการเขาถงบญชผใชงานในAmazon
CYBER THREATS 2013 107
รปท2ลำดบขนตอนทแฮกเกอรใชในการเขาถงบญชผใชงานในทวตเตอร ผานGMailและme.com
นอกจากแฮกเกอรจะขโมยบญชผใชงานทวตเตอรของแมทโฮนานไปไดในทสดแลวแฮกเกอรยงไดลบบญชผใชงานGMailและสงลบขอมลบนเครองแมคบคไอโฟนและไอแพดของแมทโดยใชคำสงRemoteWipeของiCloud[2]ทำใหแมทไมสามารถกลบเขาไปกคนบญชผใชงานทงหมดได นอกจากแมทจะสญเสยบญชผใชงานทงหมดไปแลวขอมลเชนรปถายครอบครวและอเมลทงหมดกถกแฮกเกอรทำลายไปดวยเทากบวาเปนหายนะครงยงใหญสำหรบแมทโฮนานทงกบตวตนในโลกดจทลและตวตนในโลกจรงของเขาทเดยว
บทความท วไป108
อาจจะกลาวไดวาถงแมแมทโฮนานจะระมดระวงตวเปนอยางดแลวแตชองโหวทไมนาเกดขนใน ขนตอนการขอกคนบญชผใชในกรณของAmazonอาจจะเกดจากไมมการตรวจสอบความผดปกตของการเพมเลขบตรเครดตเขามาใหมดวยชองทางทไมปกต(ใชเพยงทอยสำหรบเรยกเกบเงนเทานน)และยงมการนำเลขบตรนไปใชอางความเปนเจาของบญชผใชในระยะเวลาไมนานหลงจากนนสวนAppleนนกตองการเพยงทอยสำหรบเรยกเกบเงนและเลข4หลกสดทายของบตรเครดตแตทงนอาจตองใหเครดตกบผลงานSocialEngineeringของแฮกเกอรทหากแฮกเกอรไมมความสามารถในดานนดพอเจาหนาทของAmazonและAppleอาจจะรสกไดถงความไมชอบมาพากลและสามารถหยดยงไมใหเกดความเสยหายขนอยางเชนในกรณนได
จากตวอยางของแมทโฮนานเราอาจปองกนตวไมใหตกเปนเหยอของแฮกเกอรในลกษณะนไดโดยไมเชอมตอบญชผใชเขาดวยกนในลกษณะการเปนบญชสำรองหลายๆทอดเพราะในกรณทมบญชใดบญชหนงถกเจาะไดกจะสงผลใหบญชทเหลอถกเจาะตามไปดวยเปนลกโซรวมถงการใชชอผใชท แตกตางกนในแตละบญชผใชกอาจชวยไดในบางกรณแตอยางไรกตามปญหาใหญทเราไมอาจควบคมไดเกดทผใหบรการ(ในทนคอAmazonและApple)ซงมนโยบายทแตกตางกนไปในการใหบรการลกคาในกรณฉกเฉน[3]เชนลมรหสผานอยางเชนทแฮกเกอรใชในครงนแตขอมลทงอเมลและ ภาพถายของแมททถกแฮกเกอรทำลายทงไปนนหากมการสำรองขอมลเอาไวในอปกรณสำรองสวนบคคลเชนฮารดดสกแบบพกพาหรอเขยนลงในแผนดวดหรอซดอยางสม�าเสมอกอาจชวยลดความเสยหายลงไดแทนทจะใหความเชอมนบนบรการออนไลนทงหมดอยางทหลายๆคนเปนอยในขณะนโดยอาจลมไปวาบญชผใชงานในโลกดจทลทงหลายนนอาจถกเจาะไดโดยแฮกเกอรไมวนใด กวนหนง
อางอง
1. http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/
2.http://www.emptyage.com/post/28679875595/yes-i-was-hacked-hard
3.http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/2/
CYBER THREATS 2013 109
บทความท วไป110
FACEBOOKCOMMUNITYSTANDARDSกบการโพสตบนเฟชบคผเขยน : ณฐโชตดสตานนทวนทเผยแพร : 6มถนายน2556ปรบปรงลาสด : 6มถนายน2556
ในปจจบนเราคงปฏเสธไมไดวาเฟชบคกลายเปนSocialMediaอนดบหนงทผใชอนเทอรเนตสวนใหญนยมใชกนไมวาจะเปนการโพสตขอความหรอการแชรรปภาพเพอแสดงความเปนตวเองบนสงคมออนไลนและแมแตในสงคมออนไลนกมปญหาในการอยรวมกนเชนในองกฤษมการรงแกใน หมเดกโดยโพสตดาออนไลนผานเฟชบคจนทำใหเดกฆาตวตาย[1]นอกจากนการแสดงความคดบางอยางอาจจะยอมรบไดจากคนกลมหนงเชนมองวาเปนเรองของเสรภาพแตอาจจะไมไดรบการยอมรบจากคนอกกลมเชนมองวาเปนการละเมดสทธของอกคนหรอสรางผลกระทบตอสงคมเฟชบคจงไดสรางFacebookCommunityStandardsเปนมาตรฐานหรอขอตกลงของการแสดงความคดเหนไมวาจะเปนการโพสตหรอการแชรในเฟชบคเพอเปนแนวทางวานคอสงทยอมรบไดและนคอสงทยอมรบไมไดถอเปนเรองทเราควรรและคำนงถงกอนทจะโพสตขอความหรอแชรสอตางๆFacebookCommunityStandardsสามารถแบงไดตามหวขอดงน
รปท1ตวอยางfacebookcommunitystandardsบนเฟชบค
CYBER THREATS 2013 111
ความรนแรงและการขมข(ViolenceandThreat)
หามโพสตขอความทเปนการขมขวาจะทำรายหรอชกชวนใหทำรายกอการรายตอบคคลโดยตรงหรอตอสาธารณชนเชนโพสตขอความวาจะวางระเบดสวนสาธารณะรวมถงการสรางบญชหรอสรางฟนเพจเปนผกอการรายหรอองคกรกอการราย
การทำรายรางกายตวเอง(Self-harm)
หามไมใหชกชวนฆาตวตายหรอการกระทำใดๆกตามทเปนการทำรายรางกายตวเองรวมถงการชกชวนใหใชยาเสพตด
การหมนประมาท(BullyingandHarassment)
หามไมใหโพสตในบญชคนอนหรอสรางเพจทเปนการกลาวใหรายหรอหมนประมาท
เฮทสปช(HateSpeech)
เฮทสปชคอการพดซงมเจตนาทางเกลยดชงและกอใหเกดการเกลยดชงอกฝายหนงโดยเปาหมายนนจะเปนในลกษณะวงกวางไมใชตวบคคลเชนศาสนาสผวเชอชาตถนกำเนดเพศความพการซงการแสดงความคดเหนในลกษณะนเปนสงทยอมรบไมไดในเฟชบค
สอรปภาพและวดโอ(GraphicContent)
สอบางอยางทเปนสงทรบไดสำหรบคนกลมหนงแตเราจำเปนตองคำนงถงความหลากหลายดานวฒนธรรมและเชอชาตอยางไรกตามเฟชบคหามไมใหโพสตสอทมลกษณะลามกอนาจาร
การแสดงยนยนตวตนและความเปนสวนตว(IdentityandPrivacy)
เฟชบคมนโยบายใหบคคลตองใชชอจรงในการสมครบญชและหามบคคลไมใหเปดเผยขอมลสวนบคคลอนโดยทไมไดรบการยอมรบจากเจาของรวมถงการสรางชอบญชปลอมแสดงตวเปนคนอนการแสดงตวหรอสรางแฟนเพจเปนองคกรบรษทบคคลโดยไมไดรบการอนญาต
ทรพยสนทางปญญา(Intellectualproperty)
หามแชรสอทไดรบความคมครองลขสทธหรอเครองหมายทางการคา
ฟชชงและสแปม(PhishingandSpam)
การหลอกลวงโดยใชอเมลหรอหนาเวบไซตปลอมของเฟชบคเพอใหไดมาซงขอมล(Phishing)เชนชอผใชรหสผานและการสงขอความถงผทไมตองการรบกอใหเกดความรำคาญ(Spam)กเปนการละเมดขอตกลงเชนกน
ความมนคงปลอดภย(Security)
นอกจากเทคนคฟชชงและสแปมแลวกยงหามไมใหใชเทคนคอนๆเพอขโมยขอมลลบสวนบคคลรวมถงการขโมยบญชเฟชบคทางเฟชบคไดใหความสำคญในเรองของsecurityโดยมการเปดใหผใชสามารถloginแบบยนยน2ขนตอน(2stepverification)เหมอนกบgoogle
บทความท วไป112
ถงแมเฟชบคสรางFacebookCommunityStandardsกตามแตกเปนเพยงแนวทาง โดยไมไดระบรายละเอยดอยางชดเจนทำใหเกดขอสงสยเชนรปลกษณะอยางไรถงเรยกวาเปน สอลามกอนาจารหรอการโพสตขอความในบางลกษณะทอาจมองวาเปนhatespeechหรอเปนมกตลกกไดซงขนอยกบการตความของแตละบคคลดงนนผใชควรใชวจารณญาณกอนโพสตโดยคดถงผลกระทบทจะเกดขนดวยอยางไรกตามหากผอานพบเหนการละเมดFacebookCommunityStandardsเชนมการโพสตขอความประกาศการกอการรายหมนสถาบนเบองสงหรอมคนสรางบญชแอบอางเปนผอานผอานกสามารถทจะแจงทมงานFacebookเพอทจะนำไปดำเนนการซงผเขยนจะอธบายวธการแจงในตอนตอไป
อางอง
1. http://www.bbc.co.uk/news/uk-england-birmingham-14121631
2.https://www.facebook.com/communitystandards
CYBER THREATS 2013 113
บทความท วไป114
เปดใช2-STEPAUTHENTICATIONในGOOGLEแลวมปญหาใชแอปบนมอถอทำไงด!!ผเขยน : ณฐโชตดสตานนทวนทเผยแพร : 6มถนายน2556ปรบปรงลาสด : 6มถนายน2556
สบเนองจากบทความเรอง2-StepAuthenticationททางไทยเซรตไดเผยแพรในเวบไซต ผอานอาจจะสงสยวาแอปพลเคชนบางตวทไมรองรบ2-StepAuthenticationเชนGmailบนโทรศพทมอถอหรอOutlookบนWindowsจะสามารถเขาถงขอมลในบญชกเกลไดอยางไรในเมอแอปพลเคชนเหลานไมไดสนบสนนการยนยนตวบคคลในลกษณะนผเขยนจงขอแนะนำวธการทจะทำใหแอปพลเคชนเหลานสามารถทำงานรวมกบบญชผใชงานทเปดการใชงาน2-StepAuthenticationไวไดโดยเจาของบญชสามารถสรางรหสผานพเศษทเรยกวาApplication-specificpasswordเพอใชสำหรบแอปพลเคชนเหลานโดยเฉพาะทำใหสามารถเขาถงเขาขอมลในบญชกเกลไดเปนรายกรณ[1] [2]
วธการสรางApplication-specificpassword
1.ผใชตองเปดใช2-StepAuthenticationโดยวธเปดใชสามารถศกษาไดทบทความทอางถงขางตน[1]
2.เขาhttps://www.google.com/settings/securityและคลกทSettingsตามรปท1
CYBER THREATS 2013 115
รปท1คลกทSettings
3.คลกทManageapplication-specificpasswordsตามรปท2
รปท2คลกทManageapplication-specificpasswords
4.หลงจากคลกผใชจะไปยงหนาloginเมอloginเพอยนยนตวตนเสรจเรยบรอยผใชจะมายงหนาสำหรบสรางApplication-specificpasswordตามรปท3ใหผใชใสชอเพอใหจำไดวารหสผานทจะสรางนนใชกบแอปพลเคชนอะไรเชน“MyGmailonAndroid”จากนนใหคลกGeneratepasswordเพอสรางรหสผาน
บทความท วไป116
รปท3ใสชอเพอชวยจำรหสผานและคลกGeneratepassword
5.ผใชสามารถนำรหสผานทสรางขนแบบสมซงตามรปท4คอ“yanwjmyzqpqpwtdv”(ไมมspace)ไปใชกบแอปพลเคชนทตองการโดยใสตรงหนาloginเหมอนรหสผานทวไปและเนองจากปกตแลวแอปพลเคชนในโทรศพทมอถอจะจำรหสผานไวดงนนผใชไมจำเปนตองจำรหสผานนเพอไวใชงานอกและเมอคลกทปมDoneแลวจะไมมทางเปดดรหสผานนไดอกซงถอวาเปนมาตรการความปลอดภยของGoogle
รปท4แสดงรหสผานทถกสราง
ถงแมวารหสผานนจะสามารถใชงานไดมากกวาหนงแอปพลเคชนผเขยนขอแนะนำวาควรสรางรหสผานขนมาแยกกนเพราะในกรณทสงสยวารหสผานของแอปพลเคชนใดทอาจรวไหลหรอถกใช
CYBER THREATS 2013 117
งานอยางมชอบผใชสามารถทำการเพกถอนรหสผานเปนรายตวไดโดยคลกทRevokeตามรปท4
และถงแมวาApplication-specificpasswordจะเพมความสะดวกสบายใหกบผใช แตกเปนการเพมชองทางในการเจาะระบบสำหรบแฮกเกอรเพราะผทไดApplication-specificpasswordมสทธเขาถงขอมลทกอยางตามทระบไวในรปท4เทยบเทากบการเขาสระบบผาน2-StepAuthenticationนอกจากนเมอวนท21กมภาพนธ2556นกวจยคนพบชองโหวทำใหแฮกเกอรทมApplicaton-specificpasswordสามารถทำpasswordrecoveryหรอปดการใช2-StepAuthenticationได[3]ซงปจจบนนชองโหวไดถกปดไปแลว
สรป
การใช2-StepAuthenticationถอเปนการเพมความมนคงปลอดภยใหกบบญชขนอกระดบและการใชApplication-specificpasswordกชวยกำจดปญหาเรองแอปพลเคชนทไมรองรบ2-StepAuthenticationไดอยางไรกตามผใชไมควรใชงานApplication-specificpasswordนอกเหนอจากการใชกบแอปพลเคชนทจำเปนตองใชงานเทานนและควรเปนแอปพลเคชนทมาจากแหลงนาเชอถอเชนแอปพลเคชนทดาวนโหลดมาจากOfficialsiteหรอเปนแอปพลเคชนบนมอถอทดาวนโหลดจากGoogleplayหรอAppStoreเพราะอยาลมวาApplication-specificpasswordนนหากเกดการรวไหลผไมประสงคดสามารถเขาถงบญช ผใชงานของเราไดโดยไมตองผาน2-StepAuthenticationไดถงแมวาจะมขอจำกดบางประการกตาม
อางอง
1. http://support.google.com/a/bin/answer.py?hl=en&answer=1032419
2.http://support.google.com/accounts/bin/answer.py?hl=en&answer=185833
3.http://www.computerworld.com/s/article/9237148/Application_specific_passwords_weaken_Google_s_two_factor_authentication_researchers_say
4.https://blog.duosecurity.com/2013/02/bypassing-googles-two-factor-authentication/
บทความท วไป118
SECUREDELETE:ลบไฟลอยางไรใหปลอดภยจากการกคนผเขยน : เจษฎาชางสสงขวนทเผยแพร : 19กรกฎาคม2556ปรบปรงลาสด : 19กรกฎาคม2556
ยคสมยทเทคโนโลยกาวเขามามบทบาทตอการใชชวตประจำวนบนโลกออนไลนผคนสวนมากใชงานคอมพวเตอรเพอการสอสารแลกเปลยนขอมลรวมถงเพอการทำธรกรรมออนไลนขอมลสำคญมการสรางและเกบอยบนเครองคอมพวเตอรไมวาจะเปนชอทอยหมายเลขโทรศพทรปถายหรอขอมลสวนบคคลอนๆทอาจสรางความเสยหายกบเจาของขอมลไดหากมการรวไหลออกไป
สาเหตของการรวไหลของขอมลสวนบคคลเหลานทเปนทรกนดอยางหนงกคอการนำเครองคอมพวเตอรไปซอมทรานอยางทจะเหนไดจากขอมลตามรปท1เปนผลการคนหาดวยคยเวรด “ภาพหลดจากรานซอมคอม”โดยGoogleซงจะพบคลปหรอรปภาพทอางวาหลดมาจากรานทรบซอมคอมพวเตอรเปนจำนวนมากกวา100รายการถงแมวาบางสวนอาจเปนการแอบอางเทานนแตถาลองพจารณาถงเหตผลกคงไมมใครปฏเสธวาขอมลเหลานสามารถถกขโมยออกมาไดจากเครองคอมพวเตอรไดไมยากและเชอวาสวนหนงมาจากทผใชงานไมไดสนใจทจะลบขอมลสำคญเหลานน ออกกอนซงในกรณนคงตองโทษเจาของขอมลสวนหนงทไมเอาใจใสในการปองกนขอมลของตวเองอยางเพยงพอ
CYBER THREATS 2013 119
รปท1แสดงผลการคนหาดวยคยเวรด“ภาพหลดจากรานซอมคอม”โดยGoogle
แตผใชคอมพวเตอรจำนวนหนงททราบถงความสำคญของการปกปองขอมลสวนตวถงขนาดลบขอมลออกกอนทจะสงไปใหรานซอมแลวแตขอมลกยงรวไหลออกไปไดจะมคำอธบายอยางไร?ในกรณนอาจจะไมใชเรองใหมหรอแปลกหสำหรบคนไอทมากนกเนองจากเปนทรกนดวามโปรแกรมหลายตวทมความสามารถในการกคนไฟลทถกลบไปแลวใหกลบมาในสภาพเดมไดอยางไมยากเยนดงนนบทความในครงนจะกลาวถงแนวทางการปองกนขอมลสำคญจากการถกกคนโดยโปรแกรมดงกลาวพรอมตวอยางเพอใหผอานสามารถนำไปปรบใชไดดวยตนเอง
ลบขอมลแลวกไดจรงหรอ
ในความเขาใจของผใชงานคอมพวเตอรโดยทวไปแลวหากตองการลบขอมลโดยทไมใหสามารถกคนไดอกเชนในระบบปฏบตการวนโดวสจะใชคำสงDeleteเพอลบขอมลทงแตในความเปนจรงแลวขอมลดงกลาวไมไดถกลบออกจากฮารดดสกจรงยงมกระบวนการทสามารถกคนขอมลสวนนนขนมาใชงานไดอยซงกอนทเขาใจวธการกคนขอมลนนผเขยนจะขออธบายพนฐานของการจดเกบขอมลเบองตนเพอความเขาใจทชดเจน
ในการจดเกบขอมลบนระบบปฏบตการสวนมากมการเกบขอมลเบองตนอย2สวนไดแกIndexหรอสวนทใชชตำแหนงของขอมลวาเกบอยทตำแหนงใดในพนทจดเกบขอมล(เชนฮารดดสก)และมขอมลอนๆทเรยกวาMetadataเชนชอไฟลวนทเปลยนแปลงขอมลเปนตนในสวนถดมาคอตวขอมลจรงๆคอเนอไฟลทเกบอยในฮารดดสกซงเมอผใชงานลบไฟลดวยคำสงDeleteระบบปฏบตการจะลบเฉพาะIndexทใชชตำแหนงของขอมลทงเทานนโดยเนอไฟลจรงๆจะไมถกแตะตอง
บทความท วไป120
แตบรเวณทเนอไฟลอยนนจะถกมองเหมอนเปนพนทวางซงหากระบบปฏบตการยงไมเขยนขอมลอะไรทบลงไปขอมลเดมทงหมดกมโอกาสถกกคนได[1] [2]
ลบขอมลอยางไรใหกคนไมได
จะเหนไดวาถงแมเราจะลบขอมลแลวแตหากเนอไฟลยงไมถกเขยนทบกยงไมถอวาขอมลนนหายไปไหนวธการทจะทำใหขอมลนนไมสามารถนำออกมาใชไดอกสามารถทำไดดวยการเขยนขอมลอนๆทบลงไปเชนเทคนคทเรยกวาZerofillจะเปนการเขยนตวเลข0ทบลงไปบนขอมลทตองการลบหรอการRandomfillจะเปนการเขยนทบดวยขอมลทเปนคาสมและสำหรบผทตองการความแนนอนในการลบกสามารถเขยนขอมลทบลงไปหลายๆรอบไดเพอลดโอกาสสำเรจในการกคนขอมลใหไดมากทสด[3] [4] [5]
ตวอยางเครองมอและวธการใชสำหรบลบไฟล
ในหวขอนจะเปนการกลาวถงการยกตวอยางเครองมอทใชในการลบไฟลอยางมนคงปลอดภยซงจะขอแบงเปนเครองมอทใชกบระบบปฏบตการวนโดวสและลนกซดงน
ตวอยางเครองมอทใชในระบบปฏบตการวนโดวส
เครองมอทสามารถลบขอมลไดอยางมนคงปลอดภยบนวนโดวสนนมหลายตวแตในทนจะขอยกตวอยางโปรแกรมทชอวาSDeleteซงเปนซอฟตแวรทใชงานไดฟรและเปนของMicrosoftเองสามารถดาวนโหลดไดจาก(http://technet.microsoft.com/en-us/sysinternals/bb897443)และเมอดาวนโหลดเสรจแลวสามารถเรยกใชไฟลsdelete.exeไดโดยตรงซงมตวอยางการใชงานดงน[6]
CYBER THREATS 2013 121
1.คำสง“sdelete.exe-h”จะแสดงOptionตางๆทซอฟตแวรรองรบการใชงานดงรปท2
รปท2แสดงOptionตางๆของsdelete
2.คำสง“sdelete.exe-p10data.txt”คอการลบไฟลdata.txtและเขยนทบตำแหนงของขอมลดงกลาวซ�ากน10ครงดงรปท3
รปท3แสดงตวอยางการลบไฟลดวยsdelete
3.คำสง“sdelete.exe-z”คอการเขยนขอมลทบในตำแหนงทวางทงหมดในไดรฟซงการใชคำสงนจะทำใหขอมลทถกลบดวยวธธรรมดากอนหนานหายไปอยางถาวรเชนเดยวกบการใชคำสงsdeleteกบไฟลเหลานนโดยตรงตวอยางการใชงานดงรปท4
รปท4แสดงตวอยางการเขยนขอมลทบตำแหนงทวาง
บทความท วไป122
ตวอยางเครองมอทใชในระบบปฏบตการลนกซ
สำหรบระบบปฏบตการลนกซนนผเขยนขอยกตวอยาง2เครองมอไดแกshred[7]ซงใชในการลบไฟลและsfill[8] [9]ใชในการเขยนขอมลทบตำแหนงทวางอยดงแสดงในตวอยางตอไปน
1.คำสง“shred-n10-z-vdata.txt”คอการลบไฟลdata.txtโดยจะเขยนคาทบขอมลทตองการลบจำนวน10ครง(-n10)และเขยนทบในรปแบบZerofill(-z)ครงสดทายดงรปท5
รปท5แสดงตวอยางการลบไฟลดวยคำสงshred
2.คำสง“sfill-v/”คอการเขยนขอมลทบในตำแหนงทวางทงหมดในRootDirectoryซงการใชคำสงนมผลเชนเดยวกบโปรแกรมsfillของวนโดวสทไดกลาวไปแลวแสดงตวอยางดงรปท6
รปท6แสดงตวอยางการเขยนขอมลทบตำแหนงทวางดวยซอฟตแวรsfill
CYBER THREATS 2013 123
สรป
การเกบขอมลภายในเครองควรคำนงถงการรกษาความลบของขอมลทสำคญซงรวมถงขอมลสำคญทเราไมตองการใชงานแลวควรมวธการในการปองกนไมใหขอมลเหลานนรวไหลซงในบทความนไดแสดงใหเหนถงผลกระทบทเกดขนหากขอมลรวไหลและวธลบขอมลทไมตองการใชงานแลวไมใหสามารถกคนได
อางอง
1. http://www.howtogeek.com/72130/learn-how-to-securely-delete-files-in-windows/
2.https://ssd.eff.org/tech/deletion
3.http://techthrob.com/2009/03/02/howto-delete-files-permanently-and-securely-in-linux/
4.http://techthrob.com/2010/03/25/howto-delete-files-permanently-and-securely-in-windows/
5.http://wiki.answers.com/Q/What_is_zero_filling
6.http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx
7.http://linux.about.com/library/cmd/blcmdl1_shred.htm
8.http://manpages.ubuntu.com/manpages/lucid/man1/sfill.1.html
9.http://www.lylebackenroth.com/blog/2010/09/30/how-to-securely-delete-unused-drive-space-other-system-areas/
บทความท วไป124
IPHONEIPADIPODตดมลแวรภายใน1นาทผเขยน : พรพรหมประภากตตกลวนทเผยแพร : 4สงหาคม2556ปรบปรงลาสด : 4สงหาคม2556
“iPhoneiPadiPodหรอเรยกอกชอวาเปนอปกรณiOSปจจบนพบวาสามารถ ตดมลแวรภายหลงจากเสยบทชารจไฟ
สาธารณะเพยง1นาท”กลมนกวจยจากGeorgiaInstituteofTechnologyไดเผยแพรขอมลงานวจยชนสำคญ
ภายในงานBlackhatทจดขนทลาสเวกสสหรฐเมรกาหรอBlackhatUSA2013ในหวขอ“MACTANS:INJECTINGMALWAREINTOIOSDEVICESVIAMALICIOUSCHARGERS”โดยกลาววาอปกรณทใชงานระบบปฏบตการiOSสามารถถกฝงมลแวรไดอยางงายดายเพยงแคนำอปกรณiOSมาเชอมตอเขากบอปกรณสำหรบชารจไฟทพฒนาขนโดยเฉพาะชอMACTANSChargerโดยกลมนกวจยไดอธบายหลกการทำงานเบองตนของอปกรณทไดพฒนาขนวาเปนการนำBeagleBoard(http://beagleboard.org/)ซงเปนเมนบอรดทแพรหลายในกลมนกพฒนาOpenSourceเนองจากมขนาดเลกและสามารถตดตงระบบปฏบตการLinuxไดทำใหกลมนกวจยนำมาใชงานสำหรบประมวลผลซอรสโคดทพฒนาขนความสามารถของMACTANSCharger คอสงการใหอปกรณiOSทมาเชอมตออยนนประมวลผลซอรสโคดทพฒนาขนและสงใหมการตดตงมลแวรแอปพลเคชนลงในอปกรณiOSไดภายใน1นาทจากกรณดงกลาวกลมนกวจยอางวาไดอาศยเทคนคและชองโหวของระบบปฏบตการiOSทพบและสรางอปกรณขนมาเพอทดสอบสมมตฐานทตงขน(Proofofconcept)ซงในเบองตนบทความนจะอธบายกระบวนการทำงานดานความปลอดภยของระบบปฏบตการiOSใหทราบกอนจากนนจงเขาถงสวนทอธบายการทำงานของอปกรณทเกยวของและการตดมลแวรตอไป
CYBER THREATS 2013 125
กลไกการปองกนดานความมนคงปลอดภยของระบบปฏบตการiOS
1.การReviewแอปพลเคชนกอนเปดใหผใชงานดาวนโหลดจากAppStore
แอปพลเคชนทจะนำขนAppStoreเพอใหผใชงานเรมดาวนโหลดไดจะตองผานกระบวนการตรวจสอบดานความมนคงปลอดภยจากทมงานของAppStoreกอนทกครงวาแอปพลเคชนมลกษณะการทำงานทเปนอนตรายหรอไมซงจากอดตทผานมาจะเหนไดวามโอกาสนอยมากทจะพบแอปพลเคชนบนAppStoreททำงานในลกษณะเปนมลแวร
2.การตรวจสอบCodeSigingกอนการตดตงหรอการทำงานของแอปพลเคชน
CodeSigningหรอทเขาใจในอกมมหนงวาเปนการตรวจสอบความถกตองของแอปพลเคชนวาเปนแอปพลเคชนทไดรบอนญาตใหตดตงไดโดยAppStoreหรอไมในอปกรณiOSทไมไดมการJailbreakสวนการทำงานของระบบปฏบตการระบบปฎบตการจะทำการตรวจสอบCodeSigningของแอปพลเคชนทจะมการตดตงหรอมการเรยกใชงานหากระบบปฏบตการพบวาแอปพลเคชนไมไดรบการยนยนวามาจากAppStoreกจะทำใหแอปพลเคชนนนทำงานตอไปไมได
3.การทำSandboxปองกนพนทการทำงานและโพรเซสการทำงานของแอปพลเคชน
Sandboxคอความสามารถในการแบงการทำงานออกเปนสวนๆแยกกนทำเพอปองกนการ เขาถงขอมลสำคญของแตละสวนในระบบปฏบตการiOSกมการทำงานลกษณะนซงแยกการทำงานออกเปนสวนเฉพาะหรอทเรยกวาiOSSandboxหมายถงแอปพลเคชนทกตวไมไดแชรพนทรวมกนเพอปองกนการเขาถงขอมลของแอปพลเคชนอนแตกมความยดหยนใหผพฒนาสามารถเลอกทจะแชรขอมลหรอพนทบางสวนกบแอปพลเคชนอนไดและความสามารถของiOSSandboxดงกลาวกทำใหการเขาถงขอมลโพรเซสการทำงานของแอปพลเคชนไมสามารถทำไดเชนกน
อยางไรกตามขอจำกดและกลไกการปองกนทงหมดทระบบปฏบตการiOSมดงทไดกลาวมา ขางตนปจจบนสามารถถกBypassไดอยางสนเชงโดยอาศยเทคนคและชองโหวทจะกลาวถงในอปกรณตนแบบชอMACTANSChargerโดยทอปกรณดงกลาวอาจดเปนเพยงอปกรณสำหรบชารจแบตเตอรของอปกรณiOSธรรมดาแตเมอมการนำอปกรณiOSเสยบเขากบอปกรณดงกลาวแลวกจะทำใหอปกรณiOSถกตดตงมลแวรไดเพยงไมเกน1นาท
คณสมบตของอปกรณตนแบบMACTANSCharger
1.สามารถทำงานไดกบอปกรณiOSทกชนดและทกเวอรชนโดยไมจำเปนวาอปกรณจะตองJailbreakอยหรอไม
2.ทำงานอตโนมตภายหลงจากการPairระหวางอปกรณiOSกบMACTANSสมบรณแลว(จะกลาวถงการPairในลำดบถดไป)
3.ไมมการแสดงผลฝงผใชงานทำใหไมพบความผดปกตบนหนาจอ
4.อปกรณตนแบบมขนาดเพยง8x7ซม.ทำใหงายตอการตดตงแบบหลบซอน
บทความท วไป126
5.ยงไมพบวามแอปพลเคชนอนๆทสามารถทำงานไดเทยบเทา
รปท1แสดงแผงวงจรควบคมภายในของอปกรณMACTANS
ขนตอนการตดมลแวรจากอปกรณตนแบบMACTANSCharger
1.ดงคาUDIDของอปกรณiOSทเชอมตอกบMACTANSChargerออกมา
คาUDIDเปนคา40หลกทนำมาใชระบอปกรณiOSแตละตวซงคาทอยในแตละอปกรณจะตองมคาทตางกน(UniqueID)โดยปกตเมอมการเชอมตอผานสายUSBระบบปฏบตการiOSจะสงคาดงกลาวมายงอปกรณทเชอมตอเพอใชเปนขอมลในการยนยนการเชอมตอกลมนกวจยไดนำเอาขอมลUDIDมาใชประโยชนตอในกระบวนการจดการทจะเกดขนในลำดบตอๆไป
2.PairอปกรณiOSกบMACTANSCharger
การPairคออะไร?
ผใชงานหลายทานอาจยงไมเคยสงเกตวาในอปกรณiOSของตนเองทนำมาเชอมตอกบโปรแกรมชอiTunesนนทำไมถงสามารถเชอมตอและใชงานฟงกชนในการจดการอปกรณiOSไดทนทเมอมการเชอมตอผานสายUSBซงนนคอทมาของคำวาการPairนนเองการPairอปกรณiOSเกดขนระหวางอปกรณiOSและเครองคอมพวเตอรทเชอมตอกบอปกรณiOSอยการPairอปกรณiOSในครงแรกจะสมบรณกตอเมออปกรณiOSตองมการปลดลอกหนาจอแลวซงภายหลงจากการPairครงแรกสมบรณแลวในครงตอไปกไมจำเปนวาอปกรณiOSจะตองมการปลดลอกอกเนองจากมการจดจำการเชอมตอไวแลวทำใหสามารถเขาถงขอมลตางๆในอปกรณiOSไดทนท
CYBER THREATS 2013 127
เกดอะไรขนบางภายหลงจากPairกบอปกรณiOSสำเรจแลว
• อปกรณทเชอมตอกบอปกรณiOSสามารถเขาถงขอมลรายละเอยดจากอปกรณiOSเชนขอมลUDIDขอมลSerialnumber
• อปกรณทเชอมตอกบอปกรณiOSสามารถเลอกตดตงและถอนแอปพลเคชนจากอปกรณiOS
• อปกรณทเชอมตอกบอปกรณiOSสามารถจดการขอมลProvisioningProfilesของอปกรณiOS(จะกลาวถงProvisioningProfilesในลำดบถดไป)
• อปกรณทเชอมตอกบอปกรณiOSสามารถมองเหนขอมลทมการDebuggingของอปกรณiOS
3.ตดตงProvisioningProfilesบนอปกรณiOSใหม
ProvisioningProfilesคออะไร?
โดยปกตแลวProvisioningProfilesนนจะใชกบอปกรณiOSทอนญาตใหมการลงทะเบยนเปนอปกรณสำหรบใชในการพฒนาหมายถงอปกรณiOSใดกตามทตดตงProvisioningProfilesเทากบวาสามารถตดตงแอปพลเคชนทพฒนาขนเองไดทนทมกจะถกนำมาใชงานกบ นกพฒนาแอปพลเคชนเปนสวนใหญ
MACTANSChargerใชประโยชนจากProvisioningProfilesอยางไรและมขนตอนอยางไร?
MACTANSChargerจะสงคาUDIDของอปกรณiOSทเชอมตออยผานเครอขายอนเทอรเนตไปลงทะเบยนกบAppStoreพรอมกบProfileของนกพฒนาแอปพลเคชนบนอปกรณiOSหรอทเรยกวาDeveloperAccount(หมายความวาตองมลงทะเบยนDeveloperAccountดงกลาวไวกอนแลวจงจะนำProfileของอปกรณiOSมาลงทะเบยน)เพอใหนกพฒนาดงกลาวสามารถตดตงแอปพลเคชนทดสอบบนอปกรณiOSเครองนนไดและเมอการลงทะเบยนกบAppStoreสำเรจแลวตอไปกจะเรมการสรางProfileหรอทเรยกวาProvisioningProfilesบนอปกรณiOSเพอใหนกพฒนาดงกลาวมสทธในการตดตงและรนแอปพลเคชนทดสอบบนอปกรณiOSเครองนนไดโดยรปท2เปนตวอยางขอมลจากเวบของAppleDeveloperทแสดงใหเหนวามอปกรณชออะไรและUDIDอะไรบางทลงทะเบยนไวกบDeveloperAccountรายหนงแตอยางไรกตามยงพบขอจำกดของการใชงานในลกษณะนเนองจากการลงทะเบยนกบอปกรณiOSสามารถทำไดเพยง100เครองตอ1DeveloperAccountสงเกตไดจากรปทจะบอกวาเหลอทตดตงไดอก54เครองอยตามรปท2
บทความท วไป128
รปท2แสดงตวอยางขอมลการตดตงProvisioningProfilesบนอปกรณiOSโดยเชคจากDeveloperAccountหนง[1]
รปท3แสดงตวอยางProvisioningProfilesทมการตดตงอยในอปกรณiOSสามารถดไดจาก
เมนGeneral->Profiles[2]
CYBER THREATS 2013 129
รปดานบนเปนหนาแสดงขอมลProvisioningProfilesเมออปกรณiOSดงกลาวมการตดตงProvisioningProfilesแลวจะเหนขอมลดงกลาวในเมนของอปกรณiOSได(เขาไปทเมนGeneral->Profiles)แตสวนใหญมกไมมใครสงเกตเนองจากไมใชนกพฒนาและไมเขาใจความหมายของขอมลในสวนดงกลาว(ในอปกรณiOSทไมไดมการตดตงProvisioningProfilesจะไมพบเมนทชอวาProfiles)
4.ตดตงมลแวรแอปพลเคชน
ภายหลงจากทMACTANSChargerไดตดตงProvisioningProfilesบนอปกรณiOSสำเรจแลวกจะเขาสขนตอนการตดตงแอปพลเคชนมลแวรโดยกลมนกวจยเพมเตมวาแอปพลเคชน ททำงานเปนมลแวรนนไดรบการออกแบบใหทำงานในโหมดซอนตวเพอปองกนไมใหผใชงานสงเกต ความผดปกตไดโดยการซอนการทำงานของแอปพลเคชนและไดทำการแสดงตวอยางของแอปพลเคชนทพฒนาขนในลกษณะคลปวดโอในลกษณะทแสดงใหเหนวาเมอมการเชอมตออปกรณiPhone5 เขากบMACTANSChargerจากนนทำการปลดลอกทiPhone5และเขาใชงานซงจะพบวาสามารถ ใชงานไดตามปกตแตแททจรงแลวมการทำงานเบองหลงอยและไดทำการตดตงมลแวรแอปพลเคชน ลงในiPhone5เรยบรอยภายในชวงเวลาไมถง1นาทโดยกลมนกวจยใชเทคนคทเรยกวาการRepackagingกบแอปพลเคชนFacebookเพอฝงการทำงานทมการเรยกมลแวรแอปพลเคชน มาทำงานอกทและในคลปชวงสดทายแสดงใหเหนวาเมอผใชงานเปดแอปพลเคชนFacebookกจะพบการทำงานในลกษณะอตโนมตเพอโทรออกไปยงปลายทางโดยโทรศพทคลกไปทเมนโทรออกและกดโทรศพทออกไปหาปลายทางโดยอตโนมตทงหมดกลมนกวจยกลาววาการสาธตนเพอใหเหนภาพวามลแวรแอปพลเคชนหรอแอปพลเคชนอนตรายสามารถถกตดตงเขามาในอปกรณiOSและสามารถทำอะไรไดบางแตในความเปนจรงแอปพลเคชนมลแวรทเกดขนคงไมไดทำงานในลกษณะทแสดงใหเหนชดเจนอยางนแนนอน
รปท4แสดงตวอยางการตงคาเพอซอนแอปพลเคชนในไฟลinfo.plist
บทความท วไป130
รปท5กลมนกวจยกำลงตอบคำถามภายหลงจากการบรรยาย จบลงทงานBlackhatUSA2013
การปองกนและการตรวจสอบ
1.จากการสอบถามกลมนกวจยถงการรบรขอมล ดงกลาวของทมพฒนาระบบปฏบตการiOSโดยไดทราบวาทมพฒนาดงกลาวไดรบทราบขอมลนแลวและไดมแผนการ ในอนาคตเกยวกบการปองกนปญหาในลกษณะดงกลาวโดยในระบบปฏบตการiOSเวอรชน7ทจะเกดขนจะมโมดลในการแจงเตอนและยนยนการเชอมตอทอปกรณiOSกอนเพอปองกนการเชอมตอกบอปกรณโดยไมตงใจไดแตอยางไรกตามการเพมโมดลดงกลาวอาจจะยงไมใชทางออกทเดดขาดเนองจากหากผใชงานยงคงใชงานโดยไมใชวจารณญาณกอาจทำใหผลลพธของการโจมตยงคงไดผลเชนเดม
รปท6แสดงตวอยางการแจงเตอนการเชอมตอกบHostทมอยในระบบปฏบตการiOSเวอรชน7 เพอปองกนการเชอมตอโดยไมไดรบอนญาต
CYBER THREATS 2013 131
2.ขอมลทกลมนกวจยอธบายในเบองตนพบวาการตรวจสอบการตดมลแวรยงมขอจำกดในการตรวจสอบอยบางเนองจากมลแวรแอปพลเคชนสามารถซอนการทำงานไดแตอยางไรกตามการทำงานดงกลาวตองอาศยสวนประกอบสำคญทชอProvisioningProfilesซงปจจบนยงไมพบวาสามารถซอนตวไดฉะนนผใชงานอาจสงเกตจากเมนProfilesไดกอนวามรายการProvisioningProfilesอยบนอปกรณiOSของตนเองหรอไม(ตรวจสอบไดจากเมนGeneralและดเมนชอProfilesหากไมพบแสดงวาไมมการตดตงProvisioningProfiles)เพราะนคอตนทางของความสามารถในการตดตงและการทำงานมลแวรแอปพลเคชนในอปกรณiOSของผใชงานแตอยางไรกตามเปนไปไดวาในอนาคตอาจมผคนพบวธการซอนขอมลProvisioningProfilesบนอปกรณiOSกเปนได
ฉะนนการปองกนทนาจะมประสทธภาพมากทสดกคอการหลกเลยงการเชอมตอกบอปกรณทไมรจกหรอเชอมตอเฉพาะอปกรณทเปนของตนเองเทานนเทานกนาจะชวยใหการใชงานอปกรณiOSของเรามความปลอดภยมากขนไดแลว
อางอง
1. http://ismashphone.com/2012/05/how-to-delete-provisioning-profiles-from-your-iphone-ipad-or-ipod-touch.html
2.http://3qilabs.com/2012/07/how-to-ad-hoc-distribute-your-ios-app-via-a-website-and-ota/
บทความท วไป132
BLACKHATUSA2013ผเขยน : พรพรหมประภากตตกลวนทเผยแพร : 4สงหาคม2556ปรบปรงลาสด : 4สงหาคม2556
งานBlackhatConferenceหรองานชมนมเหลาผเชยวชาญดานComputersecurityและแฮกเกอรทวโลกในปนจดขนทลาสเวกสประเทศสหรฐเมรกาโดยใชชองานวาBlackhatUSA2013และเปนอก1ปทไทยเซรตไดมโอกาสเขารวมงานระดบโลกนงานนจดขนในโรงแรมCEASARPALACEโรงแรมทมชอเสยงและใหญโตมากแหงหนงในลาสเวกสภายในโรงแรมประดบตกแตงในสไตลโรมนผสมกบกลนอายลกเตาและตสลอตทเยอะกวารานอาหารเสยอก(อนนJokingจรงๆแลวไปโรงแรมไหนในลาสเวกสกจะเจอแบบนอยแลว)ทางเขางานเปนทางขนมบนไดเลอน4ตวขางหนาจดใหมโลโกชอBlackhatเดนชดวาทงหมดทอยขางบนนนเปนงานของBlackhatเทานน
รปท1เปดประตเขามาจากโรงแรมกเหนรปปนโรมนเดนเปนสงาพรอมการตกแตงสไตลโรมนทงโรงแรม
รปท2คาสโนทพบอยในทกโรงแรมกนบรเวณชนลางเปนสวนใหญเลยกวาไดนกทองเทยวเรมเขามาเลนกเหนจะเปน
ชวงสายๆแลว
CYBER THREATS 2013 133
รปท4ผสนบสนนและ จดเตรยมWirelessภายในงานคอXirrusมปายอธบาย
ครบแบบมออาชพ
รปท5มการประกาศCodeofConductของงานสวนใหญเปนเรองทไมรนแรงอะไรทำเพอตองการใหอยรวมกนอยางมกฎระเบยบเชนใหสบบหรในททจดเตรยมไวใหโดยเฉพาะ
รปท3ทางขนสวนจดงานของBlackhatมปายงานอยซายขวา
บทความท วไป134
ในตวตกประชมม2สวนแบงเปน3ชนหลกๆรปแบบของการจดงานแบงเปน4โซนคอโซนจดอบรม(Training)โซนการบรรยาย(Briefing)โซนออกบท(SponsorHall)โซนหนงสอ(BookStore)และสดทายคอโซนรานคาของBlackhat(BlackhatStore)ระยะเวลาในการ จดงานทงหมด6วนคอวนท27กรกฎาคม2556ถง1สงหาคม2556
ไฮไลทของงานนาจะอยในเซสชนบรรยายซงจดขนในวนท27กรกฎาคม2556ถง1สงหาคม2556และครอบคลมจำนวนผเขารวมรวมถงพนททใชในการจดงานมากทสดและสาเหตททำใหเซสชนบรรยายไดรบความสนใจมากเพราะหลายเซสชนเปนการเปดเผยขอมลการวจยแบบลง รายละเอยดในทนเปนทแรก
ในเซสชนบรรยายทถอวาฟงแลวองกนไปเปนทงหองประชมคอเซสชนบรรยายหวขอ“MACTANS:INJECTINGMALWAREINTOIOSDEVICESVIAMALICIOUSCHARGERS”ทออกมาพดถงผใชงานทใชงานอปกรณทตดตงระบบปฏบตการiOSสามารถถกฝงมลแวรภายใน1นาทถอเปนการเปดเผยครงแรกและเปนขอมลนาสนใจมากจนไทยเซรตตองเขยนบทความใหผอาน ไดรถงเทคโนโลยและภยทมารออยขางหนาแลวไดอยางทนทวงท
เปนทนาเสยดายไมนอยเพราะเซสชนทตองการมาฟงโดยเฉพาะอยางเชนRootingSimCardsกลบกลายเปนมการเปลยนกะทนหนทำใหผเขารวมทไปรอฟงในวนทสองของการจดบรรยายงนงงเนองจากเมอถงชวงเวลาของการบรรยายกลบกลายเปนหวขออนนนแลวเจาหนาทบอกวาตองขอโทษดวยจรงๆมการเปลยนแปลงกะทนหนทำใหเซสชนRootingSimCardsไดบรรยายเสรจไปในวนแรกแลว
อยางไรกตามในเซสชนKEYNOTEทถอเปนพธปกตทในทกวนของเซสชนบรรยายจะม เหลาคนดงมาพดในหองประชมรวมขนาดใหญในปนมความนาสนใจวาBlackhatไดเชญKeithAlexanderในฐานะDirectorofNationalSecurityAgencydirector(NSA)เจาของประเดนรอนเรองการละเมดสทธบนโลกออนไลนจากโครงการForeignIntelligenceSurveillanceAct(FISA)มาพดใหฟงเกยวกบโครงการดงกลาวโดยอางวาไมไดเปนการดกฟงขอมลแตอยางใดเพราะดขอมลเพยงบางสวนเทานนแตแททจรงแลว
โครงการดงกลาวมจดประสงคเพอชวยลดอาชญากรรมระดบประเทศทอาจสรางความรนแรงมามากกวา50ครงแลวตางหากและหากทานใดทมความไมสบายใจกอยากใหเกดการพดคยกนบนโตะมากกวาทจะเรยกรองทางโลกออนไลนเชนนทำเอาผฟงในหองบางคนถงกบตะโกนเปนคำพดไมนา ชวนฟงวาBu..Shi..กนหลายรอบเลยทเดยว
CYBER THREATS 2013 135
รปท6แผนทของงานแสดงใหเหนถงตวตกประชมทแบงเปน2สวนโดยสวนหนงใชสำหรบจดประชมและอบรมอกสวนสำหรบจดเซสชนบรรยายในงาน ครอบคลมบรเวณกวางถง2ชน
รปท8ปายในงานบอกถงหองสำหรบลงทะเบยนซงภายในหองลงทะเบยนจดแบงเปนแถวพรอมเครองคอมพวเตอรสำหรบลงทะเบยนและซมสำหรบรบBadgeหรอปายหอยคอ ทระบชอผเขารวม(สามารถเลอกไดวาจะใหใสชอหนวยงานหรอไมซงโดยทวไปจะไมใสกน)
รปท7ตารางการเวลาบรรยาย แตละหองแสดงใหเหนทง2วน
บทความท วไป136
รปท9บรรยากาศตอนKeithAlexanderกำลงพดถงTimelineของการกออาชญากรรมทวโลกในอดตเพอจะวกเขามาบอกวาโครงการFISAชวยลดการกออาชญากรรมไดเปนจำนวนมาก
รปท10บรรยายกาศ ภายหลงเซสชนKEYNOTEจบทกคนกรกนออกจาก
หองประชมรวม
รปท11บรรยากาศเวลาแตละเซสชนบรรยายจบไมตางกบตอนทจบเซสชนKEYNOTE
CYBER THREATS 2013 137
จากทไดกลาวไปในตอนตนสวนอนๆภายในงานกดนาสนใจไมแพกนโซนหนงสอมหนงสอใหเลอกหลากหลายราคาสนนอยทประมาณเลมละ60USDขนไปมทงทเปนหนงสอในแนวการทำPenTestการAnalysisและForensicsตางๆเดนดทงรานแลวถอวาครบทกหมวดหมในเชงComputerSecurityเลยทเดยวรวมถงในงานยงมชวงเวลาทเชญนกเขยนหนงสอตางๆมาแจก ลายเซนใหดวยแตเนองจากเวลาดงกลาวเปนเวลาทกำลงเดนวนวายกนเขาหองนออกหองนนเพอฟงบรรยายจงไมไดเกบภาพมาฝากกน
รปท12โซนBookStore
รปท13โซนBookStoreมหนงสอทกแนวทเกยวกบComputerSecurityจรงๆ
บทความท วไป138
เนองจากการไปถงลาสเวกสกอน1วนจงทำใหมโอกาสไปSurveyดรอบๆทงานไดกอนซงโซนรานคาเปดตงแตวนนนเชนกนภายในรานแมจะไมไดมของมากแตดแลวของแตละชนนาสนใจไมนอยมทงFlashdrive16GBปากกาStylusTagหอยกระเปาโดยของทกอยางจะมชอBlackhat ตดอยและทมใหเลอกหลากหลายทสดกหนไมพนเสอยดและแจคเกตมใหเลอกประมาณ10แบบ มหลายขนาดใหเลอกตงแตSMLXLโดยสงทแปลกใจคอวนกอนงานเปด(30กรกฎาคม2556)กบวนทเปดงานเซสชนบรรยายวนแรก(31กรกฎาคม2556)ของในรานไมวาจะเปนเสอยดแจคเกตกระเปาทกอยางขายไปหมดเรวมากราวกบวาแจกฟร
รปท14BlackhatStore รานไมใหญแตขางในของนาสนใจเพยบ
รปท15ขายตกตาFlashdriveปากกาแกวประทบตรา
Blackhatทกชนสนนราคาตงแต5USDไปจนถง40USD
CYBER THREATS 2013 139
โซนออกบทภายในงานหรอทเรยกวาSponsorHallมความใหญโตไมแพกนถงแมจะออกบทแค2วนแตกนำผลตภณฑและพนกงานมาคอยอธบายและดแลผเขาฟงอยางเปนกนเองบททมคนสนใจมากกตงแตRSAMicrosoftSplunkFireeyeหลายบททกคนรจกดอยแลวเพราะ เปนเจาของผลตภณฑทมผสนใจและใชงานอยางแพรหลายโดยทเหนวานาสนใจและกำลงอยในเทรนดกเหนจะไปอยทการออกมาประกาศของMicrosoftในการเปดใหเหลาบรรดาแฮกเกอรไดทดสอบฝมอในการเจาะชองโหวของระบบปฏบตการวนโดส8.1โดยมรายละเอยดของขอมลชองโหวทเคยรายงานภายใตชอโครงการ“Bugbountyrewardprogram”มาใหเปนแนวทางในการเจาะครงน ซงรางวลของผสามารถเจาะชองโหวนนๆไดจะไดเปนโนตบกThinkpadX1จากทางMicrosoftทนทนอกจากนนสวนใหญกจะเปนการออกบทเพออธบายสนคาและใหของรางวลเชนเสอยดปากกาแวนตาเปนตนแตมเงอนไขวาอยางไรกตามตองใหสแกนBadgeหรอปายหอยคอกอน ซงโดยปกตกเปนทรกนวาทางบทตางๆกจะเกบเปนฐานขอมลไวใชในการประชาสมพนธสนคาตอไป
รปท16SponsorHallทางเขามทางเดยวแตเปดทงหมด3ประตคนไมมBadgeไมมสทธเขาเพราะมเจาหนาทอยตลอดเวลา
รปท17SponsorHallจะเปดเปนเวลา2วนและปดในชวง19.00น.ของทกวน
บทความท วไป140
รปท19MicrosoftทเอาSurfaceมาใหลองกนถง
ในงานเปนอกหนงบททมคนเยยมชมไมขาดสาย
รปท18ภายในมการออกบทจากบรษทชอดงนบไดมากกวา50บรษทใครเขาไปฟงไปคยไปถามกจะไดรบของแจกของกลบมาทกคนเชนปากกาถงผาเสอยดเปนตน
CYBER THREATS 2013 141
รปท20สดทายกอนจะออกจากงานตรงทางลงมปายบอกถงการจดงานBlackhatทจะเกดขนในป2014หรอBlackhatUSA2014ทMandalaybay
บทความท วไป142
ATMSKIMMERและขอควรระวงในการใชงานตATMผเขยน : ทมไทยเซรตวนทเผยแพร : 7พฤศจกายน2556ปรบปรงลาสด : 25พฤศจกายน2556
Skimmerคออะไร
โดยปกตทวไปSkimmerคออปกรณทใชอานขอมลจากบตรอเลกทรอนกสตางๆไมวาจะเปนสมารตการดบตรเครดตหรอบตรATMแตมผไมหวงดนำอปกรณทมความสามารถดงกลาวนมาใชในการขโมยขอมลจากผใชบรการตATMการกระทำแบบนเรยกวาATMSkimming
การทำATMSkimmingจะมองคประกอบหลกๆอย2อยางคอดกขอมลบตรATMและดกรหสบตรโดยอาจจะใชวธการทำปมกดปลอมและเครองอานบตรปลอมไปประกบทบกบอปกรณของจรงบนตวเครอง
เครองอานบตรปลอมจะอานขอมลจากแถบแมเหลกบนตวบตรแลวคดลอกขอมลลงในชปหนวยความจำอปกรณดงกลาวนผไมหวงดจะทำใหมขนาดเลกและใกลเคยงกบเครองอานบตรจรงของตATMเพอจะไดเอาไปประกบกนไดอยางแนบเนยนโดยอาจจะทำเปนฝาพลาสตกไปครอบทบบนเครองอานบตรของจรงอกทเนองจากตองการซอนอปกรณดกขอมลทอยขางในเครองอานบตรปลอมททำจงจะมลกษณะทบแสง
ตATMสมยใหมสวนใหญจะมไฟกะพรบทเครองอานบตรเพอใหเปนจดสงเกตเนองจากSkimmerมกจะเปนอปกรณทบแสงทำใหสงเกตไดงายวาไมมไฟกะพรบแตอยางไรกตามพบวาSkimmerรนใหมมการเปลยนแปลงรปแบบจากเดมทเปนอปกรณในลกษณะทบแสงมาเปนอปกรณแบบโปรงแสงทำใหผใชงานเขาใจวาตATMทใชงานอยนนปลอดภยแลวตวอยางการนำเครองอานบตรปลอมมาครอบไวทตเปนดงรปท1และ2
CYBER THREATS 2013 143
รปท1ตวอยางเครองอานบตรของจรงและเครองอานบตรของปลอมทผไมหวงดนำมาครอบไว (ทมา:CommonwealthBank[1])
รปท2ภายในเครองอานบตรของปลอมจะมอปกรณสำหรบอานขอมลบตรATMและคดลอกขอมลลงในชปหนวยความจำ(ทมา:CommonwealthBank[1])
บทความท วไป144
สำหรบวธการดกขอมลรหสบตรATMผไมหวงดจะทำปมกดปลอมมาครอบทบปมกดของจรงโดยภายในปมกดปลอมททำมานนจะมชปหนวยความจำทใชเกบขอมลวาเหยอกดรหสอะไรหรออาจจะเปนเครองสงสญญาณแบบไรสายกไดตวอยางปมกดปลอมเปนดงรปท3
รปท3การทำปมกดปลอมมาครอบทบของจรง(ทมา:Krebsonsecurity[2])
ถาหากไมทำปมกดปลอมมาประกบกอาจใชวธการซอนกลองขนาดเลกไวทมมดานใดดานหนงของตโดยตงองศาการถายใหเหนตอนกดปมตำแหนงทซอนกลองอาจจะอยมมดานบนของตหรอซอนกลองไวในกลองใสโบรชวรทตดไวขางๆตATMซงสงเกตไดยากดงรปท4และ5
CYBER THREATS 2013 145
รปท4ตวอยางการซอนกลองไวในกลองโบรชวรทตดขางตATM (ทมา:CommonwealthBank[3])
รปท5ตวอยางการซอนกลองทตดตงไวขางบนตATM(ทมา:DebtRelief[4])
บทความท วไป146
สวนมากผไมหวงดจะเลอกตATMทไมคอยมคนผานไปผานมาบอยนกเชนตทตงอยตรงซอกหลบของอาคารหรอตทตงอยในบรเวณทมแสงไฟสลวๆเพอทผใชบรการจะไดสงเกตเหนความผดปกตไดยากปกตSkimmerจะไมตดตงไวนานหลายวน(บางทอาจจะนอยกวา24ชวโมง)เพราะอาจมคนสงเกตเหนความผดปกตแลวแจงใหทางธนาคารทราบ
ขอควรระวงในการใชงานตATM
• ตงรหสผานใหคาดเดาไดยากและควรเปลยนรหสผานอยางสม�าเสมอ
• ไมฝากบตรและมอบรหสใหผอนไปทำรายการแทน
• สงเกตความผดปกตของตATMเชนปมกดนนผดปกตหรอชองเสยบบตรมความผดปกต
• ถามปายโฆษณาหรอกลองใสโบรชวรมาแปะอยขางๆตสนนษฐานวาอาจจะมการซอนกลองไวแลวเอาของอยางอนมาบง
• เลอกใชงานตATMทตงอยในบรเวณทมคนเดนผานไปผานมาบอยๆเพราะเปนการยากทจะมคนมาวางอปกรณดกไว
• ใชมอบงขณะทกดรหสบตรATMเพอปองกนกรณทมกลองแอบถายขณะทใชงาน
• เลอกใชเครองATMทใชอยเปนประจำเพอทจะไดคนเคยและสามารถสงเกตไดหากม สงผดปกตเกดขนโดยเฉพาะทบรเวณชองสอดบตร
• ไมใชเครองATMหากพบวามบคคลทไมนาไววางใจอยทบรเวณนนและไมหลงเชอบคคลอนใหไปทำรายการทเครองATM
• อยาไวใจคนแปลกหนาทจะมาใหความชวยเหลอในกรณบตรถกยดหากไมมนใจใหแจงอายดบตรทCallCenterทธนาคารเจาของบตรไดทนท
• หากพบสงผดปกตหรอมขอสงสยใดๆในขณะทำรายการผานเครองATMใหยกเลกการใชงานและตดตอแจงมายงCallCenterตามหมายเลขทตดอยทหนาเครองATMของแตละธนาคารในทนท
CYBER THREATS 2013 147
วธแกไขหากตกเปนเหยอ
• รบตดตอกบธนาคารเจาของบตรเพอทำการอายดบตรโดยเรว
• ตรวจสอบขอมลการใชงานบตรATMอยางสม�าเสมอ
• เปลยนรหสบตรATMเพอปองกนไมใหผไมหวงดนำขอมลไปใช
การโจมตดวยวธอนๆ
ATMSkimmerนนเปนเพยงหนงในวธทผไมหวงดสามารถใชในการโจมตผใชบรการเครองATMไดนอกจากนนยงมวธอนๆอกหลายวธเชน[5]
• ShoulderSurfing-แอบชะเงอมองตอนทคนกอนหนากดรหสบตรATM
• Wiretapping-เปนการลกลอบแกะเปลอกสายโทรศพททเชอมตอระหวางตATMกบทางธนาคารแลวเชอมตอสายทองแดงเขาไปเพอดกรบหรอเปลยนแปลงขอมลทรบสง
• Slottampering-ใชอปกรณบางอยางไปปดทบชองปลอยเงนของเครองATM เมอผใชกดถอนเงนแลวจะไมไดรบเงนทกดหลงจากทเหยอเดนออกจากตไปผไมหวงดจะกลบเขามาทตแลวนำอปกรณดงกลาวออกเพอเอาเงนจากต
• LebaneseLoop-ใชเทปกาวหรออปกรณบางอยางตดไวในชองใสบตรเมอมผใชบรการสอดบตรเขาไปในเครองATMบตรจะตดอยขางในผไมหวงดจะแกลงทำเปนวาเดนมาเสนอใหความชวยเหลอโดยจะลองกดรหสบตรเพอใหเครองคายบตรแตกดอยางไรเครองกยงไมยอมคายพอหลงจากทเหยอเดนออกจากตแลวผไมหวงดจะนำบตรATMออกมาแลวกดเงนเอง
• สรางตATMปลอมมาวางไวขางๆตATMของจรง
• โจมตผานชองโหวของระบบทใชในตATMโดยฝงโปรแกรมดกขอมลไวในเครองตวอยางการเอาโปรแกรมแปลกปลอมไปรนในเครองATMเปนดงคลปดานลาง
บทความท วไป148
ทมา:http://goo.gl/lPkhNp
AntiSkimmer
ปจจบนธนาคารหลายแหงในประเทศไทยเรมมการตดตงระบบAntiSkimmerในตATMตวอยางเชนใชเซนเซอรตรวจสอบวามอปกรณแปลกปลอมมาปดทบหรอสอดแทรกในเครองอานบตรหรอไมถาพบตATMจะหยดใหบรการทนท
อนาคตธนาคารในประเทศไทยนาจะเปลยนระบบการใชงานบตรATMจากแถบแมเหลกมาเปนแบบฝงชปอเลกทรอนกสบนตวบตร(EMVหรอChip-and-PIN)ซงชวยลดปญหาการปลอมแปลงบตรได
CYBER THREATS 2013 149
ขอมลเพมเตม
ทมา:http://goo.gl/GWtCvD
อางอง
1. http://cache.gawker.com/assets/images/consumerist/2009/04/Skimmer_presentation_v1_230109_ppt_1__01.pdf
2.http://krebsonsecurity.com/all-about-skimmers/
3.https://www.commbank.com.au/personal/apply-online/download-printed-forms/ATM_awareness_guide.pdf
4.http://www.debtreliefnw.com/debt-relief-blog/bid/57330/CREDIT-CARD-SKIMMING-4-Tips-to-Protect-Yourself-from-it
5.http://businesstoday.intoday.in/story/how-safe-is-your-atm/1/7590.html
บทความท วไป150
ไทยเซรตพบชองโหวของแอปพลเคชนLINEแฮกเกอรสามารถดกรบขอมลบนเครอขายLAN/WIFIและอานบทสนทนาไดทนทผใชงานควรอพเดตเวอรชนใหมผเขยน : พรพรหมประภากตตกลวนทเผยแพร : 20ธนวาคม2556ปรบปรงลาสด : 20ธนวาคม2556
ถงแมเทคโนโลยชวยเพมความสะดวกสบายในการใชชวตประจำวนแตกยงพบวาในหลายครงทเทคโนโลยคอปจจยสำคญทสามารถสรางปญหาใหกบผใชงานไดเชนกนบางครงถงขนทำใหเสอมเสยชอเสยงจนไปถงขนสญเสยทรพยสนกเปนไดดงจะกลาวถงในบทความนเกยวกบปญหาชองโหวของแอปพลเคชนLINEทนกวจยจากไทยเซรตพบซงการโจมตชองโหวดงกลาวอาจถกใชเปนชองทางของแฮกเกอรในการเขาถงขอมลบทสนทนาของแอปพลเคชนLINEทมความสำคญของผใชงานไดอยางงายดาย
แอปพลเคชนLINEกบการเชอมตอบนโลกออนไลนยคใหม
LINEเปนแอปพลเคชนประเภทแชททไดรบความสนใจจากผใชงานในประเทศไทยเปนอยางมากปจจบนมจำนวนผใชงานในประเทศไทยแลวมากกวา18ลานผใชงานเนองดวยมฟงกชนการใชงานทหลากหลายเชนการสนทนาแบบกลมการแชรพกดสถานทการคยผานเสยงการคยผานวดโอการสงสตกเกอรสวนใหญเปนบรการทไมเสยคาใชจายรวมถงแอปพลเคชนยงรองรบการใชงานไดทงบนสมารตโฟนและบนเครองคอมพวเตอรอกดวยโดยเวบไซตผพฒนาของLINEไดระบวา ผใชงานในประเทศไทยอยในอนดบท3จากทวโลก[1]และคงหลกเลยงไมไดวาปจจบนการใชงานแอปพลเคชนLINEของคนไทยไมไดจำกดเฉพาะในหมเพอนดงจะเหนจากหลายองคกรนำมาใชสำหรบ
CYBER THREATS 2013 151
สอสารองคกรการทำงานการแชรรปภาพคลปเสยงหรอแมแตบางครงใชบอกพกดสถานทใชงานกบคนสนทญาตพนองครอบครว
แตจะเปนอยางไรหากการใชงานแอปพลเคชนดงกลาวถกดกรบขอมลการสอสารระหวางทางออกไปไดทงหมดโดยทผใชงานไมสามารถลวงรไดเลยเมอถงเวลานนคงไมมใครการนตไดวาขอมลดงกลาวจะยงคงเปนความลบอยอกหรอไมรวมถงขอมลทหลดออกไปนนหากเปนขอมลทมความสำคญกอาจถกนำไปหาผลประโยชนในทางทผดตอกเปนไดและจากสถานการณความนยมของแอปพลเคชนLINEทวโลกจงทำใหมนกวจยหลายรายเรมศกษาวจยถงการทำงานของLINEอยางละเอยดโดยพบหวขอขาวชวงเดอนสงหาคมวามนกวจยจากเวบไซตTelecomasiaเปดเผยขอมลเกยวกบการทำงานของแอปพลเคชนLINEทรบสงขอมลของแอปพลเคชนบนเครองผใชงานกบเซรฟเวอรของผใหบรการLINEในรปแบบPlain-text[2]กรณทใชงานอนเทอรเนตบนเครอขาย2G/3Gนนทำใหเกดคำถามเกยวกบมาตรการในการรกษาความลบของผใชงานมากขนอนเนองจากกรณดงกลาว ผใหบรการโทรศพทสามารถดกอานขอมลของผใชงานไดอยางงายดายแตอยางไรกตามการกระทำการดงกลาวไดยงคงจำกดอยเฉพาะผใหบรการโทรศพทมอถอเทานนทจะสามารถเหนขอมลซงเปนเรองทตองพจารณาตอไปถงแนวทางการบรหารจดการของผใหบรการเครอขายโทรศพทมอถอเพอใหผใชงานมความเชอมนวาขอมลจะไมถกเปดเผยหรอเขาถงโดยบคคลทไมไดรบอนญาตโดยในบทความนจะกลาวถงอกมมหนงของบทวเคราะหชองโหวบนแอปพลเคชนLINEทนกวจยของไทยเซรตไดตรวจสอบพบและคาดหวงจะใหผอานไดรเทาทนสถานการณภยคกคามและอนตรายตางๆทมากบการใชงานเทคโนโลยในปจจบนเพอใหผใชงานสามารถใชงานอยางระมดระวงและมความปลอดภยมากยงขนได
วเคราะหการรบสงขอมลของแอปพลเคชนLINE
นกวจยของไทยเซรตไดทำการวเคราะหการรบสงขอมลของแอปพลเคชนLINEโดยจำลองสถานการณการรบสงขอมลใน2ลกษณะคอรบสงผานเครอขาย2G/3GและผานเครอขายLAN/WiFiและใชโปรแกรมเฉพาะสำหรบดกรบขอมลบนเครอขายโดยไดนำขอมลทงหมดมาวเคราะหและสรปผลดงน
ใชงานบนเครอขาย2G/3G
ทดสอบโดยใชงานแอปพลเคชนLINEเวอรชน3.8.8บนระบบปฏบตการแอนดรอยดผานเครอขาย2G/3GพบวามการรบสงขอมลในลกษณะPlaintextผานโพรโทคอลHTTPโดยขอดในการรบสงขอมลบนโพรโทคอลHTTPคอรบสงขอมลไดเรวแตขอเสยคอหากมผทสามารถดกรบขอมลตรงกลางระหวางผใชงานกบเซรฟเวอรใหบรการของLINEแลวกจะสามารถมองเหนขอมลทรบสงกนอยระหวางผใชงานกบเซรฟเวอรของLINEไดทนทสงเกตจากรปท2ซงเปนขอมลทไดจากการทดสอบดกรบขอมลการใชงานแอปพลเคชนLINEบนระบบปฏบตการแอนดรอยดเวอรชน3.8.8ซงใชงานเครอขาย3Gโดยพบขอความวา“whereru”ซงเปนขอความทนกวจยของไทยเซรตไดทำการทดสอบสงออกไปจรงแตอยางไรกตามจากทไดกลาวไวขางตนวาขอมลทรบสงบนเครอขาย2G/3Gอาจยงมความเสยงไมมากนกเนองจากเทคนคการดกรบขอมลบนเครอขาย2G/3Gโดยผใชงานดวยกนยงไมสามารถทำไดโดยงายแตกยงมความเสยงมมทผใหบรการเครอขายโทรศพทอาจตรวจสอบการใชงานของลกคาไดรวมถงปจจบนทางผพฒนาแอปพลเคชน
บทความท วไป152
LINEไดมการปรบปรงการทำงานแอปพลเคชนLINEตงแตเวอรชน3.9ขนไปททำงานบนระบบปฏบตการแอนดรอยดนนโดยเปลยนมาใชโพรโทคอลHTTPSในการรบสงขอมลซงมการเขารหสลบขอมลแทนการรบสงขอมลแบบเดมในลกษณะPlain-textแลวในสวนนทางไทยเซรตขอแนะนำใหผใชงานทใชงานแอปพลเคชนLINEบนระบบปฏบตการแอนดรอยดทำการตรวจสอบเวอรชนของแอปพลเคชนทใชงานและหากพบวาใชเวอรชนตำกวา3.9ใหรบทำการอพเดตทนท
รปท1แสดงโครงสรางการทำงานของแอปพลเคชนLINEเวอรชนตำกวา3.9ทำงานบนระบบปฏบตการแอนดรอยดเมอมการเชอมตอเครอขาย2G/3G
รปท2แสดงตวอยางเมอมการทดสอบดกรบขอมลบนโทรศพทมอถอทใชระบบปฏบตการแอนดรอยดและใชแอปพลเคชนLINEเวอรชน3.8.8โดยพบวาเมอมการเชอมตอเครอขาย3G
ขอมลทรบสงในแอปพลเคชนLINEจะเปนลกษณะPlaintext
CYBER THREATS 2013 153
ใชงานบนเครอขายLAN/WiFi
ทดสอบโดยใชงานแอปพลเคชนLINEบนระบบปฏบตการWindowsผานเครอขายLAN/WiFiพบวามการทำางานในโหมดทมการเขารหสลบขอมลกอนมการรบสงกบเซรฟเวอรของLINEผานโพรโทคอลHTTPSเพอปองกนการดกรบและถอดรหสขอมลเนองจากการใชงานบนเครอขายLAN/WiFiมความเสยงสงทจะถกผไมประสงคดพยายามดกรบขอมลไดโดยงายมากกวาการใชงานบนเครอขาย2G/3Gจากรปท4ไทยเซรตตรวจสอบพบวาขอมลทไดจากการดกรบขอมลนนถกเขารหสลบและรบสงดวยโพรโทคอลHTTPSแสดงใหเหนวาขอมลทรบสงกบเซรฟเวอรผใหบรการLINEนนไมสามารถดกรบเพออานขอมลไดโดยงาย
รปท3แสดงโครงสรางการทำงานของแอปพลเคชนLINEเมอทำงานบนระบบเครอขายLAN/WiFi
รปท4แสดงตวอยางเมอมการทดสอบดกรบขอมลการใชงานแอปพลเคชนLINEบนระบบปฏบตการWindowsโดยพบวาเมอมการเชอมตอเครอขายWiFiขอมลทรบสงมการเขา
รหสลบไว(Encrypted)และรบสงผานโพรโทคอลHTTPS
บทความท วไป154
อธบายเพมเตมเกยวกบการทำงานของโพรโทคอลHTTPS
เพอใหเกดความเขาใจในเนอหาทมากขนจงขออนญาตอธบายหลกการทำงานของโพรโทคอลHTTPSในเบองตนโดยการทำงานของโพรโทคอลHTTPSสามารถแบงออกเปน2สวนประกอบหลกๆคอการตรวจสอบใบรบรองอเลกทรอนกส(Certificate)ของผใหบรการดงจะเหนจากตวอยางในรปท5เปนตวอยางการเขาใชงานเวบไซตของธนาคารกสกรไทยทมการทำงานในโหมดเขารหสลบขอมลและรบสงผานโพรโทคอลHTTPSซงสวนประกอบสำคญในขนตอนการทำงานของHTTPSคอขอมลใบรบรองอเลกทรอนกสหรอทเรยกวาCertificateซงสามารถแสดงขอมล ใบรบรองของเซรฟเวอรทเราเชอมตออยได
รปท5แสดงตวอยางเวบไซตทใชงานโพรโทคอลHTTPSซงการเชอมตอจะมการรบขอมลใบรบรองอเลกทรอนกสเพอใหแอปพลเคชนฝงผใชงานพจารณาความถกตองกอนจะใชงานตอไป
และอกสวนประกอบสำคญคอการเขารหสลบขอมลทมการรบสงอยกบเซรฟเวอรทใหบรการปลายทางรปแบบคอจะมกญแจทสำคญ2ชนดคอ
• กญแจเซสชน(Sessionkey)เปนกญแจทใชเขารหสลบขอมลแบบSymmetricKeyใชกญแจเพยงดอกเดยวนำมาใชสำหรบเขารหสลบและถอดรหสลบขอมลทรบสงระหวางแอปพลเคชนฝงผใชงานและเครองเซรฟเวอร
• กญแจคเปนกญแจทใชเขารหสลบขอมลแบบAsymmetricKeyประกอบไปดวยกญแจ2สวนคอกญแจสาธารณะ(Publickey)และกญแจสวนตว(Privatekey)ของเครองเซรฟเวอรทใหบรการนำมาใชเขารหสลบและถอดรหสลบกญแจเซสชนในขอท1
โดยการทำงานของโพรโทคอลHTTPSสามารถสรปเปนขนตอนไดตามรปท6
CYBER THREATS 2013 155
รปท6ขนตอนการทำงานของโพรโทคอลHTTPS[3]
ขนตอนท1ผใชงานมการเชอมตอไปยงเซรฟเวอรของผใหบรการเพอขอใหเรมการเชอมตอดวยโพรโทคอลHTTPS
ขนตอนท2เครองเซรฟเวอรทใหบรการจะทำการสงขอมลใบรบรองอเลกทรอนกส(Certificate)ของผใหบรการกลบมายงแอปพลเคชนในฝงผใชงานเพอตรวจสอบหากเปนใบรบรองอเลกทรอนกสทแอปพลเคชนนนเชอถอและรจกอยแลวกจะสามารถทำงานในลำดบถดไปทนทแตในทางตรงกนขามถาแอปพลเคชนไมสามารถตรวจสอบใบรบรองอเลกทรอนกสไดวา มความนาเชอถอหรอไมกขนอยกบการบรหารจดการของแอปพลเคชนนนๆวาจะเปนอยางไรตอไปเชนแอปพลเคชนนนยอมใหดำเนนการตอไดหรอแอปพลเคชนนนสงยกเลกการเชอมตอเปนตน
ขนตอนท3แอปพลเคชนในฝงผใชงานจะสรางกญแจเซสชน(Sessionkey)ทใชในการเขารหสลบและถอดรหสลบขอมลจากนนทำการเขารหสลบกญแจเซสชนดวยกญแจสาธารณะ(Publickey)ซงเปนขอมลทไดมาจากใบรบรองอเลกทรอนกสในขนตอนท2จากนนแอปพลเคชนจะสงขอมลทเขารหสลบกลบไปยงเครองเซรฟเวอรทใหบรการโดยเซรฟเวอรทใหบรการจะทำการถอดรหสลบขอมลดวยกญแจสวนตว(Privatekey)ผลลพธสดทายคอเครองเซรฟเวอรใหบรการจะไดรบกญแจเซสชน(Sessionkey)เพอนำมาใชงานในขนตอนตอไป
ขนตอนท4การรบสงขอมลระหวางผใชงานกบเซรฟเวอรใหบรการจะทำผานการเขารหสลบและถอดรหสลบขอมลดวยกญแจเซสชนทไดจากขนตอนท3ตลอดเวลาเชนผใชงานสงคำขอการเขาถงหนาเวบไซตซงเนอหาตางๆทใชทำการเรยกไปยงเซรฟเวอรทใหบรการเวบไซตนนจะมการเขารหสลบขอมลทฝงแอปพลเคชนของผใชงานดวยกญแจเซสชนทสรางขนในขนตอนท3และขอมลดงกลาวจะมการถอดรหสลบออกดวยกญแจเซสชนตวเดมในฝงเซรฟเวอรทใหบรการเวบไซตเชนกน
บทความท วไป156
ไทยเซรตพบชองโหวของแอปพลเคชนLINEสามารถดกรบขอมลบนเครอขายLAN/WiFi
ในชวงตนเดอนพฤศจกายนป2556นกวจยจากไทยเซรตพบชองโหวของแอปพลเคชนLINEบนระบบปฏบตการWindows(ยกเวนWindows8)และMacOSXซงจากการวเคราะหขอมลพบวาขอมลการสนทนาสามารถถกดกรบในขณะทผใชงานกำลงใชงานแอปพลเคชนLINEอยบนเครอขายLAN/WiFiถงแมจะมการเขารหสลบขอมลดวยโพรโทคอลHTTPSแลวกตามแตจากการวเคราะหขอมลการโจมตในเบองตนผลลพธจากการทดสอบพบวานกวจยจากไทยเซรตสามารถโจมตผใชงานทกำลงใชงานแอปพลเคชนLINEไดทนทโดยใชเทคนคManinthemiddle(MITM)[4]เพอดกรบและถอดรหสลบขอมลของผใชงานทตกเปนเหยอใหออกมาอยในรปแบบPlain-text อยางงายดายโดยตวอยางผลลพธในรปท7แสดงใหเหนวาการโจมตทเกดขนทำใหนกวจยของไทยเซรตสามารถดกรบขอความทมการสงออกจากผใชงานคนหนงและแสดงผลออกมาไดในลกษณะPlain-textรวมถงการทดสอบเพมเตมยงพบวาผไมประสงคดสามารถทำการเปลยนแปลงขอมลของผใชงานทมการรบสงกบเซรฟเวอรของLINEไดอกดวยแสดงใหเหนวาเมอผใชงานถกโจมตจากชองโหวดงกลาวแลวอาจทำใหขอความทสงออกมาถกดกรบและแกไขกอนสงไปยงผรบไดรวมถงผไมประสงคดสามารถสรางขอความใหมและสงออกไปโดยใชชอผสงไดทนทโดยทผใชงานอาจไมรถง การสงขอความดงกลาวอยางไรกตามไทยเซรตไดทดสอบกบแอปพลเคชนLINEททำงานบนระบบปฏบตการแอนดรอยดiOSWindowsPhone8และLINEforWindows8แลวไมพบวามปญหาชองโหวในรปแบบดงกลาว
รปท7แสดงการจำลองสถานการณการดกรบขอมลและถอดรหสลบขณะทผใชงานแอปพลเคชนLINEบนระบบปฏบตการWindowsเมอมการสงขอความ
CYBER THREATS 2013 157
รปท8แสดงการจำลองสถานการณการดกรบขอมลและถอดรหสลบขณะทใชงานแอปพลเคชนLINEบนระบบปฏบตการWindowsเมอไดรบขอความ
จากรปท7และ8แสดงใหเหนวาการโจมตชองโหวดงกลาวทำใหผไมประสงคดสามารถถอดรหสลบขอมลทมการรบสงกบเซรฟเวอรผใหบรการLINEทำใหผไมประสงคดสามารถอานขอความทมการรบสงในลกษณะPlain-textไดทนทและจากการตรวจสอบเนอหาขณะทมการสงขอความจะพบวามลกษณะของการสงคำสงโดยเปนขอความวาsendMessageและตามดวยคาทถกสมขนจำนวน2กลมซงมความเปนไปไดสงวาจะเปนขอมลUserIDของผใชงานในฝงผรบและผสงและจากการทดสอบในหลายครงจะพบวาคาUserIDเปนคาคงทซงไมมการเปลยนแปลงนนเทากบวาผทสามารถเขาถงขอมลUserIDของผใชงานไดแลวนนอาจเกบคาUserIDดงกลาวเพอมาใชโจมตตอในภายหลงได
วเคราะหการโจมตชองโหวของแอปพลเคชนLINEบนเครอขายLAN/WiFi
สถานการณจำลองการโจมต
• ผใชงานเปดใชงานแอปพลเคชนLINEผานเครอขายWiFiสำนกงาน
• ผไมประสงคดเชอมตอเครอขายสำนกงานดวยเชนกนและเรมการโจมตดวยเทคนคManinthemiddleรวมถงมการปลอมแปลงใบรบรองอเลกทรอนกส(FakeCertificate)ของโดเมนผใหบรการLINEในระหวางทมการเชอมตอกบผใชงาน
• แอปพลเคชนLINEยอมรบใบรบรองอเลกทรอนกสปลอมทผไมประสงคดสงใหในขนตอนท2เปนผลใหการทำงานทผดพลาดยงคงดำเนนการตอไปไดและทำใหผไมประสงคดสามารถดกรบขอมลของผใชงานและเลอกกรองเฉพาะขอมลทเกยวของกบการใชงานแอปพลเคชนLINEจากนนทำการถอดรหสลบขอมลเพอดบทสนทนาหรอขอความทรบสงของผใชงานในลกษณะPlaintextไดทนท
บทความท วไป158
รปท9แสดงแผนผงสถานการณจำลองการโจมต
จากรปท9และสถานการณจำลองการโจมตจะสงเกตไดวาผไมประสงคดสามารถโจมตเครอขายLAN/WiFiเพอเปลยนเสนทางการใชงานของเครองผใชงานทเปนเหยอใหใชเสนทางการรบสงขอมลโดยขอมลจะไหลผานเครองคอมพวเตอรของผไมประสงคดซงในเทคนคการขโมยขอมลทเชอมตอกนดวยโพรโทคอลHTTPSนนผไมประสงคดจะใชเทคนคการปลอมแปลงขอมลใบรบรองอเลกทรอนกส(FakeCertificate)และสงใหกบแอปพลเคชนของผใชงานซงชองโหวหรอปญหา ทพบคอแอปพลเคชนLINEไมมการตรวจสอบความถกตองของใบรบรองทำใหแอปพลเคชนทำงานตอไปไดสงผลใหผไมประสงคดสามารถโจมตดวยเทคนคManinthemiddleและถอดรหสลบขอมลการสนทนาไดทนท
ผลกระทบ
ผใชงานอนเทอรเนตสาธารณะหรอใชงานในองคกรทมการเชอมตอกนผานLANหรอWiFiอาจถกโจมตดวยเทคนคManinthemiddleเพอดกรบขอมลการใชงานของแอปพลเคชนLINEและสามารถถอดรหสลบขอมลออกมาเพอเขาถงขอมลบทสนานาทเกยวของไดทนทเชนขอมลUserIDของผใชงานการรบสงขอความบทสนทนารวมถงสามารถสงคำสงปลอมแปลงไปยงเซรฟเวอรของLINEในลกษณะสวมรอยการใชงานเปนตน
ระบบทไดรบผลกระทบ
• แอปพลเคชนLINEบนระบบปฏบตการWindowsเวอรชน3.2.1.83และตำกวา
• แอปพลเคชนLINEบนระบบปฏบตการMacOSXเวอรชน3.2.1และตำกวา
CYBER THREATS 2013 159
รปท10แสดงรายการระบบปฏบตการทรองรบการทำงานของแอปพลเคชนLINEพบวาแอปพลเคชนLINEททำงานบนWindowsกบMACOSXเทานนทมชองโหว
รปท11แสดงเวอรชนชองแอปพลเคชนLINEทมชองโหวซงสามารถถกโจมตได
บทความท วไป160
การดำเนนการของไทยเซรตและขอแนะนำสำหรบผใชงาน
ภายหลงจากการตรวจพบชองโหวบนแอปพลเคชนLINEไทยเซรตไดทำการประสานเพอแจงปญหาชองโหวไปยงผพฒนาแอปพลเคชนLINEในประเทศญปนโดยเรงดวนซงทมผพฒนาแอปพลเคชนLINEไดรบทราบและตรวจสอบปญหาดงกลาวรวมถงปจจบนไดดำเนนการแกไขปญหาชองโหวดงกลาวเรยบรอยแลวและไดเผยแพรเวอรชนทแกไขปญหาแลวเชนกนแตอยางไรกตามผใชงานจำเปนตองมการอพเดตแอปพลเคชนของตนเองซงโดยปกตแลวแอปพลเคชนLINEจะตงคามาตรฐานใหมการแจงเตอนเมอมการเผยแพรเวอรชนใหมออกมาเมอผใชงานพบการแจงเตอนดงตวอยางในรปท12ใหผใชงานรบทำการอพเดตแอปพลเคชนLINEทนทหรอหากผใชงานทานใดไมแนใจวาใชงานแอปพลเคชนLINEเวอรชนทมผลกระทบหรอไมใหทำการตรวจสอบเวอรชนของแอปพลเคชนLINEทใชงานอยโดยคลกทเมน“AboutLINE”ตามรปท14หากผใชงานพบวาใชงานแอปพลเคชนLINEทไดรบผลกระทบ(ตรวจสอบจากหวขอ“ระบบทไดรบผลกระทบ”)ใหรบอพเดตแอปพลเคชนตามขอมลดงตอไปนทนท
• อพเดทแอปพลเคชนLINEบนระบบปฏบตการWindowsเปนเวอรชนทสงกวา3.2.1.83
• อพเดทแอปพลเคชนLINEบนระบบปฏบตการMacOSXเปนเวอรชนทสงกวา3.2.1
อยางไรกตามผใชงานควรอพเดตแอปพลเคชนอยางสมำเสมอและตดตามขาวสารดานความมนคงปลอดภยจากแหลงขาวทนาเชอถออยเปนประจำอกดวย
รปท12แสดงเวอรชนชองแอปพลเคชนLINEทมชองโหวซงสามารถถกโจมตได
CYBER THREATS 2013 161
รปท13แสดงหนาตางภายหลงจากกดOKจะพบหนาตางแจงขอมลรายละเอยดการอพเดต
รปท14แสดงวธการตรวจสอบเวอรชนของแอปพลเคชนLINEบนระบบปฏบตการWindows
อางอง
1. http://en.lineblog.naver.jp/archives/30767259.html
2.http://www.telecomasia.net/blog/content/line-vulnerable-man-middle-attack?Don%20Sambandaraksa
3.http://www.awghost.com/ssl.html
4.https://www.thaicert.or.th/papers/general/2011/pa2011ge001.html
บทความท วไป162
เชครปกอนแชรวนทเผยแพร : 26ธนวาคม2556ปรบปรงลาสด : 26ธนวาคม2556
ทกทานคงรจกเวบไซตสำหรบคนหาขอมลบนอนเทอรเนต(WebSearchEngine)เปนอยางดเพราะเชอวาตองเคยใชคนควาหาขอมลขาวสารเรองนาสนใจตางๆสำหรบนกศกษานกเรยนหรอแมกระทงคนทำงานกมกใชในการสบหาขอมลเพอมาใชประกอบการทำรายงานการสอบการเขยนวจยตางๆอยเสมอซงเวบไซตประเภทนทเปนทรจกในปจจบนมอยหลายเวบไซตดวยกนเชนGoogleYahooBingหรอAsk.comซงตามหลกการผใชงานจะใสคำเฉพาะ(Keyword)ทเกยวของกบสงทตองการคนหาลงไปในชองคนหาและWebSearchEngineจะคนหาและแสดงผลลพธ ทเกยวของทงขอความรปภาพหรอวดโอคลปทพบในอนเทอรเนตใหกบผใชงาน
อยางไรกตามบรการWebSearchEngineบางรายเชนGoogleไดมความสามารถพเศษใหผใชงานสามารถคนหารปภาพคลายกนทอยในเครอขายอนเทอรเนตจากรปภาพของผใชงานแทนการใชคำเฉพาะในการคนหาซงความสามารถนทำใหผใชงานสามารถตรวจสอบไดวามรปภาพ ทคลายกนถกเผยแพรอยทเวบไซตใดบางในอนเทอรเนต
การคนหารปภาพบนGoogleสามารถทำไดผานบรการhttp://images.google.com/ซงผใชงานสามารถปอนURLของรปภาพหรออาจจะอพโหลดไฟลรปภาพทตองการคนหาหลงจากนนGoogleจะทำการคนหาและแสดงผลรปภาพคลายกนทGoogleพบในเครอขายอนเทอรเนต ใหผใชงาน
CYBER THREATS 2013 163
รปท1หนาจอบรการGoogleImageSearch
ผลการคนหารปภาพจะแสดงตวอยางรปภาพวนทรปมการเผยแพรแหลงทมารายละเอยดทางเทคนคเชนความละเอยดของรปภาพนน[1]ทำใหผใชงานสามารถคนหาขอมลเบองตนทเกยวของกบรปภาพทตองการคนหานนวาเปนภาพใหมทไมเคยมการเผยแพรทางอนเทอรเนตมากอนเลยหรอเปนภาพเกาทเคยเผยแพรไวแลว
นอกจากGoogleImageSearchแลวอกหนงวธการตรวจสอบรปภาพวาไดเผยแพรอยทใดบางเปนรปเกา-ใหมเพยงใดนนอาจทำไดโดยเขาใช“TinEye”โดยเขาถงไดท“http://www.tineye.com/”[2]คะ
TinEyeนถอเปนImageSearchEngineทมมาเกาแกกอนGoogleImageSearchซงพฒนาโดยบรษทIdaeประเทศแคนาดาและเปนSearchengineทใชเทคนคการใหบรการแบบReverseImageSearchหรอImageIdentificationTechnologyกลาวคอ ใหผใชคนหาภาพจากSearchEngineทวไปและอพโหลดหรอใสURLของรปภาพดงกลาว
บทความท วไป164
มายงTinEyeจากนนระบบจะคนหาภาพทเหมอนกนจากเวบตางๆและแสดงผลลพธใหผใชงาน
บรการTinEyeนยงมลกษณะพเศษตรงทสามารถคนหาไดทงรปทเหมอนกบรปตวอยางทตองการคนหาและ/หรอทมการตดตอทำเลยนแบบยอ/ขยายเพม/ลดความสวางหรออาจกลาววาTinEyeสามารถคนหารปภาพทผานการretouchแลวไดอกดวยนอกจากนTinEyeยงสามารถเปรยบเทยบรปตวอยางกบรปทโปรแกรมคนหาวามความเหมอนหรอตางกนตรงไหนดวยจงสามารถใชตรวจหาภาพลอกเลยนแบบและเชคดงานลขสทธไดในระดบหนง
รปท2ตวอยางหนาจอจากการคนหารปภาพจากTinEye
CYBER THREATS 2013 165
หวงเปนอยางยงวาบทความนนอกจากจะชวยใหความรเบองตนในการคนหาแหลงทมาของรปภาพทโพสต-แชร-สงตอกนแลวยงเปนการสรางความตระหนกและกระตนเตอนใหมความรบผดชอบตอสงคมชวยปองกนและสรางความเขาใจทดในการโพสต-แชร-สงตอรปภาพอกทงเปนการหลกเลยงกระแสยยงปลกปนในสงคมไทยอยางไมถกไมควรและการตกเปนเหยอของบางคนหรอบางกลมโดยไมรตว
ทงนหากพบเหนรปภาพหรอขอความใดทดแลวรนแรงหยาบคาบกระตนใหเกดความโกธรเกลยดกนขนในสงคมกควรหลกเลยงการโพสต-แชร-สงตอรปภาพหรอขอความนนโดยเฉพาะอยางยงบนSocialMediaทสามารถสรางกระแสตางๆไดอยางรวดเรวและรนแรงการคาดหวงเพยงแคการกดLikeมากๆอาจสรางและสงตอความรนแรงไดโดยไมรตวขอใหรบขอมลขาวสารกนอยางมสตและรอบคอบและขอใหใชวจารณญาณกอนโพสต-แชร-สงตอรปภาพหรอขอความกนใหมากๆ
อางอง
1. https://support.google.com/websearch/?hl=th#topic=3180360
2. http://www.tineye.com/about
บทความท วไป166
DIGITALFORENSICS101(ตอนท1)ผเขยน : กรรณกาภทรวศษฏสณธวนทเผยแพร : 26ธนวาคม2556ปรบปรงลาสด : 26ธนวาคม2556
หากผอานไดตดตามขาวในแวดวงไอทอยเปนประจำอาจสงเกตวามขาวเวบไซตราชการทสำคญหลายแหงถกแฮกอยเปนระยะๆสงทเปนผลตามมาคอเจาหนาทตำรวจตองตรวจคนหาพยานหลกฐานเพอสบสาวหาตวผทอยเบองหลงทเรยกวาพยานหลกฐานดจทล(Digitalevidence)โดยใชกระบวนการทคาดวาหลายคนนาจะเคยไดยนทเรยกวาDigitalForensicsผานหผานตากนมาบางในโอกาสนผเขยนในฐานะหนงในเจาหนาทผปฏบตงานศนยดจทลฟอเรนสกส(DigitalForensicsCenter)ของETDAจงขอใชบทความนอธบายวาDigitalForensicsนนคออะไรและมกระบวนการอะไรบางทเกยวของ
ศนยดจทลฟอเรนสกส(DigitalForensicsCenter)ของETDA.เปนสวนงานทมภารกจตางๆไดแกการตรวจพสจนพยานหลกฐานดจทลและออกรายงานผลการตรวจวเคราะหตามคำรองขอของหนวยงานรกษากฎหมายใหคำปรกษาและคำแนะนำทางวชาการแกเจาหนาททอาจจะไมคนเคยกบเทคโนโลยทมการเปลยนแปลงอยตลอดเวลาและพยานหลกฐานดจทลสมยใหมทมรปแบบตางๆกนไมวาจะเปนเครองคอมพวเตอรโนตบกแทบเลตโทรศพทมอถอกลองวงจรปดหรอเปนหนวยบนทกขอมลไดแกฮารดดสกทถอดออกมาจากเครองเซรฟเวอรอมเมจของเครองคอมพวเตอรฯลฯจดประสงคสวนใหญจะขอใหชวยตรวจพสจนหรอคนหาขอมลทเปนประโยชนตอการดำเนนคดกบผกระทำความผดหรอผตองสงสยซงภายหลงจากทศนยดจทลฟอเรนสกสตรวจวเคราะหเรยบรอยจงจะสงรายงานสรปผลการตรวจวเคราะหพรอมพยานหลกฐานคนใหแกหนวยงานตนเรองตอไป
DigitalForensicsหรอทเรยกในภาษาไทยวาการตรวจพสจนพยานหลกฐานทางดจทล มกระบวนการทำงานแบงไดเปน3ขนตอนหลกคอ 1.การรวบรวมพยานหลกฐาน(Acquisition) 2.การวเคราะห(Analysis) 3.การรายงานผลการตรวจพสจน(Report)
เพอใหผลการตรวจพสจนมความถกตองนาเชอถอและเปนทยอมรบในชนศาลนนการดำเนนการตามกระบวนการทงสามขนตอนนตองเปนไปตามหลกการมาตรฐานทไดรบการยอมรบหรอทนยมเรยกกนวาForensicallysoundmethodsซงจะตองมการบนทกรายละเอยดการดำเนน
CYBER THREATS 2013 167
การในทกขนตอนหากไดผลเชนใดกจะตองสามารถทำซำโดยผอนในภายหลงและจะตองไดผลลพธเชนเดยวกนทกครงเครองมอทงฮารดแวรและซอฟตแวรทเลอกใชตองผานการตรวจสอบมาอยางละเอยดวามความนาเชอถอและหากจำเปนกจะตองValidateใหแนใจรวมทงการทดสอบผลการทำงานกอนและทสำคญคอผปฏบตงานDigitalForensicsกตองมความรความสามารถในการปฏบตงานมความสามารถในการวเคราะหขอมลเขาใจระบบการทำงานของระบบปฏบตการและเครองมอทใชและไดรบการฝกมาเปนอยางด
นอกจากปจจยขางตนทกลาวมาหวใจสำคญทจะทำใหผลการตรวจไดรบการยอมรบในชนศาลโดยไมถกโตแยงคอเราตองสามารถยนยนไดวาหลกฐานทนำมาตรวจสอบนนเปนหลกฐานชนเดยวกบทเกบมาจากสถานทเกดเหตจรง(Authentication)และไมมการเปลยนแปลงขอมลใดๆไปจากเดม(Integrity)ในการทำงานเราจะแตะตองพยานหลกฐานใหนอยทสดเพอคงสภาพความสมบรณของหลกฐานนนๆซงในการจะยนยนคณสมบตทงสองขอนไดนนเราตองอาศยหลกการสำคญของการตรวจพสจนพยานหลกฐานดจทลคอChainofcustodyและHashvalue
(1)Chainofcustodyหากแปลตรงตวกคอ“หวงโซการคมครองพยานหลกฐาน”หมายถงขอมลทระบรายละเอยดของพยานหลกฐานและการสงตอพยานหลกฐานโดยเจาหนาททรบผดชอบซงจะตองมการบนทกไวเรมตงแตเมอพยานหลกฐานชนนนมการเกบมาจากทเกดเหตมาอยในความครอบครองของเจาหนาททเกยวของจนถงเมอสนสดคดไวในแบบฟอรมChainofcustodyซงจะเปนประโยชนหากผทเกยวของตองไปใหการในศาลโดยจะตองสามารถยนยนไดวาในระหวางการครอบครองพยานหลกฐานชนนนไดจดเกบไวทไหนนำไปทำอะไรบางมปจจยทจะทำใหพยานหลกฐานเปลยนแปลงหรอไมไดสงตอใหกบบคคลอนหรอไมเมอวน/เวลาใด(เรยกไดวาจะตองสามารถระบตวตนของผรบผดชอบไดตลอดเวลาทครอบครองพยานหลกฐานนนเอง)ตวอยางขอมลทจดบนทกไวในแบบฟอรมChainofcustodyเชนหากเจาหนาทตำรวจเปนผจดเกบพยานหลกฐานจากสถานทเกดเหตเองกตองระบชอตำแหนงหนวยงานวน/เวลารวมถงขอมลสำหรบตดตอใหครบถวนเมอนำพยานหลกฐานกลบมาเกบไวทหองเกบพยานหลกฐานทสถานตำรวจกตองจดบนทกสถานทและวนเวลารวมทงผรบผดชอบไวในแบบฟอรมหากในวนถดไปตองสงพยานหลกฐานชนนนไปใหเจาหนาตรวจพสจนหลกฐานดำเนนการตรวจพสจนกตองบนทกไวในแบบฟอรมวาณวนเวลาใดทพยานหลกฐานไดเคลอนยายออกจากหองเกบพยานหลกฐานและปจจบนอยในความครอบครองของใครเปนตน
บทความท วไป168
รปท1ตวอยางแบบฟอรมChainofcustodyทใชเกบขอมลพยานหลกฐานและการสงตอพยานหลกฐานโดยเจาหนาททรบผดชอบ
CYBER THREATS 2013 169
(2)Hashvalueเปนผลลพธจากการนำขอมล(จะเปนฮารดดสกทงลกหรอไฟลชนดหรอขนาดใดกได)มาผานกระบวนการยอย(Digest)หรอการคำนวณดวยHashFunctionเรยกกระบวนการนวาHashingโดยผลลพธนจะเปนคาเฉพาะซงโดยทวไปนยมแสดงโดยใชเลขฐาน16(Hexadecimal)ซงมความยาวแตกตางกนขนอยกบวธการหรอฟงกชนทใชเชนMD5(MessageDigest5)ซงใหผลลพธ128bitหรอ32digit(เลขฐาน16)และSHA1(SecureHashAlgorithm1)ใหผลลพธ160bitหรอ40digit(เลขฐาน16) หมายเหต:Hashingจะคำนวณจากขอมลทอยในไฟลเทานนไมรวมmetadataซงไดแกชอไฟลวนเวลาทไฟลถกสรางเปลยนแปลง/เขาถงครงสดทายเปนตน
รปท2ตวอยางคาแฮชSHA1และMD5
คณลกษณะทสำคญของHashingคอเปนวธการแบบNon-reversibleคอเราไมสามารถนำผลลพธจากกระบวนการยอยมาคำนวณกลบเปนขอมลตงตนไดและหากนำขอมลทเหมอนกนทกประการมาผานกระบวนการยอยผลลพธทไดจะเหมอนกนทกครงแตถาหากขอมลทจะนำมายอยมความตางกนแมเพยงบตเดยวผลลพธทไดกตางกนทนทในปจจบนนการใชHashvalueไมวาจะเปนMD5หรอSHA1ไดรบการยอมรบวาสามารถยนยนความถกตองแทจรงของพยานหลกฐานในกระบวนการยตธรรมโดยในทางปฏบตสวนมากเราจะใหซอฟตแวรหรอฮารดแวรคำนวณทงคาMD5และSHA1ออกมาเพอยนยนความถกตองของขอมล
ในสวนของMD5ตองขออธบายเพมเตมสกหนอยเนองจากตงแตป2004ไดเคยมนกวชาการพสจนแลววาสามารถสรางไฟลสองไฟลทมเนอหาแตกตางกนแตเมอนำมาคำนวณคาMD5แลวไดคาเหมอนกนไดจงเปนเหตใหMD5ไมเหมาะสมสำหรบการใชงานทตองมคณสมบตแบบCollisionresistantเชนSSLcertificatesหรอDigitalsignaturesทนหลายคนอาจสงสยวาทำไมDigitalForensicsยงนยมใชMD5อยทำไมซอฟตแวรเฉพาะสำหรบงานตรวจพสจนพยานหลกฐานดจทลทเปนทรจกแพรหลายเชนEnCaseและFTKยงใชMD5ในการยนยนความถกตองแทจรงของขอมลพยานหลกฐานกบสำเนาพยานหลกฐานคำอธบายหนงคอมความเปนไปไดนอยมากๆทจะสามารถดดแปลงเนอหาบางสวนของไฟลพยานหลกฐานทมอยเพอบงคบใหมคาMD5ตามทเราตองการโดยทเนอหาของไฟลนนยงคงสอความหมายเขาใจไดเหมอนเดมและนอกจากนMD5ยงเปนกระบวนทใชเวลาไมนานมากในการคำนวณเมอเปรยบเทยบกบการคำนวณHashingแบบอนๆดงนนจงเปนทนยมในกลมผปฏบตงานDigitalForensics
บทความท วไป170
ตอไปผเขยนจะอธบายกระบวนการทำงานDigitalForensicsโดยเรมตงแตการรวบรวมพยานหลกฐานไปจนถงการเขยนรายงานสรปผลซงจะเนนขอมลทางดานเทคนคและตองอธบายคอนขางยาวดงนนผเขยนจงขอใหผอานไดพกกนกอนคอยมาตดตามDigitalForensics101ตอนท2กนตอไปคะ
อางอง
1. http://en.wikipedia.org/wiki/MD5
2.http://computer-forensics.sans.org/blog/2009/01/07/law-is-not-a-science-admissibility-of-computer-evidence-and-md5-hashes
CYBER THREATS 2013 171
บทความท วไป172
แนวโนมภยคกคามดานความมนคงปลอดภยไซเบอรป2557ผเขยน : ทมไทยเซรตวนทเผยแพร : 27ธนวาคม2556ปรบปรงลาสด : 27ธนวาคม2556
ในชวงปลายปหลายบรษทชอดงดานCybersecurityเชนFireEye,Kaspersky,Microsoft,Sophos,Symantec,TrendMicroและInfoSecInstituteเผยแพรรายงานวเคราะหแนวโนมของภยคกคามดานความมนคงปลอดภยไซเบอรในป2557วามแนวโนมจะเปนไปในทศทางใดซงความเหนของแตละบรษทนนกมทงในลกษณะทคลายคลงและแตกตางกนไปในโอกาสนทมไทยเซรตไดสรปประเดนสำคญทเปนประโยชนจากรายงานวเคราะหแนวโนมภยคกคามป2557ทไดรวบรวมโดยสามารถสรปเปนหวขอทนาสนใจดงตอไปน
ชองโหวในซอฟตแวรทถกยตการใหบรการสนบสนน
ในป2556เราไดเหนชองโหวของJava[1],InternetExplorer[2],MicrosoftOffice[3]และAdobeReader[4]ทผไมหวงดนำมาใชอยางแพรหลายเพอเขาถงและขโมยขอมลจากเครองคอมพวเตอรผใชในป2557Microsoft,SophosและTrendMicroไดคาดการณวาหลงจากทMicrosoftยตการใหบรการสนบสนนผลตภณฑWindowsXPและMicrosoftOffice2003ในเดอนเมษายน2557และOracleยตการใหบรการสนบสนนผลตภณฑJava6ในเดอนกมภาพนธ2557ซงหมายความวาจะไมมการอพเดตเพอแกไขชองโหวใดๆอกตอไปแลวเปนผลทำใหอาจจะมการเผยแพรชองโหวของผลตภณฑดงกลาวมากขนเนองจากมความเปนไปไดวาผไมหวงดจะนำชองโหวทตนเองเคยคนพบแตยงไมเคยเผยแพรออกสสาธารณะออกมาใชในการโจมตผอนดงนนผใชWindowsXPในปจจบนควรเปลยนไปใชระบบปฏบตการเวอรชนทใหมกวาเชนWindows7หรอWindows8กอนกำหนดการยตการใหบรการสนบสนนอยางไรกตามในปจจบนยงพบวามผใชWindowsXPอยเปนจำนวนมากเนองจากขอมลในเวบไซตnetmarketshare.comพบวายงมผทใชWindowsXPเปนจำนวนกวา32เปอรเซนตของระบบปฏบตการทงหมด[5]อยางไรกตามFireEyeไดใหความเหนวาป2557จะพบชองโหวในJavaนอยลงซงสอดคลองกบสถตป2556ทพบจำนวนชองโหวในJavaลดลงและยงใหความเหนวาจะพบชองโหวในโปรแกรมเวบเบราวเซอรมากขน
CYBER THREATS 2013 173
มลแวรทมความซบซอนมากขน
FireEyeไดคาดการณลกษณะของมลแวรทจะพบในป2557ไวหลายอยางเชนมลแวรจะสามารถหลบหลกการตรวจจบการตดตอสอสารกบผไมหวงดไดแยบยลขนหรอมความสามารถในการลบระบบปฏบตการเพอทำลายรองรอยหลงปฏบตการสำเรจเชนการลบตวระบบปฏบตการWindowsทงทงหมดทำใหไมสามารถใชงานคอมพวเตอรไดนอกจากนมลแวรยงอาจใชลายเซนดจทลทขโมยมาจากบรษทพฒนาซอฟตแวรเพอทำใหดเหมอนวาเปนซอฟตแวรทพฒนาอยางถกตองโดยบรษทพฒนาซอฟตแวรดงกลาวซงSophosกไดใหความเหนเกยวกบเรองของมลแวรในลกษณะทคลายคลงกนสวนกรณตวอยางทพบเกยวกบการใชลายเซนดจทลกบมลแวรนนเชนกรณทบรษทผพฒนาโปรแกรมเวบเบราวเซอรOperaถกเจาะระบบและถกขโมยDigitalcertificateสงผลใหผไมหวงดอาจใชDigitalcertificateดงกลาวในการรบรองมลแวรวาเปนโปรแกรมOperaหรอตวอพเดตของOperaได[6]นอกจากนFireEyeยงไดคาดการณวามลแวรในBIOSและตวอพเดตของFirmwareจะมจำนวนเพมมากขนอกดวยในขณะทการตรวจหามลแวรกจะใชเวลานานขนโดยปจจบนจากรายงานของPonemonInstituteพบวาตองใชเวลาในการตรวจพบมลแวรหรอโปรแกรมไมพงประสงค80-100วนและตองใชเวลาในการแกไขปญหานานถง120-150วน
ภยคกคามทเกยวของกบโทรศพทมอถอ
ในเรองของภยคกคามทเกยวของกบโทรศพทมอถอหลายบรษทตางกลาวเปนเสยงเดยวกนวาจะมแนวโนมเพมมากขนเนองจากจำนวนผใชโทรศพทมอถอทเพมขนโดยการขโมยSMS ในมอถอทใชในการยนยนตวตน2ขน(2-stepverification)เชนการขโมยรหสOTPทเปนSMSสำหรบใชลอกอนบญชธนาคารออนไลนจะพบเหนไดมากขนซงเมอเดอนกรกฎาคม2556 ทผานมาผใชบญชธนาคารออนไลนในประเทศไทยกไดตกเปนเปาหมายของภยคกคามประเภทนโดยสามารถอานรายละเอยดเพมเตมไดจากบทความของไทยเซรต[7]นอกจากนSymantecไดคาดการณวาผใชจะตกเปนเหยอของแอปพลเคชนบนโทรศพทมอถอทหลอกลวงมากขนเนองจากความไวเนอเชอใจในโทรศพทมอถอของผใชโดยSymantecไดยกตวอยางแอปพลเคชนทเพมlikeของโพสตในบญชInstagramของโดยผใชตองระบชอบญชผใชและรหสผานของบญชInstagramใหกบแอปพลเคชนซงมคนมากกวาแสนคนตกเปนเหยอ
การโจมตผใชทวไป
ถงแมวากระบวนการรกษาความมนคงปลอดภยจะแขงแกรงและมประสทธภาพมากเพยงใดแตถาหากตวผใชเองไมไดมความตระหนกรและความเขาใจในเรองความมนคงปลอดภยไซเบอรแลวกระบวนการดงกลาวกยอมจะถกทำลายลงไดโดยงายซงTrendMicroไดใหความเหนวาผไมหวงดจะยงคงนยมใชวธSpearphishingในการโจมตผใชโดยตรงแทนทจะโจมตระบบโดยรปแบบในการโจมตนนอาจเปนการสงอเมลหลอกลวงจากผไมหวงดโดยเนอหาในอเมลสวนหนงจะประกอบดวยขอมลสวนตวของเหยอเพอสรางความนาเชอถอผใชจะถกหลอกใหเปดไฟลอนตรายทแนบมาหรอหลอกใหเขาเวบไซตอนตรายทสรางขนโดยผไมหวงดสงผลใหผไมหวงดสามารถเขาถงเครองคอมพวเตอรของผใชและขโมยขอมลไดวธนเปนทนยมเนองจากขอมลสวนตวของผใชอนเทอรเนตมกหาไดโดยงายจากการทผใชเปดเผยขอมลสวนตวลงบนสอสงคมออนไลนเชน
บทความท วไป174
FacebookโดยไมไดตระหนกถงผลกระทบตางๆทอาจตามมาสวนMicrosoftคาดการณวาเทคนคการหลอกลวงดวยวธSocialengineering[8]จะถกนำมาใชมากยงขนในขณะทFireEyeไดคาดการณวาการโจมตแบบWateringholeattackซงเปนรปแบบการโจมตดวยการเจาะระบบเวบไซตทมผเขาชมเปนจำนวนมากแลวฝงมลแวรลงบนเวบไซตดงกลาวเพอใหผทเขาชมเวบไซตตดมลแวรนนจะถกนำมาใชแทนวธการสงอเมลหลอกลวงไปหาบคคลอยางเฉพาะเจาะจงมากขน
การโจมตในระดบองคกร
Kasperskyไดบรรยายถงประเภทการโจมตทางไซเบอรเปรยบเปนรปพระมดทถกแบงออกเปน3สวนสวนลางคอการโจมตบคคลทวไปโดยอาชญากรทางไซเบอรเพอเงนสวนกลางคอการจารกรรมขอมลขององคกรรวมถงการสอดแนมประชาชนโดยรฐบาลและสวนบนคอการโจมตทางไซเบอรจากประเทศหนงไปยงประเทศอนๆโดยKasperskyไดใหความเหนวาการโจมตในระดบองคกรจะมแนวโนมเพมมากขนโดยกลมของผทเปนอาชญากรทางไซเบอรทวไปหรอแมกระทงผเชยวชาญดานความมนคงปลอดภยทไมเคยมสวนเกยวของกบอาชญากรรมทางไซเบอรมากอนมแนวโนมทจะผนตวเองไปทำงานในลกษณะของมอปนรบจางซงผจางวานอาจเปนบรษททตองการสอดแนมขอมลของคคาและคแขงเพอชงความไดเปรยบทางดานธรกจ
การโจมตระบบคลาวด
Kasperskyไดใหความเหนเกยวกบแนวโนมในการโจมตบรการคลาวดเพอขโมยเปลยนแปลงหรอทำลายขอมลโดยเฉพาะการโจมตกบเจาหนาทของบรษทผใหบรการคลาวดทจะมมากขนเนองจากมองวาเจาหนาทเหลานเปนจดออนทสดของกระบวนการรกษาความมนคงปลอดภย ซงหากผไมหวงดสามารถโจมตไดสำเรจกอาจเปดโอกาสใหผไมหวงดสามารถเขาถงขอมลบนระบบคลาวดทมจำนวนมากมายมหาศาลไดในขณะทSophosกไดคาดการณวาการโจมตระบบคลาวด จะมแนวโนมเพมมากขนเชนกนโดยอาจเปนการโจมตทพงเปาหมายไปยงอปกรณสวนบคคลตางๆเชนโทรศพทมอถอของผใชเพอใชเปนชองทางไปสการเขาถงขอมลสวนบคคลหรอขอมลขององคกรบนระบบคลาวดหรออาจเกดจากการทำงานของมลแวรประเภทRansomwareทมเปาหมายการโจมตไปยงขอมลบนเครองคอมพวเตอรและขอมลบนระบบคลาวดทสามารถเขาถงไดจากเครองคอมพวเตอรของเหยอดวย
การโจมตเพอขโมยBitcoin
เนองจากปจจบนBitcoinเรมเปนทยอมรบและมการชมากขนในฐานะเงนอเลกทรอนกสKasperskyและInfoSecInstituteไดใหความเหนไปในทศทางเดยวกนวาแทนทในปจจบนเรามกจะพบวามการเผยแพรมลแวรทมหนาทในการคำนวณสำหรบการทำBitcoinminingบนเครองคอมพวเตอรของผใชการขโมยBitcoinโดยตรงไมวาจะเปนการเผยแพรมลแวรททำการขโมยBitcoinโดยเฉพาะบนคอมพวเตอรของผใชหรอแมกระทงการโจมตผใหบรการแลกเปลยนBitcoinกบเงนสกลอนๆจะพบเหนไดมากขนแทนเนองจากผไมหวงดสามารถนำBitcoinทขโมยไดไปแลกเปนเงนสกลอนไดทนทในขณะทการสบหาตวบคคลทแลกนนกยงเปนเรองททำไดยาก
CYBER THREATS 2013 175
ความเปนสวนตวของผใช
จากการเผยแพรขอมลโดยนายเอดเวรดสโนวเดนเกยวกบโครงการสอดแนมและดกจบขอมลสวนบคคลโดยหนวยงานNSAของสหรฐอเมรกาทำใหประชาชนตนตวในเรองของการปกปองขอมลสวนบคคลมากขนโดยหลายรายงานใหความเหนไปในทศทางเดยวกนวาประชาชนจะใชบรการอนเทอรเนตผานชองทางทมการเขารหสลบขอมลเชนVPNหรอTORมากขนเพอปกปองขอมลสวนบคคลเมอทองอนเทอรเนตหรอในกรณของผไมหวงดกสามารถใชบรการTORเชนกนเพอซอนตวเองเมอปฏบตการโจมตทางไซเบอร
บทสรป
จะเหนไดวาแนวโนมภยคกคามดานความมนคงปลอดภยไซเบอรสำหรบป2557ในภาพรวมนนอาจมความรนแรงมากขนไมวาจะเปนการทผไมหวงดโจมตชองโหวของผลตภณฑทยตการใหบรการสนบสนนไปแลวมลแวรทมความซบซอนและความสามารถในการหลบหลกการตรวจจบมากขน รวมถงภยคกคามทเกยวของกบโทรศพทมอถอจะพบเหนไดมากขนในขณะทรปแบบการโจมตผใชทวไปองคกรและระบบสารสนเทศตางๆอาจมการเปลยนแปลงทงในเชงกระบวนการและเทคนคและเรองการสอดแนมขอมลโดยรฐบาลทเปนประเดนรอนและมขาวคราวใหตดตามมาโดยตลอดในชวงครงปหลงของป2556กทำใหทงประชาชนรวมถงรฐบาลของแตละประเทศใหความสำคญกบการปกปองขอมลมากยงขนซงจะสงผลใหขอมลทสอสารบนเครอขายอนเทอรเนตเปนขอมลทมการเขารหสลบขอมลเพมมากขนในป2557ประเดนดงกลาวคาดวาจะยงคงรอนแรงและเปนทถกเถยงกนตอไปผทสนใจรายละเอยดเพมเตมสามารถอานไดจากรายงานและบทวเคราะหแนวโนมภยคกคามของแตละบรษทตามรายการดานลาง
FireEye:TopSecurityPredictionsfor2014 http://www.fireeye.com/blog/corporate/2013/11/top-security-predictions-for-2014.html
Kaspersky:SecurityBulletin2013Forecasts http://www.securelist.com/en/analysis/204792320/Kaspersky_SecurityBulletin_2013_Forecasts
Microsoft:TopCyberThreatPredictionsfor2014 http://blogs.technet.com/b/security/archive/2013/12/12/security-professionals-top-threat-predictions-for-2014.aspx
Sophos:SecurityThreatReport2014 http://www.sophos.com/en-us/threat-center/security-threat-report.aspx
Symantec:2014Predictions http://www.symantec.com/connect/blogs/2014-predictions-symantec-0
บทความท วไป176
TrendMicro:SecurityPredictionsfor2014andBeyond http://about-threats.trendmicro.com/apac/security-predictions/2014/blurring-boundaries
InfoSecInstitute:SecurityPredictionsfor2014 http://resources.infosecinstitute.com/security-predictions-2014
อางอง
1. https://www.thaicert.or.th/alerts/admin/2012/al2012ad018.html
2. https://www.thaicert.or.th/alerts/admin/2013/al2013ad005.html
3. https://www.thaicert.or.th/alerts/admin/2013/al2013ad009.html
4. https://www.thaicert.or.th/alerts/admin/2013/al2013ad010.html
5. http://www.netmarketshare.com/operating-system-market-share.aspx?qprid=10&qpcustomd=0
6. http://www.nbcnews.com/id/52333655/ns/technology_and_science-tech_and_gadgets/#.Uruph6GLe1E
7. https://www.thaicert.or.th/alerts/user/2013/al2013us007.html
8. https://www.thaicert.or.th/papers/general/2012/pa2012ge017.html
CYBER THREATS 2013 177
บทความท วไป178
DIGITALFORENSICS101(ตอนท2)ผเขยน : กรรณกาภทรวศษฏสณธวนทเผยแพร : 30ธนวาคม2556ปรบปรงลาสด : 30ธนวาคม2556
สวสดอกครงคะกอนทจะเรมเขาเนอหาของบทความตอนทสองนขอยอนกลบไปในตอนทหนงทไดอธบายแลววากระบวนการตรวจพสจนพยานหลกฐานทางดจทลสามารถแบงออกไดเปน3ขนตอนหลกคอ(1)การรวบรวมพยานหลกฐาน(Acquisition)(2)การวเคราะห(Analysis)และ(3)การรายงานผลการตรวจพสจน(Report)สำหรบบทความตอนทสองนจะเปนการอธบายถงขนตอนการรวบรวมพยานหลกฐาน(Acquisition)ซงในทนหมายถงการทำสำเนาพยานหลกฐานดจทลไมวาณทจดเกดเหตหรอภายในหองปฏบตการในภายหลงกอนทจะนำสำเนาไปตรวจวเคราะหเนองจากหลกการสำคญขอหนงของDigitalforensicsคอการตรวจวเคราะหจะไมกระทำกบพยานหลกฐานตนฉบบโดยตรง
โดยทวไปขอมลดจทลสามารถแบงไดเปนสองประเภทคอขอมลทบนทกอยในหนวยความจำประเภททสามารถสญหายไดเมอปดอปกรณซงเรยกวาVolatiledataไดแกขอมลในแรม(RAM)และขอมลประเภททบนทกอยในหนวยความจำทยงคงสภาพเชนเดมเมอปดอปกรณไปแลวซงเรยกวาNon-volatiledataไดแกขอมลทบนทกอยในฮารดดสกหรอThumbdriveฯลฯ
การทำสำเนาขอมลVolatileData
VolatiledataเปนขอมลทสามารถสญหายไปทนททปดเครองคอมพวเตอรไดแกขอมลทบนทกในแรมเชนขอมลNetworkconnections,Runningapplications,Runningprocesses,Open/listeningnetworkconnectionsรวมถงพาสเวรดสำหรบใชงานโปรแกรมเปดอานอเมลหรอเขาถงพารทชนฮารดดสกทมการเขารหสไวเปนตนซงประโยชนของขอมลVolatiledataนอกจากจะสามารถใชกพาสเวรดทคนรายอาจไมยอมบอกแลวยงสามารถใชในการตรวจยนยนวาเครองคอมพวเตอรมมลแวรฝงอยหรอไมหรอถกควบคมโดยบคคลอนโดยทเจาของไมรตวหรอไมดวย
ในสมยกอนเจาหนาทเกบพยานหลกฐานมกจะไดรบการสอนวาเมอพบเครองคอมพวเตอรทเปดอยในทเกดเหตควรถายภาพสงทปรากฏทหนาจอแลวดงปลกไฟทหลงเครองออกทนทเพอคงสภาพความสมบรณของพยานหลกฐานแตในปจจบนแนวคดนไดเปลยนไปแลวเนองจากพบวาVolatiledataมขอมลทเปนประโยชนและในบางครงหากปดเครองคอมพวเตอรไปแลวอาจจะไมสามารถเปดขนมาไดอกหากไมรพาสเวรดสงผลใหไมสามารถกขอมลใดๆจากพยานหลกฐานชนนน
CYBER THREATS 2013 179
ปจจบนมซอฟตแวรสำหรบใชเกบVolatiledataหลายหลากยหอเชนFTKImager,DumpIt,Memoryze,AuditViewerและHELIXเปนตนในบทความนผเขยนจะขอแนะนำโปรแกรม2ตวทสามารถดาวนโหลดมาใชงานไดฟรไดแกFTKImagerLiteและDumpItซงมความพเศษคอไมจำเปนตองตดตงลงในเครองคอมพวเตอรเพยงแคกอปปใสThumbdriveเสยบใสคอมพวเตอร ทตองการเกบแรมแลวสงรนโปรแกรมไดเลย
โปรแกรมFTKImagerLite[1]ของบรษทAccessDataสามารถดาวนโหลดไดจากhttp://www.accessdata.com/support/product-downloadsเพยงแคดาวนโหลดมาแลวแตกไฟลใสลงในThumbdriveกสามารถใชงานไดเลยโดยเลอกคำสงCaptureMemoryจากเมน ทแสดงโดยกอนใชงานจะตองรรหสผานของผดแลระบบทจะทำสำเนาแรมจงจะสามารถรนโปรแกรมนได
รปท1การเลอกคำสงCaptureMemoryจากเมนFileของโปรแกรมFTKImagerLite
บทความท วไป180
โปรแกรมถดมาทจะขอแนะนำคอโปรแกรมDumpIt[2]จากบรษทMoonsolsสามารถดาวนโหลดไดจากhttp://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/ขอดของโปรแกรมนคอไฟลDumpIt.exeมขนาดเลกแคประมาณ200KBและวธการทำงานงายๆเพยงแคกอปปไฟลDumpIt.exeใสไวในThumbdriveแลวนำไปเสยบกบเครองคอมพวเตอรทตองการเกบแรมแลวใชคำสงเดยวกสามารถเรมสำเนาแรมไดทนทโดยโปรแกรมจะเกบไฟลImageไวในโฟลเดอรเดยวกบไฟลDumpIt.exeโดยอตโนมตขอควรระวงเมอใชโปรแกรมนคอเนองจากโปรแกรมนไมมการตงคาอะไรดงนนจะตองเตรยมพนทใหเพยงพอกบขนาดแรมทตองการจดเกบและเชนเดยวกบโปรแกรมFTKImagerLiteคอจะตองรรหสผานของผดแลระบบจงจะสามารถรนโปรแกรมนได
รปท2การรนโปรแกรมDumpIt.exe
เพยงแคนกสำเรจขนตอนการเกบขอมลVolatiledataจากแรม(RAM)แลวไฟลImageทเกบมานสามารถนำไปวเคราะหตอโดยใชโปรแกรมเชนVolatilityหรอโปรแกรมวเคราะหพยานหลกฐานดจทลอนๆซงสามารถชวยสกดขอมลทเปนประโยชนออกมาได
หมายเหตเนองจากการจดเกบขอมลVolatiledataนนจำเปนตองทำในขณะทเครองคอมพวเตอรยงเปดใชงานอยดงนนขอมลในแรมจะเปลยนแปลงไดตลอดเวลาทำใหการทำสำเนาขอมลVolatiledataในแตละครงอาจไดผลลพธทแตกตางกนไดถงแมวาจะเปนเครองคอมพวเตอร เครองเดยวกนภายในเวลาทใกลเคยงกน
การทำสำเนาขอมลNon-volatiledata
การทำสำเนาขอมลNon-volatiledataหรอขอมลทไมสญหายเมอปดคอมพวเตอรเปนกระบวนการทคนทวไปนาจะคนเคยและรจกดเพราะเปนการทำสำเนาสอบนทกขอมลเชน
CYBER THREATS 2013 181
ฮารดดสกซดดวดThumbdriveSSDฯลฯโดยใชวธการกอปปแบบbit-to-bitนนเองซงขอมลททำสำเนาแลวจะเหมอนกบตนฉบบทกประการเนองจากฮารดดสกมความจเพมมากขนเรอยๆจนถง4เทราไบตแลวดงนนการเลอกใชเครองมอไมวาจะเปนฮารดแวรหรอซอฟตแวรควรคำนงถงความเรวในการอานและเขยนขอมลดวยรวมทงจะตองคำนงถงเวลาทใชในการตรวจสอบยนยนความถกตองสมบรณของสำเนาดวยเชนเครองมอทำสำเนาฮารดดสกแบบbit-to-bitมคณสมบตสามารถสำเนาขอมลดวยความเรว6กกะไบตตอนาทดงนนควรจะสามารถทำสำเนาฮารดดสกขนาด1เทราไบตเสรจภายในเวลา3ชวโมงแตเมอทดสอบในหองปฏบตการกพบวาตองใชเวลานานถง6ชวโมงครงเนองจากจะตองใชเวลาอกหนงเทาตวในการคำนวณและเปรยบเทยบคาแฮชเพอยนยนความสมบรณของสำเนาดวยดงนนกอนทจะเรมกระบวนการทำสำเนาพยานหลกฐานควรจะวางแผนลวงหนาและเผอเวลาไวดวยและนอกจากนกจะตองเตรยมฮารดดสกทจะใชบนทกไฟลImageทมขนาดความจไมนอยกวาพยานหลกฐานตนฉบบและควรเปนฮารดดสกทผานการลางขอมล(Wipe)มากอนซงการWipeคอการสงเขยนขอมลลงฮารดดสกใหเตมพนทโดยอาจเขยนดวยเลข0หรอเลขฐานสบหกอนๆแลวแตเครองมอทเลอกใชเพอปองกนการปนเปอนของพยานหลกฐานกบขอมลเดมทอยในฮารดดสก
ดวยเทคโนโลยในปจจบนการทำสำเนาขอมลNon-volatiledataทำไดหลายวธไมวาจะใชเครองมอฮารดแวรเฉพาะทสามารถอานฮารดดสกพยานหลกฐานตนฉบบและเขยนขอมลbit-to-bitไปยงฮารดดสกสำเนาโดยไมตองผานเครองคอมพวเตอร(เชนForensicImager3,ForensicDuplicator2,HardCopy3P,ImagerMasterหรอShadow3เปนตน)หรอใชเครองคอมพวเตอรทไดตดตงซอฟตแวรเฉพาะอานขอมลจากฮารดดสกพยานหลกฐานผานอปกรณทเรยกวา“Writeblocker”เพอปองกนมใหเกดการเปลยนแปลงของขอมลภายในพยานหลกฐาน (เชนdd,EnCaseImager,Raptor,Helix,FTKImagerเปนตน)
ตวอยางท1แสดงวธการทำสำเนาฮารดดสกโดยใชอปกรณHardCopyซงมสายดาตาเชอมตอไปยงพยานหลกฐานตนฉบบทอยดานซายเพออานขอมลและมสายดาตาอกเสนทตอไปยงฮารดดสกสำเนาทอยดานขวาเพอเขยนขอมลอปกรณนมจอแสดงผลซงสามารถแสดงคาแฮชเพอยนยนความครบถวนสมบรณของกระบวนการทำสำเนาและนอกจากนกยงมการสรางLogเพอบนทกรายละเอยดทเกยวของทงหมดเชนขอมลรนยหอSerialnumberความจจำนวนและขนาดเซกเตอรเวลาเรมตน/สำเรจคาแฮชเปนตน
บทความท วไป182
รปท3การทำสำเนาฮารดดสกดวยอปกรณHardCopy
รปท4แสดงผลคาแฮชMD5ของสำเนา
CYBER THREATS 2013 183
รปท5Logfileแสดงขอมลฮารดดสกวนและเวลาททำสำเนาและคาแฮชของพยานหลกฐานตนฉบบเปรยบเทยบกบสำเนา
ตวอยางท2ในกรณทไมมฮารดแวรเฉพาะสำหรบทำสำเนาขอมลกสามารถใชโปรแกรมเชนFTKImagerอานขอมลจากฮารดดสกพยานหลกฐานผานWriteblockerเพอปองกนการเปลยนแปลงขอมลพยานหลกฐานตนฉบบแลวเขยนขอมลไปยงฮารดดสกสำเนาในตวอยางนฮารดดสกพยาน
บทความท วไป184
หลกฐานตนฉบบอยในกลองWriteblockerดานซายมอซงมไฟสแดงแสดงสถานะReadOnlyเมอโปรแกรมFTKImagerซงตดตงอยในเครองคอมพวเตอรแลปทอปอานขอมลมาแลวกจะเขยนลงในฮารดดสกสำเนาแบบbit-to-bitจนกวาจะอานขอมลทงหมดจากพยานหลกฐานตนฉบบและเขยนไวในสำเนาครบถวนสมบรณซงสามารถตรวจสอบไดจากไฟลLogทบนทกขอมลทเกยวของทงหมด
รปท6การทำสำเนาฮารดดสกดวยซอฟตแวรFTKImagerโดยใชอปกรณWriteblocker
CYBER THREATS 2013 185
รปท7Logfileแสดงขอมลเกยวกบฮารดดสกวนและเวลาททำสำเนาและคาแฮชของ พยานหลกฐานตนฉบบเปรยบเทยบกบสำเนา
สำหรบตอนนขอจบแตเพยงเทานตอนหนามาเรมเรยนรเทคนคการวเคราะหขอมลกนคะ
อางอง
1. http://www.accessdata.com/support/product-downloads
2.http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/
3.http://www.digitalintelligence.com/
บทความเชงเทคนค186
CYBER THREATS 2013 187
บทความเชงเทคนค
บทความเชงเทคนค188
NMAPผเขยน : ธงชยศลปวรางกรวนทเผยแพร : 1มนาคม2556ปรบปรงลาสด : 1มนาคม2556
ในบรรดาซอฟตแวรทเกยวของกบทางดานNetworksecurityนนNmapถอวาเปนซอฟตแวรตวหนงทไดรบความนยมเปนอยางสงและมการนำไปใชกนอยางแพรหลายโดยเฉพาะผททำงานในดานการดแลระบบเครอขายและระบบความมนคงปลอดภยเรมแรกนนNmapไดรบการพฒนาขนสำหรบระบบปฏบตการLinuxเพอใชในการคนหาและสรางรปแบบการเชอมตอระหวางอปกรณภายในระบบเครอขายเปนหลกแตตอมาไดพฒนาใหมความสามารถในการคนหาบรการทเปด ใชงานอยบนระบบคอมพวเตอรและยงนำไปพฒนาตอเพอใหสามารถใชบนระบบปฏบตการอนๆไดอกดวยสงททำใหNmapไดรบความนยมนนคอฟงกชนการทำงานทมใหเลอกใชและสามารถปรบแตง ไดอยางหลากหลายรวมถงสามารถเลอกใชไดบนแทบทกระบบปฏบตการทนยมใชกนในปจจบน ไมวาจะเปนWindows,Linux,MacOSXหรอแมกระทงระบบปฏบตการสำหรบอปกรณพกพา อยางเชนAndroidจงทำใหNmapเปนตวเลอกแรกๆในบรรดาซอฟตแวรประเภทNetworksecurityscanner
ความสามารถโดยทวไป
• HostDiscovery:การคนหาอปกรณทกำลงทำงานอยในระบบเครอขายเปาหมาย
• PortScanning:การตรวจสอบพอรตทเปดใชงานอยบนระบบเปาหมายเพอนำหมายเลขพอรตทไดไปคนหาตอวาระบบดงกลาวเปดใหบรการอะไร
• OperatingSystem/ServiceVersionDetection:การตรวจสอบเวอรชนของระบบปฏบตการและบรการทเปดใชงานบนระบบเปาหมาย
• ScriptScanning:การใชสครปตเพอเพมความสามารถของNmapในการทำงานดานอนๆโดยทวไปจะเกยวของกบการตรวจสอบความมนคงปลอดภยของระบบ ความสามารถของNmapในการเรยกใชสครปตนมชอวาNmapScriptingEngineซงไมไดอธบายในบทความนแตจะขอกลาวในโอกาสตอไป
การตดตงโปรแกรม
Windows,MacOSXและRPM-basedLinuxdistribution
ระบบปฏบตการทอยในหวขอนนอกจากWindowsและMacOSXแลวยงรวมถงLinuxทใชRPMเปนระบบจดการแพกเกจเชนRedHatEnterpriseLinux,CentOS,Fedora,
CYBER THREATS 2013 189
openSUSEและMandrivaผทใชระบบปฏบตการเหลานสามารถดาวนโหลดตวตดตงสำเรจรปจากหนาDownloadไดโดยตรง[1]สวนขนตอนการตดตงโปรแกรมนนหากเปนWindowsหรอMacOSจะทำผานทางInstallationwizardเหมอนโปรแกรมอนๆทวไปสวนLinuxสามารถใชคำสงrpmผานทางCommand-lineเพอตดตงโปรแกรม
Debian-basedLinuxdistribution
ระบบปฏบตการทอยในหวขอนเชนDebianและUbuntuเปนตนผทใชระบบปฏบตการเหลานสามารถตดตงผานทางโปรแกรมจดการแพกเกจทมาพรอมกบระบบปฏบตการเชนapt-getไดโดยใชคำสงตอไปนผานทางCommand-line
sudoapt-getinstallnmap sudoapt-getinstallzenmap(สำหรบผทตองการใชโปรแกรมZenmap)
เมอตดตงเสรจแลวปกตจะสามารถเรยกใชผานทางCommand-lineโดยใชโปรแกรมCommandPromptบนWindowsหรอโปรแกรมTerminalบนMacOSXและLinuxไดทนทแตสำหรบผเรมตนอาจเลอกใชโปรแกรมผานทางGUIเชนZenmapไดเชนกนซงจะอธบายในหวขอถดๆไปอยางไรกตามวธดงกลาวมกไมไดตดตงโปรแกรมทเปนเวอรชนลาสดดงนนหากผทใชระบบปฏบตการในหวขอนตองการตดตงโปรแกรมเวอรชนลาสดจะตองดาวนโหลดSourcecodeมาCompileและตดตงดวยตวเองหรอใชคำสงalienในการแปลงไฟลแพกเกจ.rpmใหเปน.debกอนทจะตดตงดวยคำสงdpkgผานทางCommand-line[2]
คำสงการใชงานพนฐาน
Nmapนนมคำสงใหเลอกใชเปนจำนวนมากแตสำหรบการใชงานทวไปนนจะใชเพยงไมกคำสงเนองจากสวนใหญมกจะเปนคำสงเกยวกบการกำหนดรายละเอยดของเทคนคการตรวจสอบระบบเปาหมายใหทำงานตามจดประสงคทเฉพาะเจาะจงมากกวาดงนนในหวขอนจงขออธบายเฉพาะคำสงพนฐานทนยมใชกนโดยทวไปเพอไมใหเกดความสบสนสำหรบผทเรมตนใชแตกอนอนผใชควรมความเขาใจเกยวกบสวนประกอบหลกของคำสงดงตอไปน
nmap<scan-technique><options><target>
คำสงของNmapนนประกอบดวย3สวนหลกดงทเหนขางบนในสวนของ<scan-technique>เปนการระบเทคนคทจะใชในการสแกนระบบเปาหมายเชนTCPSYNscanหรอUDPscanซงสามารถระบไดหลายเทคนคพรอมกนสวน<options>เปนการระบตวเลอกอนๆประกอบซงมใหเลอกใชเปนจำนวนมากตวอยางเชนการตรวจสอบระบบปฏบตการการระบหมายเลขพอรตทจะสแกนและการกำหนดรปแบบของผลลพธทไดสวนสดทายคอ<target>เปนสวนทใชระบเปาหมายทจะทำการตรวจสอบโดยทวไปจะนยมระบเปนIPaddress,กลมของIPaddressในรปของCIDRnotation(เชน192.168.1.0/24),HostnameหรอDomainnameทงนบางคำสงเชนการตรวจสอบระบบปฏบตการจำเปนทจะตองใชสทธของผดแลระบบ
บทความเชงเทคนค190
(AdministratoraccountในWindowsหรอrootในMacOSXและLinux)ในการใชงานเนองจากคำสงเหลานตองการทจะสรางแพกเกตเพอสงไปยงระบบเปาหมายในรปแบบพเศษทไมอางองกบมาตรฐานการทำงานของโพรโทคอลตามปกตหรอไมใชรปแบบทระบบปฏบตการจดเตรยมไวให
การตรวจสอบหาระบบทกำลงทำงาน
วธนเปนการตรวจสอบหาอปกรณหรอเครองคอมพวเตอรทกำลงทำงานอยในระบบเครอขายโดยการPingไปยงเปาหมายทระบไววธนเหมาะกบการจำกดกลมเปาหมายในกรณททำการตรวจสอบบนเครอขายขนาดใหญเนองจากมการทำงานทรวดเรวโดยมคำสงการใชงานดงน
nmap-sn<target>
ตวแปร-snหมายถงการทำPingscanในอกความหมายหนงคอการกำหนดไมใหทำPortscan
การตรวจสอบบรการเวอรชนของบรการและระบบปฏบตการ
วธนจะทำการตรวจสอบบรการและเวอรชนของบรการทตรวจพบรวมถงระบบปฏบตการของระบบเปาหมายโดยใชคำสงดงน
nmap-sS-sV-O<target>
ตวแปร-sSหมายถงใชเทคนคการสแกนแบบTCPSYNScanซงเปนเทคนคพนฐานทมกนยมใชทวไปโดยผใชสามารถเปลยนหรอเพมเทคนคการสแกนรปแบบอนไดสวนตวแปร-sVและ-Oหมายถงการตรวจสอบหาเวอรชนของบรการและระบบปฏบตการตามลำดบ
การตรวจสอบบรการทเปดใชงานโดยระบหมายเลขพอรต
วธนจะใชในการตรวจสอบบรการทเปดใชงานโดยระบหมายเลขพอรตเพอจำกดกลมของบรการทจะตรวจสอบทำใหชวยลดระยะเวลาในการทำงานและจำกดผลลพธเฉพาะทตองการการตรวจสอบดงกลาวใชคำสงดงน
nmap-p<port-range><target>
ตวแปร-pหมายถงการกำหนดใหสามารถระบหมายเลขพอรตไดสวน<port-range>คอชวงของหมายเลขพอรตทตองการตรวจสอบซงสามารถระบไดหลายรปแบบดงน
• ระบหมายเลขพอรตเดยว
• ระบหลายหมายเลขพอรตเชน80,443
• ระบหมายเลขพอรตเปนชวงทตอเนองกนเชน21-25
• ระบหมายเลขพอรตและชวงของหมายเลขพอรตผสมกนเชน21-25,80,443
• ระบหมายเลขพอรตและโพรโทคอล(TCPหรอUDP)เชนT:21-25,80,443,U:53
CYBER THREATS 2013 191
ตวเลอกคำสงอนๆ
การกำหนดความเรวในการสแกน
เปนวธทใชกำหนดความเรวในการสแกนระบบเปาหมายซงในทางเทคนคหมายถงการกำหนดระยะเวลาทจะสงแพกเกตและรอการตอบรบจากระบบเปาหมายโดยตวแปรทใชคอ
-T<number>
<number>สามารถระบไดตงแต0ถง5ยงมคามากกจะยงทำการสแกนไดเรวแตกแลกกบความถกตองแมนยำของผลลพธทไดโดยปกตหากไมระบตวแปรนลงในคำสงจะมคาเทากบการใชตวแปร-T3สำหรบวธการใชตวแปรนใหระบควบคไปกบตวแปรทระบเทคนคการสแกนและตวแปรทระบระบบเปาหมายตวอยางเชนnmap-sS-T4192.168.1.1อยางไรกตามยงมอกหลายตวแปรสำหรบใชกำหนดคาตางๆทเกยวกบการรบสงแพตเกตอยางละเอยดเชนการกำหนดTimeoutและDelayแตจะขอไมอธบายวธการใชในบทความนผทสนใจสามารถศกษาเพมเตมไดจากเวบไซตทางการของNmapในหวขอTimingandPerformance[3]
การกำหนดรปแบบของผลลพธ
nmapอนญาตใหผใชสามารถเลอกรปแบบของผลลพธและบนทกผลลพธดงกลาวลงในไฟลไดในปจจบนนยมใชอย2ตวแปรคอ
-oN<output-file>:แสดงผลลพธในรปแบบปกตทวไป(เปนคาตงตนไมจำเปนตองระบกได)
-oX<output-file>:แสดงผลลพธในรปของXML
สวน<output-file>คอPathของไฟลทจะบนทกผลลพธการสแกนไว
RuntimeInteraction
คำสงในหมวดนใชสำหรบดรายละเอยดการทำงานเบองหลงโดยวธการใชนนจะใหผใชกดปมคยบอรดในขณะทNmapกำลงทำการสแกนดงตอไปน
p:เปดการทำงานPackettracing
v:แสดงสถานะการทำงานในแตละขนตอนใหมากขน
d:แสดงการทำงานเบองหลงทละเอยดมากขน
?:แสดงรายละเอยดคำสงทสามารถใชไดในโหมดน
หากผใชตองการยกเลกคำสงใดใหพมพอกษรตวพมพใหญของคำสงนนๆ
การใชงานผานโปรแกรมZenmap
สำหรบผใชในระดบเรมตนทไมถนดจะใชโปรแกรมNmapผานทางCommand-lineสามารถเลอกใชโปรแกรมZenmapซงเปนGUIfront-endของโปรแกรมNmapทมาพรอมกบตวตดตง
บทความเชงเทคนค192
มาตรฐานแทนไดโดยเมอเปดโปรแกรมZenmapขนมาจะพบกบหนาตางดงรปท1
รปท1หนาตางหลกของโปรแกรมZenmap
หนาตางหลกของโปรแกรมZenmapแบงออกเปน3สวนดงน
1.สวนทเกยวของกบคำสงประกอบดวย
• Target:ระบบเปาหมายทจะทำการตรวจสอบในชองนสามารถระบเปนIPaddress,HostnameหรอDomainnameกได
• Profile:ลกษณะการสแกนในรปแบบตางๆเชนPingscanหรอการสแกนเฉพาะพอรตTCPโดยโปรแกรมZenmapจะมโปรไฟลมาใหเลอกใชอยแลวสวนหนง
• Command:คำสงทจะใชในการประมวลผลซงจะปรากฏหลงจากทระบคาในชองTargetและเลอกโปรไฟลแลวทงนผใชสามารถระบคำสงลงในชองนไดโดยตรงโดยไมตองระบคาในชองTargetและเลอกโปรไฟลกได2.หนาตางสำหรบกรองผลการสแกนตามอปกรณหรอบรการทตรวจพบเมอเลอกรายการใดๆ
ในหนาตางนจะทำใหหนาตางทางดานขวาแสดงผลลพธทสมพนธกบรายการทเลอกไวแบงออกเปน2สวนยอยคอ
• Hosts:รายการอปกรณทงหมดทตรวจพบวากำลงทำงานอยในระบบเครอขายโดยแสดงขอมลของระบบปฏบตการทใช,Hostname(ถาม)และIPaddressของแตละเครอง
• Services:บรการทตรวจพบวากำลงเปดใชงานอยบนระบบหนาตางแสดงผลการสแกนระบบเปาหมายแบงออกเปน5แทบไดแก• NmapOutput:แสดงผลลพธการสแกนทไดทงหมดซงจะมหนาตาเหมอนกบผลลพธทไดจากการ
เรยกใชNmapผานทางCommandline
CYBER THREATS 2013 193
• Ports/Hosts:รายละเอยดของบรการทเปดใชงานอยบนระบบเปาหมายประกอบไปดวยหมายเลขและสถานะของพอรตโพรโทคอลชอและเวอรชนของบรการ
• Topology:รปแบบโครงสรางการเชอมตอของอปกรณทตรวจพบภายในเครอขายซงสรางขนจากผลลพธทไดจากการสแกน
• HostDetails:รายละเอยดของระบบเปาหมายทตรวจพบเชนIPaddress,MACaddressและHostname
• Scans:รายการคำสงทเคยเรยกใช
ในการใชงานทวไปนนผใชเพยงระบคาในชองTargetจากนนเลอกโปรไฟลแลวคลกปมScanกถอวาเปนอนเสรจสนแตในกรณทผใชตองการสแกนในรปแบบอนๆนอกเหนอจากโปรไฟลทมใหเลอกผใชสามารถเพมโปรไฟลไดเองโดยการเลอกเมนProfile->NewProfileorCommandจะพบกบหนาตางProfileEditorดงรปท2โดยคำสงพนฐานของNmapจะอยในแทบScanและPingผใชเพยงระบชอโปรไฟลในแทบProfileจากนนเลอกคำสงทตองการในแทบอนๆแลวคลกปมSaveChangesกสามารถนำโปรไฟลดงกลาวไปใชงานได
รปท2หนาตางProfileEditor
บทความเชงเทคนค194
เมอทำการสแกนเสรจแลวผใชสามารถบนทกผลลพธของการสแกนไดโดยเลอกเมนScan->SaveScan
สรป
nmapเปนโปรแกรมทใชในการตรวจสอบระบบในเครอขายอยางมประสทธภาพอยางไรกตามคงเปนการยากทจะอธบายวธการใชงานทกคำสงทมเนองจากมตวเลอกใหใชเปนจำนวนมากและบางคำสงกมรายละเอยดการทำงานทซบซอนดงนนผใชควรศกษาและทดลองการใชงานแตละคำสงดวยตวเองโดยสวนตวนนผเขยนแนะนำใหผใชในระดบเรมตนทดลองใชผานโปรแกรมZenmapกอนทจะเปลยนไปใชผานทางCommand-lineเมอมความชำนาญแลวเพราะนอกจากการใชงานผานทางGUIทงายกวาผใชยงสามารถเหนฟงกชนการทำงานในสวนตางๆทำใหรและเขาใจความสามารถของNmapในภาพรวมไดดยงขน
อางอง
1. http://nmap.org/download.html
2.http://nmap.org/book/inst-linux.html
3.http://nmap.org/book/man-performance.html
CYBER THREATS 2013 195
บทความเชงเทคนค196
DDOS:DNSAMPLIFICATIONATTACKผเขยน : ธงชยศลปวรางกรวนทเผยแพร : 6เมษายน2556ปรบปรงลาสด : 17เมษายน2556
ตงแตชวงกลางเดอนมนาคม2556ทผานมามรายงานขาวใหญเกยวกบระบบของหนวยงานSpamhausProjectซงเปนหนวยงานไมแสวงหากำไรทมภารกจหลกในการจดการปญหาขอมลไมพงประสงคบนอนเทอรเนตโดยทระบบของSpamhausนนถกโจมตในรปแบบDistributedDenial-of-Service(DDoS)เปนระยะๆสงผลใหเวบไซตspamhaus.orgและบรการอเมลของSpamhausไมสามารถใชงานไดชวขณะจนถงปจจบนยงไมมกลมบคคลใดออกมาประกาศวาเปนผอยเบองหลงการโจมตในครงนแตมการสนนษฐานวาเหตการณดงกลาวอาจมจดเรมตนมาจาก เหตขดแยงระหวางSpamhausและCyberbunkerซงเปนผใหบรการHostingในประเทศเนเธอรแลนดเมอSpamhausทำการบลอกIPaddressของเซรฟเวอรทอยภายใตการดแลของCyberbunkerเนองจากสงสยวาเซรฟเวอรเหลานนเปนฐานในการสงสแปมทำใหเกดการตอบโตการกระทำดงกลาว[1]
เบองหลงของการโจมต
สงทนาสนใจเกยวกบเหตการณนนอกจากจะเปนหนงในการโจมตประเภทDDoSทรนแรงทสดเทาทมการคนพบมาแลวประเดนเกยวกบเทคนคทใชในการโจมตกเปนอกสงหนงทควรนำมาเปนกรณศกษาโดยพบวาผททำการโจมตในครงนใชเทคนคทเรยกวาDNSamplificationattack(มอกชอหนงวาDNSreflectionattack)ดงรปท1ซงเปนวธการสงDNSrequestไปยงDNSresolverทตางๆโดยปลอมแปลงIPaddressตนทางในแพกเกตเปนIPaddressของระบบเปาหมายทำใหDNSresponseทตอบกลบมาจากDNSresolverถกสงไปยงระบบเปาหมายแทนทจะเปนผโจมตยงมการสงDNSrequestในทำนองนเปนจำนวนมากเทาใดกจะมDNSresponseตอบกลบไปยงระบบเปาหมายมากยงขนจนกระทงถงจดหนงททำใหNetworkbandwidthของระบบเปาหมายมไมเพยงพอตอปรมาณขอมลจำนวนมากทไดรบสงผลใหระบบเปาหมายไมสามารถใหบรการกบผใชรายอนๆได
CYBER THREATS 2013 197
รปท1รปแบบโดยทวไปของการโจมตดวยเทคนค DNSamplificationattack
สาเหตสำคญททำใหการโจมตดวยเทคนคนมประสทธภาพคอขนาดของResponseทมกใหญกวาRequestมากโดยRequestทสงไปยงDNSresolverนนถงแมวาจะมขนาดขอมลโดยทวไปทเลกมากเพยงไมกสบไบตแตResponseทตอบกลบมาอาจมขนาดใหญกวาRequestทสงไปถงหลายสบเทาไดดงนนผโจมตจงไมจำเปนตองมBotnet[2]ขนาดใหญไวในครอบครองเพอใชสงการโจมตระบบเปาหมายพรอมๆกนกสามารถทำใหการโจมตนนมความรนแรงอยางมากไดอยางไรกตามตนตอของปญหาทแทจรงทเอออำนวยใหผไมหวงดสามารถใชเทคนคการโจมตแบบDNSamplificationattackไดผลเปนอยางดจนเปนทนยมในปจจบนนนคอOpenDNSresolverซงหมายถงเซรฟเวอรหรออปกรณเครอขายใดๆกตามทเปดใหบรการDNSและมการตงคาอยางไมเหมาะสมโดยอนญาตใหผบคคลทวไปสามารถใชบรการไดแทนทจะจำกดการใชงานใหเฉพาะกบผทไดรบอนญาตผไมหวงดจงสามารถคนหาOpenDNSresolverทมอยทวไปในอนเทอรเนตและใชประโยชนจากมนในการโจมตระบบอนๆดวยเทคนคดงกลาวไดอยางงายดาย
บทความเชงเทคนค198
รปท2จำนวนIPaddressทไมซ�าของOpenDNSresolverทไทยเซรตไดรบรายงานในแตละเดอนระหวางเดอนก.ย.2555ถงเดอนม.ค.2556
จากขอมลทไทยเซรตไดรบรายงานจากหนวยงานตางประเทศตงแตเดอนกนยายน2555จนถงเดอนมนาคม2556พบวามจำนวนIPaddressของOpenDNSresolverทอยในประเทศไทยเฉลยประมาณวนละ1,000หมายเลขและมจำนวนIPaddressทไมซ�ารวมกนสงถงหลกหมนตอเดอนดงรปท2สวนรายงานผลการสำรวจของเวบไซตdns.measurement-factory.comเมอวนท16เมษายน2556[3]พบวาจำนวนOpenDNSresolverทอยภายใตการดแลของหนวยงานในประเทศไทยมจำนวน947หมายเลขจาก59หนวยงานซงประกอบไปดวยผใหบรการอนเทอรเนตหนวยงานภาครฐและเอกชนและสถาบนการศกษาในขณะทCloudFlareผทใหบรการContentDeliveryNetwork(CDN)กบSpamhausไดตรวจสอบการโจมตทเกดขนกบSpamhausและพบวาOpenDNSresolverในประเทศไทยทถกใชเปนฐาน ในการโจมตระบบของSpamhausมจำนวนทงสนถง898หมายเลข[4]ทำใหสามารถสนนษฐานในเบองตนไดวาOpenDNSresolverสวนใหญในประเทศไทยนนถกผไมหวงดนำไปใชเปนเครองมอในการโจมตผอนแลวดงนนปญหาทเกดจากการตงคาบรการDNSทไมเหมาะสมนนถอเปน เรองสำคญทควรดำเนนการแกไขอยางเรงดวน
การตรวจสอบหาOpenDNSresolver
วธการตรวจสอบเบองตนวามอปกรณในเครอขายของตนทเปนOpenDNSresolverหรอไมสามารถตรวจสอบไดจากหลากหลายเวบไซตดงน
1.ตรวจสอบจากเวบไซตopenresolverproject.org[5]
CYBER THREATS 2013 199
สามารถตรวจสอบไดโดยการระบIPsubnetทตองการตรวจสอบในหนาเวบหลกหากมIPaddressใดทมการพจารณาวาเปนหมายเลขของอปกรณทมลกษณะเปนOpenDNSresolverหมายเลขดงกลาวกจะปรากฏอยในตารางผลลพธดงรปท3
รปท3ผลลพธทไดจากการคนหาOpenDNSresolver จากIPsubnetทระบ
2.ตรวจสอบจากเวบไซตdns.measurement-factory.com[6] [7]
เวบไซตdns.measurement-factory.comนอกจากจะมรายงานผลการสำรวจของOpenDNSresolverแลวยงเปดบรการใหกบบคคลทวไปสามารถตรวจสอบหาOpenDNSresolverไดอกหลายชองทางโดยชองทางแรกของเวบไซตนเปนการตรวจสอบหาวาIPaddressใดบางทถกพจารณาวาเปนOpenDNSresolver[6]เรมจากการระบIPaddressหรอIPsubnetทตองการตรวจสอบจากนนเวบไซตจะขนรายการอเมลทตองการรบผลการตรวจสอบซงอเมลเหลานจะไดมาจากขอมลทระบไวในWhoisrecordของIPaddressหรอIPsubnetททำการตรวจสอบเมอเลอกอเมลทตองการแลวจะพบกบหนาตางยนยนการสงผลการตรวจสอบดงรปท4
บทความเชงเทคนค200
รปท4หนาตางยนยนการสงผลการตรวจสอบไปยงอเมลทเลอกไว
อกชองทางหนงของเวบไซตdns.measurement-factory.comเปนการตรวจสอบหาOpenDNSresolverจากรายการของIPaddress[7]โดยหลงจากทระบรายการของIPaddressทตองการตรวจสอบแลวจะไดผลลพธแสดงทางหนาเวบไซตหากผลลพธในคอลมนStatusเปนopenแสดงวาเครองทมIPaddressดงกลาวเขาขายทจะเปนOpenDNSresolverดงรปท5
รปท5หนาตางแสดงผลลพธของการตรวจสอบบนเวบไซต
CYBER THREATS 2013 201
3.ตรวจสอบจากเวบไซตdnsinspect.com[8]
เปนเวบไซตหนงทใชสำหรบตรวจสอบการทำงานของDNSserverอยางละเอยดโดยเมอระบโดเมนเนมผานทางหนาเวบหลกแลวเวบไซตดงกลาวจะประมวลผลและจดทำรายงานแสดงผลการตรวจสอบในแตละสวนซงรวมถงสวนทตรวจสอบวาDNSserverอนญาตใหทำการQueryแบบRecursiveไดหรอไมดงรปท6
รปท6สวนหนงของรายงานผลการตรวจสอบทไดจากเวบไซตdnsinspect.com
นอกจากการตรวจสอบดวยตนเองจากเวบไซตตางๆแลวTeamCymruซงเปนหนวยงานวจยทางดานInformationsecurityยงเปดบรการใหกบผดแลระบบสามารถขอรบรายงานประจำวนของOpenDNSresolverทอยภายในเครอขายของตนไดอกดวย[9]
การแกไขการตงคาของDNSserver
สำหรบวธแกไขการตงคาDNSserverเพอปองกนไมใหถกนำไปใชในทางทไมดและบรรเทาความเสยหายทเกดจากการโจมตในเบองตนนนมอยดวยกนหลายแนวทางดงทจะกลาวตอไปน
BINDเวอรชน9ขนไป
ในกรณของDNSserverทตงอยในระบบขององคกรททำหนาทเปนCachingnameserverใหจำกดการอนญาตการทำRecursionเฉพาะRequestทสงมาจากกลมผใชในระบบเครอขายเดยวกนโดยมตวอยางการตงคาดงรปท7
บทความเชงเทคนค202
รปท7ตวอยางการตงคาเพอจำกดการอนญาตการทำ RecursionในโปรแกรมBIND
จากรปท7ในสวนของaclจะมการสรางรายการทชอวาtrustednetซงประกอบไปดวยIPsubnetของเครอขายภายใน(ในทนคอ10.10.1.0/24และ10.10.2.0/24)และในของviewเปนการเพมเงอนไขใหIPsubnetในรายการดงกลาวสามารถทำRecursionไดสวนIPaddressหรอIPsubnetอนๆนอกเหนอจากทระบไวจะไมสามารถทำการQueryใดๆไดดงทระบในสวนของoptionsสำหรบการตงคาจรงนนผดแลระบบสามารถเพมการตงคาลงในไฟลnamed.confโดยใชตวอยางจากรปท7ไดเลยเพยงแคเปลยนคาในสวนของaclใหเปนIPaddress,IPsubnetหรอชอของaclรายการอนทเปนของระบบเครอขายภายในเทานน
สำหรบกรณทDNSserverทำหนาทเปนAuthoritativenameserverใหเพมการตงคาในไฟลnamed.confเพอปดการทำงานRecursionดงรปท8
รปท8ตวอยางการตงคาเพอปดการทำงานRecursionในโปรแกรมBIND
CYBER THREATS 2013 203
ทงนผอานสามารถศกษารายละเอยดเพมเตมเกยวกบแนวทางการตงคาในโปรแกรมBINDใหมความมนคงปลอดภยไดจากเอกสารของTeamCymru[10]
WindowsServer2003ขนไป
ในการตงคาเพอปดการทำงานRecursionผานทางGUIนนมขนตอนดงตอไปน
1. เปดโปรแกรมDNSManagerโดยไปทStart>AllPrograms>AdministrativeTools>DNS
2. คลกขวาบนเซรฟเวอรทตองการแลวเลอกProperties
3. ในหนาตางใหมเลอกแทบAdvancedแลวตกเครองหมายถกทรายการDisablerecursion(alsodisablesforwarders)แลวคลกApplyดงรปท9
รปท9ตวอยางการตงคาเพอปดการทำงานRecursionบนWindowsServer
สำหรบการตงคาเพอปดการทำงานRecursionผานทางCommand-lineสามารถทำไดผานโปรแกรมCommandPromptโดยใชคำสงdnscmdดงรปแบบตอไปน
dnscmd<ip-address>|<hostname>/Config/NoRecursion{0|1}
บทความเชงเทคนค204
โดยParameterตวแรกหลงจากคำสงdnscmdใหระบIPaddressหรอHostnameของDNSserverสวนParameterตวสดทายใหระบเปนเลข0หรอ1โดยเลข0หมายถงเปดการทำงานRecursionสวนเลข1หมายถงปดการทำงานRecursionเมอใชคำสงดงกลาวจะไดผลลพธดงรปท10
รปท10ตวอยางผลลพธทไดจากการใชคำสงdnscmd
นอกจากการตงคาเพอปดหรอจำกดการทำงานRecursionแลวผดแลระบบยงสามารถทำการตงคาDNSResponseRateLimiting(RRL)ซงเปนความสามารถทอนญาตใหผดแลระบบสามารถกำหนดจำนวนครงทDNSserverสามารถตอบผลลพธทเหมอนกนกลบไปยงผรองขอรายหนงๆไดมากทสดในแตละวนาททำใหชวยลดปรมาณขอมลทDNSserverตอบกลบไปยงผรองขอไดในระดบหนงซงหมายถงการชวยลดผลกระทบทเกดจากการนำDNSserverไปใชในการโจมตดวยเทคนคDNSamplificationattackดงทอธบายไวในตอนแรกทงนผทตองการกำหนดคาดงกลาวกบDNSserverทตนเองดแลอยนนควรมความรความเขาใจรวมถงสามารถตรวจสอบและแกไขการทำงานของโปรแกรมททำหนาทใหบรการDNSไดเปนอยางดเนองจากการใชความสามารถนมความจำเปนทจะตองอพเกรดเวอรชนหรอตดตงแพทชของโปรแกรมซงอาจสงผลกระทบตอการทำงานของระบบไดในกรณทตดตงไมถกวธปจจบนความสามารถดงกลาวเรมมใหเลอกใชในหลายโปรแกรมแลวไมวาจะเปนBIND,KnotDNSหรอNSDและกำลงอยในขนตอนการพฒนาเพอรองรบโปรแกรมตวอนๆเชนกนผทสนใจสามารถศกษาวธการตดตงและตงคาRatelimitingไดจากเวบไซตRedBarn[11]
CYBER THREATS 2013 205
อางอง
1. http://nakedsecurity.sophos.com/2013/03/28/massive-ddos-attack-against-anti-spam-provider-impacts-millions-of-internet-users
2.http://www.etda.or.th/etda_website/files/1/files/Malware.pdf
3.http://dns.measurement-factory.com/surveys/openresolvers/ASN-reports/20130416.html
4.http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack
5.http://openresolverproject.org
6.http://dns.measurement-factory.com/cgi-bin/openresolverquery.pl
7.http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl
8.http://www.dnsinspect.com
9.http://www.team-cymru.org/Services/Resolvers
10.http://www.cymru.com/Documents/secure-bind-template.html
11.http://www.redbarn.org/dns/ratelimits
บทความเชงเทคนค206
NMAPSCRIPTINGENGINEผเขยน : ธงชยศลปวรางกรวนทเผยแพร : 11เมษายน2556ปรบปรงลาสด : 11เมษายน2556
สำหรบทานทเคยศกษาหรอมประสบการณในการทำงานดานการดแลระบบสารสนเทศมากอนอาจรจกหรอคนเคยกบโปรแกรมทชอวาNmapเนองจากเปนเครองมอทสามารถใชตรวจสอบขอมลเบองตนของระบบไดเปนอยางดมฟงกชนการใชงานใหเลอกทหลากหลายและทสำคญคอสามารถใชงานไดฟรอยางไรกตามความสามารถของNmapไมไดจำกดอยเพยงแคการใชงานโดยทวไปเชนการสแกนระบบเปาหมายเพอคนหาServiceและหมายเลขพอรตทเปดใชงานหรอรายละเอยดของระบบปฏบตการททำงานบนระบบดงกลาวเทานนแตเรายงสามารถใชNmapในการทดสอบความมนคงปลอดภยของระบบและสบหาขอมลในมมมองอนๆไดอกดวยโดยใชความสามารถทเรยกวาNmapScriptingEngine
ขอมลเบองตนเกยวกบNmapScriptingEngine
NmapScriptingEngine(NSE)เปนความสามารถทมมาพรอมกบNmapอยางเปนทางการตงแตเวอรชน4.50ซงเผยแพรเมอป2007[1]โดยมจดเดนอยทความสามารถในการเรยกใชสครปตทมชอวาNSEscriptซงผใชสามารถเขยนสครปตดงกลาวขนมาใชงานไดเองทำใหความสามารถในการทำงานของNmapนนขยายขอบเขตออกไปขนอยกบฟงกชนการทำงานของสครปตทมการเรยกใชในปจจบน(ณวนทเผยแพรบทความ)สครปตนนแบงออกเปนหมวดยอยตางๆดงน
• auth:สครปตทเกยวของกบการยนยนตวบคคลเพอเขาใชงานระบบเชนการทดสอบเขาใชงานระบบโดยใชชอบญชผใชและรหสผานทเปนคาเรมตน
• broadcast:สครปตทใชในการคนหาอปกรณหรอเครองแมขายททำงานอยบนระบบเครอขายประเภทตางๆ
• brute:สครปตทใชในการเดาสมรหสผานของServiceตางๆ• default:สครปตทใชในการสบหาขอมลพนฐานของระบบ• discovery:สครปตทใชในการคนหาขอมลเชงลกของระบบเปาหมาย• dos:สครปตทใชทดสอบการโจมตระบบดวยวธDenial-of-Service• exploit:สครปตทใชทดสอบการเจาะระบบผานทางชองโหวของServiceตางๆ• external:สครปตทใชในการคนหาขอมลเพมเตมจากบรการภายนอกเชนWHOIS• fuzzer:สครปตทใชในการทำFuzzingซงเปนเทคนคการตรวจสอบซอฟตแวรดวย
การปอนขอมลสมในรปแบบทคาดวาจะทำใหเกดการทำงานทผดพลาด
CYBER THREATS 2013 207
• intrusive:สครปตทเกยวของกบการทดสอบโจมตระบบเปนหลกสวนใหญเปนสครปตทอยในหมวดbrute,exploitและdos
• malware:สครปตทใชตรวจสอบระบบวากำลงตดมลแวรหรอมชองโหวทอาจถกโจมตโดยมลแวรหรอไม
• safe:สครปตทใชในการคนหาขอมลตางๆโดยการทำงานของสครปตทอยในหมวดนไมมความเสยงทจะทำใหเกดผลกระทบตอการทำงานของระบบ
• version:สครปตทใชในการคนหารายละเอยดของServiceททำงานอยบนระบบเปาหมาย
• vuln:สครปตทใชตรวจสอบหาชองโหวของServiceททำงานอยบนระบบเปาหมาย
การเรยกใชNSEScript
การใชโดยระบหมวดหมของสครปต
วธนเปนการเรยกใชสครปตทงหมดทอยในหมวดทระบไวโดยมรปแบบคำสงการใชงาน โดยทวไปดงน
nmap--script<category-name><target>
ซงการเรยกใชคำสงนนสามารถทำไดผานทางโปรแกรมCommandPromptบนWindowsหรอTerminalบนLinuxและMacOSX
รปท1ตวอยางการใชคำสงโดยระบชอหมวดหมของสครปต และผลลพธสวนหนงทได
บทความเชงเทคนค208
จากรปท1เปนการใชคำสงnmap--scriptauth192.168.1.2ซงจะไปเรยกใชสครปตทอยในหมวดauthเพอทำการตรวจสอบวาระบบเปาหมายทมIPaddressเปน192.168.1.2นนมขอมลใดๆกตามทเกยวของกบกระบวนการยนยนตวบคคลหรอไมจากสวนหนงของผลลพธทไดจะพบวาบรการFTPของระบบดงกลาวมการตงคาอนญาตใหบคคลใดๆสามารถเขาใชงานระบบFTPกได(AnonymousFTP)
ทงนในการใชงานNmapโดยทวไปทมการระบตวแปร-sC,-sVหรอ-Aอยในคำสงกจะมการเรยกใชสครปตจากทงหมวดหมโดยอตโนมตอยแลวโดยตวแปร-sCจะกำหนดใหเรยกใชสครปตทอยในหมวดdefaultสวนตวแปร-sVจะกำหนดใหเรยกใชสครปตทอยในหมวดversionและตวแปร-AจะกำหนดใหเรยกใชสครปตทอยในหมวดdefaultและversionรวมถงการตรวจสอบระบบปฏบตการและการทำTraceroute
ขอดของการเรยกใชสครปตทงหมดทอยในหมวดๆหนงคอการทไดผลลพธจากทกๆสครปตททำงานเพอจดประสงคเดยวกนในคราวเดยวเชนหากตองการตรวจสอบหาชองโหวของServiceตางๆททำงานอยบนระบบเพยงแคระบชอหมวดเปนvulnกจะไดผลลพธจากการตรวจสอบServiceทกประเภทเทาทสครปตทงหมดในหมวดดงกลาวจะรองรบแตการใชงานทงายกแลกกบเวลาทใชในการประมวลคอนขางนานเนองจากเปนการเรยกใชสครปตจำนวนมากในครงเดยวดงนนผทตองการสบหาขอมลหรอตรวจสอบสวนใดสวนหนงของระบบโดยเฉพาะการเรยกใชสครปตเปนรายตวจะเปนวธทเหมาะสมกวา
การใชโดยระบชอของสครปต
ในกรณทตองการเรยกใชสครปตตวใดตวหนงสามารถทำไดโดยมรปแบบคำสงโดยทวไปดงน
nmap--script<script-name>|<script-path><target>
CYBER THREATS 2013 209
รปท2ตวอยางการใชคำสงโดยระบชอของสครปตและผลลพธสวนหนงทได
จากรปท2เปนการเรยกใชคำสงnmap--scriptmysql-info192.168.1.2ซงจะไปเรยกใชสครปตทมชอวาmysql-infoเพอสบหารายละเอยดของMySQLบนระบบเปาหมายทมIPaddressเปน192.168.1.2ผลลพธทไดคอเวอรชนของMySQL(5.0.51a-3ubuntu5)และรายละเอยดปลกยอยอนๆในกรณนสครปตทถกเรยกใชนนอยในDirectoryทถกสรางขนตงแตตอนตดตงโปรแกรมNmapอยแลว(ซงกคอC:\ProgramFiles\Nmap\scriptsสำหรบWindowsและ/usr/share/nmap/scriptsหรอ/usr/local/share/nmap/scriptsสำหรบLinuxตามทไดกลาวไวในตอนตน)แตถาตองการเรยกใชสครปตทอยภายนอกDirectoryดงกลาวในคำสงจะตองระบAbsolutepathของไฟลสครปตนนๆเชนหากไฟลmysql-info.nseอยใน/home/user/Desktopคำสงทใชกจะเปลยนเปนnmap--script/home/user/Desktop/mysql-info.nse192.168.1.2
บทความเชงเทคนค210
การระบArgumentของสครปต
NSEscriptแตละตวนนสามารถรบคาArgumentเพอนำไปใชเปนเงอนไขในการประมวลผลไดซงรปแบบคำสงโดยทวไปทใชในการระบArgumentคอ
nmap--script<script-name>--script-args<arg1>=<val1>[,<arg2>=<val2>,...]<target>
ในคำสงสวนทเปนการระบArgumentนนผใชสามารถระบเพยงArgumentตวเดยวหรอหลายตวกไดหากระบArgumentหลายตวจะตองคนดวยเครองหมายCommaและหากคาของArgumentมชองวางใหครอบดวยเครองหมายDoublequoteตวอยางของคำสงทมการระบArgumentเชน
nmap--scripthttp-enum--script-argshttp-enum.category=generalhttp.useragent=”Mozilla/5.0(compatible;MSIE10.0;WindowsNT6.1;Trident/6.0)”192.168.1.2
จากตวอยางขางบนเปนการเรยกใชสครปตทชอhttp-enumซงใชสำหรบสแกนหาชอDirectoryทนยมใชกนในWebapplicationตางๆโดยระบคาของArgumentทชอhttp-enum.categoryเปนgeneralซงจะทำการคนหาเฉพาะชอDirectoryทวไปและhttp.useragentเปนHTTPuseragentทแสดงตวเปนผใชเวบเบราวเซอรInternetExplorer10บนWindows7
ขอดของNmapของการเรยกใชสครปตโดยระบArgumentคอผใชไมจำเปนทจะตองระบArgumentใหตรงกบArgumentทสครปตรองรบแตNmapจะเปนตวจดการเองวาสครปตนนๆรองรบArgumentทระบไวไดหรอไมซงหากไมรองรบกไมไดมผลกระทบตอการเรยกใชสครปตดงกลาวแตอยางใดและขอดอกประการหนงกคอArgumentบางตวสามารถใชกบสครปตไดหลายตวทำใหเวลาทจะเรยกใชสครปตครงละหลายๆตวทเกยวของกบโพรโทคอลหรอServiceเดยวกนสามารถใชArgumentรวมกนไดเชนhttp.useragentทใชในตวอยางคำสงขางตนสามารถใชรวมกบสครปตอนๆทมชอขนตนดวยhttpไดทงหมดไมวาจะเปนhttp-auth,http-headersหรอhttp-php-versionเปนตน
ผใชสามารถศกษาขอมลเพมเตมเกยวกบสครปตแตละตวไดจากNSEDocReferencePortal[2]ซงจะมรายละเอยดเกยวกบArgumentทสครปตแตละตวรองรบหรอในกรณทผใชใชงานZenmapซงเปนโปรแกรมNmapเวอรชนทมGUIกสามารถเรยกดขอมลดงกลาวทางออมไดจากตวโปรแกรมเองเชนกนโดยเรมจากเปดโปรแกรมZenmapแลวเลอกเมนProfileจากนนเลอกเมนNewProfileorCommandหรอEditSelectedProfileจะพบกบหนาตางProfileEditorใหเลอกแทบScriptingกจะพบกบรายการสครปตทงหมดและรายละเอยด การใชงานของสครปตแตละตวดงรปท3ซงจากหนาตางนผใชสามารถเลอกคำสงและกำหนดคาArgumentตางๆแลวบนทกเกบไวเปนProfileเพอทจะสามารถเรยกใชคำสงดงกลาวไดในภายหลง
CYBER THREATS 2013 211
รปท3หนาตางProfileEditorในโปรแกรมZenmap
คำสงอนๆ
การเรยกดคำอธบายการใชงานของสครปต
ผใชสามารถเรยกดคำอธบายการใชงานสครปตเบองตนไดโดยใชคำสงดงน
nmap--script-help<script-name>
การตรวจสอบการทำงานของสครปต
ในกรณเกดปญหาระหวางการเรยกใชสครปตผใชสามารถเปดการทำงานในโหมดDebugเพอตรวจสอบการทำงานเบองหลงของสครปตไดโดยระบตวแปร-d(หรอ-ddหากตองการดรายละเอยดการทำงานมากยงขน)ลงในคำสงตวอยางเชน
nmap--scripthttp-headers-d192.168.1.2
บทความเชงเทคนค212
รปท4ผลลพธสวนหนงทไดจากการทำงานในโหมดDebug
การอพเดตฐานขอมลของสครปต
ในกรณทตองการเรยกใชสครปตโดยระบเปนหมวดหมแตเคยมการเพมหรอลบสครปตออกจากหมวดdefaultหรอมการเปลยนหมวดหมของสครปตใดๆมากอนควรทำการอพเดตฐานขอมลของสครปตโดยใชคำสงดงน
nmap--script-updatedb
หมายเหต:ผอานสามารถศกษาวธการเรยกใชNSEscriptเพมเตมไดจากNmapdocumentation[3]ซงมคำอธบายวธการใชงานในรปแบบอนๆเชนการเรยกใชสครปตครงละหลายตวหรอหลายหมวดโดยใชWildcardหรอLogicaloperatorหรอการระบArgumentของสครปตในรปแบบทซบซอนขนเปนตน
CYBER THREATS 2013 213
สรป
NmapเปนโปรแกรมทมความสามารถหลากหลายซงนอกจากจะใชในการสำรวจขอมลทวไปของระบบแลวยงสามารถใชในการตรวจสอบหาชองโหวของระบบหรอแมกระทงทดสอบการเจาะระบบไดอยางไรกตามNmapไมไดพฒนาขนเพอนำมาใชทดแทนเครองมออนๆททำหนาทเฉพาะทางอยางเชนโปรแกรมจำพวกVulnerabilityscannerหรอPasswordcrackerแตเรากสามารถใชNmapในการตรวจสอบระบบเบองตนอยางคราวๆเพอนำผลลพธไปวเคราะหวาควรทำการตรวจสอบเชงลกในดานใดตอไปไดขอสำคญอกประการคอโปรแกรมสวนใหญทใชในการทดสอบ ความมนคงปลอดภยของระบบรวมถงNmapดวยนนกเปรยบเสมอนกบดาบสองคมทอาจถกนำไปใชงานในทางทไมดหรอไมถกตองจนกอใหเกดความเสยหายตอระบบไดดงนนผใชจงควรศกษาวธการใชงานใหดกอนทจะใชงานจรงและระลกเสมอวาควรใชเครองมอเหลานกบระบบทตนเองเปนผดแลรบผดชอบหรอเปนระบบทไดรบการอนญาตจากเจาของหรอผดแลใหสามารถทำการทดสอบไดเทานน
อางอง
1. http://insecure.org/stf/Nmap-4.50-Release.html
2.http://nmap.org/nsedoc
3.http://nmap.org/book/nse-usage.html
บทความเชงเทคนค214
FULLDISKENCRYPTIONและCOLDBOOTATTACKผเขยน : เสฏฐวฒแสนนามวนทเผยแพร : 7มถนายน2556ปรบปรงลาสด : 7มถนายน2556
Fulldiskencryption
ในหลายๆองคกรมนโยบายใหพนกงานทำสงทเรยกวาFulldiskencryption(FDE)ซงเปนการเขารหสลบ(Encrypt)ขอมลในฮารดดสกทงลก(หรอเฉพาะบางPartition)เพอปองกนไมใหผไมหวงดเขาถงขอมลสำคญทเปนความลบทอยในฮารดดสกไดในกรณทฮารดดสกสญหายหรอ ถกขโมย
การทำFulldiskencryptionนนสามารถทำไดทงแบบฮารดแวรและซอฟตแวรโดยในแบบฮารดแวรจะเปนการใชฮารดดสกทมระบบFDEในตวซงการเขารหสลบ/ถอดรหสลบขอมลจะทำผานทางชปพเศษทอยในสวนControllerของดสกนนๆตวอยางดสกทรองรบFDEในระดบฮารดแวรเปนดงรปท1
รปท1ตวอยางดสกทรองรบFDEในระดบฮารดแวร(ทมา:ZDNet[1])
CYBER THREATS 2013 215
สวนการทำFDEในระดบซอฟตแวรนนระบบปฏบตการสมยใหมสวนใหญจะมเครองมอสำหรบทำFDEมาใหดวยแลวเชนBitLockerในWindows[2]หรอFileVaultในMacOSXเปนตน[3]ในระบบปฏบตการLinuxบางDistroจะมเครองมอสำหรบทำFDEมาใหดวยแตแรกเชนUbuntu12.10สามารถเลอกทำFDEไดตงแตขนตอนการตดตง[4]ดงรปท2หากระบบปฏบตการทใชงานอยไมมเครองมอทใชสำหรบทำFDEกอาจตดตงโปรแกรมจากผพฒนาภายนอกไดเชนdm-crypt[5]หรอTrueCrypt[6]เปนตน
รปท2การทำFDEในขนตอนการตดตงUbuntu12.10(ทมา:EFF[4])
นอกจากนระบบปฏบตการในโทรศพทมอถอในปจจบนสวนใหญรองรบการทำFDEแลวเชนในAndroidสามารถตงคาใหเขารหสลบขอมลในInternalmemoryไดแตไมรวมขอมลทอยในSDCard(Androidใชdm-cryptในการเขารหสลบขอมล[7])ตวอยางหนาจอStorageEncryptionในAndroidเปนดงรปท3สวนiOSเวอรชนหลงๆจะเขารหสลบขอมลทอยในเครองไวแตแรกโดยจะมชปทใชสำหรบทำงานดานนโดยเฉพาะ[8]
บทความเชงเทคนค216
รปท3StorageEncryptionในAndroid
ซอฟตแวรทใชสำหรบทำDiskEncryptionจะมลกษณะการทำงานคลายคลงกนคอขอมลทเกบอยในดสกจะมการเขารหสลบไวซงถาถอดดสกออกไปใสในเครองอนจะไมสามารถอานขอมลไดเหมอนกบดสกปกตในการใชงานเมอเปดเครองขนมาระบบจะแสดงหนาจอใหใสรหสผาน(Encryptionkey)หลงจากใสรหสผานไดถกตองระบบจะเกบKeyนนไวในRAMเพอใชในการถอดรหสลบ(Decrypt)ขอมลอนๆทมการเรยกใชงานในภายหลง[9]KeyจะเกบอยในRAMไปจนกวาผใชจะสงShutdownหรอสงปดเครองโดยวธปกต
อยางไรกตามถงจะมการทำFDEแลวแตกยงมโอกาสเสยงทจะถกผไมหวงดขโมยขอมลสำคญออกไปจากเครองไดโดยการใชวธทเรยกวาColdbootattackซงเปนการนำEncryptionkeyออกมาจากRAM
CYBER THREATS 2013 217
Coldbootattack
เพอใหเกดความเขาใจกอนอนตองขออธบายหลกการทำงานของRAMกนกอนRAMหรอRandomAccessMemoryเกดจากการนำCapacitorขนาดเลกหลายๆตวมาใชในการเกบขอมลเมอมการจายไฟเขาไปในCapacitorขอมลทตำแหนงนนกจะมคาเปน1แตถาไมมการจายไฟCapacitorกจะคายประจและขอมลในตำแหนงนนกจะมคาเปน0ดงรปท4
รปท4หลกการทำงานของRAM(ทมา:LorentzCenter[10])
ตามหลกการแลวRAMจะทำงานไดกตอเมอมไฟเลยงถาไมมไฟเลยงขอมลทอยขางในจะหายหมดแตในความเปนจรงหลงจากทปดเครองคอมพวเตอรหรอปดสวตชไฟขอมลในRAMจะไมไดหายไปในทนทแตจะคอยๆหายไปภายในเวลาประมาณ1-2นาทเนองจากการคายประจของCapacitorรปท5แสดงตวอยางขอมลทยงหลงเหลออยในRAMหลงจากทปดเครองเมอเวลา ผานไป5วนาท30วนาท60วนาทและ300วนาทตามลำดบ
บทความเชงเทคนค218
รปท5ตวอยางขอมลทยงหลงเหลออยในRAMหลงจากทปดเครอง (ทมา:PrincetonUniversity[11])
จากการวจยพบวาเมอลดอณหภมของRAMลงจะทำใหการคายประจชาลงแสดงวายงทำใหRAMมอณหภมต�าไดมากเทาไหรยงรกษาขอมลไวไดนานมากเทานนถาทำใหRAMอยในสภาวะทอณหภมต�ามากๆขอมลอาจอยไดนานหลายสบนาทหรออาจอยไดนานเปนชวโมงการทำใหRAMมอณหภมลดลงอยางรวดเรวเพอรกษาขอมลทอยขางในนกวจยเรยกเทคนคนวาColdbootattack
เทคนคColdbootattackไดรบการเผยแพรเปนงานวจยตงแตป2008
• YouTube:https://www.youtube.com/watch?v=JDaicPIgn9U
• Website:https://citp.princeton.edu/research/memory/
การทำColdbootattackคอการทำใหเครองปดแลวเปดขนมาใหมในทนทโดยไมใหเครองทำกระบวนการShutDownตามปกตเพอปองกนไมใหมการเปลยนแปลงขอมลในRAMซงมวธการหลกๆอย2วธคอกดปมResetทตวเครองแลวตงคาใหบตจากCD/USBทมโปรแกรมสำหรบทำสำเนาขอมลออกจากRAMโดยเฉพาะหรอถอดฝาเครองออกมาจากนนใชสารทำความเยน(เชนน�ายาแอรหรอไนโตรเจนเหลว)ฉดใสRAMแลวถอดRAMออกมาเสยบในอกเครองทเตรยมไวเพอดงขอมลออกมาดงรปท6
CYBER THREATS 2013 219
รปท6การฉดสารทำความเยนใสRAMเพอทำColdbootattack (ทมา:PrincetonUniversity[11])
ในการนำKeyออกมาจากRAMผโจมตจะทำสำเนา(Clone)ขอมลทงหมดทอยในRAMออกมาโดยใชโปรแกรมประเภทMemoryimagingจากนนจงจะใชโปรแกรมสำหรบกขอมลทอยในหนวยความจำเชนAESKeyFinderหรอRSAKeyFinderเพอดงเฉพาะEncryptionkeyออกมา[12]การทำColdbootattackตองทำแขงกบเวลาเพราะขอมลในRAMจะคอยๆหายไปเรอยๆอยางไรกตามถงแมขอมลบางbitจะหายไปแตยงมโอกาสทจะกขอมลตรงสวนนนกลบคนมาได[13]
การทำColdbootattackอาจมการนำมาใชในการทำDigitalForensicsเพอเกบขอมลทอยในหนวยความจำ(Memoryacquisition)เพราะการเกบขอมลทอยในหนวยความจำโดยวธปกตนนอาจมความเสยงตอการเปลยนแปลงขอมลทอยภายใน[14] [15]
นกวจยเยอรมนคนพบวาถานำโทรศพทมอถอทใชงานระบบปฏบตการAndroidไปแชเยนทอณหภม-15Cเปนเวลาประมาณ1ชวโมงจะยงสามารถอานEncryptionkeyทอยในRAMของโทรศพทมอถอออกมาได[16]นอกจากนยงไดพฒนาซอฟตแวรทชอวาFROSTซงใชสำหรบดงขอมลออกมาจากRAMของโทรศพทมอถอโดยซอฟตแวรดงกลาวสามารถตดตงไดผานโหมดfastbootของโทรศพทมอถอทใชระบบปฏบตการAndroid[17]
บทความเชงเทคนค220
Mitigations
ในการทจะโจมตดวยวธColdbootattackใหสำเรจไดนนมองคประกอบหลกๆทสำคญคอผโจมตตองสามารถเขาถงตวเครองคอมพวเตอรนนได(Physicalaccess)รวมถงเครองนนตองเปดใชงานอยและมการใสEncryptionkeyไวเรยบรอยแลว
วธการลดความเสยงทดทสดจงนาจะเปนการปองกนไมใหผไมหวงดสามารถเขาถงตวเครองคอมพวเตอรไดและระมดระวงไมใหเครองหายหรอถกขโมยในขณะทเปดใชงานอยหรออาจจะปองกนไมใหมEncryptionkeyอยในRAMดวยการสงShutDownเครองเมอไมไดใชงานเพราะเมอสงShutDownซอฟตแวรDiskencryptionจะลบขอมลEncryptionkeyออกจากRAMการทปลอยใหเครองอยในSleepmodeนนถงแมวาหนาจอและฮารดดสกจะหยดทำงานแตขอมลในRAMยงคงอย[18]
ในระบบปฏบตการLinuxมผพฒนาซอฟตแวรทชอTRESOR[19]ซงเปนKernelpatchทเปลยนจากการเกบEncryptionkeyไวในRAMมาเกบไวทRegisterของCPUแทนซงขอมลทเกบในสวนนจะมการรเซตเมอปดเครองคอมพวเตอรทำใหปลอดภยจากการโจมตดวยวธColdbootattackได
CYBER THREATS 2013 221
อางอง
1.http://www.zdnet.com/integral-crypto-ssd-sata-ii-2-5-inch-7000000566/#photo
2.http://technet.microsoft.com/en-us/library/c61f2a12-8ae6-4957-b031-97b4d762cf31
3.http://support.apple.com/kb/ht4790
4.https://www.eff.org/deeplinks/2012/11/privacy-ubuntu-1210-full-disk-encryption
5.http://code.google.com/p/cryptsetup/wiki/DMCrypt
6.http://www.truecrypt.org/
7.http://source.android.com/tech/encryption/android_crypto_implementation.html
8.http://support.apple.com/kb/ht4175
9.http://www.truecrypt.org/docs/?s=unencrypted-data-in-ram
10.http://www.lorentzcenter.nl/lc/web/2010/383/presentations/Heninger.pdf
11.https://citp.princeton.edu/research/memory/media/
12.https://citp.princeton.edu/research/memory/code/
13.http://icerm.brown.edu/materials/Slides/VI_MSS_12/An_overview_of_Cold-Boot_Attack,_related_to_RSA_and_Factorization_%5D_Sourav_Sen_Gupta,_Indian_Statistical_Institute,_Kolkata.pdf
14.http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA545078
15.http://www.linuxjournal.com/magazine/cold-boot-attack-tools-linux
16.http://reviews.cnet.com/8301-19736_7-57573226-251/android-phones-susceptible-to-freezing-cold-boot-attacks/
17.https://www1.informatik.uni-erlangen.de/frost
18.https://citp.princeton.edu/research/memory/faq/
19.http://linuxaria.com/howto/protect-linux-from-cold-boot-attacks-with-tresor?lang=e
บทความเชงเทคนค222
เสรมความมนคงปลอดภยใหกบซอฟตแวรดวยEMETVERSION4ผเขยน : ณฐโชตดสตานนทวนทเผยแพร : 16สงหาคม2556ปรบปรงลาสด : 16สงหาคม2556
โปรแกรมEnhancedMitigationExperienceToolkitหรอEMETของบรษทMicrosoftเปนเครองมอทใชเสรมความมนคงปลอดภยใหกบซอฟตแวรตางๆทตดตงอยในระบบปฏบตการWindowsหากผอานตดตามเวบไซตของไทยเซรตมาเปนระยะเวลาหนงอาจจะจำไดวาเคยมบทความทอธบายการทำงานและประโยชนของEMETมาแลว[1]แตเนองในโอกาสทMicrosoftไดพฒนาEMETรนใหมทมความสามารถเพมขนจากทเคยกลาวถงในครงกอนประกอบกบภยคกคามทเกดขนในปจจบนยงเปนรปแบบของซอฟตแวรทมชองโหวเปดโอกาสใหมการประมวลผลคำสงอนตรายเชนชองโหวในAdobereader[2]ซงถอวาเปนชองโหวทมการนำมาใชโดยผไมหวงดอยางแพรหลายMitigationTechnologyของEMETทมความสามารถในการตรวจสอบและขดขวางการประมวลผลคำสงอนตรายจงเปนสงทอาจชวยผอนหนกเปนเบาได
CYBER THREATS 2013 223
รปท1หนาตางของEMET
บทความของไทยเซรตไดเคยเขยนถงEMETนนเปนของEMETversion2.1ในขณะนEMETversion4เปนรนลาสดมการปลอยเมอวนท17กรกฎาคม2556โดยผใชสามารถดาวนโหลดไดทhttp://www.microsoft.com/en-us/download/details.aspx?id=39273โดยซอฟตแวรเวอรชนลาสดไดเพมความสามารถทนาสนใจขนไปอกดงน
1.SSL/TLSCertificateTrustfeatures
ดวยfeatureนผใชสามารถตงกฎเพอทำการตรวจสอบSSL/TLScertificateทใชในเวบวาตรงกบกฎทเราตงไวหรอไมเชนดวาในcertificateมRootCertfiicateตรงตามทกำหนด
บทความเชงเทคนค224
หรอไมโดยEMETจะทำการตรวจสอบทกครงทผใชเขาเวบผานinternetexplorerถาหากcertificateทพบถกแกไขโดยผไมหวงดกจะทำการแจงเตอนถงความผดปกตผใชสามารถตงคากำหนดไดดงน
1.1ตรวจสอบRootCertificateของเวบทตองการจะตรวจสอบโดยคลกทสญลกษณกญแจจากcertificatedetailจะเหนไดวาRootCertifcateของaccounts.google.comคอGeotrust
รปท2วธหาRootCertificateในCertificateทเวบไซตใช
1.2เรยกใชEMETระบกฎโดยใสรายละเอยดเชนRootCertificate,Ruleexpiration
รปท3สรางกฎโดยระบrootcertificateทใช
CYBER THREATS 2013 225
1.3ระบเวบไซตทตองการตรวจสอบและกฎทตองการใชกบเวบไซตนน
รปท4ระบเวบไซตและกฎทตองการใช
1.4หากCertificateไมตรงตามกฎทกำหนดกจะมการแจงเตอนดงในรป
รปท5แสดงการแจงเตอนเมอcertificateไมตรงกบคาทตงเอาไว
บทความเชงเทคนค226
2.Strengthenedmitigations,blockingbypasses
มการปรบปรงแกไขmitigationstechnologyเพอปองกนเทคนคการโจมตในรปแบบใหมๆเชนการBypassการปองกนดวยASLRและDEPทมการนำเสนอในงานCanSecWest2013[3]
3.Applicationcompatibilityfixes
Microsoftไดทำการแกปญหาความเขากนได(Compatibility)กบซอฟตแวรหลายตวไดแก
1.InternetExplorer9andtheSnippingTool
2.InternetExplorer8
3.OfficesoftwarethroughSharePoint
4.Access2010withcertainmitigationsenabled
5.InternetExplorer10onWindows8
นอกจากนสำหรบซอฟตแวรบางตวเชนPhotoshop,GtalkและChromeทยงมปญหาความเขากนไดอยในEMETรนนกจะปดการทำงานของตวเองทเกยวของกบซอฟตแวรดงกลาวโดยอตโนมตเพอปองกนปญหาการใชงาน
4.EarlyWarningProgramforenterprisecustomersandforMicrosoft
เมอEMETทำการตรวจสอบและปองกนการประมวลผลคำสงอนตรายไดแลวสำหรบผใชงานในองคกรทมการใชซอฟตแวรMicrosoftDesktopOptimizationPackage[4]หรอClientMonitoringfeatureในSystemCenterOperationsManager[5]สามารถสรางรายงานซงอาจจะเกบไวในองคกรเพอวเคราะหหรออาจสงรายงานไปยงไมโครซอฟทโดยตรงกได
5.AuditMode
โดยปกตหากมความพยายามทจะประมวลผลคำสงอนตรายEMETจะทำการปองกนโดยอตโนมตโดยการปดโปรแกรมทมปญหาแตในEMETVersion4ผใชสามารถเลอกใชAuditModeแทนในกรณทอาจตองการทดสอบระบบโดยEMETจะไมปดโปรแกรมแตจะทำการแจงใหทราบเทานน
CYBER THREATS 2013 227
รปท6แสดงการใชงานAuditmode
สรป
EMETเปนโปรแกรมทชวยปองกนการโจมตจากผไมหวงดลดโอกาสสำเรจของการประมวลผลคำสงอนตรายผานชองโหวของซอฟตแวรอนสงผลใหเครองคอมพวเตอรตดมลแวรและEMETกเปนอกทางเลอกหนงทสามารถใชรวมกบโปรแกรมแอนตไวรสทผใชมอยเพอเพมความมนคงปลอดภยใหกบคอมพวเตอรทใชในองคกรหรอคอมพวเตอรสวนตวทงนซอฟตแวรเกยวกบความมนคงปลอดภยเหลานจะมการปรบปรงความสามารถอยเสมอผใชงานควรตดตามขาวสารเพออพเดตซอฟตแวรดงกลาวใหทนสมยสามารถรบมอกบภยคกคามใหมๆไดซงผอานสามารถตดตามไดในเวบไซตของไทยเซรตซงจะนำขอมลเกยวกบซอฟตแวรดานความมนคงปลอดภยตางๆมาเสนออยางตอเนองตอไป
อางอง
1. http://www.thaicert.or.th/papers/technical/2012/pa2012te004.html
2.https://www.thaicert.or.th/alerts/admin/2011/al2011ad006.html
3.http://cansecwest.com/slides/2013/DEP-ASLR%20bypass%20without%20ROP-JIT.pdf
4.http://www.microsoft.com/en-us/windows/enterprise/products-and-technologies/mdop/default.aspx
5.http://www.microsoft.com/en-us/server-cloud/system-center/datacenter-management.aspx
บทความเชงเทคนค228
GLOBALSURVEILLANCE:ตอนท1ผเขยน : ไพชยนตวมกตะนนทนวนทเผยแพร : 13กนยายน2556ปรบปรงลาสด : 13กนยายน2556
ระยะนในวงการทเกยวกบความมนคงปลอดภยทางสารสนเทศโดยเฉพาะในระดบโลกคงไมมเรองอะไรทนาสนใจมากไปกวาเรองของNSAหรอNationalSecurityAgencyซงเปนหนวยงานดานความมนคงของสหรฐมาถงตอนนแมวาผอานจะไมไดตดตามขาวอยางใกลชดมากนกอยางนอยกคงคนหกบชอของนายเอดเวอรดสโนวเดนอดตพนกงานของNSAทนำความลบขององคกรตนเองมาเปดเผยใชชาวโลกรบรและขณะนกำลงลภยอยในรสเซย
แตบทความนจะไมขอกลาวถงพฤตการณและวบากกรรมของนายสโนวเดนทตองกลายเปนผททางการสหรฐฯตองการตวกลบไปดำเนนคดหรอการทนายสโนวเดนออกมาเปดเผยวาNSAมโครงการในการสอดแนมใครอยางไรบางแตแรงบนดาลใจจากขาวนทำใหผเขยนมาลองจนตนาการดวาหากจะวางโครงการสอดแนมเปาหมายทวโลกจะทำไดอยางไรอาจจะมองวาบทความนเปนจนตนาการทใชหลกการทางเทคนคประกอบกไดแตขอย�าใหแนชดอกครงหนงวาผเขยนไมไดมเจตนาทจะกลาวถงสงทเกดขนหรอมอยจรงแตประการใด
ในยคกอนทเราจะใชคอมพวเตอรในลกษณะ“ออนไลน”กนอยางเปนเรองปกตเหมอนในทกวนนการลกลอบดกฟงหรอขโมยขอมลกมการปฏบตกนอยแลวในรปแบบของดกฟงโทรศพทการลกลอบตดตงเครองดกฟงสวนทเปนเอกสารตางๆกมการลกลอบสำเนาเอกสารลบหรอขโมยออกมาโดยตรงซงในดานของการปองกนกหนไมพนการใชวธทางPhysicalSecurityเปนสวนมากเชนการใชเจาหนาทรปภ.กลองวงจรปดการตรวจคนตวหรอทใชเทคโนโลยมากขนอกกไดแกเครองตรวจหาเครองดกฟง(ใชวธScanหาอปกรณอเลกทรอนกสหรอหาการสงสญญาณ)การใชเครองScrambleซงเปรยบเสมอนการเขารหสลบในโลกของโทรศพทแอนะลอกหรอแมแตการสอสารกนดวยคำพดหรอภาษาเขยนทเปนรหสลบทงหมดนจะเหนไดวาทงการลกลอบขโมยขอมลและการปองกนการขโมยขอมลดจะเปนเรองทโกลาหลไมใชนอยแตเมอถงยคของการสอสารขอมลผานอนเทอรเนตและมการเขารหสลบเปนความสามารถพนฐานในเกอบทกชองทางการสอสารการลกลอบขโมยขอมลกมการปรบเปลยนไปตามยคสมยเชนเดยวกนและอาจจะดรนแรงยงขนกวาเดมอกดวย
เทคนคในการ“ดกฟง”หรอขโมยขอมลสารสนเทศในยคใหมไมจำเปนตองมการทำในระดบPhysicalLayerเสมอไปเพราะขอมลทสอสารกนอยนนหากเขาไปอยในเครอขายสาธารณะ(ในทนคออนเทอรเนต)การทขอมลจะเดนทางผานเสนทางหรออปกรณเครอขายใดๆไปยงปลายทางได
CYBER THREATS 2013 229
ยอมขนอยกบการจดการภายในระบบเครอขายเองนนกคอการRoutingทงแบบStaticและDynamicหรอการบงคบใหขอมลเดนทางผานอปกรณหรอเสนทางใดๆโดยเฉพาะโดยอาศยเงอนไขบางอยางทเรยกกนวาPolicyRoutingกถอวาเปนเรองปกตในระบบเครอขาย
สมมตวาขอมลจำนวนหนงทจะเดนทางหนวยงานO1จากประเทศC1ไปยงหนวยงานO2ในประเทศC2ตามธรรมดากจะวงผานISPI1ทหนวยงานO1ใชบรการอยออกไปยงISPI2ทหนวยงานO2ใชบรการอยผานเสนทางทเชอมตอกนโดยตรงแตถาI1มการเชอมตอไปยงISPI3ทอยในประเทศC3ดวยและรฐบาลของประเทศC3ตองการทจะไดขอมลนมาจะตองทำอยางไร?รฐบาลของประเทศC3อาจไมจำเปนตองสงสายลบเขาไปในประเทศC1หรอC2เพอดกขอมลหรอขโมยขอมลแตอยางใดแตใชวธงายๆอยางเชนการ“ขอรอง”ใหISPI3สงขอมลDynamicRoutingชนดหนงทเรยกวาBGPPeerAdvertisment/BGPRouteAdvertisment(คนไทยเรยกกนวาการประกาศBGP)ทมขอมลพเศษเพอ“หลอก”ISPI1วาเครอขายขององคกรO2อยทISPI3โดยเงอนไขบางประการ(เงอนไขMorespecificroutewinซงไมขอกลาวถงรายละเอยดในทน)จะทำใหRouterของISPI1สงขอมลทจะไปองคกรO2มาทISPI3แทนและรฐบาลของประเทศC3กสามารถจะทำสำเนาขอมลนเอาไวกอนทจะสงกลบไปISPI2ตามทควรจะเปนตอไป
ปรากฏการณนจะเกดจากการตงใจหรอไมตงใจ(Configผด)กตามแตยอมเกดผลกระทบตอระบบเครอขายเปนอยางมากอยางเบาะๆคอขอมลไปไดถงทหมายชาลง(เพราะตองวงไปทอนกอนซงไมใชShortestpathธรรมชาต)หรออาจทำใหขอมลวงไปไมถงทหมายเลยเปรยบเหมอนระบบเครอขายของทหมายถกตดขาดออกจากอนเทอรเนตดงนนISPหลายแหงจงตองมวธการปองกนดวยการกรอง(Filter)ขอมลDynamicRoutingทผดปกตออกไปแตวธนไมไดผลเตมทนกในระดบISPตอISPเพราะตามในตวอยางขางบนถงแมรฐบาลของประเทศC3จะไมตองการสอดแนมประเทศC1และC2เลยและISPC3กไมไดมการConfigผดพลาดแตอยางใดแตกยงมโอกาสทISPC3จะมการสงPeerAdvertismentใหISPI1สงขอมลทจะไปองคกรO2ผานมาทางISPI3ไดอยางสจรตเชนในกรณทเสนทางเชอมตอจากISPI1กบISPI2ขดของหรอถกใชงานจนเตมการทองคกรO1จะตดตอกบองคกรO2ไดกมเพยงวธเดยวคอสงผานISPI3เทานนหากISPI1ทำFilteringBGPPeerAdvertismentไมยอมใหI3เปนทางผานไปยงI2ในกรณทเกดความขดของเชนนองคกรO1และO2กตดตอกนไมไดหรอไดยากลำบาก
การประกาศBGP“ผดทาง”เคยเกดขนมาแลวหลายครงทงทเปนททราบกนทวไปและทไมมการยนยนเหตการณหนงทนาสนใจเกดขนในป2008เมอISPแหงหนงของประเทศปากสถานไดสงBGPPeerAdvertismentออกมา“ผดพลาด”ทำใหขอมลทควรจะสงไปยงเวบไซตYoutubeถกสงไปทปากสถานทงหมด[1]หรอเมอวนท24ก.ค.2013ลกคาของธนาคารชนนำหลายแหงในสหรฐฯถกบงคบใหสงขอมลออมไปยงISPแหงหนงในประเทศเนเธอรแลนด[2]ซงแมเหตการณทยกมาทงสองเหตการณนจะเกดผลแคเพยงระยะเวลาสนๆเนองจากมการตรวจพบและ“แกไข”โดยผทเกยวของแตกแสดงใหเหนไดวาการ“ดกฟง”ขอมลบนอนเทอรเนตดวยเทคนคนมความเปนไปไดเมอISPเปนผทำหรอถก“บงคบ”ใหทำทระดบISP
บทความเชงเทคนค230
ถาไมนบความผดพลาดแลวใครละทจะบงคบหรอ“ขอรอง”ใหISPประกาศBGP เพอจดประสงคพเศษแบบนได?
ในคราวหนาผเขยนจะมา“จนตนาการ”ถงสงทอาจเกดขนไดตอไปโดยเฉพาะการจดการกบขอมลทมการเขารหสลบหรอระบบทมการปองกนเปนอยางดขอใหตดตามกนตอไป
อางอง
1. http://www.youtube.com/watch?v=IzLPKuAOe50
2.https://isc.sans.edu/forums/diary/BGP+multiple+banking+addresses+hijacked/16249
CYBER THREATS 2013 231
บทความเชงเทคนค232
นกวจยพบวาแอปบนIOSสามารถถกHIJACKดกแกไขขอมลระหวางทางไดผเขยน : เสฏฐวฒแสนนามวนทเผยแพร : 30ตลาคม2556ปรบปรงลาสด : 30ตลาคม2556
ปญหาเรองความปลอดภยของMobileapplicationนนเปนเรองทมการวจยมาโดยตลอดสวนหนงเพราะการพฒนาแอปพลเคชนบนแพลตฟอรมมอถอ/แทบเลตนนมขอจำกดอยหลายดาน เชนความเรวของหนวยประมวลผลขนาดหนาจอหรอการใชพลงงานซงในบางทการออกแบบระบบใหทำงานไดดบนขอจำกดเหลานอาจทำใหระดบความปลอดภยของแอปพลเคชนลดนอยลงไป
Mobileapplicationหลายตวมการรบสงขอมลสำคญทเปนความลบระหวางอปกรณของ ผใชงานกบเซรฟเวอรของผพฒนาซงหากขอมลสำคญเหลานถกผไมหวงดดกรบหรอดกแกไขขอมลระหวางทางกอาจจะกอใหเกดปญหาตามมาภายหลงได
เมอวนท29ตลาคม2556นกวจยจากศนยวจยSkycureประเทศอสราเอลพบวาแอปพลเคชนiOSบนAppStoreอยางนอย10,000ตวสามารถถกHijackเพอเปลยนแปลงการรบสงขอมลจากเซรฟเวอรจรงใหไปยงเซรฟเวอรของแฮกเกอรไดโดยใชชองโหวของHTTPRequest[1]
การโจมตดวยวธนเรยกวาHTTPRequestHijack(HRH)ซงเปนการใชประโยชนจากHTTPStatusCode301[2] [3]ทใชสำหรบการRedirectจากURLหนงไปยงอกURLหนงโดยอตโนมตในกรณทURLเดมนนถกเปลยนชอหรอไมมอยบนเซรฟเวอรแลว
ปกตเมอใชเบราวเซอรเปดไปยงเวบไซตทมการสงHTTPStatusCode301ตวเบราวเซอรจะRedirectไปยงหนาเวบไซตปลายทางตามทเซรฟเวอรไดตงคาไวและแถบAddressBarของเบราวเซอรจะแสดงURLปลายทางทถกRedirectไปแตสำหรบบางแอปพลเคชนบนiOSจะไมมการแสดงขอมลURLปลายทางทวานใหผใชเหนดงนนผใชจะไมสามารถทราบไดวาขอมลทแสดงอยในแอปพลเคชนนนมแหลงทมาจากเซรฟเวอรจรงของผพฒนาแอปหรอมาจากเซรฟเวอรของแฮกเกอร
CYBER THREATS 2013 233
การโจมตสามารถทำไดงายๆโดยใชวธMan-in-the-MiddleattackผานการเชอมตอแบบWiFiหรอเครอขายทไมไดมการตงคาความปลอดภยจากนนกรอใหเหยอเปดแอปพลเคชนทมชองโหวแลวแฮกเกอรกสงHTTPStatus301ออกไปเพอใหแอปพลเคชนนนเชอมตอเขามาทเซรฟเวอรของตวเองตวอยางวธการโจมตอธบายดงคลปดานลาง[4]
ทมา:http://www.youtube.com/watch?v=_X8ovx9vMZM
ตวอยางแอปพลเคชนทนกวจยไดทดลองแลวพบวาสามารถใชการโจมตดวยวธนไดมทงแอปประเภทอานขาวดหนโซเชยลมเดยหรอแมกระทงแอปพลเคชนของบางธนาคารซงผลการทดลองพบวาสามารถดกรบขอมลระหวางทางไดโดยผใชไมอาจสงเกตเหนความผดปกตในแอปพลเคชน ดงตวอยางในคลปตอไป
บทความเชงเทคนค234
ทมา:http://goo.gl/Yt4sxE
จากในคลปจะพบวาเมอแอปพลเคชนถกโจมตดวยวธHRHแลวจะจำขอมลเซรฟเวอรของแฮกเกอรไวตอใหปดแลวเปดแอปพลเคชนขนมาใหมกจะยงคงเชอมตอไปยงเซรฟเวอรของแฮกเกอรอยอยางนนไปตลอดซงวธการแกปญหาทำไดอยางเดยวคอลบแอปพลเคชนนนออกแลวตดตงใหม
อยางไรกตามการโจมตดวยวธนไมมผลกบแอปพลเคชนทใชการเชอมตอแบบHTTPS(นอกเสยจากวาผใชจะไปตดตงCertificateปลอมลงในเครอง)
ทมนกวจยจากSkycureคาดวาแอปพลเคชนบนAndroidและWindowsPhoneอาจจะสามารถใชวธการโจมตแบบเดยวกนนไดเชนกนแตยงไมไดทำการทดสอบแอปพลเคชนในแพลตฟอรมดงกลาว
สำหรบผใชงานระบบปฏบตการiOSควรใชความระมดระวงในการเชอมตอWiFiสาธารณะในกรณทตองการใชงานแอปพลเคชนทมการรบสงขอมลสำคญทเปนความลบเชนแอปพลเคชนของธนาคารหากเปนไปไดควรเชอมตอผานMobileNetworkและควรอพเดตแอปพลเคชนทใชงานอยใหเปนเวอรชนลาสดอยางสม�าเสมอ
CYBER THREATS 2013 235
สำหรบนกพฒนาแอปพลเคชนบนiOSทางนกวจยจากSkycureแนะนำวาควรแกไขปญหานโดยเรวทสดการเปลยนไปใชวธการเชอมตอแบบHTTPSกอาจจะพอชวยไดแตยงไมใชการแกไขทสาเหตของปญหานกวจยไดเขยนตวอยางโคดสำหรบใชแกไขชองโหวนโดยสามารถศกษาไดจากเวบไซตของSkycure
อางอง
1. http://arstechnica.com/security/2013/10/ios-apps-can-be-hijacked-to-show-fraudulent-content-and-intercept-data/
2.https://support.google.com/webmasters/answer/93633?hl=en
3.http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.3.2
4.https://www.youtube.com/watch?v=wByvUoe7pHw
5.http://www.skycure.com/blog/http-request-hijacking
บทความเชงเทคนค236
SECURITYINFORMATIONMANAGER(1)ผเขยน : รณนเรศรเรองจนดาวนทเผยแพร : 30ตลาคม2556ปรบปรงลาสด : 30ตลาคม2556
ในระบบคอมพวเตอรเครองแมขายและอปกรณเครอขายแทบทกชนดมความสามารถในการเกบขอมลบนทกเหตการณ(logหรอeventlog)หลายองคกรใชวธตงเครองแมขายกลางขนมาเพอรวบรวมขอมลlogจากอปกรณตางๆทงเพอใหเปนไปตามกฎหมาย(ในกรณทเปนผใหบรการ ทตองบนทกขอมลจราจรทางคอมพวเตอร)และเพอใหสอดคลองกบมาตรการความมนคงปลอดภยสารสนเทศทนาสนใจคอในสถานการณปรกตผดแลระบบโดยทวไปมกไมคอยมเวลาพจารณาขอมลดงกลาวเพราะขอมลดงกลาวมปรมาณมากและแตละอปกรณกมรปแบบการบนทกและขอมลสำคญทตองพจารณาแตกตางกนออกไปการวเคราะหขอมลlogจงมกทำกนเมอมเหตการณผดปรกตเกดขนแลวซงกมกจะไมทนการณเพราะความเสยหายไดเกดขนแลวนอกจากนการรายงานสถานะระบบหรอแนวโนมภยคกคามสารสนเทศดวยขอมลเชงสถตจากขอมลlogกยงแทบจะเปนไปไมไดเลยในมมของความมนคงปลอดภยกบขอมลlogแลวคำถามสำคญกเหนจะไมพนวาจะมวธการหรอระบบอะไรทจะชวยในการ
• วเคราะหและคดกรองขอมลlogเพอแจงเตอนเมอเกดความผดปกต
• วเคราะหความสมพนธของขอมลlogจากอปกรณหลายๆแบบเพอใหเหนแนวโนม ในภาพรวม
• จดเกบขอมลlogทงหลายใหเปนรปแบบเดยวกนเพอประโยชนในการสบคน(query)
• นำขอมลlogเสนอเปนรายงานความสอดคลองตามกฎเกณฑมาตรฐาน(compliance)ทกำหนด
เปนอาท
CYBER THREATS 2013 237
ในการตอบคำถามขางตนหลายคนคงนกถงคำสามคำตอไปนคอSEM(SecurityEventManager),SIM(SecurityInformationManager),และSIEM(SecurityInformationandEventManager)ในปจจบนอาจกลาวไดวาทงสามคำนหมายถงอปกรณประเภทเดยวกนเพยงแตมความสามารถตางกนโดยทSEMนนเนนไปทรวบรวมและจดเกบlogจากอปกรณตางๆเนนการประมวลผลแบบrealtimeมพนทการจดเกบขอมลและความสามารถในการวเคราะหหาความสมพนธของขอมลlogจำกดในขณะทSIMเนนไปทความสามารถในการวเคราะหหาความสมพนธและแนวโนมของขอมลlogซงตองมเนอทในการจดเกบและหนวยประมวลผลทใหญกวา ถาใหเทยบกบระบบจดการฐานขอมลกอาจกลาวไดวาSEMเทยบไดกบฐานขอมลทตงคาไวใหเปนOLTPในขณะทSIMเทยบไดกบฐานขอมลทตงคาใหทำงานในแบบOLAPสวนSIEMคอระบบ ทรวมความสามารถของทงSEMและSIMเขาดวยกนและเพมความสามารถในการวเคราะหขอมลlogและดานความมนคงปลอดภยอนๆอาทความสามารถในการบรหารจดการภยคกคาม(IncidentManagement)ความสามารถในการระบรปแบบขอมลlogทตรงกบรปแบบ ภยคกคามทเกบรวบรวมไวในฐานความรใหคำแนะนำทวไปในการแกปญหาเมอตรวจพบชองโหว ของระบบผานการวเคราะหขอมลlogหรอการออกรายงานความสอดคลองตามกฎเกณฑมาตรฐานตางๆตดตงมาแบบพรอมใชเปนตนปจจบนความกาวหนาทางเทคโนโลยและราคาทถกลงของฮารดแวรทำใหผผลตระบบประมวลผลขอมลlogเพมความสามารถในผลตภณฑของตนเองและเรยกระบบเหลานเปนSIEMแทบทงสนหากจะใหนยามระบบดงกลาวอยางนอยตองมความสามารถดงตอไปน
DataCollectionคอความสามารถในการรวบรวมขอมลlogจากเครองแมขายและอปกรณกำเนดขอมลlogประเภทตางๆทงแบบการสงขอมลมายงSSIEMโดยตรงผานโพรโทคอล มาตรฐานทวไปเชนSyslogหรอตดตงตวจดเกบขอมล(CollectorSensor)บนเครองแมขายและอปกรณกำเนดขอมลlogคณสมบตขอนมความสำคญในแงทวาเครองแมขายและอปกรณกำเนดขอมลlogใชระบบปฏบตการทแตกตางกนจดเกบขอมลlogในรปแบบทแตกตางกนซงผผลตSIEMแตละรายจะระบรายการของอปกรณและระบบปฏบตการและโพรโทคอลทSIEMของตนรองรบ
AggregationคอความสามารถในการรวบรวมขอมลจากขอมลlogทรบมาจากอปกรณตางๆซงมรปแบบขอมลทแตกตางกนนำมาจดเกบใหอยในรปแบบเดยวกนเพอประโยชนในการวเคราะหและแสดงผลโดยทวไปอปกรณกำเนดขอมลlogเชนเราทเตอรไฟรวอลลIPSรวมทงโปรแกรมประยกตระบบฐานขอมลและเวบเซรฟเวอรตางกมรปแบบขอมลlogของตนเองSIEMจะตองสามารถนำขอมลมาจดเกบในรปแบบมาตรฐานและลดความซ�าซอน(Normalization)ของขอมลทรบมาจดเกบไวในระบบSSIEMโดยตองคงความหมายของขอมลเดมไวและจดเกบใหงายตอการสบคนและการประมวลผลเนองจากขอมลlogมปรมาณมากและซ�าซอนเปนธรรมชาตพนทในการจดเกบและประสทธภาพในการเขาถงขอมลlogจงขนกบความสามารถในการรวบรวมขอมลและการทำNormalizationโดยทวไประบบSIEMจะจดเกบขอมลlogสวนททำNormalizationแลวและตองไดรบการสบคนบอยไวในระบบฐานขอมลเชนIPตนทางและปลายทางหมายเลขพอรตตารางรหสผผลตเปนตนสวนขอมลlogทเปนขอมลจำเพาะอนๆจะเกบไวในรปแบบแฟมขอมลระบบ
บทความเชงเทคนค238
Correlationคอความสามารถในการหาความสมพนธของขอมลตามเงอนไขทกำหนดไวตวอยางเชน“มIPใดบางทเชอมตอเขามายงIPภายในองคกรดวยหมายเลขพอรตปลายทางทสงกวา1024และถกไฟรวอลลหรอIPSตดการเชอมตอมากกวา1,000เหตการณตอ10นาทภายใน24ชวโมง”หรอ“มIPภายในองคกรใดบางทเชอมตอออกไปยงIPภายนอกโดยมพอรตตนทางเปน56444และหมายเลขพอรตปลายทางเปน16464หรอ16465”หรอ“มIPใดบางทเชอมตอเขามายงเวบเซรฟเวอรขององคกรดวยหมายเลขพอรตปลายทางทไมใชพอรต80เปนจำนวนมากกวา6,000เหตการณตอ10นาท”เปนตนจะเหนไดวาความสามารถขอนมประโยชนอยางยงในแงของความมนคงปลอดภยสารสนเทศและการพสจนพยานหลกฐานดจทล
AlertingคอความสามารถในการแจงเตอนไปยงผดแลระบบเมอตรวจพบขอมลlogทสอดคลองกบเงอนไขทตงไวหรอเมอมการตรวจพบผลของการทำCorrelationตามเงอนไขทกำหนดซงระบบการแจงเตอนควรจะตองสงผานชองทางอเมลไดเปนอยางนอยเพอใหผดแลระบบหรอ ผเกยวของรบมอกบเหตการณทเกดขนไดอยางทนทวงท
DashboardsนำเสนอกระดานแสดงสถานะขอมลระบบเพอใหผดแลระบบบรหารจดการขอมลไดสะดวกเนองจากSIEMนนมขอมลขาวสารทสำคญหลากหลายซงไมสะดวกและไมทนทวงทหากไมมDashboard
ComplianceความสามารถในการรวบรวมขอมลlogเพอนำเสนอรายงานความสอดคลองตามกฎเกณฑมาตรฐานเชนISO27001,PCI,FISMA
Retentionรองรบการจดเกบขอมลในระยะยาวเพอการวเคราะห
ThreatIntelligenceคอความสามารถในการรบขอมลจากแหลงรวบรวมขอมลภยคกคาม(ThreatManagement)จากอนเทอรเนตขอมลดงกลาวกอยางเชนรายการIPทถกขนบญชดำรปแบบการเรยกใชขอมลผานURLทเปนอนตรายรวมทงชองโหวทมผแจงเอาไวSIEMนำขอมลดงกลาวมาประมวลผลรวมกบCorrelationเพอคดกรองหารองรอยหรอแนวโนมภยคกคามสารสนเทศหรอชองโหวนอกจากนนThreatIntelligenceของผผลตบางรายยงสามารถให คำแนะนำในการแกไขชองโหวหรอภยคกคามทตรวจพบจากขอมลlogไดอกดวย
IncidentManagementมความสามารถในการจดการIncidentทเกดขนกลาวคอ เมอCorrelationตรวจพบขอมลสอดคลองตามเงอนไขทกำหนดกจะนำไปสรางเปนรายการปญหา ทตรวจพบ(incident)ซงจะตองมรายละเอยดของปญหาระดบความเรงดวนระดบความรนแรงรวมถงขอมลจำเปนอนๆเพอใหผดแลระบบตดตามแกปญหาและบนทกไวเปนการอางองไดตอไป
สงเกตวาSIEMตองใชทรพยากรของระบบในการประมวลผลสงและเกดคอขวดไดงายเมอมจำนวนขอมลlogนำเขาสระบบมากขนSIEMควรจะมคณสมบตรองรบการเพมประสทธภาพ ทงแบบการเพมขดความสามารถดวยการเพมประสทธภาพของทรพยากรระบบ(ScaleUp)และแบบขยายเพมจำนวนทรพยากรระบบ(ScaleOut)โดยเฉพาะอยางยงหนวยจดเกบขอมลซงควรจะรองรบการเชอมตอกบSANและNAS
CYBER THREATS 2013 239
บทความเชงเทคนค240
GLOBALSURVEILLANCE:ตอนท2ผเขยน : ไพชยนตวมกตะนนทนวนทเผยแพร : 5พฤศจกายน2556ปรบปรงลาสด : 5พฤศจกายน2556
ในตอนทแลว[1]ผเขยนไดเลาถงวธการดกรบขอมลดวยการเปลยนทศทางขอมลในระดบISPตอISP(จรงๆคอระดบASตอAS)มาแลวอาจจะมผอานบางทานสงสยวาขอมลในปจจบนนอยาวาแตใชวธหลอกBGProutingเลยแมแตจะมาดกขอมลกนโดยตรงในระบบเครอขายของผรบหรอผสงกยงไมอาจทำไดโดยงายเพราะสวนมากขอมลทเรยกไดวาสำคญสกหนอยกมการเขารหสลบขอมลกนทงสนทรจกกนดกคอhttpsหรอSSL/TLSทใชการเขารหสลบระดบ1024bitsเปนอยางนอยถงแมวาความเรวของเครองคอมพวเตอรในปจจบนเพมขนอยางมากแตกยงไมมหลกฐาน ทแนชดวาSSL/TLSทใชการเขารหสลบระดบต�าสดท1024bitsจะสามารถถก“เจาะ”ไดดวยวธทางตรงคอการสมหาKeyทถกตอง(วธการBruteforce)ไดงายๆยงไปกวานนสวนมากขนาดของKeyในปจจบนนกขยบกนขนไปอยท2048bitsกนเสยเปนสวนมากสวนวธการเจาะโดยออมคอใชชองโหวของอลกอรทมนนกดเหมอนจะเปนไปไดยากเชนกนเพราะอลกอรทมเทาทมเหลอใชงานในปจจบนกลวนแตผานการวเคราะหและศกษากนมาอยางเขมขนพอสมควรจนอาจจะกลาวไดวาคงไมมชองโหวเหลออยกนอกแลว
การเขารหสลบทกชนดนนความสำคญของมนอยทKeyทจะเปนระบบSymmetric(ใชKeyเดยวทงเขาและถอด)หรอAsymmetric(ใชKeyใดเขาตองเอาอกKeyหนงถอด)กตามถาหาก ผไมหวงดไดKeyทวานไปกเทากบจบเกมทนทดงนนขบวนการเขารหสลบจงจำเปนตองมระบบการบรหารจดการKey(KeyManagement)ทเชอถอไดและสะดวกตอการใชงานในชวตจรง
การเขารหสลบทพบเหนไดทวไปสำหรบผใชงานแทบทกระดบกคงไมพนTLS/SSLทมใชอยในhttps,smtps,imapsและอนๆอกจำนวนหนงซงเราเชอถอกนมาอยางยาวนานถงแมจะมขาวเรองการพบชองโหวในTLS/SSLรนตางๆแตสำหรบTLSรน1.1และ1.2ทเรมมการใชงานมากขนในปจจบนกไดมการแกไขชองโหวเหลานนไปจนเกอบหมดแลวประโยชนของการเขารหสลบแบบนกคอมการทำKeyManagementทงายและมประสทธภาพนนคอClientและServerมการแลกเปลยนKeyซงเปนชนดAsymmetricกนโดยอตโนมตนอกจากนนยงมการรบรองวาKey
CYBER THREATS 2013 241
ทไดจากServerนนเปนKeyทถกตองดวยกลไกPKI(อาศยCAเปนผรบรอง)อกดวยกระบวนการนเปนกระบวนการเบองหลงทผใชงานอาจจะไมรสกซงในแงหนงกเปนเรองของความสะดวกทผใชไมจำเปนตองมความเขาใจกลไกอะไรทงสนแตกสามารถเชอมตอกบปลายทางไดอยางมนคงปลอดภยแตถาเปนคนมองโลกในแงรายกคอเชอไดแคไหนวากระบวนการการเขารหสลบนจะทำงานไดอยางทมนควรจะทำ?เราจะมาลองดกนวาถาตองการทำลายความมนคงปลอดภยของการเขารหสลบดวยTLS/SSLจะสามารถทำไดอยางไร
ดงทกลาวแลววาTLS/SSLเปนการเขารหสลบในรปแบบPKIหรอPublicKeyInfrastructureทคำวาInfrastructureนเองเปนคำทสำคญเพราะแสดงใหเหนวาประกอบดวยของหลายสวนสวนทผเขยนจะขอพดถงในครงนกคอCA(CertificateAuthority)ทเราเชอถอและยอมรบใหเปนผรบรองความถกตองของการเขารหสลบนนเอง1ซงตามปกตเมอCAจะออกใบรบรองอเลกทรอนกสเพอใชในการเขารหสลบแบบSSL/TLSกบโดเมนใดๆยกตวอยางเชนmysecuredomain.comทางCAกตองมการพสจนวาผทสงคำขอใหออกใบรบรองเปนเจาของmysecuredomain.comจรงซงขนตอนนมความแตกตางปลกยอยกนไปในCAแตละรายโดยสวนมากจะอางองตามขอมลในWhoisrecordเปนหลกอาจจะกลาวไดวาCAมการตรวจสอบการเปนเจาของโดเมน(DomainOwnership)ทนาเชอถอในระดบหนงซงในเรองนถอวาเปนเครองชความอยรอดของCAประการหนงกวาไดเพราะหากCAตรวจสอบไมดพอเปดโอกาสใหผไมหวงดไปลกลอบขอใบรบรองสำหรบโดเมนทไมไดเปนเจาของได(และมหาชนรบร)มโทษถงหมดความนาเชอถอตองปดกจการกนเลยทเดยว
สมมตวาผไมหวงดตองการดกรบขอมลของโดเมนmysecuredomain.comซงม ใบรบรองอเลกทรอนกสของตวเองอยแลวการทผไมหวงดจะสรางเครองแมขายปลอมของmysecuredomain.comและหลอกลอใหเหยอเขาไปสเครองแมขายนได(อาจใชDNSPoison,MalwareหรอARPPoisonกตาม)เหยอกอาจสงเกตไดวาmysecuredomain.comปลอมนไมมSSLทำใหไหวตวทนหรอถาผไมหวงดจะสรางใบรบรองขนมาเองกยงทำใหเหยอรตวเรวเขาไปอกเพราะเวบเบราวเซอรของเหยอยอมมการเตอน“ใบรบรองทไมนาเชอถอ”(UntrustedCertificate)ขนมาทางเดยวทผไมหวงดจะหลอกไดอยางแนบเนยนกคอตองไปหาใบรบรองท “นาเชอถอ”ของmysecuredomain.comมาใหไดซงอยางทกลาวแลววาCAตองตรวจความเปนเจาของโดเมนกอนจงอาจจะกลาวไดวาหากเปนCAชนนำการถกหลอกลวงใหออกใบรบรอง โดยผทไมใชเจาของโดเมนไดนนยอมเปนไปไดยากและอาจถกตรวจสอบพบไดโดยงายนอกจากน การเจาะระบบของCAเพอลกลอบออกใบรบรองในรปแบบการดำเนนการของCAบางแหงทม ความมนคงปลอดภยสงกแทบเปนไปไมไดเลยเพราะจะมการตรวจสอบซ�าดวยเจาหนาทกอนทจะออกใบรบรองทกครง
แตถาหากวามอำนาจมดบางประการทบงคบCAใหออกใบรบรองของโดเมนใดๆไดจะเกดอะไรขน?“ผไมหวงด”ทอยขางเดยวกบอำนาจมดดงกลาวยอมสามารถทจะสรางเครองแมขายปลอมของโดเมนใดๆไดโดยทผใชสวนมากไมมทางทราบเพราะตอใหเปนใบรบรองคนละใบกบเครองแมขาย ทแทจรง(อาจจะออกจากคนละCAกน)แตกเปนใบรบรองท“นาเชอถอ”เชนเดยวกบใบทแทจรง
บทความเชงเทคนค242
หรอตอใหผใชงานลงทนตรวจสอบรายละเอยดในใบรบรองทกครงกอนจะปอนขอมลใดๆในเวบไซต(เวบเบราวเซอรทวไปสามารถแสดงรายละเอยดนได)หรอใชวธการตรวจสอบแบบอตโนมตเชนในเวบเบราวเซอรFirefoxมAdd-onทชอCertificatePatrol[2]ทจะตรวจสอบใบรบรองของเครองแมขายและแจงเตอนเมอพบการเปลยนแปลงแตการทพบวาผออกใบรบรอง(คอCAหรอในใบรบรองจะเรยกวาIssuer)เปลยนไปจากเดมกอาจไมถอวาเปนเรองแปลกแตอยางใดเพราะบางโดเมนอาจมการขอใบรบรองจากCAมากกวา1แหงหรอเปนใบรบรองใหมทออกทดแทนใบเดมทกำลงจะหมดอายกไดหรออาจเปนใบรบรองทออกมาโดยเจาของโดเมนไมไดรบทราบเพอประโยชน ในการดกขอมลกเปนไดเชนกนแตทแนๆในระดบของผใชงานสวนมากไมมทางทราบไดวากำลงถก ดกขอมลดวยใบรบรอง“จรง”ท“ปลอม”นอยางแนนอน
CAเปนธรกจทขายความนาเชอถอมระเบยบปฏบตและกระบวนการทำงานทเปนระบบและเครงครดแตกไมไดมขอจำกดใดท“ผทอยเหนอกวา”จะเขามาแทรกแซงไมไดโดยเฉพาะ“ผทอยเหนอกวา”ระดบหนวยงานความมนคงหรอรฐบาลบางประเทศทมนโยบายในการ“เฝาระวง”เพอเหตผลดานความมนคงของประเทศ
เชงอรรถ1ทจรงคอความถกตองของใบรบรองอเลกทรอนกสทใชเปนKeyตวหนงในการเขารหสลบแตจะไมขอพดถงรายละเอยดในทน
อางอง
1. https://www.thaicert.or.th/papers/technical/2013/pa2013te006.html
2.https://addons.mozilla.org/en-us/firefox/addon/certificate-patrol/
CYBER THREATS 2013 243
บทความเชงเทคนค244
BADBIOSมลแวรทสงขอมลผานคลนเสยงเรองจรงหรอโกหก?ผเขยน : เสฏฐวฒแสนนามวนทเผยแพร : 5พฤศจกายน2556ปรบปรงลาสด : 5พฤศจกายน2556
เมอวนท31ตลาคม2556นายDragosRuiuนกวจยดานความมนคงปลอดภยและ ผกอตงงานแขงขนเจาะระบบคอมพวเตอรอยางPwn2Ownไดเผยแพรผลการวเคราะหมลแวรชนดใหมทฝงตวอยในไบออส(BIOS)ของเครองคอมพวเตอรความพเศษของมลแวรตวนคอใชวธการแพรกระจายขอมลผานการสงคลนเสยงความถสงหลงจากทบทความนไดรบการเผยแพรบนเวบไซตขาวไอทชอดงอยางArstechnica[1]กมผคนใหความสนใจและตงคำถามเกยวกบประเดนและความสามารถของมลแวรตวใหมนเปนจำนวนมาก
กอนทจะไปวากนถงเรองการทำงานของมลแวรขออธบายความเขาใจเบองตนเกยวกบไบออสและระบบการทำงานของคอมพวเตอรกอน
ไบออสคออะไร
โดยปกตเมอเราเปดเครองคอมพวเตอรจะมการรนโปรแกรมเลกๆทอยในชปบนเมนบอรดเพอทำการตรวจสอบและควบคมฮารดแวรทเชอมตออยจากนนกเรมตนการทำงานของระบบและโหลดระบบปฏบตการขนมาทำงานโปรแกรมเลกๆทวานเรยกวาBIOS(BasicInput/OutputSystem)
สมยกอนโปรแกรมในไบออสจะฝงอยในชปROMของเมนบอรดมาตงแตในโรงงานทผลตซงไมสามารถเปลยนแปลงขอมลในนนไดแตปจจบนโปรแกรมในไบออสไดเปลยนจากการเกบในROMมาเกบในหนวยความจำแบบแฟลช(Flashmemory)ซงทำใหสามารถแกไขขอมลขางในได(วธการนเรยกอยางไมเปนทางการวาแฟลชรอมหรอแฟลชไบออส)ตวอยางชปไบออสเปนดงรปท1
CYBER THREATS 2013 245
รปท1ตวอยางชปไบออส(ทมา:Wikipedia[2])
จะเกดอะไรขนหากมผไมหวงดเปลยนแปลงแกไขขอมลโปรแกรมในสวนนใหทำงานผดปกตไปหรอฝงโคดอนตรายเอาไวใหเรยกใชงานไดทกครงทเปดเครอง?
badBIOS
นายDragosอางวาไดคนพบมลแวรbadBIOSนตงแตเมอ3ปกอนโดยเครองMacbookAirทพงตดตงระบบปฏบตการOSXเสรจใหมๆอยๆกแสดงอาการแปลกๆไมวาจะเปนไมยอมใหบตจากแผนซดรอมหรอแกไขขอมลการตงคาไบออสกลบเปนคาเดมเองโดยไมแสดงอะไรใหผใชทราบ
ไมนานนกคอมพวเตอรเครองอนๆในหองแลบกเรมแสดงอาการผดปกตไปตามๆกนไมวาจะเปนเครองทตดตงระบบปฏบตการOpenBSD,WindowsหรอLinuxหรอแมกระทงเครองทตดขาดจากระบบอนๆโดยสนเชง(Airgap)[3]เครองทไมไดเชอมตอกบระบบเครอขายอะไรเลยหรอแมกระทงเครองทมการถอดสายLANและNetworkcardออกแลวกตามกยงพบวาเครองดงกลาวมการแกไขขอมลในไบออสไดเองโดยทผใชไมไดทำอะไรและถงแมจะเปลยนฮารดดสกใหมและตดตงระบบปฏบตการใหมสกพกอาการผดปกตนกกลบมาเปนเหมอนเดมอก
ในเบองตนนายDragosสนนษฐานวามลแวรดงกลาวนนาจะแพรกระจายผานUSBDriveโดยเขาไดซอเครองคอมพวเตอรมาใหมหลงจากทเอาUSBDriveทเคยเอาไปเสยบกบเครองทตดมลแวรbadBIOSมาเสยบเขากบเครองทซอมาใหมกพบวาคอมพวเตอรเครองใหมนนตดมลแวร
บทความเชงเทคนค246
ในทนทเขาสนนษฐานวานาจะมโคดบางสวนในไบออสทมชองโหวBufferOverflowและคนเขยนมลแวรbadBIOSกใสโคดทโจมตชองโหวทวานไวในสวนControllerของตวUSBDriveทำใหแคเสยบUSBDriveเขากบเครองกสามารถถกแทรกโคดอนตรายลงในไบออสไดทนท
ถงแมจะรแลววามลแวรนาจะฝงตวอยในBIOS,UEFIหรอเฟรมแวรของอปกรณอนๆในเครองทตดแตกไมสามารถตอบคำถามไดวาทำไมมลแวรดงกลาวนถงแพรกระจายไปตดในเครองทไมไดเชอมตอกบระบบเครอขายอะไรเลยได
ในการวเคราะหวามลแวรสงขอมลผานเครองทไมไดเชอมตอกบเครองอนๆเลยไดอยางไรเขาไดทดลองดกขอมลแพกเกตโดยใชเครองมอพเศษ(ในบทความตนฉบบไมไดเปดเผยวาใชเครองมอหรอวธการอะไร)โดยพบวาถงแมจะถอดการดWiFiและBluetoothออกจากเครองไปแลวกยงมการสงขอมลออกไปจากเครองทตดมลแวรไดและเมอลองถอดปลกเครองโนตบกเพอจะดวามการสงขอมลผานกระแสไฟฟาหรอเปลากยงมการสงขอมลไดอยดจนกระทงเขาไดถอดลำโพงและไมโครโฟนออกจากเครองการสงขอมลกหยดลง
มลแวรbadBIOSใชวธการสงขอมลผานคลนเสยงความถสงจากลำโพงของเครองทตดมลแวรสงไปยงไมโครโฟนของเครองปลายทางโดยใชSoftwareDefinedRadio(SDR)
ถงแมวาเรองแบบนอาจจะฟงดเหลอเชอเกนไปสกหนอยแตการใชลำโพงสรางคลนเสยงUltrasonicเพอใชในการสอสารกมนกวทยาศาสตรจากMITไดทำงานวจยเรองนแลวพบวาสามารถทำไดจรงหวของานวจยนชอUltrasonicLocalAreaCommunication[4]ตวอยางการสงขอมลโดยใชหลกการนสามารถดไดจากคลปดานลาง[5]
ทมา:http://www.youtube.com/watch?v=qzqCX2rB1oc
CYBER THREATS 2013 247
แตการสงขอมลผานคลนเสยงความถสงนไมไดใชสำหรบการแพรกระจายมลแวรโดยนายDragosบอกวาการแพรกระจายมลแวรมอยดวยกน2วธอยางแรกคอUSBDriveแตอกอยางนนในตอนนยงเปดเผยไมไดจนกวาจะมแพทชออกมาสำหรบการสงขอมลผานคลนเสยงนนใชเพอควบคมและสงการ(Command&Control)เครองทตดมลแวรเทานน[6]
นอกจากนนายDragosยงไดโพสตผลการวเคราะหของเขาลงในTwitter[7]และGoogle+[8]สวนตวอยเรอยๆตวอยางขอมลเพมเตมทไดจากการวเคราะหเชน[9]
• มลแวรบลอกไมใหมการเชอมตอไปยงเวบไซตสำหรบดาวนโหลดFirmwarecontrollerทประเทศรสเซย
• เมอใชเครองทตดมลแวรเขยนซดในแผนซดดงกลาวจะมไฟลประหลาดๆโผลมาดวย
• มลแวรนาจะตดไดบนไบออสบางรนเทานนแตดเหมอนจะสามารถทำงานไดบนหลายOS
• คลนเสยง35kHzทจบไดเมอนำมาขยาย20เทาจะพบวามลกษณะคลายชวงสญญาณดงรปท2
รปท2ตวอยางคลนเสยงทสงจากมลแวรbadBIOSเมอนำมาขยาย20เทา (ทมา:+DragosRuiu[10])
อยางไรกตามนายDragosยงไมไดเปดเผยขอมลอะไรของbadBIOSมากในตอนนโดยบอกเพยงแควาจะมขอมลเพมเตมในงานPacSecทจะจดขนในวนท13-14พฤศจกายนนณกรงโตเกยวประเทศญปน[11]
เรองจรงหรอโกหก?
ถงแมวาการทจะมมลแวรฝงตวในไบออสและใชวธสงขอมลผานคลนเสยงจะเปนสงทสามารถทำไดแตกมผเชยวชาญดานความมนคงปลอดภยหลายคนตงคำถามเกยวกบบทสรปดงกลาว
ตวอยางขอสงสยในเรองนเชนสาเหตหนงทเปนไปไดในการตดมลแวรคอการเสยบUSBDriveแตทำไมถงยงไมมการวเคราะหขอมลทสงผานUSBDriveทงๆทนาจะมประเดนสำคญทจะนำขอมลมาใชงานตอไดหรอแมกระทงการสงขอมลผานเสยงซงในทางทฤษฎแลวสามารถสงขอมลไดสงสดแคไมเกน600ไบตตอวนาทเทานนถาตองการสงขอมลTCPแค1แพกเกตตองใชเวลาถง2วนาท
บทความเชงเทคนค248
การสงโคดของมลแวรผานชองทางนจงเปนไปไดยาก[12]
นายIgorSkochinskyนกพฒนาซอฟตแวรจากบรษทHex-Rayผผลตโปรแกรมสำหรบ ใชในการReverseEngineerอยางIDAไดตรวจสอบขอมลBIOSdumpจากเครองทนายDragosอางวาตดมลแวรbadBIOSแตกลบไมพบสงทนาสงสยวาเปนมลแวรอยในเฟรมแวรดงกลาว[13]
นายPhillipR.JaenkeผเชยวชาญดานความมนคงปลอดภยไดออกมาโตแยงวาการวเคราะหขอมลของมลแวรของนายDragosมความผดพลาดเปนไปไมไดทจะสรางมลแวรทตดในไบออสเครองหนงแลวจะกระจายตวไปตดในไบออสของเครองอนไดเนองจากเฟรมแวรของไบออสนนเปนของใครของมนไมสามารถนำไปใสลงในไบออสของเครองอนไดและถาหากมโคดอนตรายทวาอยในไบออสจรงๆกมเครองมอสำหรบใชดโคดดงกลาวอยแลวซงสำหรบผเชยวชาญแลวกไมใชเรองยากทจะดขอมลพวกนนอกจากนพนทสำหรบเกบขอมลในไบออสโดยสวนใหญกมแค8MBหรอในUEFIกมแค4MBเทานนซงเปนไปไดยากทจะเกบขอมลของมลแวรทมการทำงานสลบซบซอนขนาดนได[14]
ทางดานนายRobertGrahamนกวจยดานความมนคงปลอดภยผเขยนโปรแกรมBlackICEไดแสดงความเหนสนบสนนตอการวเคราะหมลแวรของนายDragosวาพฤตกรรมของbadBIOSนนสามารถเปนไปไดจรง[15]
นายRobertกลาววานอกจากจะสามารถเขยนขอมลลงในหนวยความจำแบบแฟลชของไบออสในเครองคอมพวเตอรไดแลวในอปกรณฮารดแวรสวนใหญเชนคยบอรด,กลอง,แบตเตอร,ฮารดดสก,การดแลน,การดBluetooth,การดWiFi,การดจอฯลฯกมหนวยความจำแบบแฟลชอยภายในดวยเชนกนซงหากมผไมหวงดตองการเขยนมลแวรเพอฝงลงในอปกรณเหลานกสามารถทำได
สำหรบวธการสงขอมลไปยงคอมพวเตอรเครองอนโดยใชคลนเสยงความถสงนนกไมใชเทคนค ทแปลกใหมอะไรเพราะโมเดม(Modem)กใชหลกการเดยวกนนในการรบสงขอมลผานสายโทรศพทและลำโพงในเครองคอมพวเตอรสมยใหมกสามารถสรางคลนความถเสยงทมนษยไมไดยนไดหากผไมหวงดตองการใชคลนความถชวงนเพอใหมลแวรใชสงขอมลซอรสโคดของโปรแกรมทใชสงใหลำโพง สงคลนความถเสยงแบบนกมเผยแพรอยทวไปตามอนเทอรเนต
สำหรบการตดมลแวรผานUSBDriveในทนททเสยบอปกรณดงกลาวเขากบเครองคอมพวเตอรนนกเปนเรองทเปนไปไดเนองจากในUSBDriveเองกมสวนของControllerซง ภายในมเฟรมแวรอยอกทงยงมเวบไซตอยางhttp://flashboot.ru/ทเผยแพรขอมลเฟรมแวรของอปกรณUSBหลายๆตวอยแลวและนอกจากนไดรฟเวอรของอปกรณUSBบางตวมชองโหวBufferOverflowทำใหสามารถโจมตระบบทตดตงไดรฟเวอรดงกลาวไดผานอปกรณUSB ทแกไขขอมลเฟรมแวร
CYBER THREATS 2013 249
สรป
ในขณะนเรายงไมอาจทราบไดวาการคนพบมลแวรbadBIOSและเทคนคทมลแวรตวนใช ในการแพรกระจายขอมลจะเปนเรองจรงหรอเปนแคความผดพลาดในการวเคราะหแตกถอเปน เรองทนาสนใจเพราะหากเปนเรองจรงกถอวาการคนพบนมผลกบความมนคงปลอดภยของ เครองคอมพวเตอรทวโลกไมนอยทเดยว
อางอง
1. http://arstechnica.com/security/2013/10/meet-badbios-the-mysterious-mac-and-pc-malware-that-jumps-airgaps/
2.http://en.wikipedia.org/wiki/BIOS
3.https://www.schneier.com/blog/archives/2013/10/air_gaps.html
4.http://alumni.media.mit.edu/~wiz/ultracom.html
5.http://www.youtube.com/watch?v=qzqCX2rB1oc
6.http://nakedsecurity.sophos.com/2013/11/01/the-badbios-virus-that-jumps-airgaps-and-takes-over-your-firmware-whats-the-story/
7.https://twitter.com/dragosr
8.https://plus.google.com/103470457057356043365/posts
9.https://kabelmast.wordpress.com/2013/10/23/badbios-and-lotsa-paranoia-plus-fireworks/
10.https://plus.google.com/photos/103470457057356043365/lbums/5942249398845518961/5942249400698584306?pid=5942249400698584306&oid=103470457057356043365
11.http://pacsec.jp/
12.http://news.softpedia.com/news/BadBIOS-Malware-Reality-or-Hoax-396177.shtml
13.http://www.reddit.com/r/netsec/comments/1o7jvr/bios_backdoor_bridges_airgapped_networks_using_sdr/ccpw67k
14.http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/
15.http://blog.erratasec.com/2013/10/badbios-features-explained.html
บทความเชงเทคนค250
CRYPTOLOCKER:เรองเกาทถกเอามาเลาใหมผเขยน : ธงชยศลปวรางกรวนทเผยแพร : 6พฤศจกายน2556ปรบปรงลาสด : 6พฤศจกายน2556
เปนททราบกนดวาทกคนยอมเคยมประสบการณทคอมพวเตอรของตนเองตดมลแวรไมวาจะเปนในรปแบบของโทรจนเวรมรทคทหรอทผใชทวไปมกเรยกโปรแกรมไมพงประสงคเหลานรวมกนวาไวรสซงมลแวรแตละประเภทและแตละตวกจะกอใหเกดผลกระทบและความเสยหายทแตกตางกนไปตวอยางของมลแวรทคนสวนใหญมกเคยพบเจอไดแกโทรจนประเภทKeyloggerทแอบขโมยขอมลการกดแปนคยบอรดของผใชสงกลบไปยงผไมหวงดหรอมลแวรทแอบตงคาตางๆในระบบปฏบตการและปองกนไมใหผใชเขาไปแกไขคาดงกลาวอยางไรกตามยงมมลแวรอยประเภทหนงทเรยกวาRansomwareซงไมไดใชวธการขโมยขอมลสวนบคคลของผใชเหมอนกบทมลแวรในสมยนนยมทำกนหากแตทำการ“เรยกคาไถ”ดวยการทำใหผใชไมสามารถเขาถงระบบหรอขอมลในคอมพวเตอรหรอหลอกลอดวยวธการใดๆกตามทจะทำใหผใชยอมชำระเงนใหกบผไมหวงดเพอทจะแกไขปญหาทเกดขนซงวธการขมขหรอหลอกลอใหเหยอชำระเงนนนมดวยกนสารพดวธไมวาจะเปนการขนขอความแอบอางวาเปนเจาหนาทรฐทตรวจสอบพบวาคอมพวเตอรของเหยอถกนำไปใชในทางทผดกฎหมาย[1] หรอขนขอความหลอกใหผใชทำการReactivateWindowsดวยการโทรศพทไปยงเบอรทผไมหวงดใหบรการซงเปนการโทรทางไกลทเสยคาใชจายสง[2]เปนตนมลแวรประเภทRansomwareนนเคยมการคนพบมานานนบสบปแลวแตเนองจากในชวงทผานมาไมนานนมการคนพบRansomwareตวใหมทมชอวาCryptoLockerซงกำลงตกเปนขาวทผคนกำลงใหความสนใจผเขยนจงไดเขยนบทความนเพอใหผอานไดตระหนกและรเทาทนถงมลแวรดงกลาว
วาดวยเรองของCryptoLocker
CryptoLockerเปนRansomwareบนระบบปฏบตการWindowsตวลาสดทมการคนพบเมอชวงเดอนกนยายน2556ทผานมาโดยเผยแพรผานทางไฟลแนบในอเมลหลอกลวง(ตวอยางทมผเคยพบเชนอเมลแจงการตดตามพสดจากFedEx,UHSหรอUPSพรอมกบแนบไฟลZIPซงภายในมไฟลEXEทถกปลอมแปลงวาเปนไฟลPDF[3])หรอผานทางมลแวรประเภทบอตเนตทเคยถกตดตงลงบนเครองของผใชมากอนหลกการทำงานโดยทวไปของCryptoLockerนนคลายคลงกบRansomwareตวอนๆในอดตทผานมานนคอทำการเขารหสลบขอมลไมวาจะเปนไฟลเอกสารรปภาพและไฟลประเภทอนๆในเครองคอมพวเตอรของเหยอจากนนจะขนขอความขมขใหผใชทำการชำระเงนภายในเวลาทกำหนดกอนทขอมลทงหมดจะไมสามารถถอดรหสลบไดอกตลอดไปทงนไมใชเฉพาะขอมลในคอมพวเตอรของเหยอเทานนทถกเขารหสลบแตขอมลทแชรรวมกนในระบบเครอขายกถกเขารหสลบดวยเชนกน
CYBER THREATS 2013 251
รปท1นามสกลของไฟลทถกCryptoLockerเขารหสลบ(ทมา:NakedSecurity[4])
รปท2หนาตางของโปรแกรมCryptoLockerทขนขอความขมขใหผใชชำระเงน (ทมา:NakedSecurity[4])
พฤตกรรมทนาสนใจของCryptoLockerอยางหนงหลงจากทตดตงตวเองลงในคอมพวเตอรแลวคอการสรางสมชอโดเมนดวยเทคนคDomainGenerationAlgorithm[5]เพอเชอมตอไป
บทความเชงเทคนค252
ยงเครองควบคมและสงการ(Command-and-controlserver)ในการดาวนโหลดPublickeyทใชสำหรบเขารหสลบซงเทคนคการสมชอโดเมนเพอเชอมตอไปยงเครองควบคมและสงการนมกพบเหนในมลแวรสมยใหมทแพรระบาดอยในปจจบนโดยPublickeyทดาวนโหลดมานนใชอลกอรทมRSAทมความยาวถง2048bitsซงดวยสมรรถนะของคอมพวเตอรในปจจบนยงไมสามารถทำการสมหาPrivatekeyทใชในการถอดรหสลบทมความยาวขนาดนในทางปฏบตไดทงนRSApublickeyดงกลาวเปนเพยงKeyทใชในการเขารหสลบSecretkeyทใชในการเขารหสลบขอมลในคอมพวเตอรของเหยอจรงๆอกทอดหนงโดยSecretkeyดงกลาวใชอลกอรทมAESความยาว256bitsนอกจากนสงทนาสนใจอกอยางคอชองทางการชำระเงนซงผไมหวงดเปดโอกาสใหเหยอสามารถชำระเงนเพอขอรบPrivatekeyดวยBitcoin(ตวยอ:BTC)ซงเปนสกลเงนในโลกดจทลทกำลงไดรบความนยมอยในปจจบน
รปท3หนาตางระบชองทางการชำระเงนเปนBitcoin (ทมา:Securelist[6])
ทงนเมอตนเดอนพฤศจกายน2556มการรายงานวาผพฒนาCryptoLockerไดยดระยะเวลาใหกบผใชทตกเปนเหยอดวยการเปดเวบไซตผานเครอขายTORเพอใหบรการรบชำระเงนโดยวธการชำระเงนนนจะเรมจากการใหผใชอพโหลดไฟลทถกเขารหสลบผานหนาเวบไซตเพอทำการตรวจสอบหาPrivatekeyทใชในการถอดรหสลบโดยอางวาใชเวลาในขนตอนดงกลาวประมาณ24ชวโมงหลงจากเสรจสนจะมหนาตางปรากฏใหชำระเงนเปนBitcoinเชนเดมแตมการขนราคาจากเดม2BTCเปน10BTCหรอเทยบเทากบราคาจากเดมประมาณ460USDเปน2,300USD(ขอมลอตราแลกเปลยนณวนท4พฤศจกายน2556)
CYBER THREATS 2013 253
รปท4หนาหลกของเวบไซตทเปดใหบรการชำระเงน (ทมา:BleepingComputer[7])
บทความเชงเทคนค254
รปท5หนาตางชำระเงนหลงจากเสรจสนการคนหาPrivatekey (ทมา:BleepingComputer[7])
การปองกนและแกไข
ปจจบนยงไมมวธทจะแกไขปญหาหลงจากทเครองตดมลแวรCryptoLockerและขอมลมการเขารหสลบไดอยางสมบรณเพราะถงแมการกำจดCryptoLockerออกจากคอมพวเตอรนนจะเปนเรองทงายเนองจากโปรแกรมปองกนไวรสหลายตวณปจจบนสามารถตรวจจบไดแลว[8] [9] [10] แตขอมลทมการเขารหสลบอยกยงไมสามารถถอดรหสลบออกมาไดอยดซงแนนอนวาผทตกเปนเหยอยอมตองการใหขอมลของตนกลบคนมาอยในสภาพเดมดวยนอกจากแคการกำจดมลแวรเพยงอยางเดยวดงนนในเมอยงไมมวธแกไขทสมบรณกควรจะทำการปองกนตนเองลวงหนากอนทจะตกเปนเหยอตามไปดวย
CYBER THREATS 2013 255
สำหรบวธการปองกนนนไดแก
• Backupขอมลอยางสม�าเสมอและหากเปนไปไดใหเกบขอมลทมการBackupไวในท ทไมมการเชอมตอกบคอมพวเตอรหรอระบบเครอขายอนๆ
• ตดตง/อพเดตโปรแกรมปองกนไวรสรวมถงอพเดตโปรแกรมอนๆโดยเฉพาะโปรแกรม ทมกมขาวเรองชองโหวอยบอยๆเชนJavaและAdobeReaderและอพเดตระบบปฏบตการอยางสม�าเสมอ
• ไมคลกลงกหรอเปดไฟลทมาพรอมกบอเมลทนาสงสยหากไมมนใจวาเปนอเมลทนาเชอถอหรอไมใหสอบถามจากผสงโดยตรง
• หากมการแชรขอมลรวมกนผานระบบเครอขายใหตรวจสอบสทธในการเขาถงขอมลแตละสวนและกำหนดสทธใหผใชมสทธอานหรอแกไขเฉพาะไฟลทมความจำเปนตองใชสทธเหลานน
• ตงคาPolicyของระบบปฏบตการเพอปองกนไมใหมลแวรสามารถทำงานตามDirectoryหรอPathทระบได[11]
จากวธการปองกนตามทกลาวมาขางตนนนจะสงเกตไดวาสวนใหญเปนวธทผใชทวไปมกทราบกนดอยแลวเพยงแตอาจไมใสใจทจะปฏบตตามเนองจากคดวาตนเองไมนามโอกาสพบกบเหตรายเหลานไดซงผเขยนขอเนนย�าวาการปองกนนนยอมดกวาการแกไขโดยเฉพาะกบCryptoLockerทหากผใชไมเคยBackupขอมลแลวผใชกจะสญเสยขอมลทงหมดโดยถาวรเวนแตผใชจะเลอกวธการชำระเงนใหกบผไมหวงดซงโดยความเหนสวนตวของผเขยนนนไมสนบสนนวธนเนองจากไมมหลกประกนใดๆวาเมอชำระเงนไปแลวขอมลของผใชจะสามารถถอดรหสลบกลบมาเปนเหมอนเดมไดรวมถงการชำระเงนใหกบผไมหวงดนนเทากบวาเปนการสนบสนนใหผไมหวงดมแรงจงใจทจะกระทำการในลกษณะนตอไปในอนาคตอกดวย
สรป
CryptoLockerเปนมลแวรประเภทRansomwareตวหนงทกำลงแพรระบาดอยในปจจบนซงอาจทำใหผใชสญเสยขอมลสำคญทงหมดในเครองคอมพวเตอรไดวธการปองกนทดทสดในตอนนคอการBackupขอมลตดตงโปรแกรมปองกนไวรสอพเดตโปรแกรมและระบบปฏบตการอยางสม�าเสมอรวมถงการไมคลกลงกหรอเปดไฟลทมาพรอมกบอเมลทนาสงสยซงลวนแลวแตเปนวธปฏบตพนฐานในการปองกนตนเองจากเหตภยคกคามดานสารสนเทศทอาจเกดขนไดทกเมอ
บทความเชงเทคนค256
อางอง
1. http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Trojan%3aWin32%2fReveton#tab=1
2.http://www.computerworld.com/s/article/9215711/Ransomware_squeezes_users_with_bogus_Windows_activation_demand
3.http://www.examiner.com/article/crypto-locker-virus-hijacks-your-computer-makes-you-pay-300-ransom-what-to-do
4.http://nakedsecurity.sophos.com/2013/10/12/destructive-malware-cryptolocker-on-the-loose
5.http://en.wikipedia.org/wiki/Domain_generation_algorithm
6.http://www.securelist.com/en/blog/208214109/Cryptolocker_Wants_Your_Money
7.http://www.bleepingcomputer.com/forums/t/512668/cryptolocker-developers-charge-10-bitcoins-to-use-new-decryption-service
8.http://www.yac.mx/th/guides/virus-guides/20130909-how-to-remove-cryptolocker-ransomware-through-yac-virus-removal-tool.html
9.http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know
10.http://nakedsecurity.sophos.com/2013/10/18/cryptolocker-ransomware-see-how-it-works-learn-about-prevention-cleanup-and-recovery
11.http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information#preven
CYBER THREATS 2013 257
บทความเชงเทคนค258
การวเคราะหมลแวรเบองตนตอนท1ผเขยน : เสฏฐวฒแสนนามวนทเผยแพร : 19ธนวาคม2556ปรบปรงลาสด : 19ธนวาคม2556
หลายคนคงเคยไดยนคำวามลแวรหรอไวรสคอมพวเตอรกนอยบอยๆและนาจะเคยเหนบทความทวเคราะหการทำงานของมลแวรซงกอาจจะมขอสงสยวาสามารถทำไดอยางไรและตองมเครองมอหรอขนตอนอะไรบางบทความในชด“การวเคราะหมลแวรเบองตน”นจะอธบายถงหลกการและ วธการทใชวเคราะหมลแวรโดยจะนำเสนอเนอหาในระดบเบองตนเพอผทสนใจสามารถนำไปทดลองและใชเปนขอมลในการศกษาเพมเตมไดตอไป
มลแวรคออะไร?
มลแวร(Malware)ยอมาจากMaliciousSoftwareหมายถงซอฟตแวรไมพงประสงคเปนโปรแกรมทมการเขยนขนมาเพอทำอนตรายกบระบบเชนทำใหคอมพวเตอรทำงานผดปกตขโมย/ทำลายขอมลหรอเปดชองทางใหผไมหวงดเขามาควบคมเครองคอมพวเตอรเปนตน
ในการแบงประเภทของมลแวรโดยปกตจะแบงตามพฤตกรรมการทำงานตวอยางเชน
• Virus-แพรกระจายตวเองไปยงเครองอนๆผานไฟล
• Worm-แพรกระจายตวเองไปยงเครองอนๆผานระบบเครอขาย(เชนอเมลหรอระบบแชรไฟล)
• Trojan-หลอกวาเปนโปรแกรมทปลอดภยแลวใหผใชหลงเชอนำไปตดตง
• Backdoor-เปดชองทางใหผไมหวงดเขามาควบคมเครอง
• Rootkit-เปดชองทางใหผไมหวงดเขามาควบคมเครองพรอมไดสทธของผดแลระบบ
• Spyware-แอบดพฤตกรรมการใชงานของผใชและอาจขโมยขอมลสวนตวดวย
มลแวรหนงตวอาจมพฤตกรรมหลายอยางจงอาจจดใหอยไดในหลายประเภทตวอยางการแบงประเภทของมลแวรเปนดงรปท1
CYBER THREATS 2013 259
รปท1ตวอยางการแบงประเภทของมลแวร(ทมา:Kaspersky[1])
นอกจากการทำงานขางตนแลวพฤตกรรมของมลแวรโดยสวนใหญจะมสวนทคลายๆกนคอหลบซอนตวเองจากการตรวจจบโหลดมลแวรตวอนมาลงเพมปดการทำงานของระบบรกษาความปลอดภย(เชนAntivirus)หรอฝงตวเองในระบบเพอใหยงสามารถกลบมาทำงานตอไดเมอรสตารตเครองเปนตน
บทความเชงเทคนค260
วธการตดมลแวร
การตดมลแวรโดยหลกๆมอย2วธคอหลอกใหผใชเปนคนรนโปรแกรมมลแวรเองหรอตดตงตวเองลงในเครองโดยอตโนมตผานชองโหวของซอฟตแวร
การหลอกใหผใชเปนคนรนโปรแกรมมลแวรเองสวนใหญจะอยในรปแบบไฟลประเภทExecutableหรอScriptซงเปนโคดของโปรแกรมทสามารถเปดขนมาทำงานตามคำสงไดทนทโดยสวนใหญจะอยในรปแบบของไฟลประเภท.exe.bat.comหรอ.scr[2]
วธการแพรกระจายมลแวรแบบทพบเหนกนบอยๆกคงจะเปนการตดผานUSBDriveการสงไฟลผานทางอเมลหรอปลอยไฟลมลแวรไปในเวบไซตทใหดาวนโหลดซอฟตแวรเถอนหรอเวบไซตประเภทBittorrent
ในการหลอกใหผใชเรยกใชงานโปรแกรมมลแวรผเขยนมลแวรอาจใชวธการหลอกลวงตางๆเชนเปลยนไอคอนของโปรแกรมใหเปนรปไฟลเอกสารรปโฟลเดอรหรอตงชอไฟลหลอกใหผใชเขาใจวาเปนไฟลเอกสารธรรมดาแตในบางกรณมลแวรอาจมาในรปของไฟลเอกสารเชนไฟลMicrosoftOfficeหรอไฟลPDFเนองจากซอฟตแวรทใชอานขอมลจากไฟลประเภทดงกลาวมชองโหวใหสามารถฝงโคดของมลแวรได
นอกจากวธขางตนแลวแนวโนมในปจจบนยงพบการโจมตแบบDrive-by-DownloadซงเปนการใชชองโหวของเบราวเซอรหรอปลกอนของเบราวเซอรในการโจมตซงโดยสวนมากจะพบการโจมตผานชองโหวของJava,AdobeReaderหรอFlashPlayerโดยผโจมตจะฝงโคดอนตรายไวในเวบไซตเมอผใชเปดเขาไปยงเวบไซตดงกลาวกจะตดมลแวรในทนท(สามารถศกษาเพมเตมไดทบทความการโจมตผานเวบเบราวเซอรและการปองกน[3])
การวเคราะหมลแวร
ในการวเคราะหมลแวรมจดประสงคหลกๆคอเพอตองการศกษาพฤตกรรมและขนตอนการทำงานของมลแวรเพอตรวจสอบผลกระทบจากความเสยหายรวมถงศกษาวธปองกนและแกไขปญหาหลงตดมลแวรซงอาจจะเปนประโยชนในการแจงเตอนเรองความปลอดภยในกรณทพบมลแวรชนดใหมทAntivirusสวนใหญยงไมรจกหรอเปนมลแวรสายพนธใหมทขอมลผลการวเคราะหเดมอาจเชอถอไดไม100%
ในกรณพบไฟลทตองสงสยวาเปนมลแวรการวเคราะหเบองตนอาจทำไดโดยการใชเครองมอOnlineMalwareScanทใชวธการอพโหลดไฟลขนไปเพอใหAntivirusคายตางๆชวยกนสแกนเชนเวบไซตhttp://www.virustotal.comหรอhttp://virusscan.jotti.org/enซงทงสองเวบไซตดงกลาวนสามารถใชงานไดฟรอยางไรกตามหากเปนมลแวรชนดใหมๆกอาจจะตรวจสอบดวยวธนไมไดตวอยางการสแกนโดยใชเวบไซตVirustotalเปนดงรปท2
CYBER THREATS 2013 261
รปท2ตวอยางการสแกนไฟลทนาสงสยโดยใชเวบไซตVirustotal
ผลการสแกนโดยใชAntivirusหากพบวาเปนมลแวรทรจกดกจะมชอของมลแวรตวนนแสดงขนมาซงสามารถนำชอไปคนหาขอมลเพมเตมรวมถงวธการแกไขไดอยางไรกตามชอของมลแวร ตวเดยวกนอาจแตกตางกนไปตามแตบรษทAntivirusจะตง
ในกรณทสแกนแลวไมพบขอมลหรอขอมลทไดรบไมเพยงพอตอการแกไขปญหากจำเปนทจะตองทำการวเคราะหมลแวรเองซงกมวธการหลกๆอยดวยกน2วธคอBehaviorAnalysisและCodeAnalysis
BehaviorAnalysis
มอกชอหนงวาDynamicAnalysisเปนการวเคราะหพฤตกรรมของมลแวรโดยการรนตวโปรแกรมมลแวรแลวตรวจสอบความเปลยนแปลงหรอเหตการณทเกดขนหลงจากทมลแวรทำงานขอดของการวเคราะหดวยวธนคอเรวสามารถรการทำงานเบองตนและประเมนความเสยหายคราวๆไดถงแมวาผลทไดอาจไมครอบคลมฟงกชนทงหมดทมลแวรสามารถทำไดแตกนาจะเพยงพอสำหรบใชในการแจงเตอนเรองความมนคงปลอดภย
ขอมลเบองตนทจะไดจากการวเคราะหดวยวธนเชน
• ไฟลทมการสราง/แกไข/ลบ
• Registryทเกยวของ
• การแกไขการตงคาระบบ
• Serviceทมลแวรสรางขนหรอใชงาน
• การเชอมตอเครอขาย
บทความเชงเทคนค262
โดยทวไปการวเคราะหดวยวธนจะทำในระบบจำลองโดยใชVirtualMachine(เชนVirtualBoxหรอVMWare)เนองจากมขอดคอเปนระบบทสามารถควบคมสภาวะแวดลอมไดงาย(เชนจำนวนCPUหรอรปแบบการเชอมตอเครอขาย)และสามารถทำSnapshotเพอบนทกสถานะของระบบในขณะนนและยอนกลบคนเหตการณเพอทดสอบพฤตกรรมในรปแบบอนๆไดตวอยางการวเคราะหมลแวรโดยใชVirtualMachineเปนดงรปท3
รปท3ตวอยางการวเคราะหมลแวรโดยใชVirtualMachine
ขอเสยของวธนคอหากมมลแวรทสามารถตรวจสอบไดวาตวเองกำลงทำงานอยในVirtualMachineกอาจไมแสดงพฤตกรรมผดปกตออกมาหรอหากมมลแวรทมโคดสำหรบโจมตผานชองโหวของโปรแกรมVirtualMachineตวมลแวรกอาจหลดออกมาตดในระบบจรงได
CodeAnalysis
มอกชอหนงวาStaticAnalysisเปนการวเคราะหโคดเพอทำความเขาใจฟงกชนการทำงานของมลแวรสงทตองทำคอการReverseEngineerเพอดโคดของโปรแกรมในแบบภาษาเครอง(เชนภาษาAssembly)และใชวธการDebugเพอทดสอบการทำงานในสวนของโคดทนาสงสยตวอยางโปรแกรมIDAทใชวเคราะหมลแวรแบบCodeAnalysisเปนดงรปท4
CYBER THREATS 2013 263
รปท4ตวอยางการReverseEngineerโดยใชโปรแกรมIDA(ทมาHex-Rays[4])
การวเคราะหดวยวธนมขอเสยคอทำไดยากเพราะตองใชความรระดบLow-levellanguageและใชเวลานานในกรณทเปนมลแวรทมความซบซอนสงแตมขอดคอถาวเคราะหโคดไดทงหมดกสามารถเขาใจทกฟงกชนการทำงานของมลแวรขอควรระวง
การวเคราะหมลแวรไมวาจะดวยวธใดกตามจำเปนตองทำในระบบปดนนคอตองไมทำในเครองทสามารถเชอมตอกบระบบเครอขายภายนอกไดเพอปองกนไมใหมลแวรหลดรอดออกไปสรางความเสยหายกบระบบอนๆหากเปนไปไดควรทำในระบบVirtualMachineทอพเดตแพทชเปนเวอรชนลาสดทงตวโปรแกรมและระบบปฏบตการ
หากไมสามารถวเคราะหมลแวรในระบบจำลองไดอาจจำเปนตองนำมลแวรมารนในเครองจรงซงกอาจมความเสยงทจะทำใหฮารดแวรเสยหายไดเพราะมลแวรบางตวมความสามารถในการเขยนขอมลทบFirmwareของฮารดแวรเพอใหทำงานผดปกตหรอทำงานไมได
สำหรบเนอหาของบทความ“การวเคราะหมลแวรเบองตนตอนท1”นจะเปนการเกรนนำทมาคราวๆเพยงเทานกอนสำหรบตอนท2จะเปนเนอหาเกยวกบการวเคราะหมลแวรดวยวธBehaviorAnalysisและตอนท3จะเปนวธCodeAnalysisซงจะนำเสนอในโอกาสตอไปอางอง
1. http://www.kaspersky.com/internet-security-center/threats/malware-classifications
2. http://pcsupport.about.com/od/tipstricks/a/execfileext.htm
3. https://www.thaicert.or.th/papers/general/2012/pa2012ge008.html
4. https://www.hex-rays.com/products/ida/
บทความเชงเทคนค264
URLOBFUSCATIONผเขยน : เจษฎาชางสสงขวนทเผยแพร : 26ธนวาคม2556ปรบปรงลาสด : 26ธนวาคม2556
ปจจบนมภยคกคามมากมายบนโลกอนเทอรเนตไมเวนแมแตURLทผใชคลกเพอเขาไปยง เวบไซตซงอาจจะคดวาไมเปนอนตรายอะไรแตแทจรงแลวหากไมไดพจารณาใหรอบคอบURLดงกลาวอาจพาทานไปยงเวบไซตอนตรายได
ตวอยางกรณทผใชตองการเขาไปยงเวบไซตธนาคารแหงหนงโดยการคลกURLจากEmail ทไดรบแตURLดงกลาวกลบพาผใชไปยงเวบไซตธนาคารปลอมของผไมประสงคดซงผลทตามมาอาจทำใหบญชผใชและรหสผานถกผไมประสงคดขโมยและเครองของทานยงอาจถกโจมตทำใหตดมลแวรได
จากเหตการณดงกลาวปญหาอาจเกดจากการทผใชไมไดพจารณาตรวจสอบURLกอนคลกซงผไมประสงคดมเทคนคตางๆมากมายททำใหผใชไมสามารถมองออกไดวาURLนนเปนURLทถกตองหรอไมในทนผเขยนขออธบายวธการหนงทมการนยมใชกนนนคอURLObfuscationสำหรบเทคนคอนๆนนผเขยนจะนำมาอธบายทานใหทานทราบในโอกาสตอไป
URLคออะไร?
ผใชหลายทานอาจจะเคยไดยนและมความคนเคยกบURLแลวแตจะขออธบายถงความหมายและโครงสรางเบองตนเพอใหผใชเขาใจวธการของURLObfuscationและสามารถนำไปใชพจารณาURLทนาสงสยตอไปได
URL(UniformResourceLocator)คอสงทใชระบตำแหนงของทรพยากรบนเครอขายอนเทอรเนตเชนURLhttp://www.thaicert.or.th/index.htmlมโครงสรางทอางองตามRFC1738[1]ดงน
<scheme>//<user>:<password>@<host>:<port>/<url-path>
• schemeคอโพรโทคอลตางๆทใชเขาถงเชนHTTP,HTTPS,FTP,SMB
• userคอUsernameทใชในการยนยนตวตนในกรณทมการพจารณาการยนยนตวตนหากระบบไมมการพจารณาจะไมสนใจคาน
• passwordคอรหสผานทใชยนยนตวตนรวมกบUsername
• hostคอตำแหนงของเครองทเราตองการเขาถงโดยจะระบเปนDomainnameหรอIPAddress
CYBER THREATS 2013 265
• portคอหมายเลขอางองของบรการตางๆทเครองใหบรการเปดใหเขาถงโดยทวไปหากไมไดกำหนดโปรแกรมจะกำหนดตามโพรโทคอลหรอ<scheme>เชนhttpจะมการกำหนดเปน80httpsจะมการกำหนดเปน443เปนตน
• url-pathคอตำแหนงทระบเปนไฟลหรอเปนพารามเตอรทใชรบคาเชน/a/b/c/test.html,index.php?id=1
ตวอยางการระบURL
“http://username:[email protected]:80/image/test.html”
อธบายตวอยางดงตารางขางลางไดดงน
Field Name Value
scheme http
user username
password password
host www.thaicert.or.th
port 80
url-path /image/test.html
URLObfuscation
Obfuscationคอการทำใหเกดความสบสนหรอทำใหผอานไมสามารถเขาใจไดงาย ดงนนURLObfuscationจงเปนการทำใหผทอานURLเกดความสบสนหรอไมสามารถเขาใจURLไดทนทURLObfuscationนนอาจใหผลลพธในแตละBrowserไมเหมอนกนโดยใน ทนผเขยนไดทดลองในBrowserChromeเนองจากสถตทมการใชงานเปนอนดบ1เมอเทยบกบFirefoxและInternetExplorer[2]โดยจะยกตวอยางใหผใชไดทราบดงน
URLEncoding
คอการแปลงIPหรอHostnameใหอยในรปของURLEncodingโดยเปนการแทนอกขระดวยรหสตางๆโดยสามารถดไดจากตาราง(http://www.w3schools.com/tags/ref_urlencode.asp)หรอใชเครองมอออนไลนเชนhttp://www.url-encode-decode.com/urldecode
บทความเชงเทคนค266
ตวอยางการแปลงhttp://thaicert.or.thจะได http://%74%68%61%69%63%65%72%74%2E%6F%72%2E%74%68
IPObfuscation
เทคนคนจะเปนการพยายามแปลงIPAddressไมใหอยในรปเดมโดยจะยกตวอยางIP74.125.131.105ซงเปนการเขยนแทนhostทชอwww.google.com
1.HexadecimalNumberคอการแปลงIPAddressใหรปในรปฐาน16ทำไดโดยการแบงIPAddressเปน4สวนจากนนแปลงใหเปนในรปฐาน16(Hex)ดงตาราง
Dec 74 125 131 105
Hex 4A 7D 83 69 นำคาฐาน16ทง4มากำหนดใหอยในรปแบบดงน หากผใชลองเขาถงURLhttp://0x4a.0x7d.0x83.0x69/BrowserของทานจะพาไปยงIPAddress74.125.131.105โดยอตโนมต
2.OctalNumberคอการแปลงIPAddressใหรปในรปฐาน8ทำไดโดยการแบงIPAddressเปน4สวนจากนนแปลงใหเปนในรปฐาน8(Oct)ดงตาราง
Dec 74 125 131 105
Oct 112 175 203 151 นำคาฐาน16ทง4มากำหนดใหอยในรปแบบดงน หากผใชลองเขาถงURLhttp://0112.0175.0203.0151/เบราวเซอรของทานจะพาไปยงIPAddress74.125.131.105โดยอตโนมต
3.DWORDหรอDoubleWordคอตวเลขจำนวนเตมโดยทวไปจะมขนาด32bit รปแบบทผไมประสงคดนำมาใชโจมตเชนการแปลงจากIPAddress74.125.131.105ใหอยใน รปแบบDWORDดงน แบงIPAddressเปน4สวนจากนนแปลงใหเปนในรปฐาน16(Hex)ดงตาราง
CYBER THREATS 2013 267
Dec 74 125 131 105
Hex 4A 7D 83 69 นำคาฐาน16ทง4มาตอกน:4A7D8369 แปลงคาฐาน16กลบเปนฐานสบ(Decimal):1249739625 หากผใชลองเขาถงURLhttp://1249739625เบราวเซอรของทานจะพาไปยงIPAddress74.125.131.105โดยอตโนมต[3][4]
ตวอยางรปแบบทผไมประสงคดนำไปใช
จากการแปลงIPAddressใหอยในรปเลขฐานตางๆขางตนผไมประสงคดอาจนำความร เกยวกบโครงสรางของURLมาใชเพมเตมเพอใหเกดความสมจรงดงน
“http://www.bank.com:[email protected]”
จากURLดงกลาวหากเขาถงเบราวเซอรจะกำหนดใหไปยงIPAddress74.125.131.105เนองจากหากดจากโครงสรางของURLดงทไดอธบายกอนหนานจะพบวาwww.bank.comคอUsernameและlogin.htmlคอรหสผานซงสงเกตไดจากเครองหมาย“:”ซงคนระหวางUsernameและรหสผานและจะอยกอนเครองหมาย“@”เสมอ
หากผโจมตใชเทคนคดงกลาวรวมกบIPObfuscationจะไดตวอยางดงน
Type URL
URL Encodinghttp://www.bank.com:login.html@%74%68%61%69%63%65%72%74%2E%6F%72%2E%74%68
Hexadecimal http://www.bank.com:[email protected]/
Octal http://www.bank.com:[email protected]
DWORD http://www.bank.com:login.html@1249739625/
ผเขยนขอจำลองสถานการณวาผไมประสงคดไดสงอเมลมายงเหยอทใชงานGmailโดยสง
บทความเชงเทคนค268
ขอมลแจงใหทำการยนยนตวตนไมเชนนนaccountของผใชจะถกระงบการใชงานโดยใหผใชคลกURLทมโดเมนเนมเปนของGoogleดงน
http://www.google.co.th/url?sa=t&rct=j&q=&esrc=s&source=web&c d=1&ved=0CC4QFjAA&url=%68%74%74p%3A%2F%2F%74%68%61%69%63%65%72%74%2E%6F%72%2E%74%68%2F&ei=JPgAUeieHs7wrQev5IC4DQ&usg=AFQjC NECZ1VHgfys3dSMAiaEU6H9_ftWfw&sig2=XQPZjnPhMpaNA1eu49Yljw&b vm=bv.41524429,d.bmk&cad=rja
จะเหนไดวาURLดงกลาวมการredirectไปยงเวบไซตhttp://thaicert.or.thโดยอตโนมตซงหากผไมประสงคดกำหนดใหเปนเวบไซตอนตรายทมมลแวรฝงอยแทนกอาจทำใหผใชตดมลแวรได หมายเหต:redirectคอการเปลยนเสนทางการเขาถงขอมลหรอเวบไซตจากแหลงหนงไปยงอกแหลงทเครองตนทางไดกำหนดไวซงเปนอกเทคนคหนงทผไมประสงคดนำไปใชหลอกลอเหยอใหเขาไปยงเวบไซตอนตรายซงผเขยนจะขออธบายใหทานเขาใจในโอกาสตอไป
พจารณาอยางไร
หากสงเกตลกษณะของURLจะพบวามสวนทถกEncodeดวยURLEncodingอย
“%68%74%74p%3A%2F%2F%74%68%61%69%63%65%72%74%2E%6F%72%2E%74%68%2F”
เมอนำสวนดงกลาวมาDecodeจะไดhttp://thaicert.or.th/
URLทถกdecodeแลว
“http://www.google.co.th/url?sa=t&rct=j&q=&esrc=s&source=web&c d=1&ved=0CC4QFjAA&url=http://thaicert.or.th/&ei=JPgAUeieHs7wrQev5IC 4DQ&usg=AFQjCNECZ1VHgfys3dSMAiaEU6H9_ftWfw&sig2=XQPZjnPhM paNA1eu49Yljw&bvm=bv.41524429,d.bmk&cad=rja”
สรป
เนอหาทผเขยนไดเขยนมาขางตนนนเปนแนวทางในการพจารณารปแบบของURLObfuscationทอาจพบโดยทวไปและอาจเปนภยคกคามทผไมประสงคดนำมาใชโจมตผใชงาน ผเขยนจงหวงเปนอยางยงวาผอานจะเกดความตระหนกจากผลกระทบทเกดขนและสามารถนำความรดงกลาวไปใชพจารณากอนคลกลงกใดๆกตามอยเสมอเพอไมเขาไปยงเวบไซตทอนตรายอางอง• http://www.ietf.org/rfc/rfc1738.txt• http://www.w3schools.com/browsers/browsers_stats.asp• http://www.aldeid.com/wiki/Dword2url• http://research.zscaler.com/2011/08/malicious-urls-using-dword-formatted-ip.html• http://blog.opensecurityresearch.com/2013/01/deofuscating-potentially-malicious-
urls.html
CYBER THREATS 2013 269
บทความเชงเทคนค270
SECURITYINFORMATIONMANAGER(2)ผเขยน : รณนเรศรเรองจนดาวนทเผยแพร :26ธนวาคม2556ปรบปรงลาสด : 26ธนวาคม2556
ในบทความกอนหนานไดแนะนำใหผอานรจกกบSSIMกนไปแลวในบทความตอนนจะนำเสนอขนตอนดำเนนโครงการในการนำเอาSIMเขามาใชในองคกรเพอการเฝาระวงความปลอดภยระบบสารสนเทศเนองจากโครงการลกษณะนมความซบซอนอกทงไมมขนตอนวธทเปนมาตรฐานทำใหผดำเนนการมกจะมองโครงการลกษณะนเปนการจดซออปกรณนำมาตงคาและเชอมตอเขาดวยกนทำนองเดยวกบการจดซออปกรณเครอขายทวไปทำใหมองไมเหนรายละเอยดและความซบซอนท ซอนอยในความเหนผเขยนโครงการลกษณะนจดเปนSolutionมากกวาจะเปนการตดตงอปกรณหวใจสำคญจงอยทการออกแบบและนำเสนอSolutionใหสอดคลองกบความตองการซงหวงวาผอานจะไดรบประโยชนในการใชบทความนเปนแนวทางในการดำเนนโครงการลกษณะดงกลาวความจรงแลวขนตอนในการดำเนนโครงการลกษณะนแทบจะไมแตกตางกบโครงการระบบสารสนเทศอนคอเรมจากPreliminary(การสำรวจความตองการเบองตน)RequirementAnalysis(การวเคราะหความตองการ)Design(การออกแบบ)Implement(การตดตง)Test(การทดสอบ)และProduction(เปดใชงาน)เพยงแตมกจกรรมยอยๆทจำเปนตองใชความระมดระวงมฉะนนโครงการอาจลาชาหรอถงกบตองรอออกแบบใหมกนเลยในทนจะขอกลาวถงแตรายละเอยดทสำคญ
การสำรวจความตองการเบองตนปกตขนตอนนจะทำกนกอนการเลอกซอหรอบางองคกรอาจมองเปนขนตอนเดยวกนเลยในขนตอนนสงสำคญคงไมพนการกำหนดจดมงหมายของการนำSIMมาใชซงกมไดสองลกษณะคอการนำมาใชเพอเปนการเฝาระวงคอแจงเตอนเมอมเหตการณเกดขนหรอนำมาใชเพอชวยในการวเคราะหขอมลlogยอนหลงสำหรบเหตการณทเกดขนไปแลว ดงทไดอธบายไวแลววาทงสองแบบมความตองการหนวยจดเกบขอมลและประสทธภาพตางกนอยางแรกตองการระบบทมประสทธภาพสงทตอบสนองไดรวดเรวในขณะทแบบหลงตองการหนวยจดเกบขอมลขนาดใหญลำดบถดมาทตองพจารณาควบคกนไปดวยคอปรมาณขอมลlog ทจะจดเกบซงหาไดจากจำนวนอปกรณกำเนดขอมลlogซงจำเปนตองทราบใหแนนอนระดบหนงวามปรมาณขอมลเหตการณ(numberofevent)ตอวนเทาไรและทสำคญมอตราการสงขอมลตอ
CYBER THREATS 2013 271
วนาท(eventpersecหรอEPS)เปนเทาไรขอมลเหลานจำเปนสำหรบการเลอกรนและยหอของSIMนอกจากนยงตองกำหนดความตองการดานเครอขายสำหรบการเชอมตอใหชดเจนเนองจากSIMจำเปนตองเชอมกบอปกรณกำเนดlogทกตวสงเหลานลวนตองทำการวเคราะหและจดทำเปนสวนหนงของขอกำหนดความตองการของโครงการ(TOR)
การวเคราะหความตองการขนตอนนมความจำเปนอยางยงเพราะหลงจากไดรบขอเสนอจาก ผคาทสอดคลองกบTORกมกจะเขาใจกนไปวาใหผคาดำเนนโครงการใหสอดคลองกบTORกนาจะเพยงพอแลวในความเปนจรงTORเปนเพยงขอกำหนดกวางๆทไมไดเฉพาะเจาะจงผเขยนแนะนำใหนำTORแตละขอมาวเคราะหและขยายความเพอใหเกดความชดเจนแลวจดทำเปนเอกสารความตองการของระบบ(SystemRequirementSpecification-SRS)สำหรบSIMจากนนสงทตองมาวเคราะหเพมเตมคอรายละเอยดการตงคาทสำคญๆของSIMไดแก
• AggregationกำหนดรายชออปกรณรนและรปแบบการบนทกขอมลจดทำเปนเอกสารและทดสอบยนยนวาSIMรองรบการเชอมตอกบอปกรณดงกลาวหรอไมและถาไมจะมแนวทางการแกไขอยางไรอยางทกลาวไวในตอนท1วาเนองจากอปกรณกำเนดlogมความหลากหลายทำใหขอมลlogมรปแบบไมเหมอนกนและอาจไดรบการตงคาใหตางไปจากคาตงตนโดยปรยายรวมทงอปกรณอาจมการสงขอมลlogไปยงระบบอนแลวฯลฯสงเหลานลวนจำเปนจะตองกำหนดลงในเอกสารใหชดเจนเนองจากมผลกระทบตอการดำเนนโครงการในเฟสการออกแบบในสวนของการเชอมตอและตดตงรวมถงการ ตงคาระบบ
• Correlationการกำหนดขอบเขตและรายละเอยดการตงคาการวเคราะหความสมพนธของขอมล(CorrelationRule)ซงควรจะกำหนดใหชดเจนวาจะมจำนวนกแบบแตละแบบมรายละเอยดอยางไรสวนนนบเปนประเดนทนาสนใจตรงทวาผใชหรอผซอระบบกคาดหวงวาผคาหรอผออกแบบตดตงจะใหคำแนะนำทเหมาะสมในการตงคาในขณะทผคาหรอผออกแบบตดตงกคาดหวงวาผใชหรอผซอจะกำหนดหรอบอกความตองการของตนใหทราบไปๆมาๆตางฝายตางกไดแตแลตากนสดทายกใชคาโดยปรยายทตงมาจากโรงงานหรอผผลตซงโดยมากกมกจะไมตรงตามความตองการและไปมผลกระทบเมอระบบเรมใชงานเพราะจะมแตขอมลสวนเกนหรอไมตรงความตองการเตมไปหมดดงนนผเขยนจงขอแนะนำวาใหทำการประชมหารอและกำหนดรายละเอยดในสวนนใหเรยบรอยขอสงเกตอกประการหนงคอการตงคาCorrelationRuleนนเปนเรองละเอยดออนและซบซอนพอสมควรแมจะมการกำหนดขอบเขตชดเจนแลวกยงจำเปนทจะตองทดสอบและปรบใหสอดคลองกบธรรมชาตการดำเนนงานของแตละระบบเปนรายๆไปเพอลดFalsePositiveตวอยางเชนการตงคาCorrelationRule“มIPใดบางทเชอมตอเขามายงIPภายในองคกรดวยหมายเลขพอรตปลายทางทสงกวา1024มากกวา1,000เหตการณตอ10นาทภายใน24ชวโมง”ซงจะเหนไดอยางชดเจนวามสองประเดนคอหากองคกรมการเชอมตอเขามาดวยพอรตหมายเลขสงกวา1024โดยเจตนา(อาจจะดวยความจำเปนหรอขอจำกดกตาม)เปนประจำอยแลวCorrelationRuleขอนกตองไดรบการปรบแกกบอกประเดนคอจำนวนการเชอมตอเขามาไมวาจะเพอการทำงานโดยปกต
บทความเชงเทคนค272
หรอการถกโจมตดวยการScanPortองคกรหรอผดแลระบบจะมองวาเปนเรองผดปกตหรอไมเพราะองคกรหรอผดแลแตละทานกมวจารณญาณทตางกนบางทานอาจมองวาการถกScanPortเปนปกตไมจำเปนตองสนใจในขณะทบางองคกรอาจมองวาเปนภยคกคามซงกตองมการปรบคาในชวงทระบบเรมดำเนนการ
• Alertเปนอกสงหนงทควรจะกำหนดใหชดเจนวาระบบจะแจงเตอนไปทใครอยางไรแตละวนคาดวาจะมจำนวนประมาณเทาไรและการจดการตอบรบจะทำอยางไรแมเรองเหลานจะเปนขอกำหนดความตองการทเกยวของกบการดำเนนการ(OperationsRequirement)แตหากไมวเคราะหและทำความเขาใจใหตรงกนระหวางผออกแบบตดตงและผใชแลวกจะเกดปญหาการแจงเตอนทมมากจนลนเกนหรอในทางกลบกนทไมมการแจงเตอนทสำคญไปยงผดแลระบบเปนตน
• รายงานและDashboardขอนคงไมตองบรรยายอะไรมากเนองจากทกทานคงเขาใจถงความสำคญและความจำเปนในการวเคราะหความตองการตรงสวนนอยแลวสงทผเขยนอยากแนะนำคงมเพยงเรองปรมาณรายงานซงจากประสบการณของผเขยนพบวาผใชมกจะอยากไดรายงานตางๆเปนจำนวนมากๆ(เพอความอนใจ)แทนทจะเลอกเอารายงานทสำคญและตองใชเทานนอยาลมวาในการทำโครงการททรพยากรมจำกดโดยเฉพาะอยางยงเวลาการใหความสำคญหมดไปกบสงทไมไดใชนบเปนเรองทนาเสยดาย
การออกแบบหลงจากทไดSRSมาแลวกเปนการนำเอาความตองการแตละขอมาออกแบบสำหรบSIMมสวนทสำคญอยสองประเดนคอการตงคาระบบทสำคญอยางCorrelationRule,Alertและการออกแบบการเชอมตอโดยขอใหมการจดทำเอกสารการออกแบบระบบ(SystemDesign)ทชดเจนสำหรบใชอางองในขนตอนการตดตงและทดสอบกคงเพยงพอแลวแตถาใหดควรจดทำเปนเอกสารขอกำหนดการออกแบบระบบ(SystemDesignSpecification-SDS)ในกรณทตองการใหแนใจวาความตองการในSRSสอดคลองกบการออกแบบนอกจากนในชวงของการออกแบบหากขอกำหนดความตองการใดมความคลมเครอหรอมความรสกวาการออกแบบอาจจะไมรองรบผเขยนแนะนำใหทำการทดสอบเบองตนกอนอาจจะเรยกวาเปนProofOfConcept(POC)กไดแมวาโดยปกตเรามกจะทำPOCกนกอนทจะซอหรอดำเนนโครงการแตจากประสบการณของผเขยนแลวหากโครงการยงอยในชวงการวเคราะหความตองการหรอชวงออกแบบหากมขอสงสยทสำคญและคาดวาจะมผลกระทบสงกสมควรจะทำPOCเสมอเพอลดความเสยงในการออกแบบผดพลาดอยางไรกตามขอใหคำนงถงเรองทรพยากรเพราะการทำPOCเปนกจกรรมพเศษควรดำเนนการดวยความระมดระวงและรอบคอบ
การตดตงสำหรบSIMไมมอะไรทตองจดการเปนพเศษเพยงผตดตงดำเนนการตามการออกแบบและจดทำคมอเอกสารประกอบการตงคากเพยงพอแลวสำหรบองคกรทนำSIMเขามาใชเพอเฝาระวงภยคกคามผเขยนแนะนำใหทำการทดสอบชองโหว(VulnerabilityAssessment–VA)ของระบบทมอยกอนทำการตดตงทงนเพอนำขอมลทไดมาประกอบในการเฝาระวงภยคกคาม
การทดสอบโดยทวไปแลวสำหรบSIMการทดสอบระบบทแนะนำกคอการทดสอบการตงคาวาเปนไปตามทออกแบบไวหรอไมซงหากมการกำหนดความตองการเรองปรมาณและอตราการรบสง
CYBER THREATS 2013 273
ขอมลกควรมการทดสอบความสามารถในการรองรบปรมาณขอมลนำเขา(LoadTest)และหากใชSIMเพอใหบรการในการเฝาระวงภยคกคามใหแกระบบสารสนเทศทมความสำคญอาจจำเปนตองทำการทดสอบความเครยดของระบบ(StressTest)เพอดวาหากระบบดำเนนไปในสภาวะไมปกตเชนหนวยความจำไมเพยงพออตราการสงขอมลนอยกวาการรบขอมลฯลฯระบบทออกแบบมาจะตอบสนองอยางไรและทายสดการทดสอบเชอมตอและเปดใชระบบ(IntegrationTestandPilot)ทงหมดนขนกบความตองการขององคกรและลกษณะโครงการ
การเปดใชงานเชนเดยวกบโครงการพฒนาระบบสารสนเทศทวไปSIMเมอเปดใชงานกจำเปนจะตองไดรบการดแลเปนพเศษหรอทเรยกวาNursingPeriodซงไมควรนอยกวาหนงสปดาหซงชวงนเองทผใชจะไดทราบผลกระทบทอยนอกเหนอการควบคมในชวงการออกแบบรวมทงเปนชวงเวลาสำหรบการปรบCorrelation,Alertใหสอดคลองกบการดำเนนการและธรรมชาตของผใชระบบ
ในตอนนของบทความผเขยนไดแนะแนวทางของการดำเนนโครงการการตดตงSIMซงออกจะดซบซอนและตองทำเอกสารเปนจำนวนมากทเปนเชนนเพราะผเขยนมงนำเสนอการดำเนนโครงการลกษณะนในองคกรทมระบบสารสนเทศขนาดใหญซงจำเปนตองดำเนนโครงการอยางรอบคอบรดกมและมมาตรฐานซงผเขยนหวงวาคงจะมประโยชนสำหรบผสนใจในตอนหนาซงเปนตอนสดทายจะขอแนะนำCorrelationRuleทเปนมาตรฐานและนยมใชกนอยเสมอ
บทความเชงเทคนค274
RISKONLINEผเขยน : ไพชยนตวมกตะนนทนวนทเผยแพร : 27ธนวาคม2556ปรบปรงลาสด : 27ธนวาคม2556
ในนาทนสำหรบชาวไทยคงไมมใครไมรจกแอปยอดฮตทชอLINEอยางนอยถงไมใชผทใชงานสมารตโฟนกตองเคยไดยนเรองเกยวกบแอปตวนกนมาบางแลวโดยเฉพาะผทตดตามขาวสารทางสอมวลชนตางๆอาจจะเคยไดยนวาเจาหนาทบานเมองมความสนใจในการ“ขอความรวมมอ”จากบรษทNAVERซงเปนเจาของโปรแกรมนในการใหขอมลเกยวกบผใชงานLINEในบางกรณซงผลของมนกคงเปนททราบกนตามทปรากฏในสอตางๆไปแลวจงขอไมกลาวซำในทนอก
ถงแมโปรแกรมประเภทInstantMessagingเชนLINE,WeChatหรอWhatsAppจะมความสามารถปลกยอยเพมเตมอยางไรโดยรปแบบของการสอสารแลวกมลกษณะการทำงานเหมอนๆกนนนคอเปนการรบสงขอความระหวางแอปพลเคชนบนสมารตโฟนกบเครองใหบรการ(Server)ทอยทใดทหนงในรปแบบClient-ServerความจรงเคยมผคดทำInstantMessaging(ตอไปนขอเรยกวาIM)แบบPeer-to-Peerหมายถงแอปพลเคชนสามารถรบสงขอความระหวางกนไดโดยตรงโดยไมผานคนกลางใดๆอยเหมอนกนแตยงมปญหาบางอยางเชนหากผรบไมไดออนไลนอยในเวลานนขอความทสงไปจะไปพกอยทใดหรอขอความจะหายไปเลยกลายเปนขอความทสงไมถง?หรอจะแจงใหผสงทราบวาขอความไมสามารถสงไปถงผรบได?ซงกลวนแตเปนเรองนนาคดทงนน
ในมมมองของผทมความสนใจเรองSecurityนนโปรแกรมประเภทIMกอใหเกดคำถาม หลายอยางซงเกยวกบความมนคงปลอดภยหรอบางครงกเกยวกบความปลอดภยในชวตและทรพยสนของผใชงานเลยทเดยวคำถามทวานอยางเชนขอความทเราสงไปนนจะมใครเหนไดบางขอความจะเปลยนแปลงระหวางทางไดหรอไมขอความทสงไปแลวจะเกบไวทใดเกบไวนานเทาใดคำถามเหลานไมไดเกดแคกบIMยคใหมบนโทรศพทมอถอเทานนแตเกดไดกบทกโปรแกรมทมลกษณะเดยวกนแมแตในโปรแกรมยคกอนสมารตโฟนเชนICQหรอMSNMessengerทเคยเปนเจาตลาดอยในโลกของPC
การทมเครองบรการของคนกลางเปนทสงผานขอความนนสามารถแปลไดงายๆวามคนอยางนอย1คน(หรอกลม)ทสามารถเขาถงขอความของผใชงานไดนนคอคนทสามารถเขาถงเครองใหบรการนไดนนเองคนคนนหรอกลมนตามปกตกคอเจาของเครองใหบรการ(ซงอาจเปนเจาของโปรแกรมIMดวย)แตถาในกรณไมปกตกคงตองรวมเจาหนาทของรฐทไดรบสทธในบางกรณ(เชนหมายศาล)ใหเขาตรวจสอบเครองใหบรการหรอแมกระทงผไมหวงดเชนHackerทลกลอบเขาสเครองใหบรการทกลาวนโดยเจาของเครองไมทราบ
CYBER THREATS 2013 275
หากแตการเขาถงขอความทรบสงกนผานIMนนไมใชแคการเขาถงเครองใหบรการเทานน ยงมวธอนๆอกทสามารถทำไดเชนการดกรบขอมลกลางทางโดยใชเทคนคทางระบบเครอขาย ทงหลายแตในยคนโปรแกรมทมการรบสงขอมลทางระบบเครอขายสาธารณะกมการใชงานSSL/TLS[1]ซงเปนการเขารหสลบขอความกนเปนปกตอยแลวในกรณนมมมองดานเทคนคกตองถอวามความมนคงปลอดภยตามสมควรตราบใดทกระบวนการตรวจสอบใบรบรอง(DigitalCertificate)ของการเขารหสลบไมมความบกพรองและโปรแกรมมการใชการเขารหสลบตลอดเวลา
อยางไรกตามเมอมาลองพจารณาดในความเปนจรงการใชSSL/TLSในโปรแกรมตางๆโดยเฉพาะ“แอป”ในโทรศพทมอถอกยงเปนสงทนาสนใจอยไมนอยเพราะธรรมชาตของแอปนนตองการใหผใชงานใชไดอยางสะดวกทสดปลอยใหการดำเนนการทงหมดเปนหนาทของแอปดงนนผใชงานจะแนใจไดอยางไรวาแอปนนสอสารผานชองทางทมการรกษาความมนคงปลอดภยของขอความหรอเขารหสลบตลอดเวลาหรอในกรณทแอปพบความผดปกตในกลไกของSSL/TLSเชนพบกบใบรบรองอเลกทรอนกส(DigitalCertificate)ของเครองใหบรการทผดปกตเชนกรณทถกโจมตดวยวธMan-in-the-middle[2]แอปจะปฏบตตวอยางไรในกรณนไมเหมอนกบเวบบราวเซอรทมวธการแสดงผลใหผใชไดทราบอยางชดเจนอยแลว
ไทยเซรตไดทดลองเพอใหทราบถงกลไกการทำงานของแอปเหลานกบแอปทนยมใชกน3ตวคอLINE,WhatsAppและWeChatในชวงเดอนพฤศจกายนทผานมาพบวามการใชงานSSL/TLSกนตามทคาดแตสำหรบแอปทอาจจะเรยกไดวาเปนทสดในบานเราอยางLINEทไดกลาวถงไวขางตนนนกมขอสงเกตทหลายๆคนอาจจะเคยไดยนมาแลวเกยวกบการเขารหสลบขอมลนนคอ มผคนพบวาLINEในรนทตำกวา3.9.2(ขณะททดสอบเปนรน3.8.8)จะไมใชSSL/TLSในการสอสารผานMobileBroadband(GPRS,EDGEหรอ3G,4G)แตในเวลาทสอสารผานเครอขายWiFiกจะมการใชการเขารหสลบตามทควรจะเปนทงนอาจจะเขาใจไดวาเครอขายWiFiสวนมากทใชงานกนโดยเฉพาะPublicHotspotตางๆสามารถถกดกรบขอมลไดงายจงจำเปนตองมการปองกนเอาไวดวยการเขารหสลบแตบนMobileBroadbandโดยเฉพาะ3Gและ4Gยงไมพบวธทจะดกรบขอมล“กลางอากาศ”ได(ระบบ3GในบานเรามพนฐานจากระบบUMTS ทใชKASUMIEncryptionในปจจบนยงไมพบการCrackทสามารถใชงานไดจรง[3])ยกเวน การใชงานในระบบGPRSทอาจใชวธสรางRoguecelltowerเพอดกขอมลในลกษณะคลายRogueAP[4]ของเครอขายWiFiดงทเคยมการสาธตในงานDEFCONมาแลวเมอป2010[5]จงมความจำเปนนอยกวาในเรองการเขารหสลบขอมล
แตอยาลมวาเมอใชงานLINEรนตำกวา3.9.2ผานMobileBroadbandขอมลทไมไดเขารหสลบนนกวงอยในระบบเครอขายของผใหบรการโทรศพทในสภาวะทพรอมจะถกดกรบเปลยนแปลงหรอเปลยนทศทางไดเทากบวาเพมกลมคนทจะเขาถงขอมลไดขนมาอกหลายกลมจากเดมทมเพยงเจาของโปรแกรมLINE(บรษทNAVER)ตอนนกจะมผใหบรการโทรศพทผใหบรการอนเทอรเนต(ISP)ทผใหบรการโทรศพทใชงานอยและISPทบรษทNAVERใชงานอยตลอดจนISPทอยระหวางทางเขาไปอกดวยซงอาจจะมองไดวามความเสยงเพมขนอยางชดเจน
นอกจากนจากการทดลองยงพบอกวาLINEใชวธสอสารทคลายกบHTTPในการสอสารระหวางแอปกบเครองใหบรการโดยมการใชSessionkeyในการทำAuthenticationซงกเปน
บทความเชงเทคนค276
รปแบบเดยวกบWebapplicationทวไปซงSessionkeyทกลาวนจากการทดลองดเหมอนจะไมมการหมดอายซงหากถกขโมย(เชนดวยวธการดกขอมล)ผไมหวงดกสามารถเอาไปใชสวมรอยไดตามใจชอบโดยเจาของKeyทถกขโมยไมมทางรตวไดเลยและบรษทNAVERกไมมทางตรวจสอบหรอปองกนไดงายๆเพราะระบบของLINEยอมใหผใชงานเขาถงไดทงผานHTTPและHTTPS(SSL/TLS)[6]พรอมๆกนอยแลว
ณจดนผไมหวงดกไมมความจำเปนจะตองกงวลวาจะใชวธใดในการดกขอมลของผใชอกแลวไมวาตอไปนเจาของKeyจะสงขอมลดวยHTTPSหรอไมเพราะสำหรบกรณนการมSessionkeyยอมมคาเทากบการไดเขาถงขอความของผใชงานโดยตรงนนเอง
รปท1แสดงการใชPythonสงคำสงเลยนแบบLINEโดยใชSessionkeyทถกตอง พบวาสามารถรบขอความไดจรง
CYBER THREATS 2013 277
บทสรป
แอปประเภทIMบนโทรศพทมอถอไดรบความนยมอยางรวดเรวเนองจากความสะดวก ในการใชงานลกเลนในการสงขอความและคาใชจายในการสงขอความทมอตราทตำกวาSMSมากแตสงทตองทำความเขาใจอยางหนงกคอแอปเหลานไมไดมจดประสงคในดานการเปนSecureCommunicationPlatformเชนเดยวกบEmailทจำเปนตองใชEnd-to-endEncryptionเชนPGP[7]หรอS/MIMEเขาชวยเพอใหเกดความมนคงปลอดภยมากขนการใชSSL/TLS ในแอปไมไดเปนการรบประกนความมนคงปลอดภย100%แตเปนการลดความเสยงทจะมผทไมใชผสงผรบและเจาของแอปจะมาเขาถงขอความไดเทานนนอกจากนกยงขนอยกบวาตวแอปเองจะมการใชงานSSL/TLSอยางถกตองแคไหนดวยเชนมโอกาสหรอไมทแอปจะมการตรวจสอบDigitalCertificateผดพลาดทำใหการโจมตแบบMan-in-the-middleสามารถทำไดสำเรจจนSessionkeyตกอยในมอผไมหวงดหรอมการใชEncryptionspecทตำจนเกนไปหรอมชองโหวจนถกCrackออกซงในฐานะของผใชงานธรรมดายอมไมมโอกาสทจะรรายละเอยดเหลานไดเลยดงนนการใชงานแอปประเภทนจงควรระลกอยเสมอวาความมนคงปลอดภยของการสอสารนนอยในมอของผสรางแอป100%โดยผใชงานไมสามารถควบคมไดเลยยงไปกวานนสำหรบผใชงานทนยมตดตงแอปประเภทนอกระบบทงหลายคอตดตงโดยไมผานระบบPlayStoreหรอAppStoreผเผยแพรแอปนอกระบบเหลานนอาจคดไมซอลกลอบฝงBackdoorหรอลดความสามารถดานความมนคงปลอดภยของแอปนนๆลงโดยผใชงานไมสามารถรไดเลยและอาจตกเปนเหยอของผไมหวงดได
อางอง
1. http://www.etda.or.th/etda_website/mains/display/744
2. https://www.thaicert.or.th/papers/general/2011/pa2011ge001.html
3. http://en.wikipedia.org/wiki/KASUMI
4. http://www.etda.or.th/etda_website/content/1489.html
5. http://www.wired.com/threatlevel/2010/07/intercepting-cell-phone-calls
6. http://www.etda.or.th/etda_website/tha/mains/display/229
7. http://www.etda.or.th/etda_website/mains/display/1671
บทความแจงเตอนและขอแนะนำา278
CYBER THREATS 2013 279
บทความแจงเตอนและขอแนะนำา280