Network jail

on Oct 24, 2005 12:15 pm.
เครือข่ายในกรงขัง หรือ เรียกว่า “Network Jail”

เป็นศัพท์ที่เิกิดจากจิตนาการของผู้เขียนเอง ยังไม่ได้ระบุที่ใดมาก่อน ดังนั้นบทความนี้จึงเป็นเพียงแนวความคิด

จุดประสงค์หลักของบทความนี้ เพื่อที่จะเสนอแนวความคิด การกักขังข้อมูลที่ไม่พึ่งประสงค์ ในเครือข่ายสำหรับงานวิจัย

บทความนี้แบ่งเป็น 3 ตอน

ตอนแรกจะกล่าวถึง เทคโนโลยีการสร้าง honeynet ในยุค Gen II

ตอนที่สองจะกล่าวถึง การใช้ sinkhole บน WAN เทคโนโลยี และระบุตัวตนของ IP โดยใช้เทคโนโลยี Backscatters

ตอนที่สามเปิดเผย Network Jail ตามจิตนาการของผู้เขียน

ในบทความนี้จะกล่าวถึง

1. แนวความคิดการสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้

2. เทคโนโลยี Honeynet จาก <Honeynet Project> ในยุค Gen II และเป็นแบบ High-Interaction Honeypots

3. เทคโนโลยี Sinkholes และ Backscatter

4. การประยุกต์รวมเทคโนโลยีเพื่อสร้างเครือข่ายในกรงขัง

ในตอนที่ 1 จะกล่าวถึง หัวข้อที่ 1 และ 2 ตามลำดับ

แนวความคิดการสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้

เราทราบกันดีอยู่ว่าไม่สามารถที่จะหยุดยั้งการบุกรุกที่เกิดขึ้นในเครือข่ายได้ ไม่ว่ากรณีใดๆ สำหรับงานวิจัยแล้วการบุกรุกและพัฒนาอุปกรณ์ด้านความปลอดภัย รวมถึง ซอฟแวร์ที่ใช้เพื่อเสริมความปลอดภัยให้กับองค์กร เป็นสิ่งที่ต้องเรียนรู้กันอยู่ตลอดเวลา การสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้ จึงเป็นส่วนหนึ่งของการวิจัยเพื่อที่จะ

– ศึกษาพฤติกรรมการบุกรุกระบบเครือข่าย

– พัฒนาฐานข้อมูลการบุกรุกเพื่อใช้ในการสร้างผลิตภัณฑ์ด้านความปลอดภัยข้อมูล (Firewall /IDS /IPS) และฐานข้อมูลให้บริการโปรแกรมด้านความปลอดภัยไม่ว่าเป็น software Anti-virus/Spyware/Spam

– เพื่อปรับปรุงแนวทางการป้องกันภัยคุกคามใหม่

ใน 3 ข้อนี้เป็นแกนหลักในการสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้ ที่เรียกว่า Network Jail ขึ้น

เทคโนโลยี Honeynet Gen II

หลักใหญ่ๆ การสร้าง Honeynet มี 3 หัวข้อที่พึ่งสังเกต

1. เรื่อง Data Control คือการควบคุมการเข้าออกข้อมูลสารสนเทศ โดยกำหนด

Interface สำหรับ External Nework , Internal Network และ Remote management โดยผ่านเทคโนโลยี Iptables มาใช้ทำ Bridge (การทำ Bridge ไม่จำเป็นต้องบน iptables อาจใช้ tools บน BSD มาใช้ร่วมได้เช่น ipfw เป็นต้น) ในส่วน Data Control จะใช้ควบคุมพฤติกรรมต่อเนื่องที่เป็นการโจมตี ไม่ว่าเป็นเรื่องของ session limit , Bandwith Rate Limitation รวมถึงการระบุช่วง IP ในการเข้า ออก (Firewall แบบ packet filtering)

ใน Honeynet project การใช้ Data Control จะมี tools หนึ่งที่เรียกว่า Honeywall ซึ่งจากภาพที่นำมาเสนอจะบอกถึงหลักการการขนส่งข้อมูลในแต่ละ interface ที่เกิดขึ้น และบังคับข้อมูลให้ส่งผ่านตามที่ต้องการ

2. Data Capture จะเกี่ยวกับการตรวจตาเฝ้าระวังภัย ประกอบด้วย

– อ่านค่า log เหตุการณ์ที่เกิดขึ้นบนระบบเครือข่าย (Network Intrusion Detection System) จาก Syslog server ต่างๆ ที่เกี่ยวกับการสร้าง Honeynet

– การตรวจค่าความเที่ยงตรงข้อมูล (Host Integrity Monitoring) ไม่ว่าที่เกี่ยวกับ keystrokes, การ uploads files การเปลี่ยนค่าของ files และ การกรอก passwords

เครื่องมือที่ใช้ ใน Honeynet Project ในส่วน Data Capture คือ

1. snort เป็น NIDS และ HIDS

2. Sebek ใช้สำหรับเป็น Keystrokes log

3. Data Analysis จะเกี่ยวกับการวิเคราะห์ข้อมูลระดับ content เพื่อใช้ในการสืบค้นหา และเพื่อวิจัยต่อไป

ใน Honeynet Project มีเครื่องมือที่ใช้ ส่วนใหญ่เป็นเชิงการพิสูจน์หลักฐานทางอิเล็คทรอนิค (Forensics toolkit) ได้แก่

1. Sleuthkit ใช้สำหรับงานวิเคราะห์หลังการเกิดเหตุการณ์ที่ไม่พึ่งประสงค์

2. ACID (Analysis Console for Intrusion Databases ) เป็นตัวแสดงผลการตรวจจับข้อมูลจาก snort ซึ่งพัฒนาจากทีม CERT

ทั้ง 3 ส่วนหลักการของการสร้าง honynet เป็นการบ่งบอกถึงสร้างเครือข่ายเพื่อเป็นหลุมพรางไว้ ให้ผู้บุกรุกและไม่ใช่ผู้บุกรุกระบบเครือข่ายก็ดีได้ติดกับดักไว้

ในส่วนการทำ Low Interaction Honeypots และ High Interaction Honeypots คือการสร้างแบบเสมือนขึ้นบนระบบปฏิบัติการ OS (Operating System)

Low Interaction จะเกิดขึ้นบนเครื่องเดียวที่เรียกว่า honeypots PC หมายถึงหลอกให้เข้าเครื่องนี้เพียงเครื่องเดียวและบันทึกเหตุการณ์ไว้ ในส่วน Low Interaction จะไม่มีเรื่องการทำ Data Control มีเพียง Data Capture และ Data Analysis

High Interaction เกิดจากการพัฒนาเทคโนโลยี สร้างความเสมือนจริงให้เกิดขึ้นกับระบบปฏิบัติการ OS (Operating System) โดยใช้ OS เสมือนเหล่านี้สร้างเป็นเครือข่าย และทำการสร้าง honeynet เกิดขึ้นบนระบบปฏิบัติการ

จากภาพจะเห็นว่า หมายเลข 1 คือการทำ Data Control โดยใช้เครื่องมือ honeywall ทำการกำหนดข้อมูลและส่งไปยังเครื่องเสมือนที่เรียกว่า Honeypot ที่เป็นแบบ Low Interaction และหมายเลขที่ 3 เป็น Honeypots แบบ High Interaction โดยทั้ง 3 ส่วนที่ผสมผสานกัน จะเรียกว่า Honeynet

ภาพเครือข่าย Honeynet ในยุค Gen II จึงเป็นการสมมุติฐานว่าทุกข้อมูลที่เข้าสู่วงเครือข่าย Honeynet จะถูกบันทึกและเก็บเป็นหลักฐานหมด ซึ่งยังไม่ใช่จุดประสงค์ของการทำ Network Jail ที่ผู้เขียนคิดไว้

ในตอนหน้าจะกล่าวถึง การใช้เทคโนโลยี sinkhole และ backcatters และเผยการออกแบบ Network Jail ในบางส่วน

บทความนี้ขอสงวนสิทธิ ในการเผยแพร่ ต้องรับอนุญาตจากทางบริษัท Global Technology Integrated

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Director SRAN Developer Team

24/10/48

ข้อมูลอ้างอิงบทความ

http://www.honeynet.org/papers/gen2/

http://www.honeyd.org/background.php

http://www.nanog.org/mtg-0306/sink.html

http://ebtables.sourceforge.net/

รูปประกอบจาก http://www.honeynet.org.es/papers/vhwall/

Network Security Identity # 2

Submitted by classicx. on Oct 24, 2005 12:00 pm.
การระบุตัวตน ที่แท้จริงบนโลกอินเตอร์เน็ทเป็นเรื่องที่ยาก ระบบอินเตอร์เน็ทได้เติบโต จนทุกครั้งที่จะใช้งานคอมพิวเตอร์ต้องเชื่อมต่อโลกอินเตอร์เน็ทไปด้วยกันเสี ยแล้ว ภัยคุกคามที่เกิดจาก hackers ก็ดี Spam,Virus computer,worm, trojan horse อื่นๆอีกมากมาย เราผู้ใช้งานก็อาจจะตกเป็นเหยื่อได้หากประมาท และรู้ไม่เท่าทัน ดังนั้นการที่นำการระบุตัวตนบนระบบเครือข่ายจึงเป็นการแสดงความคิด เพียงเพื่อว่าทุกปัญหาที่เกิดขึ้นจะได้มีทางออกที่ถูกต้องและปลอดภัยได้ในที ่สุด

ผู้เขียนได้มีประสบการณ์ได้การตรวจจับหาผู้กระทำความผิดที่เกิดขึ้นบนโลกอิน เตอร์เน็ท มาหลายๆกรณี หลายครั้งเป็นที่เป็นการกระทำของบุคคล และการกระทำที่ไม่ใช่บุคคล ครั้งนี้คงไม่ได้ถ่ายทอดประสบการณ์ที่ผ่านมาในกรณีสำคัญแต่เป็นการแสดงแนวความคิด การป้องกันในเชิงรู้ทันเหตุการณ์ และระบุที่มาที่ไปได้ เป็นหลัก
>การกระทำที่เกิดจากบุคคล => มองได้ว่าเป็นการโจมตีของผู้บุกรุกระบบ (Hackers) โดยอาจใช้เทคนิคต่างๆ ไม่ว่าจะเป็นการโจมตีด้วยฝีมือ และใช้โปรแกรมช่วยก็ตาม หากเป็นการบุกรุก โดยหวังผลให้ระบบเครือข่ายมีความเสียหายและใช้งานไม่ได้เรียกว่า DoS (Denial of Services) การโจมตีผ่าน Web application ที่มีหลากหลายเทคนิค ไม่ว่าเป็น Sql injection , Cross-Site Scripting (XSS) Flaws และอื่นๆ สามารถอ่านรูปแบบโจมตีได้ที่ โครงการ OWASP ในส่วน 10 TOP การโจมตีผ่าน Web application
หรือเป็นเพียงการต้องการศึกษาระบบเครือข่ายเพื่อทำการประเมินความเสี่ยงในเช ิงลึก ที่เรียกว่าการทำ Penetration test หรือในเชิงพื้นฐานเพื่อค้นหาความเสี่ยงจากสิ่งที่มีอยู่เดิม เรียกว่า Vulnerability Assessment ทำเพื่อวิเคราะห์ก่อนที่จะทำการปิดความเสี่ยงที่เรียกว่าการ Hardening ต่อไปไม่ว่าเป็นระบบเครือข่าย ,เครื่องแม่ข่าย รวมถึงเครืองลูกข่ายตามลำดับ ซึ่งในการทำการศึกษาเพื่อประเมินความเสี่ยงนั้น มักใช้กับงานที่ปรึกษาระบบความปลอดภัยเครือข่าย หรือแม้กระทั้งกลุ่ม Security officer ที่ประจำ ตามบทบาทและหน้าที่ในองค์กร
ซึ่งทั้งหมดที่กล่าวมาอาจจะบุคคลที่จงใจทำทั้งหมดโดยเขียนโปรแกรมขึ้นเฉพาะก ิจ แบบอัตโนมัติที่เรียกว่า Script rooter
ก็เป็นได้ หรือเกิดจากความประมาทของคนที่เรียกว่า Human error ก็เป็นได้ ล้วนทำให้เกิดความเสียหายได้ทั้งสิ้น


>การกระทำที่เกิดจากไม่ใช่บุคคล => ซอฟแวร์ต่างๆที่ไม่พึ่งประสงค์ ที่เขียนขึ้นจากบุุคคลเพื่อหวังผลอย่างใดอย่างหนึ่งซึ่งสามารถทำความเสียหาย ให้แก่ระบบและล่วงละเมิดความเป็นส่วนตัวของข้้อมูลนั้น ตัวอย่างเช่น Malware ส่วนใหญ่คนทั่วไปจะรู้จักชื่อ Spyware แต่ในความหมายแล้วคำว่า Spyware เป็นเพียง sub set ของ Malware , Virus Computer / worm , Backdoor รวมถึง Spam ที่เป็นแหล่งที่มาของการกระทำที่ไม่เหมาะสมอื่นๆตามกับ Spam หรือ อีเมล์ขยะ เช่น เทคนิคที่เรียกว่า phishing และ worm ชนิดต่างๆที่แอบฝั่งมากับ file e-mail เป็นต้น
สามารถอ่านได้ในบทความก่อนที่ชื่อว่า The Dark site of Internet

หากเรามองการโจมตีเกิดจาก 2 สาเหตุใหญ่ดังที่กล่าวมา จะมีสักกี่ครั้งที่เราทราบว่า เกิดจากอะไร และเกิดขึ้นได้อย่างไร ใครเป็นผู้ทำ ดังนั้นด้วยความอยากรู้และอยากหาคำตอบสิ่งเหล่านั้น จึงเกิดบทความนี้ขึ้น โดยแบ่งเป็น 2 ตอน ตอนแรกได้กล่าวไปบ้างแล้วถึง การระบุตัวตนบน Local Area Network Security Identity ไปแล้ว มาตอนนี้เราจะมาพูดถึง Global Area Network Security Identity กันบ้าง
ณ ปัจจุบัน ขณะที่เขียนบทความนี้อยู่ ยังไม่มีที่ใดในโลก ที่สามารถ identify ตัวตนได้จริง ดังนั้นการบรรยายว่า Global Area Network Security Identity จึงเป็นเพียงการเสนอความคิดทำนั้น
ได้แบ่งเนื้อหาไว้ 4 ส่วน
ส่วนที่ 1 จะกล่าวถึงวิธีที่จะจัดระเบีียบผู้ให้บริการอินเตอร์เน็ทเพื่อจะสามารถจัดหา ได้ถูกต้องว่า IP นั้นมีที่มาที่ไปอย่างไร
ส่วนที่ 2 การฝังซอฟแวร์พิเศษเพื่อช่วยในการระบุตัวตน ผ่านทางระบบเครือข่าย
ส่วนที่ 3 การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท
ส่วนที่ 4 จริยธรรมในการใช้สื่ออินเตอร์เน็ท

ขยายความในส่วนที่ 1 ในบางประเทศได้จัดทำเรียบร้อยแล้ว โดยเฉพาะประเทศสหรัฐอเมริกา โดยแผนการปฏิบัติคือ ISP ที่เป็นผู้ให้บริการทางอินเตอร์เน็ทจะต้องทำดังนี้
1.1 กำหนดโซน IP ที่ให้บริการ เช่น เขตภาคเหนือ ช่วง IP ถึง IP นี้ เขตภาคตะวันออก ช่วง IP ถึง IP นี้เป็นต้น โดยทุกช่วง IP จะสามารถระบุตัวตนได้ระดับหนึ่งว่ามาจากสถานที่ใด ให้ระบุเจาะจงไปอีก ว่าเขตภาคเหนือ ใน ย่าน A IP ต้องเป็นจำนวนนี้ และค่าเริ่มต้นและค่าสุดท้ายเป็นเท่าไหร่ ยกตัวอย่าง ภาคเหนือที่ได้เป็น IP 202.155.3.x – 202.165.3.x ในย่าน A จะเริ่มที่ 202.156.1.x – 202.156.5.x เป็นต้น โดยคำนวณตาม sub net ที่ยังคงอยู่

ตัวอย่างภาพการตรวจจับ IP ที่ส่ง Spam ในภูมิภาคหนึ่ง

เมื่อขยายส่วนลงไปสู่ย่านการให้บริการ ก็จะทราบว่าเครื่องที่ส่ง Spam mail มาจากถนนสายไหน เป็นต้น
ภาพได้จาก Mailinator ที่อาศัยเทคโนโลยี google map กับการหาเส้นทาง IP ผู้ส่ง Spam mail
1.2 ทำการเก็บ log file ในแต่ละ IP ที่เกิดจากการ Authentication กับตัว Radius server มึการเก็บ log จาก Radius server จะทำให้ทราบถึง เบอร์โทรศัพท์ที่กำลังใช้ อินเตอร์เน็ท และใช้ในช่วงเวลาใด เท่านั้น
1.3 log จากระบบตรวจจับผู้บุกรุก ISP ที่ติดตั้งระบบตรวจจับผู้บุกรุก ตามโหนดต่างๆ ตามภูมิภาค และตามย่าน ที่เกิดจากการผ่านจาก gateway ไปยังที่หนึ่ง ซึ่งตรงนี้จะนำไปกล่าวในส่วนที่ 3 คือการสร้่างศูนย์เตือนภัยทางอินเตอร์เน็ทต่อไป
ข้อเสียที่พบได้ ในส่วนที่ 1 คือ
– ยังไม่สามารถป้องกันการปลอมแปลง IP หรือที่เรียกว่า Spoofing ได้ เนื่องจากผู้บุกรุกสามารถที่จะปลอม IP จากการใช้บริการ Anonymous proxy และการยึดเครื่องเพื่อไปอีกเครื่องและทำการโจมตีอีกเครื่องได้ หรือที่เรียกว่า proxy chain
– ทำการสืบค้นหาผู้กระทำผิดได้ยาก ต้องอาศัยความครบถ้วนของข้อมูลจาก ISP เพื่อทำการ Forensics ต่อไป

ขยายความในส่วน 2 การฝังซอฟแวร์พิเศษเพื่อช่วยในการระบุตัวตน เปลี่ยนเสมือนใช้ RFID ฝังไปยังทุกเครื่องที่ผ่านทางระบบเครือข่าย เป็นวิธีที่เคยทำมานานมากแล้ว แต่ไม่มีการเปิดเผยแก่สาธารณะมากเนื่องจากใช้กับวงการตำรวจ โดยเฉพาะ FBI เพื่อค้นหาผู้กระทำความผิดทางอินเตอร์เน็ท
แนวทางปฏิบัติ ทำได้ 2 แบบ
2.1 ทางออกอินเตอร์เน็ท ที่ฝังสคิป นั้นคือ เมื่อทำการติดต่ออินเตอร์เน็ท เข้าสู่ website หนึ่งจะมีการส่ง script ที่เป็นcookie ฝังไปกับเครื่อง เมื่อต่ออินเตอร์เน็ท จะโดนบังคับให้เปิด ที่ website แห่งหนึ่ง นี้จะเรียกว่า web gateway เและเชื่อมโยงฐานข้อมูลกับ ตัวระบบ Radius เพื่อบังคับให้กรอก user /password ก่อนถึงจะใช้ อินเตอร์เน็ทในการ connect ตาม protocol ต่างๆได้ หลังจาก cookie ที่เขียนไว้ใน web gateway จะส่งค่า ชื่อเครื่องคอมพิวเตอร์ , IP ที่ใช้ , ค่า MAC address เครื่อง และส่งไปที่ศูนย์ ISP นั้น เพื่อทำการเก็บประวัติการใช้งาน

2.2 สร้าง robot ที่เป็นชนิด spiderbot ที่คอยเก็บข้อมูล ช่วง IP แล้วส่งค่าไปที่ศูนย์ ISP เป็นระยะๆ ต่างกับวิธีแรก ตรงที่ไม่บังคับให้เข้า web gateway เสียก่อน แต่ผู้ใช้ ใช้งานได้ปกติ หากเล่นอินเตอร์เน็ทสักพัก จะมี spiderbot ดังกล่าวเข้ามาในเครื่องเมื่อเปิด website ที่ให้ความร่วมมือ อาจจะเป็น website หลักๆท่ีได้รับความนิยมหรือเป็นบริการอื่นๆ ที่ไม่ใช่วิ่งบน protocol html เป็นบริการ IRC (Internet Relay Chat) บน port 6666 – 7000 ที่พอจะเป็นแหล่งที่ผู้ใช้งานอินเตอร์เน็ทนิยมใช้งาน ในกรณีอาจจะหลุดในการติดตามได้ เนื่องจากผู้ใช้งานอาจไม่ได้เข้าไปใน ส่วนบริการดังกล่าว และต้องอาศัยความร่วมมือกับผู้ให้บริการ หลักที่เป็นที่นิยม ซึ่งเป็นการยากที่จะปฏิบัติได้ในส่วนนี้

3. การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท เป็นสิ่งจำเป็นและสามารถหาที่มาที่ไปของการกระทำต่างๆ ที่เกิดขึ้นบนโลกอินเตอร์เน็ทได้ดีและเหมาะสมที่สุด โดยใช้การตรวจจับที่เกิดแบบ Real-time หรือจาก log ก็ดี ทั้งนี้เป็นการกระทำที่บนพื้นฐานของระบบ IDS (Intrusion Detection System) หลายคนเข้าใจว่า IDS กำลังจะตายและจะเปลี่ยนเป็น IPS (Intrusion Prevention System) แทน ความเข้าใจดังกล่าวไม่ผิดและไม่ถูกเสียที่เดียว สิ่งที่เป็นอยู่ปัจจุบันก็ดีเรามองว่าเราต้องการระบบป้องกันระบบเครือข่าย จึงสรรค์หาเพียง IPS เป็นที่ตั้ง เนื่องจากเทคโนโลยีได้เปลี่ยนแปลงไป ทำให้ IDS และ IPS อยู่รวมกัน หากขึ้นอยู่กับการวางและการนำไปใช้งาน เช่นเมื่อไหร่ วางแบบ passive mode คือการวางโดย mirror traffic จากอุปกรณ์ที่เป็นสวิตซ์ ก็ดีหรือจากอุปกรณ์พิเศษก็ดี การวางเช่นนี้จะทำให้เป็นระบบ IDS ทันทีเนื่องจากไม่มีการปิดการเชื่อมติดต่อของข้อมูลได้ (ยกเว้นบางเทคนิคที่ใช้ ควบคู่กับ Firewall โดยส่งค่าสั่งตัว Firewall ให้เป็นตัวปิดการติดต่อแทน) แต่เมื่อวางแบบ Inline หรือการวางขวางทาง เพื่อให้ทุก packet ได้วิ่งผ่านตัวมันและสามารถกำหนดนโยบาย ให้อะไรผ่านและไม่ให้อะไรผ่านโดยจับตาม content เป็นหลัก การตรวจจับจะเริ่มตรวจจับจาก layer 2 – layer 7 บน OSI และการตรวจจับอาจอิงตาม signature สิ่งที่มีในฐานข้อมูล หรือจะเป็นการตรวจจับแบบเรียนรู้วิธีการหรือพฤติกรรมของข้อมูล ก็สุดจะเทคโนโลยีจะทำได้การวางระบบแบบนี้จะเรียกว่า IPS
ดังนั้น การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท ให้เหมาะสมและเกิดประโยชน์มากที่สุดจำเป็นต้องวาง IDS และ IPS ในแต่ละแบบ ตามจำนวนโหนดทาง ติดตั้งไป เพื่อจะมองเห็นการกระทำ ที่ผิดปกติที่เกิดขึ้นในระบบเครือข่ายได้มากที่สุด ดังนั้นเมื่ออ่านตั้งแต่ต้นแล้ว ผู้เขียนจะเน้นการนำ log มาวิเคราะห์ และส่วนที่เติมเต็มสำหรับการวิเคราะห์ที่มาที่ไปของ การกระทำผิดบนอินเตอร์เน็ทได้อย่างเห็นผลที่สุด ยิ่งมี IDS ติดตามโซนต่างๆบนระบบเครือข่ายมากเท่าไหร่ยิ่งทำให้รู้ความคลื่นไหวของผู้บุ กรุกบนระบบเครือข่ายได้มากเท่านั้น จึงเป็นสิ่งสำคัญที่สุดสำหรับการสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท


ตัวอย่าง web dshield ที่เตือนภัยการบุกรุกโดยจับข้อมูลตาม protocol และระบุ top attacker ได้ว่ามาจาก IP อะไร

log การเก็บรวบรวม log ที่เกิดขึ้น log เป็นผลการกระทำที่เกิดจากการเก็บค่าบนระบบเครือข่ายเช่น log จาก router gateway , log จาก firewall , log จาก IDS พวกนี้เป็น log ที่เกิดขึ้นบนระบบเครือข่าย ยังไม่เพียงพอที่จะสามารถระบุภัยคุกคามได้ทั้งหมดทุกด้าน ต้องมีการเก็บ log ในส่วนของ localhost ในแต่ละอุปกรณ์ตลอดจนเครื่อง PC ไม่ว่าเป็น log ของ web server , log ของ data base server รวมถึง log ที่เกิดขึ้นบนเครื่อง PC ต่างๆ ที่ใช้งานอยู่

log พวกนี้เป็นการกระทำที่เกิดขึ้นแล้ว มักเรียกว่าเป็น re-active ซึ่งอาจจะสายเกินไปหากเกิดปัญหา ดังนั้นจึงมีแนวความคิดที่ทำพวก HIDS (Host Base Intrusion Detection System) ขึ้นเพื่อทำ pro-active คือรู้ทันเหตุการณ์เมื่อเกิดปัญหา HIDS ที่กล่าวถึงในปัจจุบันมักจะรวมการตรวจค่า integrity เพื่อตรวจค่าสำคัญบนตัวเครื่องเหล่านั้นหากมีการเปลี่ยนแปลงจะมีการฟ้องหรือเตือนผู้ดูแลระบบได้ link โปรแกรมที่เกี่ยวกับ HIDS และ Host Base Integrity

ฉะนั้นการสัมพันธ์กันอย่างเป็นระบบ ในการสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท อุปกรณ์หลักคือต้องมี ระบบตรวจจับผู้บุกรุกบนเครือข่ายที่เรียกว่า NIDS/NIPS รวมถึงการเก็บ log ที่เกิดขึ้นบนระบบเครือข่ายและในตัวเครื่องคอมพิวเตอร์เอง ตลอดจนมีการตรวจสอบการเปลี่ยนแปลงค่าสำคัญที่เกิดขึ้นบนตัวเครื่องที่เรียกว่า Host Base Integrity ทั้งหมด เมื่อมีการนำไปใช้งานได้ถูก จะทำให้เกิดความสะดวกในการระบุที่มาที่ไปของการโจมตีที่เกิดขึ้นบนโลกอินเตอร์เน็ทได้อย่างดี

4. จริยธรรมในการใช้สื่ออินเตอร์เน็ท คำอธิบายข้อนี้คงเป็นเพียง สิ่งสุดท้ายที่กล่าวตักเตือน แต่เป็นส่ิงแรกที่พึ่งกระทำ เพราะทุกอย่างที่กล่าวมานั้นมีทางหลบเลี่ยงได้ หากผู้ใช้ เป็นผู้มีจิตสำนึกที่ดี เป็นคนดี และมีจริยธรรม ก็คงไม่เกิดเห็นการณ์ที่เสียหาย และถึงมือตำรวจในการหาผู้กระทำความผิดได้ ดังนั้นการสร้างจิตสำนึกที่ดีในการใช้สื่อ ไม่ว่าเป็นสื่อใดๆ ควรปลูกฝังตั้งแต่เด็ก สร้างธรรมะในจิตใจ และให้ตะหนักถึงผลการกระทำที่เกิดขึ้นในอนาคตหากประพฤติผิด นั้นคือกฏแห่งกรรม ที่ตามเป็นเงาของเราตลอดเวลา จนกว่าความจริงจะถูกเปิดเผย

นนทวรรธนะ สาระมาน
Nontawattana Saraman
19 กันยายน 2548

Network Security Identity # 1

การระบุตัวตนบนระบบเครือข่ายความปลอดภัย

ทุกวันนี้มีอัตราการเจริญเติบโตทางอินเตอร์เน็ทจำนวนมาก ทุกวันนี้มีอัตราการเจริญเติบโตทางอินเตอร์เน็ทจำนวนมาก จากผลวิจัยสถิติในการใช้งานอินเตอร์เน็ทในประเทศไทย จัดทำโดย ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (Nectec)

นับแต่ปี 2534 มีการใช้งานอยู่อินเตอร์เน็ทเพียง 30 เครื่องในประเทศไทยจนถึงปี 2547 จำนวนเกือบ 7 ล้านคนที่ใช้อินเตอร์และมีที่ท่าว่าจะมากขึ้นตามจำนวนประชากร

เมื่อมีการใช้งานทางอินเตอร์เน็ท และทุกองค์กรมุ่งสู่การทำ E-commerce จึงทำให้มีการเจริญเติบโตทางระบบเครือข่าย จนสู่การใช้งานที่บ้าน เป็นผลให้ระบบความปลอดภัยข้อมูลจึงเป็นสิ่งที่สำคัญ เนื่องจากมีการบุกรุกและโจมตีระบบเครือข่าย ต่อเนื่อง และผลกระทบสร้างความเสียหายในเชิงธุรกิจและชื่อเสียง เป็นมูลค่าที่ไม่สามารถประเมินได้

ภัยคุกคามต่างๆ ไม่ว่าเป็นการแพร่ระบาดของไวรัสคอมพิวเตอร์ หรือการส่งจดหมายอิเล็คทรอนิคขยะ ที่เรียกว่า Spam เป็นภัยคุกคามอันดับต้นๆ ที่แสดงความน่ารำคาญและมีผลกระทบกับการใช้งานอินเตอร์ในชีวิตปัจจุบัน

จากผลสำรวจของศูนย์ปฏิบัติการตรวจจับการแพร่ระบาดไวรัสจดหมายอิเล็คทรอนิคส์ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สบทร) พบว่า ตั้งแต่ปี 2002 ถึง 2005 อัตราการแพร่ระบาดไวรัสที่แนบมากับจดหมายอิเล็คทรอนิคส์เพิ่มสูงขึ้นจำนวนมาก

จำนวนหนอนอินเตอร์เน็ท หรือที่เรียกว่า worm ที่แพร่ระบบในอินเตอร์มีอัตราการแพร่ระบาดอยู่ที่ 8,000 ครั้งต่อวัน

ส่วนโปรแกรมที่ไม่พึ่งประสงค์ หรือที่เรียกว่า Malware , โปรแกรมที่แอบแฝงในการบุกรุกข้อมูล ที่เรียกว่า Spyware มีจำนวนเพิ่มมากกว่าอัตราของไวรัสคอมพิวเตอร์ชนิดหนอนคอมพิวเตอร์ โดยตกอยู่ที่ 300,000 – 400000 ครั้งต่อวัน โดยที่นี้ ได้นำข้อมูลมาจาก secunia ซึ่งเป็นบริษัทข่าวสารด้านความปลอดภัยข้อมูลสารสนเทศ

ภัยจากการบุกรุกจากผู้ไม่พึ่งประสงค์หรือเรียกว่า Hacker ซึ่งเพิ่มอันตราจำนวน Hacker จำนวนมากทั่วโลกเนื่องจากการเข้าถึงโลกอินเตอร์เน็ทเป็นเรื่องที่ง่าย และค้นหาข้อมูล รวมถึงหา Tools ในการโจมตีมีให้ กันทั่วไปในโลกอินเตอร์เน็ท

ในภาพบ่งบอกถึงการโจมตี Web ในประเทศไทย พบว่า domain .co.th มีสถิติการโดยบุกรุกมากที่สุด รองลงมาคือ .go.th

จากการจัดอันดับของ web SRAN community โดยนำข้อมูลจาก Zone-h พบว่าบุกรุกและเปลี่ยนหน้า web ทั้งหน่วยงานราชการไทย และบริษัท ห้างร้าน สถาบันการศึกษา ทุกหน่วยงาน และทุกวันมีการเปลี่ยนหน้า web ซึ่งเป็นการบ่งบอกได้ว่า มีผู้บุกรุกในระบบอินเตอร์จำนวนมาก ทั้งที่เป็นคนและไม่ใช่คน ที่ไม่ใช่คน อาจจะเป็นสคิป(ส่วนหนึ่งของ botnet)หรือโปรแกรมของนักพัฒนาระบบเพื่อค้นหาช่องโหว่ที่เกิดขึ้นในระบบปฏิบัติการหรือ Application ที่เขียนมีความเสี่ยง โดยสคิป เมื่อมีการดัดแปลงและประยุกต์เข้ากับข่าวสารช่องโหว่ใหม่ที่พบใน web ข่าวสารด้านความปลอดภัยก็จะมีผู้ผลิตเพื่อค้นหาว่าเครื่องใดที่ยังไม่ถูกทำการป้องกัน (Security Patch) หากเครื่องดังกล่าวยังอ่อนแอ หรือยังไม่ได้ทำการหนึ่งการใดเพื่อป้องกันตัวเอง ก็จะถูกบุกรุกและเข้าถึงข้อมูลได้อย่างง่ายดาย

ซ้ำร้ายไปกว่านั้นได้มีการโจมตีชนิดใหม่ๆ ที่แอบแฝงมากับจดหมายอิเลคทรอนิคส์ หรือที่เรียกว่า e-mail และโปรแกรมที่นำมาเป็นเครื่องบันเทิงในการใช้งาน ที่เรียกว่า Phishing โดยมีอัตราเพิ่มขึ้นจำนวนมากและทำให้ผู้สูญเสียความลับ และการทำธุรกรรมผ่านระบบอินเตอร์เป็นเรื่องที่ไม่ปลอดภัย

เมื่อเปรียบเทียบภัยคุกคามต่างๆ จาก Zdnet หรือ ITfacts พบว่าภัยอันดับ 1 ที่คุกคามชีวิตการใช้งานของเรามากที่สุดคือ Spam รองลงมาคือ Phishing และไวรัสคอมพิวเตอร์ ตามลำดับ เพื่อการอ่านเนื้อที่ครบลองกลับไปอ่านบทความ Dark Side of The Internet ที่ผู้เขียนได้เขียนไว้ช่วงต้นปี

หากองค์ที่ต้องการเชื่อมต่อระบบอินเตอร์เน็ท และละเลยเรื่องความปลอดภัยแล้ว ย่อมส่งผลเสียอย่างแน่นอน ทุกวันนี้ได้มีธุรกิจด้าน IT security ที่เปิดเป็นเชิงการค้า เป็นจำนวนมาก มีทั้งผลิตภัณฑ์เพื่อป้องกันข้อมูล ป้องกันระบบเครือข่ายทั้ง Hardwareหรือเรียกอย่างหนึ่งว่าเป็น Applianceและ Software รวมถึงการให้บริการด้านความปลอดภัยข้อมูล แบบมืออาชีพ ให้คำปรึกษาในการสร้างความปลอดภัยให้เกิดขึ้นในองค์กร การอบรมความรู้ด้านการรักษาความปลอดภัยข้อมูล เป็นจุดไฟในการศึกษาและค้นหา จนเกิดบุคคลากรผู้สนใจระบบความปลอดภัยจำนวนมาก ทั้งหมดคือความตื่นตัวของจำนวนผู้ใช้งานระบบเครือข่ายผ่านเข้าสู่โลกไร้พรมแดน ด้วยเหตุนี้เอง หากเราจึงควรมีความเข้าใจและศึกษาระบบความปลอดภัยข้อมูล เพื่อเตรียมความพร้อมในการป้องกันภัยเบื้องต้นให้กับตนเองและองค์กรที่ตนทำอยู่

การสร้างระบบความปลอดภัยข้อมูล อย่างยั้งยืนนั้นประกอบด้วย 3 เรื่องเป็นหัวใจสำคัญ

  1. เทคโนโลยี
  2. คน
  3. กระบวนการ

เทคโนโลยี ต้องมีความทันสมัยและสามารถป้องกันภัยต่างๆที่เกิดขึ้นในการใช้ข้อมูลได้ ได้แก่ ระบบ Firewall , IDS/IPS , Vulnerability Management , SIM ,Anit-virus/Anti-Spam/Anti-Spyware software, Network Management, ระบบ สำรองข้อมูล และอื่นๆจะพบว่าการลงทุนด้านความปลอดภัยให้ครบวงจรนั้นต้องใช้เงินทุนจำนวนมาก และเมื่อเปรียบเทียบการย้อนคืนถึงผลลัพธ์ที่ได้กับการลงทุนหรือที่ เรียก Return Of Investment (ROI) บางอย่างย่อมไม่คุ้มทุนที่เสียไป เนื่องจากอุปกรณ์ดังกล่าวจะมีค่าสึกหร่อ ,ค่าบำรุงรักษา ค่าลิขสิทธิหรือที่เรียกว่า license ที่เพิ่มตามประมาณ และเกินกำลังทรัพย์ของบางองค์กร

คน ต้องมีความตะหนักในการใช้ข้อมูลสารสนเทศ หรือที่เรียกว่า Security Awareness ในสมาคมInformation Systems Security Association (ISSA) ได้จัดตั้งโครงการที่ชื่อว่า Humman Firewall เพื่อสร้างความตะหนักในการใช้ข้อมูลสารสนเทศให้ปลอดภัยดังคำขวัญที่ว่า ” Be Aware Be Secure” จุดอ่อนความปลอดภัยไม่ว่าจะเป็นเรื่องข้อมูลหรือเรื่องการใช้ชีวิตประจำวัน ก็จะเกิดจากการผิดพลาดของคนเป็นหลัก หากคนพึ่งปฏิบัติตนเองด้วยสติ และมีประสบการณ์ความรู้ในสายงานที่ทำ ความผิดพลาดย่อมน้อยลง

กระบวนการ ด้านความปลอดภัยข้อมูล หลายองค์กรเริ่มสนใจเรื่องกระบวนการมากขึ้น เพราะเข้าใจกันดีว่า “Security not Product but Security is Process” การจัดทำนโยบายด้านความปลอดภัย(Information Security Policy)ก็ดี การสร้างมาตราฐานตาม ISO17799 หรือ มาตราฐานอื่นๆ แล้วแต่ลักษณะงาน เป็นผลให้การสร้างกระบวนการด้านความปลอดภัยมีรูปธรรมขึ้น อย่างมีกรอบ ที่สามารถนำไปใช้งานกับองค์กรได้เป็นอย่างดี

การสร้างระบบความปลอดภัยข้อมูล เป็นเรื่อง “ใกล้ แต่ ไกล” ที่กล่าวเช่นนั้นเพราะว่าเป็นเรื่องใกล้ตัว แต่ไกลในการปฏิบัติ ผมเองเคยกล่าวในงานสัมนาอยู่หลายครั้งกับประโยคนี้ และยังคงยืนยันว่าหากองค์กรใดทำได้ 3 เรื่องนี้ จะพาองค์กรนั้นสู่ความปลอดภัยข้อมูลที่ยันยืน

ในหัวข้อ Network Security Identity เราจะขอกล่าวเพียงเฉพาะด้านเทคโนโลยี

เมื่อเป็นดังนี้ สิ่งหนึ่งที่จะทำได้ก็คือการสามารถล่วงรู้ได้ว่า สิ่งนั้นคือพฤติกรรมที่ไม่พึ่งประสงค์ในการเชื่อมต่ออินเตอร์เน็ท และสามารถระบุผู้บุกรุกทางระบบเครือข่ายได้ว่า เป็นการบุกรุกชนิดใด ดังนั้น หลักการทำ Network Security Identity จึงเป็นการเปิดเผยตัวตนที่แท้จริงของการบุกรุกในเชิงเทคโนโลยี

โดยมีจุดหลักคือ

  1. ในเชิง Local Area Network Security Identity
  2. ในเชิง Global Area Network Security Identity

1. Local Area Network Security Identity คือสามารถรู้ได้สิ่งผิดปรกติได้ภายในเครือข่ายของตนเอง เช่น ในองค์กรของเราเอง ในเครื่องคอมพิวเตอร์ของเราเอง รู้และป้องกัน ป้องกันและทราบสาเหตุ และแก้ไขสาเหตุที่เกิดขึ้น รวมไปถึงระบุผู้บุกรุกที่เกิดขึ้นใน Local Area เราได้

หลักการออกแบบ Network Security Identity ส่วน Local Area นั้น แบ่งได้ดังนี้

1.1 การแสดงตัวตน และสิทธิในการเข้าถึงระบบเครือข่าย (Security Remote Access Control)

– การแสดงตัวเข้าระบบ (Identification)

– การยืนยันว่าเป็นตัวจริง (Authentication)

– การแสดงสิทธิในการเข้าระบบ (Authorization)

ในการ identification และ Authentication แบ่งได้ 3 ชนิดคือ

สิ่งที่คุณรู้ (Something you know) เช่น Pin , password เป็นต้น

สิ่งที่คุณมี (Something you have) เช่น บัตร ATM , Smart card เป็นต้น

สิ่งที่คุณเป็น (Something you are) เช่น Finger print , retina scan เป็นต้น พวกนี้มักเป็นการแสดงตัวแบบ Biometric

เพื่อให้ระดับความปลอดภัยในการพิสูจน์ตัวตนเพื่อเข้าถึงระบบมีความยากขึ้น มักใช้ศัพท์ที่เรียกว่า 2 factor Authentication คือใช้ 2 อย่างใดอย่างหนึ่งจาก 3 factor ที่กล่าว ซึ่งหลายหน่วยงานที่เป็นระบบเครือข่ายขนาดใหญ่และมีความสำคัญของข้อมูลนิยมใช้กัน

ขึ้นกับการนำไปใช้งานเมื่อระบบเครือข่ายในองค์กร ประกอบไปด้วยเครื่อง PC ที่ไม่สามารถระบุได้ว่าเป็นเครื่องของพนักงานคนไหน ก็จะไม่สามารถที่จะติดตามซ่อมหรือ เก็บข้อมูลต่างๆได้ ดังนั้นในการแสดงตัวตน และสิทธิในการเข้าถึงระบบเชิงเทคนิค ในเครื่อง PC ที่เป็น client จำเป็นต้องทำการ login ผ่าน Domain Controller และรับ DHCP จาก Server หรือจะตั้งเป็น Statistics IP เพื่อง่ายในการค้นหาและจัดการ แต่ยากในการจัดทำเพราะ admin ต้องไป set ค่า IP ให้กับเครื่องใหม่ๆ ที่เกิดขึ้น

จากนั้นเมื่อทำการ สร้าง Proxy Server ที่เก็บค่า LDAP ( Lightweight Directory Access Protocol ) จาก Domain Controller แล้วกำหนดให้ user ทุกคนที่ต้องการออกใช้ อินเตอร์เน็ทต้องผ่านเครื่อง proxy gateway นี้

จากนั้นทำการเก็บข้อมูลเครื่องคอมพิวเตอร์ ที่เป็นเครื่องลูกข่ายและแม่ข่าย ไว้ PC management เพื่อทำเรื่อง change control หากมีการแก้ไขและปรับปรุงเครื่องในอนาคต

1.2 การเก็บข้อมูลเครื่องที่บนระบบเครือข่าย (Network Inventory)

กำหนดการเก็บค่า IP , MAC address , Software ที่ใช้ลงเครื่อง , Hardware ในแต่ละเครื่อง รวมถึง Network การ์ด โดยสามารถออกรายงาน และเก็บบันทึกเพื่อเก็บสถิติได้

เมื่อมีระบบที่ค่อยเก็บข้อมูลด้าน Inventory เครื่อง PC ที่อยู่ในระบบแล้ว จะทำให้ผู้ดูแลระบบ ง่ายในการจัดการ และแก้ไขปัญหาได้ถูกจุด

1.3 การเฝ้าระวังภัยและป้องกันภัยระบบเครือข่าย (Network Intrusion Detection/Prevention system)

การติดตั้งระบบตรวจจับสิ่งผิดปกตินี้เป็นสิ่งจำเป็นอย่างมาก เนื่องจากทุกเครื่องบนระบบเครือข่ายมีการเคลื่อนไหวข้อมูล ย่อมมีทั้งการบุกรุกและการติดเชื้อไวรัสในระบบเครือข่าย โดยที่เราสามารถรู้และเห็นเหตุการณ์เหล่านี้ได้จากระบบ NIDS/IPS

การที่เรามีเทคโนโลยีในการตรวจจับผู้บุกรุก และประกอบกับเครื่องที่เก็บข้อมูลของเครื่องคอมพิวเตอร์ในระบบเครือข่ายจะทำให้เราทราบถึงตำแหน่งและที่มาว่ามีการบุกรุกจากแหล่งไหนและสามารถแก้ไขเหตุการณ์ได้อย่างทันที

ยกตัวอย่างเหตุการณ์

พบสิ่งผิดปกติในหน้าจอตัวตรวจจับสิ่งผิดปกติที่เกิดขึ้นในระบบเครือข่าย

พบว่าเครื่อง IP 192.168.1.246 ชื่อเครื่องว่า big กำลังทำการติดต่อที่มีความเสี่ยงสูงคือสีแดง ไปยังเครื่องอื่นๆอีกหลายเครื่องในระบบเครือข่าย

เราทราบว่าชื่อเครื่องคือ big และ IP 192.168.1.246

ดังนั้นทีมงานที่ดูแลระบบ จึงใช้ระบบจัดการ Inventory และ Desktop Management คอมพิวเตอร์เครือข่าย ในการควบคุม เครื่องที่ติดไวรัส เพื่อสกัดไม่ให้แพร่กระจายในระบบเครือข่าย หรือจะส่ง messages เตือนไปที่เครื่องก็ได้ หรือทำการ ปิดระบบเครื่องที่ติดไวรัสดังกล่าวเพื่อให้ทำการแพร่กระจายไวรัสอีกต่อไป

วิธีการดังกล่าวเป็นการ ระบุ ที่มาที่ไป และตัวตนการใช้งานบนระบบเครือข่ายหรือที่เรียกว่า Network Security Identity ในระดับหนึ่ง โดยส่วนมากเรามักพบคำถามอยู่เสมอว่าเครื่องที่ติดไวรัสมักทำการแพร่กระจายแบบเงียบๆ และไม่รู้ว่าเกิดจากที่ไหน ทั้ง 3 วิธี จะเป็นตัวช่วยให้ระบบเครือข่ายในองค์กรท่านมีความสงบขึ้น

2. Global Area Network Identity

คือการระบุตัวตน ข้ามผ่าน WAN link ระหว่าง ISP และ Network ระดับประเทศ เป็นเรื่องที่น่าสนใจ และปัญหาส่วนใหญ่ก็เพราะระบบเครือข่ายชายแดนของประเทศ ไม่มีความแข็งแกร่งเพียงพอทำให้ การบุกรุกและการโจมตีต่างๆเข้าสู่ระบบเครือข่าย ในประเทศได้ง่าย จะได้กล่าวต่อไปในครั้งหน้า

14/08/48

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Icons วายร้าย

Submitted by classicx. on May 1, 2005 11:33 pm.
ถ้าท่านเป็นคนหนึ่งที่เคยสัมผัสกับ Icons น่ารักๆ ที่ชวนให้คลิก ชวนให้ดาวโหลด และเผลอพลาดด้วยความไม่รู้เท่า เมื่อนั้นอาจจะพบว่า เครื่องคอมพิวเตอร์ของท่านเริ่มไม่ปกติ

และก็มีตัวการ์ตูนที่น่าตา น่ารักชวนเป็นมิตรอยู่หลายๆตัว แต่แปลก การ์ตูนที่ดูแล้วน่ารักพวกนี้ กับถือไม้พร้อมที่ฟาดหัวกันด้วย : )

Icons วายร้าย ที่แฝงมากับความน่ารักและชวนให้ สัมผัส ตัวนี้มีชื่อว่า FunbuddyIcons ผมจึงค้นหาข้อมูลและพบว่ามีการกล่าวถึงโปรแกรมชนิดนี้เป็นพวก Spyware โดยรวบรวมมาให้อ่านกันเล่นๆ เผื่อว่าที่บ้่านของท่าน มีน้องๆเด็กๆ ที่เล่นต่ออินเตอร์เน็ท ทำให้ติด spyware ในเครื่องกัน
อ่านข้อมูลเพิ่มเติมได้ที่ Google : FunbuddyIcons

FunBuddyIcons เป็นการสร้าง plugin บน Internet Explorer และสามารถใช้เป็น icon บน AOL Instant Messager, Yahoo Messenger, และ MSN Messenger ซึ่งเป็นโปรแกรมสนทนาที่ได้รับการนิยม
เครือข่ายของ Fun Buddy Icons มีด้วยกันหลายตัวในนามชื่อว่า Fun Web Products โดยมีชื่อ
1. Smiley Central
2. Cursor Mania
3. My Mail Stationary
4. My Mail Signature
5. PopSwatter
6. Popular Screensavers
7. My Way website portal.

ก็ถือได้ว่าเป็นโปรแกรมพวก spyware, โดยที่ผู้ใช้ที่ติดตั้งโปรแกรมดังกล่าวแล้วจะทำให้ Spyware ที่แนบมากับโปรแกรมดักข้อมูลในส่วนที่เป็น cookies ในเครื่อง PC ของเรารวมถึงการแสดงตัวตนเมื่อเราเชื่อมต่อทางอินเตอร์เน็ท ซึ่งถือได้ว่าเป็นการละเมิดความส่วนตัวในการใช้ระบบอินเตอร์เน็ท โดยข้อมูลเหล่านั้นจะส่งไปยัง site ของ Hackers ซึ่งจะทำการสร้าง spam ต่อไปอีกทั้งยังทำให้ระบบเครือข่ายโดยรวมช้าเนื่องจากขยะข้อมูลที่ส่งกันเป็นลูกโซ่อย่างต่อเนื่อง

และเมื่อทำการติดตั้งโปรแกรม Fun Buddy Icons แล้วจะพบว่า

ใน Internet Explorer จะมี button bar ที่ชื่อ Fun Buddy Icons

ด้วยความน่ารักของ icons จึงมีผู้ติด spyware ชนิดนี้อยู่มาก และความน่ารักนั้นจะส่งผลร้ายกับคอมพิวเตอร์ที่บ้านและที่ทำงานของเรา

เรามาดูกันว่าเมื่อเจ้า FunBuddyIcons เข้าไปฝังในเครื่องเราแล้วจะเกิดอาการอย่างไร
จะพบว่า โปรแกรม ที่ฝังมากับ Icons ชนิดนี้จะทำการ Hijack appliaction เข้ามาใช้งานร่วมกับโปรแกรมดังเดิมแต่เพี้ยนไปเปรียบเสมือนปรสิตที่เข้ามาแฝงกายไว้ดูดอาหาร แต่อาหารของปรสิตชนิดนี้คือข้อมูล ทั้งๆที่ข้อมูลนั้นอาจเป็นของมูลที่ไม่ลับ และอาจจะลับก็ตาม แต่ปรสิตชนิดนี้ ก็ชอบเนื่องจากเป็นแหล่งของการทำ Spam และทำการวิเคราะห์หาตลาดทางการค้าได้อย่างลึกซึ้ง

เมื่อทำการ Install FunBuddyIcons โปรแกรมจะไปฝังตามส่วนต่างของระบบปฏิบัติการโดยเฉพาะอย่างยิ่งระบบปฏิบัติการ Windows ซึ่งมีผู้ใช้มากที่สุดในโลก โดยทำการฝัง file ดังนี้

R3 – URLSearchHook: (no name) – {00A6FAF6-072E-44cf-8957-5838F569A31D} – C:Program FilesMyWebSearchSrchAstt1.binMWSSRCAS.DLL

O2 – BHO: MyWebSearch Search Assistant BHO – {00A6FAF1-072E-44cf-8957-5838F569A31D} – C:Program FilesMyWebSearchSrchAstt1.binMWSSRCAS.DLL

O2 – BHO: mwsBar BHO – {07B18EA1-A523-4961-B6BB-170DE4475CCA} – C:Program FilesMyWebSearchbar1.binMWSBAR.DLL

O4 – HKLM..Run: [MyWebSearch Email Plugin] C:PROGRA~1MYWEBS~1bar1.binmwsoemon.exe

O4 – HKCU..Run: [MyWebSearch Email Plugin] C:PROGRA~1MYWEBS~1bar1.binmwsoemon.exe

O4 – Startup: MyWebSearch Email Plugin.lnk = C:Program FilesMyWebSearchbar1.binMWSOEMON.EXE

O4 – Global Startup: MyWebSearch Email Plugin.lnk = C:Program FilesMyWebSearchbar1.binMWSOEMON.EXE

O8 – Extra context menu item: &Search – http://bar.mywebsearch.com/menusearch.html?p=ZBYYYYYYYYUS

O16 – DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} – http://ak.imgfarm.com/images/nocache/funwebproducts/ei/FunBuddyIconsFWBInitialSetup1.0.0.8.cab


วิธีการในการลบโปรแกรม Fun Buddy Icons

ต้องทำการ uninstall Fun Buddy Icons

1) Click บน Start, Settings, Control Panel

2) Double click บน Add/Remove Programs

3) หาคำว่า “My Web Search (FunBuddyIcons)” และทำการ Remove

ยังไม่พอ ต้องหาโปรแกรมที่เชื่อมโยงกับ icons นี้ด้วยเช่น

  • My Web Search (Smiley Central or FWP product as applicable)
  • My Way Speedbar (Smiley Central or other FWP as applicable)
  • My Way Speedbar (AOL and Yahoo Messengers) (beta users only)
  • My Way Speedbar (Outlook, Outlook Express, and IncrediMail)
  • Search Assistant – My Way

4) ทำการ Reboot Computer and run HijackThis

5) ทำการลบ folders ที่ชื่อว่า

  • FunWebProducts

  • MyWebSearch

ุ6) เหมือนว่า icons วายร้ายจะหายไปแล้ว แต่จากบทความที่คัดลอกมานั้นแนะนำให้ใช้ โปรแกรมที่ชื่อว่า Hijackthis เพื่อทำการตรวจสอบว่ายังติดในเครื่องอีกหรือไม่

เอาล่ะครับมาถึงตรงนี้ผมได้หมดหน้าที่การเป็นผู้แก้ไขปัญหาแล้ว ต่อไปผมจะนำท่านดำดิ่งไปสู่รากเหง้าของ Icons วายร้าย ว่ามีแหล่งที่มาที่ไปอย่างไร เอาไว้ blog หน้าแล้วกันครับ ……..

นนทวรรธนะ สาระมาน
Nontawattana Saraman
1/05/48

Dark Side of The Internet

Dark Side of The Internet

เมื่อกว่า 30 ปีที่ผ่านมา อัลบัมเพลงของวง Pink Floyd ชุด “Dark Side of The Moon” เป็น กล่าวถึงความซับซ้อนของจิตใจคนในยุคทุนนิยม

แ ละเวลาผ่านไปผมได้นำบทเพลงชุดนี้มาเปิดอีกครั้ง และเขียนเรื่องราวที่ซับซ้อนในโลกอินเตอร์เน็ท ในชื่อบทความว่า Dark Side of The Internet พร้อมกับการบรรเลงบทเพลงที่ยิ่งใหญ่ของ Pink Floyd เพื่อระลึกถึงแนวความคิดที่ก้าวทันสมัย ลองมาอ่านกันว่า Dark Side of The Internet กับบทเพลงอย่างไรจะซับซ้อนกว่ากัน


ทุกวันนี้การใช้งานคอมพิวเตอร์ที่ต่อเชื่อมบนโลกอินเตอร์เน็ทมีจำนวน มาก ลองคิดกันเล่นๆ หากมีใครสักคนติดต่อโลกอินเตอร์เน็ทจากเครื่องพีซีเครื่องใหม่ที่พึ่งซื้อมา ลงระบบปฏิบัติการ windows XP Home โดยไร้ services pack , anti-virus , anti-spyware และระบบป้องกัน Persanol Firewall แล้วทำการท่องอินเตอร์เน็ทไม่นานนัก จะมีผู้มาเยือน โดยไม่ใช่มนุษย์ ไม่ว่าเป็น spyware , worm , adware และ spam จะทำการเข้าสู่เครื่องพีซีของท่านในเวลารวดเร็ว หากคุณเป็นนักออนไลท์ คุณคงไม่กังวล แต่หากเป็นผู้เล่นอินเตอร์เน็ทรายใหม่ ที่เกิดขึ้นใหม่ทุกๆวัน ก็จะตกเป็นเหยื่อเหล่านี้ แล้วทำการแตกลูกโซ่ทำการแพร่เชื้อกระจายไปทั่วโลก และ ณ เวลาที่ผมเขียนบทความนี้ขึ้น ก็จะมีจำนวนคนตกเป็นเหยื่อที่มองไม่เห็นนี้ตลอดเวลา คิดต่อไปอีกว่าไม่นานเวลาผ่านไป อีกสักสามถึงสี่ปีต่อมา โลกในอินเตอร์เน็ทจะเต็มไปด้วยภัยคุกคามอย่างที่เราคาดไม่ถึง
วันก่อนเมื่ออยู่หน้าคอมพิวเตอร์ พบสิ่งผิดปกติที่เกิดซ้ำๆกันไปมา โดยที่ไม่ทราบว่ามาจากไหน และเมื่อนั่งพิจารณาสักพักก็พบว่า นั้นมันคือการโจมตี ของใครบางคนที่อยู่ห่างจากเรา ..
พบความเสี่ยงสูงที่หน้าจอ SRAN Security Center

ผมได้สังเกตการแพร่ตัวของจำนวน robot ที่วิ่งเข้ามาเก็บข้อมูลใน website โดยเป็นเครื่องมือของผู้ผลิตเว็ป search engine , ผู้ทำการขายสินค้า , ผู้เก็บข้อมูล สถิติต่างๆ รวมถึงนักวิเคราะห์การตลาด เครื่องมือของโลกทุนนิยม robot จำนวนมากเกิดขึ้นจากการเขียน code ที่แตกต่าง เพื่อช่วยในการเก็บข้อมูล ผมเคยชี้ภัยที่เกิดจากการ ใช้ทรัพยากรในระบบเครือข่ายไปแล้วในบทความ spider bot

แต่ในบทความที่กล่าวมานั้นเป็นเพียงส่วนหนึ่งในความลึกลับและซับซ้อนบนโลกอิ นเตอร์เน็ท กับจำนวน spider bot หรือ web robot ที่เพิ่มจำนวนอย่างมากในยุคปัจจุบัน จากอดีตจนถึงปัจจุบัน robot พวกนี้ได้พัฒนาตัวขึ้นให้ปรับตัวเข้ากับความซับซ้อนและยากที่จะหาต้นตอของผู ้แพร่กระจายความหายนะได้
The Dark site Internet จึงขอเป็นบทความที่เปิดเผย กลุ่ม robot ที่สร้างขึ้นจากมนุษย์เพื่อทำการทำลายล้างและขโมยข้อมูลมากล่าวให้ฟัง

ในการโจมตีที่เกิดขึ้นโดยใช้ bot IRC

bot ที่ classic ที่สุด และเป็นเป้าหมายแห่งการโจมตีที่ยิ่งใหญ่ ในยุคปัจจุบัน
bot ที่ว่านั้นคือ bot ที่เกิดขึ้นบน IRC เมื่อก่อนสัก 6 – 7 ปีก่อน bot irc มีหน้าที่ไว้เป็นยามเฝ้าห้อง chat room เพื่อป้องกันการยึดห้อง และป้องกันมิให้ใครเข้ามากวนหรือป่วนห้องใน irc นั้นๆ ไม่ว่าเป็น TNT bot , IRC II และ eggdrop ส่วน eggdrop มีใช้การเขียน tcl/tk
สคิปของ bot ได้พัฒนาและแพร่หลายออกไป มีคนที่คิดสร้างสรรค์และคิดในเชิงลบ ทำให้ bot irc วันนี้เต็มไปด้วยอาวุธ และทำความเสียหายให้ระบบเครือข่าย และเป็นที่มาของการโจมตี :แนะนำข้อมูลสำหรับศึกษา bot IRC ที่เป็นภาษาไทยอ่านได้ที่ http://www.sornz.com/
การใช้ Bot IRC ในการบุกรุกข้อมูลมีดังนี้
ี้

1. Network warez

ขณะนี้มีจำนวนการใช้ IRC


พบว่าเป็นจำนวนที่มาก และกว่่า 30% เป็น robot
server IRC ที่มีผู้ใช้บริการมากที่สุด

ที่กล่าวว่าเป็น Network Warez เนื่องจากมีการแชร์ files download กันผ่าน IRC และนี้คือที่มาของโปรแกรมพวก P2P ในยุคปัจจุบัน




จากภาพจะพบว่ามีการแจกเพลงที่มีลิขสิทธิ์และหนัง ใน IRC โดยการทำงานของ bot ที่ตั้งสคิปไว้เพื่อทำการแชร์ file และ download ในที่สุด


2. DDoS (Distributed Denial-of-Service)
บทความสุด classic สำหรับการโจมตีแบบ Denial of Service เขียนไว้โดย Steve Gibson ในช่วงปี 2001 ขณะที่เว็ปยักษ์ใหญ่ได้มีการใช้งานไม่ได้เนื่องจากโดนโจมตี http://grc.com/dos/grcdos.htm
จากอ่านประวัติศาสตร์ย้อนหลังการโจมตีลักษณะนี้ในยุคที่ยังมีผลิตภัณฑ์ด้านค วามปลอดภัยข้อมูลยังมีน้อยอยู่ได้ ในบทความของ Steve Gibson ก็ได้กล่าวถึงการใช้ bot ใน irc เป็นผู้โจมตี โดย bot เหล่านี้ได้เกิดขึ้นจากการติด backdoor ของผู้ใช้อินเตอร์เน็ทตามบ้านนั้นเอง โดยมีศัพท์ที่เรียกเครื่องที่ติด backdoor เพื่อใช้ในการโจมตีเครื่องเป้าหมาย ว่า zombie หรือ botnet
คำสั่งที่ใช้ zombie เพื่อการโจมตีระบบเครือข่ายดูได้ใน watching attackers DDoSing others โดย honeynet project




3. Spamming
การ spam เป็นการโจมตีที่ถือได้ว่ามีพร้อมๆกับการใช้ e-mail ในยุคต้นของการเชื่อมโยงระบบเครือข่าย แล้วต่อมาได้มีการสร้าง spam บนระบบ IRC โดย spam นี้เป็นการเชิญชวนให้ผู้้เล่น IRC ได้เข้าห้องของตน หรือการโฆษณา web site รวมไปถึงการหลอก (Social Engineering) หลอกให้คน download backdoor ที่ตนเองได้สร้างขึ้น เมื่อปีที่แล้วก็มีการหลอกเช่นนี้โดยใช้โปรแกรม trojan ที่ชื่อว่า Optix ซึ่งสามารถอ่านได้เพิ่มเติมได้ที่ http://www.sran.org/document/files/optix-SRAN.pdf/file_view
จะเห็นว่าการหลอกลวงในระบบอินเตอร์เน็ทมีหลากหลายวิธีมาก และโยงใยถึงกัน
ภาพความสัมพันธ์ในการบุกรุกด้านความปลอดภัยข้อมูล

4. Sniffing Traffic
robot ที่ใช้บน irc ไม่ว่าเป็น eggdrop หรือชนิดอื่นๆมักจะเก็บ log ดักข้อมูลในส่วนนี้คือ

– จับที่ plain text ข้อความที่เป้นทั้ง public และ private ขึ้นกับวัตถุประสงค์ที่ใช้ มักจะดักจับ password ที่เกิดขึ้นในการ login
– ดักจับ robot ตัวอื่นเพื่อทำการขโมย robot


ทั้งนี้และทั้งนั้นการดักจับที่เกิดขึ้นได้ ก็ต่อเมื่อผู้ใช้ robot ได้เข้าถึงระบบปฏิบัติการที่ไม่ได้เป็นของตนเองแล้ว

– ดักข้อมูลเพื่อเก็บสถิติ จะมี robot จำนวนมากที่ฝังตัวใน irc server และ robot พวกนั้นจะทำการเก็บบันทึก channel, users, และการเกิดใหม่ของ server รวมถึงข้อมูลบ้างอย่างที่ทำการสานถึงหน่วยงานที่เกี่ยวข้องด้านอาชญากรรมคอม พิวเตอร์เก็บไว้เพื่อหาผู้กระทำผิด

จากภาพจะเห็นว่าข้อมูลที่ส่งเป็น real-time โดยค้นหาที่ http://searchirc.com/whois/ ข้อมูลพวกนี้จะไม่สามารถรู้ได้เลย หากไม่มี robot ที่กล่าวมา


5. Spreading new malware
ส่ง malware ในรูปแบบใหม่ๆ Bot IRC ที่ใช้สคิปโฆษณาต่างๆ มักมีการเข้ามาสนทนากับผู้ใช้งานจริง โดยการสนทนาเกิดจากสคิปทั้งสิ้นไม่ใช่มนุษย์ที่พิมพ์ และการสนทนา มักอยู่ในบรรทัดเดียว โดยใช้วิธีการหลอกลวงให้ download



ตัวอย่างการเข้าถึงระบบโดยใช้เทคนิค BHO ติดทาง IE , MSN และอื่นๆ




การโจมตีที่นอกเหนือการใช้ทรัพยากรบนเครือข่าย IRC
1. Installing Advertisement Addons and Browser Helper Objects (BHOs)
เป็นอีกช่องทางหนึ่งที่ทำให้ พวก roboat adware/spyware ที่เกาะตาม website ที่เราเข้าไปซึ่งโปรแกรมพวกนี้สามารถแนบติดกับ BHO และทำการรันตัวเพื่อเป็นเข้าถึงเครื่อง PC ได้ สามารถอ่านรายละเอียดเพิ่มเติมได้ที่ http://www.thaicert.nectec.or.th/paper/spyware/ParasitewareAndHowtoProtect.pdf



ตัวอย่างการเข้าถึงระบบโดยใช้เทคนิค BHO ติดทาง IE , MSN และอื่นๆ


2. phishing mails
เป็นการหลอก ที่สมเหตุสมผล และแนบเนียนมากเนื่องจาก E-Mail ที่เราได้รับโดยเฉพาะมาจากหน่วยงานที่มีความน่าเชื่อถือด้วยแล้ว ยิ่งทำให้การตัดสินที่คลิก URL ที่ link มาพร้อมได้อย่างรวดเร็ว เมื่อคลิก link ที่มากับ E-Mail ก็พบว่า website ที่เราเปิดกลับเป็น website ของ hacker โดย เทคนิค phishing จะเน้นการหลอกเพื่อได้มาถึง รหัสผ่านของการใช้บริการนั้นๆ หรือเป็นการหลอกเพื่อให้ download โปรแกรมที่ hacker สามารถ remote เข้ามาควบคุมเครื่องของผู้ใช้งานได้และเพื่อขยายผลต่อไป ดูภาพความสัมพันธ์ในการบุกรุกด้านความปลอดภัยข้อมูล

3. Anonymous Proxy
Free proxy ที่แจกกันมีภัยแฝงสำหรับผู้ไม่หวังดี ตรงที่การติดต่อ proxy จะทำให้ไม่ทราบ IP ต้นทาง โดยเฉพาะผู้บุกรุกใช้เทคนิคที่ชื่อว่า proxy chain จะทำให้ตรวจจับได้ยากขึ้น

แบบที่ 1 HTTP proxy >> HTTP proxy
แบบที่ 2 SOCKS proxy >>>> HTTP proxy >>>> CGI proxy
แบบที่ 3 SOCKS proxy >>>> HTTP proxy
แบบที่ 4 HTTP proxy >>>> CGI proxy

ทำให้มี address ที่ติดต่อกับ robot ได้มากขึ้น
ลูกเล่นการหลบหลีก การตรวจค้นหามีหลายวิธี robot ที่ิวิ่งในระบบเครือข่ายจึงมากด้วยวิธีการ บาง robot เก็บข้อมูลบางชนิดเพื่อใช้ในการวิเคราะห์ตลาด บาง robot เขียนขึ้นเพื่อใช้ในการค้นหา

หากเรามีเครื่องมือที่ใช้ในการตรวจพวก robot ไม่ว่าเป็น robot ที่ใช้ค้นหาเพื่อเก็บสถิติในเว็บค้นหา และ robot ที่ใช้ในการตรวจสถิติการใช้งานของ web server จะพบว่ามีการใช้แบนด์วิทธ์พอสมควร ซึ่งในอนาคตหากไม่มีหน่วยงานมาควบคุมจำนวนเพิ่มขึ้น robot พวกนี้ก็ลองคิดดูว่าแบนด์วิทธ์ที่ใช้ในอนาคตอาจโดนบางส่วนที่มี robot ใช้ทรัพยากรระบบเครือข่ายเราได้เช่นกัน

robot ที่กล่าวมาทั้งหมดอาจจะเชื่อมโยงกันเป็นเครือข่ายที่อยู่ที่ใดสักแห่งบนโลกน ี้ และเฝ้าดักเก็บข้อมูล (Information) ได้อย่างสมใจ เราผู้รับข้อมูล ได้แต่พึ่งสติด้วยความระวัง และสมถะ

นนทวรรธนะ สาระมาน
Nontawattana Saraman
20/03/48

Hackers Lose

เมื่อ Hackers หลงทาง

Submitted by classicx. on Mar 7, 2005 10:38 pm.

สุภาษิตที่ว่าหลงทางเสียเวลา หลงติดยาเสียอนาคต คงเป็นคำกล่าวที่ถูกต้องที่สุดโดยเฉพาะเรื่องการหลงทาง เมื่อครั้งที่แล้วผมเคยยกตัวอย่างการใช้ google ในการค้นหา ข้อมูลที่ลับๆ โดยเฉพาะพวก password , กล้องวงจรติดที่เผยแพร่ทาง Network และอีกหลายๆ สามารถอ่านย้อนหลังได้ที่ บทความเรื่อง ความเป็นส่วนตัวที่ไม่เพียงพอ บนโลกอินเตอร์เน็ท Google search engine ที่ทุกคนที่เล่น Internet รู้จักกันดี สามารถทำให้เราค้นหาข้อมูลได้ว่องไว อีกทั้งยังนำข้อมูลลับๆมาเผยแพร่ได้ด้วย เราจะป้องกันอย่างไงดี บทความนี้คงไม่ได้บอกวิธีป้องกัน แต่จะบอกวิธีทำให้ Hackers เสียเวลา และ งง พูดง่ายๆ คือการแก้เผ็ด Hackers ที่ใช้ google hack นั้นเอง

เริ่มแรก เตรียมเครื่อง PC 1 เครื่อง ลงระบบปฏิบัติการ Linux

อันดับสอง ลง Web server ที่ชื่อ Apache

อันดับสาม ลงโปรแกรมที่ชื่อ GHH (Google Hack Honeypot) จาก web http://ghh.sourceforge.net/

หลักการ GHH น่าสนใจมาก คือการประยุกต์ใช้ระหว่าง เทคโนโลยี Honeypot สามารถอ่านได้ที่ http://www.honeynet.org นำมาใช้กับ web server เพื่อสร้าง web honeypot โดยเจาะจงหลอก Hackers ให้ติดกับในส่วนของ การค้นหาข้อมูล

Honeypot คือหลุดพรางที่วางไว้ เพื่อให้ผู้บุกรุกเสียเวลา และไม่สามารถเข้ามาถึงระบบจริงได้ อีกทั้งยังสามารถเรียนรู้พฤติกรรมการบุกรุกของผู้ไม่หวังดีได้อีกด้วย

Honeypot และ Honeynet ต่างกันตรงที่ Honeypot มองเพียงตัวเดียววางล่อเพียงเครื่องเดียว อาจเป็น web server , data base server หรือ PC ตัวใดตัวหนึ่ง ส่วน Honeynet มองเป็นระบบเครือข่าย โดยประกอบด้วย Honeywall ตัวเลือกเส้นทางเข้าสู่วง Honeypot หลายตัวๆ เป็นต้น ใน Honeypot หลายตัวอาจเป็น web server ซึ่งเราเรียกว่า Honeyweb และ GHH ก็เป็นเพียงส่วนหนึ่งของ Honeypot ในส่วนของ web server นั้นเอง

Honeypot เป็นส่วนหนึ่งของ Honeynet

Honeyweb เป็นส่วนหนึ่งของ Honeypot

GHH เป็นส่วนหนึ่งของ Honeyweb

นี้คือแผนการ การหลอก hackers ที่ใช้ google เป็นเครื่องในการ Hack

เมื่อเราทำการ GHH config เรียบร้อยแล้ว มาดูกันว่าหน้าตาเป็นอย่างไร โดยทีมงาน SRAN ได้ตั้ง GHH ไว้ที่ http://test.sran.org ไว้หลอก Hackers กัน : )

ไม่มีอะไรในก่อไผ่ แต่เราได้มีการดักการค้นหาเช่น

(filetype:php HAXPLORER “Server Files Browser”)
(“Enter ip” inurl:”php-ping.php”)
(intitle:”PHP Shell *” “Enable stderr” filetype:php)
(inurl:”install/install.php”)
(“Powered by PHPFM” filetype:php -username)
(inurl:phpSysInfo/ “created by phpsysinfo”)
(“SquirrelMail version 1.4.4” inurl:src ext:php)

สมมุติว่าค้นหาใน google คำว่า inurl:phpSysInfo/ “created by phpsysinfo” Hackers ก็จะพบว่ามี web ที่ชื่อว่า http://test.sran.org/phpSysinfo/index.php อยู่จริง

ปกติการค้นหาวิธีนี้จะเป็นประโยชน์สำหรับ hackers เพื่อไว้ดูทรัพยากรเครื่อง Web server นั้นๆ

แล้วเราก็สามารถดูได้ว่าใครคือผู้ไม่หวังดีที่ใช้กลไกของ google เข้ามาใน web ของเราได้

โดยเข้าไปดูใน logs

นี้ล่ะครับจับได้ คาหนังคาเขาเลย

ยังดูยากมากนะครับสำหรับ GHH ในอนาคต ทีมงาน SRAN จะพยายามนำ content ที่ใช้ในการ ค้นหา google ที่มีผลกระทบกับความลับข้อมูลมาใส่ใน signature base ของ SRAN Security Center ด้วย เพราะเรารู้ว่าการป้องกันระบบเครือข่ายที่ดี คือการตรวจจับ และต้องรู้ทันเหตุการณ์

สุดท้าย ตั้งคำถามหน่อย เชื่อตามผมหรือไม่ว่า ในอนาคตอันใกล้ ในการ ค้นหาข้อมูลจะมีทั้ง web จริงและ web ปลอม เต็มไปหมดทั่วระบบเครือข่ายในโลก เช่นเดียวกัน ชีวิตก็มีทั้งของจริงและของปลอม ผ่านมาและผ่านไป ..

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Thanks Kiattisak Somwong (pom infosec.sran.org) สำหรับการ config GHH

7 มี.ค 48

Ghost Malware

malware หน้าผี

เมื่อวานนี้ผมได้ร้องเรียนจาก เพื่อนสมาชิกให้ผม สืบหาไวรัสหน้าผี ให้ที ผมคิดต่อไปว่าคอมพิวเตอร์ นอกจากจะมีไวรัส แล้วยังมีผีอีกเหรอ ด้วยความอยากรู้ผมจึงขอข้อมูล และค้นคว้าว่าผีใน Internet หน้าตาเป็นเช่นไร

เอาละครับเรามาดูกันว่าว่าคอมพิวเตอร์ นอกจากจะมีไวรัส แล้วยังมีผีอีกเหรอ ด้วยความอยากรู้ผมจึงขอข้อมูล

ค้นไปพบว่ามีการ post กระทู้ไวรัสหน้าผี ใน pantip.com

ผมถามคนที่ติดไวรัสหน้าผี ว่าติดจากที่ไหน เขาก็บอกว่าให้ไปดูที่ web

web มานีมีตา ชื่อ web ก็ไม่น่าเข้าแล้วนะครับ แถมมีรูปให้ download กันอีกมากมาย ผู้ติดไวรัสกล่าวว่า ได้เลือก download file รวมภาพของ windows2000/XP

เอาล่ะเรามา Forensics กัน

1. ผมเริ่มเตรียมเครื่องใหม่ เพื่อจำลองสถานะการณ์ ลง windowsXP ที่ยังไม่มี program อะไร

2. ลง Tools ในการ Forensics เบื้องต้น ประกอบด้วย

FileMon , Regmon , Procexp , TCPview ใช้ 4 โปรแกรม ของ sysinternals

3. ตรวจสภาพว่าเครื่องคอมพิวเตอร์ของเราขณะที่ยังไม่ download จาก web ที่กล่าวว่ามีไวรัสหน้าผี

โดยใช้โปรแกรม Procexp

process ปกติเมื่อลงเครื่อง WindowsXP

ตรวจดูที่สภาวะการเปิด port connect และโปรแกรมต่างๆ

พบว่ามีการเปิด port ปกติดังนี้พบว่ามีโปรแกรมที่รอ connect เมื่อติดต่อ internet อยู่ คือ alg.exe , IEXPLORE.exe ,lsass.exe และ svchost.exe

เราจดและจำค่าพื้นฐานไว้นะครับ

4. เริ่มดาวโหลดโปรแกรมต้องสงสัย

เราดาวโหลดโปรแกรมรวมภาพ2/winxp/2000 file ชื่อว่า Internet11.com (นามสกุล file ก็ไม่น่าดาวโหลดแล้วครับเป็น .com มาเลย) พอโหลดโปรแกรมเสร็จแล้วดับเบิลคลิกจะพบข้อความดังภาพ เมื่อกด ok รอสักระยะ จะพบว่ามีรูปผีสาวญีปุ่นขึ้นมาแล้วมีเสียงกรีดร้อง เต็มจอ โผล่มาเป็นระยะๆ

5. เราวิเคราะห์ เครื่องกันว่าหลังจากดาวโหลด โปรแกรมดังกล่าวเสร็จแล้ว

มีโปรแกรมที่ชื่อว่า Scanreg.com โผล่มา

เริ่มมากันเยอะเลยครับ ลองเข้าไปดูที่ registry windows ดู

ดูสิครับนี้ยังไม่หมด ฝังใน registry หลายจุดเลย ที่พบหลายจุดเนื่องจากโปรแกรมผีญี่ปุ่นตัวนี้ ทำงานแล้วจะไปสั่งหลายส่วนใน registry windows ทำงานด้วยจาก file Scanreg.com นี้แหละ

7. แล้วเราจะเอามันออกล่ะ

พิมพ์ start –>run แล้วพิมพ์ regedit เข้าไปหน้า Registry Editor พิมพ์ค้นหา Scanreg และเจอตรงไหนให้ลบที่นั้น รู้สึกว่ายิ่งทิ้งนานก็ยิ่งเกาะหลายจุด

เข้าไปที่ HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache พบว่ามีการสั่ง Start ทุกครั้งเมื่อเปิดเครื่อง เห็นเช่นนี้ก็ทำการลบ ส่วนนี้เสีย

ภาพนี้โชว์ให้เห็นว่าโปรแกรมตัวนี้จะแสดงทุก user ที่ logon เข้าเครื่องและเก็บค่าไว้ที่ startup ทุกครั้งที่เปิดเครื่องใหม่

จากนั้นเครื่องท่านจะกลับมาสงบอีกครั้ง

เท่าที่ผมดูแล้วไม่ใช่ไวรัสคอมพิวเตอร์ แต่เป็นโปรแกรมไม่พึ่งประสงค์หรือที่เรียกว่า malware ที่บอกว่าไม่ใช่ไวรัสคอมพิวเตอร์เนื่องจากยังดูแล้วไม่มีส่วนไหนที่ทำให้เครื่องคอมพิวเตอร์เสียหาย แต่อาจเกิดความลำคาญที่มี ผีโผล่มาทักทุกๆ 20-30 นาที แค่นั้นเอง และไม่ใช่ worm เพราะไม่มีการแพร่เชื้อไปเครื่องอื่น ผมขอเรียกว่า malware หน้าผีแล้วกันนะครับ

วิธีป้องกัน

1. ไม่ควรดาวโหลดโปรแกรมอันใดใน web ที่ไม่น่าเชื่อถือ ดูยากหน่อยนะ เมื่อไม่ทราบ ขอให้เครื่องของท่านมีระบบป้องกันภัยระดับหนึ่งเช่นมี anti-virus , personal Firewall หรือระบบตรวจจับอื่นๆ เสียก่อน และควร Update pacth บน windows บ่อยๆ โดยเฉพาะ patch ของ IE บราวเซอร์ที่เปิด Web นี้แหละครับ

2. เมื่อพบปัญหาเกิดขึ้นที่เครื่องแล้วควรต้องหาสาเหตุอย่างรวดเร็ว ไม่ควรติดแล้วติดเลยไม่แก้ไขเพราะถ้าเป็น worm หรือไวรัสชนิดอื่นที่ทำร้ายเครื่องจนเสียหายไปได้ เช่นเวลาเล่น Internet จะทำให้เครื่องช้ากว่าปกติมาก CPU เต็มบ่อยๆ เป็นต้น

3. ควรมีการ Backup ข้อมูลเป็นระยะๆ

เอาละครับ มาถึงช่วงสุดท้ายแล้ว ก็ขอให้โชคดีสำหรับการเล่น Internet ในยุคปัจจุบัน ซึ่งอุดมไปด้วยภัยคุกคาม แต่หากเรามีความตะหนักในการใช้งาน เราก็ป้องกันตัวเองได้ และอย่างไร ความรู้ของท่านสามารถถ่ายทอดให้กับคนไม่รู้ต่อไป เพื่อสร้างให้สังคม online เราแข็งแรง

ขอทิ้งท้ายอีกนิดครับ สำหรับผู้ดูแล web site ที่ปล่อยไวรัสคอมพิวเตอร์ หรือปล่อยให้ผู้อื่น โพส ข้อความที่ไม่เหมาะสม ควรต้องหันมาดูหน่อยนะครับเพราะว่าในอนาคตอาจมีกฏหมายที่เข้ามาดูแลตรงนี้ และผู้ดูแลระบบควรรับผิดชอบหาก web site ของท่านทำให้ผู้อื่นติดไวรัส หรือทำให้เกิดความเข้าใจผิดในสังคม อาจมีผู้เสียหายเอาฆ้อนมาทุบเครื่อง web server ท่านได้ ในบทความหน้าอาจนำตัวอย่างกฏหมาย Sarbanes-Oxley Act ที่เริ่มพูดถึงเรื่องพวกนี้บ้างแล้วใน อเมริกา

ตรุษจีนนี้ ขอให้มีความสุขทุกคน

นนทวรรธนะ สาระมาน
Nontawattana Saraman

6 กุมภาพันธ์ 2548

Personal Information is Not Secured enough In Cyberspace

ความเป็นส่วนตัวที่ไม่เพียงพอ

ความเป็นส่วนตัวที่ไม่เพียงพอ บนโลกอินเตอร์เน็ท

ลองคิดเล่นๆนะครับ ว่าหากมี คนหนึ่งที่อยู่ห่างไกล เฝ้ามองพฤติกรรมหลายๆอย่างของผู้คนผ่าน อินเตอร์เน็ท เขารู้ว่าคุณนิสัยอย่างไร ชอบอะไร มี password อะไร โดยที่เขาไม่รู้จักคุณเลย คุณคิดว่าอย่างไร คุณอาจคิดว่าเป็นไปไม่ได้ใช่ไหมครับ ผมจะแสดงถึงความเป็นไปไม่ได้ ให้คุณอ่านเผื่อว่า จะทำให้ทราบถึงว่าไม่มีความเป็นส่วนตัวในโลกอินเตอร์เน็ท

เครื่องมือมีอยู่ 2 ชิ้นครับ นั้นคือ

  1. การใช้ Program พวก Trojan Horse สามารถอ่านได้ที่ http://nontawattalk.blogspot.com/2004/10/trojan-optix-pro.html
  2. การใช้ search engin google

บทความนี้ผมของเน้นที่การใช้ search engine เพื่อค้นหา ความลับหรือเรื่องส่วนตัวผู้อื่น

ทางค้นหาแบบพื้นฐาน เช่นผมต้องการ หานางสาว A นามสกุล B ผมก็ค้นหาตรงๆ จาก google เลยว่า นางสาว A B นี้เป็นใครเคยทำอะไรไว้ หรือ ค้นหาจาก e-mail address เขาเพื่อว่าเขาเคยไป post กระทู้ไหนบ้างในโลกอินเตอร์เน็ท หากมีข้อมูลผมก็ทราบข้อมูลพื้นฐานของนางสาวผู้นี้ได้ เช่น อุปนิสัยในการใช้อินเตอร์เน็ท , รูปภาพ รวมถึงการแสดงความคิดเห็นในเว็ปสาธารณะ

แต่นับจากนี้ผมจะเสนอการค้นหาที่ลึกซึ้งขึ้นไปอีก โดยที่เสนอทั้งหมดนี้ขอให้ระมัดระวังในการใช้งานด้วยนะครับ เพราะว่าทำให้ทราบถึงข้อมูลเจ้าของข้อมูลคงไม่อยากเปิดเผย แต่ข้อมูลเหล่านั้นเปิดเผยได้จากการใช้ google

10 การค้นหาที่อันตรายต่อข้อมูลลับ

1. ดู Network Camera ผู้อื่น โดยค้นหาจาก google

ค้นหาคำว่า “powered by webcamXP” “Pro|Broadcast” พบว่าจะเห็นภาพผู้ใช้ webcamXP หากติดตั้งโปรแกรมนี้แล้วทิ้งไว้ ระวังมีคนแอบดูนะครับ

คนที่ติด webcam ไว้ที่บ้านหรือที่ทำงาน สามารถเข้าไปดูได้โดยใช้ google ค้นหา

2. ค้นหา password จาก google

ค้นหาคำว่า filetype:log inurl:”password.log” จะพบ password.log ที่เกิดขึ้นใน web server

3. ใช้การค้นหา ช่องโหว่ที่เกิดจาก FrontPage /_vti_pvt/services.pwd จะพบว่ามีหลาย web ในโลกที่ยังคงแสดงผลให้เห็นถึง password นั้น ดูภาพข้างล่างนี้

4. ค้นหาค่า error ที่เกิดจากการติดต่อส่งค่าของ database ข้อมูลพวก Shopping Cart ที่เป็นข้อมูลลับก็เปิดเผยออกมา

5. ใช้ google hack google เอง คงได้ยินว่า gmail เป็น mail ที่ google ให้บริการ mail box ให้เนื้อที่ 1G

แต่ผู้สมัครต้องได้รับเชิญจากผู้ที่มีสิทธิเสียก่อน

เราก็ใช้ google นี้แหละค้นหา เพื่อให้เราได้ใช้ gmail ฟรีๆ โดยที่ไม่ต้องรู้จักใครที่สมัคร gmail มาก่อน

ค้นหาคำว่า intext:gmail invite intext:http://gmail.google.com/gmail/a

6. ดู log IDS/Firewall จาก google

ค้นหา คำว่า “SnortSnarf alert page” จะพบ URL ที่ใช้โปรแกรม snortSnarf และเห็น log IDS ที่แจ้งเตือนมาในระบบเครือข่ายของ URL ที่เราค้นหาอยู่

ค้นหาคำว่า “Output produced by SysWatch *” เพื่อดู system watch ของเครื่อง web server

ค้นหาคำว่า “ ACID “by Roman Danyliw” filetype:php ” ดูหน้าจอ IDS Console จากโปรแกรม ACID

7. ค้นหารายงานเครื่องการตรวจสอบระบบเครือข่าย

ค้นหาคำว่า ” Network Host Assessment Report” “Internet Scanner” จะทำให้เราเห็นผลการตรวจสอบของ Product Internet Scanner

ค้นหาคำว่า “This file was generated by Nessus” จะทำให้เราทราบผลการตรวจสอบของโปรแกรมที่ชื่อ Nussus ทำให้เราทราบช่องโหว่ของระบบเครือข่ายที่ Scan ด้วย ง่ายในการเจาะระบบขึ้น

8. ค้นหา speed ของ router เครื่องชาวบ้าน

ค้นคำว่า intitle:”SpeedStream Router Management Interface”

9. เข้าสู่ folder ที่ไม่เปิดเผย ของ Web server IIS โดยค้นหาคำว่า ” Microsoft-IIS/* server at” intitle:index.of จะพบว่า

10. การ Dump Database .sql อันนี้อันตรายมากครับ เพราะข้อมูลที่เก็บใน Database ถือว่าเก็บข้อมูลทั้งลับและไม่ลับ อันที่ลับก็ทำให้เกิดปัญหาได้มากเหมือนกัน การ Dump Database ตัวนี้สามารถทำได้ดีกับคนที่ใช้โปรแกรม phpmyadmin ดูที่ภาพละกันครับ

เอาแค่นี้ก่อนนะครับ เดี๋ยวความลับจากสวรรค์จะหลุดไปสู่ ผู้ไม่หวังดีเสียก่อน

ก่อนจบทุกครั้งผมจะเสนอแนวทางป้องกันเสมอ

ครั้งนี้ ป้องกันลำบากหน่อยครับเพราะ google เป็น search engine ที่ได้รับความนิยมสูง

วิธีหนึ่งที่ทำได้คืออย่าพยายามลงแบบ default เพราะจะติดค่าเริ่มต้น ทำให้สะดวกในการค้นหาได้

และอีกทาง วันหนึ่งในอนาคต google อาจให้สมัครเป็นสมาชิกก่อน ถึงจะค้นหาข้อมูลได้ ก็เป็นได้

มาถึงตรงนี้ผมอาจจะชี้โพรงให้กระรอกแต่ก็ขอให้ผู้ที่อ่านบทความนี้ พึ่งรู้ไว้

ไม่ใช่ ใช้ความรู้ในทางที่ผิดนะครับ

*** บทความนี้มีจุดประสงค์ เขียนไว้เพื่อเป็นกรณีศึกษา การคัดลอกหรือทำไปเผยแพร่ ต้องได้รับการขออนุญาตจากบริษัท Global Technology Integrated

นนทวรรธนะ สาระมาน
Nontawattana Saraman

9/01/47

การตรวจจับ Trojan Optix Pro

SRAN Web Application Network Security Monitoring การตรวจจับ Trojan Optix Pro 1.33

อุปกรณในการทดลอง

1. คอมพิวเตอร PC Windows 2000 Pro 1 เครื่อง

2. Lab Top Windows XP Pro 1 เครื่อง

3. SRAN Web Application Network Security Monitoring 1 Box


ภาพประกอบการทดลอง


1. PC Windows 2000 Pro IP 192.168.1.229 เปนเครื่องที่ติด Trojan Optix
2. Laptop Windows XP Pro IP 192.168.1.45 เปนเครื่องที่ควบคุมเครื่องที่ติด Trojan
3. SRAN Web Application Network Security Monitoring IP 192.168.1.209 เปนเครื่องตรวจขอมูลที่ผานเขาออกในระบบเครือขาย

ผลการทดลอง

สราง file optix builder

เพื่อกำหนด server port และคา config เพื่อใหเหยื่อดาวโหลด และเปด file ขึ้น



fileที่สรางชื่อ snare เปน file media player ซึ่งเปนการหลอกใหเหยื่อติดกับไดงาย

กำหนดคาใหผูที่ติด Trojan optix ไป connect ที่ server irc โดยในที่นี้ กำหนดการติดตอไปที่ irc.sran.net port 7000


กำหนดใหผูติด optix เขาหอง #sran

เมื่อเปดโปรแกรม TCPview ในเครื่องที่ติด optix จะพบวามีการสราง file ชื่อ msiexec16.exe และ file นี้เปด port 9669 และทำการ connect ไปที่ server irc.sran.net


พบวาเครื่องที่ติด Trojan Optix จะทำการ join เขา irc.sran.net หอง sran และใช nick ที่ทำการสุมขึ้นโดยในที่ใช nick ชื่อ nvhhujytjbc สวนผูที่สราง Trojan เขามาหอง sran พรอมพิมพกลางหองวา sran ซึ่งเปนคาใหบอทบอกสถานภาพเครื่องของตนเพื่อทำการ remote เขาไป โดยสวนแรกจะบอก IP address ในที่เปน IP 192.168.1.229 ชื่อ Computer เปน GLOBALTE-92BTBE userเครื่อง Administrator user ที่ใชในการ remote ชื่อ snare port 9669 password ในการ remote คือ yahoo หากเครื่องใดมี webcam ที่เปดก็สามารถมองเห็นผูใชงานไดทันที

เมื่อเปด โปรแกรม Ethereal ซึ่งเปน sniffer ในเครื่องผูติด Trojan optix จะพบวามีการสงขอมูลสำหรับเครื่อง client ที่มี โปรแกรม optix client ไวสำหรับ remote และในคา payload มี identify header optix pro v1.33 อยู

ในเครื่อง client สามารถพิมพ command ไดเหมือนนั่งอยูในเครื่องนั้นเอง โดยในที่เครื่อง remote พิมพ command netstat –a จากเครื่องที่ติด Trojan optix


สามารถรูถึงเครื่องที่ติด Trojan optix วาตอนนี้เปดโปรแกรมอะไรอยูบางในเครื่องจาก Optix pro client


สามารถดูคา Computer Information ของเครื่องที่ติด Trojan optix ได ผานหนาจอ optix pro client

สามารถ capture หนาจอเครื่องที่ติด Trojan Optix ได

ผลการดักจับ packet ที่เกิดขึ้นจากตัว SRAN Web Application Security Monitoring พบวามีการสงคาระหวางเครื่อง IP 192.168.1.229 ซึ่งติด Trojan Optix สงคาไปที่ server irc.sran.net โดยมีคา Payload เปน PING : 4B37FB57 ตลอดเวลา

นนทวรรธนะ สาระมาน
23/10/47

บรรยาย Thailand IT Security ครั้งที่ 1

 

บรรยาย Thailand IT Security ครั้งที่ 1  

ได้ทำการสาธิตการป้องกันการโจมตีทางระบบเครือข่ายด้วย NIPS (Network Prevention Intrusion System) ในงานคนสนใจมากเพราะถือว่าเป็นเทคนิคใหม่ (ในสมัยนั้น) เนื่องจากไม่ต้องมีค่า IP Address เอาอุปกรณ์ว่าขวางเพื่อป้องกันระบบเครือข่าย
.
คนดูอย่างล้นหล่าม นับว่าเป็นก้าวแรกในการทำ Product SRAN ในเวลาต่อมา ส่วนงานนี้ได้กลายร่างเป็น CDIC จนเป็นงานใหญ่ประจำปี ในปีถัดๆมาเช่นกัน


“ชีวิตเราทุกคนล้วนเป็นผู้สร้างประวัติศาสตร์ แม้มันจะเป็นเพียงการเคลื่อนไหวเล็กๆ ไม่ได้โด่งดังมันก็เป็นประวัติศาสตร์ ที่ผ่านเข้ามาและก็ไป จงพอใจในปัจจุบันที่เป็นอยู่”