เว บไซต ยอดน ยมท ถ กเจาะระบบเพ อฝ งโปรแกรม ไม พ งประสงค ให ผ เข าชมเว

ชอเรอง บทความCyberThreats2013

โดย ThaiCERT

เรยบเรยงโดย นายชยชนะมตรพนธนายสรณนทจวะสรตนนายธงชยแสงศรนายไพชยนตวมกตะนนทนนายพรพรหมประภากตตกล นายเสฏฐวฒแสนนามนายเจษฎาชางสสงข นายวศลยประสงคสขนายธงชยศลปวรางกร นายแสนชยฐโนทยนางสาวโชตกาสนโน นางสาวกรรณกาภทรวศษฏสณธนายณฐโชตดสตานนท นายนวรตนพฒโนทยนางสาวนนทพรเหมะจนทร นายรณนเรศรเรองจนดาและทมไทยเซรต

พมพครงท1 พฤษภาคม2557

พมพจำนวน 3,000เลม

ราคา 300บาท

สงวนลขสทธตามพระราชบญญตลขสทธพ.ศ.2537

จดพมพและเผยแพรโดย

ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย(ไทยเซรต)(ThailandComputerEmergencyResponseTeam:ThaiCERT)

สำนกงานพฒนาธรกรรมทางอเลกทรอนกส(องคการมหาชน)(สพธอ.)ElectronicTransactionsDevelopmentAgency(PublicOrganization:ETDA)

ศนยราชการเฉลมพระเกยรต80พรรษา5ธนวาคม2550เลขท120หม3 อาคารรฐประศาสนภกด(อาคารB)ชน7ถนนแจงวฒนะแขวงทงสองหอง เขตหลกสกรงเทพฯ10210

โทรศพท:0-2142-2483|โทรสาร:0-2143-8071

อเมล:[email protected]

เวบไซตไทยเซรต:www.thaicert.or.th เวบไซตสพธอ.:www.etda.or.th เวบไซตกระทรวงฯ:www.mict.go.th

ทกวนนเทคโนโลยสารสนเทศเขามามบทบาทในชวตของทกคนไมวาจะในการทำงานการตดตอสอสารการทำธรกรรมทางการเงนหรอแมแตความบนเทงแตขณะทเทคโนโลยเจรญกาวหนาขนผไมหวงดทใชชองโหวของเทคโนโลยในการหาผลประโยชนกมจำนวนมากขนและมการพฒนาเทคนควธการใหมๆตามตดกบความกาวหนาของเทคโนโลยเชนกนการโจมตระบบเครอขายของหนวยงานทงของรฐและเอกชนในหลายๆประเทศโดยเฉพาะหนวยความทมความสำคญในระดบสงหรอหนวยงานดานเทคโนโลยสารสนเทศจดวาเปนเหตการณทสามารถเกดขนไดทกเวลาดงจะเหนไดจากสำนกขาวตางๆทนำเสนอเหตการณในลกษณะนอยางตอเนอง

อยางไรกตามสถานการณภยคกคามทางไซเบอรไมไดจำกดอยแตในกลมทเกยวของกบเทคโนโลยหรอหนวยงานสำคญๆเทานนแตรวมไปถงผใชงานทวไปทใชอนเทอรเนตในดานทไมเกยวของกบเทคโนโลยโดยตรงเชนกรณ

เวบไซตยอดนยมทถกเจาะระบบเพอฝงโปรแกรมไมพงประสงคทำใหผเขาชมเวบไซตตกเปนเหยอของโปรแกรมไมพงประสงคนนซงหวงผลในดานการขโมยเงนจากบญชธนาคารออนไลนทมการพบในเดอนมถนายน2556เปนตวอยางของกรณการโจมตทมงเปาหมายไปทผใชทวไปซงอาศยความจรงทวาผใชงานจำนวนไมนอยยงขาดความรความเขาใจทเพยงพอในการปองกนตวเองจากการโจมตเหลานนอกจากนผใชงานสวนมากทไมไดอยในสายเทคโนโลยมกจะไมไดตดตามหรอไมมเวลาตดตามขอมลขาวสารเกยวกบภยคกคามทางไซเบอรและการขาดความตระหนกในดานความมนคงปลอดภยในการใชอนเทอรเนตหรอความสำคญของการรกษาความลบของขอมลสวนบคคล

ไทยเซรต(ThaiCERT)ภายใตETDAนอกจากมภารกจหลกในการรบแจงและประสานงานเพอรบมอภยคกคามทางไซเบอรแลวยงมภารกจในการเผยแพรความร

และสรางความตระหนกในการปองกนและแกไขปญหาภยคกคามทางไซเบอรแกสาธารณชนโดยทวไปโดยมงหวงจะใหเปนแหลงเผยแพรขอมลการเตอนภยการโจมตหรอชองโหวทมผคนพบใหมในเวลานนและแนะนำแนวทางแกไขทไดผลสำหรบผไดรบผลกระทบโดยนำเสนอในรปแบบภาษาไทยทมความครบถวนถกตองและทนตอเวลา

ทมงานไทยเซรตไดตดตามขาวสารจากแหลงขาวดานความมนคงปลอดภยระบบคอมพวเตอรจากทวโลกศกษาและและกลนกรองเฉพาะเหตการณทอาจสงผลกระทบตอผใชงานในประเทศไทยโดยมการตรวจสอบยนยนและวเคราะหเพมเตมกอนทจะเผยแพรทางเวบไซตรวมถงการเผยแพรบทความดานความมนคงปลอดภยสารสนเทศทนาสนใจและมประโยชนตอผใชงานในทกระดบ

หนงสอเลมนรวบรวมการแจงเตอนและบทความทเผยแพรบนเวบไทยเซรตในป2013โดยหวงเปนอยางยงวาผอานจะไดรบความรเพมเตมตนตวรวมทงตระหนกถงผลกระทบและความสำคญของการรกษาความมนคงปลอดภยสารสนเทศจนสามารถปองกนและแกไขภยคกคามเบองตนไดอยางเหมาะสมและเปนการเสรมสรางความเขมแขงใหแกสงคมไซเบอรของประเทศไทยไดอกทางหนง

สรางคณาวายภาพ

ผอำนวยการสำนกงานพฒนาธรกรรมทางอเลกทรอนกส(องคการมหาชน)

บทความแจงเตอนและขอแนะนำระวงภยชองโหว‘CDwnBindInfo’ในInternetExplorer6-7-8(CVE-2012-4792)ตดตงแพทชโดยดวน.......14

ระวงภยชองโหวในJava7Update10(CVE-2013-0422)............................................................................................................... 16

ระวงภยชองโหวBufferOverflowในFoxitReader5.4.4.1128(npFoxitReaderPlugin.dll)............................... 18

ระวงภยชองโหวDoSและRemotecodeexecutionในโพรโทคอลUniversalPlug-and-Play(UPnP)........ 20

ระวงภยมลแวรในAndroidหลอกขโมยเงนจากธนาคาร................................................................................................................................24

ระวงภยชองโหวในเครองพมพHPผไมหวงดสามารถเขาถงขอมลสำคญได.........................................................................................30

ระวงภยชองโหว0-dayในMongoDBผไมหวงดสามารถสงประมวลผลคำสงอนตรายได................................................. 32

ระวงภยชองโหวในเกมBattlefieldPlay4Freeผไมหวงดสามารถควบคมเครองของเหยอได.............................................34

ระวงภยชองโหวในแอปViberผไมหวงดสามารถผานlockscreen และเขาถงขอมลในมอถอระบบปฏบตการAndroid............................................................................................................................................. 38

ระวงภยมลแวรในAndroidในรปแบบของแอนตไวรสAVGปลอม.........................................................................................................40

ระวงภยเวบไซตสำนกขาวหลายแหงในประเทศไทยถกเจาะฝงโทรจนทหลอกใหดาวนโหลดแอนตไวรสปลอม...................... 46

ระวงภยชองโหวในSamsungGalaxyS3และGalaxyS4เปดใหแอปพลเคชนใดๆสามารถสรางSMSปลอมหรอแอบสงSMSได...............................................................................................................................................................................................................54

ระวงภยFirefoxforAndroidมชองโหวดาวนโหลดแอปพลเคชนอนตรายมาตดตงทนททเขาเวบไซต............................... 58

ระวงภยแอปพลเคชนiMessageChatในGooglePlayStoreอาจขโมยขอมลสำคญ................................................... 60

ระวงภยชองโหวในInternetExplorerทกเวอรชนMicrosoftออกแพทชแกไขแลว ตดตงโดยดวน(CVE-2013-3893).......................................................................................................................................................................... 64

เวบไซตAdobeถกแฮกขอมลผใชและซอรสโคดของโปรแกรมหลดสอนเทอรเนต.............................................................................66

ระวงภยMicrosoftแจงเตอนชองโหว0-DayTIFFCodec ในโปรแกรมMicrosoftOffice(CVE-2013-3906)....................................................................................................................................68

ระวงภยMicrosoftแจงเตอนชองโหว0-DayในWindowsXP/2003โจมตผานAdobeReader.......................70

ระวงภยชองโหวในคำสงsudoผไมหวงดสามารถไดสทธของrootโดยไมตองใสรหสผาน.......................................................74

ระวงภยชองโหว0-dayในInternetExplorer8(CVE-2013-1347)หนวยงานในสหรฐถกโจมตแลว............... 76

ระวงภยชองโหว“MasterKey”ในระบบปฏบตการAndroid............................................................................................................... 78

ระวงภยชองโหวในJoomlaผไมหวงดสามารถอพโหลดไฟลอนตรายใดๆเขามาในระบบได...........................................................88

บทความทวไปการใชPGPดวยCommandline.....................................................................................................................................................................92

มหากาฬแฮกกงกบดจทลไลฟทสญสนของนายแมทโฮนาน.......................................................................................................................104

FacebookCommunityStandardsกบการโพสตบนเฟชบค........................................................................................................110

เปดใช2-StepAuthenticationในGoogleแลวมปญหาใชแอปบนมอถอทำไงด!!.........................................................114

Securedelete:ลบไฟลอยางไรใหปลอดภยจากการกคน......................................................................................................................118

iPhoneiPadiPodตดมลแวรภายใน1นาท..............................................................................................................................................124

BlackhatUSA2013...............................................................................................................................................................................................132

ATMSkimmerและขอควรระวงในการใชงานตATM...............................................................................................................................142

ไทยเซรตพบชองโหวของแอปพลเคชนLINEแฮกเกอรสามารถดกรบขอมลบนเครอขายLAN/WiFi และอานบทสนทนาไดทนทผใชงานควรอพเดตเวอรชนใหม.......................................................................................................................150

เชครปกอนแชร...................................................................................................................................................................................................................162

DigitalForensics101(ตอนท1).....................................................................................................................................................................166

แนวโนมภยคกคามดานความมนคงปลอดภยไซเบอรป2557............................................................................................................172

DigitalForensics101(ตอนท2)...................................................................................................................................................................178

บทความเชงเทคนคNmap .............................................................................................................................................................................................................................188

DDoS:DNSAmplificationAttack............................................................................................................................................................. 196

NmapScriptingEngine...................................................................................................................................................................................206

FulldiskencryptionและColdbootattack..................................................................................................................................214

เสรมความมนคงปลอดภยใหกบซอฟตแวรดวยEMETVersion4..............................................................................................222

GlobalSurveillance:ตอนท1.......................................................................................................................................................................228

นกวจยพบวาแอปบนiOSสามารถถกHijackดกแกไขขอมลระหวางทางได............................................................................232

SecurityInformationManager(1).........................................................................................................................................................236

GlobalSurveillance:ตอนท2.....................................................................................................................................................................240

badBIOSมลแวรทสงขอมลผานคลนเสยงเรองจรงหรอโกหก?....................................................................................................244

CryptoLocker:เรองเกาทถกเอามาเลาใหม....................................................................................................................................................250

การวเคราะหมลแวรเบองตนตอนท1................................................................................................................................................................258

URLObfuscation...................................................................................................................................................................................................264

SecurityInformationManager(2).......................................................................................................................................................270

RiskonLINE...............................................................................................................................................................................................................274

CYBER THREATS 2013 13

บทความประเภท

แจงเตอนและขอแนะนำ

บทความแจงเตอนและขอแนะนำา14

ระวงภยชองโหว

‘CDWNBINDINFO’ในINTERNETEXPLORER6-7-8(CVE-2012-4792)ตดตงแพทชโดยดวนวนทประกาศ : 4มกราคม2556ปรบปรงลาสด : 15มกราคม2556เรอง : ระวงภยชองโหว‘CDwnBindInfo’

ในInternetExplorer6-7-8 (CVE-2012-4792)ตดตงแพทชโดยดวน

ประเภทภยคกคาม : Intrusion,MaliciousCode

ขอมลทวไป

เมอวนท29ธนวาคม2556MicrosoftไดออกประกาศแจงเตอนSecurityAdvisoryหมายเลข2794220[1]เรองชองโหวในโปรแกรมInternetExplorerเวอรชน6,7และ8โดยชองโหวดงกลาวนเกดจากขอผดพลาดUse-after-free(เรยกใชงานขอมลทถกลบออกจากหนวยความจำไปแลว)ชองโหวดงกลาวนมหมายเลขCVE-2012-4792[2]

ผลกระทบ

ในการโจมตผไมหวงดจะสรางเวบไซตทมคำสงอนตรายหรอเจาะระบบเวบไซตของผอนแลวฝงคำสงอนตรายไวเมอผใชเขาใชงานเวบไซตนนดวยโปรแกรมInternetExplorerคำสงอนตราย ดงกลาวจะทำใหเกดความผดพลาดในการเรยกใชงานหนวยความจำและสงผลใหผไมหวงดสามารถสงประมวลผลคำสงอนตรายจากระยะไกล(RemoteCodeExecution)โดยไดสทธในระดบเดยวกนกบบญชผใชทใชงานโปรแกรมInternetExplorer[3]


ระบบทไดรบผลกระทบ

1.ระบบปฏบตการWindowsทตดตงโปรแกรมInternetExplorerเวอรชน6,7และ8

2.MicrosoftแจงวาโปรแกรมInternetExplorerในWindowsServer2003,WindowsServer2008,และWindowsServer2008R2ทตงคาเรมตนใหทำงานในโหมดEnhancedSecurityConfigurationชวยลดผลกระทบจากการโจมตผานชองโหวนได

ขอแนะนำในการปองกนและแกไข

ชองโหวนไมมผลกระทบกบผทใชงานInternetExplorerเวอรชน9และ10ดงนนเพอความปลอดภยควรอพเกรดโปรแกรมInternetExplorerใหเปนเวอรชนดงกลาว

เนองจากผลกระทบทเกดจากการโจมตนทำใหผไมหวงดไดรบสทธเดยวกนกบบญชผใชทใชงานโปรแกรมInternetExplorerดงนนผใชควรใชงานบญชผใชทเปนLimitedUserเนองจากจะไดรบผลกระทบนอยกวาAdministrator

เมอวนท14มกราคม2556MicrosoftไดเผยแพรแพทชMS13-008เพอแกไขชองโหว ดงกลาวแลวโดยไดแนะนำใหผใชงานตดตงแพทชดงกลาวอยางเรงดวนทสดเนองจากชองโหวนถกจดใหมความรนแรงอยในระดบCriticalและพบวาเรมมการโจมตผานชองโหวนอยางแพรหลายแลวโดยสามารถตดตงไดผานทางWindowsUpdateและดาวนโหลดไดจากเวบไซตของMicrosoft[4]

อางอง

1.http://technet.microsoft.com/en-us/security/advisory/2794220

2.http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4792

3.http://blogs.technet.com/b/srd/archive/2012/12/29/new-vulnerability-affecting-internet-explorer-8-users.aspx

4.http://support.microsoft.com/kb/2799329


ระวงภยชองโหวใน

JAVA7UPDATE10(CVE-2013-0422)วนทประกาศ : 11มกราคม2556ปรบปรงลาสด : 15มกราคม2556เรอง : ระวงภยชองโหวในJava7Update10

(CVE-2013-0422)ประเภทภยคกคาม : MaliciousCode


เมอเดอนมกราคมนกวจยดานความมนคงปลอดภยทใชชอวาKafeineไดคนพบมลแวรทโจมตผานชองโหวของโปรแกรมJavaเวอรชน7Update10หรอเกากวาและไดพบวาซอฟตแวรประเภทExploitKitหลายตวเชนMetasploit,RedkitหรอBlackholeไดเพมความสามารถในการโจมตผานชองโหวดงกลาวนเขาไปในโปรแกรมของตนเองแลว[1]ชองโหวดงกลาวนมหมายเลขCVE-2013-0422[2]

บรษทFireEyeแจงวาไดตรวจสอบพบการโจมตผานชองโหวนตงแตเมอวนท2มกราคม2556แลวโดยพบวามการฝงโคดทใชในการโจมตไวในเวบไซตประเภทแชรไฟล[3]ในเบองตนทางFireEyeพบวาชองโหวดงกลาวนถกใชเปนชองทางในการโจมตJava7Update10หรอต�ากวาในJavaเวอรชนWindowsแตคาดวาชองโหวนสามารถใชในการโจมตระบบปฏบตการอนๆไดดวย

US-CERTไดวเคราะหวาชองโหวดงกลาวเกดจากขอผดพลาดในฟงกชนsetSecurityManager()ของระบบSecurityManagerในJavaRuntimeEnvironment(JRE)มผลทำใหแอปพลเคชนสามารถไดรบสทธการทำงานเกนปกต(PrivilegeEscalation)[4]


ชองโหวดงกลาวนสามารถโจมตไดดวยการฝงโคดอนตรายไวในเวบไซตซงหากผใชงานเขาชมเวบไซตดงกลาวอาจถกตดตงมลแวรหรออาจถกสงใหประมวลผลคำสงอนตรายจากระยะไกลได(RemoteCodeExecution)



Java7Update10หรอต�ากวา ในเวอรชนWindows


OracleไดออกJava7Update11เพอแกไขปญหานแลวผใชสามารถดาวนโหลดไดจากเวบไซตของOracle[5]โดยอพเดตเวอรชนดงกลาวนไดปดชองโหว CVE-2012-3174ดวย

อยางไรกตามผเชยวชาญดานความมนคงปลอดภยหลายฝายใหความเหนวาถงแมจะมอพเดตออกมาแลวแตJavaยงคงมความเสยงอยและแนะนำใหปดการทำงานของJavaเมอไมมความจำเปนตองใชงาน[6]โดยตงแตJava7Update10เปนตนไปทางOracleไดเพมคณสมบตการปดการทำงานของJavaในเวบเบราวเซอรแลวซงผใชสามารถศกษาวธการปดการทำงานไดจากเวบไซตของJava[7]

อางอง

1.http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html

2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0422

3.http://blog.fireeye.com/research/2013/01/happy-new-year-from-new-java-zero-day.html

4.http://www.kb.cert.org/vuls/id/625617

5.http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html

6.http://www.reuters.com/article/2013/01/14/us-java-oracle-security-idUSBRE90D10P20130114

7.http://www.java.com/en/download/help/disable_browser.xml



BUFFEROVERFLOWในFOXITREADER5.4.4.1128(NPFOXITREADERPLUGIN.DLL)วนทประกาศ : 22มกราคม2556ปรบปรงลาสด : 22มกราคม2556เรอง : ระวงภยชองโหวBufferOverflowในFoxitReader5.4.4.1128

(npFoxitReaderPlugin.dll)ประเภทภยคกคาม :MaliciousCode


เมอเดอนมกราคมนกวจยดานความมนคงปลอดภยชาวอตาลชอAndreaMicalizziไดคนพบชองโหวของโปรแกรมFoxitReaderซงเปนโปรแกรมทใชสำหรบอานไฟลPDFโดยชองโหวท

พบนอยในไฟลnpFoxitReaderPlugin.dllซงเปนปลกอนสำหรบเปดไฟล.pdfในเวบเบราวเซอรโดยเมอผใชเปดไฟล.pdfจากURLทมความยาวมากๆจะสงผลใหปลกอนดงกลาวเกดอาการBufferOverflow[1] ตวอยางหนาจอการทำงานผดพลาด เปนดงรปท1

รปท1หนาจอของเวบเบราวเซอรเมอปลกอนเกดอาการ

BufferOverflow (ทมา:NakedSecurity[1])



ผไมหวงดสามารถสงประมวลผลคำสงอนตรายบนเครองคอมพวเตอร ของผใชได[2]


FoxitReaderเวอรชน5.4.4.1128หรอเกากวา (ปลกอนnpFoxitReaderPlugin.dllเวอรชน2.2.1.530)[3]


FoxitSoftwareไดเผยแพรโปรแกรมFoxitReaderเวอรชน5.4.5เพอแกไขปญหานแลว[4]ผใชสามารถดาวนโหลดไดจากเวบไซตของFoxitSoftware[5]

อางอง

1.http://nakedsecurity.sophos.com/2013/01/11/vulnerability-in-foxit-pdf-plugin-for-firefox

2.http://secunia.com/advisories/51733/

3.http://threatpost.com/en_us/blogs/vulnerability-foxit-reader-allows-attackers-remotely-execute-code-011013

4.http://www.foxitsoftware.com/support/security_bulletins.php#FRD-18

5.http://www.foxitsoftware.com/downloads/index.php



DOSและREMOTECODEEXECUTIONในโพรโทคอลUNIVERSALPLUG-AND-PLAY(UPNP)วนทประกาศ : 31มกราคม2556ปรบปรงลาสด : 31มกราคม2556เรอง : ระวงภยชองโหวDoSและRemotecodeexecutionในโพรโทคอล

UniversalPlug-and-Play(UPnP)ประเภทภยคกคาม : Denial-of-Service,MaliciousCode


เมอวนท29มกราคม2556นกวจยจากบรษทRapid7ไดคนพบชองโหวของโพรโทคอลUniversalPlug-and-Play(UPnP)ซงเปนโพรโทคอลทใชในระบบเครอขายสำหรบใหอปกรณทอยในระบบสามารถเชอมตอและคนหาเครองอนๆในเครอขายเพอควบคมแชรไฟลสงพมพเอกสารหรอเขาถงทรพยากรอนๆทถกแชรไวได โดยสวนมาก โพรโทคอลUPnPจะเปดใชงาน (Enable) ไวแลวตงแตแรกในอปกรณทสามารถเชอมตอกบระบบเครอขายไดไมวาจะเปนคอมพวเตอรเราทเตอรเครองพมพหรอแมกระทงSmartTVตวอยางการใชงานโพรโทคอลUPnPเชนโปรแกรมประเภทBittorrent

จะใชUPnPในการทำPortForwardจากเราทเตอรเพอใหสามารถแลกเปลยนขอมลกบผใชโปรแกรม Bittorrent อนๆ ได หรอหนาจอ“Add Device” ของระบบปฏบตการ Windows ทจะใช UPnP ในการตรวจสอบหาอปกรณทอยในระบบเครอขาย เชน เครองพมพเพอทจะเขาไปจดการกบอปกรณดงกลาว เชน ตงคาการทำงาน หรอเคลยรรายการเอกสารทสงพมพอยเปนตน[1]



ชองโหวทคนพบนเกดจากขอผดพลาดBufferoverflowในไลบรารlibupnpซงเปนPortableSDKทนำไปใชในอปกรณทรองรบระบบUPnPเชนเราทเตอรสำหรบเชอมตออนเทอรเนตADSLทใชงานตามบานหรอWiFiAccessPointโดยทางRapid7ไดจด ผลกระทบออกเปน3ประเดนดงน

• ชองโหวในUPnPdiscoveryprotocol(SSDP)สงผลใหผไมหวงดสามารถปดระบบการทำงานของUPnPหรอสงประมวลผลคำสงอนตรายได

• ชองโหวในUPnPcontrolinterface(SOAP)เปดเผยขอมลทเกยวของกบระบบ เครอขายภายใน(Internalnetwork)ใหกบบคคลภายนอก

• ชองโหวในUPnPHTTPและSOAPสงผลใหผไมหวงดสามารถปดระบบการทำงานของUPnPหรอสงประมวลผลคำสงอนตรายได

นกวจยจากบรษทRapid7ไดทำการทดลองแลวพบวามอปกรณกวา80ลานเครองทวโลกทตอบรบUPnPdiscoveryrequestทมาจากอนเทอรเนตและจากการตรวจสอบพบวามอปกรณทไดรบผลกระทบจากชองโหวดงกลาวอยมากถง40-50ลานเครองทวโลก[2]โดยมขอมล เพมเตมดงรปท1


หนวยงานCERT.orgไดตดตอผผลตอปกรณเครอขายและระบบปฏบตการคอมพวเตอรเพอขอขอมลระบบทไดรบผลกระทบโดยปจจบน(ณวนทประกาศแจงเตอนน)มผผลตทยนยนแลววาระบบมชองโหวคอ

• CiscoSystems,Inc.

• FujitsuTechnology

• HuaweiTechnologies

• Linksys

• NECCorporation

• Siemens

• SonyCorporation

และผผลตทยนยนแลววาระบบไมไดรบผลกระทบคอUbiquitiNetworks

ในสวนของระบบอนๆทใชงานUPnPยงอยระหวางการประสานงานและตรวจสอบขอมล ผใชงานระบบดงกลาวควรตรวจสอบและตดตามขอมลของชองโหวจากเวบไซตของCERT.orgและเวบไซตของผผลตอยางสม�าเสมอ[3]



ผพฒนาlibupnpไดเผยแพรไลบรารเวอรชน1.6.18ซงแกไขปญหาดงกลาวแลว[4]ระหวางทรอผผลตนำไลบรารดงกลาวไปปรบปรงระบบผใชงานควรปองกนปญหาทอาจจะเกดขนโดยตรวจสอบและปดการทำงานของระบบUPnPในอปกรณตางๆหรอตงคาFirewallโดยไมอนญาตใหมการเขาถงพอรต1900/udpจากโฮสตทนาสงสย

ทางRapid7ไดเผยแพรซอฟตแวรScanNowfor

UPnPซงเปนซอฟตแวรทใชสำหรบการสแกนอปกรณในระบบเครอขายเพอตรวจสอบวามชองโหวUPnPอยหรอไมโดยซอฟตแวรดงกลาวทำงานไดเฉพาะบนระบบปฏบตการWindowsผใชงานสามารถดาวนโหลดไดฟรจากเวบไซตของRapid7[5]ตวอยางหนาจอของโปรแกรมScanNowforUPnPเปนดงรปท2

รปท1ขอมลของระบบทไดรบผลกระทบจากชองโหวUPnP

(ทมา:Rapid7[1])

รปท2ตวอยางหนาจอของโปรแกรมScanNowforUPnP(ทมา:Rapid7[1])


สำหรบผใชระบบปฏบตการMacOSXหรอLinuxทางRapid7แนะนำใหใชโปรแกรมMetasploit[6]และเรยกใชโมดลทชอUPnPSSDPM-SEARCHInformationDiscoveryสำหรบสแกนชองโหวในระบบเครอขาย

สำหรบผใชงานอนเทอรเนตตามบานทางRapid7ไดเปดเวบไซตสำหรบใหบรการสแกน เราทเตอรทใชงานอยเพอตรวจสอบวาอปกรณดงกลาวยอมรบUPnPdiscoveryrequestจากอนเทอรเนตหรอไมโดยสามารถตรวจสอบไดจากเวบไซตhttp://upnp-check.rapid7.com/[7] ตวอยางหนาเวบไซตดงกลาวเปนดงรปท3

อางอง

1. https://community.rapid7.com/community/infosec/blog/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play

2.https://community.rapid7.com/servlet/JiveServlet/download/2150-1-16596/SecurityFlawsUPnP.pdf

3.http://www.kb.cert.org/vuls/id/922681

4.http://pupnp.sourceforge.net/

5.http://www.rapid7.com/resources/free-security-software-downloads/universal-plug-and-play-jan-2013.jsp

6.http://www.rapid7.com/products/metasploit/download.jsp

7.http://upnp-check.rapid7.com/

รปท3ตวอยางหนาจอของโปรแกรมScanNowforUPnP(ทมา:Rapid7[1])


ระวงภยมลแวรใน

ANDROIDหลอกขโมยเงนจากธนาคารวนทประกาศ : 8มนาคม2556ปรบปรงลาสด : 8มนาคม2556เรอง : ระวงภยมลแวรในAndroidหลอกขโมยเงนจากธนาคารประเภทภยคกคาม : MaliciousCode


จากทมการเผยแพรขอมลในงานCDIC2013ทจดขนเมอวนท27-28กมภาพนธ2556เรองมลแวรในระบบปฏบตการAndroidหลอกขโมยเงนจากธนาคาร[1]ทางไทยเซรตไดตรวจสอบเวบไซตทเผยแพรมลแวรและไดทำการวเคราะหมลแวรดงกลาวไดผลสรปดงน

ในการโจมตผไมหวงดไดสงSMSมายงโทรศพทมอถอของเหยอขอความในSMSระบลงกสำหรบดาวนโหลดไฟล.apkซงเปนแอปพลเคชนของระบบปฏบตการAndroidโดยลงกทใหดาวนโหลดไฟลดงกลาวคอ[2] [3]

• http://scb.<สงวนขอมล>.info/scbeasy.apk• FileName:scbeasy.apk• Filesize:235093bytes• MD5:1108B16034254CA989B84A48E8E03D78• SHA1:D504E50CB4560B7E8AF3E9D868975D3A83E8EEB3

• http://kasikorn.<สงวนขอมล>.info/ibanking.apk• FileName:ibanking.apk• Filesize:266157bytes• MD5:06806E271792E7E521B28AD713601F2E• SHA1:76CE639C5FFEA7B25455A219011B28E36A6458E6

รปท1เปรยบเทยบโครงสรางของไฟลibanking.apkและscbeasy.apk

รปท2ขอมลในไฟลAndroidManifest.xml


หากผใชเขาไปยงหนาแรกของเวบไซตทเผยแพรมลแวรโดยไมระบพาธของไฟล.apkจะพบวาหนาเวบไซตดงกลาวRedirectไปยงหนาเวบไซตจรงของธนาคารซงผไมหวงดใชวธนในการหลอกลวงเหยอใหเชอวาเวบไซตดงกลาวนเปนเวบไซตจรงของธนาคาร

ทมไทยเซรตไดตรวจสอบขอมลทอยในไฟล.apkทงสองไฟลพบวามโครงสรางภายในเหมอนกนดงรปท1โดยมสวนทแตกตางคอไฟลกราฟกทอยในไดเรกทอรdrawableจะเปนโลโกของธนาคารทถกผไมหวงดแอบอาง

เมอตรวจสอบขอมลในไฟลAndroidManifest.xmlของทงสองไฟลพบวาใชชอpackageเหมอนกนคอ“com.fake.site”ดงรปท2


ไฟลAndroidManifest.xmlเปนไฟลทใชกำหนดคณสมบตของแอปพลเคชนรวมถงกำหนดสทธ(Permission)ทแอปพลเคชนนนสามารถเขาถงได[4]ซงจากขอมลดงกลาวพบวาทงสองแอปพลเคชนมความสามารถในการเขยนขอมลลงในExternalstorage(เชนSDCard)และรบสงSMSอยางไรกตามทงสองแอปพลเคชนนไมสามารถเชอมตออนเทอรเนตได

เมอตรวจสอบโคดของทงสองแอปพลเคชนพบวามฟงกชนในการสงSMSไปยงหมายเลขโทรศพททอยในประเทศรสเซยดงรปท3

รปท3หมายเลขโทรศพททจะสงSMSไป

และพบStringทเปนรหสUnicodeซงสามารถแปลงกลบไดเปนขอความภาษาไทยวา“รหสผานไมตรงกน”ดงรปท4

รปท4Stringทพบในแอปพลเคชน

เมอทดลองตดตงทงสองแอปพลเคชนลงในโปรแกรมAndroidemulatorพบไอคอนของแอปพลเคชนทชอcertificateดงรปท5

รปท5ไอคอนของแอปพลเคชนทถกตดตง


เมอเปดเขาไปยงแอปพลเคชนดงกลาวจะพบหนาจอใหใสรหสผานสำหรบเขาใชงานบญชธนาคารออนไลนดงรปท6หากใสรหสผานทงสองชองไมตรงกนจะปรากฏขอความวา“รหสผานไมตรงกน”

เมอปอนรหสผานและกดปม“ตอ”จะพบหนาจอดงรปท7

รปท6ตวอยางหนาจอแอปพลเคชนปลอมของธนาคารออนไลน

จากการใชคำสงlogcat[5]เพอบนทกLogของสงทเกดขนในระบบพบวามการสงSMSออกไปยงหมายเลขโทรศพทตามทปรากฏอยในโคดของแอปพลเคชนดงรปท8

รปท7ตวอยางหนาจอหลงกรอกขอมลรหสผาน


รปท8LogแสดงการสงSMS


ผใชทตดตงแอปพลเคชนดงกลาวอาจถกหลอกใหกรอกขอมลทเกยวของกบบญชธนาคารออนไลนแลวถกผไมหวงดขโมยบญชผใชซงอาจนำไปสการขโมยเงนจากธนาคารในภายหลงได


ระบบปฏบตการAndroidทตดตงแอปพลเคชนปลอมของธนาคารออนไลน


จะเหนไดวาการโจมตดงกลาวนเกดจากการทผไมหวงดหลอกใหผใชตดตงแอปพลเคชนหลอกลวงทอางวาสามารถเขาใชงานบญชธนาคารออนไลนไดโดยแหลงทมาของแอปพลเคชนนนไมไดมาจากเวบไซตจรงของธนาคารและเปนการตดตงแอปพลเคชนจากแหลงซอฟตแวรภายนอกทไมใชGooglePlayStore

การปองกนตวไมใหตกเปนเหยอจากการโจมตดวยวธดงกลาวผใชงานควรพจารณาแอปพลเคชนทจะตดตงลงในโทรศพทมอถออยางรอบคอบไมควรตดตงแอปพลเคชนทมแหลงทมาไมนาเชอถอรวมถงตรวจสอบการรองขอสทธ(Permission)ของแอปพลเคชนนนๆวามความเหมาะสมหรอไม

อยางไรกตามปญหามลแวรในระบบปฏบตการAndroidไมใชเรองใหมทางไทยเซรตไดเคยนำเสนอวธการตรวจสอบและปองกนปญหามลแวรรวมถงวธการใชงานโทรศพทมอถอใหปลอดภย ผอานสามารถศกษาเพมเตมไดจากบทความ

• แนวทางการใชงานโทรศพทมอถอใหปลอดภยจากภยคกคาม[6]• รทนและปองกนMalwareในระบบปฏบตการAndroid[7]• รทนและปองกนMalwareในระบบปฏบตการAndroidตอนท2[8]


อางอง

1. http://www.acisonline.net/

2.https://twitter.com/PrinyaACIS/status/307711776873668608

3.https://www.scbeasy.com/v1.4/site/presignon/mtrl/File/SCB%20Easy%20Net_%20Ex.Phishing%20SMS.pdf

4.http://docs.xamarin.com/guides/android/advanced_topics/working_with_androidmanifest.xml

5.http://developer.android.com/tools/help/logcat.html

6.http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html

7.http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html




ในเครองพมพHPผไมหวงดสามารถเขาถงขอมลสำคญไดวนทประกาศ : 13มนาคม2556ปรบปรงลาสด : 13มนาคม2556เรอง : ระวงภยชองโหวในเครองพมพHPผไมหวงดสามารถเขาถงขอมลสำคญไดประเภทภยคกคาม : Intrusion,DenialofService(DoS)


วนท11มนาคม2556หนวยงานCERTและบรษทHPไดประกาศแจงเตอนชองโหวทพบ ในเครองพมพHPLaserJetProfessionalโดยเปนชองโหวในระบบทใชสำหรบเชอมตอเขามาdebugเครองพมพผานโพรโทคอลtelnet[1]ชองโหวดงกลาวนมหมายเลขCVE-2012-5215[2]


ผไมหวงดสามารถเชอมตอเขามายงเครองพมพผานโพรโทคอลtelnetแลวสามารถเหนขอมลสำคญหรออาจทำใหเครองพมพไมสามารถทำงานตอได



•HPLaserJetProP1102wทใชเฟรมแวรเวอรชนเกากวา20130213

•HPLaserJetProP1606dnทใชเฟรมแวรเวอรชนเกากวา20130213

• HPLaserJetProM1212nfMFPทใชเฟรมแวรเวอรชนเกากวา20130211


• HPLaserJetProM1214nfhMFPทใชเฟรมแวรเวอรชนเกากวา20130211

• HPLaserJetProM1216nfhMultifunctionPrinterทใชเฟรมแวรเวอรชนเกากวา20130211

• HPLaserJetProM1217nfwMultifunctionPrinterทใชเฟรมแวรเวอรชนเกากวา20130211

• HPHotSpotLaserJetProM1218nfsMFPทใชเฟรมแวรเวอรชนเกากวา20130211


• HPLaserJetProCP1025nwทใชเฟรมแวรเวอรชนเกากวา20130212


ทางHPไดเผยแพรเฟรมแวรสำหรบแกไขชองโหวในเครองพมพรนทมปญหาแลวผใชงานควรตรวจสอบเวอรชนของเฟรมแวรทใชงานอยหากพบวาเปนเวอรชนทมชองโหวควรทำการตดตงเฟรมแวรรนลาสดจากเวบไซตของHP[3]วธการตรวจสอบเวอรชนของเฟรมแวรอาจมความแตกตางกนในเครองพมพแตละรนซงผใชสามารถศกษาวธการตรวจสอบไดจากคมอการใชงานของเครองพมพรนนนๆ

อางอง

1. http://www.kb.cert.org/vuls/id/782451


3.https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03684249



0-DAYในMONGODBผไมหวงดสามารถสงประมวลผลคำสงอนตรายไดวนทประกาศ : 26มนาคม2556ปรบปรงลาสด : 26มนาคม2556เรอง : ระวงภยชองโหว0-dayในMongoDBผไมหวงดสามารถสงประมวลผล

คำสงอนตรายไดประเภทภยคกคาม : Intrusion


MongoDBเปนโปรแกรมระบบฐานขอมลแบบNoSQLทแจกจายใหใชงานในลกษณะOpen-sourceโดยมผพฒนาคอบรษท10genโปรแกรมMongoDBมการนำไปใช

เปนระบบฐานขอมลในหลายๆบรการเชนMTVNetwork,Foursquareเปนตน[1]

เมอวนท24มนาคม2556นกวจยจากบรษทSCRTไดคนพบชองโหวของMongoDBโดยชองโหวทพบนอยในฟงกชนNativeHelperทใชในการประมวลผลJavascriptฟงกชนดงกลาวนจะรบขอมลJavascriptเขาไปประมวลผลโดยไมมการตรวจสอบทำใหผไมหวงดสามารถสงคำสงอนตรายเขาไปประมวลผลทฝงเซรฟเวอรไดนกวจยไดแจงชองโหวทคนพบน ไปยงบรษท10genแลวแตยงไมมการตอบกลบจากทาง10gen[2]

อยางไรกตามในโปรแกรมMongoDBเวอรชน2.4เปนตนมาไดเปลยนเอนจนทใชในการประมวลผลJavascriptจากSpiderMonkeyมาเปนGoogleV8และไดตดฟงกชนnativeHelperออกไปแลวจงไมไดรบผลกระทบจากชองโหวนแตในMongoDBเวอรชน2.2.4ซงเปนอพเดตลาสดของเวอรชน2.2.xยงไมไดมการแกไขปญหานแตอยางใด[3]

นกวจยแจงวาจะมการเผยแพรโมดลสำหรบใชในการโจมตผานชองโหวดงกลาวนลงในโปรแกรมMetasploitในอกไมนาน



ผไมหวงดสามารถสงคำสงอนตรายเขามาประมวลผลทเครองเซรฟเวอรหรออาจสงคำสงเขามาเพอใหเซรฟเวอรไมสามารถใหบรการตอได


MongoDBเวอรชน2.2.4และต�ากวา ทงเวอรชน32บตและ64บต


สำหรบผทใชงานโปรแกรมMongoDBเวอรชนทไดรบผลกระทบเนองจากยงไมมการชแจงหรอการแกไขจากทางผพฒนาหากเปนไปไดควรอพเกรดโปรแกรมMongoDBใหเปนเวอรชน2.4ซงเปนเวอรชนทไดรบการแกไขปญหาดงกลาวแลวแตหากทำไมไดควรตรวจสอบขอมลจากเวบไซตของผพฒนาอยอยางสม�าเสมอและหากมการเผยแพรซอฟตแวรเวอรชนทแกไขปญหานแลวควรทำการอพเดตโดยเรวทสด

อางอง

1. http://www.mongodb.org/

2.http://blog.scrt.ch/2013/03/24/mongodb-0-day-ssji-to-rce/

3.http://www.h-online.com/security/news/item/MongoDB-Exploit-on-the-net-Metasploit-in-the-making-1829690.html



เกมBATTLEFIELDPLAY4FREEผไมหวงดสามารถควบคมเครองของเหยอไดวนทประกาศ : 26มนาคม2556ปรบปรงลาสด : 26มนาคม2556เรอง : ระวงภยชองโหวในเกมBattlefieldPlay4Freeผไมหวงดสามารถควบคม

เครองของเหยอไดประเภทภยคกคาม : Intrusion


เกมBattlefieldPlay4FreeเปนเกมออนไลนทเปดใหเลนไดฟรโดยมผใหบรการคอบรษทEAปจจบนมผเลนเกมนอยประมาณ1ลานคนทวโลก[1]

เมอวนท22มนาคม2556นกวจยจากบรษทReVulnไดคนพบชองโหวในระบบการทำงานของเกมBattlefieldPlay4FreeซงชองโหวนมผลทำใหผไมหวงดสามารถควบคมเครองของเหยอไดผานการเปดหนาเวบไซตทมโคดอนตรายฝงอยโดยชองโหวดงกลาวนมการเผยแพรในงานBlackHatEurope2013

การทำงานของเกมBattlefieldPlay4Freeประกอบดวย3สวนหลกๆคอ

1. Browserpluginเปนปลกอนทตดตงในเบราวเซอรเพอเรยกใชงานโปรแกรมเกม

2. Gameupdaterเปนระบบทใชสำหรบตรวจสอบการอพเดตเวอรชนของเกมและเปดใหเขาเลนเกมเมอตรวจสอบพบวาเปนเวอรชนลาสดแลว

3. Gameเปนตวโปรแกรมเกมทใชในการเลน

เมอผเลนกดเขาเลนเกมBattlefieldPlay4FreeจากหนาเวบไซตโปรแกรมBrowser


PluginทตดตงอยจะเรยกใชงานโปรแกรมGameupdaterและเรยกใชงานโปรแกรมGameตามลำดบตวอยางหนาจอการเขาเลนเกมเปนดงรปท1

รปท1ตวอยางหนาจอการเขาเลนเกมBattlefield

Play4Free

สาเหตของชองโหวเกดจากการทระบบ

Gameupdater รบคาตวแปรจากภายนอกเขามาประมวลผล

กอนทจะเรยกใชงานโปรแกรมGameโดยไมไดมการตรวจสอบความถกตองของตวแปรทไดรบเขามาสงผลใหผไมหวงดสามารถปลอมแปลงคาของ

ตวแปรดงกลาวใหเปนคำสงอนตรายใดๆกได[2]

ทางบรษทReVulnไดเผยแพรวดโอสาธตการโจมตผานชองโหวดงกลาวโดยไดจำลองหนาเวบไซตทมโคดสำหรบโจมตชองโหวเมอผใชเปดเวบเบราวเซอรทตดตงปลกอนของเกมBattlefieldPlay4FreeเขาไปยงเวบไซตดงกลาวจะมการเรยกใชงานโปรแกรมGameupdaterและประมวลผลคำสงอนตรายทนทซงผลลพธของการโจมตคอสามารถตดตงไฟลทเปดชองทางใหผไมหวงดเขามาควบคมเครองของเหยอได[3]

อยางไรกตามชองโหวดงกลาวนสามารถทำงานไดเฉพาะในWindowsXPและWindowsServer2003เทานนและทางบรษทReVulnยงไมไดเผยแพรตวอยางโคดทใชสำหรบการโจมตผานชองโหวดงกลาวออกสสาธารณะมเพยงการเผยแพรขอมลรายละเอยดของชองโหวและตวอยางวดโอสาธตการโจมตเทานน


ผทตดตงเกมBattlefilePlay4Freeอาจถกผไมหวงดตดตงโปรแกรมเพอใชในการเชอมตอ เขามาควบคมการทำงานของเครองคอมพวเตอร


ผใชงานระบบปฏบตการWindowsXPหรอWindowsServer2003ทตดตงเกมBattlefieldPlay4Free



ยงไมมขอมลรายละเอยดความเสยหายหรอวธการแกไขจากบรษทEAในเรองของชองโหวน ผทตดตงโปรแกรมBattlefiledPlay4FreeอาจจำเปนตองปดการทำงานของปลกอนBattlefieldPlay4Freeในเวบเบราวเซอรและเปดใชงานในกรณทตองการเลนเกมเทานนดงรปท2

รปท2การปดใชงานปลกอนBattlefieldPlay4Free

อางอง

1. http://battlefield.play4free.com/en/forum/showthread.php?tid=115716

2.http://revuln.com/files/ReVuln_Battlefield_play4free.pdf

3.http://vimeo.com/61364094




แอปVIBERผไมหวงดสามารถผานLOCKSCREENและเขาถงขอมลในมอถอระบบปฏบตการANDROIDวนทประกาศ : 30เมษายน2556ปรบปรงลาสด : 30เมษายน2556เรอง : ระวงภยชองโหวในแอปViberผไมหวงดสามารถผานlockscreenและเขาถง

ขอมลในมอถอระบบปฏบตการAndroidประเภทภยคกคาม : Intrusion


เมอวนท23เมษายน2556ViberเปนโปรแกรมแชทบนมอถอทมความสามารถสงขอความหรอโทรศพทฟรคลายกบแอปพลเคชนLINEทไดรบความนยมสงโดยมผใชมากกวา50,000,000คนและสามารถตดตงบนระบบปฏบตการทไดรบความนยมอยางAndroid,iOSและWindowsPhone[1]

บรษทBkavไดคนพบชองโหวในแอปพลเคชนViberรนทใชงานกบระบบปฏบตการAndriodซงชองโหวนมผลทำใหผไมหวงดผานการปองกนlockscreenและสามารถเขาถงขอมลในมอถอบนระบบปฏบตการAndroidโดยมการเผยแพรรายละเอยดของชองโหวผานเวบไซตของบรษทในการเขาถงขอมลมอถอผานชองโหวนผไมหวงดตองสามารถเขาถงเครองมอถอของเหยอทางกายภาพเชนเหยออาจจะลมมอถอไวบนโตะซงระบบปฏบตการบนมอถอนนตองเปนAndroidและมการตดตงแอปพลเคชนViberและผไมหวงดตองรเบอรมอถอของเหยอเพอทจะสงขอความไปยงViberบนเครองของเหยอโดยเครองของเหยอไมจำเปนตองมcontactของผไมหวงดในcontactlistแตอยางใดจากนนผไมหวงดอาศยความผดพลาดของแอปพลเคชนในสวนของการแจงเตอนเมอ ไดรบขอความซงปกตจะมลกษณะดงรปท1ทำใหสามารถผานlockscreenไดโดยอาศยเงอนไขบางประการดงรายละเอยดทระบในเวบไซตของผคนพบชองโหวน[2]



ผไมหวงดสามารถผานlockscreenและเขาถงขอมลบนมอถอระบบปฏบตการAndroidได


ผใชงานมอถอระบบปฏบตการAndroidทตดตงแอปพลเคชนViber


ยงไมมวธการแกไขจากViberในเรองของชองโหวนผทตดตงViberควรเกบมอถอไวกบตวและไมควรใหคนอนยมและทำการอพเดตViberเพอปดชองโหวเมอมการปลอยอพเดตในอนาคต

อางอง

1. http://www.viber.com

2.http://www.bkav.com/top-news/-/view_content/content/46264/critical-flaw-in-viber-allows-full-access-to-android-smartphones-bypassing-lock-screen

รปท1แสดงการแจงเตอน เมอไดรบขอความของViber


ระวงภย

มลแวรในANDROIDในรปแบบของแอนตไวรสAVGปลอมวนทประกาศ :12มถนายน2556ปรบปรงลาสด :17มถนายน2556เรอง :ระวงภยมลแวรใน

AndroidในรปแบบของแอนตไวรสAVGปลอม

ประเภทภยคกคาม :MaliciousCode


เมอเดอนมถนายนไทยเซรตไดรบรายงานมลแวรททำงานบนระบบปฏบตการAndroid เผยแพรอยบนอนเทอรเนตในการโจมตผไมประสงคดจะหลอกผใชงานอนเทอรเนตใหเปดหนาเวบไซตธนาคารปลอมซงในหนาเวบไซตดงกลาวจะมการปรบแตงใหเสมอนวาเปนหนาของเวบไซตจรงทงหมดรวมถงมการแจงเตอนใหผใชงานดาวนโหลดแอปพลเคชนแอนตไวรสทชอวาAVGไดฟรแอปพลเคชนดงกลาวเปนแอปพลเคชนปลอมทผไมประสงคดสรางขนมาเลยนแบบแอปพลเคชนแอนตไวรสของAVGและมวตถประสงคเพอขโมยขอมลSMSบนโทรศพทมอถอของผใชงานทตดตงแอปพลเคชนดงกลาว

• http://avg.<สงวนขอมล>.mobi/avg.apk

• FileName:avg.apk

• Filesize:279,115bytes

• MD5:d232f20d95f97147c36ec246c8a140a6

• SHA1:9b165adf118e957ecc50c063ca5bd0013cb9fe2a

ทมไทยเซรตไดตรวจสอบขอมลตางๆของแอปพลเคชนทอยในไฟล.apkโดยวธการReverseEngineeringพบวามโครงสรางซอรสโคดดงรปท1


ไฟลAndroidManifest.xmlเปนไฟลทใชกำหนดคณสมบตของแอปพลเคชนรวมถงกำหนดสทธ(Permission)ทแอปพลเคชนนนสามารถเขาถงไดซงพบวาแอปพลเคชนดงกลาวมความสามารถในการอานเขยนและสงSMSอยางไรกตามไมพบวาแอปพลเคชนนมสทธในการเชอมตออนเทอรเนตไดดงรปท2

เมอตรวจสอบซอรสโคดของแอปพลเคชนพบวามฟงกชนในการสงSMSไปยงหมายเลขโทรศพททอยในประเทศองกฤษ(+447624803598)ดงรปท3

รปท3แสดงฟงกชนทแสดงใหเหนวามการตงคาและมการสงSMS ไปยงหมายเลข+447624803598

รปท1แสดงโครงสรางของไฟลavg.apk

รปท2ขอมลจากไฟลAndroidManifest.xml


เมอทดลองตดตงแอปพลเคชนลงในโปรแกรมโทรศพทมอถอทใชงานระบบปฏบตการAndroidพบไอคอนของแอปพลเคชนทชอAVGAntiVirusดงรปท4

เมอเปดเขาไปยงแอปพลเคชนดงกลาวจะพบหนาจอเปนรปโลโกแอนตไวรสและมลกษณะเปนชองกรอกขอมลพรอมหมายเลขรายละเอยด“777390927”แตจากการตรวจสอบพบวาเปนเพยงรปโลโกและไมสามารถแกไขขอมลหรอทำอะไรไดเมอทดสอบกดทปมOKพบวาแอปพลเคชนจะปดตวลงโดยอตโนมตรวมถงจากการวเคราะหซอรสโคดรวมกบการทดสอบจรงพบวามการซอนไอคอนของแอปพลเคชนภายหลงจากการรบตหรอปดเครองซงจดประสงคคาดวาตองการอำพรางการทำงานของแอปพลเคชนดงกลาว

จากการตรวจสอบเพมเตมทางไทยเซรตพบความสามารถในการสงการและตอบสนองการสงการจากเครองทเปนC&C(Command&Control)โดยทำผานSMSตวอยางหนาจอการโตตอบกบC&Cเปนดงรปท6ซงสามารถอธบายการทำงานไดดงน

1. เครองทเปนC&CคอเครองiPhone มหมายเลขโทรศพทคอ+66819xxxxxx

2. เครองทตกเปนเหยอคอเครอง Androidมหมายเลขโทรศพทคอ 083xxxxxxx

3. เครองC&CสงSMSไปทเครองเหยอโดย มขอความวา“setadmin +66819xxxxxx”เพอกำหนดใหเครองของ เหยอรบคำสงจากเครองทมหมายเลข โทรศพท+66819xxxxxx

4. เครองของเหยอตอบกลบมาดวยขอความ “yesweare”

รปท4ไอคอนของแอปพลเคชนทถกตดตง

รปท5ตวอยางหนาจอแอปพลเคชนปลอมของแอนตไวรส


5. เครองC&Cสงคำสง“On”ไปเพอบอกวาใหเครองของเหยอสงตอSMSทกอยางทไดรบมาทเครองของC&C

6. หลงจากทเครองของเหยอไดรบคำสงจะสงSMSตอบกลบมาวา“Ohok”

7. หลงจากนนไมวาจะมSMSอะไรสงเขามาทเครองของเหยอSMSนนจะถกสงตอมาทเครองของC&CและหลงจากทสงตอSMSนนมาทเครองของC&CแลวเครองของเหยอจะลบSMSตนฉบบทงเพอไมใหผใชสงเกตเหนความผดปกต

8. จากรปจะพบวาเมอเครองทมหมายเลขโทรศพทคอ+66815xxxxxxสงขอความวา“messagetest1234.”เขามาทเครองของเหยอSMSนนจะถกสงตอมาทเครองC&Cพรอมทงระบหมายเลขโทรศพทของผสง

9. หากเครองC&Cสงคำสงมาวา“off”เครองของเหยอจะหยดการสงSMSมาทเครองของC&Cพรอมกบสงขอความวา“Ehno”


ผใชทตดตงแอปพลเคชนดงกลาวอาจถกขโมยขอมลสำคญจากSMSเชนขอมลรหสOTPสำหรบเขาทำธรกรรมทางอเลกทรอนกสซงอาจถกนำไปใชโดยผไมประสงคดและนำไปสการขโมยเงนจากบญชธนาคารภายหลงได


ระบบปฏบตการAndroidทตดตงแอปพลเคชนแอนตไวรสAVGปลอม


จะเหนไดวาการโจมตดงกลาวนเกดจากการทผไมหวงดหลอกใหผใชตดตงแอปพลเคชนหลอกลวงทอางวาเปนแอนตไวรสเพอใชตรวจสอบมลแวรบนโทรศพทมอถอโดยแหลงทมาของแอปพลเคชนนนไมไดมาจากเวบไซตจรงของเวบไซตผพฒนาและเปนการตดตงแอปพลเคชนจากแหลงซอฟตแวรภายนอกทไมใชGooglePlayStoreและเมอใชงานแอปพลเคชนแอนตไวรสAVGทดาวนโหลดจากGooglePlayStoreมาทดสอบพบวาสามารถตรวจจบการทำงานทเปนอนตราย

รปท6ตวอยางหนาจอการโตตอบกบC&Cของเครองทตดแอนตไวรสปลอม


ของแอปพลเคชนปลอมดงกลาวไดดงรปท7รวมถงเมอนำไฟลมลแวรไปตรวจสอบบนเวบไซตwww.virustotal.com

แลวพบวาเปนมลแวรตระกลชอZitmoซงมความสามารถในการขโมยขอมลSMSเปนหลก

การปองกนตวไมใหตกเปนเหยอจากการโจมตดวยวธดงกลาวผใชงานควรพจารณาแอปพลเคชนทจะตดตงลงในโทรศพทมอถออยางรอบคอบไมควรตดตงแอปพลเคชน

ทมแหลงทมาไมนาเชอถอรวมถงตรวจสอบการรองขอสทธ(Permission)ของ

แอปพลเคชนนนๆวามความเหมาะสมหรอไม

อยางไรกตามปญหามลแวรในระบบปฏบตการAndroidไมใชเรองใหมทางไทยเซรตไดเคยนำเสนอวธการตรวจสอบและปองกนปญหามลแวรรวมถงวธการใชงานโทรศพทมอถอใหปลอดภย

ผอานสามารถศกษาเพมเตมไดจากบทความ

• แนวทางการใชงานโทรศพทมอถอใหปลอดภยจากภยคกคาม[1]

• รทนและปองกนMalwareในระบบปฏบตการAndroid[2]

• รทนและปองกนMalwareในระบบปฏบตการAndroidตอนท2[3]

อางอง

1. http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html

2. http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html


รปท7ตวอยางหนาจอแอปพลเคชนของแอนตไวรสAVGทดาวโหลดจากGooglePlayStoreและสามารถตรวจจบพฤตกรรมอนตรายของแอปพลเคชนปลอมดงกลาวได



ระวงภย

เวบไซตสำนกขาวหลายแหงในประเทศไทยถกเจาะฝงโทรจนทหลอกใหดาวนโหลดแอนตไวรสปลอมวนทประกาศ : 13มถนายน2556ปรบปรงลาสด : 14มถนายน2556เรอง : ระวงภยเวบไซตสำนกขาวหลายแหงในประเทศไทยถกเจาะฝงโทรจนทหลอกให

ดาวนโหลดแอนตไวรสปลอมประเภทภยคกคาม : MaliciousCode


เมอวนท12มถนายน2556ทมไทยเซรตไดพบวาเวบไซตของสำนกขาวหลายแหงในประเทศไทยไดถกเจาะระบบเพอฝงโทรจนทโจมตผานชองโหวของJavaดงรปท1ซงโทรจนนสามารถถกตดตงลงในเครองคอมพวเตอรของผใชไดในทนททเขาเวบไซตดงกลาว(Drive-by-Download)

รปท1ตวอยางโทรจนทพบในเวบไซตสำนกขาวแหงหนง


โทรจนจะตรวจสอบการใชงานเบราวเซอรเมอพบวาผใชลอกอนเขาใชงานเวบไซตของธนาคารออนไลนในประเทศไทยจะแทรกหนาจอสำหรบกรอกขอมลหมายเลขโทรศพทมอถอดงรปท2,3,4และ5ซงหากผใชหลงเชอและกรอกขอมลลงไป จะม SMS พรอมลงกสำหรบดาวนโหลดแอปพลเคชนของAndroidชอAVGAntiVirusMobileProสงมาทโทรศพทมอถอซงแอปพลเคชนดงกลาวนเปนแอนตไวรสปลอมมจดประสงคเพอดกรบขอมลSMSOTPทผใชจะไดรบเมอลอกอนเขาใชงานเวบไซตธนาคารตามรายละเอยดทไทยเซรตเคยแจงเตอนไปกอนหนาน[1]

ผใชจะสงเกตไดยากวาเวบไซตของธนาคารถกเปลยนเนองจากการทำงานของโทรจนจะเขาไปแกไขขอมลทแสดงผลอยในเบราวเซอรไมใชการสรางเวบไซตปลอมทำใหการเชอมตอแบบHTTPSและ

รปท2ตวอยางหนาจอใหดาวนโหลดโปรแกรมAVG

ปลอมทโทรจนแทรกเขาไปในหนาเวบไซตธนาคารกสกรไทย


ปลอมทโทรจนแทรกเขาไปในหนาเวบไซตธนาคารกรงไทย


ปลอมทโทรจนแทรกเขาไปในหนาเวบไซตธนาคารกรงเทพ


ปลอมทโทรจนแทรกเขาไปในหนาเวบไซตธนาคารไทยพาณชย


ขอมลใบรบรองดจทล(DigitalCertificate)ทแสดงอยในเวบไซตเปนใบรบรองฯจรงของธนาคาร

ทางไทยเซรตไดตดตอไปยงผดแลเวบไซตของสำนกพมพทไดรบผลกระทบรวมทงประสานงานกบหนวยงานดานความมนคงปลอดภยในประเทศทเกยวของเพอขอความรวมมอในการแกไขชองโหวและปดเวบไซตทเผยแพรโทรจนแลวอยางไรกตามผทเขาใชงานเวบไซตของสำนกพมพในตอนทถกเจาะระบบอาจถกตดตงโทรจนลงในเครองได


ผใชทเขาเวบไซตของสำนกพมพทถกเจาะระบบเพอฝงมลแวรดงกลาวอาจถกตดตงมลแวรลงในเครองคอมพวเตอรและอาจถกหลอกใหตดตงมลแวรลงในโทรศพทมอถอเพอทผไมหวงดสามารถขโมยเงนจากธนาคารได


• ระบบปฏบตการWindowsทตดตงJava

• InternetExplorer

• โทรศพทมอถอหรอแทบเลตทใชระบบปฏบตการAndroid

• ผทเขาใชงานเวบไซตสำนกขาวในประเทศไทยทถกฝงโทรจนในวนท12-13มถนายน2556(หรออาจรวมถงชวงกอนหนานน)


วธการตรวจสอบ

จากการตรวจสอบของทมไทยเซรตพบวาโทรจนทพบนเปนเวอรชนดดแปลงของโทรจนทชอCritexซงเคยถกใชในการโจมตธนาคารตางประเทศมาแลวเมอตนป2555[2]ซงผทเจาะระบบเวบไซตของสำนกพมพไดดดแปลงใหโทรจนนโจมตธนาคารในประเทศไทยเนองจากโทรจนทพบนเปนเวอรชนดดแปลงจงอาจทำใหโปรแกรมแอนตไวรสจำนวนหนงไมสามารถตรวจจบโทรจนนได

หลงจากทผใชเขาใชงานเวบไซตทมโทรจนฝงอยไฟลของโทรจนจะถกตดตงลงในเครองคอมพวเตอรและมการตงคาระบบใหมการเรยกใชงานไฟลดงกลาวทกครงทเปดเครอง

เนองจากไฟลของโทรจนถกซอนไวในการตรวจสอบเครองคอมพวเตอรวามไฟลของโทรจนอยหรอไมผใชจำเปนตองตงคาระบบใหแสดงผลไฟลและโฟลเดอรทถกซอนโดยสามารถทำไดดงน


• WindowsXP (http://goo.gl/nSMjHq)

• WindowsVista (http://goo.gl/aCZUDe)

• Windows 7 (http://goo.gl/0Pzw0B)

• Windows8 (http://goo.gl/lJ9sgl)

ตวอยางการตงคาWindowsXPและWindows7ใหแสดงผลไฟลและโฟลเดอรทถกซอนเปนดงรปท6และ7

รปท7แสดงวธการตงคาWindows7ใหแสดงผลไฟลและโฟลเดอรทถกซอน

รปท6แสดงวธการตงคาWindowsXPใหแสดงผลไฟลและโฟลเดอรทถกซอน


จากนนใหตรวจสอบวามไฟลตามตวอยางรายชอดานลางอยในเครองหรอไม

• C:\Users\admin\AppData\Local\Temp\fvJcrgR.exe(ชอไฟลสมขนาดไฟล64000bytes)

• C:\Users\admin\AppData\Roaming\KB00695775.exe(ชอไฟลKBตามดวยหมายเลขสม8ตว)

• C:\Users\admin\AppData\Local\Temp\POSDDA1.tmp

• C:\Users\admin\AppData\Local\Temp\POSDDA1.tmp.BAT

หากพบไฟลทมลกษณะคลายคลงกนอาจเปนไปไดวาเครองคอมพวเตอรทใชงานอยได ตดโทรจนแลว

วธการแกไข

การลบไฟลของโทรจนออกจากเครองอาจไมสามารถทำไดดวยวธปกตเนองจากโทรจนกำลงเรยกใชงานไฟลดงกลาวอยวธการลบไฟลอาจทำไดโดยเขาไปลบในSafemodeซงสามารถทำไดโดยการRestartเครองแลวกดปมF8กอนทหนาจอจะปรากฏโลโกของWindows

วธการเขาSafemodeของระบบปฏบตการWindowsเวอรชนตางๆ มดงน

• WindowsXP(http://support.microsoft.com/kb/315222/th)• WindowsVista(http://windows.microsoft.com/th-th/windows/start-

computer-safe-mode#start-computer-safe-mode=windows-vista)• Windows7(http://windows.microsoft.com/th-th/windows/start-

computer-safe-mode#start-computer-safe-mode=windows-7)• Windows8(http://windows.microsoft.com/th-th/windows-8/windows-

startup-settings-including-safe-mode)สำหรบผทมประสบการณสามารถตรวจสอบและลบRegistryทถกมลแวรเขาไปเปลยนแปลง

ไดตามรายการดานลางน

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”KB00582800.exe”=“C:\DocumentsandSettings\admin\ApplicationData\KB00582800.exe”

หมายเหต:ชอ“KB00582800.exe”เปนชอไฟลทมลแวรสรางซงอาจมการเปลยนแปลงไดตามแตละเครอง

อยางไรกตามในขณะทดำเนนการตรวจสอบโทรจนทางไทยเซรตพบวาโปรแกรมแอนตไวรสโดยสวนใหญไมสามารถตรวจสอบและกำจดโทรจนนไดขณะนทางไทยเซรตอยระหวางการประสานงานไป


ยงผผลตซอฟตแวรแอนตไวรสเพอขอใหชวยอพเดตฐานขอมลเพอใชในการกำจดโทรจนทพบนตอไป

วธการปองกน

1.จากการตรวจสอบพบวาหากเครองคอมพวเตอรทตดตงJava6เปดเขาใชงานเวบไซตทมโทรจนฝงอยโทรจนดงกลาวจะถกดาวนโหลดและถกเรยกใชงานทเครองของผใชโดยทนท

แตจากการตรวจสอบบนระบบทตดตงJava7Update21ซงเปนเวอรชนลาสดพบวาจะมหนาจอแจงเตอนการใชงานJavaAppletทอาจไมปลอดภยดงรปท8หากผใชงานคลกปมCancelโทรจนดงกลาวจะไมถกเรยกใชงาน

รปท8ตวอยางหนาจอการแจงเตอนเมอเปดเวบไซตดวยJava7Update21

ผใชสามารถอพเดตJavaใหเปนเวอรชนลาสดโดยดาวนโหลดไดทhttp://www.java.com/en/download/


2.ผใชควรสงเกตการแจงเตอนของเวบเบราวเซอรในกรณทไดรบการแจงเตอนวาเวบไซตนนไมปลอดภยดงรปท9และ10ไมควรเขาใชงานเวบไซตนน

รปท9ตวอยางการแจงเตอนของGoogleChrome

รปท10ตวอยางการแจงเตอนของMozillaFirefox


3.หากเครองของผใชไมมความจำเปนตองใชงานJavaควรพจารณาถอนการตดตงJavaออกหรอปดการทำงานของJavaในเวบเบราวเซอร[3]เปนอยางนอย

4.อพเดตฐานขอมลของโปรแกรมแอนตไวรสอยางสม�าเสมอเพอชวยใหสามารถตรวจจบและ ปองกนมลแวรใหมๆได

อางอง

1. https://www.thaicert.or.th/alerts/user/2013/al2013us007.html

2.http://labs.m86security.com/2012/03/the-cridex-trojan-targets-137-financial-organizations-in-one-go/

3.https://www.thaicert.or.th/papers/general/2012/pa2012ge015.html



SAMSUNGGALAXYS3และGALAXYS4เปดใหแอปพลเคชนใดๆสามารถสรางSMSปลอมหรอแอบสงSMSไดวนทประกาศ : 17กรกฎาคม2556ปรบปรงลาสด : 17กรกฎาคม2556เรอง : ระวงภยชองโหวในSamsungGalaxyS3และGalaxyS4เปดให

แอปพลเคชนใดๆสามารถสรางSMSปลอมหรอแอบสงSMSไดประเภทภยคกคาม : Intrusion


เมอวนท6กรกฎาคมนกวจยจากบรษทQIHUไดแจงเตอนเรองชองโหวในแอปพลเคชนทถกตดตงมาพรอมกบโทรศพทมอถอSamsungGalaxyS3และSamsungGalaxyS4ซงผไมหวงดสามารถใชชองโหวดงกลาวแอบสงSMSได[1]

โทรศพทมอถอSamsungGalaxyS3และGalaxyS4มแอปพลเคชนทตดตงมาจากโรงงานชอSamsungBackupProvider(ไฟลsCloudBackupProvider.apk)ซงใชสำหรบBackupและRestoreขอมลจากบรการSCloudของSamsung

นกวจยพบวาแอปพลเคชนดงกลาวมชองโหวทเปดใหแอปพลเคชนอนเรยกใชฟงกชนRestoreเพอเขยนขอมลลงในไฟลฐานขอมลSMS(ไฟลmmssms.db)โดยสามารถสรางSMSหรอCalllogปลอมในเครองไดชองโหวดงกลาวนมหมายเลขCVE-2013-4763[2]

นอกจากนยงมอกหนงชองโหวในแอปพลเคชนเดยวกนนทเปดใหแอปพลเคชนอนสามารถสงSMSหรอMMSออกโดยชองโหวดงกลาวนมหมายเลขCVE-2013-4764[3]



แอปพลเคชนใดๆกตามทถงแมจะไมไดรบสทธSEND_SMSหรอWRITE_SMSสามารถใชชองโหวนในการสรางSMSMMSหรอCalllogปลอมในเครองหรอสงSMSและMMSออกได


SamsungGalaxyS3(build#:IMM76D.I9300UBALF5):

• PackageName:com.sec.android.sCloudBackupProvider• VersionCode:1• VersionName:1.0

SamsungGalaxyS4(build#:JDQ39.I9505XXUAMDEและJDQ39.I9500ZCUAMDH):

• PackageName:com.sec.android.sCloudBackupProvider• VersionCode:14• VersionName:1.4หมายเหต:ขอมลBuildnumberของโทรศพทสามารถตรวจสอบไดจากSettingsโดย

ตรวจสอบทAboutphone


บรษทQIHUไดแจงชองโหวนไปยงบรษทSamsungแลวซงทางSamsungยอมรบวามปญหานอยจรงและจะออกอพเดตเพอแกไขชองโหวนโดยเรว

ระหวางทรอการอพเดตผทใชโทรศพทมอถอSamsungGalaxyS3และGalaxyS4สามารถปดการทำงานของแอปพลเคชนSamsungBackupProviderเปนการชวคราวไดเพอลดผลกระทบจากชองโหวนซงสามารถทำไดโดยการ

1. เขาไปทSettingsเลอกApplicationManager

2. เลอนไปทางขวามอสดจนถงแทบALL

3. กดเขาไปทแอปพลเคชนชอSamsungBackupProviderดงรปท1


รปท1ไอคอนของแอปพลเคชนSamsungBackupProvider


กดปมDisableจะปรากฏหนาจอถามเพอยนยนดงรปท2ใหกดปมOK

หมายเหต:การปดการทำงานของแอปพลเคชนSamsungBackupProviderจะทำใหไมสามารถใชงานฟงกชนBackupหรอRestoreขอมลจากSCloudไดและอาจมผลกบแอปพลเคชนอนๆทใชบรการSCloud

อางอง

1. http://seclists.org/bugtraq/2013/Jul/107

2.http://shouji.360.cn/securityReportlist/CVE-2013-4763.html

3.http://shouji.360.cn/securityReportlist/CVE-2013-4764.html

รปท2การยนยนการ Disableแอปพลเคชน SamsungBackupProvider


ระวงภย

FIREFOXFORANDROIDมชองโหวดาวนโหลดแอปพลเคชนอนตรายมาตดตงทนททเขาเวบไซตวนทประกาศ : 12กนยายน2556ปรบปรงลาสด: 12กนยายน2556เรอง : ระวงภยFirefoxforAndroidม

ชองโหวดาวนโหลดแอปพลเคชนอนตรายมาตดตงทนททเขาเวบไซต

ประเภทภยคกคาม : Intrusion



FirefoxforAndroidมชองโหวดาวนโหลดไฟล.apkมาตดตงโดยอตโนมตในทนททผใชงานเขาเยยมชมเวบไซตทมโคดอนตรายฝงอยชองโหวดงกลาวนมการเปดเผยเปนครงแรกเมอวนท9กนยายน2556โดยมจดประสงคเพอตองการขายขอมลชองโหวและปจจบนยงไมพบวามการเผยแพรขอมลวธการโจมตผานชองโหวนออกสสาธารณะ[1]

ตวอยางวธการโจมตสามารถดไดจากวดโอhttp://www.youtube.com/watch?v=rHPFGyUFtrI#t=393


เมอผใชงานเขาถงเวบไซตทมโคดอนตรายฝงอยโดยใชFirefoxforAndroidตวโปรแกรมจะดาวนโหลดไฟล.apkมาลงในเครองแลวเรยกแสดงหนาจอการตดตงแอปพลเคชนดงกลาวซงหากผใชหลงเชอแลวกดปมตดตงกอาจกอใหเกดอนตรายกบขอมลทอยในเครองได

อยางไรกตามการทจะตกเปนเหยอจากการโจมตโดยวธนไดผใชจำเปนตองเปดใชงานการตดตงแอปพลเคชนจากแหลงทมาทไมรจก(Installapkfromunknownsources)และเปนผกดยอมรบการตดตงไฟล.apkดงกลาวเอง[2]


FirefoxforAndroidเวอรชน23,24และ26(Nightly)


เนองจากปจจบนยงไมมขอมลชองโหวนเผยแพรออกสสาธารณะและทางMozillaผพฒนาFirefoxforAndroidยงไมมแถลงการณเกยวกบชองโหวดงกลาวผใชงานFirefoxforAndroidควรเปลยนไปใชเวบเบราวเซอรอนเปนการชวคราวจนกวาจะมอพเดตออกมาแกไขชองโหวนหรอหากจำเปนตองใชFirefoxforAndroidไมควรตดตงแอปพลเคชนทไมไดดาวนโหลดมาจากแหลงทมาทนาเชอถอเชนGooglePlayStore

อางอง

1. http://1337day.com/exploits/21214

2.http://www.androidpolice.com/2013/09/11/security-firefox-for-android-can-be-tricked-into-automatically-downloading-and-executing-malicious-code/


ระวงภย

แอปพลเคชนIMESSAGECHATในGOOGLEPLAYSTOREอาจขโมยขอมลสำคญวนทประกาศ : 24กนยายน2556ปรบปรงลาสด : 25กนยายน2556เรอง : ระวงภยแอปพลเคชนiMessageChatในGooglePlayStore

อาจขโมยขอมลสำคญประเภทภยคกคาม : MaliciousSoftware

ขอมลทวไปiMessageคอระบบทAppleพฒนาขนมาเพอใชในการสงขอความระหวางอปกรณทใชงาน

ระบบปฏบตการiOSหรอOSXโดยเรมมในiOS5.0และOSX10.8แตยงไมเปดใหใชงาน ในระบบปฏบตการอน[1]


ผใชงานระบบปฏบตการAndroidหลายคนรายงานวามแอปพลเคชนชอiMessageChatปรากฏในGooglePlayStoreโดยอางวาสามารถใชคยiMessageกบคนทใชระบบปฏบตการiOSหรอOSXไดแอปพลเคชนดงกลาวสามารถดาวนโหลดไดฟรและมคนดาวนโหลดไปแลวกวา50,000ครง[2]

เมอเดอนกนยายนไทยเซรตไดตรวจสอบแอปพลเคชนดงกลาวแลวพบวาไมไดถกพฒนาขนโดยAppleจงไดทดลองตดตงแอปพลเคชนดงกลาวลงในเครองGalaxyNexusทใชAndroid4.3แลวทดลองสงขอความไปยงเครองiPadทใชiOS7.0ผลการทดสอบพบวาทง2เครองสามารถสงขอความสนทนากนไดจรงดงแสดงในรปท2และ3

รปท1การสนทนาผานแอปพลเคชนiMessageChat จากเครองGalaxyNexus

รปท2การสนทนาผานแอปพลเคชนMessage

จากเครองiPad


อยางไรกตามจากการตรวจสอบเพมเตมทางไทยเซรตไดพบวาแอปพลเคชนดงกลาวนมการสงขอมลไปทหมายเลขไอพ222.77.191.206ซงอยในประเทศจน(สอดคลองกบผลการวเคราะหจากsaurikผพฒนาซอฟตแวรCydiaในiOS[3])ขณะนยงไมทราบจดประสงคแนชดของการเชอมตอไปทไอพดงกลาวแตจากขอมลจากการตรวจสอบดวยบรการWhoisกบไอพแอดเดรสหมายเลขดงกลาวไมพบขอมลทอางวาเปนเซรฟเวอรของAppleแตอยางใด

รปท3ขอมลแสดงการตรวจสอบรายชอผใหบรการหมายเลขไอพ กบบรการWhois

แอปพลเคชนดงกลาวนรองขอPermissionทนาสงสยดงน:

• ตรวจสอบสถานะและเชอมตอกบระบบเครอขาย

• ตรวจสอบสถานะการใชงานโทรศพท

• แกไขหรอลบขอมลทอยในSDCard

• ตดตงShortcutเพมเตมในระบบ

• เขาถงขอมลในสวนทถกสงวนสทธ(protectedstorage)

• เปดใชงานกลองถายภาพบนทกเสยง

• อานขอมลรายชอผตดตอและขอมลบนทกการโทรลาสด


การขอPermissionซงอนญาตใหแอปพลเคชนเขาถงขอมลเหลานอาจทำใหถกขโมยขอมลสวนตวได

ขณะนทางทมไทยเซรตอยระหวางการตรวจวเคราะหการทำงานเชงเทคนคของแอปพลเคชน ดงกลาวซงหากมความคบหนาอยางไรจะนำมาแจงใหทราบตอไป


ผทตดตงหรอใชงานแอปพลเคชนiMessageChatอาจถกขโมยAppleIDหรออาจถกดกขอมลการสนทนาในiMessageนอกจากนยงอาจถกขโมยขอมลสำคญเชนรายชอผตดตอภาพถายวดโอคลปไฟลทอยในSDCardหรอขอมลสำคญอนๆทอยในเครองได


ผใชทตดตงแอปพลเคชนiMessageChat


ถงแมแอปพลเคชนดงกลาวนจะสามารถสงขอความผานระบบiMessageระหวางเครองทใชงานระบบปฏบตการAndroidและiOS/OSXไดจรงแตยงมขอสงสยในเรองความเสยงในการถกดกรบขอมลเนองจากในการทำงานไมไดสงขอมลไปยงเซรฟเวอรของAppleโดยตรงแตขอมลจะถกสงผานเซรฟเวอรของผพฒนาแอปพลเคชนอกทหนงและอาจมความเสยงทจะถกขโมยขอมลสำคญเชนAppleIDหรอขอมลอนๆทอยในเครองเนองจากแอปพลเคชนดงกลาวนมการขอPermissionทอาจนำไปสการทำงานดงกลาวได

การตดตงแอปพลเคชนในระบบปฏบตการAndroidผใชควรตระหนกในเรองของความปลอดภยไมควรตดตงแอปพลเคชนทไมไดมาจากผพฒนาทเชอถอไดซงอาจกอใหเกดความเสยหาย ตอเครองหรอขอมลสำคญทอยในเครองได

อพเดตขอมลลาสด(25กนยายน2556)

GooglePlayStoreไดถอนแอปพลเคชนiMessageChatออกจากการใหบรการดาวนโหลดแลว

อางอง

1. http://www.apple.com/ios/messages/

2.https://play.google.com/store/apps/details?id=com.huluwa.imessage

3.https://plus.google.com/u/0/116098411511850876544/posts/UkgaXa1oa6M



ในINTERNETEXPLORERทกเวอรชนMICROSOFTออกแพทชแกไขแลวตดตงโดยดวน(CVE-2013-3893)วนทประกาศ : 18กนยายน2556ปรบปรงลาสด : 9ตลาคม2556เรอง : ระวงภยชองโหวในInternetExplorerทกเวอรชนMicrosoftออกแพทช

แกไขแลวตดตงโดยดวน (CVE-2013-3893)

ประเภทภยคกคาม : Intrusion


เมอวนท17กนยายน2556Microsoftประกาศแจงเตอนเรองความมนคงปลอดภย(MicrosoftSecurityAdvisory)หมายเลขรหส2887505เรองชองโหวในInternetExplorerทกเวอรชน[1]โดยMicrosoftแจงวาพบเวบไซตทมการโจมตชองโหวนในInternetExplorerเวอรชน8และ9แลว

สาเหตของชองโหวดงกลาวเกดจากขอผดพลาดในการจดการหนวยความจำของโปรแกรมInternetExplorerทำใหผไมหวงดสามารถสงใหประมวลผลคำสงอนตรายใดๆกได(RemoteCodeExecution)ชองโหวนไดขนทะเบยนฐานขอมลชองโหวสากลหมายเลขCVE-2013-3893


ผทเขาชมเวบไซตทมโคดอนตรายสำหรบโจมตผานชองโหวดงกลาวอาจถกผไมหวงดสงใหโปรแกรมInternetExplorerประมวลผลคำสงอนตรายใดๆกไดเชนสงใหดาวนโหลดมลแวรมาตดตงในเครองคอมพวเตอรของผใชงานเปนตน



MicrosoftInternetExplorerเวอรชน6-11


เมอวนท8ตลาคม2556Microsoftไดออกแพทชหมายเลข2879017เพอแกไขปญหาชองโหวนแลวผใชสามารถดาวนโหลดไดจากเวบไซตของMicrosoft[2]หรอตดตงไดจากระบบWindowsUpdate

หากไมสามารถตดตงแพทชไดอาจใชเครองมอFixitชอMSHTMLShimWorkaroundเพอใชลดผลกระทบจากปญหาดงกลาวโดยสามารถดาวนโหลดไดจากเวบไซตของMicrosoft[3] อยางไรกตามวธนไมใชการแกปญหาโดยถาวรและอาจจะมผลกระทบขางเคยงทอาจเกดขนไดผใชควรตดตงแพทชหมายเลข2879017เพอเปนการแกไขทสาเหตของปญหาโดยตรง

สำหรบผลกระทบจากชองโหวนMicrosoftแจงวาผไมหวงดสามารถสงการใหประมวลผล คำสงอนตรายไดภายใตสทธของผใชทเปดใชงานโปรแกรมInternetExplorerในขณะนนดงนนการใชงานUseraccountทไมใชAdministratorจะสงผลเสยหายตอระบบนอยกวา

หากไมสามารถตดตงแพทชหรอFixitไดผใชอาจเลยงไปใชงานเบราวเซอรอนเปนการชวคราวเพอปองกนปญหาการถกโจมตจากชองโหวน

อางอง

1. https://technet.microsoft.com/en-us/security/advisory/2887505

2.https://technet.microsoft.com/en-us/security/bulletin/ms13-080

3.http://support.microsoft.com/kb/2879017


เวบไซตADOBEถกแฮกขอมลผใชและซอรสโคดของโปรแกรมหลดสอนเทอรเนต

วนทประกาศ : 30ตลาคม2556ปรบปรงลาสด : 30ตลาคม2556เรอง : เวบไซตAdobeถกแฮกขอมลผใชและซอรสโคดของโปรแกรมหลดส

อนเทอรเนตประเภทภยคกคาม : Intrusion


เมอวนท3ตลาคมทผานมาเซรฟเวอรของบรษทAdobeผผลตโปรแกรมดานกราฟกอยางPhotoshop,Acrobatไดถกผไมหวงดเจาะระบบเพอขโมยขอมลลกคาและซอรสโคดของโปรแกรม

รปท1ตวอยางเวบไซตทเผยแพรขอมลทหลดจากAdobe(ทมา:

KrebsOnSecurity[2])


โดยขอมลลกคาทถกขโมยไปประกอบไปดวยชอผใชรหสผานทถกเขารหสลบขอมลไวหมายเลขบตรเครดตทถกเขารหสลบขอมลไวและขอมลอนๆทเกยวของกบการซอสนคาในเบองตนAdobe คาดวามลกคาไดรบผลกระทบประมาณ2.9ลานราย[1]

ในวนท29ตลาคม2556มรายงานวาขอมลลกคากวา38ลานรายและซอรสโคดของโปรแกรมอยางPhotoshop,AcrobatถกเผยแพรอยในเวบไซตBittorrent[3]ตวอยางเวบไซต ทเผยแพรขอมลดงกลาวเปนดงรปท1


• ลกคาของAdobeทมรายชออยในบญชทถกขโมยขอมลอาจถกผไมหวงดเขาถงขอมลสำคญได

• ผทใชงานโปรแกรมของAdobeทถกขโมยซอรสโคดอาจถกโจมตจากชองโหว0-dayได

ผทไดรบผลกระทบ

• ลกคาของบรษทAdobeทมรายชออยในบญชทถกขโมยขอมล

• ผทใชงานโปรแกรมของAdobeทถกขโมยซอรสโคด


ทางบรษทAdobeไดทำการรเซตรหสผานของลกคาทไดรบผลกระทบและไดแจงใหลกคาเปลยนรหสผานและขอมลอนๆทเกยวของแลวเพอปองกนไมใหผไมหวงดนำขอมลเหลานไปใชงานได

สำหรบผทใชงานโปรแกรมของAdobeควรตดตามขาวสารและหมนอพเดตโปรแกรมทใชงานใหเปนเวอรชนลาสดอยเสมอเพอปองกนการโจมตผานชองโหว0-day

อางอง

1. http://www.theregister.co.uk/2013/10/03/adobe_major_hack/

2.http://krebsonsecurity.com/2013/10/adobe-breach-impacted-at-least-38-million-users/

3.http://www.theregister.co.uk/2013/10/30/adobe_data_breach_millions_of_accounts/


ระวงภย

MICROSOFTแจงเตอนชองโหว0-DAYTIFFCODECในโปรแกรมMICROSOFTOFFICE(CVE-2013-3906)วนทประกาศ : 6พฤศจกายน2556ปรบปรงลาสด : 6พฤศจกายน2556เรอง : ระวงภยMicrosoftแจงเตอนชองโหว0-DayTIFFCodec

ในโปรแกรมMicrosoftOffice(CVE-2013-3906)ประเภทภยคกคาม : Intrusion


เมอวนท5พฤศจกายน2556Microsoftแจงเตอนชองโหวเรองความมนคงปลอดภย(SecurityAdvisory)หมายเลข2896666เรองขอผดพลาดในการประมวลผลไฟลTIFFในโปรแกรมMicrosoftOfficeสงผลใหผไมหวงดสามารถตดตงโปรแกรมไมพงประสงคลงในเครองของผใชไดชองโหวนมหมายเลขCVE-2013-3906โดยMicrosoftแจงวาพบการโจมตดวย ชองโหวนแลวในประเทศแถบในตะวนออกกลางและเอเชยใต[1]

วธการโจมตผานชองโหวนผไมหวงดจะสงอเมลทมเอกสารแนบเปนไฟลMicrosoftWordทภายในเอกสารมการฝงไฟลTIFFทมโคดโจมตผานชองโหวนเอาไวเมอผใชกดPreviewหรอเปดเอกสารนนขนมาดกจะถกตดตงโปรแกรมไมพงประสงคลงในเครอง


ผใชทเปดไฟลเอกสารMicrosoftOfficeทมโคดอนตรายฝงอยจะถกตดตงโปรแกรมไมพงประสงคลงในเครองซงอาจทำลายขอมลในเครองหรอเปดโอกาสใหผไมหวงดเชอมตอเขามาควบคมเครองจากระยะไกลได



• MicrosoftOffice2003• MicrosoftOffice2007• MicrosoftOffice2010(มผลเฉพาะบนWindowsXPและWindowsServer2003)สำหรบMicrosoftOffice2013ไมไดรบผลกระทบจากชองโหวนและชองโหวดงกลาวนไมม

ผลกบWindowsVista,7,8,8.1[2]


ปจจบนยงอยระหวางการตรวจสอบและวเคราะหสาเหตโดยในเบองตนMicrosoftไดแนะนำใหผใชตดตงโปรแกรมFix-itเพอปดการแสดงผลไฟลTIFFเปนการชวคราว[3]อยางไรกตามFix-itนเปนเพยงวธการแกไขปญหาเฉพาะหนาเทานนผใชควรตดตามขาวสารอยางสม�าเสมอและรบตดตงแพทชจากMicrosoftทนททสามารถทำไดอยางไรกตามการตดตงFix-itนอาจกอใหเกดปญหากบบางโปรแกรมทมการเรยกใชงานไฟลTIFF

หากไมสามารถตดตงFix-itไดMicrosoftไดแนะนำใหตดตงโปรแกรมEMETเพอชวยลดผลกระทบทเกดจากชองโหวนดงรปท1

รปท1ตวอยางการแจงเตอนของโปรแกรมEMETเมอพบการโจมตผานชองโหวของMicrosoftWord

นอกจากนMicrosoftไดแนะนำใหผทยงใชงานWindowsXPอยควรอพเกรดเปนWindowsเวอรชนใหมกอนวนท8เมษายน2557เพราะจะหมดระยะเวลาการสนบสนนผลตภณฑแลวและจะไมมการอพเดตแกไขชองโหวความมนคงปลอดภยอกตอไป

อางอง

1. http://blogs.technet.com/b/srd/archive/2013/11/05/cve-2013-3906-a-graphics-vulnerability-exploited-through-word-documents.aspx?Redirected=true

2.http://blogs.technet.com/b/msrc/archive/2013/11/05/microsoft-releases-security-advisory-2896666-v2.aspx?Redirected=true

3.https://support.microsoft.com/kb/2896666


ระวงภย

MICROSOFTแจงเตอนชองโหว0-DAYในWINDOWSXP/2003โจมตผานADOBEREADERวนทประกาศ : 3ธนวาคม2556ปรบปรงลาสด : 18ธนวาคม2556เรอง : ระวงภยMicrosoftแจงเตอนชองโหว0-DayในWindowsXP/2003

โจมตผานAdobeReaderประเภทภยคกคาม : Intrusion


เมอวนท27พฤศจกายน2556บรษทFireEyeไดประกาศชองโหวในระบบปฏบตการWindowsXPทสงผลใหUserระดบใดๆกตามสามารถสงประมวลผลคำสงอนตรายไดภายใตสทธKernelของระบบปจจบนพบการโจมตผานชองโหวนแลว[1]

ถงแมวาการโจมตผานชองโหวนจะไมสามารถทาไดจากระยะไกล(Remotecodeexecution)แตผไมหวงดสามารถโจมตผานชองโหวของซอฟตแวรอนๆทเรยกใชงานฟงกชนทเกยวของกบชองโหวนไดซงโปรแกรมทวานนกไดรบการยนยนวาเปนโปรแกรมAdobeReaderโดยในการโจมตผไมหวงดจะหลอกใหผใชเปดไฟลPDFทมโคดสาหรบโจมตผานชองโหวนอย

ทางMicrosoftไดออกแจงเตอนSecurityAdvisoryหมายเลข2914486เพอเพมเตมขอมลของชองโหวนแลวโดยแจงวาระบบทไดรบผลกระทบคอWindowsXPและWindows2003ปจจบนกำลงอยระหวางการตรวจสอบเพอหาวธแกไขชองโหวนไดรบหมายเลขCVE-

2013-5065[2]ลาสดทมพฒนาโปรแกรมMetasploitซงเปนโปรแกรมทใชทดสอบชองโหวของระบบไดพฒนาโมดลสำหรบโจมตผานชองโหวนออกมาแลว[3]



ชองโหวนเปนการสงประมวลผลคำสงใดๆกไดภายใตสทธระดบเดยวกบKernelของระบบ ผไมหวงดสามารถสงตดตงโปรแกรมเรยกดแกไขหรอลบขอมลในเครองหรออาจสรางUseraccountใหมขนมาใหมสทธเปนAdministratorของระบบได


• WindowsXPServicePack3

• WindowsXPProfessionalx64EditionServicePack2

• WindowsServer2003ServicePack2

• WindowsServer2003x64EditionServicePack2

• WindowsServer2003withSP2forItanium-basedSystems

• AdobeReader9.5.4,10.1.6,11.0.02หรอเกากวา


เนองจากวธการโจมตผานชองโหวนในปจจบนยงพบแคการโจมตผานโปรแกรมAdobeReaderเวอรชนเกาดงนนวธการลดผลกระทบจากปญหาดงกลาวจงสามารถทำไดโดยการอพเดตโปรแกรมAdobeReaderใหเปนเวอรชนลาสด[4]

สาเหตของชองโหวเกดจากไฟลNDProxy.sysซงเปนไดรเวอรของระบบทเกยวของกบการตดตอสอสารผานทางโทรศพท[5]มความผดพลาดในการประมวลผลขอมลทรบเขามาเนองจากชองโหวดงกลาวนยงอยระหวางการตรวจสอบและยงไมมวธการแกไขทางMicrosoftไดแนะนำวธลดผลกระทบจากปญหานชวคราวโดยการปดการทำงานของระบบNDProxy

วธปดการทางานของระบบNDProxy

1. รนโปรแกรมCommandPromptภายใตสทธของAdministrator

2. พมพคำสงscstopndproxyregaddHKLM\System\CurrentControlSet\Services\ndproxy/vImagePath/tREG_EXPAND_SZ/dsystem32\drivers\null.sys/f

3.รสตารทเครอง

หมายเหต:การปดการทำงานของระบบNDProxyอาจสงผลใหระบบอนๆทเกยวของไมสามารถใชงานไดเชนRemoteAccessService(RAS),Dial-upnetworking,VirtualPrivateNetworking(VPN)ในกรณทพบปญหาขางตนสามารถเปดการทำงานของระบบNDProxyกลบคนไดโดยใชวธการดงน


วธเปดการทางานของระบบNDProxy

1.รนโปรแกรมCommandPromptภายใตสทธของAdministrator

2.พมพคำสงscstopndproxyregaddHKLM\System\CurrentControlSet\Services\ndproxy/vImagePath/tREG_EXPAND_SZ/dsystem32\drivers\ndproxy.sys/f

3.รสตารทเครอง

เนองจากWindowsXPจะหมดระยะเวลาการสนบสนนดานความมนคงปลอดภยในเดอนเมษายน2557ดงนนจงควรอพเกรดไปใชงานระบบปฏบตการรนทใหมกวาเพอความปลอดภย

อางอง

1. http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/ms-windows-local-privilege-escalation-zero-day-in-the-wild.html

2. https://technet.microsoft.com/en-us/security/advisory/2914486

3. http://www.exploit-db.com/exploits/30392/

4. http://www.adobe.com/support/security/bulletins/apsb13-15.html

5. http://msdn.microsoft.com/library/windows/hardware/ff568322%28v=vs.85%29.aspx




คำสงSUDOผไมหวงดสามารถไดสทธของROOTโดยไมตองใสรหสผานวนทประกาศ : 6มนาคม2556ปรบปรงลาสด : 6มนาคม2556เรอง : ระวงภยชองโหวในคำสงsudoผไมหวงดสามารถไดสทธของrootโดยไมตอง

ใสรหสผานประเภทภยคกคาม : Intrusion


ในระบบปฏบตการตระกลUnixหรอUnix-like(เชนMacOSXหรอLinux)จะมคำสงsudoไวสำหรบเรยกใชงานคำสงหรอโปรแกรมใดๆโดยใชสทธของrootซงคำสงนมไวเพอความปลอดภยเพราะผใชไมจำเปนตองลอกอนเปนrootเพอใชคำสงหรอใชงานโปรแกรมแตจะเรยกใชงานคำสงหรอโปรแกรมทตองการผานคำสงsudoโดยใชรหสผานของตวเองในการยนยนตวตน

หลงจากผใชใสรหสผานเพอใชงานคำสงsudoแลวระบบจะบนทกtimestampไวเพออำนวยความสะดวกใหผใชสามารถใชคำสงsudoในการเรยกใชงานคำสงหรอโปรแกรมใดๆไดโดยไมตองใสรหสผานอกซงชวงเวลาดงกลาวมเวลาประมาณ5นาท

อยางไรกตามเมอเดอนมนาคมมผคนพบชองโหวของกลไกดงกลาวโดยพบวาหากใชคำสงsudoและระบบบนทกtimestampไวแลวในชวงเวลาดงกลาวหากมการแกไขวนเวลาของระบบโดยใชคำสงsudo-kเพอรเซตวนเวลาใหกลบไปเปนเวลา1970-01-0101:00:00(วนเวลาเรมตนของUnixtime)ผใชคนดงกลาวกจะสามารถใชคำสงsudoโดยไมตองใสรหสผานไดตลอดไป[1] ชองโหวดงกลาวนมหมายเลขCVE-2013-1775[2]


ผใชทสามารถใชคำสงsudoไดจะสามารถทำงานภายใตสทธของrootผานคำสงsudoไดโดยไมตองใสรหสผาน

ในกรณทเปนระบบทใชงานเพยงคนเดยวชองโหวนอาจไมมผลกระทบมากนกแตหากมการใชคำสงsudoแลวมผอนมาใชงานตออาจเกดความเสยหายกบระบบไดอยางไรกตามจากชองโหวน


ผใชไมสามารถเรยกใชคำสงทอยนอกเหนอจากสทธทกำหนดไวในไฟล/etc/sudoersได


ระบบปฏบตการUnixและUnix-likeทตดตงโปรแกรมsudoเวอรชน1.6.0ถง1.7.10p6และsudo1.8.0ถง1.8.6p6


ชองโหวนมการแกไขแลวในsudoเวอรชน1.7.10p7และ1.8.6p7ผใชงานระบบปฏบตการLinuxสามารถอพเดตโปรแกรมเวอรชนใหมไดจากระบบPackagemanagerของDistroทใช

สำหรบผใชงานระบบปฏบตการMacOSXปจจบนMacOSX10.8.2ใชsudoเวอรชน1.7.4p6ซงมชองโหวและยงไมมวธแกไขจนกวาAppleจะปลอยซอฟตแวรอพเดต[3]

ผใชงานสามารถตรวจสอบเวอรชนของsudoไดโดยพมพคำสงsudo-Vซงจะไดผลลพธดงตวอยางในรปท1

รปท1ตวอยางการตรวจสอบเวอรชนของคำสงsudo

อางอง

1. http://www.sudo.ws/sudo/alerts/epoch_ticket.html


3.http://www.h-online.com/security/news/item/Security-vulnerability-in-sudo-allows-privilege-escalation-1816387.html



0-DAYในINTERNETEXPLORER8(CVE-2013-1347)หนวยงานในสหรฐถกโจมตแลววนทประกาศ : 7พฤษภาคม2556ปรบปรงลาสด : 8พฤษภาคม2556เรอง : ระวงภยชองโหว0-dayในInternetExplorer8(CVE-2013-1347)

หนวยงานในสหรฐถกโจมตแลวประเภทภยคกคาม : Intrusion


เมอวนท3พฤษภาคม2556บรษทMicrosoftไดประกาศแจงเตอนชองโหวดานความมนคงปลอดภย(SecurityAdvisory)หมายเลข2847140เรองชองโหวในโปรแกรมInternetExplorer8ซงอนญาตใหผไมหวงดสามารถสงประมวลผลคำสงอนตรายบนเครองของเหยอได(RemoteCodeExecution)[1]ชองโหวดงกลาวนยงอยระหวางการตรวจสอบและยงไมมวธแกไข

ในการโจมตผไมหวงดจะสรางเวบไซตทมโคดอนตรายฝงอยหรอแทรกโคดทมอนตรายนนไวในเวบไซตทถกแฮกจากนนใชวธการทางSocialEngineeringหลอกลอใหเหยอเขาไปยงเวบไซตดงกลาวจากนนโคดอนตรายทถกฝงอยกจะเรมทำงานทนททเหยอเขาเยยมชมหนาเวบไซต

เมอวนท4พฤษภาคม2556มรายงานวาผไมหวงดไดฝงโคดไวในเวบไซตของกระทรวงแรงงานประเทศสหรฐอเมรกา(U.S.DepartmentofLabor)เพอใหหนาเวบไซตดงกลาวRedirectไปยงหนาเวบไซตทมโคดทโจมตผานชองโหวดงกลาวนโดยโคดนนจะตดตงโทรจนชอPoisonIvyในเครองของเหยอหลงจากนนไมนานกปรากฏวาฐานขอมลรายชอของพนกงานททำงานเกยวกบการวจยดานอาวธนวเคลยรถกเปดเผย[2] [3]



ผไมหวงดสามารถสงใหเครองของเหยอประมวลผลคำสงใดๆกไดเพยงแคหลอกใหเหยอเขาไปยงเวบไซตทมโคดอนตรายฝงอย


ชองโหวดงกลาวนมผลเฉพาะInternetExplorer8เทานนสำหรบเวอรชน6,7,9และ10ไมไดรบผลกระทบ

จากสถตของเวบไซตTrueHitsพบวาในเดอนเมษายน2556ผใชงานอนเทอรเนตในประเทศไทยยงมการใชงานInternetExplorer8อยถง13.07%ซงผใชเหลานมโอกาสเสยงทจะถกโจมตผานชองโหวดงกลาว[4]


ทางMicrosoftยงอยระหวางการตรวจสอบขอมลและยงไมมแพทชแกไขชองโหวดงกลาวออกมาในขณะนผใชงานควรอพเดตเวอรชนของโปรแกรมInternetExplorerใหเปนเวอรชนลาสด(9

หรอ10)หรอเปลยนไปใชเบราวเซอรอนเปนการชวคราว

อยางไรกตามทางMicrosoftไดมทางออกชวคราวสำหรบผทจำเปนตองใชงานโปรแกรมInternetExplorer8อยโดยสามารถใชทางเลอกดงกลาวนในการลดความเสยหายทอาจจะเกดขนได

• ตดตงโปรแกรมEMETและกำหนดคาใหใชงานกบโปรแกรมInternetExplorerซงทางไทยเซรตเคยเผยแพรบทความเรองวธการใชงานEMETไวแลว[5]

• กำหนดคาSecurityLevelของInternetและLocalintranetในInternetExplorerใหเปนHighรวมถงปดการทำงานของActiveXControlsและActiveScripting

• กำหนดคาใหInternetExplorerถามการยนยนจากผใชทกครงกอนทจะมการใชงานActiveScripting

ซงวธการกำหนดคาSecurityLevelของโปรแกรมInternetExplorerผใชสามารถศกษาไดจากหนาเวบไซตSecurityAdvisoryของMicrosoft[1]ในสวนหวขอSuggestedActions

อางอง

1.http://technet.microsoft.com/en-us/security/advisory/2847140

2.http://arstechnica.com/security/2013/05/internet-explorer-zero-day-exploit-targets-nuclear-weapons-researchers/

3.http://www.technewsworld.com/rsstory/77968.html

4.http://truehits.net/graph/graph_stat.php#WEB




“MASTERKEY”ในระบบปฏบตการANDROIDวนทประกาศ : 17กรกฏาคม2556ปรบปรงลาสด : 17กรกฏาคม2556เรอง : ระวงภยชองโหว“MasterKey”ในระบบปฏบตการAndroidประเภทภยคกคาม : Intrusion


เมอชวงตนเดอนกรกฎาคม2556นกวจยจากบรษทBlueboxSecurityไดเปดเผยขอมลชองโหวในกระบวนการตรวจสอบแอปพลเคชนของระบบปฏบตการAndroidซงชองโหวดงกลาวนมผลกระทบกบอปกรณทใชงานระบบปฏบตการAndroidตงแตเวอรชน1.6จนถง4.2.2ซงคดเปนจำนวนกวา99%ของเครองทมการใชงานอยในปจจบน(ประมาณ900ลานเครอง)[1]

โดยปกตแลวแอปพลเคชนของระบบปฏบตการAndroid(ไฟลนามสกล.apk)ทผใชจะนำมาตดตงลงในเครองไดจะตองผานกระบวนการSignโดยใชDigitalcertificateของผพฒนาซงหลงจากทผานกระบวนการSignแลวไฟล.apkนนกจะมขอมลทเรยกวาSignatureทเอาไวใชยนยนวาขอมลทงหมดทอยในไฟล.apkนนมาจากผพฒนาตวจรงไมไดถกดดแปลงแกไขโดยบคคล

อนในภายหลง[2]

เมอผใชทำการตดตงแอปพลเคชนจากไฟล.apkระบบจะตรวจสอบวาในเครองมแอปพลเคชนตวเดยวถกตดตงอยแลวหรอไมหากพบวามอยแลวกจะตรวจสอบวาแอปพลเคชนตวทจะตดตงนนมาจากผพฒนาคนเดยวกนกบแอปพลเคชนตวทเคยตดตงอยในเครองหรอเปลาซงทำไดโดยการเปรยบเทยบSignatureวาตรงกนหรอไมหากไมตรงกนกจะไมยอมใหผใชตดตงแอปพลเคชนดงกลาวโดยตวอยางในรปท1แสดงการตดตงแอปพลเคชนชอFalconProเวอรชนทมการดดแปลงลงในเครองทตดตงแอปพลเคชน ตวจรงจากผพฒนาไวกอนแลวซงระบบจะไมยอมใหตดตงแอปพลเคชนตวใหมลงในเครอง


รปท1ตวอยางหนาจอการแจงเตอนไมยอมใหตดตงแอปพลเคชน ทมSignatureไมถกตอง

ในแอปพลเคชนทมาจากผพฒนารายเดยวกนจะมSignatureทตรงกนทำใหผใชสามารถ ตดตงหรออพเดตแอปพลเคชนไดอยางไมมปญหาแตหากแอปพลเคชนดงกลาวถกบคคลอนนำไฟล.apkไปเปลยนแปลงเชนแกไขขอมลในSourceCodeแลวRepackไฟล.apkนนกลบเขามาใหมในกระบวนการRepackจะตองมการSignSignatureใหกบแอปพลเคชนซงผทแกไขไฟล.apkนนอาจจะตองสรางCertificateขนมาใหมทำใหSignatureของไฟล.apkทถกแกไขนนไมตรงกบสงทอยในแอปพลเคชนของผพฒนาตวจรง

นกวจยจากBlueboxSecurityคนพบวธแกไขไฟล.apkโดยคงSignatureของเดมไวซงชองโหวดงกลาวนทำใหผไมหวงดสามารถแกไขโคดของไฟล.apkแลวRepackเขาไปใหมโดยยงคงSignatureเดมไวไดทำใหเมอผใชตดตงแอปพลเคชนดงกลาวลงในเครองทเคยตดตงแอปพลเคชนนไดแลวระบบจะไมแจงวาSignatureไมถกตองซงทำใหผไมหวงดสามารถนำเอาแอปพลเคชนใดๆมาดดแปลงใหเปนมลแวรไดโดยระบบจะไมสามารถรไดเลยวาแอปพลเคชนนนไมใชตวจรงทมาจากผพฒนา

สาเหตของชองโหว

แอปพลเคชนของระบบปฏบตการAndroidจะอยในรปแบบไฟล.apk(AndroidPackage)ซงโดยแทจรงแลวเปนไฟลประเภทZipทสามารถใชโปรแกรมประเภทArchiverทวไปทำการExtractไฟลทอยขางในออกมาดได

ในไฟล.apkเกอบทกไฟลจะมไดเรกทอรชอMETA-INFซงภายในจะมไฟลMANIFEST.MFท


เกบขอมลChecksumแบบSHA1-DigestของไฟลทกไฟลทอยในPackageนนดงรปท2เมอผใชทำการตดตงแอปพลเคชนจากไฟล.apkตวระบบปฏบตการAndroidจะตรวจสอบคาChecksumของแตละไฟลเทยบกบขอมลในไฟลMANIFEST.MFหากพบวาไฟลใดไฟลหนงมคาChecksumไมตรงกจะไมอนญาตใหตดตงไฟล.apkดงกลาวลงในเครอง

รปท2ตวอยางขอมลในไฟลMANIFEST.MF(ทมา:NakedSecurity[3])

นกวจยจากBlueboxSecurityพบวาระบบการตรวจสอบนจะทำงานผดพลาดหากพบวาไฟล.apkนนมขอมลไฟลชอเดยวกนซ�ากน2ไฟลซงถงแมวาโปรแกรมประเภทArchiverโดยทวไปจะไมอนญาตใหมเหตการณแบบนเกดขนไดแตเนองจากโครงสรางของไฟลประเภทZipนนไมมระบบการปองกนในเรองของชอไฟลซ�าทำใหการเขาไปแกไขขอมลในไฟลZipโดยตรงหรอเขยนโปรแกรมขนมาเพอใสไฟลทมชอเดยวกนและอยในPathเดยวกนลงไปในไฟลZipนนสามารถทำได[4]ดงรปท3


รปท3ตวอยางการแกไขไฟล.apkโดยใสไฟลทมชอซ�ากน (ทมา:NakedSecurity[3])

เมอผใชตดตงไฟล.apkทถกแกไขใหมไฟลทมชอซ�ากน2ไฟลตวตดตงของระบบปฏบตการAndroidจะตรวจสอบขอมลChecksumของไฟลแรกแตจะExtractและตดตงขอมลจากไฟลทสอง

ดวยชองโหวนทำใหผไมหวงดสามารถแกไขไฟล.apkใดๆเพอหลอกใหระบบเหนวาถกสรางมาจากนกพฒนาตวจรงดวยการเพมไฟลใหมเขาไปใหมชอซ�ากบไฟลเดมเทานน


หลงจากททางBlueboxSecurityไดเผยแพรขอมลชองโหวไปไดไมนานนกวจยชาวจนทใชชอทมวา“AndroidSecuritySquad”กไดคนพบชองโหวลกษณะคลายกนนในไฟลclasses.dexซงพบวาในโครงสรางของไฟลclasses.dexนนหากแกไขขอมลในสวนextrafieldใหมคาเปน0xFFFDจะสามารถหลอกการทำงานของระบบตรวจสอบความถกตองของไฟลใหไปโหลดไฟลclasses.dexตวทถกแกไขมาใชแทนไฟลทถกตองได[3]ดงแสดงในรปท4

รปท4ตวอยางการแกไขไฟลclass.dex(ทมา:sina[5])

วธการโจมตเนองจากสาเหตของชองโหวนเกดจากความผดพลาดในการตรวจสอบความถกตองของไฟล

.apkในขณะททำการตดตงแอปพลเคชนดงนนรปแบบหลกๆของการโจมตผานชองโหวนผไมหวงดจะพยายามหลอกลอใหผใชตดตงแอปพลเคชนทผานการแกไขมาแลวใหไดซงอาจใชวธการเชน

แอปพลเคชนเถอน

ทจรงแลวกไมใชเรองนาแปลกใจอะไรเพราะแอปพลเคชนเถอนสวนมากจะเปนการนำเอาแอปพลเคชนทถกลขสทธมาดดแปลงแกไขการทำงานใหผดเพยนไปซงผไมหวงดสามารถเพมโคดอนตรายใสเขาไปไดงายๆและถงแมจะไมมการคนพบชองโหวนผทใชแอปพลเคชนเถอนกมความเสยงในการตดมลแวรมากอยแลว


SocialEngineering

การหลอกใหผใชตดตงแอปพลเคชนดวยวธSocialEngineeringเรมจะมแนวโนมเพมมากขนเพราะตวอยางกรณมลแวรทแกไขหนาเวบไซตธนาคารออนไลน[6]เพอหลอกใหผใชตดตงแอนตไวรสปลอม[7]ทมผตกเปนเหยออยหลายรายนนกแสดงใหเหนแลววาวธนใชไดผลและในอนาคตนาจะมการโจมตในลกษณะนออกมาอกเรอยๆ

Drive-by-download

ในชวง1-2ปทผานมามขาวการเจาะเวบไซตเพอฝงมลแวรทโจมตอปกรณทใชงานระบบปฏบตการAndroidออกมาใหเหนกนอยเรอยๆโดยจะมวธการโจมตคอหลงจากทผใชเขาไปยงเวบไซตทถกเจาะจะมการดาวนโหลดไฟล.apkทเปนมลแวรลงมาในเครองของผใชโดยอตโนมตโดยจะมการตงชอไฟลหลอกลอใหผใชหลงเชอเชนUpdater.apkเปนตนแตในการจะตดมลแวรนไดผใชตองเปนคนกดอนญาตใหตดตงโปรแกรมเสยกอน[8] [9]

อยางไรกตามในระบบปฏบตการAndroidรนเกาๆ(เชน2.1)จะมชองโหวในแอปพลเคชนBrowserทมากบตวเครอง(CVE-2010-1807)ซงเปนชองโหวของเอนจนWebkitทใชในการแสดงผลหนาเวบไซตซงทำใหผไมหวงดสามารถสงประมวลผลคำสงใดๆกตามบนเครองของผใชไดเมอผใชเขาไปยงเวบไซตทมการโจมตผานชองโหวดงกลาวผานเบราวเซอรของAndroid[10]นนทำใหผใชสามารถตดมลแวรไดทนททเขาเวบไซตโดยไมจำเปนตองกดยอมรบการตดตงแอปพลเคชนแตอยางใดการโจมตผานชองโหวนเคยเกดขนแลวเมอเดอนมนาคม2555โดยผไมหวงดจะสงSMSทมลงกสำหรบเปดเวบไซตมาทเครองของเหยอโดยทนททเหยอกดเขาไปในลงกนนกจะตดมลแวรในทนท[11]

FakeOTAUpdate

OTAUpdateหรอ“OvertheAirUpdate”เปนคำทใชเรยกการตดตงซอฟตแวรอพเดตไดโดยตรงจากตวเครองโดยไมตองเชอมตอสายเคเบลเขากบเครองคอมพวเตอรเพอทำการอพเดตซงโดยปกตแลวเมอผผลตมการปลอยซอฟตแวรอพเดตออกมากจะมการแสดงขอความแจงเตอนมายงอปกรณเพอใหตดตงการอพเดต

โดยปกตแลวระบบซอฟตแวรอพเดตจะมการตรวจสอบCertificateหรอSignatureของซอฟตแวรอยแลววาเปนอพเดตทมาจากผผลตจรงหรอไมแตในกรณทผไมหวงดสามารถปลอมแปลงตวแอปพลเคชนเพอหลอกวามาจากผผลตไดกอาจจะมผนำเทคนคนมาใชในการโจมตได

การปลอมแปลงCertificateเพอปลอยอพเดตแบบปลอมๆนนไมใชเรองใหมเพราะในเดอนมถนายน2555มมลแวรชอFlameใชวธการปลอมแปลงCertificateของMicrosoft เพอเผยแพรWindowsUpdateปลอมไปยงเครองในเครอขาย[12]

PlayStore

PlayStoreดจะเปนททปลอดภยทสดสำหรบการดาวนโหลดแอปพลเคชนมาตดตงถงแมปจจบนทางGoogleแจงวาไดปรบปรงPlayStoreใหมการตรวจสอบและปองกนแอปพลเคชน ทโจมตผานชองโหวนแลว[13]แตกยงมผไมหวงดพยายามหาวธทจะหลบเลยงระบบตรวจสอบเพอ


สงแอปพลเคชนทเปนมลแวรเขามาในPlayStoreอยเรอยๆและจากการทมขาวมลแวรในPlayStoreออกมาอยเปนระยะๆกอาจทำใหเราไมสามารถไววางใจแอปพลเคชนจากPlayStoreไดอยาง100%นก

การปองกนและแกไขปญหา

ทางBlueboxSecurityไดแจงชองโหวนไปยงGoogleตงแตเดอนกมภาพนธ2556แลวซงหลงจากนนทางGoogleไดประสานงานไปยงผผลตอปกรณทใชงานระบบปฏบตการAndroidเพอใหออกอพเดตทแกไขปญหาน

อยางไรกตามในปจจบน(ขณะทเขยนบทความน)มอปกรณทใชงานระบบปฏบตการAndroidเพยงแค2รนทไดรบการอพเดตแกไขชองโหวอยางเปนทางการนนคอSamsungGalaxyS4และHTCOneทใชงานเฟรมแวรAndroidเวอรชน4.2.2[14]ในขณะทอปกรณทมาจากผผลตรายอนๆหรอแมกระทงNexusทใชซอฟตแวรจากทางGoogleเองกยงไมไดมซอฟตแวรอพเดตหรอแพทชออกมาแตอยางใด

จากปญหาขางตนกทำใหเกดคำถามตามมาในเรองของการอพเดตแกไขชองโหวของเครองทใชงานระบบปฏบตการAndroidไมวาจะเปนความลาชาในการอพเดตหรอปญหาของเครองบางรนทผผลตไมไดใหการสนบสนนแลวจะตองทำอยางไรตอซงถงแมวาทางGoogleจะมนโยบายวาอปกรณทใชงานระบบปฏบตการAndroidทกรนตองไดรบการสนบสนนทางซอฟตแวรอยางนอย18เดอนหลงจากวางจำหนวยแลวกตาม[15]แตในความเปนจรงแลวผผลตสวนใหญกยงไมไดใหความรวมมอมากนกและในปจจบนผทใชงานเครองทเปนระบบปฏบตการAndroidทไมไดรบการอพเดตกยงมอยมาก

สำหรบผทใชงานอปกรณรนใหมๆทผผลตยงใหการสนบสนนอยแตยงไมมอพเดตออกมากอาจตองตดตามขาวสารอยเปนระยะแตสำหรบผใชอปกรณทผผลตยนยนวาจะไมไดรบการอพเดตอยางแนนอนแลวถาไมซอเครองใหมกอาจจะมทางเลอกเหลออยไมมากนก

ทางฝงผพฒนาCustomRomอยางCyanogenModนนไดมการแกไขชองโหวดงกลาวในCyanogenModเวอรชน10.1.1แลว[16]ซงผทใชงานอปกรณทไมไดรบการอพเดตจากผผลตอาจลองพจารณาใชCustomRomดงกลาวเพอเพมความปลอดภยไดอยางไรกตามผใชทวไปอาจไมสามารถตดตงCustomRomกนไดทกคนเพราะมขนตอนวธทคอนขางซบซอนและอาจเสยงตอการทขอมลสญหายหรออาจทำใหเครองใชงานไมไดโดยถาวรหากมการทำงานผดพลาดในขนตอนการตดตงนอกจากนการใชงานCustomRomอาจทำใหฟงกชนการใชงานของซอฟตแวรไมสมบรณหรอทำงานผดไปจากRomของผผลตและทสำคญอปกรณหลายรนไมสามารถตดตงCustomRomไดเพราะไมมผพฒนาRomสำหรบอปกรณยหอหรอรนนนๆ

การตดตงแอปพลเคชนจากPlayStoreเพยงอยางเดยวกอาจจะชวยลดความเสยงไดในระดบหนงแตกเปนเพยงการแกไขปญหาทปลายเหตอกทงผใชงานบางกลมอาจมความจำเปนทตองตดตงแอปพลเคชนจากไฟล.apkเชนแอปพลเคชนทตองการใชไมมอยในPlayStore(เชนแอปพลเคชนเฉพาะทใชงานภายในองคกร)ตองการทดลองแอปพลเคชนทเปนรนBetaหรอบางทแอปพลเคชนทม


การซอขายอยางถกลขสทธกไดมาเปนไฟล.apk(เชนเกมในชดHumbleBundleforAndroidหรอซอจากStoreอนทไมใชPlayStore)ซงนนกเปนความเสยงทผใชตองแบกรบจากการทใชระบบปฏบตการทไมไดรบการอพเดต

ทางBlueboxSecurityไดปลอยใหดาวนโหลดแอปพลเคชนBlueboxSecurityScannerในPlayStore[17]เพอใชในการตรวจอปกรณทใชงานอยวาไดมการแพทชชองโหวแลวหรอยงและยงสามารถสแกนแอปพลเคชนทตดตงอยในเครองไดวามแอปพลเคชนไหนทเปนมลแวรทโจมตผานชองโหวนดงรปท5ซงผใชงานสามารถดาวนโหลดมาตรวจสอบเครองของตวเองไดฟรนอกจากนการตดตงซอฟตแวรแอนตไวรสกอาจชวยปองกนไดในระดบหนง

รปท5BlueboxSecurityScanner


อยางไรกตามประเดนปญหาสำคญจากเหตการณคนพบชองโหวในครงนคอเรองของความนาเชอถอและความปลอดภยในการใชงานอปกรณทเปนระบบปฏบตการAndroidจรงอยทถงแมวาชองโหวMasterKeyนจะสามารถปองกนหรอหลกเลยงไดดวยการไมตดตงแอปพลเคชนจากไฟล.apkแตกไมไดหมายความวาการใชงานระบบปฏบตการทไมไดรบการอพเดตทเกยวของกบความปลอดภยเลยนนจะเปนเรองทดเพราะไมมอะไรทจะรบประกนไดเลยวาจะไมมชองโหวอนทรายแรงกวานซอนอยและหากมการคนพบชองโหวทวานนผใชจะสามารถหลกเลยงปญหาไดงายเหมอนครงน

สำหรบหนวยงานทจะมการจดซออปกรณทใชงานระบบปฏบตการAndroidมาใชในการทำงานอาจตองพจารณาเรองการสนบสนนดานความปลอดภยจากผผลตรวมดวยโดยเฉพาะหนวยงานทอนญาตใหพนกงานนำอปกรณเชนโทรศพทมอถอหรอแทบเลตเขามาเชอมตอกบระบบเครอขายหลกของหนวยงานอาจตองพจารณาความเสยงในเรองนเปนพเศษโดยเฉพาะความเสยงในเรองของผลกระทบหากอปกรณนนไมไดรบการอพเดตอยางตอเนองและสม�าเสมอจากผผลต

สดทายสวนทสำคญทสดคอการปรบเปลยนพฤตกรรมการใชงานและตดตามขาวสารเรองความปลอดภยอยอยางสม�าเสมอเพราะมลแวรตวใหมๆนนมคนพฒนาขนมาอยทกวนรวมถงเทคนคการโจมตรปแบบใหมกมการคนพบอยเรอยๆหากผใชไมตดตามขาวสารหรอไมระมดระวง ในการใชงานกอาจตกเปนเหยอของผไมหวงดได


อางอง

1.http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/

2.http://developer.android.com/tools/publishing/app-signing.html

3.http://nakedsecurity.sophos.com/2013/07/10/anatomy-of-a-security-hole-googles-android-master-key-debacle-explained/

4.http://threatpost.com/second-android-master-key-attack-surfaces/101297

5.http://blog.sina.com.cn/s/blog_be6dacae0101bksm.html

6.https://www.thaicert.or.th/alerts/user/2013/al2013us008.html

7.https://www.thaicert.or.th/alerts/user/2013/al2013us007.html

8.http://www.zdnet.com/blog/security/a-first-hacked-sites-with-android-drive-by-download-malware/11810

9.http://blog.avast.com/2013/03/11/mobile-drive-by-malware-example/

10.http://www.exploit-db.com/exploits/15548/

11.http://www.h-online.com/security/news/item/Android-smartphones-infected-via-drive-by-exploit-Update-1446992.html

12.https://thaicert.or.th/papers/technical/2012/pa2012te009.html

13.https://www.cio.com.au/article/466577/vulnerability_allows_attackers_modify_android_apps_without_breaking_their_signatures/

14.http://www.androidpolice.com/2013/07/08/infamous-master-key-exploit-was-quietly-patched-by-google-in-february-cyanogenmod-following-suit-today-oems-at-some-point/

15.http://www.theverge.com/2011/05/10/google-promises-android-devices-updates-18-months/

16.http://www.cyanogenmod.org/blog/cyanogenmod-10-1-1-release/comment-page-1#comment-56919

17.https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner



ในJOOMLAผไมหวงดสามารถอพโหลดไฟลอนตรายใดๆเขามาในระบบไดวนทประกาศ : 15สงหาคม2556ปรบปรงลาสด : 15สงหาคม2556เรอง : ระวงภยชองโหวในJoomlaผไมหวงดสามารถอพโหลดไฟลอนตรายใดๆ

เขามาในระบบไดประเภทภยคกคาม : Intrusion


โดยปกตแลวระบบอพโหลดไฟลของJoomlaจะมการตรวจสอบExtensionของไฟลวาอยในประเภทไฟลอนตรายหรอเปลา(เชนไฟล.php)ซงหากพบวาไฟลทผใชอพโหลดเขามานนเขาขายไฟลอนตรายกจะไมยอมใหอพโหลด

นกวจยจากบรษทVersafeไดพบชองโหวในคอมโพเนนตMediaManagerซงใชในการอพโหลดไฟล(ถกตดตงมาพรอมกบJoomlaเปนคาเรมตน)[1]โดยพบวาผไมหวงดสามารถBypassระบบการตรวจสอบExtensionเพออพโหลดไฟลอนต

รายใดๆเขามาในระบบไดเพยงแคเตมเครองหมายจด(.)ตอทายชอไฟล[2]โดยจะทำใหเกดการBypassการตรวจสอบของระบบและระบบจะทำการตดเครองหมาย

จดหลงไฟลทงทำใหผไมหวงดสามารถสงประมวลผลไฟลทอพโหลดขนไปไดทนทปจจบนชองโหวนยงไมมการออกหมายเลขCVEแตมโคดสำหรบโจมตผานMetasploit

ออกมาแลว[3]



ผไมหวงดสามารถอพโหลดไฟลอนตรายใดๆเขามาในระบบได(เชนไฟลPHPBackdoor)แตอยางไรกตามผไมหวงดจะตองไดสทธในการเขาระบบบรหารจดการกอนถงจะสามารถเขาถงคอมโพเนนตดงกลาวได


• Joomlaเวอรชน2.5.13หรอต�ากวา

• Joomlaเวอรชน3.1.4หรอต�ากวา

สำหรบJoomlaเวอรชน1.5.xนนถงแมจะสามารถอพโหลดไฟล.phpดงกลาวขนบนระบบไดกจรงแตอยางไรกตามระบบไมไดมการตดเครองหมายจดทตอทายไฟลออกทำใหไมไดรบผลกระทบจากชองโหวน


ผทใชงานJoomlaควรอพเดตเวอรชนของซอฟตแวรใหเปน2.5.14หรอ3.1.5หรอใหมกวา[4]และควรตงคาใหฟงกชนMediaManagerสามารถใชงานไดเฉพาะผดแลระบบเทานน

อางอง

1. http://www.versafe-login.com/sites/default/files/Versafe%20Intelligence%20Brief%20--%20Joomla%20Exploit%20Enabling%20Phishing%2C%20Malware%20Attacks%20from%20Genuine%20Sites.pdf

2.http://blog.malwarebytes.org/intelligence/2013/08/do-you-own-a-website-now-would-be-a-good-time-to-patch-it/

3.http://1337day.com/exploit/21108

4.http://developer.joomla.org/security/news/563-20130801-core-unauthorised-uploads

บทความทวไป

บทความท วไป92

การใชPGPดวยCOMMANDLINEผเขยน : วศลยประสงคสขวนทเผยแพร : 1มนาคม2556ปรบปรงลาสด : 1มนาคม2556

บทความของไทยเซรตกอนหนานไดอธบายทมารวมถงวธการใชงานPGPดวยการใชโปรแกรมแบบGUIซงสามารถใชงานโดยใชเมาสคลกไดทงในระบบปฏบตการWindowsและMACOSXสำหรบบทความนจะพาทานผอานหนมาลองใชCommandlineกนบางเนองจากหากใชCommandlineไดแลวไมวาผใชจะทดลองเปลยนไปใชคอมพวเตอรระบบปฏบตการใดกจะสามารถใชงานPGPไดกอนทจะเรมขอทบทวนConceptกนกอน

ทบทวนConcept

เนองจากเปนการทบทวนดงนนในสวนนจงเปนเขยนเปนคำอธบายสนๆทไมไดลงรายละเอยดลกมากนกแตเพยงพอทจะทำใหเหนภาพวาหวขอดงตอไปนคออะไรและมConceptเปนอยางไร

Publickeycryptography

Publickeycryptographyจะประกอบดวยkeyอย2ชนดทมความสมพนธกนทางคณตศาสตรเรยกวาคกญแจคอPrivatekeyซงเกบไวกบเจาของเทานนและPublickeyซงสามารถแจกจายใหผอนไดแนนอนวาทงPrivateและPublickeyนนเจาของตองเปนผสรางเองแตเจาของไมจำเปนตองแจกPublickeyดวยตวเองเพราะวาในปจจบนมเครองใหบรการกญแจสาธารณะ(Publickeyserver)ซงเจาของกญแจสามารถอพโหลดไฟลPublickeyของตนเองขนไปเกบไวทเครองไดซงทำใหผอนสามารถดาวนโหลดPublickeyของทานไปใชงานไดการใชงานPublickeycryptographyหลกๆมอย2กระบวนการดวยกนคอกระบวนการเขารหสลบ(Encryption)และกระบวนการตรวจสอบลายมอชอดจทล(DigitalSignatureVerification)

การเขารหสลบ(Encryption)

สมมตใหAliceเปนผสงและBobเปนผรบในการสงขอความลบAliceจะใชPublickeyของBobซงอาจไดมาจากPublickeyserverหรอBobสงมาใหเขารหสลบขอความแลวจงสงไปใหBobเมอBobไดรบขอความทเขารหสลบแลวกจะใชPrivatekeyของตนเองในการถอดรหสลบเพออานขอความเปนตน


การตรวจสอบลายมอชอดจทล(DigitalSignatureVerification)

ในกรณทBobไดรบขอความมาจากAliceในการนBobจะแนใจไดอยางไรวามาจากAliceจรงผอานลองนกถงตอนทมคนสงกระดาษโนตมาใหบอกวาผจดการอยากใหทำงานอยางหนง ผอานจะทราบไดอยางไรวากระดาษโนตนนมาจากผจดการจรงวธการหนงทใชกนอยทวไปคอการใชลายมอชอหรอการเซนกำกบในทางดจทลกเชนกนAliceสามารถใชPrivatekeyในการลงลายมอชอ(Sign)หรอเซนรบรองเอกสารได(อยาลมวาPrivatekeyของAliceมเพยงAliceทใชได)เมอBobไดรบเอกสารกจะสามารถใชPublickeyของAliceในการตรวจสอบลายเซนได[1]

WebofTrust

ยอนกลบไปตรงทAliceหรอBobทำการดาวนโหลดPublickeyมาจากPublickeyserverพวกเขาจะทราบไดอยางไรวาดาวนโหลดPublickeyมาถกอนไมใชอนทผไมหวงดสรางขนมาเพอหลอกลวงผอนในกรณเชนนWebofTrustสามารถเขามาแกปญหาไดโดยใชวธการใหผอนมารบรองPublickeyวาPublickeyนนเปนของคนผนนจรง[1]ลองนกถงโลกความเปนจรงสมมตมเพอนของนองสาวมาทบานผอานจะทราบไดอยางไรวาคนผนนเปนเพอนของนองสาวจรงซงกแนนอนผอานกตองถามนองสาววาใชเพอนของนองจรงหรอไมหลกการนอาศยการทผอานเชอคนทสามารถเชอใจไดวาบคคลแปลกหนานนไมใชคนอนตรายในการแลกเปลยนPublickeyกเชนเดยวกนหากAliceตองการPublickeyของBobแตไมแนใจวาPublickeyนนเปนของBobจรงแตหากAliceพบวาPublickeyนนมCarolเซนรบรองอยและCarolเปนคนทAliceเชอใจไดAliceกสามารถยอมรบวาPublickeyเปนของBobไดอนทจรงแลวหลกการการเชอใจยงมความวนวายมากกวานอยางเชนเรองระดบของความเชอถอ(Trustlevel)ซงจะกลาวถงในหวขอการตงระดบความเชอถอของเจาของPublickey

การใชPGPดวยCommandline

การสรางคกญแจ

ผอานสามารถสรางคกญแจไดดวยการใชคำสงgpg--gen-keyซงจะมคำถามเกยวกบ รายละเอยดของกญแจขนมาใหผใชเลอกดงรปท1


รปท1รายละเอยดของคกญแจ

หมายเลข1คอการเรยกใชคำสงgpg--gen-key

หมายเลข2คอการเลอกอลกอรทมของการสรางคกญแจในทนเลอกใชRSAเปนอลกอรทมทสรางPublickeyและprivatekey

หมายเลข3คอการเลอกkeysizeซงในทนคอ2048bitsการเลอกkeysizeนหากเลอกขนาดเลกจะทำใหประสทธภาพของการคำนวณเรวแตมความมนคงปลอดภยนอยเพราะถก


แครก(Crack)ไดงายกลบกนหากเลอกkeysizeใหญกจะทำใหการคำนวณชาแตมความมนคงปลอดภยเพมขน

*keysizeทำไมหนวยเปนbit?

จากหมายเลข2ทเราเลอกอลกอรทมเปนRSAวธการสรางคกญแจของอลกอรทมนคอการเลอกตวเลขจำนวนเฉพาะ(Primenumber)มาใชในการคำนวนเพอสรางคกญแจหากเปนคนคำนวนกคงเลอกจำนวนเฉพาะทมคานอยเชน357หรออนๆมาคำนวนซงหากเปนเลข7นเมอแปลงเปนเลขฐานสองแลวจะใชbitจำนวน5bitในการแสดงคา(7=10001,ใช5bitsในการแสดงคา)แตในทนเลอกใชจำนวนเฉพาะทใชbitในการแสดงคาถง2048bits

*ทำไมตองใชจำนวนเฉพาะ?

ขนตอนหนงของการคำนวนเพอสรางคกญแจของอลกอรทมRSAจะตองใชจำนวนเฉพาะและผลคณของจำนวนเฉพาะมาใชในสมการคณสมบตหนงของจำนวนเฉพาะคอเมอนำมาคณกนจะมแตจำนวนเฉพาะ2ตวนเทานนทเปนตวประกอบของผลคณซงเมอเราเลอกkeysizeเปน2048bitsกทำใหแทบทจะเปนไปไมไดเลยทจะหาจำนวนเฉพาะขนาด2048bits2ตวมาสรางคกญแจเพอเลยนแบบได

หมายเลข4คอการกำหนดอายของคกญแจในทนกำหนดใหใชไดเปนเวลา2ปการตงวนหมดอายของคกญแจนมความสำคญเนองจากหากPrivatekeyถกขโมยออกไปโดยทผใชไมทราบ และผใชไมตงวนหมดอายกจะทำใหผไมหวงดทำการCrackPassphraseไดอยางสบายใจแตหากตงวนหมดอายเอาไวผไมหวงดตองทำงานแขงกบเวลาซงการตงวนหมดอายทเหมาะสมนนจงเปนการกำหนดเวลาทคาดวาPassphraseนจะไมถกCrackภายในเวลาทกำหนด

หมายเลข5คอการยนยนวนททกญแจหมดอาย

หมายเลข6คอการกรอกรายละเอยดของเจาของกญแจซงจะประกอบไปดวยชอ และอเมลของผใช

หมายเลข7คอการยนยนความถกตองของขอมลรายละเอยดของเจาของกญแจ

หมายเลข8คอการกำหนดPassphraseใหกบกญแจผใชจำเปนตองจำPassphraseใหไดเนองจากการจะใชงานPrivatekeyระบบจะใหปอนPassphraseในการยนยนวาเปนเจาของคกญแจนนจรง

เมอดำเนนการทงหมดเรยบรอยแลวโปรแกรมจะแสดงรายละเอยดของคกญแจทเพงมการสรางซงจากรปท1จะพบวารายละเอยดของคกญแจทควรทราบมดงน

UIDคอAliceThesender

keyIDคอ50DC73A7

FingerprintคอB3E573B74579E458DC014A563561B6F650DC73A7


*FingerprintใชสำหรบตรวจสอบความครบถวนสมบรณของPublickey(รายละเอยดอธบายในหวขอการเซนรบรองกญแจสาธารณะทนำเขาสระบบ)

การสรางRevocationCertificate

ในกรณทตองการยกเลกคกญแจดวยเหตผลบางประการเชนผไมประสงคดทราบPassphraseและไดPrivatekeyของผใชไปหรอเทคโนโลยพฒนามากขนทำใหอลกอรทมทใชสรางคกญแจมความมนคงปลอดภยไมเพยงพอผใชสามารถใชRevocationCertificateในการประกาศหยดการใชงานคกญแจนนไดแตในการสรางRevocationCertificateนนจำเปนตองมPrivatekeyและจำPassphraseไดจงเปนการดกวาทจะสรางRevocationCertificateเอาไวในตอนทยงมสงเหลานอยเมอสรางเสรจแลวกควรจะเกบRevocationCertificateเอาไวอยางด[2]และไมควรเกบไวทเดยวกบPrivatekeyการสรางRevocationCertificateสามารถทำไดโดยใชคำสง

gpg-o[outputfilename]--gen-revoke[UID]เชนgpg-oAlice_revoke--gen-revoke“AliceThesender”ดงรปท2

รปท2การสรางRevocationCertificate


หมายเลข1คอการใชคำสงในการสรางRevocationCertificate

-oหมายถงการเขยนผลลพธของคำสงลงในไฟลซงในทนกำหนดใหไฟลชอAlice_revoke

หมายเลข2คอการยนยนความถกตองของPrivatekeyทตองการทำRevocationCertificate

หมายเลข3คอการเลอกเหตผลของการทำRevocationCertificateในทนเลอกkeyisnolongerused.

หมายเลข4คอการอธบายเหตผลเพมเตมอาจจะเปนเหตผลสนบสนนเหตผลทเลอกในหมายเลข3ในทนไมไดใสเหตผลใดเพมเตม

หมายเลข5คอการยนยนวาผใชตองการสรางRevocationkeyนนจรงดวยเหตผลตามหมายเลข3และ4

หมายเลข6คอการใสPassphraseของPrivatekeyเพอยนยนวาเจาของกญแจเปน ผดำเนนการสรางRevocationCertificate

หลงจากสรางแลวเมอเกดเหตทตองการยกเลกการใชงานกญแจผใชจะตองอพโหลดRevocationCertificateไปยงPublickeyserverซงวธการอพโหลดนนจะกลาวในลำดบถดไป

การแลกเปลยนกญแจสาธารณะ

การสงกญแจสาธารณะใหกบผรบ

ผใชสามารถสงกญแจสาธารณะใหกบผรบได2วธคอสงดวยตนเองและใหผรบดาวนโหลดPublickeyจากPublickeyserverทงสองวธจะตองทำการExportดวยคำสงทแตกตางกนโดยท

การสงPublickeyดวยตนเองสามารถใชคำสง

gpg--export-u[UID]-o[outputfilename]

เชนgpg--export-u“AliceThesender”-oalice_pub

-uคอการเลอกกญแจตามUIDหรอสวนของUID(เชนAlice)ในกรณทในคอมพวเตอรเครองนนมPublickeyอยหลายอนผใชสามารถเลอกPublickeyทตองการExportไดดวยการระบUIDหรอkeyIdได

หลงจากไดไฟลalice_pubผใชสามารถสงPublickeyนดวยการคดลอกลงThumbdriveหรอแนบไฟลในอเมลสงไปหาผรบได

การสงPublickeyไปเกบไวทPublickeyserverสามารถใชคำสง

gpg--send-key--keyserver[keyserver][keyid]


เชนgpg--send-key--keyserverpgp.mit.edu50DC73A7

PublickeyserverนนมอยหลายServerดวยกน[3]แตทงหมดจะทำการSynchronizeขอมลกนดงนนไมวาผใชจะอพโหลดPublickeyไปไวกบServerใดServerอนๆกจะมขอมลPublickeyของผใช

การนำเขากญแจสาธารณะ

ผใชสามารถนำเขากญแจสาธารณะได2รปแบบคอนำเขาจากไฟลทไดรบและนำเขาจากPublickeyserverซงมวธการทแตกตางกนดงตอไปน

การนำเขาPublickeyจากไฟล

ผใชสามารถนำเขาPublickeyจากไฟลไดโดยใชคำสง

gpg--import[publickeyfilename]

เชนgpg--importalice_pub

การนำเขาPublickeyจากPublickeyserver

gpg--search-keys[emailหรอUID]

เชนgpg--search-keysalice.thesender wonderland.comหรอgpg--search-keys“AliceThesender”

หากมผลลพธทตรงกบสงทคนหาจะมขอความแสดงขนมาเพอใหผใชเลอกPublickeyทตองการดงแสดงในรปท3

รปท3เลอกPublickeyทตองการ

ในกรณททราบkeyidของPublickeyทตองการอยแลวผใชสามารถใชคำสงดงตอไปนเพอนำกญแจสาธารณะเขาสระบบgpg--recv-keys[key_id]

เชนgpg--recv-keys50DC73A7

การเซนรบรองกญแจสาธารณะทนำเขาสระบบ

เมอผใชนำเขากญแจสาธารณะทตองการไดแลวลำดบถดไปในการทจะนำกญแจสาธารณะนนมาใช


ผใชจะตองทำการเซนรบรองกญแจสาธารณะกอนมเชนนนระบบจะทำการเตอนทกครงเมอกญแจสาธารณะนถกเรยกใชงานการเซนรบรองกญแจสาธารณะเปรยบเสมอนผใชทำการรบรองวากญแจสาธารณะนนเปนของเจาของตามทระบในUIDจรงซงผใชสามารถตรวจสอบความถกตองของกญแจสาธาณะนไดโดยการตรวจสอบFingerprintของPublickeyวาตรงตามทเจาของประกาศไวหรอไม[4]ดงนนการประกาศFingerprintของกญแจนนจงเปนสงสำคญหนวยงานหรอบคคลอาจจะเลอกใชวธการประกาศโดยเขยนเอาไวบนเวบไซตของหนวยงานหรอเวบไซตสวนตวหรออกวธหนงคอพมพFingerprintไวในนามบตรกไดการดFingerprintของPublickeyทรบมาสามารถทำไดดวยคำสงgpg--fingerprint[UID]

เชนgpg--fingerprintAliceThesender

หลงจากทผใชทำการตรวจสอบจนมนใจไดแลววาPublickeyทรบมานนเปนของเจาของจรงผใชสามารถทำการเซนรบรองPublickeyไดโดยใชคำสง

gpg--sign-key[Publickey]

ซงคำสงดานบนนจะใชPrivatekeyทเปนDefaultkey(DefaultkeyเปนPrivatekeyตวแรกทมอยในคอมพวเตอรสวนใหญจะเปนคกญแจทผใชสรางในคอมพวเตอรเครองนนเปนครงแรก)เปนตวเซนรบรองแตหากตองการเลอกใชPrivatekeyอนในการเซนรบรองสามารถทำไดดวยคำสงgpg--local-user[UIDofPrivatekey]--sign-key[UIDofPublickey]

เชนgpg--local-userAlice--sign-keyBob

คำสงดานบนนหมายถงใชPrivatekeyทมUIDคอAliceในการเซนรบรองPublickeyทมUIDคอBob

การตงระดบความเชอถอของPublickey

ระดบความเชอถอ(Trustlevel)เปนเหมอนการแสดงความคดเหนของผใชวาเจาของPublickeyทผใชรบมานนมความนาเชอถอเพยงใดอาจจะดจากลกษณะนสยวาเปนคนมความตระหนกในการใชงานระบบคอมพวเตอรมากนอยเพยงใดเชนมการตรวจสอบความถกตองของPublickeyกอนเซนรบรองPublickeyของผอนหรอไมระดบความเชอถอนจะมผลตอระบบWebofTrustซงระดบความเชอถอมดงน

1. UnknowntrustผใชควรเลอกกตอเมอผใชไมทราบวาเจาของPublickeyนนทำการ ตรวจสอบPublickeyของผอนกอนเซนรบรองความถกตองหรอไมTrustlevelนจะทำใหWebofTrustของผใชไมเชอวาPublickeyทผนนเซนรบรองเปนของเจาของจรง

2. NeverTrustผใชควรเลอกกตอเมอผใชทราบวาเจาของPublickeyทผใชรบมานนไมมการตรวจสอบความถกตองของPublickeyเลยแตเซนรบรองความถกตองPublickeyของผอนTrustlevelนจะทำใหWebofTrustของผใชไมเชอวาPublickeyทผนนเซนรบรองเปนของเจาของจรง


3. MarginalTrustผใชควรเลอกกตอเมอผใชเหนวาเจาของPublickeyทผใชรบมานนทำการตรวจสอบความถกตองของPublickeyเปนบางครงกอนเซนรบรองความถกตองPublickeyของผอนTrustlevelนจะทำใหWebofTrustของผใชยงไมเชอวาPublickeyทผนนรบรองเปนของเจาของจรงจนกวาจะมผทอยในระดบMarginalTrust3คนเซนรบรองPublickeyนน

4. FullTrustผใชควรเลอกกตอเมอผใชเหนวาเจาของPublickeyทผใชรบมานนทำการตรวจสอบความถกตองของPublickeyกอนทำการเซนรบรองอยเสมอTrustlevelนจะทำใหWebofTrustของผใชเชอวาPublickeyทผนนรบรองเปนของเจาของจรง

5. UltimatetrustสำหรบTrustlevelนควรเลอกกตอเมอเปนPublickeyของผใชเองเชนในกรณผใชนำเขาPublickeyของตนเองในคอมพวเตอรอกเครองหนง

ผใชสามารถตงระดบความเชอถอของPublickeyทรบเขามาไดดวยคำสงgpg--edit-key[UID]

เชนgpg--edit-keyBobดงรปท4

รปท4กำหนดTrustlevelใหPublickey


หมายเลข1คอการเรยกใชคำสงEditkey

หมายเลข2จะเหนวาPublickeyทผานการเซนรบรองแลวจะมความถกตอง(Validity)เปนFullสวนTrustจะเปนunknown

หมายเลข3เปนการพมพคำสงtrustเพอตงระดบของTrustlevel

หมายเลข4เปนการเลอกTrustlevelซงในทนเลอกเปนMarginaltrust

หมายเลข5จะเหนวาหลงจากตงTrustlevelแลวคาTrustจะเปลยนเปนmarginal

การลงลายมอชอและการตรวจสอบ

การลงลายมอชอ

การลงลายมอชอหรอการเซนรบรองในทนม3คำสงทแตกตางกนดงน

คำสงSign

คำสงSignนจะเปนการเขารหสลบ(Encrypt)ขอความหรอไฟลดวยPrivatekeyของผใชซงผรบจะตองนำPublickeyของผใชในการถอดรหสลบ(Decrypt)เพออานขอความภายในผใชสามารถทำการเซนรบรองเอกสารไดโดยใชคำสงgpg-a--sign[filename]

-aหมายถงการกำหนดใหเปลยนรปแบบของผลลพธจากรปแบบBinaryเปนรปแบบASCIIซงเหมาะกบใชในการสงอเมลมากกวา[5]

คำสงClearsign

คำสงClearsignจะแสดงขอความหรอเนอของไฟลไวและนำผลการเขารหสลบมาตอทายเปนสวนของSignatureซงผรบยงสามารถใชPublickeyของผสงในการตรวจสอบไดผใชสามารถทำการเซนรบรองเอกสารไดโดยใชคำสงgpg--clearsign[filename]

*คำสงClearsignไมจำเปนตองใส-aเนองจากผลลพธออกมาในรปแบบASCIIอยแลว

คำสงDetach-sign

คำสงDetach-signจะแยกเอาเฉพาะสวนSignatureของClearsignมาไวอกไฟลหนงทำใหมขนาดเลกมากซงจะทำใหเกดประโยชนเมอไฟลทตองการเซนรบรองมขนาดใหญชวยใหประหยดพนทในการจดเกบไฟลผใชสามารถทำการเซนรบรองเอกสารไดโดยใชคำสงgpg-a--detach-sign[filename]

*ทงสามคำสงหากผใชตองการเลอกPrivatekeyอนนอกจากDefaultkeyใหเพม-u[UID]หลง–a

ผลลพธของการSignดวยคำสงทงสามดงกลาวแสดงไวในตารางท1


คำสง ผลลพธ

Sign with -a option

Clearsign

Detach sign with -a option

ตารางท1ผลของการเซนรบรองขอความหรอไฟลดวยคำสงทงสาม


การตรวจสอบ

ผใชสามารถตรวจสอบเอกสารทไดรบการเซนรบรองไดหากทำการนำเขาPublickey ของผสงมาแลวสามารถใชคำสงตอไปนในการตรวจสอบgpg--verify[Sign_filename] เชนgpg--verifySign-a-Myfile.txt.sigผลของการตรวจสอบแสดงดงรปท5

รปท5ตรวจสอบ

หมายเลข1คอการใชคำสงในการตรวจสอบไฟลทไดรบการเซนรบรองหมายเลข2จะเหนวนเวลาและkeyidทใชในการเซนรบรองเอกสารหมายเลข3แสดงใหเหนวาkeyidทแสดงดงกลาวเปนของAliceThesender*ในการตรวจสอบDetachSignatureสามารถทำไดดวยคำสงgpg--verify

[Sign_filename][filename]เชนgpg--verifyDetach-sign-a-Myfile.txtMyfile.txtการเขารหสลบและการถอดรหสลบการเขารหสลบเมอผใชนำเขาPublickeyของผรบแลวสามารถใชคำสงดงตอไปนในการเขารหสลบ

gpg-e-r[UIDofReceiver][filename]เชนgpg-e-rBobMyfile.txt-rคอคำสงในการระบผรบการถอดรหสลบผใชสามารถทำการถอดรหสลบไดโดยใชคำสงgpg-o[Newfilename]-d

[Encryptedfilename]เชนgpg-oMyfile.txt-dMyfile.txt.gpg

อางอง

1. http://www.dewinter.com/gnupg_howto/english/GPGMiniHowto-1.html

2.http://www.dewinter.com/gnupg_howto/english/GPGMiniHowto-3.html#ss3.4

3.https://github.com/GPGTools/GPGTools/wiki/Keyservers

4.http://www.spywarewarrior.com/uiuc/gpg/gpg-com-4.htm#4-6

5.http://www.spywarewarrior.com/uiuc/gpg/gpg-com-0.htm


มหากาฬแฮกกงกบดจทลไลฟทสญสนของนายแมทโฮนานผเขยน : ณฐโชตดสตานนทวนทเผยแพร : 1มนาคม2556ปรบปรงลาสด : 1มนาคม2556

ปจจบนนถาพดถงการใชชวตของมนษยเราจะพบวาชวตของเราเกยวของกบโลกออนไลนมากขนกวาแตกอนอยางเหนไดชดแตเดมการใชอเมลหรอการใชอนเทอรเนตในการตดตอสอสารกถอวาเปนรปแบบการสอสารททนสมยและสวนใหญใชในดานธรกจแตเดยวนนอกจากการใชอเมลจะถอวาเปนของธรรมดาแลวหลายคนยงใชอเมลและการสอสารผานระบบอนเทอรเนตเหลานแทนการสอสารกนในชวตจรงอกดวยนอกจากการพงพาระบบอนเทอรเนตในการสอสารแลวยงมการเกบขอมลออนไลนผานบรการCloudหลายคนอาจจะใชเกบรปครอบครวจนถงเอกสารสำคญในการทำงานเรยกไดวาทงชวตของคนจำนวนไมนอยไดหลอมรวมกบโลกออนไลนอยางแยกกนไมออกจนกระทงเรามศพทบญญตวาชวตในโลกดจทลหรอDigitalLifeซงเปรยบเสมอนอกภาคหนงของบคคลและอาจจะหมายถงทกสงทกอยางในชวตของบางคนเลยทเดยว

ในโลกดจทลนนสวนทใชเชอมตอกนกบโลกจรงชวตจรงของมนษยกคอบญชผใชงาน(UserAccount)ทเปนพนฐานของความมตวตนในโลกอนเทอรเนตลองคดดวาหากบญชผใชงานเหลานถกขโมยโดยแฮกเกอรจะสรางความเดอดรอนตอเจาของเพยงใดในครงนผเขยนจงอยากขอกลาวถงกรณศกษาจรงชวตในโลกดจทลของนายแมทโฮนาน(MatHonan)ทถกทำลายลงอยางสนเชงดวยฝมอของแฮกเกอรซงเรมจากการใชวธSocialEngineeringทดเหมอนไมนาเปนไปได จนกระทงสามารถทำใหเขาถงบญชผใชทงหมดไดในเวลาตอมา

แมทโฮนานเปนนกเขยนประจำของWiredซงเปนนตยสารเกยวกบวทยาศาสตรและเทคโนโลยทรจกกนมานานกวา10ปนอกจากนเขายงเปนทมงานของGizmodoซงเปนเวบไซตเกยวกบ แกดเจตทมชอเสยงอกดวยและกเปนธรรมดาของผทอยในวงการเทคโนโลยสมยใหมและเปนนกเขยนทมผตดตามจำนวนไมนอยผานเวบไซตอยางนายแมทจะมบญชผใชงานของบรการออนไลนมากมายสงเดยวทเปนจดเรมตนของการแฮกครงยงใหญนกคอบญชผใชงานทวตเตอร(Twitter)ของGizmodo(http://twitter.com/Gizmodo)ทกลายเปนทตองการของแฮกเกอร[1]และนายแมทซงเปนเจาของบญชผใชงานอย


ในระบบการรกษาความปลอดภยบญชผใชงานดวยรหสผาน(Password)นนเปนธรรมดาทจะตองมผทจำรหสผานของตนเองไมไดและผใหบรการทงหลายไมวาจะเปนGoogleYahooหรอAppleจะตองมวธใหผใชงานทลมรหสผานเหลานสามารถเขาใชงานบญชผใชของพวกเขาไดอกครงโดยไมตองวนวายกบการตดตอกบผใหบรการโดยตรงเชนผใชสามารถทำการขอใหผใหบรการสงรหสผานใหมไปยงทอยอเมลสำรอง(BackupหรอSecondaryEmailAddress)ทเราระบไวตอนสมครบญชผใชหรอใชวธตอบคำถามลบซงสวนมากกเปนขอมลสวนบคคลทไมไดยากเยนทแฮกเกอรจะคนหาไดโดยเฉพาะสำหรบบคคลทมชอเสยงหรออยในเครอขายสงคมออนไลน(SocialNetwork)ดงนนหากแฮกเกอรสามารถยดครองบญชผใชสำรองไดกเทากบวาแฮกเกอรยดบญชผใชหลกและเปนหนงในเทคนคทแฮกเกอรใชในการยดครองบญชของนายแมทโฮนานนนเอง

จากรายละเอยดของสงทเกดขนกบแมทโฮนานทมการเปดเผยในอนเทอรเนตแฮกเกอรม เปาหมายทจะยดครองบญชผใชงานของทวตเตอรอาจจะลำดบเหตการณไดวาแฮกเกอรทราบขอมลจากรายละเอยดในทวตเตอรวาแมทมเวบไซตสวนตวอยและในเวบไซตนนกมขอมลเกยวกบทอยอเมล(EmailAddress)ของเขาอยซงเปนของGMail(GoogleMail)ซงทำใหแฮกเกอรคาดไดวาทอยอเมลนคงจะเปนอเมลสำรองของทวตเตอรแนนอนดงนนหากจะเขายดครองบญชผใชงานของทวตเตอรแฮกเกอรตองเขาถงบญชผใชงานGMailของแมทเสยกอน

เพอใหไดมาซงบญชผใชงานGMailแฮกเกอรไดเรยกใชความสามารถของการกคนบญชเมอลมรหสผานซงตามระบบของGoogleMailนนระบบจะสงURLพเศษสำหรบกคนบญชผใชไปยงอเมลสำรองทผใชไดลงทะเบยนไวถงแมวาGoogleจะมมาตรการความปลอดภยเพมเตมโดยการไมระบอยางชดเจนวาอเมลสำรองทสงURLสำหรบกคนบญชนนคออเมลใดโดยจะปดบงตวอกษรบางตวเชนในกรณของแมทแฮกเกอรจะเหนเพยงวาURLพเศษนนถกสงไปทm••••[email protected]แมวาขอมลจะมเพยงเทานแตกสามารถบอกไดวาอเมลสำรองของแมทเปนระบบme.comซงเปนบรการของAppleนนเอง

ดวยขอมลทมเทานกเพยงพอสำหรบแฮกเกอรแลวเพราะวธทจะสวมรอยเปนเจาของบญชผใชงานของAppleนนอาศยเพยงขอมลเลขบตรเครดต4หลกสดทายของแมทซงเราอาจจะคดวาไมใชของงายทจะหาขอมลนแตแฮกเกอรรดวาในAmazonซงเปนเวบไซตขายสนคาชอดงจะแสดงเลขบตรเครดต4หลกสดทายในหนารายการบตรเครดตของผใชงานแตละคนและแมทกมบญชผใชงานของAmazonอยดงนนงานตอไปทแฮกเกอรตองทำกคอสวมรอยเปนแมทโฮนานในAmazonใหได

จากขอมลทอยสำหรบเรยกเกบเงน(BillingAddress)ทแฮกเกอรไดจากการตรวจสอบขอมลการจดทะเบยนโดเมน(DomainRegisteration)เวบไซตสวนตวของแมทซงขอมลนเปนขอมลสาธารณะและแฮกเกอรคาดวานาจะตรงกบทอยสำหรบเรยกเกบเงนทแมทใชลงทะเบยนในAmazonแฮกเกอรจงไดโทรศพทไปยงฝายบรการลกคาของAmazonและอางชอผใชกบทอยสำหรบเรยกเกบเงนเพอขอใหAmazonเพมรายการบตรเครดตปลอมเขาไปในบญชผใชงาน

ณจดนดเหมอนสงทแฮกเกอรทำจะไมสงผลอะไรตอบญชผใชงานของแมทเพยงแคมรายการบตรเครดตทใชงานไมไดเขามาอยในบญชผใชงานอก1รายการเทานนแตนเทากบวาแฮกเกอรสามารถ


ลวงรรายละเอยดสำคญในบญชผใชงานทเปนเปาหมายเพมขนอก1รายการเชนกนนนคอเลขบตรเครดต(ปลอม)และมนกไดแสดงใหเหนวาเปนจดเปลยนทสำคญยงเมอแฮกเกอรตดตอไปยงAmazonอกครงคราวนอางวาลมรหสผานและใชหลกฐานอนประกอบดวยชอผใชงานทอยสำหรบเรยกเกบเงนและเลขบตรเครดต(ปลอม)ทกลายเปนสวนหนงของบญชผใชไปตงแตกอนหนานแลว

ดวยหลกฐาน3อยางนและฝมอในการทำSocialEngineeringของแฮกเกอรทำใหAmazonยอมใหแฮกเกอรกำหนดอเมลสำรองใหมและแนนอนยอมเปนทอยอเมลทแฮกเกอรสรางขนมาเองดงนนแฮกเกอรจงสามารถเขาสบญชผใชAmazonของแมทโฮนานนำเลข4ตวสดทายของบตรเครดต(ทแทจรง)มาประกอบกบทอยสำหรบเรยกเกบเงนนำไปอางกบAppleเพอกคนบญชของme.comและในme.comแฮกเกอรกไดURLพเศษทใชกคนบญชผใชงานของGMailและในขนตอนสดทายเมอแฮกเกอรเขาควบคมบญชผใชงานGMailของแมทไดกคอการกคนบญช ผใชงานทวตเตอรซงใชทอยอเมลของแมทเปนอเมลสำรองและเขาควบคมบญชผใชงานทวตเตอรของGizmodoไดในทสด

เพอใหเขาใจงายขนอกขอใหดทรปท1และ2ซงเปนการแสดงขนตอนทงหมดทกลาวมา

รปท1ลำดบขนตอนทแฮกเกอรใชในการเขาถงบญชผใชงานในAmazon


รปท2ลำดบขนตอนทแฮกเกอรใชในการเขาถงบญชผใชงานในทวตเตอร ผานGMailและme.com

นอกจากแฮกเกอรจะขโมยบญชผใชงานทวตเตอรของแมทโฮนานไปไดในทสดแลวแฮกเกอรยงไดลบบญชผใชงานGMailและสงลบขอมลบนเครองแมคบคไอโฟนและไอแพดของแมทโดยใชคำสงRemoteWipeของiCloud[2]ทำใหแมทไมสามารถกลบเขาไปกคนบญชผใชงานทงหมดได นอกจากแมทจะสญเสยบญชผใชงานทงหมดไปแลวขอมลเชนรปถายครอบครวและอเมลทงหมดกถกแฮกเกอรทำลายไปดวยเทากบวาเปนหายนะครงยงใหญสำหรบแมทโฮนานทงกบตวตนในโลกดจทลและตวตนในโลกจรงของเขาทเดยว


อาจจะกลาวไดวาถงแมแมทโฮนานจะระมดระวงตวเปนอยางดแลวแตชองโหวทไมนาเกดขนใน ขนตอนการขอกคนบญชผใชในกรณของAmazonอาจจะเกดจากไมมการตรวจสอบความผดปกตของการเพมเลขบตรเครดตเขามาใหมดวยชองทางทไมปกต(ใชเพยงทอยสำหรบเรยกเกบเงนเทานน)และยงมการนำเลขบตรนไปใชอางความเปนเจาของบญชผใชในระยะเวลาไมนานหลงจากนนสวนAppleนนกตองการเพยงทอยสำหรบเรยกเกบเงนและเลข4หลกสดทายของบตรเครดตแตทงนอาจตองใหเครดตกบผลงานSocialEngineeringของแฮกเกอรทหากแฮกเกอรไมมความสามารถในดานนดพอเจาหนาทของAmazonและAppleอาจจะรสกไดถงความไมชอบมาพากลและสามารถหยดยงไมใหเกดความเสยหายขนอยางเชนในกรณนได

จากตวอยางของแมทโฮนานเราอาจปองกนตวไมใหตกเปนเหยอของแฮกเกอรในลกษณะนไดโดยไมเชอมตอบญชผใชเขาดวยกนในลกษณะการเปนบญชสำรองหลายๆทอดเพราะในกรณทมบญชใดบญชหนงถกเจาะไดกจะสงผลใหบญชทเหลอถกเจาะตามไปดวยเปนลกโซรวมถงการใชชอผใชท แตกตางกนในแตละบญชผใชกอาจชวยไดในบางกรณแตอยางไรกตามปญหาใหญทเราไมอาจควบคมไดเกดทผใหบรการ(ในทนคอAmazonและApple)ซงมนโยบายทแตกตางกนไปในการใหบรการลกคาในกรณฉกเฉน[3]เชนลมรหสผานอยางเชนทแฮกเกอรใชในครงนแตขอมลทงอเมลและ ภาพถายของแมททถกแฮกเกอรทำลายทงไปนนหากมการสำรองขอมลเอาไวในอปกรณสำรองสวนบคคลเชนฮารดดสกแบบพกพาหรอเขยนลงในแผนดวดหรอซดอยางสม�าเสมอกอาจชวยลดความเสยหายลงไดแทนทจะใหความเชอมนบนบรการออนไลนทงหมดอยางทหลายๆคนเปนอยในขณะนโดยอาจลมไปวาบญชผใชงานในโลกดจทลทงหลายนนอาจถกเจาะไดโดยแฮกเกอรไมวนใด กวนหนง

อางอง

1. http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/

2.http://www.emptyage.com/post/28679875595/yes-i-was-hacked-hard

3.http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/2/



FACEBOOKCOMMUNITYSTANDARDSกบการโพสตบนเฟชบคผเขยน : ณฐโชตดสตานนทวนทเผยแพร : 6มถนายน2556ปรบปรงลาสด : 6มถนายน2556

ในปจจบนเราคงปฏเสธไมไดวาเฟชบคกลายเปนSocialMediaอนดบหนงทผใชอนเทอรเนตสวนใหญนยมใชกนไมวาจะเปนการโพสตขอความหรอการแชรรปภาพเพอแสดงความเปนตวเองบนสงคมออนไลนและแมแตในสงคมออนไลนกมปญหาในการอยรวมกนเชนในองกฤษมการรงแกใน หมเดกโดยโพสตดาออนไลนผานเฟชบคจนทำใหเดกฆาตวตาย[1]นอกจากนการแสดงความคดบางอยางอาจจะยอมรบไดจากคนกลมหนงเชนมองวาเปนเรองของเสรภาพแตอาจจะไมไดรบการยอมรบจากคนอกกลมเชนมองวาเปนการละเมดสทธของอกคนหรอสรางผลกระทบตอสงคมเฟชบคจงไดสรางFacebookCommunityStandardsเปนมาตรฐานหรอขอตกลงของการแสดงความคดเหนไมวาจะเปนการโพสตหรอการแชรในเฟชบคเพอเปนแนวทางวานคอสงทยอมรบไดและนคอสงทยอมรบไมไดถอเปนเรองทเราควรรและคำนงถงกอนทจะโพสตขอความหรอแชรสอตางๆFacebookCommunityStandardsสามารถแบงไดตามหวขอดงน

รปท1ตวอยางfacebookcommunitystandardsบนเฟชบค


ความรนแรงและการขมข(ViolenceandThreat)

หามโพสตขอความทเปนการขมขวาจะทำรายหรอชกชวนใหทำรายกอการรายตอบคคลโดยตรงหรอตอสาธารณชนเชนโพสตขอความวาจะวางระเบดสวนสาธารณะรวมถงการสรางบญชหรอสรางฟนเพจเปนผกอการรายหรอองคกรกอการราย

การทำรายรางกายตวเอง(Self-harm)

หามไมใหชกชวนฆาตวตายหรอการกระทำใดๆกตามทเปนการทำรายรางกายตวเองรวมถงการชกชวนใหใชยาเสพตด

การหมนประมาท(BullyingandHarassment)

หามไมใหโพสตในบญชคนอนหรอสรางเพจทเปนการกลาวใหรายหรอหมนประมาท

เฮทสปช(HateSpeech)

เฮทสปชคอการพดซงมเจตนาทางเกลยดชงและกอใหเกดการเกลยดชงอกฝายหนงโดยเปาหมายนนจะเปนในลกษณะวงกวางไมใชตวบคคลเชนศาสนาสผวเชอชาตถนกำเนดเพศความพการซงการแสดงความคดเหนในลกษณะนเปนสงทยอมรบไมไดในเฟชบค

สอรปภาพและวดโอ(GraphicContent)

สอบางอยางทเปนสงทรบไดสำหรบคนกลมหนงแตเราจำเปนตองคำนงถงความหลากหลายดานวฒนธรรมและเชอชาตอยางไรกตามเฟชบคหามไมใหโพสตสอทมลกษณะลามกอนาจาร

การแสดงยนยนตวตนและความเปนสวนตว(IdentityandPrivacy)

เฟชบคมนโยบายใหบคคลตองใชชอจรงในการสมครบญชและหามบคคลไมใหเปดเผยขอมลสวนบคคลอนโดยทไมไดรบการยอมรบจากเจาของรวมถงการสรางชอบญชปลอมแสดงตวเปนคนอนการแสดงตวหรอสรางแฟนเพจเปนองคกรบรษทบคคลโดยไมไดรบการอนญาต

ทรพยสนทางปญญา(Intellectualproperty)

หามแชรสอทไดรบความคมครองลขสทธหรอเครองหมายทางการคา

ฟชชงและสแปม(PhishingandSpam)

การหลอกลวงโดยใชอเมลหรอหนาเวบไซตปลอมของเฟชบคเพอใหไดมาซงขอมล(Phishing)เชนชอผใชรหสผานและการสงขอความถงผทไมตองการรบกอใหเกดความรำคาญ(Spam)กเปนการละเมดขอตกลงเชนกน

ความมนคงปลอดภย(Security)

นอกจากเทคนคฟชชงและสแปมแลวกยงหามไมใหใชเทคนคอนๆเพอขโมยขอมลลบสวนบคคลรวมถงการขโมยบญชเฟชบคทางเฟชบคไดใหความสำคญในเรองของsecurityโดยมการเปดใหผใชสามารถloginแบบยนยน2ขนตอน(2stepverification)เหมอนกบgoogle


ถงแมเฟชบคสรางFacebookCommunityStandardsกตามแตกเปนเพยงแนวทาง โดยไมไดระบรายละเอยดอยางชดเจนทำใหเกดขอสงสยเชนรปลกษณะอยางไรถงเรยกวาเปน สอลามกอนาจารหรอการโพสตขอความในบางลกษณะทอาจมองวาเปนhatespeechหรอเปนมกตลกกไดซงขนอยกบการตความของแตละบคคลดงนนผใชควรใชวจารณญาณกอนโพสตโดยคดถงผลกระทบทจะเกดขนดวยอยางไรกตามหากผอานพบเหนการละเมดFacebookCommunityStandardsเชนมการโพสตขอความประกาศการกอการรายหมนสถาบนเบองสงหรอมคนสรางบญชแอบอางเปนผอานผอานกสามารถทจะแจงทมงานFacebookเพอทจะนำไปดำเนนการซงผเขยนจะอธบายวธการแจงในตอนตอไป

อางอง

1. http://www.bbc.co.uk/news/uk-england-birmingham-14121631

2.https://www.facebook.com/communitystandards



เปดใช2-STEPAUTHENTICATIONในGOOGLEแลวมปญหาใชแอปบนมอถอทำไงด!!ผเขยน : ณฐโชตดสตานนทวนทเผยแพร : 6มถนายน2556ปรบปรงลาสด : 6มถนายน2556

สบเนองจากบทความเรอง2-StepAuthenticationททางไทยเซรตไดเผยแพรในเวบไซต ผอานอาจจะสงสยวาแอปพลเคชนบางตวทไมรองรบ2-StepAuthenticationเชนGmailบนโทรศพทมอถอหรอOutlookบนWindowsจะสามารถเขาถงขอมลในบญชกเกลไดอยางไรในเมอแอปพลเคชนเหลานไมไดสนบสนนการยนยนตวบคคลในลกษณะนผเขยนจงขอแนะนำวธการทจะทำใหแอปพลเคชนเหลานสามารถทำงานรวมกบบญชผใชงานทเปดการใชงาน2-StepAuthenticationไวไดโดยเจาของบญชสามารถสรางรหสผานพเศษทเรยกวาApplication-specificpasswordเพอใชสำหรบแอปพลเคชนเหลานโดยเฉพาะทำใหสามารถเขาถงเขาขอมลในบญชกเกลไดเปนรายกรณ[1] [2]

วธการสรางApplication-specificpassword

1.ผใชตองเปดใช2-StepAuthenticationโดยวธเปดใชสามารถศกษาไดทบทความทอางถงขางตน[1]

2.เขาhttps://www.google.com/settings/securityและคลกทSettingsตามรปท1


รปท1คลกทSettings

3.คลกทManageapplication-specificpasswordsตามรปท2

รปท2คลกทManageapplication-specificpasswords

4.หลงจากคลกผใชจะไปยงหนาloginเมอloginเพอยนยนตวตนเสรจเรยบรอยผใชจะมายงหนาสำหรบสรางApplication-specificpasswordตามรปท3ใหผใชใสชอเพอใหจำไดวารหสผานทจะสรางนนใชกบแอปพลเคชนอะไรเชน“MyGmailonAndroid”จากนนใหคลกGeneratepasswordเพอสรางรหสผาน


รปท3ใสชอเพอชวยจำรหสผานและคลกGeneratepassword

5.ผใชสามารถนำรหสผานทสรางขนแบบสมซงตามรปท4คอ“yanwjmyzqpqpwtdv”(ไมมspace)ไปใชกบแอปพลเคชนทตองการโดยใสตรงหนาloginเหมอนรหสผานทวไปและเนองจากปกตแลวแอปพลเคชนในโทรศพทมอถอจะจำรหสผานไวดงนนผใชไมจำเปนตองจำรหสผานนเพอไวใชงานอกและเมอคลกทปมDoneแลวจะไมมทางเปดดรหสผานนไดอกซงถอวาเปนมาตรการความปลอดภยของGoogle

รปท4แสดงรหสผานทถกสราง

ถงแมวารหสผานนจะสามารถใชงานไดมากกวาหนงแอปพลเคชนผเขยนขอแนะนำวาควรสรางรหสผานขนมาแยกกนเพราะในกรณทสงสยวารหสผานของแอปพลเคชนใดทอาจรวไหลหรอถกใช


งานอยางมชอบผใชสามารถทำการเพกถอนรหสผานเปนรายตวไดโดยคลกทRevokeตามรปท4

และถงแมวาApplication-specificpasswordจะเพมความสะดวกสบายใหกบผใช แตกเปนการเพมชองทางในการเจาะระบบสำหรบแฮกเกอรเพราะผทไดApplication-specificpasswordมสทธเขาถงขอมลทกอยางตามทระบไวในรปท4เทยบเทากบการเขาสระบบผาน2-StepAuthenticationนอกจากนเมอวนท21กมภาพนธ2556นกวจยคนพบชองโหวทำใหแฮกเกอรทมApplicaton-specificpasswordสามารถทำpasswordrecoveryหรอปดการใช2-StepAuthenticationได[3]ซงปจจบนนชองโหวไดถกปดไปแลว

สรป

การใช2-StepAuthenticationถอเปนการเพมความมนคงปลอดภยใหกบบญชขนอกระดบและการใชApplication-specificpasswordกชวยกำจดปญหาเรองแอปพลเคชนทไมรองรบ2-StepAuthenticationไดอยางไรกตามผใชไมควรใชงานApplication-specificpasswordนอกเหนอจากการใชกบแอปพลเคชนทจำเปนตองใชงานเทานนและควรเปนแอปพลเคชนทมาจากแหลงนาเชอถอเชนแอปพลเคชนทดาวนโหลดมาจากOfficialsiteหรอเปนแอปพลเคชนบนมอถอทดาวนโหลดจากGoogleplayหรอAppStoreเพราะอยาลมวาApplication-specificpasswordนนหากเกดการรวไหลผไมประสงคดสามารถเขาถงบญช ผใชงานของเราไดโดยไมตองผาน2-StepAuthenticationไดถงแมวาจะมขอจำกดบางประการกตาม

อางอง

1. http://support.google.com/a/bin/answer.py?hl=en&answer=1032419

2.http://support.google.com/accounts/bin/answer.py?hl=en&answer=185833

3.http://www.computerworld.com/s/article/9237148/Application_specific_passwords_weaken_Google_s_two_factor_authentication_researchers_say

4.https://blog.duosecurity.com/2013/02/bypassing-googles-two-factor-authentication/


SECUREDELETE:ลบไฟลอยางไรใหปลอดภยจากการกคนผเขยน : เจษฎาชางสสงขวนทเผยแพร : 19กรกฎาคม2556ปรบปรงลาสด : 19กรกฎาคม2556

ยคสมยทเทคโนโลยกาวเขามามบทบาทตอการใชชวตประจำวนบนโลกออนไลนผคนสวนมากใชงานคอมพวเตอรเพอการสอสารแลกเปลยนขอมลรวมถงเพอการทำธรกรรมออนไลนขอมลสำคญมการสรางและเกบอยบนเครองคอมพวเตอรไมวาจะเปนชอทอยหมายเลขโทรศพทรปถายหรอขอมลสวนบคคลอนๆทอาจสรางความเสยหายกบเจาของขอมลไดหากมการรวไหลออกไป

สาเหตของการรวไหลของขอมลสวนบคคลเหลานทเปนทรกนดอยางหนงกคอการนำเครองคอมพวเตอรไปซอมทรานอยางทจะเหนไดจากขอมลตามรปท1เปนผลการคนหาดวยคยเวรด “ภาพหลดจากรานซอมคอม”โดยGoogleซงจะพบคลปหรอรปภาพทอางวาหลดมาจากรานทรบซอมคอมพวเตอรเปนจำนวนมากกวา100รายการถงแมวาบางสวนอาจเปนการแอบอางเทานนแตถาลองพจารณาถงเหตผลกคงไมมใครปฏเสธวาขอมลเหลานสามารถถกขโมยออกมาไดจากเครองคอมพวเตอรไดไมยากและเชอวาสวนหนงมาจากทผใชงานไมไดสนใจทจะลบขอมลสำคญเหลานน ออกกอนซงในกรณนคงตองโทษเจาของขอมลสวนหนงทไมเอาใจใสในการปองกนขอมลของตวเองอยางเพยงพอ


รปท1แสดงผลการคนหาดวยคยเวรด“ภาพหลดจากรานซอมคอม”โดยGoogle

แตผใชคอมพวเตอรจำนวนหนงททราบถงความสำคญของการปกปองขอมลสวนตวถงขนาดลบขอมลออกกอนทจะสงไปใหรานซอมแลวแตขอมลกยงรวไหลออกไปไดจะมคำอธบายอยางไร?ในกรณนอาจจะไมใชเรองใหมหรอแปลกหสำหรบคนไอทมากนกเนองจากเปนทรกนดวามโปรแกรมหลายตวทมความสามารถในการกคนไฟลทถกลบไปแลวใหกลบมาในสภาพเดมไดอยางไมยากเยนดงนนบทความในครงนจะกลาวถงแนวทางการปองกนขอมลสำคญจากการถกกคนโดยโปรแกรมดงกลาวพรอมตวอยางเพอใหผอานสามารถนำไปปรบใชไดดวยตนเอง

ลบขอมลแลวกไดจรงหรอ

ในความเขาใจของผใชงานคอมพวเตอรโดยทวไปแลวหากตองการลบขอมลโดยทไมใหสามารถกคนไดอกเชนในระบบปฏบตการวนโดวสจะใชคำสงDeleteเพอลบขอมลทงแตในความเปนจรงแลวขอมลดงกลาวไมไดถกลบออกจากฮารดดสกจรงยงมกระบวนการทสามารถกคนขอมลสวนนนขนมาใชงานไดอยซงกอนทเขาใจวธการกคนขอมลนนผเขยนจะขออธบายพนฐานของการจดเกบขอมลเบองตนเพอความเขาใจทชดเจน

ในการจดเกบขอมลบนระบบปฏบตการสวนมากมการเกบขอมลเบองตนอย2สวนไดแกIndexหรอสวนทใชชตำแหนงของขอมลวาเกบอยทตำแหนงใดในพนทจดเกบขอมล(เชนฮารดดสก)และมขอมลอนๆทเรยกวาMetadataเชนชอไฟลวนทเปลยนแปลงขอมลเปนตนในสวนถดมาคอตวขอมลจรงๆคอเนอไฟลทเกบอยในฮารดดสกซงเมอผใชงานลบไฟลดวยคำสงDeleteระบบปฏบตการจะลบเฉพาะIndexทใชชตำแหนงของขอมลทงเทานนโดยเนอไฟลจรงๆจะไมถกแตะตอง


แตบรเวณทเนอไฟลอยนนจะถกมองเหมอนเปนพนทวางซงหากระบบปฏบตการยงไมเขยนขอมลอะไรทบลงไปขอมลเดมทงหมดกมโอกาสถกกคนได[1] [2]

ลบขอมลอยางไรใหกคนไมได

จะเหนไดวาถงแมเราจะลบขอมลแลวแตหากเนอไฟลยงไมถกเขยนทบกยงไมถอวาขอมลนนหายไปไหนวธการทจะทำใหขอมลนนไมสามารถนำออกมาใชไดอกสามารถทำไดดวยการเขยนขอมลอนๆทบลงไปเชนเทคนคทเรยกวาZerofillจะเปนการเขยนตวเลข0ทบลงไปบนขอมลทตองการลบหรอการRandomfillจะเปนการเขยนทบดวยขอมลทเปนคาสมและสำหรบผทตองการความแนนอนในการลบกสามารถเขยนขอมลทบลงไปหลายๆรอบไดเพอลดโอกาสสำเรจในการกคนขอมลใหไดมากทสด[3] [4] [5]

ตวอยางเครองมอและวธการใชสำหรบลบไฟล

ในหวขอนจะเปนการกลาวถงการยกตวอยางเครองมอทใชในการลบไฟลอยางมนคงปลอดภยซงจะขอแบงเปนเครองมอทใชกบระบบปฏบตการวนโดวสและลนกซดงน

ตวอยางเครองมอทใชในระบบปฏบตการวนโดวส

เครองมอทสามารถลบขอมลไดอยางมนคงปลอดภยบนวนโดวสนนมหลายตวแตในทนจะขอยกตวอยางโปรแกรมทชอวาSDeleteซงเปนซอฟตแวรทใชงานไดฟรและเปนของMicrosoftเองสามารถดาวนโหลดไดจาก(http://technet.microsoft.com/en-us/sysinternals/bb897443)และเมอดาวนโหลดเสรจแลวสามารถเรยกใชไฟลsdelete.exeไดโดยตรงซงมตวอยางการใชงานดงน[6]


1.คำสง“sdelete.exe-h”จะแสดงOptionตางๆทซอฟตแวรรองรบการใชงานดงรปท2

รปท2แสดงOptionตางๆของsdelete

2.คำสง“sdelete.exe-p10data.txt”คอการลบไฟลdata.txtและเขยนทบตำแหนงของขอมลดงกลาวซ�ากน10ครงดงรปท3

รปท3แสดงตวอยางการลบไฟลดวยsdelete

3.คำสง“sdelete.exe-z”คอการเขยนขอมลทบในตำแหนงทวางทงหมดในไดรฟซงการใชคำสงนจะทำใหขอมลทถกลบดวยวธธรรมดากอนหนานหายไปอยางถาวรเชนเดยวกบการใชคำสงsdeleteกบไฟลเหลานนโดยตรงตวอยางการใชงานดงรปท4

รปท4แสดงตวอยางการเขยนขอมลทบตำแหนงทวาง


ตวอยางเครองมอทใชในระบบปฏบตการลนกซ

สำหรบระบบปฏบตการลนกซนนผเขยนขอยกตวอยาง2เครองมอไดแกshred[7]ซงใชในการลบไฟลและsfill[8] [9]ใชในการเขยนขอมลทบตำแหนงทวางอยดงแสดงในตวอยางตอไปน

1.คำสง“shred-n10-z-vdata.txt”คอการลบไฟลdata.txtโดยจะเขยนคาทบขอมลทตองการลบจำนวน10ครง(-n10)และเขยนทบในรปแบบZerofill(-z)ครงสดทายดงรปท5

รปท5แสดงตวอยางการลบไฟลดวยคำสงshred

2.คำสง“sfill-v/”คอการเขยนขอมลทบในตำแหนงทวางทงหมดในRootDirectoryซงการใชคำสงนมผลเชนเดยวกบโปรแกรมsfillของวนโดวสทไดกลาวไปแลวแสดงตวอยางดงรปท6

รปท6แสดงตวอยางการเขยนขอมลทบตำแหนงทวางดวยซอฟตแวรsfill


สรป

การเกบขอมลภายในเครองควรคำนงถงการรกษาความลบของขอมลทสำคญซงรวมถงขอมลสำคญทเราไมตองการใชงานแลวควรมวธการในการปองกนไมใหขอมลเหลานนรวไหลซงในบทความนไดแสดงใหเหนถงผลกระทบทเกดขนหากขอมลรวไหลและวธลบขอมลทไมตองการใชงานแลวไมใหสามารถกคนได

อางอง

1. http://www.howtogeek.com/72130/learn-how-to-securely-delete-files-in-windows/

2.https://ssd.eff.org/tech/deletion

3.http://techthrob.com/2009/03/02/howto-delete-files-permanently-and-securely-in-linux/

4.http://techthrob.com/2010/03/25/howto-delete-files-permanently-and-securely-in-windows/

5.http://wiki.answers.com/Q/What_is_zero_filling

6.http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx

7.http://linux.about.com/library/cmd/blcmdl1_shred.htm

8.http://manpages.ubuntu.com/manpages/lucid/man1/sfill.1.html

9.http://www.lylebackenroth.com/blog/2010/09/30/how-to-securely-delete-unused-drive-space-other-system-areas/


IPHONEIPADIPODตดมลแวรภายใน1นาทผเขยน : พรพรหมประภากตตกลวนทเผยแพร : 4สงหาคม2556ปรบปรงลาสด : 4สงหาคม2556

“iPhoneiPadiPodหรอเรยกอกชอวาเปนอปกรณiOSปจจบนพบวาสามารถ ตดมลแวรภายหลงจากเสยบทชารจไฟ

สาธารณะเพยง1นาท”กลมนกวจยจากGeorgiaInstituteofTechnologyไดเผยแพรขอมลงานวจยชนสำคญ

ภายในงานBlackhatทจดขนทลาสเวกสสหรฐเมรกาหรอBlackhatUSA2013ในหวขอ“MACTANS:INJECTINGMALWAREINTOIOSDEVICESVIAMALICIOUSCHARGERS”โดยกลาววาอปกรณทใชงานระบบปฏบตการiOSสามารถถกฝงมลแวรไดอยางงายดายเพยงแคนำอปกรณiOSมาเชอมตอเขากบอปกรณสำหรบชารจไฟทพฒนาขนโดยเฉพาะชอMACTANSChargerโดยกลมนกวจยไดอธบายหลกการทำงานเบองตนของอปกรณทไดพฒนาขนวาเปนการนำBeagleBoard(http://beagleboard.org/)ซงเปนเมนบอรดทแพรหลายในกลมนกพฒนาOpenSourceเนองจากมขนาดเลกและสามารถตดตงระบบปฏบตการLinuxไดทำใหกลมนกวจยนำมาใชงานสำหรบประมวลผลซอรสโคดทพฒนาขนความสามารถของMACTANSCharger คอสงการใหอปกรณiOSทมาเชอมตออยนนประมวลผลซอรสโคดทพฒนาขนและสงใหมการตดตงมลแวรแอปพลเคชนลงในอปกรณiOSไดภายใน1นาทจากกรณดงกลาวกลมนกวจยอางวาไดอาศยเทคนคและชองโหวของระบบปฏบตการiOSทพบและสรางอปกรณขนมาเพอทดสอบสมมตฐานทตงขน(Proofofconcept)ซงในเบองตนบทความนจะอธบายกระบวนการทำงานดานความปลอดภยของระบบปฏบตการiOSใหทราบกอนจากนนจงเขาถงสวนทอธบายการทำงานของอปกรณทเกยวของและการตดมลแวรตอไป


กลไกการปองกนดานความมนคงปลอดภยของระบบปฏบตการiOS

1.การReviewแอปพลเคชนกอนเปดใหผใชงานดาวนโหลดจากAppStore

แอปพลเคชนทจะนำขนAppStoreเพอใหผใชงานเรมดาวนโหลดไดจะตองผานกระบวนการตรวจสอบดานความมนคงปลอดภยจากทมงานของAppStoreกอนทกครงวาแอปพลเคชนมลกษณะการทำงานทเปนอนตรายหรอไมซงจากอดตทผานมาจะเหนไดวามโอกาสนอยมากทจะพบแอปพลเคชนบนAppStoreททำงานในลกษณะเปนมลแวร

2.การตรวจสอบCodeSigingกอนการตดตงหรอการทำงานของแอปพลเคชน

CodeSigningหรอทเขาใจในอกมมหนงวาเปนการตรวจสอบความถกตองของแอปพลเคชนวาเปนแอปพลเคชนทไดรบอนญาตใหตดตงไดโดยAppStoreหรอไมในอปกรณiOSทไมไดมการJailbreakสวนการทำงานของระบบปฏบตการระบบปฎบตการจะทำการตรวจสอบCodeSigningของแอปพลเคชนทจะมการตดตงหรอมการเรยกใชงานหากระบบปฏบตการพบวาแอปพลเคชนไมไดรบการยนยนวามาจากAppStoreกจะทำใหแอปพลเคชนนนทำงานตอไปไมได

3.การทำSandboxปองกนพนทการทำงานและโพรเซสการทำงานของแอปพลเคชน

Sandboxคอความสามารถในการแบงการทำงานออกเปนสวนๆแยกกนทำเพอปองกนการ เขาถงขอมลสำคญของแตละสวนในระบบปฏบตการiOSกมการทำงานลกษณะนซงแยกการทำงานออกเปนสวนเฉพาะหรอทเรยกวาiOSSandboxหมายถงแอปพลเคชนทกตวไมไดแชรพนทรวมกนเพอปองกนการเขาถงขอมลของแอปพลเคชนอนแตกมความยดหยนใหผพฒนาสามารถเลอกทจะแชรขอมลหรอพนทบางสวนกบแอปพลเคชนอนไดและความสามารถของiOSSandboxดงกลาวกทำใหการเขาถงขอมลโพรเซสการทำงานของแอปพลเคชนไมสามารถทำไดเชนกน

อยางไรกตามขอจำกดและกลไกการปองกนทงหมดทระบบปฏบตการiOSมดงทไดกลาวมา ขางตนปจจบนสามารถถกBypassไดอยางสนเชงโดยอาศยเทคนคและชองโหวทจะกลาวถงในอปกรณตนแบบชอMACTANSChargerโดยทอปกรณดงกลาวอาจดเปนเพยงอปกรณสำหรบชารจแบตเตอรของอปกรณiOSธรรมดาแตเมอมการนำอปกรณiOSเสยบเขากบอปกรณดงกลาวแลวกจะทำใหอปกรณiOSถกตดตงมลแวรไดเพยงไมเกน1นาท

คณสมบตของอปกรณตนแบบMACTANSCharger

1.สามารถทำงานไดกบอปกรณiOSทกชนดและทกเวอรชนโดยไมจำเปนวาอปกรณจะตองJailbreakอยหรอไม

2.ทำงานอตโนมตภายหลงจากการPairระหวางอปกรณiOSกบMACTANSสมบรณแลว(จะกลาวถงการPairในลำดบถดไป)

3.ไมมการแสดงผลฝงผใชงานทำใหไมพบความผดปกตบนหนาจอ

4.อปกรณตนแบบมขนาดเพยง8x7ซม.ทำใหงายตอการตดตงแบบหลบซอน


5.ยงไมพบวามแอปพลเคชนอนๆทสามารถทำงานไดเทยบเทา

รปท1แสดงแผงวงจรควบคมภายในของอปกรณMACTANS

ขนตอนการตดมลแวรจากอปกรณตนแบบMACTANSCharger

1.ดงคาUDIDของอปกรณiOSทเชอมตอกบMACTANSChargerออกมา

คาUDIDเปนคา40หลกทนำมาใชระบอปกรณiOSแตละตวซงคาทอยในแตละอปกรณจะตองมคาทตางกน(UniqueID)โดยปกตเมอมการเชอมตอผานสายUSBระบบปฏบตการiOSจะสงคาดงกลาวมายงอปกรณทเชอมตอเพอใชเปนขอมลในการยนยนการเชอมตอกลมนกวจยไดนำเอาขอมลUDIDมาใชประโยชนตอในกระบวนการจดการทจะเกดขนในลำดบตอๆไป

2.PairอปกรณiOSกบMACTANSCharger

การPairคออะไร?

ผใชงานหลายทานอาจยงไมเคยสงเกตวาในอปกรณiOSของตนเองทนำมาเชอมตอกบโปรแกรมชอiTunesนนทำไมถงสามารถเชอมตอและใชงานฟงกชนในการจดการอปกรณiOSไดทนทเมอมการเชอมตอผานสายUSBซงนนคอทมาของคำวาการPairนนเองการPairอปกรณiOSเกดขนระหวางอปกรณiOSและเครองคอมพวเตอรทเชอมตอกบอปกรณiOSอยการPairอปกรณiOSในครงแรกจะสมบรณกตอเมออปกรณiOSตองมการปลดลอกหนาจอแลวซงภายหลงจากการPairครงแรกสมบรณแลวในครงตอไปกไมจำเปนวาอปกรณiOSจะตองมการปลดลอกอกเนองจากมการจดจำการเชอมตอไวแลวทำใหสามารถเขาถงขอมลตางๆในอปกรณiOSไดทนท


เกดอะไรขนบางภายหลงจากPairกบอปกรณiOSสำเรจแลว

• อปกรณทเชอมตอกบอปกรณiOSสามารถเขาถงขอมลรายละเอยดจากอปกรณiOSเชนขอมลUDIDขอมลSerialnumber

• อปกรณทเชอมตอกบอปกรณiOSสามารถเลอกตดตงและถอนแอปพลเคชนจากอปกรณiOS

• อปกรณทเชอมตอกบอปกรณiOSสามารถจดการขอมลProvisioningProfilesของอปกรณiOS(จะกลาวถงProvisioningProfilesในลำดบถดไป)

• อปกรณทเชอมตอกบอปกรณiOSสามารถมองเหนขอมลทมการDebuggingของอปกรณiOS

3.ตดตงProvisioningProfilesบนอปกรณiOSใหม

ProvisioningProfilesคออะไร?

โดยปกตแลวProvisioningProfilesนนจะใชกบอปกรณiOSทอนญาตใหมการลงทะเบยนเปนอปกรณสำหรบใชในการพฒนาหมายถงอปกรณiOSใดกตามทตดตงProvisioningProfilesเทากบวาสามารถตดตงแอปพลเคชนทพฒนาขนเองไดทนทมกจะถกนำมาใชงานกบ นกพฒนาแอปพลเคชนเปนสวนใหญ

MACTANSChargerใชประโยชนจากProvisioningProfilesอยางไรและมขนตอนอยางไร?

MACTANSChargerจะสงคาUDIDของอปกรณiOSทเชอมตออยผานเครอขายอนเทอรเนตไปลงทะเบยนกบAppStoreพรอมกบProfileของนกพฒนาแอปพลเคชนบนอปกรณiOSหรอทเรยกวาDeveloperAccount(หมายความวาตองมลงทะเบยนDeveloperAccountดงกลาวไวกอนแลวจงจะนำProfileของอปกรณiOSมาลงทะเบยน)เพอใหนกพฒนาดงกลาวสามารถตดตงแอปพลเคชนทดสอบบนอปกรณiOSเครองนนไดและเมอการลงทะเบยนกบAppStoreสำเรจแลวตอไปกจะเรมการสรางProfileหรอทเรยกวาProvisioningProfilesบนอปกรณiOSเพอใหนกพฒนาดงกลาวมสทธในการตดตงและรนแอปพลเคชนทดสอบบนอปกรณiOSเครองนนไดโดยรปท2เปนตวอยางขอมลจากเวบของAppleDeveloperทแสดงใหเหนวามอปกรณชออะไรและUDIDอะไรบางทลงทะเบยนไวกบDeveloperAccountรายหนงแตอยางไรกตามยงพบขอจำกดของการใชงานในลกษณะนเนองจากการลงทะเบยนกบอปกรณiOSสามารถทำไดเพยง100เครองตอ1DeveloperAccountสงเกตไดจากรปทจะบอกวาเหลอทตดตงไดอก54เครองอยตามรปท2


รปท2แสดงตวอยางขอมลการตดตงProvisioningProfilesบนอปกรณiOSโดยเชคจากDeveloperAccountหนง[1]

รปท3แสดงตวอยางProvisioningProfilesทมการตดตงอยในอปกรณiOSสามารถดไดจาก

เมนGeneral->Profiles[2]


รปดานบนเปนหนาแสดงขอมลProvisioningProfilesเมออปกรณiOSดงกลาวมการตดตงProvisioningProfilesแลวจะเหนขอมลดงกลาวในเมนของอปกรณiOSได(เขาไปทเมนGeneral->Profiles)แตสวนใหญมกไมมใครสงเกตเนองจากไมใชนกพฒนาและไมเขาใจความหมายของขอมลในสวนดงกลาว(ในอปกรณiOSทไมไดมการตดตงProvisioningProfilesจะไมพบเมนทชอวาProfiles)

4.ตดตงมลแวรแอปพลเคชน

ภายหลงจากทMACTANSChargerไดตดตงProvisioningProfilesบนอปกรณiOSสำเรจแลวกจะเขาสขนตอนการตดตงแอปพลเคชนมลแวรโดยกลมนกวจยเพมเตมวาแอปพลเคชน ททำงานเปนมลแวรนนไดรบการออกแบบใหทำงานในโหมดซอนตวเพอปองกนไมใหผใชงานสงเกต ความผดปกตไดโดยการซอนการทำงานของแอปพลเคชนและไดทำการแสดงตวอยางของแอปพลเคชนทพฒนาขนในลกษณะคลปวดโอในลกษณะทแสดงใหเหนวาเมอมการเชอมตออปกรณiPhone5 เขากบMACTANSChargerจากนนทำการปลดลอกทiPhone5และเขาใชงานซงจะพบวาสามารถ ใชงานไดตามปกตแตแททจรงแลวมการทำงานเบองหลงอยและไดทำการตดตงมลแวรแอปพลเคชน ลงในiPhone5เรยบรอยภายในชวงเวลาไมถง1นาทโดยกลมนกวจยใชเทคนคทเรยกวาการRepackagingกบแอปพลเคชนFacebookเพอฝงการทำงานทมการเรยกมลแวรแอปพลเคชน มาทำงานอกทและในคลปชวงสดทายแสดงใหเหนวาเมอผใชงานเปดแอปพลเคชนFacebookกจะพบการทำงานในลกษณะอตโนมตเพอโทรออกไปยงปลายทางโดยโทรศพทคลกไปทเมนโทรออกและกดโทรศพทออกไปหาปลายทางโดยอตโนมตทงหมดกลมนกวจยกลาววาการสาธตนเพอใหเหนภาพวามลแวรแอปพลเคชนหรอแอปพลเคชนอนตรายสามารถถกตดตงเขามาในอปกรณiOSและสามารถทำอะไรไดบางแตในความเปนจรงแอปพลเคชนมลแวรทเกดขนคงไมไดทำงานในลกษณะทแสดงใหเหนชดเจนอยางนแนนอน

รปท4แสดงตวอยางการตงคาเพอซอนแอปพลเคชนในไฟลinfo.plist


รปท5กลมนกวจยกำลงตอบคำถามภายหลงจากการบรรยาย จบลงทงานBlackhatUSA2013

การปองกนและการตรวจสอบ

1.จากการสอบถามกลมนกวจยถงการรบรขอมล ดงกลาวของทมพฒนาระบบปฏบตการiOSโดยไดทราบวาทมพฒนาดงกลาวไดรบทราบขอมลนแลวและไดมแผนการ ในอนาคตเกยวกบการปองกนปญหาในลกษณะดงกลาวโดยในระบบปฏบตการiOSเวอรชน7ทจะเกดขนจะมโมดลในการแจงเตอนและยนยนการเชอมตอทอปกรณiOSกอนเพอปองกนการเชอมตอกบอปกรณโดยไมตงใจไดแตอยางไรกตามการเพมโมดลดงกลาวอาจจะยงไมใชทางออกทเดดขาดเนองจากหากผใชงานยงคงใชงานโดยไมใชวจารณญาณกอาจทำใหผลลพธของการโจมตยงคงไดผลเชนเดม

รปท6แสดงตวอยางการแจงเตอนการเชอมตอกบHostทมอยในระบบปฏบตการiOSเวอรชน7 เพอปองกนการเชอมตอโดยไมไดรบอนญาต


2.ขอมลทกลมนกวจยอธบายในเบองตนพบวาการตรวจสอบการตดมลแวรยงมขอจำกดในการตรวจสอบอยบางเนองจากมลแวรแอปพลเคชนสามารถซอนการทำงานไดแตอยางไรกตามการทำงานดงกลาวตองอาศยสวนประกอบสำคญทชอProvisioningProfilesซงปจจบนยงไมพบวาสามารถซอนตวไดฉะนนผใชงานอาจสงเกตจากเมนProfilesไดกอนวามรายการProvisioningProfilesอยบนอปกรณiOSของตนเองหรอไม(ตรวจสอบไดจากเมนGeneralและดเมนชอProfilesหากไมพบแสดงวาไมมการตดตงProvisioningProfiles)เพราะนคอตนทางของความสามารถในการตดตงและการทำงานมลแวรแอปพลเคชนในอปกรณiOSของผใชงานแตอยางไรกตามเปนไปไดวาในอนาคตอาจมผคนพบวธการซอนขอมลProvisioningProfilesบนอปกรณiOSกเปนได

ฉะนนการปองกนทนาจะมประสทธภาพมากทสดกคอการหลกเลยงการเชอมตอกบอปกรณทไมรจกหรอเชอมตอเฉพาะอปกรณทเปนของตนเองเทานนเทานกนาจะชวยใหการใชงานอปกรณiOSของเรามความปลอดภยมากขนไดแลว

อางอง

1. http://ismashphone.com/2012/05/how-to-delete-provisioning-profiles-from-your-iphone-ipad-or-ipod-touch.html

2.http://3qilabs.com/2012/07/how-to-ad-hoc-distribute-your-ios-app-via-a-website-and-ota/


BLACKHATUSA2013ผเขยน : พรพรหมประภากตตกลวนทเผยแพร : 4สงหาคม2556ปรบปรงลาสด : 4สงหาคม2556

งานBlackhatConferenceหรองานชมนมเหลาผเชยวชาญดานComputersecurityและแฮกเกอรทวโลกในปนจดขนทลาสเวกสประเทศสหรฐเมรกาโดยใชชองานวาBlackhatUSA2013และเปนอก1ปทไทยเซรตไดมโอกาสเขารวมงานระดบโลกนงานนจดขนในโรงแรมCEASARPALACEโรงแรมทมชอเสยงและใหญโตมากแหงหนงในลาสเวกสภายในโรงแรมประดบตกแตงในสไตลโรมนผสมกบกลนอายลกเตาและตสลอตทเยอะกวารานอาหารเสยอก(อนนJokingจรงๆแลวไปโรงแรมไหนในลาสเวกสกจะเจอแบบนอยแลว)ทางเขางานเปนทางขนมบนไดเลอน4ตวขางหนาจดใหมโลโกชอBlackhatเดนชดวาทงหมดทอยขางบนนนเปนงานของBlackhatเทานน

รปท1เปดประตเขามาจากโรงแรมกเหนรปปนโรมนเดนเปนสงาพรอมการตกแตงสไตลโรมนทงโรงแรม

รปท2คาสโนทพบอยในทกโรงแรมกนบรเวณชนลางเปนสวนใหญเลยกวาไดนกทองเทยวเรมเขามาเลนกเหนจะเปน

ชวงสายๆแลว


รปท4ผสนบสนนและ จดเตรยมWirelessภายในงานคอXirrusมปายอธบาย

ครบแบบมออาชพ

รปท5มการประกาศCodeofConductของงานสวนใหญเปนเรองทไมรนแรงอะไรทำเพอตองการใหอยรวมกนอยางมกฎระเบยบเชนใหสบบหรในททจดเตรยมไวใหโดยเฉพาะ

รปท3ทางขนสวนจดงานของBlackhatมปายงานอยซายขวา


ในตวตกประชมม2สวนแบงเปน3ชนหลกๆรปแบบของการจดงานแบงเปน4โซนคอโซนจดอบรม(Training)โซนการบรรยาย(Briefing)โซนออกบท(SponsorHall)โซนหนงสอ(BookStore)และสดทายคอโซนรานคาของBlackhat(BlackhatStore)ระยะเวลาในการ จดงานทงหมด6วนคอวนท27กรกฎาคม2556ถง1สงหาคม2556

ไฮไลทของงานนาจะอยในเซสชนบรรยายซงจดขนในวนท27กรกฎาคม2556ถง1สงหาคม2556และครอบคลมจำนวนผเขารวมรวมถงพนททใชในการจดงานมากทสดและสาเหตททำใหเซสชนบรรยายไดรบความสนใจมากเพราะหลายเซสชนเปนการเปดเผยขอมลการวจยแบบลง รายละเอยดในทนเปนทแรก

ในเซสชนบรรยายทถอวาฟงแลวองกนไปเปนทงหองประชมคอเซสชนบรรยายหวขอ“MACTANS:INJECTINGMALWAREINTOIOSDEVICESVIAMALICIOUSCHARGERS”ทออกมาพดถงผใชงานทใชงานอปกรณทตดตงระบบปฏบตการiOSสามารถถกฝงมลแวรภายใน1นาทถอเปนการเปดเผยครงแรกและเปนขอมลนาสนใจมากจนไทยเซรตตองเขยนบทความใหผอาน ไดรถงเทคโนโลยและภยทมารออยขางหนาแลวไดอยางทนทวงท

เปนทนาเสยดายไมนอยเพราะเซสชนทตองการมาฟงโดยเฉพาะอยางเชนRootingSimCardsกลบกลายเปนมการเปลยนกะทนหนทำใหผเขารวมทไปรอฟงในวนทสองของการจดบรรยายงนงงเนองจากเมอถงชวงเวลาของการบรรยายกลบกลายเปนหวขออนนนแลวเจาหนาทบอกวาตองขอโทษดวยจรงๆมการเปลยนแปลงกะทนหนทำใหเซสชนRootingSimCardsไดบรรยายเสรจไปในวนแรกแลว

อยางไรกตามในเซสชนKEYNOTEทถอเปนพธปกตทในทกวนของเซสชนบรรยายจะม เหลาคนดงมาพดในหองประชมรวมขนาดใหญในปนมความนาสนใจวาBlackhatไดเชญKeithAlexanderในฐานะDirectorofNationalSecurityAgencydirector(NSA)เจาของประเดนรอนเรองการละเมดสทธบนโลกออนไลนจากโครงการForeignIntelligenceSurveillanceAct(FISA)มาพดใหฟงเกยวกบโครงการดงกลาวโดยอางวาไมไดเปนการดกฟงขอมลแตอยางใดเพราะดขอมลเพยงบางสวนเทานนแตแททจรงแลว

โครงการดงกลาวมจดประสงคเพอชวยลดอาชญากรรมระดบประเทศทอาจสรางความรนแรงมามากกวา50ครงแลวตางหากและหากทานใดทมความไมสบายใจกอยากใหเกดการพดคยกนบนโตะมากกวาทจะเรยกรองทางโลกออนไลนเชนนทำเอาผฟงในหองบางคนถงกบตะโกนเปนคำพดไมนา ชวนฟงวาBu..Shi..กนหลายรอบเลยทเดยว


รปท6แผนทของงานแสดงใหเหนถงตวตกประชมทแบงเปน2สวนโดยสวนหนงใชสำหรบจดประชมและอบรมอกสวนสำหรบจดเซสชนบรรยายในงาน ครอบคลมบรเวณกวางถง2ชน

รปท8ปายในงานบอกถงหองสำหรบลงทะเบยนซงภายในหองลงทะเบยนจดแบงเปนแถวพรอมเครองคอมพวเตอรสำหรบลงทะเบยนและซมสำหรบรบBadgeหรอปายหอยคอ ทระบชอผเขารวม(สามารถเลอกไดวาจะใหใสชอหนวยงานหรอไมซงโดยทวไปจะไมใสกน)

รปท7ตารางการเวลาบรรยาย แตละหองแสดงใหเหนทง2วน


รปท9บรรยากาศตอนKeithAlexanderกำลงพดถงTimelineของการกออาชญากรรมทวโลกในอดตเพอจะวกเขามาบอกวาโครงการFISAชวยลดการกออาชญากรรมไดเปนจำนวนมาก

รปท10บรรยายกาศ ภายหลงเซสชนKEYNOTEจบทกคนกรกนออกจาก

หองประชมรวม

รปท11บรรยากาศเวลาแตละเซสชนบรรยายจบไมตางกบตอนทจบเซสชนKEYNOTE


จากทไดกลาวไปในตอนตนสวนอนๆภายในงานกดนาสนใจไมแพกนโซนหนงสอมหนงสอใหเลอกหลากหลายราคาสนนอยทประมาณเลมละ60USDขนไปมทงทเปนหนงสอในแนวการทำPenTestการAnalysisและForensicsตางๆเดนดทงรานแลวถอวาครบทกหมวดหมในเชงComputerSecurityเลยทเดยวรวมถงในงานยงมชวงเวลาทเชญนกเขยนหนงสอตางๆมาแจก ลายเซนใหดวยแตเนองจากเวลาดงกลาวเปนเวลาทกำลงเดนวนวายกนเขาหองนออกหองนนเพอฟงบรรยายจงไมไดเกบภาพมาฝากกน

รปท12โซนBookStore

รปท13โซนBookStoreมหนงสอทกแนวทเกยวกบComputerSecurityจรงๆ


เนองจากการไปถงลาสเวกสกอน1วนจงทำใหมโอกาสไปSurveyดรอบๆทงานไดกอนซงโซนรานคาเปดตงแตวนนนเชนกนภายในรานแมจะไมไดมของมากแตดแลวของแตละชนนาสนใจไมนอยมทงFlashdrive16GBปากกาStylusTagหอยกระเปาโดยของทกอยางจะมชอBlackhat ตดอยและทมใหเลอกหลากหลายทสดกหนไมพนเสอยดและแจคเกตมใหเลอกประมาณ10แบบ มหลายขนาดใหเลอกตงแตSMLXLโดยสงทแปลกใจคอวนกอนงานเปด(30กรกฎาคม2556)กบวนทเปดงานเซสชนบรรยายวนแรก(31กรกฎาคม2556)ของในรานไมวาจะเปนเสอยดแจคเกตกระเปาทกอยางขายไปหมดเรวมากราวกบวาแจกฟร

รปท14BlackhatStore รานไมใหญแตขางในของนาสนใจเพยบ

รปท15ขายตกตาFlashdriveปากกาแกวประทบตรา

Blackhatทกชนสนนราคาตงแต5USDไปจนถง40USD


โซนออกบทภายในงานหรอทเรยกวาSponsorHallมความใหญโตไมแพกนถงแมจะออกบทแค2วนแตกนำผลตภณฑและพนกงานมาคอยอธบายและดแลผเขาฟงอยางเปนกนเองบททมคนสนใจมากกตงแตRSAMicrosoftSplunkFireeyeหลายบททกคนรจกดอยแลวเพราะ เปนเจาของผลตภณฑทมผสนใจและใชงานอยางแพรหลายโดยทเหนวานาสนใจและกำลงอยในเทรนดกเหนจะไปอยทการออกมาประกาศของMicrosoftในการเปดใหเหลาบรรดาแฮกเกอรไดทดสอบฝมอในการเจาะชองโหวของระบบปฏบตการวนโดส8.1โดยมรายละเอยดของขอมลชองโหวทเคยรายงานภายใตชอโครงการ“Bugbountyrewardprogram”มาใหเปนแนวทางในการเจาะครงน ซงรางวลของผสามารถเจาะชองโหวนนๆไดจะไดเปนโนตบกThinkpadX1จากทางMicrosoftทนทนอกจากนนสวนใหญกจะเปนการออกบทเพออธบายสนคาและใหของรางวลเชนเสอยดปากกาแวนตาเปนตนแตมเงอนไขวาอยางไรกตามตองใหสแกนBadgeหรอปายหอยคอกอน ซงโดยปกตกเปนทรกนวาทางบทตางๆกจะเกบเปนฐานขอมลไวใชในการประชาสมพนธสนคาตอไป

รปท16SponsorHallทางเขามทางเดยวแตเปดทงหมด3ประตคนไมมBadgeไมมสทธเขาเพราะมเจาหนาทอยตลอดเวลา

รปท17SponsorHallจะเปดเปนเวลา2วนและปดในชวง19.00น.ของทกวน


รปท19MicrosoftทเอาSurfaceมาใหลองกนถง

ในงานเปนอกหนงบททมคนเยยมชมไมขาดสาย

รปท18ภายในมการออกบทจากบรษทชอดงนบไดมากกวา50บรษทใครเขาไปฟงไปคยไปถามกจะไดรบของแจกของกลบมาทกคนเชนปากกาถงผาเสอยดเปนตน


รปท20สดทายกอนจะออกจากงานตรงทางลงมปายบอกถงการจดงานBlackhatทจะเกดขนในป2014หรอBlackhatUSA2014ทMandalaybay


ATMSKIMMERและขอควรระวงในการใชงานตATMผเขยน : ทมไทยเซรตวนทเผยแพร : 7พฤศจกายน2556ปรบปรงลาสด : 25พฤศจกายน2556

Skimmerคออะไร

โดยปกตทวไปSkimmerคออปกรณทใชอานขอมลจากบตรอเลกทรอนกสตางๆไมวาจะเปนสมารตการดบตรเครดตหรอบตรATMแตมผไมหวงดนำอปกรณทมความสามารถดงกลาวนมาใชในการขโมยขอมลจากผใชบรการตATMการกระทำแบบนเรยกวาATMSkimming

การทำATMSkimmingจะมองคประกอบหลกๆอย2อยางคอดกขอมลบตรATMและดกรหสบตรโดยอาจจะใชวธการทำปมกดปลอมและเครองอานบตรปลอมไปประกบทบกบอปกรณของจรงบนตวเครอง

เครองอานบตรปลอมจะอานขอมลจากแถบแมเหลกบนตวบตรแลวคดลอกขอมลลงในชปหนวยความจำอปกรณดงกลาวนผไมหวงดจะทำใหมขนาดเลกและใกลเคยงกบเครองอานบตรจรงของตATMเพอจะไดเอาไปประกบกนไดอยางแนบเนยนโดยอาจจะทำเปนฝาพลาสตกไปครอบทบบนเครองอานบตรของจรงอกทเนองจากตองการซอนอปกรณดกขอมลทอยขางในเครองอานบตรปลอมททำจงจะมลกษณะทบแสง

ตATMสมยใหมสวนใหญจะมไฟกะพรบทเครองอานบตรเพอใหเปนจดสงเกตเนองจากSkimmerมกจะเปนอปกรณทบแสงทำใหสงเกตไดงายวาไมมไฟกะพรบแตอยางไรกตามพบวาSkimmerรนใหมมการเปลยนแปลงรปแบบจากเดมทเปนอปกรณในลกษณะทบแสงมาเปนอปกรณแบบโปรงแสงทำใหผใชงานเขาใจวาตATMทใชงานอยนนปลอดภยแลวตวอยางการนำเครองอานบตรปลอมมาครอบไวทตเปนดงรปท1และ2


รปท1ตวอยางเครองอานบตรของจรงและเครองอานบตรของปลอมทผไมหวงดนำมาครอบไว (ทมา:CommonwealthBank[1])

รปท2ภายในเครองอานบตรของปลอมจะมอปกรณสำหรบอานขอมลบตรATMและคดลอกขอมลลงในชปหนวยความจำ(ทมา:CommonwealthBank[1])


สำหรบวธการดกขอมลรหสบตรATMผไมหวงดจะทำปมกดปลอมมาครอบทบปมกดของจรงโดยภายในปมกดปลอมททำมานนจะมชปหนวยความจำทใชเกบขอมลวาเหยอกดรหสอะไรหรออาจจะเปนเครองสงสญญาณแบบไรสายกไดตวอยางปมกดปลอมเปนดงรปท3

รปท3การทำปมกดปลอมมาครอบทบของจรง(ทมา:Krebsonsecurity[2])

ถาหากไมทำปมกดปลอมมาประกบกอาจใชวธการซอนกลองขนาดเลกไวทมมดานใดดานหนงของตโดยตงองศาการถายใหเหนตอนกดปมตำแหนงทซอนกลองอาจจะอยมมดานบนของตหรอซอนกลองไวในกลองใสโบรชวรทตดไวขางๆตATMซงสงเกตไดยากดงรปท4และ5


รปท4ตวอยางการซอนกลองไวในกลองโบรชวรทตดขางตATM (ทมา:CommonwealthBank[3])

รปท5ตวอยางการซอนกลองทตดตงไวขางบนตATM(ทมา:DebtRelief[4])


สวนมากผไมหวงดจะเลอกตATMทไมคอยมคนผานไปผานมาบอยนกเชนตทตงอยตรงซอกหลบของอาคารหรอตทตงอยในบรเวณทมแสงไฟสลวๆเพอทผใชบรการจะไดสงเกตเหนความผดปกตไดยากปกตSkimmerจะไมตดตงไวนานหลายวน(บางทอาจจะนอยกวา24ชวโมง)เพราะอาจมคนสงเกตเหนความผดปกตแลวแจงใหทางธนาคารทราบ

ขอควรระวงในการใชงานตATM

• ตงรหสผานใหคาดเดาไดยากและควรเปลยนรหสผานอยางสม�าเสมอ

• ไมฝากบตรและมอบรหสใหผอนไปทำรายการแทน

• สงเกตความผดปกตของตATMเชนปมกดนนผดปกตหรอชองเสยบบตรมความผดปกต

• ถามปายโฆษณาหรอกลองใสโบรชวรมาแปะอยขางๆตสนนษฐานวาอาจจะมการซอนกลองไวแลวเอาของอยางอนมาบง

• เลอกใชงานตATMทตงอยในบรเวณทมคนเดนผานไปผานมาบอยๆเพราะเปนการยากทจะมคนมาวางอปกรณดกไว

• ใชมอบงขณะทกดรหสบตรATMเพอปองกนกรณทมกลองแอบถายขณะทใชงาน

• เลอกใชเครองATMทใชอยเปนประจำเพอทจะไดคนเคยและสามารถสงเกตไดหากม สงผดปกตเกดขนโดยเฉพาะทบรเวณชองสอดบตร

• ไมใชเครองATMหากพบวามบคคลทไมนาไววางใจอยทบรเวณนนและไมหลงเชอบคคลอนใหไปทำรายการทเครองATM

• อยาไวใจคนแปลกหนาทจะมาใหความชวยเหลอในกรณบตรถกยดหากไมมนใจใหแจงอายดบตรทCallCenterทธนาคารเจาของบตรไดทนท

• หากพบสงผดปกตหรอมขอสงสยใดๆในขณะทำรายการผานเครองATMใหยกเลกการใชงานและตดตอแจงมายงCallCenterตามหมายเลขทตดอยทหนาเครองATMของแตละธนาคารในทนท


วธแกไขหากตกเปนเหยอ

• รบตดตอกบธนาคารเจาของบตรเพอทำการอายดบตรโดยเรว

• ตรวจสอบขอมลการใชงานบตรATMอยางสม�าเสมอ

• เปลยนรหสบตรATMเพอปองกนไมใหผไมหวงดนำขอมลไปใช

การโจมตดวยวธอนๆ

ATMSkimmerนนเปนเพยงหนงในวธทผไมหวงดสามารถใชในการโจมตผใชบรการเครองATMไดนอกจากนนยงมวธอนๆอกหลายวธเชน[5]

• ShoulderSurfing-แอบชะเงอมองตอนทคนกอนหนากดรหสบตรATM

• Wiretapping-เปนการลกลอบแกะเปลอกสายโทรศพททเชอมตอระหวางตATMกบทางธนาคารแลวเชอมตอสายทองแดงเขาไปเพอดกรบหรอเปลยนแปลงขอมลทรบสง

• Slottampering-ใชอปกรณบางอยางไปปดทบชองปลอยเงนของเครองATM เมอผใชกดถอนเงนแลวจะไมไดรบเงนทกดหลงจากทเหยอเดนออกจากตไปผไมหวงดจะกลบเขามาทตแลวนำอปกรณดงกลาวออกเพอเอาเงนจากต

• LebaneseLoop-ใชเทปกาวหรออปกรณบางอยางตดไวในชองใสบตรเมอมผใชบรการสอดบตรเขาไปในเครองATMบตรจะตดอยขางในผไมหวงดจะแกลงทำเปนวาเดนมาเสนอใหความชวยเหลอโดยจะลองกดรหสบตรเพอใหเครองคายบตรแตกดอยางไรเครองกยงไมยอมคายพอหลงจากทเหยอเดนออกจากตแลวผไมหวงดจะนำบตรATMออกมาแลวกดเงนเอง

• สรางตATMปลอมมาวางไวขางๆตATMของจรง

• โจมตผานชองโหวของระบบทใชในตATMโดยฝงโปรแกรมดกขอมลไวในเครองตวอยางการเอาโปรแกรมแปลกปลอมไปรนในเครองATMเปนดงคลปดานลาง


ทมา:http://goo.gl/lPkhNp

AntiSkimmer

ปจจบนธนาคารหลายแหงในประเทศไทยเรมมการตดตงระบบAntiSkimmerในตATMตวอยางเชนใชเซนเซอรตรวจสอบวามอปกรณแปลกปลอมมาปดทบหรอสอดแทรกในเครองอานบตรหรอไมถาพบตATMจะหยดใหบรการทนท

อนาคตธนาคารในประเทศไทยนาจะเปลยนระบบการใชงานบตรATMจากแถบแมเหลกมาเปนแบบฝงชปอเลกทรอนกสบนตวบตร(EMVหรอChip-and-PIN)ซงชวยลดปญหาการปลอมแปลงบตรได


ขอมลเพมเตม

ทมา:http://goo.gl/GWtCvD

อางอง

1. http://cache.gawker.com/assets/images/consumerist/2009/04/Skimmer_presentation_v1_230109_ppt_1__01.pdf

2.http://krebsonsecurity.com/all-about-skimmers/

3.https://www.commbank.com.au/personal/apply-online/download-printed-forms/ATM_awareness_guide.pdf

4.http://www.debtreliefnw.com/debt-relief-blog/bid/57330/CREDIT-CARD-SKIMMING-4-Tips-to-Protect-Yourself-from-it

5.http://businesstoday.intoday.in/story/how-safe-is-your-atm/1/7590.html


ไทยเซรตพบชองโหวของแอปพลเคชนLINEแฮกเกอรสามารถดกรบขอมลบนเครอขายLAN/WIFIและอานบทสนทนาไดทนทผใชงานควรอพเดตเวอรชนใหมผเขยน : พรพรหมประภากตตกลวนทเผยแพร : 20ธนวาคม2556ปรบปรงลาสด : 20ธนวาคม2556

ถงแมเทคโนโลยชวยเพมความสะดวกสบายในการใชชวตประจำวนแตกยงพบวาในหลายครงทเทคโนโลยคอปจจยสำคญทสามารถสรางปญหาใหกบผใชงานไดเชนกนบางครงถงขนทำใหเสอมเสยชอเสยงจนไปถงขนสญเสยทรพยสนกเปนไดดงจะกลาวถงในบทความนเกยวกบปญหาชองโหวของแอปพลเคชนLINEทนกวจยจากไทยเซรตพบซงการโจมตชองโหวดงกลาวอาจถกใชเปนชองทางของแฮกเกอรในการเขาถงขอมลบทสนทนาของแอปพลเคชนLINEทมความสำคญของผใชงานไดอยางงายดาย

แอปพลเคชนLINEกบการเชอมตอบนโลกออนไลนยคใหม

LINEเปนแอปพลเคชนประเภทแชททไดรบความสนใจจากผใชงานในประเทศไทยเปนอยางมากปจจบนมจำนวนผใชงานในประเทศไทยแลวมากกวา18ลานผใชงานเนองดวยมฟงกชนการใชงานทหลากหลายเชนการสนทนาแบบกลมการแชรพกดสถานทการคยผานเสยงการคยผานวดโอการสงสตกเกอรสวนใหญเปนบรการทไมเสยคาใชจายรวมถงแอปพลเคชนยงรองรบการใชงานไดทงบนสมารตโฟนและบนเครองคอมพวเตอรอกดวยโดยเวบไซตผพฒนาของLINEไดระบวา ผใชงานในประเทศไทยอยในอนดบท3จากทวโลก[1]และคงหลกเลยงไมไดวาปจจบนการใชงานแอปพลเคชนLINEของคนไทยไมไดจำกดเฉพาะในหมเพอนดงจะเหนจากหลายองคกรนำมาใชสำหรบ


สอสารองคกรการทำงานการแชรรปภาพคลปเสยงหรอแมแตบางครงใชบอกพกดสถานทใชงานกบคนสนทญาตพนองครอบครว

แตจะเปนอยางไรหากการใชงานแอปพลเคชนดงกลาวถกดกรบขอมลการสอสารระหวางทางออกไปไดทงหมดโดยทผใชงานไมสามารถลวงรไดเลยเมอถงเวลานนคงไมมใครการนตไดวาขอมลดงกลาวจะยงคงเปนความลบอยอกหรอไมรวมถงขอมลทหลดออกไปนนหากเปนขอมลทมความสำคญกอาจถกนำไปหาผลประโยชนในทางทผดตอกเปนไดและจากสถานการณความนยมของแอปพลเคชนLINEทวโลกจงทำใหมนกวจยหลายรายเรมศกษาวจยถงการทำงานของLINEอยางละเอยดโดยพบหวขอขาวชวงเดอนสงหาคมวามนกวจยจากเวบไซตTelecomasiaเปดเผยขอมลเกยวกบการทำงานของแอปพลเคชนLINEทรบสงขอมลของแอปพลเคชนบนเครองผใชงานกบเซรฟเวอรของผใหบรการLINEในรปแบบPlain-text[2]กรณทใชงานอนเทอรเนตบนเครอขาย2G/3Gนนทำใหเกดคำถามเกยวกบมาตรการในการรกษาความลบของผใชงานมากขนอนเนองจากกรณดงกลาว ผใหบรการโทรศพทสามารถดกอานขอมลของผใชงานไดอยางงายดายแตอยางไรกตามการกระทำการดงกลาวไดยงคงจำกดอยเฉพาะผใหบรการโทรศพทมอถอเทานนทจะสามารถเหนขอมลซงเปนเรองทตองพจารณาตอไปถงแนวทางการบรหารจดการของผใหบรการเครอขายโทรศพทมอถอเพอใหผใชงานมความเชอมนวาขอมลจะไมถกเปดเผยหรอเขาถงโดยบคคลทไมไดรบอนญาตโดยในบทความนจะกลาวถงอกมมหนงของบทวเคราะหชองโหวบนแอปพลเคชนLINEทนกวจยของไทยเซรตไดตรวจสอบพบและคาดหวงจะใหผอานไดรเทาทนสถานการณภยคกคามและอนตรายตางๆทมากบการใชงานเทคโนโลยในปจจบนเพอใหผใชงานสามารถใชงานอยางระมดระวงและมความปลอดภยมากยงขนได

วเคราะหการรบสงขอมลของแอปพลเคชนLINE

นกวจยของไทยเซรตไดทำการวเคราะหการรบสงขอมลของแอปพลเคชนLINEโดยจำลองสถานการณการรบสงขอมลใน2ลกษณะคอรบสงผานเครอขาย2G/3GและผานเครอขายLAN/WiFiและใชโปรแกรมเฉพาะสำหรบดกรบขอมลบนเครอขายโดยไดนำขอมลทงหมดมาวเคราะหและสรปผลดงน

ใชงานบนเครอขาย2G/3G

ทดสอบโดยใชงานแอปพลเคชนLINEเวอรชน3.8.8บนระบบปฏบตการแอนดรอยดผานเครอขาย2G/3GพบวามการรบสงขอมลในลกษณะPlaintextผานโพรโทคอลHTTPโดยขอดในการรบสงขอมลบนโพรโทคอลHTTPคอรบสงขอมลไดเรวแตขอเสยคอหากมผทสามารถดกรบขอมลตรงกลางระหวางผใชงานกบเซรฟเวอรใหบรการของLINEแลวกจะสามารถมองเหนขอมลทรบสงกนอยระหวางผใชงานกบเซรฟเวอรของLINEไดทนทสงเกตจากรปท2ซงเปนขอมลทไดจากการทดสอบดกรบขอมลการใชงานแอปพลเคชนLINEบนระบบปฏบตการแอนดรอยดเวอรชน3.8.8ซงใชงานเครอขาย3Gโดยพบขอความวา“whereru”ซงเปนขอความทนกวจยของไทยเซรตไดทำการทดสอบสงออกไปจรงแตอยางไรกตามจากทไดกลาวไวขางตนวาขอมลทรบสงบนเครอขาย2G/3Gอาจยงมความเสยงไมมากนกเนองจากเทคนคการดกรบขอมลบนเครอขาย2G/3Gโดยผใชงานดวยกนยงไมสามารถทำไดโดยงายแตกยงมความเสยงมมทผใหบรการเครอขายโทรศพทอาจตรวจสอบการใชงานของลกคาไดรวมถงปจจบนทางผพฒนาแอปพลเคชน


LINEไดมการปรบปรงการทำงานแอปพลเคชนLINEตงแตเวอรชน3.9ขนไปททำงานบนระบบปฏบตการแอนดรอยดนนโดยเปลยนมาใชโพรโทคอลHTTPSในการรบสงขอมลซงมการเขารหสลบขอมลแทนการรบสงขอมลแบบเดมในลกษณะPlain-textแลวในสวนนทางไทยเซรตขอแนะนำใหผใชงานทใชงานแอปพลเคชนLINEบนระบบปฏบตการแอนดรอยดทำการตรวจสอบเวอรชนของแอปพลเคชนทใชงานและหากพบวาใชเวอรชนตำกวา3.9ใหรบทำการอพเดตทนท

รปท1แสดงโครงสรางการทำงานของแอปพลเคชนLINEเวอรชนตำกวา3.9ทำงานบนระบบปฏบตการแอนดรอยดเมอมการเชอมตอเครอขาย2G/3G

รปท2แสดงตวอยางเมอมการทดสอบดกรบขอมลบนโทรศพทมอถอทใชระบบปฏบตการแอนดรอยดและใชแอปพลเคชนLINEเวอรชน3.8.8โดยพบวาเมอมการเชอมตอเครอขาย3G

ขอมลทรบสงในแอปพลเคชนLINEจะเปนลกษณะPlaintext


ใชงานบนเครอขายLAN/WiFi

ทดสอบโดยใชงานแอปพลเคชนLINEบนระบบปฏบตการWindowsผานเครอขายLAN/WiFiพบวามการทำางานในโหมดทมการเขารหสลบขอมลกอนมการรบสงกบเซรฟเวอรของLINEผานโพรโทคอลHTTPSเพอปองกนการดกรบและถอดรหสขอมลเนองจากการใชงานบนเครอขายLAN/WiFiมความเสยงสงทจะถกผไมประสงคดพยายามดกรบขอมลไดโดยงายมากกวาการใชงานบนเครอขาย2G/3Gจากรปท4ไทยเซรตตรวจสอบพบวาขอมลทไดจากการดกรบขอมลนนถกเขารหสลบและรบสงดวยโพรโทคอลHTTPSแสดงใหเหนวาขอมลทรบสงกบเซรฟเวอรผใหบรการLINEนนไมสามารถดกรบเพออานขอมลไดโดยงาย

รปท3แสดงโครงสรางการทำงานของแอปพลเคชนLINEเมอทำงานบนระบบเครอขายLAN/WiFi

รปท4แสดงตวอยางเมอมการทดสอบดกรบขอมลการใชงานแอปพลเคชนLINEบนระบบปฏบตการWindowsโดยพบวาเมอมการเชอมตอเครอขายWiFiขอมลทรบสงมการเขา

รหสลบไว(Encrypted)และรบสงผานโพรโทคอลHTTPS


อธบายเพมเตมเกยวกบการทำงานของโพรโทคอลHTTPS

เพอใหเกดความเขาใจในเนอหาทมากขนจงขออนญาตอธบายหลกการทำงานของโพรโทคอลHTTPSในเบองตนโดยการทำงานของโพรโทคอลHTTPSสามารถแบงออกเปน2สวนประกอบหลกๆคอการตรวจสอบใบรบรองอเลกทรอนกส(Certificate)ของผใหบรการดงจะเหนจากตวอยางในรปท5เปนตวอยางการเขาใชงานเวบไซตของธนาคารกสกรไทยทมการทำงานในโหมดเขารหสลบขอมลและรบสงผานโพรโทคอลHTTPSซงสวนประกอบสำคญในขนตอนการทำงานของHTTPSคอขอมลใบรบรองอเลกทรอนกสหรอทเรยกวาCertificateซงสามารถแสดงขอมล ใบรบรองของเซรฟเวอรทเราเชอมตออยได

รปท5แสดงตวอยางเวบไซตทใชงานโพรโทคอลHTTPSซงการเชอมตอจะมการรบขอมลใบรบรองอเลกทรอนกสเพอใหแอปพลเคชนฝงผใชงานพจารณาความถกตองกอนจะใชงานตอไป

และอกสวนประกอบสำคญคอการเขารหสลบขอมลทมการรบสงอยกบเซรฟเวอรทใหบรการปลายทางรปแบบคอจะมกญแจทสำคญ2ชนดคอ

• กญแจเซสชน(Sessionkey)เปนกญแจทใชเขารหสลบขอมลแบบSymmetricKeyใชกญแจเพยงดอกเดยวนำมาใชสำหรบเขารหสลบและถอดรหสลบขอมลทรบสงระหวางแอปพลเคชนฝงผใชงานและเครองเซรฟเวอร

• กญแจคเปนกญแจทใชเขารหสลบขอมลแบบAsymmetricKeyประกอบไปดวยกญแจ2สวนคอกญแจสาธารณะ(Publickey)และกญแจสวนตว(Privatekey)ของเครองเซรฟเวอรทใหบรการนำมาใชเขารหสลบและถอดรหสลบกญแจเซสชนในขอท1

โดยการทำงานของโพรโทคอลHTTPSสามารถสรปเปนขนตอนไดตามรปท6


รปท6ขนตอนการทำงานของโพรโทคอลHTTPS[3]

ขนตอนท1ผใชงานมการเชอมตอไปยงเซรฟเวอรของผใหบรการเพอขอใหเรมการเชอมตอดวยโพรโทคอลHTTPS

ขนตอนท2เครองเซรฟเวอรทใหบรการจะทำการสงขอมลใบรบรองอเลกทรอนกส(Certificate)ของผใหบรการกลบมายงแอปพลเคชนในฝงผใชงานเพอตรวจสอบหากเปนใบรบรองอเลกทรอนกสทแอปพลเคชนนนเชอถอและรจกอยแลวกจะสามารถทำงานในลำดบถดไปทนทแตในทางตรงกนขามถาแอปพลเคชนไมสามารถตรวจสอบใบรบรองอเลกทรอนกสไดวา มความนาเชอถอหรอไมกขนอยกบการบรหารจดการของแอปพลเคชนนนๆวาจะเปนอยางไรตอไปเชนแอปพลเคชนนนยอมใหดำเนนการตอไดหรอแอปพลเคชนนนสงยกเลกการเชอมตอเปนตน

ขนตอนท3แอปพลเคชนในฝงผใชงานจะสรางกญแจเซสชน(Sessionkey)ทใชในการเขารหสลบและถอดรหสลบขอมลจากนนทำการเขารหสลบกญแจเซสชนดวยกญแจสาธารณะ(Publickey)ซงเปนขอมลทไดมาจากใบรบรองอเลกทรอนกสในขนตอนท2จากนนแอปพลเคชนจะสงขอมลทเขารหสลบกลบไปยงเครองเซรฟเวอรทใหบรการโดยเซรฟเวอรทใหบรการจะทำการถอดรหสลบขอมลดวยกญแจสวนตว(Privatekey)ผลลพธสดทายคอเครองเซรฟเวอรใหบรการจะไดรบกญแจเซสชน(Sessionkey)เพอนำมาใชงานในขนตอนตอไป

ขนตอนท4การรบสงขอมลระหวางผใชงานกบเซรฟเวอรใหบรการจะทำผานการเขารหสลบและถอดรหสลบขอมลดวยกญแจเซสชนทไดจากขนตอนท3ตลอดเวลาเชนผใชงานสงคำขอการเขาถงหนาเวบไซตซงเนอหาตางๆทใชทำการเรยกไปยงเซรฟเวอรทใหบรการเวบไซตนนจะมการเขารหสลบขอมลทฝงแอปพลเคชนของผใชงานดวยกญแจเซสชนทสรางขนในขนตอนท3และขอมลดงกลาวจะมการถอดรหสลบออกดวยกญแจเซสชนตวเดมในฝงเซรฟเวอรทใหบรการเวบไซตเชนกน


ไทยเซรตพบชองโหวของแอปพลเคชนLINEสามารถดกรบขอมลบนเครอขายLAN/WiFi

ในชวงตนเดอนพฤศจกายนป2556นกวจยจากไทยเซรตพบชองโหวของแอปพลเคชนLINEบนระบบปฏบตการWindows(ยกเวนWindows8)และMacOSXซงจากการวเคราะหขอมลพบวาขอมลการสนทนาสามารถถกดกรบในขณะทผใชงานกำลงใชงานแอปพลเคชนLINEอยบนเครอขายLAN/WiFiถงแมจะมการเขารหสลบขอมลดวยโพรโทคอลHTTPSแลวกตามแตจากการวเคราะหขอมลการโจมตในเบองตนผลลพธจากการทดสอบพบวานกวจยจากไทยเซรตสามารถโจมตผใชงานทกำลงใชงานแอปพลเคชนLINEไดทนทโดยใชเทคนคManinthemiddle(MITM)[4]เพอดกรบและถอดรหสลบขอมลของผใชงานทตกเปนเหยอใหออกมาอยในรปแบบPlain-text อยางงายดายโดยตวอยางผลลพธในรปท7แสดงใหเหนวาการโจมตทเกดขนทำใหนกวจยของไทยเซรตสามารถดกรบขอความทมการสงออกจากผใชงานคนหนงและแสดงผลออกมาไดในลกษณะPlain-textรวมถงการทดสอบเพมเตมยงพบวาผไมประสงคดสามารถทำการเปลยนแปลงขอมลของผใชงานทมการรบสงกบเซรฟเวอรของLINEไดอกดวยแสดงใหเหนวาเมอผใชงานถกโจมตจากชองโหวดงกลาวแลวอาจทำใหขอความทสงออกมาถกดกรบและแกไขกอนสงไปยงผรบไดรวมถงผไมประสงคดสามารถสรางขอความใหมและสงออกไปโดยใชชอผสงไดทนทโดยทผใชงานอาจไมรถง การสงขอความดงกลาวอยางไรกตามไทยเซรตไดทดสอบกบแอปพลเคชนLINEททำงานบนระบบปฏบตการแอนดรอยดiOSWindowsPhone8และLINEforWindows8แลวไมพบวามปญหาชองโหวในรปแบบดงกลาว

รปท7แสดงการจำลองสถานการณการดกรบขอมลและถอดรหสลบขณะทผใชงานแอปพลเคชนLINEบนระบบปฏบตการWindowsเมอมการสงขอความ


รปท8แสดงการจำลองสถานการณการดกรบขอมลและถอดรหสลบขณะทใชงานแอปพลเคชนLINEบนระบบปฏบตการWindowsเมอไดรบขอความ

จากรปท7และ8แสดงใหเหนวาการโจมตชองโหวดงกลาวทำใหผไมประสงคดสามารถถอดรหสลบขอมลทมการรบสงกบเซรฟเวอรผใหบรการLINEทำใหผไมประสงคดสามารถอานขอความทมการรบสงในลกษณะPlain-textไดทนทและจากการตรวจสอบเนอหาขณะทมการสงขอความจะพบวามลกษณะของการสงคำสงโดยเปนขอความวาsendMessageและตามดวยคาทถกสมขนจำนวน2กลมซงมความเปนไปไดสงวาจะเปนขอมลUserIDของผใชงานในฝงผรบและผสงและจากการทดสอบในหลายครงจะพบวาคาUserIDเปนคาคงทซงไมมการเปลยนแปลงนนเทากบวาผทสามารถเขาถงขอมลUserIDของผใชงานไดแลวนนอาจเกบคาUserIDดงกลาวเพอมาใชโจมตตอในภายหลงได

วเคราะหการโจมตชองโหวของแอปพลเคชนLINEบนเครอขายLAN/WiFi

สถานการณจำลองการโจมต

• ผใชงานเปดใชงานแอปพลเคชนLINEผานเครอขายWiFiสำนกงาน

• ผไมประสงคดเชอมตอเครอขายสำนกงานดวยเชนกนและเรมการโจมตดวยเทคนคManinthemiddleรวมถงมการปลอมแปลงใบรบรองอเลกทรอนกส(FakeCertificate)ของโดเมนผใหบรการLINEในระหวางทมการเชอมตอกบผใชงาน

• แอปพลเคชนLINEยอมรบใบรบรองอเลกทรอนกสปลอมทผไมประสงคดสงใหในขนตอนท2เปนผลใหการทำงานทผดพลาดยงคงดำเนนการตอไปไดและทำใหผไมประสงคดสามารถดกรบขอมลของผใชงานและเลอกกรองเฉพาะขอมลทเกยวของกบการใชงานแอปพลเคชนLINEจากนนทำการถอดรหสลบขอมลเพอดบทสนทนาหรอขอความทรบสงของผใชงานในลกษณะPlaintextไดทนท


รปท9แสดงแผนผงสถานการณจำลองการโจมต

จากรปท9และสถานการณจำลองการโจมตจะสงเกตไดวาผไมประสงคดสามารถโจมตเครอขายLAN/WiFiเพอเปลยนเสนทางการใชงานของเครองผใชงานทเปนเหยอใหใชเสนทางการรบสงขอมลโดยขอมลจะไหลผานเครองคอมพวเตอรของผไมประสงคดซงในเทคนคการขโมยขอมลทเชอมตอกนดวยโพรโทคอลHTTPSนนผไมประสงคดจะใชเทคนคการปลอมแปลงขอมลใบรบรองอเลกทรอนกส(FakeCertificate)และสงใหกบแอปพลเคชนของผใชงานซงชองโหวหรอปญหา ทพบคอแอปพลเคชนLINEไมมการตรวจสอบความถกตองของใบรบรองทำใหแอปพลเคชนทำงานตอไปไดสงผลใหผไมประสงคดสามารถโจมตดวยเทคนคManinthemiddleและถอดรหสลบขอมลการสนทนาไดทนท


ผใชงานอนเทอรเนตสาธารณะหรอใชงานในองคกรทมการเชอมตอกนผานLANหรอWiFiอาจถกโจมตดวยเทคนคManinthemiddleเพอดกรบขอมลการใชงานของแอปพลเคชนLINEและสามารถถอดรหสลบขอมลออกมาเพอเขาถงขอมลบทสนานาทเกยวของไดทนทเชนขอมลUserIDของผใชงานการรบสงขอความบทสนทนารวมถงสามารถสงคำสงปลอมแปลงไปยงเซรฟเวอรของLINEในลกษณะสวมรอยการใชงานเปนตน


• แอปพลเคชนLINEบนระบบปฏบตการWindowsเวอรชน3.2.1.83และตำกวา

• แอปพลเคชนLINEบนระบบปฏบตการMacOSXเวอรชน3.2.1และตำกวา


รปท10แสดงรายการระบบปฏบตการทรองรบการทำงานของแอปพลเคชนLINEพบวาแอปพลเคชนLINEททำงานบนWindowsกบMACOSXเทานนทมชองโหว

รปท11แสดงเวอรชนชองแอปพลเคชนLINEทมชองโหวซงสามารถถกโจมตได


การดำเนนการของไทยเซรตและขอแนะนำสำหรบผใชงาน

ภายหลงจากการตรวจพบชองโหวบนแอปพลเคชนLINEไทยเซรตไดทำการประสานเพอแจงปญหาชองโหวไปยงผพฒนาแอปพลเคชนLINEในประเทศญปนโดยเรงดวนซงทมผพฒนาแอปพลเคชนLINEไดรบทราบและตรวจสอบปญหาดงกลาวรวมถงปจจบนไดดำเนนการแกไขปญหาชองโหวดงกลาวเรยบรอยแลวและไดเผยแพรเวอรชนทแกไขปญหาแลวเชนกนแตอยางไรกตามผใชงานจำเปนตองมการอพเดตแอปพลเคชนของตนเองซงโดยปกตแลวแอปพลเคชนLINEจะตงคามาตรฐานใหมการแจงเตอนเมอมการเผยแพรเวอรชนใหมออกมาเมอผใชงานพบการแจงเตอนดงตวอยางในรปท12ใหผใชงานรบทำการอพเดตแอปพลเคชนLINEทนทหรอหากผใชงานทานใดไมแนใจวาใชงานแอปพลเคชนLINEเวอรชนทมผลกระทบหรอไมใหทำการตรวจสอบเวอรชนของแอปพลเคชนLINEทใชงานอยโดยคลกทเมน“AboutLINE”ตามรปท14หากผใชงานพบวาใชงานแอปพลเคชนLINEทไดรบผลกระทบ(ตรวจสอบจากหวขอ“ระบบทไดรบผลกระทบ”)ใหรบอพเดตแอปพลเคชนตามขอมลดงตอไปนทนท

• อพเดทแอปพลเคชนLINEบนระบบปฏบตการWindowsเปนเวอรชนทสงกวา3.2.1.83

• อพเดทแอปพลเคชนLINEบนระบบปฏบตการMacOSXเปนเวอรชนทสงกวา3.2.1

อยางไรกตามผใชงานควรอพเดตแอปพลเคชนอยางสมำเสมอและตดตามขาวสารดานความมนคงปลอดภยจากแหลงขาวทนาเชอถออยเปนประจำอกดวย

รปท12แสดงเวอรชนชองแอปพลเคชนLINEทมชองโหวซงสามารถถกโจมตได


รปท13แสดงหนาตางภายหลงจากกดOKจะพบหนาตางแจงขอมลรายละเอยดการอพเดต

รปท14แสดงวธการตรวจสอบเวอรชนของแอปพลเคชนLINEบนระบบปฏบตการWindows

อางอง

1. http://en.lineblog.naver.jp/archives/30767259.html

2.http://www.telecomasia.net/blog/content/line-vulnerable-man-middle-attack?Don%20Sambandaraksa

3.http://www.awghost.com/ssl.html

4.https://www.thaicert.or.th/papers/general/2011/pa2011ge001.html

http://en.lineblog.naver.jp/archives/30767259.html

http://www.telecomasia.net/blog/content/line-vulnerable-man-middle-attack?Don%20Sambandaraksa

http://www.telecomasia.net/blog/content/line-vulnerable-man-middle-attack?Don%20Sambandaraksa

http://www.awghost.com/ssl.html

https://www.thaicert.or.th/papers/general/2011/pa2011ge001.html


เชครปกอนแชรวนทเผยแพร : 26ธนวาคม2556ปรบปรงลาสด : 26ธนวาคม2556

ทกทานคงรจกเวบไซตสำหรบคนหาขอมลบนอนเทอรเนต(WebSearchEngine)เปนอยางดเพราะเชอวาตองเคยใชคนควาหาขอมลขาวสารเรองนาสนใจตางๆสำหรบนกศกษานกเรยนหรอแมกระทงคนทำงานกมกใชในการสบหาขอมลเพอมาใชประกอบการทำรายงานการสอบการเขยนวจยตางๆอยเสมอซงเวบไซตประเภทนทเปนทรจกในปจจบนมอยหลายเวบไซตดวยกนเชนGoogleYahooBingหรอAsk.comซงตามหลกการผใชงานจะใสคำเฉพาะ(Keyword)ทเกยวของกบสงทตองการคนหาลงไปในชองคนหาและWebSearchEngineจะคนหาและแสดงผลลพธ ทเกยวของทงขอความรปภาพหรอวดโอคลปทพบในอนเทอรเนตใหกบผใชงาน

อยางไรกตามบรการWebSearchEngineบางรายเชนGoogleไดมความสามารถพเศษใหผใชงานสามารถคนหารปภาพคลายกนทอยในเครอขายอนเทอรเนตจากรปภาพของผใชงานแทนการใชคำเฉพาะในการคนหาซงความสามารถนทำใหผใชงานสามารถตรวจสอบไดวามรปภาพ ทคลายกนถกเผยแพรอยทเวบไซตใดบางในอนเทอรเนต

การคนหารปภาพบนGoogleสามารถทำไดผานบรการhttp://images.google.com/ซงผใชงานสามารถปอนURLของรปภาพหรออาจจะอพโหลดไฟลรปภาพทตองการคนหาหลงจากนนGoogleจะทำการคนหาและแสดงผลรปภาพคลายกนทGoogleพบในเครอขายอนเทอรเนต ใหผใชงาน


รปท1หนาจอบรการGoogleImageSearch

ผลการคนหารปภาพจะแสดงตวอยางรปภาพวนทรปมการเผยแพรแหลงทมารายละเอยดทางเทคนคเชนความละเอยดของรปภาพนน[1]ทำใหผใชงานสามารถคนหาขอมลเบองตนทเกยวของกบรปภาพทตองการคนหานนวาเปนภาพใหมทไมเคยมการเผยแพรทางอนเทอรเนตมากอนเลยหรอเปนภาพเกาทเคยเผยแพรไวแลว

นอกจากGoogleImageSearchแลวอกหนงวธการตรวจสอบรปภาพวาไดเผยแพรอยทใดบางเปนรปเกา-ใหมเพยงใดนนอาจทำไดโดยเขาใช“TinEye”โดยเขาถงไดท“http://www.tineye.com/”[2]คะ

TinEyeนถอเปนImageSearchEngineทมมาเกาแกกอนGoogleImageSearchซงพฒนาโดยบรษทIdaeประเทศแคนาดาและเปนSearchengineทใชเทคนคการใหบรการแบบReverseImageSearchหรอImageIdentificationTechnologyกลาวคอ ใหผใชคนหาภาพจากSearchEngineทวไปและอพโหลดหรอใสURLของรปภาพดงกลาว


มายงTinEyeจากนนระบบจะคนหาภาพทเหมอนกนจากเวบตางๆและแสดงผลลพธใหผใชงาน

บรการTinEyeนยงมลกษณะพเศษตรงทสามารถคนหาไดทงรปทเหมอนกบรปตวอยางทตองการคนหาและ/หรอทมการตดตอทำเลยนแบบยอ/ขยายเพม/ลดความสวางหรออาจกลาววาTinEyeสามารถคนหารปภาพทผานการretouchแลวไดอกดวยนอกจากนTinEyeยงสามารถเปรยบเทยบรปตวอยางกบรปทโปรแกรมคนหาวามความเหมอนหรอตางกนตรงไหนดวยจงสามารถใชตรวจหาภาพลอกเลยนแบบและเชคดงานลขสทธไดในระดบหนง

รปท2ตวอยางหนาจอจากการคนหารปภาพจากTinEye


หวงเปนอยางยงวาบทความนนอกจากจะชวยใหความรเบองตนในการคนหาแหลงทมาของรปภาพทโพสต-แชร-สงตอกนแลวยงเปนการสรางความตระหนกและกระตนเตอนใหมความรบผดชอบตอสงคมชวยปองกนและสรางความเขาใจทดในการโพสต-แชร-สงตอรปภาพอกทงเปนการหลกเลยงกระแสยยงปลกปนในสงคมไทยอยางไมถกไมควรและการตกเปนเหยอของบางคนหรอบางกลมโดยไมรตว

ทงนหากพบเหนรปภาพหรอขอความใดทดแลวรนแรงหยาบคาบกระตนใหเกดความโกธรเกลยดกนขนในสงคมกควรหลกเลยงการโพสต-แชร-สงตอรปภาพหรอขอความนนโดยเฉพาะอยางยงบนSocialMediaทสามารถสรางกระแสตางๆไดอยางรวดเรวและรนแรงการคาดหวงเพยงแคการกดLikeมากๆอาจสรางและสงตอความรนแรงไดโดยไมรตวขอใหรบขอมลขาวสารกนอยางมสตและรอบคอบและขอใหใชวจารณญาณกอนโพสต-แชร-สงตอรปภาพหรอขอความกนใหมากๆ

อางอง

1. https://support.google.com/websearch/?hl=th#topic=3180360

2. http://www.tineye.com/about

http://www.tineye.com/about


DIGITALFORENSICS101(ตอนท1)ผเขยน : กรรณกาภทรวศษฏสณธวนทเผยแพร : 26ธนวาคม2556ปรบปรงลาสด : 26ธนวาคม2556

หากผอานไดตดตามขาวในแวดวงไอทอยเปนประจำอาจสงเกตวามขาวเวบไซตราชการทสำคญหลายแหงถกแฮกอยเปนระยะๆสงทเปนผลตามมาคอเจาหนาทตำรวจตองตรวจคนหาพยานหลกฐานเพอสบสาวหาตวผทอยเบองหลงทเรยกวาพยานหลกฐานดจทล(Digitalevidence)โดยใชกระบวนการทคาดวาหลายคนนาจะเคยไดยนทเรยกวาDigitalForensicsผานหผานตากนมาบางในโอกาสนผเขยนในฐานะหนงในเจาหนาทผปฏบตงานศนยดจทลฟอเรนสกส(DigitalForensicsCenter)ของETDAจงขอใชบทความนอธบายวาDigitalForensicsนนคออะไรและมกระบวนการอะไรบางทเกยวของ

ศนยดจทลฟอเรนสกส(DigitalForensicsCenter)ของETDA.เปนสวนงานทมภารกจตางๆไดแกการตรวจพสจนพยานหลกฐานดจทลและออกรายงานผลการตรวจวเคราะหตามคำรองขอของหนวยงานรกษากฎหมายใหคำปรกษาและคำแนะนำทางวชาการแกเจาหนาททอาจจะไมคนเคยกบเทคโนโลยทมการเปลยนแปลงอยตลอดเวลาและพยานหลกฐานดจทลสมยใหมทมรปแบบตางๆกนไมวาจะเปนเครองคอมพวเตอรโนตบกแทบเลตโทรศพทมอถอกลองวงจรปดหรอเปนหนวยบนทกขอมลไดแกฮารดดสกทถอดออกมาจากเครองเซรฟเวอรอมเมจของเครองคอมพวเตอรฯลฯจดประสงคสวนใหญจะขอใหชวยตรวจพสจนหรอคนหาขอมลทเปนประโยชนตอการดำเนนคดกบผกระทำความผดหรอผตองสงสยซงภายหลงจากทศนยดจทลฟอเรนสกสตรวจวเคราะหเรยบรอยจงจะสงรายงานสรปผลการตรวจวเคราะหพรอมพยานหลกฐานคนใหแกหนวยงานตนเรองตอไป

DigitalForensicsหรอทเรยกในภาษาไทยวาการตรวจพสจนพยานหลกฐานทางดจทล มกระบวนการทำงานแบงไดเปน3ขนตอนหลกคอ 1.การรวบรวมพยานหลกฐาน(Acquisition) 2.การวเคราะห(Analysis) 3.การรายงานผลการตรวจพสจน(Report)

เพอใหผลการตรวจพสจนมความถกตองนาเชอถอและเปนทยอมรบในชนศาลนนการดำเนนการตามกระบวนการทงสามขนตอนนตองเปนไปตามหลกการมาตรฐานทไดรบการยอมรบหรอทนยมเรยกกนวาForensicallysoundmethodsซงจะตองมการบนทกรายละเอยดการดำเนน


การในทกขนตอนหากไดผลเชนใดกจะตองสามารถทำซำโดยผอนในภายหลงและจะตองไดผลลพธเชนเดยวกนทกครงเครองมอทงฮารดแวรและซอฟตแวรทเลอกใชตองผานการตรวจสอบมาอยางละเอยดวามความนาเชอถอและหากจำเปนกจะตองValidateใหแนใจรวมทงการทดสอบผลการทำงานกอนและทสำคญคอผปฏบตงานDigitalForensicsกตองมความรความสามารถในการปฏบตงานมความสามารถในการวเคราะหขอมลเขาใจระบบการทำงานของระบบปฏบตการและเครองมอทใชและไดรบการฝกมาเปนอยางด

นอกจากปจจยขางตนทกลาวมาหวใจสำคญทจะทำใหผลการตรวจไดรบการยอมรบในชนศาลโดยไมถกโตแยงคอเราตองสามารถยนยนไดวาหลกฐานทนำมาตรวจสอบนนเปนหลกฐานชนเดยวกบทเกบมาจากสถานทเกดเหตจรง(Authentication)และไมมการเปลยนแปลงขอมลใดๆไปจากเดม(Integrity)ในการทำงานเราจะแตะตองพยานหลกฐานใหนอยทสดเพอคงสภาพความสมบรณของหลกฐานนนๆซงในการจะยนยนคณสมบตทงสองขอนไดนนเราตองอาศยหลกการสำคญของการตรวจพสจนพยานหลกฐานดจทลคอChainofcustodyและHashvalue

(1)Chainofcustodyหากแปลตรงตวกคอ“หวงโซการคมครองพยานหลกฐาน”หมายถงขอมลทระบรายละเอยดของพยานหลกฐานและการสงตอพยานหลกฐานโดยเจาหนาททรบผดชอบซงจะตองมการบนทกไวเรมตงแตเมอพยานหลกฐานชนนนมการเกบมาจากทเกดเหตมาอยในความครอบครองของเจาหนาททเกยวของจนถงเมอสนสดคดไวในแบบฟอรมChainofcustodyซงจะเปนประโยชนหากผทเกยวของตองไปใหการในศาลโดยจะตองสามารถยนยนไดวาในระหวางการครอบครองพยานหลกฐานชนนนไดจดเกบไวทไหนนำไปทำอะไรบางมปจจยทจะทำใหพยานหลกฐานเปลยนแปลงหรอไมไดสงตอใหกบบคคลอนหรอไมเมอวน/เวลาใด(เรยกไดวาจะตองสามารถระบตวตนของผรบผดชอบไดตลอดเวลาทครอบครองพยานหลกฐานนนเอง)ตวอยางขอมลทจดบนทกไวในแบบฟอรมChainofcustodyเชนหากเจาหนาทตำรวจเปนผจดเกบพยานหลกฐานจากสถานทเกดเหตเองกตองระบชอตำแหนงหนวยงานวน/เวลารวมถงขอมลสำหรบตดตอใหครบถวนเมอนำพยานหลกฐานกลบมาเกบไวทหองเกบพยานหลกฐานทสถานตำรวจกตองจดบนทกสถานทและวนเวลารวมทงผรบผดชอบไวในแบบฟอรมหากในวนถดไปตองสงพยานหลกฐานชนนนไปใหเจาหนาตรวจพสจนหลกฐานดำเนนการตรวจพสจนกตองบนทกไวในแบบฟอรมวาณวนเวลาใดทพยานหลกฐานไดเคลอนยายออกจากหองเกบพยานหลกฐานและปจจบนอยในความครอบครองของใครเปนตน


รปท1ตวอยางแบบฟอรมChainofcustodyทใชเกบขอมลพยานหลกฐานและการสงตอพยานหลกฐานโดยเจาหนาททรบผดชอบ


(2)Hashvalueเปนผลลพธจากการนำขอมล(จะเปนฮารดดสกทงลกหรอไฟลชนดหรอขนาดใดกได)มาผานกระบวนการยอย(Digest)หรอการคำนวณดวยHashFunctionเรยกกระบวนการนวาHashingโดยผลลพธนจะเปนคาเฉพาะซงโดยทวไปนยมแสดงโดยใชเลขฐาน16(Hexadecimal)ซงมความยาวแตกตางกนขนอยกบวธการหรอฟงกชนทใชเชนMD5(MessageDigest5)ซงใหผลลพธ128bitหรอ32digit(เลขฐาน16)และSHA1(SecureHashAlgorithm1)ใหผลลพธ160bitหรอ40digit(เลขฐาน16) หมายเหต:Hashingจะคำนวณจากขอมลทอยในไฟลเทานนไมรวมmetadataซงไดแกชอไฟลวนเวลาทไฟลถกสรางเปลยนแปลง/เขาถงครงสดทายเปนตน

รปท2ตวอยางคาแฮชSHA1และMD5

คณลกษณะทสำคญของHashingคอเปนวธการแบบNon-reversibleคอเราไมสามารถนำผลลพธจากกระบวนการยอยมาคำนวณกลบเปนขอมลตงตนไดและหากนำขอมลทเหมอนกนทกประการมาผานกระบวนการยอยผลลพธทไดจะเหมอนกนทกครงแตถาหากขอมลทจะนำมายอยมความตางกนแมเพยงบตเดยวผลลพธทไดกตางกนทนทในปจจบนนการใชHashvalueไมวาจะเปนMD5หรอSHA1ไดรบการยอมรบวาสามารถยนยนความถกตองแทจรงของพยานหลกฐานในกระบวนการยตธรรมโดยในทางปฏบตสวนมากเราจะใหซอฟตแวรหรอฮารดแวรคำนวณทงคาMD5และSHA1ออกมาเพอยนยนความถกตองของขอมล

ในสวนของMD5ตองขออธบายเพมเตมสกหนอยเนองจากตงแตป2004ไดเคยมนกวชาการพสจนแลววาสามารถสรางไฟลสองไฟลทมเนอหาแตกตางกนแตเมอนำมาคำนวณคาMD5แลวไดคาเหมอนกนไดจงเปนเหตใหMD5ไมเหมาะสมสำหรบการใชงานทตองมคณสมบตแบบCollisionresistantเชนSSLcertificatesหรอDigitalsignaturesทนหลายคนอาจสงสยวาทำไมDigitalForensicsยงนยมใชMD5อยทำไมซอฟตแวรเฉพาะสำหรบงานตรวจพสจนพยานหลกฐานดจทลทเปนทรจกแพรหลายเชนEnCaseและFTKยงใชMD5ในการยนยนความถกตองแทจรงของขอมลพยานหลกฐานกบสำเนาพยานหลกฐานคำอธบายหนงคอมความเปนไปไดนอยมากๆทจะสามารถดดแปลงเนอหาบางสวนของไฟลพยานหลกฐานทมอยเพอบงคบใหมคาMD5ตามทเราตองการโดยทเนอหาของไฟลนนยงคงสอความหมายเขาใจไดเหมอนเดมและนอกจากนMD5ยงเปนกระบวนทใชเวลาไมนานมากในการคำนวณเมอเปรยบเทยบกบการคำนวณHashingแบบอนๆดงนนจงเปนทนยมในกลมผปฏบตงานDigitalForensics


ตอไปผเขยนจะอธบายกระบวนการทำงานDigitalForensicsโดยเรมตงแตการรวบรวมพยานหลกฐานไปจนถงการเขยนรายงานสรปผลซงจะเนนขอมลทางดานเทคนคและตองอธบายคอนขางยาวดงนนผเขยนจงขอใหผอานไดพกกนกอนคอยมาตดตามDigitalForensics101ตอนท2กนตอไปคะ

อางอง

1. http://en.wikipedia.org/wiki/MD5

2.http://computer-forensics.sans.org/blog/2009/01/07/law-is-not-a-science-admissibility-of-computer-evidence-and-md5-hashes

http://en.wikipedia.org/wiki/MD5

http://computer-forensics.sans.org/blog/2009/01/07/law-is-not-a-science-admissibility-of-computer-evidence-and-md5-hashes





แนวโนมภยคกคามดานความมนคงปลอดภยไซเบอรป2557ผเขยน : ทมไทยเซรตวนทเผยแพร : 27ธนวาคม2556ปรบปรงลาสด : 27ธนวาคม2556

ในชวงปลายปหลายบรษทชอดงดานCybersecurityเชนFireEye,Kaspersky,Microsoft,Sophos,Symantec,TrendMicroและInfoSecInstituteเผยแพรรายงานวเคราะหแนวโนมของภยคกคามดานความมนคงปลอดภยไซเบอรในป2557วามแนวโนมจะเปนไปในทศทางใดซงความเหนของแตละบรษทนนกมทงในลกษณะทคลายคลงและแตกตางกนไปในโอกาสนทมไทยเซรตไดสรปประเดนสำคญทเปนประโยชนจากรายงานวเคราะหแนวโนมภยคกคามป2557ทไดรวบรวมโดยสามารถสรปเปนหวขอทนาสนใจดงตอไปน

ชองโหวในซอฟตแวรทถกยตการใหบรการสนบสนน

ในป2556เราไดเหนชองโหวของJava[1],InternetExplorer[2],MicrosoftOffice[3]และAdobeReader[4]ทผไมหวงดนำมาใชอยางแพรหลายเพอเขาถงและขโมยขอมลจากเครองคอมพวเตอรผใชในป2557Microsoft,SophosและTrendMicroไดคาดการณวาหลงจากทMicrosoftยตการใหบรการสนบสนนผลตภณฑWindowsXPและMicrosoftOffice2003ในเดอนเมษายน2557และOracleยตการใหบรการสนบสนนผลตภณฑJava6ในเดอนกมภาพนธ2557ซงหมายความวาจะไมมการอพเดตเพอแกไขชองโหวใดๆอกตอไปแลวเปนผลทำใหอาจจะมการเผยแพรชองโหวของผลตภณฑดงกลาวมากขนเนองจากมความเปนไปไดวาผไมหวงดจะนำชองโหวทตนเองเคยคนพบแตยงไมเคยเผยแพรออกสสาธารณะออกมาใชในการโจมตผอนดงนนผใชWindowsXPในปจจบนควรเปลยนไปใชระบบปฏบตการเวอรชนทใหมกวาเชนWindows7หรอWindows8กอนกำหนดการยตการใหบรการสนบสนนอยางไรกตามในปจจบนยงพบวามผใชWindowsXPอยเปนจำนวนมากเนองจากขอมลในเวบไซตnetmarketshare.comพบวายงมผทใชWindowsXPเปนจำนวนกวา32เปอรเซนตของระบบปฏบตการทงหมด[5]อยางไรกตามFireEyeไดใหความเหนวาป2557จะพบชองโหวในJavaนอยลงซงสอดคลองกบสถตป2556ทพบจำนวนชองโหวในJavaลดลงและยงใหความเหนวาจะพบชองโหวในโปรแกรมเวบเบราวเซอรมากขน


มลแวรทมความซบซอนมากขน

FireEyeไดคาดการณลกษณะของมลแวรทจะพบในป2557ไวหลายอยางเชนมลแวรจะสามารถหลบหลกการตรวจจบการตดตอสอสารกบผไมหวงดไดแยบยลขนหรอมความสามารถในการลบระบบปฏบตการเพอทำลายรองรอยหลงปฏบตการสำเรจเชนการลบตวระบบปฏบตการWindowsทงทงหมดทำใหไมสามารถใชงานคอมพวเตอรไดนอกจากนมลแวรยงอาจใชลายเซนดจทลทขโมยมาจากบรษทพฒนาซอฟตแวรเพอทำใหดเหมอนวาเปนซอฟตแวรทพฒนาอยางถกตองโดยบรษทพฒนาซอฟตแวรดงกลาวซงSophosกไดใหความเหนเกยวกบเรองของมลแวรในลกษณะทคลายคลงกนสวนกรณตวอยางทพบเกยวกบการใชลายเซนดจทลกบมลแวรนนเชนกรณทบรษทผพฒนาโปรแกรมเวบเบราวเซอรOperaถกเจาะระบบและถกขโมยDigitalcertificateสงผลใหผไมหวงดอาจใชDigitalcertificateดงกลาวในการรบรองมลแวรวาเปนโปรแกรมOperaหรอตวอพเดตของOperaได[6]นอกจากนFireEyeยงไดคาดการณวามลแวรในBIOSและตวอพเดตของFirmwareจะมจำนวนเพมมากขนอกดวยในขณะทการตรวจหามลแวรกจะใชเวลานานขนโดยปจจบนจากรายงานของPonemonInstituteพบวาตองใชเวลาในการตรวจพบมลแวรหรอโปรแกรมไมพงประสงค80-100วนและตองใชเวลาในการแกไขปญหานานถง120-150วน

ภยคกคามทเกยวของกบโทรศพทมอถอ

ในเรองของภยคกคามทเกยวของกบโทรศพทมอถอหลายบรษทตางกลาวเปนเสยงเดยวกนวาจะมแนวโนมเพมมากขนเนองจากจำนวนผใชโทรศพทมอถอทเพมขนโดยการขโมยSMS ในมอถอทใชในการยนยนตวตน2ขน(2-stepverification)เชนการขโมยรหสOTPทเปนSMSสำหรบใชลอกอนบญชธนาคารออนไลนจะพบเหนไดมากขนซงเมอเดอนกรกฎาคม2556 ทผานมาผใชบญชธนาคารออนไลนในประเทศไทยกไดตกเปนเปาหมายของภยคกคามประเภทนโดยสามารถอานรายละเอยดเพมเตมไดจากบทความของไทยเซรต[7]นอกจากนSymantecไดคาดการณวาผใชจะตกเปนเหยอของแอปพลเคชนบนโทรศพทมอถอทหลอกลวงมากขนเนองจากความไวเนอเชอใจในโทรศพทมอถอของผใชโดยSymantecไดยกตวอยางแอปพลเคชนทเพมlikeของโพสตในบญชInstagramของโดยผใชตองระบชอบญชผใชและรหสผานของบญชInstagramใหกบแอปพลเคชนซงมคนมากกวาแสนคนตกเปนเหยอ

การโจมตผใชทวไป

ถงแมวากระบวนการรกษาความมนคงปลอดภยจะแขงแกรงและมประสทธภาพมากเพยงใดแตถาหากตวผใชเองไมไดมความตระหนกรและความเขาใจในเรองความมนคงปลอดภยไซเบอรแลวกระบวนการดงกลาวกยอมจะถกทำลายลงไดโดยงายซงTrendMicroไดใหความเหนวาผไมหวงดจะยงคงนยมใชวธSpearphishingในการโจมตผใชโดยตรงแทนทจะโจมตระบบโดยรปแบบในการโจมตนนอาจเปนการสงอเมลหลอกลวงจากผไมหวงดโดยเนอหาในอเมลสวนหนงจะประกอบดวยขอมลสวนตวของเหยอเพอสรางความนาเชอถอผใชจะถกหลอกใหเปดไฟลอนตรายทแนบมาหรอหลอกใหเขาเวบไซตอนตรายทสรางขนโดยผไมหวงดสงผลใหผไมหวงดสามารถเขาถงเครองคอมพวเตอรของผใชและขโมยขอมลไดวธนเปนทนยมเนองจากขอมลสวนตวของผใชอนเทอรเนตมกหาไดโดยงายจากการทผใชเปดเผยขอมลสวนตวลงบนสอสงคมออนไลนเชน


FacebookโดยไมไดตระหนกถงผลกระทบตางๆทอาจตามมาสวนMicrosoftคาดการณวาเทคนคการหลอกลวงดวยวธSocialengineering[8]จะถกนำมาใชมากยงขนในขณะทFireEyeไดคาดการณวาการโจมตแบบWateringholeattackซงเปนรปแบบการโจมตดวยการเจาะระบบเวบไซตทมผเขาชมเปนจำนวนมากแลวฝงมลแวรลงบนเวบไซตดงกลาวเพอใหผทเขาชมเวบไซตตดมลแวรนนจะถกนำมาใชแทนวธการสงอเมลหลอกลวงไปหาบคคลอยางเฉพาะเจาะจงมากขน

การโจมตในระดบองคกร

Kasperskyไดบรรยายถงประเภทการโจมตทางไซเบอรเปรยบเปนรปพระมดทถกแบงออกเปน3สวนสวนลางคอการโจมตบคคลทวไปโดยอาชญากรทางไซเบอรเพอเงนสวนกลางคอการจารกรรมขอมลขององคกรรวมถงการสอดแนมประชาชนโดยรฐบาลและสวนบนคอการโจมตทางไซเบอรจากประเทศหนงไปยงประเทศอนๆโดยKasperskyไดใหความเหนวาการโจมตในระดบองคกรจะมแนวโนมเพมมากขนโดยกลมของผทเปนอาชญากรทางไซเบอรทวไปหรอแมกระทงผเชยวชาญดานความมนคงปลอดภยทไมเคยมสวนเกยวของกบอาชญากรรมทางไซเบอรมากอนมแนวโนมทจะผนตวเองไปทำงานในลกษณะของมอปนรบจางซงผจางวานอาจเปนบรษททตองการสอดแนมขอมลของคคาและคแขงเพอชงความไดเปรยบทางดานธรกจ

การโจมตระบบคลาวด

Kasperskyไดใหความเหนเกยวกบแนวโนมในการโจมตบรการคลาวดเพอขโมยเปลยนแปลงหรอทำลายขอมลโดยเฉพาะการโจมตกบเจาหนาทของบรษทผใหบรการคลาวดทจะมมากขนเนองจากมองวาเจาหนาทเหลานเปนจดออนทสดของกระบวนการรกษาความมนคงปลอดภย ซงหากผไมหวงดสามารถโจมตไดสำเรจกอาจเปดโอกาสใหผไมหวงดสามารถเขาถงขอมลบนระบบคลาวดทมจำนวนมากมายมหาศาลไดในขณะทSophosกไดคาดการณวาการโจมตระบบคลาวด จะมแนวโนมเพมมากขนเชนกนโดยอาจเปนการโจมตทพงเปาหมายไปยงอปกรณสวนบคคลตางๆเชนโทรศพทมอถอของผใชเพอใชเปนชองทางไปสการเขาถงขอมลสวนบคคลหรอขอมลขององคกรบนระบบคลาวดหรออาจเกดจากการทำงานของมลแวรประเภทRansomwareทมเปาหมายการโจมตไปยงขอมลบนเครองคอมพวเตอรและขอมลบนระบบคลาวดทสามารถเขาถงไดจากเครองคอมพวเตอรของเหยอดวย

การโจมตเพอขโมยBitcoin

เนองจากปจจบนBitcoinเรมเปนทยอมรบและมการชมากขนในฐานะเงนอเลกทรอนกสKasperskyและInfoSecInstituteไดใหความเหนไปในทศทางเดยวกนวาแทนทในปจจบนเรามกจะพบวามการเผยแพรมลแวรทมหนาทในการคำนวณสำหรบการทำBitcoinminingบนเครองคอมพวเตอรของผใชการขโมยBitcoinโดยตรงไมวาจะเปนการเผยแพรมลแวรททำการขโมยBitcoinโดยเฉพาะบนคอมพวเตอรของผใชหรอแมกระทงการโจมตผใหบรการแลกเปลยนBitcoinกบเงนสกลอนๆจะพบเหนไดมากขนแทนเนองจากผไมหวงดสามารถนำBitcoinทขโมยไดไปแลกเปนเงนสกลอนไดทนทในขณะทการสบหาตวบคคลทแลกนนกยงเปนเรองททำไดยาก


ความเปนสวนตวของผใช

จากการเผยแพรขอมลโดยนายเอดเวรดสโนวเดนเกยวกบโครงการสอดแนมและดกจบขอมลสวนบคคลโดยหนวยงานNSAของสหรฐอเมรกาทำใหประชาชนตนตวในเรองของการปกปองขอมลสวนบคคลมากขนโดยหลายรายงานใหความเหนไปในทศทางเดยวกนวาประชาชนจะใชบรการอนเทอรเนตผานชองทางทมการเขารหสลบขอมลเชนVPNหรอTORมากขนเพอปกปองขอมลสวนบคคลเมอทองอนเทอรเนตหรอในกรณของผไมหวงดกสามารถใชบรการTORเชนกนเพอซอนตวเองเมอปฏบตการโจมตทางไซเบอร

บทสรป

จะเหนไดวาแนวโนมภยคกคามดานความมนคงปลอดภยไซเบอรสำหรบป2557ในภาพรวมนนอาจมความรนแรงมากขนไมวาจะเปนการทผไมหวงดโจมตชองโหวของผลตภณฑทยตการใหบรการสนบสนนไปแลวมลแวรทมความซบซอนและความสามารถในการหลบหลกการตรวจจบมากขน รวมถงภยคกคามทเกยวของกบโทรศพทมอถอจะพบเหนไดมากขนในขณะทรปแบบการโจมตผใชทวไปองคกรและระบบสารสนเทศตางๆอาจมการเปลยนแปลงทงในเชงกระบวนการและเทคนคและเรองการสอดแนมขอมลโดยรฐบาลทเปนประเดนรอนและมขาวคราวใหตดตามมาโดยตลอดในชวงครงปหลงของป2556กทำใหทงประชาชนรวมถงรฐบาลของแตละประเทศใหความสำคญกบการปกปองขอมลมากยงขนซงจะสงผลใหขอมลทสอสารบนเครอขายอนเทอรเนตเปนขอมลทมการเขารหสลบขอมลเพมมากขนในป2557ประเดนดงกลาวคาดวาจะยงคงรอนแรงและเปนทถกเถยงกนตอไปผทสนใจรายละเอยดเพมเตมสามารถอานไดจากรายงานและบทวเคราะหแนวโนมภยคกคามของแตละบรษทตามรายการดานลาง

FireEye:TopSecurityPredictionsfor2014 http://www.fireeye.com/blog/corporate/2013/11/top-security-predictions-for-2014.html

Kaspersky:SecurityBulletin2013Forecasts http://www.securelist.com/en/analysis/204792320/Kaspersky_SecurityBulletin_2013_Forecasts

Microsoft:TopCyberThreatPredictionsfor2014 http://blogs.technet.com/b/security/archive/2013/12/12/security-professionals-top-threat-predictions-for-2014.aspx

Sophos:SecurityThreatReport2014 http://www.sophos.com/en-us/threat-center/security-threat-report.aspx

Symantec:2014Predictions http://www.symantec.com/connect/blogs/2014-predictions-symantec-0

http://www.fireeye.com/blog/corporate/2013/11/top-security-predictions-for-2014.html

http://www.fireeye.com/blog/corporate/2013/11/top-security-predictions-for-2014.html

http://www.securelist.com/en/analysis/204792320/Kaspersky_SecurityBulletin_2013_Forecasts

http://www.securelist.com/en/analysis/204792320/Kaspersky_SecurityBulletin_2013_Forecasts

http://blogs.technet.com/b/security/archive/2013/12/12/security-professionals-top-threat-predictions-for-2014.aspx

http://blogs.technet.com/b/security/archive/2013/12/12/security-professionals-top-threat-predictions-for-2014.aspx

http://www.sophos.com/en-us/threat-center/security-threat-report.aspx

http://www.symantec.com/connect/blogs/2014-predictions-symantec-0


TrendMicro:SecurityPredictionsfor2014andBeyond http://about-threats.trendmicro.com/apac/security-predictions/2014/blurring-boundaries

InfoSecInstitute:SecurityPredictionsfor2014 http://resources.infosecinstitute.com/security-predictions-2014

อางอง

1. https://www.thaicert.or.th/alerts/admin/2012/al2012ad018.html




5. http://www.netmarketshare.com/operating-system-market-share.aspx?qprid=10&qpcustomd=0

6. http://www.nbcnews.com/id/52333655/ns/technology_and_science-tech_and_gadgets/#.Uruph6GLe1E

7. https://www.thaicert.or.th/alerts/user/2013/al2013us007.html

8. https://www.thaicert.or.th/papers/general/2012/pa2012ge017.html

http://about-threats.trendmicro.com/apac/security-predictions/2014/blurring-boundaries

http://about-threats.trendmicro.com/apac/security-predictions/2014/blurring-boundaries

http://resources.infosecinstitute.com/security-predictions-2014

https://www.thaicert.or.th/alerts/admin/2012/al2012ad018.html




http://www.netmarketshare.com/operating-system-market-share.aspx?qprid=10&qpcustomd=0

http://www.netmarketshare.com/operating-system-market-share.aspx?qprid=10&qpcustomd=0

http://www.nbcnews.com/id/52333655/ns/technology_and_science-tech_and_gadgets/

http://www.nbcnews.com/id/52333655/ns/technology_and_science-tech_and_gadgets/

https://www.thaicert.or.th/alerts/user/2013/al2013us007.html




DIGITALFORENSICS101(ตอนท2)ผเขยน : กรรณกาภทรวศษฏสณธวนทเผยแพร : 30ธนวาคม2556ปรบปรงลาสด : 30ธนวาคม2556

สวสดอกครงคะกอนทจะเรมเขาเนอหาของบทความตอนทสองนขอยอนกลบไปในตอนทหนงทไดอธบายแลววากระบวนการตรวจพสจนพยานหลกฐานทางดจทลสามารถแบงออกไดเปน3ขนตอนหลกคอ(1)การรวบรวมพยานหลกฐาน(Acquisition)(2)การวเคราะห(Analysis)และ(3)การรายงานผลการตรวจพสจน(Report)สำหรบบทความตอนทสองนจะเปนการอธบายถงขนตอนการรวบรวมพยานหลกฐาน(Acquisition)ซงในทนหมายถงการทำสำเนาพยานหลกฐานดจทลไมวาณทจดเกดเหตหรอภายในหองปฏบตการในภายหลงกอนทจะนำสำเนาไปตรวจวเคราะหเนองจากหลกการสำคญขอหนงของDigitalforensicsคอการตรวจวเคราะหจะไมกระทำกบพยานหลกฐานตนฉบบโดยตรง

โดยทวไปขอมลดจทลสามารถแบงไดเปนสองประเภทคอขอมลทบนทกอยในหนวยความจำประเภททสามารถสญหายไดเมอปดอปกรณซงเรยกวาVolatiledataไดแกขอมลในแรม(RAM)และขอมลประเภททบนทกอยในหนวยความจำทยงคงสภาพเชนเดมเมอปดอปกรณไปแลวซงเรยกวาNon-volatiledataไดแกขอมลทบนทกอยในฮารดดสกหรอThumbdriveฯลฯ

การทำสำเนาขอมลVolatileData

VolatiledataเปนขอมลทสามารถสญหายไปทนททปดเครองคอมพวเตอรไดแกขอมลทบนทกในแรมเชนขอมลNetworkconnections,Runningapplications,Runningprocesses,Open/listeningnetworkconnectionsรวมถงพาสเวรดสำหรบใชงานโปรแกรมเปดอานอเมลหรอเขาถงพารทชนฮารดดสกทมการเขารหสไวเปนตนซงประโยชนของขอมลVolatiledataนอกจากจะสามารถใชกพาสเวรดทคนรายอาจไมยอมบอกแลวยงสามารถใชในการตรวจยนยนวาเครองคอมพวเตอรมมลแวรฝงอยหรอไมหรอถกควบคมโดยบคคลอนโดยทเจาของไมรตวหรอไมดวย

ในสมยกอนเจาหนาทเกบพยานหลกฐานมกจะไดรบการสอนวาเมอพบเครองคอมพวเตอรทเปดอยในทเกดเหตควรถายภาพสงทปรากฏทหนาจอแลวดงปลกไฟทหลงเครองออกทนทเพอคงสภาพความสมบรณของพยานหลกฐานแตในปจจบนแนวคดนไดเปลยนไปแลวเนองจากพบวาVolatiledataมขอมลทเปนประโยชนและในบางครงหากปดเครองคอมพวเตอรไปแลวอาจจะไมสามารถเปดขนมาไดอกหากไมรพาสเวรดสงผลใหไมสามารถกขอมลใดๆจากพยานหลกฐานชนนน


ปจจบนมซอฟตแวรสำหรบใชเกบVolatiledataหลายหลากยหอเชนFTKImager,DumpIt,Memoryze,AuditViewerและHELIXเปนตนในบทความนผเขยนจะขอแนะนำโปรแกรม2ตวทสามารถดาวนโหลดมาใชงานไดฟรไดแกFTKImagerLiteและDumpItซงมความพเศษคอไมจำเปนตองตดตงลงในเครองคอมพวเตอรเพยงแคกอปปใสThumbdriveเสยบใสคอมพวเตอร ทตองการเกบแรมแลวสงรนโปรแกรมไดเลย

โปรแกรมFTKImagerLite[1]ของบรษทAccessDataสามารถดาวนโหลดไดจากhttp://www.accessdata.com/support/product-downloadsเพยงแคดาวนโหลดมาแลวแตกไฟลใสลงในThumbdriveกสามารถใชงานไดเลยโดยเลอกคำสงCaptureMemoryจากเมน ทแสดงโดยกอนใชงานจะตองรรหสผานของผดแลระบบทจะทำสำเนาแรมจงจะสามารถรนโปรแกรมนได

รปท1การเลอกคำสงCaptureMemoryจากเมนFileของโปรแกรมFTKImagerLite


โปรแกรมถดมาทจะขอแนะนำคอโปรแกรมDumpIt[2]จากบรษทMoonsolsสามารถดาวนโหลดไดจากhttp://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/ขอดของโปรแกรมนคอไฟลDumpIt.exeมขนาดเลกแคประมาณ200KBและวธการทำงานงายๆเพยงแคกอปปไฟลDumpIt.exeใสไวในThumbdriveแลวนำไปเสยบกบเครองคอมพวเตอรทตองการเกบแรมแลวใชคำสงเดยวกสามารถเรมสำเนาแรมไดทนทโดยโปรแกรมจะเกบไฟลImageไวในโฟลเดอรเดยวกบไฟลDumpIt.exeโดยอตโนมตขอควรระวงเมอใชโปรแกรมนคอเนองจากโปรแกรมนไมมการตงคาอะไรดงนนจะตองเตรยมพนทใหเพยงพอกบขนาดแรมทตองการจดเกบและเชนเดยวกบโปรแกรมFTKImagerLiteคอจะตองรรหสผานของผดแลระบบจงจะสามารถรนโปรแกรมนได

รปท2การรนโปรแกรมDumpIt.exe

เพยงแคนกสำเรจขนตอนการเกบขอมลVolatiledataจากแรม(RAM)แลวไฟลImageทเกบมานสามารถนำไปวเคราะหตอโดยใชโปรแกรมเชนVolatilityหรอโปรแกรมวเคราะหพยานหลกฐานดจทลอนๆซงสามารถชวยสกดขอมลทเปนประโยชนออกมาได

หมายเหตเนองจากการจดเกบขอมลVolatiledataนนจำเปนตองทำในขณะทเครองคอมพวเตอรยงเปดใชงานอยดงนนขอมลในแรมจะเปลยนแปลงไดตลอดเวลาทำใหการทำสำเนาขอมลVolatiledataในแตละครงอาจไดผลลพธทแตกตางกนไดถงแมวาจะเปนเครองคอมพวเตอร เครองเดยวกนภายในเวลาทใกลเคยงกน

การทำสำเนาขอมลNon-volatiledata

การทำสำเนาขอมลNon-volatiledataหรอขอมลทไมสญหายเมอปดคอมพวเตอรเปนกระบวนการทคนทวไปนาจะคนเคยและรจกดเพราะเปนการทำสำเนาสอบนทกขอมลเชน


ฮารดดสกซดดวดThumbdriveSSDฯลฯโดยใชวธการกอปปแบบbit-to-bitนนเองซงขอมลททำสำเนาแลวจะเหมอนกบตนฉบบทกประการเนองจากฮารดดสกมความจเพมมากขนเรอยๆจนถง4เทราไบตแลวดงนนการเลอกใชเครองมอไมวาจะเปนฮารดแวรหรอซอฟตแวรควรคำนงถงความเรวในการอานและเขยนขอมลดวยรวมทงจะตองคำนงถงเวลาทใชในการตรวจสอบยนยนความถกตองสมบรณของสำเนาดวยเชนเครองมอทำสำเนาฮารดดสกแบบbit-to-bitมคณสมบตสามารถสำเนาขอมลดวยความเรว6กกะไบตตอนาทดงนนควรจะสามารถทำสำเนาฮารดดสกขนาด1เทราไบตเสรจภายในเวลา3ชวโมงแตเมอทดสอบในหองปฏบตการกพบวาตองใชเวลานานถง6ชวโมงครงเนองจากจะตองใชเวลาอกหนงเทาตวในการคำนวณและเปรยบเทยบคาแฮชเพอยนยนความสมบรณของสำเนาดวยดงนนกอนทจะเรมกระบวนการทำสำเนาพยานหลกฐานควรจะวางแผนลวงหนาและเผอเวลาไวดวยและนอกจากนกจะตองเตรยมฮารดดสกทจะใชบนทกไฟลImageทมขนาดความจไมนอยกวาพยานหลกฐานตนฉบบและควรเปนฮารดดสกทผานการลางขอมล(Wipe)มากอนซงการWipeคอการสงเขยนขอมลลงฮารดดสกใหเตมพนทโดยอาจเขยนดวยเลข0หรอเลขฐานสบหกอนๆแลวแตเครองมอทเลอกใชเพอปองกนการปนเปอนของพยานหลกฐานกบขอมลเดมทอยในฮารดดสก

ดวยเทคโนโลยในปจจบนการทำสำเนาขอมลNon-volatiledataทำไดหลายวธไมวาจะใชเครองมอฮารดแวรเฉพาะทสามารถอานฮารดดสกพยานหลกฐานตนฉบบและเขยนขอมลbit-to-bitไปยงฮารดดสกสำเนาโดยไมตองผานเครองคอมพวเตอร(เชนForensicImager3,ForensicDuplicator2,HardCopy3P,ImagerMasterหรอShadow3เปนตน)หรอใชเครองคอมพวเตอรทไดตดตงซอฟตแวรเฉพาะอานขอมลจากฮารดดสกพยานหลกฐานผานอปกรณทเรยกวา“Writeblocker”เพอปองกนมใหเกดการเปลยนแปลงของขอมลภายในพยานหลกฐาน (เชนdd,EnCaseImager,Raptor,Helix,FTKImagerเปนตน)

ตวอยางท1แสดงวธการทำสำเนาฮารดดสกโดยใชอปกรณHardCopyซงมสายดาตาเชอมตอไปยงพยานหลกฐานตนฉบบทอยดานซายเพออานขอมลและมสายดาตาอกเสนทตอไปยงฮารดดสกสำเนาทอยดานขวาเพอเขยนขอมลอปกรณนมจอแสดงผลซงสามารถแสดงคาแฮชเพอยนยนความครบถวนสมบรณของกระบวนการทำสำเนาและนอกจากนกยงมการสรางLogเพอบนทกรายละเอยดทเกยวของทงหมดเชนขอมลรนยหอSerialnumberความจจำนวนและขนาดเซกเตอรเวลาเรมตน/สำเรจคาแฮชเปนตน


รปท3การทำสำเนาฮารดดสกดวยอปกรณHardCopy

รปท4แสดงผลคาแฮชMD5ของสำเนา


รปท5Logfileแสดงขอมลฮารดดสกวนและเวลาททำสำเนาและคาแฮชของพยานหลกฐานตนฉบบเปรยบเทยบกบสำเนา

ตวอยางท2ในกรณทไมมฮารดแวรเฉพาะสำหรบทำสำเนาขอมลกสามารถใชโปรแกรมเชนFTKImagerอานขอมลจากฮารดดสกพยานหลกฐานผานWriteblockerเพอปองกนการเปลยนแปลงขอมลพยานหลกฐานตนฉบบแลวเขยนขอมลไปยงฮารดดสกสำเนาในตวอยางนฮารดดสกพยาน


หลกฐานตนฉบบอยในกลองWriteblockerดานซายมอซงมไฟสแดงแสดงสถานะReadOnlyเมอโปรแกรมFTKImagerซงตดตงอยในเครองคอมพวเตอรแลปทอปอานขอมลมาแลวกจะเขยนลงในฮารดดสกสำเนาแบบbit-to-bitจนกวาจะอานขอมลทงหมดจากพยานหลกฐานตนฉบบและเขยนไวในสำเนาครบถวนสมบรณซงสามารถตรวจสอบไดจากไฟลLogทบนทกขอมลทเกยวของทงหมด

รปท6การทำสำเนาฮารดดสกดวยซอฟตแวรFTKImagerโดยใชอปกรณWriteblocker


รปท7Logfileแสดงขอมลเกยวกบฮารดดสกวนและเวลาททำสำเนาและคาแฮชของ พยานหลกฐานตนฉบบเปรยบเทยบกบสำเนา

สำหรบตอนนขอจบแตเพยงเทานตอนหนามาเรมเรยนรเทคนคการวเคราะหขอมลกนคะ

อางอง

1. http://www.accessdata.com/support/product-downloads

2.http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/

3.http://www.digitalintelligence.com/

http://www.accessdata.com/support/product-downloads

http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/

http://www.digitalintelligence.com/

บทความเชงเทคนค186


บทความเชงเทคนค


NMAPผเขยน : ธงชยศลปวรางกรวนทเผยแพร : 1มนาคม2556ปรบปรงลาสด : 1มนาคม2556

ในบรรดาซอฟตแวรทเกยวของกบทางดานNetworksecurityนนNmapถอวาเปนซอฟตแวรตวหนงทไดรบความนยมเปนอยางสงและมการนำไปใชกนอยางแพรหลายโดยเฉพาะผททำงานในดานการดแลระบบเครอขายและระบบความมนคงปลอดภยเรมแรกนนNmapไดรบการพฒนาขนสำหรบระบบปฏบตการLinuxเพอใชในการคนหาและสรางรปแบบการเชอมตอระหวางอปกรณภายในระบบเครอขายเปนหลกแตตอมาไดพฒนาใหมความสามารถในการคนหาบรการทเปด ใชงานอยบนระบบคอมพวเตอรและยงนำไปพฒนาตอเพอใหสามารถใชบนระบบปฏบตการอนๆไดอกดวยสงททำใหNmapไดรบความนยมนนคอฟงกชนการทำงานทมใหเลอกใชและสามารถปรบแตง ไดอยางหลากหลายรวมถงสามารถเลอกใชไดบนแทบทกระบบปฏบตการทนยมใชกนในปจจบน ไมวาจะเปนWindows,Linux,MacOSXหรอแมกระทงระบบปฏบตการสำหรบอปกรณพกพา อยางเชนAndroidจงทำใหNmapเปนตวเลอกแรกๆในบรรดาซอฟตแวรประเภทNetworksecurityscanner

ความสามารถโดยทวไป

• HostDiscovery:การคนหาอปกรณทกำลงทำงานอยในระบบเครอขายเปาหมาย

• PortScanning:การตรวจสอบพอรตทเปดใชงานอยบนระบบเปาหมายเพอนำหมายเลขพอรตทไดไปคนหาตอวาระบบดงกลาวเปดใหบรการอะไร

• OperatingSystem/ServiceVersionDetection:การตรวจสอบเวอรชนของระบบปฏบตการและบรการทเปดใชงานบนระบบเปาหมาย

• ScriptScanning:การใชสครปตเพอเพมความสามารถของNmapในการทำงานดานอนๆโดยทวไปจะเกยวของกบการตรวจสอบความมนคงปลอดภยของระบบ ความสามารถของNmapในการเรยกใชสครปตนมชอวาNmapScriptingEngineซงไมไดอธบายในบทความนแตจะขอกลาวในโอกาสตอไป

การตดตงโปรแกรม

Windows,MacOSXและRPM-basedLinuxdistribution

ระบบปฏบตการทอยในหวขอนนอกจากWindowsและMacOSXแลวยงรวมถงLinuxทใชRPMเปนระบบจดการแพกเกจเชนRedHatEnterpriseLinux,CentOS,Fedora,


openSUSEและMandrivaผทใชระบบปฏบตการเหลานสามารถดาวนโหลดตวตดตงสำเรจรปจากหนาDownloadไดโดยตรง[1]สวนขนตอนการตดตงโปรแกรมนนหากเปนWindowsหรอMacOSจะทำผานทางInstallationwizardเหมอนโปรแกรมอนๆทวไปสวนLinuxสามารถใชคำสงrpmผานทางCommand-lineเพอตดตงโปรแกรม

Debian-basedLinuxdistribution

ระบบปฏบตการทอยในหวขอนเชนDebianและUbuntuเปนตนผทใชระบบปฏบตการเหลานสามารถตดตงผานทางโปรแกรมจดการแพกเกจทมาพรอมกบระบบปฏบตการเชนapt-getไดโดยใชคำสงตอไปนผานทางCommand-line

sudoapt-getinstallnmap sudoapt-getinstallzenmap(สำหรบผทตองการใชโปรแกรมZenmap)

เมอตดตงเสรจแลวปกตจะสามารถเรยกใชผานทางCommand-lineโดยใชโปรแกรมCommandPromptบนWindowsหรอโปรแกรมTerminalบนMacOSXและLinuxไดทนทแตสำหรบผเรมตนอาจเลอกใชโปรแกรมผานทางGUIเชนZenmapไดเชนกนซงจะอธบายในหวขอถดๆไปอยางไรกตามวธดงกลาวมกไมไดตดตงโปรแกรมทเปนเวอรชนลาสดดงนนหากผทใชระบบปฏบตการในหวขอนตองการตดตงโปรแกรมเวอรชนลาสดจะตองดาวนโหลดSourcecodeมาCompileและตดตงดวยตวเองหรอใชคำสงalienในการแปลงไฟลแพกเกจ.rpmใหเปน.debกอนทจะตดตงดวยคำสงdpkgผานทางCommand-line[2]

คำสงการใชงานพนฐาน

Nmapนนมคำสงใหเลอกใชเปนจำนวนมากแตสำหรบการใชงานทวไปนนจะใชเพยงไมกคำสงเนองจากสวนใหญมกจะเปนคำสงเกยวกบการกำหนดรายละเอยดของเทคนคการตรวจสอบระบบเปาหมายใหทำงานตามจดประสงคทเฉพาะเจาะจงมากกวาดงนนในหวขอนจงขออธบายเฉพาะคำสงพนฐานทนยมใชกนโดยทวไปเพอไมใหเกดความสบสนสำหรบผทเรมตนใชแตกอนอนผใชควรมความเขาใจเกยวกบสวนประกอบหลกของคำสงดงตอไปน

nmap<scan-technique><options><target>

คำสงของNmapนนประกอบดวย3สวนหลกดงทเหนขางบนในสวนของ<scan-technique>เปนการระบเทคนคทจะใชในการสแกนระบบเปาหมายเชนTCPSYNscanหรอUDPscanซงสามารถระบไดหลายเทคนคพรอมกนสวน<options>เปนการระบตวเลอกอนๆประกอบซงมใหเลอกใชเปนจำนวนมากตวอยางเชนการตรวจสอบระบบปฏบตการการระบหมายเลขพอรตทจะสแกนและการกำหนดรปแบบของผลลพธทไดสวนสดทายคอ<target>เปนสวนทใชระบเปาหมายทจะทำการตรวจสอบโดยทวไปจะนยมระบเปนIPaddress,กลมของIPaddressในรปของCIDRnotation(เชน192.168.1.0/24),HostnameหรอDomainnameทงนบางคำสงเชนการตรวจสอบระบบปฏบตการจำเปนทจะตองใชสทธของผดแลระบบ


(AdministratoraccountในWindowsหรอrootในMacOSXและLinux)ในการใชงานเนองจากคำสงเหลานตองการทจะสรางแพกเกตเพอสงไปยงระบบเปาหมายในรปแบบพเศษทไมอางองกบมาตรฐานการทำงานของโพรโทคอลตามปกตหรอไมใชรปแบบทระบบปฏบตการจดเตรยมไวให

การตรวจสอบหาระบบทกำลงทำงาน

วธนเปนการตรวจสอบหาอปกรณหรอเครองคอมพวเตอรทกำลงทำงานอยในระบบเครอขายโดยการPingไปยงเปาหมายทระบไววธนเหมาะกบการจำกดกลมเปาหมายในกรณททำการตรวจสอบบนเครอขายขนาดใหญเนองจากมการทำงานทรวดเรวโดยมคำสงการใชงานดงน

nmap-sn<target>

ตวแปร-snหมายถงการทำPingscanในอกความหมายหนงคอการกำหนดไมใหทำPortscan

การตรวจสอบบรการเวอรชนของบรการและระบบปฏบตการ

วธนจะทำการตรวจสอบบรการและเวอรชนของบรการทตรวจพบรวมถงระบบปฏบตการของระบบเปาหมายโดยใชคำสงดงน

nmap-sS-sV-O<target>

ตวแปร-sSหมายถงใชเทคนคการสแกนแบบTCPSYNScanซงเปนเทคนคพนฐานทมกนยมใชทวไปโดยผใชสามารถเปลยนหรอเพมเทคนคการสแกนรปแบบอนไดสวนตวแปร-sVและ-Oหมายถงการตรวจสอบหาเวอรชนของบรการและระบบปฏบตการตามลำดบ

การตรวจสอบบรการทเปดใชงานโดยระบหมายเลขพอรต

วธนจะใชในการตรวจสอบบรการทเปดใชงานโดยระบหมายเลขพอรตเพอจำกดกลมของบรการทจะตรวจสอบทำใหชวยลดระยะเวลาในการทำงานและจำกดผลลพธเฉพาะทตองการการตรวจสอบดงกลาวใชคำสงดงน

nmap-p<port-range><target>

ตวแปร-pหมายถงการกำหนดใหสามารถระบหมายเลขพอรตไดสวน<port-range>คอชวงของหมายเลขพอรตทตองการตรวจสอบซงสามารถระบไดหลายรปแบบดงน

• ระบหมายเลขพอรตเดยว

• ระบหลายหมายเลขพอรตเชน80,443

• ระบหมายเลขพอรตเปนชวงทตอเนองกนเชน21-25

• ระบหมายเลขพอรตและชวงของหมายเลขพอรตผสมกนเชน21-25,80,443

• ระบหมายเลขพอรตและโพรโทคอล(TCPหรอUDP)เชนT:21-25,80,443,U:53


ตวเลอกคำสงอนๆ

การกำหนดความเรวในการสแกน

เปนวธทใชกำหนดความเรวในการสแกนระบบเปาหมายซงในทางเทคนคหมายถงการกำหนดระยะเวลาทจะสงแพกเกตและรอการตอบรบจากระบบเปาหมายโดยตวแปรทใชคอ

-T<number>

<number>สามารถระบไดตงแต0ถง5ยงมคามากกจะยงทำการสแกนไดเรวแตกแลกกบความถกตองแมนยำของผลลพธทไดโดยปกตหากไมระบตวแปรนลงในคำสงจะมคาเทากบการใชตวแปร-T3สำหรบวธการใชตวแปรนใหระบควบคไปกบตวแปรทระบเทคนคการสแกนและตวแปรทระบระบบเปาหมายตวอยางเชนnmap-sS-T4192.168.1.1อยางไรกตามยงมอกหลายตวแปรสำหรบใชกำหนดคาตางๆทเกยวกบการรบสงแพตเกตอยางละเอยดเชนการกำหนดTimeoutและDelayแตจะขอไมอธบายวธการใชในบทความนผทสนใจสามารถศกษาเพมเตมไดจากเวบไซตทางการของNmapในหวขอTimingandPerformance[3]

การกำหนดรปแบบของผลลพธ

nmapอนญาตใหผใชสามารถเลอกรปแบบของผลลพธและบนทกผลลพธดงกลาวลงในไฟลไดในปจจบนนยมใชอย2ตวแปรคอ

-oN<output-file>:แสดงผลลพธในรปแบบปกตทวไป(เปนคาตงตนไมจำเปนตองระบกได)

-oX<output-file>:แสดงผลลพธในรปของXML

สวน<output-file>คอPathของไฟลทจะบนทกผลลพธการสแกนไว

RuntimeInteraction

คำสงในหมวดนใชสำหรบดรายละเอยดการทำงานเบองหลงโดยวธการใชนนจะใหผใชกดปมคยบอรดในขณะทNmapกำลงทำการสแกนดงตอไปน

p:เปดการทำงานPackettracing

v:แสดงสถานะการทำงานในแตละขนตอนใหมากขน

d:แสดงการทำงานเบองหลงทละเอยดมากขน

?:แสดงรายละเอยดคำสงทสามารถใชไดในโหมดน

หากผใชตองการยกเลกคำสงใดใหพมพอกษรตวพมพใหญของคำสงนนๆ

การใชงานผานโปรแกรมZenmap

สำหรบผใชในระดบเรมตนทไมถนดจะใชโปรแกรมNmapผานทางCommand-lineสามารถเลอกใชโปรแกรมZenmapซงเปนGUIfront-endของโปรแกรมNmapทมาพรอมกบตวตดตง


มาตรฐานแทนไดโดยเมอเปดโปรแกรมZenmapขนมาจะพบกบหนาตางดงรปท1

รปท1หนาตางหลกของโปรแกรมZenmap

หนาตางหลกของโปรแกรมZenmapแบงออกเปน3สวนดงน

1.สวนทเกยวของกบคำสงประกอบดวย

• Target:ระบบเปาหมายทจะทำการตรวจสอบในชองนสามารถระบเปนIPaddress,HostnameหรอDomainnameกได

• Profile:ลกษณะการสแกนในรปแบบตางๆเชนPingscanหรอการสแกนเฉพาะพอรตTCPโดยโปรแกรมZenmapจะมโปรไฟลมาใหเลอกใชอยแลวสวนหนง

• Command:คำสงทจะใชในการประมวลผลซงจะปรากฏหลงจากทระบคาในชองTargetและเลอกโปรไฟลแลวทงนผใชสามารถระบคำสงลงในชองนไดโดยตรงโดยไมตองระบคาในชองTargetและเลอกโปรไฟลกได2.หนาตางสำหรบกรองผลการสแกนตามอปกรณหรอบรการทตรวจพบเมอเลอกรายการใดๆ

ในหนาตางนจะทำใหหนาตางทางดานขวาแสดงผลลพธทสมพนธกบรายการทเลอกไวแบงออกเปน2สวนยอยคอ

• Hosts:รายการอปกรณทงหมดทตรวจพบวากำลงทำงานอยในระบบเครอขายโดยแสดงขอมลของระบบปฏบตการทใช,Hostname(ถาม)และIPaddressของแตละเครอง

• Services:บรการทตรวจพบวากำลงเปดใชงานอยบนระบบหนาตางแสดงผลการสแกนระบบเปาหมายแบงออกเปน5แทบไดแก• NmapOutput:แสดงผลลพธการสแกนทไดทงหมดซงจะมหนาตาเหมอนกบผลลพธทไดจากการ

เรยกใชNmapผานทางCommandline


• Ports/Hosts:รายละเอยดของบรการทเปดใชงานอยบนระบบเปาหมายประกอบไปดวยหมายเลขและสถานะของพอรตโพรโทคอลชอและเวอรชนของบรการ

• Topology:รปแบบโครงสรางการเชอมตอของอปกรณทตรวจพบภายในเครอขายซงสรางขนจากผลลพธทไดจากการสแกน

• HostDetails:รายละเอยดของระบบเปาหมายทตรวจพบเชนIPaddress,MACaddressและHostname

• Scans:รายการคำสงทเคยเรยกใช

ในการใชงานทวไปนนผใชเพยงระบคาในชองTargetจากนนเลอกโปรไฟลแลวคลกปมScanกถอวาเปนอนเสรจสนแตในกรณทผใชตองการสแกนในรปแบบอนๆนอกเหนอจากโปรไฟลทมใหเลอกผใชสามารถเพมโปรไฟลไดเองโดยการเลอกเมนProfile->NewProfileorCommandจะพบกบหนาตางProfileEditorดงรปท2โดยคำสงพนฐานของNmapจะอยในแทบScanและPingผใชเพยงระบชอโปรไฟลในแทบProfileจากนนเลอกคำสงทตองการในแทบอนๆแลวคลกปมSaveChangesกสามารถนำโปรไฟลดงกลาวไปใชงานได

รปท2หนาตางProfileEditor


เมอทำการสแกนเสรจแลวผใชสามารถบนทกผลลพธของการสแกนไดโดยเลอกเมนScan->SaveScan

สรป

nmapเปนโปรแกรมทใชในการตรวจสอบระบบในเครอขายอยางมประสทธภาพอยางไรกตามคงเปนการยากทจะอธบายวธการใชงานทกคำสงทมเนองจากมตวเลอกใหใชเปนจำนวนมากและบางคำสงกมรายละเอยดการทำงานทซบซอนดงนนผใชควรศกษาและทดลองการใชงานแตละคำสงดวยตวเองโดยสวนตวนนผเขยนแนะนำใหผใชในระดบเรมตนทดลองใชผานโปรแกรมZenmapกอนทจะเปลยนไปใชผานทางCommand-lineเมอมความชำนาญแลวเพราะนอกจากการใชงานผานทางGUIทงายกวาผใชยงสามารถเหนฟงกชนการทำงานในสวนตางๆทำใหรและเขาใจความสามารถของNmapในภาพรวมไดดยงขน

อางอง

1. http://nmap.org/download.html

2.http://nmap.org/book/inst-linux.html

3.http://nmap.org/book/man-performance.html



DDOS:DNSAMPLIFICATIONATTACKผเขยน : ธงชยศลปวรางกรวนทเผยแพร : 6เมษายน2556ปรบปรงลาสด : 17เมษายน2556

ตงแตชวงกลางเดอนมนาคม2556ทผานมามรายงานขาวใหญเกยวกบระบบของหนวยงานSpamhausProjectซงเปนหนวยงานไมแสวงหากำไรทมภารกจหลกในการจดการปญหาขอมลไมพงประสงคบนอนเทอรเนตโดยทระบบของSpamhausนนถกโจมตในรปแบบDistributedDenial-of-Service(DDoS)เปนระยะๆสงผลใหเวบไซตspamhaus.orgและบรการอเมลของSpamhausไมสามารถใชงานไดชวขณะจนถงปจจบนยงไมมกลมบคคลใดออกมาประกาศวาเปนผอยเบองหลงการโจมตในครงนแตมการสนนษฐานวาเหตการณดงกลาวอาจมจดเรมตนมาจาก เหตขดแยงระหวางSpamhausและCyberbunkerซงเปนผใหบรการHostingในประเทศเนเธอรแลนดเมอSpamhausทำการบลอกIPaddressของเซรฟเวอรทอยภายใตการดแลของCyberbunkerเนองจากสงสยวาเซรฟเวอรเหลานนเปนฐานในการสงสแปมทำใหเกดการตอบโตการกระทำดงกลาว[1]

เบองหลงของการโจมต

สงทนาสนใจเกยวกบเหตการณนนอกจากจะเปนหนงในการโจมตประเภทDDoSทรนแรงทสดเทาทมการคนพบมาแลวประเดนเกยวกบเทคนคทใชในการโจมตกเปนอกสงหนงทควรนำมาเปนกรณศกษาโดยพบวาผททำการโจมตในครงนใชเทคนคทเรยกวาDNSamplificationattack(มอกชอหนงวาDNSreflectionattack)ดงรปท1ซงเปนวธการสงDNSrequestไปยงDNSresolverทตางๆโดยปลอมแปลงIPaddressตนทางในแพกเกตเปนIPaddressของระบบเปาหมายทำใหDNSresponseทตอบกลบมาจากDNSresolverถกสงไปยงระบบเปาหมายแทนทจะเปนผโจมตยงมการสงDNSrequestในทำนองนเปนจำนวนมากเทาใดกจะมDNSresponseตอบกลบไปยงระบบเปาหมายมากยงขนจนกระทงถงจดหนงททำใหNetworkbandwidthของระบบเปาหมายมไมเพยงพอตอปรมาณขอมลจำนวนมากทไดรบสงผลใหระบบเปาหมายไมสามารถใหบรการกบผใชรายอนๆได


รปท1รปแบบโดยทวไปของการโจมตดวยเทคนค DNSamplificationattack

สาเหตสำคญททำใหการโจมตดวยเทคนคนมประสทธภาพคอขนาดของResponseทมกใหญกวาRequestมากโดยRequestทสงไปยงDNSresolverนนถงแมวาจะมขนาดขอมลโดยทวไปทเลกมากเพยงไมกสบไบตแตResponseทตอบกลบมาอาจมขนาดใหญกวาRequestทสงไปถงหลายสบเทาไดดงนนผโจมตจงไมจำเปนตองมBotnet[2]ขนาดใหญไวในครอบครองเพอใชสงการโจมตระบบเปาหมายพรอมๆกนกสามารถทำใหการโจมตนนมความรนแรงอยางมากไดอยางไรกตามตนตอของปญหาทแทจรงทเอออำนวยใหผไมหวงดสามารถใชเทคนคการโจมตแบบDNSamplificationattackไดผลเปนอยางดจนเปนทนยมในปจจบนนนคอOpenDNSresolverซงหมายถงเซรฟเวอรหรออปกรณเครอขายใดๆกตามทเปดใหบรการDNSและมการตงคาอยางไมเหมาะสมโดยอนญาตใหผบคคลทวไปสามารถใชบรการไดแทนทจะจำกดการใชงานใหเฉพาะกบผทไดรบอนญาตผไมหวงดจงสามารถคนหาOpenDNSresolverทมอยทวไปในอนเทอรเนตและใชประโยชนจากมนในการโจมตระบบอนๆดวยเทคนคดงกลาวไดอยางงายดาย


รปท2จำนวนIPaddressทไมซ�าของOpenDNSresolverทไทยเซรตไดรบรายงานในแตละเดอนระหวางเดอนก.ย.2555ถงเดอนม.ค.2556

จากขอมลทไทยเซรตไดรบรายงานจากหนวยงานตางประเทศตงแตเดอนกนยายน2555จนถงเดอนมนาคม2556พบวามจำนวนIPaddressของOpenDNSresolverทอยในประเทศไทยเฉลยประมาณวนละ1,000หมายเลขและมจำนวนIPaddressทไมซ�ารวมกนสงถงหลกหมนตอเดอนดงรปท2สวนรายงานผลการสำรวจของเวบไซตdns.measurement-factory.comเมอวนท16เมษายน2556[3]พบวาจำนวนOpenDNSresolverทอยภายใตการดแลของหนวยงานในประเทศไทยมจำนวน947หมายเลขจาก59หนวยงานซงประกอบไปดวยผใหบรการอนเทอรเนตหนวยงานภาครฐและเอกชนและสถาบนการศกษาในขณะทCloudFlareผทใหบรการContentDeliveryNetwork(CDN)กบSpamhausไดตรวจสอบการโจมตทเกดขนกบSpamhausและพบวาOpenDNSresolverในประเทศไทยทถกใชเปนฐาน ในการโจมตระบบของSpamhausมจำนวนทงสนถง898หมายเลข[4]ทำใหสามารถสนนษฐานในเบองตนไดวาOpenDNSresolverสวนใหญในประเทศไทยนนถกผไมหวงดนำไปใชเปนเครองมอในการโจมตผอนแลวดงนนปญหาทเกดจากการตงคาบรการDNSทไมเหมาะสมนนถอเปน เรองสำคญทควรดำเนนการแกไขอยางเรงดวน

การตรวจสอบหาOpenDNSresolver

วธการตรวจสอบเบองตนวามอปกรณในเครอขายของตนทเปนOpenDNSresolverหรอไมสามารถตรวจสอบไดจากหลากหลายเวบไซตดงน

1.ตรวจสอบจากเวบไซตopenresolverproject.org[5]


สามารถตรวจสอบไดโดยการระบIPsubnetทตองการตรวจสอบในหนาเวบหลกหากมIPaddressใดทมการพจารณาวาเปนหมายเลขของอปกรณทมลกษณะเปนOpenDNSresolverหมายเลขดงกลาวกจะปรากฏอยในตารางผลลพธดงรปท3

รปท3ผลลพธทไดจากการคนหาOpenDNSresolver จากIPsubnetทระบ

2.ตรวจสอบจากเวบไซตdns.measurement-factory.com[6] [7]

เวบไซตdns.measurement-factory.comนอกจากจะมรายงานผลการสำรวจของOpenDNSresolverแลวยงเปดบรการใหกบบคคลทวไปสามารถตรวจสอบหาOpenDNSresolverไดอกหลายชองทางโดยชองทางแรกของเวบไซตนเปนการตรวจสอบหาวาIPaddressใดบางทถกพจารณาวาเปนOpenDNSresolver[6]เรมจากการระบIPaddressหรอIPsubnetทตองการตรวจสอบจากนนเวบไซตจะขนรายการอเมลทตองการรบผลการตรวจสอบซงอเมลเหลานจะไดมาจากขอมลทระบไวในWhoisrecordของIPaddressหรอIPsubnetททำการตรวจสอบเมอเลอกอเมลทตองการแลวจะพบกบหนาตางยนยนการสงผลการตรวจสอบดงรปท4


รปท4หนาตางยนยนการสงผลการตรวจสอบไปยงอเมลทเลอกไว

อกชองทางหนงของเวบไซตdns.measurement-factory.comเปนการตรวจสอบหาOpenDNSresolverจากรายการของIPaddress[7]โดยหลงจากทระบรายการของIPaddressทตองการตรวจสอบแลวจะไดผลลพธแสดงทางหนาเวบไซตหากผลลพธในคอลมนStatusเปนopenแสดงวาเครองทมIPaddressดงกลาวเขาขายทจะเปนOpenDNSresolverดงรปท5

รปท5หนาตางแสดงผลลพธของการตรวจสอบบนเวบไซต


3.ตรวจสอบจากเวบไซตdnsinspect.com[8]

เปนเวบไซตหนงทใชสำหรบตรวจสอบการทำงานของDNSserverอยางละเอยดโดยเมอระบโดเมนเนมผานทางหนาเวบหลกแลวเวบไซตดงกลาวจะประมวลผลและจดทำรายงานแสดงผลการตรวจสอบในแตละสวนซงรวมถงสวนทตรวจสอบวาDNSserverอนญาตใหทำการQueryแบบRecursiveไดหรอไมดงรปท6

รปท6สวนหนงของรายงานผลการตรวจสอบทไดจากเวบไซตdnsinspect.com

นอกจากการตรวจสอบดวยตนเองจากเวบไซตตางๆแลวTeamCymruซงเปนหนวยงานวจยทางดานInformationsecurityยงเปดบรการใหกบผดแลระบบสามารถขอรบรายงานประจำวนของOpenDNSresolverทอยภายในเครอขายของตนไดอกดวย[9]

การแกไขการตงคาของDNSserver

สำหรบวธแกไขการตงคาDNSserverเพอปองกนไมใหถกนำไปใชในทางทไมดและบรรเทาความเสยหายทเกดจากการโจมตในเบองตนนนมอยดวยกนหลายแนวทางดงทจะกลาวตอไปน

BINDเวอรชน9ขนไป

ในกรณของDNSserverทตงอยในระบบขององคกรททำหนาทเปนCachingnameserverใหจำกดการอนญาตการทำRecursionเฉพาะRequestทสงมาจากกลมผใชในระบบเครอขายเดยวกนโดยมตวอยางการตงคาดงรปท7


รปท7ตวอยางการตงคาเพอจำกดการอนญาตการทำ RecursionในโปรแกรมBIND

จากรปท7ในสวนของaclจะมการสรางรายการทชอวาtrustednetซงประกอบไปดวยIPsubnetของเครอขายภายใน(ในทนคอ10.10.1.0/24และ10.10.2.0/24)และในของviewเปนการเพมเงอนไขใหIPsubnetในรายการดงกลาวสามารถทำRecursionไดสวนIPaddressหรอIPsubnetอนๆนอกเหนอจากทระบไวจะไมสามารถทำการQueryใดๆไดดงทระบในสวนของoptionsสำหรบการตงคาจรงนนผดแลระบบสามารถเพมการตงคาลงในไฟลnamed.confโดยใชตวอยางจากรปท7ไดเลยเพยงแคเปลยนคาในสวนของaclใหเปนIPaddress,IPsubnetหรอชอของaclรายการอนทเปนของระบบเครอขายภายในเทานน

สำหรบกรณทDNSserverทำหนาทเปนAuthoritativenameserverใหเพมการตงคาในไฟลnamed.confเพอปดการทำงานRecursionดงรปท8

รปท8ตวอยางการตงคาเพอปดการทำงานRecursionในโปรแกรมBIND


ทงนผอานสามารถศกษารายละเอยดเพมเตมเกยวกบแนวทางการตงคาในโปรแกรมBINDใหมความมนคงปลอดภยไดจากเอกสารของTeamCymru[10]

WindowsServer2003ขนไป

ในการตงคาเพอปดการทำงานRecursionผานทางGUIนนมขนตอนดงตอไปน

1. เปดโปรแกรมDNSManagerโดยไปทStart>AllPrograms>AdministrativeTools>DNS

2. คลกขวาบนเซรฟเวอรทตองการแลวเลอกProperties

3. ในหนาตางใหมเลอกแทบAdvancedแลวตกเครองหมายถกทรายการDisablerecursion(alsodisablesforwarders)แลวคลกApplyดงรปท9

รปท9ตวอยางการตงคาเพอปดการทำงานRecursionบนWindowsServer

สำหรบการตงคาเพอปดการทำงานRecursionผานทางCommand-lineสามารถทำไดผานโปรแกรมCommandPromptโดยใชคำสงdnscmdดงรปแบบตอไปน

dnscmd<ip-address>|<hostname>/Config/NoRecursion{0|1}


โดยParameterตวแรกหลงจากคำสงdnscmdใหระบIPaddressหรอHostnameของDNSserverสวนParameterตวสดทายใหระบเปนเลข0หรอ1โดยเลข0หมายถงเปดการทำงานRecursionสวนเลข1หมายถงปดการทำงานRecursionเมอใชคำสงดงกลาวจะไดผลลพธดงรปท10

รปท10ตวอยางผลลพธทไดจากการใชคำสงdnscmd

นอกจากการตงคาเพอปดหรอจำกดการทำงานRecursionแลวผดแลระบบยงสามารถทำการตงคาDNSResponseRateLimiting(RRL)ซงเปนความสามารถทอนญาตใหผดแลระบบสามารถกำหนดจำนวนครงทDNSserverสามารถตอบผลลพธทเหมอนกนกลบไปยงผรองขอรายหนงๆไดมากทสดในแตละวนาททำใหชวยลดปรมาณขอมลทDNSserverตอบกลบไปยงผรองขอไดในระดบหนงซงหมายถงการชวยลดผลกระทบทเกดจากการนำDNSserverไปใชในการโจมตดวยเทคนคDNSamplificationattackดงทอธบายไวในตอนแรกทงนผทตองการกำหนดคาดงกลาวกบDNSserverทตนเองดแลอยนนควรมความรความเขาใจรวมถงสามารถตรวจสอบและแกไขการทำงานของโปรแกรมททำหนาทใหบรการDNSไดเปนอยางดเนองจากการใชความสามารถนมความจำเปนทจะตองอพเกรดเวอรชนหรอตดตงแพทชของโปรแกรมซงอาจสงผลกระทบตอการทำงานของระบบไดในกรณทตดตงไมถกวธปจจบนความสามารถดงกลาวเรมมใหเลอกใชในหลายโปรแกรมแลวไมวาจะเปนBIND,KnotDNSหรอNSDและกำลงอยในขนตอนการพฒนาเพอรองรบโปรแกรมตวอนๆเชนกนผทสนใจสามารถศกษาวธการตดตงและตงคาRatelimitingไดจากเวบไซตRedBarn[11]


อางอง

1. http://nakedsecurity.sophos.com/2013/03/28/massive-ddos-attack-against-anti-spam-provider-impacts-millions-of-internet-users

2.http://www.etda.or.th/etda_website/files/1/files/Malware.pdf

3.http://dns.measurement-factory.com/surveys/openresolvers/ASN-reports/20130416.html

4.http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack

5.http://openresolverproject.org

6.http://dns.measurement-factory.com/cgi-bin/openresolverquery.pl

7.http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl

8.http://www.dnsinspect.com

9.http://www.team-cymru.org/Services/Resolvers

10.http://www.cymru.com/Documents/secure-bind-template.html

11.http://www.redbarn.org/dns/ratelimits


NMAPSCRIPTINGENGINEผเขยน : ธงชยศลปวรางกรวนทเผยแพร : 11เมษายน2556ปรบปรงลาสด : 11เมษายน2556

สำหรบทานทเคยศกษาหรอมประสบการณในการทำงานดานการดแลระบบสารสนเทศมากอนอาจรจกหรอคนเคยกบโปรแกรมทชอวาNmapเนองจากเปนเครองมอทสามารถใชตรวจสอบขอมลเบองตนของระบบไดเปนอยางดมฟงกชนการใชงานใหเลอกทหลากหลายและทสำคญคอสามารถใชงานไดฟรอยางไรกตามความสามารถของNmapไมไดจำกดอยเพยงแคการใชงานโดยทวไปเชนการสแกนระบบเปาหมายเพอคนหาServiceและหมายเลขพอรตทเปดใชงานหรอรายละเอยดของระบบปฏบตการททำงานบนระบบดงกลาวเทานนแตเรายงสามารถใชNmapในการทดสอบความมนคงปลอดภยของระบบและสบหาขอมลในมมมองอนๆไดอกดวยโดยใชความสามารถทเรยกวาNmapScriptingEngine

ขอมลเบองตนเกยวกบNmapScriptingEngine

NmapScriptingEngine(NSE)เปนความสามารถทมมาพรอมกบNmapอยางเปนทางการตงแตเวอรชน4.50ซงเผยแพรเมอป2007[1]โดยมจดเดนอยทความสามารถในการเรยกใชสครปตทมชอวาNSEscriptซงผใชสามารถเขยนสครปตดงกลาวขนมาใชงานไดเองทำใหความสามารถในการทำงานของNmapนนขยายขอบเขตออกไปขนอยกบฟงกชนการทำงานของสครปตทมการเรยกใชในปจจบน(ณวนทเผยแพรบทความ)สครปตนนแบงออกเปนหมวดยอยตางๆดงน

• auth:สครปตทเกยวของกบการยนยนตวบคคลเพอเขาใชงานระบบเชนการทดสอบเขาใชงานระบบโดยใชชอบญชผใชและรหสผานทเปนคาเรมตน

• broadcast:สครปตทใชในการคนหาอปกรณหรอเครองแมขายททำงานอยบนระบบเครอขายประเภทตางๆ

• brute:สครปตทใชในการเดาสมรหสผานของServiceตางๆ• default:สครปตทใชในการสบหาขอมลพนฐานของระบบ• discovery:สครปตทใชในการคนหาขอมลเชงลกของระบบเปาหมาย• dos:สครปตทใชทดสอบการโจมตระบบดวยวธDenial-of-Service• exploit:สครปตทใชทดสอบการเจาะระบบผานทางชองโหวของServiceตางๆ• external:สครปตทใชในการคนหาขอมลเพมเตมจากบรการภายนอกเชนWHOIS• fuzzer:สครปตทใชในการทำFuzzingซงเปนเทคนคการตรวจสอบซอฟตแวรดวย

การปอนขอมลสมในรปแบบทคาดวาจะทำใหเกดการทำงานทผดพลาด


• intrusive:สครปตทเกยวของกบการทดสอบโจมตระบบเปนหลกสวนใหญเปนสครปตทอยในหมวดbrute,exploitและdos

• malware:สครปตทใชตรวจสอบระบบวากำลงตดมลแวรหรอมชองโหวทอาจถกโจมตโดยมลแวรหรอไม

• safe:สครปตทใชในการคนหาขอมลตางๆโดยการทำงานของสครปตทอยในหมวดนไมมความเสยงทจะทำใหเกดผลกระทบตอการทำงานของระบบ

• version:สครปตทใชในการคนหารายละเอยดของServiceททำงานอยบนระบบเปาหมาย

• vuln:สครปตทใชตรวจสอบหาชองโหวของServiceททำงานอยบนระบบเปาหมาย

การเรยกใชNSEScript

การใชโดยระบหมวดหมของสครปต

วธนเปนการเรยกใชสครปตทงหมดทอยในหมวดทระบไวโดยมรปแบบคำสงการใชงาน โดยทวไปดงน

nmap--script<category-name><target>

ซงการเรยกใชคำสงนนสามารถทำไดผานทางโปรแกรมCommandPromptบนWindowsหรอTerminalบนLinuxและMacOSX

รปท1ตวอยางการใชคำสงโดยระบชอหมวดหมของสครปต และผลลพธสวนหนงทได


จากรปท1เปนการใชคำสงnmap--scriptauth192.168.1.2ซงจะไปเรยกใชสครปตทอยในหมวดauthเพอทำการตรวจสอบวาระบบเปาหมายทมIPaddressเปน192.168.1.2นนมขอมลใดๆกตามทเกยวของกบกระบวนการยนยนตวบคคลหรอไมจากสวนหนงของผลลพธทไดจะพบวาบรการFTPของระบบดงกลาวมการตงคาอนญาตใหบคคลใดๆสามารถเขาใชงานระบบFTPกได(AnonymousFTP)

ทงนในการใชงานNmapโดยทวไปทมการระบตวแปร-sC,-sVหรอ-Aอยในคำสงกจะมการเรยกใชสครปตจากทงหมวดหมโดยอตโนมตอยแลวโดยตวแปร-sCจะกำหนดใหเรยกใชสครปตทอยในหมวดdefaultสวนตวแปร-sVจะกำหนดใหเรยกใชสครปตทอยในหมวดversionและตวแปร-AจะกำหนดใหเรยกใชสครปตทอยในหมวดdefaultและversionรวมถงการตรวจสอบระบบปฏบตการและการทำTraceroute

ขอดของการเรยกใชสครปตทงหมดทอยในหมวดๆหนงคอการทไดผลลพธจากทกๆสครปตททำงานเพอจดประสงคเดยวกนในคราวเดยวเชนหากตองการตรวจสอบหาชองโหวของServiceตางๆททำงานอยบนระบบเพยงแคระบชอหมวดเปนvulnกจะไดผลลพธจากการตรวจสอบServiceทกประเภทเทาทสครปตทงหมดในหมวดดงกลาวจะรองรบแตการใชงานทงายกแลกกบเวลาทใชในการประมวลคอนขางนานเนองจากเปนการเรยกใชสครปตจำนวนมากในครงเดยวดงนนผทตองการสบหาขอมลหรอตรวจสอบสวนใดสวนหนงของระบบโดยเฉพาะการเรยกใชสครปตเปนรายตวจะเปนวธทเหมาะสมกวา

การใชโดยระบชอของสครปต

ในกรณทตองการเรยกใชสครปตตวใดตวหนงสามารถทำไดโดยมรปแบบคำสงโดยทวไปดงน

nmap--script<script-name>|<script-path><target>


รปท2ตวอยางการใชคำสงโดยระบชอของสครปตและผลลพธสวนหนงทได

จากรปท2เปนการเรยกใชคำสงnmap--scriptmysql-info192.168.1.2ซงจะไปเรยกใชสครปตทมชอวาmysql-infoเพอสบหารายละเอยดของMySQLบนระบบเปาหมายทมIPaddressเปน192.168.1.2ผลลพธทไดคอเวอรชนของMySQL(5.0.51a-3ubuntu5)และรายละเอยดปลกยอยอนๆในกรณนสครปตทถกเรยกใชนนอยในDirectoryทถกสรางขนตงแตตอนตดตงโปรแกรมNmapอยแลว(ซงกคอC:\ProgramFiles\Nmap\scriptsสำหรบWindowsและ/usr/share/nmap/scriptsหรอ/usr/local/share/nmap/scriptsสำหรบLinuxตามทไดกลาวไวในตอนตน)แตถาตองการเรยกใชสครปตทอยภายนอกDirectoryดงกลาวในคำสงจะตองระบAbsolutepathของไฟลสครปตนนๆเชนหากไฟลmysql-info.nseอยใน/home/user/Desktopคำสงทใชกจะเปลยนเปนnmap--script/home/user/Desktop/mysql-info.nse192.168.1.2


การระบArgumentของสครปต

NSEscriptแตละตวนนสามารถรบคาArgumentเพอนำไปใชเปนเงอนไขในการประมวลผลไดซงรปแบบคำสงโดยทวไปทใชในการระบArgumentคอ

nmap--script<script-name>--script-args<arg1>=<val1>[,<arg2>=<val2>,...]<target>

ในคำสงสวนทเปนการระบArgumentนนผใชสามารถระบเพยงArgumentตวเดยวหรอหลายตวกไดหากระบArgumentหลายตวจะตองคนดวยเครองหมายCommaและหากคาของArgumentมชองวางใหครอบดวยเครองหมายDoublequoteตวอยางของคำสงทมการระบArgumentเชน

nmap--scripthttp-enum--script-argshttp-enum.category=generalhttp.useragent=”Mozilla/5.0(compatible;MSIE10.0;WindowsNT6.1;Trident/6.0)”192.168.1.2

จากตวอยางขางบนเปนการเรยกใชสครปตทชอhttp-enumซงใชสำหรบสแกนหาชอDirectoryทนยมใชกนในWebapplicationตางๆโดยระบคาของArgumentทชอhttp-enum.categoryเปนgeneralซงจะทำการคนหาเฉพาะชอDirectoryทวไปและhttp.useragentเปนHTTPuseragentทแสดงตวเปนผใชเวบเบราวเซอรInternetExplorer10บนWindows7

ขอดของNmapของการเรยกใชสครปตโดยระบArgumentคอผใชไมจำเปนทจะตองระบArgumentใหตรงกบArgumentทสครปตรองรบแตNmapจะเปนตวจดการเองวาสครปตนนๆรองรบArgumentทระบไวไดหรอไมซงหากไมรองรบกไมไดมผลกระทบตอการเรยกใชสครปตดงกลาวแตอยางใดและขอดอกประการหนงกคอArgumentบางตวสามารถใชกบสครปตไดหลายตวทำใหเวลาทจะเรยกใชสครปตครงละหลายๆตวทเกยวของกบโพรโทคอลหรอServiceเดยวกนสามารถใชArgumentรวมกนไดเชนhttp.useragentทใชในตวอยางคำสงขางตนสามารถใชรวมกบสครปตอนๆทมชอขนตนดวยhttpไดทงหมดไมวาจะเปนhttp-auth,http-headersหรอhttp-php-versionเปนตน

ผใชสามารถศกษาขอมลเพมเตมเกยวกบสครปตแตละตวไดจากNSEDocReferencePortal[2]ซงจะมรายละเอยดเกยวกบArgumentทสครปตแตละตวรองรบหรอในกรณทผใชใชงานZenmapซงเปนโปรแกรมNmapเวอรชนทมGUIกสามารถเรยกดขอมลดงกลาวทางออมไดจากตวโปรแกรมเองเชนกนโดยเรมจากเปดโปรแกรมZenmapแลวเลอกเมนProfileจากนนเลอกเมนNewProfileorCommandหรอEditSelectedProfileจะพบกบหนาตางProfileEditorใหเลอกแทบScriptingกจะพบกบรายการสครปตทงหมดและรายละเอยด การใชงานของสครปตแตละตวดงรปท3ซงจากหนาตางนผใชสามารถเลอกคำสงและกำหนดคาArgumentตางๆแลวบนทกเกบไวเปนProfileเพอทจะสามารถเรยกใชคำสงดงกลาวไดในภายหลง


รปท3หนาตางProfileEditorในโปรแกรมZenmap

คำสงอนๆ

การเรยกดคำอธบายการใชงานของสครปต

ผใชสามารถเรยกดคำอธบายการใชงานสครปตเบองตนไดโดยใชคำสงดงน

nmap--script-help<script-name>

การตรวจสอบการทำงานของสครปต

ในกรณเกดปญหาระหวางการเรยกใชสครปตผใชสามารถเปดการทำงานในโหมดDebugเพอตรวจสอบการทำงานเบองหลงของสครปตไดโดยระบตวแปร-d(หรอ-ddหากตองการดรายละเอยดการทำงานมากยงขน)ลงในคำสงตวอยางเชน

nmap--scripthttp-headers-d192.168.1.2


รปท4ผลลพธสวนหนงทไดจากการทำงานในโหมดDebug

การอพเดตฐานขอมลของสครปต

ในกรณทตองการเรยกใชสครปตโดยระบเปนหมวดหมแตเคยมการเพมหรอลบสครปตออกจากหมวดdefaultหรอมการเปลยนหมวดหมของสครปตใดๆมากอนควรทำการอพเดตฐานขอมลของสครปตโดยใชคำสงดงน

nmap--script-updatedb

หมายเหต:ผอานสามารถศกษาวธการเรยกใชNSEscriptเพมเตมไดจากNmapdocumentation[3]ซงมคำอธบายวธการใชงานในรปแบบอนๆเชนการเรยกใชสครปตครงละหลายตวหรอหลายหมวดโดยใชWildcardหรอLogicaloperatorหรอการระบArgumentของสครปตในรปแบบทซบซอนขนเปนตน


สรป

NmapเปนโปรแกรมทมความสามารถหลากหลายซงนอกจากจะใชในการสำรวจขอมลทวไปของระบบแลวยงสามารถใชในการตรวจสอบหาชองโหวของระบบหรอแมกระทงทดสอบการเจาะระบบไดอยางไรกตามNmapไมไดพฒนาขนเพอนำมาใชทดแทนเครองมออนๆททำหนาทเฉพาะทางอยางเชนโปรแกรมจำพวกVulnerabilityscannerหรอPasswordcrackerแตเรากสามารถใชNmapในการตรวจสอบระบบเบองตนอยางคราวๆเพอนำผลลพธไปวเคราะหวาควรทำการตรวจสอบเชงลกในดานใดตอไปไดขอสำคญอกประการคอโปรแกรมสวนใหญทใชในการทดสอบ ความมนคงปลอดภยของระบบรวมถงNmapดวยนนกเปรยบเสมอนกบดาบสองคมทอาจถกนำไปใชงานในทางทไมดหรอไมถกตองจนกอใหเกดความเสยหายตอระบบไดดงนนผใชจงควรศกษาวธการใชงานใหดกอนทจะใชงานจรงและระลกเสมอวาควรใชเครองมอเหลานกบระบบทตนเองเปนผดแลรบผดชอบหรอเปนระบบทไดรบการอนญาตจากเจาของหรอผดแลใหสามารถทำการทดสอบไดเทานน

อางอง

1. http://insecure.org/stf/Nmap-4.50-Release.html

2.http://nmap.org/nsedoc

3.http://nmap.org/book/nse-usage.html


FULLDISKENCRYPTIONและCOLDBOOTATTACKผเขยน : เสฏฐวฒแสนนามวนทเผยแพร : 7มถนายน2556ปรบปรงลาสด : 7มถนายน2556

Fulldiskencryption

ในหลายๆองคกรมนโยบายใหพนกงานทำสงทเรยกวาFulldiskencryption(FDE)ซงเปนการเขารหสลบ(Encrypt)ขอมลในฮารดดสกทงลก(หรอเฉพาะบางPartition)เพอปองกนไมใหผไมหวงดเขาถงขอมลสำคญทเปนความลบทอยในฮารดดสกไดในกรณทฮารดดสกสญหายหรอ ถกขโมย

การทำFulldiskencryptionนนสามารถทำไดทงแบบฮารดแวรและซอฟตแวรโดยในแบบฮารดแวรจะเปนการใชฮารดดสกทมระบบFDEในตวซงการเขารหสลบ/ถอดรหสลบขอมลจะทำผานทางชปพเศษทอยในสวนControllerของดสกนนๆตวอยางดสกทรองรบFDEในระดบฮารดแวรเปนดงรปท1

รปท1ตวอยางดสกทรองรบFDEในระดบฮารดแวร(ทมา:ZDNet[1])


สวนการทำFDEในระดบซอฟตแวรนนระบบปฏบตการสมยใหมสวนใหญจะมเครองมอสำหรบทำFDEมาใหดวยแลวเชนBitLockerในWindows[2]หรอFileVaultในMacOSXเปนตน[3]ในระบบปฏบตการLinuxบางDistroจะมเครองมอสำหรบทำFDEมาใหดวยแตแรกเชนUbuntu12.10สามารถเลอกทำFDEไดตงแตขนตอนการตดตง[4]ดงรปท2หากระบบปฏบตการทใชงานอยไมมเครองมอทใชสำหรบทำFDEกอาจตดตงโปรแกรมจากผพฒนาภายนอกไดเชนdm-crypt[5]หรอTrueCrypt[6]เปนตน

รปท2การทำFDEในขนตอนการตดตงUbuntu12.10(ทมา:EFF[4])

นอกจากนระบบปฏบตการในโทรศพทมอถอในปจจบนสวนใหญรองรบการทำFDEแลวเชนในAndroidสามารถตงคาใหเขารหสลบขอมลในInternalmemoryไดแตไมรวมขอมลทอยในSDCard(Androidใชdm-cryptในการเขารหสลบขอมล[7])ตวอยางหนาจอStorageEncryptionในAndroidเปนดงรปท3สวนiOSเวอรชนหลงๆจะเขารหสลบขอมลทอยในเครองไวแตแรกโดยจะมชปทใชสำหรบทำงานดานนโดยเฉพาะ[8]


รปท3StorageEncryptionในAndroid

ซอฟตแวรทใชสำหรบทำDiskEncryptionจะมลกษณะการทำงานคลายคลงกนคอขอมลทเกบอยในดสกจะมการเขารหสลบไวซงถาถอดดสกออกไปใสในเครองอนจะไมสามารถอานขอมลไดเหมอนกบดสกปกตในการใชงานเมอเปดเครองขนมาระบบจะแสดงหนาจอใหใสรหสผาน(Encryptionkey)หลงจากใสรหสผานไดถกตองระบบจะเกบKeyนนไวในRAMเพอใชในการถอดรหสลบ(Decrypt)ขอมลอนๆทมการเรยกใชงานในภายหลง[9]KeyจะเกบอยในRAMไปจนกวาผใชจะสงShutdownหรอสงปดเครองโดยวธปกต

อยางไรกตามถงจะมการทำFDEแลวแตกยงมโอกาสเสยงทจะถกผไมหวงดขโมยขอมลสำคญออกไปจากเครองไดโดยการใชวธทเรยกวาColdbootattackซงเปนการนำEncryptionkeyออกมาจากRAM


Coldbootattack

เพอใหเกดความเขาใจกอนอนตองขออธบายหลกการทำงานของRAMกนกอนRAMหรอRandomAccessMemoryเกดจากการนำCapacitorขนาดเลกหลายๆตวมาใชในการเกบขอมลเมอมการจายไฟเขาไปในCapacitorขอมลทตำแหนงนนกจะมคาเปน1แตถาไมมการจายไฟCapacitorกจะคายประจและขอมลในตำแหนงนนกจะมคาเปน0ดงรปท4

รปท4หลกการทำงานของRAM(ทมา:LorentzCenter[10])

ตามหลกการแลวRAMจะทำงานไดกตอเมอมไฟเลยงถาไมมไฟเลยงขอมลทอยขางในจะหายหมดแตในความเปนจรงหลงจากทปดเครองคอมพวเตอรหรอปดสวตชไฟขอมลในRAMจะไมไดหายไปในทนทแตจะคอยๆหายไปภายในเวลาประมาณ1-2นาทเนองจากการคายประจของCapacitorรปท5แสดงตวอยางขอมลทยงหลงเหลออยในRAMหลงจากทปดเครองเมอเวลา ผานไป5วนาท30วนาท60วนาทและ300วนาทตามลำดบ


รปท5ตวอยางขอมลทยงหลงเหลออยในRAMหลงจากทปดเครอง (ทมา:PrincetonUniversity[11])

จากการวจยพบวาเมอลดอณหภมของRAMลงจะทำใหการคายประจชาลงแสดงวายงทำใหRAMมอณหภมต�าไดมากเทาไหรยงรกษาขอมลไวไดนานมากเทานนถาทำใหRAMอยในสภาวะทอณหภมต�ามากๆขอมลอาจอยไดนานหลายสบนาทหรออาจอยไดนานเปนชวโมงการทำใหRAMมอณหภมลดลงอยางรวดเรวเพอรกษาขอมลทอยขางในนกวจยเรยกเทคนคนวาColdbootattack

เทคนคColdbootattackไดรบการเผยแพรเปนงานวจยตงแตป2008

• YouTube:https://www.youtube.com/watch?v=JDaicPIgn9U

• Website:https://citp.princeton.edu/research/memory/

การทำColdbootattackคอการทำใหเครองปดแลวเปดขนมาใหมในทนทโดยไมใหเครองทำกระบวนการShutDownตามปกตเพอปองกนไมใหมการเปลยนแปลงขอมลในRAMซงมวธการหลกๆอย2วธคอกดปมResetทตวเครองแลวตงคาใหบตจากCD/USBทมโปรแกรมสำหรบทำสำเนาขอมลออกจากRAMโดยเฉพาะหรอถอดฝาเครองออกมาจากนนใชสารทำความเยน(เชนน�ายาแอรหรอไนโตรเจนเหลว)ฉดใสRAMแลวถอดRAMออกมาเสยบในอกเครองทเตรยมไวเพอดงขอมลออกมาดงรปท6


รปท6การฉดสารทำความเยนใสRAMเพอทำColdbootattack (ทมา:PrincetonUniversity[11])

ในการนำKeyออกมาจากRAMผโจมตจะทำสำเนา(Clone)ขอมลทงหมดทอยในRAMออกมาโดยใชโปรแกรมประเภทMemoryimagingจากนนจงจะใชโปรแกรมสำหรบกขอมลทอยในหนวยความจำเชนAESKeyFinderหรอRSAKeyFinderเพอดงเฉพาะEncryptionkeyออกมา[12]การทำColdbootattackตองทำแขงกบเวลาเพราะขอมลในRAMจะคอยๆหายไปเรอยๆอยางไรกตามถงแมขอมลบางbitจะหายไปแตยงมโอกาสทจะกขอมลตรงสวนนนกลบคนมาได[13]

การทำColdbootattackอาจมการนำมาใชในการทำDigitalForensicsเพอเกบขอมลทอยในหนวยความจำ(Memoryacquisition)เพราะการเกบขอมลทอยในหนวยความจำโดยวธปกตนนอาจมความเสยงตอการเปลยนแปลงขอมลทอยภายใน[14] [15]

นกวจยเยอรมนคนพบวาถานำโทรศพทมอถอทใชงานระบบปฏบตการAndroidไปแชเยนทอณหภม-15Cเปนเวลาประมาณ1ชวโมงจะยงสามารถอานEncryptionkeyทอยในRAMของโทรศพทมอถอออกมาได[16]นอกจากนยงไดพฒนาซอฟตแวรทชอวาFROSTซงใชสำหรบดงขอมลออกมาจากRAMของโทรศพทมอถอโดยซอฟตแวรดงกลาวสามารถตดตงไดผานโหมดfastbootของโทรศพทมอถอทใชระบบปฏบตการAndroid[17]


Mitigations

ในการทจะโจมตดวยวธColdbootattackใหสำเรจไดนนมองคประกอบหลกๆทสำคญคอผโจมตตองสามารถเขาถงตวเครองคอมพวเตอรนนได(Physicalaccess)รวมถงเครองนนตองเปดใชงานอยและมการใสEncryptionkeyไวเรยบรอยแลว

วธการลดความเสยงทดทสดจงนาจะเปนการปองกนไมใหผไมหวงดสามารถเขาถงตวเครองคอมพวเตอรไดและระมดระวงไมใหเครองหายหรอถกขโมยในขณะทเปดใชงานอยหรออาจจะปองกนไมใหมEncryptionkeyอยในRAMดวยการสงShutDownเครองเมอไมไดใชงานเพราะเมอสงShutDownซอฟตแวรDiskencryptionจะลบขอมลEncryptionkeyออกจากRAMการทปลอยใหเครองอยในSleepmodeนนถงแมวาหนาจอและฮารดดสกจะหยดทำงานแตขอมลในRAMยงคงอย[18]

ในระบบปฏบตการLinuxมผพฒนาซอฟตแวรทชอTRESOR[19]ซงเปนKernelpatchทเปลยนจากการเกบEncryptionkeyไวในRAMมาเกบไวทRegisterของCPUแทนซงขอมลทเกบในสวนนจะมการรเซตเมอปดเครองคอมพวเตอรทำใหปลอดภยจากการโจมตดวยวธColdbootattackได


อางอง

1.http://www.zdnet.com/integral-crypto-ssd-sata-ii-2-5-inch-7000000566/#photo

2.http://technet.microsoft.com/en-us/library/c61f2a12-8ae6-4957-b031-97b4d762cf31

3.http://support.apple.com/kb/ht4790

4.https://www.eff.org/deeplinks/2012/11/privacy-ubuntu-1210-full-disk-encryption

5.http://code.google.com/p/cryptsetup/wiki/DMCrypt

6.http://www.truecrypt.org/

7.http://source.android.com/tech/encryption/android_crypto_implementation.html

8.http://support.apple.com/kb/ht4175

9.http://www.truecrypt.org/docs/?s=unencrypted-data-in-ram

10.http://www.lorentzcenter.nl/lc/web/2010/383/presentations/Heninger.pdf

11.https://citp.princeton.edu/research/memory/media/

12.https://citp.princeton.edu/research/memory/code/

13.http://icerm.brown.edu/materials/Slides/VI_MSS_12/An_overview_of_Cold-Boot_Attack,_related_to_RSA_and_Factorization_%5D_Sourav_Sen_Gupta,_Indian_Statistical_Institute,_Kolkata.pdf

14.http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA545078

15.http://www.linuxjournal.com/magazine/cold-boot-attack-tools-linux

16.http://reviews.cnet.com/8301-19736_7-57573226-251/android-phones-susceptible-to-freezing-cold-boot-attacks/

17.https://www1.informatik.uni-erlangen.de/frost

18.https://citp.princeton.edu/research/memory/faq/

19.http://linuxaria.com/howto/protect-linux-from-cold-boot-attacks-with-tresor?lang=e


เสรมความมนคงปลอดภยใหกบซอฟตแวรดวยEMETVERSION4ผเขยน : ณฐโชตดสตานนทวนทเผยแพร : 16สงหาคม2556ปรบปรงลาสด : 16สงหาคม2556

โปรแกรมEnhancedMitigationExperienceToolkitหรอEMETของบรษทMicrosoftเปนเครองมอทใชเสรมความมนคงปลอดภยใหกบซอฟตแวรตางๆทตดตงอยในระบบปฏบตการWindowsหากผอานตดตามเวบไซตของไทยเซรตมาเปนระยะเวลาหนงอาจจะจำไดวาเคยมบทความทอธบายการทำงานและประโยชนของEMETมาแลว[1]แตเนองในโอกาสทMicrosoftไดพฒนาEMETรนใหมทมความสามารถเพมขนจากทเคยกลาวถงในครงกอนประกอบกบภยคกคามทเกดขนในปจจบนยงเปนรปแบบของซอฟตแวรทมชองโหวเปดโอกาสใหมการประมวลผลคำสงอนตรายเชนชองโหวในAdobereader[2]ซงถอวาเปนชองโหวทมการนำมาใชโดยผไมหวงดอยางแพรหลายMitigationTechnologyของEMETทมความสามารถในการตรวจสอบและขดขวางการประมวลผลคำสงอนตรายจงเปนสงทอาจชวยผอนหนกเปนเบาได


รปท1หนาตางของEMET

บทความของไทยเซรตไดเคยเขยนถงEMETนนเปนของEMETversion2.1ในขณะนEMETversion4เปนรนลาสดมการปลอยเมอวนท17กรกฎาคม2556โดยผใชสามารถดาวนโหลดไดทhttp://www.microsoft.com/en-us/download/details.aspx?id=39273โดยซอฟตแวรเวอรชนลาสดไดเพมความสามารถทนาสนใจขนไปอกดงน

1.SSL/TLSCertificateTrustfeatures

ดวยfeatureนผใชสามารถตงกฎเพอทำการตรวจสอบSSL/TLScertificateทใชในเวบวาตรงกบกฎทเราตงไวหรอไมเชนดวาในcertificateมRootCertfiicateตรงตามทกำหนด


หรอไมโดยEMETจะทำการตรวจสอบทกครงทผใชเขาเวบผานinternetexplorerถาหากcertificateทพบถกแกไขโดยผไมหวงดกจะทำการแจงเตอนถงความผดปกตผใชสามารถตงคากำหนดไดดงน

1.1ตรวจสอบRootCertificateของเวบทตองการจะตรวจสอบโดยคลกทสญลกษณกญแจจากcertificatedetailจะเหนไดวาRootCertifcateของaccounts.google.comคอGeotrust

รปท2วธหาRootCertificateในCertificateทเวบไซตใช

1.2เรยกใชEMETระบกฎโดยใสรายละเอยดเชนRootCertificate,Ruleexpiration

รปท3สรางกฎโดยระบrootcertificateทใช


1.3ระบเวบไซตทตองการตรวจสอบและกฎทตองการใชกบเวบไซตนน

รปท4ระบเวบไซตและกฎทตองการใช

1.4หากCertificateไมตรงตามกฎทกำหนดกจะมการแจงเตอนดงในรป

รปท5แสดงการแจงเตอนเมอcertificateไมตรงกบคาทตงเอาไว


2.Strengthenedmitigations,blockingbypasses

มการปรบปรงแกไขmitigationstechnologyเพอปองกนเทคนคการโจมตในรปแบบใหมๆเชนการBypassการปองกนดวยASLRและDEPทมการนำเสนอในงานCanSecWest2013[3]

3.Applicationcompatibilityfixes

Microsoftไดทำการแกปญหาความเขากนได(Compatibility)กบซอฟตแวรหลายตวไดแก

1.InternetExplorer9andtheSnippingTool

2.InternetExplorer8

3.OfficesoftwarethroughSharePoint

4.Access2010withcertainmitigationsenabled

5.InternetExplorer10onWindows8

นอกจากนสำหรบซอฟตแวรบางตวเชนPhotoshop,GtalkและChromeทยงมปญหาความเขากนไดอยในEMETรนนกจะปดการทำงานของตวเองทเกยวของกบซอฟตแวรดงกลาวโดยอตโนมตเพอปองกนปญหาการใชงาน

4.EarlyWarningProgramforenterprisecustomersandforMicrosoft

เมอEMETทำการตรวจสอบและปองกนการประมวลผลคำสงอนตรายไดแลวสำหรบผใชงานในองคกรทมการใชซอฟตแวรMicrosoftDesktopOptimizationPackage[4]หรอClientMonitoringfeatureในSystemCenterOperationsManager[5]สามารถสรางรายงานซงอาจจะเกบไวในองคกรเพอวเคราะหหรออาจสงรายงานไปยงไมโครซอฟทโดยตรงกได

5.AuditMode

โดยปกตหากมความพยายามทจะประมวลผลคำสงอนตรายEMETจะทำการปองกนโดยอตโนมตโดยการปดโปรแกรมทมปญหาแตในEMETVersion4ผใชสามารถเลอกใชAuditModeแทนในกรณทอาจตองการทดสอบระบบโดยEMETจะไมปดโปรแกรมแตจะทำการแจงใหทราบเทานน


รปท6แสดงการใชงานAuditmode

สรป

EMETเปนโปรแกรมทชวยปองกนการโจมตจากผไมหวงดลดโอกาสสำเรจของการประมวลผลคำสงอนตรายผานชองโหวของซอฟตแวรอนสงผลใหเครองคอมพวเตอรตดมลแวรและEMETกเปนอกทางเลอกหนงทสามารถใชรวมกบโปรแกรมแอนตไวรสทผใชมอยเพอเพมความมนคงปลอดภยใหกบคอมพวเตอรทใชในองคกรหรอคอมพวเตอรสวนตวทงนซอฟตแวรเกยวกบความมนคงปลอดภยเหลานจะมการปรบปรงความสามารถอยเสมอผใชงานควรตดตามขาวสารเพออพเดตซอฟตแวรดงกลาวใหทนสมยสามารถรบมอกบภยคกคามใหมๆไดซงผอานสามารถตดตามไดในเวบไซตของไทยเซรตซงจะนำขอมลเกยวกบซอฟตแวรดานความมนคงปลอดภยตางๆมาเสนออยางตอเนองตอไป

อางอง


2.https://www.thaicert.or.th/alerts/admin/2011/al2011ad006.html

3.http://cansecwest.com/slides/2013/DEP-ASLR%20bypass%20without%20ROP-JIT.pdf

4.http://www.microsoft.com/en-us/windows/enterprise/products-and-technologies/mdop/default.aspx

5.http://www.microsoft.com/en-us/server-cloud/system-center/datacenter-management.aspx


GLOBALSURVEILLANCE:ตอนท1ผเขยน : ไพชยนตวมกตะนนทนวนทเผยแพร : 13กนยายน2556ปรบปรงลาสด : 13กนยายน2556

ระยะนในวงการทเกยวกบความมนคงปลอดภยทางสารสนเทศโดยเฉพาะในระดบโลกคงไมมเรองอะไรทนาสนใจมากไปกวาเรองของNSAหรอNationalSecurityAgencyซงเปนหนวยงานดานความมนคงของสหรฐมาถงตอนนแมวาผอานจะไมไดตดตามขาวอยางใกลชดมากนกอยางนอยกคงคนหกบชอของนายเอดเวอรดสโนวเดนอดตพนกงานของNSAทนำความลบขององคกรตนเองมาเปดเผยใชชาวโลกรบรและขณะนกำลงลภยอยในรสเซย

แตบทความนจะไมขอกลาวถงพฤตการณและวบากกรรมของนายสโนวเดนทตองกลายเปนผททางการสหรฐฯตองการตวกลบไปดำเนนคดหรอการทนายสโนวเดนออกมาเปดเผยวาNSAมโครงการในการสอดแนมใครอยางไรบางแตแรงบนดาลใจจากขาวนทำใหผเขยนมาลองจนตนาการดวาหากจะวางโครงการสอดแนมเปาหมายทวโลกจะทำไดอยางไรอาจจะมองวาบทความนเปนจนตนาการทใชหลกการทางเทคนคประกอบกไดแตขอย�าใหแนชดอกครงหนงวาผเขยนไมไดมเจตนาทจะกลาวถงสงทเกดขนหรอมอยจรงแตประการใด

ในยคกอนทเราจะใชคอมพวเตอรในลกษณะ“ออนไลน”กนอยางเปนเรองปกตเหมอนในทกวนนการลกลอบดกฟงหรอขโมยขอมลกมการปฏบตกนอยแลวในรปแบบของดกฟงโทรศพทการลกลอบตดตงเครองดกฟงสวนทเปนเอกสารตางๆกมการลกลอบสำเนาเอกสารลบหรอขโมยออกมาโดยตรงซงในดานของการปองกนกหนไมพนการใชวธทางPhysicalSecurityเปนสวนมากเชนการใชเจาหนาทรปภ.กลองวงจรปดการตรวจคนตวหรอทใชเทคโนโลยมากขนอกกไดแกเครองตรวจหาเครองดกฟง(ใชวธScanหาอปกรณอเลกทรอนกสหรอหาการสงสญญาณ)การใชเครองScrambleซงเปรยบเสมอนการเขารหสลบในโลกของโทรศพทแอนะลอกหรอแมแตการสอสารกนดวยคำพดหรอภาษาเขยนทเปนรหสลบทงหมดนจะเหนไดวาทงการลกลอบขโมยขอมลและการปองกนการขโมยขอมลดจะเปนเรองทโกลาหลไมใชนอยแตเมอถงยคของการสอสารขอมลผานอนเทอรเนตและมการเขารหสลบเปนความสามารถพนฐานในเกอบทกชองทางการสอสารการลกลอบขโมยขอมลกมการปรบเปลยนไปตามยคสมยเชนเดยวกนและอาจจะดรนแรงยงขนกวาเดมอกดวย

เทคนคในการ“ดกฟง”หรอขโมยขอมลสารสนเทศในยคใหมไมจำเปนตองมการทำในระดบPhysicalLayerเสมอไปเพราะขอมลทสอสารกนอยนนหากเขาไปอยในเครอขายสาธารณะ(ในทนคออนเทอรเนต)การทขอมลจะเดนทางผานเสนทางหรออปกรณเครอขายใดๆไปยงปลายทางได


ยอมขนอยกบการจดการภายในระบบเครอขายเองนนกคอการRoutingทงแบบStaticและDynamicหรอการบงคบใหขอมลเดนทางผานอปกรณหรอเสนทางใดๆโดยเฉพาะโดยอาศยเงอนไขบางอยางทเรยกกนวาPolicyRoutingกถอวาเปนเรองปกตในระบบเครอขาย

สมมตวาขอมลจำนวนหนงทจะเดนทางหนวยงานO1จากประเทศC1ไปยงหนวยงานO2ในประเทศC2ตามธรรมดากจะวงผานISPI1ทหนวยงานO1ใชบรการอยออกไปยงISPI2ทหนวยงานO2ใชบรการอยผานเสนทางทเชอมตอกนโดยตรงแตถาI1มการเชอมตอไปยงISPI3ทอยในประเทศC3ดวยและรฐบาลของประเทศC3ตองการทจะไดขอมลนมาจะตองทำอยางไร?รฐบาลของประเทศC3อาจไมจำเปนตองสงสายลบเขาไปในประเทศC1หรอC2เพอดกขอมลหรอขโมยขอมลแตอยางใดแตใชวธงายๆอยางเชนการ“ขอรอง”ใหISPI3สงขอมลDynamicRoutingชนดหนงทเรยกวาBGPPeerAdvertisment/BGPRouteAdvertisment(คนไทยเรยกกนวาการประกาศBGP)ทมขอมลพเศษเพอ“หลอก”ISPI1วาเครอขายขององคกรO2อยทISPI3โดยเงอนไขบางประการ(เงอนไขMorespecificroutewinซงไมขอกลาวถงรายละเอยดในทน)จะทำใหRouterของISPI1สงขอมลทจะไปองคกรO2มาทISPI3แทนและรฐบาลของประเทศC3กสามารถจะทำสำเนาขอมลนเอาไวกอนทจะสงกลบไปISPI2ตามทควรจะเปนตอไป

ปรากฏการณนจะเกดจากการตงใจหรอไมตงใจ(Configผด)กตามแตยอมเกดผลกระทบตอระบบเครอขายเปนอยางมากอยางเบาะๆคอขอมลไปไดถงทหมายชาลง(เพราะตองวงไปทอนกอนซงไมใชShortestpathธรรมชาต)หรออาจทำใหขอมลวงไปไมถงทหมายเลยเปรยบเหมอนระบบเครอขายของทหมายถกตดขาดออกจากอนเทอรเนตดงนนISPหลายแหงจงตองมวธการปองกนดวยการกรอง(Filter)ขอมลDynamicRoutingทผดปกตออกไปแตวธนไมไดผลเตมทนกในระดบISPตอISPเพราะตามในตวอยางขางบนถงแมรฐบาลของประเทศC3จะไมตองการสอดแนมประเทศC1และC2เลยและISPC3กไมไดมการConfigผดพลาดแตอยางใดแตกยงมโอกาสทISPC3จะมการสงPeerAdvertismentใหISPI1สงขอมลทจะไปองคกรO2ผานมาทางISPI3ไดอยางสจรตเชนในกรณทเสนทางเชอมตอจากISPI1กบISPI2ขดของหรอถกใชงานจนเตมการทองคกรO1จะตดตอกบองคกรO2ไดกมเพยงวธเดยวคอสงผานISPI3เทานนหากISPI1ทำFilteringBGPPeerAdvertismentไมยอมใหI3เปนทางผานไปยงI2ในกรณทเกดความขดของเชนนองคกรO1และO2กตดตอกนไมไดหรอไดยากลำบาก

การประกาศBGP“ผดทาง”เคยเกดขนมาแลวหลายครงทงทเปนททราบกนทวไปและทไมมการยนยนเหตการณหนงทนาสนใจเกดขนในป2008เมอISPแหงหนงของประเทศปากสถานไดสงBGPPeerAdvertismentออกมา“ผดพลาด”ทำใหขอมลทควรจะสงไปยงเวบไซตYoutubeถกสงไปทปากสถานทงหมด[1]หรอเมอวนท24ก.ค.2013ลกคาของธนาคารชนนำหลายแหงในสหรฐฯถกบงคบใหสงขอมลออมไปยงISPแหงหนงในประเทศเนเธอรแลนด[2]ซงแมเหตการณทยกมาทงสองเหตการณนจะเกดผลแคเพยงระยะเวลาสนๆเนองจากมการตรวจพบและ“แกไข”โดยผทเกยวของแตกแสดงใหเหนไดวาการ“ดกฟง”ขอมลบนอนเทอรเนตดวยเทคนคนมความเปนไปไดเมอISPเปนผทำหรอถก“บงคบ”ใหทำทระดบISP


ถาไมนบความผดพลาดแลวใครละทจะบงคบหรอ“ขอรอง”ใหISPประกาศBGP เพอจดประสงคพเศษแบบนได?

ในคราวหนาผเขยนจะมา“จนตนาการ”ถงสงทอาจเกดขนไดตอไปโดยเฉพาะการจดการกบขอมลทมการเขารหสลบหรอระบบทมการปองกนเปนอยางดขอใหตดตามกนตอไป

อางอง

1. http://www.youtube.com/watch?v=IzLPKuAOe50

2.https://isc.sans.edu/forums/diary/BGP+multiple+banking+addresses+hijacked/16249



นกวจยพบวาแอปบนIOSสามารถถกHIJACKดกแกไขขอมลระหวางทางไดผเขยน : เสฏฐวฒแสนนามวนทเผยแพร : 30ตลาคม2556ปรบปรงลาสด : 30ตลาคม2556

ปญหาเรองความปลอดภยของMobileapplicationนนเปนเรองทมการวจยมาโดยตลอดสวนหนงเพราะการพฒนาแอปพลเคชนบนแพลตฟอรมมอถอ/แทบเลตนนมขอจำกดอยหลายดาน เชนความเรวของหนวยประมวลผลขนาดหนาจอหรอการใชพลงงานซงในบางทการออกแบบระบบใหทำงานไดดบนขอจำกดเหลานอาจทำใหระดบความปลอดภยของแอปพลเคชนลดนอยลงไป

Mobileapplicationหลายตวมการรบสงขอมลสำคญทเปนความลบระหวางอปกรณของ ผใชงานกบเซรฟเวอรของผพฒนาซงหากขอมลสำคญเหลานถกผไมหวงดดกรบหรอดกแกไขขอมลระหวางทางกอาจจะกอใหเกดปญหาตามมาภายหลงได

เมอวนท29ตลาคม2556นกวจยจากศนยวจยSkycureประเทศอสราเอลพบวาแอปพลเคชนiOSบนAppStoreอยางนอย10,000ตวสามารถถกHijackเพอเปลยนแปลงการรบสงขอมลจากเซรฟเวอรจรงใหไปยงเซรฟเวอรของแฮกเกอรไดโดยใชชองโหวของHTTPRequest[1]

การโจมตดวยวธนเรยกวาHTTPRequestHijack(HRH)ซงเปนการใชประโยชนจากHTTPStatusCode301[2] [3]ทใชสำหรบการRedirectจากURLหนงไปยงอกURLหนงโดยอตโนมตในกรณทURLเดมนนถกเปลยนชอหรอไมมอยบนเซรฟเวอรแลว

ปกตเมอใชเบราวเซอรเปดไปยงเวบไซตทมการสงHTTPStatusCode301ตวเบราวเซอรจะRedirectไปยงหนาเวบไซตปลายทางตามทเซรฟเวอรไดตงคาไวและแถบAddressBarของเบราวเซอรจะแสดงURLปลายทางทถกRedirectไปแตสำหรบบางแอปพลเคชนบนiOSจะไมมการแสดงขอมลURLปลายทางทวานใหผใชเหนดงนนผใชจะไมสามารถทราบไดวาขอมลทแสดงอยในแอปพลเคชนนนมแหลงทมาจากเซรฟเวอรจรงของผพฒนาแอปหรอมาจากเซรฟเวอรของแฮกเกอร


การโจมตสามารถทำไดงายๆโดยใชวธMan-in-the-MiddleattackผานการเชอมตอแบบWiFiหรอเครอขายทไมไดมการตงคาความปลอดภยจากนนกรอใหเหยอเปดแอปพลเคชนทมชองโหวแลวแฮกเกอรกสงHTTPStatus301ออกไปเพอใหแอปพลเคชนนนเชอมตอเขามาทเซรฟเวอรของตวเองตวอยางวธการโจมตอธบายดงคลปดานลาง[4]

ทมา:http://www.youtube.com/watch?v=_X8ovx9vMZM

ตวอยางแอปพลเคชนทนกวจยไดทดลองแลวพบวาสามารถใชการโจมตดวยวธนไดมทงแอปประเภทอานขาวดหนโซเชยลมเดยหรอแมกระทงแอปพลเคชนของบางธนาคารซงผลการทดลองพบวาสามารถดกรบขอมลระหวางทางไดโดยผใชไมอาจสงเกตเหนความผดปกตในแอปพลเคชน ดงตวอยางในคลปตอไป


ทมา:http://goo.gl/Yt4sxE

จากในคลปจะพบวาเมอแอปพลเคชนถกโจมตดวยวธHRHแลวจะจำขอมลเซรฟเวอรของแฮกเกอรไวตอใหปดแลวเปดแอปพลเคชนขนมาใหมกจะยงคงเชอมตอไปยงเซรฟเวอรของแฮกเกอรอยอยางนนไปตลอดซงวธการแกปญหาทำไดอยางเดยวคอลบแอปพลเคชนนนออกแลวตดตงใหม

อยางไรกตามการโจมตดวยวธนไมมผลกบแอปพลเคชนทใชการเชอมตอแบบHTTPS(นอกเสยจากวาผใชจะไปตดตงCertificateปลอมลงในเครอง)

ทมนกวจยจากSkycureคาดวาแอปพลเคชนบนAndroidและWindowsPhoneอาจจะสามารถใชวธการโจมตแบบเดยวกนนไดเชนกนแตยงไมไดทำการทดสอบแอปพลเคชนในแพลตฟอรมดงกลาว

สำหรบผใชงานระบบปฏบตการiOSควรใชความระมดระวงในการเชอมตอWiFiสาธารณะในกรณทตองการใชงานแอปพลเคชนทมการรบสงขอมลสำคญทเปนความลบเชนแอปพลเคชนของธนาคารหากเปนไปไดควรเชอมตอผานMobileNetworkและควรอพเดตแอปพลเคชนทใชงานอยใหเปนเวอรชนลาสดอยางสม�าเสมอ


สำหรบนกพฒนาแอปพลเคชนบนiOSทางนกวจยจากSkycureแนะนำวาควรแกไขปญหานโดยเรวทสดการเปลยนไปใชวธการเชอมตอแบบHTTPSกอาจจะพอชวยไดแตยงไมใชการแกไขทสาเหตของปญหานกวจยไดเขยนตวอยางโคดสำหรบใชแกไขชองโหวนโดยสามารถศกษาไดจากเวบไซตของSkycure

อางอง

1. http://arstechnica.com/security/2013/10/ios-apps-can-be-hijacked-to-show-fraudulent-content-and-intercept-data/

2.https://support.google.com/webmasters/answer/93633?hl=en

3.http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.3.2

4.https://www.youtube.com/watch?v=wByvUoe7pHw

5.http://www.skycure.com/blog/http-request-hijacking


SECURITYINFORMATIONMANAGER(1)ผเขยน : รณนเรศรเรองจนดาวนทเผยแพร : 30ตลาคม2556ปรบปรงลาสด : 30ตลาคม2556

ในระบบคอมพวเตอรเครองแมขายและอปกรณเครอขายแทบทกชนดมความสามารถในการเกบขอมลบนทกเหตการณ(logหรอeventlog)หลายองคกรใชวธตงเครองแมขายกลางขนมาเพอรวบรวมขอมลlogจากอปกรณตางๆทงเพอใหเปนไปตามกฎหมาย(ในกรณทเปนผใหบรการ ทตองบนทกขอมลจราจรทางคอมพวเตอร)และเพอใหสอดคลองกบมาตรการความมนคงปลอดภยสารสนเทศทนาสนใจคอในสถานการณปรกตผดแลระบบโดยทวไปมกไมคอยมเวลาพจารณาขอมลดงกลาวเพราะขอมลดงกลาวมปรมาณมากและแตละอปกรณกมรปแบบการบนทกและขอมลสำคญทตองพจารณาแตกตางกนออกไปการวเคราะหขอมลlogจงมกทำกนเมอมเหตการณผดปรกตเกดขนแลวซงกมกจะไมทนการณเพราะความเสยหายไดเกดขนแลวนอกจากนการรายงานสถานะระบบหรอแนวโนมภยคกคามสารสนเทศดวยขอมลเชงสถตจากขอมลlogกยงแทบจะเปนไปไมไดเลยในมมของความมนคงปลอดภยกบขอมลlogแลวคำถามสำคญกเหนจะไมพนวาจะมวธการหรอระบบอะไรทจะชวยในการ

• วเคราะหและคดกรองขอมลlogเพอแจงเตอนเมอเกดความผดปกต

• วเคราะหความสมพนธของขอมลlogจากอปกรณหลายๆแบบเพอใหเหนแนวโนม ในภาพรวม

• จดเกบขอมลlogทงหลายใหเปนรปแบบเดยวกนเพอประโยชนในการสบคน(query)

• นำขอมลlogเสนอเปนรายงานความสอดคลองตามกฎเกณฑมาตรฐาน(compliance)ทกำหนด

เปนอาท


ในการตอบคำถามขางตนหลายคนคงนกถงคำสามคำตอไปนคอSEM(SecurityEventManager),SIM(SecurityInformationManager),และSIEM(SecurityInformationandEventManager)ในปจจบนอาจกลาวไดวาทงสามคำนหมายถงอปกรณประเภทเดยวกนเพยงแตมความสามารถตางกนโดยทSEMนนเนนไปทรวบรวมและจดเกบlogจากอปกรณตางๆเนนการประมวลผลแบบrealtimeมพนทการจดเกบขอมลและความสามารถในการวเคราะหหาความสมพนธของขอมลlogจำกดในขณะทSIMเนนไปทความสามารถในการวเคราะหหาความสมพนธและแนวโนมของขอมลlogซงตองมเนอทในการจดเกบและหนวยประมวลผลทใหญกวา ถาใหเทยบกบระบบจดการฐานขอมลกอาจกลาวไดวาSEMเทยบไดกบฐานขอมลทตงคาไวใหเปนOLTPในขณะทSIMเทยบไดกบฐานขอมลทตงคาใหทำงานในแบบOLAPสวนSIEMคอระบบ ทรวมความสามารถของทงSEMและSIMเขาดวยกนและเพมความสามารถในการวเคราะหขอมลlogและดานความมนคงปลอดภยอนๆอาทความสามารถในการบรหารจดการภยคกคาม(IncidentManagement)ความสามารถในการระบรปแบบขอมลlogทตรงกบรปแบบ ภยคกคามทเกบรวบรวมไวในฐานความรใหคำแนะนำทวไปในการแกปญหาเมอตรวจพบชองโหว ของระบบผานการวเคราะหขอมลlogหรอการออกรายงานความสอดคลองตามกฎเกณฑมาตรฐานตางๆตดตงมาแบบพรอมใชเปนตนปจจบนความกาวหนาทางเทคโนโลยและราคาทถกลงของฮารดแวรทำใหผผลตระบบประมวลผลขอมลlogเพมความสามารถในผลตภณฑของตนเองและเรยกระบบเหลานเปนSIEMแทบทงสนหากจะใหนยามระบบดงกลาวอยางนอยตองมความสามารถดงตอไปน

DataCollectionคอความสามารถในการรวบรวมขอมลlogจากเครองแมขายและอปกรณกำเนดขอมลlogประเภทตางๆทงแบบการสงขอมลมายงSSIEMโดยตรงผานโพรโทคอล มาตรฐานทวไปเชนSyslogหรอตดตงตวจดเกบขอมล(CollectorSensor)บนเครองแมขายและอปกรณกำเนดขอมลlogคณสมบตขอนมความสำคญในแงทวาเครองแมขายและอปกรณกำเนดขอมลlogใชระบบปฏบตการทแตกตางกนจดเกบขอมลlogในรปแบบทแตกตางกนซงผผลตSIEMแตละรายจะระบรายการของอปกรณและระบบปฏบตการและโพรโทคอลทSIEMของตนรองรบ

AggregationคอความสามารถในการรวบรวมขอมลจากขอมลlogทรบมาจากอปกรณตางๆซงมรปแบบขอมลทแตกตางกนนำมาจดเกบใหอยในรปแบบเดยวกนเพอประโยชนในการวเคราะหและแสดงผลโดยทวไปอปกรณกำเนดขอมลlogเชนเราทเตอรไฟรวอลลIPSรวมทงโปรแกรมประยกตระบบฐานขอมลและเวบเซรฟเวอรตางกมรปแบบขอมลlogของตนเองSIEMจะตองสามารถนำขอมลมาจดเกบในรปแบบมาตรฐานและลดความซ�าซอน(Normalization)ของขอมลทรบมาจดเกบไวในระบบSSIEMโดยตองคงความหมายของขอมลเดมไวและจดเกบใหงายตอการสบคนและการประมวลผลเนองจากขอมลlogมปรมาณมากและซ�าซอนเปนธรรมชาตพนทในการจดเกบและประสทธภาพในการเขาถงขอมลlogจงขนกบความสามารถในการรวบรวมขอมลและการทำNormalizationโดยทวไประบบSIEMจะจดเกบขอมลlogสวนททำNormalizationแลวและตองไดรบการสบคนบอยไวในระบบฐานขอมลเชนIPตนทางและปลายทางหมายเลขพอรตตารางรหสผผลตเปนตนสวนขอมลlogทเปนขอมลจำเพาะอนๆจะเกบไวในรปแบบแฟมขอมลระบบ


Correlationคอความสามารถในการหาความสมพนธของขอมลตามเงอนไขทกำหนดไวตวอยางเชน“มIPใดบางทเชอมตอเขามายงIPภายในองคกรดวยหมายเลขพอรตปลายทางทสงกวา1024และถกไฟรวอลลหรอIPSตดการเชอมตอมากกวา1,000เหตการณตอ10นาทภายใน24ชวโมง”หรอ“มIPภายในองคกรใดบางทเชอมตอออกไปยงIPภายนอกโดยมพอรตตนทางเปน56444และหมายเลขพอรตปลายทางเปน16464หรอ16465”หรอ“มIPใดบางทเชอมตอเขามายงเวบเซรฟเวอรขององคกรดวยหมายเลขพอรตปลายทางทไมใชพอรต80เปนจำนวนมากกวา6,000เหตการณตอ10นาท”เปนตนจะเหนไดวาความสามารถขอนมประโยชนอยางยงในแงของความมนคงปลอดภยสารสนเทศและการพสจนพยานหลกฐานดจทล

AlertingคอความสามารถในการแจงเตอนไปยงผดแลระบบเมอตรวจพบขอมลlogทสอดคลองกบเงอนไขทตงไวหรอเมอมการตรวจพบผลของการทำCorrelationตามเงอนไขทกำหนดซงระบบการแจงเตอนควรจะตองสงผานชองทางอเมลไดเปนอยางนอยเพอใหผดแลระบบหรอ ผเกยวของรบมอกบเหตการณทเกดขนไดอยางทนทวงท

DashboardsนำเสนอกระดานแสดงสถานะขอมลระบบเพอใหผดแลระบบบรหารจดการขอมลไดสะดวกเนองจากSIEMนนมขอมลขาวสารทสำคญหลากหลายซงไมสะดวกและไมทนทวงทหากไมมDashboard

ComplianceความสามารถในการรวบรวมขอมลlogเพอนำเสนอรายงานความสอดคลองตามกฎเกณฑมาตรฐานเชนISO27001,PCI,FISMA

Retentionรองรบการจดเกบขอมลในระยะยาวเพอการวเคราะห

ThreatIntelligenceคอความสามารถในการรบขอมลจากแหลงรวบรวมขอมลภยคกคาม(ThreatManagement)จากอนเทอรเนตขอมลดงกลาวกอยางเชนรายการIPทถกขนบญชดำรปแบบการเรยกใชขอมลผานURLทเปนอนตรายรวมทงชองโหวทมผแจงเอาไวSIEMนำขอมลดงกลาวมาประมวลผลรวมกบCorrelationเพอคดกรองหารองรอยหรอแนวโนมภยคกคามสารสนเทศหรอชองโหวนอกจากนนThreatIntelligenceของผผลตบางรายยงสามารถให คำแนะนำในการแกไขชองโหวหรอภยคกคามทตรวจพบจากขอมลlogไดอกดวย

IncidentManagementมความสามารถในการจดการIncidentทเกดขนกลาวคอ เมอCorrelationตรวจพบขอมลสอดคลองตามเงอนไขทกำหนดกจะนำไปสรางเปนรายการปญหา ทตรวจพบ(incident)ซงจะตองมรายละเอยดของปญหาระดบความเรงดวนระดบความรนแรงรวมถงขอมลจำเปนอนๆเพอใหผดแลระบบตดตามแกปญหาและบนทกไวเปนการอางองไดตอไป

สงเกตวาSIEMตองใชทรพยากรของระบบในการประมวลผลสงและเกดคอขวดไดงายเมอมจำนวนขอมลlogนำเขาสระบบมากขนSIEMควรจะมคณสมบตรองรบการเพมประสทธภาพ ทงแบบการเพมขดความสามารถดวยการเพมประสทธภาพของทรพยากรระบบ(ScaleUp)และแบบขยายเพมจำนวนทรพยากรระบบ(ScaleOut)โดยเฉพาะอยางยงหนวยจดเกบขอมลซงควรจะรองรบการเชอมตอกบSANและNAS



GLOBALSURVEILLANCE:ตอนท2ผเขยน : ไพชยนตวมกตะนนทนวนทเผยแพร : 5พฤศจกายน2556ปรบปรงลาสด : 5พฤศจกายน2556

ในตอนทแลว[1]ผเขยนไดเลาถงวธการดกรบขอมลดวยการเปลยนทศทางขอมลในระดบISPตอISP(จรงๆคอระดบASตอAS)มาแลวอาจจะมผอานบางทานสงสยวาขอมลในปจจบนนอยาวาแตใชวธหลอกBGProutingเลยแมแตจะมาดกขอมลกนโดยตรงในระบบเครอขายของผรบหรอผสงกยงไมอาจทำไดโดยงายเพราะสวนมากขอมลทเรยกไดวาสำคญสกหนอยกมการเขารหสลบขอมลกนทงสนทรจกกนดกคอhttpsหรอSSL/TLSทใชการเขารหสลบระดบ1024bitsเปนอยางนอยถงแมวาความเรวของเครองคอมพวเตอรในปจจบนเพมขนอยางมากแตกยงไมมหลกฐาน ทแนชดวาSSL/TLSทใชการเขารหสลบระดบต�าสดท1024bitsจะสามารถถก“เจาะ”ไดดวยวธทางตรงคอการสมหาKeyทถกตอง(วธการBruteforce)ไดงายๆยงไปกวานนสวนมากขนาดของKeyในปจจบนนกขยบกนขนไปอยท2048bitsกนเสยเปนสวนมากสวนวธการเจาะโดยออมคอใชชองโหวของอลกอรทมนนกดเหมอนจะเปนไปไดยากเชนกนเพราะอลกอรทมเทาทมเหลอใชงานในปจจบนกลวนแตผานการวเคราะหและศกษากนมาอยางเขมขนพอสมควรจนอาจจะกลาวไดวาคงไมมชองโหวเหลออยกนอกแลว

การเขารหสลบทกชนดนนความสำคญของมนอยทKeyทจะเปนระบบSymmetric(ใชKeyเดยวทงเขาและถอด)หรอAsymmetric(ใชKeyใดเขาตองเอาอกKeyหนงถอด)กตามถาหาก ผไมหวงดไดKeyทวานไปกเทากบจบเกมทนทดงนนขบวนการเขารหสลบจงจำเปนตองมระบบการบรหารจดการKey(KeyManagement)ทเชอถอไดและสะดวกตอการใชงานในชวตจรง

การเขารหสลบทพบเหนไดทวไปสำหรบผใชงานแทบทกระดบกคงไมพนTLS/SSLทมใชอยในhttps,smtps,imapsและอนๆอกจำนวนหนงซงเราเชอถอกนมาอยางยาวนานถงแมจะมขาวเรองการพบชองโหวในTLS/SSLรนตางๆแตสำหรบTLSรน1.1และ1.2ทเรมมการใชงานมากขนในปจจบนกไดมการแกไขชองโหวเหลานนไปจนเกอบหมดแลวประโยชนของการเขารหสลบแบบนกคอมการทำKeyManagementทงายและมประสทธภาพนนคอClientและServerมการแลกเปลยนKeyซงเปนชนดAsymmetricกนโดยอตโนมตนอกจากนนยงมการรบรองวาKey


ทไดจากServerนนเปนKeyทถกตองดวยกลไกPKI(อาศยCAเปนผรบรอง)อกดวยกระบวนการนเปนกระบวนการเบองหลงทผใชงานอาจจะไมรสกซงในแงหนงกเปนเรองของความสะดวกทผใชไมจำเปนตองมความเขาใจกลไกอะไรทงสนแตกสามารถเชอมตอกบปลายทางไดอยางมนคงปลอดภยแตถาเปนคนมองโลกในแงรายกคอเชอไดแคไหนวากระบวนการการเขารหสลบนจะทำงานไดอยางทมนควรจะทำ?เราจะมาลองดกนวาถาตองการทำลายความมนคงปลอดภยของการเขารหสลบดวยTLS/SSLจะสามารถทำไดอยางไร

ดงทกลาวแลววาTLS/SSLเปนการเขารหสลบในรปแบบPKIหรอPublicKeyInfrastructureทคำวาInfrastructureนเองเปนคำทสำคญเพราะแสดงใหเหนวาประกอบดวยของหลายสวนสวนทผเขยนจะขอพดถงในครงนกคอCA(CertificateAuthority)ทเราเชอถอและยอมรบใหเปนผรบรองความถกตองของการเขารหสลบนนเอง1ซงตามปกตเมอCAจะออกใบรบรองอเลกทรอนกสเพอใชในการเขารหสลบแบบSSL/TLSกบโดเมนใดๆยกตวอยางเชนmysecuredomain.comทางCAกตองมการพสจนวาผทสงคำขอใหออกใบรบรองเปนเจาของmysecuredomain.comจรงซงขนตอนนมความแตกตางปลกยอยกนไปในCAแตละรายโดยสวนมากจะอางองตามขอมลในWhoisrecordเปนหลกอาจจะกลาวไดวาCAมการตรวจสอบการเปนเจาของโดเมน(DomainOwnership)ทนาเชอถอในระดบหนงซงในเรองนถอวาเปนเครองชความอยรอดของCAประการหนงกวาไดเพราะหากCAตรวจสอบไมดพอเปดโอกาสใหผไมหวงดไปลกลอบขอใบรบรองสำหรบโดเมนทไมไดเปนเจาของได(และมหาชนรบร)มโทษถงหมดความนาเชอถอตองปดกจการกนเลยทเดยว

สมมตวาผไมหวงดตองการดกรบขอมลของโดเมนmysecuredomain.comซงม ใบรบรองอเลกทรอนกสของตวเองอยแลวการทผไมหวงดจะสรางเครองแมขายปลอมของmysecuredomain.comและหลอกลอใหเหยอเขาไปสเครองแมขายนได(อาจใชDNSPoison,MalwareหรอARPPoisonกตาม)เหยอกอาจสงเกตไดวาmysecuredomain.comปลอมนไมมSSLทำใหไหวตวทนหรอถาผไมหวงดจะสรางใบรบรองขนมาเองกยงทำใหเหยอรตวเรวเขาไปอกเพราะเวบเบราวเซอรของเหยอยอมมการเตอน“ใบรบรองทไมนาเชอถอ”(UntrustedCertificate)ขนมาทางเดยวทผไมหวงดจะหลอกไดอยางแนบเนยนกคอตองไปหาใบรบรองท “นาเชอถอ”ของmysecuredomain.comมาใหไดซงอยางทกลาวแลววาCAตองตรวจความเปนเจาของโดเมนกอนจงอาจจะกลาวไดวาหากเปนCAชนนำการถกหลอกลวงใหออกใบรบรอง โดยผทไมใชเจาของโดเมนไดนนยอมเปนไปไดยากและอาจถกตรวจสอบพบไดโดยงายนอกจากน การเจาะระบบของCAเพอลกลอบออกใบรบรองในรปแบบการดำเนนการของCAบางแหงทม ความมนคงปลอดภยสงกแทบเปนไปไมไดเลยเพราะจะมการตรวจสอบซ�าดวยเจาหนาทกอนทจะออกใบรบรองทกครง

แตถาหากวามอำนาจมดบางประการทบงคบCAใหออกใบรบรองของโดเมนใดๆไดจะเกดอะไรขน?“ผไมหวงด”ทอยขางเดยวกบอำนาจมดดงกลาวยอมสามารถทจะสรางเครองแมขายปลอมของโดเมนใดๆไดโดยทผใชสวนมากไมมทางทราบเพราะตอใหเปนใบรบรองคนละใบกบเครองแมขาย ทแทจรง(อาจจะออกจากคนละCAกน)แตกเปนใบรบรองท“นาเชอถอ”เชนเดยวกบใบทแทจรง


หรอตอใหผใชงานลงทนตรวจสอบรายละเอยดในใบรบรองทกครงกอนจะปอนขอมลใดๆในเวบไซต(เวบเบราวเซอรทวไปสามารถแสดงรายละเอยดนได)หรอใชวธการตรวจสอบแบบอตโนมตเชนในเวบเบราวเซอรFirefoxมAdd-onทชอCertificatePatrol[2]ทจะตรวจสอบใบรบรองของเครองแมขายและแจงเตอนเมอพบการเปลยนแปลงแตการทพบวาผออกใบรบรอง(คอCAหรอในใบรบรองจะเรยกวาIssuer)เปลยนไปจากเดมกอาจไมถอวาเปนเรองแปลกแตอยางใดเพราะบางโดเมนอาจมการขอใบรบรองจากCAมากกวา1แหงหรอเปนใบรบรองใหมทออกทดแทนใบเดมทกำลงจะหมดอายกไดหรออาจเปนใบรบรองทออกมาโดยเจาของโดเมนไมไดรบทราบเพอประโยชน ในการดกขอมลกเปนไดเชนกนแตทแนๆในระดบของผใชงานสวนมากไมมทางทราบไดวากำลงถก ดกขอมลดวยใบรบรอง“จรง”ท“ปลอม”นอยางแนนอน

CAเปนธรกจทขายความนาเชอถอมระเบยบปฏบตและกระบวนการทำงานทเปนระบบและเครงครดแตกไมไดมขอจำกดใดท“ผทอยเหนอกวา”จะเขามาแทรกแซงไมไดโดยเฉพาะ“ผทอยเหนอกวา”ระดบหนวยงานความมนคงหรอรฐบาลบางประเทศทมนโยบายในการ“เฝาระวง”เพอเหตผลดานความมนคงของประเทศ

เชงอรรถ1ทจรงคอความถกตองของใบรบรองอเลกทรอนกสทใชเปนKeyตวหนงในการเขารหสลบแตจะไมขอพดถงรายละเอยดในทน

อางอง

1. https://www.thaicert.or.th/papers/technical/2013/pa2013te006.html

2.https://addons.mozilla.org/en-us/firefox/addon/certificate-patrol/



BADBIOSมลแวรทสงขอมลผานคลนเสยงเรองจรงหรอโกหก?ผเขยน : เสฏฐวฒแสนนามวนทเผยแพร : 5พฤศจกายน2556ปรบปรงลาสด : 5พฤศจกายน2556

เมอวนท31ตลาคม2556นายDragosRuiuนกวจยดานความมนคงปลอดภยและ ผกอตงงานแขงขนเจาะระบบคอมพวเตอรอยางPwn2Ownไดเผยแพรผลการวเคราะหมลแวรชนดใหมทฝงตวอยในไบออส(BIOS)ของเครองคอมพวเตอรความพเศษของมลแวรตวนคอใชวธการแพรกระจายขอมลผานการสงคลนเสยงความถสงหลงจากทบทความนไดรบการเผยแพรบนเวบไซตขาวไอทชอดงอยางArstechnica[1]กมผคนใหความสนใจและตงคำถามเกยวกบประเดนและความสามารถของมลแวรตวใหมนเปนจำนวนมาก

กอนทจะไปวากนถงเรองการทำงานของมลแวรขออธบายความเขาใจเบองตนเกยวกบไบออสและระบบการทำงานของคอมพวเตอรกอน

ไบออสคออะไร

โดยปกตเมอเราเปดเครองคอมพวเตอรจะมการรนโปรแกรมเลกๆทอยในชปบนเมนบอรดเพอทำการตรวจสอบและควบคมฮารดแวรทเชอมตออยจากนนกเรมตนการทำงานของระบบและโหลดระบบปฏบตการขนมาทำงานโปรแกรมเลกๆทวานเรยกวาBIOS(BasicInput/OutputSystem)

สมยกอนโปรแกรมในไบออสจะฝงอยในชปROMของเมนบอรดมาตงแตในโรงงานทผลตซงไมสามารถเปลยนแปลงขอมลในนนไดแตปจจบนโปรแกรมในไบออสไดเปลยนจากการเกบในROMมาเกบในหนวยความจำแบบแฟลช(Flashmemory)ซงทำใหสามารถแกไขขอมลขางในได(วธการนเรยกอยางไมเปนทางการวาแฟลชรอมหรอแฟลชไบออส)ตวอยางชปไบออสเปนดงรปท1


รปท1ตวอยางชปไบออส(ทมา:Wikipedia[2])

จะเกดอะไรขนหากมผไมหวงดเปลยนแปลงแกไขขอมลโปรแกรมในสวนนใหทำงานผดปกตไปหรอฝงโคดอนตรายเอาไวใหเรยกใชงานไดทกครงทเปดเครอง?

badBIOS

นายDragosอางวาไดคนพบมลแวรbadBIOSนตงแตเมอ3ปกอนโดยเครองMacbookAirทพงตดตงระบบปฏบตการOSXเสรจใหมๆอยๆกแสดงอาการแปลกๆไมวาจะเปนไมยอมใหบตจากแผนซดรอมหรอแกไขขอมลการตงคาไบออสกลบเปนคาเดมเองโดยไมแสดงอะไรใหผใชทราบ

ไมนานนกคอมพวเตอรเครองอนๆในหองแลบกเรมแสดงอาการผดปกตไปตามๆกนไมวาจะเปนเครองทตดตงระบบปฏบตการOpenBSD,WindowsหรอLinuxหรอแมกระทงเครองทตดขาดจากระบบอนๆโดยสนเชง(Airgap)[3]เครองทไมไดเชอมตอกบระบบเครอขายอะไรเลยหรอแมกระทงเครองทมการถอดสายLANและNetworkcardออกแลวกตามกยงพบวาเครองดงกลาวมการแกไขขอมลในไบออสไดเองโดยทผใชไมไดทำอะไรและถงแมจะเปลยนฮารดดสกใหมและตดตงระบบปฏบตการใหมสกพกอาการผดปกตนกกลบมาเปนเหมอนเดมอก

ในเบองตนนายDragosสนนษฐานวามลแวรดงกลาวนนาจะแพรกระจายผานUSBDriveโดยเขาไดซอเครองคอมพวเตอรมาใหมหลงจากทเอาUSBDriveทเคยเอาไปเสยบกบเครองทตดมลแวรbadBIOSมาเสยบเขากบเครองทซอมาใหมกพบวาคอมพวเตอรเครองใหมนนตดมลแวร


ในทนทเขาสนนษฐานวานาจะมโคดบางสวนในไบออสทมชองโหวBufferOverflowและคนเขยนมลแวรbadBIOSกใสโคดทโจมตชองโหวทวานไวในสวนControllerของตวUSBDriveทำใหแคเสยบUSBDriveเขากบเครองกสามารถถกแทรกโคดอนตรายลงในไบออสไดทนท

ถงแมจะรแลววามลแวรนาจะฝงตวอยในBIOS,UEFIหรอเฟรมแวรของอปกรณอนๆในเครองทตดแตกไมสามารถตอบคำถามไดวาทำไมมลแวรดงกลาวนถงแพรกระจายไปตดในเครองทไมไดเชอมตอกบระบบเครอขายอะไรเลยได

ในการวเคราะหวามลแวรสงขอมลผานเครองทไมไดเชอมตอกบเครองอนๆเลยไดอยางไรเขาไดทดลองดกขอมลแพกเกตโดยใชเครองมอพเศษ(ในบทความตนฉบบไมไดเปดเผยวาใชเครองมอหรอวธการอะไร)โดยพบวาถงแมจะถอดการดWiFiและBluetoothออกจากเครองไปแลวกยงมการสงขอมลออกไปจากเครองทตดมลแวรไดและเมอลองถอดปลกเครองโนตบกเพอจะดวามการสงขอมลผานกระแสไฟฟาหรอเปลากยงมการสงขอมลไดอยดจนกระทงเขาไดถอดลำโพงและไมโครโฟนออกจากเครองการสงขอมลกหยดลง

มลแวรbadBIOSใชวธการสงขอมลผานคลนเสยงความถสงจากลำโพงของเครองทตดมลแวรสงไปยงไมโครโฟนของเครองปลายทางโดยใชSoftwareDefinedRadio(SDR)

ถงแมวาเรองแบบนอาจจะฟงดเหลอเชอเกนไปสกหนอยแตการใชลำโพงสรางคลนเสยงUltrasonicเพอใชในการสอสารกมนกวทยาศาสตรจากMITไดทำงานวจยเรองนแลวพบวาสามารถทำไดจรงหวของานวจยนชอUltrasonicLocalAreaCommunication[4]ตวอยางการสงขอมลโดยใชหลกการนสามารถดไดจากคลปดานลาง[5]

ทมา:http://www.youtube.com/watch?v=qzqCX2rB1oc


แตการสงขอมลผานคลนเสยงความถสงนไมไดใชสำหรบการแพรกระจายมลแวรโดยนายDragosบอกวาการแพรกระจายมลแวรมอยดวยกน2วธอยางแรกคอUSBDriveแตอกอยางนนในตอนนยงเปดเผยไมไดจนกวาจะมแพทชออกมาสำหรบการสงขอมลผานคลนเสยงนนใชเพอควบคมและสงการ(Command&Control)เครองทตดมลแวรเทานน[6]

นอกจากนนายDragosยงไดโพสตผลการวเคราะหของเขาลงในTwitter[7]และGoogle+[8]สวนตวอยเรอยๆตวอยางขอมลเพมเตมทไดจากการวเคราะหเชน[9]

• มลแวรบลอกไมใหมการเชอมตอไปยงเวบไซตสำหรบดาวนโหลดFirmwarecontrollerทประเทศรสเซย

• เมอใชเครองทตดมลแวรเขยนซดในแผนซดดงกลาวจะมไฟลประหลาดๆโผลมาดวย

• มลแวรนาจะตดไดบนไบออสบางรนเทานนแตดเหมอนจะสามารถทำงานไดบนหลายOS

• คลนเสยง35kHzทจบไดเมอนำมาขยาย20เทาจะพบวามลกษณะคลายชวงสญญาณดงรปท2

รปท2ตวอยางคลนเสยงทสงจากมลแวรbadBIOSเมอนำมาขยาย20เทา (ทมา:+DragosRuiu[10])

อยางไรกตามนายDragosยงไมไดเปดเผยขอมลอะไรของbadBIOSมากในตอนนโดยบอกเพยงแควาจะมขอมลเพมเตมในงานPacSecทจะจดขนในวนท13-14พฤศจกายนนณกรงโตเกยวประเทศญปน[11]

เรองจรงหรอโกหก?

ถงแมวาการทจะมมลแวรฝงตวในไบออสและใชวธสงขอมลผานคลนเสยงจะเปนสงทสามารถทำไดแตกมผเชยวชาญดานความมนคงปลอดภยหลายคนตงคำถามเกยวกบบทสรปดงกลาว

ตวอยางขอสงสยในเรองนเชนสาเหตหนงทเปนไปไดในการตดมลแวรคอการเสยบUSBDriveแตทำไมถงยงไมมการวเคราะหขอมลทสงผานUSBDriveทงๆทนาจะมประเดนสำคญทจะนำขอมลมาใชงานตอไดหรอแมกระทงการสงขอมลผานเสยงซงในทางทฤษฎแลวสามารถสงขอมลไดสงสดแคไมเกน600ไบตตอวนาทเทานนถาตองการสงขอมลTCPแค1แพกเกตตองใชเวลาถง2วนาท


การสงโคดของมลแวรผานชองทางนจงเปนไปไดยาก[12]

นายIgorSkochinskyนกพฒนาซอฟตแวรจากบรษทHex-Rayผผลตโปรแกรมสำหรบ ใชในการReverseEngineerอยางIDAไดตรวจสอบขอมลBIOSdumpจากเครองทนายDragosอางวาตดมลแวรbadBIOSแตกลบไมพบสงทนาสงสยวาเปนมลแวรอยในเฟรมแวรดงกลาว[13]

นายPhillipR.JaenkeผเชยวชาญดานความมนคงปลอดภยไดออกมาโตแยงวาการวเคราะหขอมลของมลแวรของนายDragosมความผดพลาดเปนไปไมไดทจะสรางมลแวรทตดในไบออสเครองหนงแลวจะกระจายตวไปตดในไบออสของเครองอนไดเนองจากเฟรมแวรของไบออสนนเปนของใครของมนไมสามารถนำไปใสลงในไบออสของเครองอนไดและถาหากมโคดอนตรายทวาอยในไบออสจรงๆกมเครองมอสำหรบใชดโคดดงกลาวอยแลวซงสำหรบผเชยวชาญแลวกไมใชเรองยากทจะดขอมลพวกนนอกจากนพนทสำหรบเกบขอมลในไบออสโดยสวนใหญกมแค8MBหรอในUEFIกมแค4MBเทานนซงเปนไปไดยากทจะเกบขอมลของมลแวรทมการทำงานสลบซบซอนขนาดนได[14]

ทางดานนายRobertGrahamนกวจยดานความมนคงปลอดภยผเขยนโปรแกรมBlackICEไดแสดงความเหนสนบสนนตอการวเคราะหมลแวรของนายDragosวาพฤตกรรมของbadBIOSนนสามารถเปนไปไดจรง[15]

นายRobertกลาววานอกจากจะสามารถเขยนขอมลลงในหนวยความจำแบบแฟลชของไบออสในเครองคอมพวเตอรไดแลวในอปกรณฮารดแวรสวนใหญเชนคยบอรด,กลอง,แบตเตอร,ฮารดดสก,การดแลน,การดBluetooth,การดWiFi,การดจอฯลฯกมหนวยความจำแบบแฟลชอยภายในดวยเชนกนซงหากมผไมหวงดตองการเขยนมลแวรเพอฝงลงในอปกรณเหลานกสามารถทำได

สำหรบวธการสงขอมลไปยงคอมพวเตอรเครองอนโดยใชคลนเสยงความถสงนนกไมใชเทคนค ทแปลกใหมอะไรเพราะโมเดม(Modem)กใชหลกการเดยวกนนในการรบสงขอมลผานสายโทรศพทและลำโพงในเครองคอมพวเตอรสมยใหมกสามารถสรางคลนความถเสยงทมนษยไมไดยนไดหากผไมหวงดตองการใชคลนความถชวงนเพอใหมลแวรใชสงขอมลซอรสโคดของโปรแกรมทใชสงใหลำโพง สงคลนความถเสยงแบบนกมเผยแพรอยทวไปตามอนเทอรเนต

สำหรบการตดมลแวรผานUSBDriveในทนททเสยบอปกรณดงกลาวเขากบเครองคอมพวเตอรนนกเปนเรองทเปนไปไดเนองจากในUSBDriveเองกมสวนของControllerซง ภายในมเฟรมแวรอยอกทงยงมเวบไซตอยางhttp://flashboot.ru/ทเผยแพรขอมลเฟรมแวรของอปกรณUSBหลายๆตวอยแลวและนอกจากนไดรฟเวอรของอปกรณUSBบางตวมชองโหวBufferOverflowทำใหสามารถโจมตระบบทตดตงไดรฟเวอรดงกลาวไดผานอปกรณUSB ทแกไขขอมลเฟรมแวร


สรป

ในขณะนเรายงไมอาจทราบไดวาการคนพบมลแวรbadBIOSและเทคนคทมลแวรตวนใช ในการแพรกระจายขอมลจะเปนเรองจรงหรอเปนแคความผดพลาดในการวเคราะหแตกถอเปน เรองทนาสนใจเพราะหากเปนเรองจรงกถอวาการคนพบนมผลกบความมนคงปลอดภยของ เครองคอมพวเตอรทวโลกไมนอยทเดยว

อางอง

1. http://arstechnica.com/security/2013/10/meet-badbios-the-mysterious-mac-and-pc-malware-that-jumps-airgaps/

2.http://en.wikipedia.org/wiki/BIOS

3.https://www.schneier.com/blog/archives/2013/10/air_gaps.html

4.http://alumni.media.mit.edu/~wiz/ultracom.html

5.http://www.youtube.com/watch?v=qzqCX2rB1oc

6.http://nakedsecurity.sophos.com/2013/11/01/the-badbios-virus-that-jumps-airgaps-and-takes-over-your-firmware-whats-the-story/

7.https://twitter.com/dragosr

8.https://plus.google.com/103470457057356043365/posts

9.https://kabelmast.wordpress.com/2013/10/23/badbios-and-lotsa-paranoia-plus-fireworks/

10.https://plus.google.com/photos/103470457057356043365/lbums/5942249398845518961/5942249400698584306?pid=5942249400698584306&oid=103470457057356043365

11.http://pacsec.jp/

12.http://news.softpedia.com/news/BadBIOS-Malware-Reality-or-Hoax-396177.shtml

13.http://www.reddit.com/r/netsec/comments/1o7jvr/bios_backdoor_bridges_airgapped_networks_using_sdr/ccpw67k

14.http://www.rootwyrm.com/2013/11/the-badbios-analysis-is-wrong/

15.http://blog.erratasec.com/2013/10/badbios-features-explained.html


CRYPTOLOCKER:เรองเกาทถกเอามาเลาใหมผเขยน : ธงชยศลปวรางกรวนทเผยแพร : 6พฤศจกายน2556ปรบปรงลาสด : 6พฤศจกายน2556

เปนททราบกนดวาทกคนยอมเคยมประสบการณทคอมพวเตอรของตนเองตดมลแวรไมวาจะเปนในรปแบบของโทรจนเวรมรทคทหรอทผใชทวไปมกเรยกโปรแกรมไมพงประสงคเหลานรวมกนวาไวรสซงมลแวรแตละประเภทและแตละตวกจะกอใหเกดผลกระทบและความเสยหายทแตกตางกนไปตวอยางของมลแวรทคนสวนใหญมกเคยพบเจอไดแกโทรจนประเภทKeyloggerทแอบขโมยขอมลการกดแปนคยบอรดของผใชสงกลบไปยงผไมหวงดหรอมลแวรทแอบตงคาตางๆในระบบปฏบตการและปองกนไมใหผใชเขาไปแกไขคาดงกลาวอยางไรกตามยงมมลแวรอยประเภทหนงทเรยกวาRansomwareซงไมไดใชวธการขโมยขอมลสวนบคคลของผใชเหมอนกบทมลแวรในสมยนนยมทำกนหากแตทำการ“เรยกคาไถ”ดวยการทำใหผใชไมสามารถเขาถงระบบหรอขอมลในคอมพวเตอรหรอหลอกลอดวยวธการใดๆกตามทจะทำใหผใชยอมชำระเงนใหกบผไมหวงดเพอทจะแกไขปญหาทเกดขนซงวธการขมขหรอหลอกลอใหเหยอชำระเงนนนมดวยกนสารพดวธไมวาจะเปนการขนขอความแอบอางวาเปนเจาหนาทรฐทตรวจสอบพบวาคอมพวเตอรของเหยอถกนำไปใชในทางทผดกฎหมาย[1] หรอขนขอความหลอกใหผใชทำการReactivateWindowsดวยการโทรศพทไปยงเบอรทผไมหวงดใหบรการซงเปนการโทรทางไกลทเสยคาใชจายสง[2]เปนตนมลแวรประเภทRansomwareนนเคยมการคนพบมานานนบสบปแลวแตเนองจากในชวงทผานมาไมนานนมการคนพบRansomwareตวใหมทมชอวาCryptoLockerซงกำลงตกเปนขาวทผคนกำลงใหความสนใจผเขยนจงไดเขยนบทความนเพอใหผอานไดตระหนกและรเทาทนถงมลแวรดงกลาว

วาดวยเรองของCryptoLocker

CryptoLockerเปนRansomwareบนระบบปฏบตการWindowsตวลาสดทมการคนพบเมอชวงเดอนกนยายน2556ทผานมาโดยเผยแพรผานทางไฟลแนบในอเมลหลอกลวง(ตวอยางทมผเคยพบเชนอเมลแจงการตดตามพสดจากFedEx,UHSหรอUPSพรอมกบแนบไฟลZIPซงภายในมไฟลEXEทถกปลอมแปลงวาเปนไฟลPDF[3])หรอผานทางมลแวรประเภทบอตเนตทเคยถกตดตงลงบนเครองของผใชมากอนหลกการทำงานโดยทวไปของCryptoLockerนนคลายคลงกบRansomwareตวอนๆในอดตทผานมานนคอทำการเขารหสลบขอมลไมวาจะเปนไฟลเอกสารรปภาพและไฟลประเภทอนๆในเครองคอมพวเตอรของเหยอจากนนจะขนขอความขมขใหผใชทำการชำระเงนภายในเวลาทกำหนดกอนทขอมลทงหมดจะไมสามารถถอดรหสลบไดอกตลอดไปทงนไมใชเฉพาะขอมลในคอมพวเตอรของเหยอเทานนทถกเขารหสลบแตขอมลทแชรรวมกนในระบบเครอขายกถกเขารหสลบดวยเชนกน


รปท1นามสกลของไฟลทถกCryptoLockerเขารหสลบ(ทมา:NakedSecurity[4])

รปท2หนาตางของโปรแกรมCryptoLockerทขนขอความขมขใหผใชชำระเงน (ทมา:NakedSecurity[4])

พฤตกรรมทนาสนใจของCryptoLockerอยางหนงหลงจากทตดตงตวเองลงในคอมพวเตอรแลวคอการสรางสมชอโดเมนดวยเทคนคDomainGenerationAlgorithm[5]เพอเชอมตอไป


ยงเครองควบคมและสงการ(Command-and-controlserver)ในการดาวนโหลดPublickeyทใชสำหรบเขารหสลบซงเทคนคการสมชอโดเมนเพอเชอมตอไปยงเครองควบคมและสงการนมกพบเหนในมลแวรสมยใหมทแพรระบาดอยในปจจบนโดยPublickeyทดาวนโหลดมานนใชอลกอรทมRSAทมความยาวถง2048bitsซงดวยสมรรถนะของคอมพวเตอรในปจจบนยงไมสามารถทำการสมหาPrivatekeyทใชในการถอดรหสลบทมความยาวขนาดนในทางปฏบตไดทงนRSApublickeyดงกลาวเปนเพยงKeyทใชในการเขารหสลบSecretkeyทใชในการเขารหสลบขอมลในคอมพวเตอรของเหยอจรงๆอกทอดหนงโดยSecretkeyดงกลาวใชอลกอรทมAESความยาว256bitsนอกจากนสงทนาสนใจอกอยางคอชองทางการชำระเงนซงผไมหวงดเปดโอกาสใหเหยอสามารถชำระเงนเพอขอรบPrivatekeyดวยBitcoin(ตวยอ:BTC)ซงเปนสกลเงนในโลกดจทลทกำลงไดรบความนยมอยในปจจบน

รปท3หนาตางระบชองทางการชำระเงนเปนBitcoin (ทมา:Securelist[6])

ทงนเมอตนเดอนพฤศจกายน2556มการรายงานวาผพฒนาCryptoLockerไดยดระยะเวลาใหกบผใชทตกเปนเหยอดวยการเปดเวบไซตผานเครอขายTORเพอใหบรการรบชำระเงนโดยวธการชำระเงนนนจะเรมจากการใหผใชอพโหลดไฟลทถกเขารหสลบผานหนาเวบไซตเพอทำการตรวจสอบหาPrivatekeyทใชในการถอดรหสลบโดยอางวาใชเวลาในขนตอนดงกลาวประมาณ24ชวโมงหลงจากเสรจสนจะมหนาตางปรากฏใหชำระเงนเปนBitcoinเชนเดมแตมการขนราคาจากเดม2BTCเปน10BTCหรอเทยบเทากบราคาจากเดมประมาณ460USDเปน2,300USD(ขอมลอตราแลกเปลยนณวนท4พฤศจกายน2556)


รปท4หนาหลกของเวบไซตทเปดใหบรการชำระเงน (ทมา:BleepingComputer[7])


รปท5หนาตางชำระเงนหลงจากเสรจสนการคนหาPrivatekey (ทมา:BleepingComputer[7])

การปองกนและแกไข

ปจจบนยงไมมวธทจะแกไขปญหาหลงจากทเครองตดมลแวรCryptoLockerและขอมลมการเขารหสลบไดอยางสมบรณเพราะถงแมการกำจดCryptoLockerออกจากคอมพวเตอรนนจะเปนเรองทงายเนองจากโปรแกรมปองกนไวรสหลายตวณปจจบนสามารถตรวจจบไดแลว[8] [9] [10] แตขอมลทมการเขารหสลบอยกยงไมสามารถถอดรหสลบออกมาไดอยดซงแนนอนวาผทตกเปนเหยอยอมตองการใหขอมลของตนกลบคนมาอยในสภาพเดมดวยนอกจากแคการกำจดมลแวรเพยงอยางเดยวดงนนในเมอยงไมมวธแกไขทสมบรณกควรจะทำการปองกนตนเองลวงหนากอนทจะตกเปนเหยอตามไปดวย


สำหรบวธการปองกนนนไดแก

• Backupขอมลอยางสม�าเสมอและหากเปนไปไดใหเกบขอมลทมการBackupไวในท ทไมมการเชอมตอกบคอมพวเตอรหรอระบบเครอขายอนๆ

• ตดตง/อพเดตโปรแกรมปองกนไวรสรวมถงอพเดตโปรแกรมอนๆโดยเฉพาะโปรแกรม ทมกมขาวเรองชองโหวอยบอยๆเชนJavaและAdobeReaderและอพเดตระบบปฏบตการอยางสม�าเสมอ

• ไมคลกลงกหรอเปดไฟลทมาพรอมกบอเมลทนาสงสยหากไมมนใจวาเปนอเมลทนาเชอถอหรอไมใหสอบถามจากผสงโดยตรง

• หากมการแชรขอมลรวมกนผานระบบเครอขายใหตรวจสอบสทธในการเขาถงขอมลแตละสวนและกำหนดสทธใหผใชมสทธอานหรอแกไขเฉพาะไฟลทมความจำเปนตองใชสทธเหลานน

• ตงคาPolicyของระบบปฏบตการเพอปองกนไมใหมลแวรสามารถทำงานตามDirectoryหรอPathทระบได[11]

จากวธการปองกนตามทกลาวมาขางตนนนจะสงเกตไดวาสวนใหญเปนวธทผใชทวไปมกทราบกนดอยแลวเพยงแตอาจไมใสใจทจะปฏบตตามเนองจากคดวาตนเองไมนามโอกาสพบกบเหตรายเหลานไดซงผเขยนขอเนนย�าวาการปองกนนนยอมดกวาการแกไขโดยเฉพาะกบCryptoLockerทหากผใชไมเคยBackupขอมลแลวผใชกจะสญเสยขอมลทงหมดโดยถาวรเวนแตผใชจะเลอกวธการชำระเงนใหกบผไมหวงดซงโดยความเหนสวนตวของผเขยนนนไมสนบสนนวธนเนองจากไมมหลกประกนใดๆวาเมอชำระเงนไปแลวขอมลของผใชจะสามารถถอดรหสลบกลบมาเปนเหมอนเดมไดรวมถงการชำระเงนใหกบผไมหวงดนนเทากบวาเปนการสนบสนนใหผไมหวงดมแรงจงใจทจะกระทำการในลกษณะนตอไปในอนาคตอกดวย

สรป

CryptoLockerเปนมลแวรประเภทRansomwareตวหนงทกำลงแพรระบาดอยในปจจบนซงอาจทำใหผใชสญเสยขอมลสำคญทงหมดในเครองคอมพวเตอรไดวธการปองกนทดทสดในตอนนคอการBackupขอมลตดตงโปรแกรมปองกนไวรสอพเดตโปรแกรมและระบบปฏบตการอยางสม�าเสมอรวมถงการไมคลกลงกหรอเปดไฟลทมาพรอมกบอเมลทนาสงสยซงลวนแลวแตเปนวธปฏบตพนฐานในการปองกนตนเองจากเหตภยคกคามดานสารสนเทศทอาจเกดขนไดทกเมอ


อางอง

1. http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Trojan%3aWin32%2fReveton#tab=1

2.http://www.computerworld.com/s/article/9215711/Ransomware_squeezes_users_with_bogus_Windows_activation_demand

3.http://www.examiner.com/article/crypto-locker-virus-hijacks-your-computer-makes-you-pay-300-ransom-what-to-do

4.http://nakedsecurity.sophos.com/2013/10/12/destructive-malware-cryptolocker-on-the-loose

5.http://en.wikipedia.org/wiki/Domain_generation_algorithm

6.http://www.securelist.com/en/blog/208214109/Cryptolocker_Wants_Your_Money

7.http://www.bleepingcomputer.com/forums/t/512668/cryptolocker-developers-charge-10-bitcoins-to-use-new-decryption-service

8.http://www.yac.mx/th/guides/virus-guides/20130909-how-to-remove-cryptolocker-ransomware-through-yac-virus-removal-tool.html

9.http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know

10.http://nakedsecurity.sophos.com/2013/10/18/cryptolocker-ransomware-see-how-it-works-learn-about-prevention-cleanup-and-recovery

11.http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information#preven



การวเคราะหมลแวรเบองตนตอนท1ผเขยน : เสฏฐวฒแสนนามวนทเผยแพร : 19ธนวาคม2556ปรบปรงลาสด : 19ธนวาคม2556

หลายคนคงเคยไดยนคำวามลแวรหรอไวรสคอมพวเตอรกนอยบอยๆและนาจะเคยเหนบทความทวเคราะหการทำงานของมลแวรซงกอาจจะมขอสงสยวาสามารถทำไดอยางไรและตองมเครองมอหรอขนตอนอะไรบางบทความในชด“การวเคราะหมลแวรเบองตน”นจะอธบายถงหลกการและ วธการทใชวเคราะหมลแวรโดยจะนำเสนอเนอหาในระดบเบองตนเพอผทสนใจสามารถนำไปทดลองและใชเปนขอมลในการศกษาเพมเตมไดตอไป

มลแวรคออะไร?

มลแวร(Malware)ยอมาจากMaliciousSoftwareหมายถงซอฟตแวรไมพงประสงคเปนโปรแกรมทมการเขยนขนมาเพอทำอนตรายกบระบบเชนทำใหคอมพวเตอรทำงานผดปกตขโมย/ทำลายขอมลหรอเปดชองทางใหผไมหวงดเขามาควบคมเครองคอมพวเตอรเปนตน

ในการแบงประเภทของมลแวรโดยปกตจะแบงตามพฤตกรรมการทำงานตวอยางเชน

• Virus-แพรกระจายตวเองไปยงเครองอนๆผานไฟล

• Worm-แพรกระจายตวเองไปยงเครองอนๆผานระบบเครอขาย(เชนอเมลหรอระบบแชรไฟล)

• Trojan-หลอกวาเปนโปรแกรมทปลอดภยแลวใหผใชหลงเชอนำไปตดตง

• Backdoor-เปดชองทางใหผไมหวงดเขามาควบคมเครอง

• Rootkit-เปดชองทางใหผไมหวงดเขามาควบคมเครองพรอมไดสทธของผดแลระบบ

• Spyware-แอบดพฤตกรรมการใชงานของผใชและอาจขโมยขอมลสวนตวดวย

มลแวรหนงตวอาจมพฤตกรรมหลายอยางจงอาจจดใหอยไดในหลายประเภทตวอยางการแบงประเภทของมลแวรเปนดงรปท1


รปท1ตวอยางการแบงประเภทของมลแวร(ทมา:Kaspersky[1])

นอกจากการทำงานขางตนแลวพฤตกรรมของมลแวรโดยสวนใหญจะมสวนทคลายๆกนคอหลบซอนตวเองจากการตรวจจบโหลดมลแวรตวอนมาลงเพมปดการทำงานของระบบรกษาความปลอดภย(เชนAntivirus)หรอฝงตวเองในระบบเพอใหยงสามารถกลบมาทำงานตอไดเมอรสตารตเครองเปนตน


วธการตดมลแวร

การตดมลแวรโดยหลกๆมอย2วธคอหลอกใหผใชเปนคนรนโปรแกรมมลแวรเองหรอตดตงตวเองลงในเครองโดยอตโนมตผานชองโหวของซอฟตแวร

การหลอกใหผใชเปนคนรนโปรแกรมมลแวรเองสวนใหญจะอยในรปแบบไฟลประเภทExecutableหรอScriptซงเปนโคดของโปรแกรมทสามารถเปดขนมาทำงานตามคำสงไดทนทโดยสวนใหญจะอยในรปแบบของไฟลประเภท.exe.bat.comหรอ.scr[2]

วธการแพรกระจายมลแวรแบบทพบเหนกนบอยๆกคงจะเปนการตดผานUSBDriveการสงไฟลผานทางอเมลหรอปลอยไฟลมลแวรไปในเวบไซตทใหดาวนโหลดซอฟตแวรเถอนหรอเวบไซตประเภทBittorrent

ในการหลอกใหผใชเรยกใชงานโปรแกรมมลแวรผเขยนมลแวรอาจใชวธการหลอกลวงตางๆเชนเปลยนไอคอนของโปรแกรมใหเปนรปไฟลเอกสารรปโฟลเดอรหรอตงชอไฟลหลอกใหผใชเขาใจวาเปนไฟลเอกสารธรรมดาแตในบางกรณมลแวรอาจมาในรปของไฟลเอกสารเชนไฟลMicrosoftOfficeหรอไฟลPDFเนองจากซอฟตแวรทใชอานขอมลจากไฟลประเภทดงกลาวมชองโหวใหสามารถฝงโคดของมลแวรได

นอกจากวธขางตนแลวแนวโนมในปจจบนยงพบการโจมตแบบDrive-by-DownloadซงเปนการใชชองโหวของเบราวเซอรหรอปลกอนของเบราวเซอรในการโจมตซงโดยสวนมากจะพบการโจมตผานชองโหวของJava,AdobeReaderหรอFlashPlayerโดยผโจมตจะฝงโคดอนตรายไวในเวบไซตเมอผใชเปดเขาไปยงเวบไซตดงกลาวกจะตดมลแวรในทนท(สามารถศกษาเพมเตมไดทบทความการโจมตผานเวบเบราวเซอรและการปองกน[3])

การวเคราะหมลแวร

ในการวเคราะหมลแวรมจดประสงคหลกๆคอเพอตองการศกษาพฤตกรรมและขนตอนการทำงานของมลแวรเพอตรวจสอบผลกระทบจากความเสยหายรวมถงศกษาวธปองกนและแกไขปญหาหลงตดมลแวรซงอาจจะเปนประโยชนในการแจงเตอนเรองความปลอดภยในกรณทพบมลแวรชนดใหมทAntivirusสวนใหญยงไมรจกหรอเปนมลแวรสายพนธใหมทขอมลผลการวเคราะหเดมอาจเชอถอไดไม100%

ในกรณพบไฟลทตองสงสยวาเปนมลแวรการวเคราะหเบองตนอาจทำไดโดยการใชเครองมอOnlineMalwareScanทใชวธการอพโหลดไฟลขนไปเพอใหAntivirusคายตางๆชวยกนสแกนเชนเวบไซตhttp://www.virustotal.comหรอhttp://virusscan.jotti.org/enซงทงสองเวบไซตดงกลาวนสามารถใชงานไดฟรอยางไรกตามหากเปนมลแวรชนดใหมๆกอาจจะตรวจสอบดวยวธนไมไดตวอยางการสแกนโดยใชเวบไซตVirustotalเปนดงรปท2


รปท2ตวอยางการสแกนไฟลทนาสงสยโดยใชเวบไซตVirustotal

ผลการสแกนโดยใชAntivirusหากพบวาเปนมลแวรทรจกดกจะมชอของมลแวรตวนนแสดงขนมาซงสามารถนำชอไปคนหาขอมลเพมเตมรวมถงวธการแกไขไดอยางไรกตามชอของมลแวร ตวเดยวกนอาจแตกตางกนไปตามแตบรษทAntivirusจะตง

ในกรณทสแกนแลวไมพบขอมลหรอขอมลทไดรบไมเพยงพอตอการแกไขปญหากจำเปนทจะตองทำการวเคราะหมลแวรเองซงกมวธการหลกๆอยดวยกน2วธคอBehaviorAnalysisและCodeAnalysis

BehaviorAnalysis

มอกชอหนงวาDynamicAnalysisเปนการวเคราะหพฤตกรรมของมลแวรโดยการรนตวโปรแกรมมลแวรแลวตรวจสอบความเปลยนแปลงหรอเหตการณทเกดขนหลงจากทมลแวรทำงานขอดของการวเคราะหดวยวธนคอเรวสามารถรการทำงานเบองตนและประเมนความเสยหายคราวๆไดถงแมวาผลทไดอาจไมครอบคลมฟงกชนทงหมดทมลแวรสามารถทำไดแตกนาจะเพยงพอสำหรบใชในการแจงเตอนเรองความมนคงปลอดภย

ขอมลเบองตนทจะไดจากการวเคราะหดวยวธนเชน

• ไฟลทมการสราง/แกไข/ลบ

• Registryทเกยวของ

• การแกไขการตงคาระบบ

• Serviceทมลแวรสรางขนหรอใชงาน

• การเชอมตอเครอขาย


โดยทวไปการวเคราะหดวยวธนจะทำในระบบจำลองโดยใชVirtualMachine(เชนVirtualBoxหรอVMWare)เนองจากมขอดคอเปนระบบทสามารถควบคมสภาวะแวดลอมไดงาย(เชนจำนวนCPUหรอรปแบบการเชอมตอเครอขาย)และสามารถทำSnapshotเพอบนทกสถานะของระบบในขณะนนและยอนกลบคนเหตการณเพอทดสอบพฤตกรรมในรปแบบอนๆไดตวอยางการวเคราะหมลแวรโดยใชVirtualMachineเปนดงรปท3

รปท3ตวอยางการวเคราะหมลแวรโดยใชVirtualMachine

ขอเสยของวธนคอหากมมลแวรทสามารถตรวจสอบไดวาตวเองกำลงทำงานอยในVirtualMachineกอาจไมแสดงพฤตกรรมผดปกตออกมาหรอหากมมลแวรทมโคดสำหรบโจมตผานชองโหวของโปรแกรมVirtualMachineตวมลแวรกอาจหลดออกมาตดในระบบจรงได

CodeAnalysis

มอกชอหนงวาStaticAnalysisเปนการวเคราะหโคดเพอทำความเขาใจฟงกชนการทำงานของมลแวรสงทตองทำคอการReverseEngineerเพอดโคดของโปรแกรมในแบบภาษาเครอง(เชนภาษาAssembly)และใชวธการDebugเพอทดสอบการทำงานในสวนของโคดทนาสงสยตวอยางโปรแกรมIDAทใชวเคราะหมลแวรแบบCodeAnalysisเปนดงรปท4


รปท4ตวอยางการReverseEngineerโดยใชโปรแกรมIDA(ทมาHex-Rays[4])

การวเคราะหดวยวธนมขอเสยคอทำไดยากเพราะตองใชความรระดบLow-levellanguageและใชเวลานานในกรณทเปนมลแวรทมความซบซอนสงแตมขอดคอถาวเคราะหโคดไดทงหมดกสามารถเขาใจทกฟงกชนการทำงานของมลแวรขอควรระวง

การวเคราะหมลแวรไมวาจะดวยวธใดกตามจำเปนตองทำในระบบปดนนคอตองไมทำในเครองทสามารถเชอมตอกบระบบเครอขายภายนอกไดเพอปองกนไมใหมลแวรหลดรอดออกไปสรางความเสยหายกบระบบอนๆหากเปนไปไดควรทำในระบบVirtualMachineทอพเดตแพทชเปนเวอรชนลาสดทงตวโปรแกรมและระบบปฏบตการ

หากไมสามารถวเคราะหมลแวรในระบบจำลองไดอาจจำเปนตองนำมลแวรมารนในเครองจรงซงกอาจมความเสยงทจะทำใหฮารดแวรเสยหายไดเพราะมลแวรบางตวมความสามารถในการเขยนขอมลทบFirmwareของฮารดแวรเพอใหทำงานผดปกตหรอทำงานไมได

สำหรบเนอหาของบทความ“การวเคราะหมลแวรเบองตนตอนท1”นจะเปนการเกรนนำทมาคราวๆเพยงเทานกอนสำหรบตอนท2จะเปนเนอหาเกยวกบการวเคราะหมลแวรดวยวธBehaviorAnalysisและตอนท3จะเปนวธCodeAnalysisซงจะนำเสนอในโอกาสตอไปอางอง

1. http://www.kaspersky.com/internet-security-center/threats/malware-classifications

2. http://pcsupport.about.com/od/tipstricks/a/execfileext.htm


4. https://www.hex-rays.com/products/ida/

http://www.kaspersky.com/internet-security-center/threats/malware-classifications

http://pcsupport.about.com/od/tipstricks/a/execfileext.htm


https://www.hex-rays.com/products/ida/


URLOBFUSCATIONผเขยน : เจษฎาชางสสงขวนทเผยแพร : 26ธนวาคม2556ปรบปรงลาสด : 26ธนวาคม2556

ปจจบนมภยคกคามมากมายบนโลกอนเทอรเนตไมเวนแมแตURLทผใชคลกเพอเขาไปยง เวบไซตซงอาจจะคดวาไมเปนอนตรายอะไรแตแทจรงแลวหากไมไดพจารณาใหรอบคอบURLดงกลาวอาจพาทานไปยงเวบไซตอนตรายได

ตวอยางกรณทผใชตองการเขาไปยงเวบไซตธนาคารแหงหนงโดยการคลกURLจากEmail ทไดรบแตURLดงกลาวกลบพาผใชไปยงเวบไซตธนาคารปลอมของผไมประสงคดซงผลทตามมาอาจทำใหบญชผใชและรหสผานถกผไมประสงคดขโมยและเครองของทานยงอาจถกโจมตทำใหตดมลแวรได

จากเหตการณดงกลาวปญหาอาจเกดจากการทผใชไมไดพจารณาตรวจสอบURLกอนคลกซงผไมประสงคดมเทคนคตางๆมากมายททำใหผใชไมสามารถมองออกไดวาURLนนเปนURLทถกตองหรอไมในทนผเขยนขออธบายวธการหนงทมการนยมใชกนนนคอURLObfuscationสำหรบเทคนคอนๆนนผเขยนจะนำมาอธบายทานใหทานทราบในโอกาสตอไป

URLคออะไร?

ผใชหลายทานอาจจะเคยไดยนและมความคนเคยกบURLแลวแตจะขออธบายถงความหมายและโครงสรางเบองตนเพอใหผใชเขาใจวธการของURLObfuscationและสามารถนำไปใชพจารณาURLทนาสงสยตอไปได

URL(UniformResourceLocator)คอสงทใชระบตำแหนงของทรพยากรบนเครอขายอนเทอรเนตเชนURLhttp://www.thaicert.or.th/index.htmlมโครงสรางทอางองตามRFC1738[1]ดงน

<scheme>//<user>:<password>@<host>:<port>/<url-path>

• schemeคอโพรโทคอลตางๆทใชเขาถงเชนHTTP,HTTPS,FTP,SMB

• userคอUsernameทใชในการยนยนตวตนในกรณทมการพจารณาการยนยนตวตนหากระบบไมมการพจารณาจะไมสนใจคาน

• passwordคอรหสผานทใชยนยนตวตนรวมกบUsername

• hostคอตำแหนงของเครองทเราตองการเขาถงโดยจะระบเปนDomainnameหรอIPAddress


• portคอหมายเลขอางองของบรการตางๆทเครองใหบรการเปดใหเขาถงโดยทวไปหากไมไดกำหนดโปรแกรมจะกำหนดตามโพรโทคอลหรอ<scheme>เชนhttpจะมการกำหนดเปน80httpsจะมการกำหนดเปน443เปนตน

• url-pathคอตำแหนงทระบเปนไฟลหรอเปนพารามเตอรทใชรบคาเชน/a/b/c/test.html,index.php?id=1

ตวอยางการระบURL

“http://username:[email protected]:80/image/test.html”

อธบายตวอยางดงตารางขางลางไดดงน

Field Name Value

scheme http

user username

password password

host www.thaicert.or.th

port 80

url-path /image/test.html

URLObfuscation

Obfuscationคอการทำใหเกดความสบสนหรอทำใหผอานไมสามารถเขาใจไดงาย ดงนนURLObfuscationจงเปนการทำใหผทอานURLเกดความสบสนหรอไมสามารถเขาใจURLไดทนทURLObfuscationนนอาจใหผลลพธในแตละBrowserไมเหมอนกนโดยใน ทนผเขยนไดทดลองในBrowserChromeเนองจากสถตทมการใชงานเปนอนดบ1เมอเทยบกบFirefoxและInternetExplorer[2]โดยจะยกตวอยางใหผใชไดทราบดงน

URLEncoding

คอการแปลงIPหรอHostnameใหอยในรปของURLEncodingโดยเปนการแทนอกขระดวยรหสตางๆโดยสามารถดไดจากตาราง(http://www.w3schools.com/tags/ref_urlencode.asp)หรอใชเครองมอออนไลนเชนhttp://www.url-encode-decode.com/urldecode

http://www.w3schools.com/tags/ref_urlencode.asp


ตวอยางการแปลงhttp://thaicert.or.thจะได http://%74%68%61%69%63%65%72%74%2E%6F%72%2E%74%68

IPObfuscation

เทคนคนจะเปนการพยายามแปลงIPAddressไมใหอยในรปเดมโดยจะยกตวอยางIP74.125.131.105ซงเปนการเขยนแทนhostทชอwww.google.com

1.HexadecimalNumberคอการแปลงIPAddressใหรปในรปฐาน16ทำไดโดยการแบงIPAddressเปน4สวนจากนนแปลงใหเปนในรปฐาน16(Hex)ดงตาราง

Dec 74 125 131 105

Hex 4A 7D 83 69 นำคาฐาน16ทง4มากำหนดใหอยในรปแบบดงน หากผใชลองเขาถงURLhttp://0x4a.0x7d.0x83.0x69/BrowserของทานจะพาไปยงIPAddress74.125.131.105โดยอตโนมต

2.OctalNumberคอการแปลงIPAddressใหรปในรปฐาน8ทำไดโดยการแบงIPAddressเปน4สวนจากนนแปลงใหเปนในรปฐาน8(Oct)ดงตาราง

Dec 74 125 131 105

Oct 112 175 203 151 นำคาฐาน16ทง4มากำหนดใหอยในรปแบบดงน หากผใชลองเขาถงURLhttp://0112.0175.0203.0151/เบราวเซอรของทานจะพาไปยงIPAddress74.125.131.105โดยอตโนมต

3.DWORDหรอDoubleWordคอตวเลขจำนวนเตมโดยทวไปจะมขนาด32bit รปแบบทผไมประสงคดนำมาใชโจมตเชนการแปลงจากIPAddress74.125.131.105ใหอยใน รปแบบDWORDดงน แบงIPAddressเปน4สวนจากนนแปลงใหเปนในรปฐาน16(Hex)ดงตาราง


Dec 74 125 131 105

Hex 4A 7D 83 69 นำคาฐาน16ทง4มาตอกน:4A7D8369 แปลงคาฐาน16กลบเปนฐานสบ(Decimal):1249739625 หากผใชลองเขาถงURLhttp://1249739625เบราวเซอรของทานจะพาไปยงIPAddress74.125.131.105โดยอตโนมต[3][4]

ตวอยางรปแบบทผไมประสงคดนำไปใช

จากการแปลงIPAddressใหอยในรปเลขฐานตางๆขางตนผไมประสงคดอาจนำความร เกยวกบโครงสรางของURLมาใชเพมเตมเพอใหเกดความสมจรงดงน

“http://www.bank.com:[email protected]”

จากURLดงกลาวหากเขาถงเบราวเซอรจะกำหนดใหไปยงIPAddress74.125.131.105เนองจากหากดจากโครงสรางของURLดงทไดอธบายกอนหนานจะพบวาwww.bank.comคอUsernameและlogin.htmlคอรหสผานซงสงเกตไดจากเครองหมาย“:”ซงคนระหวางUsernameและรหสผานและจะอยกอนเครองหมาย“@”เสมอ

หากผโจมตใชเทคนคดงกลาวรวมกบIPObfuscationจะไดตวอยางดงน

Type URL

URL Encodinghttp://www.bank.com:login.html@%74%68%61%69%63%65%72%74%2E%6F%72%2E%74%68

Hexadecimal http://www.bank.com:[email protected]/

Octal http://www.bank.com:[email protected]

DWORD http://www.bank.com:login.html@1249739625/

ผเขยนขอจำลองสถานการณวาผไมประสงคดไดสงอเมลมายงเหยอทใชงานGmailโดยสง


ขอมลแจงใหทำการยนยนตวตนไมเชนนนaccountของผใชจะถกระงบการใชงานโดยใหผใชคลกURLทมโดเมนเนมเปนของGoogleดงน

http://www.google.co.th/url?sa=t&rct=j&q=&esrc=s&source=web&c d=1&ved=0CC4QFjAA&url=%68%74%74p%3A%2F%2F%74%68%61%69%63%65%72%74%2E%6F%72%2E%74%68%2F&ei=JPgAUeieHs7wrQev5IC4DQ&usg=AFQjC NECZ1VHgfys3dSMAiaEU6H9_ftWfw&sig2=XQPZjnPhMpaNA1eu49Yljw&b vm=bv.41524429,d.bmk&cad=rja

จะเหนไดวาURLดงกลาวมการredirectไปยงเวบไซตhttp://thaicert.or.thโดยอตโนมตซงหากผไมประสงคดกำหนดใหเปนเวบไซตอนตรายทมมลแวรฝงอยแทนกอาจทำใหผใชตดมลแวรได หมายเหต:redirectคอการเปลยนเสนทางการเขาถงขอมลหรอเวบไซตจากแหลงหนงไปยงอกแหลงทเครองตนทางไดกำหนดไวซงเปนอกเทคนคหนงทผไมประสงคดนำไปใชหลอกลอเหยอใหเขาไปยงเวบไซตอนตรายซงผเขยนจะขออธบายใหทานเขาใจในโอกาสตอไป

พจารณาอยางไร

หากสงเกตลกษณะของURLจะพบวามสวนทถกEncodeดวยURLEncodingอย

“%68%74%74p%3A%2F%2F%74%68%61%69%63%65%72%74%2E%6F%72%2E%74%68%2F”

เมอนำสวนดงกลาวมาDecodeจะไดhttp://thaicert.or.th/

URLทถกdecodeแลว

“http://www.google.co.th/url?sa=t&rct=j&q=&esrc=s&source=web&c d=1&ved=0CC4QFjAA&url=http://thaicert.or.th/&ei=JPgAUeieHs7wrQev5IC 4DQ&usg=AFQjCNECZ1VHgfys3dSMAiaEU6H9_ftWfw&sig2=XQPZjnPhM paNA1eu49Yljw&bvm=bv.41524429,d.bmk&cad=rja”

สรป

เนอหาทผเขยนไดเขยนมาขางตนนนเปนแนวทางในการพจารณารปแบบของURLObfuscationทอาจพบโดยทวไปและอาจเปนภยคกคามทผไมประสงคดนำมาใชโจมตผใชงาน ผเขยนจงหวงเปนอยางยงวาผอานจะเกดความตระหนกจากผลกระทบทเกดขนและสามารถนำความรดงกลาวไปใชพจารณากอนคลกลงกใดๆกตามอยเสมอเพอไมเขาไปยงเวบไซตทอนตรายอางอง• http://www.ietf.org/rfc/rfc1738.txt• http://www.w3schools.com/browsers/browsers_stats.asp• http://www.aldeid.com/wiki/Dword2url• http://research.zscaler.com/2011/08/malicious-urls-using-dword-formatted-ip.html• http://blog.opensecurityresearch.com/2013/01/deofuscating-potentially-malicious-

urls.html

http://www.ietf.org/rfc/rfc1738.txt

http://www.w3schools.com/browsers/browsers_stats.asp

http://www.aldeid.com/wiki/Dword2url

http://research.zscaler.com/2011/08/malicious-urls-using-dword-formatted-ip.html

http://blog.opensecurityresearch.com/2013/01/deofuscating-potentially-malicious-urls.html

http://blog.opensecurityresearch.com/2013/01/deofuscating-potentially-malicious-urls.html



SECURITYINFORMATIONMANAGER(2)ผเขยน : รณนเรศรเรองจนดาวนทเผยแพร :26ธนวาคม2556ปรบปรงลาสด : 26ธนวาคม2556

ในบทความกอนหนานไดแนะนำใหผอานรจกกบSSIMกนไปแลวในบทความตอนนจะนำเสนอขนตอนดำเนนโครงการในการนำเอาSIMเขามาใชในองคกรเพอการเฝาระวงความปลอดภยระบบสารสนเทศเนองจากโครงการลกษณะนมความซบซอนอกทงไมมขนตอนวธทเปนมาตรฐานทำใหผดำเนนการมกจะมองโครงการลกษณะนเปนการจดซออปกรณนำมาตงคาและเชอมตอเขาดวยกนทำนองเดยวกบการจดซออปกรณเครอขายทวไปทำใหมองไมเหนรายละเอยดและความซบซอนท ซอนอยในความเหนผเขยนโครงการลกษณะนจดเปนSolutionมากกวาจะเปนการตดตงอปกรณหวใจสำคญจงอยทการออกแบบและนำเสนอSolutionใหสอดคลองกบความตองการซงหวงวาผอานจะไดรบประโยชนในการใชบทความนเปนแนวทางในการดำเนนโครงการลกษณะดงกลาวความจรงแลวขนตอนในการดำเนนโครงการลกษณะนแทบจะไมแตกตางกบโครงการระบบสารสนเทศอนคอเรมจากPreliminary(การสำรวจความตองการเบองตน)RequirementAnalysis(การวเคราะหความตองการ)Design(การออกแบบ)Implement(การตดตง)Test(การทดสอบ)และProduction(เปดใชงาน)เพยงแตมกจกรรมยอยๆทจำเปนตองใชความระมดระวงมฉะนนโครงการอาจลาชาหรอถงกบตองรอออกแบบใหมกนเลยในทนจะขอกลาวถงแตรายละเอยดทสำคญ

การสำรวจความตองการเบองตนปกตขนตอนนจะทำกนกอนการเลอกซอหรอบางองคกรอาจมองเปนขนตอนเดยวกนเลยในขนตอนนสงสำคญคงไมพนการกำหนดจดมงหมายของการนำSIMมาใชซงกมไดสองลกษณะคอการนำมาใชเพอเปนการเฝาระวงคอแจงเตอนเมอมเหตการณเกดขนหรอนำมาใชเพอชวยในการวเคราะหขอมลlogยอนหลงสำหรบเหตการณทเกดขนไปแลว ดงทไดอธบายไวแลววาทงสองแบบมความตองการหนวยจดเกบขอมลและประสทธภาพตางกนอยางแรกตองการระบบทมประสทธภาพสงทตอบสนองไดรวดเรวในขณะทแบบหลงตองการหนวยจดเกบขอมลขนาดใหญลำดบถดมาทตองพจารณาควบคกนไปดวยคอปรมาณขอมลlog ทจะจดเกบซงหาไดจากจำนวนอปกรณกำเนดขอมลlogซงจำเปนตองทราบใหแนนอนระดบหนงวามปรมาณขอมลเหตการณ(numberofevent)ตอวนเทาไรและทสำคญมอตราการสงขอมลตอ


วนาท(eventpersecหรอEPS)เปนเทาไรขอมลเหลานจำเปนสำหรบการเลอกรนและยหอของSIMนอกจากนยงตองกำหนดความตองการดานเครอขายสำหรบการเชอมตอใหชดเจนเนองจากSIMจำเปนตองเชอมกบอปกรณกำเนดlogทกตวสงเหลานลวนตองทำการวเคราะหและจดทำเปนสวนหนงของขอกำหนดความตองการของโครงการ(TOR)

การวเคราะหความตองการขนตอนนมความจำเปนอยางยงเพราะหลงจากไดรบขอเสนอจาก ผคาทสอดคลองกบTORกมกจะเขาใจกนไปวาใหผคาดำเนนโครงการใหสอดคลองกบTORกนาจะเพยงพอแลวในความเปนจรงTORเปนเพยงขอกำหนดกวางๆทไมไดเฉพาะเจาะจงผเขยนแนะนำใหนำTORแตละขอมาวเคราะหและขยายความเพอใหเกดความชดเจนแลวจดทำเปนเอกสารความตองการของระบบ(SystemRequirementSpecification-SRS)สำหรบSIMจากนนสงทตองมาวเคราะหเพมเตมคอรายละเอยดการตงคาทสำคญๆของSIMไดแก

• AggregationกำหนดรายชออปกรณรนและรปแบบการบนทกขอมลจดทำเปนเอกสารและทดสอบยนยนวาSIMรองรบการเชอมตอกบอปกรณดงกลาวหรอไมและถาไมจะมแนวทางการแกไขอยางไรอยางทกลาวไวในตอนท1วาเนองจากอปกรณกำเนดlogมความหลากหลายทำใหขอมลlogมรปแบบไมเหมอนกนและอาจไดรบการตงคาใหตางไปจากคาตงตนโดยปรยายรวมทงอปกรณอาจมการสงขอมลlogไปยงระบบอนแลวฯลฯสงเหลานลวนจำเปนจะตองกำหนดลงในเอกสารใหชดเจนเนองจากมผลกระทบตอการดำเนนโครงการในเฟสการออกแบบในสวนของการเชอมตอและตดตงรวมถงการ ตงคาระบบ

• Correlationการกำหนดขอบเขตและรายละเอยดการตงคาการวเคราะหความสมพนธของขอมล(CorrelationRule)ซงควรจะกำหนดใหชดเจนวาจะมจำนวนกแบบแตละแบบมรายละเอยดอยางไรสวนนนบเปนประเดนทนาสนใจตรงทวาผใชหรอผซอระบบกคาดหวงวาผคาหรอผออกแบบตดตงจะใหคำแนะนำทเหมาะสมในการตงคาในขณะทผคาหรอผออกแบบตดตงกคาดหวงวาผใชหรอผซอจะกำหนดหรอบอกความตองการของตนใหทราบไปๆมาๆตางฝายตางกไดแตแลตากนสดทายกใชคาโดยปรยายทตงมาจากโรงงานหรอผผลตซงโดยมากกมกจะไมตรงตามความตองการและไปมผลกระทบเมอระบบเรมใชงานเพราะจะมแตขอมลสวนเกนหรอไมตรงความตองการเตมไปหมดดงนนผเขยนจงขอแนะนำวาใหทำการประชมหารอและกำหนดรายละเอยดในสวนนใหเรยบรอยขอสงเกตอกประการหนงคอการตงคาCorrelationRuleนนเปนเรองละเอยดออนและซบซอนพอสมควรแมจะมการกำหนดขอบเขตชดเจนแลวกยงจำเปนทจะตองทดสอบและปรบใหสอดคลองกบธรรมชาตการดำเนนงานของแตละระบบเปนรายๆไปเพอลดFalsePositiveตวอยางเชนการตงคาCorrelationRule“มIPใดบางทเชอมตอเขามายงIPภายในองคกรดวยหมายเลขพอรตปลายทางทสงกวา1024มากกวา1,000เหตการณตอ10นาทภายใน24ชวโมง”ซงจะเหนไดอยางชดเจนวามสองประเดนคอหากองคกรมการเชอมตอเขามาดวยพอรตหมายเลขสงกวา1024โดยเจตนา(อาจจะดวยความจำเปนหรอขอจำกดกตาม)เปนประจำอยแลวCorrelationRuleขอนกตองไดรบการปรบแกกบอกประเดนคอจำนวนการเชอมตอเขามาไมวาจะเพอการทำงานโดยปกต


หรอการถกโจมตดวยการScanPortองคกรหรอผดแลระบบจะมองวาเปนเรองผดปกตหรอไมเพราะองคกรหรอผดแลแตละทานกมวจารณญาณทตางกนบางทานอาจมองวาการถกScanPortเปนปกตไมจำเปนตองสนใจในขณะทบางองคกรอาจมองวาเปนภยคกคามซงกตองมการปรบคาในชวงทระบบเรมดำเนนการ

• Alertเปนอกสงหนงทควรจะกำหนดใหชดเจนวาระบบจะแจงเตอนไปทใครอยางไรแตละวนคาดวาจะมจำนวนประมาณเทาไรและการจดการตอบรบจะทำอยางไรแมเรองเหลานจะเปนขอกำหนดความตองการทเกยวของกบการดำเนนการ(OperationsRequirement)แตหากไมวเคราะหและทำความเขาใจใหตรงกนระหวางผออกแบบตดตงและผใชแลวกจะเกดปญหาการแจงเตอนทมมากจนลนเกนหรอในทางกลบกนทไมมการแจงเตอนทสำคญไปยงผดแลระบบเปนตน

• รายงานและDashboardขอนคงไมตองบรรยายอะไรมากเนองจากทกทานคงเขาใจถงความสำคญและความจำเปนในการวเคราะหความตองการตรงสวนนอยแลวสงทผเขยนอยากแนะนำคงมเพยงเรองปรมาณรายงานซงจากประสบการณของผเขยนพบวาผใชมกจะอยากไดรายงานตางๆเปนจำนวนมากๆ(เพอความอนใจ)แทนทจะเลอกเอารายงานทสำคญและตองใชเทานนอยาลมวาในการทำโครงการททรพยากรมจำกดโดยเฉพาะอยางยงเวลาการใหความสำคญหมดไปกบสงทไมไดใชนบเปนเรองทนาเสยดาย

การออกแบบหลงจากทไดSRSมาแลวกเปนการนำเอาความตองการแตละขอมาออกแบบสำหรบSIMมสวนทสำคญอยสองประเดนคอการตงคาระบบทสำคญอยางCorrelationRule,Alertและการออกแบบการเชอมตอโดยขอใหมการจดทำเอกสารการออกแบบระบบ(SystemDesign)ทชดเจนสำหรบใชอางองในขนตอนการตดตงและทดสอบกคงเพยงพอแลวแตถาใหดควรจดทำเปนเอกสารขอกำหนดการออกแบบระบบ(SystemDesignSpecification-SDS)ในกรณทตองการใหแนใจวาความตองการในSRSสอดคลองกบการออกแบบนอกจากนในชวงของการออกแบบหากขอกำหนดความตองการใดมความคลมเครอหรอมความรสกวาการออกแบบอาจจะไมรองรบผเขยนแนะนำใหทำการทดสอบเบองตนกอนอาจจะเรยกวาเปนProofOfConcept(POC)กไดแมวาโดยปกตเรามกจะทำPOCกนกอนทจะซอหรอดำเนนโครงการแตจากประสบการณของผเขยนแลวหากโครงการยงอยในชวงการวเคราะหความตองการหรอชวงออกแบบหากมขอสงสยทสำคญและคาดวาจะมผลกระทบสงกสมควรจะทำPOCเสมอเพอลดความเสยงในการออกแบบผดพลาดอยางไรกตามขอใหคำนงถงเรองทรพยากรเพราะการทำPOCเปนกจกรรมพเศษควรดำเนนการดวยความระมดระวงและรอบคอบ

การตดตงสำหรบSIMไมมอะไรทตองจดการเปนพเศษเพยงผตดตงดำเนนการตามการออกแบบและจดทำคมอเอกสารประกอบการตงคากเพยงพอแลวสำหรบองคกรทนำSIMเขามาใชเพอเฝาระวงภยคกคามผเขยนแนะนำใหทำการทดสอบชองโหว(VulnerabilityAssessment–VA)ของระบบทมอยกอนทำการตดตงทงนเพอนำขอมลทไดมาประกอบในการเฝาระวงภยคกคาม

การทดสอบโดยทวไปแลวสำหรบSIMการทดสอบระบบทแนะนำกคอการทดสอบการตงคาวาเปนไปตามทออกแบบไวหรอไมซงหากมการกำหนดความตองการเรองปรมาณและอตราการรบสง


ขอมลกควรมการทดสอบความสามารถในการรองรบปรมาณขอมลนำเขา(LoadTest)และหากใชSIMเพอใหบรการในการเฝาระวงภยคกคามใหแกระบบสารสนเทศทมความสำคญอาจจำเปนตองทำการทดสอบความเครยดของระบบ(StressTest)เพอดวาหากระบบดำเนนไปในสภาวะไมปกตเชนหนวยความจำไมเพยงพออตราการสงขอมลนอยกวาการรบขอมลฯลฯระบบทออกแบบมาจะตอบสนองอยางไรและทายสดการทดสอบเชอมตอและเปดใชระบบ(IntegrationTestandPilot)ทงหมดนขนกบความตองการขององคกรและลกษณะโครงการ

การเปดใชงานเชนเดยวกบโครงการพฒนาระบบสารสนเทศทวไปSIMเมอเปดใชงานกจำเปนจะตองไดรบการดแลเปนพเศษหรอทเรยกวาNursingPeriodซงไมควรนอยกวาหนงสปดาหซงชวงนเองทผใชจะไดทราบผลกระทบทอยนอกเหนอการควบคมในชวงการออกแบบรวมทงเปนชวงเวลาสำหรบการปรบCorrelation,Alertใหสอดคลองกบการดำเนนการและธรรมชาตของผใชระบบ

ในตอนนของบทความผเขยนไดแนะแนวทางของการดำเนนโครงการการตดตงSIMซงออกจะดซบซอนและตองทำเอกสารเปนจำนวนมากทเปนเชนนเพราะผเขยนมงนำเสนอการดำเนนโครงการลกษณะนในองคกรทมระบบสารสนเทศขนาดใหญซงจำเปนตองดำเนนโครงการอยางรอบคอบรดกมและมมาตรฐานซงผเขยนหวงวาคงจะมประโยชนสำหรบผสนใจในตอนหนาซงเปนตอนสดทายจะขอแนะนำCorrelationRuleทเปนมาตรฐานและนยมใชกนอยเสมอ


RISKONLINEผเขยน : ไพชยนตวมกตะนนทนวนทเผยแพร : 27ธนวาคม2556ปรบปรงลาสด : 27ธนวาคม2556

ในนาทนสำหรบชาวไทยคงไมมใครไมรจกแอปยอดฮตทชอLINEอยางนอยถงไมใชผทใชงานสมารตโฟนกตองเคยไดยนเรองเกยวกบแอปตวนกนมาบางแลวโดยเฉพาะผทตดตามขาวสารทางสอมวลชนตางๆอาจจะเคยไดยนวาเจาหนาทบานเมองมความสนใจในการ“ขอความรวมมอ”จากบรษทNAVERซงเปนเจาของโปรแกรมนในการใหขอมลเกยวกบผใชงานLINEในบางกรณซงผลของมนกคงเปนททราบกนตามทปรากฏในสอตางๆไปแลวจงขอไมกลาวซำในทนอก

ถงแมโปรแกรมประเภทInstantMessagingเชนLINE,WeChatหรอWhatsAppจะมความสามารถปลกยอยเพมเตมอยางไรโดยรปแบบของการสอสารแลวกมลกษณะการทำงานเหมอนๆกนนนคอเปนการรบสงขอความระหวางแอปพลเคชนบนสมารตโฟนกบเครองใหบรการ(Server)ทอยทใดทหนงในรปแบบClient-ServerความจรงเคยมผคดทำInstantMessaging(ตอไปนขอเรยกวาIM)แบบPeer-to-Peerหมายถงแอปพลเคชนสามารถรบสงขอความระหวางกนไดโดยตรงโดยไมผานคนกลางใดๆอยเหมอนกนแตยงมปญหาบางอยางเชนหากผรบไมไดออนไลนอยในเวลานนขอความทสงไปจะไปพกอยทใดหรอขอความจะหายไปเลยกลายเปนขอความทสงไมถง?หรอจะแจงใหผสงทราบวาขอความไมสามารถสงไปถงผรบได?ซงกลวนแตเปนเรองนนาคดทงนน

ในมมมองของผทมความสนใจเรองSecurityนนโปรแกรมประเภทIMกอใหเกดคำถาม หลายอยางซงเกยวกบความมนคงปลอดภยหรอบางครงกเกยวกบความปลอดภยในชวตและทรพยสนของผใชงานเลยทเดยวคำถามทวานอยางเชนขอความทเราสงไปนนจะมใครเหนไดบางขอความจะเปลยนแปลงระหวางทางไดหรอไมขอความทสงไปแลวจะเกบไวทใดเกบไวนานเทาใดคำถามเหลานไมไดเกดแคกบIMยคใหมบนโทรศพทมอถอเทานนแตเกดไดกบทกโปรแกรมทมลกษณะเดยวกนแมแตในโปรแกรมยคกอนสมารตโฟนเชนICQหรอMSNMessengerทเคยเปนเจาตลาดอยในโลกของPC

การทมเครองบรการของคนกลางเปนทสงผานขอความนนสามารถแปลไดงายๆวามคนอยางนอย1คน(หรอกลม)ทสามารถเขาถงขอความของผใชงานไดนนคอคนทสามารถเขาถงเครองใหบรการนไดนนเองคนคนนหรอกลมนตามปกตกคอเจาของเครองใหบรการ(ซงอาจเปนเจาของโปรแกรมIMดวย)แตถาในกรณไมปกตกคงตองรวมเจาหนาทของรฐทไดรบสทธในบางกรณ(เชนหมายศาล)ใหเขาตรวจสอบเครองใหบรการหรอแมกระทงผไมหวงดเชนHackerทลกลอบเขาสเครองใหบรการทกลาวนโดยเจาของเครองไมทราบ


หากแตการเขาถงขอความทรบสงกนผานIMนนไมใชแคการเขาถงเครองใหบรการเทานน ยงมวธอนๆอกทสามารถทำไดเชนการดกรบขอมลกลางทางโดยใชเทคนคทางระบบเครอขาย ทงหลายแตในยคนโปรแกรมทมการรบสงขอมลทางระบบเครอขายสาธารณะกมการใชงานSSL/TLS[1]ซงเปนการเขารหสลบขอความกนเปนปกตอยแลวในกรณนมมมองดานเทคนคกตองถอวามความมนคงปลอดภยตามสมควรตราบใดทกระบวนการตรวจสอบใบรบรอง(DigitalCertificate)ของการเขารหสลบไมมความบกพรองและโปรแกรมมการใชการเขารหสลบตลอดเวลา

อยางไรกตามเมอมาลองพจารณาดในความเปนจรงการใชSSL/TLSในโปรแกรมตางๆโดยเฉพาะ“แอป”ในโทรศพทมอถอกยงเปนสงทนาสนใจอยไมนอยเพราะธรรมชาตของแอปนนตองการใหผใชงานใชไดอยางสะดวกทสดปลอยใหการดำเนนการทงหมดเปนหนาทของแอปดงนนผใชงานจะแนใจไดอยางไรวาแอปนนสอสารผานชองทางทมการรกษาความมนคงปลอดภยของขอความหรอเขารหสลบตลอดเวลาหรอในกรณทแอปพบความผดปกตในกลไกของSSL/TLSเชนพบกบใบรบรองอเลกทรอนกส(DigitalCertificate)ของเครองใหบรการทผดปกตเชนกรณทถกโจมตดวยวธMan-in-the-middle[2]แอปจะปฏบตตวอยางไรในกรณนไมเหมอนกบเวบบราวเซอรทมวธการแสดงผลใหผใชไดทราบอยางชดเจนอยแลว

ไทยเซรตไดทดลองเพอใหทราบถงกลไกการทำงานของแอปเหลานกบแอปทนยมใชกน3ตวคอLINE,WhatsAppและWeChatในชวงเดอนพฤศจกายนทผานมาพบวามการใชงานSSL/TLSกนตามทคาดแตสำหรบแอปทอาจจะเรยกไดวาเปนทสดในบานเราอยางLINEทไดกลาวถงไวขางตนนนกมขอสงเกตทหลายๆคนอาจจะเคยไดยนมาแลวเกยวกบการเขารหสลบขอมลนนคอ มผคนพบวาLINEในรนทตำกวา3.9.2(ขณะททดสอบเปนรน3.8.8)จะไมใชSSL/TLSในการสอสารผานMobileBroadband(GPRS,EDGEหรอ3G,4G)แตในเวลาทสอสารผานเครอขายWiFiกจะมการใชการเขารหสลบตามทควรจะเปนทงนอาจจะเขาใจไดวาเครอขายWiFiสวนมากทใชงานกนโดยเฉพาะPublicHotspotตางๆสามารถถกดกรบขอมลไดงายจงจำเปนตองมการปองกนเอาไวดวยการเขารหสลบแตบนMobileBroadbandโดยเฉพาะ3Gและ4Gยงไมพบวธทจะดกรบขอมล“กลางอากาศ”ได(ระบบ3GในบานเรามพนฐานจากระบบUMTS ทใชKASUMIEncryptionในปจจบนยงไมพบการCrackทสามารถใชงานไดจรง[3])ยกเวน การใชงานในระบบGPRSทอาจใชวธสรางRoguecelltowerเพอดกขอมลในลกษณะคลายRogueAP[4]ของเครอขายWiFiดงทเคยมการสาธตในงานDEFCONมาแลวเมอป2010[5]จงมความจำเปนนอยกวาในเรองการเขารหสลบขอมล

แตอยาลมวาเมอใชงานLINEรนตำกวา3.9.2ผานMobileBroadbandขอมลทไมไดเขารหสลบนนกวงอยในระบบเครอขายของผใหบรการโทรศพทในสภาวะทพรอมจะถกดกรบเปลยนแปลงหรอเปลยนทศทางไดเทากบวาเพมกลมคนทจะเขาถงขอมลไดขนมาอกหลายกลมจากเดมทมเพยงเจาของโปรแกรมLINE(บรษทNAVER)ตอนนกจะมผใหบรการโทรศพทผใหบรการอนเทอรเนต(ISP)ทผใหบรการโทรศพทใชงานอยและISPทบรษทNAVERใชงานอยตลอดจนISPทอยระหวางทางเขาไปอกดวยซงอาจจะมองไดวามความเสยงเพมขนอยางชดเจน

นอกจากนจากการทดลองยงพบอกวาLINEใชวธสอสารทคลายกบHTTPในการสอสารระหวางแอปกบเครองใหบรการโดยมการใชSessionkeyในการทำAuthenticationซงกเปน


รปแบบเดยวกบWebapplicationทวไปซงSessionkeyทกลาวนจากการทดลองดเหมอนจะไมมการหมดอายซงหากถกขโมย(เชนดวยวธการดกขอมล)ผไมหวงดกสามารถเอาไปใชสวมรอยไดตามใจชอบโดยเจาของKeyทถกขโมยไมมทางรตวไดเลยและบรษทNAVERกไมมทางตรวจสอบหรอปองกนไดงายๆเพราะระบบของLINEยอมใหผใชงานเขาถงไดทงผานHTTPและHTTPS(SSL/TLS)[6]พรอมๆกนอยแลว

ณจดนผไมหวงดกไมมความจำเปนจะตองกงวลวาจะใชวธใดในการดกขอมลของผใชอกแลวไมวาตอไปนเจาของKeyจะสงขอมลดวยHTTPSหรอไมเพราะสำหรบกรณนการมSessionkeyยอมมคาเทากบการไดเขาถงขอความของผใชงานโดยตรงนนเอง

รปท1แสดงการใชPythonสงคำสงเลยนแบบLINEโดยใชSessionkeyทถกตอง พบวาสามารถรบขอความไดจรง


บทสรป

แอปประเภทIMบนโทรศพทมอถอไดรบความนยมอยางรวดเรวเนองจากความสะดวก ในการใชงานลกเลนในการสงขอความและคาใชจายในการสงขอความทมอตราทตำกวาSMSมากแตสงทตองทำความเขาใจอยางหนงกคอแอปเหลานไมไดมจดประสงคในดานการเปนSecureCommunicationPlatformเชนเดยวกบEmailทจำเปนตองใชEnd-to-endEncryptionเชนPGP[7]หรอS/MIMEเขาชวยเพอใหเกดความมนคงปลอดภยมากขนการใชSSL/TLS ในแอปไมไดเปนการรบประกนความมนคงปลอดภย100%แตเปนการลดความเสยงทจะมผทไมใชผสงผรบและเจาของแอปจะมาเขาถงขอความไดเทานนนอกจากนกยงขนอยกบวาตวแอปเองจะมการใชงานSSL/TLSอยางถกตองแคไหนดวยเชนมโอกาสหรอไมทแอปจะมการตรวจสอบDigitalCertificateผดพลาดทำใหการโจมตแบบMan-in-the-middleสามารถทำไดสำเรจจนSessionkeyตกอยในมอผไมหวงดหรอมการใชEncryptionspecทตำจนเกนไปหรอมชองโหวจนถกCrackออกซงในฐานะของผใชงานธรรมดายอมไมมโอกาสทจะรรายละเอยดเหลานไดเลยดงนนการใชงานแอปประเภทนจงควรระลกอยเสมอวาความมนคงปลอดภยของการสอสารนนอยในมอของผสรางแอป100%โดยผใชงานไมสามารถควบคมไดเลยยงไปกวานนสำหรบผใชงานทนยมตดตงแอปประเภทนอกระบบทงหลายคอตดตงโดยไมผานระบบPlayStoreหรอAppStoreผเผยแพรแอปนอกระบบเหลานนอาจคดไมซอลกลอบฝงBackdoorหรอลดความสามารถดานความมนคงปลอดภยของแอปนนๆลงโดยผใชงานไมสามารถรไดเลยและอาจตกเปนเหยอของผไมหวงดได

อางอง

1. http://www.etda.or.th/etda_website/mains/display/744


3. http://en.wikipedia.org/wiki/KASUMI

4. http://www.etda.or.th/etda_website/content/1489.html

5. http://www.wired.com/threatlevel/2010/07/intercepting-cell-phone-calls

6. http://www.etda.or.th/etda_website/tha/mains/display/229

7. http://www.etda.or.th/etda_website/mains/display/1671

http://www.etda.or.th/etda_website/mains/display/744


http://en.wikipedia.org/wiki/KASUMI

http://www.etda.or.th/etda_website/content/1489.html

http://www.wired.com/threatlevel/2010/07/intercepting-cell-phone-calls

http://www.etda.or.th/etda_website/tha/mains/display/229

http://www.etda.or.th/etda_website/mains/display/1671


