2

บทความ Cyber Threats 2011 โดย ThaiCERT

ชอเรอง บทความ Cyber Threats 2011 โดย ThaiCERT

เรยบเรยงโดย นายสรณนท จวะสรตน, นายเสฏฐวฒ แสนนาม, นายไพชยนต วมกตะนนทน, นายศภกรณ ฤกษดถพร, นายพรพรหม ประภากตตกล, นายเจษฎา ชางสสงข, นายวศลย ประสงคสข และ ทมไทยเซรต เลข ISBN : 978-974-9765-32-6 พมพครงท 1 ธนวาคม 2554 พมพจ านวน 1,000 เลม ราคา 200 บาท สงวนลขสทธตามพระราชบญญตลขสทธ พ.ศ. 2537 จดพมพและเผยแพรโดย

ศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย (ThaiCERT) ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ สพธอ. เลขท 120 หม 3 ศนยราชการเฉลมพระเกยรต 80 พรรษา 5 ธนวาคม 2550 ถนนแจงวฒนะ แขวงทงสองหอง เขตหลกส กรงเทพฯ 10210 โทรศพท 0-2142-2483 โทรสาร 0-2143-8071 เวบไซตไทยเซรต http://www.thaicert.or.th เวบไซต สพธอ. http://www.etda.or.th เวบไซตกระทรวงฯ http://www.mict .or.th

3

บทความ Cyber Threats 2011

โดย

4

5

ค าน า

ศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย หรอไทยเซรต ไดเรมด าเนนการภายใตส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) กระทรวงเทคโนโลยสารสนเทศและการสอสาร มาตงแตวนท 1 กรกฎาคม พ.ศ. 2554 โดยใหบรการรบแจงเหตภยคกคามดานสารสนเทศ และประสานงานกบหนวยงานทเกยวของในการแกไขปญหาทไดรบแจง ไทยเซรตมวสยทศนใหสงคมออนไลนมความมนคงปลอดภย เกดความเชอมนกบผท าธรกรรมทางอเลกทรอนกส และมพนธกจมงเนนการประสานงานกบหนวยงานในเครอขาย และหนวยงานทเกยวของในการด าเนนการแกไขเหตภยคกคามดานสารสนเทศทไดรบแจง ไทยเซรตมพนธกจเชงรกในการเพมขดความสามารถของทรพยากรบคคลดานการรกษาความมนคงปลอดภยสารสนเทศ และมกจกรรมสรางความตระหนกและพฒนาทกษะความรตางๆ เชน การซกซอมรบมอภยคกคามดานสารสนเทศ และการแลกเปลยนและเผยแพรขอมลขาวสารเกยวกบภยคกคามดานสารสนเทศ หนงสอเลมน เปนรวบรวมบทความท ได เผยแพรผานเวบไซตของไทยเซรต (www.thaicert.or.th) ในชวงระยะเวลาวนท 1 กรกฎาคม - 30 พฤศจกายน พ.ศ. 2554 ซงมเนอหาส าหรบกลมบคคลทวไป และผดแลระบบสารสนเทศ ผจดท าหวงเปนอยางยงวาหนงสอเลมน จะมสวนชวยในการสรางภมคมกนใหกบสงคมออนไลนของประเทศไทย

คณะผจดท า ศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย

ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

6

7

สารบญ

หนา ค าน า ........................................................................................................................ 5

สารบญ ..................................................................................................................... 7

สารบญรป............................................................................................................... 13

สารบญตาราง ......................................................................................................... 15

ความรทวไป ..................................................................................... 17

1. ความเปนมาของไทยเซรต จากกระทรวงวทยฯ สกระทรวงไอซท ................ 19

1.1 บรการของไทยเซรต .............................................................................. 20

1.2 สถตภยคกคามทรายมาทไทยเซรต ........................................................ 22

1.3 ชองทางการตดตอกบไทยเซรต .............................................................. 26

2. ขอเสนอแนะกรอบขนตอนการปฏบตงานการรบมอภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ................................................................................ 27

2.1 เอกสารอางอง ........................................................................................ 30

3. Fall of SSL??? ............................................................................................. 35

3.1 เอกสารอางอง ........................................................................................ 41

4. ขอแนะน าในการใชงาน Social Media ส าหรบผใชงานทวไป ..................... 43

4.1 การใชงานรหสผานอยางมนคงปลอดภย ............................................... 43

4.2 การใชบรการสอและเครอขายสงคมทางเวบอยางมนคงปลอดภย ........ 45

4.3 การใชงานคอมพวเตอรอยางมนคงปลอดภย ......................................... 46

8

5. การจดการไดเรกทอรและไฟลในระบบยนกซ .............................................. 49

5.1 ไดเรกทอรและไฟลในระบบยนกซ ......................................................... 49

5.2 โครงสรางของไดเรกทอรในระบบยนกซ ................................................ 50

5.3 ค าสงทเกยวของกบการใชงานไดเรกทอรและไฟล ................................ 51

5.4 การก าหนดสทธการใชงาน (Permission) ............................................ 58

5.5 เอกสารอางอง ........................................................................................ 64

6. การบรหารจดการผใชบนระบบ UNIX ......................................................... 65

6.1 ประเภทของผใช .................................................................................... 65

6.2 ไฟลทใชก าหนดคาใหกบผใช ................................................................. 66

6.3 ค าสงพนฐานทใชบรหารจดการผใชบนระบบ ........................................ 71

6.4 เอกสารอางอง ........................................................................................ 74

7. ค าสงทเกยวของกบการประมวลผลขอความในระบบปฏบตการ UNIX ....... 77

7.1 ตวอยางค าสงทเกยวของกบการประมวลผลขอความทใชงานบอย ....... 77

7.2 เอกสารอางอง ........................................................................................ 87

8. เพมความปลอดภยให SSH Server ดวย Key Authentication ................ 89

8.1 วธการใชงาน Secure Shell (SSH) ดวย Key Authentication ......... 91

8.2 เอกสารอางอง ........................................................................................ 97

9. เชอมตออยางปลอดภยดวย SSH Tunnel ................................................... 99

9.1 การท า Local Port Forward และ Remote Port Forward ......... 100

9.2 เอกสารอางอง ..................................................................................... 106

รทนภยคกคาม ............................................................................... 107

10. ชองโหวของ Apache HTTPD 1.3/2.X Range Header (CVE-2011-

9

3192) ............................................................................................................. 109

10.1 ขอมลทวไป ....................................................................................... 109

10.2 ผลกระทบ ......................................................................................... 109

10.3 วธการแกไข ...................................................................................... 110

10.4 แหลงขอมลอนๆ ทเกยวของ ............................................................ 111

10.5 เอกสารอางอง .................................................................................. 112

11. เซรฟเวอรในโครงการ Kernel.org ถกเจาะระบบ .................................. 113

11.1 ขอมลทวไป ....................................................................................... 113

11.2 ผลกระทบ ......................................................................................... 114

11.3 ระบบทมผลกระทบ .......................................................................... 114

11.4 วธการแกไข ...................................................................................... 114

11.5 เอกสารอางอง .................................................................................. 114

12. ระวงภย แฮกเกอรออกใบรบรองปลอมของ Google, Yahoo!, Mozilla และอนๆ ......................................................................................................... 115

12.1 ขอมลทวไป ....................................................................................... 115

12.2 ผลกระทบ ......................................................................................... 116

12.3 ระบบทมผลกระทบ .......................................................................... 116

12.4 วธการแกไข ...................................................................................... 117

12.5 เอกสารอางอง .................................................................................. 118

13. APT ภยคกคามใหมหรอแคชอใหมของภยเดม ....................................... 121

13.1 ตวอยางการโจมตแบบ APT ............................................................. 122

13.2 ภยคกคามใหมหรอแคชอใหมของภยเดม ......................................... 122

13.3 เอกสารอางอง .................................................................................. 123

10

14. การแกไขชองโหวเรองความมนคงปลอดภยใน Adobe Reader และ Adobe Acrobat ........................................................................................... 125

14.1 ขอมลทวไป ....................................................................................... 125

14.2 ผลกระทบ ......................................................................................... 125

14.3 ระบบทมผลกระทบ .......................................................................... 126

14.4 วธการแกไข ...................................................................................... 127

14.5 เอกสารอางอง .................................................................................. 129

15. Man-in-the-Middle 101 ...................................................................... 131

15.1 Man-in-the-Browser ..................................................................... 132

15.2 Man-in-the-Mailbox ..................................................................... 133

15.3 ควรรบมออยางไร? ........................................................................... 134

15.4 เอกสารอางอง .................................................................................. 135

16. Zeus Trojan (Zbot) มาโทรจนปลนธนาคารทวโลก ............................. 137

16.1 เอกสารอางอง .................................................................................. 140

17. รจกและปองกนภยจาก Website Defacement ................................... 141

17.1 ตวอยางการโจมตลกษณะ Website Defacement........................ 146

17.2 ควรรบมออยางไร ............................................................................. 147

17.3 เอกสารอางอง .................................................................................. 150

18. ระวงภย มลแวร DuQu โจมตวนโดวสดวยฟอนต .................................. 153

18.1 ขอมลทวไป ....................................................................................... 153

18.2 การท างาน ........................................................................................ 154

18.3 วธการแกไข ...................................................................................... 155

18.4 แหลงขอมลอนๆ ทเกยวของ ............................................................ 155

11

18.5 เอกสารอางอง .................................................................................. 155

19. ชองโหว BIND9 (CVE-2011-4313) ........................................................ 157

19.1 ขอมลทวไป ....................................................................................... 157

19.2 ผลกระทบ ......................................................................................... 157

19.3 ระบบทไดรบผลกระทบ .................................................................... 158

19.4 วธแกไข............................................................................................. 158

19.5 แหลงขอมลทเกยวของ ..................................................................... 158

19.6 เอกสารอางอง .................................................................................. 158

20. การกขอมลจากฮารดดสกทถกน าทวม .................................................... 159

20.1 โครงสรางการท างานของฮารดดสก ................................................. 159

20.2 ความเสยหายทอาจเกดขนไดกบฮารดดสก ...................................... 161

20.3 ท าอยางไรหากฮารดดสกจมน า ........................................................ 162

20.4 การกขอมลจากฮารดดสกทถกลบหรอเขยนขอมลทบ ..................... 163

20.5 การปองกนขอมลสญหาย ................................................................. 164

20.6 ขอมลเพมเตม ................................................................................... 164

20.7 เอกสารอางอง .................................................................................. 165

12

13

สารบญรป หนา

รปท 1 (1-1) สถตภยคกคามในระหวางวนท 1 กรกฎาคม ถง 30 พฤศจกายน 2554 แยกตามประเภทภยคกคาม ....................................................................... 25

รปท 2 (3-1) SSL Certificate ทผดปกตหรอไมเปนทยอมรบ .............................. 37

รปท 3 (4-1) การตงคารหสผานอยางมนคงปลอดภย............................................ 44

รปท 4 (4-2) ไมควรเปดเผยรหสผาน ..................................................................... 44

รปท 5 (4-3) การใชบรการสอและเครอขายสงคมทางเวบ .................................... 45

รปท 6 (4-4) Facebook ....................................................................................... 46

รปท 7 (5-1) โครงสรางของไดเรกทอรในระบบยนกซ ........................................... 50

รปท 8 (5-2) แสดงรายชอไดเรกทอรหรอไฟลทงหมดในไดเรกทอรทระบขอมลแบบละเอยด ใชค าสง ls -l ............................................................................................ 54

รปท 9 (5-3) แสดงรายชอไดเรกทอรหรอไฟลทงหมดในไดเรกทอรทระบแสดงผลอธบายไดตามหมายเลข .......................................................................................... 54

รปท 10 (5-4) การสรางลงก Hard Link ............................................................... 56

รปท 11 (5-5) การสรางลงก Symbolic Link ....................................................... 56

รปท 12 (5-6) การตรวจสอบประเภทของไฟล ...................................................... 57

รปท 13 (5-7) การก าหนดสทธการใชงาน (Permission) ..................................... 60

รปท 14 (6-1) ตวอยางรายละเอยดผใชชอ Oracle [6-4] .................................... 67

รปท 15 (6-2) ตวอยางขอมลรายละเอยดในไฟล /etc/shadow [6-6] ............... 68

รปท 16 (6-3) ตวอยางขอมลรายละเอยดในไฟล /etc/group [6-9] ................... 70

รปท 17 (7-1) Standard Streams [7-2] ............................................................ 82

14

รปท 18 (7-2) การใช Redirection กบ stdout และ stderr .............................. 83

รปท 19 (9-1) แสดงใหเหนถงเสนทางการรบสงขอมลเมอมการใชฟงกชน Port Forward ในอปกรณ Router ............................................................................. 100

รปท 20 (9-2) สภาพแวดลอมของระบบ ............................................................ 101

รปท 21 (9-3) แบบจ าลองการเชอมตอจากค าสง ssh -L 8080:164.115.4.3:80 user1@164.115.4.3 .......................................................................................... 102

รปท 22 (9-4) แบบจ าลองการเชอมตอจากค าสง ssh -L 8080:172.25.1.5:80 user1@164.115.4.3 .......................................................................................... 103

รปท 23 (9-5) แบบจ าลองการเชอมตอจากค าสง ssh -R 8080:122.248.233.17:80 user1@164.115.4.3 ............................................. 105

รปท 24 (9-6) แบบจ าลองการเชอมตอจากค าสง ssh -R 8080:192.168.1.5:80 user1@164.115.4.3 .......................................................................................... 105

รปท 25 (15-1) ภาพประกอบอางองจาก nakedsecurity ................................ 134

รปท 26 (16-1) เวบไซตปลอมทสรางขนเพอหลอกลวงเหยอ [16-4] ................ 138

รปท 27 (16-2) โดเมน .com ทตกเปนเปาหมายของซส [16-5] ....................... 139

รปท 28 (17-1) แสดงใหเหนถงการแจงเตอนถงเวบไซตทถกโจมตจากเวบไซต Search engine ของ Google ............................................................................ 142

รปท 29 (17-2) แสดงใหเหนถงหนาเวบไซตหลกแหงหนงทถก Defacement . 142

รปท 30 (17-3) แสดงใหเหนหนาเวบไซตเมอมการเรยกไฟลสครปตประเภท Web Shell ................................................................................................................... 144

รปท 31 (20-1) ฮารดดสกแบบจานแมเหลก [20-1] .......................................... 159

รปท 32 (20-2) ฮารดดสกแบบ Solid-state [20-3] ......................................... 160

รปท 33 (20-3) คราบฝนทตดอยบนฮารดดสกเมอน าแหง [20-12] .................. 163

15

สารบญตาราง

หนา

ตารางท 1 (1-1) ประเภทภยคกคามของเทคโนโลยสารสนเทศโดย eCSIRT ........ 22

ตารางท 2 (5-1) โครงสรางไดเรกทอรหลกๆ ของระบบยนกซ .............................. 50

ตารางท 3 (7-1) ค าสง head ................................................................................. 78

ตารางท 4 (7-2) ค าสง tail ................................................................................... 78

ตารางท 5 (7-3) ค าสง echo ................................................................................. 79

ตารางท 6 (7-4) ค าสง cat .................................................................................... 79

ตารางท 7 (7-5) ค าสง wc ..................................................................................... 80

ตารางท 8 (7-6) ค าสง grep .................................................................................. 84

ตารางท 9 (7-7) ตวอยาง Regular Expression ................................................... 85

16

17

ความรทวไป

18

19

1. ความเปนมาของไทยเซรต จากกระทรวงวทยฯ สกระทรวงไอซท

ในเดอนกมภาพนธทผานมา คณะรฐมนตรไดมมตใหจดตงส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ สพธอ. ภายใตกระทรวงเทคโนโลยสารสนเทศและการสอสาร และไดมการโอนภารกจของศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย หรอ ไทยเซรต จากศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต ส านกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต กระทรวงวทยาศาสตรและเทคโนโลย มายง สพธอ. เพอใหการด าเนนงานของ สพธอ. ดานการสรางความเชอมนในการท าธรกรรมทางอเลกทรอนกสมความเขมแขง ไทยเซรตได เปดใหบรการอยางเตมรปแบบภายใต สพธอ. มาตงแตวนท 1 กรกฎาคม 2554 โดยมวสยทศนใหสงคมออนไลนมความมนคงปลอดภย เกดความเชอมนกบผท าธรกรรมทางอเลกทรอนกส พนธกจของไทยเซรต มงเนนการประสานงานกบหนวยงานในเครอขาย และหนวยงานทเกยวของในการด าเนนการแกไขเหตภยคกคามดานเทคโนโลยสารสนเทศและการสอสารท ไดรบแจง นอกจากนไทยเซรตยงมพนธกจเชงรกทใหความส าคญกบการพฒนาทรพยากรบคคลเพอเพมขดความสามารถดานการรกษาความมนคงปลอดภย เนองจากงานของไทยเซรตมลกษณะเปนการประสานงานกบหนวยงานตางๆ ไทยเซรตจงมงมนทจะสรางความรวมมอกบหนวยงานทกประเภททงในและตางประเทศในการแกไขเหตภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร เชน ผใหบรการอนเทอรเนต และ ส านกปองกนและปราบปรามการกระท าความผดทางเทคโนโลยสารสนเทศ ส านกงานปลดกระทรวงเทคโนโลยสารสนเทศและการสอสาร ไทยเซรตสรางความรวมมอระหวางประเทศผานเวท FIRST

20

(Forum of Incident Response and Security Teams) ส าหรบความรวมมอกบประเทศทวโลก และเวท APCERT (Asia Pacific CERT) ส าหรบความรวมมอกบประเทศในภาคพนเอเชยแปซฟก ดานการพฒนาทรพยากรบคคล ไทยเซรตใหความส าคญกบการเผยแพรความรและขอมลขาวสารเกยวกบการรกษาความมนคงปลอดภยสารสนเทศ เพอเปนการสรางภมคมกนเบองตนทางดานไอท และจดอบรมสมมนาใหกบผท าธรกรรมทางอเลกทรอนกสเฉพาะกลมทมความตองการขอมลขาวสารเปนการเฉพาะ เชน กลมธรกจการเงนการธนาคาร หรอกลมสถาบนวจยและสถาบนการศกษา นอกจากนเพอใหเกดความเขาใจและไดลงมอปฏบต ไทยเซรตยงจดและรวมในกจกรรมซกซอมการรบมอภยคกคามดานเทคโนโลยสารสนเทศและการสอสารกบหนวยงาน ทงในประเทศและตางประเทศอกดวย

1.1 บรการของไทยเซรต ในการสนบสนนใหสงคมออนไลนมความมนคงปลอดภยและเกดความเชอมนกบผท าธรกรรมทางอเลกทรอนกส ไทยเซรต ใหบรการหลก คอ บรการประสานงานแกไขภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร บรการขอมลขาวสารความมนคงปลอดภยสารสนเทศ และบรการวชาการเกยวกบการรกษาความมนคงปลอดภยสารสนเทศ บรการประสานงานแกไขภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ปจจบนไทยเซรตใหบรการประสานงานแกไขเหตภยคกคามดานเทคโนโลยสารสนเทศและการส อสาร ทางโทรศพทและทางอ เมลแกบคคลท ว ไป สถาบนการศกษาและสถาบนวจย หนวยงานภาครฐและเอกชนทวโลก เมอไดรบแจงเหตผเชยวชาญของไทยเซรตจะตรวจสอบขอมลทไดรบแจงเพอยนยนวาเหตภยคกคามทไดรบแจงไดเกดขนและมอยจรง แลวจงวเคราะหขอมลตอเพอหา

21

หนวยงานทเปนตนเหตของปญหา และด าเนนการประสานงานไปยงหนวยงานดงกลาวเพอใหด าเนนการแกไขปญหา ไทยเซรตมระบบการตดตามความคบหนาของการจดการปญหาภยคกคาม และไดก าหนดมาตรฐานการใหบรการไวคอ ไทยเซรตจะด าเนนการแจงหนวยงานทเกยวของเพอแกปญหาทไดรบแจงและรายงานสถานะการด าเนนงานภายใน 2 วนท าการ มการตดตามผลการด าเนนงานทก 3 วนท าการ

บรการขอมลขาวสารความมนคงปลอดภยสารสนเทศ ไทยเซรตอยในเครอขายความรวมมอของหนวยงานทมบทบาทในการตอบสนองตอการแจงเหตภยคกคาม (Computer Security Incident Response Team: CSIRT หรอ Computer Emergency Response Team: CERT) ซงมภารกจในการแจงเตอนภยคกคามดานเทคโนโลยสารสนเทศและการสอสารทไดรบแจงจากหนวยงาน CSIRT อนๆในเครอขายหรอทตรวจพบกบผใชงานภายในประเทศไทยเพอสรางความตระหนกและความพรอมในการรบมอตอภยคกคามทเกดขน โดยผเชยวชาญของไทยเซรตจะวเคราะหขอมลภยคกคามทมผลกระทบสงกบผใชงาน พรอมเสนอแนะขอควรปฏบตในการรบมอ แกไขหรอปองกนภยคกคามในบทความแจงเตอนภยคกคามของไทยเซรต นอกจากนน ไทยเซรตจดท าขอมลเชงสถตของภยคกคามทรายงานมาทไทยเซรตเผยแพรบนเวบไซตไทยเซรตเปนรายเดอน เพอใชวเคราะหแนวโนมของภยคกคามทเกดภายในประเทศไทย บรการวชาการในการรกษาความมนคงปลอดภยสารสนเทศ ไทยเซรตมผเชยวชาญทมศกยภาพและความรทสามารถใหบรการวชาการในการรกษาความมนคงปลอดภยสารสนเทศกบหนวยงานทงภายในและตางประเทศ ไทยเซรตใหบรการกบหนวยงานภายในประเทศในสวนของการใหค าปรกษาในการวเคราะหขอมลภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร การจดท าแผนและนโยบายทางดานเทคโนโลยสารสนเทศ เพอใหสอดคลองกบมาตรฐานสากลทางดานเทคโนโลยสารสนเทศและสอดคลองกบขอก าหนดของกฎหมาย จด

22

ฝกอบรมสมมนา เพอสรางความตระหนกหรอเสรมสรางศกยภาพของบคลากรของหนวยงานใหสามารถปองกนและแกไขภยคกคามดานเทคโนโลยสารสนเทศและการสอสารจดการซกซอมรบมอภยคกคาม เพอเสรมทกษะและสรางความพรอมในการรบมอภยคกคามของหนวยงาน รวมถงการสนบสนนวทยากรในการบรรยาย เพอสรางความตระหนกและใหความรกบหนวยงานทงในและตางประเทศ

1.2 สถตภยคกคามทรายงานมาทไทยเซรต ตงแตวนท 1 กรกฎาคม ถง 30 พฤศจกายน 2554 ไทยเซรตไดรบแจงเหตภยคกคามจากหนวยงานทงในและตางประเทศโดยเฉลยมากกวา 100 เรองตอเดอน ขอมลเชงสถตเกยวกบเหตภยคกคามทไทยเซรตไดรบแจงสามารถจ าแนกเปน 9 ประเภทตามทไดก าหนดโดย The European Computer Security Incident Response Team (eCSIRT) ซงเปนเครอขายความรวมมอของหนวยงาน CSIRT ในสหภาพยโรป ตารางท 1 (1-1)

ตารางท 1 (1-1) ประเภทภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร โดย eCSIRT

ประเภทภยคกคาม

ค าอธบาย

1 เนอหาทเปนภยคกคาม (Abusive Content)

ภยคกคามทเกดจากการใช/เผยแพรขอมลทไมเปนจรงหรอไมเหมาะสม (Abusive Content) เพอท าลายความนาเชอถอของบคคลหรอสถาบน เพอกอใหเกดความไมสงบ หรอขอมลทไมถกตองตามกฎหมาย เชน ลามก อนาจาร หมนประมาท และรวมถงการโฆษณาขายสนคาตางๆ ทางอเมลทผรบไมไดมความประสงคจะรบขอมลโฆษณานนๆ (SPAM)

2 โปรแกรมไมพงประสงค (Malicious Code)

ภยคกคามทเกดจากโปรแกรมหรอซอฟตแวรทถกพฒนาขนเพอสงใหเกดผลลพธทไมพงประสงค กบผใชงานหรอระบบ (Malicious Code) เพอท าใหเกดความขดของหรอเสยหายกบระบบทโปรแกรมหรอซอฟตแวรประสงครายนตดตงอย โดยปกตโปรแกรมหรอซอฟตแวรประสงครายประเภทนตองอาศย

23

ประเภทภยคกคาม

ค าอธบาย

ผใชงานเปนผเปดโปรแกรมหรอซอฟตแวรกอน จงจะสามารถตดตงตวเองหรอท างานได เชน Virus, Worm, Trojan หรอ Spyware ตางๆ

3 ความพยายามรวบรวมขอมลของระบบ (Information Gathering)

ภยคกคามทเกดจากความพยายามในการรวบรวมขอมลจดออนของระบบของผไมประสงคด (Scanning) ดวยการเรยกใชบรการตางๆทอาจจะเปดไวบนระบบ เชน ขอมลเกยวกบระบบปฏบตการ ระบบซอฟตแวรทตดตงหรอใชงาน ขอมลบญชชอผใชงาน (User Account) ทมอยบนระบบเปนตน รวมถงการเกบรวบรวมหรอตรวจสอบขอมลจราจรบนระบบเครอขาย (Sniffing) และการลอลวงหรอใชเลหกลตางๆ เพอใหผใชงานเปดเผยขอมลทมความส าคญของระบบ (Social Engineering)

4 ความพยายามจะบกรกเขาระบบ (Intrusion Attempts)

ภยคกคามทเกดจากความพยายามจะบกรก/เจาะเขาระบบ (Intrusion Attempts) ทงทผานจดออนหรอชองโหวทเปนทรจกในสาธารณะ (CVE- Common Vulnerabilities and Exposures) หรอผานจดออนหรอชองโหวใหมทยงไมเคยพบมากอน เพอจะไดเขาครอบครองหรอท าใหเกดความขดของกบบรการตางๆของระบบ ภยคกคามนรวมถงความพยายามจะบกรก/เจาะระบบผานชองทางการตรวจสอบบญชชอผใชงานและรหสผาน (Login) ดวยวธการสม/เดาขอมล หรอวธการทดสอบรหสผานทกคา (Brute Force)

5 การบกรกหรอเจาะระบบไดส าเรจ (Intrusions)

ภยคกคามทเกดกบระบบทถกบกรก/เจาะเขาระบบไดส าเรจ (Intrusions) และระบบถกครอบครองโดยผทไมไดรบอนญาต

6 การโจมตสภาพความพรอมใชงานของระบบ

ภยคกคามทเกดจากการโจมตสภาพความพรอมใชงานของระบบ เพอท าใหบรการตางๆของระบบไมสามารถใหบรการไดตามปกต มผลกระทบตงแตเกดความลาชาในการตอบสนองของบรการจนกระทงระบบไมสามารถใหบรการตอไปได ภย

24

ประเภทภยคกคาม

ค าอธบาย

(Availability) คกคามอาจจะเกดจากการโจมตทบรการของระบบโดยตรง เชน การโจมตประเภท DOS (Denial of Service) แบบตางๆ หรอการโจมตโครงสรางพนฐานทสนบสนนการใหบรการของระบบ เชน อาคาร สถานท ระบบไฟฟา ระบบปรบอากาศ

7 การเขาถงหรอเปลยนแปลงแกไขขอมลส าคญโดยไมไดรบอนญาต (Information Security)

ภยคกคามทเกดจากการทผไมไดรบอนญาตสามารถเขาถงขอมลส าคญ (Unauthorized Access) หรอเปลยนแปลงแกไขขอมล (Unauthorized modification) ได

8 การฉอฉล ฉอโกงหรอหลอกลวงเพอผลประโยชน (Fraud)

ภยคกคามทเกดจากการฉอฉล ฉอโกงหรอการหลอกลวงเพอผลประโยชน (Fraud) สามารถเกดไดในหลายลกษณะ เชน การลกลอบใชงานระบบหรอทรพยากรทางสารสนเทศทไมไดรบอนญาตเพอแสวงหาผลประโยชนของตนเอง หรอการขายสนคาหรอซอฟตแวรทละเมดลขสทธ

9 ภยคกคามอนๆ นอกเหนอจากทก าหนดไวขางตน (Other)

ภยคกคามประเภทอนๆ นอกเหนอจากทก าหนดไวขางตน ระบไวเพอเปนตวชวดถงภยคกคามประเภทใหมหรอไมสามารถจดประเภทไดตามทระบไวขางตน โดยถาจ านวนภยคก คามอนๆ ในขอนมจ านวนมากขน แสดงถงความจ าเปนทจะตองปรบปรงการจดแบงประเภทภยคกคามนใหม

เรองทไดรบรายงานสามารถแบงแยกตามประเภทภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร แสดงดงรปท 1 (1-1) โดยสามารถจดล าดบตามจ านวนเหตภยคกคามไดรบแจงไดเปนประเภทใหญๆได 6 ดาน ภยคกคามสวนใหญประมาณ 48% จะเปนภยคกคามดาน การฉอฉล ฉอโกงหรอหลอกลวง เพอผลประโยชน (Fraud) ซงทงหมดในสวนนเปนกรณ Phishing ทเกดกบสถานบนการเงนทงในประเทศและตางประเทศ ซงเปนภยคกคามทสงผลกระทบตอโดยตรง

25

ผใชบรการช าระเงนทางอเลกทรอนกส ในสวนภยคกคามทรองลงมาเปนภยคกคามทเกยวความพยายามทจะโจมตและเจาะระบบ โดยเปนภยคกคามดาน การบกรกหรอเจาะระบบไดส าเรจ (Intrusions) จ านวน 13.6% และภยคกคามดานความพยายามรวบรวมขอมลของระบบ (Information Gathering) จ านวน 13.5% ส าหรบภยคกคามในล าดบถดไปเปนภยคกคามทางดานเนอหาทเปนภยคกคาม (Abusive Content) จ านวน 9.9% ซงทงหมดเปนรายงานภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ทไดรบแจงจากหนวยงานในตางประเทศ และพบวามลกษณะเปนการแจงเตอน SPAM ในล าดบสดทายเปนภยคกคามทางดาน โปรแกรมไมพงประสงค (Malicious Code) จ านวน 9.9%

รปท 1 (1-1) สถตภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ในระหวาง

วนท 1 กรกฎาคม ถง 30 พฤศจกายน 2554 แยกตามประเภทภยคกคาม

ไทยเซรตไดด าเนนการแกปญหาภยคกคามทไดรบแจงไปไดประมาณ 80% สวนอก 20% ทเหลอมการตดตามความคบหนาของการแกไขปญหาทก 3 วน ส าหรบขอมลเชงสถตเกยวกบภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร สามารถดไดท www.thaicert.or.th/statistics.html

26

1.3 ชองทางการตดตอกบไทยเซรต ไทยเซรตไดจดเตรยมชองทางการตดตอเพอแจงเหตภยคกคามไว 2 ชองทาง ประกอบดวย ทางโทรศพทหมายเลข 02-142-2483 เวลา 8.30 – 17.30 น. ทกวนยกเวนวนหยดราชการ และทางอเมลท report@thaicert.or.th

27

2. ขอเสนอแนะกรอบขนตอนการปฏบตงานการรบมอภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ผเรยบเรยง: สรณนท จวะสรตน วนทเผยแพร: 5 ก.ย. 2554 ปรบปรงลาสด: 5 ก.ย. 2554 ศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย (ThaiCERT) จดท าขอเสนอแนะกรอบขนตอนการปฏบตงานการรบมอภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร โดยยดรปแบบและกรอบขนตอนการปฏบตงานทอางองหลกปฏบตสากล [2-1] [2-2] เพอใหหนวยงานหรอองคกรตางๆ สามารถด าเนนการรบมอภยคกคามฯ ไดอยางมประสทธภาพ บรรเทาความเสยหายทเ ก ดข น ให ส ง ผลกระทบน อยท ส ด ป อ งก น ไม ม ก า รล ก ล ามหร อขยา ย วงกวางไปยงจดอนๆ รวมถงปองกนไมใหเกดเหตการณดงกลาวซ าขนอก โดยมขนตอนในการปฏบตงานบรหารจดการภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร 5 ขนตอนดงน

1. การระบเหตและรายงานภยคกคามฯ (Identification and Reporting)

วตถประสงค เพอตรวจสอบและบนทกภยคกคามฯ ประเมนผลกระทบของภยคกคามฯ และระบถงหนวยงาน/บคคลทเกยวของในการแจงเหตและรบมอกบภยคกคามฯ

ตรวจสอบ วเคราะหและบนทกขอมลตางๆ เกยวกบภยคกคามฯ ทไดรบแจง ไดแก

o ผแจง

28

o วนเวลาทไดรบแจง o รายละเอยดทางกายภาพของภยคกคามฯ ประกอบ-

ดวย ประเภทของภยคกคาม ขอมลของเครองทกอเหตและเครองทถกโจมต รวมถงเหตการณภยคกคามทสงเกตได

o ระดบผลกระทบ/ความรนแรงของภยคกคาม ระบหนวยงาน/ผ เกยวของทตองแจงเหตภยคกคามฯ เพอ

ด าเนนการรบมอและแกไขภยคกคามฯ รวมถงการแจงเหตไปยงผบรหารในกรณทภยคกคามฯ มระดบความรนแรงสง ซงอาจสงผลกระทบและความเสยหายกบหนวยงานในวงกวาง

2. การควบคมภยคกคามฯ (Containment)

วตถประสงค บรรเทาความเสยหายทเกดจากภยคกคาม ใหสงผลกระทบนอยทสดและปองกนไมใหมการลกลามหรอขยายวงไปยงจดอนๆ

ประเมนผลกระทบและความเสยหายทจากภยคกคามฯ และด าเนนการบรรเทาหรอควบคมความเสยหายทเกดขนไมใหมการลกลามเพมเตม

ระบแหลงทมาของภยคกคามฯ และด าเนนการก าจดหรอปดชองทางการตดตอตางๆ กบแหลงทมาของภยคกคามฯ

เกบรวบรวม บนทกผลการตรวจสอบ และส าเนาขอมลทงหมดทพบหรอเกยวของกบภยคกคามฯ หลงด าเนนการควบคมภยคกคามฯ ไดส าเรจ เพอใชในกระบวนการตรวจพสจนหลกฐานทางคอมพวเตอร

3. การแกไขและจ ากดภยคกคามฯ (Eradication)

วตถประสงค เพอก าจดเหตของภยคกคามฯทเกด และปองกนไมใหเกดภยคกคามในลกษณะเดมซ าอก

29

วเคราะหและหาสาเหตของภยคกคามฯ ทเกดขน และพรอมด าเนนการแกไขเพอก าจดเหต ซงอาจจะเปนการด าเนนการภายในของหนวยงานเอง หรอ ตดตอขอความชวยเหลอจากหนวยงานภายนอกทมศกยภาพใหด าเนนการใหความชวยเหลอ

ก าจดขอมล โปรแกรม หรอสงแปลกปลอมทงหลายออกจากระบบทถกโจมต

4. การกคนระบบ (Recovery)

วตถประสงค เพอกคนระบบใหอยในสภาพการใหบรการแบบปกต ด าเนนการกขอมลหรอระบบสารสนเทศใหกลบคนสสภาวะปกต

หลงก าจดเหตไดแลว ตรวจสอบอยางถถวน เพอใหมนใจวาระบบสารสนเทศทกคน

หรอทเกยวของจะไดรบการปกปองอยางเหมาะสม เพอปองกนการเกดเหตซ า รวมถงตองมการเฝาระวงเหตอยางใกลชด

5. กจกรรมหลงภยคกคามฯ (Post-Incident Activity)

วตถประสงค ประเมนผลด าเนนการรบมอภยคกคามฯ แจงผลด าเนนการใหผทเกยวของรบทราบ และบนทกรายงานการด าเนน เพอรบมอกบภยคกคามฯ

ประเมนสถานะของระบบและผลกระทบตอขอมลหลงด าเนนการกคนระบบ และแจงผลตอผเกยวของใหทราบ

บนทกรายละเอยดการด าเนนการเพอรบมอภยคกคามฯ ไดแก o ผรบผดชอบด าเนนการ o วนเวลาทด าเนนการ o รายละเอยดทด าเนนการในแตละขนตอน

จดท ารายงานสรปสาเหตและแนวทางในการปองกนไมใหเกดภยคกคามฯ ในลกษณะเดมซ าอก โดยอยางนอยตองประกอบดวย

30

o เหตทท าใหเกดภยคกคาม o ขอผดพลาดทพบในการด าเนนการรบมอภยคกคามฯ o ขอเสนอแนะในปรบปรงขนตอนการด าเนนการรบมอ

ภยคกคามฯ o ทรพยากรทจ าเปนจะตองจดหาเพอปองกนไมใหเกดภย

คกคามในลกษณะเดมซ าอก สามารถใชแบบฟอรมรายงานการรบมอภยคกคามดานเทคโนโลยสารสนเทศและการสอสารในการบนทกรายละเอยดของภยคกคามฯ ในการด าเนนการรบมอและแกไขภยคกคามฯ รวมถงการสรปสาเหตและแนวทางในการปองกนไมใหเกดภยคกคามฯ ตามขอเสนอแนะขางตน

2.1 เอกสารอางอง [2-1] NIST SP800-61 Revision 1 – Computer Security Incident

Handling Guide [2-2] ENISA, A step-by-step approach on how to setup a CSIRT –

Doing Incident Handling

31

โปรดอานค าแนะน ากอนการบนทกขอมล แบบฟอรมรายงานการรบมอภยคกคามฯ น ใชส าหรบบนทกรายละเอยดของภยคกคาม ขนตอนทด าเนนการในการรบมอและแกไขภยคกคามฯ รวมถงการสรปสาเหตและแนวทางในการปองกนไมใหเกดภยคกคามฯ

สวนท 1 การระบเหตและรายงานภยคกคามฯ

(01) ขอมลของผพบ / ผแจงเหต ชอ-นามสกล (นาย/นาง/นางสาว/ยศ) ................................................................................................................................. หนวยงานทสงกด ................................................................................................................................................................. หมายเลขโทรศพท : .…......................................... E-mail : ................................................................................................. วว/ดด/ปป ทพบ/ไดรบแจงภยคกคามฯ ….../...../.... เวลา …... : .... น. อางองเวลาสากลเชงพกดของประเทศไทย (UTC+7)

(02) รายละเอยดทางกายภาพของภยคกคามฯโดยละเอยด ระบสถาานการณหรอเหตภยคกคามฯ ................................................................................................................................ ................................................................................................................................................................................................ ................................................................................................................................................................................................ ................................................................................................................................................................................................

ประเภทของภยคกคาม …................................................................................................................................................

เครองทไดรบผลกระทบ : (ระบ IP Address, OS, Application, และหนาทของเครอง)

…................................................................................................................................................ …................................................................................................................................................ …................................................................................................................................................

เครองทตองสงสยวากอเหต (ระบ IP Address, ชอผลงทะเบยนโดเมน/IP Address และประเทศทตง)

…................................................................................................................................................ …................................................................................................................................................ …................................................................................................................................................

ความเสยหายทพบตอระบบ / ขอมล :

…........................................................................................................................................ ........ …................................................................................................................................................

(03) ระดบความรนแรงของภยคกคามฯ ประเมนผลกระทบและความเสยหายของภยคกคามฯตอหนวยงาน ................................................................................................................................................... ............................................. ................................................................................................................................................................................................

(04) รายชอผเกยวของในการรบมอภยคกคาม ผรบแจงเหต ........................................................................................................................................................................ ผควบคมและสงการในการรบมอภยคกคามฯ ........................................................................................................................ ผด าเนนการควบคมเหต ....................................................................................................................................................... ผด าเนนการแกไขและก าจดเหต ............................................................................................................................................ ผด าเนนการกคนระบบ ........................................................................................................................................................ ผจดท าสรปรายงานภยคกคามฯ ..........................................................................................................................................

แบบฟอรมรายงานการรบมอภยภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

32

สวนท 2 การควบคมภยคกคามฯ (Containment)

(05) การควบคมเหต : ระบรายละเอยดขนตอนในการด าเนนการเพอบรรเทาหรอควบคมความเสยหาย

................................................................................................................................................................................................

............................................................................................................................................................................................ ....

................................................................................................................................................................................................

................................................................................................................................................................................................

................................................................................................................................................................................................

........................................................................................................................................................................................ ........

ด าเนนการเสรจเมอ …..../........./.......(วว/ดด/ปป) ….... : …... (ชวโมง:นาท) อางองเวลาสากลเชงพกดของประเทศไทย (UTC+7)

สวนท 3 การด าเนนการแกไขและก าจดภยคกคามฯ (Eradication)

(06) การก าจดเหต : ระบรายละเอยดขนตอนในการด าเนนการเพอก าจดเหตและปองกนไมใหเกดภยคกคามฯ ซ าอก

................................................................................................................................................................................................

............................................................................................................................................................................................ ....

................................................................................................................................................................................................

................................................................................................................................................................................................

................................................................................................................................................................................................

........................................................................................................................................................................................ ........

ด าเนนการเสรจเมอ …..../........./.......(วว/ดด/ปป) ….... : …... (ชวโมง:นาท) อางองเวลาสากลเชงพกดของประเทศไทย (UTC+7)

สวนท 4 การกคนระบบ (Recovery)

(07) การกคนระบบ : ระบรายละเอยดขนตอนในการด าเนนการเพอกขอมลหรอระบบใหกลบคนสภาวะปกต

................................................................................................................................................................................................

............................................................................................................................................................................................ ....

................................................................................................................................................................................................

................................................................................................................................................................................................

................................................................................................................................................................................................

........................................................................................................................................................................................ ........

ด าเนนการเสรจเมอ …..../........./.......(วว/ดด/ปป) ….... : …... (ชวโมง:นาท) อางองเวลาสากลเชงพกดของประเทศไทย (UTC+7)

แบบฟอรมรายงานการรบมอภยภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

33

สวนท 5 กจกรรมหลงภยคกคามฯ (Post-Incident Activity)

(08) ประเมนสถานะของระบบเทคโนโลยสารสนเทศหลงจากด าเนนการ

[ ] สามารถใหบรการไดตามปกต และมความมนคงปลอดภย [ ] สามารถใหบรการไดเพยงบางสวน

[ ] ไมสามารถใหบรการได เนองจากเหตผลดานความมนคงปลอดภย [ ] ไมสามารถใหบรการได เนองจากเหตอน

รายละเอยด ........................................................................................................................................................................ ................................................................................................................................................................................................ ............................................................................................................................................................................................ ....

(09) ผลกระทบตอขอมลหลงการด าเนนการ

[ ] ขอมลอยในสภาพปกต [ ] สามารถกคนขอมลไดเปนสวนมาก

[ ] สามารถกคนขอมลไดบางสวน [ ] ไมสามารถกคนขอมลได หรอขอมลทกคนไมสามารถใชงานได

รายละเอยด ........................................................................................................................................................................ ................................................................................................................................................................................................ ................................................................................................................................................................................................

(21) การแจงผลการด าเนนการตอผเกยวของ (ระบ ชอผรบแจง/วนเวลาทแจง/รายละเอยดเรองทแจง) : ................................................................................................................................................................................................ ............................................................................................................................................................................................ .... ................................................................................................................................................................................................

(22) สรปเหตทท าใหเกดภยคกคาม : ................................................................................................................................................................................................ ................................................................................................................................................................................................ ................................................................................................................................................ ................................................

(13) ขอผดพลาดทพบในการรบมอภยคกคาม : ................................................................................................................................................................................................ ............................................................................................................................................................................................ .... ................................................................................................................................................................................................

(14) ขอเสนอเพอปรบปรง : . ................................................................................................................................................................................................ ............................................................................................................................................................................................ .... ................................................................................................................................................................................................

ลงนาม :….........................................................ผสรปรายงานภยคกคามฯ …......../............../............... (วว/ดด/ปป)

ETDA-OOS-ThaiCERT-2554 Rev.01 ศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย (ThaiCERT)

แบบฟอรมรายงานการรบมอภยภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

34

35

3. Fall of SSL??? ผเรยบเรยง: ไพชยนต วมกตะนนทน และ สรณนท จวะสรตน วนทเผยแพร: 22 ก.ย. 2554 ปรบปรงลาสด: 23 ก.ย. 2554 หลายคนคงจะทราบดอยแลววาเทคโนโลย SSL (Secure Sockets Layer) [8-1] มประโยชนในการรกษาความมนคงปลอดภย (Security) ของขอมลทสงผานระบบเครอขายโดยเฉพาะบนเครอขายอนเทอรเนต ซงการสอสารขอมลระหวางผใชงานบนเครอขายอนเทอรเนตและเครองแมขายปลายทาง (เชน Web Server) จ าเปนทจะตองสงตอผานเครอขายอนเทอรเนตสาธารณะหลายเครอขายกวาขอมลจะถงปลายทาง ในรปแบบการสอสารผานเครอขายอนเทอรเนตน ภยคกคาม (Threat) ทอาจจะเกดขนจากผไมประสงคดคอ "การถกดกฟง(อาน)ขอมล" (Eavesdropping) ดงนน SSL จงเปนเทคโนโลยทถกพฒนาขนมาใชจดการกบภยคกคามชนดนโดยตรง เพราะดวยความสามารถในการเขารหสลบขอมล (Encrypt) กอนทจะถกสงผานเครอขายไปถงผรบปลายทาง ถงแมผใชงานบางสวนจะไมเขาใจหลกการท างานของเทคโนโลย SSL เทาใดนก แตผใชสวนใหญมกจะรบทราบวา หากเวบไซตปลายทางใชโพรโทคอล HTTPS แทนทจะเปนโพรโทคอล HTTP ตามปกตแลว แสดงวาขอมลทสอสารกนอยนนถกเขารหสลบเอาไว ซงเปนความเขาใจทถกตองเพยงแตวาตามหลกการเขารหสลบทกชนดนน ขอมลจะยงคงเปนความลบและมความมนคงปลอดภยจากการถกปลอมแปลงหรอดกอานขอมลได กตอเมอกญแจ (Key) ทใชเขารหสลบนนไมรวไหลหรอถกเปดเผยกบผอนทไมใชคสนทนา เพอใหเกดความเขาใจในเรองน จงจ าเปนจะตองเขาใจกลไกของ SSL ในเบองตนกอน กลไกของ SSL มการท างานสองขนตอน โดยขนตอนแรกอาจจะเรยกวาขนตอน Hand-shaking คอเปนการตรวจสอบขอก าหนดระหวาง Client กบ Server วาจะ

36

ยอมสอสารขอมลกนหรอไม ซงตามกลไกของ SSL จะเปนการตรวจสอบขางเดยว คอ Client ซงในทนคอ Web Browser จะเปนผตรวจสอบใบรบรอง SSL (SSL Certificate) ท Web Server สงมาให และตรวจสอบการตงคาส าหรบการเขารหสลบขอมลตางๆ (Encryption specification) ของ Web Server วาถกตองเหมาะสมหรอไม จากนน Client จะเปนผสราง Key ส าหรบการเขารหสลบขอมลแบบกญแจสมมาตร (Symmetric Key Cryptography) แลวสงไปให Server ใชในการเขารหสลบขอมลเพอสอสารกบ Client ในขนตอนท 2 ของ SSL ตอไป [3-1] Symmetric Key ท Client สงไปให Server จะถกเขารหสลบเพอปองกนไมใหถกลกลอบอานไดด วยรปแบบการเขารหส ลบขอมลแบบกญแจอสมมาตร (Asymmetric Cryptography) เพอปองกนไมใหผอนนอกเหนอจาก Server ซงเปนผเดยวทม Private Key ของ SSL Certificate นนใชถอดรหสลบขอมล เพออาน Symmetric Key ท Client สงมาให ซงกลไกนไดรบการยอมรบวาเปนกลไกทมความมนคงปลอดภยและสมบรณแบบอยแลว [3-2] เพยงแตความส าคญของกลไกนอยทขนตอนแรกของกลไก SSL ท Client จะรบ SSL Certificate มาเพอตรวจสอบในขนน Client จะตองแนใจวา SSL Certificate ทไดรบนน เปน SSL Certificate ของ Server ทก าลงตดตออยจรง โดยปกต Web Browser จะท าการตรวจสอบ SSL Certificate โดยอตโนมต หาก Web Browser พบวามความผดปกต เชน ชอโดเมนเนมของเวบไซตไมตรงกบ SSL Certificate ทใชงานบน Server หรอ ผใหบรการออกใบรบรอง CA (Certificate Authority) ทออก SSL Certificate ไมเปนทรจก (หรอไมไดรบความเชอถอจาก Web Browser) หรอ SSL Certificate หมดอายการใชงาน Web Browser จะขนขอความเตอนผใชวาเกดความผดปกตขน ถาผใชงานเลอก ทจะยอมรบ Certificate ท Web Browser พบวาความผดปกตน กลไกการสอสารดวย SSL กจะเขาสขนตอนการแลกเปลยน Symmetric Key ทจะใชในการสอสารขอมลระหวาง Server กบ Client และเรมการสอสารขอมลตอไปตามปกต ซงตามหลกการแลวในเมอ SSL Certificate นนผดปกต อาจมสาเหต

37

จากผไมประสงคดก าลงพยายามโจรกรรมขอมล (Traffic Hijacking) ในรปแบบใดรปแบบหนงอย เชน การดกอานขอมล การปลอมแปลงขอมล เปนตน SSL Certificate ทผดปกตนอาจถอเปนสงบอกเหตแบบหนงวาการสอสารขอมลนก าลงถกโจมตอย และตามหลกทฤษฎของการใชงานสารสนเทศอยางมนคงปลอดภยไดแนะน าใหผใชงานควรยกเลกสอสารขอมลกบ Web Server นนตอไป เพราะมความเสยงทขอมลทสอสารกนอาจจะถกดกอานหรอปลอมแปลงจากผไมประสงคดได

รปท 2 (3-1) SSL Certificate ทผดปกตหรอไมเปนทยอมรบ

อยางไรกตามในทางปฏบต ในบางสถานการณ Web Server ทใชงาน SSL Certificate ทผดปกตหรอไมเปนทยอมรบ อาจเกดจากการท SSL Certificate นน ถกสรางขนโดยใชวธทเรยกวา Self-Sign [3-3] โดยเฉพาะ Web Server ทใชภายในองคกรหลายแหง SSL Certificate ชนดน Web Browser จะถอวาไมไดถกรบรองโดย CA ท Web Browser เชอถอ ท าให Web Browser ขนขอความเตอน

38

ผใชวาเปน SSL Certificate ทผดปกต บางครง SSL Certificate ทใชกบ Server ภายในเหลานอาจจะมความผดพลาดในการก าหนดคาอนๆ อกหลายอยาง เนองจากการขาดความตระหนกของภยคกคามทอาจจะเกดขนของผดแลระบบ เพราะคดวาเปนเรองของ Server ทใชงานภายใน จงไมมความจ าเปนจะตองตงคาตดตงตางๆ ใหถกตอง ท าใหผใชงานในองคกรเหลานเกดความเคยชนทจะยอมรบ SSL Certificate ทผดปกต หรอมองวาการตรวจสอบ Certificate เปนเรองไมจ าเปน เมอ ผใชงานเคยชนทจะยอมรบ SSL Certificate ทผดปกต ท าใหคณสมบตของการใชงานเทคโนโลย SSL ในการรกษาความมนคงปลอดภยของขอมล ทงในดานการพส จนความแทจร ง (Authenticity) และ การรกษาความลบ (Confidentiality) เสอมลง เพราะเมอไมสามารถรบประกนไดวา SSL Certificate มาจาก Server ทแทจรง กไมสามารถรบประกนไดวาขอมลทสอสารภายใต SSL จะไมรวไหลไปสผอนทไมใชคสนทนาเชนกน แตถงแมผใชงานจะมความตระหนกในเรอง Security ทด ไมยอมรบ SSL Certificate ทผดปกต ระบบการท างานของ SSL กยงมชองโหวทส าคญ นนคอ ชองโหวในกลไกการท างานของ SSL และความเชอถอของหนวยงานกลางทท าหนาทออกใบรบรอง ซงในทนคอ CA ทมหนาทรบรองความถกตองของ Server ปลายทางใหกบผใชงานในลกษณะเดยวกบการทลกคาใหความเชอถอผลตภณฑใดๆ เพราะผลตภณฑนนไดรบการรบรองจากหนวยงานทลกคาเชอถอนนเอง จะเกดอะไรขนหาก CA ทไดรบการยอมรบในระดบสากลมกระบวนการท างานทหละหลวม ไมมการตรวจสอบผขอ Certificate ใหแนชดวาเปนเจาของ Server จรงหรอไม เชน ผไมประสงคดทตองการดกขอมลของ Gmail มาขอให CA ออก Certificate ของ Gmail ถาหาก CA ไมมการตรวจสอบทดวาผขอเปนผรบผดชอบหรอเปนเจาของ Gmail หรอไม แลว CA ออก Certificate ใหไป Certificate นนกจะสามารถน าไปใชดกขอมลของ Gmail ในลกษณะ Traffic Hijacking ไดอยางแนบเนยน เพราะ Certificate ทออกมาจาก CA ทไดรบการยอมรบในระดบสากล

39

โดยตรงแบบน และเปน CA ท Web Browser เชอถอกจะไมท าให Web Browser แสดงขอความเตอนแตอยางใด ทผานมาหลายคนคงจะจ าไดวามรายงานขาวกรณเกยวกบการโจมต CA เพอลกลอบออก Certificate ปลอมของเวบไซตชอดงหลายแหงมาแลว 2 ครง อยางในครงลาสดมรายงานวามการตรวจพบในชวงเดอน ก.ค. ทผานมานเอง โดย Hacker ไมทราบกลม และจดประสงคทแนชด ไดท าการโจมตระบบการออก Certificate ของ DigiNotar ซงเปน CA ระดบ Root CA ของประเทศ Netherland [3-4] ในรายงานการวเคราะหทเชอถอได พบวา Hacker กลมหรอบคคลดงกลาว ไดออก Certificate ปลอมส าหรบเวบไซตตางๆ ไปมากกวา 200 ใบ (บางรายงานอางวามากกวา 500 ใบ) รวมถงการออก Certificate ปลอมกบโดเมนเนมของ google.com ในกลมผเชยวชาญทางดาน Security กลาววามขอมลทไมสามารถยนยนแหลงขาวไดระบวามรฐบาลของบางประเทศ พยายามลกลอบดขอมลการใชอเมลของบคคลทรฐบาลประเทศดงกลาว เชอวามแนวคดในทางตอตานรฐบาล โดยความพยายามดงกลาวไดมมาตอเนองเปนระยะเวลาไมต ากวา 1 ปแลว หากมการตรวจพบการทจรตหรอการโจมตตามทกลาวขางตนในบรการการออกใบรบรอง CA สามารถยกเลก (Revoke) Certificate ทมปญหาไดตลอดเวลาตามเงอนไขของการใหบรการ โดย CA อาจจะเผยแพรรายการของ Certificate ทถกยกเลกออกมาตามระยะเวลาทก าหนด (อาจเรวกวาก าหนดไดหากมเหตจ าเปนฉกเฉน) รายการนเรยกวา CRL (Certificate Revocation List) ซงมกจะมอยในเวบไซตของ CA แตละราย หรอทอนๆ ตามท CA ก าหนด และ Client จะตอง Update ขอมลนอยางสม าเสมอ เพอใหสามารถตรวจจบ Certificate ทมปญหาไดอยางทนทวงท อกวธคอ CA จะใชกลไกทเรยกวา OCSP (Online Certificate Status Protocol) ซงคลายกบ Directory service ท Client สามารถเขามาตรวจสอบสถานะของ Certificate ไดแบบ Real-time แตในความเปนจรงผใชงานสวนมากไมไดตงคาให Web Browser ท าการตดตอกบ CA เพอปรบปรงขอมลของ CRL อยตลอดเวลา หรอไมไดตงคาใหท าการตรวจสอบ

40

กบ OCSP ทกครงทมการเชอมตอแบบ SSL ท าใหกวาทจะรวา Certificate ใดมปญหากอาจสายเกนไป และถงแม Web Browser จะรบรวา Certificate นถกยกเลกแลว และขนขอความเตอนผใชกตามกยงขนอยกบผใชวาจะสนใจค าเตอนนนหรอไมอกขนหนงดวย ยงไปกวานนในงาน Ekoparty ซงเปนงานสมมนาดานความมนคงปลอดภยสารสนเทศทจะจดขนในประเทศอารเจนตนา ในวนท 23 กนยายน 2554 จะมการบรรยายและแสดงวธการโจมตการเชอมตอแบบ SSL (และ TLS ซงเปนรปแบบทใหมกวา) ดวยโปรแกรมซงมชอเรยกวา BEAST (Browser Exploit Against SSL/TLS) โดยการโจมตรปแบบนจะอาศยการท างานของ Malicious code ทท างานอยบน Client เพอดกจบขอมลใน Web Browser ซงผทคนพบรปแบบการโจมตนระบวา ขอมลทดกจบมาไดนสามารถชวยใหการถอดรหสขอมลทปองกนดวย SSL ของ Client ไดโดยไมตองใช Key หรอไมตองวนวายกบการท า Traffic Hijacking แตอยางใด [3-5] ในความเปนจรงรปแบบการโจมตนไมใชของใหม เพราะเปนการอาศยจดออนในกลไกการเขารหสลบขอมลของ SSL และ TLS รนแรกททราบกนมานานแลว[8-6] และแมจะมการพฒนาและปรบปรง TLS 1.1 และ 1.2 เพอแกไขจดออนดงกลาว แตเนองจากยงไมมการคนพบวามผสามารถใชประโยชนจากจดออนนได อยางจรงจงท าใหยงไมมการสนบสนน TLS รนใหมเทาทควร ทงในดาน Server และ Client ซงการคนพบการโจมตทใชจดออนน และมการพสจนวาสามารถใชงานไดจรง นาจะเปนการกระตนใหเกดความตระหนกในภยคกคามของเทคโนโลย SSL ในกลมอตสาหกรรม IT ไดอยางจรงจง หรอแมกระทงเกดผลกระทบท าใหผใหบรการธรกรรมทางอเลกทรอนกสบางราย จ าเปนตองหยดใหบรการชวคราวเพอแกไขปญหาดงกลาว ดงจะเหน ไดวา SSL เปนกลไกในดานความมนคงปลอดภยทขนอยกบปจจยภายนอกอยางมาก ทงความนาเชอถอของหนวยงานกลางทท าหนาทออกใบรบรอง (CA) และความตระหนกในภยคกคามทเกยวของกบการใชงาน Certificate ทไม

41

ถกตองของผใชงาน หรอการใชงานเทคโนโลย SSL ในรนแรกทมชองโหว ซงไดเหนแลววาปจจยภายนอกทงหลายนก าลงถกทาทายอยางหนก จนอาจจะเรมมค าถามวาถงเวลาหรอยงทผทเกยวของจะตองใสใจและใหความตระหนกถงภยคกคามทเกดกบเทคโนโลย SSL อยางจรงจง เพอการรกษาความมนคงปลอดภยของการสอสารขอมลหรอบรการธรกรรมทางอเลกทรอนกสบนเครอขายอนเทอรเนต

3.1 เอกสารอางอง [3-1] TLS, http://en.wikipedia.org/wiki/Secure_Sockets_Layer [3-2] HTTP_Secure, http://en.wikipedia.org/wiki/HTTP_Secure [3-3] Self-signed certificate, http://en.wikipedia.org/wiki/Self-

signed_certificate [3-4] ระวงภยแฮกเกอรออกใบรบรองปลอมของ Google Yahoo! Mozilla

และอนๆ, http://www.thaicert.or.th/alerts/home/2011/ al2011ho0001.html

[3-5] Hackers break SSL encryption used by millions of sites, http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

[3-6] A CHALLENGING BUT FEASIBLE BLOCKWISE-ADAPTIVE CHOSEN-PLAINTEXT ATTACK ON SSL, http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.61.5887

42

43

4. ขอแนะน าในการใชงาน Social Media ส าหรบผใชงานทวไป ผเรยบเรยง: ทมไทยเซรต วนทประกาศ: 3 ต.ค. 2554 ปรบปรงลาสด: 10 ต.ค. 2554 ปจจบนสอสงคมและเครอขายสงคมออนไลน (Social media and Social network) ไดถกน ามาใชเพอแบงปนเรองราว ประชาสมพนธหนวยงาน หรอใชเปนแหลงแลกเปลยนขอมล เนองจาก สามารถใชงานไดอยางสะดวกสบายและรวดเรว ท าใหไดรบความนยมเปนอยางสง ศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย (ThaiCERT) มขอแนะน าเบองตนในการใชงานสอสงคมและเครอขายสงคม ส าหรบผใชทวไป ดงน

4.1 การใชงานรหสผานอยางมนคงปลอดภย

• การตงคารหสผานทใชในการลอกอนเขาสเวบไซตหรอระบบตางๆ จะตองเปนรหสผานทคาดเดาไดยาก เพอลดความเสยงกรณทผประสงครายทพยายามจะสมรหสผานเพอใชลอกอนบญชผใชงานของผอน การตงคารหสผานทมนคงปลอดภยมขอแนะน า ดงน 1. รหสผานควรมความยาวไมต ากวา 8 ตวอกษร เชน Ro23w%9T

2. รหสผานควรประกอบไปดวยตวอกษรพมพเลก พมพใหญ ตวเลข และอกขระพเศษ

44

รปท 3 (4-1) การตงคารหสผานอยางมนคงปลอดภย

• การตงค าถามทใชในกรณกคนบญชผใชงาน (Forget password) ควรเลอกใชขอมลหรอค าถามทเปนสวนบคคลและควรเปนขอมลทผอนคาด เดายาก เพอปองกนการสมค าถามค าตอบจากผประสงคราย

• ไมควรบนทกรหสผานไวในทซงงายตอการสงเกตเหนของบคคลอน เชน จดรหสผานวางไวบนโตะ หรอเขยนโนตตดไวบนหนาจอคอมพวเตอร

รปท 4 (4-2) ไมควรเปดเผยรหสผาน

• ไมควรเปดเผยรหสผานใหแกบคคลอนลวงร เพอลดความเสยงตอการถกขโมยรหสผานจากบคคลทสาม

• ไมควรก าหนดคาใหเวบเบราวเซอร (web browser) ชวยจ ารหสผานทใชในการเขาถงเวบไซต (Remember password) เนองจาก มความเสยงทจะถกขโมยบญชผใชงานหรอแกะรอยรหสผานจาก เครองคอมพวเตอรนนๆ

45

4.2 การใชบรการสอและเครอขายสงคมทางเวบอยางมนคงปลอดภย

• การไดรบอเมลแจงเตอนจากเวบไซตตางๆ ในลกษณะเชอเชญใหคลกลงกทแนบมาในอเมล ผใชงานควรสงสยวาลงกดงกลาวเปนลงกทไมปลอดภย (ลงกทมความประสงคจะหลอกลวงเพอขโมยขอมลสวนบคคล เชน รหสผาน โดยวธการตางๆ) และสามารถแจงลงกตองสงสยมายง report@thaicert.or.th เพอตรวจสอบตอไป

• ปจจบนเวบไซตทใหบรการสอและเครอขายสงคมไดเปดชองทางเกยวกบความมนคงปลอดภยเพมเตม เพอใหผใชงานสามารถเชอมตอเวบไซตผานชองทางทมการเขารหสลบขอมล เพอปองกนการดกจบขอมลระหวางทางจากผประสงคราย โดยกระบวนการดงกลาวเปนการเชอมตอเวบไซตผานรปแบบทเรยกกนวา HTTPS ซงผใชงานทวไปสามารถใชชองทางดงกลาวไดทนท โดยเรยนใชผานการพมพ https:// ตามดวยชอเวบไซต เชน https://www.facebook.com

รปท 5 (4-3) การใชบรการสอและเครอขายสงคมทางเวบ

• ใชกระบวนการยนยนตวตน (Authentication) แบบ Two-factor Authentication ซงเปนวธการทมความมนคงปลอดภยสงกวาการเขาสเวบไซตโดยการลอกอนโดยใชรหสผานเพยงอยางเดยว ซงกระบวนการยนยนตวตนดงกลาว จะใชการยนยนตวตนดวยรหสผานรวมกบวธการอนๆ เชน การยนยนรหสผานชวคราวทไดจาก SMS หลงจากลอกอนครงแรกแลว เปนตน โดยปจจบนเวบไซตทใหบรการสอและเครอขายสงคมทรองรบกระบวนการดงกลาว ไดแก Facebook

46

รปท 6 (4-4) Facebook

• เนองจากเวบไซตบรการสอและเครอขายสงคมออนไลนสวนใหญ มการจดเตรยมชองทางในการกคนบญชผใชงานหรอกคนรหสผาน (Forget password) โดยสวนใหญจะใชชองทางสอสารผานอเมลของผใชงาน ซงกอาจเปนปจจยหนงใหผประสงครายเขาโจมตผานชองทางอเมล จากนน จงใชชองทางดงกลาวเขาควบคมบญชเครอขายสงคมตางๆ ตอไป

• ไมเผยแพรขอมลส าคญไมวาสวนบคคลของของตนเอง ผอน และขององคกร ในเวบไซตบรการสอและเครอขายสงคมออนไลน

• พงระลกไวเสมอวาขอมลตางๆ ทเผยแพรไวบนบรการสอและเครอขายสงคมนน คงอยถาวร ผอนอาจเขาถง และเผยแพรของขอมลนได

• ไมควรใชบรการสอและเครอขายสงคมออนไลนในการเผยแพรขอความหรอขอมลทไมเหมาะสมตางๆ ซงมผลกระทบตอสทธของผอนโดยไมเปนธรรม

4.3 การใชงานคอมพวเตอรอยางมนคงปลอดภย

• ตดตงซอฟตแวรปองกนไวรส และอพเดทฐานขอมลไวรสของโปรแกรมอยเสมอ

• อพเดทระบบปฏบตการและซอฟตแวรเวบเบราวเซอร (web browser)

47

อยเสมอ

• ไมควรตดตงโปรแกรมเสรมจากผพฒนาอน (3rd Party Application) นอกเหนอจากโปรแกรมทพฒนาโดยเจาของบรการสอและเครอขายสงคม เนองจาก ผใชงานมความเสยงจากการถกลกลอบ ปลอมแปลง หรอขโมยขอมลส าคญของผใชงานได

• ควรละเวนการใชเครอขายอนเทอรเนตหรอเครองคอมพวเตอรทใหบรการในทสาธารณะ หรอจากผใหบรการทไมนาเชอถอ เชน เครอขายไรสาย (Wi-Fi) หรอเครองคอมพวเตอรทไมสามารถระบผใหบรการได ซงอาจเปนชองทางใหผไมประสงคดลกลอบขโมยขอมลส าคญ เชน รหสผานของผใชงาน เปนตน

48

49

5. การจดการไดเรกทอรและไฟลในระบบยนกซ ผเรยบเรยง: เสฏฐวฒ แสนนาม วนทเผยแพร: 5 พ.ย. 2554 ปรบปรงลาสด: 9 พ.ย. 2554 ยนกซ (นยมเขยนวา Unix แตชอตามเครองหมายการคาคอ UNIX) เปนชอของระบบปฏบตการทถกพฒนาขนโดยนกวจยทศนยวจย Bell Labs จากบรษท AT&T ในป ค.ศ. 1969 ถกออกแบบมาเพอใหมความสามารถหลกๆ คอรองรบการประมวลผลโปรแกรมไดหลายตวพรอมกน (Multi-tasking) และรองรบผใชงานหลายคน (Multi-user) ในปจจบนระบบยนกซไดมการพฒนาเพมเตมเพอใหสามารถท างานไดบนฮารดแวรทหลากหลาย รวมถงถกใชเปนโครงสรางของระบบปฏบตการสมยใหมหลายระบบปฏบตการ เชน BSD, Solaris, Mac OSX หรอ ระบบปฏบตการทท างานคลายยนกซ (Unix-like) เชน Linux หรอ Android อกดวย [5-1] ในระบบยนกซนน จะมการจดการไดเรกทอรและไฟลทเปนมาตรฐาน โดยพจารณาทรพยากรทกอยางบนระบบในรปของไฟลไมเวนแมกระทงฮารดแวร หรอโปรเซสทรนอยในหนวยความจ า ซงการออกแบบโครงสรางดงกลาวนมขอดคอ ถาผใชสามารถก าหนดสทธการใชงานใหกบไฟลใดๆ ได กจะสามารถก าหนดสทธใหกบทรพยากรอนๆ ทอยในระบบยนกซได ดงนน ในบทความนจงน าเสนอเนอหาทเกยวของกบการจดการไดเรกเทอรและไฟลในระบบยนกซ เบองตนส าหรบผทสนใจหรอผทเรมใชงานระบบยนกซ

5.1 ไดเรกทอรและไฟลในระบบยนกซ • ไฟล (File) คอสงทใชแทนต าแหนงของขอมลทอยในหนวยความจ า

โดยทวไปการตงชอไฟลนยมใชเครองหมาย . ในการแยกชอกบสวนขยาย

50

ของไฟล (File Extension) เพอระบวาไฟลนเปนประเภทอะไร

• ไดเรกทอร (Directory) คอพนทเสมอนในคอมพวเตอร มไวส าหรบจดเกบไฟลหรอไดเรกทอรอนๆ ใหอยในพนทเดยวกน

5.2 โครงสรางของไดเรกทอรในระบบยนกซ ไดเรกทอรในระบบยนกซจะอางองโครงสรางขอมลแบบตนไมหวกลบ จากรากของตนไมทแตกรากสาขาจากดานบนลงสดานลาง โดยมสวนทอยดานบนสดเรยกวา root ซงแทนดวยเครองหมาย / ดงรปท 7 (5-1)

ภาพจาก: http://www.ualberta.ca/

รปท 7 (5-1) โครงสรางของไดเรกทอรในระบบยนกซ

จาก root จะประกอบดวยไดเรกทอรยอยอยภายใน แตละไดเรกทอรจะใชส าหรบจดเกบไฟลทมการท างานคลายคลงกน โครงสรางไดเรกทอรหลกๆ ของระบบยนกซเปนดงน

ตารางท 2 (5-1) โครงสรางไดเรกทอรหลกๆ ของระบบยนกซ

ไดเรกทอร หนาท / root /bin เกบโปรแกรมทเปนค าสงของระบบ /boot เกบ Kernel (โปรแกรมสวนทเปนการท างานหลกของระบบปฏบตการ)

และไฟลทเกยวของกบการเรมตนระบบ

51

ไดเรกทอร หนาท /dev เกบไฟลทเปนสวนตดตอของอปกรณตางๆ เชน ดสก เครองพมพ ฯลฯ /etc เกบไฟลทใชส าหรบก าหนดคาการท างานและไฟลทเกยวของกบการ

เรมตนระบบ /home ไดเรกทอร home ของผใช ตงชอตามชอบญชผใช /lib เกบไฟลไลบรารของระบบ /media mount point ของอปกรณเกบขอมลแบบถอดได (มใน

ระบบปฏบตการสมยใหม) /mnt mount point ของอปกรณเกบขอมลแบบถอดได /opt เกบโปรแกรมทผใชตดตงเพมเตมซงไมเกยวของกบระบบหลก /proc ไฟลขอมลของโปรเซสทงหมดทอยในหนวยความจ า /root ไดเรกทอร home ของ root (บางระบบปฏบตการจะอยใน /home) /sbin เกบโปรแกรมทเปนค าสงของระบบทตองใชสทธของ root ในการรน /tmp เกบไฟลชวคราว (Temporary file) จะถกลบทงเมอเปดเครองขนมา

ใหม /usr เกบขอมลค าสงอนๆเพมเตม โครงสรางภายในคลายโครงสรางของ / /var เกบไฟลทเกยวของกบการตงคาและการท างานของระบบ

5.3 ค าสงทเกยวของกบการใชงานไดเรกทอรและไฟล สรางไดเรกทอร

• การสรางไดเรกทอร สามารถท าไดโดยใชค าสง mkdir DIR_NAME เชน mkdir abc เปนการสรางไดเรกทอรชอ abc

• ในกรณทตองการสรางหลายไดเรกทอรพรอมกนในครงเดยว ใชค าสง mkdir {DIR1,DIR2,DIR3,...} เชน mkdir {a,b,c} จะเปนการสราง 3 ไดเรกทอร คอ a, b และ c

• ในกรณทตองการสรางไดเรกทอรทมไดเรกทอรยอยอยภายใน ใชค าสง mkdir -p /PARENT1/PARENT2/CHILD เชน mkdir -p q/w/e จะเปน

52

การสรางไดเรกทอร q ซงมไดเรกทอร w อยภายใน และมไดเรกทอร e อยภายในไดเรกทอร w อกท

ลบไดเรกทอร • การลบไดเรกทอร ใชค าสง rm -r DIRECTORY_NAME • ถาไดเรกทอรทตองการลบนนมไฟลหรอไดเรกทอรอยภายใน จะไม

สามารถท าการลบไดถาไมลบไฟลหรอไดเรกทอรทงหมดทอยภายในกอน แตถาตองการลบทงทงไดเรกทอรโดยไมสนใจสงทอยภายใน สามารถใชค าสง rm -rf DIRECTORY_NAME เพอบงคบใหระบบลบไดเรกทอรนนได

สรางไฟล • การสรางไฟลเปลาๆ ขนมาโดยไมมเนอหาอะไร สามารถท าไดโดยใชค าสง

touch FILENAME เชน ค าสง touch test.txt จะไดไฟลชอ test.txt

ลบไฟล • การลบไฟล ใชค าสง rm FILENAME เชน ค าสง rm test.txt เปนการลบ

ไฟล test.txt

คดลอกไฟล/ไดเรกทอร • การคดลอกไฟลหรอไดเรกทอร ใชค าสง cp SOURCE TARGET เชน cp

test.txt test2.txt เปนการคดลอกไฟล test.txt มาสรางเปนไฟลชอ test2.txt

ยาย/เปลยนชอไฟลหรอไดเรกทอร • ในระบบยนกซ การยายและการเปลยนชอไฟลหรอไดเรกทอร สามารถท า

ไดโดยใชค าสง mv

53

• การยายไฟลหรอไดเรกทอรไปไวทใหม ใชค าสง mv FILENAME NEW_DIR เชน mv test.txt /tmp จะเปนการยายไฟล test.txt จากต าแหนงปจจบนไปไวท /tmp

• การเปลยนชอไฟลหรอไดเรกทอร ใชค าสง mv OLD_NAME NEW_NAME เชน mv file1.txt file2.txt จะเปนการเปลยนชอไฟลจาก file1.txt เปน file2.txt

เปลยนไดเรกทอร • การเปลยนไดเรกทอรจากต าแหนงปจจบนไปยงต าแหนงอน ใชค าสง cd

DIRECTORY_NAME ซงการระบ DIRECTORY_NAME สามารถท าไดหลายแบบ ดงน

• ระบ เปน absolute path จะอางองต าแหนงทอยจาก / เชน ถาปจจบนอยท /home/user/files/ เมอพมพ cd /bin จะเปนการยายไปทไดเรกทอร /bin

• ระบ เปน relative path จะอางองต าแหนงจากจดทอยปจจบน เชน ถาปจจบนอยท /home/user/files/ เมอพมพ cd work จะเปนการยายไปทไดเรกทอร /home/user/files/work

• ต าแหนงปจจบน แทนดวยเครองหมาย . • ต าแหนงของไดเรกทอรทอยดานบนขนไป (parent directory)

แทนดวยเครองหมาย .. เชน ถาปจจบนอยท /home/user/files/ เมอพมพ cd .. จะเปนการยายไปทไดเรกทอร /home/user/

• ต าแหนงของไดเรกทอร home ของผใช แทนดวยเครองหมาย ~ ถาปจจบนอยท /home/user/files/work เมอพมพ cd ~ จะเปนการยายไปทไดเรกทอร /home/user/ นอกจากนการพมพค าสง cd โดยไมระบ path ปลายทาง กจะเปนการยายต าแหนงมาทไดเรกทอร home ของผใชดวยเชนกน

54

ตรวจสอบต าแหนงของไดเรกทอรทอยในปจจบน • การตรวจสอบต าแหนงของไดเรกทอรทอยในปจจบน สามารถท าไดโดยใช

ค าสง pwd (ยอมาจาก Print Working Directory) ซงจะไดผลลพธออกมาเปน absolute path ของไดเรกทอรทท างานอยในขณะนน

แสดงรายชอไดเรกทอรหรอไฟลทงหมดในไดเรกทอรทระบ • ในการแสดงรายชอไดเรกทอรหรอไฟลทงหมดทอยในไดเรกทอรทระบ

สามารถท าไดโดยใชค าสง ls DIRECTORY_NAME ถาไมระบชอไดเรกทอร จะเปนการแสดงขอมลในไดเรกทอรทท างานอยในปจจบน

• ถาตองการดขอมลในไดเรกทอรยอยดวย ใชค าสง ls -R

• ถาตองการดขอมลแบบละเอยด ใชค าสง ls -l ซงจะไดผลดงภาพดานลาง

รปท 8 (5-2) แสดงรายชอไดเรกทอรหรอไฟลทงหมดในไดเรกทอรทระบขอมลแบบละเอยด ใชค าสง ls -l

รายละเอยดของขอมลตางๆ ทแสดงผลอธบายไดตามหมายเลข ดงน

รปท 9 (5-3) แสดงรายชอไดเรกทอรหรอไฟลทงหมดในไดเรกทอรทระบแสดงผลอธบายไดตามหมายเลข

55

1. จ านวนของลงกทงหมดทมในไดเรกทอรนน ซงประกอบดวยจ านวนไฟลหรอไดเรกทอรทอยภายใน บวกกบลงกของตวไดเรกทอรเอง

2. ประเภทของไฟลและสทธในการใชงาน (Permission) ตวอกษรตวแรกคอประเภทของไฟล ถาเปนเครองหมาย - หมายถงไฟลธรรมดา ถาเปน d หมายถงไดเรกทอร และถาเปน l หมายถงลงก

3. จ านวนลงกทงหมดทอยภายในไดเรกทอรนน ถาเปนไฟลจะมแค 1 ลงก

4. เจาของไฟล (Owner) 5. กลม (Group) 6. ขนาด (Size) มหนวยเปนไบต ถาเปนไฟลจะเปนขนาดของไฟล ถา

เปนไดเรกทอรจะเปนจ านวนบลอกทใชตอ 1 ไดเรกทอร ซงโดยปกตแลวจะเปน 4096

7. วนทเขาใชงานลาสด

8. เวลาทเขาใชงานลาสด

9. ชอไฟลหรอชอไดเรกทอรนนๆ ถาเปนลงกจะแสดงเครองหมาย -> ไปทต าแหนงของไฟลจรง

การสรางลงก • ลงก (Link) ในระบบยนกซ จะเปนการอางองถงไฟลหรอต าแหนงของ

ขอมลบนดสก มอยดวยกน 2 แบบ คอ Hard Link และ Symbolic Link • Hard Link เปนการสรางตวอางองขอมลทอยในดสก โดยใช

inode (สวนทเกบเนอหาและคณสมบตของขอมล) เดยวกน ท าใหขอมลชดเดยวสามารถปรากฏในหลายทพรอมกนได การสราง Hard Link จ าเปนทจะตองสรางบนระบบไฟล (File System) ชนดเดยวกนเทานน ขอดของ Hard Link คอ เมอไฟลใดไฟลหนงถกลบ ขอมลในดสกสวนนนยงคงเขาถงจากไฟลทเหลออยได [13-2]

56

รปท 10 (5-4) การสรางลงก Hard Link

• Symbolic Link เปนการสรางตวอางองจากไฟลทมอยแลว ท าใหเมอไฟลตนฉบบถกลบ ขอมลในสวนนนกจะไมสามารถเขาถงไดจาก Link ทสรางไวได การสราง Symbolic Link สามารถสรางบนระบบไฟลทแตกตางกนได

รปท 11 (5-5) การสรางลงก Symbolic Link

• เมอใชค าสง ls -l เพอดขอมลในไดเรกทอร จะพบวา ไฟลทเปนลงกจะมการแสดงเครองหมาย -> เพอบอกวาไฟลนจะลงกไปยงไฟลไหน

• การสรางลงกแบบ Hard Link ใชค าสง ln FILENAME LINKNAME เชน ln def ghi จะเปนการสรางลงกชอ ghi โดยลงกนจะเชอมตอไปทต าแหนงของขอมลเดยวกนกบไฟล def

• การสรางลงกแบบ Symbolic Link ใชค าสง ln -s FILENAME LINKNAME เชน ln -s def ghi จะเปนการสรางลงกชอ ghi โดยลงกนจะเชอมตอทไฟล def

57

การตรวจสอบประเภทของไฟล • ในกรณทตองการตรวจสอบไฟลทไมรจกวาไฟลนนเปนไฟลประเภทไหน

สามารถใชค าสง file FILENAME เพอดขอมลของไฟลนนได เชน ค าสง file /bin/ls เปนการดประเภทของไฟล /bin/ls ซงจะไดผลลพธดงน

รปท 12 (5-6) การตรวจสอบประเภทของไฟล

จากผลลพธดงกลาว จะพบวา ไฟล /bin/ls เปนไฟลประเภท executable (สามารถประมวลผลได) ของระบบปฏบตการ Linux

• ค าสง file เปนการวเคราะหประเภทของไฟล จากสวนหว (header) ของไฟลนนๆ

การคนหาไฟล • การคนหาไฟลทอยในไดเรกทอรทก าหนด ใชค าสง find PATH -name

FILENAME เชน ค าสง find /etc -name passwd เปนการคนหาวามไฟลชอ passwd อยในไดเรกทอร /etc หรอไม

• ถาตองการคนหาไฟลโดยไมระบไดเรกทอร ใชค าสง locate FILENAME เชน locate php.ini

การสราง archive และการบบอดขอมล

• การสราง archive คอการรวมไฟลทกไฟลในไดเรกทอรใหเปนไฟลเดยว สามารถท าไดโดยใชค าสง tar cvf ARCHIVE.tar DIRECTORY เชน tar cvf docs.tar /home/user/document จะเปนการรวมไฟลทกไฟลใน

58

ไดเรกทอร /home/user/document ใหเปนไฟลชอวา docs.tar

• การเพมไฟลใน archive ท าไดโดยใชค าสง tar -r NEWFILE -f ARCHIVE.tar

• ในการบบอดขอมลจ าเปนตองท า 2 ขนตอน คอ สราง archive แลวจงเอา archive นนมาบบอด

• การบบอดขอมลในระบบยนกซสามารถท าไดหลายแบบ แตทนยมใชกนทวไปคอใชวธบบอดแบบ gzip และ bzip โดยท bzip จะสามารถบบอดขอมลไดมากกวาแตจะใชเวลาบบอดนานกวา gzip

• การบบอดแบบ gzip ผลลพธทไดจะเปนไฟล .tar.gz สามารถท าไดโดยใชค าสง tar czvf ARCHIVE.tar.gz DIRECTORY

• การบบอดแบบ bzip ผลลพธทไดจะเปนไฟล .tar.bz หรอ .tar.bz2 ขนอยกบขนตอนวธทใชในการบบอด สามารถท าไดโดยใชค าสง tar cjvf ARCHIVE.tar.bz DIRECTORY

• การแตกไฟล (Extract) จาก archive ใชค าสง tar xvf ARCHIVE.tar

• ในกรณทตองการแตกไฟลจาก archive ทถกบบอด ตองตรวจสอบวาไฟลนนถกบบอดมาโดยใชวธอะไร

• ถาบบอดดวย gzip ใชค าสง tar xzvf ARCHIVE.tar.gz

• ถาบบอดดวย bzip ใชค าสง tar xjvf ARCHIVE.tar.bz2

5.4 การก าหนดสทธการใชงาน (Permission) การก าหนดสทธในการใชงาน มไวเพอจ ากดขอบเขตการเขาถงขอมลของผใช และเพอปองกนความเสยหายทอาจจะเกดขนจากการกระท าโดยไมตงใจ การก าหนดสทธสามารถท าไดทงไฟลและไดเรกทอร โดยมรายละเอยดและขนตอนดงน

59

การก าหนดความเปนเจาของไฟล (File ownership) • ทกไฟลในระบบสามารถมเจาของ (Owner) และกลม (Group) ไดแค

อยางละ 1 เทานน

• ผทเปนเจาของไฟล หรออยในกลมทก าหนดสามารถด าเนนการกบไฟล (อาน,เขยน,ประมวลผล) ไดตามสทธทก าหนดใน Permission bit ซงเปนตวเลขทใชในการก าหนดสทธการใชงาน

• การเปลยน Owner ของไฟล ใชค าสง chown USER FILENAME

• การเปลยน Group ของไฟล ใชค าสง chgrp GROUP FILENAME

การก าหนดสทธการใชงาน (Permission) • สทธการใชงาน สามารถมารถก าหนดได 6 อยาง ไดแก

• Read แทนดวยเครองหมาย r • Write แทนดวยเครองหมาย w

• Execute แทนดวยเครองหมาย x • SUID แทนดวยเครองหมาย S • SGID แทนดวยเครองหมาย S • Sticky แทนดวยเครองหมาย t

ซงความหมายของสทธทง 6 อยางจะอธบายในล าดบถดไป

• สทธการใชงาน แบงออกเปน 3 สวน ตามประเภทของผใชงาน ซงไดแก

• User เจาของไฟลนนๆ แทนดวยเครองหมาย u

• Group คนทอยในกลมเดยวกนกบกลมทเจาของไฟลนนอยแทนดวยเครองหมาย g

• Other คนอนๆ ทไมใชเจาของไฟลและไมไดอยในกลมทเจาของไฟลอย แทนดวยเครองหมาย o

60

• การตรวจสอบสทธการใชงานสามารถท าไดโดยใชค าสง ls -l FILENAME เชน ls -l /etc/passwd จะไดผลดงรปท 13 (5-7)

รปท 13 (5-7) การก าหนดสทธการใชงาน (Permission)

รายละเอยดของสทธการใชงานจะอยในสวนแรกสดของบรรทดทเปนผลลพธ โดยจะเปนตวอกษร 9 ตว ทอยถดมาจากตวอกษรทใชบอกประเภทของไฟล ตวอกษรแตละตวแทนการก าหนดคาตางๆ ดงน

User Group Other Read Write Execute Read Write Execute Read Write Execute จากตวอยาง จะพบวาสทธการใชงานของไฟล /etc/passwd คอ rw-r--r-- แบงดรายละเอยดทละสวน ดงน

• r-- คอสทธของคนทอยในกลมเดยวกนกบเจาของไฟล

• rw- คอสทธของเจาของไฟล

• r-- คอสทธของคนอนๆทไมใชเจาของไฟลและไมไดอยในกลมเดยวกนกบเจาของไฟล

จากรปจะพบวา เจาของไฟล /etc/passwd คอ root และอยในกลมทชอ root จากขอก าหนด rw- แสดงวาเจาของไฟลสามารถอานและเขยนไฟลนได แตไมสามารถสงประมวลผลไฟลนได สวนคนทอยในกลมทชอ root จะไดรบสทธ r-- คออานไดอยางเดยว ซงคนอนๆ นอกเหนอจากนจะไดสทธ r—กจะสามารถอานไดอยางเดยวเชนกน

61

ในสวนของไฟล /bin/bash จะพบวามสทธการใชงานคอ rwxr-xr-x หมายความวา เจาของไฟลไดสทธ rwx คอสามารถอาน เขยน และสงประมวลผลไฟลนได แตคนทอยในกลมเดยวกบเจาของไฟลและคนอนๆ นอกเหนอจากนจะไดสทธ r-x คออานและสงประมวลผลไฟลไดอยางเดยว ไมสามารถแกไขได

SUID, SGID และ Sticky ทง SUID, SGID และ Sticky ตางกเปนบทพเศษทเอาไวก าหนดคาการน างานในกรณทมการประมวลผลไฟล นนๆ โดยทง 3 บทนจะแสดงในสวนของ Execute bit โดยแตละแบบมการท างานดงน

• SUID เมอมใครกตามรนไฟลน โปรเซสนนจะถกรนโดยใชชอของเจาของไฟล

• SGID เมอมใครกตามรนไฟลน โปรเซสนนจะถกรนโดยใชชอของกลมทระบ

• Sticky ใครกตามสามารถอานหรอแกไขไฟลนได แตไฟลนจะไมสามารถถกคนอนลบได นอกจากเจาของไฟลเทานน

• เมอมการก าหนดคา SUID หรอ SGID แลว บททเปนสวนของ Execute bit จะแสดงสญลกษณตว S เชน ถาก าหนด SUID ใหกบไฟล ไฟลนนจะมสทธการใชงานเปน rwS------

• เมอมการก าหนดคา Sticky bit ใหกบไฟล บททเปนสวนของ Execute bit จะแสดงสญลกษณตว t

การก าหนดหรอแกไขสทธการใชงาน

ในการก าหนดหรอแกไขสทธการใชงานของไฟลหรอไดเรกทอร ใชค าสง chmod {parameter} FILENAME การก าหนด parameter สามารถท าได 2 วธ คอ ใชแบบตวอกษร และแบบตวเลข

62

• การก าหนดสทธโดยใชตวอกษร o การก าหนดผใช

ใช u แทน User (เจาของไฟล) ใช g แทน Group (กลมทไฟลนนอย) ใช o แทน Other (คนอนๆ นอกเหนอจากน) ใช a แทน All (ทง 3 ประเภททกลาวมา)

o การก าหนดสทธ ใช r แทน Read (อาน) ใช w แทน Write (เขยน) ใช x แทน Execute (ประมวลผล) ใช s แทนการเซต SUID หรอ SGID

ใช t แทนการเซต Sticky o การเพมสทธ ใชเครองหมาย + และการยกเลกสทธ ใช

เครองหมาย - o การก าหนดหรอแกไขสทธ ใชค าสง chmod [user][+/-

][permission] FILENAME เชน chmod g+rw file เปนการเพมสทธในการอานและเขยนไฟลใหกบ group หรอค าสง chmod ug-w+s เปนการก าหนดสทธในการหามเขยนไฟลพรอมทงก าหนด SUID และ SGID ใหกบ User และ Group

• การก าหนดสทธโดยใชตวเลข

o ใส parameter เปนตวเลข 4 ตว ตวแรกสดเปนการเซต SUID, SGID หรอ stickey ตวทสองเปนการก าหนดสทธของ User ตวทสามเปนการก าหนดสทธของ Group

ตวทสเปนการก าหนดสทธของ Other

63

o ตวเลขแตละตวมความหมายดงน

สทธการใชงาน คา SUID 4 SGID 2 Sticky 1 Read 4 Write 2 Execute 1

• การก าหนดสทธในสวนของ SUID, SGID หรอ Sticky จะใสหรอไมใสกได ซงถาไมใสโดยปกตจะมคาเปน 0

• ถาเอาคาของตวเลขแตละสวนมาบวกกนจะสามารถก าหนดสทธไดหลากหลายแบบ เชน

0 7 5 5 - rwx r-x r-x 4 6 4 1 - rwS r-- --x 5 2 3 1 - -wS -wx --t

จากตารางทยกตวอยางไวดานบน จะพบวา ถาก าหนด Permission เปน 0755 จะมคาเปน rwxr-xr-x หรอถาก าหนด Permission เปน 4641 จะมคาเปน rwSr----x เปนตน

ตวเลข 0755 ในตารางดานบนเกดขนเนองจาก

• ก าหนดให User สามารถ Read, Write และ Execute ได ซงเมอน าเลข 4 + 2 + 1 จะไดเทากบ 7

• ก าหนดให Group สามารถ Read และ Execute ได ซงเมอน าเลข 4 + 1 จะไดเทากบ 5

64

• สทธของ Other มทมาเชนเดยวกบสทธของ Group

ตวเลข 4641 ในตารางดานบนเกดจาก

• ก าหนดคา SUID ซงจากตาราง SUID มคาเทากบ 4 • ก าหนดให User สามารถ Read และ Write ได ซงเมอน าเลข 4

+ 2 จะไดเทากบ 6 • ก าหนดให Group สามารถ Read ไดอยางเดยว จงมคาเปน 4 • ก าหนดให Other สามารถ Execute ไดอยางเดยว จงมคาเปน 1

จะเหนไดวา การจดการไดเรกทอรและไฟลในระบบยนกซนน อาจจะตองใชเวลาในการท าความเขาใจอยบาง แตเมอเขาใจหลกการท างานและสามารถใชงานไดอยางคลองแคลวแลวจะพบวาค า สงหลายๆ อยางชวยใหประหยดเวลาอกทงยงสามารถท างานไดอยางสะดวกและรวดเรว

5.5 เอกสารอางอง [5-1] http://en.wikipedia.org/wiki/Unix [5-2] http://en.wikipedia.org/wiki/Hard_link

65

6. การบรหารจดการผใชบนระบบ UNIX ผเรยบเรยง: เจษฎา ชางสสงข วนทเผยแพร: 12 พ.ย. 2554 ปรบปรงลาสด: 12 พ.ย. 2554 UNIX เปนระบบปฏบตการทถกออกแบบมาใหสามารถใชงานไดหลายคนในเวลาเดยวกน (Multi-user) และสามารถท างานไดหลายๆ อยางพรอมกน (Multitasking) [6-1] ดวยความสามารถเหลาน UNIX จงนยมน ามาใชเปนระบบปฏบตการในเครองเซรฟเวอร ดงนน เพอใหสามารถใชงานระบบ UNIX ไดอยางมประสทธภาพ ผดแลระบบจงควรมความเขาใจในการบรหารจดการผใชและการก าหนดสทธตางๆ ซงในบทความน จะแนะน าค าสงในการใชงานเบองตน พรอมทงแสดงไฟลหลกๆ ทเกยวของ ซงค าสงตางๆ ในบทความนสามารถใชงานไดกบระบบปฏบตการ UNIX ทกระบบ

6.1 ประเภทของผใช

ส าหรบระบบปฏบตการตระกล UNIX นน มการออกแบบใหสามารถก าหนดสทธในการเขาถงขอมลไดหลายระดบ เพอจ ากดขอบเขตการใชงานทรพยากรตางๆ ของระบบตามระดบของผใช เชน ก าหนดสทธไมใหแกไขไฟลส าคญ ซงในระบบ UNIX สามารถจ าแนกผใชออกไดเปน 2 ประเภทดวยกน คอ

User คอผใชทวไปทมสทธในการใชงานระบบอยอยางจ ากด หรอเปน ผใชทถกสรางมาเพอใชงานส าหรบโปรแกรมประยกตทตดตงในระบบ เชน Web Server

66

Superuser คอผใชทมสทธในการบรหารจดการระบบทกอยางไมวาจะเปนการ สรางหรอก าหนดสทธใชงานใหกบผใช [6-2] หรอการปดการท างานของ Process ทส าคญ เชน Web Server การแกไขไฟลของระบบ เปนตน ซงในระบบปฏบตการ UNIX นน จะมชอเรยกของ Superuser วา root

6.2 ไฟลทใชก าหนดคาใหกบผใช

ในการก าหนดความสามารถและรายละเอยดของผใชไฟลขอความทใชงานรวมกน 3 ไฟล คอ passwd, shadow และ group โดยแตละไฟลจะมการก าหนดสทธในการเขาถงไมเหมอนกน เนองจากมบางไฟลทใชเกบขอมลทเปนความลบซงไมตองการใหผใชงานอนเหน เชน รหสผาน ผอานสามารถศกษาการตงคาสทธการเขาถงไฟลไดจากบทความ การจดการไดเรกทอรและไฟลในระบบยนกซ [6-3] การเขาถงระบบนน ผใชจะมชอทใชเขาถงระบบเรยกวา Username และมรหสผานของแตละ Username ดวย หรอบางครงผดแลระบบอาจมการก าหนด Username ทไมจ าเปนตองใสรหสผาน เพอใชงานชวคราวโดยมการก าหนดสทธในการเขาถงทจ ากด เชน มหาวทยาลยแหงหนงมการสราง Username ใหกบนกศกษาเขามาใชงาน โดยยอมใหใชงานโปรแกรมประยกตไดบางโปรแกรม หรอใหสทธในการเขยนไฟลไดบางสวนเทานน ส าหรบการระบตวตนของผใชนน ระบบจะดหมายเลขทใชอางองกบผใช เรยกวา User Identifier หรอ UID ซงหากมการก าหนด Username โดยม UID เดยวกน ระบบจะเขาใจวาผใชนนมสทธเทาเทยมกน และระบบยงสามารถจดการผใชใหเปนกลมไดโดยสามารถก าหนดชอ และ อางองจากหมายเลขทเรยกวา Group Identifier หรอ GID ซงในแตละไฟลนน มการก าหนดรปแบบการเกบคาแตกตางกน มรายละเอยดดงน

/etc/passwd เปนไฟลขอความทใชเกบขอมลรายละเอยดของผใชในระบบ เชน UID, GID และ

67

ไดเรกทอรหลกของผใช (Home directory) เปนตน โดยระบบจะก าหนดใหผใชมสทธในการอานไฟลน และก าหนดสทธในการแกไขใหกบ root เทานน ซงในแตละบรรทดของไฟลจะใชแทนรายละเอยดตอหนง Username และจะประกอบไปดวยรายละเอยดของผใชในสวนตางๆ โดยแตละสวนจะคนดวยเครองหมาย “:” ดงทแสดงในภาพดานลาง

รปท 14 (6-1) ตวอยางรายละเอยดผใชชอ Oracle [6-4]

1. Username: เปนสวนทใชเกบคาของ Username ทใชเขาสระบบ มความยาวไมเกน 32 ตวอกษร

2. Password: เปนสวนทใชบอกวามการเขาถงระบบโดยใชรหสผานหรอไม ซงหากเปนคา “x” แสดงวาผใชมการใชรหสผาน ซงรหสผานนจะถกเขารหสลบและเกบไวทไฟล /etc/shadow หากเปนคา “*” หรอ “!” จะเปนการบงบอกวา ใหปดการเขาถงระบบดวยการใสรหสผาน มกใชกบ Username ทตดตงมากบโปรแกรม

3. User ID (UID): เปนสวนทใชระบหมายเลขใหกบผใช โดยหมายเลข 0 จะถกจองใหกบ Superuser หรอ root เทานน หมายเลข 1-99 จะถกจองใหกบโปรแกรมของระบบ และ หมายเลข 100-999 จะถกจองใหกบโปรแกรมตางๆ ทตดตงโดย ผดแลระบบหรอใชในการก าหนดกลม ของระบบ ดงนน ส าหรบการก าหนดหมายเลขใหกบผ ใชทวไปจงควรก าหนดคาตงแต 1000 ขนไป

4. Group ID (GID): เปนสวนทระบหมายเลขของกลมทผใชนนอย ซงรายละเอยดแตละกลม จะถกเกบไวท /etc/group

5. User ID Info: เปนสวนทใชแสดงรายละเอยดเพมเตมเกยวกบผใช เชน

68

ระบชอ-นามสกลของผใช หมายเลขโทรศพท เปนตน

6. Home directory: เปนสวนทระบต าแหนงไดเรกทอรทจะปรากฏเมอผใช เขาสระบบ โดยการก าหนดนนจะตองระบเปน Absolute path ซงอางองจากต าแหนงของ root คอ / หากเวนวาง ไวหรอไดเรกทอรทก าหนดไมมอยจรง ระบบจะก าหนดใหเปน /

7. Command/shell: เปนสวนทเกบต าแหนงของโปรแกรม shell หรอโปรแกรมทท าหนาทรบค าสงจากผใชไปประมวลผลบนระบบ [15-5] โดยการก าหนดนนจะตองระบเปน Absolute path

/etc/shadow เปนไฟลขอความทเกบรหสผานจรงของผใชโดยจะอยในรปของการเขารหสลบ และ เกบคาทใชก าหนดคณสมบตของการใชรหสผาน เชน วนหมดอาย โดยจะใชหนงบรรทดตอหนง Username ไฟลนก าหนดสทธในการอานเขยนใหกบ root เทานน เพอปองกนไมใหผใชเหนรหสผานของผใชคนอน และประกอบไปดวยรายละเอยดของผใชในสวนตางๆ โดยแตละสวนจะคนดวยเครองหมาย “:” ดงรปท 15 (6-2)

รปท 15 (6-2) ตวอยางขอมลรายละเอยดในไฟล /etc/shadow [6-6]

1. Username: เปนสวนทใชเกบคาชอของผใชทใชเขาสระบบ มความยาวตวอกษรไมเกน 32 ตวอกษร

2. Encrypted password: เปนสวนทแสดง รหสผานของผใชทถกเขารหสลบไว โดยรปแบบการเขารหสลบ จะอางองจากฟงกชนของระบบทชอวา crypt [6-4] เชน จากตวอยางจะมสวนทใชอธบายคนดวยเครองหมาย $

69

โดยคาแรกจะเปนหมายเลขก าหนดชนดวธการ Hash หรอขนตอนในการเขารหสลบขอมล ซงคา 1 เปนการก าหนด Hash แบบหนงทเรยกวา MD5 คาถดมาเรยกวา Salt คอคาทสรางขนมาเพอน าไปรวมกบ รหสผานจรงกอนท าการ Hash เพอปองกนโอกาสการเกดผลลพธของการ Hash (Message Digest) ซ ากน

3. Date of last password change: เปนสวนทแสดงวนทลาสดทมการเปลยนแปลงรหสผาน เปนตวเลขในรปของ UNIX timestamp (จ านวนวนาททถกนบจากวนท 1 มกราคม ค.ศ. 1970 อางองตามเวลาสากลเชงพกด หรอ UTC) [6-7] จากตวอยางเมอน ามาแปลงจะได วนท 1 มกราคม ค.ศ. 1970 เวลา 03:37:44 น.

4. Minimum password age: เปนสวนทระบจ านวนวนทนอยทสด ทอนญาตใหผใชท าการเปลยนรหสผานได ส าหรบการก าหนดคา 0 หรอเวนวางไว จะเปนการก าหนดวาไมมคา Minimum

5. Maximum password age: เปนสวนทระบจ านวนวนสงสดทอนญาตใหผใชสามารถเปลยนรหสผานของตนเองได ส าหรบการก าหนดคา 99999 หรอไมใสอะไร จะเปนการก าหนดวาสามารถเปลยนรหสผานไดทกเมอ

*หมายเหต

หากไมตองการใหผใชเปลยนรหสผานของตนเองได ผดแลระบบสามารถท าไดโดยการก าหนดคาในสวนของ Maximum ใหมคานอยกวา Minimum

1. Password warning period: เปนสวนทก าหนดจ านวนวน ใหระบบเรมแจงเตอน กอนทรหสผานจะหมดอายการใชงาน เมอถงวนทตองแจงเตอน ระบบจะแสดงขอความใหท าการเปลยนรหสผาน และบอกจ านวนวนทเหลอกอนหมดอายการใชงาน [6-8]

2. Password Inactivity Period: เปนสวนทแสดงจ านวนวน หากไมมการเปลยนรหสผานภายในวนทก าหนดจะท าใหผใชนนถกปดการใชงาน

3. Account expiration date: เปนสวนทใชก าหนดวนหมดอายของผใช โดยมรปแบบเปน UNIX timestamp ซงเมอครบก าหนดระบบจะท าการ

70

ปดการท างานของผใชนนโดยทนท

/etc/group เปนไฟลขอความทใชก าหนดคณสมบตและสมาชกของแตละกลม ไฟลนจะถกก าหนดสทธใหผใชงานสามารถอานไดเทานน โดยผทมสทธในการแกไขไฟลมเพยง root เทานน โดยทวไปแลวในระบบใหญๆ ควรมการสรางกลมขนมา เพอใหเกดความสะดวกในการบรหารจดการสทธในการเขาถงระบบใหกบกลมผใชตางๆ เชน ก าหนดใหกลม A สามารถแกไขไฟลไดเฉพาะไดเรกทอร /var/opt เทานน, หรอการก าหนดใหผใชมสทธเทาเทยมกบโปรแกรมของระบบเชน Web Server เปนตน

รปท 16 (6-3) ตวอยางขอมลรายละเอยดในไฟล /etc/group [6-9]

1. Group Name: เปนสวนทระบชอของ group

2. Password: เปนสวนทระบวา จะใหมการก าหนดรหสผานเมอผใชตองการเขาไปยง Group นนหรอไม ซงหากเปนคา “x” แสดงวามการใชรหสผาน ซงรหสผานนจะถกเขารหสลบและเกบไวทไฟล /etc/shadow หากไมตองการก าหนดสามารถท าไดโดยการเวนวางไว

3. Group ID (GID): เปนสวนทแสดงหมายเลข Group ID

4. User List: เปนสวนทแสดงรายชอ User ทเปนสมาชกของ Group สามารถเพมสมาชก โดยใสเครองหมาย “,” คน

71

จากความสมพนธของไฟลทงสามขางตนนน เมอมความเขาใจแลวผดแลระบบสามารถท าการจดการบรหารผใชไดโดยการแกไขไฟลโดยตรง หรออาจมการประยกตโดยการเขยนสครปต เพอสรางผใชใหกบระบบหลายๆ คนพรอมกน นอกจากน ระบบปฏบตการ UNIX ยงมค าสงทสรางความสะดวกในการบรหารจดการผใช และเพอไมใหผดแลระบบเสยเวลาแกไขไฟลเอง ซงมโอกาสผดพลาดได โดยมค าสงมาตรฐานทตดตงมากบระบบ UNIX ทแนะน าดงน

6.3 ค าสงพนฐานทใชบรหารจดการผใชบนระบบ

การเพมผใชใหกบระบบ

ผดแลระบบสามารถเพมผใช โดยการใชค าสง useradd ซงม option ทวไปดงน useradd [-u UID] [-g GID] [-d HOME_DIR] [-s SHELL] [-m] [-c COMMENT] USER_NAME

[-u UID] ก าหนดหมายเลข UID ใหกบผใช [-g GID] ก าหนดหมายเลข GID หรอชอกลมใหกบผใช

[-d HOME_DIR] ก าหนดไดเรกทอรแรกใหกบผใช [-s SHELL] ก าหนดโปรแกรม Shell ทจะใชใหกบผใช [-m] ก าหนดใหมการสราง Home Directory หากยงไมม

[-c COMMENT] ก าหนดคา String เพอแสดงรายละเอยดเพมเตมของผใช USER_NAME ก าหนด ชอทใชเขาถงระบบ

ตวอยางค าสง # useradd -u 777 -g test -d /home/test -s /bin/sh -m -c test_comment test

72

การก าหนดรหสผานใหกบผใช

ผดแลระบบสามารถเพมหรอเปลยนแปลงรหสผานใหกบผใชไดโดยการใชค าสง passwd ดงน

passwd USER_NAME

ตวอยางค าสง # passwd test Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully

จากตวอยาง เมอพมพค าสงก าหนดรหสผานใหกบผใชชอ test ระบบจะใหก าหนดรหสผานใหมสองครง ถาตรงกนระบบจะสราง รหสผานให

การแกไขขอมลผใช ผดแลระบบสามารถแกไขขอมลผใชดวยค าสง usermod ซงม option ทวไปดงน usermod [-u UID] [-g GID] [-d HOME_DIR] [-s SHELL] [-m] [-c COMMENT] [-e EXPIRE_DATE] USER_NAME

[-u UID] ก าหนดหมายเลข UID ใหกบผใช [-g GID] ก าหนดหมายเลข GID หรอชอกลมใหกบผใช

[-d HOME_DIR] ก าหนดไดเรกทอรแรกใหกบผใช [-s SHELL] ก าหนดโปรแกรม Shell ทจะใชใหกบผใช [-m] ก าหนดใหมการสราง Home Directory หากยงไมม

[-c COMMENT] ก าหนดคา String เพอแสดงรายละเอยดเพมเตมของผใช

73

[-e EXPIRE_DATE]

ก าหนดวนหมดอายการใชงานของผใช โดยมรปแบบเปน YYYY-MM-DD

[-L ] ก าหนดใหปดการใชงานผใช [-U ] ก าหนดใหเปดการใชงานผใช USER_NAME ก าหนดชอทใชเขาถงระบบ

ตวอยางค าสง #usermod -d /home/test02 test #usermod -c "Mr.test test02" test

การลบผใชออกจากระบบ

ผดแลระบบสามารถลบผใชออกจากระบบ โดยการใชค าสง userdel เชน userdel USER_NAME ตวอยางค าสง # userdel test02

การสรางกลม

ผดแลระบบสามารถสรางกลมไดโดยการใชค าสง groupadd ไดโดยการใชค าสงดงน groupadd [-g GID] GROUP_NAME ตวอยางค าสง #groupadd -g 1000 etda

74

ค าสงการแสดงรายละเอยดผใช

ผใชสามารถใชค าสง id เพอแสดงรายละเอยดผใชเชน Username, UID, GID โดยใชค าสงดงน id USER_NAME ตวอยางค าสง $ id jezt uid=1000(jezt) gid=1000(jezt) groups=1000(jezt),4(adm),20(dialout),24(cdrom),33(www-data),46(plugdev),112(lpadmin),120(admin),122(sambashare) จากค าสงพนฐานทไดแนะน านน ผใชสามารถดรายละเอยดเพมเตมไดจากคมอการใชงาน (Man pages) ดวยการใชค าสง man [COMMAND_NAME] เชน $man useradd

6.4 เอกสารอางอง [6-1] http://en.wikipedia.org/wiki/Unix [6-2] http://en.wikipedia.org/wiki/Superuser [6-3] http://www.thaicert.or.th/papers/normal/2011/

pp2011no0003.html [6-4] http://www.cyberciti.biz/faq/understanding-etcpasswd-file-

format/ [6-5] http://en.wikipedia.org/wiki/Unix_shell [6-6] http://www.cyberciti.biz/faq/understanding-etcshadow-file/ [6-7] http://en.wikipedia.org/wiki/Unix_time [6-8] http://www.thegeekstuff.com/2009/04/chage-linux-password-

75

expiration-and-aging/ [6-9] http://www.cyberciti.biz/faq/understanding-etcgroup-file/

76

77

7. ค าสงทเกยวของกบการประมวลผลขอความในระบบปฏบตการ UNIX

ผเรยบเรยง: วศลย ประสงคสข วนทเผยแพร: 15 พ.ย. 2554 ปรบปรงลาสด: 15 พ.ย. 2554 เนองจากระบบปฏบตการ UNIX พจารณาทรพยากรทกอยางบนระบบในรปแบบของไฟลไมเวนแมกระทงฮารดแวร หรอโปรเซสทรนอยในหนวยความจ า [7-1] การแกไขการตงคาระบบสวนใหญจงท าในไฟลการตงคา (Configuration file) ในบางครงไฟลเหลานกความยาวมากท าใหไมสะดวกในการคนหาสงทตองการ แกไขแตปญหานสามารถแกไขได หากผใชมความสามารถในการใชงานค าสงทเกยวของกบการประมวลผลขอความ (Text Processing) ในบทความน จะยกตวอยางการใชงานค าสงทเกยวของกบการประมวลขอความท ใชบอย เพอใหผ เรมตนหรอผสนใจสามารถใชงานค าส ง ท เกยวของกบการ ประมวลผลขอความขนพนฐานได โดยใชไฟล /etc/passwd ในการสาธตวธใชงานค าสงตางๆ ไฟล /etc/passwd นเปนไฟลของระบบ UNIX ซงเกบขอมลบญชชอผใชของระบบ UNIX

7.1 ตวอยางค าสงทเกยวของกบการประมวลผลขอความทใชงานบอย

head และ tail head เปนค าสงทใชแสดงเนอหาสวนตนของไฟล (โดยคาตงตนจะแสดง 10 บรรทดแรก) สวนมากจะใชกบไฟลหรอผลลพธทเกดจากการท างานจากค าสงอน

78

โดยมรปแบบคอ head [option] [filename] มตวอยางการใชงานดงน

ตารางท 3 (7-1) ค าสง head

ค าสง ความหมาย

head /etc/passwd แสดง 10 บรรทดแรกของไฟล /etc/passwd

head -c10 /etc/passwd แสดง 10 ไบตแรกของไฟล /etc/passwd

head -n5 /etc/passwd แสดง 5 บรรทดแรกของไฟล /etc/passwd

tail เปนค าสงทคลายกบค าสง head ใชแสดงเนอหาสวนทายของไฟล (โดยคาตงตนจะแสดง 10 บรรทดสดทาย) นอกจากนผใชสามารถใชค าสง tail เพอเฝาดไฟลทมการเปลยนแปลงตลอดเวลาเชน Log file เปนตน สามารถใชงานค าสงโดยมรปแบบคอ tail [option] [filename] มตวอยางการใชงานดงน

ตารางท 4 (7-2) ค าสง tail

ค าสง ความหมาย

tail /etc/passwd แสดง 10 บรรทดสดทายของไฟล /etc/passwd

tail -c10 /etc/passwd แสดง 10 ไบตสดทายของไฟล /etc/passwd

tail -f file.log แสดง 10 บรรทดสดทายขณะทไฟลมการเปลยนแปลง

tail -n5 /etc/passwd แสดง 5 บรรทดสดทายของไฟล /etc/passwd

more และ less ทงสองเปนค าสงทใชแสดงเนอหาของไฟลทละหนาจอ มประโยชนมากหากไฟลนนมความยาวเกนกวาทจะแสดงไดในหนาจอเดยว ค าสง less พฒนาเพมเตมจากค าสง more จงมความสามารถมากกวา เชน แสดงขอความไดโดยไมตองรอใหระบบปฏบตการโหลดทงไฟลไปไวทหนวยความจ าเปนตน สามารถใชค าสงโดยมรปแบบ more [filename] และ less [filename] เชน more /etc/passwd

79

echo เปนค าสงทใชแสดงขอความทพมพเขาไปในเครองคอมพวเตอรออกทางหนาจอ เชน หากตองการแสดงค าวา “hello world” ออกทางหนาจอสามารถใชงานค าสงโดยมรปแบบคอ echo [option] [text] มตวอยางการใชงานดงน

ตารางท 5 (7-3) ค าสง echo

ค าสง ความหมาย

echo “hello world” แสดงขอความ hello world ทางหนาจอ เมอแสดงขอความแลวจะขนบรรทดใหม

echo -n “hello world” ไมตองขนบรรทดใหมเมอแสดงขอความ hello world จบ

echo -e “hello \tworld” อนญาตใหใช Escape Character (ตวอกษรพเศษทท าใหตวอกษรทตามมามความหมายอน สวนใหญมกใชตวอกษรพเศษคอ \ ) เชน \t หมายถง เลอนต าแหนงไปทางขวา 1 ยอหนา \n หมายถง ขนบรรทดใหม \\ หมายถง เตมเครองหมาย \ \” หมายถง เตมเครองหมาย “ เปนตน

cat ค าสง cat แสดงเนอหาทงหมดของไฟลทระบ สามารถใชงานค าสงโดยมรปแบบการใชงานคอ cat [option] [file] มตวอยางการใชงานดงน

ตารางท 6 (7-4) ค าสง cat

ค าสง ความหมาย

cat /etc/passwd แสดงเนอหาทงหมดของไฟล /etc/passwd

cat -b /etc/passwd แสดงเนอหาทงหมดของไฟลโดยจะแสดงเลขบรรทดซงไมนบรวมบรรทดวาง

cat -n /etc/passwd แสดงเนอหาทงหมดของไฟลโดยจะแสดงเลข

80

ค าสง ความหมาย

บรรทดซงนบรวมบรรทดวางดวย

cat -E /etc/passwd แสดงค าสดทายของแตละบรรทดของเนอหาในไฟล

Pipe สญลกษณ “|” เรยกวา Pipe ท าหนาทน าผลลพธของค าสงแรกไปเปนขอมลน าเขาของค าสงทสอง ยกตวอยางเชน หากผใชตองการแสดงเลขบรรทด เนอหาของไฟล /etc/passwd ทละหนาจอสามารถใชโปแกรม cat รวมกบค าสง more ไดเชน cat -n /etc/passwd | more เปนตน

wc ค าสง wc ใชในการนบจ านวนค า จ านวนบรรทด หรอ จ านวนไบต ของไฟลทระบ สามารถน าไปประยกตใชไดอยางกวางขวาง เชน หากตองการทราบจ านวนผใชภายในเครองคอมพวเตอรสามารถใชค าสงน เพอนบจ านวนบรรทดของไฟล /etc/passwd ได เปนตน สามารถใชค าสงโดยมรปแบบคอ wc [option] [filename] มตวอยางการใชงานดงน

ตารางท 7 (7-5) ค าสง wc

ค าสง ความหมาย

wc /etc/passwd แสดงจ านวนบรรทด จ านวนค า จ านวนไบต จากไฟล /etc/passwd

wc -l /etc/passwd แสดงจ านวนบรรทดของไฟล /etc/passwd

wc -w /etc/passwd แสดงจ านวนค าของไฟล /etc/passwd

wc -c /etc/passwd แสดงจ านวนไบตของไฟล /etc/passwd

81

Redirection หลายครงเมอผลลพธทไดจากการท างานของค าสงมความยาวมากท าใหไมสะดวกทจะอานทหนาจอ ระบบปฏบตการ UNIX จงมวธเปลยนการแสดงผลลพธใหไปยงทซงผใชตองการ เพอใชในการตรวจสอบภายหลง เชน อาจจะน าผลลพธมาเขยนเปนไฟล หรอจะใหพมพออกมาทางเครองพมพ เปนตน เรยกวธการเชนนว า Redirection ซงนอกจากจะเปลยนการแสดงผลลพธจากการท างานของค าสงไดแลว ยงสามารถใชเพอเปลยนวธน าขอมลเขาสค าสงไดดวย เชน สามารถก าหนดใหไฟลเปนขอมลน าเขาของค าสงไดแทนทจะน าเขาขอมลผานแปนพมพแบบทวไป เปนตน ในการใชงาน ผใชจะใชสญลกษณ “<” เพอแทนการเปลยนวธน าเขาขอมล และใช “>” แทนการเปลยนวธแสดงผลลพธ แตกอนจะเรมสาธตการใชงาน Redirection ผใชควรท าความเขาใจกบ Standard Streams เพอทราบหลกการท างานของค าสงในระบบ UNIX เบองตนกอน

Standard Streams

การไหลของขอมลจากทหนงไปยงอกทหนง เรยกวา Streams โดยทวไปการไหลของขอมลในระบบ UNIX ม 3 ประเภทดงรปท 17 (7-1) เรยกการไหลของขอมลเหลานวา Standard Streams ประกอบไปดวย

1. Standard Input (stdin) เปนขอมลทน าเขาสค าสง ซงโดยทวไปม Terminal (สวนทท าหนาทตดตอระหวางผใชกบคอมพวเตอร) เปนแปนพมพ ม File descriptor เปน 0

2. Standard Output (stdout) เปนผลลพธทไดจากการประมวลผลค าสง ซงโดยทวไปม Terminal เปน หนาจอคอมพวเตอร ม File descriptor เปน 1

3. Standard Error (stderr) เปนผลลพธทไดจากการประมวลผลค าสง เมอมการท างานผดพลาด ซงโดยทวไปม Terminal เปน หนาจอคอมพวเตอร ม File descriptor เปน 2

82

รปท 17 (7-1) Standard Streams [7-2]

ตรงจดนนาจะมผสงสยไมนอยเกยวกบ File descriptor ซงสามารถอธบายอยางงายคอ ในขณะทระบบปฏบตการ UNIX เปดไฟลทตองการใชงาน ระบบจะก าหนดคาตวเลขใหกบไฟลนน เพอใหค าสงตางๆ เรยกใชงานเมอตองการอานหรอเขยนขอมลในไฟลนน เลขทระบบปฏบตการก าหนดใหไฟลน เรยกวา File Descriptor โดยทวไประบบ UNIX จะเปดไฟลทงสามทกลาวไวขางตน เพอใหค าสงตางๆ เรยกใชงาน [7-3] ผใชสามารถใชงาน Redirection ไดดงน ตวอยาง การใชขอมลจากไฟลเปนขอมลน าเขา cat < /etc/passwd ค าสงนเปนการก าหนดใหไฟล /etc/passwd เปนขอมลน าเขาของค าสง cat ตวอยาง การเปลยนวธแสดงผลลพธทไดจากค าสงไปสไฟล echo “hello world” > sample1 ค าสงนเปนการก าหนดผลลพธของค าสง echo ไวทไฟล sample1 ตวอยาง การใชขอมลจากไฟลเปนขอมลน าเขา และเปลยนวธการแสดงผลลพธไปสไฟล cat < /etc/passwd > sample2 ค าสงนเปนการก าหนดใหไฟล /etc/password เปนขอมลน าเขาของค าสง cat และน าผลลพธเขยนลงในไฟล sample2

83

การใชงาน Redirection นนมประโยชนอยางมาก เพราะชวยใหผใชท างานไดสะดวกมากขน เชน ในบางกรณหากชดค าสงทใชงานเกดขอผดพลาด ผใชสามารถใช Redirection รวมกบ stdout และ stderr เพอเปลยนการแสดงผลขอความแจงขอผดพลาดมาเขยนลงไฟลดงรปท 18 (7-2)

รปท 18 (7-2) การใช Redirection กบ stdout และ stderr

• บรรทดแรกใชค าสง more x แตไมมไฟลดงกลาวอยในไดเรกทอรทระบ ดงนน ในบรรทดทสองระบบจงแจงขอผดพลาด

• ท าการเปลยนวธการแสดงผลลพธใหเขยนลงในไฟล sample3

• เมอสง cat sample3 พบวาไมมขอความใด ๆ ปรากฏ เนองจากในการสง more x ไมไดมผลลพธใน stdout นนเอง

• ท าการสง more x > sample3 2>&1

• ซงตวเลข 1 และ 2 คอ File descriptor ของ stdout และ stderr ตามล าดบ

• 2>&1 หมายความวา ใหระบบน าผลลพธของ stderr เกบไวทเดยวกนกบ stdout

• สง cat sample3 อกครงจะพบวามขอความแจงขอผดพลาดอยภายในไฟล

84

grep grep เปนค าสงทใชในการคนหารปแบบของขอความในไฟลหรอไดเรกทอร โดย grep จะอานขอมลในไฟลทละบรรทดมาเปรยบเทยบกบรปแบบทผใชก าหนด [7-4] ผใชสามารถใช grep โดยมรปแบบ grep [option] [PATTERN] [FILE] ไดโดยมรปแบบดงน

ตารางท 8 (7-6) ค าสง grep

ค าสง ความหมาย

grep “root” /etc/passwd คนหาขอความ “root” ในไฟล /etc/passwd หากพบจะแสดงขอความของบรรทดทพบและ highlight ขอความ ออกมาทหนาจอ

grep -n “root” /etc/passwd

คนหาขอความ “root” ในไฟล /etc/passwd หากพบจะแสดงขอความและหมายเลขของบรรทดทพบและ highlight ขอความ ออกมาทหนาจอ

grep -v “root” /etc/passwd highlight ขอความทไมตรงกบ “root” grep -i “ROOT” /etc/passwd

คนหารปแบบขอความโดยไมสนใจวาจะเปนตวพมพใหญหรอตวพมพเลก (case insensitive)

grep -A3 “root” /etc/passwd

-A[number] เปนการสงให grep แสดงขอความหลงพบรปแบบทตรงกบการคนหา เชน -A3 แสดง 3 บรรทดหลงบรรทดทพบ “root”

Regular Expression

grep รองรบ Regular Expression 3 ประเภท คอ Basic (BRE), Extended (ERE), Perl (PRCE) [7-5] ทงสามประเภทมวธใชแตกตางกน โดยท grep จะใช BRE เปนคาตงตน หากผใชตองการใช ERE หรอ PRCE สามารถใส option “-E” หรอ “-P” ตามล าดบ ผใชสามารถศกษา Regular Expression ไดจากแหลงขอมลในสวนอางอง หรอจากแหลงอนๆ เพมเตมไดในตารางตอไปน จะยกตวอยาง BRE ทใชบอย พรอมยกตวอยางวธใชงานรวมกบ grep โดยใชไฟล sample4 ซงม

85

ขอความ “abcdefghijklmnopqrstuvwxyz12345” อย

ตารางท 9 (7-7) ตวอยาง Regular Expression

สญลกษณ ค าอธบาย

. จด(.) หมายถง อกขระใดกได 1 อกขระ

ตวอยางการใชงานรวมกบ grep ค าสง: grep . sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345

[abc] เปน การประกาศกลมอกขระในตวอยาง grep จะน าอกขระทประกาศออกไปคนหาทละตวจนกวาจะครบนอกจะประกาศทละตวอกษร แลว ยงสามารถประกาศเปนชวงอกขระได เชน [a-c] จะประกอบเหมอนกบประกาศ [abc]

ตวอยางการใชงานรวมกบ grep ค าสง: grep [abc] sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345

[^abc] จากตวอยางอกขระทนอกเหนอจาก a,b,c จะถก grep น าไปใชในการคนหา

ตวอยางการใชงานรวมกบ grep ค าสง: grep [^abc] sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345

^ เปนสญลกษณ บอกถงอกขระแรกของบรรทด เชน หากตองการคนหาบรรทดทขนตนดวยตวอกษร a จะใชรปแบบ ^a

ตวอยางการใชงานรวมกบ grep ค าสง: grep ^a sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345

$ เปนสญลกษณ บอกถงอกขระสดทายของบรรทด เชน หากตองการคนหาบรรทดทจบดวยตวเลข5 จะใชรปแบบ 5$

86

สญลกษณ ค าอธบาย

ตวอยางการใชงานรวมกบ grep ค าสง: grep 5$ sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345

* ใชเมอตองการก าหนดปรมาณ โดย * มคาปรมาณคอ มากกวาหรอเทากบ 0

ตวอยางการใชงานรวมกบ grep ค าสง: grep abc.*j sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345

[[:alpha:]] ใชประกาศรปแบบกลมตวอกษรทงหมดไมวาจะอกษรใหญหรออกษรเลก เหมอนกบการประกาศรปแบบกลมอกษร [A-Za-z]

ตวอยางการใชงานรวมกบ grep ค าสง: grep [[:alpha:]] sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345

[[:alnum:]] ใชประกาศรปแบบกลมตวอกษรทงหมดไมวาจะอกษรใหญหรออกษรเลกและตวเลข เหมอนกบการประกาศรปแบบกลมอกษร [A-Za-z0-9]

ตวอยางการใชงานรวมกบ grep ค าสง: grep [[:alnum:]] sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345

[[:digit:]] ใชประกาศรปแบบกลมตวเลข เหมอนกบการประกาศรปแบบกลมอกษร [0-9]

ตวอยางการใชงานรวมกบ grep ค าสง: grep [[:digit:]] sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345

87

7.2 เอกสารอางอง [7-1] http://www.thaicert.or.th/papers/normal/2011/

pp2011no0003.html [7-2] http://en.wikipedia.org/wiki/File:Stdstreams-notitle.svg [7-3] http://www.livefirelabs.com/unix_tip_trick_shell_script/

june_2003/06092003.htm [7-4] http://www.regular-expressions.info/grep.html [7-5] http://www.gnu.org/s/grep/manual/html_node/Regular-

Expressions.html#Regular-Expressions

88

89

8. เพมความปลอดภยให SSH Server ดวย Key Authentication ผเรยบเรยง: เจษฎา ชางสสงข วนทเผยแพร: 21 พ.ย. 2554 ปรบปรงลาสด: 21 พ.ย. 2554 Secure Shell (SSH) คอ โพรโทคอล (Protocol) ทใชในการตดตอสอสารระหวางเครองคอมพวเตอรบนระบบเครอขายผานพอรท (Port) หมายเลข 22 ซงโพรโท-คอล SSH มวตถประสงคหลก เพอใหผใชงานสามารถเขาควบคมหรอสงการเครอง คอมพวเตอรทใหบรการ SSH ตามสทธของผใชงานซงไดมาจากการพสจนตวตนดวยการลอกอน (Login) ดวยการใชชอผใชและรหสผาน โดยผานชองทางการสอสารทมการรกษาความมนคงปลอดภยดวยการเขารหสลบ ขอมล (Encryption) ซงถกออกแบบมาเพอใชแทนทการสอสารขอมลบนระบบเครอขายทสงขอมลแบบไมไดเขารหสลบ (Plaintext) เชน Telnet, Rlogin หรอ FTP ปจจบนโพรโทคอล SSH มสองเวอรชนคอ SSH-1 และ SSH-2 (ถกพฒนาจาก SSH-1 เพอแกไขชองโหวหรอขอผดพลาดทท าใหผโจมตสามารถโจมตเขามายงเครองคอมพวเตอรทใหบรการ SSH ได [8-1]) การท างานของโพรโทคอล SSH จะท างานในลกษณะไคลเอนตและเซรฟเวอร (Client-Server) โดยรปแบบการใชงานจะประกอบไปดวยโปรแกรม 2 สวนคอ โปรแกรมสวนทท าหนาทเปนเครองทใหบรการ (Server) จะถกตดตงลงทเครองคอมพวเตอรทตองการใหบรการ SSH เชน โปรแกรม OpenSSH-Server บนระบบปฏบตการ Linux โดยสวนใหญแลวเครองคอมพวเตอรทตดตงโปรแกรมทใหบรการ SSH จะตดตงเพออ านวยความสะดวกแกผใชงานรวมกบบรการอนๆ ควบคไป เชน บรการเวบเซรฟเวอร หรอบรการอพโหลดไฟล เปนตน และโปรแกรมอกสวนจะท าหนาทเปนผเชอมตอ (Client) ไปยงเครองคอมพวเตอรทใหบรการ SSH เชน โปรแกรม PuTTY [8-2] บนระบบปฏบตการ Windows หรอ

90

โปรแกรม OpenSSH-Client บนระบบปฏบตการ Linux ถงแมโพรโทคอล SSH จะมขอดในเรองของการรกษาความมนคงปลอดภยโดยมการเขารหสลบขอมล และมการลอกอนกอนการเขาใชงาน แตกยงพบวามโอกาสสงทจะถกโจมตจากผไมหวงด เนองจากผลลพธและความส าเรจในการเขาโจมตอาจหมายถงการไดรบสทธในการเขาควบคมและสงการเครองคอมพวเตอรทใหบรการนนทนท โดยลกษณะการโจมตทเกดขนมกจะมาจากการใชเทคนคในการเขาโจมตท เครองคอมพวเตอรทใหบรการโดยตรง เชน การโจมตดวยวธการสมรหสผาน (Brute-force) เพอพยายามเขาสระบบเครองคอมพวเตอรทใหบรการ SSH ซงหากผใชงานหรอผดแลระบบตงคารหสผานในการลอกอนงายเกนไปกจะท าใหโอกาสในการโจมตส าเรจงายมากขน โดยแนวทางในการปองกนทไดผลลพธดทสด คอ การรทนการโจมตและรวธในการปองกนการโจมตดงกลาว ซงหนงในวธการปองกนทผดแลระบบสวนใหญนยมใช และจะกลาวถงในบทความน คอ การเปลยนวธการลอกอนจากวธการปกตทใชรหสผาน เปนการใชเทคนคการใชคกญแจ (Key Authentication) [8-3] ซงเปนรปแบบการเขารหสแบบอสมมาตร (Asymmetric-key cryptography) โดยมการสรางคกญแจ ซงจะประกอบไปดวยกญแจสาธารณะ (Public Key) และ กญแจสวนตว (Private Key) มหลกการท างานคอ ถาใชกญแจ A ในการเขารหสลบ จะตองใชกญแจ B ในการถอดรหสลบ โดยการเขารหสและถอดรหสด งกล าวจะใชฟ งกชนทางคณตศาสตร เข ามาชวย [8-4] ซงการใชหลกการดงกลาวในการพสจนตวตนของผ ใชงานกบเครอง คอมพวเตอรทใหบรการ SSH จะชวยปองกนการโจมตดวยวธการ Brute-force จากผโจมตได และยงสามารถเพมความมนคงปลอดภยจากการใชงาน Key Authentication ไดโดยการเขารหสลบ Private key ดวยรหสผานอกขนตอนหนง เพอปองกนบคคลอนน ากญแจดงกลาวไปใชงาน ซงวธการใชงาน SSH ดวยวธการ Key Authentication สามารถอธบายไดดงน

91

8.1 วธการใชงาน Secure Shell (SSH) ดวย Key Authentication ส าหรบการเรมตนใชงาน Key Authentication บนโพรโทคอล SSH ผใชงานจะตองสราง Public Key และ Private Key โดย Public Key จะถกเกบไวทเครองคอมพวเตอรทใหบรการ SSH สวน Private Key จะเกบไวทเครองผใชงาน ซงจากขอมลดงกลาวแสดงใหเหนวา Private Key ควรจะตองไดรบการดแลรกษาทดจากผใชงาน เนองจากเปนสวนส าคญในการลอกอนเขาไปยงระบบ หากผอนได Private Key ไปแลวอาจท าใหผอนสามารถเขาถงบรการ SSH ไดโดยงาย

ตวอยางการใชงาน SSH Key Authentication

จ าลองระบบดงน

เครองผใชงานฝงไคลเอนต : • ใชระบบปฏบตการ Ubuntu 11.04

• โปรแกรมทใชคอ OpenSSH-Client

เครองคอมพวเตอรทใหบรการ SSH : • ใชระบบปฏบตการ Ubuntu Server 11.04

• โปรแกรมทใชคอ OpenSSH-Server • IP Address เปน 10.10.10.10

• ม Account ของผใชเปน user01 และม Home directory เปน /home/user01 ( สามารถเขยนแทนดวยเครองหมาย “~” )

หมายเหต: ค าสงการใชงาน SSH อาจมความแตกตางกนตามโปรแกรมทใชงาน ซงในทนจะใชค าสงของโปรแกรม OpenSSH [8-5]

92

1. สราง Key Pair ทเครองของผใชงาน ท าการสราง Key Pair เพอจะได Public Key และ Private Key

1.1 ใชค าสง ssh-keygen ดวยรปแบบดงน

ssh-keygen [-b bits] -t type [-f output_keyfile]

[-b bits] เปนการระบขนาดบตของ Key ทสราง หากไมมการก าหนดโปรแกรมจะใชคาตงตนคอ 2048 บต

-t เปนการก าหนดรปแบบของ Key โดยคาทเปนไปไดคอ rsa1 เปนการก าหนดโพรโทคอล RSA Version 1 rsa และ dsa เปนการก าหนดโพรโทคอล RSA และ DSA Version 2 ตามล าดบ

[-f output_keyfile] เปนการก าหนดชอ ไฟลของ Key ทสราง โดยผใชงานสามารถระบไดเรกทอรทตองการเกบ Key ลงไปดวยได หากไมไดก าหนด โปรแกรมจะสราง Key ไวทไดเรกทอร ~/.ssh/ โดยจะสราง Private Key เปนไฟลชอ id_rsa และสราง Public Key เปนไฟลชอ id_rsa.pub

พมพค าสงดงน ssh-keygen -t rsa -b 1024 -f ~/.ssh/user01-key จากค าสงขางตนจะเปนการสราง Key Pair ชนด RSA Version 2 มขนาด 1024 บต และถกสรางไวทไดเรกทอร ~/.ssh/ ซงจะปรากฏไฟล user01-key และ user01-key.pub 1.2 หลงจากพมพค าสงแลวกดปม Enter จากนนโปรแกรมจะใหใสคา Passphrase หรอรหสผานทใชในการเขารหสลบเพอปองกนการใชงาน Private Key จากผไมหวงด ซงทกครงทมการใชงาน Private Key จะตองใส Passphrase

93

นเพอปลดลอคจงจะใชงานได โดยผลลพธทไดหลงจากการใชค าสงจะพบวามไฟล user01-key (Private Key) และ user01-key.pub (Public Key) อยท /home/user01/ หรอ ~/ 1.3 เมอสราง Key เสรจ ควรปรบปรงสทธในการเขาถง Key เชนก าหนดสทธใหผใชงานสามารถอานและเขยน Private Key ไดเทานน และก าหนดสทธใหผใชอน สามารถอาน Public Key ไดอยางเดยว ค าสงในการตงคาสทธใหผใชงานเทานนทสามารถอานและเขยน Private Key ไดมดงน chmod 600 user01-key ค าสงในการตงคาสทธใหผอนสามารถอาน Public Key ไดอยางเดยวมดงน chmod 644 user01-key.pub ตวอยางค าสงการสราง Key user01@test:/home/user01$ ssh-keygen -t rsa -b 1024 -f ~/.ssh/user01-key Generating public/private rsa key pair. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/user01/.ssh/user01-key. Your public key has been saved in /home/user01/.ssh/user01-key.pub. The key fingerprint is: 48:34:5a:68:a0:77:a1:3e:b8:55:20:25:51:8c:f5:fe user01@test หากตองการเปลยน Passphrase สามารถท าไดโดยใชค าสง ssh-keygen โดยก าหนดพารามเตอร -p และระบต าแหนงของ Private Key ดวยพารามเตอร -f ตวอยางค าสงการเปลยน Passphrase ทลอกการใชงาน Private Key

94

user01@test:/home/user01$ ssh-keygen -p -f /home/user01/.ssh/user01-key Enter old passphrase: Key has comment '/home/user01/.ssh/user01-key' Enter new passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved with the new passphrase.

2. คดลอก Public Key ไปยงเครองคอมพวเตอรทใหบรการ SSH

2.1 คดลอก Public Key ไปยงเครองคอมพวเตอรทใหบรการ SSH ดวยค าสง

scp ~/.ssh/user01-key.pub user01@10.10.10.10

หมายเหต: ค าสง scp (Secure copy) เปนค าสงในการคดลอกไฟลไปยงเครองคอมพวเตอรปลายทาง โดยขอมลทสงจะผานชองทางทมการเขารหสล บ ซงความหมายของค าสงขางตนคอการคดลอกไฟลชอ user01-key.pub ทอยใน ~/.ssh/ ไปท /home/user01/ ของเครองคอมพวเตอรปลายทางทม IP Address 10.10.10.10

2.2 ใหผใชงานลอกอนเขาไปยงเซรฟเวอรทใหบรการ SSH จากนนท าการยาย Public Key ของตน ไปไวทไดเรกทอร ~/.ssh/ แลวเปลยนชอจาก user01-key.pub เปน authorized_keys ดวยค าสงดงน

mv user01-key.pub ~/.ssh/authorized_keys

หมายเหต: การเพม Public Key มากกวา 1 key เขาไปยงระบบของผใชงาน สามารถท าไดโดยการน า Public Key ใหมมาตอทายเนอหาในไฟล authorized_keys ดวยค าสง

cat ~/user01-key2.pub >> ~/.ssh/authorized_keys

95

2.3 ก าหนดสทธในการเขาถง Public Key ใหเหมาะสม เชน ก าหนดใหผอนสามารถอานไฟลไดเทานน ดวยค าสง chmod 644 authorized_keys

3. ตงคาการเชอมตอของโปรแกรม OpenSSH-Client การตงคาการเชอมตอของโปรแกรม OpenSSH-Client ทเครองผใชงาน ท าใหเกดความสะดวกในการเรยกค าสงในการเชอมตอไปยงเครองคอมพวเตอร ทใหบรการ SSH โดยผใชงานสามารถก าหนดคาเบองตนในการเชอมตอ เชน ต าแหนงของ Private Key หรอ IP Address ของเครองคอมพวเตอรทใหบรการ SSH ซงท าไดโดยการสรางไฟลชอ config ไวทไดเรกทอร ~/.ssh ของผใช จากนนก าหนดคาดงตวอยางลงในไฟล Host server Hostname 10.10.10.10 User user01 IdentitiesOnly yes IdentityFile ~/.ssh/user01-key จากการตงคาขางตน เปนการก าหนดชอทใชแทนการตงคาเพอใชเขาถงเครองปลายทาง โดยท:

• Hostname คอการก าหนดชอหรอ IP Address ทระบทอยของเครองคอมพวเตอรทใหบรการ SSH

• User คอการก าหนดชอผใชงานทจะใช ลอกอนไปยงเครองคอมพวเตอรทใหบรการ SSH

• IdentityFile เปนการก าหนดทอยของ Private Key จากนนผใชงานสามารถทดสอบการเชอมตอไปยงเครองคอมพวเตอรทใหบรการ SSH ไดดวยค าสง ssh server ตวอยางการใชงานค าสง ssh-server user01@test:/home/user01/.shh# ssh server

96

Enter passphrase for key 'user01-key': ซงหลงจากการใชค าสงแลว ระบบจะใหใส Passphrase ของ Private Key ในกรณทไมไดตงคาการเชอมตอในไฟล config ผใชงานสามารถก าหนดการเขาถงเครองคอมพวเตอรทใหบรการ SSH ไดโดยตรง ดวยรปแบบค าสงดงน

ssh [-i private_key_file] username@hostname

Option -i หมายถง การระบทอย Private Key ของผใชงาน

ตวอยางการใชงาน

ssh -i ~/.ssh/user01-key user01@10.10.10.10

จากค าสงขางตน เปนการลอกอนไปยงเครองคอมพวเตอรทใหบรการ SSH โดยม IP Address เปน 10.10.10.10 ดวย account ของผใชงานชอ user01 และใช Private Key ทก าหนดไวทไฟล ~/.ssh/user01-key

4. ตงคาการท างานของโปรแกรม OpenSSH-server โดยปกตแลวโปรแกรม OpenSSH-Server จะมการก าหนดคาตงตนของโปรแกรมใหใชการลอกอนดวยรหสผาน ซงผดแลระบบสามารถปรบปรงการตงคาเพอใหสอดคลองกบการใชงาน Key Authentication ดวยการปรบแตงคาทไฟล /etc/ssh/sshd_config โดยมรายละเอยดดงน PasswordAuthentication no PubkeyAuthentication yes RSAAuthentication yes จากนน Restart โปรแกรม Openssh-server ดวยค าสง /etc/init.d/sshd restart

97

8.2 เอกสารอางอง [8-1] http://en.wikipedia.org/wiki/Secure_Shell [8-2] http://www.chiark.greenend.org.uk/~sgtatham/putty/ [8-3] http://en.wikipedia.org/wiki/Key_authentication [8-4] http://th.wikipedia.org/wiki/วทยาการเขารหสลบ [8-5] http://www.openssh.com/

98

99

9. เชอมตออยางปลอดภยดวย SSH Tunnel ผเรยบเรยง: วศลย ประสงคสข วนทเผยแพร: 29 พ.ย. 2554 ปรบปรงลาสด: 29 พ.ย. 2554 การใชงานอนเทอรเนตจากผใหบรการเครอขายไรสายสาธารณะ (Wi-Fi) หรอจาก ผใหบรการรานอนเทอรเนตคาเฟทวไป ลวนแลวแตเปนการเชอมตอบนเครอขายทไมปลอดภยและมความเสยงตอการถกผไมหวงด หรออาจหมายถงผใหบรการเองในการลกลอบขโมยขอมลการใชงานของผใชบนเครอขายนนๆ เชน การดกจบขอมลรหสผานทผใชสงผานเครอขายไรสายสาธารณะ เปนตน ซงในเวลาตอมาไดมการพฒนารปแบบการเชอมตอทมความสามารถในการท าใหการเขาใชงานระบบบนเครอขายใดๆ มการรกษาความปลอดภยในการรบสงขอมล โดยหนงในวธทผดแลระบบสามารถน ามาประยกตและปรบใชในการท างาน เพอท าใหการรบสงขอมลบนเครอขายมความปลอดภยคอ การสรางชองทางการรบสงขอมลเฉพาะทเรยกวา Tunnel ผานโพรโทคอล SSH (Secure Shell) ทมรปแบบการสอสารทมมาตรการรกษาความปลอดภยของขอมลดวยการเขารหสลบขอมล โดย SSH Tunnel มชอเรยกอกชอหนงวา SSH Port Forward เนองจากมการท างานลกษณะเดยวกบ Port Forward ซงใชก าหนดเสนทางการรบสงขอมลระหวางเครอขายภายนอก (WAN) กบเครอขายภายใน (LAN) โดยปกตการใชงาน Port Forward จะนยมใชในฟงกชนการท างานของอปกรณ Router เพอใหเครองคอมพวเตอรจากเครอขายอนเทอรเนตสามารถเชอมตอมายงเครอขายภายใน Router ดงกลาว โดยสามารถระบชองทางการเชอมตอแยกแตละ Port ไดดงรปท 19 (9-1)

100

รปท 19 (9-1) แสดงใหเหนถงเสนทางการรบสงขอมลเมอมการใชฟงกชน Port

Forward ในอปกรณ Router

รปแบบการสรางการเชอมตอของ SSH Tunnel สามารถท าได 2 แบบคอ Local Port Forward และ Remote Port Forward [20-1] ซงจะกลาวถงในหวขอถดไป โดยการใชงาน SSH Tunnel ผใชจะตองตดตงโปรแกรม SSH Client ลงในเครองคอมพวเตอร ซงในระบบปฏบตการลนกซสวนใหญ จะมการตดตงโปรแกรม OpenSSH-Client มาพรอมกบระบบอยแลว สวนในระบบปฏบตการวนโดวสผใชสามารถดาวนโหลดและตดตงโปรแกรมชอ PuTTY [20-2] ซงท างานในลกษณะ SSH Client เชนกน แตในบทความนจะขอแสดงวธการท า SSH Tunnel โดยใชโปรแกรม OpenSSH-Client

9.1 การท า Local Port Forward และ Remote Port Forward จ าลองระบบดงน

เครอขาย คอมพวเตอร Web Server SSH Server SSH Client A Com1 / /

Com2 / / / B Com3 / /

Com4 / /

101

หมายเหต 1. คอมพวเตอรภายในเครอขายเดยวกนสามารถเชอมตอกนได 2. Com2 และ Com3 เชอมตอกนไดผานอนเทอรเนต

รปท 20 (9-2) สภาพแวดลอมของระบบ

1. Local Port Forward หรอเรยกอกชอหนงวา Outgoing Tunnels เปนการก าหนดชองทางการเชอมตอจากเครอขายตนทางไปยงเครอขายปลายทางผาน Port ทก าหนด ใชเมอตองการใหเครองคอมพวเตอรทอยในเครอขายตนทางสามารถเชอมตอผาน Tunnel ไปยงเครองคอมพวเตอรทอยในเครอขายปลายทาง โดยเครองคอมพวเตอรทใชสราง Tunnel หรอเครองคอมพวเตอรตนทางจะตองเชอมตอและยนยนสทธผานเครอง SSH Server ทเครอขายปลายทาง และก าหนดคา Port ทจะเชอมระหวางเครอขายทงสองผใชสามารถท า Local Port Forward ไดโดยใชค าสงซงมรปแบบดงน

ssh -L local_listen_port:destination_host:destination_port user@hostname โดยท

สญลกษณ ความหมาย

-L ก าหนดใหเครอง SSH Server ท า Local Port Forward

local_listen_port ก าหนดใหเครอง SSH Server ทราบวาหากมการเชอมตอ

102

สญลกษณ ความหมาย

เขามาท Port ทก าหนด ใหสงตอไปยง destination_port ของเครองเปาหมาย

destination_host ก าหนดใหเครอง SSH Server ทราบวาเครองคอมพวเตอรเครองใดเปนเครองเปาหมายของผใช

destination_port ก าหนดใหเครองใหบรการ SSH ทราบวาผใชตองการสงตอการเชอมตอเขาส Port ใดของเครองเปาหมาย

user@hostname ชอผใชและเครอง SSH Server ทใชงาน

ตวอยางการใชงาน Local Port Forward

ในกรณผใชอยท Com2 ตองการเขาถง Web Server (Port 80) ของเครอง Com3 สามารถใชค าสงไดดงน

ssh -L 8080:164.115.4.3:80 user1@164.115.4.3

ค าสงนหมายความวาใหใชสทธของ user1 บน SSH Server (Com3) เพอสงตอการเชอมตอจาก Port 8080 ของเครอง Com2 ไปยง Port 80 ของเครอง Com3 สามารถแสดงแบบจ าลองการเชอมตอไดดงรปท 21 (9-3) ผใชสามารถเขาถงเวบไซตของ Com3 ไดโดยพมพ URL: http://164.115.4.3:8080 ทเวบเบราวเซอร (web browser)

รปท 21 (9-3) แบบจ าลองการเชอมตอจากค าสง ssh -L 8080:164.115.4.3:80 user1@164.115.4.3

ในกรณผใชอยท Com2 ตองการเขาถง Web Server ของเครอง Com4 สามารถ

103

ใชค าสงไดดงน

ssh -L 8080:172.24.1.5:80 user1@164.115.4.3

ค าสงนหมายความวาใหใชสทธของ user1 บน SSH Server (Com3) เพอสงตอการเชอมตอจาก Port 8080 ของเครอง Com2 ไปยง Port 80 ของเครอง Com4 สามารถแสดงแบบจ าลองการเชอมตอไดดงรปท 22 (9-4) ผใชสามารถเขาถงเวบไซตของ Com4 ไดโดยพมพ URL: http://164.115.4.3:8080 ทเวบเบราวเซอร (web browser)

รปท 22 (9-4) แบบจ าลองการเชอมตอจากค าสง ssh -L 8080:172.25.1.5:80 user1@164.115.4.3

2. Remote Port Forward หรอเรยกอกชอหนงวา Incoming Tunnels มการท างานและวตถประสงคทตรงขามกบ Local Port Forward กลาวคอเปนการก าหนดชองทางการเชอมตอจากเครอขายปลายทางกลบมายงเครอขายตนทางผาน Port ทก าหนด ใชเมอตองการใหเครองคอมพวเตอรทอยในเครอขายปลายทางสามารถเชอมตอผาน Tunnel กลบมายงเครองคอมพวเตอรทอยในเครอขายตนทาง โดยเครองคอมพวเตอรทใชสราง Tunnel หรอเครองคอมพวเตอรตนทางจะตองเชอมตอและยนยนสทธผานเครอง SSH Server ทเครอขายปลายทาง และก าหนดคา Port ทจะเชอมระหวางเครอขายทงสอง ผใชสามารถท า Remote Port Forward ไดโดยใชค าสงซงมรปแบบดงน

104

ssh -R remote_listen_port:destination_host:destination_port user@hostname โดยท

สญลกษณ ความหมาย

- R ก าหนดใหเครอง SSH Server ท า Remote Port Forward

remote_listen_port ก าหนดใหเครอง SSH Server ทราบวาหากมการเชอมตอเขามาท Port ทก าหนดใหสงตอไปยง destination_port ของเครองเปาหมาย

destination_host ก าหนดใหเครอง SSH Server ทราบวาเครองคอมพวเตอรเครองใดเปนเครองเปาหมายของผใช

destination_port ก าหนดใหเครอง SSH Server ทราบวาหากมการเชอมตอเขามาท Port น ใหสงตอการเชอมตอไปยง remote_listen_port

user@hostname ชอผใชและเครอง SSH Server ทใชงาน

ตวอยางการใชงาน Remote Port Forward

ในกรณผใชตองการแสดงหนาเวบไซตภายใน Web Server ของ Com2 ใหบคคล ภายนอกเครอขาย A เหน ผใชสามารถใชค าสงตอไปนท Com2 ได

ssh -R 8080:122.248.233.17:80 user1@164.115.4.3

โดยค าสงนเปนการบอกให SSH Server (Com3) ทราบวาหากมการตดตอเขามาท Port 8080 ใหท าการสงตอการเชอมตอไปยง Port 80 ของเครอง Com2 สามารถแสดงแบบจ าลองการเชอมตอไดดงรปท 23 (9-5)

105

รปท 23 (9-5) แบบจ าลองการเชอมตอจากค าสง ssh -R 8080:122.248.233.17:80 user1@164.115.4.3

ในกรณผใชตองการแสดงหนาเวบไซตภายใน Web Server ของ Com1 ใหบคคล ภายนอกเครอขาย A เหน ผใชสามารถใชค าสงตอไปนท Com2 ได

ssh -R 8080:192.168.1.5:80 user1@164.115.4.3

โดยค าสงนเปนการบอกให SSH Server (Com3) ทราบวาหากมการตดตอเขามาท Port 8080 ใหท าการสงตอการเชอมตอไปยง Port 80 ของเครอง Com1 สามารถแสดงแบบจ าลองการเชอมตอไดดงรปท 24 (9-6)

รปท 24 (9-6) แบบจ าลองการเชอมตอจากค าสง ssh -R 8080:192.168.1.5:80 user1@164.115.4.3

จะเหนไดวา การเชอมตอผาน SSH Tunnel สามารถท าไดงายและท าใหการรบสงขอมลมความมนคงปลอดภย แตอยางไรกตามการใชงาน SSH Tunnel ควรมการ

106

ก าหนดการเขาใชอยางระมดระวง เนองจากการเชอมตอผาน SSH ผเชอมตอจะไดรบสทธของผใชในระบบของเครองปลายทาง ซงหากสทธการใชงานดงกลาวถกก าหนดไวแบบไมระมดระวง กอาจเกดความเสยหายตอระบบไดหากผไมหวงดสามารถลวงรขอมลทใชใน การเชอมตอเขาส SSH Server เชน หมายเลข IP, Username หรอ Password

9.2 เอกสารอางอง [9-1] http://www.debianadmin.com/howto-use-ssh-local-and-

remote-port-forwarding.html [9-2] http://www.chiark.greenend.org.uk/~sgtatham/putty/

download.html

107

รทนภยคกคาม

108

109

10. ชองโหวของ Apache HTTPD 1.3/2.X Range Header (CVE-2011-3192)

ผเรยบเรยง: สรณนท จวะสรตน วนทประกาศ: 1 ก.ย. 2554 ปรบปรงลาสด: 1 ก.ย. 2554

ประเภทภยคกคาม: DoS (Denial-of-Service)

10.1 ขอมลทวไป

พบชองโหวของซอฟตแวรเครองแมขายเวบ Apache ในเวอรชน 1.3 และ 2.X ซงชองโหวนสามารถถกโจมตจากผใดกตามทสามารถเรยกใชบรการเวบในลกษณะ HTTP-based Range [10-1] ซงจะท าใหเครองแมขายเกดการใชงาน CPU และ Memory ทสงผดปกตจนกระทงเครองแมขายเวบไมสามารถใหบรการตอไปได และเกดสภาวะหยดการท างาน (Denial-of-Service) จากการวเคราะหชองโหว พบวาสาเหตของปญหานาจะเกด 2 สาเหต คอ ความบกพรองในการบรหารจดการการใชทรพยากรของเครองแมขายของซอฟตแวร Apache เอง และความบกพรองในสวนของการออกแบบโปรโตคอล HTTP ทยอมรบการ Request ในลกษณะ Byte serving ไดพรอมๆ กนหลายๆ ชวงของขอมล [10-1] [10-2] โดยไมไดก าหนดขอหามในการเรยกใชชวงขอมลทมลกษณะซอนทบ (Overlap) กน ซงเปนชองทางใหผใชเรยกใชซอฟตแวร Apache เพออานขอมลพรอมๆ กนหลายครงๆ ไดโดยงาย จนกระทงทรพยากรในเครองแมขายถก Process Apache ใชงานจนหมด

10.2 ผลกระทบ

ท าใหเครองแมขายเกดการใชงาน CPU และ Memory สงจนกระทงเกดสภาวะหยดการท างาน (Denial-of-Service)

110

10.3 วธการแกไข

ผดแลระบบเครองแมขายเวบ Apache ทไดรบผลกระทบจากชองโหวน สามารถเลอกวธในการแกไข/บรรเทาปญหาไดตามขอเสนอตางๆ [10-1] [10-2] [10-3] ดงน

1. ด าเนนการปรบปรงซอฟตแวร Apache ใหเปนเวอรชน 2.2.20 หรอใหมกวา

2. หากไมสามารถปรบปรงซอฟตแวรใหเปนเวอรชนทปรบปรงแกไขชองโหวนไดแลว ใหพจารณาวธการดงตอไปน

2.1. ส าหรบ Apache 2.0 และ 2.2 ใหจ ากด Request Range Header ใหมความยาวไมเกน 5 ชวง โดยสามารถก าหนดคา Configuration ของซอฟตแวร Apache ดงตอไปน # Drop the Range header when more than 5 ranges. # CVE-2011-3192 SetEnvIf Range (,.*?){5,} bad-range=1 RequestHeader unset Range env=bad-range # optional logging. CustomLog logs/range-CVE-2011-3192.log common env=bad-range Configuration น จะปฏเสธ Request Range Header ทมจ านวนมากกวา 5 ชวงขนไป โดยระบบจะด าเนนการบนทก Log ของการ Request น ลงใน [Apache Log Path]/logs/range-CVE-2011-3192.log เพอน าขอมลไปตรวจสอบดภายหลงได (สามารถแกไข path ไดตามความเหมาะสม) 2.2 ส าหรบ Apache 1.3 จ าเปนตองอาศยวธการจ ากด Request Range Header ใหมจ านวนไมเกน 5 ชวง ดวย mod rewrite โดยใช configuration ดงตอไปน # Reject request when more than 5 ranges in the Range: header. # CVE-2011-3192

111

# RewriteEngine on RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$) RewriteRule .* - [F] ซงวธการท างานจะคลายกบ 2.1 แตระบบจะไมสามารถบนทก Log ของ Request Range ทเกน 5 ชวงขอมลเอาไวได หมายเหต วธการจ ากดจ านวน Request Range ทก าหนดไวเปน 5 ชวง ใน configuration ขางตน อาจเปลยนแปลงไดตามความเหมาะสม เพราะ application บางชนด เชน e-book reader หรอ video streaming player อาจมการใชงาน http range request ทซบซอน ซงตองการการก าหนดคา range มากกวา 5 ชวง หากก าหนดคา range ไวต าเกนไป อาจท าให application ดงกลาว มปญหาในการใชงานได 3. ส าหรบวธการทางเลอกอน นอกเหนอการจ ากดจ านวน Request Range คอการจ ากดความยาวของ HTTP Request Header ใหมขนาดเหมาะสม เชน

LimitRequestFieldSize 200

เปน การจ ากดความยาวของ header ใหไมเกน 200 bytes แตอาจมผลกระทบกบ Header อนๆ ทมขนาดใหญ เชน cookie ได หรอยกเลก Byte Range Request ดวย mod headers โดยตง configuration ดงน

RequestHeader unset Range

10.4 แหลงขอมลอนๆ ทเกยวของ 1. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-

3192

2. http://www.kb.cert.org/vuls/id/405811

112

3. http://blog.spiderlabs.com/2011/08/mitigation-of-apache-range-header-dos-attack.html

4. http://www.apache.org/dist/httpd/CHANGES_2.2.20

10.5 เอกสารอางอง [10-1] http://en.wikipedia.org/wiki/Byte_serving

[10-2] http://tools.ietf.org/html/rfc2616#section-14.35

[10-3] https://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110824161640.122D387DD@minotaur.apache.org%3E

113

11. เซรฟเวอรในโครงการ Kernel.org ถกเจาะระบบ ผเรยบเรยง: เสฏฐวฒ แสนนาม วนทประกาศ: 6 ก.ย. 2554 ปรบปรงลาสด: 6 ก.ย. 2554

ประเภทภยคกคาม: Intrusion

11.1 ขอมลทวไป

ทมงาน Kernel.org ซงเปนหนวยงานทดแล Linux Kernel ไดรายงานวา เซรฟเวอรจ านวนหลายเครองทใชในการดแลและแจกจายซอรสโคดของระบบ ปฏบตการ Linux ถกเจาะระบบและใชสทธของ root เพอฝง Malware [11-1] การโจมตครงนถกตรวจพบ เมอวนท 28 สงหาคม 2554 ทมงานพบวาระบบถกโจมตกอนวนท 12 สงหาคม 2554 ผบกรกเขาสเครองเซรฟเวอรทชอ Hera ดวย บญชผใชทขโมยมา และเปลยนสทธของผใชใหเปนสทธของผดแลระบบ (root) ซงวธการทใชในการเปลยนสทธนนยงอยระหวางการวเคราะห หลงจากไดรบสทธของ root แลวผบกรกกไดแกไขไฟลทเกยวของกบการก าหนดคา ssh (เชน openssh, openssh-server และ openssh-clients) ของเครองแมขายของ kernel.org แลวท าการฝงโทรจนไวเพอใหท างานทกครงทเรมระบบ ในขณะน ทางทมงาน Kernel.org ไดท าการปดระบบลงทงหมด เพอท าการส ารองขอมลและตรวจสอบขอมลการโจมต หลงจากนน จะท าการตดตงระบบปฏบตการใหมทงหมด [11-2] [11-3]

114

11.2 ผลกระทบ

ผใชทดาวนโหลดซอรสโคดของ Linux จาก Kernel.org ตงแตวนท 12 สงหาคม 2554 อาจไดรบไฟลทถกปลอมแปลงเพอสรางความเสยหายได

11.3 ระบบทมผลกระทบ

Linux Kernel เวอรชนทพฒนาหลงจาก วนท 12 สงหาคม ถง วนท 28 สงหาคม 2554 (Kernel รน 3.0.2 - 3.0.3)

11.4 วธการแกไข

ตรวจสอบลายเซน GPG จากซอรสโคดทดาวนโหลดมาจาก Kernel.org เนองจากไฟลอาจถกปลอมแปลงได [4-4]

11.5 เอกสารอางอง [11-1] http://www.kernel.org/ [11-2] http://www.theregister.co.uk/2011/08/31/linux_kernel_

security_breach/ [11-3] http://php.webtutor.pl/en/2011/09/01/kernel-org-has-

been-hacked/ [11-4] http://kernel.org/signature.html

115

12. ระวงภย แฮกเกอรออกใบรบรองปลอมของ Google, Yahoo!, Mozilla และอนๆ ผเรยบเรยง: เสฏฐวฒ แสนนาม วนทประกาศ: 2 ก.ย. 2554 ปรบปรงลาสด: 7 ก.ย. 2554

ประเภทภยคกคาม: Fraud

12.1 ขอมลทวไป ใบรบรอง SSL (SSL Certificate) ใชในการยนยนเครองใหบรการเวบ ท าใหผใชสามารถมนใจไดวาเครองใหบรการทตดตอดวยนนเปน เครองทอางถงจรง การใชใบรบรองเปนการรบรองความมนคงปลอดภยของขอมลทรบ -สงระหวาง เครองใหบรการและเครองใชบรการดวยการเขารหสลบขอมล (Encryption) โดยปกตเมอผใชเขาสเวบไซตทมการเชอมตอแบบ SSL (Secure Socket Layer) ทมใบรบรองอยางถกตอง เบราวเซอรจะแสดงไอคอนรปแมกญแจ และในสวนของ Address Bar จะแสดงทอยเวบไซตเปน https:// ถาเวบไซตทใชใบรบรองไมถกตองเบราวเซอรจะแสดงหนาจอ เพอแจงเตอนวาการรบสงขอมลนไมมนคง ปลอดภย [12-1] [12-2] [12-3] ในชวงปลายเดอนสงหาคมทผานมา พบวามใบรบรองปลอมของเวบไซตในเครอของ Google เผยแพรอยในอนเทอรเนต ซงผทมใบรบรองนสามารถสรางเวบไซตปลอมเพอหลอกวาเปนเวบไซตของ Google ไดโดยทเบราวเซอรไมสามารถตรวจสอบไดวาใบรบรองของเวบไซต Google นเปนของปลอม ใบรบรองปลอมนพบวาไดสรางขนเมอวนท 10 กรกฎาคม 2554 โดย DigiNotar

116

ซงเปนผใหบรการออกใบรบรองอเลกทรอนกสในประเทศเนเธอรแลนด ทาง DigiNotar แจงผานหนาเวบไซตวาการออกใบรบรองปลอมนเกดจากการถกเจาะระบบทใช ในการออกใบรบรอง นอกจากนยงพบวา ผทปลอมใบรบรองน ไดสรางใบรบรองปลอมใหกบโดเมนตางๆ นอกจาก *.google.com อกดวย เชน โดเมนในเครอของ Yahoo!, Mozilla, Wordpress และ Tor Project ปจจบนทาง DigiNotar ไดออกใบประกาศเพกถอน (Revoke Certificate) ใบรบรองปลอมแลว แตยงไมสามารถยนยนไดวาจะสามารถเพกถอนใบรบรองปลอมไดทงหมด [12-4]

12.2 ผลกระทบ

ผใชงานทเขาสเวบไซตหลอกลวง จะเขาใจวาเวบไซตนนเปนของ Google, Yahoo!, Mozilla หรอบรการอนๆ เนองจากเบราวเซอรไมมการแจงเตอนวาใบรบรองไมถกตอง ท าใหอาจเปดเผยขอมลสวนบคคลทใชในบรการดงกลาว เชน ชอผใชหรอรหสผาน นอกจากนยงมโอกาสทจะเกดความเสยงดานความมนคงปลอดภยอนๆ จากเวบไซตหลอกลวงดงกลาวได เชน ผใชทดาวนโหลดโปรแกรมทมการรบรองวามาจาก Google จะไมสามารถตรวจสอบไดวา โปรแกรมนถกรบรองโดย Google จรงๆ หรอถกรบรองโดยการใชใบรบรองปลอม

12.3 ระบบทมผลกระทบ ระบบปฏบตการและเบราวเซอรตางๆ ทมการใชงานใบรบรองของ DigiNotar เชน

• Microsoft Windows และ Internet Explorer ทกรน

• Mac OS X และ Safari ทกรน

• Mozilla Firefox รนต ากวา 6.0.1

117

12.4 วธการแกไข

• Microsoft Windows และ Internet Explorer ปจจบนทาง Microsoft ไดออกเครองมออพเดทเพอถอดถอนใบรบรองปลอมออกจากระบบแลว ผใชสามารถตดตงโปรแกรมอพเดทอตโนมตไดผานทาง Windows Update หรอตดตงดวยตนเองท http://support.microsoft.com/kb/2328240 [12-6]

• Google Chrome สามารถตรวจสอบใบรบรองปลอมได และไดออกอพเดทรน 13.0.782.218 ทเพกถอนใบรบรองปลอมแลว [12-5]

• Opera จะตรวจสอบขอมลกบเวบไซตทรายงานเรองใบรบรองปลอมอยแลว ดงนนจงไมจ าเปนตองอพเดท [12-8]

• Mozilla Firefox ออกอพเดทรน 6.0.1 ทเพกถอนใบรบรองปลอมแลว ในกรณทไมสามารถตดตงอพเดทรนใหมได ผใช Mozilla Firefox สามารถลบใบรบรองของ DigiNotar ไดดงน [12-3] 1. ทดานบนของหนาตาง Firefox ใหคลกทปม Firefox (เมน Tools ใน

Windows หรอเมน Edit ใน Linux) จากนนคลก Preferences 2. คลกทแทบ Advance

3. เลอกแทบ Encryption

4. คลก View Certificates 5. ในหนาตาง Certificate Manages ใหคลกทแทบ Authorities 6. เลอนลงไปจนถงสวนของ DigiNotar เลอก DigiNotar Root CA

7. คลกท Delete or Distrust... 8. คลก OK เพอยนยนการลบใบรบรอง

• Mac OS X และ Safari ไมสามารถตรวจสอบใบรบรองปลอมได ผใชจ าเปนตองใชโปรแกรม Keychain Access เพอลบใบรบรองดงกลาวออกจากระบบดวยตนเอง ซงสามารถท าไดดงน [12-7] [12-9]

118

1. เปดโปรแกรม Keychain Access 2. ในชองคนหา พมพค าวา DigiNotar 3. คลกขวาท DigiNotar Root CA เลอก Delete

4. คลกปม Delete เพอยนยนการลบ

ผใชสามารถตรวจสอบเบราวเซอรทตนเองใชอย วาไดถกเพกถอนใบรบรองของ DigiNotar แลวหรอยง ดวยการเขาไปตรวจสอบทเวบไซต https://diginotar.com/

12.5 เอกสารอางอง [12-1] http://www.theregister.co.uk/2011/08/29/fraudulent_

google_ssl_certificate/ [12-2] http://blog.mozilla.com/security/2011/08/29/fraudulent-

google-com-certificate/ [12-3] http://support.mozilla.com/en-US/kb/deleting-diginotar-ca-

cert [12-4] http://www.vasco.com/company/press_room/news_

archive/2011/news_diginotar_reports_security_incident.aspx [12-5] http://googlechromereleases.blogspot.com/2011/08/

stable-update.html [12-6] http://www.microsoft.com/technet/security/advisory/

2607712.mspx [12-7] http://arstechnica.com/apple/news/2011/09/safari-users-still-

susceptible-to-attacks-using-fake-diginotar-certs.ars [12-8] http://my.opera.com/rootstore/blog/2009/05/15/diginotar-ev-

enabled-and-new-verisign-roots [12-9] http://www.tuaw.com/2011/09/01/how-to-get-rid-of-diginotar-

digital-certificates-from-os-x/

119

[12-10] http://www.net-security.org/secworld.php?id=11555

120

121

13. APT ภยคกคามใหมหรอแคชอใหมของภยเดม ผเรยบเรยง: เสฏฐวฒ แสนนาม วนทเผยแพร: 9 ก.ย. 2554 ปรบปรงลาสด: 9 ก.ย. 2554 APT หรอ Advanced Persistent Threat คอประเภทหนงของอาชญากรรมทางคอมพวเตอร ทมเปาหมายเพอโจมตหนวยงานทมขอมลส าคญ เชน หนวยงานทางทหารหรอหนวยงานทางดานความมนคงปลอดภยของประเทศ หนวยงานทางการเมอง หรอองคกรธรกจขนาดใหญ รปแบบการโจมตแบบ APT สวนใหญผด าเนนการมกจะเปนกลมบคคลมากกวาเปนการด าเนนการของบคคลใดบคคลหนง ซงอาจเปนไปไดวากลมบคคลนมกจะมองคกรหรอรฐบาลของประเทศใดประเทศหนงคอยใหการสนบสนนอยเบองหลงการโจมตมเปาหมายทแนชด ผโจมตมกพยายามแฝงตวอยในระบบของเปาหมายใหไดนานทสด และใชทกวถทางเพอใหการโจมตส าเรจผล ค านยามของ APT นนคอนขางหลากหลาย แตสามารถสรปคราวๆ ไดดงน [13-1] [13-2] Advanced - ผทโจมต มความสามารถและมทรพยากรทพรอมส าหรบการโจมต วธการโจมตจะใชเครองมอและเทคนคหลายอยางดวยกน ซงเปนไปไดตงแตการใชความรทางคอมพวเตอรขนสงเพอเจาะระบบ ไปจนถงการใชเทคนคพนฐาน เชน Social Engineering ซงเปนการโจมตโดยอาศยหลกจตวทยาเพอหลอกลวงคนใหเปดเผยขอมลส าคญ [13-3] Persistent - การโจมตจะเปนแบบคอยเปนคอยไปและสม าเสมอ เนองจากผโจมตตองแฝงเขาไปอยในระบบโดยไมใหเปาหมายรตว เพอสรางความเสยหายหรอ

122

รวบรวมขอมลทตองการใหไดมากทสด Threat – จดเปนภยคกคามทเกดขนกบระบบเทคโนโลยสารสนเทศและการสอสาร

13.1 ตวอยางการโจมตแบบ APT

Operation Aurora - Google ประกาศเมอวนท 12 มกราคม 2553 วาถกโจมตดวยวธ APT ตงแตชวงกลางป 2552 ถงเดอนธนวาคม 2552 โดยทมาของการโจมตมาจากประเทศจน [13-4] [13-5] สาเหตการโจมตคาดวาเกดจากกลมผโจมตไมพอใจท Google ไมยอมรบเงอนไขของรฐบาลจนวาใหเซนเซอรผลการคนหาขอมลจากเวบไซต Google ประเทศจน จากการสบสวนพบวา ผโจมตใชชองโหวทคนพบแตยงไมมการแกไข (Zero-day) ของ Internet Explorer โดยมเปาหมายคอขอมลใน Gmail ของนกสทธมนษยชนในประเทศจน ผลจากการโจมตครงนท าให Google ตดสนใจถอนตวและยายส านกงานใหญออกจากประเทศจน

13.2 ภยคกคามใหมหรอแคชอใหมของภยเดม

ผเชยวชาญดานความมนคงปลอดภยบางกลมไมเหนดวยกบการจดให APT เปนภยคกคามประเภทใหม เนองจากเหนวาเปนการสรางค าใหมเพอหวงผลทางการตลาดของหนวยงานทเกยวของกบระบบความมนคงปลอดภย [13-6] [13-7] ดอกเตอร Anup Ghosh ผกอตงบรษท Invincea ซงเปนบรษทพฒนาซอฟตแวรเพมความปลอดภยใหกบ เบราว เซอรและไฟล เอกสาร ได ใหสมภาษณกบ เวบไซต eWEEK.com วาการโจมตแบบ APT นนไมใชการโจมตรปแบบใหมแตอยางใด เปนแคการอาศยชองโหวของระบบทไมไดรบการปรบปรงเรองความมนคงปลอดภย และจากความไมระมดระวงของผดแลระบบทไมตรวจสอบวามเหตการณผดปกตเกดขน [13-8]

123

วธการโจมตแบบ APT นนมการปฏบตมานานแลว ตวอยางเชน ในยคสงครามเยน สหภาพโซเวยตไดท าการสงสายลบ KGB เขาไปแฝงตวในเขตแดนของศตรเพอขโมยขอมล [13-9] ซงการโจมตแบบ APT นนกใชหลกการเดยวกน เพยงแตการน าวธนมาใชเพอโจมตระบบคอมพวเตอรนนเพงจะมขน ดงนน การโจมตแบบ APT จงเปนภยคกคามในรปแบบเดม แตเปนการโจมตทเพงน ามาใชในระบบคอมพวเตอร

13.3 เอกสารอางอง [13-1] http://en.wikipedia.org/wiki/Advanced_persistent_threat [13-2] http://searchsecurity.techtarget.com/definition/advanced-

persistent-threat-APT [13-3] http://th.wikipedia.org/wiki/วศวกรรมสงคม [13-4] http://en.wikipedia.org/wiki/Operation_Aurora [13-5] http://googleblog.blogspot.com/2010/01/new-approach-to-

china.html [13-6] http://www.greebo.net/2010/02/03/advanced-persistent-

threat-risk-management-by-a-new-name/ [13-7] http://kevinfielder.wordpress.com/2011/07/25/apt-new-threat-

or-just-a-new-name-and-just-what-does-it-mean/ [13-8] http://www.eweek.com/c/a/Security/Advanced-CyberAttack-

Claims-Are-Usually-False-Overhyped-520523/ [13-9] http://en.wikipedia.org/wiki/KGB

124

125

14. การแกไขชองโหวเรองความมนคงปลอดภยใน Adobe Reader และ Adobe Acrobat

ผเรยบเรยง: ทมไทยเซรต วนทประกาศ: 15 ก.ย. 2554 ปรบปรงลาสด: 15 ก.ย. 2554

หมายเลขชองโหว: APSB11-24 (รหสอางองของ Adobe) ประเภทภยคกคาม: Intrusion

14.1 ขอมลทวไป

เมอวนท 13 กนยายน 2554 Adobe ไดเผยแพรซอฟตแวรเพอแกไขชองโหวเรองความมนคงปลอดภยส าหรบ โปรแกรม Adobe Reader และ Adobe Acrobat โดยมการแกไขชองโหวทงหมด 13 จด ซงมหลายชองโหวทสามารถถกผไมหวงดใชเปนชองทางท าใหเกดความเสยหายกบซอฟตแวร Adobe Reader/Acrobat หรอใชเปนชองทางในการควบคมเครองคอมพวเตอรจากระยะไกลเพอสรางความ เสยหายกบระบบปฏบตการหรอขอมลตางๆบนเครองคอมพวเตอรทถกโจมตได [14-1]

14.2 ผลกระทบ รายละเอยดของชองโหวทง 13 จดมดงน

• CVE-2011-1353 - เปลยนสทธของผใชใหเปนสทธของผดแลระบบ (เฉพาะ Adobe Reader X (21.x) บน Windows เทานน)

• CVE-2011-2431 - หลบเลยงการตรวจสอบความมนคงปลอดภยเพอประมวลผลค าสงทไมพงประสงคได

126

• CVE-2011-2432 - ชองโหว Buffer overflow ใน U3D TIFF Resource สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได

• CVE-2011-2433 - ชองโหว Heap overflow สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได

• CVE-2011-2434 - ชองโหว Heap overflow สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได

• CVE-2011-2435 - ชองโหว Buffer overflow สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได

• CVE-2011-2436 - ชองโหว Heap overflow ในไลบราร Adobe image parsing สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได

• CVE-2011-2437 - ชองโหว Heap overflow สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได

• CVE-2011-2438 - ชองโหว Stack overflow ในไลบราร Adobe image parsing library สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได

• CVE-2011-2439 - ชองโหว Memory leak (จองพนทของหนวยความจ าแลวไมคน) สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได

• CVE-2011-2440 - ชองโหว use-after-free (เรยกใชงานตวแปรทถกคนคาไปแลว) สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได

• CVE-2011-2441 - ชองโหว Stack overflow ในไลบราร CoolType.dll สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได

• CVE-2011-2442 – ชองโหวจากการประมวลผลตรรกะทผดพลาด สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได

14.3 ระบบทมผลกระทบ

• Adobe Reader X (21.1) และเวอรชนต ากวา 10.x ส าหรบ Windows

127

และ Macintosh

• Adobe Reader 9.4.5 และเวอรชนต ากวา 9.x ส าหรบ Windows, Macintosh และ UNIX

• Adobe Reader 8.3 และเวอรชนต ากวา 8.x ส าหรบ Windows และ Macintosh

• Adobe Acrobat X (21.1) และเวอรชนต ากวา 10.x ส าหรบ Windows และ Macintosh

• Adobe Acrobat 9.4.5 และเวอรชนต ากวา 9.x ส าหรบ Windows และ Macintosh

• Adobe Acrobat 8.3 และเวอรชนต ากวา 8.x ส าหรบ Windows และ Macintosh

14.4 วธการแกไข

ผใชซอฟตแวร Adobe Reader และ Adobe Acrobat สามารถแกไขปญหาได 2 วธคอ

1. ปรบปรงซอฟตแวรใหเปนเวอรชนลาสดโดยการ 1.1 เปดโปรแกรม Adobe Reader หรอ Adobe Acrobat 1.2 คลกทเมน Help เลอกค าสง Check for updates เพอใหโปรแกรมตรวจสอบและปรบรนโดยอตโนมต

2. ตดตงซอฟตแวร Adobe Reader/Acrobat เวอรชน 10.1.1 หรอใหมกวา ซงเปนโปรแกรมทไดรบการแกไขชองโหวแลว สามารถดาวนโหลดไดตามลงกดานลาง

128

Adobe Reader ผใช Adobe Reader บน Windows ดาวนโหลดโปรแกรมไดท http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

ผใช Adobe Reader บน Macintosh ดาวนโหลดโปรแกรมไดท http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh Adobe Acrobat ผใช Acrobat Standard และ Pro บน Windows ดาวนโหลดโปรแกรมไดท http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

ผใช Acrobat Pro Extended บน Windows ดาวนโหลดโปรแกรมไดท http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

ผใช Acrobat 3D บน Windows ดาวนโหลดโปรแกรมไดท http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

ผใช Acrobat Pro บน Macintosh ดาวนโหลดโปรแกรมไดท http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

ส าหรบโปรแกรม Adobe Reader 9.4.6 บน UNIX ทไดรบการแกไขชองโหวแลวจะเผยแพรใหดาวนโหลดในวนท 7 พฤศจกายน 2554

129

หมายเหต: การสนบสนนส าหรบซอฟตแวร Adobe Reader 8.x และ Adobe Acrobat 8.x บน Windows และ Macintosh จะสนสดลงในวนท 3 พฤศจกายน 2554 ทาง Adobe แนะน าใหผใชเปลยนมาใชซอฟตแวรรนลาสดเพอแกไขปญหา [14-2]

14.5 เอกสารอางอง [14-1] http://www.adobe.com/support/security/bulletins/apsb11-

24.html [14-2] http://blogs.adobe.com/adobereader/2011/09/adobe-reader-

and-acrobat-version-8-end-of-support.html

130

131

15. Man-in-the-Middle 101 ผเรยบเรยง: เสฏฐวฒ แสนนาม วนทเผยแพร: 16 ก.ย. 2554 ปรบปรงลาสด: 30 ก.ย. 2554 การโจมตแบบ Man-in-the-Middle (MitM) หมายถง การทมผไมหวงดเขามาแทรกกลางในการสนทนาระหวางคน 2 คน แลวท าหนาทเปนตวกลางในการรบสงขอมลของคสนทนา โดยทคสนทนาไมสามารถทราบไดวามผอนเปนผรบและสงสารตอกบคสนทนาของตนอย ท าใหผไมหวงดสามารถใชรปแบบการโจมตในลกษณะนในการดกรบหรอเปลยนแปลงขอมลททง 2 ฝงสอสารกนอยได ซงการโจมตในรปแบบนถกน ามาประยกต ใชกบการสอสารตางๆ ในระบบคอมพวเตอร ตวอยางเชน การโจมตแบบ MitM ในระบบเครอขาย Wi-Fi ท าใหผไมหวงดสามารถแทรกแซงการเชอมตอระหวางเครองคอมพวเตอรและ อปกรณ Wi-Fi Access Point เพออาน ปลอมแปลง หรอแกไขขอมลทรบสงระหวางคอมพวเตอรทง 2 เครองนนได ซงการเขารหสลบขอมลในการสอสารเพยงอยางเดยวไมสามารถปองกนการโจมตในรปแบบนไดเสมอไป [15-1] ถาผรบและผสงสารไมไดมกลไกใดๆ ในการยนยนคสนทนาไดอยางถกตองการโจมตแบบ MitM สามารถใชโจมตการสอสารขอมลของระบบตางๆ ในเครอขายอนเทอรเนตไดโดยงาย เนองจากรปแบบและมาตรฐานของการสอสารขอมลตางๆ ในระบบอนเทอรเนตไมไดถกออกแบบมาใหมการรกษาความมนคงปลอดภยของ ขอมล เชน การสอสารขอมลผานโพรโทคอล HTTP ส าหรบเรยกดขอมลเวบไซตตางๆ ซงสวนใหญจะไมมการเขารหสลบ ท าใหผโจมตสามารถใชโปรแกรมส าหรบดกจบขอมลในระบบเครอขาย เชน โปรแกรม WireShark หรอ TCPDump ได ถงแมวาในปจจบน การเรยกดขอมลเวบไซตทสอสารผานโพรโทคอล HTTP จะถกออกแบบใหรองรบการเขารหสลบขอมลดวยการเชอมตอผานโพรโทคอล HTTPS

132

ซงใชการเขารหสลบขอมลดวยโพรโทคอล SSL [15-7] แตยงไมสามารถปองกนการโจมตแบบ MitM ไดถาผใชงานไมไดระมดระวงในการตรวจสอบวาเปนเซรฟเวอรทใหบรการเวบไซตจรงหรอเปนเครองทเปน MitM ดวยวธการตรวจสอบใบรบรอง SSL (SSL Certificate) ในกรณนผใชงานอาจจะถกหลอกลวงใหตดตอกบเครองทเปน MitM ผานโพรโทคอล HTTPS และในขณะเดยวกนขอมลหรอบรการทผใชเรยกใชงานกบเครอง MitM น จะถกสงตอผานโพรโทคอล HTTPS ไปยงเซรฟเวอรทใหบรการเวบไซตจรงเพอเรยกขอมลหรอบรการและสง ตอผานกลบไปใหผใชงาน เพราะฉะนน ในการเรยกดเวบไซตผานเครอง MitM ดวยโพรโทคอล HTTPS นผใชงานจะไมสงเกตความผดปกตกบขอมลหรอบรการทเรยกใชงานเมอ เทยบกบการเรยกจากเวบไซตจรงแตอยางใด ในบางกรณผโจมตสามารถหลอกเบราวเซอรไมใหแจงเตอนวาใบรบรองไมถกตองได โดยการใชใบรบรองปลอมทไดมาจากการเจาะระบบของผใหบรการออกใบรบรองอเลกทรอนกส CA (Certificate Authorities) ทไดรบการยอมรบในระดบสากลได [15-2] นอกจากน ยงมการท า SSL Strip ซงเปนการดก Request/Response ระหวางเครองผใชงานกบเครองเซรฟเวอร ในกรณทผใชเขาเวบไซตผานโพรโทคอล HTTP แตเวบไซตนนตองการการเชอมตอแบบ SSL จงสงค ารองขอใหผใชเรยก URL ทเปน HTTPS ซงผโจมตกจะเขามาเปนตวกลางในการเชอมตอ โดยหลอกเครองผใชวาใหเรยก URL เปน HTTP ตามเดม และหลอกเซรฟเวอรวาผใชไดเชอมตอผาน HTTPS แลว ท าใหผโจมตสามารถรขอมลทกอยางทรบสงระหวางผใชกบเครองเซรฟเวอร [15-8] ปจจบนไดมการใชรปแบบ Man-in-the-Middle ไปพฒนาการโจมตในรปแบบใหม ไดแก Man-in-the-Browser และ Man-in-the-Mailbox ซงแตละแบบกใชวธการและไดผลลพธทแตกตางกนไป

15.1 Man-in-the-Browser การโจมตแบบ Man-in-the-Browser (MitB) มความแตกตางจากการโจมตแบบ MitM คอ การโจมตแบบ MitB เกดจากโทรจนทฝงตวอยในเบราวเซอร คอยดกจบและแกไขหนาเวบไซตหรอขอมลทมการรบสง โดยททางฝงผใชหรอฝงผใหบรการไม

133

รวาขอมลถกแกไข ซงโดยสวนมากแลวการโจมตดวยวธนจะมงเนนไปทเวบไซตทเกยวของกบสถาบนการเงน เชน เวบไซตของธนาคาร [15-3] การโจมตแบบ MitB สามารถดกจบขอมลไดทกอยาง ไมวาเวบไซตนนจะใชวธเขารหสลบดวยโพรโทคอล SSL กตาม เพราะโทรจนทฝงอยในเบราวเซอรจะใชวธดกจบขอมลการเขาระบบ เชน ชอผใชหรอรหสผานกอนท เบราวเซอรจะเอาขอมลนนมาเขารหสลบและสงออกไป [15-4] ตวอยางโปรแกรมทเปนการโจมตแบบ MitB เชน Zeus, Zbot, URLZone, SpyEye [15-5]

15.2 Man-in-the-Mailbox การโจมตแบบ Man-in-the-Mailbox (MitMb) เปนการโจมตดวยวธ MitM แบบลาสดทเพงคนพบ โดยอาศยความผดพลาดทเกดจากการพมพทอยอเมลผดพลาด เชน การไมไดพมพ . ในระหวางชอโดเมนขององคกรทมความนาจะเปนทอาจจะเกดขนได ซงผโจมตจะสรางระบบเพอรบอเมลทเกดความผดเหลานไวส าหรบใชใน การโจมตในรปแบบ MitMb การโจมตแบบ MitMb นนจะเกดขนเมอมผสงอเมลจากหนวยงานหนงไปยงอกหนวยงานหนง โดยทผสงนนพมพทอยอเมลผด เชน ผใชจาก @th.biz.com ตองการสงอเมลหาผใชทอยใน @th.bank.com แตพมพทอยอเมลผดกลายเปน @thbank.com อเมลฉบบนนจะถกสงไปยงอเมลของผโจมต จากนนผโจมตจะปรบแตงเนอหาของอเมล รวมถงแกไขสวนหวของอเมล (E-mail header) วาถกสงมาจาก @thbiz.com แลวสงตออเมลฉบบนนไปยง @th.bank.com ซงเปนผรบทแทจรง เมอทาง @th.bank.com ตอบอเมลกลบมา อเมลฉบบนนกจะถกสงมาททอยอเมลของผโจมต จากนนผโจมตกจะแกไขเนอหาและสวนหวของอเมลแลวสงกลบไปใหผสงตวจรงอกครงหนง

134

รปท 25 (15-1) ภาพประกอบอางองจาก nakedsecurity

นกวจยพบวา จากการทดลองจดชอโดเมนจ านวน 30 โดเมน แลวรอรบอเมลทสงผด ปรากฏวาภายในเวลา 6 เดอน มอเมลทพมพทอยอเมลผดแลวถกสงออกมามากกวา 120,000 ฉบบ ซงเนอหาบางสวนในอเมลเหลานนเปนความลบทางการคา ขอมลพนกงาน หรอแมกระทงรหสผาน [15-6]

15.3 ควรรบมออยางไร? การโจมตดวยวธ Man-in-the-X นนประสบความส าเรจงายและตรวจจบไดยาก เนองจากผถกโจมตสวนใหญมกจะไมรตวและคอนขางละเลยในเรองของความปลอดภย ดงนน วธการปองกนทดทสดคอสรางความตระหนกในเรองของความปลอดภยใหกบผใช เชน ตรวจสอบความถกตองของใบรบรองของเวบไซตทกครงทตองท าธรกรรมทางอเลกทรอนกส หมนปรบปรงโปรแกรมตรวจจบไวรสและไมตดตงโปรแกรมทนาสงสย หรอในกรณทตองการสงขอมลทเปนความลบผานทางอเมลควรท าการเขารหสลบขอมลกอนทจะสงออกไป

135

15.4 เอกสารอางอง [15-1] http://en.wikipedia.org/wiki/Man-in-the-middle_attack [15-2] https://www.owasp.org/index.php/Man-in-the-middle_attack [15-3] http://en.wikipedia.org/wiki/Man_in_the_Browser [15-4] https://www.owasp.org/index.php/Man-in-the-browser_attack [15-5] http://www.entrust.com/mitb [15-6] http://nakedsecurity.sophos.com/2011/09/12/missing-dots-

from-email-addresses-opens-20gb-data-leak/ [15-7] http://en.wikipedia.org/wiki/Https [15-8] http://thaicomsec.citec.us/?p=739

136

137

16. Zeus Trojan (Zbot) มาโทรจนปลนธนาคารทวโลก ผเรยบเรยง: ศภกรณ ฤกษดถพร วนทเผยแพร: 5 พ.ย. 2554 ปรบปรงลาสด: 5 พ.ย. 2554 Zeus (ซส) หรอทรจกในอกชอหนงคอ Zbot เปนมลแวรทโดงดงในป 2006 มแหลงก าเนดจากยโรปตะวนออก ถกสรางขนเพอเปนใชเปนเครองมอส าหรบอาชญากรในการขโมยขอมลส าคญของผใชงานบรการสถาบนการเงนออนไลน ดงแสดงในรปท 26 (16-1) และ รปท 27 (16-2) ซสสามารถแพรกระจายไดหลายวธ เชน แนบไฟลหรอลงกมากบอเมล ฝงตวอยในชองโหวของเอกสารประเภท PDF แฝงมากบอปกรณบนทกขอมลภายนอก (External drive) ตดมากบซอฟตแวรละเมดลขสทธ หรอสงตอลงกผานเครอขายสงคมออนไลน (Social network) เปนตน เมอซสไดตดตงตวเองลงบนเครองคอมพวเตอรของเหยอ เครองนนกจะกลายเปน Botnet ของซสในทนท [16-1] ท าใหผโจมตสามารถเขามาโจรกรรมขอมลส าคญภายในเครองคอมพวเตอรของเหยอได ไมวาจะหมายเลขบญชธนาคาร รหสผาน หรอขอมลอนๆ [16-2] นอกจากน ซสยงพยายามรวบรวมขอมลของผใชงานทขโมยมาไดแลวสงมาเกบไวทเซรฟเวอรของผโจมต ซสถกขายเปนเครองมอในตลาดมดโดยมราคาประมาณ 3,000-4,000 ดอลลารสหรฐ [16-3] ซสมกระบวนการในการสงการและควบคมระบบ คอ

1. รอเวลาทเหยอเขามาท ารายการธรกรรมออนไลนตามชองทางของธนาคาร 2. รายงานการด าเนนการตางๆ ของเหยอไปยงหนวยสงการและควบคม

เซรฟเวอรในระบบธนาคาร 3. หนวยสงการและควบคมระบบสงการใหซสเปลยนแปลงการโอนเงนจาก

ธนาคารของเหยอ

138

4. ด าเนนการเปลยนแปลงการโอนเงนจากธนาคารของเหยอโดยตรวจสอบยอดเงนในบญช ก าหนดวงเงนใหมใหมากทสดทจะขโมยไดโดยไมเกนวงเงนทธนาคารก าหนด จากนนจงโอนเงนไปยงบญชเปาหมายแลวสงตอไปยงบญชตางประเทศของผขโมย

5. รายงานผลการด าเนนการใหหนวยสงการและควบคมระบบธนาคารเพอใหทราบวาส าเรจหรอลมเหลว

ตวอยางการโจมต เชน ผใชงานตองการช าระเงน 100,000 บาทใหกบคนขายบาน เมอผใชเขาสระบบออนไลนของธนาคาร ซสจะเปลยนจ านวนเงนใหเปนวงเงนสงสด เชน 1,000,000 บาท และเปลยนใหโอนเงนไปทบญชของอาชญากร จากนนธนาคารจะแจงวามการช าระเงนมาทเครองของเหยอ แตซสจะเปลยนแปลงขอความเหลานนใหกลายเปนวาโอนเงน 100,000 บาทไดส าเรจ ดงนน เหยอจะไมมทางรตวเลยวาเงนนนถกโจรกรรมไปแลวจนกวาปลายทาง คอ คนขายบานจะแจงวาไมไดรบเงน

รปท 26 (16-1) เวบไซตปลอมทสรางขนเพอหลอกลวงเหยอ [16-4]

139

รปท 27 (16-2) โดเมน .com ทตกเปนเปาหมายของซส [16-5]

จากรายงานการรบแจงเหตภยคกคามของศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย (ThaiCERT) ยงคงพบการแพรกระจายของซสทใชในการโจมตผใชงานบรการออนไลนของสถาบนการเงน ทงสถาบนการเงนในประเทศและตางประเทศอยอยางตอเนอง ผใชงานสามารถปฏบตตามแนวปฏบตของการใชงานเครองคอมพวเตอรอยางมนคงปลอดภย เพอปองกนตนเองจากภยคกคามของซสไดดงน

• ตดตงซอฟตแวรปองกนไวรสและอพเดทฐานขอมลอยางสม าเสมอ เพอลดความเสยงของการถกโจมตจากโปรแกรมไมพงประสงคตางๆ

• อพเดทซอฟตแวรระบบปฏบตการ (OS) อยางสม าเสมอ เพอปองกนชองโหวทสาเหตใหสงทไมพงประสงคใชเปนชองทางเขามาแพรกระจายในเครองคอมพวเตอร

• ไมควรตดตงหรอดาวนโหลดโปรแกรมจากเวบไซตทไมนาเชอถอหรอแมแตการเปดไฟลแนบจากอเมลทมลกษณะผดปกต เชน เปนอเมลทมขอความเชญชวนหรอโฆษณาชวนเชอวาเราเปนผถกคดเลอกให ไดรบรางวลหรอผลประโยชนตางๆ หรอเปนอเมลของถกสงบคคลทเรารจกแต

140

ใชภาษาหรอส านวนทตางจากรปแบบทเคยใชในอดต เปนตน เนองจากอเมลเหลานมกเปนรปแบบของอเมลทใชในเผยแพรโปรแกรมไมพง ประสงค

• ควรตรวจหาโปรแกรมไมพงประสงคดวยซอฟตแวรปองกนไวรสทกครงกอนการใชงานอปกรณบนทกขอมลแบบพกพา เนองจากอปกรณเหลานมกถกใชเปนชองทางในการแพรกระจายโปรแกรมไมพงประสงคตางๆ

• ในกรณททานตองสงสยวาเครองคอมพวเตอรของทานถกโจมตจากซส ทานสามารถขอรบความค าแนะน าในการแกไขไดจากศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย (ThaiCERT)

16.1 เอกสารอางอง [16-1] http://searchsecurity.techtarget.com/definition/Zeus-Trojan-

Zbot [16-2] http://www.pcmag.com/article2/0,2817,2370013,00.asp [16-3] http://malwaresurvival.net/2011/01/19/the-zeus-trojan-and-

popular-domains/ [16-4] http://news.cnet.com/8301-27080_3-20013246-245.html [16-5] http://www.securelist.com/en/analysis/204792107/ZeuS_

on_the_Hunt&usg=ALkJrhiqPrhLMgBX2duUrz84p-JLWjj76Q

141

17. รจกและปองกนภยจาก Website Defacement ผเรยบเรยง: พรพรหม ประภากตตกล วนทเผยแพร: 5 พ.ย. 2554 ปรบปรงลาสด: 5 พ.ย. 2554 เวบไซตถกใชเปนเครองมอทส าคญของหนวยงานตางๆ ในการสอสาร ประชา-สมพนธ หรอใหบรการออนไลนตางๆ กบผใชงานผานเครอขายอนเทอรเนตสาธารณะ ดวยลกษณะของบรการเวบไซตทเปดใหผใชงานสามารถเขาถงไดอยตลอดเวลา ท าใหบรการเวบไซตทไมมการรกษาความมนคงปลอดภยทดมความเสยงจากการถกโจมตจากผไมประสงคดไดอยตลอดเวลาเชนกน โดยภยคกคามรปแบบหน งท ม กจะ เก ดข น กบบร กา ร เว บ ไซต ค อ การ โจมต เ ว บ ไซต เพอเปลยนแปลงขอมลเผยแพรหนาเวบ (Website Defacement) ซงผโจมตมวตถประสงคเพอปรบเปลยนหนาเวบไซตแรกของเวบไซตเปาหมาย หรอทงเวบไซต จากเดมไปเปนหนาเวบไซตใหม การกระท าเชนนอาจไมไดกอความเสยหายทรนแรงอะไรมากนก เพยงแตมความตองการเพอท าลายความนาเชอถอของหนวยงานเจาของเวบไซต ซงในเวบไซตทถกโจมตสวนใหญจะปรากฏรปภาพหรอขอความทบงบอกถงวาเวบไซตไดถกโจมตไดส าเรจ โดยรปแบบของการโจมตในลกษณะ Website Defacement เปนการโจมตทนยมมากทสดในหมผโจมตหรอแฮกเกอร เนองจากสามารถเขาโจมตไดงายและการโจมตมกไดผลทางดานการสญเสยความนาเชอถออยางรวดเรว รวมถงสามารถตอยอดในการโจมตสวนประกอบหรอบรการอนๆ บนเครองแมขายนนๆ ดวย ยงหากผพฒนาหรอผดแลระบบไมมการปดชองโหวดงกลาวแลว อาจท าใหผโจมตสามารถท าความเสยหายซ าแลวซ าเลาจากรปแบบเดมๆ จนสดทายอาจท าใหถกแจงเตอนบนหนาเวบไซตของผใหบรการ Search engine ตางๆเชน Google, Yahoo เปนตน

142

รปท 28 (17-1) แสดงใหเหนถงการแจงเตอนถงเวบไซตทถกโจมตจากเวบไซต Search engine ของ Google

รปท 29 (17-2) แสดงใหเหนถงหนาเวบไซตหลกแหงหนงทถก Defacement

143

วธการหรอเทคนคทผโจมตใชในการเขาปรบเปลยนขอมลเผยแพรตางๆ บนหนาเวบไซตไดมอยหลายวธ เชน การโจมตตอเวบไซตโดยตรง หรอการโจมตตอระบบปฏบตการของเครองทใหบรการเวบไซตจนสามารถเขาควบคมการท างานของเครองบรการเวบไซต (Web Server) นนๆ ไดสงผลใหผโจมตสามารถเขาปรบเปลยนขอมลในเวบไซตเปาหมายไดตามตองการ ซงในทนขอยกตวอยางชองโหวและเทคนคทผโจมตใช เพอเขาปรบเปลยนหนาเวบไซตเปาหมายทพบอยเสมอดงน 1. ชองโหวทเกดจากการเรยกใชฟงกชน Include File พบในการพฒนาโปรแกรมดวยภาษา PHP ทมความซบซอนและเปนระบบทมองคประกอบหลายสวน จงท าใหตองมการแยกพฒนาแตละโมดลของระบบ และสดทายน ากลบมารวบรวมทหนาหลกดวยการเรยกใชฟงกชน include ซงในทนขอยกตวอยางการใชงานดงน //ไฟล index.php <?php // รบคาจากโพรโตคอล HTTP ใน method GET ผานพารามเตอรชอ page แลวเกบลงตวแปรชอ page $page = $_GET['page']; // ฟงกชน include ไฟลซงในทนใหเรยกตามชอไฟลตรงๆคอ config.php include (“config.php”); // ฟงกชน include ไฟลซงในทนใหเปนลกษณะ dynamic include จากตวแปรชอ page include ($page); ?> // ซงจากตวอยางขางตน ผโจมตจะอาศยชองโหวจากการใชงานฟงกชน include น เพอลกลอบแทรกสวนประกอบของซอรสโคดทเปนอนตรายลงไปผานโพรโทคอล HTTP ใน method GET โดยวธการแทรกซอรสโคดอนตราย ผโจมตสามารถท าไดโดยการเรยก URL ผานเวบเบราวเซอร (web browser) ไดทนท ยกตวอยาง

144

ลกษณะการโจมต เชน

1.1 ผโจมตจะเปดเวบเบราวเซอร (web browser) และเรยกไป URL => http://donothackme/index.php?page=http://iamhacker/shell.php ซงสามารถอธบายความหมายแตละสวนดงน

http://donothackme => เปนโดเมนทผโจมตมจดประสงคจะเขาเปลยนหนาเวบไซต index.php?page.... => เปนการเรยกใชงานไฟลสครปตชอ index.php ซงในทนมการสงคาผานไปยง method GET ของระบบ โดยการสงคาผานตวแปรชอ page ในการเรยกไฟลสครปตนดวย

http://iamhacker/shell.php => เปน URL ปลายทางทเกบไฟลสครปตอนตรายของผโจมต โดยจดประสงคของการสงคา URL น เพอตองการใหเวบไซตเปาหมายรนไฟลสครปตอนตรายทตองการ ซงโดยปกตไฟลสครปตอนตรายทผโจมตน ามาใชมกจะเปนไฟลสครปตทมคณสมบตในการคนหาชองโหวบนเวบไซตเปาหมาย ซงปกตเรยกเราจะเรยกไฟลสครปตพวกนวาเปน Web Shell ยกตวอยางเชน C99 R57 หรอ WSO Shell เปนตน

รปท 30 (17-3) แสดงใหเหนหนาเวบไซตเมอมการเรยกไฟลสครปตประเภท Web Shell

145

1.2 เมอผโจมตเปดไปยง URL ในขอ 1 แลว ซงจะพบวาเวบเบราวเซอร (web browser) จะแสดงหนาทเปนไฟลสครปตชอ shell.php ซงเปนไฟลสครปตอนตรายทผโจมตตองการใช โดยฟงกชนการใชงานของผโจมตพบวาจะเลอกใชงานในสวนทเปนโมดลการอพโหลดหรอจดการไฟลบนเวบไซต เพอท าการ อพโหลดหรอปรบเปลยนไฟลของเวบไซตเปาหมายในสวนตางๆ ตามทไดกลาวไวตอนตนเกยวกบจดประสงคของผโจมต การโจมตในลกษณะนจะเรยกวาการโจมตแบบ Remote File Inclusion [17-1]

2. ชองโหวจากการเรยกใชระบบการอพโหลดไฟลบนหนาเวบไซตเปาหมาย โดยปกตการอพโหลดไฟลรปภาพหรอไฟลใดๆ ขนบนเวบไซตจะพบวาการเกบไฟล นนๆ ระบบจะเกบไฟลทถกอพโหลดไวบนเวบไซต และหากระบบทพฒนาในการอพโหลดไฟลไมไดมการตรวจสอบเนอหาหรอสวนประกอบตางๆ ของไฟลกอนน าไปวางบนเครองแมขายจรงแลวนน เทากบวาผโจมตจะสามารถใชชองโหวดงกลาวในการอพโหลดไฟลสครปตอนตรายดงเชน ในไฟล shell.php ในขอ 1 ขนไปบนเวบไซตไดทนท สงผลลพธใหผโจมตสามารถรนไฟลสครปตอนตรายบนเครองเวบไซตเปาหมาย และเขาท าการอพโหลดหรอปรบเปลยนไฟลของเวบไซตเปาหมายในสวนตางๆ ตามทไดกลาวไวตอนตนเกยวกบจดประสงคของผโจมต การโจมตในลกษณะนจะเรยกวาการโจมตแบบ Unrestricted File Upload [17-2] สามารถพบไดแพรหลายและเปนทนยมในหมผโจมต เนองจากคนหาชองโหวไดงาย 3. ชองโหวจากการเรยกใชขอมลทปอนเขาสระบบโดยผใชงาน โดยปกตเวบไซตสวนใหญมกจะมชองทางใหผใชงานสามารถกรอกขอมลหรอพมพขอความตางๆ ในเวบไซต เชน เพอใหขอมลตางๆ ในระบบลงทะเบยนพมพบญชชอและรหสผานในระบบการพสจนตวจรง (Authentication) หรอการพมพขอความเพอแสดงความคดเหนตางๆ บนเวบบอรด ซงหากระบบทพฒนาไมมการตรวจสอบ Input/ Output กจะสงผลใหผโจมตสามารถใชชองโหวตรงน ในการแทรก HTML syntax ตางๆ เขาสระบบได ซงเมอผโจมตกรอกขอมลดงกลาวและ submit ขอมลเขาในระบบส าเรจแลว จะท าใหผใชงานทเปดเขามายงเวบไซตเปาหมายดงกลาวกจะเจอ

146

กบ HTML syntax ทผโจมตแทรกเขาไป ซงโดยปกตผโจมตจะสงคา syntax ทสงการใหเวบเบราวเซอร redirect ไปยงเวบไซตปลายทางทตงไว

โดยตวอยางของ syntax ในลกษณะนเชน <META HTTP-EQUIV=”refresh” content=”1; URL=http://youcanhack”> อธบายตามค าสงของ syntax ไดวาให Refresh หนาเวบไซตไปยงเวบไซตปลายทางท http://youcanhack โดยผลลพธทปรากฏถงแมเวบไซตเปาหมายจะยงไมไดถกเขาควบคมได โดยผโจมต หรอถกแกไขหนาเวบไซตเหมอนดงขอ 1, 2 เพยงแตมการถกสอดแทรก HTML syntax เพอตงคา Redirect page ไวเทานน แตกท าใหผเขาชมเขาใจวาเวบไซตนไดถกผโจมตเขาควบคมแลว การโจมตในลกษณะนจะเรยกวาการโจมตแบบ HTML Injection [17-3] 4. ชองโหวจากการใชบรการจากผใหบรการภายนอก (Third-Party Service [17-4]) เชน บรการ DNS หรอ บรการ Hosting หรอ Web Hosting เปนตน ในบางครงการโจมตอาจไมไดเกดขนทเวบไซตเปาหมายโดยตรง แตเกดขนกบบรการภายนอกอนๆ ทเราเลอกใช เชนบรการ DNS หรอบรการ Hosting ทเปนระบบโครงสรางพนฐานของบรการเวบไซต ซงเมอผโจมตสามารถเจาะผานชองโหวตางๆ จนเขาควบคมบรการนนๆ ไดแลว กจะเขาท าการปรบแกไขฟงกชนการท างานสวนตางๆ ของบรการนนๆ เพอท าใหหนาเวบไซตของเราเปลยนแปลงไป ในกรณของการเขาควบคม Hosting Control Panel กจะมการปรบปรงหรอเปลยนแปลงซอรสโคดของเวบไซต เพอใหเหนวาหนาเวบไซตเปาหมายถกโจมตส าเรจ แตถาเปนลกษณะของผโจมตสามารถเขาถงบรการ DNS ไดโดยตรง ท าให ผโจมตสามารถปรบเพม Redirect record ในสวนของระบบเพอใหผใชงานเขาใจวาเวบไซตดงกลาวถกควบคมไดส าเรจแลวตอไป

17.1 ตวอยางการโจมตลกษณะ Website Defacement Zone-H : เมอวนท 4 กนยายน 2554 เวบไซต Zone-H.org ไดรายงานถงเวบไซตทโดนปรบเปลยนหนาเวบไซต ( Website Defacement ) ประกอบไปดวยเวบไซต

147

UPS, TheRegister, Acer, Telegraph, Vodafone [17-5] [17-6] ซงผโจมตใชการโจมตดวยวธการ Sql Injection [17-7] ผานทาง DNS control panel (netnames.co.uk) [17-8] เพอปรบคา DNS Record ของเวบไซตดงกลาว ซงผลลพธของการโจมตครงน คอผทเปดหนาเวบไซตดงกลาวจะพบวาหนาเวบไซตทตองการเขาถงไดถกกลมผโจมตปรบเปลยนหนาแรกและแสดงขอความในลกษณะทแจงวา เวบไซตถกแฮก (“4 Sept. We TurkGuvenligi declare this day as World Hackers Day - Have fun ; ) h4ck y0u”)

17.2 ควรรบมออยางไร 1. ส าหรบเวบไซตทพฒนาดวยภาษา PHP ควรปรบปรงคาทอยใน php.ini [17-9] (เปนไฟลทใชปรบแตงการตงคาตางๆ ของ PHP) โดยการตงคาเพอไมใหสครปตตางๆ สามารถเรยกใชงานฟงกชนทอาจกอใหชองโหวในการเรยกใชไฟลสครปตอนตรายจาก URL ภายนอกได ซงมคาทควรก าหนดดงน

allow_URL_fopen off -> ไมอนญาตใหใชฟงกชน fopen ส าหรบการเปดไฟลขอมลทสงมาเปน URL (fopen เปนฟงกชนทใชส าหรบเปดไฟลโดยสามารถระบเปนชอไฟลบนเครองแมขายหรอเปน URL จากเครองภายนอก)

allow_URL_include off -> ไมอนญาตใหใชฟงกชน include ไฟลสครปตทเปน URL เพอปองกนการโจมตผานชองโหว Remote file inclusion 2. ควรมการตรวจสอบ Input/Output ในทกๆ ครงทมการรบสงขอมลบนเวบไซต เพอปองกนการสงคาทเปนอนตรายในการเขาโจมตเวบไซต หรอในทกๆ เวบไซตทพฒนาขนควรแบงแยกประเภทและชนดของขอมลทรบสงใหชด เพอใหงายตอการพฒนาฟงกชนส าหรบตรวจสอบตอไป ยกตวอยางเชน หากมรบคาการกรอกขอมล สงทผพฒนาระบบ/เวบไซตควรท าคอ ตองมการตรวจสอบแบงวาขอมลทไดรบจากผใชงานในแตละสวนนน จะตองตรงตามรปแบบและขอก าหนดของแตละประเภทกอนจะน าไปประมวลผลตอ ไมควรปลอยใหขอมลทสงเขามาไปประมวลผลเลย เพอปองกนความเสยหายทอาจเกดขนจากการถกโจมต

148

3. ควรมการตรวจสอบประเภทของไฟล (File Extension) ในสวนทผานกระบวนการอพโหลดไฟลเขามา เพอปองกนการอพโหลดไฟลสครปตอนตรายหรอไฟลทจะกอใหเกดปญหาบนเครองแมขายของเวบไซต ซงผพฒนาเวบไซตเองควรมการก าหนดขอบเขตและประเภทของไฟลทอนญาตใหสามารถอพโหลดได (Whitelist) 4. ไมเปดสทธในการอานเขยนไฟลซอรสโคดของเวบไซตใหกบผอนและหมนตรวจสอบการวนทมการอพเดทไฟลอยเสมอ เนองจากการโจมตโดยการปรบ-เปลยนหนาเวบไซตสวนใหญเกดขนจากการทผโจมตใช สทธของไฟลสครปตอนตรายซงเปนสทธของผใหบรการเวบไซต (Webserver) [17-10] ทใชในการด าเนนการใดๆ เชน การแกไขหรออพโหลดไฟลซอรสโคดของเวบไซต, การอานไฟลทตงคาเชอมตอฐานขอมลของเวบไซต เพราะฉะนน จงควรระมดระวงในการใหสทธของไฟลซอรสโคดของเวบไซตใหด โดยการจดการสทธของไฟลซอรสโคดของเวบไซตทดควรเรมจากการทอพโหลดไฟลตางๆ ดวยสทธผใชงานของตนเอง ไมใชผานหนาเวบอพโหลดใดๆ เพราะจะท าใหสทธของไฟลตางๆ ทอยบนระบบเปนของเวบเซรฟเวอรไปโดยปรยาย และหากมไฟลสวนไหนทจ าเปนตองถกแกไขไดโดยเวบเซรฟเวอรจงคอยเปดสทธและคอยระวงตรวจสอบไฟลเหลานนวามการถกเปลยนแปลงหรอไม เพอเปนขอมลส าหรบการพจารณาความผดปกตทอาจจะเกดขน 5. หากเปนระบบทใชซอฟตแวรแพคเกจทพฒนาจากผพฒนาภายนอก (Third party) เชน Joomla [17-11] Wordpress [17-12] หรอ Drupal [17-13] ใหผดแลระบบคอยหมนตรวจเชคขอมลจากเวบไซตผพฒนาอยเสมอๆ วามชองโหวใดๆ เกดขนกบระบบบาง และพจารณาถงชองโหวดงกลาววามใชงานบนระบบ หรอเวบไซตของเราหรอไม เพอเปนขอมลในการตดสนใจวามความจ าเปนตองอพเดทซอฟตแวรแพคเกจนนๆ หรอไม 6. เมอไดรบแจงหรอพบวาเวบไซตทดแลถกโจมตและเปลยนแปลงแกไข (Defacement) ใหตรวจสอบ URL ทพบเหนเพอวเคราะหวาผโจมตนน โจมตเขา

149

มาดวยวธการใด โดยสามารถแนะน าขนตอนในการตรวจสอบปญหาเบอง ดงน

6.1 ตรวจสอบโดยการเปดเวบเบราวเซอร (web browser) ไปยง URL ทไดรบแจง จากนนใหพจารณาดวาการ Defacement ทแจงมาเปนการสง Redirect ตอไปยงเวบไซตปลายทางของผโจมตหรอไม (สามารถตรวจสอบไดจากชอ Url ทเปลยนไปแสดงวาเปนการ Redirect) ซงหากเปนลกษณะของการ Redirect URL ตอไปยงเวบไซตอน ใหผดแลเขาตรวจสอบฐานขอมลวามขอมลแปลกปลอมจ าพวก Syntax ของการ Redirect ซอนอยทใดหรอไม เชน อาจพบวามการแทรกขอมล <meta HTTP-EQUIV="REFRESH" content="0; url=http://......"> หรอ <script language="JavaScript">window.location='http://......';</script> อยในฐานขอมลของกระดานสนทนาท าใหเกดการ Redirect ไปยงหนาเวบไซตผโจมตอยตลอดเวลา ซงเมอพบขอมลดงทกลาวมาใหผดแลรบลบขอมลเหลานนทงทนท และรบแกไขชองโหวทคาดวาเปนตนเหตใหผโจมตเขามาสรางปญหาซ าไดอก แตหากไมพบขอมลตองสงสยบนเวบไซตหรอฐานขอมลของเวบไซตใหผดแลแจงไปยงผใหบรการภายนอกตางๆ เพอตรวจสอบวามการเขาโจมตทเวบไซตผใหบรการเหลานนหรอไม

6.2 ตรวจสอบวามไฟลสครปตอนตรายประเภท Web shell อยบนเครองแมขายทใหบรการเวบไซตอยหรอไม โดยการใชโปรแกรมแอนตไวรสทวไปสแกนไปยงพนทของเวบไซตบนเครองแมขายของเวบไซตทดแล แตหากเปนการใชงานเครองแมขายจากผใหบรการภายนอกซงไมสามารถตดตงโปรแกรมแอนตไวรสไดใหกอปปขอมลออกมาจากเครองแมขายผใหบรการดงกลาวแลวน ามาสแกนยงเครองตนเอง ซงโดยปกตแลวไฟลสครปตอนตรายประเภท Web shell จะถกสแกนพบไดจากโปรแกรมแอนตไวรสทวไปอยแลว ซงเมอพบไฟลดงกลาวใหลบทง เพอเปนการจ ากดการเขาโจมตซ าในอนาคต และหาชองโหวทคาดวาจะเปนตนเหตของการสงรนไฟลสครปตอนตรายนนได (แนวทางการคนหาชองโหวไดกลาวไวในขางตนแลว) จากนนจงตรวจสอบวามไฟลอนทพบการเปลยนแปลงอกหรอไมแลวจงกคนไฟลซอรสโคดทถกผโจมตเปลยนแปลง

150

ไปกลบคน

หมายเหต: ขนตอนการกคนซอรสโคดอาจกระท ากอนการหาชองโหวของปญหากได เพราะอาจสงผลในแงของความนาเชอถอของเวบไซต แตผเขยนพยายามจะใหเหนถงความส าคญของการปดกนชองโหวเพราะจะไดเปนการแกปญหาอยางถาวร

7. ขอเสนอแนะทมเกยวกบการใชบรการจากภายนอกสามารถแนะน าไดดงน

7.1 ควรตรวจสอบผใหบรการทมความนาเชอถอและมความตระหนกถงความปลอดภยของระบบ ดงจะสงเกตไดจากการใหความรบนเวบไซตของผใหบรการตางๆ และการสอบถามถงกระบวนการดแลรกษาความปลอดภยของขอมลโดยตรงจากผใหบรการ

7.2 ควรมการส ารองขอมลของเวบไซตไวทอนนอกเหนอจากบนเครองแมขายท เชาใชบรการอย เพราะหากพบกรณทเวบไซตถกเปลยนแปลงหรอแกไข ซอรสโคดจะไดสามารถกคนขอมลไดอยางสมบรณและรวดเรว

17.3 เอกสารอางอง [17-1] http://en.wikipedia.org/wiki/Remote_file_inclusion#

Programming_languages [17-2] https://www.owasp.org/index.php/Unrestricted_File_Upload [17-3] http://foro.elhacker.net/hacking_basico/tutorial_html_

injection-t232019.0.html [17-4] http://wiki.answers.com/Q/What_do_you_mean_by_third_

party_service_providers [17-5] http://www.zone-h.org/news/id/4741 [17-6] http://www.itpro.co.uk/635926/hackers-deface-the-register-

vodafone-and-more

151

[17-7] https://www.owasp.org/index.php/SQL_Injection [17-8] http://www.netnames.co.uk/ [17-9] http://www.slideshare.net/pritisolanki/understanding-phpini-

presentation [17-10] http://en.wikipedia.org/wiki/Web_server [17-11] http://docs.joomla.org/Vulnerable_Extensions_List [17-12] http://wordpress.org/tags/vulnerability [17-13] http://drupal.org/security

152

153

18. ระวงภย มลแวร DuQu โจมตวนโดวสดวยฟอนต

ผเรยบเรยง: เสฏฐวฒ แสนนาม วนทประกาศ : 11 พฤศจกายน 2554 ปรบปรงลาสด : 11 พฤศจกายน 2554 ประเภทภยคกคาม : Malware

18.1 ขอมลทวไป เมอวนท 15 ตลาคม 2554 ไมโครซอฟทไดประกาศวามการแพรระบาดของมลแวรชอ DuQu (CVE-2011-3402) โจมตโดยอาศยชองโหวของไฟล win32k.sys ซงเปนสวนทใชส าหรบการแสดงผลรปแบบตวอกษร TrueType Font ของระบบปฏบตการ Windows ทกเวอรชน ผโจมตสามารถใชชองโหวนในการสงการเครองคอมพวเตอรเปาหมาย จากระยะไกลเพอใหประมวลผลค าสงทเปนอนตรายได ซงค าสงดงกลาวจะไดรบสทธในระดบเดยวกบ Kernel ของระบบปฏบตการ สงผลใหผโจมตสามารถตดตงโปรแกรม อาน เขยน หรอลบขอมล รวมทงสามารถสรางบญชผใชใหมทมสทธในระดบเดยวกบผดแลระบบ (Administrator) ได การโจมตอาจจะมาในรปแบบของอเมล HTML ทมค าสงใหดาวนโหลดฟอนตโดยอตโนมต หรอมากบเอกสารไฟลแนบซงใชชองโหวดงกลาว [18-1] จากการวเคราะห การท างานของ DuQu โดยผเชยวชาญ พบวาเปนมลแวรประเภท โทรจน (Trojan) ซงผพฒนาอาจเปนกลมเดยวกนกบกลมทพฒนา Stuxnet เนองจาก โคดหลายสวนมความคลายคลงกน แตมความแตกตางกนตรงท DuQu มจดมงหมายเพอการขโมยขอมลเทานน และยงไมพบวามการท างานทเปน

154

การโจมตระบบใดระบบหนงเปนพเศษ ซงแตกตางจาก Stuxnet ทมเปาหมาย เพอโจมตระบบโรงไฟฟานวเคลยรของประเทศอหรานโดยเฉพาะ [18-2] [18-3]

18.2 การท างาน

DuQu ใชเทคนคการฝงโคดทเปน Payload ลงในโปรเซส (Injects payload instructions) มสวนการท างานหลกๆ อย 2 สวน คอ การตดตง และ การฝง Payload โดยมขนตอนการท างานดงน [18-3]

การตดตง DuQu จะตดตงไดรเวอรปลอมของอปกรณโดยใชชอ JmiNET3.sys หรอ cmi4432.sys ซงไดรเวอรดงกลาวจะถกโหลดใหเปน Service ในทกครงท Windows เรมท างาน เครองทตด DuQu จะพบอปกรณเหลานอยในระบบ

• \Device\{3093AAZ3-1092-2929-9391} • \Device\Gpd1

การฝง Payload

DuQu จะฝง Payload ใหตดไปกบโปรเซสอนๆ โดยจะอานคาการท างานจากขอมลทถกเขารหสลบไวในรจสทร (Registry) ซงรจสทรทถกสรางโดยมลแวร มดงน

• HKLM\SYSTEM\CurrentControlSet\Services\JmiNET3\FILTER • HKLM\SYSTEM\CurrentControlSet\Services\cmi4432\FILTER

รจสทรดงกลาว จะใช Payload จากไฟลทถกสรางโดยมลแวร ดงน

• %systemroot%\inf\netp191.PNF • %systemroot%\inf\cmi4432.PNF

155

18.3 วธการแกไข

ไมโครซอฟทไดออกซอฟตแวร Fix It หมายเลข 2639658 เพอปรบปรงชองโหวดงกลาว เมอวนท 3 พฤศจกายน 2554 [18-5] อยางไรกตาม ซอฟตแวรนเปนเพยงการปดกนการเขาถงไฟลระบบทมชองโหว (T2embed.dll) แตไมใชการปรบปรงแกไขปญหา โดยไมโครซอฟทแจงวาจะออกแพทช (Patch) เพอแกปญหานผานทาง Windows Update ในภายหลง [18-6] [18-7] หากยงไมไดท าการตดตงซอฟตแวรปรบปรงชองโหวดงกลาว ผใชสามารถจ ากดความเสยหายทอาจเกดขนไดโดยการก าหนดคาระดบ Security ในเวบเบราวเซอร (web browser) หรอโปรแกรมรบสงอเมลของไมโครซอฟทใหเปน Restricted Zone เพอไมใหมการดาวนโหลดฟอนตจากเวบไซตภายนอกมาโดยอตโนมต รวมถงไมเปดไฟลเอกสารทแนบมากบอเมลทนาสงสย ศนยวจย CrySyS จากประเทศฮงการ ไดท าการวเคราะหการท างานของ DuQu และไดออกซอฟตแวร DuQu Detector Toolkit เพอใหผดแลระบบใชในการตรวจสอบเครองคอมพวเตอรและแกไขการท างานของระบบทถกเปลยนแปลงใหกลบสสภาพเดมได [18-8] ผทสนใจสามารถดาวนโหลดซอฟตแวรดงกลาวไดท http://www.crysys.hu/

18.4 แหลงขอมลอนๆ ทเกยวของ 1. http://osvdb.org/show/osvdb/76843 2. http://www.net-security.org/malware_news.php?id=1905

18.5 เอกสารอางอง [18-1] http://technet.microsoft.com/en-us/security/advisory/2639658 [18-2] http://thehackernews.com/2011/11/duqu-another-stuxnet-in-

making.html

156

[18-3] http://thehackernews.com/2011/11/duqu-malware-was-created-to-spy-on.html

[18-4] http://www.microsoft.com/security/portal/Threat/ Encyclopedia/Entry.aspx?Name=Trojan%3aWinNT%2fDuqu.A

[18-5] http://support.microsoft.com/kb/2639658 [18-6] http://www.theregister.co.uk/2011/11/09/nov_patch_tuesday/ [18-7] http://searchsecurity.techtarget.com/news/2240110565/One-

critical-bulletin-no-Duqu-patch-in-November-2011-Patch-Tuesday-updates

[18-8] http://thehackernews.com/2011/11/crysys-duqu-detector-open-source.html

157

19. ชองโหว BIND9 (CVE-2011-4313) ผเรยบเรยง: ศภกรณ ฤกษดถพร วนทประกาศ : 18 พฤศจกายน 2554 ปรบปรงลาสด : 21 พฤศจกายน 2554 หมายเลขชองโหว : CVE-2011-4313 ประเภทภยคกคาม : DoS (Denial-of-Service)

19.1 ขอมลทวไป

เมอวนท 16 พฤศจกายน 2554 หนวยงาน ISC (Internet Systems Consortium) ผพฒนาซอฟตแวร BIND ซงเปนซอฟตแวรทใชส าหรบการใหบรการ Domain Name System ไดรายงานปญหาขอผดพลาดของซอฟตแวร BIND เวอรชน 9 ซงสาเหตของขอผดพลาดดงกลาวเกดจากการท างานสวน Resolver ของซอฟตแวร BIND ประมวลผล Recursive Query ทผดพลาด แลวบนทก Query เกบไวใน Cache จากนน เมอ Resolver ประมวลผล Query นนซ าอก ระบบจะไปอานคาจาก Cache แทน ท าใหมการดงคาขอมลทผดพลาดนนขนมา และเมอพบวาขอมลผดพลาด ระบบจะท าการบนทก Error log ผานไฟล query.c ซงถกพบวาเมอมการถกโจมตโดยการ DoS จะท าใหระบบท าการบนทกขอผดพลาดดงกลาวซ าจนสงผลใหระบบหยดท างาน (Crash) [19-1] [19-2] [19-3] [19-4]

19.2 ผลกระทบ

ระบบหยดท างานไมสามารถใหบรการ Domain Name System ตอได [19-5]

158

19.3 ระบบทไดรบผลกระทบ

ISC BIND เวอรชน BIND 9.0.x -> 9.5.x, 9.4-ESV -> 9.4-ESV-R5, 9.6-ESV -> 9.6-ESV-R5, 9.7.0 -> 9.7.4, 9.8.0 -> 9.8.1

19.4 วธแกไข

ตดตงซอฟตแวรปรบปรงชองโหว ISC BIND ใหเปนรนปจจบน ดงน BIND 9.8.1-P1, 9.7.4-P1, 9.6-ESV-R5-P1, 9.4-ESV-R5-P1 [19-6]

19.5 แหลงขอมลทเกยวของ 1. http://www.isc.org/software/bind

2. http://technet.microsoft.com/en-us/library/cc961401.aspx 3. http://pastebin.com/JjaRtACv

19.6 เอกสารอางอง [19-1] http://osvdb.org/show/osvdb/77159 [19-2] http://searchsecurity.techtarget.com/news/2240111262/ISC-

issues-temporary-patch-for-zero-day-BIND-9-DNS-server-flaw [19-3] http://thehackernews.com/2011/11/patches-released-for-

bind-denial-of.html [19-4] http://secunia.com/advisories/46887/ [19-5] http://www.isc.org/software/bind/advisories/cve-2011-tbd [19-6] http://www.kb.cert.org/vuls/id/725188

159

20. การกขอมลจากฮารดดสกทถกน าทวม ผเรยบเรยง: เสฏฐวฒ แสนนาม วนทเผยแพร: 28 พ.ย. 2554 ปรบปรงลาสด: 28 พ.ย. 2554 จากเหตการณน าทวมทผานมา สงผลใหคอมพวเตอรของหนวยงาน สถานประกอบการ หรอบคคลทวไป หลายแหงจมอยใตน า ซงอาจมขอมลทส าคญอยในฮารดดสก และมความจ าเปนตองท าการกขอมล (Data recovery) เพอใหสามารถด าเนนกจการตอไปไดโดยเรวทสด แตการกขอมลนนมหลายสงทควรรและตองค านงในการปฏบต เพอไมใหเกดความเสยหายตอฮารดดสกโดยไมตงใจ ดงนน การรจกการท างานของฮารดดสก รปแบบความเสยหาย วธการการแกไข และขนตอนการปฏบตในการกขอมล กจะสามารถชวยปองกนความเสยหายและเพ มโอกาสในการกขอมลกลบคนมาได

20.1 โครงสรางการท างานของฮารดดสก

ปจจบน มการใชงานฮารดดสกอย 2 แบบ คอแบบจานแมเหลก และแบบ Solid-state (SSD) ซงทง 2 แบบมโครงสรางและการท างานทแตกตางกน สงผลใหมความแตกตางในเรองของการเกบขอมลและการกขอมลตามไปดวย

ฮารดดสกแบบจานแมเหลก

รปท 31 (20-1) ฮารดดสกแบบจานแมเหลก [20-1]

160

นยมใชในคอมพวเตอรทวไป รวมถงกลองวดโอบางรน เนองจากมขนาดความจคอนขางสงและมราคาทลดลงมาอยในระดบทไมสงมาก ฮารดดสกแบบแมเหลกจะใชแผนจานโลหะเพอเกบขอมล โดยมมอเตอรหมนอยภายใน และใชหวอานในการอานและเขยนขอมลลงในแผนจานในการอานหรอเขยนขอมล จะใชหลกการเปลยนทศทางของสนามแมเหลก เพอเกบขอมลในรปแบบของเลขฐาน 2 ในขณะทฮารดดสกท างานหวอานจะลอยอยเหนอแผนจานประมาณ 10 นาโนเมตร [20-2] (เสนผมของมนษยมเสนผานศนยกลางเฉลย 99 ไมโครเมตร) แผนจานจะหมนดวยความเรวสง ซงในปจจบนมความเรวในการหมนประมาณ 7 ,200 – 10,000 รอบตอนาท (ประมาณ 270 กโลเมตรตอชวโมง) ดงนน หากฮารดดสกมการสนสะเทอนเกดขนในขณะทหวอานก าลงท างานกมโอกาสสงทหวอานจะไปขดกบแผนจานแมเหลก ซงสงผลใหฮารดดสกเสยหายอยางถาวรได

ฮารดดสกแบบ Solid-state

รปท 32 (20-2) ฮารดดสกแบบ Solid-state [20-3]

ฮารดดสกแบบ Solid-state ใชหลกการเดยวกนกบอปกรณเกบขอมลแบบพกพา เชน Flash drive ซงเปนอปกรณเกบขอมลรปแบบใหมทไมมชนสวนทเปนการหมนหรอหวอานอยภายใน โดยจะเปลยนมาใชการเกบขอมลบน NAND Chip ซงเปนการอานและเขยนขอมลโดยใชไฟฟาสงผลใหฮารดดสกแบบ Solid-state สามารถอานเขยนขอมลไดเรวกวาฮารดดสกแบบจานแมเหลก แตเนองจาก มราคาทคอนขางสงและมความจนอยกวาฮารดดสกแบบจานแมเหลก จงนยมใชในอปกรณทตองการการพกพาสะดวกและมน าหนกเบา เชน คอมพวเตอรโนตบก

161

แบบ Ultra-thin หรอโทรศพทมอถอบางรน

ฮารดดสกแบบ Solid-state จะแบงพนทในการเกบขอมลออกเปนบลอก (หรอ Cell) ซงแตละบลอกมจ านวนครงในการเขยนหรอลบขอมลอยจ ากด ถาใชครบจ านวนครงทก าหนดบลอกนนจะไมสามารถใชงานไดอก [20-4] นอกจากน การเกบขอมลจะไมไดเกบแบบตอเนองเหมอนฮารดดสกแบบจานแมเหลก แตจะใชวธ Logical mapping ซงเปนการเชอมโยงขอมลทเกบอยจรงในหนวยความจ าใหเปนไฟลขอมลส าหรบคอมพวเตอร ซงสวนทท าหนาทดงกลาวเรยกวา Controller

20.2 ความเสยหายทอาจเกดขนไดกบฮารดดสก ความเสยหายทางการภาพ (Physical damage) ความเสยหายทเกดขนกบฮารดดสกแบบจานแมเหลก จะเกดกบสวนของจานแมเหลกทใชส าหรบบนทกขอมลไมวาจะเปนการอยภายใตสนามแมเหลกทความแรงสงจนขอมลทเกบอยผดเพยน หรอหวอานกระแทกกบจานขอมล ท าใหเขาถงขอมลในสวนนนไมได เปนตน ซงถงแมวาในขณะทปดเครองหวอานของฮารดดสกจะถกเกบใหไปอยในททปลอดภยแลวกตาม แตการทฮารดดสกตกจากทสงกมโอกาสทจะเกดความเสยหายไดเชนกน หากหวอานช ารดแตแผนจานแมเหลกยงสามารถใชงานไดอยกยงสามารถใหผเชยวชาญท าการถอดจานแมเหลก เพอน าไปอานขอมลออกมาใสในฮารดดสกอนได แตหากแผนจานแมเหลกช ารดเสยหาย โอกาสทจะกขอมลไดกนอยลงไปดวย [20-5] [20-6]

ส าหรบฮารดดสกแบบ Solid-state ถาสวน Controller เสยหาย การกขอมลจะท าไดยากมากหรอแทบเปนไปไมไดเลย เนองจาก การกขอมลตองแกะเอา NAND Chip ออกมาคดลอกขอมล แลวน าชนสวนของขอมลทไดมาวเคราะหเพอสรางตารางขอมลใหม นอกจากน วธการเกบขอมลในฮารดดสกแบบ Solid-state ยงแตกตางกนออกไปตามวธการของผผลต ปจจบนยงไมมซอฟตแวรทใชในการกขอมลในลกษณะนจ าเปนตองใหผเชยวชาญท าเทานน [20-7] [20-8] [20-9] [20-10]

162

ในประเทศไทยมบรษททใหบรการกขอมลในฮารดดสกในกรณทเกดความเสยหายทางกายภาพ เชน ศนยกขอมล IDR หรอ ศนยกขอมล i-CU เปนตน ซงคาใชจายในการกขอมลกจะแตกตางกนออกไปแลวแตกรณ อยางไรกตาม ThaiCERT ไมไดมสวนเกยวของกบผใหบรการกขอมลดงกลาว

ความเสยหายทเกดขนกบขอมล (Logical damage) เปนความเสยหายทเกดขนจากการใชงาน ซงเกยวของกบไฟลหรอระบบโครงสรางของการเกบขอมลไมวาจะเปนการเผลอลบขอมล การ Format ฮารดดสก หรอการเขยนขอมลทบ ซงความเสยหายในสวนนสามารถกคนไดดวยซอฟตแวร โดยปจจบนมซอฟตแวรทใชส าหรบกขอมลอยจ านวนมากผใชสามารถดาวนโหลดมาใชงานไดฟร เชน Recuva หรอ TeskDisk เปนตน [20-11]

20.3 ท าอยางไรหากฮารดดสกจมน า หากฮารดดสกจมน าไมวาฮารดดสกจะเสยหายอยางไรกตาม ยงพอมโอกาสทจะกขอมลได การกขอมลจากฮารดดสกทมความเสยหายทางกายภาพนน ไมสามารถท าไดดวยตนเอง แตสามารถขอความชวยเหลอในการกขอมลจากผเชยวชาญได ขอแนะน าในการปฏบตในการเกบและจดสงฮารดดสกใหกบบรษททใหบรการกขอมล มดงน

ฮารดดสกแบบจานแมเหลก

1. ไมควรท าการกขอมลดวยตนเองโดยเดดขาด เพราะเมอฮารดดสกจมน า หวอานอาจจะไปตดอยกบจานขอมล ถาจายไฟเขาไปจะเกดการหมนของหวอาน ซงอาจจะไปขดกบจานขอมลท าใหฮารดดสกเสยหายถาวรได

2. อยาท าใหฮารดดสกแหง เพราะเมอฮารดดสกแหงจะเกดคราบและเศษฝนเกาะตดอยทจานหรอหวอานได

163

รปท 33 (20-3) คราบฝนทตดอยบนฮารดดสกเมอน าแหง [20-12]

1. อยาท าใหฮารดดสกสนสะเทอน เนองจากหวอานอาจจะขดกบแผนจาน ท าใหฮารดดสกเสยหายได

2. ท าใหฮารดดสกอยในสภาพทจมน าแบบทยงคงเปนอย โดยอาจจะน าฮารดดสกใสในภาชนะทปดมดชด เชน กลองโฟม หรอ กลองใสอาหาร แลวสงใหกบผเชยวชาญเพอท าการกขอมลตอไป [20-13]

ฮารดดสกแบบ Solid-state

ส าหรบฮารดดสกแบบ Solid-state (หรอ Flash drive) เนองจากเปนแผงวงจร จงสามารถทนทานตอการจมน าไดบาง หากฮารดดสกถกน าควรรบน าฮารดดสกออกมาท าใหแหงโดยเรวดวยการใชพดลมเปา ไมควรใชไดร เปาผมหรอน าไปตากแดด จากนนเมอแนใจวาฮารดดสกแหงสนทแลวสามารถน าไปใชงานตอได แตหากฮารดดสกจมน าเปนเวลานานมโอกาสทจะท าใหแผงวงจรหรออปกรณภายในขนสนมได ควรรบท าใหแหงแลวสงไปยงศนยกขอมลเพอใหผเชยวชาญด าเนนการ ตอไป [20-14]

20.4 การกขอมลจากฮารดดสกทถกลบหรอเขยนขอมลทบ

หากฮารดดสกไมไดเสยหายทางกายภาพ แตขอมลสญหายเนองจากอบตเหตในระหวางการใชงาน เชน การเผลอลบไฟลเอกสารส าคญ หรอฮารดดสกถก Format

164

ยงสามารถใชซอฟตแวรท าการกขอมลได เนองจากเมอระบบท าการลบไฟล จะไมลบขอมลจรงทง แตจะลบสวนทเปนการอางองต าแหนง ( Index) ของขอมลแทน หมายความวา “ชอ” ทใชในการอางองต าแหนงของขอมลนนจะหายไป แตตวขอมลยงคงอย เมอฮารดดสกแบบแมเหลกเขยนขอมลใหมทบขอมลเดม จะไม ไดเปลยนบทของขอมลเดมจาก 0 เปน 1 หรอ 1 เปน 0 พอด แตจะมการเหลอมอยบาง ถาสามารถอานขอมลดบทอยบนดสกแลวท าการวเคราะหรปแบบ (Pattern) ของการเปลยนคาจาก 0 เปน 1 หรอ 1 เปน 0 ได จะสามารถรวาขอมลตรงสวนนเคยมคาเปนอะไรมากอน นอกจากน ยงสามารถใชกลองสแกนแถบแมเหลกในฮารดดสก เพอดคาการจดเรยงของสนามแมเหลกในดสกได [20-15] อยางไรกตาม การท าลายขอมลบนฮารดดสกนนกยงสามารถท าไดอย จากการวจยพบวา ถาเขยนทบขอมลนนมากกวา 25 ครงจะไมสามารถกขอมลกลบคนมาได [20-16] [20-17] [20-18]

20.5 การปองกนขอมลสญหาย

ในการปองกนขอมลสญหายวธทดทสด คอ การส ารองขอมลอยอยางสม าเสมอ ซงการส ารองขอมลกสามารถท าไดหลายวธ เชน ใชการตอฮารดดสกแบบ RAID เพอส ารองขอมลไปยงฮารดดสกอกลกหนงโดยอตโนมต หรอน าขอมลทส าคญไปฝากไวกบผใหบรการฝากขอมลบนอนเทอรเนต

20.6 ขอมลเพมเตม 1. Data Remanence in Semiconductor Devices:

http://www.cypherpunks.to/~peter/usenix01.pdf 2. List of data recovery software:

http://en.wikipedia.org/wiki/List_of_data_recovery_software

3. Reliably Erasing Data From Flash-Based Solid State Drives: http://www.usenix.org/events/fast11/tech/full_papers/Wei.pdf

4. Redundant array of independent disks:

165

http://en.wikipedia.org/wiki/Redundant_array_of_independent_disks

20.7 เอกสารอางอง [20-1] http://en.wikipedia.org/wiki/Hard_drive [20-2] http://www.pcguide.com/ref/hdd/op/heads/op_Height.htm [20-3] http://en.wikipedia.org/wiki/Solid-state_drive [20-4] http://www.datarecovery.net/articles/solid-state-drive-

architecture.html [20-5] http://en.wikipedia.org/wiki/Data_remanence [20-6] http://en.wikipedia.org/wiki/Data_loss [20-7] http://www.datarecovery.net/solid-state-drive-recovery.html [20-8] http://www.datarecoverytools.co.uk/2010/02/21/is-ssd-data-

recovery-possible-and-different-from-hard-drive-data-recovery/

[20-8] http://www.recovermyflashdrive.com/articles/how-flash-drives-fail

[20-9] http://www.recovermyflashdrive.com/articles/5-things-you-should-know-about-flash-drives

[20-10] http://en.wikipedia.org/wiki/Data_recovery [20-11] http://www.dataclinic.co.uk/advanced-data-recovery-water-

damaged-hard-disk-drive.htm [20-12] http://www.storagesearch.com/disklabs-art3-floods.html [20-13] http://www.associatedcontent.com/article/2556459/

how_to_salvage_a_usb_flash_drive_from.html [20-14] http://www.nber.org/sys-admin/overwritten-data-

166

guttman.html [20-15] http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_

del.html [20-16] http://www.anti-forensics.com/disk-wiping-one-pass-is-enough [20-17] http://www.anti-forensics.com/disk-wiping-one-pass-is-enough-

part-2-this-time-with-screenshots