Cyber security articles 2012

coverá¨Œ§àµ×Í¹áÅÐ¢ŒÍá¹Ð¹Ó CYBER

THR

EAT A

LERTS - 2012

SECURITY ARTICLES

º·¤ÇÒÁà¼Âá¾Ã‹

2012

CYBERâ´Â

inner cover

ชอเรอง บทความ Cyber Threats 2012 โดย ThaiCERT

เรยบเรยงโดย นายสรณนท จวะสรตน, นายเสฏฐวฒ แสนนาม, นายไพชยนต วมกตะนนทน, นายศภกร ฤกษดถพร, นายพรพรหม ประภากตตกล, นายเจษฎา ชางสสงข, นายวศลย ประสงคสข, ธงชย ศลปวรางกร และ ทมไทยเซรตพมพครงท 1 มกราคม 2556พมพจำ นวน 1,500 เลมราคา 300 บาท

สงวนลขสทธตามพระราชบญญตลขสทธ พ.ศ. 2537

จดพมพและเผยแพรโดย

ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย

(Thailand Computer Emergency Response Team)

สำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ สพธอ.

เลขท 120 หม 3 ศนยราชการเฉลมพระเกยรต 80 พรรษา 5 ธนวาคม 2550 ถนนแจงวฒนะ

แขวงทงสองหอง เขตหลกส กรงเทพฯ 10210

โทรศพท : 0-2142-2483 | โทรสาร : 0-2143-8071

เวบไซตไทยเซรต : www.thaicert.or.th | เวบไซต สพธอ. : www.etda.or.th | เวบไซตกระทรวงฯ : www.mict.go.th

บทความ Cyber Threats 2012โดย ThaiCERT

คำ�นำ�ศนยประสานงานการรกษาความมนคงระบบ

คอมพวเตอรประเทศไทย หรอไทยเซรต ไดเรมดำาเนน

การภายใตสำานกงานพฒนาธรกรรมทางอเลกทรอนกส

(องคการมหาชน) กระทรวงเทคโนโลยสารสนเทศและ

การสอสาร มาตงแตวนท 1 กรกฎาคม พ.ศ. 2554

โดยใหบรการรบแจงเหตภยคกคามดานสารสนเทศ

และประสานงานกบหนวยงานทเกยวของในการแกไข

ปญหาทไดรบแจง

ไทยเซรตมวสยทศนใหสงคมออนไลนมความ

มนคงปลอดภย เกดความเชอมนกบผทำาธรกรรมทาง

อเลกทรอนกส และมพนธกจมงเนนการประสานงาน

กบหนวยงานในเครอขาย และหนวยงานทเกยวของ

ในการดำาเนนการแกไขเหตภยคกคามดานสารสนเทศ

ทไดรบแจง

ไทยเซรตมพนธกจเชงรกในการเพมขดความ

สามารถของทรพยากรบคคลดานการรกษาความ

มนคงปลอดภยสารสนเทศ และมกจกรรมสรางความ

ตระหนกและพฒนาทกษะความรตางๆ เชน การซก

ซอมรบมอภยคกคามดานสารสนเทศ และการแลก

เปลยนและเผยแพรขอมลขาวสารเกยวกบภยคกคาม

ดานสารสนเทศ

หนงสอเลมนเปนรวบรวมบทความทไดเผยแพร

ผานเวบไซตของไทยเซรต (www.thaicert.or.th) ใน

ชวงระยะเวลาวนท 1 ธนวาคม 2554 - 31 ธนวาคม

พ.ศ. 2555 ซงมเนอหาสำาหรบกลมบคคลทวไป และ

ผดแลระบบสารสนเทศ ผจดทำาหวงเปนอยางยงวา

หนงสอเลมน จะมสวนชวยในการสรางภมคมกนให

กบสงคมออนไลนของประเทศไทย

สรางคณา วายภาพ

ผอำานวยการสำานกงานพฒนาธรกรรม

ทางอเลกทรอนกส (องคการมหาชน)

Cyber Threat Alerts - 2012 | 07

สารบญ

08 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 09

สารบญรป




เอกสารเผยแพรสำ�หรบผใชทวไป

01 แนวทางการบรหารจดการเครอขายไร

สายสวนบคคลกบภยคกคามทเกยวของผเขยน: พรพรหม ประภากตตกลวนทเผยแพร: 16 ธ.ค. 2554ปรบปรงลาสด: 25 ธ.ค. 2554

ปจจบนเทคโนโลยเครอขายไรสายหรอทเรยกวา Wireless Network เปนทแพรหลายอยางมาก ดงจะ

สงเกตเหนไดตามตรอกซอกซอย ซงเปนแหลงทพกอาศยของบคคลทวไป กจะพบวาสามารถคนเจอสญญาณ

เครอขายไรสายมากมาย ทงนคงเปนเพราะเหตผลของเทคโนโลยทางดานเครอขายไรสายทเจรญเตบโต ขนอยาง

รวดเรวและงบประมาณทใชในการจดตงจดเชอมตอเครอขายไรสาย มราคาถกลงมาก รวมถงอปกรณทหาซอ

ไดงายและสามารถเรยนรวธการเพอจดตงจดเชอมตอเครอขายไรสายไดไมยากเยน จากขอมลทมอยมากมาย

บนอนเทอรเนต ซงวตถประสงคของการจดตงเครอขายไรสายเหลานสวนหนงคอตงใจ เพมความสะดวกสบาย

ใหกบผใชเทคโนโลยพกพา เชน โทรศพทมอถอ Smart Phone หรอเครองคอมพวเตอรโนตบค สำาหรบการ

เขาถงอนเทอรเนต แตในความตงใจดงกลาวอาจจะถกเจอปนดวยความไมรซงนำาไปสอนตราย ซงแอบแฝงมา

กบจดเชอมตอของเครอขายไรสายนนๆ เหตทกลาวเชนน เพราะจากคณลกษณะทางกายภาพของการใชงาน

เครอขายไรสายท เปนการเชอมตอสญญาณผานตวกลางทเปนคลนวทย (Radio wave) ซงไมสามารถระบ

ไดวาใครบางทกำาลงทำาอะไรกบเครอขายไรสายของเราหรอ แมจะตรวจสอบวาผทกำาลงเชอมตออยกบเครอ

ขายไรสายของเรานนอย ทพกดไหนกยงคงเปนเรองยาก ซงจะไมไดเหมอนการเชอมตอสญญาณผานสาย

LAN (Local Area Network) ทจะรตนสายปลายทางจากการเชอมตอนนๆ ไดอยางงาย เพราะฉะนนการ

คดจะจดตงจดเชอมเครอขายไรสาย ควรตองศกษาขอมลใหละเอยดถงการทำางานในสวนตางๆ ขอด/ขอเสย

ของอปกรณแตละชนด และสดทายจำาเปนตองรเทาทนเหตการณทอาจจะเกดขนในอนาคต เพอเตรยมพรอม

รบมอและทำาใหเครอขายไรสายของเรามความมนคงปลอดภยมากทสด โดยเอกสารฉบบนจดทำาขนเพอใหผ

ทตองการใหบรการเครอขายไรสาย สวนบคคล (Private Wireless Network) หรอผทใหบรการเครอขายไร

สายสวนบคคลอยแลวกตาม ไดรบทราบถงขอมลของภยคกคามและแนวทางในการบรหารจดการเครอขายไร

สาย ใหมความมนคงปลอดภยมากทสด โดยรปแบบการนำาเสนอจะขออธบายตามโครงสรางขอมลดงตอไปน


รปแบบของการใหบรการเครอขายไรสาย

สามารถจำาแนกไดเปน 2 ประเภทตามลกษณะการใหบรการ

• ใหบรการในพนทสาธารณะ (Public Wireless Network) โดยสวนใหญจะเปนผใหบรการ

ทมความเชยวชาญและมความรเฉพาะท เกยวกบการใหบรการเครอขายไรสายอยแลว เชน

True Wi-Fi, 3BB Hotspot, TOT Wi-Fi เปนตน โดยจะพบเหนบรการไรสายเหลานในพนท

สาธารณะสวนใหญหรอในบางครงอาจ พบวาตามสถานทราชการทวไปกจะมบรการเครอขาย

ไรสายของผใหบรการตางๆ เปดใหบรการอย ซงการขอใชบรการสวนใหญจำาเปนตองเปดการ

ใหบรการโดยการลงทะเบยนรบ เอกสารขอมลการยนยนตวตน เชน ชอผใช (Username)

และรหสผาน (Password) เพอเขาใชงานตอไป

• ใหบรการในพนทสวนบคคล (Private Wireless Network) เชน ในบรเวณบาน หรอใน

บรเวณสำานกงานเลกๆ เปนตน ซงมขอสงเกตคอมกจะเปนการใหบรการทไมมผลประโยชน

เขามาเกยวของ คอไมมการคดคาบรการและขอบเขตการใหบรการคอนขางแคบหรอจำากด

ซงหมายความวาการใหบรการสวนใหญจะเปดใหใชงานเพออำานวยความสะดวกให กลมผทม

ความเกยวของดวยโดยตรง เชน เปนบคคลในครอบครว หรอเปนพนกงานในสำานกงานนนๆ

เปนตน และการใชงานจะครอบคลมพนทการใชงานในระยะใกล

องคประกอบหลกของการใชงานเครอขายไรสาย อปกรณเชอมตอสญญาณอนเทอรเนต เปนอปกรณหลกททำาหนาทเชอมตอเครอขายอนเทอรเนตหรอท

เรยกวา โมเดม (Modem) โดยปจจบนพบวามผผลตโมเดมออกมาเพอรองรบการใชงานเชน Modem 56K,

Modem ADSL, Modem 3G ซงแตละมาตรฐานกมการรองรบความเรวในการรบสงขอมลแตกตางกนไป

อปกรณกระจายสญญาณสำาหรบเครอขายไรสาย เปนอปกรณหลกททำาหนาทเปนสถานรบสงขอมลผาน

เครอขายไรสาย โดยบางครงจะเชอมตอกบโมเดมเพอทำาใหสามารถรบสงขอมลกบเครอขาย อนเทอรเนตได

และสามารถตงชอของสถานเครอขายไรสาย (SSID) ดงกลาวไดเอง ซงอปกรณทกลาวถงจะเรยกวา Access

Point [1-1] หรอในบางอปกรณจะจบความสามารถของการเชอมตอสญญาณอนเทอรเนตและความสามารถ

ในการกระจายสญญาณไรสายรวมไวในอปกรณเดยวกนแลวเรยกวาเปน Wireless Modem Router ซง

ปจจบนมผผลตสนคาออกมาหลายยหอหลายรน โดยความแตกตางของอปกรณแตละรนหรอยหอมกจะเปน

เรองการรองรบจำานวน การเชอมตอสงสดทอปกรณสามารถรบได (บางรนรองรบไดท 10-15 การเชอมตอ)

รวมถงความเรวของการรบสงขอมลบนเครอขายไรสายทแตกตางกน เชน Wireless N จะรองรบความเรว

สงสดในการรบสงขอมลท 300 Mbps สวน Wireless G จะรองรบความเรวสงสดในการรบสงขอมลท 54

Mbps เปนตน นอกจากน คอมพวเตอรโนตบคหรอโทรศพทมอถอ Smart Phone รนใหมๆ ยงสามารถ

ปลอยสญญาณอนเทอรเนตเพอทำาหนาทเปน Access Point ไดอกดวย

ซอฟตแวรบรหารจดการเครอขายไรสายเปนหวใจการของควบคมการเขาถงเครอขายไรสายใหมความ

มนคงปลอดภย โดยมลกษณะการทำางานเปนซอฟตแวรสำาหรบตงคาการใชงานเครอขายไรสาย เชน การระบ

เครองคอมพวเตอรทสามารถเชอมตอมายงเครอขายไรสายไดโดย ตรวจเชคจากหมายเลข MAC Address

(MAC Filter) การตงคาชอเครอขายไรสาย Service Set Identifier (SSID) การตงคาการเขารหสลบขอมล

เพอการใชงานเครอขายไรสาย (Encryption) เปนตน โดยซอฟตแวรดงกลาวผผลตจะผนวกไวในอปกรณ

กระจายสญญาณไรสาย ทำาใหไมตองจดหาหรอดแลอปกรณอน ๆ เพมเตม

มาตรฐานการเขารหสลบสญญาณในเครอขายไรสายรปแบบตางๆ

การรกษาความมนคงปลอดภยของระบบเครอขายไรสายถอเปนเรองสำาคญ จงมผคดคนรปแบบในการ

เขารหสลบสญญาณในเครอขายไรสาย เพอปองกนการดกรบขอมล (Sniff) และยงใชเปนแนวทางในการจำากด

สทธในการเขาใชงานเครอขายไรสาย ซงมาตรฐานทนยมใชงานบนอปกรณเชอมตอไรสายทพบโดยทวไปมดงน

WEP (Wired Equivalent Privacy) เปนอลกอรทมในการรกษาความมนคงปลอดภยของเครอขายไร

สายลำาดบแรกทพฒนาขน [1-2] ตามมาตรฐาน IEEE 802.11 ในชวงป คศ. 1999 ใชในการพสจนตวตนโดย

อาศยหลกการแชรกญแจลวงหนา (Pre-shared Key) ผใชทกคนทใชงานบนเครอขายจะตองทราบกญแจ

สมมาตร (Symmetric key) ทจะใช [1-3] ซงทกคนทเขาใชงานจะตองไดรบกญแจตวเดยวกน กญแจมขนาด

64 bit หรอ 128 bit (จะสงเกตได จากหนาระบบบรหารจดการเครอขายไรสายจะใหเลอกวาจะใชงาน WEP

64 bit หรอ WEP 128 bit) โดยกญแจดงกลาวนอกจากจะใชในการยนยนตวตนแลว ยงถกใชในการเขาและ

ถอดรหสลบขอมลทรบสงภายในเครอขายดวย ซงวธการเชนนเปนชองโหวใหผโจมตสามารถเจาะระบบเครอ

ขายผานเทคนคตางๆ เชน การใชโปรแกรมดกรบขอมลทรบสงระหวางอปกรณทเชอมตอแลวนำามาวเคราะห

เพอหากญแจทใชสำาหรบเขาระบบ ซงสามารถ ทำาไดในเวลาอนรวดเรว ถงแมจะมการใชงานกญแจขนาด 128

bit ซงเปนกญแจขนาดใหญสดแลวกตาม [1-4] [1-5] ดงนนการปองกนการเขาถงดวยวธ WEP จงไมเปนท

นยมในปจจบน ตอมาไดมการพฒนามาตรฐานเครอ ขายไรสายแบบใหมขนมา เพอเพมความมนคงปลอดภย

ใหมากขน โดยมชอเรยกของมาตรฐานดงกลาววา IEEE 802.11i [1-6] ซงมาตฐานดงกลาวไดเพมอลกอรทม

การเขารหสลบแบบใหม คอ WPA และ WPA2 WPA และ WPA2 (Wi-Fi Protected Access)

WPA คออลกอรทมในการเขารหสลบการเชอมตอเครอขายไรสายทมความมนคงปลอดภยมากกวา

WEP มกลไกการเขารหสลบและถอดรหสลบแบบ TKIP (Temporal Key Integrity Protocol) [1-7] โดย

กญแจทใชในการเขาหรอถอดรหสลบจะถกเปลยนแปลงโดยอตโนมตอยเสมอ ตามผใชงานแตละคนและกลม

ขอมล (Packet) ทมการรบสง แตอยางไรกตามปจจบนพบวาวธการเขารหสลบดวย WPA สามารถถกเจาะได

โดยการดกขอมลทรบสงระหวางอปกรณและ Access Point ในระหวางทอปกรณดงกลาวแลกเปลยนกญแจ

ดวยวธการทำา Handshake [1-8] [1-9] ดงนนจงมการพฒนาเทคนคการเขารหสลบรปแบบใหมขนมาเรยกวา

WPA2 ซงนอกจากรองรบ TKIP แลวยงเพมกลไกการเขารหสลบทมความมนคงปลอดภยมากขน คอ CCMP

(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) ซงถก


พฒนามาจากมาตรฐาน AES (Advanced Encryption Standard) [1-10] โดยมหลกการเบองตนคอแบง

ขอมลออกเปนสวนๆ (Block) โดยแตละสวนตองมขนาด 128 bit เปนอยางตำา จากนนใชกญแจขนาด 128

bit เขารหสลบขอมลจนครบทก Block ซงการทำาเชนนจะแตกตางจาก WEP และ WPA ทใชการเขารหสลบ

ขอมลทงชด (Stream) โดยจากการตรวจสอบขอมลจะเหนไดวาการใชกลไกการเขารหสลบแบบ CCMP ม

ความมนคงปลอดภยและยากตอการโจมตกวาการใช WEP หรอ WPA [1-11] [1-12] ดงนนสำาหรบผดแล

เครอขายไรสายทวไปแลวในการเลอกรปแบบการเขารหสลบขอลเพอปองกนผโจมต จงควรตงคารหสการ

เชอมตอเครอขายไรสายทเปน WPA2 ในโหมด AES ตามทไดกลาวมาขางตน

ภยคกคามทเกดขนกบการจดตงบรการเครอขายไรสาย ภยคกคามจากซอฟตแวรทใชในการบรหารจดการเครอขายไรสาย โดยซอฟตแวรททำางานผดพลาด

อาจสงผลกระทบรนแรงจนทำาใหเกดชองโหวทผโจมตสามารถเขาถงเครอขายไรสายหรอเขาควบคมระบบ

การบรหารจดการเครอขายไรสายได

ภยคกคามจากการใชเทคนคหลอกลวง โดยพบวาผโจมตจะสรางสถานเครอขายไรสายเพอหลอกลวงผ

ใชงานใหหลงเชอวาเปนเครอขายไรสายชอเดยวกน ซงเมอผใชงานทำาการกรอกรหสผานเพอเขาใชงานกจะ

ทำาใหถกดกรบ ขอมลได และจากนนผโจมตจะนำารหสผานดงกลาวไปใชงานตอไป

ภยคกคามจากการโจมตเครอขายไรสายทจดตงขน เกดจากผไมหวงดซงสบทราบถงกระบวนการรกษา

ความมนคงปลอดภยของเครอขายไรสายทจดตงขน และพยายามโจมตเครอขายไรสายดงกลาวในลกษณะของ

การขโมยรหสผานโดยวธการและอปกรณทหาซอไดตามทวไป ยกตวอยางเชน การประมวลผลเพอแกะรอย

รหสผานของการเขารหสลบสญญาณแบบ WEP

ภยคกคามจากการตงคาเครอขายไรสายอยางไมถกวธ เกดจากผจดตงเครอขายไมมความรความเขาใจ

ในการจดตงเครอขายไรสาย จนทำาใหผโจมตสามารถเขาถงเครอขายไรสายไดอยางงายดาย เชน ผดแลเครอ

ขายไรสายไมตงคาโหมดการยนยนรหสผานไว ทำาใหบคคลใดกตามทคนพบสญญาณเครอขายไรสายดงกลาว

สามารถเชอมตอเพอใชงานอนเทอรเนตไดทนท

ภยคกคามจากการบอกรหสผานผอนสำาหรบเขาใชงานเครอขายไรสายได การใหรหสผานกบผอนใน

การเขาใชงานเครอขายไรสาย ถอเปนความเสยงอยางรนแรง เนองจากผดแลเครอขายไรสายเอง จะไมทราบ

เลยวาผใชงานคนนนไดใชงานเครอขายไรสายทจดตงขนในทางทผดอยางไรบาง เชน ผใชงานอาจใชงาน

อนเทอรเนตเพอโพสตขอความหมนประมาทผอน ผใชงานนำาขอมลรหสผานนไปบอกตอแกบคคลอน หรอ

แมกระทงผใชงานมความพยายามจะขโมยขอมลหรอลกลอบเขาไปในระบบบรหารจดการเครอขาย เพอให

ไดสทธในการควบคมเครอขายไรสายดงกลาว ซงหากเปนเพยงการโจมตภายในอาจพบวาสามารถแกไขได

ไมยาก แตหากพบวาเปนการใชงานตอสาธารณะในความผดทตองไดรบโทษทางกฎหมาย กจะทำาใหผดแล

เครอขายไรสายหรอผเชาใชงานอนเทอรเนตบนเครอขายไรสายนนๆ ตองกลางเปนผรบผดชอบแทนในฐานะ

ทเปนผกระทำาความผด โดยสวนใหญ อปกรณเครอขายไรสายสวนบคคลจะไมสามารถจดเกบขอมลบนทก

การใชงาน (Log) ไวในตวอปกรณ

ขอแนะนำ สำ หรบการใหบรการเครอขายไรสายในพนทสวนบคคล

• เลอกซออปกรณการเชอมตอสำาหรบเครอขายไรสายจากผผลตทมความนาเชอถอ โดยสงเกต

สญลกษณคำาวา Wi-Fi CERTIFIED ดงรปท 1 (1-1) และมขอมลฟงกชนการใชงานประกอบ

เพอเปนขอมลในการตดสนใจเลอกซอ รวมถงเพอใหสามารถวางแผนการใหบรการเครอขาย

ไรสาย และกำาหนดความตองการสำาหรบการตงคาการเขาถงตางๆได

รปท 1 (1-1) WI-FI CERTIFIED [1-13]

• อพเดทซอฟตแวร (Firmware) สวนทใชในการบรหารจดการเครอขายไรสายใหใหมอยเสมอ

เพอลดความเสยงทอาจเกดขนจากการคนพบชองโหวตางๆ ในซอฟตแวรเวอรชนทใชงาน

หรอในบางครงการอพเดทซอฟตแวรทำาใหสามารถขยายความสามารถบางอยางของการ

บรหารจดการ เชน ทำาใหสามารถใชงานการเขารหสลบสญญาณของเครอขายไรสายแบบ

WPA ไดเพมเตม จากเดมทมใหเลอกใชเพยง WEP

• เปดการใหบรการ Firewall เพอปองกนการบกรกจากภายนอกเครอขาย การตงคารหสผาน

หรอ Passphrase ในการเขาใชงานระบบเครอขายไรสายควรตงคาใหมความยาวมากกวา

20 ตวอกษร และไมสอถงคำาทอยในพจนานกรม เพอปองกนการคาดเดาหรอสมรหสผานใน

การเขาใชงานเครอขายไรสาย [1-14]

• เปดโหมดการยนยนรหสผานในการเชอมตอเครอขายไรสาย โดยแนะนำาใชเลอกใชงานการเขา

รหสลบสญญาณแบบ WPA2 และ เขารหสลบขอมลดวย AES รวมถงตองไมใชการเขารหส

ลบสญญาณแบบ WEP โดยเดดขาด เนองจากปจจบนพบวาผไมหวงดสามารถโจมตเครอขาย

ทใชการเขารหส ลบสญญาณแบบ WEP เพอแกะรอยรหสผานไดโดยงาย

• ปรบแกไขคาตงตนในสวนตางๆทใชในการบรหารจดการเครอขายไรสายสาธารณะ เพอ

ปองกนการพยายามโจมตดวยคากรอกตงตนจากโรงงานผผลต โดยมการตงคาทควรปรบปรง

ดงน


o รหสผานของระบบบรหารจดการเครอขายไรสาย ซงโดยปกตจะมการตงคามาจากโรงงานผ

ผลต จงควรจำาเปนตองเปลยนแปลง เพอปองกนการคาดเดาหรอสมรหสผานในการเขาถง

หนาการตงคา

o ชอ SSID ของเครอขายไรสาย ซงในบางครงการใชคาตงตนทมาจากโรงงานผผลตอาจทำาให

สอถงตวผลตภณฑไดในทนท [1-15] โดยอาจถกใชเปนขอมลสนบสนนสำาหรบผโจมตเครอ

ขายไดงายขน

o ปดโหมดการเผยแพรสถานกระจายสญญาณของเครอขายไรสายหรอทเรยกวา Broadcast

SSID เพอปองกนบคคลทวไปสามารถเหนสถานเครอขายไรสายไดโดยงาย

• ใชงานฟงกชนการทำางานการคดกรองผใชงานจากหมายเลข MAC Address ของเครองผใช

งานหรอทเรยกวา MAC Address Filter เพอจำากดการเขาใชงานเฉพาะผใชงานทไดรบอน

ญาตเทานน

• ปดการใชงานของ DHCP Server ในการกำาหนดหมายเลข IP Address ใหแกเครองทเชอม

ตอเครอขายไรสาย โดยใหกำาหนดเปน Static IP ทเครองผใชงานเอง เพอปองกนผไมหวงด

ลกลอบเขาถงเครอขายไรสายไดอยางงายดาย โดยหากสามารถเจาะรหสผานในการเชอมตอ

กบเครอขายไรสายได แตกจำาเปนตองคาดเดากลมของ IP Address เปาหมายอกชนหนง

ปดการใชงาน Remote login ซงเปนฟงกชนการทำางานเพอเรยกใชหนาระบบบรหารจดการเครอขายไร

สายจากเครอขายภายนอก เพอเปนการปองกนการโจมตดวยการสมรหสผานมายงอปกรณกระจายสญญาณ

โดยตรง เนองจากพบวามโอกาสสงทผโจมตจะใชขอมลการตงคาเรมตนของอปกรณนนๆ ในการพยายาม

ลอกอนเพอเขาควบคมระบบบรหารจดการเครอขายไรสาย โดยหากพบวามความจำาเปนตองเปดการใชงาน

Remote Login กใหระบถงหมายเลข IP Address ของผใชงานทจะเขาถงบรการดงกลาว

หากพบวามความผดปกตในระบบบรหารจดการเครอขายไรสาย เชน การตงคาตางๆ มความเปลยนแปลง

ไป หรอพบวามผใชงานทไมรจกเขามาเชอมตอเครอขายไรสายทดแลอย (โดยปกตอปกรณกระจายสญญาณ

เครอขายไรสายทวไปจะมหนาสำาหรบตรวจสอบการ เชอมตอจากผใชงานอย โดยอาจจะแสดงขอมลเปน

หมายเลข MAC Address หรอขอมลชอเครองคอมพวเตอรททำาการเชอมตอ) ใหรบเปลยนรหสผานสำาหรบ

การเขาสหนาบรหารจดการและควรเปลยนการ ตงคาดงทกลาวมาทงหมดใหม เพอลดความเสยงทจะถกนำา

เครอขายไรสายดงกลาวไปใชในทางทผด

ควรเปลยนแปลงรหสผานของผดแลเครอขายไรสายในระบบบรหารจดการเครอขายไรสายและรหสผาน

ในการเขาถงเครอขายไรสายทกๆ 6 เดอน เพอปองกนความผดพลาดทอาจถกผประสงครายขโมยขอมลรหส

ผาน เพอใชในการเขาถงเครอขายไรสายหรอควบคมเครอขายไรสายนนๆ

อางอง [1-1] http://en.wikipedia.org/wiki/Wireless_access_point

[1-2] http://ezinearticles.com/?Wireless-Network-Encryption-Standards&id=124796

[1-3] http://sammana3.googlecode.com/svn/trunk/การเปรยบเทยบการใชงานระบบเขารหส

แบบWEPและWPA.doc

[1-4] http://lifehacker.com/5305094/how-to-crack-a-wi+fi-networks-wep-password-

with-backtrack

[1-5] http://blog.anidear.com/2010/09/hack-wireless-wep.html

[1-6] http://en.wikipedia.org/wiki/IEEE_802.11i-2004

[1-7] http://en.wikipedia.org/wiki/Temporal_Key_Integrity_Protocol

[1-8] http://airodump.net/capturing-wpa-psk-handshake/

[1-9] http://www.aircrack-ng.org/doku.php?id=cracking_wpa

[1-10] http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

[1-11] http://www.mindterra.com/blog/?p=42

[1-12] http://www.maxi-pedia.com/WPA+WPA2+WiFi+protected+access

[1-13] http://www.mobicom.com.tr/pinfo.asp?pid=7

[1-14] http://technicallyeasy.net/2010/12/why-the-length-of-the-wpa-passphrase-is-

important

[1-15] http://compnetworking.about.com/od/wirelessrouters/

ss/router_ssid.htm


02 ชอไวรสคอมพวเตอรบงบอกอะไรบาง?

ผเขยน: พรพรหม ประภากตตกลวนทเผยแพร: 15 ธ.ค. 2554ปรบปรงลาสด: 15 ธ.ค. 2554

หลายคนคงเคยใชงานโปรแกรมแอนตไวรส (Antivirus) และคงเคยเจอกบสภาพหนาจอคอมพวเตอรท

มการแจงเตอนการพบเจอไวรส (Virus alert) ดงเชนรปท 2 (2-1)

รปท 2 (2-1) การแจงเตอนไวรส [2-1][2-2]

ซงเหตการณดงกลาวมกจะเกดขนตอนทเครองคอมพวเตอรกำาลงดาวนโหลดไฟลไวรสหรอกำาลงประมวล

ผลไฟลไวรส โดยสวนใหญแลวการแสดงขอมลแจงเตอนไวรสจะบอกถงขอมลสำาคญสองสวนหลกๆ คอ

ตำาแหนงทอยของไฟลไวรส และชอของไวรสทพบ ซงหลายคนคงเคยมความสงสยถงชอของไวรสทแสดงวาม

ความหมายวาอยางไร และแตละชอมมาตรฐานหรอใชกฎเกณฑใดในการตงชอของไวรสหรอไม ในบทความ

นจะอธบายถงขอมลทเกยวของกบรปแบบการตงชอไวรสและ ความหมายของชอไวรส เพอใหผอานเขาใจถง

รายละเอยดจากชอไวรสไดในเบองตน โดยมขอมลทสำาคญดงตอไปน

ไวรสคออะไรไวรสคอโปรแกรมไมพงประสงคหรอมลแวร (Malware) ประเภทหนงทถกเผยแพรโดยใชเทคนคหรอ

กลยทธตางๆ เพอหลอกลอใหผใชงานหรอเหยอตดไวรสดงกลาว โดยสวนใหญจะใชการหลอกใหดาวนโหลด

และตดตงโดยอตโนมต ซงผลจากการตดไวรส จะทำาใหเครองคอมพวเตอรของเหยอตกอยในการควบคมของ

ไวรสดงกลาว โดยในตวอยางของไวรสประเภทหนง พบวามการขโมยขอมลบนเครองคอมพวเตอรของเหยอ

เพอสงไปยงเครองคอมพวเตอรของผโจมต

รปแบบการตงชอไวรสปจจบน ชอไวรสทคนพบใหม จะถกกำาหนดโดยบรษทผพฒนาโปรแกรมแอนตไวรส เนองจากใชเปน

ขอมลอางองเพอบอกผใชงานใหทราบถงขอมลไวรสทพบ โดยไมไดมมาตรฐานกลางหรองคกรใดองคกรหนง

เปนผกำาหนดรปแบบหรอชอไวรสดงกลาว สาเหตหลกคอบางครงการอางองชอไวรสจากแหลงอน ๆ เปนไป

ไดยาก เนองจากเปนไวรสทถกคนพบใหม จะยงไมอยในฐานขอมลของบรษทใดบรษทหนง ซงทำาใหไวรสตว

เดยวกนสามารถมชอเรยกทแตกตางกนได [2-3] แตสวนใหญจะพบวาในแตละผพฒนาโปรแกรมแอนตไวรส

จะมการกำาหนดรปแบบของชอไวรสไปในทศทางเดยวกน ซงมการระบขอมลออกเปน 4 สวนหลกคอ การระบ

ประเภทไวรสหรอมลแวร (Prefix) การระบชอของไวรส (Name) การระบสายพนธของไวรส (Suffix) และ

การระบวธการแพรกระจายของไวรส (Modifer) ตามลำาดบ [2-4] โดยมรายละเอยดดงตอไปน

Prefix ใชในการระบประเภทหรอลกษณะของการโจมตของไวรสหรอมลแวร หรออาจใชเปนขอมล

ของระบบทมผลกระทบของไวรสดงกลาว ยกตวอยางเชน W32 หรอ Win32 หมายถงเปนไวรสทมผลกระ

ทบตอ Windows 32-bit เปนหลก (พบวาผใช Windows 64-bit สามารถตดไวรสทเปน W32 ได [2-5])

หรอ OM หมายถงมาโครไวรสบน Microsoft Office เปนตน โดยปกตแตละบรษทผพฒนาโปรแกรมแอนต

ไวรสจะมตารางแสดงถงขอมลอธบาย ชอและความหมายเพอใหผใชงานทราบถงความหมายเบองตน เชน

Symantec [2-6] หรอ Avira [2-7]

Name เปนสวนทผคนพบไวรสมกใชเพอบอกชอสายพนธของไวรสนนๆ โดยอาจจะเปนการตงชอใหมหรอ

ใชเปนชอเดม [2-8] เพอบงบอกถงสายพนธของไวรสนนๆ โดยปกตการระบขอมลชนดน มกจะใชเครองหมาย

เชน _ . หรอ / เพอคนระหวางขอมล Prefix เชน W32/Bagle โดย Bagle เปนชอเรยกของไวรส และ W32

เปนขอมล Prefix ทแสดงถงไวรสดงกลาวสามารถทำางานไดบน Windows 32-bit

• Suffix เปนสวนทระบสายพนธไวรสยอยทมความแตกตางกนไป โดยลกษณะของการระบ

ขอมลจะใชตวอกษรภาษาองกฤษ และใชเครองหมายเชน _ - หรอ . เพอคนระหวางขอมล

ชอไวรสและสายพนธยอยดงกลาว เชน W32/Bagle.A หรอ W32/Bagle-B โดยลกษณะของ

การระบสายพนธยอยนอกจะเรยงตามตวอกษร A ถง Z แลว หากจบตวอกษรสดทายแลวจะ

เรมตนใหมท AA ไปจนถง ZZ ไปเรอยๆ

• Modifer เปนสวนทระบคณสมบตเพมเตมของไวรสตวดงกลาว เชน วธการแพรกระจายของ

ไวรสทพบ โดยสวนใหญจะถอเปน Optional หมายถงอาจไมจำาเปนตองใสกได และถอเปน

ขอมลสวนสดทายในการตงชอไวรส โดยลกษณะของการระบขอมลดงกลาวขนอยกบความ

เขาใจของแตละผสอสาร วาจะสอถงขอมลแบบไหน ซงอาจไมมกฎเกณฑทตายตว โดยจาก

ขอมลเบองตนสามารถอธบายตวอยางทพบไดดงน [2-9]


* ใชเครองหมาย @ แลวตามดวยตวอกษรยอของวธการเผยแพรไวรส เชน @mm หมายถง

ไวรสชนดนถกเผยแพรผานทางอเมล โดย mm ยอมาจาก mass-mailing

* ใชเครองหมาย : แลวตามดวยตวอกษรยอทระบถง Encoding ทสนบสนนการทำางานของ

ไวรส เชน :Uni หมายถงไวรสชนดนสามารถทำางานภายใตแพลตฟอรมของระบบทรองรบ

การอาน เขยนขอมลแบบ Unicode

ตวอยางการอานชอไวรสBagle.BB@mm เปนไวรสสายพนธชอ Bagle เปนไวรสสายพนธยอยชอ BB เผยแพรผานอเมลและสง

ผลตอระบบปฎบตการ Windows 32-bit

I-Worm/Gaobot.BOW. เปนไวรสสายพนธชอ Gaobot เปนไวรสสายพนธยอยชอ BOW และมลกษณะ

การทำางานทเปน Internet Worm

การเรยนรขอมลการตงชอไวรสอาจไมไดทำาใหเราสามารถ เขาใจการทำางานหรอคณลกษณะเฉพาะของ

ไวรสไดทกตว แตอยางนอยกเปนแนวทางในการสบคนขอมลบนอนเทอรเนต เพอชวยใหเราเขาใจลกษณะ

การทำางานของไวรสนนไดมากขน

อางอง[2-1] http://www.prlog.org/11360953-how-to-remove-antivirus-software-alert.html

[2-2] http://0100101110101101.org/download/biennalepy.html

[2-3] http://www.cknow.com/cms/vtutor/virus-names.html

[2-4] http://antivirus.about.com/od/whatisavirus/a/virusnames.htm

[2-5] http://computervirus.uw.hu/ch04lev1sec3.html

[2-6] http://www.symantec.com/security_response/virusnaming.jsp

[2-7] http://www.avira.ro/en/virus_information/malware_naming_conventions.html

[2-8] http://en.wikipedia.org/wiki/List_of_computer_viruses

[2-9] http://www.caro.org/articles/namingupdated.html

03 แนวทางการใชงานโทรศพทมอถอให

ปลอดภยจากภยคกคามผเขยน: พรพรหม ประภากตตกล และศภกร ฤกษดถพร วนทเผยแพร: 30 ธ.ค. 2554ปรบปรงลาสด: 30 ธ.ค. 2554

เนองดวยความเจรญกาวหนาของเทคโนโลยการสอสาร สงผลใหมผพฒนาและผลตโทรศพทเคลอนท

หรอโทรศพทมอถอ ออกมาเปนจำานวนมาก โดยแตละผพฒนากมแนวคดคลายกนคอตองการอำานวยความ

สะดวกใหผใชงานมากทสด สงเกตไดจากสอโฆษณาทวไปทมการโฆษณาถงความสามารถของโทรศพทมอถอใน

แตละฟงกชนการทำางาน เชน สามารถเชอมตอกบเครอขายไรสายเพอความสะดวกในการเขาถงอนเทอรเนต

บนโทรศพทมอถอ สามารถรบชมวดโอบนโทรศพทมอถอเพอความบนเทง เปนตน แตจากความสามารถ

และขอดหลายประการของโทรศพทมอถอ กยงถกเจอปนหรอแอบแฝงไปดวยภยอนตรายหรอภยคกคาม

หลายประการ ซงผใชงานอกจำานวนมากทอาจจะยงไมเคยทราบถงภยคกคามจากการใชงานโทรศพทมอ

ถอสงผลใหผไมหวงดสามารถโจมตหรอขโมยขอมลตางๆ ไดโดยงาย เชน การปลดลอคโทรศพทมอถอเพอ

นำาไปตดตงซอฟตแวรผดกฎหมาย สงผลใหระบบปฎบตการบนโทรศพทมอถอมชองโหว เปนตน และจาก

สภาพแวดลอมในปจจบน เปนทยอมรบกนวาโทรศพทมอถอไดกลายเปนเครองมอทจำาเปนสำาหรบ องคกร

หรอบรษทสวนใหญทตองการใหพนกงานใชในการตดตอสอสารเพอ ภารกจขององคกร หรอใชเพออำานวย

ความสะดวกในการคนหาขอมล ซงโทรศพทมอถอขนาดยอมและมราคาไมสงมากทวางขายตามทองตลาด

กยงมความสามารถเทยบเทาและสามารถใชงานเพอสนบสนนภารกจขององคกรได เชน การใชงาน VoIP

[3-1] (Voice over IP) ขององคกร การเขาถงเอกสารทจดเกบอยบนเวบไซตขององคกร รวมถงการรบสง

จดหมายอเลกทรอนกสขององคกร เปนตน ซงในขณะทอปกรณเหลานกอใหเกดประโยชนมากมาย แตใน

ทางกลบกนกสงผลใหเกดความเสยงในรปแบบใหมทองคกรอาจจะไมเคยคาดคดมากอน ทำาใหองคกรอาจม

ความจำาเปนตองหาแนวทางปกปองหรอรกษาความมนคงปลอดภยของ ขอมลใหไดมากทสด หรอในอกมม

หนง องคกรอาจจำาเปนตองกำาหนดนโยบายการใชงานโทรศพทมอถอของพนกงานทงหมด เพอควบคมหรอ

จำากดการเขาถงขอมลขององคกรเปนหลก ซงในเอกสารฉบบนจะอธบายถงความสามารถของโทรศพทมอถอ

ในปจจบน ขอแตกตางระหวางโทรศพทมอถอทวไปทมราคาตำา ไปจนถงโทรศพทมอถอทเรยกกนวา Smart

Phone ทมราคาและความสามารถสงขน รวมถงไดมการรวบรวมรายละเอยดเกยวกบภยคกคามและความ


เสยงของเทคโนโลยทเกยวของกบการใชอปกรณเหลาน มาตรการปองกนและแนวทางปฎบตของผใชงาน

โทรศพทมอถอ เพอควบคมมใหเกดความเสยหายตอตวผใชงานและองคกร

ประเภทของโทรศพทมอถอ Basic Phone เปนโทรศพทมอถอทวไปทมกจะมเพยงฟงกชนพนฐานในการโทรศพทและ การรบสง

ขอความสน (SMS) อาจมววฒนาการในการแสดงผลแบบจอภาพสหรอขาวดำา ตวอยางเชน Nokia 3310 เปนตน

Smart Phone เปนโทรศพทมอถอทมความสามารถพเศษคลายคอมพวเตอร รองรบระบบปฎบตการ

ตางๆ ทเพมเตมความสามารถของ PDA (Personal Digital Assistant) ใหมประสทธภาพเพมขน รองรบ

การทำางานมลตมเดยหลายรปแบบ รองรบการตดตอสอสารแบบไรสาย เชน Bluetooth, GPRS, EDGE, 3G

และ WiFi เปนตน ในการตดตอสอสาร โดยสวนใหญมกจะใชควบคกบบรการเสรมจากโอเปอเรเตอร โดยใน

ประเทศไทยมโอเปอเรเตอรหลกๆ อย 3 รายดวยกน คอ AIS, DTAC และ Truemove ดงนน Smart Phone

จงไมไดเปนแคโทรศพทมอถอทเพยงใชในการรบสายเขา โทรออก ฟงเพลง หรอ ถายวดโอ เทานน แตยง

สามารถรองรบการใชงานระดบเครอขายทมการตดตอสอสารทวโลก เชน การตดตอสอสารผานเครอขาย

สงคมออนไลน แบงปนขอมลออนไลน การโทรศพทผาน VoIP เปนตน ยงไมรวมถงระบบปฏบตการบนมอ

ถอของแตละคายทมอยในตลาดอยางมากมาย [3-2] ไมวาจะเปน Apple iOS Google Android Microsoft

Windows Phone Nokia Symbian และ Research in Motion (RIM) BlackBerry OS เปนตน ซงระบบ

ปฏบตการแตละคายตางกมความสามารถในการตดตงโปรแกรมเพมเตม และยงสามารถอพเดทขอมลทเปน

จดหมายอเลกทรอนกส ตารางนดหมาย ระหวางมอถอกบเครองคอมพวเตอรใหตรงกนได ซงจากขอมลความ

สามารถของโทรศพททไดกลาวไป ทำาใหเหนวาววฒนาการของโทรศพทมอถอในปจจบนสามารถทำางานได

เปรยบ เสมอนคอมพวเตอรขนาดยอมเคลอนทเลยกวาได โดยตอไปจะเปนการอธบายถงภยคกคามตางๆ

ทเกยวของกบการใชงานโทรศพทมอถอในปจจบนและแนวทางในการปองกน เพอใหผอานไดรบทราบและ

ปองกนภยไดดวยตนเอง ซงไดมการรวบรวมขอมลตางๆ ไวดงน

ภยคกคามบนโทรศพทมอถอ • ภยคกคามจากการใชงานโปรแกรมบนโทรศพทมอถอ (Application-Based Threats)

• โปรแกรมจำานวนมากทถกดาวนโหลดมาเพอตดตงบนอปกรณมอถอ พบวายงไมสามารถ

ตรวจสอบลกษณะการทำางานในดานความมนคงปลอดภยได ทำาใหผใชงานไมสามารถลวงร

ไดเลยวาโปรแกรมทตดตงไปเพอใช ประโยชนมากมายนน จะถกแฝงมาดวยปญหาดานความ

มนคงปลอดภยหรอไม โดยภยคกคามทมากบโปรแกรมทตดตงสามารถเปนไดมากกวาหนง

ประเภทดง ทจะกลาวดงตอไปน

* มลแวร (Malware) คอโปรแกรมทถกออกแบบมาเพอแสดงพฤตกรรมทเปนอนตรายตอ

ขอมลในโทรศพทมอถอนนๆ ตวอยางเชน สงใหโทรศพทมอถอเครองนนๆ สงขอความทไม

พงประสงคออกไปยงรายการผตดตอในโทรศพท โดยทผใชงานหรอเจาของโทรศพทนนไมร

ตว หรอขโมยขอมลบนโทรศพทมอถอนน ซงในกรณทผใชงานเกบขอมลบญชผใชของตนเอง

หรอของผเกยวของ ไวในโทรศพทกอาจทำาใหเกดการเขาโจรกรรมขอมลทเกยวของตอไปได

* สปายแวร (Spyware) คอโปรแกรมทถกออกแบบมาเพอเกบรวบรวมขอมลตางๆ ของผใช

งาน โดยเปาหมายสวนใหญของสปายแวรมกมงไปยง ประวตการใชงานโทรศพท ขอความ

ทอย รายชอผตดตอ อเมล รวมถงภาพถาย ซงสปายแวรโดยทวไปมกไดรบการออกแบบ

สำาหรบการเฝาตดตามการใชงานของบคคลใดบคคลหนง หรอการใชงานทเกยวของกบองคกร

ทงนขนอยกบวธการทจะใชสปายแวรทกำาหนดเปาหมาย ซงไมจำาเปนเสมอไปทผลกลอบ

ตดตงโปรแกรมประเภทนจะเปนผมจดประสงครายทงหมด เนองจากมความเปนไปไดวา

โปรแกรมประเภทนถกตดตงโดยผทเปนผปกครองซงมความหวงดตอผใชงาน เชน ผปกครอง

ตดตงโปรแกรมการตรวจสอบสถานทการใชงานบนโทรศพทมอถอของลกทอยในการดแล

การเขาโจมตผใชงานและโทรศพทมอถอดวยมลแวรและ สปายแวร สวนใหญ จะพบวาใช

เทคนคในการหลอกลวงผใชงานใหการดาวนโหลดโปรแกรมมาตดตงโดย ไมรตว เชน ใหคลก

ทลงกซงดเหมอนไมนาจะมความผดปกตอะไร แตจรงๆ แลวนนคอการสงใหดาวนโหลดและ

ตดตงมลแวรลงในโทรศพทมอถอดงกลาว และเมอมลแวรหรอสปายแวรตดตงโปรแกรมเสรจ

แลวกจะสกระบวนการโจมต ในลกษณะตางๆ ตอไป นอกจากนยงมการหลอกลวงในลกษณะ

ทพบเหนไดบอยครงคอการ Repackaging ซงเปนเทคนคทพบบอยมากในนกเขยนมลแวรท

พยายามจะใชชอโปรแกรมทมการทำางานถกตองตามกฎหมาย แตไดมการปรบเปลยนการ

ทำางานของโปรแกรม รวมถงแทรกโคดทเปนอนตรายไวในเวอรชนทเตรยมจะเผยแพร จาก

นนจงทำาการเผยแพรไปยงแหลงใหดาวนโหลดโปรแกรมตางๆ ทวไป รวมถงบนเวบไซตทให

ดาวนโหลดโปรแกรมบนโทรศพทมอถอ เพอหลอกใหผใชงานเขาใจผดและตดตงโปรแกรม

ดงกลาวบนโทรศพทมอถอ ซงเทคนคการ Repackaging ไดผลลพธในการโจมตคอนขางสง

เนองจากการอางองชอโปรแกรมทเคยพฒนามาแลว โดยจะพบไดจากในชวงตนป 2011 นก

เขยนมลแวรบนระบบปฎบตการ Android ใชเทคนคในการ Repackaging ซงสามารถอางอง

ขอมลไดตามรปท 3 (3-1) ดานลาง


รปท 3 (3-1) การ Repackaging [3-3]

* ชองโหวในโปรแกรมทใชงาน คอ พฤตกรรมการทำางานของโปรแกรมทมความผดพลาด โดย

ถกคนพบและสามารถนำามาใชประโยชนเพอวตถประสงคทเปนอนตราย ซงการคนพบชอง

โหวดงกลาวมกจะสงผลใหผคนพบสามารถโจมตโดยการเขาถงขอมลทสำาคญหรอการดำาเนน

การทไมพงประสงค ซงชองโหวดงกลาวมกถกแจงไปยงผพฒนา เพออพเดทโปรแกรมแกไข

โดยหลงจากมการแกไขชองโหวแลว ผพฒนาจะแจงการอพเดทโปรแกรมกลบมายงผใชงาน

อกครงหนง

ภยคกคามทเกดจากการใชงานเวบไซตบนโทรศพทมอถอ (Web-based Threats)

• เนองจากโทรศพทมอถอสวนใหญสามารถใชงานการเชอมตออนเทอรเนตไดจากเครอขาย

ไรสายทวไป ซงทำาใหเกดความสะดวกสำาหรบผใชงานในการเขาถงเวบไซตหรอบรการอนๆ

ซงโดยทวไปบรการสวนใหญสามารถใชงานผานหนาเวบไซตไดเปนหลกและเปนบรการ

ทผใชงานมความตองการใชงาน เชน การอานอเมล การใชงานธรกรรมออนไลน การเขา

ระบบทเปนสอสงคมออนไลน เปนตน โดยภยคกคามทเกดขนกบเวบไซตมกไมมขอจำากด

ทางดานระบบปฎบตการทใชอย ณ ขณะนน เชน การโจมตแบบฟชชง ซงจะกลาวในราย

ละเอยดตอไป โดยภยคกคามดงทกลาวนแตกอนอาจพบวามแตทเจอในการใชงานบนเครอง

คอมพวเตอรทวไป ในปจจบนไดขยายวงกวางมายงโทรศพทมอถอดวย เนองจากลกษณะ

การใชงานทคอนขางจะใกลเคยงกนมากในทกวนน โดยสามารถระบภยคกคามตางๆ ไดดงน

* ฟชชง (Phishing) [3-4] คอการหลอกลวงชนดหนงโดยใชหนาเวบไซตหรอสวนตดตอผใชอน

ๆ ทออกแบบใหมลกษณะคลายคลงกบของจรง เพอหลอกใหผใชกรอกขอมลเขาสระบบของผ

หลอกลวง เชน ผหลอกลวงพฒนาหนาเวบไซตลอกอนของ Facebook และสงลงกหลอกลวง

โดยแจงขอมลอนเปนเทจใหผใชงานเขาอพเดทขอมล สวนบคคลโดยเปนลงกของหนาลอกอน

ททำาขนมาดงทกลาวไวตอนตน เมอผใชงานพยายามลอกอนเขาไปยงระบบ จะทำาใหผหลอก

ลวงดงกลาวสามารถดกจบขอมลอนนาเชอไดวาเปนขอมลลอกอนของผใชงานคนนนๆ ทำาให

ขอมลหรอบญชการใชงานนนๆ มความเสยงทจะโดนขโมยขอมลออกไป ซงลงกทเปนการฟช

ชงเหลานสวนใหญมกจะแนบไปกบอเมล หรอเปนลงกซงมเนอหาเชญชวนตางๆ โดยความ

รนแรงของการถกขโมยขอมลดงกลาวอาจไมสงผลกระทบในทนทถาหากม การเขายบยงได

ทน เชน เมอทราบวาไดมการสงขอมลเขาหนาเวบไซตฟชชงไปแลว จงรบเขาเปลยนรหสผาน

ในหนาเวบไซตของระบบจรงทนท กจะทำาใหความเสยหายไมเกดขนในวงกวาง แตหากผใชงาน

ปลอยใหผหลอกลวงสามารถเขาถงบญชการใชงานตางๆ ซงในกรณทเปนระบบทมความเสย

หายรนแรง เชน ระบบธรกรรมออนไลน (e-Transaction) นนเทากบผหลอกลวงจะสามารถ

ใชเงนในบญชผใชงานนนไดทนท

* ชองโหวของโปรแกรมประเภทเบราวเซอร คอ ชองโหวทถกพบในโปรแกรมเบราวเซอรหรอ

โปรแกรมปลกอนทสามารถตดตง เพมเตมไดในเบราวเซอร เชน Flash player หรอ PDF

Reader เพอวตถประสงคอนตราย โดยลกษณะและวธการโจมตอาจเปนเพยงแคการใหผ

ใชงานเขาชมหนาเวบไซต เทานน จากนนจะทำาใหผใชงานตดมลแวรหรอโปรแกรมอนตราย

ตางๆ ทผโจมตใชสำาหรบชองโหวดงกลาว

ภยคกคามจากการใชงานเครอขาย (Network Threats) • โทรศพทมอถอในปจจบนมกจะสนบสนนการใชงานเครอขายไรสาย ซงมผใหบรการเปน

จำานวนมาก ทงทนาเชอถอและไมสามารถตรวจสอบได โดยมภยคกคามทสามารถสงผลกระ

ทบตอการใชงานบนโทรศพทมอถอตางๆ ไดดงน

* การเปลยนสถานะจากผใชงานเปนผโจมต ผานขอบกพรองของระบบปฎบตการบนโทรศพท

เคลอนท สงผลใหโทรศพทเคลอนทสามารถสงตอหรอแพรกระจายมลแวรไดโดย อตโนมต

ผานการทำางานบนเครอขาย เชน เครอขายไรสาย (WiFi) หรอ บลทธ (Bluetooth)


* การถกดกจบขอมลบนเครอขายไรสาย (WiFi sniffing) [3-5] คอลกษณะการขโมยขอมลบน

เครอขายไรสาย ซงโดยทวไปเปนขอมลทรบสงกนโดยไมไดมการเขารหสความมนคงปลอดภย

ทเหมาะสม ทำาใหมโอกาสถกลกลอบขโมยขอมลไดโดยงาย เพยงแคใชเทคนคและวธในการ

ดกจบขอมลจากโปรแกรมประเภท Sniffer ซงหาขอมลไดตามเวบไซตทวไป โดยในทนขอ

ยกตวอยางวธการใชงานโปรแกรมชอ Firesheep ซงเปนปลกอนบนเบราวเซอร Firefox ท

ใชในการดกจบขอมลในเครอขายเดยวกน ซงสวนใหญเปาหมายมกใชงานเครอขายไรสาย

สาธารณะ และไมไดเชอมตอบรการเวบไซตทมการเขารหส HTTPS โดยลกษณะการทำางาน

ของโปรแกรมจะมการดกจบขอมลแลวกรองขอมลเพอคนหา Cookie ซงคอขอมลทใชระบตว

ตนกบเวบไซตทเขาใชบรการ โดยขอมล Cookie ทกลาวถงจะถกเกบไวในเบราวเซอรของผใช

งานหลงจากทมการลอกอนเวบไซต จากนนโปรแกรมจะแสดงรายการทดกจบไดทงหมด ซงผ

ใชงานโปรแกรมสามารถคลกทรายการดงกลาวเพอสวมรอยเขาเปนผใชงานนนๆ ดงแสดงใน

รปท 4 (3-2) และ 5 (3-3) ดานลาง

รปท 4 (3-2) การทำางานของ Firesheep [3-6]

รปท 5 (3-3) ผลการทำางานของ Firesheep [3-7]

ภยคกคามจากการดแลรกษาโทรศพท(Physical Threats)

• เนองจากโทรศพทมอถอเปนอปกรณซงออกแบบใหพกพาและตตตวไปมาไดสะดวก จงมรป

แบบทคอนขางเลก ซงจากสภาพการณปจจบนโทรศพทเปนของมคาสำาหรบมจฉาชพ รวมไป

ถงมคาสำาหรบกลมคนบางกลมทตองการไดมาซงขอมลสวนบคคล จงไดแยกภยคกคามทเกด

จากการดแลรกษาโทรศพทมอถอไวเพอพจารณา ความสำาคญอย 2 ประเภทดงน

o การสญหายหรอการถกขโมยโทรศพทมอถอ เนองดวยปจจบนโทรศพทมอถอมราคาสงขน

อาจเพราะสาเหตของเทคโนโลยทอยในอปกรณโทรศพทมอถอ หรอเพราะคานยมทางสงคม

ททำาใหตองใชโทรศพทมอถอราคาแพง แตไมวาจะกรณไหนกตามการใชงานโทรศพทมอถอ

ในปจจบนนบเปนเปาหมายของกลมมจฉาชพทวไป เนองจากเปนอปกรณพกพาขนาดเลก

มโอกาสถกขโมยไดงาย และมตลาดทมความตองการหรอรองรบการซอขายไดมากมายโดยท

ไมมการตรวจสอบแหลงทมา ทำาใหมความเสยงสงทผใชงานจะมโอกาสถกกลมมจฉาชพขโมย

โทรศพทมอถอ หรอดวยขนาดของอปกรณมอถอทเลกอยแลวอาจทำาใหมโอกาสทจะลมหรอ

ทำาตกหลนไดงาย

o การถกขโมยขอมลสวนบคคล สามารถเกดขนไดตลอดเวลาและทกสถานการณทงโดยตงใจ

แตแรกหรอเปนเพราะโอกาสทเปดกวางจนทำาใหผอนสบโอกาสทจะขโมยขอมลสวนบคคล

มกเกดขนจากความไมใสใจและความไมตระหนกถงความมนคงปลอดภยของขอมลภายใน

โทรศพทมอถอ ทำาใหผไมหวงดขโมยขอมลสวนบคคลไปไดโดยงาย เชน การแอบดขอมล

การลอกอนเขาสระบบจากโทรศพทมอถอ หรอการนำาโทรศพทมอถอไปซอมทรานโดยไมได

ทำาการเคลยรขอมลการใชงาน กอน โดยขอมลสวนบคคลทหมายถงอาจไมใชเพยงขอมลสวน


ตวเพยงเทานนแต จะพบวาเปนขอมลขององคกรดวย อาจเปนเอกสารขององคกร ขอมล

รายชอผตดตองาน รวมไปถงขอมลทอยในระบบตางๆ เชน ขอมลบญชธนาคาร ขอมลอเมล

ขององคกร ซงขอมลทงหมดทกลาวมานน หากถกขโมยขอมลขนมาจรงแลว คงไมสามารถ

ประเมนมลคาความเสยหายไดเปนอยางแนนอน

แนวทางการปฎบตสำ หรบผใชงานโทรศพทมอถอและขอมลใหมความมนคงปลอดภย ดแลรกษาโทรศพทมอถออยางใกลชด ผใชงานควรพงระลกไวเสมอวาความเสยหายทเกดขนเมอม

การสญหายหรอ โดยขโมยโทรศพทมอถอไป จะสงผลกระทบทงในแงของทรพยสนและขอมลทอยใน

โทรศพทมอถอ ยงมการเกบขอมลสำาคญในโทรศพทมอถอมากเทาไหรยงมโอกาสกอใหเกดปญหาตาม

มามากขนเทากน ยงไมรวมถงการเกบขอมลทเกยวของกบองคกร เชน อเมล ซงจะสงผลกระทบกบ

องคกรโดยตรง เพราะฉะนนผใชงานควรมความรอบคอบและระวงรกษาโทรศพทมอถออยางใกล ชด

ตงคาการลอกโทรศพทมอถอเมอไมใชงาน แมการลอกการใชงานโทรศพทมอถอ จะไมไดเปนการ

ปองกนการเขาถงขอมลทไดผลรอยเปอรเซนต แตกสามารถเปนแนวทางเบองตนในการชะลอหรอ

ปองกนการเขาถงขอมลสำาคญ บนโทรศพทมอถอจากผไมหวงด ซงอาจจะเกดจากการถกขโมย

โทรศพทมอถอ และยงเปนแนวทางทผใชงานสามารถทำาไดโดยงาย ซงกระบวนการดงกลาวสามารถ

ทำาไดโดยการตงคา Pin หรอรหสผานบนโทรศพทมอถอนนๆ (วธการสามารถตรวจสอบจากเวบไซต

ผผลตโทรศพทมอถอนนๆ หรอสอบถามทศนยบรการโทรศพทมอถอทซอมา)

สำารองขอมลจากโทรศพทมอถอไวในแหลงอนทปลอดภย การสำารองขอมลถอเปนเรองทสำาคญ

ทตองมการปฎบตอยเสมอ เนองจากเมอเกดเหตฉกเฉนเชน โทรศพทหาย หรอโทรศพทชำารดหรอใช

งานไมได ปญหาอยางแรกทจะตามมานอกจากการทำาใหโทรศพทกลบมาใชงานไดหรอหา โทรศพท

ใหพบ คอการเขาถงขอมลบนโทรศพทมอถอเชน ขอมลผตดตอ (Contact book) ซงขอดของการ

สำารองขอมลคอ นอกจากจะมขอมลทสามารถใชไดเมอเกดกรณฉกเฉนแลว ยงทำาใหรขอบเขตของ

ขอมลทสญหายไปดวย เชน อาจจะเกบขอมลเลขทบญชธนาคารและรหสผานของ e-Transaction

เอาไว ทำาใหสามารถแจงระงบการเขาใชงานไดกอนจะเกดความเสยหาย ซงกระบวนการสำารองขอมล

ของโทรศพทมอถอแตละยหอหรอแตละรนอาจมความแตกตางกนไป วธการตางๆ สามารถตรวจสอบ

จากเวบไซตผผลตโทรศพทมอถอนนๆ หรอสอบถามทศนยบรการโทรศพทมอถอทซอมา

พจารณาเกบเฉพาะขอมลทจำาเปนในโทรศพทมอถอ การเกบขอมลบนโทรศพทมอถอ ควร

พจารณาถงความสำาคญและความเหมาะสมของขอมลทจะจดเกบ ไมควรเกบขอมลทมความสำาคญ

มากๆ เชน ขอมลบตรเครดต หรอขอมลรหสผานสำาหรบลอกอนเขาใชงานระบบ เนองจากหาก

โทรศพทเกดสญหาย หรอโดนผประสงครายลกลอบขโมยไปได อาจทำาใหเกดความเสยหายทรนแรง

มากกวาเดม แตกไมใชขอมลเหลานจะไมสามารถเกบบนโทรศพทมอถอได เนองจากปจจบนผพฒนา

โปรแกรมบนระบบปฎบตการบนโทรศพทมอถอตางๆ ไดพฒนาโปรแกรมสำาหรบจดเกบขอมลสวนตว

ออกมามากมายและมการรกษาความมนคงปลอดภยของขอมล ยกตวอยางเชน ผพฒนาโปรแกรม

บนระบบปฎบตการ Symbian ไดพฒนาโปรแกรมชอ Wallet โดยมวตถประสงคเพอใหผใชงานเกบ

ขอมลสวนตวตางๆ ลงในโทรศพทมอถอและมการรกษาความมนคงปลอดภยของขอมล โดยใหมการ

ลอกอนกอนผใชงานจะเขาถงขอมล

ปดโหมดการเชอมตอบลทธหรอหลกเลยงการเชอมตอบลทธจากแหลงทมาทไมรจก

ปจจบนผใชงานมกมการใชงานการเชอมตอบลทธบนโทรศพทมอถอในหลาย ดาน เชน ใชสำาหรบ

การรบสงไฟลระหวางโทรศพทมอถอกบเครองคอมพวเตอร หรอใชสำาหรบเปนโมเดมเพอใหบรการ

อนเทอรเนตกบเครองคอมพวเตอร ทเชอมตอบลทธอย ซงหากเปนการใชงานตามปกตกบอปกรณ

หรอบคคลตางๆ ทรจกและรบทราบถงจดประสงคในการเขาใชงานการเชอมตอนนๆ กอาจไมกอใหเกด

ผลเสย แตผลเสยจะเกดตอเมอไมทราบวาผทตองการเชอมตอบลทธกบโทรศพทมอถอของเรานนเปน

ใครและมจดประสงคในการใชอยางไร เนองจากผไมหวงดสวนใหญมกจะอาศยความรเทาไมถงการณ

ของผใชงานในการลกลอบใชงานหรอดงขอมลสำาคญบนโทรศพทมอถอ เชน รปภาพ หรอ SMS ไปได

ซงขอดของการใชงานเครอขายบลทธคอจะตองไดรบการยนยอมใหมการเชอมตอกอน มเชนนนจะไม

สามารถเชอมตอได ซงหากผใชงานมความรเทาทนผไมหวงดแลวนน กจะทำาใหการใชงานโทรศพทมอ

ถอมความมนคงปลอดภยมากขนเทานน โดยหากไมมการใชงานบลทธกสมควรปดโหมดการเชอมตอ

บลทธไว เพราะในบางครงอาจพบวาผใชงานไมไดตงใจกดยอมรบการเชอมตอแตพลาดไปโดนตอน

โทรศพทมอถออยในกระเปา (การปดโหมดเชอมตอบลทธของโทรศพทมอถอปกตสามารถเขาตรวจ

สอบไดจากเมน”การเชอมตอ” ซงแตละยหอหรอแตละรนอาจมความแตกตางกนไป โดยสามารถ

ตรวจสอบจากเวบไซตผผลตโทรศพทมอถอนนๆ หรอสอบถามทศนยบรการโทรศพทมอถอทซอมา)

แจงผใหบรการตางๆ ทเกยวของเมอโทรศพทสญหาย เมอพบวาโทรศพทสญหาย ไมวาจะดวย

กรณโดนขโมยหรอทำาตกหลนทไหนกตาม สงแรกทผใชงานโทรศพทมอถอควรทำาคอการแจงไปยงผให

บรการรายตางๆ เพอปดบรการ เพอปองกนความเสยหายทอาจจะเกดขน โดยมขอบเขตการแจงปด

บรการตามรายการขอมลทมอยในโทรศพทมอถอนนๆ เชน แจงผใหบรการสญญาณโทรศพทมอถอท

ใชงานระงบสญญาณโทรศพทมอถอของตนเองชวคราวเพอปองกนการใชงาน หรอหากมการเกบขอมล

รหสผานของระบบตางๆ กควรแจงปดการใชงานดวย เชน แจงปดการใชงานระบบ e-Transaction

ชวคราว แจงผดแลระบบอเมลขององคกรเพอเปลยนรหสผาน เปนตน

เลอกตดตงโปรแกรมในโทรศพทมอถอเทาทจำาเปนและจากแหลงทมาทนาเชอถอ แม

ระบบปฎบตการบนโทรศพทมอถอทวไปจะอนญาตใหสามารถตดตงโปรแกรมเสรมเพออำานวยความ

สะดวกในการใชงานมากขน แตกมความเสยงทผใชงานจะเจอกบโปรแกรมทมความสามารถในการ

ขโมยขอมลหรอโปรแกรมไมพงประสงคตางๆ ตามทไดกลาวไวในหวขอภยคกคาม เพราะฉะนนทาง

ปองกนทดทสดคอดาวนโหลดเฉพาะโปรแกรมทจำาเปนจรงๆ และพจารณาดาวนโหลดจากเวบไซต


ของผพฒนาเทานน หรอดาวนโหลดจากแหลงดาวนโหลดทไดรบการควบคมและรบรองความมนคง

ปลอดภยจาก ผพฒนาระบบปฎบตการเชน Android Market สำาหรบระบบปฎบตการ Android

หรอ App Store สำาหรบระบบปฎบตการ iOS

เชอมตอไปยงระบบงานตางๆ ผาน VPN หรอชองทางการเชอมตอเครอขายทมการเขา

รหสลบ จากทไดกลาวไวขางตนถงการใชงานโทรศพทมอถอทเกยวของกบองคกร ซงนอกจากทจะให

ผใชงานทำาตามแนวทางการใชงานโทรศพทมอถอแลวนน องคกรเองควรตองมสวนชวยกำาหนดขอบเขต

การใชงาน เพอใหเกดการรกษาความมนคงปลอดภยในการใชงานโทรศพทอยางเหมาะสม หมายถง

องคกรควรจะขยายการจดการรกษาความมนคงปลอดภยและการควบคมใหในสวนทโทรศพทมอถอ

ทวไปไมสามารถจดการใหได เชน พฒนาระบบการทำางานทสามารถเขาถงไดจากโทรศพทมอถอผาน

ชองการเขารหสแบบ HTTPS หรอจดหาชองทางการใชงาน VPN เพอเชอมตอเขาระบบงานภายใน

องคกร โดยจากทไดกลาวมาน สามารถแนะนำาเปนแนวทางการปฎบตขององคกรในการควบคมการ

ใชงานโทรศพทภายในองคกรได

พจารณาลงกทอยบนเวบไซตกอนการคลกทกครง ภยคกคามทเกดขนจากการใชงานเวบไซต

สามารถเกดขนไดงายและสงผล กระทบตอผใชงานไดมากทสด เนองมาจากโดยสวนใหญเปนการโจมตโดยใช

เทคนคทางจตวทยา โดยไมจำาเปนตองใชความรทางเทคนคมากนก ซงผใชงานโดยสวนใหญทตกเปนเหยอมก

จะไมรเทาทนวธการของผโจมต ผโจมตจะใชเทคนคตางๆ หลอกลอใหผใชงานคลกไปยงลงกเพอสงตอไปยง

เวบไซตทมอนตราย เพราะฉะนนทางทดทสดคอใชวจารณญาณกอนการคลกทลงกใดๆ

อพเดทระบบปฎบตการหรอโปรแกรมบนโทรศพทมอถอทใชอยใหเปนเวอรชนใหมอยางสมำาเสมอ โดยปกต

หากมการดาวโหลดโปรแกรมจากผพฒนาตางๆ และโปรแกรมนนๆ มการปรบปรงเกดขน จะมการ

แจงอพเดทโปรแกรมผานทางชองทางตางๆ เชน อเมล หรอ ผานระบบแจงเตอนของตวระบบปฏบต

การเอง เนองจากสวนใหญการปรบปรงเวอรชนใหมของโปรแกรมตางๆ จะทำาเพอปรบปรงชองโหว

หรอความผดพลาดทเกดขนในโปรแกรมเวอรชนกอนหนา ดงนนเมอผพฒนามการปรบปรงเวอรชน

ของโปรแกรม ผใชกควรทำาการอพเดทโปรแกรมนนๆ ใหเปนเวอรชนลาสดโดยทนท

ใชโทรศพทมอถอทำาธรกรรมออนไลนอยางระมดระวง ทกวนนการใชโทรศพทมอถอในการทำาธรกรรมออนไลน

กบหนวยงานทางการเงน ทใหบรการผานเวบไซต สรางความสะดวกสบายใหกบผใชงานในการทำา

ธรกรรมเพมขน แตการใชงานโทรศพทมอถอโดยเลอกใชผใหบรการอนเทอรเนตไรสาย สาธารณะท

มความนาเชอถอถอเปนเรองสำาคญ เพราะหากผใชมองขามและเลอกใชเครอขายสาธารณะทไมนา

เชอถอ อาจถกโจรกรรมขอมลผานเครอขายได นอกจากน ผใชงานโทรศพทมอถอในการทำาธรกรรม

ออนไลน ควรเลอกอยในบรเวณทผไมประสงคดไมสามารถแอบมองและขโมยขอมลสวนตวทสำาคญ

(Eavesdropping) ได

อางอง [3-1] http://en.wikipedia.org/wiki/Voice_over_IP

[3-2] http://en.wikipedia.org/wiki/Mobile_operating_system

[3-3] http://www.techlicious.com/blog/study-finds-explosion-in-mobile-security-

threats/

[3-4] http://www.trusteer.com/blog/mobile-users-three-times-more-vulnerable-

phishing-attacks

[3-5] http://en.wikipedia.org/wiki/Packet_analyzer

[3-6] http://itiswhatitis.wadewilliams.com/2010/11/firesheep-exposes-security-issues-

on.html

[3-7] http://bare516.posterous.com/?tag=wireless


04 ความเปนมาของไทยเซรต จาก

กระทรวงวทยฯ สกระทรวงไอซท

ผเขยน: สรณนท จวะสรตน และ ชยชนะ มตรพนธวนทเผยแพร: 6 ก.พ. 2555ปรบปรงลาสด: 6 ก.พ. 2555

ในเดอนกมภาพนธทผานมา คณะรฐมนตรไดมมตใหจดตงสำานกงานพฒนาธรกรรมทางอเลกทรอนกส

(องคการมหาชน) หรอ สพธอ. ภายใตกระทรวงเทคโนโลยสารสนเทศและการสอสาร และไดมการโอนภารกจ

ของศนยประสานงานการรกษาความมนคงปลอดภยคอมพวเตอร ประเทศไทย หรอ ไทยเซรต จากศนย

เทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต สำานกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต

กระทรวงวทยาศาสตรและเทคโนโลยมายง สพธอ. เพอใหการดำาเนนงานของ สพธอ. ดานการสรางความ

เชอมนในการทำาธรกรรมทางอเลกทรอนกสมความเขมแขง

ไทยเซรตไดเปดใหบรการอยางเตมรปแบบภายใต สพธอ. มาตงแตวนท 1 กรกฎาคม 2554 และได

ปรบเปลยนชอทางการของไทยเซรตเปน ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร

ประเทศไทย (Thailand Computer Emergency Response Team) โดยมวสยทศนใหสงคมออนไลนม

ความมนคงปลอดภย เกดความเชอมนกบผทำาธรกรรมทางอเลกทรอนกส พนธกจของไทยเซรต มงเนนการ

ประสานงานกบหนวยงานในเครอขาย และหนวยงานทเกยวของในการดำาเนนการแกไขเหตภยคกคามดาน

เทคโนโลย สารสนเทศและการสอสารทไดรบแจง นอกจากนไทยเซรตยงมพนธกจเชงรกทใหความสำาคญกบ

การพฒนาทรพยากร บคคลเพอเพมขดความสามารถดานการรกษาความมนคงปลอดภย

เนองจากงานของไทยเซรตมลกษณะเปนการประสานงานกบหนวยงานตางๆ ไทยเซรตจงมงมนทจะ

สรางความรวมมอกบหนวยงานทกประเภททงในและ ตางประเทศในการแกไขเหตภยคกคามดานเทคโนโลย

สารสนเทศและการสอสาร เชน ผใหบรการอนเทอรเนต และ สำานกปองกนและปราบปรามการกระทำาความ

ผดทางเทคโนโลยสารสนเทศ สำานกงานปลดกระทรวงเทคโนโลยสารสนเทศและการสอสาร ไทยเซรตสราง

ความรวมมอระหวางประเทศผานเวท FIRST (Forum of Incident Response and Security Teams)

สำาหรบความรวมมอกบประเทศทวโลก และเวท APCERT (Asia Pacific CERT) สำาหรบความรวมมอกบ

ประเทศในภาคพนเอเชยแปซฟก

ดานการพฒนาทรพยากรบคคล ไทยเซรตใหความสำาคญกบการเผยแพรความรและขอมลขาวสารเกยว

กบการ รกษาความมนคงปลอดภยสารสนเทศ เพอเปนการสรางภมคมกนเบองตนทางดานไอท และจดอบรม

สมมนาใหกบผทำาธรกรรมทางอเลกทรอนกสเฉพาะกลมทมความ ตองการขอมลขาวสารเปนการเฉพาะ เชน

กลมธรกจการเงนการธนาคาร หรอกลมสถาบนวจยและสถาบนการศกษา นอกจากนเพอใหเกดความเขาใจ

และไดลงมอปฏบต ไทยเซรตยงจดและรวมในกจกรรมซกซอมการรบมอภยคกคามดานเทคโนโลยสารสนเทศ

และการสอสารกบหนวยงาน ทงในประเทศและตางประเทศอกดวย

บรการของไทยเซรตในการสนบสนนใหสงคมออนไลนมความมนคงปลอดภยและเกดความเชอมนกบ ผทำาธรกรรมทาง

อเลกทรอนกส ไทยเซรต ใหบรการหลก คอ บรการประสานงานแกไขภยคกคามดานเทคโนโลยสารสนเทศ

และการสอสาร บรการขอมลขาวสารความมนคงปลอดภยสารสนเทศ และบรการวชาการเกยวกบการรกษา

ความมนคงปลอดภยสารสนเทศ

บรการประสานงานแกไขภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร

ปจจบนไทยเซรตใหบรการประสานงานแกไขเหตภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร

ทางโทรศพทและทางอเมลแกบคคลทวไป สถาบนการศกษาและสถาบนวจย หนวยงานภาครฐและเอกชนทว

โลก เมอไดรบแจงเหตผเชยวชาญของไทยเซรตจะตรวจสอบขอมลทไดรบแจง เพอยนยนวาเหตภยคกคามทได

รบแจงไดเกดขนและมอยจรง แลวจงวเคราะหขอมลตอเพอหาหนวยงานทเปนตนเหตของปญหา และดำาเนน

การประสานงานไปยงหนวยงานดงกลาวเพอใหดำาเนนการแกไขปญหา ไทยเซรตมระบบการตดตามความคบ

หนาของการจดการปญหาภยคกคาม และไดกำาหนดมาตรฐานการใหบรการไวคอ ไทยเซรตจะดำาเนนการแจง

หนวยงานทเกยวของเพอแกปญหาทไดรบแจง และรายงานสถานะการดำาเนนงานภายใน 2 วนทำาการ มการ

ตดตามผลการดำาเนนงานทก 3 วนทำาการ

บรการขอมลขาวสารความมนคงปลอดภยสารสนเทศ

ไทยเซรตอยในเครอขายความรวมมอของหนวยงานทมบทบาทในการตอบสนองตอ การแจงเหตภย

คกคาม (Computer Security Incident Response Team: CSIRT หรอ Computer Emergency Re-

sponse Team: CERT) ซงมภารกจในการแจงเตอนภยคกคามดานเทคโนโลยสารสนเทศและการสอสารท

ไดรบแจงจากหนวยงาน CSIRT อนๆ ในเครอขายหรอทตรวจพบกบผใชงานภายในประเทศไทยเพอสราง

ความตระหนกและความพรอมในการรบมอตอภยคกคามทเกดขน โดยผเชยวชาญของไทยเซรตจะวเคราะห

ขอมลภยคกคามทมผลกระทบสงกบผใชงาน พรอมเสนอแนะขอควรปฏบตในการรบมอ แกไขหรอปองกน

ภยคกคามในบทความแจงเตอนภยคกคามของไทยเซรต นอกจากนน ไทยเซรตจดทำาขอมลเชงสถตของภย


คกคามทรายงานมาทไทยเซรตเผยแพร บนเวบไซตไทยเซรตเปนรายเดอน เพอใชวเคราะหแนวโนมของภย

คกคามทเกดภายในประเทศไทย

บรการวชาการในการรกษาความมนคงปลอดภยสารสนเทศ

ไทยเซรตมผเชยวชาญทมศกยภาพและความรทสามารถใหบรการวชาการในการรกษาความมนคง

ปลอดภยสารสนเทศกบหนวยงานทงภายในและตางประเทศ ไทยเซรตใหบรการกบหนวยงานภายในประเทศ

ในสวนของการใหคำาปรกษาในการวเคราะหขอมลภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร การ

จดทำาแผนและนโยบายทางดานเทคโนโลยสารสนเทศ เพอใหสอดคลองกบมาตรฐานสากลทางดานเทคโนโลย

สารสนเทศและสอดคลองกบขอกำาหนดของกฎหมาย จดฝกอบรมสมมนา เพอสรางความตระหนกหรอเสรม

สรางศกยภาพของบคลากรของหนวยงานใหสามารถ ปองกนและแกไขภยคกคามดานเทคโนโลยสารสนเทศ

และการสอสารจดการซกซอม รบมอภยคกคาม เพอเสรมทกษะและสรางความพรอมในการรบมอภยคกคาม

ของหนวยงาน รวมถงการสนบสนนวทยากรในการบรรยาย เพอสรางความตระหนกและใหความรกบหนวย

งานทงในและตางประเทศ

สถตภยคกคามทรายงานมาทไทยเซรตตงแตวนท 1 กรกฎาคม ไทยเซรตไดรบแจงเหตภยคกคามจากหนวยงานทงในและตางประเทศโดยเฉลย

มากกวา 100 เรองตอเดอน ขอมลเชงสถตเกยวกบเหตภยคกคามทไทยเซรตไดรบแจงสามารถจำาแนก เปน 9

ประเภทตามทไดกำาหนดโดย The European Computer Security Incident Response Team (eCSIRT)

ซงเปนเครอขายความรวมมอของหนวยงาน CSIRT ในสหภาพยโรป ดงตารางตอไปน

ตารางท 1 (4-1) ประเภทภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร โดย eCSIRT

ประเภทภยคกคาม คำ อธบาย

1 เนอหาทเปนภย

คกคาม (Abusive

Content)

ภยคกคามทเกดจากการใช/เผยแพรขอมลทไมเปนจรงหรอไมเหมาะสม (Abusive Content) เพอทำาลายความนาเชอถอของบคคลหรอสถาบน เพอกอใหเกดความไมสงบ หรอขอมลทไมถกตองตามกฎหมาย เชน ลามก อนาจาร หมนประมาท และรวมถงการโฆษณาขายสนคาตางๆ ทางอเมลทผรบไมไดมความประสงคจะรบขอมลโฆษณานนๆ (SPAM)

2 โปรแกรม

ไมพงประสงค

(Malicious Code)

ภยคกคามทเกดจากโปรแกรมหรอซอฟตแวรทถกพฒนาขนเพอสง

ใหเกดผลลพธทไมพงประสงคกบผใชงานหรอระบบ (Malicious

Code) เพอทำาใหเกดความขดของหรอเสยหายกบระบบทโปรแกรม

หรอซอฟตแวร ประสงครายนตดตงอย โดยปกตโปรแกรมหรอ

ซอฟตแวรประสงครายประเภทนตองอาศยผใชงานเปนผ เปด

โปรแกรมหรอซอฟตแวรกอน จงจะสามารถตดตงตวเองหรอ

ทำางานได เชน Virus, Worm, Trojan หรอ Spyware ตางๆ

3 ความพยายาม

รวบรวมขอมล

ของระบบ

(Information

Gathering)

ภยคกคามทเกดจากความพยายามในการรวบรวมขอมลจด

ออนของระบบของผ ไมประสงคด (Scanning) ดวยการเรยกใช

บรการตางๆทอาจจะเปดไวบนระบบ เชน ขอมลเกยวกบระบบ

ปฏบตการ ระบบซอฟตแวรทตดตงหรอใชงาน ขอมลบญชชอ

ผใชงาน (User Account) ทมอยบนระบบเปนตน รวมถงการ

เกบรวบรวมหรอตรวจสอบขอมลจราจรบนระบบเครอขาย

(Sniffing) และการลอลวงหรอใชเลหกลตางๆ เพอใหผใชงานเปด

เผยขอมลทมความสำาคญของระบบ (Social Engineering)

4 ความพยายาม

จะบกรกเขา

ระบบ (Intrusion

Attempts)

ภยคกคามทเกดจากความพยายามจะบกรก/เจาะเขาระบบ (Intrusion

Attempts) ทงทผานจดออนหรอชองโหวทเปนทรจกในสาธารณะ

(CVE- Common Vulnerabilities and Exposures) หรอผาน

จดออนหรอชองโหวใหมทยงไมเคยพบมากอน เพอจะไดเขาครอบ

ครองหรอทำาใหเกดความขดของกบบรการตางๆ ของระบบ ภย

คกคามนรวมถงความพยายามจะบกรก/เจาะระบบผานชองทางการ

ตรวจสอบบญช ชอผใชงานและรหสผาน (Login) ดวยวธการสม/

เดาขอมล หรอวธการทดสอบรหสผานทกคา (Brute Force)

5 การบกรกหรอ

เจาะระบบไดสำาเรจ

(Intrusions)

ภยคกคามทเกดกบระบบทถกบกรก/เจาะเขาระบบไดสำาเรจ

(Intrusions) และระบบถกครอบครองโดยผทไมไดรบอนญาต


6 การโจมตสภาพ

ความพรอมใช

งานของระบบ

(Availability)

ภยคกคามทเกดจากการโจมตสภาพความพรอมใชงานของระบบ เพอ

ทำาใหบรการตางๆ ของระบบไมสามารถใหบรการไดตามปกต มผลกระ

ทบตงแตเกดความลาชาในการตอบสนองของบรการจนกระทงระบบ

ไมสามารถใหบรการตอไปได ภยคกคามอาจจะเกดจากการโจมตท

บรการของระบบโดยตรง เชน การโจมตประเภท DoS (Denial of

Service) แบบตางๆ หรอการโจมตโครงสรางพนฐานทสนบสนนการให

บรการของระบบ เชน อาคาร สถานท ระบบไฟฟา ระบบปรบอากาศ

7 การเขาถงหรอ

เปลยนแปลงแกไข

ขอมลสำาคญโดย

ไมไดรบอนญาต

(Information

Security)

ภยคกคามทเกดจากการฉอฉล ฉอโกงหรอการหลอก

ลวงเพอผลประโยชน (Fraud) สามารถเกดไดในหลาย

ลกษณะ เชน การลกลอบใชงานระบบหรอทรพยากรทาง

สารสนเทศทไมไดรบอนญาตเพอแสวงหา ผลประโยชนของ

ตนเอง หรอการขายสนคาหรอซอฟตแวรทละเมดลขสทธ

8 การฉอฉล ฉอโกง

หรอหลอกลวงเพอผล

ประโยชน (Fraud)

ภยคกคามทเกดจากการฉอฉล ฉอโกงหรอการหลอก

ลวงเพอผลประโยชน (Fraud) สามารถเกดไดในหลาย

ลกษณะ เชน การลกลอบใชงานระบบหรอทรพยากรทาง

สารสนเทศทไมไดรบอนญาตเพอแสวงหา ผลประโยชนของ

ตนเอง หรอการขายสนคาหรอซอฟตแวรทละเมดลขสทธ

9 ภยคกคามอนๆ

นอกเหนอจาก

ทกำาหนดไวขาง

ตน (Other)

ภยคกคามประเภทอนๆ นอกเหนอจากทกำาหนดไวขาง

ตน ระบไวเพอเปนตวชวดถงภยคกคามประเภทใหมหรอไม

สามารถจดประเภทได ตามทระบไวขางตน โดยถาจำานวนภย

คก คามอนๆ ในขอนมจำานวนมากขน แสดงถงความจำาเปน

ทจะตองปรบปรงการจดแบงประเภทภยคกคามนใหม

เหตภยคกคามทไดรบรายงานใน 6 เดอนแรก (ในระหวางวนท 1 กรกฎาคม ถง 31 ธนวาคม 2554 )

มาทไทยเซรตซงดำาเนนการภายใต สพธอ. มจำานวนทงสน 646 เรอง และสามารถแสดงสดสวนแบงแยกตาม

ประเภทภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร แสดงดงรปท 6 (4-1) โดยสามารถจดลำาดบ

ตามจำานวนเหตภยคกคามไดรบแจงไดเปนประเภทใหญๆได 5 ดาน ภยคกคามสวนใหญประมาณ 47.8%

จะเปนภยคกคามดาน การฉอฉล ฉอโกงหรอหลอกลวง เพอผลประโยชน (Fraud) ซงทงหมดในสวนนเปน

กรณ Phishing ทเกดกบสถานบนการเงนทงในประเทศและตางประเทศ ซงเปนภยคกคามทสงผลกระทบ

ตอโดยตรงผใชบรการชำาระเงนทาง อเลกทรอนกส ในสวนภยคกคามทรองลงมาเปนภยคกคามทเกยวความ

พยายามทจะโจมตและ เจาะระบบ โดยเปนภยคกคามในการพยายามบกรกหรอเจาะระบบ (Intrusion

Attempts) จำานวน 14.6% และภยคกคามดานความพยายามรวบรวมขอมลของระบบ (Information

Gathering) จำานวน 14.4% สำาหรบภยคกคามในลำาดบถดไปเปนภยคกคามทางดานเนอหาทเปนภยคกคาม

(Abusive Content) จำานวน 11.9% ซงทงหมดเปนรายงานภยคกคามดานเทคโนโลยสารสนเทศและการ

สอสาร ทไดรบแจงจากหนวยงานในตางประเทศ และพบวามลกษณะเปนการแจงเตอนเหตภยคกคามของ

เครองคอมพวเตอรทใช สำาหรบสงอเมลสแปม (SPAM) ในลำาดบสดทายเปนภยคกคามทางดาน โปรแกรม

ไมพงประสงค (Malicious Code) จำานวน 9.8%

รปท 6 (4-1) สถตภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ในระหวางวนท 1 กรกฎาคม ถง 31 ธนวาคม 2554

แยกตามประเภทภยคกคาม

ไทยเซรตไดดำาเนนการแกไขปญหาภยคกคามทไดรบแจงไปไดประมาณ 80% สวนอก 20% ทเหลอมการ

ตดตามความคบหนาของการแกไขปญหาทก 3 วน สำาหรบขอมลเชงสถตเกยวกบภยคกคามดานเทคโนโลย

สารสนเทศและการสอ สาร สามารถดไดท www.thaicert.or.th/statistics.html

ชองทางการตดตอกบไทยเซรตไทยเซรตไดจดเตรยมชองทางการตดตอเพอแจงเหตภยคกคามไว 2 ชองทาง ประกอบดวย ทางโทรศพท

หมายเลข 02-142-2483 เวลา 8.30 – 17.30 น. ทกวนยกเวนวนหยดราชการ และทางอเมลท report@

thaicert.or.th และในกรณทผแจงมความประสงคจะรกษาความลบของขอมลในอเลกทรอนกส เมลทสงถงไทย

เซรต ผสงสามารถดำาเนนการเขารหสลบขอมลดวยเทคโนโลย PGP ดวยกญแจสาธารณะของไทยเซรตดงตอไปน

• อเลกทรอนกสเมล: [email protected]

• หมายเลขของกญแจ (Key ID): 0x9C57FF14


• ประเภทของกญแจ (Key Type): RSA

• วนหมดอาย (Expires): 2012-06-30

• ขนาดความยาว (Key size): 2048

• Fingerprint: 6D81 3D72 DC3E 2B15 09C2 CA51 92D2 9387 9C57 FF14 05 วนนคณใช HTTPS หรอยง

ผเขยน: ศภกร ฤกษดถพรวนทเผยแพร: 17 ก.พ. 2555ปรบปรงลาสด: 17 ก.พ. 2555

คนจำานวนมากยงไมคอยเขาใจวธการรกษาความมนคงปลอดภยบนเวบไซต และมกจะมคำาถามอยเสมอ

วา การทพวกเขากรอกขอมลชอ-นามสกล ทอย เบอรโทรศพท หรอขอมลบตรเครดตสำาหรบการทำาธรกรรม

ออนไลนตางๆ นน จะแนใจไดอยางไรวาการสงขอมลมความมนคงปลอดภย ขอมลทสงถงผรบมความถกตอง

ครบถวนสมบรณและไมมบคคลอนลวงร ขอมลสำาคญเหลาน เพอตอบขอสงสยดงกลาว ผใชจงตองทำาความ

เขาใจเกยวกบการรบ-สงขอมลบนอนเทอรเนตในแบบ HTTP คอทใชงานทวไป และแบบทเพมความมนคง

ปลอดภยใหกบขอมลทเรยกวา HTTPS เสยกอน

HTTP (Hypertext Transfer Protocol)HTTP เปนโพรโทคอลทใชกบเวบไซต ในการแลกเปลยนขอมลระหวางผใชงานและเครองใหบรการ

ดงจะเหนไดจากเวลาทเราเขาเวบไซตดวยโปรแกรมเวบเบราวเซอร เชน Internet Explorer, Firefox หรอ

Google Chrome เมอตองการเรยกดเวบไซต เชน Facebook กตองพมพ http://www.facebook.com

จะเหนวา ชอเวบไซตทเราพมพตองขนตนดวย “http” แลวตามดวยชอเวบไซต ลกษณะการทำางานแบบน

เปนการสงขอมลแบบขอความธรรมดา (Cleartext) คอ ไมมการเขารหสลบ ทำาใหสามารถถกผไมหวงดขโมย

ขอมลไดงาย [5-1] ดงรปท 7 (5-1) -9 (5-3)

รปท 7 (5-1) การสงขอมลแบบ HTTP


รปท 8 (5-2) ตวอยางการกรอกขอมล Username และ Password ผาน HTTP

รปท 9 (5-3) ตวอยางการดกจบขอมล username และ password ผาน HTTP

เมอผใชงานสงรหสผานถงเครองใหบรการเวบไซต ขอมลจะถกสงเปนขอมลธรรมดา (ไมเขารหสลบ)

Hacker สามารถขโมยรหสผานและนำาไปใชไดทนทซงอาจจะสงผลใหแกผใชงานได เชน หากผใชงานโดน

Hacker ขโมยรหสผานของรานคาออนไลนแหงหนงทมขอมลบตรเครดต Hacker สามารถนำาขอมลไปใชซอ

สนคาไดอยางงายดาย ผลทตามมาคอความสญเสยของผใชงาน ซงยงไมรวมถงปญหาและความยงยากในเรอง

ของคดความทจะเกดขนตามมา อกดวย หรอทมขาวมากมายเกยวกบหลายองคกรทถกขโมยขอมลพนกงาน

หรอลกคา เชน ชอ เบอรโทรศพท อเมล Hacker กอาจจะนำาขอมลทไดไปขายใหกบกลมคนทขายของทาง

โทรศพทจำาพวกบตร เครดต สนเชอ ประกน เปนตน

จะเหนไดวาการใชงานอนเทอรเนตทไมมความมนคง ปลอดภยนน ม

ความเสยงทจะสงผลกบชวตของเราอยางไร ดงนนหากผพฒนาเทคโนโลยทมอง

เหนถงความสำาคญของขอมลกจะสามารถ สรางความนาเชอถอใหกบองคกรได

โดยการหาวธปกปองขอมลดงกลาว โดยจะขอเสนออกหนงวธนนคอการเพมการ

เขารหสของขอมลทเรยกวา HTTPS

HTTPS (Hypertext Transfer Protocol Secure)HTTPS เปนโพรโทคอลทถกพฒนามาเพอแกปญหาของ HTTP โดยมการเพมความมนคงปลอดภยดวยการ

เขารหสลบขอมลระหวางผใชงาน และเครองใหบรการ หากมผไมหวงดดกรบขอมลกจะไมสามารถเขาใจขอมล

นนได ดงรปท 10 (5-4) [5-2] การเขาใชงานเวบไซตจะระบการเชอมตอแบบ https:// แทนทจะเปน http://

รปท 10 (5-4) การสงขอมลแบบ HTTPS

เมอผใชงานสงรหสผานถงเครองใหบรการเวบไซต ขอมลจะถกสงเปนขอมลเขารหสลบ Hacker ไม

สามารถนำาขอมลไปใชได

การทจะใชงานโพรโทคอล HTTPS ไดนน เครองใหบรการเวบไซตจะตองทำาการตดตงใบรบรองความ

มนคงปลอดภยทางอเลกทรอนกส (Certificate) เสยกอน ซงใบรบรองความมนคงปลอดภยทางอเลกทรอนกส

สามารถทำาขนเองหรอซอจากผให บรการรบรองทนาเชอถอ (Trusted certificate authority) กได เพยง

แตใบรบรองททำาขนเองนน ปองกนเวบเบราวเซอรจะแจงเตอนความผดปกตเนองจากไมมผรบรองความนา

เชอถอ ดงจะเหนจากรปท 11 (5-5)- 13 (5-7)

ทงนใบรบรองจะเปนตวบงบอกความถกตองของขอมลทเกยวของกบเวบไซตนน เชน การยนยนความ

เปนเจาของเวบไซต ความสมบรณของการเขารหสลบขอมล ชวยเพมความมนใจใหกบผใชงานขณะทมการ

รบ-สงขอมล

ตวอยางการแจงเตอนใบรบรองผดปกต


รปท 11 (5-5) แสดงตวอยางหนาจอโปรแกรม Internet Explorer พบใบรบรองทผดปกต

รปท 12 (5-6) แสดงตวอยางหนาจอโปรแกรม Firefox พบใบรบรองทผดปกต

รปท 13 (5-7) แสดงตวอยางหนาจอโปรแกรม Google Chrome พบใบรบรองทผดปกต

ว ธ ส ง เ กต เว บ ไซต ท เร ากำ า ล ง ใช ง านอย น น เป น HTTP หร อ HTTPS หร อ ไม ?

สำาหรบการสงเกตจากเครองคอมพวเตอรทวไป ใหมองหาสญลกษณรปกญแจ

รปท 14 (5-8) เปรยบเทยบ HTTP กบ HTTPS จากเวบเบราวเซอร Internet Explorer

รปท 15 (5-9) ภาพเปรยบเทยบ HTTP กบ HTTPS จากเวบเบราวเซอร Firefox


รปท 16 (5-10) ภาพเปรยบเทยบ HTTP กบ HTTPS จากเวบเบราวเซอร Google Chrome

นอกจากเครองคอมพวเตอรแลวเราสามารถใช HTTPS กบโทรศพทเคลอนทไดอกเชนกน โดยใชวธ

สงเกตสญลกษณรปกญแจเหมอนกบเครองคอมพวเตอรทวไป ดงรปท 17 (5-11) - 19 (5-13)

รปท 17 (5-11) เปรยบเทยบ HTTP กบ HTTPS จากเวบเบราวเซอรบน iPhone

รปท 18 (5-12) เปรยบเทยบ HTTP กบ HTTPS จากเวบเบราวเซอรบน BlackBerry

รปท 19 (5-13) เปรยบเทยบ HTTP กบ HTTPS จากเวบเบราวเซอรบน Android

ผเขยนขอแนะนำาใหเลอก “ใช HTTPS ทกครง” ทเราจำาเปนตองกรอกขอมลสำาคญ เชน ชอ-นามสกล

ทอย วน/เดอน/ป เกด หมายเลขโทรศพท หมายเลขบตรเครดต เปนตน เพอปองกนการขโมยขอมลจาก

Hacker สำาหรบการใชงานบรการตางๆบนระบบอนเทอรเนต เชน การทำาธรกรรมทางการเงนบนเวบไซตกบ

ธนาคาร รานคาออนไลน บรการดานอเมล Gmail Hotmail Yahoo บรการเครอขายสงคมออนไลน (Social

Network) twitter facebook เปนตน

อางอง [5-1] http://simple.wikipedia.org/wiki/Cleartext

[5-2] http://en.wikipedia.org/wiki/HTTP_Secure


06 การตรวจสอบและกำ จดมลแวรดวย

MSRTผเขยน: เจษฎา ชางสสงขวนทเผยแพร: 24 ก.พ. 2555ปรบปรงลาสด: 24 ก.พ. 2555

ปจจบนมผใชงานระบบปฏบตการหลากหลายระบบ ซงเปรยบเสมอนตวกลางระหวางฮารดแวรและ

โปรแกรมประยกตทผใชใชกน อยทวไป และ Windows กเปนหนงในระบบปฏบตการทผใชทวไปนยมใช

งาน จากสถตการใชงานในป พ.ศ. 2554 พบวามผใชงานระบบปฏบตการ Windows ถง 93% เมอเทยบกบ

จำานวนผใชงานระบบปฏบตการอนๆ [6-1] หากมองในแงของความมนคงปลอดภยแลว กอาจเปนเหตผลหนง

ททำาให ผไมหวงดพงเปามาเพอโจมตระบบปฏบตการ Windows ดงนน ผใชงานระบบปฏบตการ Windows

จงควรใหความสนใจในการปองกนการโจมตจากผไมหวงด เพอลดความเสยหายทอาจจะเกดขนกบระบบ

โดยการทผใชควรมการอพเดทระบบปฏบตการอยเสมอ ซงชวยใหสามารถแกปญหาชองโหวของระบบ

ตรวจสอบและกำาจดมลแวร รวมทงเพมประสทธภาพของระบบดวย ในสวนของโปรแกรมททำาหนาทตรวจ

สอบและกำาจดมลแวรนน มเครองมอหนงทแนะนำาคอ Microsoft® Windows® Malicious Software

Removal Tool (MSRT) เปนเครองมอทพฒนาโดย Microsoft โดยสาเหตทแนะนำาเครองมอนเนองจาก

ตดตงไดงายโดยจะมาพรอมกบ การอพเดทระบบปฏบตการ สามารถใชงานไดฟร เรยกใชไดงาย และมการ

อพเดทเวอรชนอยางสมำาเสมอทกเดอน

ในบทความนไมไดเปนการประชาสมพนธทางการคาเพอ Microsoft แตเปนการแนะนำาเครองมอทม

ความเหมาะสมกบผใชทวไป โดยบทความนจะอธบายถงคณลกษณะและการทำางานของโปรแกรมเบองตน

ขอดขอเสยของเครองมอ รปแบบการใชเครองมอ และตวอยางวธการใชงาน

คณลกษณะและการทำ งานของโปรแกรม MSRT ถกเผยแพรครงแรกเมอวนท 1 มกราคม พ.ศ. 2548 โดยทำางานภายใตระบบปฏบตการ Windows

7, Windows Vista, Windows XP, Windows Server 2008 และ Windows Server 2003 MSRT นน

ไมไดถกออกแบบมาเพอใชแทนโปรแกรมแอนตไวรส (Antivirus) แตใชเพอทำางานรวมกนกบโปรแกรมแอนต

ไวรส โดย MSRT นนมความแตกตางจากโปรแกรมแอนตไวรสอย 2 ขอ ดงน

1. MSRT จะกำาจดมลแวรออกจากระบบไดกตอเมอเครองของผใชตดมลแวรแลว สวนโปรแกรมแอนต

ไวรสจะสามารถยบยงไมใหมลแวรตดตงตวเอง ลงไปยงเครองของผใช ดงนนผใชจงควรตดตงโปรแกรม

แอนตไวรสเพอใชงานรวมกบ MSRT

2. MSRT จะกำาจดไดเฉพาะมลแวรทอยในรายชอของ Microsoft เทานน ซงเปนมลแวรทเปนอนตราย

ตอระบบปฏบตการ Windows และมอตราการแพรระบาดสง [6-2]

MSRT จะมการอพเดทเวอรชนใหมในทกวนองคารทสองของเดอน ผานระบบ Windows Update,

Microsoft Update และ Microsoft Download Center [6-3] [6-4] ซงทกครงทมการอพเดทจะมการ

เพมขอมลของมลแวรทโปรแกรมสามารถ ตรวจสอบและกำาจดได โดยในขนตอนแรกทผใชเปดโปรแกรมขน

มา สามารถตรวจสอบรายชอของมลแวรดวยการคลกทลงก ดงรปท 20 (6-1)

รปท 20 (6-1) แสดงรายชอมลแวรทสามารถตรวจสอบและกำาจดได

การเรยกใชงาน MSRT นนสามารถเรยกใชได 2 วธ ดงน 1. เรยกใช MSRT โดยตรง ซงการเรยกใชดงกลาว จะตองทำาการดาวนโหลดจากเวบไซต Microsoft

Download Center มายงเครองผใชกอน โดยมขอดคอ สามารถกำาหนดรปแบบการตรวจสอบได

(มอธบายในหวขอถดไป) และ สามารถเรยกใชงาน MSRT เวลาใดกตามทผใชตองการ เชนในกรณท

พบความผดปกตของระบบหรอ สงสยวาระบบตดมลแวร สวนขอเสยคอ ผใชจำาเปนตองดาวนโหลด

โปรแกรมใหมทกครงทมการอพเดทเวอรชน


2. เรยกใช MSRT โดยอตโนมต หลงจากมการอพเดทเวอรชน MSRT ผานระบบ Windows Update

หรอ Microsoft Update ซงเกดขนในวนองคารทสองของทกเดอน โดยมขอดคอ มการอพเดทเวอรชน

MSRT โดยอตโนมต สวนขอเสยคอ มการเรยกใชงานเพยงครงเดยวในชวงเวลาหนงเดอน

หลงจากทมการตรวจสอบระบบดวย MSRT หากตรวจพบมลแวร โปรแกรมจะทำาการกำาจด มลแวรออก

โดยอตโนมต และรายงานผลไปยง Microsoft (มกำาหนดอยในขอตกลงการใชงานโปรแกรม เรยกวา EULA

หรอ End-User License Agreement) [6-5][6-6] โดยผลการตรวจสอบทสงไปยง Microsoft จะถกใชใน

การวเคราะหขอมล เชน การตดตามจำานวนการแพรกระจายของมลแวร

ตวอยางการใชงาน 1. เมอผใชเรยกใช MSRT จะพบกบหนาตางแสดงรายละเอยดของโปรแกรม ดงรปท 21 (6-2) ไดแก

ลงกไปยงหนาเอกสารของโปรแกรมและรายชอมลแวรทสามารถตรวจจบได

รปท 21 (6-2) แสดงหนาตางเมอเรมตน MSRT

2. คลกปม Next จะแสดงหนาตางดงรปท 22 (6-3) เพอใหผใชเลอกรปแบบการสแกน (Scan type)

โดยแตละรปแบบมความแตกตางกนดงน

รปท 22 (6-3) แสดงหนาตางการเลอกรปแบบการสแกนมลแวร

2.1 Quick scan

เปนการตรวจสอบพนทของระบบทมลแวรสวนใหญใชเปนทฝงตวอย ถาพบ

มลแวร โปรแกรมจะใหทำาการตรวจสอบแบบ Full Scan อกครง

2.2 Full scan

เปนการสแกนทกสวนของระบบ โดยจะตรวจสอบทกไดรฟทอยในระบบ แตไมรวมไดรฟ

ของเครอขายทเชอมตอกบระบบ การสแกนแบบนใชเวลามากกวา แบบ Quick scan

2.3 Customized scan

เปนการสแกนแบบ Quick scan โดยทผใชสามารถระบโฟลเดอรทตองการตรวจสอบเพมเตมได

3. เมอผใชเลอกรปแบบการตรวจสอบแลว สามารถเรมดำาเนนไดโดยการคลกปม Next เพอทำาการตรวจ

สอบ ดงรปท 23 (6-4)


รปท 23 (6-4) แสดง MSRT ขณะตรวจสอบระบบของเครองผใช

4. หลงจาก MSRT ตรวจสอบระบบเสรจสนแลว ในกรณทโปรแกรมไมพบมลแวรในระบบ จะแสดง

หนาตางดงรปท 24 (6-5)

รปท 24 (6-5) แสดงหนาตาง MSRT แจงวาตรวจไมพบมลแวร

5. ในกรณท MSRT ตรวจพบมลแวร จะแสดงรายละเอยดทพบ โดยผใชสามารถคลกลงกแสดงผลการ

สแกน ดงรปท 25 (6-6)

รปท 25 (6-6) แสดงหนาตาง MSRT แจงวาตรวจพบมลแวร

จะเหนไดวา MSRT นน สามารถเพมความมนคงปลอดภยใหกบระบบไดในระดบหนง โดยทผใชไมตอง

เสยคาใชจายและเวลาในการสรรหาหรอตดตงโปรแกรม เพยงแคทำาการตรวจสอบการอพเดทระบบปฏบต

การและเรยกใช MSRT อยเสมอ

อางอง [6-1] http://netmarketshare.com/operating-system-market-share.

aspx?qprid=8&qpcustomd=0&qptimeframe=Y&qpsp=2011

[6-2] http://support.microsoft.com/kb/890830/

[6-3] http://www.microsoft.com/download/en/details.aspx?

displaylang=en&id=16/

[6-4] http://www.microsoft.com/security/pc-security/malware-removal.aspx

[6-5] http://blogs.computerworld.com/what_you_dont_

know_about_the_windows_malicious_software_removal_tool

[6-6] http://www.brighthub.com/computing/smb-security/articles/46694.aspx#


07 9 พฤตกรรมเสยงอนตราย เรองงายๆ

ทไมควรมองขามผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 9 ม.ค. 2555ปรบปรงลาสด: 11 ม.ค. 2555

ในการใชงานคอมพวเตอรโดยทวไป ผใชสวนใหญมกจะไมคอยเหนความสำาคญของความมนคงปลอดภย

เทาไรนก เนองจากหากกำาหนดคาใหคอมพวเตอรมความมนคงปลอดภยมากๆ กจะทำาใหการใชงานในแตละ

วนลำาบากขนตามไปดวย เปรยบเสมอนกบการลอกประตบานอยางแนนหนาดวยกญแจหลายสบชน ถงจะ

ชวยปองกนไมใหผบกรกเขามาในบานไดงาย แตกทำาใหเจาของบานตองเสยแรงเสยเวลาไปกบการปลดลอก

กญแจทงหลายสบ ชนนนตามไปดวย ดงนนเมอผใชคอมพวเตอรสวนใหญเนนความสะดวกสบายเปนหลก

จงอาจทำาใหพฤตกรรมการใชงานคอมพวเตอรในแตละวน มความเสยงทจะถกโจมต หรอถกหลอกลวงจาก

ผไมหวงดไดงาย มาดกนวามพฤตกรรมอะไรบางทจะทำาใหเกดความเสยงเหลานน

1. ตดตงโปรแกรมโดยไมอานรายละเอยดเมอพดถงการตดตงโปรแกรมคอมพวเตอร ผใชสวนใหญมกจะเขาใจวาเปนการคลกทปม Next, Next,

Next ตอไปเรอยๆ จนสดทายคอคลกปม Finish ซงแนนอนวา คนทอาน End User License Agreement

(EULA) [7-1] หรอพนธะสญญาทางกฎหมายของแตละโปรแกรมนนแทบจะไมม หรอแมกระทงหากถามวา

ในหนาจอการตดตงนนมขอมลอะไรปรากฎอยบาง บางคนเมอตดตงโปรแกรมเสรจแลวกยงไมรดวยซำา ซง

จากพฤตกรรมดงกลาวน ทำาใหมผพฒนาโปรแกรมหลายราย ใส Adware เขามาในโปรแกรมของตนดวย

แลว Adware คออะไร? เนองจากผพฒนาโปรแกรมหลายราย เผยแพรโปรแกรมของตนใหผใชสามารถ

นำาไปใชงานไดฟรๆ แตทางผพฒนาเองกมความจำาเปนตองใชเงน จงไดตดตอกบผสนบสนน เพอขอใหชวย

จายเงนใหกบผพฒนาโปรแกรมนนๆ โดยแลกกบการทจะแนบโปรแกรมของผสนบสนนไปกบโปรแกรมของ

ผพฒนาดวย ตวโปรแกรมของผสนบสนนนนอาจทำามาเพอการประชาสมพนธหรอโฆษณาตวผสนบสนนเอง

ดงนนโปรแกรมทมลกษณะดงกลาวนจงถกเรยกวา Adware ซงหมายถง โปรแกรมทมโฆษณา การโฆษณา

นนอาจจะมาในหลายรปแบบ เชน Toolbar ของโปรแกรมเบราวเซอร หรอการเปลยนหนาจอ Home

page ของเบราวเซอรใหไปทเวบไซตของผสนบสนน เปนตน ตวอยางโปรแกรม Adware ทพบเหนไดบอย

เชน Google toolbar, Ask.com toolbar เปนตน แตโปรแกรม Adware หลายตวกถกสรางขนมาโดยม

วตถประสงคแอบแฝง โดยทำาหนาทเปน Spyware ดวย ซงจะแอบเกบขอมลของผใชแลวสงไปใหกบผพฒนา

Adware นนๆ [7-2]

ดงนน การอาน EULA หรอการสงเกตขอมลทปรากฎในหนาจอการตดตงโปรแกรม จงเปนเรองสำาคญ

เนองจากในหลายโปรแกรม ไดเขยนขอตกลงการใชงานไววา ผใชตองยอมใหมการตดตงโปรแกรม Adware

ไวในเครองดวยถงจะสามารถใชงานโปรแกรมนนได ซงหากผใชไมยอมรบกจะไมสามารถตดตงและใชงาน

โปรแกรมนน ในบางโปรแกรม ระหวางการตดตงจะมการถามวาตองการตดตงโปรแกรม Adware ดวยหรอ

ไม ดงรปท 26 (7-1) ซงโปรแกรมโดยสวนใหญจะอนญาตใหผใชสามารถตดตงโปรแกรมนนไดโดยไมจำาเปน

ตองตดตง Adware

รปท 26 (7-1) หนาจอการถามวาตองการตดตงโปรแกรม Adware หรอไม

หากผใชเผลอตดตง Adware ไปโดยไมตงใจ กยงสามารถลบ Adware นนออกจากเครองไดงายโดย

การ Uninstall ออก แตโปรแกรม Adware บางตวอาจไมยอมใหผใชลบ เพราะถงแมจะตามไปลบไฟลของ

Adware นนออกจากระบบแลว แตเมอเชอมตอกบอนเทอรเนต Adware นนกจะถกดาวนโหลดมาตดตง

ใหมอยด ซงการกำาจด Adware ทมพฤตกรรมดงกลาวน จำาเปนตองใชโปรแกรมประเภท Anti-Adware

หรอ Anti-Spyware ชวย

2. แอบเลนอนเทอรเนตไรสายฟรคณจะทำาอยางไรหากพบวาสามารถเชอมตอเขากบเครอขายไรสายของเพอนบานทปลอยออกมาใหเลน

อนเทอรเนตไดฟรๆ ? สงหนงทผใชหลายคนมองขามไป คอ เมอเครองคอมพวเตอรเชอมตอเขากบระบบเครอ


ขายไรสายใดๆ กจะตองทำาการรบสงขอมลกบอปกรณทเปนตวรบสงสญญาณไรสายนนๆ ดงนนหากผใชเชอม

ตอคอมพวเตอรเพอแอบเลนอนเทอรเนตไรสายของขางบาน ขอมลตางๆ ทรบสง ไมวาจะเปน ชอผใช รหส

ผาน หรอขอมลสำาคญอนๆ กจะถกสงออกไปดวย ซงแนนอนวาหากมใครทสามารถเชอมตอเขากบระบบไร

สายนได แลวทำาการดกรบขอมล (Sniff) กจะไดขอมลทกอยางไปอยางงายดาย

แตถงแมผใชจะมนใจวาใชการเชอมตอแบบ HTTPS ทมการเขารหสลบขอมลทรบสงแลวกตาม ผทสราง

ระบบเครอขายไรสายอาจทำาสงทเรยกวา SSL Strip [7-3] ซงเปนการหลอกผใชวาไดเชอมตอแบบ HTTPS

แลว ทงทจรงๆ เปนการเชอมตอแบบ HTTP ธรรมดากเปนได โดยเฉพาะอยางยงในโลกทกวนนทอปกรณ

เคลอนทสามารถหาไดงายและม ราคาถก และอปกรณเหลานนสามารถเชอมตอกบอนเทอรเนตแลวทำาหนาท

เปน Access point เพอใหเครองอนสามารถเชอมตอเขามาเพอใชงานอนเทอรเนตได ดงนนจงอาจมผไมหวงด

ใชอปกรณเหลานในการสราง Access point ปลอม เพอใหมคนหลงเชอแลวเชอมตอเขามา แลวกจะไดขอมล

ทสำาคญของคนๆ นนไป [7-4] ซงสถานททเหมาะสมในการโจมตโดยวธนมกจะเปนบรเวณทมคนอยเยอะ

และมโอกาสทคนจะใชอปกรณเคลอนทในการเชอมตออนเทอรเนต เชน โรงอาหาร หรอ หางสรรพสนคา

เปนตน ดงนน ถงแมจะมอนเทอรเนตมาใชฟรๆ แตสงทตองเสยไปนนอาจมากมายมหาศาลกวาทคดกเปนได

3. ตดตงโปรแกรมแอนตไวรสปลอมผใชจำานวนไมนอยถกหลอกลวงโดย Banner หรอ Popup ทโผลขนมาเมอเปดเวบไซต แลวหลงเชอ

และตดตงโปรแกรมแอนตไวรสปลอม (Rogue Antivirus) ซงจะมลกษณะเหมอนกบโปรแกรมแอนตไวรส

ธรรมดาทวไป แตมจดประสงคเพอหลอกลวงและไมสามารถกำาจดไวรสไดจรง เมอผใชเผลอตดตงและเรยก

ใชงานโปรแกรมแอนตไวรสปลอม โปรแกรมนนจะปรากฎหนาจอทดเหมอนกบกำาลงทำาการสแกนไฟลใน

ระบบ แลวจะแจงผลการสแกนขนมาแจงวามโปรแกรมอนตรายอยในระบบอยเปนจำานวน มาก แตผใชจะ

ยงไมสามารถกำาจดโปรแกรมอนตรายเหลานนออกได จนกวาจะจายเงนใหกบผพฒนาโปรแกรมแอนตไวรส

ปลอมนกอน ดงรปท 27 (7-2) โปรแกรม แอนตไวรสปลอมหลายตว นอกจากจะไมสามารถกำาจดไวรสได

แลว ยงดาวนโหลดโปรแกรมอนตรายอนๆ มาตดตงเพมเตมในเครองของผใชดวย

รปท 27 (7-2) ตวอยางโปรแกรมแอนตไวรสปลอม (ทมา The Hacker News [7-5])

โปรแกรม ททำางานในลกษณะแบบนมชอเรยกวา Rogueware หรอ Scareware ซงมความหมายโดย

รวมหมายถงโปรแกรมทหลอกลวงผใชใหทำาการจายเงน [7-6] โดยทวไป Rogueware มกจะมาในรปแบบ

ของโปรแกรมรกษาความมนคงปลอดภย เนองจากงายตอการลอลวงใหผใชดาวนโหลดโปรแกรมไปทำาการตด

ตง เชน อาจจะทำา Banner หรอ Popup ทปรากฎขนเมอผใชเขาสเวบไซต โดยเนอหาของขอความขางใน

นนจะเปนการแจงเตอนวาตรวจพบโปรแกรมอนตราย อยในเครองคอมพวเตอรของผใช ตองรบดาวนโหลด

โปรแกรมแอนตไวรสไปทำาการตรวจสอบโดยดวน [7-7]

ในการปองกนตวจาก Rogueware กอนทำาการดาวนโหลดโปรแกรมทเกยวของกบความมนคงปลอดภย

ผใชควรตรวจสอบรายชอโปรแกรมใน List of rogue security software [7-8] เพอใหแนใจวาจะไดไมตก

เปนเหยอของโปรแกรมหลอกลวง

4. คลกลงกหรอเปดไฟลแนบทมากบอเมลโดยไมตรวจสอบ

การโจมตผานอเมล เปนวธการทมมานานแลว และปจจบนกยงคงใชไดผล ซงวธการโจมตกมหลาย

รปแบบแตกตางกนไป ไมวาจะเปนการโจมตแบบสรางความเสยหายนอย เชน เผยแพรขาวสารหลอกลวง

(Hoax) ซงมจดมงหมายเพอใหคนหลงเชอและทำาการสงตอ (Forward) อเมลฉบบนนไปใหไดเยอะๆ เพอ

ใหผทเผยแพรขาวสารหลอกลวงนนจะไดทำาการรวบรวมรายชออเมล และจะไดทำาการสงสแปม (Spam)

ออกไป เปนตน [7-9]


สวนการโจมตทมจดประสงคเพอตองการสรางความเสยหายกมหลายแบบ ไมวาจะเปน การสรางหนา

เวบไซตหลอกลวง (Phishing) แลวเผยแพรลงกของเวบไซตนนทางอเมล ซงเปาหมายของการทำาหนาเวบไซต

หลอกลวงโดยสวนใหญจะปลอมเปนเวบไซตของ สถาบนการเงน เชน ผโจมตจะสรางหนา Login ใหเหมอน

กบหนาเวบไซตของธนาคาร เพอหลอกใหลกคาของธนาคารนนหลงเชอและกรอกขอมลชอผใชและรหส ผาน

ลงไป ขอสงเกตของอเมล Phishing คอ จะมลงกทบอกวาเปนเวบไซตของธนาคารอยในอเมลแต URL ของ

ลงกนนไมใชเวบไซตของธนาคารทถกกลาวอาง [7-10]

การเผยแพรมลแวร (Malware) ดวยวธการแนบไฟลมากบอเมลนนปจจบนกยงคงไดผลอย ถงแมวา

ผใหบรการอเมลหลายรายจะมบรการสแกนไวรสในไฟลแนบทงอเมลทไดรบเขามาแลวอเมลทถกสงออกไป

แลวกตาม [7-11] แตกยงมโอกาสทมลแวรบางตวจะหลดรอดการตรวจจบและเขามาอยในกลองอเมลของ

ผใชได ปจจบนมลแวรไมไดเผยแพรผานไฟลทมนามสกล .exe เพยงอยางเดยว แตยงสามารถเผยแพรผาน

ไฟลเอกสารทวไป เชน ไฟลของโปรแกรม Office ไฟล .pdf หรอแมกระทงไฟลรปภาพไดอกดวย [7-12] ดง

นนควรตรวจสอบกบผสง และทำาการสแกนไวรสกอนเปดไฟลแนบทกครง

5. Remember my passwordความสามารถหนงของโปรแกรมเบราวเซอรทคนสวนใหญนยมใช คอ การสงใหเบราวเซอรจำาชอผใช

และรหสผานของเวบไซตนน เพอจะไดไมตองพมพใหมในภายหลง ซงวธการทวานกสามารถทำาไดงายๆ โดย

การคลกทปม Remember my password เมอลอกอนเขาสเวบไซต แตการสงใหเบราวเซอรจำารหสผานกม

ขอเสยเชนกน คอ หากเครองคอมพวเตอรสญหายหรอถกเขาถงไดโดยบคคลอน ผทสามารถเขาถงโปรแกรม

เบราวเซอรไดกจะสามารถเขาใชงานเวบไซตท ถกสงใหจำารหสผานไดเลย แตทสำาคญกวานน คอ เบราวเซอร

โดยสวนใหญอนญาตใหผใชสามารถดรหสผานทงหมดทถกเกบ ไวไดงายเพยงแคไมกคลก ดงรปท 28 (7-3)

รปท 28 (7-3) ตวอยางการแสดงรหสผานทงหมดทเกบไวใน Mozilla Firefox

อยางไรกตาม ในบางเบราวเซอร เชน Mozilla Firefox ผใชสามารถกำาหนด Master Password เพอ

ปองกนการแอบดรหสผานทถกบนทกไวได โดยผทตองการดขอมลรหสผาน จะตองใส Master Password

ใหถกตองถงจะสามารถเขาดได [7-13]

6. เปดใชงานฟงกชน Autorun ใน Removable driveAutorun เปนความสามารถหนงของ Windows ทใชระบวา เมอเชอมตอดสกเขากบเครองคอมพวเตอร

แลวจะทำาอะไรตอไป ตวอยางประโยชนของฟงกชน Autorun เชน เมอใสแผนซดสำาหรบตดตงโปรแกรมเขาไป

ในไดรฟ จะปรากฏหนาจอการตดตงโปรแกรมขนมาโดยอตโนมต ซงการกระทำาดงกลาวนจะถกระบในไฟลชอ

autorun.inf ซงเปนไฟลขอความธรรมดา [7-14] ฟงกชน Autorun นอกจากจะทำางานเมอเชอมตอดสกเขากบ

เครองแลว หากวาผใชทำาการดบเบลคลกทไอคอนของไดรฟนน ฟงกชน Autorun กจะถกเรยกใชงานเชนกน

จากประโยชนของฟงกชน Autorun ทสามารถสงใหระบบเปดโปรแกรมทกำาหนดโดยอตโนมตเมอผ

ใชเชอมตอ ไดรฟหรอดบเบลคลกทไอคอน ทำาใหมผพฒนามลแวรทเผยแพรผานทาง USB Drive เนองจาก

มการใชงานทแพรหลายและสามารถเขยนไฟลได ทสำาคญ ผใชงานสวนใหญนยมเปดดขอมลใน USB Drive

ดวยการดบเบลคลกทไอคอน ทำาใหมลแวรแพรกระจายไดไมยาก


ดงนน กอนทจะเปดดขอมลใน USB Drive ควรทำาการสแกนไวรส รวมถงใชโปรแกรมประเภท Auto-

run remover เพอลบไฟล autorun.inf ออกจาก USB Drive ดวย นอกจากน การปดฟงกชน Autorun

ใน Windows กยงสามารถชวยปองกนปญหานได โดย Microsoft ไดเผยแพรโปรแกรมอพเดทหมายเลข

967940 เพอปดการทำางานของฟงกชน Autorun ในไดรฟแบบถอดได (Removable drive) เพอชวยลด

การแพรกระจายของไวรส Autorun [7-15]

7. Login เปน Administratorในระบบปฏบตการ Windows มการแบงประเภทของบญชผใชออกเปน 2 แบบ คอ Administrator

และ Limited โดยท Administrator หมายถงผดแลระบบ ซงมสทธในการทำางานทกอยางในระบบ ไมวา

จะเปนการตดตงโปรแกรม แกไขการตงคาของระบบ รวมถงสรางบญชผใชใหม สวน Limited หมายถงผใช

งานธรรมดา ทถกจำากดสทธใหสามารถเขาใชงานหรอเปลยนแปลงการตงคาของระบบได ภายในขอบเขตท

ถกกำาหนดเทานน เชน ไมสามารถตดตงโปรแกรมเพมเตมได เปนตน [7-16] เนองจากขอจำากดของบญชผใช

แบบ Limited ทำาใหผใชทวไปนยมใชงานคอมพวเตอรโดยใชสทธของ Administrator ซงหากผใชเผลอเรยก

ใชงานโปรแกรมมลแวร กจะทำาใหระบบตดมลแวรนนไดโดยงาย

ตงแต Windows Vista เปนตนมา ไดมการพฒนาระบบ User Account Control (UAC) ซงจะกำาหนด

ไมใหผใชงานระบบมสทธเปน Administrator เพอปองกนความเสยหายทอาจจะเกดขนกบระบบ หากผใช

จำาเปนตองใชงานสทธของผดแลระบบ เชน ตดตงโปรแกรม หรอ เปดโปรแกรมทมสทธแกไขคาของระบบ ก

จะปรากฏหนาจอเพอสอบถามความตองการและใหผใชคลกเพอยนยนการทำางาน อกท [7-17] ตวอยางหนา

จอของระบบ User Account Control เปนดงรปท 29 (7-4)

รปท 29 (7-4) ตวอยางหนาจอของระบบ User Account Control (ทมา MSDN [7-17])

ผใชหลายรายปดการทำางานของระบบ User Account Control หรอเขาสระบบโดยใชสทธของ Ad-

ministrator ซงนนอาจเปนชองทางหนงททำาใหระบบถกโจมตจากมลแวรไดงาย สงสำาคญทควรคำานง คอ

ความสะดวกสบายและความมนคงปลอดภย เปนสงทอยตรงขามกน ดงนนหากเพมความสะดวกสบายจน

เกนไป กอาจไมมความมนคงปลอดภยเหลออยเลยกเปนได

8. ปด Windows UpdateWindows Update เปนระบบท Microsoft สรางขนมาเพอปรบปรงแกไขชองโหวของระบบปฏบต

การ Windows และซอฟตแวรอนของ Microsoft ทตดตงอยในระบบ โดยทวไปแลว Microsoft จะเผย

แพรอพเดทยอยในทกสปดาห และจะเผยแพรอพเดทใหญทแกไขชองโหวรายแรงในวนองคารทสองของทก

เดอน โดยใชชอเรยกวา Patch Tuesday [7-18]

ปกตแลวเมอระบบ Windows Update ตรวจสอบพบวามการเผยแพรอพเดทใหมออกมา กจะทำาการ

ดาวนโหลดและตดตงอพเดทใหมนนโดยอตโนมต แตผใชหลายรายทำาการปดระบบ Windows Update ดวย

เหตผลบางประการ เชน ไมมอนเทอรเนต เชอมตอกบอนเทอรเนตความเรวตำา หรอใชงาน Windows แบบ

ละเมดลขสทธ เปนตน จงทำาใหไมสามารถตดตงการอพเดทลาสดได

การปด Windows Update นนทำาใหระบบมความเสยงตอการถกโจมตจากชองโหว 0-day ซงเปนชอง

โหวทไดรบการเปดเผยแลวแตยงไมไดมการแกไข [7-19] หากเปนไปได ผใชควรดาวนโหลดอพเดททแกไข

ชองโหวรายแรงมาทำาการตดตงดวยตนเอง ซงสามารถดาวนโหลดไดจากเวบไซตของ Microsoft สามารถ

ตดตงไดโดยไมตองเชอมตออนเทอรเนต

9. ไมอพเดทโปรแกรมแอนตไวรสโปรแกรมแอนตไวรสจะมวธการตรวจสอบไวรสโดยหลกๆ อย 2 วธ คอ ตรวจสอบจาก Signature และ

ตรวจสอบแบบ Heuristics โดยการตรวจสอบจาก Signature นนจะเปนการวเคราะหวาไฟลทตรวจสอบนน

มลกษณะเฉพาะตรงกบขอมลของ ไวรสทมอยหรอเปลา ถาตรงกน กแสดงวาไฟลนนมโอกาสทจะเปนไวรส

การตรวจสอบดวยวธนมขอดคอทำางานไดเรวและมโอกาสผดพลาดนอย แตมขอเสยคอถาเจอไวรสทไมรจก

มากอนและไมมในฐานขอมล กจะไมสามารถตรวจจบไวรสนนได สวนการตรวจสอบแบบ Heuristics จะไม

ไดดเนอหาของไฟล แตจะเปนการวเคราะหพฤตกรรมของโปรแกรม วามการทำางานทเขาขายทจะสรางความ

เสยหายใหกบระบบหรอเปลา ถาใชกจะแจงเตอนใหกบผใชทราบ ขอดของวธนคอสามารถตรวจจบไวรสทไม

เคยรจกมากอนได แตขอเสยคอมโอกาสสงทจะมองวาโปรแกรมททำางานตามปกตนนเปนไวรส [7-20] [7-21]

โดยทวไปแลว โปรแกรมแอนตไวรสสวนใหญจะเนนไปทการตรวจสอบไวรสจาก Signature เปนหลก

หากผพฒนาโปรแกรมแอนตไวรสคนพบไวรสชนดใหม กจะสรางไฟล Signature update แลวเผยแพรออก

มาใหผใชงานโปรแกรมแอนตไวรสดาวนโหลดไปอพเดทฐานขอมล ของโปรแกรม หากผใชไมทำาการอพเดท

ฐานขอมล โปรแกรมกอาจจะไมสามารถตรวจจบไวรสชนดใหมได และทสำาคญ ผพฒนาโปรแกรมแอนต

ไวรสหลายราย จะไมอนญาตใหผทใชซอฟตแวรแอนตไวรสแบบละเมดลขสทธเขาไปดาวนโหลดไฟลอพเดท


ฐานขอมลไวรสได ดงนนตอใหผใชใชงานโปรแกรมแอนตไวรสททำางานไดดขนาดไหน แตถาไมอพเดท กจะ

ตรวจจบไวรสไมไดผล

สรปเครองคอมพวเตอรทเชอมตอกบระบบอนเทอรเนตได มโอกาสเสยงทจะถกโจมตงายกวาเครองทไม

ไดเชอมตออนเทอรเนต ดงนนหากมการใชงานอนเทอรเนตอยเปนประจำา ผใชควรตดตามขอมลขาวสารท

เกยวของกบความมนคงปลอดภยอยอยางสมำาเสมอ เพราะนอกจากทจะปองกนระบบของตนแลว ยงชวย

ปองกนไมใหเครองคอมพวเตอรทใชงานอยถกใชเปนเครองมอในการโจมตผอนดวย

พฤตกรรมการใชงานหลายอยาง เปนสาเหตหลกททำาใหเกดความเสยงในเรองของความมนคงปลอดภย

และเปนชองทางใหผไมหวงดใชในการโจมตระบบ ดงนนการปองกนภยคกคามทดทสดจงเปนการปองกน

ทตวผใช นนเอง

อางอง[7-1] http://www.webopedia.com/TERM/E/EULA.html

[7-2] http://books.google.com/books?id=Fo2a7YtU1GUC&pg=PA10

[7-3] http://www.thoughtcrime.org/software/sslstrip/

[7-4] http://www.wi-fiplanet.com/tutorials/article.php/1564431

[7-5] http://thehackernews.com/2012/03/rogue-antivirus-advertised-on-200000.html

[7-6] http://www.pandasecurity.com/img/enc/The Business of Rogueware.pdf

[7-7] http://www.microsoft.com/security/pc-security/antivirus-rogue.aspx

[7-8] http://en.wikipedia.org/wiki/List_of_rogue_security_software

[7-9] http://urbanlegends.about.com/cs/nethoaxes/ht/emailhoax.htm

[7-10] http://www.webopedia.com/TERM/P/phishing.html

[7-11] http://support.google.com/mail/bin/answer.py?hl=en&answer=25760

[7-12] http://computer.howstuffworks.com/question339.htm

[7-13] http://kb.mozillazine.org/Master_password

[7-14] http://msdn.microsoft.com/en-us/library/cc144206(VS.85).aspx

[7-15] http://technet.microsoft.com/en-us/security/advisory/967940

[7-16] http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/

en-us/ua_c_account_types.mspx?mfr=true

[7-17] http://msdn.microsoft.com/en-us/library/windows/desktop/aa511445.aspx

[7-18] http://download.microsoft.com/download/a/9/4/a94af289-a798-4143-a3f8-

77004f7c2fd3/Windows Update Explained.docx

[7-19] http://netsecurity.about.com/od/newsandeditorial1/

a/aazeroday.htm

[7-20] http://www.antivirusworld.com/articles/antivirus.php

[7-21] http://antivirus.about.com/od/antivirusglossary/g/

heuristics.htm


08 PaSSwoRd1 สญญาณอนตราย

ทมากบรหสผานผเขยน: พรพรหม ประภากตตกลวนทเผยแพร: 23 ม.ค. 2555

ปรบปรงลาสด: 23 ม.ค. 2555

เมอตงคำาถามถงการรกษาความมนคงปลอดภยบนระบบคอมพวเตอร ผใชงานหลายทานอาจใหคำานยาม

ดวยภาพของการเขาสระบบปฎบตการหรอการเขาสหนาเวบไซตดวยชอผใช (Username) และรหสผาน

(Password) เปนอยางแรก เนองจากเปนวธการรกษาความมนคงปลอดภยของระบบคอมพวเตอรแบบหนงท

พบไดบอยครงเมอมความตองการเขาใชงานขอมลทเปนสวนบคคลหรอเปนความลบ แตระบบคอมพวเตอรท

ใหลอกอนโดยการใชงานชอผใชและรหสผาน กมความเสยงสงตอการถกโจมต เนองจากปจจยทจะทำาใหการ

ถกโจมตสำาเรจนน มกขนอยกบการตงคารหสผานของผใชงานเปนหลก หากรหสผานทใชงานไมมความมนคง

ปลอดภยแลวนน กเทากบเปดโอกาสใหผโจมตสามารถคาดเดารหสผานเพอเขาถงระบบคอมพวเตอรไดโดยงาย

ตามรายงานขาวจาก CNN มการระบวาบรษทวจยและพฒนาดานการรกษาความมนคงปลอดภยของ

ระบบคอมพวเตอรทชอวา Trustwave ไดเปดเผยรายงานทเกยวของกบสถตการใชงานรหสผานในเอกสาร

“Trustwave 2012 Global Security Report” [8-1] โดยมเนอหาทเกยวของวาองคกรทางดานธรกจทว

โลกมการใชรหสผาน “Password1” อยางแพรหลายและอาจเปนสาเหตสวนใหญททำาใหระบบคอมพวเตอร

ขององคกรตางๆ ถกเขาควบคมไดสำาเรจจากการโจมตผานการลอกอนดวยรหสผานดงกลาว และจากขอมล

เพมเตมพบวารหสผานดงกลาวเปนคาทไดจากการกำาหนดคา Default Password ทไดจากบรการของ

Microsoft Active Directory [8-2] [8-3] ทเปนบรการทใชสำาหรบบรหารจดการสทธผใชงานบนเครอขาย

โดเมนของระบบปฎบตการวนโดวส ซงอาจทำาใหผใชงานบางคนอาจเขาใจวารหสผานดงกลาวมความซบซอน

อยแลวจงไมดำาเนนการเปลยนรหสผาน

จากรายงานขางตนแสดงใหเหนถงสภาพปญหาสำาคญของการใชงานระบบคอมพวเตอรจากทวโลกวา

ยงคงขาดความใสใจในเรองความมนคงปลอดภยทเกยวของกบการใชงานรหสผานและการขาดกระบวนการ

ตรวจสอบทด ซงในกรณทเปนระบบขององคกรทมความสำาคญและถกขโมยบญชผใชงานไปได อาจสงผลก

ระทบรายแรงทำาใหองคกรนนหมดความนาเชอถอจากลกคา และไมสามารถประเมนคาความเสยหายทจะ

เกดขนในอนาคตหากยงเปดโอกาสใหผโจมตเขามายงระบบไดงายดายเชนน บทความนจะรวบรวมขอมล

แนวทางการใชงานรหสผาน เพอใหผอานสามารถนำาไปปรบใชงานกบการใชงานในระบบหรอบรการตางๆ

ทตองการได โดยมรายละเอยดดงน

1.ไมใช Default PasswordDefault Password หรอคารหสผานเรมตนของอปกรณหรอซอฟตแวร หมายถง รหสผานทถกตงคา

มาจากผพฒนาอปกรณหรอซอฟตแวรตงแตครงแรก เชน รหสผานสำาหรบลอกอนระบบบรหารจดการของ

อปกรณ Router ทมการตงคามาจากผพฒนา หรอกรณทใชเทมเพลตของรหสผานทออกแบบโดยระบบ

Active Directory ดงเชนในตวอยางรายงานทไดกลาวไป โดยมจดประสงคหลกเพอปองกนการเขาถงจากผท

ไมเกยวของ แตชองโหวของการใชงานรหสผานแบบ Default Password คอ รหสผานมกจะเปนคาเดยวกน

ทงผลตภณฑหรอรนนนๆ และเมอผใชงานไมเปลยนแปลงคารหสผานเรมตน กสามารถทำาใหรหสผานเหลา

นถกคาดเดาเพอใชในการโจมตไดไมยาก เพราะปจจบนขอมลรหสผานเหลานสามารถคนหาไดทวไปบน

เวบไซตอนเทอรเนต ดงเชนเวบไซตในรปท 30 (8-1) ซงเปนแหลงรวบรวมขอมล Default Password จาก

ผใหบรการเกยวกบระบบคอมพวเตอรทวโลก

รปท 30 (8-1) ตวอยางเวบไซตทรวบรวม Default Password จากผใหบรการ


2. ตงคารหสผานทมความซบซอนผใชงานหลายทานคงเคยไดยนคำาเตอนจากผเกยวของดานความมนคงปลอดภยใหเปลยนรหสผานสวน

ตวใหเปนรหสผานทมความซบซอน หรอบางทานอาจพบเหนดวยตวเองจากการใชงานหนาเวบไซตตางๆ ทม

การแจงเตอนใหตงคารหสผานทมความมนคงหรอทเรยกวา Password Strength ดงเชนตวอยางในรปท 31

(8-2) ซงทงหมดทกลาวมาถอเปนคำานยามเดยวกน โดยมจดประสงคเพอลดโอกาสทผโจมตจะสามารถคาด

เดารหสผานของผใชงานไดโดยงาย เนองจากคำาวารหสผานทมความซบซอนจะหมายถง รหสผานทคาดเดา

ยาก ซงประกอบไปดวย ตวเลข อกษรภาษาองกฤษตวพมพใหญ อกษรภาษาองกฤษตวพมพเลก และอกขระ

พเศษ โดยอาจจะมหลกเกณฑเพมเตม เชน ตองกำาหนดความยาวของรหสผานมากกวา 8 ตวอกษร ผใชงาน

ควรปรบทศนคตวารหสผานทซบซอนจะทำาใหจำาไดยาก และปรบทศนคตทวาการตงคารหสผานโดยการเลอก

ใชขอมลเฉพาะกลม เชน ใชเฉพาะขอมลกลมทเปนตวเลข มโอกาสเสยงตอการถกโจมตสำาเรจสง เนองจาก

ความนาจะเปนมขอบเขตนอย ยกตวอยางเชน หากมการตงคารหสผาน 5 หลกเปนตวเลขทงหมด จะเทยบ

เทากบมโอกาสทจะสมรหสผานถกตองไมเกน 500 ครง โดยอาศยการผสมของอกขระพเศษและพยญชนะรป

แบบตางๆ เชน ตวเลข พยญชนะภาษาองกฤษตวเลก พยญชนะภาษาองกฤษตวใหญ เปนตน

รปท 31 (8-2) แสดงการตงรหสผานทมความซบซอนคาดเดายากจากเวบไซต hotmail.com

3. ไมตงคารหสผานใหมซำ กบรหสผานกอนหนาผใชงานหลายทานคงเคยเหนอเมลแจงเตอนใหเปลยนรหสผาน ตามชวงเวลาทองคกรหรอระบบทให

บรการตางๆไดกำาหนดไว สวนใหญมกจะเปนไปตามนโยบายขององคกรทตองการใหผใชงานเปลยนรหสผาน

ใหมเพอความมนคงปลอดภย แตกยงพบวาผใชงานอกหลายคนทมแนวคดตรงกนขามคอตองการใชรหสผาน

เดมไปตลอด เพราะฉะนนเมอถงรอบเปลยนรหสผาน ผใชงานกลมนกจะทำาการเพอเปลยนรหสผานแตการ

เปลยนรหสผานทวาคอการเปลยนไปเปนรหสผานตวเดม หรอในกรณทระบบออกแบบมาใหมตรวจสอบวาการ

เปลยนรหสผานจะตองไมซำาเดมเปนจำานวน 3 ครง ผใชงานกจะทำาการเปลยนรหสผานเปนจำานวนทงหมด 4

ครง โดยครงสดทายกจะยงคงเปลยนเปนรหสผานเดม เพอหลกเลยงกระบวนการตรวจสอบน ซงเปนสงทไม

ควรทำาอยางยงเพราะนอกจากจะผดจดประสงคของการเปลยนรหสผานแลว ยงเทากบเพมโอกาสทจะทำาใหผ

โจมตสามารถเจาะรหสผานได เพราะฉะนนทางเลอกทดทสดคอการเปลยนรหสผานทไมซำากบคาเดม รวมถง

ระบบทใหบรการกตองมกระบวนการทไมยอมใหผใชงานสามารถตงคารหสผานซำาเดมดวย โดยอาจจะดำาเนน

การพฒนากระบวนการตรวจสอบเพมเตมเชน ระบบทใหบรการเปลยนรหสผานตองมกระบวนการตรวจสอบ

รหสผานทจะตงคาใหมกบรหสผานเดมทกครง หรอใหมกระบวนการทำา Minimum password age [8-4]

เพอกำาหนดชวงเวลาทอนญาตใหผใชงานสามารถเขามาเปลยนรหสผานไดอกครง

4. ไมตงคารหสผานทเหมอนกนทกระบบการตงคารหสผานใหเหมอนกนในทกระบบไมวาจะเปน อเมล ระบบงาน ระบบปฏบตการ หรอระบบใด

กตามลวนแลวแตเปนการเพมชองทางทจะทำาใหความเสยหายขยายตวไดงายมากยงขน ยกตวอยางเชน กรณ

ของผใชงานทมบญชผใชงานเวบไซตเฟซบค (Facebook) ทใชรหสผานเดยวกบบญชผใชงานจเมล (Gmail)

โดยเมอพบวารหสผานของผใชงานถกขโมยจากระบบใดระบบหนงแลว เทากบผใชงานคนนนมความเสยงสง

ทจะถกเขาถงอกระบบหนงทใชรหสผานเดยวกนไดโดยงาย ซงแสดงใหเหนวาการเลอกใชรหสผานเดยวกนใน

ทกระบบยอมสงผลเสยไดเรวและงายขน แตในปจจบนจะพบวาในองคกรใหญๆทมผใชงานมากมกจะมการ

ประยกตใชระบบการเกบรหสผานทเดยวเพอรองรบการเขาถงขอมลบญชการลอกอนทเหมอนกนในทกระบบ

หรอทเรยกวา Centralize Authentication [8-5] เพอใหผใชงานมความสะดวกมากยงขนและลดความซบ

ซอนของการเกบขอมลบญชผใชงานรวมถงรหสผาน เพราะฉะนนรหสผานทใชในกรณนจำาเปนจะตองมการ

รกษาความมนคงปลอดภยทดมาก ซงอาจสามารถทำาตามคำาแนะนำาทงหมดในบทความน เพอลดโอกาศทจะ

ถกผบกรกสามารถเขาถงขอมลสำาคญไดทงหมด

5. ไมตงคารหสผานทเปนคำ ในพจนานกรมหรอคำ ทวไปทคาดเดาไดโดยงาย

ในทางการรกษาความมนคงปลอดภยบนระบบคอมพวเตอรไดมการ พบการโจมตรหสผานรปแบบหนง

ทชอวา Dictionary Attack [8-6] ซงเปนการโจมตโดยการนำาเอาคำาในไฟลขอความ (Text File) หรอในอก

ความหมายหนงคอพจนานกรม (Dictionary) ทจดทำาขนสวนตวหรออาจจะหาซอไดจากแหลงตางๆ มาใช

ในการโจมตระบบคอมพวเตอร โดยนำาคาในไฟลดงกลาวไปประมวลผลลอกอนลงในระบบคอมพวเตอร ซง

การโจมตในรปแบบนมกไดผลกบผใชงานทตงคารหสผานทไมซบซอนและสวนมากเปนคำาทวไปทผใชงาน

มกจะตงกน เชน คำาวา password , secret เปนตน

6. ไมตงคารหสผานจากขอมลสวนบคคลสงแรกทสรางแรงจงใจใหเกดการขโมยบญชผใชงานในระบบหรอบรการตางๆนนคอ ผใชงานมกมการ

ตงคารหสผานโดยใชขอมลสวนบคคล เพอใหผใชงานเองสามารถจดจำาไดงาย ซงขอมลสวนบคคลทกลาวมา

คงปฎเสธไมไดวาจะเปนขอมลซงรเฉพาะผใชงานคนเดยว และมกเปนขอมลทเปดเผยและคาดเดาไดไมยาก

เชน เบอรโทรศพท หมายเลขทะเบยนรถ หรอวนเดอนปเกด เปนตน ในบางกรณทผใชงานตงคารหสผานจาก

ขอมลสวนบคคลและคดวาตนเองถกขโมยรหสผานจากคนใกลตวทรขอมลสวนบคคล แตจรงๆแลวผใชงานลม

คดไปวาขอมลดงกลาว ไมไดเปนความลบหรอรเฉพาะคนใกลตวเทานน ปจจบนขอมลสวนบคคลบางอยางได


ถกเผยแพรอยบนหนาเวบไซตเครอขายสงคมออนไลนทตนเองสมครใชบรการอย ดงรปท 32 (8-3) ฉะนนจง

ไมแปลกทการตงคารหสผานจากขอมลสวนบคคลจะไมมความมนคงปลอดภยพอ

รปท 32 (8-3) การเปดเผยขอมลผานเวบไซตเครอขายสงคมออนไลน

7. ใชงาน Two Factor AuthenticationTwo Factor Authentication เปนวธการลอกอนเพอเขาถงระบบหรอบรการตางๆโดยอาศยปจจย

สองอยางทนำามายนยนรวมกน ซงจะตองไมมความสมพนธเหมอนกน เพอจดประสงคในการสรางความมนคง

ปลอดภยใหมประสทธภาพมากยงขน โดยในทางดานความมนคงปลอดภยระบบคอมพวเตอรไดมการจำาแนก

ปจจยดงกลาวออกเปน 3 สวน [8-7] คอ

7.1 การยนยนตวตนดวยสงทร (Something you know) เชน รหสผาน

7.2 การยนยนตวตนดวยสงทม (Something you have) เชน รหสบตรเตมเงน รหสผานแบบครงเดยว

ทสงผานขอความสนเขาโทรศพทมอถอ (SMS OTP)

7.3 การยนยนตวตนดวยขอมลทางชวภาพ (Something you are) เชน การสแกนลายนวมอ

ซงในปจจบนพบวาระบบหรอบรการตางๆมแนวโนมในการปรบเปลยนใหสามารถรองรบการทำางาน

รวมกบ Two Factor Authentication ดงจะเหนไดจากเวบไซตใหญๆทมการเปดใหใชงานแลว เชน Google

หรอ Amazon

8. เปลยนรหสผานอยางสมำ เสมอและตรวจสอบขอมลชองทางการเปลยนรหสผาน

การเปลยนรหสผานอยางสมำาเสมอชวยใหผใชงานมนใจวารหสผานสวนตวจะยงคงเปนความลบอยเสมอ

และในระหวางนนผใชงานควรมการตรวจสอบขอมลอนๆทใชรวมกบการลอกอนดวย เชน ขอมลอเมลสำารอง

ทใชในการเปลยนรหสผาน ขอมลคำาถามสำาหรบการเปลยนรหสผาน เปนตน เพอลดโอกาสทผไมหวงดจะแฝง

ตวอยกบบญชผใชงาน ซงโดยทวไป มกเกดกบการโจมตทผโจมตไดบญชการใชงานและรหสผานมาแลวและ

ทำาการลกลอบอยในระบบโดยไมแสดงพฤตกรรมใดๆ ในบางกรณผใชงานเองอาจไมเคยทราบเลยกเปนไดวา

มการขโมยรหสผานสำาเรจแลว และผโจมตกำาลงแฝงตวเพอลกลอบขโมยขอมลสวนบคคลจากการใชงาน เชน

ผโจมตจะเฝาดการใชงานอเมล เปนตน และเมอผโจมตไดขอมลตามทตองการแลวจงจะแสดงตวออกมาตอ

ไปหรอในบางรายอาจไมแสดงตวเลยกเปนได

9. อยาหลงกลเชออเมลทแจงใหเปลยนรหสผานกอนทจะตกลงปลงใจเชอขอมลในอเมล โดยเฉพาะอยางยง ขอมลทมผลกระทบกบการใชงานรหส

ผาน ควรพจารณาใหรอบคอบวาเปนอเมลทมาจากระบบหรอจากผเกยวของจรงๆ หรอไม แนวทางทใชใน

การวเคราะหขอมลเบองตนคอการตรวจสอบสถานะการเปลยนรหสผานจากผดแลระบบหรอจากการเชค

จากขอมลทบรการนนๆ จดเตรยมไวให แตหากไมสามารถตดตอหรอตรวจสอบขอมลใดๆ ไดเลย กอาจจะ

ใชวธการทวไปทคอนขางปลอดภยคอเขาไปเปลยนรหสผานยงเวบไซตหรอบรการทแจงเตอนมาดวยตนเอง

เพอปองกนโอกาสในการหลอกลวงดวยเทคนค Phishing [8-8] โดยผใชงานจะตองไมคลกลงกทแนบมากบ

อเมลเปนอนขาด หากตองการเปลยนรหสผานบนเวบไซต ใหผใชงานเขาไปยงหนาเวบไซตโดยตรงและทำาการ

เปลยนรหสผาน ตวอยางของอเมลหลอกลวงเปนดงรปท 33 (8-5)

รปท 33 (8-5) แสดงตวอยางอเมลหลอกลวง

แนวทางการใชงานรหสผานดงทไดกลาวมาทงหมดเปนเพยงแนวคดเบองตนทจะชวยสรางลกษณะนสย

และความตระหนกถงความมนคงปลอดภยในการใชงานรหสผานและการเขาถงระบบหรอบรการตางๆ โดยสง

ทชใหเหนอยางหนงคอนอกเหนอจากจะใหความรผใชงานแลว ผดแลระบบควรมการสนบสนนชองทางหรอ

กลไกในการเพมประสทธภาพดานความมนคงปลอดภยในการเขาถงระบบตางๆเพมเตมดวย เชน การพฒนา

ฟงกชนการตรวจสอบการเปลยนรหสผานใหสอดคลองกบนโยบายขององคกร การพฒนาระบบการทำา Two

Factor Authentication เพอเพมระดบในการเขาถงระบบใหระบบมความมนคงปลอดภยมากยงขน เปนตน


อางอง[8-1] https://www.trustwave.com/global-security-report

[8-2] http://money.cnn.com/2012/03/01/technology/password_

security/?source=cnn_bin

[8-3] http://en.wikipedia.org/wiki/Active_Directory

[8-4] http://netsecurity.about.com/od/secureyourwindowspc

/qt/pwminage.htm

[8-5] http://www.windowsitpro.com/article/ldap/sso-vs-centralized-authentication

[8-6] http://en.wikipedia.org/wiki/Dictionary_attack

[8-7] http://www.cs.cornell.edu/courses/cs513/2005fa/

nnlauthpeople.html

[8-8] http://www.etda.or.th/main/contents/display/233

09 ผใช ioS ระวงถกขโมย aCCounT

ผเขยน: ทมไทยเซรตวนทเผยแพร: 11 เม.ย. 2555ปรบปรงลาสด: 11 เม.ย. 2555

เมอวนท 3 เมษายน 2555 นาย Gareth Wright นกออกแบบและพฒนาเวบไซต ไดคนพบชองโหว

ของแอปพลเคชน Facebook บนระบบปฏบตการ iOS ซงเกบขอมลการลอกอนของผใชไวในตวเครองโดย

ไมมการเขารหสลบ อกทงยงไมมการปองกนการคดลอกขอมลออกจากตวเครอง ทำาใหผไมหวงดสามารถ

ขโมยไฟลทเกบขอมลการลอกอนจากเครองของเหยอไปใสในเครองของตนเอง แลวสวมรอยเปนผใชคนนน

ไดอยางงายดาย เขาไดแจงชองโหวดงกลาวไปยง Facebook แตไดรบการตอบกลบมาวา ชองโหวมผลกบ

อปกรณ iOS ทถก Jailbreak แลวเทานน แตนาย Gareth Wright ยนยนวาชองโหวนมผลกบอปกรณ iOS

ทกเครอง รวมทงเครองทไมได Jailbreak ดวย [9-1] เพอตอบขอสงสยเหลาน ทางทมไทยเซรตจงไดทำาการ

ทดสอบชองโหวดงกลาว

อปกรณทใชในการทดสอบ ประกอบดวย iPod Touch Gen 4, iPhone 4 และ iPhone 4S โดยทำากา

รอพเดทเฟรมแวรใหเปนเวอรชนลาสด คอ iOS เวอรชน 5.1 (9B176) และตดตงแอปพลเคชน Facebook

เวอรชน 4.1.1 (อพเดทลาสด 2 เมษายน 2012) โดยอปกรณทกเครองไมไดทำาการ Jailbreak แตอยางใด

ทมไทยเซรตไดทำาการทดสอบโดยการลอกอนผานแอปพลเคชน Facebook ในเครอง iPod แลวนำาไฟล

ทเกบขอมลการลอกอนไปแทนทไฟลชอเดยวกนทอยใน อปกรณ iPhone ดงแสดงในรปท 34 (9-1) ปรากฏ

วาเครอง iPhone สามารถเขาใชงานบญช Facebook ทถกลอกอนในอปกรณ iPod ไดทนท และสามารถ

ทำางานไดเสมอนกบเจาของ Account เปนผลอกอนในเครองนนโดยตรง ไมวาจะเปนการอาน โพสตขอความ

หรอแมกระทงการยกเลก Account ยกเวนแตการเปลยนอเมลทผกกบ Account จะไมสามารถทำาได เนอง

จากแอปพลเคชน Facebook จะขอใหใส Password เพอเปนการยนยนอกครงหนง รวมถงไมสามารถเปลยน

Password ได เนองจากแอปพลเคชน Facebook ไมรองรบการกระทำาดงกลาว


รปท 34 (9-1) แสดงการนำาไฟลทเกบขอมลการลอกอนจากเครอง iPod ไปใสในเครอง iPhone

และจากการทดสอบเพมเตมกบแอปพลเคชน Dropbox และ Gmail พบวาสามารถสวมรอยการใชงาน

ไดเชนเดยวกบแอปพลเคชน Facebook และมความเปนไปไดสงวาจะพบแอปพลเคชนอนๆ ทมจดออนแบบ

เดยวกน ซงจะสงผลอนตรายกบผใชงาน หากถกผไมหวงดขโมยอปกรณ iOS หรอนำาอปกรณ iOS ไปเชอม

ตอเขากบเครองคอมพวเตอรทสามารถคดลอกขอมลออกจากตว เครองได

ในการทดสอบครงน ทมไทยเซรตไดใชโปรแกรม iExplorer ในการเขาถงขอมลของอปกรณ iOS ซง

โปรแกรมดงกลาวสามารถเขาถงขอมลไฟลการตงคาของแอปพลเคชนบน อปกรณ iOS ไดทงหมด ดงรป

ท 35 (9-2) และยงพบวาโปรแกรมนสามารถมองเหนขอมลดงกลาวไดทนททเชอมตอ อปกรณเขากบเครอง

คอมพวเตอรผานสาย USB ถงแมอปกรณ iOS นนจะไมไดผานการ Jailbreak กตาม ซงผใชรวมถงผพฒนา

แอปพลเคชนบางรายยงคงมความเขาใจผดวาไฟล ตางๆ เหลานจะไมสามารถมองเหนไดหากอปกรณ iOS

ยงไมได Jailbreak

รปท 35 (9-2) แสดงการใชโปรแกรม iExplorer ในการเขาถงขอมลทอยในอปกรณ iOS

สาเหตของปญหา เกดจากการทแอปพลเคชนหลายตว เกบขอมลการลอกอนไวในไฟลนามสกล .plist

ซงเปนไฟลทระบบปฎบตการ iOS ใชในการเกบขอมลของแตละแอปพลเคชน เชน สถานะการลอกอน

เปนตน โดยไมไดมการปองกนทเหมาะสม จงทำาใหผไมหวงดสามารถขโมยไฟลขอมลดงกลาวไปใชงานไดทนท

ดงนน ผใชงานอปกรณ iOS ตองพงระวงไววา อยาปลอยใหอปกรณอยหางตวเปนอนขาด และผใชควร

มความตระหนกในการใชงานโดยทำาการลอกเอาทจากแอปพลเคชนทกครงเมอเลกใช หรอหากผใชงานสงสย

วาจะถกขโมย Account ดวยวธน ผใชสามารถแกไขไดโดยการเปลยนรหสผาน ซงจะทำาใหไฟลทเกบขอมล

การลอกอนทถกขโมยไปไมสามารถใชงานไดอก แตอยางไรกตามวธการดงกลาว จากการทดสอบของทมไทย

เซรต พบวาสามารถใชไดกบแอปพลเคชน Facebook และ Gmail แตสำาหรบ แอปพลเคชน Dropbox ตอง

ใชวธ Unlink ออกจาก Account ของ Dropbox [9-2] หากสงสยวาถกขโมยไฟลทเกบขอมลการลอกอน

จากรายงานของ The Next Web ระบวา Dropbox ทราบปญหาดงกลาวแลว และจะแกไขปญหาน

ในเวอรชนถดไป โดยจะมการปรบปรงการเกบขอมลใหปลอดภยมากยงขน [9-3] สวน Facebook ยงไมม

รายงานการแกไขแตอยางใด ซงหากมความคบหนาในกรณน ทางทมไทยเซรตจะนำามาแจงใหทราบตอไป

อางอง [9-1] http://garethwright.com/blog/facebook-mobile-security-hole-allows-identity-theft

[9-2] http://www.wikihow.com/Unlink-a-Computer-from-a-Dropbox-Account

[9-3] http://thenextweb.com/mobile/2012/04/06/security-hole-in-facebook-ios-app-

doesnt-require-jailbreak-or-theft-and-dropbox-has-it-too/


10 รจก PhiShing และการปองกน

ผเขยน: วศลย ประสงคสขวนทเผยแพร: 27 เม.ย. 2555ปรบปรงลาสด: 30 เม.ย. 2555

ในป 2554 ทผานมา สถตภยคกคามทแจงมายงไทยเซรตมากทสดคอภย

คกคามประเภทการฉอฉล ฉอโกงหรอหลอกลวงเพอผลประโยชน (Fraud) ดงรป

ท 36 (10-1) ซงแทบจะทงหมดเปนเรองเกยวกบ Phishing ดงนนบทความนจง

ขอนำาทานผอานใหทำาความรจกและระวงตวจากภยชนดน

รปท 36 (10-1) สถตภยคกคามระหวางเดอนกรกฏาคมถงธนวาคมป 2554 จำาแนกตามประเภทภยคกคาม [10-1]

Phishing คอคำาทใชเรยกเทคนคการหลอกลวงโดยใชอเมลหรอหนาเวบไซตปลอมเพอใหไดมาซงขอมล

เชน ชอผใช รหสผาน หรอขอมลสวนบคคลอน ๆ เพอนำาขอมลทไดไปใชในการเขาถงระบบโดยไมไดรบอนญาต

หรอสรางความเสยหายในดานอน ๆ เชน ดานการเงน เปนตน ในบทความนจะเนนในเรองของ Phishing ท

มจดมงหมายเพอหลอกลวงทางการเงน เนองจากจะทำาใหผอานมองเหนผลกระทบไดงาย

คำาวา Phishing เปนคำาพองเสยงจากคำาวา Fishing ซงหมายถงการตกปลา หากจะเปรยบเทยบงาย ๆ

ผอานสามารถจนตนาการไดวา เหยอลอทใชในการตกปลา กคอกลวธทผโจมตใชในการหลอกลวงผเสยหาย

ซงเหยอลอทเดน ๆ ในการหลอกลวงแบบ Phishing มกจะเปนการปลอมอเมล หรอปลอมหนาเวบไซตทม

ขอความซงทำาใหผเสยหายอานแลวหลงเชอ เชน ปลอมอเมลวาอเมลฉบบนนถกสงออกมาจากธนาคารทผ

เสยหายใชบรการอย โดยเนอความในอเมลแจงวา ขณะนธนาคารมการปรบเปลยนระบบรกษาความมนคง

ปลอดภยของขอมลลกคา และธนาคารตองการใหลกคาเขาไปยนยนความถกตองของขอมลสวนบคคลผาน

ทางลงกทแนบมาในอเมล เปนตน เมอผเสยหายคลกทลงกดงกลาว กจะพบกบหนาเวบไซตปลอมของธนาคาร

ซงผโจมตไดเตรยมไว เมอผเสยหายเขาไปลอกอน ผโจมตกจะไดชอผใชและรหสผานของผเสยหายไปในทนท

ในหลาย ๆ ครงการหลอกลวงแบบ Phishing จะอาศยเหตการณสำาคญทเกดในชวงเวลานน ๆ เพอเพมโอกาส

ของการหลอกลวงสำาเรจ เชน อาศยชวงเวลาทมภยธรรมชาตหรอโรคระบาด โดยปลอมเปนอเมลจากธนาคาร

เพอขอรบบรจาค เปนตน [10-2]

หนาเวบไซตปลอมบางหนาจะใชวธการทแยบยล นนคอการฝงโทรจนทสามารถขโมยขอมลทตองการ

มากบหนาเวบไซตปลอมนนดวย เชน โทรจนททำาหนาทเปน Key-logger ซงจะคอยตดตามวาผเสยหายพมพ

คยบอรดอะไรบาง เปนตน เมอผเสยหายหลงกล กดลงกตามเขามาทหนาเวบไซตปลอมกจะตดโทรจนชนดน

ไปโดยอตโนมต และหากผเสยหายทำาการลอกอนเขาใชงานระบบใด ๆ ขอมลชอผใช และรหสผาน ของระบบ

นนกจะถกสงไปยงผไมประสงคด [10-3] [10-4]

ตวอยางของอเมลและหนาเวบไซตหลอกลวง มอยมากมายเตมไปหมดในโลกอนเทอรเนต เชนรปท 37

(10-2) ดานลาง เปนรปของสถาบนทางการเงนแหงหนง หากสงเกตดๆ จะเหนวา URL ทแสดงขนมา ไมใช

URL ทถกตองของสถาบนการเงนนน

รปท 37 (10-2) ตวอยางหนาเวบไซตหลอกลวงของสถาบนการเงนแหงหนง [10-6]


นอกจาก Phishing แลวยงมเทคนคการหลอกลวงอน ๆ ทคลายคลงกน ซงแตละวธกมชอเรยกแตก

ตางกนออกไป เชน

Vishing และ Smishing: หลายคนคงเคยไดยนหรอเคยประสบกบแกงคอลเซนเตอรอยบาง

พฤตกรรมของแกงเหลานเขาขายของ Vishing โดยตวอกษร ‘V’ นมาจากคำาวา Voice ซงแปลวาเสยง ดง

นน Vishing จงเปนการใช Voice รวมกบ Phishing ซงมกเปนการหลอกลวงใหไดมาซงขอมลสวนบคคลผาน

ทางโทรศพทนนเอง แตหากเปน Smishing กจะเปนการหลอกลวงโดยใช SMS เชน การไดรบ SMS อางวา

มาจากธนาคารเพอแจงลกคาวาบญชของทานถกระงบ กรณาตดตอกลบทหมายเลข ดงตอไปน ซงเมอโทร

ตามหมายเลขทระบไว กจะเขาสกระบวนการ Vishing ตอไป เปนตน [10-9]

Spear-phishing และ Whaling: อยางทกลาวมาแลวในขางตนเกยวกบกลวธของ Phishing ใน

การนำาไปใชงาน ผไมประสงคดบางคนกไดเลงองคกร หรอบคคลทเปนเปาหมายไวชดเจนอยแลว บคคลทมก

ตกเปนเปาหมายสวนใหญจะเปนผทมบทบาทสำาคญในองคกร มความสามารถหรอรวธการเขาถงขอมลสำาคญ

ขององคกร การหลอกลวงแบบ Phishing ทมเปาหมายชดเจนนมคำาเรยกเฉพาะคอ Spear-phishing และ

หากเปาหมายของ Spear-phishing นเปนบคคลทมตำาแหนงสงหรอเปนบคคลสำาคญในองคกร จะเรยกการ

หลอกลวงนวา Whaling (ตลกรายทเปรยบเทยบบคคลสำาคญเปนปลาตวโต ในทนคอปลาวาฬนนเอง) [10-10]

แลวผอานควรระวงตวอยางไร? ขอแนะนำาตอไปน สามารถลดโอกาสไมใหผอานถกหลอกลวงได [10-2]

[10-6] [10-7] [10-8]

1. ไมเปดลงกทแนบมาในอเมล เนองจากมโอกาสสงทจะถกหลอกลวง เพราะบางครงลงกทมองเหน

ในอเมลวาเปนเวบไซตของธนาคาร แตเมอคลกไปแลวอาจจะไปทเวบไซตปลอมทเตรยมไวกเปนได

เนองจากในการสรางลงกนนสามารถกำาหนดใหแสดงขอความหรอรปภาพไดตามตองการ ดงนนบาง

เวบไซตปลอมจงทำา URL ใหสงเกตความแตกตางจาก URL จรงไดยาก

2. พงระวงอเมลทขอใหกรอกขอมลสวนบคคล โดยเฉพาะหากเปนอเมลทมาจากสถาบนการเงน ทงน

ธนาคารหลายแหงไดแจงอยางชดเจนวา ธนาคารไมมนโยบายในการขอใหลกคาเปดเผยเลขประจำา

ตว หรอขอมลทมความสำาคญอน ๆ ผานทางอเมลโดยเดดขาด

3. ไมเปดลงกทแนบมาในอเมล เนองจากในปจจบน ผโจมตมเทคนคมากมายในการปลอมชอผสงให

เหมอนมาจากองคกรนนจรง ๆ หากตองการเขาใชงานเวบไซตนน ขอใหพมพ URL ดวยตวเอง

4. สงเกตใหแนใจวาเวบไซตทใชงานเปน HTTPS กอนใหขอมลสวนบคคลทสำาคญ เชน เลขบตรเครดต

หรออน ๆ

5. ลบอเมลนาสงสยออกไป เพอไมใหพลงเผลอกดเปดครงถดไป

6. ตดตงโปรแกรม Anti-Virus, Anti-Spam และ Firewall เนองจากผลพลอยไดอยางหนงของการตด

ตง Firewall คอสามารถทำาการยบยงไมใหโทรจนแอบสงขอมลออกไปจากระบบได นอกจากน ผใช

ควรหมนศกษาและอพเดทโปรแกรมดงกลาวใหเปนรนปจจบนเสมอ

7. หากทานผอานพบเหนเวบไซตหลอกลวงซงมจดประสงคในการขโมยขอมลสวน บคคล สามารถแจง

เหตภยคกคามไดทเจาของบรการเหลานน หรอสงอเมลมาท [email protected] ตลอด 24 ชวโมง

หรอโทร 02-142-2483 ในเวลา 8.30-17.30 ทกวนทำาการ

หากรตววาพลาดทาไปแลว จะทำาอยางไรด? ขอแนะนำาตอไปนเปนสงทผเสยหายควรปฏบตตามโดย

ทนท [10-2]

1. ในกรณทเปนขอมลสำาคญขององคกร ผเสยหายควรแจงเรองไปยงบคคลทเหมาะสมรวมทงผดแลระบบ

เพอเปนการเตรยมมาตราการปกปององคกรตอไป

2. ในกรณทเปนขอมลบญชธนาคาร ผเสยหายควรแจงเรองไปยงธนาคารทใชบรการ และทำาการปดบญช

ทคาดวาสามารถถกขโมยได หรอเฝาระวงการใชงานบญชอยางตอเนอง

3. ทำาการเปลยนรหสผาน ในทกระบบทใชรหสผานเดยวกน และไมกลบมาใชรหสผานนนอก

ถงแม Phishing เปนภยคกคามทสรางความเสยหายมากมาย แตกสามารถระมดระวงตวได หากผใชม

ความตระหนกในการใชงานอนเทอรเนต รวมถงปฏบตตามคำาแนะนำาขางตน


อางอง[10-1] http://www.thaicert.or.th/statistics2011.html

[10-2] http://www.us-cert.gov/cas/tips/ST04-014.html

[10-3] http://www.focus.com/fyi/44-ways-protect-phishing/

[10-4] http://www.theregister.co.uk/2007/02/23/trojan_

phishing_attack/

[10-5] http://www.bustspammers.com/phishing_links.html

[10-6] http://www.scb.co.th/th/about-scb/phishing-mail

[10-7] http://www.kasikornbank.com/TH/Phishing_Website_

Report/Pages/PhishingWebsiteReport.aspx

[10-8] http://www.tmbbank.com/personal/e-banking/popup/Phishing.html

[10-9] http://www.usatoday.com/tech/news/story/2011-10-18/smishing-bank-

scam/50817688/1

[10-10] http://blogs.iss.net/archive/SpearPhishing.html

11 การโจมตผานเวบเบราวเซอรและการปองกน

ผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 11 พ.ค. 2555ปรบปรงลาสด: 11 พ.ค. 2555

เวบเบราวเซอร (Web Browser) หรอเรยกสนๆ วา เบราวเซอร (Browser) คอโปรแกรมทชวยใหผใช

คอมพวเตอรสามารถเขาใชงานเวบไซตได เวบเบราวเซอรจะทำาการแปลงโคดภาษา HTML ใหออกมาแสดง

ผลเปนขอความ รปภาพ เสยง หรอคลปวดโออนๆ ตามทผออกแบบเวบไซตกำาหนด [11-1] ตวอยางเวบเบ

ราวเซอรทไดรบความนยม เชน Internet Explorer, Firefox, Chrome, Safari, Opera ดงรปท 38 (11-1)

รปท 38 (11-1) เวบเบราวเซอรทไดรบความนยม

จากการพฒนาของเทคโนโลย เวบไซตสมยใหมจงไมไดถกใชเพยงแคแสดงขอมลเพยงอยางเดยวอกตอไป

แตไดถกพฒนาใหสามารถทำางานไดหลากหลายมากขน เชน เลนเกม ตกแตงภาพ ตดตอวดโอ จดทำาเอกสาร

[11-2] หรอแมกระทงใชเปนระบบปฏบตการเลยกยงได [11-3] ซงการทำางานตางๆ เหลานกตองอาศยความ

สามารถของเวบเบราวเซอรทมากขนตามไปดวย

จากความสามารถทมากขน ชองโหว และความเสยง กจะเพมมากขนตามไปดวย ปจจบนการโจมต

ผานเวบเบราวเซอรนนมแนวโนมทจะเพมมากขน [11-4] เนองจากเปนสงทผใชอนเทอรเนตทกคนจำาเปน

ตองใช ดงนนการศกษาถงรปแบบภยคกคาม และการรบมอการโจมตจงเปนสงทจำาเปน เพอใหมความมนคง

ปลอดภยในการใชงานอนเทอรเนต


การโจมตผานเวบเบราวเซอรการโจมตผานเวบเบราวเซอร โดยหลกๆ จะมอยดวยกน 3 ชองทาง คอ โจมตผานชองโหวของตวเวบเบ

ราวเซอรเอง โจมตผานชองโหวของปลกอนจากผพฒนาภายนอก และการสราง Extension ทเปนอนตราย

เพอใชในการโจมต

การโจมตผานชองโหวของเวบเบราวเซอร

ในการเขยนโปรแกรมคอมพวเตอร จะมการจองพนทในหนวยความจำาเพอใชในการเกบขอมลชวคราว

พนทดงกลาวเรยกวา Buffer ซงพนทของ Buffer นนมขนาดจำากด หากผเขยนโปรแกรมไมทำาการตรวจสอบ

ขนาดของขอมลทจะนำามาจดเกบ ปลอยใหโปรแกรมเกบขอมลทมขนาดใหญกวาความจของ Buffer ขอมล

ทเกบนนกจะลนออกมา สถานการณเชนนเรยกวา Buffer Overflow ซงขอมลทลนออกมานนกจะไปทบ

กบขอมลสวนอนๆ ทอยในหนวยความจำา เชน โคดของโปรแกรมทกำาลงทำางานอย ทำาใหโปรแกรมทำางาน

ผดพลาดหรอไมสามารถทำางานตอได [11-5]

การโจมตผานชองโหวของเวบเบราวเซอร โดยสวนใหญจะเปนการใชเทคนค Buffer Overflow ผโจมต

จะทำาการสรางขอมลทมขนาดใหญกวาความจของ Buffer ซงภายในบรรจโคดอนตรายไว เมอโปรแกรมโหลด

ขอมลดงกลาวเขามาในหนวยความจำา ขอมลสวนทลนออกมานนกจะไปทบกบสวนทเปนโคดของโปรแกรมท

กำาลง ทำางานอย ทำาใหโคดอนตรายทแฮกเกอรใสเขามานนถกนำาไปประมวลผลแทน ซงเครองคอมพวเตอรท

ตกเปนเหยอกจะตกอยภายใตการควบคมของ แฮกเกอรในทายทสด ตวอยางวดโอการโจมตดวยวธ Buffer

Overflow สามารถดไดจาก http://youtu.be/znO1Mc8EiDE

การโจมตผานชองโหวของปลกอน

ปลกอน (Plugin) คอโปรแกรมทสามารถตดตงเพอใหเวบเบราวเซอรสามารถแสดง

ผลเนอหาอนๆ เพมเตมได ตวอยางปลกอนทไดรบความนยม เชน Adobe Flash Player

ทตดตงเพอใหเวบเบราวเซอรสามารถเลนไฟล Flash ได หรอ Java Runtime ทตดตง

เพอใชงาน Java Application ผานเวบเบราวเซอร เปนตน [11-6]

ปลกอนโดยสวนใหญจะถกพฒนาโดยผพฒนาภายนอก ซงอาจไมมการรบรอง

เรองความมนคงปลอดภย และปลกอนแทบทงหมดจะเปนไฟลโปรแกรมหรอไลบราร

ทเวบเบราวเซอรจะตองโหลดเขามาในทกครงทเปดโปรแกรม เนองจากปลกอนเปน

โปรแกรมทอยภายนอก ทำาใหการทำางานของปลกอนตางๆ นนอยนอกเหนอการ

ควบคมของเวบเบราวเซอร หากปลกอนทตดตงเพมเขามามชองโหว กจะเพมความเสยง

ทจะทำาใหเบราวเซอรถกโจมตผานปลกอนดงกลาวไดดวย ตวอยางวดโอการโจมตผาน

ชองโหวของปลกอนสามารถดไดจาก http://youtu.be/7MvimAN9fQ8 ซงเปนการ

โจมต Mozilla Firefox ผานปลกอน Adobe Reader

การสราง Extension ทเปนอนตราย

Extension คอโปรแกรมเสรมทสามารถตดตงเพมเตมเพอชวยขยายความสามารถในการทำางานของ

เวบเบราวเซอร เชน Extension ทชอ FireFTP ทชวยใหเบราวเซอร Mozilla Firefox สามารถทำางานเปน

โปรแกรม FTP Client ได [11-7]

เนองจาก Extension เปนโปรแกรมททำางานรวมกบเวบเบราวเซอรโดยตรง ทำาใหมผพฒนา Extension

เพอใชสรางความเสยหาย เชน หลอกลวงผใช หรอขโมยขอมล เปนตน ตวอยาง Extension อนตราย เชน

หลอกผใชวาเปนปลกอนปลอมของ YouTube [11-8] หรอสวมรอยโพสตขอความดวยบญช Facebook

ของผใช [11-9] เปนตน

วธการโจมตหากเปนการโจมตผานชองโหวของเวบเบราวเซอรหรอการโจมตผานปลกอน โดยสวนใหญแฮกเกอร

จะสรางเวบไซตทฝงโคดอนตรายไว แลวหลอกลอใหเหยอเขาไปยงเวบไซตนน ทนททเหยอเขาสหนาเวบไซต

โคดดงกลาวกสามารถทำางานไดทนทโดยทเหยอแทบไมรตว ตวอยางการโจมต เชน การฝง Java Script ไว

ในเวบไซตเพอขโมยขอมล เปนตน [11-10]

หากเปนการโจมตผาน Extension ผโจมตจะหลอกลอใหเหยอเปดเขาไปทเวบไซตทมใหดาวนโหลด

Extension มาตดตง โดยจะหลอกวาเปน Extension ทจำาเปนในการใชงานเวบไซต เพอใหเหยอหลงเชอ

และเผลอตดตง Extension ดงกลาว

การโจมตโดยสวนใหญแฮกเกอรจะใชวธสงอเม ลทมลงกใหผใชคลก ซงหากผใชคลกเขาสลงกดงกลาว

กจะตกเปนเหยอโดยทนท ในปจจบนมการพฒนารปแบบการโจมตไปอกขนโดยการโพสตลงกอนตรายไวใน

Social Network และเมอผใชหลงคลกเขาไปกจะถกสวมรอยบญชผใชและเผยแพรลงก อนตรายนนใหกบผ

อนตอไป ตวอยางการเผยแพรลงกอนตรายใน Social Network เปนดงรปท 39 (11-2)

รปท 39 (11-2) ตวอยางการเผยแพรลงกอนตรายใน Social Network [11-11]


การปองกนเนองจากการทจะถกโจมตผานเวบเบราวเซอรไดนน ผทตกเปนเหยอตองเขาไปยงเวบไซตทแฮกเกอร

สรางไวกอน ดงนน การปองกนทงายทสดคอการตรวจสอบความมนคงปลอดภยของเวบไซตปลายทาง กอนท

จะทำาการคลกลงก เชน ถาตองการเปดลงกจากเวบบรการยอ URL ควรนำาลงกนนไปตรวจสอบกบเวบไซตท

ใหบรการขยาย URL เตม เชน http://longurl.org เสยกอนเพอใหแนใจวาปลายทางเปน URL อะไร รวมถง

การตดตงโปรแกรมแอนตไวรสทสามารถสแกนเนอหาในเวบไซต กสามารถชวยปองกนอนตรายจากการโจมต

ผานเวบเบราวเซอรได และสงทสำาคญทสดคอการอพเดทโปรแกรมเวบเบราวเซอรและปลกอนทกตวทตดตง

ใหเปนเวอรชนปจจบนอยเสมอ เพอเปนการปรบปรงชองโหวไมใหแฮกเกอรใชในการโจมตได

อางอง[11-1] http://whatismyipaddress.com/web-browser

[11-2] https://chrome.google.com/webstore

[11-3] http://tech-tweak.com/2011/08/browser-based-operating-systems.html

[11-4] http://www.pcworld.com/businesscenter/article/144490/

hackers_increasingly_target_browsers.html

[11-5] http://www.windowsecurity.com/articles/analysis_of_

buffer_overflow_attacks.html

[11-6] http://www.tech-faq.com/browser-plugins.html

[11-7] http://fireftp.mozdev.org/

[11-8] http://www.thaicert.or.th/alerts/home/2012/al2012ho

0001.html

[11-9] http://www.thaicert.or.th/papers/technical/2012/pp2012

te0005.html

[11-10] http://thehackernews.com/2012/01/one-million-pages-infected-by.html

[11-11] http://www.switched.com/2011/04/04/facebook-photoshop-scam-spreading-like-

wildfire/

12 อพโหลดภาพขนสสงคมออนไลน

เรองงายๆ ทตองระวงผเขยน: ปยเนตร อนทยารกษผใหคำ แนะนำ : เสฏฐวฒ แสนนามวนทเผยแพร: 18 พ.ค. 2555ปรบปรงลาสด: 18 พ.ค. 2555

ในปจจบน การถายภาพแลวอพโหลดขนสอนเทอรเนตกำาลงเปนทนยม โดยเฉพาะการอพโหลดขนไป

บน Social Network ไมวาจะเปน Facebook, Twitter หรอนำาไปโพสตในเวบบอรดตางๆ โดยปกตแลว คน

ทวไปมกเขาใจวาขอมลในรปภาพนนมเพยงแคภาพถายธรรมดา แตนอยคนทจะรวาในภาพนนมขอมลทอาจ

กอใหเกดการละเมดสทธสวนบคคลหรอความเปนสวนตว จนถงขนกอใหเกดอนตรายตอผทถายภาพหรอผ

ทอยในภาพได เชน ขอมลตำาแหนงพกดทอยในเวลาทภาพนนถกถาย เนองจากกลองดจทลหรอโทรศพทมอ

ถอรนใหม จะมความสามารถ GeoTagging [12-1] ซงเปนการใช GPS ในการระบพกดตำาแหนง แลวบนทก

ขอมลเหลานลงใน Metadata ของภาพ โดยทวไปแลว ผทใชงาน Social Network สวนใหญจะไมระบขอมล

สวนตวทสำาคญ เชน บานเลขทของตนเองไวใน Profile แตเมอไหรกตามทผใชถายภาพในบรเวณบานของ

ตนเองแลวโพสตภาพนนขนสอนเทอรเนต กอาจเปนการเปดเผยใหผอนสามารรถทราบทอยของผใชคนนน

ได ดงนน การศกษาเรอง Metadata ในภาพถาย ความสามารถของ GeoTagging และอนตรายทอาจเกด

ขน รวมถงวธปองกนและแกไข กสามารถชวยปองกนไมใหขอมลสำาคญทเปนความลบถกเผยแพรออกไปได

ในการถายภาพนนนอกจากจะมขอมลทเปนตวภาพแลว ยงมสวนทเปน Metadata ซงเปนสวนอธบาย

ขอมลเพมเตมของภาพนนๆ

Metadata คออะไรMetadata คอ ขอมลทใชอธบายรายละเอยดเพมเตมของขอมลหรอสารสนเทศตางๆ เชน ไฟลเอกสาร

จะมสวนแสดงรายละเอยดของไฟล เชน ชอผสรางเอกสาร ชอหนวยงาน ชอคอมพวเตอรทใชสรางเอกสาร

เปนตน หรอแมกระทง ID3 ในไฟล MP3 กจะเกบขอมลชอเพลง ชอศลปน ชออลบม เปนตน ในกรณทเปน

ภาพถายดจทลกจะมขอมลเพมเตมของภาพนนๆ เชน วนและเวลาทถายภาพ การตงคาของกลอง เปนตน [12-2]


Metadata ของภาพถายMetadata ของภาพถาย จะเกบไวในสวนทเรยกวา EXIF (Exchangeable Image File Format) ซง

เปนขอมลทอธบายรายละเอยดคาตางๆ ของรปภาพทถายจากกลองดจทล ดงรปท 40 (12-1) โดยปกตแลว

ไฟลรปภาพทรองรบการใสขอมล EXIF คอไฟลชนด JPEG และ TIFF [12-3] ตวอยางคา EXIF ทสำาคญ เชน

Model – รนของกลอง

Date Time Original – วนเวลาทถายภาพ

GPS - ตำาแหนงทถายภาพ

รปท 40 (12-1) แสดงคา EXIF

จะดคา EXIF ไดอยางไรการดคา EXIF สามารถทำาไดหลายวธ ตวอยางเชนการดภาพจาก Windows Explorer ทำาไดโดยการ

คลกขวาทรปภาพ เลอก Properties และเลอกท Details จะเหนขอมลเพมเตมของภาพนน นอกจากนยงม

โปรแกรมดรปภาพอกมากมายทสามารถดขอมล EXIF ได เชน PhotoScape, Picasa เปนตน

ในสวนของการดคา EXIF ของรปภาพในเวบไซตตางๆ โดยไมตองบนทกรปภาพนนลงในเครอง สามารถ

ทำาไดโดยการตดตง Extension ใหกบเบราวเซอร เชน Google Chrome และ Mozilla Firefox สามารถ

ตดตง Extension ทชอ Exif Viewer เพอดขอมล EXIF ได

จากขอมลในภาพถายทสามารถบงบอกรายละเอยดตางๆ ทเกยวของกบผถายภาพหรอผทอยในภาพได

ทำาใหหลายฝายมความวตกกงวลถงขอมลสวนตวทอาจหลดออกไปเผยแพรสอนเทอรเนต ซงมผลตอความ

เปนสวนตว (Privacy) จนอาจกอใหเกดอนตรายตอชวตและทรพยสนได

Privacy สำ คญอยางไรPrivacy คอ ความเปนสวนตวในการเกบรกษาขอมล หรอการเผยแพรขอมลใหแกผอน ในโลกของ

อนเทอรเนตแลว การนำาขอมลสวนตวขนไปเผยแพรนนเปนสงทตองระมดระวง เนองจากขอมลบางอยาง

อาจสงผลตอภาพลกษณ หนาทการทำางาน หรออาจมผลเสยหายตอชวตและทรพยสนเลยกเปนได [12-4]

ตวอยางกรณศกษาทเกยวของกบ Privacy ทนาสนใจ คอ ภรรยาของหวหนาสายลบท MI6 ไดนำารปภาพ

ทถายกบสามและรปบานของเธอไปโพสตไวใน Facebook ทำาใหบคคลอนลวงรวาสามของเธอเปนสายลบ

พรอมทงรบานเลขท สมาชกในครอบครวและเครอญาต ซงการทขอมลดงกลาวถกเปดเผยทำาใหใหสามของ

เธอไมสามารถทำางานเปน สายลบไดอกตอไป [12-5]

ขอมลในภาพบอกตำ แหนงไดอยางไรในการถายภาพ กลองทมความสามารถ GeoTagging กจะบนทกขอมล GPS ณ ตำาแหนงทถายลงไป

ในภาพดวย และหากมการนำาภาพนนขนสอนเทอรเนตกจะทำาใหผอนสามารถรสถานท ทถายภาพนนได ใน

ปจจบนมเครองมอมากมายทชวยอำานวยความสะดวกในการดขอมลสถานทท ถายภาพ เชน การดขอมลใน

ภาพดวยเวบไซต http://regex.info/exif.cgi ซงนอกจากจะบอกรายละเอยดของ EXIF ของภาพนนแลว ยง

สามารถแสดงภาพถายจากดาวเทยมของสถานทนนไดดวย ดงรปท 41 (12-2) และ 42 (12-3)

รปท 41 (12-2) แสดงถงภาพทจะนำาไปดผานทางเวบไซต http://regex.info/exif.cgi


รปท 42 (12-3) แสดงภาพถายดาวเทยมของตำาแหนงทถายรปท 41 (12-2)

วธปองกนในการถายภาพดวยกลองดจทลหรอโทรศพทมอถอ หากไมมความจำาเปนทจะตองระบขอมลสถานทถาย

ภาพ กควรจะปดการทำางานของ GeoTagging แตหากเปนภาพทถกถายมาแลวและตองการนำาภาพนนขน

สอนเทอรเนต ควรมการปองกนไมใหภาพถายเปดเผยขอมลสวนตวของผใชงาน ซงสามารถทำาไดโดยการลบ

ขอมล EXIF ออกจากภาพนนกอนทจะอพโหลดขนสอนเทอรเนต การลบ EXIF สามารถทำาไดหลายวธ เชน

1. ลบขอมล EXIF โดยใช Windows Explorer ดวยการคลกขวาทไฟลภาพ เลอก Properties และ

เลอกท Details จากนนคลกท Remove Properties and Personal Information เลอกคา EXIF

ทตองการลบ [12-6] ดงรปท 43 (12-4)

รปท 43 (12-4) แสดงการลบขอมล EXIF จาก Windows Explorer

2. ลบขอมล EXIF โดยใชซอฟตแวรททำาขนมาโดยเฉพาะ เชน Exif Tag Remover เปนตน ดงรปท 44

(12-5)

รปท 44 (12-5) แสดงการลบคา EXIF ดวยโปรแกรม Exif Tag Remover

จากความอนตรายของการเปดเผยตำาแหนงทอย ผใชงานควรตรวจสอบขอมลในรปภาพกอนทจะอพโหลด

ขนสอนเทอรเนต เพอใหแนใจวาขอมลนนสามารถถกเผยแพรได หากพบขอมลทไมเหมาะสมกไมควรทจะ

โพสตภาพนนหรอหากจำาเปนตองโพสต กควรทำาการลบขอมล EXIF ออกจากภาพ เพอปองกนการเผยแพร

ขอมลสำาคญออกไปโดยไมตงใจ เพราะถาหากเผลอปลอยใหขอมลดงกลาวถกเผยแพรออกไปแลว การทจะ

ลบหรอแกไขความผดพลาดนนอาจจะไมสามารถทำาไดเลย

อางอง[12-1] http://en.wikipedia.org/wiki/Geotagging

[12-2] http://graphicssoft.about.com/od/glossary/f/metadata.htm

[12-3] http://www.cipa.jp/english/hyoujunka/kikaku/pdf/DC-008-2010_E.pdf

[12-4] http://en.wikipedia.org/wiki/Privacy

[12-5] http://www.dailymail.co.uk/news/article-1197562/MI6-chief-blows-cover-wifes-

Facebook-account-reveals-family-holidays-showbiz-friends-links-David-Irving.html

[12-6] http://www.labnol.org/software/remove-photograph-metadata/19588/


13 ปองกนบญชผใช gMail / hoTMail

จากการถกแฮกดวยวธงายๆผเขยน: ณราพร ดวงศรผใหคำ แนะนำ : เจษฎา ชางสสงขวนทเผยแพร: 1 ม.ย. 2555ปรบปรงลาสด: 1 ม.ย. 2555

อเมลนบเปนสงจำาเปนทเขามามบทบาทและมความสำาคญตอชวตประจำาวนของเราเปนอยางมาก เพราะ

เปนวธการตดตอสอสารทรวดเรวและแทบจะไมมตนทน หลายคนเกบขอมลสำาคญไวในอเมลหรอใชอเมลใน

การตดตอทางดานธรกจ ซงหากผใชเขาใชงานอเมลผานการเชอมตอทไมมความมนคงปลอดภย กอาจทำาให

บญชผใชนนถกโจรกรรมไดโดยงาย

Gmail และ Hotmail เปนบรการฟรอเมลทมผนยมใชกนมากเปนอนดบตนๆ (ในป ค.ศ. 2011 ทวโลก

มจำานวนของผใชงาน Hotmail ประมาณ 350 ลานคน และ Gmail ประมาณ 260 ลานคน) [13-1] ผเขยน

จงไดเลอกบรการอเมลเหลานมาแนะนำาเพอใหผอานไดปฏบต ในปจจบนนน ถงแมวาผใหบรการจะมระบบ

ทมความมนคงปลอดภยอยแลว แตตวผใชเองกควรทจะเรยนรขอปฏบตเบองตนรวมถงวธการปองกน แบบ

ตางๆ เพอปองกนปญหาทอาจจะเกดขน ดวยวธการตางๆ ดงน

1. การตงคา Gmail ใหมการยนยนแบบ 2 ขนตอน (2-step verification)

เปนการใช Two Factor Authentication [13-2] ซงเปนวธการพสจนตวตนทตองใชขอมล 2 สวนรวมกน

เพอเพมความมนคงปลอดภยใหกบการเขาสระบบหรอบรการ โดยหลกๆ แลวจะใชขอมลจาก 2 ใน 3 สวนนคอ

1) สงทร (Something you know) เชน รหสผาน

2) สงทม (Something you have) เชน โทรศพทมอถอ, รหสบตรเตมเงน

3) สงทเปน (Something you are) เชน ลายนวมอ, มานตา

การยนยนอเมลแบบ 2 ขนตอน [13-3] [13-4] ชวยลดโอกาสในการถกขโมยขอมลสวนตวในบญชอเมล

ของเราลงได เพราะตอใหใสชอผใชและรหสผานถกตองแลว กยงไมสามารถเขาถงบญชอเมลได จนกวาจะใส

รหส Pin 6 หลกทไดรบจาก SMS ผานโทรศพทมอถอทลงทะเบยนไวกบ Google เสยกอน การตงคาการ

ยนยนยนยนดวยวธนสามารถทำาไดโดยไปท การตงคาบญช และเลอก 2-step verification ตามรปท 45

(13-1) แลวทำาตามขนตอนของเวบไซต

รปท 45 (13-1) แสดงการตงคาการยนยนแบบ 2 ขนตอน

ทมา http://googleblog.blogspot.com/2011/02/advanced-sign-in-security-for-your.html

ในการใชงาน หากเราตงคาการยนยนแบบ 2 ขนตอนแลวนน เมอเราเขาสระบบดวยชอผใชและรหส

ผานทถกตอง จะม SMS แจงรหส Pin 6 หลก เพอใหเรานำามาปอนเขาระบบกอนจงจะสามารถเขาใชงาน

อเมลได ตามรปท 46 (13-2) และสามารถเลอกบนทกรหสผานไวในเครองได 30 วน สวน Hotmail นนใน

ปจจบนนยงไมมฟงกชนทรองรบ Two Factor Authentication

รปท 46 (13-2) แสดงการเขาใชงานเมอมการตงคาการยนยนแบบ 2 ขนตอน

ทมา http://googleblog.blogspot.com/2011/02/advanced-sign-in-security-for-your.html


นอกจากการรบรหส Pin 6 หลกผาน SMS แลว ยงสามารถใชวธการรบรหสดวยการให Google โทรศพท

เขามาแจงหมายเลข Pin หรอผทใช Smart Phone สามารถตดตงแอปพลเคชนทชอ Google Authenticator

เพอสรางรหส Pin สำาหรบเขาใชงาน Gmail ไดดวย

2. การใชงาน Hotmail แบบ HTTPSปจจบน คาเรมตนในการใชงาน Gmail จะเปนการใชงานผานโพรโทคอล HTTPS แตสำาหรบ Hotmail

จะใชงานผานโพรโทคอล HTTP ซงไมมการเขารหสลบขอมล ดงนนการใชงานใหมความมนคงปลอดภยควร

ตงคาใหใชงานผานโพรโทคอล HTTPS ซงเปนการเขารหสลบขอมลดวยโพรโทคอล TLS/SSL (Transport

Layer Security/Secure Sockets Layer) การตงคาการเชอมตอแบบ HTTPS ทำาไดโดยการคลกท ตง

คาบญชผใช (Account) ทหนา Account Overview ในหวขอ Other options ใหคลก Connect with

HTTPS [13-5] ตามรปท 47 (13-3) หลงจากทำาการตงคาเสรจเรยบรอยแลว จะทำาใหการรบสงขอมลบน

เวบไซต Hotmail ถกเขารหสลบเสมอ

รปท 47 (13-3) (1) แสดงการตงคาการใชงาน Hotmail แบบ HTTPS เขารหสลบ (2) แสดง URL ทมการตงคา HTTPS แลว

3. คำ แนะนำ ในการตงคาโปรแกรมอเมลไคลเอนตในการรบสงอเมลจาก Gmail

โปรแกรมอเมลไคลเอนต (Email client) คอโปรแกรมทใชรบและสงอเมล โดยมโปรแกรมทไดรบความ

นยม เชน Microsoft Outlook, Thunderbird เปนตน ในการรบสงอเมลจากโปรแกรมอเมลไคลเอนต จะ

รบอเมลดวยโพรโทคอล POP3, IMAP และสงอเมลดวยโพรโทคอล SMTP โดยการทจะเชอมตอเพอใชงาน

เมลไคลเอนตนน ควรมการเชอมตอผานชองทางทมการเขารหสลบขอมลดวย ซงในปจจบนบรการ Gmail

และ Hotmail เองกมการเขารหสลบขอมลทกครงทมการรบสงดวยโพรโทคอล SSL/TLS ทรองรบทง POP,

IMAP และ SMTP ซงโพรโทคอลทรบสงมความหมายเบองตนดงน

POP (Post Office Protocol) เปนโพรโทคอลทใชในการรบอเมลจากเซรฟเวอร ปจจบนเวอรชนลาสด

คอ POP3 การทำางานของ POP เปนการอานอเมลแบบออฟไลน คออเมลทเขามาจะถกเกบอยในเซรฟเวอร

เมอใชโปรแกรมอเมลไคลเอนตในการเขาใชงานอเมล จะทำาการดาวนโหลดอเมลมาเกบไวในเครองของเรากอน

จงจะสามารถอานอเมลได และสามารถกลบมาอานอเมลเดมไดในภายหลง แมไมไดเชอมตอกบอนเทอรเนต

หรอหากวาเราทำาการลบอเมลใดในโปรแกรมอเมลไคลเอนต อเมลนนทางเซรฟเวอรกจะยงคงอย

IMAP (Internet Message Access Protocol) เปนโพรโทคอลทใชในการรบอเมลจากเซรฟเวอร

ปจจบนเวอรชนลาสดคอ IMAP4 การทำางานของ IMAP จะแตกตางกบ POP3 เนองจาก IMAP เปนโพรโท

คอลทสนบสนนการอานอเมล ทงแบบออฟไลนและออนไลน โดยแบบออนไลนนน จะเปนการโตตอบกบ

เซรฟเวอร คอเมอใชโปรแกรมอเมลไคลเอนตในการเขาใชงานอเมล กเหมอนเราเขาใชงานผานทางเวบเบ

ราวเซอร หากวาเราทำาการลบอเมลในเครองอเมลไคลเอนต ทางเซรฟเวอรกจะลบอเมลนนดวย นอกจากน

ยงสามารถเลอกดาวนโหลดเฉพาะอเมลทเราตองการไดดวย

SMTP (Simple Mail Transfer Protocol) เปนโพรโทคอลทใชในการสงอเมลในเครอขายอนเทอรเนต

สำาหรบในกรณทเราตองการนำา Gmail หรอ Hotmail ไปใชกบโปรแกรมอเมลไคลเอนตนน สามารถปฏบต

ตามคำาแนะนำา ซงในทนจะยกตวอยางการตงคา Thunderbird เพอใชงานรวมกบ Gmail สวน Hotmail

นนมการตงคาทคลายคลงกน ผอานสามารถประยกตการใชงาน ดงตวอยางดงน

ตวอยางการตงคา Thunderbird ใหรองรบ POP, IMAP และ SMTP ใน Gmail

กอนทจะทำาการตงคาใหกบโปรแกรมไคลเอนต เราตองตงคา POP/IMAP ในบญชอเมลของเรากอน

โดยเปดการใชงาน SSL จากนนจงทำาการตงคาโปรแกรมอเมลไคลเอนต เปนดงรปท 48 (13-4), 49 (13-5)

และ 50 (13-6)

การตงคาสำาหรบ IMAP

Server Name : imap.gmail.com

User Name : ทอยอเมล ([email protected] หรอ username@your_domain.

com)

Port : 993 (ใชไดทง Gmail และ Hotmail)

Password : รหสผาน


รปท 48 (13-4) แสดงการตงคา IMAP ใหกบโปรแกรมอเมลไคลเอนต

การตงคาสำาหรบ POP

Server Name : pop.gmail.com


com)

Port : 995 (ใชไดทง Gmail และ Hotmail)


รปท 49 (13-5) แสดงการตงคา POP ใหกบโปรแกรมอเมลไคลเอนต

การตงคาสำาหรบ SMTP

Server Name : smtp.gmail.com


com)

Port : 465 หรอ 587 (สำาหรบ Gmail) และ 25 (สำาหรบ Hotmail)


รปท 50 (13-6) แสดงการตงคา SMTP ใหกบโปรแกรมอเมลไคลเอนต

4. การตรวจสอบขอมลกจกรรมในบญชอเมลอยางสมำ เสมอ

การตรวจสอบขอมลกจกรรมในบญชอเมล [13-6] เปนบรการของ Gmail ซงทำาใหผใชสามารถเชคไดวา

มผอนเขาใชงานอเมลของเราโดยไมได รบอนญาตหรอไม และยงสามารถตรวจสอบ IP Address ของเครอง

ทใชในการเขาสบญชอเมลของเราไดอกดวย

การเรยกดขอมลกจกรรมของบญชอเมล ทำาไดโดยการเขาสระบบ Gmail จากนนเลอนลงมาทกจกรรม

ลาสดของบญชและคลกทรายละเอยด ภายในกจกรรมลาสดของบญชจะแสดงประเภทของการเขาถง (เชน

เบราวเซอร, มอถอ, POP) ตำาแหนง ( IP Address ของเครองทใชในการเขาสบญชอเมล) มการระบประเทศ

และวน/เวลา ของกจกรรมทเกดขนในอเมลของเรา ตามรปท 51 (13-7) หากพบวาม IP Address อนทไมรจก

หรอวน/เวลา ทเราไมไดเขาใชงาน อาจเปนสญญาณบอกวาบญชของเราถกแฮก ใหทำาการเปลยนรหสผานทนท


รปท 51 (13-7) แสดงตารางขอมลกจกรรมของบญชอเมล

5. ขอควรระวงในการเขาใชงานจากเครองคอมพวเตอรสาธารณะ

ในการใชงานเครองคอมพวเตอรสาธารณะ เราไมสามารถรไดเลยวาเครองนนมซอฟตแวรอะไรตดตง

อยบาง บางเครองอาจมโปรแกรม Keylogger แอบแฝงอย ซงเปนโปรแกรมทจะคอยดกจบการใชงานตางๆ

เชน การกดปมคยบอรด [13-7] หากเราทำาการลอกอนเขาใชงานบญชอเมลผานเครองคอมพวเตอรสาธารณะ

ทมโปรแกรม Keylogger อย ขอมลชอผใชและรหสผานของเราหรอทกอยางทเราพมพลงไปกจะถก บนทก

ไวทงหมด หากจำาเปนตองใชคอมพวเตอรสาธารณะในการเชคอเมล ควรใชวธการพมพผาน On-Screen

Keyboard [13-8] ซงเปนโปรแกรมทจำาลองการทำางานของคยบอรด โดยการใชเมาสคลกแทนการกดปมใน

คยบอรด ทำาใหเราสามารถปอนขอมลตางๆ ไดเหมอนการพมพในคยบอรดจรง ซงจะชวยปองกนซอฟตแวร

Keylogger ได โปรแกรม On-Screen Keyboard จะถกตดตงมาพรอมกบระบบปฏบตการ Windows ตงแต

XP ขนไป สามารถเรยกใชงานไดตามรปท 52 (13-8) แตหากไมมกสามารถดาวนโหลดโปรแกรม On-Screen

Keyboard ของผพฒนาภายนอกมาตดตงเพมเตมได

รปท 52 (13-8) (1) แสดงการเรยกใชโปรแกรม On Screen Keyboard ในระบบปฏบตการวนโดวส 7 (2) ตวอยางของ

โปรแกรม On Screen Keyboard

6. การตงรหสผานททำ ใหคาดเดาไดยากการตงรหสผานทดกเปนสงสำาคญในการทจะปองกนอเมล เพราะ จะทำาใหยากตอการคาดเดา หรออาจตอง

ใชเวลานานมาก สวนการตงรหสผานทไมด จะทำาใหผทไมประสงคด สามารถเขาสระบบของเราไดโดยงาย (ศกษา

การตงคารหสผานเพมเตมไดท http://www.thaicert.or.th/papers/normal/2012/pp2012no0005.html)

คำ แนะนำ เบองตนในการการตงรหสผาน

1. ใชอกษรไมตำากวา 6-8 ตวอกษร

2. ไมใชรหสผานซำากบทเคยใชไปแลวในระบบอนๆ หรอ เหมอนกบชอบญช หรอ ชอ-นามสกลของ

ผใช เปนตน

3. รหสผานควรประกอบดวยตวอกษรหลากหลายตวผสมกนเชน ตวพมพเลก, ตวพมพใหญ, ตวเลข

และอกขระพเศษ

4. ใชคำาทไมปรากฏในพจนานกรม หรอหาความหมายไมได

5. ควรเปลยนรหสผานใหบอยทสดเทาททำาได เชน อยางนอย 3 เดอนตอครง


นอกจากการตงรหสผานทดแลว ผใชเองกมสวนในการปองกนดวย เชน

ไมจดชอบญช / รหสผาน ใสกระดาษ

ไมบอก ชอบญช / รหสผาน กบใคร ไมวาจะทางใดกตาม

ไมใชตวเลอกในเบราวเซอรในการชวยจำารหสผาน

สรปผทใชงานอเมล ไมวาจะในดานธรกจ หรอตดตอสอสารขอมลทวไปก ควรทจะเรยนรขอปฏบตทเปน

ประโยชนในการเสรมสรางความมนคงปลอดภยในการใชงาน เพอเปนการปองกนการถกแฮกอเมลจากผไม

หวงด ซงอาจใชบญชของเราในการเขาถงขอมลสวนบคคล หรออาจนำาไปใชในการสรางความเสยหายอนๆ

ทไมคาดคดได

อางอง[13-1] http://www.email-marketing-reports.com/metrics/email-statistics.htm

[13-2] http://www.rsa.com/glossary/default.asp?id=1056

[13-3] http://support.google.com/accounts/bin/topic.py?hl=

en&topic=28786

[13-4] http://googleblog.blogspot.com/2011/02/advanced-sign-in-security-for-your.html

[13-5] http://windows.microsoft.com/th-TH/hotmail/hacked-account-faq

[13-6] http://support.google.com/mail/bin/answer.py?hl=

th&answer=45938&topic=1669043&ctx=topic

[13-7] http://compnetworking.about.com/od/

networksecurityprivacy/g/keylogger.htm

[13-8] http://windows.microsoft.com/en-us/windows7/Type-without-using-the-

keyboard-On-Screen-Keyboard

14 wEb bRowSER กบการปองกน

PhiShing wEbSiTEผเขยน: ไพชยนต วมกตะนนทนวนทเผยแพร: 29 มถนายน 2555ปรบปรงลาสด: 29 มถนายน 2555

สำาหรบผทใชบรการธนาคารทางอนเทอรเนตคงจะเคยเหนคำาเตอนใหระวงเวบไซต หลอกลวงหรออเมล

หลอกลวงทธนาคารแตละแหงประกาศเตอน บางทานทอยในแวดวง IT อาจจะทราบดอยแลววาปจจบน

อาชญากรทางอนเตอรเนตไดหนมาประกอบ อาชญากรรมในรปแบบทหวงผลกำาไรมากขนกวาแตกอน การ

สรางเวบไซตปลอมของธนาคารทางอนเตอรเนตเพอหลอกลวงผใชงานกเปน รปแบบหนงททำารายไดใหกบ

อาชญากรทางคอมพวเตอรอยางสำาคญ เนองจากหากมผทตกเปนเหยอของการหลอกลวงรปแบบนกเทากบ

วา อาชญากรคอมพวเตอรสามารถเขาถงบญชเงนฝากของเหยอในธนาคารไดโดยตรงนนเอง

อาชญากรรมทใชเวบไซตหลอกลวงแบบนเรยกวา Phishing ซงรายละเอยดผเขยนจะไมขอกลาวซำาอก

เนองจากไดมการอธบายอยแลว ท http://www.thaicert.or.th/papers/normal/2012/pp2012no0007.

html ซงทานผอานกคงไดเหนแลววาเปนภยคกคามทสำาคญในโลกอนเตอรเนต อยางไรกตาม นอกจากธนาคาร

ตางๆ จะมการประชาสมพนธคำาเตอนในเรองนใหแกลกคา เพอเปนการเพมความตระหนกร (Awareness)

แลว ผสราง Web browser เอง ทง Mozilla foundation, Microsoft, Google, Apple หรอ Opera

software ตางกไมไดนงนอนใจเชนกน โดยไดเพมความสามารถในการตรวจสอบและแจงเตอนผใชงาน หาก

มการพยายามเขาถงเวบไซตหลอกลวงเหลานมาตงแตป 2006 โดยเรมจาก Firefox เวอรชน 2, Internet

Explorer เวอรชน 7 และ Opera เวอรชน 9.1 ตวอยางการแจงเตอนเปนดงรปท 53 (14-1)


รปท 53 (14-1) ตวอยางการแจงเตอนเมอผใชงานพยายามเขาถงเวบไซตหลอกลวง ของ Firefox เวอรชน 13

กลไกการปองกนของบราวเซอรเหลานดจะเปนปจจยสำาคญทชวยปองกนไม ใหผใชงานตกเปนเหยอ

ของ Phishing อยางไดผล นอกจากเวบไซตหลอกลวงแลว กลไกเหลานยงสามารถปองกนผใชจากเวบไซตท

ม Malware อยไดอกดวย แตเพราะเหตใดจงยงมขาววามผตกเปนเหยอของการหลอกลวงแบบนไดอยเสมอ

ถาจะหาคำาตอบในเรองน เราตองมาทำาความเขาใจกบการทำางานของกลไกเหลานกอน

การท Web browser จะรไดวาเวบไซตใดเปนเวบไซตหลอกลวงหรอไมนน Web browser ไมไดใช

กลไกการตรวจสอบทำาซบซอนอะไรเลย ความจรงแลว Web browser ใชวธเปรยบเทยบ URL ทผใชกำาลง

จะเขาถงกบรายการของเวบไซตหลอกลวงทมการรวบรวมไวลวงหนา แหลงขอมลของรายการเวบไซตหลอก

ลวงเหลานไดแก Google, Phishtank และ Netcraft เปนตน ซงแตละแหลงขอมลกอาจมแหลงทมาและ

กระบวนการทำางานภายในแตกตางกน

ดงนน ในบางกรณ เวบไซตหลอกลวงแหงหนงอาจจะไมถกตรวจพบใน Web browser ตวหนงวาเปน

Phishing site ขณะท Web browser อกตวหนงอาจจะตรวจพบไดแลวเตอนผใชไดอยางถกตอง ทงนกขน

อยกบแหลงขอมลท Web browser ตวนนเลอกใชนนเอง วามการปรบปรงขอมลรวดเรวเพยงใด นอกจากน

เนองจากเวบไซตหลอกลวงเหลานเกดขนใหมทกวน หรอถาจะกลาวใหถกตองคอเกดขนไดวนละหลายๆ เวบไซต

ทำาใหเปนเรองทเขาใจไดวาเวบไซตหลอกลวงจำานวนหนงจะยงไมปรากฏอย ในแหลงขอมลใดๆ เปนระยะเวลา

หนง ซงในชวงเวลานเอง ผใชงานเวบจำานวนไมนอยกอาจตกเปนเหยอของการหลอกลวงไปเรยบรอยแลว

สำาหรบผใชงานทมการอพเดทเวอรชนของ Web browser อยเสมอกคงวางใจไดวา จะไดรบการแจง

เตอน Phishing site และเวบไซตอนตรายตางๆ จาก Web browser ทใชงานอยอยางแนนอน และนอกจาก

นน Web browser เวอรชนใหมๆ มกจะปดชองโหวดานความมนคงปลอดภยอนๆ ทอาจจะมในเวอรชนเกาๆ

อกดวย อยางไรกตาม สำาหรบผทมเหตผลบางประการทไมสามารถอพเดทเวอรชนของ Web browser ได

อยางนอยเพอใหมนใจวา Web browser ทใชงานอย สามารถแจงเตอนเวบไซตอนตรายได ควรเลอกใหแนใจ

วา Web browser เปนรนทออกแจกจาย (Release) หลงจากป 2006 เชน

Firefox เวอรชน 2 ขนไป (ขณะทเขยนบทความเปนเวอรชน 13)

Internet Explorer เวอรชน 7 ขนไป (ขณะทเขยนบทความเปนเวอรชน 9)

Opera เวอรชน 9.1 ขนไป (ขณะทเขยนบทความเปนเวอรชน 11.64)

Chrome จะมความสามารถในการเตอนเวบไซตอนตรายมาตงแตเวอรชนแรกแลว (ขณะทเขยน

บทความเปนเวอรชน 20.0.1132.43)

ไมวาธนาคารหรอผสราง Web browser หรอแมแตผรกษากฎหมายจะมมาตรการใดในการปองกน

เวบไซตหลอกลวงกตาม ความสำาคญของเรองนกยงคงตกแกผใชทจำาเปนจะตองมความระมดระวงในการใช

บรการตางๆ บนอนเตอรเนต และในกรณทมขอสงสยโดยเฉพาะกรณ Internet banking เชนน ควรตดตอ

สอบถามกบธนาคารของทานโดยตรงผานชองทางทนาเชอถอกอนทกครง


15 Man-in-ThE-MiddlE 102 -

PaRT 1 : aRP SPoofผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 27 ก.ค. 2555ปรบปรงลาสด: 27 ก.ค. 2555

ในบทความ Man-in-the-Middle 101 ผเขยนไดกลาวถงการโจมตดวยวธ Man-in-the-Middle ซง

เปนวธการโจมตทมผไมหวงดเขามาแทรกตรงกลางระหวางคสนทนา ทำาใหสามารถรบรขอมลทคสนทนากำาลง

คยกนอยได นอกจากนนยงไดกลาวถงเทคนคการโจมตในรปแบบตางๆ ทนำาหลกการ Man-in-the-Middle

มาประยกตใช เชน Man-in-the-Browser หรอ Man-in-the-Mailbox เปนตน

สำาหรบบทความ Man-in-the-Middle 102 นจะกลาวถงวธการโจมตแบบหลกๆ ทผไมหวงดนยมใช

พรอมทงเสนอวธการตรวจสอบและปองกนตวจากการโจมตดวยวธดงกลาว โดยจะแบงเนอหาออกเปน 3

ตอนดวยกน คอ ARP Spoof, DNS Spoof และ SSL Spoof ตามลำาดบ ซงในบทความตอนท 1 นจะเปน

สวนของการโจมตดวยวธ ARP Spoof แตกอนทจะทำาความรจกกบการโจมตดวยวธทกลาวไปแลวนน จำาเปน

ตองเขาใจกลไกการทำางานของ Internet Protocol และ ARP Protocol เสยกอน

Internet Protocolการตดตอสอสารในระบบเครอขายอนเทอรเนต จะทำาผาน Internet Protocol (IP) ซงจะใช IP Address

ในการอางถงอปกรณทเชอมตออย โดยแตละอปกรณจะม IP Address ไมซำากน IP Address ทใชงานอย

ในปจจบนคอเวอรชน 4 (IPv4) โดยจะประกอบดวยตวเลข 4 ชด แบงตามเครองหมาย . เชน 192.168.0.1

แตเนองจากปญหาของ IPv4 ทจำานวน IP Address ทรองรบไดไมเพยงพอกบความตองการใชงานทมเพม

มากขนเรอยๆ จงไดมการพฒนา IP เวอรชน 6 (IPv6) ขนมาเพอใชงานแทน โดยประกอบดวยตวเลขและตว

อกษร 6 ชดแบงตามเครองหมาย : เชน 2ac1:db8:0:5678:0:123:4:1 [15-1] เนองจาก IP Address เปน

คาทผใหบรการแจกจายใหกบผใชบรการเมอเชอมตอเขากบระบบเครอขาย ดงนนคา IP Address ของแตละ

เครองจงอาจไมคงท เพราะสามารถถกเปลยนแปลงไดเมอมการเชอมตอใหม

อปกรณทสามารถเชอมตอกบระบบเครอขายได จะถกกำาหนดคา MAC (Media Access Control) มา

ตงแตโรงงานทผลต ซงเปนคาประจำาตวทใชในการอางองถงอปกรณนนๆ ในทางทฤษฎแลว แตละอปกรณ

จะตองมคา MAC ไมซำากน โดยคา MAC Address จะประกอบดวยตวเลขหรอตวอกษร 6 ชด แบงตาม

เครองหมาย - หรอ : เชน 01-23-45-67-89-ab หรอ 01:23:45:67:89:ab [15-2]

ความสมพนธระหวาง IP Address และ MAC Ad-dress

เนองจาก MAC Address เปนคาประจำาตวของอปกรณนนๆ และยงสามารถใชระบตวอปกรณโดยตรง

ได จงเรยกไดอกอยางวาเปน Physical Address ในขณะท IP Address เปนคาทกำาหนดขนมาเพอใชอางอง

ถงอปกรณนนๆ ในขณะทเชอมตออปกรณเขากบระบบเครอขาย จงเรยกไดอกอยางวาเปน Logical Address

การสงขอมลใน OSI Layer 2 จะอางองถงอปกรณทเชอมตออยโดยใช MAC Address แตการสงขอมล

ใน OSI Layer 3 จะอางองถง IP Address ดงนนเมอเครองทอยในระบบเครอขาย ตองการตดตอกบเครอง

อนๆ ทอยในเครอขายเดยวกน จงจำาเปนตองทราบขอมล IP Address และ MAC Address ของเครองทจะ

ตดตอดวย เพอใหสามารถสอสารกนได

ARP คออะไร ARP ยอมาจาก Address Resolution Protocol เปนโพรโทคอลทใชในการคนหา MAC Address ของอปกรณ

จาก IP Address การทำางานของ ARP หากมเครองในเครอขายตองการตดตอกบเครองอน โดยทราบแค IP Address

แตไมทราบ MAC Address ของเครองปลายทาง เครองทตองการตดตอกจะสง ARP Request แบบ Broadcast

ออกไปในเครอขาย เพอสอบถามวาเครองทม IP ดงกลาวม MAC Address เปนอะไร พอเครองทม IP ตรงกบทระบ

ไดรบ ARP Request กจะสง ARP Reply (หรอ ARP Response) ตอบ MAC Address ของตวเองกลบไป [15-3]

สมมตวาระบบเครอขายมการเชอมตอดงรปท 54 (15-1)

รปท 54 (15-1) อปกรณในระบบเครอขาย


เมอเครองคอมพวเตอร A ทม IP 192.168.0.2 ตองการตดตอกบเครองคอมพวเตอรทม IP 192.168.0.3

แตยงไมทราบ MAC Address ของเครองปลายทาง จงสง Packet ออกไปในระบบเครอขายแบบ Broadcast

(Destination MAC เปน ff:ff:ff:ff:ff:ff) โดยภายใน Packet จะม ARP Request ทระบ Destination MAC

เปน 00:00:00:00:00:00 ดงรปท 55 (15-2)

รปท 55 (15-2) เครองคอมพวเตอร A สง ARP Request

เมอเครองคอมพวเตอร B ไดรบ ARP Request และพบวามการระบ Destination IP เปน IP Address

ของตวเอง จงสง ARP Reply เพอบอก MAC Address ของตวเองกลบไป ดงรปท 56 (15-3)

รปท 56 (15-3) เครองคอมพวเตอร B สง ARP Reply

เมอเครองคอมพวเตอร A ไดรบ ARP Reply กจะทราบไดวาเครองคอมพวเตอรทม IP 192.168.0.3 ม MAC

Address เปน 00:03:04:cc:dd:ee และจะเกบขอมลทหาไดไวใน ARP Table หากตองการตดตอกบเครองทม IP

192.168.0.3 อกในครงถดไป กสามารถระบขอมลในชอง Destination MAC เปน 00:03:04:cc:dd:ee ไดทนท

ARP Table หรอ ARP Cache เปนตารางทใชบนทกขอมลของเครองทเคยตดตอแลว ขอมลหลกๆ ทจดเกบ

คอ IP Address และ MAC Address [15-4] ตวอยาง ARP Table เปนดงรปท 57 (15-4) อยางไรกตาม

ขอมลใน ARP Table จะถกลบทงเมอปดเครองหรอปดการทำางานของ Interface Card

รปท 57 (15-4) ตวอยาง ARP Table

หากเปนการคนหา IP Address จาก MAC Address จะทำาโดยใชโพรโทคอล RARP (Reverse ARP)

ซงมการทำางานเหมอน ARP แตทำาตรงขามกน โดยจะระบ Destination IP เปน 0.0.0.0 และฝงรบกจะสง

RARP Reply ตอบ IP Address ของตวเองกลบมา [15-5]

ARP Spoofเนองจากการทำางานของ ARP จะมการสง ARP Request ออกไป แลวรอใหม ARP Reply ตอบกลบ

มา ถาหากวาระหวางทกำาลงรอคำาตอบอยนนมผไมหวงดตอบ ARP Reply ปลอมๆ สงไปให ผทไดรบกจะ

ไมสามารถทราบไดวา ARP Reply นนไมไดมาจากตวจรง และจะบนทกขอมล MAC Address ทไมถกตอง

นนไวใน ARP Table การสง ARP Reply ปลอมออกไปนนเรยกวา ARP Spoof หรอ ARP Cache Poison

[15-6] [15-7]

ตวอยาง การทำา ARP Spoof เครองคอมพวเตอร A สง ARP Request ออกไปถามวาเครองทม IP

Address 192.168.0.1 ม MAC Address เปนเทาไหร แตถกเครองคอมพวเตอร C แยงสง ARP Reply

ตอบ MAC Address ของตวเองมาใหกอนทเครองตวจรงจะตอบ ARP Reply กลบมาไดทน ดงนนเมอเครอง

คอมพวเตอร A ไดรบ ARP Reply ดงกลาวกจะเขาใจวาเครองคอมพวเตอร C เปนเครองทตองการตดตอ

ดวยจรง ดงรปท 58 (15-5)

รปท 58 (15-5) ตวอยาง ARP Table


ตวอยางโปรแกรมทสามารถทำา APR Spoof ได เชน ARPspoof, Cain & Abel, Ettercap, Dsniff

เปนตน จดประสงคของการทำา ARP Spoof มไดหลากหลาย เชน อาจจะทำา Man-in-the-Middle เพอดก

รบขอมล หรอบลอกไมใหเครองคอมพวเตอรในระบบเครอขายเชอมตอกบอนเทอรเนต ได โดยการสง ARP

Reply บอก Gateway ปลอมออกไป เปนตน ซงวธการดงกลาวนถกใชในโปรแกรมชอ NetCut [15-8]

การตรวจสอบและปองกน ARP Spoofการทำา ARP Spoof จะทำาไดกตอเมอเครองของผโจมตและเครองของเหยออยในเครอขาย

เดยวกน แตการตรวจสอบ ARP Spoof ในระบบเครอขายนนทำาไดยาก เนองจากโพรโทคอล ARP

ไมไดถกออกแบบมาเพอใหตรวจสอบความถกตองของผรบและผสงตงแตแรก อยางไรกตาม ไดมผ

พฒนาเครองมอเพอชวยวเคราะหความผดปกตในระบบเครอขายซง อาจเกดจาก ARP Spoof ได

เชน โปรแกรม arpwatch หรอ ArpON เปนตน ซงทง 2 โปรแกรมนเปนซอฟตแวร Open Source

การปองกนตวเบองตนจาก ARP Spoof สามารถทำาไดโดยการทำา Static ARP ซงเปนการระบคา IP Address

และ MAC Address ลงไปใน ARP Table ดวยตนเอง [15-9] ซงสามารถทำาไดโดยใชคำาสง

arp -s <IP ADDRESS> <MAC ADDRESS>

เชน เครองคอมพวเตอร A สามารถเพมเครองคอมพวเตอร B ลงใน ARP Table ดวยการใชคำาสงดานลาง

arp -s 192.168.0.3 00:03:04:cc:dd:ee

อยางไรกตาม การทำา Static ARP อาจไมสะดวกในการใชงานกบระบบเครอขายขนาดใหญ เพราะหาก

มเครองคอมพวเตอรอยในระบบจำานวนมากกตองเพม Static ARP ใหกบเครองเหลานนในทกครงทเปดเครอง

รวมถงผทใชงานอนเทอรเนตสาธารณะหรอผทเชอมตอผานบรการอนเทอรเนตของทพก (ทไมใช Broadband

สวนตว) กอาจไมสามารถทราบขอมล IP Address หรอ MAC Address ของเครองทสำาคญในระบบเครอ

ขาย เชน Gateway หรอ DNS Server ได

อางอง[15-1] http://mashable.com/2011/02/03/ipv4-ipv6-guide/

[15-2] http://compnetworking.about.com/od/

networkprotocolsip/l/aa062202a.htm

[15-3] http://wiki.wireshark.org/AddressResolutionProtocol

[15-4] http://linux.about.com/od/lna_guide/a/gdelna50.htm

[15-5] http://wiki.wireshark.org/RARP

[15-6] http://resources.infosecinstitute.com/mitm-arp/

[15-7] http://www.windowsecurity.com/articles/Understanding-Man-in-the-Middle-

Attacks-ARP-Part1.html

[15-8] http://www.arcai.com/arcai-netcut-faq.html

[15-9] http://www.dummies.com/how-to/content/cisco-networking-static-arp-entry-

managment.html


http://ee.lbl.gov/

http://arpon.sourceforge.net/

http://mashable.com/2011/02/03/ipv4-ipv6-guide/

http://compnetworking.about.com/od/networkprotocolsip/l/aa062202a.htm

http://compnetworking.about.com/od/networkprotocolsip/l/aa062202a.htm

http://wiki.wireshark.org/AddressResolutionProtocol

http://linux.about.com/od/lna_guide/a/gdelna50.htm

http://wiki.wireshark.org/RARP

http://resources.infosecinstitute.com/mitm-arp/

http://www.windowsecurity.com/articles/Understanding-Man-in-the-Middle-Attacks-ARP-Part1.html

http://www.windowsecurity.com/articles/Understanding-Man-in-the-Middle-Attacks-ARP-Part1.html

http://www.arcai.com/arcai-netcut-faq.html

http://www.dummies.com/how-to/content/cisco-networking-static-arp-entry-managment.html

http://www.dummies.com/how-to/content/cisco-networking-static-arp-entry-managment.html

16 การใช PgP เพอการสอสารอยาง

มนคงปลอดภยบนระบบปฏบตการ MaC oS Xผเขยน: ธงชย ศลปวรางกรวนทเผยแพร: 31 กรกฎาคม 2555ปรบปรงลาสด: 31 กรกฎาคม 2555

PGP (Pretty Good Privacy) เปนโปรแกรมทสรางขนเพอใชในการเขารหสลบ (Encryption) ถอดรหส

ลบ (Decryption) และลงลายมอชอ (Sign) ในการรบสงขอมลประเภทตาง ๆ โดยเฉพาะอเมล ผอานสามารถ

ศกษาขอมลเพมเตมเกยวกบ PGP รวมถงการใชงาน PGP บนระบบปฏบตการ Windows ไดจาก http://

www.thaicert.or.th/papers/normal/2011/email_security_with_pgp.pdf เนองจากในทนจะกลาว

ถงแตเพยงการตดตงและการใชงาน PGP บนระบบปฏบตการ Mac OS X สำาหรบผใชทวไปเทานน

การตดตง GPGToolsเกยวกบ GPGTools

GPGTools เปนชดโปรแกรมทประกอบดวยโปรแกรมตาง ๆ ดงน

MacGPG: โปรแกรมหลกของชดโปรแกรม GPGTools ซงพอรตมาจากโปรแกรม GnuPG เพอให

สามารถตดตงและใชงานบนระบบปฏบตการ Mac OS X ไดอยางสะดวก

GPG Keychain Access: โปรแกรมจดการกญแจ

GPGMail: สวนเสรมของโปรแกรม Mail.app สำาหรบเขา-ถอดรหสลบและลงลายมอชอบนอเมล

Enigmail: สวนเสรมของโปรแกรม Thunderbird สำาหรบเขา-ถอดรหสลบและลงลายมอชอบน

อเมล

GPGServices: สวนเสรมของเซอรวสเมนในระบบปฏบตการ Mac OS X สำาหรบเขา-ถอดรหสลบ

ลงลายมอชอ และตรวจสอบลายมอชอของไฟลหรอโฟลเดอร

GPGPreferences: สวนการตงคาเบองตนของชดโปรแกรม GPGTools ใน System

Preferences

หมายเหต

โปรแกรม MacGPG, GPG Keychain Access และ GPGMail รองรบระบบปฏบตการเวอรชน

10.5 (Leopard) เปนตนไป

โปรแกรม GPGServices และ GPGPreferences รองรบระบบปฏบตการเวอรชน 10.6 (Snow

Leopard) เปนตนไป

โปรแกรม Enigmail รองรบโปรแกรม Thunderbird เวอรชน 3 ขนไป

ตวอยางการตดตง GPGTools บนระบบปฏบตการ Mac OS X 10.7 (Lion)

1. ดาวนโหลดตวตดตงชดโปรแกรม GPGTools จาก https://www.gpgtools.org/

installer

หมายเหต: เนองจากโปรแกรมบางตวในชดโปรแกรม GPGTools เวอรชนปจจบน (2012.03.18) ยงอยใน

สถานะ Alpha หรอ Beta ซงอาจพบปญหาบางอยางระหวางการใชงาน เชน การคนหากญแจสาธารณะ

จากเซรฟเวอร ดงนนผอานสามารถดาวนโหลด Nightly Builds ซงคอมไพลจาก source code

เวอรชนลาสดทยงไมไดทดสอบการใชงานมาตดตงทดลองใชแทนไดจาก http://nightly.gpgtools.org

2. ดบเบลคลกทไอคอนของตวตดตง จะพบกบหนาตางทดงรปท 59 (16-1) ให

ดบเบลคลกท GPGTools.mpkg

รปท 59 (16-1) หนาตางหลกของตวตดตงชดโปรแกรม GPGTools


3. หนาตางใหมจะปรากฏขนดงรปท 60 (16-2) ใหคลกปม Continue หลงจาก

นนตวตดตงอาจแจงเตอนผใชในกรณทมการเปดโปรแกรมอน ๆ ทเกยวของกบ

การตดตง GPGTools เชน Mail.app ใหปดโปรแกรมดงกลาวกอนแลวคลกปม

Continue

รปท 60 (16-2) หนาตางเรมตนตดตงโปรแกรม

4. หนาตางใหมจะปรากฏขนดงรปท 61 (16-3) ใหเลอกดสกทปกตใชงานเปนหลก

ในการตดตงโปรแกรม โดยทวไปคอดสกทตดตงระบบปฏบตการ Mac OS X มก

อยในตำาแหนงแรกของลสตทใหเลอก และมลกศรสเขยวซงหมายถงสามารถตดตง

โปรแกรมลงในดสกนนได จากนนคลกปม Continue

รปท 61 (16-3) หนาตางเลอกดสกปลายทางทจะตดตงโปรแกรม

5. หนาตางใหมจะปรากฏขนดงรปท 62 (16-4) ใหเลอกโปรแกรมทตองการตดตง

ในทนจะเลอกตดตงทกโปรแกรม จากนนคลกปม Continue

รปท 62 (16-4) หนาตางเลอกโปรแกรมทตองการจะตดตง

6. หนาตางใหมจะปรากฏขนเพอใหยนยนการตดตง ใหคลกปม Install จากนนจะ

มหนาตาง pop-up ขนมาดงรปท 63 (16-5) ใหพมพรหสของบญชผใชระบบ

แลวคลกปม Install Software


รปท 63 (16-5) หนาตางยนยนการตดตงโปรแกรม

7. รอสกครจนกระทงระบบตดตงโปรแกรมเสรจจะพบกบหนาตางดงรปท 64 (16-

6) ใหคลกปม Close หรอสามารถดตวอยางการใชงานเบองตนจากเวบไซตของ

ผพฒนาโปรแกรมโดยคลกท Read the Quickstart Tutorial หนาตางใหมจะ

เปดขนในเวบเบราวเซอร

รปท 64 (16-6) หนาตางเสรจสนการตดตงโปรแกรม

การใชงาน GPGToolsการสรางคกญแจ

1. เปดโปรแกรม GPG Keychain Access (ปกตจะถกตดตงอยใน /Applications)

จะพบกบหนาตางหลกของโปรแกรมดงรปท 65 (16-7) จะเหนวาในรายการของ

กญแจจะมกญแจสาธารณะของผพฒนาชดโปรแกรม GPGTools เปนคาเรมตน

เมอตดตงโปรแกรมใหม ใหคลกทไอคอน New

รปท 65 (16-7) หนาตางหลกของโปรแกรม GPG Keychain Access

2. หนาตางใหมจะปรากฏขนดงรปท 66 (16-8) ใหระบชอและอเมล โดยในสวน

ของ Advanced options สามารถระบ comment, อลกอรทมทใชในการเขา-

ถอดรหสและลงลายมอชอ, ความยาวของกญแจ และวนทคกญแจหมดอายการ

ใชงาน จากนนคลกปม Generate key


รปท 66 (16-8) หนาตางระบคาเรมตนเพอสรางคกญแจใหม

3. หนาตางใหมจะปรากฏขนดงรปท 67 (16-9) ใหระบ passphrase หรอรหส

สวนตวสำาหรบใชงานคกญแจ ควรมความยาวไมตำากวา 8 ตวอกษร มตวเลขและ

อกขระพเศษผสมอย เมอระบคาเสรจแลวใหคลกปม OK จากนนโปรแกรมจะให

ระบ passphrase ซำาอกครง ใหทำาเชนเดม

รปท 67 (16-9) หนาตางระบ passphrase ของคกญแจ

โปรแกรมจะใชเวลาในการสรางคกญแจสกคร ระหวางนโปรแกรมจะแนะนำาใหผใชพมพตวอกษร เลอน

เมาส หรอใชงานดสกเพอทำาใหสามารถสรางคกญแจไดดขน เมอสรางคกญแจเสรจแลวจะพบวามกญแจใหม

ในรายการ โดยกญแจทผใชสรางเองจะเปนตวพมพหนาดงรปท 68 (16-10)

รปท 68 (16-10) หนาตางหลกแสดงคกญแจใหมทถกสรางขน

คอลมนในรายการของกญแจมดงน

Type: ชนดของกญแจ โดย pub คอกญแจสาธารณะ (public key), sec คอกญแจสวนตว

(secret key), sub คอกญแจยอย (subkey) และ uid คอ user ID เปนชอของบคคลหรอ

องคกรทใชงานกญแจนน ๆ โดยอาจมหลายชอในกญแจดอกเดยวกน

Name: ชอเจาของกญแจ

E-mail: อเมลของเจาของกญแจ

Created: วนทสรางกญแจ

Length: ความยาวของกญแจ

Algorithm: อลกอรทมทใชเขา-ถอดรหสหรอลงลายมอชอของกญแจ

Short ID: หมายเลขประจำากญแจสำาหรบใชอางอง

Comment: รายละเอยดเกยวกบกญแจ

การแลกเปลยนกญแจสาธารณะกญแจสาธารณะนนถกนำาไปใชงานอยสองกรณดวยกน นนคอ กรณทผทมาตดตอนำากญแจสาธารณะ

ของเราไปใชในการเขารหสอเมลกอนทจะสงมาให ซงเราสามารถเปดอานอเมลทไดรบโดยใชกญแจสวนตว

ของเราเอง และอกกรณคอใชในการตรวจสอบวาอเมลทไดรบนนมาจากผสงจรง โดยการตรวจสอบจากลาย

เซนดจทล (digital signature) ทผสงเซนมาในอเมล

การสงกญแจสาธารณะ

การสงกญแจสาธารณะใหกบผรบสามารถทำาไดหลายวธ เชน

สงเปนสวนหนงของขอความทจะสงใหผอน โดยการคดลอกกญแจสาธารณะทอยในรปของ ASCII

Armor (รปแบบขอความพเศษท PGP แปลงจากขอมล binary ตามทระบไวในมาตรฐาน

RFC 2440) เรมจาก -----BEGIN PGP PUBLIC KEY BLOCK----- จนถง -----END PGP

PUBLIC KEY BLOCK----- แลวใสตอทายขอความทจะสงใหผอน

สงเปนไฟล เรมจากหนาตางหลกของโปรแกรม GPG Keychain Access เลอกกญแจทตองการสง

แลวคลกทไอคอน Export จากนนเลอกสถานทปลายทางทตองการเซฟไฟล เลอก Format

เปน ASCII ไมตองเชคเครองหมายถกท Allow secret key export แลวคลกปม Save ดง

รปท 69 (16-11) จะไดไฟลนามสกล .asc ใหสงไฟลดงกลาวไปใหผอน เชน แนบไปพรอมกบ

อเมล


รปท 69 (16-11) หนาตางเลอกสถานทปลายทางทจะเซฟกญแจสาธารณะ

สงผานเซรฟเวอรบรการกญแจสาธารณะ (keyserver) เรมจากไปทเมน GPG Keychain Access ->

Preferences หนาตางใหมจะปรากฏขนดงรปท 70 (16-12) ใหเลอกแทบ Keyserver จากนนพมพ hkp://

keys.gnupg.net ลงในชองวางแลวปดหนาตาง

รปท 70 (16-12) หนาตางระบ URL ของ keyserver

จากนนในหนาตางหลก คลกขวาทกญแจทตองการจะอพโหลดแลวเลอก Send to Keyserver ดงรป

ท 71 (16-13)

รปท 71 (16-13) การอพโหลดกญแจทตองการสงไปยงเซรฟเวอร

การคนหาและนำ เขากญแจสาธารณะจากเซรฟเวอรบรการกญแจสาธารณะ1. เปดโปรแกรม GPG Keychain Access แลวไปทเมน Key -> Search for Key หรอกดปม Command

+ F บนคยบอรด

2. หนาตางใหมจะปรากฏขนดงรปท 72 (16-14) เราสามารถคนหากญแจโดยระบชอเจาของกญแจหรอ

อเมลเจาของกญแจ เมอระบคาเสรจแลวใหคลกปม Search key

รปท 72 (16-14) หนาตางคนหากญแจจากเซรฟเวอรบรการกญแจสาธารณะ

3. หากคนหากญแจพบจะไดผลลพธคลายกบรปท 73 (16-15) ใหเชคเครองหมายถกหนากญแจทตองการ

นำาเขาสโปรแกรมแลวคลกปม Retrieve key


รปท 73 (16-15) หนาตางแสดงรายชอกญแจทคนพบบนเซรฟเวอร

การนำาเขากญแจสาธารณะยงสามารถทำาไดโดยการไปทหนาตางหลกของโปรแกรม GPG Keychain

Access คลกทไอคอน Import แลวเลอกไฟลกญแจทตองการนำาเขาจากโฟลเดอรทเกบไฟลไว หรอคลก

ขวาทไฟลกญแจทตองการนำาเขาแลวเลอกเมน Services -> OpenPGP: Import Key from File (กรณา

ศกษาวธการใชงาน GPGServices เพมเตมจากหวขอ “การเขารหส ถอดรหส ลงลายมอชอ และตรวจสอบ

ลายมอชอของไฟลหรอโฟลเดอร”)

การตรวจสอบและกำ หนดระดบความนาเชอถอของกญแจสาธารณะของผอน

เราควรตรวจสอบกญแจสาธารณะของผอนทนำาเขามาวาถกตองและเปนของจรงหรอไม เพอทจะลง

ลายมอชอและกำาหนดระดบความนาเชอถอของกญแจนน ๆ กอนทจะนำาไปใชงาน เรมจากการเปรยบเทยบ

คา fingerprint ของตวกญแจกบคาทเจาของกญแจไดแจงไวดงน

1. จากหนาตางหลกของโปรแกรม GPG Keychain Access คลกขวาทกญแจสาธารณะของผอนทจะ

ตรวจสอบ แลวเลอก Show info ดงรปท 74 (16-16)

รปท 74 (16-16) การเลอกดรายละเอยดของกญแจ

2. หนาตางใหมจะปรากฏขนดงรปท 75 (16-17) เลอกแทบ Key แลวเปรยบเทยบคา fingerprint ท

พบในหมวด Key กบคาทเจาของกญแจไดแจงไว หากมคาตรงกนใหทำาขนตอนตอไป

รปท 75 (16-17) หนาตางแสดงรายละเอยดของกญแจ

3. ลงลายมอชอกญแจ โดยการไปทหนาตางหลกของโปรแกรม GPG Keychain Access คลกขวาท

กญแจทผานการตรวจสอบ fingerprint แลวเลอก Sign ดงรปท 76 (16-18)

รปท 76 (16-18) การเลอกกญแจทจะลงลายมอชอ

4. หนาตางใหมจะปรากฏขนดงรปท 77 (16-19) ใหเลอกกญแจสวนตวของเราทจะใชลงลายมอชอ และ

เลอกวาไดตรวจสอบกญแจทจะถกลงลายมอชอในระดบใด จากนนคลกปม Generate signature


รปท 77 (16-19) หนาตางการลงลายมอชอกญแจสาธารณะ

5. เมอลงลายมอชอแลวใหกำาหนดระดบความนาเชอถอของกญแจดงกลาว โดยการดรายละเอยดของ

กญแจ (คลกขวาทกญแจแลวเลอก Show info) จากนนเลอกแทบ Key แลวดในหมวด Other จะ

พบกบสวนของ Ownertrust ทสามารถกำาหนดระดบความนาเชอถอดงรปท 78 (16-20) เมอกำาหนด

เสรจแลวใหปดหนาตาง

รปท 78 (16-20) หนาตางแสดงเมนกำาหนดระดบความนาเชอถอของกญแจ

ระดบความนาเชอถอทสามารถกำ หนดไดมดงน

Undefined: ไมกำาหนดระดบความนาเชอถอ

Never: ไมเชอถอ

Marginal: เชอถอเลกนอย โดยกญแจดงกลาวจะมความนาเชอถอเมอมผอนกำาหนดความนาเชอ

ถอในระดบ Marginal เชนเดยวกนจำานวน 3 คน

Full: เชอถอ

Ultimate: เชอถออยางยง ควรกำาหนดระดบความนาเชอถอนกบกญแจของตวเองเทานน

การเขารหส ถอดรหส และลงลายมอชอของอเมลในชดโปรแกรม GPGTools มโปรแกรม GPGMail ทำาใหสามารถใชงาน PGP บนโปรแกรม Mail.app

ทมาพรอมกบระบบปฏบตการไดอยางสะดวก ตวอยางตอไปนจะแสดงการเขารหสและการลงลายมอชอของ

อเมลกอนทจะสงไปยงผรบ รวมถงการถอดรหสเมอผรบไดรบอเมล

1. หลงจากนำาเขากญแจสาธารณะของผรบอเมลแลว ขณะกำาลงสงอเมลไปยงผรบดวยโปรแกรม Mail.

app ใหคลกปมรปแมกญแจเพอเขารหส และคลกปมทอยดานขางปมรปแมกญแจใหเปนรปเครองหมาย

ถกเพอลงลายมอชอ เมอคลกแลวแถบขอความ OpenPGP ทอยมมขวาบนจะกลายเปนสเขยวดงรป

ท 79 (16-21)

รปท 79 (16-21) การเปดใชงานการเขารหสและลงลายมอชอของอเมล

2. เมอคลกปมสงอเมลแลวจะพบกบหนาตางดงรปท 80 (16-22) ใหระบ passphrase ของกญแจของ

ผสงอเมล จากนนคลกปม OK

รปท 80 (16-22) หนาตางระบ passphrase ของกญแจของผสงอเมล


3. เมอผรบทใชโปรแกรม Mail.app เปดอานอเมลทไดรบ จะพบกบหนาตางเชนเดยวกบขอ 2 ใหระบ

passphrase ของกญแจของผรบอเมลแลวคลกปม OK

การเขารหส ถอดรหส ลงลายมอชอ และตรวจสอบลายมอชอของไฟลหรอโฟลเดอร

นอกจากการเขา-ถอดรหสและลงลายมอชอของอเมลแลว โปรแกรม GPGServices ทมาพรอมกบชด

โปรแกรม GPGTools ยงชวยใหเราสามารถกระทำาการดงกลาวกบไฟลหรอโฟลเดอรไดเชนเดยวกน ในการ

ใชงานสวนนแนะนำาใหดาวนโหลดโปรแกรม Growl จาก http://growl.info/downloads (ราคา $1.99

สำาหรบระบบปฏบตการเวอรชน 10.7 (Lion) หรอดาวนโหลดฟรสำาหรบเวอรชนทเกากวา) หรอดาวนโหลด

โปรแกรมฟรชอ Growl Fork จาก https://bitbucket.org/pmetzger/growl/downloads สำาหรบระบบ

ปฏบตการเวอรชน 10.7 (Lion) ขนไป ซงเปนโปรแกรมแจงสถานะการทำางานของโปรแกรมอน ๆ มาตดตง

กอน จากนนใหตรวจสอบวาระบบไดเปดการทำางาน GPGServices หรอไม โดยไปท System Preferences

-> Keyboard แลวเลอกแทบ Keyboard Shortcuts จากนนเลอก Services จากชองดานซาย แลวดวา

รายการในชองดานขวาทขนตนดวย OpenPGP มการเชคเครองหมายถกหรอไมดงรปท 81 (16-23)

รปท 81 (16-23) ตรวจสอบการเปดใชงานของ GPGServices

การเขารหสไฟลหรอโฟลเดอร

1. คลกขวาทไฟลหรอโฟลเดอรทตองการเขารหส แลวเลอกเมน Services -> OpenPGP: Encrypt File

ดงรปท 82 (16-24)

รปท 82 (16-24) การเลอกเมนเพอเขารหสไฟลหรอโฟลเดอร

2. หนาตางใหมจะปรากฏขนดงรปท 83 (16-25) ใหเชคเครองหมายถกหนากญแจของผรบ นอกจากน

ยงสามารถเลอกกญแจสวนตวของผสงและเชคเครองหมายถกท Sign เพอลงลายมอชอยนยนวาไฟล

หรอโฟลเดอรดงกลาวถกสงมาจากผสงจรง จากนนคลกปม OK

รปท 83 (16-25) หนาตางสำาหรบเลอกผรบไฟลหรอโฟลเดอร

3. หนาตางใหมจะปรากฏขน ใหระบ passphrase ของกญแจของผสงแลวคลกปม OK รอสกครจน

ระบบเขารหสเสรจจะมขอความแสดงบนหนาจอวา “Encryption finished” ตามดวยชอของไฟล

ทถกเขารหสแลว และจะพบวามไฟลทถกเขารหสแลวเพมขนมาโดยมชอไฟลเดยวกนกบไฟลตนฉบบ

แตมนามสกลของไฟลเปน .gpg (ในกรณของโฟลเดอร โฟลเดอรจะถกบบอดเปนไฟล .zip กอนทจะ

ถกเขารหส)

การถอดรหสไฟลหรอโฟลเดอร

1. คลกขวาทไฟลหรอโฟลเดอรทตองการถอดรหส แลวเลอกเมน Services -> OpenPGP: Decrypt

File ดงรปท 84 (16-26)


รปท 84 (16-26) การเลอกเมนเพอถอดรหสไฟลหรอโฟลเดอร

2. หนาตางใหมจะปรากฏขน ใหระบ passphrase ของกญแจของผรบแลวคลกปม OK รอสกครจน

ระบบถอดรหสเสรจจะมขอความแสดงบนหนาจอวา “Decryption finished” ตามดวยชอของไฟล

ทถกถอดรหส หากไฟลดงกลาวมการลงลายมอชอกจะมการตรวจสอบโดยอตโนมต และหากถกตองก

จะมขอความแสดงบนหนาจอวา “Verification for <ชอไฟล> Signed (ชอผสง <อเมลของผสง>)”

และจะพบวามไฟลใหมเพมขนมาซงเปนไฟลทถอดรหสแลว

การลงลายมอชอบนไฟลหรอโฟลเดอร

1. คลกขวาทไฟลหรอโฟลเดอรทตองการลงลายมอชอ แลวเลอกเมน Services -> OpenPGP: Sign

File ดงรปท 85 (16-27)

รปท 85 (16-27) การเลอกเมนเพอลงลายมอชอบนไฟลหรอโฟลเดอร

2. หนาตางใหมจะปรากฏขนดงรปท 86 (16-28) ใหเลอกกญแจทจะเซนลายมอชอบนไฟลหรอโฟลเดอร

จากนนคลกปม Choose Key

รปท 86 (16-28) หนาตางสำาหรบเลอกกญแจทจะเซนลายมอชอบนไฟลหรอโฟลเดอร

3. หนาตางใหมจะปรากฏขน ใหระบ passphrase ของกญแจของผสงแลวคลกปม OK รอสกครจน

ระบบลงลายมอชอเสรจจะมขอความแสดงบนหนาจอวา “Signing finished” ตามดวยชอไฟลท

ถกลงลายมอชอ และจะพบวามไฟลลายมอชอเพมขนมาโดยมชอไฟลเดยวกนกบไฟลตนฉบบ แตม

นามสกลของไฟลเปน .sig (ในกรณของโฟลเดอร จะมนามสกล .zip.sig ตอทายชอไฟล)

การตรวจสอบลายมอชอของไฟลหรอโฟลเดอร


1. นำาไฟลลายมอชอทมนามสกล .sig ไปไวในทเดยวกนกบไฟลทจะตรวจสอบ จากนนคลกขวาทไฟลท

ตองการตรวจสอบลายมอชอ แลวเลอกเมน Services -> OpenPGP: Verify Signature of File ดง

รปท 87 (16-29)

รปท 87 (16-29) การเลอกเมนเพอตรวจสอบลายมอชอของไฟลหรอโฟลเดอร

2. ระบบจะตรวจสอบสกคร หากลายมอชอดงกลาวเปนของไฟลทจะตรวจสอบจรง จะมขอความแสดง

บนหนาจอวา “Verification for <ชอไฟล> Signed (ชอผสง <อเมลของผสง>)”

อางอง[16-1] http://en.wikipedia.org/wiki/Binary-to-text_encoding

[16-2] http://en.wikipedia.org/wiki/Pretty_Good_Privacy

[16-3] http://support.gpgtools.org/kb/how-to

[16-4] http://tools.ietf.org/html/rfc2440

[16-5] http://www.robertsosinski.com/2008/02/18/working-with-pgp-and-mac-os-x

17 Man-in-ThE-MiddlE 102 -

PaRT 2 : dnS SPoofผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 31 ส.ค. 2555ปรบปรงลาสด: 31 ส.ค. 2555

จากทผเขยนไดนำาเสนอถงวธการโจมตแบบ Man-in-the-Middle และไดอธบายการโจมตดวยวธ ARP

Spoof ไปแลวในบทความกอนหนา จะสงเกตไดวา การโจมตโดยวธ Man-in-the-Middle นน เปนการใช

ชองโหวของการตรวจสอบขอมลทรบสง ซงทำาใหผไมหวงดสามารถแทรกตวเขามาเพอดกรบหรอปลอมแปลง

ขอมลท อยระหวางการสอสารได ในบทความ Man-in-the-Middle 102 ตอนท 2 นจะกลาวถงการโจมต

ดวยวธ DNS Spoof หรอการปลอมแปลง DNS

DNS คออะไรเครองคอมพวเตอรในระบบอนเทอรเนต จะตดตอสอสารกนผานทาง IP Address เชน 122.248.233.179

เปนตน ซงหาก IP Address ดงกลาวนเปนของเครองเซรฟเวอรทใหบรการเวบไซต ผใชกสามารถพมพ IP

Address นลงในชอง Address Bar ของเบราวเซอรเพอเขาถงเวบไซตนได แตอยางไรกตาม การใช IP Address

ในการเขาถงเวบไซตนนจำายากและไมสะดวกในการใชงาน จงมการคดคนสงทเรยกวา Domain Name ขน

มา ซงเปนการใชชอทเปนตวอกษรทมความหมายในการเรยกแทน IP Address เชน www.thaicert.or.th

สามารถใชเรยกแทน IP Address 122.248.233.179 ได เปนตน การทำางานของระบบดงกลาวนเปรยบไดกบ

การจดบนทกรายชอผตดตอลงใน สมดโทรศพท ซงเปนการแทนทหมายเลขโทรศพทดวยชอของผตดตอทจำา

งายกวา โพรโทคอลทใชในการสบคน Domain Name เพอหา IP Address ทสมพนธกบ Domain Name

นน เรยกวา Domain Name System (DNS) [17-1]

การทำ งานของ DNS


http://en.wikipedia.org/wiki/Binary-to-text_encoding

http://en.wikipedia.org/wiki/Pretty_Good_Privacy

http://support.gpgtools.org/kb/how-to

http://tools.ietf.org/html/rfc2440

http://www.robertsosinski.com/2008/02/18/working-with-pgp-and-mac-os-x

เพอใหเขาใจหลกการทำางานของ DNS งายขน จะขออธบายลำาดบการทำางานของเครองคอมพวเตอร

เมอผใชตองการเขาใชงาน เวบไซตไทยเซรต โดยเมอผใชพมพ www.thaicert.or.th ทชอง Address Bar

ของเบราวเซอร จะมการทำางานดงน

1. คนหาขอมลจากไฟล hosts ไฟล hosts เปนไฟลทใชสำาหรบกำาหนดคา IP Address และ Domain

Name โดยปกตแลวระบบปฏบตการตางๆ จะเกบไฟล hosts ไวทตำาแหนงดงน

Windows อยท Windows\System32\drivers\etc\hosts

Mac OS X อยท /private/etc/hosts

Linux อยท /etc/hosts

ไฟล hosts เปนไฟลขอความธรรมดา สามารถใชโปรแกรม Text Editor เปดขนมาเพอดหรอแกไขได ดง

รปท 88 (17-1) อยางไรกตาม การแกไขไฟลดงกลาวนสามารถทำาไดเฉพาะผทมสทธของผดแลระบบ เทานน

หากเครองคอมพวเตอรไมพบขอมลของ www.thaicert.or.th ในไฟล hosts กจะไปคนขอมลจาก DNS Table

รปท 88 (17-1) ตวอยางขอมลในไฟล hosts ในระบบปฏบตการ Windows 72. คนหาขอมลจาก DNS Table

DNS Table หรอ DNS Cache ใชในการเกบขอมล Domain Name และ IP Address ทเคยคนหามา

แลว เพอทจะไดไมตองสอบถามกบ DNS Server เมอตองการเรยกใชงาน Domain Name นอกในครงถด

ไป การตรวจสอบขอมลใน DNS Table สามารถทำาไดดงน

Windows ใชคำาสง ipconfig /displaydns

Mac OS X ใชคำาสง dscacheutil -cachedump -entries

Linux โดยปกตแลวจะไมมการทำา DNS Table แตในบาง Distro อาจมการตดตงโปรแกรมเพมเตม

เพอมาจดการในสวนน เชน โปรแกรม nscd (Name Service Cache Daemon)

รปท 89 (17-2) ตวอยางขอมล DNS Table ในระบบปฏบตการ Windows 7

หากเปดเครองขนมาใหม ระบบจะยงไมมขอมลใน DNS Table เครองคอมพวเตอรจะตองสอบถามกบ

DNS Server เพอขอทราบ IP Address ของ Domain Name นน

3. คนหาขอมลจาก DNS Server

DNS Server เปนเครองเซรฟเวอรทมฐานขอมลของ Domain Name และ IP Address โดยปกตแลว

การตงคา DNS Server จะถกกำาหนดมาใหจาก ISP หรอ Router ในตอนทผใชเชอมตอเขากบระบบเครอ

ขาย ตวอยางการตงคา DNS Server เปนดงรปท 90 (17-3) อยางไรกตาม ผใชสามารถกำาหนดการตงคา

DNS Server เองได


รปท 90 (17-3) ตวอยางการตงคา DNS Server ในระบบปฏบตการ Windows 7

ในการทำางาน เมอเครองของผใชสง DNS Query ไปหา DNS Server ผาน UDP Port 53 โดยระบ

Domain Name ทตองการหาขอมล เครองเซรฟเวอรจะคนหา Domain Name นนในฐานขอมล หากพบ

กจะสง DNS Response ตอบ IP Address กลบไปให [17-2] ตวอยาง DNS Query และ DNS Response

เปนดงรปท 91 (17-4)

รปท 91 (17-4) ตวอยาง DNS Query และ DNS Response (ทมา WindowsSecurity.com)

อยางไรกตาม ขนตอนการทำางานของ DNS นนไมมการตรวจสอบความถกตองของขอมลทรบสง จง

เปนชองโหวใหผไมหวงดโจมตผานจดนไดโดยการทำา DNS Spoof

DNS Spoofการทำา DNS Spoofing หรอ DNS Cache Poisoning คอการเปลยนขอมลของ DNS ใหวงไปท IP

Address ปลายทางทอนทไมใชของจรง ซงวธการโจมตแบบนจะสงเกตเหนความผดปกตไดยาก เนองจาก

ใน Address Bar ของเบราวเซอรจะแสดง URL ทถกตอง แตเวบไซตปลายทางนนไมใชเวบไซตทแทจรง จด

ประสงคหลกๆ ของการโจมตดวยวธนอาจจะเปนการขโมยขอมลหรอเพอเผยแพรมลแวร [17-3] ตวอยาง

การโจมตดวยวธ ARP Spoof เชน

แกไขไฟล hosts

เนองจากไฟล hosts เปนไฟลขอความธรรมดา จงสามารถใชโปรแกรม Text Editor

เปดขนมาแกไขได ดงนนหากมการแกไขไฟลดงกลาวโดยใส Domain Name และ IP

Address ทไมมอยจรงลงไป กจะไมสามารถเขาใชงานเวบไซตทม Domain Name ดง

กลาวได หรอหากมผไมหวงดแกไขไฟล hosts โดยให Domain Name ของเวบไซตใดๆ

ชไปท IP ของเวบไซตอนกสามารถทำาไดเชนกน ซงการแกไขขอมลในไฟล hosts เพอ

ใหชไปทเวบไซตอน อาจเกดจากการกระทำาของผไมหวงดหรออาจเกดจากมลแวรกได

จากชองโหวดงกลาวน ทาง Microsoft จงไดเพมระบบปองกนการแกไขไฟล hosts ใน Windows 8 โดยจะมโปรแกรม Windows Defender คอยตรวจสอบวามการแกไขคา DNS ของเวบไซตสำ คญๆ เชน Facebook.com ในไฟล hosts หรอไม หากพบกจะลบขอมลนนออกเพอใหปองกนไมใหผใชถกหลอกลวงจากเวบไซตปลอม อยางไรกตาม ผใชยงสามารถปดการทำ งานของระบบดงกลาวนได [17-4] การปลอมแปลง DNS ดวยการแกไขไฟล hosts เรยกวา Local DNS Spoofing กำ หนดคาใหตดตอไปยง DNS Server ปลอม

เนองจากการทำางานของ DNS ตองมการตดตอไปยง DNS Server เพอขอขอมล

IP Address ของเวบไซตทตองการเขาชม ดงนนจงมผไมหวงดพฒนามลแวรขนมาเพอ

เปลยนแปลงการตงคา DNS Server ในเครองของผใชใหวงมาทเครอง DNS Server


ของผสรางมลแวร ตวอยางมลแวรทโจมตดวยวธการน เชน DNS Changer [17-5]

สง DNS Response ปลอม

เนองจากการตดตอขอขอมล IP Address จากเครอง DNS Server จำาเปนตองมการสง DNS Request

ออกไปแลวรอใหเซรฟเวอรตอบ DNS Response กลบมา ในระหวางทกำาลงรอคำาตอบจากเครอง DNS Server

อยนน หากมผไมหวงดสง DNS Response ตอบ IP Address ทไมถกตองกลบมาให เครองคอมพวเตอรกจะ

เขาใจวาคำาตอบนนเปน IP Address จรงของ Domain Name ทตองการตดตอดวย ตวอยางโปรแกรมทใชใน

การโจมตดวยวธน เชน dsniff หรอ ettercap ดงรปท 92 (17-3) การโจมตดวยวธการสง DNS Response

ปลอม เรยกวา Remote DNS Spoofing

รปท 92 (17-3) ตวอยางโปรแกรม ettercap

การตรวจสอบและปองกนการตรวจสอบวาถกโจมตดวยวธ DNS Spoof หรอไมนนอาจทำาไดยาก เนองจากเปนวธการโจมต

ทแนบเนยนและแทบจะไมเหนความผดปกต อยางไรกตาม ผใชอาจตรวจสอบขอมลจากไฟล hosts ของ

เครองวามการตงคา Domain Name ทมลกษณะผดปกตบางหรอไม รวมทงอาจตรวจสอบจากการตงคา

DNS Server ในเครองดวย

นอกจากน ผใชสามารถกำาหนดการตงคา DNS Server ใหใชขอมลจาก Public DNS Server ทเชอ

ถอได เชน OpenDNS หรอ Google Public DNS เปนตน ตวอยางการตงคาการเชอมตอใหใช Google

Public DNS Server เปนดงรปท 93 (17-6)

รปท 93 (17-6) การกำาหนดคาใหใช DNS Server ของ Google

อางอง[17-1] http://www.howtogeek.com/122845/htg-explains-what-is-dns/

[17-2] http://www.windowsecurity.com/articles/understanding-man-in-the-middle-

attacks-arp-part2.html

[17-3] http://resources.infosecinstitute.com/dns-hacking/

[17-4] http://www.howtogeek.com/122404/how-to-block-websites-in-windows-8s-

hosts-file/

[17-5] http://www.thaicert.or.th/alerts/corporate/2012/

al2012co0006.html


http://www.opendns.com

https://developers.google.com/speed/public-dns/

http://www.howtogeek.com/122845/htg-explains-what-is-dns/

http://www.windowsecurity.com/articles/understanding-man-in-the-middle-attacks-arp-part2.html

http://www.windowsecurity.com/articles/understanding-man-in-the-middle-attacks-arp-part2.html

http://resources.infosecinstitute.com/dns-hacking/

http://www.howtogeek.com/122404/how-to-block-websites-in-windows-8s-hosts-file/

http://www.howtogeek.com/122404/how-to-block-websites-in-windows-8s-hosts-file/

http://www.thaicert.or.th/alerts/corporate/2012/al2012co0006.html


18 วธปดการทำ งานของ Java ใน

เวบเบราวเซอรผเขยน: วศลย ประสงคสขวนทเผยแพร: 14 ก.ย. 2555ปรบปรงลาสด: 14 ก.ย. 2555

Java เปนภาษาหนงทใชในการพฒนาโปรแกรมคอมพวเตอร ถกคดคนโดยบรษท Sun Microsystems

โปรแกรมทพฒนาโดยภาษา Java สามารถทำางานไดโดยไมจำาเปนตองยดตดกบระบบปฏบตการใดเพยงระบบ

เดยว เนองจากโปรแกรมทเขยนขนโดยภาษา Java จะทำางานผาน Java Runtime Environment (JRE) ซง

จะเปนการจำาลองระบบขนมาเพอประมวลผลคำาสงภาษา Java ทำาใหโปรแกรมทพฒนาขนมาสามารถนำาไป

ใชงานบนระบบปฏบตการอนไดโดยไม ตองแกไขโคดของโปรแกรม [18-1]

เมอวนท 28 สงหาคม 2555 ทางไทยเซรตไดประกาศแจงเตอนเกยวกบชองโหวดานความมนคงปลอดภย

ของ JRE เวอรชน 7 โดยหากผใชเขาไปยงเวบไซตทมการเรยกใชงาน Java Applet ทเปนอนตราย (Java

Applet คอโปรแกรมขนาดเลกทพฒนาโดยภาษา Java ซงสามารถแสดงผลเปนสวนหนงของหนาเวบไซต

ได) ชองโหวนจะทำาใหเครองคอมพวเตอรของผใชดาวนโหลดโปรแกรมไมพง ประสงคเขามาตดตงโดยผใช

ไมรตว ผเชยวชาญไดออกมาใหคำาแนะนำาวาควรปดการทำางานของ Java ในเวบเบราวเซอร หรอหากไมม

ความจำาเปนตองใชงาน Java Applet ควรลบโปรแกรม JRE ออกจากระบบ [18-2]

ดงนน บทความนจงขอนำาเสนอวธการปดการทำางานของ Java ในเวบเบราวเซอรทไดรบความนยมสง

ในประเทศไทย อนไดแก Mozilla Firefox, Google Chrome, Safari และ Internet Explorer การปด

Java ในทนจะเปนการปดการทำางานของ JRE ในเวบเบราวเซอร แต JavaScript ยงคงทำางานไดตามปกต

การปดการทำ งานของ Java ใน Mozilla Firefox ในตวอยางนจะใช Mozilla Firefox เวอรชน 15 ซงมวธการทำ ดงน

1. คลกทปมเมน Firefox ดานบนซายของหนาตาง และคลกท Add-ons ดงรปท 94 (18-1)

รปท 94 (18-1) คลกท Add-ons

2. เมอหนาตาง Add-ons Manager ปรากฎขนมา ใหคลกทแถบ Plugins จากนนคนหา Java (TM) Platform

แลวคลกทปม Disable ดงรปท 95 (18-2)

รปท 95 (18-2) Disable Java (TM) Platform

การปดการทำ งานของ Java ใน Google Chromeในตวอยางนจะใช Google Chrome เวอรชน 21 ซงมวธการทำ ดงน

1. พมพ “chrome://plugins” ลงในชอง Address bar ของเบราวเซอร จะปรากฎรายการ Plug-ins ทงหมด

ทตดตงอยใน Chrome ดงรปท 96 (18-3)


รปท 96 (18-3) แสดงรายการ Plug-in ทตดตงใน Chrome

2. คลกทปม Disable ภายใตกรอบ Java ดงรปท 97 (18-4)

รปท 97 (18-4) Disable Java

การปดการทำ งานของ Java ใน Safari

ในตวอยางนจะใช Safari เวอรชน 5 ซงมวธการทำาดงน [18-3]

1. คลกทรปเฟองดานขวามอของหนาตาง Safari และเลอกท Preferences... ดงรปท 98 (18-5)

รปท 98 (18-5) คลกท Preferences...

2. เมอหนาตางการตงคาปรากฎขน คลกทแถบ Security และนำาเครองหมายถกออกจาก Enable Java

ดงรปท 99 (18-6)

รปท 99 (18-6) นำาเครองหมายถกออกจาก Enable Java

การปดการทำ งานของ Java ใน Internet Explorerการปดการทำางานของ Java ใน Internet Explorer (IE) นน ไมสามารถทำาไดโดยการ Disable ปลกอน

ของ Java เหมอนในเวบเบราวเซอรตวอน ๆ เนองจาก IE นนไมไดมอง Java เปนสวนเสรมของเบราวเซอร

เหมอนกบปลกอนทวไป ทาง Microsoft ไดแนะนำาใหผใชแกไขคา Registry ของระบบเพอปดการทำางาน

ของ Java ดวยตนเอง [18-4] แตเนองจากการแกไข Registry มความเสยงทหากแกไขผดพลาดอาจทำาให

ระบบไมสามารถทำางานตอได ดงนนผทใชงาน IE จงควรกำาหนดคา Security ใหอยทระดบ High จนกวาจะม

มาตรการแกไขทสามารถทำาไดสะดวกและปลอดภยกวาน ใน IE เวอรชน 9 สามารถกำาหนดคา Security ไดดงน


1. คลก ทรปเฟองดานขวาของหนาตาง IE เลอก Internet options ดงรปท 100 (18-7) (ใน IE เวอรชนอน

สามารถคลกทเมน Tools และเลอก Internet options)

รปท 100 (18-7) เลอก Internet options

2. เมอหนาตาง Internet options ปรากฎขน คลกทแถบ Security และปรบ Security level for this zone ใหเปน High ดง

รปท 101 (18-8)

รปท 101 (18-8) ปรบ Security level for this zone ใหเปน High

อยางไรกตาม การกำาหนดคา Security ใหอยในระดบ High นนเปนการปดการทำางานของความสามารถ

ทอาจเปนอนตรายตอระบบ ใหเหลอเพยงความสามารถในการเขาใชงานเวบไซตขนพนฐานเทานน ซงผใช

อาจพบปญหาในการเขาใชงานบางเวบไซตทตองการความสามารถอนๆ นอกเหนอจากการแสดงผลเวบไซต

เชน เวบไซตทมการใชงาน JavaScript หรอเวบไซตทมคลปวดโอ เปนตน ซงหากจำาเปนตองเขาถงเวบไซตท

มความสามารถดงกลาว ควรเปลยนไปใชเบราวเซอรอนแทน

การทดสอบการทำ งานของ Javaผใชสามารถทำาการทดสอบวาไดปดการทำางานของ Java แลวหรอยง โดยการเขาเวบไซตทใช Java

applet ในการแสดงผลหนาเวบไซต ในทนขอยกตวอยางหนาเวบไซตของ java.com ซงม URL คอ

h t t p : / / w w w . j a v a . c o m / e n / d o w n l o a d / t e s t j a v a . j s p

หาก Java ยงใชงานในเวบเบราวเซอรได จะมขอความแจงวา “Your Java is working” ดงรปท 102 (18-9)

แตหากปดการทำางานของ Java แลว เวบเบราวเซอรจะแสดงขอความวาไมพบปลกอนของ Java ในระบบ

ซงแตละเบราวเซอรอาจแสดงผลตางกน เชน หากเปน Firefox จะแสดงขอความ “Something is wrong.

Java is not working ” ดงรปท 103 (18-10)

รปท 102 (18-9) เมอไมปดการทำางานของ Java

รปท 103 (18-10) การแสดงผลของ Firefox เมอปดการทำางานของ Java แลว

เนองจาก Java เปนโปรแกรมทมการแจงชองโหวคอนขางบอย และการปลอยอพเดทเพอแกไขปญหา

นนใชเวลานาน การปดการทำางานของ Java ในเวบเบราวเซอร จงเปนวธการหนงทสามารถชวยในการปองกน


ตวจากภยคกคามซงเกดจาก ชองโหวของ Java ดงทไดกลาวไวในขางตนได แตหากผใชมความจำาเปนตองใช

งานเวบไซตทม Java Applet เชน เวบไซตภายในหนวยงาน กอาจเปดใชงาน Java ได เพยงแตตองมนใจวา

เวบไซตนนปลอดภยจรง ๆ และเมอใชงานเสรจแลว กควรปดการทำางานของ Java ไวตามเดม

อางอง[18-1] http://searchsoa.techtarget.com/definition/Java

[18-2] http://www.thaicert.or.th/alerts/corporate/2012/

al2012co0018.html

[18-3] http://support.apple.com/kb/HT5241

[18-4] http://support.microsoft.com/kb/2751647

19 ดแลการเขาเวบไซตของเดก ๆ ดวย

windowS livE faMily SafETyผเขยน: วศลย ประสงคสขวนทเผยแพร: 21 กนยายน 2555ปรบปรงลาสด: 21 กนยายน 2555

ผปกครองหลายทานคงเปนกงวล เมอเหนเดก ๆ เลนคอมพวเตอรเปนเวลานาน โดยทไมรวาเลนอะไร

บาง ยงทกวนนมเวบไซตทเนอหาไมเหมาะสมกบเดกและเยาวชนอยมาก และผปกครองกไมสามารถทจะดแล

การเขาเวบไซตของบตรหลานไดตลอดเวลา วธการหนงทชวยในการปองกนไมใหเดกเขาเวบไซตไมเหมาะสม

เหลาน กคอการตดตงโปรแกรมทชวยควบคมการเขาถงเวบไซต

โปรแกรมทกลาวถงน มใหเลอกใชอยหลากหลาย แตสำาหรบผทใชระบบปฏบตการ Windows7 ขนไป

สามารถตดตงโปรแกรม Windows Live Family Safety ได ซงเปนโปรแกรมทไมโครซอฟตใหใชงานไดฟร

โดยโปรแกรม Windows Live Family Safety น นอกจากจะสามารถควบคมการเขาถงเวบไซตทมเนอหา

ไมเหมาะสมกบเยาวชนไดแลว ยงมความสามารถอน ๆ ดงน [19-1]

กำาหนดชวงเวลาในการใชงานคอมพวเตอรได

ปองกนการใชงานโปรแกรม หรอเลนเกมทไมเหมาะสมหรอไมไดรบอนญาตได

โปรแกรม Windows Live Family Safety นถกบรรจอยในชดโปรแกรม Windows Essentials ซง

สามารถดาวนโหลดไดจากเวบไซตของ ไมโครซอฟต (http://windows.microsoft.com/en-US/win-

dows-live/essentials-home) ในการใชงานโปรแกรม มสงทผปกครองตองจดเตรยมดงน

ผปกครองจะตองใชขอมลบญชผใชของ Windows Live (บญชเดยวกนกบทใชเขาสระบบ MSN

หรอ Hotmail) ในการเขาสระบบของโปรแกรม Windows Live Family Safety

เตรยมบญชผใชคอมพวเตอรสำาหรบเดกและผปกครอง โดยท

* บญชผใชสำาหรบผปกครอง เปนบญชผใชประเภท Administrator

* บญชผใชสำาหรบเดก เปนบญชผใชประเภท Standard


http://searchsoa.techtarget.com/definition/Java



http://support.apple.com/kb/HT5241

http://support.microsoft.com/kb/2751647

ปกตแลวในการตดตงระบบปฏบตการ (การลง Windows) จะมการใหผใชสรางบญชผใชสำาหรบใช

งานคอมพวเตอรอยแลว ซงบญชผใชนนจะเปนประเภท Administrator สำาหรบการสรางบญชผใชสำาหรบ

เดกใหเปนบญชประเภท Standard นน สามารถทำาไดในโปรแกรม Windows Live Family Safety ซงจะ

อธบายในลำาดบถดไป

หลงจากตดตงชดโปรแกรม Windows Essentials แลว ผปกครองสามารถเขาใชงาน Windows Live

Family Safety ไดดงน

1. คลกเขาไปท Start > All programs > Windows Live > Windows Live Family Safety ดงรปท

104 (19-1)

รปท 104 (19-1) คลก Windows Live Family Safety

2. เมอหนาตางโปรแกรม Windows Live Family Safety ปรากฏขนมา ใหทำาการเขาสระบบโดยใชบญชผ

ใช Windows Live ดงรปท 105 (19-2)

รปท 105 (19-2) เขาสระบบของโปรแกรม Windows Live Family Safety

3. เมอเขาสโปรแกรม Windows Live Family Safety แลว หากในเครองคอมพวเตอรยงไมมผใช Standard

สำาหรบเดก สามารถสรางไดโดยคลกทขอความ “Create a new standard Windows Account”

ดงรปท 106 (19-3) หากมบญชผใชประเภท Standard สำาหรบเดกอยแลว สามารถขามไปยงขน

ตอนท 5 ได

รปท 106 (19-3) การสรางบญชผใชประเภท Standard สำาหรบเดก

4. ทำาการตงชอบญชผใช ซงในตวอยาง ไดกำาหนดชอของบญชผใชเปน “Son” ดงรปท 107 (19-4) หลงจาก

สรางบญชผใชสำาหรบเดกแลว จะปรากฎบญชผใชใหม อยในรายการ Standard Windows accounts

ในหนาตางโปรแกรม Windows Live Family Safety ดงรปท 108 (19-5)

รปท 107 (19-4) การกำาหนดชอบญชผใช สำาหรบเดก


รปท 108 (19-5) บญชผใชใหม ปรากฎในรายการ Standard Windows accounts

5. เลอกบญชผใชทตองการดแลและกดปม Save จากนน จะปรากฎหนาตางแจงใหผปกครองคลกไปทเวบไซต

familysafety.microsoft.com เพอทำาการตงคาการควบคมบญชผใชของเดก ดงรปท 109 (19-6)

รปท 109 (19-6) คลกท familysafety.microsoft.com เพอทำาการตงคาการควบคม

6. เมอเขาสระบบของเวบไซต familysafety.microsoft.com แลว ผปกครองสามารถตงคาการควบคมบญช

ของเดกได โดยคลกท ขอความ “แกไขการตงคา” ดงรปท 110 (19-7)

รปท 110 (19-7) คลกเพอแกไขการตงคา เพอตงคาการควบคม

7. ทหนาตางตงคาการควบคม จะพบวามเมนการควบคมบญชผใชอยในดานซายมอ คลกทขอความ “การก

รองเวบ” เพอกำาหนดคาการควบคมการเขาถงเวบไซต ดงรปท 111 (19-8)

รปท 111 (19-8) กำาหนดคาการควบคมการเขาถงเวบไซต

8. ทำาการเลอกระดบการควบคมทตองการ โดยรายการของเวบไซตสำาหรบผใหญนน ทมงานของ Windows

Live Family Safety จะเปนผรวบรวมไว ดงรปท 112 (19-9)

รปท 112 (19-9) เลอกระดบการควบคมการเขาถงเวบไซต

9. ผปกครองสามารถระบเวบไซตทไมตองการใหเดกเขาไดดวยการคลกทขอ ความ “รายการการกรองเวบ”

ในเมนการควบคมบญชผใชในดานซายมอ และทำาการบลอกการเขาถงเวบไซต โดยการปอน URL ท


ตองการลงในชอง http:// และกดปมบลอก ดงรปท 113 (19-10) ในตวอยางนจะทำาบลอกไมใหผ

ใชเขาเวบไซต www.thaicert.or.th

รปท 113 (19-10) ปอน URL ทไมตองการใหเดกเขา และกดปมบลอก

ซงหลงจากนบญชผใชเดก จะไมสามารถเขาสเวบไซต www.thaicert.or.th ไดดงแสดงในรปท 114 (19-11)

รปท 114 (19-11) หนาตางแสดงผลเมอผใชเขาเวบไซตทถกกำาหนดไว

จากรปท 114 (19-11) จะพบวา ผใชบญชเดกไมสามารถเขาสเวบไซตทบลอกไวได และโปรแกรม

Windows Live Family Safety จะมการใหขออนญาต หากเดก ๆ ตองการเขาถงเวบไซตนนจรง ๆ โดย

สามารถขออนญาตผปกครองได 2 ชองทางดวยกน คอ

Email your request ในกรณทผปกครองไมอยดวย เดก ๆ สามารถสงอเมลเพอขอใหผปกครองอนญาตได

Ask in person ในกรณทผปกครองอยดวย เดก ๆ สามารถขอใหผปกครองปอนรหสผาน Windows

Live ในหนาตางทปรากฎหลงคลกเลอก Ask in person ได

เพยงเทาน ผปกครองกสามารถอนใจไดระดบหนงวาเดก ๆ ททานดแล เขาใชงานอนเทอรเนตไดอยาง

เหมาะสม นอกจากนโปรแกรม Windows Live Family Safety ยงมความสามารถอน ๆ เชน การกำาหนด

ชวงเวลาในการใชงานคอมพวเตอร การปองกนการใชงานโปรแกรม การเลนเกมทไมเหมาะสมหรอไมไดรบ

อนญาต ผใชสามารถศกษาเพมเตมดวยตนเองได เนองจากมวธการตงคาการใชงานทคลายกน

อางอง [19-1] http://windows.microsoft.com/en-US/windows-vista/Protecting-your-kids-

with-Family-Safety

20 SoCial EnginEERing

ผเขยน: วศลย ประสงคสข, เสฏฐวฒ แสนนาม และ พรพรหม ประภากตตกลวนทเผยแพร: 2 พฤศจกายน 2555ปรบปรงลาสด: 8 พฤศจกายน 2555

Social Engineering เปนเทคนคการหลอกลวงโดยใชหลกการพนฐานทางจตวทยาเพอใหเหยอเปด

เผย ขอมล ซงบางครงอาจไมจำาเปนตองใชเทคโนโลยเขามาเกยวของเลย [20-1] ผทตกเปนเหยอของ Social

Engineering อาจจะตกเปนเหยอโดยความตงใจหรอไมตงใจของผไมหวงดกได กลาวคอ ถาผไมหวงดมเปา

หมายเฉพาะเจาะจง เชน ตองการขอมลความลบขององคกรใดองคกรหนง เหยอในทนกมกจะเปนผทมสทธ

ในการเขาถงขอมลความลบขององคกรนน แตหากเปาหมายของผไมหวงดเปนแบบทไมไดเจาะจงเหยอ เชน

ตองการรหสบตรเครดต หรอบญชผใชและรหสผานของบรการตาง ๆ ของใครกได เหยอของผไมหวงดนจะ

เปนใครกตามซงหลงเชอการหลอกลวงนน

การทผไมหวงดจะหลอกลวงเหยอใหไดขอมลทตองการมานน ไมไดมวธการทตายตว ทำาใหหากจะยก

ตวอยางวธการของ Social Engineering ในเอกสารนใหครบถวนนน จงแทบจะเปนไปไมได ในทนจงขอกลาว

ถงวธการทผไมหวงดใชเพอใหไดมาซงขอมลท ตองการโดยสงเขป ดงน [20-2] [20-3]

Telephone เปนการโทรศพทเขามาหลอกลวงเหยอ เพอใหเปดเผยขอมลสำาคญหรอหลอกลอใหเหยอกระทำา

การตามทผไมหวงด ตองการ หรอถาเปนในองคกรตาง ๆ กลมทมกจะตกเปนเหยออาจจะเปนฝายประสมพนธ,

HR, หรอฝายบรการลกคา เปนตน ซงเปนกลมทมหนาทคอยใหขอมลกบบคคลอนอยแลว ดงนนกลมคนเหลาน

จงมความเสยงสงทอาจจะเผลอเปดเผยขอมลสำาคญ บางอยางออกมา ตวอยางของการหลอกลวงในลกษณะนเชน

ผไมหวงดโทรมาหลอกลวงเหยอ วาเหยอไดรบสทธในการลดหยอนภาษจากกรมสรรพากรจงอยากจะโอนเงนภาษ

คน ใหผานทางธนาคาร ขอใหเหยอแจงหมายเลขบญชธนาคารใหทราบ และขอใหทำาการโอนเงนเขามายงบญชของ

ผโจมตเพอเปนการยนยนวา เหยอเปนเจาของบญชนนจรง ซงหากเหยอหลงเชอกจะทำาการโอนเงนไปใหผโจมต

Online เปนการหลอกลวงเหยอผานทางอนเทอรเนต ไมวาจะผานการเขาใชงานเวบไซต อเมล หรอการแชต การ

หลอกลวงในรปแบบนผไมหวงดมกจะมเปาหมายเพอขโมยรหสผาน ของบรการตาง ๆ ตวอยางการหลอกลวงใน

ลกษณะนเชน ผไมหวงดสงอเมลถงลกคาของธนาคารโดยอางวาธนาคารไดมการปรบปรง ระบบรกษาความมนคง

ปลอดภย จงอยากใหลกคาเขาสระบบเพอยนยนขอมลสวนบคคลโดยคลกทลงกท สงมาในอเมล หากผใชคลกลงก


http://windows.microsoft.com/en-US/windows-vista/Protecting-your-kids-with-Family-Safety

http://windows.microsoft.com/en-US/windows-vista/Protecting-your-kids-with-Family-Safety

เพอทจะเขาสระบบ ผโจมตกจะไดชอผใชและรหสผานสำาหรบการเขาใชงานธนาคารของเหยอไป เปนตน (การโจมต

ในลกษณะนเรยกวา Phishing สามารถศกษาเพมเตมไดในบทความ รจก Phishing และการปองกน) นอกจาก

นหากเหยอใชงานรหสผานตวเดยวกนกบบรการอน ผโจมตกอาจจะสามารถเขาสระบบของบรการอนไดอกดวย

Dumpster Diving เปนเทคนคการคนหาขอมลสำาคญจากถงขยะของบคคลหรอองคกรทเปนเปา

หมาย เพอทจะไดขอมลสำาคญ เชน รหสผานทจดบนทกไวในกระดาษ แผนผงองคกร หมายเลข

โทรศพท รวมถงขอมลสำาคญอน ๆ ทเกบไวบนสอบนทกขอมลทกประเภท [20-4] การทำา Dump-

ster Diving นอาจจะทำาใหผโจมตไดขอมลทเพยงพอสำาหรบนำาไปใชหลอกลวงดวยวธการอนตอไป

Shoulder Surfing เปนการแอบสงเกตขณะทเหยอกำาลงทำาการปอนขอมล หรอเขาถงขอมลทตองการ ดง

รปท 115 (20-1) ซงวธการนไมไดจำากดอยเพยงการแอบมองขณะทเหยอใชงานคอมพวเตอร เทานน หาก

แตรวมถงสถานการณอน เชนการกดรหส ATM หรอ การกรอกแบบฟอรมดวยปากกา และนอกจากผไม

หวงดจะแอบสงเกตเหยอในระยะประชดแลว ยงรวมถงการสงเกตจากระยะไกลทใชเครองมออยางกลอง

สองทางไกลดวย [20-5]

รปท 115 (20-1) Shoulder Surfing

Reverse Social Engineering เปนวธการทผไมหวงดสามารถทำาใหเหยอตดตอกลบเขามาหา

ตนเอง โดยอาจจะตดตอกลบมาเพอขอความชวยเหลอ หรอสอบถามขอมลจากผโจมต ซงเหตการณเชนน

อาจเปนผลมาจากการทผไมหวงดเคยหลอกลวงเหยอเอา ไวแลวในครงกอน ทนททเหยอตดตอมายงผโจมต

เหยอกแทบจะไมมทางรตวไดเลยวาตนกำาลงถกหลอกลวงอย ทงนกอนจะหลอกใหเหยอตดตอกลบมานนผ

ไมหวงดจะตองทำาการบานมา เปนอยางด เพอไมใหเหยอทตดตอกลบมาหานน เกดความสงสย ตวอยางงาย

ๆ ของการหลอกลวงลกษณะนเชน ผไมหวงดแนะนำาเหยอวาหากมปญหากบการใชงานอนเทอรเนต สามารถ

ปรกษากบตนได ซงเมอเวลาผานไปเหยออาจจะตดตอกลบมา ซงจะเปนโอกาสทดของผไมหวงดทจะหลอก

เอาชอผใช และรหสผานของการเขาใชงานอนเทอรเนตของเหยอได

เนองจาก Social Engineering มเหยอเปนบคคล การใหความรความเขาใจในเรอง Social Engineering

จงเปนสงสำาคญ หากมองในมมขององคกรแลว นอกจากจะใหความรความเขาใจกบพนกงาน ยงควรจะตอง

มการกำาหนดนโยบาย และขนตอนการปฏบตงานทชดเจนเพอปองกน Social Engineering [20-6] ไมวา

จะเปนการกำาหนดขนตอนการปฏบตงานของแผนกตาง ๆ เชน Helpdesk ซงควรจะตองมการตรวจสอบ

ขอมลของผสอบถามกอนจะใหขอมล การกำาหนด Password policy ทจะกำาหนดแนวทางการใชงานรหส

ผาน เชน หามจดบนทกรหสผาน หรอ หามใชรหสผานรวมกบผอน การกำาหนดชนความลบของเอกสาร ท

จะทำาใหมการปฏบตตอเอกสารอยางเหมาะสม ไมวาจะเปนการเกบรกษา หรอการทำาลายเอกสาร เปนตน

สำาหรบมมมอง ในระดบบคคลนน สามารถระวงตนจากผไมหวงดได โดยอาศยการเปนคนชางสงสย

และมสต เมอสอสารกบคนแปลกหนาไมวาจะเปนทางโทรศพท ทางอเมล หรอพดคยกนซงหนา ทตองการ

ขอมลสวนบคคล หรอขอมลภายในขององคกร ซงไมวาคนแปลกหนานนจะแสดงตนวาเปนบคคลจากองคกร

ใดกตาม กควรจะมการตรวจสอบกบองคกรนนโดยตรงกอนเสมอ [20-7]

อางอง [20-1] http://www.etda.or.th/etda_website/mains/display/747

[20-2] http://www.sans.org/reading_room/whitepapers/

engineering/social-engineering-manipulating-source_32914

[20-3] http://www.symantec.com/connect/articles/social-engineering-

fundamentals-part-i-hacker-tactics

[20-4] http://www.etda.or.th/etda_website/mains/display/406

[20-5] http://searchsecurity.techtarget.com/definition/shoulder-surfing

[20-6] http://www.sans.org/reading_room/whitepapers/

engineering/social-engineering_1365

[20-7] http://www.us-cert.gov/cas/tips/ST04-014.html


เอกสารเผยแพร

สำ�หรบผเชยวช�ญ

21 SECuRE wEb SERvER

ผเขยน: ไพชยนต วมกตะนนทนวนทเผยแพร: 16 ม.ค. 2555ปรบปรงลาสด: 16 ม.ค. 2555

ทกวนนการท Web server สกเครองหนงทใหบรการบน Internet จะถกโจมตจากผไมประสงคดถอ

เปนเรองปกตธรรมดา จากขอมลของ zone-h.org พบวา เฉพาะการโจมตประเภท Defacement ทมการ

รายงานมาท zone-h.org ในป 2011 และ 2010 มถงเกอบ 1.5 ลานครงในแตละป โดยเพมขนจากปกอน

หนา (2009 ลงไป) เกอบ 3 เทา [21-1] อาจจะดไมมากนกเมอเทยบกบจำานวน Web site ทงหมดทมมากกวา

500 ลานแหง [21-2] ในป 2011 แตตองอยาลมวา zone-h รายงานเฉพาะการโจมตประเภท Defacement

ทมการแจงมาโดยตรงเทานน การโจมตแบบอน (ทอาจรายแรงกวา) หรอการโจมตทไมตองการใหเปนทรบร

ของสาธารณะชน หรอไมไดมการแจงมาโดยตรง กจะไมไดรวมอยใน 1.5 ลานครงน แตไมวาจะมากหรอนอย

ผทอยในแวดวงดานความมนคงปลอดภย หรอผทมหนาทดแลเครองแมขายทงหลาย กคงทราบดกวา ปจจบน

การโจมตเวบไซตนน พบไดเกอบตลอดเวลา เพยงแคดจาก Log file ของเครองแมขายเวบ กอาจจะพบรอง

รอยความพยายามในการโจมตไดอยางไมยากนก ทงนดวยความรวดเรวของการเผยแพรขอมลเกยวกบชองโหว

ใหมๆ และความสามารถของ Google ในการหาเครองแมขายเวบทเปนเปาหมายทมชองโหวนน เชน บรการ

“Google Dork” หรอ “Google Hacking Database: GHDB” ทำาใหผดแลระบบตองพบกบความยงยาก

ในการ คอยตดตามขาวสารเรองชองโหวและหาทางปองกนเครองแมขายเวบทตนดแล อยมานกตอนกแลว

สวนมากจดออนของเครองแมขายเวบ นนไมไดอยทระบบปฏบตของเครองแมขายหรอซอฟตแวรสำาหรบ

ให บรการเวบ (Web Server) แตอยทเวบแอพพลเคชน (Web Application) เปนหลก หากเวบไซตใดม

ขอมลเฉพาะ Static Web page หรอ Flat page [21-3] โดยไมมไฟลสครปต PHP, ASP หรอ Dynamic

content ใดๆ อยเลยกอาจจะเรยกไดวามความเสยงนอยมากทจะถกเจาระบบหรอโจมตได สำาเรจ ซงการ

พฒนาเวบไซตทใชงานเฉพาะ Static web page หรอ Flat page แทบจะเปนไปไมไดเลยในยคทเวบไซต

เปรยบเสมอนชองทางหลกในการทำาธรกจ หรอแมแตการเผยแพรขอมลโดยทวไปกยงมการนำา Web appli-

cation ประเภท CMS เขามาใชเพอความสะดวกในการจดรปแบบเนอหาและใหความสะดวกแกผใชบรการ

ยงหาก Web application เหลานซบซอนเทาไหร กยงมโอกาสทจะพบชองโหวมากขนเทานน และเมอ


Web application มชองโหว กเทากบระบบตางๆททำางานรวมกบเวบไซตมชองโหวดวย ซงอาจจะทำาใหเกด

จดออนกบระบบปฏบตการหรอแมแตเกดจดออนกบ เครองแมขายเครองอนๆ ทอยบนเครอขายเดยวกนได

คงไมมวธการใดทสามารถปองกนการโจมตเวบไซตไดอยางสมบรณ ผเชยวชาญมกจะแนะนำาใหเลอกใช

Web application ทเชอถอได และมการ Update สมำาเสมอ โดยเฉพาะในดานความมนคงปลอดภย แต

อยาลมวาการ Update เหลาน มกจะเกดขนหลงจากทผพฒนาไดพบจดออนทเกดจากการโจมตไดสำาเรจอย

เสมอ หรอถงแมจะยงไมมการพบชองโหวใน Web application ทใชงานอยกตาม ผดแลระบบกควรทราบ

วา แมแตการ Configuration บางรปแบบเพอตอบสนองความตองการของ User กอาจทำาใหเกดชองโหว

ขนมาไดเชนเดยวกน

ดงนนเพอรกษาความมนคงปลอดภยของเวบไซต ทางทมไทยเซรตไดรวบรวมและนำาเสนอแนวปฏบตใน

การดแลเครองบรการเวบ โดยอาศยหลกการ Security in-depth กบพจารณาถงองคประกอบแวดลอมใน

เครองบรการเวบทงหมด โดยไมเจาะจงลงไปในตว Web application เพยงอยางเดยว เพอลดโอกาสหรอ

ลดความรนแรงทจะเกดขนเมอถกโจมต

1. ระมดระวงเรอง Web server Process privilege สวนมาก Web application จะทำางานภายใตสทธ

(User ID) ของโพรเซส Web server ใหลองจนตนาการวา หาก Web application จะทำาอนตราย

ระบบของเรา ดวยสทธทเทยบเทา Web server จะเกดผลอยางไรบาง สวนมากระบบปฏบตการรน

ใหมๆ จะไมคอยให Web server ทำางานในสทธผดแลระบบ (root หรอ Administrator) แลว แต

อาจจะตองตรวจสอบดใหแนใจอกครงเปนรายกรณไป

2. จำากดสทธในการเขยนไฟลของ Web Application Web Application อาจจำาเปนตองเขยนไฟลลง

ใน File system บาง เชนในกรณทมการ Upload ขอมล หรอเขยน Temp แต Web application

ไมจำาเปนตองเขยนขอมลลงในทกๆ Directory ดงนนควรจำากดสทธของ Web application ใหเขยน

ขอมลไดในทๆ จำาเปนตองเขยนเทานน

3. แยกโซนอนตราย พนทหรอ Directory ท Web Application ใชเปนพนทสำาหรบใชงานชวคราว

เชนพนท Upload ขอมลจาก User ใหถอวาเปนพนทอนตราย เนองจากเราไมสามารถรบประกนได

วาขอมลท User ใสเขามาจะเปน Malicious code หรอไม ดงนนการปองกนไมให Execute หรอ

Run ขอมลทอยในพนทอนตรายนจงเปนสงทตองพจารณาดำาเนนการ

4. พจาณาใชงาน Chroot หรอ Jail (FreeBSD) ถาเปนไปได ควร Chroot หรอ Jail Web server

[21-4] เพอปองกนไมให Web application สามารถเขาถงไฟลอนๆบนระบบปฏบตการไดโดยอสระ

การใช MAC (Mandatory Access Control) หรอ RBAC (Role-Based Access Control) เชน

SELinux [21-5], AppArmor [21-6], Tomoyo [21-7] หรอ Grsecurity [21-8] กเปนอกทางเลอก

ทผดแลระบบนาจะพจารณาเลอกใชได

5. ควบคมการใชงาน Script คลายกบขอ 3 แตเปนขอกำาหนดในเชง Web programming คอการ

กำาหนดให Script หรอ Web application code สามารถ Run หรอ Execute ใน Directory ท

กำาหนดไวเทานน เพอลดความเสยงทจะโดนโจมตในโซนพนทอนตรายเชน พนทสำาหรบเกบรปภาพ

ทมโอกาสถกอพโหลดไฟล Malicious code จากผไมประสงคด ประกอบกบการใชชองโหวในการ

เขาโจมตแบบ Remote File Inclusion ทสงให Run ไฟลบน Directory ตางๆได โดยใชหลกการ

Include file

6. จบตาด Error message 404/403 response อาจเปนเรองปกตทพบไดทวไปใน Log ของ Web

server แตถาพบในจำานวนมาก ในระยะเวลาสนๆ อาจแสดงถงความพยายาม Scan หรอ Probe

จากผไมประสงคด แตในปจจบนทมการใช Botnet กนอยางกวางขวาง Request เหลาน อาจจะไม

ไดมาจาก IP เดยวกนกได จงจำาเปนตองระมดระวงในการพจารณาเปนพเศษ

7. ควบคม Web server ในการเรยกขอมลภายนอก Web server ไมควรมความจำาเปนตองเรยกขอมล

จาก Internet โดยตรง หากมความจำาเปนตองดงขอมลมา Update ควรใหทำาผาน Proxy และมการ

ควบคม URL ปลายทางอยางเครงครด และควรมการ Monitor การเรยกขอมลทนอกเหนอจากท

กำาหนดดวย เพราะอาจแสดงใหเหนวาผไมประสงคด สามารถควบคม Web server เอาไวไดแลว

8. Privilege ของ Database user กสำาคญ Web application แตละตว ควรใช User บน Database

ทแตกตางกน เพอความสะดวกในการ Audit และแยกสทธการเขยน/อาน ขอมลดวย ถา Web

application ตวใดไมตอง Update ขอมลใน Database อยาให User ของ Web application นน

มสทธเขยนขอมลเดดขาด และควรจำากดสทธการในระดบ Table ดวยถาเปนไปได วธการนจะชวย

ลดความรนแรงของการโจมตประเภท SQLi (SQL Injection) ได

9. พจารณา Data type ของ Web application parameter การพฒนา Web application ทด ควร

จำากดและตรวจสอบชนดของขอมลทรบสงกบ User ทกครง เชนถาขอมลทจะรบเขามาเปน ID ของ

บทความ กไมควรยอมใหมขอมลอนนอกจาก Digit เขามาใน Parameter นน หรอถาเปน Alpha-

numeric กไมควรใหมสญลกษณเขามาปะปน เปนตน

10. จบตาดการเปลยนแปลง เครองมอสำาหรบตรวจสอบการเปลยนแปลงของไฟลอยาง Tripwire หรอ

AIDE เปนเครองมอทดทจะใชบอกวามสงไมชอบมาพากลขนใน Web server เพราะบางครง ผไม

ประสงคดจะทงโปรแกรมประเภท Backdoor ไวเพอใหสะดวกในการควบคม Web server หรอ

อาจเปนการตดตงโปรแกรมประเภท Trojan หรอ Bot กได แตควรใชอยางระมดระวง เพราะการ

เปลยนแปลงของไฟลในระบบบางอยาง อาจไมไดหมายถงสงผดปกตกได เชน Log หรอ Temp ทม

การเปลยนแปลงอยเปนปกตอยแลว

11. ถอวาขอมลจาก Client เปน Untrusted Script อะไรกตามททำางานในฝง Client เชน Javascript

หรอแมแต Flash หรอ Java ทงหลายเหลานอาจจะถก Compromise ไดไมยาก เพราะฉะนน Web

application ทดไมควรใชวธการตรวจสอบการสงขอมลโดยวธการเหลานเปนอนขาด เชน การใช


Javascript ตรวจสอบขอมลท User ปอนเขามา เพราะผไมประสงคดสามารถ Bypass การตรวจ

สอบนไดอยางงายดายจากโปรแกรมทวไป เชน NoScript [21-9] หรอแมแตสงทรบมาจาก Client

เชนคาจากตวแปรตางๆ กควรสงสยไวกอนวามโอกาสเปนขอมลไมพงประสงคได

12. ควรเลอกใชเครองมอทชำานาญ การเลอกใชเครองมอตางๆ เชน Web server, Web application

platform หรอ CMS ควรเลอกทความคนเคยมากกวาความสวยงามหรอทนสมย เพราะเวลามปญหา

จะสามารถเขาตรวจสอบและแกไขไดงาย และอยาลมวาเครองมอทดกวาหรอใหมกวา ไมไดแปลวาจะ

ไมมโอกาสเกดปญหาเลย หรอในอกมมหนงการใชงานเครองมอทพฒนาขนใหมอาจเหมอนเปนหน

ทดลองสำาหรบการทดสอบผลตภณฑกเปนได ซงจะกอใหเกดปญหาดานความมนคงปลอดภยตามมา

13. พยายามทำาตามมาตรฐาน การเขารหสแบบคดคนเอง การจดการ Session แบบไมมมาตรฐาน หรอ

แมแตการพฒนา Web application ในรปแบบแปลกๆ มกจะเกดปญหาไดงายกวาแบบเดมทนยมใช

กน หลายคนเชออยางผดๆ วาการใชสงทคนทวไปใชกน หรอการใช Opensource/Open Standard

ทเปดโอกาสใหคนเหน Source code หรอ Algorithm อยางเปดเผยนนไมมความมนคงปลอดภย

แตกตองอยาลมวา โปรแกรมเขารหสทยอมรบกนวาปลอดภยทสดในขณะนกเปน Open standard

อย เชน OpenSSL [21-10]

14. ไมควรแสดง Error message ให User เหน ขอผดพลาดของ Web application (Error message)

ทแสดงใหคนอนเหนโดยไมตงใจ ถอเปนเรองทรบไมไดและนาอบอายสำาหรบคนพฒนา Web appli-

cation เพราะแสดงใหถงความไมเปน Professional ซำารายยงกลายเปนผสนบสนนขอมลในการเขา

โจมตเวบไซตจากขอมลทแสดงออกไปอกดวย เชน ขอผดพลาดแสดงทอยของไฟลในระบบ หรอชอ

ของ Database เปนตน เพราะฉะนน Web application ทด ตองไมแสดง Error message ออกมา

ใหเหนเมอเกดความผดพลาด ซงการจดการ Exception ทดในถอเปนอกวธหนงทจะลดปญหาขอน

15. จบตาการ Re-attempt โดยปกตคนทลม Password ยอมไมอดทนใส Password ทผดเปนสบๆ ครง

ตอเนอง เชนเดยวกบคงไมมใครสงคา Parameter ตวเดยวไปเรอยๆ อยางตอเนองเชนกน การ

Re-attempt ในลกษณะน อาจเกดจากเครองมอพเศษทใชหาชองโหวของระบบ (Brute Force)

หรอเครองมอเดา Password มากกวา

16. Web application ตวอนกสำาคญ Web application ทเขยนขนอยางด มความมนคงปลอดภยสง แต

เมอไปอยรวมกบ Web application ทมชองโหว บน Web server ตวเดยวกน ยอมมความเสยงท

เกดขนเทยบเทากน เวนแต Web server จะมการแยก Privilege ระหวาง Web application แตละ

ตวได เชน การใช suEXEC [21-11]

อางอง [21-1] http://www.zone-h.org/stats/ymd

[21-2] http://news.netcraft.com/archives/2011/12/09/december-2011-web-server-

survey.html

[21-3] http://en.wikipedia.org/wiki/Static_web_page

[21-4] http://en.wikipedia.org/wiki/Chroot

[21-5] http://selinuxproject.org/page/Main_Page

[21-6] http://wiki.apparmor.net/index.php/Main_Page

[21-7] http://tomoyo.sourceforge.jp

[21-8] http://grsecurity.net/index.php

[21-9] https://addons.mozilla.org/en-US/firefox/addon/noscript

[21-10] http://www.openssl.org

[21-11] http://httpd.apache.org/docs/2.0/suexec.html


22 SECuRE wEbSiTE ดวยการ

ตรวจสอบขอมลทตดตอกบผใชงาน (inPuT/ouTPuT validaTion)ผเขยน: พรพรหม ประภากตตกลวนทเผยแพร: 16 ม.ค. 2555ปรบปรงลาสด: 16 ม.ค. 2555

ปญหาดานความมนคงปลอดภยของเวบไซตในปจจบน ถกเผยแพรผานบทความและเวบไซตบนโลกอนเทอรเนต

นบครงไมถวน ดวยการโจมตแบบเดมๆ ทยงคงไดผลมาจนถงทกวนนไมใชเพราะเทคโนโลยท ทนสมยขน แต

เปนเพราะการพฒนาเวบไซตทไมมประสทธภาพมากกวา ยกตวอยางในกรณขาวทเกดขนเมอไมนานมานเรอง

“One million pages infected by Lilupophilupop SQL injection” [22-1][22-2] ซงจากการตรวจ

สอบของไทยเซรตพบวามเวบไซตภายใตการจดทะเบยนโดเมนเนมใน ประเทศไทย (.th) ไดรบผลกระทบ

จากกรณดงกลาวไมนอยกวา 1 หมนเวบไซต และจากขอมลทไดจากเวบไซต SANS [22-3] พบวาการโจมต

ดงกลาวเปนการใชเทคนค SQL Injection [22-4][22-5] ซงเปนเทคนคดงเดมทใชในการโจมตเวบไซตตางๆ

มานานแลว แตกยงคงใชไดผลอยกบเวบไซตจำานวนมาก สาเหตหลกๆ ทวเคราะหไดคอเวบไซตจำานวนมาก

ทไมมการรกษาความมนคงปลอดภยทดพอและไมมการตรวจสอบขอมลทตดตอกบผใชงาน จงทำาใหผโจมต

สามารถสงคาอนตรายเขาไปยงเวบไซตไดอยางงายดาย บทความนจะอธบายถงแนวทางการตรวจสอบขอมล

ทตดตอกบผใชงานหรอท เรยกวา Input / Output Validation ซงเปนกระบวนการทมความสำาคญมากตอ

การรกษาความมนคงปลอดภยของ เวบไซตและการปองกนการโจมตดวยเทคนค SQL Injection XSS [22-

6][22-7] โดยหวงวาจะชวยใหเกดการพฒนาเวบไซตทมความมนคงปลอดภยมากยงขนและชวยลดสถตของ

ประเทศไทยในการการถกโจมตจากชองโหวดงกลาวสำาเรจ

Input / Output Validation คออะไร Input Validation เปนการตรวจสอบขอมลทสงมาจากผใชงาน ซงขอมลดงกลาวอาจอยในรปทผใช

งานเหนโดยตรง เชน การลงทะเบยนสมครเปนสมาชกเวบไซต หรอเปนการสงขอมลในตวแปรแบบซอนใน

เวบไซตทมเนอหาแบบไดนามก [22-8] โดยการตรวจสอบขอมลจากผใชงานสามารถเกดขนไดทฝงผใชงาน

โดยตรง เชน ใชวธการตรวจสอบขอมลทสงมาจากผใชงานดวยภาษาจาวาสครปต (Javascript) ททำางาน

ในฝงผใชงาน แตกยงพบวาไมสามารถชวยปองกนการโจมตไดเทาทควรเนองจากผโจมต สามารถหลบเลยง

การตรวจสอบขอมลดวยวธการดงกลาวไดโดยไมยาก หรอใชวธการตรวจสอบขอมลผใชงานททำางานในฝง

ของเวบไซต เพอใหแนใจวาคาทไดมความถกตองกอนสงเขาไปประมวลผลในฟงกชน หลกของเวบไซต ซง

วธการนจะชวยลดความเสยงในการถกเปลยนแปลงฟงกชนการตรวจสอบ ขอมลไดดทสด เนองจากเปน

ซอรสโคดทถกฝงอยในฝงเวบไซต

Output Validation เปนการตรวจสอบขอมลจากการประมวลผลของเวบไซตกอนจะนำาออกมาแสดงผล

ในฝงผใชงาน ซงการตรวจสอบขอมลดงกลาวมความสำาคญไมแพการทำา Input validation โดยจดประสงค

หลกคอเพอปองกนการแสดงผลขอมลทไมเหมาะสม เชน ขอมลบตรเครดตในเวบไซตทมการลงทะเบยนชำาระ

เงนควรจะตองมการปองกน การมองเหนขอมลทงหมดโดยใสสญลกษณทบอกวาเปนการซอนขอมลบางอยาง

เชน สญลกษณ Asterisk (*) [22-9] ขอความแสดงความผดพลาดตางๆ (Error message) ซงอาจจะเปน

ขอมลทเปนประโยชนแกผไมประสงคดในการวางแผนโจมตเวบไซตตอไป หรอ แมแตการแสดงผลเนอหาใน

ลกษณะทอาจมสวนประกอบของสครปตอนตรายทสงผลกบผใชงานบนเวบไซต ซงในกรณนเวบไซตทดควร

จะตองมการแปลงสญลกษณพเศษบางอยางเพอ ไมใหเนอหาทแอบแฝงดวยสครปตอนตรายสามารถทำางาน

ไดโดยอตโนมตใน เวบเบราวเซอรของผใชงาน

ทำ ไมจงตองทำ Input / Output Validation ในทกเวบไซตมโอกาสในการถกโจมตไดเทาเทยมกนทงนน หากผดแลเวบไซตลองตรวจสอบขอมลลอก

ไฟล (Logfile) ของการเรยกใชงานเวบไซต กอาจพบวามการพยายามเรยกหนาเวบไซตอยางผดปกตซำาๆ ใน

ระยะเวลาไลเรยกน นนเปนเพราะผโจมตสวนใหญจะใชวธการสมเรยกเวบไซตโดยการพยายามสงคาอนตราย

ตางๆ ทงทสงคาเปนรายครงเพอทดสอบสมมตฐานบางอยางทใชในการโจมต หรอพฒนาเปนโปรแกรม

อตโนมตเพอโจมตเวบไซต ซงแทจรงแลวการทำา Input / Output Validation ไมไดเปนอะไรทใหม เพยง

แตผพฒนาเวบไซตเองอาจไมเคยสนใจหรอใสใจตอการรกษาความมนคงปลอดภยของเวบไซตเพยงพอหรอ

ในบางรายอาจคดวาไมจำาเปนตองทำา แตถาลองพจารณาถงแนวโนมและผลกระทบทเกดขนจากการถกโจมต

สำาเรจแลว นนคงทำาใหผพฒนาเวบไซตตองกลบมาคดเสยใหม เนองจากปจจบนคงเปนเรองทหลกเลยงยาก

ในการพฒนาเวบไซตตอเทรนดของเวบไซตสมยใหมทตองการใหผใชงานสามารถโตตอบกบเวบไซตไดอยาง

เสร อยางเชนในเวบไซต Facebook และในบางครงอาจจำาเปนตองมการซอขายทำาธรกรรมออนไลนซงหาก

เวบไซตไม ไดมกระบวนการปองกนทดกคงยากทจะทำาใหเวบไซตปลอดภยจากการโจมตและ อาจเปนผลให

เวบไซตหมดความนาเชอถอไปในทสด


ปญหาของการทำ Input / Output Validation ผพฒนาเวบไซตไมมความตระหนกถงความมนคงปลอดภยของเวบไซต ทำาใหไมมการวางแผนหรอการ

คาดการณในเรองของการปองกนการโจมตในรปแบบตางๆ

ผพฒนาเวบไซตไมมความรและความเขาใจถงการทำา Input / Output Validation อยางถกตอง สง

ผลทำาใหเวบไซตยงคงมชองโหวในการโจมต

ผพฒนาเวบไซตไมตองการปรบปรงเวบไซตเพอการทำา Input / Output Validation เนองจากทำาให

เกดความยงยากในการตรวจสอบขอมลทสงมาจากผใชงานซง มอยเปนจำานวนมาก

ในบางเวบไซตทเปนการจางพฒนาจากบรษทภายนอก การทำา Input / Output Validation หรอ

ปรบปรงเวบไซตจะทำาใหมคาใชจายเพมเตม สงผลทำาใหอาจไมไดรบการดแลหรอสงเสรม

ผพฒนาเวบไซตใชซอรฟแวรบรหารจดการเวบไซตเนอหาบนเวบไซต (CMS) ซงอาจไมมโมดลการทำา

Input / Output Validation สงผลใหเวบไซตมความเสยงตอการถกโจมต

ขอแนะนำ ในการทำ Input / Output Validation ไทยเซรตไดรวบรวมขอมลขอแนะนำาในการทำา Input / Output Validation โดยขอมลสวนใหญเปน

ขอมลทรวบรวมมาจากเวบไซตของ OWASP [22-10] ซงเปนเวบไซตทใหขอมลเกยวกบการพฒนาเวบไซต

ใหมความมนคงปลอดภยตามขอมลดงตอไปน

1. อยากลวการเปลยนแปลง ในเวบไซตทมการพฒนาขนแลวและมความคดทจะปรบปรงเวบไซตใหม

กระบวนการตรวจสอบขอมลทตดตอกบผใชงาน นบวาเปนความคดทมาถกทางแลวในการปองกน

ไมใหเกดความเสยหายตอเวบไซต เพยงแตการเปลยนแปลงทกลาวอาจมการวางแผนทด และอาศย

ความละเอยดรอบคอบในการดำาเนนการ ซงจะชวยลดเวลาและความผดพลาดทเกดขนได

2. ไมควรใชจาวาสครปตซงทำางานในฝงผใชงานเปนองคประกอบหลกในการตรวจสอบขอมลทสงมาจาก

ผใชงาน โดยหากมการใชงานจาวาสครปตในกรณดงกลาว ควรตองมการตรวจสอบรวมกบซอรสโคด

ทมการประมวลผลในฝงเวบไซตดวย เพอปองกนการเปลยนแปลงกระบวนการตรวจสอบขอมลในฝง

ผใชงาน

3. การทำา Input / Output Validation จะตองทำาในทกๆสวนทมการตดตอกบผใชงานบนเวบไซต ตอง

ไมสมทำาเพยงสวนใดสวนหนง เพราะหากยกเวนหรอลมการตรวจสอบไมวาจะสวนใดกตาม นนหมาย

ถงการเปดโอกาสใหผโจมตสามารถมโอกาสโจมตเวบไซตไดสำาเรจ

4. ควรมการกำาหนดขอบเขตของตวแปรและประเภทของตวแปรทใชในเวบไซตทงหมด เชนตวแปร A

เปนขอมลประเภท Text ตวแปร B เปนขอมลประเภท Number เพอใชเปนขอมลตงตนสำาหรบการ

พฒนาฟงกชนการตรวจสอบขอมลจากผ ใชงาน โดยฟงกชนทพฒนาขนจะตองไมประมวลผลตวแปร

ทไมอยในขอบเขตทกำาหนดไว

5. ควรมการกำาหนดและตรวจสอบรปแบบของขอมลทอนญาต (Whitelist) และขอมลทไมอนญาต

(Blacklist) ใหประมวลผลบนเวบไซต โดยอางองจากขอมลในแตละตวแปรวามจดประสงคจะใหใส

ขอมลใดบาง เชน ขอมลอเมล ควรจะมการตรวจสอบรปแบบของขอมลเฉพาะทแสดงใหรวาขอมลท

สงมาจาก ผใชงานเปนรปแบบของอเมลจรง เพอไมใหเกดขอผดพลาดในการรบคาผดรปแบบเขามา

ประมวลผลในเวบไซต หรอกรณทตวแปรมขอบเขตหรอรปแบบการรบคาจากผใชงานทเปดกวางไม ม

รปแบบทแนนอน เชน ขอมลจากหนากระดานสนทนา ซงเปดใหรบขอมลแบบอสระและมความสม

เสยงทผโจมตจะสงคา อนตรายเขามาโจมตยงเวบไซต เพราะฉะนนควรมการพจารณาคาบางประเภท

เชน “<script>” โดยไมควรใหสามารถสงคาเขามาประมวลผลยงเวบไซตได

6. ควรมการกำาหนดและตรวจสอบความยาวของขอมลในแตละตวแปร เพอตรวจสอบความผดปกตใน

การสงคาจากผใชงานเขามาประมวลผลยงเวบไซต เนองจากการสงคาอนตรายในบางครงจำาเปนตอง

พมพจำานวนมาก

7. ควรมการพฒนาฟงกชนการเขารหสขอมลหรอทเรยกวา Encoding เพอใชงานควบคไปกบการตรวจ

สอบขอมลทสงมาจากผใชงาน โดยจะชวยลดความเสยงทผโจมตจะโจมตโดยการแอบสงคาทเปน

สครปต อนตรายเขามาประมวลผลยงเวบไซตไดสำาเรจ

8. ในกรณทเวบไซตมฟงกชนการอพโหลดไฟล ควรมการกำาหนดและตรวจสอบประเภทของไฟลทอน

ญาตใหสามารถอพโหลดเขาไปประมวลผลยงเวบไซตได ซงสามารถตรวจสอบจากนามสกลบนชอ

ไฟลรวมกบขอมลทเวบไซตแสดงจากรายละเอยดของไฟล หรอในบางครงอาจจำาเปนตองใชงานฟง

กชนหรอไลบรารเสรมในการตรวจสอบ ประเภทของไฟล เพอชวยยนยนความถกตองอกครงหนง เชน

ฟงกชน fileinfo [22-11] ในภาษา PHP โดยจะชวยลดความเสยงทผโจมตจะอพโหลดไฟลสครปต

อนตราย เชน Web shell [22-12][22-13] ขนไปประมวลผลยงเวบไซตไดสำาเรจ

9. ควรใชงานกลไกการปองกนการโจมตจากโปรแกรมอตโนมตหรอบอททพยายามสมคาอนตรายมายง

เวบไซต โดยตวอยางของกลไลทไดรบความนยมในปจจบน เชน Captcha [22-14] ถกออกแบบมา

เพอใชยนยนวาขอมลทถกสงมาเปนขอมลจากผใชงานทเปนมนษย

10. ควรปดการแสดงผลขอมลขอผดพลาดของเวบไซต (Error Message) ในทกๆกรณ เชน การแสดงขอ

ผดพลาดของเวบไซตทบงบอกวาไมสามารถเชอมตอฐานขอมลได โดยการปดการแสดงผลดงกลาว

เพอลดโอกาสทจะทำาใหผไมหวงดสามารถนำาขอมลดงกลาวไปใชวางแผนโจมต เวบไซตตอไปได

11. ควรเลอกใชขอความแสดงความผดพลาดของการกรอกขอมลทเปนกลาง ยกตวอยางกรณของการก

รอกแบบฟอรมลอกอนเขาสระบบ ซงผใชงานไดสงคา username ทผดพลาด ไปยงเวบไซต จากนน

เวบไซตไดแสดงผลลพธของการลอกอนวา “ไมพบ username นในฐานขอมลเวบไซต” ซงจากกรณ


ดงกลาวถอเปนการแสดงผลลพธทไมเหมาะสม เนองจากมโอกาสเสยงสงททำาใหผไมหวงดสามารถ

ตความจากผลลพธได โดยตรง และทำาใหผโจมตสามารถวางแผนการโจมตเวบไซตไดอยางงายดาย

โดยขอแนะนำาสำาหรบกรณดงกลาวควรจะตองแจงวา “username หรอ password ของทานผด

พลาด”

12. ใชไลบรารภายนอกทมความสามารถในการตรวจสอบขอมลทตดตอกบจากผใชงาน ซงจะชวยลดเวลา

และความผดพลาดในการพฒนาฟงกชนการตรวจสอบขอมลดวยตนเอง โดยมไลบรารตวอยางทชอ

วา ESAPI จากเวบไซต OWASP ซงมขอดทสนบสนนการทำางานในหลากหลายภาษาเชน PHP ASP.

NET JAVA PYTHON และผใชงานสามารถศกษาวธการใชงานจากเวบไซตผพฒนาไดโดยตรง [22-15]

อางอง [22-1] http://thehackernews.com/2012/01/one-million-pages-infected-by.html

[22-2] http://isc.sans.org/diary/Lilupophilupop+tops+

1million+infected+pages/12304

[22-3] http://www.sans.org/

[22-4] http://www.unixwiz.net/techtips/sql-injection.html

[22-5] https://www.owasp.org/index.php/SQL_Injection

[22-6] http://www.acunetix.com/websitesecurity/xss.htm

[22-7] https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

[22-8] http://en.wikipedia.org/wiki/Dynamic_web_page

[22-9] https://www.owasp.org/index.php/Output_Validation

[22-10] http://www.owasp.com/index.php/Data_Validation

[22-11] http://php.net/manual/en/book.fileinfo.php

[22-12] http://www.thisislegal.com/tutorials/2

[22-13] http://www.madirish.net/node/271

[22-14] http://www.captcha.net/

[22-15] https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API

23 รทนและปองกน MalwaRE

ในระบบปฏบตการ andRoidผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 24 ม.ค. 2555ปรบปรงลาสด: 24 ม.ค. 2555

ในยคแหงการตดตอสอสาร คงไมอาจปฏเสธไดวาการใชงานโทรศพทมอถอนนเปนสงจำาเปน เนองจาก

ความกาวหนาทางเทคโนโลย ทำาใหระบบปฏบตการในโทรศพทมอถอนนสามารถทำางานหลายอยางไดเทยบ

เทา กบคอมพวเตอรทวไป โดยเฉพาะโทรศพทมอถอ Smartphone [23-1] นน นอกจากจะใชเปนโทรศพท

ไดแลวยงสามารถตดตงโปรแกรมเพมเตมเพอให สามารถทำางานในสวนอนๆ ไดอกดวย เชน เชอมตอกบเครอ

ขายสงคมออนไลน หรอทำาธรกรรมทางอเลกทรอนกส เปนตน แตการอนญาตใหผใชตดตงโปรแกรมเพมเตม

ได กเปนการเปดโอกาสใหผไมหวงดพฒนาโปรแกรมไมพงประสงค (Malware) เพอเขามาโจมตโทรศพทมอ

ถอของผใชไดเชนกน

ระบบปฏบตการ ในโทรศพทมอถอในปจจบนมอยหลากหลาย ไมวาจะเปน Apple iOS, Microsoft

Windows Phone, BlackBerry OS, Symbian หรอ Android แตระบบปฏบตการทไดรบความนยมสงสด

และมสวนแบงในตลาดมากทสดใน ปจจบนนคอ Android จากขอมลของ Gartner ซงเปนบรษททวจยเกยว

กบเทคโนโลย พบวาในเดอนพฤศจกายน พ.ศ. 2554 ระบบปฏบตการ Android มสวนแบงในตลาดถง 52.5%

[23-2] นนเทากบวา ครงหนงของผใชโทรศพทมอถอทวโลกใชระบบปฏบตการ Android

ในปจจบนระบบปฏบตการ Android ถกพฒนาโดย Google โดยมพนฐานมาจากระบบปฏบตการ

Linux [23-3] Android ออกเวอรชน 1.0 ในป พ.ศ. 2551 ปจจบนพฒนามาถงเวอรชน 4.0 ซงมชอทางการ

วา Ice Cream Sandwich [23-4] ในตอนแรกนนระบบปฏบตการ Android ถกพฒนามาเพอใชในโทรศพท

มอถอเพยงอยางเดยว จนกระทงเวอรชน 3.0 หรอทมชอทางการวา Honeycomb ไดถกพฒนาใหใชงานได

กบแทบเลต (Tablet) ดวย เนองจาก Google แจกจายระบบปฏบตการ Android ในรปแบบของโอเพนซอรส

(Open Source) ทำาใหผผลตสามารถนำาระบบปฏบตการ Android ไปพฒนาลงในอปกรณของตนเอง เชน

โทรศพทมอถอ หรอ แทบเลต ไดโดยไมเสยคาใชจาย ดงนนเราจงพบการใชงานอปกรณทมการตดตงระบบ

ปฎบตการ Android อยเปนจำานวนมาก โดยมราคาแตกตางกนไปตามคณสมบตของตวอปกรณ


เนองจากความนยมของระบบปฏบตการ Android จงมผพฒนา Malware ออกมาเผยแพรเปนจำานวน

มาก จากแตกอนทมการเผยแพรผานไฟล .apk (ไฟลสำาหรบตดตงโปรแกรมของ Android) เพยงอยางเดยว

แตในปจจบนนพบวา ใน Android Market ทเปนรปแบบหลกในการเผยแพรโปรแกรมของระบบปฏบต

การ Android ซงดแลโดย Google นนพบวาไมมการตรวจสอบโปรแกรมทผพฒนาสงเขามา ทำาใหมการสง

Malware เขามาใน Android Market อยบอยครง [23-5] และจากขอมลของ Juniper Networks Global

Threat Center พบวา ตงแตเดอนกรกฎาคมถงเดอนพฤศจกายน 2554 อตราการเพมขนของ Malware ใน

ระบบปฏบตการ Android มถง 472% [23-6] จากความเสยงดงกลาว ผใชอปกรณทตดตงระบบปฏบตการ

Android จงควรศกษาวธการตดตงโปรแกรมและปรบการใชงานใหเหมาะสม เพอเปนการปองกน Malware

ไมใหตดโทรศพทมอถอหรอแทบเลตของตนเอง

การตดตงโปรแกรมในระบบปฏบตการ Androidโดยปกตแลว การตดตงโปรแกรมในระบบปฏบตการ Android สามารถทำาได 2 ทาง คอ ตดตงจาก

Android Market และดาวนโหลดไฟล .apk มาตดตงเอง ซงแตละแบบมวธการดงน

ตดตงจาก Android Market

Android Market คอศนยรวมโปรแกรมของระบบปฏบตการ Android ท Google เปดใหผใชสามารถ

เขามาคนหาและดาวนโหลดโปรแกรมทมาจากผพฒนาภายนอก ไดผานทางเวบไซต https://market.android.

com/ หรอเขาจากโปรแกรม Market ในโทรศพทมอถอ หากผใชตองการตดตงโปรแกรมใดๆ กสามารถคลก

ทปม Install หรอ Purchase ทอยใตชอของโปรแกรมนนๆ หลงจากเลอกอปกรณทตองการตดตงโปรแกรม

แลว หากผใชเชอมตออปกรณดงกลาวเขากบอนเทอรเนต โปรแกรมทเลอกกจะถกดาวนโหลดและตดตง

ลงในอปกรณดงกลาวใหโดยอตโนมต ตวอยางหนาจอเวบไซต Android Market เปนดงรปท 116 (23-1)

รปท 116 (23-1) เวบไซต Android Market

ตดตงจากไฟล .apk

ไฟล .apk เปนไฟลทใชสำาหรบตดตงโปรแกรมของระบบปฏบตการ Android ซงผใชอาจดาวนโหลดมา

จากเวบไซตของผพฒนาโปรแกรมเอง หรอดาวนโหลดมาจากเวบไซตทแจกโปรแกรมละเมดลขสทธ โดยปกต

แลวระบบปฏบตการ Android จะรองรบการตดตงโปรแกรมอนๆ ทไมไดอยใน Android Market ได โดยผ

ใชตองมากำาหนดคาจากเมน Setting เลอก Applications แลวเลอก Unknown sources เพอยอมรบการ

ตดตงโปรแกรมทไมรแหลงทมา ดงรปท 117 (23-2)

รปท 117 (23-2) การยอมรบการตดตงโปรแกรมทไมรแหลงทมา

ผใชสามารถใชโปรแกรมประเภท File Manager เพอทำาการตดตงโปรแกรมจากไฟล .apk ทดาวนโหลด

มาได แตไมวาจะเปนการตดตงโปรแกรมจาก Android Market หรอจากไฟล .apk ระบบปฏบตการ Android

จะแสดงหนาจอ Permission เพอใหผใชตรวจสอบและยอมรบสทธการเขาถงของโปรแกรมทจะตดตง ดงรป

ท 118 (23-3) โดยรายละเอยดของ Permission จะกลาวถงในหวขอถดไป

รปท 118 (23-3) ตวอยางหนาจอ Permission เมอทำาการตดตงโปรแกรมจากเวบไซต Android Market


Permission ใน Android คออะไรระบบปฏบตการ Android นนถกออกแบบมาใหมความมนคงปลอดภยตงแตแรก โปรแกรมทกตวใน

ระบบจะสามารถเขาถงไดแคคณสมบตพนฐานของระบบ เชน สวนตดตอกบผใช การแสดงผลทางหนาจอ

เปนตน หากผพฒนาตองการใหโปรแกรมของตนมการเรยกใชคณสมบตพเศษเพมเตมจากระบบปฏบตการ

เชน อานขอมลบญชผใช หรอเขยนขอมลใน SD Card กจำาเปนตองเพมสวนทเปนการขอใชสทธ (Permission)

ดงกลาวในโปรแกรมของตนดวย [23-7] [23-8] [23-9] ซงรายการสทธทงหมดทโปรแกรมตองการใชงานนน

จะปรากฏตงแตแรกตอนผใชตดตงโปรแกรม ดงรปท 119 (23-4) เพอใหผใชไดรบทราบและพจารณาการ

ทำางานของโปรแกรมกอนทำาการตดตง

รปท 119 (23-4) ตวอยางการขอ Permission ในการตดตงโปรแกรม

ตวอยาง Permission ทควรพจารณากอนทำาการตดตงโปรแกรม มดงน [23-10]

• Services that cost you money

o Make phone calls

§ อนญาตใหโปรแกรมโทรออกได

• Send SMS or MMS

o อนญาตใหโปรแกรมสง SMS หรอ MMS ได

• Storage

o Modify/delete SD card contents

§ อนญาตใหโปรแกรมสราง แกไข หรอลบขอมลทอยใน SD Card ได ซงจำาเปนในบาง

โปรแกรม เพราะตองเกบขอมลลงใน SD Card

• Your personal information

o Read contact data, write contact data

§ อนญาตใหโปรแกรมอานหรอสรางรายชอผตดตอในสมดโทรศพทได

o Read calendar data, write calendar data

§ อนญาตใหโปรแกรมอานขอมลหรอสรางกำาหนดการใหปฏทนได

o Read/write Browser history and bookmarks

§ อนญาตใหโปรแกรมดขอมลเวบไซตทผใชเคยเขาหรอด Bookmark ได

o Read logs / Read sensitive logs

§ อนญาตใหโปรแกรมสามารถอาน log ของโปรแกรมอนหรอ log ของระบบได ซงโดย

ปกตแลวโปรแกรมทใช Permission นมแคโปรแกรมของ Google

• Phone calls

o Read phone state and identity

§ อนญาตใหโปรแกรมอานหมายเลข IMEI และ IMSI ของเครอง

• Your location

o Fine (GPS) location

§ อนญาตใหโปรแกรมตรวจสอบตำาแหนงทอยของผใชจาก GPS

o Coarse (network-based) location

§ อนญาตใหโปรแกรมตรวจสอบตำาแหนงทอยของผใชจากผใหบรการโทรศพท

• Network Communication

o Create Bluetooth connection

§ อนญาตใหโปรแกรมสรางการเชอมตอผาน Bluetooth จำาเปนตองใชในโปรแกรมทใช

ในการรบสงไฟลหรอเชอมตอหฟงไรสาย

o Full internet access

§ อนญาตใหโปรแกรมเชอมตอกบอนเทอรเนต

o View network state / Wi-Fi state

§ อนญาตใหโปรแกรมตรวจสอบวาผใชเชอมตออนเทอรเนตผาน Data หรอ Wi-Fi

• Your accounts

o Discover Known Accounts

§ อนญาตใหโปรแกรมสามารถอาน Username ของผใชได (เฉพาะ Username ไมรวม

Password)

o Manage Accounts

§ อนญาตใหโปรแกรมสราง Account ใหมเพมในระบบได ซงจำาเปนตองใชในโปรแกรม

ประเภท Social media

o Use Credentials

§ อนญาตใหโปรแกรมเขาถง User account ของผใช ซงรวมถง Username และ

Password


• Your messages

o Read/modify Gmail

§ อนญาตใหโปรแกรมสามารถเขาถงบญช Gmail ของผใชได

• System tools

o Install Packages

§ อนญาตใหโปรแกรมสามารถตดตงโปรแกรมอนเพมเตมได โปรแกรมโดยทวไปไมควร

รองขอสทธน ยกเวนจะเปนโปรแกรมประเภท Market หากไมใช ใหสงสยไวกอนวา

โปรแกรมนนอาจจะเปน Malware

o Prevent phone from sleeping

§ อนญาตใหโปรแกรมปองกนไมใหเครองเขาสสถานะ Sleep หากผใชไมไดทำาอะไรกบ

เครองตามระยะเวลาทกำาหนด ความสามารถนอาจถกใชในโปรแกรมบางประเภท เชน

โปรแกรมเลนวดโอ

o Modify global system settings

§ อนญาตใหโปรแกรมแกไขคาของระบบ ซงจำาเปนตองใชในบางโปรแกรมเทานน เชน

Widget หรอโปรแกรมปรบแตงระบบ

o Read sync settings

§ อนญาตใหโปรแกรมตรวจสอบวาผใชเปดการ Synchronize ขอมลใหกบโปรแกรมท

ทำางานอยเบองหลง (เชน Facebook, Gmail) หรอเปลา

o Restart other applications

§ อนญาตใหโปรแกรมทำาการ Restart โปรแกรมอนหรอเปลา

o Retrieve running applications

§ อนญาตใหโปรแกรมตรวจสอบรายชอของโปรแกรมทกำาลงทำางานอย โดยทวไปจะใช

กบโปรแกรมประเภท Task killer

o Automatically start at boot

§ อนญาตใหโปรแกรมเรมทำางานโดยอตโนมตทกครงทเปดเครอง

• Hardware controls

o Control Vibrator

§ อนญาตใหโปรแกรมทำาใหเครองสนได ซงจำาเปนตองใชในบางโปรแกรม เชน ทำาใหเครอง

สนเมอมสายเขาหรอแจงเตอนกำาหนดการ

o Take Pictures & Video

§ อนญาตใหโปรแกรมสามารถถายรปหรอวดโอได

จะเหนไดวา Permission บางอยางอาจถกผไมหวงดนำาไปใชในทางทผดได เชน สราง Malware เพอ

แอบอานขอมลรายชอผตดตอของผใช แอบถายรปผใช รวมถงแอบสงขอมลของผใชงานผานอนเทอรเนตกลบ

ไปใหผพฒนา Malware เปนตน Malware ทถกสรางมาเพอขโมยขอมล อาจมาในรปของโปรแกรมธรรมดา

เชน เครองคดเลข แตมความตองการ Permission ทไมนาจะเกยวของกบการทำางานของโปรแกรม เชน เขา

ถงขอมลรายชอผตดตอ เขาถงกลองถายรป หรอเชอมตอกบอนเทอรเนต เปนตน ดงนนกอนทำาการตดตง

โปรแกรมทกครงควรตรวจสอบใหแนใจวาโปรแกรมนน ไมไดมการขอใชสทธเกนความจำาเปน

หากผใชตองการตรวจสอบวา โปรแกรมทตดตงไปแลวนน มการขอ Permission อะไรบาง สามารถ

ทำาไดดวยการเขาไปทเมน Settings เลอก Applications แลวเลอก Manage applications จากนนจะ

ปรากฏรายชอโปรแกรมทตดตงในระบบ ซงสามารถเลอกดรายละเอยด Permission ของแตละโปรแกรมได

หากโปรแกรมทไดตดตงไปแลว แจงใหทำาการ Update แบบ Manual update หมายความวาทางผ

พฒนามการปรบเปลยน Permission บางอยางจากเวอรชนกอนหนา กอนทำาการตดตงโปรแกรมเวอรชน

ใหมควรตรวจสอบ Permission เพอความแนใจอกครงหนง

อนตรายและการปองกนภยจาก Malwareจากเหตการณทผานมา พบวาผพฒนา Malware ในระบบปฏบตการ Android โดยสวนใหญจะใช

วธการสรางโปรแกรมทดเหมอนจะไมมอนตรายแตแอบแฝง โคดอนตรายมาดวย ซงหากผใชไมตรวจสอบ

Permission ใหดกอนทำาการตดตงโปรแกรม กจะตกเปนเหยอของ Malware ไดโดยงาย นอกจากน ผ

พฒนา Malware สวนใหญจะใชวธการหลอกลวงแบบวศวกรรมทางสงคม (Social engineering) รวมดวย

เชน สรางโปรแกรมโดยตงชอใหเหมอนกบเปนเวอรชนฟรของโปรแกรมทตองเสย เงนซอ เพอหลอกใหคน

ดาวนโหลดไปตดตง เปนตน [23-11]

กอนหนาน Malware ในระบบปฏบตการ Android โดยสวนใหญจะเนนไปในดานการขโมยขอมล

เนองจากผใชอาจมการเกบขอมลสำาคญทเปนความลบ เชน บญชธนาคารหรอไฟลเอกสารสำาคญ ไวในโทรศพท

มอถอ ตวอยาง Malware ทโจมตดวยวธนคอโทรจนชอ Antammi ซงหลอกวาเปนโปรแกรมทเอาไวสำาหรบ

ดาวนโหลดเสยงเรยกเขา (Ringtone) [23-12] แตในปจจบน Malware ในระบบปฏบตการ Android ไดถก

พฒนาใหสามารถทำางานไดหลากหลายและสรางความเสยหายไดมากขน ตวอยางเชน Zitmo ทถกพฒนามา

จาก Zeus ซงเปนโทรจนใน PC โดยทำาหนาทเปน Man-in-the-Middle คอยดกรบและแกไขขอมลการใช

งาน e-Banking ของผใช [23-13] และลาสด Kaspersky Labs ไดคนพบ Malware ตวใหมททำาหนาทเปน

IRC Bot [23-14] ซงเปดโอกาสใหผโจมตเขามาควบคมเครองของผใชจากระยะไกลได ถงแมวาปจจบนนจะ

มโปรแกรม Antivirus สำาหรบระบบปฏบตการ Android ออกมามากมาย แตจากผลการทดสอบของสำานก

วจยหลายแหงพบวาการตดตงโปรแกรม Antivirus ในระบบนนไมสามารถชวยในการตรวจจบ Malware

ไดมากเทาไหรนก แตกลบทำาใหเครองทำางานชาลงและทำาใหสนเปลองพลงงานมากขน [23-15] [23-16]

เนองจากจดออนของ Android Market ทไมมมาตรการตรวจสอบโปรแกรมกอนปลอยใหดาวนโหลด

มเพยงแคการ แจงลบโปรแกรมทไมเหมาะสม และระบบปฏบตการ Android อนญาตใหผใชตดตงโปรแกรม

ทอยในรปแบบของไฟล .apk ได ทำาใหผใชตองระมดระวงตนเองในการใชงาน เชน ตรวจสอบเวบไซตของผ

พฒนา พจารณาจากผลการ Review ทนาเชอถอกอนทำาการตดตงโปรแกรมใดๆ รวมถงไมตดตงโปรแกรม


ละเมดลขสทธหรอโปรแกรมทมาจากแหลงทไมนา เชอถอ เชน เวบไซตสำาหรบฝากไฟล เนองจากอาจม

Malware แอบแฝงมาได หากสงสยวาระบบตด Malware ผใชอาจจะสามารถตรวจสอบเบองตนไดโดยการ

ดบนทกของระบบ เชน บนทกการโทรออก หรอบนทกการใชงาน Mobile data เปนตน

อางอง[23-1] http://en.wikipedia.org/wiki/Smartphone

[23-2] http://www.gartner.com/it/page.jsp?id=1848514

[23-3] http://developer.android.com/guide/basics/what-is-android.html

[23-4] http://www.android.com/about/ice-cream-sandwich/

[23-5] http://www.droid-life.com/2011/03/02/droiddream-malware-enters-official-

android-market-chaos-ensues-after-root-exploit-found-embedded

[23-6] http://globalthreatcenter.com/?p=2492

[23-7] http://source.android.com/tech/security/index.html

[23-8] http://developer.android.com/guide/topics/security/

security.html

[23-9] http://www.vogella.de/articles/Android/article.html#

overview_permissions

[23-10] http://alostpacket.com/2010/02/20/how-to-be-safe-find-trusted-apps-avoid-

viruses/

[23-11] http://www.androidpolice.com/2011/11/05/psa-no-this-is-not-msn-2012-

angry-birds-2-or-modern-warfare-for-android-what-you-can-do-if-you-see-

malware-in-the-market/

[23-12] http://www.net-security.org/malware_news.php?id=1889

[23-13] http://blog.fortinet.com/zitmo-hits-android/

[23-14] http://www.androidpolice.com/2012/01/13/first-irc-bot-for-android-shows-

up-allows-full-remote-control-of-your-device/

[23-15] http://www.zdnetasia.com/android-antivirus-freeware-near-to-

useless-62302868.htm

[23-16] http://news.cnet.com/8301-1009_3-57325078-83/free-android-antivirus-apps-

fail-to-cut-it/

24 เสรมความมนคงปลอดภยใหกบ

ซอฟตแวรดวย EMETผเขยน: วศลย ประสงคสขวนทเผยแพร: 2 ม.ค. 2555ปรบปรงลาสด: 2 ม.ค. 2555

ปญหาหนงของผใชงานคอมพวเตอรในยคทเทคโนโลยมความเจรญกาวหนาอยางรวดเรว คอ ผใชไม

สามารถตดตามขาวสารและแกไขชองโหวของซอฟตแวรทใชงานไดอยางทนทวงท นอกจากนในฝงของผ

พฒนาเอง บางครงถงแมจะรวาซอฟตแวรทตนพฒนามชองโหว กยงไมสามารถแกไขชองโหวเหลานนไดทนท

เนองจากจะตองมการทดสอบใหแนใจวา การแกปญหานนไมสงผลกระทบกบการทำางานปรกตของซอฟตแวร

แลวในชวงเวลาเชนนผใชจะปองกนตนเองไดอยางไร

โปรแกรม Enhanced Mitigation Experience Toolkit หรอ EMET เปนทางเลอกหนงสำาหรบผใช

งานระบบปฏบตการ Windows เนองจากการทำางานภายใน EMET ประกอบไปดวยเทคโนโลยตาง ๆ ทม

คณสมบตเรยกวา Mitigation Technology โดยจะทำาหนาทขดขวางการทำางานทผดปรกต จงสามารถชวย

ลดโอกาสของผไมหวงดในการโจมตผใชงานระบบปฏบตการ Windows ไดสำาเรจ ซงจากขอมลของ EMET

ไดระบถงรายละเอยดของเทคนค Mitigation Technology ตาง ๆ โดยจะอธบายในหวขอถดไป

ปจจบน EMET พฒนามาถงเวอรชน 2.1 โดยผใชสามารถใชงานไดทงในรปแบบ Graphic User

Interface (GUI) และแบบ Command-line Interface (CLI) ผใชสามารถดาวนโหลด EMET ไปตดตงได

ดวยตนเองจาก เวบไซตของ Microsoft โปรแกรม EMET สามารถทำางานไดบนระบบปฏบตการดงตอไปน

• Windows XP ทตดตง Service Pack 3 หรอเวอรชนใหมกวา

• Windows Vista ทตดตง Service Pack 1 หรอเวอรชนใหมกวา

• Windows 7 ทกเวอรชน

• Windows Server 2003 หรอเวอรชนใหมกวา

• Windows Server 2008 ทกเวอรชน

* หมายเหต การใชงาน EMET ในรปแบบ GUI ผใชจำาเปนตองตดตง .NET Framework 2.0 หรอใหมกวา


http://www.androidpolice.com/2011/11/05/psa-no-this-is-not-msn-2012-angry-birds-2-or-modern-warfare-for-android-what-you-can-do-if-you-see-malware-in-the-market/



Mitigation TechnologyMitigation Technology ทเกยวของกบ Microsoft จะหมายถงเทคโนโลยททาง Microsoft พฒนาขน

มาเอง โดยมวตถประสงคเพอเพมความมนคงปลอดภยใหกบระบบปฎบตการ ซงโดยสวนใหญมกจะอพเดท

เทคโนโลยดงกลาวเขามารวมกบ Windows เวอรชนใหมหรอเวอรชนลาสด ณ ชวงเวลานน แตขอเสยคอ

เทคโนโลยดงกลาวจะสามารถตรวจสอบและปองกนไดเพยงโปรแกรม ทตดตงมาพรอมกบระบบปฎบตการ

เทานน ซงในโปรแกรม EMET ทมหลกการทำางานของ Mitigation Technology อยแลวนน ผใชสามารถ

กำาหนดใหใช Mitigation Technology กบโปรแกรมอน ๆ ทตดตงเพมเตมภายหลงได จงทำาใหระบบมความ

มนคงปลอดภยมากยงขน โดย Mitigation Technology ทมในโปรแกรม EMET เวอรชน 2.1 มดงตอไปน

1. Structure Exception Handler Overwriter Protection [24-1] [24-9]

SEHOP จะตรวจสอบการทำางานของ Structure Exception Handler (SEH) ซงเปนสวนททำาหนาท

จดการกบขอผดพลาดทเกดขนในระหวางการประมวล ผล (Exception Handlind) โดยจะปองกนไมใหม

การนำาคำาสงอนตรายเขามาประมวลผลในระหวางการจดการ Exception ทำาใหการโจมตโดยใชวธ Stack

Overflow ทำาไดยากขน

2. Dynamic Data Execution Prevention [24-2] [24-9]

DEP จะเปนการตรวจสอบการใชงานหนวยความจำา โดยจะปองกนไมใหมการนำาคาในตำาแหนงของ

หนวยความจำาทมไวสำาหรบเกบขอมลไปประมวลผล ทำาใหการโจมตดวยวธ Buffer Overflow ทำาไดยากขน

3. Heap Spray Allocation [24-3] [24-9]

HSA จะเปนการจองพนทในหนวยความจำาในสวนของ Heap ใหกบโพรเซสนนๆ ไวลวงหนา เพอทำาให

การโจมตโดยวธ Heap spray ทำาไดยากขน

4. Null Page Allocation [24-3] [24-9]

NPA ชวยใหการโจมตโดยใชเทคนค Null Dereference ทำาไดยากขน (Null Dereference คอการ

ใช Pointer กำาหนดคา Null ใหกบหนวยความจำา ทำาใหโพรเซสไมสามารถทำางานตอได) ปจจบนยงไมพบ

การโจมตดวยวธน

5. Address Space Layout Randomization [24-5] [24-9]

ASLR จะสลบตำาแหนง (Shuffle) โมดลในแตละสวนของโปรแกรม แลวสมตำาแหนงของหนวยความจำา

ทจะเกบโมดลนนไว กอนจะโหลดโปรแกรมเขาไปในหนวยความจำาเพอทำาการประมวลผล ทำาใหการโจมตโดย

การสง Jump ไปยงตำาแหนงในหนวยความจำาเปนไปไดยาก

6. Bottom-Up Randomization [24-3] [24-4] [24-9]

BUR เปนการใส Offset เขาไปในสวนทายของ Stack หรอ Heap เพอใหแตละครงทมการโหลดไลบราร

เขาไปในหนวยความจำาจะไมไดอยท ตำาแหนงเดม ทำาใหการโจมตโดยการคาดการณทอยของไลบรารทำาไดยาก

7. Export Address Table Access Filtering [24-3] [24-9]

EAF จะปองกนการคนหาตำาแหนงของฟงกชนของระบบปฏบตการใน Export Address Table (EAT)

โดยจะทำาการตรวจสอบวาฟงกชนนนสามารถเรยกใชงาน EAT ไดหรอไม ทำาในการโจมตโดยใช Shell code

บางประเภทนนทำาไดยาก

การใชงานโปรแกรม EMETเอกสารฉบบนจะแสดงวธการใชงานโปรแกรม EMET ในรปแบบ GUI บนระบบปฏบตการ Windows

XP โดยมวธการดงน

เมอเปดโปรแกรม EMET ขนมาจะพบหนาตางแสดงสวนประกอบของโปรแกรมดงรปท 120 (24-1)

รปท 120 (24-1) หนาตางเรมตนเมอเปดโปรแกรม EMET

จากรปท 120 (24-1) สวนประกอบของหนาตางโปรแกรม EMET มดงตอไปน

• System Status เนองจากในระบบปฏบตการ Windows XP มการตดตง DEP ไวในระบบ

แลวแตยงไมไดมการตดตง SEHOP และ ASLR ดงนนหนาตางโปรแกรม EMET จงแสดงคาเปน

Unavailable อยางไรกตามผใชยงสามารถใชงาน SEHOP และ ASLR ไดเนองจาก EMET ไดรบ

การพฒนาใหใช SEHOP และ ASLR กบโปรแกรมตาง ๆ ได

o Configure System เปนปมเรยกหนาตางการตงคาโหมดการทำางานของ Mitigation ท

รองรบใหกบระบบ ซงในทนคอ DEP โดยหนาตางการตงคามสวนประกอบดงรปท 121 (24-2)


รปท 121 (24-2) หนาตางการตงคา DEP ใหกบระบบ

§ Profile name

§ Maximum Secutiy Settings จะเปนเปลยนคาให DEP ทำางานในโหมด AlwaysOn

§ Recommended Security Settings จะเปนการเปลยนให DEP ทำางานในโหมด OptIn

o *หมายเหต โหมดการทำางานของ DEP มดงตอไปน [24-2]

§ OptIn: เปนการตงคาให DEP ตรวจสอบเฉพาะไบนารของระบบปฏบตการ โหมดการ

ทำางานนเปนคาตงตนของระบบ

§ OptOut: เปนการตงคาเพอเลอกโปรแกรมทไมตองใช DEP

§ AlwaysOn: เปนการตงคาเพอให DEP ตรวจสอบทกโพรเซสทรนอยในระบบ ไมวา

โพรเซสนนจะเปนของโปรแกรมทระบใน OptOut หรอไม

§ AlwaysOff: ตงคาเพอไมใชงาน DEP

• Running Processes เปนรายการของโพรเซสทกำาลงทำางานอยในขณะนน รายการน

โปรแกรม EMET จะตรวจสอบการเปลยนแปลงทก ๆ 30 วนาท

o Configure Apps เปนปมเรยกหนาตางตงคาเพอใหผใชสามารถเลอกโปรแกรมทตองการ

ให EMET ตรวจสอบโพรเซส ซงมสวนประกอบดงรปท 122 (24-3)

รปท 122 (24-3) หนาตางเลอกโปรแกรมทตองการให EMET ตรวจสอบ

ผใชสามารถเพมหรอลดโปรแกรมทตองการให EMET ตรวจสอบการทำางานไดโดยคลกทปม Add หรอ

Remove ในดานลางซาย ในการเลอกโปรแกรมนนจะตองระบพาธทโปรแกรมนนตดตงอย

ในการพจารณาเลอกโปรแกรมเพอใชงานกบ EMET ผใชควรเลอกโปรแกรมทใชงานในชวตประจำาวน

เพราะวาโปรแกรมทใชงานบอยมกจะเปนเปาหมายของการโจมต [24-6] ตวอยางโปรแกรมทใชงานบอยเชน

โปรแกรมเวบเบราวเซอร โปรแกรมสำานกงาน (Microsoft Office, OpenOffice) โปรแกรมดานมลตมเดย

และโปรแกรม Adobe Reader, Adobe Acrobat เปนตน

หลงจากเลอกโปรแกรมเรยบรอยแลวจะตองทำาการเรมโปรแกรมนนใหมเพอให EMET ทำางาน

*หมายเหต บางเทคนคไมสามารถใชงานไดกบบางโปรแกรม เนองจากอาจทำาใหโปรแกรมนนทำางาน

ผดปรกตได ดงนนหลงจากเลอกโปรแกรมใชงานแลว จงควรทดสอบใหแนใจวาโปรแกรมนน ๆ ทำางานได

ปรกต [24-7]

เนองจาก EMET เปนเครองมอทมการทำางานอยเบองหลง ทำาใหผใชไมสามารถตรวจสอบวา EMET

ทำางานอยหรอไมไดโดยตรง แตสามารถตรวจสอบไดโดยดจากโปรแกรมทมความสามารถตรวจสอบโพรเซส

ของโปรแกรม ตาง ๆ ทกำาลงทำางานอยเชน โปรแกรม Process Explorer [24-8] เปนตน ในรปท 123 (24-4)

เปนการใชโปรแกรม Process Explorer ตรวจสอบโพรเซสของ Internet Explorer

รปท 123 (24-4) EMET กำาลงตรวจสอบการทำางานในขณะทใชโปรแกรม Internet Explorer

การใชงาน EMET ชวยใหซอฟตแวรตาง ๆ มความมนคงปลอดภยเพมขนระดบหนง อยางไรกตามผใช

ควรหมนตดตามขาวสารและอพเดทซอฟตแวรใหเปนเวอรชนลาสดอยเสมอ และทสำาคญ ผใชควรระมดระวง

การเปดเวบไซต ไฟล หรอสงอน ๆ ทไมนาไวใจซงอาจเปนอนตรายตอระบบคอมพวเตอรได


อางอง[24-1] http://blogs.technet.com/b/srd/archive/2009/02/02/

preventing-the-exploitation-of-seh-overwrites-with-sehop.aspx


[24-3] http://blogs.technet.com/cfs-filesystemfile.ashx/__key/communityserver-

components-postattachments/00-03-35-03-78/Users-Guide.pdf

[24-4] http://blog.didierstevens.com/2011/09/29/add-bottom-up-randomization-

to-your-own-source-code/

[24-5] http://blog.didierstevens.com/2011/08/16/so-how-good-is-pseudo-aslr/

[24-6] http://rationallyparanoid.com/articles/microsoft-emet-2.html


[24-8] http://technet.microsoft.com/en-us/sysinternals/bb896653

[24-9] http://www.infoworld.com/t/microsoft-windows/microsoft-shuffles-windows-

security-deck-emet-21-831

25 EXTEnSion ใน googlE

ChRoME สวมรอยบญชผใช faCEbookผเขยน: ศภกร ฤกษดถพรวนทเผยแพร: 30 มนาคม 2555ปรบปรงลาสด: 30 มนาคม 2555

เวบเบราวเซอร คอสวนหนงทสำาคญในการเขาสโลกออนไลนเพอซอสนคา ตดตามขาวสาร ดวดโอ

ออนไลน หรอแมกระทงการทำาธรกรรมออนไลน ปจจบนมเวบเบราวเซอรมากมายใหเลอกใช หนงในนนคอ

Google Chrome ซงเปนเวบเบราวเซอรทถกพฒนาขนโดย Google เปดตวครงแรกเมอวนท 2 กนยายน

พ.ศ. 2551 ในประเทศไทยมผใชงาน Google Chrome มากถง 32% จากจำานวนผใชเวบเบราวเซอรทงหมด

โดยแซงหนา Mozilla Firefox ทเคยเปนเบราวเซอรอนดบ 2 มากอน ดงรปท 124 (25-1)

รปท 124 (25-1) สถตการใชงานเวบเบราวเซอรในประเทศไทย [25-1]


Extension คอโปรแกรมเสรมทถกพฒนาขนมาเพอเพมความสามารถใหกบเวบ เบราวเซอร เชน แจง

เตอนเมอมอเมลเขามาใหม หรอ แจงเตอนเมอมคนมาคอมเมนตในหนา Facebook เปนตน

ใน Google Chrome สามารถตดตง Extension ไดผาน Chrome Web Store

นกวจยจากบรษท Kaspersky ซงเปนผผลตซอฟตแวรปองกนไวรส ไดคนพบ Extension ของ Google

Chrome ทเปนอนตราย โดยมจดประสงคเพอขโมยขอมลบญชผใชงาน Facebook ผานทางหนาเพจทชอ

“Aprenda tirar virus do face” ดงรปท 125 (25-2) [25-2]

รปท 125 (25-2) โปรไฟล Facebook ทใชเปนชองทางหลอกใหตดตง Extension [25-3]

หนาโปรไฟลนไดแนะนำาใหผใชตดตง Extension เพมเตม หลงจากคลกทขอความ Install aplicativo

จะนำาผใชงานไปทเวบไซต Chrome Web Store เพอใหตดตง Extension ชอ Adobe Flash Player ซง

ถกพฒนาโดย AppFace ดงรปท 126 (25-3)

รปท 126 (25-3) แสดงการตดตง Extension Adobe Flash Player [25-4]

นกวจยระบวา Extension นเปนโทรจนชอ Trojan.JS.Agent.bxo เมอเหยอหลงกลตดตงไปแลว

ตว Extension จะใชบญช Facebook ของผใชในการสงคำาเชญไปใหกบเพอนของเหยอเพอหลอกใหตดตง

Extension น และกด “Like” หนาเพจตามทผไมประสงคดตองการ จากการตรวจสอบโดย Kaspersky พบ

วาผใชงานในประเทศบราซลตกเปนเหยอของโทรจนนมากทสด [25-5]

หลายคนคงมความสงสยวาทำาไมผไมประสงคดถงพยายามปลอย Extension ทมาพรอมกบ Trojan.

JS.Agent.bxo จดประสงคหลกๆ คอ การสรางรายไดใหกบตวเองเพอขายบรการกด “Like” Facebook ให

กบบรษททตองการประชาสมพนธโปรไฟลของพวกเขาเพอสงเสรมใหคนมาสนใจมากขน ดงรปท 127 (25-4)

รปท 127 (25-4) ตวอยางการขายบรการ 1,000 Like เปนเงนประมาณ 850 บาท [25-6]

หากผใชเผลอตดตง Extension ดงกลาว สามารถออกจาก Google Chrome ไดโดย

1. คลกไอคอนประแจ ทมมขวาบนของเวบเบราวเซอร

2. คลก เครองมอ (Tools)

3. เลอก สวนขยาย (Extensions) ทชอ Adobe Flash Player 12.1.102.55

4. คลกทปม ลบออก (Uninstall)

เพอหลกเลยงการตดตง Extension ทไมพงประสงคและอาจถกขโมยโปรไฟล Facebook ผใชงานควร

ศกษารายละเอยด Extension ทเกยวของกบการใชงานกอนการตดตงลงบนเครองคอมพวเตอร เชน ตรวจ

สอบเวบไซตของผพฒนา รายละเอยดเกยวกบผพฒนา รนทพฒนา (Version) แสดงรายละเอยดเกยวกบ

วน เดอน ป ทพฒนา วนทอพเดท ไมควรเลอกตดตง Extension ทขาดการอพเดทนานเกนไป รวมทงตรวจ

สอบความคดของผใชงานรวมดวย


อางอง[25-1] http://gs.statcounter.com/#browser-TH-monthly-201101-201202

[25-2] http://www.theregister.co.uk/2012/03/25/chrome_

web_store_malware_hijacks_facebook_profiles/

[25-3] http://arstechnica.com/business/news/2012/03/googles-chome-web-store-

used-to-spread-malware.ars

[25-4] http://www.zdnet.com/blog/security/malicious-chrome-extensions-hijack-

facebook-accounts/11074

[25-5] http://www.thehackernews.com/2012/03/facebook-profiles-can-be-hijacked-

by.html

[25-6] http://www.securelist.com/en/blog/208193414/

Think_twice_before_installing_Chrome_extensions

26 SECuRE fTP SERvER

ผเขยน: เจษฎา ชางสสงขวนทเผยแพร: 5 เม.ย. 2555ปรบปรงลาสด: 5 เม.ย. 2555

FTP (File Transfer Protocol) คอโพรโทคอลทออกแบบมาเพอใชในการรบสงไฟลระหวาง Client

และ Server โดยจะมพอรตทใชงานอย 2 พอรต คอ พอรต 20 ใชในการรบสงไฟล สวนอกพอรตคอ พอรต

21 ใชในการควบคมหรอสงคำาสง FTP เชน ตรวจสอบการเขาถงโปรแกรมจากผใชงาน เปนตน และในปจจบน

ผใหบรการ Web hosting โดยสวนใหญมกจะใหบรการแลกเปลยนไฟลผาน FTP Server เพราะการการตด

ตงระบบและการบรหารจดการไฟลทำาไดงาย

เนองจาก FTP เปนโพรโตคอลทรบสงขอมลโดยไมมการเขารหสลบ จงทำาใหขอมลทรบสง ไมวาจะเปน

Username หรอ Password สามารถถกดกรบ (Sniff) จากผไมหวงดได [26-1] ซงวธการแกไขนน ผดแล

ระบบควรเปลยนมาใชโพรโทคอลสำาหรบแลกเปลยนขอมลทมการเขารหสลบขอมลทรบสงเสมอ ซงมโพรโท

คอลทถกออกแบบมาเพอแกปญหาดงกลาว คอ FTPS [26-2]

การใชงาน FTP ทมการเขารหสลบ จากปญหาทไดกลาวขางตน ผดแลระบบจงควรตงคา FTP Server ใหรองรบการเขารหสลบขอมล โดย

ในบทความน จะยกตวอยางการตงคาเพอใชงานโพรโทคอล FTPS บนซอฟตแวร FileZilla Server [26-3]

1. ผดแลระบบสามารถกำาหนดใหระบบรองรบ FTPS ไดดวยการคลกทเมน Edit เลอก Settings จาก

นนเลอก SSL/TLS setting คลกทชอง Enable FTP over SSL/TLS support (FTPS) ดงรปท 128

(26-1)


รปท 128 (26-1) แสดงการตงคาใหโปรแกรมรองรบ FTPS

2. ทำาการกำาหนดใบรบรองดจทลใหกบซอฟตแวร FTP Server เพอใชในกระบวนการเขารหสลบขอมล

ทใชรบสงระหวาง Server-Client ในกรณทผดแลระบบมใบรบรองดจทลอยแลว สามารถใชงานได

โดยระบตำาแหนงของไฟล Certificate และไฟล Private key ใหกบระบบ แตหากผดแลระบบยง

ไมมใบรบรองดจทล สามารถสรางขนมาใหมไดโดยการคลกทปม Generate new certificate จาก

นนใสขอมลของผใหบรการ ดงทแสดงตวอยางในรปท 129 (26-2)

รปท 129 (26-2) แสดงหนาตางการสรางใบรบรอง

3. หากผดแลระบบตองการบงคบใหผใชลอกอนไดเฉพาะในโหมด FTPS เทานน สามารถทำาไดโดยการ

ไปทเมน Edit เลอก Users จากนนคลกทชอง Force SSL for user login ดงรปท 130 (26-3)

รปท 130 (26-3) แสดงการตงคาให User ลอกอนดวย FTPS เทานน

4. ทฝง Client ทดลองเชอมตอไปยง FTP Server โดยกำาหนดคา Host ขนตนดวย ftps:// ในการเชอม

ตอครงแรก ระบบจะแจงใหผใชทราบถงใบรบรองของเครอง Server ทจะใชในการเชอมตอ หากผใช

ยอมรบความถกตองของใบรบรองน สามารถคลกทปม OK เพอเรมการเชอมตอ ดงรปท 131 (26-4)

รปท 131 (26-4) แสดงใบรบรองของเครอง Server

ขอแนะนำ เพมเตม อยางใรกตาม นอกจากจะตงคาให FTP Server รองรบการรบสงขอมลทมการเขารหสลบแลว ผดแล

ระบบควรมการตงคา Server ใหมประสทธภาพดวย เชน การกำาหนดสทธในการเขาถงระบบ การกำาหนด

พนทการใชงานใหกบผใช ตามขอแนะนำา [26-4][26-5][26-6] ดงน

1. กำ หนดสทธในการเขาถงไฟลใหกบผใชงาน


ในการกำาหนดสทธในการเขาถงไฟลใหกบผใชงาน ผดแลระบบควรกำาหนดสทธใหเทาทจำาเปนเทานน

จากรปท 132 (26-5) เปนการกำาหนดสทธใหผใชชอ test01 สามารถดาวนโหลดไฟลทอยภายใตไดเรกทอร

C:\D\M\3 ไดเทานน

รปท 132 (26-5) แสดงตวอยางการตงคาสทธในการเขาถงไฟลใหกบผใช

2. เปดใชงานการบนทก Log

เปนการตงคาระบบใหบนทกการทำางานตางๆ ทเกดขนกบระบบ เชน การลอกอนเขาใชงาน การดาวน

โหลดหรออพโหลดไฟล เปนตน การบนทก Log ใชเพอวเคราะหในกรณทระบบเกดปญหา เชน การตดตามหา

IP Address ของผทโจมตระบบ นอกจากนยงทำาใหระบบมความสอดคลองตาม พรบ.คอมพวเตอร พ.ศ. 2550

ซงไดระบวา ผใหบรการจะตองสามารถระบตวตนของผใชงานได พรอมเกบขอมลการจราจรคอมพวเตอรไม

นอยกวา 90 วน ในระยะเวลา 1 ป [26-7]

รปท 133 (26-6) แสดงตวอยางการตงคาใหระบบรองรบการบนทก Log

3. จำ กดความเรวของขอมลทรบสงระหวาง Server-Client

ผดแลระบบควรจำากดความเรวในการรบสงขอมลใหกบระบบ เพอลดความเสยงทอาจเกดความเสย

หายตอระบบ เชน แบนดวธเตมทำาใหไมสามารถใหบรการอนๆ ได และยงเปนการกำาหนดความเรวสงสดท

ระบบทสามารถรองรบได ในบางซอฟตแวรนนยงสามารถกำาหนดไดวาจะใหสามารถใชความเรวเทาใด ใน

ชวงวนเวลาตางๆ ดงรปท 134 (26-7)

รปท 134 (26-7) แสดงตวอยางการตงคาวนเวลาเพอกำาหนดความเรวใหกบระบบ

4. ระงบบญชผใชชวคราวหากลอกอนผดเกนจำ นวนครงทกำ หนด

เพอปองกนการโจมตดวย Brute Force Attack ผดแลระบบสามารถกำาหนดใหโปรแกรม ทำาการระงบ

บญชผใชไมใหสามารถลอกอนไดในระยะเวลาหนง จากรปท 135 (26-8) เปนการตงคาใหระงบบญชผใชทำาการ

ลอกอนจาก IP Address เดยวกนเปนระยะเวลา 1 ชม. หากพบวามการลอกอนทไมถกตองเกน 10 ครง

รปท 135 (26-8) แสดงตวอยางการตงคาการระงบบญชผใช


5. กำ หนดขนาดพนทการใชงานใหกบผใช

การกำาหนดขนาดพนทการใชงานใหกบผใช เพอชวยในการบรการจดการพนทของระบบ และลดความ

เสยงทเกดขน เชนใชแกปญหากรณทผใชอพโหลดไฟลจำานวนมาก จนทำาใหระบบไมสามารถรองรบได

6. ปดการลอกอนแบบ Anonymous

ผดแลระบบควรปดการลอกอนแบบ Anonymous เพอไมใหผทไมไดรบอนญาตเขามายงระบบ

7. อพเดทเวอรชนของซอฟตแวรใหใหมอยเสมอ

ผดแลระบบควรตดตามขาวสารดานความมนคงปลอดภยของซอฟตแวรท ใช รวมถงมการตรวจสอบ

เวอรชนของซอฟแวรทใช และทำาการอพเดทใหเปนเวอรชนลาสดอยเสมอ เพอทำาใหระบบมประสทธภาพ

และลดปญหาชองโหวทอาจเกดขนตอระบบได

สงสำาคญทควรตระหนกในการแลกเปลยนไฟลผาน FTP คอ การรกษาความลบของขอมลทรบสง ดง

นน ผดแลระบบจงควรกำาหนดใหมการเขารหสลบขอมล รวมถงปรบแตงคาอนๆ เพมเตม เพอใหระบบม

ความมนคงปลอดภยมากยงขน

อางอง [26-1] http://searchsecurity.techtarget.com/tip/FTP-security-best-practices-for-the-

enterprise

[26-2] http://tools.ietf.org/id/draft-murray-auth-ftp-ssl-00.txt

[26-3] http://wiki.filezilla-project.org/FTPS_using_Explicit_SSL/TLS_

howto_%28Server%29

[26-5] http://www.windowsecurity.com/articles/secure_

ftp_server.html

[26-6] http://blog.jscape.com/jscape/2008/06/best-practices.html

[26-7] http://www.g6ftpserver.com/forum/index.php?/topic/1214-hardening-your-

ftp-server/

[26-8] http://www.ratchakitcha.soc.go.th/DATA/PDF/2550/

E/102/5.PDF

27 MaC oS X คอเปาหมายใหมของผ

สรางมลแวรผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 11 เม.ย. 2555ปรบปรงลาสด: 12 เม.ย. 2555

Mac OS X คอระบบปฏบตการทถกพฒนาขนโดยบรษท Apple Inc. สำาหรบใชงานบนเครองคอมพวเตอร

ตระกล Mac (Macintosh) เชน iMac, MacBook ตวระบบปฏบตการมพนฐานมาจากระบบ UNIX จงได

รบความนาเชอถอในเรองของความเสถยรและความมนคงปลอดภย ปจจบน Mac OS X นนพฒนามาถง

เวอรชน 10.7 โดยใชชอวา OS X Lion [27-1]

ในอดตจดเดนขอหนงท Apple Inc. ใชในการโฆษณา Mac OS X ไมวาจะเปนขอความโฆษณาใน

เวบไซตของ Apple เอง [27-2] หรอโฆษณาทางโทรทศนกตาม [27-3] คอการบอกวา Mac นนปลอดภย

และปราศจากไวรส เนองจากตวระบบปฏบตการมพนฐานมาจากระบบ UNIX ทำาใหมลแวรบน Windows

ไมสามารถทำางานบน Mac OS X ไดอยแลว แตสาเหตทแทจรงคอจำานวนผใชงานระบบปฏบตการ Mac OS

X นนยงมไมถง 10% จากจำานวนผใชระบบปฏบตการคอมพวเตอรทงหมด [27-4] ทำาใหไมเปนทสนใจสำาหรบ

แฮกเกอรในการทจะพฒนามลแวรขนมาเพอโจมต ผใชงาน Mac OS X โดยเฉพาะ แตในปจจบน หลงจากท

จำานวนผใชงานระบบปฏบตการ Mac OS X มแนวโนมทจะเพมมากขน [27-5] ทำาใหผพฒนามลแวรหลาย

รายมแนวโนมทจะหนมาพฒนามลแวรลง Mac OS X

มลแวรใน Mac OS X จากขอมลของ F-Secure ซงเปนบรษทพฒนาซอฟตแวรดานความมนคงปลอดภย พบวา มลแวรทมเปา

หมายเพอโจมตผใชงาน Mac โดยตรงนนเรมปรากฏตวเมอเดอนตลาคม ป 2007 โดย F-Secure เรยกโทร

จนนวา Trojan:OSX/DNSChanger ซงจะลอลวงใหผใชตดตงโปรแกรมทหลอกวาเปนปลกอน QuickTime

เพอใชสำาหรบดวดโอบนเวบไซต จากนนจะแกหมายเลข DNS Server ในเครองผใชใหชไปททผสรางมลแวร

ตองการ [27-6] และหลงจากนนกไดมการคนพบมลแวรบน Mac มากขนเรอยๆ มลแวรโดยสวนใหญจะเปน

โทรจน ซงแพรกระจายผานวธ Social Engineer เชน ในเดอนมกราคม ป 2009 มการคนพบโทรจน Trojan.


iServices.A ทมาพรอมกบโปรแกรม iWork ‘09 แบบละเมดลขสทธทแจกจายผานระบบ Torrent [27-7]

และตอมาไมนาน กมการคนพบโทรจน Trojan.iServices.B ทมาพรอมกบโปรแกรม Adobe Photoshop

CS4 แบบละเมดลขสทธเชนกน [27-8] จากเหตการณดงกลาว ผเชยวชาญดานความมนคงปลอดภยจาก

Symantec และ McAfee จงไดออกมาประกาศแจงเตอนใหกบผใช Mac OS X วาไดตกเปนเปาหมายของ

ผพฒนามลแวรแลว [27-9]

ในป 2011 แฮกเกอรไดหนมาสนใจโจมตผใช Mac อยางเตมตว โดยไดมการพฒนาเครองมอทใชสำาหรบ

“สราง” มลแวร เพอโจมตระบบปฏบตการ Mac OS X โดยเฉพาะ ผเชยวชาญดานความมนคงปลอดภยจาก

CSIS Security Group ไดคนพบวามซอฟตแวรชอ Weyland-Yutani BOT ขายอยในเวบไซตใตดน ซงผใช

ซอฟตแวรดงกลาวสามารถสรางมลแวรทขโมยขอมลผใชดวยการ แทรก Web form เขามาในเบราวเซอรท

ทำางานบนระบบปฏบตการ Mac OS X ได [27-10] หนาจอของซอฟตแวรดงกลาวเปนดงรปท 136 (27-1)

รปท 136 (27-1) หนาจอโปรแกรม Weyland-Yutani BOT [27-10]

หลงจากทผใช Mac เรมถกคกคามจากมลแวร จงมผพฒนาซอฟตแวรรกษาความมนคงปลอดภย

บน Mac ออกมาหลายราย แฮกเกอรจงฉวยโอกาสนพฒนาซอฟตแวรชอ Mac Defender ซงหลอก

ผใชวาเปนโปรแกรมรกษาความมนคงปลอดภย แตทจรงแลวเปนโทรจนทขโมยขอมลสวนตวของผใช

เชน หมายเลขบตรเครดต [27-11] ตวอยางหนาตาของโปรแกรม Mac Defender เปนดงรปท 137

(27-2)

รปท 137 (27-2) ตวอยางหนาตาของโปรแกรม Mac Defender [27-11]

มลแวรดงกลาวนถกตดตงลงบนเครองของผใชไดโดยงาย ผานความสามารถของเบราวเซอร Safari

บน Mac OS X ทจะเปดไฟลทผใชดาวนโหลดสำาเรจใหโดยอตโนมต ถงแมกอนการตดตงซอฟตแวรดงกลาว

ระบบปฏบตการจะแสดงหนาจอแจงเตอนวาการกระทำานอาจเปนอนตรายตอระบบ และใหผใชปอนรหส

ผานเพอยนยน แตผใชสวนใหญกไมสนใจและยอมใสรหสผานเพอใหโปรแกรมไดตดตงตอ [27-12] จาก

ปญหาดงกลาว Apple Inc. จงไดออกแพทชมาเพอเพมระบบตรวจสอบไฟลทผใชดาวนโหลดกอนทำาการ

เปดไฟล โดยหากพบวาไฟลทดาวนโหลดมามลกษณะทนาจะเปนมลแวร ระบบจะแนะนำาใหผใชทำาการลบ

ไฟลนนทนท [27-13] ดงรปท 138 (27-3)

รปท 138 (27-3) ตวอยางการแจงเตอนไฟลทไมปลอดภย [27-13]

อตราการแพรระบาดของมลแวรบน Mac OS X นนมแนวโนมทจะเพมมากขนเรอยๆ จากขอมลของ

iAntivirus ซงเปนผพฒนาซอฟตแวรแอนตไวรสบน Mac พบวา ปจจบนมมลแวรบน Mac มากกวา 100


สายพนธ ถงแมจะเปนจำานวนทนอย แตมลแวรสวนใหญถกจดใหอยในระดบความรนแรงขนสงสดแทบทง

สน [27-14] หนงในนนมมลแวรทนาสนใจคอโทรจนชอ Flashback

Flashbackมลแวร Flashback ถกคนพบครงแรกเมอเดอนกนยายน 2011 โดยหลอกวาเปนตวตดตงปลกอน

Adobe Flash Player ในตอนนนยงไมมการสรางความเสยหายอะไรเปนพเศษ นอกจากสงขอมล MAC

Address ของเครองผใชออกไปยงเครอง Server และเปดชองทางใหผโจมตสามารถทราบไดวา เครองดง

กลาวตดมลแวรแลว [27-15] ในเวลานน Flashback ถกจดใหเปนมลแวรทมความอนตรายตำา ทำาให Apple

Inc. ไมไดปลอยแพทชเพอตรวจสอบและกำาจดมลแวรนโดยทนท [27-16]

อยางไรกตาม เนองจากมลแวร Flashback มความสามารถในการตดตอกบเครอง Server เพออพเดท

เวอรชนของตวเองได ทำาใหในเวอรชนตอๆ มา มลแวร Flashback ไดถกเพมความสามารถใหมๆ เขามา

ดวย เชน จะไมทำางานถาพบวาถกรนอยในระบบทเปน Virtual Machine (ความสามารถ Anti-forensics)

[27-17] รวมถงปดการทำางานของระบบ XProtect ซงเปนระบบปองกนมลแวรบน Mac OS X และเขยน

ทบโปรแกรม XProtectUpdater เพอไมใหสามารถดาวนโหลดแพทชมากำาจดมลแวรสายพนธใหมๆ ไดอก

[27-18] ซงความสามารถใหมๆ เหลานถกพฒนาเพมเขามาในเวลาเพยง 1 เดอน และตอนน Flashback ม

เปาหมายทแนนอนแลว นนคอ การขโมยขอมลสวนตวของผใช

ในเดอนกมภาพนธ 2012 สายพนธใหมของมลแวร Flashback กไดปรากฏขน โดยในครงนไดโจมต

ผานชองโหวของ Java เวอรชนเกา (CVE-2011-3544 และ CVE-2008-5353) เมอผใชเขาไปยงเวบไซตทม

Javascript เรยกใช Java-applet ทโจมตผานชองโหวดงกลาว จะปรากฏหนาจอ Certificate ปลอมของ

Apple Inc. ดงรปท 139 (27-4) เพอหลอกใหผใชตดตงโปรแกรม ซงหากผใชตดตง Java เวอรชนเกาไวใน

เครอง (เวอรชนกอนเดอนพฤศจกายน 2011) มลแวรจะสามารถตดตงตวเองลงในเครองของผใชไดโดยทผใช

ไมสงเกต เหนความผดปกตเลย แตหากเปน Java เวอรชนใหม ระบบจะแจงเตอนวา Certificate นนไมนา

เชอถอ (Untrusted) แตผใชกยงสามารถตดตงโปรแกรมดงกลาวได อยางไรกตาม กลมผใชทโดนโจมตผาน

ชองโหวนโดยสวนใหญจะเปนผใช Mac OS X เวอรชน 10.6 ลงไป เนองจากใน Mac OS X เวอรชน 10.7

นน Apple Inc. ไดถอดโปรแกรม Java ออกจากระบบปฏบตการแลว [27-19]

รปท 139 (27-4) หนาจอ Certificate ปลอมของ Apple Inc. [27-19]

ในเดอนมนาคม 2012 มลแวร Flashback พฒนาไปอกขนดวยการรบคำาสงในการทำางานจาก Twitter

ซงตางจากมลแวรสมยกอนทจะระบหมายเลข IP ของเครองทสงคำาสงไวในโคดของโปรแกรม ทำาใหเครองนน

สามารถตรวจพบและถกสงปดไดงาย [27-20] บรษท Intego ผพฒนาซอฟตแวรแอนตไวรส ไดลองวเคราะห

ขอมลของมลแวร Flashback แลวพบวา มลแวรตวนนาจะถกสรางโดยผพฒนาเดยวกนกบ MacDefender

[27-21]

ในวนท 2 เมษายน 2012 นกวจยจากบรษท Dr.Web ซงเปนผพฒนาซอฟตแวรปองกนไวรส ไดรายงาน

การคนพบสายพนธใหมของมลแวร Flashback ซงจะโจมตผานชองโหวของ Java (CVE-2012-0507) [27-

22] โดยทาง Dr.Web คาดวา มเครอง Mac ทตดมลแวรดงกลาวไปแลวไมตำากวา 600,000 เครอง [27-23]

สายพนธใหมของ Flashback ไดรบการตงชอวา OSX/Flashback.K ซงจะตดเขาสเครองของผใชผานการ

เปดเวบไซตทมโคดอนตรายฝงอย สวนขอมลจากบรษท F-Secure ระบวา ชองโหวของ Java ทมลแวรใช

ในการโจมตนน ถกแกไขโดยบรษท Oracle และไดเผยแพรแพทชเพอแกไขชองโหวดงกลาวไปตงแตวนท

14 กมภาพนธ ป 2012 แลว โดยเผยแพรทงบนระบบปฏบตการ Windows, Linux และ UNIX [27-24]

[27-25] แตบรษท Apple Inc. กลบไมยอมปลอยแพทชดงกลาวผานระบบอพเดท [27-26] จนกระทงวนท

4 เมษายน 2012 ถงมแพทชเพอแกไขชองโหวดงกลาวออกมาทางระบบ Software Update ของ Mac OS

X [27-27] และเมอวนท 6 เมษายน 2012 Software engineer จากบรษท Garmin International ได

พฒนาเครองมอ FlashbackChecker เพอใชในการตรวจสอบเครอง Mac วาตดมลแวร Flashback หรอไม

ซงผใชสามารถดาวนโหลดไดจากเวบไซต https://github.com/jils/FlashbackChecker


No system is safe.ปจจบน Apple Inc. ไดพฒนาระบบ Gatekeeper ซงเปนการกำาหนดใหผพฒนาซอฟตแวรเขามาลง

ทะเบยนกบ Apple เพอรบ Developer ID และสงซอฟตแวรมาให Apple เปนผตรวจสอบและ Sign ซอฟตแวร

นน กอนทจะเผยแพรใหกบผใช ซงระบบ Gatekeeper นจะเรมใชใน Mac OS X เวอรชน 10.8 [27-28]

มลแวรบน Mac นนมมานาน และมแนวโนมทจะถกพฒนาตอไปใหสามารถแพรกระจายและสราง

ความเสยหายได มากขนเรอยๆ Flashback เปนตวอยางทดทแสดงใหเหนถงความสามารถในการโจมต

ผานชองโหวตางๆ ของระบบ ผใชงาน Mac OS X ไมควรนงนอนใจ และควรหมนตดตามขาวสารเรองความ

มนคงปลอดภยอยเสมอ เพราะในตอนน การทคำาโฆษณาของ Apple Inc. เปลยนจาก “Mac ไมมไวรส” มา

เปน “Mac ไมตดไวรสของ PC” [27-29] นนเปนสญญาณเตอนทดวา ผใช Mac อาจถงเวลาทจะตองตดตง

ซอฟตแวรแอนตไวรสแลวกเปนได

อางอง [27-1] http://www.apple.com/macosx

[27-2] http://web.archive.org/web/20080319080218/

[27-3] http://www.youtube.com/watch?v=ZwQpPqPKbAw

[27-4] http://www.w3schools.com/browsers/browsers_os.asp

[27-5] http://www.cultofmac.com/139839/mac-market-share-continues-to-rise-

while-pc-shipments-decline-report/

[27-6] http://www.f-secure.com/v-descs/trojan_osx_dnschanger.shtml

[27-7] http://www.macrumors.com/2009/01/22/iwork-09-torrent-carrying-os-x-

trojan/

[27-8] http://us.norton.com/theme.jsp?themeid=ibotnet

[27-9] http://edition.cnn.com/2009/TECH/04/22/

first.mac.botnet/index.html

[27-10] http://www.csis.dk/en/csis/blog/3195/

[27-11] http://www.pcworld.com/article/226846/

fake_macdefender_brings_malware_to_macs.html

[27-12] http://www.zdnet.com/blog/bott/an-applecare-support-rep-talks-mac-

malware-is-getting-worse/3342

[27-13] http://support.apple.com/kb/HT4651

[27-14] http://www.iantivirus.com/threats/

[27-15] http://arstechnica.com/apple/news/2011/09/mac-trojan-pretends-to-be-

flash-player-installer-to-get-in-the-door.ars

[27-16] http://www.theregister.co.uk/2011/09/27/

apple_updates_mac_malware_protection/


mac_trojan_innovates/

[27-18] http://threatpost.com/en_us/blogs/flashback-trojan-now-disabling-mac-

xprotect-101911

[27-19] http://www.h-online.com/security/news/item/Flashback-malware-uses-new-

infection-technique-1442810.html

[27-20] http://www.intego.com/mac-security-blog/flashback-mac-malware-uses-

twitter-as-command-and-control-center/

[27-21] http://www.intego.com/mac-security-blog/new-flashback-variant-changes-

tack-to-infect-macs/

[27-22] http://news.drweb.com/?i=2341

[27-23] http://thehackernews.com/2012/04/more-than-600000-macs-system-

infected.html

[27-24] https://www.f-secure.com/weblog/archives/00002341.html

[27-25] http://nakedsecurity.sophos.com/2012/02/15/oracle-java-and-adobe-

shockwave-patches-for-february-too/

[27-26] http://nakedsecurity.sophos.com/2012/04/04/apple-patches-java-hole-that-

was-being-used-to-compromise-mac-users/

[27-27] http://news.cnet.com/8301-13579_3-57410389-37/fighting-flashback-apple-

issues-second-mac-update/

[27-28] http://www.apple.com/macosx/mountain-lion/security.html

[27-29] http://www.apple.com/why-mac/better-os/


28 wEb aPPliCaTion

SECuRiTy รายสะดวก #1ผเขยน: ไพชยนต วมกตะนนทนวนทเผยแพร: 4 พ.ค. 2555ปรบปรงลาสด: 4 พ.ค. 2555

ขอออกตวกอนวาบทความนอาจจะมหลายๆ สวนทอางองมาจากบทความเดม http://www.thaicert.

or.th/papers/technical/2012/pp2012te0001.html) ซงไมไดมรายละเอยดในเชงลกมากนก สวนมาก

จะเปนการแนะนำาใหทำาอะไรบางอยาง แตไมไดอธบายวาทำาอยางไรหรอทำาไปเพออะไร ดงนนบทความน

จะนำาขอแนะนำาเหลานนมาขยายความใหชดเจนขน เพอใหผทอาจไมมประสบการณมากนกสามารถนำาไป

ประยกตใช หรอแมแตทำาตามตวอยางไปเลยไดอยางงายดาย

ถาพดถง Web application ทานผอานกคงทราบดอยแลววาประกอบดวยของ 2 อยาง นนคอ Web

server และ Application อยางแรกกไดแก Apache และ IIS ทเรารจกกนด เดยวนอาจจะมตวอนเขามาปน

บาง เชน lighttpd หรอ nginx หรอพวกทกลายพนธไปอยาง Apache Tomcat แตกอยในพนฐานเดยวกน

ทงสน สวนอยางหลงกไดแก PHP, JSP และ ASP เปนหลก และกมตวอนๆ เชน Ruby, C#, python รวม

ถงของเกาทยงเชอถอไดเสมออยาง perl กยงมการใชงานอยไมนอย

แตไมวาสวน Application นจะเปนอะไรกตาม สวนแรกคอ Web server กยงทำางานเหมอนเดมเสมอ

ไมมการเปลยนแปลง นนคอทำาหนาทเปนสอกลางระหวางผใชงานกบ Application เบองหลง และในกรณท

มการโจมต Web application เกดขน Web server นเอง กจะเปนพยานปากสำาคญ ทมองเหนเหตการณ

การโจมตโดยตลอด และเกบบนทกรายละเอยดเอาไวใน Log file ดงทหลายๆ ทานอาจจะไดเรยนรความ

สำาคญของ Log file จากประสบการณจรงกนมาแลว เมอ Web application ของทาน ตกเปนเปาหมาย

ของเหลาผไมประสงคด

แตการทรวาถกโจมตหลงจากถกโจมตสำาเรจแลวกไมนาจะดเทาไหร ถงแมการทไดทราบรายละเอยด

การโจมตอยางละเอยดจาก Log จะชวยใหทานสามารถแกไขชองโหวไดอยางถกตองครบถวนมากขน สงทด

กวานนกคอ ทานสามารถรไดกอนทการโจมตจรงๆ จะเกดขน หรอแมแตกอนทการโจมตจะสำาเรจ ซงทงหมด

น อาจจะทำาไดโดยการพจารณาจาก Log ของ Web server นนเอง

ถา Web application ของทานไมไดมชองโหว (Vulnerability) ชนดทรกนอยแลวจนมผสรางเครอง

มอโจมต (Exploit) แจกจายกนอยางแพรหลาย คอทานเปนผดแลระบบทมความระมดระวงตามสมควรอย

แลวนนเอง สงแรกทผไมประสงคดมกจะทำากอนทจะโจมตทานกคอ การตรวจสอบระบบของทานเพอรวบรวม

ขอมล (Information gathering) การกระทำานบางครงอาจเรยกวาการ Probe หรอ Scan หรอบางครงอาจ

เรยกวา Footprinting สำาหรบวธการกมไดหลากหลาย สวนมากมกจะใชเครองมออตโนมตเชน Nikto, W3af

หรอ Skipfish ซงเปนเครองมอทมการแจกจายอยางไมคดมลคาบน Internet

รปท 140 (28-1) แสดง Log ของ Apache ทถก Scan ดวยโปรแกรม Skipfish

ตวอยางทแสดงใหเหนจากโปรแกรม Skipfish ขางตนนน อาจจะเหนไดคอนขางชดเจนเนองจากเปนการ

Scan โดยไมไดมการปรบแตงคาการทำางานใดๆ ของโปรแกรม Skipfish เลย และทำาการทดลองในเครอง

แมขายทไมมการใชงานจรง แตในกรณทเปนเครองแมขายหลกทมผเขามาใชบรการเปนจำานวนมาก และผ

ไมประสงคด ทตองการหาชองโหวใน Web application ของทาน มการปรบแตงคาใหโปรแกรมทำางาน

ในลกษณะททำาใหสงเกตเหนไดยากขน เชน เปลยนคา User Agent ใหเปนของ Web browser จรง (ใน

ตวอยางเปน Mozilla/5.0 SF/2.05b ซงเปนของ Skipfish โดยเฉพาะ) และปรบการทำางานใหชาลง แทนท

จะ Scan ดวยความอตราความเรวหลายสบครงใน 1 วนาทตามตวอยาง เพอใหผลของการ Scan ดกลมกลน

ไปกบการใชงานจรงบนเครองแมขาย ดงนนหากทานกลบไปด Log ของ Web server ของทานในวนน ทาน

อาจไมสามารถสงเกตเหนความผดปกตอะไรเลย ทงๆ ทอาจจะมผไมประสงคด ทำาการ Scan ไปแลวหลาย

ตอหลายครงกตาม

แตการตรวจสอบในรปแบบน ไมวาจะตงคาโปรแกรมอยางไรกตาม สงทตองเกดขนอยางแนนอนก

คอ 404 error ซงจะเกดขนเมอโปรแกรมทตรวจหาชองโหวเหลาน พยายามเดาชอไฟลทอาจมอยในระบบ

โดยไฟลเหลานอาจเปนชองโหว ทสามารถนำามาใชเปนประโยชนในการเจาะเขาสระบบจรงๆ ได ชอไฟลท


โปรแกรมเหลานนำามาลองเดา อาจจะมาจากฐานขอมลทมการรวบรวมเอาไวลวงหนา วาเปนไฟลทมกจะ

เปนชองโหว หรอมขอมลทนาสนใจ หรออาจเปนการเดาในลกษณะ Brute-force กได ผลลพธของการเดา

ชอไฟล มกจะผดมากกวาถก และทกครงทผด Web server กจะบนทกเอาไวใน Log วาเปน 404 error ซง

แปลวา file not found นนเอง

Log ของการ Scan ของโปรแกรมเหลานอาจจะดวามปรมาณมาก (ในตวอยางมประมาณ 10000

บรรทด เปน 404 ประมาณ 1200 บรรทด) แตเมอเทยบกบ Log ของ Web server ทมจำานวนผเขาชมจำา

นวนมากๆ แลว กอาจเรยกไดวาเปนแคสวนเลกๆ ในจำานวน Log มหาศาล ดงนนจะตรวจหาความผดปกตน

ไดอยางไร ทานผอานทคนเคยกบเครองมอใน Unix อาจจะนกถงเครองมอ grep และ wc ซงตองอาศยความ

รในการเขยน grep pattern ทเหมาะสมและตอง login เขาไปใน Web server หรออปกรณทเกบ Log ทก

ครงทตองการตรวจสอบ นอกจากไมสะดวกแลว หากพบวามสงผดปกตอยใน Log ทานกยงตองดำาเนนการ

เองอกดวย เชน Block IP address ตองสงสยท Firewall หรอเขยน ACL บน Apache เอง ซงอาจจะลาชา

ไมทนการ หรอเกดความผดพลาดไดโดยงาย

เพอชวยใหการตรวจสอบความผดปกตใน Log เปนไปโดยอตโนมต และสามารถทำาการรบมอ (Mitigate)

กบการโจมตไดโดยอตโนมตดวย สงทจำาเปนตองมกคอโปรแกรมประเภท Log monitoring หรอบางทานอาจ

จะจดวาเปน Host-based IPS ประเภทหนง ซงโปรแกรมเหลานจะทำาการตรวจสอบ Log ทกำาหนดเปนระ

ยะๆ เมอพบวามรายการ Log ทผดปกตตามเงอนไขทเรากำาหนด มนกจะดำาเนนการตามคำาสงทเรากำาหนด

ไวลวงหนา เชนทานอาจกำาหนดใหโปรแกรมดงกลาว คอยตรวจสอบสถานะ 404 บน Log ของ Apache

โดยระบเงอนไขวา หากมรายการ 404 จาก IP เดยวกนตงแต 20 ครงใน 1 วนาท ใหสง Block IP address

นนดวย iptables ทนท

ตวอยางของโปรแกรมประเภทนตวหนง ไดแก Fail2Ban (http://www.fail2ban.org) ซงถก

ออกแบบมาใหปองกนการโจมตประเภท Brute-force โดยอาศย iptables เปนตว block การโจมต ซงใน

กรณน เราจะกำาหนดเงอนไขให Fail2ban ตรวจสอบ Apache log ทมผลลพธเปน 404 error (file not

found) ทมความถมากกวา 20 ครงตอ 1 วนาท โดยใชรปแบบของ configuration ดงตอไปน

# Fail2Ban configuration file

# Modified from https://rem.co/en/article/fail2ban-

phpmyadmin-script/ - PHPMyAdmin protection rules

[Definition]

failregex = <HOST> -.*”(GET|POST) .*” 404 .*

ignoreregex =

สำาหรบผใชงาน Debian GNU/Linux และ Ubuntu ใหบนทกไฟลนเปนชอ /etc/fail2ban/filter.d/

apache-404.conf สวนผใชงาน Distribution อนใหตรวจสอบตำาแหนงทเกบไฟล filter ของ Fail2ban

จากคมอของ Distribution นนๆ

ขนตอไป ใหตรวจสอบวา Apache ททานใชงานอย เกบ Log (access log) ไวทใด ( ในทนสมมตให

เปน /etc/apache2/access.log ) เมอทราบแลว ใหเพมรายการนในไฟล /etc/fail2ban/jail.conf และ

เชนเดยวกบ สำาหรบผใชงาน Linux Distribution อนทไมใช Debian หรอ Ubuntu ใหตรวจสอบตำาแหนง

ทเกบไฟล jail.conf ของ Fail2ban จากคมอของ Distribution นนๆ

[apache-404]

enabled = true

port = http,https

filter = apache-404

logpath = /var/log/apache2/access.log

maxretry = 20

findtime = 1

bantime = 300

bantime คอชวงเวลาทจะให Fail2ban block การเขาถงจาก IP ทถกตรวจพบวาพยายามโจมตระบบ

ตามเงอนไขทกำาหนด โดยมหนวยเปนวนาท หากกำาหนดเปนคาตดลบ จะหมายถงให Fail2ban ทำาการ

block IP นนๆ ตลอดไป และอยาลมวา ตวเลข 20 ครงตอ 1 วนาทเปนการสมมตขน เพอใหเหนไดชดเจน

ในการทดลอง ในชวตจรงอาจมคาทตำากวานมาก เนองจากผไมประสงคดตองการหลบหลกการตรวจจบดง

ทกลาวไวขางตน

เมอกำาหนดคาให Fail2ban ตามตวอยางแลว ผเขยนกจะมาลอง Scan ระบบดวย Skipfish ดอกครง

กพบวา Fail2ban สามารถตรวจพบการโจมตตามเงอนไข คอม 404 error จาก IP เดยวกน 20 ครงตอ

วนาท และทำาการ block ไดสำาเรจ

รปท 141 (28-2) แสดงการทำางานของ Fail2ban จาก Log ของโปรแกรม


และเมอมาดในฝง Skipfish กจะพบวา การ Scan ถก block ภายในเวลาประมาณ 3.5 วนาทเทานน

รปท 142 (28-3) แสดงการทำางานของ Skipfish เมอทำาการ Scan เครองแมขายทปองกนไวแลว

จากการทดลอง จะเหนไดวา Fail2ban สามารถปองกนการทำา Information gathering ดวยวธ URL

scanning หรอ URL bruteforcing ไดผลในระดบหนง แตอยางไรกตาม หากผไมประสงคดใชรปแบบการ

Scan หรอ Probe วธอนๆ หรอในกรณทของระบบทมชองโหวทรจกกนดอยแลว ผไมประสงคดกอาจจะ

ทำาการโจมตไดโดย Fail2ban ไมสามารถตรวจจบและปองกนได นอกจากน ระบบตรวจจบการโจมตทกชนด

ยอมมโอกาสทจะเกดความผดพลาดในลกษณะทเรยกวา False positive ได นนคอเปนการใชงานปกตทถก

เขาใจผดวาเปนการโจมต และถก block อยางไมควรจะเปน สำาหรบตวอยางทแสดงนอาจเกดไดจากผพฒนา

เวบไซตของทานเอง ทอาจสราง html page ทม dead link จำานวนมากโดยไมรตว ทำาใหผทเขามาชมเวบไซต

นนตามปกตถก block เนองจากเกด 404 error ขนมากเกนคาทกำาหนดโดยไมไดตงใจ

และถงแมเมอทานตดตง Fail2ban ไปแลวและไดผลเปนทนาพอใจ ทานกควรทจะพจารณาการ

ปองกน Web application ของทานดวยมาตรการอนๆ ดวย ทงนอาศยแนวคดเรอง Defense-in-depth

หรอ Layered defense ซงผเขยนจะนำาวธการปองกนแบบอนๆ มาเสนอใหทานไดทราบในโอกาสตอไป

29 flaME

ผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 8 ม.ย. 2555ปรบปรงลาสด: 12 ม.ย. 2555

Discoveryเมอวนท 28 พ.ค. 2555 หนวยงาน CERT ของประเทศอหราน (MAHER) รายงานวา ไดคนพบมลแวร

ชนดใหมทมเปาหมายเพอโจมตประเทศอหราน โดยไดเรยกมลแวรตวนวา Flame ในเบองตน ทาง MAHER

ไดสนนษฐานวา Flame ถกพฒนาขนโดยผพฒนาทมเดยวกบ Stuxnet และ Duqu

Flame ทำางานไดบน Windows XP, Vista และ 7 ใชวธการแพรกระจายผานทาง USB Drive และ

แพรผานระบบเครอขาย (ซงเปนวธเดยวกนกบ Stuxnet) การทำางานหลกๆ ของ Flame คอขโมยขอมล

Username และ Password, ลกลอบอดเสยง, บนทก Screenshot และลกลอบสงขอมลออกไปให C&C

Server ผานทางพอรต SSH และ HTTPS [29-1]

ศนยวจย CrySyS (Laboratory of Cryptography and System Security) จาก Budapest Uni-

versity of Technology and Economics เรยกมลแวรตวนวา Skywiper และไดใหขอมลเพมเตมวา ได

รบแจงเหตการโจมตดวยมลแวรดงกลาวนจากหลายๆ ประเทศทวโลก ไมใชแคเฉพาะในตะวนออกกลางอยาง

เดยว นอกจากนยงไดคนพบวธท Skywiper ใชในการซอนตวเองไมใหถกตรวจจบโดยโปรแกรมแอนตไวรส

โดยการซอนโคดไวในไฟล .ocx และ .tmp ซงโปรแกรมแอนตไวรสโดยสวนใหญจะไมสแกนไฟล 2 ชนดน

[29-2] CrySyS รายงานวา การพฒนามลแวรดงกลาวนนาจะไดรบการสนบสนนดานการเงนจากรฐบาลหรอ

ประเทศทมความตองการทจะใชมลแวรในการทำา Cyber Warfare (เอกสารของ CrySyS)

นกวจยจาก Kaspersky Lab ไดรายงานขอมลเพมเตมวา ประเทศทตกเปนเปาหมายของการโจมต

ไดแก อหราน เลบานอน ซเรย อสราเอล และประเทศอนๆ ในแถบตะวนออกกลาง ตามรปท 143 (29-1)


รปท 143 (29-1) ประเทศทตกเปนเปาหมายการโจมตของ Flame (ทมา: Securelist.com)

จากการวเคราะหของ Kaspersky พบวา Flame มสวนประกอบการทำางานหลายๆ สวนรวมอยดวย

กน เชน Backdoor, Trojan รวมถงสวนทเปนการทำางานแบบ Worm ซงใชในการแพรกระจายตวเองผาน

ระบบเครอขาย ทำาใหตวมลแวรมขนาดใหญถง 20 MB จงยากตอการวเคราะห

Kaspersky พบวา ผสราง Flame ไดปลอมแปลงวนเวลาทสรางไฟล เพอใหเกดความยงยากในการ

ตรวจสอบ โดยวนเวลาทสรางไฟลนนอาจจะเปนไปไดตงแตป 1992, 1994, 1995 หรอปอนๆ แตโมดลสวน

ใหญของมลแวรถกสรางในป 2011 และ 2012 จากการวเคราะหของ Kaspersky คาดวา Flame นาจะถก

สรางขนในชวงเดอนกมภาพนธ-มนาคม ป 2010 [29-3]

Symantec ไดรายงานการคนพบมลแวรนดวยเชนกน และไดเรยกมลแวรตวนวา Flamer หลงจากท

ไดวเคราะหมลแวรตวน ทำาใหทราบขอมลเพมเตมวา มการโจมตไปทยโรปตะวนออกดวย และยงไปกวานน

Flamer นอกจากจะขโมยขอมลแลว ยงทำาหนาทขดขวางการสงออกนำามนของประเทศอหราน โดยการ Shut

down ระบบ Oil terminal ดวย [29-4] [29-5]

Certificateหลงจากทมการวเคราะหมลแวรโดยหนวยงานตางๆ เพอหาวธการทำางานและวธการเผยแพร ในวนท

3 ม.ย. 2555 Microsoft ไดแจงเตอน Security Advisory หมายเลข 2718704 วาดวยเรองของการปลอม

Digital Certificate ของ Microsoft ซง Certificate ดงกลาวนถกใชในการ Sign โคดของ Flame [29-6]

โคดของ Flame ถก Sign โดย Microsoft Terminal Server Licensing Service ซงเปนระบบทใชใน

การยนยนตวตนในกรณทจะเขาไปใชงาน Remote Desktop Service ในองคกร ระบบดงกลาวนอกจากจะ

ออก Certificate ไดแลว ยงสามารถ Sign โคดใหกบโปรแกรมไดดวย

ในเบองตน Microsoft แจงวา เหตการณดงกลาวเกดจากชองโหวของ Cryptography algorithm

รนเกา ซงทำาใหผสรางมลแวรสามารถ Sign โคดของโปรแกรมใหดเหมอนกบวาโปรแกรมนนถกพฒนาและ

ไดรบการรบรองจาก Microsoft แตในตอนนนยงไมไดใหรายละเอยดเพมเตมของชองโหวดงกลาว [29-7]

ผเชยวชาญดาน Security ไดวเคราะหวา ชองโหวของการ Sign โคด เกดจากการท Microsoft

Certificate Authority (CA) ใชอลกอรทม MD5 ในการ Sign Certificate ซงอลกอรทมดงกลาวมปญหา

เรอง Hash Collision ทำาใหแฮกเกอรสามารถสราง Certificate ปลอมทม MD5 Hash ตรงกบ Hash ของ

Microsoft แลวสงเขามายง Terminal Server เพอให Sign โคดของ Flame โดยใช Certificate จรงของ

Microsoft ได [29-8] [29-9]

Certificate ทถกใชในการ Sign โคดของ Flame คอ Microsoft Enforced Licensing Intermediate

PCA ซงถก Sign โดย Microsoft Root Authority และ Microsoft Enforced Licensing Registration

Authority CA (SHA1) ซงถก Sign โดย Microsoft Root Certificate Authority [29-10] ตวอยาง Cer-

tificate ดงกลาวเปนดงรปท 144 (29-2)

รปท 144 (29-2) Certificate ของ Microsoft ทถกใชใชการ Sign โคดของ Flame (ทมา: F-Secure)

Microsoft ไดปดความสามารถในการออก Certificate ผาน Terminal Server และไดเผยแพร Update

หมายเลข 2718704 เพอ Revoke Certificate ดงกลาว

ในวนท 6 ม.ย. Microsoft ไดอธบายรายละเอยดเพมเตมของวธการท Flame ใชในการโจมตระบบ

Certificate ผทสนใจสามารถอานรายละเอยดเพมเตมไดท เวบไซต Technet


Windows Updateจดประสงคทแทจรงของการ Sign โคดของมลแวรดวย Certificate ของ Microsoft คอการเผยแพรม

ลแวรผานระบบ Windows Update

เครองทตด Flame จะตงตวเองเปนเซรฟเวอร Web Proxy Autodiscovery Protocol (WPAD) โดย

ปกตแลว เครองคอมพวเตอรทใช Windows จะถกตงคา Proxy ใหเปน Automatic proxy detection หลง

จากทเชอมตอกบระบบเครอขาย เครองดงกลาวจะพยายามตดตอกบเซรฟเวอร wpad.DOMAINNAME (เชน

wpad.thaicert.or.th ในกรณทเครองดงกลาวอยในโดเมน thaicert.or.th) เพอตรวจสอบวาเมอไหรทควร

จะเชอมตอ HTTP Proxy เพอใชงาน Windows Update

เครองคอมพวเตอรทตด Flame จะสงไฟล wpad.dat เพอเปนสญญาณบอกเครองทอยในเครอขาย

เดยวกนวาใหเชอมตอ Proxy เพอใชงาน Windows Update จากนนเครองคอมพวเตอรทอยในระบบเครอ

ขาย จะเชอมตอเขามายงเครองทตด Flame เพอดาวนโหลดไฟล Windows Update

โดยปกตแลวระบบ Windows Update จะมการตรวจสอบ Signature ของไฟลทจะนำามาอพเดท

เพอใหแนใจวาเปนไฟลทมาจาก Microsoft จรงๆ และเนองจาก Flame ถก Sign โดยใช Certificate ของ

Microsoft จงสามารถแพรกระจายตวเองผานระบบ Windows Update ได [29-11] [29-12] ขนตอนการ

ทำางานของ Flame เปนดงรปท 145 (29-3)

รปท 145 (29-3) การแพรกระจายของ Flame ผานระบบ Windows Update (ทมา: Symantec)

Suicideในวนท 4 ม.ย. 2555 Kaspersky รายงานวาเครอง C&C ของ Flame เปนโดเมนทจดทะเบยนโดยใช

ขอมลปลอม ซงมจำานวนกวา 80 โดเมน และยงคนพบเพมเตมวา Flame จะสมดงตวอยางขอมล 1 KB ออก

จากไฟล PDF, Excel, Word ทพบในเครอง จากนนจะบบอดแลวสงตวอยางขอมลทไดไปใหใหกบเครอง C&C

เพอใหคนทควบคมมลแวรอยวเคราะหวาจะเอาขอมลอะไรออกไปจากเครอง เหยอ [29-13]

หลงจากทมการคนพบเครอง C&C ไดเพยง 2 วน เครอง C&C บางสวนกไดสงคำาสง “SUICIDE” เพอ

ลบไฟลทกไฟลของ Flame ออกจากเครองของเหยอ Symantec รายงานวา คำาสงลบดงกลาวนเปนการ

“ลบโดยสมบรณ” (Completely Remove) เพราะคอมโพเนนตทงหมดของ Flame ทอยในเครองจะถก

ลบทงทนททไดรบคำาสงนน [29-14]

Awarenessจากการใชชองโหวของระบบ Windows Update เปนชองทางในการโจมต ทำาใหผเชยวชาญดาน Secu-

rity หลายฝายออกมาแสดงความกงวลในเรองน ดอกเตอร Johannes B. Ullrich จาก SANS Technology

Institute ไดมขอแนะนำาในการใชงาน Windows Update เชน ตดตง Update ผานการเชอมตอทเชอถอ

ได (อนเทอรเนตทบานหรอททำางาน) เทานน ถงแมวาวธการดงกลาวจะปองกนการโจมตแบบ Man-in-the-

Middle ไมไดแบบ 100% กตาม แตกสามารถลดความเสยงทจะถกโจมตจากเทคนคขางตนได อยางไรกตาม

หากจำาเปนทจะตองตดตง Update ผานระบบเครอขายสาธารณะ ควรใชการเชอมตอผาน VPN [29-15]

What’s next?จากการพฒนาของมลแวรในชวงปทผานมา ไมวาจะเปน Stuxnet, Duqu จนมาถง Flame มสงทตรง

กนอยางหนงคอ มลแวรเหลานไมไดถกสรางมาเพอใหเกดความเสยหายตอบคคลทวไป แตถกสรางขนมาโดย

มวตถประสงคหลกเพอตงใจโจมตหนวยงานระดบประเทศ สงดงกลาวนแสดงใหเหนวา การทำาสงครามใน

ปจจบนนนไดเปลยนรปแบบจากยทธวธทางการทหาร มาเปนการทำาสงครามผานโลกไซเบอรแลว เพราะไม

วาจะเปนการทำาลายขอมล การสบขาว หรอแมกระทงการสงสายลบเขาไปในฐานของศตรเพอขโมยความลบ

กสามารถทำาไดดวยการใชมลแวรทงสน ดงนน จงเปนทนาสนใจอยางยงวา ตอจากน การทำาสงครามในโลก

ไซเบอรจะเปนไปในทศทางใด เพอทจะไดเรยนรและปองกนภยไดอยางทนทวงท

อางอง[29-1] http://www.certcc.ir/index.php?name=news&file=article&sid=1894

[29-2] http://nakedsecurity.sophos.com/2012/05/28/flame-malware-cyber-attack/

[29-3] http://www.securelist.com/en/blog?weblogid=208193522

[29-4] http://www.symantec.com/connect/blogs/flamer-highly-sophisticated-and-


discreet-threat-targets-middle-east

[29-5] http://thehackernews.com/2012/05/flame-malware-21st-century-massive.html

[29-6] http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-

authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx

[29-7] http://technet.microsoft.com/en-us/security/advisory/2718704

[29-8] http://www.h-online.com/security/news/item/Flame-worm-was-signed-by-forged-

Microsoft-certificate-1594388.html

[29-9] http://searchsecurity.techtarget.com/news/2240151187/Microsoft-revokes-

fraudulent-certificates-used-by-Flame-malware-toolkit

[29-10] https://www.f-secure.com/weblog/archives/00002377.html

[29-11] http://nakedsecurity.sophos.com/2012/06/04/flame-malware-used-man-in-the-

middle-attack-against-windows-update/

[29-12] http://www.symantec.com/connect/blogs/w32flamer-microsoft-windows-update-

man-middle

[29-13] http://arstechnica.com/security/2012/06/flame-espionage-malware-used-huge-

network-to-steal-blueprints/

[29-14] http://www.symantec.com/connect/blogs/flamer-urgent-suicide

[29-15] http://isc.sans.edu/diary.html?storyid=13429

30 wEb aPPliCaTion

SECuRiTy รายสะดวก #2ผเขยน: ไพชยนต วมกตะนนทนวนทเผยแพร: 22 มถนายน 2555ปรบปรงลาสด: 22 มถนายน 2555

คราวทแลวในบทความ Web Application Security รายสะดวก #1 ผเขยนไดกลาวถงการปองกน

Web application ดวยแนวคด Defense-in-depth ซงแนวคดอนนถอวาเปนแนวคดทนำาไปใชไดกบการ

รกษาความมนคงปลอดภยทกชนด สำาหรบทานผอานทยงไมคนเคยกบแนวคดน กขออธบายใหเขาใจงายๆ วา

เปรยบเทยบกบการปองกนโจรเขาบาน คงไมมใครตดกลองวงจรปดโดยไมมกญแจประต หรอเลยงสนขโดย

ไมมรวบาน แตมาตรการตางๆ เหลาน ตองนำามาประกอบกนเพอเพมความมนคงปลอดภย การนำามาตรการ

ปองกนหลายๆ แบบมาใชรวมกนแบบน นอกจากจะชวยใหผทไมประสงคดไมสามารถทำาการไดสะดวกแลว

ยงอาจทำาใหผทวางแผนจะบกรกหรอโจมตเปลยนใจไปโจมตเปาหมายทมการปองกนนอยกวาแทน เนองจาก

มความเสยงนอยกวากเปนได

ถาพดถงการปองกน Web application ในแบบ Defense-in-depth แลว ตวอยางทผเขยนจะกลาวถง

ในครงนกคอการทำา chroot (Change root) หรอทบางทานทคนเคยกบระบบ FreeBSD อาจจะรจกในชอวา

Jail นนเอง วธการนไมไดใชปองกนตว Web application โดยตรง นนคอ หาก Web application มชอง

โหว การทำา chroot หรอ Jail กไมไดทำาใหชองโหวนนหมดไป แตทำาใหผไมประสงคดสามารถใชประโยชน

(Exploit) จากชองโหวนนไดยากขน หรอใชไดอยางไมเตมท ทำาใหลดโอกาสหรอลดความรนแรงของความ

เสยหายจากการถกโจมตไดระดบหนง

รปแบบของการทำา chroot หรอ Jail ใน Web application นน มกจะทำากนทระดบของ Web server

มากกวาทจะทำากนท Web application เปนรายตว โดยหลกการของ chroot คอการแยก Application

ใดๆ (ในทนคอ Web server) ใหทำางานอยในพนท Disk เฉพาะตว ไมใหสามารถเขาถงพนท Disk ทใชงาน

ในระบบงานอนๆ ได ดงนนหาก Application ตวนนเกดความผดพลาดในการทำางาน หรอถกผไมประสงค

ดเขาควบคม Application นนกจะไมสามารถเขาถงไฟลระบบอนๆ หรอไฟลขอมลของระบบงานอนๆ ท

อยในเครองเดยวกนได หลกการนเปนหลกการเดยวกบหลกการ Sandbox ทมใชใน Web browser สมย


ใหมบางตว และมใชอยในระบบ Android และ iOS ทใชงานบนโทรศพทมอถอดวย รปแบบการทำางานของ

แตละระบบ ไมวาจะเรยกวา chroot, Jail หรอ Sandbox กตาม ถงแมจะมจดประสงคเดยวกน แตวธการ

ทำางานอาจจะแตกตางกนเลกนอย ในทนจะขอกลาวถง chroot สำาหรบ Apache web server ทอยบน

ระบบปฏบตการ Linux เปนหลก เพอไมใหเกดความสบสน

ในเมอเราจำาเปนตองกำาหนดพนทเฉพาะท Application แตละตวสามารถใชงานไดใหแยกกนอยางเดด

ขาดแลว ใน Application ทมความซบซอนอยาง Web server แลวกนบวาเปนเรองทยงยากไมนอย ในอดต

ทผานมาปญหาสำาคญของการทำา chroot สำาหรบ Web server กคอ Shared library และ System file

ซง Web server จำาเปนตองใชในการทำางาน เราจำาเปนตอง Copy สวนประกอบตางๆ เหลานมาไวในพนท

ทจะกำาหนดใหเปนพนทเฉพาะของ Web server เสยกอน บางครงรวมถง Log file และ Temporary file

ตางๆ ท Web server จะตองเขยนระหวางการทำางานดวย และจากทไดกลาวไปขางตนวา การ chroot หรอ

Jail ไมใชการปองกน Web application โดยตรง เมอพจารณาจากความยงยากของการดำาเนนการแลว ผ

ดแลระบบจำานวนไมนอยจงอาจจะคดวา เปนการลงทนลงแรงทไมไดผลดเทาทควร และอาจจะจดอนดบเอา

ไวเปนสงทายๆ ทจะนำามาปฏบต

แตความเปนจรงแลว การ chroot จะเปนประโยชนมากในการลดผลกระทบ (Mitigate) ของการโจมต

บางรปแบบ ทปกตจะมอนตรายกบระบบอยางมาก เชน การโจมตในรปแบบ Command injection หรอการ

ฝง Shell ซงผลลพธของการโจมตประเภทนคอ การเขาถงระบบปฏบตการโดยตรง และมสทธในการเขาถง

ไฟลตางๆ รวมถงคำาสงของระบบในลกษณะเชนเดยวกบผใชคนหนงในระบบ โดยอยภายใตสทธ (Privileges)

ของ Web server ในกรณน หาก Web server นน ถก chroot เอาไว ถงแมคำาสงจะถกสงเขามาผานชอง

โหวของ Web application ไดสำาเรจ แตจะไมสามารถมผลกบระบบหรอ Application อนทอยในระบบนน

ได ตามภาพท 185 (30-1) และ 186 (30-2)

รปท 146 (30-1) แสดง php shell เมอทำางานใน Apache ปกต

รปท 147 (30-2) แสดง php shell เมออยใน Apache ทถก chroot

จากความแตกตางของรปท 146 (30-1) และ 147 (30-2) จะเหนไดวา เมอ Web server (ในทนคอ

Apache) ถก chroot แลว ตอใหถกบกรกเขามาได ผไมประสงคดกจะไมสามารถเขาถงไฟลระบบหรอคำาสง

ตางๆ ไดเลย เวนแตไฟลของ Web application และ Content ทอยใน Web server เทานน เพราะพนท

ทระบบปฏบตการอนญาตให Web server เขาถงไดมแคพนททใชเกบ Content ของ Web server เทานน

อยางไรกตาม จดออนของ chroot กยงมอย เชนเดยวกบระบบปองกนอนๆ ทกชนด ทไมมระบบใด

สมบรณพรอมจนไมสามารถทำาลายได อนดบแรกคอ chroot จะสามารถปองกนการเขาถงไดเฉพาะ Ap-

plication ทไมไดมสทธ root เทานน กรณนอาจจะไมนากงวลนก เนองจากในระบบปฏบตการสมยใหม

มกจะกำาหนดให Web server ทำางานในสทธ user ธรรมดาเทานน (เวนแตผไมประสงคดใชเทคนคขนสง

เชน Privilege escalation ซงจะกลาวถงในโอกาสหนา) อกขอหนงคอ chroot ไมสามารถใชปองกนการท

ผไมประสงคดจะทำาลาย หรอดดแปลงแกไข Web application ของทาน ในกรณน ตองเขาใจกอนวา การ

โจมตประเภท Command injection หรอการสงการผาน Shell ทถกลกลอบฝงไว (รปท 146 (30-1)) จะ

สามารถทำางานไดตามสทธของ Web server เทานน ตอใหเราจำากดพนทท Web server สามารถเขาถงได

ดวย chroot แลวกตาม Web server กยงจำาเปนตองเขาถง Web application หรอ Content ตางๆ เชน

รปภาพ หรอขอมลทตองการเผยแพรตางๆ อยด ซงกยงเปนจดทผไมประสงคดสามารถกระทำาการมดมราย

แกระบบของทาน ได นอกจากน การโจมตทมเปาหมายเปนขอมลใน Database อยาง SQL Injection ก

ไมสามารถปองกนไดดวยวธนเชนกน

เมอทราบทง ขอดและจดออนของ chroot แลว หากวาทานผอานตองการนำาไปทดลองทำาดบาง จะตอง

ทำาอยางไร? สำาหรบทานทใช Apache ตงแต version 2.2.10 ขนไป กคอนขางจะงาย เพราะความสามารถ

chroot นน ไดถกรวมมาอยในตวอยแลว สำาหรบทานทใช version เกากวาน กมทางเลอกอก 2 ทางคอใช

mod_chroot หรอใช mod_security ซงจะไมขอพดถงในทน

ขนตอนการ chroot ใน Apache version 2.2.10 ขนไป จะมขนตอนใหญๆ 4 ขน ดงน

1. กำาหนดพนทสำาหรบทำาเปน root

2. แกไข Apache configuration

3. ยาย Web application

4. ทดสอบการทำางาน


http://core.segfault.pl/%7Ehobbit/mod_chroot/

http://www.modsecurity.org/documentation/apache-internal-chroot.html

กำ หนดพนทสำ หรบทำ เปน root พนทสำาหรบเปน root จะตองเปนพนททมขนาดใหญเพยงพอสำาหรบเกบ Web application และขอมล

ทกชนดทตองใชกบ Web application เอง รวมถงขอมลทตองการเผยแพรผาน Web server ทงหมด ใน

ทนกำาหนดใหเปน /var/wwwroot

แกไข Apache configuration เพมบรรทดดงตอไปนใน Apache configuration

ChrootDir /var/wwwroot

ยาย Web application เนองจากเมอ chroot แลว Apache จะไมสามารถเขาถงสงทอยนอก root ไดเลย ดงนนจงจำาเปนจะตอง

ยาย Web application และ Content ตางๆ เขามาอยใน root ใหมนทงหมด เชนถาม Web application

เดม อยท /var/www/application1 กตองยาย Web application ดงกลาวมาไวเปน /var/wwwroot/

var/www/application1

ซงอาจจะดสบสนไมนอย แตกเปนการแลกกบการทไมตองแกไข Configuration ของ Apache ใหมาก

จนเกนไปนก สวนตำาแหนงทเกบ Log file และ SSL Key/Certificate ทใชกบ Apache จะไมไดรบผลกระ

ทบจากการทำา chroot แตอยางใด จงไมจำาเปนตองแกไขใดๆ ทงสน

ทดสอบการทำ งาน เพอใหแนใจวา การ chroot เปนไปอยางสมบรณ ไมมผลกระทบตอการทำางาน จงจำาเปนตองทดลอง

ใชงานใหแนใจ โดยหลงจาก restart Apache แลว ใหทดลองใชงานพรอมตรวจสอบ Log file ใหแนใจวา

ไมม 404 not found หรอ Error ของ Web application เกดขนโดยไมคาดคด ซงอาจหมายความวาการ

ยาย Web application และ content ตางๆ ยงไมสมบรณอยางทควรจะเปน

31 รทนและปองกน MalwaRE ใน

ระบบปฏบตการ andRoid ตอนท 2ผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 17 ส.ค. 2555ปรบปรงลาสด: 17 ส.ค. 2555

จากบทความ รทนและปองกน Malware ในระบบปฏบตการ Android ผเขยนไดกลาวถงภยคกคามจาก

Malware ในระบบปฏบตการ Android พรอมทงแนะนำาวธการตรวจสอบ Permission หรอสทธการทำางาน

ของโปรแกรม และแนะนำาวธการปองกน Malware ในเบองตนไปแลว ในบทความตอนท 2 นจะกลาวถงชอง

โหวหรอวธการใหมๆ ทผสราง Malware นำามาใชในการโจมต พรอมทงเสนอแนวทางการปองกนทอาจชวยได

สถตทนาสนใจเกยวกบ Malware ในระบบปฏบตการ Android

จากขอมลใน Mobile Threat Report Q2 2012 ของ F-Secure [31-1] พบวา Malware กวา 64%

มาจากศนยซอฟตแวรของผพฒนาภายนอก (Third-party Android market) โดยประเภทของ Malware

ทพบมากทสดคอ Trojan ซงคดเปน 81% ของจำานวน Malware ทงหมดทพบในเดอนเมษายน - มถนายน

2555 ดงรปท 148 (31-1) สถตดงกลาวแสดงใหเหนวา วธการแพรกระจายของ Malware โดยสวนใหญนน

จะเปนการหลอกลวงใหผใชเปนผตดตงโปรแกรมอนตรายเขาไปเอง


รปท 148 (31-1) ประเภทของ Malware ทพบในระบบปฏบตการ Android (ทมา F-Secure)

และจากขอมลของ Kaspersky พบวา จำานวน Malware ในระบบปฏบตการ Android ในเดอน

เมษายน - มถนายน 2555 เพมขนเกอบ 3 เทาของจำานวน Malware ในเดอนมกราคม - มนาคม 2555 ดง

รปท 149 (31-2) [31-2]

รปท 149 (31-2) สถตการเพมขนของจำานวน Malware ในระบบปฏบตการ Android (ทมา Net-Security)

ทางฝง Android Market ทตอนนเปลยนชอเปน Google Play Store ถงแมวาทาง Google จะพฒนา

ระบบ Bouncer ขนมาเพอใชในการตรวจสอบความมนคงปลอดภยของแอปพลเคชนทนกพฒนาสง เขามา

กอนจะปลอยใหผใชดาวนโหลดจากศนยซอฟตแวรแลวกตาม [31-3] แตนกวจยกยงคนพบชองโหวของระบบ

ดงกลาว และไดทดลองสงแอปพลเคชนทมโคดของ Malware เขามาใน Play Store แลวพบวาแอปพลเคชน

ดงกลาวสามารถผานเขาส Play Store ไดโดยไมมการแจงเตอนเรองความมนคงปลอดภยแตอยางใด [31-4]

ตวอยางการขามผานระบบ Bouncer ทนกวจยใช เชน การแบงสวนโคดของ Malware ใสในแอปพลเคชนท

อยใน Play Store แลวเกบสวนทเหลอไวในเซรฟเวอรภายนอก เมอผใชตดตงแอปพลเคชนดงกลาวและเปด

ใชงาน แอปพลเคชนนนกจะไปดาวนโหลดโคดสวนทเหลอมาจากเซรฟเวอรแลวเรม ทำางานตามคำาสงอนตราย

ทถกใสไว [31-5] ดงนน ถงแมผใชจะดาวนโหลดแอปพลเคชนจาก Play Store ทนาจะเปนศนยซอฟตแวรท

มความนาเชอถอทสดแลวกถาม แตกยงไมอาจมนใจวาจะปลอดภยจาก Malware ได

ภยคกคามจาก Malware ในระบบปฏบตการ AndroidMalware ในระบบปฏบตการ Android ไดถกพฒนาไปมาก ขอมลดานลางนคอตวอยางวธการโจมต

แบบใหมทถกคนพบ

Man-in-the-Mobile

Man-in-the-Mobile (MitMo) เปน 1 ในวธการโจมตแบบ Man-in-the-Middle ซงเปนวธการทผไม

หวงดเขามาแทรกกลางในระหวางการสนทนาเพอดกรบ ขอมลโดยไมใหผทสนทนาอยรตว ซงผทดกรบขอมล

ไดนอกจากจะสามารถทราบขอมลทกอยางทสนทนากนได แลว ยงอาจแกไขหรอปลอมแปลงขอมลทรบสง

ไดดวย เมอการโจมตดงกลาวมาอยในอปกรณพกพาจงถกเรยกวา Man-in-the-Mobile

ตวอยาง Malware ทโจมตดวยวธน เชน SPITMO (SpyEye in the mobile) ซงจะหลอกใหผใชดาวน

โหลดแอปพลเคชนมาตดตง โดยภายในมคำาสงไมพงประสงคทจะดก OTP (One-time password) ซงเปน

รหสผานชวคราวททางธนาคารจะสง SMS มาใหกบลกคาเพอใชในการเขาสระบบ ตว Malware จะดกและ

สงตอ SMS ดงกลาวไปใหกบผสราง Malware เพอสวมรอยเขาสระบบของธนาคารแทนผใชตวจรง [31-6]

Clickjacking

Clickjacking โดยปกตจะหมายถงเวบไซตทดเหมอนเปนเวบไซตธรรมดาทวไป แตหนาเวบนนถกซอน

ทบโดยเนอหาทมองไมเหน (Transparent Layer) โดยผไมหวงดจะวางตำาแหนงของปมหรอลงกทมคำาสง

อนตรายไวซอนทบกบปมหรอลงกปกต ทำาใหเมอผใชคลกทลงกดงกลาว กจะเปนการสงใหคำาสงอนตราย

นนทำางานโดยไมไดตงใจ [31-7]

ในระบบปฏบตการ Android นกวจยไดทดลองสราง Malware ทแสดงผล Transparent Layer ซอน

ทบไอคอนของแอปพลเคชน Browser ทมากบระบบปฏบตการ โดยใหไปเรยกแอปพลเคชนอน เชน แอปพล

เคชนทบนทกขอมลการใชงานของผใชแลวแอบสงขอมลดงกลาวไป ใหผไมหวงด เปนตน ตวอยางการโจมต

ดวยวธดงกลาวสามารถดไดจาก http://youtu.be/RxpMPrqnxC0 [31-8]

Antivirus ปลอม


จากปญหาการแพรระบาดของ Malware ในระบบปฏบตการ Android จงมผพฒนาซอฟตแวร An-

tivirus ขนมาเพอตรวจจบและกำาจด Malware ออกจากระบบ ผไมหวงดอาศยชองทางนในการโจมตแบบ

Social Engineering โดยการสรางแอปพลเคชน Antivirus ปลอมขนมาแลวหลอกใหผใชดาวนโหลดไปตด

ตง [31-9] ตวอยางแอปพลเคชน Antivirus ปลอม เปนดงรปท 150 (31-3) อยางไรกตาม แหลงทมาของ

ซอฟตแวร Antivirus ปลอมโดยสวนใหญนนจะมาจากศนยซอฟตแวรภายนอก ยงไมมรายงานวามแอปพล

เคชน Antivirus ปลอมใน Play Store

สถตการเพมขนของจำานวน Malware ในระบบปฏบตการ Android (ทมา Net-Security)

รปท 150 (31-3) ตวอยางแอปพลเคชน Antivirus ปลอม (ทมา nakedsecurity)

Root bypass

ในระบบปฏบตการ Linux จะมบญชผใชทชอ root เปนผใชทมสทธสงสดในระบบ สามารถแกไขการตง

คาของระบบรวมทงสามารถเขาถงหรอเปลยนแปลงแกไขไฟล ของผใชในระบบคนไหนกได เนองจากระบบ

ปฏบตการ Android ถกพฒนาขนโดยมพนฐานมาจากระบบปฏบตการ Linux จงมบญชผใชทเปน root อย

ในระบบเชนกน ดงนนการ root ในระบบปฏบตการ Android จงหมายถงการประมวลผลแอปพลเคชนใดๆ

กตามดวยสทธของ root

การ root อปกรณทใชงานระบบปฏบตการ Android นนจะมขนตอนวธในการทำาแตกตางกนไป แตโดย

หลกแลว จะเปนการนำาไฟลไบนารของคำาสง su (Super User) ไปไวในไดเรกทอรทเกบคำาสงของระบบ แลว

กำาหนดสทธใหไฟล su สามารถประมวลผลได จากนนตดตงแอปพลเคชน เชน Superuser หรอ SuperSU

ลงในระบบ เพอตรวจสอบสทธและกำาหนดการอนญาตใหโปรแกรมอนๆ สามารถประมวลผลผานคำาสง su

โดยเมอตดตงโปรแกรมดงกลาวลงในระบบ แลวมการเรยกใชโปรแกรมทตองการสทธของ root จะปรากฎ

หนาตางขนมาเพอใหผใชกดยนยนการอนญาตกอน ดงรปท 151 (31-4) [31-10]

รปท 151 (31-4) การขออนญาตรนโปรแกรมโดยใชสทธของ root (ทมา Superuser)

ในระบบปฏบตการ Android เวอรชน 3.0 และเวอรชน 2.3.3 หรอเกากวา จะมชองโหว CVE-2011-

1823 ซงชองโหวดงกลาวทำาใหแอปพลเคชนใดๆ กตามสามารถประมวลผลคำาสงอนตรายโดยใชสทธของ

root ได ชองโหวดงกลาวนถกเรยกในชอ Gingerbreak [31-11] Malware ตวแรกทโจมตผานชองโหวดง

กลาว คอ Gingermaster ซงจะลกลอบเปด Service ลบในเครองของผใชและสงขอมลสวนตวออกไปใหกบ

ผสราง Malware [31-12] Gingermaster สามารถทำางานภายใตสทธของ root ไดโดยไมปรากฎหนาตาง

ยนยนการอนญาต และเนองจากเปนการโจมตผานชองโหวของระบบปฏบตการเอง ดงนนตอใหผใชไมได

root เครอง กจะถกโจมตไดเหมอนกบเครองทถก root แลวเชนกน

Drive-by-Download

โดยปกตแลวแอปพลเคชนในระบบปฏบตการ Android จะรนในโหมด Sandbox ซงจะเปนการทำางาน

แยกสวนออกมาจากการทำางานของระบบปฏบตการตามปกต เพอปองกนไมใหแอปพลเคชนใดๆ สามารถ

เขาถงหรอแกไขขอมลของแอปพลเคชนอนได ในระบบปฏบตการ Android เวอรชน 3.1 และเวอรชน

2.3.4 หรอเกากวา มชองโหว CVE-2011-2357 [31-13] ซงเปนขอผดพลาดในการโหลด URL ของแอปพล

เคชน Browser โดยชองโหวดงกลาวนอนญาตใหแอปพลเคชนใดๆ สามารถขามผานระบบ Sandbox ของ

Browser และสง JavaScript เขามาประมวลผลคำาสงอนตรายได ตวอยางการโจมตเปนดงรปท 152 (31-5)


http://nakedsecurity.sophos.com/2012/05/16/fake-anti-virus-disguises-used-by-android-malware/

https://play.google.com/store/apps/details?id=com.noshufou.android.su

https://play.google.com/store/apps/details?id=eu.chainfire.supersu

https://play.google.com/store/apps/details?id=com.noshufou.android.su

รปท 152 (31-5) ตวอยางการโจมต Drive-by-Download ในระบบปฏบตการ Android (ทมา IBMAppSecGrp)

NFC

NFC หรอ Near field communication เปนเทคโนโลยการสอสารไรสายระยะสน โดยมระยะการใช

งานประมาณ 10 ซ.ม. นยมใชในการชำาระเงนโดยการแตะอปกรณเขากบเครองรบชำาระเงน หรอแลกเปลยน

ขอมลกบอปกรณทอยในระยะใกลเคยงกน [31-14] ในระบบปฏบตการ Android ตงแตเวอรชน 4.0 ขนไป

มความสามารถชอ Android Beam ซงใชความสามารถ NFC ในการสงไฟลระหวางอปกรณ Android ดวย

กนได [31-15]

นกวจยคนพบวาสามารถโจมตอปกรณทใชงานระบบปฏบตการ Android ผานทาง NFC ได โดยการ

โจมตดงกลาวนไมไดใชชองโหวของโพรโทคอล NFC แตเปนการโจมตผานชองโหวของ Browser (ดงทอธบาย

ไปในหวขอกอนหนาน) เนองจากหากนำาอปกรณทมความสามารถ NFC ไปแตะเขากบ NFC Tag ทม URL

ของเวบไซตอนตรายอย ตวระบบปฏบตการจะเปด Browser ไปท URL นนโดยอตโนมต ซงอาจเปนการ

ดาวนโหลด Malware หรออาจเปนการสงประมวลผลคำาสงอนตรายผาน Browser ได ชองโหวดงกลาวน

ถกแกไขแลวใน Android 4.0.2 โดยหากพบ NFC Tag ทเปน URL ระบบปฏบตการจะแสดงหนาตางเพอ

ใหผใชยนยนการเปดเวบไซตกอนเสมอ [31-16]

A-GPS

ในการระบตำาแหนงทอย โทรศพทมอถอ Smartphone โดยทวไปจะไมไดใชแคขอมลจาก GPS เพยง

อยางเดยว เนองจากการจบตำาแหนงจากดาวเทยมนนตองใชสญญาณจากดาวเทยมอยางนอย 4 ดวง และ

ตองการการประมวลผลทคอนขางซบซอน ถาตองการใหไดตำาแหนงทแมนยำาจรงๆ นนอาจตองใชเวลาในการ

คำานวณถง 12 นาท ดงนนจงมการใชขอมลจาก Wi-Fi หรอ Cellular Network จากผใหบรการโทรศพทมอ

ถอมาชวยในการคำานวณตำาแหนงดวย ซงวธการดงกลาวนเรยกวา Assisted GPS หรอ A-GPS [31-17] ใน

ระบบปฏบตการ Android ผใชสามารถเลอกวธการระบตำาแหนงไดในเมน Location service โดยการเปด

ใชงาน A-GPS จะอยทสวน Google’s location service และการเปดใชงาน GPS จากดาวเทยมจะอยท

สวน GPS satelites ดงรปท 153 (31-6)

รปท 153 (31-6) การตงคา Location Service

นกวจยไดคนพบวาขอมลทแลกเปลยนกนระหวางโทรศพทมอถอกบระบบ เครอขายนนไมไดสงผานชอง

ทางทมนคงปลอดภย ทำาใหผไมหวงดสามารถสงขอมล A-GPS ปลอม หรอขอมลอนๆ ทอาจใชในการโจมต

ได และการคำานวณพกดตำาแหนงนนไมไดทำาบนชป GPS แตถกคำานวณบน CPU ของตวอปกรณโดยตรง

เนองจากมความเรวในการทำางานทมากกวา ดงนนผโจมตจงสามารถสงคำาสงอนตรายเขาไปประมวลผลได

โดยนกวจยไดทดลองสราง Wi-Fi Network ทสงขอมลไปกบ A-GPS ใหเปลยนแปลงการตงคาของอปกรณ

โดยตงคาใหทกครงทอปกรณนนเชอมตอ A-GPS ตองสงขอมลพกดตำาแหนงมาใหกบ Wi-Fi Network นดวย

ทำาใหนกวจยสามารถตดตามตำาแหนงของคนทเคยเชอมตอกบ Wi-Fi Network นได [31-18]

การตรวจสอบและปองกนการตรวจสอบชองโหวในระบบปฏบตการ Android ทใชอย สามารถใชโปรแกรมททำาขนมาเพอตรวจ

สอบชองโหวโดยเฉพาะได เชน โปรแกรม X-Ray for Android ดงรปท 154 (31-7) โปรแกรมดงกลาวนถก

พฒนาขนโดยบรษท Duo Security ซงเปนบรษททพฒนาซอฟตแวรดาน Two-Factor Authentication ผ

ใชสามารถตรวจสอบขอมลเพมเตมและดาวนโหลดโปรแกรมดงกลาวไดจากเวบ ไซต http://www.xray.io/


http://youtu.be/BzUpbcrWufs

รปท 154 (31-7) โปรแกรม X-Ray for Android (ทมา X-Ray)

จากขอมลทนำาเสนอไปขางตน จะเหนไดวา การปองกน Malware โดยดแค Permission ตอนตดตง

แอปพลเคชนนนคงจะไมเพยงพอ เพราะผโจมตตางกสรรหาวธการใหมๆ มาใชอยเรอยๆ และการโจมตบาง

อยางกเกดขนไดโดยทผใชแทบไมรตวเลยดวยซำา ดงนน การปองกนตวทดทสดควรเปนการระวงในการใช

งานของตวผใชเอง โดยเฉพาะการอพเดทแอปพลเคชนและระบบปฏบตการใหเปนเวอรชนลาสด และหมน

ตดตามขอมลขาวสารเรองความมนคงปลอดภยอยเสมอ

อางอง[31-1] http://www.f-secure.com/weblog/archives/

MobileThreatReport_Q2_2012.pdf


[31-3] http://googlemobile.blogspot.com/2012/02/android-and-security.html


breaking_google_bouncer/

[31-5] http://www.symantec.com/connect/blogs/android-threat-trend-shows-

criminals-are-thinking-outside-box


[31-7] https://www.owasp.org/index.php/Clickjacking

[31-8] http://thehackernews.com/2012/07/android-clickjacking-rootkit.html

[31-9] http://nakedsecurity.sophos.com/2012/05/16/fake-anti-virus-disguises-used-

by-android-malware/

[31-10] http://droidlessons.com/what-is-rooting-on-android-the-advantages-and-

disadvantages/

[31-11] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1823

[31-12] http://nakedsecurity.sophos.com/2011/08/22/first-malware-using-android-

gingerbreak-exploit/

[31-13] http://blog.watchfire.com/files/advisory-android-browser.pdf

[31-14] http://java.sun.com/developer/technicalArticles/javame/nfc/

[31-15] http://electronics.howstuffworks.com/android-beam.htm

[31-16] http://hexus.net/mobile/news/android/42933-android-nfc-walk-by-

vulnerabilities-demonstrated/

[31-17] http://tech2.in.com/features/all/what-is-agps-how-does-it-work/115142

[31-18] http://www.technologyreview.com/news/428632/gps-weakness-could-

enable-mass-smartphone-hacking/


32 PhiShing รปแบบใหมมากบ daTa uRi

ผเขยน: ไพชยนต วมกตะนนทน และ พรพรหม ประภากตตกลวนทเผยแพร: 7 ก.ย. 2555ปรบปรงลาสด: 7 ก.ย. 2555

จากสถานการณรบแจงเหตภยคกคามในปจจบน พบวาภยคกคามทเกดจาก Phishing ยงคงมาเปนอนดบ

หนงในประเทศไทย โดยการสรางหนาหลอกลวงใหเหยอหลงเชอกรอกขอมลสำาคญ และสงขอมลกลบไปยงผ

โจมตอกครง ซงในกรณดงกลาวทางผสรางเวบเบราวเซอรยอดนยมทงหลาย ไมวาจะเปน Firefox, Chrome,

Internet Explorer, Safari หรอ Opera กลวนแลวแตไมไดนงนอนใจ ซงจะเหนไดจากเวบเบราวเซอรชนนำา

เหลาน ไดมการเพมความสามารถในการตรวจจบ URL ของเวบไซตทไดรบรายงานวาเปนหนา Phishing และ

แจงใหผใชทราบกอนทจะเกดการหลงเชอและปอนขอมลสำาคญตางๆ เขาไป ดงทเคยไดอธบายถงในบทความ

กอนหนาน (Web Browser กบการปองกน Phishing Website) ซงผลลพธทไดจากแนวทางดงกลาวกนบ

วาเปนการปองกนความเสยหายทไดผลดในระดบหนง

แตตามรายงานขาวเมอวนท 29 สงหาคม 2555 ทผานมา นกศกษาจาก University of Oslo ประเทศ

นอรเวยทชอ Henning Klevjer ไดนำาเสนอแนวทางทอาจนำาไปสการโจมตในลกษณะของ Phishing ในรป

แบบใหม [32-1] โดยมการแสดงวธการฝง HTML Code ของหนา Phishing ลงใน URI โดยตรง และเมอ

มการเปดดวยเวบเบราวเซอรกจะทำาใหเหนหนา Phishing ตาม HTML Code ทฝงลงไป เชน URI ทแสดง

ในรปท 155 (32-1)

รปท 155 (32-1) ตวอยาง URI

เมอนำาไปเปดดวยเวบเบราวเซอรจะพบลกษณะดงรปท 156 (32-2)

รปท 156 (32-2) ตวอยางหนาเวบเพจทเกดจาก URI ในรปท 155 (32-1)

ซงสงททำาใหลกษณะการทำางานดงกลาวแตกตางจากการโจมตดวยเทคนค Phishing ในลกษณะเดมคอ

เวบเบราวเซอรจะไมไดมการตดตอกบเวบไซตใดเลยในการแสดงผลเวบเพจน โดยขอมลทงหมดไมวาจะเปน

HTML Code หรอแมแต Javascript เองกสามารถถกฝงเอาไวใน URI ขางตนไดทงสน ซงเทากบวาวธการ

ทเวบเบราวเซอรใชในการตรวจสอบหนา Phishing ดวย URL กจะไมสามารถใชไดผลอกตอไป

URI VS URL และภยทมากบ Data URIผใชหลายทานคงไดยนคำาวา URL กนมานานแลว บางทานเมออานบทความนในตอนแรกอาจทำาให

เกดความสบสนเมอมการพดถง URI โดยในหวขอนจะอธบายความหมายของคำาวา URI และ URL เพอให

ผอานเกดความเขาใจถงลกษณะการทำางานและแนวทางการโจมตทได กลาวไวในขางตน โดยมรายละเอยด

ทนาสนใจดงตอไปน

URI ยอมาจาก Universal Resource Identifier เปนมาตรฐานการอางองรปแบบการเขาถงทรพยากร

ตางๆ เปนมาตรฐานซงดแลกำากบโดยหนวยงาน IANA มลกษณะการเรยกใชงานทเรยกวา Scheme โดยม

Scheme ทกำาหนดไวเปนมาตรฐาน [32-2] เชน http, ftp, data เปนตน

URL (Uniform Resource Locator) ถอเปนสวนประกอบหนงของ URI เปนลกษณะของการระบท

อยของทรพยากรบนเครอขายอนเทอรเนต โดยมรปแบบการเรยกใชคอ [scheme]://[domain:port/path]

เชน http://example.com หรอ ftp://example.com ซงหมายถงมการเรยกใชโพรโทคอลชอ HTTP และ

FTP ในการเขาถงขอมลเวบไซตชอ example.com

โดยจาก Scheme ของ URI ทไดมการพดถงในบทความนคอ Data ซงความจรงแลวไมใชสงแปลกใหม

เนองจากความสามารถนถกระบอยใน RFC 2397 [32-3] ตงแตป 1998 แลว และมการนำามาใชเปนเวลา

นานพอสมควร โดยสวนมากเปนการใชเพอแสดงรปภาพขนาดเลกๆ เชน Bullet บนเวบไซต โดยมรปแบบ

การใชงานคอ data:[<mediatype>][;base64],<data> ดงตวอยางในรปท 157 (32-3)


รปท 157 (32-3) ตวอยาง URI

ผลลพธของการแสดงผลบนเวบเบราวเซอรจะแสดงรปภาพธงชาตไทยขนาดเลกทนท โดยไมจำาเปน

ตองมไฟลรปภาพนอยในเครองแมขายแตอยางใด ซงลกษณะตวอยางดงทกลาวมานคงทำาใหผอานพอเขาใจ

แลววาเหตใด เวบเบราวเซอรจงจะไมสามารถตรวจสอบหนา Phishing ทเกดจากการใชงาน Data URI ได

ขอสงเกตการใชงาน Data URIพบวาการใชงาน Data URI ยงคงมขอจำากดและลกษณะบางอยาง ซงอาจจะเปนเหตผลทในปจจบนน

ยงไมมการใช Data URI ในการโจมตในลกษณะ Phishing กได โดยมขอมลสนบสนนไดแก

1. ในชอง Address bar ทเปนขอมล Data URI จะมลกษณะทผดปกตมาก โดยมความยาวและไมได

ขนตนดวย http:// เหมอนอยางการเปดเวบไซตอนทวๆไป ซงอาจทำาใหเหยอเกดความสงสยได

2. การสงขอมลทหลอกลวงเหยอใหกรอกลงไปในหนา Phishing นน ยงคงตองอาศยการรบขอมลของ

Script ทตองมอยจรงบนอนเทอรเนต นนหมายถงใน Data URI ทเปดกจะตองมขอมลในสวนนอย

ซงอาจถกตรวจจบไดดวยกลไกการปองกน Phishing ของเวบเบราวเซอรตอไป

3. มการพบวาเวบเบราวเซอรตระกล Internet Explorer ซงเปนเวบเบราวเซอรทใชกนแพรหลายมาก

ทสดตวหนง ไมสนบสนนการใชงาน Data URI ทฝงขอมล HTML Code แตยงคงสนบสนนการใช

งานทเปนการแสดงขอมลประเภทรปภาพเทานน

ขอแนะนำ ในการปองกนตนเองจากขอสงเกตทไดกลาวมาในขางตนผใชเวบเบราวเซอร Internet Explorer อาจจะสบายใจไดในระดบ

หนงเนองจากโปรแกรมดงกลาวไมสามารถทำางานกบ Data URI ได แตสำาหรบผใช Firefox อาจจะสามารถ

ปองกนไดโดยการตดตง Extension ทชอ NoScript ในการปองกนการโจมตแบบนได โดย NoScript จะ

แสดงขอความเตอนเมอผใชพยายามเขาถง Data URI ผานการ Click บน Link ซงนาจะเปนสถานการณ

เดยวกนกบทผใชไดรบอเมล Phishing แตจากการทดสอบพบวาจะไมเกดผลถา Data URI นน เปนสวนหนง

ของเวบเพจอยแลว เชนการใช Data URI แสดงรปภาพ ดงรปท 158 (32-4)

รปท 158 (32-4) ตวอยางการแจงเตอน URI ผดปกต

และสำาหรบเวบเบราวเซอรอนๆ เชน Chrome Safari หรอ Opera กยงไมปรากฏวามวธการปองกน

ดวยการโจมตนแตอยางใด และจากการทดสอบดวยเวบเบราวเซอรบนโทรศพทมอถอทเปนระบบปฏบต

การ Android และ iOS กพบวาไดรบผลกระทบจากเรองนเชนกน และอาจรนแรงกวากรณทผใชผานเครอง

คอมพวเตอรเนองจาก Address bar สำาหรบโทรศพทมอถอคอนขางมลกษณะการมองเหนคอนขางจำากดซง

อาจทำาให สงเกตไดยากขนดงเชนรปท 159 (32-5)

รปท 159 (32-5) ตวอยางการเปด URI ในเบราวเซอร Safari ในเครอง iPhone


ซงในระหวางนผใชเองควรมสตในการใชงานอยางระมดระวงในการใชงานจนกวา จะมวธปองกนทดกวาน

ออกมา อยางไรกตาม ไมวาผอานจะใชงานเวบเบราวเซอรอะไร และมระบบปองกนหรอไมกตาม การใชวธการ

สงเกต URL ทผดปกต หรอสอบถามกบทางสถาบนการเงนโดยตรงกอนทกครงทมความสงสยเกยวกบการทำา

ธรกรรมทางการเงน กยอมเปนแนวทางการปองกนจากภยของการโจมตประเภท Phishing ทดทสดในทกกรณ

เอกสารอางอง[32-1] http://klevjers.com/papers/phishing.pdf

[32-2] http://www.iana.org/assignments/uri-schemes.html

[32-3] http://www.ietf.org/RFC/RFC2397.txt

33 PASSWORD, HASH และ

RAINbOW TAbLE ผเขยน: ไพชยนต วมกตะนนทนวนทเผยแพร: 5 ตลาคม 2555ปรบปรงลาสด: 5 ตลาคม 2555

ในระยะนมขาวเกยวกบองคกรตางๆ ทงของรฐและเอกชนในตางประเทศ ทถกกลมผไมประสงคด

ลกลอบขโมยขอมลออกมาอยบอยๆ ไมวาจะดวยเหตผลทางการเมองหรอเหตผลอนๆ กตาม แตทกครงท

ขอมลในองคกรเหลานนหลดออกมา สงทสญเสยไปนอกจากขอมลทเปนความลบตางๆ (รวมถงความเชอ

มนทมตอองคกร) แลว บางครง ขอมลสวนบคคล และรหสผานของผทใชงานระบบสารสนเทศในองคกร

เหลานนกถกนำาออกมาดวย

ขอมลประเภทรหสผานของบคคลนน มความสำาคญมากกวาทหลายคนคด เพราะจากสถตทผานมา พบ

วาคนเรามกจะใชรหสผานซำาๆ กนในแตละระบบทตนเองใชงาน เชนผใชจำานวนไมนอยทใชรหสผานเดยวกน

ทงระบบอเมล และ Web application ขององคกร รวมถงยงเอารหสผานนไปใชกบอเมลสวนตวดวย [33-1]

ทำาใหเมอผไมประสงคดเจาะเอารหสผานใน Web application ออกไปไดแลว กสามารถใชรหสผานนเพอ

เขาถงอเมลของผใชคนนน ทงในองคกรและอเมลสวนตวไดอยางสบาย

การเกบรหสผานในฐานขอมล หรอในไฟลขอมลกด เปนวธการปกตในการใชงานรหสผานของ Appli-

cation ตางๆ อยแลว ดงนนฐานขอมล หรอไฟลดงกลาวน จงเปรยบเสมอนกญแจเขาสระบบทงหมด ทผดแล

ระบบตองคอยระมดระวง ไมใหผไมประสงคดมาเอาออกไปได หรอถาเอาออกไปไดกตองนำาไปใชประโยชน

ไมได ซงในกรณหลงน ถาถามผเชยวชาญดานความมนคงปลอดภย กคงไดคำาตอบวา อยาเกบรหสผานเอา

ไวแบบ Plain text นนเอง

ถาไมเกบแบบ Plain text แลวจะเกบแบบใด ถาพดถงการเกบขอมลใหเปนความลบหลายคนคงนกถง

การเขารหสลบ (Encrypt) ซงมหลายรปแบบดวยกน แตการเกบรหสผานดวยรหสลบดจะไมเปนวธทดนก

เนองจากขนชอวาเปนการเขารหสลบแลว กตองม Key ทใชถอดรหสลบ (Decrypt) ซงกไมพนทจะตองเกบ

เอาไวทใดทหนง เชนในตว Application เอง ในกรณน ถาพจารณาจากรปแบบการโจมตของผไมประสงคดท

ผานๆ มาแลว จะพบวาสวนมากผโจมตจะสามารถเขาถงขอมลในเครอง Web server ไดดวย ดงนนนอกจาก


http://www.thaicert.or.th/papers/technical/2012/pp2012te0013.html



จะไดขอมลทมการเขารหสลบออกไปแลว กมกจะได Key ทสวนมากจะซอนอยในตว Web application

ออกไปดวยเชนกน เปรยบเหมอนใชตเซฟอยางด แตกลบวางกญแจไวบนโตะขางๆ กน

Hashingรปแบบการเกบรหสผานทนยมใชกนกคอ การเกบรหสผานในรปแบบของ Hash หรอชออยางเปน

ทางการคอ Cryptographic Hash ความสามารถของ Hash คอ สราง “ขอมลแทนตว” ของขอมลใดๆ ซงใน

ทนคอรหสผานนนเอง ขอดของ Hash ทเหนอกวาการเขารหสลบกคอคา Hash หรอ “ขอมลแทนตว” จะไม

สามารถถอดรหส หรอกระทำาการใดๆ เพอใหกลบออกมาเปนคาทแทจรงของขอมลนนๆ ได เชนถาผไมประสงค

ด ได Hash ทมคาเปน 3fd7e602e98245a83eed414d798040e952e01cbee0979269d2a0150db-

d37172030d6e8d6a2b1baaf23c2acfe1624d112b9fd6a7cd678b36e7aff411e9b09f0c7 ออกไป

จากการเจาะระบบ กจะไมสามารถทราบวา รหสผานทแทจรงคอ thisismysecretpassword เปนอนขาด

ทานผอานอาจจะสงสยวา ในเมอไมมทางทจะ “ถอดรหส” คา Hash ออกมาได ตว Web application

จะทราบไดอยางไรวาผใชงานปอนรหสผานเขามาถกตองแลว คำาตอบกคอ ตว Web application ไมจำาเปน

ตองทราบวารหสผานทถกตองคออะไร ขอเพยงแคเมอเอารหสผานทผใชปอนเขามา ไปผาน Hash แบบ

เดยวกนกบทใชกบรหสผานทเกบในระบบ ถาผลทไดออกมาตรงกบคาทเกบเอาไวกเปนอนทราบไดแนวา

รหสผานทผใชงานปอนเขามานนถกตองแลว

Hash นนมหลายแบบ ทเปนทรจกกนมากทสดดเหมอนจะเปน MD5 ซงมขาวใหญเมอหลายปมาแลววา

มผ Crack ไดสำาเรจ จนเกดความวตกกงวลไปทว โดยเฉพาะผทไดยนขาวมาโดยไมทราบรายละเอยดทแทจรง

รายละเอยดของเรองนกคอ Hash ทกชนด มขอจำากดอยอยางหนงคอการเกด Collision หรอการซำากนของ

คา Hash ซงถาลองพจารณาดแลวจะเหนวาเรองนไมใชเรองแปลกเลย เนองจากคณสมบตของ “ขอมลแทน

ตว” ท Hash สรางขนจะมความยาวคงทเสมอสำาหรบ Hash แตละแบบ เชนในกรณของ MD5 จะมขนาด 16

ไบต (128 บต) ดงนนคา MD5 ทงหมดในโลกนทจะมไดคอ 256^16 หรอ 2^128 คาเทานน ในขณะทขอมล

ทตองการหาคา Hash นนอาจเปนขอมลอะไรกได ซงยอมมความหลากหลายมากกวา จำานวน 256^16 หรอ

2^128 แนนอน จงเปนไปไดทจะพบวามขอมลมากกวา 1 ชด ทมคา Hash ตรงกน และเชนกน สำาหรบการ

ใช Hash เกบขอมลรหสผาน กยอมมโอกาสทจะมรหสผานมากกวา 1 ชด ทใหคา Hash ออกมาตรงกนดวย

ดเหมอน Hash collision จะเปนกฏธรรมชาตทไมสามารถหลกเลยงได แตในกรณของ MD5 จะม

ความพเศษมากขนอกขน เมอมผคนพบวธการสรางขอมลใดๆ กตาม ใหมคา Hash ตรงกน [33-2] จงทำาให

หนวยงานดานความมนคงปลอดภยตางๆ เชน US-CERT ไดระบวา MD5 เปน Hash แบบทมความมนคง

ปลอดภยไมเพยงพอในปจจบน [33-3] และควรหลกเลยงไปใชการ Hash แบบอน สวน NIST กไดแนะนำา

ใหหนวยงานรฐบาลของสหรฐฯ ใชการ Hash แบบ SHA-2 [33-4] ซงมความยาวของคา Hash ตงแต 28

ไบต (224 บต) ขนไปแทน

Hash cracking

อยางไรกตาม การมจดออนเรอง Hash collision กยงไมใชจดออนโดยตรงทจะทำาใหการเกบรหสผาน

ดวย MD5 ไมมนคงปลอดภย เพราะถงแมผโจมตจะไดรหสผานทถก Hash ดวย MD5 เอาไวออกไป กยง

ไมสจะมประโยชนตอการใชเขาสระบบนก (ยกเวนมความผดพลาดในการออกแบบ Application ซงจะกลาว

ถงในโอกาสหนา) ผโจมตจำาเปนตองหาทาง “ถอดรหส” ของคา Hash ออกมาใหเปนรหสผานไดเสยกอน

ความจรงแลว Hash ไมสามารถถอดรหสได เนองจาก Hash ทกชนด ไมใชการเขารหส กระบวนการ

Hash คอกระบวนการทเรยกวา “ฟงกชนทางเดยว” (One way function) ทไมสามารถกระทำาการยอนกลบ

(Reverse) ได ลองคดถงการนำาขอมลขนาด 1 เทระไบต มา Hash ดวย MD5 ซงจะได 16 ไบตเสมอ ถาสามารถ

หาวธแปลงขอมล 16 ไบตกลบเปน 1 เทระไบต ไดกเทากบวา MD5 เปนวธการบบอดขอมลทดทสดในโลก

ดงนน การ “ถอดรหส” ของ Hash ในความหมายทเขาใจกนทวไปกหมายถง การหาคาตงตนกอนท

จะถก Hash นนเอง ซงวธการทนยมใชกนกคอ การใชวธพยายามสมรหสผานทเปนไปไดทละคา และนำาไป

ผาน Hash แบบเดยวกบทใช Hash รหสผานทไดมา แลวเทยบกนจนกวาจะพบคาทตรงกน ซงอาจเรยกได

วาเปนการ Bruteforce รปแบบหนง ซงถาหากรหสผานมความยาวหรอความซบซอนมาก กวาจะสมหารหส

ผานทถกตองพบไดกยอมตองใชเวลานาน

การหาคาตงตนของ Hash จำาเปนตองใชความสามารถของคอมพวเตอรในการคำานวณคา ซงปจจบน

นยมใช GPU (Graphic Processing Unit) ของการดแสดงผล (Display Adapter หรอ Display Card)

มาคำานวณแทน เนองจากมความสามารถในการคำานวณทางคณตศาสตรดกวา CPU มาก และสามารถเพม

ขยายความสามารถไดดวยการเพมจำานวนการดแสดงผลในเครอง คอมพวเตอร ซงสะดวกกวาการเปลยน

CPU หรอเพมจำานวน CPU

จากการทดลองดวยโปรแกรม oclHashcat ซงเปนโปรแกรมทใชหาคาตงตนของ Hash ดวยการสมคา

บนเครองคอมพวเตอรทใช GPU ของ ATI รน RADEON 5450 ซงเปน GPU รนพนฐาน พบวา สำาหรบรหส

ผานทมความยาว 6 ตวอกษร และประกอบดวยตวอกษรทงตวเลกตวใหญ สญลกษณ และตวเลข จะใชเวลา

ไมเกน 1 ชวโมง ในการสมคาจนครบทกคาทเปนไปไดใน Hash ชนด MD5 นนหมายความวา ถาผใชงานใช

รหสผานทมความยาวเพยง 6 ตวอกษรในระบบทใช Hash ชนด MD5 ผโจมตจะสามารถ “ถอดรหส” ได

อยางแนนอนในเวลาไมเกน 1 ชวโมง แมจะใชเพยง GPU รนพนฐานทมอายรวม 2 ปแลว แตถาเพมความ

ยาวรหสผานเปน 8 และ 9 ตวอกษร จะตองใชเวลามากขนเปนกวา 300 วน และกวา 10 ปตามลำาดบ เพอ

สมคาจนครบทกคาทเปนไปได บน GPU ตวเดม

สำาหรบตวเลขของระยะเวลาตรงนคงตองมการอธบายเพมเตมเลกนอยวา เปนระยะเวลา “สงสด” ท

ตองใช ซงทงนขนอยกบรปแบบการสมคาของโปรแกรม เชนถารหสผานทแทจรงเปน 000000001 และ

โปรแกรมเรมสมตงแต 000000000 กคงทราบไดทนทวาไมตองรอถง 10 ปแนนอน

ถารหสผานมการเกบดวย Hash แบบอน เชน SHA-1 หรอ SHA-2 ซงใชเวลาในการคำานวณมากกวา

ระยะเวลาทใชในการหาคาตงตนกยอมนานขนไปอก ดงนนแนวคดของการใช Hash ทคำานวณยากขน (เชน


SHA-2 ขนาด 512 บต) ยอมชวยใหการ “ถอดรหส” เปนไปไดยากขน รวมถงการใชรหสผานทมความยาว

มากๆ เชน 9 ตวอกษรขนไป หรอใช Salt ชวย ในการเพมความยาวของรหสผานเขาไปอกชนหนง

Rainbow Tableถงแม GPU ระดบปานกลางทสามารถคำานวณ Hash แบบ MD5 ไดในระดบ 10 ลาน Hash ตอวนาท

[33-5] จะราคาไมแพงมากนก แตกไมใชทกคนทจะม GPU แบบนใชงาน จงมผคดคนวธทสามารถนำาผลลพธ

จากการคำานวณ Hash มาใชซำาไดหลายๆ ครง โดยไมตองเสยเวลาคำานวณใหม หลกการคอเกบคารหสผานท

สมขนมา พรอมกบคา Hash ทคำานวณออกมาไดเอาไวในไฟล โดยอาจแบงแยกตามความยาวของรหสผาน

เพอใหใชงานไดงาย เวลานำามาใชงานกเพยงแคเทยบคา Hash ทตองการหาคาตงตนมาเทยบกบคาทมในไฟล

วธนกจะใชแคความสามารถในการคนหาขอมลเทานน ไมจำาเปนตองใชความสามารถในการคำานวณเลย ไฟล

ทเกบขอมล Hash และคาตงตนนเรยกวา Rainbow Table

สำาหรบผทม GPU ดๆ ใชงาน อาจจะยอมเสยเวลาครงเดยวเพอสราง Hash ตามความยาว ความซบ

ซอน และรปแบบการ Hash ทตองการออกมาเกบเอาไว สวนครงตอไปทตองการใชงานกเอาไฟลนไปใชได

ทนท แตถาไมม GPU หรอไมตองการเสยเวลากอาจใชวธดาวนโหลด Rainbow Table ทมผสรางขนมาเสรจ

แลว และมแจกจายบนอนเตอรเนตมาใชงาน ซง Rainbow Table ทมแจกจายน สวนมากจะอยในรปแบบ

เฉพาะสำาหรบโปรแกรม “ถอดรหส” Hash แตละตว เชนไฟลชนด .rti สำาหรบโปรแกรม rcracki_mt [33-6]

และแบงแยกตามชนดของ Hash ความยาวของคาตงตน (ในทนคอรหสผาน) กบความซบซอนของรหสผาน

เชน มสญลกษณพเศษหรอไม เปนตน

ความเชออยางหนงเกยวกบ Rainbow Table กคอ มนสามารถ “ถอดรหส” Hash ไดทกชนด เรยก

วาการทผไมประสงคดได Hash ของรหสผานไปนนกเทากบไดรหสผานไปโดยตรงนนเอง ความเชอนอาจจะ

ไมผดโดยสนเชง แตอาจกลาวไดวา ยงไมถกตองนก เพราะการทจะใช Rainbow Table ในการหารหสผาน

ทถกตองจาก Hash ใดๆ จะตองใช Rainbow Table ทสรางขนมาจาก Hash ทตรงกน ความยาวรหสผาน

ตรงกน (ไมมากกวาหรอนอยกวา) และมความซบซอนระดบเดยวกนหรอมากกวา ขนแรก ผทจะ “ถอดรหส”

Hash จะตองรวาเปน Hash ชนดใด จากนนกตองเดาความซบซอนของรหสผาน วาตองใชระดบใด ซงในสวน

นอาจจะใชวธเลอกความซบซอนทสงทสดเอาไวกอนกได สวนสดทาย ทยากทสด คอ เดาความยาวของรหส

ผาน เพราะอยางททราบแลววา คา Hash จะมคาความยาวคงท ไมวาจะมคาตงตนขนาดเทาไหรกตาม การ

พจารณาความยาวของคาตงตนจากคา Hash จงเปนไปไดยาก ผไมประสงคดจะรไดวา Rainbow Table ท

นำามาใชมความยาวของคาตงตนไมตรงกบรหสผานท Hash เอาไวไดกตอเมอเสยเวลาลงมอไปแลวเทานน

นอกจากน ในปจจบนกยงไมไดมการสราง Rainbow Table ขนมาสำาหรบ Hash ทกชนด หรอทก

ความยาวของรหสผาน เพราะถงแมจะม CPU หรอ GPU ทมความสามารถสงๆ มากมาย แตสำาหรบ Hash

ทตองใชพลงในการประมวลผลมาก เชน SHA-2 ขนาด 256 บตขนไป รวมถง Hash พนฐานเชน MD5 เอง

ในระดบความยาว 10 หรอ 12 ตวอกษร หรอใช MD5 ซำาๆ หลายๆ ครง กยงจะตองใชเวลาในการสราง

Rainbow Table มากจนไมสามารถใช GPU ทวไปได ทำาใหยงไมพบวามการสราง Rainbow Table สำาหรบ

Hash ประเภทนขนมาแจกจายเชนกน

Saltingจากทกลาวมาแลววา รหสผานยงยาว ยงตองใชเวลามากในการ “ถอดรหส” แตการบงคบใหผใชงาน

ระบบใดๆ สรางรหสผานขนาด 10 ตวอกษรขนไปกอาจจะไมเปนการสะดวกแกผใชงานนก วธการหนงท

สามารถนำามาใชเพมความยาวใหกบรหสผานโดยมผลกระทบกบผ ใชนอยกคอการเพมขอมลทสมขนมา

จำานวนหนงเขาไปในรหสผานทผใชปอนกอนจะนำาไป Hash ขอมลชดทเพมขนนเรยกวา Salt ตวอยางเชน

เมอผใชงานตงคารหสผานขนมาเปน “secretpassword” ซงมความยาว 14 ตวอกษร ระบบจะสมคา Salt

ขนมาคาหนง สมมตใหเปนคา “fojgshU1” ซงมความยาว 8 ตวอกษร กอนทจะนำารหสผานไปเกบ ระบบ

จะนำารหสผานกบ Salt มาตอกน แลวจงหา Hash ซงจะเทากบ Hash นมคาตงตนถง 22 ตวอกษร ซงตอง

ใชเวลาในการ “ถอดรหส” นานกวา Hash ของรหสผานเดมมาก ถงแมวาผไมประสงคดจะสามารถอานคา

Salt ของแตละรหสผานไดโดยตรง (เนองจากปกตจะเกบ Salt เปน Plain Text) แตกไมไดชวยใหการสมหาร

หสผานทถกตองงายขนแตอยางใด เพราะอปสรรคของการ “ถอดรหส” Hash อยทจำานวนครงทตองคำานวณ

Hash เปนสำาคญ ในกรณทใหรหสผานเปนตวอกษรตวเลก ตวใหญ และตวเลขเทานน ซงจะมความเปนไป

ได 62 แบบ จะเทากบวา ถารหสผานยาว 14 ตวอกษร ผไมประสงคดอาจตอง Hash ถง 62^14 ครง ถงจะ

ไดคารหสผานทถกตอง แตถาเพม Salt เขาไปอก 8 ตวอกษร จำานวนครงทอาจตองใชจะมถง 62^22 ครง

ตางกนถง 218,340,105,584,896 เทา ซงเปนเวลาทเพมขนอยางมหาศาลทเดยว

Conclusion1. ควรเกบรหสผานในรปแบบ Hash เทานน การเขารหสลบ (Encyption) อาจไม

แตกตางจากการเกบรหสผานเปน Plain Text เมอถกโจมต

2. รหสผานยงยาว ยงใชเวลาในการ “ถอดรหส” มาก

3. MD5 ยงเพยงพอทจะใชเกบรหสผาน ถาใชถกวธ แตกยงส SHA-2 เมอใชงาน

อยางถกวธเชนกนไมได

4. การใช Salt หรอ Hash ซำาๆ หลายๆ ครงชวยเพมความมนคงปลอดภยได

5. ทดทสดคอ ระวงอยาใหรหสผานทเกบอย ถกเขาถงไดจากบคคลภายนอก


อางอง[33-1] http://www.pcworld.com/article/161078/

one_third_use_same_password.html

[33-2] http://www.win.tue.nl/hashclash/

[33-3] http://www.kb.cert.org/vuls/id/836068

[33-4] http://csrc.nist.gov/groups/ST/hash/policy.html

[33-5] http://majuric.org/software/cudamd5/

[33-6] http://www.freerainbowtables.com/en/download/

34 ขอแนะนำ ในการใชงานอนเทอรเนตผาน

คอมพวเตอรสาธารณะผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 26 ต.ค. 2555ปรบปรงลาสด: 26 ต.ค. 2555

การใชงานคอมพวเตอรสาธารณะนนมความมนคงปลอดภยตำา เพราะเราไมอาจทราบไดวาเครอง

คอมพวเตอรดงกลาวนนไดถกผไมหวงด ตดตงโปรแกรมอนตรายมาเพอดกรบขอมลหรอเปลา หรอระบบ

ทเชอมตออยนนมความมนคงปลอดภยมากนอยแคไหน อยางไรกตาม ในบางสถานการณ เราอาจมความ

จำาเปนทจะตองใชงานอนเทอรเนตผานเครองคอมพวเตอรสาธารณะ เพอเขาถงขอมลสำาคญ เชน เชคอเมล

หรอแกไขไฟลเอกสาร เปนตน ดงนน เพอชวยใหมความมนคงปลอดภยมากขนในการใชงานคอมพวเตอร

สาธารณะ ขอแนะนำาตางๆ เหลานอาจชวยในการปกปองขอมลสำาคญจากผไมหวงดได

อนตรายจากการใชงานคอมพวเตอรสาธารณะKeylogger คอฮารดแวรหรอซอฟตแวรททำาหนาทบนทกการกดปมบน Keyboard ทำาใหรวาผทใชงาน

คอมพวเตอรเครองนนพมพขอความอะไรลงไปบาง [34-1] ซงหาก Keylogger ถกตดตงในเครองคอมพวเตอร

สาธารณะ ผไมหวงดกสามารถไดขอมลสำาคญๆ ของผทใชงานเครองนน เชน Username หรอ Passsword

ไปไดอยางงายดาย ตวอยาง Keylogger เปนดงรปท 160 (34-1) และ 161 (34-2)


รปท 160 (34-1) ตวอยาง Hardware Keylogger (ทมา Wikipedia)

รปท 161 (34-2) ตวอยางขอมลทบนทกโดยใช Software Keylogger (ทมา Wikipedia)

Spyware เปนซอฟตแวรทถกสรางขนมาเพอขโมยขอมลของผใช ไมวาจะเปนขอมลการใชงานอนเทอรเนต

ขอมลการตงคาของเครอง แอบถายภาพหนาจอ หรอแมกระทงแอบบนทกเสยง เปนตน [2] Spyware อาจ

ถกตดตงมาในเครองแบบตงใจหรอไมตงใจกได เนองจากโปรแกรมทแจกใหผใชดาวนโหลดไปใชงานไดฟรมผ

พฒนาบางราย แอบใส Spyware เขามาเพอเกบขอมลพฤตกรรมของผใชไวดวย โปรแกรม Keylogger นน

กถอวาเปน Spyware รปแบบหนง

Shoulder surfing คอมพวเตอรบางเครองอาจไมมโปรแกรมอนตรายตดตงอย แตถกจดวางไวในทท

คนสามารถเดนผานไปมาและมองเหนสงทอยบนจอไดงาย ทำาใหการยนอยดานหลงเพอแอบมองรหสผานนน

สามารถทำาไดงาย รวมไปถงการแอบมองสงทปรากฏอยบนหนาจอจากระยะไกลนนกอาจทำาไดงาย เชนกน

Sniffer คอการดกรบขอมลทสงผานระบบเครอขาย หากเราเขาเวบไซตทใชการเชอมตอแบบ HTTP

ซงไมมการเขารหสลบขอมลทรบสง กอาจถกผไมหวงดขโมยขอมลสำาคญไปได

ขอแนะนำ ในการใชงานเลอกใชเครองทไมมคนเดนผานไปมาบอย เพอปองกนการทำา Shoulder surfing และไมควรเลอก

เครองทวางอยในตำาแหนงทมวตถสามารถสะทอนแสงจากหนา จอได เชน โลหะ หรอ กระจก

ตรวจสอบ Keylogger แบบ Hardware โดยสงเกตทสายตอระหวาง Keyboard กบชองเสยบทอย

ดานหลงเครองคอมพวเตอร หากพบวามอปกรณแปลกๆ ถกเสยบอย อาจเปน Keylogger ไมควรใชเครองนน

บตเครองโดยใช Bootable CD หรอ Bootable USB หากเครองคอมพวเตอรสามารถบตจาก

Bootable CD หรอ Bootable USB ได (เชน Linux Live CD) การบตเครองดวยวธดงกลาวกสามารถชวย

ปองกนอนตรายจากซอฟตแวรไม พงประสงคทอาจถกตดตงอยในเครองดงกลาวได อยางไรกตาม วธดงกลาว

นอาจไมสามารถใชงานไดกบเครองคอมพวเตอรสาธารณะทกเครอง เนองจากเครองดงกลาวจำาเปนตองมการ

ตงคาการเชอมตอกบเครอขาย หรอตงคาการเชอมตอกบอปกรณอนๆ ในระบบ ซงการบตจาก Bootable CD

หรอ Bootable USB อาจจะไมมขอมลการตงคาในสวนน ทำาใหไมสามารถเขาใชงานระบบเครอขายหรออปก

รณอนๆ ได อยางไรกตาม วธนเราจำาเปนตองมแผน Bootable CD หรอพก Bootable USB ตดตวไปดวย

ตรวจสอบ Software Keylogger และ Spyware ถาเครองทใชงานมโปรแกรมประเภท Antivirus

หรอ Antispyware ตดตงอย กอนใชงาน ควรอพเดทฐานขอมลของโปรแกรมและสแกนไฟลในเครองเพอ

ตรวจสอบและกำาจด โปรแกรมไมพงประสงค โดยเฉพาะ Keylogger และ Spyware อยางไรกตาม ถงจะ

สแกนแลวและไมพบโปรแกรมอนตรายดงกลาว กควรใชโปรแกรมประเภท On-Screen Keyboard ในการ

พมพ Username และ Password ในหนาเวบไซต เพราะโปรแกรม Keylogger โดยสวนใหญจะไมสามารถ

ดกจบขอมลทพมพจาก On-Screen Keyboard ได ตวอยางโปรแกรม On-Screen Keyboard เปนดงรป

ท 162 (34-3)

รปท 162 (34-3) โปรแกรม On-Screen Keyboard ใน Windows 7 (ทมา Microsoft)


ใช Portable Software เนองจาก Portable Software เปนซอฟตแวรทสามารถเรยกใชงานไดทนท

โดยไมจำาเปนตองตดตงลงในเครอง และโดยสวนใหญจะนยมเรยกใชงานผาน USB Drive ซงมขอดคอขอมล

การทำางานตางๆ ของโปรแกรมนนจะถกเกบบนทกลงในตว USB Drive เอง ทำาใหปลอดภยตอการทขอมล

รวไหลเนองจากการ Cache ขอมลเกบไวในเครองได [34-3] ปจจบนมผนำาโปรแกรมประเภท Freeware

หรอ Open Source มาพฒนาใหเปนแบบ Portable เพอใหผใชดาวนโหลดไปใชงานไดสะดวก เชน เวบไซต

PortableApps.com เปนตน ซงมโปรแกรมทจำาเปนสำาหรบการใชงานอนเทอรเนต เชน Browser, Instant

Messenger, VoIP รวมอยดวย

ใชงานเบราวเซอรในโหมด Private Browsing หากจำาเปนตองใชงานเบราวเซอรทตดตงอยในเครอง

ควรใชงานเบราวเซอรดงกลาวในโหมด Private Browsing ซงจะเปนการตงคาใหเบราวเซอรไมเกบขอมล

การใชงานอนเทอรเนต เชน Cache, History, หรอ Cookie ไวในเครอง [34-4] ปจจบนโปรแกรมเบราว

เซอรโดยสวนใหญมความสามารถ Private Browsing มาดวยอยแลว เพยงแตจะใชชอแตกตางกนไปใน

แตละโปรแกรม โดยท

o Internet Explorer ใชชอ InPrivate Browsing

o Mozilla Firefox ใชชอ Private Browsing

o Google Chrome ใชชอ Incognito mode

o Opera ใชชอ Private browsing

o Safari ใชชอ Private Browsing

อยางไรกตาม การทำางานของ Private Browsing นนเปนแคการลบไฟลทงหลงจากทผใชปดแทบหรอ

ปดโปรแกรมเบราวเซอร เทานน ผไมหวงดอาจใชโปรแกรมกขอมลทถกลบไปแลวขนมาดได [34-5] [34-6]

ปด Add-on ในเบราวเซอร ถงแมวา Add-on ในเบราวเซอรนนจะมประโยชนในการชวยอำานวยความ

สะดวกและเพมความสามารถใน การทำางานใหกบเบราวเซอร แตบาง Add-on อาจมชองโหวเรองความมนคง

ปลอดภย และบาง Add-on อาจทำาหนาทเปน Man-in-the-Browser คอยดกจบขอมลทรบสง รวมถงอาจ

แกไขหนาเวบไซตใหแสดงผลเวบไซตหลอกลวงได ดงนนเพอความมนคงปลอดภยควรปด Add-on ทงหมด

ในเบราวเซอร หรอเลอกเปดใชงานเฉพาะ Add-on ทจำาเปนเทานน

ใชการเชอมตอผาน HTTPS การใชงานเวบไซตผานโพรโทคอล HTTPS ชวยปองกนไมใหผไมหวงด

สามารถแกะขอมลสำาคญจากการดกรบขอมลได ดงทเคยไดมการอธบายไปแลวในบทความ วนนคณใช HTTPS

หรอยง ดงนนหากเวบไซตทเขาใชงานรองรบการเชอมตอแต HTTPS กควรเปดใชงานทกครง

ใชการยนยนตวตนแบบ 2 ขนตอน (Two-factor Authentication) ซงจะเปนการใชขอมลอกสวน

รวมกบรหสผาน เพอใชในการเขาสระบบ ซงโดยปกตแลวจะเปนการสง SMS บอกรหสอกชดเขามายงโทรศพท

มอถอทลงทะเบยนไวกบบญชผใชนนๆ วธการตงคาการใชงานการยนยนตวตนแบบ 2 ขนตอนสำาหรบ Gmail

และ Hotmail ไดมการอธบายไปแลวในบทความ ปองกนบญชผใช Gmail / Hotmail จากการถกแฮกดวย

วธงายๆ สำาหรบบรการอนๆ สามารถศกษาไดเวบไซตของผใหบรการนนๆ (ถาม) [34-7]

ไมบนทกไฟลขอมลสำาคญลงในเครอง เพราะอาจเสยงตอการขอมลรวไหล เนองจากถงแมจะลบไฟลไป

แลว แตผไมหวงกดอาจใชโปรแกรมกคนไฟลทถกลบไปแลวได หากจำาเปนตองบนทกไฟลทเปนขอมลสำาคญ

เพอเปดอานหรอแกไข ควรบนทกลงในสอบนทกขอมลภายนอก เชน USB Drive

Logout ออกจากเวบไซตทกครงหลงใชงาน เนองจากในบางเวบไซตจะมการตงคาใหจำาสถานะของ

ผใชไววากำาลง Login อย ซงถงแมจะปดเบราวเซอรไปแลว แตหากเปดเบราวเซอรแลวเขาเวบไซตนนใหม ก

จะยงคงสถานะเปน Login อย ดงนนเมอใชงานเวบไซตตางๆ เสรจเรยบรอยแลว ควร Logout ทดครง เพอ

ปองกนการสวมรอยเขาใชงาน

Restart เครองหลงใชงาน เนองจากในการใชงานคอมพวเตอร จะมการเกบขอมลไวใน RAM เพอใช

ในการประมวลผล ซงหากเครองนนม RAM นอย เครองกจะเอาขอมลสวนทเกนมาเกบไวในฮารดดสก ซง

เรยกวา Virtual Memory, Pagefile หรอ Swap ซงถงแมจะปดโปรแกรมไปแลวกยงอาจมขอมลสำาคญ

หลงเหลออยภายใน RAM หรอใน Virtual Memory ได การ Restart เครองจะเปนการเคลยรขอมลทอย

ในสวนนออกไป [34-8]

ไมใชงานธนาคารออนไลนหรอทำาธรกรรมทเกยวของกบการเงน เนองจากทงเครองคอมพวเตอร

สาธารณะและเครอขายทเชอมตออยนน ไมสามารถแนใจในความมนคงปลอดภยได เพอความไมประมาท

จงไมควรเขาใชงานเวบไซตทเกยวของกบการทำาธรกรรมทางการเงน

รบเปลยนรหสผานทนททสามารถทำาได เพอเปนการปองกนในกรณทรหสผานหลดออกไป

ขอแนะนำาทกลาวถงขางตนนสามารถชวยใหการใชงานอนเทอรเนตผานคอมพวเตอรสาธารณะมความ

มนคงปลอดภยเพมขนได แตอาจชวยไดในระดบหนงเทานน ผใชงานควรใชดวยความระมดระวง และพงระลก

ไวเสมอวา การกระทำาธรกรรมตางๆ โดยใชคอมพวเตอรสาธารณะนนมความเสยงเสมอ


http://windows.microsoft.com/is-IS/internet-explorer/products/ie-9/features/in-private

http://support.mozilla.org/en-US/kb/private-browsing-browse-web-without-saving-info

http://support.google.com/chrome/bin/answer.py?hl=en&answer=95464

http://help.opera.com/Linux/12.10/en/private.html

http://support.apple.com/kb/PH5000

อางอง[34-1] http://www.securelist.com/en/analysis/204791931/

Keyloggers_How_they_work_and_how_to_detect_them_Part_1

[34-2] http://searchsecurity.techtarget.com/definition/spyware

[34-3] http://portableapps.com/about/what_is_a_portable_app

[34-4] http://www.howtogeek.com/117776/htg-explains-how-private-browsing-

works-and-why-it-doesnt-offer-complete-privacy/

[34-5] http://www.techrepublic.com/blog/security/how-do-new-private-browsing-

capabilities-affect-forensics/654

[34-6] http://www.ehow.com/info_12229669_recovery-private-browsing-cache-

firefox.html

[34-7] http://lifehacker.com/5938565/heres-everywhere-you-should-enable-

two+factor-authentication-right-now


234 | Cyber Threat Alerts - 2012

á¨Œ§àµ×Í¹áÅÐ¢ŒÍá¹Ð¹Ó CYBER

THR

EAT A

LERTS - 2012

SECURITY ARTICLES

º·¤ÇÒÁà¼Âá¾Ã‹

2012

CYBERâ´Â