Thursday, January 19, 2012

คาดการณ์ภัยร้ายที่อาจมาพร้อมกับ Smart TV

หลังจากที่ช่วงนี้ผมเตรียมสไลด์สำหรับบรรยายอยู่นั้นผมก็ดันไปนึกถึงว่าเมื่อก่อนเคยคิดเล่นๆว่า จะทำอย่างไรถ้าหากไวรัสติดที่ตู้เย็น เลยมาเปรียบเทียบกับความเป็นไปได้ในปัจจุบัน เลยพบถึงความน่าสนใจที่อาจจะเกิดขึ้นในอนาคตอันใกล้นี้ก็ได้

***หมายเหตุ บทความนี้เป็นเพียงความคิดเห็นของผู้เขียนเท่านั้น ไม่ได้ต้องการสร้างความตื่นตระหนก เพียงแค่อยากให้เห็นว่าภัยร้ายมักจะมาควบคู่กับเทคโนโลยี

ก่อนหน้านี้นั้นผมเรียนรู้ว่าเมื่อมีการใช้ IPv6 จะทำให้อุปกรณ์อิเล็กทรอนิกส์ได้รับไอพีและเชื่อมต่ออินเทอร์เน็ตได้ แต่จนปัจจุบันนี้ผมก็ยังไม่เคยเห็นอุปกรณ์อิเล็กทรอนิกส์ที่ออกมารองรับ IPv6 เลยครับ จนผมเคยพูดเล่นๆกับเพื่อนๆว่าต่อไปเราอาจจะไม่ต้องแก้ปัญหาไวรัสบนเครื่องคอมพ์อย่างเดียว เราอาจจะต้องไปกำจัดไวรัสที่ติดในตู้เย็น ทีวี เครื่องเสียงก็เป็นได้ ณ เวลานั้นคงเป็นเพียงจินตนาการเพ้อฝันแบบเด็กๆก็ได้ แต่มาในวันนี้เมื่อผมได้เห็นโฆษณาโทรทัศน์อัจฉริยะ (Smart TV) ทำให้แนวความคิดที่ผมเคยคิดเล่นๆมันย้อนกลับมาทำให้ผมอยากเขียนบทความนี้

โทรทัศน์อัจฉริยะคืออะไร
จากนิยามที่วิกิพีเดียกล่าวไว้ โทรทัศน์อัจฉริยะเป็นคำที่ใช้เรียกการผสมผสานของอินเทอร์เน็ตและเว็บ 2.0 เข้ากับชุดโทรทัศน์และ Set-top boxes (เป็นอุปกรณ์ที่ต่อเพิ่มเข้ากับโทรทัศน์ เพื่อใช้รับสัญญาณโทรทัศน์) ซึ่งอาจจะกล่าวได้ว่าเป็นการนำคอมพิวเตอร์มายัดใส่ในโทรทัศน์หรือ Set-top boxes ก็ได้ ดังนั้นโทรทัศน์อัจฉริยะจึงมีระบบปฏิบัติการคล้ายคอมพิวเตอร์ ผู้ใช้สามารถติดตั้งโปรแกรมได้ และที่สำคัญสามารถเชื่อมต่ออินเทอร์เน็ตได้ ระบบปฏิบัติการที่ใช้ในโทรทัศน์อัจฉริยะส่วนใหญ่จะใช้ระบบปฏิบัติการคล้ายที่ติดตั้งบนโทรศัพท์อัจฉริยะ (Smartphone) และ แท็บเบล็ต (Tablet) ซึ่งเป็นลีนุกซ์ แอนดรอยด์ และซอฟต์แวร์ประเภทโอเพ่นซอร์ส


รูปที่ 1 แสดงภาพของโทรทัศน์อัจฉริยะ 
(ภาพประกอบจาก http://www.chipchick.com/2011/05/smart-tv-apps.html)

อนาคตภัยที่อาจจะเกิดขึ้น

  • เจาะระบบ (Hacking) อย่างที่เราทราบกันว่าโทรทัศน์อัจฉริยะนั้นมีคอมพิวเตอร์อยู่ข้างใน กล่าวคือมีระบบปฏิบัติการลีนุกซ์ เช่น มีโก้ (Meego) อูบันตู (Ubuntu) หรือระบบปฏิบัติการสำหรับอุปกรณ์มือถือต่างๆ เช่นแอนดรอยด์ (Android) ถูกติดตั้งมาพร้อมกับความสามารถเชื่อมต่ออินเทอร์เน็ตได้อีกด้วย ถ้ายิ่งผู้ใช้งานนั้นท่องอินเทอร์เน็ตโดยใช้โทรทัศน์อัจฉริยะ รหัสผ่านของบัญชีผู้ใช้งานต่างๆ หรือข้อมูลส่วนตัว ก็ถูกบันทึกไว้ในเครื่องโทรทัศน์อีกด้วย ดังนั้นไม่น่าจะแปลกใจถ้าหากแฮกเกอร์จะเจาะระบบที่โทรทัศน์อัจฉริยะที่เต็มไปด้วยข้อมูลส่วนบุคคลที่มีค่าอย่างมากของผู้ใช้งาน
รูปที่ 2 แสดงหน้าจอของ อูบันตูทีวี (Ubuntu TV) ซึ่งติดตั้งระบบปฏิบัติการลีนุกซ์อูบันตู
  • มัลแวร์ (Malware) หรือไวรัสคอมพิวเตอร์ หลังจากที่แฮกเกอร์สามารถแฮกโทรทัศน์อัจฉริยะได้แล้ว มีความเป็นไปได้สูงที่จะทำการฝังม้าโทรจันหรือเปิดประตูลับไว้สำหรับที่จะทำให้แฮกเกอร์สามารถย้อนกลับเข้ามาในเครื่องได้อีก นอกจากนี้อาจจะทำการติดตั้งโปรแกรมดักจับปุ่มกดต่างๆ เพื่อลักลอบเก็บข้อมูลส่วนบุคคลเช่นชื่อบัญชี รหัสผ่าน และข้อมูลบัตรเครดิต เป็นต้น มัลแวร์หรือไวรัสคอมพิวเตอร์นั้นเป็นเพียงซอฟต์แวร์ชนิดหนึ่ง ดังนั้นเมื่อโทรทัศน์อัจฉริยะมีระบบปฏิบัติการถูกติดตั้งอยู่ภายใน จึงเป็นเรื่องง่ายที่มัลแวร์จะถูกติดตั้งในโทรทัศน์ได้อย่างง่ายดาย
  • ทำสงครามข้อมูลข่าวสาร (Information warfare) ต่อไปเมื่อผู้ใช้งานสามารถท่องอินเทอร์เน็ตผ่านโทรทัศน์ได้ การเผยแพร่ข่าวสารผ่านโทรทัศน์อัจฉริยะขึงเป็นอีกหนึ่งช่องทางเผยแพร่ข่าวสารที่มีประสิทธิและรวดเร็วซึ่งบางครั้งเร็วกว่าข่าวจากรายการทางโทรทัศน์อีกด้วย ดังนั้นมีความเป็นไปได้ที่อาจจะมีผู้ประสงค์ร้ายอาศัยช่องทางนี้ในการเผยแพร่ข่าวสารผิดๆ เพื่อสร้างความตื่นตระหนกให้กับประชาชน อีกทั้งอาจจะเป็นการทำลายชื่อเสียงของบางคนได้อีกด้วย
  • สแปม (Spam) การโฆษณาในรายการโทรทัศน์นั้นต้องเสียค่าใช้จ่ายค่อนข้างสูง เมื่อโทรทัศน์เชื่อมต่ออินเทอร์เน็ตได้ การโฆษณาก็น่าจะหันมาใช้อินเทอร์เน็ตมาช่วยเพื่อลดค่าใช้จ่าย และยังสามารถโฆษณาได้อย่างรวดเร็วอีกด้วย ดังนั้นจึงเป็นโอกาสอันดีสำหรับนักส่งสแปมจะอาศัยช่องทางนี้ในการส่งสแปมเมล์ได้
  • สแคม (Scam) จากที่โฆษณาต่างๆถูกเผยแพร่ผ่านทางอินเทอร์เน็ตของโทรทัศน์อัจฉริยะแล้ว ก็อาจจะมีผู้ประสงค์ร้ายนั้นสร้างโฆษณาชวนเชื่อ เพื่อทำให้เหยื่อเกิดกิเลสและความโลภ จนถึงขั้นยอมทำตามคำสั่ง เช่นให้ข้อมูลส่วนบุคคลของเหยื่อ หรือโดนหลอกให้โอนเงิน เป็นต้น โดยขาดความตระหนักได้
  • การฉ้อโกง (Fraud) เมื่อโทรทัศน์นั้นเชื่อมต่ออินเทอร์เน็ตได้ ธุรกิจหนึ่งที่น่าจะมีการใช้บริการกันอย่างแพร่หลายคือการสั่งซื้อภาพยนตร์มาชมที่บ้าน ซึ่งกระบวนการสั่งซื้อก็อาจจะเป็นการเลือกภาพยนตร์ แล้วก็ชำระเงินผ่านทางบัตรเครดิต จากนั้นจึงสามารถทำการดาวน์โหลดมาชมได้ ดังนั้นผู้ประสงค์ร้ายก็อาจจะฉวยโอกาสนี้มาหลอกล่อให้เหยื่อหลงเชื่อให้โอนเงินมาเพื่อชำระสินค้า แต่ไม่ได้มีสินค้าหรือหน้าร้านอยู่จริง ทำให้เหยื่อนั้นสูญเสียเงินหรือข้อมูลส่วนบุคคลอื่นๆได้ด้วย

ป้องกันอย่างไรดี
  1. ไม่เยี่ยมชมเว็บไซต์ ไม่ดาวน์โหลดโปรแกรมจากเว็บไซต์ที่ไม่เหมาะสม หรือไม่แน่ใจถึงความปลอดภัย
  2. ไม่ติดตั้งแอพฯที่ไม่เหมาะสม ไม่ทราบแหล่งที่มา
  3. อัพเดตระบบปฏิบัติการและแอพฯต่างๆ ที่ถูกติดตั้งอยู่สม่ำเสมอ
  4. ไม่หลงเชื่อโฆษณาชวนเชื่อต่างๆ หรือข่าวสารผิดๆ ที่อาจถูกส่งมาในโทรทัศน์อัจฉริยะ
  5. ไม่โอนเงิน หรือไม่ให้ข้อมูลส่วนตัวใดๆทั้งสิ้น แก่เว็บไซต์ที่น่าสงสัย
  6. ติดตามข่าวสารที่เกี่ยวกับการรักษาความปลอดภัยสารสนเทศต่างๆ
ทิ้งท้าย
จากที่ได้กล่าวในตอนต้นแล้วว่าบทความนี้ไม่ได้มีจุดมุ่งหมายที่จะสร้างความตื่นตระหนก แต่อยากให้ผู้อ่านได้ตระหนักว่าเมื่อเทคโนโลยีล้ำหน้าไป ภัยคุกคามต่างๆ ก็จะยิ่งใกล้ตัวเรามากขึ้น และภัยคุกคามที่ถูกยกตัวอย่างในบทความนี้ ยังไม่ได้เกิดขึ้่นจริง และเป็นเพียงตัวอย่างเท่านั้น ดังนั้นใครจะเลือกใช้เทคโนโลยีใดๆ ก็ขอให้ศึกษารายละเอียดก่อน และติดตามข่าวสารต่างๆ ด้วยนะครับ 

อย่าลืมนะครับ "ตระหนัก อย่าตระหนก"

ใครสนใจพูดคุยกันก็สามารถติดต่อผู้เขียนได้ที่ข้อมูลด้านล่างนะครับ :)
Twitter : @kitisak


เขียนโดย Foh9 ที่ 16:11 0 ความคิดเห็น

Wednesday, January 04, 2012

10 อันดับความเสี่ยงด้านเว็บแอพพลิเคชั่นของ OWASP ปี 2010

ทำความรู้จักกับ OWASP
โครงการ OWASP (The Open Web Application Security Project) ดำเนินการโดยมูลนิธิ OWASP ซึ่งเป็นองค์กรไม่แสวงหาผลกำไรหมายเลข 501c3 และยังได้รับการสนับสนุนการทำงานจากสมาชิกทั้งบุคคลทั่วไป องค์กรต่างๆ อีกทั้งมหาวิทยาลัย โครงการนี้เป็นการสร้างชุมชนเปิดและฟรีให้กับทั่วโลก โดยมีวัตถุประสงค์เพื่อส่งเสริมและพัฒนาการรักษาความปลอดภัยของโปรแกรมประยุกต์ (Application) ให้ดียิ่งขึ้น อีกทั้งยังมีการจัดตั้ง OWASP ย่อยๆในประเทศต่างๆด้วย สำหรับในประเทศไทยเองก็มีเช่นกัน และประธานของโครงการนี้ในประเทศไทยคนปัจจุบันคือ กิติศักดิ์ จิรวรรณกูล หรือผมเอง [2] ใครสนใจติดตามข่าวสารของ OWASP ประเทศไทย (หรือ OWASP Thailand Chapter) สามารถติดตามได้ที่แฟนเพจตามเอกสารอ้างอิง [3]


รูปที่ 1 แสดงโลโกของ OWASP 

"โครงการจัด 10 อันดับความเสี่ยงด้านเว็บแอพพลิเคชั่น หรือ OWASP Top 10เป็นโครงการหนึ่งที่ได้รับความนิยมอย่างสูง เนื่องจากเป็นโครงการที่เผยแพร่ความรู้ สร้างความตระหนักถึงอันตรายของการโจมตีผ่านเว็บแอพพลิเคชั่น

ความเสี่ยงด้านการรักษาความปลอดภัยเว็บแอพพลิเคชั่นคืออะไร
ผู้โจมตีสามารถเลือกทำอันตรายธุรกิจหรือองค์กรผ่านแอพพลิเคชั่นของเราได้ จากรูปที่ 2 แสดงความเสี่ยงที่อาจจะเกิดหรือไม่ก็ได้ แต่อย่างไรก็ตามก็ต้องให้ความสนใจเหมือนกัน

รูปที่ 2 แสดงภาพเส้นทางของความเสี่ยงที่อาจจะเกิดขึ้นในองค์กร

ในบางครั้งการโจมตีนั้นอาจทำได้โดยง่าย แต่บางครั้งก็อาจจะยากมาก ในทำนองเดียวกันนี้การโจมตีเหล่านี้อาจไม่ได้สร้างความเสียหายให้แก่องค์กร แต่บางครั้งก็อาจส่งผลกระทบที่รุนแรงต่อธุรกิจเลยก็เป็นได้ ในการตรวจหาความเสี่ยงภายในองค์กรนั้นสามารถทำได้โดยการประเมินผลความสัมพันธ์ระหว่างผู้โจมตี (Threat agent) แนวทางการโจมตี (Attack vector) และความอ่อนแอของระบบ (Security weakness) ร่วมกับการประมาณผลกระทบด้านเทคนิคและธุรกิจต่อองค์กร ทั้งหมดนี้เป็นปัจจัยในการประเมินความเสี่ยงทั้งหมดขององค์กร

กระบวนการประเมินความเสี่ยง
ในโครงการจัด 10 อันดับความเสี่ยงด้านเว็บแอพพลิเคชั่น หรือ OWASP Top 10 นี้เน้นการระบุความเสี่ยงที่ร้ายแรงที่สุดขององค์กร ซึ่งแต่ความเสี่ยงที่จะกล่าวต่อไปนั้น OWASP ได้แสดงข้อมุลทั่วไปเกี่ยวกับโอกาสที่จะเกิดและผลกระทบทางด้านเทคนิคโดยใช้แนวทางการประเมินอย่างง่ายที่อ้างอิงกระบวนการ OWASP Risk Rating Methodology [4]

รูปที่ 3 แสดงตารางที่ใช้ในการประเมินความเสี่ยง

อย่างไรก็ตามแต่ละองค์กรนั้นมีลักษณะเฉพาะที่แตกต่างกัน แนวทางการโจมตีและผลกระทบอาจจะเหมือนกันหรือแตกต่างกันก็เป็นได้ ดังนั้นการประเมินความเสี่ยงนั้นจึงควรทำด้วยตนเอง โดยเน้นไปที่ผู้โจมตี (Threat agents) การควบคุมความปลอดภัย (Security controls) และผลกระทบเชิงธุรกิจ (Business impacts) ขององค์กร

ถึงแม้ว่าในการจัด 10 อันดับความเสี่ยงเวอร์ชั่นก่อนนั้นมุ่งเน้นไปที่จุดอ่อน (Vulnerabilities) ทั่วไป แต่ชื่อเรียกก็ถูกออกแบบตามความเสี่ยงเหมือนกัน ซึ่งชื่อของแต่ละความเสี่ยงในการจัด 10 อันดับความเสี่ยงนี้ถูกตั้งจาก ประเภทการโจมตี ประเภทของจุดอ่อน หรือประเภทของผลกระทบที่เกิด และการเลือกชื่อที่จะนำมาใช้นั้นจะเป็นชื่อที่นิยมและสามารถเก็บไว้สร้างความตระหนักได้อย่างสูงสุด

10 อันดับความเสี่ยงด้านเว็บแอพพลิเคชั่นปี 2010 
  1. Injection เป็นการแทรกโค้ดเข้าไปในระบบ เช่น OS SQL และ LDAP ซึ่งเมื่อมีผู้ไม่หวังดีแทรกคำสั่งของระบบ (command) หรือคำสั่งสำหรับการคิวรี่ (query) เข้าไปเพื่อทำให้ระบบทำงานผิดพลาด หรือการเข้าไปถึงข้อมูลที่ไม่ได้รับอนุญาต
  2. Cross-Site Scripting (XSS) เป็นเทคนิคที่แฮกเกอร์จะแอบซ่อนหรือฝังสคริปส์ประสงค์ร้ายผ่านเว็บแอพพลิเคชั่นที่มีช่องโหว่ในเว็บไซต์ต่างๆ จากนั้นเมื่อเหยื่อหลงเข้ามาเยี่ยมชมหน้าเว็บนั้นสคริปส์ของแฮกเกอร์ก็จะถูกเรียกใช้งานที่เว็บเบราเซอร์ของเหยื่อเพื่อขโมยเซสชั่น (session) เปลี่ยนหน้าเว็บ หรือ redirect ไปยังเว็บประสงค์ร้ายได้
  3. Broken Authentication and Session Management ฟังก์ชั่นการระบุตัวตน (Authentication) ของเว็บแอพพลิเคชั่นที่มีช่องโหว่ ทำให้ผู้โจมตีสามารถขโมยรหัสผ่าน คีย์ โทคเคน (Token) หรือแอบอ้างปลอมตัวเป็นผู้ใช้งานจริงๆได้
  4. Insecure Direct Object References
 เกิดจากการอ้างอิงถึง Object ที่ใช้ภายใน เช่น ไฟล์ ไดเรคทอรี่ หรือคีย์ของฐานข้อมูล โดยไม่มีการตรวจสอบสิทธิ์หรือควบคุมการเข้าถึง ซึ่งทำให้ผู้โจมตีสามารถใช้การอ้างอิงนี้เข้าถึงข้อมูลที่ไม่ได้รับอนุญาตได้
  5. Cross-Site Request Forgery (CSRF) หรือเรียกสั้นๆ ว่า
ซีเซิร์ฟ (CSRF) คือรูปแบบการโจมตีที่บังคับให้เว็บเบราเซอร์ของเหยื่อส่ง HTTP request ที่ถูกปรับแต่งแล้ว รวมถึง session cookie และ ข้อมูลเกี่ยวกับการระบุตัวตน (Authentication) ไปยังเว็บแอพพลิเคชั่นที่มีช่องโหว่ ทำให้ผู้โจมตีสามารถสร้าง request ที่แอพพลิเคชั่นคิดว่ามาจากผู้ใช้ที่ถูกต้องได้ (สวมรอยสิทธิ์การใช้งานของผู้อื่น)
  6. Security Misconfiguration หมายถึง เป็นปัญหาที่เกิดขึ้นจากผู้ดูแลระบบที่ไม่ได้คอนฟิกระบบให้มีความปลอดภัย ซึ่งรวมไปถึงการอัพเดตซอฟต์แวร์และโค้ดต่างๆที่ถูกใช้โดยแอพพลิเคชั่น
  7. Insecure Cryptographic Storage หลากเว็บแอพพลิเคชั่นไม่ได้คำนึงถึงการป้องกันข้อมูลสำคัญเช่น รหัสผ่าน (password) หมายเลขบัตรเครดิตลูกค้า หรือ ข้อมูลลับของลูกค้า ด้วยการเข้ารหัส (encryption) หรือการทำแฮช (hashing) ซึ่งผู้โจมตีสามารถเข้าถึงและอาจแก้ไขข้อมูลที่สำคัญเหล่านี้ได้
  8. Failure to Restrict URL Access ความผิดพลาดในการจำกัดการเข้าถึงเว็บ ซึ่งอาจจะมีการควบคุมการเข้าถึงโดยใช้ url เพื่อเข้าไปยังหน้าเว็บที่ถูกซ่อนไว้ อย่างไรก็ตามผู้โจมตีสามารถปลอมแปลงชื่อ URL เพื่อหลอกเข้าไปยังหน้าเว็บที่ซ่อนไว้ได้
  9. Insufficient Transport Layer Protection เว็บแอพพลิเคชั่นส่วนใหญ่ละเลยที่่จะรักษาความลับและความถูกต้องของข้อมูลในเครือข่าย หรือบางครั้งใช้อัลกอริทึ่มในการเข้ารหัสที่อ่อนแอ ใบประกาศนียบัตรที่หมดอายุหรือไม่ถูกต้อง ทำให้ผู้โจมตีสามารถขโมยและแอบเปลี่ยนแปลงข้อมูลระหว่างการส่งได้
  10. Unvalidated Redirects and Forwards เป็นเทคนิคที่ผู้โจมตีทำให้ผู้ใช้ไปเข้าถึงยังหน้าเว็บที่ไ่ม่พึงประสงค์ เช่น หน้าเว็บฟิชชิง (phishing) หรือเว็บที่มีโปรแกรมประสงค์ร้ายฝังอยู่ หรือส่งต่อเพื่อเข้าถึงหน้าเว็บที่ผู้อื่นไม่ได้รับอนุญาตได้
เอกสารอ้างอิง
  1. OWASP Top 10 - https://www.owasp.org/index.php/Top_10_2010-Main
  2. OWASP Thailand Chapter (Official site อยู่ในระหว่างการปรับเปลี่ยนหน้าเว็บใหม่) - https://www.owasp.org/index.php/Thailand
  3. OWASP Thailand Chapter fanpage - https://www.facebook.com/pages/OWASP-Thailand-Chapter/151130168312937
  4. OWASP Risk Rating Methodology - https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
เขียนโดย Foh9 ที่ 13:54 0 ความคิดเห็น

Wednesday, November 23, 2011

ทำอย่างไร เมื่อฮาร์ดดิสก์ถูกน้ำท่วม

ปัญหาน้ำท่วมสร้างความเสียหายไปทุกหย่อมหญ้า ยิ่งโรงงานผลิตฮาร์ดดิสก์ก็จมน้ำจนทำให้ไม่สามารถผลิตได้ ราคาฮาร์ดดิสก์ใหม่ก็พุ่งสูงปรี๊ด แถมฮาร์ดดิสก์ก็ยังมาถูกน้ำท่วมอีก ทีนี้จะเปลี่ยนฮาร์ดดิสก์ใหม่ก็คงต้องคิดกันหนักหน่อยแล้วหล่ะครับ แถมข้อมูลที่มีค่ามหาศาลที่จะต้องสูญเสียไปอีกด้วย คิดแล้วก็แอบเครียดแทนเหมือนกัน ดังนั้นในบทความนี้ผมจึงอยากจะแนะนำกระบวนการกู้ฮาร์ดดิสก์หลังจากที่บ้านของเราถูกน้ำท่วม กระบวนการเหล่านี้เป็นเพียงคำแนะนำ ซึ่งอาจจะไม่สามารถทำให้กู้ฮาร์ดดิสก์ได้ 100%

  1. หลังจากเราสามารถเข้าไปในบ้านได้แล้ว อันดับแรกคือจะต้องตรวจสอบระดับน้ำที่ได้ท่วมได้บ้าน จากนั้นใช้อุปกรณ์ตรวจสอบสัญญาณไฟฟ้ารั่ว เช่น เป็ด เสาเช็ค และอุปกรณ์อื่นๆ เพื่อให้แน่ใจว่าไม่มีไฟฟ้ารั่วในบ้านของเรา
  2. แต่เพื่อให้แน่ใจ ให้ปิดสะพานไฟ เพื่อป้องกันไม่ให้มีไฟฟ้ารั่วด้วย
  3. ย้ายเครื่องคอมพิวเตอร์ที่ถูกน้ำท่วมไปยังบริเวณพื้นที่แห้ง 
    • ข้อควรระวัง
      • ห้ามลองเปิดให้เครื่องคอมพิวเตอร์ทำงาน หรือถอดฮาร์ดดิสก์ไปต่อกับคอมพิวเตอร์เครื่องอื่น
      • ห้ามแกะฝาครอบฮาร์ดดิสก์ออกมาทำความสะอาดด้วยตัวเอง
      • ห้ามทำให้ฮาร์ดดิสก์แห้งด้วยตนเอง อาจจะด้วยวิธีการเป่าแห้ง หรือแม้กระทั่งตั้งทิ้งไว้ให้แห้งเองก็ตาม 
  4. ถอดฮาร์ดดิสก์ออกจากเครื่องคอมพิวเตอร์แล้วให้นำใส่ถุงซิปทันที ถึงแม้ว่าฮาร์ดดิสก์จะยังคงเปียกอยู่ก็ตาม
  5. ส่งฮาร์ดดิสก์ให้ศูนย์กู้ข้อมูลที่น่าเชื่อถือ และจะต้องมีนโยบายการรักษาความลับของลูกค้า เพื่อป้องกันข้อมูลจากฮาร์ดดิสก์ของเราถูกขโมย
  6. จะต้องทำการสำรองข้อมูลอยู่สม่ำเสมอ อาจจะบันทึกลงในแผ่นซีดี ดีวีดี ฮาร์ดดิสก์ภายนอก หรือแม้กระทั่งไดร์ฟ USB ก็ตาม และจะต้องวางเครื่องคอมพิวเตอร์ สื่อบันทึกต่างๆ ในที่ที่ปลอดภัยจากน้ำท่วม หรืออาจจะหาถุงกันน้ำมาบรรจุสื่อบันทึกก็ได้
เขียนโดย Foh9 ที่ 20:39 0 ความคิดเห็น

Friday, October 21, 2011

แฮกเกอร์เปรียบเสมือนน้ำท่วม

สถานการณ์น้ำท่วมตอนนี้น่ากลัวมากเลยนะครับ แต่การอธิบายเรื่องการเจาะระบบคอมพิวเตอร์นั้นก็เปรียบได้ดังกับสถานการณ์น้ำท่วม หลายๆคนคงสงสัยว่าทั้งสองเรื่องนี้มีความเกี่ยวข้องกันอย่างไร บทความนี้ผมจะขออธิบายแนวความคิดการเปรียบเทียบจากมุมมองของผมให้ทุกท่านได้อ่านกันนะครับ

ก่อนอื่นผมขอกล่าวถึงการเปรียบเทียบองค์ประกอบที่จำเป็นของบทความนี้ก่อนนะครับ ได้แก่ ระบบคอมพิวเตอร์และเครื่องเซิร์ฟเวอร์ ก็เปรียบได้กับบ้านของพวกเรา และน้ำท่วมนั้นก็เปรียบได้กับผู้โจมตีหรือแฮกเกอร์ เป็นต้น

วิธีการป้องกันน้ำท่วมบ้านนั้นก็เปรียบเสมือนกับผู้ดูแลบริหารจัดการระบบคอมพิวเตอร์นั้นจำเป็นจะต้องป้องกันโอกาสที่จะถูกโจมตีจากเหล่าแฮกเกอร์ ได้แก่
  1. การติดตั้งไฟร์วอลล์ เปรียบได้กับการสร้างรั้วป้องกันน้ำ ด้วยอิฐบล็อก หรือการสร้างคันกั้นน้ำด้วยทราย และกระสอบทราย เพื่อปฏิเสธไม่ให้น้ำซึ่งเป็นสิ่งที่เราไม่ต้องการนั้นเข้ามาในบ้านของเราได้
  2. โปรแกรมอุดช่องโหว่ (Patch) เปรียบได้กับการใช้สิลิโคน กาวยาง หรืออุปกรณ์ต่างๆ อุดตามรูรั่วที่อยู่ตามรั้ว ประตู และจุดต่างๆรอบๆบ้าน ซึ่งหากเปรียบเทียบกับการป้องกันระบบคอมพิวเตอร์ เจ้าหน้าที่ดูแลระบบคอมพิวเตอร์นั้นก็ต้องอัพเดตโปรแกรมต่างๆด้วยโปรแกรมอุดช่องโหว่อยู่สม่ำเสมอ
  3. ระบบตรวจจับผู้บุกรุก (IDS) ก็เปรียบได้กับการติดตั้งระบบแจ้งเตือนน้ำท่วม
  4. สำรองข้อมูลที่สำคัญ นั้นก็อาจเปรียบได้กับการเก็บของสำคัญเพื่อไม่ให้น้ำมาทำลายให้เสียหาย
จะเห็นว่าที่จริงแล้วการป้องกันระบบคอมพิวเตอร์นั้นก็ไม่ได้แตกต่างจากการป้องกันน้ำท่วมบ้านมากนัก โดยแนวความคิดของแฮกเกอร์หรือน้ำนั้นก็คล้ายกัน นั่นก็คือการพยายามหาจุดอ่อนเพียงจุดเดียวเพื่อที่จะบุกรุกเข้ามาในระบบเครือข่ายหรือบ้านของเรา แต่หากเราที่มีหน้าที่ดูแลระบบคอมพิวเตอร์และบ้านจำเป็นจะต้องอุดช่องโหว่ทั้งหมดที่มีอยู่ ดังนั้นงานของเราจึงหนักกว่าเหล่าแฮกเกอร์มากนัก

ถึงแม้ว่าเราจะเตรียมการป้องกันรอบนอกอย่างแน่นหนาแล้ว ก็ยังไม่พอเนื่องจากภัยคุกคามที่น่ากลัวอย่างหนึ่งคือ ภัยที่เกิดจากภายใน (Insider Threat) ซึ่งก็เหมือนกับการที่ไม่ระวังป้องกันน้ำจากท่อระบายน้ำภายในบ้าน ทำให้น้ำสามารถเอ่อล้นเข้าท่วมบ้านจากภายในบ้านได้อีกด้วย อีกทั้งเหตุน้ำท่วมตามที่ต่างๆนั้นก็เกิดจากสาเหตุนี้ด้วย
เขียนโดย Foh9 ที่ 13:18 1 ความคิดเห็น

Monday, October 03, 2011

เรียนรู้...ก่อนถูกขโมยรหัสผ่าน

ปัจจุบันเครือข่ายสังคมออนไลน์เป็นอีกช่องทางหนึ่งในการติดต่อสื่อสาร ด้วยประโยชน์ที่มีมากมาย เช่น บางหน่วยงานก็ใช้ในการประชาสัมพันธ์หน่วยงานเพื่อกระตุ้นยอดขาย สร้างภาพลักษณ์ หรือบางคนใช้ในการพบปะกับเพื่อนๆ บ้างก็เคยเจอเพื่อนที่ไม่ได้เจอกันมาหลายปี หรือบ้างก็ใช้ในการเผยแพร่องค์ความรู้ เป็นต้น นี่เป็นแค่ตัวอย่างประโยชน์ของการใช้งานเครือข่ายสังคมออนไลน์เพียงเล็กน้อยเท่านั้น ยังมีการประยุกต์ใช้เครือข่ายสังคมออนไลน์อีกมากมาย จากประโยชน์อันมหาศาลนี่เองที่เป็นสิ่งล่อตาล่อใจเหล่าแฮกเกอร์จ้องที่จะฉวยโอกาสจากผู้ใช้งานที่ขาดทักษะในการป้องกันตัวเองที่เพียงพอและผู้ที่ขาดความตระหนักในการรักษาความปลอดภัยข้อมูลตนเอง ดังนั้นภัยคุกคามรูปแบบต่างๆใหม่ๆที่อาศัยช่องทางของเครือข่ายสังคมออนไลน์จึงเพิ่มจำนวนสูงขึ้นอย่างรวดเร็ว และภัยคุกคามหนึ่งที่น่าสนใจก็คือการขโมยบัญชีผู้ใช้งานอื่น


หลายคนคงได้ข่าวว่าบัญชีผู้ใช้งานทวีตเตอร์ของนายกรัฐมนตรีถูกแฮก แล้วโพสท์ข้อความด้วยชื่อของนายกเอง เมื่อวิเคราะห์จากความเป็นไปได้แล้ว โดยความเห็นส่วนตัวคิดว่าแฮกเกอร์น่าจะขโมยรหัสผ่านของบัญชี้นี้ แล้วใช้เข้าสู่ระบบจากนั้นจึงทวีต (คือการโพสท์ข้อความบนทวีตเตอร์) ข้อความตามที่เป็นข่าวได้ ดังนั้นบทความนี้จะกล่าวถึงเทคนิคกลยุทธ์ต่างๆเบื้องต้นที่แฮกเกอร์อาจจะใช้ขโมยรหัสผ่านต่างๆของเหยื่อ โดยมีวัตถุประสงค์เพื่อสร้างความตระหนัก ให้ผู้อ่านได้ระมัดระวังตัวและเตรียมการป้องกันไม่ให้แฮกเกอร์มาฉวยโอกาสจากบัญชีผู้ใช้ของเรา นอกจากนี้ผู้เขียนขอเสนอแนะวิธีการใช้งานเครือข่ายสังคมออนไลน์อย่างปลอดภัยอีกด้วย


การหลอกถาม (Social Engineering) การหลอกถามนี้เขาใช้กลยุทธ์ปลอมตัวเป็นบุคคลอื่น จากนั้นก็จะอาศัยจุดอ่อนของจิตใจมนุษย์ ด้วยการสร้างเรื่องราวหลอกลวงต่างๆที่สามารถทำให้เหยื่อหลงเชื่อ สงสาร หรือเกิดความโลภ จนต้องยอมเปิดเผยข้อมูลส่วนบุคคลของตนเองได้ ยกตัวอย่างเช่น อาจจะปลอมเป็นเจ้าหน้าที่ตำรวจโทรเข้ามาบอกว่า เหยื่อเป็นผู้ต้องสงสัยในคดีหนึ่ง แล้วบังคับให้เหยื่อบอกรหัสผ่าน ถ้าไม่บอกแสดงว่ายอมรับว่าเป็นอาชญากรจริงๆ เหยื่อได้ยินดังนั้นก็เกิดความตื่นตระหนกตกใจ จนทำให้ยอมเปิดเผยรหัสผ่านได้ หรือในบางกรณีก็อาจจะติดต่อมาบอกว่าเหยื่อเป็นผู้โชคดีได้รับรางวัลชิ้นใหญ่ แต่สร้างเงื่อนไขให้เหยื่อจะต้องลงทะเบียนยืนยันตัวตนโดยการกรอกชื่อผู้ใช้งานและรหัสผ่านบนเว็บไซต์ที่ผู้ประสงค์ร้ายเตรียมไว้ ซึ่งวิธีการนี้เป็นวิธีการหลอกถามผสมผสานกับฟิชชิ่งนั่นเอง เป็นต้น


ฟิชชิ่ง (Phishing) ผู้ประสงค์ร้ายจะสร้างหน้าเว็บหลอกลวงโดยเลียนแบบหน้าเว็บไซต์เครือข่ายสังคมออนไลน์ ซึ่งมีช่องให้กรอกชื่อบัญชีผู้ใช้งานและรหัสผ่าน จากนั้นผู้ประสงค์ร้ายนี้จะส่งอีเมล์สแปมมาหาเหยื่อ โดยหลอกว่าบัญชีผู้ใช้งานของเหยื่อมีปัญหา ถูกระงับใช้จนกว่าจะล็อกอินเข้าระบบเพื่อให้สามารถใช้งานได้อีก หากเหยื่อหลงเชื่อเหยื่อจะเข้าไปกรอกข้อมูลบัญชีผู้ใช้งานและรหัสผ่าน แน่นอนว่าเหยื่อจะไม่สามารเข้าสู่ระบบเครือข่ายสังคมออนไลน์ได้ แต่เว็บหลอกลวงนี้ได้ขโมยข้อมูลบัญชีผู้ใช้ของเหยื่อเรียบร้อยแล้ว


รูปที่ 1 หน้าเว็บฟิชชิ่งของทวีตเตอร์

รูปที่ 2 หน้าเว็บฟิชชิ่งของเฟซบุค


โปรแกรมประสงค์ร้าย (Malware) วิธีการนี้แฮกเกอร์จะใช้สารพัดวิธีการเพื่อหลอกให้เหยื่อดาวน์โหลดและติดตั้งโปรแกรมประสงค์ร้าย หลังจากนั้นโปรแกรมเหล่านี้จะแอบทำงานโดยที่ผู้ใช้ไม่รู้ตัว ตัวอย่างของโปรแกรมที่ใช้ขโมยข้อมูล คือ ม้าโทรจัน (Trojan horse) ซึ่งหลังจากที่โปรแกรมประเภทม้าโทรจันถูกติดตั้งในเครื่องของเหยื่อยแล้ว โปรแกรมนี้จะค้นหาข้อมูลส่วนบุคคลของเหยื่อที่ถูกเก็บไว้ในเครื่องคอมพิวเตอร์ โดยเฉพาะข้อมูลบัตรเครดิตที่เหยื่อใช้ซื้อสินค้าออนไลน์ ชื่อบัญชีผู้ใช้งานตามเว็บต่างๆของเหยื่อ รวมไปถึงรหัสผ่านที่ถูกบันทึกไว้ที่หน้าเว็บเบราเซอร์ นอกจากนี้ม้าโทรจันประเภทดักปุ่มคีย์บอร์ด (Keylogger) ก็สามารถบันทึกข้อมูลตัวอักษรที่เหยื่อยกดปุ่มบนคีย์บอร์ดได้อีกด้วย เป็นต้น จากนั้นเมื่อถึงเวลาที่กำหนดข้อมูลเหล่านี้จะถูกส่งออกจากเครื่องของเหยือไปยังแฮกเกอร์ผู้สร้างหรือเป็นเจ้าของโปรแกรมประสงค์ร้ายชนิดนี้ต่อไป แล้วแฮกเกอร์จะนำข้อมูลที่ได้มาเข้าสู่ระบบโดยใช้ชื่อบัญชีของเหยื่อ


แกะรหัสผ่าน (Password Cracking) วิธีการแกะรหัสผ่านนี้มีด้วยกันหลายวิธีแต่ละวิธีก็มีชั้นเชิง เทคนิคที่แตกต่างกัน เริ่มด้วยการเดารหัสผ่านแบบอึดถึก (Brute force) เป็นการเดารหัสผ่านด้วยความเป็นไปได้ทั้งหมดโดยเรียงลำดับตัวอักษรไปเรื่อยๆ จนกว่าจะพบรหัสผ่านที่ถูกต้อง วิธีการนี้มีข้อดีคือสามารถแกะรหัสผ่านได้แน่นอน (ถ้ารหัสผ่านง่ายพอ) แต่มีข้อเสียคือ ถ้าหากรหัสผ่านยาวและซับซ้อน วิธีการนี้อาจจะต้องใช้เวลาเป็นล้านปีเพื่อแกะรหัสผ่านนี้ก็ได้ วิธีการเทียบรหัสผ่านกับคำในพจนานุกรม (Dictionary) เป็นวิธีการเดารหัสผ่านจากการเดารหัสผ่านจากฐานข้อมูลหรือพจนานุกรมที่แฮกเกอร์สร้างขึ้น โดยในฐานข้อมูลหรือพจนานุกรมนี้จะมีข้อมูลของรหัสผ่านที่ง่ายและเป็นที่นิยมใช้กัน หรือเป็นคำศัพท์ที่อยู่ในพจนานุกรมอีกด้วย วิธีการสุดเป็นวิธีการเดาสุ่มรหัสผ่านอย่างมีหลักการ (Guessing) วิธีการนี้แฮกเกอร์จะเดารหัสผ่านของเหยื่อโดยอาศัยรหัสผ่านทั่วไปที่คนส่วนใหญ่นิยมตั้ง หรือข้อมูลส่วนบุคคลของเหยื่อ ไม่ว่าจะเป็น วันเกิด หมายเลขโทรศัพท์ หรือชื่อคนรัก เป็นต้น ซึ่งถ้าหากเหยื่อไม่มีความตระหนักเรื่องรหัสผ่าน ก็จะถูกขโมยบัญชีผู้ใช้งานได้


แอพพลิเคชั่น (Application) คุณสมบัติพิเศษอีกอย่างหนึ่งของเว็บเครือข่ายสังคมออนไลน์ในปัจจุบันคือการที่ผู้ใช้สามารถพัฒนาและติดตั้งแอพพลิเคชั่นเพิ่มเติมได้อย่างอิสระ ไม่ว่าจะเป็นการติดตั้งแอพพลิเคชั่นเกมส์ต่างๆ แอพพลิเคชั่นดูดวง หรือแม้กระทั่งแอพพลิเคชั่นสอบถามความคิดเห็น เป็นต้น โดยแอพพลิเคชั่นส่วนใหญ่นั้นถูกพัฒนาด้วยจุดประสงค์ที่ดี แต่ยังมีอีกจำนวนไม่น้อยที่มีจุดประสงค์ในการขโมยข้อมูลส่วนบุคคลของผู้ที่หลงเชื่อและติดตั้งแอพพลิเคชั่นดังกล่าว ในทุกครั้งที่ติดตั้งแอพพลิเคชั่นจะมีการขออนุญาตเพื่อเข้าถึงข้อมูลส่วนบุคคลของเจ้าของบัญชีก่อน แต่หากสังเกตให้ดี อาจมีแอพพลิเคชั่นขอสิทธิ์ในการเข้าถึงข้อมูลที่ไม่น่าจะเกี่ยวข้องกับการทำงานของแอพพลิเคชั่นตนเอง อีกทั้งบางแอพพลิเคชั่นยังเปิดช่องโหว่ให้แฮกเกอร์สามารถป้อนข้อมูลชุดคำสั่งเพื่อขโมยข้อมูลได้


แอบดักข้อมูล (Sniffering) วิธีการนี้ต้องอาศัยความอดทนของแฮกเกอร์ เนื่องจากปริมาณข้อมูลที่ถูกส่งในระบบเครือข่ายนั้นมีปริมาณมหาศาล แต่แฮกเกอร์จำเป็นจะต้องดึงข้อมูลออกมา แล้วตรวจหาที่ละแพ็กเก็ต (หน่วยย่อยในการแบ่งข้อมูลก่อนที่จะถูกส่งในระบบเครือข่าย) ว่าเป็นแพ็กเก็ตที่เหยื่อส่งเพื่อทำการเข้าสู่ระบบหรือไม่ และถ้าหากเหยื่อเรียกดูเว็บเครือข่ายสังคมออนไลน์ด้วยโพรโตคอล HTTP (Hyper Text Transfer Protocol) จะทำให้แฮกเกอร์สามารถเห็นข้อมูลบัญชีผู้ใช้งานพร้อมรหัสผ่านของเหยื่อได้โดยตรง เนื่องจากการส่งข้อมูลด้วยโพรโตคอล HTTP นี้ ข้อมูลจะไม่ถูกเข้ารหัส แต่หากใช้โพรโตคอล HTTPS ซึ่งเป็นการเข้ารหัสโพรโตคอล HTTP ด้วย SSL (Secure Socket Layer) กล่าวคือข้อมูลที่ถูกส่งด้วยโพรโตคอล HTTPS จะถูกเข้ารหัสไว้ ทำให้ถึงแม้ว่าแฮกเกอร์จะสามารถดักข้อมูลได้ แต่ก็ไม่อาจสามารถแกะข้อมูลบัญชีผู้ใช้งานและรหัสผ่านออกมาได้ 
หมายเหตุ ให้สังเกตที่ชื่อเว็บไซต์ว่าขึ้นต้นด้วย http:// หรือ https:// เพื่อดูว่าเราใช้โพรโตคอลแบบใด


วิธีการป้องกัน
  1. ใช้รหัสผ่านที่แข็งแรง เปลี่ยนบ่อยๆ ไม่ใช่ชื่อเฉพาะหรือข้อมูลส่วนบุคคลที่จะถูกเดาได้ง่าย เพื่อป้องกันไม่ให้ผู้ประสงค์ร้ายให้โปรแกรมถอดรหัสได้สำเร็จ
  2. ห้ามเผยแพร่ข้อมูลส่วนบุคคลของเรา บนหน้าเว็บเครือข่ายสังคมออนไลน์ เนื่องจากผู้ประสงค์ร้ายอาจจะนำข้อมูลเหล่านี้ไปเดารหัสผ่าน หรือใช้ในการตอบคำถามลับเมื่อลืมรหัสผ่าน เช่นวันเกิดคุณแม่, ชื่อโรงเรียนประถม, ทีมกีฬาที่ชื่นชอบ เป็นต้น
  3. อย่าหลงเชื่อบุคคลที่มาสอบถามข้อมูลส่วนบุคคลของเรา หรือหลอกล่อให้ติดตั้งโปรแกรมที่ไม่น่าเชื่อถือแหล่งที่มา
  4. ลบแอพพลิเคชั่นที่ไม่ได้ใช้งานแล้วจากบัญชีเครือข่ายสังคมออนไลน์
  5. เมื่อต้องการล็อกอินเข้าระบบ ให้พิมพ์ชื่อเว็บไซต์ด้วยตัวเอง
  6. อย่าหลงเชื่อข้อความในอีเมล์ที่ต้องสงสัยว่าอาจจะเป็นฟิชชิ่ง
  7. ติดตั้งโปรแกรมป้องกันไวรัสพร้อมปรับปรุงฐานข้อมูลอยู่เสมอ และสแกนหาไวรัสทั้งระบบบ่อยๆ 
  8. ไม่อนุญาตแอพพลิเคชั่นที่ไม่ทราบแหล่งที่มา หรือไม่น่าเชื่อถือ ติดตั้งในบัญชีเครือข่ายสังคมออนไลน์ของเรา
  9. ให้เข้าถึงเว็บเครือข่ายออนไลน์ด้วย HTTPS เพื่อเข้ารหัสข้อมูลของเราก่อนถูกส่งออกไป
เขียนโดย Foh9 ที่ 03:46 0 ความคิดเห็น

Thursday, September 29, 2011

โปรดระวัง เว็บ Firefox 7 ปลอม

การท่องอินเทอร์เน็ตดูเหมือนจะเป็นสิ่งจำเป็นที่ขาดไม่ได้ในชีวิตประจำวันของพวกเรา ด้วยข้อมูลที่มีอยู่มหาศาล การเชื่อมต่อที่ไร้ขีดจำกัด ยิ่งทำให้การท่องอินเทอร์เน็ตในปัจจุบันจึงต้องอาศัยโปรแกรมเว็บเบราเซอร์ที่ทรงประสิทธิภาพ ไม่ว่าจะเป็น IE, Firefox, Safari หรือ Chrome เองก็ตาม แต่เนื่องด้วยมีข่าวหลายกระแสที่ไม่ค่อยดีนักเกี่ยวกับโปรแกรมเบราเซอร์ที่ติดมากับระบบปฏิบัติการวินโดวส์อย่าง IE อีกทั้งผู้ที่ใช้ระบบปฏิบัติการลีนุกซ์หรือหลงใหลในมนต์เสน่ห์ของโอเพ่นซอร์สก็หันมาเลือกใช้โปรแกรม Firefox เป็นโปรแกรมเว็บเบราเซอร์พื้นฐาน ด้วยเหตุนี้จึงส่งผลให้โปรแกรม Firefox เป็นที่นิยมอย่างรวดเร็ว เมื่อเร็วๆ นี้ทาง Mozilla ได้ประกาศตัว Firefox เวอร์ชั่น 7 ซึ่งเป็นเวอร์ชั่นใหม่ล่าสุด และประกาศให้ดาวน์โหลดได้แล้วอยู่ในเว็บ https://www.mozilla.org/en-US/firefox/fx/ ดังรูปที่ 1
 รูปที่ 1 แสดงหน้าแรกของเว็บไซต์  firefox ของจริง

แต่บทความนี้ไม่ได้ต้องการโฆษณาให้ทุกคนไปดาวน์โหลด Firefox เวอร์ชั่น 7 แต่อย่างไร แต่บทความนี้ต้องการจะแจ้งเตือนให้ทุกคนระวังถึงเว็บไซต์ปลอมที่แอบอ้างชื่อของ Firefox เวอร์ชั่น 7 ผมได้อ่านเจอบทความหนึ่งเกี่ยวกับเรื่องนี้ก็เลยลองเริ่มทำตามดู โดยค้นหาในกูเกิลว่า "firefox7" และพบหน้าเว็บหนึ่งซึ่งมีชื่อว่า http://www.firefox7.org ดังรูปที่ 2 จากนั้นก็ลองคลิกที่ลิงค์เพื่อเข้าไปเยี่ยมชมเว็บไซต์ดังกล่าว ดังรูปที่ 3 ด้านซ้าย ซึ่งจะเห็นว่าหน้าเว็บดังกล่าวมีข้อความบอกให้กดเพื่อดาวน์โหลดโปรแกรม Firefox แต่หากลองคลิกต่อไปจะเป็นการเชื่อมต่อไปยังเว็บไซต์ของ Blogspot (เว็บสำหรับเขียนบล็อก) โดยมีชื่อเว็บว่า http://mozillas.blogspot.com ดังรูปที่ 3 ด้านขวา ซึ่งแน่นอนว่าชื่อผู้พัฒนาผิดอย่างเห็นได้ชัด เนื่องจากมีตัวอักษร "s" เกินมา และทำให้เดาต่อได้อีกว่าเว็บ www.firefox7.org นี้เป็นเว็บเลียนแบบจริงๆ
 
รูปที่ 2 แสดงผลการค้นหาด้วยกูเกิล

 
รูปที่ 3 แสดงการเข้าถึงเว็บ www.firefox7.org
การวิเคราะห์เพิ่มเติม มาลองดูรายละเอียดของเว็บไซต์นี้ เมื่อลองหาจาก Whois ก็จะพบข้อมูลของผู้จดทะเบียนใช้โดเมนนี้ คือนาย Xiaojuan Zhang จดทะเบียนเมื่อวันที่ 22 พฤษภาคม 2554 ดังรูปที่ 4 จากนั้นก็ลองหาข้อมูลของหน้าเว็บ www.firefox7.org ดู ก็พบว่าเซิร์ฟเวอร์นี้รันด้วย Apache บนระบบปฏิบัติการลีนุกซ์ มีหมายเลขไอพีแอดเดรสที่ 97.74.182.149 อัพเดตข้อมูลล่าสุดวันที่ 29 กันยายน 2554 ดังรูปที่ 5
รูปที่ 4 แสดงผลการค้นหาข้อมูลของเจ้าของเครื่อง 

รูปที่ 5 การค้นหาข้อมูลด้วยเว็บ Netcraft 

วัตถุประสงค์ของคนที่สร้างเว็บปลอมนี้เป็นอะไรนั้นยังคงเป็นปริศนาอยู่ เนื่องจากว่าตอนแรกผมคิดว่าเขาจะใช้เว็บนี้หลอกให้คนดาวน์โหลดไวรัสไป แต่เดชะบุญที่ยังไม่พบโค้ดหรือโปรแกรมที่เป็นอันตายให้ดาวน์โหลด ส่วนจะมาขโมยข้อมูลของเรานั้นก็เป็นอีกประเด็นที่นึกขึ้นมาหลังจากนั้น แต่ประเด็นนี้ก็น่าจะผ่านไปเนื่องจากไม่พบลิงค์หรือหน้าเว็บไซต์ที่จะหลอกให้เหยื่อไปกรอกข้อมูลส่วนตัวลงไป แต่จากบางแหล่งข้อมูลแจ้งว่าคนสร้างเว็บเลียนแบบนี้อาจต้องการทำให้เว็บไซต์ของเขามีผู้ค้นหาและเข้าชมมากขึ้นก็เป็นได้ อย่างไรก็ตามก็ยังเชื่อว่าผู้สร้างเว็บนี้ไม่ได้มีเจตนาร้ายแต่อย่างไรเนื่องจากชื่อที่ใช้ในการจดโดเมนนั้นก็มีข้อมูลการติดต่อทั้งหมด ไม่ว่าจะเป็นหมายเลขโทรศัพท์ อีเมล์ หรือข้อมูลอื่นๆ

อย่างไรก็ตามถึงแม้ว่าเว็บไซต์นี้จะไม่มีอันตรายใดๆก็ตาม นอกจากสร้างให้เกิดความสับสนและให้มีคนเข้าเยี่ยมชมเว็บของเขามากขึ้นเท่านั้น แต่หากมีผู้ประสงค์ร้ายบางคนใช้เทคนิคเดียวกันนี้สร้างเว็บโดยฝังโค้ดหรือโปรแกรมอันตรายไว้ ผู้ใช้ที่ไม่ระวังตัวก็อาจจะตกเป็นเหยื่อโดนหลอกให้ดาวน์โหลด หรือในขณะเดียวกันอาจจะโดนหลอกให้กรอกข้อมูลส่วนบุคคลผ่านหน้าเว็บไซต์หลอกลวงก็เป็นได้ ดังนั้นจะต้องใช้ความระมัดระวังชื่อของเว็บไซต์ให้มาก เพื่อไม่ให้ตกเป็นเหยื่อ 

เขียนโดย Foh9 ที่ 13:47 0 ความคิดเห็น

บ่นเรื่องไวรัสบนแมคและแนะนำโปรแกรมป้องกัน

ปัจจุบันแมคบุคเป็นที่นิยมอย่างมากในหมู่นักไอทีบ้านเรา เนื่องด้วยมันเท่ห์หรือไม่อย่างไร แต่ด้วยสมรรถนะ ความสามารถ และรูปร่างของมันสวยบาดใจจนทำให้เดินผ่าน iStudio ทีไรเป็นต้องแวะ ไปลูบๆคลำๆมันบ้าง พร้อมกับเอ่ยว่าอยากเป็นเจ้าของสักเครื่องในชีวิต (ฮ่าๆ) แต่ด้วยราคาของเจ้าแมคบุครวมอุปกรณ์จำเป็นทุกอย่าง ต่อประกัน ฯลฯ รวมๆแล้วเราก็จะเสียเงินซื้อโน้ตบุคสเปกไม่สูงมากในราคาครึ่งแสน (โอ้....ม่ายยยยย เอาเงินไปซื้อเครื่องโน้ตบุคปกติสเปกแรงๆได้ 2 เครื่องสบายๆ) แต่อย่างว่าแหล่ะครับ ต่อให้ซื้อมา 10 เครื่อง มันก็ไม่ใช่แมคอยู่ดี ฮ่าๆๆๆ ดังนั้นครึ่งแสนก็ครึ่งแสน เราก็ยังจะเลือกแมคอยู่ดี (ที่พูดมาทั้งหมดนี้ไม่ได้เกี่ยวอะไรกับเนื้อหาที่จะกล่าวต่อไปเลยนะครับ ฮ่าๆๆๆ)

อย่างที่ผมเคยเล่าในตอน "พบม้าโทรจันบนแมคโอเอส (Trojan:BASH/QHost.WB)" เมื่อวันที่ 17 สิงหาคมที่ผ่านมา ว่ามีม้าโทรจันถูกเขียนเพื่อคุกคามระบบปฏิบัติการแมคโอเอส และในบทความนั้นผมได้บ่นว่าถ้าเราไปที่ร้าน iStudio คนขายจะโฆษณาว่าใช้แมคแล้วไม่ต้องกังวลเรื่องไวรัส ผมเองก็เคยถูกคนขายโฆษณาเช่นนี้เหมือนกัน แต่วันนั้นผมได้กระซิบบอกพนักงานว่าที่จริงแล้วมันมีไวรัสแล้วนะ แต่มีไม่เยอะเท่าวินโดวส์ เนื่องจากแมคโอเอส (Mac OS X) มีรากฐานมาจากยูนิกส์ (Unix) ดังนั้นเลยไม่ค่อยมีไวรัส ไม่ใช่ไม่มีเลย เดี๋ยวมีคนติดไวรัสมาแล้วจะมาฟ้องสคบ.นะ (ผมก็แซวคนขายไปเรื่อย) หลังจากที่เริ่มมีโทรจันบนแมคออกมา พวกไวรัส หนอน สปายแวร์ และม้าโทรจันก็เริ่มทะยอยถูกส่งมาอวดโฉมให้ผู้ใช้แมคได้เสียวสันหลังเล่น ไม่ว่าจะเป็นถูกส่งมาในรูปแบบของโปรแกรมอัพเดตต่างๆ ที่เห็นตัวอย่างบ่อยๆเลย ก็คงจะเป็นหลอกว่าถ้าอยากดูวีดีโอนี้ก็ต้องติดตั้งโปรแกรมสำหรับช่วยดูวิดีโอ เช่น แฟลชเพลเยอร์ (Flash Player) หรือมาในรูปแบบของ ActiveX สำหรับแมค (ซึ่งทุกคนก็รู้อยู่แล้วว่า ActiveX มันเป็นของวินโดวส์) หรือแม้กระทั่งหลอกว่าเป็นโปรแกรม MacMovie สำหรับชมภาพยนต์เองก็ตาม ลองดูตามวีดีโอที่ผมแนบมาให้นะครับ

นอกจากนี้ล่าสุดมีข่าวว่าค้นพบม้าโทรจันบนแมคอีกตัว ที่แฝงกายมาพร้อมกับไฟล์ PDF ชื่อ OSX/Revir.A ที่เป็นตัวอักษรจีน ซึ่งถ้าหลงเปิดไฟล์นี้ จะเป็นการดาวน์โหลดโทรจันอีกตัวที่ชื่อ OSX/Imuler.A มาฝังในเครื่องได้อีก
เห็นอย่างนี้แล้วยังจะเชื่อหรือไม่ครับว่าแมคโอเอสไม่มีไวรัส แล้วไวรัสแต่ละตัวที่เกิดขึ้นนั้นก็ยากต่อการสังเกต ดังนั้นทางที่ดีควรจะหาโปรแกรมป้องกันไวรัสแบบฟรีๆมาติดตั้งในเครื่องบ้างดีกว่า ผมจึงทำการค้นคว้าว่าจะมีโปรแกรมป้องกันไวรัสตัวไหนไหมที่จะให้ใช้ฟรีๆคู่กับเครื่องที่แสนแพง (อย่าให้ซื้ออีกเลย เพราะแค่นี้ก็ผ่อนกันหัวโตแล้ว) ซึงเท่าที่ผมดูนะครับ ส่วนใหญ่จะให้ใช้แค่ 30 วันเท่านั้น จนมาเจอของ Sophos ที่เขาให้ใช้ฟรีเลยครับ วิธีการติดตั้งก็ง่าย มีอัพเดตเยอะด้วยครับ สามารถดาวน์โหลดได้ฟรีที่ http://www.sophos.com/freemacav วิธีการติดตั้งก็เหมือนการติดตั้งโปรแกรมทั่วไปบนแมคโอเอสเลยครับ
เขียนโดย Foh9 ที่ 10:20 0 ความคิดเห็น

Wednesday, September 28, 2011

สาวยาคูลท์ ความเสี่ยงชั้นสูงขององค์กร

หมายเหตุ บทความนี้ไม่ได้ต้องการทำลายชื่อเสียงหรือองค์กรใด เพียงแค่มีเจตนาจะยกประเด็นตัวอย่างใกล้ตัวเพื่อให้เกิดความตระหนักเท่านั้น หากบทความนี้ทำให้บุคคลหรือองค์กรใดเสียหาย ผมต้องขอกราบขออภัยมา ณ ที่นี้ด้วย และในบทความนี้ผู้เขียนได้เสนอแนะวิธีการป้องกันและแก้ไขความเสี่ยงนี้ด้วย

เมื่อวานนี้ผมได้มีโอกาสไปฟังสัมนา (นานๆทีจะได้เป็นผู้ฟัง) ในงาน "การประชุมชี้แจงและรับฟังความคิดเห็นเกี่ยวกับ (ร่าง)หลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์" ที่จัดโดยกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร คณะกรรมการธุรกรรมอิเล็กทรอนิกส์ และคณะอนุกรรมการความมั่นคงปลอดภัย มีเซสชั่นตอนเช้าที่ดร.ยรรยง เต็งอำนวย อาจารย์จากภาควิชาวิศวกรรมคอมพิวเตอร์ จุฬาลงกรณ์มหาวิทยาลัย (เป็นอ.ที่ปรึกษาของผมตอนเรียนป.โทด้วย) ท่านได้พูดถึงเรื่องหนึ่งซึ่งมันใกล้ตัวเรามาก และผมจึงอยากจะหยิบยกเรื่องราวของอ.ที่บรรยายในงานนี้มาเป็นอุทาหรณ์สำหรับผู้อ่านทุกท่าน อ.ยรรยงได้กล่าวถึงจุดอ่อนของระบบ ระบบในองค์กรเรามีมากมาย เราจำเป็นจะต้องป้องกันทุกจุด หากมีจุดใดจุดหนึ่งรั่วก็จะส่งผลเสียหายต่อองค์กรได้เลย เหมือนกับโซ่ที่ใช้ล่ามช้าง หรือไดโนเสาร์ (มุขของอ.ที่เล่นในงาน) หากมีข้อใดข้อหนึ่งอ่อนหรือเชื่อมกันไม่สนิท ดังรูปที่ 1 ก็อาจจะทำให้โซ่ขาดได้เมื่อช้างหรือไดโนเสาร์ดึง ดังนั้นองค์กรของเราก็เช่นกัน ต่อให้องค์กรสั่งซื้อโปรแกรมป้องกันไวรัส 3,000 ชุด ซื้อไฟร์วอลล์ตัวละ3ล้าน แต่คนในองค์กรยังใช้รหัสผ่านห่วยๆ (เดาง่าย เช่น 1234 password หรือ qwerty เป็นต้น) เหล่าแฮกเกอร์หรือผู้ร้ายก็สามารถสร้างความเสียหายให้แก่องค์กรของเราได้
รูปที่ 1 โซ่ที่มีจุดอ่อน 
เครดิตภาพจาก http://englishpecah.blogspot.com/ 

อีกตัวอย่างก็เรื่องของการอนุญาตให้บุคคลภายนอกเข้ามาในองค์กรของเราได้โดยไม่มีการตรวจสอบอย่างดี อ.ยรรยงก็ได้ยกตัวอย่างของบุคคลที่สามารถเข้าออกทุกห้องในองค์กรของเราได้โดยที่รปภ.ไม่ยืนยันตัวตนเลย  นั่นก็คือ สาวยาคูลท์ นั่นเอง สาวยาคูลท์เป็นบุคคลที่สามารถเข้าออกตึกและสำนักงานที่ไม่ได้มีระบบป้องกันที่รอบคอบ เพราะหน้าที่ของเธอคือการส่งยาคูลท์ให้ถึงมือลูกค้าที่อาจจะเป็น ผอ.ฝ่าย หัวหน้างาน ที่มีห้องทำงานส่วนตัว หรือแม้กระทั่งพนักงานทั่วไปเองก็ตาม
รูปที่ 2 เครื่องแต่งกายพนักงานส่งยาคูลท์ 
เครดิตภาพประกอบ http://www.pocketonline.net/g2engine/d/68349-1/yakulggirl.jpg 

หลายๆคนคงสงสัยใช่มั้ยครับว่าแล้วยังไง ทำไมคนส่งยาคูลท์ถึงเป็นความเสี่ยงชั้นสูง ก็เนื่องด้วยทุกคนไว้วางใจสาวยาคูลท์ที่มาส่งยาคูลท์และเก็บเงินเรา ด้วยชุดแต่งกายที่มีเอกลักษณ์เฉพาะตัว และต้องมีกระเป๋าใส่ขวดยาคูลท์มาด้วย แต่ลองมองให้ลึกกว่านี้นะครับ ลองคิดดูว่าถ้าหากมีโจรปลอมตัวเป็นสาวยาคูลท์หรือโจรจ้างสาวยาคูลท์ให้แสร้งทำทีว่าเอายาคูลท์มาส่งให้ผอ.ฝ่ายของเราในองค์กร แล้วเข้าไปในห้องผอ.ฝ่ายได้โดยที่องค์กรของเราไม่ทำการตรวจสอบว่าคนๆนี้เป็นพนักงานของบริษัทยาคูลท์จริงๆหรือไม่ หรือไม่ตรวจสอบว่าเขาเป็นใคร มีเจตนาไม่ดีหรือไม่ ถ้าหากโจรในคราบสาวยาคูลท์คนนี้เข้าไปในห้องของผอ.ได้แล้ว เขาก็อาจจะหาทางขโมยเอกสาร ข้อมูลลับ หรือสื่อบันทึกข้อมูล เช่น ไดร์ฟ USB หรือแม้กระทั่งแผ่นซีดีและดีวีดี เป็นต้น เอาของใส่กระเป๋ายาคูลท์ (ดังรูปที่ 3) แล้วเดินออกจากตึกไปได้อย่างสบายใจ เพราะรปภ.เองของหลายๆหน่วยงานไม่ได้ตรวจสิ่งของที่อยู่ในกระเป๋านั้นเอง หรือนอกจากนี้ก็อาจจะไม่ได้มาขโมยเป็นสิ่งของ แต่เป็นข้อมูลไม่ว่าจะเป็นการแอบอ่านจดหมายและเอกสารที่ทิ้งไว้บนโต๊ะ อีเมล์หรือหน้าจอเครื่องคอมพิวเตอร์ที่เปิดทิ้งไว้ หรือการแอบดักฟังการสนทนาของเรากับผู้อื่นอีกด้วย

 รูปที่ 3 กระเป๋ายาคูลท์ 
เครดิตภาพประกอบ http://www.tarad2home.com/upload/post/1/14/143/1438/143812072010083936.jpg

อย่างไรก็ตามหลายๆองค์กรที่มีความตระหนักในเรื่องนี้ ก็ได้มีมาตรการป้องกันโดยการเอนุญาตให้สาวยาคูลท์ฝากไว้ที่รปภ.เท่านั้น แล้วให้พนักงานที่สั่งซื้อลงมาเอาไปเอง ผมคิดว่าเป็นวิธีการแก้ไขปัญหาที่ตรงจุดและง่ายที่สุด อีกทั้งสาวยาคูลท์คงจะดีใจที่ไม่ต้องเดินไปหาตามห้องให้เหนื่อยและเสียเวลาอีกด้วย


นอกจากนี้อีกความเสี่ยงที่ผมคิดมาตลอดเลยว่าถ้าผมอยากจะขโมยของหรือข้อมูลความลับ ผมจะขอปลอมตัวเองเป็นแม่บ้าน (เนื่องจากผมเป็นผู้ชายอ้วนๆคนนึง เป็นแม่บ้านคงดูน่ากลัวมาก ขอเป็นช่างไฟฟ้า ช่างซ่อมอาคาร ฯลฯ) แล้วผมจะเข้าไปตรวจระบบไฟฟ้าในห้องต่างๆ เดินเข้าเดินออกห้องนั้นห้องนี้ และก็ทำสิ่งเดียวกับที่ตัวอย่างสาวยาคูลท์ทำ นั่นคือการขโมยของ ขโมยข้อมูลต่างๆในองค์กร หรือนอกจากนี้จะเข้าต่อสายดักฟังโทรศัพท์ของผู้บริหาร หรือแม้กระทั่งแอบต่อ Access Point ทิ้งไว้หลังตู้ในห้องผู้บริหาร ทำให้ผมสามารถเชื่อมต่อเน็ตเวิร์กเข้าสู่องค์กรได้จากข้างนอกตึกได้อีกด้วย

ฝากไว้นะครับ ลองหันมามองในองค์กรเราดูบ้างนะครับว่ามีความเสี่ยงเหล่านี้บ้างหรือไม่ ลองๆช่วยกันป้องกันนะครับ หรือเสนอแนะได้ในเฟซบุคด้านบนนะครับ

เขียนโดย Foh9 ที่ 11:36 0 ความคิดเห็น
Subscribe to: Posts (Atom)