Tuesday, August 30, 2011

แจ้งเตือน! ช่องโหว่ใหม่ของ Apache (ยังไม่มี patch)

#ขอขอบคุณ Neutron Soutmun ที่แจ้งว่าเดเบี่ยนมีอัพเตดแล้วนะครับ http://security-tracker.debian.org/tracker/CVE-2011-3192


หายหน้าหายตาไปอีกแล้ว เนื่องด้วยผมติดภารกิจต้องสอนเรื่องการรักษาความปลอดภัยเซิร์ฟเวอร์ที่จังหวัดร้อยเอ็ด ดังนั้นผมจึงไม่มีเวลามาเขียนบทความเลยครับ ตอนนี้ผมนั่งรอที่ขอนแก่นเพื่อที่จะขึ้นเครื่องบินกลับกรุงเทพคืนนี้ ดังนั้นก็เลยอยากจะมาประกาศแจ้งเตือนช่องโหว่ใหม่ของ Apache

Apache เป็นซอฟต์แวร์สำหรับเครื่องเซิร์ฟเวอร์ที่ให้บริการเว็บที่ได้รับความนิยมอย่างมาก ไม่ว่าเซิร์ฟเวอร์นี้จะถูกติตตั้งด้วยระบบปฏิบัติการลีนุกซ์ ยูนิกซ์ หรือแม้กระทั่งวินโดวส์เองก็ตาม ก็ล้วนแต่นิยมติดตั้ง Apache เพื่อให้บริการเว็บ โดยเฉพาะอย่างยิ่งระบบปฏิบัติการลีนุกซ์และยูนิกซ์จะมี Apache เป็นซอฟต์แวร์พื้นฐานสำหรับการเปิดให้บริการเว็บเซิร์ฟเวอร์ด้วย ซึ่งจากข้อมูลจาก Netcraft รายงานว่าเดือนสิงหาคม 2554 มีเซิร์ฟเวอร์ที่ใช้งาน Apache สูงถึง 65% [1]

รายละเอียดช่องโหว่
ชื่อ Range header DoS vulnerability Apache HTTPD 1.3/2.x
หมายเลขอ้างอิง CVE-2011-3192
ระบบที่มีผลกระทบ Apache เวอร์ชั่น 1.3 และ 2 (ทุกเวอร์ชั่นย่อย)

ช่องโหว่ใหม่ที่ถูกค้นพบนี้อาจส่งผลให้เว็บเซิร์ฟเวอร์ถูกโจมตีด้วยวิธีปฏิเสธการให้บริการ (Denial of Service)จากระยะไกล ซึ่งเว็บเซิร์ฟเวอร์ที่ติดตั้ง Apache HTTPD และไม่ได้ปรับแต่งเพิ่มเติม (ดีฟอลต์ - default)ก็อาจจะถูกโจมตีผ่านทางช่องโหว่นี้ ซึ่งโปรแกรมสำหรับโจมตีหรือที่เรียกว่า Exploit นั้นถูกประกาศกันอย่างแพร่หลายในอินเทอร์เน็ต (และผู้เขียนไม่ได้มีเจตนาที่จะเผยแพร่เครื่องมือโจมตีนี้ ดังนั้นจะขอปิดแหล่งข้อมูลเครื่องมือดังกล่าว) เครื่องมือโจมตีนี้จะส่งคำร้องการขอเข้าเว็บไซต์โดยส่งเป็นเฮดเดอร์ที่เป็นร้องขอดาวน์โหลดข้อมูลเว็บไซต์โดยการแบ่งเป็นข้อมูลย่อยที่มีส่วนทับซ้อนกันเป็นจำนวนมหาศาล (Range header Overlapping) ส่งผลให้หน่วยความจำและซีพียูถูกใช้หมดอย่างรวดเร็ว และแน่นอนว่าไม่สามารถให้บริการเว็บไซต์ต่อไปได้ หากศึกษาจากเครื่องมือโจมตีพบว่าเครื่องมือนี้จะทำการดาวน์โหลดข้อมูลเว็บไซต์ขนาด 1,300 ไบต์ โดยการแบ่งข้อมูลเป็นข้อมูลย่อยขนาด 5 ไบต์ และทำการร้องขอในลักษณะดังรูปที่ 1

รูปที่ 1 แสดงลักษณะของเฮดเดอร์ในการร้องขอข้อมูล โดยแบ่งย่อยๆทีละ 5 ไบต์

และอีกความน่ากลัวก็คือว่า ณ ขณะเวลานี้ ทางผู้พัฒนายังไม่สามารถส่งโปรแกรมที่อุดช่องโหว่นี้ให้ผู้ใช้งานได้อัพเดต

หลังจากที่ได้รับข้อมูลดังกล่าว ผู้เขียนได้ทดสอบโจมตีเว็บเซิร์ฟเวอร์ที่จำลองขึ้นมา พบว่ามีล็อกแจ้งเตือนว่าหน่วยความจำถูกใช้หมดโดยโปรเซสที่ชื่อ Apache ดังรูปที่ 2 และลองทดสอบการเข้าเว็บไซต์ของเว็บเซิร์ฟเวอร์นี้พบว่า ไม่สามารถให้บริการต่อไปได้

รูปที่ 2 แสดงล็อกของระบบปฏิบัติการลีนุกซ์ที่บอกว่า
หน่วยความจำถูกใช้หมดโดย Apache หลังจากถูกโจมตี


วิธีการแก้ไข
เนื่องด้วยทางผู้พัฒนาเองยังไม่สามารถประกาศโปรแกรมอุดช่องโหว่ หรือ patch ได้ และอยู่ในระหว่างการพัฒนา ดังนั้นเราจึงต้องทำการปรับแต่งค่าของ Apache ดังนี้

ใช้ SetEnvIf หรือ mod_rewrite เพื่อตรวจจับหา range ที่มีปริมาณมาก หากพบก็จะสามารถเลือกให้ยกเลิก Range: header หรือยกเลิกการร้องขอเลยก็ได้

ทางเลือกที่ 1: (สำหรับ Apache เวอร์ชั่น 2.0 และ 2.2)

# ยกเลิก Range header ถ้ามีมากกว่า 5 range (การร้องขอที่แบ่งเป็นข้อมูลย่อย)
# CVE-2011-3192
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

# เพื่อเก็บล็อก
CustomLog logs/range-CVE-2011-3192.log common env=bad-range

ทางเลือกที่ 2: (สำหรับ Apache เวอร์ชั่น 1.3)

# ยกเลิกการร้องขอ เมื่อมีการร้องขอเกิน 5 range ใน Range: header.
# CVE-2011-3192

RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]

นอกจากนี้ยังมีวิธีการแก้ด้วยวิธีอื่นอีก สามารถอ่านรายละเอียดเพิ่มเติมได้ที่ ข้อมูลอ้างอิง [2-4]

ข้อมูลอ้างอิง
  1. http://news.netcraft.com/archives/2011/08/05/august-2011-web-server-survey-3.html
  2. http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110824161640.122D387DD@minotaur.apache.org%3E
  3. https://www.hkcert.org/my_url/en/alert/11082901
  4. http://www.kb.cert.org/vuls/id/405811
  5. http://nakedsecurity.sophos.com/2011/08/26/apache-exploit-leaves-up-to-65-of-all-websites-vulnerable/

Friday, August 26, 2011

ใช้กล้องตรวจจับความร้อนขโมยรหัสบัตรเอทีเอ็ม

ขออภัยด้วยนะครับที่ห่างหายไปหลายวัน เนื่องด้วยติดภารกิจต้องบรรยายเกือบทุกวัน วันที่ไม่มีบรรยายก็ต้องเตรียมสไลด์และเคลียร์งานเอกสาร ช่วงนี้กิจนิมนต์เยอะจริงๆ

ช่วงนี้ผมกำลังให้ความสนใจกับการโจมตีอุปกรณ์ต่างๆ (ที่ไม่ใช่เครื่องคอมพิวเตอร์อย่างที่เราคุ้นเคยกัน) แล้วผมจะค่อยๆทะยอยเล่าให้ฟังเรื่อยๆนะครับ วันนี้เป็นตอนแรกผมเลยอยากจะขอเปิดด้วยเรื่องราวของการใช้กล้องตรวจจับความร้อนขโมยรหัสบัตรเอทีเอ็ม

หลายๆคนอาจจะสงสัยว่าเหล่าแฮกเกอร์ทำได้อย่างไร ด้วยเหตุที่ทั้งกล้องตรวจจับความร้อนและตู้เอทีเอ็มไม่น่าจะมีความสัมพันธ์ใดๆเลย แต่เหตุไฉนเหล่าแฮกเกอร์จึงใช้ในการขโมยข้อมูลของเราได้

ในงานสัมนาชื่อ USENIX Security Symposium นักวิจัยชื่อ Keaton Mowery, Sarah Meiklejohn และ Stefan Savage จากมหาวิทยาลัยแคลิฟอร์เนีย (the University of California) ที่ซานดิเอโก ประเทศสหรัฐอเมริกาได้นำเสนอผลงานวิชาการในเรื่อง "Heat of the Moment: Characterizing the Efficacy of Thermal Camera-Based Attacks."

หากศึกษาจากงานวิจัยนี้จะพบว่าเขาใช้กล้องตรวจจับความร้อนรุ่น A320 FLIR ถ่ายไว้ที่ปุ่มกดที่ตู้เอทีเอ็ม ด้วยความร้อนจากมือเรากดลงไป ทำให้หลังจากกดแล้วยังพอมีความร้อนหลงเหลืออยู่และสามารถทำให้เรารู้ได้ว่ารหัสบัตรเอทีเอ็มคือเลขใด โดยในการทดลองนี้เขาได้ทดลองกับปุ่มทั้งแบบพลาสติกและโลหะดังรูป

รูปที่ 1 แสดงอุปกรณ์ปุ่มโลหะสำหรับการทดลอง

รูปที่ 2 แสดงอุปกรณ์ปุ่มพลาสติกสำหรับการทดลอง

ในการทดลองนี้ใช้อาสาสมัครจำนวน 21 คน และใช้รหัสบัตรเอทีเอ็มที่สุ่มมาจำนวน 27 หมายเลข และตัวเลขเหล่านั้นก็มีบางค่าที่เป็นตัวเลขซ้ำด้วย (เช่น 2227 หรือ 0510 เป็นต้น) ที่ทดลองกดปุ่มทั้งแบบที่เป็นพลาสติกและโลหะ ซึ่งผลการวิจัยนี้พบว่าสามารถเห็นร่องรอยความร้อนที่ปรากฎอยู่บนปุ่มกดพลาสติกและวิเคราะห์ปุ่มที่ถูกกดได้แม่นยำถึง 80% ในระยะเวลา 10 วินาทีหลังจากกดปุ่ม จากรูปที่ 3 นี้จะพบว่าปุ่มหมายเลข 1 4 5 และ 8 มีการถูกกด ซึ่งหมายเลขจริงที่กดนั้นคือ 1485 นับได้ว่ามีความใกล้เคียงและสามารถเดาได้ง่ายมากยิ่งขึ้น หากไม่ใช้วิธีนี้จำเป็นจะต้องเดารหัสบัตรตั้งแต่ 0000-9999 (จำนวน 10,000 ครั้ง)
รูปที่ 3 แสดงภาพความร้อนที่หลงเหลือหลังจากกดปุ่มในตู้เอทีเอ็ม

รูปที่ 4 แสดงภาพปุ่มที่ถูกกดหลังผ่านไป 90 วินาที จะเห็นว่าเห็นปุ่ม 1 4 และ 5 ถูกกด

แต่โชคดีที่การทดลองนี้ไม่ประสบความสำเร็จกับปุ่มที่เป็นโลหะ ซึ่งถูกใช้กันอย่างแพร่หลายในปัจจุบัน แต่ก็อย่าชะล่าใจไปนะครับ เนื่องจากเหล่าแฮกเกอร์ไม่เคยลดละความพยายามที่จะขโมยข้อมูลของเรา ดังนั้นเราจะต้องระวังตัวให้มากในยุคที่ข้าวยากหมากแพงเช่นนี้ด้วยครับ

Wednesday, August 17, 2011

ค้นพบสปายแวร์ใหม่บนแอนดรอยด์ที่ลอกเลียนแอพของกูเกิลพลัส

หลังจากเมื่อเช้าปั่นบทความเรื่องม้าโทรจันบนแมคโอเอสไป ได้รับการตอบรับเป็นอย่างดี ประกอบกับวันนี้ปั่นงานเสร็จตามเป้าหมาย เหลือแค่สไลด์ที่จะไปบรรยายเรื่อง "Web Application Security" ที่จะสอนที่ร้อยเอ็ดปลายเดือนนี้ ก็เลยแอบยักยอกเวลางานมาปั่นบทความนี้เล่น ดีกว่าเอาเวลาไปนอนอู้ (จริงมั้ย) อิอิ

ในเวลานี้คงไม่มีใครกล้าปฏิเสธว่าระบบปฏิบัติการแอนดรอยด์นั้นได้รับความนิยมมาก การเติบโตของจำนวนผู้ใช้งานก็เพิ่มขึ้นอย่างมากหลังจากเปิดตัว ด้วยจำนวนผู้ใช้ที่เพิ่มขึ้นนี้เองเหล่าแฮกเกอร์จึงพยายามจะฉวยโอกาสนี้มาทำอันตรายเราด้วยการส่งไวรัสต่างๆเข้ามาสู่ตลาดแอนดรอยด์มาร์เก็ต หลอกให้คนดาวน์โหลดมากมาย จนถึงขั้นกูเกิลประกาศว่าจะตรวจสอบทุกแอพก่อนที่จะถูกประกาศในมาร์เก็ต อย่างไรก็ตามเหล่าแฮกเกอร์จอมวายร้ายก็ยังสามารถปล่อยไวรัสสู่อุปกรณ์ที่ติดตั้งด้วยระบบปฏิบัติการแอนดรอยด์

เมื่อไม่นานมานี้เองบริษัทเทรนด์ไมโคร ยักษ์ใหญ่แห่งวงการโปรแกรมป้องกันไวรัส ได้ค้นพบมัลแวร์(Malware)ประเภทสปายแวร์ที่มีผลกระทบต่อระบบปฏิบัติการแอนดรอยด์ และมีความสามารถหลักในการขโมยข้อมูลต่างๆ ไม่ว่าจะเป็นการแอบบันทึกการสนทนาทางโทรศัพท์ ข้อมูลพิกัดดาวเทียม ข้อความต่างๆ หรือแม้กระทั่งรายการบันทึกการโทรศัพท์ และข้อมูลเหล่านี้ก็จะถูกส่งไปยังเซิร์ฟเวอร์ของแฮกเกอร์อีกด้วย ซึ่งชื่อของสปายแวร์นี้คือ ANDROIDOS_NICISPY.C

จุดเด่นของ ANDROIDOS_NICISPY.C คือการใช้หลอกเหยื่อว่าตัวเองเป็นแอพของกูเกิลพลัส (Google+) และแถมยังใช้ไอคอนหน้าตาเหมือนแอพพลิเคชั่นกูเกิลพลัสอีกด้วย ดังรูป



รายละเอียดทางเทคนิค

ANDROIDOS_NICISPY.C จะถูกติดตั้งในเครื่องของเหยื่อโดยการดาวน์โหลดของเหยื่อที่หลงเข้าเว็บไซต์อันตราย โดยที่เหยื่อเองก็ไม่รู้ตัว

จากนั้นสปายแวร์นี้จะทำงานตั้งแต่ระบบปฏิบัติการเริ่มทำงาน และจะทำหน้าที่แอบดักข้อมูล SMS, การโทรศัพท์ และข้อมูลพิกัดดาวเทียม โดยการรันเซอร์วิสดังต่อไปนี้
  • XM_CallListener
  • MainService
  • XM_CallRecordService
  • SocketService
  • XM_SmsListener
  • GpsService
  • RecordService
จากนั้นสปายแวร์นี้จะพยายาม
  • รวบรวมข้อมูลพิกัดดาวเทียม
  • ขโมยข้อความที่อยู่ใน inbox และ outbox ของอุปกรณ์
  • บันทึกการสนทนาทางโทรศัพท์ของอุปกรณ์ (โทรศัพท์มือถือ)
การสนทนาทางโทรศัพท์นั้นจะถูกบันทึกในรูปแบบ .AMR ในไดเรคทอรี่ /sdcard/shangzhou/callrecord/ ด้วยชื่อไฟล์ที่มีลักษณะเป็นวันและเวลา (YYYYMMDDHHMMss) จากนั้นข้อมูลทั้งหมดก็จะถูกส่งไปยังเซิร์ฟเวอร์ของแฮกเกอร์ผ่านทางพอร์ต 2018 แถมยังส่งหมายเลข IMEI ของเครื่องไปยังหมายเลขโทรศัพท์ของแฮกเกอร์อีกด้วย

วิธีการแก้ไข
  1. Select Settings > Application > Manage applications
  2. Select Android System Message then click Uninstall
วิธีการป้องกัน
  1. ไม่เยี่ยมชมเว็บไซต์ที่ไม่เหมาะสม หรือไม่แน่ใจว่าปลอดภัยหรือไม่
  2. ไม่หลงเชื่ออีเมล์ ลิงค์ หรือแม้แต่ข้อความในโปรแกรมสนทนาต่างๆ ที่พยายามหลอกให้คลิกลิงค์
  3. ไม่ดาวน์โหลดซอฟต์แวร์หรือแอพต่างๆจากแหล่งที่ไม่น่าเชื่อถือ
  4. ติดตั้งโปรแกรมป้องกันไวรัสของโทรศัพท์และอุปกรณ์ พร้อมทั้งอัพเดตและสแกนทั้งระบบบ่อยๆ
  5. ตรวจสอบแอพที่ถูกติดตั้งในเครื่องของเราว่าเราเป็นผู้ติดตั้งหรือไม่อยู่สม่ำเสมอ
  6. ลบแอพที่เราไม่ได้ใช้งาน หรือไม่จำเป็นใช้งาน เพื่อความปลอดภัยและประสิทธิภาพของอุปกรณ์ของเรา
อ้างอิงและภาพประกอบ
  1. http://about-threats.trendmicro.com/malware.aspx?language=us&name=ANDROIDOS_NICKISPY.A
  2. http://techcrunch.com/2011/08/15/new-android-malware-hides-as-google-app-answers-calls-for-you/

พบม้าโทรจันบนแมคโอเอส (Trojan:BASH/QHost.WB)

หากเดินไปตามร้าน istudio จะเห็นโฆษณาว่าใช้แมคแล้วจะปลอดภัยจากไวรัสคอมพิวเตอร์ ผมคิดว่าเราอาจจะต้องมาดูกันใหม่แล้วหล่ะครับ เนื่องจากบริษัท F-Secure ได้ประกาศว่าพบม้าโทรจันบนแมคตัวใหม่ชื่อ Trojan:BASH/QHost.WB ม้าโทรจันตัวนี้มาในรูปแบบของโปรแกรม FlashPlayer ปลอม ชื่อไฟล์ว่า FlashPlayer.pkg (มีค่า MD5: 1fc90b8f532028805d167b2b0ac9ce11)



เมื่อเหยื่อหลงเชื่อและติดตั้งม้าโทรจันนี้ลงในเครื่องแล้ว มันจะทำการเปลี่ยนแปลงแก้ไขไฟล์โฮสต์ (ไฟล์ที่ใช้ช่วยในการแปลงฃื่อเว็บไซต์เป็นหมายเลขไอพี โดยที่ไม่ต้องอาศัยเซิร์ฟเวอร์ DNS) แก้ไขโดยการใส่ชื่อโดเมนเว็บไซต์ของกูเกิลจากหลายประเทศ (เช่น google.com.tw, google.com.tl เป็นต้น)และชี้ไปยังหมายเลขไอพี 91.224.160.26 ซึ่งเป็นหมายเลขไอพีที่ประเทศเนเธอร์แลนด์

โดยปกติแล้วหากเราเข้าเว็บไซต์ www.google.com.tw จะปรากฎดังรูป


เมื่อไรก็ตามที่เหยื่อเรียกเว็บไซต์กูเกิล เว็บไซต์ที่จะถูกแสดงบนหน้าเว็บเบราเซอร์ของเหยื่อนั้นจะเป็นเว็บกูเกิลปลอมที่ถูกเรียกจากหมายเลขไอพี 91.224.160.26 ดังรูป



เมื่อลองทำการค้นหาก็จะมีผลปรากฏอยู่บนเว็บเบราเซอร์ด้วย

แต่โชคดีที่เซิร์ฟเวอร์ที่มีหมายเลขไอพี 91.224.160.26 ถูกปิดตัวแล้ว ปัจจุบันจึงไม่สามารถเข้าถึงได้ อย่างไรก็ตามสำหรับผู้ที่สงสัยว่าจะถูกม้าโทรจันชนิดนี้คุกคามก็สามารถทำการตรวจสอบและแก้ไขได้ด้วยตัวเองตามวิธีการต่อไปนี้
1. เปิดใช้งานเทอร์มินัลแล้วเปลี่ยนไปอยู่ในไดเรคทอรี่ */private/etc/
  • $cd /private/etc
2. ใช้โปรแกรมแก้ไขไฟล์เปิดไฟล์ที่ชื่อ hosts และทำการแก้ไข (หมายเหตุ จำเป็นต้องเป็นผู้ดูแลระบบก่อน จึงจะสามารถแก้ไขไฟล์ได้)
  • $sudo vim hosts
จากนั้นค้นหาไฟล์ที่มีลักษณะใกล้เคียงกับตัวอย่างด้านล่าง
  • 91.224.160.26 google.com
  • 91.224.160.26 google.ae
  • 91.224.160.26 google.as
  • ....
3. ลบทุกบรรทัดที่มีข้อมูลเกี่ยวกับหมายเลขไอพี 91.224.160.26 ที่อยู่ในไฟล์ hosts

อ้างอิงและภาพประกอบ
  1. http://www.f-secure.com/v-descs/trojan_bash_qhost_wb.shtml
  2. http://isc.sans.edu/diary.html?storyid=11329

Tuesday, August 16, 2011

เทคนิคการแฮกด้วยข้อมูลบนเฟซบุค (เพื่อสร้างความตระหนักเท่านั้น)

วันนี้ผมได้อ่านเจอข่าวเกี่ยวกับการใช้เฟซบุคในการขโมยข้อมูลต่างๆ ที่เราอาจจะคาดไม่ถึง รวมไปถึงเงินจากบัญชีธนาคารได้อีกด้วย ที่จริงผมเองก็กังวลอยู่ว่า บทความนี้อาจจะเป็นแรงจูงใจที่ทำให้เกิดอาชญากรรมคอมพิวเตอร์ในประเทศไทยต่อไปก็ได้ แต่ทั้งนี้ทั้งนั้นผมตัดสินใจว่า เรื่องราวในบทความนี้ ผมมีจุดประสงค์เพื่อให้เกิดความตระหนักของข้อมูลส่วนตัวของเรา ที่เราโพสท์บนเฟซบุคโดยที่เราอาจจะไม่ได้ตั้งใจได้

นาย Iain Wood (ผมขอเรียกว่านาย วู้ด นะครับ) แฮกเกอร์ชาวอังกฤษ วัย 33 ปี ถูกจับในข้อหาฉ้อโกงเงินจากบัญชีธนาคารผู้อื่น เขาเป็นต้นแบบของแนวความคิดที่ทำให้ผมอยากจะเล่าให้ฟังในบทความนี้ นายวู้ดกล่าวว่าเขาจำกัดกลุ่มของเหยื่อเฉพาะผู้ที่อาศัยในอพาร์ทเม้นต์เดียวกับเขา และเป็นผู้ที่ไม่ได้ป้องกันอีเมล์ของตัวเองมาก ทำให้เขาสามารถรู้จักอีเมล์ได้ จากนั้นเขาเข้าไปยังเว็บไซต์ของธนาคารเพื่อที่จะทำธุรกรรมออนไลน์ โดยใช้ชื่อของเหยื่อที่ได้มา แต่แน่นอนว่าเขาไม่สามารถเข้าได้เนื่องจากระบบต้องการรหัสผ่าน เขาได้เลือกช่องที่บอกว่าเขาได้ลืมรหัสผ่าน ระบบของธนาคารก็จะถามคำถามความลับส่วนตัว เช่นวันที่ในความทรงจำ โรงเรียนแรกของตัวเอง หรือแม้กระทั่งชื่อของมารดา เป็นต้น ซึ่งนายวู้ดใช้เวลา 18 ชั่วโมงต่อวันในการไล่ล่าหาข้อมูลของเหยื่อผ่านทางเฟซบุค เมื่อได้ข้อมูลดังกล่าวมาแล้ว เขาก็สามารถเข้าถึงบัญชีธนาคารออนไลน์ของเหยื่อได้อย่างง่ายดาย จากนั้นเขาได้ทำการแก้ไขที่อยู่ของเหยื่อแล้วถอนเงินออกมาและให้ส่งให้เขาทางไปรษณีย์


ผมได้คิดต่อยอดจากสิ่งที่นายวู้ดได้ทำ โดยใช้แนวคิดที่ตอบคำถามความลับส่วนตัวของเหยื่อ แทนที่จะค้นหาบนเฟซบุค เราก็อาจจะใช้วิธีการที่เรียกว่า Social Engineering ในการหลอกถามข้อมูลส่วนตัวของเหยื่อก็เป็นได้

หากผู้อ่านเคยฟังผมบรรยายให้ความรู้เรื่องการสร้างความตระหนักด้านการรักษาความปลอดภัยสารสนเทศคงทราบถึงตัวอย่างที่ผมมักจะเล่าให้ฟังว่า ข้อมูลความลับส่วนบุคคลของเรานั้นสำคัญมาก ถ้าหากเราโพสท์ลงเฟซบุคหรือเว็บไซต์ต่างๆ โดยที่เราตั้งใจหรือไม่ก็ตาม ก็จะส่งผลเสียตามมาได้ ยกตัวอย่างเช่น (หมายเหตุ ผมตั้งใจเล่าให้ฟังเพื่อเป็นอุธาหรณ์ ดังนั้นห้ามปฏิบัติการ หรือลอกเลียนแบบ) ถ้าหากมีคนได้หมายเลขโทรศัพท์ของเราที่เราโพสท์อยู่บนเฟซบุค เขาก็อาจจะเอาไปประกาศตามเว็บไซต์ลามก หรือส่งอีเมล์บอกว่า เราขายบริการทางเพศ หรือประกาศเพื่อให้มีคนติดต่อเรามามากมายก็ได้ (แนวคิดนี้ผมได้ฟังดร.โกเมนบรรยายหลายปีก่อน ท่านได้สอนเกี่ยวกับความสำคัญของข้อมูลส่วนบุคคล) หรืออีกตัวอย่างเรื่องของการธุรกรรมต่างๆผ่านโทรศัพท์ ไม่ว่าจะเป็นเรื่องบัตรเครดิต โทรศัพท์มือถือ ล้วนแต่ก็ใช้วันเดือนปีเกิดของเราเป็นข้อมูลสำหรับยืนยันตัวตนแทบทั้งสิ้น เป็นต้น นี่เป็นเพียงแค่ตัวอย่างเล็กน้อยของการใช้ข้อมูลของเราบนเฟซบุคทำร้ายเราได้ จนมีคนเรียกเฟซบุคว่า "อาวุธทางสงครามข่าวสาร (Information Warfare Weapon)"

ดังนั้นสิ่งที่ผมอยากจะฝากไว้ก็คือ เรื่องของการระวังการให้ข้อมูลแก่ผู้อื่น ไม่ว่าจะเป็นการหลอกถามหรือการประกาศข้อมูลไว้ตามที่ต่างๆ โดยเฉพาะอย่างยิ่งบนเฟซบุค หรือเครือข่ายสังคมออนไลน์ต่างๆ รวมไปถึงการใช้งานบริการธุรกรรมออนไลน์ต่างๆ เราควรเข้าใจระบบกลไกของทางธนาคารก่อน ทางธนาคารเองก็ควรจะมีระบบที่มีความปลอดภัย และเราเองก็ควรรู้จักวิธีการป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์หรือม้าโทรจันที่จะขโมยข้อมูลส่วนตัวของเราอีกด้วย

Thursday, August 11, 2011

เว็บบล็อกของแบล็กเบอร์รี่ถูกแฮก

เมื่อวานนี้แหล่งข่าวด้านการรักษาความปลอดภัยสารสนเทศต่างๆ ให้ความสนใจเกี่ยวกับเว็บบล็อกของยักษ์แห่งวงการโทรศัพท์มือถืออย่างแบล็กเบอร์รี่ถูกแฮก ท่ามกลางการก่อจลาจลในคืนที่ 4 ที่ประเทศอังกฤษ กลุ่มแฮกเกอร์นามว่า Team Poison (TeaMp0isoN) ได้เจาะระบบเว็บบล็อกทางการของบริษัทแบล็กเบอร์รี่ (http://blogs.blackberry.com/) ด้วยเหตุผลที่ทางบริษัทนั้นประกาศว่าจะสนับสนุนข้อมูลแก่ทางตำรวจอังกฤษ ถึงแม้ว่าทางแบล็กเบอร์รี่ยังไม่ได้บอกว่าจะสนับสนุนข้อมูลอะไรบ้างแก่ตำรวจก็ตาม (ข้อมูลอ้างอิง http://www.guardian.co.uk/uk/2011/aug/08/london-riots-blackberry-messenger-looting)




ซึ่งเนื้อความของข้อความที่กลุ่มแฮกเกอร์นี้โพสท์ไว้ในเว็บบล็อกมีใจความว่า
===========================

This hack is a response to this statement by RIM:
“We feel for those impacted by this weekend’s riots in London. We have engaged with the authorities to assist in any way we can. As in all markets around the world Where BlackBerry is available, we cooperate with local telecommunications operators, law enforcement and regulatory officials. Similar to other technology providers in the UK we comply with The Regulation of Investigatory Powers Act and co-operate fully with the Home Office and UK police forces.”

Dear Rim;
You Will _NOT_ assist the UK Police because if u do innocent members of the public who were at the wrong place at the wrong time and owned a blackberry will get charged for no reason at all, the Police are looking to arrest as many people as possible to save themselves from embarrassment... if you do assist the police by giving them chat logs, gps locations, customer information & access to peoples BlackBerryMessengers you will regret it, we have access to your database which includes your employees information; e.g - Addresses, Names, Phone Numbers etc. - now if u assist the police, we _WILL_ make this information public and pass it onto rioters... do you really want a bunch of angry youths on your employees doorsteps? Think about it... and don’t think that the police will protect your employees, the police can’t protect themselves let alone protect others.... if you make the wrong choice your database will be made public, save yourself the embarrassment and make the right choice. don’t be a puppet..

p.s - we do not condone in innocent people being attacked in these riots nor do we condone in small businesses being looted, but we are all for the rioters that are engaging in attacks on the police and government... and before anyone says "the blackberry employees are innocent" no they are not! They are the ones that would be assisting the police

- TriCk - TeaMp0isoN -

===========================

หลังจากที่กลุ่มแฮกเกอร์ Team Poison แฮกสำเร็จก็ได้ส่งข้อความบนทวีตเตอร์



ในที่สุดทางบริษัทแบล็กเบอร์รี่จำเป็นต้องหยุดให้บริการเว็บบล็อกชั่วคราวเพื่อทำการแก้ไขหน้าเว็บไซต์ดังกล่าว และในตอนนี้เว็บนี้ได้ถูกแก้ไขสำเร็จและเปิดให้บริการต่อไปแล้วครับ



อ้างอิงข้อมูลและภาพประกอบ
http://www.eweek.com/c/a/Security/BlackBerry-Blog-Hit-by-Hackers-Protesting-RIM-Assistance-to-London-Police-499867/
http://news.cnet.com/8301-1009_3-20090211-83/rim-blog-hacked-in-warning-over-london-unrest/
http://crackberry.com/official-blackberry-blog-hacked
http://www.f-secure.com/weblog/archives/00002211.html

Wednesday, August 10, 2011

ขำขัน! ไอเดีย CAPTCHA ที่น่าสนใจมาก

หลังจากที่เมื่อวานนี้ผมได้เล่าเกี่ยวกับ CAPTCHA ของเฟซบุคที่อยู่ดีๆก็มีอักษรภาษาจีนโผล่ขึ้นมาทำให้งงไปเลยครับ วันนี้เพื่อนผมชาวเกาหลีส่งตัวอย่างขำๆของ CAPTCHA ในซอฟต์แวร์หนึ่งของเกาหลี ซึ่งเวลาจะ uninstall นั้นผู้ใช้จะต้องตอบคำถามคณิตศาสตร์ จากรูปนะครับ ข้อแรกก็ยังโอเค แต่เจอข้อสอง ผมว่าคงมีหลายๆคนคงไม่อยากจะ unistall แน่ๆครับ ใครจะนำเทคนิคนี้ไปใช้ก็ได้นะครับ อย่างไรก็ตามถ้าหากไวรัสคอมพ์ใช้เทคนิคนี้บ้าง ก็คงต้องยอมมันหล่ะครับงานนี้ (ฮาาาาาาาาา)

อ้างอิงจาก http://web.humoruniv.com/board/humor/read.html?table=fakenews&pg=26&number=1691 (หากใช้ google translate จะแปลได้ว่าข่าวนี้เป็นข่าวขำๆนะครับ :) )