Thursday, January 19, 2012

คาดการณ์ภัยร้ายที่อาจมาพร้อมกับ Smart TV

หลังจากที่ช่วงนี้ผมเตรียมสไลด์สำหรับบรรยายอยู่นั้นผมก็ดันไปนึกถึงว่าเมื่อก่อนเคยคิดเล่นๆว่า จะทำอย่างไรถ้าหากไวรัสติดที่ตู้เย็น เลยมาเปรียบเทียบกับความเป็นไปได้ในปัจจุบัน เลยพบถึงความน่าสนใจที่อาจจะเกิดขึ้นในอนาคตอันใกล้นี้ก็ได้

***หมายเหตุ บทความนี้เป็นเพียงความคิดเห็นของผู้เขียนเท่านั้น ไม่ได้ต้องการสร้างความตื่นตระหนก เพียงแค่อยากให้เห็นว่าภัยร้ายมักจะมาควบคู่กับเทคโนโลยี

ก่อนหน้านี้นั้นผมเรียนรู้ว่าเมื่อมีการใช้ IPv6 จะทำให้อุปกรณ์อิเล็กทรอนิกส์ได้รับไอพีและเชื่อมต่ออินเทอร์เน็ตได้ แต่จนปัจจุบันนี้ผมก็ยังไม่เคยเห็นอุปกรณ์อิเล็กทรอนิกส์ที่ออกมารองรับ IPv6 เลยครับ จนผมเคยพูดเล่นๆกับเพื่อนๆว่าต่อไปเราอาจจะไม่ต้องแก้ปัญหาไวรัสบนเครื่องคอมพ์อย่างเดียว เราอาจจะต้องไปกำจัดไวรัสที่ติดในตู้เย็น ทีวี เครื่องเสียงก็เป็นได้ ณ เวลานั้นคงเป็นเพียงจินตนาการเพ้อฝันแบบเด็กๆก็ได้ แต่มาในวันนี้เมื่อผมได้เห็นโฆษณาโทรทัศน์อัจฉริยะ (Smart TV) ทำให้แนวความคิดที่ผมเคยคิดเล่นๆมันย้อนกลับมาทำให้ผมอยากเขียนบทความนี้

โทรทัศน์อัจฉริยะคืออะไร
จากนิยามที่วิกิพีเดียกล่าวไว้ โทรทัศน์อัจฉริยะเป็นคำที่ใช้เรียกการผสมผสานของอินเทอร์เน็ตและเว็บ 2.0 เข้ากับชุดโทรทัศน์และ Set-top boxes (เป็นอุปกรณ์ที่ต่อเพิ่มเข้ากับโทรทัศน์ เพื่อใช้รับสัญญาณโทรทัศน์) ซึ่งอาจจะกล่าวได้ว่าเป็นการนำคอมพิวเตอร์มายัดใส่ในโทรทัศน์หรือ Set-top boxes ก็ได้ ดังนั้นโทรทัศน์อัจฉริยะจึงมีระบบปฏิบัติการคล้ายคอมพิวเตอร์ ผู้ใช้สามารถติดตั้งโปรแกรมได้ และที่สำคัญสามารถเชื่อมต่ออินเทอร์เน็ตได้ ระบบปฏิบัติการที่ใช้ในโทรทัศน์อัจฉริยะส่วนใหญ่จะใช้ระบบปฏิบัติการคล้ายที่ติดตั้งบนโทรศัพท์อัจฉริยะ (Smartphone) และ แท็บเบล็ต (Tablet) ซึ่งเป็นลีนุกซ์ แอนดรอยด์ และซอฟต์แวร์ประเภทโอเพ่นซอร์ส


รูปที่ 1 แสดงภาพของโทรทัศน์อัจฉริยะ 
(ภาพประกอบจาก http://www.chipchick.com/2011/05/smart-tv-apps.html)

อนาคตภัยที่อาจจะเกิดขึ้น

  • เจาะระบบ (Hacking) อย่างที่เราทราบกันว่าโทรทัศน์อัจฉริยะนั้นมีคอมพิวเตอร์อยู่ข้างใน กล่าวคือมีระบบปฏิบัติการลีนุกซ์ เช่น มีโก้ (Meego) อูบันตู (Ubuntu) หรือระบบปฏิบัติการสำหรับอุปกรณ์มือถือต่างๆ เช่นแอนดรอยด์ (Android) ถูกติดตั้งมาพร้อมกับความสามารถเชื่อมต่ออินเทอร์เน็ตได้อีกด้วย ถ้ายิ่งผู้ใช้งานนั้นท่องอินเทอร์เน็ตโดยใช้โทรทัศน์อัจฉริยะ รหัสผ่านของบัญชีผู้ใช้งานต่างๆ หรือข้อมูลส่วนตัว ก็ถูกบันทึกไว้ในเครื่องโทรทัศน์อีกด้วย ดังนั้นไม่น่าจะแปลกใจถ้าหากแฮกเกอร์จะเจาะระบบที่โทรทัศน์อัจฉริยะที่เต็มไปด้วยข้อมูลส่วนบุคคลที่มีค่าอย่างมากของผู้ใช้งาน
รูปที่ 2 แสดงหน้าจอของ อูบันตูทีวี (Ubuntu TV) ซึ่งติดตั้งระบบปฏิบัติการลีนุกซ์อูบันตู
  • มัลแวร์ (Malware) หรือไวรัสคอมพิวเตอร์ หลังจากที่แฮกเกอร์สามารถแฮกโทรทัศน์อัจฉริยะได้แล้ว มีความเป็นไปได้สูงที่จะทำการฝังม้าโทรจันหรือเปิดประตูลับไว้สำหรับที่จะทำให้แฮกเกอร์สามารถย้อนกลับเข้ามาในเครื่องได้อีก นอกจากนี้อาจจะทำการติดตั้งโปรแกรมดักจับปุ่มกดต่างๆ เพื่อลักลอบเก็บข้อมูลส่วนบุคคลเช่นชื่อบัญชี รหัสผ่าน และข้อมูลบัตรเครดิต เป็นต้น มัลแวร์หรือไวรัสคอมพิวเตอร์นั้นเป็นเพียงซอฟต์แวร์ชนิดหนึ่ง ดังนั้นเมื่อโทรทัศน์อัจฉริยะมีระบบปฏิบัติการถูกติดตั้งอยู่ภายใน จึงเป็นเรื่องง่ายที่มัลแวร์จะถูกติดตั้งในโทรทัศน์ได้อย่างง่ายดาย
  • ทำสงครามข้อมูลข่าวสาร (Information warfare) ต่อไปเมื่อผู้ใช้งานสามารถท่องอินเทอร์เน็ตผ่านโทรทัศน์ได้ การเผยแพร่ข่าวสารผ่านโทรทัศน์อัจฉริยะขึงเป็นอีกหนึ่งช่องทางเผยแพร่ข่าวสารที่มีประสิทธิและรวดเร็วซึ่งบางครั้งเร็วกว่าข่าวจากรายการทางโทรทัศน์อีกด้วย ดังนั้นมีความเป็นไปได้ที่อาจจะมีผู้ประสงค์ร้ายอาศัยช่องทางนี้ในการเผยแพร่ข่าวสารผิดๆ เพื่อสร้างความตื่นตระหนกให้กับประชาชน อีกทั้งอาจจะเป็นการทำลายชื่อเสียงของบางคนได้อีกด้วย
  • สแปม (Spam) การโฆษณาในรายการโทรทัศน์นั้นต้องเสียค่าใช้จ่ายค่อนข้างสูง เมื่อโทรทัศน์เชื่อมต่ออินเทอร์เน็ตได้ การโฆษณาก็น่าจะหันมาใช้อินเทอร์เน็ตมาช่วยเพื่อลดค่าใช้จ่าย และยังสามารถโฆษณาได้อย่างรวดเร็วอีกด้วย ดังนั้นจึงเป็นโอกาสอันดีสำหรับนักส่งสแปมจะอาศัยช่องทางนี้ในการส่งสแปมเมล์ได้
  • สแคม (Scam) จากที่โฆษณาต่างๆถูกเผยแพร่ผ่านทางอินเทอร์เน็ตของโทรทัศน์อัจฉริยะแล้ว ก็อาจจะมีผู้ประสงค์ร้ายนั้นสร้างโฆษณาชวนเชื่อ เพื่อทำให้เหยื่อเกิดกิเลสและความโลภ จนถึงขั้นยอมทำตามคำสั่ง เช่นให้ข้อมูลส่วนบุคคลของเหยื่อ หรือโดนหลอกให้โอนเงิน เป็นต้น โดยขาดความตระหนักได้
  • การฉ้อโกง (Fraud) เมื่อโทรทัศน์นั้นเชื่อมต่ออินเทอร์เน็ตได้ ธุรกิจหนึ่งที่น่าจะมีการใช้บริการกันอย่างแพร่หลายคือการสั่งซื้อภาพยนตร์มาชมที่บ้าน ซึ่งกระบวนการสั่งซื้อก็อาจจะเป็นการเลือกภาพยนตร์ แล้วก็ชำระเงินผ่านทางบัตรเครดิต จากนั้นจึงสามารถทำการดาวน์โหลดมาชมได้ ดังนั้นผู้ประสงค์ร้ายก็อาจจะฉวยโอกาสนี้มาหลอกล่อให้เหยื่อหลงเชื่อให้โอนเงินมาเพื่อชำระสินค้า แต่ไม่ได้มีสินค้าหรือหน้าร้านอยู่จริง ทำให้เหยื่อนั้นสูญเสียเงินหรือข้อมูลส่วนบุคคลอื่นๆได้ด้วย

ป้องกันอย่างไรดี
  1. ไม่เยี่ยมชมเว็บไซต์ ไม่ดาวน์โหลดโปรแกรมจากเว็บไซต์ที่ไม่เหมาะสม หรือไม่แน่ใจถึงความปลอดภัย
  2. ไม่ติดตั้งแอพฯที่ไม่เหมาะสม ไม่ทราบแหล่งที่มา
  3. อัพเดตระบบปฏิบัติการและแอพฯต่างๆ ที่ถูกติดตั้งอยู่สม่ำเสมอ
  4. ไม่หลงเชื่อโฆษณาชวนเชื่อต่างๆ หรือข่าวสารผิดๆ ที่อาจถูกส่งมาในโทรทัศน์อัจฉริยะ
  5. ไม่โอนเงิน หรือไม่ให้ข้อมูลส่วนตัวใดๆทั้งสิ้น แก่เว็บไซต์ที่น่าสงสัย
  6. ติดตามข่าวสารที่เกี่ยวกับการรักษาความปลอดภัยสารสนเทศต่างๆ
ทิ้งท้าย
จากที่ได้กล่าวในตอนต้นแล้วว่าบทความนี้ไม่ได้มีจุดมุ่งหมายที่จะสร้างความตื่นตระหนก แต่อยากให้ผู้อ่านได้ตระหนักว่าเมื่อเทคโนโลยีล้ำหน้าไป ภัยคุกคามต่างๆ ก็จะยิ่งใกล้ตัวเรามากขึ้น และภัยคุกคามที่ถูกยกตัวอย่างในบทความนี้ ยังไม่ได้เกิดขึ้่นจริง และเป็นเพียงตัวอย่างเท่านั้น ดังนั้นใครจะเลือกใช้เทคโนโลยีใดๆ ก็ขอให้ศึกษารายละเอียดก่อน และติดตามข่าวสารต่างๆ ด้วยนะครับ 

อย่าลืมนะครับ "ตระหนัก อย่าตระหนก"

ใครสนใจพูดคุยกันก็สามารถติดต่อผู้เขียนได้ที่ข้อมูลด้านล่างนะครับ :)
Twitter : @kitisak


Wednesday, January 04, 2012

10 อันดับความเสี่ยงด้านเว็บแอพพลิเคชั่นของ OWASP ปี 2010

ทำความรู้จักกับ OWASP
โครงการ OWASP (The Open Web Application Security Project) ดำเนินการโดยมูลนิธิ OWASP ซึ่งเป็นองค์กรไม่แสวงหาผลกำไรหมายเลข 501c3 และยังได้รับการสนับสนุนการทำงานจากสมาชิกทั้งบุคคลทั่วไป องค์กรต่างๆ อีกทั้งมหาวิทยาลัย โครงการนี้เป็นการสร้างชุมชนเปิดและฟรีให้กับทั่วโลก โดยมีวัตถุประสงค์เพื่อส่งเสริมและพัฒนาการรักษาความปลอดภัยของโปรแกรมประยุกต์ (Application) ให้ดียิ่งขึ้น อีกทั้งยังมีการจัดตั้ง OWASP ย่อยๆในประเทศต่างๆด้วย สำหรับในประเทศไทยเองก็มีเช่นกัน และประธานของโครงการนี้ในประเทศไทยคนปัจจุบันคือ กิติศักดิ์ จิรวรรณกูล หรือผมเอง [2] ใครสนใจติดตามข่าวสารของ OWASP ประเทศไทย (หรือ OWASP Thailand Chapter) สามารถติดตามได้ที่แฟนเพจตามเอกสารอ้างอิง [3]


รูปที่ 1 แสดงโลโกของ OWASP 

"โครงการจัด 10 อันดับความเสี่ยงด้านเว็บแอพพลิเคชั่น หรือ OWASP Top 10เป็นโครงการหนึ่งที่ได้รับความนิยมอย่างสูง เนื่องจากเป็นโครงการที่เผยแพร่ความรู้ สร้างความตระหนักถึงอันตรายของการโจมตีผ่านเว็บแอพพลิเคชั่น

ความเสี่ยงด้านการรักษาความปลอดภัยเว็บแอพพลิเคชั่นคืออะไร
ผู้โจมตีสามารถเลือกทำอันตรายธุรกิจหรือองค์กรผ่านแอพพลิเคชั่นของเราได้ จากรูปที่ 2 แสดงความเสี่ยงที่อาจจะเกิดหรือไม่ก็ได้ แต่อย่างไรก็ตามก็ต้องให้ความสนใจเหมือนกัน

รูปที่ 2 แสดงภาพเส้นทางของความเสี่ยงที่อาจจะเกิดขึ้นในองค์กร

ในบางครั้งการโจมตีนั้นอาจทำได้โดยง่าย แต่บางครั้งก็อาจจะยากมาก ในทำนองเดียวกันนี้การโจมตีเหล่านี้อาจไม่ได้สร้างความเสียหายให้แก่องค์กร แต่บางครั้งก็อาจส่งผลกระทบที่รุนแรงต่อธุรกิจเลยก็เป็นได้ ในการตรวจหาความเสี่ยงภายในองค์กรนั้นสามารถทำได้โดยการประเมินผลความสัมพันธ์ระหว่างผู้โจมตี (Threat agent) แนวทางการโจมตี (Attack vector) และความอ่อนแอของระบบ (Security weakness) ร่วมกับการประมาณผลกระทบด้านเทคนิคและธุรกิจต่อองค์กร ทั้งหมดนี้เป็นปัจจัยในการประเมินความเสี่ยงทั้งหมดขององค์กร

กระบวนการประเมินความเสี่ยง
ในโครงการจัด 10 อันดับความเสี่ยงด้านเว็บแอพพลิเคชั่น หรือ OWASP Top 10 นี้เน้นการระบุความเสี่ยงที่ร้ายแรงที่สุดขององค์กร ซึ่งแต่ความเสี่ยงที่จะกล่าวต่อไปนั้น OWASP ได้แสดงข้อมุลทั่วไปเกี่ยวกับโอกาสที่จะเกิดและผลกระทบทางด้านเทคนิคโดยใช้แนวทางการประเมินอย่างง่ายที่อ้างอิงกระบวนการ OWASP Risk Rating Methodology [4]

รูปที่ 3 แสดงตารางที่ใช้ในการประเมินความเสี่ยง

อย่างไรก็ตามแต่ละองค์กรนั้นมีลักษณะเฉพาะที่แตกต่างกัน แนวทางการโจมตีและผลกระทบอาจจะเหมือนกันหรือแตกต่างกันก็เป็นได้ ดังนั้นการประเมินความเสี่ยงนั้นจึงควรทำด้วยตนเอง โดยเน้นไปที่ผู้โจมตี (Threat agents) การควบคุมความปลอดภัย (Security controls) และผลกระทบเชิงธุรกิจ (Business impacts) ขององค์กร

ถึงแม้ว่าในการจัด 10 อันดับความเสี่ยงเวอร์ชั่นก่อนนั้นมุ่งเน้นไปที่จุดอ่อน (Vulnerabilities) ทั่วไป แต่ชื่อเรียกก็ถูกออกแบบตามความเสี่ยงเหมือนกัน ซึ่งชื่อของแต่ละความเสี่ยงในการจัด 10 อันดับความเสี่ยงนี้ถูกตั้งจาก ประเภทการโจมตี ประเภทของจุดอ่อน หรือประเภทของผลกระทบที่เกิด และการเลือกชื่อที่จะนำมาใช้นั้นจะเป็นชื่อที่นิยมและสามารถเก็บไว้สร้างความตระหนักได้อย่างสูงสุด

10 อันดับความเสี่ยงด้านเว็บแอพพลิเคชั่นปี 2010 
  1. Injection เป็นการแทรกโค้ดเข้าไปในระบบ เช่น OS SQL และ LDAP ซึ่งเมื่อมีผู้ไม่หวังดีแทรกคำสั่งของระบบ (command) หรือคำสั่งสำหรับการคิวรี่ (query) เข้าไปเพื่อทำให้ระบบทำงานผิดพลาด หรือการเข้าไปถึงข้อมูลที่ไม่ได้รับอนุญาต
  2. Cross-Site Scripting (XSS) เป็นเทคนิคที่แฮกเกอร์จะแอบซ่อนหรือฝังสคริปส์ประสงค์ร้ายผ่านเว็บแอพพลิเคชั่นที่มีช่องโหว่ในเว็บไซต์ต่างๆ จากนั้นเมื่อเหยื่อหลงเข้ามาเยี่ยมชมหน้าเว็บนั้นสคริปส์ของแฮกเกอร์ก็จะถูกเรียกใช้งานที่เว็บเบราเซอร์ของเหยื่อเพื่อขโมยเซสชั่น (session) เปลี่ยนหน้าเว็บ หรือ redirect ไปยังเว็บประสงค์ร้ายได้
  3. Broken Authentication and Session Management ฟังก์ชั่นการระบุตัวตน (Authentication) ของเว็บแอพพลิเคชั่นที่มีช่องโหว่ ทำให้ผู้โจมตีสามารถขโมยรหัสผ่าน คีย์ โทคเคน (Token) หรือแอบอ้างปลอมตัวเป็นผู้ใช้งานจริงๆได้
  4. Insecure Direct Object References
 เกิดจากการอ้างอิงถึง Object ที่ใช้ภายใน เช่น ไฟล์ ไดเรคทอรี่ หรือคีย์ของฐานข้อมูล โดยไม่มีการตรวจสอบสิทธิ์หรือควบคุมการเข้าถึง ซึ่งทำให้ผู้โจมตีสามารถใช้การอ้างอิงนี้เข้าถึงข้อมูลที่ไม่ได้รับอนุญาตได้
  5. Cross-Site Request Forgery (CSRF) หรือเรียกสั้นๆ ว่า
ซีเซิร์ฟ (CSRF) คือรูปแบบการโจมตีที่บังคับให้เว็บเบราเซอร์ของเหยื่อส่ง HTTP request ที่ถูกปรับแต่งแล้ว รวมถึง session cookie และ ข้อมูลเกี่ยวกับการระบุตัวตน (Authentication) ไปยังเว็บแอพพลิเคชั่นที่มีช่องโหว่ ทำให้ผู้โจมตีสามารถสร้าง request ที่แอพพลิเคชั่นคิดว่ามาจากผู้ใช้ที่ถูกต้องได้ (สวมรอยสิทธิ์การใช้งานของผู้อื่น)
  6. Security Misconfiguration หมายถึง เป็นปัญหาที่เกิดขึ้นจากผู้ดูแลระบบที่ไม่ได้คอนฟิกระบบให้มีความปลอดภัย ซึ่งรวมไปถึงการอัพเดตซอฟต์แวร์และโค้ดต่างๆที่ถูกใช้โดยแอพพลิเคชั่น
  7. Insecure Cryptographic Storage หลากเว็บแอพพลิเคชั่นไม่ได้คำนึงถึงการป้องกันข้อมูลสำคัญเช่น รหัสผ่าน (password) หมายเลขบัตรเครดิตลูกค้า หรือ ข้อมูลลับของลูกค้า ด้วยการเข้ารหัส (encryption) หรือการทำแฮช (hashing) ซึ่งผู้โจมตีสามารถเข้าถึงและอาจแก้ไขข้อมูลที่สำคัญเหล่านี้ได้
  8. Failure to Restrict URL Access ความผิดพลาดในการจำกัดการเข้าถึงเว็บ ซึ่งอาจจะมีการควบคุมการเข้าถึงโดยใช้ url เพื่อเข้าไปยังหน้าเว็บที่ถูกซ่อนไว้ อย่างไรก็ตามผู้โจมตีสามารถปลอมแปลงชื่อ URL เพื่อหลอกเข้าไปยังหน้าเว็บที่ซ่อนไว้ได้
  9. Insufficient Transport Layer Protection เว็บแอพพลิเคชั่นส่วนใหญ่ละเลยที่่จะรักษาความลับและความถูกต้องของข้อมูลในเครือข่าย หรือบางครั้งใช้อัลกอริทึ่มในการเข้ารหัสที่อ่อนแอ ใบประกาศนียบัตรที่หมดอายุหรือไม่ถูกต้อง ทำให้ผู้โจมตีสามารถขโมยและแอบเปลี่ยนแปลงข้อมูลระหว่างการส่งได้
  10. Unvalidated Redirects and Forwards เป็นเทคนิคที่ผู้โจมตีทำให้ผู้ใช้ไปเข้าถึงยังหน้าเว็บที่ไ่ม่พึงประสงค์ เช่น หน้าเว็บฟิชชิง (phishing) หรือเว็บที่มีโปรแกรมประสงค์ร้ายฝังอยู่ หรือส่งต่อเพื่อเข้าถึงหน้าเว็บที่ผู้อื่นไม่ได้รับอนุญาตได้
เอกสารอ้างอิง
  1. OWASP Top 10 - https://www.owasp.org/index.php/Top_10_2010-Main
  2. OWASP Thailand Chapter (Official site อยู่ในระหว่างการปรับเปลี่ยนหน้าเว็บใหม่) - https://www.owasp.org/index.php/Thailand
  3. OWASP Thailand Chapter fanpage - https://www.facebook.com/pages/OWASP-Thailand-Chapter/151130168312937
  4. OWASP Risk Rating Methodology - https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology