Friday, April 06, 2012

ภัยจากการทำลายหรือก่อกวนระบบคอมพิวเตอร์

อีกจุดมุ่งหมายหนึ่งของอาชญากรอิเล็กทรอนิกส์ คือการทำให้ระบบได้รับความเสียหาย อาจจะทำลายโครงสร้างข้อมูล หรือแม้กระทั่งฮาร์ดแวร์ นอกจากนี้ยังรวมไปถึงการก่อกวนระบบเพื่อไม่ให้ระบบทำงานได้อย่างเต็มประสิทธิภาพจนบางครั้งอาจทำให้ระบบไม่สามารถให้บริการอีกได้ ตัวอย่างของการทำลายและก่อกวนระบบคอมพิวเตอร์ได้แก่

การปฏิเสธการให้บริการ (Denial of Service - DoS) เป็นวิธีการขัดขวางหรือก่อกวนระบบเครือข่ายหรือเซิร์ฟเวอร์ จนทำให้ระบบเครือข่ายหรือเซิร์ฟเวอร์นั้นๆไม่สามารถให้บริการได้ตามปกติ ซึ่งการโจมตีด้วยวิธีการปฏิเสธการให้บริการนั้นโดยทั่วไปจะมีจุดมุ่งหมายเดียวกันคือการบริโภคหรือใช้งานทรัพยากรของเซิร์ฟเวอร์หรือระบบเครือข่ายที่เป็นเป้าหมายให้หมด ทรัพยากรนี้ได้แก่ หน่วยความจำ (Memory) หน่วยประมวณผลกลาง (CPU) หรือ แบนด์วิธ (Bandwidth) เป็นต้น ตัวอย่างการโจมตีประเภทการปฏิเสธการให้บริการ เช่น การส่งข้อมูลปริมาณมหาศาล ซึ่งอาจจะเป็นการร้องขอใช้บริการจากเซิร์ฟเวอร์หรือส่งอีเมล์จำนวนมากเข้าไปยังระบบเครือข่ายหรือเครื่องคอมพิวเตอร์เป้าหมาย ซึ่งเป็นการบริโภคทรัพยากรของระบบเครือข่ายหรือคอมพิวเตอร์นี้จนหมดและต้องหยุดการให้บริการในที่สุด จากรูปที่ 1หากเปรียบเทียบเส้นลูกศรสีแดงแทนปริมาณข้อมูลมหาศาลที่ถูกส่งเพื่อทำการโจมตีเซิร์ฟเวอร์ในเวลาเดียวกัน
รูปที่ 1 แสดงเทคนิคการโจมตีแบบการปฏิเสธการให้บริการแบบปกติ

การปฏิเสธการให้บริการแบบกระจาย (Distributed Denial of Service - DDoS) มีลักษณะการทำงานเหมือนการปฏิเสธการให้บริการแบบปกติ แต่มีข้อแตกต่างกันที่จำนวนเครื่องคอมพิวเตอร์ต้นทางที่ใช้โจมตีนั้นมีมากกว่า 1 เครื่องและทำการโจมตีในเวลาพร้อมๆกัน ดังรูปที่ 2 โดยทั่วไปแล้วอาชญากรจะแอบลักลอบติดตั้งโปรแกรมประเภทบ็อตเน็ต (Botnet) ไว้ในเครื่องคอมพิวเตอร์ของเหยื่อจำนวนมาก และเครื่องเหล่านี้จะรอรับคำสั่งจากอาชญากรเพื่อโจมตีระบบเครือข่ายของเป้าหมายต่อไป (หลายละเอียดของบ็อตเน็ต จะอธิบายด้านล่างต่อไป)
รูปที่ 2 แสดงการโจมตีการปฏิเสธการให้บริการแบบกระจาย

มัลแวร์ (Malware) มาจากคำว่า Malicious Software แปลตามตัวได้ว่า "ซอฟต์แวร์ประสงค์ร้าย" กล่าวคือ เป็นซอฟต์แวร์ใดๆก็ตามที่พยายามเชื่อมต่อเข้ากับระบบคอมพิวเตอร์โดยมีวัตถุประสงค์ที่จะเข้าไปใช้สิทธิ์โดยปราศจากการขออนุญาต และทำให้เกิดผลเสียหายตามมา เช่นทำลายข้อมูล ขโมยข้อมูล หรือใช้ระบบคอมพิวเตอร์ที่ถูกคุกคามนี้ทำงานตามความต้องการ เป็นต้น มัลแวร์ถูกแบ่งได้หลายประเภทขึ้นอยู่ลักษณะการทำงานและอันตรายที่เกิดขึ้น ซึ่งมีตัวอย่างดังต่อไปนี้
  • ไวรัสคอมพิวเตอร์ (Computer Virus) คือโปรแกรมคอมพิวเตอร์ประเภทหนึ่งที่ถูกออกแบบมาให้สามารถแพร่กระจายตัวเองจากไฟล์หนึ่งไปยังไฟล์อื่นๆ ภายในเครื่องคอมพิวเตอร์ ซึ่งโดยปกติแล้วไวรัสคอมพิวเตอร์ไม่สามารถแพร่กระจายจากเครื่องคอมพิวเตอร์หนึ่งไปยังอีกเครื่องหนึ่งได้ด้วยตัวเอง จำเป็นต้องอาศัย "ไฟล์พาหะ หรือ host file" เป็นไฟล์ที่ถูกไวรัสคอมพิวเตอร์ฝังตัวอยู่ ซึ่งไฟล์พาหะนี้จะถูกส่งต่อไปเรื่อยๆ ผ่านทางสื่อต่างๆ ยกตัวอย่างเช่น อีเมล์ การแชร์ไฟล์ ผ่านเครือข่ายอินเทอร์เน็ต รวมทั้งสื่อบันทึกต่างๆ ได้แก่ ดิสก์เก็ต (Disket) หรือไดร์ฟยูเอสบี (USB drive) ได้ เป็นต้น
รูปที่ 3 แสดงภาพการ์ตูนของไวรัสคอมพิวเตอร์
(ออกแบบโดย นายณัฐพงษ์ แสงเลิศศิลปชัย)
  • หนอนอินเทอร์เน็ต (Internet Worm) เป็นสิ่งมีชีวิตในโลกไซเบอร์ที่สร้างผลกระทบรุนแรงต่อระบบเครือข่ายอินเทอร์เน็ตในปัจจุบันเป็นอย่างมาก หนอนอินเทอร์เน็ตเป็นโปรแกรมเล็กๆที่มีความสามารถที่จะแพร่กระจายในะระบบเครือข่ายได้ด้วยตัวมันเอง กล่าวคือไม่จำเป็นต้องอาศัยไฟล์พาหะในการแพร่กระจายเหมือนไวรัสคอมพิวเตอร์ ซึ่งมีลักษณะคล้ายๆกับหนอนผลไม้ทางชีวภาพที่สามารถเคลื่อนที่จากผลไม้ลูกหนึ่งไปยังผลไม้อีกลูกหนึ่งได้โดยที่ไม่ต้องอาศัยพาหะพาไป หนอนอินเทอร์เน็ตอาจจะส่่งตัวเองผ่านทางอีเมล์ แพร่กระจายผ่านทางช่องโหว่ของระบบปฏิบัติการ หรือช่องทางอื่นๆผ่านระบบเครือข่ายอินเทอร์เน็ต เป็นต้น ดังนั้นหนอนอินเทอร์เน็ตจึงมีอัตราการแพร่กระจายสูงและสร้างความเสียหายรุนแรงกว่าไวรัสคอมพิวเตอร์อย่างมาก
รูปที่ 4 แสดงภาพการ์ตูนของหนอนอินเทอร์เน็ต
(ออกแบบโดย นายณัฐพงษ์ แสงเลิศศิลปชัย)
  • ม้าโทรจัน (Trojan horse) ชื่อที่คุ้นหูจากมหากาพย์เมืองทรอยในอดีตของโฮมเมอร์ ถูกนำมาใช้เป็นชื่อของโปรแกรมคอมพิวเตอร์ที่ไม่ได้ถูกออกแบบมาเพื่อสร้างความเสียหายต่อระบบเครือข่ายคอมพิวเตอร์โดยตรงเฉกเช่นเดียวกับไวรัสคอมพิวเตอร์และหนอนอินเทอร์เน็ต แต่ม้าโทรจันถูกออกแบบมาให้แฝงตัวเองเข้าไปในระบบเครือข่ายคอมพิวเตอร์ต่างๆ และมีเจตนาทำสิ่งที่เหยื่อคาดไม่ถึง ดังต่อไปนี้ เช่น
    • ทำลายข้อมูลสำคัญที่ถูกเก็บอยู่ในเครื่องคอมพิวเตอร์ของเหยื่อ
    • เปิดประตูลับหรือ Back door เพ่ือให้แฮกเกอร์สามารถกลับเข้ามาในระบบได้อีก
    • ดักจับหรือขโมยข้อมูลส่วนบุคคลของเหยื่อ เช่นรหัสผ่านเข้าสู่ระบบต่างๆ เลขที่บัตรเครดิต หรือแม้กระทั่งปุ่มแป้นพิมพ์ที่เหยื่อกด เป็นต้น จากนั้นจะส่งข้อมูลความลับเหล่านี้กลับไปยังผู้ประสงค์ร้าย เพื่อที่คนร้ายจะนำไปใช้ประโยชน์ได้ต่อไป
    • ทำการเชื่อมต่อเครื่องคอมพิวเตอร์ของเหยื่อสู่อินเทอร์เน็ต เพื่อให้แฮกเกอร์หรือมัลแวร์อื่นๆ สามารถเชื่อมต่อและทำอันตรายเครื่องคอมพิวเตอร์นี้ได้ รวมทั้งอาจถูกใช้เป็นเครื่องมือในการบุกรุกระบบอื่นต่อไปอีกด้วย
    ม้าโทรจันแตกต่างจากไวรัสคอมพิวเตอร์และหนอนอินเทอร์เน็ตที่ม้าโทรจันนั้นไม่สามารถทำสำเนาตัวเองและแพร่กระจายตัวเองได้ แต่ม้าโทรจันส่วนใหญ่จะแอบแฝงมากับซอฟต์แวร์หลากหลายรูปแบบเช่น เกมส์ การ์ดอวยพร หรือซอฟต์แวร์ผิดลิขสิทธิ์ต่างๆ เป็นต้น โดยซอฟต์แวร์เหล่านี้จะมีลักษณะเชิญชวนหรือหลอกล่อให้เหยื่อหลงเชื่อและดาวน์โหลดมาติดตั้งในเครื่องคอมพิวเตอร์ของเหยื่อโดยไม่ทันระวังตัว
รูปที่ 5 แสดงภาพการ์ตูนของม้าโทรจัน
(ออกแบบโดย นายณัฐพงษ์ แสงเลิศศิลปชัย)
  • ระเบิดเวลา (Logic bomb) เป็นโปรแกรมหรือส่วนของโปรแกรมที่ถูกสร้างขึ้นในซอฟต์แวร์ใดๆก็ตามโดยมีเป้าหมายในการทำลายข้อมูลตามเงื่อนไขที่ผู้เขียนโปรแกรมระเบิดเวลาตั้งขึ้น เช่นวันที่ การกดปุ่มบนแป้นพิมพ์ หรือเงื่อนไขตามพฤติกรรมการใช้งานคอมพิวเตอร์ของเหยื่อ เป็นต้น ซึ่งลักษณะการทำงานดังกล่าวคล้ายกับการทำงานของระเบิดเวลานั่นเอง
  • บ็อตเน็ต (Botnet) ย่อมาจาก Robot Network โดย บ็อต (Bot) เป็นโปรแกรมขนาดเล็กที่ถูกติดตั้งไว้แล้วรอรับคำสั่งของผู้ติดตั้งบ็อต คล้ายกับการสั่งการหุ่นยนต์ให้ทำงานตามคำสั่งนั่นเอง ปกติบ็อตนั้นเป็นโปรแกรมที่ถูกสร้างมาช่วยให้ผู้ติดตั้งนั้นสามารถทำงานบางอย่างโดยอัตโนมัติได้ แต่อาชญากรจึงได้นำลักษณะเด่นนี้มาสร้างบ็อตที่มุ่งประสงค์ร้ายต่อเป้าหมาย ซึ่งเมื่อโปรแกรมบ็อตเหล่านี้ถูกแอบติดตั้งในเครื่องคอมพิวเตอร์ เครื่องเหล่านี้จะกลายเป็น"เครื่องคอมพิวเตอร์ผีดิบ (Zombie machine)" ที่สามารถถูกสั่งให้ทำงานตามคำสั่งของ "ผู้ควบคุมบ็อต (Bot master หรือ Command and Control - C&C)" และเมื่อเครื่องคอมพิวเตอร์ผีดิบเหล่านี้เชื่อมต่อกันผ่านเครือข่ายอินเทอร์เน็ต ก็จะกลายเป็นเครือข่ายของบ็อตจำนวนมหาศาล และนี่จึงเป็นที่มาของคำว่า "บ็อตเน็ต" บ็อตเน็ตสามารถสร้างความเสียหายอย่างรุนแรงต่อระบบเครือข่ายโดยเฉพาะอย่างยิ่งการที่ผู้ควบคุมบ็อตเน็ตสั่งให้เครื่องคอมพิวเตอร์ผีดิบที่อยู่ภายใต้การควบคุมของตนเองจำนวนมหาศาลส่งข้อมูลโดยพร้อมเพรียงกันไปยังเซิร์ฟเวอร์เป้าหมาย ทำให้เซิร์ฟเวอร์เป้าหมายไม่สามารถรองรับข้อมูลปริมาณมหาศาลได้ในเวลาเดียวกันจนส่งผลให้เซิร์ฟเวอร์ต้องหยุดให้บริการ และเทคนิคการโจมตีแบบนี้คือการปฏิเสธการให้บริการแบบกระจาย หรือ Distributed Denial of Service - DDoS 

Wednesday, April 04, 2012

รู้ทันเทคนิคการขโมยข้อมูล

ข้อมูลจัดได้ว่าเป็นทรัพย์สินที่มีค่าอย่างมาก จึงไม่น่าแปลกใจที่อาชญากรอิเล็กทรอนิกส์ทั้งหลายจึงมีความต้องการสิ่งที่มีค่าเหล่านี้ อาจจะเพื่อนำไปใช้แอบอ้างเป็นตัวเหยื่อแล้วก็ขโมยทรัพย์สินมีค่าอื่นๆต่อไป หรือแม้กระทั่งการนำข้อมูลส่วนตัวของเหยื่อไปขายต่อในตลาดมืดก็เป็นได้ ดังนั้นอาชญากรอิเล็กทรอนิกส์จึงได้คิดค้นวิธีการขโมยข้อมูลแบบต่างๆ ดังตัวอย่างต่อไปนี้

การดักฟังข้อมูล (sniffing หรือ eavesdropping) วิธีการที่ง่ายที่สุดในการขโมยข้อมูลคือการแอบดักฟังการสนทนา อาจจะเป็นการแอบดักฟังเสียงคนคุยกันหรือทางโทรศัพท์ รวมไปถึงการดักฟังข้อมูลที่ถูกส่งอยู่ในระบบเครือข่าย แต่แท้จริงแล้วการดักฟังนี้เป็นเหมือนดาบสองคม กล่าวคือถ้าหากเจ้าหน้าที่ดูแลระบบเครือข่ายใช้ก็อาจจะมีวัตถุประสงค์เพื่อตรวจสอบหาความผิดปกติที่เกิดขึ้นภายระบบเครือข่ายของตัวเองได้ แต่หากเป็นอาชญากรแล้วก็อาจจะใช้เทคนิคนี้ในการล้วงดูข้อมูลที่เหยื่อส่งในระบบเครือข่ายก็ได้ ซึ่งทำให้เหยื่ออาจจะสูญเสียรหัสผ่าน ข้อมูลส่วนบุคคลต่างๆ หรือแม้กระทั่งทราบว่าเหยื่อกำลังทำอะไรอยู่ในระบบเครือข่ายได้

รูปที่ 1 แสดงเครื่องมือที่ใช้ในการดักฟังข้อมูลทางระบบเครือข่าย 
แบบทั้งที่เป็นซอฟต์แวร์และฮาร์ดแวร์


การปลอมตัวเพื่อขโมยข้อมูล (social engineering) วิธีการปลอมตัวแบบ Social Engineering นี้เป็นเทคนิคค่อนข้างสูง ซึ่งอาชญากรจะต้องปลอมตัวเป็นบุคคลากรขององค์กรที่จะต้องทำให้คนอื่นๆในองค์กรไม่สงสัย และไม่ทันระวังตัว เช่น อาจจะปลอมตัวเป็นพนักงานขององค์กรนั้น พนักงานทำความสะอาด หรือแม้กระทั่งพนักงานซ่อมคอมพิวเตอร์ เป็นต้น เพื่อที่สามารถเข้าถึงข้อมูลต่างๆภายในองค์กรนั้นๆได้อย่างง่ายดาย เช่นในบางกรณีของการปลอมเป็นช่างซ่อมคอมพิวเตอร์แล้วขอรหัสผ่านของเซิร์ฟเวอร์โดยหลอกว่าจะใช้นำไปเพื่อเปิดเครื่องเพื่อซ่อมแซมเซิร์ฟเวอร์ต่อไป หรือการปลอมตัวเป็นพนักงานทำความสะอาดที่ซึ่งสามารถเดินเข้าออกภายในห้องสำนักงานต่างๆได้ เป็นต้น มีภาพยนตร์เรื่อง "Catch me if you can" ที่อธิบายถึงการปลอมตัวแบบ Social Engineering ได้อย่างดี ซึ่งตัวเอกของเรื่องปลอมตัวเป็นบุคคลสายอาชีพต่างๆ เช่นนักบิน แพทย์ และพนักงานธนาคาร เป็นต้น ดังรูปที่ 2

รูปที่ 2 ภาพจากภาพยนตร์เรื่อง "Catch me if you can" ในฉากที่ตัวเอกปลอมตัวเป็นนักบิน
ภาพประกอบจาก http://www.virginmedia.com/ 

ฟิชชิง (phishing) เป็นเทคนิคการหลอกลวงโดยอาชญากรจะสร้างหน้าเว็บปลอมของธนาคาร สถาบันการเงิน หรือร้านค้าออนไลน์ขึ้นมา โดยหน้าเว็บดังกล่าวมีความคล้ายคลึงกับเว็บต้นฉบับอย่างมาก จนบางครั้งถ้าไม่สังเกตให้ดีก็จะไม่เห็นความแตกต่าง หลังจากนั้นเหล่าอาชญากรจะส่งอีเมล์สแปมให้เหยื่อบอกว่าบัญชีของเหยื่อมี ปัญหา ให้เหยื่อเข้าไปยังเว็บไซต์ปลอมเพื่ออัพเดตข้อมูลบัญชีธนาคารของเหยื่อ หากเหยื่อหลงเชื่อและกรอกข้อมูลส่วนตัวของเหยื่อลงในเว็บไซต์ปลอมจะทำให้ เหยื่อสูญเสียข้อมูลการเข้าถึงเว็บไซต์ที่แท้จริงของธนาคาร และบางครั้งอาจจะถูกสวมรอยทำธุรกรรมด้านการเงินของเหยื่อได้

รูปที่ 3 ตัวอย่างของเว็บฟิชชิงที่เลียนแบบเว็บไซต์ของธนาคารแห่งหนึ่งในประเทศบราซิล

วิชชิง (Vishing) เป็นศัพท์ทางเทคนิคที่ไม่ค่อยได้รับความนิยมมากนัก แต่คนส่วนใหญ่มักรู้จักอาชญากรรมรูปแบบนี้ว่าเป็น "แก๊งค์คอลล์เซ็นเตอร์"  คำว่า "วิชชิง (Vishing)" เป็นคำผสมระหว่าง Voice และ Phishing ซึ่งเมื่อรวมกันแล้วจึงมีความหมายเป็นการขโมยข้อมูลโดยใช้เทคนิคของการปลอมตัวแบบ Social Engineering ที่อาศัยการสื่อสารด้วยเสียงในการหลอกลวง ซึ่งคนร้ายจะปลอมตัวแล้วติดต่อเหยื่อทางโทรศัพท์เพื่อหลอกลวงถามข้อมูลส่วนตัวของเหยื่อหรือหลอกล่อให้เหยื่อดำเนินการตามความต้องการของอาชญากรได้ โดยเทคนิคที่ใช้หลอกลวงนั้นได้แก่ แจ้งว่าเหยื่อเป็นหนี้บัตรเครดิต แจ้งว่าเหยื่อได้รับรางวัล หรือแจ้งว่าเหยื่อกำลังหลบหนีคดีอยู่ เป็นต้น

การคุ้ยขยะ (Dumpster diving) โดยปกติแล้วคนส่วนใหญ่จะไม่สนใจว่ามีใครมาทิ้งอะไรบ้างในถังขยะ แต่ทราบหรือไม่ว่าคนส่วนใหญ่มักจะทิ้งกระดาษข้อมูลส่วนตัวไม่ว่าจะเป็นใบแจ้งหนี้บัตรเครดิต ใบแจ้งค่าบริการต่างๆ หรือแม้กระทั่งเอกสารสำคัญต่างๆ โดยที่ไม่ได้ทำลายเอกสารดังกล่าวก่อน ซึ่งเอกสารสำคัญต่างๆนั้นจะมีข้อมูลส่วนบุคคลของเรามากมาย ยกตัวอย่างเช่น ใบแจ้งยอดการใช้บัตรเครดิต ก็มีทั้งเลขที่บัตรเครดิต ชื่อ-นามสกุล วงเงิน ฯลฯ ซึ่งข้อมูลเหล่านี้เป็นข้อมูลที่จำเป็นที่จะใช้ยืนยันตัวเจ้าของบัตรกับทางธนาคารทั้งสิ้น ดังนั้นอาชญากรอาจจะได้ข้อมูลส่วนตัวของเหยื่อได้จากการคุ้ยถังขยะหน้าบ้านหรือสถานที่ที่เหยื่ออาศัยอยู่ก็ได้



Tuesday, April 03, 2012

การปลอมแปลงระบบหรือข้อมูลและการสวมรอยเป็นบุคคลอื่น

การปลอมแปลงระบบหรือข้อมูลนั้นเป็นกระบวนการหนึ่งที่เหล่าอาชญากรอิเล็กทรอนิกส์ใช้ในการอำพรางตัวเอง จากระบบตรวจจับผู้บุกรุกหรือแม้กระทั่งเจ้าหน้าที่ที่กำลังแกะรอยเหล่าวายร้ายเหล่านี้ ซึ่งการปลอมนั้นก็มีหลากหลายประเภทขึ้นอยู่กับวัตถุประสงค์ในการล่อลวงดังนี้

การปลอมอีเมล์ (Email spoofing) เป็นการสร้างอีเมล์โดยแอบอ้างว่าส่งจากบุคคลใดบุคคลหนึ่ง อาจจะหลอกว่าส่งจากบุคคลที่มีชื่อเสียง หรือหลอกว่าถูกส่งมาจากคนที่เหยื่อรู้จัก เพื่อหลอกให้เหยื่อหลงเชื่อและทำตามรายละเอียดที่กำหนดไว้ในอีเมล์ต่อไปได้ ซึ่งการปลอมอีเมล์นี้อาจจะมีวัตถุประสงค์เพื่อหลอกให้เหยื่อเสียทรัพย์ เพื่อส่งอีเมล์สแปม หรือเพื่อใช้เพื่อหลอกถามข้อมูลส่วนบุคคลของเหยื่อได้ วิธีการปลอมอีเมล์นั้นทำได้หลายวิธี แต่วิธีที่ง่ายและได้รับความนิยมมากที่สุดคือการเชื่อมต่อด้วยคำสั่ง telnet ไปยังพอร์ตหมายเลขที่ 25 หรือบริการสำหรับส่งเมล์ - SMTP (Simple Mail Transfer Protocol) ซึ่งถ้าหากระบบผู้ให้บริการส่งอีเมล์เปิดระบบการส่งอีเมล์แบบรีเลย์ (Relay) ก็จะทำให้นักเจาะระบบสามารถใช้วิธีการปลอมอีเมล์นี้ส่งอีเมล์ปลอมไปหาใครก็ได้ จากรูปที่ 1 อาชญากรอิเล็กทรอนิกส์นั้นอาศัยเซิร์ฟเวอร์ sample.com ส่งอีเมล์ปลอมต่อไปยัง victim@yahoo.com ที่เป็นอีเมล์ต่างโดเมนกัน ซึ่งเมล์เซิร์ฟเวอร์โดยทั่วไปนั้นไม่ควรอนุญาตให้ส่งต่อไปยังโดเมนภายนอกได้

รูปที่ 1 แสดงลักษณะการทำรีเลย์ของเมล์เซิร์ฟเวอร์

การปลอมแมคและไอพี (Mac and IP address spoofing) แมคแอดเดรส เป็นหมายเลขประจำตัวของการ์ดแลนแต่ละใบ มีลักษณะเป็นชุดข้อมูล 6 ชุด แต่ละชุด มีค่าตั้งแต่ 00 - FF ซึ่งข้อมูล 3 ชุดด้านหน้าใช้ระบุบริษัทที่ผลิตการ์ดแลนนั้นๆ ส่วนไอพีแอดเดรสนั้นเป็นหมายเลขประจำเครื่องคอมพิวเตอร์สำหรับเชื่อมต่ออินเทอร์เน็ต ซึ่งมีลักษณะ เป็นเลข 4 ชุด แต่ละชุดมีค่าตั้งแต่ 0-255 และมีจุดคั้นระหว่างตัวเลขแต่ละชุด ดังนั้นการปลอมแมคและไอพีนั้นเองก็เป็นอีกวิธีที่อาชญากรอิเล็กทรอนิกส์นิยมใช้เพื่อปิดบังอำพรางตัวเองมิให้เจ้าหน้าที่สามารถแกะรอยและตามจับได้สำเร็จ และยังอาจมีจุดประสงค์เพื่อจะลักลอบเข้าไปใช้งานระบบอื่นๆโดยเสมือนกับเป็นบุคคลภายในระบบเครือข่ายเดียวกัน นอกจากนี้การปลอมแมคและไอพียังสามารถนำมาใช้เพื่อหลอกล่อให้เหยื่อหลงเชื่อว่านี่เป็นเครื่องคอมพิวเตอร์ที่ต้องการเชื่อมต่อจริงๆ และส่งข้อมูลส่วนตัวของเหยื่อมาให้ก็เป็นได้ ซึ่งจากรูปที่ 2 เป็นตัวอย่างผลการปลอมหมายเลขแมคแอดเดรส ให้เป็นค่า AA-AA-AA-AA-AA-AA

รูปที่ 2 แสดงผลการปลอมแมคแอดเดรส

การสวมรอยเป็นบุคคลอื่น (Impersonation) ในโลกของอินเทอร์เน็ตเราสามารถเป็นอะไรก็ได้ที่เราอยากเป็น ซึ่งอาจจะเหมือนหรือแตกต่างจากโลกความเป็นจริง หรือแม้กระทั่งอยู่ในจินตนาการก็ตาม ดังนั้นจึงไม่น่าแปลกใจว่าบ่อยครั้งจะเห็นในข่าวว่ามีการใช้ชื่อปลอมเป็นบุคคลที่มีชื่อเสียง อาจจะด้วยต้องการเลียนแบบบุคคลที่ชื่นชอบ หรือเพื่อจงใจอาศัยชื่อเสียงของบุคคลเหล่านี้ล่อลวงผู้อื่น เช่นมีคนสร้างบัญชีในเครือข่ายสังคมออนไลน์ (Social media) โดยใช้ชื่อของดารานักร้องที่มีชื่อเสียง จากนั้นก็หลอกลวงให้เหยื่อบริจาคเงินให้ตัวเอง นอกนี้การสวมรอยเป็นบุคคลอื่นอาจจะทำเพื่อทำลายชื่อเสียงของบุคคลนั้น หรือทำเพื่อใช้ในการแอบขโมยทรัพย์สิน โดยเฉพาะอย่างยิ่งข้อมูลต่างๆ เป็นต้น การหลอกลวงนี้จะคล้ายๆกับการทำ Social engineering ซึ่งขอกล่าวในบทถัดไป

Monday, April 02, 2012

การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized Access)

การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized Access) หมายถึง การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์ โดยปราศจากสิทธิ์หรือการขออนุญาต ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์ หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฎระเบียบของกิจการหรือการกระทำที่ผิดกฎหมาย


ภาพประกอบจาก http://www.thenewnewinternet.com/


การเจาะระบบ (hacking) เป็นการเข้าถึงระบบคอมพิวเตอร์หรือเครือข่ายอื่นๆ โดยใช้วิธีการต่างๆ เพื่อให้ได้มาซึ่งสิทธิ์ของผู้ดูแลระบบ หรือเพื่อก่อกวนให้ระบบนั้นทำงานผิดพลาด และใช้งานไม่ได้อีกด้วย การเจาะระบบนี้มีด้วยกันหลากหลายวิธีและไม่ได้เจาะจงวิธีการใดวิธีการหนึ่ง แต่ดูเพียงผลสุดท้ายของการกระทำที่จงใจให้ได้มาซึ่งสิทธิ์ของผู้ดูแลระบบ

การเดารหัสผ่านแบบถึก (Brute force) เป็นการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ที่มีการป้องกันด้วยรหัสผ่าน แต่เนื่องจากผู้กระทำผิดนี้ไม่ทราบรหัสผ่านของเหยื่อ จึงทำการเดารหัสผ่าน ซึ่งวิธีการเดารหัสผ่านแบบถึกนี้ เป็นวิธีการเดารหัสผ่านที่ไม่ต้องใช้เทคนิคพิเศษ เพียงแค่เรียงลำดับตัวอักษรตามความเป็นไปได้ทั้งหมดเท่านั้นเอง กล่าวคือ จากรูปที่ 1 ผู้กระทำผิดอาจจะเดาจาก aaa, aab, aac, .... ไล่ไปเรื่อยๆ จนพบรหัสผ่านที่สามารถจะเข้าไปยังบัญชีของเหยื่อได้ ดังนั้นการเดารหัสผ่านด้วยวิธีนี้จำเป็นจะต้องใช้การประมวณผลของหน่วยประมวณผลกลาง (ซีพียู หรือ CPU) อย่างมาก ดังนั้นถ้าหากเครื่องคอมพิวเตอร์ที่ใช้ในการเดารหัสผ่านแบบถึกนี้มีหน่วยประมวณผลกลางที่มีความเร็วสูง ก็จะสามารถค้นหารหัสผ่านพบได้เร็วขึ้นด้วย

 
รูปที่ 1 แสดงกระบวนการเดารหัสผ่านแบบถึก

การเดารหัสผ่านด้วยพจนานุกรม (Dictionary Attack) เนื่องจากการเดารหัสผ่านแบบถึกนั้นจำเป็นจะต้องใช้เครื่องคอมพิวเตอร์ที่มีประสิทธิภาพสูง อย่างไรก็ตามก็ยังต้องใช้เวลานานมากกว่าจะค้นพบรหัสผ่าน ถ้าหากรหัสผ่านมีจำนวนตัวอักษรมาก อาจจะต้องใช้เวลาค้นหาเป็นปี แต่โดยทั่วไปแล้วคนทั่วไปจะตั้งรหัสผ่านโดยใช้คำที่มีความหมายเนื่องจากคำเหล่านี้ง่ายต่อการจดจำ ดังนั้นผู้กระทำผิดจึงมีคลังคำศัพท์ที่เหยื่อส่วนใหญ่อาจจะใช้ในการตั้งรหัสผ่าน หรืออาจจะนำคำที่ปรากฏอยู่ในพจนานุกรม เพื่อมาใช้ในการเดารหัสผ่านของเหยื่อได้ จากรูปที่ 2 แสดงลักษณะการเดารหัสผ่านโดยนำคำมาจากคลังคำศัพท์มาใช้


รูปที่ 2 แสดงลักษณะการเดารหัสผ่านด้วยคำที่อยู่ในคลังคำศัพท์

การชนกันของแฮช (Hash collision) เนื่องด้วยระบบการจัดเก็บรหัสผ่านของระบบคอมพิวเตอร์ส่วนใหญ่จะไม่ได้เก็บข้อมูลรหัสผ่านตรงๆ แต่จะผ่านกระบวนการในการเข้ารหัสด้วยวิธีการแฮช (Hash) ซึ่งจะทำให้รหัสผ่านที่ถูกจัดเก็บนั้นไม่สามารถถูกอ่านได้ อีกทั้งการแฮชนั้นเป็นการเข้ารหัสแบบทางเดียว กล่าวคือสามารถแปลงข้อมูลจากข้อมูลธรรมดาเป็นข้อมูลเข้ารหัสได้เท่านั้น แต่ไม่สามารถแปลงกลับจากข้อมูลที่เข้ารหัสให้เป็นข้อมูลธรรมดาได้ และในกระบวนการพิสูจน์ตัวตน (Authentication) ผู้ใช้งานจะป้อนรหัสผ่านที่เป็นข้อมูลธรรมดา แล้วระบบจะแปลงให้เป็นค่าแฮชและนำไปเปรียบเทียบกับค่าแฮชของรหัสผ่านที่ถูกเก็บไว้อยู่ในระบบ ถ้าค่าแฮชทั้งสองตรงกันก็จะอนุญาตให้ผู้ใช้งานสามารถเข้าใช้งานได้ แต่อย่างไรก็ตามการทำแฮชนั้นยังมีจุดอ่อนที่มีความเป็นไปได้ที่ข้อมูลธรรมดา 2 ชุดข้อมูลจะแปลงได้ค่าแฮชที่ตรงกัน ค่าแฮชที่ตรงกันนี้เรียกว่าเกิดการชนกันของแฮช (Hash collision) นั่นเอง

รูปที่ 3 แสดงลักษณะการชนกันของแฮช

ตารางสายรุ้ง (Rainbow table) เนื่องจากระบบการจัดเก็บรหัสผ่านนั้นเก็บด้วยค่าแฮช และยังอาจเกิดการชนกันของแฮช ดังนั้นจึงมีนักเจาะระบบคิดค้นวิธีการเจาะระบบด้วยการนำจุดอ่อนของการชนกันของแฮชมาใช้ในการสร้างตารางสายรุ้ง ที่จะเก็บค่าของแฮชและค่าของข้อมูลธรรมดาที่ถูกใช้เป็นรหัสผ่าน ซึ่งนักเจาะระบบจะขโมยค่าแฮชของรหัสผ่านที่ถูกจัดเก็บไว้ในระบบออกมา แล้วนำค่าแฮชมาเปรียบเทียบถ้าหากมีค่าแฮชใดในตารางสายรุ้งตรงกับค่าแฮชของรหัสผ่าน นักเจาะระบบก็จะนำค่ารหัสผ่านไปใช้ในการเข้าสู่ระบบของเหยื่อได้เลย การเจาะระบบด้วยวิธีนี้จะอาศัยจุดอ่อนของการชนกันของแฮช ดังรูปที่ 4 จะเห็นว่าถ้าหากมีค่าแฮชของรหัสผ่านที่ถูกเก็บในระบบมีค่าเป็น "bf787577ff656cde5b5d1f8236a75d2a" นักเจาะระบบก็จะเดารหัสผ่านของเหยื่อเป็นคำว่า "rootkit" ก็จะสามารถเข้าสู่ระบบได้โดยที่ไม่ต้องสนใจว่าที่จริงแล้วเหยื่อได้ตั้งรหัสผ่านไว้ว่าอย่างไร เป็นต้น

รูปที่ 4 แสดงรูปแบบของตารางสายรุ้ง

การสแกนพอร์ต (Port scanning) เป็นเทคนิคที่ใช้ในการค้นหาบริการของระบบที่เปิดให้บริการอยู่ เพื่อที่จะนำข้อมูลเหล่านี้ไปใช้ค้นหาจุดอ่อนของระบบต่อไป การสแกนพอร์ตส่วนใหญ่นั้นจะอาศัยลักษณะการติดต่อของโพรโตคอลทีซีพีไอพี (TCP/IP) ซึ่งโดยปกติแล้วระบบที่เชื่อมต่อสู่ระบบเครือข่ายนั้นจะต้องมีพอร์ตไว้รองรับการเชื่อมต่อ เปรียบเสมือนประตูและหน้าต่างของระบบนั่นเอง ซึ่งนักเจาะระบบส่วนใหญ่ต้องการข้อมูลเหล่านี้เพื่อนำไปใช้ในการเจาะระบบต่อไป