Thursday, December 9

Personal Information is Not Secured enough In Cyberspace

ความเป็นส่วนตัวที่ไม่เพียงพอ

ความเป็นส่วนตัวที่ไม่เพียงพอ บนโลกอินเตอร์เน็ท

ลองคิดเล่นๆนะครับ ว่าหากมี คนหนึ่งที่อยู่ห่างไกล เฝ้ามองพฤติกรรมหลายๆอย่างของผู้คนผ่าน อินเตอร์เน็ท เขารู้ว่าคุณนิสัยอย่างไร ชอบอะไร มี password อะไร โดยที่เขาไม่รู้จักคุณเลย คุณคิดว่าอย่างไร คุณอาจคิดว่าเป็นไปไม่ได้ใช่ไหมครับ ผมจะแสดงถึงความเป็นไปไม่ได้ ให้คุณอ่านเผื่อว่า จะทำให้ทราบถึงว่าไม่มีความเป็นส่วนตัวในโลกอินเตอร์เน็ท

เครื่องมือมีอยู่ 2 ชิ้นครับ นั้นคือ

  1. การใช้ Program พวก Trojan Horse สามารถอ่านได้ที่ http://nontawattalk.blogspot.com/2004/10/trojan-optix-pro.html
  2. การใช้ search engin google

บทความนี้ผมของเน้นที่การใช้ search engine เพื่อค้นหา ความลับหรือเรื่องส่วนตัวผู้อื่น

ทางค้นหาแบบพื้นฐาน เช่นผมต้องการ หานางสาว A นามสกุล B ผมก็ค้นหาตรงๆ จาก google เลยว่า นางสาว A B นี้เป็นใครเคยทำอะไรไว้ หรือ ค้นหาจาก e-mail address เขาเพื่อว่าเขาเคยไป post กระทู้ไหนบ้างในโลกอินเตอร์เน็ท หากมีข้อมูลผมก็ทราบข้อมูลพื้นฐานของนางสาวผู้นี้ได้ เช่น อุปนิสัยในการใช้อินเตอร์เน็ท , รูปภาพ รวมถึงการแสดงความคิดเห็นในเว็ปสาธารณะ

แต่นับจากนี้ผมจะเสนอการค้นหาที่ลึกซึ้งขึ้นไปอีก โดยที่เสนอทั้งหมดนี้ขอให้ระมัดระวังในการใช้งานด้วยนะครับ เพราะว่าทำให้ทราบถึงข้อมูลเจ้าของข้อมูลคงไม่อยากเปิดเผย แต่ข้อมูลเหล่านั้นเปิดเผยได้จากการใช้ google

10 การค้นหาที่อันตรายต่อข้อมูลลับ

1. ดู Network Camera ผู้อื่น โดยค้นหาจาก google

ค้นหาคำว่า "powered by webcamXP" "Pro|Broadcast" พบว่าจะเห็นภาพผู้ใช้ webcamXP หากติดตั้งโปรแกรมนี้แล้วทิ้งไว้ ระวังมีคนแอบดูนะครับ

คนที่ติด webcam ไว้ที่บ้านหรือที่ทำงาน สามารถเข้าไปดูได้โดยใช้ google ค้นหา

2. ค้นหา password จาก google

ค้นหาคำว่า filetype:log inurl:"password.log" จะพบ password.log ที่เกิดขึ้นใน web server

3. ใช้การค้นหา ช่องโหว่ที่เกิดจาก FrontPage /_vti_pvt/services.pwd จะพบว่ามีหลาย web ในโลกที่ยังคงแสดงผลให้เห็นถึง password นั้น ดูภาพข้างล่างนี้

4. ค้นหาค่า error ที่เกิดจากการติดต่อส่งค่าของ database ข้อมูลพวก Shopping Cart ที่เป็นข้อมูลลับก็เปิดเผยออกมา

5. ใช้ google hack google เอง คงได้ยินว่า gmail เป็น mail ที่ google ให้บริการ mail box ให้เนื้อที่ 1G

แต่ผู้สมัครต้องได้รับเชิญจากผู้ที่มีสิทธิเสียก่อน

เราก็ใช้ google นี้แหละค้นหา เพื่อให้เราได้ใช้ gmail ฟรีๆ โดยที่ไม่ต้องรู้จักใครที่สมัคร gmail มาก่อน

ค้นหาคำว่า intext:gmail invite intext:http://gmail.google.com/gmail/a

6. ดู log IDS/Firewall จาก google

ค้นหา คำว่า "SnortSnarf alert page" จะพบ URL ที่ใช้โปรแกรม snortSnarf และเห็น log IDS ที่แจ้งเตือนมาในระบบเครือข่ายของ URL ที่เราค้นหาอยู่

ค้นหาคำว่า "Output produced by SysWatch *" เพื่อดู system watch ของเครื่อง web server

ค้นหาคำว่า “ ACID "by Roman Danyliw" filetype:php ” ดูหน้าจอ IDS Console จากโปรแกรม ACID

7. ค้นหารายงานเครื่องการตรวจสอบระบบเครือข่าย

ค้นหาคำว่า " Network Host Assessment Report" "Internet Scanner" จะทำให้เราเห็นผลการตรวจสอบของ Product Internet Scanner

ค้นหาคำว่า "This file was generated by Nessus" จะทำให้เราทราบผลการตรวจสอบของโปรแกรมที่ชื่อ Nussus ทำให้เราทราบช่องโหว่ของระบบเครือข่ายที่ Scan ด้วย ง่ายในการเจาะระบบขึ้น

8. ค้นหา speed ของ router เครื่องชาวบ้าน

ค้นคำว่า intitle:"SpeedStream Router Management Interface"

9. เข้าสู่ folder ที่ไม่เปิดเผย ของ Web server IIS โดยค้นหาคำว่า " Microsoft-IIS/* server at" intitle:index.of จะพบว่า

10. การ Dump Database .sql อันนี้อันตรายมากครับ เพราะข้อมูลที่เก็บใน Database ถือว่าเก็บข้อมูลทั้งลับและไม่ลับ อันที่ลับก็ทำให้เกิดปัญหาได้มากเหมือนกัน การ Dump Database ตัวนี้สามารถทำได้ดีกับคนที่ใช้โปรแกรม phpmyadmin ดูที่ภาพละกันครับ

เอาแค่นี้ก่อนนะครับ เดี๋ยวความลับจากสวรรค์จะหลุดไปสู่ ผู้ไม่หวังดีเสียก่อน

ก่อนจบทุกครั้งผมจะเสนอแนวทางป้องกันเสมอ

ครั้งนี้ ป้องกันลำบากหน่อยครับเพราะ google เป็น search engine ที่ได้รับความนิยมสูง

วิธีหนึ่งที่ทำได้คืออย่าพยายามลงแบบ default เพราะจะติดค่าเริ่มต้น ทำให้สะดวกในการค้นหาได้

และอีกทาง วันหนึ่งในอนาคต google อาจให้สมัครเป็นสมาชิกก่อน ถึงจะค้นหาข้อมูลได้ ก็เป็นได้

มาถึงตรงนี้ผมอาจจะชี้โพรงให้กระรอกแต่ก็ขอให้ผู้ที่อ่านบทความนี้ พึ่งรู้ไว้

ไม่ใช่ ใช้ความรู้ในทางที่ผิดนะครับ

*** บทความนี้มีจุดประสงค์ เขียนไว้เพื่อเป็นกรณีศึกษา การคัดลอกหรือทำไปเผยแพร่ ต้องได้รับการขออนุญาตจากบริษัท Global Technology Integrated

นนทวรรธนะ สาระมาน
Nontawattana Saraman

9/01/47

Saturday, October 23

การตรวจจับ Trojan Optix Pro

SRAN Web Application Network Security Monitoring การตรวจจับ Trojan Optix Pro 1.33

อุปกรณในการทดลอง

1. คอมพิวเตอร PC Windows 2000 Pro 1 เครื่อง

2. Lab Top Windows XP Pro 1 เครื่อง

3. SRAN Web Application Network Security Monitoring 1 Box


ภาพประกอบการทดลอง


1. PC Windows 2000 Pro IP 192.168.1.229 เปนเครื่องที่ติด Trojan Optix
2. Laptop Windows XP Pro IP 192.168.1.45 เปนเครื่องที่ควบคุมเครื่องที่ติด Trojan
3. SRAN Web Application Network Security Monitoring IP 192.168.1.209 เปนเครื่องตรวจขอมูลที่ผานเขาออกในระบบเครือขาย

ผลการทดลอง

สราง file optix builder

เพื่อกำหนด server port และคา config เพื่อใหเหยื่อดาวโหลด และเปด file ขึ้น



fileที่สรางชื่อ snare เปน file media player ซึ่งเปนการหลอกใหเหยื่อติดกับไดงาย

กำหนดคาใหผูที่ติด Trojan optix ไป connect ที่ server irc โดยในที่นี้ กำหนดการติดตอไปที่ irc.sran.net port 7000



กำหนดใหผูติด optix เขาหอง #sran


เมื่อเปดโปรแกรม TCPview ในเครื่องที่ติด optix จะพบวามีการสราง file ชื่อ msiexec16.exe และ file นี้เปด port 9669 และทำการ connect ไปที่ server irc.sran.net




พบวาเครื่องที่ติด Trojan Optix จะทำการ join เขา irc.sran.net หอง sran และใช nick ที่ทำการสุมขึ้นโดยในที่ใช nick ชื่อ nvhhujytjbc สวนผูที่สราง Trojan เขามาหอง sran พรอมพิมพกลางหองวา sran ซึ่งเปนคาใหบอทบอกสถานภาพเครื่องของตนเพื่อทำการ remote เขาไป โดยสวนแรกจะบอก IP address ในที่เปน IP 192.168.1.229 ชื่อ Computer เปน GLOBALTE-92BTBE userเครื่อง Administrator user ที่ใชในการ remote ชื่อ snare port 9669 password ในการ remote คือ yahoo หากเครื่องใดมี webcam ที่เปดก็สามารถมองเห็นผูใชงานไดทันที


เมื่อเปด โปรแกรม Ethereal ซึ่งเปน sniffer ในเครื่องผูติด Trojan optix จะพบวามีการสงขอมูลสำหรับเครื่อง client ที่มี โปรแกรม optix client ไวสำหรับ remote และในคา payload มี identify header optix pro v1.33 อยู



ในเครื่อง client สามารถพิมพ command ไดเหมือนนั่งอยูในเครื่องนั้นเอง โดยในที่เครื่อง remote พิมพ command netstat –a จากเครื่องที่ติด Trojan optix

สามารถรูถึงเครื่องที่ติด Trojan optix วาตอนนี้เปดโปรแกรมอะไรอยูบางในเครื่องจาก Optix pro client




สามารถดูคา Computer Information ของเครื่องที่ติด Trojan optix ได ผานหนาจอ optix pro client





สามารถ capture หนาจอเครื่องที่ติด Trojan Optix ได




ผลการดักจับ packet ที่เกิดขึ้นจากตัว SRAN Web Application Security Monitoring พบวามีการสงคาระหวางเครื่อง IP 192.168.1.229 ซึ่งติด Trojan Optix สงคาไปที่ server irc.sran.net โดยมีคา Payload เปน PING : 4B37FB57 ตลอดเวลา


นนทวรรธนะ สาระมาน
23/10/47