Monday, March 7

Hackers Lose

เมื่อ Hackers หลงทาง

Submitted by classicx. on Mar 7, 2005 10:38 pm.

สุภาษิตที่ว่าหลงทางเสียเวลา หลงติดยาเสียอนาคต คงเป็นคำกล่าวที่ถูกต้องที่สุดโดยเฉพาะเรื่องการหลงทาง เมื่อครั้งที่แล้วผมเคยยกตัวอย่างการใช้ google ในการค้นหา ข้อมูลที่ลับๆ โดยเฉพาะพวก password , กล้องวงจรติดที่เผยแพร่ทาง Network และอีกหลายๆ สามารถอ่านย้อนหลังได้ที่ บทความเรื่อง ความเป็นส่วนตัวที่ไม่เพียงพอ บนโลกอินเตอร์เน็ท Google search engine ที่ทุกคนที่เล่น Internet รู้จักกันดี สามารถทำให้เราค้นหาข้อมูลได้ว่องไว อีกทั้งยังนำข้อมูลลับๆมาเผยแพร่ได้ด้วย เราจะป้องกันอย่างไงดี บทความนี้คงไม่ได้บอกวิธีป้องกัน แต่จะบอกวิธีทำให้ Hackers เสียเวลา และ งง พูดง่ายๆ คือการแก้เผ็ด Hackers ที่ใช้ google hack นั้นเอง

เริ่มแรก เตรียมเครื่อง PC 1 เครื่อง ลงระบบปฏิบัติการ Linux

อันดับสอง ลง Web server ที่ชื่อ Apache

อันดับสาม ลงโปรแกรมที่ชื่อ GHH (Google Hack Honeypot) จาก web http://ghh.sourceforge.net/

หลักการ GHH น่าสนใจมาก คือการประยุกต์ใช้ระหว่าง เทคโนโลยี Honeypot สามารถอ่านได้ที่ http://www.honeynet.org นำมาใช้กับ web server เพื่อสร้าง web honeypot โดยเจาะจงหลอก Hackers ให้ติดกับในส่วนของ การค้นหาข้อมูล

Honeypot คือหลุดพรางที่วางไว้ เพื่อให้ผู้บุกรุกเสียเวลา และไม่สามารถเข้ามาถึงระบบจริงได้ อีกทั้งยังสามารถเรียนรู้พฤติกรรมการบุกรุกของผู้ไม่หวังดีได้อีกด้วย

Honeypot และ Honeynet ต่างกันตรงที่ Honeypot มองเพียงตัวเดียววางล่อเพียงเครื่องเดียว อาจเป็น web server , data base server หรือ PC ตัวใดตัวหนึ่ง ส่วน Honeynet มองเป็นระบบเครือข่าย โดยประกอบด้วย Honeywall ตัวเลือกเส้นทางเข้าสู่วง Honeypot หลายตัวๆ เป็นต้น ใน Honeypot หลายตัวอาจเป็น web server ซึ่งเราเรียกว่า Honeyweb และ GHH ก็เป็นเพียงส่วนหนึ่งของ Honeypot ในส่วนของ web server นั้นเอง

Honeypot เป็นส่วนหนึ่งของ Honeynet

Honeyweb เป็นส่วนหนึ่งของ Honeypot

GHH เป็นส่วนหนึ่งของ Honeyweb



นี้คือแผนการ การหลอก hackers ที่ใช้ google เป็นเครื่องในการ Hack

เมื่อเราทำการ GHH config เรียบร้อยแล้ว มาดูกันว่าหน้าตาเป็นอย่างไร โดยทีมงาน SRAN ได้ตั้ง GHH ไว้ที่ http://test.sran.org ไว้หลอก Hackers กัน : )

ไม่มีอะไรในก่อไผ่ แต่เราได้มีการดักการค้นหาเช่น

(filetype:php HAXPLORER "Server Files Browser")
("Enter ip" inurl:"php-ping.php")
(intitle:"PHP Shell *" "Enable stderr" filetype:php)
(inurl:"install/install.php")
("Powered by PHPFM" filetype:php -username)
(inurl:phpSysInfo/ "created by phpsysinfo")
("SquirrelMail version 1.4.4" inurl:src ext:php)

สมมุติว่าค้นหาใน google คำว่า inurl:phpSysInfo/ "created by phpsysinfo" Hackers ก็จะพบว่ามี web ที่ชื่อว่า http://test.sran.org/phpSysinfo/index.php อยู่จริง

ปกติการค้นหาวิธีนี้จะเป็นประโยชน์สำหรับ hackers เพื่อไว้ดูทรัพยากรเครื่อง Web server นั้นๆ

แล้วเราก็สามารถดูได้ว่าใครคือผู้ไม่หวังดีที่ใช้กลไกของ google เข้ามาใน web ของเราได้

โดยเข้าไปดูใน logs

นี้ล่ะครับจับได้ คาหนังคาเขาเลย

ยังดูยากมากนะครับสำหรับ GHH ในอนาคต ทีมงาน SRAN จะพยายามนำ content ที่ใช้ในการ ค้นหา google ที่มีผลกระทบกับความลับข้อมูลมาใส่ใน signature base ของ SRAN Security Center ด้วย เพราะเรารู้ว่าการป้องกันระบบเครือข่ายที่ดี คือการตรวจจับ และต้องรู้ทันเหตุการณ์

สุดท้าย ตั้งคำถามหน่อย เชื่อตามผมหรือไม่ว่า ในอนาคตอันใกล้ ในการ ค้นหาข้อมูลจะมีทั้ง web จริงและ web ปลอม เต็มไปหมดทั่วระบบเครือข่ายในโลก เช่นเดียวกัน ชีวิตก็มีทั้งของจริงและของปลอม ผ่านมาและผ่านไป ..

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Thanks Kiattisak Somwong (pom infosec.sran.org) สำหรับการ config GHH

7 มี.ค 48

No comments: