Dark Side of The Internet
แ ละเวลาผ่านไปผมได้นำบทเพลงชุดนี้มาเปิดอีกครั้ง และเขียนเรื่องราวที่ซับซ้อนในโลกอินเตอร์เน็ท ในชื่อบทความว่า Dark Side of The Internet พร้อมกับการบรรเลงบทเพลงที่ยิ่งใหญ่ของ Pink Floyd เพื่อระลึกถึงแนวความคิดที่ก้าวทันสมัย ลองมาอ่านกันว่า Dark Side of The Internet กับบทเพลงอย่างไรจะซับซ้อนกว่ากัน
ทุกวันนี้การใช้งานคอมพิวเตอร์ที่ต่อเชื่อมบนโลกอินเตอร์เน็ทมีจำนวน มาก ลองคิดกันเล่นๆ หากมีใครสักคนติดต่อโลกอินเตอร์เน็ทจากเครื่องพีซีเครื่องใหม่ที่พึ่งซื้อมา ลงระบบปฏิบัติการ windows XP Home โดยไร้ services pack , anti-virus , anti-spyware และระบบป้องกัน Persanol Firewall แล้วทำการท่องอินเตอร์เน็ทไม่นานนัก จะมีผู้มาเยือน โดยไม่ใช่มนุษย์ ไม่ว่าเป็น spyware , worm , adware และ spam จะทำการเข้าสู่เครื่องพีซีของท่านในเวลารวดเร็ว หากคุณเป็นนักออนไลท์ คุณคงไม่กังวล แต่หากเป็นผู้เล่นอินเตอร์เน็ทรายใหม่ ที่เกิดขึ้นใหม่ทุกๆวัน ก็จะตกเป็นเหยื่อเหล่านี้ แล้วทำการแตกลูกโซ่ทำการแพร่เชื้อกระจายไปทั่วโลก และ ณ เวลาที่ผมเขียนบทความนี้ขึ้น ก็จะมีจำนวนคนตกเป็นเหยื่อที่มองไม่เห็นนี้ตลอดเวลา คิดต่อไปอีกว่าไม่นานเวลาผ่านไป อีกสักสามถึงสี่ปีต่อมา โลกในอินเตอร์เน็ทจะเต็มไปด้วยภัยคุกคามอย่างที่เราคาดไม่ถึง
วันก่อนเมื่ออยู่หน้าคอมพิวเตอร์ พบสิ่งผิดปกติที่เกิดซ้ำๆกันไปมา โดยที่ไม่ทราบว่ามาจากไหน และเมื่อนั่งพิจารณาสักพักก็พบว่า นั้นมันคือการโจมตี ของใครบางคนที่อยู่ห่างจากเรา ..
พบความเสี่ยงสูงที่หน้าจอ SRAN Security Center
ผมได้สังเกตการแพร่ตัวของจำนวน robot ที่วิ่งเข้ามาเก็บข้อมูลใน website โดยเป็นเครื่องมือของผู้ผลิตเว็ป search engine , ผู้ทำการขายสินค้า , ผู้เก็บข้อมูล สถิติต่างๆ รวมถึงนักวิเคราะห์การตลาด เครื่องมือของโลกทุนนิยม robot จำนวนมากเกิดขึ้นจากการเขียน code ที่แตกต่าง เพื่อช่วยในการเก็บข้อมูล ผมเคยชี้ภัยที่เกิดจากการ ใช้ทรัพยากรในระบบเครือข่ายไปแล้วในบทความ spider bot
แต่ในบทความที่กล่าวมานั้นเป็นเพียงส่วนหนึ่งในความลึกลับและซับซ้อนบนโลกอิ นเตอร์เน็ท กับจำนวน spider bot หรือ web robot ที่เพิ่มจำนวนอย่างมากในยุคปัจจุบัน จากอดีตจนถึงปัจจุบัน robot พวกนี้ได้พัฒนาตัวขึ้นให้ปรับตัวเข้ากับความซับซ้อนและยากที่จะหาต้นตอของผู ้แพร่กระจายความหายนะได้
The Dark site Internet จึงขอเป็นบทความที่เปิดเผย กลุ่ม robot ที่สร้างขึ้นจากมนุษย์เพื่อทำการทำลายล้างและขโมยข้อมูลมากล่าวให้ฟัง
ในการโจมตีที่เกิดขึ้นโดยใช้ bot IRC
bot ที่ classic ที่สุด และเป็นเป้าหมายแห่งการโจมตีที่ยิ่งใหญ่ ในยุคปัจจุบัน
bot ที่ว่านั้นคือ bot ที่เกิดขึ้นบน IRC เมื่อก่อนสัก 6 - 7 ปีก่อน bot irc มีหน้าที่ไว้เป็นยามเฝ้าห้อง chat room เพื่อป้องกันการยึดห้อง และป้องกันมิให้ใครเข้ามากวนหรือป่วนห้องใน irc นั้นๆ ไม่ว่าเป็น TNT bot , IRC II และ eggdrop ส่วน eggdrop มีใช้การเขียน tcl/tk
สคิปของ bot ได้พัฒนาและแพร่หลายออกไป มีคนที่คิดสร้างสรรค์และคิดในเชิงลบ ทำให้ bot irc วันนี้เต็มไปด้วยอาวุธ และทำความเสียหายให้ระบบเครือข่าย และเป็นที่มาของการโจมตี :แนะนำข้อมูลสำหรับศึกษา bot IRC ที่เป็นภาษาไทยอ่านได้ที่ http://www.sornz.com/
การใช้ Bot IRC ในการบุกรุกข้อมูลมีดังนี้
ี้
1. Network warez
ขณะนี้มีจำนวนการใช้ IRC
พบว่าเป็นจำนวนที่มาก และกว่่า 30% เป็น robot
server IRC ที่มีผู้ใช้บริการมากที่สุด
ที่กล่าวว่าเป็น Network Warez เนื่องจากมีการแชร์ files download กันผ่าน IRC และนี้คือที่มาของโปรแกรมพวก P2P ในยุคปัจจุบัน
จากภาพจะพบว่ามีการแจกเพลงที่มีลิขสิทธิ์และหนัง ใน IRC โดยการทำงานของ bot ที่ตั้งสคิปไว้เพื่อทำการแชร์ file และ download ในที่สุด
2. DDoS (Distributed Denial-of-Service)
บทความสุด classic สำหรับการโจมตีแบบ Denial of Service เขียนไว้โดย Steve Gibson ในช่วงปี 2001 ขณะที่เว็ปยักษ์ใหญ่ได้มีการใช้งานไม่ได้เนื่องจากโดนโจมตี http://grc.com/dos/grcdos.htm
จากอ่านประวัติศาสตร์ย้อนหลังการโจมตีลักษณะนี้ในยุคที่ยังมีผลิตภัณฑ์ด้านค วามปลอดภัยข้อมูลยังมีน้อยอยู่ได้ ในบทความของ Steve Gibson ก็ได้กล่าวถึงการใช้ bot ใน irc เป็นผู้โจมตี โดย bot เหล่านี้ได้เกิดขึ้นจากการติด backdoor ของผู้ใช้อินเตอร์เน็ทตามบ้านนั้นเอง โดยมีศัพท์ที่เรียกเครื่องที่ติด backdoor เพื่อใช้ในการโจมตีเครื่องเป้าหมาย ว่า zombie หรือ botnet
คำสั่งที่ใช้ zombie เพื่อการโจมตีระบบเครือข่ายดูได้ใน watching attackers DDoSing others โดย honeynet project
3. Spamming
การ spam เป็นการโจมตีที่ถือได้ว่ามีพร้อมๆกับการใช้ e-mail ในยุคต้นของการเชื่อมโยงระบบเครือข่าย แล้วต่อมาได้มีการสร้าง spam บนระบบ IRC โดย spam นี้เป็นการเชิญชวนให้ผู้้เล่น IRC ได้เข้าห้องของตน หรือการโฆษณา web site รวมไปถึงการหลอก (Social Engineering) หลอกให้คน download backdoor ที่ตนเองได้สร้างขึ้น เมื่อปีที่แล้วก็มีการหลอกเช่นนี้โดยใช้โปรแกรม trojan ที่ชื่อว่า Optix ซึ่งสามารถอ่านได้เพิ่มเติมได้ที่ http://www.sran.org/document/files/optix-SRAN.pdf/file_view
จะเห็นว่าการหลอกลวงในระบบอินเตอร์เน็ทมีหลากหลายวิธีมาก และโยงใยถึงกัน
ภาพความสัมพันธ์ในการบุกรุกด้านความปลอดภัยข้อมูล
4. Sniffing Traffic
robot ที่ใช้บน irc ไม่ว่าเป็น eggdrop หรือชนิดอื่นๆมักจะเก็บ log ดักข้อมูลในส่วนนี้คือ
- จับที่ plain text ข้อความที่เป้นทั้ง public และ private ขึ้นกับวัตถุประสงค์ที่ใช้ มักจะดักจับ password ที่เกิดขึ้นในการ login
- ดักจับ robot ตัวอื่นเพื่อทำการขโมย robot
ทั้งนี้และทั้งนั้นการดักจับที่เกิดขึ้นได้ ก็ต่อเมื่อผู้ใช้ robot ได้เข้าถึงระบบปฏิบัติการที่ไม่ได้เป็นของตนเองแล้ว
- ดักข้อมูลเพื่อเก็บสถิติ จะมี robot จำนวนมากที่ฝังตัวใน irc server และ robot พวกนั้นจะทำการเก็บบันทึก channel, users, และการเกิดใหม่ของ server รวมถึงข้อมูลบ้างอย่างที่ทำการสานถึงหน่วยงานที่เกี่ยวข้องด้านอาชญากรรมคอม พิวเตอร์เก็บไว้เพื่อหาผู้กระทำผิด
จากภาพจะเห็นว่าข้อมูลที่ส่งเป็น real-time โดยค้นหาที่ http://searchirc.com/whois/ ข้อมูลพวกนี้จะไม่สามารถรู้ได้เลย หากไม่มี robot ที่กล่าวมา
5. Spreading new malware
ส่ง malware ในรูปแบบใหม่ๆ Bot IRC ที่ใช้สคิปโฆษณาต่างๆ มักมีการเข้ามาสนทนากับผู้ใช้งานจริง โดยการสนทนาเกิดจากสคิปทั้งสิ้นไม่ใช่มนุษย์ที่พิมพ์ และการสนทนา มักอยู่ในบรรทัดเดียว โดยใช้วิธีการหลอกลวงให้ download
ตัวอย่างการเข้าถึงระบบโดยใช้เทคนิค BHO ติดทาง IE , MSN และอื่นๆ
การโจมตีที่นอกเหนือการใช้ทรัพยากรบนเครือข่าย IRC
1. Installing Advertisement Addons and Browser Helper Objects (BHOs)
เป็นอีกช่องทางหนึ่งที่ทำให้ พวก roboat adware/spyware ที่เกาะตาม website ที่เราเข้าไปซึ่งโปรแกรมพวกนี้สามารถแนบติดกับ BHO และทำการรันตัวเพื่อเป็นเข้าถึงเครื่อง PC ได้ สามารถอ่านรายละเอียดเพิ่มเติมได้ที่ http://www.thaicert.nectec.or.th/paper/spyware/ParasitewareAndHowtoProtect.pdf
ตัวอย่างการเข้าถึงระบบโดยใช้เทคนิค BHO ติดทาง IE , MSN และอื่นๆ
2. phishing mails
เป็นการหลอก ที่สมเหตุสมผล และแนบเนียนมากเนื่องจาก E-Mail ที่เราได้รับโดยเฉพาะมาจากหน่วยงานที่มีความน่าเชื่อถือด้วยแล้ว ยิ่งทำให้การตัดสินที่คลิก URL ที่ link มาพร้อมได้อย่างรวดเร็ว เมื่อคลิก link ที่มากับ E-Mail ก็พบว่า website ที่เราเปิดกลับเป็น website ของ hacker โดย เทคนิค phishing จะเน้นการหลอกเพื่อได้มาถึง รหัสผ่านของการใช้บริการนั้นๆ หรือเป็นการหลอกเพื่อให้ download โปรแกรมที่ hacker สามารถ remote เข้ามาควบคุมเครื่องของผู้ใช้งานได้และเพื่อขยายผลต่อไป ดูภาพความสัมพันธ์ในการบุกรุกด้านความปลอดภัยข้อมูล
3. Anonymous Proxy
Free proxy ที่แจกกันมีภัยแฝงสำหรับผู้ไม่หวังดี ตรงที่การติดต่อ proxy จะทำให้ไม่ทราบ IP ต้นทาง โดยเฉพาะผู้บุกรุกใช้เทคนิคที่ชื่อว่า proxy chain จะทำให้ตรวจจับได้ยากขึ้น
แบบที่ 1 HTTP proxy >> HTTP proxy
แบบที่ 2 SOCKS proxy >>>> HTTP proxy >>>> CGI proxy
แบบที่ 3 SOCKS proxy >>>> HTTP proxy
แบบที่ 4 HTTP proxy >>>> CGI proxy
ทำให้มี address ที่ติดต่อกับ robot ได้มากขึ้น
ลูกเล่นการหลบหลีก การตรวจค้นหามีหลายวิธี robot ที่ิวิ่งในระบบเครือข่ายจึงมากด้วยวิธีการ บาง robot เก็บข้อมูลบางชนิดเพื่อใช้ในการวิเคราะห์ตลาด บาง robot เขียนขึ้นเพื่อใช้ในการค้นหา
หากเรามีเครื่องมือที่ใช้ในการตรวจพวก robot ไม่ว่าเป็น robot ที่ใช้ค้นหาเพื่อเก็บสถิติในเว็บค้นหา และ robot ที่ใช้ในการตรวจสถิติการใช้งานของ web server จะพบว่ามีการใช้แบนด์วิทธ์พอสมควร ซึ่งในอนาคตหากไม่มีหน่วยงานมาควบคุมจำนวนเพิ่มขึ้น robot พวกนี้ก็ลองคิดดูว่าแบนด์วิทธ์ที่ใช้ในอนาคตอาจโดนบางส่วนที่มี robot ใช้ทรัพยากรระบบเครือข่ายเราได้เช่นกัน
robot ที่กล่าวมาทั้งหมดอาจจะเชื่อมโยงกันเป็นเครือข่ายที่อยู่ที่ใดสักแห่งบนโลกน ี้ และเฝ้าดักเก็บข้อมูล (Information) ได้อย่างสมใจ เราผู้รับข้อมูล ได้แต่พึ่งสติด้วยความระวัง และสมถะ
นนทวรรธนะ สาระมาน
Nontawattana Saraman
20/03/48