Pages

วันอาทิตย์, มีนาคม 20

Dark Side of The Internet

Dark Side of The Internet

เมื่อกว่า 30 ปีที่ผ่านมา อัลบัมเพลงของวง Pink Floyd ชุด "Dark Side of The Moon" เป็น กล่าวถึงความซับซ้อนของจิตใจคนในยุคทุนนิยม

แ ละเวลาผ่านไปผมได้นำบทเพลงชุดนี้มาเปิดอีกครั้ง และเขียนเรื่องราวที่ซับซ้อนในโลกอินเตอร์เน็ท ในชื่อบทความว่า Dark Side of The Internet พร้อมกับการบรรเลงบทเพลงที่ยิ่งใหญ่ของ Pink Floyd เพื่อระลึกถึงแนวความคิดที่ก้าวทันสมัย ลองมาอ่านกันว่า Dark Side of The Internet กับบทเพลงอย่างไรจะซับซ้อนกว่ากัน

ทุกวันนี้การใช้งานคอมพิวเตอร์ที่ต่อเชื่อมบนโลกอินเตอร์เน็ทมีจำนวน มาก ลองคิดกันเล่นๆ หากมีใครสักคนติดต่อโลกอินเตอร์เน็ทจากเครื่องพีซีเครื่องใหม่ที่พึ่งซื้อมา ลงระบบปฏิบัติการ windows XP Home โดยไร้ services pack , anti-virus , anti-spyware และระบบป้องกัน Persanol Firewall แล้วทำการท่องอินเตอร์เน็ทไม่นานนัก จะมีผู้มาเยือน โดยไม่ใช่มนุษย์ ไม่ว่าเป็น spyware , worm , adware และ spam จะทำการเข้าสู่เครื่องพีซีของท่านในเวลารวดเร็ว หากคุณเป็นนักออนไลท์ คุณคงไม่กังวล แต่หากเป็นผู้เล่นอินเตอร์เน็ทรายใหม่ ที่เกิดขึ้นใหม่ทุกๆวัน ก็จะตกเป็นเหยื่อเหล่านี้ แล้วทำการแตกลูกโซ่ทำการแพร่เชื้อกระจายไปทั่วโลก และ ณ เวลาที่ผมเขียนบทความนี้ขึ้น ก็จะมีจำนวนคนตกเป็นเหยื่อที่มองไม่เห็นนี้ตลอดเวลา คิดต่อไปอีกว่าไม่นานเวลาผ่านไป อีกสักสามถึงสี่ปีต่อมา โลกในอินเตอร์เน็ทจะเต็มไปด้วยภัยคุกคามอย่างที่เราคาดไม่ถึง
วันก่อนเมื่ออยู่หน้าคอมพิวเตอร์ พบสิ่งผิดปกติที่เกิดซ้ำๆกันไปมา โดยที่ไม่ทราบว่ามาจากไหน และเมื่อนั่งพิจารณาสักพักก็พบว่า นั้นมันคือการโจมตี ของใครบางคนที่อยู่ห่างจากเรา ..
พบความเสี่ยงสูงที่หน้าจอ SRAN Security Center


ผมได้สังเกตการแพร่ตัวของจำนวน robot ที่วิ่งเข้ามาเก็บข้อมูลใน website โดยเป็นเครื่องมือของผู้ผลิตเว็ป search engine , ผู้ทำการขายสินค้า , ผู้เก็บข้อมูล สถิติต่างๆ รวมถึงนักวิเคราะห์การตลาด เครื่องมือของโลกทุนนิยม robot จำนวนมากเกิดขึ้นจากการเขียน code ที่แตกต่าง เพื่อช่วยในการเก็บข้อมูล ผมเคยชี้ภัยที่เกิดจากการ ใช้ทรัพยากรในระบบเครือข่ายไปแล้วในบทความ spider bot

แต่ในบทความที่กล่าวมานั้นเป็นเพียงส่วนหนึ่งในความลึกลับและซับซ้อนบนโลกอิ นเตอร์เน็ท กับจำนวน spider bot หรือ web robot ที่เพิ่มจำนวนอย่างมากในยุคปัจจุบัน จากอดีตจนถึงปัจจุบัน robot พวกนี้ได้พัฒนาตัวขึ้นให้ปรับตัวเข้ากับความซับซ้อนและยากที่จะหาต้นตอของผู ้แพร่กระจายความหายนะได้
The Dark site Internet จึงขอเป็นบทความที่เปิดเผย กลุ่ม robot ที่สร้างขึ้นจากมนุษย์เพื่อทำการทำลายล้างและขโมยข้อมูลมากล่าวให้ฟัง

ในการโจมตีที่เกิดขึ้นโดยใช้ bot IRC

bot ที่ classic ที่สุด และเป็นเป้าหมายแห่งการโจมตีที่ยิ่งใหญ่ ในยุคปัจจุบัน
bot ที่ว่านั้นคือ bot ที่เกิดขึ้นบน IRC เมื่อก่อนสัก 6 - 7 ปีก่อน bot irc มีหน้าที่ไว้เป็นยามเฝ้าห้อง chat room เพื่อป้องกันการยึดห้อง และป้องกันมิให้ใครเข้ามากวนหรือป่วนห้องใน irc นั้นๆ ไม่ว่าเป็น TNT bot , IRC II และ eggdrop ส่วน eggdrop มีใช้การเขียน tcl/tk
สคิปของ bot ได้พัฒนาและแพร่หลายออกไป มีคนที่คิดสร้างสรรค์และคิดในเชิงลบ ทำให้ bot irc วันนี้เต็มไปด้วยอาวุธ และทำความเสียหายให้ระบบเครือข่าย และเป็นที่มาของการโจมตี :แนะนำข้อมูลสำหรับศึกษา bot IRC ที่เป็นภาษาไทยอ่านได้ที่ http://www.sornz.com/
การใช้ Bot IRC ในการบุกรุกข้อมูลมีดังนี้
ี้

1. Network warez

ขณะนี้มีจำนวนการใช้ IRC


พบว่าเป็นจำนวนที่มาก และกว่่า 30% เป็น robot
server IRC ที่มีผู้ใช้บริการมากที่สุด

ที่กล่าวว่าเป็น Network Warez เนื่องจากมีการแชร์ files download กันผ่าน IRC และนี้คือที่มาของโปรแกรมพวก P2P ในยุคปัจจุบัน



จากภาพจะพบว่ามีการแจกเพลงที่มีลิขสิทธิ์และหนัง ใน IRC โดยการทำงานของ bot ที่ตั้งสคิปไว้เพื่อทำการแชร์ file และ download ในที่สุด

2.
DDoS (Distributed Denial-of-Service)
บทความสุด classic สำหรับการโจมตีแบบ Denial of Service เขียนไว้โดย
Steve Gibson ในช่วงปี 2001 ขณะที่เว็ปยักษ์ใหญ่ได้มีการใช้งานไม่ได้เนื่องจากโดนโจมตี http://grc.com/dos/grcdos.htm
จากอ่านประวัติศาสตร์ย้อนหลังการโจมตีลักษณะนี้ในยุคที่ยังมีผลิตภัณฑ์ด้านค วามปลอดภัยข้อมูลยังมีน้อยอยู่ได้ ในบทความของ Steve Gibson ก็ได้กล่าวถึงการใช้ bot ใน irc เป็นผู้โจมตี โดย bot เหล่านี้ได้เกิดขึ้นจากการติด backdoor ของผู้ใช้อินเตอร์เน็ทตามบ้านนั้นเอง โดยมีศัพท์ที่เรียกเครื่องที่ติด backdoor เพื่อใช้ในการโจมตีเครื่องเป้าหมาย ว่า zombie หรือ botnet

คำสั่งที่ใช้ zombie เพื่อการโจมตีระบบเครือข่ายดูได้ใน watching attackers DDoSing others โดย honeynet project




3. Spamming
การ spam เป็นการโจมตีที่ถือได้ว่ามีพร้อมๆกับการใช้ e-mail ในยุคต้นของการเชื่อมโยงระบบเครือข่าย แล้วต่อมาได้มีการสร้าง spam บนระบบ IRC โดย spam นี้เป็นการเชิญชวนให้ผู้้เล่น IRC ได้เข้าห้องของตน หรือการโฆษณา web site รวมไปถึงการหลอก (Social Engineering) หลอกให้คน download backdoor ที่ตนเองได้สร้างขึ้น เมื่อปีที่แล้วก็มีการหลอกเช่นนี้โดยใช้โปรแกรม trojan ที่ชื่อว่า Optix ซึ่งสามารถอ่านได้เพิ่มเติมได้ที่ http://www.sran.org/document/files/optix-SRAN.pdf/file_view
จะเห็นว่าการหลอกลวงในระบบอินเตอร์เน็ทมีหลากหลายวิธีมาก และโยงใยถึงกัน
ภาพความสัมพันธ์ในการบุกรุกด้านความปลอดภัยข้อมูล

4. Sniffing Traffic
robot ที่ใช้บน irc ไม่ว่าเป็น eggdrop หรือชนิดอื่นๆมักจะเก็บ log ดักข้อมูลในส่วนนี้คือ

- จับที่ plain text ข้อความที่เป้นทั้ง public และ private ขึ้นกับวัตถุประสงค์ที่ใช้ มักจะดักจับ password ที่เกิดขึ้นในการ login
- ดักจับ robot ตัวอื่นเพื่อทำการขโมย robot


ทั้งนี้และทั้งนั้นการดักจับที่เกิดขึ้นได้ ก็ต่อเมื่อผู้ใช้ robot ได้เข้าถึงระบบปฏิบัติการที่ไม่ได้เป็นของตนเองแล้ว

- ดักข้อมูลเพื่อเก็บสถิติ จะมี robot จำนวนมากที่ฝังตัวใน irc server และ robot พวกนั้นจะทำการเก็บบันทึก channel, users, และการเกิดใหม่ของ server รวมถึงข้อมูลบ้างอย่างที่ทำการสานถึงหน่วยงานที่เกี่ยวข้องด้านอาชญากรรมคอม พิวเตอร์เก็บไว้เพื่อหาผู้กระทำผิด


จากภาพจะเห็นว่าข้อมูลที่ส่งเป็น real-time โดยค้นหาที่ http://searchirc.com/whois/ ข้อมูลพวกนี้จะไม่สามารถรู้ได้เลย หากไม่มี robot ที่กล่าวมา




5.
Spreading new malware
ส่ง malware ในรูปแบบใหม่ๆ Bot IRC ที่ใช้สคิปโฆษณาต่างๆ มักมีการเข้ามาสนทนากับผู้ใช้งานจริง โดยการสนทนาเกิดจากสคิปทั้งสิ้นไม่ใช่มนุษย์ที่พิมพ์ และการสนทนา มักอยู่ในบรรทัดเดียว โดยใช้วิธีการหลอกลวงให้ download


ตัวอย่างการเข้าถึงระบบโดยใช้เทคนิค BHO ติดทาง IE , MSN และอื่นๆ



การโจมตีที่นอกเหนือการใช้ทรัพยากรบนเครือข่าย IRC
1.
Installing Advertisement Addons and Browser Helper Objects (BHOs)
เป็นอีกช่องทางหนึ่งที่ทำให้ พวก roboat adware/spyware ที่เกาะตาม website ที่เราเข้าไปซึ่งโปรแกรมพวกนี้สามารถแนบติดกับ BHO และทำการรันตัวเพื่อเป็นเข้าถึงเครื่อง PC ได้ สามารถอ่านรายละเอียดเพิ่มเติมได้ที่ http://www.thaicert.nectec.or.th/paper/spyware/ParasitewareAndHowtoProtect.pdf



ตัวอย่างการเข้าถึงระบบโดยใช้เทคนิค BHO ติดทาง IE , MSN และอื่นๆ


2.
phishing mails
เป็นการหลอก ที่สมเหตุสมผล และแนบเนียนมากเนื่องจาก E-Mail ที่เราได้รับโดยเฉพาะมาจากหน่วยงานที่มีความน่าเชื่อถือด้วยแล้ว ยิ่งทำให้การตัดสินที่คลิก URL ที่ link มาพร้อมได้อย่างรวดเร็ว เมื่อคลิก link ที่มากับ E-Mail ก็พบว่า website ที่เราเปิดกลับเป็น website ของ hacker โดย เทคนิค phishing จะเน้นการหลอกเพื่อได้มาถึง รหัสผ่านของการใช้บริการนั้นๆ หรือเป็นการหลอกเพื่อให้ download โปรแกรมที่ hacker สามารถ remote เข้ามาควบคุมเครื่องของผู้ใช้งานได้และเพื่อขยายผลต่อไป ดูภาพความสัมพันธ์ในการบุกรุกด้านความปลอดภัยข้อมูล

3. Anonymous Proxy
Free proxy ที่แจกกันมีภัยแฝงสำหรับผู้ไม่หวังดี ตรงที่การติดต่อ proxy จะทำให้ไม่ทราบ IP ต้นทาง โดยเฉพาะผู้บุกรุกใช้เทคนิคที่ชื่อว่า proxy chain จะทำให้ตรวจจับได้ยากขึ้น

แบบที่ 1 HTTP proxy >> HTTP proxy
แบบที่ 2 SOCKS proxy >>>> HTTP proxy >>>> CGI proxy
แบบที่ 3 SOCKS proxy >>>> HTTP proxy
แบบที่ 4 HTTP proxy >>>> CGI proxy

ทำให้มี address ที่ติดต่อกับ robot ได้มากขึ้น
ลูกเล่นการหลบหลีก การตรวจค้นหามีหลายวิธี robot ที่ิวิ่งในระบบเครือข่ายจึงมากด้วยวิธีการ บาง robot เก็บข้อมูลบางชนิดเพื่อใช้ในการวิเคราะห์ตลาด บาง robot เขียนขึ้นเพื่อใช้ในการค้นหา



หากเรามีเครื่องมือที่ใช้ในการตรวจพวก robot ไม่ว่าเป็น robot ที่ใช้ค้นหาเพื่อเก็บสถิติในเว็บค้นหา และ robot ที่ใช้ในการตรวจสถิติการใช้งานของ web server จะพบว่ามีการใช้แบนด์วิทธ์พอสมควร ซึ่งในอนาคตหากไม่มีหน่วยงานมาควบคุมจำนวนเพิ่มขึ้น robot พวกนี้ก็ลองคิดดูว่าแบนด์วิทธ์ที่ใช้ในอนาคตอาจโดนบางส่วนที่มี robot ใช้ทรัพยากรระบบเครือข่ายเราได้เช่นกัน

robot ที่กล่าวมาทั้งหมดอาจจะเชื่อมโยงกันเป็นเครือข่ายที่อยู่ที่ใดสักแห่งบนโลกน ี้ และเฝ้าดักเก็บข้อมูล (Information) ได้อย่างสมใจ เราผู้รับข้อมูล ได้แต่พึ่งสติด้วยความระวัง และสมถะ

นนทวรรธนะ สาระมาน
Nontawattana Saraman

20/03/48

วันจันทร์, มีนาคม 7

Hackers Lose

เมื่อ Hackers หลงทาง

Submitted by classicx. on Mar 7, 2005 10:38 pm.

สุภาษิตที่ว่าหลงทางเสียเวลา หลงติดยาเสียอนาคต คงเป็นคำกล่าวที่ถูกต้องที่สุดโดยเฉพาะเรื่องการหลงทาง เมื่อครั้งที่แล้วผมเคยยกตัวอย่างการใช้ google ในการค้นหา ข้อมูลที่ลับๆ โดยเฉพาะพวก password , กล้องวงจรติดที่เผยแพร่ทาง Network และอีกหลายๆ สามารถอ่านย้อนหลังได้ที่ บทความเรื่อง ความเป็นส่วนตัวที่ไม่เพียงพอ บนโลกอินเตอร์เน็ท Google search engine ที่ทุกคนที่เล่น Internet รู้จักกันดี สามารถทำให้เราค้นหาข้อมูลได้ว่องไว อีกทั้งยังนำข้อมูลลับๆมาเผยแพร่ได้ด้วย เราจะป้องกันอย่างไงดี บทความนี้คงไม่ได้บอกวิธีป้องกัน แต่จะบอกวิธีทำให้ Hackers เสียเวลา และ งง พูดง่ายๆ คือการแก้เผ็ด Hackers ที่ใช้ google hack นั้นเอง

เริ่มแรก เตรียมเครื่อง PC 1 เครื่อง ลงระบบปฏิบัติการ Linux

อันดับสอง ลง Web server ที่ชื่อ Apache

อันดับสาม ลงโปรแกรมที่ชื่อ GHH (Google Hack Honeypot) จาก web http://ghh.sourceforge.net/

หลักการ GHH น่าสนใจมาก คือการประยุกต์ใช้ระหว่าง เทคโนโลยี Honeypot สามารถอ่านได้ที่ http://www.honeynet.org นำมาใช้กับ web server เพื่อสร้าง web honeypot โดยเจาะจงหลอก Hackers ให้ติดกับในส่วนของ การค้นหาข้อมูล

Honeypot คือหลุดพรางที่วางไว้ เพื่อให้ผู้บุกรุกเสียเวลา และไม่สามารถเข้ามาถึงระบบจริงได้ อีกทั้งยังสามารถเรียนรู้พฤติกรรมการบุกรุกของผู้ไม่หวังดีได้อีกด้วย

Honeypot และ Honeynet ต่างกันตรงที่ Honeypot มองเพียงตัวเดียววางล่อเพียงเครื่องเดียว อาจเป็น web server , data base server หรือ PC ตัวใดตัวหนึ่ง ส่วน Honeynet มองเป็นระบบเครือข่าย โดยประกอบด้วย Honeywall ตัวเลือกเส้นทางเข้าสู่วง Honeypot หลายตัวๆ เป็นต้น ใน Honeypot หลายตัวอาจเป็น web server ซึ่งเราเรียกว่า Honeyweb และ GHH ก็เป็นเพียงส่วนหนึ่งของ Honeypot ในส่วนของ web server นั้นเอง

Honeypot เป็นส่วนหนึ่งของ Honeynet

Honeyweb เป็นส่วนหนึ่งของ Honeypot

GHH เป็นส่วนหนึ่งของ Honeyweb



นี้คือแผนการ การหลอก hackers ที่ใช้ google เป็นเครื่องในการ Hack

เมื่อเราทำการ GHH config เรียบร้อยแล้ว มาดูกันว่าหน้าตาเป็นอย่างไร โดยทีมงาน SRAN ได้ตั้ง GHH ไว้ที่ http://test.sran.org ไว้หลอก Hackers กัน : )

ไม่มีอะไรในก่อไผ่ แต่เราได้มีการดักการค้นหาเช่น

(filetype:php HAXPLORER "Server Files Browser")
("Enter ip" inurl:"php-ping.php")
(intitle:"PHP Shell *" "Enable stderr" filetype:php)
(inurl:"install/install.php")
("Powered by PHPFM" filetype:php -username)
(inurl:phpSysInfo/ "created by phpsysinfo")
("SquirrelMail version 1.4.4" inurl:src ext:php)

สมมุติว่าค้นหาใน google คำว่า inurl:phpSysInfo/ "created by phpsysinfo" Hackers ก็จะพบว่ามี web ที่ชื่อว่า http://test.sran.org/phpSysinfo/index.php อยู่จริง

ปกติการค้นหาวิธีนี้จะเป็นประโยชน์สำหรับ hackers เพื่อไว้ดูทรัพยากรเครื่อง Web server นั้นๆ

แล้วเราก็สามารถดูได้ว่าใครคือผู้ไม่หวังดีที่ใช้กลไกของ google เข้ามาใน web ของเราได้

โดยเข้าไปดูใน logs

นี้ล่ะครับจับได้ คาหนังคาเขาเลย

ยังดูยากมากนะครับสำหรับ GHH ในอนาคต ทีมงาน SRAN จะพยายามนำ content ที่ใช้ในการ ค้นหา google ที่มีผลกระทบกับความลับข้อมูลมาใส่ใน signature base ของ SRAN Security Center ด้วย เพราะเรารู้ว่าการป้องกันระบบเครือข่ายที่ดี คือการตรวจจับ และต้องรู้ทันเหตุการณ์

สุดท้าย ตั้งคำถามหน่อย เชื่อตามผมหรือไม่ว่า ในอนาคตอันใกล้ ในการ ค้นหาข้อมูลจะมีทั้ง web จริงและ web ปลอม เต็มไปหมดทั่วระบบเครือข่ายในโลก เช่นเดียวกัน ชีวิตก็มีทั้งของจริงและของปลอม ผ่านมาและผ่านไป ..

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Thanks Kiattisak Somwong (pom infosec.sran.org) สำหรับการ config GHH

7 มี.ค 48