Zone-h หายไปไหน

อีกเว็บไซด์หนึ่งที่ถือว่าเป็นเว็บต้นแบบหลายๆที่ในด้านข้อมูลการรักษาความมั่นคงปลอดภัยข้อมูล
คือ www.zone-h.org ได้มีการถูกโจมตีจนเว็บไซด์ใช้การไม่ได้ พร้อมทั้งเปลี่ยนหน้าเพจใหม่จนผู้ดูแลระบบเว็บไซด์ zone-h ถึงกับเข่าอ่อนได้ ดังภาพที่ปรากฏต่อไปนี้

(ผมก็เข้าไปดูไม่ทันหลอกครับ ดูจาก google cache เอาเหตุการณ์พึ่งเกิดเมื่อวานนี้เอง)

ท่านใดที่เป็นผู้ดูแลระบบไม่ว่าเป็นคนไทยหรือต่างประเทศ คงน้อยนักไม่รู้จักเว็บ zone-h ความน่าสนใจของเว็บไซด์ www.zone-h.org ไม่ใช่แค่่ข่าวสารด้านความมั่นคงปลอดภัยอินเตอร์เน็ตอย่างเดียว แต่เป็นแหล่งข้อมูลสำคัญที่เก็บการเปลี่ยนหน้าเว็บเพจ (Defacement) ทั่วโลกเก็บไว้ยาวนานไม่น้อยกว่า 8 ปี (ผมเองก็ชอบเข้าไปดูว่ามีเว็บไหนบ้างที่ถูกเปลี่ยนหน้าเพจ) จากแหล่งข่าว theregister กล่าวว่านี้ไม่ใช่ครั้งแรกที่ zone-h ถูกเปลี่ยนหน้าเพจหรือถูก hack ระบบเคยมีเหตุการณ์แบบนี้เกิดขึ้นแล้วใน เดือนมกราคม ปี 2007

นี้ล่ะครับการมีระบบรักษาความปลอดภัยที่ดี ไม่ใช่มีเพียงแค่บนเครือข่ายคอมพิวเตอร์แล้วจะป้องกันได้ทุกเรื่อง ในด้านซอฟต์แวร์ที่รันบนเว็บ (Web Application) นั้นยังมีช่องโหว่อีกมากมายที่สามารถทะลุทะลวงระบบคอมพิวเตอร์เราได้ หากคอมพิวเตอร์คุณตั้งเครื่องไว้ในอินเตอร์เน็ต (ที่เป็น Real IP) ไม่ว่าเก่งแค่ไหนก็พลาดกันได้ แต่จะตั้งลำได้ทันเวลาหรือระบบนั้นสามารถนำกลับมาใช้งานได้อย่างปกติหรือไม่ นั้น ขึ้นกับแผนการปฏิบัติงานของคนและเทคโนโลยีที่ต้องประสานงานกันอย่างดี

ผมลองมาทดสอบดูว่าทำไม zone-h ถึงเข้าไม่ได้

1. ตรวจดูประวัติการใช้งาน โดยใช้เครื่องมือ Wayback หรือ alexa

ส่วนใหญ่เป็น Traffic จากประเทศ Turkey และ Iran

2. ทดสอบ DNS โดยใช้ command nslookup ได้ผลลัพธ์ดังนี้

ซึ่งเราสามารถใช้เครื่องมือช่วยจากเว็บ centralops ได้หากจำคำสั่งไม่ได้

3. ดูเส้นทางการเชื่อมโยงของค่า DNS ส่วนนี้ใช้เทคนิคช่วยโดยผ่านเครื่องมือบนเว็บ robtex

ดูเส้นทางเฉพาะส่วน

4. ตรวจ IP / Domain ผ่านแผนที่ภูมิศาสตร์ อันนี้ใช้เครื่องมือที่เขียนเองโดยทีม SRAN (http://map.sran.net/whois/index.php) ซึ่งในส่วนนี้ผมสนใจที่ IP Address

5. ตรวจประวัติการเปลี่ยนแปลงค่าของ Web Server (ตรวจดูความเสรียฐภาพ) โดยใช้เครื่องมือจากเว็บ netcraft

พบว่ามีปัญหาที่ DNS ไม่สามารถติดต่อได้ รู้สึกว่าทีมงานกำลังปรับปรุงเครื่องเว็บแม่ข่ายอยู่ การตรวจสอบเช่นนี้สำหรับผู้ดูแลระบบแล้วเป็นสิ่งจำเป็น ผมไม่ขอบอกหมดทุกรายละเอียดแต่เครื่องมือที่แนะนำไปในแต่ละขั้นตอนถือว่าเป็นทางลัดในการวิเคราะห์หาเหตุผลต่างๆ ที่จะทำให้เกิดความไม่ปกติขึ้นบนเว็บไซด์ของเราเอง

ทุกวันนี้เว็บไซด์ก็คือประตูสู่องค์กรเราแล้ว หากเว็บไซด์ของหน่วยงานเรามีช่องโหว่ (Vulnerability) แล้วก็มีโอกาสที่ถูกเข้าถึงระบบได้ไม่ว่าทางใดก็ทางหนึ่งซ้ำไปกว่านั้นหากเว็บไซด์เรามีฐานข้อมูลสำคัญ เมื่อมีการเข้าถึงระบบจากบุคคลที่ไม่หวังดีนั้นอาจทำให้ข้อมูลถูกเปลี่่ยนแปลง หรือที่เป็นนิยมของ hacker ที่เข้าถึงระบบได้มักฝั่งเครื่องมือที่เรียกว่า rootkit เสมอ การกู้ระบบให้กลับมาใช้งานได้อย่างเดิมนั้นอาจไม่สามารถยืนยันว่าข้อมูลและระบบจะกลับมาเป็นอย่างเดิมก่อนที่ถูก hack ดังนั้นจึงต้องหมั่นดูแลระบบเว็บไซด์ของเราไม่ให้เกิดเหตุการณ์ไม่คาดฝันนี้ขึ้น พูดถึงเรื่องนี้แล้วแนะนำว่าลองหันมาใช้บริการ Datasafehouse ของทาง SRAN ดูสิครับ (www.datasafehouse.net) จะรู้ช่องโหว่ก่อนที่ถูกโจมตี และที่สำคัญจะตามรอยเท้าของ hacker ที่เข้าสู่ระบบเว็บไซด์ของคุณได้อีกด้วย ลองดูครับพัฒนาทั้งหมดโดยคนไทย จะได้รู้ว่าจริงๆแล้วคนไทยก็ไม่ได้ด้อยไปกว่าต่างประเทศเลย

อ่านเพิ่มเติมได้ที่

http://www.theregister.co.uk/2009/02/13/zone_h_defaced/
http://www.aboutus.org/Zone-h.com
ข้อมูลเกี่ยวกับ rootkit (http://nontawattalk.blogspot.com/2008/01/invisible-threat.html )

นนทวรรธนะ สาระมาน
Nontawattana Saraman