เตือนภัยเรื่อง DNS ที่ส่งผลกระทบต่อผู้ใช้งานตามบ้าน

 DNS ที่ส่งผลกระทบต่อผู้ใช้งานตามบ้าน  เรื่องใกล้ตัวที่คนไทยถูกเปลี่ยนเส้นทางในการเข้าถึงข้อมูลทางอินเทอร์เน็ตจนถึงขั้นตกเป็นเหยื่อทางอาชญากรรมทางไซเบอร์กว่าแสนเครื่อง เรื่องเก่าที่จำเป็นต้องขยายความเพื่อความตะหนักถึงภัยคุกคามที่อาจเกิดขึ้นกับตัวคุณเองได้
  
บทความนี้ขอแบ่งเป็น 3 หัวข้อ คือ
หัวข้อที่ 1 การสำรวจและสถิติข้อมูล (Internet Discovery and Census)
หัวข้อที่ 2 พิสูจน์หาความจริงเกี่ยวกับค่า DNS ที่ถูกเปลี่ยน และผลกระทบที่เกิดขึ้น
หัวข้อที่ 3 การป้องกัน (Protection)

1. การสำรวจและสถิติข้อมูล (Internet Discovery and Census)

เมื่อเดือนมกราคม 2557 ที่ผ่านมาได้มีการเผยแพร่ช่องโหว่ของอุปกรณ์เราเตอร์โดยสามารถเข้าถึงอุปกรณ์ได้และทำให้นักเจาะระบบสามารถเข้าไปควบคุมอุปกรณ์เราเตอร์ตามบ้านและทำการเปลี่ยนเส้นทางการเรียกข้อมูลโดยเปลี่ยนค่า DNS ในอุปกรณ์เราเตอร์ที่บ้านเรา ซึ่งส่งผลกระทบต่อผู้ใช้งานตามบ้าน (User) โดยตรง ปัญหานี้ถึงแม้ในปัจจุบันผู้ให้บริการได้มีการเขียนสคิปเพื่อเปลี่ยน DNS แก้กลับคืนได้ผ่านหลากหลายวิธีที่สามารถทำได้ผ่านผู้ให้บริการอินเทอร์เน็ต (ISP) แต่ถึงอย่างไรก็ไม่สามารถแก้ไขเครื่องเราเตอร์ที่มีช่องโหว่ได้ทั้งหมด โดยทั้งนี้ผู้เขียนจะขอรวบรวมสถิติที่ทางทีมงาน SRAN ได้สำรวจผ่านสคิปบอทที่จัดทำขึ้นเฉพาะเพื่อประเมินค่าทางสถิติบทวิเคราะห์รวมถึงวิธีการป้องกันต่อไปนี้  
1.1 เครื่องมือในการสำรวจ
เป็นการพัฒนาโปรแกรมขึ้นมาเพื่อสำรวจข้อมูลโดยเฉพาะ และใช้การทำ Log Analysis เพื่อทำการวิเคราะห์ข้อมูลที่ได้จากสคิปบอท

 ภาพ หน้าจอระบบสำรวจ (Internet Census) เมื่อนำเข้าสู่ระบบ Log Analysis ทำการสำรวจข้อมูล ASN จำนวนกว่า 4 ล้านค่าไอพีตลอดระยะเวลา 2 เดือน

ภาพ หน้าจอบริหารจัดการสคิปบอทที่ทำการสำรวจข้อมูลความเสี่ยงของเราเตอร์เพื่อ บอกสถานะการทำงาน ตัวเลข Current Discovery คือค่าจำนวนไอพีที่เหลือจากการตั้งค่าให้บอทตรวจสอบซึ่งสามารถเพิ่มเครื่อ ข่ายให้ตรวจสอบเพิ่มเติมได้โดยใส่ค่า Prefix IP ที่มีอยู่ใน ASN

สคิปบอทที่จัดทำขึ้นเฉพาะนั้นทำการสำรวจผ่านเทคนิคตรวจสอบการ HTTP port 80 ลักษณะตรวจ Basic Authentication และ HTTP Header โดยมีลักษณะเหมือน Crawler เช่นเดียวกับ google และ shodanhq โดยเราตั้งชื่อระบบสำรวจนี้ว่า "SRAN Internet Exposed" โดยสำรวจ 2 ครั้งต่อ 1 ค่า ASN โดยมีการระบุค่า MAC Address ที่อุปกรณ์เราเตอร์เพื่อไม่เกิดการซ้ำของค่าข้อมูล
โดยทำการตรวจสอบข้อมูลลักษณะช่องโหว่ของอุปกรณ์เราเตอร์ (Router Fingerprint) ที่พบว่ามีช่องโหว่ได้แก่ ช่องโหว่ Exploit ตาม CVE ได้แก่ d-link,tp-link,zyxel และ Huawai , rom-0 และ default password  โดยผลลัพธ์คือ

1.2 ระยะเวลา 2 เดือน คือเดือน กุมภาพันธ์ - เมษายน 2557 ทำการสำรวจค่า IPv4 ทั้งหมดจาก ASN ทั้งหมด 7 ตัวที่คิดว่าอาจมีผลกระทบต่อผู้ใช้งานอินเทอร์เน็ตบ้าน

1.3 ผลลัพธ์จากการสำรวจจัดทำเฉพาะผู้ใช้งานอินเทอร์เน็ตตามบ้าน
ซึ่งมีทั้งค่า IPv4 ที่ใช้สำรวจทั้งหมดจำนวน 4,704,557

ค่าการสำรวจถึงวันที่ 13 เมษายน 2557 พบช่องโหว่ที่พบจำนวน  616,294
ซึ่งคิดเครื่องที่มีความเสี่ยง 13.09% 

โดยสำรวจจากค่า ASN ดังนี้

(1) AS9737 จากจำนวน IPv4 ทั้งหมดจำนวน 1,238,528  พบช่องโหว่ 427,405 เครื่อง ซึ่งพบว่าเป็น Default password จากผู้ให้บริการอินเทอร์เน็ต ถึง 241,372 เครื่อง 

(2) AS45758 จากจำนวน IPv4 ทั้งหมดจำนวน 1,059,328 พบช่องโหว่ 149,381 เครื่อง

(3) AS23969 จากจำนวน IPv4 ทั้งหมดจำนวน 71,680 พบช่องโหว่ 23,547 เครื่อง

(4) AS17552 จากจำนวน IPv4 ทั้งหมด 1,594,112 พบช่องโหว่ 14,545 เครื่อง

(5) AS131090 จากจำนวน IPv4 ทั้งหมดจำนวน 90,112 พบช่องโหว่ 1,391 เครื่อง

(6) AS45455 จากจำนวน IPv4 ทั้งหมดจำนวน 7,936 พบช่องโหว่ 14 เครื่อง

(7) AS7470 : จากจำนวน IPv4 ทั้งหมด 642,861 พบช่องโหว่ 11 เครื่อง

หมายเหตุ : จำนวน IPv4 ทั้งหมดไม่ได้หมายถึงว่าจะมีเครื่องตามนั้น แต่ที่พบช่องโหว่เป็นไปตามจำนวนเครื่องจริงเนื่องจากสคิปบอทที่ทำขึ้นตรวจค่า MAC Address เป็นหลัก

2. พิสูจน์หาความจริงเกี่ยวกับค่า DNS ที่ถูกเปลี่ยน และผลกระทบที่เกิดขึ้น
 
2.1 ค่า DNS : ผลการสำรวจพบว่าเราเตอร์ที่ถูกเข้าถึงข้อูลได้นั้นมีการถูกเปลี่ยนค่า DNS ดังนี้

ภาพค่า DNS ที่ถูกวิเคราะห์จากโปรแกรม Log Analysis ที่เขียนขึ้นเฉพาะโดยทีมงาน SRAN 10 อันดับที่มีการเปลี่ยนค่า

จากข้อมูลจะพบว่าเราเตอร์ที่ถูกเข้าถึงข้อมูลได้มีการตั้งค่า DNS ไอพี 203.113.7.130 , 110.164.252.222 , 203.113.5.130 , 110.164.252.223 เป็นค่า DNS ที่มาจากผู้ให้บริการซึ่งเป็นค่ามาตรฐาน ส่วนค่า 8.8.8.8 เป็นค่า DNS จาก google ที่เปิดบริการฟรี ซึ่งค่าไอพีเหล่านี้มีความเสี่ยงต่ำที่ถูกการเข้าควบคุมเส้นทางการจราจรทางข้อมูล แต่ที่มีความเสี่ยงคือ

อันดับ 1 DNS จากไอพี : 68.168.98.196   มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 92,553 เครื่อง

อันดับ 2 DNS จากไอพี : 198.153.194.1 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 60,893 เครื่อง

อันดับ 3 DNS จากไอพี : 74.82.207.26  มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 47,944 เครื่อง

อันดับ 4 DNS จากไอพี :216.146.35.35 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 28,648 เครื่อง

อันดับ 5 DNS จากไอพี : 50.63.128.147 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าถึง 11,852 เครื่อง

และอื่นๆ ได้แก่ ไอพี 69.85.88.11 จำนวน 1,741 เครื่อง และ 5.175.147.98  จำนวน 1,379 เครื่อง ที่ถูกเปลี่ยนค่า DNS ที่ตัวอุปกรณ์เราเตอร์

2.2 วิเคราะห์

DNS ที่มีโอกาสตกเป็นเหยื่อและความเสี่ยงในการใช้งานอินเทอร์เน็ต 3 อันดับแรก

2.2.1 ค่า DNS ที่ถูกเปลี่ยนเป็นไอพี 68.168.98.196 ถูกเปลี่ยนจำนวนทั้งหมด 92,553 เครื่อง

เมื่อทำการพิจารณาตามค่า ASN ได้ผลลัพธ์การถูกเปลี่ยนค่าดังนี้

ซึ่งจะพบว่า AS9737 ถูกเปลี่ยนค่ามากที่สุดพบถึง 87,613 เครื่อง รองลงมาคือ AS23969 จำนวน 4,133 และ AS17552 จำนวน 420 เครื่อง และ AS45758 พบ 191 เครื่อง และ AS131090 จำนวน 152 เครื่อง

ประวัติของไอพี 68.168.98.196 : พบว่าหากใช้การทำ passive DNS จะได้ค่าโดเมนคือ

ถูกพบเมื่อ วันที่ 18 ตุลาคม 2556 คือโดเมน jiopjieraee.info และ kolteranka.info

ซึ่งเคยมีประวัติเป็นโดเมนในการปล่อยไวรัสคอมพิวเตอร์

ทำการวิเคราะห์ค่า Hostname ภายใต้ไอพีแอดเดรสนี้ ผลลัพธ์ คือ

(1) jiopjieraee.info

(2) kolteranka.info

โดยทั้ง 2 Hostname นี้มีการเชื่อมโยงของเส้นทางข้อมูลเหมือนกัน

สรุปความเชื่อมโยงค่า Hostname ที่ต้องสงสัยกับการ
jiopjieraee.info และ kolteranka.info มีค่าไอพี  68.168.98.196 ตั้งอยู่ที่ Lenexa, United States
ใช้ Name Server ตัวที่ 1 ชื่อ ns1.regway.com มีค่าไอพี   176.74.216.129 ตั้งอยู่ที่ Czech Republi
ใช้ Name Server ตัวที่ 2 ชื่อ ns2.regway.com มีค่าไอพี   5.153.15.74 และ 159.253.133.210 ตั้งอยู่ที่ Netherlands

 ภาพแผนที่ประเทศที่เกี่ยวข้องทั้ง Hostname , IP Address และ Name server ที่เป็นเครื่องแม่ข่ายในการที่เปลี่ยนเส้นทางข้อมูล (ซึ่งประเทศเหล่านี้อาจไม่เกี่ยวกับการกระทำในครั้งนี้)

  (3) ประวัติไอพีและโดเมนข้อมูลจาก Virustotal ได้ข้อมูลดังนี้

 เคยพบว่ามีไฟล์ไวรัสจากโดเมนแนมภายใต้ไอพีนี้

File identification

MD5 1ff2fd35bd045844dd843648b6ca45c3

SHA1 30ea5fdce20438b83d9bb07bfff3a5372d306d68

SHA256 354c72689d66eef54d793961fade71eb5f39fa2a51206ce728ad1368e753dbe3

ssdeep

6144:C17zBIWl/4Fj5OpVP9L0/1zOMR0blqGp5F9:YmW2j8pVV0V2BqGzF9

File size 296.0 KB ( 303120 bytes )

File type Win32 EXE

Magic literal

PE32 executable for MS Windows (GUI) Intel 80386 32-bit

TrID	Win32 Executable MS Visual C++ (generic) (67.3%) Win32 Dynamic Link Library (generic) (14.2%) Win32 Executable (generic) (9.7%) Generic Win/DOS Executable (4.3%) DOS Executable Generic (4.3%)

Tags

peexe

 VirusTotal metadata

First submission 2013-10-26 20:33:55 UTC ( 5 months, 2 weeks ago )

Last submission 2013-11-03 12:54:34 UTC ( 5 months, 1 week ago )

File names

vt-upload-Jdaak gausvdnlbhmasjdih4i5msdfvnasidbfsdf.exe QEdit.dll

(4) ข้อมูลทางเทคนิค เมื่อทำการตรวจสอบจากเครื่องมือแสกนพอร์ตและตรวจลักษณะเครื่องแม่ข่าย (OS and Services Fingerprint) ได้ผลลัพธ์ดังนี้

Scanning 68-168-98-196.dedicated.codero.net (68.168.98.196)

ไอพีดังกล่าวตั้งอยู่ประเทศสหรัฐอเมริกา ภายใต้ AS10316 CODERO-AS - Codero,US เป็น Dedicate Server ซึ่งใครก็สามารถเช่าเครื่องแม่ข่ายนี้ได้

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 5.3 (protocol 2.0)
|_banner: SSH-2.0-OpenSSH_5.3
| ssh-hostkey: 1024 32:35:a6:b2:2d:61:47:71:f2:b5:3b:5a:6e:58:e0:05 (DSA)
|_2048 d6:8e:d0:93:1b:f8:12:54:cb:4b:58:2d:ed:8f:cf:86 (RSA)
53/tcp open  domain
Device type: general purpose
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.9
Uptime guess: 8.881 days (since Sat Apr  5 19:12:49 2014)

2.2.2 ค่า DNS ที่ถูกเปลี่ยนเป็นไอพี 198.153.194.1 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 60,893 เครื่อง

เมื่อตรวจสอบพบว่าเป็นบริการฟรี DNS ของ ULTRADNS - NeuStar, Inc.,US ซึ่ง Symantec Corporation มาใช้

เมื่อทำการพิจารณาตามค่า ASN ได้ผลลัพธ์การถูกเปลี่ยนค่าดังนี้

ซึ่งจากข้อมูลจะพบว่า AS9737 ถูกเปลี่ยนค่ามากที่สุดพบถึง 53,918 เครื่อง รองลงมา AS45758 พบ 3,553 เครื่องคือ AS23969 จำนวน 3,239 และ AS17552 จำนวน 107 เครื่อง และ AS131090 จำนวน 54 เครื่อง

 

เมื่อตรวจประวัติการแพร่เชื้อไฟล์ไวรัสที่เคยเกิดจากไอพีนี้ จาก Virustotal

จากไอพี  198.153.194.1 พบว่ามีรายการติดเชื้ออยู่จำนวนมาก ดังนี้

Latest files submitted to VirusTotal that are detected by one or more antivirus solutions and communicate with the IP address provided when executed in a sandboxed environment.

46/51 2014-04-14 07:16:56 0e6a7396383d343c78989d4b5613d94e73f9e3babd76e09a2832aea57472281b

45/50 2014-04-13 12:53:40 e93e29cb2931424c7d8063ad7df46c0e7fe8200294106c0d415a9b9256d005db

44/51 2014-04-12 10:30:28 821b8f5325ad05c7d4282cc5a6badbc8911bfe3f513bf393259e69cd533bdc74

45/51 2014-04-10 21:21:21 922880a068aa67591bc211bda7a0ef349413e98e72e31cf3c280104bafccda2e

45/51 2014-04-09 17:00:29 11c9a7ab0a12fb832780c4989d3399d2217e15970c1c3013d34d7c1d6bcfb1e5

46/51 2014-04-09 16:51:42 46a1832a6eb3f7253ae623eefc155baab9be11111f7dcca2b1819a52fa117697

45/51 2014-04-08 16:27:20 bb08b608a2a308052693dc13c8ab411b1f2013512997e594864a1de2b6178452

45/51 2014-04-07 10:01:59 fedd7b0cebe5f6f79c18dc9fb3a1f7c28728e2d3d3e75068fd2ee469d97fbac1

46/50 2014-04-02 03:10:51 4e55242a6ca2af1c32b3bda413665711fe7e5ca8294c769433e0f8755e3abf97

45/51 2014-04-02 01:49:43 db82cfed0003b4fb2e5697c3c0563234af92c4e420335720923eebe3f41ec557

46/51 2014-03-28 07:31:41 5b2848269f1aa07273aadb6d4956d9fb7ce90715e7d3338c46971b66638c436d

1/51 2014-03-20 13:14:48 0baf546d6ac9fd853b11cba89d3f314ca3ff0ca791224aa0753f0441a396dbe7

45/50 2014-03-14 07:27:28 3f311d985f6a52a40703055ae43c8abb6dfe06aaf33c5115abea6097a806d648

ซึ่งส่วนนี้คงต้องวิเคราะห์กันอีกทีว่าทำไมทาง Symantec จึงมีการเปลี่ยนค่า DNS เราเตอร์ในประเทศไทยด้วย อาจเป็นเพื่อการทดลอง วิจัย (Honeypot) หรือเป็นการป้องกันภัยให้กับผู้ใช้งานอินเทอร์เน็ตก็เป็นไปได้ 

2.2.3 ค่า DNS ที่ถูกเปลี่ยนเป็นไอพี 74.82.207.26  มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 47,944 เครื่อง

เมื่อทำการพิจารณาตามค่า ASN ได้ผลลัพธ์การถูกเปลี่ยนค่าดังนี้

ซึ่งจากข้อมูลพบว่า AS9737 ถูกเปลี่ยนค่ามากที่สุดพบถึง 42,268 เครื่อง รองลงมาคือ AS23969  จำนวน 2,441 และ AS45758 พบ 2,434 เครื่อง และ AS17552 จำนวน 700 เครื่อง และ AS131090 จำนวน 66 เครื่อง

ตรวจดูค่า whois ได้ผลลัพธ์คือ

Host script results:
| asn-query: 
| BGP: 74.82.192.0/19 | Country: CA
|   Origin AS: 53612 - CARAT-NETWORKS - Carat Networks Inc,CA
|_    Peer AS: 174 13768
| whois: Record found at whois.arin.net
| netrange: 74.82.192.0 - 74.82.223.255
| netname: CLEARANCE-RACK
| orgname: Carat Networks Inc
| orgid: CLEAR-73
| country: CA stateprov: ON
| 
| orgtechname: Fromm, James
|_orgtechemail: fromm@caratnetworks.com
|_whois-domain: You should provide a domain name.

เคยมีประวัติติดแพร่เชื้อไวรัส พบเมื่อวันที่ 30 มีนาคม 2557  

รายละเอียดที่  https://www.virustotal.com/en/ip-address/74.82.207.26/information/

 2.3 แล้วผู้ใช้งานจะกระทบอะไรหากมีการเปลี่ยนค่า DNS ไปเป็นไอพีนี้

ผลกระทบคือบางเว็บไซต์อาจถูกเปลี่ยนเส้นทางเป็น Phishing site โดยเฉพาะเว็บที่มีข้อมูลส่วนบุคคล , เกี่ยวกับการทำธุรกรรมทางอินเทอร์เน็ต

โดยเฉพาะจะทำการให้มีการหลอกให้ดาวโหลดโปรแกรม Adobe Flash Player Update ซึ่งในโปรแกรมที่ทำการถูกบังคับให้ดาวโหลดนี้จะมีการฝั่ง Spyware ทั้งทีทำการเก็บข้อมูล Password รวมไปถึง Key logger ซึ่งอาจเกิดขึ้นได้

ตัวอย่างโปรแกรม Adobe Flash Player ปลอมที่ติดมัลแวร์ฝั่งในเครื่องคอมพิวเตอร์

ซึ่งไอพีที่สรุปมาให้นั้นล้วนแต่อันตรายและส่งผลให้เครื่องคอมพิวเตอร์ที่อยู่ภายใต้เราเตอร์ที่มีช่องโหว่นี้จำนวนกว่าแสนเครื่องเราเตอร์

3. วิธีการป้องกัน (Protection)

3.1 การป้องกันที่บ้านของเราเอง

3.1.1 ทำการทดสอบช่องโหว่เราเตอร์ด้วยตนเอง

เพื่ออำนวยความสะดวกสำหรับผู้ใช้งานตามบ้านทางทีมงาน SRAN ได้จัดทำระบบตรวจสอบช่องโหว่เบื้องต้นที่  http://sran.net/check  

 ภาพตัวอย่างการเข้าถึงหน้าเพจ http://sran.net/check เพื่อตรวจหาช่องโหว่ที่อาจเกิดขึ้นที่เราเตอร์ที่บ้านโดยในค่าจะบอกถึง IP Address คือไอพีที่ได้รับจากผู้ให้บริการที่เป็น Public IP ค่า Hostname ค่า ASN ของผู้ให้บริการ ชื่อ ISP ประเทศ และค่า Header ของ HTTP 

เมื่อคลิกตรวจสอบผลลัพธ์มี 2 ค่าคือเราเตอร์ไม่มีความเสี่ยง และ มีความเสี่ยง

หากพบว่ามีความเสี่ยงจะขึ้นข้อความเตือนเพื่อทำการแก้ไขให้ปลอดภัยขึ้น

3.1.2 ทำการอัพเดทค่า Firmware ของ Router (หากอัพเดทได้และไม่กระทบ)

3.1.3 หากไม่สามารถทำได้ตามข้อ 3.2 ให้ทำการปิดการติดต่อข้อมูลผ่าน HTTP 80 หรือพอร์ตอื่นๆ ไม่ให้พบค่า IP Publice หรือ IP WANซึ่งเราเตอร์บางรุ่นสามารถ config ค่าได้ผ่านเมนูการป้องกันภัย (Security) แต่วิธีนี้จะทำให้เราไม่สามารถ config router ได้ผ่านอินเทอร์เน็ต

อ่านวิธีป้องกันเพิ่มเติมได้ที่ https://www.thaicert.or.th/alerts/user/2014/al2014us001.html

และ  https://www.thaicert.or.th/papers/general/2014/pa2014ge002.html

3.2 การป้องกันที่ฝั่งผู้ให้บริการอินเทอร์เน็ต 

3.2.1 ไม่ปล่อยให้เกิดค่า Default  ทั้งรหัสผ่าน และ ค่าปรับปรุงระบบเราเตอร์  หรือควรแนะนำลูกค้าหลังจากติดตั้งอุปกรณ์เราเตอร์ให้มีการเปลี่ยนรหัสผ่านไม่ให้ตรงตามโรงงานหรือค่าเริ่มต้นของผู้ให้บริการอินเทอร์เน็ตให้มา

3.2.2 Firmware ที่มีช่องโหว่ ควรมีการเรียกคืนหรือเปลี่ยนเครื่องเราเตอร์เพื่อป้องกันไม่ให้ผู้ใช้งานตามบ้านที่อาจไม่เข้าใจตกเป็นเหยื่อทางอาชญากรรมทางไซเบอร์

3.2.3 หากไม่สามารถทำได้ตามข้อ 3.2.2 ควรจัดหาสคิปหรือบอทที่สามารถสำรวจข้อมูล (Internet Census) เพื่อเปลี่ยนค่า DNS กลับสู่ค่าปกติที่ได้จากผู้ให้บริการอินเทอร์เน็ต เพราะเป็นช่องทางหนึ่งที่จะทำให้ผู้ใช้งานตามบ้านไม่ตกเป็นเหยื่อของเครือข่ายอาชญากรรมทางไซเบอร์

14/04/57
Nontawattana Saraman
SRAN Dev Team

ข้อมูลและเขียนโดย นนทวรรธนะ  สาระมาน  ทีมพัฒนา SRAN
ขอสงวนสิทธิข้อมูลในบทความนี้หากต้องการนำเผยแพร่ควรอ้างอิงแหล่งที่มา
แหล่งข้อมูลอ้างอิง
https://www.robtex.com/
https://www.virustotal.com/
http://he.net

รัฐบาล 21 ประเทศ รวมถึงไทย ใช้สปายแวร์เพื่อจารกรรมข้อมูล

มีประเทศต่าง ๆ มากมายถึง 21 ประเทศที่ได้ใช้สปายแวร์ที่อ้างว่าไม่สามารถสืบหาร่องรอยถึงต้นตอได้ ที่ชื่อว่า "Remote Control System" (RCS)  ที่จัดจำหน่ายโดยบริษัท Hacking Team ที่ตั้งอยู่ที่เมืองมิลาน ประเทศอิตาลี 

นักวิจัยจากซิติเซ่นแล็บ (Citizen Lab) ซึ่งเป็นห้องปฏิบัติการของมหาวิทยาลัยโทรอนโต (University of Toronto) ในแคนาดา ได้ค้นหาความจริงเกี่ยวกับสปายแวร์นี้เป็นเวลาหลายเดือน ก่อนที่จะได้พบความจริงเกี่ยวกับสปายแวร์ตัวนี้ จนถึงขั้นบอกตำแหน่งที่ตั้งได้ 

รายละเอียดการค้นพบอยู่ในรายงานที่เกี่ยวข้องฉบับที่สอง กลุ่มนักวิจัยได้เปิดเผยว่าได้มีการทำการตลาด และขายสปายแวร์ตัวนี้ให้กับหน่วยงานระดับรัฐบาลเท่านั้น โดยบริษัท Hacking Team ที่ตั้งอยู่ที่เมืองมิลาน มากกว่าสองปีแล้ว และสปายแวร์นี้ได้ถูกใช้เพื่อล้วงความลับจาก Mamfakinch สื่อมวลชนโมร็อคโกที่ได้รับรางวัล และนักเคลื่อนไหวทางการเมืองชาวอาหรับเอมิเรตส์ Amed Mansoor และเมื่อเร็ว ๆ นี้ กลุ่มนักข่าวชาวเอธิโอเปียตกเป็นเป้าหมายล่าสุด โดยสปายแวร์นี้ได้ทำการตลาดว่าไม่สามารถสืบหาร่องรอยกลับไปยังผู้ควบคุมที่เป็นหน่วยงานของรัฐบาลได้ 

Hacking Group โฆษณา RCS7 ว่าเป็นชุดซอฟท์แวร์การเจาะระบบสำหรับรัฐบาล เพื่อการดักข้อมูล (hacking suite for governmental interception) ส่วนเวอร์ชั่นถัดมาเรียกว่า "ชุดของการฝังตัว เพื่อการเฝ้าดูจากระยะไกล" (suite of remote monitoring implants) ซึ่งขายให้กับหน่วยงานของรัฐบาลประเทศต่าง ๆ ซอฟท์แวร์ทั้งสองตัวนี้สามารถดักจับข้อมูลที่อยู่ในอุปกรณ์ต่าง ๆ สำเนาข้อมูลที่อยู่ในฮาร์ดดิสก์ บันทึกการโทรศัพท์ผ่านสไกป์ (Skype) และข้อความที่ส่งผ่านโปรแกรม instant messaging ไปจนถึงการบันทึกรหัสผ่านในเว็บบราวเซอร์ และเปิดการใช้งานเว็บแคมและไมโครโฟน โดยผู้ใช้ไม่จำเป็นต้องเชื่อมต่อกับอินเทอร์เน็ตแต่อย่างใด 

 RCS ควบคุมคอมพิวเตอร์ของเหยื่อโดยอาศัยการโจมตีช่องโหว่ในซอฟท์แวร์ นักวิจัยได้อ้างว่ามีผู้จัดหาข้อมูลเกี่ยวกับช่องโหว่ (exploit)ในเชิงพาณิชย์ ได้แก่ Vupen จากฝรั่งเศษ อาจให้ข้อมูลเกี่ยวรายละเอียดของช่องโหว่ที่ใช้โจมตีกับ Hacking Team ตั้งแต่ปีค.ศ. 2012 และหลบหลีกการการตรวจจับโดยการส่งข้อมูลผ่านทาง proxy server ที่ต่างกันสี่แห่งทั่วโลก ทั้งที่ใช้วิธีการเหล่านี้ นักวิจัยกล่าวว่าพวกเขาสามารถตามรอยสปายแวร์นี้ได้ 

"การวิจัยของเราเปิดเผยว่า โครงสร้างพื้นฐานของการรวบรวมข้อมูลของ RCS ใช้เทคนิคที่เรียกว่า proxy-chaining คล้าย ๆ กับวิธีการที่ใช้เพื่อซ่อนตัวตนในอินเทอร์เน็ต อย่างการใช้ Tor โดยใช้เส้นทางหลายจุด เพื่อปกปิดปลายทางของข้อมูลข่าวสาร" นอกจากนี้ยังบอกอีกด้วยว่า "ทั้งที่มีการใช้เทคนิคนี้ เรายังสามารถ บอกตำแหน่งของห่วงโซ่ และปลายทาง (endpoint) เหล่านี้ได้ โดยใช้การวิเคราะห์แบบพิเศษ" ซิติเซ่นแล็บพบว่ามีรัฐบาล 21 แห่งที่ใช้หรือเคยใช้ RCS ได้แก่ อาเซอร์ไบจาน โคลอมเบีย อียิปต์ เอธิโอเปีย ฮังการี อิตาลี คาซัคสถาน เกาหลี มาเลเซีย เม็กซิโก โมร็อกโก ไนจีเรีย โอมาน ปานามา โปแลนด์ ซาอุดีอาระเบีย ซูดาน ไทย ตุรกี สหรัฐอาหรับเอมิเรตส์ และ อุซเบกิสถาน 

ภาพแสดงประเทศลูกค้าของสปายแวร์ RCS 

นักวิจัยได้ชี้ว่าในประเทศที่กล่าวข้างต้นนี้ มีเก้าประเทศที่มีดัชนีชี้วัดประชาธิปไตย (จัดขึ้นโดยนิตยสารดิ อีโคโนมิสต์ ปีค.ศ.2012) ในอันดับต่ำสุด นอกจากนี้ประเทศอียิปต์และตุรกียังมีปัญหาการประท้วงในประเทศอีกด้วย หลังจากมีรายงานที่ซิติเซ่นแล็บเผยแพร่ออกมา 


บริษัท Hacking Team ได้แถลงว่าซอฟท์แวร์ของตนมีจุดประสงค์เพื่อต่อสู้กับอาชญากรรมและการก่อการร้ายเท่านั้น และจะไม่ขายให้กับประเทศที่ถูกจำกัดสิทธิ์หรือขึ้นบัญชีดำโดย สหภาพยุโรป อเมริกา และนาโต้ อย่างไรก็ตามซิติเซ่นแล็บได้โต้แย้งในประเด็นนี้ และยกตัวอย่างมาประกอบ โดยกล่าวถึงกิจกรรมจากปลายทางของ RCS ในอาเซอร์ไบจาน ในระหว่างเดือนมิถุนายนและพฤศจิกายนปีที่แล้ว และชี้แนะว่าเทคนิคคล้าย ๆ กันนี้อาจใช้เพื่อจารกรรมข้อมูลจากนักข่าวสืบสวน Khadija Ismayilova ก่อนการเลือกตั้งระดับชาติ นอกจากนี้ องค์การเพื่อสิทธิมนุษยชน ฮิวแมนไรท์วอทช์ได้รายงานว่า การวิจารณ์รัฐบาลคาซัคสถานได้จางหายไป ในขณะที่ปลายทางของ RCS ได้ทำงานอยู่ในประเทศ ส่วนกิจกรรมของ RCS ในอิตาลีที่เป็นต้นกำเนิดของ RCS พบว่ามีความเข้มข้นมาก นักวิจัยจากซิติเซ่นแล็บได้กล่าวสรุปการค้นพบว่า การบุกรุกระบบโดยใช้สปายแวร์ส่วนใหญ่เหล่านี้อาจได้รับการรับรองทางกฏหมาย และสังเกตเห็นถึงการร่วมมือกันระหว่างบริษัทที่ขายโปรแกรมโจมตีช่องโหว่ซอฟท์แวร์ (exploit kit) และบริษัทที่ขายโทรจันที่ขโมยข้อมูลผู้ใช้ และกล่าวเพิ่มเติมว่าการบุกรุกในลักษณะนี้ "ไม่เหมาะสม" และ "ไม่รับผิดชอบ" อย่างยิ่ง 


รายการของปลายทาง RCS ในประเทศต่าง ๆ 

Endpoint IP    ประเทศ    พบครั้งแรก    พบครั้งสุดท้าย     
109.235.193.83    อาเซอร์ไบจาน    6/2/2013    11/26/2013     
190.242.96.49    โคลอมเบีย    10/21/2013    1/7/2014     
41.33.151.150    อียิปต์    3/10/2013    10/29/2013     
216.118.232.xxx    เอธิโอเปีย    11/18/2013    2/3/2014     
81.183.229.xxx    ฮังการี    6/16/2012    ยังทำงานอยู่     
2.228.65.226    อีตาลี    10/26/2012    ยังทำงานอยู่     
82.104.200.51    อีตาลี    9/17/2012    12/2/2013     
88.33.54.xxx    อีตาลี    6/4/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/18/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/17/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/18/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/18/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/17/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/15/2012    ยังทำงานอยู่     
89.218.88.xxx    คาซัคสถาน    8/21/2013    ยังทำงานอยู่     
211.51.14.129    เกาหลี    8/26/2012    1/7/2014     
203.217.178.xxx    มาเลเซีย    5/28/2012    ยังทำงานอยู่     
189.177.47.xxx    เม็กซิโก    1/30/2014    ยังทำงานอยู่     
189.177.65.13    เม็กซิโก    11/13/2013    12/10/2013     
189.177.74.147    เม็กซิโก    11/1/2013    11/1/2013     
201.157.43.60    เม็กซิโก    10/13/2013    1/7/2014     
200.67.230.2    เม็กซิโก    5/25/2012    ยังทำงานอยู่     
41.248.248.xxx    เม็กซิโก    6/3/2012    ยังทำงานอยู่     
41.248.248.xxx    เม็กซิโก    7/25/2012    ยังทำงานอยู่     
41.248.248.xxx    เม็กซิโก    6/12/2012    ยังทำงานอยู่     
41.248.248.xxx    เม็กซิโก    5/27/2012    ยังทำงานอยู่     
81.192.5.xxx    เม็กซิโก    7/25/2012    ยังทำงานอยู่     
62.251.188.xxx    เม็กซิโก    5/31/2012    ยังทำงานอยู่     
197.210.255.178    ไนจีเรีย    9/15/2013    10/21/2013     
95.49.xxx.xxx53    โปแลนด์    8/10/2012    ยังทำงานอยู่     
37.242.13.10    ซาอุดิอาระเบีย    1/7/2014    1/7/2014     
62.149.88.20    ซาอุดิอาระเบีย    6/5/2012    7/2/2013     
41.78.109.91    ซูดาน    12/14/2012    1/12/2014     
203.149.47.xxx    ไทย    10/4/2013    ยังทำงานอยู่     
95.9.71.180    ตุรกี    11/13/2013    11/19/2013     
81.95.226.134    อุซเบกิสถาน    8/7/2013    9/2/2013     
81.95.224.10    อุซเบกิสถาน    1/22/2013    1/26/2013     
217.29.123.184    อุซเบกิสถาน    7/21/2013    9/16/2013    


SRAN Dev Team
02/2557

อ่านรายละเอียดเพิ่มเติมได้จาก 

https://citizenlab.org/2014/02/mapping-hacking-teams-untraceable-spyware/ 
https://citizenlab.org/2014/02/hacking-team-targeting-ethiopian-journalists/ ข้อมูลอ้างอิงจาก http://www.scmagazineuk.com/21-governments-have-used-untraceable-spyware/article/334346/ http://www.spiegel.de/netzwelt/web/software-von-hacking-team-dient-der-hatz-auf-dissidenten-a-954027.html

การป้องกัน DDoS/DoS สำหรับเว็บไซต์สาธารณะ

การป้องกัน DDoS/DoS สำหรับเว็บไซต์

เรื่อง DDoS/DoS เป็นเรื่องป้องกันยากแต่เราสามารถลดความเสี่ยงได้ ซึ่งทางทีมงานเราได้คิดค้นเทคนิคเรียกว่า
SRAN i[n] Block เป็นบริการหนึ่งของบริษัทโกลบอลเทคโนโลยี อินทรีเกรดเทค (www.gbtech.co.th) จัดทำขึ้นมาเพื่อวัถตุประสงค์ป้องกันเว็บไซต์ในประเทศไทยให้ปลอดภัยจากภัยคุกคามทางไซเบอร์ อีกทั้งเสริมประสิทธิภาพให้เว็บไซต์ที่ใช้บริการมีการเข้าถึงข้อมูลได้อย่างรวดเร็ว ด้วยนิยามที่ว่า “Fast and Secure” โดยการให้บริการผ่านระบบคลาวด์คอมพิวติ้ง (Cloud Computing) โดยผู้ใช้งานไม่ต้องลงทุนด้านฮาร์ดแวร์และซอฟต์แวร์ และใช้งานได้ทุกระบบปฏิบัติการ ไม่ต้องเปลี่ยนค่าโค้ดของเว็บไซต์ เพียงแค่ปรับเปลี่ยนค่าดีเอ็นเอส (DNS) ในเครื่องเว็บเซิร์ฟเวอร์ ใช้เวลาไม่เกิน 10 นาที เว็บไซต์ของหน่วยงานท่านก็จะมีความมั่นคงปลอดภัยทางข้อมูลมากขึ้น หลีกเลี่ยงภัยคุกคามที่เข้าถึงเว็บไซต์ได้อย่างมีประสิทธิภาพ ประหยัดงบประมาณในการลงทุนป้องกันภัยเป็นลักษณะ Cloud Computer
ส่วนติดตั้งที่ Site งานเราจะใช้ร่วมกับอุปกรณ์ Net Optics รุ่น iBypass รวมเรียกบริการว่า

ด้วยเทคโนโลยีเครือข่ายอัจฉริยะที่ทางทีมงาน SRAN ได้พัฒนาขึ้นจะทำให้เว็บไซต์ที่ใช้บริการ iBlock สามารถหยุดยั้งภัยคุกคามที่เกิดขึ้นจากการโจมตีผ่านช่องทางเว็บแอฟลิเคชั่น (Web Application hacking) ไม่ว่าเป็นการโจมตีที่พยายามเข้าถึงระบบฐานข้อมูล , การโจมตี DDoS/DoS และอื่นๆ รวมมากกว่า 1,000 รูปแบบการโจมตี รวมถึงมีการให้บริการเสริมเพื่อทำการปิดกั้นการเข้าถึงข้อมูลด้วยชุดไอพีแอดเดรสแบบอำพรางตนเอง (Tor Network)  ซึ่งทำให้เว็บไซต์ของหน่วยงานมีความปลอดภัยจากนักโจมตีระบบมากขึ้น 

ภาพแสดงขั้นตอนการทำงานของ IN Block Services

ขั้นตอนที่ 1 ก่อนใช้บริการ SRAN IN Block เว็บไซต์ทั่วไปได้ถูกออกแบบมาให้มีการติดต่อสื่อสารแบบ Client – Server กล่าวคือมีการติดต่อผ่านอินเทอร์เน็ตแล้วเข้าเยี่ยมชมเนื้อหาบนเว็บไซต์ได้โดยตรง  เมื่อมีการจดทะเบียนชื่อโดเมนแนม และค่าไอพีแอดเดรสที่ได้จากผู้ให้บริการอินเทอร์เน็ต (ISP : Internet Services Provider) ซึ่งเป็นการติดต่อสื่อสารเว็บไซต์ทั่วไปโดยผู้ใช้งานจะสามารถเรียกข้อมูลได้โดยตรงโดยที่ไม่สามารถแยกแยะได้ว่าผู้ใช้งานดังกล่าวติดเชื้อหรือมีลักษณะถึงการโจมตีเว็บไซต์ เจาะระบบข้อมูล ซึ่งจะเห็นได้ว่าวิธีนี้ไม่ได้ช่วยในการป้องกันภัยที่อาจเกิดขึ้น ต่อมาได้มีการคิดค้นวิธีการป้องกันโดยนำเอาอุปกรณ์ป้องกันหรือเรียกว่า Web Application Firewall ที่เป็นฮาร์ดแวร์ Appliance มาติดตั้งอยู่หน้าเว็บไซต์ซึ่งกรณีนี้จะทำให้ผู้ใช้งานต้องลงทุนในการติดตั้งและซื้ออุปกรณ์มาป้องกันภัยด้วยงบประมาณสูง เป็นเหตุผลให้เกิดบริการ SRAN IN Block ขึ้นมาเพื่อให้เว็บไซต์มีความปลอดภัยและเข้าถึงข้อมูลรวดเร็ว อีกทั้งประหยัดงบประมาณไม่ต้องลงทุนซื้อฮาร์ดแวร์และซอฟต์แวร์

ขั้นตอนที่ 2 เมื่อใช้บริการ SRAN IN Block ผู้ให้บริการเว็บไซต์ต้องทำการเปลี่ยนค่า DNS ในเครื่องเว็บเซิร์ฟเวอร์ เพื่อชี้ค่าไปที่ SRAN IN Block Center ซึ่งจัดทำบนระบบคลาวด์คอมพิวติ้ง (Cloud Computing) เมื่อมีการอัพเดทค่า DNS ใหม่ ผู้ใช้งานทั่วไปเมื่อเปิดหน้าเว็บเพจที่ใช้บริการ SRAN IN Block ก็จะเข้าถึงข้อมูลได้อย่างปกติ แต่เพิ่มการป้องกันภัยและมีความรวดเร็วขึ้น “Fast and Secure”

ขั้นตอนที่ 3 ด้วยคุณสมบัติในการป้องกันการโจมตีระบบ (Web Application Firewall) , การอำพรางค่าไอพีแอดเดรสเพื่อวัตถุประสงค์โจมตีเว็บไซต์ ก็จะไม่สามารถทำได้โดยสะดวก ด้วยเทคโนโลยี SRAN IN Block จะทำให้ลดความเสี่ยงที่จะเกิดขึ้นต่อเว็บไซต์หน่วยงานของท่านได้ และมีการจัดเก็บค่า Log File เพื่อให้สอดคล้องกับกับกฎหมายในประเทศไทยตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย

I[N] block จะทำให้เว็บไซต์และโดเมนของคุณปลอดภัยขึ้นด้วยคุณสมบัติดังต่อไปนี้

1. ระบบรักษาความมั่นคงปลอดภัยทางข้อมูล (Web Application Security) โดยมีรูปแบบการป้องกันตามมาตรฐาน OWASP และรูปแบบการโจมตีมากกว่า 1,000 รายการ ซึ่งมีการโจมตีหลักๆ ที่เป็นภัยอันตรายต่อเว็บไซต์ดังนี้

• การป้องกันการโจมตีลักษณะ XSS (Cross site scripting)
• การป้องกันการโจมตีลักษณะ
• การป้องกันการโจมตีลักษณะ RFI (Remote Files Inclusion) และการยิงโค้ด Exploit ที่มีผลกระทบต่อระบบ
• การป้องกันการใส่ค่า character in request ที่ส่งผลกระทบต่อระบบเว็บไซต์
• การป้องกันการพยายามเข้าถึงระบบโดยการสุ่มเดารหัสผ่าน (Brute Force Password)
• การป้องกันการโจมตีชนิด DDoS/DoS
• การป้องกันจากการใช้เครื่องมือตรวจสอบช่องโหว่(Security Scanner)
• การป้องกันสแปมและบอทเน็ตในการเข้ามาสร้างความเสียหายแก่เว็บไซต์
• มีความสามารถตรวจจับ bot/crawler ที่เข้ามาสอดแนมข้อมูลในเว็บไซต์และแยกประเภทของบอทได้ว่ามีที่มาจากที่ไหน

2. ระบบป้องกันไอพีแอดเดรสที่ใช้ในการอำพรางตัวตน

เป็นฟังชั่นหนึ่งที่ช่วยลดความเสี่ยงจากนักโจมตีระบบที่มักจะต้องอำพรางค่าไอพีแอดเดรสของตนเองเพื่อทำการเจาะระบบ ทาง SRAN iBlock จึงจัดทำระบบ "IP Reputation" เพื่อทำการคัดกรองค่าไอพีแอดเดรสที่เคยมีประวัติการโจมตี ไม่ว่าเป็น ดังนี้

• ไอพีที่เข้าบัญชีดำ ที่ติดในฐานข้อมูลกับหน่วยงานกลางที่เฝ้าระวังการโจมตี
• ไอพีจากการใช้โปรแกรมทอร์เน็ตเวิร์ค (Tor network)
• ไอพีที่เปิดมาใช้ค่าพร็อกซี่เซิร์ฟเวอร์ที่เปิดใช้แบบสาธารณะ จะมีการอัพเดทข้อมูลทุกวัน (Daily update)

3. ระบบ CDN (Content Delivery Network)

มีการวางระบบ เครือข่ายอัจฉริยะ จะติดตั้งระบบ ทำการเก็บค่าเรียกใช้งานหากมีการเรียกซ้ำก็สามารถเข้าถึงข้อมูลได้ทันที อีกทั้งยังตั้งระบบ SRAN iBlock อยู่ในประเทศที่สำคัญตามจุดต่างๆ ที่มีผู้ใช้บริการทั่วโลก ได้แก่ประเทศญี่ปุ่น ประเทศอังกฤษ ประเทศสหรัฐอเมริกา ประเทศสิงค์โปรและประเทศไทย เพื่อเพิ่มความเร็วในการเรียกดูเนื้อหาเว็บไซต์ในจุดที่ใกล้ที่สุด ของผู้ใช้งานเยี่ยมเข้าชมเว็บไซต์

4. ระบบจัดเก็บบันทึกข้อมูลจราจร (Log Files)

มีการจัดเก็บ บันทึกข้อมูลจราจรหรือ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์พร้อมทั้งสามารถสืบค้นหาข้อมูลลักษณะพฤติกรรมค่าไอพีแอดเดรส เพื่อใช้ในการหาผู้กระทำความผิดได้อย่างสะดวกและรวดเร็ว
โดยข้อมูลใน Log file สามารถบอกค่าได้ทั้ง 5W คือ Who , What , Where , When , Why ประกอบด้วย

• วันเวลา(When)
• ค่าไอพีแอดเดรส (Who)
• สถานที่ ได้แก่ ชื่อผู้ให้บริการ ชื่อสถานที่ของค่าไอพีแอดเดรส ผ่านเทคนิค และการระบุพิกัดตำแหน่งผ่านแผนที่ภูมิสารสนเทศ (Where)
• ค่าการเรียกค่าในเว็บไซต์ GET / POST และลักษณะการโจมตีเว็บไซต์ (What)
• ลักษณะการโจมตีเว็บไซต์เมื่อเทียบฐานข้อมูลช่องโหว่ และภัยคุกคามที่จะเกิดขึ้นต่อเว็บไซต์ที่ใช้บริการ(Why)
  
  
  ตัวอย่างการบริการ
  
  
  1. ตัวอย่างการแสดงค่า Log file ของเว็บ www.gbtech.co.th ที่ใช้บริการ SRAN In Block
      
     
     
     
      ภาพตัวอย่างการแสดงค่า Log file การเข้าถึงข้อมูลเว็บไซต์ทั้งการเข้าถึงข้อมูลที่ปกติไม่มีการโจมตีและการพบการโจมตี ซึ่งค่าที่แสดงใน Log สามารถระบุได้ 5W
     

     Who
     What

     IPAddress
     ค่าGET/POST ที่ URL path

     Where

     สถานที่ชื่อ ISP, ชื่อหน่วยงาน ชื่อเมืองและชื่อประเทศ

     When

     เวลา

     Why

     ลักษณะการโจมตีเว็บไซต์เมื่อเทียบฐานข้อมูลช่องโหว่และภัยคุกคามที่จะเกิดขึ้นต่อเว็บไซต์ที่ใช้บริการ

  2. ตัวอย่างการปิดกั้นการเข้าถึงเว็บไซต์จากการโจมตี ด้วยการโจมตี SQL injection
     ตัวอย่างนี้เป็นข้อมูลจริงที่เกิดขึ้นกับเว็บไซต์ที่ใช้บริการ SRAN IN Block ได้แก่เว็บไซต์ www.gbtech.co.th เมื่อมีการเรียกข้อมูลที่มีลักษณะเป็นการโจมตีระบบ จากตัวอย่างในภาพจะเห็นว่านักโจมตีระบบใช้เทคนิคที่นิยมโจมตีเว็บไซต์หน่วยงานราชการในประเทศไทยคือการโจมตีแบบ “SQL injection” เมื่อนักโจมตีระบบใช้ชุดคำสั่งป้อนเข้าใส่ช่อง URL ในบราวเซอร์ ดังนี้ http://www.gbtech.co.th/site/html/search.php?lang=1-15UnION/**/SElecT%201,2,3,4... เมื่อคำสั่งเข้าสู่เว็บไซต์ที่ใช้บริการ SRAN IN Block จะปรากฏข้อความแจ้งเตือนไปยังนักโจมตีระบบ โดยมีข้อความที่หน้าจอ โดยมีทั้งภาษาไทยและอังกฤษว่า ภาษาอังกฤษ “You are not authorized to access this page. The system detected a possible attempt to compromise security.” ภาษาไทย “ขออภัยที่ไม่สามารถให้คุณเข้าเยี่ยมชมเว็บไซต์ได้ เพราะการเรียกข้อมูลของคุณอาจส่งผลต่อความปลอดภัยเว็บไซต์และมีความเสี่ยงต่อการกระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์”
     
     
     
     
     
     

      ภาพแสดงหน้าจอเมื่อมีการโจมตีเว็บไซต์ผู้ใช้บริการจะมีการปิดกั้นและขึ้นข้อความเตือน เมื่อมีการโจมตีที่ตรงตามเงื่อนไขก็จะพบว่า นักโจมตีระบบจะไม่สามารถเข้าถึงหน้าเพจและข้อมูลในเว็บไซต์ในลักษณะการเรียกข้อมูลนี้ได้ และในหน้าบริการจัดการ SRAN IN Block ก็จะพบ Log file ที่เห็นที่มาของการโจมตีดังนี้

     

      ภาพ Log file ที่พบการโจมตีระบบซึ่งจะสามารถระบุวันเวลา ค่าไอพีแอดเดรสนักโจมตีระบบ ระบบปฏิบัติการของนักโจมตีระบบ และ ชนิดบราวเซอร์ที่ใช้ในการโจมตีระบบและสามารถใช้เป็นหลักฐานในการดำเนินคดีความได้

     
     
     
  3. ตัวอย่างการปิดกั้นการเข้าถึงเว็บไซต์จากการโจมตี Remote Exploit ผ่านช่องโหว่ของ Wordpress
     เนื่องจาก Wordpress เป็น CMS (Content Management System) ที่คนไทยและทั่วโลกนิยมใช้กันในการจัดทำเป็นเว็บไซต์หน่วยงานเพื่อเผยแพร่ข้อมูลกันเป็นจำนวนมาก ตัวอย่างการโจมตี “Virtual just in Time Patch : TimThumb Remote Code Execution Vulnerability Exploit attempt” ซึ่ง TimThumb เป็น Plugins หนึ่งของ Wordpress เข้าโจมตีที่ http://www.gbtech.co.th/wp-content/themes/TheCorporation/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.agmcmortgage.com%2Fbad.php ก็จะพบหน้าแจ้งเตือนไปยังนักโจมตีระบบและระงับการเข้าถึงข้อมูลเว็บไซต์
     

      ภาพหน้าจอแจ้งเตือนต่อนักโจมตีระบบเมื่อมีการพยายามโจมตีระบบด้วยการใส่โค้ดผ่านช่องโหว่ Wordpress

     แสดงค่าใน Log file จะพบวันเวลา และค่าไอพีแอดเดรสของนักโจมตีระบบ
     

      ภาพ Log file ที่พบการโจมตีระบบซึ่งจะสามารถระบุวันเวลา ค่าไอพีแอดเดรสนักโจมตีระบบ ระบบปฏิบัติการของนักโจมตีระบบ และ ชนิดบราวเซอร์ที่ใช้ในการโจมตีระบบได้

     
     
  4. ตัวอย่างการค้นหาข้อมูลการโจมตีจาก Log file
     เมื่อผู้ใช้บริการ SRAN IN Block Services ต้องการค้นหาว่ามีค่าไอพีแอดเดรสของนักโจมตีระบบเว็บไซต์เกิดขึ้นเมื่อวันเวลาใดและเหตุการณ์อะไรนั้น สามารถค้นหาได้ผ่านระบบสืบค้นซึ่งจะทำให้สืบหาการกระทำความผิดทางเทคโนโลยีได้อย่างสะดวกและรวดเร็วขึ้น
  5. ตัวอย่างการค้นหา การโจมตีชนิด Cross Site Scripting
     
     
     

      ภาพตัวอย่างการค้นหาความพยายามที่โจมตีเว็บไซต์ชนิด Cross site Scripting

     
     
  6. ต้วอย่างการแสดงผลภาพรวมการโจมตีผ่านแผนที่ภูมิสารสนเทศ
     
     

     
     
     

      ภาพการแสดงแผนที่การโจมตีจะทำให้ผู้ใช้บริการทราบว่าเว็บไซต์ของหน่วยงานเรานั้นถูกโจมตีจากประเทศใดบ้างซึ่งหากสีเข้มพบว่ามีการโจมตีสูงจากภาพพบว่าเว็บไซต์ www.gbtech.co.th ถูกโจมตีจากประเทศไทยเป็นจำนวน 2,373 ครั้ง ข้อมูลของวันที่ 18 มิถุนายน 2556

     
     
  7. รายงานภาพรวมการโจมตีเว็บไซต์ที่ใช้บริการ SRAN IN Block
     
     
     

      ภาพลำดับการโจมตีเว็บไซต์ด้วยเทคนิคต่างๆ 20 อันดับโดยวัดค่าจากจำนวนครั้งที่โจมตีจากมากไปน้อย

  8. การป้องการเข้าถึงข้อมูลเว็บไซต์จากการอำพรางค่าไอพีแอดเดรส 
     
     
     
     
     
     

      ภาพเมื่อทำการเปิดโปรแกรม Tor network เพื่อจะทำการอำพรางไอพีแอดเดรสของตนเอง จากภาพจะได้ค่า IP คือ 173.254.216.69 และเมื่อทำการเปิดเว็บไซต์ www.gbtech.co.th ก็จะถูกปิดกั้นและขึ้นข้อความเตือนเนื่องจากมีการอำพรางไอพีแอดเดรส

     
     ปัจจุบันทั้งหมดอยู่ในบริการเรียกว่า
     
     
      ที่ทางกลุ่ม SRAN Dev นำเสนอเพื่อเป็นทางเลือกหนึ่งในสินค้าบริการจากประเทศไทย