FLOODING…

กำลังอยู่กับน้ำ ขอหายไปสักพักใหญ่ แต่พลาดวันเวลานี้ไม่ได้จริงๆ เขาฮิดกันทั่วโลกจริงๆ

Social Engineering

สวัสดีครับ หายไปนาน โชคดียังกลับมาเขียนต่อได้ แต่สถานการณ์น้ำท่วมยังไม่ดีขึ้นเลยครับ ตามข่าวหนักมาก อันตรายมากๆด้วย

 

วันนี้จะมาเล่าสั้นๆเกี่ยวกับ Social Engineering วิศวกรรมทางสังคม มันคือเทคนิควิธีการที่ใช้หลอกลวง เพื่อเอาข้อมูล เพื่อให้ได้สิ่งที่ต้องการ  ผมยกตัวอย่างง่ายๆ กรณีที่หลอกให้คนกด ATM โอนเงินให้ กรณีนี้คงจะเป็นที่ทราบกันดีและเข้าใจได้ง่าย เพราะเป็นข่าวให้ได้รับทราบกันอยู่ นี่ก็เป็นอีกตัวอย่างหนึ่งที่ชัดเจน ศึกษาเพิ่มเติมได้จากบทความตามลิงกิ์ด้านล่างครับ เขาทำไว้ดีแล้ว

 

1.  http://library.rtna.ac.th/web/RTNA_Journal/y.5c.3/3.pdf

2.  http://www.navy.mi.th/elecwww/magaz/magazine/no12/4.pdf

ในโอกาสต่อไปผมจะเอาเครื่องมือตัวนึงมาให้เห็นการทำงานว่ามันมีอันตรายอยู่รอบตัวคุณ สำหรับคนเรียนศาสตร์คอมพิวเตอร์เมื่อสิบกว่าปีที่แล้ว และไม่ได้ทำงานด้านความปลอดภัยเห็นแล้วจะทึ่งว่าเดี๋ยวนี้มันทำเป็น tool แล้ว ในขณะที่แต่ก่อนก็ท่องๆเหมือนในลิงก์ที่ให้ไว้เพื่อไปสอบเท่านั้น

 

may security be with you 🙂

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

RSA tokens hacked

กรณีศึกษา RSA Tokens ถูกแฮก

ที่ผมเขียนทิ้งท้ายไว้หลายครั้งแล้ว เรื่องบริษัท RSA ถูกแฮก เมื่อเดือนมีนาคม 2554 มีเป้าหมายพุ่งเป้าไปที่ RSA SecurID tokens (กรณีนี้คนละอันกันกับ Crack RSA Algorithm นะครับ)

หน้าตาของตัว Token ยี่ห้อ RSA นี่แหล่ะคือเป้าหมาย

เพื่ออะไร? เขาว่ากันว่าแฮกเกอร์ต้องการจะเจาะระบบเข้าไปที่บริษัท Lockheed Martin และ Northrop Grumman ซึ่งสองบริษัทนี้เป็นบริษัทวิจัยและผลิตอาวุธทางทหารของประเทศสหรัฐอเมริกา แฮกเกอร์ต้องการเจาะเข้าไปขโมยความลับทางทหารของอเมริกา และสองบริษัทนี้ใช้ RSA SecuID tokens อยู่จึงเป็นเป้าหมายในการหาทางเจาะเข้าไป เลยไปเจาะ RSA ก่อนเพื่อเอาข้อมูลเกี่ยวกับการ Authentication ด้วยการส่งอีเมลไปหลอกเหยื่อซึ่งเป็นพนักงานของ RSA แล้วหลอกให้เปิดไฟล์ในอีเมลซึ่งฝัง Trojan ไว้ (โปรแกรมอันตรายเปิดประตูลับไว้รอ) เมื่อได้ข้อมูลที่ต้องการก็กลับไปเจาะที่เป้าหมายที่วางไว้

มีนักวิจัยด้านความปลอดภัยในฟินแลนด์เขาค้นพบวิธีการแฮกนี้ เพราะความเป็นจริงไม่ค่อยมีการเปิดเผยจากแหล่งต้นเรื่องอยู่แล้ว แฮกเกอร์ได้ส่งอีเมลไปที่พนักงานบริษัท EMC บริษัท EMC เป็นบริษัทลูกของ RSA อีกที โดยแนบไฟล์ชื่อว่า 2011 recruitment plan.xls ซึ่งมีโปรแกรมอัตรายฝังตัวอยู่ในไฟล์นี้ หลังจากที่เกิดเหตุการณ์บรรดานักวิจัยความปลอดภัยต่างถกกันว่าจะหาไฟล์นี้ได้จากไหน จะเอามาศึกษาและใช้กับซอฟท์แวร์ป้องกันต่างๆ เพราะทาง RSA เก็บไว้ไม่ได้เปิดเผย ไม่มีใครมีไม่มีใครหาได้

Timo Hirvonen นักวิจัยความปลอดภัยของห้องแล็ปพยายามหาไฟล์นี้ตั้งแต่เดือนเมษายนก็ไม่ได้สักที หลังจากนั้นห้าเดือนเขาก็ได้มันมา โดยพบใน Virustotal.com (ลองไปใช้เวบนี้ดูครับมีประโยชน์ เดี๋ยวหยิบมาเขียนแนะนำอีกทีก็ได้ครับ) ซึ่งพนักงานของ EMC ได้ลองอัพโหลดไฟล์ไปที่นี่ตั้งแต่วันที่ 19 มีนาคม 2554 แล้ว นั่นหมายความว่าบริษัท anti virus, infoSec เกือบทุกยี่ห้อได้ไฟล์นี่ไปกันหมดตั้งนานแล้ว

ไฟล์ดังกล่าวถูกอัพโหลดไปเวบ VirusTotal ตามวันเวลาในภาพ

ทีนี้มาดูหน้าตาของอีเมลที่ว่ากัน อีเมลปลอมที่แฮกเกอร์ส่งมา โดยปลอมว่าส่งมาจากเว็บ Beyond.com เป็นเว็บบริการเกี่ยวกับการจัดหางาน ตามภาพเลยครับ มีการส่งหาพนักงานคนนึง และ cc ถึงคนอื่นอีกสามคน

อีเมลของเหตุการณ์นี้

โดยหน้าตาของไฟล์เมื่อเปิดจะมีหน้าตาแบบนี้ครับ แต่เปิดแล้วในไฟล์จะไม่มีข้อมูลอะไร สัก 3 วินาทีมันก็จะปิดตัวเองไป (หลังจากที่เปิดไฟล์ โปรแกรมอันตรายนั้นมันก็ทำงานเรียบร้อย)  โดยโปรแกรมตัวนี้ใช้ช่องโหว่ของ flash object (มันภาพเคลื่อนไหวที่เห็นได้ตามเว็บทั่วไป) และด้วยที่ว่าโปรแกรม microsoft excel สามารถฝัง flash object ไว้ได้ (บางคนอาจจะเคยเล่นเกมแฟลชแต่อยู่ในไฟล์ excel อีกที) ฝังตัวที่ชื่อว่า Poison Ivy Backdoor ไว้ในไฟล์

ทันทีที่ไฟล์ถูกเปิด มันก็จะทำงานทันทีเช่นกัน โดยสร้าง connection ไปที่โดเมนชุดหนึ่ง ภายในไม่ถึงวินาทีด้วยซ้ำ ตามภาพเลยครับ

โปรแกรมสร้างการเชื่อมต่อไปที่นี่

เรียบร้อยครับ แฮกเกอร์สามารถ เข้ามาทำอะไรก็ได้โดยที่ผู้ใช้งานไม่รู้ตัวเลย สร้างท่อสร้างเส้นทางไว้เรียบร้อย Timo พูดว่าการแฮกนี้ advance ไหม? เขาบอกว่า email ไม่ได้ advance เลยดูสิ, backdoor ก็ไม่ได้ advance เลย แต่ตัว Exploit นี่แหล่ะที่ advance แล้วก็ แล้วถ้าไปมองเป้าหมายที่แฮกเกอร์ต้องการจะเจาะจริงๆ Timo บอกว่านี่ ultimate attacker เลย

ส่วนตัวผมนะ บอกเลยว่านี่มัน ultimate จริงๆครับ อย่างที่เขาบอกเลย นี่คือลักษณะนิสัยของแฮกเกอร์ คือ Challenge them self ต้องบรรลุเป้าหมายให้ได้ ภายหลังจากเหตุการณ์นี้สัก 3-4 เดือน ทาง RSA ก็เปลี่ยน Token ทั่วโลกใหม่หมด โดยวิธีการแก้ขัดเท่าที่ถามคนใช้งานคือ เข้าเพิ่มตัวเลขหน้าหลังเข้ามาอีก ผมไม่แน่ใจลูกค้าในไทยเขาเปลี่ยนให้หรือยัง อาจจะมีบางองค์กรที่ใช้ Token นี้อยู่ไม่รู้ด้วยซ้ำว่ามันมีความเสียง จนกระทั่ง RSA ติดต่อมาเองว่าจะเปลี่ยนของให้ อันนี้ต้องพิจารณาแล้วละครับ ถ้าหากว่าคุณใช้ของแพงขนาดนี้ นั่นหมายความว่า information  ของคุณสำคัญมากขนาดไหน แต่คุณไม่รู้ว่ามันเกิดอะไรขึ้น จะต้องทำยังไงดี

ในงาน 2nd Annual Regional Collaboration in Cyber Security Conference Bangkok ก็เจ้าหน้าที่ระดับสูงของ RSA มาเหมือนกัน แล้วก็โดนยิงคำถามกลางงานใหญ่ โดยนายทหารของกระทรวงกลาโหมสหรัฐว่า เรื่องที่เกิดขึ้นคุณเคลียร์ไปหรือยัง ลักษณะจะถามข่มให้เสียหน้าต่อธารกำนัลเฉยๆ เพราะจริงๆเขาดีลกันหมดอยู่แล้วตั้งแต่เกิดเรื่อง เหมือนเอาเรื่องภายในบ้านมาพูดข้างนอกบ้านให้คนอื่นได้ยิน 🙂