RSA tokens hacked

กรณีศึกษา RSA Tokens ถูกแฮก

ที่ผมเขียนทิ้งท้ายไว้หลายครั้งแล้ว เรื่องบริษัท RSA ถูกแฮก เมื่อเดือนมีนาคม 2554 มีเป้าหมายพุ่งเป้าไปที่ RSA SecurID tokens (กรณีนี้คนละอันกันกับ Crack RSA Algorithm นะครับ)

หน้าตาของตัว Token ยี่ห้อ RSA นี่แหล่ะคือเป้าหมาย

เพื่ออะไร? เขาว่ากันว่าแฮกเกอร์ต้องการจะเจาะระบบเข้าไปที่บริษัท Lockheed Martin และ Northrop Grumman ซึ่งสองบริษัทนี้เป็นบริษัทวิจัยและผลิตอาวุธทางทหารของประเทศสหรัฐอเมริกา แฮกเกอร์ต้องการเจาะเข้าไปขโมยความลับทางทหารของอเมริกา และสองบริษัทนี้ใช้ RSA SecuID tokens อยู่จึงเป็นเป้าหมายในการหาทางเจาะเข้าไป เลยไปเจาะ RSA ก่อนเพื่อเอาข้อมูลเกี่ยวกับการ Authentication ด้วยการส่งอีเมลไปหลอกเหยื่อซึ่งเป็นพนักงานของ RSA แล้วหลอกให้เปิดไฟล์ในอีเมลซึ่งฝัง Trojan ไว้ (โปรแกรมอันตรายเปิดประตูลับไว้รอ) เมื่อได้ข้อมูลที่ต้องการก็กลับไปเจาะที่เป้าหมายที่วางไว้

มีนักวิจัยด้านความปลอดภัยในฟินแลนด์เขาค้นพบวิธีการแฮกนี้ เพราะความเป็นจริงไม่ค่อยมีการเปิดเผยจากแหล่งต้นเรื่องอยู่แล้ว แฮกเกอร์ได้ส่งอีเมลไปที่พนักงานบริษัท EMC บริษัท EMC เป็นบริษัทลูกของ RSA อีกที โดยแนบไฟล์ชื่อว่า 2011 recruitment plan.xls ซึ่งมีโปรแกรมอัตรายฝังตัวอยู่ในไฟล์นี้ หลังจากที่เกิดเหตุการณ์บรรดานักวิจัยความปลอดภัยต่างถกกันว่าจะหาไฟล์นี้ได้จากไหน จะเอามาศึกษาและใช้กับซอฟท์แวร์ป้องกันต่างๆ เพราะทาง RSA เก็บไว้ไม่ได้เปิดเผย ไม่มีใครมีไม่มีใครหาได้

Timo Hirvonen นักวิจัยความปลอดภัยของห้องแล็ปพยายามหาไฟล์นี้ตั้งแต่เดือนเมษายนก็ไม่ได้สักที หลังจากนั้นห้าเดือนเขาก็ได้มันมา โดยพบใน Virustotal.com (ลองไปใช้เวบนี้ดูครับมีประโยชน์ เดี๋ยวหยิบมาเขียนแนะนำอีกทีก็ได้ครับ) ซึ่งพนักงานของ EMC ได้ลองอัพโหลดไฟล์ไปที่นี่ตั้งแต่วันที่ 19 มีนาคม 2554 แล้ว นั่นหมายความว่าบริษัท anti virus, infoSec เกือบทุกยี่ห้อได้ไฟล์นี่ไปกันหมดตั้งนานแล้ว

ไฟล์ดังกล่าวถูกอัพโหลดไปเวบ VirusTotal ตามวันเวลาในภาพ

ทีนี้มาดูหน้าตาของอีเมลที่ว่ากัน อีเมลปลอมที่แฮกเกอร์ส่งมา โดยปลอมว่าส่งมาจากเว็บ Beyond.com เป็นเว็บบริการเกี่ยวกับการจัดหางาน ตามภาพเลยครับ มีการส่งหาพนักงานคนนึง และ cc ถึงคนอื่นอีกสามคน

อีเมลของเหตุการณ์นี้

โดยหน้าตาของไฟล์เมื่อเปิดจะมีหน้าตาแบบนี้ครับ แต่เปิดแล้วในไฟล์จะไม่มีข้อมูลอะไร สัก 3 วินาทีมันก็จะปิดตัวเองไป (หลังจากที่เปิดไฟล์ โปรแกรมอันตรายนั้นมันก็ทำงานเรียบร้อย)  โดยโปรแกรมตัวนี้ใช้ช่องโหว่ของ flash object (มันภาพเคลื่อนไหวที่เห็นได้ตามเว็บทั่วไป) และด้วยที่ว่าโปรแกรม microsoft excel สามารถฝัง flash object ไว้ได้ (บางคนอาจจะเคยเล่นเกมแฟลชแต่อยู่ในไฟล์ excel อีกที) ฝังตัวที่ชื่อว่า Poison Ivy Backdoor ไว้ในไฟล์

ทันทีที่ไฟล์ถูกเปิด มันก็จะทำงานทันทีเช่นกัน โดยสร้าง connection ไปที่โดเมนชุดหนึ่ง ภายในไม่ถึงวินาทีด้วยซ้ำ ตามภาพเลยครับ

โปรแกรมสร้างการเชื่อมต่อไปที่นี่

เรียบร้อยครับ แฮกเกอร์สามารถ เข้ามาทำอะไรก็ได้โดยที่ผู้ใช้งานไม่รู้ตัวเลย สร้างท่อสร้างเส้นทางไว้เรียบร้อย Timo พูดว่าการแฮกนี้ advance ไหม? เขาบอกว่า email ไม่ได้ advance เลยดูสิ, backdoor ก็ไม่ได้ advance เลย แต่ตัว Exploit นี่แหล่ะที่ advance แล้วก็ แล้วถ้าไปมองเป้าหมายที่แฮกเกอร์ต้องการจะเจาะจริงๆ Timo บอกว่านี่ ultimate attacker เลย

ส่วนตัวผมนะ บอกเลยว่านี่มัน ultimate จริงๆครับ อย่างที่เขาบอกเลย นี่คือลักษณะนิสัยของแฮกเกอร์ คือ Challenge them self ต้องบรรลุเป้าหมายให้ได้ ภายหลังจากเหตุการณ์นี้สัก 3-4 เดือน ทาง RSA ก็เปลี่ยน Token ทั่วโลกใหม่หมด โดยวิธีการแก้ขัดเท่าที่ถามคนใช้งานคือ เข้าเพิ่มตัวเลขหน้าหลังเข้ามาอีก ผมไม่แน่ใจลูกค้าในไทยเขาเปลี่ยนให้หรือยัง อาจจะมีบางองค์กรที่ใช้ Token นี้อยู่ไม่รู้ด้วยซ้ำว่ามันมีความเสียง จนกระทั่ง RSA ติดต่อมาเองว่าจะเปลี่ยนของให้ อันนี้ต้องพิจารณาแล้วละครับ ถ้าหากว่าคุณใช้ของแพงขนาดนี้ นั่นหมายความว่า information  ของคุณสำคัญมากขนาดไหน แต่คุณไม่รู้ว่ามันเกิดอะไรขึ้น จะต้องทำยังไงดี

ในงาน 2nd Annual Regional Collaboration in Cyber Security Conference Bangkok ก็เจ้าหน้าที่ระดับสูงของ RSA มาเหมือนกัน แล้วก็โดนยิงคำถามกลางงานใหญ่ โดยนายทหารของกระทรวงกลาโหมสหรัฐว่า เรื่องที่เกิดขึ้นคุณเคลียร์ไปหรือยัง ลักษณะจะถามข่มให้เสียหน้าต่อธารกำนัลเฉยๆ เพราะจริงๆเขาดีลกันหมดอยู่แล้วตั้งแต่เกิดเรื่อง เหมือนเอาเรื่องภายในบ้านมาพูดข้างนอกบ้านให้คนอื่นได้ยิน 🙂

กรณีศึกษา social engineering

วันนี้มีเพื่อนส่งลิงกิ์ผ่านโปรแกรมแชทให้ดู รูปสาวๆในเว็บ social network ด้วยความอยากรู้อยากเห็นของเพื่อนคนนี้ ก็เลยใช้ข้อมูลเท่าที่มองเห็นในเว็บ social network นั้นซึ่งก็ไม่ได้มีอะไรบ่งบอกว่าสาวคนนี้คือใครเห็นแค่หน้า เพื่อนเริ่มเพ้อ… ผมเลยบอก โอเค…. คุณรอผมแป๊ปนึงนะ

…….น่าจะสักห้านาที…….

สักพักก็เจอระบบนึง ให้ทำการยืนยันการเข้าถึงหน้าตาแบบนี้ นามสกุลเว็บคือ .go.th

 

หลังจากลองมั่วอยู่เกือบเก้าร้อยครั้ง ก็เข้าได้…..จริงเหรอ…..  เชื่อไหม สองครั้ง แจ็คพ็อตแตกเลย ครั้งแรกลืมเปลี่ยนภาษา

ดังภาพ มีข้อมูลเยอะกว่านี้แต่ตัดออกไป เหนื่อยจะเซ็นเซอร์  คิดว่าไงครับ….  มันก็คงไม่ได้สำคัญอะไรถ้าคุณหรือใครไม่โดนเข้ากับตัว ถึงผลลัพธ์ของมัน  เพราะแบบนี้มันถึงมีความไม่ปลอดภัยอยู่ทุกหนทุกแห่ง ในขณะที่ต่างประเทศฟ้องร้อง เรียกร้องว่าเว็บต่างๆเก็บข้อมูลส่วนตัวผู้ใช้ไป จนเกิดเรื่อง Hacktivism ขึ้น เพราะเขาไม่เห็นด้วยกับการที่อินเตอร์เน็ตไม่เสรี และไม่เป็นส่วนตัว

 

แต่คนอีกส่วนใหญ่โดยเฉพาะในประเทศไทย กลับเปิดเผยข้อมูลส่วนมากมายให้คนอื่นรับรู้ จนเป็นประโยชน์ให้กับผู้ไม่ประสงค์ใช้ข้อมูลต่างๆในการก่อเรื่องเดือดร้อนวุ่นวาย บางกรณีถึงขั้นเสียชีวิต คุณลองคิดดูสิว่า ในหน้าเว็บ social networking ต่างๆ ให้ข้อมูลชื่อที่อยู่ ที่พัก รายละเอียดการศึกษา ที่ทำงาน ยิ่งทุกวันนี้บอกสถานะกัน real time ถึงที่ที่ยืนอยู่ โอ้โห…. อยากให้ใครๆติดตามดูแลความปลอดภัยของชีวิตคุณขนาดนั้นเลยหรือ แบบนี้ตำรวจก็ช่วยเซฟชีวิตคุณได้ไม่ทัน

 

นี่คือตัวอย่างหนึ่งของ Social Engineering ถ้าคนที่ไม่ได้ศึกษาเรื่องความปลอดภัยของระบบสารสนเทศมาจะไม่ทราบ อาจจะคิดว่ามันคือ social network ตัวใหม่ และถ้าเป็นคนรุ่นเก่าๆที่เคยเรียนในห้องแล้วจบมาไม่ได้ศึกษาเรื่องเหล่านี้ต่อ มาดู ณ. วันนี้จะงง ว่าจาก Theory, Methodology มันกลายมาเป็น Automate tool กันแล้ว

 

ผมจะกลับมาเขียนอีกทีในเรื่องนี้ ไปหาหลักเขตที่ดินก่อน น้ำพัดไปหมดแล้ว ต้องหาโฉนดก่อน..

 

กรณีศึกษาระวังการทำธุรกรรมทางการเงินออนไลน์

กรณีศึกษาการหลอกลวง ให้ทำธุรกรรมการเงิน มีจุดประสงค์ร้ายต่อชีวิตและทรัพย์สินโดยตรง

http://www.pantip.com/cafe/blueplanet/topic/E11105496/E11105496.html

จากลิงกิ์ด้านบนนี้ มีกันรายวันก็นำมาเตือนกันเป็นรอบๆไป คนที่ไม่ทราบก็ยังมีอีกมาก บางคนกว่าจะรู้ก็สายไปแล้ว ซึ่งผู้บังคับใช้กฏหมายก็หวังพึ่งพาไม่ได้ ต้องพึ่งตัวเองให้มากๆนะครับ

ภาพจากกระทู้ดังกล่าว สังเกตุ URL เจ้าของกระทู้เข้าใจและเขียนแนะนำได้ดีมาก

เทคนิควิธีการก็ไม่ต่างไปจากเดิมนัก ผู้ที่ไม่รู้ ไม่ได้ฉุกคิดก่อน มักจะตกเป็นเหยื่อวิธีการที่เรียกว่า phishing ลักษณะคือใช้เหยื่อล่อเหมือนตกปลา ผมเห็นคนพลาดเป็นเหยื่อออกข่าวทีวีรายวันจนมันน่าจะทำให้รู้จักเข้าใจมีความตื่นตัวกันได้แล้ว ผมรู้สึกว่ามันเยอะมากจนไม่ใช่เป็นการตกปลาตามคลองน้ำทั่วไปแล้ว มันกำลังจะกลายเป็น whaling ระดับตกปลาวาฬแล้วล่ะครับ  แต่ว่า…. ก็ไม่ได้มีทุกคนที่รู้และเข้าใจ เรื่องของเทคโนโลยีบางทีก็ไม่ได้รู้กันง่ายๆสำหรับทุกคน

จากกระทู้ดังกล่าว เรื่องที่ผมหยิบมาสรุปให้เป็นข้อสังเกตุเวลาใช้งานอะไรก็ตามบนอินเตอร์เน็ต คือ

1. สังเกตุชื่อเว็บไซต์ในช่อง URL มันเป็นอย่างที่มันควรจะเป็นไหม (อันนี้ก็บอกยากนิดนึงสำหรับคนทั่วไป หวังพึ่ง SSL Certificate อย่างเดียวเลย มันต้องถูกต้อง Verify Identity ของเว็บได้ นึกไม่ออกกลับไปดูเรื่อง SSL ที่ผมเขียนได้  ให้ดูที่ภาพอย่างน้อยต้องมี Verify)

ภาพจากกระทู้ต้นทาง สังเกตุ URL ต้อง Verify ได้

2. ใช้ซอฟท์แวร์ที่ดีมีความปลอดภัย ในกรณีนี้ผมแนะนำใช้ Browser Firefox, Chrome ครับ มันจะมีหน้าเตือนที่ชัดเจนหากว่าเป็นเว็บที่น่าสงสัย

ภาพจากกระทู้ ตัวอย่าง Browser ดีๆจะมีแบบนี้บอก

3. ตั้งสติใช้เหตุผลไต่ตรองดีๆ ว่ามันสมเหตุสมผลไหม ว่าธนาคารจะติดต่อมาแบบนี้ โทรไปเช็คกับธนาคารก่อนก็ไม่เสียหายอะไร ไม่ต้องรีบ อย่าไปกังวัลกับคำข่มขู่ต่างๆในเนื้อหาอีเมล ธนาคารมีกฏระเบียบควบคุมแน่นหนามาก มีผู้คุมกฏโดยธนาคารแห่งประเทศไทยอยู่

หรือกรณีอื่นๆ เช่น อยู่ๆจะมีคนเอาเงินมาให้คุณง่ายๆ งั้นหรือ อย่าโลภก้มหน้าก้มตาทำงานหาเงินเองดีกว่าครับ

จริงๆเทคนิควิธีการนี้เก่ามากแล้ว แต่ก็ยังใช้ได้ ก็เหมือนกับการตกปลาแหล่ะครับ วิธีเดิมก็ยังมีปลามากินเหยื่อที่เราล่อไว้เสมอ เว้นแต่สบัดหลุดไป ถึงจะเข้าใจแหล่ะเข็ด แต่คงใช้ไม่ได้กับปลาทอง เขาว่าความจำมันสั้น  🙂