RSA tokens hacked

กรณีศึกษา RSA Tokens ถูกแฮก

ที่ผมเขียนทิ้งท้ายไว้หลายครั้งแล้ว เรื่องบริษัท RSA ถูกแฮก เมื่อเดือนมีนาคม 2554 มีเป้าหมายพุ่งเป้าไปที่ RSA SecurID tokens (กรณีนี้คนละอันกันกับ Crack RSA Algorithm นะครับ)

หน้าตาของตัว Token ยี่ห้อ RSA นี่แหล่ะคือเป้าหมาย

เพื่ออะไร? เขาว่ากันว่าแฮกเกอร์ต้องการจะเจาะระบบเข้าไปที่บริษัท Lockheed Martin และ Northrop Grumman ซึ่งสองบริษัทนี้เป็นบริษัทวิจัยและผลิตอาวุธทางทหารของประเทศสหรัฐอเมริกา แฮกเกอร์ต้องการเจาะเข้าไปขโมยความลับทางทหารของอเมริกา และสองบริษัทนี้ใช้ RSA SecuID tokens อยู่จึงเป็นเป้าหมายในการหาทางเจาะเข้าไป เลยไปเจาะ RSA ก่อนเพื่อเอาข้อมูลเกี่ยวกับการ Authentication ด้วยการส่งอีเมลไปหลอกเหยื่อซึ่งเป็นพนักงานของ RSA แล้วหลอกให้เปิดไฟล์ในอีเมลซึ่งฝัง Trojan ไว้ (โปรแกรมอันตรายเปิดประตูลับไว้รอ) เมื่อได้ข้อมูลที่ต้องการก็กลับไปเจาะที่เป้าหมายที่วางไว้

มีนักวิจัยด้านความปลอดภัยในฟินแลนด์เขาค้นพบวิธีการแฮกนี้ เพราะความเป็นจริงไม่ค่อยมีการเปิดเผยจากแหล่งต้นเรื่องอยู่แล้ว แฮกเกอร์ได้ส่งอีเมลไปที่พนักงานบริษัท EMC บริษัท EMC เป็นบริษัทลูกของ RSA อีกที โดยแนบไฟล์ชื่อว่า 2011 recruitment plan.xls ซึ่งมีโปรแกรมอัตรายฝังตัวอยู่ในไฟล์นี้ หลังจากที่เกิดเหตุการณ์บรรดานักวิจัยความปลอดภัยต่างถกกันว่าจะหาไฟล์นี้ได้จากไหน จะเอามาศึกษาและใช้กับซอฟท์แวร์ป้องกันต่างๆ เพราะทาง RSA เก็บไว้ไม่ได้เปิดเผย ไม่มีใครมีไม่มีใครหาได้

Timo Hirvonen นักวิจัยความปลอดภัยของห้องแล็ปพยายามหาไฟล์นี้ตั้งแต่เดือนเมษายนก็ไม่ได้สักที หลังจากนั้นห้าเดือนเขาก็ได้มันมา โดยพบใน Virustotal.com (ลองไปใช้เวบนี้ดูครับมีประโยชน์ เดี๋ยวหยิบมาเขียนแนะนำอีกทีก็ได้ครับ) ซึ่งพนักงานของ EMC ได้ลองอัพโหลดไฟล์ไปที่นี่ตั้งแต่วันที่ 19 มีนาคม 2554 แล้ว นั่นหมายความว่าบริษัท anti virus, infoSec เกือบทุกยี่ห้อได้ไฟล์นี่ไปกันหมดตั้งนานแล้ว

ไฟล์ดังกล่าวถูกอัพโหลดไปเวบ VirusTotal ตามวันเวลาในภาพ

ทีนี้มาดูหน้าตาของอีเมลที่ว่ากัน อีเมลปลอมที่แฮกเกอร์ส่งมา โดยปลอมว่าส่งมาจากเว็บ Beyond.com เป็นเว็บบริการเกี่ยวกับการจัดหางาน ตามภาพเลยครับ มีการส่งหาพนักงานคนนึง และ cc ถึงคนอื่นอีกสามคน

อีเมลของเหตุการณ์นี้

โดยหน้าตาของไฟล์เมื่อเปิดจะมีหน้าตาแบบนี้ครับ แต่เปิดแล้วในไฟล์จะไม่มีข้อมูลอะไร สัก 3 วินาทีมันก็จะปิดตัวเองไป (หลังจากที่เปิดไฟล์ โปรแกรมอันตรายนั้นมันก็ทำงานเรียบร้อย)  โดยโปรแกรมตัวนี้ใช้ช่องโหว่ของ flash object (มันภาพเคลื่อนไหวที่เห็นได้ตามเว็บทั่วไป) และด้วยที่ว่าโปรแกรม microsoft excel สามารถฝัง flash object ไว้ได้ (บางคนอาจจะเคยเล่นเกมแฟลชแต่อยู่ในไฟล์ excel อีกที) ฝังตัวที่ชื่อว่า Poison Ivy Backdoor ไว้ในไฟล์

ทันทีที่ไฟล์ถูกเปิด มันก็จะทำงานทันทีเช่นกัน โดยสร้าง connection ไปที่โดเมนชุดหนึ่ง ภายในไม่ถึงวินาทีด้วยซ้ำ ตามภาพเลยครับ

โปรแกรมสร้างการเชื่อมต่อไปที่นี่

เรียบร้อยครับ แฮกเกอร์สามารถ เข้ามาทำอะไรก็ได้โดยที่ผู้ใช้งานไม่รู้ตัวเลย สร้างท่อสร้างเส้นทางไว้เรียบร้อย Timo พูดว่าการแฮกนี้ advance ไหม? เขาบอกว่า email ไม่ได้ advance เลยดูสิ, backdoor ก็ไม่ได้ advance เลย แต่ตัว Exploit นี่แหล่ะที่ advance แล้วก็ แล้วถ้าไปมองเป้าหมายที่แฮกเกอร์ต้องการจะเจาะจริงๆ Timo บอกว่านี่ ultimate attacker เลย

ส่วนตัวผมนะ บอกเลยว่านี่มัน ultimate จริงๆครับ อย่างที่เขาบอกเลย นี่คือลักษณะนิสัยของแฮกเกอร์ คือ Challenge them self ต้องบรรลุเป้าหมายให้ได้ ภายหลังจากเหตุการณ์นี้สัก 3-4 เดือน ทาง RSA ก็เปลี่ยน Token ทั่วโลกใหม่หมด โดยวิธีการแก้ขัดเท่าที่ถามคนใช้งานคือ เข้าเพิ่มตัวเลขหน้าหลังเข้ามาอีก ผมไม่แน่ใจลูกค้าในไทยเขาเปลี่ยนให้หรือยัง อาจจะมีบางองค์กรที่ใช้ Token นี้อยู่ไม่รู้ด้วยซ้ำว่ามันมีความเสียง จนกระทั่ง RSA ติดต่อมาเองว่าจะเปลี่ยนของให้ อันนี้ต้องพิจารณาแล้วละครับ ถ้าหากว่าคุณใช้ของแพงขนาดนี้ นั่นหมายความว่า information  ของคุณสำคัญมากขนาดไหน แต่คุณไม่รู้ว่ามันเกิดอะไรขึ้น จะต้องทำยังไงดี

ในงาน 2nd Annual Regional Collaboration in Cyber Security Conference Bangkok ก็เจ้าหน้าที่ระดับสูงของ RSA มาเหมือนกัน แล้วก็โดนยิงคำถามกลางงานใหญ่ โดยนายทหารของกระทรวงกลาโหมสหรัฐว่า เรื่องที่เกิดขึ้นคุณเคลียร์ไปหรือยัง ลักษณะจะถามข่มให้เสียหน้าต่อธารกำนัลเฉยๆ เพราะจริงๆเขาดีลกันหมดอยู่แล้วตั้งแต่เกิดเรื่อง เหมือนเอาเรื่องภายในบ้านมาพูดข้างนอกบ้านให้คนอื่นได้ยิน 🙂

มาดูประวัติศาสตร์การแฮกกัน

ประวัติศาตร์เหตุการณ์แฮกแบบสรุป ภาพจาก netchunks

ผมไปหาอ่านดูมา เห็นแล้วคิดถึงเรื่องราวในอดีต เคสที่ 5 ผมจำได้ว่าเคยเขียน blog เรื่องนี้ในช่วงเวลานั้นพอดีเลย จำภาพหน้าตาของ Gary ได้เลย เลยเอามาฝากให้ดูกัน ก็เป็นข้อมูลแบบ infograph นะครับดูง่ายดี โดยสรุปมีเรื่องราวอีกมากมายที่ไม่ได้มีได้เห็นในภาพนี้

กรณีศึกษา social engineering

วันนี้มีเพื่อนส่งลิงกิ์ผ่านโปรแกรมแชทให้ดู รูปสาวๆในเว็บ social network ด้วยความอยากรู้อยากเห็นของเพื่อนคนนี้ ก็เลยใช้ข้อมูลเท่าที่มองเห็นในเว็บ social network นั้นซึ่งก็ไม่ได้มีอะไรบ่งบอกว่าสาวคนนี้คือใครเห็นแค่หน้า เพื่อนเริ่มเพ้อ… ผมเลยบอก โอเค…. คุณรอผมแป๊ปนึงนะ

…….น่าจะสักห้านาที…….

สักพักก็เจอระบบนึง ให้ทำการยืนยันการเข้าถึงหน้าตาแบบนี้ นามสกุลเว็บคือ .go.th

 

หลังจากลองมั่วอยู่เกือบเก้าร้อยครั้ง ก็เข้าได้…..จริงเหรอ…..  เชื่อไหม สองครั้ง แจ็คพ็อตแตกเลย ครั้งแรกลืมเปลี่ยนภาษา

ดังภาพ มีข้อมูลเยอะกว่านี้แต่ตัดออกไป เหนื่อยจะเซ็นเซอร์  คิดว่าไงครับ….  มันก็คงไม่ได้สำคัญอะไรถ้าคุณหรือใครไม่โดนเข้ากับตัว ถึงผลลัพธ์ของมัน  เพราะแบบนี้มันถึงมีความไม่ปลอดภัยอยู่ทุกหนทุกแห่ง ในขณะที่ต่างประเทศฟ้องร้อง เรียกร้องว่าเว็บต่างๆเก็บข้อมูลส่วนตัวผู้ใช้ไป จนเกิดเรื่อง Hacktivism ขึ้น เพราะเขาไม่เห็นด้วยกับการที่อินเตอร์เน็ตไม่เสรี และไม่เป็นส่วนตัว

 

แต่คนอีกส่วนใหญ่โดยเฉพาะในประเทศไทย กลับเปิดเผยข้อมูลส่วนมากมายให้คนอื่นรับรู้ จนเป็นประโยชน์ให้กับผู้ไม่ประสงค์ใช้ข้อมูลต่างๆในการก่อเรื่องเดือดร้อนวุ่นวาย บางกรณีถึงขั้นเสียชีวิต คุณลองคิดดูสิว่า ในหน้าเว็บ social networking ต่างๆ ให้ข้อมูลชื่อที่อยู่ ที่พัก รายละเอียดการศึกษา ที่ทำงาน ยิ่งทุกวันนี้บอกสถานะกัน real time ถึงที่ที่ยืนอยู่ โอ้โห…. อยากให้ใครๆติดตามดูแลความปลอดภัยของชีวิตคุณขนาดนั้นเลยหรือ แบบนี้ตำรวจก็ช่วยเซฟชีวิตคุณได้ไม่ทัน

 

นี่คือตัวอย่างหนึ่งของ Social Engineering ถ้าคนที่ไม่ได้ศึกษาเรื่องความปลอดภัยของระบบสารสนเทศมาจะไม่ทราบ อาจจะคิดว่ามันคือ social network ตัวใหม่ และถ้าเป็นคนรุ่นเก่าๆที่เคยเรียนในห้องแล้วจบมาไม่ได้ศึกษาเรื่องเหล่านี้ต่อ มาดู ณ. วันนี้จะงง ว่าจาก Theory, Methodology มันกลายมาเป็น Automate tool กันแล้ว

 

ผมจะกลับมาเขียนอีกทีในเรื่องนี้ ไปหาหลักเขตที่ดินก่อน น้ำพัดไปหมดแล้ว ต้องหาโฉนดก่อน..