กรณีศึกษา social engineering

วันนี้มีเพื่อนส่งลิงกิ์ผ่านโปรแกรมแชทให้ดู รูปสาวๆในเว็บ social network ด้วยความอยากรู้อยากเห็นของเพื่อนคนนี้ ก็เลยใช้ข้อมูลเท่าที่มองเห็นในเว็บ social network นั้นซึ่งก็ไม่ได้มีอะไรบ่งบอกว่าสาวคนนี้คือใครเห็นแค่หน้า เพื่อนเริ่มเพ้อ… ผมเลยบอก โอเค…. คุณรอผมแป๊ปนึงนะ

…….น่าจะสักห้านาที…….

สักพักก็เจอระบบนึง ให้ทำการยืนยันการเข้าถึงหน้าตาแบบนี้ นามสกุลเว็บคือ .go.th

 

หลังจากลองมั่วอยู่เกือบเก้าร้อยครั้ง ก็เข้าได้…..จริงเหรอ…..  เชื่อไหม สองครั้ง แจ็คพ็อตแตกเลย ครั้งแรกลืมเปลี่ยนภาษา

ดังภาพ มีข้อมูลเยอะกว่านี้แต่ตัดออกไป เหนื่อยจะเซ็นเซอร์  คิดว่าไงครับ….  มันก็คงไม่ได้สำคัญอะไรถ้าคุณหรือใครไม่โดนเข้ากับตัว ถึงผลลัพธ์ของมัน  เพราะแบบนี้มันถึงมีความไม่ปลอดภัยอยู่ทุกหนทุกแห่ง ในขณะที่ต่างประเทศฟ้องร้อง เรียกร้องว่าเว็บต่างๆเก็บข้อมูลส่วนตัวผู้ใช้ไป จนเกิดเรื่อง Hacktivism ขึ้น เพราะเขาไม่เห็นด้วยกับการที่อินเตอร์เน็ตไม่เสรี และไม่เป็นส่วนตัว

 

แต่คนอีกส่วนใหญ่โดยเฉพาะในประเทศไทย กลับเปิดเผยข้อมูลส่วนมากมายให้คนอื่นรับรู้ จนเป็นประโยชน์ให้กับผู้ไม่ประสงค์ใช้ข้อมูลต่างๆในการก่อเรื่องเดือดร้อนวุ่นวาย บางกรณีถึงขั้นเสียชีวิต คุณลองคิดดูสิว่า ในหน้าเว็บ social networking ต่างๆ ให้ข้อมูลชื่อที่อยู่ ที่พัก รายละเอียดการศึกษา ที่ทำงาน ยิ่งทุกวันนี้บอกสถานะกัน real time ถึงที่ที่ยืนอยู่ โอ้โห…. อยากให้ใครๆติดตามดูแลความปลอดภัยของชีวิตคุณขนาดนั้นเลยหรือ แบบนี้ตำรวจก็ช่วยเซฟชีวิตคุณได้ไม่ทัน

 

นี่คือตัวอย่างหนึ่งของ Social Engineering ถ้าคนที่ไม่ได้ศึกษาเรื่องความปลอดภัยของระบบสารสนเทศมาจะไม่ทราบ อาจจะคิดว่ามันคือ social network ตัวใหม่ และถ้าเป็นคนรุ่นเก่าๆที่เคยเรียนในห้องแล้วจบมาไม่ได้ศึกษาเรื่องเหล่านี้ต่อ มาดู ณ. วันนี้จะงง ว่าจาก Theory, Methodology มันกลายมาเป็น Automate tool กันแล้ว

 

ผมจะกลับมาเขียนอีกทีในเรื่องนี้ ไปหาหลักเขตที่ดินก่อน น้ำพัดไปหมดแล้ว ต้องหาโฉนดก่อน..

 

กรณีศึกษาระวังการทำธุรกรรมทางการเงินออนไลน์

กรณีศึกษาการหลอกลวง ให้ทำธุรกรรมการเงิน มีจุดประสงค์ร้ายต่อชีวิตและทรัพย์สินโดยตรง

http://www.pantip.com/cafe/blueplanet/topic/E11105496/E11105496.html

จากลิงกิ์ด้านบนนี้ มีกันรายวันก็นำมาเตือนกันเป็นรอบๆไป คนที่ไม่ทราบก็ยังมีอีกมาก บางคนกว่าจะรู้ก็สายไปแล้ว ซึ่งผู้บังคับใช้กฏหมายก็หวังพึ่งพาไม่ได้ ต้องพึ่งตัวเองให้มากๆนะครับ

ภาพจากกระทู้ดังกล่าว สังเกตุ URL เจ้าของกระทู้เข้าใจและเขียนแนะนำได้ดีมาก

เทคนิควิธีการก็ไม่ต่างไปจากเดิมนัก ผู้ที่ไม่รู้ ไม่ได้ฉุกคิดก่อน มักจะตกเป็นเหยื่อวิธีการที่เรียกว่า phishing ลักษณะคือใช้เหยื่อล่อเหมือนตกปลา ผมเห็นคนพลาดเป็นเหยื่อออกข่าวทีวีรายวันจนมันน่าจะทำให้รู้จักเข้าใจมีความตื่นตัวกันได้แล้ว ผมรู้สึกว่ามันเยอะมากจนไม่ใช่เป็นการตกปลาตามคลองน้ำทั่วไปแล้ว มันกำลังจะกลายเป็น whaling ระดับตกปลาวาฬแล้วล่ะครับ  แต่ว่า…. ก็ไม่ได้มีทุกคนที่รู้และเข้าใจ เรื่องของเทคโนโลยีบางทีก็ไม่ได้รู้กันง่ายๆสำหรับทุกคน

จากกระทู้ดังกล่าว เรื่องที่ผมหยิบมาสรุปให้เป็นข้อสังเกตุเวลาใช้งานอะไรก็ตามบนอินเตอร์เน็ต คือ

1. สังเกตุชื่อเว็บไซต์ในช่อง URL มันเป็นอย่างที่มันควรจะเป็นไหม (อันนี้ก็บอกยากนิดนึงสำหรับคนทั่วไป หวังพึ่ง SSL Certificate อย่างเดียวเลย มันต้องถูกต้อง Verify Identity ของเว็บได้ นึกไม่ออกกลับไปดูเรื่อง SSL ที่ผมเขียนได้  ให้ดูที่ภาพอย่างน้อยต้องมี Verify)

ภาพจากกระทู้ต้นทาง สังเกตุ URL ต้อง Verify ได้

2. ใช้ซอฟท์แวร์ที่ดีมีความปลอดภัย ในกรณีนี้ผมแนะนำใช้ Browser Firefox, Chrome ครับ มันจะมีหน้าเตือนที่ชัดเจนหากว่าเป็นเว็บที่น่าสงสัย

ภาพจากกระทู้ ตัวอย่าง Browser ดีๆจะมีแบบนี้บอก

3. ตั้งสติใช้เหตุผลไต่ตรองดีๆ ว่ามันสมเหตุสมผลไหม ว่าธนาคารจะติดต่อมาแบบนี้ โทรไปเช็คกับธนาคารก่อนก็ไม่เสียหายอะไร ไม่ต้องรีบ อย่าไปกังวัลกับคำข่มขู่ต่างๆในเนื้อหาอีเมล ธนาคารมีกฏระเบียบควบคุมแน่นหนามาก มีผู้คุมกฏโดยธนาคารแห่งประเทศไทยอยู่

หรือกรณีอื่นๆ เช่น อยู่ๆจะมีคนเอาเงินมาให้คุณง่ายๆ งั้นหรือ อย่าโลภก้มหน้าก้มตาทำงานหาเงินเองดีกว่าครับ

จริงๆเทคนิควิธีการนี้เก่ามากแล้ว แต่ก็ยังใช้ได้ ก็เหมือนกับการตกปลาแหล่ะครับ วิธีเดิมก็ยังมีปลามากินเหยื่อที่เราล่อไว้เสมอ เว้นแต่สบัดหลุดไป ถึงจะเข้าใจแหล่ะเข็ด แต่คงใช้ไม่ได้กับปลาทอง เขาว่าความจำมันสั้น  🙂

Nexpose Vulnerability Assessment

 

วันนี้จะมาแนะนำเครื่องมือตัวหนึ่ง เป็น Vulnerability Assessment, Security Scanner หรืออะไรก็ตามแต่จะเรียก มันคือเครื่องมือตรวจสอบความปลอดภัยของระบบไอทีสารสนเทศ เครื่องมือตัวนี้เกิดมาจาก เครื่องมือแฮกตัวนึง ที่ชื่อว่า Metasploit เริ่มสร้างมาเมื่อปี 2003 โดย HD Moore  เป็น Open Source นะครับ ทุกวันนี้เขาเรียกเครื่องมือแฮกตัวนี้ให้ดูดีว่าเป็น Penetration Testing Frame Work (เดี๋ยววันหลังมาลองตัวนี้กัน รอน้ำลงก่อน อะไรๆคงจะดีกว่านี้)

 

ลืมบอกอีกอย่างเดี๋ยวอ่านแล้วจะไม่เข้าใจ Penetration Testing, Pen-test, Penetration Tester, Pen-tester ก็คือการทดสอบเจาะระบบ, นักเจาะระบบ ก็คือแฮกเกอร์หมวกขาว ทำไปเพราะหน้าที่การงานเงินเดือน ทำไปเพื่อทดสอบระบบความปลอดภัย ไม่ได้ทำไปเพื่อทำลายล้าง และเมื่อพบจุดอ่อนก็จะทราบว่าควรจะทำตรงไหนให้แข็งแรงขึ้น

 

ในปี 2009 บริษัท Rapid7 ก็เข้าซื้อมาเป็นของตัวเอง แล้วเอามาออกผลิตภัณฑ์เป็น Nexpose เนี่ยแหล่ะครับ อยากรู้รายละเอียดผลิตภัณฑ์มากกว่านี้ก็ลองหาข้อมูลดูครับ ผมเอาตัวฟรีมาให้ลองดูกัน เริ่มต้นด้วยการไป download ตัวที่คุณต้องการและใช้กับเครื่องที่คุณจะลงได้

 

หลังจากติดตั้งแล้วก็เริ่มกันเลย

หน้าแรก เมื่อเปิดขึ้นมา

คลิกดูภาพใหญ่ได้ครับ ผมตั้งใจให้เข้าเว็บได้เร็ว ดูจากช่อง URL จะเห็นว่ามันทำงานบน Localhost บน port 3780 ไปต่อกันเลย แบบเร็วๆ

 

เลือก Assets

มาเลือกที่ Assets จะเห็นดังภาพครับ จากนั้นเลือกที่ Sites เพื่อใส่ Assets ของคุณ คือเป้าหมายที่ต้องการตรวจสอบความปลอดภัยของระบบ

 

ตั้งชื่อ

ก็ตั้งชื่อไปนะครับ แล้วเลือกความสำคัญของ Site คุณครับ

 

ใส่ค่า Device

เมื่อใส่ค่าแล้วก็กด Next ไปเรื่อยๆนะครับ ต่อมาผมใส่ค่า Device ในที่นี้ผมใส่เป็น IP Address ครับ

 

Scan type

ในหน้า Scan Setup เลือกรูปแบบการสแกนในแบบที่คุณต้องการ ในที่นี้ผมเลือก Full Audit

 

ใส่ค่าต่างๆเรียบร้อย

เมื่อใส่ค่าต่างๆเรียบร้อย เห็นปุ่มเขียวๆไหมครับ พร้อมแล้วก็ลุยกันเลย

 

ลุยกันเลย

เมื่อเริ่มทำการสแกนจะมีสถานะบอกตามภาพนะครับ ระหว่างนี้จะนั่งดูการทำงานมันก็ได้ ดูที่ View Scan Log ได้ครับ จะเห็นการทำงานสดๆ

 

ผลลัพธ์

ผลลัพธ์ต่อ

 

เมื่อสแกนเสร็จแล้ว ก็ได้ผลลัพธ์ออกมาดังภาพ จะบอกหมดเลย ว่าเป็นระบบปฏิบัติการอะไร มีช่องโหว่อะไร ความเสี่ยงมากน้อยตรงไหน เห็นชื่อ User ที่อยู่บนระบบ เห็นโฟล์เดอร์ ที่ผมตั้งใจย่อไว้ไม่ให้เห็นนั่นแหล่ะครับ ไปดูอีกหน้าครับ หน้าที่เรียกว่า Vulnerability

แต๊นแต้นแตน......

ดูตรง Exploitability สิครับ แปลตรงตัวคือว่า สามารถ Exploit ได้ เอาให้เข้าใจง่ายกว่า คือแฮกได้ด้วยเครื่องมือ Metasploit สามารถคลิกแล้วเริ่มแฮกได้เลย ตัวที่ไม่มีบอกว่า Exploitability ก็ไม่ได้หมายความว่าแฮกไม่ได้ แต่ละอย่างมันมีวิถีทางของมัน…

 

 

เป็นไงบ้างครับ ผมแนะนำสำหรับองค์กรหน่วยงานที่ยังไม่ได้รู้เรื่อง ยังไม่ให้ความสำคัญ ยังไม่เคยโดนกับตัว เริ่มเสียตั้งแต่วันนี้ ถ้าไม่อยากมีชีวิตที่ยากลำบาก เพราะเรื่องไม่คาดฝันกับธุรกิจของคุณ เมื่อเห็นผลลัพธ์การตรวจสอบช่องโหว่ของเครื่องมือ VA (Vulnerability Assessment) แล้วก็นำคำแนะนำของเครื่องมือ ไปดำเนินการโดยทันที เขาจะมีบอกวิธีปรับปรุงแก้ไขให้ดีขึ้นด้วยนะครับ แต่ก่อนจะดำเนินการ Patch อะไร ให้ตั้งระบบทดสอบ Patch ก่อนว่ามันจะกระทบกับ Application อื่นๆที่คุณมีใช้งานอยู่หรือไม่ด้วยนะครับ เพียงง่ายๆเท่านี้คุณก็มีกระบวนการ VM (Vulnerability Management) ได้แล้ว ซึ่งคุณสามารถสร้างระบบหรือกระบวนการที่เหมาะสมกับองค์กรของคุณได้เอง อาจจะไม่ต้องอ้างเอกสารมาตราฐานก็ได้ ให้มันมีแล้วดีต่อคุณ ดีกว่าไม่ทำอะไรเลย