RSA tokens hacked

กรณีศึกษา RSA Tokens ถูกแฮก

ที่ผมเขียนทิ้งท้ายไว้หลายครั้งแล้ว เรื่องบริษัท RSA ถูกแฮก เมื่อเดือนมีนาคม 2554 มีเป้าหมายพุ่งเป้าไปที่ RSA SecurID tokens (กรณีนี้คนละอันกันกับ Crack RSA Algorithm นะครับ)

หน้าตาของตัว Token ยี่ห้อ RSA นี่แหล่ะคือเป้าหมาย

เพื่ออะไร? เขาว่ากันว่าแฮกเกอร์ต้องการจะเจาะระบบเข้าไปที่บริษัท Lockheed Martin และ Northrop Grumman ซึ่งสองบริษัทนี้เป็นบริษัทวิจัยและผลิตอาวุธทางทหารของประเทศสหรัฐอเมริกา แฮกเกอร์ต้องการเจาะเข้าไปขโมยความลับทางทหารของอเมริกา และสองบริษัทนี้ใช้ RSA SecuID tokens อยู่จึงเป็นเป้าหมายในการหาทางเจาะเข้าไป เลยไปเจาะ RSA ก่อนเพื่อเอาข้อมูลเกี่ยวกับการ Authentication ด้วยการส่งอีเมลไปหลอกเหยื่อซึ่งเป็นพนักงานของ RSA แล้วหลอกให้เปิดไฟล์ในอีเมลซึ่งฝัง Trojan ไว้ (โปรแกรมอันตรายเปิดประตูลับไว้รอ) เมื่อได้ข้อมูลที่ต้องการก็กลับไปเจาะที่เป้าหมายที่วางไว้

มีนักวิจัยด้านความปลอดภัยในฟินแลนด์เขาค้นพบวิธีการแฮกนี้ เพราะความเป็นจริงไม่ค่อยมีการเปิดเผยจากแหล่งต้นเรื่องอยู่แล้ว แฮกเกอร์ได้ส่งอีเมลไปที่พนักงานบริษัท EMC บริษัท EMC เป็นบริษัทลูกของ RSA อีกที โดยแนบไฟล์ชื่อว่า 2011 recruitment plan.xls ซึ่งมีโปรแกรมอัตรายฝังตัวอยู่ในไฟล์นี้ หลังจากที่เกิดเหตุการณ์บรรดานักวิจัยความปลอดภัยต่างถกกันว่าจะหาไฟล์นี้ได้จากไหน จะเอามาศึกษาและใช้กับซอฟท์แวร์ป้องกันต่างๆ เพราะทาง RSA เก็บไว้ไม่ได้เปิดเผย ไม่มีใครมีไม่มีใครหาได้

Timo Hirvonen นักวิจัยความปลอดภัยของห้องแล็ปพยายามหาไฟล์นี้ตั้งแต่เดือนเมษายนก็ไม่ได้สักที หลังจากนั้นห้าเดือนเขาก็ได้มันมา โดยพบใน Virustotal.com (ลองไปใช้เวบนี้ดูครับมีประโยชน์ เดี๋ยวหยิบมาเขียนแนะนำอีกทีก็ได้ครับ) ซึ่งพนักงานของ EMC ได้ลองอัพโหลดไฟล์ไปที่นี่ตั้งแต่วันที่ 19 มีนาคม 2554 แล้ว นั่นหมายความว่าบริษัท anti virus, infoSec เกือบทุกยี่ห้อได้ไฟล์นี่ไปกันหมดตั้งนานแล้ว

ไฟล์ดังกล่าวถูกอัพโหลดไปเวบ VirusTotal ตามวันเวลาในภาพ

ทีนี้มาดูหน้าตาของอีเมลที่ว่ากัน อีเมลปลอมที่แฮกเกอร์ส่งมา โดยปลอมว่าส่งมาจากเว็บ Beyond.com เป็นเว็บบริการเกี่ยวกับการจัดหางาน ตามภาพเลยครับ มีการส่งหาพนักงานคนนึง และ cc ถึงคนอื่นอีกสามคน

อีเมลของเหตุการณ์นี้

โดยหน้าตาของไฟล์เมื่อเปิดจะมีหน้าตาแบบนี้ครับ แต่เปิดแล้วในไฟล์จะไม่มีข้อมูลอะไร สัก 3 วินาทีมันก็จะปิดตัวเองไป (หลังจากที่เปิดไฟล์ โปรแกรมอันตรายนั้นมันก็ทำงานเรียบร้อย)  โดยโปรแกรมตัวนี้ใช้ช่องโหว่ของ flash object (มันภาพเคลื่อนไหวที่เห็นได้ตามเว็บทั่วไป) และด้วยที่ว่าโปรแกรม microsoft excel สามารถฝัง flash object ไว้ได้ (บางคนอาจจะเคยเล่นเกมแฟลชแต่อยู่ในไฟล์ excel อีกที) ฝังตัวที่ชื่อว่า Poison Ivy Backdoor ไว้ในไฟล์

ทันทีที่ไฟล์ถูกเปิด มันก็จะทำงานทันทีเช่นกัน โดยสร้าง connection ไปที่โดเมนชุดหนึ่ง ภายในไม่ถึงวินาทีด้วยซ้ำ ตามภาพเลยครับ

โปรแกรมสร้างการเชื่อมต่อไปที่นี่

เรียบร้อยครับ แฮกเกอร์สามารถ เข้ามาทำอะไรก็ได้โดยที่ผู้ใช้งานไม่รู้ตัวเลย สร้างท่อสร้างเส้นทางไว้เรียบร้อย Timo พูดว่าการแฮกนี้ advance ไหม? เขาบอกว่า email ไม่ได้ advance เลยดูสิ, backdoor ก็ไม่ได้ advance เลย แต่ตัว Exploit นี่แหล่ะที่ advance แล้วก็ แล้วถ้าไปมองเป้าหมายที่แฮกเกอร์ต้องการจะเจาะจริงๆ Timo บอกว่านี่ ultimate attacker เลย

ส่วนตัวผมนะ บอกเลยว่านี่มัน ultimate จริงๆครับ อย่างที่เขาบอกเลย นี่คือลักษณะนิสัยของแฮกเกอร์ คือ Challenge them self ต้องบรรลุเป้าหมายให้ได้ ภายหลังจากเหตุการณ์นี้สัก 3-4 เดือน ทาง RSA ก็เปลี่ยน Token ทั่วโลกใหม่หมด โดยวิธีการแก้ขัดเท่าที่ถามคนใช้งานคือ เข้าเพิ่มตัวเลขหน้าหลังเข้ามาอีก ผมไม่แน่ใจลูกค้าในไทยเขาเปลี่ยนให้หรือยัง อาจจะมีบางองค์กรที่ใช้ Token นี้อยู่ไม่รู้ด้วยซ้ำว่ามันมีความเสียง จนกระทั่ง RSA ติดต่อมาเองว่าจะเปลี่ยนของให้ อันนี้ต้องพิจารณาแล้วละครับ ถ้าหากว่าคุณใช้ของแพงขนาดนี้ นั่นหมายความว่า information  ของคุณสำคัญมากขนาดไหน แต่คุณไม่รู้ว่ามันเกิดอะไรขึ้น จะต้องทำยังไงดี

ในงาน 2nd Annual Regional Collaboration in Cyber Security Conference Bangkok ก็เจ้าหน้าที่ระดับสูงของ RSA มาเหมือนกัน แล้วก็โดนยิงคำถามกลางงานใหญ่ โดยนายทหารของกระทรวงกลาโหมสหรัฐว่า เรื่องที่เกิดขึ้นคุณเคลียร์ไปหรือยัง ลักษณะจะถามข่มให้เสียหน้าต่อธารกำนัลเฉยๆ เพราะจริงๆเขาดีลกันหมดอยู่แล้วตั้งแต่เกิดเรื่อง เหมือนเอาเรื่องภายในบ้านมาพูดข้างนอกบ้านให้คนอื่นได้ยิน 🙂

Nexpose Vulnerability Assessment

 

วันนี้จะมาแนะนำเครื่องมือตัวหนึ่ง เป็น Vulnerability Assessment, Security Scanner หรืออะไรก็ตามแต่จะเรียก มันคือเครื่องมือตรวจสอบความปลอดภัยของระบบไอทีสารสนเทศ เครื่องมือตัวนี้เกิดมาจาก เครื่องมือแฮกตัวนึง ที่ชื่อว่า Metasploit เริ่มสร้างมาเมื่อปี 2003 โดย HD Moore  เป็น Open Source นะครับ ทุกวันนี้เขาเรียกเครื่องมือแฮกตัวนี้ให้ดูดีว่าเป็น Penetration Testing Frame Work (เดี๋ยววันหลังมาลองตัวนี้กัน รอน้ำลงก่อน อะไรๆคงจะดีกว่านี้)

 

ลืมบอกอีกอย่างเดี๋ยวอ่านแล้วจะไม่เข้าใจ Penetration Testing, Pen-test, Penetration Tester, Pen-tester ก็คือการทดสอบเจาะระบบ, นักเจาะระบบ ก็คือแฮกเกอร์หมวกขาว ทำไปเพราะหน้าที่การงานเงินเดือน ทำไปเพื่อทดสอบระบบความปลอดภัย ไม่ได้ทำไปเพื่อทำลายล้าง และเมื่อพบจุดอ่อนก็จะทราบว่าควรจะทำตรงไหนให้แข็งแรงขึ้น

 

ในปี 2009 บริษัท Rapid7 ก็เข้าซื้อมาเป็นของตัวเอง แล้วเอามาออกผลิตภัณฑ์เป็น Nexpose เนี่ยแหล่ะครับ อยากรู้รายละเอียดผลิตภัณฑ์มากกว่านี้ก็ลองหาข้อมูลดูครับ ผมเอาตัวฟรีมาให้ลองดูกัน เริ่มต้นด้วยการไป download ตัวที่คุณต้องการและใช้กับเครื่องที่คุณจะลงได้

 

หลังจากติดตั้งแล้วก็เริ่มกันเลย

หน้าแรก เมื่อเปิดขึ้นมา

คลิกดูภาพใหญ่ได้ครับ ผมตั้งใจให้เข้าเว็บได้เร็ว ดูจากช่อง URL จะเห็นว่ามันทำงานบน Localhost บน port 3780 ไปต่อกันเลย แบบเร็วๆ

 

เลือก Assets

มาเลือกที่ Assets จะเห็นดังภาพครับ จากนั้นเลือกที่ Sites เพื่อใส่ Assets ของคุณ คือเป้าหมายที่ต้องการตรวจสอบความปลอดภัยของระบบ

 

ตั้งชื่อ

ก็ตั้งชื่อไปนะครับ แล้วเลือกความสำคัญของ Site คุณครับ

 

ใส่ค่า Device

เมื่อใส่ค่าแล้วก็กด Next ไปเรื่อยๆนะครับ ต่อมาผมใส่ค่า Device ในที่นี้ผมใส่เป็น IP Address ครับ

 

Scan type

ในหน้า Scan Setup เลือกรูปแบบการสแกนในแบบที่คุณต้องการ ในที่นี้ผมเลือก Full Audit

 

ใส่ค่าต่างๆเรียบร้อย

เมื่อใส่ค่าต่างๆเรียบร้อย เห็นปุ่มเขียวๆไหมครับ พร้อมแล้วก็ลุยกันเลย

 

ลุยกันเลย

เมื่อเริ่มทำการสแกนจะมีสถานะบอกตามภาพนะครับ ระหว่างนี้จะนั่งดูการทำงานมันก็ได้ ดูที่ View Scan Log ได้ครับ จะเห็นการทำงานสดๆ

 

ผลลัพธ์

ผลลัพธ์ต่อ

 

เมื่อสแกนเสร็จแล้ว ก็ได้ผลลัพธ์ออกมาดังภาพ จะบอกหมดเลย ว่าเป็นระบบปฏิบัติการอะไร มีช่องโหว่อะไร ความเสี่ยงมากน้อยตรงไหน เห็นชื่อ User ที่อยู่บนระบบ เห็นโฟล์เดอร์ ที่ผมตั้งใจย่อไว้ไม่ให้เห็นนั่นแหล่ะครับ ไปดูอีกหน้าครับ หน้าที่เรียกว่า Vulnerability

แต๊นแต้นแตน......

ดูตรง Exploitability สิครับ แปลตรงตัวคือว่า สามารถ Exploit ได้ เอาให้เข้าใจง่ายกว่า คือแฮกได้ด้วยเครื่องมือ Metasploit สามารถคลิกแล้วเริ่มแฮกได้เลย ตัวที่ไม่มีบอกว่า Exploitability ก็ไม่ได้หมายความว่าแฮกไม่ได้ แต่ละอย่างมันมีวิถีทางของมัน…

 

 

เป็นไงบ้างครับ ผมแนะนำสำหรับองค์กรหน่วยงานที่ยังไม่ได้รู้เรื่อง ยังไม่ให้ความสำคัญ ยังไม่เคยโดนกับตัว เริ่มเสียตั้งแต่วันนี้ ถ้าไม่อยากมีชีวิตที่ยากลำบาก เพราะเรื่องไม่คาดฝันกับธุรกิจของคุณ เมื่อเห็นผลลัพธ์การตรวจสอบช่องโหว่ของเครื่องมือ VA (Vulnerability Assessment) แล้วก็นำคำแนะนำของเครื่องมือ ไปดำเนินการโดยทันที เขาจะมีบอกวิธีปรับปรุงแก้ไขให้ดีขึ้นด้วยนะครับ แต่ก่อนจะดำเนินการ Patch อะไร ให้ตั้งระบบทดสอบ Patch ก่อนว่ามันจะกระทบกับ Application อื่นๆที่คุณมีใช้งานอยู่หรือไม่ด้วยนะครับ เพียงง่ายๆเท่านี้คุณก็มีกระบวนการ VM (Vulnerability Management) ได้แล้ว ซึ่งคุณสามารถสร้างระบบหรือกระบวนการที่เหมาะสมกับองค์กรของคุณได้เอง อาจจะไม่ต้องอ้างเอกสารมาตราฐานก็ได้ ให้มันมีแล้วดีต่อคุณ ดีกว่าไม่ทำอะไรเลย

 

 

 

 

Weak Encryption Algorithm

หลังจากที่เขียน ใช้ SSL ให้ปลอดภัยยิ่งขึ้น เมื่อห้านาทีที่ผ่านมา สงสัยเรื่อง encryption เพราะมีภาพเรื่อง RSA Algorithm ถูกแฮกในหัว เลยไปมองดูผ่านๆ เฮ้อ ต้องกลับมาบอกว่า encryption หลายตัวก็มีจุดอ่อนของมันอย่างร้ายแรง

ในฝั่งผู้ใช้งานธรรมดาอย่างเราๆท่านๆ คงต้องระวังกันเอาเอง และรอผู้ผลิตผู้พัฒนาเขาปรับปรุงแก้ไข ตอนนี้มีไม่กี่เจ้าเองที่เอาเรื่องนี้ไปแก้ไข เช่น browser chrome, firefox ใครใช้อยู่ก็อับเดตซะนะครับ เขาแก้ไขมาแล้ว แต่ก็ยังเหลือในฝั่ง Web Application Sever ครับที่เขาอาจจะยังไม่ได้แก้ไข หรือกำลังทำอยู่แต่ยังไม่เรียบร้อย

ไม่ต้องกังวลกันมากนัก หากคุณแค่เล่นเว็บทั่วไป

 

ผมมีของมาฝาก http://www.insecure.cl/Beast-SSL.rar  เอกสารของสองนักวิจัย พร้อม source code ตัวอย่างที่เป็น demo เพื่อใช้ในการโจมตี SSL ได้ครับ พลาดไม่ได้ครับ ช่องโหว่ นี้ release กันสดใหม่ ประกาศเป็นทางการแล้ว เรื่องใหญ่มากๆ