RSS

Category Archives: Network Security

Cisco IOS ก่อเรื่องอีกแล้วครับท่าน

ถึงท่านสาวก Cisco ทั้งหลาย… ได้เวลา update Patch ครั้งใหญ่แล้วล่ะครับ

 

Trio of Cisco flaws may threaten networks

Three security holes in the software that runs Cisco Systems’ routers and switches could let miscreants disrupt computer networks, including the Internet.

The vulnerabilities lie in Cisco’s Internetwork Operating System and could be exploited to crash or remotely run malicious code on devices that run the software, the San Jose, Calif., networking giant warned Wednesday in security advisories. IOS runs on Cisco’s routers and switches, which make up a large portion of the Internet’s infrastructure.

Cisco’s warning prompted the U.S. Computer Emergency Readiness Team, or US-CERT, to issue an alert. "A remote attacker may be able to execute arbitrary code on an affected device, cause an affected device to reload the operating system, or cause other types of denial of service," US-CERT said on it Web site.

Being able to execute arbitrary code means that an attacker could change the configuration of a router or switch, redirecting traffic or potentially sniffing the data that travels through a Cisco device. In a denial-of-service attack a vulnerable router or switch would be taken offline, disrupting any traffic it is tasked to channel.

"Because devices running IOS may transmit traffic for a number of other networks, the secondary impacts of a denial of service may be severe," US-CERT said.

The impact of each of the three vulnerabilities is different. The most serious of the problems, which relates to how IOS handles specific data packets, affects a broad range of Cisco devices. This includes routers and switches used by telecommunications companies that use Cisco’s gear to shuttle data traffic across networks.

"These are serious issues and patches need to be applied as soon as possible," said Gunter Ollmann, director of security strategy for IBM Internet Security Systems. "From our monitoring of underground channels there are a lot of people interested in these and actively working on exploits."

Cisco has software updates available to address the vulnerabilities, the company said in each of its alerts. "Cisco is also not aware of any current exploitation of these vulnerabilities," the company added.

Credit : http://guardiansoftware777.spaces.live.com/Blog/cns!18986C80143C5349!268.entry

Advertisements
 
3 Comments

Posted by on February 5, 2007 in Network Security

 

ใครว่า เล่น hispeed net ของ true ปลอดภัย (Final 7/12/06)

============================================
บทความนี้เป็นเพียงแค่บันทึกเรื่องราวที่ผู้เขียนได้ประสบมา และผู้เขียนจะไม่ขอแสดงความ
รับผิดชอบใดๆทั้งสิ้นกับความเสียหายที่เกิดขึ้นจากการกระทำอันเนื่องจากผู้อ่านได้นำไป
ลอกเลียน ดัดแปลง ประยุกต์ จากบทความนี้
 
ผู้เขียนมิได้มีจุดประสงค์ในการทำลายชื่อเสียง บิดเบือน หรือเปิดเผยความลับของบริการ
ของบริษัทที่กล่าวอ้างถึง หากแต่เป็นการให้ข้อมูลที่เป็นความจริงที่จะมีความเกี่ยวข้องและ
ส่งกระทบต่อผู้ใช้บริการทั้งโดยตรงและทางอ้อม อันที่พึงจะรับรู้ เพื่อที่จะนำไปป้องกัน
ความเสียหายของตนที่จะเกิดขึ้นได้ด้วยวิธีการดังกล่าว
 
บทความนี้ถือเป็นความคิดของผู้เขียนเท่านั้น มิได้มีส่วนเกี่ยวข้องใดๆกับบริษัทที่อ้างอิง
ดังกล่าว
 
ผู้เขียนขอสงวนสิทธิ์ ไม่ให้มีการคัดลอกข้อความ/วิธีการ/รูปภาพและข้อมูลใดๆ ในการ
ไปเผยแพร่ โดยไม่ได้รับคำอนุญาตอย่างเป็นลายลักษณ์อักษรจากผู้เขียน
============================================
True เป็นเครื่องหมายทางการค้าของ True Corporations
Buddy / Buddy Broadband 
       เป็นเครื่องหมายทางการค้าของ Advanced Datanetwork Communications
TOT เป็นเครื่องหมายทางการค้าของ TOT Public Limited.
บทนำ
 
จากประสบการณ์การใช้งานและทำงานในแวดวงทางด้าน Network ในบริษัทที่ดำเนินธุรกิจ
ดังกล่าว ผมมักพบว่า ผู้ใช้งาน ADSL / Hi-Speed Internet โดยส่วนใหญ่ มักจะขาดความรู้
เรื่องพื้นฐานทางด้าน Network, การสื่อสารข้อมูล และการรักษาความปลอดภัย ของตัวเอง
ซึ่งมักพบได้ในผู้ให้บริการดังกล่าวเกือบแทบทุกเจ้า ทั้ง True, Buddy และ TOT
 
สิ่งหนึ่งที่ยืนยันได้ถึงปัญหาดังกล่าว คือ ประเภท ลักษณะ และจำนวนของคำถามที่มักถูกถาม
บ่อยครั้งใน Website แลกเปลี่ยนข้อมูลข่าวสารของผู้ใช้งาน ADSL อย่าง
 
มันก็คงไม่ใช่ความผิดของ User ที่ไม่ได้มีความรู้ดังกล่าว และคงกล่าวได้ยากว่าเป็น
ความผิดของ ISP เพราะไม่ได้มีการระบุในสัญญาว่า ผู้ให้บริการจะต้องรักษาความ
ปลอดภัยของข้อมูลของผู้ใช้งาน หรือ ต้องให้ความรู้แก่ผู้ใช้งานอย่างเพียงพอ
 
แต่ทว่าสิ่งสำคัญที่ผู้ใช้บริการมักให้ความสำคัญกันมากที่สุดก่อนการเลือกใช้ คือ Speed,
ราคา, ความเสถียรภาพของสัญญาณ, นโยบายการ Block/Shape ทราฟฟิกของ Bit
Torrent Traffic แต่สิ่งหนึ่งที่ User ลืมคิดไป นั่นคือ ความปลอดภัย
 
เพราะเมื่อการสื่อสารมีความเร็วสูงขึ้น โอกาสของความเสี่ยงที่คุณจะติดไวรัส หรือโดนเจาะ
หรือ โดนขโมยข้อมูลสำคัญ ก็จะโดนง่ายขึ้นเร็วขึ้น เป็นเงาตามตัว
 
และบทความนี้ ก็เป็นอีกหนึ่งสิ่งที่ตอกย้ำความไม่ปลอดภัยดังกล่าว ที่ผู้ใช้งาน ADSL
ทุกคนพึงระวัง
 
Technical Brief
 
เนื่องจาก ISP (True, Buddy,TOT ไม่ได้มี Policy ในการ block traffic ข้าม
ข้ามวง LAN (Subnet) ภายใน network ของตัวเอง ทำให้เปิดช่องทางให้ user
ที่อยู่ต่าง network และ network เดียวสามารถโจมตีกันเองได้ ซึ่งมีทั้งโจมตีเนื่อง
จาก Virus, Worm, Trojan, DoS แล้ว Hacker ยังอาศัยช่องโหว่ทีเปิดไว้ทั้ง
Modem/Router รวมถึง PC เพื่อขโมย Username/Password, เจาะ PC
และเข้ายึดการใช้งานต่างๆของ User นั้น ได้
 
ด้วยเหตุผลดังกล่าว ประกอกับการที่ User ไม่มีความรู้ หรือไม่ได้เปลี่ยนแปลงค่า
ต่างๆทั้งใน modem/router และ PC ทั้งให้ผมสามรถประยุกต์เทคนิคขึ้นพื้นฐาน
ไปแสวงหาผลประโยชน์ โดยที่ผลกระทบดังกล่าวเกิดขึ้นได้ทั้งใน network ของทั้ง
Buddy, True และ TOT
 
ในกรณีของบทความนี้จะเน้นเฉพาะการได้มาของ Username/Password ของ
user
(สำหรับในครั้งต่อไปจะพูดถึง การประยุกต์ใช้ Port 139/445, Remote
Desktop ทั้ง ของ Windows และ VNC)
 
 
(ผมจะไม่อธิบายลงไปในรายละเอียดของการเชื่อมต่อมากนะครับ ในเรื่องของ PVC
1483 Bridged/Route, LLC-Mux, VC-Mux, การ Encapsulation อื่นๆ
เพราะเกรงว่าว่า จะยิ่งทำให้งงป่าวๆ)
 
พื้นฐานการเชื่อมต่อของ ADSL
 
ในบทความนี้ Modem/Router ที่ผมใช้ หมายถึง ตั้งแต่
– ADSL Modem
– ADSL Router Modem
– Wireless ADSL Router Modem
– Wireless AP/Router (with PPPoE function)
เขียนบทความเสร็จจะอธิบายให้ฟังว่ามันต่างกันยังไง
การเชื่อมต่อหลักๆ จะแบ่งเป็น 2 รูปแบบหลัก คือ
 
1. Bridge Mode
การเชื่อมต่อในลักษณะนี้ ผู้ใช้จะต้องสร้างการเชื่อมต่อ PPPoE จาก PC ของ
ผู้ใช้งาน ผ่าน modem/router ที่เปิดการใช้งานแบบ Bridge Mode สำหรับ
PVC นั้นๆ
 
เมื่อมีการเชื่อมต่อแล้ว PC เครื่องดังกล่าวจะได้รับ IP Address จะทาง ISP
ซึ่งโดยส่วนใหญ่มักจะเป็น IP จริง (IP ที่ไม่ได้มีการทำ NAT หรือ PAT)
2. Router Mode / Routing Mode.
การใช้งานนี้ ผู้ใช้จะกำหนดให้ Modem/Router ทำงานในลักษณะ Route mode
โดยให้ทำการสร้างการเชื่อมต่อ PPPoE กับทาง ISP แทน PC และทำการ Route
หรือ Forward Traffic ต่างๆมามาให้ PC หรืออุปกรณ์อื่นๆ อีกทอดหนึ่ง
 
เนื่องจากการทำ Routing เป็นการทำการสื่อสารในระดับ OSI Layer 3 : Network
Layer ตัว Modem/Router จำเป็นที่จะต้องมี IP Address เพื่อใช้ในการสื่อสาร
ทั้งในฝั่ง WAN และ LAN
 
IP ของฝั่งขา WAN จะได้รับจาก ISP จากการเชื่อมต่อ PPPoE Connection ซึ่งมัก
เป็น IP จริง ส่วนIP ขา LAN จะขึ้นอยู่กับที่เรา Set ในตัว modem
(ซึ่งโดยทั่วไปเราจะใช้วง 192.168.X.X หรือ 10.100.X.X)
 
ข้อดีของการใช้งานในลักษณะนี้ คือ เมื่อมีการแชร์การใช้งาน internet, User แต่ละ
คนไม่จำเป็นต้องสร้าง PPPoE Connection ของตัวเอง แต่ใช้แชร์ร่วมกันผ่าน
connection เดียวกัน (บาง ISP มีการ block การสร้าง PPPoE ด้วย user เดียวกัน
มากกว่า 1 connection ในเวลาเดียวกันด้วย เพื่อกัน ไม่ให้ต่อพ่วงคอมพิวเตอร์มาก
กว่า 1 เครื่อง)
 
ข้อดีอีกประการของการใช้ mode นี้คือ ถ้ามีการโจมตีโดย DoS, Worm และอื่นๆ
User ที่อยู่ภายส่วน LAN จะไม่ได้รับผลกระทบ ถ้าไม่มีการทำ Forward Port นั้นๆ
และโดยส่วนใหญ่ Router/Modem เกือบแทบทุกรุ่นในปัจจุบันมี Feature Firewall
ติดมาด้วย ซึ่งสามารถ drop packet บางประเภท ทิ้งได้ด้วย โดยไม่ส่งผลกระทบต่อ
user โดยตรง เหมือนกับ user ที่สร้าง PPPoE จาก PC ในลักษณะ Bridge Mode
 
อย่างไรก็ดี โมเดมโดยส่วนใหญ่ในตลาดนั้น ปัจจุบันสามารถทำงานได้ทั้ง Bridge และ
Route แต่ ISP อย่าง True และ Buddy ไม่ต้องการใช้ User ใช้งานต่อกับเครื่อง
คอมพิวเตอร์มากกว่า 1 เครื่อง Modem/Router ที่แถมหรือให้ยืมนั้น จึงมีการจำกัด
การทำงานให้เป็นได้เฉพาะ Bridge Mode เท่านั้น และให้สามารถสร้าง PPPoE
ได้เพียงแค่ connection เดียว
 
ด้วยข้อจำกัดและข้อเสียหลายๆประการของการทำงานแบบ Bridge Mode ทำให้มี
หลายคนพยายามที่จะ crack โมเดมของตนเพื่อให้สามารถใช้งานใน Route Mode ได้
แต่ทว่า การทำงานใน Route Mode นี้ย่อมมีความเสี่ยงที่บุคคลภายนอกสามารถที่
จะเข้ามาขโมย User/Password ที่ฝังอยู่ใน Modem/Router ไปใช้งานได้ เนื่อง
จากตัวมัน IP Address จากการ connect PPPoE โดยที่ความเสี่ยงที่เกิดขึ้นมี
สาเหตุหลักๆมาจากสิ่งต่อไปนี้
 
1. Modem/Router รุ่นดังกล่าว มี Backdoor อยู่
2. Modem/Router ใช้ค่า Username/Password เป็นค่า Default อยู่
3. Modem/Router ที่ให้โดย ISP นั้น ไม่มีได้มีการ Flash ทับ Firmware เฉพาะ
ทำให้ไม่สามารถเปลี่ยน Password ของ admin ได้
4. Modem/Router ดังกล่าวไม่ได้ปิดการ หรือตั้ง Policy การ Access จาก WAN
 
Hacking Procedures …. อันแสนง่ายและไม่มีอะไรเลย
1. Scan หา IP Address / Port / SNMP MIB Value/ ของเหยื่อ ด้วยโปรแกรม
    ทั่วๆไป (ลองไป search Google เอาเองครับ) หรือจะลอง Ping ไล่ด้วยมือเอง
    ก็ได้นะครับ สิ่งหนึ่งที่ต้องระวังไว้ในการใช้โปรแกรมพวกนี้ เพราะ พวก Antivirus
    อาจจะ Detect ว่าเป็น HackTool แล้วลบทิ้งก็ได้นะครับ
 
2. ตรวจสอบดูว่า IP Address เหล่านั้นเป็นของ PC, Network Equipement
    (switch, router, modem), Server หลังจากนั้นก็พิจารณาว่า คุณจะใช้
    ประโยชน์อะไรได้บ้าง
PC/Server (ไว้คราวหน้าแล้วกันนะ บอกแค่รายละเอียดก่อน)
  1. ตรวจสอบ Port ที่เปิดอยู่ ถ้ามี Port พวก 139,445, remote desktop
  2. ข้อมูลทั่วไปเช่น ชื่อของเครื่อง, วง Network และอื่นๆ
  3. SNMP MIB Value ต่างๆ เช่น OS, Users, Services และอื่นๆ

Network Device (ในกรณีนี้สนใจเฉพาะ Modem/Router)

  1. ตรวจสอบ ยี่ห้อ /รุ่น/ Details ต่างๆ
  2. ข้อมูลทั่วไปอื่นๆ เช่น Port, Routing Table, Port Forward
3. สำหรับ Modem/Router ทั่วไปนั้น แต่ละยี่ห้อจะมีสิ่งที่เรียกว่า Default Password
ก็ลองไปหา Search เองครับว่า Modem/Router ยอดฮิต ที่ใช้กันมากๆ อย่าง Billion
Zyxel, D-Link, SMC, Netgear, Linksys เนี่ย ใช้ Default Password อะไร
 
4. เนื่องจาก User โดยส่วนใหญ่ไม่ได้ระมัดระวัง หรือพูดง่ายๆ คือลืม เปลี่ยน password
นั่นเอง Default Password จึงสามารถทำมา deploy ใช้ได้ และผมพบว่า 70% ของ
ผู้ใช้งาน Hi-Speed ของ True จากการ Scan แค่ 4 Class C Subnet พบว่า User
ที่ใช้งานโหมด Routeนี้ เสี่ยงต่อการเข้าไปได้อย่างง่ายดายด้วย Default Password
พวกนี้ ด้วยสาเหตุหลายประการดังที่กล่าวไปแล้วข้างต้น  ส่วนที่เหลือ 20% แรกเป็นความ
โชคดีของผู้ใช้งานเนื่องจาก Modem/Router ถูก set กันการ access จาก WAN มา
ตั้งแต่ที่โรงงานแล้ว ส่วน 10% ที่เหลือ คือ User ได้เปลี่ยน Password เองไปแล้ว
 
5. หลังจากนั้น ก็ Access ผ่าน Web GUI ปกติ ของตัวโมเดม ด้วย Default Password
ดังกล่าว
 
6. สำหรับ Username/Password ในการ เชื่อมต่อ Internet แบบ PPPoE ถูกฝังไว้ใน
ตัวโมเดม และโมเดมโดยส่วนมาก จะมีทุกรุ่นนั้นมีระบบการแสดงผล User กับ Password
อยู่ 2 แบบ
6.1 เก็บเป็น Clear Text และดึงมาแสดงค่าใน Web GUI แต่ mask เป็น *
      เอาไว้
6.2 เข้ารหัสและเก็บไว้ใน ค่า Config และไม่แสดงผลใน Web GUI
7. Password จะเก็บไว้ในส่วนของ WAN Setting หรือ Internet Setting ให้เข้าไป
    ในหน้าดังกล่าว ซึ่งคุณจะเห็น Password เป็น mask * เอาไว้ ให้ทำการ view source
    ดู จะพบค่า password ที่ไม่ เข้ารหัสไว้
 
ข้อจำกัดของวิธีดังกล่าว
 
1. คุณจะต้องรู้ Port ที่มีการเปิด เข้าไป config ไว้ ซึ่งโดยส่วนใหญ่คือ 80 แต่ user บางคน
มีการ fwd port 80 ไป map กับ port ของ เครื่อง server ของตนในวง LAN ทำให้ไม่
สามารถ Access port 80 ของ modem ได้ ซึ่งแบบนี้เกิดขึ้นได้ 2 กรณีคือ user ได้เปลี่ยน
port ที่ใช้ access จาก WAN เป็น port อื่นแล้ว หรือไม่ได้มีการ set ไว้
 
แต่ไม่ว่าจะเป็นกรณีใดทั้ง 2 ก็สามารถทราบ หรือเข้าไปด้วยวิธีการอื่นได้ ซึ่งผมขอสงวนไว้ไม่บอก
ดังจุดประสงค์ที่ตั้งไว้ว่า นี่คือ การแจ้งเตือน ไม่ใช่ชี้โพรงให้กระรอก
 
2. Modem จะต้องไม่มีการ disable การ access จาก WAN แต่ แม้ว่าจะมีการ disable ไว้
ก็สามารถเข้าทางอื่นได้เช่นกัน
 
อันตรายซ้ำ 2-3-4….
1. เมื่อได้ Password แล้วมาสามารถทำได้เกือบทุกอย่างที่เจ้าของ User ทำได้ ตั้งแต่
การแจ้งยกเลิก การเพิ่ม Speed หรือ ขอเพิ่ม service ใหม่ แต่เดี่ยวจะคนถามอีกว่า อ้าว
มันจะทำได้เหรอ…. ทำได้แน่นอนครับ แต่คุณต้องทำ process ต่อไปอีก 2-3 ขั้น เพื่อ
ให้ได้ข้อมูลอื่นๆมากอีก ก็ทำได้ทุกอย่าง แล้วครับ
 
ซึ่งที่เหมือนจะถูกใจผมและน่าจะ hacker อีกหลายคน คือ การเปิด service ใหม่เพื่อใช้
งานอื่นๆเพิ่มเติม เช่น Wi-Fi Hotspot และ True NetDisk (>100MB ที่ต้องเสียเงิน)
…. เห็นหรือยังครับว่าโคตรอันตรายเลย
 
2. ข้อมูลในเครื่อง PC ในวง LAN จะเกิดอะไรขึ้น ถ้าผมเปลี่ยนการ fwd port บาง port
ของ PC ในวง LAN ออกมาที่ WAN ผ่านการ set ที่โมเดมที่เข้าถึงและตั้งค่าได้หมด
สมมติว่าเครื่อง PC ดังกล่าวมีการ share ผ่าน LAN กันอยู่แล้ว หรือ มีการเปิด Remote
Desktop เอาไว้ไม่ว่าจะด้วยของ Windows หรือ VNC ก็แล้วแต่ หรือ แม้แต่ ถ้าเครื่อง
ดังกล่าวมีการติด Trojan/Spyware ไว้ซึ่งมีการเปิด Port บาง Port ไว้ …..
คุณอยู่ในกลุ่มเสี่ยงหรือไม่?
 
( ในทุก ISP นะครับ ทั้ง True,Buddy และ TOT )
 
1. ผู้ใช้ True ทุกคนที่ใช้โมเดมที่ True แถมมาให้ รุ่นดังต่อไปนี้
– Billion 5102S
– Billion 5200SR2 ที่แก้โหมดเป็น Router แล้ว (เพราะโดนส่วนใหญ่จะไม่
  Flash Firmware เพราะมีคนรายงานว่า Flash แล้วมีปัญหา)
– Zyxel P-645A
2. โมเดมอื่นๆ ที่ไม่ได้ปิดการ Access จาก WAN ไว้ และยังเป็น Default Password
3. โมเดมที่ ผู้ใช้งานไม่ต้องกังวลเพราะปิดมาจากโรงงานแล้วคือ
– Billion 5102G / 5102GR2
– Zyxel P-66x Series (เช่น P-660HW, P-662HW, P-660R-T1)
  และรุ่นใหม่กว่า
– SMC เกือบทุกรุ่น
4. ผู้ใช้ที่ปลอดภัยจากวิธีการนี้ ได้แก่ทุกท่าน ที่ใช้โมเดมที่เปิด Bridge เอาไว้ และใช้ การ
dial-up จาก PC ไม่ว่าจะผ่านทางของ PPPoE ของ Windows เอง, Software ของ True,
Software ของ Buddy และปลอดภัยชัวร์แน่ๆ กับผู้ใช้โมเดมทุกชนิดที่เป็น USB ครับ
  
    แต่ผู้ใช้กลุ่มนี้จะเสี่ยงในกรณีที่เครื่อง PC คุณไม่ได้เปิด Firewall ไว้ หรือ เปิดไว้แบบ
ไม่ปลอดภัย ติด Spyware/Trojan และอื่นๆ เพราะ คราวนี้ Hacker ไม่ได้เล่นงานที่
Modem คุณแต่นั่นมันคือเครื่อง PC คุณทั้งเครื่องครับ
   
    อ่อ จากการลองเล่นภายใน network ของ True แล้วนั้น ผมพบ Server ที่ทำวิธีการ
ดังกล่าวอยู่ถึง 4 เครื่อง เป็นทั้งของบริษัทและของส่วนตัว……. หาเอาเองครับ อ่อ อีกอย่าง
พวก Server พวกนี้มันจะใช้ Feature พวก Dynamic DNS ทั้ง ของ no-ip, DynDNS
ด้วยล่ะ ดังนั้น มันง่ายไปอีกในการ Hack ครั้งต่อๆไป ไม่ต้อง scan หาแล้วครับ
 
How to Protect Youself
1. เริ่มต้นที่ เครื่องคอมพิวเตอร์ของท่าน… เปิด Firewall ไว้ ปิด Port ที่ไม่ได้ใช้งานทิ้ง
    ให้หมด
2. เปลี่ยน Password การ Access ตัวโมเดม
3. ปิดฟังกชั่น การ access จาก WAN เพื่อเข้าไป config ทุกประเภท
4. …. เปลี่ยนโมเดมไปใช้รุ่นที่มี Security ดีกว่าเดิมครับ แล้วก็ใช้มันด้วย
 
About Me?
– เคยเป็น Network Engineer ของบริษัท net แห่งหนึ่ง (ที่โดนด่ามากสุดด้วยมั้ง)
– สนใจ Hacking มาตั้งแต่ ม.3 แล้ว(ตั้งแต่อยู่ในโรงเรียนที่มีสีโรงเรียนสองสี 555)
  อ่อ ถ้าอยากรู้ว่านานขนาดไหน ก็สมัยที่ net 56K มันราคาถูกสุดชั่วโมงล่ะ 50 บาท
  อ่ะน้อง และใช้ได้เดือนละ 10 ชั่วโมงอ่ะ และสมัยนั้นยังเป็นยุค Dos6.22/Win3.11
  และ Windows 95 เพิ่งเปิดตัวไปไม่นานอ่ะ
– จบวิศวะไฟฟ้า แต่อยากสะเออะ อยากจะเรียนและทำงานด้านวิศวคอม/วิทยาคอม
– กำลังไปเรียนต่อ US เพราะ ทุนกพ. มันบังคับไป อ่อ จบแล้วต้องไปใช้แรงงานทาส
  ที่ NECTEC / สวทช อีก 10 ปี …. อ้วกแน่ๆล่ะ
– หลังจากเรียนจบ ใจจริง อยากทำงานกับบริษัท มากกว่านะ โดยเฉพาะฝ่ายพวก
  Research และ บริษัทในดวงใจคือ…แต่นแต้นแต๊น….  Cisco Systems 
             CISCO  SYSTEMS
                                               
             ..|||||...|||||..
 
     Logo เหมือนป่าววะ.. ทำเอากับมือเลยหน่า
 
  นั่นเอง ไม่ใช่เห่อ เป็น Trend น่ะ เหมือนใครหลายๆคน โดยเฉพาะพวกที่เรียนมากับ
  Cisco Academy น่ะ แต่หลังจากเล่นอุปกรณ์ Wireless เนี่ย พบว่ามันเจ๋งที่สุดใน
  ตลาดเลย ดังนั้น Lab มันคงไม่ใช่เรื่องเล่นๆ 
  (แม้ว่า Logo บริษัท ใหม่ตอนนี้ จะ *uck shit ก็ตาม)
=================================================
     [ ZONE กระดาษทด]
 
เปิด Blogไว้ก่อน เดี๋ยวมา up ต่อ เวลาว่างๆ และเบื่อ —-
 
ใครว่า เล่น hispeed net ของ true ปลอดภัย
 
– วิธีการได้เจาะ password ของ user ที่ใช้งาน True , Step-By-Step
(ไม่ต้องมาเจาะผมหรอก เดี๋ยวข้าพเจ้าจะหน้าแตก 555)
 
– ถ้าผมได้ password ของ คุณ ทำไมถึงคิดว่าจะใช้ประโยชน์มันต่อไม่ได้
เพราะว่ามันป็นบริการ ADSL นิ ลองคิดใหม่ได้ครับ เพราะนี่คือสิ่งที่ผมอาจจะทำ
 
– ใครบ้าง และ ISP ไหนบ้าง นอกเหนือจาก True ที่เสี่ยงกับวิธีการนี้
 
– วิธีการป้องกัน "ผม"และ Hacker รายอื่นๆ ในระดับ User และ ISP
 
3 Comments

Posted by on November 23, 2006 in Network Security

 

SQL Injection อีกแล้ว

ไอ้ Technic นี้เนี่ย มันมีมาเป็นชาติแล้ว แต่ว่ายังไงๆมันก็ยังเป็นช่องโหว่ทางความปลอดภัยที่มักจะใช้โจมตี
ได้อย่างเสมอ เหตุก็เพราะมาจากความบกพร่องในการเขียนโปรแกรมของเจ้าของ web ดังกล่าวที่ไม่ได้ทำ
การตรวจสอบอักขระที่เป็น Symbol
 
2 ปีก่อน ตอนที่นั่งขอแอบเรียนวิชา Computer Security ของภาคคอมพิวเตอร์ (ทั้งๆที่ผมอยู่ภาคไฟนะ 555)
ผมได้ลองใช้เทคนิคดังกล่าว เพื่อที่จะพยายามเจาะไปยัง website ต่างๆ ซึ่งจะเน้นก็เฉพาะ website
ของไทยเท่านั้น แล้วพบว่า จำนวนที่ตรวจพบนั้นอยู่ในระดับน้อย เพียงประมาณ 10-15% ของ website ทั้งหมด
ประมาณ 200 แห่งที่ทดสอบ แต่ทว่า ระดับความวิกฤตของปัญหาดังกล่าวอยู่ในระดับ… สูง…
 
เหตุก็เพราะ ปัญหาที่พบนั้นสามารถส่งผลกระทบในระดับที่เรียกว่าร้ายแรง ไม่ใช่เพราะความปลอดภัยของ site
ต่างๆ หรือ อันตรายที่จะทำให้ site แห่งนั้นล่มได้ หรือ ข้อมูลความลับที่จะรั่วไหลไปสู่ Hacker หรือคนภายนอก
แต่เพราะ ผลกระทบที่สามารถเปลี่ยนแปลงชีวิตของบุคคล ผู้ที่เข้าใช้บริการเวบไซต์แห่งดังกล่าวได้ โดยเฉพาะอย่าง
ยิ่ง เรื่องของการเรียน/ การงาน หรือแม้กระทั่งการสอบเก็บคะแนนเพื่อศึกษาต่อในมหาวิทยาลัยชื่อดัง เพราะเวบไซต์
เหล่านั้นเปิดโอกาสให้ Hacker สามารถเจาะเข้าไปเปลี่ยน แก้ไข รวมถึงกระทั่งลบข้อมูลดังกล่าวทั้งหมดได้ โดย
ที่ยากต่อการตรวจจับ ลองคิดดูเล่นๆ ถ้ามีใครคนหนึ่งสามารถเข้าไปลบคะแนนในเวบไซต์คะแนนสอบ Entrance
ของคุณได้ คุณก็คงจะนั่งไม่ติดเก้าอี้ใช่ไหมครับ
 
จนกระทั่งเมื่อชั่วโมงก่อน มีน้องคนหนึ่งได้สอบถามผมเกี่ยวกับเรื่องเปิดไฟล์เฉลยข้อสอบ SMART ของ ธรรมศาสตร์
ซึ่งมีการใช้ Macro และต้องมีการปรับเปลี่ยนระดับของ security ไปที่ Low เพื่อที่สามารถใช้งาน macro ดังกล่าว
ได้โดยน้องเขาได้ส่ง link คือ http://smart.bus.tu.ac.th/MainPage.mht ด้วยความอยากรู้ว่า ไอ้ SMART
เนี่ยคืออะไร แล้วทดสอบอะไร ก็บังเอิญไปเจอ หน้าแรกของ website ที่มีให้ user สามารถ login เพื่อสมัครสอบ
ดูผลคะแนน จ่ายเงิน และอื่นๆ ก็เลยเอามุกเดิมๆ มองใช้อีกที … มันได้ผลแฮะ… ให้ตายสิ พระเจ้าจอร์จ ชีวิตของ
นักเรียนหลายร้อยคนต้องมาเสี่ยงกับการกระทำของ Hacker เนี่ยนะ
 
สิ่งหนึ่งที่ผมอยากทำคือการเขียนเมล์ไปแจ้งเตือนแก่ webmaster ของ website แต่นั่นหมายถึงการประกาศตัว
ว่าคือ hacker ผู้หนึ่งที่ได้ถลุง website นั้นมาแล้ว และนั่นคือความเสี่ยงของคุณที่จะโดนเล่นงานได้เพราะ
มันอาจจะผิดกฏหมาย แต่ในทางตรงข้าม ก็อาจจะได้รับคำสรรเสริญเช่นเดียวกัน ขึ้นอยู่กับความนึกคิดและเหตุผล
ของผู้ที่ได้รับข้อมูลข่าวสารนั้น และนี่ละคือจุดบอดของการหวังดีของใครหลายๆคนที่ มักจะลงเอยได้ไม่ดีเท่าไร
(เพราะล่าสุดเนี่ย ผมก็เพิ่งเจอไอ้แขกอินเดียตัวหนึ่งที่ไร้สมองกำลังเล่นงานเพราะจากความหวังดีเนี่ยล่ะ… เยี่ยมจริงๆ)
ซึ่งรวมถึงตัวผมด้วยว่า หากตราบใดที่ผู้แจ้งนั้นไม่ได้รับความยืนยันในสถานภาพ มันก็ไม่ควรที่จะเข้าไปเสี่ยงจะดีกว่า
เพราะการกระทำดังกล่าวแม้ว่าจะเป็นเหมือนการทำบุญ ให้ใครหลายคนได้รับผลบุญนี้ แต่สิ่งที่คุณจะได้รับคือไม่เสมอ
ก็เข้าตัว อย่างที่พระพุทธเจ้าเคยบอกไงว่า การทำบุญนั้น ต้องทำให้พอดีตัว ทำแล้วต้องไม่ทำให้ตัวเองเดือดร้อน สิ่งที่
ได้รับนั้นถึงจะเรียนกว่าบุญอย่างแท้จริง
 
อย่างน้อยสุด สิ่งที่ผมได้ก็คือ เอามาปะไว้ที่ Blog ผมดีกว่า หากสักวันหนึ่งผมตัดสินใจแจ้งไป ก็จะได้มีข้อมูลยืนยันถึง
จุดยืนดังกล่าวอันนี้ และถ้าโชคดีหน่อย webmaster อาจจะมาเจอเองก็ย่อมเป็นสิ่งที่ดี แต่ในทางตรงกันข้าม คือ
เป็น Hacker ล่ะที่มาเจอ…. ก็คงได้แต่หวังว่าคนที่เข้ามาอ่าน Blog ผม คงจะมีศีลธรรม/ จริยธรรม เพียงพอที่จะไม่เข้า
ไปเปลี่ยนแปลงข้อมูลของผู้ที่ไม่รู้อิโหน่อิเหน่ ในเวบไซต์ดังกลาวล่ะนะ
 
เวบไซต์ที่ยังตกอยู่ในสภาวะดังกล่าว มีดังต่อไปนี้
 
http://recruit.dtac.co.th/ – เวบไซต์สมัครงานของ DTAC
http://smart.bus.tu.ac.th/ – เวบไซต์ ศูนย์ทดสอบทักษะด้านการจัดการ แห่ง มหาวิทยาลัยธรรมศาสตร์
http://careercenter.acc.chula.ac.th/ – เวบไซต์ Career Center ของ คณะวิศวกรรมศาสตร์และการบัญชี
เอ้ย…ไม่ใช่ คณะพาณิชยการและการบัญชี จุฬา (ที่ช่องโหว่เยอะมากๆนอกหเนือจาก SQL Injection ด้วย)
 
 
Jonathan Job
 
 
 
Leave a comment

Posted by on November 18, 2006 in Network Security