คัมภีร์สยบแฮกเกอร์ #8

---การล้วงข้อมูลจากคอมพิวเตอร์---
บางครั้งก็เป็นเรื่องน่าแปลกอยู่เหมือนกันที่คอมพิวเตอร์มักจะให้ข้อมูลมากมายกับผู้ใช้ ที่คอมพิวเตอร์เองก็ไม่รู้ว่าจะไว้เนื้อเชื่อใจได้มากขนาดไหน ในบางระบบ ผู้ใช้สามารถป้อนคำสั่งเพื่อขอดูรูปแบบและตัวแปรต่างๆ ของคำสั่งเข้าสู่ระบบ แม้ว่าจะยังไม่ได้เข้าสู่ระบบด้วยชื่อและรหัสผ่านที่ถูกต้องก็ตาม อย่างเช่น ระบบยูนิกซ์ ซึ่งจะมีข้อความแสดงเวอร์ชั่นของระบบขึ้นมาระหว่างรอรับชื่อและรหัสผ่าน เป็นต้น
ถ้าหากแฮคเกอร์เข้าสู่ระบบคอมพิวเตอร์ผ่านทางระบบเครือข่าย เขาจะมีโปรแกรมต่างๆให้เลือกใช้มากมาย อาทิเช่น telnet, FTP (File Transfer Protocol), SMTP (Simple Mail Transport Protocol) และ NNTP (Network News Transport Protocol) ไว้ใช้สำหรับการล้วงข้อมูลสำคัญที่เกี่ยวข้องกับระบบ อย่างเช่น ฮาร์ดแวร์ที่ระบบใช้อยู่, เวอร์ชั่นของระบบปฏิบัติการ, เวอร์ชั่นของโปรแกรมต่างๆ ที่ทำงานอยู่ในระบบ เป็นต้น
เพื่อเป็นการป้องกัน โปรแกรมอำนวยความสะดวกหลายต่อหลายตัวดังที่เอ่ยชื่อจะต้องถูกแก้ไขให้ไม่เปิดเผยข้อมูลสำคัญเหล่านั้น ส่วนวิธีการแก้ไขนั้น ก็มีทั้งการใช้โปรแกรมเสริมมาเพิ่มเติมเข้าไปในโปรแกรมเดิม หรือคุณอาจสอบถามไปยังบริษัทที่เป็นเจ้าของโปรแกรม เพื่อขอโปรแกรมเวอร์ชั่นใหม่ที่ปลอดภัยยิ่งขึ้น

ก่อนเข้าสู่ระบบ
แม้แฮคเกอร์จะยังไม่สามารถเข้าสู่ระบบด้วยการป้อนชื่อและรหัสผ่านที่ถูกต้อง แต่เพียงแค่อยู่ที่ส่วนของการรอรับชื่อ (login prompt) เท่านั้น เขาก็สามารถล่วงรู้ข้อมูลบางอย่างเกี่ยวกับระบบได้แล้ว เนื่องมาจากความหวังดีของผู้ออกแบบระบบที่ต้องการช่วยเหลือผู้ใช้ที่ไม่ค่อยสันทัดเท่าใดนัก ระบบส่วนใหญ่จึงสามารถรับชื่อของผู้ใช้เป็นคำว่า help ได้ และจะแสดงข้อมูลบางอย่างของระบบออกมาสำหรับชื่อผู้ใช้ help นี้
หรืออย่างน้อยที่สุด แม้จะยังไม่ได้ป้อนชื่อใดๆ ทั้งสิ้นให้กับระบบ ระบบก็ได้แสดงข้อความแนะนำตัวระบบเองออกมาอยู่แล้ว คุณจึงมีหน้าที่กลั่นกรองมิให้ระบบแสดงข้อความสำคัญอะไรออกมาที่แฮคเกอร์อาจจะนำไปใช้ประโยชน์ได้ ในระบบยูนิกซ์ส่วนใหญ่จะมีไฟล์ชื่อ /etc/issue ซึ่งเก็บข้อความที่ว่านี้ไว้ ซึ่งคุณสามารถทำให้ข้อมูลในไฟล์นี้ว่างเปล่า หรืออาจจะลบไฟล์นี้ทิ้งไปเลยก็ได้
แต่วิธีนี้จะมีผลเฉพาะกับการต่อเข้าระบบแบบสายตรง (serial line) เท่านั้น แต่ไม่มีผลกับโปรแกรม telnet SMTP หรือ FTP ซึ่งจะมีข้อความแสดงชนิดและเวอร์ชั่นของระบบปฏิบัติการขึ้นมาทุกครั้งเสมอเมื่อใช้โปรแกรมเหล่านี้
ระบบไม่จำเป็นต้องมีข้อความประเภท"ยินดีต้อนรับ"ขึ้นมาบนหน้าจอเมื่อผู้ใช้เข้าสู่ระบบเป็นที่เรียบร้อยแล้ว แต่ควรมีข้อความที่บอกกล่าวให้ผู้ใช้ทราบว่าหน่วยงานใดเป็นเจ้าของระบบ และผู้ใช้จะต้องใช้ระบบอย่างระมัดระวังอย่างไร ข้อความเตือนประเภทนี้ควรจะปรากฎขึ้นทุกครั้งไม่ว่าผู้ใช้จะเข้าสู่ระบบด้วยโปรแกรมใดก็ตาม สาระสำคัญของข้อความเตือนควรกล่าวถึงสิทธิและหน้าที่ของผู้ใช้เมื่อเข้ามาอยู่ในระบบ รวมถึงการเตือนไว้ล่วงหน้าว่า การกระทำใดๆ ของผู้ใช้ต่อระบบอาจถูกจับตาอยู่โดยผู้ดูแลระบบก็เป็นได้ ต่อไปนี้เป็นตัวอย่างของข้อความเตือน
[ระบบคอมพิวเตอร์นี้เป็นสมบัติส่วนบุคคล มีไว้สำหรับผู้ใช้ที่ได้รับอนุญาตเท่านั้น การกระทำใดๆ ของผู้ที่เข้าสู่ระบบโดยไม่ได้รับอนุญาต หรือการกระทำที่เกินสิทธิและหน้าที่ของผู้ใช้ จะถูกตรวจตราและบันทึกไว้เป็นหลักฐาน]
ไม่ว่าข้อความเตือนในระบบของคุณจะเขียนไว้ว่าอย่างไรก็ตาม คุณควรให้ฝ่ายกฎหมายประจำบริษัทตรวจการใช้คำในข้อความเตือนเสียก่อนเสมอ

เมื่อเข้าสู่ระบบ
แฮคเกอร์ที่สามารถหลุดรอดเข้าสู่ระบบจะทำการรวบรวมข้อมูลเกี่ยวกับระบบให้มากที่สุด โดยเฉพาะในด้านของการรักษาความปลอดภัย เช่น วิธีการจัดการระบบของผู้ดูแลระบบ ชื่อของผู้ใช้ต่างๆ พร้อมสิทธิของผู้ใช้แต่ละคน วิธีการบันทึกความเคลื่อนไหวของระบบที่ถูกกำหนดไว้ เป็นต้น เมื่อมาถึงขั้นนี้แล้ว แฮคเกอร์จะมีคำสั่งให้เลือกใช้เป็นร้อยเลยทีเดียวในการรวบรวมข้อมูลเกี่ยวกับระบบ แต่แฮคเกอร์จะกระทำการของเขาไปอย่างเงียบๆ โดยเฉพาะหากเขาเข้าสู่ระบบโดยไม่ได้ใช้ชื่อและรหัสผ่านที่ถูกต้อง สิ่งที่แฮคเกอร์จะตรวจสอบเป็นอันดับแรกๆ คือ การรักษาความปลอดภัยในระดับมาตรฐาน เพื่อนำมาเป็นข้อมูลในการพิจารณาว่า ระบบมีความแข็งแกร่งเพียงใด ยกตัวอย่างเช่น การใช้ shadow password หรือการจำกัดการทำงานในส่วนที่เกี่ยวข้องกับระบบเครือข่ายโดยการกำหนดในโปรแกรม networking daemon เป็นต้น แฮคเกอร์จะใช้ข้อมูลเหล่านี้มาประเมินความเสี่ยงที่จะถูกจับได้ และนำมาประกอบการพิจารณาว่าจะกระทำการอย่างไรกับระบบได้บ้าง

---การล้วงข้อมูลจากผู้เชี่ยวชาญ---
แฮคเกอร์จะติดตามข่าวสารข้อมูลเกี่ยวกับการรักษาความปลอดภัยจากหน่วยงานผู้เชี่ยวชาญทางด้านนี้ เช่น CERT (Computer Emergency Response Team) อย่างใกล้ชิด อีกทั้งยังตามข่าวจากช่องทางอื่นๆอีก ไม่ว่าจะเป็นกลุ่มข่าว เมลลิ่งลิสต์ การประกาศแก้ไขข้อบกพร่องในโปรแกรมโดยบริษัทเจ้าของโปรแกรม และตำรับตำราต่างๆ ข่าวสารข้อมูลเกี่ยวกับความปลอดภัยของระบบเป็นเหมือนดาบสองคมที่แฮคเกอร์สามารถหยิบฉวยไปใช้ในทางที่ไม่ถูกต้อง ทำให้โปรแกรมหรือวิธีการที่ผู้ดูแลระบบใช้ในการจัดการระบบอาจถูกแฮคเกอร์นำมาใช้เจาะระบบเสียเองก็เป็นได้
อย่างไรก็ตาม การเก็บงำความรู้ไว้ไม่ให้เป็นที่แพร่หลายกลับไม่ใช่วิธีแก้ปัญหาที่ถูกต้อง เพราะถึงอย่างไร แฮคเกอร์ก็จะหาทางล้วงเอาข้อมูลมาได้อยู่แล้ว ด้วยเวลาและการพลิกแพลงที่แฮคเกอร์มีเหนือผู้ดูแลระบบโดยทั่วไป ซึ่งแค่การทำงานประจำวันก็กินเวลาและกำลังของผู้ดูแลระบบไปจนหมด ซึ่งหากผู้เชี่ยวชาญทั้งหลายไม่ยอมเผยวิธีการรักษาความปลอดภัยระบบให้เป็นที่แพร่หลาย ผู้ดูแลระบบในองค์กรขนาดเล็กก็จะไม่มีทางได้รับรู้เทคนิควิธีการใหม่ๆ ไว้คอยรับมือกับแฮคเกอร์ได้เลย ทั้งที่ผู้ดูแลระบบเหล่านี้นั่นแหละที่ต้องการความช่วยเหลือมากที่สุด

---การล้วงข้อมูลจากแฮคเกอร์ด้วยกัน---
แฮคเกอร์มักใช้เวลาไม่น้อยในการ"อ่านประกาศ" คือการอ่านข่าวสารข้อมูลที่ติดอยู่ในกระดานอิเลคทรอนิคซึ่งเหล่าแฮคเกอร์ใช้แลกเปลี่ยนความรู้ความคิดเห็นกัน เพื่อมองหาเทคนิควิธีการใหม่ๆ ในการเจาะระบบ และเพื่อรับรู้"ข่าววงใน"เกี่ยวกับข้อบกพร่องและการแก้ไขข้อบกพร่องที่เกิดขึ้นในโปรแกรมต่างๆ ส่วนในเวิลด์ ไวด์ เว็บก็มีหลายต่อหลายเว็บไซต์ที่เป็นแหล่งข้อมูลสำหรับแฮคเกอร์ เว็บไซต์เหล่านี้มักไม่เป็นที่เปิดเผยกันในวงกว้าง ดังนั้น แฮคเกอร์อาจจะต้องออกแรงค้นหาเว็บไซท์ประเภทนี้กันบ้าง แต่ก็คุ้มค่าในการหา เพราะแฮคเกอร์จะได้พบกับเครื่องไม้เครื่องมือต่างๆ ที่แฮคเกอร์นำมาแลกเปลี่ยนกันในเว็บไซต์
ผู้ดูแลระบบจำเป็นที่จะต้องเรียนรู้เทคนิคและวิธีการที่แฮคเกอร์ใช้ให้ได้มากที่สุด ในเมื่อแฮคเกอร์ยังสามารถรับรู้ข่าวสารข้อมูลจากผู้เชี่ยวชาญด้านการรักษาความปลอดภัยระบบแล้วนำไปพลิกแพลงใช้เจาะระบบได้เลย ผู้ดูแลระบบก็จะต้องติดตามความเคลื่อนไหวในสังคมของแฮคเกอร์เพื่อนำความรู้มาประยุกต์ใช้ป้องกันระบบได้เช่นเดียวกัน แต่คุณก็ควรระมัดระวังให้ดี เพราะบางบริษัทก็ไม่พอใจที่พนักงานของตนจะเข้าไปคลุกคลีมีความสัมพันธ์กับแฮคเกอร์ในทางใดทางหนึ่ง อย่างไรก็ตาม ทุกวันนี้ มีแฮคเกอร์บางกลุ่มที่เปิดเผยตัวเองมากขึ้น ทำให้คุณไม่จำเป็นต้องบุกเข้าไปหาใน"แดนต้องห้าม"ของเหล่าแฮคเกอร์อีกต่อไป คุณสามารถหาอ่านนิตยสารเกี่ยวกับแฮคเกอร์ อย่างเช่น 2600 ซึ่งออกเป็นราย 3 เดือนหรืออ่านนิตยสารในอินเทอร์เน็ตอย่าง Phrack นอกจากนี้ยังมีซีดี-รอมที่รวบรวมเอาซอฟท์แวร์และข้อมูลที่เกี่ยวกับการเจาะระบบ และกลุ่มข่าวที่เป็นแหล่งพูดคุยเกี่ยวกับแฮคเกอร์โดยเฉพาะ ที่จะเป็นช่องทางให้คุณรู้จักแฮคเกอร์ให้มากขึ้น

ส่งท้าย
ข้อมูลคือสิ่งที่คุณหวงแหนที่สุด และการรักษาความปลอดภัยข้อมูลคือการควบคุมการเข้าถึงข้อมูลจากทุกๆ ทาง ความปลอดภัยของระบบคอมพิวเตอร์ขึ้นอยู่กับความปลอดภัยของข้อมูลในระบบ และสิ่งที่องค์กรต้องการคือความปลอดภัยของข้อมูลแบบครบวงจร ข้อมูลจะต้องได้รับการป้องกัน ไม่ว่าข้อมูลนั้นจะอยู่ในรูปแบบใดก็ตาม ทุกคนในองค์กรจะต้องเข้าใจบทบาทหน้าที่ของตนในการรักษาความปลอดภัยข้อมูล ไล่จากผู้บริหารระดับสูง ผู้จัดการ วิศวกร พนักงานในสำนักงาน ไปจนถึงพนักงานทั่วไป ความเข้าใจในบทบาทหน้าที่ดังกล่าวควรจะถือเป็นส่วนหนึ่งของการปฏิบัติหน้าที่ที่จะใช้เป็นเกณฑ์ในการประเมินประสิทธิภาพการทำงาน และเป็นหน้าที่ขององค์กรในการสร้างความเข้าใจนี้ พนักงานทุกๆ คนควรได้รับการเน้นย้ำถึงความสำคัญของความปลอดภัยของข้อมูลที่สำคัญเป็นระยะ จะต้องมีระบบการบันทึกและรายงานเหตุการณ์ที่เกิดขึ้นที่เกี่ยวข้องกับความปลอดภัยของข้อมูลเป็นลายลักษณ์อักษร การรักษาความปลอดภัยของตัวเครื่องและสถานที่ก็ต้องมีด้วย ระเบียบปฏิบัติต่างๆ จะต้องมีผลบังคับใช้อย่างเคร่งครัดในการทำงานของพนักงานทุกๆ ระดับ มิฉะนั้น การละเลยไม่ทำตามขั้นตอนของการรักษาความปลอดภัยข้อมูลโดยมีจุดประสงค์เพียงเพื่อความสะดวกสบายในการทำงานของผู้ดูแลระบบหรือพนักงานระดับใดก็ตาม ก็จะเป็นการเปิดช่องให้แฮคเกอร์เข้าสู่ระบบได้อย่างสะดวกสบายยิ่งขึ้น
ทุกครั้งที่ทำการบุกรุกระบบ แฮคเกอร์จะมาอย่างเพียบพร้อมด้วยเครื่องไม้เครื่องมือและความรอบรู้ จึงเป็นหน้าที่ของผู้ดูแลระบบที่จะตระเตรียมรับมือแฮคเกอร์ไว้ให้พร้อมเพรียง ไม่ว่าแฮคเกอร์จะมาไม้ไหนก็ตาม การเตรียมตัวควรมีพร้อมไว้อยู่เสมอก่อนที่จะตรวจพบว่าแฮคเกอร์ได้เจาะระบบเข้ามา หาไม่อาจเป็นการสายเกินไปก็เป็นได้
แต่การเตรียมตัวทางด้านเทคนิคอย่างเดียวนั้นไม่เพียงพอ การรับมือกับแฮคเกอร์ยังจะต้องอาศัยการวางนโยบาย การกำหนดระเบียบปฏิบัติและขั้นตอน และการให้ความรู้ ผู้ใช้ทั่วไปจะต้องตระหนักถึงความสำคัญของการรักษาความปลอดภัยของข้อมูลในการปฏิบัติงานประจำวันของแต่ละคน นอกจากนี้ ยังต้องมีการกระตุ้นเป็นระยะเพื่อให้ความตระหนักนี้คงอยู่ต่อไปด้วย