โดย อาจารย์บุรินทร์ รุจจนพันธุ์
บทนำ
ในเดือนมีนาคม 2544 หลังจากผมบริหาร Server มา 3 ปีกว่า มีความมั่นใจว่ารู้วิธีบริหาร และบำรุงรักษา Server กว่า 60% ของระบบที่ดูแลทั้งหมด แต่แล้ว Hacker ท่านหนึ่ง ซึ่งให้ข้อมูลว่าเป็นเด็กม.ปลาย ก็ทำให้ความมั่นใจของผมพังทลาย เหลือความรู้ในระบบเพียง 20% เพราะเขาได้พิสูจน์ให้ผมเห็นว่า ระบบที่ผมดูแล หรือปกป้องนั้น ไม่สามารถ หยุดความรู้ในข้อบกพร่องของระบบที่เขามีอยู่ Hacker เข้าระบบโดยผมไม่สามารถหยุดเขาได้เลย (คำว่าเข้ามา หมายถึงเข้ามาในฐานะ su โดยผมหาไม่พบว่าเข้าทางไหน เพราะเขาลบร่องรอยเกือบหมด ก่อนออกไป)
หลังจากผมพยายามปิดระบบ และเรียนรู้เรื่องความปลอดภัยจากการลองผิดลองถูก เข้าไปอ่านข้อมูลใน webboard ปรึกษาผู้รู้ หรือหาข้อมูลจาก web เช่น redhat.com, securityfocus.com, chkrootkit.com, thaisysadmin.com เป็นต้น ทำให้เข้าใจระบบ linux มากขึ้น กว่าแต่ก่อนหลายเท่า ซึ่งทั้งหมดได้เขียนไว้ใน isinthai.com ถ้าท่านต้องการทราบรายละเอียดเพิ่มเติม mail มาคุยกันได้ ยกเว้นวิธีการ hack เท่านั้นที่ผมจะไม่เปิดเผยทั่วไป
แม้ผมจะรู้อะไรเพิ่มขึ้นมากมายเกี่ยวกับความปลอดภัยในระบบ ก็ไม่ได้ว่าระบบของผมจะสมบูรณ์ เพราะผมไม่ได้เขียนระบบขึ้นใช้เอง เพียงแต่ไปนำระบบ linux เวอร์ชันหนึ่ง ที่ผู้คนใช้กัน นำมาติดตั้ง และเปิดให้บริการ และบริการที่ผมพยายามเปิดนั้นมีมาก จนไม่แน่ใจว่าจะต้องปิดอะไรบ้าง จึงจะปลอดภัย เพราะผู้รู้มากมายบอกผมว่าต้องไม่บริการจึงจะปลอดภัย แต่ผมก็ยังดื้อ เพราะจำเป็นต้องเปิดบริการ และยังไม่แน่ใจว่าเปิดอะไร แล้วจะถูก hack ได้บ้าง หากระบบของผมจะถูก hack อีก ก็เป็นเรื่องปกติ เพราะได้ทำระบบ เพื่อเปิดให้เข้ามาศึกษา ไม่ได้ทำระบบเพื่อการค้า ที่ต้องความคุมความปลอดภัยแบบเต็มร้อย ระบบที่มีการควบคุมแบบเต็มร้อย จะมีข้อจำกัดหลายอย่าง เช่น hotmail.com, geocities.com, thai.net, thaile.com, se-ed.net, f2s.com หรือ hypermart.net เป็นต้น
--------------------------------------------------------------------------------
ไม่มีใครปลอดภัย
Sysadmin มากมายไม่ทราบว่าระบบของตนมีจุดบกพร่อง เพราะมี sysadmin น้อยคนที่จะทำงานด้านดูแลระบบเพียงอย่างเดียว และมีเวลาเหลือพอ ที่จะติดตามข่าวสาร ผมว่าส่วนใหญ่ต้องมีงานล้นมือ เพียงทำให้ระบบเดิมได้ ก็พอใจกันแล้ว เช่น sysadmin ในสถาบันการศึกษาหลายแห่ง ต้องสอน เขียนโปรแกรม พัฒนาเว็บ เป็นอาจารย์ที่ปรึกษา รับเป็นวิทยากร เขียนตำรา ถ้าทำขนาดนี้ คงไม่มีเวลาศึกษาว่าระบบของตนมีจุดบกพร่องอะไรบ้าง และถ้าไม่เคยถูก hack มาก่อน ก็จะเข้าใจว่าระบบของตน สุดยอดปลอดภัย เหมือนบ้านที่ขโมยไม่เคยขึ้น แต่ถ้าบ้านใดขโมยขึ้นครั้งหนึ่ง เจ้าของก็จะเริ่มหากุญแจ หรือวิธีการ มาปกป้องบ้านของตนมากขึ้น
จากการติดตามข่าวจาก securityfocus.com ทำให้มีข่าวพบจุดบกพร่องของระบบ ในเกือบทุกระบบปฏิบัติการอยู่ทุกเดือน ดังนั้น Server ที่ปลอดภัยในวันนี้ จึงอาจถูก hack ได้ในวันรุ่งขึ้น ถ้า sysadmin ไม่หมั่นติดตามข่าว และหาโปรแกรมมา upgrade ระบบของตน
ถ้า server ไม่ปลอดภัย ก็จะรวนกันไปทั้งระบบ ตั้งแต่ข้อมูลไม่เป็นความลับ hacker เข้ามาเปลี่ยนรหัส ขโมยทุกอย่างที่ท่านมีอย่างง่ายดาย บางระบบ hacker เข้าไม่ได้ แต่เปิดช่องซึ่งเป็นจุดอ่อนที่จะทำให้ระบบล้มไป ถ้า hacker บางท่านว่าง ๆ หรือชอบลอง ก็มักจะมาทำให้ระบบล่มไป และ internet ที่เคยใช้ได้ทั้งองค์กร ก็จะกลายเป็นอัมภาตไปชั่วขณะ .. นี่คือความหายนะเล็ก ๆ เท่านั้น (นี่คือตัวอย่างเล็กน้อย เพราะที่สำคัญผมไม่อยากกล่าวถึง เกรงจะเป็นการแนะวิธี ในการสร้างปัญหาให้ผู้คน และระบบ)
สรุปได้ว่า : ไม่มีใครปลอดภัย เพราะการสร้างระบบ internet ขึ้นมาครั้งแรก ผู้สร้างไม่ได้คิดว่า internet จะไปได้ไกลขนาดนี้ หรือจะมี hacker ที่มีคิดโปรกรมดักจับข้อมูลไปใช้ประโยชน์อะไรได้ แต่จะโทษผู้ออกแบบก็ไม่ถูก เพราะเมื่อ 20 ปีก่อน ใครจะไปคิดว่าผู้คนจะนิยม internet มากขนาดนี้ เมื่อก่อนแค่อ่าน mail อ่าน news ก็เต็มที่แล้ว เมื่อผู้คนนิยมกันมากขึ้น ก็นำ internet เข้าบ้าน เข้าโรงเรียนมากขึ้น แต่ระบบเดิมส่งข้อมูลกันแบบ plain text ไม่ได้ทำการ encrypt ข้อมูลก่อนส่ง ด้วยหลักการอย่าง ssl หรือ ssh จึงทำให้เรื่องของความปลอดภัย เป็นเรื่องที่ sysadmin จะต้องศึกษาให้มากขึ้น มิเช่นนั้นก็จะมีเหยื่อรายใหม่ของ hacker หรือ sysadmin อาจเป็นเหยื่อซะเอง สำหรับผมเป็นมาแล้ว และไม่อยากให้เราคนไทย ต้องเป็นเหยื่อของความไม่รู้ และถูกคนที่มีความรู้ใช้ความรู้อย่างไม่ถูกต้อง มาทำร้ายเอา
--------------------------------------------------------------------------------
เรื่องจริงจากการถูก Hack 3 วิธี
ผมขอใช้คำว่า ขู่ให้กลัว เพราะเรื่องนี้จะไม่กระทบบางท่านที่ไม่สนใจ แต่อาจกระทบบางท่านอย่างชัดเจน เพราะจะบอกว่าระบบ Internet ทุกวันนี้มีจุดบกพร่อง ที่ใหญ่มาก ตอนผมเริ่มศึกษาเรื่องที่ระบบตนเองถูก Hack ก็ต้องตกใจว่าทำไม ระบบส่วนในปัจจุบัน จึงมีช่องโหว่ที่ใหญ่ขนาดนี้ แล้วทำไมผู้คนที่ทราบ จึงไม่ออกมาประกาศกันอย่างจริงจัง ว่าสิ่งที่ผมกำลังจะเขียนต่อไปนี้ เกิดขึ้นได้ในทุกองค์กร และต้องป้องกัน มิใช่ปลอดให้เกิดขึ้นเช่นนี้
วิธีที่ 1. Sniffer : ความเดือดร้อนโดยตรงที่ผู้ใช้ได้รับ และผมช่วยไม่ได้
? ทุกตัวอักษรที่ท่านพิมพ์ผ่าน browser จะถูก Hacker มองเห็นหมด ถ้าเขาคิดจะทำ และอยู่ในระบบ LAN วงเดียวกับท่าน และเว็บที่ท่านส่งข้อมูลไม่มีบริการ SSL รองรับ ซึ่งมีเว็บมากกว่า 80% ที่ยังไม่มี ssl ไว้บริการ (ตัวเลขนี้ประมาณ เพราะเห็นบริการ ssl น้อยมาก ถ้าไม่ใช้ e-commerce)
? Netscape mail, Outlook, Eudora ที่ใช้บริการ POP3 ทุกครั้งที่ท่านเปิด get mail ใหม่ Hacker จะสามารถเห็นรหัสผ่าน และข้อมูลใน mail ทุกฉบับที่ท่านได้รับ ซึ่งมักเป็นคนในระบบเครือข่ายของท่าน แต่คนนอกก็ทำได้ ถ้า Server ที่ท่านเปิดบริการ ถูกใช้เป็นเครื่องมือ hack คนในองค์กรซะเอง
? Telnet เป็นระบบที่ผมทดสอบ hack ตัวแรก ทุกครั้งที่ท่านพิมพ์อักษรใน telnet hacker จะเห็นหมด และเห็นทีละตัวอักษร ไม่ได้เห็นเป็นชุด ๆ แบบข้อมูลใน Browser
? เกือบทุกฟรี e-mail ในไทย ยังไม่มี ssl ดังนั้นทันทีที่ท่าน พิมพ์ username และ password hacker ในร้าน net จะจับข้อมูลของท่านได้หมดว่าใช้อะไร
? hotmail.com หรือ yahoo.com จะปลอดภัยเฉพาะหน้าแรก ส่วนหน้าที่เหลือ hacker จะเห็นหมด และหน้าแรกจะปลอดภัย ต่อเมื่อท่านเลือกที่จะรักษาความปลอดภัยเท่านั้น
Sniffer คือโปรแกรมที่ hacker ใช้จับ package ที่ส่งกันไปมาใน Internet เมื่อก่อนผมเข้าใจว่าต้อง run เฉพาะใน server ประเภท unix เท่านั้น แต่คุณประเสริฐ ไปหามาให้ผมได้ลอง ซึ่งสามารถใช้งานบน windows และมี option ให้เลือกจับ switch ได้ด้วย (จับ switch ผมยังไม่ได้ทดสอบ เพราะในระบบไม่มีใช้)
เช่น นักเรียนประถม 4 ที่มีพี่เรียนในมหาวิทยาลัย แนะนำให้นำโปรแกรมขนาด 30 Mb ใช้เวลา install บน windows แบบ click อย่างเดียว ไม่ถึง 10 นาที ไป install ในเครื่องที่โรงเรียน โปรแกรมนี้สามารถเลือกจับเป็นเครื่องได้ ว่าต้องการจับเครื่องใด หรือ switch ตัวใด ทันทีที่ครูใช้ telnet เข้าไปใน server เครื่องใดก็ตาม เด็กป.4 คนนั้นก็จะทราบรหัสผ่าน su ได้ทันที .. ต่อจากนั้นก็แล้วแต่โชคชะตาของ server หละครับ (ตัวอย่างครับ แค่ตัวอย่าง)
ถึงแม้ sniffer จะป้องกันยาก แต่ก็ป้องกันได้ด้วย ssh และ ssl ท่านสามารถหารายละเอียดได้จากเจ้าของระบบปฏิบัติการ ว่ามีโปรแกรมสนับสนุน 2 มาตรฐานดังกล่าวอย่างไร ในส่วนของ ssl ที่ผู้บริการไม่ค่อยนำมาใช้ เพราะโดยปกติ ต้องเสียเงินซื้อ
วิธีที่ 2. Frontal attack
โจมตีแบบตรง ๆ ให้ server ล้ม ซึ่งเคยมีข่าวว่า hacker ได้ใช้ server ทั่วโลกที่ยึดได้ ส่งคำสั่งโจมตีไปที่ yahoo.com จนทำให้ server ของเขา ต้องปิดบริการไปชั่วขณะ นี่เป็นเพียง case หนึ่ง เพราะมีวิธีอีกมากมายที่จะทำให้ server หยุดบริการไป แต่ปัญหานี้อาจไม่ร้ายแรงสำหรับผู้ที่ทำ server ที่ไม่เป็นธุรกิจ เพราะหลังจากล่มไป ก็ boot ใหม่ หรือเข้าไปหาสาเหตุ และก็แก้ไขไปตามนั้น ก็สามารถกลับมาบริการได้เหมือนเดิม เพราะผู้ที่โจมตีจะต้องมีเครื่อง และก็ต้องใช้เครื่องให้ทำงานหนัก แต่ผมการโจมตีคือการก่อกวน ไม่ได้เป็นการยึด site ผลการโจมตีแบบนี้ แค่ก่อความรำคาญเท่านั้น
วิธีที่ 3. Exploiting a security bug or loophole
เรื่องนี้เป็นเรื่องใหญ่สำหรับ sysadmin เพราะระบบทุกระบบที่มีอยู่จะมีตั้งแต่ตอบติดตั้งระบบเสร็จ ทันที่ที่ติดตั้งเสร็จ ระบบก็มีจุดบกพร่องที่จะให้ hacker เข้ามาในระบบในฐานะ superuser ได้ ผู้ดูแลจะต้องหาโปรแกรมมา update ให้ทันสมัย เมื่อสมบูรณ์แล้ว ก็ต้องหมั่นเข้าไปอ่านข่าวใน internet เช่นที่ securityfocus.com เพราะถ้า hacker ทราบวิธีเจาะระบบ ซึ่งเป็นวิธีใหม่ที่พบกันเกือบทุกเดือน ก่อนท่าน update ระบบของท่านก็จะถูก hack ได้ทันที มีข่าวอยู่บ่อย ที่ระบบใน server ระดับโลกถูก hack เช่น apache.org, sourceforge.net, isinthai.com เป็นต้น โดยเฉพาะ isinthai.com ผมเขียนเหตุการเกี่ยวกับการถูก hack ไว้ 10 กว่าครั้ง ซึ่งอาจถึง 20 ในไม่ช้าก็ได้ เพราะปัญหาของการไม่ upgrade ระบบให้ทันกับความรู้ของ hacker
--------------------------------------------------------------------------------
วิธีป้องกันตนเอง
? sysadmin จะต้องเลิกใช้ telnet และติดตั้ง ssh เพื่อป้องกัน sniffer ดักจับ password
? sysadmin จะต้องติดตั้ง ssl เพื่อทำให้เว็บของตนให้บริการได้อย่างปลอดภัย แต่ปกติ ssl จะเสียตัง (หลายเว็บจึงบอกว่าไม่เป็นไรมั้ง)
? ผู้ใช้ต้องเลิกใช้ telnet, webbase mail ที่ไม่มี secure login หรือ pop3 เช่น outlook แล้วไปใช้ hotmail.com หรือ yahoo.com แบบ secure login แทน
? ผู้ใช้ต้องเลิกใช้ ftp upload แต่หันไปใช้ file manager ที่เว็บมีให้ ต้องเลือกที่บริการ secure login (หายาก เช่น hypermart.net, thai.net เป็นต้น)
Referece: http://www.thaile.com/articles/a7.htm
Reply With Quote
