วิธีป้องกัน web ของเราจากการถูก hack แบบเบื้องต้น

[tuumz]

การป้องกันเว็บตัวเองจากการโดน Hack เบื้องต้น

ถ้าเช้าวันหนึ่งคุณตื่นขึ้นมาเปิดเครื่อง online เข้าดูเว็บที่อยู่ในความรับผิดชอบของตัวเอง
แต่สิ่งที่คุณได้พบกลับกลายเป็นความงุนงงอย่างยิ่ง เมื่อเว็บที่ดูแลมันกลายเป็นเว็บอะไรก็ไม่รู้
หรือ อาจจะมีประโยคแปลก ๆ ในหน้านั้นเขียนประมาณ ว่า “ … www.myweb.com Domain for sale ”
คุณไม่สามารถแก้ไขข้อมูลโดเมนได้เพราะ โดเมนกลายไปอยู่กับใครก็ไม่รู้ ที่ตั้งของเว็บก็ชี้ไปไหนก็ไม่รู้
คำถามแรกที่ผุดขึ้นมาในหัวคือ “ เกิดอะไรขึ้นหว่า ? ” ในขณะเดียวกันที่คุณจะรู้สึกสังหรณ์ใจลึก ๆ ว่า โดนเข้าแล้วซิตู

โดน hack แน่ ๆ ถ้าคุณไม่อยากจะรู้สึกแบบนี้ ผมว่าเรามาลองทบทวนขั้นตอนการดูแลเว็บให้ปลอดภัย จากการโดน Hack
กับแบบง่าย ๆ กันดีกว่าครับแต่ก่อนจะถึงขั้นนั้น มารู้จักสาเหตุกันนิด
“ ทำไมมา Hack เอาเว็บผม จะเอาไปทำอะไรก็ไม่ได้จะ Hack ไปทำ ( เบื๊อก ) อะไร ? ”

หลาย ๆ คนที่โดน hack ที่ผมได้ช่วยในการติดตามเอาโดเมนคืน มักจะรู้สึกแบบนี้ มีเหตุผล 108 ประการเลยครับ
ที่จะทำให้โดนแบบนั้น ไม่ว่าคุณ จะทำเว็บ E-commerce ขายสินค้า 1000 ล้าน หรือคุณจะทำแค่เว็บส่วนตัว น่ารักเอาสนุก ๆ
คุณมีโอกาส โดน Hack ทั้งสิ้น ไม่ต่างกัน การโดยพยายาม Hack มักจะแปรพันตรงกับ ปริมาณคนที่เข้าเว็บ หมายความว่า
ยิ่งมีคนเข้าเว็บคุณเยอะ ยิ่งมีคนพยายามที่จะลอง hack เว็บคุณมากเช่นกัน ซึ่งเหตุผลใหญ่ ๆ มักจะมี
อยู่ไม่กี่กรณีหรอกครับเมื่อสรุปลงมาแล้ว ได้แก่
1 ลองของลองวิชา อันนี้จะเป็นกลุ่มที่กำลังหัดหรือพวกที่ต้องการทดสอบสอบเครื่องมือหรือเทคนิคที่ได้เรียนรู้มา
กลุ่มนี้จะมีเยอะที่สุดครับ
2 แก้แค้นส่วนตัว อันนี้มักจะเจอส่วนใหญ่กับพวกเว็บบริษัทครับ และมักจะเกิด ด้วยเรื่องทะเลาะกัน
หรือพนักงานที่ออกหรือยังไม่ออกจากบริษัทแบบไม่ค่อยสวย หรือเคยมีมาแล้วแม้กระทั้งเรื่องแย่งกันจีบหญิง
อันนี้พอเยอะพอ ๆ กัน ครับ
3 ผลประโยชน์แอบแฝง กรณีนี้มีไม่เยอะแต่เวลาเจอทีมักจะเจอกับกรณีแรง ๆ หรือเว็บดัง ๆ คนเข้าเยอะ ๆ ครับ
คนที่ทำเคยตามได้ขนาดที่ว่าหาประโยชน์หลายด้านจาก เว็บที่ได้โจรกรรมไป แบบที่ง่ายที่สุดเลยคือ
กรรโชกให้ไปไถ่ค่าโดเมนคืน โดยเอาเว็บไป post ขายไว้กับเว็บขายโดเมนเนมในต่างประเทศซึ่ง การติดตามข้อมูล
การจ่ายเงินไม่ใช่เรื่องง่าย ๆ เลย ที่รอง ๆ ลงไปคือ เอา traffic ที่คนเข้าเว็บไปลงกับโฆษณาประเภท pay per click
ซึ่งยังมีอยู่ในบางที่

วิธีป้องกันเว็บไม่ให้โดนโจรกรรมโดเมน รวมถึงขั้นตอนที่เราจะปกป้องโดเมนจากการเล่นงานแบบเบื้องทำได้ง่าย ๆ
ดังนี้ครับ

1 เลือกใช้โดเมนเนมที่อยู่ภายใต้การดูแลของ thnic ( www.thnic.or.th ) อันนี้เหมาะกับผู้กำลังจะทำเว็บใหม่ครับ
ถ้าคุณทำเว็บบริษัทหรือเว็บส่วนตัว ก็ไปใช้ประเภท ชื่อ โดเมน มีคำว่า .th ต่อท้าย เช่น www.mycompany.co.th
ถามว่า ใช้แล้วจะไม่โดน Hack หรือ ? ไม่ใช่หรอกครับ แต่ว่า ชื่อโดเมน ที่ ลงท้ายด้วย .th นั้น ไม่สามารถ
โอนการดูแลโดเมนเนม ไปยังต่างประเทศได้ ถ้าเว็บของคุณโดน hack ไปวางที่ไหนก็แล้วแต่ สามารถเอากลับมาได้ง่าย ๆ
เพราะ โดเมนที่ลงท้ายด้วย .th ได้รับการดูแลโดยองค์กร ภายในประเทศ แค่คุณ faxเอกสารยืนยันความเป็นเจ้าของไปเขาก็แก้ไขกลับเป็นอย่างเดิมได้สบายมากครับ ซึ่งถ้าคุณกำลังจะเลือกชื่อโดเมนเนม
อยู่ก็อย่ามองแต่ .com หรือ .net ครับ .co.th ปลอดภัยแน่ครับ

2 ถ้ามีโดเมนอยู่แล้วเป็นอันอื่นที่ไม่ใช่ลงท้ายด้วย .th จะทำอย่างไง ? มีครับยังมีวิธีป้องกันดี ๆ อีกหลายวิธีครับได้แก่

2.1 เลือกทำ Domain Locking ถ้าคุณไม่ได้ย้ายที่ตั้งเว็บบ่อย ๆ ในปัจจุบันเนื่องจากมีปัญหาการขโมยโดเมนเกิดขึ้นจำนวนมา
ผู้ให้บริการ Domain Name รายใหญ่ หลายที่จะเปิดให้บริการนี้ ถ้าเราจดบริการโดเมนที่ไหนลองสอบถามดูได้ครับทั้งในไทย
และต่างประเทศก็มีครับ ถามว่าทำแล้วได้ประโยชน์อะไร หลัก ๆ คือ จะไม่สามารถย้ายผู้ให้บริการโดเมนเนม
หรือย้าย DNS ได้ จากการทำการแจ้งผ่านระบบ online ครับ ไม่ว่าจะโดย email หรือ ว่าจะรู้ Login และ password
ในการเข้าไปจัดการโดเมนเนม ถ้าจะย้ายโดเมนเนมไปที่อื่นทำได้อย่างเดียวคือการ fax
เอกสารเป็นหลักฐานไปยังผู้ให้บริการที่เราทำ Domain Locking ไว้ครับ ซึ่งโอกาส hack เว็บแบบนี้จะลดลงไปเยอะมากครับเพราะ
การย้ายโดเมนไปที่อื่นเป็นเรื่องลำบากมาก อีกทั้ง Hacker ก็เสี่ยงในการเปิดเผยตัวเองมากกว่า
ในการที่จะยอมเสี่ยงปลอมเอกสารแล้ว fax ไป แนวคิดของ Domain Locking คือ
ทำให้การย้ายโดเมนเนมไม่สามารถทำ Online อัตโนมัติได้ครับ ต้องติดต่อเจ้าหน้าที่ส่งเอกสารให้เท่านั้น
ซึ่งการขโมยโดเมนที่ถูก lock ไว้นั้นก็จะเป็นเรื่องยากลำบากสำหรับ hacker ไปทันที แต่ถ้าหากว่า
ชื่อโดเมนเนมที่คุณจดไว้นั้น ผู้ให้บริการไม่มีบริการ Domain locking ละ ? จะทำอย่างไงดี ข้อต่อ ๆ ไป
จะบอกวิธีการป้องกันและสิ่งที่ควรทำขั้นรอง ๆ ลงมาครับได้แก่

2.2 เก็บหลักฐานการจดโดเมนเนมไว้ทั้งในรูปแบบของไฟล์ และ print out เสมอ เรื่องนี้มีประโยชน์มากครับ
แต่คนส่วนใหญ่บางทีไม่เคยสนใจทำ ถ้าคุณโดน Hack โดเมนเนม เอกสารพวกนี้จะช่วยคุณในการทำเอกสาร
แสดงเพื่อยืนยันความเป็นเจ้าของ ๆ จะช่วยได้เยอะครับ ในเว็บที่โดนขโมยโดเมนเนม มีหลาย ๆ เว็บ
ไม่สามารถหาหลักฐานพวกนี้ได้สร้างความยุ่งยากมากมายในการติดต่อขอโดเมนคืน
หลักฐานของการจดทะเบียนโดเมนเนมจึงเป็นเรื่องสำคัญที่ไม่ควรมองข้ามเลยทีเดียวครับ

2.3 การตั้ง password ใช้งานในการแก้ไขข้อมูลกับผู้ให้บริการโดเมนเนม จะต้องไม่ตั้งแบบเดาง่าย
เช่น เป็นชื่อเล่นเจ้าของหรือ webmaster เป็นตัวเลข ซ้ำ 1111 , 2222 หรือ ชื่อที่เดาง่าย เพราะมันจะเป็นสิ่งที่
hacker จะทดลองเดาใช้ password ก่อนเสมอ ๆ และควรตั้งให้มีความยาวตั้งแต่ 8 ตัวอักษรขึ้นไป
แต่ก็ระวัง เหมือนกันนะครับบางคนก็ตั้งยากซะจน ตนเองจำไม่ได้ นะครับ

2.4 Email ที่ใช้จดโดเมนเนม ต้องไม่ตั้ง password ง่ายเกินไป เชื่อไหมครับว่าพวกเว็บบริษัทมักชอบจดทะเบียนโดยใช้
Email ที่ตั้ง password เดาง่าย เช่น password เป็น 1234 หรือเป็น ชื่อบริษัท ซึ่ง hacker
จะใช้วิธีการย้ายโดเมนผ่านการยืนยัน ผ่าน email ที่ได้จดทะเบียนโดเมนนั้นไว้ ซึ่งเป็นกรณีที่โดน
ขโมยโดเมนมากที่สุดครับ เพราะฉะนั้น email ที่คุณใช้ อย่าให้เดา password ได้ง่าย ๆ

2.5 เลือกใช้บริการปิด Information เจ้าของโดเมนเนมถ้ามีจากผู้ให้บริการ
อันนี้เป็นพวกบริการเสริมครับจากผู้ให้บริการโดเมนเนม คนทั่วไปจะไม่สามารถหา
ข้อมูลของผู้เป็นเจ้าของโดเมนเนมได้โดยตรงต้องติดต่อผ่านทางผู้ให้บริการ โดเมนเนมนั้นๆ
ซึ่งก็เป็นการตัดขั้นตอนการพยายาม hack email ที่ใช้จดทะเบียนไปได้ในตัวครับ บริการนี้มันมีควบคู่มากับ
Domain locking ลองถามผู้ให้บริการที่คุณจดโดเมนดูครับ บริการพวกนี้อาจจะต้องจ่ายเงินเพิ่มเล็กน้อยแต่
เพิ่มความปลอดภัยขึ้นมากครับ

2.6 เว้นการเลือกใช้ผู้ให้บริการจดโดเมนเนมที่มีชื่อเสียงไม่ดี หรือ มักจะมีปัญหาในการให้บริการ หรือ
ไม่มีเครื่องมือที่ดีในการดูแลโดเมนให้ปลอดภัย อันนี้สอบถามได้จาก รุ่นพี่ ๆ ที่ทำเว็บด้วยกัน หรือ
ผู้เขียนได้ครับมีผู้ให้บริการโดเมนเนมบางรายที่ระบบหละหลวม hack ได้โดยง่าย
ซึ่งนั้นเท่ากับเราไม่สามารถป้องกันตัวเองได้เลย

2.7 รักษาความปลอดภัยในเครื่อง PC ที่คุณใช้งานให้มากเท่าที่จะทำได้
เรื่องนี้มักจะเป็นจุดที่ hacker ชอบโจมตีมากพอ ๆ กับโจมตี email ครับ
อันนี้มักจะเกิดจากตัวเราเองครับ อย่างเช่น ไม่ Update anti virus รับไฟล์จากคนแปลกหน้า
( หรือแม้แต่กระทั่งคนคุ้นเคย) จาก MSN ไม่ปิด Active X ใน IE ไม่อัพเกจ OS ที่มีจุดอ่อน
หรือแม้กระทั้งเปิดดู Email หรือ ไฟล์แนบ Email จาก Outlook หรือ แม้กระทั้ง webmail
ก็ตาม โอกาสที่จะโดนโทรจัน ประเภท keystrokes คือโปรแกรมที่แอบดักดูว่าเครื่องที่โดน
โทรจันเข้าไปนั้น พิมพ์ข้อความอะไรบ้าง จากนั้นโปรแกรมมันจะ email ไปบอกเจ้าของโปรแกรมนั้น
หรือแอบควบคุมเครื่องนั้นในระยะไกล หมายถึงว่า Hacker จะรู้ login หรือ password
ในการแก้ไขโดเมนเนมได้อย่างสบาย ผมว่าพวกเราส่วนใหญ่ก็คงใช้งานระบบ OS เป็น windows
กันทั้งนั้น โปรแกรม Antivirus (Norton Antivirus, McAfee, Trend Micro ฯลฯ ) ,
โปรแกรม Antispyware (MS Antispyware ฯลฯ ) หรือโปรแกรมพวก personal firewall
เพื่อความอุ่นใจ อีกที

ถ้าคุณเป็น webmaster ที่ไม่ได้ความรู้ด้าน Network อะไรมากมาย การทำตามที่ได้กล่าวไว้ข้างต้นนี้
ก็สามารถป้องกันโดเมนของตัวเองให้ปลอดภัยจากการโดนขโมยโดเมนได้ในระดับนึงครับ
แม้ว่าจะไม่มีอะไรรับประกันได้ 100 % ก็ตาม แต่ก็ช่วยให้มีความปลอดภัยขึ้นอย่างมากเลยครับ



credit kent_cm at http://www.kentz.lovecomclub.com

[MRF]

ถ้าปฏิบัติตามคำแนะนำแล้วจะสามารถป้องกันได้ในระดับหนึ่งใช่ไหมครับอย่างที่คุณเขียนไว้ในบทความ

ในระดับหนึ่งนี่ผมขอถามหน่อยนะครับว่า ระดับไหนครับ

ระดับประเภท ที่1 (ลองของ) สามารถกันได้ 100% ไหมครับ


ความคิดส่วนตัวผมคิดว่าเว็บไซต์ทุกเว็บ มีช่องโหว่หมดแหละ อยู่ที่ว่า "หมวกดำ"คนนั้นมันจะเก่งแค่ไหน ถ้ามันเก่งมาก็เจาะระบบได้ (ขนาด FBI ยังโดนแฮกเลย)

[Gabriel]

แย่เลยนะครับ ถึงจะเขียนโปรแกรมเพื่อสร้างwebได้น่าสนใจแค่ไหน

หากไม่มีความรู้เรื่อง hacker แม้แต่พื้นฐาน

ก็อาจจะโดนโจรกรรม ไปอย่างน่าเจ็บใจได้เลยทีเดียว

เหมือนกับว่าหากคิดจะอยู่ในวงการคอมพิวเตอร์แล้ว

เก่งเรื่องพัฒนาอย่างเดียวไม่พอ ต้ิองรู้เท่าทัน B.hat ด้วยถึงจะรุ่งเรือง

[eclipseo14]

พอจะมีขั้นตอนในการเขียนด้ดป้องการการ hack ได้ป่ะครับ

อย่างมีการเขียนคำสั่ง sql ไปพร้อมๆกับ URL