Credit
คัมภีร์สยบแฮกเกอร์ #5
ความเดิมตอนที่แล้ว
http://www.pantip.com/tech/internet/...IT1064212.html
บทที่ 2 ข่าวสารข้อมูล: สุดยอดปรารถนาของแฮคเกอร์
การล่วงรู้ข้อมูลให้ได้มากที่สุดเป็นจุดประสงค์ที่สำคัญที่สุดของการแฮคเข้าระบบคอมพิวเตอร์ เพราะข้อมูลคืออำนาจ ยิ่งแฮคเกอร์มีความรู้เกี่ยวกับระบบมากเท่าใด เขาก็ยิ่งดำเนินการกับระบบคอมพิวเตอร์ตามวัตถุประสงค์ได้ง่ายดายมากขึ้นเท่านั้น และโอกาสของการถูกจับได้ก็มีน้อยลงตามไปด้วย
อันดับแรกสุด แฮคเกอร์จะต้องรวบรวมข้อมูลในรายละเอียดเกี่ยวกับระบบคอมพิวเตอร์ที่เป็นเป้าหมายเสียก่อน โดยการตอบคำถามต่อไปนี้ให้ได้มากที่สุด
- ใครเป็นเจ้าของระบบคอมพิวเตอร์ ?
- บริษัทเจ้าของระบบทำธุรกิจประเภทใด ?
- ใครเป็นคนใช้ระบบคอมพิวเตอร์ ?
- เขาใช้ระบบทำอะไรบ้าง ?
- ระบบประกอบด้วยเครื่องประเภทใดบ้าง ?
- ใครเป็นผู้ดูแลระบบ ?
- การดูแลระบบมีประสิทธิภาพมากน้อยเพียงใด ?
ในการตอบคำถามเหล่านี้ แฮคเกอร์สามารถหาคำตอบได้จากหลายทาง แน่นอนว่า ตัวระบบคอมพิวเตอร์เองก็มีข้อมูลและรายละเอียดที่สำคัญอยู่ นอกจากนั้นแล้ว ผู้ใช้ระบบนั้นๆ ก็เป็นแหล่งข้อมูลที่ดีอีกแหล่งหนึ่งด้วย
---การล้วงข้อมูลจากคน---
การรักษาความปลอดภัยสำหรับระบบคอมพิวเตอร์ทั้งหมดที่มีอยู่ในโลกนี้จะไม่สามารถปกป้องคอมพิวเตอร์เอาไว้ได้เลย ถ้าหากบุคคลที่เกี่ยวข้องกลับกลายเป็นรูรั่วของความปลอดภัยเสียเอง เพราะความลับมักจะรั่วไหลออกมาทางคนมากกว่าทางเครื่องคอมพิวเตอร์เสมอ
แอบมอง
แฮคเกอร์จะพยายามหาโอกาสแอบไปทางข้างหลังแล้วมองข้ามไหล่คนที่กำลังป้อนข้อมูลที่สำคัญอยู่ ไม่ว่าจะเป็นหมายเลขของบัตรโทรศัพท์ รหัสเอทีเอ็ม หรือรหัสผ่านเข้าระบบคอมพิวเตอร์ แหล่งชุมชนที่มีคนแออัดกันอยู่เป็นจำนวนมากเป็นชัยภูมิเหมาะที่สุดสำหรับพวกแฮคเกอร์ในการปฏิบัติการแอบมอง คนธรรมดาทั่วไปจึงจำเป็นต้องได้รับการอบรมหรือได้รับคำแนะนำเกี่ยวกับการดูแลรักษาข้อมูลที่เป็นความลับของตนเอง ไม่ว่าข้อมูลนั้นจะเป็นเรื่องส่วนตัวหรือจะเป็นข้อมูลของบริษัทที่อยู่ในความดูแลรับผิดชอบ อย่างน้อยที่สุด คุณควรระมัดระวังคนรอบข้างให้ดีในขณะที่คุณใช้ข้อมูลที่เป็นความลับของคุณ คุณจะประมาทไม่ได้เป็นอันขาด
การแอบมองอาจยกระดับขึ้นไปอีกขั้นหนึ่งไปเป็นการใช้อุปกรณ์บางอย่างในการดักฟัง อย่างเช่นอุปกรณ์ที่อาศัยหลักการเมื่อยิงแสงเลเซอร์ไปตกกระทบกระจกหน้าต่างด้านนอกห้อง การสะท้อนกลับของแสงจะแปรเปลี่ยนไปตามการสั่นสะเทือนของกระจกที่เกิดจากเสียงพูดของคนที่อยู่ในห้อง ซึ่งอุปกรณ์จะสามารถแปรเปลี่ยนการสะท้อนอันเป็นผลจากการสั่นสะเทือนนั้นมาเป็นเสียงพูดได้ ดูเหมือนการใช้เครื่องมือไฮเทคทำนองนี้จะเป็นไปได้เฉพาะกับการดักฟังของสายลับมืออาชีพเท่านั้น แต่ก็ไม่แน่เสมอไป เพราะอุปกรณ์ทางอิเลคทรอนิคนับวันก็จะมีราคาถูกลงและหาซื้อได้ง่ายขึ้น จึงเป็นไปได้ว่า คนทั่วไปจะประดิษฐ์คิดค้นเครื่องมือไฮเทคทำนองนี้เอาไว้ใช้เองได้
หลอกถาม
ว่ากันว่าการเลี้ยงเหล้าเพียงแก้วเดียวให้กับเหยื่อที่เพิ่งตีสนิทในร้านเหล้า เป็นวิธีการล้วงข้อมูลที่มีประสิทธิภาพยิ่งกว่าการสืบค้นแบบแอบๆ ซ่อนๆ เสียอีก เพราะเมื่อคนเราผูกมิตรกันได้แล้ว ก็ย่อมอยากที่จะเล่าเรื่องราวต่างๆ ของตนให้คนที่รู้จักฟังเป็นธรรมดา รวมไปถึงเรื่องในที่ทำงานด้วย เมื่อเป็นเช่นนี้ แฮคเกอร์ก็ไม่จำเป็นต้องเหนื่อยยากในการฝ่าด่านต่างๆ ในระบบคอมพิวเตอร์ เพราะข้อมูลเหล่านั้นจะหลุดออกจากปากของคนเหล่านั้นอย่างง่ายดาย แฮคเกอร์ที่จะนำเทคนิคนี้ไปใช้ต้องเป็นคนที่มีมนุษยสัมพันธ์ดีพอสมควร แต่ปัญหาอยู่ตรงที่ว่า แฮคเกอร์ส่วนใหญ่ไม่ใช่คนประเภทนี้เสียด้วย อย่างไรก็ตาม ในภาพกว้างแล้ว วิธีการนี้ยังคงเป็นวิธีหลักที่คนเราใช้ในการล้วงข้อมูลทั่วๆ ไปอยู่
สวมรอย
การสวมรอยเป็นเรื่องของการสร้างความไว้เนื้อเชื่อใจ คือการทำให้เหยื่อหลงเชื่อในเรื่องที่กุขึ้น เพื่อนำไปสู่การเปิดเผยข้อมูลที่สำคัญ มีกลเม็ดเด็ดพรายต่างๆ มากมายที่แฮคเกอร์สามารถนำมาใช้ในการนี้ โดยเริ่มจากการที่แฮคเกอร์สามารถต่อเข้าระบบคอมพิวเตอร์ผ่านโมเดมและระบบโทรศัพท์แล้ว ขั้นต่อไปคือการหมุนเบอร์โทรศัพท์ที่ใกล้เคียงกับเบอร์ที่ต่อโมเดม เพื่อโทรเข้าไปยังบริษัทที่เป็นเจ้าของระบบคอมพิวเตอร์ แล้วใช้พนักงานสักคนในนั้นเป็นช่องทางล้วงข้อมูล
การสวมรอยที่ประสบผลสำเร็จจะมีทั้งการปลอบและการขู่ เป็นการเล่นกับธรรมชาติของคนที่ต้องการช่วยเหลือผู้อื่นเมื่อได้รับการขอให้ช่วย แฮคเกอร์อาจจะหลอกถามข้อมูลจากพนักงานใหม่ของบริษัท หรืออาจจะปลอมตัวปลอมเสียงเป็นพนักงานใหม่เสียเอง เพื่อล้วงข้อมูลจากคนที่คอยให้บริการตอบปัญหา หรือใช้วิธีตีสนิทกับพนักงานที่เป็นผู้ใช้ระบบที่มีระดับความสำคัญพอสมควร หรือหลอกคนในบริษัทว่าตนเป็นผู้ได้รับมอบหมายมาให้แก้ไขระบบ ซึ่งจำเป็นต้องรู้ข้อมูลสำคัญของระบบจะได้ทำการแก้ไขได้อย่างถูกต้อง
โดยมากคนที่ถูกหลอกมักไม่รู้ตัวว่ากำลังคุยกับคนที่สวมรอยอยู่ เพราะแฮคเกอร์จะใช้เวลาคุยกับเหยื่อแต่ละรายไม่นานนัก แล้วก็จะจากไปหาเหยื่อรายอื่นต่อไป การพูดคุยแต่ละครั้งอาจจะไม่ใช่การสอบถามเรื่องเดียวกันตลอด แต่เมื่อรวบรวมเอาข้อมูลที่ได้มาทั้งหมดเข้าด้วยกันแล้ว แฮคเกอร์ก็จะได้รู้เรื่องราวภายในของบริษัทอย่างมากมายทีเดียว
การสวมรอยอาจมาในรูปแบบของซอฟท์แวร์ก็ได้ คือมาในรูปของม้าทรอจัน (trojan horse) ยกตัวอย่างเช่น การปลอมตัวมาเป็นเกมคอมพิวเตอร์ที่บังคับให้ผู้เล่นตั้งรหัสผ่านประจำตัว ซึ่งผู้เล่นมักจะไม่เสียเวลาในการนึกรหัสผ่านใหม่ แต่จะใช้รหัสผ่านที่ใช้เข้าระบบในการทำงานใส่ลงไปในเกมเลย หรืออาจจะเป็นโปรแกรมยูทิลิตี้ที่ฉากหน้าก็ช่วยอำนวยความสะดวกในด้านต่างๆ ดี แต่ในขณะเดียวกัน ก็แอบเปิดช่องในระบบให้บุคคลภายนอกล่วงล้ำเข้าไปได้ เป็นต้น หลักการสำคัญของการสวมรอยก็คือ เมื่อคุณหลงกลไว้เนื้อเชื่อใจในตัวแฮคเกอร์หรือซอฟท์แวร์ของเขาแล้ว เขาก็จะใช้ความไว้เนื้อเชื่อใจนั้นแหละกลับมาเป็นอาวุธร้ายทิ่มแทงระบบของคุณ
Reply With Quote
