การเพิ่มรายได้ในการจัดเก็บภาษีด้วยการยกเลิกตัวบรรเทาภาระ .... บทความ... ·
บทความ Cyber Threats 2011
Transcript of บทความ Cyber Threats 2011
2
บทความ Cyber Threats 2011 โดย ThaiCERT
ชอเรอง บทความ Cyber Threats 2011 โดย ThaiCERT
เรยบเรยงโดย นายสรณนท จวะสรตน, นายเสฏฐวฒ แสนนาม, นายไพชยนต วมกตะนนทน, นายศภกรณ ฤกษดถพร, นายพรพรหม ประภากตตกล, นายเจษฎา ชางสสงข, นายวศลย ประสงคสข และ ทมไทยเซรต เลข ISBN : 978-974-9765-32-6 พมพครงท 1 ธนวาคม 2554 พมพจ านวน 1,000 เลม ราคา 200 บาท สงวนลขสทธตามพระราชบญญตลขสทธ พ.ศ. 2537 จดพมพและเผยแพรโดย
ศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย (ThaiCERT) ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ สพธอ. เลขท 120 หม 3 ศนยราชการเฉลมพระเกยรต 80 พรรษา 5 ธนวาคม 2550 ถนนแจงวฒนะ แขวงทงสองหอง เขตหลกส กรงเทพฯ 10210 โทรศพท 0-2142-2483 โทรสาร 0-2143-8071 เวบไซตไทยเซรต http://www.thaicert.or.th เวบไซต สพธอ. http://www.etda.or.th เวบไซตกระทรวงฯ http://www.mict .or.th
4
5
ค าน า
ศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย หรอไทยเซรต ไดเรมด าเนนการภายใตส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) กระทรวงเทคโนโลยสารสนเทศและการสอสาร มาตงแตวนท 1 กรกฎาคม พ.ศ. 2554 โดยใหบรการรบแจงเหตภยคกคามดานสารสนเทศ และประสานงานกบหนวยงานทเกยวของในการแกไขปญหาทไดรบแจง ไทยเซรตมวสยทศนใหสงคมออนไลนมความมนคงปลอดภย เกดความเชอมนกบผท าธรกรรมทางอเลกทรอนกส และมพนธกจมงเนนการประสานงานกบหนวยงานในเครอขาย และหนวยงานทเกยวของในการด าเนนการแกไขเหตภยคกคามดานสารสนเทศทไดรบแจง ไทยเซรตมพนธกจเชงรกในการเพมขดความสามารถของทรพยากรบคคลดานการรกษาความมนคงปลอดภยสารสนเทศ และมกจกรรมสรางความตระหนกและพฒนาทกษะความรตางๆ เชน การซกซอมรบมอภยคกคามดานสารสนเทศ และการแลกเปลยนและเผยแพรขอมลขาวสารเกยวกบภยคกคามดานสารสนเทศ หนงสอเลมน เปนรวบรวมบทความท ได เผยแพรผานเวบไซตของไทยเซรต (www.thaicert.or.th) ในชวงระยะเวลาวนท 1 กรกฎาคม - 30 พฤศจกายน พ.ศ. 2554 ซงมเนอหาส าหรบกลมบคคลทวไป และผดแลระบบสารสนเทศ ผจดท าหวงเปนอยางยงวาหนงสอเลมน จะมสวนชวยในการสรางภมคมกนใหกบสงคมออนไลนของประเทศไทย
คณะผจดท า ศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย
ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)
6
7
สารบญ
หนา ค าน า ........................................................................................................................ 5
สารบญ ..................................................................................................................... 7
สารบญรป............................................................................................................... 13
สารบญตาราง ......................................................................................................... 15
ความรทวไป ..................................................................................... 17
1. ความเปนมาของไทยเซรต จากกระทรวงวทยฯ สกระทรวงไอซท ................ 19
1.1 บรการของไทยเซรต .............................................................................. 20
1.2 สถตภยคกคามทรายมาทไทยเซรต ........................................................ 22
1.3 ชองทางการตดตอกบไทยเซรต .............................................................. 26
2. ขอเสนอแนะกรอบขนตอนการปฏบตงานการรบมอภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ................................................................................ 27
2.1 เอกสารอางอง ........................................................................................ 30
3. Fall of SSL??? ............................................................................................. 35
3.1 เอกสารอางอง ........................................................................................ 41
4. ขอแนะน าในการใชงาน Social Media ส าหรบผใชงานทวไป ..................... 43
4.1 การใชงานรหสผานอยางมนคงปลอดภย ............................................... 43
4.2 การใชบรการสอและเครอขายสงคมทางเวบอยางมนคงปลอดภย ........ 45
4.3 การใชงานคอมพวเตอรอยางมนคงปลอดภย ......................................... 46
8
5. การจดการไดเรกทอรและไฟลในระบบยนกซ .............................................. 49
5.1 ไดเรกทอรและไฟลในระบบยนกซ ......................................................... 49
5.2 โครงสรางของไดเรกทอรในระบบยนกซ ................................................ 50
5.3 ค าสงทเกยวของกบการใชงานไดเรกทอรและไฟล ................................ 51
5.4 การก าหนดสทธการใชงาน (Permission) ............................................ 58
5.5 เอกสารอางอง ........................................................................................ 64
6. การบรหารจดการผใชบนระบบ UNIX ......................................................... 65
6.1 ประเภทของผใช .................................................................................... 65
6.2 ไฟลทใชก าหนดคาใหกบผใช ................................................................. 66
6.3 ค าสงพนฐานทใชบรหารจดการผใชบนระบบ ........................................ 71
6.4 เอกสารอางอง ........................................................................................ 74
7. ค าสงทเกยวของกบการประมวลผลขอความในระบบปฏบตการ UNIX ....... 77
7.1 ตวอยางค าสงทเกยวของกบการประมวลผลขอความทใชงานบอย ....... 77
7.2 เอกสารอางอง ........................................................................................ 87
8. เพมความปลอดภยให SSH Server ดวย Key Authentication ................ 89
8.1 วธการใชงาน Secure Shell (SSH) ดวย Key Authentication ......... 91
8.2 เอกสารอางอง ........................................................................................ 97
9. เชอมตออยางปลอดภยดวย SSH Tunnel ................................................... 99
9.1 การท า Local Port Forward และ Remote Port Forward ......... 100
9.2 เอกสารอางอง ..................................................................................... 106
รทนภยคกคาม ............................................................................... 107
10. ชองโหวของ Apache HTTPD 1.3/2.X Range Header (CVE-2011-
9
3192) ............................................................................................................. 109
10.1 ขอมลทวไป ....................................................................................... 109
10.2 ผลกระทบ ......................................................................................... 109
10.3 วธการแกไข ...................................................................................... 110
10.4 แหลงขอมลอนๆ ทเกยวของ ............................................................ 111
10.5 เอกสารอางอง .................................................................................. 112
11. เซรฟเวอรในโครงการ Kernel.org ถกเจาะระบบ .................................. 113
11.1 ขอมลทวไป ....................................................................................... 113
11.2 ผลกระทบ ......................................................................................... 114
11.3 ระบบทมผลกระทบ .......................................................................... 114
11.4 วธการแกไข ...................................................................................... 114
11.5 เอกสารอางอง .................................................................................. 114
12. ระวงภย แฮกเกอรออกใบรบรองปลอมของ Google, Yahoo!, Mozilla และอนๆ ......................................................................................................... 115
12.1 ขอมลทวไป ....................................................................................... 115
12.2 ผลกระทบ ......................................................................................... 116
12.3 ระบบทมผลกระทบ .......................................................................... 116
12.4 วธการแกไข ...................................................................................... 117
12.5 เอกสารอางอง .................................................................................. 118
13. APT ภยคกคามใหมหรอแคชอใหมของภยเดม ....................................... 121
13.1 ตวอยางการโจมตแบบ APT ............................................................. 122
13.2 ภยคกคามใหมหรอแคชอใหมของภยเดม ......................................... 122
13.3 เอกสารอางอง .................................................................................. 123
10
14. การแกไขชองโหวเรองความมนคงปลอดภยใน Adobe Reader และ Adobe Acrobat ........................................................................................... 125
14.1 ขอมลทวไป ....................................................................................... 125
14.2 ผลกระทบ ......................................................................................... 125
14.3 ระบบทมผลกระทบ .......................................................................... 126
14.4 วธการแกไข ...................................................................................... 127
14.5 เอกสารอางอง .................................................................................. 129
15. Man-in-the-Middle 101 ...................................................................... 131
15.1 Man-in-the-Browser ..................................................................... 132
15.2 Man-in-the-Mailbox ..................................................................... 133
15.3 ควรรบมออยางไร? ........................................................................... 134
15.4 เอกสารอางอง .................................................................................. 135
16. Zeus Trojan (Zbot) มาโทรจนปลนธนาคารทวโลก ............................. 137
16.1 เอกสารอางอง .................................................................................. 140
17. รจกและปองกนภยจาก Website Defacement ................................... 141
17.1 ตวอยางการโจมตลกษณะ Website Defacement........................ 146
17.2 ควรรบมออยางไร ............................................................................. 147
17.3 เอกสารอางอง .................................................................................. 150
18. ระวงภย มลแวร DuQu โจมตวนโดวสดวยฟอนต .................................. 153
18.1 ขอมลทวไป ....................................................................................... 153
18.2 การท างาน ........................................................................................ 154
18.3 วธการแกไข ...................................................................................... 155
18.4 แหลงขอมลอนๆ ทเกยวของ ............................................................ 155
11
18.5 เอกสารอางอง .................................................................................. 155
19. ชองโหว BIND9 (CVE-2011-4313) ........................................................ 157
19.1 ขอมลทวไป ....................................................................................... 157
19.2 ผลกระทบ ......................................................................................... 157
19.3 ระบบทไดรบผลกระทบ .................................................................... 158
19.4 วธแกไข............................................................................................. 158
19.5 แหลงขอมลทเกยวของ ..................................................................... 158
19.6 เอกสารอางอง .................................................................................. 158
20. การกขอมลจากฮารดดสกทถกน าทวม .................................................... 159
20.1 โครงสรางการท างานของฮารดดสก ................................................. 159
20.2 ความเสยหายทอาจเกดขนไดกบฮารดดสก ...................................... 161
20.3 ท าอยางไรหากฮารดดสกจมน า ........................................................ 162
20.4 การกขอมลจากฮารดดสกทถกลบหรอเขยนขอมลทบ ..................... 163
20.5 การปองกนขอมลสญหาย ................................................................. 164
20.6 ขอมลเพมเตม ................................................................................... 164
20.7 เอกสารอางอง .................................................................................. 165
12
13
สารบญรป หนา
รปท 1 (1-1) สถตภยคกคามในระหวางวนท 1 กรกฎาคม ถง 30 พฤศจกายน 2554 แยกตามประเภทภยคกคาม ....................................................................... 25
รปท 2 (3-1) SSL Certificate ทผดปกตหรอไมเปนทยอมรบ .............................. 37
รปท 3 (4-1) การตงคารหสผานอยางมนคงปลอดภย............................................ 44
รปท 4 (4-2) ไมควรเปดเผยรหสผาน ..................................................................... 44
รปท 5 (4-3) การใชบรการสอและเครอขายสงคมทางเวบ .................................... 45
รปท 6 (4-4) Facebook ....................................................................................... 46
รปท 7 (5-1) โครงสรางของไดเรกทอรในระบบยนกซ ........................................... 50
รปท 8 (5-2) แสดงรายชอไดเรกทอรหรอไฟลทงหมดในไดเรกทอรทระบขอมลแบบละเอยด ใชค าสง ls -l ............................................................................................ 54
รปท 9 (5-3) แสดงรายชอไดเรกทอรหรอไฟลทงหมดในไดเรกทอรทระบแสดงผลอธบายไดตามหมายเลข .......................................................................................... 54
รปท 10 (5-4) การสรางลงก Hard Link ............................................................... 56
รปท 11 (5-5) การสรางลงก Symbolic Link ....................................................... 56
รปท 12 (5-6) การตรวจสอบประเภทของไฟล ...................................................... 57
รปท 13 (5-7) การก าหนดสทธการใชงาน (Permission) ..................................... 60
รปท 14 (6-1) ตวอยางรายละเอยดผใชชอ Oracle [6-4] .................................... 67
รปท 15 (6-2) ตวอยางขอมลรายละเอยดในไฟล /etc/shadow [6-6] ............... 68
รปท 16 (6-3) ตวอยางขอมลรายละเอยดในไฟล /etc/group [6-9] ................... 70
รปท 17 (7-1) Standard Streams [7-2] ............................................................ 82
14
รปท 18 (7-2) การใช Redirection กบ stdout และ stderr .............................. 83
รปท 19 (9-1) แสดงใหเหนถงเสนทางการรบสงขอมลเมอมการใชฟงกชน Port Forward ในอปกรณ Router ............................................................................. 100
รปท 20 (9-2) สภาพแวดลอมของระบบ ............................................................ 101
รปท 21 (9-3) แบบจ าลองการเชอมตอจากค าสง ssh -L 8080:164.115.4.3:80 [email protected] .......................................................................................... 102
รปท 22 (9-4) แบบจ าลองการเชอมตอจากค าสง ssh -L 8080:172.25.1.5:80 [email protected] .......................................................................................... 103
รปท 23 (9-5) แบบจ าลองการเชอมตอจากค าสง ssh -R 8080:122.248.233.17:80 [email protected] ............................................. 105
รปท 24 (9-6) แบบจ าลองการเชอมตอจากค าสง ssh -R 8080:192.168.1.5:80 [email protected] .......................................................................................... 105
รปท 25 (15-1) ภาพประกอบอางองจาก nakedsecurity ................................ 134
รปท 26 (16-1) เวบไซตปลอมทสรางขนเพอหลอกลวงเหยอ [16-4] ................ 138
รปท 27 (16-2) โดเมน .com ทตกเปนเปาหมายของซส [16-5] ....................... 139
รปท 28 (17-1) แสดงใหเหนถงการแจงเตอนถงเวบไซตทถกโจมตจากเวบไซต Search engine ของ Google ............................................................................ 142
รปท 29 (17-2) แสดงใหเหนถงหนาเวบไซตหลกแหงหนงทถก Defacement . 142
รปท 30 (17-3) แสดงใหเหนหนาเวบไซตเมอมการเรยกไฟลสครปตประเภท Web Shell ................................................................................................................... 144
รปท 31 (20-1) ฮารดดสกแบบจานแมเหลก [20-1] .......................................... 159
รปท 32 (20-2) ฮารดดสกแบบ Solid-state [20-3] ......................................... 160
รปท 33 (20-3) คราบฝนทตดอยบนฮารดดสกเมอน าแหง [20-12] .................. 163
15
สารบญตาราง
หนา
ตารางท 1 (1-1) ประเภทภยคกคามของเทคโนโลยสารสนเทศโดย eCSIRT ........ 22
ตารางท 2 (5-1) โครงสรางไดเรกทอรหลกๆ ของระบบยนกซ .............................. 50
ตารางท 3 (7-1) ค าสง head ................................................................................. 78
ตารางท 4 (7-2) ค าสง tail ................................................................................... 78
ตารางท 5 (7-3) ค าสง echo ................................................................................. 79
ตารางท 6 (7-4) ค าสง cat .................................................................................... 79
ตารางท 7 (7-5) ค าสง wc ..................................................................................... 80
ตารางท 8 (7-6) ค าสง grep .................................................................................. 84
ตารางท 9 (7-7) ตวอยาง Regular Expression ................................................... 85
16
17
ความรทวไป
18
19
1. ความเปนมาของไทยเซรต จากกระทรวงวทยฯ สกระทรวงไอซท
ในเดอนกมภาพนธทผานมา คณะรฐมนตรไดมมตใหจดตงส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ สพธอ. ภายใตกระทรวงเทคโนโลยสารสนเทศและการสอสาร และไดมการโอนภารกจของศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย หรอ ไทยเซรต จากศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต ส านกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต กระทรวงวทยาศาสตรและเทคโนโลย มายง สพธอ. เพอใหการด าเนนงานของ สพธอ. ดานการสรางความเชอมนในการท าธรกรรมทางอเลกทรอนกสมความเขมแขง ไทยเซรตได เปดใหบรการอยางเตมรปแบบภายใต สพธอ. มาตงแตวนท 1 กรกฎาคม 2554 โดยมวสยทศนใหสงคมออนไลนมความมนคงปลอดภย เกดความเชอมนกบผท าธรกรรมทางอเลกทรอนกส พนธกจของไทยเซรต มงเนนการประสานงานกบหนวยงานในเครอขาย และหนวยงานทเกยวของในการด าเนนการแกไขเหตภยคกคามดานเทคโนโลยสารสนเทศและการสอสารท ไดรบแจง นอกจากนไทยเซรตยงมพนธกจเชงรกทใหความส าคญกบการพฒนาทรพยากรบคคลเพอเพมขดความสามารถดานการรกษาความมนคงปลอดภย เนองจากงานของไทยเซรตมลกษณะเปนการประสานงานกบหนวยงานตางๆ ไทยเซรตจงมงมนทจะสรางความรวมมอกบหนวยงานทกประเภททงในและตางประเทศในการแกไขเหตภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร เชน ผใหบรการอนเทอรเนต และ ส านกปองกนและปราบปรามการกระท าความผดทางเทคโนโลยสารสนเทศ ส านกงานปลดกระทรวงเทคโนโลยสารสนเทศและการสอสาร ไทยเซรตสรางความรวมมอระหวางประเทศผานเวท FIRST
20
(Forum of Incident Response and Security Teams) ส าหรบความรวมมอกบประเทศทวโลก และเวท APCERT (Asia Pacific CERT) ส าหรบความรวมมอกบประเทศในภาคพนเอเชยแปซฟก ดานการพฒนาทรพยากรบคคล ไทยเซรตใหความส าคญกบการเผยแพรความรและขอมลขาวสารเกยวกบการรกษาความมนคงปลอดภยสารสนเทศ เพอเปนการสรางภมคมกนเบองตนทางดานไอท และจดอบรมสมมนาใหกบผท าธรกรรมทางอเลกทรอนกสเฉพาะกลมทมความตองการขอมลขาวสารเปนการเฉพาะ เชน กลมธรกจการเงนการธนาคาร หรอกลมสถาบนวจยและสถาบนการศกษา นอกจากนเพอใหเกดความเขาใจและไดลงมอปฏบต ไทยเซรตยงจดและรวมในกจกรรมซกซอมการรบมอภยคกคามดานเทคโนโลยสารสนเทศและการสอสารกบหนวยงาน ทงในประเทศและตางประเทศอกดวย
1.1 บรการของไทยเซรต ในการสนบสนนใหสงคมออนไลนมความมนคงปลอดภยและเกดความเชอมนกบผท าธรกรรมทางอเลกทรอนกส ไทยเซรต ใหบรการหลก คอ บรการประสานงานแกไขภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร บรการขอมลขาวสารความมนคงปลอดภยสารสนเทศ และบรการวชาการเกยวกบการรกษาความมนคงปลอดภยสารสนเทศ บรการประสานงานแกไขภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ปจจบนไทยเซรตใหบรการประสานงานแกไขเหตภยคกคามดานเทคโนโลยสารสนเทศและการส อสาร ทางโทรศพทและทางอ เมลแกบคคลท ว ไป สถาบนการศกษาและสถาบนวจย หนวยงานภาครฐและเอกชนทวโลก เมอไดรบแจงเหตผเชยวชาญของไทยเซรตจะตรวจสอบขอมลทไดรบแจงเพอยนยนวาเหตภยคกคามทไดรบแจงไดเกดขนและมอยจรง แลวจงวเคราะหขอมลตอเพอหา
21
หนวยงานทเปนตนเหตของปญหา และด าเนนการประสานงานไปยงหนวยงานดงกลาวเพอใหด าเนนการแกไขปญหา ไทยเซรตมระบบการตดตามความคบหนาของการจดการปญหาภยคกคาม และไดก าหนดมาตรฐานการใหบรการไวคอ ไทยเซรตจะด าเนนการแจงหนวยงานทเกยวของเพอแกปญหาทไดรบแจงและรายงานสถานะการด าเนนงานภายใน 2 วนท าการ มการตดตามผลการด าเนนงานทก 3 วนท าการ
บรการขอมลขาวสารความมนคงปลอดภยสารสนเทศ ไทยเซรตอยในเครอขายความรวมมอของหนวยงานทมบทบาทในการตอบสนองตอการแจงเหตภยคกคาม (Computer Security Incident Response Team: CSIRT หรอ Computer Emergency Response Team: CERT) ซงมภารกจในการแจงเตอนภยคกคามดานเทคโนโลยสารสนเทศและการสอสารทไดรบแจงจากหนวยงาน CSIRT อนๆในเครอขายหรอทตรวจพบกบผใชงานภายในประเทศไทยเพอสรางความตระหนกและความพรอมในการรบมอตอภยคกคามทเกดขน โดยผเชยวชาญของไทยเซรตจะวเคราะหขอมลภยคกคามทมผลกระทบสงกบผใชงาน พรอมเสนอแนะขอควรปฏบตในการรบมอ แกไขหรอปองกนภยคกคามในบทความแจงเตอนภยคกคามของไทยเซรต นอกจากนน ไทยเซรตจดท าขอมลเชงสถตของภยคกคามทรายงานมาทไทยเซรตเผยแพรบนเวบไซตไทยเซรตเปนรายเดอน เพอใชวเคราะหแนวโนมของภยคกคามทเกดภายในประเทศไทย บรการวชาการในการรกษาความมนคงปลอดภยสารสนเทศ ไทยเซรตมผเชยวชาญทมศกยภาพและความรทสามารถใหบรการวชาการในการรกษาความมนคงปลอดภยสารสนเทศกบหนวยงานทงภายในและตางประเทศ ไทยเซรตใหบรการกบหนวยงานภายในประเทศในสวนของการใหค าปรกษาในการวเคราะหขอมลภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร การจดท าแผนและนโยบายทางดานเทคโนโลยสารสนเทศ เพอใหสอดคลองกบมาตรฐานสากลทางดานเทคโนโลยสารสนเทศและสอดคลองกบขอก าหนดของกฎหมาย จด
22
ฝกอบรมสมมนา เพอสรางความตระหนกหรอเสรมสรางศกยภาพของบคลากรของหนวยงานใหสามารถปองกนและแกไขภยคกคามดานเทคโนโลยสารสนเทศและการสอสารจดการซกซอมรบมอภยคกคาม เพอเสรมทกษะและสรางความพรอมในการรบมอภยคกคามของหนวยงาน รวมถงการสนบสนนวทยากรในการบรรยาย เพอสรางความตระหนกและใหความรกบหนวยงานทงในและตางประเทศ
1.2 สถตภยคกคามทรายงานมาทไทยเซรต ตงแตวนท 1 กรกฎาคม ถง 30 พฤศจกายน 2554 ไทยเซรตไดรบแจงเหตภยคกคามจากหนวยงานทงในและตางประเทศโดยเฉลยมากกวา 100 เรองตอเดอน ขอมลเชงสถตเกยวกบเหตภยคกคามทไทยเซรตไดรบแจงสามารถจ าแนกเปน 9 ประเภทตามทไดก าหนดโดย The European Computer Security Incident Response Team (eCSIRT) ซงเปนเครอขายความรวมมอของหนวยงาน CSIRT ในสหภาพยโรป ตารางท 1 (1-1)
ตารางท 1 (1-1) ประเภทภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร โดย eCSIRT
ประเภทภยคกคาม
ค าอธบาย
1 เนอหาทเปนภยคกคาม (Abusive Content)
ภยคกคามทเกดจากการใช/เผยแพรขอมลทไมเปนจรงหรอไมเหมาะสม (Abusive Content) เพอท าลายความนาเชอถอของบคคลหรอสถาบน เพอกอใหเกดความไมสงบ หรอขอมลทไมถกตองตามกฎหมาย เชน ลามก อนาจาร หมนประมาท และรวมถงการโฆษณาขายสนคาตางๆ ทางอเมลทผรบไมไดมความประสงคจะรบขอมลโฆษณานนๆ (SPAM)
2 โปรแกรมไมพงประสงค (Malicious Code)
ภยคกคามทเกดจากโปรแกรมหรอซอฟตแวรทถกพฒนาขนเพอสงใหเกดผลลพธทไมพงประสงค กบผใชงานหรอระบบ (Malicious Code) เพอท าใหเกดความขดของหรอเสยหายกบระบบทโปรแกรมหรอซอฟตแวรประสงครายนตดตงอย โดยปกตโปรแกรมหรอซอฟตแวรประสงครายประเภทนตองอาศย
23
ประเภทภยคกคาม
ค าอธบาย
ผใชงานเปนผเปดโปรแกรมหรอซอฟตแวรกอน จงจะสามารถตดตงตวเองหรอท างานได เชน Virus, Worm, Trojan หรอ Spyware ตางๆ
3 ความพยายามรวบรวมขอมลของระบบ (Information Gathering)
ภยคกคามทเกดจากความพยายามในการรวบรวมขอมลจดออนของระบบของผไมประสงคด (Scanning) ดวยการเรยกใชบรการตางๆทอาจจะเปดไวบนระบบ เชน ขอมลเกยวกบระบบปฏบตการ ระบบซอฟตแวรทตดตงหรอใชงาน ขอมลบญชชอผใชงาน (User Account) ทมอยบนระบบเปนตน รวมถงการเกบรวบรวมหรอตรวจสอบขอมลจราจรบนระบบเครอขาย (Sniffing) และการลอลวงหรอใชเลหกลตางๆ เพอใหผใชงานเปดเผยขอมลทมความส าคญของระบบ (Social Engineering)
4 ความพยายามจะบกรกเขาระบบ (Intrusion Attempts)
ภยคกคามทเกดจากความพยายามจะบกรก/เจาะเขาระบบ (Intrusion Attempts) ทงทผานจดออนหรอชองโหวทเปนทรจกในสาธารณะ (CVE- Common Vulnerabilities and Exposures) หรอผานจดออนหรอชองโหวใหมทยงไมเคยพบมากอน เพอจะไดเขาครอบครองหรอท าใหเกดความขดของกบบรการตางๆของระบบ ภยคกคามนรวมถงความพยายามจะบกรก/เจาะระบบผานชองทางการตรวจสอบบญชชอผใชงานและรหสผาน (Login) ดวยวธการสม/เดาขอมล หรอวธการทดสอบรหสผานทกคา (Brute Force)
5 การบกรกหรอเจาะระบบไดส าเรจ (Intrusions)
ภยคกคามทเกดกบระบบทถกบกรก/เจาะเขาระบบไดส าเรจ (Intrusions) และระบบถกครอบครองโดยผทไมไดรบอนญาต
6 การโจมตสภาพความพรอมใชงานของระบบ
ภยคกคามทเกดจากการโจมตสภาพความพรอมใชงานของระบบ เพอท าใหบรการตางๆของระบบไมสามารถใหบรการไดตามปกต มผลกระทบตงแตเกดความลาชาในการตอบสนองของบรการจนกระทงระบบไมสามารถใหบรการตอไปได ภย
24
ประเภทภยคกคาม
ค าอธบาย
(Availability) คกคามอาจจะเกดจากการโจมตทบรการของระบบโดยตรง เชน การโจมตประเภท DOS (Denial of Service) แบบตางๆ หรอการโจมตโครงสรางพนฐานทสนบสนนการใหบรการของระบบ เชน อาคาร สถานท ระบบไฟฟา ระบบปรบอากาศ
7 การเขาถงหรอเปลยนแปลงแกไขขอมลส าคญโดยไมไดรบอนญาต (Information Security)
ภยคกคามทเกดจากการทผไมไดรบอนญาตสามารถเขาถงขอมลส าคญ (Unauthorized Access) หรอเปลยนแปลงแกไขขอมล (Unauthorized modification) ได
8 การฉอฉล ฉอโกงหรอหลอกลวงเพอผลประโยชน (Fraud)
ภยคกคามทเกดจากการฉอฉล ฉอโกงหรอการหลอกลวงเพอผลประโยชน (Fraud) สามารถเกดไดในหลายลกษณะ เชน การลกลอบใชงานระบบหรอทรพยากรทางสารสนเทศทไมไดรบอนญาตเพอแสวงหาผลประโยชนของตนเอง หรอการขายสนคาหรอซอฟตแวรทละเมดลขสทธ
9 ภยคกคามอนๆ นอกเหนอจากทก าหนดไวขางตน (Other)
ภยคกคามประเภทอนๆ นอกเหนอจากทก าหนดไวขางตน ระบไวเพอเปนตวชวดถงภยคกคามประเภทใหมหรอไมสามารถจดประเภทไดตามทระบไวขางตน โดยถาจ านวนภยคก คามอนๆ ในขอนมจ านวนมากขน แสดงถงความจ าเปนทจะตองปรบปรงการจดแบงประเภทภยคกคามนใหม
เรองทไดรบรายงานสามารถแบงแยกตามประเภทภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร แสดงดงรปท 1 (1-1) โดยสามารถจดล าดบตามจ านวนเหตภยคกคามไดรบแจงไดเปนประเภทใหญๆได 6 ดาน ภยคกคามสวนใหญประมาณ 48% จะเปนภยคกคามดาน การฉอฉล ฉอโกงหรอหลอกลวง เพอผลประโยชน (Fraud) ซงทงหมดในสวนนเปนกรณ Phishing ทเกดกบสถานบนการเงนทงในประเทศและตางประเทศ ซงเปนภยคกคามทสงผลกระทบตอโดยตรง
25
ผใชบรการช าระเงนทางอเลกทรอนกส ในสวนภยคกคามทรองลงมาเปนภยคกคามทเกยวความพยายามทจะโจมตและเจาะระบบ โดยเปนภยคกคามดาน การบกรกหรอเจาะระบบไดส าเรจ (Intrusions) จ านวน 13.6% และภยคกคามดานความพยายามรวบรวมขอมลของระบบ (Information Gathering) จ านวน 13.5% ส าหรบภยคกคามในล าดบถดไปเปนภยคกคามทางดานเนอหาทเปนภยคกคาม (Abusive Content) จ านวน 9.9% ซงทงหมดเปนรายงานภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ทไดรบแจงจากหนวยงานในตางประเทศ และพบวามลกษณะเปนการแจงเตอน SPAM ในล าดบสดทายเปนภยคกคามทางดาน โปรแกรมไมพงประสงค (Malicious Code) จ านวน 9.9%
รปท 1 (1-1) สถตภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ในระหวาง
วนท 1 กรกฎาคม ถง 30 พฤศจกายน 2554 แยกตามประเภทภยคกคาม
ไทยเซรตไดด าเนนการแกปญหาภยคกคามทไดรบแจงไปไดประมาณ 80% สวนอก 20% ทเหลอมการตดตามความคบหนาของการแกไขปญหาทก 3 วน ส าหรบขอมลเชงสถตเกยวกบภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร สามารถดไดท www.thaicert.or.th/statistics.html
26
1.3 ชองทางการตดตอกบไทยเซรต ไทยเซรตไดจดเตรยมชองทางการตดตอเพอแจงเหตภยคกคามไว 2 ชองทาง ประกอบดวย ทางโทรศพทหมายเลข 02-142-2483 เวลา 8.30 – 17.30 น. ทกวนยกเวนวนหยดราชการ และทางอเมลท [email protected]
27
2. ขอเสนอแนะกรอบขนตอนการปฏบตงานการรบมอภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ผเรยบเรยง: สรณนท จวะสรตน วนทเผยแพร: 5 ก.ย. 2554 ปรบปรงลาสด: 5 ก.ย. 2554 ศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย (ThaiCERT) จดท าขอเสนอแนะกรอบขนตอนการปฏบตงานการรบมอภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร โดยยดรปแบบและกรอบขนตอนการปฏบตงานทอางองหลกปฏบตสากล [2-1] [2-2] เพอใหหนวยงานหรอองคกรตางๆ สามารถด าเนนการรบมอภยคกคามฯ ไดอยางมประสทธภาพ บรรเทาความเสยหายทเ ก ดข น ให ส ง ผลกระทบน อยท ส ด ป อ งก น ไม ม ก า รล ก ล ามหร อขยา ย วงกวางไปยงจดอนๆ รวมถงปองกนไมใหเกดเหตการณดงกลาวซ าขนอก โดยมขนตอนในการปฏบตงานบรหารจดการภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร 5 ขนตอนดงน
1. การระบเหตและรายงานภยคกคามฯ (Identification and Reporting)
วตถประสงค เพอตรวจสอบและบนทกภยคกคามฯ ประเมนผลกระทบของภยคกคามฯ และระบถงหนวยงาน/บคคลทเกยวของในการแจงเหตและรบมอกบภยคกคามฯ
ตรวจสอบ วเคราะหและบนทกขอมลตางๆ เกยวกบภยคกคามฯ ทไดรบแจง ไดแก
o ผแจง
28
o วนเวลาทไดรบแจง o รายละเอยดทางกายภาพของภยคกคามฯ ประกอบ-
ดวย ประเภทของภยคกคาม ขอมลของเครองทกอเหตและเครองทถกโจมต รวมถงเหตการณภยคกคามทสงเกตได
o ระดบผลกระทบ/ความรนแรงของภยคกคาม ระบหนวยงาน/ผ เกยวของทตองแจงเหตภยคกคามฯ เพอ
ด าเนนการรบมอและแกไขภยคกคามฯ รวมถงการแจงเหตไปยงผบรหารในกรณทภยคกคามฯ มระดบความรนแรงสง ซงอาจสงผลกระทบและความเสยหายกบหนวยงานในวงกวาง
2. การควบคมภยคกคามฯ (Containment)
วตถประสงค บรรเทาความเสยหายทเกดจากภยคกคาม ใหสงผลกระทบนอยทสดและปองกนไมใหมการลกลามหรอขยายวงไปยงจดอนๆ
ประเมนผลกระทบและความเสยหายทจากภยคกคามฯ และด าเนนการบรรเทาหรอควบคมความเสยหายทเกดขนไมใหมการลกลามเพมเตม
ระบแหลงทมาของภยคกคามฯ และด าเนนการก าจดหรอปดชองทางการตดตอตางๆ กบแหลงทมาของภยคกคามฯ
เกบรวบรวม บนทกผลการตรวจสอบ และส าเนาขอมลทงหมดทพบหรอเกยวของกบภยคกคามฯ หลงด าเนนการควบคมภยคกคามฯ ไดส าเรจ เพอใชในกระบวนการตรวจพสจนหลกฐานทางคอมพวเตอร
3. การแกไขและจ ากดภยคกคามฯ (Eradication)
วตถประสงค เพอก าจดเหตของภยคกคามฯทเกด และปองกนไมใหเกดภยคกคามในลกษณะเดมซ าอก
29
วเคราะหและหาสาเหตของภยคกคามฯ ทเกดขน และพรอมด าเนนการแกไขเพอก าจดเหต ซงอาจจะเปนการด าเนนการภายในของหนวยงานเอง หรอ ตดตอขอความชวยเหลอจากหนวยงานภายนอกทมศกยภาพใหด าเนนการใหความชวยเหลอ
ก าจดขอมล โปรแกรม หรอสงแปลกปลอมทงหลายออกจากระบบทถกโจมต
4. การกคนระบบ (Recovery)
วตถประสงค เพอกคนระบบใหอยในสภาพการใหบรการแบบปกต ด าเนนการกขอมลหรอระบบสารสนเทศใหกลบคนสสภาวะปกต
หลงก าจดเหตไดแลว ตรวจสอบอยางถถวน เพอใหมนใจวาระบบสารสนเทศทกคน
หรอทเกยวของจะไดรบการปกปองอยางเหมาะสม เพอปองกนการเกดเหตซ า รวมถงตองมการเฝาระวงเหตอยางใกลชด
5. กจกรรมหลงภยคกคามฯ (Post-Incident Activity)
วตถประสงค ประเมนผลด าเนนการรบมอภยคกคามฯ แจงผลด าเนนการใหผทเกยวของรบทราบ และบนทกรายงานการด าเนน เพอรบมอกบภยคกคามฯ
ประเมนสถานะของระบบและผลกระทบตอขอมลหลงด าเนนการกคนระบบ และแจงผลตอผเกยวของใหทราบ
บนทกรายละเอยดการด าเนนการเพอรบมอภยคกคามฯ ไดแก o ผรบผดชอบด าเนนการ o วนเวลาทด าเนนการ o รายละเอยดทด าเนนการในแตละขนตอน
จดท ารายงานสรปสาเหตและแนวทางในการปองกนไมใหเกดภยคกคามฯ ในลกษณะเดมซ าอก โดยอยางนอยตองประกอบดวย
30
o เหตทท าใหเกดภยคกคาม o ขอผดพลาดทพบในการด าเนนการรบมอภยคกคามฯ o ขอเสนอแนะในปรบปรงขนตอนการด าเนนการรบมอ
ภยคกคามฯ o ทรพยากรทจ าเปนจะตองจดหาเพอปองกนไมใหเกดภย
คกคามในลกษณะเดมซ าอก สามารถใชแบบฟอรมรายงานการรบมอภยคกคามดานเทคโนโลยสารสนเทศและการสอสารในการบนทกรายละเอยดของภยคกคามฯ ในการด าเนนการรบมอและแกไขภยคกคามฯ รวมถงการสรปสาเหตและแนวทางในการปองกนไมใหเกดภยคกคามฯ ตามขอเสนอแนะขางตน
2.1 เอกสารอางอง [2-1] NIST SP800-61 Revision 1 – Computer Security Incident
Handling Guide [2-2] ENISA, A step-by-step approach on how to setup a CSIRT –
Doing Incident Handling
31
โปรดอานค าแนะน ากอนการบนทกขอมล แบบฟอรมรายงานการรบมอภยคกคามฯ น ใชส าหรบบนทกรายละเอยดของภยคกคาม ขนตอนทด าเนนการในการรบมอและแกไขภยคกคามฯ รวมถงการสรปสาเหตและแนวทางในการปองกนไมใหเกดภยคกคามฯ
สวนท 1 การระบเหตและรายงานภยคกคามฯ
(01) ขอมลของผพบ / ผแจงเหต ชอ-นามสกล (นาย/นาง/นางสาว/ยศ) ................................................................................................................................. หนวยงานทสงกด ................................................................................................................................................................. หมายเลขโทรศพท : .…......................................... E-mail : ................................................................................................. วว/ดด/ปป ทพบ/ไดรบแจงภยคกคามฯ ….../...../.... เวลา …... : .... น. อางองเวลาสากลเชงพกดของประเทศไทย (UTC+7)
(02) รายละเอยดทางกายภาพของภยคกคามฯโดยละเอยด ระบสถาานการณหรอเหตภยคกคามฯ ................................................................................................................................ ................................................................................................................................................................................................ ................................................................................................................................................................................................ ................................................................................................................................................................................................
ประเภทของภยคกคาม …................................................................................................................................................
เครองทไดรบผลกระทบ : (ระบ IP Address, OS, Application, และหนาทของเครอง)
…................................................................................................................................................ …................................................................................................................................................ …................................................................................................................................................
เครองทตองสงสยวากอเหต (ระบ IP Address, ชอผลงทะเบยนโดเมน/IP Address และประเทศทตง)
…................................................................................................................................................ …................................................................................................................................................ …................................................................................................................................................
ความเสยหายทพบตอระบบ / ขอมล :
…........................................................................................................................................ ........ …................................................................................................................................................
(03) ระดบความรนแรงของภยคกคามฯ ประเมนผลกระทบและความเสยหายของภยคกคามฯตอหนวยงาน ................................................................................................................................................... ............................................. ................................................................................................................................................................................................
(04) รายชอผเกยวของในการรบมอภยคกคาม ผรบแจงเหต ........................................................................................................................................................................ ผควบคมและสงการในการรบมอภยคกคามฯ ........................................................................................................................ ผด าเนนการควบคมเหต ....................................................................................................................................................... ผด าเนนการแกไขและก าจดเหต ............................................................................................................................................ ผด าเนนการกคนระบบ ........................................................................................................................................................ ผจดท าสรปรายงานภยคกคามฯ ..........................................................................................................................................
แบบฟอรมรายงานการรบมอภยภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)
32
สวนท 2 การควบคมภยคกคามฯ (Containment)
(05) การควบคมเหต : ระบรายละเอยดขนตอนในการด าเนนการเพอบรรเทาหรอควบคมความเสยหาย
................................................................................................................................................................................................
............................................................................................................................................................................................ ....
................................................................................................................................................................................................
................................................................................................................................................................................................
................................................................................................................................................................................................
........................................................................................................................................................................................ ........
ด าเนนการเสรจเมอ …..../........./.......(วว/ดด/ปป) ….... : …... (ชวโมง:นาท) อางองเวลาสากลเชงพกดของประเทศไทย (UTC+7)
สวนท 3 การด าเนนการแกไขและก าจดภยคกคามฯ (Eradication)
(06) การก าจดเหต : ระบรายละเอยดขนตอนในการด าเนนการเพอก าจดเหตและปองกนไมใหเกดภยคกคามฯ ซ าอก
................................................................................................................................................................................................
............................................................................................................................................................................................ ....
................................................................................................................................................................................................
................................................................................................................................................................................................
................................................................................................................................................................................................
........................................................................................................................................................................................ ........
ด าเนนการเสรจเมอ …..../........./.......(วว/ดด/ปป) ….... : …... (ชวโมง:นาท) อางองเวลาสากลเชงพกดของประเทศไทย (UTC+7)
สวนท 4 การกคนระบบ (Recovery)
(07) การกคนระบบ : ระบรายละเอยดขนตอนในการด าเนนการเพอกขอมลหรอระบบใหกลบคนสภาวะปกต
................................................................................................................................................................................................
............................................................................................................................................................................................ ....
................................................................................................................................................................................................
................................................................................................................................................................................................
................................................................................................................................................................................................
........................................................................................................................................................................................ ........
ด าเนนการเสรจเมอ …..../........./.......(วว/ดด/ปป) ….... : …... (ชวโมง:นาท) อางองเวลาสากลเชงพกดของประเทศไทย (UTC+7)
แบบฟอรมรายงานการรบมอภยภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)
33
สวนท 5 กจกรรมหลงภยคกคามฯ (Post-Incident Activity)
(08) ประเมนสถานะของระบบเทคโนโลยสารสนเทศหลงจากด าเนนการ
[ ] สามารถใหบรการไดตามปกต และมความมนคงปลอดภย [ ] สามารถใหบรการไดเพยงบางสวน
[ ] ไมสามารถใหบรการได เนองจากเหตผลดานความมนคงปลอดภย [ ] ไมสามารถใหบรการได เนองจากเหตอน
รายละเอยด ........................................................................................................................................................................ ................................................................................................................................................................................................ ............................................................................................................................................................................................ ....
(09) ผลกระทบตอขอมลหลงการด าเนนการ
[ ] ขอมลอยในสภาพปกต [ ] สามารถกคนขอมลไดเปนสวนมาก
[ ] สามารถกคนขอมลไดบางสวน [ ] ไมสามารถกคนขอมลได หรอขอมลทกคนไมสามารถใชงานได
รายละเอยด ........................................................................................................................................................................ ................................................................................................................................................................................................ ................................................................................................................................................................................................
(21) การแจงผลการด าเนนการตอผเกยวของ (ระบ ชอผรบแจง/วนเวลาทแจง/รายละเอยดเรองทแจง) : ................................................................................................................................................................................................ ............................................................................................................................................................................................ .... ................................................................................................................................................................................................
(22) สรปเหตทท าใหเกดภยคกคาม : ................................................................................................................................................................................................ ................................................................................................................................................................................................ ................................................................................................................................................ ................................................
(13) ขอผดพลาดทพบในการรบมอภยคกคาม : ................................................................................................................................................................................................ ............................................................................................................................................................................................ .... ................................................................................................................................................................................................
(14) ขอเสนอเพอปรบปรง : . ................................................................................................................................................................................................ ............................................................................................................................................................................................ .... ................................................................................................................................................................................................
ลงนาม :….........................................................ผสรปรายงานภยคกคามฯ …......../............../............... (วว/ดด/ปป)
ETDA-OOS-ThaiCERT-2554 Rev.01 ศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย (ThaiCERT)
แบบฟอรมรายงานการรบมอภยภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)
34
35
3. Fall of SSL??? ผเรยบเรยง: ไพชยนต วมกตะนนทน และ สรณนท จวะสรตน วนทเผยแพร: 22 ก.ย. 2554 ปรบปรงลาสด: 23 ก.ย. 2554 หลายคนคงจะทราบดอยแลววาเทคโนโลย SSL (Secure Sockets Layer) [8-1] มประโยชนในการรกษาความมนคงปลอดภย (Security) ของขอมลทสงผานระบบเครอขายโดยเฉพาะบนเครอขายอนเทอรเนต ซงการสอสารขอมลระหวางผใชงานบนเครอขายอนเทอรเนตและเครองแมขายปลายทาง (เชน Web Server) จ าเปนทจะตองสงตอผานเครอขายอนเทอรเนตสาธารณะหลายเครอขายกวาขอมลจะถงปลายทาง ในรปแบบการสอสารผานเครอขายอนเทอรเนตน ภยคกคาม (Threat) ทอาจจะเกดขนจากผไมประสงคดคอ "การถกดกฟง(อาน)ขอมล" (Eavesdropping) ดงนน SSL จงเปนเทคโนโลยทถกพฒนาขนมาใชจดการกบภยคกคามชนดนโดยตรง เพราะดวยความสามารถในการเขารหสลบขอมล (Encrypt) กอนทจะถกสงผานเครอขายไปถงผรบปลายทาง ถงแมผใชงานบางสวนจะไมเขาใจหลกการท างานของเทคโนโลย SSL เทาใดนก แตผใชสวนใหญมกจะรบทราบวา หากเวบไซตปลายทางใชโพรโทคอล HTTPS แทนทจะเปนโพรโทคอล HTTP ตามปกตแลว แสดงวาขอมลทสอสารกนอยนนถกเขารหสลบเอาไว ซงเปนความเขาใจทถกตองเพยงแตวาตามหลกการเขารหสลบทกชนดนน ขอมลจะยงคงเปนความลบและมความมนคงปลอดภยจากการถกปลอมแปลงหรอดกอานขอมลได กตอเมอกญแจ (Key) ทใชเขารหสลบนนไมรวไหลหรอถกเปดเผยกบผอนทไมใชคสนทนา เพอใหเกดความเขาใจในเรองน จงจ าเปนจะตองเขาใจกลไกของ SSL ในเบองตนกอน กลไกของ SSL มการท างานสองขนตอน โดยขนตอนแรกอาจจะเรยกวาขนตอน Hand-shaking คอเปนการตรวจสอบขอก าหนดระหวาง Client กบ Server วาจะ
36
ยอมสอสารขอมลกนหรอไม ซงตามกลไกของ SSL จะเปนการตรวจสอบขางเดยว คอ Client ซงในทนคอ Web Browser จะเปนผตรวจสอบใบรบรอง SSL (SSL Certificate) ท Web Server สงมาให และตรวจสอบการตงคาส าหรบการเขารหสลบขอมลตางๆ (Encryption specification) ของ Web Server วาถกตองเหมาะสมหรอไม จากนน Client จะเปนผสราง Key ส าหรบการเขารหสลบขอมลแบบกญแจสมมาตร (Symmetric Key Cryptography) แลวสงไปให Server ใชในการเขารหสลบขอมลเพอสอสารกบ Client ในขนตอนท 2 ของ SSL ตอไป [3-1] Symmetric Key ท Client สงไปให Server จะถกเขารหสลบเพอปองกนไมใหถกลกลอบอานไดด วยรปแบบการเขารหส ลบขอมลแบบกญแจอสมมาตร (Asymmetric Cryptography) เพอปองกนไมใหผอนนอกเหนอจาก Server ซงเปนผเดยวทม Private Key ของ SSL Certificate นนใชถอดรหสลบขอมล เพออาน Symmetric Key ท Client สงมาให ซงกลไกนไดรบการยอมรบวาเปนกลไกทมความมนคงปลอดภยและสมบรณแบบอยแลว [3-2] เพยงแตความส าคญของกลไกนอยทขนตอนแรกของกลไก SSL ท Client จะรบ SSL Certificate มาเพอตรวจสอบในขนน Client จะตองแนใจวา SSL Certificate ทไดรบนน เปน SSL Certificate ของ Server ทก าลงตดตออยจรง โดยปกต Web Browser จะท าการตรวจสอบ SSL Certificate โดยอตโนมต หาก Web Browser พบวามความผดปกต เชน ชอโดเมนเนมของเวบไซตไมตรงกบ SSL Certificate ทใชงานบน Server หรอ ผใหบรการออกใบรบรอง CA (Certificate Authority) ทออก SSL Certificate ไมเปนทรจก (หรอไมไดรบความเชอถอจาก Web Browser) หรอ SSL Certificate หมดอายการใชงาน Web Browser จะขนขอความเตอนผใชวาเกดความผดปกตขน ถาผใชงานเลอก ทจะยอมรบ Certificate ท Web Browser พบวาความผดปกตน กลไกการสอสารดวย SSL กจะเขาสขนตอนการแลกเปลยน Symmetric Key ทจะใชในการสอสารขอมลระหวาง Server กบ Client และเรมการสอสารขอมลตอไปตามปกต ซงตามหลกการแลวในเมอ SSL Certificate นนผดปกต อาจมสาเหต
37
จากผไมประสงคดก าลงพยายามโจรกรรมขอมล (Traffic Hijacking) ในรปแบบใดรปแบบหนงอย เชน การดกอานขอมล การปลอมแปลงขอมล เปนตน SSL Certificate ทผดปกตนอาจถอเปนสงบอกเหตแบบหนงวาการสอสารขอมลนก าลงถกโจมตอย และตามหลกทฤษฎของการใชงานสารสนเทศอยางมนคงปลอดภยไดแนะน าใหผใชงานควรยกเลกสอสารขอมลกบ Web Server นนตอไป เพราะมความเสยงทขอมลทสอสารกนอาจจะถกดกอานหรอปลอมแปลงจากผไมประสงคดได
รปท 2 (3-1) SSL Certificate ทผดปกตหรอไมเปนทยอมรบ
อยางไรกตามในทางปฏบต ในบางสถานการณ Web Server ทใชงาน SSL Certificate ทผดปกตหรอไมเปนทยอมรบ อาจเกดจากการท SSL Certificate นน ถกสรางขนโดยใชวธทเรยกวา Self-Sign [3-3] โดยเฉพาะ Web Server ทใชภายในองคกรหลายแหง SSL Certificate ชนดน Web Browser จะถอวาไมไดถกรบรองโดย CA ท Web Browser เชอถอ ท าให Web Browser ขนขอความเตอน
38
ผใชวาเปน SSL Certificate ทผดปกต บางครง SSL Certificate ทใชกบ Server ภายในเหลานอาจจะมความผดพลาดในการก าหนดคาอนๆ อกหลายอยาง เนองจากการขาดความตระหนกของภยคกคามทอาจจะเกดขนของผดแลระบบ เพราะคดวาเปนเรองของ Server ทใชงานภายใน จงไมมความจ าเปนจะตองตงคาตดตงตางๆ ใหถกตอง ท าใหผใชงานในองคกรเหลานเกดความเคยชนทจะยอมรบ SSL Certificate ทผดปกต หรอมองวาการตรวจสอบ Certificate เปนเรองไมจ าเปน เมอ ผใชงานเคยชนทจะยอมรบ SSL Certificate ทผดปกต ท าใหคณสมบตของการใชงานเทคโนโลย SSL ในการรกษาความมนคงปลอดภยของขอมล ทงในดานการพส จนความแทจร ง (Authenticity) และ การรกษาความลบ (Confidentiality) เสอมลง เพราะเมอไมสามารถรบประกนไดวา SSL Certificate มาจาก Server ทแทจรง กไมสามารถรบประกนไดวาขอมลทสอสารภายใต SSL จะไมรวไหลไปสผอนทไมใชคสนทนาเชนกน แตถงแมผใชงานจะมความตระหนกในเรอง Security ทด ไมยอมรบ SSL Certificate ทผดปกต ระบบการท างานของ SSL กยงมชองโหวทส าคญ นนคอ ชองโหวในกลไกการท างานของ SSL และความเชอถอของหนวยงานกลางทท าหนาทออกใบรบรอง ซงในทนคอ CA ทมหนาทรบรองความถกตองของ Server ปลายทางใหกบผใชงานในลกษณะเดยวกบการทลกคาใหความเชอถอผลตภณฑใดๆ เพราะผลตภณฑนนไดรบการรบรองจากหนวยงานทลกคาเชอถอนนเอง จะเกดอะไรขนหาก CA ทไดรบการยอมรบในระดบสากลมกระบวนการท างานทหละหลวม ไมมการตรวจสอบผขอ Certificate ใหแนชดวาเปนเจาของ Server จรงหรอไม เชน ผไมประสงคดทตองการดกขอมลของ Gmail มาขอให CA ออก Certificate ของ Gmail ถาหาก CA ไมมการตรวจสอบทดวาผขอเปนผรบผดชอบหรอเปนเจาของ Gmail หรอไม แลว CA ออก Certificate ใหไป Certificate นนกจะสามารถน าไปใชดกขอมลของ Gmail ในลกษณะ Traffic Hijacking ไดอยางแนบเนยน เพราะ Certificate ทออกมาจาก CA ทไดรบการยอมรบในระดบสากล
39
โดยตรงแบบน และเปน CA ท Web Browser เชอถอกจะไมท าให Web Browser แสดงขอความเตอนแตอยางใด ทผานมาหลายคนคงจะจ าไดวามรายงานขาวกรณเกยวกบการโจมต CA เพอลกลอบออก Certificate ปลอมของเวบไซตชอดงหลายแหงมาแลว 2 ครง อยางในครงลาสดมรายงานวามการตรวจพบในชวงเดอน ก.ค. ทผานมานเอง โดย Hacker ไมทราบกลม และจดประสงคทแนชด ไดท าการโจมตระบบการออก Certificate ของ DigiNotar ซงเปน CA ระดบ Root CA ของประเทศ Netherland [3-4] ในรายงานการวเคราะหทเชอถอได พบวา Hacker กลมหรอบคคลดงกลาว ไดออก Certificate ปลอมส าหรบเวบไซตตางๆ ไปมากกวา 200 ใบ (บางรายงานอางวามากกวา 500 ใบ) รวมถงการออก Certificate ปลอมกบโดเมนเนมของ google.com ในกลมผเชยวชาญทางดาน Security กลาววามขอมลทไมสามารถยนยนแหลงขาวไดระบวามรฐบาลของบางประเทศ พยายามลกลอบดขอมลการใชอเมลของบคคลทรฐบาลประเทศดงกลาว เชอวามแนวคดในทางตอตานรฐบาล โดยความพยายามดงกลาวไดมมาตอเนองเปนระยะเวลาไมต ากวา 1 ปแลว หากมการตรวจพบการทจรตหรอการโจมตตามทกลาวขางตนในบรการการออกใบรบรอง CA สามารถยกเลก (Revoke) Certificate ทมปญหาไดตลอดเวลาตามเงอนไขของการใหบรการ โดย CA อาจจะเผยแพรรายการของ Certificate ทถกยกเลกออกมาตามระยะเวลาทก าหนด (อาจเรวกวาก าหนดไดหากมเหตจ าเปนฉกเฉน) รายการนเรยกวา CRL (Certificate Revocation List) ซงมกจะมอยในเวบไซตของ CA แตละราย หรอทอนๆ ตามท CA ก าหนด และ Client จะตอง Update ขอมลนอยางสม าเสมอ เพอใหสามารถตรวจจบ Certificate ทมปญหาไดอยางทนทวงท อกวธคอ CA จะใชกลไกทเรยกวา OCSP (Online Certificate Status Protocol) ซงคลายกบ Directory service ท Client สามารถเขามาตรวจสอบสถานะของ Certificate ไดแบบ Real-time แตในความเปนจรงผใชงานสวนมากไมไดตงคาให Web Browser ท าการตดตอกบ CA เพอปรบปรงขอมลของ CRL อยตลอดเวลา หรอไมไดตงคาใหท าการตรวจสอบ
40
กบ OCSP ทกครงทมการเชอมตอแบบ SSL ท าใหกวาทจะรวา Certificate ใดมปญหากอาจสายเกนไป และถงแม Web Browser จะรบรวา Certificate นถกยกเลกแลว และขนขอความเตอนผใชกตามกยงขนอยกบผใชวาจะสนใจค าเตอนนนหรอไมอกขนหนงดวย ยงไปกวานนในงาน Ekoparty ซงเปนงานสมมนาดานความมนคงปลอดภยสารสนเทศทจะจดขนในประเทศอารเจนตนา ในวนท 23 กนยายน 2554 จะมการบรรยายและแสดงวธการโจมตการเชอมตอแบบ SSL (และ TLS ซงเปนรปแบบทใหมกวา) ดวยโปรแกรมซงมชอเรยกวา BEAST (Browser Exploit Against SSL/TLS) โดยการโจมตรปแบบนจะอาศยการท างานของ Malicious code ทท างานอยบน Client เพอดกจบขอมลใน Web Browser ซงผทคนพบรปแบบการโจมตนระบวา ขอมลทดกจบมาไดนสามารถชวยใหการถอดรหสขอมลทปองกนดวย SSL ของ Client ไดโดยไมตองใช Key หรอไมตองวนวายกบการท า Traffic Hijacking แตอยางใด [3-5] ในความเปนจรงรปแบบการโจมตนไมใชของใหม เพราะเปนการอาศยจดออนในกลไกการเขารหสลบขอมลของ SSL และ TLS รนแรกททราบกนมานานแลว[8-6] และแมจะมการพฒนาและปรบปรง TLS 1.1 และ 1.2 เพอแกไขจดออนดงกลาว แตเนองจากยงไมมการคนพบวามผสามารถใชประโยชนจากจดออนนได อยางจรงจงท าใหยงไมมการสนบสนน TLS รนใหมเทาทควร ทงในดาน Server และ Client ซงการคนพบการโจมตทใชจดออนน และมการพสจนวาสามารถใชงานไดจรง นาจะเปนการกระตนใหเกดความตระหนกในภยคกคามของเทคโนโลย SSL ในกลมอตสาหกรรม IT ไดอยางจรงจง หรอแมกระทงเกดผลกระทบท าใหผใหบรการธรกรรมทางอเลกทรอนกสบางราย จ าเปนตองหยดใหบรการชวคราวเพอแกไขปญหาดงกลาว ดงจะเหน ไดวา SSL เปนกลไกในดานความมนคงปลอดภยทขนอยกบปจจยภายนอกอยางมาก ทงความนาเชอถอของหนวยงานกลางทท าหนาทออกใบรบรอง (CA) และความตระหนกในภยคกคามทเกยวของกบการใชงาน Certificate ทไม
41
ถกตองของผใชงาน หรอการใชงานเทคโนโลย SSL ในรนแรกทมชองโหว ซงไดเหนแลววาปจจยภายนอกทงหลายนก าลงถกทาทายอยางหนก จนอาจจะเรมมค าถามวาถงเวลาหรอยงทผทเกยวของจะตองใสใจและใหความตระหนกถงภยคกคามทเกดกบเทคโนโลย SSL อยางจรงจง เพอการรกษาความมนคงปลอดภยของการสอสารขอมลหรอบรการธรกรรมทางอเลกทรอนกสบนเครอขายอนเทอรเนต
3.1 เอกสารอางอง [3-1] TLS, http://en.wikipedia.org/wiki/Secure_Sockets_Layer [3-2] HTTP_Secure, http://en.wikipedia.org/wiki/HTTP_Secure [3-3] Self-signed certificate, http://en.wikipedia.org/wiki/Self-
signed_certificate [3-4] ระวงภยแฮกเกอรออกใบรบรองปลอมของ Google Yahoo! Mozilla
และอนๆ, http://www.thaicert.or.th/alerts/home/2011/ al2011ho0001.html
[3-5] Hackers break SSL encryption used by millions of sites, http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/
[3-6] A CHALLENGING BUT FEASIBLE BLOCKWISE-ADAPTIVE CHOSEN-PLAINTEXT ATTACK ON SSL, http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.61.5887
42
43
4. ขอแนะน าในการใชงาน Social Media ส าหรบผใชงานทวไป ผเรยบเรยง: ทมไทยเซรต วนทประกาศ: 3 ต.ค. 2554 ปรบปรงลาสด: 10 ต.ค. 2554 ปจจบนสอสงคมและเครอขายสงคมออนไลน (Social media and Social network) ไดถกน ามาใชเพอแบงปนเรองราว ประชาสมพนธหนวยงาน หรอใชเปนแหลงแลกเปลยนขอมล เนองจาก สามารถใชงานไดอยางสะดวกสบายและรวดเรว ท าใหไดรบความนยมเปนอยางสง ศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย (ThaiCERT) มขอแนะน าเบองตนในการใชงานสอสงคมและเครอขายสงคม ส าหรบผใชทวไป ดงน
4.1 การใชงานรหสผานอยางมนคงปลอดภย
• การตงคารหสผานทใชในการลอกอนเขาสเวบไซตหรอระบบตางๆ จะตองเปนรหสผานทคาดเดาไดยาก เพอลดความเสยงกรณทผประสงครายทพยายามจะสมรหสผานเพอใชลอกอนบญชผใชงานของผอน การตงคารหสผานทมนคงปลอดภยมขอแนะน า ดงน 1. รหสผานควรมความยาวไมต ากวา 8 ตวอกษร เชน Ro23w%9T
2. รหสผานควรประกอบไปดวยตวอกษรพมพเลก พมพใหญ ตวเลข และอกขระพเศษ
44
รปท 3 (4-1) การตงคารหสผานอยางมนคงปลอดภย
• การตงค าถามทใชในกรณกคนบญชผใชงาน (Forget password) ควรเลอกใชขอมลหรอค าถามทเปนสวนบคคลและควรเปนขอมลทผอนคาด เดายาก เพอปองกนการสมค าถามค าตอบจากผประสงคราย
• ไมควรบนทกรหสผานไวในทซงงายตอการสงเกตเหนของบคคลอน เชน จดรหสผานวางไวบนโตะ หรอเขยนโนตตดไวบนหนาจอคอมพวเตอร
รปท 4 (4-2) ไมควรเปดเผยรหสผาน
• ไมควรเปดเผยรหสผานใหแกบคคลอนลวงร เพอลดความเสยงตอการถกขโมยรหสผานจากบคคลทสาม
• ไมควรก าหนดคาใหเวบเบราวเซอร (web browser) ชวยจ ารหสผานทใชในการเขาถงเวบไซต (Remember password) เนองจาก มความเสยงทจะถกขโมยบญชผใชงานหรอแกะรอยรหสผานจาก เครองคอมพวเตอรนนๆ
45
4.2 การใชบรการสอและเครอขายสงคมทางเวบอยางมนคงปลอดภย
• การไดรบอเมลแจงเตอนจากเวบไซตตางๆ ในลกษณะเชอเชญใหคลกลงกทแนบมาในอเมล ผใชงานควรสงสยวาลงกดงกลาวเปนลงกทไมปลอดภย (ลงกทมความประสงคจะหลอกลวงเพอขโมยขอมลสวนบคคล เชน รหสผาน โดยวธการตางๆ) และสามารถแจงลงกตองสงสยมายง [email protected] เพอตรวจสอบตอไป
• ปจจบนเวบไซตทใหบรการสอและเครอขายสงคมไดเปดชองทางเกยวกบความมนคงปลอดภยเพมเตม เพอใหผใชงานสามารถเชอมตอเวบไซตผานชองทางทมการเขารหสลบขอมล เพอปองกนการดกจบขอมลระหวางทางจากผประสงคราย โดยกระบวนการดงกลาวเปนการเชอมตอเวบไซตผานรปแบบทเรยกกนวา HTTPS ซงผใชงานทวไปสามารถใชชองทางดงกลาวไดทนท โดยเรยนใชผานการพมพ https:// ตามดวยชอเวบไซต เชน https://www.facebook.com
รปท 5 (4-3) การใชบรการสอและเครอขายสงคมทางเวบ
• ใชกระบวนการยนยนตวตน (Authentication) แบบ Two-factor Authentication ซงเปนวธการทมความมนคงปลอดภยสงกวาการเขาสเวบไซตโดยการลอกอนโดยใชรหสผานเพยงอยางเดยว ซงกระบวนการยนยนตวตนดงกลาว จะใชการยนยนตวตนดวยรหสผานรวมกบวธการอนๆ เชน การยนยนรหสผานชวคราวทไดจาก SMS หลงจากลอกอนครงแรกแลว เปนตน โดยปจจบนเวบไซตทใหบรการสอและเครอขายสงคมทรองรบกระบวนการดงกลาว ไดแก Facebook
46
รปท 6 (4-4) Facebook
• เนองจากเวบไซตบรการสอและเครอขายสงคมออนไลนสวนใหญ มการจดเตรยมชองทางในการกคนบญชผใชงานหรอกคนรหสผาน (Forget password) โดยสวนใหญจะใชชองทางสอสารผานอเมลของผใชงาน ซงกอาจเปนปจจยหนงใหผประสงครายเขาโจมตผานชองทางอเมล จากนน จงใชชองทางดงกลาวเขาควบคมบญชเครอขายสงคมตางๆ ตอไป
• ไมเผยแพรขอมลส าคญไมวาสวนบคคลของของตนเอง ผอน และขององคกร ในเวบไซตบรการสอและเครอขายสงคมออนไลน
• พงระลกไวเสมอวาขอมลตางๆ ทเผยแพรไวบนบรการสอและเครอขายสงคมนน คงอยถาวร ผอนอาจเขาถง และเผยแพรของขอมลนได
• ไมควรใชบรการสอและเครอขายสงคมออนไลนในการเผยแพรขอความหรอขอมลทไมเหมาะสมตางๆ ซงมผลกระทบตอสทธของผอนโดยไมเปนธรรม
4.3 การใชงานคอมพวเตอรอยางมนคงปลอดภย
• ตดตงซอฟตแวรปองกนไวรส และอพเดทฐานขอมลไวรสของโปรแกรมอยเสมอ
• อพเดทระบบปฏบตการและซอฟตแวรเวบเบราวเซอร (web browser)
47
อยเสมอ
• ไมควรตดตงโปรแกรมเสรมจากผพฒนาอน (3rd Party Application) นอกเหนอจากโปรแกรมทพฒนาโดยเจาของบรการสอและเครอขายสงคม เนองจาก ผใชงานมความเสยงจากการถกลกลอบ ปลอมแปลง หรอขโมยขอมลส าคญของผใชงานได
• ควรละเวนการใชเครอขายอนเทอรเนตหรอเครองคอมพวเตอรทใหบรการในทสาธารณะ หรอจากผใหบรการทไมนาเชอถอ เชน เครอขายไรสาย (Wi-Fi) หรอเครองคอมพวเตอรทไมสามารถระบผใหบรการได ซงอาจเปนชองทางใหผไมประสงคดลกลอบขโมยขอมลส าคญ เชน รหสผานของผใชงาน เปนตน
48
49
5. การจดการไดเรกทอรและไฟลในระบบยนกซ ผเรยบเรยง: เสฏฐวฒ แสนนาม วนทเผยแพร: 5 พ.ย. 2554 ปรบปรงลาสด: 9 พ.ย. 2554 ยนกซ (นยมเขยนวา Unix แตชอตามเครองหมายการคาคอ UNIX) เปนชอของระบบปฏบตการทถกพฒนาขนโดยนกวจยทศนยวจย Bell Labs จากบรษท AT&T ในป ค.ศ. 1969 ถกออกแบบมาเพอใหมความสามารถหลกๆ คอรองรบการประมวลผลโปรแกรมไดหลายตวพรอมกน (Multi-tasking) และรองรบผใชงานหลายคน (Multi-user) ในปจจบนระบบยนกซไดมการพฒนาเพมเตมเพอใหสามารถท างานไดบนฮารดแวรทหลากหลาย รวมถงถกใชเปนโครงสรางของระบบปฏบตการสมยใหมหลายระบบปฏบตการ เชน BSD, Solaris, Mac OSX หรอ ระบบปฏบตการทท างานคลายยนกซ (Unix-like) เชน Linux หรอ Android อกดวย [5-1] ในระบบยนกซนน จะมการจดการไดเรกทอรและไฟลทเปนมาตรฐาน โดยพจารณาทรพยากรทกอยางบนระบบในรปของไฟลไมเวนแมกระทงฮารดแวร หรอโปรเซสทรนอยในหนวยความจ า ซงการออกแบบโครงสรางดงกลาวนมขอดคอ ถาผใชสามารถก าหนดสทธการใชงานใหกบไฟลใดๆ ได กจะสามารถก าหนดสทธใหกบทรพยากรอนๆ ทอยในระบบยนกซได ดงนน ในบทความนจงน าเสนอเนอหาทเกยวของกบการจดการไดเรกเทอรและไฟลในระบบยนกซ เบองตนส าหรบผทสนใจหรอผทเรมใชงานระบบยนกซ
5.1 ไดเรกทอรและไฟลในระบบยนกซ • ไฟล (File) คอสงทใชแทนต าแหนงของขอมลทอยในหนวยความจ า
โดยทวไปการตงชอไฟลนยมใชเครองหมาย . ในการแยกชอกบสวนขยาย
50
ของไฟล (File Extension) เพอระบวาไฟลนเปนประเภทอะไร
• ไดเรกทอร (Directory) คอพนทเสมอนในคอมพวเตอร มไวส าหรบจดเกบไฟลหรอไดเรกทอรอนๆ ใหอยในพนทเดยวกน
5.2 โครงสรางของไดเรกทอรในระบบยนกซ ไดเรกทอรในระบบยนกซจะอางองโครงสรางขอมลแบบตนไมหวกลบ จากรากของตนไมทแตกรากสาขาจากดานบนลงสดานลาง โดยมสวนทอยดานบนสดเรยกวา root ซงแทนดวยเครองหมาย / ดงรปท 7 (5-1)
ภาพจาก: http://www.ualberta.ca/
รปท 7 (5-1) โครงสรางของไดเรกทอรในระบบยนกซ
จาก root จะประกอบดวยไดเรกทอรยอยอยภายใน แตละไดเรกทอรจะใชส าหรบจดเกบไฟลทมการท างานคลายคลงกน โครงสรางไดเรกทอรหลกๆ ของระบบยนกซเปนดงน
ตารางท 2 (5-1) โครงสรางไดเรกทอรหลกๆ ของระบบยนกซ
ไดเรกทอร หนาท / root /bin เกบโปรแกรมทเปนค าสงของระบบ /boot เกบ Kernel (โปรแกรมสวนทเปนการท างานหลกของระบบปฏบตการ)
และไฟลทเกยวของกบการเรมตนระบบ
51
ไดเรกทอร หนาท /dev เกบไฟลทเปนสวนตดตอของอปกรณตางๆ เชน ดสก เครองพมพ ฯลฯ /etc เกบไฟลทใชส าหรบก าหนดคาการท างานและไฟลทเกยวของกบการ
เรมตนระบบ /home ไดเรกทอร home ของผใช ตงชอตามชอบญชผใช /lib เกบไฟลไลบรารของระบบ /media mount point ของอปกรณเกบขอมลแบบถอดได (มใน
ระบบปฏบตการสมยใหม) /mnt mount point ของอปกรณเกบขอมลแบบถอดได /opt เกบโปรแกรมทผใชตดตงเพมเตมซงไมเกยวของกบระบบหลก /proc ไฟลขอมลของโปรเซสทงหมดทอยในหนวยความจ า /root ไดเรกทอร home ของ root (บางระบบปฏบตการจะอยใน /home) /sbin เกบโปรแกรมทเปนค าสงของระบบทตองใชสทธของ root ในการรน /tmp เกบไฟลชวคราว (Temporary file) จะถกลบทงเมอเปดเครองขนมา
ใหม /usr เกบขอมลค าสงอนๆเพมเตม โครงสรางภายในคลายโครงสรางของ / /var เกบไฟลทเกยวของกบการตงคาและการท างานของระบบ
5.3 ค าสงทเกยวของกบการใชงานไดเรกทอรและไฟล สรางไดเรกทอร
• การสรางไดเรกทอร สามารถท าไดโดยใชค าสง mkdir DIR_NAME เชน mkdir abc เปนการสรางไดเรกทอรชอ abc
• ในกรณทตองการสรางหลายไดเรกทอรพรอมกนในครงเดยว ใชค าสง mkdir {DIR1,DIR2,DIR3,...} เชน mkdir {a,b,c} จะเปนการสราง 3 ไดเรกทอร คอ a, b และ c
• ในกรณทตองการสรางไดเรกทอรทมไดเรกทอรยอยอยภายใน ใชค าสง mkdir -p /PARENT1/PARENT2/CHILD เชน mkdir -p q/w/e จะเปน
52
การสรางไดเรกทอร q ซงมไดเรกทอร w อยภายใน และมไดเรกทอร e อยภายในไดเรกทอร w อกท
ลบไดเรกทอร • การลบไดเรกทอร ใชค าสง rm -r DIRECTORY_NAME • ถาไดเรกทอรทตองการลบนนมไฟลหรอไดเรกทอรอยภายใน จะไม
สามารถท าการลบไดถาไมลบไฟลหรอไดเรกทอรทงหมดทอยภายในกอน แตถาตองการลบทงทงไดเรกทอรโดยไมสนใจสงทอยภายใน สามารถใชค าสง rm -rf DIRECTORY_NAME เพอบงคบใหระบบลบไดเรกทอรนนได
สรางไฟล • การสรางไฟลเปลาๆ ขนมาโดยไมมเนอหาอะไร สามารถท าไดโดยใชค าสง
touch FILENAME เชน ค าสง touch test.txt จะไดไฟลชอ test.txt
ลบไฟล • การลบไฟล ใชค าสง rm FILENAME เชน ค าสง rm test.txt เปนการลบ
ไฟล test.txt
คดลอกไฟล/ไดเรกทอร • การคดลอกไฟลหรอไดเรกทอร ใชค าสง cp SOURCE TARGET เชน cp
test.txt test2.txt เปนการคดลอกไฟล test.txt มาสรางเปนไฟลชอ test2.txt
ยาย/เปลยนชอไฟลหรอไดเรกทอร • ในระบบยนกซ การยายและการเปลยนชอไฟลหรอไดเรกทอร สามารถท า
ไดโดยใชค าสง mv
53
• การยายไฟลหรอไดเรกทอรไปไวทใหม ใชค าสง mv FILENAME NEW_DIR เชน mv test.txt /tmp จะเปนการยายไฟล test.txt จากต าแหนงปจจบนไปไวท /tmp
• การเปลยนชอไฟลหรอไดเรกทอร ใชค าสง mv OLD_NAME NEW_NAME เชน mv file1.txt file2.txt จะเปนการเปลยนชอไฟลจาก file1.txt เปน file2.txt
เปลยนไดเรกทอร • การเปลยนไดเรกทอรจากต าแหนงปจจบนไปยงต าแหนงอน ใชค าสง cd
DIRECTORY_NAME ซงการระบ DIRECTORY_NAME สามารถท าไดหลายแบบ ดงน
• ระบ เปน absolute path จะอางองต าแหนงทอยจาก / เชน ถาปจจบนอยท /home/user/files/ เมอพมพ cd /bin จะเปนการยายไปทไดเรกทอร /bin
• ระบ เปน relative path จะอางองต าแหนงจากจดทอยปจจบน เชน ถาปจจบนอยท /home/user/files/ เมอพมพ cd work จะเปนการยายไปทไดเรกทอร /home/user/files/work
• ต าแหนงปจจบน แทนดวยเครองหมาย . • ต าแหนงของไดเรกทอรทอยดานบนขนไป (parent directory)
แทนดวยเครองหมาย .. เชน ถาปจจบนอยท /home/user/files/ เมอพมพ cd .. จะเปนการยายไปทไดเรกทอร /home/user/
• ต าแหนงของไดเรกทอร home ของผใช แทนดวยเครองหมาย ~ ถาปจจบนอยท /home/user/files/work เมอพมพ cd ~ จะเปนการยายไปทไดเรกทอร /home/user/ นอกจากนการพมพค าสง cd โดยไมระบ path ปลายทาง กจะเปนการยายต าแหนงมาทไดเรกทอร home ของผใชดวยเชนกน
54
ตรวจสอบต าแหนงของไดเรกทอรทอยในปจจบน • การตรวจสอบต าแหนงของไดเรกทอรทอยในปจจบน สามารถท าไดโดยใช
ค าสง pwd (ยอมาจาก Print Working Directory) ซงจะไดผลลพธออกมาเปน absolute path ของไดเรกทอรทท างานอยในขณะนน
แสดงรายชอไดเรกทอรหรอไฟลทงหมดในไดเรกทอรทระบ • ในการแสดงรายชอไดเรกทอรหรอไฟลทงหมดทอยในไดเรกทอรทระบ
สามารถท าไดโดยใชค าสง ls DIRECTORY_NAME ถาไมระบชอไดเรกทอร จะเปนการแสดงขอมลในไดเรกทอรทท างานอยในปจจบน
• ถาตองการดขอมลในไดเรกทอรยอยดวย ใชค าสง ls -R
• ถาตองการดขอมลแบบละเอยด ใชค าสง ls -l ซงจะไดผลดงภาพดานลาง
รปท 8 (5-2) แสดงรายชอไดเรกทอรหรอไฟลทงหมดในไดเรกทอรทระบขอมลแบบละเอยด ใชค าสง ls -l
รายละเอยดของขอมลตางๆ ทแสดงผลอธบายไดตามหมายเลข ดงน
รปท 9 (5-3) แสดงรายชอไดเรกทอรหรอไฟลทงหมดในไดเรกทอรทระบแสดงผลอธบายไดตามหมายเลข
55
1. จ านวนของลงกทงหมดทมในไดเรกทอรนน ซงประกอบดวยจ านวนไฟลหรอไดเรกทอรทอยภายใน บวกกบลงกของตวไดเรกทอรเอง
2. ประเภทของไฟลและสทธในการใชงาน (Permission) ตวอกษรตวแรกคอประเภทของไฟล ถาเปนเครองหมาย - หมายถงไฟลธรรมดา ถาเปน d หมายถงไดเรกทอร และถาเปน l หมายถงลงก
3. จ านวนลงกทงหมดทอยภายในไดเรกทอรนน ถาเปนไฟลจะมแค 1 ลงก
4. เจาของไฟล (Owner) 5. กลม (Group) 6. ขนาด (Size) มหนวยเปนไบต ถาเปนไฟลจะเปนขนาดของไฟล ถา
เปนไดเรกทอรจะเปนจ านวนบลอกทใชตอ 1 ไดเรกทอร ซงโดยปกตแลวจะเปน 4096
7. วนทเขาใชงานลาสด
8. เวลาทเขาใชงานลาสด
9. ชอไฟลหรอชอไดเรกทอรนนๆ ถาเปนลงกจะแสดงเครองหมาย -> ไปทต าแหนงของไฟลจรง
การสรางลงก • ลงก (Link) ในระบบยนกซ จะเปนการอางองถงไฟลหรอต าแหนงของ
ขอมลบนดสก มอยดวยกน 2 แบบ คอ Hard Link และ Symbolic Link • Hard Link เปนการสรางตวอางองขอมลทอยในดสก โดยใช
inode (สวนทเกบเนอหาและคณสมบตของขอมล) เดยวกน ท าใหขอมลชดเดยวสามารถปรากฏในหลายทพรอมกนได การสราง Hard Link จ าเปนทจะตองสรางบนระบบไฟล (File System) ชนดเดยวกนเทานน ขอดของ Hard Link คอ เมอไฟลใดไฟลหนงถกลบ ขอมลในดสกสวนนนยงคงเขาถงจากไฟลทเหลออยได [13-2]
56
รปท 10 (5-4) การสรางลงก Hard Link
• Symbolic Link เปนการสรางตวอางองจากไฟลทมอยแลว ท าใหเมอไฟลตนฉบบถกลบ ขอมลในสวนนนกจะไมสามารถเขาถงไดจาก Link ทสรางไวได การสราง Symbolic Link สามารถสรางบนระบบไฟลทแตกตางกนได
รปท 11 (5-5) การสรางลงก Symbolic Link
• เมอใชค าสง ls -l เพอดขอมลในไดเรกทอร จะพบวา ไฟลทเปนลงกจะมการแสดงเครองหมาย -> เพอบอกวาไฟลนจะลงกไปยงไฟลไหน
• การสรางลงกแบบ Hard Link ใชค าสง ln FILENAME LINKNAME เชน ln def ghi จะเปนการสรางลงกชอ ghi โดยลงกนจะเชอมตอไปทต าแหนงของขอมลเดยวกนกบไฟล def
• การสรางลงกแบบ Symbolic Link ใชค าสง ln -s FILENAME LINKNAME เชน ln -s def ghi จะเปนการสรางลงกชอ ghi โดยลงกนจะเชอมตอทไฟล def
57
การตรวจสอบประเภทของไฟล • ในกรณทตองการตรวจสอบไฟลทไมรจกวาไฟลนนเปนไฟลประเภทไหน
สามารถใชค าสง file FILENAME เพอดขอมลของไฟลนนได เชน ค าสง file /bin/ls เปนการดประเภทของไฟล /bin/ls ซงจะไดผลลพธดงน
รปท 12 (5-6) การตรวจสอบประเภทของไฟล
จากผลลพธดงกลาว จะพบวา ไฟล /bin/ls เปนไฟลประเภท executable (สามารถประมวลผลได) ของระบบปฏบตการ Linux
• ค าสง file เปนการวเคราะหประเภทของไฟล จากสวนหว (header) ของไฟลนนๆ
การคนหาไฟล • การคนหาไฟลทอยในไดเรกทอรทก าหนด ใชค าสง find PATH -name
FILENAME เชน ค าสง find /etc -name passwd เปนการคนหาวามไฟลชอ passwd อยในไดเรกทอร /etc หรอไม
• ถาตองการคนหาไฟลโดยไมระบไดเรกทอร ใชค าสง locate FILENAME เชน locate php.ini
การสราง archive และการบบอดขอมล
• การสราง archive คอการรวมไฟลทกไฟลในไดเรกทอรใหเปนไฟลเดยว สามารถท าไดโดยใชค าสง tar cvf ARCHIVE.tar DIRECTORY เชน tar cvf docs.tar /home/user/document จะเปนการรวมไฟลทกไฟลใน
58
ไดเรกทอร /home/user/document ใหเปนไฟลชอวา docs.tar
• การเพมไฟลใน archive ท าไดโดยใชค าสง tar -r NEWFILE -f ARCHIVE.tar
• ในการบบอดขอมลจ าเปนตองท า 2 ขนตอน คอ สราง archive แลวจงเอา archive นนมาบบอด
• การบบอดขอมลในระบบยนกซสามารถท าไดหลายแบบ แตทนยมใชกนทวไปคอใชวธบบอดแบบ gzip และ bzip โดยท bzip จะสามารถบบอดขอมลไดมากกวาแตจะใชเวลาบบอดนานกวา gzip
• การบบอดแบบ gzip ผลลพธทไดจะเปนไฟล .tar.gz สามารถท าไดโดยใชค าสง tar czvf ARCHIVE.tar.gz DIRECTORY
• การบบอดแบบ bzip ผลลพธทไดจะเปนไฟล .tar.bz หรอ .tar.bz2 ขนอยกบขนตอนวธทใชในการบบอด สามารถท าไดโดยใชค าสง tar cjvf ARCHIVE.tar.bz DIRECTORY
• การแตกไฟล (Extract) จาก archive ใชค าสง tar xvf ARCHIVE.tar
• ในกรณทตองการแตกไฟลจาก archive ทถกบบอด ตองตรวจสอบวาไฟลนนถกบบอดมาโดยใชวธอะไร
• ถาบบอดดวย gzip ใชค าสง tar xzvf ARCHIVE.tar.gz
• ถาบบอดดวย bzip ใชค าสง tar xjvf ARCHIVE.tar.bz2
5.4 การก าหนดสทธการใชงาน (Permission) การก าหนดสทธในการใชงาน มไวเพอจ ากดขอบเขตการเขาถงขอมลของผใช และเพอปองกนความเสยหายทอาจจะเกดขนจากการกระท าโดยไมตงใจ การก าหนดสทธสามารถท าไดทงไฟลและไดเรกทอร โดยมรายละเอยดและขนตอนดงน
59
การก าหนดความเปนเจาของไฟล (File ownership) • ทกไฟลในระบบสามารถมเจาของ (Owner) และกลม (Group) ไดแค
อยางละ 1 เทานน
• ผทเปนเจาของไฟล หรออยในกลมทก าหนดสามารถด าเนนการกบไฟล (อาน,เขยน,ประมวลผล) ไดตามสทธทก าหนดใน Permission bit ซงเปนตวเลขทใชในการก าหนดสทธการใชงาน
• การเปลยน Owner ของไฟล ใชค าสง chown USER FILENAME
• การเปลยน Group ของไฟล ใชค าสง chgrp GROUP FILENAME
การก าหนดสทธการใชงาน (Permission) • สทธการใชงาน สามารถมารถก าหนดได 6 อยาง ไดแก
• Read แทนดวยเครองหมาย r • Write แทนดวยเครองหมาย w
• Execute แทนดวยเครองหมาย x • SUID แทนดวยเครองหมาย S • SGID แทนดวยเครองหมาย S • Sticky แทนดวยเครองหมาย t
ซงความหมายของสทธทง 6 อยางจะอธบายในล าดบถดไป
• สทธการใชงาน แบงออกเปน 3 สวน ตามประเภทของผใชงาน ซงไดแก
• User เจาของไฟลนนๆ แทนดวยเครองหมาย u
• Group คนทอยในกลมเดยวกนกบกลมทเจาของไฟลนนอยแทนดวยเครองหมาย g
• Other คนอนๆ ทไมใชเจาของไฟลและไมไดอยในกลมทเจาของไฟลอย แทนดวยเครองหมาย o
60
• การตรวจสอบสทธการใชงานสามารถท าไดโดยใชค าสง ls -l FILENAME เชน ls -l /etc/passwd จะไดผลดงรปท 13 (5-7)
รปท 13 (5-7) การก าหนดสทธการใชงาน (Permission)
รายละเอยดของสทธการใชงานจะอยในสวนแรกสดของบรรทดทเปนผลลพธ โดยจะเปนตวอกษร 9 ตว ทอยถดมาจากตวอกษรทใชบอกประเภทของไฟล ตวอกษรแตละตวแทนการก าหนดคาตางๆ ดงน
User Group Other Read Write Execute Read Write Execute Read Write Execute จากตวอยาง จะพบวาสทธการใชงานของไฟล /etc/passwd คอ rw-r--r-- แบงดรายละเอยดทละสวน ดงน
• r-- คอสทธของคนทอยในกลมเดยวกนกบเจาของไฟล
• rw- คอสทธของเจาของไฟล
• r-- คอสทธของคนอนๆทไมใชเจาของไฟลและไมไดอยในกลมเดยวกนกบเจาของไฟล
จากรปจะพบวา เจาของไฟล /etc/passwd คอ root และอยในกลมทชอ root จากขอก าหนด rw- แสดงวาเจาของไฟลสามารถอานและเขยนไฟลนได แตไมสามารถสงประมวลผลไฟลนได สวนคนทอยในกลมทชอ root จะไดรบสทธ r-- คออานไดอยางเดยว ซงคนอนๆ นอกเหนอจากนจะไดสทธ r—กจะสามารถอานไดอยางเดยวเชนกน
61
ในสวนของไฟล /bin/bash จะพบวามสทธการใชงานคอ rwxr-xr-x หมายความวา เจาของไฟลไดสทธ rwx คอสามารถอาน เขยน และสงประมวลผลไฟลนได แตคนทอยในกลมเดยวกบเจาของไฟลและคนอนๆ นอกเหนอจากนจะไดสทธ r-x คออานและสงประมวลผลไฟลไดอยางเดยว ไมสามารถแกไขได
SUID, SGID และ Sticky ทง SUID, SGID และ Sticky ตางกเปนบทพเศษทเอาไวก าหนดคาการน างานในกรณทมการประมวลผลไฟล นนๆ โดยทง 3 บทนจะแสดงในสวนของ Execute bit โดยแตละแบบมการท างานดงน
• SUID เมอมใครกตามรนไฟลน โปรเซสนนจะถกรนโดยใชชอของเจาของไฟล
• SGID เมอมใครกตามรนไฟลน โปรเซสนนจะถกรนโดยใชชอของกลมทระบ
• Sticky ใครกตามสามารถอานหรอแกไขไฟลนได แตไฟลนจะไมสามารถถกคนอนลบได นอกจากเจาของไฟลเทานน
• เมอมการก าหนดคา SUID หรอ SGID แลว บททเปนสวนของ Execute bit จะแสดงสญลกษณตว S เชน ถาก าหนด SUID ใหกบไฟล ไฟลนนจะมสทธการใชงานเปน rwS------
• เมอมการก าหนดคา Sticky bit ใหกบไฟล บททเปนสวนของ Execute bit จะแสดงสญลกษณตว t
การก าหนดหรอแกไขสทธการใชงาน
ในการก าหนดหรอแกไขสทธการใชงานของไฟลหรอไดเรกทอร ใชค าสง chmod {parameter} FILENAME การก าหนด parameter สามารถท าได 2 วธ คอ ใชแบบตวอกษร และแบบตวเลข
62
• การก าหนดสทธโดยใชตวอกษร o การก าหนดผใช
ใช u แทน User (เจาของไฟล) ใช g แทน Group (กลมทไฟลนนอย) ใช o แทน Other (คนอนๆ นอกเหนอจากน) ใช a แทน All (ทง 3 ประเภททกลาวมา)
o การก าหนดสทธ ใช r แทน Read (อาน) ใช w แทน Write (เขยน) ใช x แทน Execute (ประมวลผล) ใช s แทนการเซต SUID หรอ SGID
ใช t แทนการเซต Sticky o การเพมสทธ ใชเครองหมาย + และการยกเลกสทธ ใช
เครองหมาย - o การก าหนดหรอแกไขสทธ ใชค าสง chmod [user][+/-
][permission] FILENAME เชน chmod g+rw file เปนการเพมสทธในการอานและเขยนไฟลใหกบ group หรอค าสง chmod ug-w+s เปนการก าหนดสทธในการหามเขยนไฟลพรอมทงก าหนด SUID และ SGID ใหกบ User และ Group
• การก าหนดสทธโดยใชตวเลข
o ใส parameter เปนตวเลข 4 ตว ตวแรกสดเปนการเซต SUID, SGID หรอ stickey ตวทสองเปนการก าหนดสทธของ User ตวทสามเปนการก าหนดสทธของ Group
ตวทสเปนการก าหนดสทธของ Other
63
o ตวเลขแตละตวมความหมายดงน
สทธการใชงาน คา SUID 4 SGID 2 Sticky 1 Read 4 Write 2 Execute 1
• การก าหนดสทธในสวนของ SUID, SGID หรอ Sticky จะใสหรอไมใสกได ซงถาไมใสโดยปกตจะมคาเปน 0
• ถาเอาคาของตวเลขแตละสวนมาบวกกนจะสามารถก าหนดสทธไดหลากหลายแบบ เชน
0 7 5 5 - rwx r-x r-x 4 6 4 1 - rwS r-- --x 5 2 3 1 - -wS -wx --t
จากตารางทยกตวอยางไวดานบน จะพบวา ถาก าหนด Permission เปน 0755 จะมคาเปน rwxr-xr-x หรอถาก าหนด Permission เปน 4641 จะมคาเปน rwSr----x เปนตน
ตวเลข 0755 ในตารางดานบนเกดขนเนองจาก
• ก าหนดให User สามารถ Read, Write และ Execute ได ซงเมอน าเลข 4 + 2 + 1 จะไดเทากบ 7
• ก าหนดให Group สามารถ Read และ Execute ได ซงเมอน าเลข 4 + 1 จะไดเทากบ 5
64
• สทธของ Other มทมาเชนเดยวกบสทธของ Group
ตวเลข 4641 ในตารางดานบนเกดจาก
• ก าหนดคา SUID ซงจากตาราง SUID มคาเทากบ 4 • ก าหนดให User สามารถ Read และ Write ได ซงเมอน าเลข 4
+ 2 จะไดเทากบ 6 • ก าหนดให Group สามารถ Read ไดอยางเดยว จงมคาเปน 4 • ก าหนดให Other สามารถ Execute ไดอยางเดยว จงมคาเปน 1
จะเหนไดวา การจดการไดเรกทอรและไฟลในระบบยนกซนน อาจจะตองใชเวลาในการท าความเขาใจอยบาง แตเมอเขาใจหลกการท างานและสามารถใชงานไดอยางคลองแคลวแลวจะพบวาค า สงหลายๆ อยางชวยใหประหยดเวลาอกทงยงสามารถท างานไดอยางสะดวกและรวดเรว
5.5 เอกสารอางอง [5-1] http://en.wikipedia.org/wiki/Unix [5-2] http://en.wikipedia.org/wiki/Hard_link
65
6. การบรหารจดการผใชบนระบบ UNIX ผเรยบเรยง: เจษฎา ชางสสงข วนทเผยแพร: 12 พ.ย. 2554 ปรบปรงลาสด: 12 พ.ย. 2554 UNIX เปนระบบปฏบตการทถกออกแบบมาใหสามารถใชงานไดหลายคนในเวลาเดยวกน (Multi-user) และสามารถท างานไดหลายๆ อยางพรอมกน (Multitasking) [6-1] ดวยความสามารถเหลาน UNIX จงนยมน ามาใชเปนระบบปฏบตการในเครองเซรฟเวอร ดงนน เพอใหสามารถใชงานระบบ UNIX ไดอยางมประสทธภาพ ผดแลระบบจงควรมความเขาใจในการบรหารจดการผใชและการก าหนดสทธตางๆ ซงในบทความน จะแนะน าค าสงในการใชงานเบองตน พรอมทงแสดงไฟลหลกๆ ทเกยวของ ซงค าสงตางๆ ในบทความนสามารถใชงานไดกบระบบปฏบตการ UNIX ทกระบบ
6.1 ประเภทของผใช
ส าหรบระบบปฏบตการตระกล UNIX นน มการออกแบบใหสามารถก าหนดสทธในการเขาถงขอมลไดหลายระดบ เพอจ ากดขอบเขตการใชงานทรพยากรตางๆ ของระบบตามระดบของผใช เชน ก าหนดสทธไมใหแกไขไฟลส าคญ ซงในระบบ UNIX สามารถจ าแนกผใชออกไดเปน 2 ประเภทดวยกน คอ
User คอผใชทวไปทมสทธในการใชงานระบบอยอยางจ ากด หรอเปน ผใชทถกสรางมาเพอใชงานส าหรบโปรแกรมประยกตทตดตงในระบบ เชน Web Server
66
Superuser คอผใชทมสทธในการบรหารจดการระบบทกอยางไมวาจะเปนการ สรางหรอก าหนดสทธใชงานใหกบผใช [6-2] หรอการปดการท างานของ Process ทส าคญ เชน Web Server การแกไขไฟลของระบบ เปนตน ซงในระบบปฏบตการ UNIX นน จะมชอเรยกของ Superuser วา root
6.2 ไฟลทใชก าหนดคาใหกบผใช
ในการก าหนดความสามารถและรายละเอยดของผใชไฟลขอความทใชงานรวมกน 3 ไฟล คอ passwd, shadow และ group โดยแตละไฟลจะมการก าหนดสทธในการเขาถงไมเหมอนกน เนองจากมบางไฟลทใชเกบขอมลทเปนความลบซงไมตองการใหผใชงานอนเหน เชน รหสผาน ผอานสามารถศกษาการตงคาสทธการเขาถงไฟลไดจากบทความ การจดการไดเรกทอรและไฟลในระบบยนกซ [6-3] การเขาถงระบบนน ผใชจะมชอทใชเขาถงระบบเรยกวา Username และมรหสผานของแตละ Username ดวย หรอบางครงผดแลระบบอาจมการก าหนด Username ทไมจ าเปนตองใสรหสผาน เพอใชงานชวคราวโดยมการก าหนดสทธในการเขาถงทจ ากด เชน มหาวทยาลยแหงหนงมการสราง Username ใหกบนกศกษาเขามาใชงาน โดยยอมใหใชงานโปรแกรมประยกตไดบางโปรแกรม หรอใหสทธในการเขยนไฟลไดบางสวนเทานน ส าหรบการระบตวตนของผใชนน ระบบจะดหมายเลขทใชอางองกบผใช เรยกวา User Identifier หรอ UID ซงหากมการก าหนด Username โดยม UID เดยวกน ระบบจะเขาใจวาผใชนนมสทธเทาเทยมกน และระบบยงสามารถจดการผใชใหเปนกลมไดโดยสามารถก าหนดชอ และ อางองจากหมายเลขทเรยกวา Group Identifier หรอ GID ซงในแตละไฟลนน มการก าหนดรปแบบการเกบคาแตกตางกน มรายละเอยดดงน
/etc/passwd เปนไฟลขอความทใชเกบขอมลรายละเอยดของผใชในระบบ เชน UID, GID และ
67
ไดเรกทอรหลกของผใช (Home directory) เปนตน โดยระบบจะก าหนดใหผใชมสทธในการอานไฟลน และก าหนดสทธในการแกไขใหกบ root เทานน ซงในแตละบรรทดของไฟลจะใชแทนรายละเอยดตอหนง Username และจะประกอบไปดวยรายละเอยดของผใชในสวนตางๆ โดยแตละสวนจะคนดวยเครองหมาย “:” ดงทแสดงในภาพดานลาง
รปท 14 (6-1) ตวอยางรายละเอยดผใชชอ Oracle [6-4]
1. Username: เปนสวนทใชเกบคาของ Username ทใชเขาสระบบ มความยาวไมเกน 32 ตวอกษร
2. Password: เปนสวนทใชบอกวามการเขาถงระบบโดยใชรหสผานหรอไม ซงหากเปนคา “x” แสดงวาผใชมการใชรหสผาน ซงรหสผานนจะถกเขารหสลบและเกบไวทไฟล /etc/shadow หากเปนคา “*” หรอ “!” จะเปนการบงบอกวา ใหปดการเขาถงระบบดวยการใสรหสผาน มกใชกบ Username ทตดตงมากบโปรแกรม
3. User ID (UID): เปนสวนทใชระบหมายเลขใหกบผใช โดยหมายเลข 0 จะถกจองใหกบ Superuser หรอ root เทานน หมายเลข 1-99 จะถกจองใหกบโปรแกรมของระบบ และ หมายเลข 100-999 จะถกจองใหกบโปรแกรมตางๆ ทตดตงโดย ผดแลระบบหรอใชในการก าหนดกลม ของระบบ ดงนน ส าหรบการก าหนดหมายเลขใหกบผ ใชทวไปจงควรก าหนดคาตงแต 1000 ขนไป
4. Group ID (GID): เปนสวนทระบหมายเลขของกลมทผใชนนอย ซงรายละเอยดแตละกลม จะถกเกบไวท /etc/group
5. User ID Info: เปนสวนทใชแสดงรายละเอยดเพมเตมเกยวกบผใช เชน
68
ระบชอ-นามสกลของผใช หมายเลขโทรศพท เปนตน
6. Home directory: เปนสวนทระบต าแหนงไดเรกทอรทจะปรากฏเมอผใช เขาสระบบ โดยการก าหนดนนจะตองระบเปน Absolute path ซงอางองจากต าแหนงของ root คอ / หากเวนวาง ไวหรอไดเรกทอรทก าหนดไมมอยจรง ระบบจะก าหนดใหเปน /
7. Command/shell: เปนสวนทเกบต าแหนงของโปรแกรม shell หรอโปรแกรมทท าหนาทรบค าสงจากผใชไปประมวลผลบนระบบ [15-5] โดยการก าหนดนนจะตองระบเปน Absolute path
/etc/shadow เปนไฟลขอความทเกบรหสผานจรงของผใชโดยจะอยในรปของการเขารหสลบ และ เกบคาทใชก าหนดคณสมบตของการใชรหสผาน เชน วนหมดอาย โดยจะใชหนงบรรทดตอหนง Username ไฟลนก าหนดสทธในการอานเขยนใหกบ root เทานน เพอปองกนไมใหผใชเหนรหสผานของผใชคนอน และประกอบไปดวยรายละเอยดของผใชในสวนตางๆ โดยแตละสวนจะคนดวยเครองหมาย “:” ดงรปท 15 (6-2)
รปท 15 (6-2) ตวอยางขอมลรายละเอยดในไฟล /etc/shadow [6-6]
1. Username: เปนสวนทใชเกบคาชอของผใชทใชเขาสระบบ มความยาวตวอกษรไมเกน 32 ตวอกษร
2. Encrypted password: เปนสวนทแสดง รหสผานของผใชทถกเขารหสลบไว โดยรปแบบการเขารหสลบ จะอางองจากฟงกชนของระบบทชอวา crypt [6-4] เชน จากตวอยางจะมสวนทใชอธบายคนดวยเครองหมาย $
69
โดยคาแรกจะเปนหมายเลขก าหนดชนดวธการ Hash หรอขนตอนในการเขารหสลบขอมล ซงคา 1 เปนการก าหนด Hash แบบหนงทเรยกวา MD5 คาถดมาเรยกวา Salt คอคาทสรางขนมาเพอน าไปรวมกบ รหสผานจรงกอนท าการ Hash เพอปองกนโอกาสการเกดผลลพธของการ Hash (Message Digest) ซ ากน
3. Date of last password change: เปนสวนทแสดงวนทลาสดทมการเปลยนแปลงรหสผาน เปนตวเลขในรปของ UNIX timestamp (จ านวนวนาททถกนบจากวนท 1 มกราคม ค.ศ. 1970 อางองตามเวลาสากลเชงพกด หรอ UTC) [6-7] จากตวอยางเมอน ามาแปลงจะได วนท 1 มกราคม ค.ศ. 1970 เวลา 03:37:44 น.
4. Minimum password age: เปนสวนทระบจ านวนวนทนอยทสด ทอนญาตใหผใชท าการเปลยนรหสผานได ส าหรบการก าหนดคา 0 หรอเวนวางไว จะเปนการก าหนดวาไมมคา Minimum
5. Maximum password age: เปนสวนทระบจ านวนวนสงสดทอนญาตใหผใชสามารถเปลยนรหสผานของตนเองได ส าหรบการก าหนดคา 99999 หรอไมใสอะไร จะเปนการก าหนดวาสามารถเปลยนรหสผานไดทกเมอ
*หมายเหต
หากไมตองการใหผใชเปลยนรหสผานของตนเองได ผดแลระบบสามารถท าไดโดยการก าหนดคาในสวนของ Maximum ใหมคานอยกวา Minimum
1. Password warning period: เปนสวนทก าหนดจ านวนวน ใหระบบเรมแจงเตอน กอนทรหสผานจะหมดอายการใชงาน เมอถงวนทตองแจงเตอน ระบบจะแสดงขอความใหท าการเปลยนรหสผาน และบอกจ านวนวนทเหลอกอนหมดอายการใชงาน [6-8]
2. Password Inactivity Period: เปนสวนทแสดงจ านวนวน หากไมมการเปลยนรหสผานภายในวนทก าหนดจะท าใหผใชนนถกปดการใชงาน
3. Account expiration date: เปนสวนทใชก าหนดวนหมดอายของผใช โดยมรปแบบเปน UNIX timestamp ซงเมอครบก าหนดระบบจะท าการ
70
ปดการท างานของผใชนนโดยทนท
/etc/group เปนไฟลขอความทใชก าหนดคณสมบตและสมาชกของแตละกลม ไฟลนจะถกก าหนดสทธใหผใชงานสามารถอานไดเทานน โดยผทมสทธในการแกไขไฟลมเพยง root เทานน โดยทวไปแลวในระบบใหญๆ ควรมการสรางกลมขนมา เพอใหเกดความสะดวกในการบรหารจดการสทธในการเขาถงระบบใหกบกลมผใชตางๆ เชน ก าหนดใหกลม A สามารถแกไขไฟลไดเฉพาะไดเรกทอร /var/opt เทานน, หรอการก าหนดใหผใชมสทธเทาเทยมกบโปรแกรมของระบบเชน Web Server เปนตน
รปท 16 (6-3) ตวอยางขอมลรายละเอยดในไฟล /etc/group [6-9]
1. Group Name: เปนสวนทระบชอของ group
2. Password: เปนสวนทระบวา จะใหมการก าหนดรหสผานเมอผใชตองการเขาไปยง Group นนหรอไม ซงหากเปนคา “x” แสดงวามการใชรหสผาน ซงรหสผานนจะถกเขารหสลบและเกบไวทไฟล /etc/shadow หากไมตองการก าหนดสามารถท าไดโดยการเวนวางไว
3. Group ID (GID): เปนสวนทแสดงหมายเลข Group ID
4. User List: เปนสวนทแสดงรายชอ User ทเปนสมาชกของ Group สามารถเพมสมาชก โดยใสเครองหมาย “,” คน
71
จากความสมพนธของไฟลทงสามขางตนนน เมอมความเขาใจแลวผดแลระบบสามารถท าการจดการบรหารผใชไดโดยการแกไขไฟลโดยตรง หรออาจมการประยกตโดยการเขยนสครปต เพอสรางผใชใหกบระบบหลายๆ คนพรอมกน นอกจากน ระบบปฏบตการ UNIX ยงมค าสงทสรางความสะดวกในการบรหารจดการผใช และเพอไมใหผดแลระบบเสยเวลาแกไขไฟลเอง ซงมโอกาสผดพลาดได โดยมค าสงมาตรฐานทตดตงมากบระบบ UNIX ทแนะน าดงน
6.3 ค าสงพนฐานทใชบรหารจดการผใชบนระบบ
การเพมผใชใหกบระบบ
ผดแลระบบสามารถเพมผใช โดยการใชค าสง useradd ซงม option ทวไปดงน useradd [-u UID] [-g GID] [-d HOME_DIR] [-s SHELL] [-m] [-c COMMENT] USER_NAME
[-u UID] ก าหนดหมายเลข UID ใหกบผใช [-g GID] ก าหนดหมายเลข GID หรอชอกลมใหกบผใช
[-d HOME_DIR] ก าหนดไดเรกทอรแรกใหกบผใช [-s SHELL] ก าหนดโปรแกรม Shell ทจะใชใหกบผใช [-m] ก าหนดใหมการสราง Home Directory หากยงไมม
[-c COMMENT] ก าหนดคา String เพอแสดงรายละเอยดเพมเตมของผใช USER_NAME ก าหนด ชอทใชเขาถงระบบ
ตวอยางค าสง # useradd -u 777 -g test -d /home/test -s /bin/sh -m -c test_comment test
72
การก าหนดรหสผานใหกบผใช
ผดแลระบบสามารถเพมหรอเปลยนแปลงรหสผานใหกบผใชไดโดยการใชค าสง passwd ดงน
passwd USER_NAME
ตวอยางค าสง # passwd test Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully
จากตวอยาง เมอพมพค าสงก าหนดรหสผานใหกบผใชชอ test ระบบจะใหก าหนดรหสผานใหมสองครง ถาตรงกนระบบจะสราง รหสผานให
การแกไขขอมลผใช ผดแลระบบสามารถแกไขขอมลผใชดวยค าสง usermod ซงม option ทวไปดงน usermod [-u UID] [-g GID] [-d HOME_DIR] [-s SHELL] [-m] [-c COMMENT] [-e EXPIRE_DATE] USER_NAME
[-u UID] ก าหนดหมายเลข UID ใหกบผใช [-g GID] ก าหนดหมายเลข GID หรอชอกลมใหกบผใช
[-d HOME_DIR] ก าหนดไดเรกทอรแรกใหกบผใช [-s SHELL] ก าหนดโปรแกรม Shell ทจะใชใหกบผใช [-m] ก าหนดใหมการสราง Home Directory หากยงไมม
[-c COMMENT] ก าหนดคา String เพอแสดงรายละเอยดเพมเตมของผใช
73
[-e EXPIRE_DATE]
ก าหนดวนหมดอายการใชงานของผใช โดยมรปแบบเปน YYYY-MM-DD
[-L ] ก าหนดใหปดการใชงานผใช [-U ] ก าหนดใหเปดการใชงานผใช USER_NAME ก าหนดชอทใชเขาถงระบบ
ตวอยางค าสง #usermod -d /home/test02 test #usermod -c "Mr.test test02" test
การลบผใชออกจากระบบ
ผดแลระบบสามารถลบผใชออกจากระบบ โดยการใชค าสง userdel เชน userdel USER_NAME ตวอยางค าสง # userdel test02
การสรางกลม
ผดแลระบบสามารถสรางกลมไดโดยการใชค าสง groupadd ไดโดยการใชค าสงดงน groupadd [-g GID] GROUP_NAME ตวอยางค าสง #groupadd -g 1000 etda
74
ค าสงการแสดงรายละเอยดผใช
ผใชสามารถใชค าสง id เพอแสดงรายละเอยดผใชเชน Username, UID, GID โดยใชค าสงดงน id USER_NAME ตวอยางค าสง $ id jezt uid=1000(jezt) gid=1000(jezt) groups=1000(jezt),4(adm),20(dialout),24(cdrom),33(www-data),46(plugdev),112(lpadmin),120(admin),122(sambashare) จากค าสงพนฐานทไดแนะน านน ผใชสามารถดรายละเอยดเพมเตมไดจากคมอการใชงาน (Man pages) ดวยการใชค าสง man [COMMAND_NAME] เชน $man useradd
6.4 เอกสารอางอง [6-1] http://en.wikipedia.org/wiki/Unix [6-2] http://en.wikipedia.org/wiki/Superuser [6-3] http://www.thaicert.or.th/papers/normal/2011/
pp2011no0003.html [6-4] http://www.cyberciti.biz/faq/understanding-etcpasswd-file-
format/ [6-5] http://en.wikipedia.org/wiki/Unix_shell [6-6] http://www.cyberciti.biz/faq/understanding-etcshadow-file/ [6-7] http://en.wikipedia.org/wiki/Unix_time [6-8] http://www.thegeekstuff.com/2009/04/chage-linux-password-
75
expiration-and-aging/ [6-9] http://www.cyberciti.biz/faq/understanding-etcgroup-file/
76
77
7. ค าสงทเกยวของกบการประมวลผลขอความในระบบปฏบตการ UNIX
ผเรยบเรยง: วศลย ประสงคสข วนทเผยแพร: 15 พ.ย. 2554 ปรบปรงลาสด: 15 พ.ย. 2554 เนองจากระบบปฏบตการ UNIX พจารณาทรพยากรทกอยางบนระบบในรปแบบของไฟลไมเวนแมกระทงฮารดแวร หรอโปรเซสทรนอยในหนวยความจ า [7-1] การแกไขการตงคาระบบสวนใหญจงท าในไฟลการตงคา (Configuration file) ในบางครงไฟลเหลานกความยาวมากท าใหไมสะดวกในการคนหาสงทตองการ แกไขแตปญหานสามารถแกไขได หากผใชมความสามารถในการใชงานค าสงทเกยวของกบการประมวลผลขอความ (Text Processing) ในบทความน จะยกตวอยางการใชงานค าสงทเกยวของกบการประมวลขอความท ใชบอย เพอใหผ เรมตนหรอผสนใจสามารถใชงานค าส ง ท เกยวของกบการ ประมวลผลขอความขนพนฐานได โดยใชไฟล /etc/passwd ในการสาธตวธใชงานค าสงตางๆ ไฟล /etc/passwd นเปนไฟลของระบบ UNIX ซงเกบขอมลบญชชอผใชของระบบ UNIX
7.1 ตวอยางค าสงทเกยวของกบการประมวลผลขอความทใชงานบอย
head และ tail head เปนค าสงทใชแสดงเนอหาสวนตนของไฟล (โดยคาตงตนจะแสดง 10 บรรทดแรก) สวนมากจะใชกบไฟลหรอผลลพธทเกดจากการท างานจากค าสงอน
78
โดยมรปแบบคอ head [option] [filename] มตวอยางการใชงานดงน
ตารางท 3 (7-1) ค าสง head
ค าสง ความหมาย
head /etc/passwd แสดง 10 บรรทดแรกของไฟล /etc/passwd
head -c10 /etc/passwd แสดง 10 ไบตแรกของไฟล /etc/passwd
head -n5 /etc/passwd แสดง 5 บรรทดแรกของไฟล /etc/passwd
tail เปนค าสงทคลายกบค าสง head ใชแสดงเนอหาสวนทายของไฟล (โดยคาตงตนจะแสดง 10 บรรทดสดทาย) นอกจากนผใชสามารถใชค าสง tail เพอเฝาดไฟลทมการเปลยนแปลงตลอดเวลาเชน Log file เปนตน สามารถใชงานค าสงโดยมรปแบบคอ tail [option] [filename] มตวอยางการใชงานดงน
ตารางท 4 (7-2) ค าสง tail
ค าสง ความหมาย
tail /etc/passwd แสดง 10 บรรทดสดทายของไฟล /etc/passwd
tail -c10 /etc/passwd แสดง 10 ไบตสดทายของไฟล /etc/passwd
tail -f file.log แสดง 10 บรรทดสดทายขณะทไฟลมการเปลยนแปลง
tail -n5 /etc/passwd แสดง 5 บรรทดสดทายของไฟล /etc/passwd
more และ less ทงสองเปนค าสงทใชแสดงเนอหาของไฟลทละหนาจอ มประโยชนมากหากไฟลนนมความยาวเกนกวาทจะแสดงไดในหนาจอเดยว ค าสง less พฒนาเพมเตมจากค าสง more จงมความสามารถมากกวา เชน แสดงขอความไดโดยไมตองรอใหระบบปฏบตการโหลดทงไฟลไปไวทหนวยความจ าเปนตน สามารถใชค าสงโดยมรปแบบ more [filename] และ less [filename] เชน more /etc/passwd
79
echo เปนค าสงทใชแสดงขอความทพมพเขาไปในเครองคอมพวเตอรออกทางหนาจอ เชน หากตองการแสดงค าวา “hello world” ออกทางหนาจอสามารถใชงานค าสงโดยมรปแบบคอ echo [option] [text] มตวอยางการใชงานดงน
ตารางท 5 (7-3) ค าสง echo
ค าสง ความหมาย
echo “hello world” แสดงขอความ hello world ทางหนาจอ เมอแสดงขอความแลวจะขนบรรทดใหม
echo -n “hello world” ไมตองขนบรรทดใหมเมอแสดงขอความ hello world จบ
echo -e “hello \tworld” อนญาตใหใช Escape Character (ตวอกษรพเศษทท าใหตวอกษรทตามมามความหมายอน สวนใหญมกใชตวอกษรพเศษคอ \ ) เชน \t หมายถง เลอนต าแหนงไปทางขวา 1 ยอหนา \n หมายถง ขนบรรทดใหม \\ หมายถง เตมเครองหมาย \ \” หมายถง เตมเครองหมาย “ เปนตน
cat ค าสง cat แสดงเนอหาทงหมดของไฟลทระบ สามารถใชงานค าสงโดยมรปแบบการใชงานคอ cat [option] [file] มตวอยางการใชงานดงน
ตารางท 6 (7-4) ค าสง cat
ค าสง ความหมาย
cat /etc/passwd แสดงเนอหาทงหมดของไฟล /etc/passwd
cat -b /etc/passwd แสดงเนอหาทงหมดของไฟลโดยจะแสดงเลขบรรทดซงไมนบรวมบรรทดวาง
cat -n /etc/passwd แสดงเนอหาทงหมดของไฟลโดยจะแสดงเลข
80
ค าสง ความหมาย
บรรทดซงนบรวมบรรทดวางดวย
cat -E /etc/passwd แสดงค าสดทายของแตละบรรทดของเนอหาในไฟล
Pipe สญลกษณ “|” เรยกวา Pipe ท าหนาทน าผลลพธของค าสงแรกไปเปนขอมลน าเขาของค าสงทสอง ยกตวอยางเชน หากผใชตองการแสดงเลขบรรทด เนอหาของไฟล /etc/passwd ทละหนาจอสามารถใชโปแกรม cat รวมกบค าสง more ไดเชน cat -n /etc/passwd | more เปนตน
wc ค าสง wc ใชในการนบจ านวนค า จ านวนบรรทด หรอ จ านวนไบต ของไฟลทระบ สามารถน าไปประยกตใชไดอยางกวางขวาง เชน หากตองการทราบจ านวนผใชภายในเครองคอมพวเตอรสามารถใชค าสงน เพอนบจ านวนบรรทดของไฟล /etc/passwd ได เปนตน สามารถใชค าสงโดยมรปแบบคอ wc [option] [filename] มตวอยางการใชงานดงน
ตารางท 7 (7-5) ค าสง wc
ค าสง ความหมาย
wc /etc/passwd แสดงจ านวนบรรทด จ านวนค า จ านวนไบต จากไฟล /etc/passwd
wc -l /etc/passwd แสดงจ านวนบรรทดของไฟล /etc/passwd
wc -w /etc/passwd แสดงจ านวนค าของไฟล /etc/passwd
wc -c /etc/passwd แสดงจ านวนไบตของไฟล /etc/passwd
81
Redirection หลายครงเมอผลลพธทไดจากการท างานของค าสงมความยาวมากท าใหไมสะดวกทจะอานทหนาจอ ระบบปฏบตการ UNIX จงมวธเปลยนการแสดงผลลพธใหไปยงทซงผใชตองการ เพอใชในการตรวจสอบภายหลง เชน อาจจะน าผลลพธมาเขยนเปนไฟล หรอจะใหพมพออกมาทางเครองพมพ เปนตน เรยกวธการเชนนว า Redirection ซงนอกจากจะเปลยนการแสดงผลลพธจากการท างานของค าสงไดแลว ยงสามารถใชเพอเปลยนวธน าขอมลเขาสค าสงไดดวย เชน สามารถก าหนดใหไฟลเปนขอมลน าเขาของค าสงไดแทนทจะน าเขาขอมลผานแปนพมพแบบทวไป เปนตน ในการใชงาน ผใชจะใชสญลกษณ “<” เพอแทนการเปลยนวธน าเขาขอมล และใช “>” แทนการเปลยนวธแสดงผลลพธ แตกอนจะเรมสาธตการใชงาน Redirection ผใชควรท าความเขาใจกบ Standard Streams เพอทราบหลกการท างานของค าสงในระบบ UNIX เบองตนกอน
Standard Streams
การไหลของขอมลจากทหนงไปยงอกทหนง เรยกวา Streams โดยทวไปการไหลของขอมลในระบบ UNIX ม 3 ประเภทดงรปท 17 (7-1) เรยกการไหลของขอมลเหลานวา Standard Streams ประกอบไปดวย
1. Standard Input (stdin) เปนขอมลทน าเขาสค าสง ซงโดยทวไปม Terminal (สวนทท าหนาทตดตอระหวางผใชกบคอมพวเตอร) เปนแปนพมพ ม File descriptor เปน 0
2. Standard Output (stdout) เปนผลลพธทไดจากการประมวลผลค าสง ซงโดยทวไปม Terminal เปน หนาจอคอมพวเตอร ม File descriptor เปน 1
3. Standard Error (stderr) เปนผลลพธทไดจากการประมวลผลค าสง เมอมการท างานผดพลาด ซงโดยทวไปม Terminal เปน หนาจอคอมพวเตอร ม File descriptor เปน 2
82
รปท 17 (7-1) Standard Streams [7-2]
ตรงจดนนาจะมผสงสยไมนอยเกยวกบ File descriptor ซงสามารถอธบายอยางงายคอ ในขณะทระบบปฏบตการ UNIX เปดไฟลทตองการใชงาน ระบบจะก าหนดคาตวเลขใหกบไฟลนน เพอใหค าสงตางๆ เรยกใชงานเมอตองการอานหรอเขยนขอมลในไฟลนน เลขทระบบปฏบตการก าหนดใหไฟลน เรยกวา File Descriptor โดยทวไประบบ UNIX จะเปดไฟลทงสามทกลาวไวขางตน เพอใหค าสงตางๆ เรยกใชงาน [7-3] ผใชสามารถใชงาน Redirection ไดดงน ตวอยาง การใชขอมลจากไฟลเปนขอมลน าเขา cat < /etc/passwd ค าสงนเปนการก าหนดใหไฟล /etc/passwd เปนขอมลน าเขาของค าสง cat ตวอยาง การเปลยนวธแสดงผลลพธทไดจากค าสงไปสไฟล echo “hello world” > sample1 ค าสงนเปนการก าหนดผลลพธของค าสง echo ไวทไฟล sample1 ตวอยาง การใชขอมลจากไฟลเปนขอมลน าเขา และเปลยนวธการแสดงผลลพธไปสไฟล cat < /etc/passwd > sample2 ค าสงนเปนการก าหนดใหไฟล /etc/password เปนขอมลน าเขาของค าสง cat และน าผลลพธเขยนลงในไฟล sample2
83
การใชงาน Redirection นนมประโยชนอยางมาก เพราะชวยใหผใชท างานไดสะดวกมากขน เชน ในบางกรณหากชดค าสงทใชงานเกดขอผดพลาด ผใชสามารถใช Redirection รวมกบ stdout และ stderr เพอเปลยนการแสดงผลขอความแจงขอผดพลาดมาเขยนลงไฟลดงรปท 18 (7-2)
รปท 18 (7-2) การใช Redirection กบ stdout และ stderr
• บรรทดแรกใชค าสง more x แตไมมไฟลดงกลาวอยในไดเรกทอรทระบ ดงนน ในบรรทดทสองระบบจงแจงขอผดพลาด
• ท าการเปลยนวธการแสดงผลลพธใหเขยนลงในไฟล sample3
• เมอสง cat sample3 พบวาไมมขอความใด ๆ ปรากฏ เนองจากในการสง more x ไมไดมผลลพธใน stdout นนเอง
• ท าการสง more x > sample3 2>&1
• ซงตวเลข 1 และ 2 คอ File descriptor ของ stdout และ stderr ตามล าดบ
• 2>&1 หมายความวา ใหระบบน าผลลพธของ stderr เกบไวทเดยวกนกบ stdout
• สง cat sample3 อกครงจะพบวามขอความแจงขอผดพลาดอยภายในไฟล
84
grep grep เปนค าสงทใชในการคนหารปแบบของขอความในไฟลหรอไดเรกทอร โดย grep จะอานขอมลในไฟลทละบรรทดมาเปรยบเทยบกบรปแบบทผใชก าหนด [7-4] ผใชสามารถใช grep โดยมรปแบบ grep [option] [PATTERN] [FILE] ไดโดยมรปแบบดงน
ตารางท 8 (7-6) ค าสง grep
ค าสง ความหมาย
grep “root” /etc/passwd คนหาขอความ “root” ในไฟล /etc/passwd หากพบจะแสดงขอความของบรรทดทพบและ highlight ขอความ ออกมาทหนาจอ
grep -n “root” /etc/passwd
คนหาขอความ “root” ในไฟล /etc/passwd หากพบจะแสดงขอความและหมายเลขของบรรทดทพบและ highlight ขอความ ออกมาทหนาจอ
grep -v “root” /etc/passwd highlight ขอความทไมตรงกบ “root” grep -i “ROOT” /etc/passwd
คนหารปแบบขอความโดยไมสนใจวาจะเปนตวพมพใหญหรอตวพมพเลก (case insensitive)
grep -A3 “root” /etc/passwd
-A[number] เปนการสงให grep แสดงขอความหลงพบรปแบบทตรงกบการคนหา เชน -A3 แสดง 3 บรรทดหลงบรรทดทพบ “root”
Regular Expression
grep รองรบ Regular Expression 3 ประเภท คอ Basic (BRE), Extended (ERE), Perl (PRCE) [7-5] ทงสามประเภทมวธใชแตกตางกน โดยท grep จะใช BRE เปนคาตงตน หากผใชตองการใช ERE หรอ PRCE สามารถใส option “-E” หรอ “-P” ตามล าดบ ผใชสามารถศกษา Regular Expression ไดจากแหลงขอมลในสวนอางอง หรอจากแหลงอนๆ เพมเตมไดในตารางตอไปน จะยกตวอยาง BRE ทใชบอย พรอมยกตวอยางวธใชงานรวมกบ grep โดยใชไฟล sample4 ซงม
85
ขอความ “abcdefghijklmnopqrstuvwxyz12345” อย
ตารางท 9 (7-7) ตวอยาง Regular Expression
สญลกษณ ค าอธบาย
. จด(.) หมายถง อกขระใดกได 1 อกขระ
ตวอยางการใชงานรวมกบ grep ค าสง: grep . sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345
[abc] เปน การประกาศกลมอกขระในตวอยาง grep จะน าอกขระทประกาศออกไปคนหาทละตวจนกวาจะครบนอกจะประกาศทละตวอกษร แลว ยงสามารถประกาศเปนชวงอกขระได เชน [a-c] จะประกอบเหมอนกบประกาศ [abc]
ตวอยางการใชงานรวมกบ grep ค าสง: grep [abc] sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345
[^abc] จากตวอยางอกขระทนอกเหนอจาก a,b,c จะถก grep น าไปใชในการคนหา
ตวอยางการใชงานรวมกบ grep ค าสง: grep [^abc] sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345
^ เปนสญลกษณ บอกถงอกขระแรกของบรรทด เชน หากตองการคนหาบรรทดทขนตนดวยตวอกษร a จะใชรปแบบ ^a
ตวอยางการใชงานรวมกบ grep ค าสง: grep ^a sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345
$ เปนสญลกษณ บอกถงอกขระสดทายของบรรทด เชน หากตองการคนหาบรรทดทจบดวยตวเลข5 จะใชรปแบบ 5$
86
สญลกษณ ค าอธบาย
ตวอยางการใชงานรวมกบ grep ค าสง: grep 5$ sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345
* ใชเมอตองการก าหนดปรมาณ โดย * มคาปรมาณคอ มากกวาหรอเทากบ 0
ตวอยางการใชงานรวมกบ grep ค าสง: grep abc.*j sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345
[[:alpha:]] ใชประกาศรปแบบกลมตวอกษรทงหมดไมวาจะอกษรใหญหรออกษรเลก เหมอนกบการประกาศรปแบบกลมอกษร [A-Za-z]
ตวอยางการใชงานรวมกบ grep ค าสง: grep [[:alpha:]] sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345
[[:alnum:]] ใชประกาศรปแบบกลมตวอกษรทงหมดไมวาจะอกษรใหญหรออกษรเลกและตวเลข เหมอนกบการประกาศรปแบบกลมอกษร [A-Za-z0-9]
ตวอยางการใชงานรวมกบ grep ค าสง: grep [[:alnum:]] sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345
[[:digit:]] ใชประกาศรปแบบกลมตวเลข เหมอนกบการประกาศรปแบบกลมอกษร [0-9]
ตวอยางการใชงานรวมกบ grep ค าสง: grep [[:digit:]] sample4 ผลลพธ: abcdefghijklmnopqrstuvwxyz12345
87
7.2 เอกสารอางอง [7-1] http://www.thaicert.or.th/papers/normal/2011/
pp2011no0003.html [7-2] http://en.wikipedia.org/wiki/File:Stdstreams-notitle.svg [7-3] http://www.livefirelabs.com/unix_tip_trick_shell_script/
june_2003/06092003.htm [7-4] http://www.regular-expressions.info/grep.html [7-5] http://www.gnu.org/s/grep/manual/html_node/Regular-
Expressions.html#Regular-Expressions
88
89
8. เพมความปลอดภยให SSH Server ดวย Key Authentication ผเรยบเรยง: เจษฎา ชางสสงข วนทเผยแพร: 21 พ.ย. 2554 ปรบปรงลาสด: 21 พ.ย. 2554 Secure Shell (SSH) คอ โพรโทคอล (Protocol) ทใชในการตดตอสอสารระหวางเครองคอมพวเตอรบนระบบเครอขายผานพอรท (Port) หมายเลข 22 ซงโพรโท-คอล SSH มวตถประสงคหลก เพอใหผใชงานสามารถเขาควบคมหรอสงการเครอง คอมพวเตอรทใหบรการ SSH ตามสทธของผใชงานซงไดมาจากการพสจนตวตนดวยการลอกอน (Login) ดวยการใชชอผใชและรหสผาน โดยผานชองทางการสอสารทมการรกษาความมนคงปลอดภยดวยการเขารหสลบ ขอมล (Encryption) ซงถกออกแบบมาเพอใชแทนทการสอสารขอมลบนระบบเครอขายทสงขอมลแบบไมไดเขารหสลบ (Plaintext) เชน Telnet, Rlogin หรอ FTP ปจจบนโพรโทคอล SSH มสองเวอรชนคอ SSH-1 และ SSH-2 (ถกพฒนาจาก SSH-1 เพอแกไขชองโหวหรอขอผดพลาดทท าใหผโจมตสามารถโจมตเขามายงเครองคอมพวเตอรทใหบรการ SSH ได [8-1]) การท างานของโพรโทคอล SSH จะท างานในลกษณะไคลเอนตและเซรฟเวอร (Client-Server) โดยรปแบบการใชงานจะประกอบไปดวยโปรแกรม 2 สวนคอ โปรแกรมสวนทท าหนาทเปนเครองทใหบรการ (Server) จะถกตดตงลงทเครองคอมพวเตอรทตองการใหบรการ SSH เชน โปรแกรม OpenSSH-Server บนระบบปฏบตการ Linux โดยสวนใหญแลวเครองคอมพวเตอรทตดตงโปรแกรมทใหบรการ SSH จะตดตงเพออ านวยความสะดวกแกผใชงานรวมกบบรการอนๆ ควบคไป เชน บรการเวบเซรฟเวอร หรอบรการอพโหลดไฟล เปนตน และโปรแกรมอกสวนจะท าหนาทเปนผเชอมตอ (Client) ไปยงเครองคอมพวเตอรทใหบรการ SSH เชน โปรแกรม PuTTY [8-2] บนระบบปฏบตการ Windows หรอ
90
โปรแกรม OpenSSH-Client บนระบบปฏบตการ Linux ถงแมโพรโทคอล SSH จะมขอดในเรองของการรกษาความมนคงปลอดภยโดยมการเขารหสลบขอมล และมการลอกอนกอนการเขาใชงาน แตกยงพบวามโอกาสสงทจะถกโจมตจากผไมหวงด เนองจากผลลพธและความส าเรจในการเขาโจมตอาจหมายถงการไดรบสทธในการเขาควบคมและสงการเครองคอมพวเตอรทใหบรการนนทนท โดยลกษณะการโจมตทเกดขนมกจะมาจากการใชเทคนคในการเขาโจมตท เครองคอมพวเตอรทใหบรการโดยตรง เชน การโจมตดวยวธการสมรหสผาน (Brute-force) เพอพยายามเขาสระบบเครองคอมพวเตอรทใหบรการ SSH ซงหากผใชงานหรอผดแลระบบตงคารหสผานในการลอกอนงายเกนไปกจะท าใหโอกาสในการโจมตส าเรจงายมากขน โดยแนวทางในการปองกนทไดผลลพธดทสด คอ การรทนการโจมตและรวธในการปองกนการโจมตดงกลาว ซงหนงในวธการปองกนทผดแลระบบสวนใหญนยมใช และจะกลาวถงในบทความน คอ การเปลยนวธการลอกอนจากวธการปกตทใชรหสผาน เปนการใชเทคนคการใชคกญแจ (Key Authentication) [8-3] ซงเปนรปแบบการเขารหสแบบอสมมาตร (Asymmetric-key cryptography) โดยมการสรางคกญแจ ซงจะประกอบไปดวยกญแจสาธารณะ (Public Key) และ กญแจสวนตว (Private Key) มหลกการท างานคอ ถาใชกญแจ A ในการเขารหสลบ จะตองใชกญแจ B ในการถอดรหสลบ โดยการเขารหสและถอดรหสด งกล าวจะใชฟ งกชนทางคณตศาสตร เข ามาชวย [8-4] ซงการใชหลกการดงกลาวในการพสจนตวตนของผ ใชงานกบเครอง คอมพวเตอรทใหบรการ SSH จะชวยปองกนการโจมตดวยวธการ Brute-force จากผโจมตได และยงสามารถเพมความมนคงปลอดภยจากการใชงาน Key Authentication ไดโดยการเขารหสลบ Private key ดวยรหสผานอกขนตอนหนง เพอปองกนบคคลอนน ากญแจดงกลาวไปใชงาน ซงวธการใชงาน SSH ดวยวธการ Key Authentication สามารถอธบายไดดงน
91
8.1 วธการใชงาน Secure Shell (SSH) ดวย Key Authentication ส าหรบการเรมตนใชงาน Key Authentication บนโพรโทคอล SSH ผใชงานจะตองสราง Public Key และ Private Key โดย Public Key จะถกเกบไวทเครองคอมพวเตอรทใหบรการ SSH สวน Private Key จะเกบไวทเครองผใชงาน ซงจากขอมลดงกลาวแสดงใหเหนวา Private Key ควรจะตองไดรบการดแลรกษาทดจากผใชงาน เนองจากเปนสวนส าคญในการลอกอนเขาไปยงระบบ หากผอนได Private Key ไปแลวอาจท าใหผอนสามารถเขาถงบรการ SSH ไดโดยงาย
ตวอยางการใชงาน SSH Key Authentication
จ าลองระบบดงน
เครองผใชงานฝงไคลเอนต : • ใชระบบปฏบตการ Ubuntu 11.04
• โปรแกรมทใชคอ OpenSSH-Client
เครองคอมพวเตอรทใหบรการ SSH : • ใชระบบปฏบตการ Ubuntu Server 11.04
• โปรแกรมทใชคอ OpenSSH-Server • IP Address เปน 10.10.10.10
• ม Account ของผใชเปน user01 และม Home directory เปน /home/user01 ( สามารถเขยนแทนดวยเครองหมาย “~” )
หมายเหต: ค าสงการใชงาน SSH อาจมความแตกตางกนตามโปรแกรมทใชงาน ซงในทนจะใชค าสงของโปรแกรม OpenSSH [8-5]
92
1. สราง Key Pair ทเครองของผใชงาน ท าการสราง Key Pair เพอจะได Public Key และ Private Key
1.1 ใชค าสง ssh-keygen ดวยรปแบบดงน
ssh-keygen [-b bits] -t type [-f output_keyfile]
[-b bits] เปนการระบขนาดบตของ Key ทสราง หากไมมการก าหนดโปรแกรมจะใชคาตงตนคอ 2048 บต
-t เปนการก าหนดรปแบบของ Key โดยคาทเปนไปไดคอ rsa1 เปนการก าหนดโพรโทคอล RSA Version 1 rsa และ dsa เปนการก าหนดโพรโทคอล RSA และ DSA Version 2 ตามล าดบ
[-f output_keyfile] เปนการก าหนดชอ ไฟลของ Key ทสราง โดยผใชงานสามารถระบไดเรกทอรทตองการเกบ Key ลงไปดวยได หากไมไดก าหนด โปรแกรมจะสราง Key ไวทไดเรกทอร ~/.ssh/ โดยจะสราง Private Key เปนไฟลชอ id_rsa และสราง Public Key เปนไฟลชอ id_rsa.pub
พมพค าสงดงน ssh-keygen -t rsa -b 1024 -f ~/.ssh/user01-key จากค าสงขางตนจะเปนการสราง Key Pair ชนด RSA Version 2 มขนาด 1024 บต และถกสรางไวทไดเรกทอร ~/.ssh/ ซงจะปรากฏไฟล user01-key และ user01-key.pub 1.2 หลงจากพมพค าสงแลวกดปม Enter จากนนโปรแกรมจะใหใสคา Passphrase หรอรหสผานทใชในการเขารหสลบเพอปองกนการใชงาน Private Key จากผไมหวงด ซงทกครงทมการใชงาน Private Key จะตองใส Passphrase
93
นเพอปลดลอคจงจะใชงานได โดยผลลพธทไดหลงจากการใชค าสงจะพบวามไฟล user01-key (Private Key) และ user01-key.pub (Public Key) อยท /home/user01/ หรอ ~/ 1.3 เมอสราง Key เสรจ ควรปรบปรงสทธในการเขาถง Key เชนก าหนดสทธใหผใชงานสามารถอานและเขยน Private Key ไดเทานน และก าหนดสทธใหผใชอน สามารถอาน Public Key ไดอยางเดยว ค าสงในการตงคาสทธใหผใชงานเทานนทสามารถอานและเขยน Private Key ไดมดงน chmod 600 user01-key ค าสงในการตงคาสทธใหผอนสามารถอาน Public Key ไดอยางเดยวมดงน chmod 644 user01-key.pub ตวอยางค าสงการสราง Key user01@test:/home/user01$ ssh-keygen -t rsa -b 1024 -f ~/.ssh/user01-key Generating public/private rsa key pair. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/user01/.ssh/user01-key. Your public key has been saved in /home/user01/.ssh/user01-key.pub. The key fingerprint is: 48:34:5a:68:a0:77:a1:3e:b8:55:20:25:51:8c:f5:fe user01@test หากตองการเปลยน Passphrase สามารถท าไดโดยใชค าสง ssh-keygen โดยก าหนดพารามเตอร -p และระบต าแหนงของ Private Key ดวยพารามเตอร -f ตวอยางค าสงการเปลยน Passphrase ทลอกการใชงาน Private Key
94
user01@test:/home/user01$ ssh-keygen -p -f /home/user01/.ssh/user01-key Enter old passphrase: Key has comment '/home/user01/.ssh/user01-key' Enter new passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved with the new passphrase.
2. คดลอก Public Key ไปยงเครองคอมพวเตอรทใหบรการ SSH
2.1 คดลอก Public Key ไปยงเครองคอมพวเตอรทใหบรการ SSH ดวยค าสง
scp ~/.ssh/user01-key.pub [email protected]
หมายเหต: ค าสง scp (Secure copy) เปนค าสงในการคดลอกไฟลไปยงเครองคอมพวเตอรปลายทาง โดยขอมลทสงจะผานชองทางทมการเขารหสล บ ซงความหมายของค าสงขางตนคอการคดลอกไฟลชอ user01-key.pub ทอยใน ~/.ssh/ ไปท /home/user01/ ของเครองคอมพวเตอรปลายทางทม IP Address 10.10.10.10
2.2 ใหผใชงานลอกอนเขาไปยงเซรฟเวอรทใหบรการ SSH จากนนท าการยาย Public Key ของตน ไปไวทไดเรกทอร ~/.ssh/ แลวเปลยนชอจาก user01-key.pub เปน authorized_keys ดวยค าสงดงน
mv user01-key.pub ~/.ssh/authorized_keys
หมายเหต: การเพม Public Key มากกวา 1 key เขาไปยงระบบของผใชงาน สามารถท าไดโดยการน า Public Key ใหมมาตอทายเนอหาในไฟล authorized_keys ดวยค าสง
cat ~/user01-key2.pub >> ~/.ssh/authorized_keys
95
2.3 ก าหนดสทธในการเขาถง Public Key ใหเหมาะสม เชน ก าหนดใหผอนสามารถอานไฟลไดเทานน ดวยค าสง chmod 644 authorized_keys
3. ตงคาการเชอมตอของโปรแกรม OpenSSH-Client การตงคาการเชอมตอของโปรแกรม OpenSSH-Client ทเครองผใชงาน ท าใหเกดความสะดวกในการเรยกค าสงในการเชอมตอไปยงเครองคอมพวเตอร ทใหบรการ SSH โดยผใชงานสามารถก าหนดคาเบองตนในการเชอมตอ เชน ต าแหนงของ Private Key หรอ IP Address ของเครองคอมพวเตอรทใหบรการ SSH ซงท าไดโดยการสรางไฟลชอ config ไวทไดเรกทอร ~/.ssh ของผใช จากนนก าหนดคาดงตวอยางลงในไฟล Host server Hostname 10.10.10.10 User user01 IdentitiesOnly yes IdentityFile ~/.ssh/user01-key จากการตงคาขางตน เปนการก าหนดชอทใชแทนการตงคาเพอใชเขาถงเครองปลายทาง โดยท:
• Hostname คอการก าหนดชอหรอ IP Address ทระบทอยของเครองคอมพวเตอรทใหบรการ SSH
• User คอการก าหนดชอผใชงานทจะใช ลอกอนไปยงเครองคอมพวเตอรทใหบรการ SSH
• IdentityFile เปนการก าหนดทอยของ Private Key จากนนผใชงานสามารถทดสอบการเชอมตอไปยงเครองคอมพวเตอรทใหบรการ SSH ไดดวยค าสง ssh server ตวอยางการใชงานค าสง ssh-server user01@test:/home/user01/.shh# ssh server
96
Enter passphrase for key 'user01-key': ซงหลงจากการใชค าสงแลว ระบบจะใหใส Passphrase ของ Private Key ในกรณทไมไดตงคาการเชอมตอในไฟล config ผใชงานสามารถก าหนดการเขาถงเครองคอมพวเตอรทใหบรการ SSH ไดโดยตรง ดวยรปแบบค าสงดงน
ssh [-i private_key_file] username@hostname
Option -i หมายถง การระบทอย Private Key ของผใชงาน
ตวอยางการใชงาน
ssh -i ~/.ssh/user01-key [email protected]
จากค าสงขางตน เปนการลอกอนไปยงเครองคอมพวเตอรทใหบรการ SSH โดยม IP Address เปน 10.10.10.10 ดวย account ของผใชงานชอ user01 และใช Private Key ทก าหนดไวทไฟล ~/.ssh/user01-key
4. ตงคาการท างานของโปรแกรม OpenSSH-server โดยปกตแลวโปรแกรม OpenSSH-Server จะมการก าหนดคาตงตนของโปรแกรมใหใชการลอกอนดวยรหสผาน ซงผดแลระบบสามารถปรบปรงการตงคาเพอใหสอดคลองกบการใชงาน Key Authentication ดวยการปรบแตงคาทไฟล /etc/ssh/sshd_config โดยมรายละเอยดดงน PasswordAuthentication no PubkeyAuthentication yes RSAAuthentication yes จากนน Restart โปรแกรม Openssh-server ดวยค าสง /etc/init.d/sshd restart
97
8.2 เอกสารอางอง [8-1] http://en.wikipedia.org/wiki/Secure_Shell [8-2] http://www.chiark.greenend.org.uk/~sgtatham/putty/ [8-3] http://en.wikipedia.org/wiki/Key_authentication [8-4] http://th.wikipedia.org/wiki/วทยาการเขารหสลบ [8-5] http://www.openssh.com/
98
99
9. เชอมตออยางปลอดภยดวย SSH Tunnel ผเรยบเรยง: วศลย ประสงคสข วนทเผยแพร: 29 พ.ย. 2554 ปรบปรงลาสด: 29 พ.ย. 2554 การใชงานอนเทอรเนตจากผใหบรการเครอขายไรสายสาธารณะ (Wi-Fi) หรอจาก ผใหบรการรานอนเทอรเนตคาเฟทวไป ลวนแลวแตเปนการเชอมตอบนเครอขายทไมปลอดภยและมความเสยงตอการถกผไมหวงด หรออาจหมายถงผใหบรการเองในการลกลอบขโมยขอมลการใชงานของผใชบนเครอขายนนๆ เชน การดกจบขอมลรหสผานทผใชสงผานเครอขายไรสายสาธารณะ เปนตน ซงในเวลาตอมาไดมการพฒนารปแบบการเชอมตอทมความสามารถในการท าใหการเขาใชงานระบบบนเครอขายใดๆ มการรกษาความปลอดภยในการรบสงขอมล โดยหนงในวธทผดแลระบบสามารถน ามาประยกตและปรบใชในการท างาน เพอท าใหการรบสงขอมลบนเครอขายมความปลอดภยคอ การสรางชองทางการรบสงขอมลเฉพาะทเรยกวา Tunnel ผานโพรโทคอล SSH (Secure Shell) ทมรปแบบการสอสารทมมาตรการรกษาความปลอดภยของขอมลดวยการเขารหสลบขอมล โดย SSH Tunnel มชอเรยกอกชอหนงวา SSH Port Forward เนองจากมการท างานลกษณะเดยวกบ Port Forward ซงใชก าหนดเสนทางการรบสงขอมลระหวางเครอขายภายนอก (WAN) กบเครอขายภายใน (LAN) โดยปกตการใชงาน Port Forward จะนยมใชในฟงกชนการท างานของอปกรณ Router เพอใหเครองคอมพวเตอรจากเครอขายอนเทอรเนตสามารถเชอมตอมายงเครอขายภายใน Router ดงกลาว โดยสามารถระบชองทางการเชอมตอแยกแตละ Port ไดดงรปท 19 (9-1)
100
รปท 19 (9-1) แสดงใหเหนถงเสนทางการรบสงขอมลเมอมการใชฟงกชน Port
Forward ในอปกรณ Router
รปแบบการสรางการเชอมตอของ SSH Tunnel สามารถท าได 2 แบบคอ Local Port Forward และ Remote Port Forward [20-1] ซงจะกลาวถงในหวขอถดไป โดยการใชงาน SSH Tunnel ผใชจะตองตดตงโปรแกรม SSH Client ลงในเครองคอมพวเตอร ซงในระบบปฏบตการลนกซสวนใหญ จะมการตดตงโปรแกรม OpenSSH-Client มาพรอมกบระบบอยแลว สวนในระบบปฏบตการวนโดวสผใชสามารถดาวนโหลดและตดตงโปรแกรมชอ PuTTY [20-2] ซงท างานในลกษณะ SSH Client เชนกน แตในบทความนจะขอแสดงวธการท า SSH Tunnel โดยใชโปรแกรม OpenSSH-Client
9.1 การท า Local Port Forward และ Remote Port Forward จ าลองระบบดงน
เครอขาย คอมพวเตอร Web Server SSH Server SSH Client A Com1 / /
Com2 / / / B Com3 / /
Com4 / /
101
หมายเหต 1. คอมพวเตอรภายในเครอขายเดยวกนสามารถเชอมตอกนได 2. Com2 และ Com3 เชอมตอกนไดผานอนเทอรเนต
รปท 20 (9-2) สภาพแวดลอมของระบบ
1. Local Port Forward หรอเรยกอกชอหนงวา Outgoing Tunnels เปนการก าหนดชองทางการเชอมตอจากเครอขายตนทางไปยงเครอขายปลายทางผาน Port ทก าหนด ใชเมอตองการใหเครองคอมพวเตอรทอยในเครอขายตนทางสามารถเชอมตอผาน Tunnel ไปยงเครองคอมพวเตอรทอยในเครอขายปลายทาง โดยเครองคอมพวเตอรทใชสราง Tunnel หรอเครองคอมพวเตอรตนทางจะตองเชอมตอและยนยนสทธผานเครอง SSH Server ทเครอขายปลายทาง และก าหนดคา Port ทจะเชอมระหวางเครอขายทงสองผใชสามารถท า Local Port Forward ไดโดยใชค าสงซงมรปแบบดงน
ssh -L local_listen_port:destination_host:destination_port user@hostname โดยท
สญลกษณ ความหมาย
-L ก าหนดใหเครอง SSH Server ท า Local Port Forward
local_listen_port ก าหนดใหเครอง SSH Server ทราบวาหากมการเชอมตอ
102
สญลกษณ ความหมาย
เขามาท Port ทก าหนด ใหสงตอไปยง destination_port ของเครองเปาหมาย
destination_host ก าหนดใหเครอง SSH Server ทราบวาเครองคอมพวเตอรเครองใดเปนเครองเปาหมายของผใช
destination_port ก าหนดใหเครองใหบรการ SSH ทราบวาผใชตองการสงตอการเชอมตอเขาส Port ใดของเครองเปาหมาย
user@hostname ชอผใชและเครอง SSH Server ทใชงาน
ตวอยางการใชงาน Local Port Forward
ในกรณผใชอยท Com2 ตองการเขาถง Web Server (Port 80) ของเครอง Com3 สามารถใชค าสงไดดงน
ssh -L 8080:164.115.4.3:80 [email protected]
ค าสงนหมายความวาใหใชสทธของ user1 บน SSH Server (Com3) เพอสงตอการเชอมตอจาก Port 8080 ของเครอง Com2 ไปยง Port 80 ของเครอง Com3 สามารถแสดงแบบจ าลองการเชอมตอไดดงรปท 21 (9-3) ผใชสามารถเขาถงเวบไซตของ Com3 ไดโดยพมพ URL: http://164.115.4.3:8080 ทเวบเบราวเซอร (web browser)
รปท 21 (9-3) แบบจ าลองการเชอมตอจากค าสง ssh -L 8080:164.115.4.3:80 [email protected]
ในกรณผใชอยท Com2 ตองการเขาถง Web Server ของเครอง Com4 สามารถ
103
ใชค าสงไดดงน
ssh -L 8080:172.24.1.5:80 [email protected]
ค าสงนหมายความวาใหใชสทธของ user1 บน SSH Server (Com3) เพอสงตอการเชอมตอจาก Port 8080 ของเครอง Com2 ไปยง Port 80 ของเครอง Com4 สามารถแสดงแบบจ าลองการเชอมตอไดดงรปท 22 (9-4) ผใชสามารถเขาถงเวบไซตของ Com4 ไดโดยพมพ URL: http://164.115.4.3:8080 ทเวบเบราวเซอร (web browser)
รปท 22 (9-4) แบบจ าลองการเชอมตอจากค าสง ssh -L 8080:172.25.1.5:80 [email protected]
2. Remote Port Forward หรอเรยกอกชอหนงวา Incoming Tunnels มการท างานและวตถประสงคทตรงขามกบ Local Port Forward กลาวคอเปนการก าหนดชองทางการเชอมตอจากเครอขายปลายทางกลบมายงเครอขายตนทางผาน Port ทก าหนด ใชเมอตองการใหเครองคอมพวเตอรทอยในเครอขายปลายทางสามารถเชอมตอผาน Tunnel กลบมายงเครองคอมพวเตอรทอยในเครอขายตนทาง โดยเครองคอมพวเตอรทใชสราง Tunnel หรอเครองคอมพวเตอรตนทางจะตองเชอมตอและยนยนสทธผานเครอง SSH Server ทเครอขายปลายทาง และก าหนดคา Port ทจะเชอมระหวางเครอขายทงสอง ผใชสามารถท า Remote Port Forward ไดโดยใชค าสงซงมรปแบบดงน
104
ssh -R remote_listen_port:destination_host:destination_port user@hostname โดยท
สญลกษณ ความหมาย
- R ก าหนดใหเครอง SSH Server ท า Remote Port Forward
remote_listen_port ก าหนดใหเครอง SSH Server ทราบวาหากมการเชอมตอเขามาท Port ทก าหนดใหสงตอไปยง destination_port ของเครองเปาหมาย
destination_host ก าหนดใหเครอง SSH Server ทราบวาเครองคอมพวเตอรเครองใดเปนเครองเปาหมายของผใช
destination_port ก าหนดใหเครอง SSH Server ทราบวาหากมการเชอมตอเขามาท Port น ใหสงตอการเชอมตอไปยง remote_listen_port
user@hostname ชอผใชและเครอง SSH Server ทใชงาน
ตวอยางการใชงาน Remote Port Forward
ในกรณผใชตองการแสดงหนาเวบไซตภายใน Web Server ของ Com2 ใหบคคล ภายนอกเครอขาย A เหน ผใชสามารถใชค าสงตอไปนท Com2 ได
ssh -R 8080:122.248.233.17:80 [email protected]
โดยค าสงนเปนการบอกให SSH Server (Com3) ทราบวาหากมการตดตอเขามาท Port 8080 ใหท าการสงตอการเชอมตอไปยง Port 80 ของเครอง Com2 สามารถแสดงแบบจ าลองการเชอมตอไดดงรปท 23 (9-5)
105
รปท 23 (9-5) แบบจ าลองการเชอมตอจากค าสง ssh -R 8080:122.248.233.17:80 [email protected]
ในกรณผใชตองการแสดงหนาเวบไซตภายใน Web Server ของ Com1 ใหบคคล ภายนอกเครอขาย A เหน ผใชสามารถใชค าสงตอไปนท Com2 ได
ssh -R 8080:192.168.1.5:80 [email protected]
โดยค าสงนเปนการบอกให SSH Server (Com3) ทราบวาหากมการตดตอเขามาท Port 8080 ใหท าการสงตอการเชอมตอไปยง Port 80 ของเครอง Com1 สามารถแสดงแบบจ าลองการเชอมตอไดดงรปท 24 (9-6)
รปท 24 (9-6) แบบจ าลองการเชอมตอจากค าสง ssh -R 8080:192.168.1.5:80 [email protected]
จะเหนไดวา การเชอมตอผาน SSH Tunnel สามารถท าไดงายและท าใหการรบสงขอมลมความมนคงปลอดภย แตอยางไรกตามการใชงาน SSH Tunnel ควรมการ
106
ก าหนดการเขาใชอยางระมดระวง เนองจากการเชอมตอผาน SSH ผเชอมตอจะไดรบสทธของผใชในระบบของเครองปลายทาง ซงหากสทธการใชงานดงกลาวถกก าหนดไวแบบไมระมดระวง กอาจเกดความเสยหายตอระบบไดหากผไมหวงดสามารถลวงรขอมลทใชใน การเชอมตอเขาส SSH Server เชน หมายเลข IP, Username หรอ Password
9.2 เอกสารอางอง [9-1] http://www.debianadmin.com/howto-use-ssh-local-and-
remote-port-forwarding.html [9-2] http://www.chiark.greenend.org.uk/~sgtatham/putty/
download.html
107
รทนภยคกคาม
108
109
10. ชองโหวของ Apache HTTPD 1.3/2.X Range Header (CVE-2011-3192)
ผเรยบเรยง: สรณนท จวะสรตน วนทประกาศ: 1 ก.ย. 2554 ปรบปรงลาสด: 1 ก.ย. 2554
ประเภทภยคกคาม: DoS (Denial-of-Service)
10.1 ขอมลทวไป
พบชองโหวของซอฟตแวรเครองแมขายเวบ Apache ในเวอรชน 1.3 และ 2.X ซงชองโหวนสามารถถกโจมตจากผใดกตามทสามารถเรยกใชบรการเวบในลกษณะ HTTP-based Range [10-1] ซงจะท าใหเครองแมขายเกดการใชงาน CPU และ Memory ทสงผดปกตจนกระทงเครองแมขายเวบไมสามารถใหบรการตอไปได และเกดสภาวะหยดการท างาน (Denial-of-Service) จากการวเคราะหชองโหว พบวาสาเหตของปญหานาจะเกด 2 สาเหต คอ ความบกพรองในการบรหารจดการการใชทรพยากรของเครองแมขายของซอฟตแวร Apache เอง และความบกพรองในสวนของการออกแบบโปรโตคอล HTTP ทยอมรบการ Request ในลกษณะ Byte serving ไดพรอมๆ กนหลายๆ ชวงของขอมล [10-1] [10-2] โดยไมไดก าหนดขอหามในการเรยกใชชวงขอมลทมลกษณะซอนทบ (Overlap) กน ซงเปนชองทางใหผใชเรยกใชซอฟตแวร Apache เพออานขอมลพรอมๆ กนหลายครงๆ ไดโดยงาย จนกระทงทรพยากรในเครองแมขายถก Process Apache ใชงานจนหมด
10.2 ผลกระทบ
ท าใหเครองแมขายเกดการใชงาน CPU และ Memory สงจนกระทงเกดสภาวะหยดการท างาน (Denial-of-Service)
110
10.3 วธการแกไข
ผดแลระบบเครองแมขายเวบ Apache ทไดรบผลกระทบจากชองโหวน สามารถเลอกวธในการแกไข/บรรเทาปญหาไดตามขอเสนอตางๆ [10-1] [10-2] [10-3] ดงน
1. ด าเนนการปรบปรงซอฟตแวร Apache ใหเปนเวอรชน 2.2.20 หรอใหมกวา
2. หากไมสามารถปรบปรงซอฟตแวรใหเปนเวอรชนทปรบปรงแกไขชองโหวนไดแลว ใหพจารณาวธการดงตอไปน
2.1. ส าหรบ Apache 2.0 และ 2.2 ใหจ ากด Request Range Header ใหมความยาวไมเกน 5 ชวง โดยสามารถก าหนดคา Configuration ของซอฟตแวร Apache ดงตอไปน # Drop the Range header when more than 5 ranges. # CVE-2011-3192 SetEnvIf Range (,.*?){5,} bad-range=1 RequestHeader unset Range env=bad-range # optional logging. CustomLog logs/range-CVE-2011-3192.log common env=bad-range Configuration น จะปฏเสธ Request Range Header ทมจ านวนมากกวา 5 ชวงขนไป โดยระบบจะด าเนนการบนทก Log ของการ Request น ลงใน [Apache Log Path]/logs/range-CVE-2011-3192.log เพอน าขอมลไปตรวจสอบดภายหลงได (สามารถแกไข path ไดตามความเหมาะสม) 2.2 ส าหรบ Apache 1.3 จ าเปนตองอาศยวธการจ ากด Request Range Header ใหมจ านวนไมเกน 5 ชวง ดวย mod rewrite โดยใช configuration ดงตอไปน # Reject request when more than 5 ranges in the Range: header. # CVE-2011-3192
111
# RewriteEngine on RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$) RewriteRule .* - [F] ซงวธการท างานจะคลายกบ 2.1 แตระบบจะไมสามารถบนทก Log ของ Request Range ทเกน 5 ชวงขอมลเอาไวได หมายเหต วธการจ ากดจ านวน Request Range ทก าหนดไวเปน 5 ชวง ใน configuration ขางตน อาจเปลยนแปลงไดตามความเหมาะสม เพราะ application บางชนด เชน e-book reader หรอ video streaming player อาจมการใชงาน http range request ทซบซอน ซงตองการการก าหนดคา range มากกวา 5 ชวง หากก าหนดคา range ไวต าเกนไป อาจท าให application ดงกลาว มปญหาในการใชงานได 3. ส าหรบวธการทางเลอกอน นอกเหนอการจ ากดจ านวน Request Range คอการจ ากดความยาวของ HTTP Request Header ใหมขนาดเหมาะสม เชน
LimitRequestFieldSize 200
เปน การจ ากดความยาวของ header ใหไมเกน 200 bytes แตอาจมผลกระทบกบ Header อนๆ ทมขนาดใหญ เชน cookie ได หรอยกเลก Byte Range Request ดวย mod headers โดยตง configuration ดงน
RequestHeader unset Range
10.4 แหลงขอมลอนๆ ทเกยวของ 1. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-
3192
2. http://www.kb.cert.org/vuls/id/405811
112
3. http://blog.spiderlabs.com/2011/08/mitigation-of-apache-range-header-dos-attack.html
4. http://www.apache.org/dist/httpd/CHANGES_2.2.20
10.5 เอกสารอางอง [10-1] http://en.wikipedia.org/wiki/Byte_serving
[10-2] http://tools.ietf.org/html/rfc2616#section-14.35
[10-3] https://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%[email protected]%3E
113
11. เซรฟเวอรในโครงการ Kernel.org ถกเจาะระบบ ผเรยบเรยง: เสฏฐวฒ แสนนาม วนทประกาศ: 6 ก.ย. 2554 ปรบปรงลาสด: 6 ก.ย. 2554
ประเภทภยคกคาม: Intrusion
11.1 ขอมลทวไป
ทมงาน Kernel.org ซงเปนหนวยงานทดแล Linux Kernel ไดรายงานวา เซรฟเวอรจ านวนหลายเครองทใชในการดแลและแจกจายซอรสโคดของระบบ ปฏบตการ Linux ถกเจาะระบบและใชสทธของ root เพอฝง Malware [11-1] การโจมตครงนถกตรวจพบ เมอวนท 28 สงหาคม 2554 ทมงานพบวาระบบถกโจมตกอนวนท 12 สงหาคม 2554 ผบกรกเขาสเครองเซรฟเวอรทชอ Hera ดวย บญชผใชทขโมยมา และเปลยนสทธของผใชใหเปนสทธของผดแลระบบ (root) ซงวธการทใชในการเปลยนสทธนนยงอยระหวางการวเคราะห หลงจากไดรบสทธของ root แลวผบกรกกไดแกไขไฟลทเกยวของกบการก าหนดคา ssh (เชน openssh, openssh-server และ openssh-clients) ของเครองแมขายของ kernel.org แลวท าการฝงโทรจนไวเพอใหท างานทกครงทเรมระบบ ในขณะน ทางทมงาน Kernel.org ไดท าการปดระบบลงทงหมด เพอท าการส ารองขอมลและตรวจสอบขอมลการโจมต หลงจากนน จะท าการตดตงระบบปฏบตการใหมทงหมด [11-2] [11-3]
114
11.2 ผลกระทบ
ผใชทดาวนโหลดซอรสโคดของ Linux จาก Kernel.org ตงแตวนท 12 สงหาคม 2554 อาจไดรบไฟลทถกปลอมแปลงเพอสรางความเสยหายได
11.3 ระบบทมผลกระทบ
Linux Kernel เวอรชนทพฒนาหลงจาก วนท 12 สงหาคม ถง วนท 28 สงหาคม 2554 (Kernel รน 3.0.2 - 3.0.3)
11.4 วธการแกไข
ตรวจสอบลายเซน GPG จากซอรสโคดทดาวนโหลดมาจาก Kernel.org เนองจากไฟลอาจถกปลอมแปลงได [4-4]
11.5 เอกสารอางอง [11-1] http://www.kernel.org/ [11-2] http://www.theregister.co.uk/2011/08/31/linux_kernel_
security_breach/ [11-3] http://php.webtutor.pl/en/2011/09/01/kernel-org-has-
been-hacked/ [11-4] http://kernel.org/signature.html
115
12. ระวงภย แฮกเกอรออกใบรบรองปลอมของ Google, Yahoo!, Mozilla และอนๆ ผเรยบเรยง: เสฏฐวฒ แสนนาม วนทประกาศ: 2 ก.ย. 2554 ปรบปรงลาสด: 7 ก.ย. 2554
ประเภทภยคกคาม: Fraud
12.1 ขอมลทวไป ใบรบรอง SSL (SSL Certificate) ใชในการยนยนเครองใหบรการเวบ ท าใหผใชสามารถมนใจไดวาเครองใหบรการทตดตอดวยนนเปน เครองทอางถงจรง การใชใบรบรองเปนการรบรองความมนคงปลอดภยของขอมลทรบ -สงระหวาง เครองใหบรการและเครองใชบรการดวยการเขารหสลบขอมล (Encryption) โดยปกตเมอผใชเขาสเวบไซตทมการเชอมตอแบบ SSL (Secure Socket Layer) ทมใบรบรองอยางถกตอง เบราวเซอรจะแสดงไอคอนรปแมกญแจ และในสวนของ Address Bar จะแสดงทอยเวบไซตเปน https:// ถาเวบไซตทใชใบรบรองไมถกตองเบราวเซอรจะแสดงหนาจอ เพอแจงเตอนวาการรบสงขอมลนไมมนคง ปลอดภย [12-1] [12-2] [12-3] ในชวงปลายเดอนสงหาคมทผานมา พบวามใบรบรองปลอมของเวบไซตในเครอของ Google เผยแพรอยในอนเทอรเนต ซงผทมใบรบรองนสามารถสรางเวบไซตปลอมเพอหลอกวาเปนเวบไซตของ Google ไดโดยทเบราวเซอรไมสามารถตรวจสอบไดวาใบรบรองของเวบไซต Google นเปนของปลอม ใบรบรองปลอมนพบวาไดสรางขนเมอวนท 10 กรกฎาคม 2554 โดย DigiNotar
116
ซงเปนผใหบรการออกใบรบรองอเลกทรอนกสในประเทศเนเธอรแลนด ทาง DigiNotar แจงผานหนาเวบไซตวาการออกใบรบรองปลอมนเกดจากการถกเจาะระบบทใช ในการออกใบรบรอง นอกจากนยงพบวา ผทปลอมใบรบรองน ไดสรางใบรบรองปลอมใหกบโดเมนตางๆ นอกจาก *.google.com อกดวย เชน โดเมนในเครอของ Yahoo!, Mozilla, Wordpress และ Tor Project ปจจบนทาง DigiNotar ไดออกใบประกาศเพกถอน (Revoke Certificate) ใบรบรองปลอมแลว แตยงไมสามารถยนยนไดวาจะสามารถเพกถอนใบรบรองปลอมไดทงหมด [12-4]
12.2 ผลกระทบ
ผใชงานทเขาสเวบไซตหลอกลวง จะเขาใจวาเวบไซตนนเปนของ Google, Yahoo!, Mozilla หรอบรการอนๆ เนองจากเบราวเซอรไมมการแจงเตอนวาใบรบรองไมถกตอง ท าใหอาจเปดเผยขอมลสวนบคคลทใชในบรการดงกลาว เชน ชอผใชหรอรหสผาน นอกจากนยงมโอกาสทจะเกดความเสยงดานความมนคงปลอดภยอนๆ จากเวบไซตหลอกลวงดงกลาวได เชน ผใชทดาวนโหลดโปรแกรมทมการรบรองวามาจาก Google จะไมสามารถตรวจสอบไดวา โปรแกรมนถกรบรองโดย Google จรงๆ หรอถกรบรองโดยการใชใบรบรองปลอม
12.3 ระบบทมผลกระทบ ระบบปฏบตการและเบราวเซอรตางๆ ทมการใชงานใบรบรองของ DigiNotar เชน
• Microsoft Windows และ Internet Explorer ทกรน
• Mac OS X และ Safari ทกรน
• Mozilla Firefox รนต ากวา 6.0.1
117
12.4 วธการแกไข
• Microsoft Windows และ Internet Explorer ปจจบนทาง Microsoft ไดออกเครองมออพเดทเพอถอดถอนใบรบรองปลอมออกจากระบบแลว ผใชสามารถตดตงโปรแกรมอพเดทอตโนมตไดผานทาง Windows Update หรอตดตงดวยตนเองท http://support.microsoft.com/kb/2328240 [12-6]
• Google Chrome สามารถตรวจสอบใบรบรองปลอมได และไดออกอพเดทรน 13.0.782.218 ทเพกถอนใบรบรองปลอมแลว [12-5]
• Opera จะตรวจสอบขอมลกบเวบไซตทรายงานเรองใบรบรองปลอมอยแลว ดงนนจงไมจ าเปนตองอพเดท [12-8]
• Mozilla Firefox ออกอพเดทรน 6.0.1 ทเพกถอนใบรบรองปลอมแลว ในกรณทไมสามารถตดตงอพเดทรนใหมได ผใช Mozilla Firefox สามารถลบใบรบรองของ DigiNotar ไดดงน [12-3] 1. ทดานบนของหนาตาง Firefox ใหคลกทปม Firefox (เมน Tools ใน
Windows หรอเมน Edit ใน Linux) จากนนคลก Preferences 2. คลกทแทบ Advance
3. เลอกแทบ Encryption
4. คลก View Certificates 5. ในหนาตาง Certificate Manages ใหคลกทแทบ Authorities 6. เลอนลงไปจนถงสวนของ DigiNotar เลอก DigiNotar Root CA
7. คลกท Delete or Distrust... 8. คลก OK เพอยนยนการลบใบรบรอง
• Mac OS X และ Safari ไมสามารถตรวจสอบใบรบรองปลอมได ผใชจ าเปนตองใชโปรแกรม Keychain Access เพอลบใบรบรองดงกลาวออกจากระบบดวยตนเอง ซงสามารถท าไดดงน [12-7] [12-9]
118
1. เปดโปรแกรม Keychain Access 2. ในชองคนหา พมพค าวา DigiNotar 3. คลกขวาท DigiNotar Root CA เลอก Delete
4. คลกปม Delete เพอยนยนการลบ
ผใชสามารถตรวจสอบเบราวเซอรทตนเองใชอย วาไดถกเพกถอนใบรบรองของ DigiNotar แลวหรอยง ดวยการเขาไปตรวจสอบทเวบไซต https://diginotar.com/
12.5 เอกสารอางอง [12-1] http://www.theregister.co.uk/2011/08/29/fraudulent_
google_ssl_certificate/ [12-2] http://blog.mozilla.com/security/2011/08/29/fraudulent-
google-com-certificate/ [12-3] http://support.mozilla.com/en-US/kb/deleting-diginotar-ca-
cert [12-4] http://www.vasco.com/company/press_room/news_
archive/2011/news_diginotar_reports_security_incident.aspx [12-5] http://googlechromereleases.blogspot.com/2011/08/
stable-update.html [12-6] http://www.microsoft.com/technet/security/advisory/
2607712.mspx [12-7] http://arstechnica.com/apple/news/2011/09/safari-users-still-
susceptible-to-attacks-using-fake-diginotar-certs.ars [12-8] http://my.opera.com/rootstore/blog/2009/05/15/diginotar-ev-
enabled-and-new-verisign-roots [12-9] http://www.tuaw.com/2011/09/01/how-to-get-rid-of-diginotar-
digital-certificates-from-os-x/
119
[12-10] http://www.net-security.org/secworld.php?id=11555
120
121
13. APT ภยคกคามใหมหรอแคชอใหมของภยเดม ผเรยบเรยง: เสฏฐวฒ แสนนาม วนทเผยแพร: 9 ก.ย. 2554 ปรบปรงลาสด: 9 ก.ย. 2554 APT หรอ Advanced Persistent Threat คอประเภทหนงของอาชญากรรมทางคอมพวเตอร ทมเปาหมายเพอโจมตหนวยงานทมขอมลส าคญ เชน หนวยงานทางทหารหรอหนวยงานทางดานความมนคงปลอดภยของประเทศ หนวยงานทางการเมอง หรอองคกรธรกจขนาดใหญ รปแบบการโจมตแบบ APT สวนใหญผด าเนนการมกจะเปนกลมบคคลมากกวาเปนการด าเนนการของบคคลใดบคคลหนง ซงอาจเปนไปไดวากลมบคคลนมกจะมองคกรหรอรฐบาลของประเทศใดประเทศหนงคอยใหการสนบสนนอยเบองหลงการโจมตมเปาหมายทแนชด ผโจมตมกพยายามแฝงตวอยในระบบของเปาหมายใหไดนานทสด และใชทกวถทางเพอใหการโจมตส าเรจผล ค านยามของ APT นนคอนขางหลากหลาย แตสามารถสรปคราวๆ ไดดงน [13-1] [13-2] Advanced - ผทโจมต มความสามารถและมทรพยากรทพรอมส าหรบการโจมต วธการโจมตจะใชเครองมอและเทคนคหลายอยางดวยกน ซงเปนไปไดตงแตการใชความรทางคอมพวเตอรขนสงเพอเจาะระบบ ไปจนถงการใชเทคนคพนฐาน เชน Social Engineering ซงเปนการโจมตโดยอาศยหลกจตวทยาเพอหลอกลวงคนใหเปดเผยขอมลส าคญ [13-3] Persistent - การโจมตจะเปนแบบคอยเปนคอยไปและสม าเสมอ เนองจากผโจมตตองแฝงเขาไปอยในระบบโดยไมใหเปาหมายรตว เพอสรางความเสยหายหรอ
122
รวบรวมขอมลทตองการใหไดมากทสด Threat – จดเปนภยคกคามทเกดขนกบระบบเทคโนโลยสารสนเทศและการสอสาร
13.1 ตวอยางการโจมตแบบ APT
Operation Aurora - Google ประกาศเมอวนท 12 มกราคม 2553 วาถกโจมตดวยวธ APT ตงแตชวงกลางป 2552 ถงเดอนธนวาคม 2552 โดยทมาของการโจมตมาจากประเทศจน [13-4] [13-5] สาเหตการโจมตคาดวาเกดจากกลมผโจมตไมพอใจท Google ไมยอมรบเงอนไขของรฐบาลจนวาใหเซนเซอรผลการคนหาขอมลจากเวบไซต Google ประเทศจน จากการสบสวนพบวา ผโจมตใชชองโหวทคนพบแตยงไมมการแกไข (Zero-day) ของ Internet Explorer โดยมเปาหมายคอขอมลใน Gmail ของนกสทธมนษยชนในประเทศจน ผลจากการโจมตครงนท าให Google ตดสนใจถอนตวและยายส านกงานใหญออกจากประเทศจน
13.2 ภยคกคามใหมหรอแคชอใหมของภยเดม
ผเชยวชาญดานความมนคงปลอดภยบางกลมไมเหนดวยกบการจดให APT เปนภยคกคามประเภทใหม เนองจากเหนวาเปนการสรางค าใหมเพอหวงผลทางการตลาดของหนวยงานทเกยวของกบระบบความมนคงปลอดภย [13-6] [13-7] ดอกเตอร Anup Ghosh ผกอตงบรษท Invincea ซงเปนบรษทพฒนาซอฟตแวรเพมความปลอดภยใหกบ เบราว เซอรและไฟล เอกสาร ได ใหสมภาษณกบ เวบไซต eWEEK.com วาการโจมตแบบ APT นนไมใชการโจมตรปแบบใหมแตอยางใด เปนแคการอาศยชองโหวของระบบทไมไดรบการปรบปรงเรองความมนคงปลอดภย และจากความไมระมดระวงของผดแลระบบทไมตรวจสอบวามเหตการณผดปกตเกดขน [13-8]
123
วธการโจมตแบบ APT นนมการปฏบตมานานแลว ตวอยางเชน ในยคสงครามเยน สหภาพโซเวยตไดท าการสงสายลบ KGB เขาไปแฝงตวในเขตแดนของศตรเพอขโมยขอมล [13-9] ซงการโจมตแบบ APT นนกใชหลกการเดยวกน เพยงแตการน าวธนมาใชเพอโจมตระบบคอมพวเตอรนนเพงจะมขน ดงนน การโจมตแบบ APT จงเปนภยคกคามในรปแบบเดม แตเปนการโจมตทเพงน ามาใชในระบบคอมพวเตอร
13.3 เอกสารอางอง [13-1] http://en.wikipedia.org/wiki/Advanced_persistent_threat [13-2] http://searchsecurity.techtarget.com/definition/advanced-
persistent-threat-APT [13-3] http://th.wikipedia.org/wiki/วศวกรรมสงคม [13-4] http://en.wikipedia.org/wiki/Operation_Aurora [13-5] http://googleblog.blogspot.com/2010/01/new-approach-to-
china.html [13-6] http://www.greebo.net/2010/02/03/advanced-persistent-
threat-risk-management-by-a-new-name/ [13-7] http://kevinfielder.wordpress.com/2011/07/25/apt-new-threat-
or-just-a-new-name-and-just-what-does-it-mean/ [13-8] http://www.eweek.com/c/a/Security/Advanced-CyberAttack-
Claims-Are-Usually-False-Overhyped-520523/ [13-9] http://en.wikipedia.org/wiki/KGB
124
125
14. การแกไขชองโหวเรองความมนคงปลอดภยใน Adobe Reader และ Adobe Acrobat
ผเรยบเรยง: ทมไทยเซรต วนทประกาศ: 15 ก.ย. 2554 ปรบปรงลาสด: 15 ก.ย. 2554
หมายเลขชองโหว: APSB11-24 (รหสอางองของ Adobe) ประเภทภยคกคาม: Intrusion
14.1 ขอมลทวไป
เมอวนท 13 กนยายน 2554 Adobe ไดเผยแพรซอฟตแวรเพอแกไขชองโหวเรองความมนคงปลอดภยส าหรบ โปรแกรม Adobe Reader และ Adobe Acrobat โดยมการแกไขชองโหวทงหมด 13 จด ซงมหลายชองโหวทสามารถถกผไมหวงดใชเปนชองทางท าใหเกดความเสยหายกบซอฟตแวร Adobe Reader/Acrobat หรอใชเปนชองทางในการควบคมเครองคอมพวเตอรจากระยะไกลเพอสรางความ เสยหายกบระบบปฏบตการหรอขอมลตางๆบนเครองคอมพวเตอรทถกโจมตได [14-1]
14.2 ผลกระทบ รายละเอยดของชองโหวทง 13 จดมดงน
• CVE-2011-1353 - เปลยนสทธของผใชใหเปนสทธของผดแลระบบ (เฉพาะ Adobe Reader X (21.x) บน Windows เทานน)
• CVE-2011-2431 - หลบเลยงการตรวจสอบความมนคงปลอดภยเพอประมวลผลค าสงทไมพงประสงคได
126
• CVE-2011-2432 - ชองโหว Buffer overflow ใน U3D TIFF Resource สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได
• CVE-2011-2433 - ชองโหว Heap overflow สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได
• CVE-2011-2434 - ชองโหว Heap overflow สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได
• CVE-2011-2435 - ชองโหว Buffer overflow สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได
• CVE-2011-2436 - ชองโหว Heap overflow ในไลบราร Adobe image parsing สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได
• CVE-2011-2437 - ชองโหว Heap overflow สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได
• CVE-2011-2438 - ชองโหว Stack overflow ในไลบราร Adobe image parsing library สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได
• CVE-2011-2439 - ชองโหว Memory leak (จองพนทของหนวยความจ าแลวไมคน) สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได
• CVE-2011-2440 - ชองโหว use-after-free (เรยกใชงานตวแปรทถกคนคาไปแลว) สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได
• CVE-2011-2441 - ชองโหว Stack overflow ในไลบราร CoolType.dll สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได
• CVE-2011-2442 – ชองโหวจากการประมวลผลตรรกะทผดพลาด สามารถถกใชเพอประมวลผลค าสงทไมพงประสงคได
14.3 ระบบทมผลกระทบ
• Adobe Reader X (21.1) และเวอรชนต ากวา 10.x ส าหรบ Windows
127
และ Macintosh
• Adobe Reader 9.4.5 และเวอรชนต ากวา 9.x ส าหรบ Windows, Macintosh และ UNIX
• Adobe Reader 8.3 และเวอรชนต ากวา 8.x ส าหรบ Windows และ Macintosh
• Adobe Acrobat X (21.1) และเวอรชนต ากวา 10.x ส าหรบ Windows และ Macintosh
• Adobe Acrobat 9.4.5 และเวอรชนต ากวา 9.x ส าหรบ Windows และ Macintosh
• Adobe Acrobat 8.3 และเวอรชนต ากวา 8.x ส าหรบ Windows และ Macintosh
14.4 วธการแกไข
ผใชซอฟตแวร Adobe Reader และ Adobe Acrobat สามารถแกไขปญหาได 2 วธคอ
1. ปรบปรงซอฟตแวรใหเปนเวอรชนลาสดโดยการ 1.1 เปดโปรแกรม Adobe Reader หรอ Adobe Acrobat 1.2 คลกทเมน Help เลอกค าสง Check for updates เพอใหโปรแกรมตรวจสอบและปรบรนโดยอตโนมต
2. ตดตงซอฟตแวร Adobe Reader/Acrobat เวอรชน 10.1.1 หรอใหมกวา ซงเปนโปรแกรมทไดรบการแกไขชองโหวแลว สามารถดาวนโหลดไดตามลงกดานลาง
128
Adobe Reader ผใช Adobe Reader บน Windows ดาวนโหลดโปรแกรมไดท http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
ผใช Adobe Reader บน Macintosh ดาวนโหลดโปรแกรมไดท http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh Adobe Acrobat ผใช Acrobat Standard และ Pro บน Windows ดาวนโหลดโปรแกรมไดท http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
ผใช Acrobat Pro Extended บน Windows ดาวนโหลดโปรแกรมไดท http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
ผใช Acrobat 3D บน Windows ดาวนโหลดโปรแกรมไดท http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
ผใช Acrobat Pro บน Macintosh ดาวนโหลดโปรแกรมไดท http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
ส าหรบโปรแกรม Adobe Reader 9.4.6 บน UNIX ทไดรบการแกไขชองโหวแลวจะเผยแพรใหดาวนโหลดในวนท 7 พฤศจกายน 2554
129
หมายเหต: การสนบสนนส าหรบซอฟตแวร Adobe Reader 8.x และ Adobe Acrobat 8.x บน Windows และ Macintosh จะสนสดลงในวนท 3 พฤศจกายน 2554 ทาง Adobe แนะน าใหผใชเปลยนมาใชซอฟตแวรรนลาสดเพอแกไขปญหา [14-2]
14.5 เอกสารอางอง [14-1] http://www.adobe.com/support/security/bulletins/apsb11-
24.html [14-2] http://blogs.adobe.com/adobereader/2011/09/adobe-reader-
and-acrobat-version-8-end-of-support.html
130
131
15. Man-in-the-Middle 101 ผเรยบเรยง: เสฏฐวฒ แสนนาม วนทเผยแพร: 16 ก.ย. 2554 ปรบปรงลาสด: 30 ก.ย. 2554 การโจมตแบบ Man-in-the-Middle (MitM) หมายถง การทมผไมหวงดเขามาแทรกกลางในการสนทนาระหวางคน 2 คน แลวท าหนาทเปนตวกลางในการรบสงขอมลของคสนทนา โดยทคสนทนาไมสามารถทราบไดวามผอนเปนผรบและสงสารตอกบคสนทนาของตนอย ท าใหผไมหวงดสามารถใชรปแบบการโจมตในลกษณะนในการดกรบหรอเปลยนแปลงขอมลททง 2 ฝงสอสารกนอยได ซงการโจมตในรปแบบนถกน ามาประยกต ใชกบการสอสารตางๆ ในระบบคอมพวเตอร ตวอยางเชน การโจมตแบบ MitM ในระบบเครอขาย Wi-Fi ท าใหผไมหวงดสามารถแทรกแซงการเชอมตอระหวางเครองคอมพวเตอรและ อปกรณ Wi-Fi Access Point เพออาน ปลอมแปลง หรอแกไขขอมลทรบสงระหวางคอมพวเตอรทง 2 เครองนนได ซงการเขารหสลบขอมลในการสอสารเพยงอยางเดยวไมสามารถปองกนการโจมตในรปแบบนไดเสมอไป [15-1] ถาผรบและผสงสารไมไดมกลไกใดๆ ในการยนยนคสนทนาไดอยางถกตองการโจมตแบบ MitM สามารถใชโจมตการสอสารขอมลของระบบตางๆ ในเครอขายอนเทอรเนตไดโดยงาย เนองจากรปแบบและมาตรฐานของการสอสารขอมลตางๆ ในระบบอนเทอรเนตไมไดถกออกแบบมาใหมการรกษาความมนคงปลอดภยของ ขอมล เชน การสอสารขอมลผานโพรโทคอล HTTP ส าหรบเรยกดขอมลเวบไซตตางๆ ซงสวนใหญจะไมมการเขารหสลบ ท าใหผโจมตสามารถใชโปรแกรมส าหรบดกจบขอมลในระบบเครอขาย เชน โปรแกรม WireShark หรอ TCPDump ได ถงแมวาในปจจบน การเรยกดขอมลเวบไซตทสอสารผานโพรโทคอล HTTP จะถกออกแบบใหรองรบการเขารหสลบขอมลดวยการเชอมตอผานโพรโทคอล HTTPS
132
ซงใชการเขารหสลบขอมลดวยโพรโทคอล SSL [15-7] แตยงไมสามารถปองกนการโจมตแบบ MitM ไดถาผใชงานไมไดระมดระวงในการตรวจสอบวาเปนเซรฟเวอรทใหบรการเวบไซตจรงหรอเปนเครองทเปน MitM ดวยวธการตรวจสอบใบรบรอง SSL (SSL Certificate) ในกรณนผใชงานอาจจะถกหลอกลวงใหตดตอกบเครองทเปน MitM ผานโพรโทคอล HTTPS และในขณะเดยวกนขอมลหรอบรการทผใชเรยกใชงานกบเครอง MitM น จะถกสงตอผานโพรโทคอล HTTPS ไปยงเซรฟเวอรทใหบรการเวบไซตจรงเพอเรยกขอมลหรอบรการและสง ตอผานกลบไปใหผใชงาน เพราะฉะนน ในการเรยกดเวบไซตผานเครอง MitM ดวยโพรโทคอล HTTPS นผใชงานจะไมสงเกตความผดปกตกบขอมลหรอบรการทเรยกใชงานเมอ เทยบกบการเรยกจากเวบไซตจรงแตอยางใด ในบางกรณผโจมตสามารถหลอกเบราวเซอรไมใหแจงเตอนวาใบรบรองไมถกตองได โดยการใชใบรบรองปลอมทไดมาจากการเจาะระบบของผใหบรการออกใบรบรองอเลกทรอนกส CA (Certificate Authorities) ทไดรบการยอมรบในระดบสากลได [15-2] นอกจากน ยงมการท า SSL Strip ซงเปนการดก Request/Response ระหวางเครองผใชงานกบเครองเซรฟเวอร ในกรณทผใชเขาเวบไซตผานโพรโทคอล HTTP แตเวบไซตนนตองการการเชอมตอแบบ SSL จงสงค ารองขอใหผใชเรยก URL ทเปน HTTPS ซงผโจมตกจะเขามาเปนตวกลางในการเชอมตอ โดยหลอกเครองผใชวาใหเรยก URL เปน HTTP ตามเดม และหลอกเซรฟเวอรวาผใชไดเชอมตอผาน HTTPS แลว ท าใหผโจมตสามารถรขอมลทกอยางทรบสงระหวางผใชกบเครองเซรฟเวอร [15-8] ปจจบนไดมการใชรปแบบ Man-in-the-Middle ไปพฒนาการโจมตในรปแบบใหม ไดแก Man-in-the-Browser และ Man-in-the-Mailbox ซงแตละแบบกใชวธการและไดผลลพธทแตกตางกนไป
15.1 Man-in-the-Browser การโจมตแบบ Man-in-the-Browser (MitB) มความแตกตางจากการโจมตแบบ MitM คอ การโจมตแบบ MitB เกดจากโทรจนทฝงตวอยในเบราวเซอร คอยดกจบและแกไขหนาเวบไซตหรอขอมลทมการรบสง โดยททางฝงผใชหรอฝงผใหบรการไม
133
รวาขอมลถกแกไข ซงโดยสวนมากแลวการโจมตดวยวธนจะมงเนนไปทเวบไซตทเกยวของกบสถาบนการเงน เชน เวบไซตของธนาคาร [15-3] การโจมตแบบ MitB สามารถดกจบขอมลไดทกอยาง ไมวาเวบไซตนนจะใชวธเขารหสลบดวยโพรโทคอล SSL กตาม เพราะโทรจนทฝงอยในเบราวเซอรจะใชวธดกจบขอมลการเขาระบบ เชน ชอผใชหรอรหสผานกอนท เบราวเซอรจะเอาขอมลนนมาเขารหสลบและสงออกไป [15-4] ตวอยางโปรแกรมทเปนการโจมตแบบ MitB เชน Zeus, Zbot, URLZone, SpyEye [15-5]
15.2 Man-in-the-Mailbox การโจมตแบบ Man-in-the-Mailbox (MitMb) เปนการโจมตดวยวธ MitM แบบลาสดทเพงคนพบ โดยอาศยความผดพลาดทเกดจากการพมพทอยอเมลผดพลาด เชน การไมไดพมพ . ในระหวางชอโดเมนขององคกรทมความนาจะเปนทอาจจะเกดขนได ซงผโจมตจะสรางระบบเพอรบอเมลทเกดความผดเหลานไวส าหรบใชใน การโจมตในรปแบบ MitMb การโจมตแบบ MitMb นนจะเกดขนเมอมผสงอเมลจากหนวยงานหนงไปยงอกหนวยงานหนง โดยทผสงนนพมพทอยอเมลผด เชน ผใชจาก @th.biz.com ตองการสงอเมลหาผใชทอยใน @th.bank.com แตพมพทอยอเมลผดกลายเปน @thbank.com อเมลฉบบนนจะถกสงไปยงอเมลของผโจมต จากนนผโจมตจะปรบแตงเนอหาของอเมล รวมถงแกไขสวนหวของอเมล (E-mail header) วาถกสงมาจาก @thbiz.com แลวสงตออเมลฉบบนนไปยง @th.bank.com ซงเปนผรบทแทจรง เมอทาง @th.bank.com ตอบอเมลกลบมา อเมลฉบบนนกจะถกสงมาททอยอเมลของผโจมต จากนนผโจมตกจะแกไขเนอหาและสวนหวของอเมลแลวสงกลบไปใหผสงตวจรงอกครงหนง
134
รปท 25 (15-1) ภาพประกอบอางองจาก nakedsecurity
นกวจยพบวา จากการทดลองจดชอโดเมนจ านวน 30 โดเมน แลวรอรบอเมลทสงผด ปรากฏวาภายในเวลา 6 เดอน มอเมลทพมพทอยอเมลผดแลวถกสงออกมามากกวา 120,000 ฉบบ ซงเนอหาบางสวนในอเมลเหลานนเปนความลบทางการคา ขอมลพนกงาน หรอแมกระทงรหสผาน [15-6]
15.3 ควรรบมออยางไร? การโจมตดวยวธ Man-in-the-X นนประสบความส าเรจงายและตรวจจบไดยาก เนองจากผถกโจมตสวนใหญมกจะไมรตวและคอนขางละเลยในเรองของความปลอดภย ดงนน วธการปองกนทดทสดคอสรางความตระหนกในเรองของความปลอดภยใหกบผใช เชน ตรวจสอบความถกตองของใบรบรองของเวบไซตทกครงทตองท าธรกรรมทางอเลกทรอนกส หมนปรบปรงโปรแกรมตรวจจบไวรสและไมตดตงโปรแกรมทนาสงสย หรอในกรณทตองการสงขอมลทเปนความลบผานทางอเมลควรท าการเขารหสลบขอมลกอนทจะสงออกไป
135
15.4 เอกสารอางอง [15-1] http://en.wikipedia.org/wiki/Man-in-the-middle_attack [15-2] https://www.owasp.org/index.php/Man-in-the-middle_attack [15-3] http://en.wikipedia.org/wiki/Man_in_the_Browser [15-4] https://www.owasp.org/index.php/Man-in-the-browser_attack [15-5] http://www.entrust.com/mitb [15-6] http://nakedsecurity.sophos.com/2011/09/12/missing-dots-
from-email-addresses-opens-20gb-data-leak/ [15-7] http://en.wikipedia.org/wiki/Https [15-8] http://thaicomsec.citec.us/?p=739
136
137
16. Zeus Trojan (Zbot) มาโทรจนปลนธนาคารทวโลก ผเรยบเรยง: ศภกรณ ฤกษดถพร วนทเผยแพร: 5 พ.ย. 2554 ปรบปรงลาสด: 5 พ.ย. 2554 Zeus (ซส) หรอทรจกในอกชอหนงคอ Zbot เปนมลแวรทโดงดงในป 2006 มแหลงก าเนดจากยโรปตะวนออก ถกสรางขนเพอเปนใชเปนเครองมอส าหรบอาชญากรในการขโมยขอมลส าคญของผใชงานบรการสถาบนการเงนออนไลน ดงแสดงในรปท 26 (16-1) และ รปท 27 (16-2) ซสสามารถแพรกระจายไดหลายวธ เชน แนบไฟลหรอลงกมากบอเมล ฝงตวอยในชองโหวของเอกสารประเภท PDF แฝงมากบอปกรณบนทกขอมลภายนอก (External drive) ตดมากบซอฟตแวรละเมดลขสทธ หรอสงตอลงกผานเครอขายสงคมออนไลน (Social network) เปนตน เมอซสไดตดตงตวเองลงบนเครองคอมพวเตอรของเหยอ เครองนนกจะกลายเปน Botnet ของซสในทนท [16-1] ท าใหผโจมตสามารถเขามาโจรกรรมขอมลส าคญภายในเครองคอมพวเตอรของเหยอได ไมวาจะหมายเลขบญชธนาคาร รหสผาน หรอขอมลอนๆ [16-2] นอกจากน ซสยงพยายามรวบรวมขอมลของผใชงานทขโมยมาไดแลวสงมาเกบไวทเซรฟเวอรของผโจมต ซสถกขายเปนเครองมอในตลาดมดโดยมราคาประมาณ 3,000-4,000 ดอลลารสหรฐ [16-3] ซสมกระบวนการในการสงการและควบคมระบบ คอ
1. รอเวลาทเหยอเขามาท ารายการธรกรรมออนไลนตามชองทางของธนาคาร 2. รายงานการด าเนนการตางๆ ของเหยอไปยงหนวยสงการและควบคม
เซรฟเวอรในระบบธนาคาร 3. หนวยสงการและควบคมระบบสงการใหซสเปลยนแปลงการโอนเงนจาก
ธนาคารของเหยอ
138
4. ด าเนนการเปลยนแปลงการโอนเงนจากธนาคารของเหยอโดยตรวจสอบยอดเงนในบญช ก าหนดวงเงนใหมใหมากทสดทจะขโมยไดโดยไมเกนวงเงนทธนาคารก าหนด จากนนจงโอนเงนไปยงบญชเปาหมายแลวสงตอไปยงบญชตางประเทศของผขโมย
5. รายงานผลการด าเนนการใหหนวยสงการและควบคมระบบธนาคารเพอใหทราบวาส าเรจหรอลมเหลว
ตวอยางการโจมต เชน ผใชงานตองการช าระเงน 100,000 บาทใหกบคนขายบาน เมอผใชเขาสระบบออนไลนของธนาคาร ซสจะเปลยนจ านวนเงนใหเปนวงเงนสงสด เชน 1,000,000 บาท และเปลยนใหโอนเงนไปทบญชของอาชญากร จากนนธนาคารจะแจงวามการช าระเงนมาทเครองของเหยอ แตซสจะเปลยนแปลงขอความเหลานนใหกลายเปนวาโอนเงน 100,000 บาทไดส าเรจ ดงนน เหยอจะไมมทางรตวเลยวาเงนนนถกโจรกรรมไปแลวจนกวาปลายทาง คอ คนขายบานจะแจงวาไมไดรบเงน
รปท 26 (16-1) เวบไซตปลอมทสรางขนเพอหลอกลวงเหยอ [16-4]
139
รปท 27 (16-2) โดเมน .com ทตกเปนเปาหมายของซส [16-5]
จากรายงานการรบแจงเหตภยคกคามของศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย (ThaiCERT) ยงคงพบการแพรกระจายของซสทใชในการโจมตผใชงานบรการออนไลนของสถาบนการเงน ทงสถาบนการเงนในประเทศและตางประเทศอยอยางตอเนอง ผใชงานสามารถปฏบตตามแนวปฏบตของการใชงานเครองคอมพวเตอรอยางมนคงปลอดภย เพอปองกนตนเองจากภยคกคามของซสไดดงน
• ตดตงซอฟตแวรปองกนไวรสและอพเดทฐานขอมลอยางสม าเสมอ เพอลดความเสยงของการถกโจมตจากโปรแกรมไมพงประสงคตางๆ
• อพเดทซอฟตแวรระบบปฏบตการ (OS) อยางสม าเสมอ เพอปองกนชองโหวทสาเหตใหสงทไมพงประสงคใชเปนชองทางเขามาแพรกระจายในเครองคอมพวเตอร
• ไมควรตดตงหรอดาวนโหลดโปรแกรมจากเวบไซตทไมนาเชอถอหรอแมแตการเปดไฟลแนบจากอเมลทมลกษณะผดปกต เชน เปนอเมลทมขอความเชญชวนหรอโฆษณาชวนเชอวาเราเปนผถกคดเลอกให ไดรบรางวลหรอผลประโยชนตางๆ หรอเปนอเมลของถกสงบคคลทเรารจกแต
140
ใชภาษาหรอส านวนทตางจากรปแบบทเคยใชในอดต เปนตน เนองจากอเมลเหลานมกเปนรปแบบของอเมลทใชในเผยแพรโปรแกรมไมพง ประสงค
• ควรตรวจหาโปรแกรมไมพงประสงคดวยซอฟตแวรปองกนไวรสทกครงกอนการใชงานอปกรณบนทกขอมลแบบพกพา เนองจากอปกรณเหลานมกถกใชเปนชองทางในการแพรกระจายโปรแกรมไมพงประสงคตางๆ
• ในกรณททานตองสงสยวาเครองคอมพวเตอรของทานถกโจมตจากซส ทานสามารถขอรบความค าแนะน าในการแกไขไดจากศนยประสานงานการรกษาความมนคงระบบคอมพวเตอรประเทศไทย (ThaiCERT)
16.1 เอกสารอางอง [16-1] http://searchsecurity.techtarget.com/definition/Zeus-Trojan-
Zbot [16-2] http://www.pcmag.com/article2/0,2817,2370013,00.asp [16-3] http://malwaresurvival.net/2011/01/19/the-zeus-trojan-and-
popular-domains/ [16-4] http://news.cnet.com/8301-27080_3-20013246-245.html [16-5] http://www.securelist.com/en/analysis/204792107/ZeuS_
on_the_Hunt&usg=ALkJrhiqPrhLMgBX2duUrz84p-JLWjj76Q
141
17. รจกและปองกนภยจาก Website Defacement ผเรยบเรยง: พรพรหม ประภากตตกล วนทเผยแพร: 5 พ.ย. 2554 ปรบปรงลาสด: 5 พ.ย. 2554 เวบไซตถกใชเปนเครองมอทส าคญของหนวยงานตางๆ ในการสอสาร ประชา-สมพนธ หรอใหบรการออนไลนตางๆ กบผใชงานผานเครอขายอนเทอรเนตสาธารณะ ดวยลกษณะของบรการเวบไซตทเปดใหผใชงานสามารถเขาถงไดอยตลอดเวลา ท าใหบรการเวบไซตทไมมการรกษาความมนคงปลอดภยทดมความเสยงจากการถกโจมตจากผไมประสงคดไดอยตลอดเวลาเชนกน โดยภยคกคามรปแบบหน งท ม กจะ เก ดข น กบบร กา ร เว บ ไซต ค อ การ โจมต เ ว บ ไซต เพอเปลยนแปลงขอมลเผยแพรหนาเวบ (Website Defacement) ซงผโจมตมวตถประสงคเพอปรบเปลยนหนาเวบไซตแรกของเวบไซตเปาหมาย หรอทงเวบไซต จากเดมไปเปนหนาเวบไซตใหม การกระท าเชนนอาจไมไดกอความเสยหายทรนแรงอะไรมากนก เพยงแตมความตองการเพอท าลายความนาเชอถอของหนวยงานเจาของเวบไซต ซงในเวบไซตทถกโจมตสวนใหญจะปรากฏรปภาพหรอขอความทบงบอกถงวาเวบไซตไดถกโจมตไดส าเรจ โดยรปแบบของการโจมตในลกษณะ Website Defacement เปนการโจมตทนยมมากทสดในหมผโจมตหรอแฮกเกอร เนองจากสามารถเขาโจมตไดงายและการโจมตมกไดผลทางดานการสญเสยความนาเชอถออยางรวดเรว รวมถงสามารถตอยอดในการโจมตสวนประกอบหรอบรการอนๆ บนเครองแมขายนนๆ ดวย ยงหากผพฒนาหรอผดแลระบบไมมการปดชองโหวดงกลาวแลว อาจท าใหผโจมตสามารถท าความเสยหายซ าแลวซ าเลาจากรปแบบเดมๆ จนสดทายอาจท าใหถกแจงเตอนบนหนาเวบไซตของผใหบรการ Search engine ตางๆเชน Google, Yahoo เปนตน
142
รปท 28 (17-1) แสดงใหเหนถงการแจงเตอนถงเวบไซตทถกโจมตจากเวบไซต Search engine ของ Google
รปท 29 (17-2) แสดงใหเหนถงหนาเวบไซตหลกแหงหนงทถก Defacement
143
วธการหรอเทคนคทผโจมตใชในการเขาปรบเปลยนขอมลเผยแพรตางๆ บนหนาเวบไซตไดมอยหลายวธ เชน การโจมตตอเวบไซตโดยตรง หรอการโจมตตอระบบปฏบตการของเครองทใหบรการเวบไซตจนสามารถเขาควบคมการท างานของเครองบรการเวบไซต (Web Server) นนๆ ไดสงผลใหผโจมตสามารถเขาปรบเปลยนขอมลในเวบไซตเปาหมายไดตามตองการ ซงในทนขอยกตวอยางชองโหวและเทคนคทผโจมตใช เพอเขาปรบเปลยนหนาเวบไซตเปาหมายทพบอยเสมอดงน 1. ชองโหวทเกดจากการเรยกใชฟงกชน Include File พบในการพฒนาโปรแกรมดวยภาษา PHP ทมความซบซอนและเปนระบบทมองคประกอบหลายสวน จงท าใหตองมการแยกพฒนาแตละโมดลของระบบ และสดทายน ากลบมารวบรวมทหนาหลกดวยการเรยกใชฟงกชน include ซงในทนขอยกตวอยางการใชงานดงน //ไฟล index.php <?php // รบคาจากโพรโตคอล HTTP ใน method GET ผานพารามเตอรชอ page แลวเกบลงตวแปรชอ page $page = $_GET['page']; // ฟงกชน include ไฟลซงในทนใหเรยกตามชอไฟลตรงๆคอ config.php include (“config.php”); // ฟงกชน include ไฟลซงในทนใหเปนลกษณะ dynamic include จากตวแปรชอ page include ($page); ?> // ซงจากตวอยางขางตน ผโจมตจะอาศยชองโหวจากการใชงานฟงกชน include น เพอลกลอบแทรกสวนประกอบของซอรสโคดทเปนอนตรายลงไปผานโพรโทคอล HTTP ใน method GET โดยวธการแทรกซอรสโคดอนตราย ผโจมตสามารถท าไดโดยการเรยก URL ผานเวบเบราวเซอร (web browser) ไดทนท ยกตวอยาง
144
ลกษณะการโจมต เชน
1.1 ผโจมตจะเปดเวบเบราวเซอร (web browser) และเรยกไป URL => http://donothackme/index.php?page=http://iamhacker/shell.php ซงสามารถอธบายความหมายแตละสวนดงน
http://donothackme => เปนโดเมนทผโจมตมจดประสงคจะเขาเปลยนหนาเวบไซต index.php?page.... => เปนการเรยกใชงานไฟลสครปตชอ index.php ซงในทนมการสงคาผานไปยง method GET ของระบบ โดยการสงคาผานตวแปรชอ page ในการเรยกไฟลสครปตนดวย
http://iamhacker/shell.php => เปน URL ปลายทางทเกบไฟลสครปตอนตรายของผโจมต โดยจดประสงคของการสงคา URL น เพอตองการใหเวบไซตเปาหมายรนไฟลสครปตอนตรายทตองการ ซงโดยปกตไฟลสครปตอนตรายทผโจมตน ามาใชมกจะเปนไฟลสครปตทมคณสมบตในการคนหาชองโหวบนเวบไซตเปาหมาย ซงปกตเรยกเราจะเรยกไฟลสครปตพวกนวาเปน Web Shell ยกตวอยางเชน C99 R57 หรอ WSO Shell เปนตน
รปท 30 (17-3) แสดงใหเหนหนาเวบไซตเมอมการเรยกไฟลสครปตประเภท Web Shell
145
1.2 เมอผโจมตเปดไปยง URL ในขอ 1 แลว ซงจะพบวาเวบเบราวเซอร (web browser) จะแสดงหนาทเปนไฟลสครปตชอ shell.php ซงเปนไฟลสครปตอนตรายทผโจมตตองการใช โดยฟงกชนการใชงานของผโจมตพบวาจะเลอกใชงานในสวนทเปนโมดลการอพโหลดหรอจดการไฟลบนเวบไซต เพอท าการ อพโหลดหรอปรบเปลยนไฟลของเวบไซตเปาหมายในสวนตางๆ ตามทไดกลาวไวตอนตนเกยวกบจดประสงคของผโจมต การโจมตในลกษณะนจะเรยกวาการโจมตแบบ Remote File Inclusion [17-1]
2. ชองโหวจากการเรยกใชระบบการอพโหลดไฟลบนหนาเวบไซตเปาหมาย โดยปกตการอพโหลดไฟลรปภาพหรอไฟลใดๆ ขนบนเวบไซตจะพบวาการเกบไฟล นนๆ ระบบจะเกบไฟลทถกอพโหลดไวบนเวบไซต และหากระบบทพฒนาในการอพโหลดไฟลไมไดมการตรวจสอบเนอหาหรอสวนประกอบตางๆ ของไฟลกอนน าไปวางบนเครองแมขายจรงแลวนน เทากบวาผโจมตจะสามารถใชชองโหวดงกลาวในการอพโหลดไฟลสครปตอนตรายดงเชน ในไฟล shell.php ในขอ 1 ขนไปบนเวบไซตไดทนท สงผลลพธใหผโจมตสามารถรนไฟลสครปตอนตรายบนเครองเวบไซตเปาหมาย และเขาท าการอพโหลดหรอปรบเปลยนไฟลของเวบไซตเปาหมายในสวนตางๆ ตามทไดกลาวไวตอนตนเกยวกบจดประสงคของผโจมต การโจมตในลกษณะนจะเรยกวาการโจมตแบบ Unrestricted File Upload [17-2] สามารถพบไดแพรหลายและเปนทนยมในหมผโจมต เนองจากคนหาชองโหวไดงาย 3. ชองโหวจากการเรยกใชขอมลทปอนเขาสระบบโดยผใชงาน โดยปกตเวบไซตสวนใหญมกจะมชองทางใหผใชงานสามารถกรอกขอมลหรอพมพขอความตางๆ ในเวบไซต เชน เพอใหขอมลตางๆ ในระบบลงทะเบยนพมพบญชชอและรหสผานในระบบการพสจนตวจรง (Authentication) หรอการพมพขอความเพอแสดงความคดเหนตางๆ บนเวบบอรด ซงหากระบบทพฒนาไมมการตรวจสอบ Input/ Output กจะสงผลใหผโจมตสามารถใชชองโหวตรงน ในการแทรก HTML syntax ตางๆ เขาสระบบได ซงเมอผโจมตกรอกขอมลดงกลาวและ submit ขอมลเขาในระบบส าเรจแลว จะท าใหผใชงานทเปดเขามายงเวบไซตเปาหมายดงกลาวกจะเจอ
146
กบ HTML syntax ทผโจมตแทรกเขาไป ซงโดยปกตผโจมตจะสงคา syntax ทสงการใหเวบเบราวเซอร redirect ไปยงเวบไซตปลายทางทตงไว
โดยตวอยางของ syntax ในลกษณะนเชน <META HTTP-EQUIV=”refresh” content=”1; URL=http://youcanhack”> อธบายตามค าสงของ syntax ไดวาให Refresh หนาเวบไซตไปยงเวบไซตปลายทางท http://youcanhack โดยผลลพธทปรากฏถงแมเวบไซตเปาหมายจะยงไมไดถกเขาควบคมได โดยผโจมต หรอถกแกไขหนาเวบไซตเหมอนดงขอ 1, 2 เพยงแตมการถกสอดแทรก HTML syntax เพอตงคา Redirect page ไวเทานน แตกท าใหผเขาชมเขาใจวาเวบไซตนไดถกผโจมตเขาควบคมแลว การโจมตในลกษณะนจะเรยกวาการโจมตแบบ HTML Injection [17-3] 4. ชองโหวจากการใชบรการจากผใหบรการภายนอก (Third-Party Service [17-4]) เชน บรการ DNS หรอ บรการ Hosting หรอ Web Hosting เปนตน ในบางครงการโจมตอาจไมไดเกดขนทเวบไซตเปาหมายโดยตรง แตเกดขนกบบรการภายนอกอนๆ ทเราเลอกใช เชนบรการ DNS หรอบรการ Hosting ทเปนระบบโครงสรางพนฐานของบรการเวบไซต ซงเมอผโจมตสามารถเจาะผานชองโหวตางๆ จนเขาควบคมบรการนนๆ ไดแลว กจะเขาท าการปรบแกไขฟงกชนการท างานสวนตางๆ ของบรการนนๆ เพอท าใหหนาเวบไซตของเราเปลยนแปลงไป ในกรณของการเขาควบคม Hosting Control Panel กจะมการปรบปรงหรอเปลยนแปลงซอรสโคดของเวบไซต เพอใหเหนวาหนาเวบไซตเปาหมายถกโจมตส าเรจ แตถาเปนลกษณะของผโจมตสามารถเขาถงบรการ DNS ไดโดยตรง ท าให ผโจมตสามารถปรบเพม Redirect record ในสวนของระบบเพอใหผใชงานเขาใจวาเวบไซตดงกลาวถกควบคมไดส าเรจแลวตอไป
17.1 ตวอยางการโจมตลกษณะ Website Defacement Zone-H : เมอวนท 4 กนยายน 2554 เวบไซต Zone-H.org ไดรายงานถงเวบไซตทโดนปรบเปลยนหนาเวบไซต ( Website Defacement ) ประกอบไปดวยเวบไซต
147
UPS, TheRegister, Acer, Telegraph, Vodafone [17-5] [17-6] ซงผโจมตใชการโจมตดวยวธการ Sql Injection [17-7] ผานทาง DNS control panel (netnames.co.uk) [17-8] เพอปรบคา DNS Record ของเวบไซตดงกลาว ซงผลลพธของการโจมตครงน คอผทเปดหนาเวบไซตดงกลาวจะพบวาหนาเวบไซตทตองการเขาถงไดถกกลมผโจมตปรบเปลยนหนาแรกและแสดงขอความในลกษณะทแจงวา เวบไซตถกแฮก (“4 Sept. We TurkGuvenligi declare this day as World Hackers Day - Have fun ; ) h4ck y0u”)
17.2 ควรรบมออยางไร 1. ส าหรบเวบไซตทพฒนาดวยภาษา PHP ควรปรบปรงคาทอยใน php.ini [17-9] (เปนไฟลทใชปรบแตงการตงคาตางๆ ของ PHP) โดยการตงคาเพอไมใหสครปตตางๆ สามารถเรยกใชงานฟงกชนทอาจกอใหชองโหวในการเรยกใชไฟลสครปตอนตรายจาก URL ภายนอกได ซงมคาทควรก าหนดดงน
allow_URL_fopen off -> ไมอนญาตใหใชฟงกชน fopen ส าหรบการเปดไฟลขอมลทสงมาเปน URL (fopen เปนฟงกชนทใชส าหรบเปดไฟลโดยสามารถระบเปนชอไฟลบนเครองแมขายหรอเปน URL จากเครองภายนอก)
allow_URL_include off -> ไมอนญาตใหใชฟงกชน include ไฟลสครปตทเปน URL เพอปองกนการโจมตผานชองโหว Remote file inclusion 2. ควรมการตรวจสอบ Input/Output ในทกๆ ครงทมการรบสงขอมลบนเวบไซต เพอปองกนการสงคาทเปนอนตรายในการเขาโจมตเวบไซต หรอในทกๆ เวบไซตทพฒนาขนควรแบงแยกประเภทและชนดของขอมลทรบสงใหชด เพอใหงายตอการพฒนาฟงกชนส าหรบตรวจสอบตอไป ยกตวอยางเชน หากมรบคาการกรอกขอมล สงทผพฒนาระบบ/เวบไซตควรท าคอ ตองมการตรวจสอบแบงวาขอมลทไดรบจากผใชงานในแตละสวนนน จะตองตรงตามรปแบบและขอก าหนดของแตละประเภทกอนจะน าไปประมวลผลตอ ไมควรปลอยใหขอมลทสงเขามาไปประมวลผลเลย เพอปองกนความเสยหายทอาจเกดขนจากการถกโจมต
148
3. ควรมการตรวจสอบประเภทของไฟล (File Extension) ในสวนทผานกระบวนการอพโหลดไฟลเขามา เพอปองกนการอพโหลดไฟลสครปตอนตรายหรอไฟลทจะกอใหเกดปญหาบนเครองแมขายของเวบไซต ซงผพฒนาเวบไซตเองควรมการก าหนดขอบเขตและประเภทของไฟลทอนญาตใหสามารถอพโหลดได (Whitelist) 4. ไมเปดสทธในการอานเขยนไฟลซอรสโคดของเวบไซตใหกบผอนและหมนตรวจสอบการวนทมการอพเดทไฟลอยเสมอ เนองจากการโจมตโดยการปรบ-เปลยนหนาเวบไซตสวนใหญเกดขนจากการทผโจมตใช สทธของไฟลสครปตอนตรายซงเปนสทธของผใหบรการเวบไซต (Webserver) [17-10] ทใชในการด าเนนการใดๆ เชน การแกไขหรออพโหลดไฟลซอรสโคดของเวบไซต, การอานไฟลทตงคาเชอมตอฐานขอมลของเวบไซต เพราะฉะนน จงควรระมดระวงในการใหสทธของไฟลซอรสโคดของเวบไซตใหด โดยการจดการสทธของไฟลซอรสโคดของเวบไซตทดควรเรมจากการทอพโหลดไฟลตางๆ ดวยสทธผใชงานของตนเอง ไมใชผานหนาเวบอพโหลดใดๆ เพราะจะท าใหสทธของไฟลตางๆ ทอยบนระบบเปนของเวบเซรฟเวอรไปโดยปรยาย และหากมไฟลสวนไหนทจ าเปนตองถกแกไขไดโดยเวบเซรฟเวอรจงคอยเปดสทธและคอยระวงตรวจสอบไฟลเหลานนวามการถกเปลยนแปลงหรอไม เพอเปนขอมลส าหรบการพจารณาความผดปกตทอาจจะเกดขน 5. หากเปนระบบทใชซอฟตแวรแพคเกจทพฒนาจากผพฒนาภายนอก (Third party) เชน Joomla [17-11] Wordpress [17-12] หรอ Drupal [17-13] ใหผดแลระบบคอยหมนตรวจเชคขอมลจากเวบไซตผพฒนาอยเสมอๆ วามชองโหวใดๆ เกดขนกบระบบบาง และพจารณาถงชองโหวดงกลาววามใชงานบนระบบ หรอเวบไซตของเราหรอไม เพอเปนขอมลในการตดสนใจวามความจ าเปนตองอพเดทซอฟตแวรแพคเกจนนๆ หรอไม 6. เมอไดรบแจงหรอพบวาเวบไซตทดแลถกโจมตและเปลยนแปลงแกไข (Defacement) ใหตรวจสอบ URL ทพบเหนเพอวเคราะหวาผโจมตนน โจมตเขา
149
มาดวยวธการใด โดยสามารถแนะน าขนตอนในการตรวจสอบปญหาเบอง ดงน
6.1 ตรวจสอบโดยการเปดเวบเบราวเซอร (web browser) ไปยง URL ทไดรบแจง จากนนใหพจารณาดวาการ Defacement ทแจงมาเปนการสง Redirect ตอไปยงเวบไซตปลายทางของผโจมตหรอไม (สามารถตรวจสอบไดจากชอ Url ทเปลยนไปแสดงวาเปนการ Redirect) ซงหากเปนลกษณะของการ Redirect URL ตอไปยงเวบไซตอน ใหผดแลเขาตรวจสอบฐานขอมลวามขอมลแปลกปลอมจ าพวก Syntax ของการ Redirect ซอนอยทใดหรอไม เชน อาจพบวามการแทรกขอมล <meta HTTP-EQUIV="REFRESH" content="0; url=http://......"> หรอ <script language="JavaScript">window.location='http://......';</script> อยในฐานขอมลของกระดานสนทนาท าใหเกดการ Redirect ไปยงหนาเวบไซตผโจมตอยตลอดเวลา ซงเมอพบขอมลดงทกลาวมาใหผดแลรบลบขอมลเหลานนทงทนท และรบแกไขชองโหวทคาดวาเปนตนเหตใหผโจมตเขามาสรางปญหาซ าไดอก แตหากไมพบขอมลตองสงสยบนเวบไซตหรอฐานขอมลของเวบไซตใหผดแลแจงไปยงผใหบรการภายนอกตางๆ เพอตรวจสอบวามการเขาโจมตทเวบไซตผใหบรการเหลานนหรอไม
6.2 ตรวจสอบวามไฟลสครปตอนตรายประเภท Web shell อยบนเครองแมขายทใหบรการเวบไซตอยหรอไม โดยการใชโปรแกรมแอนตไวรสทวไปสแกนไปยงพนทของเวบไซตบนเครองแมขายของเวบไซตทดแล แตหากเปนการใชงานเครองแมขายจากผใหบรการภายนอกซงไมสามารถตดตงโปรแกรมแอนตไวรสไดใหกอปปขอมลออกมาจากเครองแมขายผใหบรการดงกลาวแลวน ามาสแกนยงเครองตนเอง ซงโดยปกตแลวไฟลสครปตอนตรายประเภท Web shell จะถกสแกนพบไดจากโปรแกรมแอนตไวรสทวไปอยแลว ซงเมอพบไฟลดงกลาวใหลบทง เพอเปนการจ ากดการเขาโจมตซ าในอนาคต และหาชองโหวทคาดวาจะเปนตนเหตของการสงรนไฟลสครปตอนตรายนนได (แนวทางการคนหาชองโหวไดกลาวไวในขางตนแลว) จากนนจงตรวจสอบวามไฟลอนทพบการเปลยนแปลงอกหรอไมแลวจงกคนไฟลซอรสโคดทถกผโจมตเปลยนแปลง
150
ไปกลบคน
หมายเหต: ขนตอนการกคนซอรสโคดอาจกระท ากอนการหาชองโหวของปญหากได เพราะอาจสงผลในแงของความนาเชอถอของเวบไซต แตผเขยนพยายามจะใหเหนถงความส าคญของการปดกนชองโหวเพราะจะไดเปนการแกปญหาอยางถาวร
7. ขอเสนอแนะทมเกยวกบการใชบรการจากภายนอกสามารถแนะน าไดดงน
7.1 ควรตรวจสอบผใหบรการทมความนาเชอถอและมความตระหนกถงความปลอดภยของระบบ ดงจะสงเกตไดจากการใหความรบนเวบไซตของผใหบรการตางๆ และการสอบถามถงกระบวนการดแลรกษาความปลอดภยของขอมลโดยตรงจากผใหบรการ
7.2 ควรมการส ารองขอมลของเวบไซตไวทอนนอกเหนอจากบนเครองแมขายท เชาใชบรการอย เพราะหากพบกรณทเวบไซตถกเปลยนแปลงหรอแกไข ซอรสโคดจะไดสามารถกคนขอมลไดอยางสมบรณและรวดเรว
17.3 เอกสารอางอง [17-1] http://en.wikipedia.org/wiki/Remote_file_inclusion#
Programming_languages [17-2] https://www.owasp.org/index.php/Unrestricted_File_Upload [17-3] http://foro.elhacker.net/hacking_basico/tutorial_html_
injection-t232019.0.html [17-4] http://wiki.answers.com/Q/What_do_you_mean_by_third_
party_service_providers [17-5] http://www.zone-h.org/news/id/4741 [17-6] http://www.itpro.co.uk/635926/hackers-deface-the-register-
vodafone-and-more
151
[17-7] https://www.owasp.org/index.php/SQL_Injection [17-8] http://www.netnames.co.uk/ [17-9] http://www.slideshare.net/pritisolanki/understanding-phpini-
presentation [17-10] http://en.wikipedia.org/wiki/Web_server [17-11] http://docs.joomla.org/Vulnerable_Extensions_List [17-12] http://wordpress.org/tags/vulnerability [17-13] http://drupal.org/security
152
153
18. ระวงภย มลแวร DuQu โจมตวนโดวสดวยฟอนต
ผเรยบเรยง: เสฏฐวฒ แสนนาม วนทประกาศ : 11 พฤศจกายน 2554 ปรบปรงลาสด : 11 พฤศจกายน 2554 ประเภทภยคกคาม : Malware
18.1 ขอมลทวไป เมอวนท 15 ตลาคม 2554 ไมโครซอฟทไดประกาศวามการแพรระบาดของมลแวรชอ DuQu (CVE-2011-3402) โจมตโดยอาศยชองโหวของไฟล win32k.sys ซงเปนสวนทใชส าหรบการแสดงผลรปแบบตวอกษร TrueType Font ของระบบปฏบตการ Windows ทกเวอรชน ผโจมตสามารถใชชองโหวนในการสงการเครองคอมพวเตอรเปาหมาย จากระยะไกลเพอใหประมวลผลค าสงทเปนอนตรายได ซงค าสงดงกลาวจะไดรบสทธในระดบเดยวกบ Kernel ของระบบปฏบตการ สงผลใหผโจมตสามารถตดตงโปรแกรม อาน เขยน หรอลบขอมล รวมทงสามารถสรางบญชผใชใหมทมสทธในระดบเดยวกบผดแลระบบ (Administrator) ได การโจมตอาจจะมาในรปแบบของอเมล HTML ทมค าสงใหดาวนโหลดฟอนตโดยอตโนมต หรอมากบเอกสารไฟลแนบซงใชชองโหวดงกลาว [18-1] จากการวเคราะห การท างานของ DuQu โดยผเชยวชาญ พบวาเปนมลแวรประเภท โทรจน (Trojan) ซงผพฒนาอาจเปนกลมเดยวกนกบกลมทพฒนา Stuxnet เนองจาก โคดหลายสวนมความคลายคลงกน แตมความแตกตางกนตรงท DuQu มจดมงหมายเพอการขโมยขอมลเทานน และยงไมพบวามการท างานทเปน
154
การโจมตระบบใดระบบหนงเปนพเศษ ซงแตกตางจาก Stuxnet ทมเปาหมาย เพอโจมตระบบโรงไฟฟานวเคลยรของประเทศอหรานโดยเฉพาะ [18-2] [18-3]
18.2 การท างาน
DuQu ใชเทคนคการฝงโคดทเปน Payload ลงในโปรเซส (Injects payload instructions) มสวนการท างานหลกๆ อย 2 สวน คอ การตดตง และ การฝง Payload โดยมขนตอนการท างานดงน [18-3]
การตดตง DuQu จะตดตงไดรเวอรปลอมของอปกรณโดยใชชอ JmiNET3.sys หรอ cmi4432.sys ซงไดรเวอรดงกลาวจะถกโหลดใหเปน Service ในทกครงท Windows เรมท างาน เครองทตด DuQu จะพบอปกรณเหลานอยในระบบ
• \Device\{3093AAZ3-1092-2929-9391} • \Device\Gpd1
การฝง Payload
DuQu จะฝง Payload ใหตดไปกบโปรเซสอนๆ โดยจะอานคาการท างานจากขอมลทถกเขารหสลบไวในรจสทร (Registry) ซงรจสทรทถกสรางโดยมลแวร มดงน
• HKLM\SYSTEM\CurrentControlSet\Services\JmiNET3\FILTER • HKLM\SYSTEM\CurrentControlSet\Services\cmi4432\FILTER
รจสทรดงกลาว จะใช Payload จากไฟลทถกสรางโดยมลแวร ดงน
• %systemroot%\inf\netp191.PNF • %systemroot%\inf\cmi4432.PNF
155
18.3 วธการแกไข
ไมโครซอฟทไดออกซอฟตแวร Fix It หมายเลข 2639658 เพอปรบปรงชองโหวดงกลาว เมอวนท 3 พฤศจกายน 2554 [18-5] อยางไรกตาม ซอฟตแวรนเปนเพยงการปดกนการเขาถงไฟลระบบทมชองโหว (T2embed.dll) แตไมใชการปรบปรงแกไขปญหา โดยไมโครซอฟทแจงวาจะออกแพทช (Patch) เพอแกปญหานผานทาง Windows Update ในภายหลง [18-6] [18-7] หากยงไมไดท าการตดตงซอฟตแวรปรบปรงชองโหวดงกลาว ผใชสามารถจ ากดความเสยหายทอาจเกดขนไดโดยการก าหนดคาระดบ Security ในเวบเบราวเซอร (web browser) หรอโปรแกรมรบสงอเมลของไมโครซอฟทใหเปน Restricted Zone เพอไมใหมการดาวนโหลดฟอนตจากเวบไซตภายนอกมาโดยอตโนมต รวมถงไมเปดไฟลเอกสารทแนบมากบอเมลทนาสงสย ศนยวจย CrySyS จากประเทศฮงการ ไดท าการวเคราะหการท างานของ DuQu และไดออกซอฟตแวร DuQu Detector Toolkit เพอใหผดแลระบบใชในการตรวจสอบเครองคอมพวเตอรและแกไขการท างานของระบบทถกเปลยนแปลงใหกลบสสภาพเดมได [18-8] ผทสนใจสามารถดาวนโหลดซอฟตแวรดงกลาวไดท http://www.crysys.hu/
18.4 แหลงขอมลอนๆ ทเกยวของ 1. http://osvdb.org/show/osvdb/76843 2. http://www.net-security.org/malware_news.php?id=1905
18.5 เอกสารอางอง [18-1] http://technet.microsoft.com/en-us/security/advisory/2639658 [18-2] http://thehackernews.com/2011/11/duqu-another-stuxnet-in-
making.html
156
[18-3] http://thehackernews.com/2011/11/duqu-malware-was-created-to-spy-on.html
[18-4] http://www.microsoft.com/security/portal/Threat/ Encyclopedia/Entry.aspx?Name=Trojan%3aWinNT%2fDuqu.A
[18-5] http://support.microsoft.com/kb/2639658 [18-6] http://www.theregister.co.uk/2011/11/09/nov_patch_tuesday/ [18-7] http://searchsecurity.techtarget.com/news/2240110565/One-
critical-bulletin-no-Duqu-patch-in-November-2011-Patch-Tuesday-updates
[18-8] http://thehackernews.com/2011/11/crysys-duqu-detector-open-source.html
157
19. ชองโหว BIND9 (CVE-2011-4313) ผเรยบเรยง: ศภกรณ ฤกษดถพร วนทประกาศ : 18 พฤศจกายน 2554 ปรบปรงลาสด : 21 พฤศจกายน 2554 หมายเลขชองโหว : CVE-2011-4313 ประเภทภยคกคาม : DoS (Denial-of-Service)
19.1 ขอมลทวไป
เมอวนท 16 พฤศจกายน 2554 หนวยงาน ISC (Internet Systems Consortium) ผพฒนาซอฟตแวร BIND ซงเปนซอฟตแวรทใชส าหรบการใหบรการ Domain Name System ไดรายงานปญหาขอผดพลาดของซอฟตแวร BIND เวอรชน 9 ซงสาเหตของขอผดพลาดดงกลาวเกดจากการท างานสวน Resolver ของซอฟตแวร BIND ประมวลผล Recursive Query ทผดพลาด แลวบนทก Query เกบไวใน Cache จากนน เมอ Resolver ประมวลผล Query นนซ าอก ระบบจะไปอานคาจาก Cache แทน ท าใหมการดงคาขอมลทผดพลาดนนขนมา และเมอพบวาขอมลผดพลาด ระบบจะท าการบนทก Error log ผานไฟล query.c ซงถกพบวาเมอมการถกโจมตโดยการ DoS จะท าใหระบบท าการบนทกขอผดพลาดดงกลาวซ าจนสงผลใหระบบหยดท างาน (Crash) [19-1] [19-2] [19-3] [19-4]
19.2 ผลกระทบ
ระบบหยดท างานไมสามารถใหบรการ Domain Name System ตอได [19-5]
158
19.3 ระบบทไดรบผลกระทบ
ISC BIND เวอรชน BIND 9.0.x -> 9.5.x, 9.4-ESV -> 9.4-ESV-R5, 9.6-ESV -> 9.6-ESV-R5, 9.7.0 -> 9.7.4, 9.8.0 -> 9.8.1
19.4 วธแกไข
ตดตงซอฟตแวรปรบปรงชองโหว ISC BIND ใหเปนรนปจจบน ดงน BIND 9.8.1-P1, 9.7.4-P1, 9.6-ESV-R5-P1, 9.4-ESV-R5-P1 [19-6]
19.5 แหลงขอมลทเกยวของ 1. http://www.isc.org/software/bind
2. http://technet.microsoft.com/en-us/library/cc961401.aspx 3. http://pastebin.com/JjaRtACv
19.6 เอกสารอางอง [19-1] http://osvdb.org/show/osvdb/77159 [19-2] http://searchsecurity.techtarget.com/news/2240111262/ISC-
issues-temporary-patch-for-zero-day-BIND-9-DNS-server-flaw [19-3] http://thehackernews.com/2011/11/patches-released-for-
bind-denial-of.html [19-4] http://secunia.com/advisories/46887/ [19-5] http://www.isc.org/software/bind/advisories/cve-2011-tbd [19-6] http://www.kb.cert.org/vuls/id/725188
159
20. การกขอมลจากฮารดดสกทถกน าทวม ผเรยบเรยง: เสฏฐวฒ แสนนาม วนทเผยแพร: 28 พ.ย. 2554 ปรบปรงลาสด: 28 พ.ย. 2554 จากเหตการณน าทวมทผานมา สงผลใหคอมพวเตอรของหนวยงาน สถานประกอบการ หรอบคคลทวไป หลายแหงจมอยใตน า ซงอาจมขอมลทส าคญอยในฮารดดสก และมความจ าเปนตองท าการกขอมล (Data recovery) เพอใหสามารถด าเนนกจการตอไปไดโดยเรวทสด แตการกขอมลนนมหลายสงทควรรและตองค านงในการปฏบต เพอไมใหเกดความเสยหายตอฮารดดสกโดยไมตงใจ ดงนน การรจกการท างานของฮารดดสก รปแบบความเสยหาย วธการการแกไข และขนตอนการปฏบตในการกขอมล กจะสามารถชวยปองกนความเสยหายและเพ มโอกาสในการกขอมลกลบคนมาได
20.1 โครงสรางการท างานของฮารดดสก
ปจจบน มการใชงานฮารดดสกอย 2 แบบ คอแบบจานแมเหลก และแบบ Solid-state (SSD) ซงทง 2 แบบมโครงสรางและการท างานทแตกตางกน สงผลใหมความแตกตางในเรองของการเกบขอมลและการกขอมลตามไปดวย
ฮารดดสกแบบจานแมเหลก
รปท 31 (20-1) ฮารดดสกแบบจานแมเหลก [20-1]
160
นยมใชในคอมพวเตอรทวไป รวมถงกลองวดโอบางรน เนองจากมขนาดความจคอนขางสงและมราคาทลดลงมาอยในระดบทไมสงมาก ฮารดดสกแบบแมเหลกจะใชแผนจานโลหะเพอเกบขอมล โดยมมอเตอรหมนอยภายใน และใชหวอานในการอานและเขยนขอมลลงในแผนจานในการอานหรอเขยนขอมล จะใชหลกการเปลยนทศทางของสนามแมเหลก เพอเกบขอมลในรปแบบของเลขฐาน 2 ในขณะทฮารดดสกท างานหวอานจะลอยอยเหนอแผนจานประมาณ 10 นาโนเมตร [20-2] (เสนผมของมนษยมเสนผานศนยกลางเฉลย 99 ไมโครเมตร) แผนจานจะหมนดวยความเรวสง ซงในปจจบนมความเรวในการหมนประมาณ 7 ,200 – 10,000 รอบตอนาท (ประมาณ 270 กโลเมตรตอชวโมง) ดงนน หากฮารดดสกมการสนสะเทอนเกดขนในขณะทหวอานก าลงท างานกมโอกาสสงทหวอานจะไปขดกบแผนจานแมเหลก ซงสงผลใหฮารดดสกเสยหายอยางถาวรได
ฮารดดสกแบบ Solid-state
รปท 32 (20-2) ฮารดดสกแบบ Solid-state [20-3]
ฮารดดสกแบบ Solid-state ใชหลกการเดยวกนกบอปกรณเกบขอมลแบบพกพา เชน Flash drive ซงเปนอปกรณเกบขอมลรปแบบใหมทไมมชนสวนทเปนการหมนหรอหวอานอยภายใน โดยจะเปลยนมาใชการเกบขอมลบน NAND Chip ซงเปนการอานและเขยนขอมลโดยใชไฟฟาสงผลใหฮารดดสกแบบ Solid-state สามารถอานเขยนขอมลไดเรวกวาฮารดดสกแบบจานแมเหลก แตเนองจาก มราคาทคอนขางสงและมความจนอยกวาฮารดดสกแบบจานแมเหลก จงนยมใชในอปกรณทตองการการพกพาสะดวกและมน าหนกเบา เชน คอมพวเตอรโนตบก
161
แบบ Ultra-thin หรอโทรศพทมอถอบางรน
ฮารดดสกแบบ Solid-state จะแบงพนทในการเกบขอมลออกเปนบลอก (หรอ Cell) ซงแตละบลอกมจ านวนครงในการเขยนหรอลบขอมลอยจ ากด ถาใชครบจ านวนครงทก าหนดบลอกนนจะไมสามารถใชงานไดอก [20-4] นอกจากน การเกบขอมลจะไมไดเกบแบบตอเนองเหมอนฮารดดสกแบบจานแมเหลก แตจะใชวธ Logical mapping ซงเปนการเชอมโยงขอมลทเกบอยจรงในหนวยความจ าใหเปนไฟลขอมลส าหรบคอมพวเตอร ซงสวนทท าหนาทดงกลาวเรยกวา Controller
20.2 ความเสยหายทอาจเกดขนไดกบฮารดดสก ความเสยหายทางการภาพ (Physical damage) ความเสยหายทเกดขนกบฮารดดสกแบบจานแมเหลก จะเกดกบสวนของจานแมเหลกทใชส าหรบบนทกขอมลไมวาจะเปนการอยภายใตสนามแมเหลกทความแรงสงจนขอมลทเกบอยผดเพยน หรอหวอานกระแทกกบจานขอมล ท าใหเขาถงขอมลในสวนนนไมได เปนตน ซงถงแมวาในขณะทปดเครองหวอานของฮารดดสกจะถกเกบใหไปอยในททปลอดภยแลวกตาม แตการทฮารดดสกตกจากทสงกมโอกาสทจะเกดความเสยหายไดเชนกน หากหวอานช ารดแตแผนจานแมเหลกยงสามารถใชงานไดอยกยงสามารถใหผเชยวชาญท าการถอดจานแมเหลก เพอน าไปอานขอมลออกมาใสในฮารดดสกอนได แตหากแผนจานแมเหลกช ารดเสยหาย โอกาสทจะกขอมลไดกนอยลงไปดวย [20-5] [20-6]
ส าหรบฮารดดสกแบบ Solid-state ถาสวน Controller เสยหาย การกขอมลจะท าไดยากมากหรอแทบเปนไปไมไดเลย เนองจาก การกขอมลตองแกะเอา NAND Chip ออกมาคดลอกขอมล แลวน าชนสวนของขอมลทไดมาวเคราะหเพอสรางตารางขอมลใหม นอกจากน วธการเกบขอมลในฮารดดสกแบบ Solid-state ยงแตกตางกนออกไปตามวธการของผผลต ปจจบนยงไมมซอฟตแวรทใชในการกขอมลในลกษณะนจ าเปนตองใหผเชยวชาญท าเทานน [20-7] [20-8] [20-9] [20-10]
162
ในประเทศไทยมบรษททใหบรการกขอมลในฮารดดสกในกรณทเกดความเสยหายทางกายภาพ เชน ศนยกขอมล IDR หรอ ศนยกขอมล i-CU เปนตน ซงคาใชจายในการกขอมลกจะแตกตางกนออกไปแลวแตกรณ อยางไรกตาม ThaiCERT ไมไดมสวนเกยวของกบผใหบรการกขอมลดงกลาว
ความเสยหายทเกดขนกบขอมล (Logical damage) เปนความเสยหายทเกดขนจากการใชงาน ซงเกยวของกบไฟลหรอระบบโครงสรางของการเกบขอมลไมวาจะเปนการเผลอลบขอมล การ Format ฮารดดสก หรอการเขยนขอมลทบ ซงความเสยหายในสวนนสามารถกคนไดดวยซอฟตแวร โดยปจจบนมซอฟตแวรทใชส าหรบกขอมลอยจ านวนมากผใชสามารถดาวนโหลดมาใชงานไดฟร เชน Recuva หรอ TeskDisk เปนตน [20-11]
20.3 ท าอยางไรหากฮารดดสกจมน า หากฮารดดสกจมน าไมวาฮารดดสกจะเสยหายอยางไรกตาม ยงพอมโอกาสทจะกขอมลได การกขอมลจากฮารดดสกทมความเสยหายทางกายภาพนน ไมสามารถท าไดดวยตนเอง แตสามารถขอความชวยเหลอในการกขอมลจากผเชยวชาญได ขอแนะน าในการปฏบตในการเกบและจดสงฮารดดสกใหกบบรษททใหบรการกขอมล มดงน
ฮารดดสกแบบจานแมเหลก
1. ไมควรท าการกขอมลดวยตนเองโดยเดดขาด เพราะเมอฮารดดสกจมน า หวอานอาจจะไปตดอยกบจานขอมล ถาจายไฟเขาไปจะเกดการหมนของหวอาน ซงอาจจะไปขดกบจานขอมลท าใหฮารดดสกเสยหายถาวรได
2. อยาท าใหฮารดดสกแหง เพราะเมอฮารดดสกแหงจะเกดคราบและเศษฝนเกาะตดอยทจานหรอหวอานได
163
รปท 33 (20-3) คราบฝนทตดอยบนฮารดดสกเมอน าแหง [20-12]
1. อยาท าใหฮารดดสกสนสะเทอน เนองจากหวอานอาจจะขดกบแผนจาน ท าใหฮารดดสกเสยหายได
2. ท าใหฮารดดสกอยในสภาพทจมน าแบบทยงคงเปนอย โดยอาจจะน าฮารดดสกใสในภาชนะทปดมดชด เชน กลองโฟม หรอ กลองใสอาหาร แลวสงใหกบผเชยวชาญเพอท าการกขอมลตอไป [20-13]
ฮารดดสกแบบ Solid-state
ส าหรบฮารดดสกแบบ Solid-state (หรอ Flash drive) เนองจากเปนแผงวงจร จงสามารถทนทานตอการจมน าไดบาง หากฮารดดสกถกน าควรรบน าฮารดดสกออกมาท าใหแหงโดยเรวดวยการใชพดลมเปา ไมควรใชไดร เปาผมหรอน าไปตากแดด จากนนเมอแนใจวาฮารดดสกแหงสนทแลวสามารถน าไปใชงานตอได แตหากฮารดดสกจมน าเปนเวลานานมโอกาสทจะท าใหแผงวงจรหรออปกรณภายในขนสนมได ควรรบท าใหแหงแลวสงไปยงศนยกขอมลเพอใหผเชยวชาญด าเนนการ ตอไป [20-14]
20.4 การกขอมลจากฮารดดสกทถกลบหรอเขยนขอมลทบ
หากฮารดดสกไมไดเสยหายทางกายภาพ แตขอมลสญหายเนองจากอบตเหตในระหวางการใชงาน เชน การเผลอลบไฟลเอกสารส าคญ หรอฮารดดสกถก Format
164
ยงสามารถใชซอฟตแวรท าการกขอมลได เนองจากเมอระบบท าการลบไฟล จะไมลบขอมลจรงทง แตจะลบสวนทเปนการอางองต าแหนง ( Index) ของขอมลแทน หมายความวา “ชอ” ทใชในการอางองต าแหนงของขอมลนนจะหายไป แตตวขอมลยงคงอย เมอฮารดดสกแบบแมเหลกเขยนขอมลใหมทบขอมลเดม จะไม ไดเปลยนบทของขอมลเดมจาก 0 เปน 1 หรอ 1 เปน 0 พอด แตจะมการเหลอมอยบาง ถาสามารถอานขอมลดบทอยบนดสกแลวท าการวเคราะหรปแบบ (Pattern) ของการเปลยนคาจาก 0 เปน 1 หรอ 1 เปน 0 ได จะสามารถรวาขอมลตรงสวนนเคยมคาเปนอะไรมากอน นอกจากน ยงสามารถใชกลองสแกนแถบแมเหลกในฮารดดสก เพอดคาการจดเรยงของสนามแมเหลกในดสกได [20-15] อยางไรกตาม การท าลายขอมลบนฮารดดสกนนกยงสามารถท าไดอย จากการวจยพบวา ถาเขยนทบขอมลนนมากกวา 25 ครงจะไมสามารถกขอมลกลบคนมาได [20-16] [20-17] [20-18]
20.5 การปองกนขอมลสญหาย
ในการปองกนขอมลสญหายวธทดทสด คอ การส ารองขอมลอยอยางสม าเสมอ ซงการส ารองขอมลกสามารถท าไดหลายวธ เชน ใชการตอฮารดดสกแบบ RAID เพอส ารองขอมลไปยงฮารดดสกอกลกหนงโดยอตโนมต หรอน าขอมลทส าคญไปฝากไวกบผใหบรการฝากขอมลบนอนเทอรเนต
20.6 ขอมลเพมเตม 1. Data Remanence in Semiconductor Devices:
http://www.cypherpunks.to/~peter/usenix01.pdf 2. List of data recovery software:
http://en.wikipedia.org/wiki/List_of_data_recovery_software
3. Reliably Erasing Data From Flash-Based Solid State Drives: http://www.usenix.org/events/fast11/tech/full_papers/Wei.pdf
4. Redundant array of independent disks:
165
http://en.wikipedia.org/wiki/Redundant_array_of_independent_disks
20.7 เอกสารอางอง [20-1] http://en.wikipedia.org/wiki/Hard_drive [20-2] http://www.pcguide.com/ref/hdd/op/heads/op_Height.htm [20-3] http://en.wikipedia.org/wiki/Solid-state_drive [20-4] http://www.datarecovery.net/articles/solid-state-drive-
architecture.html [20-5] http://en.wikipedia.org/wiki/Data_remanence [20-6] http://en.wikipedia.org/wiki/Data_loss [20-7] http://www.datarecovery.net/solid-state-drive-recovery.html [20-8] http://www.datarecoverytools.co.uk/2010/02/21/is-ssd-data-
recovery-possible-and-different-from-hard-drive-data-recovery/
[20-8] http://www.recovermyflashdrive.com/articles/how-flash-drives-fail
[20-9] http://www.recovermyflashdrive.com/articles/5-things-you-should-know-about-flash-drives
[20-10] http://en.wikipedia.org/wiki/Data_recovery [20-11] http://www.dataclinic.co.uk/advanced-data-recovery-water-
damaged-hard-disk-drive.htm [20-12] http://www.storagesearch.com/disklabs-art3-floods.html [20-13] http://www.associatedcontent.com/article/2556459/
how_to_salvage_a_usb_flash_drive_from.html [20-14] http://www.nber.org/sys-admin/overwritten-data-
166
guttman.html [20-15] http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_
del.html [20-16] http://www.anti-forensics.com/disk-wiping-one-pass-is-enough [20-17] http://www.anti-forensics.com/disk-wiping-one-pass-is-enough-
part-2-this-time-with-screenshots