coverᨌ§àµ×͹áÅТŒÍá¹Ð¹Ó CYBER
THR
EAT A
LERTS - 2012
SECURITY ARTICLES
º·¤ÇÒÁà¼Âá¾Ã‹
2012
CYBERâ´Â
inner cover
ชอเรอง บทความ Cyber Threats 2012 โดย ThaiCERT
เรยบเรยงโดย นายสรณนท จวะสรตน, นายเสฏฐวฒ แสนนาม, นายไพชยนต วมกตะนนทน, นายศภกร ฤกษดถพร, นายพรพรหม ประภากตตกล, นายเจษฎา ชางสสงข, นายวศลย ประสงคสข, ธงชย ศลปวรางกร และ ทมไทยเซรตพมพครงท 1 มกราคม 2556พมพจำ นวน 1,500 เลมราคา 300 บาท
สงวนลขสทธตามพระราชบญญตลขสทธ พ.ศ. 2537
จดพมพและเผยแพรโดย
ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอรประเทศไทย
(Thailand Computer Emergency Response Team)
สำานกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ สพธอ.
เลขท 120 หม 3 ศนยราชการเฉลมพระเกยรต 80 พรรษา 5 ธนวาคม 2550 ถนนแจงวฒนะ
แขวงทงสองหอง เขตหลกส กรงเทพฯ 10210
โทรศพท : 0-2142-2483 | โทรสาร : 0-2143-8071
เวบไซตไทยเซรต : www.thaicert.or.th | เวบไซต สพธอ. : www.etda.or.th | เวบไซตกระทรวงฯ : www.mict.go.th
บทความ Cyber Threats 2012โดย ThaiCERT
คำ�นำ�ศนยประสานงานการรกษาความมนคงระบบ
คอมพวเตอรประเทศไทย หรอไทยเซรต ไดเรมดำาเนน
การภายใตสำานกงานพฒนาธรกรรมทางอเลกทรอนกส
(องคการมหาชน) กระทรวงเทคโนโลยสารสนเทศและ
การสอสาร มาตงแตวนท 1 กรกฎาคม พ.ศ. 2554
โดยใหบรการรบแจงเหตภยคกคามดานสารสนเทศ
และประสานงานกบหนวยงานทเกยวของในการแกไข
ปญหาทไดรบแจง
ไทยเซรตมวสยทศนใหสงคมออนไลนมความ
มนคงปลอดภย เกดความเชอมนกบผทำาธรกรรมทาง
อเลกทรอนกส และมพนธกจมงเนนการประสานงาน
กบหนวยงานในเครอขาย และหนวยงานทเกยวของ
ในการดำาเนนการแกไขเหตภยคกคามดานสารสนเทศ
ทไดรบแจง
ไทยเซรตมพนธกจเชงรกในการเพมขดความ
สามารถของทรพยากรบคคลดานการรกษาความ
มนคงปลอดภยสารสนเทศ และมกจกรรมสรางความ
ตระหนกและพฒนาทกษะความรตางๆ เชน การซก
ซอมรบมอภยคกคามดานสารสนเทศ และการแลก
เปลยนและเผยแพรขอมลขาวสารเกยวกบภยคกคาม
ดานสารสนเทศ
หนงสอเลมนเปนรวบรวมบทความทไดเผยแพร
ผานเวบไซตของไทยเซรต (www.thaicert.or.th) ใน
ชวงระยะเวลาวนท 1 ธนวาคม 2554 - 31 ธนวาคม
พ.ศ. 2555 ซงมเนอหาสำาหรบกลมบคคลทวไป และ
ผดแลระบบสารสนเทศ ผจดทำาหวงเปนอยางยงวา
หนงสอเลมน จะมสวนชวยในการสรางภมคมกนให
กบสงคมออนไลนของประเทศไทย
สรางคณา วายภาพ
ผอำานวยการสำานกงานพฒนาธรกรรม
ทางอเลกทรอนกส (องคการมหาชน)
Cyber Threat Alerts - 2012 | 07
สารบญ
08 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 09
สารบญรป
10 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 11
12 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 13
14 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 15
เอกสารเผยแพรสำ�หรบผใชทวไป
01 แนวทางการบรหารจดการเครอขายไร
สายสวนบคคลกบภยคกคามทเกยวของผเขยน: พรพรหม ประภากตตกลวนทเผยแพร: 16 ธ.ค. 2554ปรบปรงลาสด: 25 ธ.ค. 2554
ปจจบนเทคโนโลยเครอขายไรสายหรอทเรยกวา Wireless Network เปนทแพรหลายอยางมาก ดงจะ
สงเกตเหนไดตามตรอกซอกซอย ซงเปนแหลงทพกอาศยของบคคลทวไป กจะพบวาสามารถคนเจอสญญาณ
เครอขายไรสายมากมาย ทงนคงเปนเพราะเหตผลของเทคโนโลยทางดานเครอขายไรสายทเจรญเตบโต ขนอยาง
รวดเรวและงบประมาณทใชในการจดตงจดเชอมตอเครอขายไรสาย มราคาถกลงมาก รวมถงอปกรณทหาซอ
ไดงายและสามารถเรยนรวธการเพอจดตงจดเชอมตอเครอขายไรสายไดไมยากเยน จากขอมลทมอยมากมาย
บนอนเทอรเนต ซงวตถประสงคของการจดตงเครอขายไรสายเหลานสวนหนงคอตงใจ เพมความสะดวกสบาย
ใหกบผใชเทคโนโลยพกพา เชน โทรศพทมอถอ Smart Phone หรอเครองคอมพวเตอรโนตบค สำาหรบการ
เขาถงอนเทอรเนต แตในความตงใจดงกลาวอาจจะถกเจอปนดวยความไมรซงนำาไปสอนตราย ซงแอบแฝงมา
กบจดเชอมตอของเครอขายไรสายนนๆ เหตทกลาวเชนน เพราะจากคณลกษณะทางกายภาพของการใชงาน
เครอขายไรสายท เปนการเชอมตอสญญาณผานตวกลางทเปนคลนวทย (Radio wave) ซงไมสามารถระบ
ไดวาใครบางทกำาลงทำาอะไรกบเครอขายไรสายของเราหรอ แมจะตรวจสอบวาผทกำาลงเชอมตออยกบเครอ
ขายไรสายของเรานนอย ทพกดไหนกยงคงเปนเรองยาก ซงจะไมไดเหมอนการเชอมตอสญญาณผานสาย
LAN (Local Area Network) ทจะรตนสายปลายทางจากการเชอมตอนนๆ ไดอยางงาย เพราะฉะนนการ
คดจะจดตงจดเชอมเครอขายไรสาย ควรตองศกษาขอมลใหละเอยดถงการทำางานในสวนตางๆ ขอด/ขอเสย
ของอปกรณแตละชนด และสดทายจำาเปนตองรเทาทนเหตการณทอาจจะเกดขนในอนาคต เพอเตรยมพรอม
รบมอและทำาใหเครอขายไรสายของเรามความมนคงปลอดภยมากทสด โดยเอกสารฉบบนจดทำาขนเพอใหผ
ทตองการใหบรการเครอขายไรสาย สวนบคคล (Private Wireless Network) หรอผทใหบรการเครอขายไร
สายสวนบคคลอยแลวกตาม ไดรบทราบถงขอมลของภยคกคามและแนวทางในการบรหารจดการเครอขายไร
สาย ใหมความมนคงปลอดภยมากทสด โดยรปแบบการนำาเสนอจะขออธบายตามโครงสรางขอมลดงตอไปน
16 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 17
รปแบบของการใหบรการเครอขายไรสาย
สามารถจำาแนกไดเปน 2 ประเภทตามลกษณะการใหบรการ
• ใหบรการในพนทสาธารณะ (Public Wireless Network) โดยสวนใหญจะเปนผใหบรการ
ทมความเชยวชาญและมความรเฉพาะท เกยวกบการใหบรการเครอขายไรสายอยแลว เชน
True Wi-Fi, 3BB Hotspot, TOT Wi-Fi เปนตน โดยจะพบเหนบรการไรสายเหลานในพนท
สาธารณะสวนใหญหรอในบางครงอาจ พบวาตามสถานทราชการทวไปกจะมบรการเครอขาย
ไรสายของผใหบรการตางๆ เปดใหบรการอย ซงการขอใชบรการสวนใหญจำาเปนตองเปดการ
ใหบรการโดยการลงทะเบยนรบ เอกสารขอมลการยนยนตวตน เชน ชอผใช (Username)
และรหสผาน (Password) เพอเขาใชงานตอไป
• ใหบรการในพนทสวนบคคล (Private Wireless Network) เชน ในบรเวณบาน หรอใน
บรเวณสำานกงานเลกๆ เปนตน ซงมขอสงเกตคอมกจะเปนการใหบรการทไมมผลประโยชน
เขามาเกยวของ คอไมมการคดคาบรการและขอบเขตการใหบรการคอนขางแคบหรอจำากด
ซงหมายความวาการใหบรการสวนใหญจะเปดใหใชงานเพออำานวยความสะดวกให กลมผทม
ความเกยวของดวยโดยตรง เชน เปนบคคลในครอบครว หรอเปนพนกงานในสำานกงานนนๆ
เปนตน และการใชงานจะครอบคลมพนทการใชงานในระยะใกล
องคประกอบหลกของการใชงานเครอขายไรสาย อปกรณเชอมตอสญญาณอนเทอรเนต เปนอปกรณหลกททำาหนาทเชอมตอเครอขายอนเทอรเนตหรอท
เรยกวา โมเดม (Modem) โดยปจจบนพบวามผผลตโมเดมออกมาเพอรองรบการใชงานเชน Modem 56K,
Modem ADSL, Modem 3G ซงแตละมาตรฐานกมการรองรบความเรวในการรบสงขอมลแตกตางกนไป
อปกรณกระจายสญญาณสำาหรบเครอขายไรสาย เปนอปกรณหลกททำาหนาทเปนสถานรบสงขอมลผาน
เครอขายไรสาย โดยบางครงจะเชอมตอกบโมเดมเพอทำาใหสามารถรบสงขอมลกบเครอขาย อนเทอรเนตได
และสามารถตงชอของสถานเครอขายไรสาย (SSID) ดงกลาวไดเอง ซงอปกรณทกลาวถงจะเรยกวา Access
Point [1-1] หรอในบางอปกรณจะจบความสามารถของการเชอมตอสญญาณอนเทอรเนตและความสามารถ
ในการกระจายสญญาณไรสายรวมไวในอปกรณเดยวกนแลวเรยกวาเปน Wireless Modem Router ซง
ปจจบนมผผลตสนคาออกมาหลายยหอหลายรน โดยความแตกตางของอปกรณแตละรนหรอยหอมกจะเปน
เรองการรองรบจำานวน การเชอมตอสงสดทอปกรณสามารถรบได (บางรนรองรบไดท 10-15 การเชอมตอ)
รวมถงความเรวของการรบสงขอมลบนเครอขายไรสายทแตกตางกน เชน Wireless N จะรองรบความเรว
สงสดในการรบสงขอมลท 300 Mbps สวน Wireless G จะรองรบความเรวสงสดในการรบสงขอมลท 54
Mbps เปนตน นอกจากน คอมพวเตอรโนตบคหรอโทรศพทมอถอ Smart Phone รนใหมๆ ยงสามารถ
ปลอยสญญาณอนเทอรเนตเพอทำาหนาทเปน Access Point ไดอกดวย
ซอฟตแวรบรหารจดการเครอขายไรสายเปนหวใจการของควบคมการเขาถงเครอขายไรสายใหมความ
มนคงปลอดภย โดยมลกษณะการทำางานเปนซอฟตแวรสำาหรบตงคาการใชงานเครอขายไรสาย เชน การระบ
เครองคอมพวเตอรทสามารถเชอมตอมายงเครอขายไรสายไดโดย ตรวจเชคจากหมายเลข MAC Address
(MAC Filter) การตงคาชอเครอขายไรสาย Service Set Identifier (SSID) การตงคาการเขารหสลบขอมล
เพอการใชงานเครอขายไรสาย (Encryption) เปนตน โดยซอฟตแวรดงกลาวผผลตจะผนวกไวในอปกรณ
กระจายสญญาณไรสาย ทำาใหไมตองจดหาหรอดแลอปกรณอน ๆ เพมเตม
มาตรฐานการเขารหสลบสญญาณในเครอขายไรสายรปแบบตางๆ
การรกษาความมนคงปลอดภยของระบบเครอขายไรสายถอเปนเรองสำาคญ จงมผคดคนรปแบบในการ
เขารหสลบสญญาณในเครอขายไรสาย เพอปองกนการดกรบขอมล (Sniff) และยงใชเปนแนวทางในการจำากด
สทธในการเขาใชงานเครอขายไรสาย ซงมาตรฐานทนยมใชงานบนอปกรณเชอมตอไรสายทพบโดยทวไปมดงน
WEP (Wired Equivalent Privacy) เปนอลกอรทมในการรกษาความมนคงปลอดภยของเครอขายไร
สายลำาดบแรกทพฒนาขน [1-2] ตามมาตรฐาน IEEE 802.11 ในชวงป คศ. 1999 ใชในการพสจนตวตนโดย
อาศยหลกการแชรกญแจลวงหนา (Pre-shared Key) ผใชทกคนทใชงานบนเครอขายจะตองทราบกญแจ
สมมาตร (Symmetric key) ทจะใช [1-3] ซงทกคนทเขาใชงานจะตองไดรบกญแจตวเดยวกน กญแจมขนาด
64 bit หรอ 128 bit (จะสงเกตได จากหนาระบบบรหารจดการเครอขายไรสายจะใหเลอกวาจะใชงาน WEP
64 bit หรอ WEP 128 bit) โดยกญแจดงกลาวนอกจากจะใชในการยนยนตวตนแลว ยงถกใชในการเขาและ
ถอดรหสลบขอมลทรบสงภายในเครอขายดวย ซงวธการเชนนเปนชองโหวใหผโจมตสามารถเจาะระบบเครอ
ขายผานเทคนคตางๆ เชน การใชโปรแกรมดกรบขอมลทรบสงระหวางอปกรณทเชอมตอแลวนำามาวเคราะห
เพอหากญแจทใชสำาหรบเขาระบบ ซงสามารถ ทำาไดในเวลาอนรวดเรว ถงแมจะมการใชงานกญแจขนาด 128
bit ซงเปนกญแจขนาดใหญสดแลวกตาม [1-4] [1-5] ดงนนการปองกนการเขาถงดวยวธ WEP จงไมเปนท
นยมในปจจบน ตอมาไดมการพฒนามาตรฐานเครอ ขายไรสายแบบใหมขนมา เพอเพมความมนคงปลอดภย
ใหมากขน โดยมชอเรยกของมาตรฐานดงกลาววา IEEE 802.11i [1-6] ซงมาตฐานดงกลาวไดเพมอลกอรทม
การเขารหสลบแบบใหม คอ WPA และ WPA2 WPA และ WPA2 (Wi-Fi Protected Access)
WPA คออลกอรทมในการเขารหสลบการเชอมตอเครอขายไรสายทมความมนคงปลอดภยมากกวา
WEP มกลไกการเขารหสลบและถอดรหสลบแบบ TKIP (Temporal Key Integrity Protocol) [1-7] โดย
กญแจทใชในการเขาหรอถอดรหสลบจะถกเปลยนแปลงโดยอตโนมตอยเสมอ ตามผใชงานแตละคนและกลม
ขอมล (Packet) ทมการรบสง แตอยางไรกตามปจจบนพบวาวธการเขารหสลบดวย WPA สามารถถกเจาะได
โดยการดกขอมลทรบสงระหวางอปกรณและ Access Point ในระหวางทอปกรณดงกลาวแลกเปลยนกญแจ
ดวยวธการทำา Handshake [1-8] [1-9] ดงนนจงมการพฒนาเทคนคการเขารหสลบรปแบบใหมขนมาเรยกวา
WPA2 ซงนอกจากรองรบ TKIP แลวยงเพมกลไกการเขารหสลบทมความมนคงปลอดภยมากขน คอ CCMP
(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) ซงถก
18 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 19
พฒนามาจากมาตรฐาน AES (Advanced Encryption Standard) [1-10] โดยมหลกการเบองตนคอแบง
ขอมลออกเปนสวนๆ (Block) โดยแตละสวนตองมขนาด 128 bit เปนอยางตำา จากนนใชกญแจขนาด 128
bit เขารหสลบขอมลจนครบทก Block ซงการทำาเชนนจะแตกตางจาก WEP และ WPA ทใชการเขารหสลบ
ขอมลทงชด (Stream) โดยจากการตรวจสอบขอมลจะเหนไดวาการใชกลไกการเขารหสลบแบบ CCMP ม
ความมนคงปลอดภยและยากตอการโจมตกวาการใช WEP หรอ WPA [1-11] [1-12] ดงนนสำาหรบผดแล
เครอขายไรสายทวไปแลวในการเลอกรปแบบการเขารหสลบขอลเพอปองกนผโจมต จงควรตงคารหสการ
เชอมตอเครอขายไรสายทเปน WPA2 ในโหมด AES ตามทไดกลาวมาขางตน
ภยคกคามทเกดขนกบการจดตงบรการเครอขายไรสาย ภยคกคามจากซอฟตแวรทใชในการบรหารจดการเครอขายไรสาย โดยซอฟตแวรททำางานผดพลาด
อาจสงผลกระทบรนแรงจนทำาใหเกดชองโหวทผโจมตสามารถเขาถงเครอขายไรสายหรอเขาควบคมระบบ
การบรหารจดการเครอขายไรสายได
ภยคกคามจากการใชเทคนคหลอกลวง โดยพบวาผโจมตจะสรางสถานเครอขายไรสายเพอหลอกลวงผ
ใชงานใหหลงเชอวาเปนเครอขายไรสายชอเดยวกน ซงเมอผใชงานทำาการกรอกรหสผานเพอเขาใชงานกจะ
ทำาใหถกดกรบ ขอมลได และจากนนผโจมตจะนำารหสผานดงกลาวไปใชงานตอไป
ภยคกคามจากการโจมตเครอขายไรสายทจดตงขน เกดจากผไมหวงดซงสบทราบถงกระบวนการรกษา
ความมนคงปลอดภยของเครอขายไรสายทจดตงขน และพยายามโจมตเครอขายไรสายดงกลาวในลกษณะของ
การขโมยรหสผานโดยวธการและอปกรณทหาซอไดตามทวไป ยกตวอยางเชน การประมวลผลเพอแกะรอย
รหสผานของการเขารหสลบสญญาณแบบ WEP
ภยคกคามจากการตงคาเครอขายไรสายอยางไมถกวธ เกดจากผจดตงเครอขายไมมความรความเขาใจ
ในการจดตงเครอขายไรสาย จนทำาใหผโจมตสามารถเขาถงเครอขายไรสายไดอยางงายดาย เชน ผดแลเครอ
ขายไรสายไมตงคาโหมดการยนยนรหสผานไว ทำาใหบคคลใดกตามทคนพบสญญาณเครอขายไรสายดงกลาว
สามารถเชอมตอเพอใชงานอนเทอรเนตไดทนท
ภยคกคามจากการบอกรหสผานผอนสำาหรบเขาใชงานเครอขายไรสายได การใหรหสผานกบผอนใน
การเขาใชงานเครอขายไรสาย ถอเปนความเสยงอยางรนแรง เนองจากผดแลเครอขายไรสายเอง จะไมทราบ
เลยวาผใชงานคนนนไดใชงานเครอขายไรสายทจดตงขนในทางทผดอยางไรบาง เชน ผใชงานอาจใชงาน
อนเทอรเนตเพอโพสตขอความหมนประมาทผอน ผใชงานนำาขอมลรหสผานนไปบอกตอแกบคคลอน หรอ
แมกระทงผใชงานมความพยายามจะขโมยขอมลหรอลกลอบเขาไปในระบบบรหารจดการเครอขาย เพอให
ไดสทธในการควบคมเครอขายไรสายดงกลาว ซงหากเปนเพยงการโจมตภายในอาจพบวาสามารถแกไขได
ไมยาก แตหากพบวาเปนการใชงานตอสาธารณะในความผดทตองไดรบโทษทางกฎหมาย กจะทำาใหผดแล
เครอขายไรสายหรอผเชาใชงานอนเทอรเนตบนเครอขายไรสายนนๆ ตองกลางเปนผรบผดชอบแทนในฐานะ
ทเปนผกระทำาความผด โดยสวนใหญ อปกรณเครอขายไรสายสวนบคคลจะไมสามารถจดเกบขอมลบนทก
การใชงาน (Log) ไวในตวอปกรณ
ขอแนะนำ สำ หรบการใหบรการเครอขายไรสายในพนทสวนบคคล
• เลอกซออปกรณการเชอมตอสำาหรบเครอขายไรสายจากผผลตทมความนาเชอถอ โดยสงเกต
สญลกษณคำาวา Wi-Fi CERTIFIED ดงรปท 1 (1-1) และมขอมลฟงกชนการใชงานประกอบ
เพอเปนขอมลในการตดสนใจเลอกซอ รวมถงเพอใหสามารถวางแผนการใหบรการเครอขาย
ไรสาย และกำาหนดความตองการสำาหรบการตงคาการเขาถงตางๆได
รปท 1 (1-1) WI-FI CERTIFIED [1-13]
• อพเดทซอฟตแวร (Firmware) สวนทใชในการบรหารจดการเครอขายไรสายใหใหมอยเสมอ
เพอลดความเสยงทอาจเกดขนจากการคนพบชองโหวตางๆ ในซอฟตแวรเวอรชนทใชงาน
หรอในบางครงการอพเดทซอฟตแวรทำาใหสามารถขยายความสามารถบางอยางของการ
บรหารจดการ เชน ทำาใหสามารถใชงานการเขารหสลบสญญาณของเครอขายไรสายแบบ
WPA ไดเพมเตม จากเดมทมใหเลอกใชเพยง WEP
• เปดการใหบรการ Firewall เพอปองกนการบกรกจากภายนอกเครอขาย การตงคารหสผาน
หรอ Passphrase ในการเขาใชงานระบบเครอขายไรสายควรตงคาใหมความยาวมากกวา
20 ตวอกษร และไมสอถงคำาทอยในพจนานกรม เพอปองกนการคาดเดาหรอสมรหสผานใน
การเขาใชงานเครอขายไรสาย [1-14]
• เปดโหมดการยนยนรหสผานในการเชอมตอเครอขายไรสาย โดยแนะนำาใชเลอกใชงานการเขา
รหสลบสญญาณแบบ WPA2 และ เขารหสลบขอมลดวย AES รวมถงตองไมใชการเขารหส
ลบสญญาณแบบ WEP โดยเดดขาด เนองจากปจจบนพบวาผไมหวงดสามารถโจมตเครอขาย
ทใชการเขารหส ลบสญญาณแบบ WEP เพอแกะรอยรหสผานไดโดยงาย
• ปรบแกไขคาตงตนในสวนตางๆทใชในการบรหารจดการเครอขายไรสายสาธารณะ เพอ
ปองกนการพยายามโจมตดวยคากรอกตงตนจากโรงงานผผลต โดยมการตงคาทควรปรบปรง
ดงน
20 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 21
o รหสผานของระบบบรหารจดการเครอขายไรสาย ซงโดยปกตจะมการตงคามาจากโรงงานผ
ผลต จงควรจำาเปนตองเปลยนแปลง เพอปองกนการคาดเดาหรอสมรหสผานในการเขาถง
หนาการตงคา
o ชอ SSID ของเครอขายไรสาย ซงในบางครงการใชคาตงตนทมาจากโรงงานผผลตอาจทำาให
สอถงตวผลตภณฑไดในทนท [1-15] โดยอาจถกใชเปนขอมลสนบสนนสำาหรบผโจมตเครอ
ขายไดงายขน
o ปดโหมดการเผยแพรสถานกระจายสญญาณของเครอขายไรสายหรอทเรยกวา Broadcast
SSID เพอปองกนบคคลทวไปสามารถเหนสถานเครอขายไรสายไดโดยงาย
• ใชงานฟงกชนการทำางานการคดกรองผใชงานจากหมายเลข MAC Address ของเครองผใช
งานหรอทเรยกวา MAC Address Filter เพอจำากดการเขาใชงานเฉพาะผใชงานทไดรบอน
ญาตเทานน
• ปดการใชงานของ DHCP Server ในการกำาหนดหมายเลข IP Address ใหแกเครองทเชอม
ตอเครอขายไรสาย โดยใหกำาหนดเปน Static IP ทเครองผใชงานเอง เพอปองกนผไมหวงด
ลกลอบเขาถงเครอขายไรสายไดอยางงายดาย โดยหากสามารถเจาะรหสผานในการเชอมตอ
กบเครอขายไรสายได แตกจำาเปนตองคาดเดากลมของ IP Address เปาหมายอกชนหนง
ปดการใชงาน Remote login ซงเปนฟงกชนการทำางานเพอเรยกใชหนาระบบบรหารจดการเครอขายไร
สายจากเครอขายภายนอก เพอเปนการปองกนการโจมตดวยการสมรหสผานมายงอปกรณกระจายสญญาณ
โดยตรง เนองจากพบวามโอกาสสงทผโจมตจะใชขอมลการตงคาเรมตนของอปกรณนนๆ ในการพยายาม
ลอกอนเพอเขาควบคมระบบบรหารจดการเครอขายไรสาย โดยหากพบวามความจำาเปนตองเปดการใชงาน
Remote Login กใหระบถงหมายเลข IP Address ของผใชงานทจะเขาถงบรการดงกลาว
หากพบวามความผดปกตในระบบบรหารจดการเครอขายไรสาย เชน การตงคาตางๆ มความเปลยนแปลง
ไป หรอพบวามผใชงานทไมรจกเขามาเชอมตอเครอขายไรสายทดแลอย (โดยปกตอปกรณกระจายสญญาณ
เครอขายไรสายทวไปจะมหนาสำาหรบตรวจสอบการ เชอมตอจากผใชงานอย โดยอาจจะแสดงขอมลเปน
หมายเลข MAC Address หรอขอมลชอเครองคอมพวเตอรททำาการเชอมตอ) ใหรบเปลยนรหสผานสำาหรบ
การเขาสหนาบรหารจดการและควรเปลยนการ ตงคาดงทกลาวมาทงหมดใหม เพอลดความเสยงทจะถกนำา
เครอขายไรสายดงกลาวไปใชในทางทผด
ควรเปลยนแปลงรหสผานของผดแลเครอขายไรสายในระบบบรหารจดการเครอขายไรสายและรหสผาน
ในการเขาถงเครอขายไรสายทกๆ 6 เดอน เพอปองกนความผดพลาดทอาจถกผประสงครายขโมยขอมลรหส
ผาน เพอใชในการเขาถงเครอขายไรสายหรอควบคมเครอขายไรสายนนๆ
อางอง [1-1] http://en.wikipedia.org/wiki/Wireless_access_point
[1-2] http://ezinearticles.com/?Wireless-Network-Encryption-Standards&id=124796
[1-3] http://sammana3.googlecode.com/svn/trunk/การเปรยบเทยบการใชงานระบบเขารหส
แบบWEPและWPA.doc
[1-4] http://lifehacker.com/5305094/how-to-crack-a-wi+fi-networks-wep-password-
with-backtrack
[1-5] http://blog.anidear.com/2010/09/hack-wireless-wep.html
[1-6] http://en.wikipedia.org/wiki/IEEE_802.11i-2004
[1-7] http://en.wikipedia.org/wiki/Temporal_Key_Integrity_Protocol
[1-8] http://airodump.net/capturing-wpa-psk-handshake/
[1-9] http://www.aircrack-ng.org/doku.php?id=cracking_wpa
[1-10] http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
[1-11] http://www.mindterra.com/blog/?p=42
[1-12] http://www.maxi-pedia.com/WPA+WPA2+WiFi+protected+access
[1-13] http://www.mobicom.com.tr/pinfo.asp?pid=7
[1-14] http://technicallyeasy.net/2010/12/why-the-length-of-the-wpa-passphrase-is-
important
[1-15] http://compnetworking.about.com/od/wirelessrouters/
ss/router_ssid.htm
22 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 23
02 ชอไวรสคอมพวเตอรบงบอกอะไรบาง?
ผเขยน: พรพรหม ประภากตตกลวนทเผยแพร: 15 ธ.ค. 2554ปรบปรงลาสด: 15 ธ.ค. 2554
หลายคนคงเคยใชงานโปรแกรมแอนตไวรส (Antivirus) และคงเคยเจอกบสภาพหนาจอคอมพวเตอรท
มการแจงเตอนการพบเจอไวรส (Virus alert) ดงเชนรปท 2 (2-1)
รปท 2 (2-1) การแจงเตอนไวรส [2-1][2-2]
ซงเหตการณดงกลาวมกจะเกดขนตอนทเครองคอมพวเตอรกำาลงดาวนโหลดไฟลไวรสหรอกำาลงประมวล
ผลไฟลไวรส โดยสวนใหญแลวการแสดงขอมลแจงเตอนไวรสจะบอกถงขอมลสำาคญสองสวนหลกๆ คอ
ตำาแหนงทอยของไฟลไวรส และชอของไวรสทพบ ซงหลายคนคงเคยมความสงสยถงชอของไวรสทแสดงวาม
ความหมายวาอยางไร และแตละชอมมาตรฐานหรอใชกฎเกณฑใดในการตงชอของไวรสหรอไม ในบทความ
นจะอธบายถงขอมลทเกยวของกบรปแบบการตงชอไวรสและ ความหมายของชอไวรส เพอใหผอานเขาใจถง
รายละเอยดจากชอไวรสไดในเบองตน โดยมขอมลทสำาคญดงตอไปน
ไวรสคออะไรไวรสคอโปรแกรมไมพงประสงคหรอมลแวร (Malware) ประเภทหนงทถกเผยแพรโดยใชเทคนคหรอ
กลยทธตางๆ เพอหลอกลอใหผใชงานหรอเหยอตดไวรสดงกลาว โดยสวนใหญจะใชการหลอกใหดาวนโหลด
และตดตงโดยอตโนมต ซงผลจากการตดไวรส จะทำาใหเครองคอมพวเตอรของเหยอตกอยในการควบคมของ
ไวรสดงกลาว โดยในตวอยางของไวรสประเภทหนง พบวามการขโมยขอมลบนเครองคอมพวเตอรของเหยอ
เพอสงไปยงเครองคอมพวเตอรของผโจมต
รปแบบการตงชอไวรสปจจบน ชอไวรสทคนพบใหม จะถกกำาหนดโดยบรษทผพฒนาโปรแกรมแอนตไวรส เนองจากใชเปน
ขอมลอางองเพอบอกผใชงานใหทราบถงขอมลไวรสทพบ โดยไมไดมมาตรฐานกลางหรองคกรใดองคกรหนง
เปนผกำาหนดรปแบบหรอชอไวรสดงกลาว สาเหตหลกคอบางครงการอางองชอไวรสจากแหลงอน ๆ เปนไป
ไดยาก เนองจากเปนไวรสทถกคนพบใหม จะยงไมอยในฐานขอมลของบรษทใดบรษทหนง ซงทำาใหไวรสตว
เดยวกนสามารถมชอเรยกทแตกตางกนได [2-3] แตสวนใหญจะพบวาในแตละผพฒนาโปรแกรมแอนตไวรส
จะมการกำาหนดรปแบบของชอไวรสไปในทศทางเดยวกน ซงมการระบขอมลออกเปน 4 สวนหลกคอ การระบ
ประเภทไวรสหรอมลแวร (Prefix) การระบชอของไวรส (Name) การระบสายพนธของไวรส (Suffix) และ
การระบวธการแพรกระจายของไวรส (Modifer) ตามลำาดบ [2-4] โดยมรายละเอยดดงตอไปน
Prefix ใชในการระบประเภทหรอลกษณะของการโจมตของไวรสหรอมลแวร หรออาจใชเปนขอมล
ของระบบทมผลกระทบของไวรสดงกลาว ยกตวอยางเชน W32 หรอ Win32 หมายถงเปนไวรสทมผลกระ
ทบตอ Windows 32-bit เปนหลก (พบวาผใช Windows 64-bit สามารถตดไวรสทเปน W32 ได [2-5])
หรอ OM หมายถงมาโครไวรสบน Microsoft Office เปนตน โดยปกตแตละบรษทผพฒนาโปรแกรมแอนต
ไวรสจะมตารางแสดงถงขอมลอธบาย ชอและความหมายเพอใหผใชงานทราบถงความหมายเบองตน เชน
Symantec [2-6] หรอ Avira [2-7]
Name เปนสวนทผคนพบไวรสมกใชเพอบอกชอสายพนธของไวรสนนๆ โดยอาจจะเปนการตงชอใหมหรอ
ใชเปนชอเดม [2-8] เพอบงบอกถงสายพนธของไวรสนนๆ โดยปกตการระบขอมลชนดน มกจะใชเครองหมาย
เชน _ . หรอ / เพอคนระหวางขอมล Prefix เชน W32/Bagle โดย Bagle เปนชอเรยกของไวรส และ W32
เปนขอมล Prefix ทแสดงถงไวรสดงกลาวสามารถทำางานไดบน Windows 32-bit
• Suffix เปนสวนทระบสายพนธไวรสยอยทมความแตกตางกนไป โดยลกษณะของการระบ
ขอมลจะใชตวอกษรภาษาองกฤษ และใชเครองหมายเชน _ - หรอ . เพอคนระหวางขอมล
ชอไวรสและสายพนธยอยดงกลาว เชน W32/Bagle.A หรอ W32/Bagle-B โดยลกษณะของ
การระบสายพนธยอยนอกจะเรยงตามตวอกษร A ถง Z แลว หากจบตวอกษรสดทายแลวจะ
เรมตนใหมท AA ไปจนถง ZZ ไปเรอยๆ
• Modifer เปนสวนทระบคณสมบตเพมเตมของไวรสตวดงกลาว เชน วธการแพรกระจายของ
ไวรสทพบ โดยสวนใหญจะถอเปน Optional หมายถงอาจไมจำาเปนตองใสกได และถอเปน
ขอมลสวนสดทายในการตงชอไวรส โดยลกษณะของการระบขอมลดงกลาวขนอยกบความ
เขาใจของแตละผสอสาร วาจะสอถงขอมลแบบไหน ซงอาจไมมกฎเกณฑทตายตว โดยจาก
ขอมลเบองตนสามารถอธบายตวอยางทพบไดดงน [2-9]
24 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 25
* ใชเครองหมาย @ แลวตามดวยตวอกษรยอของวธการเผยแพรไวรส เชน @mm หมายถง
ไวรสชนดนถกเผยแพรผานทางอเมล โดย mm ยอมาจาก mass-mailing
* ใชเครองหมาย : แลวตามดวยตวอกษรยอทระบถง Encoding ทสนบสนนการทำางานของ
ไวรส เชน :Uni หมายถงไวรสชนดนสามารถทำางานภายใตแพลตฟอรมของระบบทรองรบ
การอาน เขยนขอมลแบบ Unicode
ตวอยางการอานชอไวรสBagle.BB@mm เปนไวรสสายพนธชอ Bagle เปนไวรสสายพนธยอยชอ BB เผยแพรผานอเมลและสง
ผลตอระบบปฎบตการ Windows 32-bit
I-Worm/Gaobot.BOW. เปนไวรสสายพนธชอ Gaobot เปนไวรสสายพนธยอยชอ BOW และมลกษณะ
การทำางานทเปน Internet Worm
การเรยนรขอมลการตงชอไวรสอาจไมไดทำาใหเราสามารถ เขาใจการทำางานหรอคณลกษณะเฉพาะของ
ไวรสไดทกตว แตอยางนอยกเปนแนวทางในการสบคนขอมลบนอนเทอรเนต เพอชวยใหเราเขาใจลกษณะ
การทำางานของไวรสนนไดมากขน
อางอง[2-1] http://www.prlog.org/11360953-how-to-remove-antivirus-software-alert.html
[2-2] http://0100101110101101.org/download/biennalepy.html
[2-3] http://www.cknow.com/cms/vtutor/virus-names.html
[2-4] http://antivirus.about.com/od/whatisavirus/a/virusnames.htm
[2-5] http://computervirus.uw.hu/ch04lev1sec3.html
[2-6] http://www.symantec.com/security_response/virusnaming.jsp
[2-7] http://www.avira.ro/en/virus_information/malware_naming_conventions.html
[2-8] http://en.wikipedia.org/wiki/List_of_computer_viruses
[2-9] http://www.caro.org/articles/namingupdated.html
03 แนวทางการใชงานโทรศพทมอถอให
ปลอดภยจากภยคกคามผเขยน: พรพรหม ประภากตตกล และศภกร ฤกษดถพร วนทเผยแพร: 30 ธ.ค. 2554ปรบปรงลาสด: 30 ธ.ค. 2554
เนองดวยความเจรญกาวหนาของเทคโนโลยการสอสาร สงผลใหมผพฒนาและผลตโทรศพทเคลอนท
หรอโทรศพทมอถอ ออกมาเปนจำานวนมาก โดยแตละผพฒนากมแนวคดคลายกนคอตองการอำานวยความ
สะดวกใหผใชงานมากทสด สงเกตไดจากสอโฆษณาทวไปทมการโฆษณาถงความสามารถของโทรศพทมอถอใน
แตละฟงกชนการทำางาน เชน สามารถเชอมตอกบเครอขายไรสายเพอความสะดวกในการเขาถงอนเทอรเนต
บนโทรศพทมอถอ สามารถรบชมวดโอบนโทรศพทมอถอเพอความบนเทง เปนตน แตจากความสามารถ
และขอดหลายประการของโทรศพทมอถอ กยงถกเจอปนหรอแอบแฝงไปดวยภยอนตรายหรอภยคกคาม
หลายประการ ซงผใชงานอกจำานวนมากทอาจจะยงไมเคยทราบถงภยคกคามจากการใชงานโทรศพทมอ
ถอสงผลใหผไมหวงดสามารถโจมตหรอขโมยขอมลตางๆ ไดโดยงาย เชน การปลดลอคโทรศพทมอถอเพอ
นำาไปตดตงซอฟตแวรผดกฎหมาย สงผลใหระบบปฎบตการบนโทรศพทมอถอมชองโหว เปนตน และจาก
สภาพแวดลอมในปจจบน เปนทยอมรบกนวาโทรศพทมอถอไดกลายเปนเครองมอทจำาเปนสำาหรบ องคกร
หรอบรษทสวนใหญทตองการใหพนกงานใชในการตดตอสอสารเพอ ภารกจขององคกร หรอใชเพออำานวย
ความสะดวกในการคนหาขอมล ซงโทรศพทมอถอขนาดยอมและมราคาไมสงมากทวางขายตามทองตลาด
กยงมความสามารถเทยบเทาและสามารถใชงานเพอสนบสนนภารกจขององคกรได เชน การใชงาน VoIP
[3-1] (Voice over IP) ขององคกร การเขาถงเอกสารทจดเกบอยบนเวบไซตขององคกร รวมถงการรบสง
จดหมายอเลกทรอนกสขององคกร เปนตน ซงในขณะทอปกรณเหลานกอใหเกดประโยชนมากมาย แตใน
ทางกลบกนกสงผลใหเกดความเสยงในรปแบบใหมทองคกรอาจจะไมเคยคาดคดมากอน ทำาใหองคกรอาจม
ความจำาเปนตองหาแนวทางปกปองหรอรกษาความมนคงปลอดภยของ ขอมลใหไดมากทสด หรอในอกมม
หนง องคกรอาจจำาเปนตองกำาหนดนโยบายการใชงานโทรศพทมอถอของพนกงานทงหมด เพอควบคมหรอ
จำากดการเขาถงขอมลขององคกรเปนหลก ซงในเอกสารฉบบนจะอธบายถงความสามารถของโทรศพทมอถอ
ในปจจบน ขอแตกตางระหวางโทรศพทมอถอทวไปทมราคาตำา ไปจนถงโทรศพทมอถอทเรยกกนวา Smart
Phone ทมราคาและความสามารถสงขน รวมถงไดมการรวบรวมรายละเอยดเกยวกบภยคกคามและความ
26 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 27
เสยงของเทคโนโลยทเกยวของกบการใชอปกรณเหลาน มาตรการปองกนและแนวทางปฎบตของผใชงาน
โทรศพทมอถอ เพอควบคมมใหเกดความเสยหายตอตวผใชงานและองคกร
ประเภทของโทรศพทมอถอ Basic Phone เปนโทรศพทมอถอทวไปทมกจะมเพยงฟงกชนพนฐานในการโทรศพทและ การรบสง
ขอความสน (SMS) อาจมววฒนาการในการแสดงผลแบบจอภาพสหรอขาวดำา ตวอยางเชน Nokia 3310 เปนตน
Smart Phone เปนโทรศพทมอถอทมความสามารถพเศษคลายคอมพวเตอร รองรบระบบปฎบตการ
ตางๆ ทเพมเตมความสามารถของ PDA (Personal Digital Assistant) ใหมประสทธภาพเพมขน รองรบ
การทำางานมลตมเดยหลายรปแบบ รองรบการตดตอสอสารแบบไรสาย เชน Bluetooth, GPRS, EDGE, 3G
และ WiFi เปนตน ในการตดตอสอสาร โดยสวนใหญมกจะใชควบคกบบรการเสรมจากโอเปอเรเตอร โดยใน
ประเทศไทยมโอเปอเรเตอรหลกๆ อย 3 รายดวยกน คอ AIS, DTAC และ Truemove ดงนน Smart Phone
จงไมไดเปนแคโทรศพทมอถอทเพยงใชในการรบสายเขา โทรออก ฟงเพลง หรอ ถายวดโอ เทานน แตยง
สามารถรองรบการใชงานระดบเครอขายทมการตดตอสอสารทวโลก เชน การตดตอสอสารผานเครอขาย
สงคมออนไลน แบงปนขอมลออนไลน การโทรศพทผาน VoIP เปนตน ยงไมรวมถงระบบปฏบตการบนมอ
ถอของแตละคายทมอยในตลาดอยางมากมาย [3-2] ไมวาจะเปน Apple iOS Google Android Microsoft
Windows Phone Nokia Symbian และ Research in Motion (RIM) BlackBerry OS เปนตน ซงระบบ
ปฏบตการแตละคายตางกมความสามารถในการตดตงโปรแกรมเพมเตม และยงสามารถอพเดทขอมลทเปน
จดหมายอเลกทรอนกส ตารางนดหมาย ระหวางมอถอกบเครองคอมพวเตอรใหตรงกนได ซงจากขอมลความ
สามารถของโทรศพททไดกลาวไป ทำาใหเหนวาววฒนาการของโทรศพทมอถอในปจจบนสามารถทำางานได
เปรยบ เสมอนคอมพวเตอรขนาดยอมเคลอนทเลยกวาได โดยตอไปจะเปนการอธบายถงภยคกคามตางๆ
ทเกยวของกบการใชงานโทรศพทมอถอในปจจบนและแนวทางในการปองกน เพอใหผอานไดรบทราบและ
ปองกนภยไดดวยตนเอง ซงไดมการรวบรวมขอมลตางๆ ไวดงน
ภยคกคามบนโทรศพทมอถอ • ภยคกคามจากการใชงานโปรแกรมบนโทรศพทมอถอ (Application-Based Threats)
• โปรแกรมจำานวนมากทถกดาวนโหลดมาเพอตดตงบนอปกรณมอถอ พบวายงไมสามารถ
ตรวจสอบลกษณะการทำางานในดานความมนคงปลอดภยได ทำาใหผใชงานไมสามารถลวงร
ไดเลยวาโปรแกรมทตดตงไปเพอใช ประโยชนมากมายนน จะถกแฝงมาดวยปญหาดานความ
มนคงปลอดภยหรอไม โดยภยคกคามทมากบโปรแกรมทตดตงสามารถเปนไดมากกวาหนง
ประเภทดง ทจะกลาวดงตอไปน
* มลแวร (Malware) คอโปรแกรมทถกออกแบบมาเพอแสดงพฤตกรรมทเปนอนตรายตอ
ขอมลในโทรศพทมอถอนนๆ ตวอยางเชน สงใหโทรศพทมอถอเครองนนๆ สงขอความทไม
พงประสงคออกไปยงรายการผตดตอในโทรศพท โดยทผใชงานหรอเจาของโทรศพทนนไมร
ตว หรอขโมยขอมลบนโทรศพทมอถอนน ซงในกรณทผใชงานเกบขอมลบญชผใชของตนเอง
หรอของผเกยวของ ไวในโทรศพทกอาจทำาใหเกดการเขาโจรกรรมขอมลทเกยวของตอไปได
* สปายแวร (Spyware) คอโปรแกรมทถกออกแบบมาเพอเกบรวบรวมขอมลตางๆ ของผใช
งาน โดยเปาหมายสวนใหญของสปายแวรมกมงไปยง ประวตการใชงานโทรศพท ขอความ
ทอย รายชอผตดตอ อเมล รวมถงภาพถาย ซงสปายแวรโดยทวไปมกไดรบการออกแบบ
สำาหรบการเฝาตดตามการใชงานของบคคลใดบคคลหนง หรอการใชงานทเกยวของกบองคกร
ทงนขนอยกบวธการทจะใชสปายแวรทกำาหนดเปาหมาย ซงไมจำาเปนเสมอไปทผลกลอบ
ตดตงโปรแกรมประเภทนจะเปนผมจดประสงครายทงหมด เนองจากมความเปนไปไดวา
โปรแกรมประเภทนถกตดตงโดยผทเปนผปกครองซงมความหวงดตอผใชงาน เชน ผปกครอง
ตดตงโปรแกรมการตรวจสอบสถานทการใชงานบนโทรศพทมอถอของลกทอยในการดแล
การเขาโจมตผใชงานและโทรศพทมอถอดวยมลแวรและ สปายแวร สวนใหญ จะพบวาใช
เทคนคในการหลอกลวงผใชงานใหการดาวนโหลดโปรแกรมมาตดตงโดย ไมรตว เชน ใหคลก
ทลงกซงดเหมอนไมนาจะมความผดปกตอะไร แตจรงๆ แลวนนคอการสงใหดาวนโหลดและ
ตดตงมลแวรลงในโทรศพทมอถอดงกลาว และเมอมลแวรหรอสปายแวรตดตงโปรแกรมเสรจ
แลวกจะสกระบวนการโจมต ในลกษณะตางๆ ตอไป นอกจากนยงมการหลอกลวงในลกษณะ
ทพบเหนไดบอยครงคอการ Repackaging ซงเปนเทคนคทพบบอยมากในนกเขยนมลแวรท
พยายามจะใชชอโปรแกรมทมการทำางานถกตองตามกฎหมาย แตไดมการปรบเปลยนการ
ทำางานของโปรแกรม รวมถงแทรกโคดทเปนอนตรายไวในเวอรชนทเตรยมจะเผยแพร จาก
นนจงทำาการเผยแพรไปยงแหลงใหดาวนโหลดโปรแกรมตางๆ ทวไป รวมถงบนเวบไซตทให
ดาวนโหลดโปรแกรมบนโทรศพทมอถอ เพอหลอกใหผใชงานเขาใจผดและตดตงโปรแกรม
ดงกลาวบนโทรศพทมอถอ ซงเทคนคการ Repackaging ไดผลลพธในการโจมตคอนขางสง
เนองจากการอางองชอโปรแกรมทเคยพฒนามาแลว โดยจะพบไดจากในชวงตนป 2011 นก
เขยนมลแวรบนระบบปฎบตการ Android ใชเทคนคในการ Repackaging ซงสามารถอางอง
ขอมลไดตามรปท 3 (3-1) ดานลาง
28 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 29
รปท 3 (3-1) การ Repackaging [3-3]
* ชองโหวในโปรแกรมทใชงาน คอ พฤตกรรมการทำางานของโปรแกรมทมความผดพลาด โดย
ถกคนพบและสามารถนำามาใชประโยชนเพอวตถประสงคทเปนอนตราย ซงการคนพบชอง
โหวดงกลาวมกจะสงผลใหผคนพบสามารถโจมตโดยการเขาถงขอมลทสำาคญหรอการดำาเนน
การทไมพงประสงค ซงชองโหวดงกลาวมกถกแจงไปยงผพฒนา เพออพเดทโปรแกรมแกไข
โดยหลงจากมการแกไขชองโหวแลว ผพฒนาจะแจงการอพเดทโปรแกรมกลบมายงผใชงาน
อกครงหนง
ภยคกคามทเกดจากการใชงานเวบไซตบนโทรศพทมอถอ (Web-based Threats)
• เนองจากโทรศพทมอถอสวนใหญสามารถใชงานการเชอมตออนเทอรเนตไดจากเครอขาย
ไรสายทวไป ซงทำาใหเกดความสะดวกสำาหรบผใชงานในการเขาถงเวบไซตหรอบรการอนๆ
ซงโดยทวไปบรการสวนใหญสามารถใชงานผานหนาเวบไซตไดเปนหลกและเปนบรการ
ทผใชงานมความตองการใชงาน เชน การอานอเมล การใชงานธรกรรมออนไลน การเขา
ระบบทเปนสอสงคมออนไลน เปนตน โดยภยคกคามทเกดขนกบเวบไซตมกไมมขอจำากด
ทางดานระบบปฎบตการทใชอย ณ ขณะนน เชน การโจมตแบบฟชชง ซงจะกลาวในราย
ละเอยดตอไป โดยภยคกคามดงทกลาวนแตกอนอาจพบวามแตทเจอในการใชงานบนเครอง
คอมพวเตอรทวไป ในปจจบนไดขยายวงกวางมายงโทรศพทมอถอดวย เนองจากลกษณะ
การใชงานทคอนขางจะใกลเคยงกนมากในทกวนน โดยสามารถระบภยคกคามตางๆ ไดดงน
* ฟชชง (Phishing) [3-4] คอการหลอกลวงชนดหนงโดยใชหนาเวบไซตหรอสวนตดตอผใชอน
ๆ ทออกแบบใหมลกษณะคลายคลงกบของจรง เพอหลอกใหผใชกรอกขอมลเขาสระบบของผ
หลอกลวง เชน ผหลอกลวงพฒนาหนาเวบไซตลอกอนของ Facebook และสงลงกหลอกลวง
โดยแจงขอมลอนเปนเทจใหผใชงานเขาอพเดทขอมล สวนบคคลโดยเปนลงกของหนาลอกอน
ททำาขนมาดงทกลาวไวตอนตน เมอผใชงานพยายามลอกอนเขาไปยงระบบ จะทำาใหผหลอก
ลวงดงกลาวสามารถดกจบขอมลอนนาเชอไดวาเปนขอมลลอกอนของผใชงานคนนนๆ ทำาให
ขอมลหรอบญชการใชงานนนๆ มความเสยงทจะโดนขโมยขอมลออกไป ซงลงกทเปนการฟช
ชงเหลานสวนใหญมกจะแนบไปกบอเมล หรอเปนลงกซงมเนอหาเชญชวนตางๆ โดยความ
รนแรงของการถกขโมยขอมลดงกลาวอาจไมสงผลกระทบในทนทถาหากม การเขายบยงได
ทน เชน เมอทราบวาไดมการสงขอมลเขาหนาเวบไซตฟชชงไปแลว จงรบเขาเปลยนรหสผาน
ในหนาเวบไซตของระบบจรงทนท กจะทำาใหความเสยหายไมเกดขนในวงกวาง แตหากผใชงาน
ปลอยใหผหลอกลวงสามารถเขาถงบญชการใชงานตางๆ ซงในกรณทเปนระบบทมความเสย
หายรนแรง เชน ระบบธรกรรมออนไลน (e-Transaction) นนเทากบผหลอกลวงจะสามารถ
ใชเงนในบญชผใชงานนนไดทนท
* ชองโหวของโปรแกรมประเภทเบราวเซอร คอ ชองโหวทถกพบในโปรแกรมเบราวเซอรหรอ
โปรแกรมปลกอนทสามารถตดตง เพมเตมไดในเบราวเซอร เชน Flash player หรอ PDF
Reader เพอวตถประสงคอนตราย โดยลกษณะและวธการโจมตอาจเปนเพยงแคการใหผ
ใชงานเขาชมหนาเวบไซต เทานน จากนนจะทำาใหผใชงานตดมลแวรหรอโปรแกรมอนตราย
ตางๆ ทผโจมตใชสำาหรบชองโหวดงกลาว
ภยคกคามจากการใชงานเครอขาย (Network Threats) • โทรศพทมอถอในปจจบนมกจะสนบสนนการใชงานเครอขายไรสาย ซงมผใหบรการเปน
จำานวนมาก ทงทนาเชอถอและไมสามารถตรวจสอบได โดยมภยคกคามทสามารถสงผลกระ
ทบตอการใชงานบนโทรศพทมอถอตางๆ ไดดงน
* การเปลยนสถานะจากผใชงานเปนผโจมต ผานขอบกพรองของระบบปฎบตการบนโทรศพท
เคลอนท สงผลใหโทรศพทเคลอนทสามารถสงตอหรอแพรกระจายมลแวรไดโดย อตโนมต
ผานการทำางานบนเครอขาย เชน เครอขายไรสาย (WiFi) หรอ บลทธ (Bluetooth)
30 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 31
* การถกดกจบขอมลบนเครอขายไรสาย (WiFi sniffing) [3-5] คอลกษณะการขโมยขอมลบน
เครอขายไรสาย ซงโดยทวไปเปนขอมลทรบสงกนโดยไมไดมการเขารหสความมนคงปลอดภย
ทเหมาะสม ทำาใหมโอกาสถกลกลอบขโมยขอมลไดโดยงาย เพยงแคใชเทคนคและวธในการ
ดกจบขอมลจากโปรแกรมประเภท Sniffer ซงหาขอมลไดตามเวบไซตทวไป โดยในทนขอ
ยกตวอยางวธการใชงานโปรแกรมชอ Firesheep ซงเปนปลกอนบนเบราวเซอร Firefox ท
ใชในการดกจบขอมลในเครอขายเดยวกน ซงสวนใหญเปาหมายมกใชงานเครอขายไรสาย
สาธารณะ และไมไดเชอมตอบรการเวบไซตทมการเขารหส HTTPS โดยลกษณะการทำางาน
ของโปรแกรมจะมการดกจบขอมลแลวกรองขอมลเพอคนหา Cookie ซงคอขอมลทใชระบตว
ตนกบเวบไซตทเขาใชบรการ โดยขอมล Cookie ทกลาวถงจะถกเกบไวในเบราวเซอรของผใช
งานหลงจากทมการลอกอนเวบไซต จากนนโปรแกรมจะแสดงรายการทดกจบไดทงหมด ซงผ
ใชงานโปรแกรมสามารถคลกทรายการดงกลาวเพอสวมรอยเขาเปนผใชงานนนๆ ดงแสดงใน
รปท 4 (3-2) และ 5 (3-3) ดานลาง
รปท 4 (3-2) การทำางานของ Firesheep [3-6]
รปท 5 (3-3) ผลการทำางานของ Firesheep [3-7]
ภยคกคามจากการดแลรกษาโทรศพท(Physical Threats)
• เนองจากโทรศพทมอถอเปนอปกรณซงออกแบบใหพกพาและตตตวไปมาไดสะดวก จงมรป
แบบทคอนขางเลก ซงจากสภาพการณปจจบนโทรศพทเปนของมคาสำาหรบมจฉาชพ รวมไป
ถงมคาสำาหรบกลมคนบางกลมทตองการไดมาซงขอมลสวนบคคล จงไดแยกภยคกคามทเกด
จากการดแลรกษาโทรศพทมอถอไวเพอพจารณา ความสำาคญอย 2 ประเภทดงน
o การสญหายหรอการถกขโมยโทรศพทมอถอ เนองดวยปจจบนโทรศพทมอถอมราคาสงขน
อาจเพราะสาเหตของเทคโนโลยทอยในอปกรณโทรศพทมอถอ หรอเพราะคานยมทางสงคม
ททำาใหตองใชโทรศพทมอถอราคาแพง แตไมวาจะกรณไหนกตามการใชงานโทรศพทมอถอ
ในปจจบนนบเปนเปาหมายของกลมมจฉาชพทวไป เนองจากเปนอปกรณพกพาขนาดเลก
มโอกาสถกขโมยไดงาย และมตลาดทมความตองการหรอรองรบการซอขายไดมากมายโดยท
ไมมการตรวจสอบแหลงทมา ทำาใหมความเสยงสงทผใชงานจะมโอกาสถกกลมมจฉาชพขโมย
โทรศพทมอถอ หรอดวยขนาดของอปกรณมอถอทเลกอยแลวอาจทำาใหมโอกาสทจะลมหรอ
ทำาตกหลนไดงาย
o การถกขโมยขอมลสวนบคคล สามารถเกดขนไดตลอดเวลาและทกสถานการณทงโดยตงใจ
แตแรกหรอเปนเพราะโอกาสทเปดกวางจนทำาใหผอนสบโอกาสทจะขโมยขอมลสวนบคคล
มกเกดขนจากความไมใสใจและความไมตระหนกถงความมนคงปลอดภยของขอมลภายใน
โทรศพทมอถอ ทำาใหผไมหวงดขโมยขอมลสวนบคคลไปไดโดยงาย เชน การแอบดขอมล
การลอกอนเขาสระบบจากโทรศพทมอถอ หรอการนำาโทรศพทมอถอไปซอมทรานโดยไมได
ทำาการเคลยรขอมลการใชงาน กอน โดยขอมลสวนบคคลทหมายถงอาจไมใชเพยงขอมลสวน
32 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 33
ตวเพยงเทานนแต จะพบวาเปนขอมลขององคกรดวย อาจเปนเอกสารขององคกร ขอมล
รายชอผตดตองาน รวมไปถงขอมลทอยในระบบตางๆ เชน ขอมลบญชธนาคาร ขอมลอเมล
ขององคกร ซงขอมลทงหมดทกลาวมานน หากถกขโมยขอมลขนมาจรงแลว คงไมสามารถ
ประเมนมลคาความเสยหายไดเปนอยางแนนอน
แนวทางการปฎบตสำ หรบผใชงานโทรศพทมอถอและขอมลใหมความมนคงปลอดภย ดแลรกษาโทรศพทมอถออยางใกลชด ผใชงานควรพงระลกไวเสมอวาความเสยหายทเกดขนเมอม
การสญหายหรอ โดยขโมยโทรศพทมอถอไป จะสงผลกระทบทงในแงของทรพยสนและขอมลทอยใน
โทรศพทมอถอ ยงมการเกบขอมลสำาคญในโทรศพทมอถอมากเทาไหรยงมโอกาสกอใหเกดปญหาตาม
มามากขนเทากน ยงไมรวมถงการเกบขอมลทเกยวของกบองคกร เชน อเมล ซงจะสงผลกระทบกบ
องคกรโดยตรง เพราะฉะนนผใชงานควรมความรอบคอบและระวงรกษาโทรศพทมอถออยางใกล ชด
ตงคาการลอกโทรศพทมอถอเมอไมใชงาน แมการลอกการใชงานโทรศพทมอถอ จะไมไดเปนการ
ปองกนการเขาถงขอมลทไดผลรอยเปอรเซนต แตกสามารถเปนแนวทางเบองตนในการชะลอหรอ
ปองกนการเขาถงขอมลสำาคญ บนโทรศพทมอถอจากผไมหวงด ซงอาจจะเกดจากการถกขโมย
โทรศพทมอถอ และยงเปนแนวทางทผใชงานสามารถทำาไดโดยงาย ซงกระบวนการดงกลาวสามารถ
ทำาไดโดยการตงคา Pin หรอรหสผานบนโทรศพทมอถอนนๆ (วธการสามารถตรวจสอบจากเวบไซต
ผผลตโทรศพทมอถอนนๆ หรอสอบถามทศนยบรการโทรศพทมอถอทซอมา)
สำารองขอมลจากโทรศพทมอถอไวในแหลงอนทปลอดภย การสำารองขอมลถอเปนเรองทสำาคญ
ทตองมการปฎบตอยเสมอ เนองจากเมอเกดเหตฉกเฉนเชน โทรศพทหาย หรอโทรศพทชำารดหรอใช
งานไมได ปญหาอยางแรกทจะตามมานอกจากการทำาใหโทรศพทกลบมาใชงานไดหรอหา โทรศพท
ใหพบ คอการเขาถงขอมลบนโทรศพทมอถอเชน ขอมลผตดตอ (Contact book) ซงขอดของการ
สำารองขอมลคอ นอกจากจะมขอมลทสามารถใชไดเมอเกดกรณฉกเฉนแลว ยงทำาใหรขอบเขตของ
ขอมลทสญหายไปดวย เชน อาจจะเกบขอมลเลขทบญชธนาคารและรหสผานของ e-Transaction
เอาไว ทำาใหสามารถแจงระงบการเขาใชงานไดกอนจะเกดความเสยหาย ซงกระบวนการสำารองขอมล
ของโทรศพทมอถอแตละยหอหรอแตละรนอาจมความแตกตางกนไป วธการตางๆ สามารถตรวจสอบ
จากเวบไซตผผลตโทรศพทมอถอนนๆ หรอสอบถามทศนยบรการโทรศพทมอถอทซอมา
พจารณาเกบเฉพาะขอมลทจำาเปนในโทรศพทมอถอ การเกบขอมลบนโทรศพทมอถอ ควร
พจารณาถงความสำาคญและความเหมาะสมของขอมลทจะจดเกบ ไมควรเกบขอมลทมความสำาคญ
มากๆ เชน ขอมลบตรเครดต หรอขอมลรหสผานสำาหรบลอกอนเขาใชงานระบบ เนองจากหาก
โทรศพทเกดสญหาย หรอโดนผประสงครายลกลอบขโมยไปได อาจทำาใหเกดความเสยหายทรนแรง
มากกวาเดม แตกไมใชขอมลเหลานจะไมสามารถเกบบนโทรศพทมอถอได เนองจากปจจบนผพฒนา
โปรแกรมบนระบบปฎบตการบนโทรศพทมอถอตางๆ ไดพฒนาโปรแกรมสำาหรบจดเกบขอมลสวนตว
ออกมามากมายและมการรกษาความมนคงปลอดภยของขอมล ยกตวอยางเชน ผพฒนาโปรแกรม
บนระบบปฎบตการ Symbian ไดพฒนาโปรแกรมชอ Wallet โดยมวตถประสงคเพอใหผใชงานเกบ
ขอมลสวนตวตางๆ ลงในโทรศพทมอถอและมการรกษาความมนคงปลอดภยของขอมล โดยใหมการ
ลอกอนกอนผใชงานจะเขาถงขอมล
ปดโหมดการเชอมตอบลทธหรอหลกเลยงการเชอมตอบลทธจากแหลงทมาทไมรจก
ปจจบนผใชงานมกมการใชงานการเชอมตอบลทธบนโทรศพทมอถอในหลาย ดาน เชน ใชสำาหรบ
การรบสงไฟลระหวางโทรศพทมอถอกบเครองคอมพวเตอร หรอใชสำาหรบเปนโมเดมเพอใหบรการ
อนเทอรเนตกบเครองคอมพวเตอร ทเชอมตอบลทธอย ซงหากเปนการใชงานตามปกตกบอปกรณ
หรอบคคลตางๆ ทรจกและรบทราบถงจดประสงคในการเขาใชงานการเชอมตอนนๆ กอาจไมกอใหเกด
ผลเสย แตผลเสยจะเกดตอเมอไมทราบวาผทตองการเชอมตอบลทธกบโทรศพทมอถอของเรานนเปน
ใครและมจดประสงคในการใชอยางไร เนองจากผไมหวงดสวนใหญมกจะอาศยความรเทาไมถงการณ
ของผใชงานในการลกลอบใชงานหรอดงขอมลสำาคญบนโทรศพทมอถอ เชน รปภาพ หรอ SMS ไปได
ซงขอดของการใชงานเครอขายบลทธคอจะตองไดรบการยนยอมใหมการเชอมตอกอน มเชนนนจะไม
สามารถเชอมตอได ซงหากผใชงานมความรเทาทนผไมหวงดแลวนน กจะทำาใหการใชงานโทรศพทมอ
ถอมความมนคงปลอดภยมากขนเทานน โดยหากไมมการใชงานบลทธกสมควรปดโหมดการเชอมตอ
บลทธไว เพราะในบางครงอาจพบวาผใชงานไมไดตงใจกดยอมรบการเชอมตอแตพลาดไปโดนตอน
โทรศพทมอถออยในกระเปา (การปดโหมดเชอมตอบลทธของโทรศพทมอถอปกตสามารถเขาตรวจ
สอบไดจากเมน”การเชอมตอ” ซงแตละยหอหรอแตละรนอาจมความแตกตางกนไป โดยสามารถ
ตรวจสอบจากเวบไซตผผลตโทรศพทมอถอนนๆ หรอสอบถามทศนยบรการโทรศพทมอถอทซอมา)
แจงผใหบรการตางๆ ทเกยวของเมอโทรศพทสญหาย เมอพบวาโทรศพทสญหาย ไมวาจะดวย
กรณโดนขโมยหรอทำาตกหลนทไหนกตาม สงแรกทผใชงานโทรศพทมอถอควรทำาคอการแจงไปยงผให
บรการรายตางๆ เพอปดบรการ เพอปองกนความเสยหายทอาจจะเกดขน โดยมขอบเขตการแจงปด
บรการตามรายการขอมลทมอยในโทรศพทมอถอนนๆ เชน แจงผใหบรการสญญาณโทรศพทมอถอท
ใชงานระงบสญญาณโทรศพทมอถอของตนเองชวคราวเพอปองกนการใชงาน หรอหากมการเกบขอมล
รหสผานของระบบตางๆ กควรแจงปดการใชงานดวย เชน แจงปดการใชงานระบบ e-Transaction
ชวคราว แจงผดแลระบบอเมลขององคกรเพอเปลยนรหสผาน เปนตน
เลอกตดตงโปรแกรมในโทรศพทมอถอเทาทจำาเปนและจากแหลงทมาทนาเชอถอ แม
ระบบปฎบตการบนโทรศพทมอถอทวไปจะอนญาตใหสามารถตดตงโปรแกรมเสรมเพออำานวยความ
สะดวกในการใชงานมากขน แตกมความเสยงทผใชงานจะเจอกบโปรแกรมทมความสามารถในการ
ขโมยขอมลหรอโปรแกรมไมพงประสงคตางๆ ตามทไดกลาวไวในหวขอภยคกคาม เพราะฉะนนทาง
ปองกนทดทสดคอดาวนโหลดเฉพาะโปรแกรมทจำาเปนจรงๆ และพจารณาดาวนโหลดจากเวบไซต
34 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 35
ของผพฒนาเทานน หรอดาวนโหลดจากแหลงดาวนโหลดทไดรบการควบคมและรบรองความมนคง
ปลอดภยจาก ผพฒนาระบบปฎบตการเชน Android Market สำาหรบระบบปฎบตการ Android
หรอ App Store สำาหรบระบบปฎบตการ iOS
เชอมตอไปยงระบบงานตางๆ ผาน VPN หรอชองทางการเชอมตอเครอขายทมการเขา
รหสลบ จากทไดกลาวไวขางตนถงการใชงานโทรศพทมอถอทเกยวของกบองคกร ซงนอกจากทจะให
ผใชงานทำาตามแนวทางการใชงานโทรศพทมอถอแลวนน องคกรเองควรตองมสวนชวยกำาหนดขอบเขต
การใชงาน เพอใหเกดการรกษาความมนคงปลอดภยในการใชงานโทรศพทอยางเหมาะสม หมายถง
องคกรควรจะขยายการจดการรกษาความมนคงปลอดภยและการควบคมใหในสวนทโทรศพทมอถอ
ทวไปไมสามารถจดการใหได เชน พฒนาระบบการทำางานทสามารถเขาถงไดจากโทรศพทมอถอผาน
ชองการเขารหสแบบ HTTPS หรอจดหาชองทางการใชงาน VPN เพอเชอมตอเขาระบบงานภายใน
องคกร โดยจากทไดกลาวมาน สามารถแนะนำาเปนแนวทางการปฎบตขององคกรในการควบคมการ
ใชงานโทรศพทภายในองคกรได
พจารณาลงกทอยบนเวบไซตกอนการคลกทกครง ภยคกคามทเกดขนจากการใชงานเวบไซต
สามารถเกดขนไดงายและสงผล กระทบตอผใชงานไดมากทสด เนองมาจากโดยสวนใหญเปนการโจมตโดยใช
เทคนคทางจตวทยา โดยไมจำาเปนตองใชความรทางเทคนคมากนก ซงผใชงานโดยสวนใหญทตกเปนเหยอมก
จะไมรเทาทนวธการของผโจมต ผโจมตจะใชเทคนคตางๆ หลอกลอใหผใชงานคลกไปยงลงกเพอสงตอไปยง
เวบไซตทมอนตราย เพราะฉะนนทางทดทสดคอใชวจารณญาณกอนการคลกทลงกใดๆ
อพเดทระบบปฎบตการหรอโปรแกรมบนโทรศพทมอถอทใชอยใหเปนเวอรชนใหมอยางสมำาเสมอ โดยปกต
หากมการดาวโหลดโปรแกรมจากผพฒนาตางๆ และโปรแกรมนนๆ มการปรบปรงเกดขน จะมการ
แจงอพเดทโปรแกรมผานทางชองทางตางๆ เชน อเมล หรอ ผานระบบแจงเตอนของตวระบบปฏบต
การเอง เนองจากสวนใหญการปรบปรงเวอรชนใหมของโปรแกรมตางๆ จะทำาเพอปรบปรงชองโหว
หรอความผดพลาดทเกดขนในโปรแกรมเวอรชนกอนหนา ดงนนเมอผพฒนามการปรบปรงเวอรชน
ของโปรแกรม ผใชกควรทำาการอพเดทโปรแกรมนนๆ ใหเปนเวอรชนลาสดโดยทนท
ใชโทรศพทมอถอทำาธรกรรมออนไลนอยางระมดระวง ทกวนนการใชโทรศพทมอถอในการทำาธรกรรมออนไลน
กบหนวยงานทางการเงน ทใหบรการผานเวบไซต สรางความสะดวกสบายใหกบผใชงานในการทำา
ธรกรรมเพมขน แตการใชงานโทรศพทมอถอโดยเลอกใชผใหบรการอนเทอรเนตไรสาย สาธารณะท
มความนาเชอถอถอเปนเรองสำาคญ เพราะหากผใชมองขามและเลอกใชเครอขายสาธารณะทไมนา
เชอถอ อาจถกโจรกรรมขอมลผานเครอขายได นอกจากน ผใชงานโทรศพทมอถอในการทำาธรกรรม
ออนไลน ควรเลอกอยในบรเวณทผไมประสงคดไมสามารถแอบมองและขโมยขอมลสวนตวทสำาคญ
(Eavesdropping) ได
อางอง [3-1] http://en.wikipedia.org/wiki/Voice_over_IP
[3-2] http://en.wikipedia.org/wiki/Mobile_operating_system
[3-3] http://www.techlicious.com/blog/study-finds-explosion-in-mobile-security-
threats/
[3-4] http://www.trusteer.com/blog/mobile-users-three-times-more-vulnerable-
phishing-attacks
[3-5] http://en.wikipedia.org/wiki/Packet_analyzer
[3-6] http://itiswhatitis.wadewilliams.com/2010/11/firesheep-exposes-security-issues-
on.html
[3-7] http://bare516.posterous.com/?tag=wireless
36 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 37
04 ความเปนมาของไทยเซรต จาก
กระทรวงวทยฯ สกระทรวงไอซท
ผเขยน: สรณนท จวะสรตน และ ชยชนะ มตรพนธวนทเผยแพร: 6 ก.พ. 2555ปรบปรงลาสด: 6 ก.พ. 2555
ในเดอนกมภาพนธทผานมา คณะรฐมนตรไดมมตใหจดตงสำานกงานพฒนาธรกรรมทางอเลกทรอนกส
(องคการมหาชน) หรอ สพธอ. ภายใตกระทรวงเทคโนโลยสารสนเทศและการสอสาร และไดมการโอนภารกจ
ของศนยประสานงานการรกษาความมนคงปลอดภยคอมพวเตอร ประเทศไทย หรอ ไทยเซรต จากศนย
เทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต สำานกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต
กระทรวงวทยาศาสตรและเทคโนโลยมายง สพธอ. เพอใหการดำาเนนงานของ สพธอ. ดานการสรางความ
เชอมนในการทำาธรกรรมทางอเลกทรอนกสมความเขมแขง
ไทยเซรตไดเปดใหบรการอยางเตมรปแบบภายใต สพธอ. มาตงแตวนท 1 กรกฎาคม 2554 และได
ปรบเปลยนชอทางการของไทยเซรตเปน ศนยประสานการรกษาความมนคงปลอดภยระบบคอมพวเตอร
ประเทศไทย (Thailand Computer Emergency Response Team) โดยมวสยทศนใหสงคมออนไลนม
ความมนคงปลอดภย เกดความเชอมนกบผทำาธรกรรมทางอเลกทรอนกส พนธกจของไทยเซรต มงเนนการ
ประสานงานกบหนวยงานในเครอขาย และหนวยงานทเกยวของในการดำาเนนการแกไขเหตภยคกคามดาน
เทคโนโลย สารสนเทศและการสอสารทไดรบแจง นอกจากนไทยเซรตยงมพนธกจเชงรกทใหความสำาคญกบ
การพฒนาทรพยากร บคคลเพอเพมขดความสามารถดานการรกษาความมนคงปลอดภย
เนองจากงานของไทยเซรตมลกษณะเปนการประสานงานกบหนวยงานตางๆ ไทยเซรตจงมงมนทจะ
สรางความรวมมอกบหนวยงานทกประเภททงในและ ตางประเทศในการแกไขเหตภยคกคามดานเทคโนโลย
สารสนเทศและการสอสาร เชน ผใหบรการอนเทอรเนต และ สำานกปองกนและปราบปรามการกระทำาความ
ผดทางเทคโนโลยสารสนเทศ สำานกงานปลดกระทรวงเทคโนโลยสารสนเทศและการสอสาร ไทยเซรตสราง
ความรวมมอระหวางประเทศผานเวท FIRST (Forum of Incident Response and Security Teams)
สำาหรบความรวมมอกบประเทศทวโลก และเวท APCERT (Asia Pacific CERT) สำาหรบความรวมมอกบ
ประเทศในภาคพนเอเชยแปซฟก
ดานการพฒนาทรพยากรบคคล ไทยเซรตใหความสำาคญกบการเผยแพรความรและขอมลขาวสารเกยว
กบการ รกษาความมนคงปลอดภยสารสนเทศ เพอเปนการสรางภมคมกนเบองตนทางดานไอท และจดอบรม
สมมนาใหกบผทำาธรกรรมทางอเลกทรอนกสเฉพาะกลมทมความ ตองการขอมลขาวสารเปนการเฉพาะ เชน
กลมธรกจการเงนการธนาคาร หรอกลมสถาบนวจยและสถาบนการศกษา นอกจากนเพอใหเกดความเขาใจ
และไดลงมอปฏบต ไทยเซรตยงจดและรวมในกจกรรมซกซอมการรบมอภยคกคามดานเทคโนโลยสารสนเทศ
และการสอสารกบหนวยงาน ทงในประเทศและตางประเทศอกดวย
บรการของไทยเซรตในการสนบสนนใหสงคมออนไลนมความมนคงปลอดภยและเกดความเชอมนกบ ผทำาธรกรรมทาง
อเลกทรอนกส ไทยเซรต ใหบรการหลก คอ บรการประสานงานแกไขภยคกคามดานเทคโนโลยสารสนเทศ
และการสอสาร บรการขอมลขาวสารความมนคงปลอดภยสารสนเทศ และบรการวชาการเกยวกบการรกษา
ความมนคงปลอดภยสารสนเทศ
บรการประสานงานแกไขภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร
ปจจบนไทยเซรตใหบรการประสานงานแกไขเหตภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร
ทางโทรศพทและทางอเมลแกบคคลทวไป สถาบนการศกษาและสถาบนวจย หนวยงานภาครฐและเอกชนทว
โลก เมอไดรบแจงเหตผเชยวชาญของไทยเซรตจะตรวจสอบขอมลทไดรบแจง เพอยนยนวาเหตภยคกคามทได
รบแจงไดเกดขนและมอยจรง แลวจงวเคราะหขอมลตอเพอหาหนวยงานทเปนตนเหตของปญหา และดำาเนน
การประสานงานไปยงหนวยงานดงกลาวเพอใหดำาเนนการแกไขปญหา ไทยเซรตมระบบการตดตามความคบ
หนาของการจดการปญหาภยคกคาม และไดกำาหนดมาตรฐานการใหบรการไวคอ ไทยเซรตจะดำาเนนการแจง
หนวยงานทเกยวของเพอแกปญหาทไดรบแจง และรายงานสถานะการดำาเนนงานภายใน 2 วนทำาการ มการ
ตดตามผลการดำาเนนงานทก 3 วนทำาการ
บรการขอมลขาวสารความมนคงปลอดภยสารสนเทศ
ไทยเซรตอยในเครอขายความรวมมอของหนวยงานทมบทบาทในการตอบสนองตอ การแจงเหตภย
คกคาม (Computer Security Incident Response Team: CSIRT หรอ Computer Emergency Re-
sponse Team: CERT) ซงมภารกจในการแจงเตอนภยคกคามดานเทคโนโลยสารสนเทศและการสอสารท
ไดรบแจงจากหนวยงาน CSIRT อนๆ ในเครอขายหรอทตรวจพบกบผใชงานภายในประเทศไทยเพอสราง
ความตระหนกและความพรอมในการรบมอตอภยคกคามทเกดขน โดยผเชยวชาญของไทยเซรตจะวเคราะห
ขอมลภยคกคามทมผลกระทบสงกบผใชงาน พรอมเสนอแนะขอควรปฏบตในการรบมอ แกไขหรอปองกน
ภยคกคามในบทความแจงเตอนภยคกคามของไทยเซรต นอกจากนน ไทยเซรตจดทำาขอมลเชงสถตของภย
38 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 39
คกคามทรายงานมาทไทยเซรตเผยแพร บนเวบไซตไทยเซรตเปนรายเดอน เพอใชวเคราะหแนวโนมของภย
คกคามทเกดภายในประเทศไทย
บรการวชาการในการรกษาความมนคงปลอดภยสารสนเทศ
ไทยเซรตมผเชยวชาญทมศกยภาพและความรทสามารถใหบรการวชาการในการรกษาความมนคง
ปลอดภยสารสนเทศกบหนวยงานทงภายในและตางประเทศ ไทยเซรตใหบรการกบหนวยงานภายในประเทศ
ในสวนของการใหคำาปรกษาในการวเคราะหขอมลภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร การ
จดทำาแผนและนโยบายทางดานเทคโนโลยสารสนเทศ เพอใหสอดคลองกบมาตรฐานสากลทางดานเทคโนโลย
สารสนเทศและสอดคลองกบขอกำาหนดของกฎหมาย จดฝกอบรมสมมนา เพอสรางความตระหนกหรอเสรม
สรางศกยภาพของบคลากรของหนวยงานใหสามารถ ปองกนและแกไขภยคกคามดานเทคโนโลยสารสนเทศ
และการสอสารจดการซกซอม รบมอภยคกคาม เพอเสรมทกษะและสรางความพรอมในการรบมอภยคกคาม
ของหนวยงาน รวมถงการสนบสนนวทยากรในการบรรยาย เพอสรางความตระหนกและใหความรกบหนวย
งานทงในและตางประเทศ
สถตภยคกคามทรายงานมาทไทยเซรตตงแตวนท 1 กรกฎาคม ไทยเซรตไดรบแจงเหตภยคกคามจากหนวยงานทงในและตางประเทศโดยเฉลย
มากกวา 100 เรองตอเดอน ขอมลเชงสถตเกยวกบเหตภยคกคามทไทยเซรตไดรบแจงสามารถจำาแนก เปน 9
ประเภทตามทไดกำาหนดโดย The European Computer Security Incident Response Team (eCSIRT)
ซงเปนเครอขายความรวมมอของหนวยงาน CSIRT ในสหภาพยโรป ดงตารางตอไปน
ตารางท 1 (4-1) ประเภทภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร โดย eCSIRT
ประเภทภยคกคาม คำ อธบาย
1 เนอหาทเปนภย
คกคาม (Abusive
Content)
ภยคกคามทเกดจากการใช/เผยแพรขอมลทไมเปนจรงหรอไมเหมาะสม (Abusive Content) เพอทำาลายความนาเชอถอของบคคลหรอสถาบน เพอกอใหเกดความไมสงบ หรอขอมลทไมถกตองตามกฎหมาย เชน ลามก อนาจาร หมนประมาท และรวมถงการโฆษณาขายสนคาตางๆ ทางอเมลทผรบไมไดมความประสงคจะรบขอมลโฆษณานนๆ (SPAM)
2 โปรแกรม
ไมพงประสงค
(Malicious Code)
ภยคกคามทเกดจากโปรแกรมหรอซอฟตแวรทถกพฒนาขนเพอสง
ใหเกดผลลพธทไมพงประสงคกบผใชงานหรอระบบ (Malicious
Code) เพอทำาใหเกดความขดของหรอเสยหายกบระบบทโปรแกรม
หรอซอฟตแวร ประสงครายนตดตงอย โดยปกตโปรแกรมหรอ
ซอฟตแวรประสงครายประเภทนตองอาศยผใชงานเปนผ เปด
โปรแกรมหรอซอฟตแวรกอน จงจะสามารถตดตงตวเองหรอ
ทำางานได เชน Virus, Worm, Trojan หรอ Spyware ตางๆ
3 ความพยายาม
รวบรวมขอมล
ของระบบ
(Information
Gathering)
ภยคกคามทเกดจากความพยายามในการรวบรวมขอมลจด
ออนของระบบของผ ไมประสงคด (Scanning) ดวยการเรยกใช
บรการตางๆทอาจจะเปดไวบนระบบ เชน ขอมลเกยวกบระบบ
ปฏบตการ ระบบซอฟตแวรทตดตงหรอใชงาน ขอมลบญชชอ
ผใชงาน (User Account) ทมอยบนระบบเปนตน รวมถงการ
เกบรวบรวมหรอตรวจสอบขอมลจราจรบนระบบเครอขาย
(Sniffing) และการลอลวงหรอใชเลหกลตางๆ เพอใหผใชงานเปด
เผยขอมลทมความสำาคญของระบบ (Social Engineering)
4 ความพยายาม
จะบกรกเขา
ระบบ (Intrusion
Attempts)
ภยคกคามทเกดจากความพยายามจะบกรก/เจาะเขาระบบ (Intrusion
Attempts) ทงทผานจดออนหรอชองโหวทเปนทรจกในสาธารณะ
(CVE- Common Vulnerabilities and Exposures) หรอผาน
จดออนหรอชองโหวใหมทยงไมเคยพบมากอน เพอจะไดเขาครอบ
ครองหรอทำาใหเกดความขดของกบบรการตางๆ ของระบบ ภย
คกคามนรวมถงความพยายามจะบกรก/เจาะระบบผานชองทางการ
ตรวจสอบบญช ชอผใชงานและรหสผาน (Login) ดวยวธการสม/
เดาขอมล หรอวธการทดสอบรหสผานทกคา (Brute Force)
5 การบกรกหรอ
เจาะระบบไดสำาเรจ
(Intrusions)
ภยคกคามทเกดกบระบบทถกบกรก/เจาะเขาระบบไดสำาเรจ
(Intrusions) และระบบถกครอบครองโดยผทไมไดรบอนญาต
40 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 41
6 การโจมตสภาพ
ความพรอมใช
งานของระบบ
(Availability)
ภยคกคามทเกดจากการโจมตสภาพความพรอมใชงานของระบบ เพอ
ทำาใหบรการตางๆ ของระบบไมสามารถใหบรการไดตามปกต มผลกระ
ทบตงแตเกดความลาชาในการตอบสนองของบรการจนกระทงระบบ
ไมสามารถใหบรการตอไปได ภยคกคามอาจจะเกดจากการโจมตท
บรการของระบบโดยตรง เชน การโจมตประเภท DoS (Denial of
Service) แบบตางๆ หรอการโจมตโครงสรางพนฐานทสนบสนนการให
บรการของระบบ เชน อาคาร สถานท ระบบไฟฟา ระบบปรบอากาศ
7 การเขาถงหรอ
เปลยนแปลงแกไข
ขอมลสำาคญโดย
ไมไดรบอนญาต
(Information
Security)
ภยคกคามทเกดจากการฉอฉล ฉอโกงหรอการหลอก
ลวงเพอผลประโยชน (Fraud) สามารถเกดไดในหลาย
ลกษณะ เชน การลกลอบใชงานระบบหรอทรพยากรทาง
สารสนเทศทไมไดรบอนญาตเพอแสวงหา ผลประโยชนของ
ตนเอง หรอการขายสนคาหรอซอฟตแวรทละเมดลขสทธ
8 การฉอฉล ฉอโกง
หรอหลอกลวงเพอผล
ประโยชน (Fraud)
ภยคกคามทเกดจากการฉอฉล ฉอโกงหรอการหลอก
ลวงเพอผลประโยชน (Fraud) สามารถเกดไดในหลาย
ลกษณะ เชน การลกลอบใชงานระบบหรอทรพยากรทาง
สารสนเทศทไมไดรบอนญาตเพอแสวงหา ผลประโยชนของ
ตนเอง หรอการขายสนคาหรอซอฟตแวรทละเมดลขสทธ
9 ภยคกคามอนๆ
นอกเหนอจาก
ทกำาหนดไวขาง
ตน (Other)
ภยคกคามประเภทอนๆ นอกเหนอจากทกำาหนดไวขาง
ตน ระบไวเพอเปนตวชวดถงภยคกคามประเภทใหมหรอไม
สามารถจดประเภทได ตามทระบไวขางตน โดยถาจำานวนภย
คก คามอนๆ ในขอนมจำานวนมากขน แสดงถงความจำาเปน
ทจะตองปรบปรงการจดแบงประเภทภยคกคามนใหม
เหตภยคกคามทไดรบรายงานใน 6 เดอนแรก (ในระหวางวนท 1 กรกฎาคม ถง 31 ธนวาคม 2554 )
มาทไทยเซรตซงดำาเนนการภายใต สพธอ. มจำานวนทงสน 646 เรอง และสามารถแสดงสดสวนแบงแยกตาม
ประเภทภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร แสดงดงรปท 6 (4-1) โดยสามารถจดลำาดบ
ตามจำานวนเหตภยคกคามไดรบแจงไดเปนประเภทใหญๆได 5 ดาน ภยคกคามสวนใหญประมาณ 47.8%
จะเปนภยคกคามดาน การฉอฉล ฉอโกงหรอหลอกลวง เพอผลประโยชน (Fraud) ซงทงหมดในสวนนเปน
กรณ Phishing ทเกดกบสถานบนการเงนทงในประเทศและตางประเทศ ซงเปนภยคกคามทสงผลกระทบ
ตอโดยตรงผใชบรการชำาระเงนทาง อเลกทรอนกส ในสวนภยคกคามทรองลงมาเปนภยคกคามทเกยวความ
พยายามทจะโจมตและ เจาะระบบ โดยเปนภยคกคามในการพยายามบกรกหรอเจาะระบบ (Intrusion
Attempts) จำานวน 14.6% และภยคกคามดานความพยายามรวบรวมขอมลของระบบ (Information
Gathering) จำานวน 14.4% สำาหรบภยคกคามในลำาดบถดไปเปนภยคกคามทางดานเนอหาทเปนภยคกคาม
(Abusive Content) จำานวน 11.9% ซงทงหมดเปนรายงานภยคกคามดานเทคโนโลยสารสนเทศและการ
สอสาร ทไดรบแจงจากหนวยงานในตางประเทศ และพบวามลกษณะเปนการแจงเตอนเหตภยคกคามของ
เครองคอมพวเตอรทใช สำาหรบสงอเมลสแปม (SPAM) ในลำาดบสดทายเปนภยคกคามทางดาน โปรแกรม
ไมพงประสงค (Malicious Code) จำานวน 9.8%
รปท 6 (4-1) สถตภยคกคามดานเทคโนโลยสารสนเทศและการสอสาร ในระหวางวนท 1 กรกฎาคม ถง 31 ธนวาคม 2554
แยกตามประเภทภยคกคาม
ไทยเซรตไดดำาเนนการแกไขปญหาภยคกคามทไดรบแจงไปไดประมาณ 80% สวนอก 20% ทเหลอมการ
ตดตามความคบหนาของการแกไขปญหาทก 3 วน สำาหรบขอมลเชงสถตเกยวกบภยคกคามดานเทคโนโลย
สารสนเทศและการสอ สาร สามารถดไดท www.thaicert.or.th/statistics.html
ชองทางการตดตอกบไทยเซรตไทยเซรตไดจดเตรยมชองทางการตดตอเพอแจงเหตภยคกคามไว 2 ชองทาง ประกอบดวย ทางโทรศพท
หมายเลข 02-142-2483 เวลา 8.30 – 17.30 น. ทกวนยกเวนวนหยดราชการ และทางอเมลท report@
thaicert.or.th และในกรณทผแจงมความประสงคจะรกษาความลบของขอมลในอเลกทรอนกส เมลทสงถงไทย
เซรต ผสงสามารถดำาเนนการเขารหสลบขอมลดวยเทคโนโลย PGP ดวยกญแจสาธารณะของไทยเซรตดงตอไปน
• อเลกทรอนกสเมล: [email protected]
• หมายเลขของกญแจ (Key ID): 0x9C57FF14
42 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 43
• ประเภทของกญแจ (Key Type): RSA
• วนหมดอาย (Expires): 2012-06-30
• ขนาดความยาว (Key size): 2048
• Fingerprint: 6D81 3D72 DC3E 2B15 09C2 CA51 92D2 9387 9C57 FF14 05 วนนคณใช HTTPS หรอยง
ผเขยน: ศภกร ฤกษดถพรวนทเผยแพร: 17 ก.พ. 2555ปรบปรงลาสด: 17 ก.พ. 2555
คนจำานวนมากยงไมคอยเขาใจวธการรกษาความมนคงปลอดภยบนเวบไซต และมกจะมคำาถามอยเสมอ
วา การทพวกเขากรอกขอมลชอ-นามสกล ทอย เบอรโทรศพท หรอขอมลบตรเครดตสำาหรบการทำาธรกรรม
ออนไลนตางๆ นน จะแนใจไดอยางไรวาการสงขอมลมความมนคงปลอดภย ขอมลทสงถงผรบมความถกตอง
ครบถวนสมบรณและไมมบคคลอนลวงร ขอมลสำาคญเหลาน เพอตอบขอสงสยดงกลาว ผใชจงตองทำาความ
เขาใจเกยวกบการรบ-สงขอมลบนอนเทอรเนตในแบบ HTTP คอทใชงานทวไป และแบบทเพมความมนคง
ปลอดภยใหกบขอมลทเรยกวา HTTPS เสยกอน
HTTP (Hypertext Transfer Protocol)HTTP เปนโพรโทคอลทใชกบเวบไซต ในการแลกเปลยนขอมลระหวางผใชงานและเครองใหบรการ
ดงจะเหนไดจากเวลาทเราเขาเวบไซตดวยโปรแกรมเวบเบราวเซอร เชน Internet Explorer, Firefox หรอ
Google Chrome เมอตองการเรยกดเวบไซต เชน Facebook กตองพมพ http://www.facebook.com
จะเหนวา ชอเวบไซตทเราพมพตองขนตนดวย “http” แลวตามดวยชอเวบไซต ลกษณะการทำางานแบบน
เปนการสงขอมลแบบขอความธรรมดา (Cleartext) คอ ไมมการเขารหสลบ ทำาใหสามารถถกผไมหวงดขโมย
ขอมลไดงาย [5-1] ดงรปท 7 (5-1) -9 (5-3)
รปท 7 (5-1) การสงขอมลแบบ HTTP
44 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 45
รปท 8 (5-2) ตวอยางการกรอกขอมล Username และ Password ผาน HTTP
รปท 9 (5-3) ตวอยางการดกจบขอมล username และ password ผาน HTTP
เมอผใชงานสงรหสผานถงเครองใหบรการเวบไซต ขอมลจะถกสงเปนขอมลธรรมดา (ไมเขารหสลบ)
Hacker สามารถขโมยรหสผานและนำาไปใชไดทนทซงอาจจะสงผลใหแกผใชงานได เชน หากผใชงานโดน
Hacker ขโมยรหสผานของรานคาออนไลนแหงหนงทมขอมลบตรเครดต Hacker สามารถนำาขอมลไปใชซอ
สนคาไดอยางงายดาย ผลทตามมาคอความสญเสยของผใชงาน ซงยงไมรวมถงปญหาและความยงยากในเรอง
ของคดความทจะเกดขนตามมา อกดวย หรอทมขาวมากมายเกยวกบหลายองคกรทถกขโมยขอมลพนกงาน
หรอลกคา เชน ชอ เบอรโทรศพท อเมล Hacker กอาจจะนำาขอมลทไดไปขายใหกบกลมคนทขายของทาง
โทรศพทจำาพวกบตร เครดต สนเชอ ประกน เปนตน
จะเหนไดวาการใชงานอนเทอรเนตทไมมความมนคง ปลอดภยนน ม
ความเสยงทจะสงผลกบชวตของเราอยางไร ดงนนหากผพฒนาเทคโนโลยทมอง
เหนถงความสำาคญของขอมลกจะสามารถ สรางความนาเชอถอใหกบองคกรได
โดยการหาวธปกปองขอมลดงกลาว โดยจะขอเสนออกหนงวธนนคอการเพมการ
เขารหสของขอมลทเรยกวา HTTPS
HTTPS (Hypertext Transfer Protocol Secure)HTTPS เปนโพรโทคอลทถกพฒนามาเพอแกปญหาของ HTTP โดยมการเพมความมนคงปลอดภยดวยการ
เขารหสลบขอมลระหวางผใชงาน และเครองใหบรการ หากมผไมหวงดดกรบขอมลกจะไมสามารถเขาใจขอมล
นนได ดงรปท 10 (5-4) [5-2] การเขาใชงานเวบไซตจะระบการเชอมตอแบบ https:// แทนทจะเปน http://
รปท 10 (5-4) การสงขอมลแบบ HTTPS
เมอผใชงานสงรหสผานถงเครองใหบรการเวบไซต ขอมลจะถกสงเปนขอมลเขารหสลบ Hacker ไม
สามารถนำาขอมลไปใชได
การทจะใชงานโพรโทคอล HTTPS ไดนน เครองใหบรการเวบไซตจะตองทำาการตดตงใบรบรองความ
มนคงปลอดภยทางอเลกทรอนกส (Certificate) เสยกอน ซงใบรบรองความมนคงปลอดภยทางอเลกทรอนกส
สามารถทำาขนเองหรอซอจากผให บรการรบรองทนาเชอถอ (Trusted certificate authority) กได เพยง
แตใบรบรองททำาขนเองนน ปองกนเวบเบราวเซอรจะแจงเตอนความผดปกตเนองจากไมมผรบรองความนา
เชอถอ ดงจะเหนจากรปท 11 (5-5)- 13 (5-7)
ทงนใบรบรองจะเปนตวบงบอกความถกตองของขอมลทเกยวของกบเวบไซตนน เชน การยนยนความ
เปนเจาของเวบไซต ความสมบรณของการเขารหสลบขอมล ชวยเพมความมนใจใหกบผใชงานขณะทมการ
รบ-สงขอมล
ตวอยางการแจงเตอนใบรบรองผดปกต
46 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 47
รปท 11 (5-5) แสดงตวอยางหนาจอโปรแกรม Internet Explorer พบใบรบรองทผดปกต
รปท 12 (5-6) แสดงตวอยางหนาจอโปรแกรม Firefox พบใบรบรองทผดปกต
รปท 13 (5-7) แสดงตวอยางหนาจอโปรแกรม Google Chrome พบใบรบรองทผดปกต
ว ธ ส ง เ กต เว บ ไซต ท เร ากำ า ล ง ใช ง านอย น น เป น HTTP หร อ HTTPS หร อ ไม ?
สำาหรบการสงเกตจากเครองคอมพวเตอรทวไป ใหมองหาสญลกษณรปกญแจ
รปท 14 (5-8) เปรยบเทยบ HTTP กบ HTTPS จากเวบเบราวเซอร Internet Explorer
รปท 15 (5-9) ภาพเปรยบเทยบ HTTP กบ HTTPS จากเวบเบราวเซอร Firefox
48 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 49
รปท 16 (5-10) ภาพเปรยบเทยบ HTTP กบ HTTPS จากเวบเบราวเซอร Google Chrome
นอกจากเครองคอมพวเตอรแลวเราสามารถใช HTTPS กบโทรศพทเคลอนทไดอกเชนกน โดยใชวธ
สงเกตสญลกษณรปกญแจเหมอนกบเครองคอมพวเตอรทวไป ดงรปท 17 (5-11) - 19 (5-13)
รปท 17 (5-11) เปรยบเทยบ HTTP กบ HTTPS จากเวบเบราวเซอรบน iPhone
รปท 18 (5-12) เปรยบเทยบ HTTP กบ HTTPS จากเวบเบราวเซอรบน BlackBerry
รปท 19 (5-13) เปรยบเทยบ HTTP กบ HTTPS จากเวบเบราวเซอรบน Android
ผเขยนขอแนะนำาใหเลอก “ใช HTTPS ทกครง” ทเราจำาเปนตองกรอกขอมลสำาคญ เชน ชอ-นามสกล
ทอย วน/เดอน/ป เกด หมายเลขโทรศพท หมายเลขบตรเครดต เปนตน เพอปองกนการขโมยขอมลจาก
Hacker สำาหรบการใชงานบรการตางๆบนระบบอนเทอรเนต เชน การทำาธรกรรมทางการเงนบนเวบไซตกบ
ธนาคาร รานคาออนไลน บรการดานอเมล Gmail Hotmail Yahoo บรการเครอขายสงคมออนไลน (Social
Network) twitter facebook เปนตน
อางอง [5-1] http://simple.wikipedia.org/wiki/Cleartext
[5-2] http://en.wikipedia.org/wiki/HTTP_Secure
50 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 51
06 การตรวจสอบและกำ จดมลแวรดวย
MSRTผเขยน: เจษฎา ชางสสงขวนทเผยแพร: 24 ก.พ. 2555ปรบปรงลาสด: 24 ก.พ. 2555
ปจจบนมผใชงานระบบปฏบตการหลากหลายระบบ ซงเปรยบเสมอนตวกลางระหวางฮารดแวรและ
โปรแกรมประยกตทผใชใชกน อยทวไป และ Windows กเปนหนงในระบบปฏบตการทผใชทวไปนยมใช
งาน จากสถตการใชงานในป พ.ศ. 2554 พบวามผใชงานระบบปฏบตการ Windows ถง 93% เมอเทยบกบ
จำานวนผใชงานระบบปฏบตการอนๆ [6-1] หากมองในแงของความมนคงปลอดภยแลว กอาจเปนเหตผลหนง
ททำาให ผไมหวงดพงเปามาเพอโจมตระบบปฏบตการ Windows ดงนน ผใชงานระบบปฏบตการ Windows
จงควรใหความสนใจในการปองกนการโจมตจากผไมหวงด เพอลดความเสยหายทอาจจะเกดขนกบระบบ
โดยการทผใชควรมการอพเดทระบบปฏบตการอยเสมอ ซงชวยใหสามารถแกปญหาชองโหวของระบบ
ตรวจสอบและกำาจดมลแวร รวมทงเพมประสทธภาพของระบบดวย ในสวนของโปรแกรมททำาหนาทตรวจ
สอบและกำาจดมลแวรนน มเครองมอหนงทแนะนำาคอ Microsoft® Windows® Malicious Software
Removal Tool (MSRT) เปนเครองมอทพฒนาโดย Microsoft โดยสาเหตทแนะนำาเครองมอนเนองจาก
ตดตงไดงายโดยจะมาพรอมกบ การอพเดทระบบปฏบตการ สามารถใชงานไดฟร เรยกใชไดงาย และมการ
อพเดทเวอรชนอยางสมำาเสมอทกเดอน
ในบทความนไมไดเปนการประชาสมพนธทางการคาเพอ Microsoft แตเปนการแนะนำาเครองมอทม
ความเหมาะสมกบผใชทวไป โดยบทความนจะอธบายถงคณลกษณะและการทำางานของโปรแกรมเบองตน
ขอดขอเสยของเครองมอ รปแบบการใชเครองมอ และตวอยางวธการใชงาน
คณลกษณะและการทำ งานของโปรแกรม MSRT ถกเผยแพรครงแรกเมอวนท 1 มกราคม พ.ศ. 2548 โดยทำางานภายใตระบบปฏบตการ Windows
7, Windows Vista, Windows XP, Windows Server 2008 และ Windows Server 2003 MSRT นน
ไมไดถกออกแบบมาเพอใชแทนโปรแกรมแอนตไวรส (Antivirus) แตใชเพอทำางานรวมกนกบโปรแกรมแอนต
ไวรส โดย MSRT นนมความแตกตางจากโปรแกรมแอนตไวรสอย 2 ขอ ดงน
1. MSRT จะกำาจดมลแวรออกจากระบบไดกตอเมอเครองของผใชตดมลแวรแลว สวนโปรแกรมแอนต
ไวรสจะสามารถยบยงไมใหมลแวรตดตงตวเอง ลงไปยงเครองของผใช ดงนนผใชจงควรตดตงโปรแกรม
แอนตไวรสเพอใชงานรวมกบ MSRT
2. MSRT จะกำาจดไดเฉพาะมลแวรทอยในรายชอของ Microsoft เทานน ซงเปนมลแวรทเปนอนตราย
ตอระบบปฏบตการ Windows และมอตราการแพรระบาดสง [6-2]
MSRT จะมการอพเดทเวอรชนใหมในทกวนองคารทสองของเดอน ผานระบบ Windows Update,
Microsoft Update และ Microsoft Download Center [6-3] [6-4] ซงทกครงทมการอพเดทจะมการ
เพมขอมลของมลแวรทโปรแกรมสามารถ ตรวจสอบและกำาจดได โดยในขนตอนแรกทผใชเปดโปรแกรมขน
มา สามารถตรวจสอบรายชอของมลแวรดวยการคลกทลงก ดงรปท 20 (6-1)
รปท 20 (6-1) แสดงรายชอมลแวรทสามารถตรวจสอบและกำาจดได
การเรยกใชงาน MSRT นนสามารถเรยกใชได 2 วธ ดงน 1. เรยกใช MSRT โดยตรง ซงการเรยกใชดงกลาว จะตองทำาการดาวนโหลดจากเวบไซต Microsoft
Download Center มายงเครองผใชกอน โดยมขอดคอ สามารถกำาหนดรปแบบการตรวจสอบได
(มอธบายในหวขอถดไป) และ สามารถเรยกใชงาน MSRT เวลาใดกตามทผใชตองการ เชนในกรณท
พบความผดปกตของระบบหรอ สงสยวาระบบตดมลแวร สวนขอเสยคอ ผใชจำาเปนตองดาวนโหลด
โปรแกรมใหมทกครงทมการอพเดทเวอรชน
52 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 53
2. เรยกใช MSRT โดยอตโนมต หลงจากมการอพเดทเวอรชน MSRT ผานระบบ Windows Update
หรอ Microsoft Update ซงเกดขนในวนองคารทสองของทกเดอน โดยมขอดคอ มการอพเดทเวอรชน
MSRT โดยอตโนมต สวนขอเสยคอ มการเรยกใชงานเพยงครงเดยวในชวงเวลาหนงเดอน
หลงจากทมการตรวจสอบระบบดวย MSRT หากตรวจพบมลแวร โปรแกรมจะทำาการกำาจด มลแวรออก
โดยอตโนมต และรายงานผลไปยง Microsoft (มกำาหนดอยในขอตกลงการใชงานโปรแกรม เรยกวา EULA
หรอ End-User License Agreement) [6-5][6-6] โดยผลการตรวจสอบทสงไปยง Microsoft จะถกใชใน
การวเคราะหขอมล เชน การตดตามจำานวนการแพรกระจายของมลแวร
ตวอยางการใชงาน 1. เมอผใชเรยกใช MSRT จะพบกบหนาตางแสดงรายละเอยดของโปรแกรม ดงรปท 21 (6-2) ไดแก
ลงกไปยงหนาเอกสารของโปรแกรมและรายชอมลแวรทสามารถตรวจจบได
รปท 21 (6-2) แสดงหนาตางเมอเรมตน MSRT
2. คลกปม Next จะแสดงหนาตางดงรปท 22 (6-3) เพอใหผใชเลอกรปแบบการสแกน (Scan type)
โดยแตละรปแบบมความแตกตางกนดงน
รปท 22 (6-3) แสดงหนาตางการเลอกรปแบบการสแกนมลแวร
2.1 Quick scan
เปนการตรวจสอบพนทของระบบทมลแวรสวนใหญใชเปนทฝงตวอย ถาพบ
มลแวร โปรแกรมจะใหทำาการตรวจสอบแบบ Full Scan อกครง
2.2 Full scan
เปนการสแกนทกสวนของระบบ โดยจะตรวจสอบทกไดรฟทอยในระบบ แตไมรวมไดรฟ
ของเครอขายทเชอมตอกบระบบ การสแกนแบบนใชเวลามากกวา แบบ Quick scan
2.3 Customized scan
เปนการสแกนแบบ Quick scan โดยทผใชสามารถระบโฟลเดอรทตองการตรวจสอบเพมเตมได
3. เมอผใชเลอกรปแบบการตรวจสอบแลว สามารถเรมดำาเนนไดโดยการคลกปม Next เพอทำาการตรวจ
สอบ ดงรปท 23 (6-4)
54 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 55
รปท 23 (6-4) แสดง MSRT ขณะตรวจสอบระบบของเครองผใช
4. หลงจาก MSRT ตรวจสอบระบบเสรจสนแลว ในกรณทโปรแกรมไมพบมลแวรในระบบ จะแสดง
หนาตางดงรปท 24 (6-5)
รปท 24 (6-5) แสดงหนาตาง MSRT แจงวาตรวจไมพบมลแวร
5. ในกรณท MSRT ตรวจพบมลแวร จะแสดงรายละเอยดทพบ โดยผใชสามารถคลกลงกแสดงผลการ
สแกน ดงรปท 25 (6-6)
รปท 25 (6-6) แสดงหนาตาง MSRT แจงวาตรวจพบมลแวร
จะเหนไดวา MSRT นน สามารถเพมความมนคงปลอดภยใหกบระบบไดในระดบหนง โดยทผใชไมตอง
เสยคาใชจายและเวลาในการสรรหาหรอตดตงโปรแกรม เพยงแคทำาการตรวจสอบการอพเดทระบบปฏบต
การและเรยกใช MSRT อยเสมอ
อางอง [6-1] http://netmarketshare.com/operating-system-market-share.
aspx?qprid=8&qpcustomd=0&qptimeframe=Y&qpsp=2011
[6-2] http://support.microsoft.com/kb/890830/
[6-3] http://www.microsoft.com/download/en/details.aspx?
displaylang=en&id=16/
[6-4] http://www.microsoft.com/security/pc-security/malware-removal.aspx
[6-5] http://blogs.computerworld.com/what_you_dont_
know_about_the_windows_malicious_software_removal_tool
[6-6] http://www.brighthub.com/computing/smb-security/articles/46694.aspx#
56 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 57
07 9 พฤตกรรมเสยงอนตราย เรองงายๆ
ทไมควรมองขามผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 9 ม.ค. 2555ปรบปรงลาสด: 11 ม.ค. 2555
ในการใชงานคอมพวเตอรโดยทวไป ผใชสวนใหญมกจะไมคอยเหนความสำาคญของความมนคงปลอดภย
เทาไรนก เนองจากหากกำาหนดคาใหคอมพวเตอรมความมนคงปลอดภยมากๆ กจะทำาใหการใชงานในแตละ
วนลำาบากขนตามไปดวย เปรยบเสมอนกบการลอกประตบานอยางแนนหนาดวยกญแจหลายสบชน ถงจะ
ชวยปองกนไมใหผบกรกเขามาในบานไดงาย แตกทำาใหเจาของบานตองเสยแรงเสยเวลาไปกบการปลดลอก
กญแจทงหลายสบ ชนนนตามไปดวย ดงนนเมอผใชคอมพวเตอรสวนใหญเนนความสะดวกสบายเปนหลก
จงอาจทำาใหพฤตกรรมการใชงานคอมพวเตอรในแตละวน มความเสยงทจะถกโจมต หรอถกหลอกลวงจาก
ผไมหวงดไดงาย มาดกนวามพฤตกรรมอะไรบางทจะทำาใหเกดความเสยงเหลานน
1. ตดตงโปรแกรมโดยไมอานรายละเอยดเมอพดถงการตดตงโปรแกรมคอมพวเตอร ผใชสวนใหญมกจะเขาใจวาเปนการคลกทปม Next, Next,
Next ตอไปเรอยๆ จนสดทายคอคลกปม Finish ซงแนนอนวา คนทอาน End User License Agreement
(EULA) [7-1] หรอพนธะสญญาทางกฎหมายของแตละโปรแกรมนนแทบจะไมม หรอแมกระทงหากถามวา
ในหนาจอการตดตงนนมขอมลอะไรปรากฎอยบาง บางคนเมอตดตงโปรแกรมเสรจแลวกยงไมรดวยซำา ซง
จากพฤตกรรมดงกลาวน ทำาใหมผพฒนาโปรแกรมหลายราย ใส Adware เขามาในโปรแกรมของตนดวย
แลว Adware คออะไร? เนองจากผพฒนาโปรแกรมหลายราย เผยแพรโปรแกรมของตนใหผใชสามารถ
นำาไปใชงานไดฟรๆ แตทางผพฒนาเองกมความจำาเปนตองใชเงน จงไดตดตอกบผสนบสนน เพอขอใหชวย
จายเงนใหกบผพฒนาโปรแกรมนนๆ โดยแลกกบการทจะแนบโปรแกรมของผสนบสนนไปกบโปรแกรมของ
ผพฒนาดวย ตวโปรแกรมของผสนบสนนนนอาจทำามาเพอการประชาสมพนธหรอโฆษณาตวผสนบสนนเอง
ดงนนโปรแกรมทมลกษณะดงกลาวนจงถกเรยกวา Adware ซงหมายถง โปรแกรมทมโฆษณา การโฆษณา
นนอาจจะมาในหลายรปแบบ เชน Toolbar ของโปรแกรมเบราวเซอร หรอการเปลยนหนาจอ Home
page ของเบราวเซอรใหไปทเวบไซตของผสนบสนน เปนตน ตวอยางโปรแกรม Adware ทพบเหนไดบอย
เชน Google toolbar, Ask.com toolbar เปนตน แตโปรแกรม Adware หลายตวกถกสรางขนมาโดยม
วตถประสงคแอบแฝง โดยทำาหนาทเปน Spyware ดวย ซงจะแอบเกบขอมลของผใชแลวสงไปใหกบผพฒนา
Adware นนๆ [7-2]
ดงนน การอาน EULA หรอการสงเกตขอมลทปรากฎในหนาจอการตดตงโปรแกรม จงเปนเรองสำาคญ
เนองจากในหลายโปรแกรม ไดเขยนขอตกลงการใชงานไววา ผใชตองยอมใหมการตดตงโปรแกรม Adware
ไวในเครองดวยถงจะสามารถใชงานโปรแกรมนนได ซงหากผใชไมยอมรบกจะไมสามารถตดตงและใชงาน
โปรแกรมนน ในบางโปรแกรม ระหวางการตดตงจะมการถามวาตองการตดตงโปรแกรม Adware ดวยหรอ
ไม ดงรปท 26 (7-1) ซงโปรแกรมโดยสวนใหญจะอนญาตใหผใชสามารถตดตงโปรแกรมนนไดโดยไมจำาเปน
ตองตดตง Adware
รปท 26 (7-1) หนาจอการถามวาตองการตดตงโปรแกรม Adware หรอไม
หากผใชเผลอตดตง Adware ไปโดยไมตงใจ กยงสามารถลบ Adware นนออกจากเครองไดงายโดย
การ Uninstall ออก แตโปรแกรม Adware บางตวอาจไมยอมใหผใชลบ เพราะถงแมจะตามไปลบไฟลของ
Adware นนออกจากระบบแลว แตเมอเชอมตอกบอนเทอรเนต Adware นนกจะถกดาวนโหลดมาตดตง
ใหมอยด ซงการกำาจด Adware ทมพฤตกรรมดงกลาวน จำาเปนตองใชโปรแกรมประเภท Anti-Adware
หรอ Anti-Spyware ชวย
2. แอบเลนอนเทอรเนตไรสายฟรคณจะทำาอยางไรหากพบวาสามารถเชอมตอเขากบเครอขายไรสายของเพอนบานทปลอยออกมาใหเลน
อนเทอรเนตไดฟรๆ ? สงหนงทผใชหลายคนมองขามไป คอ เมอเครองคอมพวเตอรเชอมตอเขากบระบบเครอ
58 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 59
ขายไรสายใดๆ กจะตองทำาการรบสงขอมลกบอปกรณทเปนตวรบสงสญญาณไรสายนนๆ ดงนนหากผใชเชอม
ตอคอมพวเตอรเพอแอบเลนอนเทอรเนตไรสายของขางบาน ขอมลตางๆ ทรบสง ไมวาจะเปน ชอผใช รหส
ผาน หรอขอมลสำาคญอนๆ กจะถกสงออกไปดวย ซงแนนอนวาหากมใครทสามารถเชอมตอเขากบระบบไร
สายนได แลวทำาการดกรบขอมล (Sniff) กจะไดขอมลทกอยางไปอยางงายดาย
แตถงแมผใชจะมนใจวาใชการเชอมตอแบบ HTTPS ทมการเขารหสลบขอมลทรบสงแลวกตาม ผทสราง
ระบบเครอขายไรสายอาจทำาสงทเรยกวา SSL Strip [7-3] ซงเปนการหลอกผใชวาไดเชอมตอแบบ HTTPS
แลว ทงทจรงๆ เปนการเชอมตอแบบ HTTP ธรรมดากเปนได โดยเฉพาะอยางยงในโลกทกวนนทอปกรณ
เคลอนทสามารถหาไดงายและม ราคาถก และอปกรณเหลานนสามารถเชอมตอกบอนเทอรเนตแลวทำาหนาท
เปน Access point เพอใหเครองอนสามารถเชอมตอเขามาเพอใชงานอนเทอรเนตได ดงนนจงอาจมผไมหวงด
ใชอปกรณเหลานในการสราง Access point ปลอม เพอใหมคนหลงเชอแลวเชอมตอเขามา แลวกจะไดขอมล
ทสำาคญของคนๆ นนไป [7-4] ซงสถานททเหมาะสมในการโจมตโดยวธนมกจะเปนบรเวณทมคนอยเยอะ
และมโอกาสทคนจะใชอปกรณเคลอนทในการเชอมตออนเทอรเนต เชน โรงอาหาร หรอ หางสรรพสนคา
เปนตน ดงนน ถงแมจะมอนเทอรเนตมาใชฟรๆ แตสงทตองเสยไปนนอาจมากมายมหาศาลกวาทคดกเปนได
3. ตดตงโปรแกรมแอนตไวรสปลอมผใชจำานวนไมนอยถกหลอกลวงโดย Banner หรอ Popup ทโผลขนมาเมอเปดเวบไซต แลวหลงเชอ
และตดตงโปรแกรมแอนตไวรสปลอม (Rogue Antivirus) ซงจะมลกษณะเหมอนกบโปรแกรมแอนตไวรส
ธรรมดาทวไป แตมจดประสงคเพอหลอกลวงและไมสามารถกำาจดไวรสไดจรง เมอผใชเผลอตดตงและเรยก
ใชงานโปรแกรมแอนตไวรสปลอม โปรแกรมนนจะปรากฎหนาจอทดเหมอนกบกำาลงทำาการสแกนไฟลใน
ระบบ แลวจะแจงผลการสแกนขนมาแจงวามโปรแกรมอนตรายอยในระบบอยเปนจำานวน มาก แตผใชจะ
ยงไมสามารถกำาจดโปรแกรมอนตรายเหลานนออกได จนกวาจะจายเงนใหกบผพฒนาโปรแกรมแอนตไวรส
ปลอมนกอน ดงรปท 27 (7-2) โปรแกรม แอนตไวรสปลอมหลายตว นอกจากจะไมสามารถกำาจดไวรสได
แลว ยงดาวนโหลดโปรแกรมอนตรายอนๆ มาตดตงเพมเตมในเครองของผใชดวย
รปท 27 (7-2) ตวอยางโปรแกรมแอนตไวรสปลอม (ทมา The Hacker News [7-5])
โปรแกรม ททำางานในลกษณะแบบนมชอเรยกวา Rogueware หรอ Scareware ซงมความหมายโดย
รวมหมายถงโปรแกรมทหลอกลวงผใชใหทำาการจายเงน [7-6] โดยทวไป Rogueware มกจะมาในรปแบบ
ของโปรแกรมรกษาความมนคงปลอดภย เนองจากงายตอการลอลวงใหผใชดาวนโหลดโปรแกรมไปทำาการตด
ตง เชน อาจจะทำา Banner หรอ Popup ทปรากฎขนเมอผใชเขาสเวบไซต โดยเนอหาของขอความขางใน
นนจะเปนการแจงเตอนวาตรวจพบโปรแกรมอนตราย อยในเครองคอมพวเตอรของผใช ตองรบดาวนโหลด
โปรแกรมแอนตไวรสไปทำาการตรวจสอบโดยดวน [7-7]
ในการปองกนตวจาก Rogueware กอนทำาการดาวนโหลดโปรแกรมทเกยวของกบความมนคงปลอดภย
ผใชควรตรวจสอบรายชอโปรแกรมใน List of rogue security software [7-8] เพอใหแนใจวาจะไดไมตก
เปนเหยอของโปรแกรมหลอกลวง
4. คลกลงกหรอเปดไฟลแนบทมากบอเมลโดยไมตรวจสอบ
การโจมตผานอเมล เปนวธการทมมานานแลว และปจจบนกยงคงใชไดผล ซงวธการโจมตกมหลาย
รปแบบแตกตางกนไป ไมวาจะเปนการโจมตแบบสรางความเสยหายนอย เชน เผยแพรขาวสารหลอกลวง
(Hoax) ซงมจดมงหมายเพอใหคนหลงเชอและทำาการสงตอ (Forward) อเมลฉบบนนไปใหไดเยอะๆ เพอ
ใหผทเผยแพรขาวสารหลอกลวงนนจะไดทำาการรวบรวมรายชออเมล และจะไดทำาการสงสแปม (Spam)
ออกไป เปนตน [7-9]
60 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 61
สวนการโจมตทมจดประสงคเพอตองการสรางความเสยหายกมหลายแบบ ไมวาจะเปน การสรางหนา
เวบไซตหลอกลวง (Phishing) แลวเผยแพรลงกของเวบไซตนนทางอเมล ซงเปาหมายของการทำาหนาเวบไซต
หลอกลวงโดยสวนใหญจะปลอมเปนเวบไซตของ สถาบนการเงน เชน ผโจมตจะสรางหนา Login ใหเหมอน
กบหนาเวบไซตของธนาคาร เพอหลอกใหลกคาของธนาคารนนหลงเชอและกรอกขอมลชอผใชและรหส ผาน
ลงไป ขอสงเกตของอเมล Phishing คอ จะมลงกทบอกวาเปนเวบไซตของธนาคารอยในอเมลแต URL ของ
ลงกนนไมใชเวบไซตของธนาคารทถกกลาวอาง [7-10]
การเผยแพรมลแวร (Malware) ดวยวธการแนบไฟลมากบอเมลนนปจจบนกยงคงไดผลอย ถงแมวา
ผใหบรการอเมลหลายรายจะมบรการสแกนไวรสในไฟลแนบทงอเมลทไดรบเขามาแลวอเมลทถกสงออกไป
แลวกตาม [7-11] แตกยงมโอกาสทมลแวรบางตวจะหลดรอดการตรวจจบและเขามาอยในกลองอเมลของ
ผใชได ปจจบนมลแวรไมไดเผยแพรผานไฟลทมนามสกล .exe เพยงอยางเดยว แตยงสามารถเผยแพรผาน
ไฟลเอกสารทวไป เชน ไฟลของโปรแกรม Office ไฟล .pdf หรอแมกระทงไฟลรปภาพไดอกดวย [7-12] ดง
นนควรตรวจสอบกบผสง และทำาการสแกนไวรสกอนเปดไฟลแนบทกครง
5. Remember my passwordความสามารถหนงของโปรแกรมเบราวเซอรทคนสวนใหญนยมใช คอ การสงใหเบราวเซอรจำาชอผใช
และรหสผานของเวบไซตนน เพอจะไดไมตองพมพใหมในภายหลง ซงวธการทวานกสามารถทำาไดงายๆ โดย
การคลกทปม Remember my password เมอลอกอนเขาสเวบไซต แตการสงใหเบราวเซอรจำารหสผานกม
ขอเสยเชนกน คอ หากเครองคอมพวเตอรสญหายหรอถกเขาถงไดโดยบคคลอน ผทสามารถเขาถงโปรแกรม
เบราวเซอรไดกจะสามารถเขาใชงานเวบไซตท ถกสงใหจำารหสผานไดเลย แตทสำาคญกวานน คอ เบราวเซอร
โดยสวนใหญอนญาตใหผใชสามารถดรหสผานทงหมดทถกเกบ ไวไดงายเพยงแคไมกคลก ดงรปท 28 (7-3)
รปท 28 (7-3) ตวอยางการแสดงรหสผานทงหมดทเกบไวใน Mozilla Firefox
อยางไรกตาม ในบางเบราวเซอร เชน Mozilla Firefox ผใชสามารถกำาหนด Master Password เพอ
ปองกนการแอบดรหสผานทถกบนทกไวได โดยผทตองการดขอมลรหสผาน จะตองใส Master Password
ใหถกตองถงจะสามารถเขาดได [7-13]
6. เปดใชงานฟงกชน Autorun ใน Removable driveAutorun เปนความสามารถหนงของ Windows ทใชระบวา เมอเชอมตอดสกเขากบเครองคอมพวเตอร
แลวจะทำาอะไรตอไป ตวอยางประโยชนของฟงกชน Autorun เชน เมอใสแผนซดสำาหรบตดตงโปรแกรมเขาไป
ในไดรฟ จะปรากฏหนาจอการตดตงโปรแกรมขนมาโดยอตโนมต ซงการกระทำาดงกลาวนจะถกระบในไฟลชอ
autorun.inf ซงเปนไฟลขอความธรรมดา [7-14] ฟงกชน Autorun นอกจากจะทำางานเมอเชอมตอดสกเขากบ
เครองแลว หากวาผใชทำาการดบเบลคลกทไอคอนของไดรฟนน ฟงกชน Autorun กจะถกเรยกใชงานเชนกน
จากประโยชนของฟงกชน Autorun ทสามารถสงใหระบบเปดโปรแกรมทกำาหนดโดยอตโนมตเมอผ
ใชเชอมตอ ไดรฟหรอดบเบลคลกทไอคอน ทำาใหมผพฒนามลแวรทเผยแพรผานทาง USB Drive เนองจาก
มการใชงานทแพรหลายและสามารถเขยนไฟลได ทสำาคญ ผใชงานสวนใหญนยมเปดดขอมลใน USB Drive
ดวยการดบเบลคลกทไอคอน ทำาใหมลแวรแพรกระจายไดไมยาก
62 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 63
ดงนน กอนทจะเปดดขอมลใน USB Drive ควรทำาการสแกนไวรส รวมถงใชโปรแกรมประเภท Auto-
run remover เพอลบไฟล autorun.inf ออกจาก USB Drive ดวย นอกจากน การปดฟงกชน Autorun
ใน Windows กยงสามารถชวยปองกนปญหานได โดย Microsoft ไดเผยแพรโปรแกรมอพเดทหมายเลข
967940 เพอปดการทำางานของฟงกชน Autorun ในไดรฟแบบถอดได (Removable drive) เพอชวยลด
การแพรกระจายของไวรส Autorun [7-15]
7. Login เปน Administratorในระบบปฏบตการ Windows มการแบงประเภทของบญชผใชออกเปน 2 แบบ คอ Administrator
และ Limited โดยท Administrator หมายถงผดแลระบบ ซงมสทธในการทำางานทกอยางในระบบ ไมวา
จะเปนการตดตงโปรแกรม แกไขการตงคาของระบบ รวมถงสรางบญชผใชใหม สวน Limited หมายถงผใช
งานธรรมดา ทถกจำากดสทธใหสามารถเขาใชงานหรอเปลยนแปลงการตงคาของระบบได ภายในขอบเขตท
ถกกำาหนดเทานน เชน ไมสามารถตดตงโปรแกรมเพมเตมได เปนตน [7-16] เนองจากขอจำากดของบญชผใช
แบบ Limited ทำาใหผใชทวไปนยมใชงานคอมพวเตอรโดยใชสทธของ Administrator ซงหากผใชเผลอเรยก
ใชงานโปรแกรมมลแวร กจะทำาใหระบบตดมลแวรนนไดโดยงาย
ตงแต Windows Vista เปนตนมา ไดมการพฒนาระบบ User Account Control (UAC) ซงจะกำาหนด
ไมใหผใชงานระบบมสทธเปน Administrator เพอปองกนความเสยหายทอาจจะเกดขนกบระบบ หากผใช
จำาเปนตองใชงานสทธของผดแลระบบ เชน ตดตงโปรแกรม หรอ เปดโปรแกรมทมสทธแกไขคาของระบบ ก
จะปรากฏหนาจอเพอสอบถามความตองการและใหผใชคลกเพอยนยนการทำางาน อกท [7-17] ตวอยางหนา
จอของระบบ User Account Control เปนดงรปท 29 (7-4)
รปท 29 (7-4) ตวอยางหนาจอของระบบ User Account Control (ทมา MSDN [7-17])
ผใชหลายรายปดการทำางานของระบบ User Account Control หรอเขาสระบบโดยใชสทธของ Ad-
ministrator ซงนนอาจเปนชองทางหนงททำาใหระบบถกโจมตจากมลแวรไดงาย สงสำาคญทควรคำานง คอ
ความสะดวกสบายและความมนคงปลอดภย เปนสงทอยตรงขามกน ดงนนหากเพมความสะดวกสบายจน
เกนไป กอาจไมมความมนคงปลอดภยเหลออยเลยกเปนได
8. ปด Windows UpdateWindows Update เปนระบบท Microsoft สรางขนมาเพอปรบปรงแกไขชองโหวของระบบปฏบต
การ Windows และซอฟตแวรอนของ Microsoft ทตดตงอยในระบบ โดยทวไปแลว Microsoft จะเผย
แพรอพเดทยอยในทกสปดาห และจะเผยแพรอพเดทใหญทแกไขชองโหวรายแรงในวนองคารทสองของทก
เดอน โดยใชชอเรยกวา Patch Tuesday [7-18]
ปกตแลวเมอระบบ Windows Update ตรวจสอบพบวามการเผยแพรอพเดทใหมออกมา กจะทำาการ
ดาวนโหลดและตดตงอพเดทใหมนนโดยอตโนมต แตผใชหลายรายทำาการปดระบบ Windows Update ดวย
เหตผลบางประการ เชน ไมมอนเทอรเนต เชอมตอกบอนเทอรเนตความเรวตำา หรอใชงาน Windows แบบ
ละเมดลขสทธ เปนตน จงทำาใหไมสามารถตดตงการอพเดทลาสดได
การปด Windows Update นนทำาใหระบบมความเสยงตอการถกโจมตจากชองโหว 0-day ซงเปนชอง
โหวทไดรบการเปดเผยแลวแตยงไมไดมการแกไข [7-19] หากเปนไปได ผใชควรดาวนโหลดอพเดททแกไข
ชองโหวรายแรงมาทำาการตดตงดวยตนเอง ซงสามารถดาวนโหลดไดจากเวบไซตของ Microsoft สามารถ
ตดตงไดโดยไมตองเชอมตออนเทอรเนต
9. ไมอพเดทโปรแกรมแอนตไวรสโปรแกรมแอนตไวรสจะมวธการตรวจสอบไวรสโดยหลกๆ อย 2 วธ คอ ตรวจสอบจาก Signature และ
ตรวจสอบแบบ Heuristics โดยการตรวจสอบจาก Signature นนจะเปนการวเคราะหวาไฟลทตรวจสอบนน
มลกษณะเฉพาะตรงกบขอมลของ ไวรสทมอยหรอเปลา ถาตรงกน กแสดงวาไฟลนนมโอกาสทจะเปนไวรส
การตรวจสอบดวยวธนมขอดคอทำางานไดเรวและมโอกาสผดพลาดนอย แตมขอเสยคอถาเจอไวรสทไมรจก
มากอนและไมมในฐานขอมล กจะไมสามารถตรวจจบไวรสนนได สวนการตรวจสอบแบบ Heuristics จะไม
ไดดเนอหาของไฟล แตจะเปนการวเคราะหพฤตกรรมของโปรแกรม วามการทำางานทเขาขายทจะสรางความ
เสยหายใหกบระบบหรอเปลา ถาใชกจะแจงเตอนใหกบผใชทราบ ขอดของวธนคอสามารถตรวจจบไวรสทไม
เคยรจกมากอนได แตขอเสยคอมโอกาสสงทจะมองวาโปรแกรมททำางานตามปกตนนเปนไวรส [7-20] [7-21]
โดยทวไปแลว โปรแกรมแอนตไวรสสวนใหญจะเนนไปทการตรวจสอบไวรสจาก Signature เปนหลก
หากผพฒนาโปรแกรมแอนตไวรสคนพบไวรสชนดใหม กจะสรางไฟล Signature update แลวเผยแพรออก
มาใหผใชงานโปรแกรมแอนตไวรสดาวนโหลดไปอพเดทฐานขอมล ของโปรแกรม หากผใชไมทำาการอพเดท
ฐานขอมล โปรแกรมกอาจจะไมสามารถตรวจจบไวรสชนดใหมได และทสำาคญ ผพฒนาโปรแกรมแอนต
ไวรสหลายราย จะไมอนญาตใหผทใชซอฟตแวรแอนตไวรสแบบละเมดลขสทธเขาไปดาวนโหลดไฟลอพเดท
64 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 65
ฐานขอมลไวรสได ดงนนตอใหผใชใชงานโปรแกรมแอนตไวรสททำางานไดดขนาดไหน แตถาไมอพเดท กจะ
ตรวจจบไวรสไมไดผล
สรปเครองคอมพวเตอรทเชอมตอกบระบบอนเทอรเนตได มโอกาสเสยงทจะถกโจมตงายกวาเครองทไม
ไดเชอมตออนเทอรเนต ดงนนหากมการใชงานอนเทอรเนตอยเปนประจำา ผใชควรตดตามขอมลขาวสารท
เกยวของกบความมนคงปลอดภยอยอยางสมำาเสมอ เพราะนอกจากทจะปองกนระบบของตนแลว ยงชวย
ปองกนไมใหเครองคอมพวเตอรทใชงานอยถกใชเปนเครองมอในการโจมตผอนดวย
พฤตกรรมการใชงานหลายอยาง เปนสาเหตหลกททำาใหเกดความเสยงในเรองของความมนคงปลอดภย
และเปนชองทางใหผไมหวงดใชในการโจมตระบบ ดงนนการปองกนภยคกคามทดทสดจงเปนการปองกน
ทตวผใช นนเอง
อางอง[7-1] http://www.webopedia.com/TERM/E/EULA.html
[7-2] http://books.google.com/books?id=Fo2a7YtU1GUC&pg=PA10
[7-3] http://www.thoughtcrime.org/software/sslstrip/
[7-4] http://www.wi-fiplanet.com/tutorials/article.php/1564431
[7-5] http://thehackernews.com/2012/03/rogue-antivirus-advertised-on-200000.html
[7-6] http://www.pandasecurity.com/img/enc/The Business of Rogueware.pdf
[7-7] http://www.microsoft.com/security/pc-security/antivirus-rogue.aspx
[7-8] http://en.wikipedia.org/wiki/List_of_rogue_security_software
[7-9] http://urbanlegends.about.com/cs/nethoaxes/ht/emailhoax.htm
[7-10] http://www.webopedia.com/TERM/P/phishing.html
[7-11] http://support.google.com/mail/bin/answer.py?hl=en&answer=25760
[7-12] http://computer.howstuffworks.com/question339.htm
[7-13] http://kb.mozillazine.org/Master_password
[7-14] http://msdn.microsoft.com/en-us/library/cc144206(VS.85).aspx
[7-15] http://technet.microsoft.com/en-us/security/advisory/967940
[7-16] http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/
en-us/ua_c_account_types.mspx?mfr=true
[7-17] http://msdn.microsoft.com/en-us/library/windows/desktop/aa511445.aspx
[7-18] http://download.microsoft.com/download/a/9/4/a94af289-a798-4143-a3f8-
77004f7c2fd3/Windows Update Explained.docx
[7-19] http://netsecurity.about.com/od/newsandeditorial1/
a/aazeroday.htm
[7-20] http://www.antivirusworld.com/articles/antivirus.php
[7-21] http://antivirus.about.com/od/antivirusglossary/g/
heuristics.htm
66 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 67
08 PaSSwoRd1 สญญาณอนตราย
ทมากบรหสผานผเขยน: พรพรหม ประภากตตกลวนทเผยแพร: 23 ม.ค. 2555
ปรบปรงลาสด: 23 ม.ค. 2555
เมอตงคำาถามถงการรกษาความมนคงปลอดภยบนระบบคอมพวเตอร ผใชงานหลายทานอาจใหคำานยาม
ดวยภาพของการเขาสระบบปฎบตการหรอการเขาสหนาเวบไซตดวยชอผใช (Username) และรหสผาน
(Password) เปนอยางแรก เนองจากเปนวธการรกษาความมนคงปลอดภยของระบบคอมพวเตอรแบบหนงท
พบไดบอยครงเมอมความตองการเขาใชงานขอมลทเปนสวนบคคลหรอเปนความลบ แตระบบคอมพวเตอรท
ใหลอกอนโดยการใชงานชอผใชและรหสผาน กมความเสยงสงตอการถกโจมต เนองจากปจจยทจะทำาใหการ
ถกโจมตสำาเรจนน มกขนอยกบการตงคารหสผานของผใชงานเปนหลก หากรหสผานทใชงานไมมความมนคง
ปลอดภยแลวนน กเทากบเปดโอกาสใหผโจมตสามารถคาดเดารหสผานเพอเขาถงระบบคอมพวเตอรไดโดยงาย
ตามรายงานขาวจาก CNN มการระบวาบรษทวจยและพฒนาดานการรกษาความมนคงปลอดภยของ
ระบบคอมพวเตอรทชอวา Trustwave ไดเปดเผยรายงานทเกยวของกบสถตการใชงานรหสผานในเอกสาร
“Trustwave 2012 Global Security Report” [8-1] โดยมเนอหาทเกยวของวาองคกรทางดานธรกจทว
โลกมการใชรหสผาน “Password1” อยางแพรหลายและอาจเปนสาเหตสวนใหญททำาใหระบบคอมพวเตอร
ขององคกรตางๆ ถกเขาควบคมไดสำาเรจจากการโจมตผานการลอกอนดวยรหสผานดงกลาว และจากขอมล
เพมเตมพบวารหสผานดงกลาวเปนคาทไดจากการกำาหนดคา Default Password ทไดจากบรการของ
Microsoft Active Directory [8-2] [8-3] ทเปนบรการทใชสำาหรบบรหารจดการสทธผใชงานบนเครอขาย
โดเมนของระบบปฎบตการวนโดวส ซงอาจทำาใหผใชงานบางคนอาจเขาใจวารหสผานดงกลาวมความซบซอน
อยแลวจงไมดำาเนนการเปลยนรหสผาน
จากรายงานขางตนแสดงใหเหนถงสภาพปญหาสำาคญของการใชงานระบบคอมพวเตอรจากทวโลกวา
ยงคงขาดความใสใจในเรองความมนคงปลอดภยทเกยวของกบการใชงานรหสผานและการขาดกระบวนการ
ตรวจสอบทด ซงในกรณทเปนระบบขององคกรทมความสำาคญและถกขโมยบญชผใชงานไปได อาจสงผลก
ระทบรายแรงทำาใหองคกรนนหมดความนาเชอถอจากลกคา และไมสามารถประเมนคาความเสยหายทจะ
เกดขนในอนาคตหากยงเปดโอกาสใหผโจมตเขามายงระบบไดงายดายเชนน บทความนจะรวบรวมขอมล
แนวทางการใชงานรหสผาน เพอใหผอานสามารถนำาไปปรบใชงานกบการใชงานในระบบหรอบรการตางๆ
ทตองการได โดยมรายละเอยดดงน
1.ไมใช Default PasswordDefault Password หรอคารหสผานเรมตนของอปกรณหรอซอฟตแวร หมายถง รหสผานทถกตงคา
มาจากผพฒนาอปกรณหรอซอฟตแวรตงแตครงแรก เชน รหสผานสำาหรบลอกอนระบบบรหารจดการของ
อปกรณ Router ทมการตงคามาจากผพฒนา หรอกรณทใชเทมเพลตของรหสผานทออกแบบโดยระบบ
Active Directory ดงเชนในตวอยางรายงานทไดกลาวไป โดยมจดประสงคหลกเพอปองกนการเขาถงจากผท
ไมเกยวของ แตชองโหวของการใชงานรหสผานแบบ Default Password คอ รหสผานมกจะเปนคาเดยวกน
ทงผลตภณฑหรอรนนนๆ และเมอผใชงานไมเปลยนแปลงคารหสผานเรมตน กสามารถทำาใหรหสผานเหลา
นถกคาดเดาเพอใชในการโจมตไดไมยาก เพราะปจจบนขอมลรหสผานเหลานสามารถคนหาไดทวไปบน
เวบไซตอนเทอรเนต ดงเชนเวบไซตในรปท 30 (8-1) ซงเปนแหลงรวบรวมขอมล Default Password จาก
ผใหบรการเกยวกบระบบคอมพวเตอรทวโลก
รปท 30 (8-1) ตวอยางเวบไซตทรวบรวม Default Password จากผใหบรการ
68 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 69
2. ตงคารหสผานทมความซบซอนผใชงานหลายทานคงเคยไดยนคำาเตอนจากผเกยวของดานความมนคงปลอดภยใหเปลยนรหสผานสวน
ตวใหเปนรหสผานทมความซบซอน หรอบางทานอาจพบเหนดวยตวเองจากการใชงานหนาเวบไซตตางๆ ทม
การแจงเตอนใหตงคารหสผานทมความมนคงหรอทเรยกวา Password Strength ดงเชนตวอยางในรปท 31
(8-2) ซงทงหมดทกลาวมาถอเปนคำานยามเดยวกน โดยมจดประสงคเพอลดโอกาสทผโจมตจะสามารถคาด
เดารหสผานของผใชงานไดโดยงาย เนองจากคำาวารหสผานทมความซบซอนจะหมายถง รหสผานทคาดเดา
ยาก ซงประกอบไปดวย ตวเลข อกษรภาษาองกฤษตวพมพใหญ อกษรภาษาองกฤษตวพมพเลก และอกขระ
พเศษ โดยอาจจะมหลกเกณฑเพมเตม เชน ตองกำาหนดความยาวของรหสผานมากกวา 8 ตวอกษร ผใชงาน
ควรปรบทศนคตวารหสผานทซบซอนจะทำาใหจำาไดยาก และปรบทศนคตทวาการตงคารหสผานโดยการเลอก
ใชขอมลเฉพาะกลม เชน ใชเฉพาะขอมลกลมทเปนตวเลข มโอกาสเสยงตอการถกโจมตสำาเรจสง เนองจาก
ความนาจะเปนมขอบเขตนอย ยกตวอยางเชน หากมการตงคารหสผาน 5 หลกเปนตวเลขทงหมด จะเทยบ
เทากบมโอกาสทจะสมรหสผานถกตองไมเกน 500 ครง โดยอาศยการผสมของอกขระพเศษและพยญชนะรป
แบบตางๆ เชน ตวเลข พยญชนะภาษาองกฤษตวเลก พยญชนะภาษาองกฤษตวใหญ เปนตน
รปท 31 (8-2) แสดงการตงรหสผานทมความซบซอนคาดเดายากจากเวบไซต hotmail.com
3. ไมตงคารหสผานใหมซำ กบรหสผานกอนหนาผใชงานหลายทานคงเคยเหนอเมลแจงเตอนใหเปลยนรหสผาน ตามชวงเวลาทองคกรหรอระบบทให
บรการตางๆไดกำาหนดไว สวนใหญมกจะเปนไปตามนโยบายขององคกรทตองการใหผใชงานเปลยนรหสผาน
ใหมเพอความมนคงปลอดภย แตกยงพบวาผใชงานอกหลายคนทมแนวคดตรงกนขามคอตองการใชรหสผาน
เดมไปตลอด เพราะฉะนนเมอถงรอบเปลยนรหสผาน ผใชงานกลมนกจะทำาการเพอเปลยนรหสผานแตการ
เปลยนรหสผานทวาคอการเปลยนไปเปนรหสผานตวเดม หรอในกรณทระบบออกแบบมาใหมตรวจสอบวาการ
เปลยนรหสผานจะตองไมซำาเดมเปนจำานวน 3 ครง ผใชงานกจะทำาการเปลยนรหสผานเปนจำานวนทงหมด 4
ครง โดยครงสดทายกจะยงคงเปลยนเปนรหสผานเดม เพอหลกเลยงกระบวนการตรวจสอบน ซงเปนสงทไม
ควรทำาอยางยงเพราะนอกจากจะผดจดประสงคของการเปลยนรหสผานแลว ยงเทากบเพมโอกาสทจะทำาใหผ
โจมตสามารถเจาะรหสผานได เพราะฉะนนทางเลอกทดทสดคอการเปลยนรหสผานทไมซำากบคาเดม รวมถง
ระบบทใหบรการกตองมกระบวนการทไมยอมใหผใชงานสามารถตงคารหสผานซำาเดมดวย โดยอาจจะดำาเนน
การพฒนากระบวนการตรวจสอบเพมเตมเชน ระบบทใหบรการเปลยนรหสผานตองมกระบวนการตรวจสอบ
รหสผานทจะตงคาใหมกบรหสผานเดมทกครง หรอใหมกระบวนการทำา Minimum password age [8-4]
เพอกำาหนดชวงเวลาทอนญาตใหผใชงานสามารถเขามาเปลยนรหสผานไดอกครง
4. ไมตงคารหสผานทเหมอนกนทกระบบการตงคารหสผานใหเหมอนกนในทกระบบไมวาจะเปน อเมล ระบบงาน ระบบปฏบตการ หรอระบบใด
กตามลวนแลวแตเปนการเพมชองทางทจะทำาใหความเสยหายขยายตวไดงายมากยงขน ยกตวอยางเชน กรณ
ของผใชงานทมบญชผใชงานเวบไซตเฟซบค (Facebook) ทใชรหสผานเดยวกบบญชผใชงานจเมล (Gmail)
โดยเมอพบวารหสผานของผใชงานถกขโมยจากระบบใดระบบหนงแลว เทากบผใชงานคนนนมความเสยงสง
ทจะถกเขาถงอกระบบหนงทใชรหสผานเดยวกนไดโดยงาย ซงแสดงใหเหนวาการเลอกใชรหสผานเดยวกนใน
ทกระบบยอมสงผลเสยไดเรวและงายขน แตในปจจบนจะพบวาในองคกรใหญๆทมผใชงานมากมกจะมการ
ประยกตใชระบบการเกบรหสผานทเดยวเพอรองรบการเขาถงขอมลบญชการลอกอนทเหมอนกนในทกระบบ
หรอทเรยกวา Centralize Authentication [8-5] เพอใหผใชงานมความสะดวกมากยงขนและลดความซบ
ซอนของการเกบขอมลบญชผใชงานรวมถงรหสผาน เพราะฉะนนรหสผานทใชในกรณนจำาเปนจะตองมการ
รกษาความมนคงปลอดภยทดมาก ซงอาจสามารถทำาตามคำาแนะนำาทงหมดในบทความน เพอลดโอกาศทจะ
ถกผบกรกสามารถเขาถงขอมลสำาคญไดทงหมด
5. ไมตงคารหสผานทเปนคำ ในพจนานกรมหรอคำ ทวไปทคาดเดาไดโดยงาย
ในทางการรกษาความมนคงปลอดภยบนระบบคอมพวเตอรไดมการ พบการโจมตรหสผานรปแบบหนง
ทชอวา Dictionary Attack [8-6] ซงเปนการโจมตโดยการนำาเอาคำาในไฟลขอความ (Text File) หรอในอก
ความหมายหนงคอพจนานกรม (Dictionary) ทจดทำาขนสวนตวหรออาจจะหาซอไดจากแหลงตางๆ มาใช
ในการโจมตระบบคอมพวเตอร โดยนำาคาในไฟลดงกลาวไปประมวลผลลอกอนลงในระบบคอมพวเตอร ซง
การโจมตในรปแบบนมกไดผลกบผใชงานทตงคารหสผานทไมซบซอนและสวนมากเปนคำาทวไปทผใชงาน
มกจะตงกน เชน คำาวา password , secret เปนตน
6. ไมตงคารหสผานจากขอมลสวนบคคลสงแรกทสรางแรงจงใจใหเกดการขโมยบญชผใชงานในระบบหรอบรการตางๆนนคอ ผใชงานมกมการ
ตงคารหสผานโดยใชขอมลสวนบคคล เพอใหผใชงานเองสามารถจดจำาไดงาย ซงขอมลสวนบคคลทกลาวมา
คงปฎเสธไมไดวาจะเปนขอมลซงรเฉพาะผใชงานคนเดยว และมกเปนขอมลทเปดเผยและคาดเดาไดไมยาก
เชน เบอรโทรศพท หมายเลขทะเบยนรถ หรอวนเดอนปเกด เปนตน ในบางกรณทผใชงานตงคารหสผานจาก
ขอมลสวนบคคลและคดวาตนเองถกขโมยรหสผานจากคนใกลตวทรขอมลสวนบคคล แตจรงๆแลวผใชงานลม
คดไปวาขอมลดงกลาว ไมไดเปนความลบหรอรเฉพาะคนใกลตวเทานน ปจจบนขอมลสวนบคคลบางอยางได
70 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 71
ถกเผยแพรอยบนหนาเวบไซตเครอขายสงคมออนไลนทตนเองสมครใชบรการอย ดงรปท 32 (8-3) ฉะนนจง
ไมแปลกทการตงคารหสผานจากขอมลสวนบคคลจะไมมความมนคงปลอดภยพอ
รปท 32 (8-3) การเปดเผยขอมลผานเวบไซตเครอขายสงคมออนไลน
7. ใชงาน Two Factor AuthenticationTwo Factor Authentication เปนวธการลอกอนเพอเขาถงระบบหรอบรการตางๆโดยอาศยปจจย
สองอยางทนำามายนยนรวมกน ซงจะตองไมมความสมพนธเหมอนกน เพอจดประสงคในการสรางความมนคง
ปลอดภยใหมประสทธภาพมากยงขน โดยในทางดานความมนคงปลอดภยระบบคอมพวเตอรไดมการจำาแนก
ปจจยดงกลาวออกเปน 3 สวน [8-7] คอ
7.1 การยนยนตวตนดวยสงทร (Something you know) เชน รหสผาน
7.2 การยนยนตวตนดวยสงทม (Something you have) เชน รหสบตรเตมเงน รหสผานแบบครงเดยว
ทสงผานขอความสนเขาโทรศพทมอถอ (SMS OTP)
7.3 การยนยนตวตนดวยขอมลทางชวภาพ (Something you are) เชน การสแกนลายนวมอ
ซงในปจจบนพบวาระบบหรอบรการตางๆมแนวโนมในการปรบเปลยนใหสามารถรองรบการทำางาน
รวมกบ Two Factor Authentication ดงจะเหนไดจากเวบไซตใหญๆทมการเปดใหใชงานแลว เชน Google
หรอ Amazon
8. เปลยนรหสผานอยางสมำ เสมอและตรวจสอบขอมลชองทางการเปลยนรหสผาน
การเปลยนรหสผานอยางสมำาเสมอชวยใหผใชงานมนใจวารหสผานสวนตวจะยงคงเปนความลบอยเสมอ
และในระหวางนนผใชงานควรมการตรวจสอบขอมลอนๆทใชรวมกบการลอกอนดวย เชน ขอมลอเมลสำารอง
ทใชในการเปลยนรหสผาน ขอมลคำาถามสำาหรบการเปลยนรหสผาน เปนตน เพอลดโอกาสทผไมหวงดจะแฝง
ตวอยกบบญชผใชงาน ซงโดยทวไป มกเกดกบการโจมตทผโจมตไดบญชการใชงานและรหสผานมาแลวและ
ทำาการลกลอบอยในระบบโดยไมแสดงพฤตกรรมใดๆ ในบางกรณผใชงานเองอาจไมเคยทราบเลยกเปนไดวา
มการขโมยรหสผานสำาเรจแลว และผโจมตกำาลงแฝงตวเพอลกลอบขโมยขอมลสวนบคคลจากการใชงาน เชน
ผโจมตจะเฝาดการใชงานอเมล เปนตน และเมอผโจมตไดขอมลตามทตองการแลวจงจะแสดงตวออกมาตอ
ไปหรอในบางรายอาจไมแสดงตวเลยกเปนได
9. อยาหลงกลเชออเมลทแจงใหเปลยนรหสผานกอนทจะตกลงปลงใจเชอขอมลในอเมล โดยเฉพาะอยางยง ขอมลทมผลกระทบกบการใชงานรหส
ผาน ควรพจารณาใหรอบคอบวาเปนอเมลทมาจากระบบหรอจากผเกยวของจรงๆ หรอไม แนวทางทใชใน
การวเคราะหขอมลเบองตนคอการตรวจสอบสถานะการเปลยนรหสผานจากผดแลระบบหรอจากการเชค
จากขอมลทบรการนนๆ จดเตรยมไวให แตหากไมสามารถตดตอหรอตรวจสอบขอมลใดๆ ไดเลย กอาจจะ
ใชวธการทวไปทคอนขางปลอดภยคอเขาไปเปลยนรหสผานยงเวบไซตหรอบรการทแจงเตอนมาดวยตนเอง
เพอปองกนโอกาสในการหลอกลวงดวยเทคนค Phishing [8-8] โดยผใชงานจะตองไมคลกลงกทแนบมากบ
อเมลเปนอนขาด หากตองการเปลยนรหสผานบนเวบไซต ใหผใชงานเขาไปยงหนาเวบไซตโดยตรงและทำาการ
เปลยนรหสผาน ตวอยางของอเมลหลอกลวงเปนดงรปท 33 (8-5)
รปท 33 (8-5) แสดงตวอยางอเมลหลอกลวง
แนวทางการใชงานรหสผานดงทไดกลาวมาทงหมดเปนเพยงแนวคดเบองตนทจะชวยสรางลกษณะนสย
และความตระหนกถงความมนคงปลอดภยในการใชงานรหสผานและการเขาถงระบบหรอบรการตางๆ โดยสง
ทชใหเหนอยางหนงคอนอกเหนอจากจะใหความรผใชงานแลว ผดแลระบบควรมการสนบสนนชองทางหรอ
กลไกในการเพมประสทธภาพดานความมนคงปลอดภยในการเขาถงระบบตางๆเพมเตมดวย เชน การพฒนา
ฟงกชนการตรวจสอบการเปลยนรหสผานใหสอดคลองกบนโยบายขององคกร การพฒนาระบบการทำา Two
Factor Authentication เพอเพมระดบในการเขาถงระบบใหระบบมความมนคงปลอดภยมากยงขน เปนตน
72 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 73
อางอง[8-1] https://www.trustwave.com/global-security-report
[8-2] http://money.cnn.com/2012/03/01/technology/password_
security/?source=cnn_bin
[8-3] http://en.wikipedia.org/wiki/Active_Directory
[8-4] http://netsecurity.about.com/od/secureyourwindowspc
/qt/pwminage.htm
[8-5] http://www.windowsitpro.com/article/ldap/sso-vs-centralized-authentication
[8-6] http://en.wikipedia.org/wiki/Dictionary_attack
[8-7] http://www.cs.cornell.edu/courses/cs513/2005fa/
nnlauthpeople.html
[8-8] http://www.etda.or.th/main/contents/display/233
09 ผใช ioS ระวงถกขโมย aCCounT
ผเขยน: ทมไทยเซรตวนทเผยแพร: 11 เม.ย. 2555ปรบปรงลาสด: 11 เม.ย. 2555
เมอวนท 3 เมษายน 2555 นาย Gareth Wright นกออกแบบและพฒนาเวบไซต ไดคนพบชองโหว
ของแอปพลเคชน Facebook บนระบบปฏบตการ iOS ซงเกบขอมลการลอกอนของผใชไวในตวเครองโดย
ไมมการเขารหสลบ อกทงยงไมมการปองกนการคดลอกขอมลออกจากตวเครอง ทำาใหผไมหวงดสามารถ
ขโมยไฟลทเกบขอมลการลอกอนจากเครองของเหยอไปใสในเครองของตนเอง แลวสวมรอยเปนผใชคนนน
ไดอยางงายดาย เขาไดแจงชองโหวดงกลาวไปยง Facebook แตไดรบการตอบกลบมาวา ชองโหวมผลกบ
อปกรณ iOS ทถก Jailbreak แลวเทานน แตนาย Gareth Wright ยนยนวาชองโหวนมผลกบอปกรณ iOS
ทกเครอง รวมทงเครองทไมได Jailbreak ดวย [9-1] เพอตอบขอสงสยเหลาน ทางทมไทยเซรตจงไดทำาการ
ทดสอบชองโหวดงกลาว
อปกรณทใชในการทดสอบ ประกอบดวย iPod Touch Gen 4, iPhone 4 และ iPhone 4S โดยทำากา
รอพเดทเฟรมแวรใหเปนเวอรชนลาสด คอ iOS เวอรชน 5.1 (9B176) และตดตงแอปพลเคชน Facebook
เวอรชน 4.1.1 (อพเดทลาสด 2 เมษายน 2012) โดยอปกรณทกเครองไมไดทำาการ Jailbreak แตอยางใด
ทมไทยเซรตไดทำาการทดสอบโดยการลอกอนผานแอปพลเคชน Facebook ในเครอง iPod แลวนำาไฟล
ทเกบขอมลการลอกอนไปแทนทไฟลชอเดยวกนทอยใน อปกรณ iPhone ดงแสดงในรปท 34 (9-1) ปรากฏ
วาเครอง iPhone สามารถเขาใชงานบญช Facebook ทถกลอกอนในอปกรณ iPod ไดทนท และสามารถ
ทำางานไดเสมอนกบเจาของ Account เปนผลอกอนในเครองนนโดยตรง ไมวาจะเปนการอาน โพสตขอความ
หรอแมกระทงการยกเลก Account ยกเวนแตการเปลยนอเมลทผกกบ Account จะไมสามารถทำาได เนอง
จากแอปพลเคชน Facebook จะขอใหใส Password เพอเปนการยนยนอกครงหนง รวมถงไมสามารถเปลยน
Password ได เนองจากแอปพลเคชน Facebook ไมรองรบการกระทำาดงกลาว
74 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 75
รปท 34 (9-1) แสดงการนำาไฟลทเกบขอมลการลอกอนจากเครอง iPod ไปใสในเครอง iPhone
และจากการทดสอบเพมเตมกบแอปพลเคชน Dropbox และ Gmail พบวาสามารถสวมรอยการใชงาน
ไดเชนเดยวกบแอปพลเคชน Facebook และมความเปนไปไดสงวาจะพบแอปพลเคชนอนๆ ทมจดออนแบบ
เดยวกน ซงจะสงผลอนตรายกบผใชงาน หากถกผไมหวงดขโมยอปกรณ iOS หรอนำาอปกรณ iOS ไปเชอม
ตอเขากบเครองคอมพวเตอรทสามารถคดลอกขอมลออกจากตว เครองได
ในการทดสอบครงน ทมไทยเซรตไดใชโปรแกรม iExplorer ในการเขาถงขอมลของอปกรณ iOS ซง
โปรแกรมดงกลาวสามารถเขาถงขอมลไฟลการตงคาของแอปพลเคชนบน อปกรณ iOS ไดทงหมด ดงรป
ท 35 (9-2) และยงพบวาโปรแกรมนสามารถมองเหนขอมลดงกลาวไดทนททเชอมตอ อปกรณเขากบเครอง
คอมพวเตอรผานสาย USB ถงแมอปกรณ iOS นนจะไมไดผานการ Jailbreak กตาม ซงผใชรวมถงผพฒนา
แอปพลเคชนบางรายยงคงมความเขาใจผดวาไฟล ตางๆ เหลานจะไมสามารถมองเหนไดหากอปกรณ iOS
ยงไมได Jailbreak
รปท 35 (9-2) แสดงการใชโปรแกรม iExplorer ในการเขาถงขอมลทอยในอปกรณ iOS
สาเหตของปญหา เกดจากการทแอปพลเคชนหลายตว เกบขอมลการลอกอนไวในไฟลนามสกล .plist
ซงเปนไฟลทระบบปฎบตการ iOS ใชในการเกบขอมลของแตละแอปพลเคชน เชน สถานะการลอกอน
เปนตน โดยไมไดมการปองกนทเหมาะสม จงทำาใหผไมหวงดสามารถขโมยไฟลขอมลดงกลาวไปใชงานไดทนท
ดงนน ผใชงานอปกรณ iOS ตองพงระวงไววา อยาปลอยใหอปกรณอยหางตวเปนอนขาด และผใชควร
มความตระหนกในการใชงานโดยทำาการลอกเอาทจากแอปพลเคชนทกครงเมอเลกใช หรอหากผใชงานสงสย
วาจะถกขโมย Account ดวยวธน ผใชสามารถแกไขไดโดยการเปลยนรหสผาน ซงจะทำาใหไฟลทเกบขอมล
การลอกอนทถกขโมยไปไมสามารถใชงานไดอก แตอยางไรกตามวธการดงกลาว จากการทดสอบของทมไทย
เซรต พบวาสามารถใชไดกบแอปพลเคชน Facebook และ Gmail แตสำาหรบ แอปพลเคชน Dropbox ตอง
ใชวธ Unlink ออกจาก Account ของ Dropbox [9-2] หากสงสยวาถกขโมยไฟลทเกบขอมลการลอกอน
จากรายงานของ The Next Web ระบวา Dropbox ทราบปญหาดงกลาวแลว และจะแกไขปญหาน
ในเวอรชนถดไป โดยจะมการปรบปรงการเกบขอมลใหปลอดภยมากยงขน [9-3] สวน Facebook ยงไมม
รายงานการแกไขแตอยางใด ซงหากมความคบหนาในกรณน ทางทมไทยเซรตจะนำามาแจงใหทราบตอไป
อางอง [9-1] http://garethwright.com/blog/facebook-mobile-security-hole-allows-identity-theft
[9-2] http://www.wikihow.com/Unlink-a-Computer-from-a-Dropbox-Account
[9-3] http://thenextweb.com/mobile/2012/04/06/security-hole-in-facebook-ios-app-
doesnt-require-jailbreak-or-theft-and-dropbox-has-it-too/
76 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 77
10 รจก PhiShing และการปองกน
ผเขยน: วศลย ประสงคสขวนทเผยแพร: 27 เม.ย. 2555ปรบปรงลาสด: 30 เม.ย. 2555
ในป 2554 ทผานมา สถตภยคกคามทแจงมายงไทยเซรตมากทสดคอภย
คกคามประเภทการฉอฉล ฉอโกงหรอหลอกลวงเพอผลประโยชน (Fraud) ดงรป
ท 36 (10-1) ซงแทบจะทงหมดเปนเรองเกยวกบ Phishing ดงนนบทความนจง
ขอนำาทานผอานใหทำาความรจกและระวงตวจากภยชนดน
รปท 36 (10-1) สถตภยคกคามระหวางเดอนกรกฏาคมถงธนวาคมป 2554 จำาแนกตามประเภทภยคกคาม [10-1]
Phishing คอคำาทใชเรยกเทคนคการหลอกลวงโดยใชอเมลหรอหนาเวบไซตปลอมเพอใหไดมาซงขอมล
เชน ชอผใช รหสผาน หรอขอมลสวนบคคลอน ๆ เพอนำาขอมลทไดไปใชในการเขาถงระบบโดยไมไดรบอนญาต
หรอสรางความเสยหายในดานอน ๆ เชน ดานการเงน เปนตน ในบทความนจะเนนในเรองของ Phishing ท
มจดมงหมายเพอหลอกลวงทางการเงน เนองจากจะทำาใหผอานมองเหนผลกระทบไดงาย
คำาวา Phishing เปนคำาพองเสยงจากคำาวา Fishing ซงหมายถงการตกปลา หากจะเปรยบเทยบงาย ๆ
ผอานสามารถจนตนาการไดวา เหยอลอทใชในการตกปลา กคอกลวธทผโจมตใชในการหลอกลวงผเสยหาย
ซงเหยอลอทเดน ๆ ในการหลอกลวงแบบ Phishing มกจะเปนการปลอมอเมล หรอปลอมหนาเวบไซตทม
ขอความซงทำาใหผเสยหายอานแลวหลงเชอ เชน ปลอมอเมลวาอเมลฉบบนนถกสงออกมาจากธนาคารทผ
เสยหายใชบรการอย โดยเนอความในอเมลแจงวา ขณะนธนาคารมการปรบเปลยนระบบรกษาความมนคง
ปลอดภยของขอมลลกคา และธนาคารตองการใหลกคาเขาไปยนยนความถกตองของขอมลสวนบคคลผาน
ทางลงกทแนบมาในอเมล เปนตน เมอผเสยหายคลกทลงกดงกลาว กจะพบกบหนาเวบไซตปลอมของธนาคาร
ซงผโจมตไดเตรยมไว เมอผเสยหายเขาไปลอกอน ผโจมตกจะไดชอผใชและรหสผานของผเสยหายไปในทนท
ในหลาย ๆ ครงการหลอกลวงแบบ Phishing จะอาศยเหตการณสำาคญทเกดในชวงเวลานน ๆ เพอเพมโอกาส
ของการหลอกลวงสำาเรจ เชน อาศยชวงเวลาทมภยธรรมชาตหรอโรคระบาด โดยปลอมเปนอเมลจากธนาคาร
เพอขอรบบรจาค เปนตน [10-2]
หนาเวบไซตปลอมบางหนาจะใชวธการทแยบยล นนคอการฝงโทรจนทสามารถขโมยขอมลทตองการ
มากบหนาเวบไซตปลอมนนดวย เชน โทรจนททำาหนาทเปน Key-logger ซงจะคอยตดตามวาผเสยหายพมพ
คยบอรดอะไรบาง เปนตน เมอผเสยหายหลงกล กดลงกตามเขามาทหนาเวบไซตปลอมกจะตดโทรจนชนดน
ไปโดยอตโนมต และหากผเสยหายทำาการลอกอนเขาใชงานระบบใด ๆ ขอมลชอผใช และรหสผาน ของระบบ
นนกจะถกสงไปยงผไมประสงคด [10-3] [10-4]
ตวอยางของอเมลและหนาเวบไซตหลอกลวง มอยมากมายเตมไปหมดในโลกอนเทอรเนต เชนรปท 37
(10-2) ดานลาง เปนรปของสถาบนทางการเงนแหงหนง หากสงเกตดๆ จะเหนวา URL ทแสดงขนมา ไมใช
URL ทถกตองของสถาบนการเงนนน
รปท 37 (10-2) ตวอยางหนาเวบไซตหลอกลวงของสถาบนการเงนแหงหนง [10-6]
78 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 79
นอกจาก Phishing แลวยงมเทคนคการหลอกลวงอน ๆ ทคลายคลงกน ซงแตละวธกมชอเรยกแตก
ตางกนออกไป เชน
Vishing และ Smishing: หลายคนคงเคยไดยนหรอเคยประสบกบแกงคอลเซนเตอรอยบาง
พฤตกรรมของแกงเหลานเขาขายของ Vishing โดยตวอกษร ‘V’ นมาจากคำาวา Voice ซงแปลวาเสยง ดง
นน Vishing จงเปนการใช Voice รวมกบ Phishing ซงมกเปนการหลอกลวงใหไดมาซงขอมลสวนบคคลผาน
ทางโทรศพทนนเอง แตหากเปน Smishing กจะเปนการหลอกลวงโดยใช SMS เชน การไดรบ SMS อางวา
มาจากธนาคารเพอแจงลกคาวาบญชของทานถกระงบ กรณาตดตอกลบทหมายเลข ดงตอไปน ซงเมอโทร
ตามหมายเลขทระบไว กจะเขาสกระบวนการ Vishing ตอไป เปนตน [10-9]
Spear-phishing และ Whaling: อยางทกลาวมาแลวในขางตนเกยวกบกลวธของ Phishing ใน
การนำาไปใชงาน ผไมประสงคดบางคนกไดเลงองคกร หรอบคคลทเปนเปาหมายไวชดเจนอยแลว บคคลทมก
ตกเปนเปาหมายสวนใหญจะเปนผทมบทบาทสำาคญในองคกร มความสามารถหรอรวธการเขาถงขอมลสำาคญ
ขององคกร การหลอกลวงแบบ Phishing ทมเปาหมายชดเจนนมคำาเรยกเฉพาะคอ Spear-phishing และ
หากเปาหมายของ Spear-phishing นเปนบคคลทมตำาแหนงสงหรอเปนบคคลสำาคญในองคกร จะเรยกการ
หลอกลวงนวา Whaling (ตลกรายทเปรยบเทยบบคคลสำาคญเปนปลาตวโต ในทนคอปลาวาฬนนเอง) [10-10]
แลวผอานควรระวงตวอยางไร? ขอแนะนำาตอไปน สามารถลดโอกาสไมใหผอานถกหลอกลวงได [10-2]
[10-6] [10-7] [10-8]
1. ไมเปดลงกทแนบมาในอเมล เนองจากมโอกาสสงทจะถกหลอกลวง เพราะบางครงลงกทมองเหน
ในอเมลวาเปนเวบไซตของธนาคาร แตเมอคลกไปแลวอาจจะไปทเวบไซตปลอมทเตรยมไวกเปนได
เนองจากในการสรางลงกนนสามารถกำาหนดใหแสดงขอความหรอรปภาพไดตามตองการ ดงนนบาง
เวบไซตปลอมจงทำา URL ใหสงเกตความแตกตางจาก URL จรงไดยาก
2. พงระวงอเมลทขอใหกรอกขอมลสวนบคคล โดยเฉพาะหากเปนอเมลทมาจากสถาบนการเงน ทงน
ธนาคารหลายแหงไดแจงอยางชดเจนวา ธนาคารไมมนโยบายในการขอใหลกคาเปดเผยเลขประจำา
ตว หรอขอมลทมความสำาคญอน ๆ ผานทางอเมลโดยเดดขาด
3. ไมเปดลงกทแนบมาในอเมล เนองจากในปจจบน ผโจมตมเทคนคมากมายในการปลอมชอผสงให
เหมอนมาจากองคกรนนจรง ๆ หากตองการเขาใชงานเวบไซตนน ขอใหพมพ URL ดวยตวเอง
4. สงเกตใหแนใจวาเวบไซตทใชงานเปน HTTPS กอนใหขอมลสวนบคคลทสำาคญ เชน เลขบตรเครดต
หรออน ๆ
5. ลบอเมลนาสงสยออกไป เพอไมใหพลงเผลอกดเปดครงถดไป
6. ตดตงโปรแกรม Anti-Virus, Anti-Spam และ Firewall เนองจากผลพลอยไดอยางหนงของการตด
ตง Firewall คอสามารถทำาการยบยงไมใหโทรจนแอบสงขอมลออกไปจากระบบได นอกจากน ผใช
ควรหมนศกษาและอพเดทโปรแกรมดงกลาวใหเปนรนปจจบนเสมอ
7. หากทานผอานพบเหนเวบไซตหลอกลวงซงมจดประสงคในการขโมยขอมลสวน บคคล สามารถแจง
เหตภยคกคามไดทเจาของบรการเหลานน หรอสงอเมลมาท [email protected] ตลอด 24 ชวโมง
หรอโทร 02-142-2483 ในเวลา 8.30-17.30 ทกวนทำาการ
หากรตววาพลาดทาไปแลว จะทำาอยางไรด? ขอแนะนำาตอไปนเปนสงทผเสยหายควรปฏบตตามโดย
ทนท [10-2]
1. ในกรณทเปนขอมลสำาคญขององคกร ผเสยหายควรแจงเรองไปยงบคคลทเหมาะสมรวมทงผดแลระบบ
เพอเปนการเตรยมมาตราการปกปององคกรตอไป
2. ในกรณทเปนขอมลบญชธนาคาร ผเสยหายควรแจงเรองไปยงธนาคารทใชบรการ และทำาการปดบญช
ทคาดวาสามารถถกขโมยได หรอเฝาระวงการใชงานบญชอยางตอเนอง
3. ทำาการเปลยนรหสผาน ในทกระบบทใชรหสผานเดยวกน และไมกลบมาใชรหสผานนนอก
ถงแม Phishing เปนภยคกคามทสรางความเสยหายมากมาย แตกสามารถระมดระวงตวได หากผใชม
ความตระหนกในการใชงานอนเทอรเนต รวมถงปฏบตตามคำาแนะนำาขางตน
80 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 81
อางอง[10-1] http://www.thaicert.or.th/statistics2011.html
[10-2] http://www.us-cert.gov/cas/tips/ST04-014.html
[10-3] http://www.focus.com/fyi/44-ways-protect-phishing/
[10-4] http://www.theregister.co.uk/2007/02/23/trojan_
phishing_attack/
[10-5] http://www.bustspammers.com/phishing_links.html
[10-6] http://www.scb.co.th/th/about-scb/phishing-mail
[10-7] http://www.kasikornbank.com/TH/Phishing_Website_
Report/Pages/PhishingWebsiteReport.aspx
[10-8] http://www.tmbbank.com/personal/e-banking/popup/Phishing.html
[10-9] http://www.usatoday.com/tech/news/story/2011-10-18/smishing-bank-
scam/50817688/1
[10-10] http://blogs.iss.net/archive/SpearPhishing.html
11 การโจมตผานเวบเบราวเซอรและการปองกน
ผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 11 พ.ค. 2555ปรบปรงลาสด: 11 พ.ค. 2555
เวบเบราวเซอร (Web Browser) หรอเรยกสนๆ วา เบราวเซอร (Browser) คอโปรแกรมทชวยใหผใช
คอมพวเตอรสามารถเขาใชงานเวบไซตได เวบเบราวเซอรจะทำาการแปลงโคดภาษา HTML ใหออกมาแสดง
ผลเปนขอความ รปภาพ เสยง หรอคลปวดโออนๆ ตามทผออกแบบเวบไซตกำาหนด [11-1] ตวอยางเวบเบ
ราวเซอรทไดรบความนยม เชน Internet Explorer, Firefox, Chrome, Safari, Opera ดงรปท 38 (11-1)
รปท 38 (11-1) เวบเบราวเซอรทไดรบความนยม
จากการพฒนาของเทคโนโลย เวบไซตสมยใหมจงไมไดถกใชเพยงแคแสดงขอมลเพยงอยางเดยวอกตอไป
แตไดถกพฒนาใหสามารถทำางานไดหลากหลายมากขน เชน เลนเกม ตกแตงภาพ ตดตอวดโอ จดทำาเอกสาร
[11-2] หรอแมกระทงใชเปนระบบปฏบตการเลยกยงได [11-3] ซงการทำางานตางๆ เหลานกตองอาศยความ
สามารถของเวบเบราวเซอรทมากขนตามไปดวย
จากความสามารถทมากขน ชองโหว และความเสยง กจะเพมมากขนตามไปดวย ปจจบนการโจมต
ผานเวบเบราวเซอรนนมแนวโนมทจะเพมมากขน [11-4] เนองจากเปนสงทผใชอนเทอรเนตทกคนจำาเปน
ตองใช ดงนนการศกษาถงรปแบบภยคกคาม และการรบมอการโจมตจงเปนสงทจำาเปน เพอใหมความมนคง
ปลอดภยในการใชงานอนเทอรเนต
82 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 83
การโจมตผานเวบเบราวเซอรการโจมตผานเวบเบราวเซอร โดยหลกๆ จะมอยดวยกน 3 ชองทาง คอ โจมตผานชองโหวของตวเวบเบ
ราวเซอรเอง โจมตผานชองโหวของปลกอนจากผพฒนาภายนอก และการสราง Extension ทเปนอนตราย
เพอใชในการโจมต
การโจมตผานชองโหวของเวบเบราวเซอร
ในการเขยนโปรแกรมคอมพวเตอร จะมการจองพนทในหนวยความจำาเพอใชในการเกบขอมลชวคราว
พนทดงกลาวเรยกวา Buffer ซงพนทของ Buffer นนมขนาดจำากด หากผเขยนโปรแกรมไมทำาการตรวจสอบ
ขนาดของขอมลทจะนำามาจดเกบ ปลอยใหโปรแกรมเกบขอมลทมขนาดใหญกวาความจของ Buffer ขอมล
ทเกบนนกจะลนออกมา สถานการณเชนนเรยกวา Buffer Overflow ซงขอมลทลนออกมานนกจะไปทบ
กบขอมลสวนอนๆ ทอยในหนวยความจำา เชน โคดของโปรแกรมทกำาลงทำางานอย ทำาใหโปรแกรมทำางาน
ผดพลาดหรอไมสามารถทำางานตอได [11-5]
การโจมตผานชองโหวของเวบเบราวเซอร โดยสวนใหญจะเปนการใชเทคนค Buffer Overflow ผโจมต
จะทำาการสรางขอมลทมขนาดใหญกวาความจของ Buffer ซงภายในบรรจโคดอนตรายไว เมอโปรแกรมโหลด
ขอมลดงกลาวเขามาในหนวยความจำา ขอมลสวนทลนออกมานนกจะไปทบกบสวนทเปนโคดของโปรแกรมท
กำาลง ทำางานอย ทำาใหโคดอนตรายทแฮกเกอรใสเขามานนถกนำาไปประมวลผลแทน ซงเครองคอมพวเตอรท
ตกเปนเหยอกจะตกอยภายใตการควบคมของ แฮกเกอรในทายทสด ตวอยางวดโอการโจมตดวยวธ Buffer
Overflow สามารถดไดจาก http://youtu.be/znO1Mc8EiDE
การโจมตผานชองโหวของปลกอน
ปลกอน (Plugin) คอโปรแกรมทสามารถตดตงเพอใหเวบเบราวเซอรสามารถแสดง
ผลเนอหาอนๆ เพมเตมได ตวอยางปลกอนทไดรบความนยม เชน Adobe Flash Player
ทตดตงเพอใหเวบเบราวเซอรสามารถเลนไฟล Flash ได หรอ Java Runtime ทตดตง
เพอใชงาน Java Application ผานเวบเบราวเซอร เปนตน [11-6]
ปลกอนโดยสวนใหญจะถกพฒนาโดยผพฒนาภายนอก ซงอาจไมมการรบรอง
เรองความมนคงปลอดภย และปลกอนแทบทงหมดจะเปนไฟลโปรแกรมหรอไลบราร
ทเวบเบราวเซอรจะตองโหลดเขามาในทกครงทเปดโปรแกรม เนองจากปลกอนเปน
โปรแกรมทอยภายนอก ทำาใหการทำางานของปลกอนตางๆ นนอยนอกเหนอการ
ควบคมของเวบเบราวเซอร หากปลกอนทตดตงเพมเขามามชองโหว กจะเพมความเสยง
ทจะทำาใหเบราวเซอรถกโจมตผานปลกอนดงกลาวไดดวย ตวอยางวดโอการโจมตผาน
ชองโหวของปลกอนสามารถดไดจาก http://youtu.be/7MvimAN9fQ8 ซงเปนการ
โจมต Mozilla Firefox ผานปลกอน Adobe Reader
การสราง Extension ทเปนอนตราย
Extension คอโปรแกรมเสรมทสามารถตดตงเพมเตมเพอชวยขยายความสามารถในการทำางานของ
เวบเบราวเซอร เชน Extension ทชอ FireFTP ทชวยใหเบราวเซอร Mozilla Firefox สามารถทำางานเปน
โปรแกรม FTP Client ได [11-7]
เนองจาก Extension เปนโปรแกรมททำางานรวมกบเวบเบราวเซอรโดยตรง ทำาใหมผพฒนา Extension
เพอใชสรางความเสยหาย เชน หลอกลวงผใช หรอขโมยขอมล เปนตน ตวอยาง Extension อนตราย เชน
หลอกผใชวาเปนปลกอนปลอมของ YouTube [11-8] หรอสวมรอยโพสตขอความดวยบญช Facebook
ของผใช [11-9] เปนตน
วธการโจมตหากเปนการโจมตผานชองโหวของเวบเบราวเซอรหรอการโจมตผานปลกอน โดยสวนใหญแฮกเกอร
จะสรางเวบไซตทฝงโคดอนตรายไว แลวหลอกลอใหเหยอเขาไปยงเวบไซตนน ทนททเหยอเขาสหนาเวบไซต
โคดดงกลาวกสามารถทำางานไดทนทโดยทเหยอแทบไมรตว ตวอยางการโจมต เชน การฝง Java Script ไว
ในเวบไซตเพอขโมยขอมล เปนตน [11-10]
หากเปนการโจมตผาน Extension ผโจมตจะหลอกลอใหเหยอเปดเขาไปทเวบไซตทมใหดาวนโหลด
Extension มาตดตง โดยจะหลอกวาเปน Extension ทจำาเปนในการใชงานเวบไซต เพอใหเหยอหลงเชอ
และเผลอตดตง Extension ดงกลาว
การโจมตโดยสวนใหญแฮกเกอรจะใชวธสงอเม ลทมลงกใหผใชคลก ซงหากผใชคลกเขาสลงกดงกลาว
กจะตกเปนเหยอโดยทนท ในปจจบนมการพฒนารปแบบการโจมตไปอกขนโดยการโพสตลงกอนตรายไวใน
Social Network และเมอผใชหลงคลกเขาไปกจะถกสวมรอยบญชผใชและเผยแพรลงก อนตรายนนใหกบผ
อนตอไป ตวอยางการเผยแพรลงกอนตรายใน Social Network เปนดงรปท 39 (11-2)
รปท 39 (11-2) ตวอยางการเผยแพรลงกอนตรายใน Social Network [11-11]
84 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 85
การปองกนเนองจากการทจะถกโจมตผานเวบเบราวเซอรไดนน ผทตกเปนเหยอตองเขาไปยงเวบไซตทแฮกเกอร
สรางไวกอน ดงนน การปองกนทงายทสดคอการตรวจสอบความมนคงปลอดภยของเวบไซตปลายทาง กอนท
จะทำาการคลกลงก เชน ถาตองการเปดลงกจากเวบบรการยอ URL ควรนำาลงกนนไปตรวจสอบกบเวบไซตท
ใหบรการขยาย URL เตม เชน http://longurl.org เสยกอนเพอใหแนใจวาปลายทางเปน URL อะไร รวมถง
การตดตงโปรแกรมแอนตไวรสทสามารถสแกนเนอหาในเวบไซต กสามารถชวยปองกนอนตรายจากการโจมต
ผานเวบเบราวเซอรได และสงทสำาคญทสดคอการอพเดทโปรแกรมเวบเบราวเซอรและปลกอนทกตวทตดตง
ใหเปนเวอรชนปจจบนอยเสมอ เพอเปนการปรบปรงชองโหวไมใหแฮกเกอรใชในการโจมตได
อางอง[11-1] http://whatismyipaddress.com/web-browser
[11-2] https://chrome.google.com/webstore
[11-3] http://tech-tweak.com/2011/08/browser-based-operating-systems.html
[11-4] http://www.pcworld.com/businesscenter/article/144490/
hackers_increasingly_target_browsers.html
[11-5] http://www.windowsecurity.com/articles/analysis_of_
buffer_overflow_attacks.html
[11-6] http://www.tech-faq.com/browser-plugins.html
[11-7] http://fireftp.mozdev.org/
[11-8] http://www.thaicert.or.th/alerts/home/2012/al2012ho
0001.html
[11-9] http://www.thaicert.or.th/papers/technical/2012/pp2012
te0005.html
[11-10] http://thehackernews.com/2012/01/one-million-pages-infected-by.html
[11-11] http://www.switched.com/2011/04/04/facebook-photoshop-scam-spreading-like-
wildfire/
12 อพโหลดภาพขนสสงคมออนไลน
เรองงายๆ ทตองระวงผเขยน: ปยเนตร อนทยารกษผใหคำ แนะนำ : เสฏฐวฒ แสนนามวนทเผยแพร: 18 พ.ค. 2555ปรบปรงลาสด: 18 พ.ค. 2555
ในปจจบน การถายภาพแลวอพโหลดขนสอนเทอรเนตกำาลงเปนทนยม โดยเฉพาะการอพโหลดขนไป
บน Social Network ไมวาจะเปน Facebook, Twitter หรอนำาไปโพสตในเวบบอรดตางๆ โดยปกตแลว คน
ทวไปมกเขาใจวาขอมลในรปภาพนนมเพยงแคภาพถายธรรมดา แตนอยคนทจะรวาในภาพนนมขอมลทอาจ
กอใหเกดการละเมดสทธสวนบคคลหรอความเปนสวนตว จนถงขนกอใหเกดอนตรายตอผทถายภาพหรอผ
ทอยในภาพได เชน ขอมลตำาแหนงพกดทอยในเวลาทภาพนนถกถาย เนองจากกลองดจทลหรอโทรศพทมอ
ถอรนใหม จะมความสามารถ GeoTagging [12-1] ซงเปนการใช GPS ในการระบพกดตำาแหนง แลวบนทก
ขอมลเหลานลงใน Metadata ของภาพ โดยทวไปแลว ผทใชงาน Social Network สวนใหญจะไมระบขอมล
สวนตวทสำาคญ เชน บานเลขทของตนเองไวใน Profile แตเมอไหรกตามทผใชถายภาพในบรเวณบานของ
ตนเองแลวโพสตภาพนนขนสอนเทอรเนต กอาจเปนการเปดเผยใหผอนสามารรถทราบทอยของผใชคนนน
ได ดงนน การศกษาเรอง Metadata ในภาพถาย ความสามารถของ GeoTagging และอนตรายทอาจเกด
ขน รวมถงวธปองกนและแกไข กสามารถชวยปองกนไมใหขอมลสำาคญทเปนความลบถกเผยแพรออกไปได
ในการถายภาพนนนอกจากจะมขอมลทเปนตวภาพแลว ยงมสวนทเปน Metadata ซงเปนสวนอธบาย
ขอมลเพมเตมของภาพนนๆ
Metadata คออะไรMetadata คอ ขอมลทใชอธบายรายละเอยดเพมเตมของขอมลหรอสารสนเทศตางๆ เชน ไฟลเอกสาร
จะมสวนแสดงรายละเอยดของไฟล เชน ชอผสรางเอกสาร ชอหนวยงาน ชอคอมพวเตอรทใชสรางเอกสาร
เปนตน หรอแมกระทง ID3 ในไฟล MP3 กจะเกบขอมลชอเพลง ชอศลปน ชออลบม เปนตน ในกรณทเปน
ภาพถายดจทลกจะมขอมลเพมเตมของภาพนนๆ เชน วนและเวลาทถายภาพ การตงคาของกลอง เปนตน [12-2]
86 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 87
Metadata ของภาพถายMetadata ของภาพถาย จะเกบไวในสวนทเรยกวา EXIF (Exchangeable Image File Format) ซง
เปนขอมลทอธบายรายละเอยดคาตางๆ ของรปภาพทถายจากกลองดจทล ดงรปท 40 (12-1) โดยปกตแลว
ไฟลรปภาพทรองรบการใสขอมล EXIF คอไฟลชนด JPEG และ TIFF [12-3] ตวอยางคา EXIF ทสำาคญ เชน
Model – รนของกลอง
Date Time Original – วนเวลาทถายภาพ
GPS - ตำาแหนงทถายภาพ
รปท 40 (12-1) แสดงคา EXIF
จะดคา EXIF ไดอยางไรการดคา EXIF สามารถทำาไดหลายวธ ตวอยางเชนการดภาพจาก Windows Explorer ทำาไดโดยการ
คลกขวาทรปภาพ เลอก Properties และเลอกท Details จะเหนขอมลเพมเตมของภาพนน นอกจากนยงม
โปรแกรมดรปภาพอกมากมายทสามารถดขอมล EXIF ได เชน PhotoScape, Picasa เปนตน
ในสวนของการดคา EXIF ของรปภาพในเวบไซตตางๆ โดยไมตองบนทกรปภาพนนลงในเครอง สามารถ
ทำาไดโดยการตดตง Extension ใหกบเบราวเซอร เชน Google Chrome และ Mozilla Firefox สามารถ
ตดตง Extension ทชอ Exif Viewer เพอดขอมล EXIF ได
จากขอมลในภาพถายทสามารถบงบอกรายละเอยดตางๆ ทเกยวของกบผถายภาพหรอผทอยในภาพได
ทำาใหหลายฝายมความวตกกงวลถงขอมลสวนตวทอาจหลดออกไปเผยแพรสอนเทอรเนต ซงมผลตอความ
เปนสวนตว (Privacy) จนอาจกอใหเกดอนตรายตอชวตและทรพยสนได
Privacy สำ คญอยางไรPrivacy คอ ความเปนสวนตวในการเกบรกษาขอมล หรอการเผยแพรขอมลใหแกผอน ในโลกของ
อนเทอรเนตแลว การนำาขอมลสวนตวขนไปเผยแพรนนเปนสงทตองระมดระวง เนองจากขอมลบางอยาง
อาจสงผลตอภาพลกษณ หนาทการทำางาน หรออาจมผลเสยหายตอชวตและทรพยสนเลยกเปนได [12-4]
ตวอยางกรณศกษาทเกยวของกบ Privacy ทนาสนใจ คอ ภรรยาของหวหนาสายลบท MI6 ไดนำารปภาพ
ทถายกบสามและรปบานของเธอไปโพสตไวใน Facebook ทำาใหบคคลอนลวงรวาสามของเธอเปนสายลบ
พรอมทงรบานเลขท สมาชกในครอบครวและเครอญาต ซงการทขอมลดงกลาวถกเปดเผยทำาใหใหสามของ
เธอไมสามารถทำางานเปน สายลบไดอกตอไป [12-5]
ขอมลในภาพบอกตำ แหนงไดอยางไรในการถายภาพ กลองทมความสามารถ GeoTagging กจะบนทกขอมล GPS ณ ตำาแหนงทถายลงไป
ในภาพดวย และหากมการนำาภาพนนขนสอนเทอรเนตกจะทำาใหผอนสามารถรสถานท ทถายภาพนนได ใน
ปจจบนมเครองมอมากมายทชวยอำานวยความสะดวกในการดขอมลสถานทท ถายภาพ เชน การดขอมลใน
ภาพดวยเวบไซต http://regex.info/exif.cgi ซงนอกจากจะบอกรายละเอยดของ EXIF ของภาพนนแลว ยง
สามารถแสดงภาพถายจากดาวเทยมของสถานทนนไดดวย ดงรปท 41 (12-2) และ 42 (12-3)
รปท 41 (12-2) แสดงถงภาพทจะนำาไปดผานทางเวบไซต http://regex.info/exif.cgi
88 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 89
รปท 42 (12-3) แสดงภาพถายดาวเทยมของตำาแหนงทถายรปท 41 (12-2)
วธปองกนในการถายภาพดวยกลองดจทลหรอโทรศพทมอถอ หากไมมความจำาเปนทจะตองระบขอมลสถานทถาย
ภาพ กควรจะปดการทำางานของ GeoTagging แตหากเปนภาพทถกถายมาแลวและตองการนำาภาพนนขน
สอนเทอรเนต ควรมการปองกนไมใหภาพถายเปดเผยขอมลสวนตวของผใชงาน ซงสามารถทำาไดโดยการลบ
ขอมล EXIF ออกจากภาพนนกอนทจะอพโหลดขนสอนเทอรเนต การลบ EXIF สามารถทำาไดหลายวธ เชน
1. ลบขอมล EXIF โดยใช Windows Explorer ดวยการคลกขวาทไฟลภาพ เลอก Properties และ
เลอกท Details จากนนคลกท Remove Properties and Personal Information เลอกคา EXIF
ทตองการลบ [12-6] ดงรปท 43 (12-4)
รปท 43 (12-4) แสดงการลบขอมล EXIF จาก Windows Explorer
2. ลบขอมล EXIF โดยใชซอฟตแวรททำาขนมาโดยเฉพาะ เชน Exif Tag Remover เปนตน ดงรปท 44
(12-5)
รปท 44 (12-5) แสดงการลบคา EXIF ดวยโปรแกรม Exif Tag Remover
จากความอนตรายของการเปดเผยตำาแหนงทอย ผใชงานควรตรวจสอบขอมลในรปภาพกอนทจะอพโหลด
ขนสอนเทอรเนต เพอใหแนใจวาขอมลนนสามารถถกเผยแพรได หากพบขอมลทไมเหมาะสมกไมควรทจะ
โพสตภาพนนหรอหากจำาเปนตองโพสต กควรทำาการลบขอมล EXIF ออกจากภาพ เพอปองกนการเผยแพร
ขอมลสำาคญออกไปโดยไมตงใจ เพราะถาหากเผลอปลอยใหขอมลดงกลาวถกเผยแพรออกไปแลว การทจะ
ลบหรอแกไขความผดพลาดนนอาจจะไมสามารถทำาไดเลย
อางอง[12-1] http://en.wikipedia.org/wiki/Geotagging
[12-2] http://graphicssoft.about.com/od/glossary/f/metadata.htm
[12-3] http://www.cipa.jp/english/hyoujunka/kikaku/pdf/DC-008-2010_E.pdf
[12-4] http://en.wikipedia.org/wiki/Privacy
[12-5] http://www.dailymail.co.uk/news/article-1197562/MI6-chief-blows-cover-wifes-
Facebook-account-reveals-family-holidays-showbiz-friends-links-David-Irving.html
[12-6] http://www.labnol.org/software/remove-photograph-metadata/19588/
90 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 91
13 ปองกนบญชผใช gMail / hoTMail
จากการถกแฮกดวยวธงายๆผเขยน: ณราพร ดวงศรผใหคำ แนะนำ : เจษฎา ชางสสงขวนทเผยแพร: 1 ม.ย. 2555ปรบปรงลาสด: 1 ม.ย. 2555
อเมลนบเปนสงจำาเปนทเขามามบทบาทและมความสำาคญตอชวตประจำาวนของเราเปนอยางมาก เพราะ
เปนวธการตดตอสอสารทรวดเรวและแทบจะไมมตนทน หลายคนเกบขอมลสำาคญไวในอเมลหรอใชอเมลใน
การตดตอทางดานธรกจ ซงหากผใชเขาใชงานอเมลผานการเชอมตอทไมมความมนคงปลอดภย กอาจทำาให
บญชผใชนนถกโจรกรรมไดโดยงาย
Gmail และ Hotmail เปนบรการฟรอเมลทมผนยมใชกนมากเปนอนดบตนๆ (ในป ค.ศ. 2011 ทวโลก
มจำานวนของผใชงาน Hotmail ประมาณ 350 ลานคน และ Gmail ประมาณ 260 ลานคน) [13-1] ผเขยน
จงไดเลอกบรการอเมลเหลานมาแนะนำาเพอใหผอานไดปฏบต ในปจจบนนน ถงแมวาผใหบรการจะมระบบ
ทมความมนคงปลอดภยอยแลว แตตวผใชเองกควรทจะเรยนรขอปฏบตเบองตนรวมถงวธการปองกน แบบ
ตางๆ เพอปองกนปญหาทอาจจะเกดขน ดวยวธการตางๆ ดงน
1. การตงคา Gmail ใหมการยนยนแบบ 2 ขนตอน (2-step verification)
เปนการใช Two Factor Authentication [13-2] ซงเปนวธการพสจนตวตนทตองใชขอมล 2 สวนรวมกน
เพอเพมความมนคงปลอดภยใหกบการเขาสระบบหรอบรการ โดยหลกๆ แลวจะใชขอมลจาก 2 ใน 3 สวนนคอ
1) สงทร (Something you know) เชน รหสผาน
2) สงทม (Something you have) เชน โทรศพทมอถอ, รหสบตรเตมเงน
3) สงทเปน (Something you are) เชน ลายนวมอ, มานตา
การยนยนอเมลแบบ 2 ขนตอน [13-3] [13-4] ชวยลดโอกาสในการถกขโมยขอมลสวนตวในบญชอเมล
ของเราลงได เพราะตอใหใสชอผใชและรหสผานถกตองแลว กยงไมสามารถเขาถงบญชอเมลได จนกวาจะใส
รหส Pin 6 หลกทไดรบจาก SMS ผานโทรศพทมอถอทลงทะเบยนไวกบ Google เสยกอน การตงคาการ
ยนยนยนยนดวยวธนสามารถทำาไดโดยไปท การตงคาบญช และเลอก 2-step verification ตามรปท 45
(13-1) แลวทำาตามขนตอนของเวบไซต
รปท 45 (13-1) แสดงการตงคาการยนยนแบบ 2 ขนตอน
ทมา http://googleblog.blogspot.com/2011/02/advanced-sign-in-security-for-your.html
ในการใชงาน หากเราตงคาการยนยนแบบ 2 ขนตอนแลวนน เมอเราเขาสระบบดวยชอผใชและรหส
ผานทถกตอง จะม SMS แจงรหส Pin 6 หลก เพอใหเรานำามาปอนเขาระบบกอนจงจะสามารถเขาใชงาน
อเมลได ตามรปท 46 (13-2) และสามารถเลอกบนทกรหสผานไวในเครองได 30 วน สวน Hotmail นนใน
ปจจบนนยงไมมฟงกชนทรองรบ Two Factor Authentication
รปท 46 (13-2) แสดงการเขาใชงานเมอมการตงคาการยนยนแบบ 2 ขนตอน
ทมา http://googleblog.blogspot.com/2011/02/advanced-sign-in-security-for-your.html
92 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 93
นอกจากการรบรหส Pin 6 หลกผาน SMS แลว ยงสามารถใชวธการรบรหสดวยการให Google โทรศพท
เขามาแจงหมายเลข Pin หรอผทใช Smart Phone สามารถตดตงแอปพลเคชนทชอ Google Authenticator
เพอสรางรหส Pin สำาหรบเขาใชงาน Gmail ไดดวย
2. การใชงาน Hotmail แบบ HTTPSปจจบน คาเรมตนในการใชงาน Gmail จะเปนการใชงานผานโพรโทคอล HTTPS แตสำาหรบ Hotmail
จะใชงานผานโพรโทคอล HTTP ซงไมมการเขารหสลบขอมล ดงนนการใชงานใหมความมนคงปลอดภยควร
ตงคาใหใชงานผานโพรโทคอล HTTPS ซงเปนการเขารหสลบขอมลดวยโพรโทคอล TLS/SSL (Transport
Layer Security/Secure Sockets Layer) การตงคาการเชอมตอแบบ HTTPS ทำาไดโดยการคลกท ตง
คาบญชผใช (Account) ทหนา Account Overview ในหวขอ Other options ใหคลก Connect with
HTTPS [13-5] ตามรปท 47 (13-3) หลงจากทำาการตงคาเสรจเรยบรอยแลว จะทำาใหการรบสงขอมลบน
เวบไซต Hotmail ถกเขารหสลบเสมอ
รปท 47 (13-3) (1) แสดงการตงคาการใชงาน Hotmail แบบ HTTPS เขารหสลบ (2) แสดง URL ทมการตงคา HTTPS แลว
3. คำ แนะนำ ในการตงคาโปรแกรมอเมลไคลเอนตในการรบสงอเมลจาก Gmail
โปรแกรมอเมลไคลเอนต (Email client) คอโปรแกรมทใชรบและสงอเมล โดยมโปรแกรมทไดรบความ
นยม เชน Microsoft Outlook, Thunderbird เปนตน ในการรบสงอเมลจากโปรแกรมอเมลไคลเอนต จะ
รบอเมลดวยโพรโทคอล POP3, IMAP และสงอเมลดวยโพรโทคอล SMTP โดยการทจะเชอมตอเพอใชงาน
เมลไคลเอนตนน ควรมการเชอมตอผานชองทางทมการเขารหสลบขอมลดวย ซงในปจจบนบรการ Gmail
และ Hotmail เองกมการเขารหสลบขอมลทกครงทมการรบสงดวยโพรโทคอล SSL/TLS ทรองรบทง POP,
IMAP และ SMTP ซงโพรโทคอลทรบสงมความหมายเบองตนดงน
POP (Post Office Protocol) เปนโพรโทคอลทใชในการรบอเมลจากเซรฟเวอร ปจจบนเวอรชนลาสด
คอ POP3 การทำางานของ POP เปนการอานอเมลแบบออฟไลน คออเมลทเขามาจะถกเกบอยในเซรฟเวอร
เมอใชโปรแกรมอเมลไคลเอนตในการเขาใชงานอเมล จะทำาการดาวนโหลดอเมลมาเกบไวในเครองของเรากอน
จงจะสามารถอานอเมลได และสามารถกลบมาอานอเมลเดมไดในภายหลง แมไมไดเชอมตอกบอนเทอรเนต
หรอหากวาเราทำาการลบอเมลใดในโปรแกรมอเมลไคลเอนต อเมลนนทางเซรฟเวอรกจะยงคงอย
IMAP (Internet Message Access Protocol) เปนโพรโทคอลทใชในการรบอเมลจากเซรฟเวอร
ปจจบนเวอรชนลาสดคอ IMAP4 การทำางานของ IMAP จะแตกตางกบ POP3 เนองจาก IMAP เปนโพรโท
คอลทสนบสนนการอานอเมล ทงแบบออฟไลนและออนไลน โดยแบบออนไลนนน จะเปนการโตตอบกบ
เซรฟเวอร คอเมอใชโปรแกรมอเมลไคลเอนตในการเขาใชงานอเมล กเหมอนเราเขาใชงานผานทางเวบเบ
ราวเซอร หากวาเราทำาการลบอเมลในเครองอเมลไคลเอนต ทางเซรฟเวอรกจะลบอเมลนนดวย นอกจากน
ยงสามารถเลอกดาวนโหลดเฉพาะอเมลทเราตองการไดดวย
SMTP (Simple Mail Transfer Protocol) เปนโพรโทคอลทใชในการสงอเมลในเครอขายอนเทอรเนต
สำาหรบในกรณทเราตองการนำา Gmail หรอ Hotmail ไปใชกบโปรแกรมอเมลไคลเอนตนน สามารถปฏบต
ตามคำาแนะนำา ซงในทนจะยกตวอยางการตงคา Thunderbird เพอใชงานรวมกบ Gmail สวน Hotmail
นนมการตงคาทคลายคลงกน ผอานสามารถประยกตการใชงาน ดงตวอยางดงน
ตวอยางการตงคา Thunderbird ใหรองรบ POP, IMAP และ SMTP ใน Gmail
กอนทจะทำาการตงคาใหกบโปรแกรมไคลเอนต เราตองตงคา POP/IMAP ในบญชอเมลของเรากอน
โดยเปดการใชงาน SSL จากนนจงทำาการตงคาโปรแกรมอเมลไคลเอนต เปนดงรปท 48 (13-4), 49 (13-5)
และ 50 (13-6)
การตงคาสำาหรบ IMAP
Server Name : imap.gmail.com
User Name : ทอยอเมล ([email protected] หรอ username@your_domain.
com)
Port : 993 (ใชไดทง Gmail และ Hotmail)
Password : รหสผาน
94 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 95
รปท 48 (13-4) แสดงการตงคา IMAP ใหกบโปรแกรมอเมลไคลเอนต
การตงคาสำาหรบ POP
Server Name : pop.gmail.com
User Name : ทอยอเมล ([email protected] หรอ username@your_domain.
com)
Port : 995 (ใชไดทง Gmail และ Hotmail)
Password : รหสผาน
รปท 49 (13-5) แสดงการตงคา POP ใหกบโปรแกรมอเมลไคลเอนต
การตงคาสำาหรบ SMTP
Server Name : smtp.gmail.com
User Name : ทอยอเมล ([email protected] หรอ username@your_domain.
com)
Port : 465 หรอ 587 (สำาหรบ Gmail) และ 25 (สำาหรบ Hotmail)
Password : รหสผาน
รปท 50 (13-6) แสดงการตงคา SMTP ใหกบโปรแกรมอเมลไคลเอนต
4. การตรวจสอบขอมลกจกรรมในบญชอเมลอยางสมำ เสมอ
การตรวจสอบขอมลกจกรรมในบญชอเมล [13-6] เปนบรการของ Gmail ซงทำาใหผใชสามารถเชคไดวา
มผอนเขาใชงานอเมลของเราโดยไมได รบอนญาตหรอไม และยงสามารถตรวจสอบ IP Address ของเครอง
ทใชในการเขาสบญชอเมลของเราไดอกดวย
การเรยกดขอมลกจกรรมของบญชอเมล ทำาไดโดยการเขาสระบบ Gmail จากนนเลอนลงมาทกจกรรม
ลาสดของบญชและคลกทรายละเอยด ภายในกจกรรมลาสดของบญชจะแสดงประเภทของการเขาถง (เชน
เบราวเซอร, มอถอ, POP) ตำาแหนง ( IP Address ของเครองทใชในการเขาสบญชอเมล) มการระบประเทศ
และวน/เวลา ของกจกรรมทเกดขนในอเมลของเรา ตามรปท 51 (13-7) หากพบวาม IP Address อนทไมรจก
หรอวน/เวลา ทเราไมไดเขาใชงาน อาจเปนสญญาณบอกวาบญชของเราถกแฮก ใหทำาการเปลยนรหสผานทนท
96 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 97
รปท 51 (13-7) แสดงตารางขอมลกจกรรมของบญชอเมล
5. ขอควรระวงในการเขาใชงานจากเครองคอมพวเตอรสาธารณะ
ในการใชงานเครองคอมพวเตอรสาธารณะ เราไมสามารถรไดเลยวาเครองนนมซอฟตแวรอะไรตดตง
อยบาง บางเครองอาจมโปรแกรม Keylogger แอบแฝงอย ซงเปนโปรแกรมทจะคอยดกจบการใชงานตางๆ
เชน การกดปมคยบอรด [13-7] หากเราทำาการลอกอนเขาใชงานบญชอเมลผานเครองคอมพวเตอรสาธารณะ
ทมโปรแกรม Keylogger อย ขอมลชอผใชและรหสผานของเราหรอทกอยางทเราพมพลงไปกจะถก บนทก
ไวทงหมด หากจำาเปนตองใชคอมพวเตอรสาธารณะในการเชคอเมล ควรใชวธการพมพผาน On-Screen
Keyboard [13-8] ซงเปนโปรแกรมทจำาลองการทำางานของคยบอรด โดยการใชเมาสคลกแทนการกดปมใน
คยบอรด ทำาใหเราสามารถปอนขอมลตางๆ ไดเหมอนการพมพในคยบอรดจรง ซงจะชวยปองกนซอฟตแวร
Keylogger ได โปรแกรม On-Screen Keyboard จะถกตดตงมาพรอมกบระบบปฏบตการ Windows ตงแต
XP ขนไป สามารถเรยกใชงานไดตามรปท 52 (13-8) แตหากไมมกสามารถดาวนโหลดโปรแกรม On-Screen
Keyboard ของผพฒนาภายนอกมาตดตงเพมเตมได
รปท 52 (13-8) (1) แสดงการเรยกใชโปรแกรม On Screen Keyboard ในระบบปฏบตการวนโดวส 7 (2) ตวอยางของ
โปรแกรม On Screen Keyboard
6. การตงรหสผานททำ ใหคาดเดาไดยากการตงรหสผานทดกเปนสงสำาคญในการทจะปองกนอเมล เพราะ จะทำาใหยากตอการคาดเดา หรออาจตอง
ใชเวลานานมาก สวนการตงรหสผานทไมด จะทำาใหผทไมประสงคด สามารถเขาสระบบของเราไดโดยงาย (ศกษา
การตงคารหสผานเพมเตมไดท http://www.thaicert.or.th/papers/normal/2012/pp2012no0005.html)
คำ แนะนำ เบองตนในการการตงรหสผาน
1. ใชอกษรไมตำากวา 6-8 ตวอกษร
2. ไมใชรหสผานซำากบทเคยใชไปแลวในระบบอนๆ หรอ เหมอนกบชอบญช หรอ ชอ-นามสกลของ
ผใช เปนตน
3. รหสผานควรประกอบดวยตวอกษรหลากหลายตวผสมกนเชน ตวพมพเลก, ตวพมพใหญ, ตวเลข
และอกขระพเศษ
4. ใชคำาทไมปรากฏในพจนานกรม หรอหาความหมายไมได
5. ควรเปลยนรหสผานใหบอยทสดเทาททำาได เชน อยางนอย 3 เดอนตอครง
98 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 99
นอกจากการตงรหสผานทดแลว ผใชเองกมสวนในการปองกนดวย เชน
ไมจดชอบญช / รหสผาน ใสกระดาษ
ไมบอก ชอบญช / รหสผาน กบใคร ไมวาจะทางใดกตาม
ไมใชตวเลอกในเบราวเซอรในการชวยจำารหสผาน
สรปผทใชงานอเมล ไมวาจะในดานธรกจ หรอตดตอสอสารขอมลทวไปก ควรทจะเรยนรขอปฏบตทเปน
ประโยชนในการเสรมสรางความมนคงปลอดภยในการใชงาน เพอเปนการปองกนการถกแฮกอเมลจากผไม
หวงด ซงอาจใชบญชของเราในการเขาถงขอมลสวนบคคล หรออาจนำาไปใชในการสรางความเสยหายอนๆ
ทไมคาดคดได
อางอง[13-1] http://www.email-marketing-reports.com/metrics/email-statistics.htm
[13-2] http://www.rsa.com/glossary/default.asp?id=1056
[13-3] http://support.google.com/accounts/bin/topic.py?hl=
en&topic=28786
[13-4] http://googleblog.blogspot.com/2011/02/advanced-sign-in-security-for-your.html
[13-5] http://windows.microsoft.com/th-TH/hotmail/hacked-account-faq
[13-6] http://support.google.com/mail/bin/answer.py?hl=
th&answer=45938&topic=1669043&ctx=topic
[13-7] http://compnetworking.about.com/od/
networksecurityprivacy/g/keylogger.htm
[13-8] http://windows.microsoft.com/en-us/windows7/Type-without-using-the-
keyboard-On-Screen-Keyboard
14 wEb bRowSER กบการปองกน
PhiShing wEbSiTEผเขยน: ไพชยนต วมกตะนนทนวนทเผยแพร: 29 มถนายน 2555ปรบปรงลาสด: 29 มถนายน 2555
สำาหรบผทใชบรการธนาคารทางอนเทอรเนตคงจะเคยเหนคำาเตอนใหระวงเวบไซต หลอกลวงหรออเมล
หลอกลวงทธนาคารแตละแหงประกาศเตอน บางทานทอยในแวดวง IT อาจจะทราบดอยแลววาปจจบน
อาชญากรทางอนเตอรเนตไดหนมาประกอบ อาชญากรรมในรปแบบทหวงผลกำาไรมากขนกวาแตกอน การ
สรางเวบไซตปลอมของธนาคารทางอนเตอรเนตเพอหลอกลวงผใชงานกเปน รปแบบหนงททำารายไดใหกบ
อาชญากรทางคอมพวเตอรอยางสำาคญ เนองจากหากมผทตกเปนเหยอของการหลอกลวงรปแบบนกเทากบ
วา อาชญากรคอมพวเตอรสามารถเขาถงบญชเงนฝากของเหยอในธนาคารไดโดยตรงนนเอง
อาชญากรรมทใชเวบไซตหลอกลวงแบบนเรยกวา Phishing ซงรายละเอยดผเขยนจะไมขอกลาวซำาอก
เนองจากไดมการอธบายอยแลว ท http://www.thaicert.or.th/papers/normal/2012/pp2012no0007.
html ซงทานผอานกคงไดเหนแลววาเปนภยคกคามทสำาคญในโลกอนเตอรเนต อยางไรกตาม นอกจากธนาคาร
ตางๆ จะมการประชาสมพนธคำาเตอนในเรองนใหแกลกคา เพอเปนการเพมความตระหนกร (Awareness)
แลว ผสราง Web browser เอง ทง Mozilla foundation, Microsoft, Google, Apple หรอ Opera
software ตางกไมไดนงนอนใจเชนกน โดยไดเพมความสามารถในการตรวจสอบและแจงเตอนผใชงาน หาก
มการพยายามเขาถงเวบไซตหลอกลวงเหลานมาตงแตป 2006 โดยเรมจาก Firefox เวอรชน 2, Internet
Explorer เวอรชน 7 และ Opera เวอรชน 9.1 ตวอยางการแจงเตอนเปนดงรปท 53 (14-1)
100 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 101
รปท 53 (14-1) ตวอยางการแจงเตอนเมอผใชงานพยายามเขาถงเวบไซตหลอกลวง ของ Firefox เวอรชน 13
กลไกการปองกนของบราวเซอรเหลานดจะเปนปจจยสำาคญทชวยปองกนไม ใหผใชงานตกเปนเหยอ
ของ Phishing อยางไดผล นอกจากเวบไซตหลอกลวงแลว กลไกเหลานยงสามารถปองกนผใชจากเวบไซตท
ม Malware อยไดอกดวย แตเพราะเหตใดจงยงมขาววามผตกเปนเหยอของการหลอกลวงแบบนไดอยเสมอ
ถาจะหาคำาตอบในเรองน เราตองมาทำาความเขาใจกบการทำางานของกลไกเหลานกอน
การท Web browser จะรไดวาเวบไซตใดเปนเวบไซตหลอกลวงหรอไมนน Web browser ไมไดใช
กลไกการตรวจสอบทำาซบซอนอะไรเลย ความจรงแลว Web browser ใชวธเปรยบเทยบ URL ทผใชกำาลง
จะเขาถงกบรายการของเวบไซตหลอกลวงทมการรวบรวมไวลวงหนา แหลงขอมลของรายการเวบไซตหลอก
ลวงเหลานไดแก Google, Phishtank และ Netcraft เปนตน ซงแตละแหลงขอมลกอาจมแหลงทมาและ
กระบวนการทำางานภายในแตกตางกน
ดงนน ในบางกรณ เวบไซตหลอกลวงแหงหนงอาจจะไมถกตรวจพบใน Web browser ตวหนงวาเปน
Phishing site ขณะท Web browser อกตวหนงอาจจะตรวจพบไดแลวเตอนผใชไดอยางถกตอง ทงนกขน
อยกบแหลงขอมลท Web browser ตวนนเลอกใชนนเอง วามการปรบปรงขอมลรวดเรวเพยงใด นอกจากน
เนองจากเวบไซตหลอกลวงเหลานเกดขนใหมทกวน หรอถาจะกลาวใหถกตองคอเกดขนไดวนละหลายๆ เวบไซต
ทำาใหเปนเรองทเขาใจไดวาเวบไซตหลอกลวงจำานวนหนงจะยงไมปรากฏอย ในแหลงขอมลใดๆ เปนระยะเวลา
หนง ซงในชวงเวลานเอง ผใชงานเวบจำานวนไมนอยกอาจตกเปนเหยอของการหลอกลวงไปเรยบรอยแลว
สำาหรบผใชงานทมการอพเดทเวอรชนของ Web browser อยเสมอกคงวางใจไดวา จะไดรบการแจง
เตอน Phishing site และเวบไซตอนตรายตางๆ จาก Web browser ทใชงานอยอยางแนนอน และนอกจาก
นน Web browser เวอรชนใหมๆ มกจะปดชองโหวดานความมนคงปลอดภยอนๆ ทอาจจะมในเวอรชนเกาๆ
อกดวย อยางไรกตาม สำาหรบผทมเหตผลบางประการทไมสามารถอพเดทเวอรชนของ Web browser ได
อยางนอยเพอใหมนใจวา Web browser ทใชงานอย สามารถแจงเตอนเวบไซตอนตรายได ควรเลอกใหแนใจ
วา Web browser เปนรนทออกแจกจาย (Release) หลงจากป 2006 เชน
Firefox เวอรชน 2 ขนไป (ขณะทเขยนบทความเปนเวอรชน 13)
Internet Explorer เวอรชน 7 ขนไป (ขณะทเขยนบทความเปนเวอรชน 9)
Opera เวอรชน 9.1 ขนไป (ขณะทเขยนบทความเปนเวอรชน 11.64)
Chrome จะมความสามารถในการเตอนเวบไซตอนตรายมาตงแตเวอรชนแรกแลว (ขณะทเขยน
บทความเปนเวอรชน 20.0.1132.43)
ไมวาธนาคารหรอผสราง Web browser หรอแมแตผรกษากฎหมายจะมมาตรการใดในการปองกน
เวบไซตหลอกลวงกตาม ความสำาคญของเรองนกยงคงตกแกผใชทจำาเปนจะตองมความระมดระวงในการใช
บรการตางๆ บนอนเตอรเนต และในกรณทมขอสงสยโดยเฉพาะกรณ Internet banking เชนน ควรตดตอ
สอบถามกบธนาคารของทานโดยตรงผานชองทางทนาเชอถอกอนทกครง
102 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 103
15 Man-in-ThE-MiddlE 102 -
PaRT 1 : aRP SPoofผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 27 ก.ค. 2555ปรบปรงลาสด: 27 ก.ค. 2555
ในบทความ Man-in-the-Middle 101 ผเขยนไดกลาวถงการโจมตดวยวธ Man-in-the-Middle ซง
เปนวธการโจมตทมผไมหวงดเขามาแทรกตรงกลางระหวางคสนทนา ทำาใหสามารถรบรขอมลทคสนทนากำาลง
คยกนอยได นอกจากนนยงไดกลาวถงเทคนคการโจมตในรปแบบตางๆ ทนำาหลกการ Man-in-the-Middle
มาประยกตใช เชน Man-in-the-Browser หรอ Man-in-the-Mailbox เปนตน
สำาหรบบทความ Man-in-the-Middle 102 นจะกลาวถงวธการโจมตแบบหลกๆ ทผไมหวงดนยมใช
พรอมทงเสนอวธการตรวจสอบและปองกนตวจากการโจมตดวยวธดงกลาว โดยจะแบงเนอหาออกเปน 3
ตอนดวยกน คอ ARP Spoof, DNS Spoof และ SSL Spoof ตามลำาดบ ซงในบทความตอนท 1 นจะเปน
สวนของการโจมตดวยวธ ARP Spoof แตกอนทจะทำาความรจกกบการโจมตดวยวธทกลาวไปแลวนน จำาเปน
ตองเขาใจกลไกการทำางานของ Internet Protocol และ ARP Protocol เสยกอน
Internet Protocolการตดตอสอสารในระบบเครอขายอนเทอรเนต จะทำาผาน Internet Protocol (IP) ซงจะใช IP Address
ในการอางถงอปกรณทเชอมตออย โดยแตละอปกรณจะม IP Address ไมซำากน IP Address ทใชงานอย
ในปจจบนคอเวอรชน 4 (IPv4) โดยจะประกอบดวยตวเลข 4 ชด แบงตามเครองหมาย . เชน 192.168.0.1
แตเนองจากปญหาของ IPv4 ทจำานวน IP Address ทรองรบไดไมเพยงพอกบความตองการใชงานทมเพม
มากขนเรอยๆ จงไดมการพฒนา IP เวอรชน 6 (IPv6) ขนมาเพอใชงานแทน โดยประกอบดวยตวเลขและตว
อกษร 6 ชดแบงตามเครองหมาย : เชน 2ac1:db8:0:5678:0:123:4:1 [15-1] เนองจาก IP Address เปน
คาทผใหบรการแจกจายใหกบผใชบรการเมอเชอมตอเขากบระบบเครอขาย ดงนนคา IP Address ของแตละ
เครองจงอาจไมคงท เพราะสามารถถกเปลยนแปลงไดเมอมการเชอมตอใหม
อปกรณทสามารถเชอมตอกบระบบเครอขายได จะถกกำาหนดคา MAC (Media Access Control) มา
ตงแตโรงงานทผลต ซงเปนคาประจำาตวทใชในการอางองถงอปกรณนนๆ ในทางทฤษฎแลว แตละอปกรณ
จะตองมคา MAC ไมซำากน โดยคา MAC Address จะประกอบดวยตวเลขหรอตวอกษร 6 ชด แบงตาม
เครองหมาย - หรอ : เชน 01-23-45-67-89-ab หรอ 01:23:45:67:89:ab [15-2]
ความสมพนธระหวาง IP Address และ MAC Ad-dress
เนองจาก MAC Address เปนคาประจำาตวของอปกรณนนๆ และยงสามารถใชระบตวอปกรณโดยตรง
ได จงเรยกไดอกอยางวาเปน Physical Address ในขณะท IP Address เปนคาทกำาหนดขนมาเพอใชอางอง
ถงอปกรณนนๆ ในขณะทเชอมตออปกรณเขากบระบบเครอขาย จงเรยกไดอกอยางวาเปน Logical Address
การสงขอมลใน OSI Layer 2 จะอางองถงอปกรณทเชอมตออยโดยใช MAC Address แตการสงขอมล
ใน OSI Layer 3 จะอางองถง IP Address ดงนนเมอเครองทอยในระบบเครอขาย ตองการตดตอกบเครอง
อนๆ ทอยในเครอขายเดยวกน จงจำาเปนตองทราบขอมล IP Address และ MAC Address ของเครองทจะ
ตดตอดวย เพอใหสามารถสอสารกนได
ARP คออะไร ARP ยอมาจาก Address Resolution Protocol เปนโพรโทคอลทใชในการคนหา MAC Address ของอปกรณ
จาก IP Address การทำางานของ ARP หากมเครองในเครอขายตองการตดตอกบเครองอน โดยทราบแค IP Address
แตไมทราบ MAC Address ของเครองปลายทาง เครองทตองการตดตอกจะสง ARP Request แบบ Broadcast
ออกไปในเครอขาย เพอสอบถามวาเครองทม IP ดงกลาวม MAC Address เปนอะไร พอเครองทม IP ตรงกบทระบ
ไดรบ ARP Request กจะสง ARP Reply (หรอ ARP Response) ตอบ MAC Address ของตวเองกลบไป [15-3]
สมมตวาระบบเครอขายมการเชอมตอดงรปท 54 (15-1)
รปท 54 (15-1) อปกรณในระบบเครอขาย
104 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 105
เมอเครองคอมพวเตอร A ทม IP 192.168.0.2 ตองการตดตอกบเครองคอมพวเตอรทม IP 192.168.0.3
แตยงไมทราบ MAC Address ของเครองปลายทาง จงสง Packet ออกไปในระบบเครอขายแบบ Broadcast
(Destination MAC เปน ff:ff:ff:ff:ff:ff) โดยภายใน Packet จะม ARP Request ทระบ Destination MAC
เปน 00:00:00:00:00:00 ดงรปท 55 (15-2)
รปท 55 (15-2) เครองคอมพวเตอร A สง ARP Request
เมอเครองคอมพวเตอร B ไดรบ ARP Request และพบวามการระบ Destination IP เปน IP Address
ของตวเอง จงสง ARP Reply เพอบอก MAC Address ของตวเองกลบไป ดงรปท 56 (15-3)
รปท 56 (15-3) เครองคอมพวเตอร B สง ARP Reply
เมอเครองคอมพวเตอร A ไดรบ ARP Reply กจะทราบไดวาเครองคอมพวเตอรทม IP 192.168.0.3 ม MAC
Address เปน 00:03:04:cc:dd:ee และจะเกบขอมลทหาไดไวใน ARP Table หากตองการตดตอกบเครองทม IP
192.168.0.3 อกในครงถดไป กสามารถระบขอมลในชอง Destination MAC เปน 00:03:04:cc:dd:ee ไดทนท
ARP Table หรอ ARP Cache เปนตารางทใชบนทกขอมลของเครองทเคยตดตอแลว ขอมลหลกๆ ทจดเกบ
คอ IP Address และ MAC Address [15-4] ตวอยาง ARP Table เปนดงรปท 57 (15-4) อยางไรกตาม
ขอมลใน ARP Table จะถกลบทงเมอปดเครองหรอปดการทำางานของ Interface Card
รปท 57 (15-4) ตวอยาง ARP Table
หากเปนการคนหา IP Address จาก MAC Address จะทำาโดยใชโพรโทคอล RARP (Reverse ARP)
ซงมการทำางานเหมอน ARP แตทำาตรงขามกน โดยจะระบ Destination IP เปน 0.0.0.0 และฝงรบกจะสง
RARP Reply ตอบ IP Address ของตวเองกลบมา [15-5]
ARP Spoofเนองจากการทำางานของ ARP จะมการสง ARP Request ออกไป แลวรอใหม ARP Reply ตอบกลบ
มา ถาหากวาระหวางทกำาลงรอคำาตอบอยนนมผไมหวงดตอบ ARP Reply ปลอมๆ สงไปให ผทไดรบกจะ
ไมสามารถทราบไดวา ARP Reply นนไมไดมาจากตวจรง และจะบนทกขอมล MAC Address ทไมถกตอง
นนไวใน ARP Table การสง ARP Reply ปลอมออกไปนนเรยกวา ARP Spoof หรอ ARP Cache Poison
[15-6] [15-7]
ตวอยาง การทำา ARP Spoof เครองคอมพวเตอร A สง ARP Request ออกไปถามวาเครองทม IP
Address 192.168.0.1 ม MAC Address เปนเทาไหร แตถกเครองคอมพวเตอร C แยงสง ARP Reply
ตอบ MAC Address ของตวเองมาใหกอนทเครองตวจรงจะตอบ ARP Reply กลบมาไดทน ดงนนเมอเครอง
คอมพวเตอร A ไดรบ ARP Reply ดงกลาวกจะเขาใจวาเครองคอมพวเตอร C เปนเครองทตองการตดตอ
ดวยจรง ดงรปท 58 (15-5)
รปท 58 (15-5) ตวอยาง ARP Table
106 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 107
ตวอยางโปรแกรมทสามารถทำา APR Spoof ได เชน ARPspoof, Cain & Abel, Ettercap, Dsniff
เปนตน จดประสงคของการทำา ARP Spoof มไดหลากหลาย เชน อาจจะทำา Man-in-the-Middle เพอดก
รบขอมล หรอบลอกไมใหเครองคอมพวเตอรในระบบเครอขายเชอมตอกบอนเทอรเนต ได โดยการสง ARP
Reply บอก Gateway ปลอมออกไป เปนตน ซงวธการดงกลาวนถกใชในโปรแกรมชอ NetCut [15-8]
การตรวจสอบและปองกน ARP Spoofการทำา ARP Spoof จะทำาไดกตอเมอเครองของผโจมตและเครองของเหยออยในเครอขาย
เดยวกน แตการตรวจสอบ ARP Spoof ในระบบเครอขายนนทำาไดยาก เนองจากโพรโทคอล ARP
ไมไดถกออกแบบมาเพอใหตรวจสอบความถกตองของผรบและผสงตงแตแรก อยางไรกตาม ไดมผ
พฒนาเครองมอเพอชวยวเคราะหความผดปกตในระบบเครอขายซง อาจเกดจาก ARP Spoof ได
เชน โปรแกรม arpwatch หรอ ArpON เปนตน ซงทง 2 โปรแกรมนเปนซอฟตแวร Open Source
การปองกนตวเบองตนจาก ARP Spoof สามารถทำาไดโดยการทำา Static ARP ซงเปนการระบคา IP Address
และ MAC Address ลงไปใน ARP Table ดวยตนเอง [15-9] ซงสามารถทำาไดโดยใชคำาสง
arp -s <IP ADDRESS> <MAC ADDRESS>
เชน เครองคอมพวเตอร A สามารถเพมเครองคอมพวเตอร B ลงใน ARP Table ดวยการใชคำาสงดานลาง
arp -s 192.168.0.3 00:03:04:cc:dd:ee
อยางไรกตาม การทำา Static ARP อาจไมสะดวกในการใชงานกบระบบเครอขายขนาดใหญ เพราะหาก
มเครองคอมพวเตอรอยในระบบจำานวนมากกตองเพม Static ARP ใหกบเครองเหลานนในทกครงทเปดเครอง
รวมถงผทใชงานอนเทอรเนตสาธารณะหรอผทเชอมตอผานบรการอนเทอรเนตของทพก (ทไมใช Broadband
สวนตว) กอาจไมสามารถทราบขอมล IP Address หรอ MAC Address ของเครองทสำาคญในระบบเครอ
ขาย เชน Gateway หรอ DNS Server ได
อางอง[15-1] http://mashable.com/2011/02/03/ipv4-ipv6-guide/
[15-2] http://compnetworking.about.com/od/
networkprotocolsip/l/aa062202a.htm
[15-3] http://wiki.wireshark.org/AddressResolutionProtocol
[15-4] http://linux.about.com/od/lna_guide/a/gdelna50.htm
[15-5] http://wiki.wireshark.org/RARP
[15-6] http://resources.infosecinstitute.com/mitm-arp/
[15-7] http://www.windowsecurity.com/articles/Understanding-Man-in-the-Middle-
Attacks-ARP-Part1.html
[15-8] http://www.arcai.com/arcai-netcut-faq.html
[15-9] http://www.dummies.com/how-to/content/cisco-networking-static-arp-entry-
managment.html
108 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 109
16 การใช PgP เพอการสอสารอยาง
มนคงปลอดภยบนระบบปฏบตการ MaC oS Xผเขยน: ธงชย ศลปวรางกรวนทเผยแพร: 31 กรกฎาคม 2555ปรบปรงลาสด: 31 กรกฎาคม 2555
PGP (Pretty Good Privacy) เปนโปรแกรมทสรางขนเพอใชในการเขารหสลบ (Encryption) ถอดรหส
ลบ (Decryption) และลงลายมอชอ (Sign) ในการรบสงขอมลประเภทตาง ๆ โดยเฉพาะอเมล ผอานสามารถ
ศกษาขอมลเพมเตมเกยวกบ PGP รวมถงการใชงาน PGP บนระบบปฏบตการ Windows ไดจาก http://
www.thaicert.or.th/papers/normal/2011/email_security_with_pgp.pdf เนองจากในทนจะกลาว
ถงแตเพยงการตดตงและการใชงาน PGP บนระบบปฏบตการ Mac OS X สำาหรบผใชทวไปเทานน
การตดตง GPGToolsเกยวกบ GPGTools
GPGTools เปนชดโปรแกรมทประกอบดวยโปรแกรมตาง ๆ ดงน
MacGPG: โปรแกรมหลกของชดโปรแกรม GPGTools ซงพอรตมาจากโปรแกรม GnuPG เพอให
สามารถตดตงและใชงานบนระบบปฏบตการ Mac OS X ไดอยางสะดวก
GPG Keychain Access: โปรแกรมจดการกญแจ
GPGMail: สวนเสรมของโปรแกรม Mail.app สำาหรบเขา-ถอดรหสลบและลงลายมอชอบนอเมล
Enigmail: สวนเสรมของโปรแกรม Thunderbird สำาหรบเขา-ถอดรหสลบและลงลายมอชอบน
อเมล
GPGServices: สวนเสรมของเซอรวสเมนในระบบปฏบตการ Mac OS X สำาหรบเขา-ถอดรหสลบ
ลงลายมอชอ และตรวจสอบลายมอชอของไฟลหรอโฟลเดอร
GPGPreferences: สวนการตงคาเบองตนของชดโปรแกรม GPGTools ใน System
Preferences
หมายเหต
โปรแกรม MacGPG, GPG Keychain Access และ GPGMail รองรบระบบปฏบตการเวอรชน
10.5 (Leopard) เปนตนไป
โปรแกรม GPGServices และ GPGPreferences รองรบระบบปฏบตการเวอรชน 10.6 (Snow
Leopard) เปนตนไป
โปรแกรม Enigmail รองรบโปรแกรม Thunderbird เวอรชน 3 ขนไป
ตวอยางการตดตง GPGTools บนระบบปฏบตการ Mac OS X 10.7 (Lion)
1. ดาวนโหลดตวตดตงชดโปรแกรม GPGTools จาก https://www.gpgtools.org/
installer
หมายเหต: เนองจากโปรแกรมบางตวในชดโปรแกรม GPGTools เวอรชนปจจบน (2012.03.18) ยงอยใน
สถานะ Alpha หรอ Beta ซงอาจพบปญหาบางอยางระหวางการใชงาน เชน การคนหากญแจสาธารณะ
จากเซรฟเวอร ดงนนผอานสามารถดาวนโหลด Nightly Builds ซงคอมไพลจาก source code
เวอรชนลาสดทยงไมไดทดสอบการใชงานมาตดตงทดลองใชแทนไดจาก http://nightly.gpgtools.org
2. ดบเบลคลกทไอคอนของตวตดตง จะพบกบหนาตางทดงรปท 59 (16-1) ให
ดบเบลคลกท GPGTools.mpkg
รปท 59 (16-1) หนาตางหลกของตวตดตงชดโปรแกรม GPGTools
110 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 111
3. หนาตางใหมจะปรากฏขนดงรปท 60 (16-2) ใหคลกปม Continue หลงจาก
นนตวตดตงอาจแจงเตอนผใชในกรณทมการเปดโปรแกรมอน ๆ ทเกยวของกบ
การตดตง GPGTools เชน Mail.app ใหปดโปรแกรมดงกลาวกอนแลวคลกปม
Continue
รปท 60 (16-2) หนาตางเรมตนตดตงโปรแกรม
4. หนาตางใหมจะปรากฏขนดงรปท 61 (16-3) ใหเลอกดสกทปกตใชงานเปนหลก
ในการตดตงโปรแกรม โดยทวไปคอดสกทตดตงระบบปฏบตการ Mac OS X มก
อยในตำาแหนงแรกของลสตทใหเลอก และมลกศรสเขยวซงหมายถงสามารถตดตง
โปรแกรมลงในดสกนนได จากนนคลกปม Continue
รปท 61 (16-3) หนาตางเลอกดสกปลายทางทจะตดตงโปรแกรม
5. หนาตางใหมจะปรากฏขนดงรปท 62 (16-4) ใหเลอกโปรแกรมทตองการตดตง
ในทนจะเลอกตดตงทกโปรแกรม จากนนคลกปม Continue
รปท 62 (16-4) หนาตางเลอกโปรแกรมทตองการจะตดตง
6. หนาตางใหมจะปรากฏขนเพอใหยนยนการตดตง ใหคลกปม Install จากนนจะ
มหนาตาง pop-up ขนมาดงรปท 63 (16-5) ใหพมพรหสของบญชผใชระบบ
แลวคลกปม Install Software
112 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 113
รปท 63 (16-5) หนาตางยนยนการตดตงโปรแกรม
7. รอสกครจนกระทงระบบตดตงโปรแกรมเสรจจะพบกบหนาตางดงรปท 64 (16-
6) ใหคลกปม Close หรอสามารถดตวอยางการใชงานเบองตนจากเวบไซตของ
ผพฒนาโปรแกรมโดยคลกท Read the Quickstart Tutorial หนาตางใหมจะ
เปดขนในเวบเบราวเซอร
รปท 64 (16-6) หนาตางเสรจสนการตดตงโปรแกรม
การใชงาน GPGToolsการสรางคกญแจ
1. เปดโปรแกรม GPG Keychain Access (ปกตจะถกตดตงอยใน /Applications)
จะพบกบหนาตางหลกของโปรแกรมดงรปท 65 (16-7) จะเหนวาในรายการของ
กญแจจะมกญแจสาธารณะของผพฒนาชดโปรแกรม GPGTools เปนคาเรมตน
เมอตดตงโปรแกรมใหม ใหคลกทไอคอน New
รปท 65 (16-7) หนาตางหลกของโปรแกรม GPG Keychain Access
2. หนาตางใหมจะปรากฏขนดงรปท 66 (16-8) ใหระบชอและอเมล โดยในสวน
ของ Advanced options สามารถระบ comment, อลกอรทมทใชในการเขา-
ถอดรหสและลงลายมอชอ, ความยาวของกญแจ และวนทคกญแจหมดอายการ
ใชงาน จากนนคลกปม Generate key
114 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 115
รปท 66 (16-8) หนาตางระบคาเรมตนเพอสรางคกญแจใหม
3. หนาตางใหมจะปรากฏขนดงรปท 67 (16-9) ใหระบ passphrase หรอรหส
สวนตวสำาหรบใชงานคกญแจ ควรมความยาวไมตำากวา 8 ตวอกษร มตวเลขและ
อกขระพเศษผสมอย เมอระบคาเสรจแลวใหคลกปม OK จากนนโปรแกรมจะให
ระบ passphrase ซำาอกครง ใหทำาเชนเดม
รปท 67 (16-9) หนาตางระบ passphrase ของคกญแจ
โปรแกรมจะใชเวลาในการสรางคกญแจสกคร ระหวางนโปรแกรมจะแนะนำาใหผใชพมพตวอกษร เลอน
เมาส หรอใชงานดสกเพอทำาใหสามารถสรางคกญแจไดดขน เมอสรางคกญแจเสรจแลวจะพบวามกญแจใหม
ในรายการ โดยกญแจทผใชสรางเองจะเปนตวพมพหนาดงรปท 68 (16-10)
รปท 68 (16-10) หนาตางหลกแสดงคกญแจใหมทถกสรางขน
คอลมนในรายการของกญแจมดงน
Type: ชนดของกญแจ โดย pub คอกญแจสาธารณะ (public key), sec คอกญแจสวนตว
(secret key), sub คอกญแจยอย (subkey) และ uid คอ user ID เปนชอของบคคลหรอ
องคกรทใชงานกญแจนน ๆ โดยอาจมหลายชอในกญแจดอกเดยวกน
Name: ชอเจาของกญแจ
E-mail: อเมลของเจาของกญแจ
Created: วนทสรางกญแจ
Length: ความยาวของกญแจ
Algorithm: อลกอรทมทใชเขา-ถอดรหสหรอลงลายมอชอของกญแจ
Short ID: หมายเลขประจำากญแจสำาหรบใชอางอง
Comment: รายละเอยดเกยวกบกญแจ
การแลกเปลยนกญแจสาธารณะกญแจสาธารณะนนถกนำาไปใชงานอยสองกรณดวยกน นนคอ กรณทผทมาตดตอนำากญแจสาธารณะ
ของเราไปใชในการเขารหสอเมลกอนทจะสงมาให ซงเราสามารถเปดอานอเมลทไดรบโดยใชกญแจสวนตว
ของเราเอง และอกกรณคอใชในการตรวจสอบวาอเมลทไดรบนนมาจากผสงจรง โดยการตรวจสอบจากลาย
เซนดจทล (digital signature) ทผสงเซนมาในอเมล
การสงกญแจสาธารณะ
การสงกญแจสาธารณะใหกบผรบสามารถทำาไดหลายวธ เชน
สงเปนสวนหนงของขอความทจะสงใหผอน โดยการคดลอกกญแจสาธารณะทอยในรปของ ASCII
Armor (รปแบบขอความพเศษท PGP แปลงจากขอมล binary ตามทระบไวในมาตรฐาน
RFC 2440) เรมจาก -----BEGIN PGP PUBLIC KEY BLOCK----- จนถง -----END PGP
PUBLIC KEY BLOCK----- แลวใสตอทายขอความทจะสงใหผอน
สงเปนไฟล เรมจากหนาตางหลกของโปรแกรม GPG Keychain Access เลอกกญแจทตองการสง
แลวคลกทไอคอน Export จากนนเลอกสถานทปลายทางทตองการเซฟไฟล เลอก Format
เปน ASCII ไมตองเชคเครองหมายถกท Allow secret key export แลวคลกปม Save ดง
รปท 69 (16-11) จะไดไฟลนามสกล .asc ใหสงไฟลดงกลาวไปใหผอน เชน แนบไปพรอมกบ
อเมล
116 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 117
รปท 69 (16-11) หนาตางเลอกสถานทปลายทางทจะเซฟกญแจสาธารณะ
สงผานเซรฟเวอรบรการกญแจสาธารณะ (keyserver) เรมจากไปทเมน GPG Keychain Access ->
Preferences หนาตางใหมจะปรากฏขนดงรปท 70 (16-12) ใหเลอกแทบ Keyserver จากนนพมพ hkp://
keys.gnupg.net ลงในชองวางแลวปดหนาตาง
รปท 70 (16-12) หนาตางระบ URL ของ keyserver
จากนนในหนาตางหลก คลกขวาทกญแจทตองการจะอพโหลดแลวเลอก Send to Keyserver ดงรป
ท 71 (16-13)
รปท 71 (16-13) การอพโหลดกญแจทตองการสงไปยงเซรฟเวอร
การคนหาและนำ เขากญแจสาธารณะจากเซรฟเวอรบรการกญแจสาธารณะ1. เปดโปรแกรม GPG Keychain Access แลวไปทเมน Key -> Search for Key หรอกดปม Command
+ F บนคยบอรด
2. หนาตางใหมจะปรากฏขนดงรปท 72 (16-14) เราสามารถคนหากญแจโดยระบชอเจาของกญแจหรอ
อเมลเจาของกญแจ เมอระบคาเสรจแลวใหคลกปม Search key
รปท 72 (16-14) หนาตางคนหากญแจจากเซรฟเวอรบรการกญแจสาธารณะ
3. หากคนหากญแจพบจะไดผลลพธคลายกบรปท 73 (16-15) ใหเชคเครองหมายถกหนากญแจทตองการ
นำาเขาสโปรแกรมแลวคลกปม Retrieve key
118 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 119
รปท 73 (16-15) หนาตางแสดงรายชอกญแจทคนพบบนเซรฟเวอร
การนำาเขากญแจสาธารณะยงสามารถทำาไดโดยการไปทหนาตางหลกของโปรแกรม GPG Keychain
Access คลกทไอคอน Import แลวเลอกไฟลกญแจทตองการนำาเขาจากโฟลเดอรทเกบไฟลไว หรอคลก
ขวาทไฟลกญแจทตองการนำาเขาแลวเลอกเมน Services -> OpenPGP: Import Key from File (กรณา
ศกษาวธการใชงาน GPGServices เพมเตมจากหวขอ “การเขารหส ถอดรหส ลงลายมอชอ และตรวจสอบ
ลายมอชอของไฟลหรอโฟลเดอร”)
การตรวจสอบและกำ หนดระดบความนาเชอถอของกญแจสาธารณะของผอน
เราควรตรวจสอบกญแจสาธารณะของผอนทนำาเขามาวาถกตองและเปนของจรงหรอไม เพอทจะลง
ลายมอชอและกำาหนดระดบความนาเชอถอของกญแจนน ๆ กอนทจะนำาไปใชงาน เรมจากการเปรยบเทยบ
คา fingerprint ของตวกญแจกบคาทเจาของกญแจไดแจงไวดงน
1. จากหนาตางหลกของโปรแกรม GPG Keychain Access คลกขวาทกญแจสาธารณะของผอนทจะ
ตรวจสอบ แลวเลอก Show info ดงรปท 74 (16-16)
รปท 74 (16-16) การเลอกดรายละเอยดของกญแจ
2. หนาตางใหมจะปรากฏขนดงรปท 75 (16-17) เลอกแทบ Key แลวเปรยบเทยบคา fingerprint ท
พบในหมวด Key กบคาทเจาของกญแจไดแจงไว หากมคาตรงกนใหทำาขนตอนตอไป
รปท 75 (16-17) หนาตางแสดงรายละเอยดของกญแจ
3. ลงลายมอชอกญแจ โดยการไปทหนาตางหลกของโปรแกรม GPG Keychain Access คลกขวาท
กญแจทผานการตรวจสอบ fingerprint แลวเลอก Sign ดงรปท 76 (16-18)
รปท 76 (16-18) การเลอกกญแจทจะลงลายมอชอ
4. หนาตางใหมจะปรากฏขนดงรปท 77 (16-19) ใหเลอกกญแจสวนตวของเราทจะใชลงลายมอชอ และ
เลอกวาไดตรวจสอบกญแจทจะถกลงลายมอชอในระดบใด จากนนคลกปม Generate signature
120 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 121
รปท 77 (16-19) หนาตางการลงลายมอชอกญแจสาธารณะ
5. เมอลงลายมอชอแลวใหกำาหนดระดบความนาเชอถอของกญแจดงกลาว โดยการดรายละเอยดของ
กญแจ (คลกขวาทกญแจแลวเลอก Show info) จากนนเลอกแทบ Key แลวดในหมวด Other จะ
พบกบสวนของ Ownertrust ทสามารถกำาหนดระดบความนาเชอถอดงรปท 78 (16-20) เมอกำาหนด
เสรจแลวใหปดหนาตาง
รปท 78 (16-20) หนาตางแสดงเมนกำาหนดระดบความนาเชอถอของกญแจ
ระดบความนาเชอถอทสามารถกำ หนดไดมดงน
Undefined: ไมกำาหนดระดบความนาเชอถอ
Never: ไมเชอถอ
Marginal: เชอถอเลกนอย โดยกญแจดงกลาวจะมความนาเชอถอเมอมผอนกำาหนดความนาเชอ
ถอในระดบ Marginal เชนเดยวกนจำานวน 3 คน
Full: เชอถอ
Ultimate: เชอถออยางยง ควรกำาหนดระดบความนาเชอถอนกบกญแจของตวเองเทานน
การเขารหส ถอดรหส และลงลายมอชอของอเมลในชดโปรแกรม GPGTools มโปรแกรม GPGMail ทำาใหสามารถใชงาน PGP บนโปรแกรม Mail.app
ทมาพรอมกบระบบปฏบตการไดอยางสะดวก ตวอยางตอไปนจะแสดงการเขารหสและการลงลายมอชอของ
อเมลกอนทจะสงไปยงผรบ รวมถงการถอดรหสเมอผรบไดรบอเมล
1. หลงจากนำาเขากญแจสาธารณะของผรบอเมลแลว ขณะกำาลงสงอเมลไปยงผรบดวยโปรแกรม Mail.
app ใหคลกปมรปแมกญแจเพอเขารหส และคลกปมทอยดานขางปมรปแมกญแจใหเปนรปเครองหมาย
ถกเพอลงลายมอชอ เมอคลกแลวแถบขอความ OpenPGP ทอยมมขวาบนจะกลายเปนสเขยวดงรป
ท 79 (16-21)
รปท 79 (16-21) การเปดใชงานการเขารหสและลงลายมอชอของอเมล
2. เมอคลกปมสงอเมลแลวจะพบกบหนาตางดงรปท 80 (16-22) ใหระบ passphrase ของกญแจของ
ผสงอเมล จากนนคลกปม OK
รปท 80 (16-22) หนาตางระบ passphrase ของกญแจของผสงอเมล
122 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 123
3. เมอผรบทใชโปรแกรม Mail.app เปดอานอเมลทไดรบ จะพบกบหนาตางเชนเดยวกบขอ 2 ใหระบ
passphrase ของกญแจของผรบอเมลแลวคลกปม OK
การเขารหส ถอดรหส ลงลายมอชอ และตรวจสอบลายมอชอของไฟลหรอโฟลเดอร
นอกจากการเขา-ถอดรหสและลงลายมอชอของอเมลแลว โปรแกรม GPGServices ทมาพรอมกบชด
โปรแกรม GPGTools ยงชวยใหเราสามารถกระทำาการดงกลาวกบไฟลหรอโฟลเดอรไดเชนเดยวกน ในการ
ใชงานสวนนแนะนำาใหดาวนโหลดโปรแกรม Growl จาก http://growl.info/downloads (ราคา $1.99
สำาหรบระบบปฏบตการเวอรชน 10.7 (Lion) หรอดาวนโหลดฟรสำาหรบเวอรชนทเกากวา) หรอดาวนโหลด
โปรแกรมฟรชอ Growl Fork จาก https://bitbucket.org/pmetzger/growl/downloads สำาหรบระบบ
ปฏบตการเวอรชน 10.7 (Lion) ขนไป ซงเปนโปรแกรมแจงสถานะการทำางานของโปรแกรมอน ๆ มาตดตง
กอน จากนนใหตรวจสอบวาระบบไดเปดการทำางาน GPGServices หรอไม โดยไปท System Preferences
-> Keyboard แลวเลอกแทบ Keyboard Shortcuts จากนนเลอก Services จากชองดานซาย แลวดวา
รายการในชองดานขวาทขนตนดวย OpenPGP มการเชคเครองหมายถกหรอไมดงรปท 81 (16-23)
รปท 81 (16-23) ตรวจสอบการเปดใชงานของ GPGServices
การเขารหสไฟลหรอโฟลเดอร
1. คลกขวาทไฟลหรอโฟลเดอรทตองการเขารหส แลวเลอกเมน Services -> OpenPGP: Encrypt File
ดงรปท 82 (16-24)
รปท 82 (16-24) การเลอกเมนเพอเขารหสไฟลหรอโฟลเดอร
2. หนาตางใหมจะปรากฏขนดงรปท 83 (16-25) ใหเชคเครองหมายถกหนากญแจของผรบ นอกจากน
ยงสามารถเลอกกญแจสวนตวของผสงและเชคเครองหมายถกท Sign เพอลงลายมอชอยนยนวาไฟล
หรอโฟลเดอรดงกลาวถกสงมาจากผสงจรง จากนนคลกปม OK
รปท 83 (16-25) หนาตางสำาหรบเลอกผรบไฟลหรอโฟลเดอร
3. หนาตางใหมจะปรากฏขน ใหระบ passphrase ของกญแจของผสงแลวคลกปม OK รอสกครจน
ระบบเขารหสเสรจจะมขอความแสดงบนหนาจอวา “Encryption finished” ตามดวยชอของไฟล
ทถกเขารหสแลว และจะพบวามไฟลทถกเขารหสแลวเพมขนมาโดยมชอไฟลเดยวกนกบไฟลตนฉบบ
แตมนามสกลของไฟลเปน .gpg (ในกรณของโฟลเดอร โฟลเดอรจะถกบบอดเปนไฟล .zip กอนทจะ
ถกเขารหส)
การถอดรหสไฟลหรอโฟลเดอร
1. คลกขวาทไฟลหรอโฟลเดอรทตองการถอดรหส แลวเลอกเมน Services -> OpenPGP: Decrypt
File ดงรปท 84 (16-26)
124 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 125
รปท 84 (16-26) การเลอกเมนเพอถอดรหสไฟลหรอโฟลเดอร
2. หนาตางใหมจะปรากฏขน ใหระบ passphrase ของกญแจของผรบแลวคลกปม OK รอสกครจน
ระบบถอดรหสเสรจจะมขอความแสดงบนหนาจอวา “Decryption finished” ตามดวยชอของไฟล
ทถกถอดรหส หากไฟลดงกลาวมการลงลายมอชอกจะมการตรวจสอบโดยอตโนมต และหากถกตองก
จะมขอความแสดงบนหนาจอวา “Verification for <ชอไฟล> Signed (ชอผสง <อเมลของผสง>)”
และจะพบวามไฟลใหมเพมขนมาซงเปนไฟลทถอดรหสแลว
การลงลายมอชอบนไฟลหรอโฟลเดอร
1. คลกขวาทไฟลหรอโฟลเดอรทตองการลงลายมอชอ แลวเลอกเมน Services -> OpenPGP: Sign
File ดงรปท 85 (16-27)
รปท 85 (16-27) การเลอกเมนเพอลงลายมอชอบนไฟลหรอโฟลเดอร
2. หนาตางใหมจะปรากฏขนดงรปท 86 (16-28) ใหเลอกกญแจทจะเซนลายมอชอบนไฟลหรอโฟลเดอร
จากนนคลกปม Choose Key
รปท 86 (16-28) หนาตางสำาหรบเลอกกญแจทจะเซนลายมอชอบนไฟลหรอโฟลเดอร
3. หนาตางใหมจะปรากฏขน ใหระบ passphrase ของกญแจของผสงแลวคลกปม OK รอสกครจน
ระบบลงลายมอชอเสรจจะมขอความแสดงบนหนาจอวา “Signing finished” ตามดวยชอไฟลท
ถกลงลายมอชอ และจะพบวามไฟลลายมอชอเพมขนมาโดยมชอไฟลเดยวกนกบไฟลตนฉบบ แตม
นามสกลของไฟลเปน .sig (ในกรณของโฟลเดอร จะมนามสกล .zip.sig ตอทายชอไฟล)
การตรวจสอบลายมอชอของไฟลหรอโฟลเดอร
126 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 127
1. นำาไฟลลายมอชอทมนามสกล .sig ไปไวในทเดยวกนกบไฟลทจะตรวจสอบ จากนนคลกขวาทไฟลท
ตองการตรวจสอบลายมอชอ แลวเลอกเมน Services -> OpenPGP: Verify Signature of File ดง
รปท 87 (16-29)
รปท 87 (16-29) การเลอกเมนเพอตรวจสอบลายมอชอของไฟลหรอโฟลเดอร
2. ระบบจะตรวจสอบสกคร หากลายมอชอดงกลาวเปนของไฟลทจะตรวจสอบจรง จะมขอความแสดง
บนหนาจอวา “Verification for <ชอไฟล> Signed (ชอผสง <อเมลของผสง>)”
อางอง[16-1] http://en.wikipedia.org/wiki/Binary-to-text_encoding
[16-2] http://en.wikipedia.org/wiki/Pretty_Good_Privacy
[16-3] http://support.gpgtools.org/kb/how-to
[16-4] http://tools.ietf.org/html/rfc2440
[16-5] http://www.robertsosinski.com/2008/02/18/working-with-pgp-and-mac-os-x
17 Man-in-ThE-MiddlE 102 -
PaRT 2 : dnS SPoofผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 31 ส.ค. 2555ปรบปรงลาสด: 31 ส.ค. 2555
จากทผเขยนไดนำาเสนอถงวธการโจมตแบบ Man-in-the-Middle และไดอธบายการโจมตดวยวธ ARP
Spoof ไปแลวในบทความกอนหนา จะสงเกตไดวา การโจมตโดยวธ Man-in-the-Middle นน เปนการใช
ชองโหวของการตรวจสอบขอมลทรบสง ซงทำาใหผไมหวงดสามารถแทรกตวเขามาเพอดกรบหรอปลอมแปลง
ขอมลท อยระหวางการสอสารได ในบทความ Man-in-the-Middle 102 ตอนท 2 นจะกลาวถงการโจมต
ดวยวธ DNS Spoof หรอการปลอมแปลง DNS
DNS คออะไรเครองคอมพวเตอรในระบบอนเทอรเนต จะตดตอสอสารกนผานทาง IP Address เชน 122.248.233.179
เปนตน ซงหาก IP Address ดงกลาวนเปนของเครองเซรฟเวอรทใหบรการเวบไซต ผใชกสามารถพมพ IP
Address นลงในชอง Address Bar ของเบราวเซอรเพอเขาถงเวบไซตนได แตอยางไรกตาม การใช IP Address
ในการเขาถงเวบไซตนนจำายากและไมสะดวกในการใชงาน จงมการคดคนสงทเรยกวา Domain Name ขน
มา ซงเปนการใชชอทเปนตวอกษรทมความหมายในการเรยกแทน IP Address เชน www.thaicert.or.th
สามารถใชเรยกแทน IP Address 122.248.233.179 ได เปนตน การทำางานของระบบดงกลาวนเปรยบไดกบ
การจดบนทกรายชอผตดตอลงใน สมดโทรศพท ซงเปนการแทนทหมายเลขโทรศพทดวยชอของผตดตอทจำา
งายกวา โพรโทคอลทใชในการสบคน Domain Name เพอหา IP Address ทสมพนธกบ Domain Name
นน เรยกวา Domain Name System (DNS) [17-1]
การทำ งานของ DNS
128 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 129
เพอใหเขาใจหลกการทำางานของ DNS งายขน จะขออธบายลำาดบการทำางานของเครองคอมพวเตอร
เมอผใชตองการเขาใชงาน เวบไซตไทยเซรต โดยเมอผใชพมพ www.thaicert.or.th ทชอง Address Bar
ของเบราวเซอร จะมการทำางานดงน
1. คนหาขอมลจากไฟล hosts ไฟล hosts เปนไฟลทใชสำาหรบกำาหนดคา IP Address และ Domain
Name โดยปกตแลวระบบปฏบตการตางๆ จะเกบไฟล hosts ไวทตำาแหนงดงน
Windows อยท Windows\System32\drivers\etc\hosts
Mac OS X อยท /private/etc/hosts
Linux อยท /etc/hosts
ไฟล hosts เปนไฟลขอความธรรมดา สามารถใชโปรแกรม Text Editor เปดขนมาเพอดหรอแกไขได ดง
รปท 88 (17-1) อยางไรกตาม การแกไขไฟลดงกลาวนสามารถทำาไดเฉพาะผทมสทธของผดแลระบบ เทานน
หากเครองคอมพวเตอรไมพบขอมลของ www.thaicert.or.th ในไฟล hosts กจะไปคนขอมลจาก DNS Table
รปท 88 (17-1) ตวอยางขอมลในไฟล hosts ในระบบปฏบตการ Windows 72. คนหาขอมลจาก DNS Table
DNS Table หรอ DNS Cache ใชในการเกบขอมล Domain Name และ IP Address ทเคยคนหามา
แลว เพอทจะไดไมตองสอบถามกบ DNS Server เมอตองการเรยกใชงาน Domain Name นอกในครงถด
ไป การตรวจสอบขอมลใน DNS Table สามารถทำาไดดงน
Windows ใชคำาสง ipconfig /displaydns
Mac OS X ใชคำาสง dscacheutil -cachedump -entries
Linux โดยปกตแลวจะไมมการทำา DNS Table แตในบาง Distro อาจมการตดตงโปรแกรมเพมเตม
เพอมาจดการในสวนน เชน โปรแกรม nscd (Name Service Cache Daemon)
รปท 89 (17-2) ตวอยางขอมล DNS Table ในระบบปฏบตการ Windows 7
หากเปดเครองขนมาใหม ระบบจะยงไมมขอมลใน DNS Table เครองคอมพวเตอรจะตองสอบถามกบ
DNS Server เพอขอทราบ IP Address ของ Domain Name นน
3. คนหาขอมลจาก DNS Server
DNS Server เปนเครองเซรฟเวอรทมฐานขอมลของ Domain Name และ IP Address โดยปกตแลว
การตงคา DNS Server จะถกกำาหนดมาใหจาก ISP หรอ Router ในตอนทผใชเชอมตอเขากบระบบเครอ
ขาย ตวอยางการตงคา DNS Server เปนดงรปท 90 (17-3) อยางไรกตาม ผใชสามารถกำาหนดการตงคา
DNS Server เองได
130 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 131
รปท 90 (17-3) ตวอยางการตงคา DNS Server ในระบบปฏบตการ Windows 7
ในการทำางาน เมอเครองของผใชสง DNS Query ไปหา DNS Server ผาน UDP Port 53 โดยระบ
Domain Name ทตองการหาขอมล เครองเซรฟเวอรจะคนหา Domain Name นนในฐานขอมล หากพบ
กจะสง DNS Response ตอบ IP Address กลบไปให [17-2] ตวอยาง DNS Query และ DNS Response
เปนดงรปท 91 (17-4)
รปท 91 (17-4) ตวอยาง DNS Query และ DNS Response (ทมา WindowsSecurity.com)
อยางไรกตาม ขนตอนการทำางานของ DNS นนไมมการตรวจสอบความถกตองของขอมลทรบสง จง
เปนชองโหวใหผไมหวงดโจมตผานจดนไดโดยการทำา DNS Spoof
DNS Spoofการทำา DNS Spoofing หรอ DNS Cache Poisoning คอการเปลยนขอมลของ DNS ใหวงไปท IP
Address ปลายทางทอนทไมใชของจรง ซงวธการโจมตแบบนจะสงเกตเหนความผดปกตไดยาก เนองจาก
ใน Address Bar ของเบราวเซอรจะแสดง URL ทถกตอง แตเวบไซตปลายทางนนไมใชเวบไซตทแทจรง จด
ประสงคหลกๆ ของการโจมตดวยวธนอาจจะเปนการขโมยขอมลหรอเพอเผยแพรมลแวร [17-3] ตวอยาง
การโจมตดวยวธ ARP Spoof เชน
แกไขไฟล hosts
เนองจากไฟล hosts เปนไฟลขอความธรรมดา จงสามารถใชโปรแกรม Text Editor
เปดขนมาแกไขได ดงนนหากมการแกไขไฟลดงกลาวโดยใส Domain Name และ IP
Address ทไมมอยจรงลงไป กจะไมสามารถเขาใชงานเวบไซตทม Domain Name ดง
กลาวได หรอหากมผไมหวงดแกไขไฟล hosts โดยให Domain Name ของเวบไซตใดๆ
ชไปท IP ของเวบไซตอนกสามารถทำาไดเชนกน ซงการแกไขขอมลในไฟล hosts เพอ
ใหชไปทเวบไซตอน อาจเกดจากการกระทำาของผไมหวงดหรออาจเกดจากมลแวรกได
จากชองโหวดงกลาวน ทาง Microsoft จงไดเพมระบบปองกนการแกไขไฟล hosts ใน Windows 8 โดยจะมโปรแกรม Windows Defender คอยตรวจสอบวามการแกไขคา DNS ของเวบไซตสำ คญๆ เชน Facebook.com ในไฟล hosts หรอไม หากพบกจะลบขอมลนนออกเพอใหปองกนไมใหผใชถกหลอกลวงจากเวบไซตปลอม อยางไรกตาม ผใชยงสามารถปดการทำ งานของระบบดงกลาวนได [17-4] การปลอมแปลง DNS ดวยการแกไขไฟล hosts เรยกวา Local DNS Spoofing กำ หนดคาใหตดตอไปยง DNS Server ปลอม
เนองจากการทำางานของ DNS ตองมการตดตอไปยง DNS Server เพอขอขอมล
IP Address ของเวบไซตทตองการเขาชม ดงนนจงมผไมหวงดพฒนามลแวรขนมาเพอ
เปลยนแปลงการตงคา DNS Server ในเครองของผใชใหวงมาทเครอง DNS Server
132 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 133
ของผสรางมลแวร ตวอยางมลแวรทโจมตดวยวธการน เชน DNS Changer [17-5]
สง DNS Response ปลอม
เนองจากการตดตอขอขอมล IP Address จากเครอง DNS Server จำาเปนตองมการสง DNS Request
ออกไปแลวรอใหเซรฟเวอรตอบ DNS Response กลบมา ในระหวางทกำาลงรอคำาตอบจากเครอง DNS Server
อยนน หากมผไมหวงดสง DNS Response ตอบ IP Address ทไมถกตองกลบมาให เครองคอมพวเตอรกจะ
เขาใจวาคำาตอบนนเปน IP Address จรงของ Domain Name ทตองการตดตอดวย ตวอยางโปรแกรมทใชใน
การโจมตดวยวธน เชน dsniff หรอ ettercap ดงรปท 92 (17-3) การโจมตดวยวธการสง DNS Response
ปลอม เรยกวา Remote DNS Spoofing
รปท 92 (17-3) ตวอยางโปรแกรม ettercap
การตรวจสอบและปองกนการตรวจสอบวาถกโจมตดวยวธ DNS Spoof หรอไมนนอาจทำาไดยาก เนองจากเปนวธการโจมต
ทแนบเนยนและแทบจะไมเหนความผดปกต อยางไรกตาม ผใชอาจตรวจสอบขอมลจากไฟล hosts ของ
เครองวามการตงคา Domain Name ทมลกษณะผดปกตบางหรอไม รวมทงอาจตรวจสอบจากการตงคา
DNS Server ในเครองดวย
นอกจากน ผใชสามารถกำาหนดการตงคา DNS Server ใหใชขอมลจาก Public DNS Server ทเชอ
ถอได เชน OpenDNS หรอ Google Public DNS เปนตน ตวอยางการตงคาการเชอมตอใหใช Google
Public DNS Server เปนดงรปท 93 (17-6)
รปท 93 (17-6) การกำาหนดคาใหใช DNS Server ของ Google
อางอง[17-1] http://www.howtogeek.com/122845/htg-explains-what-is-dns/
[17-2] http://www.windowsecurity.com/articles/understanding-man-in-the-middle-
attacks-arp-part2.html
[17-3] http://resources.infosecinstitute.com/dns-hacking/
[17-4] http://www.howtogeek.com/122404/how-to-block-websites-in-windows-8s-
hosts-file/
[17-5] http://www.thaicert.or.th/alerts/corporate/2012/
al2012co0006.html
134 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 135
18 วธปดการทำ งานของ Java ใน
เวบเบราวเซอรผเขยน: วศลย ประสงคสขวนทเผยแพร: 14 ก.ย. 2555ปรบปรงลาสด: 14 ก.ย. 2555
Java เปนภาษาหนงทใชในการพฒนาโปรแกรมคอมพวเตอร ถกคดคนโดยบรษท Sun Microsystems
โปรแกรมทพฒนาโดยภาษา Java สามารถทำางานไดโดยไมจำาเปนตองยดตดกบระบบปฏบตการใดเพยงระบบ
เดยว เนองจากโปรแกรมทเขยนขนโดยภาษา Java จะทำางานผาน Java Runtime Environment (JRE) ซง
จะเปนการจำาลองระบบขนมาเพอประมวลผลคำาสงภาษา Java ทำาใหโปรแกรมทพฒนาขนมาสามารถนำาไป
ใชงานบนระบบปฏบตการอนไดโดยไม ตองแกไขโคดของโปรแกรม [18-1]
เมอวนท 28 สงหาคม 2555 ทางไทยเซรตไดประกาศแจงเตอนเกยวกบชองโหวดานความมนคงปลอดภย
ของ JRE เวอรชน 7 โดยหากผใชเขาไปยงเวบไซตทมการเรยกใชงาน Java Applet ทเปนอนตราย (Java
Applet คอโปรแกรมขนาดเลกทพฒนาโดยภาษา Java ซงสามารถแสดงผลเปนสวนหนงของหนาเวบไซต
ได) ชองโหวนจะทำาใหเครองคอมพวเตอรของผใชดาวนโหลดโปรแกรมไมพง ประสงคเขามาตดตงโดยผใช
ไมรตว ผเชยวชาญไดออกมาใหคำาแนะนำาวาควรปดการทำางานของ Java ในเวบเบราวเซอร หรอหากไมม
ความจำาเปนตองใชงาน Java Applet ควรลบโปรแกรม JRE ออกจากระบบ [18-2]
ดงนน บทความนจงขอนำาเสนอวธการปดการทำางานของ Java ในเวบเบราวเซอรทไดรบความนยมสง
ในประเทศไทย อนไดแก Mozilla Firefox, Google Chrome, Safari และ Internet Explorer การปด
Java ในทนจะเปนการปดการทำางานของ JRE ในเวบเบราวเซอร แต JavaScript ยงคงทำางานไดตามปกต
การปดการทำ งานของ Java ใน Mozilla Firefox ในตวอยางนจะใช Mozilla Firefox เวอรชน 15 ซงมวธการทำ ดงน
1. คลกทปมเมน Firefox ดานบนซายของหนาตาง และคลกท Add-ons ดงรปท 94 (18-1)
รปท 94 (18-1) คลกท Add-ons
2. เมอหนาตาง Add-ons Manager ปรากฎขนมา ใหคลกทแถบ Plugins จากนนคนหา Java (TM) Platform
แลวคลกทปม Disable ดงรปท 95 (18-2)
รปท 95 (18-2) Disable Java (TM) Platform
การปดการทำ งานของ Java ใน Google Chromeในตวอยางนจะใช Google Chrome เวอรชน 21 ซงมวธการทำ ดงน
1. พมพ “chrome://plugins” ลงในชอง Address bar ของเบราวเซอร จะปรากฎรายการ Plug-ins ทงหมด
ทตดตงอยใน Chrome ดงรปท 96 (18-3)
136 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 137
รปท 96 (18-3) แสดงรายการ Plug-in ทตดตงใน Chrome
2. คลกทปม Disable ภายใตกรอบ Java ดงรปท 97 (18-4)
รปท 97 (18-4) Disable Java
การปดการทำ งานของ Java ใน Safari
ในตวอยางนจะใช Safari เวอรชน 5 ซงมวธการทำาดงน [18-3]
1. คลกทรปเฟองดานขวามอของหนาตาง Safari และเลอกท Preferences... ดงรปท 98 (18-5)
รปท 98 (18-5) คลกท Preferences...
2. เมอหนาตางการตงคาปรากฎขน คลกทแถบ Security และนำาเครองหมายถกออกจาก Enable Java
ดงรปท 99 (18-6)
รปท 99 (18-6) นำาเครองหมายถกออกจาก Enable Java
การปดการทำ งานของ Java ใน Internet Explorerการปดการทำางานของ Java ใน Internet Explorer (IE) นน ไมสามารถทำาไดโดยการ Disable ปลกอน
ของ Java เหมอนในเวบเบราวเซอรตวอน ๆ เนองจาก IE นนไมไดมอง Java เปนสวนเสรมของเบราวเซอร
เหมอนกบปลกอนทวไป ทาง Microsoft ไดแนะนำาใหผใชแกไขคา Registry ของระบบเพอปดการทำางาน
ของ Java ดวยตนเอง [18-4] แตเนองจากการแกไข Registry มความเสยงทหากแกไขผดพลาดอาจทำาให
ระบบไมสามารถทำางานตอได ดงนนผทใชงาน IE จงควรกำาหนดคา Security ใหอยทระดบ High จนกวาจะม
มาตรการแกไขทสามารถทำาไดสะดวกและปลอดภยกวาน ใน IE เวอรชน 9 สามารถกำาหนดคา Security ไดดงน
138 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 139
1. คลก ทรปเฟองดานขวาของหนาตาง IE เลอก Internet options ดงรปท 100 (18-7) (ใน IE เวอรชนอน
สามารถคลกทเมน Tools และเลอก Internet options)
รปท 100 (18-7) เลอก Internet options
2. เมอหนาตาง Internet options ปรากฎขน คลกทแถบ Security และปรบ Security level for this zone ใหเปน High ดง
รปท 101 (18-8)
รปท 101 (18-8) ปรบ Security level for this zone ใหเปน High
อยางไรกตาม การกำาหนดคา Security ใหอยในระดบ High นนเปนการปดการทำางานของความสามารถ
ทอาจเปนอนตรายตอระบบ ใหเหลอเพยงความสามารถในการเขาใชงานเวบไซตขนพนฐานเทานน ซงผใช
อาจพบปญหาในการเขาใชงานบางเวบไซตทตองการความสามารถอนๆ นอกเหนอจากการแสดงผลเวบไซต
เชน เวบไซตทมการใชงาน JavaScript หรอเวบไซตทมคลปวดโอ เปนตน ซงหากจำาเปนตองเขาถงเวบไซตท
มความสามารถดงกลาว ควรเปลยนไปใชเบราวเซอรอนแทน
การทดสอบการทำ งานของ Javaผใชสามารถทำาการทดสอบวาไดปดการทำางานของ Java แลวหรอยง โดยการเขาเวบไซตทใช Java
applet ในการแสดงผลหนาเวบไซต ในทนขอยกตวอยางหนาเวบไซตของ java.com ซงม URL คอ
h t t p : / / w w w . j a v a . c o m / e n / d o w n l o a d / t e s t j a v a . j s p
หาก Java ยงใชงานในเวบเบราวเซอรได จะมขอความแจงวา “Your Java is working” ดงรปท 102 (18-9)
แตหากปดการทำางานของ Java แลว เวบเบราวเซอรจะแสดงขอความวาไมพบปลกอนของ Java ในระบบ
ซงแตละเบราวเซอรอาจแสดงผลตางกน เชน หากเปน Firefox จะแสดงขอความ “Something is wrong.
Java is not working ” ดงรปท 103 (18-10)
รปท 102 (18-9) เมอไมปดการทำางานของ Java
รปท 103 (18-10) การแสดงผลของ Firefox เมอปดการทำางานของ Java แลว
เนองจาก Java เปนโปรแกรมทมการแจงชองโหวคอนขางบอย และการปลอยอพเดทเพอแกไขปญหา
นนใชเวลานาน การปดการทำางานของ Java ในเวบเบราวเซอร จงเปนวธการหนงทสามารถชวยในการปองกน
140 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 141
ตวจากภยคกคามซงเกดจาก ชองโหวของ Java ดงทไดกลาวไวในขางตนได แตหากผใชมความจำาเปนตองใช
งานเวบไซตทม Java Applet เชน เวบไซตภายในหนวยงาน กอาจเปดใชงาน Java ได เพยงแตตองมนใจวา
เวบไซตนนปลอดภยจรง ๆ และเมอใชงานเสรจแลว กควรปดการทำางานของ Java ไวตามเดม
อางอง[18-1] http://searchsoa.techtarget.com/definition/Java
[18-2] http://www.thaicert.or.th/alerts/corporate/2012/
al2012co0018.html
[18-3] http://support.apple.com/kb/HT5241
[18-4] http://support.microsoft.com/kb/2751647
19 ดแลการเขาเวบไซตของเดก ๆ ดวย
windowS livE faMily SafETyผเขยน: วศลย ประสงคสขวนทเผยแพร: 21 กนยายน 2555ปรบปรงลาสด: 21 กนยายน 2555
ผปกครองหลายทานคงเปนกงวล เมอเหนเดก ๆ เลนคอมพวเตอรเปนเวลานาน โดยทไมรวาเลนอะไร
บาง ยงทกวนนมเวบไซตทเนอหาไมเหมาะสมกบเดกและเยาวชนอยมาก และผปกครองกไมสามารถทจะดแล
การเขาเวบไซตของบตรหลานไดตลอดเวลา วธการหนงทชวยในการปองกนไมใหเดกเขาเวบไซตไมเหมาะสม
เหลาน กคอการตดตงโปรแกรมทชวยควบคมการเขาถงเวบไซต
โปรแกรมทกลาวถงน มใหเลอกใชอยหลากหลาย แตสำาหรบผทใชระบบปฏบตการ Windows7 ขนไป
สามารถตดตงโปรแกรม Windows Live Family Safety ได ซงเปนโปรแกรมทไมโครซอฟตใหใชงานไดฟร
โดยโปรแกรม Windows Live Family Safety น นอกจากจะสามารถควบคมการเขาถงเวบไซตทมเนอหา
ไมเหมาะสมกบเยาวชนไดแลว ยงมความสามารถอน ๆ ดงน [19-1]
กำาหนดชวงเวลาในการใชงานคอมพวเตอรได
ปองกนการใชงานโปรแกรม หรอเลนเกมทไมเหมาะสมหรอไมไดรบอนญาตได
โปรแกรม Windows Live Family Safety นถกบรรจอยในชดโปรแกรม Windows Essentials ซง
สามารถดาวนโหลดไดจากเวบไซตของ ไมโครซอฟต (http://windows.microsoft.com/en-US/win-
dows-live/essentials-home) ในการใชงานโปรแกรม มสงทผปกครองตองจดเตรยมดงน
ผปกครองจะตองใชขอมลบญชผใชของ Windows Live (บญชเดยวกนกบทใชเขาสระบบ MSN
หรอ Hotmail) ในการเขาสระบบของโปรแกรม Windows Live Family Safety
เตรยมบญชผใชคอมพวเตอรสำาหรบเดกและผปกครอง โดยท
* บญชผใชสำาหรบผปกครอง เปนบญชผใชประเภท Administrator
* บญชผใชสำาหรบเดก เปนบญชผใชประเภท Standard
142 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 143
ปกตแลวในการตดตงระบบปฏบตการ (การลง Windows) จะมการใหผใชสรางบญชผใชสำาหรบใช
งานคอมพวเตอรอยแลว ซงบญชผใชนนจะเปนประเภท Administrator สำาหรบการสรางบญชผใชสำาหรบ
เดกใหเปนบญชประเภท Standard นน สามารถทำาไดในโปรแกรม Windows Live Family Safety ซงจะ
อธบายในลำาดบถดไป
หลงจากตดตงชดโปรแกรม Windows Essentials แลว ผปกครองสามารถเขาใชงาน Windows Live
Family Safety ไดดงน
1. คลกเขาไปท Start > All programs > Windows Live > Windows Live Family Safety ดงรปท
104 (19-1)
รปท 104 (19-1) คลก Windows Live Family Safety
2. เมอหนาตางโปรแกรม Windows Live Family Safety ปรากฏขนมา ใหทำาการเขาสระบบโดยใชบญชผ
ใช Windows Live ดงรปท 105 (19-2)
รปท 105 (19-2) เขาสระบบของโปรแกรม Windows Live Family Safety
3. เมอเขาสโปรแกรม Windows Live Family Safety แลว หากในเครองคอมพวเตอรยงไมมผใช Standard
สำาหรบเดก สามารถสรางไดโดยคลกทขอความ “Create a new standard Windows Account”
ดงรปท 106 (19-3) หากมบญชผใชประเภท Standard สำาหรบเดกอยแลว สามารถขามไปยงขน
ตอนท 5 ได
รปท 106 (19-3) การสรางบญชผใชประเภท Standard สำาหรบเดก
4. ทำาการตงชอบญชผใช ซงในตวอยาง ไดกำาหนดชอของบญชผใชเปน “Son” ดงรปท 107 (19-4) หลงจาก
สรางบญชผใชสำาหรบเดกแลว จะปรากฎบญชผใชใหม อยในรายการ Standard Windows accounts
ในหนาตางโปรแกรม Windows Live Family Safety ดงรปท 108 (19-5)
รปท 107 (19-4) การกำาหนดชอบญชผใช สำาหรบเดก
144 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 145
รปท 108 (19-5) บญชผใชใหม ปรากฎในรายการ Standard Windows accounts
5. เลอกบญชผใชทตองการดแลและกดปม Save จากนน จะปรากฎหนาตางแจงใหผปกครองคลกไปทเวบไซต
familysafety.microsoft.com เพอทำาการตงคาการควบคมบญชผใชของเดก ดงรปท 109 (19-6)
รปท 109 (19-6) คลกท familysafety.microsoft.com เพอทำาการตงคาการควบคม
6. เมอเขาสระบบของเวบไซต familysafety.microsoft.com แลว ผปกครองสามารถตงคาการควบคมบญช
ของเดกได โดยคลกท ขอความ “แกไขการตงคา” ดงรปท 110 (19-7)
รปท 110 (19-7) คลกเพอแกไขการตงคา เพอตงคาการควบคม
7. ทหนาตางตงคาการควบคม จะพบวามเมนการควบคมบญชผใชอยในดานซายมอ คลกทขอความ “การก
รองเวบ” เพอกำาหนดคาการควบคมการเขาถงเวบไซต ดงรปท 111 (19-8)
รปท 111 (19-8) กำาหนดคาการควบคมการเขาถงเวบไซต
8. ทำาการเลอกระดบการควบคมทตองการ โดยรายการของเวบไซตสำาหรบผใหญนน ทมงานของ Windows
Live Family Safety จะเปนผรวบรวมไว ดงรปท 112 (19-9)
รปท 112 (19-9) เลอกระดบการควบคมการเขาถงเวบไซต
9. ผปกครองสามารถระบเวบไซตทไมตองการใหเดกเขาไดดวยการคลกทขอ ความ “รายการการกรองเวบ”
ในเมนการควบคมบญชผใชในดานซายมอ และทำาการบลอกการเขาถงเวบไซต โดยการปอน URL ท
146 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 147
ตองการลงในชอง http:// และกดปมบลอก ดงรปท 113 (19-10) ในตวอยางนจะทำาบลอกไมใหผ
ใชเขาเวบไซต www.thaicert.or.th
รปท 113 (19-10) ปอน URL ทไมตองการใหเดกเขา และกดปมบลอก
ซงหลงจากนบญชผใชเดก จะไมสามารถเขาสเวบไซต www.thaicert.or.th ไดดงแสดงในรปท 114 (19-11)
รปท 114 (19-11) หนาตางแสดงผลเมอผใชเขาเวบไซตทถกกำาหนดไว
จากรปท 114 (19-11) จะพบวา ผใชบญชเดกไมสามารถเขาสเวบไซตทบลอกไวได และโปรแกรม
Windows Live Family Safety จะมการใหขออนญาต หากเดก ๆ ตองการเขาถงเวบไซตนนจรง ๆ โดย
สามารถขออนญาตผปกครองได 2 ชองทางดวยกน คอ
Email your request ในกรณทผปกครองไมอยดวย เดก ๆ สามารถสงอเมลเพอขอใหผปกครองอนญาตได
Ask in person ในกรณทผปกครองอยดวย เดก ๆ สามารถขอใหผปกครองปอนรหสผาน Windows
Live ในหนาตางทปรากฎหลงคลกเลอก Ask in person ได
เพยงเทาน ผปกครองกสามารถอนใจไดระดบหนงวาเดก ๆ ททานดแล เขาใชงานอนเทอรเนตไดอยาง
เหมาะสม นอกจากนโปรแกรม Windows Live Family Safety ยงมความสามารถอน ๆ เชน การกำาหนด
ชวงเวลาในการใชงานคอมพวเตอร การปองกนการใชงานโปรแกรม การเลนเกมทไมเหมาะสมหรอไมไดรบ
อนญาต ผใชสามารถศกษาเพมเตมดวยตนเองได เนองจากมวธการตงคาการใชงานทคลายกน
อางอง [19-1] http://windows.microsoft.com/en-US/windows-vista/Protecting-your-kids-
with-Family-Safety
20 SoCial EnginEERing
ผเขยน: วศลย ประสงคสข, เสฏฐวฒ แสนนาม และ พรพรหม ประภากตตกลวนทเผยแพร: 2 พฤศจกายน 2555ปรบปรงลาสด: 8 พฤศจกายน 2555
Social Engineering เปนเทคนคการหลอกลวงโดยใชหลกการพนฐานทางจตวทยาเพอใหเหยอเปด
เผย ขอมล ซงบางครงอาจไมจำาเปนตองใชเทคโนโลยเขามาเกยวของเลย [20-1] ผทตกเปนเหยอของ Social
Engineering อาจจะตกเปนเหยอโดยความตงใจหรอไมตงใจของผไมหวงดกได กลาวคอ ถาผไมหวงดมเปา
หมายเฉพาะเจาะจง เชน ตองการขอมลความลบขององคกรใดองคกรหนง เหยอในทนกมกจะเปนผทมสทธ
ในการเขาถงขอมลความลบขององคกรนน แตหากเปาหมายของผไมหวงดเปนแบบทไมไดเจาะจงเหยอ เชน
ตองการรหสบตรเครดต หรอบญชผใชและรหสผานของบรการตาง ๆ ของใครกได เหยอของผไมหวงดนจะ
เปนใครกตามซงหลงเชอการหลอกลวงนน
การทผไมหวงดจะหลอกลวงเหยอใหไดขอมลทตองการมานน ไมไดมวธการทตายตว ทำาใหหากจะยก
ตวอยางวธการของ Social Engineering ในเอกสารนใหครบถวนนน จงแทบจะเปนไปไมได ในทนจงขอกลาว
ถงวธการทผไมหวงดใชเพอใหไดมาซงขอมลท ตองการโดยสงเขป ดงน [20-2] [20-3]
Telephone เปนการโทรศพทเขามาหลอกลวงเหยอ เพอใหเปดเผยขอมลสำาคญหรอหลอกลอใหเหยอกระทำา
การตามทผไมหวงด ตองการ หรอถาเปนในองคกรตาง ๆ กลมทมกจะตกเปนเหยออาจจะเปนฝายประสมพนธ,
HR, หรอฝายบรการลกคา เปนตน ซงเปนกลมทมหนาทคอยใหขอมลกบบคคลอนอยแลว ดงนนกลมคนเหลาน
จงมความเสยงสงทอาจจะเผลอเปดเผยขอมลสำาคญ บางอยางออกมา ตวอยางของการหลอกลวงในลกษณะนเชน
ผไมหวงดโทรมาหลอกลวงเหยอ วาเหยอไดรบสทธในการลดหยอนภาษจากกรมสรรพากรจงอยากจะโอนเงนภาษ
คน ใหผานทางธนาคาร ขอใหเหยอแจงหมายเลขบญชธนาคารใหทราบ และขอใหทำาการโอนเงนเขามายงบญชของ
ผโจมตเพอเปนการยนยนวา เหยอเปนเจาของบญชนนจรง ซงหากเหยอหลงเชอกจะทำาการโอนเงนไปใหผโจมต
Online เปนการหลอกลวงเหยอผานทางอนเทอรเนต ไมวาจะผานการเขาใชงานเวบไซต อเมล หรอการแชต การ
หลอกลวงในรปแบบนผไมหวงดมกจะมเปาหมายเพอขโมยรหสผาน ของบรการตาง ๆ ตวอยางการหลอกลวงใน
ลกษณะนเชน ผไมหวงดสงอเมลถงลกคาของธนาคารโดยอางวาธนาคารไดมการปรบปรง ระบบรกษาความมนคง
ปลอดภย จงอยากใหลกคาเขาสระบบเพอยนยนขอมลสวนบคคลโดยคลกทลงกท สงมาในอเมล หากผใชคลกลงก
148 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 149
เพอทจะเขาสระบบ ผโจมตกจะไดชอผใชและรหสผานสำาหรบการเขาใชงานธนาคารของเหยอไป เปนตน (การโจมต
ในลกษณะนเรยกวา Phishing สามารถศกษาเพมเตมไดในบทความ รจก Phishing และการปองกน) นอกจาก
นหากเหยอใชงานรหสผานตวเดยวกนกบบรการอน ผโจมตกอาจจะสามารถเขาสระบบของบรการอนไดอกดวย
Dumpster Diving เปนเทคนคการคนหาขอมลสำาคญจากถงขยะของบคคลหรอองคกรทเปนเปา
หมาย เพอทจะไดขอมลสำาคญ เชน รหสผานทจดบนทกไวในกระดาษ แผนผงองคกร หมายเลข
โทรศพท รวมถงขอมลสำาคญอน ๆ ทเกบไวบนสอบนทกขอมลทกประเภท [20-4] การทำา Dump-
ster Diving นอาจจะทำาใหผโจมตไดขอมลทเพยงพอสำาหรบนำาไปใชหลอกลวงดวยวธการอนตอไป
Shoulder Surfing เปนการแอบสงเกตขณะทเหยอกำาลงทำาการปอนขอมล หรอเขาถงขอมลทตองการ ดง
รปท 115 (20-1) ซงวธการนไมไดจำากดอยเพยงการแอบมองขณะทเหยอใชงานคอมพวเตอร เทานน หาก
แตรวมถงสถานการณอน เชนการกดรหส ATM หรอ การกรอกแบบฟอรมดวยปากกา และนอกจากผไม
หวงดจะแอบสงเกตเหยอในระยะประชดแลว ยงรวมถงการสงเกตจากระยะไกลทใชเครองมออยางกลอง
สองทางไกลดวย [20-5]
รปท 115 (20-1) Shoulder Surfing
Reverse Social Engineering เปนวธการทผไมหวงดสามารถทำาใหเหยอตดตอกลบเขามาหา
ตนเอง โดยอาจจะตดตอกลบมาเพอขอความชวยเหลอ หรอสอบถามขอมลจากผโจมต ซงเหตการณเชนน
อาจเปนผลมาจากการทผไมหวงดเคยหลอกลวงเหยอเอา ไวแลวในครงกอน ทนททเหยอตดตอมายงผโจมต
เหยอกแทบจะไมมทางรตวไดเลยวาตนกำาลงถกหลอกลวงอย ทงนกอนจะหลอกใหเหยอตดตอกลบมานนผ
ไมหวงดจะตองทำาการบานมา เปนอยางด เพอไมใหเหยอทตดตอกลบมาหานน เกดความสงสย ตวอยางงาย
ๆ ของการหลอกลวงลกษณะนเชน ผไมหวงดแนะนำาเหยอวาหากมปญหากบการใชงานอนเทอรเนต สามารถ
ปรกษากบตนได ซงเมอเวลาผานไปเหยออาจจะตดตอกลบมา ซงจะเปนโอกาสทดของผไมหวงดทจะหลอก
เอาชอผใช และรหสผานของการเขาใชงานอนเทอรเนตของเหยอได
เนองจาก Social Engineering มเหยอเปนบคคล การใหความรความเขาใจในเรอง Social Engineering
จงเปนสงสำาคญ หากมองในมมขององคกรแลว นอกจากจะใหความรความเขาใจกบพนกงาน ยงควรจะตอง
มการกำาหนดนโยบาย และขนตอนการปฏบตงานทชดเจนเพอปองกน Social Engineering [20-6] ไมวา
จะเปนการกำาหนดขนตอนการปฏบตงานของแผนกตาง ๆ เชน Helpdesk ซงควรจะตองมการตรวจสอบ
ขอมลของผสอบถามกอนจะใหขอมล การกำาหนด Password policy ทจะกำาหนดแนวทางการใชงานรหส
ผาน เชน หามจดบนทกรหสผาน หรอ หามใชรหสผานรวมกบผอน การกำาหนดชนความลบของเอกสาร ท
จะทำาใหมการปฏบตตอเอกสารอยางเหมาะสม ไมวาจะเปนการเกบรกษา หรอการทำาลายเอกสาร เปนตน
สำาหรบมมมอง ในระดบบคคลนน สามารถระวงตนจากผไมหวงดได โดยอาศยการเปนคนชางสงสย
และมสต เมอสอสารกบคนแปลกหนาไมวาจะเปนทางโทรศพท ทางอเมล หรอพดคยกนซงหนา ทตองการ
ขอมลสวนบคคล หรอขอมลภายในขององคกร ซงไมวาคนแปลกหนานนจะแสดงตนวาเปนบคคลจากองคกร
ใดกตาม กควรจะมการตรวจสอบกบองคกรนนโดยตรงกอนเสมอ [20-7]
อางอง [20-1] http://www.etda.or.th/etda_website/mains/display/747
[20-2] http://www.sans.org/reading_room/whitepapers/
engineering/social-engineering-manipulating-source_32914
[20-3] http://www.symantec.com/connect/articles/social-engineering-
fundamentals-part-i-hacker-tactics
[20-4] http://www.etda.or.th/etda_website/mains/display/406
[20-5] http://searchsecurity.techtarget.com/definition/shoulder-surfing
[20-6] http://www.sans.org/reading_room/whitepapers/
engineering/social-engineering_1365
[20-7] http://www.us-cert.gov/cas/tips/ST04-014.html
150 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 151
เอกสารเผยแพร
สำ�หรบผเชยวช�ญ
21 SECuRE wEb SERvER
ผเขยน: ไพชยนต วมกตะนนทนวนทเผยแพร: 16 ม.ค. 2555ปรบปรงลาสด: 16 ม.ค. 2555
ทกวนนการท Web server สกเครองหนงทใหบรการบน Internet จะถกโจมตจากผไมประสงคดถอ
เปนเรองปกตธรรมดา จากขอมลของ zone-h.org พบวา เฉพาะการโจมตประเภท Defacement ทมการ
รายงานมาท zone-h.org ในป 2011 และ 2010 มถงเกอบ 1.5 ลานครงในแตละป โดยเพมขนจากปกอน
หนา (2009 ลงไป) เกอบ 3 เทา [21-1] อาจจะดไมมากนกเมอเทยบกบจำานวน Web site ทงหมดทมมากกวา
500 ลานแหง [21-2] ในป 2011 แตตองอยาลมวา zone-h รายงานเฉพาะการโจมตประเภท Defacement
ทมการแจงมาโดยตรงเทานน การโจมตแบบอน (ทอาจรายแรงกวา) หรอการโจมตทไมตองการใหเปนทรบร
ของสาธารณะชน หรอไมไดมการแจงมาโดยตรง กจะไมไดรวมอยใน 1.5 ลานครงน แตไมวาจะมากหรอนอย
ผทอยในแวดวงดานความมนคงปลอดภย หรอผทมหนาทดแลเครองแมขายทงหลาย กคงทราบดกวา ปจจบน
การโจมตเวบไซตนน พบไดเกอบตลอดเวลา เพยงแคดจาก Log file ของเครองแมขายเวบ กอาจจะพบรอง
รอยความพยายามในการโจมตไดอยางไมยากนก ทงนดวยความรวดเรวของการเผยแพรขอมลเกยวกบชองโหว
ใหมๆ และความสามารถของ Google ในการหาเครองแมขายเวบทเปนเปาหมายทมชองโหวนน เชน บรการ
“Google Dork” หรอ “Google Hacking Database: GHDB” ทำาใหผดแลระบบตองพบกบความยงยาก
ในการ คอยตดตามขาวสารเรองชองโหวและหาทางปองกนเครองแมขายเวบทตนดแล อยมานกตอนกแลว
สวนมากจดออนของเครองแมขายเวบ นนไมไดอยทระบบปฏบตของเครองแมขายหรอซอฟตแวรสำาหรบ
ให บรการเวบ (Web Server) แตอยทเวบแอพพลเคชน (Web Application) เปนหลก หากเวบไซตใดม
ขอมลเฉพาะ Static Web page หรอ Flat page [21-3] โดยไมมไฟลสครปต PHP, ASP หรอ Dynamic
content ใดๆ อยเลยกอาจจะเรยกไดวามความเสยงนอยมากทจะถกเจาระบบหรอโจมตได สำาเรจ ซงการ
พฒนาเวบไซตทใชงานเฉพาะ Static web page หรอ Flat page แทบจะเปนไปไมไดเลยในยคทเวบไซต
เปรยบเสมอนชองทางหลกในการทำาธรกจ หรอแมแตการเผยแพรขอมลโดยทวไปกยงมการนำา Web appli-
cation ประเภท CMS เขามาใชเพอความสะดวกในการจดรปแบบเนอหาและใหความสะดวกแกผใชบรการ
ยงหาก Web application เหลานซบซอนเทาไหร กยงมโอกาสทจะพบชองโหวมากขนเทานน และเมอ
152 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 153
Web application มชองโหว กเทากบระบบตางๆททำางานรวมกบเวบไซตมชองโหวดวย ซงอาจจะทำาใหเกด
จดออนกบระบบปฏบตการหรอแมแตเกดจดออนกบ เครองแมขายเครองอนๆ ทอยบนเครอขายเดยวกนได
คงไมมวธการใดทสามารถปองกนการโจมตเวบไซตไดอยางสมบรณ ผเชยวชาญมกจะแนะนำาใหเลอกใช
Web application ทเชอถอได และมการ Update สมำาเสมอ โดยเฉพาะในดานความมนคงปลอดภย แต
อยาลมวาการ Update เหลาน มกจะเกดขนหลงจากทผพฒนาไดพบจดออนทเกดจากการโจมตไดสำาเรจอย
เสมอ หรอถงแมจะยงไมมการพบชองโหวใน Web application ทใชงานอยกตาม ผดแลระบบกควรทราบ
วา แมแตการ Configuration บางรปแบบเพอตอบสนองความตองการของ User กอาจทำาใหเกดชองโหว
ขนมาไดเชนเดยวกน
ดงนนเพอรกษาความมนคงปลอดภยของเวบไซต ทางทมไทยเซรตไดรวบรวมและนำาเสนอแนวปฏบตใน
การดแลเครองบรการเวบ โดยอาศยหลกการ Security in-depth กบพจารณาถงองคประกอบแวดลอมใน
เครองบรการเวบทงหมด โดยไมเจาะจงลงไปในตว Web application เพยงอยางเดยว เพอลดโอกาสหรอ
ลดความรนแรงทจะเกดขนเมอถกโจมต
1. ระมดระวงเรอง Web server Process privilege สวนมาก Web application จะทำางานภายใตสทธ
(User ID) ของโพรเซส Web server ใหลองจนตนาการวา หาก Web application จะทำาอนตราย
ระบบของเรา ดวยสทธทเทยบเทา Web server จะเกดผลอยางไรบาง สวนมากระบบปฏบตการรน
ใหมๆ จะไมคอยให Web server ทำางานในสทธผดแลระบบ (root หรอ Administrator) แลว แต
อาจจะตองตรวจสอบดใหแนใจอกครงเปนรายกรณไป
2. จำากดสทธในการเขยนไฟลของ Web Application Web Application อาจจำาเปนตองเขยนไฟลลง
ใน File system บาง เชนในกรณทมการ Upload ขอมล หรอเขยน Temp แต Web application
ไมจำาเปนตองเขยนขอมลลงในทกๆ Directory ดงนนควรจำากดสทธของ Web application ใหเขยน
ขอมลไดในทๆ จำาเปนตองเขยนเทานน
3. แยกโซนอนตราย พนทหรอ Directory ท Web Application ใชเปนพนทสำาหรบใชงานชวคราว
เชนพนท Upload ขอมลจาก User ใหถอวาเปนพนทอนตราย เนองจากเราไมสามารถรบประกนได
วาขอมลท User ใสเขามาจะเปน Malicious code หรอไม ดงนนการปองกนไมให Execute หรอ
Run ขอมลทอยในพนทอนตรายนจงเปนสงทตองพจารณาดำาเนนการ
4. พจาณาใชงาน Chroot หรอ Jail (FreeBSD) ถาเปนไปได ควร Chroot หรอ Jail Web server
[21-4] เพอปองกนไมให Web application สามารถเขาถงไฟลอนๆบนระบบปฏบตการไดโดยอสระ
การใช MAC (Mandatory Access Control) หรอ RBAC (Role-Based Access Control) เชน
SELinux [21-5], AppArmor [21-6], Tomoyo [21-7] หรอ Grsecurity [21-8] กเปนอกทางเลอก
ทผดแลระบบนาจะพจารณาเลอกใชได
5. ควบคมการใชงาน Script คลายกบขอ 3 แตเปนขอกำาหนดในเชง Web programming คอการ
กำาหนดให Script หรอ Web application code สามารถ Run หรอ Execute ใน Directory ท
กำาหนดไวเทานน เพอลดความเสยงทจะโดนโจมตในโซนพนทอนตรายเชน พนทสำาหรบเกบรปภาพ
ทมโอกาสถกอพโหลดไฟล Malicious code จากผไมประสงคด ประกอบกบการใชชองโหวในการ
เขาโจมตแบบ Remote File Inclusion ทสงให Run ไฟลบน Directory ตางๆได โดยใชหลกการ
Include file
6. จบตาด Error message 404/403 response อาจเปนเรองปกตทพบไดทวไปใน Log ของ Web
server แตถาพบในจำานวนมาก ในระยะเวลาสนๆ อาจแสดงถงความพยายาม Scan หรอ Probe
จากผไมประสงคด แตในปจจบนทมการใช Botnet กนอยางกวางขวาง Request เหลาน อาจจะไม
ไดมาจาก IP เดยวกนกได จงจำาเปนตองระมดระวงในการพจารณาเปนพเศษ
7. ควบคม Web server ในการเรยกขอมลภายนอก Web server ไมควรมความจำาเปนตองเรยกขอมล
จาก Internet โดยตรง หากมความจำาเปนตองดงขอมลมา Update ควรใหทำาผาน Proxy และมการ
ควบคม URL ปลายทางอยางเครงครด และควรมการ Monitor การเรยกขอมลทนอกเหนอจากท
กำาหนดดวย เพราะอาจแสดงใหเหนวาผไมประสงคด สามารถควบคม Web server เอาไวไดแลว
8. Privilege ของ Database user กสำาคญ Web application แตละตว ควรใช User บน Database
ทแตกตางกน เพอความสะดวกในการ Audit และแยกสทธการเขยน/อาน ขอมลดวย ถา Web
application ตวใดไมตอง Update ขอมลใน Database อยาให User ของ Web application นน
มสทธเขยนขอมลเดดขาด และควรจำากดสทธการในระดบ Table ดวยถาเปนไปได วธการนจะชวย
ลดความรนแรงของการโจมตประเภท SQLi (SQL Injection) ได
9. พจารณา Data type ของ Web application parameter การพฒนา Web application ทด ควร
จำากดและตรวจสอบชนดของขอมลทรบสงกบ User ทกครง เชนถาขอมลทจะรบเขามาเปน ID ของ
บทความ กไมควรยอมใหมขอมลอนนอกจาก Digit เขามาใน Parameter นน หรอถาเปน Alpha-
numeric กไมควรใหมสญลกษณเขามาปะปน เปนตน
10. จบตาดการเปลยนแปลง เครองมอสำาหรบตรวจสอบการเปลยนแปลงของไฟลอยาง Tripwire หรอ
AIDE เปนเครองมอทดทจะใชบอกวามสงไมชอบมาพากลขนใน Web server เพราะบางครง ผไม
ประสงคดจะทงโปรแกรมประเภท Backdoor ไวเพอใหสะดวกในการควบคม Web server หรอ
อาจเปนการตดตงโปรแกรมประเภท Trojan หรอ Bot กได แตควรใชอยางระมดระวง เพราะการ
เปลยนแปลงของไฟลในระบบบางอยาง อาจไมไดหมายถงสงผดปกตกได เชน Log หรอ Temp ทม
การเปลยนแปลงอยเปนปกตอยแลว
11. ถอวาขอมลจาก Client เปน Untrusted Script อะไรกตามททำางานในฝง Client เชน Javascript
หรอแมแต Flash หรอ Java ทงหลายเหลานอาจจะถก Compromise ไดไมยาก เพราะฉะนน Web
application ทดไมควรใชวธการตรวจสอบการสงขอมลโดยวธการเหลานเปนอนขาด เชน การใช
154 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 155
Javascript ตรวจสอบขอมลท User ปอนเขามา เพราะผไมประสงคดสามารถ Bypass การตรวจ
สอบนไดอยางงายดายจากโปรแกรมทวไป เชน NoScript [21-9] หรอแมแตสงทรบมาจาก Client
เชนคาจากตวแปรตางๆ กควรสงสยไวกอนวามโอกาสเปนขอมลไมพงประสงคได
12. ควรเลอกใชเครองมอทชำานาญ การเลอกใชเครองมอตางๆ เชน Web server, Web application
platform หรอ CMS ควรเลอกทความคนเคยมากกวาความสวยงามหรอทนสมย เพราะเวลามปญหา
จะสามารถเขาตรวจสอบและแกไขไดงาย และอยาลมวาเครองมอทดกวาหรอใหมกวา ไมไดแปลวาจะ
ไมมโอกาสเกดปญหาเลย หรอในอกมมหนงการใชงานเครองมอทพฒนาขนใหมอาจเหมอนเปนหน
ทดลองสำาหรบการทดสอบผลตภณฑกเปนได ซงจะกอใหเกดปญหาดานความมนคงปลอดภยตามมา
13. พยายามทำาตามมาตรฐาน การเขารหสแบบคดคนเอง การจดการ Session แบบไมมมาตรฐาน หรอ
แมแตการพฒนา Web application ในรปแบบแปลกๆ มกจะเกดปญหาไดงายกวาแบบเดมทนยมใช
กน หลายคนเชออยางผดๆ วาการใชสงทคนทวไปใชกน หรอการใช Opensource/Open Standard
ทเปดโอกาสใหคนเหน Source code หรอ Algorithm อยางเปดเผยนนไมมความมนคงปลอดภย
แตกตองอยาลมวา โปรแกรมเขารหสทยอมรบกนวาปลอดภยทสดในขณะนกเปน Open standard
อย เชน OpenSSL [21-10]
14. ไมควรแสดง Error message ให User เหน ขอผดพลาดของ Web application (Error message)
ทแสดงใหคนอนเหนโดยไมตงใจ ถอเปนเรองทรบไมไดและนาอบอายสำาหรบคนพฒนา Web appli-
cation เพราะแสดงใหถงความไมเปน Professional ซำารายยงกลายเปนผสนบสนนขอมลในการเขา
โจมตเวบไซตจากขอมลทแสดงออกไปอกดวย เชน ขอผดพลาดแสดงทอยของไฟลในระบบ หรอชอ
ของ Database เปนตน เพราะฉะนน Web application ทด ตองไมแสดง Error message ออกมา
ใหเหนเมอเกดความผดพลาด ซงการจดการ Exception ทดในถอเปนอกวธหนงทจะลดปญหาขอน
15. จบตาการ Re-attempt โดยปกตคนทลม Password ยอมไมอดทนใส Password ทผดเปนสบๆ ครง
ตอเนอง เชนเดยวกบคงไมมใครสงคา Parameter ตวเดยวไปเรอยๆ อยางตอเนองเชนกน การ
Re-attempt ในลกษณะน อาจเกดจากเครองมอพเศษทใชหาชองโหวของระบบ (Brute Force)
หรอเครองมอเดา Password มากกวา
16. Web application ตวอนกสำาคญ Web application ทเขยนขนอยางด มความมนคงปลอดภยสง แต
เมอไปอยรวมกบ Web application ทมชองโหว บน Web server ตวเดยวกน ยอมมความเสยงท
เกดขนเทยบเทากน เวนแต Web server จะมการแยก Privilege ระหวาง Web application แตละ
ตวได เชน การใช suEXEC [21-11]
อางอง [21-1] http://www.zone-h.org/stats/ymd
[21-2] http://news.netcraft.com/archives/2011/12/09/december-2011-web-server-
survey.html
[21-3] http://en.wikipedia.org/wiki/Static_web_page
[21-4] http://en.wikipedia.org/wiki/Chroot
[21-5] http://selinuxproject.org/page/Main_Page
[21-6] http://wiki.apparmor.net/index.php/Main_Page
[21-7] http://tomoyo.sourceforge.jp
[21-8] http://grsecurity.net/index.php
[21-9] https://addons.mozilla.org/en-US/firefox/addon/noscript
[21-10] http://www.openssl.org
[21-11] http://httpd.apache.org/docs/2.0/suexec.html
156 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 157
22 SECuRE wEbSiTE ดวยการ
ตรวจสอบขอมลทตดตอกบผใชงาน (inPuT/ouTPuT validaTion)ผเขยน: พรพรหม ประภากตตกลวนทเผยแพร: 16 ม.ค. 2555ปรบปรงลาสด: 16 ม.ค. 2555
ปญหาดานความมนคงปลอดภยของเวบไซตในปจจบน ถกเผยแพรผานบทความและเวบไซตบนโลกอนเทอรเนต
นบครงไมถวน ดวยการโจมตแบบเดมๆ ทยงคงไดผลมาจนถงทกวนนไมใชเพราะเทคโนโลยท ทนสมยขน แต
เปนเพราะการพฒนาเวบไซตทไมมประสทธภาพมากกวา ยกตวอยางในกรณขาวทเกดขนเมอไมนานมานเรอง
“One million pages infected by Lilupophilupop SQL injection” [22-1][22-2] ซงจากการตรวจ
สอบของไทยเซรตพบวามเวบไซตภายใตการจดทะเบยนโดเมนเนมใน ประเทศไทย (.th) ไดรบผลกระทบ
จากกรณดงกลาวไมนอยกวา 1 หมนเวบไซต และจากขอมลทไดจากเวบไซต SANS [22-3] พบวาการโจมต
ดงกลาวเปนการใชเทคนค SQL Injection [22-4][22-5] ซงเปนเทคนคดงเดมทใชในการโจมตเวบไซตตางๆ
มานานแลว แตกยงคงใชไดผลอยกบเวบไซตจำานวนมาก สาเหตหลกๆ ทวเคราะหไดคอเวบไซตจำานวนมาก
ทไมมการรกษาความมนคงปลอดภยทดพอและไมมการตรวจสอบขอมลทตดตอกบผใชงาน จงทำาใหผโจมต
สามารถสงคาอนตรายเขาไปยงเวบไซตไดอยางงายดาย บทความนจะอธบายถงแนวทางการตรวจสอบขอมล
ทตดตอกบผใชงานหรอท เรยกวา Input / Output Validation ซงเปนกระบวนการทมความสำาคญมากตอ
การรกษาความมนคงปลอดภยของ เวบไซตและการปองกนการโจมตดวยเทคนค SQL Injection XSS [22-
6][22-7] โดยหวงวาจะชวยใหเกดการพฒนาเวบไซตทมความมนคงปลอดภยมากยงขนและชวยลดสถตของ
ประเทศไทยในการการถกโจมตจากชองโหวดงกลาวสำาเรจ
Input / Output Validation คออะไร Input Validation เปนการตรวจสอบขอมลทสงมาจากผใชงาน ซงขอมลดงกลาวอาจอยในรปทผใช
งานเหนโดยตรง เชน การลงทะเบยนสมครเปนสมาชกเวบไซต หรอเปนการสงขอมลในตวแปรแบบซอนใน
เวบไซตทมเนอหาแบบไดนามก [22-8] โดยการตรวจสอบขอมลจากผใชงานสามารถเกดขนไดทฝงผใชงาน
โดยตรง เชน ใชวธการตรวจสอบขอมลทสงมาจากผใชงานดวยภาษาจาวาสครปต (Javascript) ททำางาน
ในฝงผใชงาน แตกยงพบวาไมสามารถชวยปองกนการโจมตไดเทาทควรเนองจากผโจมต สามารถหลบเลยง
การตรวจสอบขอมลดวยวธการดงกลาวไดโดยไมยาก หรอใชวธการตรวจสอบขอมลผใชงานททำางานในฝง
ของเวบไซต เพอใหแนใจวาคาทไดมความถกตองกอนสงเขาไปประมวลผลในฟงกชน หลกของเวบไซต ซง
วธการนจะชวยลดความเสยงในการถกเปลยนแปลงฟงกชนการตรวจสอบ ขอมลไดดทสด เนองจากเปน
ซอรสโคดทถกฝงอยในฝงเวบไซต
Output Validation เปนการตรวจสอบขอมลจากการประมวลผลของเวบไซตกอนจะนำาออกมาแสดงผล
ในฝงผใชงาน ซงการตรวจสอบขอมลดงกลาวมความสำาคญไมแพการทำา Input validation โดยจดประสงค
หลกคอเพอปองกนการแสดงผลขอมลทไมเหมาะสม เชน ขอมลบตรเครดตในเวบไซตทมการลงทะเบยนชำาระ
เงนควรจะตองมการปองกน การมองเหนขอมลทงหมดโดยใสสญลกษณทบอกวาเปนการซอนขอมลบางอยาง
เชน สญลกษณ Asterisk (*) [22-9] ขอความแสดงความผดพลาดตางๆ (Error message) ซงอาจจะเปน
ขอมลทเปนประโยชนแกผไมประสงคดในการวางแผนโจมตเวบไซตตอไป หรอ แมแตการแสดงผลเนอหาใน
ลกษณะทอาจมสวนประกอบของสครปตอนตรายทสงผลกบผใชงานบนเวบไซต ซงในกรณนเวบไซตทดควร
จะตองมการแปลงสญลกษณพเศษบางอยางเพอ ไมใหเนอหาทแอบแฝงดวยสครปตอนตรายสามารถทำางาน
ไดโดยอตโนมตใน เวบเบราวเซอรของผใชงาน
ทำ ไมจงตองทำ Input / Output Validation ในทกเวบไซตมโอกาสในการถกโจมตไดเทาเทยมกนทงนน หากผดแลเวบไซตลองตรวจสอบขอมลลอก
ไฟล (Logfile) ของการเรยกใชงานเวบไซต กอาจพบวามการพยายามเรยกหนาเวบไซตอยางผดปกตซำาๆ ใน
ระยะเวลาไลเรยกน นนเปนเพราะผโจมตสวนใหญจะใชวธการสมเรยกเวบไซตโดยการพยายามสงคาอนตราย
ตางๆ ทงทสงคาเปนรายครงเพอทดสอบสมมตฐานบางอยางทใชในการโจมต หรอพฒนาเปนโปรแกรม
อตโนมตเพอโจมตเวบไซต ซงแทจรงแลวการทำา Input / Output Validation ไมไดเปนอะไรทใหม เพยง
แตผพฒนาเวบไซตเองอาจไมเคยสนใจหรอใสใจตอการรกษาความมนคงปลอดภยของเวบไซตเพยงพอหรอ
ในบางรายอาจคดวาไมจำาเปนตองทำา แตถาลองพจารณาถงแนวโนมและผลกระทบทเกดขนจากการถกโจมต
สำาเรจแลว นนคงทำาใหผพฒนาเวบไซตตองกลบมาคดเสยใหม เนองจากปจจบนคงเปนเรองทหลกเลยงยาก
ในการพฒนาเวบไซตตอเทรนดของเวบไซตสมยใหมทตองการใหผใชงานสามารถโตตอบกบเวบไซตไดอยาง
เสร อยางเชนในเวบไซต Facebook และในบางครงอาจจำาเปนตองมการซอขายทำาธรกรรมออนไลนซงหาก
เวบไซตไม ไดมกระบวนการปองกนทดกคงยากทจะทำาใหเวบไซตปลอดภยจากการโจมตและ อาจเปนผลให
เวบไซตหมดความนาเชอถอไปในทสด
158 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 159
ปญหาของการทำ Input / Output Validation ผพฒนาเวบไซตไมมความตระหนกถงความมนคงปลอดภยของเวบไซต ทำาใหไมมการวางแผนหรอการ
คาดการณในเรองของการปองกนการโจมตในรปแบบตางๆ
ผพฒนาเวบไซตไมมความรและความเขาใจถงการทำา Input / Output Validation อยางถกตอง สง
ผลทำาใหเวบไซตยงคงมชองโหวในการโจมต
ผพฒนาเวบไซตไมตองการปรบปรงเวบไซตเพอการทำา Input / Output Validation เนองจากทำาให
เกดความยงยากในการตรวจสอบขอมลทสงมาจากผใชงานซง มอยเปนจำานวนมาก
ในบางเวบไซตทเปนการจางพฒนาจากบรษทภายนอก การทำา Input / Output Validation หรอ
ปรบปรงเวบไซตจะทำาใหมคาใชจายเพมเตม สงผลทำาใหอาจไมไดรบการดแลหรอสงเสรม
ผพฒนาเวบไซตใชซอรฟแวรบรหารจดการเวบไซตเนอหาบนเวบไซต (CMS) ซงอาจไมมโมดลการทำา
Input / Output Validation สงผลใหเวบไซตมความเสยงตอการถกโจมต
ขอแนะนำ ในการทำ Input / Output Validation ไทยเซรตไดรวบรวมขอมลขอแนะนำาในการทำา Input / Output Validation โดยขอมลสวนใหญเปน
ขอมลทรวบรวมมาจากเวบไซตของ OWASP [22-10] ซงเปนเวบไซตทใหขอมลเกยวกบการพฒนาเวบไซต
ใหมความมนคงปลอดภยตามขอมลดงตอไปน
1. อยากลวการเปลยนแปลง ในเวบไซตทมการพฒนาขนแลวและมความคดทจะปรบปรงเวบไซตใหม
กระบวนการตรวจสอบขอมลทตดตอกบผใชงาน นบวาเปนความคดทมาถกทางแลวในการปองกน
ไมใหเกดความเสยหายตอเวบไซต เพยงแตการเปลยนแปลงทกลาวอาจมการวางแผนทด และอาศย
ความละเอยดรอบคอบในการดำาเนนการ ซงจะชวยลดเวลาและความผดพลาดทเกดขนได
2. ไมควรใชจาวาสครปตซงทำางานในฝงผใชงานเปนองคประกอบหลกในการตรวจสอบขอมลทสงมาจาก
ผใชงาน โดยหากมการใชงานจาวาสครปตในกรณดงกลาว ควรตองมการตรวจสอบรวมกบซอรสโคด
ทมการประมวลผลในฝงเวบไซตดวย เพอปองกนการเปลยนแปลงกระบวนการตรวจสอบขอมลในฝง
ผใชงาน
3. การทำา Input / Output Validation จะตองทำาในทกๆสวนทมการตดตอกบผใชงานบนเวบไซต ตอง
ไมสมทำาเพยงสวนใดสวนหนง เพราะหากยกเวนหรอลมการตรวจสอบไมวาจะสวนใดกตาม นนหมาย
ถงการเปดโอกาสใหผโจมตสามารถมโอกาสโจมตเวบไซตไดสำาเรจ
4. ควรมการกำาหนดขอบเขตของตวแปรและประเภทของตวแปรทใชในเวบไซตทงหมด เชนตวแปร A
เปนขอมลประเภท Text ตวแปร B เปนขอมลประเภท Number เพอใชเปนขอมลตงตนสำาหรบการ
พฒนาฟงกชนการตรวจสอบขอมลจากผ ใชงาน โดยฟงกชนทพฒนาขนจะตองไมประมวลผลตวแปร
ทไมอยในขอบเขตทกำาหนดไว
5. ควรมการกำาหนดและตรวจสอบรปแบบของขอมลทอนญาต (Whitelist) และขอมลทไมอนญาต
(Blacklist) ใหประมวลผลบนเวบไซต โดยอางองจากขอมลในแตละตวแปรวามจดประสงคจะใหใส
ขอมลใดบาง เชน ขอมลอเมล ควรจะมการตรวจสอบรปแบบของขอมลเฉพาะทแสดงใหรวาขอมลท
สงมาจาก ผใชงานเปนรปแบบของอเมลจรง เพอไมใหเกดขอผดพลาดในการรบคาผดรปแบบเขามา
ประมวลผลในเวบไซต หรอกรณทตวแปรมขอบเขตหรอรปแบบการรบคาจากผใชงานทเปดกวางไม ม
รปแบบทแนนอน เชน ขอมลจากหนากระดานสนทนา ซงเปดใหรบขอมลแบบอสระและมความสม
เสยงทผโจมตจะสงคา อนตรายเขามาโจมตยงเวบไซต เพราะฉะนนควรมการพจารณาคาบางประเภท
เชน “<script>” โดยไมควรใหสามารถสงคาเขามาประมวลผลยงเวบไซตได
6. ควรมการกำาหนดและตรวจสอบความยาวของขอมลในแตละตวแปร เพอตรวจสอบความผดปกตใน
การสงคาจากผใชงานเขามาประมวลผลยงเวบไซต เนองจากการสงคาอนตรายในบางครงจำาเปนตอง
พมพจำานวนมาก
7. ควรมการพฒนาฟงกชนการเขารหสขอมลหรอทเรยกวา Encoding เพอใชงานควบคไปกบการตรวจ
สอบขอมลทสงมาจากผใชงาน โดยจะชวยลดความเสยงทผโจมตจะโจมตโดยการแอบสงคาทเปน
สครปต อนตรายเขามาประมวลผลยงเวบไซตไดสำาเรจ
8. ในกรณทเวบไซตมฟงกชนการอพโหลดไฟล ควรมการกำาหนดและตรวจสอบประเภทของไฟลทอน
ญาตใหสามารถอพโหลดเขาไปประมวลผลยงเวบไซตได ซงสามารถตรวจสอบจากนามสกลบนชอ
ไฟลรวมกบขอมลทเวบไซตแสดงจากรายละเอยดของไฟล หรอในบางครงอาจจำาเปนตองใชงานฟง
กชนหรอไลบรารเสรมในการตรวจสอบ ประเภทของไฟล เพอชวยยนยนความถกตองอกครงหนง เชน
ฟงกชน fileinfo [22-11] ในภาษา PHP โดยจะชวยลดความเสยงทผโจมตจะอพโหลดไฟลสครปต
อนตราย เชน Web shell [22-12][22-13] ขนไปประมวลผลยงเวบไซตไดสำาเรจ
9. ควรใชงานกลไกการปองกนการโจมตจากโปรแกรมอตโนมตหรอบอททพยายามสมคาอนตรายมายง
เวบไซต โดยตวอยางของกลไลทไดรบความนยมในปจจบน เชน Captcha [22-14] ถกออกแบบมา
เพอใชยนยนวาขอมลทถกสงมาเปนขอมลจากผใชงานทเปนมนษย
10. ควรปดการแสดงผลขอมลขอผดพลาดของเวบไซต (Error Message) ในทกๆกรณ เชน การแสดงขอ
ผดพลาดของเวบไซตทบงบอกวาไมสามารถเชอมตอฐานขอมลได โดยการปดการแสดงผลดงกลาว
เพอลดโอกาสทจะทำาใหผไมหวงดสามารถนำาขอมลดงกลาวไปใชวางแผนโจมต เวบไซตตอไปได
11. ควรเลอกใชขอความแสดงความผดพลาดของการกรอกขอมลทเปนกลาง ยกตวอยางกรณของการก
รอกแบบฟอรมลอกอนเขาสระบบ ซงผใชงานไดสงคา username ทผดพลาด ไปยงเวบไซต จากนน
เวบไซตไดแสดงผลลพธของการลอกอนวา “ไมพบ username นในฐานขอมลเวบไซต” ซงจากกรณ
160 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 161
ดงกลาวถอเปนการแสดงผลลพธทไมเหมาะสม เนองจากมโอกาสเสยงสงททำาใหผไมหวงดสามารถ
ตความจากผลลพธได โดยตรง และทำาใหผโจมตสามารถวางแผนการโจมตเวบไซตไดอยางงายดาย
โดยขอแนะนำาสำาหรบกรณดงกลาวควรจะตองแจงวา “username หรอ password ของทานผด
พลาด”
12. ใชไลบรารภายนอกทมความสามารถในการตรวจสอบขอมลทตดตอกบจากผใชงาน ซงจะชวยลดเวลา
และความผดพลาดในการพฒนาฟงกชนการตรวจสอบขอมลดวยตนเอง โดยมไลบรารตวอยางทชอ
วา ESAPI จากเวบไซต OWASP ซงมขอดทสนบสนนการทำางานในหลากหลายภาษาเชน PHP ASP.
NET JAVA PYTHON และผใชงานสามารถศกษาวธการใชงานจากเวบไซตผพฒนาไดโดยตรง [22-15]
อางอง [22-1] http://thehackernews.com/2012/01/one-million-pages-infected-by.html
[22-2] http://isc.sans.org/diary/Lilupophilupop+tops+
1million+infected+pages/12304
[22-3] http://www.sans.org/
[22-4] http://www.unixwiz.net/techtips/sql-injection.html
[22-5] https://www.owasp.org/index.php/SQL_Injection
[22-6] http://www.acunetix.com/websitesecurity/xss.htm
[22-7] https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
[22-8] http://en.wikipedia.org/wiki/Dynamic_web_page
[22-9] https://www.owasp.org/index.php/Output_Validation
[22-10] http://www.owasp.com/index.php/Data_Validation
[22-11] http://php.net/manual/en/book.fileinfo.php
[22-12] http://www.thisislegal.com/tutorials/2
[22-13] http://www.madirish.net/node/271
[22-14] http://www.captcha.net/
[22-15] https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
23 รทนและปองกน MalwaRE
ในระบบปฏบตการ andRoidผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 24 ม.ค. 2555ปรบปรงลาสด: 24 ม.ค. 2555
ในยคแหงการตดตอสอสาร คงไมอาจปฏเสธไดวาการใชงานโทรศพทมอถอนนเปนสงจำาเปน เนองจาก
ความกาวหนาทางเทคโนโลย ทำาใหระบบปฏบตการในโทรศพทมอถอนนสามารถทำางานหลายอยางไดเทยบ
เทา กบคอมพวเตอรทวไป โดยเฉพาะโทรศพทมอถอ Smartphone [23-1] นน นอกจากจะใชเปนโทรศพท
ไดแลวยงสามารถตดตงโปรแกรมเพมเตมเพอให สามารถทำางานในสวนอนๆ ไดอกดวย เชน เชอมตอกบเครอ
ขายสงคมออนไลน หรอทำาธรกรรมทางอเลกทรอนกส เปนตน แตการอนญาตใหผใชตดตงโปรแกรมเพมเตม
ได กเปนการเปดโอกาสใหผไมหวงดพฒนาโปรแกรมไมพงประสงค (Malware) เพอเขามาโจมตโทรศพทมอ
ถอของผใชไดเชนกน
ระบบปฏบตการ ในโทรศพทมอถอในปจจบนมอยหลากหลาย ไมวาจะเปน Apple iOS, Microsoft
Windows Phone, BlackBerry OS, Symbian หรอ Android แตระบบปฏบตการทไดรบความนยมสงสด
และมสวนแบงในตลาดมากทสดใน ปจจบนนคอ Android จากขอมลของ Gartner ซงเปนบรษททวจยเกยว
กบเทคโนโลย พบวาในเดอนพฤศจกายน พ.ศ. 2554 ระบบปฏบตการ Android มสวนแบงในตลาดถง 52.5%
[23-2] นนเทากบวา ครงหนงของผใชโทรศพทมอถอทวโลกใชระบบปฏบตการ Android
ในปจจบนระบบปฏบตการ Android ถกพฒนาโดย Google โดยมพนฐานมาจากระบบปฏบตการ
Linux [23-3] Android ออกเวอรชน 1.0 ในป พ.ศ. 2551 ปจจบนพฒนามาถงเวอรชน 4.0 ซงมชอทางการ
วา Ice Cream Sandwich [23-4] ในตอนแรกนนระบบปฏบตการ Android ถกพฒนามาเพอใชในโทรศพท
มอถอเพยงอยางเดยว จนกระทงเวอรชน 3.0 หรอทมชอทางการวา Honeycomb ไดถกพฒนาใหใชงานได
กบแทบเลต (Tablet) ดวย เนองจาก Google แจกจายระบบปฏบตการ Android ในรปแบบของโอเพนซอรส
(Open Source) ทำาใหผผลตสามารถนำาระบบปฏบตการ Android ไปพฒนาลงในอปกรณของตนเอง เชน
โทรศพทมอถอ หรอ แทบเลต ไดโดยไมเสยคาใชจาย ดงนนเราจงพบการใชงานอปกรณทมการตดตงระบบ
ปฎบตการ Android อยเปนจำานวนมาก โดยมราคาแตกตางกนไปตามคณสมบตของตวอปกรณ
162 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 163
เนองจากความนยมของระบบปฏบตการ Android จงมผพฒนา Malware ออกมาเผยแพรเปนจำานวน
มาก จากแตกอนทมการเผยแพรผานไฟล .apk (ไฟลสำาหรบตดตงโปรแกรมของ Android) เพยงอยางเดยว
แตในปจจบนนพบวา ใน Android Market ทเปนรปแบบหลกในการเผยแพรโปรแกรมของระบบปฏบต
การ Android ซงดแลโดย Google นนพบวาไมมการตรวจสอบโปรแกรมทผพฒนาสงเขามา ทำาใหมการสง
Malware เขามาใน Android Market อยบอยครง [23-5] และจากขอมลของ Juniper Networks Global
Threat Center พบวา ตงแตเดอนกรกฎาคมถงเดอนพฤศจกายน 2554 อตราการเพมขนของ Malware ใน
ระบบปฏบตการ Android มถง 472% [23-6] จากความเสยงดงกลาว ผใชอปกรณทตดตงระบบปฏบตการ
Android จงควรศกษาวธการตดตงโปรแกรมและปรบการใชงานใหเหมาะสม เพอเปนการปองกน Malware
ไมใหตดโทรศพทมอถอหรอแทบเลตของตนเอง
การตดตงโปรแกรมในระบบปฏบตการ Androidโดยปกตแลว การตดตงโปรแกรมในระบบปฏบตการ Android สามารถทำาได 2 ทาง คอ ตดตงจาก
Android Market และดาวนโหลดไฟล .apk มาตดตงเอง ซงแตละแบบมวธการดงน
ตดตงจาก Android Market
Android Market คอศนยรวมโปรแกรมของระบบปฏบตการ Android ท Google เปดใหผใชสามารถ
เขามาคนหาและดาวนโหลดโปรแกรมทมาจากผพฒนาภายนอก ไดผานทางเวบไซต https://market.android.
com/ หรอเขาจากโปรแกรม Market ในโทรศพทมอถอ หากผใชตองการตดตงโปรแกรมใดๆ กสามารถคลก
ทปม Install หรอ Purchase ทอยใตชอของโปรแกรมนนๆ หลงจากเลอกอปกรณทตองการตดตงโปรแกรม
แลว หากผใชเชอมตออปกรณดงกลาวเขากบอนเทอรเนต โปรแกรมทเลอกกจะถกดาวนโหลดและตดตง
ลงในอปกรณดงกลาวใหโดยอตโนมต ตวอยางหนาจอเวบไซต Android Market เปนดงรปท 116 (23-1)
รปท 116 (23-1) เวบไซต Android Market
ตดตงจากไฟล .apk
ไฟล .apk เปนไฟลทใชสำาหรบตดตงโปรแกรมของระบบปฏบตการ Android ซงผใชอาจดาวนโหลดมา
จากเวบไซตของผพฒนาโปรแกรมเอง หรอดาวนโหลดมาจากเวบไซตทแจกโปรแกรมละเมดลขสทธ โดยปกต
แลวระบบปฏบตการ Android จะรองรบการตดตงโปรแกรมอนๆ ทไมไดอยใน Android Market ได โดยผ
ใชตองมากำาหนดคาจากเมน Setting เลอก Applications แลวเลอก Unknown sources เพอยอมรบการ
ตดตงโปรแกรมทไมรแหลงทมา ดงรปท 117 (23-2)
รปท 117 (23-2) การยอมรบการตดตงโปรแกรมทไมรแหลงทมา
ผใชสามารถใชโปรแกรมประเภท File Manager เพอทำาการตดตงโปรแกรมจากไฟล .apk ทดาวนโหลด
มาได แตไมวาจะเปนการตดตงโปรแกรมจาก Android Market หรอจากไฟล .apk ระบบปฏบตการ Android
จะแสดงหนาจอ Permission เพอใหผใชตรวจสอบและยอมรบสทธการเขาถงของโปรแกรมทจะตดตง ดงรป
ท 118 (23-3) โดยรายละเอยดของ Permission จะกลาวถงในหวขอถดไป
รปท 118 (23-3) ตวอยางหนาจอ Permission เมอทำาการตดตงโปรแกรมจากเวบไซต Android Market
164 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 165
Permission ใน Android คออะไรระบบปฏบตการ Android นนถกออกแบบมาใหมความมนคงปลอดภยตงแตแรก โปรแกรมทกตวใน
ระบบจะสามารถเขาถงไดแคคณสมบตพนฐานของระบบ เชน สวนตดตอกบผใช การแสดงผลทางหนาจอ
เปนตน หากผพฒนาตองการใหโปรแกรมของตนมการเรยกใชคณสมบตพเศษเพมเตมจากระบบปฏบตการ
เชน อานขอมลบญชผใช หรอเขยนขอมลใน SD Card กจำาเปนตองเพมสวนทเปนการขอใชสทธ (Permission)
ดงกลาวในโปรแกรมของตนดวย [23-7] [23-8] [23-9] ซงรายการสทธทงหมดทโปรแกรมตองการใชงานนน
จะปรากฏตงแตแรกตอนผใชตดตงโปรแกรม ดงรปท 119 (23-4) เพอใหผใชไดรบทราบและพจารณาการ
ทำางานของโปรแกรมกอนทำาการตดตง
รปท 119 (23-4) ตวอยางการขอ Permission ในการตดตงโปรแกรม
ตวอยาง Permission ทควรพจารณากอนทำาการตดตงโปรแกรม มดงน [23-10]
• Services that cost you money
o Make phone calls
§ อนญาตใหโปรแกรมโทรออกได
• Send SMS or MMS
o อนญาตใหโปรแกรมสง SMS หรอ MMS ได
• Storage
o Modify/delete SD card contents
§ อนญาตใหโปรแกรมสราง แกไข หรอลบขอมลทอยใน SD Card ได ซงจำาเปนในบาง
โปรแกรม เพราะตองเกบขอมลลงใน SD Card
• Your personal information
o Read contact data, write contact data
§ อนญาตใหโปรแกรมอานหรอสรางรายชอผตดตอในสมดโทรศพทได
o Read calendar data, write calendar data
§ อนญาตใหโปรแกรมอานขอมลหรอสรางกำาหนดการใหปฏทนได
o Read/write Browser history and bookmarks
§ อนญาตใหโปรแกรมดขอมลเวบไซตทผใชเคยเขาหรอด Bookmark ได
o Read logs / Read sensitive logs
§ อนญาตใหโปรแกรมสามารถอาน log ของโปรแกรมอนหรอ log ของระบบได ซงโดย
ปกตแลวโปรแกรมทใช Permission นมแคโปรแกรมของ Google
• Phone calls
o Read phone state and identity
§ อนญาตใหโปรแกรมอานหมายเลข IMEI และ IMSI ของเครอง
• Your location
o Fine (GPS) location
§ อนญาตใหโปรแกรมตรวจสอบตำาแหนงทอยของผใชจาก GPS
o Coarse (network-based) location
§ อนญาตใหโปรแกรมตรวจสอบตำาแหนงทอยของผใชจากผใหบรการโทรศพท
• Network Communication
o Create Bluetooth connection
§ อนญาตใหโปรแกรมสรางการเชอมตอผาน Bluetooth จำาเปนตองใชในโปรแกรมทใช
ในการรบสงไฟลหรอเชอมตอหฟงไรสาย
o Full internet access
§ อนญาตใหโปรแกรมเชอมตอกบอนเทอรเนต
o View network state / Wi-Fi state
§ อนญาตใหโปรแกรมตรวจสอบวาผใชเชอมตออนเทอรเนตผาน Data หรอ Wi-Fi
• Your accounts
o Discover Known Accounts
§ อนญาตใหโปรแกรมสามารถอาน Username ของผใชได (เฉพาะ Username ไมรวม
Password)
o Manage Accounts
§ อนญาตใหโปรแกรมสราง Account ใหมเพมในระบบได ซงจำาเปนตองใชในโปรแกรม
ประเภท Social media
o Use Credentials
§ อนญาตใหโปรแกรมเขาถง User account ของผใช ซงรวมถง Username และ
Password
166 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 167
• Your messages
o Read/modify Gmail
§ อนญาตใหโปรแกรมสามารถเขาถงบญช Gmail ของผใชได
• System tools
o Install Packages
§ อนญาตใหโปรแกรมสามารถตดตงโปรแกรมอนเพมเตมได โปรแกรมโดยทวไปไมควร
รองขอสทธน ยกเวนจะเปนโปรแกรมประเภท Market หากไมใช ใหสงสยไวกอนวา
โปรแกรมนนอาจจะเปน Malware
o Prevent phone from sleeping
§ อนญาตใหโปรแกรมปองกนไมใหเครองเขาสสถานะ Sleep หากผใชไมไดทำาอะไรกบ
เครองตามระยะเวลาทกำาหนด ความสามารถนอาจถกใชในโปรแกรมบางประเภท เชน
โปรแกรมเลนวดโอ
o Modify global system settings
§ อนญาตใหโปรแกรมแกไขคาของระบบ ซงจำาเปนตองใชในบางโปรแกรมเทานน เชน
Widget หรอโปรแกรมปรบแตงระบบ
o Read sync settings
§ อนญาตใหโปรแกรมตรวจสอบวาผใชเปดการ Synchronize ขอมลใหกบโปรแกรมท
ทำางานอยเบองหลง (เชน Facebook, Gmail) หรอเปลา
o Restart other applications
§ อนญาตใหโปรแกรมทำาการ Restart โปรแกรมอนหรอเปลา
o Retrieve running applications
§ อนญาตใหโปรแกรมตรวจสอบรายชอของโปรแกรมทกำาลงทำางานอย โดยทวไปจะใช
กบโปรแกรมประเภท Task killer
o Automatically start at boot
§ อนญาตใหโปรแกรมเรมทำางานโดยอตโนมตทกครงทเปดเครอง
• Hardware controls
o Control Vibrator
§ อนญาตใหโปรแกรมทำาใหเครองสนได ซงจำาเปนตองใชในบางโปรแกรม เชน ทำาใหเครอง
สนเมอมสายเขาหรอแจงเตอนกำาหนดการ
o Take Pictures & Video
§ อนญาตใหโปรแกรมสามารถถายรปหรอวดโอได
จะเหนไดวา Permission บางอยางอาจถกผไมหวงดนำาไปใชในทางทผดได เชน สราง Malware เพอ
แอบอานขอมลรายชอผตดตอของผใช แอบถายรปผใช รวมถงแอบสงขอมลของผใชงานผานอนเทอรเนตกลบ
ไปใหผพฒนา Malware เปนตน Malware ทถกสรางมาเพอขโมยขอมล อาจมาในรปของโปรแกรมธรรมดา
เชน เครองคดเลข แตมความตองการ Permission ทไมนาจะเกยวของกบการทำางานของโปรแกรม เชน เขา
ถงขอมลรายชอผตดตอ เขาถงกลองถายรป หรอเชอมตอกบอนเทอรเนต เปนตน ดงนนกอนทำาการตดตง
โปรแกรมทกครงควรตรวจสอบใหแนใจวาโปรแกรมนน ไมไดมการขอใชสทธเกนความจำาเปน
หากผใชตองการตรวจสอบวา โปรแกรมทตดตงไปแลวนน มการขอ Permission อะไรบาง สามารถ
ทำาไดดวยการเขาไปทเมน Settings เลอก Applications แลวเลอก Manage applications จากนนจะ
ปรากฏรายชอโปรแกรมทตดตงในระบบ ซงสามารถเลอกดรายละเอยด Permission ของแตละโปรแกรมได
หากโปรแกรมทไดตดตงไปแลว แจงใหทำาการ Update แบบ Manual update หมายความวาทางผ
พฒนามการปรบเปลยน Permission บางอยางจากเวอรชนกอนหนา กอนทำาการตดตงโปรแกรมเวอรชน
ใหมควรตรวจสอบ Permission เพอความแนใจอกครงหนง
อนตรายและการปองกนภยจาก Malwareจากเหตการณทผานมา พบวาผพฒนา Malware ในระบบปฏบตการ Android โดยสวนใหญจะใช
วธการสรางโปรแกรมทดเหมอนจะไมมอนตรายแตแอบแฝง โคดอนตรายมาดวย ซงหากผใชไมตรวจสอบ
Permission ใหดกอนทำาการตดตงโปรแกรม กจะตกเปนเหยอของ Malware ไดโดยงาย นอกจากน ผ
พฒนา Malware สวนใหญจะใชวธการหลอกลวงแบบวศวกรรมทางสงคม (Social engineering) รวมดวย
เชน สรางโปรแกรมโดยตงชอใหเหมอนกบเปนเวอรชนฟรของโปรแกรมทตองเสย เงนซอ เพอหลอกใหคน
ดาวนโหลดไปตดตง เปนตน [23-11]
กอนหนาน Malware ในระบบปฏบตการ Android โดยสวนใหญจะเนนไปในดานการขโมยขอมล
เนองจากผใชอาจมการเกบขอมลสำาคญทเปนความลบ เชน บญชธนาคารหรอไฟลเอกสารสำาคญ ไวในโทรศพท
มอถอ ตวอยาง Malware ทโจมตดวยวธนคอโทรจนชอ Antammi ซงหลอกวาเปนโปรแกรมทเอาไวสำาหรบ
ดาวนโหลดเสยงเรยกเขา (Ringtone) [23-12] แตในปจจบน Malware ในระบบปฏบตการ Android ไดถก
พฒนาใหสามารถทำางานไดหลากหลายและสรางความเสยหายไดมากขน ตวอยางเชน Zitmo ทถกพฒนามา
จาก Zeus ซงเปนโทรจนใน PC โดยทำาหนาทเปน Man-in-the-Middle คอยดกรบและแกไขขอมลการใช
งาน e-Banking ของผใช [23-13] และลาสด Kaspersky Labs ไดคนพบ Malware ตวใหมททำาหนาทเปน
IRC Bot [23-14] ซงเปดโอกาสใหผโจมตเขามาควบคมเครองของผใชจากระยะไกลได ถงแมวาปจจบนนจะ
มโปรแกรม Antivirus สำาหรบระบบปฏบตการ Android ออกมามากมาย แตจากผลการทดสอบของสำานก
วจยหลายแหงพบวาการตดตงโปรแกรม Antivirus ในระบบนนไมสามารถชวยในการตรวจจบ Malware
ไดมากเทาไหรนก แตกลบทำาใหเครองทำางานชาลงและทำาใหสนเปลองพลงงานมากขน [23-15] [23-16]
เนองจากจดออนของ Android Market ทไมมมาตรการตรวจสอบโปรแกรมกอนปลอยใหดาวนโหลด
มเพยงแคการ แจงลบโปรแกรมทไมเหมาะสม และระบบปฏบตการ Android อนญาตใหผใชตดตงโปรแกรม
ทอยในรปแบบของไฟล .apk ได ทำาใหผใชตองระมดระวงตนเองในการใชงาน เชน ตรวจสอบเวบไซตของผ
พฒนา พจารณาจากผลการ Review ทนาเชอถอกอนทำาการตดตงโปรแกรมใดๆ รวมถงไมตดตงโปรแกรม
168 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 169
ละเมดลขสทธหรอโปรแกรมทมาจากแหลงทไมนา เชอถอ เชน เวบไซตสำาหรบฝากไฟล เนองจากอาจม
Malware แอบแฝงมาได หากสงสยวาระบบตด Malware ผใชอาจจะสามารถตรวจสอบเบองตนไดโดยการ
ดบนทกของระบบ เชน บนทกการโทรออก หรอบนทกการใชงาน Mobile data เปนตน
อางอง[23-1] http://en.wikipedia.org/wiki/Smartphone
[23-2] http://www.gartner.com/it/page.jsp?id=1848514
[23-3] http://developer.android.com/guide/basics/what-is-android.html
[23-4] http://www.android.com/about/ice-cream-sandwich/
[23-5] http://www.droid-life.com/2011/03/02/droiddream-malware-enters-official-
android-market-chaos-ensues-after-root-exploit-found-embedded
[23-6] http://globalthreatcenter.com/?p=2492
[23-7] http://source.android.com/tech/security/index.html
[23-8] http://developer.android.com/guide/topics/security/
security.html
[23-9] http://www.vogella.de/articles/Android/article.html#
overview_permissions
[23-10] http://alostpacket.com/2010/02/20/how-to-be-safe-find-trusted-apps-avoid-
viruses/
[23-11] http://www.androidpolice.com/2011/11/05/psa-no-this-is-not-msn-2012-
angry-birds-2-or-modern-warfare-for-android-what-you-can-do-if-you-see-
malware-in-the-market/
[23-12] http://www.net-security.org/malware_news.php?id=1889
[23-13] http://blog.fortinet.com/zitmo-hits-android/
[23-14] http://www.androidpolice.com/2012/01/13/first-irc-bot-for-android-shows-
up-allows-full-remote-control-of-your-device/
[23-15] http://www.zdnetasia.com/android-antivirus-freeware-near-to-
useless-62302868.htm
[23-16] http://news.cnet.com/8301-1009_3-57325078-83/free-android-antivirus-apps-
fail-to-cut-it/
24 เสรมความมนคงปลอดภยใหกบ
ซอฟตแวรดวย EMETผเขยน: วศลย ประสงคสขวนทเผยแพร: 2 ม.ค. 2555ปรบปรงลาสด: 2 ม.ค. 2555
ปญหาหนงของผใชงานคอมพวเตอรในยคทเทคโนโลยมความเจรญกาวหนาอยางรวดเรว คอ ผใชไม
สามารถตดตามขาวสารและแกไขชองโหวของซอฟตแวรทใชงานไดอยางทนทวงท นอกจากนในฝงของผ
พฒนาเอง บางครงถงแมจะรวาซอฟตแวรทตนพฒนามชองโหว กยงไมสามารถแกไขชองโหวเหลานนไดทนท
เนองจากจะตองมการทดสอบใหแนใจวา การแกปญหานนไมสงผลกระทบกบการทำางานปรกตของซอฟตแวร
แลวในชวงเวลาเชนนผใชจะปองกนตนเองไดอยางไร
โปรแกรม Enhanced Mitigation Experience Toolkit หรอ EMET เปนทางเลอกหนงสำาหรบผใช
งานระบบปฏบตการ Windows เนองจากการทำางานภายใน EMET ประกอบไปดวยเทคโนโลยตาง ๆ ทม
คณสมบตเรยกวา Mitigation Technology โดยจะทำาหนาทขดขวางการทำางานทผดปรกต จงสามารถชวย
ลดโอกาสของผไมหวงดในการโจมตผใชงานระบบปฏบตการ Windows ไดสำาเรจ ซงจากขอมลของ EMET
ไดระบถงรายละเอยดของเทคนค Mitigation Technology ตาง ๆ โดยจะอธบายในหวขอถดไป
ปจจบน EMET พฒนามาถงเวอรชน 2.1 โดยผใชสามารถใชงานไดทงในรปแบบ Graphic User
Interface (GUI) และแบบ Command-line Interface (CLI) ผใชสามารถดาวนโหลด EMET ไปตดตงได
ดวยตนเองจาก เวบไซตของ Microsoft โปรแกรม EMET สามารถทำางานไดบนระบบปฏบตการดงตอไปน
• Windows XP ทตดตง Service Pack 3 หรอเวอรชนใหมกวา
• Windows Vista ทตดตง Service Pack 1 หรอเวอรชนใหมกวา
• Windows 7 ทกเวอรชน
• Windows Server 2003 หรอเวอรชนใหมกวา
• Windows Server 2008 ทกเวอรชน
* หมายเหต การใชงาน EMET ในรปแบบ GUI ผใชจำาเปนตองตดตง .NET Framework 2.0 หรอใหมกวา
170 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 171
Mitigation TechnologyMitigation Technology ทเกยวของกบ Microsoft จะหมายถงเทคโนโลยททาง Microsoft พฒนาขน
มาเอง โดยมวตถประสงคเพอเพมความมนคงปลอดภยใหกบระบบปฎบตการ ซงโดยสวนใหญมกจะอพเดท
เทคโนโลยดงกลาวเขามารวมกบ Windows เวอรชนใหมหรอเวอรชนลาสด ณ ชวงเวลานน แตขอเสยคอ
เทคโนโลยดงกลาวจะสามารถตรวจสอบและปองกนไดเพยงโปรแกรม ทตดตงมาพรอมกบระบบปฎบตการ
เทานน ซงในโปรแกรม EMET ทมหลกการทำางานของ Mitigation Technology อยแลวนน ผใชสามารถ
กำาหนดใหใช Mitigation Technology กบโปรแกรมอน ๆ ทตดตงเพมเตมภายหลงได จงทำาใหระบบมความ
มนคงปลอดภยมากยงขน โดย Mitigation Technology ทมในโปรแกรม EMET เวอรชน 2.1 มดงตอไปน
1. Structure Exception Handler Overwriter Protection [24-1] [24-9]
SEHOP จะตรวจสอบการทำางานของ Structure Exception Handler (SEH) ซงเปนสวนททำาหนาท
จดการกบขอผดพลาดทเกดขนในระหวางการประมวล ผล (Exception Handlind) โดยจะปองกนไมใหม
การนำาคำาสงอนตรายเขามาประมวลผลในระหวางการจดการ Exception ทำาใหการโจมตโดยใชวธ Stack
Overflow ทำาไดยากขน
2. Dynamic Data Execution Prevention [24-2] [24-9]
DEP จะเปนการตรวจสอบการใชงานหนวยความจำา โดยจะปองกนไมใหมการนำาคาในตำาแหนงของ
หนวยความจำาทมไวสำาหรบเกบขอมลไปประมวลผล ทำาใหการโจมตดวยวธ Buffer Overflow ทำาไดยากขน
3. Heap Spray Allocation [24-3] [24-9]
HSA จะเปนการจองพนทในหนวยความจำาในสวนของ Heap ใหกบโพรเซสนนๆ ไวลวงหนา เพอทำาให
การโจมตโดยวธ Heap spray ทำาไดยากขน
4. Null Page Allocation [24-3] [24-9]
NPA ชวยใหการโจมตโดยใชเทคนค Null Dereference ทำาไดยากขน (Null Dereference คอการ
ใช Pointer กำาหนดคา Null ใหกบหนวยความจำา ทำาใหโพรเซสไมสามารถทำางานตอได) ปจจบนยงไมพบ
การโจมตดวยวธน
5. Address Space Layout Randomization [24-5] [24-9]
ASLR จะสลบตำาแหนง (Shuffle) โมดลในแตละสวนของโปรแกรม แลวสมตำาแหนงของหนวยความจำา
ทจะเกบโมดลนนไว กอนจะโหลดโปรแกรมเขาไปในหนวยความจำาเพอทำาการประมวลผล ทำาใหการโจมตโดย
การสง Jump ไปยงตำาแหนงในหนวยความจำาเปนไปไดยาก
6. Bottom-Up Randomization [24-3] [24-4] [24-9]
BUR เปนการใส Offset เขาไปในสวนทายของ Stack หรอ Heap เพอใหแตละครงทมการโหลดไลบราร
เขาไปในหนวยความจำาจะไมไดอยท ตำาแหนงเดม ทำาใหการโจมตโดยการคาดการณทอยของไลบรารทำาไดยาก
7. Export Address Table Access Filtering [24-3] [24-9]
EAF จะปองกนการคนหาตำาแหนงของฟงกชนของระบบปฏบตการใน Export Address Table (EAT)
โดยจะทำาการตรวจสอบวาฟงกชนนนสามารถเรยกใชงาน EAT ไดหรอไม ทำาในการโจมตโดยใช Shell code
บางประเภทนนทำาไดยาก
การใชงานโปรแกรม EMETเอกสารฉบบนจะแสดงวธการใชงานโปรแกรม EMET ในรปแบบ GUI บนระบบปฏบตการ Windows
XP โดยมวธการดงน
เมอเปดโปรแกรม EMET ขนมาจะพบหนาตางแสดงสวนประกอบของโปรแกรมดงรปท 120 (24-1)
รปท 120 (24-1) หนาตางเรมตนเมอเปดโปรแกรม EMET
จากรปท 120 (24-1) สวนประกอบของหนาตางโปรแกรม EMET มดงตอไปน
• System Status เนองจากในระบบปฏบตการ Windows XP มการตดตง DEP ไวในระบบ
แลวแตยงไมไดมการตดตง SEHOP และ ASLR ดงนนหนาตางโปรแกรม EMET จงแสดงคาเปน
Unavailable อยางไรกตามผใชยงสามารถใชงาน SEHOP และ ASLR ไดเนองจาก EMET ไดรบ
การพฒนาใหใช SEHOP และ ASLR กบโปรแกรมตาง ๆ ได
o Configure System เปนปมเรยกหนาตางการตงคาโหมดการทำางานของ Mitigation ท
รองรบใหกบระบบ ซงในทนคอ DEP โดยหนาตางการตงคามสวนประกอบดงรปท 121 (24-2)
172 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 173
รปท 121 (24-2) หนาตางการตงคา DEP ใหกบระบบ
§ Profile name
§ Maximum Secutiy Settings จะเปนเปลยนคาให DEP ทำางานในโหมด AlwaysOn
§ Recommended Security Settings จะเปนการเปลยนให DEP ทำางานในโหมด OptIn
o *หมายเหต โหมดการทำางานของ DEP มดงตอไปน [24-2]
§ OptIn: เปนการตงคาให DEP ตรวจสอบเฉพาะไบนารของระบบปฏบตการ โหมดการ
ทำางานนเปนคาตงตนของระบบ
§ OptOut: เปนการตงคาเพอเลอกโปรแกรมทไมตองใช DEP
§ AlwaysOn: เปนการตงคาเพอให DEP ตรวจสอบทกโพรเซสทรนอยในระบบ ไมวา
โพรเซสนนจะเปนของโปรแกรมทระบใน OptOut หรอไม
§ AlwaysOff: ตงคาเพอไมใชงาน DEP
• Running Processes เปนรายการของโพรเซสทกำาลงทำางานอยในขณะนน รายการน
โปรแกรม EMET จะตรวจสอบการเปลยนแปลงทก ๆ 30 วนาท
o Configure Apps เปนปมเรยกหนาตางตงคาเพอใหผใชสามารถเลอกโปรแกรมทตองการ
ให EMET ตรวจสอบโพรเซส ซงมสวนประกอบดงรปท 122 (24-3)
รปท 122 (24-3) หนาตางเลอกโปรแกรมทตองการให EMET ตรวจสอบ
ผใชสามารถเพมหรอลดโปรแกรมทตองการให EMET ตรวจสอบการทำางานไดโดยคลกทปม Add หรอ
Remove ในดานลางซาย ในการเลอกโปรแกรมนนจะตองระบพาธทโปรแกรมนนตดตงอย
ในการพจารณาเลอกโปรแกรมเพอใชงานกบ EMET ผใชควรเลอกโปรแกรมทใชงานในชวตประจำาวน
เพราะวาโปรแกรมทใชงานบอยมกจะเปนเปาหมายของการโจมต [24-6] ตวอยางโปรแกรมทใชงานบอยเชน
โปรแกรมเวบเบราวเซอร โปรแกรมสำานกงาน (Microsoft Office, OpenOffice) โปรแกรมดานมลตมเดย
และโปรแกรม Adobe Reader, Adobe Acrobat เปนตน
หลงจากเลอกโปรแกรมเรยบรอยแลวจะตองทำาการเรมโปรแกรมนนใหมเพอให EMET ทำางาน
*หมายเหต บางเทคนคไมสามารถใชงานไดกบบางโปรแกรม เนองจากอาจทำาใหโปรแกรมนนทำางาน
ผดปรกตได ดงนนหลงจากเลอกโปรแกรมใชงานแลว จงควรทดสอบใหแนใจวาโปรแกรมนน ๆ ทำางานได
ปรกต [24-7]
เนองจาก EMET เปนเครองมอทมการทำางานอยเบองหลง ทำาใหผใชไมสามารถตรวจสอบวา EMET
ทำางานอยหรอไมไดโดยตรง แตสามารถตรวจสอบไดโดยดจากโปรแกรมทมความสามารถตรวจสอบโพรเซส
ของโปรแกรม ตาง ๆ ทกำาลงทำางานอยเชน โปรแกรม Process Explorer [24-8] เปนตน ในรปท 123 (24-4)
เปนการใชโปรแกรม Process Explorer ตรวจสอบโพรเซสของ Internet Explorer
รปท 123 (24-4) EMET กำาลงตรวจสอบการทำางานในขณะทใชโปรแกรม Internet Explorer
การใชงาน EMET ชวยใหซอฟตแวรตาง ๆ มความมนคงปลอดภยเพมขนระดบหนง อยางไรกตามผใช
ควรหมนตดตามขาวสารและอพเดทซอฟตแวรใหเปนเวอรชนลาสดอยเสมอ และทสำาคญ ผใชควรระมดระวง
การเปดเวบไซต ไฟล หรอสงอน ๆ ทไมนาไวใจซงอาจเปนอนตรายตอระบบคอมพวเตอรได
174 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 175
อางอง[24-1] http://blogs.technet.com/b/srd/archive/2009/02/02/
preventing-the-exploitation-of-seh-overwrites-with-sehop.aspx
[24-2] http://support.microsoft.com/kb/875352
[24-3] http://blogs.technet.com/cfs-filesystemfile.ashx/__key/communityserver-
components-postattachments/00-03-35-03-78/Users-Guide.pdf
[24-4] http://blog.didierstevens.com/2011/09/29/add-bottom-up-randomization-
to-your-own-source-code/
[24-5] http://blog.didierstevens.com/2011/08/16/so-how-good-is-pseudo-aslr/
[24-6] http://rationallyparanoid.com/articles/microsoft-emet-2.html
[24-7] http://support.microsoft.com/kb/2458544
[24-8] http://technet.microsoft.com/en-us/sysinternals/bb896653
[24-9] http://www.infoworld.com/t/microsoft-windows/microsoft-shuffles-windows-
security-deck-emet-21-831
25 EXTEnSion ใน googlE
ChRoME สวมรอยบญชผใช faCEbookผเขยน: ศภกร ฤกษดถพรวนทเผยแพร: 30 มนาคม 2555ปรบปรงลาสด: 30 มนาคม 2555
เวบเบราวเซอร คอสวนหนงทสำาคญในการเขาสโลกออนไลนเพอซอสนคา ตดตามขาวสาร ดวดโอ
ออนไลน หรอแมกระทงการทำาธรกรรมออนไลน ปจจบนมเวบเบราวเซอรมากมายใหเลอกใช หนงในนนคอ
Google Chrome ซงเปนเวบเบราวเซอรทถกพฒนาขนโดย Google เปดตวครงแรกเมอวนท 2 กนยายน
พ.ศ. 2551 ในประเทศไทยมผใชงาน Google Chrome มากถง 32% จากจำานวนผใชเวบเบราวเซอรทงหมด
โดยแซงหนา Mozilla Firefox ทเคยเปนเบราวเซอรอนดบ 2 มากอน ดงรปท 124 (25-1)
รปท 124 (25-1) สถตการใชงานเวบเบราวเซอรในประเทศไทย [25-1]
176 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 177
Extension คอโปรแกรมเสรมทถกพฒนาขนมาเพอเพมความสามารถใหกบเวบ เบราวเซอร เชน แจง
เตอนเมอมอเมลเขามาใหม หรอ แจงเตอนเมอมคนมาคอมเมนตในหนา Facebook เปนตน
ใน Google Chrome สามารถตดตง Extension ไดผาน Chrome Web Store
นกวจยจากบรษท Kaspersky ซงเปนผผลตซอฟตแวรปองกนไวรส ไดคนพบ Extension ของ Google
Chrome ทเปนอนตราย โดยมจดประสงคเพอขโมยขอมลบญชผใชงาน Facebook ผานทางหนาเพจทชอ
“Aprenda tirar virus do face” ดงรปท 125 (25-2) [25-2]
รปท 125 (25-2) โปรไฟล Facebook ทใชเปนชองทางหลอกใหตดตง Extension [25-3]
หนาโปรไฟลนไดแนะนำาใหผใชตดตง Extension เพมเตม หลงจากคลกทขอความ Install aplicativo
จะนำาผใชงานไปทเวบไซต Chrome Web Store เพอใหตดตง Extension ชอ Adobe Flash Player ซง
ถกพฒนาโดย AppFace ดงรปท 126 (25-3)
รปท 126 (25-3) แสดงการตดตง Extension Adobe Flash Player [25-4]
นกวจยระบวา Extension นเปนโทรจนชอ Trojan.JS.Agent.bxo เมอเหยอหลงกลตดตงไปแลว
ตว Extension จะใชบญช Facebook ของผใชในการสงคำาเชญไปใหกบเพอนของเหยอเพอหลอกใหตดตง
Extension น และกด “Like” หนาเพจตามทผไมประสงคดตองการ จากการตรวจสอบโดย Kaspersky พบ
วาผใชงานในประเทศบราซลตกเปนเหยอของโทรจนนมากทสด [25-5]
หลายคนคงมความสงสยวาทำาไมผไมประสงคดถงพยายามปลอย Extension ทมาพรอมกบ Trojan.
JS.Agent.bxo จดประสงคหลกๆ คอ การสรางรายไดใหกบตวเองเพอขายบรการกด “Like” Facebook ให
กบบรษททตองการประชาสมพนธโปรไฟลของพวกเขาเพอสงเสรมใหคนมาสนใจมากขน ดงรปท 127 (25-4)
รปท 127 (25-4) ตวอยางการขายบรการ 1,000 Like เปนเงนประมาณ 850 บาท [25-6]
หากผใชเผลอตดตง Extension ดงกลาว สามารถออกจาก Google Chrome ไดโดย
1. คลกไอคอนประแจ ทมมขวาบนของเวบเบราวเซอร
2. คลก เครองมอ (Tools)
3. เลอก สวนขยาย (Extensions) ทชอ Adobe Flash Player 12.1.102.55
4. คลกทปม ลบออก (Uninstall)
เพอหลกเลยงการตดตง Extension ทไมพงประสงคและอาจถกขโมยโปรไฟล Facebook ผใชงานควร
ศกษารายละเอยด Extension ทเกยวของกบการใชงานกอนการตดตงลงบนเครองคอมพวเตอร เชน ตรวจ
สอบเวบไซตของผพฒนา รายละเอยดเกยวกบผพฒนา รนทพฒนา (Version) แสดงรายละเอยดเกยวกบ
วน เดอน ป ทพฒนา วนทอพเดท ไมควรเลอกตดตง Extension ทขาดการอพเดทนานเกนไป รวมทงตรวจ
สอบความคดของผใชงานรวมดวย
178 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 179
อางอง[25-1] http://gs.statcounter.com/#browser-TH-monthly-201101-201202
[25-2] http://www.theregister.co.uk/2012/03/25/chrome_
web_store_malware_hijacks_facebook_profiles/
[25-3] http://arstechnica.com/business/news/2012/03/googles-chome-web-store-
used-to-spread-malware.ars
[25-4] http://www.zdnet.com/blog/security/malicious-chrome-extensions-hijack-
facebook-accounts/11074
[25-5] http://www.thehackernews.com/2012/03/facebook-profiles-can-be-hijacked-
by.html
[25-6] http://www.securelist.com/en/blog/208193414/
Think_twice_before_installing_Chrome_extensions
26 SECuRE fTP SERvER
ผเขยน: เจษฎา ชางสสงขวนทเผยแพร: 5 เม.ย. 2555ปรบปรงลาสด: 5 เม.ย. 2555
FTP (File Transfer Protocol) คอโพรโทคอลทออกแบบมาเพอใชในการรบสงไฟลระหวาง Client
และ Server โดยจะมพอรตทใชงานอย 2 พอรต คอ พอรต 20 ใชในการรบสงไฟล สวนอกพอรตคอ พอรต
21 ใชในการควบคมหรอสงคำาสง FTP เชน ตรวจสอบการเขาถงโปรแกรมจากผใชงาน เปนตน และในปจจบน
ผใหบรการ Web hosting โดยสวนใหญมกจะใหบรการแลกเปลยนไฟลผาน FTP Server เพราะการการตด
ตงระบบและการบรหารจดการไฟลทำาไดงาย
เนองจาก FTP เปนโพรโตคอลทรบสงขอมลโดยไมมการเขารหสลบ จงทำาใหขอมลทรบสง ไมวาจะเปน
Username หรอ Password สามารถถกดกรบ (Sniff) จากผไมหวงดได [26-1] ซงวธการแกไขนน ผดแล
ระบบควรเปลยนมาใชโพรโทคอลสำาหรบแลกเปลยนขอมลทมการเขารหสลบขอมลทรบสงเสมอ ซงมโพรโท
คอลทถกออกแบบมาเพอแกปญหาดงกลาว คอ FTPS [26-2]
การใชงาน FTP ทมการเขารหสลบ จากปญหาทไดกลาวขางตน ผดแลระบบจงควรตงคา FTP Server ใหรองรบการเขารหสลบขอมล โดย
ในบทความน จะยกตวอยางการตงคาเพอใชงานโพรโทคอล FTPS บนซอฟตแวร FileZilla Server [26-3]
1. ผดแลระบบสามารถกำาหนดใหระบบรองรบ FTPS ไดดวยการคลกทเมน Edit เลอก Settings จาก
นนเลอก SSL/TLS setting คลกทชอง Enable FTP over SSL/TLS support (FTPS) ดงรปท 128
(26-1)
180 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 181
รปท 128 (26-1) แสดงการตงคาใหโปรแกรมรองรบ FTPS
2. ทำาการกำาหนดใบรบรองดจทลใหกบซอฟตแวร FTP Server เพอใชในกระบวนการเขารหสลบขอมล
ทใชรบสงระหวาง Server-Client ในกรณทผดแลระบบมใบรบรองดจทลอยแลว สามารถใชงานได
โดยระบตำาแหนงของไฟล Certificate และไฟล Private key ใหกบระบบ แตหากผดแลระบบยง
ไมมใบรบรองดจทล สามารถสรางขนมาใหมไดโดยการคลกทปม Generate new certificate จาก
นนใสขอมลของผใหบรการ ดงทแสดงตวอยางในรปท 129 (26-2)
รปท 129 (26-2) แสดงหนาตางการสรางใบรบรอง
3. หากผดแลระบบตองการบงคบใหผใชลอกอนไดเฉพาะในโหมด FTPS เทานน สามารถทำาไดโดยการ
ไปทเมน Edit เลอก Users จากนนคลกทชอง Force SSL for user login ดงรปท 130 (26-3)
รปท 130 (26-3) แสดงการตงคาให User ลอกอนดวย FTPS เทานน
4. ทฝง Client ทดลองเชอมตอไปยง FTP Server โดยกำาหนดคา Host ขนตนดวย ftps:// ในการเชอม
ตอครงแรก ระบบจะแจงใหผใชทราบถงใบรบรองของเครอง Server ทจะใชในการเชอมตอ หากผใช
ยอมรบความถกตองของใบรบรองน สามารถคลกทปม OK เพอเรมการเชอมตอ ดงรปท 131 (26-4)
รปท 131 (26-4) แสดงใบรบรองของเครอง Server
ขอแนะนำ เพมเตม อยางใรกตาม นอกจากจะตงคาให FTP Server รองรบการรบสงขอมลทมการเขารหสลบแลว ผดแล
ระบบควรมการตงคา Server ใหมประสทธภาพดวย เชน การกำาหนดสทธในการเขาถงระบบ การกำาหนด
พนทการใชงานใหกบผใช ตามขอแนะนำา [26-4][26-5][26-6] ดงน
1. กำ หนดสทธในการเขาถงไฟลใหกบผใชงาน
182 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 183
ในการกำาหนดสทธในการเขาถงไฟลใหกบผใชงาน ผดแลระบบควรกำาหนดสทธใหเทาทจำาเปนเทานน
จากรปท 132 (26-5) เปนการกำาหนดสทธใหผใชชอ test01 สามารถดาวนโหลดไฟลทอยภายใตไดเรกทอร
C:\D\M\3 ไดเทานน
รปท 132 (26-5) แสดงตวอยางการตงคาสทธในการเขาถงไฟลใหกบผใช
2. เปดใชงานการบนทก Log
เปนการตงคาระบบใหบนทกการทำางานตางๆ ทเกดขนกบระบบ เชน การลอกอนเขาใชงาน การดาวน
โหลดหรออพโหลดไฟล เปนตน การบนทก Log ใชเพอวเคราะหในกรณทระบบเกดปญหา เชน การตดตามหา
IP Address ของผทโจมตระบบ นอกจากนยงทำาใหระบบมความสอดคลองตาม พรบ.คอมพวเตอร พ.ศ. 2550
ซงไดระบวา ผใหบรการจะตองสามารถระบตวตนของผใชงานได พรอมเกบขอมลการจราจรคอมพวเตอรไม
นอยกวา 90 วน ในระยะเวลา 1 ป [26-7]
รปท 133 (26-6) แสดงตวอยางการตงคาใหระบบรองรบการบนทก Log
3. จำ กดความเรวของขอมลทรบสงระหวาง Server-Client
ผดแลระบบควรจำากดความเรวในการรบสงขอมลใหกบระบบ เพอลดความเสยงทอาจเกดความเสย
หายตอระบบ เชน แบนดวธเตมทำาใหไมสามารถใหบรการอนๆ ได และยงเปนการกำาหนดความเรวสงสดท
ระบบทสามารถรองรบได ในบางซอฟตแวรนนยงสามารถกำาหนดไดวาจะใหสามารถใชความเรวเทาใด ใน
ชวงวนเวลาตางๆ ดงรปท 134 (26-7)
รปท 134 (26-7) แสดงตวอยางการตงคาวนเวลาเพอกำาหนดความเรวใหกบระบบ
4. ระงบบญชผใชชวคราวหากลอกอนผดเกนจำ นวนครงทกำ หนด
เพอปองกนการโจมตดวย Brute Force Attack ผดแลระบบสามารถกำาหนดใหโปรแกรม ทำาการระงบ
บญชผใชไมใหสามารถลอกอนไดในระยะเวลาหนง จากรปท 135 (26-8) เปนการตงคาใหระงบบญชผใชทำาการ
ลอกอนจาก IP Address เดยวกนเปนระยะเวลา 1 ชม. หากพบวามการลอกอนทไมถกตองเกน 10 ครง
รปท 135 (26-8) แสดงตวอยางการตงคาการระงบบญชผใช
184 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 185
5. กำ หนดขนาดพนทการใชงานใหกบผใช
การกำาหนดขนาดพนทการใชงานใหกบผใช เพอชวยในการบรการจดการพนทของระบบ และลดความ
เสยงทเกดขน เชนใชแกปญหากรณทผใชอพโหลดไฟลจำานวนมาก จนทำาใหระบบไมสามารถรองรบได
6. ปดการลอกอนแบบ Anonymous
ผดแลระบบควรปดการลอกอนแบบ Anonymous เพอไมใหผทไมไดรบอนญาตเขามายงระบบ
7. อพเดทเวอรชนของซอฟตแวรใหใหมอยเสมอ
ผดแลระบบควรตดตามขาวสารดานความมนคงปลอดภยของซอฟตแวรท ใช รวมถงมการตรวจสอบ
เวอรชนของซอฟแวรทใช และทำาการอพเดทใหเปนเวอรชนลาสดอยเสมอ เพอทำาใหระบบมประสทธภาพ
และลดปญหาชองโหวทอาจเกดขนตอระบบได
สงสำาคญทควรตระหนกในการแลกเปลยนไฟลผาน FTP คอ การรกษาความลบของขอมลทรบสง ดง
นน ผดแลระบบจงควรกำาหนดใหมการเขารหสลบขอมล รวมถงปรบแตงคาอนๆ เพมเตม เพอใหระบบม
ความมนคงปลอดภยมากยงขน
อางอง [26-1] http://searchsecurity.techtarget.com/tip/FTP-security-best-practices-for-the-
enterprise
[26-2] http://tools.ietf.org/id/draft-murray-auth-ftp-ssl-00.txt
[26-3] http://wiki.filezilla-project.org/FTPS_using_Explicit_SSL/TLS_
howto_%28Server%29
[26-5] http://www.windowsecurity.com/articles/secure_
ftp_server.html
[26-6] http://blog.jscape.com/jscape/2008/06/best-practices.html
[26-7] http://www.g6ftpserver.com/forum/index.php?/topic/1214-hardening-your-
ftp-server/
[26-8] http://www.ratchakitcha.soc.go.th/DATA/PDF/2550/
E/102/5.PDF
27 MaC oS X คอเปาหมายใหมของผ
สรางมลแวรผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 11 เม.ย. 2555ปรบปรงลาสด: 12 เม.ย. 2555
Mac OS X คอระบบปฏบตการทถกพฒนาขนโดยบรษท Apple Inc. สำาหรบใชงานบนเครองคอมพวเตอร
ตระกล Mac (Macintosh) เชน iMac, MacBook ตวระบบปฏบตการมพนฐานมาจากระบบ UNIX จงได
รบความนาเชอถอในเรองของความเสถยรและความมนคงปลอดภย ปจจบน Mac OS X นนพฒนามาถง
เวอรชน 10.7 โดยใชชอวา OS X Lion [27-1]
ในอดตจดเดนขอหนงท Apple Inc. ใชในการโฆษณา Mac OS X ไมวาจะเปนขอความโฆษณาใน
เวบไซตของ Apple เอง [27-2] หรอโฆษณาทางโทรทศนกตาม [27-3] คอการบอกวา Mac นนปลอดภย
และปราศจากไวรส เนองจากตวระบบปฏบตการมพนฐานมาจากระบบ UNIX ทำาใหมลแวรบน Windows
ไมสามารถทำางานบน Mac OS X ไดอยแลว แตสาเหตทแทจรงคอจำานวนผใชงานระบบปฏบตการ Mac OS
X นนยงมไมถง 10% จากจำานวนผใชระบบปฏบตการคอมพวเตอรทงหมด [27-4] ทำาใหไมเปนทสนใจสำาหรบ
แฮกเกอรในการทจะพฒนามลแวรขนมาเพอโจมต ผใชงาน Mac OS X โดยเฉพาะ แตในปจจบน หลงจากท
จำานวนผใชงานระบบปฏบตการ Mac OS X มแนวโนมทจะเพมมากขน [27-5] ทำาใหผพฒนามลแวรหลาย
รายมแนวโนมทจะหนมาพฒนามลแวรลง Mac OS X
มลแวรใน Mac OS X จากขอมลของ F-Secure ซงเปนบรษทพฒนาซอฟตแวรดานความมนคงปลอดภย พบวา มลแวรทมเปา
หมายเพอโจมตผใชงาน Mac โดยตรงนนเรมปรากฏตวเมอเดอนตลาคม ป 2007 โดย F-Secure เรยกโทร
จนนวา Trojan:OSX/DNSChanger ซงจะลอลวงใหผใชตดตงโปรแกรมทหลอกวาเปนปลกอน QuickTime
เพอใชสำาหรบดวดโอบนเวบไซต จากนนจะแกหมายเลข DNS Server ในเครองผใชใหชไปททผสรางมลแวร
ตองการ [27-6] และหลงจากนนกไดมการคนพบมลแวรบน Mac มากขนเรอยๆ มลแวรโดยสวนใหญจะเปน
โทรจน ซงแพรกระจายผานวธ Social Engineer เชน ในเดอนมกราคม ป 2009 มการคนพบโทรจน Trojan.
186 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 187
iServices.A ทมาพรอมกบโปรแกรม iWork ‘09 แบบละเมดลขสทธทแจกจายผานระบบ Torrent [27-7]
และตอมาไมนาน กมการคนพบโทรจน Trojan.iServices.B ทมาพรอมกบโปรแกรม Adobe Photoshop
CS4 แบบละเมดลขสทธเชนกน [27-8] จากเหตการณดงกลาว ผเชยวชาญดานความมนคงปลอดภยจาก
Symantec และ McAfee จงไดออกมาประกาศแจงเตอนใหกบผใช Mac OS X วาไดตกเปนเปาหมายของ
ผพฒนามลแวรแลว [27-9]
ในป 2011 แฮกเกอรไดหนมาสนใจโจมตผใช Mac อยางเตมตว โดยไดมการพฒนาเครองมอทใชสำาหรบ
“สราง” มลแวร เพอโจมตระบบปฏบตการ Mac OS X โดยเฉพาะ ผเชยวชาญดานความมนคงปลอดภยจาก
CSIS Security Group ไดคนพบวามซอฟตแวรชอ Weyland-Yutani BOT ขายอยในเวบไซตใตดน ซงผใช
ซอฟตแวรดงกลาวสามารถสรางมลแวรทขโมยขอมลผใชดวยการ แทรก Web form เขามาในเบราวเซอรท
ทำางานบนระบบปฏบตการ Mac OS X ได [27-10] หนาจอของซอฟตแวรดงกลาวเปนดงรปท 136 (27-1)
รปท 136 (27-1) หนาจอโปรแกรม Weyland-Yutani BOT [27-10]
หลงจากทผใช Mac เรมถกคกคามจากมลแวร จงมผพฒนาซอฟตแวรรกษาความมนคงปลอดภย
บน Mac ออกมาหลายราย แฮกเกอรจงฉวยโอกาสนพฒนาซอฟตแวรชอ Mac Defender ซงหลอก
ผใชวาเปนโปรแกรมรกษาความมนคงปลอดภย แตทจรงแลวเปนโทรจนทขโมยขอมลสวนตวของผใช
เชน หมายเลขบตรเครดต [27-11] ตวอยางหนาตาของโปรแกรม Mac Defender เปนดงรปท 137
(27-2)
รปท 137 (27-2) ตวอยางหนาตาของโปรแกรม Mac Defender [27-11]
มลแวรดงกลาวนถกตดตงลงบนเครองของผใชไดโดยงาย ผานความสามารถของเบราวเซอร Safari
บน Mac OS X ทจะเปดไฟลทผใชดาวนโหลดสำาเรจใหโดยอตโนมต ถงแมกอนการตดตงซอฟตแวรดงกลาว
ระบบปฏบตการจะแสดงหนาจอแจงเตอนวาการกระทำานอาจเปนอนตรายตอระบบ และใหผใชปอนรหส
ผานเพอยนยน แตผใชสวนใหญกไมสนใจและยอมใสรหสผานเพอใหโปรแกรมไดตดตงตอ [27-12] จาก
ปญหาดงกลาว Apple Inc. จงไดออกแพทชมาเพอเพมระบบตรวจสอบไฟลทผใชดาวนโหลดกอนทำาการ
เปดไฟล โดยหากพบวาไฟลทดาวนโหลดมามลกษณะทนาจะเปนมลแวร ระบบจะแนะนำาใหผใชทำาการลบ
ไฟลนนทนท [27-13] ดงรปท 138 (27-3)
รปท 138 (27-3) ตวอยางการแจงเตอนไฟลทไมปลอดภย [27-13]
อตราการแพรระบาดของมลแวรบน Mac OS X นนมแนวโนมทจะเพมมากขนเรอยๆ จากขอมลของ
iAntivirus ซงเปนผพฒนาซอฟตแวรแอนตไวรสบน Mac พบวา ปจจบนมมลแวรบน Mac มากกวา 100
188 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 189
สายพนธ ถงแมจะเปนจำานวนทนอย แตมลแวรสวนใหญถกจดใหอยในระดบความรนแรงขนสงสดแทบทง
สน [27-14] หนงในนนมมลแวรทนาสนใจคอโทรจนชอ Flashback
Flashbackมลแวร Flashback ถกคนพบครงแรกเมอเดอนกนยายน 2011 โดยหลอกวาเปนตวตดตงปลกอน
Adobe Flash Player ในตอนนนยงไมมการสรางความเสยหายอะไรเปนพเศษ นอกจากสงขอมล MAC
Address ของเครองผใชออกไปยงเครอง Server และเปดชองทางใหผโจมตสามารถทราบไดวา เครองดง
กลาวตดมลแวรแลว [27-15] ในเวลานน Flashback ถกจดใหเปนมลแวรทมความอนตรายตำา ทำาให Apple
Inc. ไมไดปลอยแพทชเพอตรวจสอบและกำาจดมลแวรนโดยทนท [27-16]
อยางไรกตาม เนองจากมลแวร Flashback มความสามารถในการตดตอกบเครอง Server เพออพเดท
เวอรชนของตวเองได ทำาใหในเวอรชนตอๆ มา มลแวร Flashback ไดถกเพมความสามารถใหมๆ เขามา
ดวย เชน จะไมทำางานถาพบวาถกรนอยในระบบทเปน Virtual Machine (ความสามารถ Anti-forensics)
[27-17] รวมถงปดการทำางานของระบบ XProtect ซงเปนระบบปองกนมลแวรบน Mac OS X และเขยน
ทบโปรแกรม XProtectUpdater เพอไมใหสามารถดาวนโหลดแพทชมากำาจดมลแวรสายพนธใหมๆ ไดอก
[27-18] ซงความสามารถใหมๆ เหลานถกพฒนาเพมเขามาในเวลาเพยง 1 เดอน และตอนน Flashback ม
เปาหมายทแนนอนแลว นนคอ การขโมยขอมลสวนตวของผใช
ในเดอนกมภาพนธ 2012 สายพนธใหมของมลแวร Flashback กไดปรากฏขน โดยในครงนไดโจมต
ผานชองโหวของ Java เวอรชนเกา (CVE-2011-3544 และ CVE-2008-5353) เมอผใชเขาไปยงเวบไซตทม
Javascript เรยกใช Java-applet ทโจมตผานชองโหวดงกลาว จะปรากฏหนาจอ Certificate ปลอมของ
Apple Inc. ดงรปท 139 (27-4) เพอหลอกใหผใชตดตงโปรแกรม ซงหากผใชตดตง Java เวอรชนเกาไวใน
เครอง (เวอรชนกอนเดอนพฤศจกายน 2011) มลแวรจะสามารถตดตงตวเองลงในเครองของผใชไดโดยทผใช
ไมสงเกต เหนความผดปกตเลย แตหากเปน Java เวอรชนใหม ระบบจะแจงเตอนวา Certificate นนไมนา
เชอถอ (Untrusted) แตผใชกยงสามารถตดตงโปรแกรมดงกลาวได อยางไรกตาม กลมผใชทโดนโจมตผาน
ชองโหวนโดยสวนใหญจะเปนผใช Mac OS X เวอรชน 10.6 ลงไป เนองจากใน Mac OS X เวอรชน 10.7
นน Apple Inc. ไดถอดโปรแกรม Java ออกจากระบบปฏบตการแลว [27-19]
รปท 139 (27-4) หนาจอ Certificate ปลอมของ Apple Inc. [27-19]
ในเดอนมนาคม 2012 มลแวร Flashback พฒนาไปอกขนดวยการรบคำาสงในการทำางานจาก Twitter
ซงตางจากมลแวรสมยกอนทจะระบหมายเลข IP ของเครองทสงคำาสงไวในโคดของโปรแกรม ทำาใหเครองนน
สามารถตรวจพบและถกสงปดไดงาย [27-20] บรษท Intego ผพฒนาซอฟตแวรแอนตไวรส ไดลองวเคราะห
ขอมลของมลแวร Flashback แลวพบวา มลแวรตวนนาจะถกสรางโดยผพฒนาเดยวกนกบ MacDefender
[27-21]
ในวนท 2 เมษายน 2012 นกวจยจากบรษท Dr.Web ซงเปนผพฒนาซอฟตแวรปองกนไวรส ไดรายงาน
การคนพบสายพนธใหมของมลแวร Flashback ซงจะโจมตผานชองโหวของ Java (CVE-2012-0507) [27-
22] โดยทาง Dr.Web คาดวา มเครอง Mac ทตดมลแวรดงกลาวไปแลวไมตำากวา 600,000 เครอง [27-23]
สายพนธใหมของ Flashback ไดรบการตงชอวา OSX/Flashback.K ซงจะตดเขาสเครองของผใชผานการ
เปดเวบไซตทมโคดอนตรายฝงอย สวนขอมลจากบรษท F-Secure ระบวา ชองโหวของ Java ทมลแวรใช
ในการโจมตนน ถกแกไขโดยบรษท Oracle และไดเผยแพรแพทชเพอแกไขชองโหวดงกลาวไปตงแตวนท
14 กมภาพนธ ป 2012 แลว โดยเผยแพรทงบนระบบปฏบตการ Windows, Linux และ UNIX [27-24]
[27-25] แตบรษท Apple Inc. กลบไมยอมปลอยแพทชดงกลาวผานระบบอพเดท [27-26] จนกระทงวนท
4 เมษายน 2012 ถงมแพทชเพอแกไขชองโหวดงกลาวออกมาทางระบบ Software Update ของ Mac OS
X [27-27] และเมอวนท 6 เมษายน 2012 Software engineer จากบรษท Garmin International ได
พฒนาเครองมอ FlashbackChecker เพอใชในการตรวจสอบเครอง Mac วาตดมลแวร Flashback หรอไม
ซงผใชสามารถดาวนโหลดไดจากเวบไซต https://github.com/jils/FlashbackChecker
190 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 191
No system is safe.ปจจบน Apple Inc. ไดพฒนาระบบ Gatekeeper ซงเปนการกำาหนดใหผพฒนาซอฟตแวรเขามาลง
ทะเบยนกบ Apple เพอรบ Developer ID และสงซอฟตแวรมาให Apple เปนผตรวจสอบและ Sign ซอฟตแวร
นน กอนทจะเผยแพรใหกบผใช ซงระบบ Gatekeeper นจะเรมใชใน Mac OS X เวอรชน 10.8 [27-28]
มลแวรบน Mac นนมมานาน และมแนวโนมทจะถกพฒนาตอไปใหสามารถแพรกระจายและสราง
ความเสยหายได มากขนเรอยๆ Flashback เปนตวอยางทดทแสดงใหเหนถงความสามารถในการโจมต
ผานชองโหวตางๆ ของระบบ ผใชงาน Mac OS X ไมควรนงนอนใจ และควรหมนตดตามขาวสารเรองความ
มนคงปลอดภยอยเสมอ เพราะในตอนน การทคำาโฆษณาของ Apple Inc. เปลยนจาก “Mac ไมมไวรส” มา
เปน “Mac ไมตดไวรสของ PC” [27-29] นนเปนสญญาณเตอนทดวา ผใช Mac อาจถงเวลาทจะตองตดตง
ซอฟตแวรแอนตไวรสแลวกเปนได
อางอง [27-1] http://www.apple.com/macosx
[27-2] http://web.archive.org/web/20080319080218/
[27-3] http://www.youtube.com/watch?v=ZwQpPqPKbAw
[27-4] http://www.w3schools.com/browsers/browsers_os.asp
[27-5] http://www.cultofmac.com/139839/mac-market-share-continues-to-rise-
while-pc-shipments-decline-report/
[27-6] http://www.f-secure.com/v-descs/trojan_osx_dnschanger.shtml
[27-7] http://www.macrumors.com/2009/01/22/iwork-09-torrent-carrying-os-x-
trojan/
[27-8] http://us.norton.com/theme.jsp?themeid=ibotnet
[27-9] http://edition.cnn.com/2009/TECH/04/22/
first.mac.botnet/index.html
[27-10] http://www.csis.dk/en/csis/blog/3195/
[27-11] http://www.pcworld.com/article/226846/
fake_macdefender_brings_malware_to_macs.html
[27-12] http://www.zdnet.com/blog/bott/an-applecare-support-rep-talks-mac-
malware-is-getting-worse/3342
[27-13] http://support.apple.com/kb/HT4651
[27-14] http://www.iantivirus.com/threats/
[27-15] http://arstechnica.com/apple/news/2011/09/mac-trojan-pretends-to-be-
flash-player-installer-to-get-in-the-door.ars
[27-16] http://www.theregister.co.uk/2011/09/27/
apple_updates_mac_malware_protection/
[27-17] http://www.theregister.co.uk/2011/10/13/
mac_trojan_innovates/
[27-18] http://threatpost.com/en_us/blogs/flashback-trojan-now-disabling-mac-
xprotect-101911
[27-19] http://www.h-online.com/security/news/item/Flashback-malware-uses-new-
infection-technique-1442810.html
[27-20] http://www.intego.com/mac-security-blog/flashback-mac-malware-uses-
twitter-as-command-and-control-center/
[27-21] http://www.intego.com/mac-security-blog/new-flashback-variant-changes-
tack-to-infect-macs/
[27-22] http://news.drweb.com/?i=2341
[27-23] http://thehackernews.com/2012/04/more-than-600000-macs-system-
infected.html
[27-24] https://www.f-secure.com/weblog/archives/00002341.html
[27-25] http://nakedsecurity.sophos.com/2012/02/15/oracle-java-and-adobe-
shockwave-patches-for-february-too/
[27-26] http://nakedsecurity.sophos.com/2012/04/04/apple-patches-java-hole-that-
was-being-used-to-compromise-mac-users/
[27-27] http://news.cnet.com/8301-13579_3-57410389-37/fighting-flashback-apple-
issues-second-mac-update/
[27-28] http://www.apple.com/macosx/mountain-lion/security.html
[27-29] http://www.apple.com/why-mac/better-os/
192 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 193
28 wEb aPPliCaTion
SECuRiTy รายสะดวก #1ผเขยน: ไพชยนต วมกตะนนทนวนทเผยแพร: 4 พ.ค. 2555ปรบปรงลาสด: 4 พ.ค. 2555
ขอออกตวกอนวาบทความนอาจจะมหลายๆ สวนทอางองมาจากบทความเดม http://www.thaicert.
or.th/papers/technical/2012/pp2012te0001.html) ซงไมไดมรายละเอยดในเชงลกมากนก สวนมาก
จะเปนการแนะนำาใหทำาอะไรบางอยาง แตไมไดอธบายวาทำาอยางไรหรอทำาไปเพออะไร ดงนนบทความน
จะนำาขอแนะนำาเหลานนมาขยายความใหชดเจนขน เพอใหผทอาจไมมประสบการณมากนกสามารถนำาไป
ประยกตใช หรอแมแตทำาตามตวอยางไปเลยไดอยางงายดาย
ถาพดถง Web application ทานผอานกคงทราบดอยแลววาประกอบดวยของ 2 อยาง นนคอ Web
server และ Application อยางแรกกไดแก Apache และ IIS ทเรารจกกนด เดยวนอาจจะมตวอนเขามาปน
บาง เชน lighttpd หรอ nginx หรอพวกทกลายพนธไปอยาง Apache Tomcat แตกอยในพนฐานเดยวกน
ทงสน สวนอยางหลงกไดแก PHP, JSP และ ASP เปนหลก และกมตวอนๆ เชน Ruby, C#, python รวม
ถงของเกาทยงเชอถอไดเสมออยาง perl กยงมการใชงานอยไมนอย
แตไมวาสวน Application นจะเปนอะไรกตาม สวนแรกคอ Web server กยงทำางานเหมอนเดมเสมอ
ไมมการเปลยนแปลง นนคอทำาหนาทเปนสอกลางระหวางผใชงานกบ Application เบองหลง และในกรณท
มการโจมต Web application เกดขน Web server นเอง กจะเปนพยานปากสำาคญ ทมองเหนเหตการณ
การโจมตโดยตลอด และเกบบนทกรายละเอยดเอาไวใน Log file ดงทหลายๆ ทานอาจจะไดเรยนรความ
สำาคญของ Log file จากประสบการณจรงกนมาแลว เมอ Web application ของทาน ตกเปนเปาหมาย
ของเหลาผไมประสงคด
แตการทรวาถกโจมตหลงจากถกโจมตสำาเรจแลวกไมนาจะดเทาไหร ถงแมการทไดทราบรายละเอยด
การโจมตอยางละเอยดจาก Log จะชวยใหทานสามารถแกไขชองโหวไดอยางถกตองครบถวนมากขน สงทด
กวานนกคอ ทานสามารถรไดกอนทการโจมตจรงๆ จะเกดขน หรอแมแตกอนทการโจมตจะสำาเรจ ซงทงหมด
น อาจจะทำาไดโดยการพจารณาจาก Log ของ Web server นนเอง
ถา Web application ของทานไมไดมชองโหว (Vulnerability) ชนดทรกนอยแลวจนมผสรางเครอง
มอโจมต (Exploit) แจกจายกนอยางแพรหลาย คอทานเปนผดแลระบบทมความระมดระวงตามสมควรอย
แลวนนเอง สงแรกทผไมประสงคดมกจะทำากอนทจะโจมตทานกคอ การตรวจสอบระบบของทานเพอรวบรวม
ขอมล (Information gathering) การกระทำานบางครงอาจเรยกวาการ Probe หรอ Scan หรอบางครงอาจ
เรยกวา Footprinting สำาหรบวธการกมไดหลากหลาย สวนมากมกจะใชเครองมออตโนมตเชน Nikto, W3af
หรอ Skipfish ซงเปนเครองมอทมการแจกจายอยางไมคดมลคาบน Internet
รปท 140 (28-1) แสดง Log ของ Apache ทถก Scan ดวยโปรแกรม Skipfish
ตวอยางทแสดงใหเหนจากโปรแกรม Skipfish ขางตนนน อาจจะเหนไดคอนขางชดเจนเนองจากเปนการ
Scan โดยไมไดมการปรบแตงคาการทำางานใดๆ ของโปรแกรม Skipfish เลย และทำาการทดลองในเครอง
แมขายทไมมการใชงานจรง แตในกรณทเปนเครองแมขายหลกทมผเขามาใชบรการเปนจำานวนมาก และผ
ไมประสงคด ทตองการหาชองโหวใน Web application ของทาน มการปรบแตงคาใหโปรแกรมทำางาน
ในลกษณะททำาใหสงเกตเหนไดยากขน เชน เปลยนคา User Agent ใหเปนของ Web browser จรง (ใน
ตวอยางเปน Mozilla/5.0 SF/2.05b ซงเปนของ Skipfish โดยเฉพาะ) และปรบการทำางานใหชาลง แทนท
จะ Scan ดวยความอตราความเรวหลายสบครงใน 1 วนาทตามตวอยาง เพอใหผลของการ Scan ดกลมกลน
ไปกบการใชงานจรงบนเครองแมขาย ดงนนหากทานกลบไปด Log ของ Web server ของทานในวนน ทาน
อาจไมสามารถสงเกตเหนความผดปกตอะไรเลย ทงๆ ทอาจจะมผไมประสงคด ทำาการ Scan ไปแลวหลาย
ตอหลายครงกตาม
แตการตรวจสอบในรปแบบน ไมวาจะตงคาโปรแกรมอยางไรกตาม สงทตองเกดขนอยางแนนอนก
คอ 404 error ซงจะเกดขนเมอโปรแกรมทตรวจหาชองโหวเหลาน พยายามเดาชอไฟลทอาจมอยในระบบ
โดยไฟลเหลานอาจเปนชองโหว ทสามารถนำามาใชเปนประโยชนในการเจาะเขาสระบบจรงๆ ได ชอไฟลท
194 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 195
โปรแกรมเหลานนำามาลองเดา อาจจะมาจากฐานขอมลทมการรวบรวมเอาไวลวงหนา วาเปนไฟลทมกจะ
เปนชองโหว หรอมขอมลทนาสนใจ หรออาจเปนการเดาในลกษณะ Brute-force กได ผลลพธของการเดา
ชอไฟล มกจะผดมากกวาถก และทกครงทผด Web server กจะบนทกเอาไวใน Log วาเปน 404 error ซง
แปลวา file not found นนเอง
Log ของการ Scan ของโปรแกรมเหลานอาจจะดวามปรมาณมาก (ในตวอยางมประมาณ 10000
บรรทด เปน 404 ประมาณ 1200 บรรทด) แตเมอเทยบกบ Log ของ Web server ทมจำานวนผเขาชมจำา
นวนมากๆ แลว กอาจเรยกไดวาเปนแคสวนเลกๆ ในจำานวน Log มหาศาล ดงนนจะตรวจหาความผดปกตน
ไดอยางไร ทานผอานทคนเคยกบเครองมอใน Unix อาจจะนกถงเครองมอ grep และ wc ซงตองอาศยความ
รในการเขยน grep pattern ทเหมาะสมและตอง login เขาไปใน Web server หรออปกรณทเกบ Log ทก
ครงทตองการตรวจสอบ นอกจากไมสะดวกแลว หากพบวามสงผดปกตอยใน Log ทานกยงตองดำาเนนการ
เองอกดวย เชน Block IP address ตองสงสยท Firewall หรอเขยน ACL บน Apache เอง ซงอาจจะลาชา
ไมทนการ หรอเกดความผดพลาดไดโดยงาย
เพอชวยใหการตรวจสอบความผดปกตใน Log เปนไปโดยอตโนมต และสามารถทำาการรบมอ (Mitigate)
กบการโจมตไดโดยอตโนมตดวย สงทจำาเปนตองมกคอโปรแกรมประเภท Log monitoring หรอบางทานอาจ
จะจดวาเปน Host-based IPS ประเภทหนง ซงโปรแกรมเหลานจะทำาการตรวจสอบ Log ทกำาหนดเปนระ
ยะๆ เมอพบวามรายการ Log ทผดปกตตามเงอนไขทเรากำาหนด มนกจะดำาเนนการตามคำาสงทเรากำาหนด
ไวลวงหนา เชนทานอาจกำาหนดใหโปรแกรมดงกลาว คอยตรวจสอบสถานะ 404 บน Log ของ Apache
โดยระบเงอนไขวา หากมรายการ 404 จาก IP เดยวกนตงแต 20 ครงใน 1 วนาท ใหสง Block IP address
นนดวย iptables ทนท
ตวอยางของโปรแกรมประเภทนตวหนง ไดแก Fail2Ban (http://www.fail2ban.org) ซงถก
ออกแบบมาใหปองกนการโจมตประเภท Brute-force โดยอาศย iptables เปนตว block การโจมต ซงใน
กรณน เราจะกำาหนดเงอนไขให Fail2ban ตรวจสอบ Apache log ทมผลลพธเปน 404 error (file not
found) ทมความถมากกวา 20 ครงตอ 1 วนาท โดยใชรปแบบของ configuration ดงตอไปน
# Fail2Ban configuration file
# Modified from https://rem.co/en/article/fail2ban-
phpmyadmin-script/ - PHPMyAdmin protection rules
[Definition]
failregex = <HOST> -.*”(GET|POST) .*” 404 .*
ignoreregex =
สำาหรบผใชงาน Debian GNU/Linux และ Ubuntu ใหบนทกไฟลนเปนชอ /etc/fail2ban/filter.d/
apache-404.conf สวนผใชงาน Distribution อนใหตรวจสอบตำาแหนงทเกบไฟล filter ของ Fail2ban
จากคมอของ Distribution นนๆ
ขนตอไป ใหตรวจสอบวา Apache ททานใชงานอย เกบ Log (access log) ไวทใด ( ในทนสมมตให
เปน /etc/apache2/access.log ) เมอทราบแลว ใหเพมรายการนในไฟล /etc/fail2ban/jail.conf และ
เชนเดยวกบ สำาหรบผใชงาน Linux Distribution อนทไมใช Debian หรอ Ubuntu ใหตรวจสอบตำาแหนง
ทเกบไฟล jail.conf ของ Fail2ban จากคมอของ Distribution นนๆ
[apache-404]
enabled = true
port = http,https
filter = apache-404
logpath = /var/log/apache2/access.log
maxretry = 20
findtime = 1
bantime = 300
bantime คอชวงเวลาทจะให Fail2ban block การเขาถงจาก IP ทถกตรวจพบวาพยายามโจมตระบบ
ตามเงอนไขทกำาหนด โดยมหนวยเปนวนาท หากกำาหนดเปนคาตดลบ จะหมายถงให Fail2ban ทำาการ
block IP นนๆ ตลอดไป และอยาลมวา ตวเลข 20 ครงตอ 1 วนาทเปนการสมมตขน เพอใหเหนไดชดเจน
ในการทดลอง ในชวตจรงอาจมคาทตำากวานมาก เนองจากผไมประสงคดตองการหลบหลกการตรวจจบดง
ทกลาวไวขางตน
เมอกำาหนดคาให Fail2ban ตามตวอยางแลว ผเขยนกจะมาลอง Scan ระบบดวย Skipfish ดอกครง
กพบวา Fail2ban สามารถตรวจพบการโจมตตามเงอนไข คอม 404 error จาก IP เดยวกน 20 ครงตอ
วนาท และทำาการ block ไดสำาเรจ
รปท 141 (28-2) แสดงการทำางานของ Fail2ban จาก Log ของโปรแกรม
196 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 197
และเมอมาดในฝง Skipfish กจะพบวา การ Scan ถก block ภายในเวลาประมาณ 3.5 วนาทเทานน
รปท 142 (28-3) แสดงการทำางานของ Skipfish เมอทำาการ Scan เครองแมขายทปองกนไวแลว
จากการทดลอง จะเหนไดวา Fail2ban สามารถปองกนการทำา Information gathering ดวยวธ URL
scanning หรอ URL bruteforcing ไดผลในระดบหนง แตอยางไรกตาม หากผไมประสงคดใชรปแบบการ
Scan หรอ Probe วธอนๆ หรอในกรณทของระบบทมชองโหวทรจกกนดอยแลว ผไมประสงคดกอาจจะ
ทำาการโจมตไดโดย Fail2ban ไมสามารถตรวจจบและปองกนได นอกจากน ระบบตรวจจบการโจมตทกชนด
ยอมมโอกาสทจะเกดความผดพลาดในลกษณะทเรยกวา False positive ได นนคอเปนการใชงานปกตทถก
เขาใจผดวาเปนการโจมต และถก block อยางไมควรจะเปน สำาหรบตวอยางทแสดงนอาจเกดไดจากผพฒนา
เวบไซตของทานเอง ทอาจสราง html page ทม dead link จำานวนมากโดยไมรตว ทำาใหผทเขามาชมเวบไซต
นนตามปกตถก block เนองจากเกด 404 error ขนมากเกนคาทกำาหนดโดยไมไดตงใจ
และถงแมเมอทานตดตง Fail2ban ไปแลวและไดผลเปนทนาพอใจ ทานกควรทจะพจารณาการ
ปองกน Web application ของทานดวยมาตรการอนๆ ดวย ทงนอาศยแนวคดเรอง Defense-in-depth
หรอ Layered defense ซงผเขยนจะนำาวธการปองกนแบบอนๆ มาเสนอใหทานไดทราบในโอกาสตอไป
29 flaME
ผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 8 ม.ย. 2555ปรบปรงลาสด: 12 ม.ย. 2555
Discoveryเมอวนท 28 พ.ค. 2555 หนวยงาน CERT ของประเทศอหราน (MAHER) รายงานวา ไดคนพบมลแวร
ชนดใหมทมเปาหมายเพอโจมตประเทศอหราน โดยไดเรยกมลแวรตวนวา Flame ในเบองตน ทาง MAHER
ไดสนนษฐานวา Flame ถกพฒนาขนโดยผพฒนาทมเดยวกบ Stuxnet และ Duqu
Flame ทำางานไดบน Windows XP, Vista และ 7 ใชวธการแพรกระจายผานทาง USB Drive และ
แพรผานระบบเครอขาย (ซงเปนวธเดยวกนกบ Stuxnet) การทำางานหลกๆ ของ Flame คอขโมยขอมล
Username และ Password, ลกลอบอดเสยง, บนทก Screenshot และลกลอบสงขอมลออกไปให C&C
Server ผานทางพอรต SSH และ HTTPS [29-1]
ศนยวจย CrySyS (Laboratory of Cryptography and System Security) จาก Budapest Uni-
versity of Technology and Economics เรยกมลแวรตวนวา Skywiper และไดใหขอมลเพมเตมวา ได
รบแจงเหตการโจมตดวยมลแวรดงกลาวนจากหลายๆ ประเทศทวโลก ไมใชแคเฉพาะในตะวนออกกลางอยาง
เดยว นอกจากนยงไดคนพบวธท Skywiper ใชในการซอนตวเองไมใหถกตรวจจบโดยโปรแกรมแอนตไวรส
โดยการซอนโคดไวในไฟล .ocx และ .tmp ซงโปรแกรมแอนตไวรสโดยสวนใหญจะไมสแกนไฟล 2 ชนดน
[29-2] CrySyS รายงานวา การพฒนามลแวรดงกลาวนนาจะไดรบการสนบสนนดานการเงนจากรฐบาลหรอ
ประเทศทมความตองการทจะใชมลแวรในการทำา Cyber Warfare (เอกสารของ CrySyS)
นกวจยจาก Kaspersky Lab ไดรายงานขอมลเพมเตมวา ประเทศทตกเปนเปาหมายของการโจมต
ไดแก อหราน เลบานอน ซเรย อสราเอล และประเทศอนๆ ในแถบตะวนออกกลาง ตามรปท 143 (29-1)
198 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 199
รปท 143 (29-1) ประเทศทตกเปนเปาหมายการโจมตของ Flame (ทมา: Securelist.com)
จากการวเคราะหของ Kaspersky พบวา Flame มสวนประกอบการทำางานหลายๆ สวนรวมอยดวย
กน เชน Backdoor, Trojan รวมถงสวนทเปนการทำางานแบบ Worm ซงใชในการแพรกระจายตวเองผาน
ระบบเครอขาย ทำาใหตวมลแวรมขนาดใหญถง 20 MB จงยากตอการวเคราะห
Kaspersky พบวา ผสราง Flame ไดปลอมแปลงวนเวลาทสรางไฟล เพอใหเกดความยงยากในการ
ตรวจสอบ โดยวนเวลาทสรางไฟลนนอาจจะเปนไปไดตงแตป 1992, 1994, 1995 หรอปอนๆ แตโมดลสวน
ใหญของมลแวรถกสรางในป 2011 และ 2012 จากการวเคราะหของ Kaspersky คาดวา Flame นาจะถก
สรางขนในชวงเดอนกมภาพนธ-มนาคม ป 2010 [29-3]
Symantec ไดรายงานการคนพบมลแวรนดวยเชนกน และไดเรยกมลแวรตวนวา Flamer หลงจากท
ไดวเคราะหมลแวรตวน ทำาใหทราบขอมลเพมเตมวา มการโจมตไปทยโรปตะวนออกดวย และยงไปกวานน
Flamer นอกจากจะขโมยขอมลแลว ยงทำาหนาทขดขวางการสงออกนำามนของประเทศอหราน โดยการ Shut
down ระบบ Oil terminal ดวย [29-4] [29-5]
Certificateหลงจากทมการวเคราะหมลแวรโดยหนวยงานตางๆ เพอหาวธการทำางานและวธการเผยแพร ในวนท
3 ม.ย. 2555 Microsoft ไดแจงเตอน Security Advisory หมายเลข 2718704 วาดวยเรองของการปลอม
Digital Certificate ของ Microsoft ซง Certificate ดงกลาวนถกใชในการ Sign โคดของ Flame [29-6]
โคดของ Flame ถก Sign โดย Microsoft Terminal Server Licensing Service ซงเปนระบบทใชใน
การยนยนตวตนในกรณทจะเขาไปใชงาน Remote Desktop Service ในองคกร ระบบดงกลาวนอกจากจะ
ออก Certificate ไดแลว ยงสามารถ Sign โคดใหกบโปรแกรมไดดวย
ในเบองตน Microsoft แจงวา เหตการณดงกลาวเกดจากชองโหวของ Cryptography algorithm
รนเกา ซงทำาใหผสรางมลแวรสามารถ Sign โคดของโปรแกรมใหดเหมอนกบวาโปรแกรมนนถกพฒนาและ
ไดรบการรบรองจาก Microsoft แตในตอนนนยงไมไดใหรายละเอยดเพมเตมของชองโหวดงกลาว [29-7]
ผเชยวชาญดาน Security ไดวเคราะหวา ชองโหวของการ Sign โคด เกดจากการท Microsoft
Certificate Authority (CA) ใชอลกอรทม MD5 ในการ Sign Certificate ซงอลกอรทมดงกลาวมปญหา
เรอง Hash Collision ทำาใหแฮกเกอรสามารถสราง Certificate ปลอมทม MD5 Hash ตรงกบ Hash ของ
Microsoft แลวสงเขามายง Terminal Server เพอให Sign โคดของ Flame โดยใช Certificate จรงของ
Microsoft ได [29-8] [29-9]
Certificate ทถกใชในการ Sign โคดของ Flame คอ Microsoft Enforced Licensing Intermediate
PCA ซงถก Sign โดย Microsoft Root Authority และ Microsoft Enforced Licensing Registration
Authority CA (SHA1) ซงถก Sign โดย Microsoft Root Certificate Authority [29-10] ตวอยาง Cer-
tificate ดงกลาวเปนดงรปท 144 (29-2)
รปท 144 (29-2) Certificate ของ Microsoft ทถกใชใชการ Sign โคดของ Flame (ทมา: F-Secure)
Microsoft ไดปดความสามารถในการออก Certificate ผาน Terminal Server และไดเผยแพร Update
หมายเลข 2718704 เพอ Revoke Certificate ดงกลาว
ในวนท 6 ม.ย. Microsoft ไดอธบายรายละเอยดเพมเตมของวธการท Flame ใชในการโจมตระบบ
Certificate ผทสนใจสามารถอานรายละเอยดเพมเตมไดท เวบไซต Technet
200 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 201
Windows Updateจดประสงคทแทจรงของการ Sign โคดของมลแวรดวย Certificate ของ Microsoft คอการเผยแพรม
ลแวรผานระบบ Windows Update
เครองทตด Flame จะตงตวเองเปนเซรฟเวอร Web Proxy Autodiscovery Protocol (WPAD) โดย
ปกตแลว เครองคอมพวเตอรทใช Windows จะถกตงคา Proxy ใหเปน Automatic proxy detection หลง
จากทเชอมตอกบระบบเครอขาย เครองดงกลาวจะพยายามตดตอกบเซรฟเวอร wpad.DOMAINNAME (เชน
wpad.thaicert.or.th ในกรณทเครองดงกลาวอยในโดเมน thaicert.or.th) เพอตรวจสอบวาเมอไหรทควร
จะเชอมตอ HTTP Proxy เพอใชงาน Windows Update
เครองคอมพวเตอรทตด Flame จะสงไฟล wpad.dat เพอเปนสญญาณบอกเครองทอยในเครอขาย
เดยวกนวาใหเชอมตอ Proxy เพอใชงาน Windows Update จากนนเครองคอมพวเตอรทอยในระบบเครอ
ขาย จะเชอมตอเขามายงเครองทตด Flame เพอดาวนโหลดไฟล Windows Update
โดยปกตแลวระบบ Windows Update จะมการตรวจสอบ Signature ของไฟลทจะนำามาอพเดท
เพอใหแนใจวาเปนไฟลทมาจาก Microsoft จรงๆ และเนองจาก Flame ถก Sign โดยใช Certificate ของ
Microsoft จงสามารถแพรกระจายตวเองผานระบบ Windows Update ได [29-11] [29-12] ขนตอนการ
ทำางานของ Flame เปนดงรปท 145 (29-3)
รปท 145 (29-3) การแพรกระจายของ Flame ผานระบบ Windows Update (ทมา: Symantec)
Suicideในวนท 4 ม.ย. 2555 Kaspersky รายงานวาเครอง C&C ของ Flame เปนโดเมนทจดทะเบยนโดยใช
ขอมลปลอม ซงมจำานวนกวา 80 โดเมน และยงคนพบเพมเตมวา Flame จะสมดงตวอยางขอมล 1 KB ออก
จากไฟล PDF, Excel, Word ทพบในเครอง จากนนจะบบอดแลวสงตวอยางขอมลทไดไปใหใหกบเครอง C&C
เพอใหคนทควบคมมลแวรอยวเคราะหวาจะเอาขอมลอะไรออกไปจากเครอง เหยอ [29-13]
หลงจากทมการคนพบเครอง C&C ไดเพยง 2 วน เครอง C&C บางสวนกไดสงคำาสง “SUICIDE” เพอ
ลบไฟลทกไฟลของ Flame ออกจากเครองของเหยอ Symantec รายงานวา คำาสงลบดงกลาวนเปนการ
“ลบโดยสมบรณ” (Completely Remove) เพราะคอมโพเนนตทงหมดของ Flame ทอยในเครองจะถก
ลบทงทนททไดรบคำาสงนน [29-14]
Awarenessจากการใชชองโหวของระบบ Windows Update เปนชองทางในการโจมต ทำาใหผเชยวชาญดาน Secu-
rity หลายฝายออกมาแสดงความกงวลในเรองน ดอกเตอร Johannes B. Ullrich จาก SANS Technology
Institute ไดมขอแนะนำาในการใชงาน Windows Update เชน ตดตง Update ผานการเชอมตอทเชอถอ
ได (อนเทอรเนตทบานหรอททำางาน) เทานน ถงแมวาวธการดงกลาวจะปองกนการโจมตแบบ Man-in-the-
Middle ไมไดแบบ 100% กตาม แตกสามารถลดความเสยงทจะถกโจมตจากเทคนคขางตนได อยางไรกตาม
หากจำาเปนทจะตองตดตง Update ผานระบบเครอขายสาธารณะ ควรใชการเชอมตอผาน VPN [29-15]
What’s next?จากการพฒนาของมลแวรในชวงปทผานมา ไมวาจะเปน Stuxnet, Duqu จนมาถง Flame มสงทตรง
กนอยางหนงคอ มลแวรเหลานไมไดถกสรางมาเพอใหเกดความเสยหายตอบคคลทวไป แตถกสรางขนมาโดย
มวตถประสงคหลกเพอตงใจโจมตหนวยงานระดบประเทศ สงดงกลาวนแสดงใหเหนวา การทำาสงครามใน
ปจจบนนนไดเปลยนรปแบบจากยทธวธทางการทหาร มาเปนการทำาสงครามผานโลกไซเบอรแลว เพราะไม
วาจะเปนการทำาลายขอมล การสบขาว หรอแมกระทงการสงสายลบเขาไปในฐานของศตรเพอขโมยความลบ
กสามารถทำาไดดวยการใชมลแวรทงสน ดงนน จงเปนทนาสนใจอยางยงวา ตอจากน การทำาสงครามในโลก
ไซเบอรจะเปนไปในทศทางใด เพอทจะไดเรยนรและปองกนภยไดอยางทนทวงท
อางอง[29-1] http://www.certcc.ir/index.php?name=news&file=article&sid=1894
[29-2] http://nakedsecurity.sophos.com/2012/05/28/flame-malware-cyber-attack/
[29-3] http://www.securelist.com/en/blog?weblogid=208193522
[29-4] http://www.symantec.com/connect/blogs/flamer-highly-sophisticated-and-
202 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 203
discreet-threat-targets-middle-east
[29-5] http://thehackernews.com/2012/05/flame-malware-21st-century-massive.html
[29-6] http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-
authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx
[29-7] http://technet.microsoft.com/en-us/security/advisory/2718704
[29-8] http://www.h-online.com/security/news/item/Flame-worm-was-signed-by-forged-
Microsoft-certificate-1594388.html
[29-9] http://searchsecurity.techtarget.com/news/2240151187/Microsoft-revokes-
fraudulent-certificates-used-by-Flame-malware-toolkit
[29-10] https://www.f-secure.com/weblog/archives/00002377.html
[29-11] http://nakedsecurity.sophos.com/2012/06/04/flame-malware-used-man-in-the-
middle-attack-against-windows-update/
[29-12] http://www.symantec.com/connect/blogs/w32flamer-microsoft-windows-update-
man-middle
[29-13] http://arstechnica.com/security/2012/06/flame-espionage-malware-used-huge-
network-to-steal-blueprints/
[29-14] http://www.symantec.com/connect/blogs/flamer-urgent-suicide
[29-15] http://isc.sans.edu/diary.html?storyid=13429
30 wEb aPPliCaTion
SECuRiTy รายสะดวก #2ผเขยน: ไพชยนต วมกตะนนทนวนทเผยแพร: 22 มถนายน 2555ปรบปรงลาสด: 22 มถนายน 2555
คราวทแลวในบทความ Web Application Security รายสะดวก #1 ผเขยนไดกลาวถงการปองกน
Web application ดวยแนวคด Defense-in-depth ซงแนวคดอนนถอวาเปนแนวคดทนำาไปใชไดกบการ
รกษาความมนคงปลอดภยทกชนด สำาหรบทานผอานทยงไมคนเคยกบแนวคดน กขออธบายใหเขาใจงายๆ วา
เปรยบเทยบกบการปองกนโจรเขาบาน คงไมมใครตดกลองวงจรปดโดยไมมกญแจประต หรอเลยงสนขโดย
ไมมรวบาน แตมาตรการตางๆ เหลาน ตองนำามาประกอบกนเพอเพมความมนคงปลอดภย การนำามาตรการ
ปองกนหลายๆ แบบมาใชรวมกนแบบน นอกจากจะชวยใหผทไมประสงคดไมสามารถทำาการไดสะดวกแลว
ยงอาจทำาใหผทวางแผนจะบกรกหรอโจมตเปลยนใจไปโจมตเปาหมายทมการปองกนนอยกวาแทน เนองจาก
มความเสยงนอยกวากเปนได
ถาพดถงการปองกน Web application ในแบบ Defense-in-depth แลว ตวอยางทผเขยนจะกลาวถง
ในครงนกคอการทำา chroot (Change root) หรอทบางทานทคนเคยกบระบบ FreeBSD อาจจะรจกในชอวา
Jail นนเอง วธการนไมไดใชปองกนตว Web application โดยตรง นนคอ หาก Web application มชอง
โหว การทำา chroot หรอ Jail กไมไดทำาใหชองโหวนนหมดไป แตทำาใหผไมประสงคดสามารถใชประโยชน
(Exploit) จากชองโหวนนไดยากขน หรอใชไดอยางไมเตมท ทำาใหลดโอกาสหรอลดความรนแรงของความ
เสยหายจากการถกโจมตไดระดบหนง
รปแบบของการทำา chroot หรอ Jail ใน Web application นน มกจะทำากนทระดบของ Web server
มากกวาทจะทำากนท Web application เปนรายตว โดยหลกการของ chroot คอการแยก Application
ใดๆ (ในทนคอ Web server) ใหทำางานอยในพนท Disk เฉพาะตว ไมใหสามารถเขาถงพนท Disk ทใชงาน
ในระบบงานอนๆ ได ดงนนหาก Application ตวนนเกดความผดพลาดในการทำางาน หรอถกผไมประสงค
ดเขาควบคม Application นนกจะไมสามารถเขาถงไฟลระบบอนๆ หรอไฟลขอมลของระบบงานอนๆ ท
อยในเครองเดยวกนได หลกการนเปนหลกการเดยวกบหลกการ Sandbox ทมใชใน Web browser สมย
204 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 205
ใหมบางตว และมใชอยในระบบ Android และ iOS ทใชงานบนโทรศพทมอถอดวย รปแบบการทำางานของ
แตละระบบ ไมวาจะเรยกวา chroot, Jail หรอ Sandbox กตาม ถงแมจะมจดประสงคเดยวกน แตวธการ
ทำางานอาจจะแตกตางกนเลกนอย ในทนจะขอกลาวถง chroot สำาหรบ Apache web server ทอยบน
ระบบปฏบตการ Linux เปนหลก เพอไมใหเกดความสบสน
ในเมอเราจำาเปนตองกำาหนดพนทเฉพาะท Application แตละตวสามารถใชงานไดใหแยกกนอยางเดด
ขาดแลว ใน Application ทมความซบซอนอยาง Web server แลวกนบวาเปนเรองทยงยากไมนอย ในอดต
ทผานมาปญหาสำาคญของการทำา chroot สำาหรบ Web server กคอ Shared library และ System file
ซง Web server จำาเปนตองใชในการทำางาน เราจำาเปนตอง Copy สวนประกอบตางๆ เหลานมาไวในพนท
ทจะกำาหนดใหเปนพนทเฉพาะของ Web server เสยกอน บางครงรวมถง Log file และ Temporary file
ตางๆ ท Web server จะตองเขยนระหวางการทำางานดวย และจากทไดกลาวไปขางตนวา การ chroot หรอ
Jail ไมใชการปองกน Web application โดยตรง เมอพจารณาจากความยงยากของการดำาเนนการแลว ผ
ดแลระบบจำานวนไมนอยจงอาจจะคดวา เปนการลงทนลงแรงทไมไดผลดเทาทควร และอาจจะจดอนดบเอา
ไวเปนสงทายๆ ทจะนำามาปฏบต
แตความเปนจรงแลว การ chroot จะเปนประโยชนมากในการลดผลกระทบ (Mitigate) ของการโจมต
บางรปแบบ ทปกตจะมอนตรายกบระบบอยางมาก เชน การโจมตในรปแบบ Command injection หรอการ
ฝง Shell ซงผลลพธของการโจมตประเภทนคอ การเขาถงระบบปฏบตการโดยตรง และมสทธในการเขาถง
ไฟลตางๆ รวมถงคำาสงของระบบในลกษณะเชนเดยวกบผใชคนหนงในระบบ โดยอยภายใตสทธ (Privileges)
ของ Web server ในกรณน หาก Web server นน ถก chroot เอาไว ถงแมคำาสงจะถกสงเขามาผานชอง
โหวของ Web application ไดสำาเรจ แตจะไมสามารถมผลกบระบบหรอ Application อนทอยในระบบนน
ได ตามภาพท 185 (30-1) และ 186 (30-2)
รปท 146 (30-1) แสดง php shell เมอทำางานใน Apache ปกต
รปท 147 (30-2) แสดง php shell เมออยใน Apache ทถก chroot
จากความแตกตางของรปท 146 (30-1) และ 147 (30-2) จะเหนไดวา เมอ Web server (ในทนคอ
Apache) ถก chroot แลว ตอใหถกบกรกเขามาได ผไมประสงคดกจะไมสามารถเขาถงไฟลระบบหรอคำาสง
ตางๆ ไดเลย เวนแตไฟลของ Web application และ Content ทอยใน Web server เทานน เพราะพนท
ทระบบปฏบตการอนญาตให Web server เขาถงไดมแคพนททใชเกบ Content ของ Web server เทานน
อยางไรกตาม จดออนของ chroot กยงมอย เชนเดยวกบระบบปองกนอนๆ ทกชนด ทไมมระบบใด
สมบรณพรอมจนไมสามารถทำาลายได อนดบแรกคอ chroot จะสามารถปองกนการเขาถงไดเฉพาะ Ap-
plication ทไมไดมสทธ root เทานน กรณนอาจจะไมนากงวลนก เนองจากในระบบปฏบตการสมยใหม
มกจะกำาหนดให Web server ทำางานในสทธ user ธรรมดาเทานน (เวนแตผไมประสงคดใชเทคนคขนสง
เชน Privilege escalation ซงจะกลาวถงในโอกาสหนา) อกขอหนงคอ chroot ไมสามารถใชปองกนการท
ผไมประสงคดจะทำาลาย หรอดดแปลงแกไข Web application ของทาน ในกรณน ตองเขาใจกอนวา การ
โจมตประเภท Command injection หรอการสงการผาน Shell ทถกลกลอบฝงไว (รปท 146 (30-1)) จะ
สามารถทำางานไดตามสทธของ Web server เทานน ตอใหเราจำากดพนทท Web server สามารถเขาถงได
ดวย chroot แลวกตาม Web server กยงจำาเปนตองเขาถง Web application หรอ Content ตางๆ เชน
รปภาพ หรอขอมลทตองการเผยแพรตางๆ อยด ซงกยงเปนจดทผไมประสงคดสามารถกระทำาการมดมราย
แกระบบของทาน ได นอกจากน การโจมตทมเปาหมายเปนขอมลใน Database อยาง SQL Injection ก
ไมสามารถปองกนไดดวยวธนเชนกน
เมอทราบทง ขอดและจดออนของ chroot แลว หากวาทานผอานตองการนำาไปทดลองทำาดบาง จะตอง
ทำาอยางไร? สำาหรบทานทใช Apache ตงแต version 2.2.10 ขนไป กคอนขางจะงาย เพราะความสามารถ
chroot นน ไดถกรวมมาอยในตวอยแลว สำาหรบทานทใช version เกากวาน กมทางเลอกอก 2 ทางคอใช
mod_chroot หรอใช mod_security ซงจะไมขอพดถงในทน
ขนตอนการ chroot ใน Apache version 2.2.10 ขนไป จะมขนตอนใหญๆ 4 ขน ดงน
1. กำาหนดพนทสำาหรบทำาเปน root
2. แกไข Apache configuration
3. ยาย Web application
4. ทดสอบการทำางาน
206 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 207
กำ หนดพนทสำ หรบทำ เปน root พนทสำาหรบเปน root จะตองเปนพนททมขนาดใหญเพยงพอสำาหรบเกบ Web application และขอมล
ทกชนดทตองใชกบ Web application เอง รวมถงขอมลทตองการเผยแพรผาน Web server ทงหมด ใน
ทนกำาหนดใหเปน /var/wwwroot
แกไข Apache configuration เพมบรรทดดงตอไปนใน Apache configuration
ChrootDir /var/wwwroot
ยาย Web application เนองจากเมอ chroot แลว Apache จะไมสามารถเขาถงสงทอยนอก root ไดเลย ดงนนจงจำาเปนจะตอง
ยาย Web application และ Content ตางๆ เขามาอยใน root ใหมนทงหมด เชนถาม Web application
เดม อยท /var/www/application1 กตองยาย Web application ดงกลาวมาไวเปน /var/wwwroot/
var/www/application1
ซงอาจจะดสบสนไมนอย แตกเปนการแลกกบการทไมตองแกไข Configuration ของ Apache ใหมาก
จนเกนไปนก สวนตำาแหนงทเกบ Log file และ SSL Key/Certificate ทใชกบ Apache จะไมไดรบผลกระ
ทบจากการทำา chroot แตอยางใด จงไมจำาเปนตองแกไขใดๆ ทงสน
ทดสอบการทำ งาน เพอใหแนใจวา การ chroot เปนไปอยางสมบรณ ไมมผลกระทบตอการทำางาน จงจำาเปนตองทดลอง
ใชงานใหแนใจ โดยหลงจาก restart Apache แลว ใหทดลองใชงานพรอมตรวจสอบ Log file ใหแนใจวา
ไมม 404 not found หรอ Error ของ Web application เกดขนโดยไมคาดคด ซงอาจหมายความวาการ
ยาย Web application และ content ตางๆ ยงไมสมบรณอยางทควรจะเปน
31 รทนและปองกน MalwaRE ใน
ระบบปฏบตการ andRoid ตอนท 2ผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 17 ส.ค. 2555ปรบปรงลาสด: 17 ส.ค. 2555
จากบทความ รทนและปองกน Malware ในระบบปฏบตการ Android ผเขยนไดกลาวถงภยคกคามจาก
Malware ในระบบปฏบตการ Android พรอมทงแนะนำาวธการตรวจสอบ Permission หรอสทธการทำางาน
ของโปรแกรม และแนะนำาวธการปองกน Malware ในเบองตนไปแลว ในบทความตอนท 2 นจะกลาวถงชอง
โหวหรอวธการใหมๆ ทผสราง Malware นำามาใชในการโจมต พรอมทงเสนอแนวทางการปองกนทอาจชวยได
สถตทนาสนใจเกยวกบ Malware ในระบบปฏบตการ Android
จากขอมลใน Mobile Threat Report Q2 2012 ของ F-Secure [31-1] พบวา Malware กวา 64%
มาจากศนยซอฟตแวรของผพฒนาภายนอก (Third-party Android market) โดยประเภทของ Malware
ทพบมากทสดคอ Trojan ซงคดเปน 81% ของจำานวน Malware ทงหมดทพบในเดอนเมษายน - มถนายน
2555 ดงรปท 148 (31-1) สถตดงกลาวแสดงใหเหนวา วธการแพรกระจายของ Malware โดยสวนใหญนน
จะเปนการหลอกลวงใหผใชเปนผตดตงโปรแกรมอนตรายเขาไปเอง
208 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 209
รปท 148 (31-1) ประเภทของ Malware ทพบในระบบปฏบตการ Android (ทมา F-Secure)
และจากขอมลของ Kaspersky พบวา จำานวน Malware ในระบบปฏบตการ Android ในเดอน
เมษายน - มถนายน 2555 เพมขนเกอบ 3 เทาของจำานวน Malware ในเดอนมกราคม - มนาคม 2555 ดง
รปท 149 (31-2) [31-2]
รปท 149 (31-2) สถตการเพมขนของจำานวน Malware ในระบบปฏบตการ Android (ทมา Net-Security)
ทางฝง Android Market ทตอนนเปลยนชอเปน Google Play Store ถงแมวาทาง Google จะพฒนา
ระบบ Bouncer ขนมาเพอใชในการตรวจสอบความมนคงปลอดภยของแอปพลเคชนทนกพฒนาสง เขามา
กอนจะปลอยใหผใชดาวนโหลดจากศนยซอฟตแวรแลวกตาม [31-3] แตนกวจยกยงคนพบชองโหวของระบบ
ดงกลาว และไดทดลองสงแอปพลเคชนทมโคดของ Malware เขามาใน Play Store แลวพบวาแอปพลเคชน
ดงกลาวสามารถผานเขาส Play Store ไดโดยไมมการแจงเตอนเรองความมนคงปลอดภยแตอยางใด [31-4]
ตวอยางการขามผานระบบ Bouncer ทนกวจยใช เชน การแบงสวนโคดของ Malware ใสในแอปพลเคชนท
อยใน Play Store แลวเกบสวนทเหลอไวในเซรฟเวอรภายนอก เมอผใชตดตงแอปพลเคชนดงกลาวและเปด
ใชงาน แอปพลเคชนนนกจะไปดาวนโหลดโคดสวนทเหลอมาจากเซรฟเวอรแลวเรม ทำางานตามคำาสงอนตราย
ทถกใสไว [31-5] ดงนน ถงแมผใชจะดาวนโหลดแอปพลเคชนจาก Play Store ทนาจะเปนศนยซอฟตแวรท
มความนาเชอถอทสดแลวกถาม แตกยงไมอาจมนใจวาจะปลอดภยจาก Malware ได
ภยคกคามจาก Malware ในระบบปฏบตการ AndroidMalware ในระบบปฏบตการ Android ไดถกพฒนาไปมาก ขอมลดานลางนคอตวอยางวธการโจมต
แบบใหมทถกคนพบ
Man-in-the-Mobile
Man-in-the-Mobile (MitMo) เปน 1 ในวธการโจมตแบบ Man-in-the-Middle ซงเปนวธการทผไม
หวงดเขามาแทรกกลางในระหวางการสนทนาเพอดกรบ ขอมลโดยไมใหผทสนทนาอยรตว ซงผทดกรบขอมล
ไดนอกจากจะสามารถทราบขอมลทกอยางทสนทนากนได แลว ยงอาจแกไขหรอปลอมแปลงขอมลทรบสง
ไดดวย เมอการโจมตดงกลาวมาอยในอปกรณพกพาจงถกเรยกวา Man-in-the-Mobile
ตวอยาง Malware ทโจมตดวยวธน เชน SPITMO (SpyEye in the mobile) ซงจะหลอกใหผใชดาวน
โหลดแอปพลเคชนมาตดตง โดยภายในมคำาสงไมพงประสงคทจะดก OTP (One-time password) ซงเปน
รหสผานชวคราวททางธนาคารจะสง SMS มาใหกบลกคาเพอใชในการเขาสระบบ ตว Malware จะดกและ
สงตอ SMS ดงกลาวไปใหกบผสราง Malware เพอสวมรอยเขาสระบบของธนาคารแทนผใชตวจรง [31-6]
Clickjacking
Clickjacking โดยปกตจะหมายถงเวบไซตทดเหมอนเปนเวบไซตธรรมดาทวไป แตหนาเวบนนถกซอน
ทบโดยเนอหาทมองไมเหน (Transparent Layer) โดยผไมหวงดจะวางตำาแหนงของปมหรอลงกทมคำาสง
อนตรายไวซอนทบกบปมหรอลงกปกต ทำาใหเมอผใชคลกทลงกดงกลาว กจะเปนการสงใหคำาสงอนตราย
นนทำางานโดยไมไดตงใจ [31-7]
ในระบบปฏบตการ Android นกวจยไดทดลองสราง Malware ทแสดงผล Transparent Layer ซอน
ทบไอคอนของแอปพลเคชน Browser ทมากบระบบปฏบตการ โดยใหไปเรยกแอปพลเคชนอน เชน แอปพล
เคชนทบนทกขอมลการใชงานของผใชแลวแอบสงขอมลดงกลาวไป ใหผไมหวงด เปนตน ตวอยางการโจมต
ดวยวธดงกลาวสามารถดไดจาก http://youtu.be/RxpMPrqnxC0 [31-8]
Antivirus ปลอม
210 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 211
จากปญหาการแพรระบาดของ Malware ในระบบปฏบตการ Android จงมผพฒนาซอฟตแวร An-
tivirus ขนมาเพอตรวจจบและกำาจด Malware ออกจากระบบ ผไมหวงดอาศยชองทางนในการโจมตแบบ
Social Engineering โดยการสรางแอปพลเคชน Antivirus ปลอมขนมาแลวหลอกใหผใชดาวนโหลดไปตด
ตง [31-9] ตวอยางแอปพลเคชน Antivirus ปลอม เปนดงรปท 150 (31-3) อยางไรกตาม แหลงทมาของ
ซอฟตแวร Antivirus ปลอมโดยสวนใหญนนจะมาจากศนยซอฟตแวรภายนอก ยงไมมรายงานวามแอปพล
เคชน Antivirus ปลอมใน Play Store
สถตการเพมขนของจำานวน Malware ในระบบปฏบตการ Android (ทมา Net-Security)
รปท 150 (31-3) ตวอยางแอปพลเคชน Antivirus ปลอม (ทมา nakedsecurity)
Root bypass
ในระบบปฏบตการ Linux จะมบญชผใชทชอ root เปนผใชทมสทธสงสดในระบบ สามารถแกไขการตง
คาของระบบรวมทงสามารถเขาถงหรอเปลยนแปลงแกไขไฟล ของผใชในระบบคนไหนกได เนองจากระบบ
ปฏบตการ Android ถกพฒนาขนโดยมพนฐานมาจากระบบปฏบตการ Linux จงมบญชผใชทเปน root อย
ในระบบเชนกน ดงนนการ root ในระบบปฏบตการ Android จงหมายถงการประมวลผลแอปพลเคชนใดๆ
กตามดวยสทธของ root
การ root อปกรณทใชงานระบบปฏบตการ Android นนจะมขนตอนวธในการทำาแตกตางกนไป แตโดย
หลกแลว จะเปนการนำาไฟลไบนารของคำาสง su (Super User) ไปไวในไดเรกทอรทเกบคำาสงของระบบ แลว
กำาหนดสทธใหไฟล su สามารถประมวลผลได จากนนตดตงแอปพลเคชน เชน Superuser หรอ SuperSU
ลงในระบบ เพอตรวจสอบสทธและกำาหนดการอนญาตใหโปรแกรมอนๆ สามารถประมวลผลผานคำาสง su
โดยเมอตดตงโปรแกรมดงกลาวลงในระบบ แลวมการเรยกใชโปรแกรมทตองการสทธของ root จะปรากฎ
หนาตางขนมาเพอใหผใชกดยนยนการอนญาตกอน ดงรปท 151 (31-4) [31-10]
รปท 151 (31-4) การขออนญาตรนโปรแกรมโดยใชสทธของ root (ทมา Superuser)
ในระบบปฏบตการ Android เวอรชน 3.0 และเวอรชน 2.3.3 หรอเกากวา จะมชองโหว CVE-2011-
1823 ซงชองโหวดงกลาวทำาใหแอปพลเคชนใดๆ กตามสามารถประมวลผลคำาสงอนตรายโดยใชสทธของ
root ได ชองโหวดงกลาวนถกเรยกในชอ Gingerbreak [31-11] Malware ตวแรกทโจมตผานชองโหวดง
กลาว คอ Gingermaster ซงจะลกลอบเปด Service ลบในเครองของผใชและสงขอมลสวนตวออกไปใหกบ
ผสราง Malware [31-12] Gingermaster สามารถทำางานภายใตสทธของ root ไดโดยไมปรากฎหนาตาง
ยนยนการอนญาต และเนองจากเปนการโจมตผานชองโหวของระบบปฏบตการเอง ดงนนตอใหผใชไมได
root เครอง กจะถกโจมตไดเหมอนกบเครองทถก root แลวเชนกน
Drive-by-Download
โดยปกตแลวแอปพลเคชนในระบบปฏบตการ Android จะรนในโหมด Sandbox ซงจะเปนการทำางาน
แยกสวนออกมาจากการทำางานของระบบปฏบตการตามปกต เพอปองกนไมใหแอปพลเคชนใดๆ สามารถ
เขาถงหรอแกไขขอมลของแอปพลเคชนอนได ในระบบปฏบตการ Android เวอรชน 3.1 และเวอรชน
2.3.4 หรอเกากวา มชองโหว CVE-2011-2357 [31-13] ซงเปนขอผดพลาดในการโหลด URL ของแอปพล
เคชน Browser โดยชองโหวดงกลาวนอนญาตใหแอปพลเคชนใดๆ สามารถขามผานระบบ Sandbox ของ
Browser และสง JavaScript เขามาประมวลผลคำาสงอนตรายได ตวอยางการโจมตเปนดงรปท 152 (31-5)
212 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 213
รปท 152 (31-5) ตวอยางการโจมต Drive-by-Download ในระบบปฏบตการ Android (ทมา IBMAppSecGrp)
NFC
NFC หรอ Near field communication เปนเทคโนโลยการสอสารไรสายระยะสน โดยมระยะการใช
งานประมาณ 10 ซ.ม. นยมใชในการชำาระเงนโดยการแตะอปกรณเขากบเครองรบชำาระเงน หรอแลกเปลยน
ขอมลกบอปกรณทอยในระยะใกลเคยงกน [31-14] ในระบบปฏบตการ Android ตงแตเวอรชน 4.0 ขนไป
มความสามารถชอ Android Beam ซงใชความสามารถ NFC ในการสงไฟลระหวางอปกรณ Android ดวย
กนได [31-15]
นกวจยคนพบวาสามารถโจมตอปกรณทใชงานระบบปฏบตการ Android ผานทาง NFC ได โดยการ
โจมตดงกลาวนไมไดใชชองโหวของโพรโทคอล NFC แตเปนการโจมตผานชองโหวของ Browser (ดงทอธบาย
ไปในหวขอกอนหนาน) เนองจากหากนำาอปกรณทมความสามารถ NFC ไปแตะเขากบ NFC Tag ทม URL
ของเวบไซตอนตรายอย ตวระบบปฏบตการจะเปด Browser ไปท URL นนโดยอตโนมต ซงอาจเปนการ
ดาวนโหลด Malware หรออาจเปนการสงประมวลผลคำาสงอนตรายผาน Browser ได ชองโหวดงกลาวน
ถกแกไขแลวใน Android 4.0.2 โดยหากพบ NFC Tag ทเปน URL ระบบปฏบตการจะแสดงหนาตางเพอ
ใหผใชยนยนการเปดเวบไซตกอนเสมอ [31-16]
A-GPS
ในการระบตำาแหนงทอย โทรศพทมอถอ Smartphone โดยทวไปจะไมไดใชแคขอมลจาก GPS เพยง
อยางเดยว เนองจากการจบตำาแหนงจากดาวเทยมนนตองใชสญญาณจากดาวเทยมอยางนอย 4 ดวง และ
ตองการการประมวลผลทคอนขางซบซอน ถาตองการใหไดตำาแหนงทแมนยำาจรงๆ นนอาจตองใชเวลาในการ
คำานวณถง 12 นาท ดงนนจงมการใชขอมลจาก Wi-Fi หรอ Cellular Network จากผใหบรการโทรศพทมอ
ถอมาชวยในการคำานวณตำาแหนงดวย ซงวธการดงกลาวนเรยกวา Assisted GPS หรอ A-GPS [31-17] ใน
ระบบปฏบตการ Android ผใชสามารถเลอกวธการระบตำาแหนงไดในเมน Location service โดยการเปด
ใชงาน A-GPS จะอยทสวน Google’s location service และการเปดใชงาน GPS จากดาวเทยมจะอยท
สวน GPS satelites ดงรปท 153 (31-6)
รปท 153 (31-6) การตงคา Location Service
นกวจยไดคนพบวาขอมลทแลกเปลยนกนระหวางโทรศพทมอถอกบระบบ เครอขายนนไมไดสงผานชอง
ทางทมนคงปลอดภย ทำาใหผไมหวงดสามารถสงขอมล A-GPS ปลอม หรอขอมลอนๆ ทอาจใชในการโจมต
ได และการคำานวณพกดตำาแหนงนนไมไดทำาบนชป GPS แตถกคำานวณบน CPU ของตวอปกรณโดยตรง
เนองจากมความเรวในการทำางานทมากกวา ดงนนผโจมตจงสามารถสงคำาสงอนตรายเขาไปประมวลผลได
โดยนกวจยไดทดลองสราง Wi-Fi Network ทสงขอมลไปกบ A-GPS ใหเปลยนแปลงการตงคาของอปกรณ
โดยตงคาใหทกครงทอปกรณนนเชอมตอ A-GPS ตองสงขอมลพกดตำาแหนงมาใหกบ Wi-Fi Network นดวย
ทำาใหนกวจยสามารถตดตามตำาแหนงของคนทเคยเชอมตอกบ Wi-Fi Network นได [31-18]
การตรวจสอบและปองกนการตรวจสอบชองโหวในระบบปฏบตการ Android ทใชอย สามารถใชโปรแกรมททำาขนมาเพอตรวจ
สอบชองโหวโดยเฉพาะได เชน โปรแกรม X-Ray for Android ดงรปท 154 (31-7) โปรแกรมดงกลาวนถก
พฒนาขนโดยบรษท Duo Security ซงเปนบรษททพฒนาซอฟตแวรดาน Two-Factor Authentication ผ
ใชสามารถตรวจสอบขอมลเพมเตมและดาวนโหลดโปรแกรมดงกลาวไดจากเวบ ไซต http://www.xray.io/
214 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 215
รปท 154 (31-7) โปรแกรม X-Ray for Android (ทมา X-Ray)
จากขอมลทนำาเสนอไปขางตน จะเหนไดวา การปองกน Malware โดยดแค Permission ตอนตดตง
แอปพลเคชนนนคงจะไมเพยงพอ เพราะผโจมตตางกสรรหาวธการใหมๆ มาใชอยเรอยๆ และการโจมตบาง
อยางกเกดขนไดโดยทผใชแทบไมรตวเลยดวยซำา ดงนน การปองกนตวทดทสดควรเปนการระวงในการใช
งานของตวผใชเอง โดยเฉพาะการอพเดทแอปพลเคชนและระบบปฏบตการใหเปนเวอรชนลาสด และหมน
ตดตามขอมลขาวสารเรองความมนคงปลอดภยอยเสมอ
อางอง[31-1] http://www.f-secure.com/weblog/archives/
MobileThreatReport_Q2_2012.pdf
[31-2] http://www.net-security.org/malware_news.php?id=2225
[31-3] http://googlemobile.blogspot.com/2012/02/android-and-security.html
[31-4] http://www.theregister.co.uk/2012/06/04/
breaking_google_bouncer/
[31-5] http://www.symantec.com/connect/blogs/android-threat-trend-shows-
criminals-are-thinking-outside-box
[31-6] http://www.net-security.org/malware_news.php?id=2183
[31-7] https://www.owasp.org/index.php/Clickjacking
[31-8] http://thehackernews.com/2012/07/android-clickjacking-rootkit.html
[31-9] http://nakedsecurity.sophos.com/2012/05/16/fake-anti-virus-disguises-used-
by-android-malware/
[31-10] http://droidlessons.com/what-is-rooting-on-android-the-advantages-and-
disadvantages/
[31-11] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1823
[31-12] http://nakedsecurity.sophos.com/2011/08/22/first-malware-using-android-
gingerbreak-exploit/
[31-13] http://blog.watchfire.com/files/advisory-android-browser.pdf
[31-14] http://java.sun.com/developer/technicalArticles/javame/nfc/
[31-15] http://electronics.howstuffworks.com/android-beam.htm
[31-16] http://hexus.net/mobile/news/android/42933-android-nfc-walk-by-
vulnerabilities-demonstrated/
[31-17] http://tech2.in.com/features/all/what-is-agps-how-does-it-work/115142
[31-18] http://www.technologyreview.com/news/428632/gps-weakness-could-
enable-mass-smartphone-hacking/
216 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 217
32 PhiShing รปแบบใหมมากบ daTa uRi
ผเขยน: ไพชยนต วมกตะนนทน และ พรพรหม ประภากตตกลวนทเผยแพร: 7 ก.ย. 2555ปรบปรงลาสด: 7 ก.ย. 2555
จากสถานการณรบแจงเหตภยคกคามในปจจบน พบวาภยคกคามทเกดจาก Phishing ยงคงมาเปนอนดบ
หนงในประเทศไทย โดยการสรางหนาหลอกลวงใหเหยอหลงเชอกรอกขอมลสำาคญ และสงขอมลกลบไปยงผ
โจมตอกครง ซงในกรณดงกลาวทางผสรางเวบเบราวเซอรยอดนยมทงหลาย ไมวาจะเปน Firefox, Chrome,
Internet Explorer, Safari หรอ Opera กลวนแลวแตไมไดนงนอนใจ ซงจะเหนไดจากเวบเบราวเซอรชนนำา
เหลาน ไดมการเพมความสามารถในการตรวจจบ URL ของเวบไซตทไดรบรายงานวาเปนหนา Phishing และ
แจงใหผใชทราบกอนทจะเกดการหลงเชอและปอนขอมลสำาคญตางๆ เขาไป ดงทเคยไดอธบายถงในบทความ
กอนหนาน (Web Browser กบการปองกน Phishing Website) ซงผลลพธทไดจากแนวทางดงกลาวกนบ
วาเปนการปองกนความเสยหายทไดผลดในระดบหนง
แตตามรายงานขาวเมอวนท 29 สงหาคม 2555 ทผานมา นกศกษาจาก University of Oslo ประเทศ
นอรเวยทชอ Henning Klevjer ไดนำาเสนอแนวทางทอาจนำาไปสการโจมตในลกษณะของ Phishing ในรป
แบบใหม [32-1] โดยมการแสดงวธการฝง HTML Code ของหนา Phishing ลงใน URI โดยตรง และเมอ
มการเปดดวยเวบเบราวเซอรกจะทำาใหเหนหนา Phishing ตาม HTML Code ทฝงลงไป เชน URI ทแสดง
ในรปท 155 (32-1)
รปท 155 (32-1) ตวอยาง URI
เมอนำาไปเปดดวยเวบเบราวเซอรจะพบลกษณะดงรปท 156 (32-2)
รปท 156 (32-2) ตวอยางหนาเวบเพจทเกดจาก URI ในรปท 155 (32-1)
ซงสงททำาใหลกษณะการทำางานดงกลาวแตกตางจากการโจมตดวยเทคนค Phishing ในลกษณะเดมคอ
เวบเบราวเซอรจะไมไดมการตดตอกบเวบไซตใดเลยในการแสดงผลเวบเพจน โดยขอมลทงหมดไมวาจะเปน
HTML Code หรอแมแต Javascript เองกสามารถถกฝงเอาไวใน URI ขางตนไดทงสน ซงเทากบวาวธการ
ทเวบเบราวเซอรใชในการตรวจสอบหนา Phishing ดวย URL กจะไมสามารถใชไดผลอกตอไป
URI VS URL และภยทมากบ Data URIผใชหลายทานคงไดยนคำาวา URL กนมานานแลว บางทานเมออานบทความนในตอนแรกอาจทำาให
เกดความสบสนเมอมการพดถง URI โดยในหวขอนจะอธบายความหมายของคำาวา URI และ URL เพอให
ผอานเกดความเขาใจถงลกษณะการทำางานและแนวทางการโจมตทได กลาวไวในขางตน โดยมรายละเอยด
ทนาสนใจดงตอไปน
URI ยอมาจาก Universal Resource Identifier เปนมาตรฐานการอางองรปแบบการเขาถงทรพยากร
ตางๆ เปนมาตรฐานซงดแลกำากบโดยหนวยงาน IANA มลกษณะการเรยกใชงานทเรยกวา Scheme โดยม
Scheme ทกำาหนดไวเปนมาตรฐาน [32-2] เชน http, ftp, data เปนตน
URL (Uniform Resource Locator) ถอเปนสวนประกอบหนงของ URI เปนลกษณะของการระบท
อยของทรพยากรบนเครอขายอนเทอรเนต โดยมรปแบบการเรยกใชคอ [scheme]://[domain:port/path]
เชน http://example.com หรอ ftp://example.com ซงหมายถงมการเรยกใชโพรโทคอลชอ HTTP และ
FTP ในการเขาถงขอมลเวบไซตชอ example.com
โดยจาก Scheme ของ URI ทไดมการพดถงในบทความนคอ Data ซงความจรงแลวไมใชสงแปลกใหม
เนองจากความสามารถนถกระบอยใน RFC 2397 [32-3] ตงแตป 1998 แลว และมการนำามาใชเปนเวลา
นานพอสมควร โดยสวนมากเปนการใชเพอแสดงรปภาพขนาดเลกๆ เชน Bullet บนเวบไซต โดยมรปแบบ
การใชงานคอ data:[<mediatype>][;base64],<data> ดงตวอยางในรปท 157 (32-3)
218 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 219
รปท 157 (32-3) ตวอยาง URI
ผลลพธของการแสดงผลบนเวบเบราวเซอรจะแสดงรปภาพธงชาตไทยขนาดเลกทนท โดยไมจำาเปน
ตองมไฟลรปภาพนอยในเครองแมขายแตอยางใด ซงลกษณะตวอยางดงทกลาวมานคงทำาใหผอานพอเขาใจ
แลววาเหตใด เวบเบราวเซอรจงจะไมสามารถตรวจสอบหนา Phishing ทเกดจากการใชงาน Data URI ได
ขอสงเกตการใชงาน Data URIพบวาการใชงาน Data URI ยงคงมขอจำากดและลกษณะบางอยาง ซงอาจจะเปนเหตผลทในปจจบนน
ยงไมมการใช Data URI ในการโจมตในลกษณะ Phishing กได โดยมขอมลสนบสนนไดแก
1. ในชอง Address bar ทเปนขอมล Data URI จะมลกษณะทผดปกตมาก โดยมความยาวและไมได
ขนตนดวย http:// เหมอนอยางการเปดเวบไซตอนทวๆไป ซงอาจทำาใหเหยอเกดความสงสยได
2. การสงขอมลทหลอกลวงเหยอใหกรอกลงไปในหนา Phishing นน ยงคงตองอาศยการรบขอมลของ
Script ทตองมอยจรงบนอนเทอรเนต นนหมายถงใน Data URI ทเปดกจะตองมขอมลในสวนนอย
ซงอาจถกตรวจจบไดดวยกลไกการปองกน Phishing ของเวบเบราวเซอรตอไป
3. มการพบวาเวบเบราวเซอรตระกล Internet Explorer ซงเปนเวบเบราวเซอรทใชกนแพรหลายมาก
ทสดตวหนง ไมสนบสนนการใชงาน Data URI ทฝงขอมล HTML Code แตยงคงสนบสนนการใช
งานทเปนการแสดงขอมลประเภทรปภาพเทานน
ขอแนะนำ ในการปองกนตนเองจากขอสงเกตทไดกลาวมาในขางตนผใชเวบเบราวเซอร Internet Explorer อาจจะสบายใจไดในระดบ
หนงเนองจากโปรแกรมดงกลาวไมสามารถทำางานกบ Data URI ได แตสำาหรบผใช Firefox อาจจะสามารถ
ปองกนไดโดยการตดตง Extension ทชอ NoScript ในการปองกนการโจมตแบบนได โดย NoScript จะ
แสดงขอความเตอนเมอผใชพยายามเขาถง Data URI ผานการ Click บน Link ซงนาจะเปนสถานการณ
เดยวกนกบทผใชไดรบอเมล Phishing แตจากการทดสอบพบวาจะไมเกดผลถา Data URI นน เปนสวนหนง
ของเวบเพจอยแลว เชนการใช Data URI แสดงรปภาพ ดงรปท 158 (32-4)
รปท 158 (32-4) ตวอยางการแจงเตอน URI ผดปกต
และสำาหรบเวบเบราวเซอรอนๆ เชน Chrome Safari หรอ Opera กยงไมปรากฏวามวธการปองกน
ดวยการโจมตนแตอยางใด และจากการทดสอบดวยเวบเบราวเซอรบนโทรศพทมอถอทเปนระบบปฏบต
การ Android และ iOS กพบวาไดรบผลกระทบจากเรองนเชนกน และอาจรนแรงกวากรณทผใชผานเครอง
คอมพวเตอรเนองจาก Address bar สำาหรบโทรศพทมอถอคอนขางมลกษณะการมองเหนคอนขางจำากดซง
อาจทำาให สงเกตไดยากขนดงเชนรปท 159 (32-5)
รปท 159 (32-5) ตวอยางการเปด URI ในเบราวเซอร Safari ในเครอง iPhone
220 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 221
ซงในระหวางนผใชเองควรมสตในการใชงานอยางระมดระวงในการใชงานจนกวา จะมวธปองกนทดกวาน
ออกมา อยางไรกตาม ไมวาผอานจะใชงานเวบเบราวเซอรอะไร และมระบบปองกนหรอไมกตาม การใชวธการ
สงเกต URL ทผดปกต หรอสอบถามกบทางสถาบนการเงนโดยตรงกอนทกครงทมความสงสยเกยวกบการทำา
ธรกรรมทางการเงน กยอมเปนแนวทางการปองกนจากภยของการโจมตประเภท Phishing ทดทสดในทกกรณ
เอกสารอางอง[32-1] http://klevjers.com/papers/phishing.pdf
[32-2] http://www.iana.org/assignments/uri-schemes.html
[32-3] http://www.ietf.org/RFC/RFC2397.txt
33 PASSWORD, HASH และ
RAINbOW TAbLE ผเขยน: ไพชยนต วมกตะนนทนวนทเผยแพร: 5 ตลาคม 2555ปรบปรงลาสด: 5 ตลาคม 2555
ในระยะนมขาวเกยวกบองคกรตางๆ ทงของรฐและเอกชนในตางประเทศ ทถกกลมผไมประสงคด
ลกลอบขโมยขอมลออกมาอยบอยๆ ไมวาจะดวยเหตผลทางการเมองหรอเหตผลอนๆ กตาม แตทกครงท
ขอมลในองคกรเหลานนหลดออกมา สงทสญเสยไปนอกจากขอมลทเปนความลบตางๆ (รวมถงความเชอ
มนทมตอองคกร) แลว บางครง ขอมลสวนบคคล และรหสผานของผทใชงานระบบสารสนเทศในองคกร
เหลานนกถกนำาออกมาดวย
ขอมลประเภทรหสผานของบคคลนน มความสำาคญมากกวาทหลายคนคด เพราะจากสถตทผานมา พบ
วาคนเรามกจะใชรหสผานซำาๆ กนในแตละระบบทตนเองใชงาน เชนผใชจำานวนไมนอยทใชรหสผานเดยวกน
ทงระบบอเมล และ Web application ขององคกร รวมถงยงเอารหสผานนไปใชกบอเมลสวนตวดวย [33-1]
ทำาใหเมอผไมประสงคดเจาะเอารหสผานใน Web application ออกไปไดแลว กสามารถใชรหสผานนเพอ
เขาถงอเมลของผใชคนนน ทงในองคกรและอเมลสวนตวไดอยางสบาย
การเกบรหสผานในฐานขอมล หรอในไฟลขอมลกด เปนวธการปกตในการใชงานรหสผานของ Appli-
cation ตางๆ อยแลว ดงนนฐานขอมล หรอไฟลดงกลาวน จงเปรยบเสมอนกญแจเขาสระบบทงหมด ทผดแล
ระบบตองคอยระมดระวง ไมใหผไมประสงคดมาเอาออกไปได หรอถาเอาออกไปไดกตองนำาไปใชประโยชน
ไมได ซงในกรณหลงน ถาถามผเชยวชาญดานความมนคงปลอดภย กคงไดคำาตอบวา อยาเกบรหสผานเอา
ไวแบบ Plain text นนเอง
ถาไมเกบแบบ Plain text แลวจะเกบแบบใด ถาพดถงการเกบขอมลใหเปนความลบหลายคนคงนกถง
การเขารหสลบ (Encrypt) ซงมหลายรปแบบดวยกน แตการเกบรหสผานดวยรหสลบดจะไมเปนวธทดนก
เนองจากขนชอวาเปนการเขารหสลบแลว กตองม Key ทใชถอดรหสลบ (Decrypt) ซงกไมพนทจะตองเกบ
เอาไวทใดทหนง เชนในตว Application เอง ในกรณน ถาพจารณาจากรปแบบการโจมตของผไมประสงคดท
ผานๆ มาแลว จะพบวาสวนมากผโจมตจะสามารถเขาถงขอมลในเครอง Web server ไดดวย ดงนนนอกจาก
222 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 223
จะไดขอมลทมการเขารหสลบออกไปแลว กมกจะได Key ทสวนมากจะซอนอยในตว Web application
ออกไปดวยเชนกน เปรยบเหมอนใชตเซฟอยางด แตกลบวางกญแจไวบนโตะขางๆ กน
Hashingรปแบบการเกบรหสผานทนยมใชกนกคอ การเกบรหสผานในรปแบบของ Hash หรอชออยางเปน
ทางการคอ Cryptographic Hash ความสามารถของ Hash คอ สราง “ขอมลแทนตว” ของขอมลใดๆ ซงใน
ทนคอรหสผานนนเอง ขอดของ Hash ทเหนอกวาการเขารหสลบกคอคา Hash หรอ “ขอมลแทนตว” จะไม
สามารถถอดรหส หรอกระทำาการใดๆ เพอใหกลบออกมาเปนคาทแทจรงของขอมลนนๆ ได เชนถาผไมประสงค
ด ได Hash ทมคาเปน 3fd7e602e98245a83eed414d798040e952e01cbee0979269d2a0150db-
d37172030d6e8d6a2b1baaf23c2acfe1624d112b9fd6a7cd678b36e7aff411e9b09f0c7 ออกไป
จากการเจาะระบบ กจะไมสามารถทราบวา รหสผานทแทจรงคอ thisismysecretpassword เปนอนขาด
ทานผอานอาจจะสงสยวา ในเมอไมมทางทจะ “ถอดรหส” คา Hash ออกมาได ตว Web application
จะทราบไดอยางไรวาผใชงานปอนรหสผานเขามาถกตองแลว คำาตอบกคอ ตว Web application ไมจำาเปน
ตองทราบวารหสผานทถกตองคออะไร ขอเพยงแคเมอเอารหสผานทผใชปอนเขามา ไปผาน Hash แบบ
เดยวกนกบทใชกบรหสผานทเกบในระบบ ถาผลทไดออกมาตรงกบคาทเกบเอาไวกเปนอนทราบไดแนวา
รหสผานทผใชงานปอนเขามานนถกตองแลว
Hash นนมหลายแบบ ทเปนทรจกกนมากทสดดเหมอนจะเปน MD5 ซงมขาวใหญเมอหลายปมาแลววา
มผ Crack ไดสำาเรจ จนเกดความวตกกงวลไปทว โดยเฉพาะผทไดยนขาวมาโดยไมทราบรายละเอยดทแทจรง
รายละเอยดของเรองนกคอ Hash ทกชนด มขอจำากดอยอยางหนงคอการเกด Collision หรอการซำากนของ
คา Hash ซงถาลองพจารณาดแลวจะเหนวาเรองนไมใชเรองแปลกเลย เนองจากคณสมบตของ “ขอมลแทน
ตว” ท Hash สรางขนจะมความยาวคงทเสมอสำาหรบ Hash แตละแบบ เชนในกรณของ MD5 จะมขนาด 16
ไบต (128 บต) ดงนนคา MD5 ทงหมดในโลกนทจะมไดคอ 256^16 หรอ 2^128 คาเทานน ในขณะทขอมล
ทตองการหาคา Hash นนอาจเปนขอมลอะไรกได ซงยอมมความหลากหลายมากกวา จำานวน 256^16 หรอ
2^128 แนนอน จงเปนไปไดทจะพบวามขอมลมากกวา 1 ชด ทมคา Hash ตรงกน และเชนกน สำาหรบการ
ใช Hash เกบขอมลรหสผาน กยอมมโอกาสทจะมรหสผานมากกวา 1 ชด ทใหคา Hash ออกมาตรงกนดวย
ดเหมอน Hash collision จะเปนกฏธรรมชาตทไมสามารถหลกเลยงได แตในกรณของ MD5 จะม
ความพเศษมากขนอกขน เมอมผคนพบวธการสรางขอมลใดๆ กตาม ใหมคา Hash ตรงกน [33-2] จงทำาให
หนวยงานดานความมนคงปลอดภยตางๆ เชน US-CERT ไดระบวา MD5 เปน Hash แบบทมความมนคง
ปลอดภยไมเพยงพอในปจจบน [33-3] และควรหลกเลยงไปใชการ Hash แบบอน สวน NIST กไดแนะนำา
ใหหนวยงานรฐบาลของสหรฐฯ ใชการ Hash แบบ SHA-2 [33-4] ซงมความยาวของคา Hash ตงแต 28
ไบต (224 บต) ขนไปแทน
Hash cracking
อยางไรกตาม การมจดออนเรอง Hash collision กยงไมใชจดออนโดยตรงทจะทำาใหการเกบรหสผาน
ดวย MD5 ไมมนคงปลอดภย เพราะถงแมผโจมตจะไดรหสผานทถก Hash ดวย MD5 เอาไวออกไป กยง
ไมสจะมประโยชนตอการใชเขาสระบบนก (ยกเวนมความผดพลาดในการออกแบบ Application ซงจะกลาว
ถงในโอกาสหนา) ผโจมตจำาเปนตองหาทาง “ถอดรหส” ของคา Hash ออกมาใหเปนรหสผานไดเสยกอน
ความจรงแลว Hash ไมสามารถถอดรหสได เนองจาก Hash ทกชนด ไมใชการเขารหส กระบวนการ
Hash คอกระบวนการทเรยกวา “ฟงกชนทางเดยว” (One way function) ทไมสามารถกระทำาการยอนกลบ
(Reverse) ได ลองคดถงการนำาขอมลขนาด 1 เทระไบต มา Hash ดวย MD5 ซงจะได 16 ไบตเสมอ ถาสามารถ
หาวธแปลงขอมล 16 ไบตกลบเปน 1 เทระไบต ไดกเทากบวา MD5 เปนวธการบบอดขอมลทดทสดในโลก
ดงนน การ “ถอดรหส” ของ Hash ในความหมายทเขาใจกนทวไปกหมายถง การหาคาตงตนกอนท
จะถก Hash นนเอง ซงวธการทนยมใชกนกคอ การใชวธพยายามสมรหสผานทเปนไปไดทละคา และนำาไป
ผาน Hash แบบเดยวกบทใช Hash รหสผานทไดมา แลวเทยบกนจนกวาจะพบคาทตรงกน ซงอาจเรยกได
วาเปนการ Bruteforce รปแบบหนง ซงถาหากรหสผานมความยาวหรอความซบซอนมาก กวาจะสมหารหส
ผานทถกตองพบไดกยอมตองใชเวลานาน
การหาคาตงตนของ Hash จำาเปนตองใชความสามารถของคอมพวเตอรในการคำานวณคา ซงปจจบน
นยมใช GPU (Graphic Processing Unit) ของการดแสดงผล (Display Adapter หรอ Display Card)
มาคำานวณแทน เนองจากมความสามารถในการคำานวณทางคณตศาสตรดกวา CPU มาก และสามารถเพม
ขยายความสามารถไดดวยการเพมจำานวนการดแสดงผลในเครอง คอมพวเตอร ซงสะดวกกวาการเปลยน
CPU หรอเพมจำานวน CPU
จากการทดลองดวยโปรแกรม oclHashcat ซงเปนโปรแกรมทใชหาคาตงตนของ Hash ดวยการสมคา
บนเครองคอมพวเตอรทใช GPU ของ ATI รน RADEON 5450 ซงเปน GPU รนพนฐาน พบวา สำาหรบรหส
ผานทมความยาว 6 ตวอกษร และประกอบดวยตวอกษรทงตวเลกตวใหญ สญลกษณ และตวเลข จะใชเวลา
ไมเกน 1 ชวโมง ในการสมคาจนครบทกคาทเปนไปไดใน Hash ชนด MD5 นนหมายความวา ถาผใชงานใช
รหสผานทมความยาวเพยง 6 ตวอกษรในระบบทใช Hash ชนด MD5 ผโจมตจะสามารถ “ถอดรหส” ได
อยางแนนอนในเวลาไมเกน 1 ชวโมง แมจะใชเพยง GPU รนพนฐานทมอายรวม 2 ปแลว แตถาเพมความ
ยาวรหสผานเปน 8 และ 9 ตวอกษร จะตองใชเวลามากขนเปนกวา 300 วน และกวา 10 ปตามลำาดบ เพอ
สมคาจนครบทกคาทเปนไปได บน GPU ตวเดม
สำาหรบตวเลขของระยะเวลาตรงนคงตองมการอธบายเพมเตมเลกนอยวา เปนระยะเวลา “สงสด” ท
ตองใช ซงทงนขนอยกบรปแบบการสมคาของโปรแกรม เชนถารหสผานทแทจรงเปน 000000001 และ
โปรแกรมเรมสมตงแต 000000000 กคงทราบไดทนทวาไมตองรอถง 10 ปแนนอน
ถารหสผานมการเกบดวย Hash แบบอน เชน SHA-1 หรอ SHA-2 ซงใชเวลาในการคำานวณมากกวา
ระยะเวลาทใชในการหาคาตงตนกยอมนานขนไปอก ดงนนแนวคดของการใช Hash ทคำานวณยากขน (เชน
224 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 225
SHA-2 ขนาด 512 บต) ยอมชวยใหการ “ถอดรหส” เปนไปไดยากขน รวมถงการใชรหสผานทมความยาว
มากๆ เชน 9 ตวอกษรขนไป หรอใช Salt ชวย ในการเพมความยาวของรหสผานเขาไปอกชนหนง
Rainbow Tableถงแม GPU ระดบปานกลางทสามารถคำานวณ Hash แบบ MD5 ไดในระดบ 10 ลาน Hash ตอวนาท
[33-5] จะราคาไมแพงมากนก แตกไมใชทกคนทจะม GPU แบบนใชงาน จงมผคดคนวธทสามารถนำาผลลพธ
จากการคำานวณ Hash มาใชซำาไดหลายๆ ครง โดยไมตองเสยเวลาคำานวณใหม หลกการคอเกบคารหสผานท
สมขนมา พรอมกบคา Hash ทคำานวณออกมาไดเอาไวในไฟล โดยอาจแบงแยกตามความยาวของรหสผาน
เพอใหใชงานไดงาย เวลานำามาใชงานกเพยงแคเทยบคา Hash ทตองการหาคาตงตนมาเทยบกบคาทมในไฟล
วธนกจะใชแคความสามารถในการคนหาขอมลเทานน ไมจำาเปนตองใชความสามารถในการคำานวณเลย ไฟล
ทเกบขอมล Hash และคาตงตนนเรยกวา Rainbow Table
สำาหรบผทม GPU ดๆ ใชงาน อาจจะยอมเสยเวลาครงเดยวเพอสราง Hash ตามความยาว ความซบ
ซอน และรปแบบการ Hash ทตองการออกมาเกบเอาไว สวนครงตอไปทตองการใชงานกเอาไฟลนไปใชได
ทนท แตถาไมม GPU หรอไมตองการเสยเวลากอาจใชวธดาวนโหลด Rainbow Table ทมผสรางขนมาเสรจ
แลว และมแจกจายบนอนเตอรเนตมาใชงาน ซง Rainbow Table ทมแจกจายน สวนมากจะอยในรปแบบ
เฉพาะสำาหรบโปรแกรม “ถอดรหส” Hash แตละตว เชนไฟลชนด .rti สำาหรบโปรแกรม rcracki_mt [33-6]
และแบงแยกตามชนดของ Hash ความยาวของคาตงตน (ในทนคอรหสผาน) กบความซบซอนของรหสผาน
เชน มสญลกษณพเศษหรอไม เปนตน
ความเชออยางหนงเกยวกบ Rainbow Table กคอ มนสามารถ “ถอดรหส” Hash ไดทกชนด เรยก
วาการทผไมประสงคดได Hash ของรหสผานไปนนกเทากบไดรหสผานไปโดยตรงนนเอง ความเชอนอาจจะ
ไมผดโดยสนเชง แตอาจกลาวไดวา ยงไมถกตองนก เพราะการทจะใช Rainbow Table ในการหารหสผาน
ทถกตองจาก Hash ใดๆ จะตองใช Rainbow Table ทสรางขนมาจาก Hash ทตรงกน ความยาวรหสผาน
ตรงกน (ไมมากกวาหรอนอยกวา) และมความซบซอนระดบเดยวกนหรอมากกวา ขนแรก ผทจะ “ถอดรหส”
Hash จะตองรวาเปน Hash ชนดใด จากนนกตองเดาความซบซอนของรหสผาน วาตองใชระดบใด ซงในสวน
นอาจจะใชวธเลอกความซบซอนทสงทสดเอาไวกอนกได สวนสดทาย ทยากทสด คอ เดาความยาวของรหส
ผาน เพราะอยางททราบแลววา คา Hash จะมคาความยาวคงท ไมวาจะมคาตงตนขนาดเทาไหรกตาม การ
พจารณาความยาวของคาตงตนจากคา Hash จงเปนไปไดยาก ผไมประสงคดจะรไดวา Rainbow Table ท
นำามาใชมความยาวของคาตงตนไมตรงกบรหสผานท Hash เอาไวไดกตอเมอเสยเวลาลงมอไปแลวเทานน
นอกจากน ในปจจบนกยงไมไดมการสราง Rainbow Table ขนมาสำาหรบ Hash ทกชนด หรอทก
ความยาวของรหสผาน เพราะถงแมจะม CPU หรอ GPU ทมความสามารถสงๆ มากมาย แตสำาหรบ Hash
ทตองใชพลงในการประมวลผลมาก เชน SHA-2 ขนาด 256 บตขนไป รวมถง Hash พนฐานเชน MD5 เอง
ในระดบความยาว 10 หรอ 12 ตวอกษร หรอใช MD5 ซำาๆ หลายๆ ครง กยงจะตองใชเวลาในการสราง
Rainbow Table มากจนไมสามารถใช GPU ทวไปได ทำาใหยงไมพบวามการสราง Rainbow Table สำาหรบ
Hash ประเภทนขนมาแจกจายเชนกน
Saltingจากทกลาวมาแลววา รหสผานยงยาว ยงตองใชเวลามากในการ “ถอดรหส” แตการบงคบใหผใชงาน
ระบบใดๆ สรางรหสผานขนาด 10 ตวอกษรขนไปกอาจจะไมเปนการสะดวกแกผใชงานนก วธการหนงท
สามารถนำามาใชเพมความยาวใหกบรหสผานโดยมผลกระทบกบผ ใชนอยกคอการเพมขอมลทสมขนมา
จำานวนหนงเขาไปในรหสผานทผใชปอนกอนจะนำาไป Hash ขอมลชดทเพมขนนเรยกวา Salt ตวอยางเชน
เมอผใชงานตงคารหสผานขนมาเปน “secretpassword” ซงมความยาว 14 ตวอกษร ระบบจะสมคา Salt
ขนมาคาหนง สมมตใหเปนคา “fojgshU1” ซงมความยาว 8 ตวอกษร กอนทจะนำารหสผานไปเกบ ระบบ
จะนำารหสผานกบ Salt มาตอกน แลวจงหา Hash ซงจะเทากบ Hash นมคาตงตนถง 22 ตวอกษร ซงตอง
ใชเวลาในการ “ถอดรหส” นานกวา Hash ของรหสผานเดมมาก ถงแมวาผไมประสงคดจะสามารถอานคา
Salt ของแตละรหสผานไดโดยตรง (เนองจากปกตจะเกบ Salt เปน Plain Text) แตกไมไดชวยใหการสมหาร
หสผานทถกตองงายขนแตอยางใด เพราะอปสรรคของการ “ถอดรหส” Hash อยทจำานวนครงทตองคำานวณ
Hash เปนสำาคญ ในกรณทใหรหสผานเปนตวอกษรตวเลก ตวใหญ และตวเลขเทานน ซงจะมความเปนไป
ได 62 แบบ จะเทากบวา ถารหสผานยาว 14 ตวอกษร ผไมประสงคดอาจตอง Hash ถง 62^14 ครง ถงจะ
ไดคารหสผานทถกตอง แตถาเพม Salt เขาไปอก 8 ตวอกษร จำานวนครงทอาจตองใชจะมถง 62^22 ครง
ตางกนถง 218,340,105,584,896 เทา ซงเปนเวลาทเพมขนอยางมหาศาลทเดยว
Conclusion1. ควรเกบรหสผานในรปแบบ Hash เทานน การเขารหสลบ (Encyption) อาจไม
แตกตางจากการเกบรหสผานเปน Plain Text เมอถกโจมต
2. รหสผานยงยาว ยงใชเวลาในการ “ถอดรหส” มาก
3. MD5 ยงเพยงพอทจะใชเกบรหสผาน ถาใชถกวธ แตกยงส SHA-2 เมอใชงาน
อยางถกวธเชนกนไมได
4. การใช Salt หรอ Hash ซำาๆ หลายๆ ครงชวยเพมความมนคงปลอดภยได
5. ทดทสดคอ ระวงอยาใหรหสผานทเกบอย ถกเขาถงไดจากบคคลภายนอก
226 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 227
อางอง[33-1] http://www.pcworld.com/article/161078/
one_third_use_same_password.html
[33-2] http://www.win.tue.nl/hashclash/
[33-3] http://www.kb.cert.org/vuls/id/836068
[33-4] http://csrc.nist.gov/groups/ST/hash/policy.html
[33-5] http://majuric.org/software/cudamd5/
[33-6] http://www.freerainbowtables.com/en/download/
34 ขอแนะนำ ในการใชงานอนเทอรเนตผาน
คอมพวเตอรสาธารณะผเขยน: เสฏฐวฒ แสนนามวนทเผยแพร: 26 ต.ค. 2555ปรบปรงลาสด: 26 ต.ค. 2555
การใชงานคอมพวเตอรสาธารณะนนมความมนคงปลอดภยตำา เพราะเราไมอาจทราบไดวาเครอง
คอมพวเตอรดงกลาวนนไดถกผไมหวงด ตดตงโปรแกรมอนตรายมาเพอดกรบขอมลหรอเปลา หรอระบบ
ทเชอมตออยนนมความมนคงปลอดภยมากนอยแคไหน อยางไรกตาม ในบางสถานการณ เราอาจมความ
จำาเปนทจะตองใชงานอนเทอรเนตผานเครองคอมพวเตอรสาธารณะ เพอเขาถงขอมลสำาคญ เชน เชคอเมล
หรอแกไขไฟลเอกสาร เปนตน ดงนน เพอชวยใหมความมนคงปลอดภยมากขนในการใชงานคอมพวเตอร
สาธารณะ ขอแนะนำาตางๆ เหลานอาจชวยในการปกปองขอมลสำาคญจากผไมหวงดได
อนตรายจากการใชงานคอมพวเตอรสาธารณะKeylogger คอฮารดแวรหรอซอฟตแวรททำาหนาทบนทกการกดปมบน Keyboard ทำาใหรวาผทใชงาน
คอมพวเตอรเครองนนพมพขอความอะไรลงไปบาง [34-1] ซงหาก Keylogger ถกตดตงในเครองคอมพวเตอร
สาธารณะ ผไมหวงดกสามารถไดขอมลสำาคญๆ ของผทใชงานเครองนน เชน Username หรอ Passsword
ไปไดอยางงายดาย ตวอยาง Keylogger เปนดงรปท 160 (34-1) และ 161 (34-2)
228 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 229
รปท 160 (34-1) ตวอยาง Hardware Keylogger (ทมา Wikipedia)
รปท 161 (34-2) ตวอยางขอมลทบนทกโดยใช Software Keylogger (ทมา Wikipedia)
Spyware เปนซอฟตแวรทถกสรางขนมาเพอขโมยขอมลของผใช ไมวาจะเปนขอมลการใชงานอนเทอรเนต
ขอมลการตงคาของเครอง แอบถายภาพหนาจอ หรอแมกระทงแอบบนทกเสยง เปนตน [2] Spyware อาจ
ถกตดตงมาในเครองแบบตงใจหรอไมตงใจกได เนองจากโปรแกรมทแจกใหผใชดาวนโหลดไปใชงานไดฟรมผ
พฒนาบางราย แอบใส Spyware เขามาเพอเกบขอมลพฤตกรรมของผใชไวดวย โปรแกรม Keylogger นน
กถอวาเปน Spyware รปแบบหนง
Shoulder surfing คอมพวเตอรบางเครองอาจไมมโปรแกรมอนตรายตดตงอย แตถกจดวางไวในทท
คนสามารถเดนผานไปมาและมองเหนสงทอยบนจอไดงาย ทำาใหการยนอยดานหลงเพอแอบมองรหสผานนน
สามารถทำาไดงาย รวมไปถงการแอบมองสงทปรากฏอยบนหนาจอจากระยะไกลนนกอาจทำาไดงาย เชนกน
Sniffer คอการดกรบขอมลทสงผานระบบเครอขาย หากเราเขาเวบไซตทใชการเชอมตอแบบ HTTP
ซงไมมการเขารหสลบขอมลทรบสง กอาจถกผไมหวงดขโมยขอมลสำาคญไปได
ขอแนะนำ ในการใชงานเลอกใชเครองทไมมคนเดนผานไปมาบอย เพอปองกนการทำา Shoulder surfing และไมควรเลอก
เครองทวางอยในตำาแหนงทมวตถสามารถสะทอนแสงจากหนา จอได เชน โลหะ หรอ กระจก
ตรวจสอบ Keylogger แบบ Hardware โดยสงเกตทสายตอระหวาง Keyboard กบชองเสยบทอย
ดานหลงเครองคอมพวเตอร หากพบวามอปกรณแปลกๆ ถกเสยบอย อาจเปน Keylogger ไมควรใชเครองนน
บตเครองโดยใช Bootable CD หรอ Bootable USB หากเครองคอมพวเตอรสามารถบตจาก
Bootable CD หรอ Bootable USB ได (เชน Linux Live CD) การบตเครองดวยวธดงกลาวกสามารถชวย
ปองกนอนตรายจากซอฟตแวรไม พงประสงคทอาจถกตดตงอยในเครองดงกลาวได อยางไรกตาม วธดงกลาว
นอาจไมสามารถใชงานไดกบเครองคอมพวเตอรสาธารณะทกเครอง เนองจากเครองดงกลาวจำาเปนตองมการ
ตงคาการเชอมตอกบเครอขาย หรอตงคาการเชอมตอกบอปกรณอนๆ ในระบบ ซงการบตจาก Bootable CD
หรอ Bootable USB อาจจะไมมขอมลการตงคาในสวนน ทำาใหไมสามารถเขาใชงานระบบเครอขายหรออปก
รณอนๆ ได อยางไรกตาม วธนเราจำาเปนตองมแผน Bootable CD หรอพก Bootable USB ตดตวไปดวย
ตรวจสอบ Software Keylogger และ Spyware ถาเครองทใชงานมโปรแกรมประเภท Antivirus
หรอ Antispyware ตดตงอย กอนใชงาน ควรอพเดทฐานขอมลของโปรแกรมและสแกนไฟลในเครองเพอ
ตรวจสอบและกำาจด โปรแกรมไมพงประสงค โดยเฉพาะ Keylogger และ Spyware อยางไรกตาม ถงจะ
สแกนแลวและไมพบโปรแกรมอนตรายดงกลาว กควรใชโปรแกรมประเภท On-Screen Keyboard ในการ
พมพ Username และ Password ในหนาเวบไซต เพราะโปรแกรม Keylogger โดยสวนใหญจะไมสามารถ
ดกจบขอมลทพมพจาก On-Screen Keyboard ได ตวอยางโปรแกรม On-Screen Keyboard เปนดงรป
ท 162 (34-3)
รปท 162 (34-3) โปรแกรม On-Screen Keyboard ใน Windows 7 (ทมา Microsoft)
230 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 231
ใช Portable Software เนองจาก Portable Software เปนซอฟตแวรทสามารถเรยกใชงานไดทนท
โดยไมจำาเปนตองตดตงลงในเครอง และโดยสวนใหญจะนยมเรยกใชงานผาน USB Drive ซงมขอดคอขอมล
การทำางานตางๆ ของโปรแกรมนนจะถกเกบบนทกลงในตว USB Drive เอง ทำาใหปลอดภยตอการทขอมล
รวไหลเนองจากการ Cache ขอมลเกบไวในเครองได [34-3] ปจจบนมผนำาโปรแกรมประเภท Freeware
หรอ Open Source มาพฒนาใหเปนแบบ Portable เพอใหผใชดาวนโหลดไปใชงานไดสะดวก เชน เวบไซต
PortableApps.com เปนตน ซงมโปรแกรมทจำาเปนสำาหรบการใชงานอนเทอรเนต เชน Browser, Instant
Messenger, VoIP รวมอยดวย
ใชงานเบราวเซอรในโหมด Private Browsing หากจำาเปนตองใชงานเบราวเซอรทตดตงอยในเครอง
ควรใชงานเบราวเซอรดงกลาวในโหมด Private Browsing ซงจะเปนการตงคาใหเบราวเซอรไมเกบขอมล
การใชงานอนเทอรเนต เชน Cache, History, หรอ Cookie ไวในเครอง [34-4] ปจจบนโปรแกรมเบราว
เซอรโดยสวนใหญมความสามารถ Private Browsing มาดวยอยแลว เพยงแตจะใชชอแตกตางกนไปใน
แตละโปรแกรม โดยท
o Internet Explorer ใชชอ InPrivate Browsing
o Mozilla Firefox ใชชอ Private Browsing
o Google Chrome ใชชอ Incognito mode
o Opera ใชชอ Private browsing
o Safari ใชชอ Private Browsing
อยางไรกตาม การทำางานของ Private Browsing นนเปนแคการลบไฟลทงหลงจากทผใชปดแทบหรอ
ปดโปรแกรมเบราวเซอร เทานน ผไมหวงดอาจใชโปรแกรมกขอมลทถกลบไปแลวขนมาดได [34-5] [34-6]
ปด Add-on ในเบราวเซอร ถงแมวา Add-on ในเบราวเซอรนนจะมประโยชนในการชวยอำานวยความ
สะดวกและเพมความสามารถใน การทำางานใหกบเบราวเซอร แตบาง Add-on อาจมชองโหวเรองความมนคง
ปลอดภย และบาง Add-on อาจทำาหนาทเปน Man-in-the-Browser คอยดกจบขอมลทรบสง รวมถงอาจ
แกไขหนาเวบไซตใหแสดงผลเวบไซตหลอกลวงได ดงนนเพอความมนคงปลอดภยควรปด Add-on ทงหมด
ในเบราวเซอร หรอเลอกเปดใชงานเฉพาะ Add-on ทจำาเปนเทานน
ใชการเชอมตอผาน HTTPS การใชงานเวบไซตผานโพรโทคอล HTTPS ชวยปองกนไมใหผไมหวงด
สามารถแกะขอมลสำาคญจากการดกรบขอมลได ดงทเคยไดมการอธบายไปแลวในบทความ วนนคณใช HTTPS
หรอยง ดงนนหากเวบไซตทเขาใชงานรองรบการเชอมตอแต HTTPS กควรเปดใชงานทกครง
ใชการยนยนตวตนแบบ 2 ขนตอน (Two-factor Authentication) ซงจะเปนการใชขอมลอกสวน
รวมกบรหสผาน เพอใชในการเขาสระบบ ซงโดยปกตแลวจะเปนการสง SMS บอกรหสอกชดเขามายงโทรศพท
มอถอทลงทะเบยนไวกบบญชผใชนนๆ วธการตงคาการใชงานการยนยนตวตนแบบ 2 ขนตอนสำาหรบ Gmail
และ Hotmail ไดมการอธบายไปแลวในบทความ ปองกนบญชผใช Gmail / Hotmail จากการถกแฮกดวย
วธงายๆ สำาหรบบรการอนๆ สามารถศกษาไดเวบไซตของผใหบรการนนๆ (ถาม) [34-7]
ไมบนทกไฟลขอมลสำาคญลงในเครอง เพราะอาจเสยงตอการขอมลรวไหล เนองจากถงแมจะลบไฟลไป
แลว แตผไมหวงกดอาจใชโปรแกรมกคนไฟลทถกลบไปแลวได หากจำาเปนตองบนทกไฟลทเปนขอมลสำาคญ
เพอเปดอานหรอแกไข ควรบนทกลงในสอบนทกขอมลภายนอก เชน USB Drive
Logout ออกจากเวบไซตทกครงหลงใชงาน เนองจากในบางเวบไซตจะมการตงคาใหจำาสถานะของ
ผใชไววากำาลง Login อย ซงถงแมจะปดเบราวเซอรไปแลว แตหากเปดเบราวเซอรแลวเขาเวบไซตนนใหม ก
จะยงคงสถานะเปน Login อย ดงนนเมอใชงานเวบไซตตางๆ เสรจเรยบรอยแลว ควร Logout ทดครง เพอ
ปองกนการสวมรอยเขาใชงาน
Restart เครองหลงใชงาน เนองจากในการใชงานคอมพวเตอร จะมการเกบขอมลไวใน RAM เพอใช
ในการประมวลผล ซงหากเครองนนม RAM นอย เครองกจะเอาขอมลสวนทเกนมาเกบไวในฮารดดสก ซง
เรยกวา Virtual Memory, Pagefile หรอ Swap ซงถงแมจะปดโปรแกรมไปแลวกยงอาจมขอมลสำาคญ
หลงเหลออยภายใน RAM หรอใน Virtual Memory ได การ Restart เครองจะเปนการเคลยรขอมลทอย
ในสวนนออกไป [34-8]
ไมใชงานธนาคารออนไลนหรอทำาธรกรรมทเกยวของกบการเงน เนองจากทงเครองคอมพวเตอร
สาธารณะและเครอขายทเชอมตออยนน ไมสามารถแนใจในความมนคงปลอดภยได เพอความไมประมาท
จงไมควรเขาใชงานเวบไซตทเกยวของกบการทำาธรกรรมทางการเงน
รบเปลยนรหสผานทนททสามารถทำาได เพอเปนการปองกนในกรณทรหสผานหลดออกไป
ขอแนะนำาทกลาวถงขางตนนสามารถชวยใหการใชงานอนเทอรเนตผานคอมพวเตอรสาธารณะมความ
มนคงปลอดภยเพมขนได แตอาจชวยไดในระดบหนงเทานน ผใชงานควรใชดวยความระมดระวง และพงระลก
ไวเสมอวา การกระทำาธรกรรมตางๆ โดยใชคอมพวเตอรสาธารณะนนมความเสยงเสมอ
232 | Cyber Threat Alerts - 2012 Cyber Threat Alerts - 2012 | 233
อางอง[34-1] http://www.securelist.com/en/analysis/204791931/
Keyloggers_How_they_work_and_how_to_detect_them_Part_1
[34-2] http://searchsecurity.techtarget.com/definition/spyware
[34-3] http://portableapps.com/about/what_is_a_portable_app
[34-4] http://www.howtogeek.com/117776/htg-explains-how-private-browsing-
works-and-why-it-doesnt-offer-complete-privacy/
[34-5] http://www.techrepublic.com/blog/security/how-do-new-private-browsing-
capabilities-affect-forensics/654
[34-6] http://www.ehow.com/info_12229669_recovery-private-browsing-cache-
firefox.html
[34-7] http://lifehacker.com/5938565/heres-everywhere-you-should-enable-
two+factor-authentication-right-now
[34-8] http://support.microsoft.com/kb/314834
234 | Cyber Threat Alerts - 2012
ᨌ§àµ×͹áÅТŒÍá¹Ð¹Ó CYBER
THR
EAT A
LERTS - 2012
SECURITY ARTICLES
º·¤ÇÒÁà¼Âá¾Ã‹
2012
CYBERâ´Â
Top Related