Data Leakage and Data Privacy Part1: Half year 2015 Leaked Data

ปีนี้ผมเห็นเรื่องราวของ Data Leakage นี่น่าสนใจมากครับ ซึ่งแน่นอนข้อมูลที่รั่วออกมานี้มีประเด็นเรื่องของ Data Privacy แน่ๆ

ashleymadison-580x370

ล่าสุดที่เป็นข่าวดังคงหนีไม่พ้น Ashley Madison เวปไซต์หาคู่ หากิ๊ก ชื่อดังในต่างประเทศที่ถูก Hack โดยกลุ่ม Hacker ที่มีชื่อว่า Impact Team ซึ่งทาง Impact Team ข่มขู่ให้ปิดเวปไซต์ไป ไม่งั้นจะเอา Data ที่ขโมยออกมาเผยแพร่บน Internet โดยตอนนี้มีการปล่อย Data จาก Impact Team ถึง 3 รอบแล้ว

  • รอบแรก Data มีขนาดประมาณ​ 10 GB เป็นข้อมูล member ของเวปไซต์ ซึ่งมี hash password รวมอยู่ด้วย
  • รอบสอง Data มีขนาดประมาณ​ 20 GB ซึ่งรอบนี้มีปัญหาคือไฟล์ขนาด 13 GB ที่คาดว่าเป็น Email Dump ของผู้บริหารนั้นเกิด Corrupt ทำให้เปิดไม่ได้
  • รอบสาม Data มีขนาดประมาณ​ 18 GB ซึ่งเป็นตัวแก้ไข Email Dump ที่ Corrupted ในรอบที่ 2 โดยรอบนี้ก็มีปัญหาเช่นเดียวกันคือ หลังจากปล่อยผ่าน Torrent มา 2-3 วันแล้ว แต่ทุกคนไม่สามารถโหลดได้สำเร็จเนื่องจาก Seeder หาย ทำให้โหลดได้ประมาณ 17 GB จาก 18 GB

นอกจาก Data ที่รั่วออกมาตอนนี้แล้ว Impact Team ยัง Claim ว่ายังมี Data ที่เป็นรูปอีกหลายร้อย GB เตรียมที่จะปล่อยอยู่อีก

เรื่องของ Data Leak ไม่ใช่เรื่องใหม่ ก่อนหน้านี้ไม่นานก็มีเรื่องราวของ Hacking Team ที่ถูก Hack และถูกนำข้อมูลออกมาปล่อยบน Internet ประมาณ​ 400 GB โดยข้อมูลของ Hacking Team มีความสำคัญกับความมั่นคงในระดับชาติ มี Zero day exploit ต่างๆ ถูกปล่อยออกมารัวๆในช่วงเวลานั้น

hacking team

เท่าที่จำได้เรื่องข้อมูลรั่วยังมี Series ชื่อดังอย่าง Game of Thrones Season 5 ถูกนำเอามาปล่อยบน Bittorrent ก่อนวันที่กำหนดโดยตอนนั้นหลุดออกมารวดเดียวถึง 4 Episodes ซึ่ง Leak ครั้งนี้ผมเชื่อว่าคนส่วนใหญ่ Happy นะครับ

got5

นอกจากนี้ยังมี Campaign ที่ชื่อว่า Dark Hacktivism – Information is everything ที่กลุ่ม Hacker ชื่อว่า TeamGhostShell ได้โจมตีเวปไซต์มากกว่า 100 เวปไซต์ โดยเน้นไปที่สถาบันการศึกษา โดยสถาบันการศึกษาในไทยก็โดนไปพอสมควร

dark hacktivism

ย้อนกลับไปเมื่อปลายปีที่แล้ว Sony Picture ถูก Hack โดยกลุ่ม GOP (Guardian of Peace) ตามข่าวบอกว่าข้อมูลถูกขโมยออกมาประมาณ 100 TB (TB Terabyte ถูกแล้วครับ ไม่ใช่แค่ระดับ GB) แต่ที่เห็น Torrent ให้โหลดตอนนั้นมีประมาณ​ 30 GB

hacked-by-gop-sony-pictures-under-attack

นี่เราพูดกันถึง Data ระดับใหญ่ๆที่รั่วแล้วเป็นข่าวเท่านั้นนะครับ ซึ่งจริงๆแล้วยังมี Data อีกมากที่รั่วออกมาแล้วไม่เป็นข่าว หรือในบางกรณีองค์กรไม่รู้ตัวด้วยซ้ำว่าถูกขโมยข้อมูลออกไปแล้ว ถ้าอยากดูสถิติเกี่ยวกับเรื่องการ Data ที่ถูกขโมย หรือ การที่ Hacker แฝงตัวใน network ขององค์กร สามารถไปหา Report ของ Mandiant มาอ่านเพิ่มได้นะครับ https://www.mandiant.com/resources/mandiant-reports

ซึ่งในตอนต่อไปจะพูดถึงประเด็นต่างๆ ในเรื่อง Data Leakage และ Data Privacy สำหรับกลุ่มคน 2 กลุ่มนั่นคือ

  • คนที่สนใจจะป้องกันข้อมูลขององค์กร ไม่อยากตกเป็นเหยื่อรายต่อไป
  • คนที่สนใจอยากเข้าถึง Data ที่ Leak ออกมา ซึ่งเดิมคุณอาจจะคิดว่าแค่หา Link Download ได้ก็พอแล้ว แต่เดี๋ยวนี้ผมคิดว่าไม่พอแล้วล่ะ มันมีเรื่องอื่นที่ควรคำนึงถึงอีกเช่น
    • ความเร็วในการ Download ข้อมูล ปริมาณมากขนาดนี้ ถ้าช้าบางครั้งมันถูกลบไป จะหา Link ใหม่ ก็ยาก
    • Storage ที่มีอาจไม่พอที่จะเก็บข้อมูลเหล่านี้ เพราะมันเยอะมาก
    • Search Engine ที่ใช้ ถ้าคุณใช้ Google หาข้อมูลบางครั้ง Data ถูก Filter ออกเยอะมาก
    • พอ Original Data เริ่มปล่อยออกมาเสร็จ ก็จะมีคนเอา Data ไป Filter แล้วเอามาปล่อยซ้ำบอกว่าเป็นข้อมูลที่ Leak ทำให้เสียเวลา Download อันที่ไม่สมบูรณ์ ที่เห็นเป็นประจำคือกรณีที่ credential leak ออกมาก ตัว Original data มี Format เป็น username:password หลังๆจะมีคนเอามาปล่อยโดยตัด password ทิ้ง เหลือให้แต่ username
    • กรณีที่ Filter Data ทิ้งไม่เท่าไร บางครั้งเจอพวก malware หรือ เจอปล่อย Fake Data ออกมาด้วย
    • อย่างกรณี Ashley Madison ล่าสุดที่ปล่อย Corrupted file และ ไม่มี Seeder ที่มี File ครบ 100% นี่อาจเป็นการตั้งใจหรือไม่ตั้งใจก็เป็นได้ แต่มันทำให้เสียเวลา เปลือง Bandwidth เปลือง Storage
    • Skill ที่ควรมีเพิ่มคือเรื่องของการทำ Forensics วิเคราะห์ Corrupted File, ทำ Data recovery จาก Corrupted File
    • Dark Marketplace ที่มีการซื้อขาย Data
    • etc.

Security Distro

เมื่อวานนี้ Distro ชื่อดังอย่าง Kali Linux ได้ออก Version 2.0 ซึ่งสามารถ Download ได้ที่ https://www.kali.org/downloads/

Released Date  Timeline ของ Kali Linux สามารถดูได้จากวีดีโอด้านล่างนะครับ มีตั้งแต่สมัยที่ยังเป็น Backtrack อยู่เลย

ผมคิดว่าคนที่เข้ามาอ่าน Blog นี้คงทราบดีอยู่แล้วว่า Kali ไว้ทำอะไรนะครับ ซึ่งหลักๆก็คือใช้ทำ Pentest แหละครับ แต่คุณทราบหรือไม่ว่าในโลกนี้ยังมี Distro ที่เกี่ยวกับ Security และมีประโยชน์อีกมากมายให้เลือกใช้ ซึ่ง Distro แต่ละอันก็ออกแบบมาเพื่อวัตถุประสงค์ที่แตกต่างกัน การเลือกใช้ก็ควรเลือกให้เหมาะสมนะครับ โดยเริ่มตัวแรกเลยแล้วกันครับ

  1. Tails – เป็น Distro ที่เหมาะสำหรับคนที่ต้องการระวังเรื่อง Privacy เป็นพิเศษ มีการติดตั้ง Tor มาด้วย รวมไปถึงการใช้งานเน้นรันบน memory (RAM) ถ้าปิดเครื่องไปข้อมูลหายหมด ทำให้ยากในการทำ Forensics หรือ Track หาหลักฐานมาเชื่อมโยงกับผู้ใช้งานนะครับ กลุ่มผู้ใช้งานของ Tails นั้นค่อนข้างกว้างมาก User ทั่วๆไปก็สามารถใช้งานได้ หรือ อาจจะเป็นกลุ่มนักข่าว หรือ หน่วยข่าวกรองต่างๆ รวมไปถึงพวก Whistleblower เช่น Edward Snowden ก็ใช้งาน Tails นะครับ

tchou-improved สามารถ Download ได้ที่ https://tails.boum.org

2. REMnux – เป็น Distro ที่ใช้สำหรับการทำ Malware Reverse Engineering รวมถึงการวิเคราะห์ Malware ซึ่งคนที่ทำ REMnux ก็คือ Lenny Zeltser ผู้เชี่ยวชาญด้าน Security และยังเป็นเจ้าของหลักสูตร SEC660 – Reverse-Engineering Malware จาก SANS ด้วยครับ

REMnux-Logoสามารถ Download ได้ที่ https://remnux.org

3. SIFT Workstation – SIFT ย่อมาจาก SANS Investigative Forensic Toolkit ชื่อก็บอกแล้วนะครับว่าใช้ทำ Forensics เป็นหลัก จะมี Tool ที่ติดตั้งเพื่อเตรียมไว้ทำ Forensics เช่น Tool ที่ใช้ทำ File Carving, Timeline analysis และอื่นๆที่จำเป็นในการวิเคราะห์พิสูจน์หลักฐาน คนที่ดูแล SIFT ก็คือ Rob Lee หนึ่งในผู้นำทางด้าน Digital Forensics และเจ้าของหลักฐาน Forensics ของ SANS ครับ

SANSสามารถ Download ได้ที่ http://digital-forensics.sans.org/community/downloads

4. Security Onion – อันนี้เหมาะสำหรับเอามาใช้ทำ IDS/IPS, NSM (Network Security Monitoring), Intrusion Analysis, Network Forensics และ Feature อื่นๆอีกมากมาย ซึ่งก็จะเน้นทางฝั่ง Defense เป็นหลัก

securityonion_logo_575x101สามารถ Download ได้ที่ https://github.com/Security-Onion-Solutions/security-onion/wiki/Installation

5. OSSIM – มาจาก The Open Source SIEM ซึ่งชื่อก็บอกแล้วครับว่าเป็น SIEM ตัวนึงโดยเป็นของ AlienVault โดย AlienVault เองก็มี Product ที่เป็น version เสียเงินของ OSSIM ซึ่งจะใช้ชื่อว่า AlienVault USM

alienvault ossimสามารถ Download ได้ที่ https://www.alienvault.com/products/ossim

สุดท้ายนี้หวังว่าหลายๆคนคงเลือก Tool ได้เหมาะสมกับงานมากขึ้นนะครับ รวมถึงน่าจะได้ทราบถึงข้อมูลของ Distro ที่น่าสนใจที่สามารถนำมาใช้ประโยชน์เพื่อช่วยทำให้องค์กร หรือ หน่วยงานแข็งแรงขึ้นได้

How to get Free Internet at Dubai International Airport (DXB)

I have to transit at Dubai International Airport and found that the Internet here was provided only 30 minutes for free. A question comes through my head. How can I survive for such a long transit???

Here is the normal procedure for connecting the Internet.

  1. Select “DXB Free Wifi” as your prefer network
  2. Open web browser and type in any web site, it will be redirected to portal.boingohotspot.net which will allow you to use free Internet free 30 minutes for the first time.

After finish 30 minutes, the free Internet option will be gone from package selection page.

If you want to stay online again, here is the procedure.

  1. Open your web browser with private mode (some browser call it InPrivate, Incognito mode)
  2. Enter any URL, and it will be redirected to portal.boingohotspot.net again. This time the free Internet package will be shown up.
  3. Enjoy your Internet.

The reason behind this?

My first thought is the WIFI system must remember MAC Address of the machine. However, after changing MAC address, it still remember my machine. Then another option would be web browser sent cookie value to identify itself, and the WIFI system uses cookie value to identify which machine has already used free Internet. Thus, using Private mode on Web browser is the easiest option since this mode always clear the cookie value. Every time a browser tab is closed, the cookie is clear and it will get a new one after going to portal.boingohotspot.net website.

The Imitation Game: From Security View

สวัสดีปีใหม่ ปี 2015 นี่เป็น Post แรกของปีนี้ ผมจำได้ว่าเคยเขียน Review หนังเรื่อง 007 Skyfall ไปเมื่อนานมาแล้ว พอย้อนกลับไปดูก็พบว่าเขียนไป 2 ปีที่แล้ว ซึ่งนานพอสมควรละ คงถึงเวลาที่จะรีวิวเรื่องใหม่ละครับ สำหรับหนังที่จะมารีวิวกันในครั้งนี้จะเป็นเรื่อง “The Imitation Game” ซึ่งเป็นเรื่องราวของนักคณิตศาสตร์ Alan Turing ที่ได้สร้างประโยชน์ให้กับโลกนี้อย่างมหาศาลในสมัยสงครามโลกครั้งที่ 2 โดยส่วนตัวตอนแรกไม่ได้สนใจเรื่องนี้เลย เนื่องจากอ่านจากชื่อเรื่องแล้วไม่ได้คาดคิดเลยว่าจะเป็นหนังแนวนี้ แต่พอเห็นรูปจากกระทู้ของ Pantip เท่านั้นล่ะ อยากดูเลย เนื่องจากจำได้ว่าเจ้าเครื่องจักรในรูปนั้นเป็นเครื่อง The Bombe ที่ Alan Turing ใช้ในการถอดรหัสสมัยสงครามโลกครั้งที่ 2 นอกจากนี้ก็ชอบดารานำ 2 คนคือ Benedict Cumberbatch จาก Series Sherlock มาเล่นเป็น Alan Turing และ Keira Knightley จาก Begin Again ที่มารับบทเป็น Joan Clarke pantip ใครก็ตามที่สนใจเรื่อง Security อยู่แล้วคงจะชอบเรื่องนี้นะครับ เพราะว่าเกี่ยวกับเรื่อง Cryptography (วิทยาการการเข้ารหัส) มากๆ เรื่อง Cryptography นั้นมีความสำคัญมาตั้งแต่สมัยก่อนโดยเฉพาะในช่วงเวลาที่ทำสงครามกัน (บางคนเข้าใจว่า Cryptography เพิ่งมีในยุคนี้ ทำความเข้าใจใหม่นะครับ) ในหนังเรื่องนี้จะเป็นช่วงสงครามโลกครั้งที่ 2 ยุคที่การสื่อสารยังทำผ่านวิทยุเป็นหลัก ฝ่ายเยอรมันใช้เครื่อง Enigma ซึ่งเป็นเครื่องที่ใช้ในการเข้ารหัส (Encrypt) ที่เชื่อกันว่าจะไม่มีใครสามารถถอดรหัส (Decrypt) ได้ หากไม่ทราบ Key ที่ถูกต้อง ข้อมูลการสื่อสารทุกอย่างของเยอรมันได้รับการเข้ารหัส เช่น พิกัดในการโจมตี หรือแม้แต่ ข้อมูลดินฟ้าอากาศ ฝ่ายอังกฤษถึงแม้ว่าจะสามารถดัก (Intercept) ข้อมูลได้แต่ก็ไม่สามารถที่จะทำความเข้าใจกับข้อมูลที่ถูกเข้ารหัส (Ciphertext) ได้ ทำให้ตกเป็นฝ่ายเสียเปรียบในการทำสงคราม เพื่อที่จะทำการถอดรหัสข้อมูลให้ได้นั้นประเทศอังกฤษได้รวบรวมคนเก่งๆจากทั่วประเทศมารวมกันที่ Bletchy Park เป็นจุดที่อยู่ระหว่างเมือง Cambridge และ Oxford ที่เลือกจุดนี้ก็เพื่อความสะดวกในการเดินทางของคนเก่งๆที่ดึงมาจาก 2 มหาลัยชื่อดังของเมืองทั้งสองนี่เอง ภาพจากในหนัง Bletchy Park bletchy park ปัจจุบัน Bletchy Park ยังมีอยู่นะครับ เปิดเป็น Museum ให้คนทั่วไปเข้าชมได้ ด้านในก็จะมีอุปกรณ์ต่างๆที่ใช้ในสงครามโลกตั้งแต่เครื่อง Enigma จนถึง รถยนต์ เครื่องบินต่างๆ ที่ใช้ในสมัยนั้น อันนี้ภาพที่ไปถ่ายที่ Bletchy Park เมื่อหลายปีก่อน Bletchley Parkถัดมานี่คือฉากที่มีการแนะนำ Enigma สุดยอดเครื่องที่ใช้ในการเข้ารหัสในสมัยนั้น enigma ในฉากนี้จะอธิบายถึงการทำงานของ Enigma และ Process ในการเปลี่ยน Key ของฝั่งเยอรมัน โดยจะมีประโยคที่ว่า “The German switches the setting everyday promptly at midnight. We usually intercept the first message around 6AM. That give you exactly 18 hours everyday to crack the code” ประโยคนี้ถือว่ามีความสำคัญสูงในเรื่องของ Cryptography เพราะว่า การเข้ารหัสนั้นเราอาจจะไม่จำเป็นต้องใช้ Algorithm ที่สุดยอดไม่มีใคร Crack ได้ตลอดกาลก็ได้ เราอาจต้องการแค่ Algorithm ที่ไม่สามารถ Crack ได้ในระยะเวลาที่กำหนด ใน Case นี้คือทางเยอรมันเชื่อว่าไม่มีใคร Crack Enigma ได้ภายใน 1 วัน จึงทำการเปลี่ยน Key ทุกๆวัน หลายๆ Protocol ในปัจจุบันเรื่องใช้วิธีการลักษณะเดียวกันคือ Key renegotiation อีกฉากหนึ่งที่น่าสนใจคือในขณะที่ Alan Turing พยายามผลิตเครื่องจักรที่ใช้ในการถอดรหัส Enigma คนในทีมคนอื่นๆ ก็เลือกใช้แรงงานสมองของมนุษย์ในการถอดรหัส โดยในฉากนี้มีประโยคที่กล่าวว่า “We have decrypted a number of German messages by analysing the Frequency of Letter Distribution.” letter frequency analysis มันคืออะไร? Frequency of Letter Distribution หรือเทคนิคการทำ Letter Frequency Analysis ซึ่งเป็นเทคนิคที่ใช้ในการถอดรหัสของการเข้ารหัสที่เป็น Substitution Cipher (Enigma มีพื้นฐานการเข้ารหัสแบบ Polyalphabetic Substition Cipher) โดยหลักการพื้นฐานของ Letter Frequency Analysis คือการนับการความถี่ของตัวอักษรแล้ว map เข้ากับความถี่ของตัวอักษรในข้อมูลที่ถูกเข้ารหัสที่มีสัดส่วนความถี่ที่ใกล้เคียงกัน เช่น ในข้อมูลที่ถูกเข้ารหัสด้วยวิธีการ Substition Cipher นั้นมีตัวอักษร “G” มากสุด เมื่อถอดรหัสด้วย Letter Frequency Analysis แล้วมีโอกาสที่จะเป็นตัวอักษร “E” สูงมากเนื่องจากในภาษาอังกฤษตัวอักษร “E” มีโอกาสพบมากที่สุด อีกฉากที่ชอบคือในห้องเรียนตอน Turing ยังเด็ก Turing มีการเขียนข้อความที่เข้ารหัสส่งให้เพื่อนแต่โดนคุณครูจับได้และเปิดอ่าน ซึ่งคุณครูอ่านไม่รู้เรื่องเพราะไม่เข้าใจว่าข้อความถูกเข้ารหัสอยู่ รูปด้านล่างเป็นข้อความใน Note ของ Turing letter จากตัวอักษรในกระดาษจะพบว่านี่เป็น Cipher ชนิด Monoalphabetic Substitution Cipher นะครับ ดูง่ายมากเพราะการเข้ารหัสแบบนี้คือการสลับตัวอักษรกัน ในตัวอย่างนี้ 2 แถวบนเป็นข้อความที่ถูกเข้ารหัสแล้ว ส่วน 2 แถวล่างคือข้อความที่ไม่ได้ถูกเข้ารหัส การแทนที่ของตัวอักษรเป็นแบบง่ายๆ ดูจากคำว่า “SEE” (คำแรกของข้อความที่ไม่ได้ถูกเข้ารหัส) คือคำว่า “WII” (คำแรกของข้อความที่ถูกเข้ารหัส) นั่นหมายถึงว่า “E” ถูกแทนด้วย “I” และ “S” ถูกแทนที่ด้วย “W” ถ้าสังเกตตัวอื่นจะเห็นว่า “E” จะถูกแทนด้วย “I” ทั้งหมด ซึ่งลักษณะของ Substition Cipher ที่เป็น Monoalphabetic ถ้าเป็น Substitution Cipher ที่ซับซ้อนกว่านี้ เช่น Polyalphabetic Substitution Cipher ตัว “E” อาจจะไม่ได้ถูกแทนด้วย “I” ทั้งหมดก็เป็นได้ ขึ้นอยู่กับตำแหน่งของตัว “E” ด้วย (ถ้างงแนะนำว่าไปอ่านเพิ่มเกี่ยวกับ Vigenère cipher นะครับ) ถัดมาในหนังระหว่างที่มีการใช้ Christopher ถอดรหัส ผลปรากฎว่า เครื่องใช้เวลานานมากจนโครงการของ Turing เกือบถูกยกเลิก สาเหตุก็คือ Key (หรือ Setting Combination) ของ Enigma มีจำนวนมากนั่นคือ 159×10^18 นั่นเองหากใช้เครื่องจักรหาทุก Combination ก็ยังจะใช้เวลานานมากอยู่ดี ก่อนที่จะ Crack Enigma Code ได้สำเร็จ Turing ได้ไอเดียจากการคุยกับ Helen (เพื่อนของ Joan ไม่แน่ใจว่าเรื่องจริงเป็นแบบในหนังหรือไม่) helen ซึ่งทำให้สามารถใช้เทคนิคที่เรียกว่า Known Plaintext Attack (ทราบบางส่วนว่า Plaintext คือคำว่าอะไร) จนในที่สุดก็ปรับแต่ง Christopher ให้เน้นหา Key ที่ทำการ Decrypt แล้วได้คำนั้นออกมา (คำว่า weather เนื่องจากเยอรมันมีการรายงานสภาพอากาศทุกวันตอนเช้า) ซึ่งวิธีการนี้ทำให้ย่นระยะเวลาลงไปมาก จนในที่สุด Alan ก็สามารถถอดรหัส ได้และนำมาซึ่งชัยชนะในสงครามโลกครั้งที่ 2

ป.ล. เครื่องที่ใช้ในการถอดรหัสนั้นมีชื่อว่า The Bombe ซึ่งในหนังจะใช้ชื่อว่า Christopher เดาว่าเพื่อให้หนังดูดราม่าหน่อยๆแหละ The Bombe Poster

ยุทธการทหารจีนจาก World War C: ตอนที่ 2

การทำ Brute Force Attack กับ Security ในประเทศไทย

Screen Shot 2557-09-07 at 8.12.55 PM

ไม่น่าเชื่อเหมือนกันว่าวิธีการที่มักใช้แล้วประสบผลสำเร็จในการบุกเข้าระบบนั่นคือการเดารัวๆแบบ Brute Force Attack โดย Practical แล้วไม่ค่อยมีใครทำ Brute Force Attack กันเท่าไรยกเว้นกรณีที่ต้องการ Crack File ในการบุกรุกเข้าระบบนั้นมักจะใช้วิธีการที่เรียกว่า Dictionary Attack ซึ่งคือแทนที่จะเดารัวๆทุก Combination ของตัวอักษร ก็เลือกคำที่น่าจะเป็น Password มาเดาแทน ทำให้ลดเวลาในการเดาได้มากทีเดียว

ซึ่งโดยส่วนมากปราการด่านแรกที่สำคัญของระบบต่างๆ มักจะถูกปกป้องด้วย Username และ Password เท่านั้นเอง ทำให้มีโอกาสสูงมากที่จะโจมตีสำเร็จด้วยวิธีการเดารัวๆ

วิธีการป้องกันการโจมตีประเภทนี้ไม่ได้ยากอะไรเลย เพียงแค่

  1. Display Consistent Error คือ ไม่ต้องอธิบายสาเหตุของการ Login ไม่สำเร็จให้กับ User รู้หรอก เนื่องจากว่า นั่นอาจจะหมายถึงการอนุญาตให้ผู้ร้ายสามารถทำ User Enumeration ได้
  2. Password Policy คือ มีการกำหนด และ บังคับใช้ Password Policy ที่ดี (ไว้โอกาสหน้าจะมาคุยเรื่อง Password)

ต่อให้องค์กรที่ไม่ได้ทำ 2 อย่างข้างต้นเลย เวลามีการทำ Brute Force Attack ก็ควรที่จะมีการตรวจสอบถึงความผิดปกติของ Network ได้บ้าง IDS/IPS ควรจะ Alert อะไรได้บ้าง แต่ในโลกความเป็นจริงที่โหดร้ายนี้คือ องค์กรที่ลงทุนในอุปกรณ์ Security หลายๆล้านบาทก็ไม่สามารถหลุดรอดจากยุทธการทหารจีนนี้ เพราะว่าอุปกรณ์เหล่านี้ไม่ได้ช่วยป้องกันในกรณีที่ใช้ Password ง่าย นอกจากนี้ในระหว่างการทำ Brute Force Attack นั้น Network Bandwidth มีการ Spike ขึ้นมา IDS/IPS มีการ Trigger แต่ดันไม่มี คน Monitor หรือ คนที่จะ Response ดังนั้นนี่จึงเป็นจุดอ่อนที่ทำให้การโจมตีแบบเน้น Quantity over Quality นั้นประสบผลสำเร็จมากทีเดียว

ภาพรวมการบริหารจัดการระบบ Security ในประเทศไทยนั้นยังอ่อนแออยู่มาก (ไม่นับ Banking Sector ที่ดูจะแข็งพอสมควร โดยเฉพาะอันที่ให้ลูกค้าใช้) หลายๆ องค์กรมีอุปกรณ์ Security ที่ใหม่ๆ เจ๋งๆ ดูดี มากมาย หรือ ศัพท์ที่เรียกในวงการว่าพวกอุปกรณ์ Next Gen แต่ละปี องค์กร หรือ บริษัท ได้ทุ่มเทงบประมาณไปในการซื้ออุปกรณ์เหล่านี้หลายล้านบาท แต่ผลตอบแทนที่ได้รับนั้นอาจจะไม่คุ้มกับเงินที่ลงทุนไป หากยังไม่สามารถจัดการกับปัญหาพื้นฐานให้เรียบร้อยซะก่อน

คนส่วนใหญ่พูดถึง People, Process, Technology (PPT) เจ้าอุปกรณ์ที่เราทุ่มเงินซื้อไปเป็นเพียงแค่ 1 ใน 3 ขององค์ประกอบทั้งหมดเท่านั้นเอง การทำ Security ให้ดีนั้นควรจะทำให้ดีครบทุกด้าน ดังเช่นประโยคสุดคลาสสิกของวงการคือ “Security is as strong as its weakest link”

Security is as strong as its weakest link

Security is as strong as its weakest link

ถ้าคนของคุณคือจุดอ่อน คุณควรจะพัฒนาคนให้มีความรู้

  1. พนักงานทั่วๆไป อย่างน้อยควรจะต้องรู้เรื่องความเป็นไปเกี่ยวกับ Security จะต้องมีการให้ความรู้ความเข้าใจ หรือ จัดทำ Security Awareness Training ให้บ้าง
  2. พนักงานที่มีหน้าที่รับผิดชอบโดยตรงเกี่ยวกับงาน Security ควรจะต้องมีการพัฒนาให้ทราบ Concept แนวคิดกระบวนการต่างๆ ของ Security ไม่ใช่ให้ Training แต่อุปกรณ์ที่ซื้อมาเท่านั้น ไป Training อุปกรณ์ก็ได้ Skill พอใช้งานเป็น แต่อาจจะไม่เข้าใจ Security Concept ภาพรวมอยู่ดี สุดท้ายระบบก็อ่อนแออยู่ดี

สรุปสั้นๆคือ อยากให้หันกลับมามอง Concept ที่เป็นพื้นฐานของ Security ให้มากขึ้น

  1. Solution ต่างๆที่มีอยู่ในองค์กรปัจจุบัน อาจจะเหมาะสมกับองค์กรอยู่แล้ว หากคนที่ดูแลมีความสามารถในการบริหารจัดการอย่างเหมาะสม ลองพิจารณาใช้เงินเพิ่มคุณค่าของคน แทนที่จะใช้เงินไปซื้อ Solution ใหม่ๆมาแล้วใช้ได้ไม่เต็มที่
  2. พิจารณาเรื่องการทำ Security อย่างรอบด้าน People, Process และ Technology สำคัญทั้งหมด

ยุทธการทหารจีน จาก World War C: ตอนที่ 1

Report จาก FireEye ออกมาเมื่อปีที่แล้วชื่อว่า “World War C: Understanding Nation-State Motives Behind Today’s Advanced Cyber Attacks” ซึ่งไม่ใช่ว่าเพิ่งอ่านเจอนะครับ เรามีแนะนำไปบน Facebook ตั้งแต่ตอนออกใหม่ๆแล้วล่ะ แต่ที่จะเขียนในบทความนี้คือสิ่งที่อยากจะเล่าจากประสบการณ์ในด้าน Security

World War C:

เริ่มจากรายงาน World War C ที่ตั้งชื่อให้เลียนเสียง World War Z หนังสือ และ หนังดังประจำปี 2013 ที่เป็นเรื่องเกี่ยวกับ “ซอมบี้” ซึ่งในหนังเองก็จะเห็นถึงวิธีการรับมือกับปัญหาที่ของรัฐบาลประเทศต่างๆ ซึ่งการตัดสินใจที่ไม่เหมือนกันนั้นส่วนหนึ่งคงเป็นเรื่องของ วัฒนธรรม ที่แตกต่างกันในแต่ละเชื้อชาตินั่นเอง

world-war-z-poster

เอ๊ะ แล้ว World War Z เกี่ยวอะไรกับ World War C ในรายงานของ FireEye ฉบับนี้ได้พยายามวิเคราะห์รูปแบบการทำ Cyber Attack ของประเทศต่างๆ (C ในชื่อรายงานย่อมาจาก Cyber) ซึ่งจะมีพูดถึงหลายประเทศ เช่น จีน รัสเซีย อเมริกา ฯลฯ

การทำสงครามบนโลก Cyber นั้นแน่นอนว่าจะต้องแตกต่างจากการทำสงครามธรรมดา แต่ Tactic ของแต่ละประเทศที่ใช้นั้นก็ได้รับการสะท้อนมาจากการทำสงครามแบบปกติเช่นกัน ทั้งนี้รูปแบบที่ใช้ในการทำสงครามนั้นมีสาเหตุมากมายที่หล่อหลอมประเทศต่างๆ ให้เลือก Tactic นั้นๆ ไม่ว่าจะเป็น วัฒนธรรม การใช้ชีวิต เหตุผลทางด้านการเมือง ทรัพยากรที่มี เป็นต้น

ตัวอย่างเช่น ประเทศอเมริกา ซึ่งมักจะใช้วิธีการสุดไฮเทคทั้งหลายในการทำสงคราม ซึ่งในการทำสงครามทาง Cyber ก็เช่นกัน ว่ากันว่ามีการกักตุนช่องโหว่ 0-day exploit (Zero Day Exploit) ไว้มากมาย โดย 0-day exploit เหล่านี้จะถูกนำมาใช้ในกรณีที่โจมตีเป้าหมายที่สำคัญมากจริงๆ ซึ่งนี่ก็เป็นหนึ่งในสาเหตุสำคัญว่าทำไมถึงมีการซื้อขาย 0-day exploit กันใน Black Market

อีกตัวอย่างคือ ประเทศจีน ซึ่งเรียกได้ว่าเป็นประเทศที่มีประชากรเยอะมากๆๆๆ การทำสงครามในสมัยก่อนอาศัยปริมาณคนมากกว่าคุณภาพ การทำสงครามบนโลก Cyber ก็เช่นกัน หนึ่งใน Tactic ที่ชอบใช้คือการทำ “Brute Force Attack”

Brute Force Attack คือการทดลองใส่ Password โดยพยายามลองทุก Combination ที่เป็นไปได้ ซึ่งโดยทฤษฏีแล้ว 100% Success Rate แต่อาจจะใช้เวลานานมากๆๆ และ ใช้ทรัพยากรเยอะมาก ซึ่งนี่ก็ไม่เป็นปัญหาสำหรับประเทศจีน ซึ่งมีทรัพยากรมหาศาลอยู่แล้ว

brute-force

หลายๆคนอาจจะมองว่าการทำ Brute Force Attack นี้เป็นการโจมตีที่อ่อนหัด ดูไม่ Cool เลย ใช้เวลานานมาก จะสำเร็จจริงหรือไม่ก็ไม่รู้

เดี๋ยวในบทความนี้ตอนที่ 2 ผมจะขอพูดถึงการทำ Brute Force Attack กับ Security ในบ้านเรากันนะครับ

Ref: http://www.fireeye.com/resources/pdfs/fireeye-wwc-report.pdf

Rubber Ducky in action Quack!! Quack!!

1 ในอุปกรณ์สุดฮิตที่ Hacker ทั้งหลายควรจะต้องมี คงจะหนีไม่พ้นเจ้า USB Rubber Ducky

อุปกรณ์นี้ไม่ได้น่ารักใสซื่อเหมือนชื่อมันเท่าไรนัก เพราะว่ามันสามารถ Bypass Security Control ทั้งหลายได้อย่างง่ายดาย หลักการของ USB Rubber Ducky นั้นคือ ให้คิดว่ามันเป็น USB Keyboard 1 อัน ที่สามารถ Load Key Sequence ล่วงหน้าได้ ดังนั้น Hacker ก็สามารถเตรียมคำสั่งอันร้ายกาจไว้ได้นั่นเอง ข้อดีที่สำคัญสุดๆของ Rubber Ducky นั้นคือ พวก Antivirus จะไม่สามารถตรวจจับได้ว่ามันเป็นอุปกรณ์ที่อันตรายได้ เพราะมันถูกมองว่าเป็นเพียง Keyboard 1 ตัวเท่านั้นเอง

นี่คือหน้าตาของ Rubber Ducky ดูไปก็คล้าย USB Flash Drive ธรรมดาๆ

rubber ducky core

Concept การใช้งานของ Rubber Ducky นั้นง่ายมาก มี 4 ส่วน ได้แก่ Write, Encode, Load, Deploy

rubber ducky manual

  • Write เขียนคำสั่งต่างๆ หรือ Key Sequence ต่างๆ ที่ต้องการจะ Run บนเครื่องเหยื่อ
  • Encode คือแปลงพวก Key Sequence ที่เราเตรียมไว้ให้เป็น Payload ของเจ้า Rubber Ducky
  • Load ก็คือเอา Payload ไปใส่บน memory card ของเจ้าเป็ดเหลือง
  • Deploy คือการจิ้มเจ้า Rubber Ducky ใส่เครื่องเหยื่อ หลังจากนั้นคำสั่งบน Rubber Ducky ก็จะ Execute บนเครื่องเหยื่อ ถ้าอยากจะ Execute Payload ซ้ำ ก็สามารถกดปุ่ม Replay บน Rubber Ducky ได้

ใน Package ของ Rubber Ducky นั้นมีอุปกรณ์อื่นๆอีกมากมาย ซึ่งส่วนใหญ่เป็นอุปกรณ์ ช่วยในการ ลับ ลวง พลาง ด้านขวานี่ก็ตัวช่วยประกอบให้หน้าตาดูเป็น Flash Drive ทั่วๆไป แต่ด้านซ้ายสุดนี่สิ หัวแปลง USB  ซึ่งทำให้สามารถใช้ Rubber Ducky กับ Android ได้ และ 1 ใน Payload ที่เคยฮิตมากเกี่ยวกับ Android คือ การทำ Brute Force Passcode ที่ Login Screen

rubber ducky parts

มาดูกันดีกว่าว่าพอเสียบ USB Rubber Ducky เข้าไปในเครื่องแล้วจะเป็นอย่างไร

อันนี้เป็น Payload ง่ายๆสำหรับการ Add User ใหม่บน Windows พร้อมทั้ง Add เข้า Administrators Group ด้วยครับ (ใน Video จะมีบางช่วงที่หยุดซักระยะนึงนั้นคือการตั้ง Delay ว่าอยากให้ช้าหรือเร็วแค่ไหน ถ้าตั้งเร็วเกินไปเดี๋ยวจะดูไม่ทันครับ)

อยากให้เจ้า Rubber Ducky ทำงานได้ซับซ้อนแค่ไหนก็ขึ้นอยู่กับความสามารถในการเขียน Script ของแต่ละคนแล้ว เช่น สั่ง Capture Screen ทุกๆ 1 นาที พร้อมส่ง Mail มาให้เรา หรือ สั่งให้ Download Malware มา Install ที่เครื่องก็เป็นไปได้

เจอแบบนี้แล้วใครบอกว่า Physical Security และ Security Awareness ไม่สำคัญก็คิดดูใหม่ได้นะครับ

ปล. ถ้าใครคิดว่าเรื่องพวกนี้สำคัญ และ อยากให้เพื่อนๆ หรือ คนที่ทำงาน มีความตระหนักในเรื่อง Security ก็อย่าลืมกด Like กด Share นะครับ รับรองว่ามีอะไรตื่นเต้นอีกเยอะ ส่วนใครที่สนใจและอยากให้ทีมงานไปแชร์ความรู้เกี่ยวกับ Security Awareness ให้กับองค์กรของท่านก็สามารถติดต่อเราได้เช่นกันครับ ขอบคุณครับ