Company secret with Lotus Notes

แนะนำกันก่อน

Lotus Notes คือ software ของบริษัท IBM ซึ่งสามารถใช้งานได้หลากหลายไม่ว่าจะเป็นการรับ-ส่งเมล, ทำตารางนัดหมาย, address book, chat ก็ยังได้ สำหรับคนทำงานที่ใช้ notes คงพอจะเคยเล่นกัน ที่สำคัญสามารถพัฒนาโปรแกรมง่าย ๆ ใช้งานบน Lotus Notes ได้อีกด้วย ปัจจุบัน version ล่าสุดจะเป็น ver 8.5.x แล้ว

แล้วเกี่ยวไรกับความลับขององค์กร

อย่างที่เล่าให้ฟังด้านบนว่า Lotus Notes คนทั้งองค์กรเอาข้อมูลไปฝากไว้อยู่บนนั้นมากเหลือเกิน ถ้าหากเกิดปัญหาเรื่องความปลอดภัยขึ้นมา ลองคิดดูว่าจะกระทบกับองค์กรขนาดไหน

ลองดูว่าผมจะได้อะไรมาบ้าง

ผมจะทำ Recon อย่างเดียวครับงานนี้ ไม่มีความเสี่ยงและไม่ผิดพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.๒๕๕๐ ของไทยอย่างแน่นอน

1. เริ่มต้นด้วย google:

ผมลอง search หาว่า มี file ประเภท Lotus Notes Database (ใช้ extension เป็น .nsf) อยู่หรือไม่โดย

\+ URL ต้องมีคำว่า nsf
\+ file extension ต้องเป็น nsf ด้วย
\+ ขอหาแต่ในบริษัทในประเทศไทย

inurl:nsf filetype:nsf site:co.th

พบว่ามีเกือบ 40 รายการ ผมจึงลองเข้าไปดูว่ามันมีอะไรบ้าง แต่ละ link ที่เจอจะพบว่าอยู่ในรูปแบบ
xxx.nsf ซึ่งเป็น application ที่ run บน Lotus Notes

ภาพด้านบน พบว่าเป็นข้อมูลถามตอบ มี file ข้อมูลด้านเทคนิค แถมยังชื่อคนอีก

แต่เราจะ focus ไปที่ URLs แบบนี้

- http://example.com/names.nsf
- http://example.com/names.nsf?Opendatabase

ถ้า link ไหนไม่ใช่ก็แก้ไขซะ บาง web ก็จะไม่พบอะไรพบแต่หน้า login ซึ่งหมายถึงทำการ configure ได้เรียบร้อยดีแต่บาง web อาจจะไม่เป็นอย่างนั้น

ในที่สุดผมก็เจอ username และชื่อ+นามสกุลของคนทั้งบริษัท สิ่งที่ผมอยากจะบอกทุกคนก็คือข้อมูลเหล่านี้เป็นข้อมูลที่เป็นความลับ ไม่ควรอย่างยิ่งที่ข้อมูลเหล่านี้จะเปิดเผยออกสู่ internet แต่สิ่งที่มันอันตรายกว่านั้นก็คือ ใน Lotus Notes หากทำการติดตั้งและ configure ไม่ดี จะมีการเปิดเผย hash[2] ของ password ผู้ใช้งาน

ใน Lotus Notes จะ hash ข้อมูล password ผู้ใช้งานเก็บใน field เรียกว่า HTTPPassword ปัญหาใหญ่ก็คือ hacker สามารถนำข้อมูลนี้ไปหา password จริง ๆ ของผู้ใช้งานได้ อันตรายจริง ๆ

นอกเหนือจาก google แล้วก็ยังหาข้อมูลจากที่อื่นได้อีก

2. project http://eripp.com/ ชื่อเต็มคือ

Every Routable IP Project

เป็น project ที่มาเติมเต็ม google โดยมีจุดประสงค์ว่า site บาง site อาจจะเข้าไม่ถึงได้ผ่าน search engine, project eripp จึงทำการหาทุก ๆ IP ที่เข้าถึงได้ (routable) และเก็บข้อมูลเอาไว้ ลองหาด้วยคำว่า names.nsf หรือ lotus ดู

3. shodan http://www.shodanhq.com

shodan เป็น Computer Search Engine อีกตัวหนึ่ง ซึ่งไม่ได้เจาะจงแต่หา web อย่างเดียวเหมือน google แต่ shodan หาทุกอย่างตั้งแต่ computer, webcam, mobile device, switch, router พี่แกหาหมดเลยครับ ต้องสมัครสมาชิกก่อนใช้งานโดยใช้งานได้ฟรีแต่จำกัดการดูผลการค้นหาอยู่บ้าง ก็หยวน ๆ ลอง search ด้วย keyword

nsf country:TH

บทสรุป

ถ้าองค์กรของผู้อ่าน มี lotus notes ก็ลองดูกันหน่อยครับว่ามันยังโอเคหรือเปล่า ถ้าเป็นอย่างที่เล่าให้ฟังก็บอกให้เจ้านายเรียก admin มา clear cut ชัดเจนซะหน่อยนะครับว่าทำไมปล่อยให้ระบบเป็นอย่างนี้

อ้างอิง

1. Recon มากจากคำว่า Reconnaissance หลาย ๆ คนที่บ้าสงคราม หรือบ้าพวกหน่วยรบพิเศษเหมือนผม คงเคยได้ยินการฝึก Recon ซึ่งชื่อภาษาไทยคือหลักสูตรรบพิเศษ แขวงสะเทิ้นน้ำ สะเทิ้นบก และจู่โจม กองพันลาดตระเวน กองพลนาวิกโยธิน กองทัพเรือ พูดง่าย ๆ ก็คือการหาข้อมูลข่าวสาร ข่าวกรอง (intel) นั่นเองครับ
2. hash คือค่าจาก cryptographic hash function ซึ่งทำหน้าที่สร้างค่าทางคณิตศาสตร์ขึ้นมาค่าหนึ่งเพื่อ represent ข้อมูลที่เป็น input ทั้งหมด หากมีการเปลี่ยนแปลง input แม้เพียงนิดเดียว ค่า hash จะเปลี่ยนไปอย่างมาก เช่น

input คือ "We are incognito."

hash แบบ md5 จะได้ค่า f55a3db6554b5befabfa5f21468fbbee

ถ้าเราเปลี่ยน input นิดเดียว "We are incognito" (ตกจุดไป)

จะได้ค่า hash เป็น ec2a66c64b790d005908214d10cf9d1b

For professional penetration testers

– เร็ว ๆ นี้ ผมได้ชมงาน BSide Las Vegas 2012 และสนใจในหัวข้อ William Ghote: "Lotus Notes Password Hash Redux" จึงลองมาดูว่าในประเทศไทยมีความเสี่ยงเรื่อง Lotus Notes เหมือนอย่าง US เค้ามั่งหรือไม่ซึ่งพบว่า เสี่ยงเหมือนกัน ? สำหรับใครที่ต้องการศึกษาเพิ่มเติมก็ลองดูได้ครับ
– ตอนนี้ก็มี metasploit module สำหรับงานนี้แล้วนะครับ Lotus Domino Scanner