
Company secret with Lotus Notes
Incognito Lab
แนะนำกันก่อน
Lotus Notes คือ software ของบริษัท IBM ซึ่งสามารถใช้งานได้หลากหลายไม่ว่าจะเป็นการรับ-ส่งเมล, ทำตารางนัดหมาย, address book, chat ก็ยังได้ สำหรับคนทำงานที่ใช้ notes คงพอจะเคยเล่นกัน ที่สำคัญสามารถพัฒนาโปรแกรมง่าย ๆ ใช้งานบน Lotus Notes ได้อีกด้วย ปัจจุบัน version ล่าสุดจะเป็น ver 8.5.x แล้ว
แล้วเกี่ยวไรกับความลับขององค์กร
อย่างที่เล่าให้ฟังด้านบนว่า Lotus Notes คนทั้งองค์กรเอาข้อมูลไปฝากไว้อยู่บนนั้นมากเหลือเกิน ถ้าหากเกิดปัญหาเรื่องความปลอดภัยขึ้นมา ลองคิดดูว่าจะกระทบกับองค์กรขนาดไหน
ลองดูว่าผมจะได้อะไรมาบ้าง
ผมจะทำ Recon อย่างเดียวครับงานนี้ ไม่มีความเสี่ยงและไม่ผิดพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.๒๕๕๐ ของไทยอย่างแน่นอน
1. เริ่มต้นด้วย google:
ผมลอง search หาว่า มี file ประเภท Lotus Notes Database (ใช้ extension เป็น .nsf) อยู่หรือไม่โดย
\+ URL ต้องมีคำว่า nsf
\+ file extension ต้องเป็น nsf ด้วย
\+ ขอหาแต่ในบริษัทในประเทศไทย
inurl:nsf filetype:nsf site:co.th
พบว่ามีเกือบ 40 รายการ ผมจึงลองเข้าไปดูว่ามันมีอะไรบ้าง แต่ละ link ที่เจอจะพบว่าอยู่ในรูปแบบ
xxx.nsf ซึ่งเป็น application ที่ run บน Lotus Notes
ภาพด้านบน พบว่าเป็นข้อมูลถามตอบ มี file ข้อมูลด้านเทคนิค แถมยังชื่อคนอีก
แต่เราจะ focus ไปที่ URLs แบบนี้
- http://example.com/names.nsf
- http://example.com/names.nsf?Opendatabase
ถ้า link ไหนไม่ใช่ก็แก้ไขซะ บาง web ก็จะไม่พบอะไรพบแต่หน้า login ซึ่งหมายถึงทำการ configure ได้เรียบร้อยดีแต่บาง web อาจจะไม่เป็นอย่างนั้น
ในที่สุดผมก็เจอ username และชื่อ+นามสกุลของคนทั้งบริษัท สิ่งที่ผมอยากจะบอกทุกคนก็คือข้อมูลเหล่านี้เป็นข้อมูลที่เป็นความลับ ไม่ควรอย่างยิ่งที่ข้อมูลเหล่านี้จะเปิดเผยออกสู่ internet แต่สิ่งที่มันอันตรายกว่านั้นก็คือ ใน Lotus Notes หากทำการติดตั้งและ configure ไม่ดี จะมีการเปิดเผย hash[2] ของ password ผู้ใช้งาน
ใน Lotus Notes จะ hash ข้อมูล password ผู้ใช้งานเก็บใน field เรียกว่า HTTPPassword ปัญหาใหญ่ก็คือ hacker สามารถนำข้อมูลนี้ไปหา password จริง ๆ ของผู้ใช้งานได้ อันตรายจริง ๆ
นอกเหนือจาก google แล้วก็ยังหาข้อมูลจากที่อื่นได้อีก
2. project http://eripp.com/ ชื่อเต็มคือ
Every Routable IP Project
เป็น project ที่มาเติมเต็ม google โดยมีจุดประสงค์ว่า site บาง site อาจจะเข้าไม่ถึงได้ผ่าน search engine, project eripp จึงทำการหาทุก ๆ IP ที่เข้าถึงได้ (routable) และเก็บข้อมูลเอาไว้ ลองหาด้วยคำว่า names.nsf หรือ lotus ดู
3. shodan http://www.shodanhq.com
shodan เป็น Computer Search Engine อีกตัวหนึ่ง ซึ่งไม่ได้เจาะจงแต่หา web อย่างเดียวเหมือน google แต่ shodan หาทุกอย่างตั้งแต่ computer, webcam, mobile device, switch, router พี่แกหาหมดเลยครับ ต้องสมัครสมาชิกก่อนใช้งานโดยใช้งานได้ฟรีแต่จำกัดการดูผลการค้นหาอยู่บ้าง ก็หยวน ๆ ลอง search ด้วย keyword
nsf country:TH
บทสรุป
ถ้าองค์กรของผู้อ่าน มี lotus notes ก็ลองดูกันหน่อยครับว่ามันยังโอเคหรือเปล่า ถ้าเป็นอย่างที่เล่าให้ฟังก็บอกให้เจ้านายเรียก admin มา clear cut ชัดเจนซะหน่อยนะครับว่าทำไมปล่อยให้ระบบเป็นอย่างนี้
อ้างอิง
- Recon มากจากคำว่า Reconnaissance หลาย ๆ คนที่บ้าสงคราม หรือบ้าพวกหน่วยรบพิเศษเหมือนผม คงเคยได้ยินการฝึก Recon ซึ่งชื่อภาษาไทยคือหลักสูตรรบพิเศษ แขวงสะเทิ้นน้ำ สะเทิ้นบก และจู่โจม กองพันลาดตระเวน กองพลนาวิกโยธิน กองทัพเรือ พูดง่าย ๆ ก็คือการหาข้อมูลข่าวสาร ข่าวกรอง (intel) นั่นเองครับ
- hash คือค่าจาก cryptographic hash function ซึ่งทำหน้าที่สร้างค่าทางคณิตศาสตร์ขึ้นมาค่าหนึ่งเพื่อ represent ข้อมูลที่เป็น input ทั้งหมด หากมีการเปลี่ยนแปลง input แม้เพียงนิดเดียว ค่า hash จะเปลี่ยนไปอย่างมาก เช่น
input คือ "We are incognito."
hash แบบ md5 จะได้ค่า f55a3db6554b5befabfa5f21468fbbee
ถ้าเราเปลี่ยน input นิดเดียว "We are incognito" (ตกจุดไป)
จะได้ค่า hash เป็น ec2a66c64b790d005908214d10cf9d1b
For professional penetration testers
– เร็ว ๆ นี้ ผมได้ชมงาน BSide Las Vegas 2012 และสนใจในหัวข้อ William Ghote: "Lotus Notes Password Hash Redux" จึงลองมาดูว่าในประเทศไทยมีความเสี่ยงเรื่อง Lotus Notes เหมือนอย่าง US เค้ามั่งหรือไม่ซึ่งพบว่า เสี่ยงเหมือนกัน ? สำหรับใครที่ต้องการศึกษาเพิ่มเติมก็ลองดูได้ครับ
– ตอนนี้ก็มี metasploit module สำหรับงานนี้แล้วนะครับ Lotus Domino Scanner
Up Next

ARTICLES
Mar
01
2021
007 Skyfall : the untold story
สวัสดีปีใหม่ สำหรับในปี 2012 ที่ผ่านมาทางทีมงาน Incognito Lab ของเรา ขอขอบคุณทุก ๆ ท่านที่คอยติดตามเรา และ ส่งเมล์เข้ามาให้กำลังใจทีมงานอย่างมากครับ
READ MORE

ARTICLES
Mar
01
2021
Bangkok Governor Election
สิ่งที่อยากจะแชร์ในวันนี้คือ Security ในเขตเลือกตั้งครับ
READ MORE

ARTICLES
Mar
01
2021
Banking Trojan Hunting — g01pack's fundamental analysis
1-2 วันที่ผ่านมาผมคิดว่าหลาย ๆ คนที่เข้าไปดูข่าวออนไลน์บ่อย ๆ อาจจะตกใจเนื่องจาก Google และ Google Chrome มีการแจ้งเตือนภัยคุกคามว่า website ดังกล่าวอาจเป็นอันตรายต่อคอมพิวเตอร์ของผู้ใช้งาน
READ MORE