Cyber Attack ในปัจจุบันใช้ช่องโหว่อะไรบ้างในการโจมตี?

สวัสดีครับเพื่อน ๆ ชาว IT วันนี้กลับมาพบกันอีกครั้งกับ Cloud HM Blog ข่าวสารอ่านสนุกเกี่ยวกับวงการ IT นะครับ เรื่องการขโมยข้อมูล การโจมตีจากผู้ไม่หวังดี หลาย ๆ คนคงได้ยินข่าวกันหนาหูมากขึ้น เนื่องจากข้อมูลเปรียบเสมือนทองคำ ใครได้ไปก็จะสามารถไปใช้ประโยชน์ได้ ดังนั้นเราควรที่จะรักษาข้อมูลของเราให้ดีครับ ในยุคสมัย Internet เริ่มมีการใช้งานใหม่ ๆ การตั้งค่าความปลอดภัยไม่ได้เป็นสิ่งที่มีการสร้างมาด้วยตั้งแต่ต้น นั่นหมายความว่า Protocol ส่วนใหญ่ใน Internet ที่เราใช้งานกันไม่ได้ถูกออกแบบมาให้มีความปลอดภัยในการใช้งาน ข้อมูลที่ส่งออกมาไม่มีการ Encrypt การ Response หรือ Queries ข้อมูลก็สามารถได้คำตอบโดยที่ไม่มีการ Verify ก่อน และอื่น ๆ อีกมากมาย แน่นอนว่าเราก็รู้กันดีอยู่แล้วว่าการใช้งาน Internet เป็นที่นิยม และใช้งานได้จริงจริง เพราะว่าทุกวันนี้เราก็ใช้งานกันอยู่ แต่ปัญหาใหญ่ก็คือช่องโหว่ของระบบที่มีผู้ที่จะเอาเปรียบเตรียมล้วงข้อมูลของคนที่ไม่รู้เท่าทันในเรื่องของความปลอดภัยในการใช้งานนั่นเองครับ เรามาดูกัน เค้าเหล่านั้นใช้ช่องโหว่แบบไหนบ้างที่เราควรจะระวังไว้ครับ มาดูกัน!!

การขโมยข้อมูล

อย่างที่บอกไปว่าข้อมูลเปรียบเสมือนทองคำ หรือภาษาอังกฤษ เราเรียกกันว่า Data is the new oil ข้อมูลเป็นสิ่งที่มีค่าและทุกคนต้องการใช้ครับ บริษัทหลาย ๆ บริษัทเค้ามีการเก็บรวบรวมข้อมูลตามความสามารถที่บริษัทจะทำได้ และก็ขายข้อมูลให้กับบริษัทอื่น ๆ ทีนี้ สิ่งที่ Hacker ทำ ก็คือการที่พยายามจะเจาะเข้าไปในระบบ Network ของบริษัท เพื่อที่จะสามารถ Copy ข้อมูลออกมาให้ตัวเองเอาแบ่งกับเพื่อน ๆ หรืออาจจะเอาข้อมูลไปขายใน Dark Web เพื่อหาเงินก็ทำได้เช่นกัน (ช่วงนี้เราได้ยินข่าวในไทยที่มี Hacker ขโมยข้อมูลจากหน่วยงานหนึ่งแล้วเอาไปขายที่ Dark web อันนี้ก็คือระบบของหน่วยงานดังกล่าวมีช่องโหว่ที่ทำให้ Hacker สามารถเจาะเข้าไปเอาข้อมูลได้นั่นเองครับ)


สิ่งที่ยากที่สุดในการทำงานของ Hacker ก็คือการที่จะเอาข้อมูลของบริษัทออกมาจากฐานข้อมูล เพราะว่ากว่าบริษัทจะหาข้อมูลมาได้ก็ต้องทำงานอย่างหนักในการได้รับมา และก็คงไม่ยอมให้เกิดปัญหาข้อมูลรั่วไหล ทำให้มีติดตั้งระบบในเรื่องของความปลอดภัยเพื่อป้องกันการโจมตีในรูปแบบต่าง ๆ นั่นเอง

การที่จะแอบเข้าไปในองค์กรแล้วทำการดูดข้อมูลออก Hacker จะเจาะเข้าระบบผ่านโดยเนียนมากับ Protocol ทั่ว ๆ ไป เนื่องจากองค์กรส่วนใหญ่จะ Allow Protocol ผ่านทาง Firewall เพื่อให้ใช้งาน Service ได้ เช่น HTTP และ DNS ก็คือถ้าไม่ Allow ก็จะไปใช้งาน Internet ไม่ได้นั่นเอง โดยหลาย ๆ Protocol จะมีจุดที่สามารถจะแอบเข้าไปอยู่ได้ โดย Data ที่ส่งไปอาจจะเพิ่มขึ้นนิดนึงแต่ก็ยังพอที่จะทำให้ Protocol สามารถทำงานได้ เช่น HTTP สามารถเอาค่า Parameter ที่อยู่ใน URL ไปได้ด้วย คือถ้าพิมพ์ข้อมูลสำคัญหรือคลิกอะไรบางอย่างที่สามารถนำเอาไปเป็นข้อมูลได้ก็เตรียมตัวโดนดูดข้อมูลได้นั่นเอง โดย Hacker จะใช้การฝัง Command และขโมยข้อมูลจากการมองหา Traffic ที่วิ่งเข้าไปใน Network ขององค์กร เพื่อที่จะสามารถนำข้อมูลไปเจาะเข้าระบบ Network ขององค์กรได้

นั่นแปลว่าการโจมตีลักษณะนี้เกิดจากความสามารถของผู้ที่มีความรู้ในเรื่องของระบบการทำงานของ Internet ทำให้สามารถใช้ช่องว่างในการโจมตีให้มีประสิทธิภาพ และหวังผลได้มากขึ้น

การรบกวนการทำงานของระบบ

Distributed Denial of Service หรือเราอาจจะคุ้นหูกับคำว่า DDoS มากกว่า เป็นการโจมตีที่นิยมมากจนเป็นเรื่องปกติ โดยส่วนใหญ่จะเจอกับระบบ Cloud Computing และพวกอุปกรณ์ IoT ที่ตั้งค่าความปลอดภัยไม่รัดกุมพอ วิธีการโจมตี Hacker จะใช้คอมพิวเตอร์จำนวนนึงเพื่อใช้เข้าถึงระบบของเป้าหมาย และก็ทำให้ระบบปลายทางไม่สามารถทำงานได้ ที่เจอกันเยอะ ๆ ก็คือ Web Server ที่ให้บริการด้าน Website ที่มีผู้ใช้งาน หรือ Traffic เข้ามามาก ๆ แล้วเว็บล่มนั่นแหละครับ


จริง ๆ แล้วมีหลายวิธีที่จะใช้ DDos แต่จะมีอยู่วิธีนึงที่ใช้ประโยชน์จาก Amplifier ซึ่งเป็น Protocol ที่อยู่บน Internet จุดประสงค์ในการใช้งานคือเราจะส่งคำสั่งที่มีขนาดเล็กเพื่อที่จะได้รับข้อมูลขนาดใหญ่มา คนที่จะโจมตีก็จะส่ง Request ที่หน้าตาหรือ การทำงานคล้าย ๆ กับการส่งออกมาจากปลายทาง ที่นี้ผู้รับก็จะส่งข้อมูลออกมาแปปปกติ แต่การที่ Hacker ได้ใช้ตัว Amplifier เข้ามาช่วยขยายข้อมูล ทำให้ได้ข้อมูลมามีขนาดใหญกว่าที่ปลายทางจะรับข้อมูลได้ไหว วิธีนึงที่ใช้ Amplifier ก็คือ Smurf Attack

ทุก ๆ Network จะมี Broadcast Address อยู่แล้วที่ทำหน้าที่ Copy Packet ที่ส่งเข้ามาเพื่อกระจายไปให้ทั่ววง Network การใช้ Smurf Attack คือการที่ผู้โจมตีจะส่ง Packet ไปที่ Broadcast Address โดยปลอมให้เหมือนกับการทำงานปกติ เมื่อทุก ๆ คน ที่อยู่ในวง Network นั่น Copy และ Respond ก็จะเตรียมโดนยิงด้วย DDos ได้เลย

แอบย่องเข้ามาเงียบ ๆ

ปัญหาอีกอย่างนึงที่เป็นเรื่องใหญ่ของ Internet ก็คือการจะทำอย่างไรให้ Traffic วิ่งจาก จุด A ไปจุด B ซึ่งก็ไม่ได้มีใครมาวาดแผนที่ของ Internet ให้ว่ามีจุด ๆ ไหนบ้าง ดังนั้นคอมพิวเตอร์จึงต้องหาเส้นทางที่จะไปยังปลายทางได้ในขณะที่ส่งข้อความไปแล้ว วิธีที่จะทำมีหลากหลายรูปแบบ แต่มีอยู่ 2 แบบ ที่นิยมมาก (และไม่ค่อย Secure เท่าไหร่) นั่นก็คือ ARP และ BGP


ARP Poisoning

Address Resolution Protocol (ARP) พัฒนามาเพื่อที่ใช้ในการช่วย Route Packet ภายใน Subnet ไอเดียก็คือการที่คอมพิวเตอร์ส่ง Request ไปถามเจ้าของของแต่ละ IP Address ว่ามีใครใช้ IP นี้มั้ยแล้วเจ้าของก็ตอบกลับว่า “ยังใช้อยู่”


ปัญหาคือด้วยการใช้งาน Protocol นี้ คอมพิวเตอร์ที่ใช้ส่งข้อมูลกลับไม่ได้ไปตรวจสอบว่า Request ที่ส่งมา ใครเป็นคนส่งมาให้

ปัญหาก็คือคนที่ไม่หวังดีก็สามารถจะทำ Fake ARP Response เพื่อเคลมตัวเองว่าเป็นเจ้าของ IP Address นึงใน Subnet นั้นได้ ครั้งต่อไปที่คอมพิวเตอร์ส่งข้อมูลไปยัง IP Address นั้น ก็จะส่งไปที่ Computer ของคนที่ไม่หวังดี ทำให้อาจจะทำให้คน ๆ นั้นสามารถดูข้อมูลบางอย่าง แก้ไข และลบข้อมูลของเราได้ครับ

BGP Hijacking

Border Gateway Protocol (BGP) ออกแบบมาเพื่อช่วยในการ Route Traffic ผ่าน Internet หลักการจะใช้ระบบ ๆ นึง เรียกว่า Autonomous Systems (AS) ใช้ในการกำหนดว่า IP Address อะไรบ้างที่สามารถติดต่อได้และกระจาย Route ไปได้ไกลแค่ไหน ซึ่ง List ของ IP Address จะ Update ผ่านการประกาศไปบน Internet โดย AS ก็จะ Trust กันโดยปกติอยู่แล้ว ซึ่งหากเส้นทางนั้นสั้นกว่าแบบเดิมที่เคยมีการประกาศไว้ AS ตัวอื่นก็จะมาเลือกใช้เส้นทางที่เราพึ่งประกาศไป


สิ่งที่คนไม่หวังดีทำก็คือ Update เส้นทางที่สั้น ๆ แบบปลอม ๆ ที่ไม่ได้มีอยู่จริง ผลลัพธ์ที่ได้ก็คือ Traffic ที่จะวิ่งไปยังปลายทางจะไปหาคนไม่หวังดีแทนก่อนที่จะไปถึงปลายทางจริง ๆ ทำให้เค้าเหล่านั้นสามารถจะทำอะไรกับ Message ที่เราส่งไปก็ได้ ไม่ว่าจะเป็นการอ่าน เปลี่ยนแปลง หรือว่า Drop Message ก่อนที่จะถึงปลายทางจริงได้

จะป้องกันอย่างไร?

วิธีการป้องกันก็คือออกแบบระบบให้ดี มีความปลอดภัยสูง แต่เราจะรู้ได้อย่างไรว่าเราจะควรใช้วิธีการอะไร จึงทำให้องค์กรอย่างเช่น Internet Engineering Task Force (IETF) มีส่วนในการเข้ามาช่วยแก้ไขปัญหา อย่างเช่น การผลักดันให้ใช้งาน HTTPS แทน HTTP ซึ่งบางช่องโหว่้ หรือปัญหาก็ได้มีการปรับปรุง หรือพัฒนาให้ทำงานได้ปลอดภัยรัดกุมขึ้น สิ่งที่เราทำได้ก็อย่างที่บอกไปครับว่า ออกแบบระบบให้ดี เลือกใช้ Protocol ที่มีความปลอดภัยสูงที่มีให้ใช้งานเป็นหลัก


เป็นอย่างไรกันบ้างสำหรับเรื่องราวของวิธีการโจมตีของ Hacker ในยุคใหม่ หวังว่าทุกคนจะนำเอาไปปรับใช้ให้เกิดประโยชน์ เพื่อรักษาผลประโยชน์ของทั้งตัวเอง และผู้ที่เกี่ยวข้องนะครับ สำหรับท่านที่สนใจบริการของ Cloud HM สามารถติดต่อเราได้ผ่านช่องทางนี้นะครับ
ขอบคุณครับ

— Cloud HM