โห้ยยย ช่วงนี้คงจะพูดถึงเรื่องความปลอดภัย (มั้ง)


ตอนนี้เนี่ย หลายคนคงสงสัยว่า Virus, Worm, กะ Trojan คืออะไร ต่างกันอย่างไร เคยได้ยินมาก้อมาก

Virus เรียกได้ว่าแทบจะสูญพันธุ์แล้ว มันโด่งดังมากสมัย DOS กะ Window 3.11 อ่ะ
การทำงานมันคือทำตัวเป็นกาฝากตามพวก .exe หรือ พวก Executable ทั้งหลาย
ความเลวของมันก้อแค่การทำลายโดยส่วนใหญ่ เช่น Delete MBR (Master Boot Record) อันนี้ใครโดนสมัยนั้นขำมะออก
Die Hard II ไวรัสตัวแรกที่ผมเคยโดน เกมส์ตูำพังหมด โดนแมร่งทำพังหง่ะ T_T

Worm เรียกกันแบบแปลสดๆ "หนอน" ไอ้นี่มันมาตอนมี Internet อ่ะ เรียกได้ว่า มีรูในเน็ตที่ไหนหนอนจะไชตรงนั้นแหละ ไม่ต้องมี host ไม่ใช่พวกกาฝาก ตัวพวกโด่งดังเนี่ย Nimbda Redcode Microsoft แทบจาร้องไห้ พอมาสมัย window XP ก้อโดน MS Blaster   ที่เป็นต้นแบบในการ shutdown window นับถอยหลัง 1 นาที (คิดว่าทุกคนน่าจะเคยโดนนะ ^^) หลังๆก้อออกมาตรึมเลย รูปแบบเดียวกัน อีกตัวคือ Sasser ที่ทำให้ Window XP SP2 ต้องสร้าง Firewall เพราะโดนเจาะรู port445

Trojan อีกชื่อคือตามพฤติกรรมความเกย์ (Backdoor) เลวร้ายสุดๆ มันคือโปรแกรมเลยแหละ พี่น้องคับ .exe เนี่ยแหละ ลองคิดดูนะคับ มันแกล้งเราได้ทุกอย่าง มันไม่ได้อาศัยจุดอ่อนใดๆทั้งสิ้น ล่อกันตรงๆอ่ะ แนวว่าท้า กดรันกูดิ กดดิๆ แหน๊ะ! เคยโดนคนหมดแหละคับ โดนแมร่งหลอก แสดดด

Spyware เป็นลูกๆ Trojan ที่ไม่ใช่โปรแกรมรันโต้งๆ อาศัยจุดอ่อนของ Web Browser (โดยเฉพาะ IE) /gg ให้มันรัน Script ก็เหมือนโดนรันโปรแกรมไรซักอย่าง แต่จุดประสงค์เลวร้ายลงนิดนึง น้อยกว่าโทรจันอ่ะ ก้อแค่โฆษณาชิหายวายวอดบนเครื่องเรา


เขียนมากไปละ เหนือ่ย -_-' ครั้งหน้ามาดูวิธีป้องกันนะครับพี่น้อง

ปล. คนเขียน Blaster กะ Sasser คือคนเดียวกัน โดนจับไปแ้ว้ววว แถมโดนลดหย่อนโทษ ติดคุก 21 เดือนรอลงอาญา เพราะว่าเขียนไวรัสตอนอายุต่ำกว่า 18 ปี -_-'



edit @ 2007/05/14 20:19:21

จากบทความที่แล้วจะเห็นว่า ต่อให้ใช้ Switch ที่ใครต่อใครเชื่อว่า ไม่โดน sniff แน่ๆ ก้อยังโดนดับจับได้ ยิ่งเด๋วนี้คนใช้ Wireless LAN มากขึ้น ยิ่งหลีกเลี่ยงไม่ได้ใหญ่ หนักกว่าเดิมอีก เพิ่มความเสี่ยงในการโดน sniff เพราะฉะนั้น เรามาวิธีป้องกันดีกว่า

มันมีวิธีเดียวในโลกกก Encryption การเข้ารหัสข้อมูล


ตัวอย่าง ถ้าส่งข้อความว่า "Hello World" ออกไป ถ้าโดนจับได้เนี่ย อ่านออกแน่ๆ ดังนั้น ถ้าเราปรับอักษรขึ้น 1 อักขระ กลายเป็น "Ifmmp Xpsme" เ้ย้ยยย !! อ่านไม่รู้เรื่อง สะใจโก๋ /gg

อันนี้เป็นแค่ตัวอย่างเท่านั้นนะคับ จิงก้อมีมาตรฐานการ Encryption มากมาย เช่น WEP,IPSec, MD5, AES ก้อเลือกตามความเหมาะสมกันปายยย

พูดถึงตรงนี้แล้วอยากบอกว่า Protocol มาตรฐาน พวก HTTP, FTP, SMTP, Telnet มันไม่ได้ Encryption เวลาส่งข้อมูลกันนะ ตกใจอ่ะเด้!!

มันหมายความว่าอะไร แยกกรณี

็HTTP
* คุณท่องเว็บไหน ผมรู้หมดนะ เข้าไปโอนตังค์ username password บัตรเครดิตไรรู้หมดอ่ะ
* วิธี Encryption คือ HTTPS กะ SSL

SMTP
* ส่งเมลล์อะไรกัน ขโมยเมลล์กันเห็นๆ
* มีวิธีกันป่าวอ่ะ ไม่รู้ดิ

Telnet
* อันตรายมั๊กๆ ถ้าโดนดักจับเนี่ย
* เค้าเริ่มหันมาใช้ SSH กันละ เพราะเ้ป็น Telnet ที่มีการ Encryption

FTP
* เอ่อ.. ขโมย username password มั้ง
* ใช้ SCP กันเถ๊อะะะะะะะะ


มาถึงตรงนี้ (อีกแล้ว)
* ทำไม HTTP ไม่ยอมเปลี่ยนไปใช้ HTTPS ทั้งๆที่ปลอดภัยกว่าแท้ๆเห้นๆอ่ะ
* FTP ก้ออีกตัว ใช้ทำไม ทำไมไม่ใช้ SCP
* Telnet ตัวจี๊ดเลย SSH ก้อมี มีทั้ง v1,v2
* Wireless ก้อมีทั้ง WEP, WPA, WPA2 ก้อไม่ยอมเซ็ตกัน (เออดี เสร็จตรู)


ผู้ให้บริการทั้งหลายยยย ช่วย upgrade ระบบหน่อยเหอะ ถือว่าผมจ่ายตังค์ค่าเช่าให้แล้วนะ

edit @ 2007/05/10 17:35:30

ว่าแล้วก้อมาเขียนต่อดีกว่า

ครั้งที่แล้วบอกไปแล้ว ตามหนังสือ Cisco จะบอกว่า Hub จะ Sniff ได้ แต่ Switch เนี่ย Sniff ไม่ได้นะจ๊ะ อย่าพยายามลอง แล้วจาเชื่อดีมั้ยเนี่ย งั้นเรามาแหกหนังสือกันดีกว่า

วิธีมันก้อมีอยู่ว่า ก้อต้องเข้าใจหลักการทำงานของ Switch ก่อนว่าทำไมถึง Sniff ไม่ได้

* Switch จะสร้างตาราง MAC Address แล้ว Forward Packet ออกไปตามตาราง ทำให้ข้อมูลถูกส่งออกที่ Port ที่ถูกต้องเท่านั้น (มันเลย Sniff ไม่ได้นี่เอง)

* ไม่เพียง Switch ที่ใช้ประโยชน์จาก MAC Address ไอ้เครื่องคอมเนี่ย ก้อใช้ด้วย แถมยังต้องมีคำสั่ง ARP และ RARP เพื่อหา IP Address

*** ถ้าเราสามารถปลอมตารางหละ เหอๆๆๆ อะไรจะเกิดขึ้นหละ ข้อมูลก้อจะถูกส่งมาหาเรานี่เอง ห้า!!!! รู้งี้แล้วทำไงหละ


วิธีการ Sniff บน Switch (ทุกยี่ห้อ)
- ARP Poisoning เป็นวิธีการส่ง ICMP ตารางปลอมไป แก้ไขให้ Switch งงเล่นๆ
- โปรแกรมที่เกี่ยวข้อง เช่น Ettercap

ข้อควรระวัง
- สังเกตเห็นว่า ในเชิงเทคนิคแล้วไม่ได้หลอก Switch ง่ายๆหรอกนะ แถมมีเครื่องคอมในระบบตั้งเท่าไหร่ จึงต้องมีการส่ง ICMP ปลอมๆมากมาย ICMP Flooding ถ้ามีคนฉลาดกว่านั่ง Sniff เราต่อ โดนแน่ๆคับพี่น้อง แถมรู้ด้วยว่าแอบดักจับใครอยู่

- โปรแกรมที่ใช้จับคนทำ ARP Poisoning => พวกแนว Network Statistic เช่น NTOP ดูแค่ ICMP ก็พอ มันจะบ้ามหาศาลผิดปกติ


พอพูดถึงตรงนี้แล้วเนี่ย เลยอยากบอกว่า อย่าไว้ใจทางอย่าวางใจอุปกรณ์คับ เห็นแล้วนะคับว่า Switch ก้อโดน Sniff ได้ แล้วเราควรทำกันไงดี ไม่มีวิธีป้องกันกันเลยรึ

---------------------------> ต่อภาคหน้า (อีก)



ปล. ความง่ายในการโดน Sniff
ร้านเกมส์ >>> ออฟฟิศ > ห้องเรียนคอมพิวเตอร์ > บ้าน
Wireless > Hub > Switch > Router > ADSL >= Dialup
จิงๆแล้ว Router, ADSL, Dialup แทบจะ Sniff ไม่ได้อยู่แล้ว