Feeds:
Posts
Comments

Archive for February, 2009

ปัจจุบันนี้เราปฏิเสธมิได้ว่าเว็บไซด์คือประตูสู่องค์กรของเรา หากเว็บไซด์ขององค์กรเรามีช่องโหว่ ซึ่งทำให้เกิดการเข้าถึงระบบเปลี่ยนแปลงข้อมูลในเว็บไซด์หรือทำให้เว็บไซด์ของเราเกิดอาการใช้งานไม่ได้แล้ว ความเสียหายจะกระทบสู่องค์กรของเราได้ โดยเฉพาะด้านชื่อเสียงซึ่งไม่สามารถประเมินเป็นราคาได้

ผลการสำรวจเว็บไซด์ทั่วโลกที่มีโอกาสที่จะเข้าถึงระบบได้นั้นประกอบไปด้วยเทคนิคต่างโดยสรุปได้ดังนี้

Classes of Attack (นำมาข้อมูลจาก Webappsec)

Abuse of Functionality Brute Force Buffer Overflow
Content Spoofing Credential/Session Prediction Cross-site Scripting
Denial of Service Directory Indexing Format String Attack
Information Leakage Insufficient Anti-automation Insufficient Authentication
Insufficient Authorization Insufficient Process Validation Insufficient Session Expiration
LDAP Injection OS Commanding Path Traversal
Predictable Resource Location Session Fixation SQL Injection
SSI Injection Weak Password Recovery Validation XPath Injection
* Fingerprinting * HTTP Response Splitting

เมื่อวิเคราะห์ดูแล้วพบว่าการเข้าถึงระบบเว็บไซด์ทุกวันนี้ส่วนใหญ่เกิดจากการที่นักโจมตีระบบ (hacker) ใช้เทคนิค Cross Site Scriping หรือเรียกสั้นๆ ว่า XSS

Percentage of Websites Vulnerable by Class

สถิติช่องโหว่ที่พบบน Web Application

พบว่า XSS นั้นยังเป็นภัยคุกคามที่อันตรายสำหรับเว็บไซด์ ลักษณะการโจมตี XSS attack สามารถแบ่งได้ 3 รูปแบบคือ

Type 0 (DOM base or Local) , Type 1 (Reflective attack) และ Type 2 (Consistent attack) ผู้ได้รับผลกระทบคือผู้ใช้งานที่ไม่ระวัง และมีช่องโหว่ที่บราวเซอร์ ซึ่งมีผลทำให้นักโจมตีฝั่งซอฟต์แวร์ที่เว็บไซด์ทำการหลอกลวง (social networking) ไปใส่สคิปต์ผ่านเว็บไซด์ที่มีช่องโหว่ XSS (Cross site scripting) ได้ ดังนั้นเว็บไซด์ที่มีช่องโหว่ XSS อาจเป็นสาเหตุที่ทำให้เกิดภัยคุกคามอื่นๆ ตามมาเช่นการขโมย session เพื่อเข้าถึงระบบ การทำให้เกิดเว็บประเภท spam และ phishing จำนวนมากขึ้น และผู้ได้รับผลกระทบมักเป็นผู้ใช้งานที่ขาดความระมัดระวัง

ซึ่งทางทีมงาน SRAN จะขอขยายความเทคนิการเจาะระบบชนิด Cross site scripting (XSS)  อย่างละเอียดอีกครั้งในบทความตอนต่อไป

เนื่องจากภัยคุกคามเว็บไซด์เป็นเรื่องสำคัญ  ทำให้ทีมพัฒนา SRAN ได้คิดค้นวิธีที่รู้ทันภัยคุกคามจากการโจมตีเว็บไซด์ขึ้น โดยที่ผู้ใช้งานไม่ต้องลงทุนซื้อซอฟต์แวร์ และ ฮาร์ดแวร์ใดๆ เพียงติด SRAN Data Safehouse ที่เว็บก็จะสามารถรู้ทันการโจมตีเว็บไซด์ของท่านได้ นอกจากจะช่วยเก็บบันทึกหลักฐาน (Log) การใช้งานเว็บไซด์แล้ว ยังสามารถรู้ทันถึงการโจมตีชนิดต่างๆ ได้อีกด้วย

หากโปรแกรม Anti virus จะช่วยคุ้มครองเครื่องคอมพิวเตอร์ที่ใช้งาน (PC) ได้ SRAN Data Safehouse ก็เปรียบเสมือนตัวคุ้มครองเว็บไซด์ไม่ให้ถูกโจมตี หรือเรียกได้ว่าเป็น “Anti Web Hacking”

เพื่อเป็นการสร้างความตระหนักให้กับ Webmaster ไทย SRAN Data Safehouse ได้จัดทำสถิติเว็บไซด์ในประเทศไทยที่มีช่องโหว่ขึ้น และทำการตรวจสอบสถานะว่ามีการป้องกันแล้วหรือยัง โดยเว็บไซดืได้จัดอันดับตามรายชื่อ domain และบอกถึงสถานะของเว็บไซด์ที่มีความเสี่ยงว่ามีการปิดช่องโหว่ดังกล่าวแล้ว หรือไม่ โดยแสดงเป็นสถานะ Fix หรือแก้ไขแล้ว และ Unfix คือยังไม่ได้รับการแก้ไข  เป็นต้น ซึ่งผลการสถิติที่แสดงออกในเว็บไซด์ เกิดจากการรวบรวมข้อมูลจากฐานข้อมูลการเผยแพร่เว็บไซด์ที่มีช่องโหว่ทั่วโลก โดยทีมงานได้คัดเฉพาะในประเทศไทย และจัดทำระบบให้มีการตรวจสอบแบบอัตโนมัติเพื่อรวบรวมเป็นสถิติที่เกิดขึ้นเป็นรายวัน

จากสถิติใน SRAN Data Safehouse พบว่ามีเว็บไซด์ไทยที่มีโอกาสที่ถูกการฝั่งโค้ดจากนักโจมตีระบบ (Hacker) ถึง 41 เว็บไซด์

โดยได้จัดเป็นกลุ่ม Domain ที่มีในประเทศไทยพบว่าตั้งแต่ปี 2007 – 2009 มีเว็บไซด์ในประเทศไทยที่พบช่องโหว่ XSS (Cross site scripting)  อยู่ด้วยกันถึง 41 เว็บ ซึ่งประกอบด้วย

ผลการประเมินช่องโหว่ XSS ในวันที่ 27 กุมภาพันธ์ พบว่า domain หน่วยงานราชการ (.go.th) มีความเสี่ยงที่พบถึง 20 เว็บไซด์ รองลงมาคือ domain บริษัททั่วไป (.co.th) พบ 9 เว็บไซด์ พบว่าส่วนใหญ่ยังไม่ได้รับการแก้ไข

รายละเอียดสามารถดูได้ที่ www.datasafehouse.net คลิกที่ archive

ข้อมูลภัยคุกคามทางอินเตอร์เน็ตที่เกิดขึ้นในประเทศไทยจาก สีหมอก Crawler

หมายเหตุ : สำหรับลูกค้าที่ใช้ SRAN Security Center สามารถสมัครใช้งาน SRAN Data safehouse เพื่อป้องกันเว็บไซด์ท่านให้ปลอดภัยมากขึ้น ได้ฟรี  รายละเอียดดูได้ที่เว็บไซด์

Advertisements

Read Full Post »

ทีมพัฒนา SRAN ได้พัฒนาระบบค้นหาภัยคุกคามที่เกิดขึ้นในประเทศไทยจัดทําาระบบ Crawler เพื่อทําาการสําารวจข้อมูลกลุ่มลักษณะเว็บไซด์ที่มีความเสี่ยง
– สถิติเว็บไซด์ที่มีไวรัสคอมพิวเตอร์ (Malware , virus/worm, Trojan , Backdoor , rookit)
– สถิติเว็บไซด์ที่มีลักษณะหลอกลวง ได้แก่ Phishing , Scam Web เป็นต้น

– สถิติKeyword ที่มีการค้นหามากที่สุดในประเทศไทย ได้ฐานข้อมูลจากระบบ google ,alexa เป็นต้น

– สถิติเว็บไซด์ที่มีเคยมีประวัติถูกโจมตีในประเทศไทย

– สถิติข้อมูลที่เป็น Spam (ข้อมูลขยะ) ที่เกิดขึ้นบนโลกอินเตอร์เน็ต

2560629505_617c5d21ce.jpg
Spider Crawler ซอฟต์แวร์จะทําาการ สําารวจข้อมูลตาม Link เว็บไซด์ และทําาการ เก็บบันทึกข้อมูลจากฐานข้อมูลที่เป็นสาธารณะ
เมื่อรวบรวมข้อมูลตามลักษณะ ซอฟต์แวร์ Spider Crawler จะทําางานแทนมนุษย์ โดยอาศัยการค้นหาตามฐานข้อมูล Google ,YahooMSN และอื่นๆและส่งข้อมูลมาทีศูนย์เตือนภัยทางอินเตอร์เน็ทในประเทศเพื่อทําการ Scanning ตาม Crawling Policy ที่่ตั้งไว้ในส่วนที่ทําา Scanner
ประกอบด้วยเทคโนโลยีดังนี้
– IDS Signature Base
– Virus Data Base
– Spam Data Base

ซึ่งระบบ Zemog (สีหมอก) ซึ่งถือได้ว่าเป็น Robot Crawler ที่พัฒนาขึ้นโดยทีมพัฒนา SRAN Technology

หน้าจอเว็บสีหมอก เป็น Web 2.0  และยังอยู่ในขั้นตอนการพัฒนาให้ Interactive กับผู้ใช้งานมากขึ้นในอนาคต

Link

สีหมอก สถิติภัยคุกคามอินเตอรเน็ตในประเทศไทย

Read Full Post »


มี คำถามว่า “มีบ้างไหม ที่ท่องโลกอินเตอร์เน็ต ไม่เคยเปิดเว็บไซต์ ?” อย่างน้อยหากเราต้องการค้นหาข้อมูลก็ต้องเปิดเว็บค้นหาที่คุ้นเคย เช่น google หรือ yahoo ในโลกยุคดิจิตอลนั้น เว็บไซต์ถือเป็นหัวใจของการท่องเน็ต เราสามารถใช้งานซอฟต์แวร์ต่างๆ ได้ผ่านเว็บไซต์ แทบไม่ต้องลงโปรแกรมให้ยุ่งยาก หากเชื่อมต่ออินเตอร์เน็ตได้ก็สามารถทำสิ่งต่างๆ มากมายผ่านเว็บไซต์ ทว่าเว็บไซต์ที่เราเข้าเยี่ยมชมในแต่ละวันนั้น จะทราบได้อย่างไรว่า “เว็บใดเหมาะสม / ไม่เหมาะสม?”

เกณฑ์ การประเมินเว็บไซต์ คงไม่มีรูปแบบแน่นอนตายตัว ขึ้นอยู่กับคุณธรรมและสามัญสำนึกของผู้ใช้งานเป็นสำคัญ ตระหนักคิดด้วยวิจารณญาณว่าเว็บไซต์ที่ไปเยือน ณ เวลานั้นผิดศีลธรรม ประเพณีวัฒนธรรม หรือดูหมิ่นบุคคลอื่นอย่างไม่มีเหตุผลหรือไม่ เป็นเว็บไซต์ที่แฝงภัยคุกคามหรือไม่ ผมขอหยิบยกข้อมูลสถิติจาก สบทร. (truehits) มาเสริมว่า สถิติการเข้าเยี่ยมชมเว็บไซด์ในวันที่ผมได้เขียนบทความนี้อยู่ที่ 3,993,403 เครื่องที่เปิดเว็บ และจากการสำรวจการใช้บริการเว็บแบ่งประเภทได้เป็น เว็บ Blog, เว็บบอร์ด, เว็บที่ใช้ในการ upload/download, เว็บเผยแพร่วิดีโอ,เว็บหน่วยงาน/ห้างร้าน/บริษัท, เว็บที่เกี่ยวกับการซื้อขายสินค้าทางอินเตอร์เน็ต (E-commerce), เว็บ Social Network ฯลฯ ในขณะที่เว็บไซต์ไม่เหมาะสม และภัยคุกคามที่เกิดจากเว็บไซต์นั้นมีสถิติเพิ่มสูงขึ้นทุกปี ในอัตราปีละ 2 เท่า แสดงให้เห็นว่าภัยคุกคามทางเว็บไซต์แปรผันตรงกับปริมาณเว็บไซต์ที่เพิ่ม จำนวนขึ้น…เป็นเงาตามตัว จึงขอนำเสนอแนวทางเฝ้าระวังภัยคุกคามทางเว็บไซต์ และปิดกั้นเว็บไซต์ที่มีเนื้อหาไม่เหมาะสม ให้ได้รับทราบกัน ทั้งในมุมมองระดับองค์กร (P1) และระดับผู้ให้บริการอินเตอร์เน็ต (P2)

เหตุผลหลักที่ต้องมีระบบเฝ้าระวังทางเว็บไซต์
ภัย คุกคามที่เกิดขึ้นบนโลกอินเตอร์เน็ตมักเกิดจากพฤติกรรมการใช้งานของผู้ใช้ เอง โดยภัยส่วนใหญ่เกิดขึ้นบนเว็บไซต์ สามารถแบ่งประเภทภัยคุกคามที่เกิดขึ้นบนเว็บไซต์ได้ดังนี้
1. ภัยคุกคามจากเว็บไซด์หลอกลวง ได้แก่
Phishing Web เว็บที่มีการหลอกให้ทำธุรกรรมออนไลน์ เพื่อดักข้อมูลในการกรอกค่า User ID และ Password ซึ่งมักจะตั้งชื่อ URL หรือ Domain name ใกล้เคียงกับเว็บไซต์จริง อาศัยความเข้าใจผิด/ความไม่รู้ของผู้ใช้งานเป็นเครื่องมือ เมื่อดักข้อมูลได้ ก็จะนำ User ID ของเหยื่อไปใช้ทำธุรกรรมออนไลน์ เป็นต้น ผู้เสียหายจากภัยลักษณะนี้คือบุคคลทั่วไปที่รู้เท่าไม่ถึงการณ์ และผู้ให้บริการเว็บไซต์ ซึ่งส่วนใหญ่เป็นธนาคาร, เว็บ E-commerce ที่มีบริการธุรกรรมออนไลน์

เว็บหลอกลวง ที่อาศัยความต้องการของผู้ใช้งานเป็นเหยื่อล่อ อันที่จริงอาจเรียกรวมกับกลุ่ม Phishing Web ได้เช่นกัน โดยเป็นการหลอกหลวงในส่วนอื่นๆ ที่ไม่ใช่การทำธุรกรรมออนไลน์ เช่น หลอกให้ผู้ใช้งาน download โปรแกรมไม่พึงประสงค์ ที่มีคุณสมบัติในการดักข้อมูล เช่น โปรแกรม Key Logger สาเหตุอาจเกิดจากผู้ใช้งานไม่ได้กลั่นกรองข้อมูลให้ดีเสียก่อน จึงตกเป็นเหยื่อของเนื้อหาชวนเชื่อ จำพวกยาลดความอ้วน, งานที่ได้รับค่าตอบแทนสูงเกินปกติ, โปรแกรม crack serial no., กลโกงเกมส์ เป็นต้น

2. ภัยคุกคามจากเว็บที่มีเนื้อหาไม่เหมาะสม ได้แก่
– เว็บไซต์ลามกอนาจาร
– เว็บไซต์พนัน
– เว็บข้อมูลขยะ เช่น เว็บบอร์ดที่มี Botnet มาตั้งศูนย์ส่งข้อมูลชวนเชื่อ โดยเฉพาะเว็บบอร์ดที่ขาดระบบรักษาความปลอดภัยที่ดี เช่น โฆษณาขายสินค้า ขายยา ขายบริการต่างๆ
– เว็บไซต์ที่มีเนื้อหากระทบความมั่นคงของชาติ ซึ่งอาจเข้าข่ายหมิ่นสถาบันชาติ ศาสนา และพระมหากษัตริย์ ซึ่งเป็นที่รักยิ่งของคนไทย

3. ภัยคุกคามที่เกิดจากเว็บเครือข่ายสังคม ได้แก่
– เว็บเกมส์ออนไลน์
– เว็บ Social Network เช่น Hi5, Facebook ในส่วนนี้อาจเชื่อมกับภัยคุกคามจากการหลอกลวงในรูปแบบอื่นได้ เช่น การขายบริการทางเพศ, การสอนเสพยาเสพติด ดังที่พบเห็นเป็นข่าวเมื่อเร็วๆ นี้
การป้องกันภัยในส่วนนี้ควรกระทำควบคู่กับการให้คำแนะนำ และควบคุมพฤติกรรมเยาวชน เพื่อป้องกันปัญหาที่อาจเกิดขึ้นกับสังคม

ช่วง เวลานี้หลายฝ่ายคงคิดหาทางป้องกันเว็บไซต์ที่ไม่เหมาะสมในประเทศไทย เพื่อป้องกันปัญหาดังที่กล่าวข้างต้น ประเด็นหนึ่งที่เด่นชัดและเป็นที่ถกเถียงกัน คือ การปิดกั้นเว็บไซด์ไม่ใช่คำตอบสุดท้าย เพราะไม่ใช่ทางออกที่ดีที่สุด โดยเฉพาะกับงานสืบสวนสอบสวนแล้ว ไม่ถือว่าเหมาะสมนัก เนื่องจากเราจะไม่อาจหาข้อมูลแหล่งที่มาของผู้กระทำความผิดได้เลย

จุดประสงค์ของการเฝ้าระวังเว็บไซต์ไม่เหมาะสม มี 3 ข้อใหญ่ คือ
1. ต้องการทราบไอพีต้นทาง ที่เปิดเว็บไซต์ไม่เหมาะสม โดยระบุไอพีต้นทาง, ไอพีปลายทาง, ชื่อ ISP, ชื่อบริษัทหรือตำแหน่ง (Location) ที่ตั้งของผู้เปิดเว็บไซต์ไม่เหมาะสม
2. ต้องการทราบเนื้อหาที่ก่อให้เกิดความเสียหายต่อสถาบันหลักในประเทศ
3. ต้องไม่ส่งผลกระทบต่อเครือข่ายที่ทำการติดตั้งระบบ และไม่ไปเกี่ยวข้องกับค่าองค์ประกอบสำคัญของระบบเครือข่าย (Configuration)
เมื่อ แน่ใจแล้วว่าเป็นเว็บไซต์ที่ไม่เหมาะสมจริง จากการพิสูจน์หาหลักฐานและแหล่งที่มาต่างๆ แล้ว จึงจะทำการส่งข้อมูลไปยังระบบปิดกั้น (Web Filtering) ซึ่งรูปแบบนี้ผมขอขยายความเพื่อเป็นประโยชน์ในการจัดทำระบบดังกล่าวให้เกิด ขึ้นได้จริง ทั้งในระดับเครือข่ายองค์กรทั่วไป และเครือข่ายระดับประเทศ

รายละเอียดอ่านได้ที่

http://nontawattalk.blogspot.com/2009/02/blog-post.html

Read Full Post »