กาฝากกับศาสตร์มืด แฮกเกอร์เขาเจาะรหัสผ่านของเรากันได้อย่างไร (ตอนที่ 3)

การพยายามเจาะรหัสผ่านด้วยวิธี Brute Force หรือ Hacker Dictionary ก็โดนป้องกันจนไม่คุ้มที่จะเสียเวลาทำ ส่วนกลยุทธ์ชายกลางแบบที่ผมพูดถึงไปเมื่อคราวก่อน ต้องใช้ฝีไม้ลายมือพอสมควร สำหรับการเจาะแบบเล็กๆ บางทีมันก็เหมือนกับขี่ช้างจับตั๊กแตนจนเกินไป แฮกเกอร์แม้ว่าจะเก่ง แต่พวกเขาก็รู้จักคำนวณ Cost/Benefit หรือ ผลกำไรที่ได้จากการลงทุนนะครับ ดังนั้นเขาจึงมักพยายามเลือกวิธีที่ง่ายกว่า แต่ได้ผลกว่า

และนี่คือสิ่งที่ซีรี่ส์กาฝากกับศาสตร์มืดจะพาพวกท่านไปรู้จักต่อครับ

ตามธรรมเนียมครับ ก็ต้องขออุ้มไก่ให้กับผู้สนับสนุนหลักอย่างเป็นทางการของเว็บบล็อกนายกาฝากซะหน่อยนะครับ

• Dell Thailand แนะนำ Dell Venue สมาร์ทโฟนระดับท็อป กับความสำเร็จเหนือชั้น ด้วยซีพียู 1GHz และระบบปฏิบัติการ Android 2.2 พร้อมกล้อง 8 ล้านพิกเซล รายละเอียดอ่าน ที่นี่เลย
• ถึงเวลานั้นของปีแล้ว Adecco Thailand ขอเชิญชวนทุกคนมาดาวน์โหลด Adecco Thailand Salary Guide 2012 ไปครับ จะได้รู้กันว่าตำแหน่งงานที่เราสนใจนั้น มีรายได้เฉลี่ยต่อเดือนประมาณเท่าไหร่

สำหรับคนที่ชอบติดตามข่าวสารในแวดวงไอที ตอนนี้ผมจัด YouTube Channel สำหรับเผยแพร่ข่าวสารแล้วครับ ติดตามได้ทาง http://www.youtube.com/user/kafaak ครับ ค้นหา “กาฝากน้อย ย่อยข่าว” ได้เลย

เอาล่ะ พอหอมปากหอมคอแล้ว ได้เวลาลุย!

 

คีย์ล็อกเกอร์ (Keylogger) ดักรหัสผ่านมันถึงแป้นคีย์บอร์ดใกล้มือคุณ

วิธีที่ใช้กันอย่างแพร่หลายมากอีกวิธีหนึ่งก็คือการใช้คีย์ล็อกเกอร์ครับ คีย์ (Key) มาจาก คีย์บอร์ด (Keyboard) และ ล็อกเกอร์ (Logger) ก็มากจาก ล็อก (Log) ที่หมายถึงบันทึกการใช้งาน พอใส่ er เข้าไปก็เลยแปลว่าตัวบันทึกหรือเครื่องบันทึก … แปลรวมๆ กันแล้วก็คือ อุปกรณ์หรือซอฟต์แวร์ที่ใช้บันทึกการกดแป้นคีย์บอร์ดนั่นเอง

พวกแฮกเกอร์นิยมใช้คีย์ล็อกเกอร์แบบที่เป็นซอฟต์แวร์มากกว่า โดยมักจะหลอกให้เหยื่อหลวมตัวติดตั้งลงไปโดยไม่รู้ตัวในรูปของซอฟต์แวร์แฝงที่มากกับพวกซอฟต์แวร์เถื่อนละเมิดลิขสิทธิ์

นอกจากนี้อีกวิธีนึงที่มักใช้กันก็คือ ไปติดตั้งคีย์ล็อกเกอร์ไว้ในเครื่องคอมพิวเตอร์สาธารณะ เช่น ตามอินเทอร์เน็ตคาเฟ่ เป็นต้น รอเหยื่อมาใช้งานแล้วก็เรียบร้อย

คีย์ล็อกเกอร์พวกนี้จะมีความสามารถในการส่งอีเมล์ไปยังแฮกเกอร์ได้ด้วย

ข่าวดีก็คือ หากเราใช้ซอฟต์แวร์ป้องกันไวรัสแล้วมีการอัพเดตให้ทันสมัยอยู่เสมอ (ขอย้ำตรงนี้ก่อนว่า การมีซอฟต์แวร์ป้องกันไวรัสแบบที่ซื้อละเมิดลิขสิทธิ์มาจากร้านต่างๆ ไม่ได้หมายความว่าจะปลอดภัยนะครับ) พวกซอฟต์แวร์ป้องกันไวรัสมักจะตรวจพบพวกคีย์ล็อกเกอร์ได้

คีย์ล็อกเกอร์ก็เหมือนกับพวกมัลแวร์ (Malware) อย่างไวรัสหรือโทรจันครับ ดังนั้นการปฏิบัติตนเพื่อป้องกันมัลแวร์ก็จะสามารถป้องกันเราจากพวกคีย์ล็อกเกอร์ได้เช่นกัน เช่น การไม่เปิดไฟล์แนบอีเมล์ที่ไม่รู้ว่าส่งมาทำไม, การไม่คลิกลิงก์ในอีเมล์พร่ำเพรื่อ, การไม่ใช้ซอฟต์แวร์เถื่อน เป็นต้น

ทว่าต้องคอยติดตามข่าวสารด้านความปลอดภัยเป็นประจำหน่อยนะครับ เพราะเทคนิคในการดักข้อมูลแบบนี้มันพัฒนาไปเรื่อยๆ ตามเทคโนโลยีที่ก้าวหน้า เหมือนที่มีข่าวว่านักวิจัยจาก MIT และ Georgia Tech ใช้ประโยชน์จากคุณสมบัติ Accelerometer บนพวกสมาร์ทโฟน เช่น iPhone ในการทำตัวเป็นคีย์ล็อกเกอร์ โดยวางสมาร์ทโฟนนี้ไว้ใกล้ๆ กับคีย์บอร์ด แล้วอาศัยการวัดระดับการสั่นสะเทือนที่เกิดจากการพิมพ์คีย์บอร์ด แล้วเอาข้อมูลมาถอดความออกมา ซึ่งแม่นยำถึง 80% เลยทีเดียว … น่ากลัวไหมล่ะครับ

 

หลอกให้ยื่นรหัสผ่านมาให้แต่โดยดี ด้วยวิศวกรรมสังคม (Social Engineering)

ไม่ขอเขียนอะไรยาวเกี่ยวกับเรื่องนี้ เพราะผมได้เคยเขียนเอาไว้โดยละเอียดยาวเหยียดถึง 3 ตอนจุใจให้ไปอ่านได้เต็มอิ่มเลยครับ … โดยสรุปแล้ว เทคนิคนี้ก็คือการหลอกลวงด้วยพื้นฐานด้านจิตวิทยาสังคม เพื่ออาศัยความกลัวอะไรบางอย่าง บวกกับการทำตัวให้น่าเชื่อถือ ทำให้เหยื่อยอมมอบชื่อผู้ใช้งานและรหัสผ่านมาให้ด้วยความเต็มใจ โดยรู้เท่าไม่ถึงการ เพราะเชื่อว่าเป็นการให้กับคนที่น่าเชื่อถือได้

มันเป็นความเชื่อผิดๆ ที่ผู้ใช้งานมีมาตลอด ตามที่ผมเคยได้เล่าให้อ่านไปในตอนที่ 2 ของซีรี่ส์วิศวกรรมสังคมของผม ว่าการให้ Username และ Password กับผู้ดูแลระบบ (System Administrator) นั้นเป็นเรื่องปกติที่จำเป็นต้องทำ โดยเฉพาะเมื่อเกิดปัญหาในการใช้งาน … ที่สำคัญที่สุดก็คือ ความเชื่อดังกล่าวนี้ทำให้เราพร้อมจะมอบ Username และ Password ให้กับผู้ที่เราเชื่อว่าเป็นผู้ดูแลระบบ โดยที่เรายังไม่ต้องทำการพิสูจน์ตัวตนของพวกเขาว่าเป็นผู้ดูแลระบบจริงๆ หรือไม่ด้วยซ้ำ กรณีศึกษาเกี่ยวกับเรื่องนี้ ก็เห็นจะเป็นที่เพื่อนของผม @mehtaxz ผู้ก่อตั้งเว็บ facebookgoo.com (ตอนนี้โดน Facebook ขอให้เปลี่ยนชื่อไปแล้ว กลายเป็น Socialmer.com แทน (อ่านความเป็นมาของการเปลี่ยนจาก Facebookgoo.com เป็น Socialmer.com ได้ที่เว็บของเขา) เคยเล่าให้ฟังว่ามีบ่อยครั้งที่คนส่งอีเมล์หาเขา โดยแจ้ง Username และ Password แล้วสอบถามปัญหาเกี่ยวกับการใช้งาน

การป้องกันจากเทคนิควิศวกรรมสังคมนี่ยากมากครับ เพราะว่าผู้ไม่หวังดีพวกนี้ก็จะสามารถสรรหากลเม็ดต่างๆ มาหลอกลวงเราได้ตลอดครับ … แต่ทางที่ดีที่สุดคือ การทำความเข้าใจเสียใหม่ว่า ผู้ดูแลระบบนั้นไม่จำเป็นต้องทราบ Username และ Password ของเราเลย เพื่อแก้ปัญหาให้แก่เรา แต่หากมีความจำเป็นจริงๆ เราควรจะเป็นคนที่ล็อกอินให้เขา และการทำงานของเขาจะต้องอยู่ภายใต้การดูแลของเราตลอด

การพยายามติดตามข่าวสารเรื่องการหลอกลวงทางอินเทอร์เน็ตอยู่เสมอๆ จะช่วยให้เราสามารถรู้ทันเทคนิคของพวกผู้ไม่หวังดีพวกนี้ได้บ้างไม่มากก็น้อยครับ

 

เอารหัสผ่านของเราไปได้ เพราะรหัสผ่านของเราก็อยู่รอบตัวเรานั่นแหละ

รู้หรือไม่ว่ารหัสผ่านที่เดาง่ายอีกอย่างก็คือข้อมูลรอบตัวเรานั่นแหละครับ รหัสผ่านเป็นอะไรที่เรารู้สึกว่าจำยาก เลยมักจะลงเอยด้วยการใช้อะไรที่เราคุ้นเคยเป็นหลัก อาจจะเป็นชื่อคนรู้จัก วันเดือนปีเกิด เบอร์โทรศัพท์ ฯลฯ โดยเข้าใจว่าแบบนี้ไม่น่าจะโดนเดาได้ง่าย ไม่น่าจะไปอยู่ใน Hacker Dictionary

แต่อย่าลืมว่าหลังๆ เราเองก็เริ่มมีพฤติกรรมเปิดเผยข้อมูลส่วนตัวบนโซเชียลเน็ตเวิร์คกิ้งมากขึ้น ข้อมูลอย่างเบอร์โทรศัพท์ วันเดือนปีเกิด หรือชื่อคนสนิท (เช่น พี่น้อง พ่อแม่ หรือแฟน) ก็สามารถค้นหาได้ง่ายๆ บนอินเทอร์เน็ตแล้ว แถมนับวันพวกเว็บไซต์โซเชียลเน็ตเวิร์กต่างๆ ก็พยายามปรับ User Interface ให้ดูง่ายขึ้นสำหรับผู้ใช้งาน และแน่นอนว่ามันย่อมง่ายขึ้นสำหรับแฮกเกอร์ที่จะเข้ามาเอาข้อมูลด้วย ซึ่งตรงนี้พวกนักวิจัยต่างๆ ก็แสดงความกังวลออกมาแล้ว เช่น ตอนที่พูดถึงเรื่องของอินเทอร์เฟซแบบ Timeline ของ Facebook ซึ่งตอนนี้เริ่มทยอยเปลี่ยนแปลงหน้าเว็บของผู้ใช้งานไปเรื่อยๆ แล้ว และคาดว่าจะแล้วเสร็จทั้งหมดในวันที่ 23 ธันวาคมนี้

ผู้เชี่ยวชาญจาก Sophos ถึงกับกล่าวถึง Timeline นี้เอาไว้แบบนี้ครับ (ที่มา: Computerworld)

“Timeline makes it a heck of a lot easier [for attackers] to collect information on people,” said Chet Wisniewski, a Sophos security researcher. “It’s not that the data isn’t already there on Facebook, but it’s currently not in an easy-to-use format.”

หน้าตาของ Timeline นั้นจะทำให้ผู้ไม่หวังดีสามารถเก็บข้อมูลเกี่ยวกับผู้คนไปได้ง่ายขึ้น … มันไม่ใช่ว่าข้อมูลพวกนี้ไม่ได้มีอยู่บน Facebook มาก่อนนะ แต่ว่ามันยังไม่ได้อยู่ในรูปแบบที่ใช้งานได้

ทางป้องกันในกรณีนี้มีทางเดียวที่ชัดเจนครับ คือ อย่าไปตั้งรหัสผ่านโดยใช้ข้อมูลส่วนตัว … เว้นเสียแต่คุณจะมั่นใจว่า ข้อมูลส่วนตัวนี้มันส่วนตั๊วส่วนตัวสุดๆ จริงๆ และไม่มีใครรู้แน่นอน

 

ไม่ต้องเดารหัสผ่านก็ได้ เดาคำถามในกรณีลืมรหัสผ่านดีกว่า

บางคนตั้งรหัสผ่านเดายากโคตร จำก็ยากด้วย เลยทำให้เกิดความกลัวที่จะลืม … เรื่องมันก็ไปเดือดร้อนผู้ดูแลระบบตลอด ต้องมารีเซ็ตรหัสผ่านให้เป็นประจำ ดังนั้นเว็บไซต์ที่มีสมาชิกเยอะๆ เลยพัฒนาระบบกู้คือรหัสผ่านเอาไว้ขึ้นมา ใครลืมรหัสผ่าน ไม่สามารถล็อกอินเข้าระบบได้ ก็คลิกเลย จากนั้นก็แค่ตอบคำถามซักข้อ (ซึ่งเราสามารถเลือกตั้งคำถามได้ตอนที่สมัครใช้บริการ)

ปัญหาก็คือ คำถามพวกนี้มักจะเลือกได้จำกัด (แม้ว่าจะมีบางบริการที่ให้เรากำหนดคำถามเองได้) อีกทั้งเวลาเรานึกถึงคำถามทีไร เราก็นึกถึงเรื่องใกล้ตัวเข้าไว้ เพื่อให้เราสามารถจำคำตอบได้ง่าย (กลับไปอ่านหัวข้อก่อนหน้า ว่ามันจะเกิดอะไรขึ้น) ผลก็คือ มันจึงมักเป็นเรื่องใกล้ตัว และสามารถถูกเดาได้ง่ายๆ โดยการค้นหาด้วย Google หรือไม่ก็ไปไล่ดูข้อมูลจากโซเชียลเน็ตเวิร์คกิ้งไซต์ต่างๆ

กรณีศึกษาที่ชัดเจนมาก (และโด่งดังด้วย) คือกรณีที่อีเมล์ Yahoo! ของ Sara Palin ถูกแฮกไปเมื่อปี ค.ศ. 2008 โดยที่คนแฮกไม่ได้ใช้ความรู้ด้านการแฮกใดๆ เลย เขาใช้แค่วันเดือนปีเกิด รหัสไปรษณีย์ และข้อมูลที่ว่า Sara Palin ไปพบกับสามีของเธอที่ไหนเป็นครั้งแรก แค่นี้เขาก็สามารถรีเซ็ตรหัสผ่านได้แล้ว

เบิ้องต้นนั้น ทางป้องกันเทคนิคนี้ก็เหมือนกับเทคนิคก่อนหน้าครับ อย่าไปใช้ข้อมูลส่วนตัว … แต่นอกจากนี้ @darkmasterxxx เพื่อนของผมบอกว่า วิธีง่ายๆ ก็คือ ไม่ต้องสนใจว่าคำถามจะเป็นอะไร แต่จำคำตอบไว้ในใจเสมอก็พอ เช่น ชื่อแฟน … ส่วนคำถามจะเลือกอะไรก็ได้ “Q: อาชีพของปู่ A: ชื่อแฟน”, “Q: คุณครูที่ชื่นชอบ A: ชื่อแฟน” หรือแม้แต่ “Q: ชื่อของสัตว์เลี้ยงตัวแรก A: ชื่อแฟน” ฮาฮา

และนั่นก็คือทั้งหมดทั้งสิ้นที่ผมเก็บเอามาฝากกันครับ … แน่นอนว่าอาจไม่ทั้งหมดทุกวิธี ทุกเทคนิค แต่ก็น่าจะช่วยได้ไม่มากก็น้อยละครับ

---

หากมีข้อสงสัยประการใด หรืออยากแบ่งปันความเห็นของท่าน ยินดีรับฟังและร่วมออกความเห็นได้ทาง Comment ด้านล่างนี้ หรือจะร่วมแชร์ความเห็นและความรู้ได้อีกหนึ่งช่องทาง เพียงแค่กด Like Facebook Fan Page ของผม ที่ http://www.facebook.com/kafaakBlog ครับ ส่วนใครได้ใช้ Google+ แล้ว แต่ยังไม่รู้จะเพิ่มใครเข้าแวดวง (Circle) ดี ก็จัดผมเข้าไปในแวดวงของท่านได้ที่ http://gplus.am/kafaak จ้า