หน้าแรก > คอมพิวเตอร์, บ่นไปเรื่อย, เก็บมาฝาก, เขียนตามกระแส > กาฝากกับศาสตร์มืด แฮกเกอร์เขาเจาะรหัสผ่านของเรากันได้อย่างไร (ตอนที่ 2)

กาฝากกับศาสตร์มืด แฮกเกอร์เขาเจาะรหัสผ่านของเรากันได้อย่างไร (ตอนที่ 2)

image

เข้าสู่ตอนที่ 2 ของซีรี่ส์กาฝากกับศาสตร์มืดครับ ซีรี่ส์นี้เป็นซีรี่ส์ที่จะนำท่านไปรู้จักกับด้านมืดของโลกเทคโนโลยี โดยเฉพาะอินเทอร์เน็ตและโซเชียลมีเดีย แต่วัตถุประสงค์ของผมไม่ใช่เพื่อขู่ให้ท่านผู้อ่านทั้งหลายกลัวนะครับ แต่ว่าเพื่อให้ทุกท่านได้มีตระหนักรู้ถึงสิ่งต่างๆ เหล่านี้ เพราะมันเป็นสิ่งที่พวกท่านจะไม่สามารถเลี่ยงได้หากต้องข้องแวะกับเทคโนโลยี … และทุกวันนี้ เทคโนโลยีก็เป็นสิ่งที่ยังไงๆ พวกท่านก็หลบเลี่ยงได้ยากอยู่แล้วครับ … อีกอย่างคือ แม้ท่านจะสามารถหลบหลีกได้ แล้วคนรอบตัวท่าน บุตรหลานของท่านล่ะ จะทำอย่างไร?… ดังนั้นแล้ว เราควรเลือกที่จะรู้จักกับมัน เข้าใจมัน และสร้างภูมิคุ้มกันให้เกิดขึ้นแก่ตัวเราจะดีกว่าครับ

ตามธรรมเนียมครับ ก็ต้องขออุ้มไก่ให้กับผู้สนับสนุนหลักอย่างเป็นทางการของเว็บบล็อกนายกาฝากซะหน่อยนะครับ

  • Dell Thailand แนะนำ Dell Venue สมาร์ทโฟนระดับท็อป กับความสำเร็จเหนือชั้น ด้วยซีพียู 1GHz และระบบปฏิบัติการ Android 2.2 พร้อมกล้อง 8 ล้านพิกเซล รายละเอียดอ่าน ที่นี่เลย
  • ถึงเวลานั้นของปีแล้ว Adecco Thailand ขอเชิญชวนทุกคนมาดาวน์โหลด Adecco Thailand Salary Gsuide 2012 ไปครับ จะได้รู้กันว่าตำแหน่งงานที่เราสนใจนั้น มีรายได้เฉลี่ยต่อเดือนประมาณเท่าไหร่

สำหรับคนที่ชอบติดตามข่าวสารในแวดวงไอที ตอนนี้ผมจัด YouTube Channel สำหรับเผยแพร่ข่าวสารแล้วครับ ติดตามได้ทาง http://www.youtube.com/user/kafaak ครับ ค้นหา "กาฝากน้อย ย่อยข่าว" ได้เลย

เอาล่ะ พอหอมปากหอมคอแล้ว ได้เวลาลุย!

 

การเดารหัสผ่านไม่ว่าจะด้วยวิธี Brute Force หรือ Hacker Dictionary เนี่ย หลังๆ มันไม่ค่อยประสบความสำเร็จเท่าไหร่ เหตุเพราะว่าในกรณีของข้อมูลที่มีความสำคัญนั้น ผู้ใช้งานก็เลือกที่จะตั้งรหัสผ่านให้เดายากขึ้น อย่างน้อยที่สุดก็คือ เดายากมากพอที่จะทำให้แฮกเกอร์ไม่คุ้มที่จะเดาก็พอ อย่างที่ผมได้พูดถึงไปแล้วในตอนที่แล้ว นอกจากนี้ทางฝั่งเซิร์ฟเวอร์เองก็ใช้วิธีล็อกบัญชีผู้ใช้งานแบบชั่วคราวหรือถาวร เมื่อมีการใส่รหัสผ่านผิดไปจำนวนหนึ่ง เหมือนกับที่ทางธนาคารใช้กับบัตร ATM

นั่นเลยทำให้แฮกเกอร์ไปหาวิธีอื่นในการแฮกรหัสผ่านของเราต่อ

 

กลยุทธ์ชายกลาง Man-In-The-Middle (MITM)

อันนี้ไม่ได้เกี่ยวข้องใดๆ กับบ้านทรายทองแต่อย่างใดครับ แต่เรื่องราวมันก็มีความเป็นมาของมัน … สมัยแรกเกิดของอินเทอร์เน็ตนั้น จุดมุ่งหมายของการมี Hypertext Transfer Protocol หรือ HTTP นั้นไม่ได้กะว่าจะกลายเป็นโครงข่ายของข้อมูลที่มีคนใช้เป็นพันล้านคน มีการใช้ในเชิงธุรกิจขนาดนี้ ตอนที่ Sir Tim Berners-Lee ก็กะให้ World Wide Web (WWW) เป็นโครงข่ายด้านวิชาการซะมากกว่า ดังนั้นเลยไม่ได้ใส่ใจที่จะป้องกันรักษาความปลอดภัยของข้อมูลมากมายแต่อย่างใด

imageผลก็คือสิ่งที่มือใหม่หัดใช้อินเทอร์เน็ตอาจไม่ทราบก็คือ โดยพื้นฐานแล้ว การสื่อสารข้อมูลบนเครือข่ายอินเทอร์เน็ตจะอยู่ในรูปของ Plain text หรือ เป็นข้อความธรรมดา ไม่ได้มีการเข้ารหัสข้อมูลแต่อย่างใด ดังนั้นใครต่อใครก็จะสามารถเข้ามาดักไปอ่านได้ ด้วยเครื่องมือที่เรียกว่าสนิฟเเฟอร์ (Sniffer) … ใช่ครับ ไอ้อุปกรณ์ที่ตอนนี้ยังมีประเด็นกันอยู่นั่นและ … แต่อย่าเพิ่งตกใจไป เพราะการดักฟังด้วยสนิฟเฟอร์นี้ไม่ใช่ทำกันได้สะดวกโยธิน มันผิดกฎหมายครับ อีกทั้งข้อมูลที่สื่อสารกันอยู่บนอินเทอร์เน็ตนั้นมหาศาลมาก การจะใช้สนิฟเฟอร์ต้องจำเพาะเจาะจงลงไป ไม่งั้นไม่มีที่เก็บข้อมูลที่ดักมาได้หรอกครับ

แต่สำหรับธุรกิจและการบริการออนไลน์ต่างๆ ที่ต้องมีการส่งผ่าน Username และ Password จะส่งผ่าน HTTP แบบปกติไม่ได้ ไม่งั้นแฮกเกอร์เขาก็เอาสนิฟเฟอร์มาตั้งดักไว้ ล้วงเอาไปหมดดิ (แต่บางเว็บไซต์ โดยเฉพาะพวกเว็บแอปพลิเคชั่นขององค์กรขนาดเล็กๆ ก็ใช้ระบบล็อกอินโดยผ่าน HTTP ซะงั้นนะ) เลยทำให้เขาต้องคิดค้นโปรโตคอลในการเข้ารหัสข้อมูล ซึ่งทำให้แม้ว่าการสื่อสารจะยังเป็น Text อยู่ แต่มันจะเป็น Encrypted Text หรือ ข้อความที่ถูกเข้ารหัสให้เข้าใจเฉพาะผู้รับและผู้ส่งเท่านั้น จึงเกิด HTTPS (Hypertext Transfer Protocol Secure หรือ บางที่ใช้ Hypertext Transfer Protocol Security) ขึ้นมา ดังนั้นแม้ว่าจะถูกสนิฟเฟอร์ดักจับไปได้ แฮกเกอร์ก็ไม่สามารถอ่านเข้าใจได้อยู่ดี … และการเข้ารหัสนี้ ก็ซับซ้อนเพียงพอที่ทำให้แฮกเกอร์ไม่คุ้มที่จะเสียเวลาในการไปพยายามปลดรหัส

image

แต่พวกแฮกเกอร์เขาก็มีหนทางในการที่จะเจาะผ่าน HTTPS ไปได้อยู่ดีครับ ด้วยกลยุทธ์ชายกลางที่ผมได้บอกไปนั่นและ ชื่อภาษาอังกฤษของมันคือ Man-In-The-Middle หรือ (MITM) นั่นเอง กลยุทธ์นี้ทำความเข้าใจได้ง่ายมากๆ ครับ คือ แฮกเกอร์จะมาหลอกให้เราเชื่อว่าตัวเขาคือเว็บไซต์ที่เราต้องการจะใช้บริการ โดยจะส่งผ่านทุกการสื่อสารที่เราสื่อสารกับผู้ให้บริการตัวจริง … แต่ใช่ครับ แฮกเกอร์จะได้รับข้อมูลทุกอย่างที่สื่อสาร และที่สำคัญคือ ข้อมูลเหล่านั้นจะไม่ได้ถูกเข้ารหัสแต่อย่างใด

เบื้องหลังของกลยุทธ์นี้ก็คือ แฮกเกอร์ทำให้เราคิดว่าตัวเขาเป็นบริการ และมีการเข้ารหัสข้อมูล ทำให้เราอุ่นใจ เราก็ส่งข้อมูลไปให้ … แน่นอนว่าข้อมูลถูกเข้ารหัส แต่กุญแจในการถอดรหัสข้อมูลนั้นแฮกเกอร์ก็มี … แฮกเกอร์ถอดรหัสข้อมูลนั้นออกมา (แน่นอนว่าสำเนาเก็บไว้ด้วย) แล้วค่อยส่งต่อไปให้ผู้ให้บริการตัวจริง … จากนั้น เมื่อผู้ให้บริการส่งข้อมูลกลับมา แฮกเกอร์ก็ส่งผ่านต่อไปยังผู้ใช้บริการ (แน่นอนว่าสำเนาเก็บไว้ก่อนส่งกลับเช่นกัน)

เทคนิคดังกล่าวยิ่งทำได้ง่าย หากแฮกเกอร์ไปอยู่ในเครือข่ายวงเดียวกับผู้ใช้งาน โดยเฉพาะอย่างยิ่ง เครือข่าย WiFi ตามที่สาธารณะที่ไม่มีการเข้ารหัสข้อมูล (พวกฟรี WiFi ต่างๆ ที่ไม่ใช่ WEP/WPA/WPA2)

image

อย่างไรก็ดี การจะทำให้กลยุทธ์ชายกลางนี้สำเร็จได้ แฮกเกอร์จำเป็นต้องทำให้มันมีรูปแม่กุญแจขึ้นมาบนบราวเซอร์ เพื่อเป็นการบอก (และหลอก) กับผู้ใช้งานว่า นี่คือเว็บที่ปลอดภัยนะ มีการเข้ารหัสแล้วนะ ซะก่อน และการที่จะทำเช่นนั้นได้ ก็ต้องมีการไปเอา Certificate ที่ถูกต้อง และมีการบันทึกไว้ในบราวเซอร์ต่างๆ มาด้วย เพราะเดี๋ยวนี้บราวเซอร์แทบทั้งหมด มีการป้องกันกลยุทธ์แบบนี้ด้วยการแจ้งเตือนผู้ใช้งาน ในกรณีที่พบว่า Certificate นั้นไม่ได้รับการยืนยันจาก Certificate Authority (CA) ครับ

image

เมื่อเห็นข้อความแจ้งผิดพลาดแบบรูปทางซ้ายมือนี่ ผู้ใช้งาน (ที่อ่านภาษาอังกฤษซะหน่อย อย่าเป็นโรค Yes Syndrome ที่เห็นปุ๊บ ก็ยังอยากจะเปิดเว็บต่อเลยคลิก Proceed anyway ที่แปลว่า “กรูจะไปต่อ ต่อให้กรูจะโดนหลอกก็ตาม”) ก็จะรู้ตัวแล้วว่าเว็บนี้ไม่น่าไว้ใจ และจะไม่หลงกล นั่นเลยเป็นที่มาของการที่แฮกเกอร์เขาไปแฮกข้อมูลของ Certificate Authority อย่างกรณีกลุ่ม Comodo เข้าไปแฮก DigiNotar เป็นต้น

พอเจาะเข้าไปได้แล้ว แฮกเกอร์ก็จะสามารถออก Certificate ที่บราวเซอร์ต่างๆ ไว้วางใจออกมาเพื่อใช้ปลอมเว็บไซต์ต่างๆ ของตนให้ดูน่าเชื่อถือ เพื่อใช้ในกลยุทธ์ชายกลางนั่นเอง

คำถามก็คือ แล้วถ้าเป็นแบบนี้ เราจะทำอะไรเพื่อป้องกันตัวเองได้บ้างล่ะ? หนทางที่พอจะป้องกันตัวเองได้นั้นก็มีครับ แต่ว่ามันต้องได้รับความร่วมมือจากทั้งตัวผู้พัฒนาซอฟต์แวร์บราวเซอร์ ตัวผู้ให้บริการเว็บ และ ตัวผู้ใช้งานเองครับ

  • ตัวผู้พัฒนาซอฟต์แวร์บราวเซอร์ก็ต้องหมั่นตรวจหาบั๊กหรือช่องโหว่ของบราวเซอร์ และหากมีข่าวที่ Certificate Authority โดนแฮกข้อมูลไป ก็ต้องรีบปลด Certificate ของ CA รายนั้นออก
  • ตัวผู้ให้บริการเว็บเองก็ต้องเลือกใช้ Certificate จาก CA ที่น่าเชื่อถือ และหากมันเป็นบริการที่สำคัญอย่างยิ่งยวด ก็อาจจะต้องใช้พวก 2-factor authentication เช่น ใช้ Username & Password เพื่อล็อกอินเข้ามาดูข้อมูล แต่หากต้องการเปลี่ยนแปลงใดๆ ก็ต้องขอรหัสผ่านแบบใช้ครั้งเดียวส่งไปทาง SMS เป็นต้น (ลองนึกถึงกรณีของอินเทอร์เน็ตแบงก์กิ้ง ที่ต้องส่ง OTP: One Time Password มาที่มือถือของเรา เพื่อให้เรากรอกรหัสผ่านดังกล่าว ก่อนที่จะโอนเงิน เป็นต้น)
  • ตัวผู้ใช้บริการเองก็ต้องหมั่นอัพเดตซอฟต์แวร์บราวเซอร์ของตนให้ใหม่อยู่เสมอ และเลือกใช้ตัวที่ปลอดภัย เช่น Google Chrome, Firefox, Internet Explorer เป็นต้น … นอกจากนี้ ก็ต้องหมั่นอ่านข้อความแจ้งเตือนด้วย อย่าทำตัวเป็นโรค Yes Syndrome … แล้วท่านก็จะไม่โดนหลอกง่ายๆ ครับ

วันนี้แค่ Man-In-The-Middle อย่างเดียวก็ยาวแล้ว เอาไว้ต่อตอนหน้าแล้วกัน


หากมีข้อสงสัยประการใด หรืออยากแบ่งปันความเห็นของท่าน ยินดีรับฟังและร่วมออกความเห็นได้ทาง Comment ด้านล่างนี้ หรือจะร่วมแชร์ความเห็นและความรู้ได้อีกหนึ่งช่องทาง เพียงแค่กด Like Facebook Fan Page ของผม ที่ http://www.facebook.com/kafaakBlog ครับ ส่วนใครได้ใช้ Google+ แล้ว แต่ยังไม่รู้จะเพิ่มใครเข้าแวดวง (Circle) ดี ก็จัดผมเข้าไปในแวดวงของท่านได้ที่ http://gplus.am/kafaak จ้า

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: