ใครที่ติดตั้งอินเทอร์เน็ตความเร็วสูง ( Hi-speed Internet ) ไม่ว่าจะเป็นการเสียบสาย LAN หรือจะต่อแบบ Wi-Fi ภายในบ้าน เคยเจอปัญหาลักษณะนี้ไหม ที่พยายามจะคลิ๊กเข้าเว็บไซต์ที่ต้องการ แต่กลับกลายเป็นพาไปหน้าอื่นตลอด? อาการเหล่านี้มีหลายสาเหตุมาก เช่นคอมพิวเตอร์ติดไวรัส , เว็บเบราว์เซอร์รันติดมัลแวร์ ซึ่งก็อาจจัดการได้ด้วย Anti-Virus , Anti Spyware ต่างๆ แต่ ถ้ายังเป็นอาการแบบเดิมนี้อยู่อีกสาเหตุหนึ่งที่เป็นปัญหาใหญ่คือ คอมเราถูกแฮคผ่านทางช่องโหว่ของ Router
โดย Abdelli Nassereddine ชาวอัลจีเรีย ได้รายงานพบช่องโหว่ของ Router ที่สามารถเข้าถึงไฟล์ “rom-0” ของ Router ยี่ห้อหนึ่ง ซึ่งถูกแจกจ่ายโดยผู้ให้บริการอินเทอร์เน็ตให้กับผู้ใช้งานอินเทอร์เน็ตในประเทศอัลจีเรีย โดยที่ไฟล์ rom-0 นั้นเป็นไฟล์ที่ใช้ในการสำรองการตั้งค่า ซึ่งมีข้อมูลการตั้งค่าต่าง ๆ ของตัว Router รวมถึงรหัสผ่านที่ใช้ในการเข้าไปบริหารจัดการและตั้งค่าควบคุมตัว Router และมีการใช้เทคนิค DNS Hijacking เพื่อดักขโมยข้อมูลบัญชี Internet Banking และเข้าควบคุมเครื่องคอมพิวเตอร์เหยื่อได้
ปัญหาช่องโหว่ของ Router เป็นปัญหาใหญ่ และ Router หลายแบรนด์ ได้รับผลกระทบด้วย มีอาจจะส่งผลต่อความมั่นคงของระบบสารสนเทศในระดับชาติได้
บทความนี้จะกล่าวถึงภัยคุกคามที่จะเกิดต่อผู้ใช้งาน ที่พบช่องโหว่ของ Router ประเภทนี้ รวมถึงการป้องกันการถูกโจมตี Router ในกรณีที่ยังไม่มีการอัพเดท firmware เพื่อแก้ไขช่องโหว่จากเจ้าของผลิตภัณฑ์ Router
ช่องโหว่ของ Router ที่ถูกค้นพบนั้น เหล่าผู้บุกรุก ( Hacker ) สามารถนำไปใช้ในการโจมตีได้หลายช่องทาง ดังนี้
- Password Harvesting:การเก็บรวบรวมข้อมูลรหัสผ่านเพื่อใช้เป็นฐานข้อมูลในการโจมตีระบบอื่น ๆ ภายในประเทศไทย โดยเฉพาะกลุ่มของรหัสผ่านที่คาดเดาง่าย โดยแฮกเกอร์จะสแกนหาพอร์ท 80 บนเครือข่ายอินเทอร์เน็ต (ซึ่งเป็นพอร์ทที่ผู้ใช้ทั่วไปใช้สำหรับการบริหารจัดการระยะไกล (Remote Administration)) จากนั้นก็จะทำการเขียนโปรแกรมอัตโนมัติให้เข้าไปดาวน์โหลดไฟล์ rom-0 มาเก็บไว้ พอได้ไฟล์ rom-0 มาแล้ว ก็จะนำไป decompress เพื่อให้ได้รหัสผ่าน รวมถึงข้อมูลอื่น ๆ ออกมาแล้วก็จะนำไปเก็บลงฐานข้อมูลต่อไป ( ดังในรูปด้านบน )
- Domain Name System (DNS) Hijacking:
โดยปกติทั่วไปในการใช้อินเทอร์เน็ต พวกคอมและอุปกรณ์ไอที ที่เชื่อมต่ออินเทอร์เน็ตได้ จะสื่อสารถึงกันผ่าน IP Address (Internet Protocol Address) เป็นตัวระบุผู้ที่อยู่ปลายทาง ยกอย่างเช่น www.acisonline.net ซึ่งมี IP Address เป็น 117.121.217.196 เมื่อเราเข้าถึงเว็บไซต์ www.acisonline.net นั้น ชื่อโดเมน www.acisonline.net จะถูก resolve เป็น IP Address 117.121.217.196 ก่อนแล้วจึงมีการสื่อสารระหว่างเครื่องคอมพิวเตอร์ของผู้ใช้งาน กับเว็บไซต์ www.acisonline.net ต่อไป กล่าวง่าย ๆ ก็คือ ระบบ Domain Name พวก .com , .net , org หรือ .co.th และอื่นๆ นั้น ถูกคิดค้นมาเพื่อให้มนุษย์สามารถจดจำชื่อของเป้าหมายที่ต้องการจะติดต่อด้วยได้ง่าย ไม่ต้องมาจำหมายเลข IP Address
แต่ทว่า พวกแฮกเกอร์จะใช้วิธี DNS Hijacking คือการที่ผู้โจมตีนั้น ทำแก้ไขการตั้งค่าที่ใช้ระบุ Domain Name Server ที่ใช้งานแบบปกติให้เปลี่ยนเป็นใช้งาน Domain Name Server ที่ผู้โจมตีต้องการแทน เมื่อเป็นเช่นนี้ ผู้บุกรุกก็สามารถควบคุมการแปล Domain Name ได้อย่างที่ต้องการ
ยกตัวอย่างเช่น www.acisonline.net จะถูกแปลเป็น 117.121.217.196 ซึ่งเป็น IP Address ที่ถูกต้อง กลับกลายเป็นเลข 192.168.9.99 ซึ่งเป็นไอพีเครื่องของแฮกเกอร์แทน ทำให้ผู้ใช้อินเทอร์เน็ต พิมพ์ชื่อเว็บถูก แต่คลิกแล้วกลับเข้าเว็บไซต์ผิด(ทั้งๆที่พิมพ์ชื่อเว็บถูก) ได้ข้อมูลที่ไม่ต้องการ และอาจเป็นเว็บอันตรายที่มีพวกไวรัสมัลแวร์ หรือ รวมถึงการดักจับและแก้ไขเปลี่ยนแปลงข้อมูลได้ และ เมื่อ DNS ถูก Hijack ได้สำเร็จ ผู้โจมตีก็สามารถที่จะต่อยอดเพื่อยกระดับการโจมตีได้
3. Computers Compromising: การเข้ายึดเครื่องคอมพิวเตอร์เพื่อกระทำการต่าง ๆ โดยเมื่อผู้โจมตีสามารถทำการ Hijack DNS และ ควบคุมการสื่อการของเหยื่อกับโลกภายนอกได้แล้ว ผู้โจมตีสามารถที่จะใช้ความสามารถนี้ผสมกับช่องโหว่อื่น ๆ เช่น ช่องโหว่ของ Web Browser ที่ถ้าหากเปิดดูเว็บไซต์ที่มีโปรแกรมสคริปท์ (โค้ดอันตราย) ที่รันคำสั่งใช้โจมตีช่องโหว่ของ Web Browser นั้น ก็จะทำให้เครื่องของผู้ใช้งานถูกเข้าควบคุมโดยผู้โจมตีได้ทันที โดยผลกระทบที่จะเกิดนั้น มีได้ดังนี้
3.1 Information Pilfering: ขโมยข้อมูลจากเครื่องคอมพิวเตอร์ทุกซอกทุกมุม Turn into Botnet: ใช้เครื่องคอมพิวเตอร์ของเหยื่อเพื่อไปโจมตีเป้าหมายอื่น ๆ ทั้งใน และ นอกประเทศ หรือใช้เพื่อกระทำการอื่น ๆ ที่อาจจะผิดกฏหมาย
3.2 Financial Gain by compromising Internet banking process: เนื่องจากการทำงานต่าง ๆ ถูกควบคุมได้หมดตั้งแต่ระบบ DNS ทำให้การทำธุรกรรมทางการเงินผ่านอินเทอร์เน็ตไม่ปลอดภัยอีกต่อไป
3.3 Remote Access Trojan: ขโมยข้อมูลจาก Smart phone ทุกซอกทุกมุม ไม่ว่าจะเป็น ข้อความเข้า-ออก, voicemail, ดักฟังเสียงขณะโทร, ฯลฯ รวมถึงการเข้าควบคุมเครื่อง smart phone ได้
4. Mobile Devices Infection:ไม่เพียงแต่เครื่องคอมพิวเตอร์เท่านั้น โทรศัพท์มือถือ smart phone ก็สามารถถูกโจมตีได้เช่นกันโดยส่วนใหญ่แล้ว โทรศัพท์มือถือที่เป็น smart phone นั้นตกเป็นเป้าหมายหลักในการโจมตีที่หวังผลทางการเงินและล้วงข้อมูลความลับ โดยผลกระทบหลัก ๆ ที่จะเกิดกับ smart phone คือ
1. Remote Access Trojan: ขโมยข้อมูลจาก Smart phone ทุกซอกทุกมุม ไม่ว่าจะเป็น ข้อความเข้า-ออก, voicemail, ดักฟังเสียงขณะโทร, ฯลฯ รวมถึงการเข้าควบคุมเครื่อง smart phone ได้
2. ZITMO-like malware for financial gain: มัลแวร์ที่มีจุดประสงค์ในการขโมยเงินจาก Internet Banking ของผู้ใช้งาน smart phone (เช่น ZITMO Euro Grabber ที่เคยโด่งดังเมื่อปลายปี 2012) จะกลับมาอีกครั้ง ด้วยวิธีที่ง่าย และ กินวงกว้างกว่าเดิม
5. Phishing:รูปแบบหนึ่งของการโจมตีที่พยายามการหลอกลวงผู้ใช้งานกรอกข้อมูลส่วนตัว เพื่อให้เผยข้อมูลที่มีความสำคัญรูปแบบการโจมตีหลัก ๆ จะเป็นการสร้างหน้าเว็บไซต์หลอกขึ้นมาให้มีหน้าตาเหมือนกับของจริง ซึ่งจะมีแบบฟอร์มให้กรอกข้อมูลสำคัญ เช่น ชื่อผู้ใช้งาน รหัสผ่าน ข้อมูลบัตรเครดิต แล้วทำให้เหยื่อเข้ามาที่เว็บไซต์ปลอมนี้โดยอาศัยการทำ DNS Hijacking เมื่อเหยื่อหลงเข้ามาให้หน้ากรอกข้อมูลที่ทำเลียนแบบไว้นี้ ข้อมูลก็จะถูกส่งไปให้ผู้โจมตี
6.Network Sniffing: ข้อมูลที่รับส่งผ่านเครือข่ายก็สามารถถูดดักจับและขโมยได้เช่นกัน ไม่ว่าจะถูกป้องกันด้วย SSL ก็สามารถถูกทำลายได้ด้วย SSLStrip
7.Loss of privacy: นอกจากการที่ข้อมูลถูกขโมยได้อย่างง่ายดายแล้ว ด้วยเทคโนโลยีในปัจจุบันที่สามารถบอกที่อยู่ พร้อมทั้งกิจกรรมต่าง ๆ ของผู้ใช้งานผ่านทางคอมพิวเตอร์และ smart phone ทำให้ความเป็นส่วนตัวอาจจะไม่มีอีกต่อไป เมื่อระบบถูกโจมตีสำเร็จ
ปัญหาช่องโหว่ของ Router กับผลกระทบระดับชาติ
เมื่อมองถึงความเป็นจริงที่ว่า Cyberspace นั้นไร้ซึ่งขอบเขต เราก็ควรจะตระหนักว่าช่องโหว่ที่มีผลกระทบในวงกว้างและช่องโหว่ที่สามารถโจมตีจากที่ใดก็ได้ในอินเทอร์เน็ตเช่นนี้ ทำให้ความเป็นไปได้ที่ผู้โจมตีนั้นจะมาจากที่ใดก็ได้ในโลกนอกจากภายในประเทศก็ย่อมมีมาก และเมื่อพิจารณาจากผลกระทบที่เกิดจากช่องโหว่นี้แล้ว พบว่ามีหลายช่องทางให้นำข้อมูลออกไปได้ ซึ่งถ้าหากการโจมตีสามารถไปถึงบุคคลสำคัญของชาติ หรือสามารถโจมตีระบบใดระบบหนึ่งที่มีความเกี่ยวข้องกับข้อมูลที่เป็นความมั่นคงชองชาติ ความเสียหายก็ย่อมต้องร้ายแรง และถ้าหากระบบที่สำคัญของประเทศถูกควบคุมได้อย่างสิ้นเชิง ความเสียหายที่จะเกิดขึ้นย่อมประเมินค่าไม่ได้
วิธีป้องกันปัญหาช่องโหว่ของ Router
วิธีป้องกันปัญหาช่องโหว่ของ Router ที่ดีที่สุดคือ ต้องอัพเดต patch หรือ firmware จากผู้ให้บริการหรือแบรนด์ผลิตภัณฑ์นั้น ๆ แต่หากยังไม่มีการเผยแพร่ patch หรือ firmware ที่ใช้ในการแก้ไขช่องโหว่จากผู้ให้บริการ เราสามารถตั้งค่า Router เพื่อป้องกันการโจมตีของเหล่า แฮกเกอร์ได้ดังนี้
1. ปิดฟังก์ชั่น Remote Administration ของ Router
2. ใช้ฟังก์ชั่น Access Control List (ACL) ของ Router ในการกรองไม่ให้เครื่องใด ๆ ที่อยู่บนอินเทอร์เน็ตเข้าถึงพอร์ทที่ใช้บริหารจัดการ Router ได้
3.ทำการ Forward Port ที่ใช้ในการบริหารจัดการ Router ไปที่ IP Address ที่ไม่ได้มีการใช้งานอยู่จริงใน Private IP Address
ทั้งนี้ในบทความจะไม่มีอธิบายขั้นตอนการตั้งค่าอย่างละเอียด เนื่องจาก Router มีหลายแบรนด์หลายยี่ห้อ และหน้าตาการตั้งค่าการจัดการของแต่ละตัวแตกต่างกัน ซึ่งผู้อ่านท่านใดสนใจจะทำ สามารถนำไปขอความช่วยเหลือจากผู้เชี่ยวชาญใกล้ตัว
ขอบคุณบทความจาก อ. สันต์ธนฤทธิ์ ประภัสสราภรณ์ ตรวจทานโดย อ. นิพนธ์ นาชิน , อ. ปริญญา หอมเอนก ACIS Cyber LAB, ACIS Professional Center