ก่อนอื่นต้องขอออกตัวก่อนนะครับว่าผมเองไม่เคยมีประสบการณ์ตรงกับเจ้า Ransomware นี้ (และไม่อยากมีด้วย) ก่อนหน้านี้ผมทำงานในสาย Cyber Security (ที่ทำงานเก่าผมเรียกยังงี้ครับ ไม่ได้ตั้งใจจะใช้ศัพท์หรูหราแต่อย่างใด) แต่ตอนนี้ผมเลิกแล้ว ถ้าใครถามว่าทำไมเลิกบางทีผมจะบอกทีเล่นทีจริงว่า หมดหวังกับอนาคต เพราะป้องกันยังไงมันก็ยังมาเรื่อย แต่เรื่องนี้ช่างมันเถอะ….
เจ้า Ransomware นี้ ผมติดตามและให้ความสนใจ (ตลอดจนไปหามาลองเอง ในเครื่องทดสอบนะครับ) มาพักนึงแล้ว ตั้งแต่ช่วงกลางๆ ปีที่แล้วนู่นแน่ะครับ ถ้าจำไม่ผิดดูเหมือนจะเป็น Cryptowall ซึ่งสมัยนั้น ช่องทางที่สามารถทำให้เจ้าพวกนี้มาอาละวาดในเครื่องของเราได้ มีแค่ Spam mail ซึ่งเท่าที่เคยได้ยินมา เนื้อหาของมันก็จะชวนให้เปิด Attachment file เหลือเกิน เช่นบอกว่าเป็น Order status มั่งล่ะ เป็น Shipment ที่ติดอยู่ที่บริษัทขนส่งมั่งล่ะ อะไรทำนองนี้ โดยมากคนที่ค้าขาย Online หรือสั่งซื้อสินค้าก็มักจะเปิดดู เพราะกลัวว่าจะพลาดอะไรๆ ไป หากคิดว่าเป็น Spam ไปเสีย ใน Mail พวกนี้ก็จะมี Attachment ตามระเบียบ ซึ่งมักจะเป็น zip file และใน zip นี้พอเปิดดู ก็จะเห็นไฟล์ที่หน้าตาไอคอนเหมือนจะเป็น pdf หรือ word แต่อันนี้เป็นกับดักของมัน เพราะแท้จริงแล้ว มันคือ exe file ดุ้นๆ เลยครับ แต่ทำไอคอนให้เหมือน pdf หรือ word ซึ่งสามารถทำได้ง่ายมาก (คนเขียนโปรแกรมจะทราบดี) หลายคนที่เห็นไฟล์มีหน้าตาแบบนี้ก็กดเปิดทันทีสิครับ จะรออะไรอยู่…. บางคนอาจจะคิดนิดนึงว่า เอ๊ะ นี่เครื่องอาตมาไม่มี word อยู่นี้หว่า ไหงมีไอคอนยังงี้ได้ฟะ แต่ก็ยังเปิดอยู่ดีครับ
จากนั้นจะเกิดอะไรขึ้นก็คงไม่ต้องเดานะครับ….
http://www.xn--42cn5b7abh6ec3b4qh.com/contact-us/
บางคนบอกว่า อ้าว ผมไม่ได้เป็น Admin มันคงทำอะไรไม่ได้มากมั๊ง? เจ้า Ransomware นี้มันจ้องเล่นงานไฟล์ของท่านครับ อะไรที่ท่านเห็นได้ เปิดได้ ลบได้ มันเอาหมดครับ สภาพตัวมันก็เป็นเหมือนโปรแกรมตัวหนึ่งที่ Run โดยท่านเอง เช่นถ้าท่านนึกสนุกจะ Zip พร้อมใส่ password ไฟล์ของท่านเองทั้งเครื่องก็ทำได้ใช่มั๊ยครับ แต่นี่บังเอิญโจรมันยืมมือท่านทำครับ….
ก่อนที่จะพูดถึงสถานการณ์ที่ผมเห็นในปัจจุบัน ที่ท่านศุภชัย และผู้รู้หลายๆ ท่านมาตั้งข้อสังเกตุ และให้คำแนะนำที่น่าสนใจ และเป็นประโยชน์อย่างยิ่งเอาไว้ในที่นี้หลายต่อหลายครั้ง ผมขอเล่าการทำงานของ Ransomware เมื่อมันเข้ามาในเครื่องของเราได้ก่อน อันนี้อ้างอิงจาก Cryptowall ที่ผมเคยทดลองนะครับ ตัวอื่นๆ ก็คงไม่ต่างกันมากเท่าใหร่
เมื่อ Ransomware เข้ามาในเครื่องเราได้สำเร็จนั้น มันจะทำ 2 อย่างก่อน คือ
1. สร้าง Key สำหรับเข้ารหัสลับ (Encrypt) โดยใช้ความสามารถของ Crypto API ของ Windows ของเรานั่นเอง สำหรับ Cryptowall นี้ มันจะใช้ Encryption Algorithm แบบ RSA ความยาว Key ขนาด 2048 bits ครับ ซึงอธิบายง่ายๆ คือ “โคตร Key” (จริงๆมีที่ดีกว่านี้ แต่นี่ก็แย่แล้ว) เรียกว่าถ้าท่านแกะ RSA-2048 ได้โดยไม่ต้องใช้ Key นี่ บริษัท Security ระดับโลกตลอดจน FBI, CIA, NSA, FSB, GCHQ รุมกันแย่งซื้อตัวท่านแน่นอน หรืออาจส่งคนมายิงท่านแทนก็ได้…
Key ชนิดนี้ หรือระดับเทียบเคียงกันนี้ ถูกใช้ในการรักษาความมั่นคงปลอดภัยข้อมูลของธนาคารและหน่วยงานความมั่นคงหลายแห่งครับ
2. มันจะส่ง Key ที่สร้างขึ้นใหม่นี้ พร้อมหมายเลขประจำเครื่องของเรา (คิดว่าเกิดจากการ Random ขึ้นครับ ใช้เป็น Unique ID ของ “เหยื่อ”) ไปยัง Server ของโจร เพื่อเอาไปเก็บเอาไว้เรียก “ค่าไถ่” เพราะถ้าไม่มีไอ้ Key นี้ ก็จะถอดรหัสลับข้อมูลไม่ได้ครับ
เท่าที่ผมเคยเจอ ไอ้ Server ของโจรที่ว่านี้ ซ่อนอยู่หลัง CloXXFlare (ขอ censor นะครับ แต่คงจะเดากันได้) เสียด้วย เมพใหมล่ะ….
หลังจากขั้นตอนนี้ Ransomware จะเริ่มปฏิบัติการสำคัญ นั่นคือไล่ Encrypt file ในเครื่องเรา โดยจะมุ่งไปที่ไฟล์เอกสารและรูปภาพทั้งหลาย เมื่อเสร็จกิจแล้ว มันก็จะจัดการทิ้งจดหมายเรียกค่าไถ่ (สำหรับ Cryptowall เป็นไฟล์ชื่อ DECRYPT_INSTRUCTION.HTML) เอาไว้ให้เหยื่อ (คือเรานั่นเอง) ได้อ่านให้เจ็บใจเล่นๆ พร้อมทั้งกำชับว่าให้เอาเงินจ่ายมันทาง Bitcoin ก่อนวันที่เท่านั้นเท่านี้ ไม่งั้นมันจะขึ้นราคาเป็นเท่าตัว และถ้านิ่งเฉยนานไป มันจะลบทะเบียนเหยื่อพร้อมทั้ง Key ของเราที่มันเก็บไว้ทิ้งเสีย เป็นอันว่าเราก็จะไม่มี Key สำหรับถอดรหัสอีกแล้ว….
ส่วนตัว Ransomware นั้นหรือครับ… ไม่ต้องไปหาครับ ถึงขั้นเสร็จสมอารมณ์หมายแล้ว มันไม่รออยู่ในเครื่องเราหรอกครับ มันจะลบตัวเองพร้อมทั้ง Key ที่มันใช้ทิ้งไปด้วย ก็หมดประโยชน์แล้วนี่…
การที่มันยังอยู่ในเครื่อง อาจทำให้ Key ที่มันใช้ในการเข้ารหัส สามารถถูกขุดออกมาจาก Memory ได้ด้วยวิธี Memory Forensics ภายใต้เงี่อนไขจำกัด ดังนั้นการที่มันลบตัวเองออกไปก็เป็นวิธีที่โจรมันคิดมาดีแล้วครับ
โจรพวกนี้มันทำงานกันเป็นระบบดีครับ ถึงขั้นนี้ มันกลัวว่าเหยื่อจะไม่เชื่อว่ามันมี Key จริง แบบว่าจ่ายเงินไปแล้วยังโดนเชิด มันจึงเปิดเว็บไซต์เอาไว้ให้เหยื่อลองส่ง File เล็กๆ พร้อมระบุ Unique ID ของตัวเหยื่อเองไป “ลองถอดรหัสลับ” ดู เพื่อให้เชื่อว่าบริการของมันเป็นของจริง จ่ายๆ กรูมาเถอะได้ Key แน่ ประมาณนั้น ไอ้เว็บไซต์นี้ซ่อนอยู่ใน TOR Hidden Service ครับ วิธีเดียวกับที่เว็บค้ายาเสพติดและ Child Porn หลายแห่งใช้มาแล้ว
เทคนิคที่ผมบรรยายมานี้ ใช้ร่วมกันใน Ransomware หลายตัวครับ ซึ่งในบางครั้ง โจรมันก็เผลอเหมือนกัน ทำให้เหยื่อสามารถแก้ลำได้ เช่นตอนสร้าง Key ดันลืมลบ Key ที่สร้างนี้ออกจาก Key storage ของ Windows (จริงๆ สั่งให้ไม่เก็บก็ได้) ทำให้มีคนสร้างโปรแกรมกู้ Key นี้ขึ้นมาแล้วถอดรหัสลับ (Decrypt) ไฟล์ได้เลย หรืออีกอย่างนึงคือ ลืมลบ Volume Shadow copy Service (VSS) ทำให้เหยื่อกู้ไฟล์ขึ้นมาได้ตรงๆ เลย
แต่เสียใจด้วย รุ่นหลังๆ โจรมันแก้บักหมดแล้วครับ โดยเฉพาะ Bug เรื่องลืม Key ไว้ในเครื่องเหยื่อ ที่เกิด Drama ขึ้นเล็กๆ เพราะบริษัท SXmanXXX เปิดเผย Bug นี้ใน Analysis report ทำให้โจรรู้ตัวว่าพลาดไปแล้ว และออก version ใหม่มาแก้พร้อมเขียนขอบคุณ SXmanXXX เอาไว้ด้วย แหมมันหยามจริง เล่นเอาคนด่ากันขุดรากเลยทีเดียวเข้าทำนอง “มะอึงไปบอกมันทำไม”
บางคนอาจจะสงสัยว่า เอ๊ะ VSS นี้ มันไม่ใช่อยู่ดีๆ ลบได้ไม่ใช่รึ มันต้องให้ User กดยืนยันก่อน ถูกแล้วครับ แต่อะไรขึ้นมาเราก็กดทุกทีนี่ครับ….
ทางแก้ที่พอจะเห็นได้นอกจากนี้ คือ Backup ขึ้นไปที่ External media เช่น External HDD เป็นประจำ แต่ ห้ามเสียบคาเครื่องไว้นะครับ เคยมีตัวอย่างมาแล้วว่า อุตส่าห์ Backup อย่างดีอย่างบ่อย แต่ดันเสียบ External HDD คาเครื่องไว้ตอน Ransomware ทำงาน ปรากฏว่าไปหมดครับทั้งตัวจริงทั้ง Backup….
ผมขอพักไว้ตรงนี้ก่อน เพราะต้องออกไปธุระครับ แต่จะสรุปประเด็นในช่วงแรกนี้ไว้ดังนี้
1. Ransomware ใช้ Encryption Algorithm ที่มีความแข็งแกร่งมาก โดยตัวมันเองยังไม่มี Technology ใดๆ มาแกะได้โดยไม่มี Key ครับ
2. Ransomware ไม่ต้องการสิทธิ Administrator ในการทำงาน มันมีวิธีการตั้ง Policy เพื่อป้องกัน Ransomware ได้ระดับนึง แต่อาจมีผลกับ App อื่นๆ ได้ครับ ส่งผลให้ IT Support เป็นโรคประสาทได้เป็นลำดับถัดไป….
3. VSS ช่วยท่านได้ อะไรแว๊บๆ บอกให้ Confirm จะลบ Shadowๆ อะไรนี่ อย่าไปเชื่อมันครับ (แต่ต้องอย่าไปปิด System restore ตั้งแต่แรกนะ ไม่งั้นก็ไม่มี VSS เหมือนกัน)
4. Antivirus ลงเอาไว้นั้นดี แต่อย่าไปเชื่อมันมากว่าจะจับไอ้พวกนี้ได้ มันมาใหม่เรื่อยๆ ครับ เหมือนใส่เสื้อเกราะ ถ้าโดนยิงหัวก็ม่อง หรือโดน .50BMG ก็ทัวร์นรกล่ะครับ แต่ยังไงก็ต้องใช้นะ….
5. Backup ให้ถูกวิธีครับ Back เสร็จปั๊บ ถอดออกปุ๊บ และควรมีมากกว่า 1 External HDD ใช้สลับกัน เผื่อพลาดไปอันนึงยังมีอีกชุดที่ Backup ไว้วันก่อน ก็บรรเทาได้ เดี๋ยวนี้มันไม่แพงแล้วครับ หรือใครไฟล์ไม่เยอะใช้ Flash Drive ก็ยังใหว
6. ในหน่วยงานที่มี NAS หรือ File sharing กลาง พยายามแยก User เอาไว้ครับ ไม่ให้คนนึงมายุ่งกับไฟล์ของคนอื่นๆ ได้ เวลา Ransomware เข้าหน่วยงานแบบนี้นี่ ไปหมดทั้ง Share เลยครับ ถึงเวลานั้นจะมาตบหน้า ตัดเงินเดือน ไล่ออก มันก็ไม่คุ้มแล้วครับ
ทีนี้มาต่อกันเรื่องที่หลายๆ ท่านตั้งข้อสังเกตุไว้ว่า เจ้า Ransomware นี้มันอาจมาในรูปแบบใหม่ คือใช้ใช้เทคนิคประเภทเจาะช่องโหว่ของเว็บบราวเซอร์ และโปรแกรมประกอบของบราวเซอร์อื่นๆ เพื่อใช้เข้ามาในเครื่องของเหยื่อได้ ทั้งนี้สืบเนื่องจากการพบว่า DNS ใน Home router ของหลายๆ บ้านนั้น ถูกเปลี่ยนไปเป็นตัวที่ไม่ใช่ของ ISP ได้อย่างลึกลับ ก่อนที่จะมาดูตรงนี้ เรามาดูกันก่อนครับว่า DNS จะโดนอะไรได้บ้าง
ความจริงเทคนิคการโจมตีที่ DNS นี้ไม่ใช่ของใหม่นะครับ เรียกว่าเป็นพื้นฐานอย่างนึงของโจรเลย เพราะแทนที่จะ Redirect เหยื่อให้เข้าไปหากับดักโดยใช้เทคนิคของ Network (เช่น Route hijacking โดย BGP fake announcement) มันยากครับ และผลที่ได้มัน Sacle ใหญ่เกิน หลักการคือผู้ใช้งานทุกคนยังไงก็ต้องใช้ DNS ดังนั้นถ้าคุม DNS ได้ (จริงๆ คือคุมว่า DNS จะตอบอะไรมา) ได้ โจรก็จะทำให้เหยื่อที่ไม่รู้อิโหน่อิเหน่ เมื่อเปิดใช้งาน www.google.com หรือ www.pantip.com แล้วจะต้องแวะไปที่ Server ของโจรเสียก่อน ซึ่งในจังหวะนี้โจรจะปลอมตัวเป็น google หรือ pantip เสียเอง แล้วหลอกเหยื่อให้ใส่ user/password หรือหลอกให้ download อะไรไปก็ยังได้ เพราะเหยื่อเชื่อนี่ครับว่าเป็นเว็บไซต์ที่ต้องการไปจริงๆ ก็แหม พิมพ์กับมือ ตรงทุกตัวอักษร มันจะไปที่อื่นได้อย่างไร ต้อง advanced user ระดับนึงถึงจะรู้วิธีดูว่า จริงๆ DNS มันตอบมาว่าอะไร เป็น IP ที่ถูกต้องหรือไม่ อันนี้ผมถือว่าพ้นวิสัยของผู้ใช้ทั่วๆ ไปครับ คือถ้าโดนก็ไม่แปลกเลย
เราอาจจะเคยได้ยินเรื่อง DNS Poisoning หรือ DNS Cache Poisoning มาบ้าง อันนี้เป็นรูปแบบการโจมตีที่ค่อนข้างยากครับ แต่ถ้าเกิดสำเร็จขึ้นจะแนบเนียนทีเดียว มันเป็นการโจมตีที่ DNS Server ของ ISP โดยตรง วิธีการผมไม่ขอพูดถึงในที่นี้ เพราะมันยาว อาจจะพูดง่ายๆ ว่า ไปสะกดจิตให้ DNS Server เชื่ออะไรบางอย่างที่ไม่ใช่เรื่องจริง ผลลัพธ์คือ DNS Server ตัวนั้น จะถูกบังคับให้ “เชื่อ” ว่า IP ของเป้าหมาย เช่น www.pantip.com เป็นเลข IP ที่โจรกำหนด ซึ่งใครก็ตามที่มาใช้ DNS Server ตัวนั้น ก็จะเชื่อตามๆ กันไปหมด
แต่เท่าที่ทราบ ในปัจจุบัน ผู้ดูแล DNS ถ้าไม่ Configure ห่วยจริงๆ ยากจะโดนครับ
ส่วนการ Hack เข้าไปที่ DNS Server ของ ISP โดยตรงนี้ ผมว่ายิ่งยาก และไม่ค่อยได้ยินว่ามีการทำกันเท่าใหร่ แต่ผลลัพธ์มันก็จะออกมาแนบเนียนเช่นเดียวกันครับ
แต่โจรมันมีวิธีที่ง่ายกว่านั้น คือเปลี่ยนค่า DNS ที่เหยื่อใช้งานกันดื้อๆ เลยครับ คือแทนที่เหยื่อจะใช้ DNS ของ ISP ตามปกติ (ที่โจรอาจจะลอง Hack หรือ Poison แล้ว แต่ไม่สำเร็จ) ก็ให้มาใช้ DNS ของโจรเองเลย ดังที่ท่านศุภชัยได้ตั้งข้อสังเกตุเอาไว้เร็วๆ นี้ว่า พบ DNS ของเหยื่อ Ransomware ถูกเปลี่ยนไปเป็น IP ที่น่าสงสัย อันนี้ถือว่าเป็นการเอาอุจจาระมายัดให้ถึงบ้านเหยื่อเลยทีเดียวครับ
แล้วทำไมโจรมันถึงเปลียนค่า DNS ของเหยื่อได้ล่ะ เท่าที่ผมทราบมันมี 3 แบบครับ
1. Configuration กาก: คือไปเปิดช่อง WAN Management เอาไว้บน Router ซึ่งปกติมันจะปิดอยู่ครับ เพราะไม่มีธุระอะไรเลยที่จะต้องให้ใครๆ บน Internet มาช่วย Configure router ของเรา ปกติช่องทาง Configure ที่ว่านี้เราก็จะใช้ Web browser เปิดเข้าที่ 192.168.1.1 อะไรทำนองนี้ ซึ่งก็ควรแค่นี้ครับ แต่ถ้าเกิดไปเปิดให้เข้ามาจาก Internet ได้ด้วยนี้ ไปกันยาวๆ เลยครับ เพราะเดี๋ยวนี้มันมีการ Scan internet อยู่ตลอดเวลาว่า IP ใหนเปิดอะไรไว้บ้าง โจรมันจะหาคนที่เปิด WAN Management ไว้ง่ายนิดเดียวครับ ใครเคยเล่น Shodan น่าจะเห็นภาพอยู่แล้ว
บางท่านอาจจะว่า อ้าว ก็ตั้ง Password ไว้นี่ เอาให้ยากๆ เข้าไว้ โจรมันก็ไม่น่าเข้าได้ง่ายๆ นี่? ก็ถูกของท่าน แต่โจรมันมีเวลาเดานะครับ เอาเถอะ ถ้ายากจริงก็แล้วไป แต่เท่าที่ผมทราบ ผู้ใช้งานส่วนมากไม่ได้คิดแบบนั้น ส่วนหนึ่งเอา 1234 เป็นพื้น เพราะขี้เกียจจำ บางคนปล่อยเดิมๆ ไว้ ง่ายดี บางคนยังไม่รู้ว่า password มันต้องใช้ด้วยหรือ ยังงี้มีจริงนะครับ
ซ้ำร้าย ISP บางแห่ง ขอสมมุติชื่อว่า “บริษัท ฅนร้องไห้ จำกัด” เขามีการเปิด WAN Management ด้วย User/Password ที่น่าจะรู้กันทั่วโลกแล้ววันนี้เอาไว้บน Router ที่ติดตั้งโดยช่างของบริษัท เพื่อความสะดวกในการเข้าไปแก้ไขปัญหาให้ลูกค้าภายหลัง ก็เป็นเจตนาดีครับ แต่วิธีการมันแย่ มันก็เลยได้ผลลัพธ์ที่บรรลัยออกมาในที่สุด
เอาล่ะ ในกรณีที่ Password ท่านดี คงเดาไม่ได้ง่ายๆ เรามาดูข้อที่ 2 กัน
2. Router กาก: คราวนี้ท่านใส่ Password ไว้ดีแล้ว คิดในใจว่า เอ้า มะอึงมาเลย กรูให้เดา 500 ปีก็ไม่ถูก แต่โจรมันไม่ได้เข้ามาสะเดาะกลอนบ้านครับ เพราะข้างประตูมันมีรูเล็กๆ อยู่ เอาไขควงแหย่ไปแหย่มาปั๊บกุญแจสำรองหลุดออกมา คราวนี้ไขได้สนุกเลย อันนี้ได้แก่ช่องโหว่ Rom-0 ที่เราเคยได้ยินกันมาแล้วบน Router หลายยี่ห้อ หรือช่องโหว่ของ Rompager software ที่เจอกันมาตั้งแต่ 2002 แล้ว แต่วันนี้ยังเจอกันอยู่ ซึ่งแถม Backdoor มาให้เราโดยที่เราไม่ต้องการ
วิธีแก้ไขก็คือ ปิดมันไปเลยครับ WAN Management นี้ ไม่รู้จะเปิดไว้ทำไม และก็ Update firmware ให้เป็นตัวล่าสุดเสียครับ ถ้าเก่าจัด Update ไม่ได้ และยังมีช่องโหว่ ลองพิจารณาเปลี่ยนใหม่ก็ดีครับ เดี๋ยวนี้มันไม่ได้แพงอะไรมาก
ช่องโหว่ Rompager ลองดูที่นี่ครับ
http://arstechnica.com/security/2014/12/12-million-home-and-business-routers-vulnerable-to-critical-hijacking-hack/
ช่องโหว่ Rom-0 ลองดูที่นี่ครับ
https://thaicert.or.th/alerts/user/2014/al2014us001.html
แต่อันนี้เขาเน้นไปที่ TP-Link ครับ (ปัจจุบันทราบว่ามี Firmware ออกมาแก้แล้ว แต่สายรายงานว่า ยังไม่ได้ Update กันอีกเพียบ…)
3. อันนี้ผมไม่ค่อยได้ยินแล้ว แต่ก็ยังเป็นไปได้ในทางเทคนิค คือ Malware มันติดในเครื่องในบ้าน แล้วแก้ Configuration ของ Router จากในบ้านเลย แบบนี้ถ้า Password ยากจริง Firmware ไม่มี Bug ก็ไม่น่ามีปัญหาครับ
ลากเรื่อง Router กับ DNS มาพักใหญ่ ตรงนี้สรุปได้ว่า เอาหละ โจรมันใช้วิธีเปลี่ยนค่า DNS ใน Router บ้าน ทำให้เหยื่อวิ่งไปติดกับดักได้แล้ว ทีนี้กับดักมันมีอภินิหารอย่างไร ทำให้ Ransomware มาอยู่ในเครื่องของเหยื่อได้ ขอพักก่อนครับเดี๋ยวจะมาใหม่
ภาคสุดท้ายครับ จากที่ผมทิ้งเอาไว้ว่า แค่เปลี่ยน DNS เราได้ เราจะโดนอะไรนั้น ลองมาดูกันครับ
1. หลอกโดยใช้วิธี Social engineering: มีคนเอาไปแปลแบบตรงตัวแบบยิ่งอ่านยิ่งงงว่า “วิศวกรรมทางสังคม” ไม่รู้แปลว่าอะไร วิธีนี้พูดง่ายๆ คือหลอกผู้ใช้งานนั่นเอง เช่นเวลาเปิดเว็บ pantip.com อยู่ดีๆ มี pop-up ขึ้นมาบอกว่าให้ Download โปรแกรมอ่าน pantip ที่สะดวกเร็วไวกว่า Browser ฟรี (จริงๆ ไม่มีนะครับ แต่สมมุติ) หลายคนก็คงเชื่อใช้มั๊ยครับ แต่จริงๆ เป็นโปรแกรมโจร เพราะโจรมันคุม DNS เราได้ การที่จะ Inject พวก javascript เข้ามาปนกับ Content จริงของ pantip.com ให้กลายเป็น pop-up หลอกลวงนี้ไม่ยากเลยครับ แบบนี้เว็บปลายทางก็ไม่รู้ แต่ผู้ใช้งานโดนรับประทานไปแล้วครับ
วิธีหนึ่งที่ผมคิดว่าเจ้าของเว็บน่าจะทำ และช่วยลดโอกาสที่จะโดนแบบนี้ได้คือ ใช้ https พร้อมเปิด HSTS (HTTP Strict Transport Security) ด้วยครับ อันแรกหลายคนคงรู้จักแล้ว อันหลังลองไป Google ดูครับ
https นี้ ไม่ได้ช่วยป้องกันการดักข้อมูลอย่างเดียวนะครับ มันช่วยป้องกันเว็บไซต์ปลอมได้ด้วย ต่อให้ใช้วิธีเปลี่ยน DNS หรือ Redirect ชั้นสูงอย่างไรก็ไม่มีทางสวมรอยได้เหมือนครับ
2. ใช้ช่องโหว่ของ Browser: อันนี้รวมถึงโปรแกรมพวก Add-on, plug-in ทั้งหลายด้วยนะครับ ในช่วงหลังๆ นี้ เว็บบราวเซอร์เขาพัฒนาขึ้นมาดครับ ช่องโหว่ต่างๆ ก็ถูกปิดถูกแก้กันไปเยอะแล้ว การที่จะส่ง Code อะไรมาบางอย่างแล้วทำงานในเครื่องของผู้ใช้งานเลยมันชักยาก แต่เป็นไปได้ครับ ลองไปดูที่งาน pwn2own ก็ได้ เห็นเจอช่องโหว่ใหม่ๆ ทุกปี นี่ยังไม่รวมใต้ดินนะครับ
แต่ช่องโหว่ที่สำคัญยิ่ง และโดนกันจนพรุนเลยก็คือ Java ครับ จัดเป็น Superstar ประเภทโหว่ยอดเยี่ยม ตามมาด้วย Flash และ Acrobat พวกนี้ถ้าโดน มันจะโดนแบบเงียบๆ ไม่มีการแสดงอะไรให้เหยื่อรู้ทั้งนั้น หน้าเว็บก็เปิดได้ตามปกติ แต่ Content โจรที่ถูกแอบใส่มามันไปเจาะช่องโหว่ของ Plug-in เหล่านี้ และกำลังติดตั้งโปรแกรมโจรในเครื่องของเหยื่อ หรือไปพาพรรคพวกมาจาก Internet อยู่ กว่าจะรู้ตัวก็โจรก็จัดเต็มเราไปแล้วครับ
จริงๆ ทางผู้ผลิต Plug-in เหล่านี้ เขาก็ไม่ได้นิ่งนอนใจนะครับ มีการออกตัวแก้เป็น version ใหม่ออกมาเรื่อยๆ แต่ด้วยเหตุผลบางอย่างมันไม่ได้ Auto update เสมอไปครับ และ User บางคนไม่รู้ด้วยว่าต้อง Update บางคนไม่รู้ว่ามีอะไรอยู่ในเครื่องตัวเองบ้างด้วยซ้ำ
ยิ่งตามบริษัทที่ IT ทำ Policy ไว้นี้ตัวดีเลย จะ Update Software ได้ต้องเป็น Admin แต่ IT ไม่ให้สิทธิ์ Admin กับ User ซึ่งเป็นสิ่งที่ดี แต่ผลข้างเคียงคือ User update software เองไม่ได้ IT ต้อง Push update ให้ ซึ่งบางทีก็ไม่ทัน ระหว่างที่ Software ยังมีช่องโหว่ก็มีความเสี่ยงกันไป อย่าลืมนะครับว่า Ransomware ก็ดี APT Malware ทั้งหลายก็ดี มันไม่ต้องการสิทธิ์ Admin ครับ
หลักการที่ผมอยากแนะนำตรงนี้คือ ใช้หลักความพอเพียงครับ ไอ้พวก Software หรือ Plug-in อะไรก็ตามที่ไม่ได้ใช้ อย่าเอามาลงครับ ผู้ใช้ตามบ้านนี้ผมยังไม่ค่อยเห็นเลยว่าจะลง Java ทำไม (แต่พวก IT นี้จำเป็นต้องลงครับ เป็นบาปกรรมจริงๆ เพราะ Management console ของพวก Server, Storage, Firewall หลายตัวมันต้องใช้ครับ บางตัวใช้ CLI ไม่ได้ด้วย) แต่ถ้าจำเป็นต้องลง ก็ต้องหมั่น Update ครับ ขาดไม่ได้เลย ถือว่าเป็นภาระอย่างหนึ่งที่จำเป็นต้องยอมรับครับ
การมี Software หรือ Plug-in ที่ไม่จำเป็นต้องใช้ในเครื่องของเรา ตามหลักการเรียกว่าเป็นการเพิ่ม Attack surface ครับ เรียกง่ายๆว่าเป็นการเพิ่มทางเลือกให้โจรทดลองเจาะ เป็นการเพิ่มความเสี่ยงครับ หลักข้อหนึ่งในการทำ OS Hardening คือ การเอา Component ที่ไม่จำเป็นออก เพื่อลด Attack surface นั่นเองครับ
ใน Firefox มันมีความดีอยู่อย่างนึงคือ ถึงจะลง Plug-in พวกนี้เอาไว้ มันมีตัวเลือกให้ถามก่อนที่จะใช้ทุกครั้ง เช่นในเว็บไซต์บางแห่งมันไม่เคยมีการถามว่าจะใช้ Java หรือเปล่า แต่วันนี้ไหงมันถาม ก็อาจทำให้ฉุกคิดได้ครับว่าอาจจะมีอะไรไม่ชอบมาพากล สำหรับ Browser อื่นผมไม่ทราบว่ามีหรือเปล่านะครับ
แต่เรื่อง Ransomware นี้ การป้องกันก็คงหนีไม่พ้นการ Backup ที่ถูกต้องครับ นอกเหนือจากการระมัดระวังตามปกติ ซึ่งอันนี้ก็แตกต่างกันไปในแต่ละบุคคล แต่ละเหตุการณ์ แต่หลักการป้องกันที่ดีในแง่ของวิชา Security นั้น ผู้รู้ท่านว่า ต้องใช้หลัก Defense in depth คือป้องกันหลายๆ ชั้นครับ เช่น มี Antivirus แล้วต้องไม่เข้าเว็บอโคจรด้วย (ถ้าอดไม่ได้ก็ถือว่าเป็นการเพิ่มความเสี่ยงครับ) ต้องเอา Software ที่ไม่ใช้ออกด้วย ต้องตั้ง Password ใน Router ให้ดีด้วย ต้องปิด WAN management ด้วย ต้อง Update firmware ด้วย ต้อง Update Windows ด้วย ต้อง Update plug-in ด้วย ต้อง….. สารพัดครับ อาจจะดูเหมือนเยอะแต่นี่คือสิ่งที่ควรทำ จุดประสงค์คือ หลุดซ้ายยังเจอขวา รอดมือยังเจอทีนทำนองนั้นครับ
สุดท้ายนี้ ผมขอให้ทุกท่านรอดปลอดภัยจากอันตรายต่างๆ ทาง Internet ที่จะทำให้ท่านเดือดเนื้อร้อนใจ ในปี 2015 นี้นะครับ และถ้าสิ่งที่ผม Post ลงในที่นี้ จะเป็นประโยชน์แก่ท่านบ้างผมก็ดีใจครับ ขอบพระคุณครับ
ที่มา : คุณ princess maker https://pantip.com/topic/33085141