M.R.๏~A~๏
Group Blog
 
All Blogs
 

Attack

ในการกล่าวถึงทั่ว ๆ ไป คำว่า attack หมายถึง ความพยายามบุกรุกเข้าสู่คอมพิวเตอร์เครื่องหนึ่ง การเปลี่ยนหน้าโฮมเพจ (deface) การติดตั้งโทรจัน เป็นต้น ในการใช้อย่างเป็นทางการในด้านการรักษาความปลอดภัยสารสนเทศ (information security) คำว่า attack ใช้ในความหมายแฝงที่เจาะจงมาก เช่น คุณอาจได้ยินว่า นักวิจัยกำลังพยายาม attack ระบบการเข้ารหัส (cryptosystem) (หมายถึงพวกเขากำลังหาจุดอ่อน ที่จะช่วยให้พวกเขาสามารถถอดรหัสที่เข้ารหัสไว้ด้วยระบบนั้น) คำนี้มักใช้ในความหมายด้านนามธรรมมากกว่าด้านกายภาพ ในแวดวงการศึกษา มักจะนิยมใช้คำนี้มากกว่าคำอื่น ๆ ที่มีความหมายคล้ายกัน เช่น crack หรือ break

ตัวอย่าง การแบ่งประเภทของการโจมตี ได้แก่

passive vs. active attacks

passive attack (เช่น การใช้ sniffer) เป็นการโจมตีซึ่งใช้การดักข้อมูล ส่วน active attack เป็นการโจมตีที่อาศัยการปฏิสัมพันธ์ เช่นการใส่บางสิ่งบางอย่างเข้าไปในข้อมูลที่ส่งไปมา หรือการเปลี่ยนแปลงข้อมูล การโจมตีทุกประเภทสามารถแบ่งเป็นสองประเภทนี้ได้ ในทางทฤษฏีถือว่า active attack สามารถตรวจพบได้ ส่วน passive attack ไม่สามารถตรวจพบได้

remote vs. local attacks

remote attacks เป็นการโจมตีโดยบุคคลอื่นที่ไม่มีแอคเคาท์ในระบบ ส่วน local attacks เป็นการโจมตีที่สามารถเจาะระบบ โดยอาศัยแอคเคาท์ที่มีอยู่ในเครื่องนั้น (เช่นการล็อกอินเข้าไปแล้วจึงใช้ช่องโหว่เพื่อเพิ่มสิทธิ์ในระบบให้สูงขึ้น)

hit and run vs. persistent attacks

ping of death เป็นการโจมตีแบบ hit and run attack เพราะสามารถทำให้เครื่องหยุดทำงานได้อย่างรวดเร็ว ส่วน smurf attack เป็นแบบ persistent เนื่องจากเป้าหมายการโจมตีมีผลกระทบในเวลาที่มีการโจมตีเท่านั้น ถ้าผู้โจมตีหยุดการโจมตีแบบ smurfing เป้าหมายที่ถูกโจมตีก็จะสามารถใช้งานอินเทอร์เน็ตได้ตามปกติ

command-channel vs. data-driven attacks

โดยปกติยูสเซอร์จะปฏิสัมพันธ์กับ front-end ซึ่งอาจส่งการโจมตีไปยัง back-end ได้ การโจมตีกับ front-end มักจะเรียกว่า "command-channel attacks" เพราะจะต้องมีการป้อนคำสั่ง (command) เข้าไป ส่วนการโจมตีแบบ data-driven ที่ซับซ้อนกว่า พยายามที่จะส่งข้อมูลผ่านทาง front-ends เพื่อที่จะบุกรุกระบบของ back-end ตัวอย่างโดยทั่วไปคือ การใช้ front-end ที่เป็นเว็ปเพื่อเข้าไปยังฐานข้อมูล back-end ถึงแม้อาจจะมีการป้องกันฐานข้อมูลโดยใช้ไฟร์วอล แต่ข้อมูลที่ไม่ถูกต้องอาจจะสามารถผ่านไฟร์วอลไปบุกรุกระบบฐานข้อมูลของ back-end ได้

replay attack

ผู้โจมตีซึ่งพยายามที่ดักจับข้อมูลหลาย ๆ ส่วนแล้วจึงส่งใหม่ในเวลาต่อมา ซึ่งข้อมูลมักจะเปลี่ยนเพียงเล็กน้อย เช่น ใน Windows LAN Manager protocol ที่เก่าแก่ เมื่อส่ง hash ของรหัสผ่านไป ใครก็ตามสามารถเป็นเจ้าของ SMB protocol stack สามารถ replay hash เพื่อบุกรุกเข้าสู่ระบบนั้น

brute force attack

ใช้พยายามที่เป็นไปได้ทั้งหมดจนกว่าจะสำเร็จ

man in the middle attack

ดักข้อมูลการสื่อสาร หรือปลอมเป็นตัวกลางในระหว่างการสื่อสาร แล้วจึงเปลี่ยนแปลงข้อมูลนั้น

hijack

ควบคุมข้างใดข้างหนึ่งของการสื่อสาร

sniffing/wiretab/eavesdropping

passive attack ที่พยายามดักข้อมูลการสื่อสารภายในเครือข่าย

rewrite

เป็นการโจมตีที่เปลี่ยนข้อความที่เข้ารหัสไว้ โดยไม่ได้ถอดรหัสข้อความนั้นก่อน




 

Create Date : 20 พฤศจิกายน 2551    
Last Update : 20 พฤศจิกายน 2551 6:43:14 น.  

/etc/passwd

ไฟล์ในระบบยูนิกซ์ที่ประกอบด้วยข้อมูลเกี่ยวกับแอกเคาท์ เช่น ชื่อผู้ใช้ (username) รหัสผ่าน ไดเร็กทอรีของผู้ใช้ (login directory) และ shell ใช้งานเริ่มต้น ผู้ใช้ทั่ว ๆ ไปในระบบสามารถอ่านไฟล์นี้ได้

ประเด็นหลัก: รหัสผ่านในไฟล์นี้จะถูกเข้ารหัสไว้ ดังนั้นถึงแม้ผู้ใช้ทุกสามารถอ่านไฟล์นี้ได้ แต่ไม่ได้หมายความว่า จะสามารถเข้าถึงระบบได้ อย่างไรก็ตามโปรแกรมอย่างเช่น โปรแกรม crack ก็มีประสิทธิภาพในการถอดรหัสรหัสผ่านมาก ในระบบใด ๆ ก็ตามที่มีหลายแอกเคาท์ จะเป็นโอกาสดีให้นักเจาะสามารถแคร็กแอกเคาท์เหล่านี้ได้ ถ้าพวกเขาได้ไฟล์นี้มา

ประเด็นหลัก: ระบบยูนิกซ์สมัยใหม่จะใช้ไฟล์รหัสผ่านที่ทำ shadow ไว้ โดยจะเก็บไว้ในไฟล์เช่น /etc/shadow ที่ยอมให้ root เท่านั้นที่สามารถเข้าถึงได้ ส่วนไฟล์ passwd ก็ยังมีอยู่ แต่ไม่มีข้อมูลของรหัสผ่านที่เข้ารหัสไว้ เพื่อให้มีความสามารถเข้ากันได้แบบย้อนหลัง (backward compatibility) กับโปรแกรมที่ยังคงต้องเข้าถึงไฟล์รหัสผ่าน เพื่อใช้ข้อมูลเกี่ยวกับแอกเคาท์ แต่ไม่ต้องการใช้ข้อมูลรหัสผ่าน

ประเด็นหลัก: เป้าหมายหลักของการบุกรุกระบบยูนิกซ์ส่วนใหญ่ อยู่ที่การเข้าถึงไฟล์รหัสผ่าน การโจมตีหลาย ๆ แบบ ที่จะไม่อาศัยช่องโหว่ของเครื่องโดยตรง แต่เป็นช่องโหว่ที่ยอมให้อ่านไฟล์ที่อยู่ในเครื่อง ตัวอย่างทั่ว ๆ ไปได้แก่
TFTP การอาศัยช่องโหว่นี้ได้แก่การพยายามเข้าถึงไฟล์ /etc/passwd บางระบบที่มีการกำหนดค่าผิดพลาด การทำเช่นนี้ได้ผล


FTP คล้ายกับ TFTP เพียงแต่เข้าถึงไฟล์ /etc/passwd ที่สามารถดาวน์โหลดได้ บางครั้งการเปลี่ยนไดเร็กทอรี แบบ backtracking ( cd .. ) ได้ผล บางครั้งอาจมีช่องโหว่ใน shell ที่สามารถใช้เพื่อเผยไฟล์ได้
HTTP เว็ปเซิร์ฟเวอร์หลายตัวที่บั๊กที่เรียกว่า backtrack ที่สามารถใช้เพื่อเรียกไฟล์ได้ ตัวอย่างเช่น http://www.robertgraham.com/../../../etc/passwd


/cgi-bin มีสคริปท์จำนวนมากที่มีบั๊กที่สามารถอาศัยช่องโหว่เพื่ออ่านไฟล์ที่อยู่ในระบบ รวมทั้งช่องโหว่เกี่ยวกับ backtracking, shell หรือข้อผิดพลาดอื่น ๆ

ประเด็นหลัก: /etc/passwd เป็น text file แบบง่าย ๆ ที่มีหนึ่งบรรทัดต่อหนึ่งแอกเคาท์ หนึ่งบรรทัดแบ่งออกเป็น เจ็ดคอลัมน์ ได้แก่
account ได้แก่ชื่อผู้ใช้ (username) มีระบบจำนวนมากที่มีชื่อแอกเคาท์ที่เป็นที่รู้จักกันดี มาพร้อมกับไฟล์รหัสผ่านเริ่มต้น


password รหัสผ่านที่อยู่ในแบบที่เข้ารหัสไว้ เนื่องจากส่วนนี้ถูกเข้ารหัส จึงสามารถอ่านได้โดยใครที่สามารถเข้าถึงระบบได้ อย่างไรก็ตาม เนื่องจากผู้ใช้ในระบบมักจะเลือกรหัสผ่านที่ง่ายต่อการเดา นักเจาะจึงมักจะใช้โปรแกรมที่สามารถแคร็กรหัสผ่าน ที่ง่ายต่อการคาดเดา ด้วยเหตุผลนี้ผู้บริหาระบบจึงมักสร้างไฟล์รหัสผ่านที่ทำ shadow ไว้ทีมีรหัสผ่านจริง ๆ ในกรณีนี้ คอลัมน์นี้จะประกอบด้วยเครื่องหมาย "*"
UID user identifier เป็นเลขเฉพาะสำหรับการระบุผู้ใช้ภายในระบบ จะมีการอ้างถึงผู้ใช้โดยใช้หมายเลขแทนที่จะเป็นชื่อ วิธีหนึ่งในการใส่ backdoor ลงไปในระบบคือการใส่สายอักขระเช่น "x500" แทนที่จะเป็น "500" ในส่วนนี้ ทำให้โปรแกรมที่อ่านไฟล์ตีความหมายเป็นเลข "0" ซึ่งเป็น UID สำหรับ root


GID กลุ่มที่ผู้ใช้คนนั้นสังกัดอยู่ ผู้ใช้อาจสังกัดกลุ่มอื่นได้ โดยกำหนดค่าไว้ใน /etc/group
GECOS ข้อมูลเพิ่มเติมเกี่ยวกับแอกเคาท์ ถ้าเป็นผู้ใช้จริง ๆ ส่วนนี้จะประกอบด้วยชื่อเต็ม ส่วนแอกเคาท์เทียม ส่วนนี้อาจประกอบด้วย parameter ต่าง ๆ


directory ไดเร็กทอรีเริ่มต้นของผู้ใช้
shell login shell ที่ผู้ใช้ใช้เมื่อล็อกออนเข้ามา




 

Create Date : 19 พฤศจิกายน 2551    
Last Update : 19 พฤศจิกายน 2551 19:06:19 น.  

Entomology of a Hacker

กฏวิทยา การศึกษาเกี่ยวกับแมลงสามารถนำมาปรับใช้แบบหลวม ๆ กับการศึกษาพฤติกรรมของแฮกเกอร์ได้ Phil Ryan ประธานฟอรัมด้านการรักษาความปลอดภัย think tank กล่าว

Ryan แบ่งแฮกเกอร์เป็น 6 ประเภทตามประเภทแมลงขึ้นอยู่กับความชำนาญและแรงจูงใจ เขานำเสนอการค้นพบของเขา ในงานสัมมนาในลอนดอน หัวข้อ กีฏวิทยาของแฮกเกอร์ (The Entomology of a Hacker) ดังนี้

Hackers (Hakus Hakus)

แฮกเกอร์กลุ่มนี้มีความชำนาญมากที่สุดในประเภท พวกเขาไม่คิดว่าพวกเขาเป็นผู้กระทำผิดและอ้างว่าพวกเขาได้ช่วยผู้คนโดยการเผยแพร่ช่องโหว่ กลุ่มนี้ดูเหมือนจะไม่มีอันตราย แต่จะทำให้เกิดความพึงพอใจแก่ผู้ที่ขโมยผลงานที่พวกเขาบากบั่นทำ Hakus Hakus ออกหากินในตอนกลางคืน และไม่ค่อยได้พบเห็นบ่อยนัก

Script Kiddies (Scriptus Infanti)

Scriptus Infanti เป็นพันธุ์ที่รู้จักกันดีกว่ามีความชำนาญในด้านเทคนิคเพียงเล็กน้อยและขโมยความคิดของ Hakus Hakus พันธุ์นี้มีลูกดก (มีผลงานให้เห็นมาก) แต่มีแรงจูงใจต่ำ กระหายชื่อเสียงในเวลาอันรวดเร็ว Scriptus Infanti เกิดขึ้นในทุกหนแห่ง สามารถใช้ยาฆ่าแมลงกำจัดได้ง่าย

Insiders (Turny Coaty)

Turny Coaty เป็น Scriptus Infanti ชนิดหนึ่งที่อยู่ตามบ้านหรือที่ทำงาน เป็นสัตว์ที่มีความเป็นปรสิตสูง กำจัดได้ยาก แต่การใช้ยาฆ่าแมลงบ่อย ๆ จะช่วยลดจำนวนลงได้

Professionals (Hakus Superior)

ตัวก่อกวนนี้มีลักษณะของ Hakus Hakus และ Scriptus Infanti รวมกัน ปกติ Hakus Superiors จะมีความชำนาญสูงแต่ไม่ชอบแสดงออก ไม่เหมือนกับ Hakus Hakus พวกเขาอาจหลบซ่อนตัวเองเป็นพนักงานภายในบริษัท ธุรกิจ เจ้าหน้าที่หน่วยข่าวกรอง หรือแม้แต่ฝ่ายทรัพยากรบุคคล พวกเขาจะมีอันตรายมากขึ้นถ้ารวมขึ้นเป็นกลุ่ม Hakus Superior เป็นนักฆ่าล่องหน การกัดเพียงครั้งเดียวทำให้เหยื่อถึงแก่ชีวิตได้

Governments (Secretus Squirreli)

Secretus Squirreli มีอันตรายสูง หายากมาก ยังไม่มีใครพบในวงกว้าง ไม่มีตัวอย่างให้สาธารณชนวิเคราะห์ แต่พันธุ์นี้ก็เป็นที่รู้กันดีว่ามีเวลาและเงินมาก Secretus Squirreli มีศักยภาพในการโจมตีรัฐบาลของอีกฝ่ายหนึ่งได้




 

Create Date : 09 พฤศจิกายน 2551    
Last Update : 9 พฤศจิกายน 2551 6:46:26 น.  

zombie

คอมพิวเตอร์ที่ถูกควบคุมโดยนักเจาะ เพื่อจุดประสงค์ในการใช้เพื่อโจมตีคอมพิวเตอร์เครื่องอื่น ตัวอย่างทั่ว ๆ ไปได้แก่การโจมตีแบบ DDoS (Distrubuted Denial of Service) เมื่อเครื่องที่เป็น zombie ถูกใช้เพื่อเป็นเครื่องโจมตีเครื่องอื่นที่เป็นเป้าหมาย เจ้าของเครื่องที่เป็น zombie อาจไม่รู้ว่าคอมพิวเตอร์ของพวกเขาถูกควบคุมโดยนักเจาะ ถ้าคอมพิวเตอร์นั้นถูกใช้เพื่อเป็นฐานการโจมตีที่เป้าหมายได้รับความเสียหาย เจ้าของเครื่องคอมพิวเตอร์นั้น อาจถูกตามหาตัว หรือรับผิดชอบตามกฏหมาย

Dave Dittrich ผู้ที่ทำการวิจัยเกี่ยวกับ DDoS zombie เกลียดคำว่า zombie




 

Create Date : 08 พฤศจิกายน 2551    
Last Update : 8 พฤศจิกายน 2551 19:58:28 น.  

วันเกิด ใช่ป่าวหว่า

เปิดตัว.. วันคล้ายวันเกิด .. และคงไม่ใช่วันตาย..! เอ๊ะ ชักยังไงแล้วนี่..แค่นี้ก่อนแล้วกัน เอิ๊กๆ




 

Create Date : 24 ธันวาคม 2550    
Last Update : 24 ธันวาคม 2550 19:04:18 น.  

ปวดหมอง
Location :
กรุงเทพฯ Thailand

[Profile ทั้งหมด]

ให้ทิปเจ้าของ Blog [?]
ฝากข้อความหลังไมค์
Rss Feed
Smember
ผู้ติดตามบล็อก : 1 คน [?]




โสด..
อารมณ์ ดี
ขี้เหร่
เอาแต่ใจ...
ยากจน...
ใส้แห้ง...
Friends' blogs
[Add ปวดหมอง's blog to your web]
Links
 

 Pantip.com | PantipMarket.com | Pantown.com | © 2004 BlogGang.com allrights reserved.