ถ้าคุณสนใจบริการของเรา โทรมาปรึกษาเราได้ครับ (02) 7326915
มีอะไรบ้างที่แฮกเกอร์อีเมล์รู้ว่าคุณไม่รู้!
แฮกเกอร์มีหลากหลายวิธีที่สามารถค้นหาช่องโหว่ของระบบ หนึ่งในช่องโหว่ใหญ่ที่สุดเห็นจะหนีไม่พ้นอีเมล์ที่แฮกเกอร์พยายามสรรหาวิธีการผ่านเข้าสู่ระบบและยังใช้เครื่องมือต่าง ๆ เข้ามาช่วยเพื่อให้งานของแฮกเกอร์ง่ายลงจากเดิม ปัญหาอยู่ที่ว่าในเมื่อองค์กรจำเป็นต้องมีการติดต่อผ่านทางอีเมล์ทุกวัน วันละจำนวนไม่น้อย แล้วเราจะปลอดภัยจากแฮกเกอร์แค่ไหนกันเชียว ลองมาดูกันว่าผู้ดูแลระบบจำเป็นต้องเอาใจใส่กับเรื่องของความปลอดภัยมากแค่ไหน ถึงจะมั่นใจได้บ้างว่าระบบในองค์กรที่ดูแลอยู่นั้นปลอดภัยเพียงพอ
ความท้าทายต่อความปลอดภัยอีเมล์
ระบบอีเมล์อย่างเช่น Microsoft Exchange, Lotus Notes และ GroupWise ที่ถูกสร้างขึ้นมาเพื่อวัตถุประสงค์เดียว รับส่งเมล์ให้มากที่สุด รวมถึงวางเส้นทางการรับส่งเมล์นั้นให้มีประสิทธิภาพมากเท่าที่จะทำได้ ซึ่งก็เป็นความสำเร็จอย่างไม่ต้องสงสัย อีเมล์กลายเป็นเครื่องมือสื่อสารทางธุรกิจที่ถูกนำมาใช้งานแพร่หลายมากที่สุดในโลก และการใช้งานมันจะยังคงมีแนวโน้มที่เพิ่มสูงขึ้นอย่างต่อเนื่อง ซึ่งที่จริงแล้ว ปริมาณอีเมล์ที่รับส่งทั่วโลกในปัจจุบันนั้นมีมากกว่า 50 ล้านข้อความต่อวัน และคาดว่าในปี 2008 ปริมาณดังกล่าวจะเพิ่มเป็นสองเท่า
ความนิยมที่เติบโตอย่างต่อเนื่องรวดเร็วของอีเมล์ทำให้มันตกเป็นเป้าหมายที่ดึงดูดมากขึ้นเรื่อยๆ สำหรับใครก็ตามที่จ้องสร้างความเสียหายให้เกิดขึ้น ไม่ว่าจะทำด้วยความพอใจผิดๆ ส่วนตัว หรือเพื่อผลประโยชน์ทางการเงิน แฮกเกอร์อีเมล์รายแรกๆ พบช่องโหว่ง่ายๆ ในระบบปฏิบัติการและในโพรโตคอลสแต็คของระบบอีเมล์ จึงได้ฉวยโอกาสทำประโยชน์จากจุดอ่อนดังกล่าวเหล่านี้ อย่างไรก็ตามในปัจจุบัน เหล่าแฮกเกอร์และนักสร้างไวรัสนั้นได้กลายเป็นผู้เชี่ยวชาญที่พัฒนารูปแบบวิธีการที่สร้างสรรค์แบบใหม่ออกมาเรื่อยๆ เพื่อเอาชนะการพัฒนาการของระบบรักษาความปลอดภัยต่างๆ ที่มีในปัจจุบัน เกมส์แมวจับหนูยังคงดำเนินไปอย่างไม่สิ้นสุดง่ายๆ ด้วยการปรับปรุงเทคนิคในเชิงตั้งรับทำให้แฮกเกอร์และนักสร้างไวรัสปรับแต่งแท็คติกในความพยายาม
หลีกเลี่ยงการป้องกันเหล่านี้แล้วเข้าไปสร้างความเสียหายแก่เครือข่ายองค์กร
ช่องโหว่ของระบบอีเมล์
อีเมล์ได้นำเอาความสะดวกสบายและประสิทธิภาพมาสู่องค์กรอย่างเหลือคณาพอๆ กับที่มันมีช่องโหว่และความเสี่ยงที่ซ่อนเร้นอยู่ดังต่อไปนี้
โพรโตคอลสื่อสาร TCP & UDP
โพรโตคอลสื่อสารอินเตอร์เน็ตถูกออกแบบให้สามารถเชื่อมโยงการสื่อสารระหว่างอุปกรณ์ต่างๆ อย่างสอดคล้องกัน เป็นผลให้ แฮกเกอร์ค้นหาช่องโหว่ตามธรรมชาติของโพรโตคอลเหล่านี้เข้าโจมตีองค์กร เนื่องจากโพรโตคอล TCP/IP ถูกออกแบบไว้ก่อนหน้าที่จะมีการแฮกเกิดขึ้นอย่างก้าวขวางอย่างที่เป็นอยู่ในปัจจุบัน และผลก็คือมีช่องโหว่มากมายกระจายอยู่ในส่วนความปลอดภัยพื้นฐาน
การโจมตีในระดับแรกเป็นการค้นหาเซอร์วิสที่มีอยู่ในเครือข่ายที่ตกเป็นเป้าหมาย ซึ่งต้องใช้เทคนิคจำนวนมากในการรวบรวมข้อมูลจากเครือข่ายทางไกล ดังเช่น
• Ping Sweeps – เป็นการปิงตลอดขอบข่ายไอพีแอสเดรสขององค์กรเพื่อค้นหาเครื่องที่ทำงานอยู่ สแกนเนอร์ที่ฉลาดๆ จะอาศัยโพรโตคอลตัวอื่นมาช่วยในการค้นหาด้วย (เช่น SNMP sweep)
• TCP Scans – เป็นการค้นหาพอร์ท TCP ที่เปิด (หรือรอรับข้อมูลอยู่) เป็นการค้นหาเซอร์วิสที่นักเจาะระบบสามารถนำไปใช้ การสแกนสามารถใช้วิธีเชื่อมต่อแบบ TCP ทั่วไป หรือการสแกนอย่างลับๆ โดยใช้การเชื่อมต่อแบบ half-open (เพื่อป้องกันจากถูกจับได้ว่าเข้ามา) หรือใช้การสแกนแบบ FIN (ไม่เปิดพอร์ทเลย ทดสอบแต่ว่ามีใครรอรับสัญญาณอยู่หรือไม่)
• UDP Scans – เป็นการส่งขยะแพ็คเกจ UDP ไปยังพอร์ตที่ต้องการ เครื่องคอมพิวเตอร์ส่วนมากจะตอบสนองกลับด้วยข้อความว่า “ไม่สามารถเข้าถึงพอร์ทที่อยู่ปลายทางได้” ซึ่งรวมทั้งไม่มีเซอร์วิสใดที่กำลังรอฟังสัญญาณอยู่ที่พอร์ทนั้นๆ การสแกนลักษณะนี้ค่อนข้างยากกว่าแบบอื่นเล็กน้อยเนื่องจาก UDP เป็นโพรโตคอลแบบไม่อาศัยการเชื่อมต่อ
• OS Identification – เป็นการบ่งชี้ลักษณะเฉพาะของระบบปฏิบัติการและแอพพลิเคชันต่างๆ โดยส่งแพ็คเกจ TCP โดยระบบปฏิบัติการแต่ละชนิดจะมีการตอบสนองต่อสัญญาณอินพุทซึ่งมีรูปแบบเฉพาะที่แตกต่างกันทำให้แฮกเกอร
์สามารถนำมาใช้พิจารณาได้ว่าเครื่องที่ตกเป็นเป้าหมายนั้นใช้ระบบปฏิบัติการอะไร และมีแอพพลิเคชันใดบ้างที่รันอยู่
แฮกเกอร์นั้นสามารถปลอมแปลงข้อมูลไอพีอย่างอิสระโดยไม่สามารถตรวจสอบได้พบ
มีการโจมตีลักษณะหนึ่งที่อาศัยประโยชน์จากความสามารถในการปลอมแปลง หรือ “Spoof” ค่าไอพีแอดเดรส ขณะที่ค่าแอดเดรสต้นทางซึ่งถูกส่งมากับทุกๆ ไอพีแพ็คเกจ ตามปกติไม่ได้ถูกใช้กำหนดเส้นทางสู่จุดหมายอยู่ ดังนั้นผู้บุกรุกจึงปลอมแปลงค่าแอดเดรสเริ่มต้น ทำให้ผู้บุกรุกสามารถหลอกเซิร์ฟเวอร์ที่อยู่ปลายทางว่าเป็นบุคคลอื่น
เทคนิค IP spoof ถูกใช้เป็นส่วนหนึ่งของการโจมตีแบบอื่นอยู่บ่อยๆ เช่น SMURFing ที่แอดเดรสต้นทางสำหรับกระจายปิงถูกปลอม ยังผลให้เครื่องจำนวนมหาศาลนั้นปิงกลับมาที่เหยื่อที่มีแอดเดรสดังกล่าวจนตัวมันโอเวอร์โหลดในที่สุด
LDAP/Active Directory Accessibility
องค์กรมากมายต่างก็มีเกตเวย์สำหรับอีเมล์ขาเข้าซึ่งผูกโยงอยู่กับ LDAP หรือไดเร็กทอรีแบบอื่นเพื่อยืนยันความถูกต้องของผู้รับอีเมล์ขาเข้านั้น ถ้าแอดเดรสอีเมล์ขาเข้านั้นมีอยู่จริง อีเมล์ฉบับนั้นก็จะถูกส่งต่อไปที่แอดเดรสนั้น อย่างไรก็ตาม ถ้าอีเมล์ไม่มีจริง ก็จะตอบกลับไปยังผู้ส่งเพื่อแจ้งว่าไม่มีแอดเดรสนั้นอยู่ แฮกเกอร์ฉวยโอกาสจากความสุภาพของระบบอีเมล์ดังกล่าวในการเข้าถึงแอดเดรสที่มีอยู่จริง พวกเขาจึงปล่อย Directory Harvest Attacks (DHA) ซึ่งเป็นโปรแกรมที่จะคาดคะเนแอดเดรสที่น่าจะเป็นได้ภายในโดเมน และพยายามส่งแมสเสจเข้าไปในโดเมน ในภาวะการณ์เช่นนี้ อีเมล์เกตเวย์จะปฏิเสธแอดเดรสที่ไม่มีจริง ด้วยกระบวนการกำจัดอีเมล์ดังกล่าว ทำให้แฮกเกอร์ สแปมเมอร์ หรือผู้สร้างไวรัสทราบโดยอัตโนมัติว่าแอดเดรสที่ไม่มีการปฏิเสธกลับมาคือที่มีอยู่จริง แล้วจึงเพิ่มมันเข้าไปในฐานข้อมูลแอดเดรสที่เป็นทางการของพวกเขา
Social engineering
โชคไม่ดีที่การไว้เนื้อเชื่อใจกันตามธรรมชาติของมนุษย์ส่วนใหญ่เป็นอันตรายต่อเทคนิค Social Engineering ที่มาจากแฮกเกอร์ ในการโจมตีดังกล่าวนี้ แฮกเกอร์อาศัยเครื่องมือพื้นๆ อย่างเช่น เครื่องมือสืบค้นในอินเตอร์เน็ตเพื่อเสาะหาแอดเดรสอีเมล์ที่มีอยู่จริงภายในองค์กร หลังจากนั้นแฮกเกอร์จะส่งอีเมล์ไปที่แอดเดรสที่รู้แล้วว่ามีจริงเพื่อให้ได้คำตอบกลับมา แฮกเกอร์จะตรวจสอบหัวข้อเรื่องอย่างละเอียดเพื่อสามารถระบุเส้นทางที่เมล์ใช้ภายในองค์กร ข้อมูลเหล่านี้สามารถใช้ในการปรับตั้งค่าการโจมตีในระดับเครื่องหรือทางโทรศัพท์โดยใช้เทคนิคทาง Social Engineering มากขึ้นเพื่อให้ได้ข้อมูลล๊อคอินและพาสเวิร์ด
ความเชื่อที่ผิดเกี่ยวกับไฟร์วอลล์ว่าเป็นการป้องกันอย่างพอเพียง
ความเข้าใจผิดโดยทั่วไปคือไฟร์วอลล์นั้นสามารถรู้จักและป้องกันการโจมตีทางอีเมล์ได้
ไฟร์วอลล์ควบคุมการเชื่อมต่อที่เกิดขึ้นในเครือข่ายและตามปกติก็จะปฏิบัติงานอย่างไม่ต้องวิเคราะห์กับการสื่อสาร
ที่ผ่านเข้ามาทางพอร์ทอีเมล์พื้นฐาน (พอร์ท 25) ไปสู่เครือข่าย ผู้ดูแลไฟร์วอลล์ได้เพิ่มกฎเกณฑ์ที่ยอมให้มีการสื่อสารเฉพาะบางประเภทในระดับเครือข่ายผ่านเข้าไปในไฟร์วอลล์ได้ ยกตัวอย่างเช่น ไฟร์วอลล์องค์กรธรรมดาตัวหนึ่งยอมให้การสื่อสารเมล์ผ่านไปโดยไม่มีการขัดขวางแต่อย่างใด ดังนั้นไฟร์วอลล์มักตั้งข้อสมมติฐานว่าการสื่อสารใดๆ ที่ผ่านเข้ามาในพอร์ทที่ 25 เป็นอีเมล์จริงๆ ข้อสมมติฐานดังกล่าวเป็นความผิดพลาดอย่างร้ายแรงที่ทำให้แฮกเกอร์อาจจะอาศัยพอร์ท 25 ในการโจมตี อันอาจจะนำไปสู่การยกเลิกการป้องกันใดๆ ทั้งหมดในไฟร์วอลล์ก็เป็นได้
แฮกเกอร์โจมตีได้อย่างไร
เมล์เซิร์ฟเวอร์ที่มีใช้อยู่ในองค์กรปัจจุบันนั้นมีหลากหลายรูปแบบ บ้างก็เลือกประสิทธิภาพ ราคา ชื่อเสียง หรือด้วยเหตุผลอื่นๆ อีกมากมาย เซิร์ฟเวอร์อย่างเช่น Lotus Notes และ Microsoft Exchange นั้นครอบงำตลาดอีเมล์องค์กรส่วนใหญ่ เมื่อทางบริษัทได้เลือกเมล์เซิร์ฟเวอร์มาตัวหนึ่ง สิ่งที่สำคัญก็คือแต่ละแบรนด์นั้นไม่สามารถทำงานร่วมกับแบรนด์อื่นๆ ได้ ในฐานะของแพลตฟอร์มเซิร์ฟเวอร์ปฐมภูมิ เมล์เซิร์ฟเวอร์ที่แตกต่างกันจะมีช่องโหว่เฉพาะตัวที่รู้จักอยู่แล้วชุดหนึ่ง ซึ่งให้โอกาสกับแฮกเกอร์มากพอที่จะค้นหาจุดอ่อนในระบบได้ เมื่อสามารถระบุจุดอ่อนได้แล้ว แฮกเกอร์จะสามารถดึงข้อมูลทั้งหมดที่อยู่ในเมล์เซิร์ฟเวอร์ทั้งแรคได้ในชั่วพริบตา ในส่วนต่อไปจะกล่าวถึงช่องโหว่บางประเภทที่รู้จักกันทั่วไปภายในวัฏจักรของการแฮกกิ้งและอธิบายว่าแฮกเกอร์ สามารถหาประโยชน์จากช่องโหว่เหล่านี้ได้อย่างไร
ช่องโหว่ใน IMAP และ POP
แฮกเกอร์ค้นพบประเด็นปัญหามากมายที่อยู่ทั้งใน IMAP และ POP ที่นำมาใช้ได้ ประเด็นที่ว่านั้นเช่น การโจมตีดิกชั่นนารีสามารถทำให้มองเห็นอีเมล์สำคัญต่างๆ ที่เก็บอยู่ในเซิร์ฟเวอร์ IMAP และ POP โดยมีเครื่องมือนับไม่ถ้วนที่สามารถทำการโจมตีที่ว่านี้ได้ และด้วยการทำงานแบบกราฟิกทำให้เครื่องมือเหล่านี้ใช้งานได้ง่ายแม้แต่กับมือสมัครเล่น การใช้ค่าพาสเวิร์ดง่ายๆ เป็นจุดอ่อนที่พบเห็นได้ทั่วไปในโพรโตคอลเหล่านี้ องค์กรมากมายไม่ได้ให้การดูแลเพียงพอกับการตั้งค่าพาสเวิร์ด ยูสเซอร์จึงมักใช้พาสเวิร์ดที่ถอดรหัสได้ง่าย ในระยะหลังจึงได้มีการตระหนักถึงข้อบกพร่องที่อยู่ในเซอร์วิสหลายๆ ตัวทั้งของ IMAP และ POP ซึ่งหากทิ้งไว้จะเสี่ยงต่อการโจมตีแบบอื่นๆ ด้วยเช่น buffer overflows
การโจมตีแบบ Denial of Services (DoS)
• Ping of death – การส่ง fragment ที่ผิดปกติ ซึ่งเริ่มก่อนส่วนสุดท้ายของแพ็คเกจ แต่ขยายส่วนสุดท้ายของแพ็คเกจออกไป
• Syn Flood – ส่งแพ็คเกจ TCP SYN (ที่ใช้เริ่มต้นการเชื่อมต่อ) อย่างรวดเร็ว ปล่อยเครื่องที่ถูกโจมตีเกิดการเชื่อมต่อจำนวนมหาศาล และก่อนทำให้ทรัพยากรในระบบถูกใช้จนหมด แล้วค่อยเริ่มต้นปล่อยการเชื่อมโยงที่ถูกต้องทิ้งไป การป้องกันแบบใหม่ต่อเหตุการณ์นี้คือ “SYN cookies” แต่ละด้านของการเชื่อมจะมีหมายเลขลำดับของตัวเองอยู่ เพื่อที่จะตอบสนองต่อ SYN เครื่องที่ถูกโจมตีจะสร้างหมายเลขลำดับพิเศษขึ้นมาหนึ่งชุดซึ่งคือ “คุกกี้” ของการเชื่อมต่อ หลังจากนั้นก็ให้ “ลืม” ทุกสิ่งทุกอย่างที่มันรู้จักเกี่ยวกับการเชื่อมต่อ ซึ่งมันสามารถเรียกคืนข้อมูลการเชื่อมต่อที่ลืมแล้ว เมื่อแพ็คเกจตัวต่อไปเข้ามาจากการเชื่อมต่อที่ได้รับอนุญาต
• Loop- ส่งแพ็คเกจ SYN ปลอมให้พอร์ท/แอดเดรสของต้นทาง/ปลายทางเหมือนกันทำให้ระบบพยายามทำการเชื่อมต่อ TCP ให้สำเร็จจนต้องทำงานวนลูปไม่รู้จบ
ช่องโหว่ในการคอนฟิกกูเรชั่นระบบ
จุดอ่อนในการปรับตั้งค่าคอนฟิกกูเรชั่นระบบขององค์กรสามารถแบ่งออกได้เป็นหัวข้อดังนี้
• ค่าคอนฟิกกูเรชั่นตั้งต้น- ระบบส่วนใหญ่ถูกส่งมอบให้กับลูกค้าพร้อมกับค่าคอนฟิกกูเรชั่นตั้งต้นพร้อมใช้งาน แต่โชคร้ายที่ “พร้อมใช้งาน” นั้นหมายถึง “พร้อมถูกโจมตี” ด้วยเหมือนกัน เครื่อง WinNT หรือ UNIX ที่ส่งมอบมาถูกโจมตีได้อย่างง่ายดายมาก
• พาสเวิร์ด root พาสเวิร์ดตั้งต้นหรือไม่มีค่าพาสเวิร์ด – น่าประหลาดใจที่เครื่องมากมายถูกคอนฟิกด้วยค่าพาสเวิร์ดผู้ดูแลระบบหรือที่เรียกว่า พาสเวิร์ด root (root password) สิ่งแรกที่ผู้บุกรุกเข้ามาในระบบทำบนเครือข่ายคือการสแกนเครื่องทั้งหมดหาเครื่องที่ไม่ได้เซตค่าพาสเวิร์ด
• สร้างรูโหว่ – โปรแกรมทั้งหมดสามารถปรับค่าคอนฟิกให้ทำงานในโหมดที่ไม่ปลอดภัยได้ซึ่งทิ้งรูโหว่ไว้ในระบบ ในบางครั้งผู้ดูแลระบบก็เปิดรูโหว่ไว้ในระบบอย่างไม่ตั้งใจ คำแนะนำสำหรับผู้ดูแลระบบส่วนใหญ่มักแนะนำให้ผู้ดูแลระบบปิดการใช้งานสิ่งใด
ก็ตามที่ไม่จำเป็นต้องใช้งานบนเครื่องเพื่อหลีกเลี่ยงรูโหว่ดังกล่าวโชคไม่ดีที่สิ่งเหล่านี้นั้น
พูดง่ายกว่าทำเนื่องจากผู้ดูแลระบบไม่ค่อยคุ้นเคยกับการยกเลิกเซอร์วิสพื้นฐานหลายตัว
การอาศัยประโยชน์จากซอฟต์แวร์
บั๊กในซอฟต์แวร์ถูกฉกฉวยประโยชน์ในดีมอนเซิร์ฟเวอร์, แอพพลิเคชันของยูสเซอร์ ระบบปฏิบัติการ และสแต็ค เครือข่าย บั๊กในซอฟต์แวร์สามารถแบ่งประเภทได้ตามลักษณะต่อไปนี้
• บัฟเฟอร์โอเวอร์โฟลว์ - รูโหว่ความปลอดภัยที่คุณเคยได้อ่านตามหน้าหนังสือพิมพ์เกือบทั้งหมดเกิดเนื่องจากปัญหานี้ ตัวอย่างที่พบเห็นทั่วไปคือ โปรแกรมเมอร์ผู้ซึ่งกำหนดจำนวนตัวอักษรที่แน่นอนไว้สำหรับล็อคอินยูสเซอร์เนม แฮกเกอร์มองหาช่องโหว่ดังกล่าวแล้วส่งค่าสตริงที่ยาวกว่าที่กำหนดไว้ รวมทั้งโค๊ดที่จะถูกดำเนินการบนเซิร์ฟเวอร์ แฮกเกอร์จะค้นหาบั๊กเหล่านี้ในหลายๆ วิธี ก่อนอื่นคือที่ซอร์ตโค๊ดสำหรับเซอร์วิสต่างๆ ที่นำไปใช้บนเน็ต แฮกเกอร์จะสำรวจโค๊ดเหล่านี้เพื่อค้นหาโปรแกรมที่มีข้อจำกัดด้านบัฟเฟอร์ หลังจากนั้นก็จะตรวจสอบทุกที่ที่โปรแกรมนั้นรอรับค่าอินพุทและพยายามโอเวอร์โฟลว์มันด้วยข้อมูลสุ่ม หากโปรแกรมเกิดการแคลชขึ้น ก็จะกลายเป็นโอกาสที่อินพุทซึ่งจัดวางโครงสร้างไว้อย่างดีนั้นยอมให้แฮกเกอร์แอบเข้ามาในระบบได้
• การรวมตัวกันในแบบที่คาดไม่ถึง - ตามปกติโปรแกรมจะถูกสร้างขึ้นโดยอาศัยเลเยอร์ของรหัสคำสั่งหลายๆ เลเยอร์ รวมทั้งระบบปฏิบัติการที่อยู่ล่างสุดของเลเยอร์ นักเจาะระบบสามารถส่งอินพุทที่อาจไม่มีความหมายต่อเลเยอร์หนึ่ง แต่กลับมีความหมายต่ออีกเลเยอร์หนึ่งเมื่อวางโครงสร้างไว้อย่างเหมาะสม
• อินพุทที่ไม่สามารถรับค่าได้- โปรแกรมส่วนใหญ่ถูกเขียนขึ้นให้รองรับกับอินพุทที่ถูกต้อง แต่โปรแกรมเมอร์ส่วนใหญ่กลับไม่ค่อยคิดถึงเหตุการณ์ที่บางคนป้อนอินพุทที่ไม่สอดคล้องกับข้อกำหนดของระบบ
การฉกฉวยประโยชน์จากความผิดพลาดของมนุษย์
ระดับความรู้ของผู้ใช้อีเมล์หลายต่อหลายคนในองค์กรนั้นเป็นหนทางที่แฮกเกอร์ใช้เสาะหาประโยชน์จากประเด็นนี้
มาปรับปรุงในจุดที่ผู้ใช้อีเมล์ส่วนใหญ่มีความเข้าใจที่ผิดกับความปลอดภัยขั้นพื้นฐาน คือ การไม่เปิดไฟล์ข้อมูลที่น่าสงสัยโดยเฉพาะไฟล์ .exe ที่มาจากผู้ส่งที่ไม่รู้จักมาก่อน ซึ่งหมายความว่าแฮกเกอร์กำลังถูกกดดันให้ใช้ความพยายามมากขึ้นในการหักล้างความรู้ของผู้ใช้ในการรับอีเมล์
มีกรณีตัวอย่างมากมายที่แฮกเกอร์ใช้วิธีการที่ซับซ้อนในการทำให้ยูสเซอร์เปิดดูไฟล์ที่แนบมากับอีเมล์ดังวิธีการต่อไปนี้
• ใช้นามสกุลซ้อนกัน – ไวรัส Netsky, lovegate และ Klez มักฉกฉวยโอกาสจากช่องโหว่นี้ ไฟล์ที่ไม่น่าเชื่อถือจะมีนามสกุลซ้อนกันเช่น “filename.txt.exe” เพื่อหลอกให้ยูสเซอร์ใช้งานไฟล์ดังกล่าว Netsky จะเพิ่มเว้นวรรคระหว่างนามสกุลได้มากกว่า 100 เคาะ ทำให้เหยื่อมองไม่เห็นนามสกุลที่สอง บางครั้ง NetSky ยังใช้คำสั่งบนดอส “COM” ที่ท้ายของ string เพื่อให้ดูคล้ายเว็ปแอดเดรส .COM
• ไฟล์ Zip ที่มีพาสเวิร์ดป้องกัน – นักเขียนไวรัสจะเข้ารหัสไวรัสไว้ในไฟล์ zip ที่มีพาสเวิร์ดป้องกันไว้และส่งไฟล์ให้กับยูสเซอร์พร้อมกับพาสเวิร์ดในข้อความที่ส่งให้ เนื่องจากไฟล์ที่เข้ารหัสไว้จะไม่ถูกสแกนไวรัสทำให้ยูสเซอร์เข้าใจว่าเขาได้รับอีเมล์ที่ปลอดภัย โชคร้ายที่ส่วนใหญ่ข้อความที่ดูเหมือนเร่งด่วนและมาจากยูสเซอร์ที่น่าไว้ใจหลายต่อหลายครั้งมักนำเราไปสู่การเปิดไฟล์แนบที่ประสงค์ร้ายได้
• ลูกเล่นแบบพื้นๆ – แฮกเกอร์หลายคนได้ดึงค่าอีเมล์แอดเดรสจากเซิร์ฟเวอร์ LDAP และใส่ค่าอีเมล์ในช่อง “from” ด้วยชื่อที่เหยื่อจำได้และเปิดทั้งอีเมล์และไฟล์แนบ และหลอกให้เหยื่อเข้าไปที่เว็บไซด์ แท็คติกง่ายๆ อย่างการส่งอีเมล์ที่ขึ้นต้นด้วย “re:” หรือ “Re: re: re:” ทำให้เหยื่อตายใจว่าเป็นเมล์ที่มีการส่งต่อกันเป็นทอดๆ หรืออีกแท็คติกหนึ่งคือการใส่ศัพท์เทคนิกที่ทำให้เหยื่อเชื่อว่าระบบเมล์กำลังเกิดข้อผิดพลาด MyDoom ประสบความสำเร็จอย่างมากในการใช้แท็คติกนี้ ส่วนหนอน Bagle มักใช้ไอคอนของไฟล์ข้อความ, แฟ้มข้อมูล และไฟล์ excel ในการทำให้โปรแกรมเริ่มทำงานโดยหวังว่ายูสเซอร์จะไม่ตรวจสอบชื่อไฟล์อย่างละเอียด ส่วนหนอน Sober.D พยายามหลอกให้ยูสเซอร์เชื่อว่ามีไฟส์อัพเดตส่งมาจากไมโครซอฟต์เพื่อป้องกันหนอน MyDoom ข้อความเหล่านี้มักมีไฟล์แนบที่ประสงค์ร้ายที่ทำงานอยู่บนความเชื่อของผู้ใช้ที่ว่าข้อความนี้ถูกส่งมากจากแหล่งที่เชื่อถือได้
การแพร่ขยายอัตโนมัติ: ภารกิจใหม่ในการโจมตี
แฮกเกอร์นั้นมีความฉลาดรอบรู้มากขึ้น และไม่ได้ใช้วิธีธรรมดาๆ ในการเจาะเข้าไปในเครือข่ายอีกต่อไปด้วยการทำให้เซอร์วิสนั้นทำงานผิดพลาดและเสียหาย ขณะที่แฮกเกอร์ได้แพร่ไวรัสลงไปในเครือข่ายเล็กๆ ในตอนแรกได้ด้วยความสามารถของพวกเขา ตอนนี้เรากำลังได้เห็นการโจมตีด้วยโทรจันในการแพร่ไวรัสมากขึ้นเรื่อยๆ ไปยังคอมพิวเตอร์ให้มากที่สุดเท่าที่จะเป็นไปได้ พร้อมทั้งมีความตั้งใจที่จะควบคุมเครื่องเหล่านี้ให้ทำตามความประสงค์ร้าย
Trojans
โทรจันเข้าในคอมพิวเตอร์ของเหยื่อโดยปราศจากการตรวจับโดยทั่วไปจะอยู่ในรูปของไฟล์แนบอีเมล์ที่น่าเชื่อถือ เมื่อใดที่โทรจันถูกเปิดโดยผู้รับเมล์โดยปราศจากความสงสัย นักโจมตีระบบก็จะสามารถเข้าถึงขัอมูลที่เก็บอยู่ในเครื่องที่ไม่ได้จำกัดสิทธ์ผู้ใช้ โทรจันสามารถอยู่ในรูปโปรแกรมที่ทำงานซ่อนอยู่ในคอมพิวเตอร์ หรือซ่อนตัวอยู่ในโปรแกรมที่ถูกต้องปลอดภัย หมายความว่าเป็นโปรแกรมที่ยูสเซอร์ไว้ใจการทำงานของฟังก์ชั่นต่างๆ ที่มี ตารางต่อไปนี้แสดงให้เห็นถึงประเภทของโทรจันที่เป็นที่นิยมมากที่สุดที่แฮกเกอร์นำมาใช้งาน
การกระจายไวรัสด้วยโทรจัน
การโจมตีลูกผสมที่ใช้ทั้งโทรจันและไวรัสได้รับความนิยมมากขึ้นทุกที ตัวอย่างเช่นกรณีของไวรัส Nimba ที่นำหลากหลายวิธีการมาใช้แพร่กระจายตัวเองและจัดการกับซอฟต์แวร์ป้องกันไวรัสโดยใช้พฤติกรรมที่ไม่เหมือนกับไวรัสทั่วไป Nimba อาศัยช่องโหว่ใน MIME header และทำให้เครื่องคอมพิวเตอร์ทั่วโลกมากกว่า 8.3 ล้านเครื่องติดเชื้อ
การโจมตีที่ซับซ้อนมากขึ้นทุกทีนี้มาจากไวรัสที่มี SMTP engine ของตนเอง (เช่น MyDoom, Bagle.G, NetSky) การที่มี SMTP engine ในตัวนี้ทำให้ไวรัสสามารถหลีกเลี่ยงการใช้ MAPI ได้ ซึ่งทำให้ตัวมันแยกตัวเองออกจากการปรับตั้งคอนฟิกกูเรชั่นและตัวสแกนไวรัสของผู้ใช้อีเมล์ที่อาจติดตั้งอยู่ภายใน
สภาวการณ์ของการแฮกกิ้งทั่วไป (Typical Hacking Scenario)
ขณะที่การโจมตีของแฮกเกอร์เกือบทั้งหมดแตกต่างกัน ขั้นตอนต่อไปนี้เป็นแนวทางบ่งบอกว่าสิ่งใดบ้านที่ถูกเรียกว่าเป็นสภาวการณ์ทั่วไปของการโจมตี จำไว้ว่าการโจมตีที่องค์กรคุณเจออยู่นั้นอาจดูแตกต่างจากแนวทางด้านล่างนี้ ซึ่งวิธีการต่างๆ ที่ใช้ในการโจมตีมักมีการเปลี่ยนแปลงไปให้ทันกับเทคนิคที่ใช้ในการรักษาความปลอดภัย
ขั้นตอนที่ 1: สำรวจข้อมูลภายนอกองค์กร
นักเจาะระบบจะพยายามหาข้อมูลให้มากที่สุดเท่าที่จะเป็นได้โดยไม่เปิดเผยตนเอง พวกเขาจะดำเนินการโดยสืบค้นข้อมูลที่เปิดเผยให้สาธารณะหรือโดยแสดงตัวเป็นยูสเซอร์ทั่วไป ในขั้นตอนนี้ คุณจะไม่สามารถตรวจหาพวกเขาเจอ นักเจาะระบบจะค้นหาว่าใครเป็นใครและสืบค้นข้อมูลเกี่ยวกับเครือข่ายคุณเท่าที่จะเป็นได้ตามที่ได้ลงทะเบียนชื่อโดเมนไว้ นักเจาะระบบอาจจะเข้าไปดู DNS table ของคุณโดยใช้ ‘nslookup’, ‘dig’ หรือโปรแกรมยูทิลิตี้อื่นๆ ที่ไว้ใช้โอนย้ายข้อมูลโดเมน) เพื่อหารายชื่อเครื่องของคุณ หลังจากนั้นพวกเขาจะสืบค้นข้อมูลสาธารณะอื่นๆ เช่นเว็บไซต์สาธารณะและ FTP ไซด์ที่ซ่อนอยู่ นักเจาะระบบอาจค้นหาบทความข่าวสารและสิ่งตีพิมพ์ต่างๆ เกี่ยวกับบริษัทคุณ
นอกจากนั้นนักโจมตีหลายคนจะวางขั้นตอนของ social engineering เพื่อพยายามสำรวจข้อมูลด้านนอก ยกตัวอย่างเช่น นักโจมตีอาจโทรหาพนักงานคนหนึ่งทางโทรศัพท์โดยวางตัวเป็นสมาชิกในหน่วยงานไอที หลังจากนั้นนักโจมตีอาจจะร้องขอข้อมูลส่วนตัวจากพนักงานที่ไม่ระมัดระวังตัวเป็นต้นว่า ชื่อยูสเซอร์และพาสเวิร์ด โชคร้ายที่เมื่อแสดงหลักฐานว่าได้รับอนุญาตก็มีพนักงานหลายคนกลับให้ข้อมูลตามขอบเขตอำนาจหน้าที่ของตน ที่ผลักดันให้องค์กรตกอยู่ในความเสี่ยงอย่างมาก
ขั้นตอนที่ 2: สำรวจข้อมูลภายในองค์กร
ขั้นตอนนี้นักเจาะระบบต้องใช้เทคนิคในการเจาะระบบที่ซับซ้อนมากขึ้นในการสแกนหาข้อมูล แต่ยังไม่ได้ทำให้เกิดความเสียหาแปอแยใดๆ ต่อระบบ พวกเขาอาจทำการกวาดปิงไปทั่วเพื่อดูว่ามีเครื่องใดบ้างที่เปิดทำงานอยู่ พวกเขาอาจสแกน UDP/TCP ไปยังเครื่องเป้าหมายเพื่อดูว่ามีเครื่องใดบ้างที่ใช้ได้ หรืออาจจะรันโปรแกรมยูทิลิตี้อย่าง “rcpinfo”, “showmount” หรือ “snmpwalk” เพื่อที่หาว่ามีข้อมูลใดบ้างที่นำมาใช้ได้ แฮกเกอร์ยังส่งอีเมล์ไปยังยูสเซอร์ปลอมแล้วรอรับข้อความแจ้งผิดพลาดเพื่อดูว่ามี hop กี่ตัวที่อยู่ในระบบเมล์ ที่ในโครงสร้างพื้นฐานบริษัทได้ตรวจสอบอีเมล์ขาเข้า และข้อมูลอื่นๆที่สามารถรวบรวมได้จากหัวข้อเรื่องของอีเมล์ ณ จุดนี้ นักเจาะระบบแค่ทำในสิ่งที่เป็นกิจกรรมตามปกติบนเครือข่าย และยังไม่ได้ทำในสิ่งใดที่เรียกว่าเป็นการ “เจาะระบบ”
ขั้นตอนที่ 3: ฉกฉวยโอกาส
ถึงจุดนี้ นักเจาะระบบได้ก้าวล้ำเส้นเข้ามาและเริ่มต้นฉกฉวยประโยชน์จากรูโหว่ที่เป็นไปได้ในเครื่องเป้าหมาย นักเจาะระบบอาจพยายามใช้ประโยชน์จากรูโหว่ที่รู้จักกันดีในชื่อ บัฟเฟอร์โอเวอร์โฟล์ว (buffer overflow) โดยการส่งข้อมูลจำนวนมหาศาล หรืออาจเริ่มตรวจแอคเคาท์ล๊อคอ