วิธีปิดทางHacker

 

                                     วิธีปิดทางHacker

1. การHack Windows NT /2000 ผ่าน IIS

   - Windows NT4.0 และWindows2000 ที่เป็นWeb Server มีช่องทางที่ HackerสามารถHackโดยผ่าน IIS (NT =V.4 ,2000=V.5)

   - Hacker ส่งผ่านทางIE(Internet Explorer) หรือNetscape โดยส่งคำที่ให้IIS ตีความผิดแล้วHacker

 ก็จะใช้ประโยชน์โดยการสั่งให้Program ที่อยู่บนServerทำงานตามที่สั่งได้

 การป้องกันโดยปิดทาง Hackerที่ Hackผ่านทาง IIS

  1. ไม่ติดตั้ง IISถ้าไม่จำเป็นต้องใช้งาน

  2. ติดตั้ง patch หรือ Service Pack 3

       - Service Pack 2 ไม่สามารถปิดรูรั่วได้

       - Service Pack 3 สามารถปิดรูรั่วได้

      วิธีติดตั้ง Service Pack ควรกระทำหลังจากติดตั้ง Windows 2000 เสร็จใหม่ๆโดยยังไม่ได้ติดตั้ง

      Applicationใดๆ หากติดทีหลังอาจทำให้ Applicationทำงานผิดปกติก็เป็นได้

  3. Firewall ไม่สามารถป้องกันการ Hack ทาง IISได้

      - การทำงานของ Firewall จะทำตาม Access Rule ที่เราป้อนให้เท่านั้น

 

 

2. การHackระบบปฏิบัติการ UNIXแบบ Local Hack

- ระบบUNIX จะประกอบด้วย userหลายๆคนโดย userที่ดูแลระบบคือ root (ID =0)ซึ่งมีสิทธิ์ที่จะจัดการกับระบบได้ทุกอย่าง

 - การHack จะทำให้ userธรรมดาสามารถเป็น rootได้

การป้องกันการ Hackระบบปฏิบัติการ UNIXแบบ Local

1. ไม่เปิดTelnet ,SSH และFTP ถ้าไม่มีความจำเป็น

  - เพราะการHackแบบLocal  Hackerจะต้องเอา Program Hack(exploit)ไป Runบน Server

 หากมีความจำเป็นต้องเปิดTelnet เพื่อทำการRemoteเข้ามาทำการconfig.เครื่องก็ควรกำหนดเฉพาะ Admin. และUserที่จำเป็นเท่านั้น

2. ไม่ติดตั้งcomplier เช่นProgram gccหรือ make โดยไม่จำเป็น

   - Hackerจะต้องทำการ complier Program เป็นbinary เพื่อRun หากไม่จำเป็นไม่ควรติดตั้ง

    complierบนServer หากหลีกเลี่ยงไม่ได้Admin.ต้องหมั่นตรวจตราSource Code ของUserอยู่เสมอ

3. Upgrade Packet ที่อ่อนแอให้เป็นVersion ที่แข็งแกร่ง

   - ทั้งนี้เนื่องจากProgram Hack(exploit)สามารถทำให้ userกลายเป็นuserผู้ดูแลระบบ( root) นั้นเกิดจาก Packetบางตัวมีช่องโหว่/อ่อนแอ

   - Upgrade Packetที่อ่อนแอให้เป็นVersionที่แข็งแกร่งจะป้องกัน SERVERได้

4. Upgrade Versionของ OS

 

 

3. การHackระบบปฏิบัติการ UNIXแบบ Remote Hack

    Remote Hack = การHack ที่Hacker ไม่จำเป็นต้องทำการTelnet เข้าไปยังServerเป้าหมาย

   ระบบปฎิบัติการLinux Redhat 7.0 ถ้าติดตั้งโดยdefault แล้วจะมี serviceที่ชื่อlpd.(บริการเกี่ยวกับ

    PRT. ใช้TCP Port 515) ติดมาด้วยซึ่งเป็นช่องโหว่ให้Hacker เข้าครอบครองServer

- Hackerจะใช้วิธีscan Port เป้าหมายทีละเครื่องด้วยคำสั่ง nmap หรือใช้Prog. Netbus scan

  Network

- เครื่องมือที่ใช้ในการ Remote Exploitระบบ Linux Redhat 7.0ทาง lpd portคือ seclpd.c

(เป็น source codeภาษา Cซึ่งไม่สามารถใช้งานได้ทันที ต้องนำไป compileเป็นภาษาเครื่องก่อน)

 การป้องกันการ Hackระบบปฏิบัติการ UNIXแบบ Remote

1. เปิดเฉพาะ serviceที่จำเป็น

 - ควรปิดservice การบริการlpd. / ถอนPacket นี้จาก Server

2. Upgrade Packetให้เป็น versionที่แข็งแกร่งกว่า

3. ใช้Firewall

   - กำหนดAccess Rule เพื่อป้องกันIP ภายนอกทำการติดต่อกับ Port 515ภายใน

 

 

 

4. การBomb e-mail

  Bomb e-mail = การส่งe-mail จำนวนมากๆไปยังผู้รับปลายทางในเวลาติดๆกัน มีผลทำให้Mail

-Box ผู้รับเต็มไปด้วยe-mailขยะ

 ขั้นตอนการส่งmail

1.             PCของเราส่ง e-mail ไปที่ SMTP Server(Mail Server)เพื่อทำหน้าที่ส่งต่อ e-mail ไปยังMail

   Serverภายนอก SMTP Serverจะทำการบันทึก IP Address(PCของเรา)

  2. SMTP Serverจะส่ง e-mailต่อไปยัง Serverปลายทาง

    -  SMTP Server จะตรวจสอบ (โดยcheck จากMX Record ของ Protocol DNS)

    -  Mail Serverปลายทางจะบันทึก IP Addressของ SMTP Serverโดยเพิ่มไว้บนHeader ของ

        e-mailด้วย

  3. Userปลายทางรับ mailจาก Mail Serverเขาเอง

      - ผู้รับสามารถตรวจสอบได้ว่า mailมาจากเครื่อง IPใด?/ ผ่านSMTP Server/ Mail Serverใดบ้าง?

   *** Hackerที่มีประสบการณ์ จะไม่ใช้ e-mail Addressตนเอง + IP Address ของเครื่องในการส่ง

        Mail จะใช้จากที่สาธารณะที่เรียกว่า Open Relay/ปลอม e-mailตนเองให้เป็นของคนอื่น

การป้องกันการBomb e-mail

1. กำหนดค่าในMail Server เพื่อไม่ให้รับ e-mail จากIPที่ไม่น่าเชื่อถือ

2. ตรวจจับโดยใช้Software

Linux /Unix  ควรเขียนProgram ภาษา C

  - ตรวจหัวข้อของe-mail ว่าซ้ำ ?

 -  หากมาจาก IP เดียวกันให้รับe-mailไม่เกิน 3ฉบับ/นาที

 -  ใช้Softwareป้องกัน : Arbomb ,Vipul’s Razor

Windows และใช้ Exchange Server

 -  เขียนProgramโดยใช้ Visual C++

 -  ใช้ Softwareป้องกัน : GFI Mail Essentials for Exchange /SMTP ,Open Relay Filter Enterprise

    Edition , Xwall หรือVOP modusGate Enterprise

 

 

 

5. การปลอม IP เพื่อPostข้อความลงใน Webboard และเพื่อการ Hackของ IIS

 

- ที่ webboard จะมีการบันทึก IP Addressของผู้ที่ทำการ Postข้อความเก็บไว้ แต่อาจมีการหลอกให้

   บันทึก IP Addressเครื่องอื่นที่มิใช่เครื่องของเราโดยใช้ Proxy

 - Proxy Server =เครื่อง Com.ที่ทำหน้าที่เป็นตัวกลางระหว่าง Clientกับ Web Serverในการร้องขอ

   และจัดส่งหน้า  Webpage

 - การเรียกชม Websiteสามารถสั่งให้ Proxy Serverทำการร้องขอเอาหน้า Webนั้นได้หาก website

    นั้นถูกเรียกใช้งานแล้ว หน้า webนั้นจะถูกเก็บไว้ใน cacheของ Proxy Serverหากเรียกใช้อีกครั้ง

    ตัว Proxy Serverจะเอาหน้า webที่อยู่ใน cacheส่งให้ได้เลย

 

 

ประโยชน์ของProxy Server

1. เพื่อความเร็วในการDownload หน้าWebpage

2. ประหยัดBandwidth

    - ประโยชน์หากProxy Server อยู่ในระบบLANเดียวกับclient และLink ระหว่างGateway ไปหา

       ISPที่ความเร็วไม่สูง

3. ประโยชน์ด้านความปลอดภัย(Security)

    - สามารถกำหนดUser ให้ชมwebใดได้บ้างโดยกำหนดค่าACL (Access Control List) ที่ตัว

       Proxy Server

   ในการใช้งาน Proxy  Userจะป้อนค่า IP Addressของ Proxy Serverและ Portที่ Proxy Serverเปิด

    เพื่อให้บริการ (ปกติ 8080 หรือ 3128) โดย Userจะติดต่อกับ Proxy Serverด้วย Protocol HTTP

    Hackerที่มีความชำนาญจะเรียกใช้ Proxy Serverที่อยู่ต่างประเทศซึ่งมีความเร็วสูง/เปิดบริการฟรี

    ซึ่งเรียกว่า Public Proxy  :จีนซึ่งเป็นประเทศที่มี Hackerชุกชุม

    ****วิธีที่จะหา Public Proxyก็ใช้ search enginก็สามารถหาได้

     ****Public Proxyอาจมีการติดตั้ง Program squid(มากับLinux)ซึ่งเปิดโอกาสให้ทุก IP Address

      เรียกใช้งานได้

     ****Program Netbusมีความนิยมใช้scan port (ต้องใส่ช่วง IP Addressที่ต้องการ scanหา Public

       Proxyด้วย)

 การป้องกันการปลอม IP เพื่อPostข้อความลงใน Webboard

 1. ไม่รับการPost จากIP เมืองนอกที่เป็นProxy Server

    - ผู้ดูแล Webboardต้องหมั่นตรวจสอบ IPที่อยู่ใน Log file Webboardอยู่เสมอ

    - เพิ่ม Codeใน Webboardไม่ให้รับการ Postจาก IPที่ไม่มั่นใจ

 2. กรณีเป็นเจ้าของProxy

    - กำหนด ACLเฉพาะกลุ่ม IPใน Networkของตนเอง

    - ไม่ติดตั้ง Software Proxy Serverถ้าไม่จำเป็น : Wingate ,squid

    - ตรวจดู Log fileเมื่อพบคนอื่นเข้ามาเกาะ ก็ควรปรับปรุง ACLโดยเร็ว

    - กำหนดค่าใน Firewall / Gatewayเพื่อป้องกัน userใน Networkเราไปเกาะ Proxyคนอื่น

 

 

 

 

 

6. การแทรกรูปภาพบนWebboard /สมุดเยี่ยม

การทำงานของ  Programใน Webboard

- จะเริ่มการสร้าง Forumโดยให้ผู้ใช้ป้อนอักษรต่างๆ แล้วมีปุ่ม Post(ส่งข้อความ) เพื่อให้ผู้ตั้งหัวข้อ

   / ตอบคำถามใช้ในการ clickเพื่อส่งข้อความ

 - หลังจากปุ่ม Postถูกกด Program CGI / ASPที่อยู่ใน Webboardก็จะนำกลุ่มตัวอักษรต่างๆจากบน

   Forum มาเก็บไว้ใน Databaseหรือ  Text File

   - เมื่อผู้เข้ามาเยี่ยมชม webและอ่าน  Program CGI / ASPจะไปอ่านข้อมูลใน Databaseแล้ว

ส่งกลับไปให้  Browser เพื่อนำข้อความมาแสดงโดยทำงานตามคำสั่ง HTML

    (โดยคำสั่ง HTMLจะอยู่ในเครื่องหมาย  < >)

  - การแสดงอาจปรากฏเป็นข้อความ /รูปภาพก็เป็นได้

  - สาเหตุหลักที่สามารถแทรกรูปภาพเข้าไปยัง Webboardได้ เนื่องจากความไม่รอบคอบในการ

    เขียน Programซึ่งไม่ได้ป้องกัน Tag , HTMLในเครื่องหมาย < >

การป้องกันการแทรกรูปภาพและTag HTMLในWebboard /สมุดเยี่ยม

1.ป้องกันเครื่องหมาย  < และ  > (เป็นวิธีป้องกันที่ดีที่สุด)

 - ขั้นตอนการ Postข้อความ

 - ก่อนขั้นตอนการบันทึกข้อมูลลง Database

  - บันทึกเครื่องหมาย  < หรือ > ลง Databaseแต่ป้องกันในขั้นตอนการส่งกลับให้ Browser

2. แสดง IP Address ของผู้ Postด้วย

 

 

7. การดักจับ Password ของe-mail โดยใช้ Sniffer

   - การทำงานของHub จะมีจุดอ่อนด้านความปลอดภัยมากกว่า Switch

   - Protocol Analyzer

     1) เป็นProgram คอยตรวจจับFrame / Packet เพื่อหาสี่งผิดปกติที่เกิดขึ้นในNetworkเพื่อใช้ใน

       การวิเคราะห์แก้ปัญหา

      2) ศึกษาการทำงานของProtocolต่างๆ

     3)  วิเคราะห์ข้อมูลที่Com ส่งหากัน

  - ตัวอย่างProtocol Analyzer  : Sniffer , Ether Real   ฯลฯ

*****Sniffer อนุญาตให้ผู้ใช้งานระบุ IP Address , Port และProtocol ที่เครื่อง 2 เครื่องคุยกันได้

      เช่น ARP ,DHCP ,Telnet ,SMTP ,POP3 ฯลฯ

*****Sniffer ไม่สามารถดักจับข้อมูลของเครื่องที่ใช้switchได้ [switch ส่งข้อมูลออกเฉพาะ Port

          (ช่องเสียบสัญญาณ) ที่มีเครื่องหมายต่ออยู่เท่านั้น]

การป้องกันการดักจับ Password ของe-mail โดยใช้ Sniffer

1. ใช้ Switch แทนHub

  - ข้อมูลทุก Frame จะถูกส่งออกจากทุกPort ของHub เมื่อมีผู้ใช้Com. เครื่องใดในNetwork

   run Program Snifferก็สามารถดักจับ Frameข้อมูลได้

ใช้ Switch แทน Hub จะเกิดผลดีคือ

Frameข้อมูลจะมีการส่งออกเพียงแค่ Portที่ต่อกับเครื่อง Com.ปลายทางเท่านั้น

Program Snifferสามารถดักจับได้เพียง Frameข้อมูลที่เครื่องตัวเองรับ-ส่งเท่านั้น

  - เพิ่มความเร็วของ Network

2. ใช้ Software เพื่อตรวจสอบMode การทำงานของ Network Interface Card ของCom. แต่ละเครื่อง

   ใน Network

    - Com.ที่Run Program Sniffer   NIC (Card LAN) จะทำงานในMode Promiscusus สามารถ

     ตรวจสอบได้โดยใช้ Software Anti Sniff ตรวจสอบ

3. เปลี่ยนจากการใช้งาน Applicationที่ไม่มีการเข้ารหัสมาเป็นการเข้ารหัส

    - เปลี่ยนจากการใช้ Telnet  เป็น  Secure(ssh)

4. เปลี่ยนPassword บ่อยๆและกำหนดให้Password มีการหมดอายุ

     - ไม่ควรใช้Password เดียวกันหลายๆระบบ

 

 

8. การทำDenial of Service (DoS)

  Denial of Service = การทำให้Serverเป้าหมาย เช่น Web , Mail Database Server ไม่สามารถให้

   บริการได้  แบ่งออกเป็น

 1. Local DoS = ทำDoS บนเครื่องนั้นๆโดยตรง คือuserทำให้เครื่องหยุดทำงานได้โดยไม่ต้องมี

 สิทธิ์ของผู้ดูแลระบบเลย อาจใช้วิธีการTelnet ,FTP ไปยังServerเป้าหมาย

 2.Remote DoS = ทำDoS โดยไม่ต้องTelnet ,FTP ไปยังServer เป้าหมาย เพียงแค่รู้IP Address

  หรือ Domain ของServerเป้าหมายก็เพียงพอแล้ว

 การป้องกันการทำ