วันจันทร์ที่ 2 กรกฎาคม พ.ศ. 2555

FBI เตรียมปิดเซิร์ฟเวอร์ DNS Changer ในวันที่ 9 ก.ค. 2555 เครื่องคอมพิวเตอร์ที่ติดมัลแวร์จะไม่สามารถใช้งานอินเทอร์เน็ตได้

วันที่ประกาศ: 27 เมษายน 2555
ปรับปรุงล่าสุด: 2 กรกฎาคม 2555
เรื่อง: FBI เตรียมปิดเซิร์ฟเวอร์ DNS Changer ในวันที่ 9 ก.ค. 2555 เครื่องคอมพิวเตอร์ที่ติดมัลแวร์จะไม่สามารถใช้งานอินเทอร์เน็ตได้

ประเภทภัยคุกคาม: Denial of Service

ข้อมูลทั่วไป

มัลแวร์ DNS Changer ถูกค้นพบครั้งแรกเมื่อปี 2550 โดยสามารถทำงานได้ทั้งบนระบบปฏิบัติการ Windows และ Mac OS X มัลแวร์ดังกล่าวนี้จะเข้าไปเปลี่ยนแปลงการตั้งค่า DNS Server ในเครื่องที่ตกเป็นเหยื่อ เพื่อส่งผู้ใช้ไปยังเว็บไซต์หลอกลวงที่แฮ็กเกอร์สร้างขึ้น หรือติดตามการใช้งานอินเทอร์เน็ตและขโมยข้อมูลสำคัญของผู้ใช้ จากการตรวจสอบในตอนนั้นพบว่ามีเครื่องคอมพิวเตอร์ที่ติดมัลแวร์นี้กว่า 4 ล้านเครื่องทั่วโลก [1]

ใน เดือนพฤศจิกายน 2554 หน่วยงาน FBI ได้ปฏิบัติภารกิจ Operation Ghost Click และได้ทำการจับกุมผู้พัฒนาและเผยแพร่มัลแวร์ DNS Changer พร้อมทั้งยึดเครื่องเซิร์ฟเวอร์ที่เป็น DNS Server ปลอมมาไว้ในการควบคุมเพื่อใช้ในการวิเคราะห์สอบสวน อย่างไรก็ตาม ทาง FBI ไม่สามารถที่จะปิดเซิร์ฟเวอร์ดังกล่าวได้ เนื่องจากเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ DNS Changer จำเป็นต้องติดต่อกับเครื่องเซิร์ฟเวอร์ที่เป็น DNS Server ปลอมในทุกครั้งที่เชื่อมต่อกับอินเทอร์เน็ต หากปิดเซิร์ฟเวอร์ดังกล่าว จะทำให้เครื่องคอมพิวเตอร์เหล่านั้นถูกตัดขาดจากอินเทอร์เน็ตโดยทันที [2] [3]

FBI มีความพยายามที่จะปิดเครื่องเซิร์ฟเวอร์ดังกล่าวอยู่หลายครั้ง แต่ยังไม่สามารถทำได้เนื่องจากพบว่ามีคอมพิวเตอร์จำนวนมากที่ยังคงติดมัลแว ร์ DNS Changer อยู่ โดยจากการตรวจสอบในเดือนมีนาคม 2555 พบว่าทั่วโลกยังมีเครื่องที่ติดมัลแวร์อยู่ประมาณ 450,000 เครื่อง และในจำนวนนั้นมีคอมพิวเตอร์ที่ใช้ในหน่วยงานสำคัญของทางราชการอยู่ด้วย จนกระทั่งวันที่ 23 เมษายน 2555 ทาง FBI ได้ประกาศว่า จะทำการปิดเครื่อง DNS Server ปลอมลงชั่วคราวในวันที่ 9 กรกฎาคม 2555 เพื่อทำความสะอาด การปิดเครื่องเซิร์ฟเวอร์ดังกล่าวอาจส่งผลให้เครื่องคอมพิวเตอร์ที่ยังติด มัลแวร์อยู่จะไม่สามารถเข้าใช้งานอินเทอร์เน็ตได้ [4] [5]

ผลกระทบ

เครื่องคอมพิวเตอร์ที่ติดมัลแวร์ DNS Changer และไม่ได้ทำการแก้ไข จะไม่สามารถเข้าใช้งานอินเทอร์เน็ตได้ในวันที่ 9 กรกฎาคม 2555

ระบบที่ได้รับผลกระทบ

เครื่องคอมพิวเตอร์ที่ใช้งานระบบปฏิบัติการ Windows หรือ Mac OS X ที่ติดมัลแวร์ DNS Changer

ข้อแนะนำในการป้องกันและแก้ไข

FBI ได้ประสานงานกับหน่วยงานต่างๆ ในการจัดทำเว็บไซต์ DNS Changer Working Group (DCWG) เพื่อช่วยตรวจสอบและกำจัดมัลแวร์ DNS Changer ออกจากระบบ ผู้ใช้สามารถเข้าไปใช้งานได้ที่ http://www.dcwg.org/

ในการตรวจสอบว่าเครื่องคอมพิวเตอร์ติดมัลแวร์หรือไม่ สามารถทำได้โดยการเข้าไปที่หน้า http://www.dcwg.org/detect/ แล้วคลิกที่ลิงก์ของเว็บไซต์ dns-ok จากนั้นเมื่อระบบทำการตรวจสอบเสร็จสิ้นก็จะแสดงข้อความเพื่อบอกว่าเครื่อง คอมพิวเตอร์ที่ใช้งานอยู่นั้นติดมัลแวร์หรือไม่ ถ้าหากไม่ติดก็จะแสดงข้อความ DNS Resolution = Green แต่หากติดมัลแวร์จะแสดงข้อความ DNS Resolution = Red ดังรูปที่ 1

Al2012co0006.png
รูปที่ 1 แสดงผลการตรวจสอบ DNS โดยใช้เว็บไซต์ www.dns-ok.us
นอกจากนี้ ทาง Google และ Facebook ก็ได้ช่วยแจ้งเตือนผู้ใช้ที่ติดมัลแวร์ DSN Changer โดยหากทางเว็บไซต์ตรวจสอบได้ว่าผู้ใช้ติดมัลแวร์ ก็จะแสดงแถบข้อความแจ้งเตือนพร้อมทั้งแนะนำวิธีแก้ไขปัญหา ตัวอย่างการแจ้งเตือนเป็นดังรูปที่ 2 และ 3 [6] [7]

Al2012co0006-2.jpg
รูปที่ 2 การแจ้งเตือนผู้ใช้ที่ติดมัลแวร์ DNS Changer ของ Google

Al2012co0006-3.jpg
รูปที่ 3 การแจ้งเตือนผู้ใช้ที่ติดมัลแวร์ DNS Changer ของ Facebook
ซึ่งหากผู้ใช้ตรวจสอบแล้วพบว่าเครื่องติดมัลแวร์ DNS Changer ควรทำการกำจัดมัลแวร์ออกจากระบบโดยเร็วที่สุด สำหรับผู้ที่ใช้งานระบบปฏิบัติการ Windows ทาง Microsoft ได้แนะนำให้ดาวน์โหลดโปรแกรม Microsoft Malicious Software Removal Tool (MSRT) หรือ Microsoft Security Essentials มาใช้ในการกำจัดมัลแวร์ ส่วนผู้ที่ใช้งานระบบปฏิบัติการ Mac OS X สามารถดาวน์โหลดซอฟต์แวร์ DNSChanger Removal Tool จากเว็บไซต์ http://www.dnschanger.com/ มาใช้งานได้ฟรี
หลังจากกำจัดมัลแวร์แล้ว การตั้งค่า DNS Server ที่เกิดจากมัลแวร์อาจยังคงติดค้างอยู่ในระบบซึ่งอาจก่อให้เกิดปัญหาตามมาภาย หลังได้ [7] ทาง Avira ได้พัฒนาเครื่องมือสำหรับซ่อมแซมระบบ Windows ที่ได้รับผลกระทบจากมัลแวร์ DNS Server โดยผู้ใช้สามารถดาวน์โหลดได้จากเว็บไซต์ของ Avira [8]
อย่างไรก็ตาม ผู้ใช้ควรติดตั้งซอฟต์แวร์แอนตี้ไวรัสและหมั่นอัพเดตฐานข้อมูลให้เป็นเวอร์ ชั่นล่าสุดอยู่เสมอ เพื่อช่วยในการตรวจจับและป้องกันปัญหาการติดมัลแวร์ที่อาจจะเกิดขึ้นได้ใน อนาคต

อ้างอิง

  1. http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf
  2. http://reviews.cnet.com/8301-13727_7-57322316-263/fbi-tackles-dnschanger-malware-scam/
  3. http://www.fbi.gov/news/stories/2011/november/malware_110911
  4. http://www.theage.com.au/digital-life/consumer-security/internet-users-warned-of-big-blackout-in-july-20120329-1w172.html#ixzz1qW2sYEy8
  5. http://reviews.cnet.com/8301-13727_7-57421311-263/renewed-efforts-to-revert-dnschanger-in-effect
  6. http://nakedsecurity.sophos.com/2012/05/23/google-malware/
  7. https://www.facebook.com/notes/facebook-security/notifying-dnschanger-victims/10150833689760766
  8. https://www.hkcert.org/my_url/en/blog/12062701
  9. http://www.avira.com/en/support-for-home-knowledgebase-detail/kbid/1199
เขียนโดย ที่ 2 ความคิดเห็น:

วันจันทร์ที่ 11 มิถุนายน พ.ศ. 2555

ระวังภัย ช่องโหว่ใน MySQL/MariaDB อนุญาตให้ล็อกอินได้โดยไม่ต้องรู้รหัสผ่าน

ระวังภัย ช่องโหว่ใน MySQL/MariaDB อนุญาตให้ล็อกอินได้โดยไม่ต้องรู้รหัสผ่าน

วันที่ประกาศ: 11 มิถุนายน 2555
ปรับปรุงล่าสุด: 11 มิถุนายน 2555
เรื่อง: ระวังภัย ช่องโหว่ใน MySQL/MariaDB อนุญาตให้ล็อกอินได้โดยไม่ต้องรู้รหัสผ่าน

ประเภทภัยคุกคาม: Intrusion

ข้อมูลทั่วไป

นักพัฒนาจาก MariaDB ได้ค้นพบช่องโหว่ในโปรแกรม MySQL และ MariaDB (MySQL เวอร์ชั่นที่ถูกแยกออกไปพัฒนาต่อโดยนักพัฒนาภายนอก) ซึ่งทำให้ผู้ใช้สามารถล็อกอินโดยใช้รหัสผ่านที่ไม่ถูกต้องได้ (CVE2012-2122) [1]

ช่อง โหว่ดังกล่าวเกิดจากข้อผิดพลาดของฟังก์ชัน memcmp() ที่ใช้ในการตรวจสอบรหัสผ่านที่รับเข้ามา ซึ่งมีบางกรณีที่ผลลัพธ์ของฟังก์ชันได้ค่าที่ไม่คาดคิด ทำให้โปรแกรม MySQL/MariaDB มองว่ารหัสผ่านที่รับเข้ามานั้นถูกต้อง ถึงแม้ที่จริงแล้วรหัสผ่านนั้นจะไม่ถูกต้องก็ตาม

ผลกระทบ

หากมีผู้ใช้ที่เชื่อมต่อเข้ามาในระบบโดยป้อนชื่อผู้ใช้และรหัสผ่านอะไรก็ได้ เข้ามาซ้ำๆ กันหลายๆ ครั้ง ก็มีโอกาสที่จะผ่านเข้ามาในระบบได้ โดยส่วนใหญ่แล้ว ระบบที่ติดตั้ง MySQL/MariaDB จะใช้ชื่อผู้ใช้ว่า root เป็นค่าเริ่มต้น ซึ่งชื่อผู้ใช้ดังกล่าวมีสิทธิ์สูงสุดในระบบ ทำให้ใครก็ตามที่สามารถล็อกอินโดยใช้ชื่อผู้ใช้ดังกล่าวได้ ก็จะได้รับสิทธิ์ทั้งหมดของระบบฐานข้อมูลนั้นโดยทันที

ระบบที่ได้รับผลกระทบ

  • MySQL และ MariaDB เวอร์ชั่น 5.1.61, 5.2.11, 5.3.5, 5.5.22 และต่ำกว่า
  • MySQL เวอร์ชั่นตั้งแต่ 5.1.63, 5.5.24, 5.6.6 เป็นต้นไปไม่ได้รับผลกระทบ
  • MariaDB เวอร์ชั่นตั้งแต่ 5.1.62, 5.2.12, 5.3.6, 5.5.23 เป็นต้นไปไม่ได้รับผลกระทบ
อย่างไรก็ตาม ข้อผิดพลาดดังกล่าวเกิดได้เฉพาะ MySQL และ MariaDB ที่คอมไพล์โดยใช้ glibc บนระบบปฏิบัติการ Linux เท่านั้น ไฟล์ไบนารีของ MySQL และ MariaDB ที่มีให้ดาวน์โหลดในเว็บไซต์ของผู้พัฒนาจะไม่มีช่องโหว่ดังกล่าวนี้

ข้อแนะนำในการป้องกันและแก้ไข

ผู้ใช้งานโปรแกรม MySQL/MariaDB เวอร์ชันที่มีช่องโหว่ หากเป็นไปได้ ควรทำการอัพเดทโปรแกรมให้เป็นเวอร์ชันปัจจุบันโดยเร็วที่สุด
หากไม่สามารถอัพเดตได้ ผู้ใช้ควรตั้งค่าการเชื่อมต่อให้เข้ามาได้เฉพาะ localhost เพียงอย่างเดียว ด้วยการแก้ไขไฟล์ my.cnf ในส่วน [mysqld] กำหนดค่า "bind-address" ให้เป็น "127.0.0.1" จากนั้น Restart เซอร์วิสของ MySQL เพื่อให้การตั้งค่าใหม่มีผล [2]

อ้างอิง

  1. http://seclists.org/oss-sec/2012/q2/493
  2. http://thehackernews.com/2012/06/cve-2012-2122-serious-mysql.html
เขียนโดย ที่ ไม่มีความคิดเห็น:

วันอังคารที่ 5 มิถุนายน พ.ศ. 2555

ป้องกันบัญชีผู้ใช้ Gmail / Hotmail จากการถูกแฮ็กด้วยวิธีง่ายๆ

ผู้เขียน: ณราพร ดวงศรี
ผู้ให้คำแนะนำ: เจษฎา ช้างสีสังข์
วันที่เผยแพร่: 1 มิ.ย. 2555
ปรับปรุงล่าสุดวันที่: 1 มิ.ย. 2555

อี เมลนับเป็นสิ่งจำเป็นที่เข้ามามีบทบาทและมีความสำคัญต่อชีวิตประจำวันของเรา เป็นอย่างมาก เพราะเป็นวิธีการติดต่อสื่อสารที่รวดเร็วและแทบจะไม่มีต้นทุน หลายคนเก็บข้อมูลสำคัญไว้ในอีเมลหรือใช้อีเมลในการติดต่อทางด้านธุรกิจ ซึ่งหากผู้ใช้เข้าใช้งานอีเมลผ่านการเชื่อมต่อที่ไม่มีความมั่นคงปลอดภัย ก็อาจทำให้บัญชีผู้ใช้นั้นถูกโจรกรรมได้โดยง่าย

Gmail และ Hotmail เป็นบริการฟรีอีเมลที่มีผู้นิยมใช้กันมากเป็นอันดับต้นๆ (ในปี ค.ศ. 2011 ทั่วโลกมีจำนวนของผู้ใช้งาน Hotmail ประมาณ 350 ล้านคน และ Gmail ประมาณ 260 ล้านคน) [1] ผู้เขียนจึงได้เลือกบริการอีเมลเหล่านี้มาแนะนำเพื่อให้ผู้อ่านได้ปฏิบัติ ในปัจจุบันนั้น ถึงแม้ว่าผู้ให้บริการจะมีระบบที่มีความมั่นคงปลอดภัยอยู่แล้ว แต่ตัวผู้ใช้เองก็ควรที่จะเรียนรู้ข้อปฏิบัติเบื้องต้นรวมถึงวิธีการป้องกัน แบบต่างๆ เพื่อป้องกันปัญหาที่อาจจะเกิดขึ้น ด้วยวิธีการต่างๆ ดังนี้

1. การตั้งค่า Gmail ให้มีการยืนยันแบบ 2 ขั้นตอน (2-step verification)

เป็นการใช้ Two Factor Authentication [2] ซึ่งเป็นวิธีการพิสูจน์ตัวตนที่ต้องใช้ข้อมูล 2 ส่วนร่วมกัน เพื่อเพิ่มความมั่นคงปลอดภัยให้กับการเข้าสู่ระบบหรือบริการ โดยหลักๆ แล้วจะใช้ข้อมูลจาก 2 ใน 3 ส่วนนี้คือ

  1. สิ่งที่รู้ (Something you know) เช่น รหัสผ่าน
  2. สิ่งที่มี (Something you have) เช่น โทรศัพท์มือถือ, รหัสบัตรเติมเงิน
  3. สิ่งที่เป็น (Something you are) เช่น ลายนิ้วมือ, ม่านตา
การยืนยันอีเมลแบบ 2 ขั้นตอน [3] [4] ช่วยลดโอกาสในการถูกขโมยข้อมูลส่วนตัวในบัญชีอีเมลของเราลงได้ เพราะต่อให้ใส่ชื่อผู้ใช้และรหัสผ่านถูกต้องแล้ว ก็ยังไม่สามารถเข้าถึงบัญชีอีเมลได้ จนกว่าจะใส่รหัส Pin 6 หลักที่ได้รับจาก SMS ผ่านโทรศัพท์มือถือที่ลงทะเบียนไว้กับ Google เสียก่อน การตั้งค่าการยืนยันยืนยันด้วยวิธีนี้สามารถทำได้โดยไปที่ การตั้งค่าบัญชี และเลือก 2-step verification ตามรูปที่ 1 แล้วทำตามขั้นตอนของเว็บไซต์
ที่มา : http://www.thaicert.or.th/papers/normal/2012/pp2012no0010.html
เขียนโดย ที่ ไม่มีความคิดเห็น:
สมัครสมาชิก: ความคิดเห็น (Atom)