by A.Pinya Hom-anek, CISSP,CISA
ACIS Professional Team

จากข่าวคราวในช่วงเดือนที่ผ่านมา เราพบว่า Web Site ของภาครัฐนั้นถูก Hacker บุกถล่มและเข้ามาแก้ไขข้อมูลกันอย่างง่ายดาย หลายๆ คน คิดว่า Hacker ต้องมีความรู้ความสามารถขั้นสูง ซึ่งอาจเป็น Hacker ต่างประเทศระดับปรมาจารย์ที่ต้องใช้วิชา Hack ขั้นสุดยอดถึงจะ Hack Web Site ต่างๆ ในประเทศเราได้ โดยเฉพาะ Web Site ของภาครัฐของหน่วยงานที่มีชื่อเสียงก็มักจะถูกกำหนดเป็นเป้าหมายหลักของ Hacker อยู่เสมอ

จากการตรวจสอบข้อมูลและการติดตามหาตัว Hacker นั้น เราพบว่า ความจริงไม่ได้เป็นอย่างที่เราคิด เนื่องจาก Hacker ส่วนใหญ่นั้นเป็นเด็กอายุไม่เกิน 25 ปี และยังศึกษาอยู่ในชั้นมหาวิทยาลัย และเป็นเด็กไทยเราเอง แต่มีความรู้ความสามารถมากกว่าผู้ใช้คอมพิวเตอร์ทั่วๆไป ซึ่งยังไม่ใช่ถึงขนาด Hacker ระดับอาจารย์อย่างนาย Kevin Mitnick (ติดคุกอยู่หลายปีแต่ตอนนี้หลังได้รับทัณฑ์บนได้ถูกปล่อยตัวเป็นอิสระแล้ว ข้อมูลเพิ่มเติมที่ http://www.kevinmitnick.com )

เด็กเหล่านี้แท้จริงแล้วพวกเค้าไม่ใช่ Hacker มืออาชีพ หรือ ผู้ที่ทำผิดคิดร้ายแต่อย่างใด เพียงแต่เมื่อพวกเขาพบช่องโหว่ในระบบ ด้วยความอยากรู้อยากเห็น ก็เลยไปถึงการเข้าสู่ส่วนสำคัญของระบบจนกลายเป็นการ Hack ไปในที่สุด

จะเห็นได้ว่าการเจาะระบบนั้น ต้องมีการเจาะผ่านมาจากทาง ISP ที่เราต่ออยู่ จุดแรกที่ Hacker บุกเข้ามาได้ก็ต้องผ่านอุปกรณ์ Router เสียก่อน คำว่า Perimeter จึงหมายถึง “ขอบเขต” หรือ “ชายแดน” ระหว่างระบบ LAN ภายในของเรา กับ โลกภายนอกก็คือ “Internet” นั่นเอง ดังนั้นคำจำกัดความของ “Perimeter Security” ก็คือความปลอดภัยในบริเวณที่เป็นอาณาเขตที่เราต้องต่อเชื่อมกับ Internet เริ่มตั้งแต่ Router ที่เราต่ออยู่กับ ISP มายัง Firewall ขององค์กร (ถ้ามี) และรวมถึงบรรดา Server ต่างๆ ที่ต้องให้คนภายนอกสามารถเข้าถึงได้เช่น Web Server, Mail Relay Server, FTP Server, DNS Server เป็นต้น

ซึ่งบรรดา Server เหล่านี้จะถูกจำกัดบริเวณอยู่หลัง Firewall ที่เราเรียกว่า DMZ หรือ Demilitarized Zone แปลว่า เขตปลอดทหาร (ยืมมาจากสมัยสงครามเกาหลีเหนือและเกาหลีใต้) บริเวณ DMZ อยู่หลัง Firewall ซึ่งเราคิดว่าปลอดภัย แต่จริงๆ แล้วเป็นบริเวณที่ยังอันตรายอยู่ เพราะคนภายนอกจาก Internet ยังสามารถเข้าถึงได้
เราจึงมักมี ความเข้าใจผิด เสมอว่าแค่การติดตั้ง Firewall จากนั้นนำพวก Server ทั้งหลายมาอยู่หลัง Firewall แล้วจะปลอดภัย ในกรณีศึกษาการ Hack Web Site ของกระทรวง-ทบวง-กรม ต่างๆ เวลานี้ นั้นส่วนใหญ่เกิดจากสาเหตุใหญ่ๆ และความเข้าใจผิดดังต่อไปนี้

1. ไม่มีการจัดการทำ ACL (Access Control List) ที่ Router ทั้งๆ ที่สามารถทำได้ฟรีโดยไม่มีค่าใช้จ่ายในด้านการซื้อ Software เพิ่ม ควรจะหาอ่านข้อมูลถึงวิธีการ Hardening Router จากหนังสือ หรือ Internet เพิ่มเติม เพราะการป้องกัน Perimeter Security ที่ดีต้องเริ่มจาก Router ACL ก่อนเป็นอันดับแรก

2. คิดว่ามี Firewall แล้วจะปลอดภัย แต่เหล่า Hacker รุ่นใหม่ส่วนใหญ่จะ Hack ผ่านทาง Web Application โดยใช้ Port HTTP TCP 80 ซึ่ง Firewall ของทุกหน่วยงานต้องเปิดให้คนภายนอกเข้ามาเยี่ยมชม Web Site ของตัวเองอยู่แล้ว เวลานี้การ Hack Web Application นั้นกำลังมาแรง เนื่องจาก Administrator หรือ Web Master ไม่มีความรู้พอด้านการเขียนโปรแกรม Web Application และเราไม่ได้ฝึกอบรม Web Programmer ที่เขียน Web Application ในเรื่อง Web Security ให้ดีพอ จึงเปิดโอกาสให้ Hacker ที่มีความรู้ทางด้านการเขียนโปรแกรม Web เจาะเข้ามาทาง Port HTTP ได้ ข้อมูลเพิ่มเติมดูได้ที่ www.owasp.org จะเห็นช่องโหว่ทั้ง 10 ของ Web Application

3. การเขียน ASP และ PHP โดยไม่ระมัดระวังนั้นเวลา Web Page เกิด Error ในบางครั้ง Error จะแสดงให้เห็นถึง Path ที่เก็บไฟล์สำคัญๆ อยู่ใน Web Server เช่น c:\include\include.inc เป็นต้น (ในกรณีของ ASP) ทำให้ Hacker สามารถใช้ Path ที่เห็นเข้าไปอ่าน Source Code ใน include.inc ไฟล์ และมองเห็น Connection ที่ติดต่อกับ Database จากนั้นก็สามารถ Download Database (ในกรณีที่ใช้ Microsoft Access) ได้โดยตรงเพียงแค่อ้าง Path ให้ถูกต้องเท่านั้น เช่น http://www.abc.com/cgi-bin/example.mdb เป็นต้น

4. การใช้ RDBMS เช่น MySQL หรือ MS SQL Server โดยไม่ระมัดระวัง ถ้ามีการติดตั้งลงบน Web Server เครื่องเดียวกันจะมีการเปิด Port ของ RDBMS เช่น MS SQL Server เปิด Port 1433 และ MySQL เปิด Port 3306 ถ้าไม่ปิดที่ Firewall จะทำให้ Hacker สามารถต่อตรงเข้ากับ RDBMS ได้ทันที ถ้า Hacker ทราบ User Name และ Password จาก Source Code ของ Web Application จากนั้น Hacker ก็จะสามารถเข้าถึงฐานข้อมูลโดยตรงได้ทันที

เรื่องของการ Hack Web Application ยังไม่จบเพียงแค่นี้นะครับ เราเห็นแล้วว่าการทำ “Defense In-Depth” ให้กับ “Perimeter Security” ของเรานั้นต้องประกอบไปด้วยหลายๆ ส่วน ไม่ว่าจะเป็น Router ACL, Firewall และตัว Web Application เอง ในฉบับหน้าผมจะมากล่าวถึงรายละเอียดถึงการ Hack Web Application กันต่อนะครับ

จาก : หนังสือ eLeaderThailand
ฉบับที่172 ประจำเดือนมิถุนายน 2546
Update Information : 17 กรกฎาคม 2546