เกริ่น …
- ปกติแล้วเร้าเตอร์ที่ใช้ตามบ้านทั่วๆไป
จะถูกเรียกว่า SOHO Router (SOHO ย่อมาจาก “Small Office / Home Office)
- Unauthenticated Remote DNS Change Exploit
คือ ช่องโหว่ที่ แฮกเกอร์สามารถใช้เข้ามาเปลี่ยนค่า DNS ที่คุณๆ ตั้งค่าไว้
โดยไม่ต้อง login หรือไม่ต้องใช้รหัสผ่านนั่นเอง
- มันมีช่องโหว่อื่นๆ อีกเยอะนะ แต่ที่ไม่เอามาเขียน
เพราะ ช่องโหว่ อื่น ถ้าผมรู้ ผมก็มักจะเงียบๆไว้ (จะได้ไม่มีใครเอามาซน)
แต่ช่องโหว่ตัวนี้ ดันมีคนทำ code ออกมาแจกให้ใช้แฮกง่ายๆ แล้วน่ะ
เสริม …
- DNS ย่อมาจาก Domain Name System
ส่วนรายละเอียด อ่าน blog เก่าอันนี้ ดูครับ –> ( Domain Name System (DNS) คืออะไร )
- ถ้าโดนเปลี่ยน DNS แล้วจะเกิดอะไรขึ้นบ้าง ?
ยกตัวอย่างที่เคยเจอมา
มีคนมาถามผมว่า คอมเพิ่งลง windows ใหม่ แต่เวลาเข้าเว็บ
พบว่า มี popup ads โผล่ขึ้นมาประจำเลย ฯลฯ
เช็คไปเช็คมา ถึงได้รู้ว่า เขาถูกเปลี่ยน ค่า dns
ไปเป็น ip class หนึ่งของ เยอรมัน
แล้ว dns นั่นก็จะแอบส่ง เว็บที่มี popup ads ขึ้นมาให้เขา
[หรือถ้าเลวร้าย ก็จะเป็น popup ให้ update java, flash ฯลฯ (แต่เป็นไฟล์ โทรจันซะงั้น)] [ใครสงสัยว่า โทรจันคืออะไร แนะนำให้ดู VDO playlist นี้ StepHack.Com : รวมเรื่องโทรจัน]
- ทำไมต้องเป็น เยอรมัน ?
เพราะ ที่นั่น (และหลายๆที เช่น ชิลี ฯลฯ)
มีบริการ offshore hosting และ offshore VPS ให้เช่าเยอะ
ซึ่ง offshore พวกนี้คือ บริการให้เช่าทำเว็บอะไรก็ได้
โดยไม่ขอข้อมูลคนเช่า และ ปิดเป็นความลับให้ด้วย O_o”
ซึ่งเหมาะแก่การทำผิดที่ไม่อยากให้ตามตัวได้มากๆ
(เว็บ สปน. ที่โดนแฮก ก็ ip มาจาก proxy server ของเยอรมัน เช่นกัน = =”)
- ทำไปทำไม ?
ยกตัวอย่างแรก การทำให้เครื่องคอม แสดง ads
ผมมองว่านั่นคือการทำ black hat SEO (search engine optimize) รูปแบบหนึ่ง
ซึ่งทุกครั้งที่มี ads โฆษณาเด้งขึ้นมา …
คนที่ทำ จะได้เงินจากค่าแสดง ads นั่นเอง
คิดตามง่ายๆ ว่า แสดง 1,000 ครั้ง คนที่ทำ น่าจะได้ซัก 30 บาท
ถ้า 1 เครื่องแสดง ads ซักวันละ 1 ครั้ง
แต่มีเครื่องที่โดนเปลี่ยน DNS ซัก 1 แสนเครื่อง
///คนทำก็ได้เงิน ((1*100000)/1000)*30 = วันละ 3,000 บาท
** ในงาน defcon18 ในปี 2010 .. แค่บางรุ่น บางยี่ห้อ พบช่องโหว่เกินล้านเครื่อง
[ Defcon 18 – How to hack millions of routers- Craig Heffner ] ———-
ยกตัวอย่างที่สอง ทำให้คอมติดโทรจัน
ผมมองว่า เขาเอาเครื่องที่ติดโทรจันเหล่านี้
ไปเป็น proxy server, ส่ง mail หลอก หรือ บริการรับจ้าง ddos อีกที
คิดตามง่ายๆ … เหมือนอย่าง lizard team
ที่เขาทำเว็บบริการรับ DDOS ซึ่งมีรายได้จากค่าเช่า 10-25$ ต่อคน
แต่มีคนใช้งาน ประมาณ 8,000 คนนั่นแหละ
///คนทำก็ได้เงิน 10*8000*30 = 2.4 ล้านบาท
FYI
- ISP หลายๆ เจ้าในไทย ทำ Large Scale NAT
ซึ่งทำให้ Hack เข้ามาจาก ต่าง ISP ไม่ได้
เช่น แฮกเกอร์ที่ใช้ internet ของ True จะแฮกผู้ใช้ที่ใช้เน็ตของ 3BB ไม่ได้
ดังนั้น แฮกเกอร์ที่อยู่ ตปท. ก็จะแฮกเข้ามาไม่ได้เหมือนกัน (เพราะติด NAT นั่นเอง)
- แม้อยู่หลัง NAT … แต่ ISP เดียวกันยังแฮกกันเองได้นะ !!
เช่น hacker ใช้ 3BB ไล่แฮก 3BB หรือ ใช้ true ไล่แฮก true เป็นต้น
วิธีป้องกัน
- ตั้งค่าไม่ให้ “IP ภายนอก” เข้ามา config เร้าเตอร์ของคุณได้
จะอยู่ใน เมนู access control list (ACL) อ่ะ งมๆ โลด
ดูยี่ห้อ+รุ่น ของ เร้าเตอร์คุณ แล้วงม google โดยใช้คำค้นประมาณว่า
‘d-link abc-1234 acl config’, ‘d-link abc-1234 acl howto’ ไรเงี้ย เป็นต้น
- หมั่น update firmware ของอุปกรณ์ที่ใช้งาน สม่ำเสมอ