วันอังคารที่ 6 กรกฎาคม พ.ศ. 2553

Hack และข่าวHack

Hack
Hack
การแฮกผ่าน Thum Drive Shocked
บทนี้จะเป็ฯการแฮกผ่าน thum drive หรือ แฮกโดยติดตั่งโปรแกรามลงเรื่องเหยื่อ (ได้ผมระยะยาว) เหมากับมือใหม่หัดแฮค
โปรแกรม ที่แนะนำต่อไปนี้มี MessenPass แกะรหัสผ่าน ของ Msn Yahoo ICQ เป็นต้น
Mail Pass view แกะรหัสผ่านของเว็บเบสอย่าง Hotmail Yahoo และโปรแกรม outlook Express
Protected Stprage Pass view แกะรหัสที่เก็บไว้ในเครื่อง PC เช่น Msn Express เป็นต้น
Dialupass แกะรหัส ของ Dial-up,RAS,VPN

จากที่ตรวจดูแล้ว โปรแกรมเหล่านี้ไม่ใช่ spyware หรือ Trojan แต่ก้ยังหวั่นเพราะ โปรแกรมพวกนี้แจกฟรี ต้องเสี่ยงใช้งานเอง ไม่รับผิดชอบเมื่อมีปัญหาเกิดขึ้น

ปัญหาที่1 Huh? เราจะลงเข้าเครื่องเจ้าบอยตรงๆได้เรื่องแน่ เพราะ วินโดว์ของโปรแกรมแสดงออกมา เมื่อเข้าไปอ่านรายละเอียดพบว่าทั่ง4โปรแปรมแกรม สามารถเรียกผ่าน คอมมานไลด์ได้ ซึ่งการรันลักษณะนี้วินโดว์จะไม่แสดงออกมา

ปัญหา ที่2 กว่าจะรันโปรแกรมเสจ ก้โดนจับได้พอดี มีตั่ง4โปรแกรมแกรม การแก้ปัญหาคือเขียนแบตไฟล์ทั่ง4เอาไว้
ตัวอย่างคือ Star.bat
@echo off
mspass/stex acc1.txt
mailpv/stex acc2.txt
dialupass/stex acc3.txt
paspv/stex acc4.txt
ในการทำอย่างนี้จะไม่มีการ แสดงคำสั่งต่าง
ระหว่างแบตไฟล์ทำงาน โดยการรันโปรแกรมตามลำดับ โดยเกบผลการทำงานไว้ในไฟล์ acc1.txt acc2.txt ตามลำดับ
การรันแบตไฟล์จะ ใช้วิธีการดับเบิ้ลคลอกผ่าน star.bat เพื่อสั่งรันเหมื่อนโปรแกรมทั่วๆไปเมื่อรัน คอมมานไลด์จะแสดงว่างๆออกมา เมื่อรันเสจ วินโดว์คอมมานไลด์จะปิดตัวมา จะการทดลองใช้เวลาไม่ถึง2 - 4 วินาที

ปัญหาที่3การเอา พวกนี้ใส่ ทัมไดฟ์ เพื่อเตรียมรันเข้าเครื่องชาวบ้าน หากเจ้าของเครื่องขอดูว่ามีโปรแกรมอะไรบ้าง ไอคอนโปรแกรมจะแสดงออกมาโทงๆเลย ยิ่งมีชื่อไฟล์ว่าpass ยิ่งชวนสงสัย
แค่ เปลี่ยนชื่อไฟล์ให้เป็นโปรแกรมที่น่า่เชื่อถือก้หมดเรื่องเช่น USB_xp_2000.exe หากยังสงสัยให้ตอบไปว่า ทัมไดฟ์ตัวนี้ เฟริมแวร์มันซัฟพอร์ตแค่ USB1.0 เวลาเอาไปใช้กับเครื่องซัฟพอร์ด 2.0 บางครั้งการทรานเฟอร์ไฟล์ ซึ่งถ้าดูจากขนาดของไฟล์จะเหมื่อว่าไม่มีปัญหาแต่เวลาเปิดใช้งานเจอ corupt ตลอดเลย เลยจ้องลง แพทย์ ของไดเวอร์น่ะ มันเป็นปัญหากับบางเครื่องเท่านั้น ฮิๆๆ Embarrassed Embarrassedจะเปลี่ยนชื่อไฟล์ยังถ้ามันยังนามสกุล .exe การตบตาที่เรียนที่สุดคือเปลี่ยนเปรไฟล์ในเปนกราฟฟิก ก้ได้เช่น Brakground.jpg เป็นต้น (เนียนจิงๆ)
เวลาจะรันก้เปลี่ยนกลับเป็น .exe แต่การทำวิธีนี้จะเนียนมากกว่าวิธีที่1แต่มันก้ต้องเขียนโค้ดอีกนิดนึง (โค้ดเปลี่ยน นามสกุล jpgเป็น .exe)

บทบั้กเล็กๆของ YABB SE Sad Sad
Admin ต้องระวังไว้ให้มาก โดยเฉฮพาะเรื่องรหัสถ้ารหัสหลุดออกไป อาจมี ADMIn มากกว่า1 ก้เปนได้ หากท่านคิดอย่างนั้นก้สบายใจได้เลยครับ ฮิๆๆๆ บั้กขกเกอร์มาแฮกไปได้เลยครัอง YaBB SE มันเล็กอย่างที่บอกไว้จริงๆ งั้นขอเชิญ แฮคเกอร์มาแฮกไปได้เลยครับ ขอเชิญญญ ได้รหัสไปก้ทำอะไรไม่ได้หรอก ก็ากกกกกๆๆๆๆ Grin Grin

บั้กของYabb SE ช่วยให้แฮกเกอร์สามารถสังเอาสคิปของ PHP จากข้างนอกเข้ารันในเซิฟเวอร์ได้ ความแสบมันอยุ่ที่สคิปที่ถูกเรียกเข้าไปนั้นละ ที่จะทำให้ดูบทนี้คือการเรียกสคิป File Manager เข้าไป ไม่ได้เรียกรัน แต่จะเรียกเข้าไปเพื่อฝังตัวในเซิฟเวอร์เลย (ได้ผลระยะยาว ฮืิๆๆๆ)

การ ฝั่งไฟล์ File Manager คือยอดปราภนาของแฮคเกอรที่แฮกเว็บแบบเบสเลยละครับ เพราะมันสามารถเข้าไปดูข้อมูลในเวฺฟเวอร์ หรือ ลบ แก้ไข ได้อย่างง่ายๆ ดั่งนั้นถ้าถูกฝั่งแล้ว ไม่อยากคิดเลยครับ ยิ่งเว็บที่มีระบบรักษาความปลอดภัยอ่อนๆ มันจะเละสะใจขนาดไหน

บทนี้ ผมจะหาสคิป Flie Manager จากอินเตอร์ เริ้มจากค้นหาใน Google (อาจารย์ของผมครับ) เจอแล้วครับ(ขอไม่เอยนามเว็บ) เมื่อดาวโหลดมา พบว่ามีสคิปหลักเพียงตัวเดียวคือ filethingie.php
ผมดาวโหลดมาและทดลอง กับเว็บเพื่อนก่อนเลย ผมดาวโหลดและทดลองติดตั่งลงเว็บเพื่อนก่อนเลย เปลี่ยนชื่อไฟล์เปน fileman.php เมื่อเรียกสคิปผ่านเว็บาวเซอร์ จะมีหน้ต่าง ล็อคอิน หลังจากที่ป้องรหัสผ่านตามที่ระบุในสคิป ก้เข้าสุ่ระบบ Flie manager ความสามารถเบื้องต้นที่เหนคือ สามารถอัปโหลดไฟล์และสร้างไฟล์ไดเร็กทอรีหรือไฟล์ได้

ทำไมถึงต้อง ใช้ proxy พรางตัว
IP แอดเดส การติดต่อผ่าน TCP/IP นั้น ตรงทางปลายทางจะต้องทราบ IP ของกันและกัน ดั่งนั้นจึงเลี่ยงไม่ได้ที่ไม่ให้อีกฝ่ายเหน IP ของตัวเอบการพรางตัวของ proxy จะเป็นตัวนายหน้าดึงข้อมูลแทนเรา ดั่งนั้น หมายเลข proxy จะเปนเลข IP แทน เช่นใช้ 192.59.50.613 เปน 202.59.50.214

สำหรับการพรางตัว ของแฮกเกอร์๋แบบทั่วๆไป นิยทใช้3วิธีคือ

- เชื่อมต่อผ่าน ISP
- ใช้อินเตอร์เน็ตค่าเฟ่หรือสาธารณะ
- ใช้ proxy พรางตัว

proxy สาธารณะ
Prosy หาไม่ยาก หาได้จาก
www.proxz.com
www.proxyfree4.com
www.0privacy.com
ควรเลือก ใช้ Proxy ของต่างประเทศ แล้ว ทำงานแบบ anonymouse

กำหนด proxy ให้เว็บบราวเซอร์
ก่อนที่จะกำหนดเว็บบราวเซอร์ เราต้องหา IP เครื่อง หรือเซิฟเวอร์ก่อน ที่สำคัญต้องทราบพอร์ตของ proxy ด้วย ขึ้นกับทาง เซิฟเวอร์เขากำหนดไว้
สำหรับการเซต ให้กับเว็บบราวเซอร์ IE ทำโดย Tool > internet Option จะได้วินโโว์ internet Option แล้วคลิก Connections คลิกปุ่ม Lan setting ที่อยุ่กรอบ Local Area Network [LAN]Setting แล้วป้อนข้อมูล Proxy กำหนดให้เว็บบราวเซอร์ใช้หมายเลข Proxy ที่เตรียมไว้ จากนั้นกด OK

กำหนด Proxy ให้ anti virus ESET
กดตั่งค่า > ตั่งค่า Proxy ป้อนหมายเลขและพอร์ต proxy

โปรแกรม MutiProxy
Proxy มีอยุ่มากมาย แต่มักจะเจอproxy ที่เปิดให้บริการเอาแน่เอานอนไม่ได้ บางครั้งใช่งานได้แค่1อาทิตย์ บางทีหายไปเลย หรือจะกลับให้บริการเปนเดือน โปรแกรมนี้จะเกบลิสของproxy เอาไว้ แต่เราต้องหามาใส่เอง การใช้งานโปรแกรมแค่ รันโปรแกรมให้กำหนดเว็บบราวเซอร์ ใช้โปรแกรมดั่งกล่าวเป็น proxy ในเว็บบราวเซอร์เปน 127.0.0.1 พอร์ต 8088 ซึ่งโครงสรา้งเชื่อมต่อเปน

202.59.50.214 -><- Proxy Server -><- Web Server Embarrassed Embarrassed Embarrassed




เปลี่ยน IP (พร้อมรูป) = เห้นมีคนขอว่าอยากให้มีรูปประกอบ
คลิกขวาที่ Network Connections เลือก opperty (ประมาณนี้) แล้วคลิกขวาเลือก option ดั่งรูป

แล้ว เลือก TCP/IP กด OK แล้วแก้ เป็น Use..... ดั่งรูป

ก้อปไม่ได้ก้อัดสะเลย อันนี้สำคํยมากสำหับคนชอบก้อบของมีลิขสิทธิ์ Grin Grin
นานๆจะซื้อซีดีเพลงสักทีแผ่นนึง(ของแท้) เมื่อใส่แผ่นซีดีก้จะเจอ Autorun มีวินโดว์สำหรับเล่นเพลงออกมา การเล่นปกติไม่มีปัญหาอะไร เพียงแต่ไม่ทราบชื่อเพลง ทีมีแค่ทำว่า Track 1 Track2 Track3
ใช้โปรแกรม windows explrer เปิดดูในซีดี พบว่ามีสกุล wma นั้น ไม่สามารถก้อปปี้ออกมาเล่นเหมือนไฟล์ wma ทั่วไป แต่ละไฟล์มีขนาดแค่ 6 KB เท่านั้น (แปลกป่าววว) Roll Eyes
ด้วยความสงสัย เลยเปิดดูไฟล์อื่นๆ ที่อยุ่ในแผ่น แล้วก้รุ้ว่าในแผ่นมีโปรแกรม PFC ไม่แปลกใจเลยที่ว่าทำไม ไฟล์มีขนาดแค่ 6KB เพราะโปรแกรมตัวนี้นี้เอง ไฟล์เพลงของจริงอาจถูกซ่อนไว้หรือเข้ารหัสด้วยกรรมวิธีของ PFC นั้นแหละ ผมสังเกตึด่านล่างของเพลงมีปุ่ม save alubum คลิกปุ่มดั่งกล่าวว โปรแกรมทำการบันทึงเพลง ทุกเพลงมีขนาด 6 Mb ตามปกติ เมือทดลองเปิดเพลงก้ไม่มีปัญ่งหมดไปฟังไวหาอะไร
ด้วยความอยากเอาเพลง ทั่งหมดมาไว้ในเครื่อง จึงเอาเพลลงทั่งก้อปลงเครื่อง ก้อปเสจเรียบร้อบ พอกดเปิดเพลง มันบอก เพลงดั่งกล่าวถูกป้องกันการดาวโหลดจากอินเตอร์เน็ต สรุปเพลงเล่นไม่ได้
เพลงนี้เปนไฟล์คือค่าใน refitry จะแกะหรือไม่นั้นพั กก่อนเถอะ ผมมีโปรแกรมเด็ดโปรแกรมนึง นั้นคือ Record Anythin สรรพคุณเบื่องต้นบอกไว้ว่า สามารถบันทึกเสียงจากลำโพงได้ (แจ๋วจริง) Cheesy
ขอไม่อธิบายการใช้โปรแกรม บอกแค่เทคนิคใช้หรือวิธีเบื้องต้น
- เวลาบันทึกเพลงไม่ควรเปิดดังจนเกินไป เอาแค่คนปกติฟัง อย่าดังมากหรือค่อยจนเกินไป Cool
- ให้โปรแกรมช่วยหาระดับเสียงที่เหมาะสม Optional


แต่ ระวังเอาไปเผยแพร่โโนจับติดคุกไม่รุ้ด้วยน่าาาา

วิธีการแฮกเว็บ อัพโหลดไฟล์หรือแก้การโดนบล็อคเราเตอร์ห้ามเข้าเว็บ (ไม่ใช้แฮกหรอกทริคตาหากกก) Evil
เช่น เราจะโหลดไฟล์จากเว็บ savefile แต่มันให้โหลดได้แค่ที่ละ2ไฟล์ หรือ เราโดนบล็อคห้ามเข้าเว็บนั้นๆ ผมมีวิธีแก้ครับ คือเราใช้เว็บบราวเซอร์ Fire Fox โหลด เราก็เปลี่ยนมาเป็น IE (อันนนี้แก้ได้เฉพาะดาวโหลดเท่านั้น) ถ้าโโนบล็อคเว็บๆนึงแล้วจำเปนที่เราต้องเข้าก็ ลบเว็บบราวเซอร์?ที่โดนลบ แล้วติดตั่งใหม่ ก็เข้าได้แล้วครับบ(อันนี้ได้2อย่างเลย ทั่งดาวโหลดและบล็อค(ว่าไม่ต้องถึงขึ้นลบและติดตั่งใหม่หรอกโหลดไฟล์อ่ัะ เหอะๆ (รอมันโหลดเสจยังคุ้มกว่าเลย))) ) Sad Sad ง่ายป่ะ

แฮกบอร์ด phpBB
1. ให้ท่านหาเว็บที่เป็นเป้าหมายที่ใช้เว็บบอร์ด phpbb นะครับ แต่เว็บบอร์ดที่มาพร้อมกับ nuke นั้นยัง
ไม่สามารถทำได้ แต่ถ้าเป็นเว็บบอร์ดที่เป็น phpbb นั้นมีสิทธได้ 80% ครับ สังเกตได้จาก คำว่า Powered by phpBB 2.0 . 11 © 2001, 2002 phpBB Group นะครับ ถ้าเป็น 2005 ส่วนมากไม่ได้ครับ

2. ให้ไปโหลดโปรแกรม Mozilla Firefox ในลิ้งค์นี้เลยครับ

ให้เอาตัวที่ชื่อว่า Mozilla Firefox 1.0.1 pop เลือกตรงคำว่า download แค่นี้แระครับจากนั้นก็รอๆๆๆๆ
ให้โหลด ให้เสร็จก็พอแล้ว แล้วก็อย่าลืม install มันด้วยล่ะ

3. หลังจากนั้นเปิดโปรแกรม Mozilla Firefox แล้วก็ใส่เว็บบอร์ด phpbb ที่เป็นเป้าหมายของเรา ปล่อย
ให้มันโหลดจนเเต็มหน้าก่อน

ซึ่งตอน นี้เรายังไม่ได้รีจีส(register)ชื่อด้วยซ้ำ หลังจากโหลดจนเต็มหน้า แ้ล้วก็ปิดกดปิดโปรแแกรม

4. เข้าไปที่
โค้ด:C:\Documents and Settings\Administrator\Application
Data\Mozilla\Firefox\Profiles\ur4nn6o5.default แล้วก็มองหาคำว่า cookies.txt

หมายเหตุบางท่านอาจจะมองไม่เห็นคำว่า Application Data ก็ให้ทำ ตามรูปด้านล่าง ครับ ไปเลือกที่คำ
ว่า เครื่องมือ แล้วไปที่คำว่า มุมมอง ให้คลิ๊กที่ช่อง ที่ลูกศร ชี้เลยครับ ส่วนของใครเป็นภาษาอังงกฤษ
ก็ลองเองครับ คงไม่อยากเกินไป หลังจากเจอแล้วก็ทำดามที่บอกไว้เลย

6. หลังจากนั้นให้ท่าน ก๊อป โค้ด:a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bb%3A1%
3Bs%3A6%3A%22userid%22%3Bs%3A1%3A%222%22%3B%7D

สิ่ง ที่เห็นนี้ไปวางแทน คำว่า a%3A0%3A%7B%7D

ก็จะได้ในรูปแบบนี้

โค้ด:# HTTP Cookie File
# http://www.netscape.com/newsref/std/cookie_spec.html
# This is a generated file! Do not edit.
# To delete cookies, use the Cookie Manager.

โค้ด:www.host.com FALSE / FALSE 1142280655 phpbb2mysql_data a%3A2%3A%7Bs%3A11%
3A%22autologinid%22%3Bs%3A32%3A%22e7cd55de2ea3a157cd9d6161c5d329c6%22%
3Bs%3A6%3A%22userid%22%3Bi%3A2%3B%7D
.google.co.th TRUE / FALSE 2147368455 PREF
ID=321c995cdee9d9c9:LD=th:TM=1110728380:LM=1110728380:S=Y8aS-E1kX7uHp5CD

หมาย เหตุ www.host.com ที่เป็นตัวสีแดงหมายถึง เว็บเป้าหมายที่คุณเข้า ส่วนตัวเลข 1142280655
ก็จะไม่เป็นตามตัวนี้แล้ว แต่เว็บที่คุณเข้าไปครับ

จากนั้นมั่นใจก็กด save ครับ save cookies.txt นั่นแระครับ

7. จากนั้นเปิดโปรแกรม mozzila มาอีกครั้งหนึ่งครับ ใส่เว็บเป้าหมายอีกครั้งหนึ่ง คราวนี้สังเกตุการ
เปลี่ยน แปลงครับ
8. หลังจากนั้นคุณก็จะเป็น admin อย่างเต็มตัวครับ จากนั้นจะแก้จะทำอะไรก็ได้แล้วแต่คุณ

คำเตือน เพื่อการศึกษาเท่านั้นไม่ควรนำไปใช้ในทางที่ผิด!!!!!

ซอฟท์แวร์ sniffer
เป็นสามาถทำความเสียหายให้กับเน็ตเวิร์คนั้นได้อย่าง แท้จริง ในสมัยก่อน sniffer ใช้
ฮาร์ดแวร์ ที่มีขนาดใหญ่ซึ่งต่อเข้ากับเน็ตเวิร์คและเฝ้าดูการติดต่อสื่อสารที่ผ่านไป มาในเน็ตเวิร์ค แต่ในปัจจุปัน sniffer เป็นเพียงซอฟท์แวร์ง่าย ๆ ที่สามารถทำงานได้บนยูนิกซ์ ลีนุกซ์ หรือแม้แต่วินโดวส์ สิ่งที่ sniffer สามารถทำความเสียหายให้กับเน็ตเวิร์คคือ มันสามารถดักจับการสื่อสารที่กำลังดำเนินอยู่ รวมถึง
รหัสผ่านและข้อมูล ที่มีความสำคัญ โดยทฤษฏีแล้ว sniffer จะไม่สามารถหาเจอได้ ไม่แสดงตัวให้เห็น
และทำงานเพียงแต่ดักจับข้อมูลเท่านั้น อย่างไรก็ตาม เป้าหมายของมักจะเป็นเครื่องที่ใช้ยูนิกซ์หรือลีนุกซ์
(เพราะง่ายสำหรับ การเซ็ตอัป sniffer) จึง มีวิธีที่จะหา sniffer ที่กำลังรันอยู่ในเครื่องที่ใช้ลีนุกซ์โดยทั่วไป
วิธี การตรวจสอบว่าเครื่องของคุณกำลังรัน sniffer อยู่เหรือไม่ ถ้าเครื่องของคุณใช้ยูนิกซ์ ผู้โจมตีที่สามารถได้สิทธิ์ของ root สามารถรัน sniffer เพื่อให้สามารถเข้าถึงเน็ตเวิร์คได้มากขึ้น (เช่นเพื่อให้ได้รหัสผ่านของโฮสต์อื่นในเน็ตเวิร์ค)การตรวจหาโปรเซสที่รัน sniffer นั้น ยากเพราะชื่อของโปรเซสสามารถซ่อนในชื่อซึ่งดูไม่มีอันตรายได้ นอกจากนี้ยังอาจโปรแกรมที่เกี่ยวข้อง ที่มีโทรจันฮอร์สอยู่ในโปรแกรมได้ด้วย (ในกรณีนี้ผู้โจมตีไม่จำเป็นต้องมีสิทธิ์ของ root ในเครื่องนั้น เพียงแต่
ใส่ โทรจันไว้ในโปรแกรมแล้วรอให้ผู้บริหารระบบรันมันเท่านั้นเอง) เพียงวิธีเดียวที่สามารถตรวจหา sniffer คือ การตรวจดูว่า network interface อยู่ใน promiscuous mode หรือไม่ ซึ่งหมายความว่ามันดักจับการสื่อสารทั้งหมดในเน็ตเวิร์คทั้งหมดไม่เพียงแต่ การสื่อสารที่มีปลายทางที่เครื่องนั้นเท่านั้น เครื่องที่ใช้ยูนิกซ์ไม่ควรอยู่ในโหมด promiscuous ถ้าไม่มีเหตุจำเป็นจริง ๆ ดังนั้นเครื่องที่อยู่ใน promiscuous mode จึงเป็นเครื่องบ่งชี้ว่ามี sniffer รันอยู่ที่นั่น มีโปรแกรมหนึ่งที่สามารถตรวจได้ว่า network interface อยู่ใน promiscuous
หรือไม่คือ CPM (check Promiscuous Mode) ของ Carnegie Mellon University อีกวิธีการหนึ่งคือการใช้คำสั่ง: ifconfig -a ซึ่งจะบอกถึง network interface ที่มีทั้งหมดและแสดงข้อมูลเกี่ยวกับมันทั้งหมด
คำว่า PROMISC หมายถึง network interface นั้นอยู่ใน promiscuous mode ถ้าใช้คำสั่ง:
ifconfig -a | grep PROMISC
จะแสดงผลออกมาให้เห็นถ้า network interface
อยู่ใน promiscuous mode (สามารถประยุกต์ใช้ใน cron เพื่อตรวจเป็นรายชั่วโมง หรือรายวันเพื่อหา sniffer ที่กำลังรันอยู่)
ข้อควรสังเกตคือบางครั้ง โปรแกรม ifconfig จะถูกเปลี่ยนแปลงโดยผู้โจมตีเพื่อไม่ให้ตรวจพบ sniffer จึงควรใช้โปรแกรม
checksum (หรือ MD5 signature) เพื่อทำหลักฐานไว้ให้แน่ใจว่าโปรแกรมนี้จะไม่ถูกเปลี่ยนแปลงไป

วิธี การตรวจหา sniffer ที่อยู่ในเครื่องอื่นในเน็ตเวิร์ค
วิธีการตรวจหานี้ ยากมาก(และบางครั้งก็เป็นไปไม่ได้)
แต่การตรวจดูว่าเครื่องที่ใช้ลีนุกซ์ นั้นมี sniffer ที่กำลัง รันอยู่หรือไม่มีวิธีที่สามารถทำได้โดยการใช้ประโยชน์จากจุดอ่อน
ในการ ดำเนินการเกี่ยวกับ TCP/IP stack ของลีนุกซ์ ถ้าเครื่องที่ใช้ลีนุกซ์เครื่องนั้นอยู่ใน promiscuous mode มันจะตอบ
TCP/IP packet ที่ถูกส่งถึง IP ของมันถึงแม้ว่า MAC address ของ packet นั้นจะผิดก็ตาม (โดยปกติ packet ที่มี MAC address ที่ผิดจะไม่รับคำตอบเพราะ network interface จะไม่สนใจมัน)
ดังนั้นการ ส่ง TCP/IP packet ไปยังทุก ๆ IP address ที่อยู่ใน subnet นั้นโดยให้ MAC address ที่ผิด
ก็ จะสามารถบอกคุณได้ว่าลีนกซ์เครื่องใดที่อยู่ใน promiscuous mode (คำตอบจากเครื่องเหล่านี้จะเป็น RST packet) ถึงแม้ว่าวิธีนี้จะไม่เป็นวิธีที่ตรวจสอบได้อย่างแน่นอนแต่ก็สามารถตรวจหา กิจกรรมที่น่าสงสัยในเน็ตเวิร์คได้

วิธีหลีกเลี่ยงจากการถูกดักจับ packet จาก sniffer
Active hubs จะส่งข้อมูลไปยังเป้าหมายที่ต้องการเท่านั้น
วิธี นี้สามารถป้องกัน sniffer ได้เนื่องจากมันไม่สามารถรับ packet ที่ไม่ตั้งใจส่งไปยังเครื่องที่ต้องการ Cisco, HP และ 3Com มีผลิตภัณฑ์ที่ใช้ Active hubs ยูทิลิตี้อื่น ๆ CPM (ตรวจว่าเครื่องนั้นอยู่ใน promicuous หรือไม่)
http://ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/
โปรแกรม AntiSniff และ Neped เป็นเครื่องมือที่ดีเยี่ยมสำหรับการตรวจหา sniffer ในเน็ตเวิร์คนั้น Sniffer Utilities

Programing
Essential NetTools : เป็นชุดของเครื่องมือที่จำเป็นสำหรับเครือข่ายและควบคุมการต่อเครือข่ายของ คอมพิวเตอร์ของคุณ โดยมี NetStat : ซึ่งจะแสดงรายการต่อเครือข่ายของเครื่องคอมพิวเตอร์ของคุณ, ข้อมูลในการเปิด Port TCP และ UDP , IP address, และสถานะของการต่อ, NBScan: เป็น Scanner NetBIOS ที่สามารถทำงานได้อย่างมีประสิทธิภาพและรวดเร็ว ,PortScan: เป็น Scanner ที่ก้าวหน้าสำหรับ Scan TCP Port ที่ช่วยให้คุณสามารถ Scan เครือข่ายของคุณสำหรับ Port ที่ใช้อยู่, Shares: ควบคุมและบันทึกการติดต่อกับภาพนอกกับข้อมูลในเครื่องของคุณที่ Share ไว้, SysFiles: เป็นเครื่องมือแก้ไขสำหรับไฟล์ระบบ, NetAudit (NetBIOS Auditing Tool): ให้คุณสามารถตรวจสอบความปลอดภัยของเครือข่ายและ/หรือเครื่องคอมพิวเคอร์แต่ ละเครื่องของคุณ, RawSocket: ให้คุณสามารถสร้างการติดต่อ TCP และ UDP ระดับต่ำ, ฯลฯ

Note : โปรแกรมนี้ มีคุณสมบัติเป็น Shareware นะครับ ทางผู้พัฒนา โปรแกรม (Program Developer) เขาได้ท่านได้นำไปใช้กันก่อน ในบาง ความสามารถ (Feature) ของโปรแกรม นะครับผม หาก ถ้าท่านต้องการจะใช้ต่อกันในแบบ ตัวเต็มๆ (Full Version) หรือ แบบไม่มี การจำกัดเวลา (No Time Limit) ละก็ ท่านจะต้อง เสียค่าลงทะเบียน (Register) เป็นเงินจำนวน $29.00 ครับ ..

important tools:
1) IP Address Scanner
2) IP Calculator
3) IP Converter
4) Port Listener
5) Port Scanner
6) Ping
7) NetStat (2 ways)
Glasses Trace Route (2 ways)
9) TCP/IP Configuration
10) Online - Offline Checker
11) Resolve Host & IP
12) Time Sync
13) Whois & MX Lookup
14) Connect0r
15) Connection NO and protector
16) Net Sender
17) E-mail seeker
1Glasses Net Pager
19) Active and Passive port scanner
20) Spoofer
21) Hack Trapper
22) HTTP flooder (DoS)
23) Mass Website Visiter
24) Advanced Port Scanner
25) Trojan Hunter (Multi IP)
26) Port Connecter Tool
27) Advanced Spoofer
2Glasses Advanced Anonymous E-mailer
29) Simple Anonymous E-mailer
30) Anonymous E-mailer with Attachment Support
31) Mass E-mailer
32) E-mail Bomber
33) E-mail Spoofer
34) Simple Port Scanner (fast)
35) Advanced Netstat Monitoring
36) X Pinger
37) Web Page Scanner
3Glasses Fast Port Scanner
39) Deep Port Scanner
40) Fastest Host Scanner (UDP)
41) Get Header
42) Open Port Scanner
43) Multi Port Scanner
44) HTTP scanner (Open port 80 subnet scanner)
45) Multi Ping for Cisco Routers
46) TCP Packet Sniffer
47) UDP flooder
4Glasses Resolve and Ping
49) Multi IP ping
50) File Dependency Sniffer
51) EXE-joiner (bind 2 files)
52) Encrypter
53) Advanced Encryption
54) File Difference Engine
55) File Comparasion
56) Mass File Renamer
57) Add Bytes to EXE
5Glasses Variable Encryption
59) Simple File Encryption
60) ASCII to Binary (and Binary to ASCII)
61) Enigma
62) Password Unmasker
63) Credit Card Number Validate and Generate
64) Create Local HTTP Server
65) eXtreme UDP Flooder
66) Web Server Scanner
67) Force Reboot
6Glasses Webpage Info Seeker
69) Bouncer
70) Advanced Packet Sniffer
71) IRC server creater
72) Connection Tester
73) Fake Mail Sender
74) Bandwidth Monitor
75) Remote Desktop Protocol Scanner
76) MX Query
77) Messenger Packet Sniffer
7Glasses API Spy
79) DHCP Restart
80) File Merger
81) E-mail Extractor (crawler / harvester bot)
82) Open FTP Scanner
83) Advanced System Locker
84) Advanced System Information
85) CPU Monitor
86) Windows Startup Manager
87) Process Checker
8Glasses IP String Collecter
89) Mass Auto-Emailer (Database mailer; Spammer)
90) Central Server (Base Server; Echo Server; Time Server; Telnet Server; HTTP Server; FTP Server)
91) Fishing Port Scanner (with named ports)
92) Mouse Record / Play Automation (Macro Tool)
93) Internet / LAN Messenger Chat (Server + Client)
94) Timer Shutdown/Restart/Log Off/Hibernate/Suspend/ Control
95) Hash MD5 Checker
96) Port Connect - Listen tool
97) Internet MAC Address Scanner (Multiple IP)
9Glasses Connection Manager / Monitor
99) Direct Peer Connecter (Send/Receive files + chat)
100) Force Application Termination (against Viruses and Spyware)
101) Easy and Fast NO Maker (also Web Hex Color Picker)
102) COM Detect and Test
103) Create Virtual Drives
104) URL Encoder
105) WEP/WPA Key Generator
106) Sniffer.NET
107) File Shredder
108) Local Access Enumerater
109) Steganographer (Art of hiding secret data in pictures)
110) Subnet Calculater
111) Domain to IP (DNS)
112) Get SNMP Variables
113) Internet Explorer Password Revealer
114) Advanced Multi Port Scanner
115) Port Identification List (+port scanner)
116) Get Quick Net Info
117) Get Remote MAC Address
118) Share Add
119) Net Wanderer
120) WhoIs Console
121) Cookies NO
122) Hide Secret Data In Files
123) Packet Generator
124) Secure File Splitting
125) My File Protection (Password Protect Files, File Injections)
126) Dynamic Switch Port Mapper
127) Internet Logger (Log URL)
128) Get Whois Servers
129) File Split&Merge
130) Hide Drive
131) Extract E-mails from Documents
132) Net Tools Mini (Client/Server, Scan, ICMP, Net Statistics, Interactive, Raw Packets, DNS, Whois, ARP, Computer's IP, Wake On LAN)
133) Hook Spy
134) Software Uninstaller
135) Tweak & Clean XP
136) Steganographic Random Byte Encryption
137) NetTools Notepad (encrypt your sensitive data)
138) File Encrypter/Decrypter
139) Quick Proxy Server
140) Connection Redirector (HTTP, IRC, ... All protocols supported)
141) Local E-mail Extractor
142) Recursive E-mail Extractor
143) Outlook Express E-mail Extractor
144) Telnet Client
145) Fast Ip Catcher
146) Monitor Host IP
147) FreeMAC (MAC Address Editor)
148) QuickFTP Server (+user accounts support)
149) NetTools Macro Recorder/Player (Keybord and Mouse Hook)
150) Network Protocol NO
151) Steganographic Tools (Picture, Sounds, ZIP Compression and Misc Methods)
152) WebMirror (Website Ripper)
153) GeoLocate IP
154) Google PageRank Calculator
155) Google Link Crawler (Web Result Grabber)
156) Network Adapter Binder
157) Remote LAN PC Lister
158) Fast Sinusoidal Encryption
159) Software Scanner
160) Fast FTP Client
161) Network Traffic NO
162) Network Traffic Visualiser
163) Internet Protocol Scanner
164) Net Meter (Bandwidth Traffic Meter)
165) Net Configuration Switcher
166) Advanced System Hardware Info
167) Live System Information
168) Network Profiler
169) Network Browser
170) Quick Website Maker and Web Gallery Creator
171) Remote PC Shutdown
172) Serial Port Terminal
173) Standard Encryptor
174) Tray Minimizer
175) Extra Tools (nmap console & win32 version)


โปรแกรมแฮก Pass
- Msn
- Yahoo
- Messenger
- ICQ
- Hotmail
- Man Explorer
- IE
- outlook Express
- Dial-Up
- RAS
- VPN
โหลดเวอร์ชั่นล่าสุดที่เว็บ นี้:: www.nirsoft.net

ไม่รุ้แล้วว่ามีโปรแกรมไรอีก (ส่วนใหญ่ไม่ใช้โปรแกรม) Huh? Huh?

Tip esn....
sniFFer
ซอฟท์แว ร์ sniffer
เป็นสามาถทำความเสียหายให้กับเน็ตเวิร์คนั้นได้อย่าง แท้จริง ในสมัยก่อน sniffer ใช้
ฮาร์ดแวร์ ที่มีขนาดใหญ่ซึ่งต่อเข้ากับเน็ตเวิร์คและเฝ้าดูการติดต่อสื่อสารที่ผ่านไป มาในเน็ตเวิร์ค แต่ในปัจจุปัน sniffer เป็นเพียงซอฟท์แวร์ง่าย ๆ ที่สามารถทำงานได้บนยูนิกซ์ ลีนุกซ์ หรือแม้แต่วินโดวส์ สิ่งที่ sniffer สามารถทำความเสียหายให้กับเน็ตเวิร์คคือ มันสามารถดักจับการสื่อสารที่กำลังดำเนินอยู่ รวมถึง
รหัสผ่านและข้อมูล ที่มีความสำคัญ โดยทฤษฏีแล้ว sniffer จะไม่สามารถหาเจอได้ ไม่แสดงตัวให้เห็น
และทำงานเพียงแต่ดักจับข้อมูลเท่านั้น อย่างไรก็ตาม เป้าหมายของมักจะเป็นเครื่องที่ใช้ยูนิกซ์หรือลีนุกซ์
(เพราะง่ายสำหรับ การเซ็ตอัป sniffer) จึง มีวิธีที่จะหา sniffer ที่กำลังรันอยู่ในเครื่องที่ใช้ลีนุกซ์โดยทั่วไป
วิธี การตรวจสอบว่าเครื่องของคุณกำลังรัน sniffer อยู่เหรือไม่ ถ้าเครื่องของคุณใช้ยูนิกซ์ ผู้โจมตีที่สามารถได้สิทธิ์ของ root สามารถรัน sniffer เพื่อให้สามารถเข้าถึงเน็ตเวิร์คได้มากขึ้น (เช่นเพื่อให้ได้รหัสผ่านของโฮสต์อื่นในเน็ตเวิร์ค)การตรวจหาโปรเซสที่รัน sniffer นั้น ยากเพราะชื่อของโปรเซสสามารถซ่อนในชื่อซึ่งดูไม่มีอันตรายได้ นอกจากนี้ยังอาจโปรแกรมที่เกี่ยวข้อง ที่มีโทรจันฮอร์สอยู่ในโปรแกรมได้ด้วย (ในกรณีนี้ผู้โจมตีไม่จำเป็นต้องมีสิทธิ์ของ root ในเครื่องนั้น เพียงแต่
ใส่ โทรจันไว้ในโปรแกรมแล้วรอให้ผู้บริหารระบบรันมันเท่านั้นเอง) เพียงวิธีเดียวที่สามารถตรวจหา sniffer คือ การตรวจดูว่า network interface อยู่ใน promiscuous mode หรือไม่ ซึ่งหมายความว่ามันดักจับการสื่อสารทั้งหมดในเน็ตเวิร์คทั้งหมดไม่เพียงแต่ การสื่อสารที่มีปลายทางที่เครื่องนั้นเท่านั้น เครื่องที่ใช้ยูนิกซ์ไม่ควรอยู่ในโหมด promiscuous ถ้าไม่มีเหตุจำเป็นจริง ๆ ดังนั้นเครื่องที่อยู่ใน promiscuous mode จึงเป็นเครื่องบ่งชี้ว่ามี sniffer รันอยู่ที่นั่น มีโปรแกรมหนึ่งที่สามารถตรวจได้ว่า network interface อยู่ใน promiscuous
หรือไม่คือ CPM (check Promiscuous Mode) ของ Carnegie Mellon University อีกวิธีการหนึ่งคือการใช้คำสั่ง: ifconfig -a ซึ่งจะบอกถึง network interface ที่มีทั้งหมดและแสดงข้อมูลเกี่ยวกับมันทั้งหมด
คำว่า PROMISC หมายถึง network interface นั้นอยู่ใน promiscuous mode ถ้าใช้คำสั่ง:
ifconfig -a | grep PROMISC
จะแสดงผลออกมาให้เห็นถ้า network interface
อยู่ใน promiscuous mode (สามารถประยุกต์ใช้ใน cron เพื่อตรวจเป็นรายชั่วโมง หรือรายวันเพื่อหา sniffer ที่กำลังรันอยู่)
ข้อควรสังเกตคือบางครั้ง โปรแกรม ifconfig จะถูกเปลี่ยนแปลงโดยผู้โจมตีเพื่อไม่ให้ตรวจพบ sniffer จึงควรใช้โปรแกรม
checksum (หรือ MD5 signature) เพื่อทำหลักฐานไว้ให้แน่ใจว่าโปรแกรมนี้จะไม่ถูกเปลี่ยนแปลงไป

วิธี การตรวจหา sniffer ที่อยู่ในเครื่องอื่นในเน็ตเวิร์ค
วิธีการตรวจหานี้ ยากมาก(และบางครั้งก็เป็นไปไม่ได้)
แต่การตรวจดูว่าเครื่องที่ใช้ลีนุกซ์ นั้นมี sniffer ที่กำลัง รันอยู่หรือไม่มีวิธีที่สามารถทำได้โดยการใช้ประโยชน์จากจุดอ่อน
ในการ ดำเนินการเกี่ยวกับ TCP/IP stack ของลีนุกซ์ ถ้าเครื่องที่ใช้ลีนุกซ์เครื่องนั้นอยู่ใน promiscuous mode มันจะตอบ
TCP/IP packet ที่ถูกส่งถึง IP ของมันถึงแม้ว่า MAC address ของ packet นั้นจะผิดก็ตาม (โดยปกติ packet ที่มี MAC address ที่ผิดจะไม่รับคำตอบเพราะ network interface จะไม่สนใจมัน)
ดังนั้นการ ส่ง TCP/IP packet ไปยังทุก ๆ IP address ที่อยู่ใน subnet นั้นโดยให้ MAC address ที่ผิด
ก็ จะสามารถบอกคุณได้ว่าลีนกซ์เครื่องใดที่อยู่ใน promiscuous mode (คำตอบจากเครื่องเหล่านี้จะเป็น RST packet) ถึงแม้ว่าวิธีนี้จะไม่เป็นวิธีที่ตรวจสอบได้อย่างแน่นอนแต่ก็สามารถตรวจหา กิจกรรมที่น่าสงสัยในเน็ตเวิร์คได้

วิธีหลีกเลี่ยงจากการถูกดักจับ packet จาก sniffer
Active hubs จะส่งข้อมูลไปยังเป้าหมายที่ต้องการเท่านั้น
วิธี นี้สามารถป้องกัน sniffer ได้เนื่องจากมันไม่สามารถรับ packet ที่ไม่ตั้งใจส่งไปยังเครื่องที่ต้องการ Cisco, HP และ 3Com มีผลิตภัณฑ์ที่ใช้ Active hubs ยูทิลิตี้อื่น ๆ CPM (ตรวจว่าเครื่องนั้นอยู่ใน promicuous หรือไม่)
http://ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/
โปรแกรม AntiSniff และ Neped เป็นเครื่องมือที่ดีเยี่ยมสำหรับการตรวจหา sniffer ในเน็ตเวิร์คนั้น Sniffer Utilities

1. วิธีที่ 1. Sniffer : ความเดือดร้อนโดยตรงที่ผู้ใช้ได้รับ และผมช่วยไม่ได้ ทุกตัวอักษรที่ท่านพิมพ์ผ่าน browser จะถูก Hacker มองเห็นหมด ถ้าเขาคิดจะทำ และอยู่ในระบบ LAN วงเดียวกับท่าน และเว็บที่ท่านส่งข้อมูลไม่มีบริการ SSL รองรับ ซึ่งมีเว็บมากกว่า 80% ที่ยังไม่มี ssl ไว้บริการ (ตัวเลขนี้ประมาณ เพราะเห็นบริการ ssl น้อยมาก ถ้าไม่ใช้ e-commerce)
2. Netscape mail, Outlook, Eudora ที่ใช้บริการ POP3 ทุกครั้งที่ท่านเปิด get mail ใหม่ Hacker จะสามารถเห็นรหัสผ่าน และข้อมูลใน mail ทุกฉบับที่ท่านได้รับ ซึ่งมักเป็นคนในระบบเครือข่ายของท่าน แต่คนนอกก็ทำได้ ถ้า Server ที่ท่านเปิดบริการ ถูกใช้เป็นเครื่องมือ hack คนในองค์กรซะเอง
3. Telnet เป็นระบบที่ผมทดสอบ hack ตัวแรก ทุกครั้งที่ท่านพิมพ์อักษรใน telnet hacker จะเห็นหมด และเห็นทีละตัวอักษร ไม่ได้เห็นเป็นชุด ๆ แบบข้อมูลใน Browser
4. เกือบทุกฟรี e-mail ในไทย ยังไม่มี ssl ดังนั้นทันทีที่ท่าน พิมพ์ username และ password hacker ในร้าน net จะจับข้อมูลของท่านได้หมดว่าใช้อะไร
5. hotmail.com หรือ yahoo.com จะปลอดภัยเฉพาะหน้าแรก ส่วนหน้าที่เหลือ hacker จะเห็นหมด และหน้าแรกจะปลอดภัย ต่อเมื่อท่านเลือกที่จะรักษาความปลอดภัยเท่านั้น

Sniffer คือโปรแกรมที่ hacker ใช้จับ package ที่ส่งกันไปมาใน Internet เมื่อก่อนผมเข้าใจว่าต้อง run เฉพาะใน server ประเภท unix เท่านั้น แต่คุณประเสริฐ ไปหามาให้ผมได้ลอง ซึ่งสามารถใช้งานบน windows และมี option ให้เลือกจับ switch ได้ด้วย (จับ switch ผมยังไม่ได้ทดสอบ เพราะในระบบไม่มีใช้)
เช่น นักเรียนประถม 4 ที่มีพี่เรียนในมหาวิทยาลัย แนะนำให้นำโปรแกรมขนาด 30 Mb ใช้เวลา install บน windows แบบ click อย่างเดียว ไม่ถึง 10 นาที ไป install ในเครื่องที่โรงเรียน โปรแกรมนี้สามารถเลือกจับเป็นเครื่องได้ ว่าต้องการจับเครื่องใด หรือ switch ตัวใด ทันทีที่ครูใช้ telnet เข้าไปใน server เครื่องใดก็ตาม เด็กป.4 คนนั้นก็จะทราบรหัสผ่าน su ได้ทันที .. ต่อจากนั้นก็แล้วแต่โชคชะตาของ server หละครับ (ตัวอย่างครับ แค่ตัวอย่าง)
ถึงแม้ sniffer จะป้องกันยาก แต่ก็ป้องกันได้ด้วย ssh และ ssl ท่านสามารถหารายละเอียดได้จากเจ้าของระบบปฏิบัติการ ว่ามีโปรแกรมสนับสนุน 2 มาตรฐานดังกล่าวอย่างไร ในส่วนของ ssl ที่ผู้บริการไม่ค่อยนำมาใช้ เพราะโดยปกติ ต้องเสียเงินซื้อ
พบโปรแกรม ของ Cain & Abel v2.9 เป็น Sniffer ที่เพื่อนผมทดสอบ และก็ทำงานได้จริงในเครือข่ายที่ใช้ Hub [Download. 5 MB]
ผู้ดูแลอาจนำไปทดสอบระบบของตนเองว่าปลอดภัยหรือไม่ .. แต่เป็นดาบสองคม ถ้าผู้ไม่ประสงค์ดีนำไปใช้ในเครือข่ายที่ไม่ให้ความสำคัญกับความปลอดภัย
.
วิธีที่ 2. Frontal attack
โจมตีแบบตรง ๆ ให้ Server ล้ม ซึ่งเคยมีข่าวว่า hacker ได้ใช้ server ทั่วโลกที่ยึดได้ ส่งคำสั่งโจมตีไปที่ yahoo.com จนทำให้ server ของเขา ต้องปิดบริการไปชั่วขณะ นี่เป็นเพียง case หนึ่ง เพราะมีวิธีอีกมากมายที่จะทำให้ server หยุดบริการไป แต่ปัญหานี้อาจไม่ร้ายแรงสำหรับผู้ที่ทำ server ที่ไม่เป็นธุรกิจ เพราะหลังจากล่มไป ก็ boot ใหม่ หรือเข้าไปหาสาเหตุ และก็แก้ไขไปตามนั้น ก็สามารถกลับมาบริการได้เหมือนเดิม เพราะผู้ที่โจมตีจะต้องมีเครื่อง และก็ต้องใช้เครื่องให้ทำงานหนัก แต่ผมการโจมตีคือการก่อกวน ไม่ได้เป็นการยึด site ผลการโจมตีแบบนี้ แค่ก่อความรำคาญเท่านั้น
วิธีที่ 3. Exploiting a security bug or loophole
เรื่องนี้เป็นเรื่องใหญ่สำหรับ sysadmin เพราะระบบทุกระบบที่มีอยู่จะมีตั้งแต่ตอบติดตั้งระบบเสร็จ ทันที่ที่ติดตั้งเสร็จ ระบบก็มีจุดบกพร่องที่จะให้ hacker เข้ามาในระบบในฐานะ superuser ได้ ผู้ดูแลจะต้องหาโปรแกรมมา update ให้ทันสมัย เมื่อสมบูรณ์แล้ว ก็ต้องหมั่นเข้าไปอ่านข่าวใน internet เช่นที่ securityfocus.com เพราะถ้า hacker ทราบวิธีเจาะระบบ ซึ่งเป็นวิธีใหม่ที่พบกันเกือบทุกเดือน ก่อนท่าน update ระบบของท่านก็จะถูก hack ได้ทันที มีข่าวอยู่บ่อย ที่ระบบใน server ระดับโลกถูก hack เช่น apache.org, sourceforge.net, isinthai.com เป็นต้น โดยเฉพาะ isinthai.com ผมเขียนเหตุการเกี่ยวกับการถูก hack ไว้ 10 กว่าครั้ง ซึ่งอาจถึง 20 ในไม่ช้าก็ได้ เพราะปัญหาของการไม่ upgrade ระบบให้ทันกับความรู้ของ hacker

ข่าวและบทความHack
1. ไม่มีใครปลอดภัย
    ผู้ดูแลระบบมักคิดว่าติดตั้งเครื่องเสร็จแล้วเป็นเสร็จ .. แต่ผมว่านั่นคือการเริ่มเปิดประตูปัญหาเท่านั้น
    Sysadmin มากมายไม่ทราบว่าระบบของตนมีจุดบกพร่อง เพราะมี sysadmin น้อยคนที่จะทำงานด้านดูแลระบบเพียงอย่างเดียว และมีเวลาเหลือพอ ที่จะติดตามข่าวสาร ผมว่าส่วนใหญ่ต้องมีงานล้นมือ เพียงทำให้ระบบเดิมได้ ก็พอใจกันแล้ว เช่น sysadmin ในสถาบันการศึกษาหลายแห่ง ต้องสอน เขียนโปรแกรม พัฒนาเว็บ เป็นอาจารย์ที่ปรึกษา รับเป็นวิทยากร เขียนตำรา ถ้าทำขนาดนี้ คงไม่มีเวลาศึกษาว่าระบบของตนมีจุดบกพร่องอะไรบ้าง และถ้าไม่เคยถูก hack มาก่อน ก็จะเข้าใจว่าระบบของตน สุดยอดปลอดภัย เหมือนบ้านที่ขโมยไม่เคยขึ้น แต่ถ้าบ้านใดขโมยขึ้นครั้งหนึ่ง เจ้าของก็จะเริ่มหากุญแจ หรือวิธีการ มาปกป้องบ้านของตนมากขึ้น
    จากการติดตามข่าวจาก securityfocus.com ทำให้มีข่าวพบจุดบกพร่องของระบบ ในเกือบทุกระบบปฏิบัติการอยู่ทุกเดือน ดังนั้น Server ที่ปลอดภัยในวันนี้ จึงอาจถูก hack ได้ในวันรุ่งขึ้น ถ้า sysadmin ไม่หมั่นติดตามข่าว และหาโปรแกรมมา upgrade ระบบของตน
    ถ้า server ไม่ปลอดภัย ก็จะรวนกันไปทั้งระบบ ตั้งแต่ข้อมูลไม่เป็นความลับ hacker เข้ามาเปลี่ยนรหัส ขโมยทุกอย่างที่ท่านมีอย่างง่ายดาย บางระบบ hacker เข้าไม่ได้ แต่เปิดช่องซึ่งเป็นจุดอ่อนที่จะทำให้ระบบล้มไป ถ้า hacker บางท่านว่าง ๆ หรือชอบลอง ก็มักจะมาทำให้ระบบล่มไป และ internet ที่เคยใช้ได้ทั้งองค์กร ก็จะกลายเป็นอัมภาตไปชั่วขณะ .. นี่คือความหายนะเล็ก ๆ เท่านั้น (นี่คือตัวอย่างเล็กน้อย เพราะที่สำคัญผมไม่อยากกล่าวถึง เกรงจะเป็นการแนะวิธี ในการสร้างปัญหาให้ผู้คน และระบบ)
    สรุปได้ว่า : ไม่มีใครปลอดภัย เพราะการสร้างระบบ internet ขึ้นมาครั้งแรก ผู้สร้างไม่คิดว่า internet จะไปได้ไกลขนาดนี้ หรือจะมี hacker ที่สร้างโปรกรมดักจับข้อมูล (Data package) ไปใช้ประโยชน์ต่อตนเอง แต่จะโทษผู้ออกแบบก็ไม่ถูก เพราะเมื่อ 20 ปีก่อน ใครจะไปคิดว่าผู้คนจะนิยม internet มากขนาดนี้ เมื่อก่อนแค่อ่าน mail อ่าน usenet news ก็เต็มที่แล้ว เมื่อผู้คนนิยมกันมากขึ้น ก็นำ internet เข้าบ้าน เข้าโรงเรียนมากขึ้น แต่ระบบเดิมส่งข้อมูลกันแบบ plain text ไม่ได้ทำการ encrypt ข้อมูลก่อนส่ง ด้วยหลักการอย่าง ssl หรือ ssh จึงทำให้เรื่องของความปลอดภัย เป็นเรื่องที่ sysadmin จะต้องศึกษาให้มากขึ้น มิเช่นนั้นก็จะมีเหยื่อรายใหม่ของ hacker หรือ sysadmin อาจเป็นเหยื่อซะเอง สำหรับผมเป็นมาแล้ว และไม่อยากให้เราคนไทย ต้องเป็นเหยื่อของความไม่รู้ และถูกคนที่มีความรู้ใช้ความรู้อย่างไม่ถูกต้อง มาทำร้ายเอา

2. การถูก Hack 3 วิธี
ผมขอใช้คำว่า ขู่ให้กลัว เพราะเรื่องนี้จะไม่กระทบบางท่านที่ไม่สนใจ แต่อาจกระทบบางท่านอย่างชัดเจน เพราะจะบอกว่าระบบ Internet ทุกวันนี้มีจุดบกพร่อง ที่ใหญ่มาก ตอนผมเริ่มศึกษาเรื่องที่ระบบตนเองถูก Hack ก็ต้องตกใจว่าทำไม ระบบส่วนในปัจจุบัน จึงมีช่องโหว่ที่ใหญ่ขนาดนี้ แล้วทำไมผู้คนที่ทราบ จึงไม่ออกมาประกาศกันอย่างจริงจัง ว่าสิ่งที่ผมกำลังจะเขียนต่อไปนี้ เกิดขึ้นได้ในทุกองค์กร และต้องป้องกัน มิใช่ปลอดให้เกิดขึ้นเช่นนี้
    วิธีที่ 1. Sniffer : ความเดือดร้อนโดยตรงที่ผู้ใช้ได้รับ และผมช่วยไม่ได้
  1. ทุกตัวอักษรที่ท่านพิมพ์ผ่าน browser จะถูก Hacker มองเห็นหมด ถ้าเขาคิดจะทำ และอยู่ในระบบ LAN วงเดียวกับท่าน และเว็บที่ท่านส่งข้อมูลไม่มีบริการ SSL รองรับ ซึ่งมีเว็บมากกว่า 80% ที่ยังไม่มี ssl ไว้บริการ (ตัวเลขนี้ประมาณ เพราะเห็นบริการ ssl น้อยมาก ถ้าไม่ใช้ e-commerce)
  2. Netscape mail, Outlook, Eudora ที่ใช้บริการ POP3 ทุกครั้งที่ท่านเปิด get mail ใหม่ Hacker จะสามารถเห็นรหัสผ่าน และข้อมูลใน mail ทุกฉบับที่ท่านได้รับ ซึ่งมักเป็นคนในระบบเครือข่ายของท่าน แต่คนนอกก็ทำได้ ถ้า Server ที่ท่านเปิดบริการ ถูกใช้เป็นเครื่องมือ hack คนในองค์กรซะเอง
  3. Telnet เป็นระบบที่ผมทดสอบ hack ตัวแรก ทุกครั้งที่ท่านพิมพ์อักษรใน telnet hacker จะเห็นหมด และเห็นทีละตัวอักษร ไม่ได้เห็นเป็นชุด ๆ แบบข้อมูลใน Browser
  4. เกือบทุกฟรี e-mail ในไทย ยังไม่มี ssl ดังนั้นทันทีที่ท่าน พิมพ์ username และ password hacker ในร้าน net จะจับข้อมูลของท่านได้หมดว่าใช้อะไร
  5. hotmail.com หรือ yahoo.com จะปลอดภัยเฉพาะหน้าแรก ส่วนหน้าที่เหลือ hacker จะเห็นหมด และหน้าแรกจะปลอดภัย ต่อเมื่อท่านเลือกที่จะรักษาความปลอดภัยเท่านั้น
Sniffer คือโปรแกรมที่ hacker ใช้จับ package ที่ส่งกันไปมาใน Internet เมื่อก่อนผมเข้าใจว่าต้อง run เฉพาะใน server ประเภท unix เท่านั้น แต่คุณประเสริฐ ไปหามาให้ผมได้ลอง ซึ่งสามารถใช้งานบน windows และมี option ให้เลือกจับ switch ได้ด้วย (จับ switch ผมยังไม่ได้ทดสอบ เพราะในระบบไม่มีใช้)
เช่น นักเรียนประถม 4 ที่มีพี่เรียนในมหาวิทยาลัย แนะนำให้นำโปรแกรมขนาด 30 Mb ใช้เวลา install บน windows แบบ click อย่างเดียว ไม่ถึง 10 นาที ไป install ในเครื่องที่โรงเรียน โปรแกรมนี้สามารถเลือกจับเป็นเครื่องได้ ว่าต้องการจับเครื่องใด หรือ switch ตัวใด ทันทีที่ครูใช้ telnet เข้าไปใน server เครื่องใดก็ตาม เด็กป.4 คนนั้นก็จะทราบรหัสผ่าน su ได้ทันที .. ต่อจากนั้นก็แล้วแต่โชคชะตาของ server หละครับ (ตัวอย่างครับ แค่ตัวอย่าง)
ถึงแม้ sniffer จะป้องกันยาก แต่ก็ป้องกันได้ด้วย ssh และ ssl ท่านสามารถหารายละเอียดได้จากเจ้าของระบบปฏิบัติการ ว่ามีโปรแกรมสนับสนุน 2 มาตรฐานดังกล่าวอย่างไร ในส่วนของ ssl ที่ผู้บริการไม่ค่อยนำมาใช้ เพราะโดยปกติ ต้องเสียเงินซื้อ
พบโปรแกรม ของ Cain & Abel v2.9 เป็น Sniffer ที่เพื่อนผมทดสอบ และก็ทำงานได้จริงในเครือข่ายที่ใช้ Hub [Download. 5 MB]
ผู้ดูแลอาจนำไปทดสอบระบบของตนเองว่าปลอดภัยหรือไม่ .. แต่เป็นดาบสองคม ถ้าผู้ไม่ประสงค์ดีนำไปใช้ในเครือข่ายที่ไม่ให้ความสำคัญกับความปลอดภัย
.
วิธีที่ 2. Frontal attack
โจมตีแบบตรง ๆ ให้ Server ล้ม ซึ่งเคยมีข่าวว่า hacker ได้ใช้ server ทั่วโลกที่ยึดได้ ส่งคำสั่งโจมตีไปที่ yahoo.com จนทำให้ server ของเขา ต้องปิดบริการไปชั่วขณะ นี่เป็นเพียง case หนึ่ง เพราะมีวิธีอีกมากมายที่จะทำให้ server หยุดบริการไป แต่ปัญหานี้อาจไม่ร้ายแรงสำหรับผู้ที่ทำ server ที่ไม่เป็นธุรกิจ เพราะหลังจากล่มไป ก็ boot ใหม่ หรือเข้าไปหาสาเหตุ และก็แก้ไขไปตามนั้น ก็สามารถกลับมาบริการได้เหมือนเดิม เพราะผู้ที่โจมตีจะต้องมีเครื่อง และก็ต้องใช้เครื่องให้ทำงานหนัก แต่ผมการโจมตีคือการก่อกวน ไม่ได้เป็นการยึด site ผลการโจมตีแบบนี้ แค่ก่อความรำคาญเท่านั้น
วิธีที่ 3. Exploiting a security bug or loophole
เรื่องนี้เป็นเรื่องใหญ่สำหรับ sysadmin เพราะระบบทุกระบบที่มีอยู่จะมีตั้งแต่ตอบติดตั้งระบบเสร็จ ทันที่ที่ติดตั้งเสร็จ ระบบก็มีจุดบกพร่องที่จะให้ hacker เข้ามาในระบบในฐานะ superuser ได้ ผู้ดูแลจะต้องหาโปรแกรมมา update ให้ทันสมัย เมื่อสมบูรณ์แล้ว ก็ต้องหมั่นเข้าไปอ่านข่าวใน internet เช่นที่ securityfocus.com เพราะถ้า hacker ทราบวิธีเจาะระบบ ซึ่งเป็นวิธีใหม่ที่พบกันเกือบทุกเดือน ก่อนท่าน update ระบบของท่านก็จะถูก hack ได้ทันที มีข่าวอยู่บ่อย ที่ระบบใน server ระดับโลกถูก hack เช่น apache.org, sourceforge.net, isinthai.com เป็นต้น โดยเฉพาะ isinthai.com ผมเขียนเหตุการเกี่ยวกับการถูก hack ไว้ 10 กว่าครั้ง ซึ่งอาจถึง 20 ในไม่ช้าก็ได้ เพราะปัญหาของการไม่ upgrade ระบบให้ทันกับความรู้ของ hacker

3. ส่ง Spam และขโมยผ่าน Wireless
    เพราะผมใช้บริการ wireless LAN จึงเขียนเรื่องนี้เมื่อ 21 กันยายน 47
    สถาบันการศึกษาแห่งหนึ่ง ให้บริการ Wireless LAN สำหรับ อาจารย์ นักศึกษา หรือผู้ปกครอง โดยไม่กำหนด WEP(Wired Equivalent Privacy) ให้กับ Access point เพราะให้เหตุผลเรื่องความสะดวก ง่ายต่อการใช้ และให้บริการ การให้บริการแบบไม่มีการป้องกันนี้ ผ่านไปหลายเดือนอย่างไม่มีปัญหา
    มีอยู่วันหนึ่ง มีผู้ชายคนหนึ่งผ่านมาเข้าห้องน้ำในสถาบันแห่งนี้ และพบสัญญาณการให้บริการ Wireless LAN จึงแอบใช้บริการจากรถยนต์ส่วนตัว และใช้บริการ SMTP ส่ง spam ออกไปทั่วโลก เขาใช้เวลาเพียง 1 ชั่วโมง แต่สามารถ e-mail ได้ถึง 5 พันฉบับ วันรุ่งขึ้น มี e-mail ตอบกลับมายังผู้ดูแลระบบมากมาย ว่ามีเครื่องในเครือข่ายของสถาบัน มีพฤติกรรมส่ง spam ทำให้ server ของสถาบันถูกขึ้นบัญชีดำ (Black List) และส่ง e-mail ไปไม่ถึงผู้รับมากมาย
    หลังจากส่ง spam เสร็จ hacker ก็ตรวจดูรายชื่อคอมพิวเตอร์ และ folder ที่มีการ share ในเครือข่ายทั้งหมด และพบว่ามีบาง folder ไม่ติด password เขาจึง copy ทุกแฟ้ม ทุก folder จากทุกเครื่อง และนำกลับไปเปิดดูตามใจชอบที่บ้าน ซึ่งโชคดีว่าเขาไม่พบอะไรที่สำคัญ สำหรับเขา แต่ถ้ามีใครที่มีข้อมูลสำคัญ และถูกขโมยไปโดยง่ายแบบนี้ ต้องไม่เป็นผลดีต่อผู้เป็นเจ้าของข้อมูลเป็นแน่
    จากปัญหาดังกล่าว ทำให้สถาบันต้องกำหนด Encryption ให้กับ Access point ทั้งหมดในสถาบัน และผู้ใช้ที่เคยใช้ได้ทั้งหมด ต้องนำคอมพิวเตอร์มากำหนด encryption ให้กับ adapter เพื่อให้สามารถ ใช้บริการจาก Access point ที่ให้บริการตามสถานที่ต่าง ๆ ในสถาบัน ประโยชน์ที่ได้อีกทางหนึ่ง คือสถาบันมีบัญชีรายชื่อผู้ใช้ ที่ใช้งานเครือข่ายคอมพิวเตอร์ผ่าน Wireless LAN ทำให้ง่ายต่อการควบคุม

4. บังเอิญ Hack เพื่อนบ้านผ่าน Wireless
อ.ถนอม คณิตปัญญาเจริญ อ่านข่าว http://www.thaiitnews.com/listitnews.asp?newsid=5714 แล้วเล่าให้ผมฟัง
ข่าวนี้คัดลอกจาก http://www.matichon.co.th/prachachat/prachachat.php?show=1&selectid=02com05041047&sectionid=0209&select_date=2004/10/04
    ระบบความปลอดภัย เครือข่ายไร้สาย (คอลัมน์ ไอทีทะลุโลก)
    หากลองสังเกตการเติบโตของเครือข่ายไร้สายในเมืองไทย จะพบว่ากำลังเริ่มเติบโตขึ้นเรื่อยๆ ลองสนทนากับคนที่ขายอุปกรณ์พวกนี้ดูก็จะรู้ได้ และจำนวนไม่น้อยพบกับปัญหาในการติดตั้ง กว่าจะแก้ไขกันได้ก็กินเวลานาน
    มีปัญหาอีกบางอย่างที่หลายคนโดยเฉพาะผู้ใช้ตามบ้านโดยทั่วไปอาจจะ มองข้าม นั่นก็คือระบบความปลอดภัยของเครือข่ายไร้สาย เพราะผู้ใช้ที่หันมาใช้เครือข่ายไร้สายภายในบ้านอาจจะขาดความรู้ในเรื่องนี้ หรือไม่ก็เพราะปัญหาเริ่มแรกของการติดตั้งอุปกรณ์ทำให้ลืม
    พื้นฐานอย่างหนึ่งของการติดตั้งเครือข่ายไร้สายในเริ่มแรกมักจะไม่ กำหนดระบบป้องกันเอาไว้ โดยอาศัยค่าที่กำหนดมาจากโรงงาน ที่เรียกกันว่าดีฟอลต์ ทั้งนี้เพื่อให้มั่นใจว่าหากเกิดปัญหาขึ้น ไม่ได้เกิดจากส่วนอื่นๆ ซึ่งหลังจากใช้ไปได้สักระยะจนมั่นใจแล้วควรที่จะตั้งระบบป้องกัน อย่าปล่อยทิ้งไว้นานด้วยความชะล่าใจ
    เพราะสัญญาณที่ส่งออกจากตัวแม่ไม่ว่าจะเป็นไวร์เลสเราเตอร์หรือ แอ็กเซสพอยต์ นั้นสามารถทะลุทะลวงออกไปภายนอกบ้านได้ เหมือน กับที่เกิดขึ้นกับผมเมื่อไม่กี่วันมานี้เรื่องที่บ้านจับสัญญาณได้จากบริเวณ ใกล้เคียง ซึ่งไม่ได้ตั้งระบบป้องกันเอาไว้ ทำให้จากเครื่องคอมพิวเตอร์ของผมสามารถมองเห็นฮาร์ดดิสก์ของเครื่องที่ไม่ ปรากฏนามดังกล่าวได้ทั้งหมด รวมทั้งสามารถเข้าชอนไชเข้าไปภายในนั้นได้โดยสะดวก ไม่ต้องใช้แม้กระทั่งพาสเวิร์ดอะไรเลย
    ลองคิดดูว่าหากเป็นคนที่มีวัตถุประสงค์ไม่ดีจะเกิดอะไรขึ้น การกลั่นแกล้งหรือการโจรกรรมข้อมูลสามารถเกิดขึ้นได้
    เพราะฉะนั้น เมื่อใช้เครือข่ายไร้สายเชื่อมโยงคอมพิวเตอร์เข้าด้วยกัน แต่ละเครื่องควรกำหนดระบบความปลอดภัย อย่างน้อยที่สุดก็คือการตั้งพาสเวิร์ดสำหรับการเข้าถึงฮาร์ดดิสก์ของแต่ละ เครื่องเอาไว้ และไม่ควรแชร์ทั้งหมด แต่เลือกเฉพาะบางส่วนที่จำเป็นเท่านั้น
    ขณะเดียวกันการกำหนดให้เครื่องในเครือข่ายเชื่อมต่อกันแบบเฉพาะ เจาะจงด้วยค่าแม็กแอดเดรส ก็ควรนำมาใช้อย่างยิ่ง เพื่อกันไม่ให้เครื่องของคนอื่นๆ เข้ามาในระบบได้
    ความจริงมีมากกว่านี้ในเรื่องความปลอดภัย ซึ่งในคู่มือของอุปกรณ์ที่ซื้อมามีบอกเอาไว้หมด เสียเวลาอ่านหรือเรียนรู้เสียหน่อยไม่น่าจะเสียหาย

5. วิธีป้องกันตนเอง
  1. sysadmin จะต้องเลิกใช้ telnet และติดตั้ง SSH(Secure Shell) เพื่อป้องกัน sniffer ดักจับ password
  2. sysadmin จะต้องติดตั้ง ssl เพื่อทำให้เว็บของตนให้บริการได้อย่างปลอดภัย ถ้ามีข้อมูลที่สำคัญมาเ ๆ เช่น การรับข้อมูลบัตรเครดิต เป็นต้น แต่ปกติ ssl จะเสียตัง (หลายเว็บจึงบอกว่าไม่เป็นไรมั้ง .. ยังไม่ต้องมี ssl ก็ให้บริการได้)
  3. ผู้ใช้ต้องเลิกใช้ telnet, webbase mail ที่ไม่มี secure login หรือ pop3 เช่น outlook แล้วไปใช้ hotmail.com หรือ yahoo.com แบบ secure login แทน
  4. ผู้ใช้ต้องเลิกใช้ ftp upload แต่หันไปใช้ file manager ที่เว็บมีให้ ต้องเลือกที่บริการ secure login
  5. อย่าคิดมาก คงไม่มีใครมา hack ท่าน เพราะท่านไม่ใช่คนสำคัญ และองค์กรก็คงไม่มีใครเข้ามา hack ได้ ... มั้ง
WinPcap ? [Download]
The Windows Packet Capture Library คือ Library ให้คนอื่นเรียกใช้
WinPcap is the industry-standard tool for link-layer network access in Windows environments: it allows applications to capture and transmit network packets bypassing the protocol stack, and has additional useful features, including kernel-level packet filtering, a network statistics engine and support for remote packet capture.

PromiScan 0.28 (WinPcap Required)
http://www.securityfriday.com/tools/promiscan_sla.html
This is software searches for promiscuous nodes on the local net. It does not create a heavy load on the network. And, PromiScan quickly searches for promiscuous nodes. Finding a promiscuous node is very difficult. In many cases, the result is not certain. The node likely to be a promiscuous node is quickly listed by PromiScan. The listed nodes are clearly visible. And, you can find the nodes that promiscuous mode are not permitted. PromiScan is very useful for security management of a local network.

โปรแกรม PromiScan ค้นหาว่า IP ใด
เปิด Sniffer อยู่หรือไม่
WinPcap 3.1 + PromiScan 0.28

6. เว็บบอร์ดของผมถูก bomb (พฤศจิกายน 2547)
    Script ที่คนนิยมใช้ .. ย่อมเป็นเป้าหมายของ hacker
    ผมทำเว็บบอร์ดมาหลายแบบ กว่าครึ่งคือ copy source code ของเขามาแก้ไข ประมาณปี 42 ผมได้ code ของ http://www.scriptarchive.com/ โดย Matt Wright ทำให้เข้าใจการเขียนภาษา perl ขึ้นมาก และทดสอบติดตั้งไว้ที่ http://www.thaiall.com/wwwboard/wwwboard.htm แต่ผมไม่ชอบการตอบ webboard จึงทดสอบติดตั้ง และลบ link ออกจากหน้าแรกของ thaiall.com อีก 5 ปีต่อมา ผมก็พบว่า http://www.thaiall.com/wwwboard/wwwboard.htm ถูกยิง เพราะไม่มีระบบสมาชิก ไม่มีระบบหยุดการยิงจากเลข IP เดียวกัน และไม่มี security code ในการยืนยัน ทำให้กระทู้เข้าเว็บบอร์ดของผม ชั่วโมงละ 30 กระทู้ ด้วยข้อความที่ไม่ซ้ำกัน ผมก็ไม่ทราบว่าถูกยิงเมื่อไร หรือโดยใคร แต่โชคดีที่ระบบมีข้อบกพร่องเรื่องเลขนับกระทู้ที่นับได้ 4 หลัก ทำให้กระทู้ที่ยิงเข้ามาวนอยู่ที่ 9999 ฉบับเท่านั้น และผมได้ปิดบริการนี้ไปเหลือกระทู้ไว้ดูต่างหน้าเพียง 300 กว่ากระทู้เท่านั้น
    เรื่องการ bomb กระดานข่าวที่ไม่มีระบบป้องกันที่ดี ใคร ๆ ก็ทำได้ เพราะหนังสือสอน hack ที่ขายตามร้านหนังสือก็สอนไว้ ผมยังเคยเขียน javascript ที่ใช้ส่งข้อมูลเข้ากระดานข่าวด้วยข้อความที่ไม่ซ้ำกันอย่างง่าย ๆ โปรแกรมเป็น javascript เขียนคืบกว่า ๆ ก็ยังใช้ยิงชาวบ้านได้เลยครับ .. ออกตัวก่อนนะครับว่าผมไม่เคยยิงใคร

7. เว็บบอร์ด tot ถูกก่อกวน .. (กรณีศึกษา) (ธันวาคม 2547)
    ผมได้รับ e-mail จาก nobody@www1.totonline.net อ่านแล้วรู้สึกน่าสนใจ จึงนำมา post ไว้ที่นี่
    เนื่องด้วยเว็บมาสเตอร์(maew) ได้ทำการ Banned IP ที่ขึ้นต้นด้วยหมายเลข 203.113.*.* เมื่อเวลาประมาณก่อนเที่ยงของวันที่ 7 ธ.ค. 47 ซึ่งเมื่อเข้าใช้งานเฉพาะในส่วนของเว็บบอร์ด http://www.tot.co.th/board จะพบข้อความดังข้างล่าง
    "You are banned. You may not view the forums, post, make new topics, send Private Messages or edit your posts."
    ทั้งนี้เพราะมีบุคคลหนึ่งเจตนาราวีกับผู้ดูแลกระดานถามตอบโดยตรง โพสต์กระทู้ด่าด้วยถ้อยคำที่หยาบโลน ลบแล้วก็ลบอีก แต่ไม่อาจทำให้เขาหยุดคิดพิจารณาและด่าทอบุคคลอื่นที่ไม่เข้าข้างเขาใน ทุกกระทู้ โดยปฏิบัติมาตั้งแต่วันที่ 4 จนถึง 7 ธ.ค. 47 ประเด็นเพราะโกรธเคืองเรื่องฟรีอินเทอร์เน็ตสายหลุด แล้วเว็บมาสเตอร์ตอบว่า มีหลายสาเหตุทั้งเรื่องสภาพสายโทรศัพท์และอุปกรณ์พื้นที่บางแห่งซึ่งยังมี ปัญหาเรื่องของความไม่เพียงพอ หรือประสิทธิภาพด้อย ก็ไม่ทราบว่าทำไมคำตอบนี้ร้ายแรงขนาดไหนถึงทำให้เขาราวีไม่เลิกรา ที่สำคัญหากใครมาอ่านเข้าคงหมดศรัทธาไปกับเว็บขององค์กร ทศท ที่มีถ้อยคำเหล่านี้อยู่มากมาย และมีการท้าทายให้สืบหา IP ของเขาด้วย
    ซึ่งก็ขอบอกกับเพื่อนสมาชิกทั้งหลายว่าเว็บมาสเตอร์ไม่มีเวลาไปไล่ ล่าใคร เพราะเรื่องเพียงไม่ตอบคำถาม/แก้ปัญหาให้ประชาสุขใจทั่วเมือง แต่การ Banned ครั้งนี้กลับส่งผลต่อผู้ใช้งานที่ไม่มีส่วนเกี่ยวข้องหากมีหมายเลขไอพีอยู่ ในกลุ่มนั้น ซึ่งคงจะรวมถึงผู้ใช้ฟรีอินเทอร์เน็ต และเน็ตค่ายอื่น โดยเฉพาะค่าย 1222 ทั้งหลาย จึงขอส่งเมล์นี้มาเพื่อกราบขออภัยในความไม่สะดวกสำหรับบางท่าน คาดว่าจะ Banned ชั่วคราว เพื่อเว็บมาสเตอร์จะได้มีเวลาทำงานประจำอื่น ที่มีอยู่อีกหลายเรื่อง ไม่ใช่วัน ๆ นั่งลบแต่กระทู้หยาบคาย อย่างไรก็ตาม ทุกท่านที่มีคำถามและไม่สามารถเข้าเว็บบอร์ดได้ท่านสามารถส่งเมล์มาที่ webmaster@tot.co.th ได้เสมอ จะตอบเป็นรายบุคคล หากการ Banned ข้างต้นมีการเปลี่ยนแปลงอย่างใด จะแจ้งให้ทราบอีกครั้งหนึ่ง

8. Win2003 ยังถูก hack (เมษายน 2548)
    เพราะเชื่อว่าไม่มีใคร hack OS ตัวใหม่ล่าสุด ที่น่าเชื่อถือที่สุดในโลกได้ .. และละเลย firewall
    เพื่อนร่วมงานของผมคนหนึ่ง บอกว่า windows2003 config ง่าย บริการต่าง ๆ ยอดเยี่ยม ผมก็เชื่อเขา แล้วย้ายระบบ web ทั้งหมดไปไว้ใน windows2003 เหลือแต่ระบบ mail กับฐานข้อมูลบางส่วนที่ผมไม่ได้ย้ายไป หลังจากย้ายไปได้เพียง 1 เดือน ผมก็พบอาการผิดปกติคือ ftp เข้าไปแล้วไม่เหมือนเดิม user ของ ftp ใช้ไม่ได้ หลังจากใช้ netstat ตรวจสอบก็พบว่า server พยายามติดต่อกับเครื่องนอกเครือข่ายผ่าน port 445 ซึ่งเป็น port ที่ hacker ใช้กันมาก หลังจากตรวจสอบ ก็พบว่า hacker เข้ามาในเครื่องได้จริง เขาวางโปรแกรมในห้องต่าง ๆ หลาย folder และเป็นโปรแกรมที่ไม่มีทีมงานคนใดใช้
    ทีมงานของเรา พยายามลบแฟ้ม และปิดบริการต่าง ๆ ที่ hacker เข้ามาวางไว้ จนในที่สุดผู้ดูแลระบบ windows ของเรา เสนอให้ใช้ firewall ที่มีมากับ windows2003 ปิด port ทั้งหมด แล้วเลือกเปิดที่จำเป็น ทำให้ผมทดสอบ ping เข้าไปที่ server แล้วไม่ตอบสนอง เพื่อความมั่นใจ จึงหาโปรแกรมที่ hacker ใช้มาทดสอบเจาะระบบแบบ remote ซึ่งได้ผลเป็นที่น่าพอใจ คือ เจาะระบบของตนเองไม่ได้ สรุปได้ว่าตอนนี้ เราใช้ firewall และสั่ง update os อัตโนมัติ

9. บริการ Free Internet ของตำบล หรือห้องสมุด (พฤษภาคม 2548)
    แหล่งบริการเหล่านี้ ขาดนักคอมพิวเตอร์ดูแล .. เป็นแหล่งล่อแหลมอย่างมาก
    บริการ internet ถูกลงมาก ๆ อย่าง ADSL เหลือเดือนละ 600 บาท หรือบริการ 1222 ก็เสียเพียงครั้งละ 3 บาทต่อ 2 ชั่วโมง ทำให้การใช้บริการอินเทอร์เน็ตเป็นที่แพร่หลายอย่างมาก หน่วยงานท้องถิ่น เช่น อบต. หรือห้องสมุดต่าง ๆ เริ่มให้บริการอินเทอร์เน็ตฟรีแล้ว แต่เด็ก ๆ ส่วนใหญ่ที่ชอบเล่นเกม ragnarok มักไม่ไปใช้บริการ พวกเขายอมเสียเงิน 15 บาทต่อชั่วโมง เพราะไม่มีปัญหาเรื่องข้อจำกัด ไม่มีใครมาต่อคิว หรือห้ามปราม
    ปัญหาที่ผมมองเห็น คือ ขาดความความปลอดภัย (Low Security) คอมพิวเตอร์ที่ให้บริการฟรี มักไม่มีรายได้ เมื่อไม่มีรายได้ ก็จะไม่มีผู้ดูแลที่มีความรู้ และประสบการณ์ด้านคอมพิวเตอร์มากเท่าที่ควร เปิดโอกาสให้เด็ก ๆ ที่ซื้อหนังสือ hacker ตามร้านหนังสือ มาใช้กับเครื่องเหล่านี้ และทดสอบว่า ที่เขียนในหนังสือทำได้จริงหรือไม่ ถ้าไม่หาจากหนังสือ ก็อาจสืบค้นจากเว็บไซต์ต่าง ๆ ที่เผยวิธีการ hack แบบต่าง ๆ ในหลาย ๆ วิธี ภัยที่เกิดขึ้นไม่อาจคาดคะเนได้ ขึ้นอยู่กับ hacker มือใหม่ว่าพวกเขาต้องการอะไร และที่สำคัญตามจับไม่ได้ด้วยครับ .. เพราะไม่มีกล้องวงจรปิด และคนแปลกหน้าก็เข้าใช้ได้
    วิธีที่น่าจะช่วยให้เครื่องตามแหล่งบริการ ให้ประสบปัญหาจาก hacker มือใหม่มากที่สุดคือ ติดตั้ง reborn card โปรแกรมต่อต้านไวรัส และที่สำคัญที่สุด ต้องใช้ระบบปฏิบัติการรุ่นใหม่ ที่ update patch รุ่นใหม่ล่าสุด เพราะห้องสมุดที่ผมพึ่งไปพบมาเขาใช้ windows98 แล้วใช้ ics ในการ share ออกไปยังเครื่องอื่น ๆ (ตอนผมไปใช้ยังเสียว ๆ เลยครับ ว่ามีใครนั่งใช้ sniffer ใน LAN อยู่หรือเปล่า)

10. แฮ็กเกอร์มือใหม่กับผู้ดูแลระบบมือใหม่
    ผมเขียนลงหนังสือพิมพ์คนเมืองเหนือ ปีที่ 12 ฉบับที่ 588 วันที่ 3-9 ตุลาคม 2548 หน้า 18
    ถูกเจาะระบบอีกแล้ว .. เป็นคำพูดติดปากของผู้ดูแลระบบคอมพิวเตอร์ในสถาบันการศึกษา เมื่อตรวจพบผู้บุกรุกจากข้อมูลการเข้าใช้ (User Log) หรือหลังจากเครื่องบริการ (Server) ถูกปิดโดยไม่ทราบสาเหตุ .. จึงเป็นหน้าที่ของผู้ดูแลที่ต้องค้นหาสาเหตุ และผู้รับผิดชอบ ที่อาจมีผู้ไม่ประสงค์ดีทิ้งร่องรอยให้ติดตาม
    สถาบันการศึกษาเป็นองค์กรที่แฮ็กเกอร์มือใหม่ จัดอันดับให้เป็นเป้าหมายระดับต้น ๆ เพราะเปิดให้บริการครบถ้วน และมักถูกดูแลโดยผู้ดูแลมือใหม่ ที่มีงานสอน และงานอื่น ๆ ล้นมือ ต่างกับบริษัทเอกชน ที่มีบุคลากรรับผิดชอบด้านความปลอดภัยโดยตรง สำหรับผู้ไม่ประสงค์ดีที่เลือกสถาบันการศึกษา เป็นเป้าหมายอาจเป็น นักเรียนในโรงเรียนที่ซื้อหนังสือสอนการเจาะระบบ ซึ่งหาได้ตามร้านหนังสือทั่วไป เช่น ดวงกมล ดอกหญ้า หรือซีเอ็ด เป็นต้น จากนั้นก็ Download โปรแกรมที่แนะนำในหนังสือ มาใช้เจาะระบบ มาทดสอบ หรือลองวิชาจากที่ได้อ่าน ผลของการทดสอบโปรแกรมเหล่านั้น โดยนักเรียน หรือสมาชิกในองค์กร อาจสร้างความเสียหาย ตามลักษณะการทำลายแต่ละแบบได้จริง ผู้ดูแลมือใหม่ จึงควรศึกษาการเจาะระบบไว้ เพราะหนังสือเหล่านั้น จะแนะนำการป้องกัน จากการคุกคามของผู้ไม่ประสงค์ดีเช่นกัน
    นักเรียนในปัจจุบัน สามารถสืบค้นข้อมูลจากอินเทอร์เน็ต หรือรับการแนะนำจากแฮ็กเกอร์ที่มีประสบการณ์ระหว่างสนทนา (Chat หรือ MSN) โปรแกรมที่นักเรียนได้รับมา อาจเป็นโปรแกรมแบบโทรจัน ที่ตั้งเวลาทำงาน หรือเฝ้ารอผู้ใช้คนอื่นเข้ามาติดกับดัก เพราะคอมพิวเตอร์ในโรงเรียนส่วนใหญ่ เป็นแบบหลายผู้ใช้ ที่ผลัดกันเข้ามาใช้ โปรแกรมบางตัวอาจขโมยข้อมูลของผู้ใช้ แล้วส่งให้กับผู้ไม่ประสงค์ดี หรือมีเป้าหมายในการทำลายระบบ เช่น ไวรัส(Virus) หรือส่งแสปม(Spam) เป็นต้น ปัจจุบันผู้ใช้อีเมลได้รับจดหมายขยะที่ส่งมาจากการกระทำของผู้ไม่ประสงค์ดี หรือผู้ไม่รู้เท่าทันจำนวนมาก เพราะคอมพิวเตอร์ในสถาบันการศึกษา หรือองค์กร ปล่อยอีเมล อย่างไม่ตั้งใจ และยังรวมไปถึง ผู้ที่ตั้งใจส่งอีเมลเพื่อการค้า(Work at Home หรือรวยอยู่บ้าน) เป็นต้น
    การดูแล และอัพเกรด(Upgrade) โปรแกรมในคอมพิวเตอร์ทุกเครื่องให้ทันสมัย เป็นสิ่งสำคัญ ไม่ว่าจะเป็นโปรแกรม OS, Anti Virus หรือ Anti Spam เพราะการเจาะระบบส่วนใหญ่ อาศัยความบกพร่องของโปรแกรมที่มีอยู่แล้วในเวอร์ชั่นเก่า เช่น WindowsXP1 หรือ Redhat 8 เป็นต้น หากเปลี่ยนเป็น WindowsXP2 ก็จะไม่ถูกเจาะระบบได้โดยง่าย เพราะผู้ผลิตทราบจุดบกพร่อง และได้แก้ไขในรุ่นถัดไป สำหรับโปรแกรมรุ่นเก่า มักมีการนำจุดบกพร่องมาเปิดเผย ในอินเทอร์เน็ต ผู้ไม่ประสงค์ดีจึงเขียนโปรแกรม เพื่อเข้าทำลายตามช่องโหว่เหล่านั้น
    ความล้มเหลวจากการใช้คอมพิวเตอร์เกิดขึ้นได้ทั้งทางฮาร์ดแวร์ และซอฟต์แวร์ คอมพิวเตอร์ของท่านอาจไม่ถูกเจาะ แต่ระบบแฟ้มอาจเสียหายจากการใช้ หรืออายุการใช้งานที่เพิ่มขึ้น อาจทำให้ข้อมูลหาย หรือคอมพิวเตอร์หยุดทำงานแบบแก้ไขไม่ได้ ถ้าท่านให้ความสำคัญกับข้อมูล การสำรองข้อมูล (Backup) จึงเป็นคำตอบที่ดี เพราะอุปกรณ์สำรองข้อมูลมีราคาลดลงมาก เช่น CD-R เก็บได้ถึง 700 MB มีราคาเพียงแผ่นละ 6 บาท ส่วนนักศึกษาในปัจจุบัน มักพก Handy Drive ติดตัว เพราะเก็บข้อมูลได้ถึง 128 MB แต่ราคาไม่ถึง 1000 บาท อุปกรณ์เหล่านี้ช่วยให้ท่านสำรองข้อมูลที่สำคัญ ถ้ามั่นใจว่าจะป้องกันตนเองจากผู้บุกรุกอาจไม่ครบถ้วน ก็ควรมีแผนสอง คือการสำรองข้อมูล และมีแผนเรียกคืนในเวลาที่รวดเร็วที่สุด

11. เขาขาย CD สอนเป็นแฮกเกอร์เป็นภายในหนึ่งชั่วโมง
    http://www.thaishadow.com/thd/index.php
    ได้รับ e-mail จาก thaishadow@hotmail.com, pay2k@hotmail.com นายปาย, chakritedu@hotmail.com นายคริต เกี่ยวกับการเสนอขาย CD สอนเป็น hacker ผมเองก็ไม่ได้ซื้อนะครับ เพราะไม่ได้สนใจเรื่องนี้ แต่เห็นว่าผู้ดูแลระบบมือใหม่บางท่านอาจสนใจศึกษา จึงนำมาเล่าให้ฟังว่าเรื่องแบบนี้ก็มี โดยมีข้อความดังต่อไปนี้
    ThaiShadoW Soft Vol. 1 แผ่นที่ 1 อัดแน่นไปด้วยไฟล์เต็มแผ่น (เกือบ 700 MB) :
    1. WindowIIS เกี่ยวกับการเข้าเว็บไซท์
    1. iis5.0 scanner ตัวนี้รับรอง เจอบาน เกิน 50 เว็บแน่ๆ
    2. scan port สำรวจ port ต่างๆ
    3. google serch เป็นโปรแกรมสำหรับ serch หาครับ เหมือน google เป๊ะ ไม่ต้องนั่งก๊อปที่ละเว็บโปรแกรมนี้จัดการได้
    4. SpecialDavIIS5.0 ตัวนี้รับรอง เจอบาน เกิน 50 เว็บแน่ๆ รุ่นพิเศษ
    5. Find On GoogLe เป็นโปรแกรมค้นหาเว็บไซท์ ครับเหมือน google เดะ แต่ดีกว่าตรงลิสรายชื่อเว็บให้เรา
    6. .OCX เป็นตัวเสริมสำหรับบางท่านที่โหลดโปรแกรมมาแล้วใช้ไม่ได้ เรามีให้หมด ไร้ปัญหาแบบนั้นอีก
    7. john the ripper สุดยอดตัวแกะพาส
    8. httpFlooder
    2. Unix ในหมวดนี่ จะรวบรวมเกี่ยวกับ hacking os ต่างๆครับ
    1. sunos เป็นโปรแกรมสำหรับ แสกนแล้วก็เจาะเอาไฟล์ shadow แล้วก็แกะพาส
    2. apache เป็นโปรแกรม สำหรับ แสกนหาช่องโหว่ แร้วก็ รัน local exploit เอา root ครับ
    3. PhpBB2 โปรแกรม remote command Excution exploit สำหรับ Phpbb2.0.10
    4. cgi แสกนเนอร์ หาช่องว่างของเว็บ ที่เป็น cgi
    5. cgimass แสกนหาช่องว่าง cgi ครับ
    6. ikon remote exploit command Excution ของบอร์ด ikonboard ครับ
    7. Mass Scan of 4nAlbum injection
    8. backdoor ต่างๆ รับรองบาน อัดแน่นไว้ในซีดีแล้วครับ
    3. IRC หมวดนีทำ irc อย่างเดียว
    1. CR2.1-Linux
    2. CR2.1-win
    3. CR2.1-sunos
    4. CR2.1-freebsd
    5. crack
    6. serail
    7. และรุ่นต่ำกว่านี้
    8. os สอนวิธีทำให้รัน operserv และวิธีลิ้งค์กับ irc อื่นๆ
    4. trojan รวมรวบ trojan อีกบาน
    1. optix pro มีวิธีเล่น ทั้ง 1.32 และ 1.33
    2. subseven มีหลายรุ่น ทั้ง 2.1.5 และ 2.22
    3. htm แปลงไฟล์ .exe เป็น html
    5. antitrojan and spyware เรียนรู้ต้องเรียนแก้ครับ
    1. webroot sweeper
    2. spy emulator
    3. adware
    6. Utility รวมรวบโปรแกรมที่เห็นว่าสำคัญๆ

12. วิธีกำหนดรหัสผ่านจาก 24works.com
    Choose a secure password:
  • ไม่ใช้ชื่อ (Don't use your name, domain name, user id, nickname, childrens' names, pets name etc... )
  • ไม่ใช้วันเกิด (Don't use your birthday, address, social security number, phone numbers etc... )
  • ไม่ใช้ศัพท์ภาษาอังกฤษ (Don't use correctly spelled English words. If you can look it up in a dictionary, it shouldn't be your password.)
  • อย่างน้อย 8 ตัวอักษร (Do use all 8 characters available to you. The more you put into your password, the harder it is for someone to figure it out.)
  • ผสมพิมพ์เล็กพิมพ์ใหญ่ (Do mix upper and lower case letters with numbers and specialty characters.)

13. แน่ใจได้อย่างไรว่าระบบของเราปลอดภัย
    by A.Pinya Hom-anek, CISSP
    ปริญญา หอมอเนก ผู้อำนวยการ สถาบันพัฒนาผู้เชี่ยวชาญระบบเครือข่าย และความปลอดภัยคอมพิวเตอร์ (ACIS) http://www.acisonline.net/article_prinya_hackercracker.htm

    Full Title : แน่ใจได้อย่างไรว่าระบบของเราปลอดภัยจาก Hacker/Cracker?
    เป็นที่ทราบกันดีว่า Internet Traffic ในทุกวันนี้ส่วนใหญ่ล้วนแต่เป็น "Plain Text" Traffic ที่ไม่ได้มีการเข้ารหัสข้อมูลแต่อย่างใดเช่น HTTP (Web Traffic), FTP(อัพโหลด/ดาวน์โหลดไฟล์) ,SMTP, POP3 (รับ-ส่งอีเมล์) เป็นต้น การรับส่งอีเมล์ผ่านทาง Web Mail หรือการล็อกอินเข้าไปในระบบผ่านทาง Web Browser นั้น ล้วนแต่เป็นข้อมูลที่ไม่ได้เข้ารหัสทำให้ Hacker/Cracker หรือผู้ไม่หวังดีสามารถใช้โปรแกรมประเภท "Packet Sniffer" แอบดู Traffic ของเราได้ ทำให้ Hacker เห็นชื่อผู้ใช้และรหัสผ่าน (User Name & Password) ของเรา จากนั้น Hacker ก็สามารถเข้ามาในระบบแทนตัวเราได้ในภายหลัง
    เวลาที่เราถูก "Sniff" หรือถูกแอบดูข้อมูลในระบบ LAN นั้น เราอาจจะไม่รู้ตัวเลยก็ได้ว่าถูกแอบดูข้อมูลอยู่ เรียกว่าถ้าเรากำลังสูญเสีย "Confidentiality" ของระบบข้อมูล Hacker มักจะนิยมใช้โปรแกรมประเภท "RootKit" ฝังเข้าระบบ UNIX/Linux ของเราโดยเราไม่สามารถตรวจสอบได้ง่ายๆแนะนำให้ไปที่ Web Site http://www.chkrootkit.org แล้วใช้โปรแกรมใน Site นี้ ในการตรวจสอบระบบของเรา จะช่วยได้มากถ้าเรารู้ตัวก่อน จะได้จัดการลบเจ้า RootKit ออกจากระบบได้ทันก่อนสายเกินแก้
    เรามักเข้าใจว่าโปรแกรมประเภท "Sniffer" นั้น สามารถทำงานได้เฉพาะระบบ LAN ที่เป็น Hub เท่านั้น ถ้าเราใช้ Switch มาแทน Hub แล้ว โปรแกรม Sniffer จะไม่สามารถมองเห็นข้อมูลของเราได้
    ความคิดนี้ถูกเพียงครึ่งเดียวเท่านั้นคือ โดยปกตินั้น Sniffer จะใช้หลักการที่ Hub ทำการ Broadcast ข้อมูลออกมาในทุกๆพอร์ต ทำให้เราจะใช้โปรแกรม Sniffer จับที่พอร์ตไหนของ Hub ก็ได้ แต่ถ้าเป็น Switch จะมีการตรวจสอบค่า "MAC Address" ของ Workstation หรือ Server ที่ต่ออยู่ที่พอร์ตนั้นๆ ว่าต้องการจะติดต่อไปยังปลายทางที่พอร์ตใด Switch ก็จะจัดการให้ต้นทางกับปลายทางเชื่อมต่อกันโดยข้อมูลจะไม่ถูกส่งไปยังพอร์ ตอื่นที่ไม่เกี่ยวข้อง หาก Hacker ใช้ Sniffer จับข้อมูลโดยต่อเข้ากับพอร์ตใดพอร์ตหนึ่งของ Switch เจ้าโปรแกรม Sniffer ก็จะไม่สามารถมองเห็นข้อมูลได้เหมือนกับสภาวะแวดล้อมที่เป็น Hub
    ที่บอกว่าถูกเพียงครึ่งเดียวก็เพราะว่าเทคโนโลยีสมัยใหม่ของพวก Hacker และโปรแกรม Sniffer นั้น สามารถทำงานในสภาวะแวดล้อมที่ใช้ Switch แทน Hub ได้ โดยใช้เทคนิค "MIM" หรือ "MITM" ย่อมาจาก "Man In The Middle Attack" ซึ่งมีการทำการปลอม "MAC Address" หลอกเครื่องต้นทาง,เครื่องปลายทาง และ Switch ให้เข้าใจผิดว่าเครื่องของ Hacker ที่กำลังรันโปรแกรมประเภท Sniffer ดักขัอมูลเราอยู่นั้นเป็นเครื่องต้นทางและปลายทางที่กำลังติดต่อกันอยู่ เทคนิคนี้เรียกว่า "ARP Spoofing" และ "ARP Poisoning" โปรโตคอล TCP/IP นั้นมีช่องโหว่อยู่ที่หลักการ ARP นั้นไม่ได้มีการป้องกันด้าน Security ที่ดีพอ ทำให้ Hacker สามารถป้อนค่า MAC Address ปลอมมาหลอกเครื่องของเราเมื่อไรก็ได้โดยที่เราไม่รู้ตัวและ Switch ที่ไม่ได้ถูกโปรแกรมในลักษณะ "Port Security" ก็จะไม่สามารถที่จะแก้ปัญหา ARP Spoofing และ ARP Poisoning ได้
    ด้วยหลักการนี้ Hacker จึงสามารถมองเห็นข้อมูลสำคัญๆของเราเช่น User Name และ Password จากการที่เราเข้าเล่น Web หรืออ่านอีเมล์ได้อย่างสบายๆ เพราะข้อมูลไม่ได้เข้ารหัสอยู่แล้ว ถ้าเราใช้ VPN (Virtual Private Network) ก็สามารถที่จะแก้ปัญหานี้ได้ บางคนก็ใช้ SSH (Secure Shell) แทน Telnet ซึ่ง Traffic เป็นลักษณะ "Plain Text" โดยตัว SSH โปรโตคอลจะทำการเข้ารหัสข้อมูลของเราไว้ไม่ให้ Hacker มองเห็นได้ง่ายๆ ( Cipher Text ) ตลอดจน Web Traffic ที่ใช้ HTTP ก็เปลี่ยนเป็น HTTPS โดยมีการใช้ SSL (Secure Socket Layer) โปรโตคอลมาเข้ารหัสข้อมูลให้เป็น "Cipher Text" ที่ Hacker ไม่สามารถอ่านได้เป็นต้น แต่ข่าวร้ายก็คือด้วยเทคนิคของโปรแกรม Sniffer บางตัวเช่นโปรแกรม dsniff ของ Dug Song (เข้าไปดูได้ที่ www.monkey.org/~dugsong/dsniff มีความสามารถในการดักจับข้อมูลที่ใช้ SSH และ SSL ได้ โดยจะโปรแกรมแอบดูข้อมูลมาให้อย่างครบชุด เช่นurlsnarf, mailsnarf, filesnarf และ webspy เป็นต้น โดยโปรแกรมจะดักจับเฉพาะ Username และ Password เป็นหลัก ถ้าเราใช้ Switch อยู่ โปรแกรม dsniff ก็สามารถดักจับข้อมูลได้โดยใช้เทคนิค ARP spoof, DNS spoof และ Macof สำหรับโปรแกรมที่ใช้จัดการกับ SSH และ HTTPS ก็คือโปรแกรม sshmitm และ webmitm
    โปรแกรม dsniff ถือว่าเป็นโปรแกรมที่ค่อนข้างจะอันตรายมากถ้ามาใช้ในระบบ LAN ของเรา และอาจทำให้ Switch ของเรา Hang ได้ จะเทคนิค ARP spoofing และ ARP poisoning ดังนั้นเราควรระมัดระวังการใช้งานโปรแกรมประเภทนี้ โปรแกรม dsniff ปกติจะทำงานบน UNIX Platform โดยเฉพาะ Linux แต่ถ้าเราใช้ Windows อยู่แล้วอย่างลองเล่นดู ให้ไปที่ http://www.datanerds.net/~mike/dsniff.html จะมีโปรแกรมที่เป็น win32 ให้เราเล่นบน Windows แต่เราต้องติดตั้ง Library ของห้องวิจัย Lawrence Berkeley เสียก่อน จาก web site: http://ee.lbl.gov ชุด Library "libpcap" บน Unix และ "winpcap" บน Windows จาก web site http://netgroup-serv.polito.it เป็นรากฐานของโปรแกรมประเภท Sniffer ส่วนใหญ่ที่ทำงานบน Unix และโปรแกรมจาก Sniffer ที่พอร์ตจาก Unix มาทำงานบน Windows Library "libpcap" , "winpcap" เป็นพื้นฐานของโปรแกรมประเภท Sniffer ที่ Hacker นิยมใช้เช่น tcpdump (http://www.tcpdump.org และ windump (http://windump.polito.it ) ตลอดจนยังเป็นพื้นฐานของโปรแกรมประเภท IDS (Intrusion Detection Systems) ด้วย เช่น snort จาก http://www.snort.org เป็นต้น
    วิธีการป้องกันก็คือ เราควรจะเข้ารหัสข้อมูลที่เป็น Plain Text ของเราเสียก่อนโดยใช้เทคนิค VPN เช่น IPsec ในการเข้ารหัสใน Layer-3, ระบบ DNS ก็ใช้ DNSSEC ป้องกัน DNS spoof Redirection สำหรับข้อมูลใน Layer-2 นั้นเราสามารถใช้ความสามารถของ Switch ที่เรียกว่า "Port Security" ในการโปรแกรมให้ Switch จำค่า MAC Address ที่เรากำหนดให้เท่านั้นกับพอร์ตของ Switch เรียกว่า "Static ARP Entries" เพื่อป้องกัน ARP spoof Redirection แต่เราอาจจะพบกับความไม่สะดวกบ้าง เพราะพอร์ตของ Switch นั้นก็จะถูกบังคับให้ต้องติดกับ MAC Address ที่เรากำหนดเท่านั้น ในกรณีที่มีการเปลี่ยน LAN Card ก็จะต้องโปรแกรมSwitch กันใหม่
    อีกวิธีหนึ่งก็คือการตรวจจับว่ามีโปรแกรม Sniffer อยู่ในระบบของเราหรือไม่ นอกจากการตรวจที่ตัวเครื่องโดยใช้โปรแกรมจาก www.chkrootkit.org หรือ การตรวจค่า Integrity โดยใช้โปรแกรม Tripwire (จาก www.tripwire.com หรือ www.tripwire.org) เราสามารถใช้โปรแกรมตรวจจับลักษณะการทำงานของ LAN Card ของเครืองที่ Sniffer ทำงานอยู่ใน "Promiscuous Mode"ได้ เช่น Antisniff ของ www.atstake.com และโปรแกรม PromiScan ของ www.securityfriday.com เป็นต้น
    นอกจากนี้ยังมีโปรแกรมเช่น arpwatch จากห้องวิจัย Lawrence Berkeley ดูที่ http://www-nrg.ee.lbl.gov arpwatch จะทำการตรวจสอบ ARP Mapping ในระบบ LAN ของเราว่าโดน ARP spoof หรือไม่ โปรแกรม IDS บางตัวเช่น RealSecure ของ ISS.net หรือ NFR สามารถที่จะตรวจจับลักษณะการใช้เทคนิค DNS Spoof หรือเทคนิค TCP RST หรือ ACK Floods ได้เช่นกัน
    สรุปได้ว่าตอนนี้เราคงต้องหันมาตรวจสอบระบบเราว่าโดยการทำ "Penetration Test" ดูว่ามีความปลอดภัยจากโปรแกรมประเภท Sniffer แค่ไหน ในแง่มุมของด้าน Information Security นั้น ภัยจาก Sniffer เราเรียกว่าเป็น "The Real Threat" หมายถึง เป็นภัยที่น่ากลัวเพราะ Hacker มาอยู่ในระบบของเรา แอบดูข้อมูลเราแต่เราไม่รู้ตัวนั่นเอง
    ในฉบับหน้า ผมจะกล่าวถึงเทคนิคขั้นสูงของพวก Hacker อื่นๆอีกที่เราควรจะทราบเพื่อที่จะได้ป้องกันระบบของเราต่อไปนะครับ รายละเอียดเพิ่มเติมเข้ามาดูได้ที่ www.acisonline.netหรือติดต่อผมได้ที่ prinya@acisonline.net
    จาก : หนังสือ eWeek Thailand
    Update Information : 20 กรกฎาคม 2545

14. Hack เครื่องลูกด้วย Key Capture
หาคำตอบให้คุณพ่อลูกสาว ..
คุณพ่อของลูกสาวคนเก่งคนหนึ่ง โทรถามผมว่าลูกสาวคุยกับหนุ่มต่างจังหวัดโดยใช้คอมพิวเตอร์เป็นประจำ ถึงตี 3 ตี 4 ตอนแรกก็มีคอมพิวเตอร์นอกห้อง หนักเข้าก็ยกเข้าห้องนอน แถมที่บ้านเป็น ADSL ที่ใช้ Internet แบบเหมาจ่าย จะ Hack e-mail ของลูกสาวได้อย่างไร แต่เข้าห้องนอนไม่ได้เพราะ Lock ที่บ้านมีคอมพิวเตอร์เครื่องเดียวไม่ใช่ LAN แถมลูกสาวห้ามคุณพ่อใช้เครื่อง ถ้าใช้ก็จะนั่งเฝ้าเพราะไม่ไว้ใจ และเคยคุยกันเรื่องนี้แล้ว จนมีปากเสียงกันเล็กน้อย คุณพ่อก็เกรงว่าเรื่องจะเลยเถิด จึงอยากสอดส่องพฤติกรรมให้ใกล้ชิดกว่านี้
ขั้นแรกก็แนะนำตาม Theory คือ ให้ความใกล้ชิดกับลูก พาไปเที่ยว พูดคุยกันให้มากขึ้น หากิจกรรมทำร่วมกัน ให้เขารู้สึกว่าเรารัก และห่วงใยเขา นั่นเป็นการป้องกันที่ถูกต้อง
    การ Hack เครื่องลูก .. ถ้าจำเป็น
  1. หยุดคิดเรื่องการ Hack แต่ให้ความรักกับลูก หรือไปคุยกับจิตแพทย์
  2. หาช่างไปงัดห้อง แล้วทำกุญแจผีเก็บไว้
  3. ติดตั้ง Key Capture ตามขั้นตอน เพื่อจับรหัสผ่านเข้า mail
  4. ติดตั้ง Key Capture ในเครื่องอื่น แล้วให้เข้าไปใช้ mail
  5. หา Hub มาต่อ และซื้อคอมพิวเตอร์ พร้อมลง Sniffer จับข้อมูล
  6. ติดตั้งกล้องวงจรปิดในห้องลูกสาว ดูว่ากดอะไรบ้างบนแป้นพิมพ์
  7. ติดเครื่องดักฟังในห้องลูก ถ้าต้องการทราบว่าคุยอะไรกันบ้าง
  8. ดูหนัง และอ่านนิยายนักสืบให้มากขึ้น .. อาจมีวิธีอื่นที่ดีกว่า
    ขั้นตอนการจับ keystroke ด้วย Key Capture
  1. Download โปรแกรมจาก dynamicnetservices.com # 179 KB
  2. Unzip ลง C:\ จะได้ 4 แฟ้มในห้อง C:\Executables
  3. เปิดโปรแกรม KeyCapture Config.exe แล้วเลือก Setup
  4. ยกเลิก Capture อื่น ๆ ให้เหลือเฉพาะ Capture Keystroke Data
  5. ก่อนออกจากโปรแกรมเลือก CheckBox ที่ Enable KeyCapture
    เพื่อเริ่มจับการใช้แป้นพิมพ์
  6. ทดสอบพิมพ์โดยใช้แป้นพิมพ์สักพัก
  7. เปิด KeyCapture Config.exe อีกครั้ง เลือก Save Data จะได้แฟ้ม .txt
  8. ใช้ Notepad เปิดแฟ้มข้อมูล .txt ขึ้นมาดูกิจกรรมของผู้ใช้
  9. ตรวจการทำงานจาก Ctrl-Alt-Del พบ KeyCapture.exe แม้หลัง Restart
  10. เปิดแฟ้มข้อมูล ใน C:\Executables ไม่ได้ ต้องใช้ Save Data จึงจะอ่านออก

15. หัวข้อสำหรับระวัง เรื่องความปลอดภัย
    Personal
  1. Hardware, Software, Peopleware, Credit Card
  2. Backup, Restore, Recovery
  3. Spyware, Spam, Virus, Trojan Horse
  4. Crack, Hack (Sniffer, Frontal attack, Exploiting)
    Service
  5. Database, Board, Member, Domain Name, Web Hosting
  6. Firewall, DHCP, Router, Fiber Optic, Telephone Line, IDC
  7. Encryption, Descryption, SSL, Serial, Verification, e-mail confirm
  8. Paypal, Thaiepay.com
    Organization
  9. Network, ADSL, Wi-Fi, Access Point
  10. Policy, Branch, Priority, Guard

16. กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ถูกแฮก
ใช้เป็นกรณีศึกษา สำหรับวิชา การรักษาความปลอดภัย และ จริยธรรมด้านไอที ได้ดีทีเดียว
+ thairath.co.th
+ manager.co.th
ภายหลังจากที่กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (ไอซีที) ประกาศใช้กฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ไปหมาดๆ ก็เจอมือดีเข้ามาลองของจนได้ โดยผู้สื่อข่าวรายงานว่า เมื่อวันที่ 19 ก.ค. เวลา 11.50 น. เว็บไซต์ของกระทรวงไอซีที www.mict.go.th ถูกแฮกเกอร์นำภาพของ พ.ต.ท.ทักษิณ ชินวัตร อดีตนายกรัฐมนตรี รูปธงชาติ พร้อมข้อความที่ไม่เหมาะสม และมีรูปของ พล.อ. สนธิ บุญยรัตกลิน ผู้บัญชาการทหารบก ในฐานะประธานคณะมนตรีความมั่นคงแห่งชาติ มีข้อความว่า “เอา คมช. คืนไป เอาทักษิณคืนมา” ไปแสดงไว้บนหน้าเว็บไซต์กระทรวงไอซีที ประมาณ 20 นาที
ทั้งนี้ มีการตั้งข้อสังเกตว่า การกระทำดังกล่าว เหมือนกับต้องการท้าทายกฎหมายฉบับดังกล่าว ซึ่งมีผลบังคับใช้ไปเมื่อวันที่ 18 ก.ค. ที่ผ่านมา หรือก่อนหน้านี้ เพียง 1 วัน โดยกฎหมายฉบับดังกล่าวมีบทลงโทษผู้ที่นำข้อความ หรือรูปภาพที่หมิ่นประมาท และมีผลกระทบต่อความมั่นคง โดยเฉพาะการส่งต่ออีเมล์ที่มีข้อความหมิ่นประมาท และมีผลต่อความมั่นคง รวมถึงหมิ่นสถาบันพระมหากษัตริย์ ซึ่งหากจับได้มีบทลงโทษตั้งแต่ยึดและอายัดระบบคอมพิวเตอร์ สั่งปรับ หรือทั้งปรับและจำคุก
นายสิทธิชัย โภไคยอุดม รมว.ไอซีที กล่าวว่า ไม่ เชื่อว่าข้อมูลและรูปที่นำมาลงไว้บนหน้าเว็บไซต์ไอซีที จะเป็นฝีมือของอดีตนายกรัฐมนตรีและพรรคพวก เพราะหากทำก็เท่ากับเป็นการฆ่าตัวตายชัดๆ เพราะในสถานการณ์แบบนี้คงไม่มีใครกล้านำภาพของตัวเอง และข้อความมาโจมตีคนอื่นไปไว้บนหน้าเว็บไซต์แบบนั้น แต่คาดว่าน่าจะเป็นฝีมือของบุคคลอื่น หรือเด็กที่ต้องการความสนุก หรือเอามัน ขณะนี้กำลังตรวจสอบหาตัวผู้ที่นำภาพและข้อมูลดังกล่าวมาลงโทษตามกฎหมายว่า ด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
“ยอมรับว่าการที่แฮกเกอร์สามารถเข้าไปในเว็บไซต์ ของกระทรวงไอซีทีได้ง่าย เพราะไม่ได้ใช้ระบบป้องกัน แม้ก่อนหน้านี้จะเคยสั่งการให้ส่วนที่เกี่ยวข้องไปดำเนินการแล้วก็ตาม อย่างไรก็ตาม ไม่ถือว่าเป็นการเสียหน้าเพราะเป็นเรื่องเล็ก เนื่องจากเว็บไซต์ทุกเว็บมีสิทธิที่จะถูกแฮกได้ทั้งนั้น และที่ผ่านมากระทรวงไอซีทีก็ไม่มีระบบรักษาความปลอดภัยที่ดีพอ” รมว.ไอซีที กล่าว
นายสิทธิชัยกล่าวต่อว่า ขณะนี้ได้ประสานงานไปยังบริษัท กสท โทรคมนาคม จำกัด (มหาชน) ให้ช่วยดำเนินการสืบหาผู้ที่นำข้อมูลดังกล่าวมาไว้บนเว็บด้วย หากได้ตัวเมื่อไหร่ อาจจะต้องเข้าสู่กระบวนการพิจารณาของศาล และขอยืนยันว่าการแฮกข้อมูลดังกล่าว ไม่ได้สร้างความเสียหายให้กระทรวงไอซีที เพราะไม่มีข้อมูลอะไรที่สำคัญมากกว่าข้อมูลพื้นฐานทั่วไป ที่ต้องการเผยแพร่ ให้กับประชาชนทั่วไปได้รับทราบเท่านั้น
ต่อมาในเวลา 17.30 น. นายวิษณุ มีอยู่ โฆษกกระทรวง ไอซีที กล่าวว่า ขณะนี้รู้เบาะแสของผู้ที่เข้ามาโจมตีเว็บไซต์ ไอซีทีแล้ว โดยมาจาก 3 แหล่ง ส่วนจะเป็นในประเทศหรือต่างประเทศไม่สามารถเปิดเผยข้อมูลได้ โดยในวันที่ 20 ก.ค. นี้ ทางฝ่ายกฎหมายของกระทรวงไอซีทีจะเดินทางพร้อมหลักฐานที่จัดเก็บได้ ไปแจ้งความดำเนินดคีที่สน.ทุ่งสองห้อง โดยหลักฐานทีมีอยู่ เป็นหลักฐานด้านอิเล็กทรอนิกส์ ซึ่งมีความผิดชัดเจนตาม พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ตามมาตรา 5, 9, 10 เรื่องการเข้าถึงระบบคอมพิวเตอร์ของผู้อื่นโดยมิชอบ รวมทั้งได้ทำการแก้ไขเพิ่มเติมข้อมูลโดยไม่ได้รับอนุญาต มีโทษจำคุกไม่เกิน 5 ปี ปรับไม่เกิน 100,000 บาท หรือทั้งจำทั้งปรับ
“การแก้ไขหน้าหลักของเว็บไซต์กระทรวงไอซีทีไม่ใช่เรื่องง่าย หากไม่จงใจที่จะโจมตี เนื่องจากกระทรวงมีระบบรักษาความปลอดภัยในระดับหนึ่ง แต่ยอมรับว่าไม่ใช่ในระดับสูงสุด เนื่องจากเป็นหน้าเว็บไซต์ที่ให้ข้อมูลแก่ประชาชน ซึ่งต้องทำการเปลี่ยนแปลงแก้ไขบ่อยครั้ง หลังจากนี้จะเข้มงวดเรื่องมาตรการรักษาความปลอดภัยไอซีทีมากขึ้น ส่วนข้อมูลความลับทางราชการหรือระบบภายในยืนยันว่าไม่ได้ถูกโจมตีแต่อย่างใด และขอฝากเตือนประชาชนว่า อย่าเข้าไปโจมตีข้อมูลทางคอมพิวเตอร์ ของผู้อื่นด้วยความคึกคะนอง เนื่องจากจะถูกลงโทษตามกฎหมาย” โฆษกกระทรวงไอซีที กล่าวย้ำ

17. รวบแฮกเกอร์ เจาะ-ดูดเงิน ลูกค้ากรุงไทย
+ http://hilight.kapook.com/view/22913
+ http://tnews.teenee.com/crime/22489.html
+ ปศท.จับ นักศึกษาหนุ่มแฮกข้อมูลลูกค้าธนาคาร
เปิดเผยเมื่อเวลา 17.45 นาฬิกา วันที่ 17 เมษายน พ.ต.อ.อาคม ช้างพลายแก้ว ผกก.ฝ.5 บก.ปศท. พ.ต.อ.ธนา ชูวงศ์ ผกก.สภ.เมืองสมุทรปราการ พ.ต.ท.สถาพร รอดโพธิ์ทอง รอง ผกก.ฝ.5 ร่วมกับ พ.ต.ท.สุรวุฒิ แสงรุ่งเรือง สวป.สภ.เมืองสมุทรปราการ ร.ต.อ.นพดล ช่างเรือน รอง สวป. พร้อมกำลัง นำหมายศาลอาญากรุงเทพใต้ หมายเลข 419/2551 จับกุมนายดุสิต พิมพ์สุวรรณ อายุ 20 ปีได้ที่ห้องพักหมายเลข 1202 ชั้น 2 บ้านพักเจ้าท่าสมุทรปราการ ถนนด่านเก่า ต.ปากน้ำ พร้อมของกลาง ซิมการ์ดโทรศัพท์มือถือ 15 ตัว กับซีพียูคอมพิวเตอร์จำนวน 1 เครื่องข้อหาเข้าถึงข้อมูลโดยมิชอบและแก้ไขเปลี่ยนแปลงเพิ่มเติมข้อมูล คอมพิวเตอร์เพื่อการลักทรัพย์
ทั้งนี้ สืบเนื่องจากเจ้าหน้าที่ตำรวจกองบังคับการปราบปรามอาชญากรรมทางเศรษฐกิจและ เทคโนโลยี (ปศท.) ได้รับแจ้งจากธนาคารกรุงไทยจำกัด (มหาชน) สำนักงานใหญ่ เมื่อวันที่ 10 เมษายน 51 ว่า มีลูกค้าของธนาคารหลายรายร้องเรียนว่าเงินในบัญชีธนาคารที่ได้มีการเปิด บัญชีออนไลน์ หรือที่เรียกกันว่าการใช้โปรแกรม ID-PLUS+ ถูกดึงเงินออกจากบัญชีไปยอดเงินรวมไม่ต่ำกว่า 800,000 บาท จึงได้มีการวางแผนสืบสวนและตรวจสอบจาก IP:address หมายเลขเครื่องคอมพิวเตอร์ของกลุ่มลูกค้าผู้เสียหาย
กระทั่งทราบว่าแต่ละเครื่องก่อนที่จะถูกดึงเงินออกจากบัญชี ได้มีการเข้าไปเล่นอินเตอร์เน็ตในเว็บ ประมูลดอทคอม หรือ www.pramool.com และได้เข้ากระทู้ที่ตั้งโดยสมาชิกเว็บที่ใช้นามแฝงว่า DEKROCK777 และโหลดโปรแกรมออกมาจากเว็บดังกล่าว ซึ่งเป็นโปรแกรมที่สามารถเชื่อมต่อคอมพิวเตอร์ของผู้เสียหายกับสมาชิกเว็บคน ดังกล่าวได้ และตรวจสอบจนทราบว่าสมาชิกเว็บคนดังกล่าวเป็นใคร ก่อนขออนุมัติหมายศาลเข้าจับกุมตัว
จากการสอบสวน นายดุสิต แฮกเกอร์หนุ่ม ให้การว่า เป็นนักเรียน กศน.อยู่ที่ศูนย์การศึกษานอกโรงเรียนจังหวัดสมุทรปราการ ใช้เวลาว่างในการเล่นเกมคอมพิวเตอร์ออนไลน์และเป็นสมาชิกของเว็บประมูล จนกระทั่งได้โปรแกรม prorat มาใหม่จากเพื่อนซึ่งเป็นโปรแกรมในการสร้างไวรัสโทรจัน ซึ่งโปรแกรมนี้สามารถใช้เชื่อมต่อกับคอมพิวเตอร์เครื่องอื่นๆ ที่กำลังทำการเปิดเครื่องอยู่ในลักษณะออนไลน์ จึงได้ลองตั้งกระทู้ในเว็บบอร์ดแล้วแนบโปรแกรมดังกล่าวให้สมาชิกในเว็บแต่ละ คน บางรายมีการเปิดระบบ ID-PLUS+ ซึ่งเป็นระบบการสั่งให้ฝากถอนเงินในบัญชีธนาคารกรุงไทย ผ่านทางอินเตอร์เน็ต หรือที่เรียกกันว่า KTB-online
จากนั้นจะตรวจสอบหมายเลขบัญชีของเจ้าของเครื่องคอมพิวเตอร์แต่ละ ราย ก่อนหน้านั้นเคยสั่งจ่ายเงินจากบัญชีของเจ้าของเครื่องไปจ่ายค่าโทรศัพท์มือ ถือของดีแทคด้วย และยังเคยรับบริการรับฝากเติมเงินค่าโทรศัพท์มือถือจากกลุ่มเพื่อน หากเติมเงิน 100 บาท ก็ให้จ่ายเงินกับตนแค่ 50 บาท โดยใช้เครื่องคอมพิวเตอร์ที่มีบัญชีของธนาคารกรุงไทย กดสั่งจ่ายชำระ เพิ่งทำไม่กี่ครั้ง ไม่คาดคิดว่าจะถูกจับกลายเป็นเรื่องราวใหญ่โตขนาดนี้
ทางด้าน พ.ต.อ.อาคม ช้างพลายแก้ว ผกก.ฝ.5 บก.ปศท. กล่าวว่า หลังรับแจ้งได้ให้ฝ่ายสืบสวนตรวจสอบเครือข่ายของเครื่องผู้เสียหายแต่ละคน จนทราบว่ามีการเข้าเว็บไหน และโหลดโปรแกรมอะไรลงเครื่องบ้าง จนทราบว่าแต่ละคนได้เข้ากระทู้ที่ตั้งโดยผู้ต้องหาใช้ชื่อนามแฝงว่า DEKROCK777 จึงได้มีการตรวจสอบ ไอพีแอดเดรส จนทราบตัวผู้ต้องหาและที่อยู่ก่อนขออนุมัติหมายศาลและประสานเจ้าหน้าที่ ตำรวจในพื้นที่เข้าจับกุม

18. เว็บสภาโดนแฮก!เปลี่ยนรูป'ชัย ชิดชอบ'
+ http://www.rssthai.com/reader.php?t=it&r=11459
+ http://hilight.kapook.com/view/26329
เมื่อเย็นวันนี้ (8 กรกฎาคม 2551) ที่ผ่านมา ได้มีแฮกเกอร์มือดีเข้าไปแฮกในเว็บไซต์ของรัฐสภา (www.parliament.go.th) ในส่วนข้อมูลประวัติของนายชัย ชิดชอบ ประธานรัฐสภาและประธาน สภาผู้แทนราษฎร โดยได้เปลี่ยนรูปนายชัยเป็นรูปตัวเงินตัวทอง โดยมีการโพสต์นานประมาณ 10 นาที ก่อนที่เจ้าหน้าที่จะตรวจพบและแก้ไขจนเรียบร้อย
ด้าน นายพิทูร พุ่มหิรัญ เลขาธิการสภาผู้แทนราษฎร กล่าวว่า ได้รับรายงานจากเจ้าหน้าที่ระบบคอมพิวเตอร์ของสภา ตั้งแต่เย็นวันที่ 8 กรกฎาคมจึงได้สั่งการไปยังเจ้าหน้าที่ควบคุมระบบให้แก้ไขและป้องกันแล้ว และให้ตรวจสอบต้นตอที่มาที่ไปเป็นอย่างไร แต่ต้องยอมรับว่าการที่บุคคลภายนอกจะเข้ามาแฮกข้อมูลของรัฐสภานั้นทำได้ง่าย โดยป้องกันยากและไม่แน่ใจว่าจะมีวิธีป้องกันตลอดเวลาได้ แต่คงต้องหารือกับผู้เชี่ยวชาญระบบคอมพิวเตอร์ ทั้งกระทรวงเทคโนโลยีและสารสนเทศ ที่มีผู้บริหารเป็นบอร์ดของรัฐสภา รวมทั้งสมาชิกที่มีความเชี่ยวชาญและศึกษาเรื่องระบบคอมพิวเตอร์โดยตรง เช่น นายวราวุธ ศิลปอาชา ส.ส.สุพรรณบุรี พรรคชาติไทย และนายอภิวัฒน์ เงินหมื่น ส.ส.อำนาจเจริญ พรรคประชาธิปัตย์ เพื่อร่วมกันหาทางป้องกันแก้ไขปัญหา
ขณะที่นายชัย ชิดชอบ ประธานรัฐสภาและประธานสภาผู้แทนราษฎรกล่าวว่า ได้รับรายงานแล้วแต่ยังไม่เห็นภาพ ยังนึกสงสัยอยู่ว่าทำไมเขาไม่เอารูปกะโหลกใส่เข้าไป ทำไมต้องเอารูปตัวเงินตัวทองมาใส่ แต่ในฐานะที่เราเป็น ส.ส. ก็ต้องคิดว่า เป็นตัวแทนของชาวบ้านก็ต้องถูกตรวจสอบได้ เมื่อถามว่าจะให้เจ้าหน้าที่เกี่ยวข้องตรวจสอบหาคนทำหรือไม่ นายชัยตอบว่า ถ้าจะกรุณาก็ยินดี แต่สำหรับสถานการณ์การเมืองในขณะนี้ มันเป็นไปตามธรรมชาติ ดวงเมืองมาอย่างนี้มันก็ต้องเป็นไปอย่างนี้
ส่วน นายมั่น พัทธโนทัย รัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (ไอซีที) กล่าวว่า จากที่ได้รับทราบว่า มีคนนำตัวเงินตัวทอง ไปโพสต์บนหน้าของนายชัย ชิดชอบ ประธานสภาผู้แทนราษฎร บนเว็บไซต์ของรัฐสภานั้น ได้สั่งดำเนินการลบภาพดังกล่าวทิ้งทันที โดยใช้อำนาจตาม พ.ร.บ.ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550 และให้เจ้าหน้าที่มารายงานผลให้ทราบในวันเดียวกันนี้ ขณะเดียวกันกระทรวงไอซีทีก็ได้ติดตามเรื่องดังกล่าวอย่างใกล้ชิด เพื่อไม่ให้เกิดเหตุการณ์เช่นนี้อีก
ทางด้าน พ.ต.อ.ญาณพล ยั่งยืน ผบก.สำนักคดีเทคโนโลยีและสารสนเทศ กรมสอบสวนคดีพิเศษ กล่าวถึงแนวทางการสืบสวนหาตัวคนร้ายว่า ขึ้นอยู่กับทางรัฐสภาว่าได้วางระบบป้องกันการแฮกเกอร์ ระบบคอมพิวเตอร์ไว้อย่างไรบ้าง หากมีการวางระบบที่สามารถบันทึกข้อมูลของต้นทาง ที่เข้ามาแฮกเกอร์ระบบคอมพิวเตอร์ไว้ จะสามารถสืบสวนสอบสวนตามจับคนร้ายได้ สำหรับพฤติการณ์การเข้าไปแฮกระบบคอมพิวเตอร์เพื่อเปลี่ยนรูปภาพประธานสภา นั้น ทำได้ไม่ยาก คนที่มีความรู้เรื่องคอมพิวเตอร์สามารถทำได้ ไม่ต้องเชี่ยวชาญถึงขั้นโปรแกรมเมอร์ ส่วนการดำเนินคดีขึ้นอยู่กับเจ้าทุกข์ว่า จะแจ้งความกับดีเอสไอหรือตำรวจเพื่อดำเนินคดีกับผู้ไม่หวังดีหรือไม่ สำหรับพฤติการณ์ดังกล่าวเข้าข่ายความผิด มีโทษจำคุก 1-5

19. นักเรียน ม.ปลาย แฮก thainame.net
10 กันยายน 2551 ผมได้รับ e-mail จากนักเรียนมัธยมปลายคนหนึ่ง ใช้นามว่า database หรือ ไอซ์ แจ้งให้ผมทราบว่า เว็บไซต์ thainame.net ที่ผม opensource ระบบ Free Homepage มีจุดรั่วที่เขามาสามารถ เข้ามาสร้าง Backdoor เพื่อสั่งงานเครื่องบริการนี้ ผ่านระบบบริการที่ผมให้บริการเป็นกรณีศึกษานั้นได้
ประเด็น 1 : นักเรียนท่านนี้เสนอขาย CD สอนป้องกันระบบ 2 แผ่น 500 บาท และถ้าจ่ายอีก 300 บาท เขาจะบอกจุดรั่วของระบบให้ผมทราบ ผมจึงตอบ mail กลับไปว่า เขาคือความหวังของประเทศ น่าจะใช้ชีวิตที่เหลือและมีค่าบนโลกนี้ให้เกิดประโยชน์แก่เพื่อนมนุษย์ด้วย กัน แล้วเขาก็ตอบกลับมาพร้อมแจ้งช่องโหว่ในระบบบริการของผมให้ได้ทราบ โดยไม่คิดค่าใช้จ่าย
ประเด็น 2 : ในครั้งแรกนักเรียนท่านนี้เข้ามา hack จนสำเร็จ และส่ง e-mail มาขายซีดีนั้น เขาไม่ทราบว่าสิ่งที่ทำอยู่เป็นสิ่งที่ไม่ถูกต้อง เพราะแจ้งอีเมล และเว็บไซต์ พร้อมข้อมูลส่วนตัวโดยละเอียด ลักษณะแบบนี้ไม่ใช่พฤติกรรมของผู้คิดร้าย เพราะผู้คิดร้ายมักไม่เปิดเผยตัวให้ติดตามร่องรอยได้ แต่เป็นการกระทำที่เกิดจากความรู้เท่าไม่ถึงการณ์
ประเด็น 3 : จุดบกพร่องในระบบของ thainame.net เกิดจากระบบสมาชิกที่ไม่กรองข้อมูลให้เรียบร้อย เมื่อใส่ข้อมูล chr(96) พร้อม php tag จะสามารถสั่งงานระบบปฏิบัติการให้ทำงาน ผ่านแฟ้มข้อมูลที่ขาดการป้องกันแต่แรก เคยมีคนพบวิธีนี้เมื่อปี 2006 หรือ 2 ปีก่อนหน้านี้ แต่ผมไม่ทราบ มาทราบเอาปี 2008 หลังจากผมตั้งใจตรวจสอบระบบอย่างจริงจัง ก็พบร่องรอยทั้งในปี 2006 และปี 2008

20. พบทุจริตโอเน็ต ใช้นาฬิกามือถือให้ทีมงานส่ง sms คำตอบ

โดย ผู้ จัดการออนไลน์ 4 มีนาคม 2551 17:56 น.
พบกลยุทธ์การทุจริตสอบโอเน็ตผ่านนาฬิกามือถือ อาจารย์คุมสอบจับได้ ปรับตกเฉพาะวิชา “อุทุมพร” ระบุจะนำเข้าประชุมบอร์ด 7 มีนาคมนี้ พร้อมสั่งเจ้าหน้าที่เช็กเน็ตยอดฮิตของนักเรียน หาเบาะแสทุจริตเพิ่ม
สืบเนื่องมาจากมีนักเรียนเข้าไปโพสต์ข้อมูลในเว็บไซต์ www.siamphone.com เมื่อวันที่ 1 มี.ค.ที่ผ่านมา ว่า พบเห็นการทุจริตขึ้นในการสอบ O-net วันสุดท้าย (1 มี.ค.) โดยเพื่อนนักเรียนที่เรียนอยู่โรงเรียนเดียวกันนำโทรศัพท์มือถือรุ่นที่เป็น นาฬิกาข้อมือเข้าห้องสอบและทุจริตสอบด้วยการ ให้ทีมงานหัวกะทิ ซึ่งสมัครสอบ O-net ครั้งนี้ด้วย ส่ง SMS คำตอบในวิชาที่สอบแต่ละข้อมาให้ อย่างไรก็ตาม การทำผิดครั้งนี้ ได้ถูกอาจารย์ผู้คุมสอบจับทุจริตได้ เนื่องจากสังเกตเห็นความผิดปกติของนักเรียน จึงปรับเด็กคนนั้นตกในวิชาที่ทำการทุจริต ซึ่งนาฬิกามือถือเพิ่งมีการเปิดตัวจำหน่ายเมื่อต้นปี หากมองผิวเผินจะมองว่าเป็นนาฬิกาข้อมือทั่ว ๆ ไป เด็กจึงใส่เข้าห้องสอบได้ และเด็กที่ก่อเหตุก็ตบตาอาจารย์ด้วยการพกโทรศัพท์มือถือเข้าห้องสอบด้วย และแสดงความบริสุทธิ์ใจไม่โกงสอบโดยปิดเครื่องโชว์ผู้คุมสอบ
นางอุทุมพร จามรมาน ผู้อำนวยการสถาบันทดสอบทางการศึกษาแห่งชาติ (สทศ.) ให้สัมภาษณ์ระหว่างตรวจการสอบ O-NET ระดับชั้น ม.6 พร้อมนายบุญลือ ประเสริฐโสภา รัฐมนตรีช่วยว่าการกระทรวงศึกษาธิการ ณ โรงเรียนราชวินิต (ประถม) ว่า ตนยังไม่ได้รับรายงานการทุจริตรูปแบบสมัยใหม่ น่าจะยังระหว่างที่ศูนย์สอบ O-net ทั้ง 18 แห่งทั่วประเทศ รวบรวมข้อมูลการทุจริตและรายละเอียดการทุจริต ส่งมาให้ สทศ.พิจารณา อย่างไรก็ดี จะนำปัญหาการโกงข้อสอบรูปแบบทันสมัยไล่ตามไม่ทันเข้าพิจารณาในบอร์ด สทศ.วันที่ 7 มี.ค.ด้วย เพื่อให้บอร์ดรู้เท่าทันเทคโนโลยีที่นำมาใช้ในการโกงสอบ พร้อมกันนี้ จะได้หามาตรการป้องกันให้รัดกุมมากขึ้น
ขณะนี้ได้มอบหมายให้เจ้าหน้าที่ สทศ.สืบหาข้อมูลเบาะแสการทุจริตสอบ O-net ตามเว็บไซต์ยอดฮิตของเด็กนักเรียน เพื่อดูว่ามีการทุจริตรูปแบบไหนที่ยังจับไม่ได้ หรือเล็ดลอดออกมาจนเป็นที่วิพากษ์วิจารณ์ในอินเทอร์เน็ตของเด็ก อย่างไรก็ตาม เรื่องนี้คงต้องขอความร่วมมือจากนักเรียนที่เข้าสอบด้วยว่าหากผู้ใดมีเบาะแส พบเห็นการทุจริตสอบ โดยที่ผู้ทุจริตนั้นเล็ดลอดสายตาอาจารย์ผู้คุมสอบ ไม่ถูกจับลงโทษ ขอให้แจ้งเบาะแสข้อมูลมาที่ สทศ.ได้ทันที
ในขณะนี้ข้อมูลการทุจริตมีเพียง ศูนย์สอบจุฬาลงกรณ์มหาวิทยาลัย เท่านั้น ที่รายงานข้อมูลมาให้ สทศ.ซึ่งพบผู้ทุจริตในศูนย์สอบนี้ ทั้งหมด 5 ราย ในวิชาคณิตศาสตร์ ภาษาไทย วิธีการทุจริตยังคงเป็นรูปแบบเก่าๆ ไม่ซับซ้อน นั่นคือ จับคู่กันทุจริต ขออนุญาตไปเข้าห้องน้ำระหว่างสอบพร้อมกัน โดยคู่หนึ่งไปบอกคำตอบกันในห้องน้ำ อีกคู่ก็เขียนโพยคำตอบไว้ที่ยางลบ นำยางลบไปมอบให้กันในห้องน้ำ อีกคนหนึ่งมีพิรุธรับโทรศัพท์สองครั้งในห้องสอบ ทั้งที่ระเบียบการเข้าห้องสอบให้ปิดโทรศัพท์มือถือ กรณีทุจริตนี้จะนำเข้าพิจารณาในบอร์ด สทศ.วันที่ 7 มี.ค.นี้ และคิดว่าจะตัดสินปรับตกเฉพาะวิชาที่พบเด็กทำทุจริต ส่วนเด็กที่ตกหล่นไม่ได้สอบ O-net ม.6 ในตอนนี้พบว่ามีแจ้งเรื่องเข้ามาให้ สทศ.พิจารณาเพียง 20 รายเท่านั้น บอร์ด สทศ.จะพิจารณาว่าจะจัดสอบให้เด็กเหล่านี้ทีหลังหรือไม่

PhoneOne P001
เปิดตัว 30 Jan.2008
ราคา 8,990 บาท

21. พบ http://www.stats.in.th
ผมใช้ระบบสถิติของ http://www.stats.in.th วันนี้เข้าไปแล้วพบว่า icon ไม่สามารถ load มาแสดงผล พอเข้าไปก็พบว่าหน้าของเว็บไซต์เหมือนมีการติดตั้ง web server ใหม่ จึง print screen เก็บไว้ดูก่อนครับ
อีกประมาณ 1 ชั่งโมงต่อจากนั้น เข้าไปก็พบว่าปกติดีทุกอย่าง มีความเป็นได้หลายกรณี เช่น 1) กำลัง back up ระบบ ซึ่งเว็บมาสเตอร์แจ้งให้สมาชิกทราบแล้ว 2) upgrade ระบบ จึงต้อง down server ลงชั่วคราว ไม่ว่าจะเป็นกรณีใด ทุกอย่างก็เป็นสิ่งที่เกิดขึ้นได้เสมอในสังคมบริโภคเทคโนโลยี เป็นอีกปัจจัยหนึ่งที่มนุษย์สร้างเงื่อนไขว่าเป็นสิ่งจำเป็นต่อการดำรงชีวิต ในปัจจุบัน