Jan 28, 2012

วิเคราะห์การโจมตีและผลกระทบต่อการโดนโจมตีของเว็บไซด์ Me by TMB


วิเคราะห์การโจมตีและผลกระทบต่อการโดนโจมตีของเว็บไซด์ Me by TMB


บทนำ
          ช่วงเช้าของวันที่ 28 มกราคม 2555 ก็เป็นอีกวันหนึ่งที่ผมนั่งอ่านข่าวเรื่อง Computer Security ไปเรื่อยๆตามปกติ แต่มีข่าวหนึ่งที่ทำให้ผมถึงกับสะดุ้งและสนใจในการค้นหาข้อมูลต่อตอนประมาณ 11:30  ก็คือกรณีการโดนเปลี่ยนหน้าเว็บเพจธนาคารรูปแบบใหม่จากธนาคารทหารไทย(TMB)ซึ่งใช้ชื่อว่า Me By TMB และใช้สโลแกนว่า "กล้าไหม? กับการธนาคารรูปแบบใหม่ ทำเองได้มากกว่า"

video

          ซึ่งเน้นการทำธุรกรรมต่างๆผ่านระบบ Online ล้วนๆ ทั้งการเปิดบัญชี การโอนเงิน การถอนเงินและอื่นๆต่างต้องทำผ่านระบบ Online เท่านั้น ซึ่งหน้าเว็บไซด์ปกติจะเป็นแบบนี้ครับ




          แต่หากใครเข้าไปในช่วงเวลาประมาณ 7:20 - 7:40 ก็คงจะเห็นเว็บไซด์กลายเป็นแบบนี้ไปซะแล้ว



          ทีนี้ก็ก็งานเข้าสิครับ ในเมื่อหน้าเว็บไซด์โดนเปลี่ยนซะขนาดนี้ user, password, เงินของลูกค้าไม่โดนหมดแล้วหรือนี่ ซึ่งประเดินนี้เป็นประเด็นแรกเลยที่ผมคิดถึง โดน ณ ขณะนั้นก็เห็น feed back มากมายถึงเรื่องความน่าเชื่อถือของเว็บไซด์ขึ้นมาเยอะแยะมากมายจากตัวอย่างด้านล่างครับ




          แต่หลังจากนั้นช่วงประมาณ 13:00 ทาง Me By TMB ก็ได้ออกมาชี้แจงทาง Facebook ดังนี้ครับ


บทวิเคราะห์
          ซึ่งหลังจากอ่านตรงส่วนนี้อย่างถ้วนทีแล้ว ผมก็มานั่งคิดว่ามันเป็นจริงหรือไม่จริงตามที่ทาง TMB เค้าพูดหรือไม่ ก็เลยทำการค้นหาข้อมูลเพิ่มเติม ซึ่งพบว่าเป็นดังนี้ครับ

1. เว็บไซด์ที่ใช้สำหรับการทำการตลาดหรือโฆษณาคือ www.mebytmb.com
2. เว็บไซด์ที่ใช้ในการทำธุรกรรม Online ต่างๆรวมถึงการเข้าสู่ระบบของ e-banking คือ secure.mebytmb.com

          เมื่อทราบตามนี้ก็เลยทำการทดสอบโดยหารายละเอียดของ 2 domain ดังกล่าวเพิ่มเติม โดยเริ่มจากการ ping เพื่อค้นหา IP ของเว็บไซด์ดังกล่าวทั้ง 2 ก่อน ซึ่งได้ผลคือเป็นคนละ IP ครับ

1. www.mebytmb.com คือ 203.148.250.150
2. secure.mebytmb.com คือ 58.181.180.238




          และเมื่อนำ IP ทั้ง 2 ไปหาข้อมูลเพิ่มเติมก็พบว่า
1. 203.148.250.150 เป็น IP ของ A-Net ผู้ให้บริการ Internet
2. 58.181.180.238 เป็น IP ของ TMB เองครับ



          และเมื่อทดสอบวิเคราะห์ด้วย Addon ของ Firefox ชื่อว่า Wappalyzer วิเคราะห์รูปแบบการใช้งานและ engine ที่ใช้ของ server ได้ผลว่า www.mebytmb.com คือ IIS, ASP.Net, jQuery และอื่นๆ



          แต่กลับกันเมื่อใช้วิธีเดียวกับ www.mebytmb.com กับ secure.mebytmb.com กลับพบว่าไม่สามารถวิเคราะห์ข้อมูลใดๆได้เลย



          ซี่งคาดว่าเป็นเพราะเว็บเซอร์เวอร์ของ secure.mebytmb.com ถูกทำการเพิ่มความปลอดภัย(Hardening)ด้วยการแก้ไขหรือปกปิด Header ที่แท้จริงต่างๆที่จะตอบกลับไปยัง Client ไว้ ซึ่งนั่นหมายความว่า website www.mebytmb.com และ secure.mebytmb.com เป็นคนละเว็บแอพพริเคชั่นและเว็บเซอร์เวอร์คนละตัวกันครับ นั่นหมายความว่าการโจมตีไปยัง www.mebytmb.com จะไม่มีผลกระทบแต่อย่างใดกับ secure.mebytmb.com ครับ

ผลกระทบ
          ถึงแม้ว่าจากการตรวจสอบเราจะเห็นว่าส่วนที่เป็นหลังบ้านอย่างการทำธุรกรรม Online ต่างๆหรือส่วนที่เก็บข้อมูล(Database)ของลูกค้าจะไม่ใช่ส่วนเดียวกับเว็บไซด์ที่โดนโจมตีก็ตาม แต่สิ่งที่เสียหายอย่างหนักหน่วงและมิอาจประเมิณค่าได้เลยก็คือ"ความเชื่อมั่นของลูกค้า"นั่นเอง ซึ่งตรงส่วนนี้จะเห็นตั้งแต่ส่วนแรกๆว่า มีผู้ที่ยกเลิกการจะเข้าใช้งานบริการนี้เลยทีเดียวนั่นหมายความว่าทาง TMB เสียลูกค้าไปโดยปริยายครับ ซึ่งใครจะรู้ได้ว่าลูกค้าที่ยกเลิกหรือเปลี่ยนใจจะไม่ใช้บริการนั้นจะสูงมากขนาดไหนและหากลูกค้าที่ใช้บริการอยู่หยุดการใช้งานหรือถอนเงินออกจนหมดเพราะไม่เชื่อมั่นในระบบทำให้ระบบการเงินตรงนั้นหยุดนิ่ง TMB จะเสียหายขนาดไหนก็ไม่มีใครทราบได้ ซึ่งสิ่งที่ TMB ทำได้มีเพียงแค่การพยายามสร้างหรือดึงความเชื่อมั่นนั้นกลับมา ซึ่งก็ไม่อาจทราบได้อีกว่าเมื่อไหร่จะทำได้และจะต้องลงทุนเพื่อสิ่งนั้นอีกซักเท่าไหร่ครับ

บทสรุป
          ในปัจจุบันการโจมตีต่างๆถูกกระทำผ่านเว็บไซด์มากมายและเป็นช่องทางที่ถูกใช้มากที่สุดจากที่เราเห็นข่าวกันทุกวี่ทุกวัน ซึ่งในกรณีของ Me By TMB ก็ไม่ต่างกันครับ ถึงแม้ว่าในการโจมตีครั้งนี้จะไม่มีข้อมูลใดๆหลุดออกมา แต่ก็มีผลกระทบทางจิตใจของประชาชนทั่วไปในการ "กล้า" ที่จะเข้าไปใช้บริการแน่นอน ซึ่งสิ่งนี้เป็นสิ่งที่เสียหายหนักกว่าข้อมูลที่อาจจะหลุดออกมามากมายนักครับ
          ดังนั้นผมการป้องกันที่ดีที่สุดก็คือการเขียน coding ให้ secure ครับ อาจจะอ้างอิงจาก Top 10 OWASP ก็ได้ครับหรือหากไม่มีเวลาพอที่จะเรียนรู้หรือทำตรงนั้นก็ควรจะใช้เครื่องมืออื่นเข้ามาช่วยอย่าง Web Application Firewall แทนครับ ซึ่งต้องยอมรับว่า Web Application Firewall ไม่ใช่อุปกรณ์แบบ Plug-And-Play คือไม่สามารถใช้ได้เลยเมื่อติดตั้ง ต้องมีการปรับแต่งค่ามากมายหรือถ้าให้ง่ายก็ไปหาบริษัทที่ให้บริการแนวนี้แทนครับ ถามว่าคุ้มมั้ยไม่รู้ครับแต่หากถามว่าควรมั้ยก็ต้องบอกว่าสมควรทำเป็นอย่างยิ่งครับเพราะเราไม่อาจรู้ได้เลยว่าเว็บไซด์เราจะถูกโจมตีเมื่อไหร่ ดังนั้นการป้องกันตัวเองเสียแต่เนิ่นๆจะเป็นสิ่งที่ดีที่สุดครับ



Update: หลังจากที่ค้นหาข้อมูลเพิ่มเติมพบว่า IP(203.148.250.150) ของ www.mebytmb.com นั้นมีเว็บไซด์ที่ใช้ Host นี้ร่วมกันถึง 48 website เลยทีเดียว และในวันเดียวกันที่เกิดเหตุมีเว็บไซด์บน Host ซึ่งเป็น IP เดียวกันถูกทำการโจมตีเปลียนหน้า page เหมือนกันใน IP ดังกล่าวถึง 37 Domain จึงคาดว่าเป็นช่องโหว่ที่ Host มากกว่าที่จะเป็นที่เว็บไซด์และอาจจะไม่ได้เจาะจงจะเจาะไปที่ www.mebytmb.com ครับ อีกทั้ง IP ดังกล่าวยังเปิดให้เข้าใช้งาน FTP จากภายนอกได้อีกด้วย นั่นหมายความว่า Hacker อาจจะทำการ Brute Force FTP แล้วเข้าไปเปลี่ยนหน้าเว็บของ Domain ต่างๆครับ พูดง่ายๆก็คือ Me By TMB เหมือนกับโดนลูกหลงมากกว่าครับ

 
 



If you like my blog, Please Donate Me

1 comment:

Foh9 said...

OWASP Top 10 ภาษาไทย http://foh9.blogspot.com/2012/01/10-owasp-2010.html ส่วนรายละเอียดแต่ละช่องโหว่จะทยอยนำขึ้นเว็บต่อไปครับ :) เพื่อประกอบความเข้าใจให้แก่ผู้อ่าน

 

Sponsors

lusovps.com

Blogroll

About

 Please subscribe my blog.

 Old Subscribe

Share |