เรื่องมีอยู่ว่า ผมได้รับคำถามจากลูกค้าที่ใช้ Firewall ถามว่า “ทำไมถึงเข้าเวบหน้านี้ไม่ได้ Firewall มันฟ้องว่า เว็บนี้ไม่ปลอดภัย (Compromised Websites)” หน้าตาของคำเตือนเป็นแบบนี้ครับ
ก็เลยเป็นหน้าที่ที่ผมจะต้องหาคำตอบให้ได้ว่า เกิดอะไรขึ้น Firewall ทำงานผิดพลาด หรือเว็บนี้ถูก Compromise จริง ๆ
เริ่มต้นการสอบสวน
https://www.virustotal.com/gui/home เป็นเครื่องมือที่ใช้งานง่ายครับ ขั้นแรกเลยเราก็ส่ง URL ของเวบที่น่าสงสัยนี้ไปให้ทาง virustotal.com ทำการสแกนก่อน ได้ผลดังนี้ครับ จาก Antivirus engine และ Threat scan engine จำนวน 70 ค่าย มีแค่ค่ายเดียวเท่านั้นคือ ForcePoint ThreatSeeker ที่แจ้งเตือนว่า เว็บนี้น่าสงสัย ผลการสแกนดูจากในรูปนะครับ
ผลจากการสแกนโดยใช้ Engine ของ ForcePoint (หรือชื่อดั้งเดิมคือ WebSense) ยิ่งสนุกหนักเข้าไปอีกครับ ไม่ใช่แค่แจ้งว่าเป็น Compromised website นะครับ ผลจากการ Scan code ของหน้าเวบแบบ Realtime สด ๆ ร้อน ๆ ยังได้คำตอบเพิ่มออกมาอีกด้วยว่า เวบนี้เป็น Adult Material ก็คือพวกเวบลามกครับ
อ้าว...ไปกันใหญ่แล้วดิ จากหน้าเว็บธรรมดา ไหงถูกนิยามว่าเป็นเวบลามกไปซะแล้ว เกิดอะไรขึ้น !!!
คำตอบมันอยู่ถัดลงมาด้านล่างครับ ในหน้าที่แสดงผลการสแกนของ ForcePoint นี่แหละครับ เขาเขียนว่าอย่างนี้
มันคือ Threat ประเภท Black_SEO ครับ
Black_SEO คืออะไร เดี๋ยวมาว่ากันต่อ มาดูกันก่อนครับว่า web นี้หน้าตาเป็นอย่างไร ติด Malware แล้วมันถึงกับทำให้หน้าเวบพังพินาศไปเลยหรือเปล่า หรือจะมีการแสดงข้อความท้าทายอำนาจรัฐ ประกาศชัยชนะของแฮกเกอร์ หรือข่มขู่เรียกค่าไถ่อะไรหรือไง ก็ลองมาเปิดดูกันครับ
เปิดเว็บอันตรายอย่างปลอดภัย
แต่ช้าก่อน...การเปิดหน้าเว็บที่ได้รับการแจ้งเตือนว่าเป็น Compromised website นั้น เราต้องใช้ความระมัดระวังเหมือนเรากำลังจะจัดการกับวัตถุอันตรายครับ จะไปซี้ซั้วเปิดดูสุ่มสี่สุ่มห้า เครื่องเราจะติด Malware เอาซะเอง ด้วยเหตุนี้ เราจึงต้องมี Dummy Windows เป็น Virtual Machine ที่ทำ Snapshot เก็บไว้ มีเอาไว้สำหรับการเหยียบกับระเบิดโดยเฉพาะ แม้เราจะรู้ว่า Black_SEO นั้นไม่อันตราย แต่ก็ปลอดภัยไว้ก่อน เราก็ใช้ Browser ใน Dummy Windows นี่แหละครับ ลองเปิด web นี้ขึ้นมาดู ได้หน้าตาแบบนี้ครับ
คือดูหน้าเว็บแล้ว ทุกอย่างดูปกติมากครับ บอกไม่ได้เลยว่า นี่คือ Compromised website
งั้นต้องมาถามต่อไปละครับว่า Black_SEO คืออะไร ทำ ForcePoint ถึงบอกว่า หน้าเวบนี้มี Compromise ประเภท Black_SEO
Black_SEO คืออะไร
Black_SEO คือวิธีการหลอก Search Engine Optimizer ให้เชื่อว่า เวบนั้น ๆ ได้รับความนิยมสูง มีวิธีหลอกหลายวิธีครับ วิธีที่คนร้ายใช้ในครั้งนี้ คือการใส่ URL ของเวบลามกเข้าไปในเวบอื่น ๆ ครับ เช่นตัวอย่างที่ยกขึ้นมานี้ เวบ ftijob ตกเป็นเหยื่อ ถ้าเราเปิดดู code ของหน้าเวบ ftijob จะเห็นว่า มี code ของคนร้าย แอบแฝงอยู่ตรงส่วนท้ายของ Code ตามรูปนี้
href เหล่านี้ถูกใส่เพิ่มขึ้นมา เป็น link ที่ชี้ไปยังเวบลามกหลายแห่งครับ href เหล่านี้ไม่ได้ตั้งใจจะให้ Browser ของผู้ใช้ไปเปิดหน้าเวบลามกนะครับ แต่หวังผลว่า หาก SEO โหลดหน้าเวบ ftijob ไป ก็จะพบว่า ftijob ได้อ้างถึงเวบลามกเหล่านี้
คนร้ายคงจะทำแบบนี้กับเวบปกติอีกมากมาย ยิ่งทำมาก ก็จะยิ่งทำให้ SEO เข้าใจว่า มีหลายเวบที่อ้างถึงเวบลามกเหล่านี้มากเท่านั้น ซึ่งก็จะทำให้เวบลามกตามที่เห็นใน Code ไต่อันดับขึ้นไปอยู่อันดับต้น ๆ ของผลการค้นหาใน Search Engine ได้ครับ
อย่างไรก็ดี เมื่อนำ URL ของเวบลามกเหล่านี้ ไปค้น Page ranking ของหลาย ๆ Search Engine จากที่นี่
https://checkpagerank.net/check-page-rank.php ก็ปรากฎว่า URL ของเวบลามกพวกนี้ ก็ไม่ได้ติดอันดับอะไรเท่าไหร่เลย แปลว่า SEO ของ Search Engine เองเขาก็ไม่ได้อยู่นิ่ง เขาก็มีการปรับปรุงไม่ให้ SEO โดนหลอกได้ง่าย ๆ
เราเรียนรู้อะไรบ้าง จากตัวอย่างนี้
1. การโจมตีทุกวันนี้ ไม่ต้องการทำให้ระบบล่ม แต่ต้องการใช้ระบบที่ทำงานปกติ ทำงานให้คนร้าย
2. ระบบที่ทำงานได้ดี ไม่มีปัญหา ไม่ได้แปลว่า มันไม่ถูกโจมตี เพราะคนร้ายจะซ่อนตัวอยู่ในระบบของเราอย่างแนบเนียนที่สุด ถ้าไม่ค้น ก็จะไม่เจอ
3. คนร้ายใช้รูรั่วของ IIS ในการแฝง Code แปลกปลอมเข้ามา ซึ่งการป้องกันอาจจะง่ายแต่การอัพเดต Windows Patch ก็ได้
4. คนร้ายเปลี่ยนวิธีการหลอก SEO หลากหลายวิธี ทาง SEO เองก็ปรับปรุงตัวเองให้ฉลาด ไม่โดนหลอก ผลัดกันรุก ผลัดกันรับ เป็นสงครามที่ไม่มีวันจบ โลก Cybersecurity ไม่มีวันอยู่นิ่ง
5. เรื่องนี้สำคัญที่สุดครับ ผมย้อนกลับไปที่จุดตั้งต้น เมื่อผู้ใช้หรือลูกค้าแจ้งมาว่า เปิดดูเวบไม่ได้ รู้มั้ยครับว่า คน config Firewall ส่วนใหญ่เขาทำอย่างไร ???
ส่วนใหญ่แล้วก็จะหาทางทำให้ผู้ใช้สามารถดูเวบนั้นได้ โดยจะไม่เสียเวลาสอบสวนเลย ผลคือภัยที่แฝงอยู่บนหน้าเวบก็จะถูกละเลยไป ไม่มีการแจ้งเตือน และแน่นอนคือจะไม่มีการแก้ไข รูรั่วจะยังคงเปิดอยู่ให้ผู้ร้ายคนต่อไป เวียนเข้ามาฝังสิ่งที่รุนแรง-ร้ายแรงกว่านี้ได้
ออกเน็ตผ่าน Firewall ไม่ได้ ให้สอบสวนก่อนลงมือแก้
Firewall มีหน้าที่หลักคือการรักษาความปลอดภัยให้กับผู้ใช้และเซิร์ฟเวอร์ บางครั้งการที่เราออกเน็ตไม่ได้ ก็เพราะ Firewall ตรวจพบความผิดปกติบางอย่าง ซึ่ง Firewall จะเตือนให้ผู้ดูแลระบบทราบ หรือเตือนให้ผู้ใช้ทราบ หากคำเตือนนั้นถูกละเลย ไม่มีการลงมือสอบสวนเหมือนตัวอย่างที่ผมยกมานี้ เน้นไปแต่ว่าจะแก้ไขให้ออกเน็ตหรือเข้าเซิร์ฟเวอร์ให้ได้ ผลที่เราจะได้รับ เราทุกคนก็รู้ดีกันอยู่แล้วว่า อะไรรอเราอยู่ข้างหน้า คำว่า "มหาวิบัติ" บางทียังน้อยเกินไปซะด้วยซ้ำ
Firewall เตือน อย่าปล่อยผ่าน สอบสวน หาคำตอบ แล้วคุณจะพบกับรูรั่วมากมายในระบบของตัวเองครับ.......
เว็บของเรา กำลังช่วยโปรโมทเว็บลามกอยู่เหรอเนี่ย !!!
เรื่องมีอยู่ว่า ผมได้รับคำถามจากลูกค้าที่ใช้ Firewall ถามว่า “ทำไมถึงเข้าเวบหน้านี้ไม่ได้ Firewall มันฟ้องว่า เว็บนี้ไม่ปลอดภัย (Compromised Websites)” หน้าตาของคำเตือนเป็นแบบนี้ครับ
ก็เลยเป็นหน้าที่ที่ผมจะต้องหาคำตอบให้ได้ว่า เกิดอะไรขึ้น Firewall ทำงานผิดพลาด หรือเว็บนี้ถูก Compromise จริง ๆ
เริ่มต้นการสอบสวน
https://www.virustotal.com/gui/home เป็นเครื่องมือที่ใช้งานง่ายครับ ขั้นแรกเลยเราก็ส่ง URL ของเวบที่น่าสงสัยนี้ไปให้ทาง virustotal.com ทำการสแกนก่อน ได้ผลดังนี้ครับ จาก Antivirus engine และ Threat scan engine จำนวน 70 ค่าย มีแค่ค่ายเดียวเท่านั้นคือ ForcePoint ThreatSeeker ที่แจ้งเตือนว่า เว็บนี้น่าสงสัย ผลการสแกนดูจากในรูปนะครับ
ผลจากการสแกนโดยใช้ Engine ของ ForcePoint (หรือชื่อดั้งเดิมคือ WebSense) ยิ่งสนุกหนักเข้าไปอีกครับ ไม่ใช่แค่แจ้งว่าเป็น Compromised website นะครับ ผลจากการ Scan code ของหน้าเวบแบบ Realtime สด ๆ ร้อน ๆ ยังได้คำตอบเพิ่มออกมาอีกด้วยว่า เวบนี้เป็น Adult Material ก็คือพวกเวบลามกครับ
อ้าว...ไปกันใหญ่แล้วดิ จากหน้าเว็บธรรมดา ไหงถูกนิยามว่าเป็นเวบลามกไปซะแล้ว เกิดอะไรขึ้น !!!
คำตอบมันอยู่ถัดลงมาด้านล่างครับ ในหน้าที่แสดงผลการสแกนของ ForcePoint นี่แหละครับ เขาเขียนว่าอย่างนี้
มันคือ Threat ประเภท Black_SEO ครับ
Black_SEO คืออะไร เดี๋ยวมาว่ากันต่อ มาดูกันก่อนครับว่า web นี้หน้าตาเป็นอย่างไร ติด Malware แล้วมันถึงกับทำให้หน้าเวบพังพินาศไปเลยหรือเปล่า หรือจะมีการแสดงข้อความท้าทายอำนาจรัฐ ประกาศชัยชนะของแฮกเกอร์ หรือข่มขู่เรียกค่าไถ่อะไรหรือไง ก็ลองมาเปิดดูกันครับ
เปิดเว็บอันตรายอย่างปลอดภัย
แต่ช้าก่อน...การเปิดหน้าเว็บที่ได้รับการแจ้งเตือนว่าเป็น Compromised website นั้น เราต้องใช้ความระมัดระวังเหมือนเรากำลังจะจัดการกับวัตถุอันตรายครับ จะไปซี้ซั้วเปิดดูสุ่มสี่สุ่มห้า เครื่องเราจะติด Malware เอาซะเอง ด้วยเหตุนี้ เราจึงต้องมี Dummy Windows เป็น Virtual Machine ที่ทำ Snapshot เก็บไว้ มีเอาไว้สำหรับการเหยียบกับระเบิดโดยเฉพาะ แม้เราจะรู้ว่า Black_SEO นั้นไม่อันตราย แต่ก็ปลอดภัยไว้ก่อน เราก็ใช้ Browser ใน Dummy Windows นี่แหละครับ ลองเปิด web นี้ขึ้นมาดู ได้หน้าตาแบบนี้ครับ
คือดูหน้าเว็บแล้ว ทุกอย่างดูปกติมากครับ บอกไม่ได้เลยว่า นี่คือ Compromised website
งั้นต้องมาถามต่อไปละครับว่า Black_SEO คืออะไร ทำ ForcePoint ถึงบอกว่า หน้าเวบนี้มี Compromise ประเภท Black_SEO
Black_SEO คืออะไร
Black_SEO คือวิธีการหลอก Search Engine Optimizer ให้เชื่อว่า เวบนั้น ๆ ได้รับความนิยมสูง มีวิธีหลอกหลายวิธีครับ วิธีที่คนร้ายใช้ในครั้งนี้ คือการใส่ URL ของเวบลามกเข้าไปในเวบอื่น ๆ ครับ เช่นตัวอย่างที่ยกขึ้นมานี้ เวบ ftijob ตกเป็นเหยื่อ ถ้าเราเปิดดู code ของหน้าเวบ ftijob จะเห็นว่า มี code ของคนร้าย แอบแฝงอยู่ตรงส่วนท้ายของ Code ตามรูปนี้
href เหล่านี้ถูกใส่เพิ่มขึ้นมา เป็น link ที่ชี้ไปยังเวบลามกหลายแห่งครับ href เหล่านี้ไม่ได้ตั้งใจจะให้ Browser ของผู้ใช้ไปเปิดหน้าเวบลามกนะครับ แต่หวังผลว่า หาก SEO โหลดหน้าเวบ ftijob ไป ก็จะพบว่า ftijob ได้อ้างถึงเวบลามกเหล่านี้
คนร้ายคงจะทำแบบนี้กับเวบปกติอีกมากมาย ยิ่งทำมาก ก็จะยิ่งทำให้ SEO เข้าใจว่า มีหลายเวบที่อ้างถึงเวบลามกเหล่านี้มากเท่านั้น ซึ่งก็จะทำให้เวบลามกตามที่เห็นใน Code ไต่อันดับขึ้นไปอยู่อันดับต้น ๆ ของผลการค้นหาใน Search Engine ได้ครับ
อย่างไรก็ดี เมื่อนำ URL ของเวบลามกเหล่านี้ ไปค้น Page ranking ของหลาย ๆ Search Engine จากที่นี่ https://checkpagerank.net/check-page-rank.php ก็ปรากฎว่า URL ของเวบลามกพวกนี้ ก็ไม่ได้ติดอันดับอะไรเท่าไหร่เลย แปลว่า SEO ของ Search Engine เองเขาก็ไม่ได้อยู่นิ่ง เขาก็มีการปรับปรุงไม่ให้ SEO โดนหลอกได้ง่าย ๆ
เราเรียนรู้อะไรบ้าง จากตัวอย่างนี้
1. การโจมตีทุกวันนี้ ไม่ต้องการทำให้ระบบล่ม แต่ต้องการใช้ระบบที่ทำงานปกติ ทำงานให้คนร้าย
2. ระบบที่ทำงานได้ดี ไม่มีปัญหา ไม่ได้แปลว่า มันไม่ถูกโจมตี เพราะคนร้ายจะซ่อนตัวอยู่ในระบบของเราอย่างแนบเนียนที่สุด ถ้าไม่ค้น ก็จะไม่เจอ
3. คนร้ายใช้รูรั่วของ IIS ในการแฝง Code แปลกปลอมเข้ามา ซึ่งการป้องกันอาจจะง่ายแต่การอัพเดต Windows Patch ก็ได้
4. คนร้ายเปลี่ยนวิธีการหลอก SEO หลากหลายวิธี ทาง SEO เองก็ปรับปรุงตัวเองให้ฉลาด ไม่โดนหลอก ผลัดกันรุก ผลัดกันรับ เป็นสงครามที่ไม่มีวันจบ โลก Cybersecurity ไม่มีวันอยู่นิ่ง
5. เรื่องนี้สำคัญที่สุดครับ ผมย้อนกลับไปที่จุดตั้งต้น เมื่อผู้ใช้หรือลูกค้าแจ้งมาว่า เปิดดูเวบไม่ได้ รู้มั้ยครับว่า คน config Firewall ส่วนใหญ่เขาทำอย่างไร ???
ส่วนใหญ่แล้วก็จะหาทางทำให้ผู้ใช้สามารถดูเวบนั้นได้ โดยจะไม่เสียเวลาสอบสวนเลย ผลคือภัยที่แฝงอยู่บนหน้าเวบก็จะถูกละเลยไป ไม่มีการแจ้งเตือน และแน่นอนคือจะไม่มีการแก้ไข รูรั่วจะยังคงเปิดอยู่ให้ผู้ร้ายคนต่อไป เวียนเข้ามาฝังสิ่งที่รุนแรง-ร้ายแรงกว่านี้ได้
ออกเน็ตผ่าน Firewall ไม่ได้ ให้สอบสวนก่อนลงมือแก้
Firewall มีหน้าที่หลักคือการรักษาความปลอดภัยให้กับผู้ใช้และเซิร์ฟเวอร์ บางครั้งการที่เราออกเน็ตไม่ได้ ก็เพราะ Firewall ตรวจพบความผิดปกติบางอย่าง ซึ่ง Firewall จะเตือนให้ผู้ดูแลระบบทราบ หรือเตือนให้ผู้ใช้ทราบ หากคำเตือนนั้นถูกละเลย ไม่มีการลงมือสอบสวนเหมือนตัวอย่างที่ผมยกมานี้ เน้นไปแต่ว่าจะแก้ไขให้ออกเน็ตหรือเข้าเซิร์ฟเวอร์ให้ได้ ผลที่เราจะได้รับ เราทุกคนก็รู้ดีกันอยู่แล้วว่า อะไรรอเราอยู่ข้างหน้า คำว่า "มหาวิบัติ" บางทียังน้อยเกินไปซะด้วยซ้ำ
Firewall เตือน อย่าปล่อยผ่าน สอบสวน หาคำตอบ แล้วคุณจะพบกับรูรั่วมากมายในระบบของตัวเองครับ.......