กรณีศึกษา ช่องโหว่ของเว็บไซต์กระทรวงไอซีที

แม่เจ้า … วันนี้ผมนึกอะไรไม่รู้ จู่ๆก็อยากลองดูกฏหมายว่าด้วยการกระทำผิดทางคอมพิวเตอร์ของกระทรวงไอซีที ในระหว่างที่ผมเข้าไปในเว็บนั้น สิ่งแรกที่ผมสะดุดตาเลยก็คือ ปุ่มด้างล่างของกฏหมายไอซีที ซึ่งคือปุ่มเว็บไซต์โครงการนั้นเอง ผมรีบคลิกเข้าไป เพราะดูแล้ว น่าจะมีแต่เว็บไซต์ที่เจ๋งๆ และดี และผมก็คิดถูกครับ เพราะผมไปเจอเว็บ ICT House Keeper ด้วย แต่ผมก็ไม่สนใจ สิ่งที่ผมสนใจคือ …


คำเตือน : ถ้าคุณจะนำวิธีการในบทความนี้ไปใช้สำหรับการแฮกหรือทำลายระบบคอมพิวเตอร์อย่างมีเจตนาร้ายและผิดกฏหมาย คุณต้องเป็นผู้รับผิดชอบสิ่งที่จะเกิดขึ้น ในฐานะผู้เขียนและบุคคลที่เกี่ยวข้องกับบทความนี้ จะไม่มีส่วนร่วมรับผิดชอบในการกระทำหรืออาชญากรรมที่คุณได้ก่อขึ้นโดยใช้วิธีและเครื่องมือที่ได้เขียนไว้ในบทความ เพราะบทความนี้มีเจตนาเพียงประการเดียวสำหรับผู้ที่สนใจในด้านความปลอดภัยของระบบ ที่ประสงค์จะป้องกันระบบเพื่อไม่ให้ตกเป็นเหยื่อของผู้ไม่หวังดีซึ่งทุกวันนี้มีจำนวนเพิ่มมากขึ้น เท่านั้น

หากจะจับขโมยให้ได้ ต้องคิดให้เหมือนขโมย แต่อย่าทำในสิ่งที่ขโมยจะทำ เพราะนั้น คือ ความผิด


เว็บไซต์ สำนักงานส่งเสริมและพัฒนาการใช้ ICT

ปัจจุบันเว็บไซต์นี้ ผมลองกลับไปเยี่ยมชมอีกครั้ง พบว่าเกิดปัญหาการเชื่อมต่อระหว่างเว็บไซต์กับเซิฟเวอร์ ดังนั้นผมจึงไม่สามารถรู้ได้ว่าเว็บไซต์นี้ปิดช่องโหว่ในส่วนนี้ไปแล้วหรือยัง แต่ถ้าให้ผมเดา อีกไม่นานเว็บไซต์นี้ก็จะถูกสั่งปิดไป หรือไม่ก็จะถูกปล่อยลอยแพ เป็นต้น (อัพเดทข้อมูล 2/5/2555)

เนื่องจากผมกำลังหาข้อมูลในการที่จะพัฒนาการใช้ ICT ให้กับหน่วยงานหนึ่งอยู่ ซึ่้งมันเป็นการดีแน่เลย ถ้าผมจะลองแวะไปหาข้อมูลสักหน่อย

แต่แล้ว เรื่องที่ผมไม่คาดคิดก็เกิดขึ้น !!!

ผมก็ซนอีกตามเคยแหละครับ ตาผมกวาดไปกวาดมาในหน้าเว็บดังกล่าว แล้วก็ไปหยุดในส่วนของเมนู เจ้าหน้าที่

ซึ่งตอนแรกผมก็นึกว่าเป็นเมนูรายชื่อเจ้าหน้าที่ไว้ติดต่อ แต่เหตุฉไหน กลับเป็น หน้าของผู้ดูแลระบบ -*-

ด้วยความซน + การกับที่ยังไม่ได้นอน ก็เลยลองใส่ Username admin ลงไป แล้วตามด้วยรหัส ….. (เซ็นเซอร์)

เชื่อไหมครับ จู่ผมก็หลุดไปในหน้า admin ได้ซะงั้น (ผมถึงกับตาสว่างเลยอ่ะครับ -*- ไม่ง่วงแล้วโว้ยยย)

แล้วก็ตกใจกับข้อมูลที่เห็นคือ … มีคนเข้ามาสนุก ก่อนผมแล้วหรอเนี้ย -*-

แสดงให้เห็นว่าระบบนี้อ่อนแอมากๆ สำหรับสาเหตุนั้นก็คงจะหนีไม่พันเรื่องการตั้งรหัสผ่านที่ง่ายต่อการคาดเดา

ผมก็ดูแลเว็บไซต์มาเยอะแล้วนะครับ บางครั้งผมก็เผลอทำตัวไม่ปลอดภัยหลายอย่าง อาทิการตั้ง โพลเดอร์และไฟล์ชื่อ admin ซึ่งตรงนี้แหละ เป็นจุดล่อเป้าสายตาของพวกแฮกเกอร์ได้อย่างดีเลย

และบางครั้ง ผมก็ตั้งรหัสผ่านง่ายๆ ซึ่งถ้าถามว่า ทำไมผมถึงตั้งง่ายๆ ล่ะ

ผมจะตอบว่า “ทำไมล่ะ ก็ัฉันพึงสร้างระบบเสร็จ จะให้ตั้งรหัสผ่านยาวเป็นเมตรหรือไง”

เวลาแก้ไข เวลาเช็คอะไร มันจะได้ง่ายไง เดี๋ยวพอทำระบบเสร็จ ค่อยเปลี่ยนก็ได้

เอางี้ ลองใช้ชื่อ admin ก่อนแล้วกัน แล้วรหัสผ่าน 1234

+++ นี่แหละครับ สาเหตุของการที่ระบบบนเว็บแอพพลิเคชั่นถูกเจาะซะอย่างง่าย +++

แต่ก่อนผมมีเวลาว่างเยอะ คุณเชื่อไหม ผมไล่ไปตามระบบต่างๆ มีหลายเว็บที่ใช้ชื่อผู้ใช้ admin และรหัสผ่าน 1234

ซึ่งทำให้ผมหลุดไปในที่ไม่ควรจะหลุดไปได้ เช่นหน้า admin …. (รู้สึกประมาณ 100 กว่าเว็บนะครับ ทั้งไทยและต่างประเทศ)

เอาล่ะ กรณีศึกษานี้ ก็ฝากไว้กับ นักพัฒนาเว็บแอพพลิเคชั่นด้วยนะครับ การที่คุณสร้างระบบอะไรขึ้นมานั้น

ถ้าคุณยังจำลองอยู่ในเครื่องของคุณ เชิญคุณตั้ง รหัสผ่านพวกนี้ได้เลยครับ

แต่เมื่อคุณเอาไปบนเว็บเซิฟร์เวอร์ใช้งานจริงแล้วเมื่อไหร่ … นั่นก็เท่ากับว่า ไม่ใช่คุณคนเดียวที่เห็นมันแล้ว

ในวันๆ หนึ่ง คุณอาจจะมีผู้เยื่ยมชมเว็บไซต์ อยู่ ประมาณ 100 คน แต่คุณมั่นใจแล้วหรอว่า ไอ้ 100 คนนั้นอ่ะ

มันจะเข้ามาดูเว็บคุณ หรือ เข้ามาลองเจาะเว็บคุณ และยิ่งคุณตั้งรหัสผ่านง่ายๆอย่างนี้ มันยิ่งเป็นการง่ายของการเจาะ

เพราะไม่ต้องมีความรู้อะไรมากก็ hack ได้แล้ว -*-

สำหรับท้ายนี้ ก็ขอย้ำอีกครั้งนะครับ การทำระบบเว็บแอพพลิเคชั่น อย่าละเลยเรื่องง่ายๆ พวกนี้นะครับ

ถึงมันอาจจะดูไม่สำคัญอะไรมาก แต่มันจะสำคัญแน่ ถ้าคุณอยู่ในที่ประชุม แล้วก็ถูกถามว่า เว็บถูกแฮกได้ยังไง

ถ้าคุณตอบความจริงไปว่า … เพราะผมตั้งรหัสผ่าน 1234 หรือ รหัสผ่าน ง่าย ๆ ถึงตอนนั้น คุณเตรียมมุดหน้าได้เลย

—————————————————–

สำหรับบทความนี้ ผมได้ส่งอีเมล์ไปแจ้งเจ้าหน้าที่ ที่ดูแลเว็บดังกล่าวแล้วนะครับ

เพราะผมคิดว่า ก่อนหน้าที่ผมมาซนนี้ ยังจะมีคนมาซนก่อนผมอีก

และผมก็คิดต่อไปว่า …. คงจะมีคนมาซนหลังผมอีกเป็นแน่ … สิ่งไหนที่เราช่วยเขาได้ เราก็ช่วยครับ ^^

เอาล่ะ จบข่าว ขอตัวไปนอนก่อนนะครับ 555+

3 comments

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.