แอบเล่นเน็ต ห้องสมุด มหาวิทยาลัยธรรมศาสตร์

เคยไหม? เวลาที่คุณต้องการใช้อินเตอร์เน็ตเพื่อเรียกใช้งานเว็บไซต์ เช่น เช็คอีเมล์(gmail.com) คุณมักจะถูกบล็อกไม่ให้เรียกใช้งานเว็บไซต์ดังกล่าว เพราะคอมพิวเตอร์ส่วนใหญ่ที่ให้บริการในหน่วยงานหรือองค์กรต่างๆ มักจะปฏิเสธการใช้งานเว็บไซต์อื่นที่นอกเหนือจากเว็บไซต์บริการของหน่วยงานหรือองค์กรนั้นๆ แน่นอนในตัวอย่างบทความนี้ สำนักหอสมุด ม.ธรรมศาสตร์ ก็เป็นอีกหนึ่งที่เหมือนกัน ที่บล็อกไม่ให้ผู้ใช้งานเข้าเว็บไซต์อื่นได้ นอกเหนือจากเว็บไซต์ของสำนักหอสมุด ม.ธรรมศาสตร์นั่นเอง

คำเตือน : ถ้าคุณจะนำวิธีการในบทความนี้ไปใช้สำหรับการแฮกหรือทำลายระบบคอมพิวเตอร์อย่างมีเจตนาร้ายและผิดกฏหมาย คุณต้องเป็นผู้รับผิดชอบสิ่งที่จะเกิดขึ้น ในฐานะผู้เขียนและบุคคลที่เกี่ยวข้องกับบทความนี้ จะไม่มีส่วนร่วมรับผิดชอบในการกระทำหรืออาชญากรรมที่คุณได้ก่อขึ้นโดยใช้วิธีและเครื่องมือที่ได้เขียนไว้ในบทความ เพราะบทความนี้มีเจตนาเพียงประการเดียวสำหรับผู้ที่สนใจในด้านความปลอดภัยของระบบ ที่ประสงค์จะป้องกันระบบเพื่อไม่ให้ตกเป็นเหยื่อของผู้ไม่หวังดีซึ่งทุกวันนี้มีจำนวนเพิ่มมากขึ้น เท่านั้น

หากจะจับขโมยให้ได้ ต้องคิดให้เหมือนขโมย แต่อย่าทำในสิ่งที่ขโมยจะทำ เพราะนั้น คือ ความผิด?

ในบทความนี้ผมจะพูดถึงช่องโหว่ ในอีกมุมมองหนึ่งที่ผู้ดูแลระบบ มักจะมองข้าม เกี่ยวกับ การบล็อกเว็บไซต์ คือ

1. บางระบบ จะบล็อกแต่ชื่อเว็บไซต์(Keyword URL) เช่น บล็อกชื่อ www.facebook.com แต่ไม่ได้บล็อกหมายเลขไอพี(IP Address) จึงเป็นช่องโหว่ให้ผู้ใช้บางคนเรียกใช้งานเว็บไซต์ผ่า่น ip : 66.220.149.32 ซึ่งเป็น หมายเลขไอพีแอดเดรสของเว็บไซต์ facebook.com ได้

2. บางระบบ จะบล็อกเว็บไซต์และหมายเลขไอพีแอดเดรสของทุกเว็บ ยกเว้นเว็บไซต์ที่อนุญาติ โดยการใช้ Proxy จำกัดสิทธิที่จะเข้าถึงเว็บไซต์อื่น ซึ่งถ้าหากเป็นเช่นนี้ ผู้ใช้บางคนอาจจะเปลี่ยนไปใช้ Proxy อื่นที่อนุญาติให้เข้าถึงเว็บไซต์อื่นๆได้

3. บางระบบ จะบล็อกการเรียกใช้งานเว็บไซต์ ที่ผ่านโปรแกรมเว็บเบราว์เซอร์(Web Browser) แต่เพียงเท่านั้น ซึ่งผู้ใช้บางคนอาจจะหาโปรแกรมอื่นๆ เช่น โปรแกรมป้องกันไวรัสจากแฟลซไดด์ เช่น Panda USB Vaccine หรือ โปรแกรมทำความสะอาดเครื่อง อย่าง CCleaner เป็นต้น ในการเรียกใช้งานเว็บไซต์อื่นๆได้ เพราะโปรแกรมพวกนี้ จะมีเมนูอัพเดต(Update) โปรแกรมเวอร์ชั่นใหม่ๆ ที่จะไปเรียกเว็บไซต์ของผู้ผลิตโปรแกรมนั้นๆ เพื่อดาวน์โหลด หรือ ดูข้อมูล ของโปรแกรมเวอร์ชั่นใหม่นั่นเอง

แน่นอนว่า สำนักหอสมุดธรรมศาสตร์ มีช่องโหว่ ในข้อ 3 นี้ ซึ่งผมได้ทดสอบที่ห้องสมุดป๋วย และสามารถใช้งานเว็บไซต์อื่นได้

โดยใช้โปรแกรม Panda USB Vaccine ไปเรียกชมเว็บไซต์ของผู้ผลิตโปรแกรม ซึ่งจะเป็นการเปิดช่องโหว่ข้อที่ 3 ดังที่ได้กล่าวไป

ส่วนวิธีป้องกัน ผมว่าผู้ดูแลระบบของแต่ละหน่วยงานและองค์กรต่างๆ คงจะรู้ๆกันแล้ว

และผมอยากจะบอกท่านผู้ดูแลระบบทุกท่านให้ทราบว่า

“ต่อให้คุณบล็อกเก่งแค่ไหน คุณก็ไม่สามารถต่อกรความพยายามของคนที่จะหาช่องโหว่ได้ ”

“ดังนั้น ผมอยากให้ทุกท่านช่วยติดตามข่าวสาร และเทคนิคต่างๆ เกี่ยวกับความปลอดภัยคอมพิวเตอร์ด้วย แล้วคุณจะรู้เท่าทันคนพวกนี้”

ป.ล. คาดว่าเร็วๆนี้ ทางสำนักหอสมุด มหาิวิทยาลัยธรรมศาสตร์ จะแก้ไขช่องโหว่นี้

9 comments

  1. Chaos Reply

    ผมรู้วิธีนี้มานานแล้วววววววว 😈

    • iDatabase Post authorReply

      ตอบคุณ Chaos : วิธีนี้ผมค้นพบเมื่อหลายปีที่แล้ว แต่ไม่ได้นำมาเขียนบทความสักที ผมก็ได้แต่บอกให้กับคนอื่นๆที่เข้ามาใช้ห้องสมุดทราบๆกัน และกระชับไว้ว่า อย่าทำโจ่งแจ้ง สดุท้าย ก็เลยโดนสอยกันเป็นแทบๆ

      ตอบคุณ kinghot : น้อง อาม บางวิธีพี่ไม่สามารถนำมาเขียนเป็นบทความบนเว็บนี้ได้ เพราะมันจะเป็นอันตรายมาก ถ้านำไปใ้ช้ในทางที่ไม่ดี

  2. kinghot Reply

    ก่อนหน้านี้ที่สอนผ่านเอ็ม ไม่ใช่วิธีนี้ไม่ใช่หรอพี่เล็ก

    😀

  3. เด็กโดม Reply

    ชั่งกล้านะคุณ นับถือๆ

  4. bumbim Reply

    ทำไมไวเลสที่ธรรมศาสตร์เล่นเกมออนไม่ได้:cry:

    • iDatabase Post authorReply

      อันนี้ต้องไปถามหน่วยงาน สปข. ที่ดูแลระบบอินเตอร์เน็ตภายในมหาวิทยาลัยธรรมศาสตร์อ่ะครับ

      ผมไม่สามารถตอบคำถามนี้ได้ เพราะผมก็เป็นเพียงแค่นักศึกษาธรรมดาๆคนหนึ่งอ่ะครับ T^T

  5. ฟ้าหลังฝน Reply

    โหดเมพ สุดยอดไปเลยค่ะพี่ ลองเอาไปทำแล้ว เผอิญเจ้าหน้าที่มาเห็นพอดี เลยโดนเจ้าหน้าที่เล่นงานเลย  😀

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.