สิ่งที่ผมรู้ หากคุณอ่าน คุณจะรู้ตามผมไปด้วย

จากตอนที่ CAPTCHAs ไม่มี ไม่ได้แล้ว  นั้น เราจะพอเห็นวิธีการโจมตี Web Application ที่มี  Form ให้ใครก้ได้ทำการ Post ข้อมูลเข้ามานะครับ ..   เพื่อให้เห็นภาพจริง  Blog ที่ใช้ WordPress ก็มีจุดอ่อนตรงนี้  ดังภาพ

แน่นอน การโจมตีแบบนี้ ต้องเขียน Bot มาสักตัว แล้วเลือกเป้าหมาย  ถ้าเขียน Bot ให้ฉลาดหน่อยก็สามารถโจมตีได้หลายรูปแบบ  อาจโจมตีแบบ XSS หรือ  SQL Injection ร่วมด้วย คราวนี้มาดูสิว่า จะป้อนกันโดยการใช้ CAPTCHAs กันอย่างไร

(more…)

MasterCard SecureCode คืออะไร?

ทำไมต้องสมัคร เป็นคำถามที่น่าถามนะคับ … หากใครยังไม่ทราบความหมาย ขอให้ไปอ่านหัวข้อเก่า ๆ ของผม  คือ เลือกบัตรเครดิตอย่างไร 1 และ เลือกบัตรเครดิตอย่างไร 2  ครับ พอจะอ๋อ แล้วใช่ไหมครับ  คราวนี้ท่านเข้าใจเรื่องความปลอดภัยของการใช้บัตรเครดิตผ่านอินเทอร์เน็ตแล้ว .. ฮื่ม จะสมัครบัตรเครดิต คราวนี้ต้องถาม Sale หรือผู้ออกบัตรครับ ว่าได้ติดตั้งระบบนี้หรือเปล่า  …..   คราวนี้สมัครได้แล้ว จะกำหนดรหัส Secure Code หรือ รหัส Verify by Visa (อย่างใด อย่างหนึ่ง) อย่างไร ผมมีตัวอย่างของธนาคารใบโพธิ์ สีม่วงทอง มาให้ดูครับ

เมื่อได้รับบัตรเครดิตมาอยู่ในมือ เราก็สามารถกำหนดได้ทันทีเลยครับ เพียงเข้าเว็บไซต์ของบัตรเครดิตดังกล่าว ดังภาพ

เมื่อเข้ามาแล้ว ให้หา Logo ของ Master Card Secure Code ครับ ซึ่ง ธนาคารอื่น ๆ คงมี Linkไว้ที่ต่าง ๆ กัน
หลังจากนั้น เมื่อเข้า Web เกี่ยวกับบัตรเครดิต จำเป็นต้องตรวจสอบ ว่าเป็น https:// หรือไม่ ดู SSL ว่าสามารถเชื่อถือเว็บนี้ได้หรือไ่ม่ ต้องทำเป็นนิสัยครับ กันพลาด

(more…)

การโจมตีคอมพิวเตอร์ และเครือข่ายด้วยเทคนิค Arp Spoof หรือ Arp Posion

การใช้งานในเครือข่ายคอมพิวเตอร์ ที่ใช้ TCP/IP โดยผ่าน Ethernet หรือสาย Lan ที่เราใช้กันทั่วๆ ไปนั้น ข้อดีของการใช้งานในรูปแบบนี้คือ การ์ด Lan ราคาถูก สายราคาถูก อุปกรณ์ เครือข่ายราคาไม่แพงนัก เทคโนโลยี หลายคนก็เข้าใจ ทำให้ได้รับความนิยมใช้งาน แต่เนื่องจากความสะดวกในการใช้งานนี้เอง ทำให้มีคนหาช่องโหว่ของเครือข่าย และ Protocol ที่เราใช้งานกัน ดังนั้น ผมจึงเอาเรื่องใกล้ๆ ตัวมาเล่าให้ฟัง โดยทดสอบในเครือข่ายของผมเอง เพื่อให้เห็นภาพ หากอยากทราบว่ามีอะไร ตามมาเลยครับ

(more…)

ธุรกรรมออนไลน์ หรือ E-Commerce นั้น หลายคนอาจยังไม่เคยใช้ อาจคิดอยู่ว่า มันจะปลอดภัยจริงๆ เหรอ .. กลัวโดนหลอกบ้าง อาจเป็นเพราะความไม่เชื่อใจ จึงทำให้ตลาดในโลกออนไลน์ในประเทศเรายังไม่โตสักเท่าไหร่นัก แต่เชื่อผมเถอะครับ อีกไม่นาน ตลาดนี้จะใหญ่ขึ้นเรื่อยๆ ด้วยเหตุผลหลายอย่าง .. เช่น เดี๋ยวนี้เด็ก ๆ ก็เล่นอินเทอร์เน็ตได้แล้ว ทำให้คนที่ใช้อินเทอร์เน็ตในประเทศมีจำนวนมากขึ้น อีกทั้งการเดินทางไปซื้อของสมัยนี้ ก็หนีไม่พ้น การเดินทาง ที่แสนสาหัส ไปเลือกของตามสถานที่แล้วไม่ถูกใจ เสียเวลา เสียค่าใช้จ่ายค่อนข้างมาก อีกทั้งการเปิดเว็บไซต์ขายของ เดี๋ยวนี้เปิดง่ายนิ๊ดเดียว บางแห่ง สมัครฟรี มีความรู้พื้นฐานทางคอมพิวเตอร์ แค่คลิ๊ก คลิ๊ก และก็คลิ๊ก ก็สามารถเป็นเจ้าของร้านขายของออนไลน์ ได้แล้ว แต่ก่อนจะไปถึงขั้นนั้น เรามารู้กันก่อนครับ ว่าธุรกรรมออนไลน์ นั้น ทำงานกันอย่างไร

• ธุรกรรมออนไลน์ แบบครึ่ง ๆ กลาง ๆ
  เคยเห็นไหมครับ เข้าเว็บไซต์ จะซื้อของอย่างใด อย่างหนึ่งนั้น ร้านค้าออนไลน์ บอกว่า ให้ผู้ซื้อโอนเงินไปให้ทางร้านค้าก่อน .. เอาล่ะสิ วัดใจกันหน่อย ว่าผู้ซื้อนั้น จะเชื่อใจร้านค้านั้น ๆ ไหม ถ้าเชื่อ ก็จบ (ผู้ซื้ออาจจะไปดูตามกระทู้ต่างๆ ว่าร้านค้า ร้านนั้น ๆ มีเครดิตไหม) �
  *การทำธุรกรรมแบบนี้ จะเห็นได้ว่า ผู้ซื้อเป็นฝ่ายเสียเปรียบ เนื่องจาก หากร้านค้าออนไลน์ร้านนั้น ไม่มีตัวตน ผู้ซื้อหลงเชื่อโอนเงินเข้าบัญชีของร้านไป แต่ไม่ได้รับของ ..
• ธุรกรรมออนไลน์ แบบเต็มใบ
  ธุรกรรมแบบนี้แน่นอนครับ หนีไม่พ้น บัตรเครดิต .. พอฟังบัตรเครดิตแล้ว คนที่มีความรู้เรื่องความปลอดภัยของการทำธุรกรรมออนไลน์ ถึงกับร้องจี๊ด เนื่องจากหากเลขบัตรเครดิตของเราตกหลุดไป หรือโดน Hack แล้วล่ะก็ เงินในบัตรจะหมดเกลี้ยงในเวลาอันรวดเร็ว และเรายังต้องเสียเวลาไปปฏิเสธการจ่ายเงินอีก
  แต่สำหรับอีกหลายคน (จำนวนมาก) ที่มีบัตรเครดิต แต่ยังไม่ึคำนึงถึงความปลอดภัยของการใช้ แถมยังมาใช้ทำธุรกรรมออนไลน์อีก เพราะฉะนั้น เพื่อให้เกิดความมั่นใจในการทำธุรกรรมออนไลน์ เรามาดูกันนะครับ ว่าการทำงานคร่าว ๆ นั้น มันทำงานอย่างไร

การทำงานคร่าวๆ
*ผมแค่ยกตัวอย่างเพื่อให้ผู้อ่านเข้าใจหลักการทำงานเท่านั้น ไม่ได้มีส่วนได้ส่วนเสียกับ Brand หรือ Product ของใครแต่อย่างใด*

1. ผู้ถือบัตร (Cardholder) ไปขอทำบัตรเครดิต KTC (Issues) และได้บัตร KTC มาครอบครอง
2. ผู้ถือบัตร ไปซื้อสินค้าในเว็บไซต์ www.shopping.com โดยเลือกซื้อสินค้าลงตระกร้า และทำต้องการชำระเงินออนไลน์
3. www.shopping.com ขอ Authen เพื่อจองวงเงิน จาก ธนาคาร หรือสถาบันการเงินที่ www.shopping.com นั้น เลือกให้เป็นตัวแทน (Acquirer)
4. Acuirer กับ Issues อาจเป็นธนาคารเดียวกัน หรือสถานบันการเงินเดียวกันก็ได้ เช่น ผู้ใช้อาจใช้บัตรเครดิตกรุงศรี ไปตัดเงินกับ ธนาคารกรุงศรีฯ ก็ได้
5. Acquirer จะตรวจสอบว่าเป็นบัตรอะไร เช่น Visa , Master ฯลฯ เพื่อวิ่งไปตรวจสอบ

สิ่งที่จะเ้กิดขึ้นตามมา

• ร้านค้า www.shopping.com จะได้เงินจาก Acquirer (สมมติ ธ.กรุงศรีฯ ) ตามจำนวนเงินที่ขออนุมัติไป
• Acquirer (สมมติ ธ.กรุงศรีฯ ) จะไปเรียกเก็บเงินจาก Issue (KTC)
• Issue (KTC) จะไปเรียกเก็บเงินจากผู้ถือบัตร …

ครับ เป็นหลักการเบื้องต้นของการทำธุรกรรมออนไลน์ และการทำธุรกรรมแบบนี้ ไม่เหมือนกับท่านไปซื้อสินค้าตามห้างนะครับ
ที่รูดปรื้ด รูดปรื้ด เพราะตอนที่ท่านรูดปรึ้ด นั้น เป็นการแสดงตัวตนเพื่อทำรายการ (Face to Face) เพราะฉะนั้น ท่านอาจปฏิเสธไม่ได้ว่าท่านซื้อ

คำถามชวนคิด

หาก KTC ไปเรียกเก็บเงินจากผู้ถือบัตร และผู้ถือบัตรปฏิเสธว่าไม่ได้ทำรายการ จะเกิดเหตุการใดเกิดขึ้นตามมา .. เงินจะไปเก็บที่ใคร แล้วใครจะรับผิดขอบ

ขอบพระคุณที่สนใจอ่าน

Reference :

• Slide จาก www.security-assetment.com
  http://www.security-assessment.com/files/presentations/PCI_DSS_Presentation_0107.pdf

หลายคนคงรู้สึกคุ้น ๆ กับภาพทางด้านบน เพียงแต่ว่า คำภายในนั้น อาจแตกต่างกันไป หลายคนคงรู้ถึงจุดประสงค์ ของการใช้งาน แต่อีกหลายท่านยังไม่ทราบ

CAPTCHA นั้นถือเป็นสิ่งที่ Website ควรจะทำการติดตั้ง เพื่อป้องกัน Bot หรือการพยายามเข้าสู่ระบบโดยใช้คอมพิวเตอร์ หรือการโจมตีแบบพยายามเดา (Brute force) เพื่อให้เข้าใจถึงการโจมตีแบบนี้ เราต้องลองเขียน Program โจมตี Website ที่ไม่มีการติดตั้ง CAPTCHA กัน เหมือนกับตำรวจ จะจับโจรได้ ต้องรู้ว่าโจรคิดอย่างไร แล้วทำอย่างไร

Website ที่เราจะลองนั้น ใกล้ตัวมากเอา Blog ที่เรา ๆ เขียนกันอยู่อย่างนี้แหละ หากไม่มีการติดตั้งแล้วจะเกิดอะไร

เริ่มต้น เลือก Website เป้าหมาย ผมเลือก http://ejeepss.thaipki.com (เป็น Blog อีกที เอาไว้ทดสอบ )

อย่าลืมนะครับ ตอนนี้มี พรบ.กระทำความผิดทางคอมพิวเตอร์ออกมาแล้วนะครับ จะหาว่าผมไม่เตือนไม่ได้นะครับ

(more…)