การรับสมัครบุคคลเข้าทำงานในตำแหน่งที่เกี่ยวข้องกับ computer security นั้น มีความจำเป็นอย่างมากที่จะต้องระบุคุณสมบัติให้ตรงกับความต้องการของหน่วย งาน เพื่อเป็นการเพิ่มประสิทธิภาพของหน่วยงานและเป็นเป็นผลดีกับผู้ที่สมัครเข้า มาทำงานด้วย คำอธิบายสั้นๆ ต่อไปนี้จะช่วยให้การกำหนดคุณสมบัติสามารถทำได้ง่ายยิ่งขึ้น
NOS administrator : เป็นผู้ดูแลระบบของ Unix/NT และทราบถึงวิธีในการทำ authentication ของ OS รวมทั้งการทำให้ OS นั้นมีความปลอดภัยมากยิ่งขึ้น
DBA : เป็นผู้ที่ดูแลความปลอดภัยของฐานข้อมูล โดยมีเชี่ยวชาญในฐานข้อมูลยี่ห้อนั้นๆ เนื่องจากฐานข้อมูลคนละชนิดกันนั้นก็มีวิธีการในการป้องกันและแก้ปัญหาที่ แตกต่างกัน
Programmer : มีความสามารถในการเขียน shell script, perl , C , C++ ซึ่งอาจจะมีความจำเป็นสำหรับบางหน่วยงานที่มีความจำเป็นต้องเขียนโปรแกรม ขึ้นมาใช้เอง
Network administrator : เป็นผู้ที่มีความเชี่ยวชาญและมีความเข้าใจลักษณะการทำงานในเรื่องของ TCP/IP หรือ protocol อื่นๆ รวมทั้งฮาร์ดแวร์ที่เกี่ยวข้อง
Network architect : เป็นผู้ที่รู้ว่าควรจะวาง firewall ไว้ที่ใด ควรจะมีอะไรใน DMZ และเป็นผู้ที่ตัดสินใจได้ว่าควรจะใช้ fiber หรือ wireless สำหรับการเชื่อมต่อเครือข่าย
Security administrator : เข้าใจ rule set ของ firewall รวมทั้ง IDSes และ sniffers
Technical writer : ในกรณีที่ต้องการเขียน technical report เท่านั้น
Hacker : เป็นบุคคลที่มีความพิเศษในตัว มีความตั้งใจในการวิเคราะห์ถึงหลักการทำงานของสิ่งต่างๆ รวมทั้งสามารถคิดค้นทางออกของปัญหาได้ มีความคิดสร้างสรรค์และไม่ยึดติดในกรอบเดิมๆ
Detective : การสืบสวนก็เป็นส่วนหนึ่งของงานที่เกี่ยวข้องกับ computer security
วันเสาร์ที่ 17 ตุลาคม พ.ศ. 2552
หาคนเล่น bit และ NetCut ด้วย wireshark traffic
หลายๆคนถามว่าจะดูยังไงว่า คนไหนเล่น netcut หรือ bit torrent ผมมีตัวอย่างจากหอผมให้ดูครับ Handsome
โดยตัวอย่างนี้ผมได้มาจากโปรแกรม wireshark ซึ่งเป็น network sniffer ตัวที่ผมใช้ประจำ
download ฟรีได้จาก http://www.wireshark.org
วิธีการใช้งาน
เปิด wireshark ขึ้นมา
- ตรง Filter: ใส่ !ip.addr==เบอร์ IP ของเครื่องเรา , เช่นเครื่องผมเป็น IP 192.168.1.102 ก็ใส่เป็น !ip.addr==192.168.1.102
- กด Capture -> Interface , ดูว่า Interface ไหนที่มี traffic วิ่งอยู่บน start ที่ interface นั้น
ปล่อยมันทำงานไปซักพัก ปกติภายใน 1 นาทีคุณน่าจะรู้แล้วว่าเกิดอะไรขึ้นมาบ้างใน network ของคุณ
การแปลผลลัพธ์
1. Netcut
หลักการในการสังเกต จาก traffic คุณจะเห็นว่ามี computer เครื่องใดเครื่องหนึ่ง ตอบ arp มากผิดปกติ
ใน กรณีนี้ เขาใช้ netcut ให้ไปตัดที่ Router ของหอเลย (เลวจริงๆ) จึงเห็นว่า traffic ของ arp ทั้งหมดวิ่งไปที่เครื่องของเขา เมื่อเขาทำแบบนี้จะทำให้เครื่องทั้งหอเล่นเน็ตไม่ได้ ถ้าไม่มีการป้องกัน
วิธีป้องกัน
start -> run -> cmd
ใช้คำสั่ง arp -s , โดยที่ IP , MAC ADDRESS เป็นของ router ก่อนที่จะโดน netcut
วิธีหา arp ก็หาได้โดยการใช้คำสั่ง arp -a ดูที่ IP ที่เป็น gateway ที่เราเห็นจาก start -> run -> cmd , ipconfig /all
2. Bit Torrent
หลักการในการสังเกต จะเห็นว่ามีการส่ง UDP จาก computer เครื่องหนึ่งออกไปยัง host จำนวนมากในคราวเดียวกัน
ใน ส่วนหน้าจอสุดท้าย คุณมันจะเจอคำว่า token, get_peers, find_node, BT-SEARCH หรือว่า infohash มั่นใจได้เลยว่า เจ้านี่เป็น packet ของ bit แน่นอน
เมื่อคุณรู้ห้องแล้ว คุณก็เดินไปบอกเจ้าของหอ พร้อมทั้งหลักฐานให้เขาเพื่อดำเนินการต่อไป ง่ายๆก็บอกให้เขาไปดึงสายไอ้ห้องนั้นออก
จากนั้นก็รอพลคนเล่นเน็ตในหอไปจัดการมัน
Credit : CyberJiab@beartai.com
http://smf.ruk-com.in.th/index.php?topic=9391.0
โดยตัวอย่างนี้ผมได้มาจากโปรแกรม wireshark ซึ่งเป็น network sniffer ตัวที่ผมใช้ประจำ
download ฟรีได้จาก http://www.wireshark.org
วิธีการใช้งาน
เปิด wireshark ขึ้นมา
- ตรง Filter: ใส่ !ip.addr==เบอร์ IP ของเครื่องเรา , เช่นเครื่องผมเป็น IP 192.168.1.102 ก็ใส่เป็น !ip.addr==192.168.1.102
- กด Capture -> Interface , ดูว่า Interface ไหนที่มี traffic วิ่งอยู่บน start ที่ interface นั้น
ปล่อยมันทำงานไปซักพัก ปกติภายใน 1 นาทีคุณน่าจะรู้แล้วว่าเกิดอะไรขึ้นมาบ้างใน network ของคุณ
การแปลผลลัพธ์
1. Netcut
หลักการในการสังเกต จาก traffic คุณจะเห็นว่ามี computer เครื่องใดเครื่องหนึ่ง ตอบ arp มากผิดปกติ
ใน กรณีนี้ เขาใช้ netcut ให้ไปตัดที่ Router ของหอเลย (เลวจริงๆ) จึงเห็นว่า traffic ของ arp ทั้งหมดวิ่งไปที่เครื่องของเขา เมื่อเขาทำแบบนี้จะทำให้เครื่องทั้งหอเล่นเน็ตไม่ได้ ถ้าไม่มีการป้องกัน
วิธีป้องกัน
start -> run -> cmd
ใช้คำสั่ง arp -s
วิธีหา arp ก็หาได้โดยการใช้คำสั่ง arp -a ดูที่ IP ที่เป็น gateway ที่เราเห็นจาก start -> run -> cmd , ipconfig /all
2. Bit Torrent
หลักการในการสังเกต จะเห็นว่ามีการส่ง UDP จาก computer เครื่องหนึ่งออกไปยัง host จำนวนมากในคราวเดียวกัน
ใน ส่วนหน้าจอสุดท้าย คุณมันจะเจอคำว่า token, get_peers, find_node, BT-SEARCH หรือว่า infohash มั่นใจได้เลยว่า เจ้านี่เป็น packet ของ bit แน่นอน
เมื่อคุณรู้ห้องแล้ว คุณก็เดินไปบอกเจ้าของหอ พร้อมทั้งหลักฐานให้เขาเพื่อดำเนินการต่อไป ง่ายๆก็บอกให้เขาไปดึงสายไอ้ห้องนั้นออก
จากนั้นก็รอพลคนเล่นเน็ตในหอไปจัดการมัน
Credit : CyberJiab@beartai.com
http://smf.ruk-com.in.th/index.php?topic=9391.0
วิธีตรวจดูว่า ใครเข้ามา Hack เครื่องเราบ้าง
วิธีตรวจดูว่า ใครเข้ามา Hack เครื่องเราบ้าง
เอ.............. เราเล่น net เพลินๆอยู่นี่มีใครแอบเข้ามาหาเราหรือเปล่าน้อ
** Google แอบย่องมาเก็บข้อความในเครื่องเราไปโชว์ทั่วโลกบ้างมั้ยนี่
** แล้วพวกโฆษณา แฝงเข้ามาบ้างไหม อื่ม... เรามี Anti spyware แล้วนี่
** มีบรรดา hacker มาเยี่ยมบ้างไหม
เอางี้ มาดูวิธีแอบดูว่าใครหรือมีอะไรมาแวะหาเราบ้าง
ในขณะที่สมาชิกกำลังใช้งาน internet อยู่ (ไม่ว่าจะเป็น www, FTP, ตรวจสอบ mail ด้วย POP3/SMTP โดยผ่าน protocal TCP/IP)
ท่านรู้มั้ยว่ามีใคร connected มายังเครื่องคอมฯของท่านบ้าง (มีพวก Hacker มาป้วนเปี้ยนหรือเปล่า) และก็อยากทราบหรือไม่ว่ามาจากไหน
ไม่ยากครับที่จะตรวจสอบ เพียงทำตามขั้นตอน ข้างล่างนี้...
++ เริ่มที่ ตัว Start ให้ท่าน คลิกที่ Start ---> Run
++ ที่ Run พิมพ์คำว่า netstat 10 (10 หมายถึงให้ update การ connect ใหม่ทุก ๆ 10 วินาที)
++ เสร็จแล้ว กดปุ่ม <>
ก็ดู ip แปลกๆที่เชื่อมต่อเข้ามาทาง port ที่แปลกๆ
เอ.............. เราเล่น net เพลินๆอยู่นี่มีใครแอบเข้ามาหาเราหรือเปล่าน้อ
** Google แอบย่องมาเก็บข้อความในเครื่องเราไปโชว์ทั่วโลกบ้างมั้ยนี่
** แล้วพวกโฆษณา แฝงเข้ามาบ้างไหม อื่ม... เรามี Anti spyware แล้วนี่
** มีบรรดา hacker มาเยี่ยมบ้างไหม
เอางี้ มาดูวิธีแอบดูว่าใครหรือมีอะไรมาแวะหาเราบ้าง
ในขณะที่สมาชิกกำลังใช้งาน internet อยู่ (ไม่ว่าจะเป็น www, FTP, ตรวจสอบ mail ด้วย POP3/SMTP โดยผ่าน protocal TCP/IP)
ท่านรู้มั้ยว่ามีใคร connected มายังเครื่องคอมฯของท่านบ้าง (มีพวก Hacker มาป้วนเปี้ยนหรือเปล่า) และก็อยากทราบหรือไม่ว่ามาจากไหน
ไม่ยากครับที่จะตรวจสอบ เพียงทำตามขั้นตอน ข้างล่างนี้...
++ เริ่มที่ ตัว Start ให้ท่าน คลิกที่ Start ---> Run
++ ที่ Run พิมพ์คำว่า netstat 10 (10 หมายถึงให้ update การ connect ใหม่ทุก ๆ 10 วินาที)
++ เสร็จแล้ว กดปุ่ม <>
ก็ดู ip แปลกๆที่เชื่อมต่อเข้ามาทาง port ที่แปลกๆ
[โพสกระทู้นี้ลงทวิตเตอร์] เวบแฮคเกอร์ประกาศ.."ทำให้คอมติดไวรัสได้เท่าไหร่ ได้เงินเท่านั้น"
ผู้ก่อการร้ายไซเบอร์สเปซเตรียมยกทัพเจาะระบบคอมพิวเตอร์ทั่วโลกแลกเงิน ยกเว้นคอมพิวเตอร์ในประเทศรัสเซีย
เวบ ไซต์ Pay-Per-Install.org ประกาศรับสมัครแฮคเกอร์มือดีพร้อมๆ กับเปิดตัวตลาดไวรัสเหมือนจริง ( virtual malware flea market ) โดยยินยอมที่จะจ่ายเงินให้กับเเฮคเกอร์คนใดก็ตามที่สามารถเจาะระบบได้ตาม เป้าหมายเท่าจำนวนที่ระบุโดยมีค่าตอบแทนอยู่ที่ 140 ดอลล่าร์สหรัฐหรือประมาณ 4,200 บาทไทยต่อคอมพิวเตอร์ 1,000 เครื่องในสหรัฐอเมริกา โดยทางเวบไซต์จะมีโปรแกรมไวรัสและมัลแวร์ต้นแบบให้เลือกใช้หรือไปพัฒนาต่อ และนอกจากนั้นยังนำเสนอค่าตอบแทน 110 ดอลล่าร์สหรัฐต่อคอมพิวเตอร์ 1,000 เครื่องในประเทศสังกัดสหราชอาณาจักร 60 ดอลล่าร์สหรัฐต่อ 1,000 เครื่องในประเทศอิตาลี 30 ดอลล่าร์สหรัฐต่อ 1,000 เครื่องในประเทศฝรั่งเศสและ 6 ดอลล่าร์สหรัฐต่อ 1,000 เครื่องในประเทศเเถบเอเซียทั้งหมด แต่ทางเวบไซต์ไม่มีนโยบายจ่ายค่าตอบแทนให้กับการเจาะระบบเครื่องคอมพิวเตอร์ ของประเทศรัสเซียและประเทศที่เคยรวมกันเป็นอดีตสหภาพโซเวียตมาก่อนด้วย เหตุผลที่ไม่เปิดเผย
ที่มา http://www.pantip.com/tech/newscols/news/081009i.shtml
http://smf.ruk-com.in.th/index.php?topic=9378.0
เวบ ไซต์ Pay-Per-Install.org ประกาศรับสมัครแฮคเกอร์มือดีพร้อมๆ กับเปิดตัวตลาดไวรัสเหมือนจริง ( virtual malware flea market ) โดยยินยอมที่จะจ่ายเงินให้กับเเฮคเกอร์คนใดก็ตามที่สามารถเจาะระบบได้ตาม เป้าหมายเท่าจำนวนที่ระบุโดยมีค่าตอบแทนอยู่ที่ 140 ดอลล่าร์สหรัฐหรือประมาณ 4,200 บาทไทยต่อคอมพิวเตอร์ 1,000 เครื่องในสหรัฐอเมริกา โดยทางเวบไซต์จะมีโปรแกรมไวรัสและมัลแวร์ต้นแบบให้เลือกใช้หรือไปพัฒนาต่อ และนอกจากนั้นยังนำเสนอค่าตอบแทน 110 ดอลล่าร์สหรัฐต่อคอมพิวเตอร์ 1,000 เครื่องในประเทศสังกัดสหราชอาณาจักร 60 ดอลล่าร์สหรัฐต่อ 1,000 เครื่องในประเทศอิตาลี 30 ดอลล่าร์สหรัฐต่อ 1,000 เครื่องในประเทศฝรั่งเศสและ 6 ดอลล่าร์สหรัฐต่อ 1,000 เครื่องในประเทศเเถบเอเซียทั้งหมด แต่ทางเวบไซต์ไม่มีนโยบายจ่ายค่าตอบแทนให้กับการเจาะระบบเครื่องคอมพิวเตอร์ ของประเทศรัสเซียและประเทศที่เคยรวมกันเป็นอดีตสหภาพโซเวียตมาก่อนด้วย เหตุผลที่ไม่เปิดเผย
ที่มา http://www.pantip.com/tech/newscols/news/081009i.shtml
http://smf.ruk-com.in.th/index.php?topic=9378.0
ระวัง!!! ไวรัส PC Antispyware 2010?
[เอ.อาร์.ไอ.พี, www.arip.co.th] ถาม: ผมเพิ่งติดตั้งโปรแกรม PC Anti-Spyware 2010 เข้าไปในคอมพิวเตอร์ แต่เพื่อนบอกว่า มันไมใช่โปรแกรมป้องกันสปายแวร์ แต่ตัวมันนั่นแหละที่เป็น"สปายแวร์" เรื่องนี้จริงเท็จอย่างไรครับ? และถ้าเป็นจริงผมจะจัดการกับมันอย่างไรดีครับ?
ตอบ: ก่อนอื่นต้องบอกว่า เรื่องที่เพื่อนคุณว่ามานั้นเป็นเรื่องจริงครับ และเจ้าไวรัสตัวนี้ก็กำลังหลอกให้ผู้ใช้ทั่วโลกติดตั้งมันเข้าไปในเครื่อง ดังนั้น แทนที่มันจะปกป้องคอมพิวเตอร์ของคุณ ตรงกันข้าม มันกลับพยายามขโมยข้อมูลส่วนตัวของคุณส่งออกไปให้แฮคเกอร์ ซึ่งรวมถึงหมายเลขบัตรเครดิต ตลอดจนบัญชีธนาคารของคุณ และนี่คือเหตุผลสำคัญที่ผู้ใช้ควรตรวจสอบว่าได้เผลอติดตั้งไวรัสตัวนี้เข้า ไป หรือไม่? ซึ่งถ้าหากพบก็ลบออกได้ทันที
ที่ แย่กว่าการที่ทราบว่า ติดไวรัสตัวนี้เข้าไปแล้วก็คือ เราไม่สามารถกำจัด PC Anti-Spyware 2010 ออกไปได้โดยง่าย เพราะมันก็เหมือนกับไวรัสตัวอื่นๆ ที่่สามารถซ่อนตัวเอง และทำงานในแบคกราวด์โดยที่คุณไม่รู้ตัว เอาเป็นว่า ถึงตอนนี้ คอมพิวเตอร์ของคุณได้ติดมันเข้าไปเรียบร้อยแล้ว แนะนำให้ปฏิบัติตามขั้นตอนต่อไปนี้ เพื่อกำจัดมันออกไปจากเครื่องเป็นการด่วนจะดีกว่านะครับ
1. ขั้นแรกต้องหยุดไม่ให้ทำงานในหน่วยความจำ ด้วยการกำจัด (kill) โพรเซสที่เกี่ยวข้องกับไวรัสตัวนี้ ด้วยการเปิด Task Manager (กดปุ่ม Ctrl+Alt+Del หรือคลิกขวาบนทาสก์บาร์ (taskbar) เลือก Task Manager) คลิกแท็บ Processes สังเกตว่า มีรายการต่อไปนี้ปรากฎอยู่ หรือไม่?
PC_Antispyware2010.exe
Uninstall.exe
jugifyryve.exe
หาก คุณพบว่า โพรเซสเหล่านี้กำลังทำงานอยู่ ให้คลิกเลือกทีละรายการแล้วคลิกปุ่ม End Process อย่างไรก็ตาม ขั้นตอนนี้ยังไม่ได้เป็นการกำจัด หรือถอดถอนไวรัสตัวนี้ออกไปนะครับ เพียงแต่หยุดไม่ให้ทำงานชั่วคราวก่อนเท่านั้น เมื่อคุณรีสตาร์ทเครื่อง ไวรัสก็จะกลับมาทำงานอีกอยู่ดี
2. ขั้นตอนนี้จะเป็นการกำจัด PC Anti-Spyware 2010 ออกไปจากเครื่องคอมพิวเตอร์โดยสมบูรณ์ โดยคุณจะต้องเข้าไปลบมันออกจากรีจิสทรีที่เกี่ยวข้องกับไวรัส วิธีที่ตรวจสอบก็ง่ายมาก เริ่มต้นด้วยการสั่งรันโปรแกรม REGEDIT (กดปุ่ม Windows+R พิมพ์คำสั่ง regedit แล้วกดปุ่ม Enter) จากนั้นคลิกเข้าไปลบรายการข้างล่างนี้
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PC_Antispyware2010
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ "PC Antispyware 2010"
HKEY_LOCAL_MACHINE\SOFTWARE\PC_Antispyware2010
HKEY_CURRENT_USER\Control Panel\don’t load\ "scui.cpl"
HKEY_CURRENT_USER\Control Panel\don’t load\ "wscui.cpl"
3. ขั้นตอนสุดท้ายคุณจะต้องลบไฟล์ทั้งหมด และไดเร็กทอรี่ที่เกี่ยวข้องกับ PC Anti-Spyware 2010 โดยเปิดหน้าต่าง Windows Explorer (กดปุ่ม Windows + E) แล้วคลิกเข้าไปลบไดเร็กทอรี่ต่อไปนี้
C:\Program Files\PC_Antispyware2010
C:\Program Files\PC_Antispyware2010data
อย่าง ไรก็ตาม มันอาจจะยังมีไฟล์ไวรัสตกค้างในโฟลเดอร์อื่นๆ ที่เกี่ยวข้องซ่อนอยู่ในระบบอีก แนะนำให้ตรวจสอบด้วยการพิมพ์ในช่องเสิร์ชว่า "PC_Antispyware2010" โดยเลือกให้ค้นในไดเร็กทอรี่ของระบบ (System directory) และโฟลเดอร์ที่ซ่อนไว้ (History folder) เพื่อลบมันออกไปให้สิ้นซาก
(*สังเกตว่า ไม่ว่าจะกดเพื่อแอคชั่นอะไรก็ตาม มันจะปีอปอัพหน้าต่างชวนให้คุณลงทะเบียนอยู่ตลอดเวลาจนน่ารำคาญ นิสัยแย่มากๆ)
บทความดี ๆ จาก zone-it.com
http://smf.ruk-com.in.th/index.php?topic=9626.msg21216#msg21216
ตอบ: ก่อนอื่นต้องบอกว่า เรื่องที่เพื่อนคุณว่ามานั้นเป็นเรื่องจริงครับ และเจ้าไวรัสตัวนี้ก็กำลังหลอกให้ผู้ใช้ทั่วโลกติดตั้งมันเข้าไปในเครื่อง ดังนั้น แทนที่มันจะปกป้องคอมพิวเตอร์ของคุณ ตรงกันข้าม มันกลับพยายามขโมยข้อมูลส่วนตัวของคุณส่งออกไปให้แฮคเกอร์ ซึ่งรวมถึงหมายเลขบัตรเครดิต ตลอดจนบัญชีธนาคารของคุณ และนี่คือเหตุผลสำคัญที่ผู้ใช้ควรตรวจสอบว่าได้เผลอติดตั้งไวรัสตัวนี้เข้า ไป หรือไม่? ซึ่งถ้าหากพบก็ลบออกได้ทันที
ที่ แย่กว่าการที่ทราบว่า ติดไวรัสตัวนี้เข้าไปแล้วก็คือ เราไม่สามารถกำจัด PC Anti-Spyware 2010 ออกไปได้โดยง่าย เพราะมันก็เหมือนกับไวรัสตัวอื่นๆ ที่่สามารถซ่อนตัวเอง และทำงานในแบคกราวด์โดยที่คุณไม่รู้ตัว เอาเป็นว่า ถึงตอนนี้ คอมพิวเตอร์ของคุณได้ติดมันเข้าไปเรียบร้อยแล้ว แนะนำให้ปฏิบัติตามขั้นตอนต่อไปนี้ เพื่อกำจัดมันออกไปจากเครื่องเป็นการด่วนจะดีกว่านะครับ
1. ขั้นแรกต้องหยุดไม่ให้ทำงานในหน่วยความจำ ด้วยการกำจัด (kill) โพรเซสที่เกี่ยวข้องกับไวรัสตัวนี้ ด้วยการเปิด Task Manager (กดปุ่ม Ctrl+Alt+Del หรือคลิกขวาบนทาสก์บาร์ (taskbar) เลือก Task Manager) คลิกแท็บ Processes สังเกตว่า มีรายการต่อไปนี้ปรากฎอยู่ หรือไม่?
PC_Antispyware2010.exe
Uninstall.exe
jugifyryve.exe
หาก คุณพบว่า โพรเซสเหล่านี้กำลังทำงานอยู่ ให้คลิกเลือกทีละรายการแล้วคลิกปุ่ม End Process อย่างไรก็ตาม ขั้นตอนนี้ยังไม่ได้เป็นการกำจัด หรือถอดถอนไวรัสตัวนี้ออกไปนะครับ เพียงแต่หยุดไม่ให้ทำงานชั่วคราวก่อนเท่านั้น เมื่อคุณรีสตาร์ทเครื่อง ไวรัสก็จะกลับมาทำงานอีกอยู่ดี
2. ขั้นตอนนี้จะเป็นการกำจัด PC Anti-Spyware 2010 ออกไปจากเครื่องคอมพิวเตอร์โดยสมบูรณ์ โดยคุณจะต้องเข้าไปลบมันออกจากรีจิสทรีที่เกี่ยวข้องกับไวรัส วิธีที่ตรวจสอบก็ง่ายมาก เริ่มต้นด้วยการสั่งรันโปรแกรม REGEDIT (กดปุ่ม Windows+R พิมพ์คำสั่ง regedit แล้วกดปุ่ม Enter) จากนั้นคลิกเข้าไปลบรายการข้างล่างนี้
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PC_Antispyware2010
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ "PC Antispyware 2010"
HKEY_LOCAL_MACHINE\SOFTWARE\PC_Antispyware2010
HKEY_CURRENT_USER\Control Panel\don’t load\ "scui.cpl"
HKEY_CURRENT_USER\Control Panel\don’t load\ "wscui.cpl"
3. ขั้นตอนสุดท้ายคุณจะต้องลบไฟล์ทั้งหมด และไดเร็กทอรี่ที่เกี่ยวข้องกับ PC Anti-Spyware 2010 โดยเปิดหน้าต่าง Windows Explorer (กดปุ่ม Windows + E) แล้วคลิกเข้าไปลบไดเร็กทอรี่ต่อไปนี้
C:\Program Files\PC_Antispyware2010
C:\Program Files\PC_Antispyware2010data
อย่าง ไรก็ตาม มันอาจจะยังมีไฟล์ไวรัสตกค้างในโฟลเดอร์อื่นๆ ที่เกี่ยวข้องซ่อนอยู่ในระบบอีก แนะนำให้ตรวจสอบด้วยการพิมพ์ในช่องเสิร์ชว่า "PC_Antispyware2010" โดยเลือกให้ค้นในไดเร็กทอรี่ของระบบ (System directory) และโฟลเดอร์ที่ซ่อนไว้ (History folder) เพื่อลบมันออกไปให้สิ้นซาก
(*สังเกตว่า ไม่ว่าจะกดเพื่อแอคชั่นอะไรก็ตาม มันจะปีอปอัพหน้าต่างชวนให้คุณลงทะเบียนอยู่ตลอดเวลาจนน่ารำคาญ นิสัยแย่มากๆ)
บทความดี ๆ จาก zone-it.com
http://smf.ruk-com.in.th/index.php?topic=9626.msg21216#msg21216
คำแนะนำในการปรับแต่งค่าความปลอดภัยของ Router
เอกสารฉบับนี้เป็นการ อธิบายโดยสรุปถึงคำแนะนำในการปรับแต่งค่าการทำงาน router เพื่อให้ได้รับความปลอดภัยจากการใช้งาน มุ่งเน้นให้ผู้อ่านสามารถนำไปใช้เพื่อเพิ่มระดับความความปลอดภัยในการทำงาน ของ router โดยอ้างอิงจากชุดคำสั่งของ Cisco อย่างไรก็ตาม ผู้อ่านสามารถนำหลักเกณฑ์เหล่านี้ไปประยุกต์ใช้กับ router อื่นๆ ได้ เนื่องจากรายละเอียดภายในเอกสารนี้ถือเป็นคำแนะนำที่ดีในการปรับแต่งค่าความ ปลอดภัยให้กับ router
คำแนะนำโดยทั่วไป
ควรสร้างนโยบายความ ปลอดภัยของ router และปรับแต่งให้เหมาะสมอยู่เสมอ นโยบายดังกล่าวนี้ควรจะระบุว่าผู้ใดบ้างได้รับอนุญาตให้เข้าใช้งาน router และผู้ใดบ้างได้รับอนุญาตให้ปรับแต่งแก้ไขและอัพเดตการทำงานของ router รวมทั้งเก็บบันทึกค่าการเข้าใช้งานและการปรับแต่งค่าทั้งหมดที่เกิดขึ้นจริง กับ router
ให้คำอธิบายและเก็บบันทึกไฟล์ที่ใช้กำหนดค่าการทำ งานของ router การกระทำดังกล่าวนี้อาจจะดูเหมือนเป็นสิ่งง่ายเมื่อเปรียบเทียบกับความ ปลอดภัยที่จะได้รับ นอกจากนั้น ควรเก็บสำเนาค่าการทำงานของ router ทั้งหมดที่เหมือนกับค่าการทำงานจริงที่ใช้งานไว้ตลอดเวลา (หากมีการแก้ไขค่าการทำงานที่ router ก็จะต้องแก้ไขค่าที่เก็บสำเนาไว้ด้วย) การกระทำดังกล่าวนี้จะช่วยให้สามารถตรวจสอบความเปลี่ยนแปลงที่เกิดขึ้นเมื่อ ถูกบุกรุก หรือใช้กู้คืนค่าดังกล่าวมาใช้งานเมื่อเกิดความเสียหายได้
สร้าง Access List เพื่อควบคุมการผ่านเข้าออกเครือข่าย อนุญาตให้เฉพาะโพรโตคอลและบริการที่ผู้ใช้งานเครือข่ายจำเป็นต้องใช้เท่า นั้น นอกเหนือจากนั้นจะไม่อนุญาตให้ผ่านเครือข่ายทั้งหมด
ใช้งาน IOS เวอร์ชันล่าสุดที่เป็นไปได้อยู่เสมอ โดยสอบถามข้อมูลเวอร์ชันที่เหมาะสมได้จากผู้จำหน่ายหรือจากเว็บไซต์ของผู้ผลิตโดยตรง
ทดสอบความปลอดภัยโดยทั่วไปของ router อยู่เสมอ โดยเฉพาะอย่างยิ่งเมื่อมีการเปลี่ยนแปลงค่าการทำงานที่สำคัญของ router
คำแนะนำเฉพาะเรื่อง : Router Access
ปิด ความสามารถในการทำงานเป็นเซิร์ฟเวอร์ที่ไม่จำเป็นต้องใช้ของ router ซึ่งจะช่วยให้มีพื้นที่ของหน่วยความจำและโพรเซสเซอร์ของ router เพิ่มขึ้น ทำได้โดยการใช้คำสั่ง show proc ที่ router แล้วสั่งปิดบริการทั้งหมดที่แน่ใจว่าไม่จำเป็นต้องใช้งาน โดยทั่วไป การทำงานเป็นเซิร์ฟเวอร์บางอย่างของ router ที่ควรถูกปิดไม่ให้ใช้งานและคำสั่งที่เกี่ยวข้องในการยกเลิกการทำงาน ได้แก่
• Small services
(echo, discard, chargen, etc.)
- no service tcp-small-servers
- no service udp-small-servers
• BOOTP
- no ip bootp server
• Finger
- no service finger
• HTTP
- no ip http server
• Identd
- no ip identd (เฉพาะบางเวอร์ชันของ IOS)
• SNMP
- no snmp-server
ปิด การให้บริการที่ไม่จำเป็นต้องใช้ของ router บริการเหล่านี้ใช้เพื่อการอนุญาตให้ส่งแพ็กเก็ตหลายชนิดผ่าน router หรือส่งแพ็กเก็ตชนิดพิเศษบางชนิด หรือใช้เพื่อการปรับแต่งค่าการทำงานของ router จากภายนอก โดยทั่วไป บริการของ router ที่ควรถูกปิดไม่ให้ใช้งานและคำสั่งที่เกี่ยวข้องในการยกเลิกการทำงาน ได้แก่
• CDP - no cdp run
• Remote config - no service config
• Source routing - no ip source-route
สามารถ ทำให้อินเทอร์เฟซของ router มีความปลอดภัยมากขึ้นได้โดยการใช้คำสั่งดังต่อไปนี้กำหนดไว้ที่ทุกอิน เทอร์เฟซ ซึ่งจะต้องทำที่โหมดของการกำหนดค่าให้อินเทอร์เฟซ
• Unused interfaces - shutdown
• No Smurf attacks - no ip directed-broadcast
• Ad-hoc routing - no ip proxy-arp
สามารถ ทำให้การติดต่อกับ console line, auxiliary line และ virtual terminal line ของ router มีความปลอดภัยมากขึ้นได้โดยการใช้คำสั่งดังต่อไปนี้กำหนดไว้ที่ console line และ virtual terminal line (ดังตัวอย่างด้านล่าง) ส่วน auxiliary line หากไม่มีการใช้งานควรถูกปิด (โดยการกำหนดค่าตามตัวอย่างด้านล่างเช่นกัน)
• Console Line - line con 0
exec-timeout 5 0
login
transport input telnet
• Auxiliary Line - line aux 0
no exec
exec-timeout 0 10
transport input telnet
• VTY lines - line vty 0 4
exec-timeout 5 0
login
transport input telnet
ค่า รหัสผ่านควรถูกตั้งไว้ให้มีความปลอดภัยมากที่สุดเท่าที่จะทำได้ ได้แก่ การตั้งค่ารหัสผ่านแบบ Enable Secret ซึ่งทำให้รหัสผ่านถูกเข้ารหัสเพื่อเก็บไว้ด้วยอัลกอริทึม MD-5 นอกจากนี้ ควรตั้งรหัสผ่านไว้สำหรับ console line, auxiliary line และ virtual terminal line ด้วย โดยค่ารหัสผ่านที่ตั้งให้กับแต่ละ line นี้ควรได้รับการปกป้องในเบื้องต้นโดยการเรียกใช้คำสั่ง service password-encryption เพื่อให้เกิดการเข้ารหัสสำหรับรหัสผ่านทั้งหมด แสดงรายละเอียดดังตัวอย่างด้านล่าง
• Enable secret - enable secret 0 2manyRt3s
• Console Line - line con 0
password Soda-4-jimmY
• Auxiliary Line - line aux 0
password Popcorn-4-sara
• VTY Lines - line vty 0 4
password Dots-4-grorg3
• Basic protection - service password-encryption
ไม่ควรเปิดเผยรายละเอียดของค่าการทำงาน router และไฟล์ที่ใช้ในการกำหนดค่าให้ผู้ที่ไม่ได้รับอนุญาตทราบโดยเด็ดขาด
คำแนะนำเฉพาะเรื่อง : Access Lists
การส ร้าง access-list ขึ้นใหม่แต่ละครั้งควรจะเริ่มต้นด้วยคำสั่ง no access-list nnn ก่อนเสมอ เพื่อกำจัดค่าเดิมใดๆ ที่อาจมีการใช้งาน access-list ที่ nnn ให้หมด
East (config) # no access-list 51
East (config) # access-list 51 permit host 14.2.9.6
East (config) # access-list 51 deny any log
กำหนด หมายเลขพอร์ตที่ต้องการควบคุมสำหรับแต่ละ access list ซึ่งจะช่วยเพิ่มประสิทธิภาพการทำงานของ IOS ให้ไม่จำเป็นต้องตรวจสอบ header ทั้งหมดของแพ็กเก็ตโดยไม่จำเป็น และเพื่อให้แน่ใจว่าข้อมูลการใช้งานที่เก็บในล็อกมีข้อมูลหมายเลขพอร์ตที่ ถูกต้อง โดยการกำหนดหมายเลขพอร์ตในช่วงที่ต้องการเป็นอาร์กิวเมนต์หนึ่งของ access list ที่สร้างขึ้น ดังตัวอย่าง
no access-list 106
access-list 106 deny udp any range 1 65535 any range 1 65535 log
access-list 106 deny tcp any range 1 65535 any range 1 65535 log
access-list 106 deny ip any any log
คำ สั่งในบรรทัดสุดท้ายใส่เพื่อให้แน่ใจว่า router จะปฏิเสธแพ็กเก็ตที่ใช้งานโพรโตคอลอื่นๆ นอกเหนือจาก TCP และ UDP รวมทั้งเก็บค่าลงในล็อก
อนุญาตให้เฉพาะแอดเดรสของเครือข่ายภายในส่ง ข้อมูลเข้าสู่ router ผ่านทางอินเทอร์เฟซภายใน โดยการบังคับที่ access list รวมทั้งการปิดไม่ให้แอดเดรสที่ไม่ถูกต้องออกจากเครือข่ายที่อินเทอร์เฟซที่ เชื่อมต่อกับเครือข่ายภายนอก เพื่อป้องกันผู้บุกรุกไม่ให้ใช้ router เป็นเครื่องมือในการโจมตีที่อื่น วิธีการนี้อาจจะไม่สามารถนำไปใช้งานได้จริงกับเครือข่ายที่มีความซับซ้อน
East (config) # no access-list 101
East (config) # access-list 101 permit ip 10.1.1.0 0.0.0.255 any
East (config) # access-list 101 deny udp any range 1 65535 any log
East (config) # access-list 101 deny tcp any range 1 65535 any log
East (config) # access-list 101 deny ip any any log
East (config) # interface eth 1
East (config-if) # ip access-group 101 in
East (config-if) # exit
East (config) # interface eth 0
East (config-if) # ip access-group 101 out
ไม่ ควรให้แพ็กเก็ตที่มาจากภายนอก (จากเครือข่ายที่ไม่น่าเชื่อถือ) ซึ่งอาจจะเป็นแพ็กเก็ตที่มีการปลอมแปลงหรือส่งมาเพื่อโจมตีเครือข่าย สามารถทำได้โดยการแบ่งส่วนของเครือข่ายทั้งหมดตามแต่ละอินเทอร์เฟซของ router และออกแบบว่าจะเลือกให้มีการส่งผ่านข้อมูลที่มาจากเครือข่ายภายนอกและเครือ ข่ายที่ไม่น่าเชื่อถือจากที่ใดได้บ้าง
แพ็กเก็ตที่ส่งมาจากภาย นอกโดยมีแอดเดรสต้นทางเหมือนกับแอดเดรสของเครือข่ายภายในใดๆ (เครือข่ายที่เชื่อถือ) จัดว่าเป็นแพ็กเก็ตที่ส่งเข้ามาเพื่อโจมตีระบบโดยวิธีการ TCP sequence number guessing หรือวิธีอื่นๆ ในทำนองเดียวกัน จึงไม่ควรให้ผ่านเข้ามาในเครือข่าย ป้องกันได้โดยการสร้าง access list ขึ้นมาใช้งานที่แต่ละอินเทอร์เฟซที่ต้องติดต่อกับเครือข่ายที่ไม่น่าเชื่อ ถือ
สกัดกั้นแพ็กเก็ตชนิด loopback (มาจากเครือข่าย 127.0.0.0) เนื่องจากแพ็กเก็ตเหล่านี้ไม่มีทางเกิดขึ้นได้จริง นอกจากนั้น ให้กั้นแพ็กเก็ตที่มาจาก IP address ที่ถูกสำรองไว้ (ได้แก่ 10.0.0.0, 172.16.0.0 - 172.31.0.0 และ 192.168.0.0) [ตาม RFC 1918]
หากเครือข่ายไม่จำเป็นต้องใช้ IP multicast ก็ควรจะกั้นแพ็กเก็ตชนิด multicast ด้วย
สกัด กั้นแพ็กเก็ตชนิด broadcast (ข้อควรคำนึงถึงคือ การปิดแพ็กเก็ตชนิด broadcast อาจจะทำให้บริการ DHCP และ BOOTP ไม่สามารถใช้งานได้ด้วย อย่างไรก็ตาม บริการทั้งสองอันนี้ไม่ควรนำมาใช้ที่อินเทอร์เฟซที่ต่อกับเครือข่ายภาย นอกอยู่แล้ว)
การโจมตีเครือข่ายจากภายนอกจำนวนมากใช้วิธีการส่ง ICMP redirect จึงควรปิดบริการนี้ (วิธีการที่ดีกว่านี้แต่มีความยุ่งยากมากขึ้นคือการอนุญาตให้แพ็กเก็ตชนิด ICMP ที่จำเป็นเพียงบางชนิดผ่านเข้าออก)
ตัวอย่างที่แสดงดังต่อไปนี้ เป็นวิธีการหนึ่งที่จะนำเอาคำแนะนำด้านบนไปใช้งานจริง
North (config) # no access-list 107
North (config) # ! block internal addresses
North (config) # access-list 107 deny ip 14.2.0.0 0.0.255.255 any log
North (config) # access-list 107 deny ip 14.1.0.0 0.0.255.255 any log
North (config) # ! block loopback/reserved addresses
North (config) # access-list 107 deny ip 127.0.0.0 0.255.255.255 any log
North (config) # access-list 107 deny ip 10.0.0.0 0.255.255.255 any log
North (config) # access-list 107 deny ip 172.16.0.0 0.15.255.255 any log
North (config) # access-list 107 deny ip 192.168.0.0 0.0.255.255 any log
North (config) # ! block multicast (if not used)
North (config) # access-list 107 deny ip 224.0.0.0 0.0.255.255 any
North (config) # ! block broadcast
North (config) # access-list 107 deny ip host 0.0.0.0 any log
North (config) # ! block ICMP redirects
North (config) # access-list 107 deny icmp any any redirect log
North (config) # interface eth 0/0
North (config-if) # ip access-group 107 in
สกัด กั้นแพ็กเก็ตที่มีแอดเดรสต้นทางและปลายทางเหมือนกันไม่ให้เข้ามาในเครือข่าย (เพราะอาจจะเป็นการบุกรุกโดยวิธีการที่เรียกว่า 'Land' เข้ามาตัวที่ router) ทำได้โดยการสร้าง access list ขึ้นมาใช้จำกัดข้อมูลที่จะเข้ามาที่แต่ละอินเทอร์เฟซ โดยวิธีการดังที่แสดงในตัวอย่างด้านล่าง
no access-list 102
access-list 102 deny ip host 10.2.6.250 host 10.2.6.250 log
access-list 102 permit ip any any
interface Eth 0/0
ip address 10.2.6.250 255.255.255.0
ip access-group 102 in
กำหนดค่า access list สำหรับใช้งานที่ virtual terminal line เพื่อควบคุมการเข้าถึง router ผ่านทางการ telnet ตามตัวอย่าง
South (config) # line vty 0 4
South (config-line) # access-class 92 in
South (config-line) # exit
South (config) # no access-list 92
South (config) # access-list 92 permit 10.1.1.1
South (config) # access-list 92 permit 10.1.1.2
คำแนะนำเฉพาะเรื่อง : Logging & Debugging
นำ ความสามารถของ router ในการเก็บบันทึกค่าการทำงานมาใช้งาน เพื่อใช้เก็บบันทึกค่าความผิดพลาดที่เกิดขึ้นและส่งแพ็กเก็ตไปยังเครื่องที่ ใช้ในการเก็บ syslog ภายในเครือข่าย (ต้องเป็นเครือข่ายที่มีการเชื่อถือ) โดยจะต้องแน่ใจถึงเส้นทางที่ส่งข้อมูลไม่ผ่าน เครือข่ายที่ไม่น่าเชื่อถือ มีวิธีการดังต่อไปนี้
Central (config) # logging on
Central (config) # logging 10.1.1.200
Central (config) # logging buffered
Central (config) # logging console critical
Central (config) # logging trap debugging
Central (config) # logging facility local1
กำหนด ค่าการทำงานของ router โดยให้เก็บค่าเวลาลงในบันทึกการทำงานลงในล็อกด้วย โดยการตั้งค่าเวลาจากเครื่องเซิร์ฟเวอร์ NTP ที่แตกต่างกันอย่างน้อย 2 เครื่อง เพื่อให้ค่าที่ได้มีความถูกต้อง ซึ่งจะช่วยให้ผู้ดูแลระบบติดตามเหตุการณ์การบุกรุกเครือข่ายได้สะดวกแม่นยำ มีวิธีการดังตัวอย่างด้านล่าง
service timestamps log datetime localtime show-timezone
clock timezone EST -5
clock summer-time EDT recurring
ntp source Ethernet 0/1
ntp server 192.5.41.40
ntp server 192.5.41.41
หาก มีการใช้งาน SNMP ใช้เลือกใช้ SNMP community string ที่ยากต่อการเดา คำสั่งที่ได้แสดงไว้ดังตัวอย่างด้านล่างแสดงให้เห็นถึงวิธีการในการลบค่า community string ที่ router กำหนดไว้ขณะเริ่มต้น และควรกำหนดให้ community string เป็นแบบอ่านอย่างเดียว
East (config) # no snmp community public
East (config) # no snmp community private
East (config) # snmp community BTR-18+never
Checklist ความปลอดภัย
Checklist ความปลอดภัยต่อไปนี้ออกแบบขึ้นมาเพื่อเป็นเครื่องช่วยในการตรวจสอบความ ปลอดภัยในการกำหนดค่าการทำงานให้กับ router และช่วยทบทวนถึงรายละเอียดความปลอดภัยทั้งหมดที่เกี่ยวข้อง
มีการเขียน ตรวจสอบรับรอง และประกาศใช้งานนโยบายความปลอดภัยของ router
ตรวจสอบเวอร์ชันของ IOS ที่ใช้งานกับ router ว่ามีความทันสมัย
ค่าการทำงานของ router ที่ใช้งานมีความถูกต้องชัดเจน มีการแบ็กอัพ และถูกจำกัดการเข้าถึง
รายละเอียดของค่าการทำงานของ router มีการกำหนดไว้อย่างชัดเจน มีคำอธิบายที่ครบถ้วน
มีการกำหนด และดูแลรายชื่อผู้ใช้ router และรหัสผ่าน
นำรหัสผ่านที่ยากต่อการเดามาใช้งาน และจำกัดผู้ที่ทราบค่ารหัสผ่าน (ถ้ายังไม่เป็นตามนี้ ควรเปลี่ยนรหัสผ่านโดยด่วน)
จำกัดการเข้าถึง router โดยบังคับที่ Console, Aux และ VTY
ยกเลิกบริการของเครือข่ายที่ไม่จำเป็นต้องใช้งาน
ปิดอินเทอร์เฟซที่ไม่มีการใช้งาน
ยกเลิกบริการที่มีความเสี่ยงที่อินเทอร์เฟซ
ระบุชัดเจนถึงพอร์ตและโพรโตคอลที่จำเป็นต้องใช้งานในเครือข่าย พร้อมทั้งทำการตรวจสอบ
ใช้ access list จำกัดความหนาแน่นในการใช้งานเครือข่าย โดยกำหนดจากพอร์ตและโพรโตคอลที่ใช้
ใช้ access list เพื่อสกัดกั้นการใช้แอดเดรสที่สำรองไว้หรือแอดเดรสที่ไม่เหมาะสม
ใช้งานการตั้งค่าการเลือกเส้นทางแบบ static หากจำเป็น
โพรโตคอลที่ใช้ในการเลือกเส้นทางจะต้องถูกกำหนดให้ถูกต้องตามวิธีการที่ใช้
นำการบันทึกค่าการทำงานลงในล็อกมาใช้งาน และระบุเครื่องที่ใช้ในการรับและเก็บล็อกซึ่งจะต้องได้รับการตั้งค่าให้ถูกต้อง
ค่าเวลาของ router จะต้องมีความถูกต้องเที่ยงตรง และควรได้รับการจัดการโดย NTP
บันทึกค่าการทำงานลงในล็อก โดยกำหนดให้รวมข้อมูลของเวลาที่เกิดเหตุการณ์ไว้ด้วย
ตรวจสอบ พิจารณาและเก็บบันทึกการทำงานที่เกิดขึ้นในล็อกคามความเหมาะสม ตามที่ระะบุไว้ในนโยบาย
ยกเลิกการใช้งาน SNMP หรือใช้งานโดยทำการตั้งค่า community string ให้ยากต่อการเดา
เรียบเรียงโดย : มนัชยา ชมธวัช
http://smf.ruk-com.in.th/index.php?topic=9805.0
คำแนะนำโดยทั่วไป
ควรสร้างนโยบายความ ปลอดภัยของ router และปรับแต่งให้เหมาะสมอยู่เสมอ นโยบายดังกล่าวนี้ควรจะระบุว่าผู้ใดบ้างได้รับอนุญาตให้เข้าใช้งาน router และผู้ใดบ้างได้รับอนุญาตให้ปรับแต่งแก้ไขและอัพเดตการทำงานของ router รวมทั้งเก็บบันทึกค่าการเข้าใช้งานและการปรับแต่งค่าทั้งหมดที่เกิดขึ้นจริง กับ router
ให้คำอธิบายและเก็บบันทึกไฟล์ที่ใช้กำหนดค่าการทำ งานของ router การกระทำดังกล่าวนี้อาจจะดูเหมือนเป็นสิ่งง่ายเมื่อเปรียบเทียบกับความ ปลอดภัยที่จะได้รับ นอกจากนั้น ควรเก็บสำเนาค่าการทำงานของ router ทั้งหมดที่เหมือนกับค่าการทำงานจริงที่ใช้งานไว้ตลอดเวลา (หากมีการแก้ไขค่าการทำงานที่ router ก็จะต้องแก้ไขค่าที่เก็บสำเนาไว้ด้วย) การกระทำดังกล่าวนี้จะช่วยให้สามารถตรวจสอบความเปลี่ยนแปลงที่เกิดขึ้นเมื่อ ถูกบุกรุก หรือใช้กู้คืนค่าดังกล่าวมาใช้งานเมื่อเกิดความเสียหายได้
สร้าง Access List เพื่อควบคุมการผ่านเข้าออกเครือข่าย อนุญาตให้เฉพาะโพรโตคอลและบริการที่ผู้ใช้งานเครือข่ายจำเป็นต้องใช้เท่า นั้น นอกเหนือจากนั้นจะไม่อนุญาตให้ผ่านเครือข่ายทั้งหมด
ใช้งาน IOS เวอร์ชันล่าสุดที่เป็นไปได้อยู่เสมอ โดยสอบถามข้อมูลเวอร์ชันที่เหมาะสมได้จากผู้จำหน่ายหรือจากเว็บไซต์ของผู้ผลิตโดยตรง
ทดสอบความปลอดภัยโดยทั่วไปของ router อยู่เสมอ โดยเฉพาะอย่างยิ่งเมื่อมีการเปลี่ยนแปลงค่าการทำงานที่สำคัญของ router
คำแนะนำเฉพาะเรื่อง : Router Access
ปิด ความสามารถในการทำงานเป็นเซิร์ฟเวอร์ที่ไม่จำเป็นต้องใช้ของ router ซึ่งจะช่วยให้มีพื้นที่ของหน่วยความจำและโพรเซสเซอร์ของ router เพิ่มขึ้น ทำได้โดยการใช้คำสั่ง show proc ที่ router แล้วสั่งปิดบริการทั้งหมดที่แน่ใจว่าไม่จำเป็นต้องใช้งาน โดยทั่วไป การทำงานเป็นเซิร์ฟเวอร์บางอย่างของ router ที่ควรถูกปิดไม่ให้ใช้งานและคำสั่งที่เกี่ยวข้องในการยกเลิกการทำงาน ได้แก่
• Small services
(echo, discard, chargen, etc.)
- no service tcp-small-servers
- no service udp-small-servers
• BOOTP
- no ip bootp server
• Finger
- no service finger
• HTTP
- no ip http server
• Identd
- no ip identd (เฉพาะบางเวอร์ชันของ IOS)
• SNMP
- no snmp-server
ปิด การให้บริการที่ไม่จำเป็นต้องใช้ของ router บริการเหล่านี้ใช้เพื่อการอนุญาตให้ส่งแพ็กเก็ตหลายชนิดผ่าน router หรือส่งแพ็กเก็ตชนิดพิเศษบางชนิด หรือใช้เพื่อการปรับแต่งค่าการทำงานของ router จากภายนอก โดยทั่วไป บริการของ router ที่ควรถูกปิดไม่ให้ใช้งานและคำสั่งที่เกี่ยวข้องในการยกเลิกการทำงาน ได้แก่
• CDP - no cdp run
• Remote config - no service config
• Source routing - no ip source-route
สามารถ ทำให้อินเทอร์เฟซของ router มีความปลอดภัยมากขึ้นได้โดยการใช้คำสั่งดังต่อไปนี้กำหนดไว้ที่ทุกอิน เทอร์เฟซ ซึ่งจะต้องทำที่โหมดของการกำหนดค่าให้อินเทอร์เฟซ
• Unused interfaces - shutdown
• No Smurf attacks - no ip directed-broadcast
• Ad-hoc routing - no ip proxy-arp
สามารถ ทำให้การติดต่อกับ console line, auxiliary line และ virtual terminal line ของ router มีความปลอดภัยมากขึ้นได้โดยการใช้คำสั่งดังต่อไปนี้กำหนดไว้ที่ console line และ virtual terminal line (ดังตัวอย่างด้านล่าง) ส่วน auxiliary line หากไม่มีการใช้งานควรถูกปิด (โดยการกำหนดค่าตามตัวอย่างด้านล่างเช่นกัน)
• Console Line - line con 0
exec-timeout 5 0
login
transport input telnet
• Auxiliary Line - line aux 0
no exec
exec-timeout 0 10
transport input telnet
• VTY lines - line vty 0 4
exec-timeout 5 0
login
transport input telnet
ค่า รหัสผ่านควรถูกตั้งไว้ให้มีความปลอดภัยมากที่สุดเท่าที่จะทำได้ ได้แก่ การตั้งค่ารหัสผ่านแบบ Enable Secret ซึ่งทำให้รหัสผ่านถูกเข้ารหัสเพื่อเก็บไว้ด้วยอัลกอริทึม MD-5 นอกจากนี้ ควรตั้งรหัสผ่านไว้สำหรับ console line, auxiliary line และ virtual terminal line ด้วย โดยค่ารหัสผ่านที่ตั้งให้กับแต่ละ line นี้ควรได้รับการปกป้องในเบื้องต้นโดยการเรียกใช้คำสั่ง service password-encryption เพื่อให้เกิดการเข้ารหัสสำหรับรหัสผ่านทั้งหมด แสดงรายละเอียดดังตัวอย่างด้านล่าง
• Enable secret - enable secret 0 2manyRt3s
• Console Line - line con 0
password Soda-4-jimmY
• Auxiliary Line - line aux 0
password Popcorn-4-sara
• VTY Lines - line vty 0 4
password Dots-4-grorg3
• Basic protection - service password-encryption
ไม่ควรเปิดเผยรายละเอียดของค่าการทำงาน router และไฟล์ที่ใช้ในการกำหนดค่าให้ผู้ที่ไม่ได้รับอนุญาตทราบโดยเด็ดขาด
คำแนะนำเฉพาะเรื่อง : Access Lists
การส ร้าง access-list ขึ้นใหม่แต่ละครั้งควรจะเริ่มต้นด้วยคำสั่ง no access-list nnn ก่อนเสมอ เพื่อกำจัดค่าเดิมใดๆ ที่อาจมีการใช้งาน access-list ที่ nnn ให้หมด
East (config) # no access-list 51
East (config) # access-list 51 permit host 14.2.9.6
East (config) # access-list 51 deny any log
กำหนด หมายเลขพอร์ตที่ต้องการควบคุมสำหรับแต่ละ access list ซึ่งจะช่วยเพิ่มประสิทธิภาพการทำงานของ IOS ให้ไม่จำเป็นต้องตรวจสอบ header ทั้งหมดของแพ็กเก็ตโดยไม่จำเป็น และเพื่อให้แน่ใจว่าข้อมูลการใช้งานที่เก็บในล็อกมีข้อมูลหมายเลขพอร์ตที่ ถูกต้อง โดยการกำหนดหมายเลขพอร์ตในช่วงที่ต้องการเป็นอาร์กิวเมนต์หนึ่งของ access list ที่สร้างขึ้น ดังตัวอย่าง
no access-list 106
access-list 106 deny udp any range 1 65535 any range 1 65535 log
access-list 106 deny tcp any range 1 65535 any range 1 65535 log
access-list 106 deny ip any any log
คำ สั่งในบรรทัดสุดท้ายใส่เพื่อให้แน่ใจว่า router จะปฏิเสธแพ็กเก็ตที่ใช้งานโพรโตคอลอื่นๆ นอกเหนือจาก TCP และ UDP รวมทั้งเก็บค่าลงในล็อก
อนุญาตให้เฉพาะแอดเดรสของเครือข่ายภายในส่ง ข้อมูลเข้าสู่ router ผ่านทางอินเทอร์เฟซภายใน โดยการบังคับที่ access list รวมทั้งการปิดไม่ให้แอดเดรสที่ไม่ถูกต้องออกจากเครือข่ายที่อินเทอร์เฟซที่ เชื่อมต่อกับเครือข่ายภายนอก เพื่อป้องกันผู้บุกรุกไม่ให้ใช้ router เป็นเครื่องมือในการโจมตีที่อื่น วิธีการนี้อาจจะไม่สามารถนำไปใช้งานได้จริงกับเครือข่ายที่มีความซับซ้อน
East (config) # no access-list 101
East (config) # access-list 101 permit ip 10.1.1.0 0.0.0.255 any
East (config) # access-list 101 deny udp any range 1 65535 any log
East (config) # access-list 101 deny tcp any range 1 65535 any log
East (config) # access-list 101 deny ip any any log
East (config) # interface eth 1
East (config-if) # ip access-group 101 in
East (config-if) # exit
East (config) # interface eth 0
East (config-if) # ip access-group 101 out
ไม่ ควรให้แพ็กเก็ตที่มาจากภายนอก (จากเครือข่ายที่ไม่น่าเชื่อถือ) ซึ่งอาจจะเป็นแพ็กเก็ตที่มีการปลอมแปลงหรือส่งมาเพื่อโจมตีเครือข่าย สามารถทำได้โดยการแบ่งส่วนของเครือข่ายทั้งหมดตามแต่ละอินเทอร์เฟซของ router และออกแบบว่าจะเลือกให้มีการส่งผ่านข้อมูลที่มาจากเครือข่ายภายนอกและเครือ ข่ายที่ไม่น่าเชื่อถือจากที่ใดได้บ้าง
แพ็กเก็ตที่ส่งมาจากภาย นอกโดยมีแอดเดรสต้นทางเหมือนกับแอดเดรสของเครือข่ายภายในใดๆ (เครือข่ายที่เชื่อถือ) จัดว่าเป็นแพ็กเก็ตที่ส่งเข้ามาเพื่อโจมตีระบบโดยวิธีการ TCP sequence number guessing หรือวิธีอื่นๆ ในทำนองเดียวกัน จึงไม่ควรให้ผ่านเข้ามาในเครือข่าย ป้องกันได้โดยการสร้าง access list ขึ้นมาใช้งานที่แต่ละอินเทอร์เฟซที่ต้องติดต่อกับเครือข่ายที่ไม่น่าเชื่อ ถือ
สกัดกั้นแพ็กเก็ตชนิด loopback (มาจากเครือข่าย 127.0.0.0) เนื่องจากแพ็กเก็ตเหล่านี้ไม่มีทางเกิดขึ้นได้จริง นอกจากนั้น ให้กั้นแพ็กเก็ตที่มาจาก IP address ที่ถูกสำรองไว้ (ได้แก่ 10.0.0.0, 172.16.0.0 - 172.31.0.0 และ 192.168.0.0) [ตาม RFC 1918]
หากเครือข่ายไม่จำเป็นต้องใช้ IP multicast ก็ควรจะกั้นแพ็กเก็ตชนิด multicast ด้วย
สกัด กั้นแพ็กเก็ตชนิด broadcast (ข้อควรคำนึงถึงคือ การปิดแพ็กเก็ตชนิด broadcast อาจจะทำให้บริการ DHCP และ BOOTP ไม่สามารถใช้งานได้ด้วย อย่างไรก็ตาม บริการทั้งสองอันนี้ไม่ควรนำมาใช้ที่อินเทอร์เฟซที่ต่อกับเครือข่ายภาย นอกอยู่แล้ว)
การโจมตีเครือข่ายจากภายนอกจำนวนมากใช้วิธีการส่ง ICMP redirect จึงควรปิดบริการนี้ (วิธีการที่ดีกว่านี้แต่มีความยุ่งยากมากขึ้นคือการอนุญาตให้แพ็กเก็ตชนิด ICMP ที่จำเป็นเพียงบางชนิดผ่านเข้าออก)
ตัวอย่างที่แสดงดังต่อไปนี้ เป็นวิธีการหนึ่งที่จะนำเอาคำแนะนำด้านบนไปใช้งานจริง
North (config) # no access-list 107
North (config) # ! block internal addresses
North (config) # access-list 107 deny ip 14.2.0.0 0.0.255.255 any log
North (config) # access-list 107 deny ip 14.1.0.0 0.0.255.255 any log
North (config) # ! block loopback/reserved addresses
North (config) # access-list 107 deny ip 127.0.0.0 0.255.255.255 any log
North (config) # access-list 107 deny ip 10.0.0.0 0.255.255.255 any log
North (config) # access-list 107 deny ip 172.16.0.0 0.15.255.255 any log
North (config) # access-list 107 deny ip 192.168.0.0 0.0.255.255 any log
North (config) # ! block multicast (if not used)
North (config) # access-list 107 deny ip 224.0.0.0 0.0.255.255 any
North (config) # ! block broadcast
North (config) # access-list 107 deny ip host 0.0.0.0 any log
North (config) # ! block ICMP redirects
North (config) # access-list 107 deny icmp any any redirect log
North (config) # interface eth 0/0
North (config-if) # ip access-group 107 in
สกัด กั้นแพ็กเก็ตที่มีแอดเดรสต้นทางและปลายทางเหมือนกันไม่ให้เข้ามาในเครือข่าย (เพราะอาจจะเป็นการบุกรุกโดยวิธีการที่เรียกว่า 'Land' เข้ามาตัวที่ router) ทำได้โดยการสร้าง access list ขึ้นมาใช้จำกัดข้อมูลที่จะเข้ามาที่แต่ละอินเทอร์เฟซ โดยวิธีการดังที่แสดงในตัวอย่างด้านล่าง
no access-list 102
access-list 102 deny ip host 10.2.6.250 host 10.2.6.250 log
access-list 102 permit ip any any
interface Eth 0/0
ip address 10.2.6.250 255.255.255.0
ip access-group 102 in
กำหนดค่า access list สำหรับใช้งานที่ virtual terminal line เพื่อควบคุมการเข้าถึง router ผ่านทางการ telnet ตามตัวอย่าง
South (config) # line vty 0 4
South (config-line) # access-class 92 in
South (config-line) # exit
South (config) # no access-list 92
South (config) # access-list 92 permit 10.1.1.1
South (config) # access-list 92 permit 10.1.1.2
คำแนะนำเฉพาะเรื่อง : Logging & Debugging
นำ ความสามารถของ router ในการเก็บบันทึกค่าการทำงานมาใช้งาน เพื่อใช้เก็บบันทึกค่าความผิดพลาดที่เกิดขึ้นและส่งแพ็กเก็ตไปยังเครื่องที่ ใช้ในการเก็บ syslog ภายในเครือข่าย (ต้องเป็นเครือข่ายที่มีการเชื่อถือ) โดยจะต้องแน่ใจถึงเส้นทางที่ส่งข้อมูลไม่ผ่าน เครือข่ายที่ไม่น่าเชื่อถือ มีวิธีการดังต่อไปนี้
Central (config) # logging on
Central (config) # logging 10.1.1.200
Central (config) # logging buffered
Central (config) # logging console critical
Central (config) # logging trap debugging
Central (config) # logging facility local1
กำหนด ค่าการทำงานของ router โดยให้เก็บค่าเวลาลงในบันทึกการทำงานลงในล็อกด้วย โดยการตั้งค่าเวลาจากเครื่องเซิร์ฟเวอร์ NTP ที่แตกต่างกันอย่างน้อย 2 เครื่อง เพื่อให้ค่าที่ได้มีความถูกต้อง ซึ่งจะช่วยให้ผู้ดูแลระบบติดตามเหตุการณ์การบุกรุกเครือข่ายได้สะดวกแม่นยำ มีวิธีการดังตัวอย่างด้านล่าง
service timestamps log datetime localtime show-timezone
clock timezone EST -5
clock summer-time EDT recurring
ntp source Ethernet 0/1
ntp server 192.5.41.40
ntp server 192.5.41.41
หาก มีการใช้งาน SNMP ใช้เลือกใช้ SNMP community string ที่ยากต่อการเดา คำสั่งที่ได้แสดงไว้ดังตัวอย่างด้านล่างแสดงให้เห็นถึงวิธีการในการลบค่า community string ที่ router กำหนดไว้ขณะเริ่มต้น และควรกำหนดให้ community string เป็นแบบอ่านอย่างเดียว
East (config) # no snmp community public
East (config) # no snmp community private
East (config) # snmp community BTR-18+never
Checklist ความปลอดภัย
Checklist ความปลอดภัยต่อไปนี้ออกแบบขึ้นมาเพื่อเป็นเครื่องช่วยในการตรวจสอบความ ปลอดภัยในการกำหนดค่าการทำงานให้กับ router และช่วยทบทวนถึงรายละเอียดความปลอดภัยทั้งหมดที่เกี่ยวข้อง
มีการเขียน ตรวจสอบรับรอง และประกาศใช้งานนโยบายความปลอดภัยของ router
ตรวจสอบเวอร์ชันของ IOS ที่ใช้งานกับ router ว่ามีความทันสมัย
ค่าการทำงานของ router ที่ใช้งานมีความถูกต้องชัดเจน มีการแบ็กอัพ และถูกจำกัดการเข้าถึง
รายละเอียดของค่าการทำงานของ router มีการกำหนดไว้อย่างชัดเจน มีคำอธิบายที่ครบถ้วน
มีการกำหนด และดูแลรายชื่อผู้ใช้ router และรหัสผ่าน
นำรหัสผ่านที่ยากต่อการเดามาใช้งาน และจำกัดผู้ที่ทราบค่ารหัสผ่าน (ถ้ายังไม่เป็นตามนี้ ควรเปลี่ยนรหัสผ่านโดยด่วน)
จำกัดการเข้าถึง router โดยบังคับที่ Console, Aux และ VTY
ยกเลิกบริการของเครือข่ายที่ไม่จำเป็นต้องใช้งาน
ปิดอินเทอร์เฟซที่ไม่มีการใช้งาน
ยกเลิกบริการที่มีความเสี่ยงที่อินเทอร์เฟซ
ระบุชัดเจนถึงพอร์ตและโพรโตคอลที่จำเป็นต้องใช้งานในเครือข่าย พร้อมทั้งทำการตรวจสอบ
ใช้ access list จำกัดความหนาแน่นในการใช้งานเครือข่าย โดยกำหนดจากพอร์ตและโพรโตคอลที่ใช้
ใช้ access list เพื่อสกัดกั้นการใช้แอดเดรสที่สำรองไว้หรือแอดเดรสที่ไม่เหมาะสม
ใช้งานการตั้งค่าการเลือกเส้นทางแบบ static หากจำเป็น
โพรโตคอลที่ใช้ในการเลือกเส้นทางจะต้องถูกกำหนดให้ถูกต้องตามวิธีการที่ใช้
นำการบันทึกค่าการทำงานลงในล็อกมาใช้งาน และระบุเครื่องที่ใช้ในการรับและเก็บล็อกซึ่งจะต้องได้รับการตั้งค่าให้ถูกต้อง
ค่าเวลาของ router จะต้องมีความถูกต้องเที่ยงตรง และควรได้รับการจัดการโดย NTP
บันทึกค่าการทำงานลงในล็อก โดยกำหนดให้รวมข้อมูลของเวลาที่เกิดเหตุการณ์ไว้ด้วย
ตรวจสอบ พิจารณาและเก็บบันทึกการทำงานที่เกิดขึ้นในล็อกคามความเหมาะสม ตามที่ระะบุไว้ในนโยบาย
ยกเลิกการใช้งาน SNMP หรือใช้งานโดยทำการตั้งค่า community string ให้ยากต่อการเดา
เรียบเรียงโดย : มนัชยา ชมธวัช
http://smf.ruk-com.in.th/index.php?topic=9805.0
ระวัง!!! ฟิชชิ่งฉกบัญชีผู้ใช้ HotMail
รายงานข่าวล่าสุด ไมโครซอฟท์ยอมรับผู้ใช้บริการฮอตเมล์ (Hotmail) กว่าหมื่นแอคเคาต์กำลังถูกโจมตีด้วยเทคนิคที่เรียกว่า ฟิชชิ่ง (Phishing) โดยจุดเริ่มต้นของการโจมตีมาจากทางยุโรป ยูสเซอร์เนมและพาสเวิร์ดของผู้ใช้ที่โดนโจมตีจะถูกโพสต์ขึ้นออนไลน์ ซึ่งขณะนี้ทางไมโครซอฟท์ กำลังอยู่ในระหว่างการสืบสวนหาข้อเท็จจริง เพื่อดำเนินแก้ปัญหาในขั้นต่อไป
การโจมตีด้วยฟิชชิ่ง หมายถึงการใช้เว็บไซต์ปลอม เพื่อหลอกให้ผู้ใช้เปิดเผยรายละเอียดข้อมูลสำคัญๆ อย่างเช่น หมายเลขบัญชีธนาคาร หรือบัตรเครดิต ตลอดจน ยูสเซอร์เนมที่ใช้ในการล็อกอิน "เราทราบว่า ข้อมูลของลูกค้าผู้ใช้บริการ WIndows Live Hotmail ถูกหลอกเอาไปอย่างผิดกฎหมาย และมีการนำไปเผยแพร่บนเว็บไซต์" ตัวแทนบริษัทไมโครซอฟท์ กล่าว "ขณะนี้เราได้เริ่มตรวจสอบความเสียหาย และผลกระทบที่จะเกิดกับลูกค้าผู้ใช้บริการแล้ว" Graham Cluley ที่ปรึกษาฝ่ายระบบรักษาความปลอดภัยจาก Sophos กล่าวว่า ข้อมูลของผู้ใช้ฮอตเมล์ที่ถูกเผยแพร่ออกมาอาจจะเป็นแค่บางส่วนเท่านั้น "เรายังไม่ทราบระดับความรุนแรงของปัญหาที่เกิดขึ้น" Cluley กล่าว นอกจากนี้บล็อกทางด้านเทคโนโลยีอย่าง neowin.net ซึ่งเป็นที่แรกที่เผยแพร่รายละเอียดของการโจมตีออกมา โดยระบุว่า บัญชีผู้ใช้ฮอตเมล์ถูกโพสต์บนเว็บไซต์ pastenbin.com ตั้งแต่วันที่ 1 ตุลาคมทีผ่านมา ปกติเว็บไซต์ดังกล่าวจะใช้สำหรับการแชร์โค้ดของเหล่านักพัฒนาโปรแกรม
แม้ว่ารายละเอียดของผู้ใช้ที่โดนฟิชชิ่งจะถูกลบออกไปแล้ว แต่จากรายชื่อที่พบ 10,028 รายชื่อ พบว่า มันจะเรียงตามตัวอักษรจาก A ถึง B เท่านั้น นั่นอาจหมายถึง รายชื่อบัญชีผู้ใช้ที่ถูกหลอกไปทั้งหมดอาจจะมีมากกว่านี้ก็ได้ ตามรายงานข่าวมีการยืนยันด้วยว่า บัญชีผู้ใช้ฮอตเมล์เหล่านั้นมีตัวตนจริง โดยมีจุดเริ่มต้นจากในยุโรป สำหรับรายละเอียดที่ปรากฎในเว็บไซต์ประกอบด้วยบัญชีผู้ใช้ (username และ password) Windows Live Hotmail ของ Microsoft ซึ่งได้แก่อีเมล์แอดเดรสที่ลงท้ายด้วย hotmail.com, msn.com และ live.com
ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ Hotmail เปลี่ยนพาสเวิร์ดเป็นการด่วน "ผมอยากจะแนะนำให้ผู้ใช้เปลี่ยนพาสเวิร์ดบนเว็บไซต์ต่างๆ ที่ใช้บริการอยู่ด้วย" (เพราะพาสเวิร์ดของบริการเหล่านั้นอาจปรากฎอยู่ในอีเมล์ hotmail) ประมาณ 40% ของผู้ใช้มักเลือกใช้พาสเวิร์ดเดียวสำหรับทุกเว็บไซต์ที่เยี่ยมชม เขากล่าว ปัจจุบันฮอตเมล์เป็นบริการฟรีอีเมล์ที่ใหญ่ที่สุดในโลก
http://smf.ruk-com.in.th/index.php?topic=9806.0
การโจมตีด้วยฟิชชิ่ง หมายถึงการใช้เว็บไซต์ปลอม เพื่อหลอกให้ผู้ใช้เปิดเผยรายละเอียดข้อมูลสำคัญๆ อย่างเช่น หมายเลขบัญชีธนาคาร หรือบัตรเครดิต ตลอดจน ยูสเซอร์เนมที่ใช้ในการล็อกอิน "เราทราบว่า ข้อมูลของลูกค้าผู้ใช้บริการ WIndows Live Hotmail ถูกหลอกเอาไปอย่างผิดกฎหมาย และมีการนำไปเผยแพร่บนเว็บไซต์" ตัวแทนบริษัทไมโครซอฟท์ กล่าว "ขณะนี้เราได้เริ่มตรวจสอบความเสียหาย และผลกระทบที่จะเกิดกับลูกค้าผู้ใช้บริการแล้ว" Graham Cluley ที่ปรึกษาฝ่ายระบบรักษาความปลอดภัยจาก Sophos กล่าวว่า ข้อมูลของผู้ใช้ฮอตเมล์ที่ถูกเผยแพร่ออกมาอาจจะเป็นแค่บางส่วนเท่านั้น "เรายังไม่ทราบระดับความรุนแรงของปัญหาที่เกิดขึ้น" Cluley กล่าว นอกจากนี้บล็อกทางด้านเทคโนโลยีอย่าง neowin.net ซึ่งเป็นที่แรกที่เผยแพร่รายละเอียดของการโจมตีออกมา โดยระบุว่า บัญชีผู้ใช้ฮอตเมล์ถูกโพสต์บนเว็บไซต์ pastenbin.com ตั้งแต่วันที่ 1 ตุลาคมทีผ่านมา ปกติเว็บไซต์ดังกล่าวจะใช้สำหรับการแชร์โค้ดของเหล่านักพัฒนาโปรแกรม
แม้ว่ารายละเอียดของผู้ใช้ที่โดนฟิชชิ่งจะถูกลบออกไปแล้ว แต่จากรายชื่อที่พบ 10,028 รายชื่อ พบว่า มันจะเรียงตามตัวอักษรจาก A ถึง B เท่านั้น นั่นอาจหมายถึง รายชื่อบัญชีผู้ใช้ที่ถูกหลอกไปทั้งหมดอาจจะมีมากกว่านี้ก็ได้ ตามรายงานข่าวมีการยืนยันด้วยว่า บัญชีผู้ใช้ฮอตเมล์เหล่านั้นมีตัวตนจริง โดยมีจุดเริ่มต้นจากในยุโรป สำหรับรายละเอียดที่ปรากฎในเว็บไซต์ประกอบด้วยบัญชีผู้ใช้ (username และ password) Windows Live Hotmail ของ Microsoft ซึ่งได้แก่อีเมล์แอดเดรสที่ลงท้ายด้วย hotmail.com, msn.com และ live.com
ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ Hotmail เปลี่ยนพาสเวิร์ดเป็นการด่วน "ผมอยากจะแนะนำให้ผู้ใช้เปลี่ยนพาสเวิร์ดบนเว็บไซต์ต่างๆ ที่ใช้บริการอยู่ด้วย" (เพราะพาสเวิร์ดของบริการเหล่านั้นอาจปรากฎอยู่ในอีเมล์ hotmail) ประมาณ 40% ของผู้ใช้มักเลือกใช้พาสเวิร์ดเดียวสำหรับทุกเว็บไซต์ที่เยี่ยมชม เขากล่าว ปัจจุบันฮอตเมล์เป็นบริการฟรีอีเมล์ที่ใหญ่ที่สุดในโลก
http://smf.ruk-com.in.th/index.php?topic=9806.0
[โพสกระทู้นี้ลงทวิตเตอร์] security: ตั้ง"รหัสผ่าน"ให้ปลอดภัย (2)
[เอ.อาร์.ไอ.พี, www.arip.co.th] แม้จะเป็นเรื่องที่ซ้ำซาก แต่ก็ยังคงต้องออกมาเตือนกันอยู่เสมอ โดยเฉพาะปัจจุบันที่ผู้ใช้ต้องเผชิญหน้ากับปัญหาระบบรักษาความปลอดภัยของ ซอฟต์แวร์ หรือเว็บไซต์ที่เกิดขึ้นแบบไม่ทันตั้งตัว (Zero day) ล่าสุดผู้ใช้ฮอตเมล์ (Hotmail) หลายหมื่นรายถูกแฉพาสเวิร์ดบนเว็บไซต์ให้สาธารณชนได้รับทราบ ส่วนใครจะโดนบ้างก็ไม่รู้ แต่ทางที่ดีคือ เปลี่ยนพาสเวิร์ดไว้ก่อนอุ่นใจกว่า อย่างไรก็ตาม เรื่องที่น่าตกใจกว่านั้นก็คือ ในบรรดาพาสเวิร์ดทีมีการเผยแพร่ออกมา ส่วนใหญ่ยังคงเป็นรหัสผ่านที่เดาง่ายเหลือเกิน...
ก่อนหน้านี้ นายเกาเหลาได้เคยแนะนำเทคนิคการสร้างรหัสผ่าน (password) ที่ปลอดภัยไปแล้ว แต่พอมีเหตุการณ์ทำนองนี้ออกมาเป็นข่าวอีก ก็เลยต้องย้ำกันอีกครั้ง และถือโอกาสนี้เพิ่มเติมเทคนิคการสร้างพาสเวิร์ดที่แข็งแรงให้ได้นำไปใช้กัน ซึ่งประเด็นสำคัญของการนำเทคนิคเหล่านี้ไปใช้ก็คือ มันต้องจำง่าย และเดาได้เองไม่ยากหากคุณลืม แต่ก่อนจะไปถึงตรงนั้น ขอสรุปกติกาพื้นฐานอย่างย่อๆ กันก่อนนะครับ
ประเด็น แรกคือ คำที่ไม่ควรใช้ในการตั้งเป็นพาสเวิร์ด ซึ่งได้แก่ วันเกิด เบอร์โทรฯ ชื่อพ่อ-แม่ ชื่อของคน,สัตว์ สิ่งของที่ได้ยินบ่อยๆ (พวกชื่อโหลทั้งหลายแหล่) ชื่อเล่น และคำสามัญที่หลายคนรู้จักกันดี เนื่องจากคำเหล่านี้สามารถใช้กลไกการแกะพาสเวิร์ดที่ใช้คำในพจนานุกรมเจาะ ได้ภายในไม่กี่วินาที และที่ลืมไม่ได้คือ พาสเวิร์ดยอดฮิตอย่าง 1234567890 หรือ abcdefgh ขอที...เลิกเถอะนะ พวกนี้ไม่เรียกว่า "password" มันเหมือนเด็กอนุบาลที่ไม่เกรงกลัวผู้ร้ายเลยแม้แต่น้อย สำหรับการตั้งพาสเวิร์ดที่"ปลอดภัย"ตอนที่ 1 คลิกที่นี่
เทคนิคสร้างพาสเวิร์ด "ตรงข้ามสุดขั้ว+ตัวอักษรนินจา"
สำหรับ เทคนิคเพิ่มเติมในการตั้งพาสเวิร์ดที่นำมาฝากในวันนี้เป็นการผสานสองเทคนิค เข้าด้วยกัน เพื่อสร้างพาสเวิร์ดที่ซับซ้อน แต่จำได้ขึ้นมาแทน เริ่มต้นด้วยเทคนิคแรก "ตรงข้ามสุดขั้ว" ให้คุณนึกสองคำที่ตรงข้ามกันสุดขั้วในใจคุณ อย่างเช่น ชื่อดาราคนโปรดกับชื่อหนังสือที่ไม่ชอบอ่าน หรือจะเป็นกีฬาที่ถนัดกับชื่อเจ้านายเฮงซวย คำคู่พวกนี้จะอยู่ในใจคุณยากจะลืมอยู่แล้ว สมมตินายเกาเหลาชอบดาราสาว "nicole kidman" แต่ไม่ชอบหนังสือชื่อ "The only 121" ซึ่ง พอนำมาต่อกันเป็น nicole kidman the only 121 แต่ พาสเวิร์ดที่แข็งแรงโดยทั่วไปจะอยู่ระหว่าง 8 - 10 ตัวอักษรก็พอ เพราะฉะนั้น นายเกาเหลาจะหยิบมาคำละ 2 ตัวอักษรมาต่อกันก็จะเป็น nikithon121 เป็นต้น คราวนี้คุณผู้อ่านอาจจะมองว่า มันยังไม่ลึกลับพอ อาจจะเสิรมด้วยอีกเทคนิคหนึ่งที่เรียกว่า "ตัวอักษรนินจา" ซึ่งสามารถซ่อนตัวอยู่ในพาสเวิร์ดได้ หรือพูดง่ายๆ ก็คือ การแทนตัวอักษรด้วยตัวเลข และแทนตัวเลขด้วยตัวอักษรทีดูคล้ายกันนั่นเอง ซึ่งในที่นี้ พาสเวิร์ดของเราก็จะกลายเป็น n1k1th0n!2! เป็นไงล่ะ งงได้ใจ หรือยัง? ในทีนี้นายเกาเหลาเลือกใช้หมายเลข 1 แทนตัว i และเลข 0 แทนตัว o ส่วนเลข 1 ใช้เครื่องหมายตกใจ ! แทนเข้าไป เพียงแค่นี้ พาสเวิร์ดของคุณก็จะแข็งแรงขึ้นอีกเป็นกอง อาจจะฟังดูมีขั้นตอนสักนิดหนึ่ง แต่รับรองว่า พาสเวิร์ดที่ได้จะทำให้คุณภูมิใจกับมันมากทีเดียว แต่อันนี้ไม่บังคับให้ใช้นะครับ สูตรใครก็สูตรมัน แต่เนื่องจากมันเป็นหลักการสร้างพาสเวิร์ดที่สนุก และน่าสนใจ ก็เลยนำมาฝากกันครับ คุณผู้อ่านท่านใด มีเทคนิคที่นอกเหนือจากทั้งสองตอน ก็แวะเวียนเข้ามาบอกกล่าวให้กับเพื่อนๆ ได้รับทราบกัน ก็จะยินดีเป็นอย่างยิงเลยนะครับ :p
Credit Arip
http://smf.ruk-com.in.th/index.php?topic=9815.0
ก่อนหน้านี้ นายเกาเหลาได้เคยแนะนำเทคนิคการสร้างรหัสผ่าน (password) ที่ปลอดภัยไปแล้ว แต่พอมีเหตุการณ์ทำนองนี้ออกมาเป็นข่าวอีก ก็เลยต้องย้ำกันอีกครั้ง และถือโอกาสนี้เพิ่มเติมเทคนิคการสร้างพาสเวิร์ดที่แข็งแรงให้ได้นำไปใช้กัน ซึ่งประเด็นสำคัญของการนำเทคนิคเหล่านี้ไปใช้ก็คือ มันต้องจำง่าย และเดาได้เองไม่ยากหากคุณลืม แต่ก่อนจะไปถึงตรงนั้น ขอสรุปกติกาพื้นฐานอย่างย่อๆ กันก่อนนะครับ
ประเด็น แรกคือ คำที่ไม่ควรใช้ในการตั้งเป็นพาสเวิร์ด ซึ่งได้แก่ วันเกิด เบอร์โทรฯ ชื่อพ่อ-แม่ ชื่อของคน,สัตว์ สิ่งของที่ได้ยินบ่อยๆ (พวกชื่อโหลทั้งหลายแหล่) ชื่อเล่น และคำสามัญที่หลายคนรู้จักกันดี เนื่องจากคำเหล่านี้สามารถใช้กลไกการแกะพาสเวิร์ดที่ใช้คำในพจนานุกรมเจาะ ได้ภายในไม่กี่วินาที และที่ลืมไม่ได้คือ พาสเวิร์ดยอดฮิตอย่าง 1234567890 หรือ abcdefgh ขอที...เลิกเถอะนะ พวกนี้ไม่เรียกว่า "password" มันเหมือนเด็กอนุบาลที่ไม่เกรงกลัวผู้ร้ายเลยแม้แต่น้อย สำหรับการตั้งพาสเวิร์ดที่"ปลอดภัย"ตอนที่ 1 คลิกที่นี่
เทคนิคสร้างพาสเวิร์ด "ตรงข้ามสุดขั้ว+ตัวอักษรนินจา"
สำหรับ เทคนิคเพิ่มเติมในการตั้งพาสเวิร์ดที่นำมาฝากในวันนี้เป็นการผสานสองเทคนิค เข้าด้วยกัน เพื่อสร้างพาสเวิร์ดที่ซับซ้อน แต่จำได้ขึ้นมาแทน เริ่มต้นด้วยเทคนิคแรก "ตรงข้ามสุดขั้ว" ให้คุณนึกสองคำที่ตรงข้ามกันสุดขั้วในใจคุณ อย่างเช่น ชื่อดาราคนโปรดกับชื่อหนังสือที่ไม่ชอบอ่าน หรือจะเป็นกีฬาที่ถนัดกับชื่อเจ้านายเฮงซวย คำคู่พวกนี้จะอยู่ในใจคุณยากจะลืมอยู่แล้ว สมมตินายเกาเหลาชอบดาราสาว "nicole kidman" แต่ไม่ชอบหนังสือชื่อ "The only 121" ซึ่ง พอนำมาต่อกันเป็น nicole kidman the only 121 แต่ พาสเวิร์ดที่แข็งแรงโดยทั่วไปจะอยู่ระหว่าง 8 - 10 ตัวอักษรก็พอ เพราะฉะนั้น นายเกาเหลาจะหยิบมาคำละ 2 ตัวอักษรมาต่อกันก็จะเป็น nikithon121 เป็นต้น คราวนี้คุณผู้อ่านอาจจะมองว่า มันยังไม่ลึกลับพอ อาจจะเสิรมด้วยอีกเทคนิคหนึ่งที่เรียกว่า "ตัวอักษรนินจา" ซึ่งสามารถซ่อนตัวอยู่ในพาสเวิร์ดได้ หรือพูดง่ายๆ ก็คือ การแทนตัวอักษรด้วยตัวเลข และแทนตัวเลขด้วยตัวอักษรทีดูคล้ายกันนั่นเอง ซึ่งในที่นี้ พาสเวิร์ดของเราก็จะกลายเป็น n1k1th0n!2! เป็นไงล่ะ งงได้ใจ หรือยัง? ในทีนี้นายเกาเหลาเลือกใช้หมายเลข 1 แทนตัว i และเลข 0 แทนตัว o ส่วนเลข 1 ใช้เครื่องหมายตกใจ ! แทนเข้าไป เพียงแค่นี้ พาสเวิร์ดของคุณก็จะแข็งแรงขึ้นอีกเป็นกอง อาจจะฟังดูมีขั้นตอนสักนิดหนึ่ง แต่รับรองว่า พาสเวิร์ดที่ได้จะทำให้คุณภูมิใจกับมันมากทีเดียว แต่อันนี้ไม่บังคับให้ใช้นะครับ สูตรใครก็สูตรมัน แต่เนื่องจากมันเป็นหลักการสร้างพาสเวิร์ดที่สนุก และน่าสนใจ ก็เลยนำมาฝากกันครับ คุณผู้อ่านท่านใด มีเทคนิคที่นอกเหนือจากทั้งสองตอน ก็แวะเวียนเข้ามาบอกกล่าวให้กับเพื่อนๆ ได้รับทราบกัน ก็จะยินดีเป็นอย่างยิงเลยนะครับ :p
Credit Arip
http://smf.ruk-com.in.th/index.php?topic=9815.0
security: ตั้ง "รหัสผ่าน" ให้ปลอดภัย?
[เอ.อาร์.ไอ.พี, www.arip.co.th] ถาม: คุณ พ่อเพิ่งซื้อเน็ตบุ๊กให้ค่ะ เพราะต้องใช้ทำการบ้านด้วยค่ะ หนูคิดว่าตัวเองเป็นมือใหม่ แต่ก็พอจะได้เล่นคอมพิวเตอร์ที่โรงเรียนมาบ้าง (มี hi5 แล้วค่ะ) หนูมีเรื่องสอบถามนิดนึงค่ะ ตอนที่เราสร้างบัญชีใช้งานอะไรก็ตามจะบนเน็ต หรือในเครื่อง มันมักจะให้เราตั้งรหัสผ่าน คือหนูอยากทราบว่า มันมีหลักการตั้งรหัสผ่านให้ปลอดภัย หรือเปล่าคะ? หนูขอขอบคุณล่วงหน้าเลยนะคะ ก็กะว่าจะเอา
คำตอบไปขยายความทำเป็นรายงานหน้าชั้นด้วยเลยค่ะ
ตอบ: เด็กเดี๋ยวนี้ฉลาดกันจริงๆ กะเอาคำตอบไปใช้งานต่อเลย แต่เห็นว่าจะนำไปขยายความ ถ้างั้นขอตอบสั้นๆ ก็แล้วกันนะครับ สำหรับหลักการต้้งรหัสผ่าน (password) ให้ปลอดภัยนั้นมีดังนี้
* พาส เวิร์ดของคุณควรมีตัวอักษรอย่างน้อย 8 ตัว และประกอบด้วยอักษรตัวใหญ่ และตัวเล็ก ตลอดจนตัวเลข และสัญลักษณ์ ยิ่งผสมกันได้มากเท่าไร ยิ่งปลอดภัยเท่านั้น
* หลีกเลี่ยงการใช้วันเดือนปีเกิด ชื่อตัว(ชื่อแฟน เพื่อนสนิท พ่อแม่พี่น้อง ฯลฯ) ชื่อจังหวัด หรือข้อมูลต่างๆ ที่เกี่ยวข้องกับตัวเรา มาใช้ในการตั้งรหัสผ่าน
* ควร ใช้รหัสผ่านแยกกัน หากเป็นคนละบัญชีผู้ใช้งาน โดยเฉพาะรหัสผ่านที่ใช้เข้าถึงข้อมูลสำคัญเช่น ธนาคารออนไลน์ แต่ถ้าขี้เกียจจำ คุณอาจจะใช้วิธีตั้งพาสเวิร์ดเป็นพวกเดียวกัน โดยใช้ตัวเลขที่ตามหลังเป็นตัวแยกความแตกต่างของพาสเวิร์ดแต่ละบัญชีผู้ใช้ ก็ได้
* อย่าเลือกออปชันจัดเก็บรหัสผ่านอัตโนมัติของบราวเซอร์ หากเครื่องของคุณใช้ร่วมกับผู้อื่น อันนี้เตือนบ่อย แต่ก็พบบ่อย และก็เสียรู้กันบ่อย
* อย่าส่งพาสเวิร์ดให้ใครทั้งทางกาย วาจา อีเมล์ msn และ sms พึงระลึกว่า มันคือ รหัสลับของคุณที่ไม่ควรส่งไปให้ใครเด็ดขาด
* อย่าจดรหัสผ่านลงบนกระดาษ หรือสมุดโน้ตใดๆ ของคุณ แต่ถ้าจำเป็น ควรเก็บเอกสารไว้ในที่ปลอดภัย ไม่ใช่ใกล้คอมพิวเตอร์
* เปลี่ยนรหัสผ่านทุกๆ 3 เดือน เพื่อลดโอกาสที่ใครจะแกะรหัสของคุณออก
สำหรับ เทคนิคการตั้งรหัสผ่านที่นิยมใช้กันก็คือ การพิมพ์รหัสผ่านเป็นภาษาไทย แต่แป้นพิมพ์ภาษาอังกฤษ เช่นคำว่า "okpgdkgs]k" ซึ่งหมายถึง "นายเกาเหลา" นั่นเอง เอาเป็นว่า แนะนำกันพอหอมปากหอมคอก็แล้วกันนะครับ
Credit Arip
http://smf.ruk-com.in.th/index.php?topic=9816.0
คำตอบไปขยายความทำเป็นรายงานหน้าชั้นด้วยเลยค่ะ
ตอบ: เด็กเดี๋ยวนี้ฉลาดกันจริงๆ กะเอาคำตอบไปใช้งานต่อเลย แต่เห็นว่าจะนำไปขยายความ ถ้างั้นขอตอบสั้นๆ ก็แล้วกันนะครับ สำหรับหลักการต้้งรหัสผ่าน (password) ให้ปลอดภัยนั้นมีดังนี้
* พาส เวิร์ดของคุณควรมีตัวอักษรอย่างน้อย 8 ตัว และประกอบด้วยอักษรตัวใหญ่ และตัวเล็ก ตลอดจนตัวเลข และสัญลักษณ์ ยิ่งผสมกันได้มากเท่าไร ยิ่งปลอดภัยเท่านั้น
* หลีกเลี่ยงการใช้วันเดือนปีเกิด ชื่อตัว(ชื่อแฟน เพื่อนสนิท พ่อแม่พี่น้อง ฯลฯ) ชื่อจังหวัด หรือข้อมูลต่างๆ ที่เกี่ยวข้องกับตัวเรา มาใช้ในการตั้งรหัสผ่าน
* ควร ใช้รหัสผ่านแยกกัน หากเป็นคนละบัญชีผู้ใช้งาน โดยเฉพาะรหัสผ่านที่ใช้เข้าถึงข้อมูลสำคัญเช่น ธนาคารออนไลน์ แต่ถ้าขี้เกียจจำ คุณอาจจะใช้วิธีตั้งพาสเวิร์ดเป็นพวกเดียวกัน โดยใช้ตัวเลขที่ตามหลังเป็นตัวแยกความแตกต่างของพาสเวิร์ดแต่ละบัญชีผู้ใช้ ก็ได้
* อย่าเลือกออปชันจัดเก็บรหัสผ่านอัตโนมัติของบราวเซอร์ หากเครื่องของคุณใช้ร่วมกับผู้อื่น อันนี้เตือนบ่อย แต่ก็พบบ่อย และก็เสียรู้กันบ่อย
* อย่าส่งพาสเวิร์ดให้ใครทั้งทางกาย วาจา อีเมล์ msn และ sms พึงระลึกว่า มันคือ รหัสลับของคุณที่ไม่ควรส่งไปให้ใครเด็ดขาด
* อย่าจดรหัสผ่านลงบนกระดาษ หรือสมุดโน้ตใดๆ ของคุณ แต่ถ้าจำเป็น ควรเก็บเอกสารไว้ในที่ปลอดภัย ไม่ใช่ใกล้คอมพิวเตอร์
* เปลี่ยนรหัสผ่านทุกๆ 3 เดือน เพื่อลดโอกาสที่ใครจะแกะรหัสของคุณออก
สำหรับ เทคนิคการตั้งรหัสผ่านที่นิยมใช้กันก็คือ การพิมพ์รหัสผ่านเป็นภาษาไทย แต่แป้นพิมพ์ภาษาอังกฤษ เช่นคำว่า "okpgdkgs]k" ซึ่งหมายถึง "นายเกาเหลา" นั่นเอง เอาเป็นว่า แนะนำกันพอหอมปากหอมคอก็แล้วกันนะครับ
Credit Arip
http://smf.ruk-com.in.th/index.php?topic=9816.0
[โพสกระทู้นี้ลงทวิตเตอร์] security: SSL บน Wi-Fi ปลอดภัย?
  [เอ.อาร์.ไอ.พี, www.arip.co.th] ถาม: ตอนนี้ดิฉันใช้เน็ตบุ๊กของโตชิบาอยู่ค่ะ สองวันก่อนได้ไปใช้บริการไร้สายที่ร้านกาแฟแห่งหนึ่ง ซึ่งดิฉันได้ยินมาว่า หน้าเว็บที่ได้รับการเข้ารหัส (encrypted webpage) จะปลอดภัยจากการถูกแฮคข้อมูล แล้วมันจะปลอดภัยจากการถูกดักจับข้อมูลผ่านปุ่มที่กดบนคีย์บอร์ด หรือเปล่าคะ? หวังว่า คำถามของดิฉันคงไม่ใช่เรื่องตลกนะคะ ตอบ: ไม่ตลกเลยครับ และก็ผมว่า ดีเสียอีกที่กล้าถาม เพราะมันช่วยให้สังคมได้เรียนรู้ในวงกว้างมากยิ่งขึ้น สำหรับหน้าเว็บที่เข้ารหัสนั้น จะใช้โพรโตคอล HTTPS เข้ารหัส SSL (สังเกตที่ช่องป้อนแอดเดรสของเว็บไซต์ หรือรูปกุญแจล็อคที่ด้านล่างขวา) เพื่อใช้แลกเปลี่ยนข้อมูลระหว่างคอมพิวเตอร์ของคุณกับทางเว็บไซต์ การเข้ารหัสจะทำให้ข้อมูลดังกล่าวไม่สามารถอ่านได้ แม้ข้อมูลจะถูกดักจับกลางอากาศ หรือต่อพ่วงสายสัญญาณไปก็ดูไม่รู้เรื่องว่ามันคืออะไรกันแน่ ดังนั้นการเชื่อมต่อผ่านหน้าเว็บที่เข้ารหัสของคุณจะปลอดภัยไม่ว่าจะใช้ที่ ร้านกาแฟ หรือที่บ้านก็ตาม  ประเด็น ต่อมาที่คุณถามว่า คุณจะถูกดักจับการกดปุ่มต่างๆ บนคีย์บอร์ดได้ หรือไม่? อันนี้เข้าใจว่า น่าจะหมายถึงโปรแกรมพวก Keylogger (โปรแกรมแอบบันทึกการกดปุ่มบนคีย์บอร์ด และส่งข้อมูลผ่านเน็ตไปให้แฮคเกอร์) ซึ่งมันจะต้องมีการติดตั้งเข้าไปในคอมพิวเตอร์ของคุณ สำหรับกรณีนี้โอกาสถูกแฮคสามารถเกิดขึ้นได้ทั้งขณะใช้งานในบ้าน หรือที่ใดๆ ก็ตาม ดังนั้น คุณควรจะหมั่นอัพเดตซอฟต์แวร์ระบบรักษาความปลอดภัยที่ใช้อย่างสม่ำเสมอครับ  Keylogger ยังมีที่เป็นฮาร์ดแวร์ด้วย ดังในรูปจะเป็นชุดอุปกรณ์ที่ใช้ดักจับการกดคีย์บอร์ดแบบไร้สาย สิ่งที่กดทางฝั่งผู้รับจะถูกส่งผ่านคลื่นความถี่ 2.4GHz ไปยังเครื่อฝั่งผู้รับ ทางผู้ส่งกดอะไรมา ทางฝั่งรับจะรับหมดดังรูป Credit Arip.Co.Th http://smf.ruk-com.in.th/index.php?topic=9817.0  |
อ้างถึง
แก้ไข
ลบทิ้ง
แยกหัวข้อ
สมัครสมาชิก:
บทความ (Atom)
