การป้องกัน Man In The Middle (MITM) ดักบัญชีผู้ใช้และรหัสผ่าน

by
Post Views: 12,320

การป้องกัน Man In The Middle (MITM) ดักบัญชีผู้ใช้และรหัสผ่าน

Man In The Middle (MITM) คือ เทคนิคการโจมตีของแฮคเกอร์ที่จะปลอมเป็นคนกลางเข้ามาแทรกสัญญาณการรับส่งข้อมูลระหว่างผู้ใช้ (เบราว์เซอร์) และเซิร์ฟเวอร์  โดยใช้โปรแกรมดักฟังข้อมูลของเหยื่อ แล้วแฮกเกอร์ก็เป็นตัวกลางส่งผ่านข้อมูลให้ระหว่างเบราว์เซอร์กับเซิร์ฟเวอร์ วิธีการทำอย่างหนึ่งคือ การส่งข้อมูล MAC Address ของเครื่องของแฮกเกอร์ไปให้กับเครื่องของผู้ใช้โดยแจ้งว่าเป็น MAC Address ของ Gateway ของระบบเครือข่าย หลังจากนั้นเมื่อเครื่องเหยื่อรับ MAC Address ดังกล่าวไปใส่ไว้ใน ARP Table cached แล้ว กระบวนการส่งข้อมูลจากเบราว์เซอร์ของเครื่องเหยื่อจะถูกส่งผ่านไปยังเครื่องแฮกเกอร์ก่อนที่จะส่งไปยังเครื่องเซิร์ฟเวอร์
maninthemiddleattack
ที่มารูปภาพ: http://www.computerhope.com

ดังนั้นเมื่อเครื่องเหยื่อเข้าไปยังหน้าเว็บเพจที่ต้อง login ด้วย Username และ Password โปรแกรมดักฟังข้อมูลก็จะทำการส่งหน้าเว็บเพจที่ไม่ได้ป้องกันไปให้เครื่องเหยื่อ ดังรูป
arp-hack-google

ผู้ใช้ทั่วไปจะสังเกตไม่ออก (หรือไม่มีความรู้) ก็จะคลิกผ่านคำเตือนใดๆที่เบราว์เซอร์แจ้งเตือนไปแล้วสุดท้ายผู้ใช้งานก็จะใส่ Username และ Password ในหน้า login ซึ่งแฮกเกอร์ก็จะได้ข้อมูลดังกล่าว ดังรูป
arp-hack-google-2

การทดสอบเทคนิคการโจมตีวิธีนี้ง่ายมากๆเลย เพียงแค่ค้นหาใน search engine ก็จะพบวิธีการทั้งทำการด้วยโปรแกรมบนวินโดวส์หรือโปรแกรมบนลินุกซ์ ผมจะไม่ลงรายละเอียดการทดสอบในบทความนี้นะครับ

ผมพบว่าการป้องกันที่ดีที่สุดคือ หนึ่ง การให้ความรู้วิธีการใช้งานเบราว์เซอร์ทั้ง IE, Google Chrome, Firefox หรือ Safari เป็นต้น ความรู้ที่ว่าก็คือ ผู้ใช้ต้องสังเกตว่า เว็บเพจที่เข้าใช้งานประจำนั้นปรกติหน้า login จะต้องมีอักษร https แสดงอยู่ที่มุมซ้ายบรรทัดที่อยู่ของเว็บเพจ เช่น https://www.facebook.com ดังรูป
https-facebook

และจะต้องไม่มีการเตือนว่า “ไม่ปลอดภัย” และถามว่า “จะดำเนินการต่อหรือไม่” ดังรูป
arp-hack-facebook

แต่หากวันใดที่เราถูกแฮกเกอร์ทำ MITM กับเครื่องของเราแล้ว เราจะเห็นหน้าเว็บเพจแปลกไปจากเดิม เราจะต้องไม่คลิกปุ่มเพื่อดำเนินการต่อไป แต่หากคลิกต่อไปแล้วจะเห็นแบบดังรูป
arp-hack-facebook-2

และถ้าใส่ Username และ Password ก็ถูกดักไปได้ครับ ดังรูป
ettercap-20141214

เราสามารถตรวจสอบด้วยวิธีอย่างง่ายๆด้วยคำสั่ง arp -a ทั้งบนวินโดวส์และลินุกซ์ เพื่อดูว่ามีเลข MAC Address ของ IP คู่ใดบ้างที่ซ้ำกัน มักจะเป็นคู่ระหว่าง IP ของ Gateway กับ IP ของเครื่องแฮกเกอร์ ดังรูป
arp-a_cmd
ถ้าเห็นอย่างนี้แสดงว่า “โดนเข้าแล้วครับ” ทางแก้ไขทางเดียวคือปิดเครื่องและแจ้งผู้ดูแลระบบประจำหน่วยงานของท่าน

สอง การป้องกันตัวเองไม่ต้องรอพึ่งระบบเครือข่าย(เพราะอาจไม่มีระบบป้องกัน) ในทุกครั้งที่เปิดเครื่องและก่อนใช้งานใดๆ ให้ใช้คำสั่ง arp -s เพื่อทำ static ค่า IP กับ MAC ของ Gateway ลงในตาราง ARP ของเครื่องคอมฯ

คำสั่ง คือ arp -s [IP ของ Gateway] [MAC Address ของ Gateway]
เราจะรู้ค่า IP และ MAC Address ของ Gateway ก็ด้วยคำสั่งดังนี้
1. ดูว่า IP ของ Gateway (default) คือเบอร์ใด
ลินุกซ์
ip route show
วินโดวส์
route -4 print

2. arp -a เพื่อดูค่า IP กับ MAC คู่ที่ต้องการ
เช่น
IP ของ Gateway คือ 192.168.10.1 และ
MAC Address ของ Gateway คือ 00-13-64-2b-3d-a1
ก็ใช้คำสั่งว่า
arp -s 192.168.10.1 00-13-64-2b-3d-a1

โดยที่เครื่องวินโดวส์รุ่นใหม่ๆ (8 ขึ้นไป) ให้คลิกขวาที่ปุ่ม Start เลือก “Command Prompt (Admin)” เพื่อเปิดหน้าต่าง Cmd ดังรูป
arp-s_cmd
ส่วนเครื่องลินุกซ์ ให้เปิด Terminal แล้วใส่คำว่า sudo นำหน้าคำสั่งนั้นด้วย ดังรูป
arp-s_cmd_linux

เพียงเท่านี้ ท่านก็จะเล่นอินเทอร์เน็ตได้อย่างปลอดภัย ไม่มีมือที่มองไม่เห็นมาขโมย Username และ Password ของเรา

เพิ่มเติมให้อีกนิดนะครับ หากผู้ใช้ต้องการใช้โปรแกรมสำเร็จรูป สำหรับวินโดวส์ก็มีโปรแกรมชื่อ xarp ซึ่งจะคอยเช็คเรื่องนี้ให้เองตั้งแต่เปิดเครื่อง ส่วนใครใช้ smart phone ที่ใช้ android ก็จะมีโปรแกรมชื่อว่า droidsheep เพื่อคอยเช็คให้เช่นกันลองติดตั้งใช้ดูนะครับ

อ่านเพิ่มเติมได้นะ
http://www.computerhope.com/jargon/m/mitma.htm
http://incognitolab.com/2013/05/07/https-insecurity-part-2/