2010.10.26 03:27

ปรับปรุงล่าสุดเมื่อ 27 ตุลาคม 2553 – เพิ่มข้อมูลเกี่ยวกับชุดคำสั่ง Idiocy

ความปลอดภัยของข้อมูลบนอินเทอร์เน็ตนั้นถูกท้าทายอยู่ตลอดเวลา เมื่อเร็ว ๆ นี้ Eric Butler นักพัฒนาซอฟต์แวร์ชาวอเมริกันได้เผยแพร่ซอฟต์แวร์ที่ช่วยให้การ “สวมรอย” เป็นผู้อื่นในเว็บไซต์สังคมออนไลน์อย่าง Facebook หรือ Twitter นั้นง่ายเพียงคลิกเมาส์

Firesheep เป็นส่วนเสริม (add-on) ของ Firefox เว็บเบราว์เซอร์ยอดนิยม มันทำหน้าที่ “ดักฟัง” (sniff) ข้อมูลในระบบเครือข่ายเดียวกัน และกรองข้อมูลเพื่อหา “คุกกี้” (cookie) ของเว็บไซต์ต่าง ๆ เพื่อใช้ในการสวมรอย

หลักการทำงาน

คุกกี้ คือข้อมูลสั้น ๆ ที่เว็บไซต์จะส่งมาเก็บไว้ในเว็บเบราว์เซอร์หลังจากที่เราล็อกอินเข้าระบบ โดยทำหน้าที่เป็นใบผ่านทางในการเชื่อมต่อกับเว็บไซต์นั้นอีกภายหลัง หากไม่มีการเข้ารหัสข้อมูลแล้ว เราสามารถดักจับข้อมูลคุกกี้ของผู้อื่นในระบบเครือข่ายเดียวกัน และใช้คุกกี้หรือใบผ่านทางนี้สวมรอยเข้าสู่ระบบเว็บไซต์ได้ วิธีนี้มีชื่อเรียกว่า session hijacking

อันตราย

แม้ว่าเว็บไซต์ชื่อดังส่วนมากจะมีการเข้ารหัสการล็อกอินเข้าใช้งาน แต่การรับส่งข้อมูลส่วนที่เหลือ – รวมถึงการติดตั้งคุกกี้ – มักไม่ถูกเข้ารหัสโดยปริยาย จึงเป็นช่องโหว่ให้การสวมรอยด้วยวิธีนี้ และเมื่อสามารถสวมรอยเข้าสู่ระบบเว็บไซต์ได้แล้ว ผู้สวมรอยสามารถโพสต์หรือลบข้อมูลต่าง ๆ ได้ สามารถแก้ไขการตั้งค่าความเป็นส่วนตัวได้

ข้อจำกัด

เราสามารถดักจับข้อมูลในระบบเครือข่ายได้โดยง่ายหากมีการใช้ Hub เป็นจุดเชื่อมโยงคอมพิวเตอร์ทั้งหมดเข้าด้วยกัน การเปลี่ยนไปใช้ Switch หรือ Switching Hub จะทำให้การดักจับและเปิดอ่านข้อมูลยากขึ้น แต่ก็ยังเป็นไปได้ และหากมีการเข้ารหัสการรับส่งข้อมูลด้วย SSL (สังเกต https ก่อนที่อยู่เว็บไซต์) การเปิดอ่านข้อมูลนั้นก็แทบจะเป็นไปไม่ได้

นอกจากนี้ หากผู้ใช้ล็อกเอาท์จากระบบหลังสิ้นสุดการใช้งาน ระบบจะลบข้อมูลการอยู่ในระบบของผู้ใช้ และผู้อื่นจะไม่สามารถใช้วิธี session hijacking เข้าไปสวมรอยได้

วิธีการป้องกัน

• พยายามกำหนดให้เว็บเบราว์เซอร์เข้ารหัสการรับส่งข้อมูลด้วย SSL เช่น เลือกใช้ https://www.facebook.com แทน http://www.facebook.com หรือใช้ https://twitter.com แทน http://twitter.com หรือติดตั้งซอฟต์แวร์ที่กำหนดการเข้ารหัสโดยอัตโนมัติ
• ล็อกเอาท์จากระบบทุกครั้งหลังสิ้นสุดการใช้งาน
• ไม่ตั้งค่าให้เว็บไซต์จดจำการล็อกอินของเรา เนื่องจากระบบจะไม่ลบข้อมูลออกแม้เราจะปิดหน้าเว็บนั้นไปแล้ว

นอกจากนี้ เราควรระลึกอยู่เสมอว่า เว็บไซต์ที่ไม่มีบริการเข้ารหัส (ไม่มี https) นั้นจะส่งรหัสผ่านของเราออกไปอย่างไม่ปลอดภัย และง่ายต่อการถูกดักฟังกลางทาง

(เพิ่มเติม) ช่วยเตือนผู้อื่นด้วย Idiocy

หลังจากที่ Firesheep กลายเป็นข่าวใหญ่ (คนดาวน์โหลดถึงหลักแสนครั้งใน 24 ชั่วโมง) ก็มีนักพัฒนาซอฟต์แวร์อีกรายคือ Jonty Wareing เผยแพร่ชุดคำสั่งชื่อ Idiocy เพื่อใช้เตือนผู้ที่ลงทะเบียนเข้าใช้เว็บไซต์ทวิตเตอร์อย่างไม่ปลอดภัย

Idiocy เป็นชุดคำสั่งภาษา Python ที่ใช้หลักการเดียวกับ Firesheep คือขโมยคุกกี้ของผู้อื่นมาใช้สวมรอย แล้วส่งทวีตในชื่อผู้ใช้คนนั้นพร้อมลิงก์ไปยังหน้าเว็บที่ให้คำแนะนำเรื่องความปลอดภัย ขณะนี้ Idiocy ยังสามารถช่วยเตือนผู้ใช้ทวิตเตอร์ได้เท่านั้น แต่ผู้ที่รู้ภาษา Python สามารถดาวน์โหลดโค้ดต้นฉบับมาแก้ไขเพิ่มเติมได้

บทความนี้มิได้มีจุดประสงค์เพื่อสนับสนุนการสวมรอยเป็นผู้อื่น แต่เพื่อให้ความรู้และป้องกันการกระทำไม่พึงประสงค์บนอินเทอร์เน็ต การเข้าใช้งานเว็บไซต์ด้วยบัญชีของผู้อื่นโดยไม่ได้รับอนุญาตและการใช้ซอฟต์แวร์ Firesheep โดยมิชอบอาจเป็นการกระทำความผิดตามมาตรา 7 มาตรา 8 และมาตรา 9 แห่งพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550