(แนะนำให้รีบลง) Security Hotfix MS15-093 – Out-of-Band Patch

Microsoft ได้ออก Out-of-Band Patch MS15-093 สำหรับ Internet Explorer มันคือ Hotfix ที่รีบออกด่วน เพื่อช่วยป้องกันปัญหาการโจมตี ที่อาจเป็น Zero-day Vulnerability หรือ Security Bug ที่ถูกเปิดเผยและอาจมี code ที่โจมตีในเรื่องนี้ออกมาแล้ว

Bug นี้ กระทบ Internet Explorer version 7,8,9,10 และ 11บน Windows PC แต่ไม่กระทบ Edge  ที่อยู่บน Windows 10  ในส่วนของ Windows Server  ที่ปกติเราไม่ใช้ Browser ออก  Internet มันก็มีความเสี่ยงต่ำกว่า PC เนื่องจากมี Function Internet Explorer Enhanced Security Configuration

การโจมตีจะเป็นแบบ Remote Code Execution ด้วยการ หลวกด้วยอะไรก็ได้ เช่น ส่ง link ทาง Line, Facebook, Twitter ใส่  link มาใน e-mail เป็นต้น  เพื่อหลอกให้ผู้ใช้งาน Internet Explorer ไปเข้า Web Site ที่มี code ร้ายฝังอยู่  (คราวนี้หลายๆ ที่เรียกว่า boobytrapped webpage แปลคล้ายกับ กับระเบิด) ซึ่งหลายๆ คนจะ Login ด้วย Admin ของ Windows กัน ทำให้ code นั้น เอา software พวก Trojan หรือ  Virus มาลงในเครื่อง PC และจัดการ Hack ข้อมูลการทำอะไรก็ได้บนเครื่องเรา

ดังนั้น ขอแนะนำให้ทุกคนลง Hotfix Fix นี้ ด่วนที่สุด โดยเฉพาะเครื่องที่ใช้ Internet Bankint หรือ On-line shopping ครับ

Download : https://technet.microsoft.com/library/security/MS15-093

Advertisements

วิธีรักษาความปลอดภัยของ Computer ที่ทุกคนต้องรู้ – ตอนที่ 1

ข่าวผู้ใช้งานระบบธนาคาร On-line ผ่าน Internet ถูกขโมยเงินจากบัญชี มีให้ได้ยินอยู่เรื่อยๆ ทำให้เกิดความสับสนว่าการเงินบน Internet นั้น เชื่อถือได้หรือไม่ คนเป็นขโมยมันเก่งแค่่ไหน มาตราฐานความปลอดภัยธนาคารดีพอไหม ตัวเราผู้ใช้งานต้องเก่งด้วยหรือเปล่า ผมตั้งใจทำเรื่องนี้ให้ทุกคนเข้าใจ และบอกต่อกับทุกคนเพื่อใช้ป้องกันตัว เป็นความรู้ด้านปลอดภัยพื้นฐานต้องมี เสมือนใบขับขี่เพื่อไปใช้งาน Internet อย่างปลอดภัย สำหรับตนเองและคนรอบตัว ในเรื่องนี้พูดถึงธนาคาร แต่นำไปใช้ได้กับใช้งานแบบอื่นๆ ด้วย

ธนาคาร On-line บน Internet จำเป็นไหม

หลายคนใช้เงินสดเพื่อการใช้จ่ายประจำวัน เช่น ซื้อของกิน ของใช้ต่างๆ เป็นต้น ส่วนเงินที่มีอยู่จริงๆ ผ่านระบบธนาคารทั้งรายรับและรายจ่าย ทุกวันนี้เรารับเงินเดือนผ่านบัญชีเงินฝาก จ่ายบิลต่างๆ ผ่านระบบหักบัญชี หากต้องจ่ายเงินให้ใคร ก็โอนเข้าบัญชี จะธนาคารเดียวกัน ต่างธนาคาร หรือต่างประเทศก็โอนไปได้ง่ายดาย เพียงมีชื่อธนาคารและเลขบัญชีของผู้รับ แล้วเวลาเราอยากรู้ว่ามีเงินเข้ามาสมัยก่อน ก็เอาสมุดไปปรับยอด พอมาตอนหลังก็ไปใช้ ATM ดังนั้น จะเห็นว่าเรามีอำนาจในการบริหารบัญชีธนาคารด้วยตัวเอง แล้วก็มาถึงยุคของ Internet ในบ้านเรา มีบริการธนาคารบน Internet ประมาณปี 2544 เราใช้ธนาคารบน Internet เป็นเครื่องมือจัดการทางการเงินของเรา ด้วยบริการตัวอย่างดังต่อไปนี้

  1. ตรวจสอบยอดเงินในบัญชี (Balance Inquiry)
  2. โอนเงินแบบทันทีทำครั้งละรายการ หรือการสั่งให้โอนเป็นประจำ (Transfer and Recurring)
  3. จ่ายใบเสร็จต่างๆ (Bill Payment)
  4. บริการเสริมอื่นๆ เช่น ซื้อขายกองทุน เป็นต้น

ธนาคารแห่งประเทศไทย (BOT1, BOT e-money) เป็นหน่วยงานควบคุมและตรวจสอบ ธนาคารต่างๆ เพื่อสร้างความมั่นใจว่าบริการนั้นมีมาตราฐานความปลอดภัยสำหรับประชาชนทั่วไป

การดูแลความปลอดภัยของธนาคารผู้ให้บริการบน Internet

การดูแลความปลอดภัยของธนาคารผู้ให้บริการบน Internet ธนาคารต่างๆ อาศัยหลัก 3 ข้อ ในการสร้างระบบ ธนาคารบน Internet คือ

  1. คน (People)  – การพัฒนาความรู้ของเจ้าหน้าที่ให้สร้างบริการที่มีคุณภาพ ถูกต้อง และปลอดภัย
  2. กระบวนการทำงาน (Process) – การสร้างขั้นตอนการใช้บริการที่รัดกุมและปลอดภัย
  3. เทคโนโลยี (Technology)  – การพัฒนา Application (software) และใช้ Hardware ช่วยดูแลความปลอดภัย

ผู้ใช้บริการอย่างเรา คงพอได้รับรู้ทั้ง 3 ส่วนนี้กันบ้าง เช่น การมี function ความปลอดภัยเรียกว่า One Time Password (OTP) ในรายการเพิ่มบัญชีผู้รับโอนเงิน, การมี function ใหม่ที่เพิ่มความสะดวกกว่าเดิม เป็นต้น

ถึงตรงนี้คงเกิดความข้องใจว่า ถ้าธนาคารทำระบบมาดี แล้วข่าวโดน hack ที่ออกมา เกิดขึ้นได้อย่างไร?

ทำความเข้าใจกับคนที่จะขโมยเงินจากบัญชี (ขโมย Cyber)

พวกขโมยนี่ ถ้าให้ไปขโมยเงินที่ธนาคารต้องเจอกับ เจ้าหน้าที่รักษาความปลอดภัย กล้องวงจรปิด ทำยาก แต่ถ้าไปขโมยเงินจากบ้าน เทียบกับธนาคาร ที่บ้านง่ายกว่า ประชาชนทั่วไปจึงมีจุดอ่อนให้พวกนี้หาประโยชน์ เราตกลงกันก่อนว่าการใช้ ธนาคารบน Internet นั้น ต้องมี ชื่อบัญชี, รหัสผ่าน และเครื่องโทรศัพท์ เป็นของ 3 สิ่งหลักที่ต้องรักษาไว้ หากใครได้ 3 สิ่งนี้จากเราไป เขาโอนเงินออกจากบัญชีไปได้ โดยไม่เกี่ยวกับขโมยที่จะกล่าวถึงในส่วนต่อไป (เข้าใจตรงกันนะ)

ในภาพด้านล่าง แสดงถึงเครื่อง PC/Computer ที่ใช้งานทั่วไป มี Web Browser เป็นเครื่องมือท่องโลก Internet แล้วก็มีสิ่งเล็กๆ ที่เรียกว่า Hacker (กล่องสีแดง) หลอกลวงด้วยวิธีต่างๆ ให้เราเผลอไปติดโปรแกรมที่หวังเล่นงานเรา เรียกว่า Malicious software จะเรียก โทรจัน หรือ Virus อะไรก็ตาม #เอาที่สบายใจ แต่วันไหนมาติดเครื่องเรา เมื่อนั้นคง #ร้องไห้หนักมาก ในวงกลมที่มีตัวเลข เป็นวิธีป้องกันตัว รายละเอียดจะอธิบายด้านล่าง

image

Virus/Malware/ม้าโทรจัน ไม่ดีทั้งนั้น

Virus คอมพิวเตอร์ คือ โปรแกรมร้ายที่มาซ่อนตัวอยู่ในเครื่องเรา รอจังหวะเมื่อเครื่อง PC ของเรามีจุดอ่อน (Security Vulnerability) ตรงกับที่มีเขียนโปรแกรมไว้มันก็จะเล่นงานเรา จุดอ่อนนี้ อาจเป็นความบกพร่องของ software ที่อยู่ใน PC แต่จำไว้เสมอว่าเครื่องอยู่ดีๆ ไม่มีมาทำอะไรเครื่องเราได้ สาเหตุของ Virus เกิดจากการเชื่อมต่อกับภายนอก อาจเป็น USB Drive ที่มาจากเครื่องติด Virus แต่มันเป็นเรื่องเล็กน้อย เมื่อเทียบกับภัยที่เกิดขึ้นจาก การต่อเครื่องเข้า Internet อันนี้เรื่องใหญ่จริง แต่เราจำเป็นต้องใช้ Internet ถ้าเราไม่รู้จักวิธีป้องกันตนหรือการลดความเสี่ยง เรื่องเสี่ยงที่เราทำกันจนชินในยุค Social Network ได้แก่

  1. การ Logon เข้า Computer ด้วย user ที่มีสิทธิทำอะไรได้ทุกอย่าง หรือเรียกว่าเป็น administrator
  2. การกด link ไป web site ที่มาจาก Facebook, Line, E-mail หรืออะไรก็ได้ ตั้งหัวข้อน่าสนใจไว้ ก็อยากกดไปดู
  3. การ download software จาก web site ที่ไม่มีความน่าเชื่อถือเลย แล้วเอามาติดตั้งในเครื่อง ปกติ download อะไรก็ต้องศึกษาว่ามันจำเป็น แล้วเป็นของเจ้าของ software นั้นจริงๆ
  4. การเอาเครื่องไปต่อกับ wifi free แล้วบางทีมันสั่งให้ accept เงื่อนไขก็กดๆ ไป
  5. มี PC เครื่องเดียวทำทุกอย่างในโลกที่ PC ทำได้ ตั้งแต่ทำงาน บันทึก โหลดหนัง อ่านพวกกระทู้พวกที่ไม่มีป้องกันเรื่อง security

ทีนี้มาดูเหตุการณ์ สมมุติ จากเรื่องจริง คือ มีคนใช้ PC ที่ทำงานเข้าไปอ่านกระทู้ แล้วมีส่ง link บอกว่า clip เด็ด กดไปเรื่อยๆ มันบอกให้ download อะไรก็ไม่รู้แล้วให้ กด yes เชื่อไหมว่ามีคนกด ลงดูภาพประกอบด้านล่าง ถ้าหลังจากกด yes มันเอาโปรแกรมร้ายๆ เรียกมันว่า malicious software ทำเหมือน virus มาติด web browser ผลต่อจากนี้ เครื่องเราจะถูกควบคุมจาก เครื่องสีแดงของ hacker หรือเรียกว่า hacker มีช่องทางดูเครื่องเรา มันมีโปรแกรมแบบหนึ่งเรียกว่า keystroke logging คือ ถ้าเรากดปุ่มอะไรบน PC ของเรา ไอ้ virus ร้ายนี้ก็จะส่งไปบอกที่เครื่อง hacker นึกไว้เลยว่าเครื่องเราโดนคุมแล้ว มันอยากทำอะไรมันทำได้หมด

ลองดูลำดับการขโมยต่อไปนี้ หลังจาก Hacker เอา virus มาวางในเครื่องคนดี

 

คนดี – เจ้าของเครื่อง

คนร้าย – Hacker

1 เข้า web site Virus ร้ายที่แอบในเครื่องคนดี บอกคนร้ายว่าเห็นเข้า web site ที่สนใจ ->> เตือนว่า เหยื่อ มาแล้ว
2 ใส่ เลขประจำตัวและรหัสผ่าน คนร้ายเห็นข้อมูล รีบจดไว้
    ขั้นตอนนี้ คนร้าย อาจจะไปแอบเข้าจากเครื่องที่ร้านเกมส์ ทีหลังก็ได้
3 ทำรายการสำคัญ ต้องใส่รหัสผ่านพิเศษ คนร้ายเห็นรหัสผ่าน
คนร้ายสั่งให้ virus ทำเครื่องคนดี hang
    ขั้นตอนนี้ คนร้าย รีบวิ่งไปร้านเกมส์ เอารหัสพิเศษไปใช้

#เรามาถึงจุดนี้ได้อย่างไร? เป็นคนดี ใช้ Computer ในยุค Internet แสนยาก

อ่านมาถึงตรงนี้คงพอเห็นภาพ ปัญหาส่วนใหญ่ เกิดจาก “เรา” ผู้ใช้งาน Computer ที่อาจละเลยเรื่องความปลอดภัย ยึดแต่ความสะดวก ดังนั้น ขอเสนอหนทางสว่าง เอาแค่ 5 ข้อดังนี้

  1. เปลี่ยน พฤติกรรม
  • ไม่เอาเครื่องที่ทำธุรกรรมการเงิน ไปใช้งานที่เสี่ยงโดน hack  เช่น เข้า web site ธนาคารบ่อยๆ เป็นต้น ไม่เอาไปใช้ โหลดโปรแกรมเถื่อนๆ ดูรูปที่ไม่เหมาะสม  หรือใครส่ง link อะไรมาให้ก็กดไปเรื่อย

2. แยกเครื่องไปเลย

  • ถ้าเครื่อง Computer ใช้ทำธุรกรรมการเงิน มูลค่าสูง เครื่องสมัยนี้ก็ไม่ได้แพงมาก ถ้าเทียบกับความเสี่ยงถูก hack จะลองแยกเครื่องต่างหากไปเลย ก็น่าสนใจ

3. โปรแกรม Anti-virus

  • หาโปรแกรม Anti-virus มาลง เมื่อลงแล้วก็คอยดูว่ามัน update หรือเปล่า ต้อง up ไว้อย่าละเลย สำคัญมาก

4. เครื่อง Computer ทุกเครื่อง มีการ update เรื่องความปลอดภัย

  • ไม่ว่า Windows, Mac หรือ Linux เป็น software และ software ถูกตัวมีข้อผิดพลาด ด้านความปลอดภัยได้ ต้องดูว่าเมื่อ Windows, Mac, Linux เตือนให้ลง update ก็พยายามอ่านดูให้ดีแล้วก็ทำตาม ย้ำว่า Windows/Mac/Linux เตือนนะ ไม่ใช่เข้า web อะไรไม่รู้เตือนมาแล้วก็กดไปเรื่อย ไม่ทำ ไม่ทำ

5. USB อาจนำ Virus มาสู่เครื่องเรา

  • รับ USB มาจากใคร ก่อนเสียบดูหน่อยว่า virus มันเตือนอะไรเราหรือเปล่า

Reference:

https://www.youtube.com/watch?v=N_V5pMS4IxU https://www.youtube.com/watchv=HKeD4T6HhNU

http://usa.kaspersky.com/internet-security-center/threats/malware-classifications#.Vbn67e8w-M8

http://usa.kaspersky.com/internet-security-center/threats/malware-creators#.Vbn8le8w92s

https://en.wikipedia.org/wiki/Malware

http://channel.nationalgeographic.com/american-blackout/articles/cyber-attack/

https://www.safeinternetbanking.be/en/fraud-techniques/identity-theft

http://windows.microsoft.com/en-US/windows7/Tips-for-protecting-your-computer-from-viruses

http://www.pcmag.com/article2/0,2817,2468700,00.asp

http://malwaretips.com/blogs/remove-browser-redirect-virus/

http://malwaretips.com/blogs/remove-browser-redirect-virus/

 

Security Update MS12-020 สำหรับผู้ใช้งาน Remote Desktop

Microsoft ได้พบปัญหาด้านความปลอดภัยของ Remote Desktop Protocol หรือ function ที่เวลาเรามีเครื่องอยู่บน Network แล้วตัวเราใช้งานเครื่องอื่นอยู่ แล้วอยากจะ remote ใช้งานเครื่องนี้ด้วย  ตัว Remote Desktop จะมีฝั่งตัวที่ทำหน้าที่เป็น Server กับตัวที่เป็น Client ปัญหาที่พบนี้คือตัวที่ทำหน้าที่เป็น Server วิธีตรวจสอบว่าเราเป็น Server หรือไม่แบบง่ายก็ใช้คำสั่ง netstat -an ตามตัวอย่างในรูปที่ 1

Microsoft ได้ออก Security Update มาแก้เรื่องนี้คือ MS02-012 (Version 1.0  13-Mar-2012) โดยออกคำแนะนำให้ติดตั้งลงบน Windows ทุกเครื่อง (แม้ว่าไม่ได้ enable RDP ก็ตาม)  ใน Update นี้ มี 2 ไฟล์ (KB2621440 และ KB2667402 )ให้ดูจากผลกระทบ ถ้ากระทบตัวไหนก็ลงให้ครบถ้วน รายละเอียดของ Security Update แต่ละตัวมีดังนี้

1. KB2621440 Remote Desktop Protocol Vulnerability – CVE-2012-0002 (Rating: Critical)

ปัญหาเรื่องนี้เป็น   Remote Code Execution เกิดขึ้นเมื่อ RDP เรียกใช้ object ใน memory โดยไม่ได้ initial หรือล้างข้อมูลเดิมทิ้ง ผลที่ตามมาคือ ถ้าโดนผู้ไม่หวังดี/ Attacker โจมตีแล้วสำเร็จก็สามารถติดตั้งโปรแกรม, ดู/แก้ไขข้อมูล, สร้าง Account ผู้ใช้งานบนเครื่อง เป็นต้น

2. KB2667402 Terminal Server Denial of Service Vulnerability – CVE-2012-0152 (Rating: Not Applicable, Moderate, Important)

เป็นปัญหาที่ RDP ประมวลผล Packet ที่รับมากจาก Attacker แล้วมีผลทำให้ RDP หยุดทำงาน (ใช้งานไม่ได้)

Download: http://www.microsoft.com/downloads/en/results.aspx?freetext=security+update+ms12-020

วิธีวัดความเร่งรีบ

เมื่อ Microsoft แนะนำขนาดนี้ก็ควรลงอยู่ที่ว่าเร็วหรือช้า มีเวลาทดสอบกันก่อนไหม เราลองประเมินว่าเราควรรีบแค่ไหนดังนี้

1. ตรวจสอบระบบของเราว่ามี RDP เปิดไว้หรือไม่ วิธีตรวจสอบคือ ใช้คำสั่ง netstat –an ตามรูปที่่ 1 หาเรามี TCP 3389 ก็เข้าข่ายรีบ

2. เรามีอปุกรณ์ Firewall หรือ Windows Firewall ป้องกันไหม ถ้าไม่มีก็เข้าข่ายรีบ

3. เครื่องของเราต่อกับ Internet ตรงๆ ไหม ถ้าต่อตรงก็รีบ

image

รูปที่ 1 – ใช้คำสั่ง netstat –an ตรวจหา TCP 3389

สุดท้าย  ขอแนะนำให้ลง MS12-020 และปลอดภัยกันทุกท่านครับ

Reference:

1. http://technet.microsoft.com/en-us/security/bulletin/ms12-020

MS11-100 สำหรับ .Net Framwork 1-4 เครื่อง Web IIS ที่ต่อกับ Internet แนะนำให้รีบลง

Microsoft ได้ออก urgent hotfix MS11-100 KB2638420 และ KB2659883 หรือเรียกว่า out-of-band patch ออกมาวันที่ 29 ธันวาคม 2554 การวิเคราะห์ Hotfix นี้ ที่ถูกแล้วควรมี System Administrator ทำร่วมกับ Developer ที่ชำนาญเรื่อง .NET Framework แต่ผมเป็น System Administrator หากมีอะไรผิดพลาด ช่วยแนะนำด้วยครับ

ปัญหานี้พบบน .NET Framwork บน Windows ทุก Versions

Product ที่ได้รับผลกระทบคือ  เครื่อง Web Server ที่ enable role IIS, มี  .Net Framework 1 – 4 และปัญหานี้พบบน Windows ทุก versions  ส่วน Version ของ .NET มีดังนี้

Microsoft .NET Framework 1.1 Service Pack 1

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 3.5 Service Pack 1

Microsoft .NET Framework 3.5.1

Microsoft .NET Framework 4

ใน Bulletin นี้ เป็นการแก้ไขปัญหา 4 เรื่องคือ

#

ปัญหา

ผลกระทบ

ระดับความรุนแรง

คำอธิบายแบบย่อ

Workaround

1

Collisions in HashTable May Cause DoS Vulnerability – CVE-2011-3414

Denial of Service Important
  • ปกติ IIS เมื่อมีการ POST FORM แล้ว .NET จะคำนวณค่า HASH เก็บไว้ใน Table ใน Memory เมื่อมีการโจมตีโดยส่งค่าอื่นที่ HASH ที่เท่ากัน ส่งผลกระทบให้ Process กิน Resource จนเกิด Denial of Service

มี

2

Insecure Redirect in .NET Form Authentication Vulnerability – CVE-2011-3415

Spoofing Moderate
  • มี Vulnerability ในขั้นตอน Verify URL ของ .NET ตอนกำลังทำ Form Authentication
  • การ attack ผู้โจมตีต้องสร้าง URL ที่สร้างเป็นพิเศษส่งให้ user แล้ว เมื่อ user หลงกด link จะถูก track ตลอดเวลาที่ใช้งานบน web site
  • เมื่อทำสำเร็จผู้โจมตีจะ redirect user ไป web site โดย user ไม่รู้ตัว
  • User อาจถูกหลอกให้ไปทำอะไรต่ออีกได้

มี

3

ASP.Net Forms Authentication Bypass Vulnerability – CVE-2011-3416

Elevation of Privilege Critical
  • มี Vulnerability ใน Function ของที่ ASP.NET membership system เรียกใช้ทำงานผิดพลาด
  • ส่งผลให้ผู้โจมตี ซึ่งเค้าต้องรู้ Logon/Password ของ User ก่อนจะลงมือโจมตี  เมื่อผู้โจมตีจะ Logon เข้าระบบแล้ว
    ได้สิทธิของ user อื่นที่ต้องการ

มี

4

ASP.NET Forms Authentication Ticket Caching Vulnerability – CVE-2011-3417

Elevation of Privilege Important
  • การโจมตี attacker ส่ง link มาทาง e-mail
  • ปัญหาเกิดจาก .NET Framework จัดการกับ content ที่เก็บใน cache

มี

จาก Vulnerability ทั้ง 4 ตัว มี 2 ตัวที่น่ากลัว ขอขยายความดังนี้

Collisions in HashTable May Cause DoS Vulnerability

  • เกิดขึ้นตอนนี้ ASP.NET process ข้อมูลที่ POST มาจาก FORM แล้วเกิด Hash Collision
  • หาก Attacker ส่ง crafted packet มาโจมตี ก็สามารถทำ denial of service บน web server
  • ข้อมูลนี้ได้ถูกเปิดเผยต่อ public แต่ Microsoft ยังไม่ได้รับรายงานของการถูกโจมตี
  • การใช้งาน Hash Function ที่มี Input ต่างกัน แต่มีค่า Hash เท่ากัน
    เรียกว่า Hash Collision

Insecure Redirect in .NET Form Authentication Vulnerability

  • ปัญหาเกิดจาก Function CopyStringToUnAllignedBuffer() ใน webengine4.dll ที่ถูกเรียกใช้ .NET framework
  • Function LStrLenW ถูกใช้วัดความยามของ string
  • ใน String จะถูกปิดท้ายด้วย terminating null, ตามปกติ Function LStrLenW ได้ถูกออกแบบให้ไม่นับ terminating null
  • ถ้า String บังเอิญมี Null อยู่ด้วยมันก็นับแค่ Null ตัวแรก ทำให้คำนวณ Length ผิด
  • ตัวที่อยู่ก่อน Null ก็ถูก copy ใส่ buffer
  • Vulnerability นี้ ถูกใช้งาน Authentication bypass ใน
  • การโจมตีต้องมีความรู้เรื่อง existing account name ที่จะ impersonate
  • Microsoft ASP.NET membership system ใช้ Function FormsAuthentication.SetAuthCooke(username, false)
  • การ Exploit ทำให้ attacker logon ด้วย user ที่อยู่ในระบบ แล้วได้สิทธิของ user เป้าหมาย เช่น admin
  • ASP.NET membership ช่วยเรื่องการเก็บ user credential, authentication, create new user & password การทำงานมี Login control

ปัญหาที่มีผู้ใช้ได้รายงานหลังจากติดตั้ง MS11-100

มีผู้ที่เคยลง MS11-100 แล้วได้ Error  “Operation is not valid due to the current state of the object.” It also says “[HttpException (0x80004005): The URL-encoded form data is not valid.]”   ก็ขอให้การติดตั้ง Hotfix ทำตามกระบวนการ Change Management ที่เหมาะคือ ทดสอบจากระบบ Test ก่อนติดตั้งใน Production

Reference

  1. คำอธิบายของคำว่า Hash Collision (http://preshing.com/20110504/hash-collision-probabilities)
  2. Microsoft Security Bulletin MS11-100 – Critical (http://technet.microsoft.com/en-us/security/bulletin/ms11-100)
  3. Microsoft releases MS11-100 for ASP.NET DoS attack (http://www.net-security.org/secworld.php?id=12148)
  4. ASP.NET MS11-100: how can I change the limit on the maximum number of posted form values? (http://stackoverflow.com/questions/8684049/asp-net-ms11-100-how-can-i-change-the-limit-on-the-maximum-number-of-posted-for)
  5. Microsoft security bulletin MS11-100 breaking our site (http://forums.asp.net/t/1754512.aspx/1?Microsoft+security+bulletin+MS11+100+breaking+our+site)
  6. Microsoft emergency update to address hash collision attacks (http://searchsecurity.techtarget.com/news/2240113146/Microsoft-emergency-update-to-address-hash-collision-attacks)
  7. รายงาน Hash Collision Attack (http://www.nruns.com/_downloads/advisory28122011.pdf)
  8. SEC Consult SA-20111230-0 :: Critical authentication bypass in Microsoft ASP.NET Forms – CVE-2011-3416(http://seclists.org/fulldisclosure/2011/Dec/496)

Security Hardening บน Windows คืออะไร ทำอย่างไร

งาน Security hardening บน Windows หรืออาจเรียกว่า Security lockdown คือ กระบวนการเสริมความแข็งแรงด้านความปลอดภัยให้กับ Windows ด้วยขั้นตอนผสมผสานมากมาย เมื่อเครื่องแข็งแรง ปลอดภัย ผู้ใช้งานก็มั่นใจ  มักมีความเข้าใจผิดๆ เช่น Harden ทำให้เสียเวลา, เคย  Harden มาแล้วก็ทำเหมือนเดิมๆ นั่นแหละ เป็นต้น

คุณสมบัติของคนที่ทำ Hardening ควรเป็นผู้มีความอดทน เพราะงานนี้เป็นงานที่อยู่เบี้องหลังมากๆ ผู้ใช้ระบบรู้ว่าระบบที่ Harden แล้วแข็งแรง แต่มันไม่มี function อะไรใหม่ๆ และอาจโดนตำหนิหากทำระบบของเขาใช้งานช้าหรือแย่กว่านั้นอาจไม่ได้เลย    ต้องรักการเรียนรู้และมีเหตุผลเพราะควร Harden แบบพอดี ถ้าทำมากเกินไปอนาคต update program ไม่ได้จะยุ่ง  และสุดท้ายตรงคือต้องสมาธและมีสติอันนี้สำคัญตอนแก้ไขอะไรในระบบต้องรู้ตัวว่าทำอะไร เพราะทำแบบเบลอจะทำให้งานเสียได้   เราลองมาเปิดมุมมองใหม่กับงาน Security hardening ว่าเขาทำอะไรกัน

ขั้นตอนของ Hardening

  • ศึกษาการทำงานของ Application บน ​Server และทดสอบใช้งาน Basic function
  • จัดทำ Hardware และ Software inventory เพื่อใช้สำหรับการดูแลว่าเรามีอะไรอยู่บ้าง และส่วนใดต้องการดูแลเรื่องความปลอดภัย
  • ถ้า ​Application นั้นซื้อมาหรือไม่ได้พัฒนาเอง ต้องศึกษา Security Guide จากผู้พัฒนาก่อน เพื่อป้องกันการแก้ไขระบบโดยไม่ได้รับอนุญาต หรือมีปัญหาเรื่องการ Support
  • กำหนดขอบเขตการ Harden ให้เหมาะสมหรือตรงกับหน้าที่หรือ Application บน Server
  • หาเครื่องมือทุนแรงช่วยประเมินความปลอดภัยเช่น Microsoft MBSA, Best Pracrtise Analyzer เป็นต้น
  • หา Hotfix/Patch certification list สำหรับ Application ถ้าหาได้
  • ศึกษาวิธีการ Harden จากแหล่งต่างๆ
  • มีการ Backup / Recovery
  • ลงมือ  Harden  และหมั่นทดสอบการใช้เบืีี้องต้นเป็นระยะๆ
  • ส่งมอบระบบคืนให้ผู้ทดสอบระบบงาน
  • มีการ Review security อย่างน้อยปีละ 1 ครั้ง

การกำหนดขอบเขตและรูปแบบการ Harden

จากภาพด้านบน แสดงให้เห็นว่าการ Harden ให้มอง Server แบ่งออกเป็นหมวดหมู่ เพื่อให้ความสะดวกเราก็จะเจาะไปทีละเรื่องอย่างเป็นขั้นเป็นตอน คำอธิบายของแต่ละกล่องมีดังนี้

1. Application หมายถึงการป้องกันใน 2 ระดับคือ

  • ระดับของตัว Application ให้ดูเรื่องการสร้างกำหนดสิทธิการใช้งานต่างๆ, การลบข้อมูลทดสอบ, การเขียน Code ที่ไม่มีจุดอ่อนด้าน Security
  • ระดับของ Platform ที่ใช้ Run ตัว Application เช่น ถ้าเป็น Web .Net เป็น Microsoft IIS หรือ J2EE ก็เป็น TomCat พวกนี้ต้องไปศึกษา Security Guide ได้

2. File System – ไปดูเรื่องการกำหนดสิทธิ Folder ต่างๆ ให้สิทธิเฉพาะคนที่มีหน้าที่เข้าไปเห็นข้อมูลหรือ Application คนอื่นห้ามเข้า ใน Folder ที่เก็บ Application นั้น มีความสำคัญมาก หากผู้ไม่ประสงค์ดีนำโปรแกรมที่ไม่ได้รับอนุญาตไปลง อาจทำให้เกิดความเสียหายร้ายแรงได้

3. Operating System – ศึกษาจากคู่มือ Security ของ OS ว่าต้องทำอย่างไร เช่น

  • User Account/Group,
  • การปิด Service, Uninstall program ที่ไม่ใช้,
  • การดู Port ด้วย netstat ว่าเครื่องเปิด service อะไรบน TCP/UDP protocol
  • ถ้าเป็น Windows เราจะใช้ Group Policy ช่วยก็ได้ เพื่อช่วยให้ดูแลง่ายขึ้นด้วย
  • ติดตั้ง Anti-Virus และอย่าลืมดูว่ามัน Update signature ได้
  • ติดตั้ง Windows Update Agent แต่ Server อาจกำหนดไม่ใช้มัน update เองได้เดี๋ยวทำเครื่องพัง แต่ใช้ประโยชน์ให้มัน warning เวลามี hotfix ออกใหม่ได้

4. Network – บางครั้งเครื่องเราอาจป้องกันด้วย Software แล้วอาจไม่เพียงพอก็ใช้ Firwall หรืออุปกรณ์ Network security มาช่วยอีกแรง

5. Physical – เครื่อง Server ควรควบคุมให้ผู้มีหน้าที่เข้าไปยุ่งกับมันได้เท่านั้น นอกจากนี้ก็ควรดูว่าที่ตั้ง server นั้น เรียบร้อยไหม เช่น ไม่มีน้ำจากแอร์หรือดับเพลิงหยดลงเครื่อง, พวกสายไฟหรือสายต่างๆ ติดตั้งเรียบร้อยดี เป็นต้น

เครื่องมือ/เครื่องทุ่นแรง

เราควรให้เวลาในการศึกษาข้อมูลของ Software/Hardware ที่ Inventory ที่เราเตรียมไว้ Software บางตัวก็มีผู้พัฒนา Tool สำหรับทำ Security scan มันช่วยให้ประหยัดเวลาและเป็นมาตราดีกว่าเสียเวลามานั่งทำ ซึ่งเราก็ควรรู้อยู่แล้วว่าต้องตรวจตราในหัวไหนด้วย ไม่ใช่ปล่อยเครื่องทำอย่างเดียว เพราะมันทำพังก็ไม่รู้ว่าเป็นเรื่องอะไร ตัวอย่างของเครื่องมือสำหรับ Windows คือ MBSA (http://technet.microsoft.com/en-us/security/cc184924)

ส่งท้าย

การทำงานเรื่อง Security เป็นของการฝึกความคิดหาเหตุผล การทำความเข้าใจขอบเขต 5 ข้อที่กล่าวมา และการศึกษาความรู้ใหม่ด้าน Security เมื่อเทคโนโลยีมีการเปลี่ยนแปลงอยู่ตลอดเวลา อาจมีความรู้ใหม่ๆ ไปเจาะระบบได้ ดังนั้น งาน Hardening จึงเป็น Continuous Process ที่ต้องคอยดูอยู่เรื่อย

External Links เพื่อหาข้อมูลเพิ่มเติม

  1. https://wikis.utexas.edu/display/ISO/Windows+2008R2+Server+Hardening+Checklist
  2.  http://learn.iis.net/page.aspx/93/optimizing-performance/
  3. http://learn.iis.net/page.aspx/88/configuring-security/
  4. http://blogs.msdn.com/b/securitytools/archive/2009/09/30/sql-server-2008-security-policy-example.aspx
  5. http://blogs.msdn.com/b/securitytools/archive/tags/information+security+tools/