ผมได้ทำงานวิจัยในประเด็นช่องโหว่เราเตอร์ของผู้ใช้อ ินเทอร์เน็ตในไทย โดยผมได้พัฒนาโปรแกรมบอทขึ้นมาพร้อมปรับแต่งให้มีประ สิทธิภาพสูง ในการทดสอบความปลอดภัยเราเตอร์ของผู้ใช้อินเทอร์เน็ต ในไทยโดยใช้ช่องโหว่ที่ได้เปิดเผยสู่สาธารณะ[1], default password และอื่นๆ หลังจากปล่อยบอททำงาน 2 วัน พบว่ามีเราเตอร์ที่สามารถถูกโจมตีได้กว่า 500,000 เครื่อง ประกอบด้วยเราเตอร์ของผู้ใช้จากผู้ให้บริการอินเทอร์ เน็ตชั้นนำในไทยหลายค่ายและมีแนวโน้มจำนวนเราเตอร์ที ่มีช่องโหว่มากกว่านี้มาก แต่เนื่องจาก IPv4 ไม่พอใช้ ผู้ให้บริการอินเทอร์เน็ตจึงทำ NAT หลังเราเตอร์ผู้ใช้บางส่วน ทำให้ผู้ใช้เราเตอร์ที่มีช่องโหว่รอดจากการโจมตีผ่าน อินเทอร์เน็ตแต่ช่องโหว่ยังคงมีอยู่และสามารถถูก exploit ใน local network ได้ ซึ่งเราสามารถตรวจสอบเราเตอร์ของเราว่ามีช่องโหว่และ สามารถถูกโจมตีผ่านอินเทอร์เน็ตได้หรือไม่ที่ ตรวจสอบช่องโหว่ของเราเตอร์
เพิ่มเติม: จากการทดสอบเราเตอร์ที่ผู้ใช้ได้รับจากผู้ให้บริการอ ินเทอร์เน็ตค่ายหนึ่ง 2 ถึง 3 รุ่นพบว่ามีช่องโหว่ทั้งหมด แต่ผมยังไม่ฟันธง 100% ว่าเราเตอร์จากผู้ให้บริการค่ายนั้นที่นำมาให้ผู้ใช้ มีช่องโหว่ทั้งหมดเพราะผมไม่รู้ว่าเขาแจกรุ่นไหนบ้าง แต่จากกรณีนี้ทำให้มีเราเตอร์ที่มีช่องโหว่จำนวนมากเ พราะผู้ใช้เองใช้เราเตอร์ที่ได้รับมาจากผู้ให้บริการ อินเทอร์เน็ตเป็นหลัก
ผลกระทบจากการโจมตีเราเตอร์คือ

  1. ผู้โจมตีสามารถควบคุมเราเตอร์ของเหยื่อผ่านอินเทอร์เ น็ตได้
  2. ทำให้เหยื่อไม่สามารถใช้อินเทอร์เน็ตได้
  3. ทำการเปลี่ยน DNS ของเหยื่อเพื่อทำการ inject malware ลงเครื่องคอมของเหยื่อหรือทำการเก็บ username, password ในการใช้งาน internet banking เป็นต้น ดูตัวอย่างการโจมตีในเคสนี้
  4. ทำการ flash rom ที่ไม่สมบูรณ์ทำให้เราเตอร์เสีย
  5. ที่น่ากลัวที่สุดคือผมคิดว่าเร็วๆนี้อาจจะมี cracker เขียน worm computer ขึ้นมาโจมตีในลักษณะที่ผมทำแต่มี payload ในการโจมตีตามผลกระทบตามข้อ 1 ถึง 4 ซึ่งจะทำให้ผู้ใช้อินเทอร์เน็ตในไทยไม่สามารถใช้งานไ ด้หรือถูกแฮกข้อมูลหลายแสนคน

วิธีป้องกัน

  1. เข้าไปที่ ตรวจสอบช่องโหว่ของเราเตอร์ เพื่อตรวจสอบว่าเราเตอร์ของเรามีช่องโหว่หรือไม่ ถ้าเราเตอร์ของเราปลอดภัยก็อย่าลืมเปลี่ยนรหัสผ่านเร าเตอร์ ให้มีความยาวและซับซ้อนและห้ามใช้ default password (เพราะไม่ต้องแฮกเลยใส่ default password เสร็จควบคุมเราเตอร์เหยื่อได้เลย และในงานวิจัยนี้ก็เจอผู้ใช้ที่ใช้ default password เยอะมาก)
  2. หลังจากตรวจสอบในขั้นตอนที่ 1 แล้วปรากฏว่าเราเตอร์ของเรามีช่องโหว่ให้ทำการเปิดใช ้ firewall และ SPI (โดยปกติเราเตอร์เปิดใช้ firewall ไว้โดย default อยู่แล้วแต่ไม่สามารถป้องกันได้ทั้งหมดต้องเปิดใช้ SPI ด้วย) ตามรูปที่ 1 หลังจากนั้นทำการเข้าไปทดสอบที่ ตรวจสอบช่องโหว่ของเราเตอร์ อีกครั้ง
    รูปที่ 1 วิธีตั้งค่าเราเตอร์เพื่อป้องกันการโจมตีเราเตอร์จาก อินเทอร์เน็ต
    หมายเหตุ : การเปิดใช้ firewall และ SPI สามารถป้องกันการโจมตีจากภายนอกได้แต่ช่องโหว่ยังคงม ีอยู่และสามารถ exploit จากใน local network ซึ่งแนวทางที่ดีที่สุดคืออัพเดท firmware ให้เป็นรุ่นล่าสุดเสมอ (แต่ก็ไม่รู้ว่าผู้ให้บริการเขาจะใส่ใจทำ firmware ออกมาแก้ไขช่องโหว่หรือเปล่านะครับ เพราะฉะนั้นตนเป็นที่พึ่งแห่งตนครับ เช่น ถ้าไม่จำเป็นต้องเข้าไปตั้งค่าเราเตอร์ผ่านอินเทอร์เ น็ตหรือ Wi-Fi ก็ตั้งค่าเราเตอร์ของเราให้สามารถตั้งค่าเราเตอร์ผ่า นสายได้เท่านั้นเป็นต้นครับ)
    Proof of concept :

    รูปที่ 2 การทำงานของบอท

    รูปที่ 3 นำข้อมูลดิบมาลง Google map บางส่วนเพื่อวิเคราะห์

    รูปที่ 4 จำนวนเราเตอร์ที่มีช่องโหว่ที่บอทค้นพบในเวลา 2 วัน
    วิดีโอ Proof of concept :
    ที่มา: MaYaSeVeN
    อ้างอิง : 1. routerpwn

3BB, CAT, Internet, ISP, Research, Router, Security, Thailand, TOT, True, Wi-Fi




อ่านต่อ...