Hacking Wireless : Part 3

มาตรฐาน 802.11 นั้นเราจะแบบ packet ทั้งหมดออกเป็น 3 categories คือ

1. data packet
2. management packet
3. control packet

ซึ่ง data packet จะเป็นข้อมูลระดับ high level แล้วเช่น IP Address ส่วน management packet คือ packet ที่ใช้ควบคุมและจัดการ network (ไอ้ packet กลุ่มนี้แหล่ะคือกลุ่มที่เราจะสนใจ) และ control packet ก็คือ กลุ่มที่ใช้ควบคุมตัวกลางสื่อสาร

ยกตัวอย่างเช่น Beacons กับ Deauthentication packet ก็จะเป็น management packet ส่วน Clear To Sent (CTS) กับ Request To Sent ก็จะเป็น control packet

ทีนี้มาดูเรื่อง Addressing ของ 802.11 กันบ้าง

ตัว addressing ของ 802.11 จะไม่เหมือนกับ Ethernet โดยมันจะประกอบไปด้วย 3 ตัวหลักๆ คือ Source Address, Destination Address และ BSSID

BSSID คือ ข้อมูล unique ที่ AP แต่ละตัวมีไม่เหมือนกัน (ส่วนใหญ่ก็จะเป็น MAC address ขา wireless ของ AP อ่ะแหล่ะ)

ที่นี้เวลาส่งข้อมูลแต่ละ packet ส่วนใหญ่มันจะต้องบอกว่า ส่งจากไหน (Source Address)  ไปหาใคร (Destination Address)  และส่งผ่าน AP ตัวไหน (BSSID)

อ่ะลองดู wireless packet ที่ถูก sniff ได้จาก wireshark ละกันนะ

แต่ใช่ว่าทุก packet จะมี 3 ตัวนี้นะ มันจะมีกระบวนการที่ทำเพื่อลด overhead ของการส่ง acknowledgement ของ control frame ลงด้วย

Hacking Wireless : Part 1

ตอนระหว่างนั่งเครื่องบินก็ดูๆ เรื่อง Hacking Wireless วันนี้เลยขอเปลี่ยนบรรยากาศมา hack wireless กันบ้าง

Part 1 วันนี้เรามาว่าด้วยเรื่องพื้นฐาน ให้เข้าใจอะไรๆ ตรงกันก่อนก่อนที่จะไปเรื่องอื่นนะ

802.11  

สิ่งแรกที่ต้องรู้ก่อนเลยคือมาตรฐานตระกูล 802.11 เพราะมันเป็นมาตรฐานที่กำหนด protocol การสื่อสารแบบไร้สาย ซึ่งมาตรฐานอันนี้ถูกจัดการโดย IEEE แต่ระวังอย่าสับสนกับ Wi-Fi ที่พวกเราใช้กันบ่อยๆ นะ ไอ้มาตรฐาน Wi-Fi มันเป็นแค่ส่วนเดียวของ 802.11 แต่ Wi-Fi ถูกบริหารจัดการโดย Wi-Fi Alliance ที่ถูกตั้งขึ้นมาโดยกลุ่มผู้ผลิตอุปกรณ์บางราย เพราะไม่อยากรอฟ้ารอฝนว่า IEEE กว่าจะอนุมัติมาตฐานแต่ละทีก็ยากเย็นเหลือเกิน

Access Point (AP)

มันเป็นอุปกร์เชื่อมต่อระหว่าง Wireless กับ Wire network คือ Access Point จะมีจุดเชื่อมต่อแบบสายไปยัง Wire  network ปกติ แต่ตัวมันก็จะติดต่อ แบบ Wireless กับอุปกรณ์ client อื่นๆ ได้

ad-hoc

จริงๆ มันมีชื่อเรียกอีกชื่อนึงว่า IBSS (Independent Basic Service Set) mode ซึ่งเรสามารถจะนำ 802.11 ไปใช้แบบไม่มี AP ก็ได้

 

 

เมื่อพนักงาน 7-11 พยายาม Hack ระบบจ่ายเงิน

เอ่อ รู้สึกว่าหัวข้อจะเว่อเกินจริงไปหน่อยแต่สิ่งที่ผมเจอวันนี้ก็อดอมยิ้มไม่ได้

ผมต้องไปชำระเงินค่าบัตรเครดิตจำนวน 45,000 บาท ซึ่งธนาคารเจ้าของบัตรกำหนดวงเงินการชำระที่ 7-11 ไว้ที่ 30,000 บาท/ครั้ง พอผมบอกว่าผมต้องการชำระ 45,000 พนักงาน 7-11 ก็บอกว่าต้องจ่าย 2 ครั้งนะคะ เสียค่าธรรมเนียมครั้งละ 20 บาท

เรื่องค่าธรรมเนียมนี่ผมทราบดี … แต่มีเอะใจนิดหน่อย ถ้าผมจำไม่ผิดผมจะชำระผ่านช่องทาง 7-11 ได้แค่วันละครั้งเท่านั้น นั่นหมายความว่าสิ่งที่เธอพยายามจะทำนั้นไม่น่าจะทำได้ …

ผมเห็นเธอยิงบาร์โค้ดจ่ายเงินของผมบนเค้าท์เตอร์ 2 เครื่อง แล้วเธอก็พยายามกดจ่ายเงินหลายครั้งแต่ไม่สำเร็จ

ผมก็เลยเอ่ยปากเตือนเธอว่า … “ถ้าผมจำไม่ผิด มันทำจ่ายได้แค่วันละครั้งไม่ใช่เหรอครับ”

เธอบอกกับผมว่า “ค่ะ ทราบค่ะ แต่ว่าถ้ากดสองเครื่องพร้อมกันมันทำได้”  แล้วเธอกดพยายามทำรายการจ่ายเงินของผม 2 เครื่องพร้อมๆ กันอยู่อีกหลายที

User ฉลาดกว่าที่เราคิดเสมอ …

Physical Hack

ในช่วงที่ทีม IT กำลังชุลมุนกับการย้ายห้อง Server อยู่นั้น ทั้งบริษัทก็ไม่มีใครมาทำงาน ปัญหาที่เราเจอก็คือ เราจำเป็นต้องเข้าไปที่ห้องแห่งความลับเพื่อไปเชื่อมสาย Fibre optics  แต่เราเข้าไม่ได้เนื่องจากห้องนั้นมันเป็น Automatic door lock ผู้ที่มีบัตรหรือลายนิ้วมือที่ได้รับอนุญาตเท่านั้นถึงจะเข้าไปได้

แล้วเราจะทำยังไงกันดี? เอ… หรือว่าคราวนี้ทีม IT เราจะจนแต้มเข้าให้แล้ว

เราตัดสินใจตัดไฟห้องนั้น โดยปกติ ประตูใช้งานแบบที่เป็น Emergency Exit แบบนี้มันควรจะต้องเป็น Fail Safe ดังนั้นถ้าหากไฟดับ มันควรจะต้องเปิดให้เราเข้าไป

ปรากฎว่าแห้ว …. หลังจากตัดไฟมันก็ไม่มีทีท่าว่าจะเปิดให้เราเข้าไปสักที ไม่น่าเชื่อว่าเขาจะตั้งเอาไว้ว่าให้มันเป็นเป็น Fail Secure ไฟจากแบตเตอรี่ถูกจ่ายให้กับแผงแม่เหล็กเพื่อดูดประตูเอาไว้ รออยู่หลายชั่วโมงก็ไม่สำเร็จ แผนนี้ล้มเหลวไปโดยปริยาย

 

โรยตัว … หลังจากนั้นเรากะว่าจะโรยตัวลงแบบ Tom Cruise ใน Mission Impossible แต่ดูน้ำหนักของ IT แต่ละคนแล้วคาดว่าคงจะหล่นตุ้บลงมาเสียก่อน … เราก็เลยไม่เอาตัวเลือกนี้

 

 

ทางที่สาม เราก็จะ hack ไอ้ตัว finger scan นี่แหล่ะ

หลังจากที่สมาชิกในทีม (ที่ไม่อาจเปิดเผยรายชื่อได้) แงะไอ้เจ้านี่ออกมากจาผนัก จะเห็นว่าสายไฟสีเขียวกะแดง 2 เส้นบนเป็นไฟ 12V กะ GND แล้วมันก็มี NO (Normal Open) และ NC (Normal Close) ให้จิ้ม … ก็จิ้มเลย … เราก็ได้ยินเสียงตัง ตึ้ง! จากประตู แล้วก็เปิดเข้าไปอย่างง่ายดาย

… อยากจะให้ทุกคนมาเห็นภาพนั้นจริงๆ ไอ้หมอนั่นมันหันมาอย่างช้าๆ ราวกับภาพสโลโมชั่นของพระเอก ..แล้วบอกกับคนอื่นว่า “จะมีไว้ทำไมวะ ไอ้ Finger scan เนี่ย” 🙂

 

Gathering Information by dnsmap

มีคนถามถึงเรื่อง Case Study : เขาหาว่าผมส่ง spam ที่ Post ไปวันก่อนว่า รู้ได้ยังไงว่า websitewelcome.com เขาใช้ gateway01 – gateway16 รู้ได้ยังไงว่าเขามี server อะไร

ก็บอกไปแล้วว่าเดา

ยังจะมาถามต่อว่า ถ้าไม่อยากเดาหล่ะ ขอเป็นหลักกการได้มะ ?

หลักการมันก็คือเดานั่นแหล่ะครับ เวลาคนเจอมันบ่อยๆ มันก็จะเห็น Pattern ได้ง่าย เรียกได้ว่า ก็เดาจากประสบการณ์ที่ผ่านมานั่นแหล่ะ  แต่จะว่าไปหาจะรอให้มีประสบการณ์ระดับนึงแล้วมานั่งเดาเอง ความรู้มันคงพัฒนากันต่อๆ ไปยาก เขาก็เลยผลิตเครื่องมือมาช่วยเดาให้ชื่อว่า dnsmap

เจ้า dnsmap มันจะช่วยเดาว่า … subdomain มันจะมีอะไรบ้าง วิธีการใช้ก็ไม่ยาก สั่งผ่าน command line ได้ง่ายๆ แบบนี้ 

#./dnsmap   websitewelcome.com

ก็จะได้ subdomain (ที่มันพอจะเดาได้) กับ ip ออกมาเป็นชุดเลยตามภาพ

 

หรือจะใส่ word list ของเราเอง เข้าไปในไฟล์ แล้วให้มัน brute force ให้ก็ได้ โดยใช้ option -w

พอจะดูมีหลักมีการขึ้นไหมครับ … อ้าว …ไม่เหรอ ….ก็บอกตั้งแต่แรกแล้ว ว่าเดา …

มันคืออัลไล?

เห็น อ.กิตติ์ (Kitt Tientanopajai) เปลี่ยนรูป profile ใน facebook เป็นรูปนี้ ซึ่งก่อนหน้านี้ผมก็เห็นพี่นิวตรอน (Neutron Soutmun) และพี่เทพ (Theppitak Karoonboonyanan)  ใช้อยู่บ่อยๆ

ไอ้เจ้านี่ถูกเรียกว่า Glider ใช้กันอย่างกว้างขวางใน Hacker Community (Hacker จริงๆ นะครับ ไม่ใช่พวก cracker พี่พูดผสมปนเปกันมั่วหมดในทุกวันนี้) ซึ่งถ้าคุณใช้สัญลักษณ์นี้นั่นหมายความว่าคุณปาวรณาตนดำเนินชีวิตเฉกเช่น Hacker แล้วล่ะ

ที่มาที่ไปของสัญลักษณ์นี้ก็คือ ไอ้เจ้าเนี่ย คือ รูปแบบที่มีชีวิตที่ง่ายที่สุดที่สามารถเคลื่อนที่ไปบนบอร์ด ใน Game of Life

Continue reading →

Crack MD5 hashing + salt

เวลาเห็นโปรแกรมเมอร์ เก็บรหัสผ่านของสมาชิก ด้วย md5 นั้น hacker แทบจะยิ้มแก้มปริ แม้ว่าการได้ hash ไป hacker ก็เอาไป login ไม่ได้อยู่ดี แต่โถ่พี่คร๊าบบ ของแบบนี้มันไม่ต้องมานั่งถอดรหัสก็ได้ มันมีวิธีที่จะเอา password ออกมาตั้งเยอะแยะ …. และวิธีที่ง่ายและขนมที่สุดก็คือ lookup table และ rainbow table

ไหนๆ ก็อยากจะ hack จะตัวสั่นอยู่แล้ว ในเมื่อมันถอดกลับไม่ได้ hacker เขาก็ทำรอไว้เลยสิครับ เช่น

0b4e7a0e5fe84ad35fb5f95b9ceeac79 = aaaaaa
9dcf6acc37500e699f572645df6e87fc = aaaaab
52a0a42bc3e1675eccb123b56ea5e3c8 = aaaaac
…
…

พอได้ hash อะไรมาก็มาเทียบดูในไฟล์ ว่า password อะไร ก็จบแล้ว….. ง่ายโคตร เห็นความโหดร้ายของมันหรือยังครับ

Continue reading →

การเข้ารหัสทางเดียว (hashing)

ตั้งใจจะเล่าถึงการ crack password ที่ถูกเข้ารหัสไว้แบบทางเดียว (hashing) เช่นพวก md5, sha1, sha256  ที่เหล่าโปรแกรมเมอร์มักจะพลาดกันประจำ แต่ก่อนจะไปว่ากันตรงนั้นขอเกริ่นนิดๆ ว่าอะไรมันเป็นอะไร

ผมเชื่อว่าโปรแกรมเมอร์หลายคนคงคุ้นเคยกับ md5 อยู่แล้ว เดี๋ยวนี้เวลาจะเก็บ password ของสมาชิก ก็มักจะ hash มันด้วย md5 ก่อน แล้วค่อยยัดลง database แม้แต่ผู้ดูแลระบบเองก็ไม่เห็นว่า password ของสมาชิกคืออะไร

การเข้ารหัสทางเดียวเช่น md5 ชื่อมันก็บอกว่าทางเดียวอยู่แล้ว นั่นหมายความว่ามันถอดกลับมาเป็น password จริงๆ ไม่ได้  เพราะฉะนั้นเวลาที่เราต้องการตรวจสอบว่าสมาชิกกรอก password ถูกหรือเปล่า เราก็จะเอาสิ่งที่เขากรอกมา hash ด้วย md5 แล้วก็เอาไปเทียบกับสิ่งที่อยู่ในฐานข้อมูลว่าตรงกันหรือเปล่า ถ้าตรงกันก็แสดงว่ามันคือ password เดียวกันกับที่ตอนสมัคร

ตัวอย่าง md5 ก็….. อย่างคำว่า mypassword เราก็จะได้ hash ออกมาหน้าตาแบบนี้ 34819d7beeabb9260a5c854bc85b3e44  (ลองเล่นได้ http://7thspace.com/webmaster_tools/online_md5_encoder.html) เราก็เอาอันนี้ไปเก็บลง database หรือเอาไปเทียบกับของเดิมที่มีอยู่ใน database นั่นแหล่ะ

จะเห็นว่ากระบวนการนี้ไม่จำเป็นต้องใช้การถอดรหัสเลย … (ก็มันถอดไม่ได้นี่หว่า)

Continue reading →

สิ่งที่ต้องทำเมื่อเว็บโดน Hacked

ผมไม่ค่อยเห็นการเผยแพร่ความรู้ทางด้าน Computer Forensic ในบ้านเราเท่าไหร่นัก ไม่แน่ใจว่ามีการพูดถึงในระดับปริญาตรีกันบ้างหรือเปล่า (ดูในวิชาเรียนและ Course outline จากหลายๆ มหาวิทยาลัยแล้วไม่เห็น) Computer Forensic ในบ้านเรา เลยเป็นเงามืดๆ ที่ไม่ค่อยมีใครย่างกรายเข้าไปเท่าไหร่

สำหรับ Computer Forensic Investigator ในระดับ Expert ที่เกี่ยวข้อกับคดี ต้องเก็บหลักฐานต่างๆ แล้วไปว่ากันในชั้นศาลนั้น มีเรื่องราวให้เล่าอีกเยอะเลยครับ แต่เป็นประสบการณ์ทางอ้อมนะ … ทางตรงยังไม่เคย … แต่อยากไปทำอยู่เหมือนกัน หลังๆ มานี้บ้านเรามีคดีที่เกี่ยวกับการกระทำความผิดทางคอมพิวเตอร์อยู่เยอะพอสมควร

ก่อนอื่นต้องขอบอกว่าการที่เว็บไซต์ถูก Hacked มีความสูญเสียทางธุรกิจสูงๆ แล้วเป็นเรื่องเป็นราวเป็นคดีความนั้น ผมแนะนำว่า อย่าเข้าไปแตะเด็ดขาด เพราะคุณอาจทำให้หลักฐานมันแปะเปื้อน หรือเป็นคนทำลายหลักฐานซะเอง … คำแนะนำที่คู่ควรที่สุดคือ โทรเรียกผู้เชี่ยวชาญ ให้มาดำเนินการ เพราะมันเป็นเรื่องละเอียดอ่อนมากเช่น ถ้าเครื่องเปิดอยู่ ก็อย่าปิดเครื่อง เพราะมันอาจไปทำลายหลักฐานที่อยู่บนหน่วยความจำชั่วคราว แต่ถ้าเห็นว่าไฟล์กำลังถูกลบหรือผู้ต้องหากำลังทำลายหลักฐานเอง เขาก็จะมีวิธีจัดการของเขาอีกแบบ

Continue reading →

Case Study : เขียนโปรแกรมไม่ดี ก็โดนจารกรรมข้อมูลเอาง่ายๆ

เรื่องราวอันนี้น่าจะเปิดเผยได้แล้วนะ (ดูแล้วไม่น่าจะผิด พรบ.คอมฯ) แต่มันผ่านมาปีนึงแล้ว รายละเอียดต่างๆ ก็ลืมไปหมดแล้ว (ไม่อยากจำ) ถ้าเนื้อหาข้างล่างนี้ผิดพลาด คลาดเคลื่อนประการใดก็ขออภัยด้วย

เมื่อปีที่แล้วผมเกิดข้อสงสัยหลังจากอ่านกระทู้บนเว็บไซต์นึง ก็เลยขอลองสำรวจหน่อยว่าไปมันมีปัญหาจริงๆ อย่างที่เขาสงสัยกันหรือเปล่า

ผมเองก็เป็นสมาชิกเว็บนี้อยู่เหมือนกัน น่าจะเป็นรุ่นแรกๆ ที่มีรหัสประจำตัวไม่เกิน 4 หลัก แต่ด้วยความเข้าบ้างไม่เข้าบ้าง email ที่ใช้สมัครคราวนั้นก็ยกเลิกไปแล้วด้วย ก็เลยมาสมัครใหม่ในภายหลัง … ที่น่าตบกะโหลกตัวเองที่สุดก็คือ ตั้งแต่สมัครมาครั้งนั้น (น่าจะเกือบสิบปีที่แล้ว) ผมไม่เคยเปลี่ยน password มันเลยสักครั้ง …. แม่มเอ้ยยย

Continue reading →