Tuesday, February 25, 2014

rogue wireless access point

เจ้า rogue wireless access point เนี้ย คร่าวๆ อยากให้นึกภาพ ประมาณว่า มันคือ wifi ฟรี แต่ดักข้อมูลคนใช้ แล้วกัน

ซึ่ง .. เนื่องมาจากช่วงนี้เห็นมีอุปกรณ์แชร์ wifi
ที่สามารถแก้ไข firmware ให้ลงนั่นโน่นนี่เองได้เยอะขึ้น
(สารภาพว่าผมก็ซื้อมาโมเล่นเหมือนกัน)
และขนาดก็เล็กลงมาก สะดวกต่อการพกพา
มีแบตสำรองติดในตัวแล้วด้วย
ซึ่งถ้าดูตัวอย่างจากภาพประกอบ จะเห็นว่าอันเท่าถ่านไฟฉายก้อนเล็กเอง
(แต่ของผมไม่ใช่ตัวนี้นะ O_o'')

*ภาพประกอบจาก internet

ซึ่ง .. พวก wifi ปลอมๆ พวกนี้ก็จะทำการ ดักข้อมูล ของคนที่ใช้งานครับ
เช่น ดักข้อมูลการคุย line, facebook, instagram, ข้อมูลธนาคาร, เว็บที่เปิด ฯลฯ เป็นต้น
ซึ่งสามารถปลอม ssl ได้ด้วย (app บางอย่าง ไม่มีการตรวจสอบ ssl ก่อน ว่าถูกต้องหรือไม่ เช่น LINE)
(ดูภาพประกอบ จุดที่ปลอม ssl นะครับ)

*ภาพประกอบจาก internet



==========
เพิ่มเติมให้ สำหรับใครที่ยังนึกภาพไม่ออก

*หมายเหตุ เรื่องข้างล่างนี่เป็นเรื่องสมมุติ

อยู่มาวันหนึ่ง ผม เอ้ยแฮกเกอร์
ได้ทำเนียลไปนั่งกินกาแฟ
อยู่ที่ ร้านสตาร์บัง ใต้ตึก แกรมมั่ว

แล้วแฮกเกอร์ก็ได้ใช้อุปกรณ์ชิ้นหนึ่งในเป้
ปลอมเป็น free wifi ทรุย และ ปล่อยสัญญาณไวไฟออกมา
(เจ้า rogue ap นั่นเอง)

ทีนี้ถ้า พลอย เชอรี่ เดินผ่าน
แล้วมือถือเข้ามาเกาะสัญญาณ
หรือ น้องพลอย กดต่อเข้ามาใช้ wifi ปลอมอันนี้

แล้ว น้องพลอย ก็ใช้งาน internet ตามปกติ
เช่น เปิดแอพ อินสตาร์กู และได้ทำการอัพโหลด
ภาพกำลังซดโฮกกาแฟลง IG ตามปกติ

... แต่ข้อมูลทุกอย่าง
จะถูกแฮกเกอร์ดักเก็บไว้ได้ทั้งหมดครับ
แล้วก็อาจจะเกิดเป็นข่าว ประมาณว่า
"อินสตาร์กู น้องพลอย โดนแฮก" เป็นต้น

=========
ดังนั้น ก็อยากเตือนๆ คนอ่านว่า
ถ้ามีข้อมูลสำคัญๆ หรือ รูปส่วนตัวโป๊ๆ เยอะๆ (แบบผม)
ก็ระวังๆ wifi ปลอมดักข้อมูลส่วนตัวกันบ้างนะครับ

แต่ถ้าคิดว่า ข้อมูลไม่มีอะไรสำคัญ
แต่ใจรัก+ชอบของ ฟรี .. อันนี้ผมก็ไม่ห้ามกันครับ
เพราะ ของถูกและฟรีมันไม่มีในโลก ... แต่มันหาได้ใน internet #เอ๊ะยังไง

Thursday, February 13, 2014

ระบบไฟล์ EXT4, NTFS, ExFAT, FAT32


ผมจะไม่อธิบายว่า เจ้าพวกระบบไฟล์ EXT4, NTFS, ExFAT, FAT32, ฯลฯ มันคืออะไรนะ
เพราะ มันมี อธิบายใน google เพียบ .. ซึ่ง blog นี้ผมจะบ่นแทน (ซะงั้น)


คืองี้ เวลาเราซื้อ HardDisk จากร้านมาใหม่ๆ หรือ เอา hdd เก่าๆ ไปต่อพ่วงกับเครื่องคอมหรือ อุปกรณ์ ต่างๆ เนี้ย
โดยปกติแล้ว เราจะต้อง format hdd แล้วก็ เลือกประเภทให้ตรงกับ ระบบ มันต้องการใช้งาน
เช่น
ถ้าจะใช้กับ windows ก็ต้องเป็นพวก NTFS, ExFAT, FAT32
ถ้าจะใช้กับ Linux ก็ต้อง เป็น EXT2, EXT3, EXT4
ถ้าจะใช้กับ OSX ก็ต้องเป็น Journaled
อะไรเงี้ย (จริงๆ มันก็ยังมีระบบไฟล์ชนิดอี่นๆ ที่ยังไม่ได้เขียน อีกมั้งนะ)
(*เจ้าพวก windows, linux, osx, ios, ฯลฯ พวกนี้ก็คือ ระบบปฏิบัติการ หรือ os นะ)


แล้วเวลาเอา windows ไปอ่าน file ที่อยุ่ใน EXT2, EXT3, EXT4 หรือ Journaled
หรือ เอา OSX ไปอ่าน NTFS (การอ่านข้าม ระบบปฏิบัติการ) มันจะเป็น ภาระ ในการหาโปรแกรมช่วยมากๆ
ซึ่ง ... นี่แหละ คือ ปัญหา !!!

เพราะ เมื่อสัปดาห์ที่แล้ว ได้ไปซื้อ D-Link ShareCenter® 2-Bay Cloud Storage 2000 มา


แล้วพอ เอา hdd ใส่ลงไป แม่งดัน อ่าน-เขียน ไฟล์ไม่ได้ !!
ก็เลยลอง format เป็น NTFS และ ExFAT ใส่
.. ก็เจอ hdd แต่แม่งก็ อ่าน-เขียน ไฟล์ไม่ได้อยู่ดี !!

คิดในใจ ... ชิบหาย อะไรวะ .. นั่งงมอยุ่ 2 วัน ก็เลยต้องยอมไปอ่าน คู่มือ
แต่ ก็ไม่มีอะไรบอก .. คู่มือที่แถมมา บอกแค่ เออ มึงเสียบ ตามรูป ก็จะใช้งานได้ (fuck duck !!)

แล้วพอดี วันนี้ ดันเปิด link หาข้อมูลในเน็ต ก็เลย ได้ข้อมูล ของเจ้า Cloud Storage 2000 เพิ่ม
คือ hdd ต้องเป็น EXT4 นั่นเอง ... ซึ่ง windows ไม่สามารถ format HDD ไปเป็น EXT4 ได้
จะต้องใช้ Linux Live-CD format หรือ ลง cygwin หรือ ลง MiniTool Partition

ซึ่ง คนโรคจิตๆ แบบผม ก็คงต้องเลือก ใช้แผ่น Linux Live-CD ลง นั่นเอง
(ผมไม่ชอบ ลงโปรแกรม อะไร ในเครื่อง .. ขนาด ms-office ก็ไม่มี, adobe ต่างๆ ก็ไม่มี, ฯลฯ)

ปล. ตัดจบ การบ่น


Wednesday, February 5, 2014

วิธีป้องกันโดนแฮก (เบื้องต้น)



- ควรมี anti-virus ติดเครื่องไว้ 1 ตัวครับ

กรณีเสียเงิน ผมแนะนำ kaspersky ตัวล่าสุดครับ หรือ ใครชอบของฟรีก็ "microsoft security essentials" พอถูไถได้ครับ
*ควรอัพเดท anti-virus เสมอๆ ด้วยนะครับ ไวรัสมันพัฒนาทุกวัน เราต้องขยันอัพเดทตามคับ





- ไม่ รันโปรแกรม, script อะไรแปลกๆ โดยที่ไม่รู้ว่ามันคืออะไรโดยเด็ดขาด

ไฟล์ หรือ url, script ที่อยุ่ใน internet ทั้งหลาย ถ้าไม่มั่นใจ หรือมันน่าสงสัย หรือเอาชัวร์ๆ ผมแนะนำให้ลอง scan ผ่านเว็บก่อนที่จะดับเบิลคลิกครับ
~ https://www.virustotal.com/en/
~ https://malwr.com/
~ http://r.virscan.org/
~ http://bytescanner.com/
ซึ่งเว็บพวกนี้จะทำการ analyzes หรือ ตรวจกับ antivirus ดังๆ และ รายงานผล ให้ฟรีครับ
*ถ้าเว็บพวกนี้บอกว่าเป็นโทรจันก็เชื่อมันหน่อยครับ
เพราะ โทรจันบางตัว เว็บพวกนี้ก็ scan ไม่เจอก็มีเยอะแยะครับ แต่โดยปกติหลังจากที่ไม่เจอ 3-4 วัน ก็อาจจะเป็นเจอนะ
เพราะ เว็บพวกนี้จะส่งไฟล์ที่ scan ไม่เจอ ไปให้ lab antivirus ทั้งหลายทำการ analyzes ซ้ำอีกทีครับ

สำหรับผม .. ผมจะไปทดสอบลองรันบน VMware (virtual machine หรือ คอมจำลอง) หรือค่อยลองใน sandbox ครับ
ถ้ากรณีพวก script เพิ่ม like หรือ javascript หรือ exploit แปลกๆ ผมจะไปลอง ใน VMware + account facebook ปลอมครับ
*เสริม
~ ภัยจากโปรแกรมโกงเกมส์ : http://www.youtube.com/watch?v=nUX-EuD4rdI




- ระวังโดนโปรแกรมดักพาส (keylog , trojan)

อันนี้ ส่วนมากจะพบใน คอมสาธารณะ, คอมร้านเกมส์, คอมที่ทำงาน, หรือ ใช้ usb ร่วมกับคนอื่น
แต่จากที่เห็นส่วนมากจะเป็นพวกโปรแกรมสำเร็จรูป ซึ่งถ้าคุณอัพเดท anti-virus สม่ำเสมอ, scan virus ก่อนจะรันโปรแกรม, ตรวจสอบ checksum ของไฟล์
ก็โอกาศไม่รอดสูงครับ เพราะ anti-virus ดีๆ พอจะป้องกันได้ระดับหนุ่งครับผม
*เสริม
~ ใครที่ใช้ keylog เพื่อแฮกคนอื่น...ดูไว้ : http://www.youtube.com/watch?v=IMMSBUdztrM




- ระวังถูกดักจับข้อมูล (sniff, MITM, arp spoof)

ส่วนมากจะพบใน กรณีใช้เน็ตหอ, คอมร้านเกมส์, เน็ตที่ทำงาน, หรือแชร์ไวไฟที่บ้านด้วยพาสง่ายๆ
เทคนิคอันนี้ ตรวจสอบยากหน่อยครับ แต่หาคนทำได้ง่ายครับ .. เพราะ ตามได้หลายอย่าง แนะนำลองสังเกตุว่า เน็ตช้าแปลกๆ, หลุดบ่อยๆ, วิ่งเข้าเว็บแปลกๆ
แล้วเว็บ ที่ปกติเข้าแล้วเป็น https (เว็บธนาคาร, facebook, google, ฯลฯ) กลับกลายเป็น http ธรรมดา
อันนี้ให้ สันนิษฐานไว้ก่อนเลยครับ ว่า อาจจะโดนก็เป็นได้






- โปรแกรมต่างๆ ควรโหลดจากเว็บผู้ผลิตเท่านั้น

ถ้าเลี่ยงได้ ไม่ควรโหลดจากเว็บที่ไม่น่าเชื่อถือครับ (รวมทั้ง bit) เพราะปกติ จะมีของแถมมา
โปรแกรมอะไรที่เสียตัง .. ถ้าเป็นไปได้ ลองหา freeware ที่ทำงานคล้ายกัน หรือ แทนกันได้ มาใช้ครับ
เช่น ใช้ 7zip แทน winrar, notepad++ แทน editplus เป็นต้น
*ควรตรวจสอบค่า checksum ว่าตรงกับเว็บผู้ผลิตหรือไม่ ทุกครั้งเมื่อดาวน์โหลดเสร็จ
ใครไม่รุ้ว่า checksum คืออะไร แนะนำดูคลิป
~ อธิบายเรื่อง checksum : http://www.youtube.com/watch?v=klc_99fApic ครับผม





- หมั่น update patch ต่างๆ ของ windows ครับ

ยอม lag ซักนิด ... ดีกว่าต้องมานั่งลง windows ใหม่ครับ
*ใครที่ยังใช้ windows xp ถ้าเครื่องคุณไม่โบราณมากล่ะก็ แนะนำให้ลง windows 7 เป็นขั้นต่ำครับ





- หมั่น update web browser (ie, firefox, chrome, ฯลฯ) ที่ใช้ครับ

*เชื่อหรือไม่ว่า .. แค่คุณเข้าเว็บด้วย browser ที่เป็น version เก่า ไม่จำเป็นต้องโหลดอะไรมาเลย คุณก็โดนแฮกได้แล้ว
ใครไม่เชื่อ แนะนำให้ดู clip นี้ครับ
~ วิธีการแฮก windows ด้วย exploit (MS12-004) [HD] : http://www.youtube.com/watch?v=J7FgKzRRYbQ )





- ตรวจสอบ addons, extension ของ browser ว่าโหลดมาจากที่เว็บที่น่าเชื่อถือหรือไม่

เวลาเปิดเว็บ หรือ ติดตั้งโปรแกรม แล้วถามว่าจะติดตั้ง addons นี้ นั้น โน้น หรือไม่ ... ส่วนมากจะเป็น addons โฆษณา หรือ แอบแก้ไขหน้าแรกของ browser เพื่อ ขโมย traffic ไปให้เว็บครับ
*บางอันแอบขโมย pass เราได้ครับ





- แต่ละเว็บ ควรใช้พาสไม่เหมือนกัน

และควรตั้งเป็น ตัวอักษร เล็ก-ใหญ่-ตัวเลข และ อัขระพิเศษ ผสมๆ กัน ยาวซัก 12 หลักครับ ถ้าใครมีปัญหา เรื่องจำพาสไม่ได้ ไม่รู้จะตั้งอะไร ผมแนะนำใช้พวกโปรแกรมจำพวก password management ครับ *ตัวผมเอง ผมใช้ keepass ( http://keepass.info‎ ) ครับ เป็น freeware + opensource มีทุกระบบปฏิบัติการครับ ซึ่งผม save ลง dropbox แล้ว sync ก็จะสามารถใช้งานได้ทั้งบน windows, iphone, linux, mac ครับผม ใช้ไม่ยากครับ ลองเล่นดูไม่เกิน 30 นาที ก็น่าจะใช้เป็นครับ






- เลือกอังกอริทึ่มที่ใช้ในการตั้งรหัส

ขอ ยกตัวอย่าง การตั้งรหัส wifi เป็น WEP ครับ .. ณ ปัจจุบัน อังกอริทึ่ม WEP (Wired Equivalent Privacy) สามารถ ถูก crack ได้ในระยะเวลาอันสั้นแล้วครับ ดังนั้น ควรจะใช้ WPA2 และพาส ยากๆ จะช่วยให้ลดโอกาศการโดนแฮก wifi เข้ามาได้ครับผม





- เก็บรักษา token ให้ดี

token เนี้ยเปรียบเสมือน user-pass ของเราครับ ใครนึกภาพไม่ออก ให้นึกถึงเวลาเล่นเกมส์ แล้วมันให้กดเชื่อม facebook อ่ะคับ
ทีนี้ก็มีคนเอาบริการตรงนี้ มาสร้างเป็นเว็บหรือโปรแกรม ที่เรียกขอใช้ token ของคุณไป (เสมือนกับกำลังขอพาสจากคุณนั่นเอง)
ดังนั้น ก่อนที่เราจะให้อนุญาต นั่น โน่น นี่ .. ลองอ่านดีๆ ก่อนทุกครั้งนะครับ ว่า เขาขอข้อมูลอะไรไปบ้าง
เพราะบางเว็บผมเห็นขอแม้กระทั้งอ่านข้อความใน inbox ของเราเลยครับ
คุณสามารถเช็ค app แปลกๆ ที่แอบใช้ token เชื่อมต่อกับ account ของเราได้ที่
~gmail -> https://security.google.com/settings/security/permissions?pli=1
~facebook -> https://www.facebook.com/settings?tab=applications
~twitter -> https://twitter.com/settings/applications
ถ้าอันไหนไม่แน่ใจ ก็กด ลบออกโลด (ส่วนมากจะเห็นพวกหลอกเป็น app skype เยอะหน่อย)
*เสริม
~ ชำแหละ ไวรัส auto like : http://www.youtube.com/watch?v=bwPQ0ymZowg





- ไม่ไปสมัครสมาชิกเว็บ, เกมส์เถื่อน

ที่อาจจะไม่ปลอดภัยต่อข้อมูลของคุณ เช่น คุณไปสมัครเกมส์ ragnarok เถื่อนแห่งหนึ่ง แล้ว server นั้น โดนแฮก... ไม่ต้องคิดนานครับ ข้อมูล username, password, email ของคุณตกอยู่ในมือของ hacker แน่นอนครับ ทีนี้ลองคิดดูครับ ถ้าคุณใช้พาสเดียวกับ email คุณก็อาจจะมีโอกาศโดน hacker แอบใช้ส่ง email ที่มีไวรัส หรือใช้ email คุณ ส่งข้อมูลไปหลอกขอเงินเพื่อนๆ คุณ หรือ อ่านข้อมูลใน email ว่าคุณชอบอะไร แล้วโทรไปจีบครับ (เอ๊ะ .. พิมพ์เหมือนเคยใช้มุขนี้จีบสาวๆ แฮะตรู)
*ถ้าจะเล่นแนะนำข้อมูลปลอมๆ ให้หมดครับ





- ไม่ไปกรอกข้อมูลส่วนตัวในเว็บต่างๆ ที่ไม่น่าเชื่อถือ

เช่น ใส่เบอร์โทรหรือ email แล้วจะได้คูปอง Starbuck ลดราคา, ส่ง sms เลขบัตรเครดิตไปที่เบอร์ xxx-xxx-xxxx แล้วจะได้ส่วนลด 3,000 บาท .. พวกนี้ส่วนมากเป็นการหลอกเอาข้อมูลส่วนตัวครับ
*เท่าที่เจอพวกนี้จะเขียนได้น่าสนใจมาก, เวอร์มากๆ สุดท้ายพอส่งข้อมูลไป เราก็ไม่ได้สิ่งที่เขาจะให้
แค่เขากลับได้ ข้อมูลของเราไปใช้ประโยชน์แทน เช่น ส่ง sms, email โฆษณา สินค้า, ดูดวง, ฯลฯ มาให้ รำคาญได้ครับ





- ระวังเว็บปลอม

บางครั้ง ผู้ไม่ประสงดี ก็ทำหน้าเว็บมาเหมือน หน้า login ของเว็บ ธนาคาร, facebook, gmail เพื่อหลอกขโมยข้อมูลที่คุณกรอกลงไป
ขอแนะนำให้ดูตรง URL ให้ดีๆ ครับผม บางครั้งอาจจะเจอใช้ เลข 1 แทนตัว i หรือ เลข 0 แทนตัว o ครับ
*ส่วนมากจะลอกมา เหมือนเป๊ะๆ เลยครับ ดังนั้นควรดู URL และ ssl (ssl คืออะไร) ให้ดีๆครับ





- ระวังคนข้างหลังดูพาสที่ใช้

เรื่องโดนแอบดูพาสนี้ครอบคลุมถึงเวลากด ATM ให้ระวังคนข้างหลังแอบดูด้วย นะครับ





- ระวัง wifi ap ปลอม

พวก wifi ฟรีหลายๆ ที่ บางครั้งก็มีคนตั้ง Access Point ปลอมไว้ .. ซึ่งถ้าเรา ต่อเข้าไปใช้งาน
ข้อมูลต่างๆ ก็มีโอกาศที่จะถูกดักจับ และ นำไปใช้งานได้





- ไม่แชร์ข้อความสุ่มสี่สุ่มห้า

ข้อความบางอย่าง จัดเป็น Hoax ( ข่าวไวรัสหลอกลวง ) ครับ เช่น พวก ข้อความแนวๆ แชร์ข้อความนี้ไปอีก 9 คนแล้วจะโชคดี .. สำหรับผู้ดูแลระบบเนี้ย ข้อความแนวๆนี้ คือ ระบบกำลังโดนโจมดีด้วยปริมาณข้อมูลที่ส่ง ไป-มา มหาศาล เลยครับผม
[*อันนี้ผู้ดูแลระบบอย่างผมขอฮะ ... สงสาร server ฮะ ผมไม่มีตังเพิ่ม RAM T^T]

Friday, January 17, 2014

ช่องโหว่แบบ "full disclosure" ของ router ZYXEL และ TP-Link

[แบบ สั้นๆ]

มีการเจอบัคใน firmware ของ ZynOS (ZyXEL Communications Corporation)
ซึ่ง Router ที่ใช้ firmware นี้อยู่ ส่วนใหญ่ก็คือของยี่ห้อ ZyXEL และ TP-Link (บางตัว)
(ส่วนมากแถมกับคนที่ขอติดเน็ตบ้าน TOT, 3BB, True)

ผลคือสามารถเข้าไปเอาไฟล์ rom-0 ซึ่งเป็น Config Router ได้
ซึ่งเมื่อทำการ Reverse Engineering ไฟล์ rom-0 ก็จะได้ข้อมูลมาทั้งดุ้น
เช่น user-pass wifi, user-pass net,user-pass login, NAT, dyndns, ฯลฯ

วิธีเช็ค
เข้าที่ http://<ip เร้าเตอร์>/rom-0 ( เช่น http://192.168.1.1/rom-0 )
ถ้าโหลดไฟล์ rom-0 มาได้โดยไม่ถาม User Password แสดงว่ามีช่องโหว่ครับ (ควรอ่านแบบยาวต่ออย่างยิ่ง)




[แบบยาวๆ]

*ศัพท์ด้านล่าง
ถ้าใครอ่านแล้วงง แนะนำให้อ่าน http://blog.stephack.com/2012/06/blog-post.html ก่อนนะครับ

เนื่องจากมีข่าวช่องโหว่แบบ "full disclosure" ของ router ZYXEL
ออกมาใน the hackernews ทำให้ เข้าถึงไฟล์ rom-0 ได้เลย .. โดยไม่ต้อง login
(อ้างอิงข่าวนี้ http://thehackernews.com/2014/01/TP-LINK-Routers-password-hacking.html)

ซึ่งในข่าวก็เขียนประมาณว่า อีตา ABDELLI Nassereddine เนี้ย (ฉายาคือ MrNasro)
ได้ทำการค้นพบช่องโหว่ขึ้น และได้แจก script ลงไว้ใน GITHUB ซะด้วย
(เก่งอย่างเดียวไม่พอ ... มึงต้องว่างด้วย = ='')
และ ในตอนแรกที่เห็นข่าว ผมก็คิดว่าคงมีผลแค่กับเร้าเตอร์ ของ Algerie Telecom แหละมั้ง
แต่จากการทดสอบ คร่าวๆ ของ admin ใน กลุ่ม 2600thailand
ผลก็คือ ... นอกจากเร้าเตอร์ รุ่น TD-W8951ND ในข่าวจะมีช่องโหว่แล้ว
ไปๆมาๆ ZYXEL และ TP-Link ที่ใช้อยู่ในไทยหลายๆ รุ่นก็มีเช่นกัน

และจากที่ผมได้ทดสอบก็พบว่าช่องโหว่ของเร้าเตอร์ ในเร้าเตอร์หลายๆ รุ่น
ยังโชคดีอยู่บ้าง ที่ถึงแม้จะเอา rom-0 ออกมาและ crack ได้ก็ตาม
แต่ก็ยังไม่ได้ password ที่ใช้ในการ Login เข้าเร้าเตอร์ได้เสมอไป
แต่ก็ยังได้ pass wifi, pass net จากในนั้น

ขอแก้ไขเป็น โดนหมด นะครับ ... ดูเพิ่มใน VDO ที่ทำเพิ่มด้านล่างสุดนะครับ


ดูอธิบายเพิ่มได้จากคลิปนี้ วิธีแฮก เร้าเตอร์ TP-link, ZYXEL หลายๆ รุ่น และ วิธีป้องกัน ตอนที่ 1



ส่วนนี้ แถม แฮกเร้าเตอร์ เพื่อหา pass wifi



หมายเหตุ ...
ใน code python ที่ ABDELLI Nassereddine แจก
เขาเอา บรรทัดที่ 1 ไปใช้เป็น pass ในการ Login ทาง Telnet
สามารถอ่าน POC (proof of concept) ของช่องโหว่นี้เพิ่มเติมได้ที่
http://rootatnasro.wordpress.com/2014/01/11/how-i-saved-your-a-from-the-zynos-rom-0-attack-full-disclosure/
*มี edit หมายเหตุเพิ่มเติมด้านล่าง




==========
ทีนี้ เอาล่ะ ... ไหนๆ ก็ไหนๆ จะก็ขอ อธิบาย
1. วิธี ทดสอบว่า เร้าเตอร์ มีช่องโหว่หรือไม่
2. ผลกระทบ ที่น่าจะเกิดขึ้นถ้าไม่ป้องกันและ
3. วิธี แก้ไข และ ป้องกัน
ให้ฟังกันก่อนแล้วกัน




==========
== วิธีทดสอบ ==
เข้าลิ้ง  http://<ip เร้าเตอร์>/rom-0 ดู
ถ้า ไม่ถามพาส แต่กลับดาวโหลดไฟล์ rom-0 = "รั่ว"
ถ้า ถามพาส,ไม่เจออะไร,ไม่โหลดไฟล์ ฯลฯ = "ไม่รั่ว"
*ใครไม่รุ้ เร้าเตอร์ ip อะไร ลอง http://192.168.1.1/rom-0
หรือ เข้า cmd แล้วพิมพ์ ipconfig
หรือ กด windows + r แล้วพิมพ์ cmd /k ipconfig
แล้วดูค่าตรง Default Gateway
แล้วเอา ip ที่เห็น ... ไปเปิดดูครับ




==========
== ผลกระทบ ที่น่าจะเกิดขึ้น ==
สมมุติ คุณไป นั่งดูสาวๆ ใน camfrog
หรือ ไปทะเลาะกับคนในพันทิพย์
หรือ อยุ่ๆ มีคน scan ip class ทั้งประเทศไทย
เพื่อสะสมพาสไว้ทำ dic, หรือ ฯลฯ
(อะไรก็ตามแต่ ... ที่ทำให้มีคนได้ IP Address ของคุณไป)

คนๆ นั้น ก็จะได้ พาสเข้าเร้าเตอร์คุณ
จากนั้นเขาก็อาจจะได้ข้อมูลทั้งหมดใน เร้าเตอร์คุณ ...
(user-pass wifi, user-pass net,
user-pass login, NAT, dyndns, ฯลฯ)

ซึ่งเขาสามารถที่จะ
- ตัดเน็ตคุณเล่นๆ <ไร้สาระ แต่ เกรียนๆ ก็คงอาจจะทำ>

- ตั้ง dyndns ไว้ให้คุณเพื่อจะเก็บไว้เกรียนในภายหลังได้ <เริ่มหายนะแระ>

- เก็บ infomation ต่างๆ เช่น pass wifi, เบอร์โทร
ไปต่อยอดในการตามแฮก facebook, email,
ไปจนถึง ธุรกรรมทางการเงินคุณ (ได้อีกเยอะแยะเลย)
<หายนะ ไส้แตก เลยมั้งเนี้ย>

- หรือ แค่เบาะๆ คือ ยืมใช้ wifi คุณ(กรณีคนข้างบ้านแล้วได้ Ip คุณไป)
ไปใช้ hack web ICT, DSI, ฯลฯ
<หายนะ สัดๆ ขี้ไหล เลยนะเนี้ย>

- หรือ upload firmware เน่าๆใส่ เร้าเตอร์ของคุณ เพื่อให้เร้าเตอร์ของคุณพัง

- หรือ ตั้ง dns ให้ใหม่ เป็นเครื่องของเขา
เพื่อขโมยข้อมูลทั้งหมด ที่วิ่งเข้า-ออก ระหว่างเครื่องคุณกับเว็บที่คุณเข้า


ตัวอย่างแค่นี้พอจะมองเห็นภาพ ความหายนะ รึยังครับ ?




==========
== วิธี แก้ไข, ป้องกัน ==
วิธีแก้ไขจริงๆ คือ ต้องรอให้ ทาง ZYXEL, TP-Link
ออก patch มาอัพเดท firmware
แล้วเราค่อยอัพเดทน่ะครับ (ซึ่ง คงอีกนาน)

ดั้งนั้น ก็จะมีแค่วิธีป้องกัน (แบบบ้านๆ) เท่าที่ผมคิดได้ คือ
- เปลี่ยน port ที่จะใช้เข้า http config ของเร้าเตอร์
ไป port อื่น ที่ชอบที่ชอบ และ ไม่ได้ใช้ครับ
- ตั้งพาส ให้มั่วๆ ไม่เชื่อมโยงกับพาสที่ใช้
(ปกติผมจะใช้ keepass gen มาครับ)
[แต่ต้องทำใจนะ ว่า ถ้าไม่แพท ก็ยังโดนได้อยู่ดี]
- ตั้ง block WAN (ให้เข้าถึงได้เฉพาะจากในวง LAN)
*อ่านวิธีทำได้จากที่นี่ http://www.tp-link.us/article/?faqid=476

วิธีแก้ไข, ป้องกัน สามารถดูเพิ่มใน คลิปนี้
แล้วประยุคเอานะครับ ไม่ยากหรอก .. หัดทำเองเลยครับ
ไม่มีใครเก่งตั้งแต่เกิด ... ผมก็โง่คอมสุดๆ มาก่อนเหมือนๆ กัน






==========
== เพิ่มเติม สำหรับคนที่ พอจะมีความรู้เรื่องคอม ==
- rom-0 analyze
rom-0 คือไฟล์ที่เก็บ config ของ เร้าเตอร์ทั้งหมด
ถูก compressed ไว้โดย LZS (เหมือนเรา zip ไฟล์ไว้)
เมื่อทำการ decompress เสร็จ ก็จะเจอ string ต่างๆ ข้างในคับ
อ่านบทความเพิ่มได้ที่ http://www.hakim.ws/huawei/rom-0/kender.html
(ผมไม่แน่ใจว่าจะ ยุให้ admin ในกลุ่ม 2600 thailand มาเขียน POC หรือ how to เป็นภาษาไทยให้อ่านได้ป่าว ^^")

- LZS compressed (อันนี้ ไม่เจอ ภาษาไทยแล้วก็ไม่รุ้จะอธิบายยังไงแฮะ .. ขอก๊อบแปะเลยแล้วกัน)
You can find LZS documented in this ANSI document.
(http://masters.donntu.edu.ua/2003/fvti/boykov/library/lzs.pdf)
The format is quite simple.
A 0 bit indicates that the next eight bits are just a literal byte.
A 1 bit indicates either a string to copy from the previous data
or the end of the compressed data depending on the subsequent bits.
ะhe 1 bit is followed by an offset field of either 8 or 12 bits,
and that is followed by a length field of variable length of 2, 4, 8, 12, etc.
bits depending on the length.
Or the 1 is followed by a specific 9-bit end marker.




==========
== ทิ้งท้าย ==
- เรื่องแฮก บางครั้งมันขึ้นอยุ่กับ จินตนากาม เอ้ย จินตนาการ ล้วนๆ น่ะ
- คิดจะแฮก คิดถึง ตาเล็ก ( http://www.stephack.com/course ) [โปรโมทแป๊ป]




==========
== แก้ไขเพิ่มเติม (20/01/2014) ==
พาสจริงๆ อยู่ที่ offset 0x14 นะครับ (max password length = 0x1d)
นั่นหมายความว่า ที่มีคนมาบอกว่า
"ตั้งพาสเป็นอักษรไทยแล้วจะรอด" ... นั่นผิดนะครับ ( ตั้งภาษาไหนๆ ก็ยังโดนครับ )
dd bs=1 skip=20 count=29 if=rom-0.decomp 2>/dev/null | strings -1 | head -1

ขอบคุณ ตาเอ ที่ทักเรื่อง password ครับ
(คนนี้มหาเมพของแท้ //ส่วนผมแค่เศษครับ T_T)

ดังนั้น ถ้าโหลด ไฟล์ rom-0 ได้ ... นั่นแปลว่า มีโอกาศโดนแฮกหมดใส้หมดพุงครับผม T^T


คลิป อธิบายเพิ่มเติม
วิธีแฮก เร้าเตอร์ TP-link, ZYXEL หลายๆ รุ่น และ วิธีป้องกัน ตอนที่ 2 (แก้ไขข้อมูลที่อธิบายผิดไว้ในตอนที่ 1)



//สงสัยตรงไหน ถามเพิ่มได้ที่ fanpage นะครับ

Tuesday, January 14, 2014

Python encode decode utf8 hex unicode


#!/usr/bin/python2.7

def hexdecode(value):
    """
    Decodes string value from hex to plain format

    >>> hexdecode('666f6f626172')
    'foobar'
    """

    value = value.lower()
    return (value[2:] if value.startswith("0x") else value).decode("hex")

def hexencode(value):
    """
    Encodes string value from plain to hex format

    >>> hexencode('foobar')
    '666f6f626172'
    """

    return utf8encode(value).encode("hex")

def unicodeencode(value, encoding=None):
    """
    Returns 8-bit string representation of the supplied unicode value

    >>> unicodeencode(u'foobar')
    'foobar'
    """

    retVal = value
    if isinstance(value, unicode):
        try:
            retVal = value.encode(encoding or UNICODE_ENCODING)
        except UnicodeEncodeError:
            retVal = value.encode(UNICODE_ENCODING, "replace")
    return retVal

def utf8encode(value):
    """
    Returns 8-bit string representation of the supplied UTF-8 value

    >>> utf8encode(u'foobar')
    'foobar'
    """

    return unicodeencode(value, "utf-8")

def utf8decode(value):
    """
    Returns UTF-8 representation of the supplied 8-bit string representation

    >>> utf8decode('foobar')
    u'foobar'
    """

    return value.decode("utf-8")

Why You Don't LIKE My FaceBook Fanpage ?
×
blogger