LM (Lan Manager)ทำไมต้องเลิกใช้

วันนี้ขอยกตัวอย่างอัลกอริทึกของการเก็บรหัสผ่านใน Windows เก่าๆมาเล่าให้ฟังนิดนะครับว่าทำไมปัจจุบันจึงต้้องมีการเปลี่ยนแปลงเรื่องๆ

ปกติแล้วการเก็บรหัสผ่านใน Windows จะเก็บอยู่ในไฟล์ที่ชื่อว่า SAM Database ซึ่แน่นอนว่าหากเก็บเป็น Clear Text แล้วย่อมต้องถูกโจรกรรมกันได้อย่างง่ายๆแน่นอน ดังนั้นเราจึงต้องมีการเข้ารหัสที่เก็บนี้ไว้ด้วยวิธีการตามแต่จะคิดขึ้นมาได้

Lan Manager หรือ LM Hash เป็นวิธีการเข้ารหัส Password ที่ใช้ใน Windows รุ่นเก่าๆเช่น Windows NT และก็ใช้มาเรื่อยๆ วิธีการเข้ารหัสผ่านของ LM Hash จะมีดังนี้

  1. แบ่งรหัสผ่านออกเป็นสองส่วน ส่วนละ 7 ตัว กรณีที่รหัสผ่านสั้นกว่า 14 ตัวก็จะทำการ Pad เข้าไปให้ครบ มองจากตรงนี้จะเห็นเลยว่าเราจะตั้งรหัสยาวกว่า 14 ตัวไม่ได้ (ปัจจุบันผมตั้งที่ 30 ขึ้นไปซึ่งเพื่อนก็แซวว่าเยอะแล้ว แต่ได้ข่าวว่าบาง Vendor ซัดไปเกือบร้อย !!!)
  2. รหัสผ่านจะถูกทำเป็น Uppercase เท่ากับว่าหากใช้เทคนิค Bruteforce ไปประยุกต์จะประหยัดเวลาไปครึ่งหนึ่ง
  3. นำรหัสทั้งสองส่วนไปผ่านอัลกอริทึมจนเรียบร้อยก็นำมาต่อกันแล้วเก็บลง SAM ขั้นตอนนี้มองเผินๆไม่มีปัญหาหรอก แต่ดันไปใช้ DES 56 Bit ซึ่งผมว่า Bit น้อยไป เพราะสมัยนี้ใช้เป็น AES256 กันแล้ว

เขียนสั้นๆมาสามข้อก็น่าจะเห็นแล้วว่าทำไม LM จึงถูกลบไปจากสารบบ

ในความเป็นจริงจุดอ่อนของ LM ถูกพบตั้งแต่ยังเป็น OS2 ที่ Microsoft จับมือกับ IBM แล้ว แต่เนื่องจากตอนนั้นขายระบบที่ใช้ LM ไปมากแล้ว ถ้าประกาศว่าใช้ไม่ได้ก็กะไรอยู่ ดังนั้นเราจึงเห็น LM อยู่คู่โลกนานเกินกว่าที่ควรจะเป็นครับ

ปัจจุบันการเก็บรหัสลง SAM ใช้เทคนิคอื่นแล้ว ซึ่งก็แคร็กยากขึ้น แต่หากตั้งรหัสไว้อ่อนๆก็โดนได้ง่ายๆครับ ดังนั้นมาตั้งรหัสให้ยาวและซับซ้อนกันแต่วันนี้ดีกว่าครับ :)

Network Warrior หนังสือดีที่ต้องมีติดไว้

วันนี้นั่งว่างๆเลยลองหาหนังสืออ่านดู ก็ไปจับ Network Warrior จาก O’Reilly เข้า

หนังสือเล่มนี้ดูจากปกจะพบว่าการออกแบบปกจะมาแนว O’Reilly ชัดๆ ตามรูปเลย

Network Warrior Cover (From Amazon)

Network Warrior Cover (From Amazon)

รีวิวต่างๆของหนังสือไปอ่านจาก http://www.amazon.com/Network-Warrior-Everything-need-wasnt/dp/0596101511 ได้เลยครับ

สำหรับความเห็นส่วนตัวผมเห็นว่าหนังสือเล่มนี้อธิบายทฤษฎีหลายอย่างเกี่ยวกับ Network ได้ค่อนข้างกระชับ และเข้าใจง่าย ในส่วนของ Operation ก็เป็นการยกตัวอย่าง Command จาก Cisco มาให้ดู ซึ่งก็มาแนวสั้นๆ ตรงไปตรงมาดี

หนังสือเล่มนี้ออกมาตั้งแต่ปี 2007 แล้ว แต่ผมคิดว่าก็ยังสามารถใช้ได้ดีเลยในปัจจุบันครับ ดังนั้นจึงเหมาะอย่างยิ่งกับการเป็นหนังสือเริ่มต้นในสาย Network ที่ควรจะมีไว้

สนนราคาในเวอร์ชัน Kindle อยู่ที่ประมาณ 25 เหรียญครับ หรือจะแบบหนังสือก็ประมาณ 30 เหรียญ ในไทยผมเห็นในเว็บ Asiabook ราคาอยู่ที่ประมาณ 1,500 บาทครับ ท่านใดสนใจอย่างไรก็ลองหาดูนะครับ

Web Proxy Autodiscovery Protocol (WPAD) กับ ISA และ TMG

วันนี้ขอมาสาระสักเล็กน้อยเกี่ยวกับ WPAD บน ISA และ TMG นะครับ

WPAD หรือ Web Proxy Automaticdiscovery Protocol (WPAD) เป็นโปรโตคอลที่ถูกออกแบบมาให้ไคลเอนต์สามารถค้นหาพร็อกซีได้โดยอัตโนมัติผ่านเว็บเบราเซอร์ ซึ่งถ้าหากผู้อ่านทุกท่านลอง Sniff ข้อมูลในขณะที่เปิดเว็บเบราเซอร์ขึ้นมาไม่ว่าจะตัวไหนก็ตาม ก็จะพบว่าจะมีการพยายาม Resolve Hostname ที่ชื่อ WPAD ก่อนโดยตลอด กระบวนการนี้คือการค้นหาพร็อกซีโดยอัตโนมัตินั่นเอง

ปกติแล้วเราสามารถใช้ระบบนี้ได้โดยผ่านทั้ง DHCP และ DNS สำหรับ DHCP จะสามารถใช้ได้เฉพาะซอฟท์แวร์ของไมโครซอฟท์เท่านั้น (ยกเว้นเราจะเขียน Add-on สำหรับเว็บเบราเซอร์อื่นๆ) เพราะ DHCP Option ที่ใช้นี้จะถูกระบุใน RFC ว่าเป็น Private Use นั่นหมายความว่า Vendor เจ้าไหนก็สามารถนำไปใช้กับซอฟท์แวร์ของตนเองได้หมด ซึ่งในกรณีนี้ก็คือ ISA, TMG จะใช้กับ IE นั่นเอง

ในทาง Security แล้ว เราไม่ควรใช้งาน WPAD  ในระบบของเราเท่าใดนัก เพราะการใช้งาน WPAD จะทำให้ Attacker สามารถจะ Identify ตัว Proxy Server ของเราได้ ซึ่งแน่นอนว่าเมื่อได้ข้อมูลตรงนี้แล้ว การทำ Information Gathering รวมไปถึงการทำ Vulnerability Assessment กับตัว Proxy จะทำได้อย่างมีประสิทธิภาพมาก ในท้ายที่สุดก็จะนำมาสู่การโจมตีตัว Proxy นั่นเอง

อย่างไรก็ตามในบางระบบการใช้งาน WPAD ก็เป็นสิ่งที่จำเป็น ดังนั้นหากเราเลี่ยงไม่ได้แล้ว สิ่งที่ควรจะทำคือการ Hardening ตัว Proxy ของเราให้ดีที่สุด ซึ่งก็ทำได้หลายวิธีด้วยกันครับ

อีกสิ่งหนึ่งที่อาจจะมีข้ึ่อถกเถียงบ้างคือตัว DHCP Option นั้นยังมีหลายๆท่านเข้าใจว่าต้องใส่เป็น Hostname เท่านั้น ซึ่งผมขอเรียนว่าไม่จำเป็นครับ เพราะการใส่เป็น Hostname แล้วเท่ากับว่าบังคับให้ไคลเอนต์ทุกคนต้องชี้  DNS, WINS มาที่ระบบของท่านเอง ซึ่งในบางครั้งทำไม่ได้แน่ๆ จะหวังไปพึ่ง NetBIOS ก็อยากเรียนว่าสมัยนี้แล้วจะใช้ NetBIOS ให้ล่อเป้าในการทำ Enum และ Exploit ไปทำไม จริงไหมครับ :)

OS Fingerprint หรือระบบเราจะมีรอยนิ้วมือ

ห่างหายไปนานมาครั้งนี้แวะเอาเรื่อง Security มาฝากกันครับ

.

ในการทำ Auditing หรือการทดสอบระบบโดยการลองแฮกเข้าไปนั้น ขั้นตอนแรกที่ทุกคนจะต้องทำ (ในกรณีที่ไม่รู้ข้อมูลใดๆมาก่อนเลย) ก็คือ Information Gathering

Information Gathering คือการรวบรวมข้อมูลเกี่ยวกับเป้าหมายให้มากที่สุดเท่าที่จะมากได้ อย่างไรก็ดีข้อมูลที่รวบรวมหากเป็นไปได้ควรเลือกมานิดจะดีมาก เพราะมีหลายกรณีเหมือนกันที่เป้าหมายมีข้อมูลใน Public Website เยอะมาก เช่น ผู้ใช้ในองค์กรเล่นเน็ตกระจาย เอาเมลองค์กรไปใช้ซะทุกเว็บที่ตนเข้า ข้อมูลเหล่านี้แม้จะมีประโยชน์มากในกรณีที่จะต้องทำ Social Engineering แต่ปัจจุบันคงต้องยอมรับกันตรงๆว่าองค์กรหลายๆแห่งยังไม่มีความต้องการทดสอบในส่วน Social Engineering เท่าใดนัก ดังนั้นความพยายามในการรวบรวมข้อมูลส่วนนี้ที่มากจนเกินไปอาจจะก่อให้เกิดการเสียเวลาได้เหมือนกัน

นอกจากข้อมูลประเภท DNS Record, IP Block แล้วอีกสิ่งหนึ่งที่ควรจะหามาให้ได้นั้นคงหนีไม่พ้น Operating System หรือ Application ที่ติดตั้งอยู่ เพราะเมื่อรู้แล้วก็จะทำการต่อไปได้ไม่ยาก การทำงานในส่วนนี้เราจะเรียกว่าการหา Fingerprint หรือรอยนิ้วมือของ OS นั่นเอง

ในกรณี Web Server เรามีวิธีการมากมายเลยที่จะดูว่า Web Server นี้ใช้ซอฟท์แวร์ใด วิธีง่ายที่สุดคงหนีไม่พ้นการ Sniff ข้อมูลและดูในส่วนของ HTTP Header ซึ่งก็จะมีรายละเอียดของ Application (IIS, Apache) รวมทั้ง OS (Windows, Linux, etc.) ส่งมาให้พร้อมศัพท์

แต่ปัจจุบันผู้ดูแลระบบหลายๆท่านได้ตัดฟิลด์ที่ว่านี้ใน HTTP Header ทิ้งไปเรียบร้อย แต่ก็ยังไม่พ้นการใช้เทคนิค OS Fingerprint จากซอฟท์แวร์ประเภท OS Detection อยู่ดีครับ เพราะซอฟท์แวร์ประเภทนี้จะตรวจสอบรายละเอียดที่มากกว่า HTTP Header เช่น การตรวจสอบในส่วนของ TCP/IP Paremeter ต่างๆ

อย่างไรก็ดีเรายังสามารถจะปลอม OS Fingerprint ของเราได้โดยการ Modify TPC/IP Parameter แต่ควรทำอย่างระมัดระวังเนื่องจากการเปลี่ยนแปลงในส่วนนี้อาจจะมีส่วนไปทำให้ Application มี Performance ต่ำลงไปครับ

.

สำหรับวันนี้ต้องขอตัวก่อนนะครับ พบกันใหม่โอกาสหน้าครับ

.

.

ปล วันเสาร์นี้มีสอน Network Infrastructure นะครับ :) (ไม่วายขายยา)

เปิดคอร์ส Windows Server 2008: Active Directory ในวันเสาร์นี้นะครับ

ตามไปดูได้ที่ http://www.izitgroup.com นะครับ

สวัสดีครับ ผู้อ่านทุกท่าน

ในวันเสาร์นี้ (17 กรกฎาคม) ทาง izitcer.com จะเปิดอบรมในคอร์ส Active Directory นะครับ

โดยเนื้อหามีการปรับปรุงใหม่ให้มีความเหมาะสมมากยิ่งขึ้นครับ

เนื้อหาจะมีทั้งในส่วนของ workshop และส่วนของการออกแบบให้เหมาะสม

เรียกว่าพยายามจะให้ทำได้ทั้งทางทฤษฎีและปฏิบัติครับ

เหมาะอย่างยิ่งสำหรับผู้ที่สนใจ ผู้เริ่มต้นก็สามารถเรียนได้ครับ

เรียนแล้วเนื้อหาส่วนใหญ่ใช้ได้กับ Windows Server ทุกเวอร์ชันครับไม่ว่าจะเป็น 2000, 2003, 2008

สำหรับรายวิชานี้เนื้อหาส่วนใหญ่จะอยู่ในการสอบวิชา 70-640 ครับ

รายละเอียดการสอนสามารถไปดูได้ครับที่

http://www.izitcer.com/?page_id=189

สอบถามรายละเอียดเพิ่มเติมที่

izitcer@gmail.com

.

หลังจากเสาร์นี้แล้ว ในวันเสาร์ถัดไป (24 กรกฎาคม) หากไม่มีอะไรเปลี่ยนแปลง อาจจะหยุดสอนไป 1 สัปดาห์นะครับ (จะมาเปิดอีกครั้งในวันที่ 31 กรกฎาคม)

เนื่องจากผู้สอนจะพาบุพการีไปเที่ยวครับ :)

ดังนั้นท่านที่พลาดคอร์สนี้ไปอาจจะต้องรอเรียนนิดหนึ่งนะครับ

พบกันใหม่โอกาสหน้า

.

สวัสดีครับ

WordPress Themes