ACIS Article

Browser Hijacking " ช่องโหว่ใน Browser Internet Explorer (IE) ภัยอินเทอร์เน็ตใกล้ตัวคุณวันนี้ "
by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
E-mail:

ระหว่างการปฏิบัติงาน APEC Thailand 2003 ผมมีโอกาสได้ใช้อินเทอร์เน็ตในงานอยู่พอสมควร ผมได้พบข้อสังเกตบางอย่างในเครื่องโน้ตบุ๊ค (Notebook) ที่ผมใช้อยู่เป็นประจำ ผมพบว่ามีบางสิ่งผิดปกติกว่าทุกวัน กล่าวคือทุกครั้งที่ผมเปิดเครื่อง หลังจากที่ Log on เข้าสู่ระบบ Windows XP แล้วเปิด Internet Explorer (IE) พบว่าหน้า Default Home Page ใน Browser ของผมแทนที่จะชี้ไปยัง Default Home Page ที่ผมได้ตั้งไว้ มันมันกลับชี้ไปยัง Web Site อื่นๆ ที่ผมไม่ได้ตั้งไว้แทน บางท่านอาจจะคิดว่านี่เป็นเรื่องเก่าของช่องโหว่ใน IE ซึ่งสามารถแก้ไขกลับได้ โดยเข้าไปตั้งค่า Default Home Page เสียใหม่ หลังจากที่เราได้หลงเข้าไปใน Web Site ที่วางกับดักเราไว้

แต่ถ้าเรามีช่องโหว่ใน IE ที่ยังไม่ได้รับการแก้ไข ค่า Current Configuration ของ IE ตัวอย่างเช่น ค่า Default Home Page ซึ่งหลายๆ องค์กรจะตั้งไว้ที่หน้า Intranet ขององค์กร และหน้า Default Search Page กลายเป็นหน้าใหม่ (ดังรูปที่ 1)

ดังรูปที่ 1
ซึ่งในบางกรณีก็แก้กลับง่ายๆ โดยเข้าไปที่เมนู Tools/ Internet Options ใน IE แล้วแก้ Default Home Page กลับเป็นหน้าที่เราต้องการและพยายามไม่เข้าไปเยี่ยมชม Web Site นั้นๆ อีก แต่ปัญหาของผมก็คือเมื่อผมเข้าไปดูที่หน้าเมนู Tools/ Internet Option แล้วผมต้องพบกับความประหลาดใจเพราะหน้า Default Home Page ยังถูกติดตั้งค่าเป็น URL ที่ชี้ไปยังหน้าแรกของสถาบันของผมคือ www.acisonline.net แต่เมื่อปิด IE แล้วเปิดใหม่ ที่หน้า Default Home Page กลับไม่ใช่หน้าแรกของ www.acisonline.net ทำให้ผมงงมาก แล้วเจ้า URL ประหลาดนี้ผมไม่สามารถที่จะปิดได้เสียด้วย พูดง่ายๆ ก็คือมันจะค้างเต็มจอ และ หลังจากนั้นมันยังกินทรัพยากรในเครื่องอย่างมากเช่นเปิด IE ธรรมดาก็ใช้ memory ในเครื่องกว่า 30 MB เป็นต้น

เวลานี้การแอบแก้หน้า Default Home Page ของผู้ใช้งานอินเทอร์เน็ตโดยทั่วไปกำลังได้รับความนิยมอย่างสูงในหมู่ Hacker/Cracker และ Web Site ที่ไม่หวังดีกับเรา ในทางเทคนิคเราเรียกการกระทำแบบนี้ว่า "Browser Hijacking" คือการเข้ายึดครองการทำงานของ Browser IE ที่เราใช้งานอยู่เป็นประจำทุกวัน ให้ตกเป็นเครื่องมือของพวกผู้ไม่หวังดีเช่น บริษัทขายโฆษณาในอินเทอร์เน็ต หรือ Web Site ภาพลามกอนาจาร ตลอดจน Web Site ของพวก Hacker และพวกที่ชอบปล่อยไวรัสผ่าน อินเทอร์เน็ต โดยล่อคนให้เข้าไปใน Web Site ที่เตรียมไว้ แล้วอาศัยช่องโหว่ของ IE ในการเข้ายึดเครื่องของเรา บางทีถ้าเกิดมี Internet Shortcut โผล่ขึ้นมาใน Favorite Folder ของเรา แบบที่เราไม่ได้เป็นคนทำส่วนใหญ่ Web Site พวกนี้ จะหวังผลรายได้จากการโฆษณาเมื่อเราได้ถูกบังคับให้เข้าไปชม Web Site นั้น โดย "ไม่ได้ตั้งใจ" และ "ไม่เต็มใจ"

อย่างที่ผมได้กล่าวไปในตอนต้นแล้วว่าการที่เราเข้าไปแก้กลับใน IE นั้น ไม่มีผลกับการโจมตีประเภทนี้ เพราะบางที่มันอาจจะแอบฝังตัวอยู่ใน Registry (ดังรูปที่ 2) หรือฝังตัวเป็นไฟล์อยู่ใน Root Directory ของ Drive C: (ดังรูปที่ 3) ในนามสกุล ".reg" เช่นไฟล์ C:\ie.reg อยู่ๆ ก็มาอยู่ในเครื่องผม โดยที่ผมไม่ได้ Download มาเลย บางที่อาจเป็นไฟล์นามสกุล ".hta" ก็เช่นเดียวกัน

ดังรูปที่ 2

ดังรูปที่ 3
บางทีพวกผู้ไม่หวังดีเหล่านี้ก็เล่นเจ็บๆ คือ โปรแกรมของ Hacker/Cracker ที่อาศัยช่องโหว่ของ IE จะเข้าไปแก้ไขค่า Browser IE ไม่ไห้เราเข้าถึงเมนู Internet Option เลยด้วย ซึ่งก็คือเราหมดโอกาสที่จะเข้าไปแก้ไปค่าต่างๆ ให้กับ Browser IE ของเราเอง

โปรแกรมเหล่านี้เราเรียกว่า MMC หรือ Malicious Mobile Code ซึ่งเข้ามาในรูป ActiveX Component วิ่งมาทำงานบนเครื่องเรา โดยที่เราไม่อนุญาต (ไม่มีโอกาสที่จะอนุญาตก็มี)

สำหรับหนทางแก้ไขก็ใช่ว่าจะมืดมนซะทีเดียว ก่อนอื่นเลยต้องมีการจัดฝึกอบรม Information Security Awareness Training ให้กับผู้ใช้อินเทอร์เน็ตในองค์กรโดยทั่วไป ในประเทศสหรัฐอเมริกา การฝึกอบรม Security Awareness Training ให้กับพนักงานนั้น ถูกบัญญัติเป็นกฎหมาย ที่บังคับให้องค์กรที่ใช้ IT ต้องปฏิบัติตามอย่างเคร่งครัด เพราะถ้าหากผู้ใช้งานที่เป็น Users ทั่วไป รวมถึงผู้บริหารระดับสูงที่ไม่ใช่คน IT โดยตรง ยังไม่มีความระมัดระวัง (Awareness) ในการใช้งานอินเทอร์เน็ตพวกเขาเหล่านั้นก็จะตกเป็นเหยื่อของพวกผู้ไม่หวังดีอย่างที่ผมได้กล่าวมาในตอนต้นโดยไม่รู้ตัว และหลังจากนั้น ไม่ว่าจะไวรัส (Virus) โทรจัน (Trojan) หรือพวก หนอนอินเทอร์เน็ต (Worm) ทั้งหลายก็จะหลุดเข้ามาผ่านทาง Browser IE โดยผู้ที่ปลดปล่อยไวรัสเข้ามาอย่างไม่รู้เนื้อรุ้ตัวเสียด้วยซ้ำ

การแก้ปัญหาในทางเทคนิคนั้น ก็สามารถที่จะทำได้โดยการใช้งาน Freeware ที่เป็นพวก Anti-Spyware, Anti-Adware ทั้งหลาย ผมแนะนำให้ใช้โปรแกรม Ad-aware 6.0 จาก Lavasoft ซึ่งไม่มีค่าใช้จ่ายแต่อย่างใดโปรแกรมนี้สามารถจะตรวจจับสิ่งแปลกปลอมในเครื่องของเราและสามารถจะกำจัด Spyware และ Adware ต่างๆ ที่มีประสิทธิภาพ

หนทางอื่นๆ ในการป้องกันได้แก่ หมั่น Update Patch ให้กับ IE โดยการใช้ Windows Update และถ้าไม่จำเป็นต้องใช้ ActiveX ก็ให้เข้าไปที่เมนู Internet Option และไปที่ Security Tab จากนั้นตรง ActiveX Control marked safe for scripting ให้เลือกเป็น Prompt (แทนที่จะเป็น Enable) เพื่อไม่ให้ ActiveX ทำงานเองโดยอัตโนมัติ ส่วน ActiveX Control ที่ไม่ได้กำหนดเป็น Safe และ Signed ก็ให้ Disable ไปเลย

ทำไมเราต้องปิด ActiveX Control ที่ไม่ปลอดภัย (Safe) และไม่ได้รับการรับรอง (Signed) ก็เพราะ ActiveX Control ก็คือโปรแกรม Execute ดีๆนี่เอง ไม่ต่างอะไรกับการดับเบิลคลิ๊กไปที่ Icon โปรแกรมที่มีนามสกุล ".exe" สำหรับ Java Applet ที่ทำงานผ่าน Microsoft JVM ก็มีปัญหาด้านช่องโหว่ความปลอดภัยเช่นเดียวกัน เพราะฉะนั้น แนะนำให้ใช้ JRE ของ SUN Microsystems แทนน่าจะดีกว่า

กล่าวโดยสรุปก็คือตอนนี้เวลาเล่นอินเทอร์เน็ต ก็ต้องระมัดระวังกันพอสมควรนะครับ ฉบับหน้าผมจะสรุปเทคโนโลยีที่ผ่านมาในปี 2003 และทิศทางของเทคโนโลยีใหม่ๆ ในปี 2004 อย่าลืมติดตามนะครับ

จาก : หนังสือ eWeek Thailand
ปักษ์หลัง เดือนพฤศจิกายน 2546
Update Information : 12 พฤศจิกายน 2546