จากงาน Defcon ที่พึ่งจบไป (Defcon งาน conference ที่จัดขึ้นเพื่อพูดคุยในหัวข้อ Security ในแง่มุมต่างๆ โดยในครั้งล่าสุดจัดขึ้นเป็นครั้งที่ 29 วันที่ 5-8 สิงหาคม 2021 ที่ผ่านมา ดูรายละเอียดเพิ่มเติมเกี่ยวกับงาน defcon ได้ที่ https://defcon.org/index.html — ผู้เรียบเรียง) หนึ่งในหัวข้อที่ได้คุยกันในวันนั้น คือ “Timeless Timing Attacks” โดยผู้เข้าร่วมเสวนาวันนั้นได้แก่ Tom Van Goethem และ Mathy Vanhoef ได้เล่าถึงเทคนิคการโจมตีในรูปแบบ “Timeless Timing Attack” (เป็นการเดา Password ผ่านทาง Engine อื่นที่ไม่ได้มีการป้องกัน และใช้ “ความแตกต่างของ Processing time” เป็นเครื่องยืนยันความถูกต้องของ Password ที่เดา – ผู้เรียบเรียง)
โดยในงานมีการแสดงให้เห็นถึงการโจมตีผ่านทางวิธีนี้ ด้วยการลองแฮ็ก Password ที่อยู่บน WiFi เพื่อที่จะเจาะเข้าไปในเครือข่ายของเหยื่อในที่สุด ผ่านช่องโหว่ที่เรียกกันว่า “Dragonblood” (เป็นช่องโหว่ที่พบบนมาตราฐาน WPA3 ที่อยู่บน WiFi – ผู้เรียบเรียง)
Timeless Timing Attacks (อธิบายแนวคิดการทำงานของวิธีการโจมตีในแบบ Timeless Timing Attacks – ผู้เรียบเรียง)
ปกติเวลาที่เราจะเดา Password เราก็จะใช้วิธีการส่ง Password ไปให้กับระบบ เพื่อให้ระบบตอบกลับมาว่า Authen ผ่าน หรือไม่ผ่าน แล้วเราก็จะลอง Password อันถัดไป จนกว่าจะหาเจอว่า Password จริง ๆ ว่าคืออะไร ซึ่งระบบ Authentication ในปัจจุบันเขาก็จะมีวิธีป้องกันตัวเอาไว้เยอะมาก เช่น จำกัดจำนวนครั้งที่ Authen fail, มีการ Lock account ที่ Authen fail, มีการทำ MFA ก็เลยทำให้การเดา Password จาก Authentication engine ของระบบ ทำได้ไม่มากนัก จะพบว่าทุกวันนี้ Password ที่ผู้ร้ายใช้ hack เข้าระบบ มักไม่ได้มาจากการเดาจนเจอ แต่มาจากการ Leak จากระบบข้างใน แล้วเอา User directory พร้อม Password ออกมามากกว่า
แต่ทั้งนี้…ระบบก็มีการใช้ Password ในส่วนอื่นๆ ด้วย ที่นอกเหนือจาก Authentication เช่น สมมติว่า ธนาคารทำหน้า web ขึ้นมา 1 หน้า ให้เราสามารถป้อนเลขเช็ค แล้วธนาคารจะบอกให้ว่า เลขเช็คนั้น เป็นเช็คของธนาคารหรือไม่ แปลว่า ในทางใดทางหนึ่ง หน้า web นี้ ก็จะต้องมีการ access ฐานข้อมูลของเช็คที่ธนาคารออกให้กับลูกค้า และโดยการ access นี้ จะต้องใช้ System password ซึ่งคีย์คือ เมื่อระบบเริ่มค้นหาข้อมูล การแสดงผลมักจะใช้เวลาแตกต่างกันระหว่าง “หาเจอ” กับ “หาไม่เจอ” เช่น หาไม่เจอ ก็แค่ตอบกลับมาว่า หาไม่เจอ แล้วก็จบโปรแกรม แต่ถ้าหาเจอ หน้า web นั้นก็อาจจะต้องไปค้นต่อว่า เช็คใบนี้ขึ้นเงินแล้วหรือยัง ก็จะใช้เวลาในการค้นข้อมูลและ Run program ที่นานกว่า
หลักการตรงนี้ เอามาพลิกปรับใช้ในการ hack โดยมีการตั้งสมมติฐานว่า ถ้า Authen เข้า Database ไม่ผ่าน จะใช้เวลา = หาข้อมูลไม่เจอ แต่ถ้า Authen เข้า Database ผ่าน ก็มักจะใช้เวลาใกล้เคียงกับการหาเจอ เพราะAuthen ผ่านเข้าไปใน DB ได้แล้ว การค้นหาก็จะใช้เวลานานขึ้น แฮกเกอร์ก็เลยใช้วิธีนี้ เอามา Hack password ได้ในที่สุด โดยเป็นการเดา Password “จากส่วนอื่นของระบบ” ที่ไม่ได้มีการป้องกันเรื่องการเดา Password เอาไว้
ฉะนั้น การทำ Timeless Timing Attacks ก็คือการ Attack เพื่อเดา Password โดยใช้ Time เป็นเครื่องมือในการยืนยันว่า Password ที่เดานั้น ถูกแล้ว โดยสามารถใช้เทคนิคเดิม ๆ ในการเดา Password ได้เลย เพราะผู้ร้ายกำลังติดต่อกับส่วนของระบบที่ไม่ใช่การ Authentication จึงไม่มีการป้องกันการเดา Password เอาไว้ ทั้งนี้ เทคนิคนี้ มีข้อจำกัดอยู่พอสมควร เพราะเป็นการวัดเวลาการตอบสนองของระบบ ซึ่งอาจจะไม่เท่ากันทุกครั้ง และบางระบบก็ทำงานเร็วมาก เวลาที่แตกต่างกันระหว่าง หาเจอ กับ หาไม่เจอ ต่างกันแค่ Micro-section เท่านั้น ซึ่งก็ยิ่งจะทำให้การใช้เทคนิคนี้ทำได้ยากขึ้น
สิ่งที่น่าสนใจของเทคนิคนี้ที่แสดงใน defcon คือ เป็นครั้งแรกในโลก ที่มีการนำเสนอแนวคิดของการเดา Password ผ่านทาง Engine อื่นที่ไม่ได้มีการป้องกัน และใช้ “ความแตกต่างของ Processing time” เป็นเครื่องยืนยันความถูกต้องของ Password ที่เดา และที่น่ากลัวคือ เทคนิคนี้ ถ้ามีการค้นคว้าเพิ่มเติม ก็จะสามารถเอาชนะ Password protection ทั้งหลายได้ทั้งหมด กลายเป็นงานของฝั่งป้องกันที่จะต้องไปแก้ระบบ ให้สามารถรับมือกับการเดา Password ในช่องทางอื่นที่นอกเหนือจาก Authentication module
อ้างอิงแหล่งที่มาข่าว : https://www.secplicity.org/2021/08/06/defcon-talk-timeless-timing-attacks/
ออพติมุสเราพร้อมให้คำปรึกษาแก่หน่วยงานที่ต้องการคำแนะนำในเรื่องโซลูชั่นด้านความปลอดภัยให้เหมาะสมกับหน่วยงานของท่านติดต่อแผนก Marketing
Tel : 02-2479898 ต่อ 87
Email : [email protected]
สินค้าที่เกี่ยวข้อง
เรียบเรียงเป็นภาษาไทยโดย : คุณ วุฒิ กิ่งหิรัญวัฒนา