Onn Chee Wong, CTO จาก Resolvo Systems Pte. Ltd. ออกมาอธิบายถึงภัยคุกคาม Web Defacement หรือการโจมตีเพื่อเปลี่ยนหน้าเว็บไซต์ที่พบบ่อยในหน่วยงานรัฐบาลในแถบอาเซียน พร้อมแนะนำ Best Practices ในการรับมือกับการโจมตีดังกล่าว ภายในงาน Security Congress APAC 2016 โดย (ISC)2 ที่เพิ่งจัดไปเมื่อวานนี้
ทำความรู้จัก Web Defacement เบื้องต้นกันก่อน
Wong ให้ความหมายของคำว่า Web Defacement ไว้ว่าเป็น “บริการออกแบบเว็บไซต์ฟรีอย่างไม่เต็มใจ” หรือก็คือ การโจมตีเพื่อเปลี่ยนหน้าเว็บไซต์ของเป้าหมาย โดยที่เป้าหมายไม่อนุญาตนั่นเอง ซึ่งหน้าเว็บอาจถูกเปลี่ยนไปอย่างถาวร อย่างมีเงื่อนไข หรือเฉพาะผู้ใช้บางคนก็ได้ สามารถแบ่งประเภทของ Web Defacement ออกเป็น 4 แบบ ได้ คือ
1. Existing Content Defacement
เป็นรูปแบบการเปลี่ยนหน้าเว็บที่เก่าแก่ที่สุด โดยแฮ็คเกอร์จะทำการเปลี่ยน Content บนเว็บไซต์โดยไม่ได้รับอนุญาต ส่งผลให้ผู้ที่เข้าเยี่ยมชมเว็บเห็น Content เปลี่ยนไปจากเดิม โดยเฉพาะถ้าเกิดขึ้นที่หน้าโฮม จะทำให้เสียชื่อเสียงเป็นอย่างมาก การเปลี่ยนแปลง Content นี้อาจทำที่ระดับ Web Server หรือ Database ก็ได้ ซึ่งส่วนใหญ่มีสาเหตุมาจากการพิสูจน์ตัวตนที่ไม่เข้มแข็งเพียงพอ หรือช่องโหว่บน CMS
2. Conditional Defacement
เป็นรูปแบบการโจมตีที่ไม่ค่อยพบบ่อยนัก แฮ็คเกอร์จะทำการเปลี่ยนหน้าเว็บไซต์แบบมีเงื่อนไขเข้ามาเกี่ยวข้อง เช่น ประเภทของ Search Engine, User Agent หรือเฉพาะ IP ของบางประเทศ ถ้าผู้ใช้ที่เข้าเยี่ยมชมเว็บไซต์ตรงตามเงื่อนไขดังกล่าว ก็จะแสดง Content ที่เปลี่ยนไปจากเดิม การโจมตีรูปแบบนี้ไม่สามารถตรวจจับได้โดยใช้ Dynamic Scanner หรือการเฝ้าระวังของทีม SOC สาเหตุส่วนใหญ่ยังเป็นเช่นเดียวกับแบบแรก คือ การพิสูจน์ตัวตนไม่เข้มแข็งเพียงพอ หรือมีช่องโหว่บน CMS
3. Reflected Defacement
เป็นการเปลี่ยนหน้าเว็บไซต์ชั่วคราว ผู้ใช้จะเห็น Content เปลี่ยนไปจากเดิมเฉพาะ URL ที่ได้รับผลกระทบ สาเหตุหลักเกิดจากช่องโหว่บนแอพพลิเคชันหรือการตั้งค่าผิดพลาด (เช่น ช่องโหว่ Reflected XSS) การโจมตีนี้ไม่สามารถตรวจจับได้โดยใช้ Dynamic Scanner และการเฝ้าระวังของ SOC เนื่องจาก URL ที่ได้รับผลกระทบไม่ใช่ URL บนเว็บไซต์ปกติ แต่เป็น URL ที่ถูก Reflected XSS โจมตี
4. Defacement via New Content Upload
เป็นการโจมตีเพื่อเปลี่ยนหน้าเว็บไซต์ที่พบมากที่สุด โดยอัพโหลดหน้าเว็บใหม่ที่ไม่เคยมีมาก่อนขึ้นไปยังเว็บไซต์ของเป้าหมาย ซึ่งหน้าเว็บดังกล่าวอาจไม่ลิงค์กับหน้าเว็บอื่นๆ ที่มีอยู่เลยก็ได้ ผู้ใช้จะเห็นหน้าเว็บนี้ผ่านทางการเข้าถึง URL โดยตรงเท่านั้น การโจมตีนี้ไม่สามารถตรวจจับได้จาก Dynamic Scanner หรือการเฝ้าระวังของทีม SOC เนื่องจากเป็น URL ใหม่ที่ไม่เคยปรากฏมาก่อน สาเหตุส่วนใหญ่มาจากการพิสูจน์ตัวตนที่ไม่แข็งแกร่งเพียงพอ และช่องโหว่บน CMS
เว็บรัฐบาลไทยตกเป็นเป้าของ Web Defacement มากที่สุดในแถบอาเซียน
จากสถิติของ Zone-H พบว่าเว็บไซต์ของหน่วยงานรัฐบาลไทยตกเป็นเป้าหมายของการทำ Web Defacement มากที่สุดในแถบอาเซียน โดยเกิดเหตุการณ์ขึ้นทั้งหมดถึง 19,491 ครั้ง (เฉพาะ .go.th) รองลงมาคือเว็บไซต์ของรัฐบาลอินโดนีเซีย
Best Practices ในการรับมือกับ Web Defacement
Wong ให้ได้คำแนะนำเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดสำหรับรับมือกับการโจมตี Web Defacement โดยใช้ต้นทุนต่ำ ซึ่งสามารถกล่าวโดยสรุปเป็นขั้นตอนได้ ดังนี้
- เมื่อพบว่าหน้าเว็บไซต์ถูกเปลี่ยนแปลง ให้ทำการออฟไลน์เว็บไซต์นั้นๆ และแยกเว็บออกมาจากระบบเครือข่าย (ห้ามแก้ไขหน้าเว็บจากข้อมูลสำรองหรือปิดระบบโดยเด็ดขาด เพราะจะส่งผลกระทบต่อการเก็บข้อมูลหลักฐาน)
- แสดงหน้า Maintenance หรือหน้าเว็บเดิมโดยใช้ Reverse Proxy Cache ในกรณีที่ไม่มี ให้สร้างหน้า HTML แบบง่ายๆ ขึ้นมาเว็บเซิร์ฟเวอร์อีกคเรื่องหนึ่ง และ Redirect ทราฟฟิคมาที่หน้า HTML ดังกล่าวแทน
- ทำการโคลนเซิร์ฟเวอร์ที่ถูกโจมตีเพื่อทำ Digital Forensics และวิเคราะห์ Log จากระบบเครือข่ายและเครื่องเซิร์ฟเวอร์เพื่อค้นหาสาเหตุและระบุวิธีที่แฮ็คเกอร์ใช้โจมตี
- ปรับระบบความมั่นคงปลอดภัยของเครือข่ายให้แข็งแกร่งยิ่งขึ้น เพื่อป้องกันการโจมตีในอนาคต
- อุดช่องโหว่ช่องเว็บเซิร์ฟเวอร์อื่นๆ ทั้งหมด
- ส่งมอบหลักฐานการทำ Forensics ให้แก่ตำรวจเพื่อให้ดำเนินการตามกฏหมายต่อ
- Restore ข้อมูลสำรองที่ไม่ได้รับผลกระทบของการโจมตีบนเซิร์ฟเวอร์เครื่องใหม่ (หรือบน VM ใหม่) แล้วทำการอุดช่องโหว่ทั้งหมดที่ค้นพบ อัปเดตแพทช์ล่าสุด และทำ Hardening
- ทำ Vulnerability Assessment หรือ Penetration Testing คร่าวๆ บนเว็บไซต์ที่ Restore ขึ้นมาใหม่ เพื่อตรวจสอบช่องโหว่ที่หลงเหลืออยู่ก่อนนำขึ้น Production
- Redirect ทราฟฟิคทั้งหมดกลับมายังเว็บไซต์ใหม่ที่จัดการแก้ไขปัญหาทั้งหมดเรียบร้อยแล้ว