TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ในเดือนที่ผ่านมา Netcraft ผู้ให้บริการอินเทอร์เน็ตสัญชาติอังกฤษได้สังเกตพบพฤติกรรมของหน้าเพจ Phishing กว่า 400 เพจวางอยู่ในโฟลเดอร์ที่ชื่อ /.well-known/. โดยโฟลเดอร์นี้ทำหน้าที่เป็นส่วนนึงของ URI เพื่ออนุญาตผู้ใช้และกระบวนการประมวลผลอัตโนมัติได้รับ Policy และข้อมูลอื่นๆ เกี่ยวกับโฮสต์
ปกติแล้วไดเรกทอรี่ของ /.well-known/ จะถูกใช้เพื่อแสดงความเป็นเจ้าของโดเมน โดยผู้ดูแลเว็บไซต์ที่มีการใช้งาน HTTPS ที่ใช้งานบริหารจัดการ Certificate แบบอัตโนมัติอย่าง ACME (โปรโตคอลสำหรับการสื่อสารกันระหว่าง CA และเว็บไซต์ของผู้ใช้งานโดยอัตโนมัติ) ในการบริหารจัดการ SSL Certificate ซึ่งมักจะมีการวาง Token ไว้ในโฟลเดอร์ /.well-known/acme-challenge/ หรือ /.well-known/pki-validation/ เพื่อแสดง Certificate Issuer ของโดเมน
ด้วยความโด่งดังของบริการ Let’s Encrypt ที่เกิดขึ้นจากการร่วมมือกันของ Akamai, Cisco, Electronic Frontire Foundation (EFF) และ Mozilla เพื่อรณรงค์ให้เว็บไซต์หันมาใช้งาน HTTPS โดยข้อดีข้อหนึ่งของบริการนี้คือเปิดให้เจ้าของโดเมนได้รับ Trusted Certificate ฟรีและใช้งานบน ACME โปรโตคอล ดังนั้นผู้ดูแลเว็บไซต์จำนวนมากจึงเชื่อถือและผลที่ตามมาคือมีโฟลเดอร์ /.well-known/ อยู่บนหลายล้านเว็บไซต์ซึ่งเป็นที่ซ่อนชั้นดีของเพจ Phishing
Paul Mutton หนึ่งในทีมงานของ Netcraft ให้ความเห็นว่าจุดหน้าชื่อโฟลเดอร์ทำให้มันไม่ปรากฏเมื่อใช้คำสั่งเรียกแสดงไฟล์หรือโฟลเดอร์อย่าง ls ด้วยเหตุนี้มันจึงยากที่จะค้นหา ผู้ร้ายวางจึงเพจ Phishing ไว้โฟลเดอร์เดอร์ย่อยอย่าง /.well-known/acme-challenge/ หรือ /.well-known/pki-validation/ นอกจากนี้ Mutton ยังกล่าวเตือนว่า “แพลต์ฟอร์มที่มีการแชร์โฮสต์อาจจะมีช่องโหว่เนื่องจากเรื่องการกำหนดสิทธิ์ไฟล์ของระบบที่อาจอนุญาตให้ลูกค้าเว็บไซต์หนึ่งเข้าไปวาง Content บนลูกค้าอีกรายหนึ่งได้” โดยสมมติฐานที่ค่อนข้างมีน้ำหนักคืออาจจะมีบางเซิร์ฟเวอร์ถูกวางหน้าเพจ Phishing ในหลายๆ ชื่อ อย่างไรก็ตามตอนนี้ Netcraft เองก็ยังไม่มีคำตอบชัดเจนว่าผู้ร้ายเข้าไปวางเพจ Phishing เหล่านี้ได้อย่างไร
ที่มา : http://www.securityweek.com/phishing-pages-hidden-well-known-directory
