สงคราม Cyber นับวันยิ่งทวีความรุนแรง ประโยชน์ของอินเทอร์เน็ตก็ยังคงเป็นสิ่งที่แฮ็คเกอร์พยายามขวนขวายหาผลประโยชน์อยู่เสมอ แต่นับวันระบบตรวจจับการโจมตีและการพยายามจับตัวผู้กระทำผิดนั้นก็ก้าวหน้าขึ้นทุกวัน อีกทั้งการวิเคราะห์มัลแวร์ (Malware) ต่างๆก็สามารถทำได้ง่ายขึ้น แฮ็คเกอร์จึงหาวิธีหลบเลี่ยงการตรวจจับหรือการตามตัวแฮ็คเกอร์ด้วยการเข้ารหัสข้อมูล (encryption) ซึ่งนั่นก็คือการนำไปสู่โลกแห่งเครือข่ายเข้ารหัสที่ชื่อว่า Tor Network นั่นเอง
Tor คืออะไร
แรกเริ่ม Tor ถูกออกแบบ, ใช้งานเป็น Onion Routing Project รุ่นที่ 3 ของกองทัพเรือสหรัฐ โดย Onion Routing Program เป็นโปรเจคที่ค้นคว้าวิจัย, ออกแบบ, วิเคราะห์เครือข่ายแบบไร้ตัวตน(Anonymous Communication Systems) เจาะจงไปยังการใช้งานอินเตอร์เน็ตโดยมีคุณสมบัติสามารถป้องกันการวิเคราะห์ traffic และการดักฟังข้อมูล รวมถึงการโจมตีใดๆจากบุคคลภายนอก(เช่น internet router เป็นต้น)และบุคคลภายในด้วย(เช่น Onion Routing Server เป็นต้น) โดยการพัฒนางานวิจัยนี้ทำเพื่อป้องกันเครือข่ายการสื่อสารของรัฐบาลนั่นเอง แต่ในปัจจุบัน Tor ถูกใช้กันอย่างแพร่หลายทั้งจากคนทั่วไป นักข่าว ผู้ประท้วงและอื่นๆอีกมากมาย
Tor เป็นเครือข่ายสำหรับการทำ virtual tunnel ที่ทำให้คนทั่วไปมีความปลอดภัยและความเป็นส่วนตัวในการใช้งานอินเตอร์เน็ต นักพัฒนาโปรแกรมที่จะพัฒนาโปแกรมสำหรับการสื่อสารใดๆ (Network Communication) ไม่จำเป็นต้องเขียนโค้ดแต่อย่างใดก็สามารถเพิ่มความปลอดภัยในการสื่อสารให้กับโปรแกรมได้ เพียงแค่โปรแกรมนั้นสื่อสารผ่าน Tor Network เท่านั้น จริงๆแล้ว เครือข่ายแบบไร้ตัวตนนั้นถูกเรียกว่าเป็น Darknet ซึ่งมีหลายเครือข่ายด้วยกัน แต่นิยมใช้มากที่สุดคือ Tor Network ที่ใช้งานง่ายและสามารถทำงานได้อย่างหลากหลายนั่นเอง
รูปภาพตัวอย่าง Tor Client Program
Tor ทำงานอย่างไร
การทำงานของ Tor มีลักษณะการทำงานดังนี้
เครื่องของผู้ใช้งานติดต่อไปยัง Directory Server ด้วย program Tor client ของ Tor เพื่อร้องขอ list ของ Tor node ที่มีอยู่ใน network ปัจจุบัน ซึ่ง node และเส้นทาง(path) ที่ได้มานั้นจะเป็นการ random มาทั้งหมด ไม่มี pattern ใดๆทั้งสิ้น จึงไม่สามารถคาดเดา path ของการส่งรับข้อมูลระหว่างต้นทางและปลายทางได้รูปภาพการทำงานของ Tor #1
ผู้ใช้งานสร้างข้อความที่ถูกเข้ารหัสแล้วส่งไปยัง Tor node แรกของ path Onion Router ของ Tor node แรกจะทำการถอด layer ที่เข้ารหัสออก เพื่อดูว่า Tor node ที่ 2 คือที่ไหนจากนั้นจึงส่ง packet ต่อไปยัง Tor node ที่ 2 โดยใน Tor node ลำดับต่อๆไป ก็จะทำเหมือนกันไปเรื่อยๆจนกระทั่งถึงปลายทาง ทำให้ node ระหว่างกลางไม่สามารถทราบได้ว่าข้อความจริงๆที่ถูกส่งมาคืออะไรรูปภาพการทำงานของ Tor #2
สุดท้ายเมื่อเครื่องผู้ใช้งานต้องการเข้าเว็บไซด์อื่นๆ ก็จะต้องติดต่อผ่าน Tor Node และ path ใหม่ทั้งหมดอีกด้วย จึงไม่สามารถที่จะ track ค้นหากลับไปยังต้นทางได้เลยรูปภาพการทำงานของ Tor #3
Tor client มีทั้งบน Windows, Linux, Unix, Android, iOS เรียกได้ว่าสามารถทำงานได้ทุก platform เลย เพราะ Tor Client เป็น open source นี่เอง ทำให้มีการนำไปต่อยอดในหลายๆทาง ทั้งการนำไปใช้งานปกติ หรือนำ module ไปพัฒนาเป็นส่วนหนึ่งของเครื่องมือตนเองก็ตาม รวมถึงเราสามารถสร้าง server ที่สามารถเข้าได้เฉพาะผู้ใช้งาน Tor Network ได้อีกด้วย โดย Server เหล่านั้นจะมี domain name ลงท้ายด้วย .onion นั่นเอง
เว็บไซด์ภายใน Tor Network
เว็บไซด์ที่อยู่ภายใน Tor Network นั้นถูกเรียกว่า “Deep Web” โดยจากที่กล่าวไปแล้วว่าเว็บไซด์เหล่านั้นจำเป็นต้องเข้าจาก Tor Network เท่านั้น โดยจากงานวิจัยพบว่า Deep Web นั้นมีจำนวนมากกว่าเว็บไซด์ต่างๆที่สามารถเข้าถึงได้จากอินเตอร์เน็ตหรือ search engine อย่าง Google ถึง 500เท่าเลยทีเดียว
รูปภาพแสดงถึงจำนวนของเว็บไซด์เปรียบเทียบระหว่าง Surface Web และ Deep Web
รูปภาพวิธีการเข้าถึงเว็บไซด์แบบ Surface Web และ Deep Web
เว็บไซด์ที่ให้บริการใน Deep Web นั้นมักจะเป็นเว็บไซด์จำพวก การทหาร, ตำรวจ, หน่วยงานราชการลับต่างๆ เป็นต้น แต่ก็ยังคงมีเว็บไซด์ที่เกี่ยวกับการกระทำผิดกฎหมายมากมายเช่นกัน เช่น ค้าขายอาวุธ , ค้าขายไวรัส, ค้าขายประเวณี, ค้าขายข้อมูลลับ เป็นต้น โดยที่มาของการเกิด Deep Web อย่างต่อเนื่องในช่วง 2-3 ปีหลัง เกิดจากการเปิดเผยของนาย Edward Snowden และ Julian Assange ในเรื่องการดักฟังข้อมูลและการเข้าถึงข้อมูลลับในรูปแบบต่างๆของ NSA (National Security Agency) ส่งผลให้ผู้คนเริ่มตื่นตัวในการรักษาความเป็นส่วนตัวของแต่ละบุคคลมากขึ้นนั่นเอง
ทำไมแฮ็คเกอร์หรือผู้กระทำผิดกฎหมายต่างๆถึงใช้ Tor แต่ยังถูกจับ
ในช่วงปี 2010 เป็นต้นมา เราจะเห็นกลุ่มคนมากมายที่มีการประท้วงรัฐบาลหรือหน่วยงานต่างๆด้วยการแก้ไขหน้าเว็บเพจ (defacement) ของเว็บไซด์ต่างๆ เช่น กลุ่ม Anonymous, LuszSec เป็นต้น โดยกลุ่มเหล่านั้นมักจะคุยและสื่อสารกันระหว่าง IRC Channel ซึ่งเป็นช่องทางสื่อสารเฉพาะก่อนที่จะนำไปสู่การพยายามโจมตีเว็บไซด์ต่างๆ การจะใช้งานช่องทางนั้นแบบที่ไม่สามารถค้นหาต้นทางได้ จำเป็นต้องมีการใช้งาน Proxy ที่รองรับการทำงานแบบ SOCKS5 ซึ่งแต่ก่อนมีตัวเลือกไม่มากนัก โดยหนึ่งในตัวที่รองรับการทำงานความสามารถทั้งหมดที่กลุ่มประท้วงต้องการก็คือ Tor Network นั่นเอง จากที่กล่าวมาทั้งหมดทำให้ Tor Network จึงเป็นตัวเลือกอันดับต้นๆที่กลุ่มประท้วงหรือแฮ็คเกอร์เลือกใช้
แต่ Tor Network ก็ใช่ว่าจะไม่สามารถค้นหา IP จริงๆ ได้เสมอไป FBI ทราบดีว่าแฮ็คเกอร์ส่วนใหญ่นั้นใช้งาน Tor Network จึงได้ค้นหาวิธีต่างๆในการหาผู้กระทำผิดเหล่านั้นจากการเข้าไปสืบหาข้อมูลจากภายใน server ต่างๆที่อยู่ใน Tor Network ไม่ว่าจะเป็นการสร้าง Virus ที่แพร่กระจายผ่าน Tormail ซึ่งเป็นบริการเมล์ภายใน Tor Network รวมถึงการหลอกให้แฮ็คเกอร์เข้าถึงเว็บไซด์ภายใน Tor Network ที่ฝัง exploit ไว้ เพื่อจะนำไปสู่การค้นหา IP จริงของแฮ็คเกอร์ที่เป็นเป้าหมายเหล่านั้นได้ด้วยเช่นกัน
รูปภาพข่าวการจับตัว Web Hosting ที่ผิดกฎหมายด้วยการยึด TorMail โดย FBI
รูปภาพข่าวการฝัง exploit ไว้ใน Tor Web Server เพื่อจับเจ้าของเว็บไซด์ภายใน Tor Network ที่ชื่อว่า Silk Rose ที่มีการขายยาเสพติดต่างๆโดย FBI
Malware ที่ใช้ Tor Network
อย่างที่กล่าวไปข้างต้นว่า Tor Client นั้นเป็น Open Source ที่เปิดเผย source code ของโปรแกรม ทำให้มีนักพัฒนาโปรแกรมมากมายนำ source code เหล่านั้นมาใส่ในเครื่องมือของตน ไม่เว้นแม้กระทั่งผู้พัฒนา Malware โดยในปัจจุบันมี Malware จำนวนมากที่ทำงานผ่าน Tor Network เช่น Zeus, ChewBacca , Cythosia เป็นต้น
รูปภาพ source code ของ Botnet ที่มีการเชื่อมต่อกับเครื่อง Command & Control(C&C) Server ที่ตั้งอยู่ใน Tor Network
รูปภาพตัวอย่าง traffic ของ Sefnit Botnet ทิ่ติดต่อกับ C&C server ที่อยู่ใน Tor Network
การใช้งาน Tor Network ของ Malware เหล่านั้นทำให้ได้ความสามารถการไร้ตัวตนของ Tor Network ไปด้วย ส่งผลให้ระบบตรวจจับต่างๆสามารถทำงานได้ยากยิ่งขึ้น Malware ที่มีความสามารถนั้นจึงได้รับความนิยมมากขึ้นเรื่อยๆ โดยผู้พัฒนา Malware เหล่านั้นมักจะนำ Malware ไปขายในเว็บไซด์ที่เข้าถึงได้ยากอย่างตลาด malware และ forum ใต้ดินต่างๆ โดยเว็บไซด์เหล่านี้จำเป็นต้องมีการเชิญหรือผ่านการตรวจสอบข้อมูลก่อนเท่านั้นจึงจะสามารถเข้าถึงได้ อีกทั้งในเว็บไซด์เหล่านั้นมีการทำการตลาดแบบครบวงจร ทั้งขายเป็นแบบ service, การให้คะแนนผู้ขายผู้ซื้อ, การใช้งานที่ง่าย, การการันตีการให้บริการของ service, การวางเงินมัดจำก่อนซื้อขาย เป็นต้น ซึ่งสิ่งเหล่านั้นทำให้แหล่งซื้อขาย malware เหล่านั้นเปรียบเสมือนเป็น ebay ขนาดเล็กสำหรับการขาย malware โดยเฉพาะก็ไม่ปราณ นั่นคือเหตุผลว่าทำไมการพัฒนา Malware ต่างๆจึงมีการพัฒนาอย่างต่อเนื่องตลอด 10 ปีที่ผ่านมา
รูปภาพตัวอย่างการขาย SpyEye toolkit
ในเว็บไซด์เหล่านั้นทำให้ไม่เพียงแต่มีการขาย malware เท่านั้น ยังมีการนำหมายเลขบัตรเครดิตมาขายอีกด้วย
รูปภาพการขายหมายเลขบัตรเครดิต
ไม่เพียงแต่จะนำหมายเลขบัตรเครดิตมาขายเท่านั้น ยังมีการนำเครื่องมือสำหรับทำการโจมกรรมข้อมูลต่างๆเช่น เครื่องมือการติดตั้ง Skimmer ตามตู้ ATM ต่างๆ, เครื่องมืออานข้อมูลจากบัตรเครดิต เป็นต้น มาขายด้วยเช่นกัน
รูปภาพการขายเครื่องมือโจรกรรมข้อมูลบัตรเครดิตต่างๆ
ระวัง Tor Malware
ด้วยความนิยมของ Tor Network ทำให้มีการสร้าง Malware ที่ปลอมเป็น Tor Client ขึ้นมามากมาย ไม่ว่าจะเป็น Platform Windows, Linux หรือแม้กระทั่ง Mobile OS อย่าง Android, iOS ก็ตาม โดยตัวอย่างของ iOS จะใช้ชื่อป็น Fake Tor Network Application เคยถูกค้นพบภายใน Apple Store เลยทีเดียว แต่เมื่อมีผู้เชี่ยวชาญตรวจพบก็ได้แจ้งไปทาง Apple และได้นำ Application ดังกล่าวออกจากระบบทันที โดยจริงๆแล้วเราสามารถ download Tor Client ที่เป็นแบบ Official release ได้จากเว็บไซด์ Tor (www.