Friday, December 22, 2017

Digital Forensics: Cryptocurrency

Digital Forensics: Cyber Threats > Cryptocurrency > Part2


BitCoin ถูกแฮก! เรื่องมันยาวและซับซ้อนมากใครสนใจเข้าไปอ่านดู สรุปง่าย ๆ คือ
*คำเตือน: ขอเคลียร์ตั้งแต่ก่อนเล่าละกัน เผื่อบางคนอ่านไม่จบ ปัญหานี้กระทบเฉพาะ wallet ส่วนน้อยมาก ๆ ที่ไปใช้ระบบที่สร้างกุญแจ ด้วยค่าที่ไม่ปลอดภัย ซึ่งปกติแล้วเค้าใช้ค่าสุ่มที่เดาไม่ได้+ปลอดภัยครับ อย่าตื่นตกใจ ราคาไม่ตก ยังไม่เจ๊ง ! จุดประสงค์คือคนมาเล่าอยากให้กลับไปเช็คว่าส่วนน้อยนี้เป็นระบบที่ไหนเพราะมีเงินหมุนเวียนอยู่พอสมควร*
1. กระเป๋า BitCoin จะมีสองส่วนคือ กุญแจลับที่เจ้าของกระเป๋าไว้ใช้โอนเงินกับ wallet address เป็นเลขบัญชีไว้ให้คนโอนเงินเข้า ซึ่งถ้าเรารู้ กุญแจ (หรือคำที่ใช้สร้างกุญแจ) ของคนอื่นเราจะถอนเงิน BitCoin คนอื่นออกไปได้
2. ปรากฏว่ามันมีคนไปทดลองอะไรแปลก ๆ เจอว่า ในโลกเราเนี่ย มันมีระบบอะไรสักอย่างซึ่งเขาก็ยังไม่รู้คืออะไร แต่เกี่ยวกับ BitCoin แน่ ๆ อาจจะเป็นใช้ภายในบริษัทไอที หรือเป็น BitCoin Exchange (เว็บแลกสกุลเงิน), mining pool (ระบบที่คนมาช่วยกันขุต BitCoin), หรือระบบสร้างกระเป๋าเงิน BitCoin ออนไลน์ เนี่ยแหละ ทำการสร้าง กระเป๋าเงินโดยใช้ กุญแจของกระเป๋าเงิน จากค่าที่เดาได้เช่นค่าของ wallet address อันอื่น !
3. ผลคือเขาสามารถเขียน bot ขึ้นมาไล่สแกน blockchain (ที่เก็บข้อมูลการโอนเงินของ BitCoin) เพื่อเก็บ wallet address ทั่วโลกออกมา 290 ล้านบัญชี แล้ว ลองเอาแต่ละอันมา *ใช้สร้างเป็นกุญแจของ wallet address ใหม่, แล้วคอยดูการโอนเงินที่เกิดขึ้น, ถ้ามีการโอนเงินไปที่ wallet address ที่ตรงกับที่เขาสร้างไว้ (ข้อมูลพวกนี้ public ใครก็เข้าดูได้) แสดงว่าเขาก็สามารถเอากุญแจนั้นไปโอนเงินออกได้ (มันจะตรงกันได้ก็ต่อเมื่อใช้ค่าเริ่มต้นที่สร้างกุญแจเดียวกันซึ่งมีโอกาสเพราะมันมีระบบที่ใช้ wallet address อื่นมาเป็นค่าเริ่มต้นที่ใช้สร้าง)*
4. พบว่าภายใน 48 ชั่วโมงตอนเริ่มทดสอบ bot เขาได้กุญแจของกระเป๋าใครก็ไม่รู้ที่มีเงินอยู่ 9.5 BTC มาซึ่งตอนนั้นมีมูลค่าประมาณ 7 แสนกว่าบาท (9 มิย) ตอนที่เจอนั้น bot ยังแค่คอยดูเฉย ๆ อยู่ไม่ได้นำเงิน ออกมาได้ และเงินก้อนนั้นถูกถอนออกไปในเวลา 15 นาที (เขาเอา กุญแจกับ wallet address มา proof ด้วยว่าเขาเจอจริงโดนโอนออกไปจริงและ กุญแจถูกสร้างมาจาก wallet address อื่นจริง)
5. เขาก็รัน bot คอยดูสถานการณ์นี้ไปเรื่อย ๆ ได้กุญแจของบัญชีมากมาย ไม่ได้เป็นโจรแค่ช่างสงสัยเฉย ๆ และอยากรู้ว่านี้มันเป็นสิ่งที่แฮกเกอร์ที่ไหนเอาไป backdoor ระบบไหนไว้รึเปล่า เพราะถ้าซ่อนแบบนี้แล้วค่อย ๆ ขโมยเงินออกไปน่าจะเนียน?
6. จนกระทั้ง มีเหตุการณ์ที่เกิดขึ้นคือเมื่อหลายวันก่อนมี user ชื่อ fitwear มาโวยวายในเว็บ reddit ว่า BitCoin wallet เขาโดนแฮกขโมยเงินออกไป 9 BTC ซึ่งไอ่คนทำบอทนี้ บังเอินมากไปเจอว่า บัญชีปลายทางของคนที่ขโมยเงินของนั้น อยู่ใน list ของ wallet ที่เขามีกุญแจได้มาจาก bot อยู่ เลย ในฐานะที่เป็นคนดี เลยช่วยเอาเงินมาคืนให้
7.ประเด็นสำคัญของเรื่องนี้คือ.. มันมีโจร! ที่รู้ปัญหานี้ก่อนเขา และคอยขโมย BitCoin คนอื่นแบบลับ ๆ อยู่ด้วยวิธีนี้ แต่เราไม่รู้ไอ่โจรนี้เป็นใครกันแน่ และระบบที่สร้าง wallet มีช่องโหว่จากไหนบ้างก็ไม่รู้เหมือนกัน ซึ่งหลักฐานที่เกี่ยวข้องที่มีตอนนี้คือ fitwear บอกว่า ตัวเขาสร้าง wallet มาจากเว็บ Blockchain.info และมั่นใจว่าทำทุกอย่างถูกต้องรักษาความปลอดภัยดี แต่ทำไมโดนขโมยได้?
8. เพื่อเป็นการแก้ปัญหาที่สาเหตุของเรื่องนี้ คนที่เปิดเผยเรื่องนี้ออกมาก็ "หวังว่า" ใครก็ตามที่อ่านเรื่องนี้แล้วเกี่ยวข้องกับการดูแลระบบ BitCoin ช่วยไปสอดส่องโค้ดตัวเองหน่อยว่าโดน "แฮก" หรือ "แอบฝัง" โค้ดที่คอยสร้าง wallet ด้วยค่าไม่ปลอดภัยเข้ามารึเปล่า ซึ่ง Blockchain.info ปฏิเสธว่าไม่เกี่ยวข้องนาจา ใครสนใจแนะนำตามไปอ่านที่มา คนมาเผยเรื่องนี้เค้าไม่ได้มาแต่ลมปากเขามี proof ว่ามีเหตุการณ์นี้เกิดขึ้นอยู่จริง ๆ แอดเล่าแบบย่อ ๆ ครับ
ที่มา:
 #สอนแฮกเว็บแบบแมวๆ

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

No comments:

Post a Comment

Digital Forensics:WhatsMyName (OSINT)

Digital Forensics:WhatsMyName (OSINT) Welcome to WhatsMyName This tool allows you to enumerate usernames across many websites How to use: 1....