Mandiant แจก Rainbow Table เจาะรหัส Admin รุ่นเก่าได้ใน 12 ชั่วโมง
เมื่อการเจาะรหัสกลายเป็นเรื่องง่าย
Mandiant บริษัทด้านความปลอดภัยไซเบอร์ชื่อดังได้ตัดสินใจปล่อยฐานข้อมูลชุดใหญ่ที่เรียกว่า Rainbow Table ซึ่งสามารถใช้ถอดรหัสผ่านระดับผู้ดูแลระบบ (Admin) ที่ได้รับการปกป้องด้วยอัลกอริทึม NTLMv1 ของ Microsoft ได้อย่างรวดเร็ว การเคลื่อนไหวครั้งนี้มีจุดประสงค์สำคัญเพื่อกระตุ้นให้หน่วยงานที่ยังดื้อแพ่งใช้ระบบส่งข้อมูลแบบเก่าที่เลิกใช้งานไปแล้ว (Deprecated) ยอมอัปเกรดระบบเสียที หลังจากที่ช่องโหว่นี้ถูกเตือนมานานนับทศวรรษ
กลไกของ Rainbow Table คือการสร้างตารางคำนวณค่าแฮช (Hash) ล่วงหน้าแล้วเชื่อมโยงกลับไปยังรหัสผ่านตัวเต็ม (Plaintext) ทำให้แฮกเกอร์ไม่ต้องเสียเวลาสุ่มรหัสใหม่ทั้งหมดแต่สามารถจับคู่รหัสที่ขโมยมาได้ทันที ปกติแล้วการสร้างตารางสำหรับ NTLMv1 นั้นทำได้ไม่ยากเพราะมีพื้นที่กุญแจ (Keyspace) จำกัด แต่ที่ผ่านมามักต้องใช้ทรัพยากรเครื่องมหาศาลในการประมวลผล ทว่าชุดข้อมูลที่ Mandiant ปล่อยออกมานี้เปลี่ยนเกมไปอย่างสิ้นเชิง
Mandiant ระบุว่า Rainbow Table ชุดนี้จะช่วยให้ผู้ดูแลระบบและนักวิจัยความปลอดภัย (รวมถึงแฮกเกอร์สายดำด้วย) สามารถกู้คืนรหัสผ่านได้ภายในเวลาไม่ถึง 12ชั่วโมง โดยใช้ฮาร์ดแวร์คอมพิวเตอร์ทั่วไปที่มีราคาไม่ถึง 600 ดอลลาร์สหรัฐ หรือประมาณ 21,600 บาทเท่านั้น โดยฐานข้อมูลนี้โฮสต์อยู่บน Google Cloud และมุ่งเป้าไปที่รหัสผ่าน Net-NTLMv1 ซึ่งมักใช้ในการยืนยันตัวตนผ่านเครือข่าย เช่น การแชร์ไฟล์ผ่าน SMB
แม้ว่า NTLMv1 จะถูกพิสูจน์แล้วว่าไม่ปลอดภัยมาตั้งแต่ปี 1999 โดย Bruce Schneier นักวิเคราะห์รหัสลับชื่อดัง แต่ปัจจุบันมันยังคงถูกใช้งานอยู่ในเครือข่ายที่มีความสำคัญระดับโลก ทั้งในอุตสาหกรรมสาธารณสุขและระบบควบคุมโรงงาน เหตุผลหลักคือองค์กรเหล่านี้ยังพึ่งพาแอปพลิเคชันยุคเก่าที่ไม่รองรับอัลกอริทึมใหม่ๆ หรือไม่สามารถหยุดการทำงานของระบบ (Downtime) เพื่อทำการย้ายข้อมูลได้ รวมถึงปัจจัยเรื่องความประหยัดและแรงเฉื่อยขององค์กรเอง
การปล่อยเครื่องมือครั้งนี้เปรียบเสมือนการส่งมอบ อาวุธ ให้กับทีมรักษาความปลอดภัยเพื่อไปโน้มน้าวผู้บริหาร เพราะการบอกว่าระบบไม่ปลอดภัยนั้นไม่เห็นภาพเท่ากับการที่พนักงานไอทีสามารถเดินไปวางกระดาษที่มีรหัสผ่านจริงๆ ของผู้บริหารบนโต๊ะในเช้าวันรุ่งขึ้นเพื่อพิสูจน์ว่าระบบถูกเจาะได้จริง Mandiant ย้ำว่าโปรโตคอลมรดกตกทอดนี้ทำให้องค์กรตกเป็นเหยื่อของการขโมยข้อมูลส่วนตัวได้ง่ายเกินไป และการอ้างว่าไม่มีความเสี่ยงที่จับต้องได้นั้นใช้ไม่ได้อีกต่อไป
ปัจจุบัน Microsoft ได้ประกาศแผนที่จะยกเลิกการใช้งาน NTLMv1 อย่างเป็นทางการไปเมื่อเดือนสิงหาคมที่ผ่านมา หลังจากที่ปล่อย NTLMv2 ออกมาแก้ไขปัญหาตั้งแต่นับสิบปีที่แล้ว องค์กรต่างๆ จึงควรปิดการใช้งาน Net-NTLMv1 ทันทีตามคำแนะนำของ Mandiant เพื่อหลีกเลี่ยงการถูกโจมตีผ่านเครื่องมือยอดนิยมอย่าง Responder หรือ PetitPotam เพราะหากยังเพิกเฉยและถูกแฮกในภายหลัง ก็คงไม่สามารถโทษใครได้นอกจากความล่าช้าของตนเอง
