မဂၤလာပါ မိတ္ေဆြ ကြ်န္ေတာ့္ရဲ႕ ဘေလာ့ေလးကို လာေရာက္အားေပးတဲ့အတြက္ အထူးဘဲ ေက်းဇူးတင္ရွိပါေၾကာင္း လုိအပ္ေသာနည္းပညာမ်ားအား လိုအပ္သလိုေတာင္းဆိုနိဳင္ပါတယ္.. ၾကိဳးစားရွာေဖြလို႕ ျပန္လည္ မွ်ေ၀ ေပးေနပါမည္။ ေဇယ်ာ....

Monday, July 29, 2013

မိတ္ေဆြအေကာင့္ လုံၿခဳံဖုိ႕အတြက္ဖတ္ေပးပါ

  Security အပိုင္းေတြ တိုးတက္ျမင့္မားလာတာနဲ႕အမွ် Hacking နည္းပညာေတြလည္း တိုးတက္ျမင့္မားလာမွာပါဘဲ။အဲ့လိုဘဲ Hacking နည္းပညာေတြတိုးတက္လာတာနဲ႕အမွ် Security အပိုင္းေတြလည္း သူ႕နဲ႕အျပိဳင္ တိုးတက္လာၾကမွာပါဘဲ။အဲ့ေတာ့ မည္သည့္အေကာင့္ဘဲျဖစ္ျဖစ္ ဘယ္လိုမွ ဟတ္ယူလို႕မရဘူးဆိုတာမရွိသလို မည္သည့္အေကာင့္ကိုမွလည္း လြယ္လြယ္ကူကူနဲ႕ ဟတ္ယူလို႕၇တယ္ဆိုတာ မရွိပါဘူး။ဆိုလိုတာက အေကာင့္တစ္ခုရဲ့ လံုျခံဳမွဳရာခိုင္ႏႈန္းဟာ အသံုးျပဳသူေပၚမွာဘဲ မူတည္ပါတယ္။ဟတ္ကာတစ္ေယာက္ဟာ အေကာင့္တစ္ခုကိုဟတ္ေတာ့မယ္ဆိုရင္ အဲ့ဒီအေကာင့္ကို ဟတ္လို႕ရမယ့္ နည္းလမ္းေတြအကုန္လံုးကိုသံုးမွာပါဘဲ။အသံုးျပဳသူအေကာင့္ပိုင္ရွင္ရဲ့ Security ျမင့္မားမွဳေပၚမူတည္ျပီး ဟတ္ကာတစ္ေယာက္ရဲ့ထိုးေဖါက္မွဳေတြဟာလည္း ပိုမိုျပင္းထန္လာမွာပါဘဲ။



Social Engineering

ဒါကေတာ့ လူမွဳကြန္ယက္ မွာေရာ ဟတ္ကင္းေလာကမွာပါ နာမည္ၾကီးတဲ့ နည္းလမ္းေလးပါ။မိမိ Target ထားထားတဲ့သူကို အယံုသြင္းျပီး မိမိဆင္ထားတဲ့ေက်ာ့ကြင္းထဲဝင္ေရာက္လာေအာင္ လွည့္စားတဲ့နည္းလမ္းတစ္ခုေပါ့။ဥပမာေျပာရရင္ ျမန္မာဇာတ္ကားေတြထဲမွာ ခဏခဏ ပါပါတယ္။လူၾကမ္း ဦးေအာင္ခိုင္ က သူတပည့္ေတြကို အရမ္းစိတ္ပူပမ္ေနတဲ့ မင္းသား ရဲ့ ေနာက္လိုက္ေတြနဲ႕ ပံုစံတူ Phishing တစ္ခုကို ဖန္တီးျပီး မင္းသမီးဆီကို သြားခိုင္းခဲ့ပါတယ္။မင္းသမီးယံုၾကည္လာေအာင္ မင္းသားကားေမွာက္လို႕ ေဆးရံုေ၇ာက္ေနတဲ့အေၾကာင္း နဲ႕ ဒါဏ္ရာအရမ္းမ်ားလို႕ အခုခ်က္ခ်င္း လိုက္ခဲ့ဖို႕ လွည့္စားေခၚေဆာင္ပါတယ္။ဒါကိုမသိတဲ့ မင္းသမီးက သူ႕ခ်စ္သူ တကယ္ ေဆးရံုေရာက္ေနတယ္ထင္ျပီး လိုက္သြားတဲ့အခါ လူၾကမ္းေတြဆင္ထားတဲ့ ေက်ာ့ကြင္း ( အျမဲတန္းရိုက္ျဖစ္တဲ့ ေမွာ္ဘီက ဆန္ဂိုေဒါင္အပ်က္ၾကီး ) ထဲေရာက္သြားခဲ့ရေတာ့တာပါဘဲ။ဒါဟာ Phishing ကိုသံုးျပီး တိုက္ခိုက္တဲ့  Social Engineering တစ္ခုပါ။ဟိုတစ္ေခါက္က ကြၽန္ေတာ္ေျပာျပခဲ့ဖူးပါတယ္။Phishing ဆိုတာ Web Page တစ္ခုျပဳလုပ္ျပီး ကိုယ္ဟတ္မယ့္သူဆီကို ပို႕ေပးရတာမ်ိဳးပါ။အဲ့ဒီမွာ မိမိ ရဲ့ Target က မိမိျပဳလုပ္ထားတဲ့ Fake Web Pag မွာ Login ဝင္လာေအာင္ လွည့္စားစြဲေဆာင္ရပါတယ္ဆိုတာ ... ။Facebook Hacking Using Phishing ဆိုတဲ့ ပို႕စ္ေလးကို သြားျပန္ဖတ္ၾကည့္လိုက္ရင္ Phishing ဆိုတာကို ပိုျပီးသေဘာေပါက္သြားပါလိမ့္မယ္။အေကာင့္ေတြကို ဟတ္တာ အဲ့ဒီ Phishing နည္းပညာတစ္ခုထဲလားဆိုေတာ့လည္း မဟုတ္ေသးပါဘူး။နည္းလမ္းေတြက အမ်ားၾကီးရွိပါတယ္။ကြၽန္ေတာ္က ဟတ္ကာတစ္ေယာက္မဟုတ္ေတာ့ ဟတ္ကာေတြဟာ ဘယ္လိုနည္းေတြသံုးျပီး ဟတ္တယ္ဆိုတာ ကြၽန္ေတာ္ အကုန္လံုးမေျပာျပႏိုင္တာေတာ့ နားလည္ေပးေစခ်င္ပါတယ္။ဒါေပမယ့္ အမ်ားစုကေတာ့ Keylogger လိုမ်ိဳး Spye Software ေတြသံုးျပီးလည္း ဟတ္ၾကပါေသးတယ္။


Keylogger ဆိုတာ ဘာလဲ ?


Keylogger ဆိုတာ ကြန္ပ်ဴတာတစ္လံုးမွာ မိမိလုပ္ေဆာင္ခဲ့တဲ့ မိမိရဲ့ လုပ္ေဆာင္ခ်က္တိုင္းကို မွတ္သားထားေပးျပီး စကၠန္႕မလပ္ ၾကိဳးကိုင္သူပိုင္ရွင္ဆီကို အခ်က္အလက္ေတြ ပို႕ေပးတဲ့ အရာပါ။သူမွာ Software Keylogger နဲ႕ hardware keylogger ဆိုျပီး ႏွစ္မ်ိဳးရွိပါတယ္။hardware keylogger ကို ကြန္ပ်ဴတာရဲ့ motherboard နဲ႕ keyboard ၾကိဳးနဲ႕ဆက္သြယ္ထားတဲ့ ႏွစ္ခုၾကားမွာ လြယ္ကူစြာရွာေဖြႏိုင္ေပမယ့္ Software Keylogger ကိုေတာ့ ရွာေဖြဖို႕မလြယ္ကူပါဘူး။

Hardware Keylogger  



Hardware Keylogger ကို ပံုမွာေတြ႕ရတဲ့အတိုင္း တပ္ဆင္အသံုးျပဳၾကပါတယ္။သူဟာ မိမိတို႕ Keyboard မွာ ရိုက္လိုက္တဲ့ စာလံုးေတြအားလံုးကို Monitor ေပၚမေရာက္ခင္ကာလအတြင္း ၾကားကျဖတ္ယူ မွတ္သားတဲ့အလုပ္ကို လုပ္ေဆာင္တဲ့အတြက္ မိမိတို႕ ရိုက္လိုက္သမွ်  User name , Password , Bank Account , Ph Number , ID Number အစရွိတဲ့ အေရးၾကီးတဲ့ အခ်က္အလက္ေတြအားလံုးဟာ သူရဲ့ memory ထဲကို ေရာက္ရွိသြားပါတယ္။

သူ႕ကိုဘယ္လိုကာကြယ္ရမလဲ ?

Hardware Keylogger ဟာ မ်က္စိနဲ႕ျမင္ရတဲ့အရာျဖစ္တဲ့အတြက္ ရွာေဖြရတာ အရမ္းလြယ္ကူပါတယ္။အင္တာနက္ဆိုင္မွာအသံုးျပဳတဲ့သူေတြအတြက္ေတာ့ မိမိအသံုးျပဳမယ့္စက္ကို မိမိအသံုးမျပဳခင္ Keylogger ရွိ မရွိ ( ဆိုင္ရွင္မသိေအာင္ ) တိုးတိုးတိတ္တိတ္ စစ္ေဆးျပီးမွ အသံုးျပဳသင့္ပါတယ္။Hardware Keylogger ဟာ Keyboard ေပၚမွာ ရိုက္လိုက္တဲ့ စာလံုးမွန္သမွ်ကို မွတ္သားထားႏိုင္တယ္ဆိုေပမယ့္ မိမိတို႕ ကြန္ပ်ဴတာမွာပါတဲ့  Program တစ္ခုျဖစ္တဲ့ Screen Keyboard မွာ ေထာက္ျပီး ေရးတဲ့စကားလံုးေတြကိုေတာ့ မွတ္သားႏိုင္စြမ္းမရွိပါဘူး။Screen Keyboard ကိုအသံုးျပဳခ်င္တယ္ဆိုရင္ 
Start Menu \ All Program \ Accessories \ Accessibility \ On Screen-keyboard
ဆိုျပီး တဆင့္ခ်င္းသြားပါ။

Softward Keylogger




Softward keylogger ကေတာ့ ကြၽန္ေတာ္တို႕Gtalk ေတြ ဘာေတြ ေဒါင္းသလိုဘဲ ကြန္ပ်ဴတာထဲကို ေဒါင္းလုစြဲျပီး ထည့္သံုးရတဲ့အရာပါ။သူကက်ေတာ့ ေစာေစာက လိုမ်ိဳး ကီးဘုတ္ေပၚမွာရိုက္တဲ့စာေတြကိုဘဲ မွတ္သားေပးတာမဟုတ္ေတာ့ဘဲ အင္တာနက္ေပၚမွာ မိမိသြားသမွ် လမ္းေၾကာင္းေတြအကုန္လံုးကိုပါ မွတ္သားနိုင္စြမ္းရွိပါတယ္။တခ်ဳိ႕ဆိုရင္ Screen Shot ရိုက္ျပီးေတာ့ပါ မွတ္သားေပးႏိုင္တဲ့အထိ အဆင့္ျမင့္ပါတယ္။သူက Spy Software တစ္ခုျဖစ္တဲ့အတြက္ ရွာေဖြယူဖို႕မလြယ္ကူပါဘူး။သူဟာ သူရွိေနတာကို သူမဟုတ္သလို ေနတက္ပါတယ္။ဥပမာ ... ဟတ္ကာ က သူ႕ Keylogger Software ကို ကြန္ပ်ဴတာမွာ ရွိေလ့ရွိတဲ့ ရိုးရိုးသာမန္ Program တစ္ခုရဲ့ နာမည္ကို သံုးျပီး ထည့္ထားမယ္ဆိုရင္ ကြၽန္ေတာ့တို႕ Task manager ေခၚျပီးၾကည့္ရင္ေတာင္ သူ႕ကို Keylogger အေနနဲ႕
ေတြမင္ရမွာမဟုတ္ပါဘူး။

သူ႕ကိုဘယ္လိုကာကြယ္မလဲ ?

Ctrl + Alt + Delete key သံုးခုကို တြဲႏွိပ္ျပီး Task manager ေခၚပါ။ျပီးရင္ အေပၚက Tab ေတြထဲက Process ID ဆိုတဲ့ Tab ကို သြားပါ။အဲ့မွာ အခုလက္ရွိ Run ေနတဲ့ Program ေတြကို ေတြ႕ရပါလိမ့္မယ္။
ကိုယ္မသကၤာတဲ့ Program ေတြကို ကလစ္ေပးျပီး End process လုပ္ေပးပါ။Update ျဖစ္တဲ့ Antivirus ေကာင္းေကာင္းတစ္ခုနဲ႕ Scan ဖတ္ေပးပါ။(အင္တာနက္ဆိုင္မွာ အဲ့လိုလုပ္ဖို႕က နည္းနည္းေတာ့ခက္မယ္ထင္တယ္)

Add-on Keylogger

သူကေတာ့ မိမိတို႕ကို Anti keylogger ပါ ... Anti Phishing ပါ ... Add-on လုပ္ထားပါ လို႕ ေၾကညာျပီး မိမိ ကို ေဒါင္းလု လုပ္ခိုင္းပါတယ္။မိမိက ယံုၾကည္ျပီး လုပ္လိုက္ရင္ေတာ့ မိမိအေကာင့္ရဲ့ User name နဲ႕ Password ေတြဟာ ဟတ္ကာ ဆီကို ေရာက္သြားမွာျဖစ္ပါတယ္။ဒါဆို သူလည္း Social Engineering ဘဲေပါ့။အမွန္ပါဘဲ။မိမိတို႕ ရဲ့ ကာကြယ္လိုစိတ္ကို အခြင့္အေရးယူျပီး မိမိတို႕ကို လွည့္စားျပီး
သူတို႕ရဲ့ေက်ာ့ကြင္းေထာင္ေျခာက္ထဲကို မေရာက္ေရာက္ေအာင္ စြဲေဆာင္တာပါ။အေပၚမွာ ကြၽန္ေတာ္ ေျပာခဲ့သလိုေပါ့။ဟတ္ကာတစ္ေယာက္က အေကာင့္တစ္ခုကိုဟတ္ေတာ့မယ္ဆို အဲ့ဒီအေကာင့္ကိုဟတ္လို႕ရမယ့္ နည္းလမ္းအားလံုးကို အသံုးျပဳၾကမွာပါဘဲဆိုတာ ... မွတ္မိၾကဦးမယ္ထင္ပါတယ္။တစ္ခုရွိတာက သူက Add-on ျဖစ္တဲ့အတြက္ မိမိတို႕ Add-on လုပ္ထားတဲ့ Browser မွာ မိမိတို႕လုပ္ေဆာင္တဲ့အခ်က္အလက္ကိုဘဲ မွတ္သားပါတယ္။သူမွတ္သားတာကေတာ့ မ်ားေသာအားျဖင့္ User name နဲ႕ Password ဘဲေပါ့ဗ်ာ။

သူ႕ကိုဘယ္လိုကာကြယ္မလဲ ?

အင္တာနက္ဆိုင္မွာ မိမိတို႕အသံုးျပဳေတာ့မယ္ဆိုရင္ ေတြကိုလည္း ေသခ်ာစစ္ေပးဖို႕ လိုအပ္ပါတယ္။
Mozilla Fire Fox မွာ စစ္ခ်င္တယ္ဆိုရင္ေတာ့ Setting \ Tool \ Add-on \ Extensions
Google Chrome စစ္ခ်င္တယ္ဆိုရင္ေတာ့ Settings ကိုဝင္ျပီး Extensions မွာ စစ္ၾကည့္ႏိုင္ပါတယ္။

Fake Google Talk



သူကေတာ့ အသံုးျပဳသူတို႕ကို မ်က္စိမွားျပီးဝင္ေရာက္လာေအာင္ Computer Dasktop ေပၚမွာ Gtalk အစစ္ပံုစံမ်ိဳးနဲ႕ တင္ထားတက္ပါတယ္။အဲ့လို Fake Gtalk မ်ဳိးမွာ Login ဝင္မိတယ္ဆိုရင္ 


ေဟာ့သလိုေလး ေပၚလာျပီး မိမိတို႕ရဲ့ User နဲ႕ Password ဟာ

  ေဟာ့သလိုေလး ဟတ္ကာ ဆီကို ေရာက္သြားမွာျဖစ္ပါတယ္။သူကလည္း Phishing လိုသေဘာမ်ိဳးပါဘဲ။

Gtalk အတု အစစ္ ဘယ္လိုခြဲျခားသိႏိုင္မလဲ ?

သူကေတာ့ အရွင္းဆံုးနဲ႕ အလြယ္ဆံုးပါဘဲ။နည္းလမ္းသိသြားရင္ေတာ့ လြယ္ကူသြားတာပါဘဲ။အတု အစစ္ခြဲျခားဖို႕အတြက္ ၎ Gtalk icon ေပၚမွာ Right Click ေထာက္ျပီး Properties ကိုသြားလိုက္ပါ။Application မွာ ၾကည့္ၾကည့္ရင္ အတုမွာ ဘာ Application မွမရွိဘဲ အစစ္မွာေတာ့ Application ေလးေတြရွိေနတာကို ေတြ႕ရပါလိမ့္မယ္။Phishing Fake Login page မွာဆိုရင္လည္း Address Bar မွာရွိတဲ့ လင့္ကုိၾကည့္ျပီး ခြဲျခားႏိုင္ပါတယ္။Fake Web Page ဆိုရင္ မိမိတို႕ ပံုမွန္ဝင္ေနၾက Link မဟုတ္ဘဲ ... အျခားလင့္တစ္ခုျဖစ္ေနတာကို ေတြ႕ရပါလိမ့္မယ္။ဒါဆိုရင္ Phishing ေပါ့ဗ်ာ။

သတိျပဳစရာအခ်က္မ်ား

မိမိတို႕ အင္တာနက္ဆိုင္မွာအသံုးျပဳတဲ့အခါ Login ဝင္တဲ့ User name နဲ႕ Password ဆိုတဲ့ေနရာေလးအာက္က Remember Password မွာ အမွန္မျခစ္မိဖို႕အေရးၾကီးပါတယ္။
User name တြ Password ေတြ နဲ႕ အျခား အေရးၾကီးတာေတြ ရိုက္ခ်င္တဲ့အခါ တိုက္ရိုက္မရိုက္ဘဲ Windows မွာ အသင့္ပါျပီးသား Program အေသးေလးတစ္ခုျဖစ္တဲ့ Notepad မွာ အရင္ရိုက္ျပီးမွ Copy ကူးယူပါ။ျပီးမွ မိမိတို႕ အသံုးျပဳမယ့္ေနရာမွာ Paste ခ်ျပီး Mouse ကိုသံုးျပီး Login လုပ္ပါ။User နဲ႕ Password ေတြ ရိုက္တဲ့ေနရာမွာလည္း ဟတ္ကာေတြမ်က္စိလည္ေအာင္ အျခားအပိုစာလံုးေတြပါ ရိုက္ထည့္ျပီးမွ ျပန္ဖ်က္ယူပါ။ဒါဆိုရင္ ဟတ္ကာဟာ Password ရယ္လို႕ အတိအက်မသိႏိုင္ေတာ့ပါဘူး။
Password ေပးတဲ့ေနရာမွာ ရိုးရွင္းတဲ့စာလံုးေတြကိုမသံုးဘဲ !@#$%^&* စာတာေတြ ၾကားညွပ္ထည့္ေပးပါ။ဘာလို႕ အဲ့လိုစာလံုးေတြထည့္ခိုင္းရလဲဆိုေတာ့ Facebook Hacker လို Software မ်ဳိးနဲ႕ ဟတ္တဲ့အခါမွာ အဲ့လိုစကားလံုးေတြက Software အတြက္ ရွာေဖြရခက္ခဲေနတက္ပါတယ္။အခုဆို Facebook လည္း တစ္ေန႕ထပ္တစ္ေန႕ Security ေတြ ျမင့္သည္ထပ္ ျမင့္လာပါျပီ။Facebook မွာဆို Password ကိုျမန္မာလိုေတြပါ ထည့္ေပးႏိုင္ပါတယ္။Keylogger ေတြအမ်ားစုဟာ ကီးဘုတ္က စာလံုးေတြအကုန္လံုးကိုမွတ္သားႏိုင္တယ္ဆိုေပမယ့္ ျမန္မာေဖါင့္ကိုေတာ့ သူတို႕ နားမလည္ၾကတဲ့အတြက္ မမွတ္သားႏိုင္ပါဘူး။

0 comments:

Post a Comment