ภัยคุกคามจากพร็อกซีที่อยู่อาศัย
(feistyduck.com)- พร็อกซีที่อยู่อาศัย คือการเบี่ยงทราฟฟิกผ่านที่อยู่บ้านหรือเอนด์พอยต์เครือข่ายลักษณะใกล้เคียง จึงเติบโตขึ้นตามความต้องการสแครปข้อมูลที่ต้องการหลบเลี่ยงการบล็อก IP ของดาต้าเซ็นเตอร์
- เว็บไซต์ต้องเปิดให้ผู้ใช้ทั่วไปเข้าถึงได้ ขณะเดียวกันก็ต้องกรองทราฟฟิกอัตโนมัติที่ไม่ต้องการออกไป และการสแกนจาก IP เดียวหรือจากเซิร์ฟเวอร์บนคลาวด์ก็มักถูกบล็อกได้อย่างรวดเร็ว
- เครือข่ายพร็อกซีอาจถูกสร้างขึ้นผ่านการฝัง SDK ลงในแอป หน้าจอขอความยินยอมที่ไม่เพียงพอ การแฮ็กราวเตอร์ หรืออุปกรณ์ราคาถูกที่มีมัลแวร์ติดตั้งมาล่วงหน้า และผู้ใช้อาจกลายเป็นส่วนหนึ่งของ บอตเน็ต โดยไม่รู้ตัว
- เมื่อเครือข่ายบ้านหรือองค์กรกลายเป็นโหนดทางออกของพร็อกซี ก็จะเกิดความเสี่ยงทั้งการใช้แบนด์วิดท์เพิ่มขึ้น การถูกบล็อกการเข้าเว็บไซต์ การถูกหน่วยงานสืบสวนเข้าตรวจสอบ และความเสี่ยงต่อการเข้าถึงเครือข่ายภายใน
- ในบ้านควรแยกอุปกรณ์สำคัญและเฝ้าดูปริมาณทราฟฟิก ส่วนในองค์กร การบล็อกอุปกรณ์ที่ไม่รู้จัก การใช้ Protective DNS ข่าวกรองภัยคุกคาม และการตรวจสอบทราฟฟิก เป็นแนวทางป้องกันที่ใช้ได้จริง
ทำไมพร็อกซีที่อยู่อาศัยจึงถูกใช้งาน
- พร็อกซีที่อยู่อาศัย โดยทั่วไปหมายถึงพร็อกซีที่ติดตั้งอยู่บนที่อยู่บ้าน และถูกนำไปใช้กับกิจกรรมอย่างการสแครปเว็บไซต์
- บริการอินเทอร์เน็ตต้องให้บริการแก่สาธารณะทั่วไป ขณะเดียวกันก็ต้องตรวจจับและกำจัดทราฟฟิกที่ไม่ต้องการ
- หากเฝ้าติดตามเว็บไซต์หลักจาก IP เดียว ก็มักถูกบล็อกอย่างรวดเร็ว
- แม้จะขยายการสแกนไปยัง IP เซิร์ฟเวอร์จากผู้ให้บริการคลาวด์หลายราย ทราฟฟิกจากดาต้าเซ็นเตอร์ก็ยังถูกบล็อกแบบยกชุดได้ง่าย
- ทางเลือกที่ฉวยโอกาสจากช่องว่างนี้คือการเช่าใช้ เอนด์พอยต์ที่อยู่อาศัย
ระหว่างการใช้งานที่ถูกกฎหมายกับการนำไปใช้ในทางที่ผิด
- การสแครปอาจเป็นพฤติกรรมที่ไม่พึงประสงค์ แต่ไม่ได้ผิดกฎหมายเสมอไป
- อย่างไรก็ตาม การสแครปอย่างเข้มข้น กลายเป็นปัญหาด้านการดำเนินงานที่เว็บไซต์ต้องป้องกัน
- วัตถุประสงค์การใช้งานมีได้ตั้งแต่กรณีที่ชอบธรรม เช่น การมอนิเตอร์เครือข่ายแบบเสียเงิน ไปจนถึงการนำไปใช้ในอาชญากรรม
- อาชญากรที่ต้องการโจมตีเว็บไซต์ก็มักใช้พร็อกซีที่อยู่อาศัยเพื่อซ่อนร่องรอย
- การแพร่หลายของ AI และ AI agent ยิ่งเพิ่มความต้องการ
- ผู้ให้บริการ AI ต้องการนำคอนเทนต์บนอินเทอร์เน็ตไปใช้ฝึกโมเดล
- ผู้ใช้ AI ต้องการมอบการเข้าถึงแบบไร้ข้อจำกัดที่ตนมีให้กับเครื่องมือด้วย
- ปัจจุบันเชื่อกันว่าบอตสร้างทราฟฟิกอินเทอร์เน็ตมากกว่ามนุษย์แล้ว
ความพยายามใช้การชำระเงินเพื่อเปลี่ยนเศรษฐศาสตร์ของการสแครป
- แนวคิดให้บอตจ่ายค่าเข้าถึงเพื่อปรับ เศรษฐศาสตร์ของการสแครป ถูกพูดถึงว่าเป็นทางออกที่เป็นไปได้
- Cloudflare เสนอแนวคิด pay-per-crawl ในปี 2025 และต่อมาก็ร่วมกับ Coinbase สร้าง x402 standard
- AWS เพิ่งเพิ่มความสามารถรองรับโปรโตคอลการชำระเงินนี้ในผลิตภัณฑ์ WAF
วิธีสร้างเครือข่าย: SDK และการขอความยินยอมที่ไม่เพียงพอ
- การดำเนินงานพร็อกซีที่อยู่อาศัยต้องใช้เอนด์พอยต์เครือข่ายจำนวนมากที่กระจายอยู่ทั่วโลก
- บางวิธีก็อยู่ในรูปแบบที่ดูเหมือนถูกกฎหมาย
- สร้าง ชุดพัฒนาซอฟต์แวร์ สำหรับอุปกรณ์ที่มีจำนวนมาก เช่น โทรศัพท์และทีวี
- จ่ายเงินให้นักพัฒนาแอปใส่ซอฟต์แวร์พร็อกซีลงในแอปพลิเคชัน
- ในกรณีแย่ที่สุด โค้ดพร็อกซีจะถูกแจกจ่ายอย่างเงียบ ๆ ไปพร้อมกับแอปฟรี
- แม้ในกรณีดีที่สุดก็ยังเป็นเพียงการแสดงหน้าจอขอความยินยอมให้ผู้ใช้ปลายทาง opt-in เพื่อเปิดให้เครื่องของตนทำหน้าที่เป็นโหนดทางออกของพร็อกซี แต่ก็ยังน่าสงสัยว่าผู้ใช้เข้าใจจริงเพียงพอหรือไม่
- รายงานของ Include Security เรื่องวิธีที่สมาร์ตทีวีในห้องนั่งเล่นของคุณกลายเป็นโหนดในเศรษฐกิจการสแครปของ AI อธิบายโครงสร้างนี้ไว้
- ตามข้อมูลของ Synthient ผู้เสียหายส่วนใหญ่คือผู้อยู่อาศัย
วิธีสร้างแบบผิดกฎหมาย: การแฮ็กราวเตอร์และมัลแวร์ที่ติดตั้งมาล่วงหน้า
- อีกแนวทางหนึ่งคือการสร้างเครือข่ายด้วยทุกวิถีทางเท่าที่ทำได้ รวมถึงวิธีผิดกฎหมาย
- การแฮ็กราวเตอร์ ยังเป็นวิธีสร้างเครือข่ายที่ได้ผลอยู่เสมอ
- มีการบันทึกกรณีที่อุปกรณ์ราคาถูกบางรุ่นถูกขายออกมาพร้อมมัลแวร์พร็อกซีที่อยู่อาศัยซึ่งติดตั้งไว้ล่วงหน้า
- ผู้ใช้อาจคิดว่าตนซื้อกรอบรูปดิจิทัลสำหรับรูปครอบครัว แต่แท้จริงมันอาจทำงานเหมือนม้าโทรจันและกลายเป็นส่วนหนึ่งของบอตเน็ต
- KrebsOnSecurity เผยแพร่รายงานเชิงลึก เกี่ยวกับวิธีดำเนินงานของเครือข่ายประเภทนี้
ผลกระทบต่อเครือข่ายภายในบ้าน
- หากโชคดี เรื่องอาจจบแค่มีคนใช้ IP ของคุณไปสแครปข้อมูลและกินแบนด์วิดท์เพียงบางส่วน
- หาก IP ของคุณถูกเชื่อมโยงกับเครือข่ายพร็อกซีที่อยู่อาศัย คุณอาจไม่สามารถเข้าถึงบางเว็บไซต์ได้อีกต่อไป
- ในกรณีเลวร้ายกว่าเดิม อาจมีคนใช้ IP ของคุณเป็นทางผ่านในการโจมตีไซเบอร์ จนทำให้ FBI หรือหน่วยงานรัฐในพื้นที่เข้ามาตรวจสอบ
- เครือข่ายพร็อกซีที่อยู่อาศัยกำลังถูกใช้มากขึ้นเรื่อย ๆ เป็นช่องทางให้ผู้ก่ออาชญากรรมเข้าถึง เครือข่ายภายใน
ความเสี่ยงจากการเข้าถึงเครือข่ายภายใน
- ผู้ให้บริการบางรายอ้างว่าจำกัดการเข้าถึง IP ส่วนตัวได้ แต่โค้ดลักษณะนี้มักเขียนได้ไม่ดีนัก
- ดูเหมือนว่าอุปกรณ์จำนวนมากที่ใช้ Android จะถูกส่งมอบมาพร้อม Android Debug Bridge ซึ่งออกแบบไว้เพื่อการแก้ปัญหาของผู้ผลิต
- เมื่ออยู่ในเครือข่ายเดียวกัน อุปกรณ์เหล่านี้อาจถูก root ได้อย่างรวดเร็ว
- ในเครือข่ายองค์กรก็มีหลักฐานของทราฟฟิกจากพร็อกซีที่อยู่อาศัยเพิ่มขึ้นเช่นกัน
- รายงาน ของ Infoblox ระบุว่า ในหมู่ลูกค้าที่ใช้บริการ Protective DNS มีมากถึง 65% ที่พบทราฟฟิกมุ่งหน้าไปยังเครือข่ายพร็อกซีที่อยู่อาศัย
- อัตราการตรวจพบในกลุ่มลูกค้า: {p:65}
จุดป้องกันสำหรับบ้านและองค์กร
- ในบ้าน อาจพิจารณาใช้ เครือข่ายเสมือน เพื่อแยกอุปกรณ์สำคัญออกจากอุปกรณ์อื่น
- การมอนิเตอร์ปริมาณทราฟฟิกก็ช่วยได้เช่นกัน
- แต่หากใครสักคนในบ้านยังสามารถติดตั้งแอปใหม่ลงบนทีวีได้ ก็ไม่มีวิธีแก้ที่แน่นอน
- ในสภาพแวดล้อมองค์กร การไม่อนุญาตให้อุปกรณ์ที่ไม่รู้จักเข้าถึงเครือข่ายคือแนวทางที่เหมาะที่สุด แต่ในทางปฏิบัติทำได้ยาก
- บริการ Protective DNS ที่รู้จักเครือข่ายพร็อกซีที่อยู่อาศัยที่พบได้บ่อย สามารถช่วยยับยั้งทราฟฟิกประเภทนี้และช่วยค้นหาอุปกรณ์ที่มีปัญหาได้
- อุปกรณ์บางชนิดอาจข้าม DNS แล้วเชื่อมต่อโดยตรงไปยัง IP address ที่ hardcode ไว้
- ในกรณีเช่นนี้ จำเป็นต้องมีข่าวกรองภัยคุกคามที่ดี รวมถึงการตรวจสอบและมอนิเตอร์ทราฟฟิกขององค์กร
1 ความคิดเห็น
ความคิดเห็นจาก Lobste.rs
อดประชดไม่ได้ว่า ใครกันนะที่ทำให้ตลาดแบบนี้เกิดขึ้นได้ 🙄
อุปกรณ์ IoT, สมาร์ตทีวี และอุปกรณ์เครือข่ายหลายร้อยล้านเครื่องไม่ได้รับอัปเดตอีกต่อไป และในหลายกรณีผู้ผลิตก็หายไปแล้ว
บางส่วนถูกส่งมาพร้อมมัลแวร์ตั้งแต่แรก แต่ส่วนใหญ่ก็แค่ถูกปล่อยทิ้งไว้ จนกลายเป็นปัญหาที่ไม่ใช่ความรับผิดชอบของใครคนเดียว แต่เป็นปัญหาของทุกคน
สงสัยว่ามีวิธีตรวจจับแบบง่าย ๆ ไหมว่าอุปกรณ์ในเครือข่ายภายในบ้านกำลังทำพฤติกรรมแบบนี้อยู่ นอกจาก เฝ้าดูแบบ man-in-the-middle
ดูเหมือนว่าเครื่องมือนี้จะใช้ตรวจได้ว่า IP ของฉันหรือ IP อื่นเคยมีร่องรอยว่าถูกใช้เป็น residential proxy หรือไม่
ไม่แน่ใจเรื่องความแม่นยำ และถ้าใช้ IP แบบไดนามิกก็ดูมีโอกาสส่งผลต่อผลลัพธ์
พอเจอท่อนที่บอกว่า “อุปกรณ์จำนวนมากที่ใช้ Android ถูกส่งมาพร้อมกับการเปิด Android Debug Bridge ไว้สำหรับให้ผู้ผลิตแก้ปัญหา และสามารถรูทอุปกรณ์ได้ง่ายจากเครือข่ายเดียวกัน” ก็เลิกเชื่อทันที
ตอนทดสอบบิลด์ใหม่หรือดีบักในแล็บ การใช้
adb remoteกับอุปกรณ์นั้นสะดวกมาก และในสถานการณ์ที่ต้องพัฒนาแบบวนซ้ำอย่างรวดเร็ว การแยกบิลด์สำหรับพัฒนาออกจากบิลด์ที่ส่งให้ลูกค้าก็เป็นเรื่องยุ่งยากฉันเองก็เคยหยุดไม่ให้อุปกรณ์ที่ เปิด ADB กว้าง ๆ ถูกส่งออกไปครั้งหนึ่ง และตอนนั้นก็โวยเรื่องนี้ไว้พอสมควร
ที่อื่นอาจปล่อยผ่านกันไปก็ได้
หนึ่งในบริษัทที่ขาย residential proxy คือ Bright Data และมีพูดถึงใน บทความที่ลิงก์ไว้ ด้วย
ว่ากันว่าพวกเขาใช้ เส้นทางผ่าน SDK โดยฝังพร็อกซีไว้ใน SDK ที่ตัวเองให้บริการ
ทั้ง Meta และ X พยายามสู้แต่ก็แพ้