Hacker Here ตอนที่ 2

Digital Holes : ตอน Hacker Here ที่นี้มีแฮกเกอร์ ตอนที่ 2 

เวลาขณะนี้ 11:05 น. 
“ส่วนคุณนนท์ ภายใน 2 ชั่วโมงนี้หากคุณช่วยเราได้ ดังนี้
(1) Web Server อันมี Application ที่ ผอ. และคณะ จำเป็นใช้เพื่อสาธิตการให้บริการประชาชน กับมาใช้งานได้อย่างปกติ
(2) หน้าเว็บไซต์หลักของโรงพยาบาลกลับมาใช้งานได้ปกติ
(3) หาสาเหตุของการที่ Web Server ทำงานผิดปกติ
(4) แนะนำทางแก้ไขเพื่อไม่เกิดปัญหานี้อีก

ผมมี งบค้างท่ออยู่ จำนวนไม่มาก ประมาณ 40,000 บาท คุณจะขอมากกว่านี้คงไม่ได้เพราะทางผมมีให้แค่นี้ แต่หากคุณช่วยเราไม่ได้ตามข้อที่กล่าวมาเงินก้อนนี้จะจ่ายเพียงค่าน้ำมันให้คุณเท่านั้น ส่วนอาหาร น้ำดื่มนั้นวันนี้ผมเลี้ยงพวกคุณเอง โทษทีนะวงเงินนี้ผมอนุุมัติได้ เซ็นได้เลยถ้าไปมากกว่านี้เรื่องจะยาวแล้ว” องอาจ พูด ด้วยน้ำเสียงชัดเจน สมเป็นหัวหน้าแก๊ง

ธีรานนท์คิด “องอาจ นี้เขาชัดเจนดี ส่วนใหญ่ที่เจอให้เราทำก่อนทุกที งบประมาณค่าจ้างอะไรไม่เคยคุยกลางที่ประชุมให้คนอื่นรับรู้ด้วย ไม่ก็ตั้งงบปีหน้าไปโน้นเลย  หรือโดนใช้งานฟรี เสมือนมูลนิธิอย่างไงอย่างงั้น”

ธีรานนท์ กล่าวขึ้นมาว่า  “พวกเราได้เลือกมาอยู่ที่นี้แล้ว และทางคุณองอาจ ก็ไว้ใจให้เรามาทำงานนี้ ผมรับทำโดยไม่ต่อรองใดๆ”
“ภายใน 2 ชั่วโมง ต่อจากนี้ผมจะแก้ไขปัญหาที่พวกคุณประสบอยู่ให้กลับมาใช้งานได้อย่างปกติ”  ธีรานนท์ กล่าว

เมื่อทุกคนได้ฟังเช่น จากสีหน้าที่เคร่งเคลียด กลับเปลี่ยนเป็นมีความหวังขึ้น

ธีรานนท์กล่าว “เริ่มงานแจกแจงงานเป็น 2 ส่วน คือการ Recovery และ Analysis
(1) Recovery ให้หาจอมาต่อที่หน้าเครื่อง Web Server และให้ boot OS ผ่าน USB (เป็นเครื่องมือหากินของทาง Ghostnet Buster Team :GBT)
จากนั้นเมื่อเข้า OS (Operating System) ได้แล้ว  ทางเราจะทำการขอ cloning Harddisk เครื่องนี้ด้วย  เราจะไม่ทำอะไรกับเครื่อง Web Server จริง เผื่อว่าทางนี้ต้องการ
หาผู้กระทำผิดมาลงโทษตามกฎหมาย ก็จะได้คงเหลือหลักฐานทางดิจิทัลเพื่อให้ตำรวจได้
ส่วนนี้อ๊อด ลุยได้เลย”

(2) Analysis วิเคราะห์เส้นทางการติดต่อสื่อสาร และ export log จาก อุปกรณ์ Log management มาดูอย่างน้อยต้องดูย้อนหลังได้ 90 วัน ตามกฎหมายกำหนด
“ส่วน Analysis  ขอคนที่รู้แผนผังระบบเครือข่ายและการเชื่อมต่ออินเทอร์เน็ตทั้งหมด ของโรงพยาบาลที่นี้มา และ Log ที่คุณส่งค่ามามาจากอุปกรณ์ไหนบ้างนั้น มาคุยกับผม”
ธีรานนท์พูดต่อ

ธีรานนท์คนนี้ ทุกเช้า เขามักจะชอบมานั่งอ่าน Log เป็นประจำ ปกติเขาตื่นประมาณ ตี5 ของทุกวัน เริ่มต้นจากการอ่าน Log ที่เกิดจากระบบ Honeynet
ที่เขาสร้างขึ้นในหลายประเทศเป็น VPS กระจายไปที่อเมริกา อังกฤษ ญี่ปุ่น สิงค์โปร และประเทศไทย เขาสร้าง sandbox ประเภท malware analystic
เพื่อศึกษาการโจมตีทางไซเบอร์ (Cyber Attack) โดยเฉพาะรูปแบบการโจมตีที่เรียกว่า APT (Advance Presistance Threat)
ที่เขาสังเกตว่ามีมากขึ้นเรื่อยๆจากกองทัพไซเบอร์ไร้ที่ไร้ตัวตน (Anoymous) เมื่อพบ log file ที่มีรูปแบบที่น่าสนใจ เขาก็นำเข้าสู่กระบวนการวิเคราะห์ผ่าน Packet sniffer
แล้วเขานำมาเขียนเป็น signature เพื่อสร้าง rule ในการป้องกัน เช่น snort , suricata , bro-ids และ yara ซึ่งเขามีทักษะการเขียน rule ได้เป็นอย่างดี
รวมทั้งเขาอยู่ในกลุ่ม community IOC (Indicator of Compromise) ที่ทำให้เขารู้ว่า รูปแบบของโจมตีได้อย่างแม่นยำและถูกต้องมากขึ้น

ทั้งหมดนี้ถือว่าเป็นงานอดิเรกที่เขาด้วยความเต็มใจ และมีความสุขที่ได้ ได้เรียนรู้ อันสร้างความแข็งแกร่งในตัวเขาอย่างต่อเนื่องมาถึงทุกวันนี้
จนเขายึดเป็นอาชีพอันสุจริตที่หาเลี้ยงชีพตอนเองได้มาจนถึงทุกวันนี้

พูดง่ายๆว่าที่รายได้ส่วนหนึ่งให้บริษัท Ghostnet Buster Team (GBT) อยู่รอดได้ ก็มาจากเขาในการส่ง signature เข้าโรงงานอุตสาหกรรมด้านระบบรักษาความมั่นคงปลอดภัยทางข้อมูล
ให้กับบริษัทยักษ์ใหญ่ ซึ่งเป็นบริษัทข้ามชาตินี้เอง

++++++++++++++++++++++++++++++++
เสริม
Honeynet คือ การสร้าง Honeypot รวมกันให้กลายเป็นระบบเครือข่าย โดย Honeypot นั้นจะเป็นการสร้าง OS หรือ Application ที่รันอยู่ให้มีช่องโหว่ตาม
CVE (Common Vulnerability and Exposures หน่วยงานที่ประกาศและกำหนดหมายเลขช่องโหว่ที่ค้นพบ ส่วนใหญ่หาก CVE ประกาศแล้วหน่วยงานไหน
ที่ยังมีช่องโหว่นั้น ก็จะไม่มีความปลอดภัย เพื่อถือว่าช่องโหว่นี้เป็นที่รับรู้กันทางสาธาระแล้ว) honeynet ยังคงอยู่ในรูปแบบ VM (Virual Machine)
สร้างเครื่องเสมือนมากกว่า 1 เครื่องแล้วจำลองให้เป็นระบบเครือข่ายภายในคอมพิวเตอร์ตัวเดียวก็ได้ ซึ่งเป็นเทคนิคที่ธีรานนท์ ทำขึ้นในการติดตั้งหลายประเทศ

VPS: Virtual Private Server คือ VM ประเภทหนึ่งที่ผู้ให้บริการติดตั้งผ่านระบบ Cloud computer ให้เรา creat (สร้าง) จาก image OS ที่ต้องการแล้วรันในเครื่องพร้อมทั้ง
ค่า IP Address ที่เป็น Public เพื่อใช้ในการติดต่อสื่อสาร

snort : โปรแกรม IDS (Intrusion Detection System) เป็น Open source เป็นที่นิยมใช้งานมากที่สุด ปัจจุบันบริษัท SourceFire เป็นผู้ดูแลและ
ล่าสุดบริษัท Cisco บริษัทยักษ์ใหญ่ในการทำระบบเครือข่ายได้เข้ามาควบรวมกิจการกับ SourceFire ขึ้น มีการทำเป็นผลิตภัณฑ์อุปกรณ์ตรวจจับในเชิงพาณิชย์มากขึ้น  www.snort.org

suricata : โปรแกรม IDS(Intrusion Detection System) เป็น Open source ได้รับความนิยมมากขึ้นและการทำงานเหมือน snort การเขียน rule ก็เหมือนกันไว้เป็นการทดแทน
snort ได้ระดับหนึ่ง   www.suricata-ids.org

bro-ids : เป็นโปรแกรม IDS อีกประเภทหนึ่ง ซึ่งเป็นตัวที่เก่าแก่ที่สุดและมีพัฒนาการช้าที่สุด แต่ในช่วงปี 2011 เป็นต้นมาเริ่มได้รับความนิยมมากขึ้น ทางเลือกสำหรับ hardcore IDS เนื่องจาก rule ที่เขียนค่อนข้างอิสระและทำอะไรได้มาก เป็นตัวที่เล่นยากเอกสารอ่านยังถือว่าน้อยอยู่

ทั้ง 3 โปรแกรมส่วนใหญ่ใช้มาในงาน Network Security Monitoring (NSM)

yara : โปรแกรมวิเคราะห์พฤติกรรมการติดเชื้อมัลแวร์ (Malware) โดยสามารถเขียนเป็น rule base เพื่อเพิ่มการตรวจจับ เป็นพื้นฐานของโปรแกรมแอนตี้ไวรัสในยุคใหม่

sandbox : คือ การจำลองระบบปฏิบัติการเสมือนซ้อนเข้าไปกับระบบปฏิบัตการจริง (Operating system) ใช้ในการวิเคราะห์ว่าพฤติกรรมการต่างๆได้ดีโดยไม่มีผลกับระบบปฏิบัติการจริงที่เป็นอยู่ จึงนำมาเป็นตัววิเคราะห์พวก Malware และ ไวรัสคอมพิวเตอร์ ที่ใช้ในงานวิจัยและพัฒนา sandbox นำมาประยุกต์ใช้กับเทคโนโลยีการวิเคราะห์ Malware แบบไม่ต้องใช้ฐานข้อมูลจาก signature ได้

APT (Advance Presistance Threat) การโจมตีที่เจาะจงเป้าหมาย และมีจุดประสงค์ชัดเจนในการโจมตีเพื่อเข้าถึงระบบ เช่น ต้องการได้ข้อมูลที่สำคัญขององค์กร ขโมยข้อมูลเพื่อนำขายในตลาดมืด หรือเผยแพร่ทางสื่อออนไลน์เพื่อสร้างความเสียหายหรือการใช้ระบบเครือข่ายหรือเครื่องคอมพิวเตอร์แม่ข่ายที่สำคัญมาใช้งานเพื่อสร้างความเสียหายหรือโยนการกระทำความผิดนั้นให้องค์กรหรือหน่วยงานนั้น
ถือว่าเป็นภัยคุกคามที่มีแฮกเกอร์วางแผนอยู่เบื้องหลัง

sniffer คือโปรแกรมในการดักรับข้อมูลบนระบบเครือข่ายคอมพิวเตอร์  การใช้ sniffer สามารถมองเห็นข้อมูลที่ไม่มีการเข้ารหัสได้ทั้งหมด  ดังนั้นการตีความ sniffer
ต้องดูที่เจตนาผู้ใช้งาน หากต้องการใช้ sniffer เพื่อการวิเคราะห์ หรือจัดทำการเขียน signature ก็เป็นอาชีพที่ต่างประเทศทำกันมักจะมีมูลค่าในการทำงานในส่วนนี้พอสมควร
ส่วนเจตนาใช้ sniffer ดักจับข้อมูลที่เป็น plain text หรือไม่มีการเข้ารหัส  โดยมุ่งเน้นเป็นข้อมูลส่วนตัว หรือ ข้อมูลความลับ เช่น password ส่วนนี้จะเข้าข่ายการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
ได้ ดังนั้นจึงต้องแยกแยะในการใช้งาน sniffer ด้วย

IOC (Indicator of Compromise) ค่าบ่งขี้เพื่อบอกได้ว่ามีการโจมตี (Cyber Attack) เกิดขึ้นจริง ซึ่งอาจนำค่า Log จากอุปกรณ์ พวก NSM หรือ SIEM /Log management มาเปรียบเทียบเหตุการณ์ที่เกิดขึ้นว่ามีโอกาสถูกโจมตีหรือไม่  ซึ่งค่า IOC เป็นการบ่งชี้ที่ค่อนข้างแน่ชัดว่าเกิดเหตุการณ์นั้นอย่างแท้จริง และยังสามารถระบุค่าไอพีแอดเดรสผู้โจมตีและเครื่องที่ถูกโจมตีได้อีกด้วย

++++++++++++++++++++++++++++++++++++++++

“ส่วนคุณองอาจ ช่วยกรอกข้อมูลบน Incident Response Report Form เพื่อเป็นหลักฐานว่ามีการปฏิบัติงานนี้ขึ้นมาแล้ว” ธีรานนท์ หยิบกระดาษในแฟ้มออกมาจากเป้สะพาย .. แล้วยื่นให้องอาจ กรอกข้อมูล

11:20 น.  ทุกคนรับแผนการของธีรานนท์

อนันต์นำอ๊อดไปต่อจอในห้อง IDC ที่อยู่ข้างๆ  ส่วนวิชัยถึงแม้จะดูเรื่องระบบ account username แต่เขาก็เป็นผู้รู้ช่องทางการติดต่อสื่อสารของโรงพยาบาลนี้ทั้งหมด และเขามีไฟล์แผนผังระบบเครือข่าย

“พี่เชิญทางนี้ครับ” วิชัยกล่าว แล้วพาธีรานนท์เข้าที่โต๊ะ
เปิด file Network diagram ที่มีการ update เมื่อวันที่ 3 กุมภาพันธ์ 2558

“เรามีเส้นทางเชื่อมต่ออินเทอร์เน็ต  2 เส้นทาง ทำเป็น Load balancer โดยทำการเชื่อมต่ออินเทอร์เน็ตบริษัท True Internet ใช้เทคนิค DSL และ 3BB Broadband เป็น FTTX
ส่วน Broder Network เราทำ Load Balancer ผ่านอุปกรณ์ Firewall แล้ว router ที่ทาง ISP ให้มาเราทำเป็น Bridge mode การ Authentication PPPoE เราให้ Firewall จัดการ
เรามี Firewall 2 ตัว ทำงานแบบ HA (High Availability) แบบ active – active  มีค่า IP Address ที่เป็น Public 2 ค่าคือที่ได้จาก True และ 3BB นั้นเอง

Firewall เราทำหน้าที่แบ่งระบบเครือข่าย ออกเป็น WAN  LAN และ DMZ   ส่วน WAN ของเรามีการให้ remote VPN จากภายนอกเข้าได้  แต่จำกัดสิทธิมาก และมีการระบุตัวตน two factor
โดยต้องใช้อุปกรณ์ token มาใช้ร่วมด้วย ส่วน LAN เราประกอบด้วย 4 VLAN ตามแผนกงานในโรงพยาบาล และ DMZ เรามีติดต่อโลกภายนอก (อินเทอร์เน็ต) อยู่ 4 เครื่อง  และ 6 เครื่อง Server นั้นอยู่ใน LAN ที่เป็น Secure zone ”  วิชัย กล่าวโดยไม่ต้องใช้โพยใดๆ
ธีรานนท์ ถามต่อ “ที่โรงพยาบาลนี้มีสาขาไหมครับ คือมีอยู่ที่อื่นนอกจากที่นี้ไหมครับ”
วิชัยตอบ “ตอนนี้ยังไม่มี มีที่นี้ที่เดียวแต่ปีหน้าเรามีแผนที่ต้องเชื่อมระบบกับที่ บางนา เราสร้างตึกใหม่เสร็จ เป็นอาคาร Hi-tech ใช้เงินลงทุนกว่า 3,000 ล้านบาท
แต่ระบบสื่อสารยังไม่เชื่อมและยังไม่เปิดใช้บริการครับ อยู่ในระหว่างก่อสร้าง เมื่อสร้างเสร็จทางโรงพยาบาลมีแผนให้เป็น hub ด้านการรักษาพยาบาลรองรับ AEC เพราะลงโรงพยาบาลอยู่ใกล้
สนามบินสุวรรณภูมิครับ” วิชัยกล่าว

“โอ้ !!! ผมเคยเห็น” อ๊อด แทรก ระหว่างที่อ๊อดจัดเตรียมเครื่องเพื่อเข้าไปห้อง IDC กับ อนันต์  อ๊อดเดินหย่องๆ ราวกับพิงค์แพนเตอร์หนีเมีย มาแอบฟังการสนทนา “ผมเคยขับรถผ่าน ผมนึกว่าห้างสรรพสินค้าใหญ่มากครับ ไม่น่าเชื่อว่าเป็นโรงพยาบาล” อ๊อดกล่าว  และเดินเข้าห้อง IDC ต่อไป

ธีรานนท์ ถามต่อ “ช่วยขยายความโซนทั้ง 4 ที่ถูกแบ่งด้วย VLAN ได้ไหมครับ” พร้อมใช้ปากกาจดบันทึกข้อมูลลงในสมุดโน้ต

วิชัย ผมคงบอกได้คราวๆ นะครับ คือไม่บอกเจาะจงเป็นค่าไอพี แต่จะบอกเป็นช่วงไอพีแล้วกัน 4 โซนนั้น

ประกอบด้วย
Zone 1 System Admin คือของห้องนี้  โซนนี้มี Policy ที่ค่อนข้างเปิด เพื่อให้พวกเราทำงานได้อย่างสะดวกครับ   IP อยู่ที่ 172.16.5.0/24
และเรานำ Server สำคัญมาอยู่ที่นี้ด้วย

Zone 2 Out Source  ประกอบด้วย 2 ย่านไอพี แต่เข้าถึงกัน คือสำหรับโปรแกรมจากบริษัทนอกมาพัฒนาซอฟต์แวร์ IP อยู่ที่ 192.168.1.0/24 และ กลุ่มงาน Help Desk support
อยู่ที่ 192.168.2.0/24  Policy มีความเข้มข้นขึ้นครับคือมีการจำกัดสิทธิในการเข้าถึงข้อมูล

Zone 3 พนักงานทั่วไปของโรงพยาบาล เช่น ทรัพยากรบุคคล (10.10.1.0/24) , บัญชี (10.10.2.0/24) , เจ้าหน้าที่ธุรการ (10.10.3.0/24) , พยาบาล (10.10.4.0/24)
ตรงนี้เราคุมเข้มครับแม้แต่ USB ก็เสียบไม่ได้ ลงซอฟต์แวร์อะไรไม่ได้เลย  เรากลัวเรื่องไวรัสคอมพิวเตอร์ IP 10.10.10.0/24

Zone 4 สำหรับผู้บริหาร รวมทั้งคุณหมอ ที่เป็นพนักงานประจำที่นี้และไม่ประจำ (172.16.2.0/24)  ตรงนี้เราค่อนข้างปล่อยเหมือนกันครับ ไม่อยากมีปัญหากับท่านๆ อิอิ

แต่ละโซนเราใช้ subnet  เป็น class C หมดครับ และทุกโซนถูกควบคุมด้วย AD (Active Directory) ด้วยกัน 2 ตัวทำ HA (Hight Availability)  AD ตัวนี้ใช้ Windows Server 2008
กำหนด Policy โดยผ่านการ Audit และการประเมินความเสี่ยงตาม Compliance HIPAA ด้วยครับ
วิชัยตอบ ราวกับร่วมอยู่ในการทำงานมาโดยตลอด
ธีรานนท์ ทำการขีดเขียนวาดรูปตามความเข้าใจ และนั่งนิ่งพิจารณาถึง flow ของการติดต่อสื่อสาร

++++++++++++++++++++++++++++++++++++++
เสริม
HIPAA Compliance คือ มาตรฐานด้านความมั่นคงปลอดภัยทางข้อมูลประเภทสำหรับผู้ให้บริการทางการแพทย์ซึ่งในประเทศสหรัฐอเมริกาจัดเป็นกฎหมายที่ต้องให้ความสำคัญข้อมูลส่วนบุคคลสำหรับการแพทย์การรักษาพยาบาล เช่น ข้อมูลทางการแพทย์ กรุ๊ปเลือด รหัสทางพันธ์กรรม ซึ่งนำเข้าสู่ระบบคอมพิวเตอร์และเป็นข้อมูลที่ต้องมีระบบรักษาความมั่นคงปลอดภัยที่ดีพอ เพราะบางข้อมูลอาจส่งผลต่อชีวิตของผู้ใช้บริการได้ กฎหมายนี้ชื่อเต็มว่า “Health Insurance Portability and Accountability Act” เมืองไทยยังไม่มีการบังคับใช้มาตรฐานตัวนี้

ห้อง IDC : Internet Data Center เป็นห้องที่สำคัญคือเป็นศูนย์กลางการเชื่อมต่อข้อมูลทั้งหมดของโรงพยาบาลนี้ ทั้งที่เก็บ Server เครื่องแม่ข่ายที่สำคัญ ระบบอินเทอร์เน็ต และการสื่อสารทั้งชุมสายที่โทรติดต่อภายในหน่วยงาน รวมอยู่ที่นี้

++++++++++++++++++++++++++++++++++++++

แล้วธีรานนท์ ถามต่อว่า “แล้วระบบ Wifi ล่ะครับ?”
อ๋อผมลืม วิชัยกล่าว “Wifi ทางผู้บริหารต้องการให้เป็น Free Wifi เพื่อให้บริการลูกค้าที่มาใช้งานโรงพยาบาลของเรา ”  ทางเราจะแยกออกเป็นอีกระบบเลยครับ โดยผ่าน Firewall แยกแบบเดียวกับ DMZ และใช้ AD อีกตัวโดยใช้ตัว Wifi Controller มาบริหารจัดการ  เราแบ่ง Wifi 2 zone คือ โซนพนักงานตัวนี้จะไปเชื่อมกับ VLAN โซนที่ 3  แต่จะได้ IP ในช่วง 10.10.5.0/24 เพราะโซนนี้เราคุมเข้ม ส่วนพวก Free wifi ไปอยู่ใน ช่วงIP 10.10.6.0/24  ก็ค่อนข้างปล่อยครับลูกค้าเรามี Devices ที่หลากหลายเราไม่สามารถบังคับให้มา join AD ของเราได้
ดังนั้นตัวนี้จึงค่อนข้างปล่อย

แล้วธีรานนท์ ถาม แล้วโซน Free wifi ของเรานี้เรามี NIDS/IPS ตัวตรวจจับไหมครับ
วิชัยตอบ คนที่มาขาย Wifi Controller บอกว่ามีนะครับ Access Point ที่ติดตั้งตามจุด สามารถ Alert การโจมตีได้ โดยส่งค่าไปที่ Wifi Controllerจากนั้น Wifi controller ของเราจะส่ง syslog ไปเก็บที่ Log Management ที่พี่องอาจ ดูอยู่ครับ แต่อย่างไรผมไม่เคยใช้งานตัวนี้เพราะไม่ได้อยู่ในคณะกรรมการตรวจรับ Wifi controller นี้ครับ เป็นอีกชุดหนึ่ง  เราซื้อมาได้เป็นปีแล้วครับ พี่องอาจอยู่ในคณะกรรมการ

“แล้วตัว Web Server ที่มีปัญหานั้นอยู่ DMZ โซนหรือเปล่าครับ” ธีรานนท์ถามต่อ
ใช่ครับ DMZ ก็ประกอบด้วย VPN Server , Mail Server , Web Server  อีกตัวคือ NIDS โดยเราใช้ตัวนี้ทำการ passive mode ทำการสำเนาข้อมูลทุก VLAN เพื่อ monitor ข้อมูลจราจรคอมพิวเตอร์ครับ เป็นการดูข้อมูลภายในองค์กร

“คุณมี Web Application Firwall (WAF) ไหม ?”  ธีรานนท์ ถามต่อ
“เราใช้ Firewall ตัวละ 7 หลักของเราป้องกันพวกนี้ได้อยู่แล้วครับ มันเป็นระดับ Application Firewall”
วิชัยตอบ

แล้วคุณมีการประเมินความเสี่ยงหาช่องโหว่ที่พบบ่อยแค่ไหน ? คือมี VM (Vulnerability Management) ในองค์กรหรือเปล่า ? ธีรานนท์ถาม
“เราจ้างบริษัทข้างนอกมา Audit ให้เราครับ ส่วนการสแกนช่องโหว่เราทำ ปีละ 2 ครั้งสำหรับ Server ที่สำคัญ อนันต์ดูอยู่ โดยการสแกนนั้นเราจ้างมืออาชีพมาทำให้ครับ ทั้งทำ Penetration test และ Vulnerability Scanner เท่านั้นครับ” วิชัย กล่าวต่อ

ธีรานนท์ ถาม “แล้ว Log Management อยู่โซนไหนครับ” วิชัยบอกว่า “อยู่ โซน System Admin แต่เราตั้ง subnet อีกช่วงหนึ่ง เป็น 172.16.99.0/24”
ติดต่ออินเทอร์เน็ตได้หรือเปล่าเครื่องนี้  ธีรานนท์ถามต่อ
วิชัยบอกว่า “จำเป็นต้องให้ติดต่อได้ เนื่องจาก Time sync เราตั้ง server เป็นสถาบันมาตรวิทยา”

“แล้ว System Admin โซนนี้ประกอบด้วย Server อะไรบ้าง พอบอกได้ไหม ?” ธีรานนท์ ถามอย่างเกรงใจ

วิชัยตอบทันที  ก็มี Log management server 1 ตัว ,  AD Server 2 ตัว , ERP Server 1 ตัว , Wifi Controller 1 ตัว , Anti-virus server 1 ตัว

“คุณใช้อะไรกำหนด AAA ใช้ NAC (Network Access Control) ไหม ?” ธีรานนท์ ถาม
“เราใช้ VLAN และ AD คู่กันในการกำหนด AAA ก็น่าจะเพียงพอแล้ว ผมกับพี่องอาจหารือกันแล้วว่าจะไม่ใช้ NAC” วิชัยตอบ

“ระบบ Authentication (ระบบระบุตัวตนผู้ใช้งาน) นั้นผ่าน LDAP หรือเปล่าครับ” ธีรานนท์ถามต่อ
“ใช่ครับ เราใช้ LDAP จาก AD (Active Directory) เครื่องคอมพิวเตอร์ทุกเครื่องที่เป็น Client ต้องทำการ Join Domain มาที่นี้ครับ” วิชัยกล่าวต่อ ส่วน รายชื่อพนักงานทั้งหมด วันเวลาที่ใช้งาน ถูกเก็บบันทึกไว้ที่ AD ครับ ส่วน Log file ส่งค่า syslog ไปเก็บที่ Log Management ของพี่องอาจ”

ธีรานนท์ทำการบันทึก พร้อมทั้งพอทราบแล้วว่าที่นี้อ่อนแอส่วนใด

++++++++++++++++++++
เสริม
DMZ : (Demilitarized Zone) คือโซนที่มีการติดต่อระหว่างอินเทอร์เน็ตและเครือข่ายภายในองค์กร ดังนั้นโซนนี้ต้องการความปลอดภัยสูง 
AD : (Active Directory) คือ ตัวควบคุมนโยบายในการใช้งานระบบสารสนเทศ โดยกำหนดสิทธิการใช้งาน การเข้าถึงข้อมูล และการใช้โปรแกรม เป็นเทคโนโลยีของบริษัท Microsoft 

LDAP (Lightweight Directory Access Protocol) อ่านว่า แอล-แด็บ เป็น Protocol ชนิดหนึ่งที่ใช้เสมือนฐานข้อมูลเก็บรายชื่อผู้ใช้ ระดับการเข้าถึงใช้งาน ประเภทการใช้งาน ใช้คู่กันกับ AD (Active Directory) สำหรับหน่วยงานไหนที่ใช้ AD อยู่แล้วจะมีการกำหนดสิทธิและนโนบายการเข้าถึงข้อมูลจากจุดเดียวได้

ซึ่ง AD นั้นในประเทศไทยจะมีเฉพาะหน่วยงานขนาดใหญ่ใช้งานกัน เนื่องจากราคาค่อนข้างสูง

Vulnerability Management : คือกระบวนการประเมินความเสี่ยงระบบสารสนเทศโดยการใช้เทคโนโลยีท VA (Vulnerability Scanner) เพื่อค้นหาช่องโหว่ และเมื่อพบช่องโหว่จะสามารถแจกแจงและหมอบหมายงาน (assign) ให้ผู้ที่เกี่ยวข้องและมีหน้าที่รับผิดชอบงาน (เพื่อเปิดจ๊อบ) ได้ทำการป้องกันปิด patch อันอาจจะทำให้เกิดความเสียหายได้ เพื่อให้ระบบมีความมั่นคงปลอดภัยอย่างต่อเนื่อง

Penetration test คือบริการทดสอบเจาะระบบโดยเสมือนเป็นแฮกเกอร์ที่จะสามารถสร้างความเสียหายให้กับองค์กร ทุกๆปี หน่วยงานขนาดใหญ่จะมีการจ้างเจาะระบบเพื่อดูส่วนงานที่เกิดขึ้น และที่สำคัญนั้นมีความเสี่ยงที่ถูกเจาะระบบได้หรือไม่ ?

AAA คือ Authentication (การระบุตัวตน) Authorization (การระบุสิทธิการใช้งาน) Accounting (รายชื่อผู้ใช้งาน)  และมีอีก A คือ Auditing (ประวัติการเก็บบันทึกการใช้งาน Log นั้นเอง) 

NAC (Network Access Control) เป็นเทคโนโลยีที่ใช้ในการกำหนดค่า AAA  โดยมีทั้งเป็นแบบฮาร์ดแวร์ติดตั้งแทน Switch หรือเป็นซอฟต์แวร์ก็ได้ ปัจจุบัน NAC มาเชื่อมกับเทคโนโลยีที่ใช้ตรวจจับและวิเคราะห์ Malware ราคายังสูงอยู่

++++++++++++++++++++++


ธีรานนท์ถาม “แล้ว 2 คนที่นั่งอีกห้องหนึ่งด้านหลังคุณ เป็น System admin ด้วยหรือเปล่าครับ”
พร้อมหันไปดู ซึ่งระยะห่างประมาณ 30 เมตรโดยประมาณ แล้วมีม่านพลาสติกกั้นเป็นริ้วๆ และกระจกใสกั้น มองเห็นได้ด้วยตาเปล่า

วิชัยตอบ “2 คนนั้นเป็น out source มาเขียนโปรแกรม ERP ให้กับทางโรงพยาบาล  มาจากบริษัท Odyssey Soft Corporation
ที่นั่งหันหน้ามาทางห้องพวกเราชื่อ ศิรินท์ หรือ ริน  และที่หันข้างให้พวกเรา ชื่อ พีระวัฒน์ หรือ พุก เขาทั้ง 2 อยู่ที่นี้มากว่า 3 เดือนแล้ว”

ธีรานนท์ กล่าว “Odyssey Soft ที่ได้งานทำฐานข้อมูลบัตรประชาชนทั่วประเทศไปหรือเปล่าครับ ?”

“ใช่ครับ” วิชัย ตอบ

“พี่ทำไง เสียบ Thumb drive เข้าที่ช่องเสียบของ Server แล้วแป๊บเดียวก็เข้าระบบได้” อนันต์ถามอ๊อด ด้วยความประหลาดใจ

“เราอยู่หน้าเครื่องแล้วนี้ครับ .. เราจะทำอะไรกับมันก็ได้” อ๊อดตอบ
“Thumb drive  มีโปรแกรมอะไรอยู่หรือเปล่าครับ” อนันต์ถาม
อ๊อดกำลัง recovery user root  แล้วตอบว่า “ผมจัดคอร์สสอนเรื่องนี้อยู่ครับ สนใจมาเรียนกับผมป่ะ ลงชื่อได้ ผมให้ราคาพิเศษเลยล่ะ” อ๊อดตอบ

อนันต์ยืนนิ่ง  ^_^!

“เออพี่ผมไม่ค่อยมีตัง เรียนฟรีได้ป่ะครับ ผมอยากเก่งเหมือนพี่นะครับ”

อ๊อดไม่ตอบอะไร

จากนั้นอ๊อดก็กล่าวว่า “ผมตั้ง password root ใหม่ให้คุณนะคุณจดไว้หน่อย รหัสผ่านที่ดีควรมีอักขระพิเศษมีความยาวอย่างน้อย 8 ตัว”

ขณะเดียวกัน อ๊อด หยิบตัว cloning hard disk เสียบต่อเข้าที่ server

แล้วอ๊อดก็พิมพ์แป้นคีย์บอร์ดอย่างว่องไว จนผมมองไม่ทัน command  line ล้วนๆ อนันต์จ้องมองด้วยความอะเมซิ่ง ราวกับบีโธเพน บรรเลงเปียโน

เวลาผ่านไปอย่างรวดเร็ว 12:18 นาที
cat /etc/passwd

nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
libuuid:x:100:101::/var/lib/libuuid:
syslog:x:101:104::/home/syslog:/bin/false
messagebus:x:102:105::/var/run/dbus:/bin/false
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin

s1n3ad:x:1001:1001:s1n3ad team,101,,:/home/s1n3ad:/bin/bash
mysql:x:105:113:MySQL Server,,,:/nonexistent:/bin/false
dnsmasq:x:106:65534:dnsmasq,,,:/var/lib/misc:/bin/false
bind:x:107:114::/var/cache/bind:/bin/false
“ผมเจออะไรแปลกๆ แล้ว” อ๊อดกล่าว

“พี่นนท์ เชิญทางนี้หน่อย” เสียงอ๊อด เดินออกมาจากห้อง IDC  แล้วกล่าวต่อว่า
“ผมเข้าเครื่อง Web Server ที่ถูก Hack ได้แล้วครับ และกำลัง cloning Hard disk อยู่

สิ่งที่พบคือมี username ประหลาด ที่อนันต์ และพี่องอาจไม่รู้จักในเครื่องนี้มาก่อนครับ”
อ๊อด พูด
“Username อะไร ?” ธีรานนท์ ถามต่อ

“ซินแบด” และเขียนลงกระดาษให้ว่า s1n3ad” อ๊อดพูด พร้อมเขียนชื่อให้

               “s1n3ad”

คำถาม : ระบบเครือข่ายที่วิชัยได้อธิบายท่านที่เป็นผู้ดูแลระบบท่านคิดว่ามีส่วนไหนที่มีการออกแบบระบบที่มีความเสี่ยงบ้าง ? เพราะเหตุใด และควรแก้ไขอย่างไร ?

แนะนำตัวละครเพิ่มเติม

ธีรานนท์ หรือ นนท์ ผู้ก่อตั้ง Ghostnet Buster Team บุคคลิก เขาเป็นสันโดษ ไม่ใช่นักแสวงหา ผิวขาว รูปร่างสันทัด อายุประมาณ 40 ปี  มีความสนใจในการเฝ้าสังเกตพฤติกรรมการโจมตีทางไซเบอร์ (Cyber Attack) โดยการติดตั้ง Honeynet  ด้วยงบประมาณส่วนตัวในประเทศชั้นนำ เพื่อทำการเขียน signature ส่งให้กับบริษัทยักษ์ใหญ่ด้านระบบรักษาความมั่นคงปลอดภัยข้อมูลข้ามชาติ เป็นรายได้หลักของบริษัทที่พอยังชีพทุกชีวิตอยู่รอดได้ เขาติดตามดูข้อมูลจราจรคอมพิวเตอร์ (Data Traffic) ที่ผ่าน Honeynet ของตัวเขาเป็นประจำ จนแยกไม่ออกระหว่างงานที่ทำ หรือเป็นงานอดิเรก ผมเขาทำตลอดไม่มีคำว่าเหนื่อยดั่งที่เขาเคยกล่าวว่า “ตัวผมเองก็เปรียบเสมือนนักดูดาวบนท้องฟ้า ที่เฝ้าสังเกตการเปลี่ยนแปลง  ท้องฟ้าไม่ต่างอะไรกับอินเทอร์เน็ต ไอพีแอดเดรสไม่ต่างอะไรกับหมู่ดวงดาว ในการมองเห็นของเรา สัมผัสได้ถึงการก่อตัวขึ้น ตั้งอยู่ และดับไป เสมอ”

อนุทิน หรือ อ๊อด  พนักงาน Ghost Buster Team ที่มีความสามารถในหลายเรื่อง แต่เขาคือ System Admin ชั้นครู บวกกับมีความรู้ด้านโปรแกรมมิ่งอีกด้วยส่งเสริมกัน โดยเฉพาะพวก Web Application เป็นคนรูปร่างท้วม กินเก่ง อ๊อดแถเก่งอีกด้วย เป็นคนมีไหวพริบ การพูดของเขามีความจริงปนความเท็จ แต่อย่างไรก็ตามเป็นคนที่มีจิตใจดีไว้ใจได้ และมีฝีมือหาตัวจับยากคนหนึ่งประสบการณ์สูง และมี Certification จากต่างประเทศ  ชอบรับจ๊อบ (Jobs) นอกเป็นอาจิณ โดยการไปเป็นมือปืนรับจ้างในการ Implementation Web Application Security และ Firewall โดยเรียกใช้งานอยู่บ่อยๆ

วิชัย : พนังาน System Admin ผู้ดูแลระบบรายชื่อพนักงานทั้งหมดของโรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล เขาเป็นลูกชายของบอร์ดบริหารโรงพยาบาลที่มีบารีมากคนหนึ่งของโรงพยาบาล สมัยมัธยมปลายเขาเคยได้เหรียฐทองโอลิมปิก ด้านคอมพิวเตอร์ ซึ่งสร้างชื่อเสียงให้กับประเทศไทย ถึงแม้ที่บ้านอยากให้เขาเป็นหมอเหมือนกับคุณพ่อแต่ด้วยความอัฉริยะของเขาทำให้เปลี่ยนให้มาเรียนสายคอมพิวเตอร์ในระดับอุดมศึกษา เขารู้เรื่องระบบเครือข่ายที่นี้เป็นอย่างดี

บริษัทโอดิสซี่ซอฟต์ (Odyssey soft)  เป็นบริษัทซอฟต์แวร์เฮ้าส์ ที่ได้รับงานโครงการภาครัฐบาลเป็นจำนวนมากถือว่าเป็นบริษัทยักษ์ด้านการพัฒนาซอฟต์แวร์ (ในละคร)

ศิรินท์ หรือ ริน เป็นโปรแกรมเมอร์บริษัทโอดิสซี่ซอฟต์ เป็นผู้หญิงที่มีบุคคลลิกเรียบร้อย เงียบขรึม หน้าตาดี ผิวขาว ไว้ผมหน้าม้า และชอบใส่รองเท้าส้นสูง แต่งตัวเก่ง แลดูไม่เหมือนเป็นโปรแกรมเมอร์ หากใช่เป็นพนักงานขายสินค้าคงขายดี เป็นที่หมายปองของหนุ่มๆแถวนี้มากมายในช่วงรับงานเขียนโปรแกรมที่นี้

พีระวัฒน์ หรือ พุก เป็นโปรแกรมเมอร์บริษัทโอดิสซี่ซอฟต์ เป็นผู้ชายไว้ผมยาว แต่มัดผมไว้ ออกกระตุ๊งกระติ๋ง ทำตัวเหมือนผู้หญิง
ทั้ง 2 คนนี้หน้าที่มาเขียนโปรแกรม ERP ในส่วนแก้ไขปรับปรุงระบบให้กับทางโรงพยาบาลมากว่า 3 เดือนแล้ว คงเป็นระดับหัวกระทิของบริษัทจึงส่งมาแก้ไขปัญหานี้

โรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล (Siam Health hospital) เป็นโรงพยาบาลเอกชนที่ใหญ่ที่สุด และมีลูกค้าระดับ VIP ของประเทศมาใช้บริการที่เป็นจำนวนมาก ด้วยบริษัทมีงบประมาณสูงจึงดึงหมอเก่งๆแนวหน้าในประเทศมาทำงานที่นี้ได้

—————– โปรดติดตามตอนต่อไป ————————

ตอนที่ 3 ที่นี้มีแฮกเกอร์ http://nontawattalk.blogspot.com/2015/05/hacker-here-3.html

+++++++++++++++++++++++++++++++++++++++++++++++

สงวนลิขสิทธิ์ SRAN Technology (www.sran.net)

นนทวรรธนะ  สาระมาน
Nontawattana  Saraman

ผู้เขียน
08/05/58