Hacker Here ? ที่นี้มีแฮกเกอร์ ? ตอนที่ 1

“Digital Holes : ดิจิทัลโฮลส์”

นิยายเชิงสืบสวนทางด้านเทคโนโลยี ที่ต้องเป็นแนวทางนี้ก็เนื่องจากเทคโนโลยีนั้นได้มีอิทธิพลต่อการใช้ชีวิตประจำวันเราโดยเฉพาะคนเมืองชนิดที่มีแนวโน้มสูงขึ้น และเริ่มกระจายตัวอย่างรวดเร็วไปยังต่างจังหวัดโดยเฉพาะโทรศัพท์มือถือและอินเทอร์เน็ตเป็นส่วนหนึ่งในชีวิตเราตั้งแต่ตื่นนอนไปจนถึงเข้านอน เราถูกรายล้อมไปด้วยเทคโนโลยี จนเกิดเป็นปรากฎการณ์ที่เรียกว่า “สังคมก้มหน้า” ที่อยู่กับหน้าจอโทรศัทพ์มือถือ และทำงานหลังขดหลังแข็งอยู่หน้าจอคอมพิวเตอร์ เป็นต้น

จุดเริ่มต้นของการเขียนครั้งนี้คือผมเห็นว่าหนังสือที่ให้ความรู้ และมีความเกี่ยวข้องกับการสืบสวนทางเทคโนโลยี ที่มีเนื้อหาสาระด้วยการอธิบายเทคนิคที่เป็นจริงนั้นมีน้อยอยู่ ส่วนใหญ่เกิดจากจิตนาการของผู้เขียนผสมกับความจริงบางแต่น้อย จนไม่สามารถนำมาเป็นกรณีศึกษา (case study) ได้นั้น ซึ่งทำให้ผู้อ่านได้เพียงความบันเทิง สิ่งที่อยากได้คือ เป็นหนังสือที่อ่านแล้วได้ทั้งความบันเทิงและได้ความรู้ และความรู้ที่เป็นสิ่งที่เกิดจากความเป็นจริง เมื่ออ่านแล้วสามารถนำไปใช้เป็นข้อสังเกตทั้งการทำงานด้านการป้องกันและในด้านการสืบสวนได้จริง

เพื่อเป็นการทบทวนประสบการณ์ที่ผ่านมาที่ตนเองได้มีโอกาสไปร่วมแกะรอยค้นหา ที่ผ่านมาแล้ว เพื่อไม่ให้หลงลืมได้ จึงต้องมาทำการบันทึกและเขียนขึ้นมา จึงปั่นเวลามาเขียนขึ้นตั้งใจไว้ว่าจะมีทั้งความบันเทิงผสมสาระความรู้จากประสบการณ์ที่ผมมีให้อยู่ในชุด “Digital Holes” นี้ขึ้น โดยทั้งตัวละครและสถานที่นั้นเป็นการสมมุติขึ้นจากผู้เขียนเองทั้งสิ้น
ผมเริ่มคิดและทำสิ่งนี้เมื่อวันที่ 4 พฤษภาคม 2558 และรวบรวมข้อมูลเพื่อคิดและเขียนตามลำดับ

Nontawattana  Saraman

—————————————————————————————–

Digital Hole : Hacker Here ? ที่นี้มีแฮกเกอร์ ?

             กรุงเทพฯ ในเวลาตีสามของวันที่ 6 พฤษภาคม 2558
..ฝนกำลังตก … เสียงของน้ำฝนกระทบกับกันสาดที่ยื่นออกมาภายนอกห้องนอน ทำให้ผมรู้สึกตัว

ผมชื่ออนันต์ อายุ 27 ปี  ผิวดำแดง ตรงสเป็คสาวญี่ปุ่น รูปร่างสันทัด สูง 182 cm เป็นหนึ่งในทีมงานที่ได้จัดทำ (Implementation) ระบบรักษาความมั่นคงปลอดภัยทางข้อมูลของโรงพยาบาลชื่อดังย่านพระราม 6  ถึงแม้จะเปิดแอร์อยู่ แต่เสียงฝนก็ดังทำให้ ผมรู้สึกตัวตื่นขึ้นมา ซึ่งเวลาในขนาดนั้นคือตีสามสี่แปดนาที  3:48                                                                                                                                                                                                
อนันต์หันไปหยิบมือถือที่มีแบตเตอรี่ยังเหลือเพียง 12% ขึ้นสีแดง ที่วางบนหัวเตียง เหลือบเห็นข้อความเตือนที่ยังไม่ได้เปิดอ่าน
จำนวน 3  รายการ ผ่านทางอีเมลล์ว่าระบบที่ดูแลอยู่มีการ Login ที่ผิดพลาด (Login fail)
เกิน 3 ครั้งติดต่อกัน การ login ไม่สำเร็จครั้งล่าสุดที่แจ้งเตือน เป็นเวลา 23:19
ของวันที่ 5 พฤษภาคม 2558
“Firewall ที่เราใช้อยู่คงยับยั้ง (Denny IP) ผู้บุกรุกไปแล้ว” อนันต์คิดพร้อม รำพึงต่อว่า “ไว้เช้าแล้วจะรีโมตเครื่องเข้าไปดู Logfile ขอนอนต่อแล้วกัน” ทั้งหาวต่อเนื่อง
จากนั้นก็ลุกขึ้นเปิดไฟข้างเตียงนอนเพื่อชาร์ตมือถือ ด้วยลมเย็นสบาย และมีเสียงฝนกระทบพื้นห้องป็นจังหวะเสียงพรึมพรั่มต่อเนื่อง สักพักหนึ่งอนัตต์
ก็ได้เคลิ้มหลับไป โดยที่ไฟข้างหัวเตียงไม่ได้ปิด

7:15 น.  แสงแดดส่องแสงรอดช่องหน้าต่างข้างเตียงนอน ส่องแสงลงมา บ่งบอกได้ว่าเช้าแล้ว อนันต์ได้เปิดม่านข้างเตียงเห็นท้องฟ้าใสเหมือนไม่มีแววว่าฝนได้ตกเมื่อคืนนี้เลยแม้แต่น้อย

“อากาศวันนี้ช่างสดใสดีจัง”  อนันต์ได้ปิดไฟที่เปิดตั้งแต่ตีสามกว่า แล้ว
 ได้เวลาที่ต้องแต่งตัวไปทำงาน ที่ทำงานของอนันต์อยู่ไม่ไกลจากที่พัก อนันต์เดินทางไปทำงานด้วยจักรยาน ชีวิตแบบคนเมืองเต็มรูปแบบ ขณะที่ปั่นอยู่นั้นอนันต์ยังครุ่นคิดถึง
การ Login fail ที่ได้รับมา ข้อความนั้นบอกว่าเพียงมีการ Login ผิดจาก IP Address 77.247.181.162 เวลา 23:19:54 5/05/58

7:35 น จอดรถจักรยานที่หน้าตึกที่ทำงาน แล้วเดินทางไปทานอาหารเช้าเราเริ่มต้นที่โรงอาหารภายในโรงพยาบาล

“สวัสดีครับ” อนันต์กล่าว เมื่อพบ ศิรินท์  หญิงสาวที่มาจากบริษัท Out source ที่ซอฟต์แวร์ประเภท ERP ที่ Implement ไม่เสร็จดีมากว่า 3 เดือนแล้ว

 “อยากได้ไลน์ไอดีเธอจัง น่ารักดี จะส่งสติ๊กเกอร์น่ารักๆ ให้ทุกวันเลย” อนันต์คิดในใจ  เราพบกัน
บ่อยแต่แทบไม่ได้คุยกัน
“… อาหรายหว่า… โลกนี้ไม่เป็นธรรมสำหรับคนปอนๆ แบบเราเสียเลย” อนันต์บ่น

ผมนะรู้จักชื่อศิรินท์ ชื่อเล่นว่า ริน
นั่งทำงานอยู่ด้านหลังห้องผม เป็นห้องของโปรแกรมเมอร์จากบริษัทใหญ่ที่รับงานจากโรงพยาบาลไป เราจะเจอกันส่วนใหญ่ช่วงพักทานอาหารเที่ยง
โรงอาหารที่นี้กว้างก็จะจริงแต่บังเอิญเจอกันทุกที ส่วนช่วงเช้านี้ถือว่าวันนี้โชคดีที่พบเธอ  ผมมีกำลังใจขึ้นอีกนิด อนันต์แอบยิ้ม ทั้งที ศิรินท์ไม่ตอบสนองใดๆ

เหมือนการทักทายผม เปรียบเสมือนการ Ping ที่ไม่ผลตอบรับจากเธอ

++++++++++++++++++++++++++++++++++
Pinging ศิรินท์ with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for ศิรินท์ :
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
+++++++++++++++++++++++++++++++++++
ผลลัพธ์คือไทม์เอ๊าครับ Loss 100%

++++++++++++++++++++++++++
เสริม
Ping เป็นคำสั่งหนึ่งที่มีทั้งระบบปฏิบัติการ Windows และ Linux เป็นคำสั่งพื้นฐาน มีหน้าสำหรับตรวจสถานะเครื่องคอมพิวเตอร์ที่ต้องการสื่อสาร หากมีการ Response กลับมาแสดงว่าเครื่องดังกล่าวสามารถติดต่อถึงกันได้  Ping  ใช้ Protocol  ICMP   ซึ่งบางครั้งที่ Ping แล้วเกิด Time out เป็นไปได้ 2 สาเหตุคือเครื่องที่ต้องการติดต่อไม่อยู่ในสถานะติดต่อสื่อสารได้ (เครื่องปิด)  และ ติดระบบป้องกันโดยเฉพาะหากมี Firewall ป้องกันนั้นจะปิดการสื่อสารประเภทนี้

+++++++++++++++++++++++++++++

ระหว่างตักข้าวเข้าปาก อนันต์เปิดมือถือขึ้นเพื่อตรวจข้อความที่พบอีกครั้ง
login fail ครั้งที่ 1  เวลา  23:18:23  IP : 77.247.181.162
login fail ครั้งที่ 2 เวลา 23:19:12  IP:77.247.181.162
login fail ครั้งที่ 3 เวลา 23:19:54  IP:77.247.181.162

Server ที่อนันต์ดูแลนั้นมีการตั้งระบบรักษาความปลอดภัย ผ่านอุปกรณ์ Firewall ที่เป็นประเภท Next Generation Firewall ชนิดที่ตรวจระดับ Application Layer ได้
ราคา 7 หลัก และมีระบบตรวจจับผู้บุกรุก ที่เรียกว่า NIDS/IPS Network Intrusion Detection and Prevention System) แต่ตัวนี้ทำให้เป็น mode passive คือดูอย่างเดียวให้ Firewall เป็น
ตัวป้องกัน ถึงกระนั้น ราคา NIDS ก็ไม่น้อยกว่า Firewall แถมยังใช้มานานกว่า 3 ปีแล้ว ข้อความที่ถึงแจ้งเตือนมาจาก NIDS ส่ง และตัวที่เกิดการพยายามเข้าถึงโดยการ Login นั้นคือ Web Server ประจำโรงพยาบาลนี้เอง

+++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม :
Firewall คืออุปกรณ์ที่ทุกหน่วยงานต้องมี ทำหน้าเป็น Gateway เพื่อเชื่อมต่อข้อมูลทางอินเทอร์เน็ต ทำการแบ่งระดับการเข้าถึงข้อมูลผ่าน rule base และการตั้งค่า NAT เพื่อได้มีการแบ่งชั้นการเข้าถึงข้อมูลจากโลกอินเทอร์เน็ตเข้าสู่ระบบเครือข่ายคอมพิวเตอร์ภายใน
Firewall Next generation หรือเรียกสั้นว่า Firewall NG  นั้นเป็นการพัฒนาไปอีกขั้นโดยการสามารถตรวจข้อมูลเพื่อป้องกันภัยคุกคามที่เกิดขึ้นได้ในระดับ Application Layer ซึ่งตาม OSI 7 เป็น layer ที่อยู่บนสุดและสำคัญที่สุดในการใช้งานในปัจจุบัน

NIDS/IPS  คือ อุปกรณ์ที่ตรวจผู้บุกรุกทางเครือข่าย เปรียบเสมือนกล้องวงจรปิดทางเป็น NIDS เฉยๆจไม่สามารถป้องกันได้ แต่ถ้าเป็น IPS ด้วยจะป้องกันได้  ทั้งนี้ส่วนมากอุปกรณ์พวกนี้จะทำได้ทั้ง 2 mode เป็นอยู่แล้ว ขึ้นกับการติดตั้งถ้าติดตั้งแบบ in-line ก็จะเป็น NIPS  ส่วน passive การเป็น NIDS เป็นต้นการทำงานจะทำการตรวจจับเป็นทั้งที่เป็น Signature base คือตรงตามฐานข้อมูลจึงแจ้งเตือน และ ตรวจด้วยการวิเคราะห์จากพฤติกรรม  ซึ่งต่อมาได้มีการรวมกันกับ Firewall จนเป็น Firewall NG ขึ้น นั้น

ดังนั้นหากโรงพยาบาลแห่งนี้มี Firewall NG อยู่แล้ว และระบบเครือข่ายที่ไม่ซับซ้อนมาก (แยกเป็นหลายๆ วง VLAN) ก็ไม่จำเป็นที่ต้องมี NIDS/IPS ก็ได้ ยกเว้นแต่ว่า ขา interface ของ Firewall NG ไม่พอและไม่สามารถ Monitor บางจุดได้ จำเป็นต้องมี NIDS/IPS มาช่วยเสริมให้การมองเห็นได้ครอบคลุมขึ้น

++++++++++++++++++++++++++++++++++++++++++

Server ตัวนี้เป็น Server ที่มีด้านหนึ่งติดต่อกับอินเทอร์เน็ตได้รับค่าไอพีสาธารณะ (Public IP) มาด้วย อีกด้านหนึ่งติดต่อในวง LAN
ทีมงานที่ดูแลส่วนนี้มีด้วยกัน 3 คน  คือ
พี่องอาจ ดูแลด้านระบบเครือข่าย  และ Log file ตาม พรบ.คอมพิวเตอร์ฯ เป็นคนที่เปิดดู Log Management ได้ อีกทั้งเป็นคนเขียนนโยบายด้านความปลอดภัยด้าน
ข้อมูลสารสนเทศให้กับโรงพยาบาลอีกด้วย รู้สึกว่าจะทำกันไปเมื่อ 2 ปีก่อนโดยจ้างบริษัทข้างนอกมาช่วยกันเขียน จนสำเร็จและประกาศใช้ก่อนผมมาทำงานที่นี้
วิชัย ดูแลเรื่องการ access internet  ภายในองค์กร โดยเฉพาะเรื่อง account ทั้งหมด
ไม่ว่าเป็น e-mail , การเข้าถึงระบบ wifi และทุกอย่างที่เกี่ยวข้องกับการ Authentication (การระบุตัวตนผู้ใช้งานอินเทอร์เน็ตในองค์กร)
และผม อนันต์เด็กใหม่ที่นี้ที่ดูแลด้านระบบรักษาความปลอดภัยข้อมูล Server สำคัญของโรงพยาบาล ปัจจุบันผมดูแล 10 ตัว กำลังงาม
มีทั้งส่วนที่อยู่ใน DMZ และในระบบเครือข่ายภายใน (Internal) ทั้งนี้รวมถึง Server development ของทีมงานศิรินท์ที่มาพัฒนาซอฟต์แวร์ ERP ด้วย

โรงพยาบาลใช้งานคุ้มครับเรามีด้วยกัน 3 คน แต่ต้องดูระบบเครือข่ายทั้งโรงพยาบาล ประสานกันทำงานได้อย่างดีมาโดยตลอด 4 เดือนที่ผมอยู่ที่นี้ พวกเราทั้ง 3 เป็นพนักงานประจำ
เป็นมนุษย์เงินเดือนเต็มขั้น เงินเดือนไม่มากไม่น้อย พออยู่พอกิน ข้าวแกงที่ทำงานราคา 30 บาท แถมรสชาติอร่อยอีกตังหาก

ส่วนด้านไอที เราแบ่งเป็น 3 ส่วน คือ
– ส่วนที่ดูระบบเครือข่ายเครื่องแม่ข่ายและการเข้าถึงอินเทอร์เน็ต  คือพวกเราทั้ง 3
– ส่วนที่โปรแกรมเมอร์  ที่ดูแลโปรแกรมโรงพยาบาล มีอีก 2 คนที่เป็นพนักงานประจำ ผมรู้จักแค่ชื่อหนุ่ม เป็นรุ่นน้อง พวกนี้มีการจ้าง out source มาช่วยเขียนโปรแกรมในบางโปรแจค
– ส่วนที่เป็นกลุ่มงานสนับสนุน Support  พวก Helpdesk นั้นจ้าง out soruce ทั้งหมด

ตัว Web Server ที่ติดต่อกับโลกภายนอกนี้แหละคนอื่นไม่กล้ายุ่งเนื่องจากรับมรดกมาจากบริษัทที่ติดตั้ง Web Server ไว้แล้วทิ้ง code ที่
แก้ไขแทบไม่ได้เลยมาให้ ยังดี Server ตัวนี้ส่วนใหญ่ใช้ Open Source ที่ คือ Web Server เป็น Apache มี Data Base ในตัวเป็น Mysql
ส่วน OS เป็น Ubuntu 12.04  แต่ code นี้สิ ใช้ php  java  ผมรู้เรื่องโค็ดไม่มากนัก เพราะมีน้องคนหนึ่งเป็นฝั่งโปรแกรมเมอร์ชื่อเล่นหนุ่ม เป็นคนดูโค้คทั้งหมด
รวมทั้งที่เป็น front end ของการเว็บไซต์ประจำโรงพยาบาล ซึ่งน้องหนุ่มเป็นคนทำงานร่วมกับบริษัทที่ได้งานมาพัฒนาเว็บไซต์
ผมมีความรู้ Linux ดีพอควร ผมเริ่มจาก System admin โดยงานแรกผมเป็นผู้ดูแลเครื่องแม่ข่าย (Server) ที่ธนาคารเอกชนแห่งหนึ่ง และผมพึ่งเปลี่ยนงานมาที่นี้ได้สัก 4 เดือน
พึ่งพ้นโปรงาน นะครับ ซึ่งที่ไหนที่ผมดูแลให้ไม่เคยโดนแฮก คือยังไม่เคยโดนน็อคว่ากันง่ายๆ อย่างงี้แหละครับสถิติสวย (หรือว่าไม่รู้ว่าโดนกันแน่)

อันที่จริงแล้ว เว็บไซต์ ก็มีโอกาสถูกแฮกได้ง่าย ถึงแม้จะมีระบบป้องกันที่ดีพอแล้ว อันเนื่องจากช่องโหว่ (bug ใหม่ๆที่เรียกว่า zero day) ยังมีอีกมากที่ผุดขึ้นมาใหม่ๆแทบทุกวัน
เพียงว่าเราจะแจ็ตเพ็ตเจอหรือเปล่า ตรงกับ Server ที่เราดูแลหรือเปล่าเท่านั้น   อนันต์คิดแบบปลอบใจตนเอง ขออย่าให้ถูกแฮก

+++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม
Zero day หรือ เขียน 0day คือ ช่องโหว่ที่ค้นพบโดยที่ยังไม่มีวิธีการรักษาหรือป้องกัน ถือว่าอันตรายมาก ช่วงเกิด 0day คือช่วงที่ยังไม่มียารักษานั้นเอง

+++++++++++++++++++++++++++++++++++++++++++++++++++

ระหว่างที่นำอาหารไปวางที่ชั้นวางจาน  เสียงแววมาว่า “นี้เธอตะกี้เราเข้าเว็บโรงพยาบาล หน้าแรกขอเว็บไซต์โรงพยาบาลเรามันเป็นรูปหัวกระโหลก  แถมมีเสียงเพลงเหมือนเพลง Rock ด้วย”
ผู้หญิงสองคนที่ผมไม่รู้จักชื่อ แต่รู้ว่าคนที่พูดเป็นหน้าห้อง ผู้อำนวยการ (ผอ.) โรงพยาบาล  จากนั้นเสียงนั้นก็บ่นพึ่มพัมต่อแต่ผมไม่ได้ยินเสียแล้ว

เหงื่อผมก็ไหลออกมาโดยไม่รู้ตัว  แล้วรำพึงว่า “เอาแล้วตรู งานเข้าแล้ว”

3G มือถือผมเริ่มทำงานทันทีเปิดบราวเซอร์ในมือถือ แล้วเข้า URL ของโรงพยาบาล  ขึ้นหน้าหัวกระโหลก ชูนิ้วกลาง แถมเป็นภาษาอังกฤษ แปลเป็นไทยว่า “แอดมินหน้าโง่  ไม่ปลอดภัย โดย อะไรก็ไม่รู้ตัวภาษาอังกฤษผสมตัวเลข อ่านยากจริงๆ ”

เพลงบรรเลงกีตาร์ดังขึ้น นี้มันเพลง Thunderstruck ของวง AC/DC แทรกอยู่ในเว็บหน้าแรกของเว็บไซต์โรงพยาบาลด้วย  เพลงดังกล่าวนี้ บังเอิญผมเกิดไม่ทันเพลงนี้หลอกแต่รู้เพราะ ปาเกียวที่พึ่งชกกับฟอร์ยเมื่อวันอาทิตย์ที่ 3  พ.ค.  ที่ผ่านมา สร้างข่าวว่าเป็นคู่มวยนัดหยุดโลก แต่เมื่อชกเสร็จผลออกมาตรงข้ามกับสายตาคนดู  ผมจำได้ว่าปาเกียวใช้เพลงนี้เป็นการเปิดตัวตอนที่เดินขึ้นเวทีมวย (แพ้เลย กั๊กๆ)

เวลา 08:29 แล้ววิ่งเข้าห้องทำงานชนิดที่ไม่แลมองผู้คน
“ไม่คิดว่าจะเกิดกับเรา เกิดขึ้นกับ Server ที่เราดูแล้ว” อนันต์กล่าวเบาๆ

ทันใดนั้นเองก็มีเสียงเรียกดังขึ้น “นี้เธอลืมของ” เหมือนมีเสียงแววมาด้านหลังผม   ศิรินท์พูด  ครั้งแรกที่ผมได้ยินเสียงเธอ  ของนั้นคือกระเป๋าเป้ใส่โน้ตบุ๊ค IBM รุ่นตกพื้นไม่ช้ำ ตัวเครื่องหนักเอาเรื่องจึงทำให้ เป้ของผมแลดูหนัก

“เสียงเธอช่างแอ๋บแป้วเสียจริง แต่ไม่มีเวลาคิดเรื่องนี้แล้ว บัดโถความสุขมันชั่งสั้นเสียจริง” อนันต์ได้แค่รำพึงในใจ

ศิรินท์ ยื่นให้ ด้วยแขนซ้าย ผมยื่นมือรับ  “เธอถนัดซ้ายหรือเปล่าเนี้ย” อนันต์แค่คิด
และแล้วก็วิ่งกลับมาอย่างรวดเร็ว แทนที่จะได้คุยกันนานกว่านี้ อนันต์ตอบว่า “ขอบคุณครับ”

แล้วหันหลังให้วิ่งไปต่อ ยังห่วงเรื่องไลน์ไอดีของเธอ  “เวงกำจริงๆ”  พอถึงห้องทำงาน อนันต์ลงนั่งโต๊ะทำงานอย่างรวดเร็ว พร้อมเปิดคอมพิวเตอร์ตั้งโต๊ะที่นั่งประจำซึ่ง พีซีเครื่องนี้น่าเป็นมรดกตกทอดมาหลายช่วง Admin  เป็น WindowXP ระบบปฏิบัติการที่ทาง Microsoft ทอดทิ้งไปแล้ว

โชคยังดีวันนี้ผมมาห้องนี้ก่อนใคร  วิชัย ยังไม่มา พี่องอาจ มาสายทุกวันอยู่แล้วเพราะต้องไปส่งลูกไปโรงเรียน

เวลาขณะนี้คือ 8:35 นาที
“ผมจะต้อง remote จากเครื่องผมเพื่อเข้าไปปิดเครื่อง Web Server ก่อน” อนันต์คิด

ระหว่างที่รอการบูทเครื่องเจ้าคุณปู่ ไม่นานเสียงโทรศัพท์ที่โต๊ะพี่องอาจ ดังขึ้น   “ตายๆ แน่ตรู”  อนันต์เริ่มทำอะไรไม่ถูก  จะ remote ก็รอเครื่องบูทอยู่  จึงรับสายโทรศัพท์ขึ้น

“สวัสดี มีใครอยู่ไหม ฝ่ายไอทีหรือเปล่า  ช่วยดูเว็บไซต์โรงพยาบาลเราที มันเกิดอะไรขึ้นเหรอ”  เสียงหนักแน่นมากเป็นเสียงที่ผมคุ้นเคยเพราะเป็นคนรับผมเข้าทำงานที่นี้ ผู้ช่วยผู้อำนวยการโรงพยาบาล คุณหมอจารึก  ตำแหน่งทางการของแกเป็นผู้ช่วยก็จริง แต่ด้วยวัยวุฒิและดีกรีเป็นถึงคุณหมอเลยถูกให้มาดูแลด้านไอซีทีด้วยเปรียบเสมือนเป็น CIO (Chief Information Officer)  ทุกอย่างที่เกี่ยวกับการจัดซื้อมาลงที่แกทั้งสิ้น

“สวัสดีครับอาจารย์หมอ”  ผมจะรีบดูให้คร๊าาาบบบ
แก้ไขโดยด่วน พร้อมทั้งให้องอาจ มารายงานผมฟังด้วย ก่อนที่ ผอ. จะรู้เรื่อง
คร๊าาบบบบบ  ผมตอบเสียงยาว   ในขณะเดียวกันที่มือด้านขวารับสายโทรศัพท์ มือด้านซ้ายก็ใส่ password  PC ตั้งโต๊ะขึ้น  กด Enter  แล้วเปิดโปแกรม SSH  เพื่อ remote ไปที่ Web Server สักพัก มือถือผมดังขึ้น พี่องอาจ โทรมา ผมรู้แล้วว่าต้องเป็นเรื่องนี้  เลยยังไม่กดรับเสียทันที
รอ Shell ให้ติดก่อนแล้วกัน แล้วจะโทรกลับ  ผมคิด สักพัก โทรมาอีก แต่ตอนนี้ผมพยายาม Shell ไป Web Server ตัวที่มีปัญหาแล้วเข้าได้ผมสัก shut down ไปก่อน  halt โร๊ด (ภาษาอีสาน ลอยมา ผมเป็นคนขอนแก่นครับ จากอีสานมาทำงานเมืองกรุงฯ)  ไม่นาน เสียงโทรศัพท์มือถือผมดังขึ้นอีกครั้ง ในระหว่างที่ผมรอการติดต่อกลับจาก Web Server “รีโมตนี้ช้าจังโว้ย”  เสียงโทรศัพท์ก็ดังอยู่
ครั้งนี้ผมจึงตัดสินใจรับ  ผมต้องตั้งสติ และพร้อมรับทุกสถานะการณ์ที่เกิดขึ้นต่อไปจากนี้

+++++++++++++++++++++++++++++++++++++++++++
เสริม

คำว่า Shell เป็น”การกระทำ” โดยการใช้โปรแกรมที่ชื่อ SSH เพื่อทำการ Remote ระยะไกล ซึ่งถือได้ว่า เป็นคำที่เรียกติดปากในกลุ่มผู้ดูแลระบบ

คำสั่ง halt  เป็น command หนึ่งบนระบบปฏิบัติการ Linux คือการสั่ง Shutdown เครื่อง

++++++++++++++++++++++++++++++++++++++++++++

ประโยคแรกดังขึ้น “ไอ้นันต์  เอ๊งรีบไปดู Web Server ด่วนเรื่องใหญ่ ผอ. ประเสริฐ โทรมาพี่”
บุคลลิกพี่องอาจ เป็นหนุ่มใหญ่ ผิวขาวร่างอ้วนกลม เชื้อสายจีนแน่นอน ตาชั้นเดียวใส่แว่นค่อนข้างหนา เป็นคนตรงไปตรงมา พูดจาไม่น่าฟังแต่ใจดี และช่วยเหลือน้องๆ

พี่องอาจ กล่าวต่อว่า “เว็บเราโดนแฮกใช่ไหม ?”   เสียงพี่องอาจ กระแทกที่หูผม   สวัสดีครับพี่ ผมมาถึงที่ทำงานแล้ว  ผมกำลัง shell อยู่พี่ ใจเย็นนะครับ

วันนี้ทาง ผอ. มี present  Application บนมือถือของโรงพยาบาลเรา เพื่อใช้บริการประชาชน ให้กับ ท่านรัฐมนตรี สาธารณะสุข ช่วงบ่ายวันนี้แหละ ซึ่ง Application นี้มัน Run อยู่บน Web Server นี้แหละ
พี่องอาจ  เสียงดังกล่าว

“พี่ครับ ผมรอพี่อยู่ เพราะ log file พี่ถืออยู่อ่ะ ผมจะช่วยดูว่าเกิดไรขึ้น”  อนันต์เริ่มแถ ใช้มุขเก่าเรื่อง Log เป็นข้ออ้างไปก่อน

“ถึงผมจะมีความรู้ด้านการดู log หรือ ศัพท์ทางการเรียกว่า “Computer Forensic” อยู่ไม่มากเทียบก็หางอึ่งอยู่มิใช่มืออาชีพ แต่ผมก็เคยดู Log ของเครื่อง Server ของงานธนาคารมาแล้วนะ สมัยที่มีการ Fraud” กัน อนันต์รำพึงอีกครั้ง

++++++++++++++++++++++++++++++++++++++++++++
เสริม
Computer Forensic : คือศาสตร์ในการแกะร่องรอยการกระทำความผิดอันเกิดจากการใช้งานอุปกรณ์สื่อสารและคอมพิวเตอร์เป็นเครื่องมือในการกระทำ ซึ่งในที่นี้จะเหมารวมกันก็ได้ว่าเป็นทั้งการแกะร่องรอยทางระบบเครือข่าย Network Forensic เบื้องต้นจะเป็นการดู Log file เทียบกับเวลา Log จาก Centralization log เป็นหลัก และ Computer Forensic เป็นพิสูจน์หาหลักฐานหากได้เครื่องคอมพิวเตอร์ที่สงสัยว่าเป็นเครื่องก่อเหตุมาทำการยืนยันและเป็นหลักฐานในชั้นศาลต่อไป

+++++++++++++++++++++++++++++++++++++++++++++++++++++

“วันนี้พี่ต้องพาลูกไปโรงเรียน เป็นวันปฐมนิเทศลูกชายพี่หว่า” รถโครตติดเลย สงสัยว่าอาจถึงที่ทำงานเกือบ 10 โมงเป็นอย่างเร็ว  เอ๊ง ก็ไปเปลี่ยนหน้าเว็บกลับมาแบบเดิมก่อน ดูที่ backup server restore กลับมาสิ ไอ้นันต์”  พี่องอาจเริ่มกิ้ว

shell ได้แล้ว แต่ login ใน user เดิมที่เคยเข้าไม่ได้ ลองแล้วมันบอกว่า ไม่มี username นี้ในระบบ.มันเฮง—.ปู๊ดๆ–censor .. เอ่ย : อนันต์เซ็ง

“เออ พี่ครับ ผม shell ได้แต่ login ไม่ได้ครับ ผมว่าผมโดนเข้าให้แล้ว”  ผมตอบเสียงสั่น ผมหน้าตาเริ่มซีด

เอ๊งรีบไปปิดเครื่องเลย  เข้าห้อง server แล้วไป กดปุ่ม power ไปก่อน  พี่องอาจ กล่าว

อนันต์ วิ่ง 4 x 100  ด้วยความเร็ว 2Gbps  เข้าห้อง Server  ปล่อยให้เสียงตะคล๊อกของพี่องอาจ ดังอยู่ไกลๆ  web server ตัวนี้มันตัวไหน หว่า  ชิบหาย Label ก็ไม่มีเขียน  มันน่าจะอยู่ใต้ Firewall หรือเปล่านะ
ล่าสุดผมเข้าห้องนี้ก็เมื่อ 3 เดือนก่อนที่บริษัทดูแลด้านระบบเครือข่ายส่งมอบตัวอุปกรณ์ Firewall
เลยวิ่งกลับมาถามเพื่อความมั่นใจ

พี่ครับมันเครื่องไหนครับ” อ้าวพี่องอาจวางหูไปเสียแล้ว  

ผมเริ่มกุมขมับ  เสียงเปิดประตูมา  วิชัยเดินเข้ามาในห้อง

“วิชัย นายรู้ป่ะว่าเครื่อง Web server เครื่องไหน” อนันต์ถามเสียงดัง

วิชัย ถึงแม้อายุใกล้เคียงกับผม แต่เขาอยู่มานานกว่าใครเพื่อน เห็นว่าเป็นลูกคุณหมอในโรงพยาบาลนี้ ให้มาทำงานที่นี้ตั้งแต่ 5 ปีก่อน อาจกล่าวได้ว่ามาพร้อมๆ กับพี่องอาจ แต่ด้วยความอาวุโส
ยังไม่มาก   และได้รับภาระกิจสำคัญคือดูระบบ account หรือ user ทั้งโรงพยาบาล เขาเป็นคนคุมรหัสผ่านของทุกคนในโรงพยาบาล ….

เครื่องที่ห้านับจากล่างขึ้นบน  ตู้ซ้ายสุด    ตู้ Rack 1 ใส่ได้ 42U
วิชัย ตอบอย่างรวดเร็ว พร้อมคำถาม  เกิดอะไรขึ้นเหรอ ?
ผมยังไม่ตอบวิชัย วิ่ง 4×100 เข้าห้อง Server แล้ว กดปุ่ม power  เพื่อปิดเครื่อง Server แล้ววิ่งกลับมาที่หน้าเครื่อง PC ตั้งโต๊ะ พร้อมเปิดบราวเซอร์เพื่อดูผลลัพธ์

ขอบคุณวิชัย เราหยุดการแสดงผลเว็บไซต์ได้แล้ว

วิชัยเริ่มทำสีหน้าสงสัย พร้อมกับถามต่อว่า ” เกิดอะไรขึ้น ? “

“ผมก็ไม่รู้มันเกิดจากกอะไร ผมได้รับข้อความแจ้งเตือนจาก NIDS ว่ามีการบุกรุกโดยการ login ผ่าน services SSH port 22 และพบการผิดพลาด 3 ครั้ง  จากนั้นช่วงเช้าเที่ผ่านมาเข้าเว็บไซต์โรงพยาบาลพบว่ามี Defacement” อนันต์กล่าว

+++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม 
SSH  ย่อมาจาก Secure Shell  เป็นโปรแกรมชนิดหนึ่ง ลักษณะเป็นการ Remote ระยะไกลผ่านเครือข่ายอินเทอร์เน็ต ใช้ Port Services 22 เป็นการติดต่อแบบ TCP เป็นโปรแกรมยอดฮิตสำหรับผู้ดูแลระบบ
และมักถูกการโจมตีที่เรียกว่า “Brute Force” ได้ง่ายโดยที่ตั้ง Server ที่มีค่า Public IP Address

Brute Force คือชนิดการโจมตีประเภทหนึ่งเป็นวิธีการสุ่มเดารหัสผ่านโดยมักจะเกิดกับหน้าเพจที่มีการต้องใส่ค่า Login และระบบ Remote ระยะไกลไม่ว่าเป็น Telnet , SSH , VNC , Remote Desktop เป็นต้น

Defacement คือวิธีการแสดงตัวตนของแฮกเกอร์วิธีหนึ่ง โดยจะอาศัยเว็บไซต์ที่มีช่องโหว่แล้วเข้าไปทำการเปลี่ยนหน้าเว็บเพจ เพื่อแสดงเจตนารมณ์  หรือประกาศว่ามีความเสี่ยง โดยแฮกเกอร์ที่มีมารยาทจะไม่พยายามเปลี่ยนหน้าเว็บเพจในหน้าหลัก โดยส่วนใหญ่การแฮกพวกนี้เป็น ออโต้สคิปต์ (Automatic script) ซึ่งไม่ได้หมายความว่าแฮกเกอร์รู้จักหน่วยงานที่จะแฮกนั้น จึงแฮกแต่ที่ไหนมีช่องโหว่ตรงกับสคิปต์ที่เขียนไว้อาจจะโดนแฮกได้เสมอ

+++++++++++++++++++++++++++++++++++++++++++++++++++

“แล้วเราจะทำอย่างไงต่อ” วิชัยถามต่อ

“ผมไม่รู้เหมือนกัน ต้องรอพี่องอาจมาก่อนครับ เพราะ log อยู่ที่แก” อนันต์ตอบ (อ้างต่อเนื่อง)

สักพักมีเสียงโทรศัพท์เข้ามือถือ พี่องอาจ  โทรมา

“นันต์เอ่ย พี่จะไปถึงเร็วๆนี้  พี่ให้แม่ไปนั่งฟังแทนแล้ว ต้องมาช่วยพวกเราก่อน ตอนนี้พี่ติดอยู่ถนนแจ้งวัฒนะ  จะเลี้ยวขึ้นทางด่วนแล้ว บังเอิญพี่นึกได้แถวนี้ พี่รู้จักเพื่อนคนหนึ่ง ไม่คุยกันกว่า 8 ปีแล้ว  เขาทำงานด้านนี้โดยตรง เผื่อจะช่วยแก้ไขสถานการณ์ได้บ้าง ” พี่องอาจกล่าว

“ใครอ่าพี่ จะมีใครช่วยเราได้นอกจากเราจะช่วยตัวเราเอง  พี่ไม่มั่นใจผมหรือไง” อนันต์พูด

“แล้วเอ๊งจะทำไง ล่าสุดพี่เข้าเว็บไซต์ไม่ได้แล้ว เอ๊งบอกพี่มาสิ ว่าจะทำไงต่อ” พี่องอาจพูดโต้ตอบในโทรศัพท์

ถามเหมือนวิชัยเลย “จะทำไงต่อ”

ต้องรอพี่ครับ พี่คนเดียวเข้าไปดู Centralized logging ได้

++++++++++++++++++++++++++++++++++++++
เสริม
Centralized Log คือ การรวม log จากอุปกรณ์ระบบเครือข่าย เครื่องแม่ข่าย (Server) ที่สำคัญ ส่งค่า log  ซึ่งจะทำการส่งผ่าน Protocol syslog  ที่เป็นการติดต่อสื่อสารชนิด UDP และใช้ Port Services คือ 514 โดยทำการส่งค่า syslog เข้าไปเก็บไว้ที่ส่วนกลางเครื่องศูนย์กลางที่เดียว เพื่อเป็นการเก็บบันทึกเหตุการณ์ และตาม พรบ คอมพิวเตอร์ที่กฎหมายกำหนด

โดยแบบพื้นฐาน คือเก็บอย่างเดียวเป็น raw log  ไม่มีการวิเคราะห์
และแบบที่เก็บด้วยพร้อมทั้งสามารถวิเคราะห์ได้ โดยอาจจะใช้เทคโนโลยีเสริม อันได้แก่  SIEM (Secure Information Management) มาช่วยอ่านเพื่อคัดกรองว่าเหตุการณ์ใดเป็นมีความเสี่ยง ระบุได้ว่ามีความเสี่ยงระดับสูง กลาง ต่ำจากเหตุการณ์ใดได้บ้าง ซึ่งราคา SIEM  ค่อนข้างสูง ในเมืองไทยจะมีใช้สำหรับหน่วยงานใหญ่ขึ้นไป ส่วนหน่วยงานขนาดเล็ก และขนาดกลางมีวิธีการอื่นที่ช่วยทดแทน SIEM ได้โดยใช้ NIDS มาช่วยทดแทนได้ระดับหนึ่งเพียงแค่เป็นการดูข้อมูลผ่านทางระบบเครือข่ายเท่านั้นมิได้ออกมาจาก log โดยตรงจากเครื่อง สำหรับเครือข่ายที่ไม่ซับซ้อน และไม่มีเครื่องแม่ข่าย (Server) ที่สำคัญ และบุคคลากร และ Process ยังไม่พร้อมนัก จะใช้วิธีนี้สะดวกทั้งงบประมาณและการติดตั้งมากที่สุด

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

อะไรก็ Log เอ๊งจะดู Log ทำแป๊ะ อะไรตอนนี้ต้องทำให้เครื่องเปิดได้ก่อน ท่านรัฐมนตรีจะดู App อ้ายนี้” องอาจกล่าว

“ผมยังไม่รู้จะเปิดด้วยวิธีไหนนะพี่ บัดโถ (เรื่องขึ้นเสียง) ” อนันต์ตอบ

“ก็พี่บอก ธีรานนท์ เพื่อนพี่ ขับรถตามแล้ว”  องอาจกล่าว

ขณะนั้นเป็นเวลา 9:25 นาที

ที่สำนักงานบริษัท Ghostnet Buster Team จำกัด  หรือใช้ตัวย่อว่า “GBT” ที่ตึก ณ บางกอก เป็นอาคารเช่าสำนักงานรวม  พื้นที่บริษัทนี้เช่าอยู่ราวกับแมวนอน  ขนาด 15 ตารางเมตร  ค่าเช่าเดือนละหมี่น ตั้งโต๊ะนั่งได้เต็มที่ 3 โต๊ะพร้อมเก้าอี้ เป็นห้องริมสุดในชั้น 7 มีหน้าต่างซ้ายมือที่มองเห็นถนนแจ้งวัฒนะ ด้านขวามือมองเห็นสวน แอร์เย็นฉ่ำ มีโต๊ะทำงาน 3  ตัว วางเป็นตัว L มีเครื่อง Fax , กาต้มน้ำ , โทรศัพท์ และ เร้าเตอร์ 1 เครื่อง โน้ตบุ๊คอีก 2 เครื่อง ตู้เย็นขนาดเล็กหนึ่งประตู โดยบนตู้เย็นมีบะหมี่สำเร็จรูป 2 โหล

สายโทรศัพท์สำนักงานดังขึ้น  เวลา 9:10 นาที

“สวัสดีครับ  ขอสาย ธีรานนท์หน่อย”

พี่นนท์ เข้าห้องน้ำอยู่  ไม่ทราบว่าเรื่องอะไรให้เราช่วยเหลือค่ะ”

หลังจากสนทนาเสร็จ วางสาย
ทันใดนั้นเอง ธีรานนท์เดินเข้ามาในห้องทำงาน

“พี่นนท์ค่ะ  เดือนนี้เราจะรอดตายแล้วพี่  มีงานเข้ามาแล้ว”   จุฑามาส พูด
จุฑามาศ เป็นพนักงานบัญชี ทำงานที่บริษัท Ghostnet Buster ตั้งแต่เปิดบริษัทแรก
ส่วนใหญ่จะเรียกชื่อสั้นๆ ว่า “นนท์”

“Ghostnet Buster Team  (GBT) เปิดทำการวันที่ 14 กุมภาพันธ์ 2556 มีอายุบริษัทเพียง 2 ปี แต่เป็นที่รู้จักกันในกลุ่มคนวงการว่าธีรานนท์คนนี้มีประสบการณ์พอตัวในงานด้านนี้ เน้นทำงานด้านการ Incident Response และการ Forensic เป็นแบบบริการหลัก และเสริมด้วยการรับทำ Penetration test ทั่วราชอาณาจักร ซึ่งเมื่อก่อนถือได้ว่าการทำ Pen-test เป็นงานหลักของเขา และยังเป็นอาจารย์สอน Penetration test ในยุคที่แทบไม่มีคนไทยทำงานประเภทนี้เลย 15 ปีย้อนหลัง
แต่ด้วยตลาดตอนนี้มีการแข่งขันกันสูงแกเลยหันไปทำในเรื่องที่คนอื่นไม่ค่อยทำกันได้  หรือต้องใช้ Know how สูงขึ้นไปอีกถึงจะรับทำงานประเภทนี้ได้

++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม
Penetration Test หรือเรียกย่อได้ว่า Pen-test  คือการทดสอบเจาะระบบ ซึ่งรายละเอียดเคยเขียนไว้ที่ http://nontawattalk.blogspot.com/2009/10/penetration-test-1.html

++++++++++++++++++++++++++++++++++++++++++++++++++

พนักงานที่นี้มี  4 คน คือ ธีรานนท์  เกียรติศักดิ์(ชื่อเล่น ต้อม ทำงานแบบออนไลน์สำคัญจริงๆจึงมา อยู่เกาะสมุย ไม่รับเงินเดือนรับเป็นงานๆไป)   อนุทิน (อ๊อด) ช่างเทคนิคและเป็นโปรแกรมเมอร์อีกด้วย อ๊อดชอบรับจ๊อบนอกมีเวลาไม่เต็มที่กับบริษัทนี้นักแต่ถึงอย่างไรอ๊อดก็ยังร่วมงานกับพี่นนท์อยู่  เหมือนมีงานอยู่ตลอดสำหรับอ๊อดแต่ไม่เคยเก็บเงินได้เลย และดิฉันจุฑามาส พนักงานบัญชีดูการเงิน ทำงานประชาสัมพันธ์ รับสายโทรศัพท์และการตลาดหาลูกค้าทำคู่กันเลย อะเมซิ่งออร์อินวัน อิอิ”

ปกติบริษัทนี้เปิดมานั้นแทบไม่มีงานเข้าอยู่แล้ว รายได้แบบเดือนชนเดือน แต่ธีรานนท์ ยังยืนหยัดทำต่อ  ด้วยงานที่เขารัก

ธีรานนท์ถาม  “แล้วงานที่ไหน?”
โรงพยาบาลสยามเฮลฮอสพิทอล (Siam Health Hospital)
“เขาให้เราไปถึงที่นั้นเร็วยิ่งดี ค่ะ แล้วให้พี่โทรไปคุยรายละเอียดเขาด้วย เบอร์ตามนี้”
จุฑามาส ยื่นกระดาษพร้อมเบอร์โทรศัพท์ให้

ธีรานนท์ ดูกระดาษ  “รายมือจุฑามาส องอาจ ใจสะอาด Web Server เราถูกแฮก ….”

เพื่อนเรานี้หว่า ขณะนั้นแล้วเงยหน้ามองออกไปที่หน้าต่าง ชั้น 7 ที่ทำงานรังหนู มองลงไปที่ ถนนแจ้งวัฒนะ รถเริ่มคลี่คลาย …

“ผมจะไปตามที่นัด คุณประสานงานอ๊อด ให้เอาเครื่องมือ Network Forensic และตัวสำเนาฮาร์ดดิสความเร็วสูง ไปด้วยนะ”  ธีรานนท์กล่าว

10:58 น. ในที่สุดธีรานนท์ ก็มาถึงโรงพยาบาล  แปลกใจมากเลยที่ อ๊อดมาถึงก่อน

ธีรานนท์ ไม่รอช้า ทำการต่อสายโทรศัพท์ไปหาองอาจ

“สวัสดีครับ ผมธีรานนท์ เมื่อเช้าคุณโทรมาหาเราที่ GBT”  ธีรานนท์พูดขึ้น
“สวัสดีครับผมองอาจเอง ผมต้องการให้คุณมาที่ห้อง 304A  ชั้น 3 อาคาร A นะผมและทีมงานรออยู่ที่นั้น” องอาจกล่าว

เฮ้ อ๊อดเอาของมาด้วยป่ะ  “ไม่พลาดอยู่แล้วพี่” ทำไมนายมาถึงเร็วจัง
“คืนก่อนผมมาค้างที่อาคารตรงข้ามนี้ ซอยเล็กๆนั้น นี้เอง ฝนมันตกหนักนี้พี่” อ๊อดพูด เมื่อเหลือบไปดูแล้ว เป็นเหมือนโรงแรมม่านรูดขนาด ตีสัก 3 ดาวก็แทบเต็มกลืน แต่ก็ไม่ได้พูดอะไรต่อ
เออ แล้วอุปกรณ์ของพวกนี้อยู่กับนายได้ไง อ๊อด   ผมเอาไว้ติดตัวพอดีครับในท้ายรถผมนี้ แหะๆ อ๊อดกล่าวแบบละมุนละม่อม

เราทั้งคู่เดินไปที่อาคาร A พร้อมขึ้นลิฟต์ไปยังชั้น 3  เมื่อถึงแล้ว ด้านหน้าห้องเขียนว่า ศูนย์คอมพิวเตอร์

พวกเรา (นนท์ และ อ๊อด) เดินเข้าไปในห้อง เหมือนห้องนี้แบ่งเป็น 3 ส่วน คือส่วนด้านหน้าเป็นที่ทำงาน  ด้านหลังเหมือนมีโปรแกรมเมอร์ ผู้หญิง 1 คน และแลดูเหมือนผู้หญิง 1 คน กำลังนั่งพิมพ์อะไรอยู่ตลอด
ส่วนด้านข้างเป็นห้อง IDC (Internet Data Center) เราเข้าไปในห้องข้างหน้า พบว่า มีชาย 3 คน
นั่งประจำที่โต๊ะใครโต๊ะมันอยู่ หน้าตาเคร่งเคลียด  ทุกห้องมีกล้องวงจรปิดติดที่มุมเพดานอย่างละตัว

สักพักได้ยินเสียง “เอ๊า คุณนนท์ เข้ามาเลย”  เจ้าของเสียงคือ องอาจ   “นันต์เอ่ย เอ๊งไปเอา กล่อง Server มาเรียงด้าน ข้างโต๊ะเอ๊ง 4 กล่องนี้”

ที่นี้ดูเหมือนโรงพยาบาลชั้นนำก็จริงนะครับ  แต่ธุรกิจของเราคือโรงพยาบาล ด้านไอทีเป็นเพียงด้านหลังฉากของความสำเร็จของโรงพยาบาล ห้องทำงานเราเลยไม่ใหญ่โตครับ  ขอโทษทีนะครับที่คับแคบหน่อย
อนันต์เอากล่อง Server  มาวางเรียง 4 กล่องเสร็จแล้ว  เอ๊าพวกเรามานั่งคุยกันตรงนี้  ธีรานนท์  อ๊อด   องอาจ  อนันต์  และวิชัย

“นันต์ และวิชัย สละเก๋าอี๋ให้พี่เขาด้วยนะ”  องอาจพูด
ทุกคนมานั่งสุ่มหัวกันโดยใช้กล่อง Server เป็นที่ประชุม ส่วนวิชัยนั่งหย่องๆ โดยไม่เก้าอี้ และอนันต์
“อ้าวเอ๊งไปยืนพิงเสา ข้างถังขยะทำไม” องอาจพูดถึงอนันต์
“ก็กางเกงผมมันฟิตครับพี่นั่งหย่องๆ เหมือนวิชัยไม่ได้ มันขาดเอ๋านะครับ” อนันต์ตอบ

“โทษทีนะครับ น้ำชา กาแฟ ไม่ต้องนะครับ ถ้าต้องการให้บอกนะ ผมขอเริ่มเลย”
“เรามีเวลาไม่นาน 13:30 โดยประมาณ Web Server เราต้องใช้งานได้ ซึ่งนับจากนี้เรามีเวลาไม่เกิน 2 ชั่วโมงในการกู้ระบบ” องอาจกล่าวด้วยน้ำเสียงชัดเจน

———————– ติดตามตอนต่อไป —————————

แนะนำตัวละคร
1. อนันต์ ผู้ดูแลระบบรักษาความมั่นคงปลอดภัยของเครื่องแม่ข่ายประจำโรงพยาบาล  ตัวเอกของเรื่องในตอนนี้
2. ศิรินท์  ชื่อเล่นริน นักพัฒนาโปรแกรม ERP เป็น Out source จากบริษัทพัฒนาโปรแกรม และมีทีมงานด้วยกัน 2 คนที่มานั่งเขียนโปรแกรมซึ่งในขณะนี้ยังไม่ได้กล่าวถึง
3. พี่องอาจ ดูแลด้านระบบเครือข่าย  และ Log file ตาม พรบ.คอมพิวเตอร์ฯ เป็นคนที่เปิดดู Log Management ได้ เป็นคนที่อยู่ในโรงพยาบาลนี้มานาน อายุราว 39 ปี
4. วิชัย ดูแลเรื่องการ access internet  ภายในองค์กร โดยเฉพาะเรื่อง account ทั้งหมด อายุราว 28 ปี เป็นคนเงียบคุยเฉพาะสิ่งจำเป็น คุณพ่อของวิชัยเป็นหมอที่มีบารีมากในโรงพยาบาลแห่งนี้ เป็นกลุ่มก่อตั้งโรงพยาบาลนี้ขึ้น วิชัยเปรียบได้ว่าเป็นเด็กเส้นที่ไม่ค่อยมีใครอยากมีเรื่องด้วย
5. หนุ่ม ชื่อจริงชื่อ ราเชน เป็นโปรแกรมเมอร์ ผู้เขียนโค้ดพัฒนาเว็บไซต์ ร่วมกับบริษัทเอกชนที่ได้รับงานในขณะนี้ยังไม่ได้กล่าวถึง ดูเหมือนเป็นรุ่นน้้องเพราะหน้าตายังดูเด็กพึ่งจบจากมหาวิทยาลัยผิวขาวผอมสูงใส่แว่น
6. คุณหมอจารึก ผู้ช่วยผู้อำนวยการโรงพยาบาล ถือได้ว่าเป็นผู้ดูแลสายงานด้านไอซีที ทั้งหมดของโรงพยาบาล
7. คุณหมอประเสริฐ ผู้อำนวยการโรงพบาบาล
8. ผู้หญิงไม่รู้จักชื่อ ทำงานหน้าห้องผู้อำนวยการโรงพยาบาล
9. จุฑามาส อยู่บริษัท Ghostnet Buster Team ทำงานเอนกประสงค์ บัญชี การตลาด ประชาสัมพันธ์ เงินเดือนได้ทุกเดือนแบบเชียดชิ่ว มีความซื่อสัตย์ มีความอดทนไม่เลือกงานแม้ว่าจะอยู่ในที่ทำงานที่ไร้ซึ่งความมั่นคง
10. ธีรานนท์ ผู้ก่อตั้งบริษัท Ghostnet Buster Team อดีตพนักงานธนาคารเอกชนที่ทันสมัยที่สุดในประเทศไทย และอดีตที่ปรึกษาตำรวจไซเบอร์ ถึงแม้เบื้องหน้าแทบไม่มีใครรู้จักเขาเลย ชนิด low profile และก็ low profit อีกด้วย แต่เบื้องหลังโดยเฉพาะกลุ่มคนที่ทำงานด้านนี้อย่างแท้จริงเป็นที่รู้จักอยู่พอสมควร และเขามีเครือข่ายกลุ่มคนที่เป็นแฮกเกอร์ใต้ดินรุ่นเดอะในประเทศไทย มีทีมงานทำงานร่วมกันมาเป็น 10 ปี 2 คน คือ ต้อมและอ๊อด

+++++++++++++++++++++++++++++++++++++++++++++++

สงวนลิขสิทธิ์ SRAN Technology (www.sran.net)

นนทวรรธนะ  สาระมาน
Nontawattana  Saraman

ผู้เขียน
06/05/58

ตอนที่ 2 ที่นี้มีแฮกเกอร์ http://nontawattalk.blogspot.com/2015/05/hacker-here-2.html
ตอนที่ 3 ที่นี้มีแฮกเกอร์ http://nontawattalk.blogspot.com/2015/05/hacker-here-3.html