ปัจจัยทั้ง 4 แห่งการสืบสวนทางอินเทอร์เน็ต

บทความนี้เกิดขึ้นจากงานสัมมนาแนวทางการรับมือกับภัยไอซีที เมื่อวันที่ 13 กรกภาคม 2553 ที่ผ่านมา ซึ่งผมได้บรรยายในหัวข้อแนวทางการสืบสวนและป้องกันภัยคุกคามทาง อินเทอร์เน็ต จึงอยากนำบางส่วนในการบรรยายครั้งนั้นมาถ่ายทอดให้ผู้อ่านที่ไม่ได้ร่วมงาน สัมมนานี้ให้รับทราบกัน

เรื่องปัจจัยทั้ง 4 แห่งการสืบสวนทางอินเทอร์เน็ต นั้นเป็นกรอบแนวคิดเพื่อให้ผู้ปฏิบัติงานได้มีหลักในการวิเคราะห์ที่มาที่ไป ของภัยไอซีทีได้แบบเข้าใจง่าย และเชื่อมโยงความสัมพันธ์เหตุต่างๆที่เกิดขึ้นอย่างเป็นรูปธรรมได้โดยใช้ กรอบความคิดนี้

ถ้าหากเราเข้าใกล้ความจริงแล้ว เราจะพบว่าเหตุที่เกิดขึ้นในชีวิต ล้วนแล้วแต่เชื่อมโยงถึงกัน มีที่มาที่ไปทั้งสิ้น จะไม่มีอะไรเกิดขึ้นมาโดยไม่อาศัยสิ่งอื่น ยกตัวอย่างเช่น ข้อมูลขยะ (Spam) อยู่ๆ เกิดขึ้นเองไม่ได้ ต้องอาศัยคนที่สร้างเนื้อหาข้อมูลขยะนั้น ต้องอาศัยโปรแกรมที่ส่งข้อมูลขยะนั้น แล้วคนละอยู่ๆ จะสร้างข้อมูลขยะนั้นหรือไม่ ก็ต้องมีเหตุปัจจุจัยที่ทำให้คนนั้นสร้างข้อมูล ไม่ว่าเป็นเรื่องค่าจ้าง ความสนใจส่วนตัว หรือลึกลงไปกว่านั้นอาจพบว่ามี DNA จากกรรมพันธ์ุ ที่ทำให้คนคนนั้นมีนิสัยใจคอเป็นอย่างนั้น หรือ แม้แต่การเลี้ยงดูของพ่อแม่ การอาจทำให้การรับรู้ข้อมูลที่แตกต่างกัน, การรับรู้ข้อมูลนั้นอาจวัดได้จากประสบการณ์ชีวิต
ที่ทำให้คนคนนั้นส่งข้อมูลขยะได้ จะเห็นว่าผลลัพธ์เพียงอย่างเดียวแต่มีความสัมพันธ์เชื่อมโยงอาศัยกับสิ่งอื่นๆ ทั้งสิ้น

เมื่อเราเข้าใจแล้วว่าทุกๆอย่างมีความสัมพันธ์เชื่อมโยงถึงกันหมด เราก็นำความสัมพันธ์นั้นมาสร้างเป็นกรอบแนวคิด เพื่อที่จะทำให้เราเข้าใจถึงผลแห่งเหตุนั้นได้อย่างเป็นระบบ

ปัจจัยทั้ง 4 ที่กล่าวมานั้นประกอบด้วย
คน เครื่อง ระบบ และผลลัพธ์ ตามแผนภาพ

ภาพที่ 1 แสดงถึงปัจจัยทั้ง 4 และความเชื่อมโยง เวลา และสภาวะแวดล้อม

ส่วนประกอบที่ 1 คือ คน การกระทำของคนที่เกิดขึ้นจากคนเป็นการรับรู้ในสิ่งต่างๆ มีทั้งภายใน และภายนอก ตัวคน
1.1 ภายในเองก็ประกอบด้วย ตา หู จมูก ล้ิน กาย และใจ หากอธิบายในทางวิทยาศาสตร์ ในร่างกายของคนก็มีการติดต่อสื่อสารภายใน ในระดับเซลล์ ประจุไฟฟ้า อนุภาคที่มีขนาดเล็ก รวมเป็นเนื้อเยื่อ รวมเป็นระบบประสาทที่เชื่อมโยงสื่อสารภายในตัวคน มีการถ่ายทอดข้อมูลจากบรรพบุรุษผ่านระบบดีเอ็นเอ (DNS) ที่เป็นพิมพ์เขียวจากอดีตที่ตกถอดมาถึงเรา แม้กระทั่งสารเคมีต่างๆที่อยู่ภายในร่างกายของเราที่ทำงานตลอดเวลาจนกว่าเราจะหมดลมหายใจ
1.2 ภายนอก เป็น อารมณ์ ที่ทำได้จาก ตาเห็นรูป , หูได้ยินเสียง , จมูกได้กลิ่น , ลิ้นได้รส , กายได้สัมผัส และใจที่มีความคิดปรุงแต่งตามสภาวะชั่วขณะ ที่เกิดขึ้น ตั้งอยู่ และดับไป
ทุกสิ่งทุกอย่างเป็นไปตามกระแสของเหตุปัจจัย  หรือในพุทธศาสนาเรียกว่า “อิทัปปัจจยตา” บนห่วงโซ่เหตุการณ์ของการรับและส่งข้อมูล 3-in-3-out  ห่วงโซ่ที่เกิดขึ้นแล้วเกิดขึ้นอีกซ้ำไปซ้ำมา ตามหลักพุทธศาสนา เรียกว่า “ปฎิจจสมุปบาท

ซึ่งทั้งหมดนี้จะทำให้คน คนนั้นทำกิจกรรมและมีพฤติกรรมการแสดงออกที่แตกต่างกันตามช่วงเวลา เกิด อยู่ ตั้งอยู่ และดับไป ไม่คงที่มีการเปลี่ยนแปลงอยู่ตลอด

ส่วนประกอบที่ 2 คือ เครื่อง หมายถึงเครื่องมือสื่อสาร ไม่ว่าจะเป็นเครื่องคอมพิวเตอร์ มือถือ หรืออื่นๆที่สามารถติดต่อสื่อสารได้ ทั้งฝั่งรับข้อมูล และ ฝั่งส่งข้อมูล ในที่นี้ผมขอเปรียบเทียบเป็นเหมือนยานพาหนะ

เครื่องเป็นพาหนะที่เกิดจากคนเป็นผู้ใช้งาน มุมมองในการพิจารณาก็มีทั้งภายในและภายนอก โดยใช้คนเป็นศูนย์กลางในการพิจารณา
2.1 ภายใน คือ คนใช้เครื่องโดยตรง
2.2 ภายนอก คือ คนถูกผู้อื่นใช้เครื่อง ทั้งที่เป็นเจตนา และไม่เจตนา บนความรู้เท่าไม่ถึงการณ์

ส่วนประกอบที่ 3 คือ ระบบ หมายถึงโครงข่ายข้อมูล (Network) ที่เป็นช่องทางในการสื่อสาร ไม่ว่าเป็นการสื่อสารผ่านอินเทอร์เน็ต มือถือ หรืออื่นๆ ในที่นี้ผมขอเปรียบเทียบเป็นเหมือนช่องถนนในการเดินทางของพาหนะ

ระบบนั้นก็มีมุมมองในการพิจารณา มีทั้งภายใน และ ภายนอก เช่นกัน โดยใช้คน และ เครื่อง เป็นศูนย์กลางในการพิจารณา

3.1 การพิจารณาโดยใช้คน และเครื่องเป็นศูนย์กลาง
– ภายใน คือ ช่องทางการติดต่อสื่อสารภายในเครือข่ายองค์กร (LAN Technology)
– ภายนอก คือ ช่องทางการติดต่อสื่อสารภายนอกเครือข่ายองค์กร (WAN Technology)
โดยทั้งคู่สามารถพิจารณาต่อลงไปถึงการไหลเวียนของข้อมูลที่เกิดขึ้นจากหลัก OSI 7 layer หรือจะเป็นฉบับย่อแบบ 3-in-3-out ที่ผมเคยเขียนในอดีตได้ต่อเนื่องอีก

ภาพที่ 2 แสดงการพิจารณามุมภายใน และ ภายนอก เมื่อเอาตัวคนเป็นศูนย์กลาง

หากเราใช้หลักพิจารณาภายในและภายนอก โดยใช้คนเป็นศูนย์กลางในการพิจารณาแล้ว จะเห็นว่าในระดับผู้ให้บริการ (ISP) นั้นจะกลายเป็นมุมภายนอกเสมอ ซึ่งในความเป็นจริงแล้วไม่ใช่ เนื่องจากผู้ให้บริการ (ISP) ก็จะมีระบบภาย (LAN) เช่นกัน ดังนั้นการพิจารณาในเรื่องนี้นอกจากเอาคนเป็นศูนย์กลางในการพิจารณาแล้วยังต้องอาศัยข้อมูลเป็นศูนย์กลางในการพิจารณาด้วย โดยข้อมูลจะแบ่งประเภทดังนี้

3.2 การพิจารณาโดยใช้ข้อมูลเป็นศูนย์กลาง ซึ่งในที่นี้จะหมายถึงข้อมูลนั้นเกิดจาก คน และเครื่อง ในประเทศไทย
– ข้อมูลที่รับและส่งภายในประเทศ (Link ภาพแผนที่อินเทอร์เน็ตภายในประเทศไทย) จะต้องผ่านช่องทางการติดต่อสื่อสาร ที่ผมเปรียบเทียบได้กับถนน ถนนที่เกิดจากผู้ให้บริการ (ISP) สร้างขนาดถนนที่แตกต่างกัน ขนาดของ Bandwidth ในการรับและส่งข้อมูลซึ่งผู้ให้บริการบางรายอาจเปรียบได้กับถนน 4 แลน บางรายอาจเปรียบได้กับ ถนน 2 แลน เป็นต้น การติดต่อสื่อสารภายในประเทศ ก็เหมือนกับถนนที่เชื่อมกันระหว่างผู้ให้บริการในประเทศ ยกตัวอย่างเช่น ผมเปิดเว็บไซต์ www.sran.org ซึ่งตัวเว็บไซต์นั้นตั้งอยู่ภายในประเทศไทย การติดต่อสื่อสารก็จะเกิดเฉพาะภายในประเทศไทย

– ข้อมูลที่รับส่งภายนอกประเทศ (Link ภาพแผนที่อินเทอร์เน็ตภายนอกประเทศ) เช่นกันจะต้องผ่านช่องทางการติดต่อสื่อสาร หรือ ถนนที่เกิดจากผู้ให้บริการ (ISP) ที่มีการสร้างขนาดถนนที่แตกต่างกัน เช่นเดียวกันกับการรับส่งข้อมูลภายในประเทศ ที่แตกต่างกันคือข้อมูลฝั่งปลายทางที่ติดต่อไปนั้นอยู่ต่างประเทศ ยกตัวอย่างเช่น ผมเปิดเว็บไซต์ www.blogger.com ซึ่งเมื่อทำการ whois ดูพบว่าตั้งอยู่ต่างประเทศ ที่ไม่ใช่ประเทศไทย การติดต่อสื่อสารก็เริ่มจากเครื่องผมที่อยู่ที่บ้าน ไปยังผู้ให้บริการที่ให้ผมได้ใช้อินเทอร์เน็ต ผู้ให้บริการก็เปิดช่องทางต่างประเทศให้ข้อมูลที่เรียกเว็บไซต์ www.blogger.com ไปถึงที่หมายปลายทาง เพียงช่วงพริบตา

ในเรื่องระบบ หัวข้อ 3 นี้เป็นเรื่องทางเทคนิคเสียส่วนใหญ่ จะขอยกตัวอย่างเป็นกรณีให้เห็นภาพขึ้นในโอกาสถัดไป

ส่วนประกอบที่ 4 คือ ผลลัพธ์ ผลลัพธ์มีทั้งเรื่องปกติ และเรื่องไม่ปกติ ซึ่งสามารถแยกแยะได้ดังนี้

4.1 ผลลัพธ์ทางเทคนิค ผลลัพธ์ ที่เป็น
4.1.1 เรื่องที่ปกติ เกิดจากการใช้งานคอมพิวเตอร์ ในการรับและส่งข้อมูลได้อย่างปกติที่เคยใช้ รับรู้ได้ด้วยตัวเอง
4.1.2 เรื่องที่ผิดปกติ เกิดจากการใช้งานคอมพิวเตอร์ ในการรับและส่งข้อมูลได้นั้นมีความผิดปกติ เกิดได้ดังนี้
– เกิดความการรั่วไหลของข้อมูลที่เป็นความลับ (ขาด C : Confidentiality)
– เกิดจากการแสดงข้อมูลที่ไม่ถูกต้องจากความเป็นจริง ( ขาด I : Integrity)
– เกิดจากความไม่คงที่ของข้อมูลทำให้ความเสถียรภาพข้อมูลนั้นสูญเสียไป (ขาด A : Availability)
ทั้งหมดนี้อาจจะสูญเสียอย่างใดอย่างหนึ่ง คือ เสียทั้ง C , I และ A หรือ สูญเสียอย่างใดอย่างหนึ่ง จนเป็นบ่อเกิดถึงความผิดปกติจากการใช้งานคอมพิวเตอร์ และการรับ-ส่งข้อมูล เกิดขึ้น
ซึ่งขอเรียกว่า ความผิดปกติ ที่เกิดขึ้นจากผลลัพธ์ทางเทคนิค ว่า “เหยื่อ” ความหมายถึง คน และ เครื่องมือในการติดต่อสื่อสารนั้น ตกเป็นเหยื่อทางเทคนิค บนความไม่รู้เท่าทัน

เหยื่อในทางเทคนิค ก็ได้แก่ การติดมัลแวร์ (Virus/worm , Trojan , Backdoor , rootkit และอื่นๆ) , การตกเป็นเครื่องมือให้นักโจมตีระบบใช้ทรัพยากรเครื่องของเราในการส่งข้อมูลขยะ (Spam) หรือ โจมตีระบบให้เกิดความเสียหาย (DDoS/DoS)

4.2 ผลลัพธ์ไม่ใช่ทางเทคนิค ผลลัพธ์ ที่เป็น
4.2.1 เรื่องปกติ ก็หมายถึง ข้อมูลที่เรารับรู้ที่ได้ปรากฏขึ้นนั้นสามารถยอมรับได้ด้วย กฏหมาย และ ศิลธรรม บนประเทศที่เราได้ทำการสื่อสารข้อมูลขึ้น ที่เขียนอย่างงี้ก็เนื่องจากแต่ละประเทศนั้นมีความแตกต่างด้าน กฏหมาย ดังนั้นก็ขึ้นกับว่าหากเอาตัวเรา และเครื่องคอมพิวเตอร์ ของเราเป็นศูนย์กลางต้องพิจารณาว่าเราใช้เครื่องคอมพิวเตอร์เรา รับ-ส่งข้อมูลที่ประเทศใด ถ้าเป็นประเทศไทย ก็ต้องดู กฏหมาย ในประเทศไทยเป็นหลัก ส่วนศิลธรรมนั้นมีโดยทั่วไปจะเรื่องที่ทั่วโลกมีความเห็นสอดคล้องกัน

4.2.2 เรื่องผิดปกติ ก็หมายถึง ข้อมูลที่เรารับรู้ที่ได้ปรากฏขึ้นนั้น เกิดจากความคิดเห็นที่แตกต่างกันในแต่ละบุคคล ซึ่งเรื่องไม่ปกตินั้น ควรดูกฏหมาย และ ศิลธรรม ของประเทศนั้นๆ ในการพิจารณาต่อ

จะขอเรียก ความผิดปกติที่เกิดจากผลลัพธ์ที่ไม่ใช่เทคนิคนี้ ว่า “เหยื่อ” ความหมายคือ คน และ เครื่องมือในการติดต่อสื่อสารนั้นตกเป็นเหยื่อ บนความไม่รู้เท่าทัน
ขยายความได้ว่า เนื่องจากข้อมูลที่เรา เรา ท่าน ท่าน ที่ได้รับข้อมูลมานั้น หากเราไม่มีสติ และความรู้เท่าทันภัย เราอาจกลายเป็นเหยื่อโดยที่เราไม่รู้ตัวได้เช่นกัน

เหยื่อที่เกิดขึ้นโดยไม่ใช่ทางเทคนิค ได้แก่
– การรับรู้ข้อมูลที่ทำให้เกิดความเข้าใจผิด ซึ่งความเข้าใจผิดอาจจะก่อให้เกิดความเชื่อ การยึดมั่นถือมั่นในสิ่งที่เข้าใจผิดไป และคิดว่าเป็นจริง หรือเรียกว่า สัญญาวิปลาศ เห็นกงจักรเป็นดอกบัว เป็นต้น

– การแสดงความเป็นห่วงโดยไม่มองให้รอบด้าน ในสื่อสารสมัยใหม่อาศัยคนเป็นเหยื่อชนิดนี้มากขึ้น ขอยกตัวอย่าง เช่น ในการแสดงความคิดเห็นในเว็บบอร์ด หรือ พวกเครือข่ายสังคมออนไลน์ (Social network) พบข้อมูลอันไม่เหมาะสม ตัวเราเองกลับเผยแพร่ให้ขยายวงการรับรู้มากขึ้น ด้วยความเป็นห่วงเห็นข้อมูลนี้ไม่เหมาะสม เผยแพร่จาก 1 คน เป็น 2 จาก 2 เป็น 4 มากขึ้นเรื่อยๆ ทำให้จากเดิมมีคนรู้ไม่กี่คนทำให้รู้มากขึ้น แบบนี้แสดงว่าผู้เผยแพร่นั้นกำลังตกเป็นเครื่องมือ หรือเป็นเหยื่ออยู่ เป็นต้น การตกเป็นเหยื่อในกรณี แก้ไขโดย หยุดทำการส่งข้อความ หรือ ข้อมูลต่อให้กับผู้อื่นที่เราควบคุมการเผยแพร่ข้อมูลไม่ได้ หากพบเรื่องไม่เหมาะสมต่อสถาบันหลักของประเทศ ก็ควรส่งให้กับหน่วยงานที่รับผิดชอบ หรือถ้าเป็นทางข้อมูลอินเทอร์เน็ตก็ส่งให้หน่วยงานในกระทวงเทคโนโลยีสารสนเทศ สายด่วน 1212 เป็นต้น

ภาพที่ 3 เราเป็นเหยื่อได้ทั้งทางเทคนิคและไม่ใช่เทคนิค

โดยมากผลลัพธ์ที่เป็นเรื่องปกติ คงไม่มีใครมาสืบหา แต่หากเป็นผลลัพธ์ที่เกิดจากเรื่องไม่ปกติ จำเป็นต้องมีหลักในการสืบหา โดยวิธีการ คือ ใช้เวลาจากสิ่งที่เกิดขึ้นแล้ว ไล่ย้อนหลังไป
จากผลลัพธ์ที่ทำให้มีผู้เสียหาย ย้อนไป ที่ระบบที่ก่อให้เกิดผลลัพธ์นั้น ย้อนไปที่ เครื่อง ที่ก่อให้เกิดผลลัพธ์นั้น ย้อนไปที่ คนที่สร้างให้เกิดผลลัพธ์นั้น โดย

มีเวลา และปัจจัยทั้ง 4 เป็นหลักในการพิจารณา

ในตอนหน้าหากมีเวลาเพียงพอผมจะขยายความในปัจจัยทั้ง 4 โดยยกเป็นตัวอย่างเพื่อสร้างความเข้าใจมากขึ้นสำหรับผู้ปฏิบัติงานด้านนี้ต่อไป

นนทวรรธนะ สาระมาน
03/08/53

บทความที่เกี่ยวข้อง
หลักการพิจารณาแบบ 3-in-3-out ในการสืบหาผู้กระทำความผิดจากการใช้งานอินเทอร์เน็ต
http://sran.it/rd
http://sran.it/re