การตรวจสอบข้อมูลตามกฎหมาย (Lawful interception)


การตรวจสอบข้อมูลตามกฎหมาย หรือ Lawful interception (LI) คือการได้มาซึ่งข้อมูลการสื่อสารผ่านเครือข่าย ดำเนินการโดยเจ้าพนักงานตามกฎหมายเพื่อวิเคราะห์หรือพิสูจน์หลักฐาน โดยทั่วไปข้อมูลนี้ประกอบด้วยสัญญาณหรือข้อมูลการจัดการด้านเครือข่าย หรือ เนื้อหาของการสื่อสารนั้น ถ้าไม่ได้รับข้อมูลนั้นในแบบเรียลไทม์ เราเรียกกิจกรรมดังกล่าวว่า การเข้าถึงข้อมูลที่เก็บรักษาไว้ (access to retained data)

มีหลักการมากมายในกิจกรรมนี้ รวมถึงการป้องกันโครงสร้างพื้นฐานและความปลอดภัยทางคอมพิวเตอร์ โดยทั่วไปแล้ว ผู้ประกอบธุรกิจโครงสร้างพื้นฐานทางเครือข่ายสาธารณะสามารถรับภาระในกิจกรรม LI เพื่อเป้าหมายเหล่านี้ได้ ส่วนผู้ประกอบธุรกิจโครงสร้างพื้นฐานทางเครือข่ายส่วนตัวมีสิทธิโดยปกติวิสัยที่จะคงไว้ซึ่งความสามารถด้าน LI ภายในเครือข่ายของตนถ้าไม่ได้ถูกสั่งห้าม

หลักการพื้นฐานอย่างหนึ่งของ LI คือการลักลอบดักข้อมูลการสื่อสารโทรคมนาคมโดยหน่วยงานบังคับใช้กฎหมาย หน่วยงานที่มีอำนาจควบคุมหรือบริหาร และหน่วยสืบข่าวกรองที่สอดคล้องกฎหมายท้องถิ่น ภายใต้กฎหมายบางระบบ การใช้งานโดยเฉพาะการเข้าถึงเนื้อหาการสื่อสารแบบเรียลไทม์ อาจมีการบังคับใช้ขั้นตอนและการรับมอบการอนุญาตจากเจ้าหน้าที่อย่างถูกต้อง เป็นกิจกรรมที่ก่อนหน้านี้เรียกว่า ไวร์แทพพิง (wiretapping) และมีมาตั้งแต่มีการลักลอบดักข้อมูลการสื่อสารอิเล็กทรอนิกส์

ด้วยมรดกตกทอดของโครงข่ายโทรศัพท์สวิตช์สาธารณะ (Public Switched Telephone Network : PSTN) เครือข่ายไร้สายและสายเคเบิล การลักลอบดักข้อมูลตามกฎหมายมักจะกระทำโดยการเข้าถึงสวิตช์ (switches) ไม่ว่าจะเป็นเครื่องจักรกลหรือดิจิทัลที่สนับสนุนการดักข้อมูลเป้าหมาย การเข้ามาของเครือข่ายแบบแพกเกตสวิตชิง (packet switched networks) เทคโนโลยีซอฟท์สวิตช์ (soft switch) และแอพพลิเคชั่นแบบ server-based ในสองทศวรรษที่ผ่านมาได้เปลี่ยนแปลงพื้นฐานของการดำเนินการเกี่ยวกับ LI ไป

การอธิบายทางเทคนิค

เกือบทุกประเทศมีข้อบังคับเกี่ยวกับความสามารถทาง LI และใช้ข้อบังคับและมาตรฐานที่พัฒนาโดยสถาบันมาตรฐานโทรคมนาคมแห่งยุโรป (European Telecommunications Standards Institute : ETSI) โครงการ 3rd Generation Partnership Project (3GPP) หรือองค์กรต่าง ๆ ของเคเบิลแล็บส์ (CableLabs) ที่รับผิดชอบด้านเครือข่ายไร้สาย/อินเทอร์เน็ต เครือข่ายไร้สาย และระบบเคเบิล ตามลำดับ ในสหรัฐฯ ข้อบังคับที่เทียบเคียงได้ให้อำนาจตามกฎหมาย Communications Assistance for Law Enforcement Act (CALEA) ซึ่งได้ระบุความสามารถเจาะจงโดยการประกาศใช้ ด้วยความร่วมมือของคณะกรรมการกลางกำกับดูแลกิจการสื่อสาร (Federal Communications Commission) และกระทรวงยุติธรรม

เพื่อป้องกันไม่ให้ข้อมูลการสืบสวนถูกบุกรุก อาจมีการออกแบบระบบ LI ในรูปแบบที่ปกปิดการลักลอบดักข้อมูลจากความเกี่ยวข้องของผู้ประกอบธุรกิจการสื่อสารโทรคมนาคม เป็นข้อบังคับหนึ่งของอำนาจศาลในบางแห่ง

เพื่อให้มั่นใจได้ถึงขั้นตอนที่เป็นระบบ แต่ลดค่าใช้จ่ายของโซลูชั่นต่าง ๆ ในการลักลอบดักข้อมูล กลุ่มธุรกิจและหน่วยงานของรัฐบาลทั่วโลกได้พยายามจัดมาตรฐานขั้นตอนทางเทคนิคที่อยู่เบื้องหลังการลักลอบดักข้อมูล องค์การ ETSI เป็นหน่วยงานหลักในการผลักดันมาตรฐานต่าง ๆ ในการลักลอบดักข้อมูล ไม่เพียงเพื่อยุโรปเท่านั้น แต่สำหรับใช้ทั่วโลกด้วย คำอธิบายต่อไปนี้จะกล่าวถึงความคิดเห็นโดยสรุปเกี่ยวกับสถาปัตยกรรมของการลักลอบดักข้อมูลที่เสนอโดย ETSI

สถาปัตยกรรมนี้พยายามกำหนดวิธีการที่เป็นระบบที่สามารถขยายออกได้ ซึ่งผู้ประกอบธุรกิจเครือข่ายและเจ้าหน้าที่บังคับใช้กฎหมายสามารถปฏิสัมพันธ์ได้ โดยเฉพาะอย่างยิ่งเนื่องจากการพัฒนาของเครือข่ายทั้งในแง่ของความซับซ้อนและขอบเขตของบริการ สถาปัตยกรรมนี้ไม่เพียงแต่นำมาใช้กับการสนทนาทางโทรศัพท์ที่สื่อสารผ่านสายและไร้สายแบบดั้งเดิมเท่านั้น แต่ยังรวมถึงบริการแบบ IP-based เช่น วอยซ์ โอเวอร์ ไอพี (Voice over IP) อีเมล อินสแตนท์ เมสเซจจิง (instant messaging) เป็นต้น ได้มีการนำสถาปัตยกรรมนี้มาใช้ทั่วโลก (ในบางกรณีจะมีการเปลี่ยนแปลงศัพท์ที่ใช้เรียกเพียงเล็กน้อย) รวมถึงในสหรัฐฯ ในปริบทของโครงสร้างกฎหมาย CALEA มีสามระยะในสถาปัตยกรรมนี้คือ 1) การเก็บรวบรวมข้อมูลและเนื้อหาที่เกี่ยวข้องกับเป้าหมาย ที่ได้มาจากเครือข่าย 2) สื่อกลางที่จัดรูปแบบข้อมูลดังกล่าวให้สอดคล้องกับมาตรฐานที่กำหนดไว้ และ 3) การส่งข้อมูลและเนื้อหาดังกล่าวให้กับหน่วยงานบังคับใช้กฎหมาย (law enforcement agency : LEA)

ข้อมูลที่ได้จากการลักลอบดักข้อมูล (เรียกว่า Intercept Related Information หรือ IRI ในยุโรปและ Call Data หรือ CD ในสหรัฐฯ) ประกอบด้วยข้อมูลข่าวสารเกี่ยวกับการติดต่อสื่อสารของเป้าหมาย ได้แก่เป้าหมายของการโทรศัพท์ ( เช่น หมายเลขโทรศัพท์ของคู่สนทนา) ที่มาของการโทรศัพท์ (หมายเลขโทรศัพท์ของผู้โทรศัพท์) เวลาที่โทรศัพท์ ระยะเวลาของการโทรศัพท์ เป็นต้น เนื้อหาของการโทรศัพท์คือกระแสของข้อมูลการโทรศัพท์นั้น นอกจากนี้สถาปัตยกรรมนี้ยังมีเรื่องของการจัดการเกี่ยวกับการลักลอบดักข้อมูล ซึ่งครอบคลุมการสร้างและยกเลิกช่วงเวลาของการลักลอบดักข้อมูล กำหนดเวลา การชี้ตัวเป้าหมาย เป็นต้น การสื่อสารระหว่างผู้ประกอบธุรกิจเครือข่ายและ LEA ทำผ่านช่องทางที่เรียกว่าแฮนด์โอเวอร์ อินเทอร์เฟซ (Handover Interfaces : HI) โดยทั่วไปข้อมูลและเนื้อหาของการสื่อสารส่งจากผู้ประกอบธุรกิจเครือข่ายไปยัง LEA ผ่านทางวีพีเอ็น (VPN) แบบ IP-based ในรูปแบบที่เข้ารหัสลับไว้ การลักลอบดักข้อมูลการสื่อสารทางเสียงในแบบดั้งเดิมมักจะอาศัยการสร้างช่องทางสื่อสารไอเอสดีเอ็น (ISDN) ที่สร้างขึ้นในเวลาที่กระทำการลักลอบดักข้อมูลนั่นเอง

จากที่กล่าวไว้ข้างต้น สถาปัตยกรรม ETSI สามารถนำไปใช้กับบริการแบบ IP-based ซึ่ง IRI (หรือ CD) ขึ้นอยู่กับตัวแปรที่เกี่ยวข้องกับข้อมูลจราจรทางคอมพิวเตอร์จากแอพพลิเคชั่นที่กำหนดให้ถูกลักลอบดักข้อมูล ตัวอย่างเช่น ในกรณีของอีเมล ข้อมูล IRI ก็จะคล้ายคลึงกับข้อมูลในส่วนของเฮดเดอร์ (header) ของเนื้อหาอีเมล (เช่น ที่อยู่อีเมลปลายทาง ที่อยู่อีเมลต้นทาง เวลาที่ส่งอีเมลนั้น) เช่นเดียวกับข้อมูลข่าวสารเกี่ยวกับเฮดเดอร์ที่อยู่ภายในแพ็คเก็ตไอพี (IP packet) ที่นำเนื้อหานั้นมา (เช่น ที่อยู่ไอพีต้นทางของเครื่องแม่ข่ายอีเมลที่สร้างเนื้อหาอีเมลนั้น) แน่นอนที่ระบบลักลอบดักข้อมูลจะพยายามเก็บข้อมูลข่าวสารที่มีรายละเอียดมากเพื่อป้องกันการปลอมแปลงที่อยู่อีเมลซึ่งมักจะเกิดขึ้นบ่อย ๆ (เช่น การปลอมที่อยู่ต้นทาง) ในทำนองเดียวกัน วอยซ์ โอเวอร์ ไอพีก็มีข้อมูล IRI ของมันเอง รวมถึงข้อมูลที่ได้รับจากเนื้อหาของโปรโตคอล Session Initiation Protocol (SIP) ซึ่งใช้เพื่อสร้างและยกเลิกการติดต่อผ่านทาง VOIP

ในปัจจุบันคณะกรรมการ ETSI LI Technical Committee เน้นการทำงานไปที่การพัฒนารายละเอียดเกี่ยวกับ Retained Data Handover และ Next Generation Network รวมถึงการปรับปรุงมาตรฐาน TS102232 ให้เหมาะสมกับการใช้งานเครือข่ายในปัจจุบัน

มาตรฐานการตรวจสอบข้อมูลของสหรัฐฯ ซึ่งช่วยให้ผู้ประกอบธุรกิจเครือข่ายและผู้ให้บริการสามารถปฏิบัติตามกฎหมาย CALEA ที่ระบุไว้โดยคณะกรรมการกลางกำกับดูแลกิจการสื่อสาร (ซึ่งเป็นผู้มีอำนาจและเป็นเจ้าหน้าที่ตรวจสอบภายใต้กฎหมาย CALEA) องค์กรของเคเบิลแล็บส์ และสมาพันธ์ Alliance for Telecommunications Industry Solutions (ATIS) มาตรฐานของ ATIS ครอบคลุมถึงมาตรฐานใหม่สำหรับการเข้าถึงอินเทอร์เน็ตบรอดแบนด์และบริการ VoIP รวมถึงมาตรฐาน J-STD-025B ซึ่งเพิ่มข้อมูลใหม่ ๆ ให้กับ J-STD-025A ซึ่งเป็นมาตรฐานก่อนหน้า โดยรวมเอาการลักลอบดักข้อมูลเสียงแบบแพ็คเก็ต และเครือข่ายไร้สาย CDMA มาไว้ด้วย อย่างไรก็ตามกระทรวงยุติธรรมของสหรัฐฯ ระบุว่ามาตรฐานเหล่านี้ทั้งหมดยังมีข้อบกพร่องในการปฏิบัติตามกฎหมาย CALEA อยู่

เครื่องมือทางกฎหมายระดับโลกที่สำคัญที่สุดที่เกี่ยวข้องกับ LI คือ อนุสัญญาว่าด้วยอาชญากรรมทางคอมพิวเตอร์ (Convention on Cybercrime) เกิดขึ้นเมื่อวันที่ 23 พฤศจิกายน ค.ศ.2001 ที่กรุงบูดาเปสต์ สำนักงานเลขาธิการของอนุสัญญาดังกล่าวคือ สภายุโรป (Council of Europe) อย่างไรก็ตามได้มีผู้ลงนามในอนุสัญญาดังกล่าวจากทั่วโลกและมีขอบเขตการบังคับใช้ทั่วโลก

แต่ละประเทศมีข้อบังคับทางกฎหมายที่เกี่ยวกับการลักลอบดักข้อมูลตามกฎหมายที่แตกต่างกันไป ที่ประชุม Global Lawful Interception Industry Forum ได้ลงรายการของข้อบังคับเหล่านี้จำนวนมาก รวมถึงสำนักงานเลขาธิการของสภายุโรป ตัวอย่างเช่น ในประเทศสหราชอาณาจักร กฎหมายดังกล่าวเรียกว่า RIPA (Regulation of Investigatory Powers Act) ส่วนในสหรัฐฯ มีกฎหมายอาชญากรรมของรัฐบาลกลางและรัฐต่าง ๆ ในเครือจักรภพรัฐเอกราช เรียกว่า SORM

ยุโรป

ในสหภาพยุโรป ข้อมติของที่ประชุมคณะมนตรียุโรปเมื่อวันที่ 17 มกราคม ค.ศ.1995 ในส่วนของ Lawful Interception of Telecommunications ได้กำหนดมาตรการที่คล้ายคลึงกับกฎหมาย CALEA สำหรับใช้ทั่วยุโรป ถึงแม้จะมีประเทศสมาชิกของ EU บางประเทศไม่เต็มใจยอมรับมตินี้ เนื่องจากความกังวลเกี่ยวกับการละเมิดความเป็นส่วนตัว (ซึ่งเป็นหลักการที่มีการกล่าวถึงอย่างชัดเจนในยุโรปมากกว่าสหรัฐฯ) อย่างไรก็ตามดูเหมือนว่าในปัจจุบันมันได้กลายเป็นข้อตกลงทั่วไปด้วยมตินี้ น่าสนใจที่ข้อบังคับเกี่ยวกับการลักลอบดักข้อมูลในยุโรปเข้มงวดมากกว่าสหรัฐฯ เช่น มีข้อบังคับให้ผู้ประกอบธุรกิจการสื่อสารทางเสียงและอินเทอร์เน็ตสาธารณะในเนเธอร์แลนด์จะต้องสนับสนุนความสามารถในการลักลอบดักข้อมูลเป็นเวลาหลายปีมาแล้ว นอกจากนี้ สถิติที่เผยแพร่สู่สาธารณะยังชี้ให้เห็นว่าจำนวนของการลักลอบดักข้อมูลในยุโรปมีจำนวนเกินกว่าการลักลอบดักข้อมูลในสหรัฐฯ ถึงหลายร้อยครั้ง

ยุโรปยังคงดำรงไว้ซึ่งการเป็นผู้นำโลกในบทบาทส่วนนี้ โดยในปีค.ศ.2006 รัฐสภาและสภาที่ปรึกษาแห่งยุโรปได้ออกกฎระเบียบว่าด้วยการเก็บรักษาข้อมูล (Data Retention Directive) ข้อกำหนดของระเบียบนี้ครอบคลุมถึงการสื่อสารอิเล็กทรอนิกส์ทางสาธารณะทั้งหมดอย่างกว้างขวาง และบังคับให้มีการดักจับข้อมูลข่าวสารที่เกี่ยวข้องทั้งหมด รวมถึงสถานที่ของการสื่อสารทั้งหมด ต้องเก็บข้อมูลข่าวสารนั้นเป็นระยะเวลาอย่างน้อยสองปี และเตรียมพร้อมสำหรับการเรียกตามกฎหมาย มีประเทศอื่น ๆ ที่เอาอย่างระเบียบนี้อย่างกว้างขวาง

สหรัฐอเมริกา

ในสหรัฐฯ มีข้อบังคับสองฉบับของรัฐบาลกลางที่นำมาใช้กับการลักลอบดักข้อมูลส่วนหนึ่ง อีกส่วนหนึ่งให้ดำเนินการตามกฎหมายท้องถิ่น กฎหมาย Omnibus Crime Control and Safe Streets Act ปีค.ศ.1968 หัวข้อที่สามมีส่วนเกี่ยวข้องกับการลักลอบดักข้อมูลตามกฎหมายเพื่อการสืบสวนอาชญากรรม กฎหมายที่สอง Foreign Intelligence Surveillance Act หรือ FISA ปีค.ศ.1978 แก้ไขโดยกฎหมาย Patriot Act วางระเบียบในการดักข้อมูลเพื่อจุดประสงค์ในการหาข่าวกรอง ประเด็นในการสืบสวนจะต้องเกี่ยวข้องกับชาวต่างชาติหรือบุคคลที่ทำงานเป็นสายลับให้กับต่างชาติ ผู้ดำเนินการรายงานประจำปีของศาลสหรัฐฯ ระบุว่าคดีที่เกี่ยวข้องกับการลักลอบค้ายาเสพติด มักพบว่าโทรศัพท์มือถือเป็นรูปแบบการสื่อสารที่ถูกลักลอบดักข้อมูลอย่างเห็นได้ชัด

เพื่อช่วยบังคับใช้กฎหมายและเอฟบีไอให้บรรลุผลในการดำเนินการดักข้อมูลอย่างมีประสิทธิภาพ และเมื่อพิจารณาถึงการพัฒนาของการสื่อสารเสียงแบบดิจิทัลและเครือข่ายไร้สาย เหมือนกับประเทศส่วนใหญ่ในช่วงทศวรรษ 1990 มีส่วนผลักดันให้รัฐสภาสหรัฐฯ ผ่านกฎหมาย CALEA ในค.ศ.1994 กฎหมายนี้ได้ให้ขอบข่ายตามกฎหมายของรัฐบาลกลางสำหรับผู้ประกอบธุรกิจเครือข่ายในการให้การสนับสนุน LEA ในการจัดเตรียมหลักฐานและข้อมูลข่าวสารด้านยุทธวิธี ในปีค.ศ.2005 ได้มีการนำกฎหมาย CALEA มาใช้กับการเข้าถึงเครือข่ายอินเทอร์เน็ตบรอดแบนด์สาธารณะและบริการวอยซ์ โอเวอร์ ไอพีที่เชื่อมต่อเข้ากับเครือข่ายโครงข่ายโทรศัพท์สวิตช์สาธารณะ (Public Switched Telephone Network : PSTN)

ที่อื่น

ประเทศส่วนใหญ่ทั่วโลกรักษาข้อบังคับด้าน LI คล้ายคลึงกับยุโรปและสหรัฐฯ และได้เปลี่ยนมาใช้มาตรฐานของ ETSI อนุสัญญาว่าด้วยอาชญากรรมทางคอมพิวเตอร์ได้บังคับให้มีความสามารถนี้ด้วย

การใช้ที่ผิดกฎหมาย

นอกจากจะเป็นเครื่องมือบังคับใช้กฎหมายแล้ว ระบบ LI ยังอาจถูกใช้ในจุดประสงค์ที่ผิดกฎหมายด้วย เหตุการณ์นี้เกิดขึ้นในประเทศกรีซ ในระหว่างการจัดการแข่งขันกีฬาโอลิมปิค ปีค.ศ.2004 Vodafone Greece ผู้ประกอบธุรกิจโทรศัพท์ถูกปรับเป็นเงิน 1,000,000 เหรียญสหรัฐฯ ในปีค.ศ.2006 เนื่องจากไม่สามารถรักษาความปลอดภัยให้กับระบบเพื่อป้องกันการเข้าถึงที่ผิดกฎหมาย

นนทวรรธนะ สาระมาน
Nontawattana Saraman & Kiattisak Somwong
เรียบเรียง

สมรภูมิรบบนโลกไซเบอร์ Cyberwar


อินเตอร์เน็ต คือ โครงสร้างพื้นฐานทางข้อมูลข่าวสารอันประกอบขึ้นจากเครือข่ายคอมพิวเตอร์ที่มาเชื่อมต่อกันเป็นจํานวนมากจากทั่วโลก โดย “เครือข่ายแห่งเครือข่าย” (Network of Networks) ที่ว่านี้จะอาศัยภาษาคอมพิวเตอร์กลางร่วมกัน มี มาตรฐานกลาง (Standard Protocol) ในการรับส่งข้อมูลร่วมกัน ทำให้คอมพิวเตอร์ต่างๆ ในเครือข่ายสามารถสื่อสารกันได้ จุดเริ่มต้นของอินเตอร์เน็ต คือ โครงการ ARPANet (Advanced Research Projects Agency Network) ของกระทรวงกลาโหมประเทศสหรัฐอเมริกาในช่วงปลายคริสต์ศตวรรษ 1960 ซึ่งเป็นโครงการทดลองเพื่อค้นคว้าหาต้นแบบของ
เครือข่ายทางคอมพิวเตอร์ที่สามารถจะรับส่งข้อมูลและสื่อสารกันต่อไปได้ แม้เครือข่ายบางส่วนจะล่มสลายหรือถูกทำลายจากการโจมตีทางการทหาร
ถึงแม้ชื่ออินเตอร์เน็ตจะเริ่มเป็นที่ใช้กันตั้งแต่กลางคริสต์ทศวรรษที่ 1980 แต่ก็ ยังไม่เป็นที่ รู้จักแพร่หลายจนประมาณต้นคริสต์ทศวรรษที่ 1980 จวบจนกระทั่งปัจจุบันมีการประมาณการตัวเลขผู้ใช้อินเตอร์เน็ตทั่วโลกว่าสูงถึง 1000 ล้านคน ซึ่งผู้ใช้ส่วนใหญ่ในยุคนี้จะเป็นธุรกิจหรือบริษัทต่าง ๆ ที่ ต้องการประชาสัมพันธ์ตนเองผ่านอินเตอร์เน็ตหรือใช้ประโยชน์ จากเทคโนโลยีสื่อใหม่นี้ในเชิงพาณิชย์ การใช้ประโยชน์จากอินเตอร์เน็ตที่มุ่งเน้นเชิงพาณิชย์เป็นผลจากการที่อินเตอร์เน็ตได้เข้าสู่รูปแบบใหม่ในการนำเสนอเนื้อหาสืบเนื่องจากการพัฒนาเทคโนโลยีไฮเปอร์ลิงค์ (hyperlink) ขึ้นที่ห้องปฏิบัติการเทคโนโลยีเครือข่ายแห่งหนึ่งในยุโรปและการพัฒนาเทคโนโลยีไฮเปอร์เท็กซ์ (hypertext) ที่มหาวิทยาลัย อิลินอยส์ การพัฒนาเทคโนโลยีทั้งสองรูปแบบทำให้เกิดโฉมใหม่ของอินเตอร์เน็ตอย่างที่เรารู้จักกันในปัจจุบันคือ เวิรล์ ไวด์ เว็บ (World Wide Web) และนำไปสู่ลักษณะความเป็นสื่อประสม (Multimedia) อย่างแท้จริง นอกจากนั้นในยุคประมาณราวปี 1990 เองยังเป็นยุคของการถือกำเนิดของภัยคุกคามประเภทใหม่อันเกิดขึ้นเนื่องจากกลุ่มผู้เชี่ยวชาญคอมพิวเตอร์ที่อาศัยข้อได้เปรียบและประโยชน์ของเครือข่ายอินเตอร์เน็ทในการทดสอบ หรือทดลองเทคนิคใหม่ๆ ในการส่ง หรือลักลอบเข้าไปดูและใช้ข้อมูล ซึ่งต่อมาได้พัฒนามาเป็นภัยคุกคามที่ระบาดอยู่ในปัจจุบัน
จากเอกสารผลสำรวจที่จัดทำขึ้นโดยหน่วยงาน คอมพิวเตอร์ ซิเคียวริตี้ อินสติติวท์/สำนักงานสืบสวนสอบสวนกลาง (CSI/FBI) ที่ได้กล่าวอ้างถึงข้างต้น และเอกสารบรรยายโดย CERT® Coordination Center สามารถสรุปประเด็นสำคัญๆ ได้ดังนี้
ความเสียหายที่เกิดขึ้นเนื่องจากการโจมตีจากไวรัสคอมพิวเตอร์คิดเป็นมูลค่ามากที่สุด
การโจมตีไปยังเวบไซต์มีอัตราเพิ่มสูงขึ้นอย่างมาก
หน่วยงานราชการเป็นหน่วยงานที่ลงทุนกับเรื่อง IT Security สูงที่สุด
ครึ่งหนึ่งของหน่วยงานผู้ถูกสำรวจ งบลงทุนทางด้าน IT Security คิดเป็นประมาณ 1-5% ของงบประมาณทางด้าน IT
การคำนวณการลงทุนทางด้านIT Security มีดังนี้
38% ใช้ Return on Investment (ROI)
19% ใช้ Internal Rate of Return (IRR)
18% ใช้ Net Present Value (NPV)
การแจ้งความลดลงอย่างต่อเนื่องทุกปี
87% ของหน่วยงานผู้ถูกสำรวจได้มีการทำ Security Audit เพิ่มขึ้นจาก 82% ในปีก่อนหน้านี้
ผู้ตอบแบบสอบถามส่วนใหญ่ให้ความสำคัญการอบรมเรื่อง Security Awareness

แนวโน้ม
ผู้บุกรุกที่มีความเชี่ยวชาญ/ผู้บุกรุกหน้าใหม่ มีจำนวนเพิ่มสูงขึ้น
ความถี่และผลลัพธ์ในการบุกรุกมีจำนวนสูงและรุนแรงขึ้น
รูปแบบและเครื่องมือที่ใช้ในการโจมตี/บุกรุก มีความซับซ้อนขึ้น
อุปกรณ์และระบบป้องกันมีความซับซ้อนมากขึ้น

ยกตัวอย่างข่าวที่เกี่ยวกับความมั่นคงและอาชญากรรมทางคอมพิวเตอร์ที่ผ่านมาในรอบ 2 ปี
ในปี 2551-2552 ที่เป็นข่าวเกี่ยวกับความมั่นคงทางเศรษฐกิจด้วยการจรากรรมข้อมูล 18 เมษายน 2551 ข่าวในผู้จัดการรายวัน “รวบแฮกเกอร์หนุ่มเจาะข้อมูล-ดูดเงินบัญชีลูกค้าแบงก์ใหญ่เกือบล้าน”
8 กรกฏาคม 2551 ข่าวจาก OKNation “เว็บสภาโดนแฮกเกอร์เปลี่ยนรูปท่านประธานชัย”
24 กรกฏาคม 2551 ข่าวจาก อสมท (MCOT) “จับแก๊งไนจีเรียใช้ไทยตุ๋นคนทั่วโลกผ่านระบบอินเตอร์เน็ต”
30 สิงหาคม 2552 ข่าวจากไทยรัฐออนไลน์ “ไอซีที พบ 16 จุดต่อต่อคลิปเสียงนายกฯ”
14 กันยายน 2552 ข่าวจากมติชนออนไลน์ เปิดปฏิบัติการ”ลับ”สีกากีเจาะข้อมูลป.ป.ช.-โยงอดีต “บิ๊ก ตร.” -รัฐมนตรีสังกัดพลังประชาชน
29 ตุลาคม 2552 คดีปล่อยข่าวลือเรื่องหุ้น จนมีผลกระทบต่อนักลงทุน ซึ่งคดีนี้ก็ใช้ พ.ร.บ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์มาใช้กับการเสนอข้อมูลอันเป็นเท็จซึ่งก่อให้เกิดผลต่อความมั่นคงของชาติ
ในต่างประเทศ
8 พฤษภาคม 2551 ข่าวจาก Cyberbiz ในเว็บไซต์ผู้จัดการ “เว็บไซต์โรคลมบ้าหมูถูกแฮก ทำคนอ่านลมชัก-ไมเกรนกำเริบ”
แหล่งข่าวเดียวกันในวันที่ 13 สิงหาคม 2551 “เว็บประธานาธิบดีจอร์เจียย้ายโฮสไปอเมริกาหลังถูกแฮก”
13 กรกฏาคม 2552 ข่าวจาก คม-ชัด-ลึก สงครามไซเบอร์…ถล่มเกาหลีใต้ส่ง”ซอมบี้” ทำลายระบบสื่อสาร จนระบบล่มไปเกือบ 3 วัน ข่าวนี้ทำให้โลกเริ่มตะหนักถึงภัยคุกคามที่เรียกว่า “botnet” มากขึ้นและมีโอกาสที่เกิดขึ้นได้กับทุกประเทศ
นอกจากนี้ก็ยังมีข่าวการหลอกลวงทางอินเตอร์เน็ตผ่าน social network ทั้งเด็ก ผู้ใหญ่ แม้กระทั่งพระ ซึ่งก็มีอัตราส่วนในการที่เป็นข่าวไม่เว้นแต่ละเดือน
แต่ที่หยิบยกมาเป็นเพียงบางส่วนของข่าวที่ได้รับความสนใจจากประชาชน จะเห็นได้ว่าที่เป็นข่าวพวกนี้มีเรื่องอินเตอร์เน็ตและคอมพิวเตอร์มาเกี่ยวข้องด้วย และมีอัตตราความรุนแรงมากขึ้นด้วย

ดังนั้นเราควรมีวิถีการดำเนินธุรกิจ การดำเนินงานของหน่วยงานราชการ และยุทธศาสตร์ในการป้องกันประเทศ กิจกรรมต่างๆเหล่านี้ล้วนแล้วต้องอาศัยเครือข่ายเชื่อมโยงของเทคโนโลยีสารสนเทศ ที่เรียกว่า ไซเบอร์สเปซ (Cyberspace) ยุทธศาสตร์แห่งชาติในการทำให้ Cyberspace ได้ถูกเตรียมขึ้นเพื่อพัฒนาวิธีการปกป้องโครงสร้างพื้นฐานที่สำคัญต่อเศรษฐกิจ ความปลอดภัย และวิถีการดำเนินชีวิตประจำวัน” จะพบว่ามีหลายประเทศในปัจจุบันนี้ได้บรรจุเรื่องการป้องกันตัวเองจากภัยคุกคามที่มาพร้อมกับ ไซเบอร์สเปซ ซึ่งอาจถือได้ว่าเป็นแนวรบที่สี่ (กองทัพเน็ต) นอกจากกองทัพบก กองทัพเรือ กองทัพอากาศ เข้าเป็นวาระแห่งชาติไปเรียบร้อยแล้ว เช่นตัวอย่างในประเทศอเมริกา อดีตประธานาธิบดี George W. Bush ในเอกสาร National Strategy to Secure Cyberspace ซึ่งถูกจัดทำโดย Department of Homeland Security ในปี 2003 ได้จัดทำเรื่องงานก่อการร้ายภัยคุกคามทางอินเตอร์เน็ตเป็นวาระแห่งชาติ เป็นต้น

ภัยคุกคามที่มาพร้อมกับ ไซเบอร์สเปซ อาจก่อให้เกิดปัญหาสำหรับความมั่นคงภายใน เป็นสิ่งที่หน่วยงานกลางของรัฐบาล หน่วยงานราชการ สถาบันการศึกษา และบริษัทเอกชนรวมทั้งพลเมืองในประเทศต้องร่วมมือกันเพื่อรับมือและแก้ไขเหตุการณ์ที่สามารถเกิดขึ้นได้อยู่ตลอดเวลา จากการสำรวจของคอมพิวเตอร์ ซิเคียวริตี้ อินสติติวท์/สำนักงานสืบสวนสอบสวนกลาง (CSI/FBI) พบว่าในปี 2009 คาดการณ์ว่าจะมีมูลค่าความเสียหายราว 300 ล้านเหรียญสหรัฐ ทั้งนี้เป็นคิดเป็นมูลค่าที่ลดลงมากเมื่อเทียบกับปีที่ผ่านๆมา เพราะหลายๆหน่วยงานในสหรัฐอเมริกา ได้ให้ความสนใจกับปัญหาและร่วมกันป้องกันปัญหาดังกล่าว สำนักข่าวกรองแห่งชาติในหลายประเทศ ได้เพิ่มงบประมาณในการจัดหาเทคโนโลยีเพื่อหาข่าวและสืบค้นหาผู้กระทำความผิดทางอินเตอร์เน็ตไม่ว่าในประเทศอเมริกาหน่วยงานอย่าง CIA หน่วยสืบรายการลับของกลาโหม , NSA และ NRO เป็นองค์กรพันธมิตรด้านงานราชการลับ , FAPSI สำหรับตอบโต้การจารกรรม , ในรัสเซียมีหน่วยงานชื่อ MI5 ในประเทศอังกฤษ มีหน่วยงานชื่อ GCHQ ในฝรั่งเศส ก็มีหน่วยงานชื่อ DGSE ในเยอรมันมี BND ที่ประเทศจีนมีกระทรวงความมั่นคงแห่งชาติ
ส่วนประเทศไทย มีกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ , DSI สำนักคดีเทคโนโลยีและสารสนทเทศ ,
สำนักงานข่าวกรองแห่งชาติ , ศูนย์ iSOC กระทรวงเทคโนโลยีและการสื่อสาร และหน่วยงานด้านความมั่นคงทางทหารอื่นๆ อีกพอสมควร
จากข้อมูลพบว่าหน่วยงานในสังกัดรัฐบาลและหน่วยงานราชการได้ให้ความสำคัญกับการลงทุนด้านบุคคลากรและเทคโนโลยีในการป้องกันภัยในอัตราที่สูงมากที่สุด ข้อมูลเหล่านี้ย่อมสะท้อนถึงสิ่งที่จะเกิดขึ้นกับประเทศไทยอย่างหลีกเลี่ยงไม่ได้เช่นเดียวกัน

สำคัญว่างานด้านความมั่นคงภายในประเทศ เราควรมียุทธศาสตร์ที่ให้การพัฒนาศักยภาพด้านเทคโนโลยีในชาติมากขึ้นโดยพึ่งพาเทคโนโลยีต่างชาติให้น้อยลง เพราะศึกครั้งนี้ถือว่าเป็นอนาธิปไตยที่เราทุกคนในชาติต้องร่วมมือกัน มีคำกล่าวว่าสงครามโลกครั้งที่ 3 ไม่มีแล้ว จะเป็นสงครามทางไซเบอร์ แทนเพราะเราปฏิเสธไม่ได้ว่าในชีวิตประจำวันของเรานั้นล้วนเกี่ยวข้องกับข้อมูลข่าวสารทั้งสิ้น ไม่ว่าเป็น ธนาคารที่มีการทำธุรกรรมผ่านระบบอินเตอร์เน็ต , โรงพยาบาลที่มีการเก็บฐานข้อมูลคนไข้ผ่านระบบเครือข่ายคอมพิวเตอร์ , งานข้อมูลเกี่ยวข้องภาครัฐมีการเชื่อมต่อระบบอินเตอร์เน็ตให้ประชาชนเข้าถึงได้สะดวกขึ้น ไม่ว่าเป็น กรมสรรพกร , ทะเบียนราษฎร์ , ข้อมูลทะเบียนรถ , ข้อมูลเบอร์โทรศัพท์ อื่นๆ รวมถึงการหลุดข้อมูลลับจากการค้นหาผ่าน search engine เหล่านี้ล้วนแต่เราต้องกลับมานั่งคิดไตร่ตรองถึงวิธีการป้องกันภัยที่จะเกิดขึ้นบนความมั่นคงของชาติเราต่อไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman
ข้อมูลข่าว
http://infosec.sran.org/?p=88
http://www.manager.co.th/CyberBiz/ViewNews.aspx?NewsID=9510000053962
http://www.oknation.net/blog/chao/2008/07/08/entry-1
http://www.matichon.co.th/news_detail.php?newsid=1252844935&grpid=no&catid=02
http://www.sran.net/archives/161
http://news.mcot.net/crime/inside.php?value=bmlkPTEyMjcyNSZudHlwZT10ZXh0

3 in 3 out ภาคสืบหาผู้กระทำความผิดทางอินเตอร์เน็ต

ผู้กระทำความผิดทางอินเตอร์เน็ตคอมพิวเตอร์นั้น สามารถแบ่งได้เป็น 2 ส่วนคือ การกระทำความผิดด้วยเจตนา และการกระทำความผิดแบบไม่มีเจตนา
ในโลกความเป็นจริงแน่นอนสิ่งแรกที่เกิดขึ้นย่อมเกิดจากเจตนาของผู้ไม่ประสงค์ดีเสียก่อน และในโลกของการสื่อสารอินเตอร์เน็ตคอมพิวเตอร์นั้นเมื่อต้นเหตุคือผู้ที่เจตนาที่จะโจมตีระบบ สามารถสร้างเหยื่อที่เป็นเครื่องไม่เจตนานั้นมาใช้ในการกระทำความผิดได้ ที่เรียกว่า”การยืมดาบฆ่าผู้อื่น” และมีปริมาณสูงขึ้นพร้อมๆกับความเจริญเติบโตทางวัตถุนิยมและการบริโภคสื่อข่าวสาร

จำนวนเครื่องคอมพิวเตอร์จำนวนมากที่ขายในร้านค้า ในเวลาไม่ช้านานกับพบว่าเป็นเครื่องมือหนึ่งที่ใช้ในการโจมตีระบบหากไม่ระมัดระวังในการใช้ข้อมูลผ่านเครือข่ายอินเตอร์เน็ต ซึ่งเครื่องคอมพิวเตอร์นั้นจะสามารถถูกควบคุมในระยะไกลจากผู้ไม่หวังดีขึ้นเครื่องที่ตกเป็นเหยื่อ ดังกล่าวเรียกว่า ผีดิบ (zombie) ปริมาณของผีดิบมีจำนวนมากขึ้นก็เรียกว่า botnet ตามมา
การที่เราจะหาต้นตอของเครื่องคอมพิวเตอร์ที่กระทำความผิดนั้นเรียกว่า Traceback หรือสืบย้อนกลับไปหาต้นทางที่เป็นสาเหตุของการกระทำความผิดด้านคอมพิวเตอร์

การ Traceback เพื่อหาผู้กระทำความผิดสามารถพิจารณาได้ 2 กรณี

กรณีที่ 1 การหาผู้กระทำความผิดในเครือข่ายภายในองค์กร ในกรณีนี้ไม่มีอะไรซับซ้อนมากหากเครือข่ายองค์กรนั้นมีการบริหารจัดการระบบไอซีทีที่ดี มีการนำเทคโนโลยีที่เหมาะสมมาใช้ในองค์กร มีการเก็บบันทึกข้อมูลจราจร (Log) มีการจัดทำระบบบริหารจัดการรายชื่อพนักงานในการใช้งานอินเตอร์เน็ต มีคนใช้เทคโนโลยีอย่างมีวินัยและมีมาตราฐาน มีนโยบายควบคุมคน เพื่อให้คนใช้เทคโนโลยีอย่างมีประสิทธิภาพ(อ่านเพิ่มเติมได้ที่ การสร้างเครือข่ายตื่นรู้ )
หากมีการกระทำความผิดภายในเครือข่ายองค์กรนั้นสามาร Traceback สืบค้นย้อนกลับได้จากเทคโนโลยีการเก็บ Log ที่มีไว้ในเครือข่ายนั้นๆ นั้นเอง ในกรณีที่ 1 นี้ยังสามารถแยกเป็น 2 มุมมองได้ดังนี้
มุมมองแรกคือ มีการโจมตีจากภายนอกระบบเครือข่ายองค์กรเข้าสู่ภายในเครือข่ายองค์กร ได้แก่ การแพร่ระบาดไวรัสคอมพิวเตอร์ที่กระจายอยู่ทั่วอินเตอร์เน็ต ที่เป็นลักษณะ DDoS/DoS ได้โจมตีเข้าสู่เครือข่ายองค์กร การที่จะ Trackback หาต้นตอของการแพร่กระจายไวรัสนั้นจำเป็นต้องเข้าใจถึงหลักเกณฑ์การพิจารณาตามหลัก 3 in 3 out เสียก่อน คือพิจารณาตามชั้นของการสื่อสารข้อมูล
ชั้นแรก ข้อมูลที่เข้าและออกในฝั่งชายแดนเครือข่ายองค์กร ชั้นแรกสุด ได้แก่อุปกรณ์ Router , อุปกรณ์ Firewall เป็นต้น ดังนั้น Log ที่เกี่ยวข้องกับการแพร่ระบาดนั้นจะสามารถวิเคราะห์ได้จากทั้ง 2 อุปกรณ์ที่กล่าวมาแล้วเป็นหลัก
ชั้นสอง ข้อมูลที่เข้าและออกในฝั่งเครือข่ายองค์กรภายใน IP Address ภายใน ได้แก่ ข้อมูลที่ผ่านเข้าออก Core Switch , Sub Switch เป็นต้น
ชั้นสาม ข้อมูลที่เข้าและออก ภายในเครื่องคอมพิวเตอร์ภายในองค์กร เช่น เครื่องพนักงานนาย ก , เครื่องผู้จัดการฝ่าย , เครื่องประธานบริษัท เป็นต้น
หากไวรัสคอมพิวเตอร์สามารถหลุดผ่านในแต่ละชั้นเข้ามาภายในเครือข่ายองค์กรลงสู่เครื่องคอมพิวเตอร์ในองค์กรได้นั้น เราก็ยังมีหลักเกณฑ์การในการพิจารณาถึงความสัมพันธ์ข้อมูล และการไหลเวียนข้อมูลเข้าและออก จาก Log flies ที่เก็บเป็นชั้นๆ ตามหลัก 3 in 3 out ได้
มุมมองที่สอง คือ ภัยคุกคามเกิดจากภายในเครือข่ายองค์กรกระจายไปสู่โลกอินเตอร์เน็ต ดังนั้นการ Traceback สืบหาต้นตอนั้นจำเป็นต้องใช้หลัก 3 in 3 out มาพิจารณา โดยเริ่มเป็นชั้นๆ ในการวิเคราะห์ข้อมูลจาก Log files เป็นต้น ซึ่งในมุมมองที่สองนั้น ควรพิจารณาตามกฏหมายคอมพิวเตอร์ด้วยหากมีผู้ได้รับความเสียหายที่เกิดจากการกระทำที่เกิดจากองค์กรของเราเอง ก็จะทำให้มีความผิดตามกฏหมายได้เช่นกัน
(อ่านเพิ่มเติมได้ที่บทความเทคนิคการสืบหาผู้กระทำความผิดเกี่ยวกับคอมพิวเตอร์)

กรณีที่สอง การหาผู้กระทำความผิดจากภายนอก บนโลกอินเตอร์เน็ต
มีหลักการพิจารณาให้สังเกตการส่งข้อมูล ซึ่งการส่งข้อมูลนั้นประกอบด้วย 2 ส่วนคือ
– การส่งข้อมูลภายในประเทศไทย (National Internet Exchage:NIX)
– การส่งข้อมูลออกนอกประเทศไทย (International Internet Gateway:IIG)
ซึ่งทั้ง 2 ส่วนนี้จะเป็น IP Address ที่เป็น Public IP หรือ IP ที่สามารถมองเห็นได้จากโลกภายนอก

จากข้อมูล Internet Map ที่ทาง NECTEC จัดทำขึ้น (internet.nectec.or.th)

ขั้นตอนในการ Traceback
1. ค้นหาการจดทะเบียน (Whois) ของ IP Address หรือ Domain ที่ต้องการค้นหา เช่น 61.47.10.205
whois จากการใช้เครื่องผ่านเว็บไซต์หรือซอฟต์แวร์เสริม ได้แก่บริการ http://sran.org/whois
ส่ิงที่ต้องการพิจารณาเป็นพิเศษคือ ชื่อผู้ให้บริการ (ISP) ชื่อและที่อยู่ผู้ให้บริการ เบอร์โทรศัพท์
2. ค้นหาการเชื่อมโยงค่า AS (Autonomous System) เพื่อดูเส้นทางการไหลเวียนข้อมูลว่าชุด IP Address หรือ Domain ที่ต้องการค้นหาออกไปเส้นทางใด เช่น www.sran.net

จากภาพจะเห็นว่า domain www.sran.net ออกเส้นทาง AS4765 เป็นต้น ข้อมูลจาก robtex

ในบาง domain อาจมีการเชื่อมต่อที่มากกว่า 1 AS number เช่น domain บนเว็บไซต์ที่มีหลาย sub domain หรือมีระบบ e-mail server เป็นต้น

จากภาพ domain ของ gbtech.co.th มีช่องทาง AS number ถึง 3 ช่องทาง ข้อมูลจาก robtex

AS Number จะมีประโยชน์มากหากการรับส่งข้อมูลมีการติดต่อสื่อสารไปยังต่างประเทศ เช่นเราต้องการเปิดเว็บไซต์ที่อยู่ในต่างประเทศ www.google.com เส้นทางการรับและส่งข้อมูลก็จะเริ่มต้นขึ้นจากเครื่องคอมพิวเตอร์ของเราซึ่งอาจจะอยู่ที่บ้านหรือที่ทำงานหรือเป็น smartphone จะส่งข้อมูลไปยัง ISP ผู้ให้บริการในประเทศไทย ถ้าเป็น ISP ที่มีการเชื่อมสัญญาณข้อมูลไปต่างประเทศคือมี IIG (International Internet Gateway) เช่น CAT , TOT หรือ True Internet เป็นต้นการเชื่อมข้อมูล ISP ไปยัง AS router ที่อยู่ IIG ก็จะส่งข้อมูลไปยัง AS Router ที่ต่างประเทศเป็นทอดๆ (สังเกตการเชื่อมต่อข้อมูลจาก internet map ของ NECTEC) เราสามารถทดสอบเองได้ถึงเส้นทางการส่งข้อมูลผ่านคำสั่ง tracert (traceroute) ในเครื่องคอมพิวเตอร์ของเราเอง

การทราบค่า AS (Autonomous System) จะทำให้เราทราบถึงกลุ่ม IP Address

จากภาพจะเห็นว่าความสัมพันธ์ต่างๆ ได้แก่ Member of AS router, Number of originated prefixes , IP numbers เป็นต้น

ค่า AS number ยังมีประโยชน์สำหรับการวิเคราะห์ IP ที่เป็น Spam และ Phishing อีกด้วย ถ้าหากพบว่ามี IP ที่มีลักษณะดังกล่าวก็สามารถปิดการส่งข้อมูลได้ดังนั้น IP ที่อยู่ในบัญชีดำก็มักจะถูกปิดกั้นที่ AS Router ได้เช่นกัน

3. การค้นหา NS Lookup เพื่อดูการเชื่อมต่อของ DNS สำหรับเครื่องเป้าหมายที่มีชื่อ Domain name อยู่แล้วก็ไม่ซับซ้อนในการค้นหาด้วยวิธีนี้นักแต่หากมีแต่ IP Address เราจะทราบได้อย่างไรว่ามี Domain อะไรอยู่ภายใต้ IP Address นี้บ้างซึ่ง 1 IP Address อาจมีได้หลาย Domain ก็ได้ ดังนั้นเราจึงควรใช้วิธีสืบหาด้วยเทคนิค Reverse IP Lookup เช่นในกรณี IP 61.47.10.205 เมื่อทำการ Reverse IP Lookup แล้วจะพบว่ามีทั้งหมด 13 Domain ใน 1 IP ดังภาพข้างล่างนี้

ภาพการใช้เครื่องผ่าน http://sran.org/vhost.php จะทำให้ทราบรายชื่อ domain จากค่า IP Address ได้
การทำ Nslookup ทำให้เราสามารถได้ข้อมูลอื่นที่เกี่ยวข้องกับชื่อ domain ที่ต้องการค้นหาได้แก่ ข้อมูล DNS ของ Mail server เป็นต้น

ภาพตัวอย่างการใช้คำสั่ง Nslookup ผ่านเว็บไซต์ http://www.kloth.net/services/nslookup.php

4. นำ IP / domain name ที่ต้องการเอาไปค้นหาเพิ่มเติมใน Search engine เพื่อเรียนรู้กับข้อมูลที่ปรากฏให้มากที่สุด

5. นำ IP / domain name ที่ต้องการไปตรวจสอบกับเว็บไซต์ที่ใช้ตรวจความผิดปกติ เช่น botnet, spam , phishing , malware เป็นต้น จากแหล่งค้นหาดังนี้ google safe browsing , siteadvisor , phishtank , SANS , Project Honeypot หรือ Team Cymru เป็นต้น เพื่อค้นหาว่า IP / domain นั้นมีประวัติที่เกี่ยวข้องกับภัยคุกคามต่อผู้ใช้งานหรือไม่

หากกล่าวโดยสรุปถึงเทคนิคการสืบหาผู้กระทำความผิดทางอินเตอร์เน็ต สิ่งแรกที่เราต้องทราบก่อนนั้นคือ IP Address เป้าหมาย และตามมาด้วยช่วงวันและเวลาที่เกิดเหตุการณ์ โดยให้วิเคราะห์เป็นชั้นๆ ตาม 3 in 3 out เราจะได้มีกรอบในการปฏิบัติงานมากขึ้น

นนทวรรธนะ สาระมาน
Nontawattana Saraman


การทำ Penetration Test แบบมืออาชีพ ตอนที่ 2

จากตอนที่แล้วเราพบว่าการทำ Penetration test นั้นมีความสำคัญกับการที่จะประเมินหาช่องโหว่ที่เกิดขึ้นจากการใช้งานไอซีที ของบริษัทแล้วนั้น ตอนนี้มาทำความเข้าใจมากขึ้นอีกชนิดหนึ่งของการทำ Penetration test นั้นคือการทำ Penetration test ภายในองค์กร หรือจะเรียกว่า white box ก็ได้ ซึ่งการทำงานประเภทนี้ต้องได้รับความร่วมมือกับผู้ดูแลระบบของฝั่งผู้ใช้บริการ ตั้งแต่การให้แผนผังระบบเครือข่าย จำนวน IP Address ตลอดถึงรายละเอียดประเภทอุปกรณ์เครือข่ายที่เกี่ยวข้อง เป็นต้น เริ่มกันถึงตอนที่ 2 ต่อเนื่องเลยแล้วกันครับ

2. การทำ Penetration test ภายในองค์กรเชิงลึก
เป้าหมายในการทำ Penetration test ภายในคือการทดสอบหาช่องโหว่ที่พบจากการใช้งานไอซีทีในองค์กรเพื่อประเมินช่องโหว่และทำการปิดกั้นช่องโหว่ที่ค้นพบขึ้นเพื่อไม่เกิดปัญหาขึ้นในระยะยาว

มีขั้นตอนการทำงานดังนี้

2.1 สำรวจ : สำรวจผังโครงสร้างงานได้ไอซีทีขององค์กร, แผนผังระบบเครือข่าย, ประเภทอุปกรณ์ประกอบด้วย
– Network Device ได้แก่ จำนวนอุปกรณ์ Router , อุปกรณ์ Switch, อุปกรณ์ Firewall, Network Load balacing, Network VPN, Bandwidth management, อุปกรณ์ Network IDS/IPS
ซึ่งต้องบอกตำแหน่ง (Perimeter zone , DMZ zone) และค่า IP Address เป็นต้น
– เครื่องแม่ข่าย (Server) ได้แก่ Web Server, Mail Server , DNS Server ภายใน, Proxy Server, Authentication Server, ERP Server ซึ่งต้องบอกตำแหน่ง (DMZ zone) และค่า IP Address เป็นต้น
– เครื่องลูกข่าย (Client) ได้แก่ ระบบปฏิบัติการที่ใช้งานได้แก่ Window XP , Linux อื่นๆ ต้องบอกตำแหน่ง (VLAN) และค่า IP Address เป็นต้น

2.2 ตรวจสอบ : ตรวจสอบตามมาตราฐาน Security Checklist ดังนี้
ตรวจสอบความมั่นคงปลอดภัยตามมาตราฐานของ อุปกรณ์ Network Devices ได้แก่ Security Checklist Router , Firewall , IDS/IPS เป็นต้น
ตรวจสอบความมั่นคงปลอดภัยตามมมาตราฐานของ เครื่องแม่ข่าย (Server) ได้แก่ Security Checklist Windwos 2000 server , 2003 server , Linux Server เป็นต้น
ตรวจสอบความมั่นคงปลอดภัยตามมาตราฐานของ เครื่องลูกข่าย (Client) ได้แก่ Security Checklist การใช้งานเครื่องคอมพิวเตอร์ในองค์กรตามมาตราฐาน ISO27001 เป็นต้น

ซึ่งในส่วน security checklist นั้นทางผู้ปฏิบัติงานสามารถนำข้อมูลจาก NIST , NSA หรือ Thaicert ในเอกสารตรวจสอบในแต่ละส่วนได้

2.3 วิเคราะห์ : การวิเคราะห์ช่องโหว่ที่พบจากการสำรวจและตรวจสอบ
ในการวิเคราะห์นี้สามารถใช้อุปกรณ์ หรือ เครื่องมือในการประเมินความเสี่ยงเพื่อตรวจหาความผิดปกติและช่องโหว่ที่พบตามอุปกรณ์เครือข่าย (Network Devices) และเครื่องแม่ข่าย (Server) ที่สำคัญได้
การใช้เครื่องมือในการประเมินความเสี่ยง สิ่งที่ควรตรวจสอบให้มากขึ้นได้แก่

* การวิเคราะห์ในระดับเครือข่ายคอมพิวเตอร์ (Network Analysis)
– ปริมาณการใช้งาน Bandwidth ของระบบเครือข่าย ทั้งข้อมูลขาเข้าและขาออก
– ปริมาณ Throughput ของระบบเครือข่ายทั้งขาเข้าและขาออก แยกตาม Application Protocol ที่สำคัญ
ด้วยเนื่องจากจะช่วยตรวจสอบถึงการใช้งานอันไม่พึ่งประสงค์ของ User ในองค์กร ว่ามีการแพร่ระบาดไวรัสคอมพิวเตอร์ , เครื่อง User เป็น Botnet , การส่งข้อมูลขยะ (spam) หรือมีพฤติกรรมที่ผิดต่อนโยบายบริษัทหรือไม่อีกด้วย ซึ่งในส่วนนี้เราจะสามารถนำไปวิเคราะห์เป็นค่าภัยคุกคามในองค์กร ที่ใช้ประกอบกับขั้นตอนสุดท้ายคือการประเมินได้ต่อไป

** การวิเคราะห์ในระดับอุปกรณ์เครือข่ายและเครื่องแม่ข่ายที่สำคัญ
– ทำการใช้เครื่องมือประเมินความเสี่ยงเพื่อตรวจดู Port Services ที่อุปกรณ์เครือข่าย และ เครื่องแม่ข่ายที่สำคัญเปิดอยู่
– วิเคราะห์ช่องโหว่จากการใช้เครื่องมือหลังจากตรวจ Port Services แล้วจะพบว่า Services ที่ทำการใช้งานอยู่บนอุปกรณ์เครือข่ายและเครื่องแม่ข่ายที่สำคัญ นั้นมีการเปิดใช้งานอยู่ นั้นมีความช่องโหว่ที่เป็นภัยรุนแรงหรือไม่ เช่น เปิด Port services 80 TCP เป็น Application Protocol ของ HTTP ซึ่งในนี้ประกอบด้วย Web Server ที่ใช้งานอยู่ที่เป็น IIS , Apache , หรืออื่นๆ ซึ่งหากเป็น Version ที่มีช่องโหว่ หรือมี code exploit ที่สามารถส่ง command หรือ script จากทางไกลและสามารถยึดครองเครื่องนั้นได้ก็จะถือว่าเป็นระดับภัยคุกคามที่รุนแรง เป็นต้น
– วิเคราะห์หา Security Patch ที่อัพเดทล่าสุดเพื่อเสริมสร้างความมั่นคงปลอดภัยให้กับอุปกรณ์เครือข่าย และ แม่ข่ายที่สำคัญ โดยทั้งนี้ควรทำการเตรียมแผนทดสอบถึงผลกระทบก่อนการอัพเดท Security Patch ก่อน

4. ประเมิน : ขั้นตอนนี้จะเป็นการสรุปผลความเสี่ยงที่พบจากขั้นตอนที่ผ่านมา โดยทำเป็นค่าดัชนีชี้วัดความเสี่ยง และผลการปฏิบัติงาน รวมถึงแนวทางในการปิดกั้นส่วนที่เป็นช่องโหว่ (Hardening) และป้องกันในระยะยาว ซึ่งในส่วนนี้จะเน้นไปทางการทำรายงานผล ในรูปแบบเอกสาร
ขยายความค่าดัชนีชี้วัดความเสี่ยงเกิดจาก Risk = Vulnerability x Threat
ค่าความเสี่ยงที่ประเมินได้ ขึ้นอยู่กับนโยบายขององค์กรด้วย หาดูแล้วไม่กระทบกับธุรกิจมากค่าความเสี่ยงนั้นก็จะแปรผันไปกับการประเมินความเสี่ยงของผู้ปฏิบัติงาน (Penetration tester) ซึ่งในแต่ละที่อาจมีค่าการประเมินไม่เหมือนกัน
เช่น ในกรณีที่พบว่า พบช่องโหว่ Web Server ที่ระบบ IIS 6.0 ที่ยังไม่ได้อัพเดท Patch security เมื่อประเมินแล้วว่า Web Server นั้นไม่สามารถเข้าถึงได้จากอินเตอร์เน็ต และเป็นเครื่องเฉพาะในแผนกใดแผนกหนึ่งดังนั้นระดับความสำคัญที่เป็นภัยคุกคามที่รุนแรงก็จะน้อยกว่าเครื่อง Web Server ที่เผยแพร่ข้อมูลสาธารณะ (Public IP) ได้เป็นต้น ซึ่งค่าดัชนีชี้วัดส่วนนี้ขึ้นกับผู้ปฏิบัติงานในการทำ Penetration Test และประสบการณ์ รวมถึงความเขี่ยวชาญของบุคคลนั้นในการประเมิน บางครั้งการให้บริษัทต่างที่กันมาประเมินหาความเสี่ยง ก็อาจมีค่ารายงานผลไม่เท่ากันเสมอไป ขึ้นอยู่กับทีมปฏิบัติงาน ซึ่งหากในทีมมี Certification ด้าน Security แทบไม่มีผลหากผู้ปฏิบัติงานหากขาดประสบการณ์ในส่วนการวิเคราะห์และประเมินค่าความเสี่ยงนี้ได้

สรุปได้ว่าค่า Vulnerability (ช่องโหว่ที่ค้นพบ จาก อุปกรณ์เครือข่ายที่สำคัญ และเครื่องแม่ข่ายที่สำคัญ) จะมีระดับความเสี่ยง สูง กลาง และต่ำ หรืออาจจะมีรายละเอียดมากกว่านั้น
ค่า Threat (ภัยคุกคาม) ขึ้นกับนโยบายองค์กร และการประเมินค่าจะผู้ปฏิบัติงาน นำมารวมค่ากันแล้วจะได้เป็นดัชนีชี้วัดความเสี่ยงได้ ซึ่งการประเมินส่วนนี้ก็เป็นเทคนิคลับของแต่ละบริษัทที่ใช้ในการประเมินและสามารถวัดผลได้จริงในทางปฏิบัติ

มาถึงตรงนี้บอกได้ว่าการประเมินความเสี่ยงนั้นไม่สามารถที่สิ้นสุดการทำงานได้จากการใช้เครื่องมือ (tools) มาแล้วจะสรุปค่าความเสี่ยงที่เกิดขึ้นจากการใช้งานไอซีทีองค์กรได้จำเป็นต้องอาศัยคนวิเคราะห์ถึงระดับภัยคุกคามและผลลัพธ์รายงานที่มีประโยชน์ต่อบริษัทเพื่อใช้ในการปรับปรุงแก้ไขให้ระบบมีความแข็งแรงและมีความปลอดภัยขึ้น

นนทวรรธนะ สาระมาน
Nontawattana Saraman
05/10/52

การทำ Penetration Test แบบมืออาชีพ ตอนที่ 1

หลายคนคงสงสัยว่า Penetration Test กับ Vulnerability Assessment มันแตกต่างกันอย่างไง วันนี้เราสามารถกระจ่างกับ 2 ศัพท์นี้กัน
คำว่า Penetration test คือการทดสอบเพื่อหาช่องทางในการเข้าถึงระบบ (Exploit) ซึ่งการเข้าถึงระบบโดยผ่านช่องโหว่ที่พบอาจเป็น 0day ที่ยังไม่พบการแจ้งเตือนจากผู้ผลิต (Vendor) และการกระทำใดๆที่อาจทำให้ผู้ว่าจ้างได้ทราบถึงความเสี่ยง เสมือนปฎิบัติจริงการเป็นแฮกเกอร์เพื่อเจาะระบบ

ส่วนคำว่า Vulnerability Assessment คือ การประเมินหาความเสี่ยงที่เกิดจากช่องโหว่ที่ค้นพบ ตามช่องโหว่ที่มีความเสี่ยง ซึ่งส่วนใหญ่แล้วเป็นความเสี่ยงที่ปรากฎต่อสาธารณะแล้วตาม CVE (Common Vulnerabilities and Exposures)
ความแตกต่างทั้ง 2 คำนี้ก็คือ Pen-test นั้นคือการทดสอบเจาะระบบแบบแฮกเกอร์ เพื่อประเมินความเสี่ยงของธุรกิจหรือองค์กรนั้น ส่วน VA จะเน้นตรวจหาช่องโหว่ที่เป็นสาธารณะที่มีการเผยแพร่ช่องโหว่นั้นแล้ว เพื่อไม่ให้ถูกโจมตีจากผู้ไม่ประสงค์ดีได้  ทั้งคู่นี้จำเป็นต้องออกรายงานถึงระดับความเสี่ยงให้ผู้ว่าจ้างนั้นได้รู้ถึงภัยอันตรายที่อาจเกิดขึ้น

ดังนั้นหากเราพิจารณาดีๆ แล้วการทำ Penetration test จะเกิดก่อนการทำ Vulnerability Assessment อยู่ยกเว้นในบางกรณีที่ลูกค้าหรือผู้ใช้บริการทราบถึงช่องโหว่แล้วแต่ยังไม่สามารถประเมินค่าช่องโหว่ได้ตรงนี้ก็จะกระโดดไปทำ Vulnerability Assessment ได้ทันที แต่หากไม่สามารถระบุช่องโหว่อะไรได้เลยสิ่งแรกที่เราควรทำคือการทดสอบเจาะระบบเพื่อหาช่องทางในการเข้าถึงระบบเสียก่อน จึงเกิดเป็นการทำ Penetration test

การทำ Penetration test และ Vulnerability Assessment มีหลักการง่ายๆ ที่ทางทีมงาน SRAN ได้รวบรวมและสรุปเป็นขั้นตอนการปฏิบัติงานที่กระชับขึ้นและสามารถใช้ได้ทุกสถานะการณ์โดยสามารถแบ่งเป็นเนื้องานได้ดังนี้

การทำ Penetration test (การทดสอบเจาะระบบในเชิงลึก) ทั้งที่เกิดจากภายนอกระบบและภายในระบบเครือข่ายองค์กร ซึ่งการทำงานประเภทนี้ควรได้รับการอนุญาตจากบริษัท,องค์กรที่ว่าจ้างและมีการทำสัญญาการไม่เผยแพร่ความลับ และให้ดีกว่านั้นคืออาจต้องมีการเตรียมการกับผู้ดูแลระบบบริษัท , องค์กรให้ทราบถึงช่วงเวลาในการปฏิบัติงานที่แน่นอน เพื่อจะได้ระบุได้ว่าการโจมตีเกิดจากการทดสอบเจาะระบบจากทีมงานไม่ใช่นักโจมตีระบบอื่นที่ไม่เกี่ยวข้องในงาน ซึ่งส่วนนี้หากองค์กรมีระบบตรวจจับผู้บุกรุก IDS (Intrusion Detection System) ไม่ว่าเป็นระดับ Network หรือ Host base ก็จะเห็นความผิดปกติที่เกิดจากการทำการประเมินความเสี่ยงได้จาก Log ที่เกิดขึ้นบนอุปกรณ์ ซึ่งสามารถลัดขั้นตอนการทำประเมินความเสี่ยงโดยใช้อุปกรณ์ประเภทที่สามารถวิเคราะห์ Log files ที่เกิดบนระบบเครือข่ายคอมพิวเตอร์ได้ในที่นี้เราแนะนำใช้ NetApprove

1. การทำ Penetration Test จากภายนอกระบบเครือข่ายองค์กร หรืออาจเรียกว่าการทำ Black Box ก็ได้ คือ การใช้เครื่องคอมพิวเตอร์จำลองเป็นนักโจมตีระบบเพื่อหาทางเข้าสู่ระบบเครือข่ายองค์กรที่ให้ทำการประเมินความเสี่ยง โดยมีขั้นตอนดังนี้

1.1 สำรวจ : ตรวจหาเครือข่ายเป้าหมายในการปฏิบัติงาน เช่นบริษัท XYZ ต้องการให้ทำ Penetration test เพื่อดูว่าเครือข่ายองค์กรบริษัทมีช่องทางใดที่เป็นช่องโหว่และมีโอกาสที่ถูกโจมตีจากภายนอกได้
– การค้นหาข้อมูลบริษัท XYZ กับช่องทางการเชื่อมต่ออินเตอร์เน็ต โดยใช้เครื่องสาธารณะ และซอฟต์แวร์ในการค้นหาข้อมูล ซึ่งประกอบด้วย การค้นหาช่องทางสาธารณะได้แก่การ whois ชื่อ Domain name บริษัท XYZ ที่ทำการเปิดข้อมูลในสาธารณะเช่น เว็บไซต์ บริษัท อีเมลล์บริษัท เป็นต้น สิ่งที่ได้ตรงนี้คือเราจะทราบถึง รายชื่อผู้จดทะเบียนชื่อเว็บไซต์รของบริษัท ที่อยู่ เบอร์โทรศัพท์ที่ใช้ในการติดต่อ วันหมดอายุของ domain เว็บไซต์บริษัทนั้นได้ วิธีอาจจะไม่ได้รับข้อมูลทั้งหมดเนื่องจากสมัยนี้ได้มีการปิดข้อมูลชื่อผู้จดทะเบียนเว็บไซต์ และข้อมูลอีเมลล์ในการติดต่อได้
ผลลัพธ์ที่ได้จากการค้นหาข้อมูลสาธารณะนั้น คือ รายชื่ออีเมลล์ของผู้จดทะเบียนเว็บไซต์ ซึ่งปกติหากมีการจดทะเบียนควรตั้งชื่อเป็น pool e-mail ไม่ควรใช้ชื่อใครคนใดคนหนึ่งในองค์กรเป็นคนจดทะเบียนเว็บไซต์ ก็เพื่อว่าหากมีการโยกย้ายงาน หรือคนที่จดทะเบียนนั้นไม่อยู่ในบริษัทแล้วก็จะทำให้การอัพเดทข้อมูลในการจดทะเบียนเว็บไซต์เป็นไปอย่างยากลำบากขึ้น อีกทั้งหากเป็นชื่อ domain name ของเว็บไซต์ที่มีความสำคัญบุคคลที่จดทะเบียนเว็บไซต์ก็อาจจะมีความเสี่ยงที่นักโจมตีระบบจะใช้ช่องทาง e-mail เป็นการปลอมตัวเพื่อเข้าไปเป็นผู้จดทะเบียนเว็บไซต์ได้จากวิธีการเดา password หรือส่ง Trojan ไปที่ e-mail บุคคลนั้นเพื่อได้มาซึ่ง domain name ที่ได้ลงทะเบียนไว้ ถือว่าเป็นการยึด domain nameได้เช่นกัน ในปัจจุบันก็พบกันบ่อยๆว่ามีการยึด domain name เป็นตัวประกันเช่นกัน ในการค้นหาข้อมูลบริษัท XYZ ยังสามารถใช้เครื่องมือในการเรียกใช้บริการ DNS ที่ผู้จดทะเบียนเว็บไซต์นั้นได้เช่น DNS เชื่อมโยงไปยังที่ใด ฝากไว้กับ ISP หรือตั้ง DNS Server เอง ซึ่งส่วนนี้จะสามารถค้นหาช่องโหว่ที่เกี่ยวข้องกับการใช้บริการ DNS Server ได้โดยตรวจสอบหา Zone Transfer เพื่อดูความสัมพันธ์อื่นจากชื่อ domain อื่นที่พบ เช่น www.xyz.com พบว่ามี DNS ที่เกี่ยวข้องคือ mail.xyz.com , ns1.xyz.com , ns2.xyz.com เป็นต้นก็จะทำให้เครื่องเป้าหมายที่เราจะทำการ Penetration test เพิ่มช่องทางการเข้าถึงได้ถึง 3 เครื่องจากในตัวอย่างนี้ที่กล่าวไป

ในการใช้ข้อมูลสาธารณะนั้นยังมีอีกมากมาย เช่นตรวจสอบสถานะ Link ของเว็บไซต์ เพื่อดูความสัมพันธ์ของข้อมูล , ตรวจสอบหา e-mail ของ domain จากเครื่องมือค้นหา (search engine) เพื่อดูพฤติกรรมการใช้ข้อมูลองค์กร ในกรณีก็ค้นหาคำว่า @xzy.com เพื่อว่าจะเข้าถึงระบบจาก e-mail พนักงานในองค์กรได้อีกทาง ซึ่งหากทำ Penetration test ควรจะแจ้งให้บริษัทรับทราบถึงวิธีการดังกล่าวด้วย ไม่เช่นนั้นอาจผิดตามกฏหมายคอมพิวเตอร์ฯได้เช่นกันหากมีการตรวจสอบพบ

– สำรวจช่องทางการเข้าถึงเครือข่ายองค์กร โดยวิธีการนี้ต่อยอดจากการแบบแรก ซึ่งเน้นไปทางการค้นหาเส้นทางการเดินทางของข้อมูล (Route) ของบริษัท Xyz เพื่อออกสู่อินเตอร์เน็ตภายนอก หากพบว่าช่วง IP Address ที่เป็น Public IP ของบริษัทนั้นที่ค่ามาจาก ISP ก็จะทำให้มีช่องทางการเข้าถึงมากขึ้นจากเดิม ซึ่งจะทำให้นักโจมตีระบบสามารถใช้เทคนิคการตรวจสอบได้มากขึ้นเช่นการทำ DDoS/DoS กับช่วง IP ที่บริษัทได้รับมาเป็นต้น

สรุปได้ว่าในขั้นตอน สำรวจ นั้นจะต้องหาข้อมูลเกี่ยวข้องกับบริษัทที่ให้ประเมินความเสี่ยงมากที่สุด เพื่อหาช่องทางในการเข้าถึงระบบได้หลากหลายช่องทางขึ้น

1.2 ตรวจสอบ : เมื่อเราทำการรวบรวมข้อมูลที่ได้มาจากขั้นตอนสำรวจนั้น ก็จะทำการวาดรูปความสัมพันธ์เครือข่ายองค์กรออกมาพร้อมกำหนดจุดที่ทำการตรวจสอบขึ้น การตรวจสอบมักจะใช้ check list ตามมาตราฐาน หรือใช้เครื่องมือในการตรวจสอบ ในกรณีนี้เป็นการทำ Penetration test จากภายนอก สิ่งที่ตรวจสอบได้แก่
– Information leak จากขั้นตอนที่หนึ่ง เช่น รายชื่อผู้จดทะเบียนเว็บไซต์, e-mail, รายชื่อ DNS ที่มีความสัมพันธ์กับบริษัท, ข้อมูลรั่วจากการใช้งานอินเตอร์เน็ตได้แก่ e-mail พนักงานในการโพสข้อมูล, Link ของเว็บไซต์บริษัทที่ทำให้ได้ข้อมูลอื่นๆเป็นต้น
– Web Application checklist ตรวจสอบช่องโหว่ที่พบจากเว็บไซต์ในกรณีคือ www.xyz.com ว่ามีช่องโหว่ในการเข้าถึงระบบผ่าน Web application จากมาตราฐาน OWASP เป็นต้น รายละเอียดการตรวจสอบเบื้องต้นสามารถอ่านได้ที่ http://nontawattalk.blogspot.com/2009/09/layer-7-3.html

– DNS server checklist ตรวจสอบค่า Domain name server ที่แสดงข้อมูลสาธารณะ
– E-mail Server checklist ตรวจสอบค่าการใช้งาน E-mail server ที่แสดงข้อมูลสาธารณะ เช่นกรณีที่ บริษัท XYZ จัดทำ Mail server เองขึ้นการตรวจสอบจะตรวจว่า Mail server ของบริษัทนั้นจะมีโอกาสจดหมายขยะจะเข้าถึงได้หรือไม่เป็นต้น
– Network Topology checklist ตรวจสอบการเชื่อมต่ออินเตอร์เน็ตบริษัท เส้นทางการ route ข้อมูลจำนวน Linkของ ISP ที่บริษัท xyz ใช้บริการ ซึ่งส่วนนี้จะเน้นไปการทดสอบ DDoS/DoS ว่าทางบริษัท xyz มีการควบคุมการโจมตีชนิดนี้ได้หรือไม่ ซึ่งจะสะท้อนให้เห็นถึงความพร้อมโครงสร้างเครือข่าย (Network) ของบริษัทว่าได้มีการจัดเตรียมเทคโนโลยีด้านความมั่นคงปลอดภัยครบถ้วนในส่วน Perimeter network เช่นได้มีการจัดทำ ACL (Access Control List) ค่า Blacklist ในอุปกรณ์ Router หรือ Firewall , มีอุปกรณ์ Firewall ที่ป้องกันทางเครือข่ายในระดับ stateful inspection หรือไม่ เป็นต้น
– ตรวจสอบ Port services จากข้อมูลในขั้นตอนสำรวจ เช่น เราพบ IP Address ของเว็บไซต์บริษัท , e-mail , DNS server, Router ก็ทำการตรวจสอบว่ามี Port services อะไรที่ทำการเปิดไว้เพื่อจะทำการขยายผลต่อในขั้นตอนต่อไป

1.3 วิเคราะห์ : เมื่อทำการตรวจสอบจากการสำรวจและตรวจสอบ ภายนอกเครือข่ายองค์กรแล้วนำข้อมูลเหล่านั้นมาทำการวิเคราะห์เพื่อศึกษาว่าพบช่องโหว่และการเข้าถึงข้อมูล เช่น จากการตรวจสอบ Port services พบว่ามีการเปิด Port ที่มีช่องโหว่และสามารถเข้าถึงระบบจากภายนอกได้ ผ่านการให้บริการ Web server port 80 ช่องโหว่ที่พบคือ มีการใช้ Web server version เก่าและมี tools ในการเข้าถึงระบบ (Exploit) ผ่านช่องโหว่นี้ได้ หรือ ใน Web server เปิด port 1433 เป็นการเปิด port SQL server เป็น Data base บนเครื่อง Web server และมี exploit ที่เข้าถึงระบบได้ เป็นต้น
ในขั้นตอนวิเคราะห์จะลงรายละเอียดถึงการเข้าถึงระบบจากภายนอก เป็นส่วนๆจากขั้นตอนสำรวจและตรวจสอบ เช่น ส่วนของ Web server , ส่วนของ E-mail Server , ส่วนของ DNS server และส่วนของ Router เป็นต้น

1.4 ประเมิน : ในส่วนนี้ผมขอเรียกว่า Vulnerability Assessment เมื่อทำการวิเคราะห์ถึงช่องโหว่ที่พบแล้ว ถึงขั้นตอนสุดท้ายคือการประเมิน ว่าช่องโหว่ที่พบนั้นมีความเสี่ยงและมีผลกระทบต่อธุรกิจองค์กรอย่างไร
ส่วนใหญ่เป็นเอกสารการแนะนำและการปิดช่องโหว่ที่พบ
สูตรการหาค่าความเสี่ยงต่อธุรกิจองค์กร Risk = Vulnerability x Threat หรือบ้างครั้งอาจจะเห็นเป็นสูตร
Risk = Vulnerability x Threat x cost การประเมินความเสี่ยง (Risk Assessment) สามารถมองได้ 2 แบบคือด้านมหาภาคภาพรวมองค์กร ที่ต้องดูถึง 3P คือ
Vulnerability คน กระบวนการ และเทคโนโลยี
Threat จากคน กระบวนการและเทคโนโลยี
และ จุลภาคคือทางด้านเทคนิคอย่างเดียว คือมอง Vulnerability และ Threat เฉพาะทางเทคโนโลยี
และทั้งหมดผมขออธิบายก็เป็นเฉพาะส่วนของเทคนิคอย่างเดียว ยังไม่มองแบบครบ 3P
คือการประเมินหาความเสี่ยงจาก
ค่าความเสี่ยง (Risk)ที่พบ จะเกิดจาก ช่องโหว่ที่พบ (Vulnerability) คูณกับค่าภัยคุกคาม (Threat) ลักษณะภัยคุกคามที่พบก็มีความเสี่ยงสูง กลาง และต่ำ ซึ่งส่วนนี้ขึ้นอยู่รูปแบบผู้ทำเอกสารว่าจะจัดทำค่าการประเมินความเสี่ยงจากอุปกรณ์หรือเครื่องมือในตรวจวิเคราะห์ (Tools) มาสรุปความเสี่ยง สูง กลาง และต่ำ ก็ได้

และจัดทำค่าดัชนีชี้วัดความเสี่ยงที่มีผลกระทบต่อธุรกิจทางด้านเทคนิค ซึ่งเอกสารในผลลัพธ์ของแต่ละบริษัทที่จัดทำอาจจะมีรูปแบบที่แตกต่างกันได้เช่นกัน

ในตอนหน้าเรามาพูดถึงการทำ Penetration test และ Vulnerability Assessment ภายในองค์กรกันต่อไปครับ

เขียนโดย
นนทวรรธนะ สาระมาน
Nontawattana Saraman
4 / 10 /52

SRAN ใส่ใจความเป็นส่วนตัว

ดูคลิปเองเลยครับไม่มีคำบรรยาย

หลังจากนำอุปกรณ์ SRAN Light ติดตั้งที่เครือข่ายคอมพิวเตอร์ในบริษัทแล้ว เราจะสามารถทำการกำหนดค่าความเป็นส่วนตัวของพนักงานได้ SRAN Light ใส่ใจข้อมูลความเป็นส่วนตัวของคุณ
รายละเอียดเพิ่มเติมดูได้ที่ http://sran.org/q

นนทวรรธนะ สาระมาน
Nontawattana Saraman

ปฏิวัติระบบระบุตัวตนทางเครือข่ายคอมพิวเตอร์ SRAN Light ตอนที่ 2

เคยเบื่อบ้างไหม! กับการต้องมานั่ง Login ทุกครั้งเมื่อต้องการใช้งานอินเตอร์เน็ต เหตุเพราะที่ทำงานต้องการเก็บ Log คนเข้าใช้งาน เลยต้องทำระบบระบุตัวตน (Authentication) การ Login เป็นการยืนยันตัวตนแบบชั้นเดียวก็มีโอกาสผู้อื่นมาใช้ username และ password ที่สุดแสนจะเดาง่ายของเราได้ เนื่องจากต้องทำการ Login บ่อยๆ จึงทำให้ตั้ง password ที่สะดวกในการจดจำ

แล้วเคยเบื่อบ้างไหมว่า ลงทุนระบบไปแล้วติดตั้งไม่รู้จักจบจักสิ้นเสียที ติดตั้งมาเป็นเดือนแล้วยังไม่ได้ผลลัพธ์อย่างที่ต้องการ แถมซ้ำ Log ที่ได้มากับค้นหาผู้กระทำผิดได้ยากหรืออาจจะไม่ได้เลยเพราะอ่านไม่รู้เรื่อง หากเคยเบื่อกับอาการดังกล่าว ลองหันมาฟังทางนี้ เรามีทางเลือกใหม่ให้ ทุกอย่างครบและเสร็จสิ้นที่อุปกรณ์เดียวในชื่อ SRAN Light จะทำให้ Log ที่เห็นเป็นเรื่องง่ายในการสืบค้นโดยไม่จำเป็นต้องอาศัยผู้เชี่ยวชาญก็อ่าน Log ของ SRAN แล้วบอกถึงผู้กระทำความผิดทางคอมพิวเตอร์ได้

SRAN Light ถูกออกแบบมาเพื่อให้ผู้ใช้ (User) เกิดความสะดวกสบาย ขึ้นโดยไม่ต้อง Login ทุกครั้งที่จะเชื่อมต่ออินเตอร์เน็ตในเครือข่ายองค์กร เพียงครั้งแรกและครั้งเดียวระบบก็จะเก็บบันทึกความเป็นตัวตนของผู้ใช้งานไว้ ด้วยเทคโนโลยี HBW (Human Behavioral Warning System) ที่ได้ถูกคิดค้นขึ้นจากทีมงาน SRAN จึงทำให้ไม่ต้อง Login แล้ว Login อีก ก็สามารถระบุตัวตนผู้ใช้งานได้อย่างครบถ้วน

รายละเอียด http://sran.org/q

ไฟล์เอกสารแนะนำเทคโนโลยีและการออกแบบการใช้งานสำหรับ SRAN Light http://sran.org/b2

คลิปสาธิตการเฝ้าระวังภัยคุกคามภายในองค์กร (Insider Threat)

อีกก้าวหนึ่งของทีมงาน SRAN ที่พัฒนา SRAN Light เป็นการระบุตัวตนและเฝ้าระวังภัยคุกคามทางเครือข่ายคอมพิวเตอร์ได้อย่างลงตัว
สนใจติดต่อตัวแทนขายที่ท่านรู้จักเพื่อทดลองใช้ดูกัน อีกสิ่งดีๆที่ต้องการเสนอให้กับเครือข่ายองค์กรในประเทศไทยได้รู้ทันภัยคุกคามที่อาจเกิดขึ้นกับตัวของท่านและบริษัทของท่านได้ตลอดเวลา SRAN Light ถือว่าเป็นก้าวหนึ่งที่แสดงถึงการพัฒนาการอย่างไม่หยุดนิิ่งจากทีมวิจัยพัฒนา SRAN

นนทวรรธนะ สาระมาน
Nontawattana Saraman

ปฏิวัติระบบระบุตัวตนทางเครือข่ายคอมพิวเตอร์ SRAN Light ตอนที่ 1


ผมได้ดูพิธีวันชาติของประเทศจีนเมื่อวานนี้จากทางข่าวในทีวี บอกว่าอาวุธ,ถัง และเทคโนโลยีการทหารและด้านความมั่นคงของชาติ เป็นเทคโนโลยีที่จีนเป็นเจ้าของทั้งสิ้น ซึ่งในความเป็นเราๆก็รู้ๆกันอยู่ว่าจีนเก่งในเรื่อง C&D (Copy and Development) แต่นั้นไม่ใช่ปัญหา เนื่องจากผลลัพธ์ที่เราๆท่านๆเห็นอยู่ตรงหน้านั้นคือความยิ่งใหญ่ จนทุกวันเราคงยอมรับกันอย่างแพร่หลายแล้วว่าประเทศจีนคือประเทศมหาอำนาจชาติหนึ่งและเรียกได้ว่าอาจเป็นอันดับหนึ่งของโลกไปแล้วในไม่ช้านี้

ความเหมือนกันของวันชาติสิงคโปร์กับจีนนั้นเหมือนกันคือแสดงให้เห็นถึงความรักต่อประเทศของตน และแสดงศักยภาพให้ต่างประเทศที่ได้รับรู้ข่าวสารอย่างเราได้แต่ชื่นชม
ที่ผมกล่าวเช่นนี้นั้นหมายความได้ว่า ประเทศไทยหากจะต้องการเป็นมหาอำนาจอย่างเขา เราต้องเริ่มที่จะทำเทคโนโลยีเราเองบ้าง ผมคิดว่าประเทศไทยเป็นประเทศที่อุดมสมบูรณ์กว่า 2 ประเทศที่กล่าวมาอยู่มาก โดยเฉพาะภัยทางธรรมชาตินั้นเราน้อยกว่าเห็นๆ ยิ่งมีพายุเข้าในช่วงนี้รู้สึกรักประเทศไทยมากขึ้น คิดดูสิ พายุก่อตัวที่ฟิลิปปิน กว่าจะเคลื่อนเข้าประเทศไทย ต้องผ่านเวียดนาม ลาว กว่าถึงไทย พายุก็อ่อนกำลังลง ทะเลของเราก็สวยแถมยังเสี่ยงภัยน้อยกว่าที่อื่นๆ มองจากแผนที่โลกลงมาเนื้อที่โดดเด่นที่สุดก็คิดว่าเป็นประเทศไทยนี้แหละ อยู่ตรงกลางพอดีเลย
ที่กล่าวมาทั้งหมดไม่ได้เกี่ยวกับหัวข้อเลยแค่อยากให้คนไทยเริ่มต้นที่สร้างชาติกันอย่างหยั่งยืน ซึ่งอีกทางหนึ่งบนความรู้และความถนัดของผมและทีมงานแล้วเราก็คงได้เป็นเพียงส่วนหนึ่ง
และตอนนี้เราได้พัฒนาเทคโนโลยีตัวหนึ่งที่อยากนำเสนอ จริงๆเขียนไว้แล้วที่ http://www.sran.net/

Presentation ในงานเปิดตัว SRAN Light

ประเทศไทยจะก้าวไกลได้ทุกคนในชาติต้องสนับสนุนเทคโนโลยีที่เกิดจากภูมิปัญญาของคนไทยด้วยกัน
อย่าคิดว่าของไทยแล้วห่วยเทคโนโลยีไทยเป็นได้แค่การเกษตร จนมองข้ามเทคโนโลยีที่ถือว่าเป็นตัวชี้วัดคุณภาพของประเทศนั้นได้ไป และมองเพียงว่าเทคโนโลยีที่คนไทยทำนั้นไม่ work! ต้องบอกว่าไม่มีผู้ประกอบการคนไหนที่ต้องการสร้างของไม่ดีให้กับผู้บริโภคหลอก ยิ่งเราอยู่ตรงนี้ถ้าทำไม่ดีคนก็ว่าเราได้ตรงๆ กระทบต่อชื่อเสียงเราตรงๆ ต่างกับเทคโนโลยีข้ามชาติถ้าไม่ work เขาก็เอาตัวอื่นมาขายไม่ได้ยืนอยู่ตรงนี้เหมือนกับเรา รวมกันเถอะครับสนับสนุนเทคโนโลยีที่คนไทยเป็นผู้พัฒนาขึ้นอย่างน้อยทำให้เจตนาผู้ทำได้มีกำลังใจในการทำงานไม่เฉพาะ SRAN แต่ทุกเทคโนโลยีนับแต่นี้ไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman

การตรวจจับหมายเลขบัตรเครดิตในเครือข่าย

SRAN IP Securityตามมาตรฐาน Payment Card Industry Data Security Standard (https://www.pcisecuritystandards.org/) ได้กำหนดห้ามไม่ให้มีการรับส่งหมายเลขบัตรเครดิตในรูปแบบที่ไม่ได้เข้ารหัส และไม่ได้อำพรางไว้ โดยปกติแล้วระบบเฝ้าดูเครือข่ายเช่น IDS หรือ IPS เป็นสเมือนระบบบังคับเพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวจะไม่ถูกส่งผ่าน เครือข่าย แต่จากการตรวจสอบอย่างละเอียดแสดงให้เห็นว่าปฏิบัติตามข้อบังคับอย่างถูก ต้องนั้นทำได้ไม่ง่าย ข้อเขียนนี้จะแสดงถึงแง่มุมต่าง ๆ ในการใช้ระบบเฝ้าดูเครือข่ายเพื่อตรวจจับการรั่วไหลของหมายเลขบัตรเครดิต และเพื่อสร้าง Signature ในการตรวจจับความผิดปกติของข้อมูลบนระบบเครือข่าย ดังต่อไปนี้คือ

* การจับคู่ลำดับหมายเลขบัตรเครดิต
* การจัดการกับผลบวกลวง (false positive) โดยการใช้ข้อยกเว้น (exceptions)
* ข้อควรพิจารณาอื่น ๆ รวมทั้งการหลบหลีกการตรวจจับ บันทึกเหตุการณ์ (logging) และรูปแบบอื่น ๆ ที่ล่อแหลม

RegexTree:”

1. การจับคู่หมายเลขบัตรเครดิต

1.1 การจับคู่ลำดับหมายเลขบัตรเครดิต

หมายเลขบัตรเครดิตประกอบด้วยตัวเลข 13 ถึง 16 ตัว นอกจากนี้ในการใช้งานจริงหมายเลขบัตรเครดิตยังมีตัวคั่นอย่างเช่น เครื่องหมายขีดหรือเว้นวรรคในตำแหน่งเฉพาะ regular expression ต่อไปนี้สามารถใช้เพื่อจับหมายเลขบัตรเครดิตได้

d{4}[- ]?d{4}[- ]?d{2}[- ]?d{2}[- ]?d{1,4}

1.2 ขอบเขต

ลำดับตัวเลขยาว ๆ เป็นสิ่งที่เกิดขึ้นเป็นปกติในการจราจรในระบบเครือข่าย regular expression ที่กล่าวมาแล้วข้างต้นจะพบลำดับตัวเลขที่มีความยาวดังกล่าวจำนวนมาก เพื่อหลีกเลี่ยงเหตุการณ์นี้ เราจำเป็นต้องกำหนดตัวคั่น ตัวคั่นจะใช้ได้หรือไม่อาจขึ้นอยู่กับแอพพลิเคชั่นดังกล่าว ถ้าไม่ใช้ตัวคั่นเลยจะทำให้เกิดผลบวกลวงจำนวนมาก แต่ถ้าการใช้ตัวคั่นอาจนำไปสู้ผลลบลวงได้เช่นกัน ตัวอย่างเช่น เราควรอนุญาตให้มี “0″ นำหน้าหรือไม่ ?

ตัวเลือกที่มีเหตุผลสำหรับตัวคั่นคือตัวอักขระใด ๆ ที่ไม่ใช่ตัวเลข regular expression ที่ได้คือ ?

หรือถ้า regular expression ที่ไม่สนับสนุนการค้นหาแบบ look-ahead และ look-behind

(?:^|[^d])(d{4}[- ]?d{4}[- ]?d{2}[- ]?d{2}[- ]?d{1,4})(?:[^d]|$)

1.3 การตรวจสอบหมายเลขโดยใช้อัลกอริทึม LUHN checksum

อย่างไรก็ตามลำดับของตัวเลข 13 ถึง 16 ตัวไม่จำเป็นต้องเป็นหมายเลขบัตรเครดิตเสมอไป มีตัวเลขยาว ๆ จำนวนมากในการจราจรในเครือข่ายปกติจำนวนมาก ตัวอย่างเช่น เรามักพบหมายเลขไอดี อย่างเช่นหมายเลขผลิตภัณฑ์ใช้ในเวบจำหน่ายสินค้าออนไลน์ใช้ตัวเลข 13 ถึง16 หลักด้วย โชคดีที่หมายเลขบัตรเครดิตสอดคล้องกับฟังค์ชั่น LUHN checksum ระบบเฝ้าดูเครือข่ายสามารถใช้อัลกอริทึมนี้และตรวจสอบลำดับตัวเลขเพื่อตรวจ สอบว่าเป็นหมายเลขบัตรเครดิตหรือไม่

มาตรการนี้เพียงพอสำหรับการหลีกเลี่ยงผลบวกลวงหรือไม่ ? ฟังค์ชั่น LUHN เป็นฟังค์ชั่นในการ checksum ที่สร้างตัวเลขเพิ่มเติมสำหรับแต่ละหมายเลข ดังนั้นมันจึงจับคู่ 1 ใน 10 หมายเลขที่ต่อเนื่องกัน เนื่องจากในกรณีส่วนใหญ่ หลาย ๆ แอพพลิเคชั่นใช้ตัวเลขที่มีความยาวขนาดนี้เป็นหมายเลขไอดี แอพพลิเคชั่นนั่นก็อาจใช้ตัวเลขต่อเนื่องกันหลายหมายเลข ดังนั้นหนึ่งในสิบของหมายเลขที่ใช้อาจเป็นหมายเลขบัตรเครดิตจริง ดังนั้นการตรวจสอบตัวเลขโดยใช้สูตร LUHN จึงลดจำนวนของผลบวกลวงลงได้ร้อยละ 90 แต่ไม่ได้กำจัดลงไปทั้งหมด

1.4 ตรวจสอบตัวเลขนำหน้า (prefixes)

เพื่อลดจำนวนของผลบวกลวง ระบบเฝ้าดูสามารถตรวจสอบได้ว่าหมายเลขบัตรเครดิตนั้นไม่เพียงแต่ถูกต้องแต่ ยังได้รับการกำหนดไว้แล้วด้วย โดยปกติระบบเฝ้าดูไม่อาจมีรายการของหมายเลขที่กำหนดไว้ได้ทั้งหมด แต่มันสามารถตรวจตัวเลขนำหน้า ว่าตัวเลขกลุ่มใดที่กำหนดให้กับสถาบันทางการเงินแห่งใด ตารางของตัวเลขนำหน้าสามารถค้นหาได้จาก Wikipedia (http://en.wikipedia.org/wiki/Credit_card_number)

ตัวเลขนำหน้าสามารถลดจำนวนของผลบวกลวงและสามารถตรวจสอบได้โดยอาศัย regular expression หมายเลขที่กำหนดไว้มีจำนวนร้อยละ 1 ถึง 17 ของหมายเลขบัตรเครดิตที่ใช้ได้ทั้งหมดโดยขึ้นอยู่กับความยาวของตัวเลข ตัวเลขนำหน้ามีประโยชน์ในการใช้เพื่อกำจัดตัวเลขความยาว 14 และ 15 หลักที่ไม่ค่อยมีการใช้กันมากนักออกไป ทำให้เรามีตัวเลขความยาว 13 ถึง 16 ตัว ยังคงไม่เป็นที่แน่ชัดว่า Visa ยังใช้ตัวเลข 13
หลักอยู่หรือไม่

ในแง่เสีย การใช้ตัวเลขนำหน้าอาจนำไปสู่ผลลบลวงและอาจจะต้องมีการปรับปรุงระบบเฝ้าดู เครือข่าย เช่น ช่วงหมายเลขที่ใช้สำหรับธนาคารในออสเตรเลียที่เวบ Wikipedia ระบุไว้ว่าไม่มีการใช้ แต่เรากลับเจอตัวเลขในช่วงดังกล่าวในการจราจรในระบบเครือข่าย

โดยการใช้สูตร LUHN และการตรวจสอบตัวเลขนำหน้า ทำให้สามารถลดอัตราการเกิดของผลบวกลวงลงได้ประมาณร้อยละ 1 จากข้อมูลทั้งหมดที่ได้จากการใช้หลักการของ pattern matching เท่านั้น

2. การจัดการกับผลบวกลวงโดยใช้กฏข้อยกเว้น

ในระบบที่ใช้อยู่จริง ร้อยละ 1 ยังถือว่าเป็นจำนวนที่สูง โดยเฉพาะอย่างยิ่งลำดับของตัวเลขเป็นสิ่งที่เกิดขึ้นเป็นปกติในการจราจรใน เครือข่าย ถ้ามนุษย์เป็นจำเป็นต้องตรวจสอบการแจ้งเตือนเป็นจำนวนร้อยข้อความต่อวัน ระบบเฝ้าดูก็จะไม่มีประโยชน์ เราสามารถทำให้ระบบตรวจจับมีความแม่นยำขึ้นได้อย่างไร

วิธีที่ทำได้คือการสร้างกฏข้อยกเว้นสำหรับการจราจรที่รู้ว่าจะสร้างผลบวก ลวง กฏข้อยกเว้นสามารถกำหนดได้ทั้งสำหรับลำดับตัวเลขที่ไม่ใช่หมายเลขบัตรเครดิต และการรับส่งข้อมูลหมายเลขบัตรเครดิตที่ตั้งใจ

กฏข้อยกเว้นดังกล่าวมีทั้งข้อดีและข้อเสีย การใช้มากเกินไปหรือกำหนดไว้อย่างกว้าง ๆ เกินไปจะทำให้เกิดช่องโหว่ความปลอดภัย เช่น ลำดับตัวเลข 16 ตัวที่ใช้เพื่อเป็นหมายเลขผลิตภัณฑ์ในเวบไซต์ ข้อยกเว้นที่ใช้กฏเหมือนกับไฟร์วอลที่สนับสนุนเฉพาะที่อยู่ไอพี (IP address) และพอร์ท (port) จะต้องปล่อยให้การจราจรทั้งหมดของเวบไซต์นั้นผ่านไปได้ ในอีกแง่หนึ่งระบบเฝ้าดูแอพพิลเคชั่น เช่น Web Application Firewall (WAF) สามารถกำหนดกฏข้อยกเว้นได้ละเอียดกว่า ในกรณีข้างต้นกฏของ WAF สามารถกำหนดให้ยกเว้นการตรวจจับหมายเลขบัตรเครดิตสำหรับเขตข้อมูลเฉพาะใน หน้าพิเศษที่ใช้สำหรับหมายเลขผลิตภัณฑ์

ตัวอย่างเช่นกฏของ SRAN Security Center โดยผสมผสาน Signature snort + ModSecurity โดยใช้ หมายเลข 955555 ตรวจพบหมายเลขบัตรเครดิตในข้อมูลที่ได้จากแอพพิลเคชั่นหนึ่ง แต่หน้า /support/manual_payment.php มีเพียงแต่เจ้าหน้าที่ของร้านเท่านั้นที่สามารถเข้าถึงได้ จะต้องแสดงหมายเลขบัตรเครดิต ข้อยกเว้นสำหรับ ModSecurity ต่อไปนี้อนุญาตให้หน้านี้ผ่านไปได้


SecRuleRemoveById 955555

เราสามารถกำหนดข้อยกเว้นให้ตรวจสอบต่อไปได้อีกว่ามีเพียงหมายเลขบัตร เครดิตเพียงหมายเลขเดียวที่แสดงในหน้านี้ และแสดงในเพียงบางส่วนของหน้านี้เท่านั้น

นอกจากนี้หมายเลขผลิตภัณฑ์ยังอาจมีคุณลักษณะอื่น ๆ อีกเช่นตัวเลขนำหน้าเฉพาะของมัน หรือข้อความอื่น ๆ ที่ช่วยในการทำให้ข้อยกเว้นแคบลง ตัวอย่างเช่น Google AdSense เวบไซต์ที่มี Google ads จำเป็นต้องเพิ่มโค้ดต่อไปนี้เข้าไปในแต่ละหน้าที่แสดงโฆษณาหลายครั้งที่หมายเลข 16 ตัวในพารามิเตอร์ google_ad_client เป็นหมายเลยบัตรเครดิตจริง regular expression

3. ข้อควรพิจารณาอื่น ๆ

3.1 การหลบหลีกการตรวจจับ

เทคนิคในการหลบหลีกการตรวจจับ (Evasion techniques) เป็นปัญหาร้ายแรงสำหรับระบบตรวจจับการบุกรุกและยิ่งมีปัญหามากขึ้นอีกสำหรับ การตรวจจับหมายเลขบัตรเครดิต แม้แต่ฟังค์ชั่นในการเปลี่ยนรูปแบบตัวเลขที่ง่ายที่สุดก็สามารถหลบหลีกการ ตรวจจับได้ ตัวอย่างเช่น ผู้โจมตีทำการโจมตีแบบ SQL injection เพื่อขโมยข้อมูลหมายเลขบัตรเครดิต เขาสามารถสร้าง SQL statement ที่ทำให้ตัวเลขของหมายเลขบัตรเครดิตแต่ละตัวคูณด้วยสอง มีผลให้ระบบเฝ้าดูไม่สามารถตรวจผลที่ได้ว่าเป็นหมายเลขบัตรเครดิต หลังจากที่ข้อมูลดังกล่าวรั่วไหลออกมาแล้ว ผู้โจมตีสามารถหารตัวเลขด้วยสองเพื่อให้ได้มาซึ่งหมายเลขบัตรเครดิตดังเดิม เพราะง่ายในการหลบหลีกระบบเฝ้าดูเครือข่ายหรือระบบตรวจจับอื่น ๆ จึงไม่เหมาะสมในการตรวจจับการขโมยหมายเลขบัตรเครดิต ดังนั้นการหลีกเลี่ยงการขโมยถึงต้องมุ่งเน้นที่การป้องกันสิ่งที่เข้ามา

แม้แต่ข้อมูลที่รั่วไหลออกไปโดยไม่ตั้งใจก็อาจหลบหลีกการตรวจจับอย่างไม่ ตั้งใจเช่นกัน ตัวอย่างที่ดีคือการเข้ารหัส เพื่อให้มึความปลอดภัยที่ดีขึ้น แอพพลิเคชั่นหลายตัวใช้การเข้ารหัสเมื่อต้องการรับส่งข้อมูลผ่านทางเครือ ข่าย การเข้ารหัสดังกล่าวซ่อนการจราจรจากระบบเฝ้าดู ในขณะที่ระบบ IDS ในระดับ network layer ไม่สามารถถอดรหัส SSL ได้ โซลูชั่นในระดับ web layer สามารถทำได้ คุณสามารถอ่านรายละเอียด
เพิ่มเติมเกี่ยวกับ SSL blind spot ได้จาก http://archives.neohapsis.com/archives/sf/ids/2007-q3/0084.html

อีกปัญหาหนึ่งคือระบบเข้ารหัสที่เพิ่มเข้าไปในโปรโตคอลด้านเครือข่าย เช่น Unicode หรือการบีบอัดการจราจร HTTP และการเข้ารหัสข้อความอีเมลที่เรียกว่า base64 ระบบเฝ้าดูเครือข่ายไม่สามารถตรวจจับการจราจรที่เข้ารหัสได้ แต่ระบบเฝ้าดูที่รู้จักแอพพลิเคชั่นสามารถถอดรหัส ก่อนการตรวจจับและตรวจหาการรั่วไหลของข้อมูลได้

3.2 บันทึกข้อมูล (logging)

การบันทึกข้อมูลเป็นสิ่งสำคัญเช่นเดียวกับการตรวจจับของระบบเฝ้าดูเครือ ข่าย สิ่งนี้มีความสำคัญอย่างมากกับการตรวจจับหมายเลขบัตรเครดิตในหลาย ๆ กรณีอาจสามารถบรรเทาความเสียหายที่เกิดจากการบุกรุกระบบรักษาความปลอดภัยได้ ถ้าองค์การดังกล่าวรู้ว่ามีข้อมูลข่าวสารใดบ้างที่รั่วไหลออกไป ตัวอย่างเช่น มีกฏหมายของสหรัฐ ฯ เช่น California SB-1386 ที่กำหนดให้องค์การต้องบอกให้ผู้ใช้ (client) ที่ได้รับผลกระทบจากการถูกบุกรุกรับทราบ ถ้าองค์การนี้ไม่รู้ว่ามีผู้ใช้คนไหนบ้างที่ได้รับผลกระทบ องค์การดังกล่าวจะต้องบอกให้ทุกคนรู้ ซึ่งจะเพิ่มความเสียหายที่เกิดขึ้นจากการถูกบุกรุกและทำให้เสียชื่อเสียงจาก การเผยแพร่ข่าวของสื่อมวลชนได้

โชคไม่ดีที่การบันทึกข้อมูลการรั่วไหลของหมายเลขบัตรเครดิตทำได้ไม่ง่าย PCI DSS ไม่อนุญาตให้มีการบันทึกหมายเลขบัตรเครดิตแต่ตัวบันทึกเองจะต้องมีข้อมูลที่ มีประโยชน์มากพอ ระบบบันทึกจะต้องมีการบันทึกในสองระดับดังนี้คือ

– บันทึกแจ้งเตือนที่สามารถใช้เพื่อวิเคราะห์ว่าอะไรเกิดขึ้น แต่จะต้องไม่มีหมายเลขบัตรเครดิตยู่ด้วย หรืออาจจะเป็นหมายเลขที่อำพรางไว้
– หมายเลขบัตรเครดิตที่เก็บอยู่ในรูปแบบที่เข้ารหัสไว้

3.3 สมรรถนะการทำงาน (Performance)

การใช้ regular expression เป็นวิธีการที่ไม่มีประสิทธิภาพเป็นอย่างมาก ดังนั้นระบบ IDS ส่วนใหญ่จึงหลีกเลี่ยงการทดสอบ payload ที่มี regular expression จำนวนมาก เพื่อให้บรรลุเป้าหมายนี้ IDS จึงจะต้องพยายามใช้อัลกอริทึมในการตรวจจับแบบคู่ขนานที่มีประสิทธิภาพ เช่น Aho-Corasick (http://en.wikipedia.org/wiki/Aho-Corasick_algorithm) ซึ่งทำงานได้อย่างรวดเร็วมากและใช้การตรวจสอบเพียงครั้งเดียว อย่างไรก็ตามการตรวจจับแบบคู่ขนานสามารถตรวจได้เพียงสายอักขระง่าย ๆ ถ้าพบสายอักขระง่าย ๆ จึงจะมีการทดสอบ regular expression อื่นตามมา เพื่อลดจำนวนของการทดสอบ regular expression อัลกอริทึมในการตรวจจับแบบคู่ขนานจึงต้องค้นหาสายอักขระที่ยาวที่สุดจากทุก ๆ regular expression

3.4 ข้อมูลอื่น ๆ ที่มีความสำคัญ

ไม่ได้มีเพียงแต่หมายเลขบัตรเครดิตเท่านั้นที่เป็นข้อมูลสำคัญที่ต้องให้ ความสนใจ Card Verification Code (CVV) เป็นตัวเลข 3 หรือ 4 หลักที่อยู่ด้านหลังบัตรเครดิตที่ใช้ในการทำธุรกรรมออนไลน์ด้วย CVV มีความล่อแหลมมากกว่าหมายเลขบัตรเครดิต แตในการตรวจจับเนื่องจากมันมีจำนวนสั้น ๆ และไม่มีตัวเลข checksum

วิธีหนึ่งในการตรวจจับหมายเลข CVV คือการค้นหาตัวเลขสามหรือสี่ตัวในเขตข้อมูลในฟอร์มหนึ่ง ที่พบหมายเลขบัตรเครดิต วิธีนี้ยังอาจพบผลบวกลวงได้ แต่ระบบที่มีความระมัดระวังอาจช่วยทำให้ผลข้อมูลบวกลวงน้อยลงได้

4. บทสรุป

การตรวจจับการขโมยข้อมูลบัตรเครดิตโดยการเฝ้าดูการจราจรในเครือข่ายทำได้ ยากมาก แต่การเฝ้าดูดังกล่าวอาจมีประโยชน์ในการใช้เพื่อตรวจจับการรั่วไหลของ หมายเลขบัตรเครดิตโดยไม่ได้ตั้งใจ ในการทำเช่นนี้ระบบเฝ้าดูจะต้องรู้จักกับแอพพลิเคชั่นและโปรโตคอล เพื่อชดเชยกับการเข้ารหัสที่ใช้กับข้อมูล และยังใช้เป็นเครื่องมือในการสร้างกฏ (Rule Base Signature) หรือข้อยกเว้นสำหรับหมายเลขบัตรเครดิตที่ถูกต้องหรือข้อมูลอื่น ๆ ที่อาจถูกตรวจจับอย่างผิดพลาดว่าเป็นหมายเลขบัตรเครดิต

5. อธิบายคำศัพท์

Regular Expression หมายถึง รูปแบบของลำดับ หรือกลุ่มของสัญลักษณ์ที่ใช้แทนลำดับ หรือกลุ่มของอักขระตามที่ต้องการ

checksum เป็นรูปแบบหนึ่งของ redundancy check (ข้อมูลพิเศษที่เพิ่มเข้าไปในข้อความเพื่อจุดประสงค์ในการตรวจจับผิดพลาดและ ทำให้ถูกต้อง) เป็นวิธีง่าย ๆ ในการป้องกันความครบถ้วนของข้อมูลโดยการตรวจจับความผิดพลาดในข้อมูลส่งผ่าน ทางระยะทาง (โทรคมนาคม) หรือเวลา (พื้นที่เก็บข้อมูล) ทำงานโดยการเพิ่มองค์ประกอบพื้นฐานของข้อความ โดยทั่วไปแล้วมักจะเป็นข้อมูลที่ใช้ยืนยันความถูกต้อง และเก็บค่าที่ได้ไว้ ทุกคนสามารถกระทำการอย่างเดียวกับข้อมูลนั้น และเปรียบเทียบผลที่ได้กับ checksum ของแท้และสรุปได้ว่าข้อความนั้นได้ถูกเปลี่ยนแปลงหรือไม่

LUHN algorithm หรือ LUHN formula เป็นสูตรในการ checksum เพื่อตรวจสอบความถูกต้องของหมายเลขไอดีต่าง ๆ เช่น หมายเลขบัตรเครดิตและหมายเลขประกันสังคมของแคนาดา สร้างขึ้นโดย Hans Peter Luhn นักวิทยาศาสตร์ของบริษัทไอบีเอ็ม

นนทวรรธนะ สาระมาน
Nontawattana Saraman
SRAN Dev
ของเก่ามาเล่าใหม่ครับ เป็นบทความที่ดีนำมาเสนออีกครั้ง
อ่านเพิ่มเติม เรื่อง How .NET Regular Expressions Really Work
บทความ มาทำความรู้จักมาตรฐาน PCI DSS กับการรับรองมาตรฐานกับ Global Technology Integrated

ภัยคุกคามตาม Layer ทั้ง 7 ตอนที่ 3

ต่อจากตอนที่แล้วครับ ผมขอนำเสนอเลยเนื่องจากเนื้อหาในตอนนี้มากกว่าทุกตอน
ในระดับ Application Layer เราควรมองพฤติกรรมเป็นสองฝั่งคือ
* ฝั่งของผู้ให้บริการ เช่น จัดตั้งเป็น Web Server ที่มีชื่อ world wide web (www.) , Mail Server ที่ผ่าน Protocol SMTP และอื่นๆ นั้นสามารถถูกเรียกใช้จากภายนอกได้อยู่เสมอ ซึ่งเป็นข้อมูลสาธารณะ
** ฝั่งของผู้ใช้บริการ คือเราๆท่านๆ ที่ทำการเรียกใช้ เช่น การค้นหาข้อมูล การดูหนัง ฟังเพลง ในฝั่งของผู้ใช้บริการหากพิจารณาให้ดี ก็จะแบ่งได้อีก คือ ผู้ใช้บริการนั้น ใช้อินเตอร์เน็ตติดต่อที่ใด ?
หากเป็นสถานที่เชื่อมต่ออินเตอร์เน็ต ที่อยู่ใน LAN ผู้ใช้บริการจะมี IP Address เป็น Private IP (10.x.x.x, 172.16.x.x. , 192.168.x.x สุดแล้วจะตั้งค่า subnet ให้เป็น class A,Bหรือ C ซึ่งเป็น IP v4 ที่สงวนไว้สำหรับใช้ใน LAN)
หากเป็นสถานที่เชื่อมต่ออินเตอร์เน็ต ที่ติดต่อตรง (ซึ่งน้อยมาก) ผู้ใช้บริการจะมี IP Address เป็น Public IP

ในการสืบสวนสอบสวนหาผู้กระทำความผิด สำหรับผู้ใช้บริการแล้วหากสามารถหา IP Public มักจะหาผู้กระทำผิดได้ไม่ยาก แต่ในทางตรงข้าม IP private ที่เกิดจากผู้ใช้งานในเครือข่าย (Network) องค์กรก็สามารถหาได้เช่นกันหากองค์กรนั้นได้มีการจัดเก็บข้อมูลจราจรตาม พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ซึ่งได้บังคับให้ทุกที่ได้มีการจัดเก็บ Log ขึ้นเพื่อประโยชน์ในการสืบหาผู้กระทำความผิดนั้นเอง

ฝั่งของผู้ให้บริการ ผมขอแยกเป็น Application protocol ที่จำเป็นและสำคัญที่ทุกเครือข่ายเปิดใช้จะกล่าวถึงเฉพาะ Application Protocol ที่สำคัญอยู่ 3 ชนิดได้แก่ Web , DNS และ Mail เรามาดูตัวแรกกัน
1. Web (HTTP) ภัยคุกคามที่มากับ Protocol นี้นับว่าเป็นการรับมือการโจมตีชนิดต่างๆได้ยาก เนื่องจากการเปิด Web Server ขึ้นมานั้นประกอบด้วยทางเข้าถึงระบบมีหลากหลายหนทาง ไม่ว่าเป็นช่องโหว่ (Bug) ต่างๆ ที่เกิดขึ้นได้แก่
– ช่องโหว่ที่เกิดขึ้นจาก OS (Operating System) การโจมตีก็มี ทั้งแบบ Remote และ Access โดยตรงกับเครื่องที่ให้บริการ ไม่ว่าเป็นการโจมตีแบบ Remote Exploit ผ่านเครือข่ายเพื่อเข้าถึง OS หรือการ Access โดยตรงเพื่อทำให้เกิด Buffer overflow เป็นต้น
– ช่องโหว่ที่เกิดจาก Web Server เอง เช่น IIS 6 , IIS 7 , Apache อื่นๆ มีทั้งแบบ Remote และ Access โดยตรงกับเครื่องที่ให้บริการ ไม่ว่าเป็นการโจมตีแบบ Remote Exploit และการ Access โดยตรงเพื่อทำให้เกิด Buffer overflow
– ช่องโหว่ที่เกิดจากโปรแกรม ไม่ว่าเป็นการให้บริการของ Web Application ที่ใช้โปรแกรมในการเขียน เช่น Java , CGI , Perl ,PHP อื่นๆ อีกมากมาย ยิ่งถ้าเป็น Web 2.0 แล้วการเปิด Web Application มากขึ้นก็ทำให้การเข้าถึงระบบ มีช่องทางเข้าถึงระบบ ตามช่องโหว่าที่พบ OS , Application ยิ่งถ้าใน Web Application นั้นมี Data Base (SQL Server, Mysql เป็นต้น) ในเครื่องเดียวก็ยิ่งมีความเสี่ยงมากขึ้นเป็นเงาตามตัว
เพียงช่องทางเดียวคือ Port 80 ที่เปิดให้บริการ

สิ่งที่เราควรตรวจสอบ Web Application มีดังนี้

1.1 ตรวจหา Web Application Fingerprint : เพื่อให้รู้ถึงเวอร์ชั่นและชนิดของ web server ที่ใช้เพื่อให้ผู้ทดสอบสามารถรู้ถึงช่องโหว่และการโจมตีที่ถูกต้องในระหว่างการทดสอบได้

1.2 ตรวจสอบ Application Discovery : เพื่อค้นหาว่ามีแอพพลิเคชั่นใดที่ทำงานอยู่ใน web server นี้บ้างเช่นตรวจดู Hyper link ทั้งหมดในเว็บไซต์เพื่อดูความผิดปกติ Link และหากพบว่ายังขาดการตั้งค่าสิทธิการเข้าถึง Link path ที่สำคัญก็ควรปิด เช่น path ที่เกี่ยวข้องกับการ config ต่างๆ

1.3 วิเคราะห์หา Error Code : การทดสอบ web application มักจะพบกับ error code จากแอพพลิเคชั่นหรือ web server เป็นไปได้ที่จะทำให้เกิดมีการแสดง error เหล่านี้โดยการใช้ request เฉพาะ ข้อความแสดงข้อผิดพลาดเหล่านี้มีประโยชน์มากสำหรับผู้ทดสอบเพราะมันจะเปิดเผยข้อมูลที่มีประโยชน์เกี่ยวกับฐานข้อมูล ช่องโหว่ (bug) และองค์ประกอบอื่น ๆ ที่เกี่ยวข้อง

1.4 ทดสอบ file extensions handling : web server มักใช้ file extension เพื่อตัดสินใจเกี่ยวกับเทคโนโลยี ภาษา ปลั๊กอินที่ต้องใช้เพื่อร้องของผ่านทางเวบให้สำเร็จผล การทดสอบ file extension ให้ข้อมูลที่มีประโยชน์สำหรับผู้ทดสอบเกี่ยวกับเทคโนโลยีที่ใช้ใน web application และยังช่วยให้การเลือกรูปแบบในการโจมตีสำหรับเทคโนโลยีต่าง ๆ ทำได้ง่ายขึ้น นอกจากนี้การกำหนดค่าที่ผิดพลาดใน web server ยังอาจเปิดถึงข้อมูลสำคัญเกี่ยวกับการเข้าถึงระบบอีกด้วย

1.5 ทดสอบ SSL-TLS : การกำหนดค่าที่ผิดพลาดใน web server ที่เกี่ยวกับการเข้ารหัสการสื่อสาร อาจทำให้ผู้โจมตีสามารถใช้การเข้ารหัสที่มีความปลอดภัยน้อยกว่าเพื่อเข้าถึงช่องทางการสื่อสารที่เข้ารหัสไว้ได้

1.6 ทดสอบการค้นหา old file : ไฟล์ที่ไม่ใช้งานหรือไฟล์เก่าอาจสามารถใช้เพื่อหาข้อมูลสำคัญเกี่ยวกับโครงสร้างระบบหรือวิธีการเข้าถึงระบบได้

1.7 ทดสอบค่า Default or Guessable User Account : web application ในปัจจุบันนี้มักอาศัยซอฟท์แวร์ยอดนิยม ซึ่งอาจเป็นแบบโอเพ่นซอร์สหรือขายเชิงพาณิชย์ซึ่งติดตั้งใน server และจำเป็นต้องมีการกำหนดค่าหรือปรับแต่งโดยผู้ดูแลระบบ บ่อยครั้งที่ แอพพลิเคชั่นเหล่านี้ไม่ได้กำหนดค่าอย่างถูกต้องและไม่ได้อัพเดทชื่อผู้ใช้และรหัสผ่าน ทำให้ผู้บุกรุกสามารถใช้เพื่อเข้าถึงเครือข่ายภายในและขโมยข้อมูลได้

1.8 ทดสอบการ Brute Force password : เป็นการทดลองเข้าระบบโดยการใช้ชื่อผู้ใช้และรหัสผ่านที่เป็นไปได้ทั้งหมด ในการทดสอบ web application เราจะตรวจสอบชนิดของการพิสูจน์ตัวผู้ใช้และความมีประสิทธิภาพในการโจมตี brute-force แบบต่าง ๆ

1.9 ทดสอบการ Bypassing Authentication Schema : ในขณะที่แอพพลิเคชั่นส่วนใหญ่จำเป็นต้องอาศัยการพิสูจน์ตัวเพื่อการเข้าถึงข้อมูลหรือทำงานบางอย่าง แต่ไม่ได้หมายความวิธีการที่ใช้ในการพิสูจน์ตัวทุกวิธีที่มีใช้การรักษาความปลอดภัยอย่างเพียงพอ ความละเลย ความไม่รู้ หรือไม่ให้ความสำคัญกับภัยคุกคามด้านความปลอดภัยมักมีผลทำให้ระบบที่ใช้ในการพิสูจน์ตัวผู้ใช้ถูกหลบหลีกได้อย่างง่ายดายโดยการหลบหลีกหน้าล็อกอินและเรียกหน้าภายในโดยตรง นอกจากนี้ยังอาจสามารถหลบหลีกมาตรการในการพิสูจน์ผู้ใช้โดยการแก้ไขการร้องขอโดยการหลอกให้แอพพลิเคชั่นคิดว่าได้ผ่านการพิสูจน์ตัวแล้ว โดยการแก้ไขพารามิเตอร์ของ URL หรือแก้ไข form หรือปลอม session

1.10 ทดสอบ Directory Traversal : มี web application หลายตัวที่ใช้และจัดการไฟล์ ถ้าแอพพลิเคชั่นเหล่านี้ใช้วิธีการตรวจสอบอินพุทที่ออกแบบมาไม่ดี ผู้โจมตีสามารถอาศัยประโยชน์เพื่ออ่าน/เขียนไฟล์ที่ไม่ได้ตั้งใจให้สามารถเข้าถึงได้ ในบางสถานการณ์อาจสามารถทำให้สามารถเอ็กซิคิวท์โค้ดที่ต้องการได้

1.11 ทดสอบหา Vulnerable Remember Password and Pwd Reset : มี web application หลายตัวที่ช่วยให้ผู้ใช้สามารถรีเซ็ตรหัสผ่านในกรณีที่ลืมรหัสผ่าน ซึ่งโดยปกติมักจะส่งอีเมลที่บอกรหัสผ่านที่รีเซ็ตใหม่ไปให้ หรือถามคำถามที่ผู้ใช้เคยกำหนดไว้ให้ถูกต้อง ในการทดสอบนี้เราจะตรวจสอบว่าระบบนี้ทำงานได้อย่างถูกต้องและไม่มีช่องโหว่ในการทำงาน

1.12 ทดสอบหาค่าตกค้าง จากการ Logout และ Browser Cache Management : ในขั้นตอนนี้ เราจะตรวจสอบว่าการทำงานของระบบ logout ทำงานได้อย่างถูกต้องหรือไม่ และเป็นไปได้ที่จะใช้ session ใหม่อีกครั้งหลังจาก logout แล้วหรือไม่ เรายังตรวจอีกด้วยว่าแอพพลิเคชั่นดังกล่าวได้ logout ผู้ใช้แบบอัตโนมัติหลังจากผู้ใช้ไม่ทำงานหลังจากช่วงระยะเวลาหนึ่งผ่านไปแล้วหรือไม่ และไม่มีข้อมูลสำคัญที่ยังคงค้างอยู่ใน cache ของบราวเซอร์

1.13 ทดสอบค่า Session Management Schema : ในการหลีกเลี่ยงการพิสูจน์ตัวผู้ใช้สำหรับแต่ละหน้าของเวบไซต์หรือบริการหนึ่ง web application จะใช้กลไกต่าง ๆ ในการเก็บและตรวจสอบชื่อผู้ใช้และรหัสผ่านสำหรับช่วงเวลาหนึ่งที่กำหนดไว้ กลไกเหล่านี้เรียกว่า Session Management ซึ่งช่วยให้แอพพิลเคชั่นเหล่านี้ใช้งานง่าย แต่มันอาจจะถูกใช้ประโยชน์จากผู้ทดสอบเพื่อให้สามารถเข้าถึงแอคเคาท์ของผู้ใช้โดยไม่จำเป็นต้องใส่ชื่อและรหัสผ่านที่ถูกต้องได้

1.14 ทดสอบค่า Cookie and Session Token Manipulation : ตรวจสอบว่า cookie และสิ่งที่ใช้สำหรับแสดง session แบบอื่น ๆ ได้สร้างขึ้นมาอย่างปลอดภัยและไม่สามารถคาดเดาได้ ผู้โจมตีที่สามารถเดาและปลอม cookie ได้จะสามารถเข้าถึง session ของผู้ใช้ที่ถูกต้องได้

1.15 ทดสอบค่า Exposed Session Variables : ถ้าสิ่งที่ใช้แสดง session (cookie, SessionID, Hidden Field) ถูกเปิดเผย ทำให้ผู้โจมตีสามารถปลอมเป็นเหยื่อและเข้าถึงแอพพิลเคชั่นได้ ดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องป้องกันจากการดักข้อมูล โดยเฉพาะในการส่งข้อมูลระหว่างไคลเอ็นท์และ application server

1.17 ทดสอบ HTTP Exploit : ขั้นตอนนี้จะอาศัยฟีเจอร์ของ HTTP protocol เพื่อโจมตี ซึ่งอาจอาศัยช่องโหว่ใน web application หรือวิธีการต่าง ๆ ที่ agent ใช้เพื่อตีความข้อความของ HTTP

1.18 ทดสอบ Cross site scripting : เป็นการโจมตีในระดับแอพพิลเคชั่นที่พบได้บ่อยครั้ง Cross Site Scripting ใช้ตัวย่อ XSS เพื่อหลีกเลี่ยงความสับสนกับคำว่า Cascading Style Sheets (CSS) การทดสอบ XSS มักเป็นผลให้มีการแสดงหน้าต่าง JavaScript alert แสดงให้ผู้ใช้เห็น หน้าต่าง alert อาจเป็นสัญญาณที่บ่งชี้ได้ว่าผู้โจมตีสามารถรันโค้ดที่ต้องการได้ อ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/200 และ http://www.sran.net/archives/201

http://farm4.static.flickr.com/3310/3344883753_ffd3c742e2_m.jpg
1.19 ทดสอบค่า HTTP Methods and XST : ในขั้นตอนนี้เราจะตรวจสอบว่า web server ไม่ได้กำหนดค่าให้ยอมรับคำสั่ง (method) HTTP ที่มีอันตรายและการโจมตี Cross Site Tracing (XST) ไม่สามารถทำได้

1.20 ทดสอบ SQL Injection : เพื่อทดสอบการโจมตี SQL Injection ประกอบด้วยการป้อนคำสั่ง SQL ผ่านทางข้อมูลอินพุทจากไคลเอ็นท์ไปยังแอพพลิเคชั่น การโจมตี SQL injection ที่สำเร็จสามารถอ่านข้อมูลที่เป็นความลับจากฐานข้อมูล แก้ไขข้อมูลในฐานข้อมูล เอ็กซิคิวท์คำสั่งของผู้ดูแลระบบ หรือในบางกรณีสามารถใช้คำสั่งภายในระบบได้

1.21 ทดสอบ SSI Injection : เพื่อทดสอบ web server หลายตัวที่มีฟีเจอร์ที่ช่วยให้สามารถเพิ่มโค้ดแบบไดนามิคเข้าไปในหน้า html แบบ static ฟีเจอร์นี้เรียกว่า Server-Side Includes (SSI) เป็น extension ที่อาจทำให้ผู้โจมตีสามารถใส่โค้ดเข้าไปในหน้า html หรือเอ็กซิคิวท์โค้ดจากระยะไกลได้

1.22 ทดสอบ IMAP/SMTP Injection : เพื่อตรวจสอบภัยคุกคามนี้มีผลกระทบกับแอพพลิเคชั่นที่สื่อสารกับ mail server (IMAP/SMTP) ส่วนใหญ่แล้วจะเป็น webmail เพื่อทดสอบความเป็นไปได้ในการป้อนคำสั่ง IMAP/SMTP เข้าไปใน mail server เนื่องจากไม่มีการตรวจสอบข้อมูลที่ป้อนเข้าไปอย่างเพียงพอ

1.23 ทดสอบ Code Injection : เพื่อทดสอบว่าสามารถใส่โค้ดเข้าไปในหน้าเวบและทำให้ web server เอ็กซิคิวท์โค้ดดังกล่าวได้หรือไม่

1.24 ทดสอบ Command Injection : เป็นการทดสอบการป้อนคำสั่งของระบบปฏิบัติการผ่านทาง HTTP request ไปยังแอพพลิเคชั่น

1.25 ทดสอบช่องโหว่ Web Application ผ่านช่องทางระบบ Search engine ซึ่งเราสามารถค้นหาลักษณะตัวแปรของการเขียน code web application และหาช่องโหว่ได้ ผมได้เขียนไว้ที่ http://nontawattalk.blogspot.com/2004/12/personal-information-is-not-secured.html

2. ผู้ให้บริการ DNS Server ที่เป็นบริการสาธารณะ (อ่านมุมมองในการเก็บ Log http://nontawattalk.blogspot.com/2009/04/blog-post.html เพื่อสืบหาผู้กระทำความผิด)
ช่องโหว่ที่มีกับ DNS Server ที่เป็นลักษณะ Fast flux ซึ่งเป็นเทคนิคทาง DNS ที่ใช้โดย botnet เพื่อซ่อนไซต์ที่ทำหน้าที่ให้บริการ phishing และมัลแวร์ ที่อยู่เบื้องหลังเครือข่ายของโฮสต์ที่ถูกบุกรุก
ทำตัวเป็น proxy ที่มีการเปลี่ยนแปลงตลอดเวลา ยังหมายถึงเครือข่ายแบบ peer-to-peer รวมกันหลายเครือข่าย ใช้เทคนิคต่าง ๆ ได้แก่ การใช้คำสั่งและการควบคุมแบบกระจาย (distributed) การใช้ load-balancing และการเปลี่ยนเส้นทาง proxy เพื่อทำให้การเครือข่ายมัลแวร์ยากต่อการถูกตรวจพบและการป้องกัน Storm Worm เป็นหนึ่งในมัลแวร์ที่ใช้เทคนิคเหล่านี้ผู้ใช้อินเทอร์เน็ตอาจพบการใช้ fast flux ในการโจมตี phishing ที่มีเชื่อมโยงกับกลุ่มอาชญากร รวมถึงการโจมตี MySpace , facebook อีกด้วย

ลักษณะการโจมตี DNS แบบ Single-flux และ double-flux
fast flux แบบง่าย ๆ เรียกว่า “single-flux” มีโหนดหลาย ๆ โหนดภายในเครือข่ายที่ลงทะเบียนและเลิกลงทะเบียนที่อยู่ของพวกมันโดยใช้ DNS A record สำหรับชื่อ DNS เดียว ใช้ round robin DNS ที่มีค่า TTL (time to live) สั้นมาก ๆ เพื่อสร้างรายชื่อของที่อยู่เป้าหมายที่มีการเปลี่ยนแปลงตลอดเวลาสำหรับชื่อ DNS เดียว รายชื่อนี้อาจยาวเป็นหลายร้อยหรือหลายพันบรรทัด fast flux ที่มีความซับซ้อนมากกว่านี้เรียกว่า “double-flux” มีหลายโหนดภายในเครือข่ายที่ลงทะเบียนและเลิกลงทะเบียนที่อยู่ของพวกมัน
โดยใช้ DNS SOA (start of authority) record ซึ่งจะช่วยเพิ่มเสถียรภาพและความอยู่รอดภายในเครือข่ายมัลแวร์นี้ได้

การทดสอบ DNS Server
ให้มีการตรวจสอบการ query Zone Tranfer ซึ่งเป็นผลทำให้ทราบข้อมูลในส่วนเครื่องแม่ข่าย (Server) ทั้งหมดในองค์กรได้

Zone transfer เป็นวิธีการที่ secondary DNS server ใช้สำหรับอัพเดทข้อมูลจาก primary DNS server, DNS server ของโดเมนหนึ่งจะทำงานใช้วิธีการที่เรียกว่า master-slave ซึ่งตัวที่เป็น slave จะอัพเดทข้อมูล DNS จากตัวที่เป็น master ผู้ดูแลระบบควรกำหนด DNS server ให้ยอมให้มีการทำ zone transfer จาก secondary (slave) DNS server เท่านั้น

3. Mail Server ที่เป็นการให้บริการสาธารณะ Mail Server มักจะมีการใช้ DNS และ Web Application มาเกี่ยวข้องดังนั้นภัยคุกคามที่เกิดกับ Mail Server นั้นต้องพิจารณา DNS และเรื่องของ Web Application มาเกี่ยวข้องด้วยเสมอ เนื่องจาก Mail ในยุคปัจจุบันก็สามารถทำงานผ่าน Web Application มากขึ้น
ภัยคุกคามจาก Mail Server ที่ควรตรวจสอบก็ควรพิจารณาผู้อื่นมาใช้ Mail Server เราเพื่อทำเป็น Spam Server ได้จากการตรวจสอบขั้นต้นคือดูที่ Mail server เปิด Open relay ที่จะอนุญาตให้บุคคลภายในใช้ mail server เพื่อส่งอีเมลไปยังที่อื่นได้หรือไม่ จากคำสั่ง

เนื่องจากรายละเอียดในแต่ละ Application Protocol มีอยู่มาก ดังนั้นการที่เราจะทำให้ระบบนี้ปลอดภัยทั้งหมดจำเป็นต้องอาศัยผู้เชี่ยวชาญมาทำการประเมินความเสี่ยง (Vulnerability Assessment) และหาวิธีการปิดกั้นภัยคุกคาม (Hardening) ที่อาจเข้าถึงระบบของเราได้ รวมถึงการออกแบบระบบเครือข่าย (Network Re-design) เพื่อรองรับปริมาณข้อมูลและความปลอดภัย จึงทำให้ปัญหาต่างๆบนระบบไอซีทีขององค์กรเราเหลือน้อยลงและมีสร้างประสิทธิภาพการทำงานให้สูงขึ้นได้ จงจำไว้ว่าความมั่นคงปลอดภัยทางไอทีจะเกิดขึ้นได้ต้องมี 3 ประสานเดินไปพร้อมกัน ไม่ว่าเป็น คน กระบวน และเทคโนโลยี มีกระบวนการนโยบายมาควบคุมคน มีคนมาควบคุมการใช้เทคโนโลยี และมีเทคโนโลยีเพื่อตอบสนองความสะดวกสบายและความปลอดภัยในองค์กรเป็นชั้นๆไป หากขาดสิ่งใดสิ่งหนึ่งย่อมทำให้เกิดช่องโหว่ตามมาไม่ทางใดก็ทางหนึ่ง

ส่วนอีกมุมคือ มุมของผู้ใช้บริการ ส่วนใหญ่ปัญหาต่างๆเกิดจากผู้ใช้บริการ (User) นั่นแหละ ผู้ใช้บริการมี 2 ลักษณะคือ ผู้ใช้บริการที่มีเจตนาในการโจมตีระบบ และ ผู้ใช้บริการที่ไม่มีเจตนา

ผู้ใช้บริการที่เจตนาในการโจมตีระบบ (Hacker) ส่วนใหญ่แก้ไขโดยต้องสร้างจรรยธรรมในการใช้คอมพิวเตอร์ และให้คิดถึงใจเขาใจเรา หรือใช้กฏหมายมาควบคุมคนเหล่านี้

ผู้ใช้บริการที่ไม่มีเจตนาในการโจมตีระบบ มักเป็น zombie ผีดิบ หากมี zombie หลายๆตัวรวมเป็นกองทัพ botnet เนื่องจากเครื่องคอมพิวเตอร์เหล่านั้นติด Malware จากพฤติกรรมการใช้งานไอซีที ก็จะสร้างความเสียหายให้กับเครือข่ายองค์กรมาก มักจะพบสถิติมีจำนวนมากขึ้นเรื่อย เนื่องจากการขาดความตระหนักในการใช้ข้อมูล และทำให้เครื่องผู้ใช้งานเป็นฐานทัพของ Hacker เพื่อใช้เครื่องคอมพิวเตอร์ในการโจมตีระบบต่อไป ไม่รู้จักจบสิ้น วิธีป้องกันเพื่อไม่ให้ผู้ใช้งาน (User) เป็น botnet ต้องอาศัยการจัดอบรมความมั่นคงปลอดภัยในการใช้ข้อมูลสารสนเทศขึ้นอย่างต่อเนื่องเพื่ออัพเดทเทคนิคใหม่ๆ ภัยคุกคามใหม่ๆ และควบคุมพฤติกรรมการใช้งานของผู้ใช้ (User) ให้ได้จากเทคโนโลยี ซึ่งจะทำให้ความเสี่ยงน้อยลง ถึงแม้ปัญหาพวกนี้เป็นปัญหาโลกแตกจนไม่สามารถทำให้ทุกเครื่องคอมพิวเตอร์บนโลกใบนี้ปลอดภัยได้หมดได้ แต่ก็เป็นหน้าที่ของทุกคนที่ทำให้เครื่องปลอดภัย เพราะความมั่นคงปลอดภัยต้องเริ่มจากตัวเองก่อนเสมอ …

นนทวรรธนะ สาระมาน
Nontawattana Saraman

22/09/52

ทางบริษัท Global Technology Integrated มีผู้เชี่ยวชาญที่ให้คำปรึกษาและจัดการออกแบบระบบเครือข่ายให้มีความปลอดภัย ในบริการที่ชื่อว่า One Security Services และบริการอื่นๆ สามารถอ่านได้ที่

http://www.gbtech.co.th/th/services

บทความเกี่ยวข้อง
ภัยคุกคามตาม Layer ทั้ง 7 ตอนที่ 1
ภัยคุกคามตาม Layer ทั้ง 7 ตอนที่ 2

หนังสือพิมพ์ Telecom Journal โกลบอลเทคโนโลยี อินทิเกรเทด ผู้พัฒนาระบบเฝ้าระวังภัยคุกคามวันที่ 21-27 กันยายน 2552

โกลบอลเทคโนโลยี อินทิเกรเทด ผู็พัฒนาระบบเฝ้าระวังภัยคุกคาม เครือข่ายสารสนเทศภายใต้แบนด์ “SRAN” เปิดตัวอุปกรณ์ใหม่ล่าสุด “SRAN Light” ระบบเฝ้าระวังเครือข่ายสารสนเทศในองค์กรเพิ่มประสิทธิภาพการระบุตัวตนผู้ใช้งานระบบไอทีในองค์กรและบันทึกการใช้งานได้อย่างครบถ้วย โดยรักษาสิทธิส่วนบุคคลตามนโบายขององค์กรได้อย่างลงตัว

นรัตน์ สาระมาน กรรมการผู้จัดการ บริษัทโกลบอลเทคโนโลยี อินทิเกรเทด จำกัด กล่าวว่า จากการสำรวจความต้องการของลูกค้า ประกอบการกับแนวโน้มที่เพิ่มสูงขึ้นของภัยคุกคามและการทุจริตภายในองค์กร บริษัทฯจึงได้พัฒนาผลิตภัณฑ์เพื่อต่อยอด SRAN Security Center จนเกิดเป็น “SRAN Light” ขึ้น โดยยังคงคุณสมบัติด้านการเก็บล็อกไฟล์อยา่งถูกต้องตาม พ.ร.บ.ว่าด้วยการกระทำด้วยความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ผสมผสานกับเทคโนโลยีใหม่คือ Human Behavioral Warning (HBW) ที่เชื่อมโยงการเฝ้าระวังภัยคุกคามภายในเครือข่ายองค์กร เข้ากัยงานบริหารทรัพยากรบุคคลและระบบจัดเก็บคลังข้อมูล (Inventory)

SRAN Light สามารถแสดงผลแบบ real time ทั้งในส่วนของการใช้งานเครือข่ายปกติที่องค์กรต้องการเฝ้าระวัง และการใช้งานที่เข้่าข่ายเป็นภัยคุกคามทำให้สามารถป้องกันได้อย่างทันที ทั้งนี้ระบบบริหารจัดการของอุปกรณ์ได้ได้รับการออกแบบไม่ให้ละเอียดสิทธิส่วนบุคคลของคนในองค์กร โดยแต่ละองค์สามารถกำหนดกฎเกณฑ์ หรือโปรโตคอลที่จะตรวจสอบให้สอดคล้องกับนโยบายองค์กร นอกจากนี้ ยังสามารถรายงานสิถิตการใช้งานเครือข่ายสารสนเทศเป็นรายบุคคล รายเเผนก หรือในภาพรวมทั้งองค์กรได้อีกด้วย

อุปกรณ์ดังกล่าวจะช่วยให้ทราบพฤติกรรมการใช้งานระบบไอทีภายในองค์กร ตรวจจับการใช้งานที่ไม่เหมาะสม รวมถึงการทุจริตภายในองค์กร และทำให้สามารถวางแผนการลงทุนพัฒนาระบบไอทีได้อย่างมีประสิทธิภาพมากขึ้น

ภัยคุกคามตาม Layer ทั้ง 7 ตอนที่ 2

ที่กล่าวไปแล้วในตอนที่แล้วเราพูดถึงภัยคุกคามที่เกิดขึ้นตาม OSI 7 layer ผมทำการเรียงลำดับมาตั้งแต่ Layer 1 – Layer 3 ไปแล้ว ต่อจากนี้เราจะมาทำความเข้าใจภัยคุกคามตาม Layer ที่เหลืออีก

Layer 4 : Transport มี Protocol ที่ใช้ใน Layer นี้คือ TCP และ UDP การเชื่อมต่อสื่อสารเป็นชนิด End-to-end connection
TCP คือต้องการความถูกต้องของการรับส่งข้อมูล ยืนยันจากการติดต่อแบบ 3 way handshake
SYN , ACK , FIN รายละเอียดเพิ่มเติมอ่านได้ที่
Transmission Control Protocol
ประเภท Application Protocol ที่มีการเชื่อมต่อที่ใช้ TCP ได้แก่ Web (HTTP, HTTPS) , การ Remote ทางไกล เช่น Telnet (23) , SSH (22)
Mail เช่น SMTP (25) , POP3 (110) เป็นต้น
Port ทั้งหมดของ TCP มี 65,535 port services
UDP คือการติดต่อที่อาศัยความเร็วในการรับส่งข้อมูลไม่เน้นความถูกต้องของข้อมูล
ประเภท Application protocol ที่ใช้ UDP ได้แก่ syslog (514) , SNMP (161) , IRC (6667-7000)
เป็นต้น Port ทั้งหมดของ UDP มี 65,535 port services
ดังนั้นวิธีการโจมตีผ่าน Layer 4 โดยอาศัย Protocol TCP และ UDP นั้นจึงมีหลากหลายหนทางในการปฏิบัติ

ทางเป็นชนิด TCP ก็อาศัยการติดต่อสื่อสารระหว่างเครื่องให้ขาดความสมบูรณ์ในการเชื่อมต่อ เช่น ส่งค่า SYN อย่างเดียวแทนที่จะครบ SYN –> SYN ACK —> ACK –> FIN เพื่อให้ครบ ESTABLISHED

ภาพการติดต่อที่สมบูรณ์ จาก command line บนเครื่องผู้เขียน netstat -an ลองทำตามได้ครับ

ถ้าติดต่อไม่สมบูรณ์ จากการโจมตีที่เรียกว่า SYN Flood เป็นรูปแบบหนึ่งของการทำ DoS (Denial of Services)

ภาพจาก (tula.bofh.ru/articles/539)

การทำ DDoS/DoS ชนิด SYN flood สามารถมองได้ 2 มุม ได้แก่

มุมภายในเครือข่ายเดียวกัน หมายถึงเครื่องภายในยิงกันเอง ซึ่งลักษณะนี้อาจเกิดจากติดเชื้อไวรัสคอมพิวเตอร์ชนิด worm บางชนิดที่ทำการเกิดอาการผิดปกติได้ในการรับส่งข้อมูล หรืออาจจะเกิดจากความตั้งใจคนบุคคลที่การยิง SYN flood ไปยังเครื่องเป้าหมาย

ในมุมภายในนี้ สามารถ Radom port ในการส่งค่า SYN Flood ได้สะดวกเนื่องจากมีทางเลือกให้ถึง 65,535 port ทีเดียว ดังนั้นจึงเป็นที่ทำให้ผู้ดูแลระบบต้องมีเครื่องมือในการเฝ้าระวังในจุดนี้ด้วย และหากเครื่องคอมพิวเตอร์ (client) มีการใช้ Host Base Firewall , Host Base IPS ก็สามารถป้องกันได้ระดับหนึ่ง ที่บอกว่าได้ระดับหนึ่งเนื่องจาก ซอฟต์แวร์ป้องกันในระดับ Host base ต้องอาศัยการ CPU และ RAM รวมถึงการต่อต้านการโจมตีของระบบปฏิบัติการ (OS) ซึ่งมีรายละเอียดพอสมควรหากให้อธิบายเป็นระดับ Kernel และการปรับแต่งค่า system ภายใน OS อยู่หากเครื่องคอมพิวเตอร์ที่มีคุณสมบัติทางกายภาพไม่เหมาะสมหรือเป็นรุ่นเก่าการประมวลผลช้าถึงแม้จะมีระบบป้องกันที่ดี หากมีการโจมตีจำนวนมากและเป็นชนิด DDoS (Distributed Denial of Service) เข้าร่วมแล้วล่ะก็มีโอกาส CPU สูงและทำให้เครื่องอืดพร้อมใช้งานไม่ได้ตามมา

ส่วนมุมภายนอก คือ ยิงค่า SYN Flood จากเครื่องผู้ไม่หวังดีไปที่เครื่องเป้าหมายที่ห่างไกลออกนอกระบบเครือข่าย ในกรณีต้องมีการทำการ scan port เครื่องปลายทางเสียก่อนถึงจะร่วงรู้ว่ามีการเปิดค่า port services ที่เป็น TCP หรือไม่ ส่วนใหญ่มักจะยิงค่า SYN Flood ผ่าน Application Protocol ที่ทราบว่ามีการใช้งานอยู่เช่น HTTP Protocol (80) ซึ่งเป็นการติดต่อแบบ TCP เช่นกัน ซึ่งเป็นส่วนใหญ่ที่นักโจมตีไม่อยากเสียเวลาในการ scan port ทั้งหมด (65,535 TCP และ 65,535 UDP) เนื่องจากในมุมภายนอกมักมีการกำหนดช่องทางการเข้าถึงจำกัด แต่ที่รู้กันคือต้องเปิด port 80 เป็นอย่างแน่นอน

การยิงในมุมภายนอก นั้นสามารถป้องกันได้โดยใช้อุปกรณ์ Network Firewall ที่เป็นชนิด State ful inspection หรือ Network IPS ก็จะสามารถป้องกันได้

แล้ว UDP ล่ะจะเกิด SYN Flood ได้หรือไม่ ? คำตอบคือไม่ได้ เพราะ UDP ไม่มีการเชื่อมต่อแบบ TCP

ภาพนี้เป็นโครงสร้างของการติดต่อแบบ TCP

แล้วจะมีการโจมตี UDP Flood หรือไม่ ? มีและเป็นที่นิยมในยุคหลังๆมากขึ้น โดยเฉพาะไวรัสคอมพิวเตอร์ชนิด worm ที่มักโจมตีด้วยการอาศัย Protocol TCP และ UDP

หากในระบบเครือข่ายภายในองค์กร มีการระบบเฝ้าระวังภัย และพบว่ามีการติดต่อค่า UDP มากกว่า TCP แล้วนั้นต้องตั้งข้อสงสัยไว้ก่อนว่าอาจจะมีเหตุการณ์ไม่พึ่งเกิดขึ้นได้

ส่วนผู้ดูแลระบบ Core Router ที่จำเป็นต้องเปิดค่า UDP จาก SNMP เพื่อใช้ในการ Monitor ความเสรียฐภาพของอุปกรณ์ ก็ต้องระวังให้มากเนื่องจาก SNMP อาจถูกโจมตีจากผู้ไม่หวังดีได้ ดังนั้นควรตั้งค่า community string สำหรับ SNMP เพื่อไม่ให้นักโจมตีระบบ scan port จากภายนอกและทำการส่งค่า UDP Flood มาสู่อุปกรณ์ Router , Switch เราได้จากโลกภายนอก ซึ่งทั้งนี้ Router / Switch นั้นต้องมี IP Address ที่เป็น IP จริง ถึงจะมีการโจมตีผ่านได้ โดยปกติแล้ว Core Router ก็ต้องมี Interface ที่แสดงค่า IP จริงได้อยู่แล้วหากมีผู้ไม่หวังดีทราบถึง IP ของ Router และทำการ scan port ขึ้นก็อาจทำให้เกิดการโจมตีได้ ขึ้นกับการป้องกันของผู้ดูแลระบบว่ามีความตระหนักในเรื่องนี้มากน้อยแค่ไหน

ส่วนค่า Syslog ล่ะจะทำการส่งค่าออกไปข้างนอกผ่าน Internet ได้หรือไม่ ? คำตอบว่าได้ แต่ควรผ่านอุปกรณ์เฉพาะที่ใช้ในการส่งค่า syslog เช่น SIEM (Security Information Event Management) หรืออุปกรณ์อื่นๆ ที่ใช้ในการส่งโดยเฉพาะ ไม่ควรส่งผ่านอุปกรณ์ Router หรือ Switch โดยตรงเพราะอาจถูก scan port จากทางไกลและอาศัย port services ที่ส่งในเป็นเครื่องมือในการโจมตี DDoS/DoS ได้

ดังนั้นการส่งค่า syslog ที่เป็น UDP ออกสู่ข้างนอกจึงควรมีระบบการส่งให้มีความปลอดภัย และไม่มีผลกระทบกับ Bandwidth ในองค์กรนัก ทั้งนี้ต้องเกิดจากการออกแบบจากผู้เชี่ยวชาญด้านนี้โดยตรง

มาถึงตรงนี้ ก็จะพบว่าภัยคุกคามที่เกิดจาก Transport Layer นั้นมักอาศัยช่องทาง TCP , UDP โดยส่วนใหญ่จะเป็นการโจมตีแบบ DDoS/DoS เชื่อมกับ Application protocol ที่เราๆท่านๆ ได้เปิดใช้ขึ้นเองทั้งมุมภายในและมุมภายนอกนั้นแหละ หากเป็นมุมภายนอกเราปิด Port services ที่ไม่จำเป็นต้องใช้ได้ก็จะปลอดภัยขึ้น ปิดจากอะไรก็ปิดจาก Network Firewall ที่เราควรจะมีไว้ทุกองค์กรนั้นเอง

ส่วนมุมภายใน วิธีที่ง่ายที่สุดคือลงโปรแกรมที่จำเป็นเท่านั้นบนเครื่องคอมพิวเตอร์ หากลงโปรแกรมมาก ก็ทำให้มีการเปิด port services มากเป็นเงาตามตัว ทำให้เพื่อนร่วมงานหรือ Hacker ในองค์กร ที่ร้อนวิชาอาจโจมตีท่านได้เช่นกัน โชคไม่ดีอาจเป็นแหล่งเพาะเชื้อที่ทำให้ไวรัสคอมพิวเตอร์เข้าถึงเครื่องคอมพิวเตอร์ได้ง่ายขึ้นอีก ใครที่ลงโปรแกรมเกมส์ โปรแกรมโหลดหนังผ่าน P2P ก็ควรใตร่ตรองในเรื่องนี้ให้มากขึ้น

ในตอนหน้าผมขอรวบ Layer 5,6 และ 7 เป็นเรื่องเดียวกัน ซึ่งถือได้ว่า Layer หลังนี้เป็นจุดเสี่ยงภัยที่มีการเข้าถึงระบบได้ง่ายและเป็นที่นิยมจากเทคนิคการโจมตีต่างๆในยุคปัจจุบันเป็นอย่างมาก

Nontawattana Saraman

SRAN Development Team ตอนนี้ขอทำการโปรโมทเทคโนโลยีใหม่ที่ทางทีมวิจัยพัฒนา SRAN ได้พัฒนาขึ้นเพื่อช่วยในการเฝ้าระวังภัยคุกคามที่เกิดขึ้นภายในองค์กร ชื่อ SRAN Light รายละเอียด http://sran.org/q ซึ่งเทคโนโลยีตัวนี้ช่วยให้เรารู้ทันภัยคุกคามได้ชนิดที่ไม่จำเป็นต้องเป็นผู้เชี่ยวชาญ

นนทวรรธนะ สาระมาน
Nontawattana Saraman
09/09/09

เนื้อหาบทความที่เกี่ยวข้อง ภัยคุกคามตาม Layer ทั้ง 7 ตอนที่ 1
รายละเอียด Port Number และความหมาย

ภัยคุกคามตาม Layer ทั้ง 7 ตอนที่ 1


เมื่อเราพิจารณาถึงการก่อเกิดภัยคุกคามต่างๆที่เกิดขึ้นจากการใช้งานระบบไอทีของเราแล้วนั้น เรามั้งมองที่จะหาทางแก้ไขที่ปลายเหตุ เช่น ติดไวรัสเราก็จะหาโปรแกรมป้องกันไวรัสมาขจัดปัญหานั้นออกไป เครือข่ายคอมพิวเตอร์ช้า ก็ทำการเพิ่ม Bandwidth เป็นต้น แต่ถ้าหากเรามองถึงเหตุปัจจุจัยที่ทำให้เกิดปัญหาต่างๆได้นั้นจะทำให้เราเข้าใจถึงภัยคุกคามที่อาจเกิดขึ้นกับเราและองค์กรของเราได้พร้อมกับสามารถหาวิธีการรับมือเพื่อป้องกันไม่เกิดปัญหาต่างๆได้

(ภาพ OSI 7 layer Model จาก wikipedia)

ภัยคุกคามที่เกิดจากการสื่อสาร เป็นการรับ-ส่งข้อมูล จากต้นทางไปปลายทางที่ถูกเรียกใช้บริการ หลักการสื่อสารที่เกิดขึ้นบนโลกอินเตอร์เน็ตก็เช่นเดียวกัน เกิดจากการรับ-ส่งข้อมูลผ่าน โมเดลที่เรียกว่า OSI 7 layer (Open Systems Interconnection) นั้นเมื่อเราพิจารณาแต่ละ Layer และวิเคราะห์ถึงภัยคุกคามนั้นเราสามารถแบ่งได้ 8 ส่วนดังนี้

จากภาพจะเห็นว่าได้มีเพิ่มอีก Layer คือ People คนเป็นส่วนสำคัญที่ทำให้เกิดช่องโหว่และความเสี่ยงที่ทำให้เกิดภัยคุกคามจากการใช้งานระบบไอทีได้ และยากแก่การควบคุมและป้องกันเป็นอย่างมาก

จากการที่ได้บรรยายในงานวิชาการต่อหลายครั้งผมเคยให้ประเด็นเรื่องภัยคุกคามไอทีกับคน โดยแบ่งเป็น เจตนา และไม่เจตนา ภัยคุกคามที่เกิดจากคนที่เจตนา คือมีเป้าหมายที่ชัดเจนในการบุกรุกเพื่อที่ต้องการได้ผลลัพธ์ตามวัตถุประสงค์ที่ตนเองต้องการ ส่วนภัยคุกคามที่เกิดจากคนที่ไม่เจตนา คือ คนที่รู้เท่าไม่ถึงการณ์และติดเป็นเครื่องมือในการโจมตีระบบ หรือเรียกว่าตกเป็น zombie ผีดิบที่พร้อมปฏิบัติการหากมีการสั่งงานซึ่ง “ผีดิบ” เหล่านี้เมื่อมีการรวมตัวกันขึ้นเรียกได้ว่าเป็นกองทัพ Botnet นั้นเอง ซึ่งภัยคุกคามที่เกิดขึ้นในโลกไอทีล้วนแล้วแต่เชื่อมโยงกันจากเหตุปัจจัยหนึ่งไปสู่อีกปัจจัยหนึ่ง

บางส่วนการบรรยายในงานเปิดตัวบริการ Cyfence จาก CAT Telecom ตุลาคม 2549

จึงเป็นเหตุที่ต้องพิจารณาภัยคุกคามตาม Layer ทั้ง 7 นี้ขึ้น

1. Physical Layer ภัยคุกคามที่เกิดขึ้นมักจะเกิดจากการโจมตีในระดับฮาร์ดแวร์ การเข้าถึงทางกายภาพ ซึ่งมักเกิดจากการออกแบบและไม่พิถีพิถันต่อภัยคุกคามที่เกิดขึ้น

วิธีป้องกันในส่วนนี้ทำได้โดยการออกแบบให้รัดกุมขึ้น มีการระบุตัวตนในการเข้าถึงข้อมูล สถานที่ที่มีความสำคัญและการควบคุมเส้นทางการใช้งานข้อมูลให้ไม่กระจายในจุดที่ควบคุมไม่ได้

2. Data Link Layer ภัยคุกคามที่เกิดขึ้นใน Layer นี้มักจะเป็นการดักข้อมูล หรือ ที่เรียกว่า “การสนิฟ” การดักข้อมูลนั้นมี 2 ส่วน คือ

:: ส่วนที่ 1 การดักข้อมูลที่เรียกว่า Promiscuous หรือการเงี่ยหูฟัง ข้อมูลที่เกิดขึ้นรอบๆตัวผู้ดักฟัง จะเกิดขึ้นในระดับ Ethernet หรือวง LAN

Promiscuous Mode จะทำให้การ์ดแลนในเครื่องที่ดักฟังมีการเปลี่ยนแปลงการรับข้อมูล หรือทางเทคนิคเรียกว่า Finger print ของ การ์ดแลนที่เปิด Promiscuous mode นั้นเปลี่ยนไป สิ่งที่ได้จาการเปิด mode นี้ทำให้เครื่องคอมพิวเตอร์สามารถดักฟังข้อมูลที่เกิดขึ้นรอบๆตัวเครื่องคอมพิวเตอร์ได้ ซึ่งไม่ได้หมายความว่าจะดักข้อมูลได้ทั้งระบบเครือข่าย ขึ้นอยู่กับตำแหน่งการติดตั้ง Promiscuous mode ไปอยู่ในตำแหน่งใด หากเป็น เครื่องคอมพิวเตอร์ภายในองค์กรเครื่องใดเครื่องหนึ่ง ก็จะดักฟังข้อมูลได้ไม่หมด เป็นเพียงการสื่อสารรอบๆข้างที่เกิดขึ้นจากการ์ดแลนที่ดักฟังเท่านั้น และจะเกิดขึ้นได้บนเครือข่ายคอมพิวเตอร์เดียวกัน

วิธีการป้องกัน การสื่อสารในวง LAN หากจำเป็นต้องมีการ Remote Access หรือมีการ Login ระบบ ควรมีการเข้ารหัส (Encryption) Protocol ที่เลือกใช้ เช่น

Remote Access ถ้าใช้ Telnet ให้เปลี่ยนเป็น SSH , ถ้าใช้ HTTP ในการ Login ให้เปลี่ยนเป็น HTTPS ในการ Login แทน ถ้าใช้ POP3 ในการับ Mail ก็ให้ใช้ Secure – POP3 ในการรับ Mail แทนเป็นต้น

เนื่องจาก Protocol ที่สำคัญในชีวิตประจำวัน ที่เราต้องใช้ เช่น Web , Mail และการ Remote ต่างๆจำเป็นต้องคำนึงถึงข้อมูลที่ส่งผ่านนั้นได้เริ่มมีการเข้ารหัสเพื่อป้องกันการดักฟังข้อมูลภายในเครือข่ายเดียวกันหรือไม่

ดังนั้น Promiscuous mode ที่เกิดจากเจตนาที่ต้องการดักฟังนั้น สามารถป้องกันได้ไม่ยาก แต่ที่ยากกว่านั้นเราจะรู้ได้อย่างไรว่ามีเครื่องคอมพิวเตอร์ในเครือข่ายของเราดักฟังอยู่

วิธีตรวจสอบ คือ ควรมีระบบที่เรียกว่า NIDS (Network Intrusion Detection System) เพื่อวิเคราะห์หาFinger print เครื่องคอมพิวเตอร์ที่ทำการดักฟังข้อมูลหรือมีการเปลี่ยนแปลงการ์ดแลนในเครื่องให้เป็น Promiscuous mode ขึ้น

:: ส่วนที่ 2 การดักฟังข้อมูลแบบ MITM (Man In The Middle attack) การข้อมูลชนิดนี้จะไม่สามารถป้องกันได้จากการเข้ารหัสข้อมูลเมื่อมีการ Remote Access บนระบบเครือข่าย เนื่องจากผู้ที่ต้องการดักฟังโดยใช้เทคนิค MIM Attack จะทำตัวเป็นตัวกลางในการเรียกใช้ข้อมูล โดยเฉพาะ ซึ่งทำให้ผู้ที่ถูกดักฟังข้อมูลเข้าใจผิดนึกและทำการส่งข้อมูลไปให้เครื่องที่ดักฟัง

ลักษณะการทำ MIM เริ่มจากการส่งค่า ARPspoof เพื่อปลอมค่า MAC Address ให้ตรงกับ Gateway และส่ง ARP Poisoning ไปที่เครื่องที่ต้องการดักฟัง

วิธีการป้องกัน คือต้องมีระบบตรวจบันทึกการเปลี่ยนแปลงค่า MAC Address ที่เครื่อง Gateway หากมีการเรียกค่า MAC Address ซ้ำกับเครื่อง Gateway ก็มีความเป็นไปได้สูงที่มีเครื่องภายในระบบเครือข่ายที่ทำการดักฟังข้อมูล ควรมีระบบ NIDS (Network Intrusion Detection System) ที่คอยวิเคราะห์พฤติกรรมที่ไม่เหมาะสม เช่นมีการเรียกค่า ARPspoof บนระบบเครือข่าย

ภาพจาก SRAN Light ที่สามารถตรวจหาเครื่องที่มีพฤติกรรมดักฟังข้อมูลได้ รายละเอียดของภาพดูได้ที่

http://twitpic.com/dczv7

โดยพื้นฐาน NIDS จะทำการตรวจจับได้ก็ต่อเมื่อติดตั้งในตำแหน่งที่เหมาะสม จากภาพจะเห็นว่าการทำ ARPspoof จะเกิดขึ้นใน Layer 2 จึงทำให้การตรวจจับไม่สามารถระบุถึง IP Address ได้ หากระบบเครือข่ายมี NIDS แล้วจำเป็นต้องทำเพิ่มเติมคือมีการจัดทำระบบ Inventory หรือ คลังข้อมูลเครื่องคอมพิวเตอร์สำหรับเครือข่ายภายในอีกด้วย ไม่เช่นนั้นก็จะไม่สามารถตรวจหาเครื่องที่ดักจับข้อมูลผ่านเทคนิค MIM attack ได้

3. Network Layer ภัยคุกคามที่เกิดขึ้นใน Layer นี้ส่วนใหญ่จะเป็นการโจมตีระบบที่เรียกว่าการทำ DDoS/DoS (Denial of Service) การโจมตีเครื่องเป้าหมายโดยใช้เทคนิค DDoS/DoS นั้นจะทำได้ผ่าน Protocol ที่เรียกว่า ICMP ซึ่งสามารถทำได้หลายเทคนิคเช่น Ping of Death , Smurf attack

หากโจมตีลำพังเพียงเครื่องเดียวไปที่เครื่องเป้าหมาย เรียกว่า DoS (Denial of Service)

หากโจมตีหลายเครื่องไปที่เครื่องเป้าหมาย เรียกว่า DDoS (Distributed Denial of Service)

วิธีการป้องกัน

เพิ่มค่าที่ Router กำหนดค่า Router(config-if)# no ip directed-broadcast

กำหนดให้ Network Firewall ปิดกั้นการรับค่า ICMP

ถึงอย่างไรการโจมตีชนิด DDoS/DoS ใน Layer 3 หรือ Network Layer เป็นเทคนิคที่ใช้ไม่ได้ผลแล้วในปัจจุบันแต่ก็ยังมีหลายองค์กรที่ยังถูกการโจมตีชนิดนี้อยู่ เนื่องจากการกลายพันธ์ของเทคนิคการโจมตีนี้ไปผนวกกับการแพร่ระบาดของไวรัสคอมพิวเตอร์ (worm) ในหลากหลายชนิดและสายพันธุ์ ทำให้เครือข่ายคอมพิวเตอร์ฝั่งภายนอกองค์กรจึงเต็มไปด้วยข้อมูลขยะที่วิ่งวนเวียนพร้อมที่สร้างความลำคาญใจต่อระบบไม่น้อย

ส่วนใหญ่การพูดถึง DDoS/DoS มักมองในมุมเครือข่ายภายนอกองค์กร และเหตุการณ์มักจะเกิดขึ้นช่วงรอยต่อของจุดเชื่อมเครือข่ายภายในและภายนอกที่มีการติดต่อโลกอินเตอร์เน็ต แต่เมื่อมีการแพร่ระบาดไวรัสคอมพิวเตอร์ (Worm) บางสายพันธ์แล้วการโจมตีดังกล่าวอาจเกิดขึ้นภายในองค์กรก็ได้ เช่น worm ที่ชื่อว่า Nachi ที่เคยทำให้ระบบเครือข่ายในองค์กรใหญ่ในประเทศไทยถึงใช้งานไม่ได้ก็เคยเกิดขึ้นมาแล้ว ดังนั้นเทคโนโลยีที่ใช้ในเครือข่ายคอมพิวเตอร์ในองค์กรควรพิจารณาทั้งสองมุมจะเป็นการดี

อีกทั้งภัยคุกคามที่เกิดขึ้นใน Network Layer (L3) นั้นก็ยังมีการปลอมแปลงค่า IP Address หรือที่เรียกตามศัพท์เทคนิคว่า IP Spoofing ซึ่งเทคนิคนี้จะมีผลกระทบและสร้างความเสียหายได้เมื่อ IP Address ดังกล่าวเกิดขึ้นบนระบบเครือข่ายภายในองค์กรเอง แต่ก็ยังเป็นผลกระทบที่ไม่รุนแรงและสามารถแก้ไขได้หากมีการออกแบบระบบเครือข่ายที่ดี ก็จะป้องกันปัญหาดังกล่าวได้

ในตอนหน้าจะพูดถึงภัยคุกคามและการโจมตีใน Layer ที่สูงซึ่งจะมีความซับซ้อนมากขึ้นและมีหลากหลายเทคนิคที่ผู้ดูแลระบบควรศึกษาเป็นอย่างยิ่ง

นนทวรรธนะ สาระมาน
Nontawattana Saraman

มารู้จักกับ Payment Card Industry Data Security Standard

มาตรฐาน Payment Card Industry Data Security Standard เป็นมาตรฐานความปลอดภัยสารสนเทศที่แพร่หลายทั่วโลก รวบรวมโดยคณะกรรมการ Payment Card Industry Security Standards Council (PCI SSC) มาตรฐานนี้สร้างขึ้นมาเพื่อช่วยให้องค์กรต่าง ๆ ที่ดำเนินการชำระเงินผ่านบัตร ให้สามารถป้องกันการฉ้อโกงบัตรเครดิตด้วยการควบคุมข้อมูลและช่องโหว่ต่าง ๆ ที่เพิ่มขึ้น ได้มีการนำมาตรฐานดังกล่าวมาใช้กับทุกองค์กรที่เก็บรักษา ดำเนินการ หรือส่งต่อข้อมูลข่าวสารเกี่ยวกับผู้ถือบัตรจากบัตรใด ๆ ก็ตามที่ประทับยี่ห้อของเครื่องหมายการค้าของบัตรเครดิตเจ้าใดเจ้าหนึ่ง

มาตรฐานนี้ดูแลรักษาโดยคณะกรรมการ Payment Card Industry Security Standards Council ซึ่งดูแลทั้งมาตรฐาน PCI DSS และมาตรฐานอื่น ๆ อาทิเช่น Payment Card Industry PIN Entry Device security requirements (PCI PED) และ Payment Application Data Security Standard (PA-DSS)

การตรวจสอบการปฏิบัติตามมาตรฐานอาจทำได้จากทั้งจากภายในหรือภายนอก ขึ้นอยู่กับปริมาณของการทำธุรกรรมของบัตรที่องค์กรนั้นจัดการ ถึงแม้ว่าองค์กรจะมีขนาดใหญ่เพียงใดก็ตาม การประเมินการปฏิบัติตามมาตรฐานจะต้องทำเป็นรายปี องค์กรที่จัดการกับการทำธุรกรรมที่มีปริมาณมากจะต้องมีการประเมินการทำตาม มาตรฐานโดยผู้ประเมินอิสระที่เรียกว่า Qualified Security Assessor (QSA) ส่วนบริษัทที่จัดการกับการทำธุรกรรมที่มีจำนวนน้อยกว่าสามารถเลือกที่จะ ทำการประเมินได้ด้วยตัวเองที่เรียกว่า Self-Assessment Questionnaire (SAQ)

ข้อกำหนด

มาตรฐานนี้ในเวอร์ชั่นปัจจุบัน (1.2) ระบุถึงข้อกำหนด 12 ข้อในการปฏิบัติตามมาตรฐาน แบ่งเป็นหกกลุ่มที่เกี่ยวข้องกัน เรียกว่า “control objectives”

Control Objectives ข้อกำหนด PCI DSS
สร้างและดูแลรักษาเครือข่ายที่ปลอดภัย 1. ติดตั้งและดูแลรักษาค่าที่ตั้งไว้ของไฟร์วอลล์เพื่อป้องกันข้อมูลของผู้ถือบัตร
2. ไม่ใช้ค่าที่ตั้งมาพร้อมกับผลิตภัณฑ์สำหรับรหัสผ่านและการรักษาความปลอดภัยอื่น ๆ ของระบบ
การป้องกันข้อมูลผู้ถือบัตร 3. ป้องกันข้อมูลผู้ถือบัตรที่เก็บรักษาอยู่
4. เข้ารหัสธุรกรรมที่ส่งผ่านเครือข่ายสาธารณะแบบเปิด
ดูแลรักษาโปรแกรมที่จัดการกับช่องโหว่ 5. ใช้และอัพเดทซอฟท์แวร์แอนตี้ไวรัสในทุกระบบที่มักจะได้รับผลกระทบจากมัลแวร์
6. พัฒนาและดูแลรักษาระบบและแอพพลิเคชั่นต่าง ๆ ให้ปลอดภัย
ใช้มาตรการควบคุมการเข้าถึงที่เข้มแข็ง 7. จำกัดการเข้าถึงข้อมูลผู้ถือบัตร สำหรับผู้ที่ได้รับอนุญาตให้สามารถเข้าถึงได้เท่านั้น
8. กำหนดหมายเลขประจำตัวเฉพาะสำหรับผู้ที่สามารถเข้าถึงคอมพิวเตอร์ได้
9. จำกัดการเข้าถึงข้อมูลผู้ถือบัตรทางกายภาพ
เฝ้าดูและทดสอบเครือข่ายต่าง ๆ อย่างสม่ำเสมอ 10. ติดตามและเฝ้าดูการเข้าถึงทรัพยากรทางเครือข่ายและข้อมูลผู้ถือบัตร
11. ทดสอบระบบและขั้นตอนต่าง ๆ ในการรักษาความปลอดภัยอย่างสม่ำเสมอ
ดูแลรักษานโยบายความปลอดภัยสารสนเทศ 12. ดูแลรักษานโยบายที่กล่าวถึงความปลอดภัยสารสนเทศ

มาตรฐาน PCI DSS ที่มีใน SRAN Data Safehouse

ระบบของ Data Safehouse ในส่วนของการประเมินการปฏิบัติตามมาตรฐานของ PCI DSS จะเน้นที่การตรวจสอบปัญหาต่าง ๆ ที่พบใน web server เป็นหลัก

หน้ารายงานในส่วนของ PCI DSS สามารถเปิดดูได้จากเมนู Status > Security scan เมื่อเข้ามาที่หน้า Security scan แล้วให้คลิกที่ลิงค์ PCI DSS Compliance check

จากนั้นจึงเลือกเปิดดูรายงานตามวันที่ที่ต้องการโดยคลิกที่ลิงค์ view report

จะปรากฏหน้าที่บอกรายละเอียดการประเมินผล พร้อมทั้งผลที่บอกว่า web server ของคุณผ่านมาตรฐาน PCI DSS หรือไม่ ซึ่งคุณสามารถอ่านรายละเอียดได้จากรายงานที่บอกถึงรายละเอียดที่อยู่ข้าง ล่าง

ตัวอย่างรายงานที่บอกรายละเอียดว่าเหตุใด server ที่ตรวจสอบถึงไม่ผ่านตามมาตรฐาน PCI DSS

มีข่าวดีมาบอก

คุณสมบัติที่หลายคนรอคอย หลังจากทีมงาน SRAN ได้พัฒนาปรับปรุงคุณสมบัติของอุปกรณ์ให้เป็นไปตามความต้องการของลูกค้าพบว่า ลูกค้าต้องการค้นหาพฤติกรรมของ IP Address หรือค่า MAC Address ให้ตรงกับรายชื่อพนักงานในองค์กรได้ โดยไม่ต้องเพิ่มเติมอุปกรณ์อื่น

เร็วๆนี้ทางทีมพัฒนา SRAN ได้พัฒนาเทคโนโลยีใหม่ที่เรียกว่า HBW (Human Behaviror Warning System) ขึ้น โดยการผสมผสานจากเทคนิค Intrusion Detection System ในระดับ Network Base และ การทำ Passive Inventory ในการตรวจจับรายชื่อพนักงาน ชื่อแผนกของหน่วยงาน ค่า MAC Address มาเชื่อมโยงกับ IP Address (ทั้งแบบ Dynamic และ static IP) ได้โดยไม่ต้องลงอุปกรณ์เสริม มาใช้สำหรับการเฝ้าระวังพฤติกรรมการใช้งานไอซีทีภายในองค์กร โดยรวมเทคโนโลยีไว้ในเครื่องเดียว ไม่ต้องติดตั้งอุปกรณ์เพิ่มเติมเพื่อความสะดวกในการใช้งาน และคุ้มค่าแก่การลงทุนส่วนการเฝ้าระวังพฤติกรรมการใช้งานถูกออกแบบไม่ให้มี การละเมิดสิทธิความเป็นส่วนตัวพนักงานในองค์กร โดยสามารถกำหนด Rule Policy ตามนโยบายบริษัทได้ ซึ่งจะสามารถตรวจจาก Protocol ที่สำคัญและอาจมีความเสี่ยงที่จะใช้เป็นเครื่องมือในการก่อให้เกิดความเสีย หาย และเกิดภัยคุกคามขึ้น เนื่องจากเป็น Protocol ที่ใช้งานกันอย่างแพร่หลาย เช่น

Web : HTTP, HTTPS

Email : SMTP, POP3, IMAP, Web Mail, Lotus Note, POP3S, SMTPS, IMAPS ซึ่งจะดูเฉพาะ Subject e-mail ในการรับส่ง

Messenger : ICQ, MSN, IRC, AIM, Yahoo, ebuddy, Camfrog ใน Mode Chat สามารถควบคุมได้ว่าจะให้แสดงข้อความการสนทนาได้ ซึ่งเป็นการป้องกันเรื่องความเป็นส่วนตัวพนักงาน

File Transfer : FTP, TFTP ,Files Sharing (Netbios)

P2P : napster, GNUtella, DirectConnect, Bittorrent, eDonkey, MANOLITO, Ares, ed2k, kaaza, soulseek และ VoIP ชนิด P2P เช่น Skype เป็นต้น

Others : Telnet, Remote Desktop, VNC, Radius

โดย เทคนิคดังกล่าวสามารถทำงานได้โดยไม่ต้องลง agent software ที่เครื่อง client ทำให้เกิดความสะดวกในการติดตั้งอุปกรณ์เป็นอย่างมาก การติดตั้ง SRAN Security Center ยังคงเหมือนเดิมคือสามารถติดตั้งได้3 รูปแบบ คือ แบบแรก In-line (ซึ่งทำให้ป้องกันภัยคุกคามในระดับ Application Layer ได้ คือสามารถทำตัวอุปกรณ์เป็น NIPS นั้นเอง) , แบบที่สอง Transparent (สามารถป้องกันภัยคุกคามในระดับ L3-L4) , และแบบที่สาม Passive Mode คือเป็นการเฝ้าระวังอย่างเดียว ทั้ง 3 Mode ในการติดตั้งขึ้นกับขนาดปริมาณข้อมูลในแต่ละองค์กรและตามขนาดรุ่นการใช้งาน ของ SRAN ซึ่งสามารถอ่านได้เพิ่มเติมที่ http://www.gbtech.co.th/th/product/usm

แนวคิด เทคโนโลยีใหม่ HBW (Human Behaviror Warning) ที่ ทีมงานนำมาใช้ ก็เพื่อเป็นประโยชน์สำหรับองค์กรในการในการเฝ้าระวังภัยคุกคามภายใน หรือที่เรียกว่า “Insider Threat” ที่มีสถิติมากขึ้นทุกๆปี และการสืบค้นหาประวัติเหตุการณ์เพื่อหาผู้กระทำความผิดได้สะดวกมากขึ้น อีกทั้งยังสามารถเชื่อมกับงาน ทรัพยากรบุคคล HR (Human Resource) ได้ถึงพฤติกรรมการใช้งาน IT ภายในองค์กร ว่ามีพฤติกรรมการใช้งานอันไม่เหมาะสมในเวลางานหรือไม่ หรือมีการลักลอบขโมยข้อมูลภายในองค์กรส่งไปยังที่อื่นนอกเวลางานหรือไม่ ซึ่งทำให้รู้ทันปัญหาการโกง (Fraud) จากคนภายในองค์กรได้อย่างทันเวลาและมีหลักฐานในการประกอบรูปคดี รวมถึงการสร้างเป็นดัชนีชี้วัดรายแผนก รายบุคคล ที่ส่งผลให้สามารถพยากรณ์ถึงการลงทุนระบบไอซีทีในองค์กรให้มีประสิทธิภาพมากขึ้น

ความสามารถมีคุณสมบัติใหม่ ดังนี้คือ

1. สามารถมองเห็นค่า IP Address เชื่อมโยงกับข้อมูลรายชื่อพนักงานในบริษัท

ภาพ หน้าจอ SRAN Security Center ที่เปลี่ยนไปสามารถเชื่อมโยง IP Address กับชื่อพนักงานบริษัทได้ โดยสามารถได้ทั้งองค์กรที่เป็นระบบ IP แบบ DHCP และ Static IP เนื่องจากเทคโนโลยี HBW ที่ทีมงาน SRAN ได้คิดค้นขึ้นจะสามารถเชื่อมความสัมผัสรายชื่อพนักงานและ IP Address ได้บนระบบเครือข่าย

หากเปรียบเทียบกับการสืบสวนตาม chain of event คือพิจารณาจาก

Who พบว่า SRAN สามารถบอกได้ถึง ชื่อพนักงาน รูปพนักงาน ชื่อแผนก ค่า IP Address ตลอดจนค่า MAC Address ระบบปฏิบัติการของผู้ใช้งานได้

What พบว่า SRAN สามารถบอกถึงพฤติกรรมการใช้งานโดยแยกตามลักษณะ Signature ว่าเป็นการใช้งานชนิดใด เช่น เล่น Web , Mail ,Chat , Upload , download เป็นต้น

Where พบว่า SRAN สามารถบอกถึงลักษณะการสื่อสารตาม Protocol ที่สำคัญและ Port Services ที่ใช้

When พบว่า SRAN สามารถบอก วัน เวลา ที่เกิดขึ้นในแต่ละเหตุการณ์ได้

Why (How) พบว่า SRAN จะสามารถแยกแยะได้ว่าเป็นพฤติกรรมเหมาะสมหรือไม่เหมาะสมผ่านเทคนิค NIDS (Network Intrusion Detection System) ที่ดูได้ถึงระดับ Application Layer

2. สามารถจัดเก็บค่า Inventory ชนิดแบบ Passive ทางระบบเครือข่าย ซึ่งทำให้ได้ทราบถึง

– รายชื่อพนักงานบริษัท (Name)

– ชื่อแผนก (Department)

– ชื่อระบบปฏิบัติการของพนักงาน (Operating System)

– ค่า MAC Address แต่ละเครื่องในองค์กร

ภาพ การแสดงผล ค่าคลังข้อมูล (Inventory) ที่ผ่านเทคโนโลยี HBW ที่ทีมงาน SRAN ได้คิดค้นขึ้น จะสามารถเก็บประวัติการใช้งานเครื่องคอมพิวเตอร์ รายชื่อพนักงาน ชื่อแผนก ชื่อ IP ค่า MAC Address และระบบปฏิบัติการได้ โดยไม่ต้องลงซอฟต์แวร์ (agent) ใดๆ

อีกทั้งเพิ่มคุณสมบัติที่เฝ้า ระวังการที่พนักงานทำตัวเองเป็น Hacker และทำการแอบดักข้อมูล หรือใช้โปรแกรม sniffer ได้อีกด้วย เรียกเทคโนโลยีนี้ว่า Anti-sniffer ที่เป็นแบบ Passive Monitoring บนระดับเครือข่ายคอมพิวเตอร์ สามารถที่จะรู้ถึงเครื่องคอมพิวเตอร์ที่ทำการดักจับข้อมูลภายในองค์กรได้อีก ด้วย ซึ่งเป็นการรู้ทันพฤติกรรมของ Hacker ภายในองค์กรมากขึ้นอีกระดับหนึ่ง

3.รายงานผลการใช้งานข้อมูลสารสนเทศตามแผนกงาน , รายบุคคล และภาพรวมของบริษัทได้

ภาพ ประวัติการใช้งานพนักงานในองค์กรที่เป็นรายบุคคล ซึ่งทำให้วิเคราะห์ถึงพฤติกรรมการใช้งานตาม Protocol ที่ต้องสงสัยว่าจะเป็นการทุจริตภายในองค์กรได้ และสามารถเพิ่มรูปพนักงานดังกล่าวลงในระบบได้อีกด้วย

คุณสมบัติทั้งหมด เป็นการวิจัยค้นคว้าเพื่อให้ หลังจากที่ได้สอบถามจากลูกค้าที่เคยใช้ SRAN Security Center มาแล้วทั้ง 3 ข้อที่กล่าวมาจึงเป็นคุณสมบัติที่ เหมาะสม ลดความซับซ้อนของเทคโนโลยีลง และคุ้มค่าการลงทุนในการใช้งานระบบสารสนเทศในองค์กรเพื่อให้เกิดประสิทธิภาพ และประสิทธิผลมากขึ้น

คอยพบกับ SRAN Security Center ใน Version ใหม่นี้ได้เร็วๆ นี้ คิดว่าเป็นประโยชน์ในงานสืบสวนสอบสวน งานตรวจสอบ ดัชนีชี้วัดพฤติกรรมการใช้งานบุคลากรไอซีทีในองค์กร และถือว่าเป็นอุปกรณ์ยาสามัญประจำเครือข่ายที่ทุกที่องค์กรควรมีไว้ใช้งานเป็นอย่างมาก

นนทวรรธนะ สาระมาน
Nontawattana Saraman

10 วิธี รู้ทันภัยคุกคามอินเตอร์เน็ต


เมื่อโลกอินเตอร์เน็ตเข้ามามีบทบาทในชีวิตมากขึ้น ภัยร้ายก็มาเยือนถึงตัวได้แบบไม่เว้นวัน จึงขอนำเสนอเทคนิคป้องกันภัยคุกคามออนไลน์ ที่ใครก็ทำได้ มาให้รับทราบกัน ดังนี้

1. ตั้งสติก่อนเปิดเครื่อง ก่อนเปิดเครื่องคอมพิวเตอร์ ให้รู้ตัวเสมอว่าเราอยู่ที่ไหน – ที่บ้าน ที่ทำงาน หรือที่สาธารณะ – และระมัดระวังการใช้งานคอมพิวเตอร์ ตั้งแต่เริ่มเปิดเครื่อง ดังนี้

  • ก่อน Login เข้าใช้งานคอมพิวเตอร์ ต้องมั่นใจว่าไม่มีใครแอบดู Password ของเราได้
  • เมื่อไม่ได้อยู่หน้าจอคอมพิวเตอร์ ควรล็อคหน้าจอให้อยู่ในสถานะที่ต้องใส่ค่า Login ป้องกันไม่ให้ผู้อื่นเข้าใช้เครื่องคอมพิวเตอร์ของเราได้อย่างสะดวก
  • อย่าประมาทในการใช้งานอินเตอร์เน็ต ตระหนักไว้ว่าข้อมูลความลับและความเป็นส่วนตัวของเราอาจถูกเปิดเผยได้เสมอในโลกออนไลน์ แม้เราจะระมัดระวังมากเพียงใดก็ตาม

2. กำหนด Password ที่ยากแก่การคาดเดา ควรมีความยาวไม่ต่ำกว่า 8 ตัวอักษร และใช้อักขระพิเศษ ไม่ตรงกับความหมายในพจนานุกรม เพื่อทำให้ยากแก่การเดา Password มากขึ้น และการใช้งานอินเตอร์เน็ตทั่วไป เช่น การ Login ระบบ e-mail , ระบบสนทนาออนไลน์ (chat) ระบบเว็บไซต์ที่เราเป็นสมาชิกอยู่ ทางที่ดีควรใช้ password ที่ต่างกันบ้างพอให้จำได้ หรือมีเครื่องมือช่วยจำ password เข้ามาช่วย

3. สังเกตขณะเปิดเครื่อง ว่ามีโปรแกรมไม่พึงประสงค์รันมาพร้อมๆ กับการเปิดเครื่องหรือไม่ ถ้าดูไม่ทัน ให้สังเกตระยะเวลาบูตเครื่อง หากนานผิดปกติ อาจเป็นไปได้ว่าเครื่องคอมพิวเตอร์ติดปัญหาจากไวรัส หรืออื่นๆได้

4. ควรหมั่นตรวจสอบ Patch ทั้งที่เป็น OS ,ซอฟต์แวร์ที่ใช้ควรทันสมัย โดยเฉพาะโปรแกรมป้องกันภัยในเครื่อง และควรใช้ระบบปฏิบัติการและซอฟต์แวร์ที่มีลิขสิทธิ์ถูกต้องตามกฏหมาย นอกจากนี้ควร update อินเตอร์เน็ตบราวเซอร์ ให้ทันสมัยอยู่เสมอ เนื่องจาก Application Software สมัยใหม่มักพึ่งพาอินเตอร์เน็ตบราวเซอร์ ก่อให้เกิดช่องโหว่ใหม่ๆ ให้ภัยคุกคามเจาะผ่านบราวเซอร์ที่เราใช้ และสร้างปัญหาให้เราได้

5. ไม่ลงซอฟต์แวร์มากเกินจำเป็น จนเกินศักยภาพการทำงานของเครื่องคอมพิวเตอร์ ควรยึดหลักทางสายกลาง ไม่มากไปและไม่น้อยไป ซอฟต์แวร์ที่จำเป็นต้องลงในเครื่องคอมพิวเตอร์ ได้แก่

  • อินเตอร์เน็ตบราวเซอร์ เพื่อใช้เปิดเว็บไซต์ต่างๆ
  • E-mail เพื่อใช้รับส่งข้อมูลและติดต่อสื่อสาร
  • โปรแกรมสำหรับงานด้านเอกสาร, โปรแกรมตกแต่งภาพ เสียง วิดีโอ หรือโปรแกรมที่ใช้สำหรับความบันเทิง ควรเลือกลงเฉพาะโปรแกรมที่มีความน่าเชื่อถือ
  • โปรแกรมป้องกันไวรัสคอมพิวเตอร์ ไม่ควรลงหลายตัวเลือกเพียงตัวใดตัวหนึ่งที่เรามีความถนัดและใช้งานได้

หากจำเป็นต้องใช้โปรแกรมอื่น ควรพิจารณาใช้โปรแกรมที่ผ่าน Web Application เช่น Chat, VoIP เป็นต้น หรือบันทึกโปรแกรมลงบน Thumb Drive เพื่อรันจากภายนอกเครื่องคอมพิวเตอร์

ซอฟต์แวร์ที่ไม่ควรมีบนเครื่องคอมพิวเตอร์ที่เราใช้งาน ได้แก่

  • ซอฟต์แวร์ที่ใช้ในการ Crack โปรแกรม
  • ซอฟต์แวร์สำเร็จรูปที่ใช้ในการโจมตีระบบ, เจาะระบบ (Hacking Tools)
  • ซอฟต์แวร์ที่เกี่ยวกับการสแกนข้อมูล ดักรับข้อมูล (Sniffer) และอื่นๆ ที่อยู่ในรูปซอฟต์แวร์สำเร็จรูป ที่ไม่เป็นที่รู้จัก แม้ค้นหาข้อมูลก็ไม่พบรายละเอียด ซึ่งหากเป็นเช่นนี้เราควรระมัดระวังหากจำเป็นต้องใช้ชุดซอฟต์แวร์ดังกล่าว
  • ซอฟต์แวร์ที่ใช้หลบหลีกการป้องกัน เช่น โปรแกรมซ่อน IP address เพื่อป้องกันคนไม่ให้เห็น IP ที่แท้จริงนั้น มักใช้เส้นทางระบบเครือข่ายของอาสาสมัครต่างๆ ซึ่งหนึ่งในนี้อาจเป็นเครื่องของผู้ไม่ประสงค์ดีที่ต้องการดักข้อมูลของผู้ใช้งานบริสุทธิ์ก็ได้

6. ไม่ควรเข้าเว็บไซต์เสี่ยงภัย เว็บไซต์ประเภทนี้ ได้แก่

  • เว็บไซต์ลามกอนาจาร
  • เว็บไซต์การพนัน
  • เว็บไซต์ที่มีหัวเรื่อง “Free” แม้กระทั่ง Free Wi-Fi ที่เราคิดว่าได้เล่นอินเตอร์เน็ตฟรี แต่อาจเป็นแผนของ Hacker ให้เรามาใช้ระบบ Wi-Fi ก็เป็นได้ ให้คิดเสมอว่า “ไม่มีของฟรีในโลก” หากมีการให้ฟรีก็ต้องของต่างตอบแทน เช่น โฆษณาแฝง เป็นต้น
  • เว็บไซต์ที่ให้โหลดโปรแกรม ซึ่งมีการแนบ file พร้อมทำงานในเครื่องคอมพิวเตอร์ ได้แก่ ไฟล์นามสกุล .exe .dll .vbs เป็นต้น
  • เว็บไซต์ที่แจก Serial Number เพื่อใช้ crack โปรแกรม
  • เว็บไซต์ที่ให้ download เครื่องมือในการเจาะระบบ (Hacking Tools)
  • เว็บไซต์ที่เกี่ยวข้องกับยาเสพติด
  • เว็บไซต์ที่มี Link ไม่ตรงกับชื่อ โดย Redirect ไปอีกหน้าเพจหนึ่งที่ชื่อไม่ตรงกับ domain ที่ต้องการใช้งาน
  • เว็บไซต์ที่มีหน้าต่าง pop-up ขึ้นหลายเพจ
  • เว็บไซต์ที่มีชื่อ domain ยาวและมีเครื่องหมายมากเกินปกติ ไม่ใช่ชื่อที่เหมาะแก่การตั้ง เช่น www.abc-xyz-xxx.com มีเครื่องหมาย “–” มากเกินไป
  • เว็บที่ทำตัวเองเป็น Proxy อนุญาตให้เราใช้งานแบบไม่ระบุชื่อ (anonymous) เนื่องจากผู้ใช้ Free proxy มักประมาทและคิดถึงแต่ผลประโยชน์ จนลืมคิดไปว่าการได้ IP Address ปลอม จากการใช้ Anonymous Proxy อาจจะถูกสร้างมาเพื่อดักข้อมูลของเราเสียเองก็ได้

ทั้งหมดที่กล่าวมานั้นเป็นข้อสังเกตเว็บไซต์เสี่ยงภัย หากหลีกเลี่ยงการเข้าเว็บที่มีลักษณะดังกล่าวไม่ได้ ก็ควรตั้งสติ รอบคอบ และระมัดระวังในการใช้งานเว็บไซต์ข้างต้นเป็นพิเศษ

7. สังเกตความปลอดภัยของเว็บไซต์ที่ให้บริการธุรกรรมออนไลน์ เว็บไซต์ e-Commerce ที่ปลอดภัยควรมีลักษณะดังนี้

  • มีการทำ HTTPS เนื่องจาก HTTPS จะมีการเข้ารหัสข้อมูล เพื่อป้องกันการดัก User name และ Password ในเวลาที่เราทำการ Login เข้าใช้บริการ E-commerce
  • มีใบรับรองทางอิเล็กทรอนิกส์ (Certificate Authority : CA) เพื่อช่วยในการยืนยันตัวบุคคลและรักษาความปลอดภัยในการรับส่งข้อมูลผ่านระบบอินเทอร์เน็ตที่ใช้บนเครื่องให้บริการนั้น
  • มีมาตรฐาน (Compliance) รองรับ เช่น ผ่านมาตรฐาน PCI/DSS สำหรับเว็บไซต์ E-commerce เป็นต้น

8. ไม่เปิดเผยข้อมูลส่วนตัว โดยเฉพาะเว็บไซต์ที่เป็น Social Network เช่น Hi5 , Facebook , youtube อื่นๆเป็นต้น ชื่อที่ใช้ควรเป็นชื่อเล่นหรือฉายาที่กลุ่มเพื่อนรู้จัก และไม่ควรเปิดเผยข้อมูลดังต่อไปนี้

  • เลขที่บัตรประชาชน
  • เบอร์โทรศัพท์ส่วนตัว
  • หมายเลขบัตรเครดิต
  • หมายเลขหนังสือเดินทาง
  • ข้อมูลทางการแพทย์
  • ประวัติการทำงาน

หากจำเป็นต้องกรอกข้อมูลดังกล่าว ให้สังเกตว่าเว็บไซต์นั้นน่าเชื่อถือหรือไม่ พิจารณาจากเนื้อหาในเว็บไซต์ที่ควรบ่งบอกความตั้งใจในการให้บริการ และควรเป็นเว็บไซต์ที่รู้จักกันแพร่หลาย เพื่อหลีกเลี่ยงปัญหาถูกดักข้อมูลส่วนตัวจากการสร้างเว็บไซต์หลอกลวง (Phishing) และป้องกันข้อมูลปรากฏในระบบค้นหา (Search Engine) ที่ตนเองไม่ประสงค์จะให้สาธารณชนได้รับรู้

9. ศึกษาถึงข้อกฎหมายเกี่ยวกับการใช้สื่ออินเตอร์เน็ต ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ฯ โดยมีหลักการง่ายๆ ที่จะช่วยให้สังคมออนไลน์สงบสุข คือ ให้คิดถึงใจเขาใจเรา – หากเราไม่ชอบสิ่งใด ก็ไม่ควรทำสิ่งนั้นกับผู้อื่น – เวลาแสดงความคิดเห็นบนกระดานแสดงความคิดเห็น (Web board), การรับส่ง e-mail, หรือการกระทำใดๆ กับข้อมูลบนอินเตอร์เน็ต

10. ไม่หลงเชื่อโดยง่าย อย่าเชื่อในสิ่งที่เห็น และงมงายกับข้อมูลบนอินเตอร์เน็ต ควรหมั่นศึกษาหาความรู้จากเทคโนโลยีอินเตอร์เน็ต และศึกษาข้อมูลให้รอบด้าน ก่อนปักใจเชื่อในสิ่งที่ได้รับรู้

ภัยคุกคามจากการใช้อินเตอร์เน็ตมักเกิดจากพฤติกรรมการใช้งานของเราเอง การมีชุดซอฟต์แวร์ป้องกันในเครื่องมิใช่คำตอบสุดท้ายที่ทำให้เครื่องคอมพิวเตอร์เราปลอดภัยเสมอไป ความปลอดภัยจะเกิดขึ้นได้ล้วนแล้วแต่พึ่งพาสติและความรู้เท่าทันจากตัวของเราเอง 10 วิธีดังกล่าวมา นั้นเป็นคาถาสำหรับนักท่องอินเตอร์เน็ตให้มีความระมัดระวังตัวจากการใช้ข้อมูลมากขึ้น

จำไว้เสมอว่า ความมั่นคงปลอดภัยข้อมูลจะเกิดขึ้นได้ ต้องเริ่มต้นจากตัวเองเสียก่อน หากผู้ใช้งานปลอดภัย ระบบเครือข่ายภายในองค์กรนั้นก็จะปลอดภัย เครือข่ายองค์กรอื่นๆที่มาร่วมใช้งานระบบก็ปลอดภัย เกิดเป็นห่วงโซ่แห่งความปลอดภัย จากระดับเล็กสู่ระดับใหญ่ ไปถึงระดับชาติ ช่วยให้ประเทศของเราปลอดภัยจากการใช้ระบบข้อมูลสารสนเทศได้

นนทวรรธนะ สาระมาน
Nontawattana Saraman

(4/06/52)

ข้อมูล
บทความเพิ่มเติม : ใช้ซอฟต์แวร์อย่างคุ้มค่าและปลอดภัยในการท่องอินเตอร์เน็ต

รอยยิ้มแห่งความหวัง อีกครั้ง

นำภาพถ่ายจากช่างภาพมืออาชีพ ที่ถ่ายรูปชีวิตคนในประเทศจีนก่อนเปิดประเทศ (Humanizing China)

แล้วนำมาประยุกต์ภาพเรียบเรียงใหม่ โดยตั้งชื่อว่า “รอยยิ้มแห่งความหวัง”

เริ่มต้นวันใหม่ กับความหวังใหม่ ..

เราต้องอยู่รอด เพื่อไปถึงเป้าหมาย ที่หวังไว้

บางทีเมื่อเกิดปัญหา ก็ต้องแก้ไขเฉพาะหน้าไปบ้าง ..

บางที อาจท้อแท้ ..

บ่อยครั้งที่เรามีกำลังใจ

มีคำถามว่า แล้วเราต้องการอะไร ?
สิ่งนี้หรือ ?

หรือจะเป็นสิ่งนี้ ?

อาจเป็นความสุข เล็กๆ น้อยๆ

แล้วมันจะขนาดไหน กัน ถึงจะพอ

มันอาจอยู่ไกลแสนไกล เราก็ต้องเดินทางกันต่อไป ถึงแม้เราจะต่างกันในวิธีการเดินทาง เพื่อถึงเป้าหมายที่ตั้งไว้ ก็ตามแต่ …

ถึงลำบาก เราก็ยังยิ้มได้

เพื่อดำเนินชีวิตอยู่ต่อไป .. ถึงแม้ .. ความหวังที่ตั้งเป้าหมายไว้ ยังไม่ทราบว่าเมื่อไหร่จะมาถึง

เป้าหมายที่ตั้งไว้ มันอยู่ ได้ทุกๆที่ เมื่อเรามีรอยยิ้ม

วันนี้คุณยิ้มหรือยัง ? : ) กับ รอยยิ้มแห่งความหวัง

บ้างทีความหวังของชีวิตนั้นมันเปลี่ยนแปลงตามเวลาที่เปลี่ยนไป
สำคัญว่าปัจจุบันสิ่งที่เราทำมันต้องส่งผลที่ดีต่อตัวเรา สังคม และโลกมนุษย์ที่เราดำรงชีพอยู่

Link : http://www.neatorama.com/2007/03/28/humanizing-china-a-series-of-great-photographs/

นนทวรรธนะ สาระมาน
Nontawattana Saraman

เตือนภัยออนไลน์ใกล้ๆตัวคุณ

หนังสือพิมพ์ Telecom Journal โกลบอลเทคโนโลยี อินทิเกรเทด ผู้พัฒนาระบบเฝ้าระวังภัยคุกคาม
วันที่ 21-27 กันยายน 2552