จากหัวข้อที่กล่าวมาเป็นเรื่องท้าทายความเข้าใจในเรื่องการเก็บ Log พอสมควร ก่อนที่จะอธิบายในส่วนนี้ผมขอพูดถึงประเภทการเก็บ Log เพื่อสร้างความเข้าใจให้ทุกท่านไม่ว่าเป็นฝ่ายเทคนิค หรือ จะเป็นบุคคลทั่วไป ให้ทราบ
การเก็บข้อมูลจราจรคอมพิวเตอร์ตามกฎหมาย (Log file) นั้นควรแบ่งเป็น 2 ส่วน
ส่วนที่ 1 Log สำหรับผู้ใช้งาน (Internet User Logs)
การเก็บ Log files เกี่ยวกับการใช้งานอินเทอร์เน็ต และการใช้งานข้อมูลสารสนเทศ
1.1 Internet Log การเข้าถึงโลกอินเทอร์เน็ต เช่น เว็บ (HTTP/HTTPS) เมล์ และการ สนทนาออนไลน์ (Line, whatap อื่นๆ) มีทั้งมุมการใช้งานภายในองค์กร บนระบบเครือข่ายคอมพิวเตอร์องค์กร และ มุมของการใช้งานทั่วไปของบุคคลทั่วไปผ่านระบบเครือข่ายผู้ให้บริการ ไม่ว่าเป็นการใช้งานอินเทอร์เน็ตไร้สาย หรือ ผ่านระบบ 3G / 4G เช่น AIS , DTAC , True , CAT , TOT , 3BB
1.2 User data usage เป็นมุมผู้ใช้งาน จากการใช้งานข้อมูลบนระบบเครือข่ายคอมพิวเตอร์ภายในองค์กร เช่น หน่วยงานหนึ่งมีพนักงานจำนวน 50 คน ใน 50 คนมีคอมพิวเตอร์ที่ใช้งานเข้าถึงอินเทอร์เน็ตได้ แชร์ไฟล์ในองค์กรได้ ปริ้นงานเอกสารได้ มีการรับ-ส่งไฟล์ทั้งผ่านระบบเครือข่ายและอินเทอร์เน็ต มีการใช้ VoIP (SIP Protocol) ผ่านสาขาและอินเทอร์เน็ต เป็นต้น รวมๆ อาจจะเรียกว่าการใช้งานระบบสารสนเทศ ที่มีปริมาณการใช้งานที่วัดค่าข้อมูลได้ (Data Bandwidth) นั้นเอง
ทั้ง 1.1 และ 1.2 ต้องมีการระบุตัวตนผู้ใช้งานภายในองค์กร (Authentication) และ ผู้ใช้งานทั่วไปไมว่าเป็นภายในองค์กร หรือ ผู้ใช้งานทั่วไป จะสามารถระบุตัวตนผู้ใช้งานได้ คือ รู้ว่าใคร (Who) แต่ทำอะไร (What) นั้นส่วนใหญ่ในประเทศไทยไม่มีใครเก็บข้อมูลในส่วนนี้ ยกเว้นบริษัทเอกชนรายใหญ่ในประเทศไทย ก็จะเก็บทั้งหมด
หมายเหตุ : ในส่วนที่ 1 นี้เป็นส่วนที่ในเวลานี้มีปัญหาที่สุดเนื่องจากการติดต่อสื่อสารเป็นแบบ SSL เกือบหมดแล้ว ซึ่งผมจะขอขยายความในขั้นตอนต่อไป
ส่วนที่ 2 Log สำหรับเครื่องแม่ข่าย (Server Logs)
การเก็บ Log files จากเครื่องแม่ข่ายคอมพิวเตอร์ (Server)
ส่วนนี้จะเกิดขึ้นภายในองค์กร สำหรับองค์กรขนาดกลางไปใหญ่ (Enterprise)
หากในองค์กร มีระบบงาน เช่น มี Web Server ของหน่วยงานเอง , มี Mail Server ของหน่วยงานเอง มี ERP Server ของหน่วยงานเอง , มี Data Base Server ของหน่วยงานเอง
เหล่านี้มีความจำเป็นต้องเก็บ Log สำหรับ Server
เก็บ Log อย่างเดียวเขาเรียกว่า “Logger” ไม่มีการวิเคราะห์ข้อมูลจาก Log
ขนาดไฟล์ Log จะใหญ่ขึ้นกับ การ filter log จากแหล่งต้นทาง เช่น จาก Web Server , Mail Server , File Server ถ้าส่งมาหมดไม่ได้ filter ก็จะส่งมาหมด ตาม RFC5424
ตัวที่ขายกันในประเทศไทย มักจะขายตัววิเคราะห์ ตัวค้นหา และทำรายงาน ที่เรียกว่า SIEM (Security Information Event Management) ซึ่งราคาไม่มีต่ำกว่า 7 หลัก ถ้าต่ำกว่าแสดงว่าเป็นแค่ตัวเก็บ Logger ไม่รวม Storage อีกนับเลขไม่ถูก คนที่ซื้อสิ่งเหล่านี้ได้ คือระดับองค์กรขนาดใหญ่เท่านั้น
ซึ่งซื้อมาแล้วอาจติดปัญหาเรื่องการเก็บ Internet user logs คือจัดเก็บ Log ผู้ใช้งานที่ออกอินเทอร์เน็ตไม่ได้ เป็นต้น
===============================================
ในโลกปัจจุบันเว็บไซต์และสื่อสังคมออนไลน์ ที่สำคัญปัจจุบัน เป็น HTTPS หมดแล้ว
เมื่อเป็น SSL หมดแล้วจะเกิดอะไรขึ้น?
จากการสำรวจของ Netcraft เมื่อเดือนมกราคม 2017 ปีนี้เอง มีเว็บไซต์ทั่วโลกถึง
1,800,047,111 sites ซึ่งเป็นทั้ง HTTP/HTTPS
ภาพนี้เป็นผลสำรวจจาก Netcraft มีเพิ่มขึ้นกาให้บริการและเริ่มคงที่มา 2014 ส่วนหนึ่งที่มีทั้งเป็นเว็บที่เข้ารหัสผ่าน (HTTPS) ที่มาจากผู้ให้บริการชั้นนำ อันได้แก่ Google , Facebook , Twitter , Microsoft อื่นๆ เป็น SSL หมดแล้ว ส่วนใหญ่เป็น Social Network site จึงทำให้อัตราการขยายตัวเว็บทั่วไปน้อยลง
และเมื่อผู้ให้บริการรายใหญ่เป็น SSL หมดจะเกิดอะไรขึ้น บ้าง ?
ผมขอแสดงความคิดเห็นดังนี้
1.ไม่สามารถมองเห็นข้อมูลผ่านทางระบบเครือข่ายได้อีกต่อไป
ในกรณีที่ 1 Internet User logs จะไม่สามารถมองเห็นข้อมูลได้
เมื่อทำการติดตั้งอุปกรณ์ Network Log/ Network Traffic Analyzer หรือแม้กระทั่งพวก UTM / Next Gen Firewall ก็จะพบปัญหา SSL ที่ไม่สามารถมองเห็นได้เช่นกัน
ภาพการดักรับข้อมูลบนระบบเครือข่ายผ่าน Internet Gateway ภายในองค์กร
ถ้าเป็น HTTP Protocol เราสามารถมองเห็นเนื้อหาทั้งหมดผ่านระบบเครือข่ายได้ ผ่านโปรแกรม Network Analyzer ทั่วไป จากภาพจะเห็นว่า สามารถมองเห็น URI ที่เกิดขึ้น Method ที่ใช้งานและ HTTP HEAD อื่นๆ ที่สามารถระบุการใช้งานได้อย่างละเอียด
ภาพถ้าเป็นการติดต่อสื่อสารแบบ HTTP(S) ผ่าน SSL สิ่งที่มองเห็นคือค่าการติดต่อสื่อสารระหว่างไอพีต้นทาง และ โดเมนที่ทำการติดต่อสื่อสาร จากนั้นเป็นค่าการเข้ารหัส ซึ่ง Content ไม่สามารถระบุตำแหน่งปลายทาง เช่น ค่า URI ได้ HEAD ไม่สามารถมองเห็นได้เนื่องจากเกิดการเข้ารหัส
แบบนี้ก็ดีแล้วไม่มีใครเห็นเนื้อหาภายในการรับส่งข้อมูล ในแง่ความลับการรับส่งข้อมูลดูเหมือนใช่ แต่อีกด้านหนึ่ง ภัยคุกคามสมัยใหม่แอบรับส่งข้อมูลที่เข้ารหัสเช่นกัน เราจะบังคับให้ เจ้าของ Server Malware ส่ง Key มาให้เราเพื่อเราจะถอดดูข้อมูลก่อนก็เป็นไปไม่ได้
หรือในกรณีปกติ เราจะบังคับบอก Facebook ให้เอา Key มาให้เราเพื่อเราจะขออ่านข้อความของบุคคลที่ต้องสงสัยและเป็นภัยความมั่นคงของประเทศไทย ก็เป็นไปไม่ได้ เพราะเราไม่ใช่เจ้าของเทคโนโลยีนี้ และ เทคโนโลยีนี้ Server หัวใจ ก็ไม่ได้อยู่ในประเทศไทยเลย
ผมยกตัวอย่างมาเพื่อบอกว่า SSL จะมีปัญหาก็ต่อเมื่อเราต้องการดูข้อมูลในเชิงลึกเท่านั้นหากเราไม่ต้องการรู้ ก็ไม่มีผลอะไร แค่อย่าลืมว่าประเทศไทย นิยมฟ้องร้องคดีความกันผ่าน พรบ คอมพิวเตอร์ฯ ที่มีมาตรา เช่น 14(1) ชอบแอบอ้างใช้อยู่ เหล่านี้ล้วนเป็นการกระทำจากการใช้งานสื่อสังคมออนไลน์ เช่น Youtube , Facebook , Line ทั้งสิ้น แล้วจะเอาหลักฐานไหนมาอ้างอิงกันหากเป็นคดีความขึ้น เพราะเนื้อหาติด SSL รวมทั้งผู้ดูแลระบบทั้งหมดทั้งปวงอยู่ต่างประเทศทั้งหมด
2. ไม่สามารถปิดกั้นการเข้าถึงเว็บไซต์ที่เป็น HTTPS ได้
- ทำได้ก็ต่อเมื่อปิดกั้นทั้งโดเมน เช่น ปิดกั้น facebook.com ทั้งหมด เป็นต้น
- ปิดกั้น https://www.facebook.com/abcdef ไม่ได้
- ทำให้อนาคตอันใกล้ จะทำการปิดกั้นเว็บไซต์ที่ไม่เหมาะสมผ่านช่องทางสื่อสังคมออนไลน์ Social Network เช่น facebook, youtube, twitter, pantip และอื่นๆ ที่เป็น HTTPS ไม่ได้อีกต่อไป
3. ภัยคุกคามใหม่ๆ มักมากับการเข้ารหัส ผ่านช่องทาง SSL กันมากขึ้น
- มัลแวร์ (Malware) สมัยใหม่จะทำการเข้ารหัสเพื่ออำพรางการตรวจจับของระบบรักษาความมั่นคงปลอดภัยทางข้อมูล
- ทำให้การตรวจข้อมูลแบบปกติทำไม่ได้อีกต่อไป ทำให้ต้องซื้อเทคโนโลยีเสริมเพื่อทดแทนการตรวจจับที่สามารถถอดรหัสค่าเหล่านี้ได้
4. รูปแบบการเก็บบันทึก Log files ตามกฎหมายมีการเปลี่ยนแปลง
เนื่องจากการกระทำความผิดทางกฎหมายคอมพิวเตอร์ ส่วนใหญ่เกิดจากการใช้งานอินเทอร์เน็ต
และเมื่อการใช้งานอิเทอร์เน็ต ส่วนใหญ่เป็นการเข้ารหัสผ่าน SSL จึงทำให้ Logfiles ที่เก็บบันทึกไม่สามารถหาการกระทำผิดได้เหมือนเมื่อก่อน Log files จะไม่สามารถล่วงรู้ได้ว่ามีการกระทำอันใดเกิดขึ้น
ทั้งหมดที่กล่าวมา นั้นจะกระทบต่อการเก็บ Log ในอนาคต
และรูปแบบการเก็บ Log แบบที่ 1 คือเรื่อง Internet User Log นี้กระทบมากที่สุดเนื่องจากจะไม่สามารถเก็บบันทึกการใช้งานของผู้ใช้งานทั้งในองค์กร และ ผู้ใช้งานทั่วไปได้
ในระดับองค์กร ต้องมีการติดตั้งเรื่อง CA (Certification Authority) สามารถบังคับใช้ได้อยู่แล้ว จะผ่านทาง Domain Controller หรือ บังคับให้ติดตั้งทุกเครื่องเป็นนโยบายกลางจากหน่วยงาน ซึ่งก็มีหน่วยงาน / บริษัท องค์กรในประเทศไทยหลายบริษัทก็ทำกันแล้วเนื่องจาก มาทำป้องกันภัยคุกคามรูปแบบใหม่ๆ ที่มากับ SSL หรือ การเข้ารหัสในการรับส่งข้อมูล
แต่ระดับผู้ใช้งานทั่วไป เช่น ใช้ 3G/4G อินเตอร์เน็ตไร้สาย หรือแม้กระทั่ง อินเทอร์เน็ตที่บ้าน นั้นจะไม่สามารถติดตั้ง CA กับบุคคลทั่วไปได้แบบพร้อมเพียงกัน (คือบังคับให้ทุกคนในประเทศติดตั้ง Cert มิได้ เป็นที่มาว่าทำ Single Gateway ประเทศไทยทำไม่ได้ก็เพราะเรื่องนี้แหละ)
จึงทำให้ไม่สามารถเก็บ Log ได้จากผู้ให้บริการ คือเก็บได้แต่ สืบหา ค้นหา หรือ หาการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เมื่อเกิดคดีความไม่ได้ นั้นเอง เพราะ SSL
ส่วนแบบการเก็บ Log แบบที่ 2 คือ เรื่อง Server Log นั้น ยังเป็นปกติอยู่ ติดเพียงว่าหาก Web Server ของบริษัท หรือ หน่วยงาน ต้องทำเป็น HTTPS จำเป็นต้องใส่ CA ที่ WAF (Web Application Firewall) เพื่อใช้ในการป้องกันภัยเพิ่มเติม ส่วน Log file ถ้านำมาจากตัว Web Server เอง ก็จะมองเห็นอยู่แล้ว เพราะนี้เป็น Web Server ขององค์กร เจ้าของและทีมทำเป็นหน่วยงานภายใน ถึงแม้จะ Out Source ก็เป็นคนที่ติดต่อได้ Server ทางกายภาพอยู่ภายในประเทศ อยู่ภายในองค์กร เป็นทรัพย์สินขององค์กร ดังนั้น Log สามารถเอามาจากเครื่องแม่ข่าย (Server) ได้โดยตรง จึงไม่มีปัญหาในการเก็บ Log แบบที่ 2 เลย
ยกเว้น จะใช้บริการ 3 party เช่น ใช้บริการ Cloud จาก Amazon หรือ Google Cloud หรืออื่นๆ ที่ Server เราไม่สามารถควบคุมเองได้ แบบนี้จะหมดความหมายได้ปริยาย
สรุปว่า
ผลกระทบเมื่อทุกอย่างเป็น SSL คือ การเก็บ log แบบที่ 1 ที่กล่าวในบทความนี้จะกระทบที่สุด
SSL ทำให้มองเห็นคือต้องลง Certification ที่ฝั่งผู้ใช้งาน
เมื่อลงแล้วและอุปกรณ์ที่ติดตั้งอยู่ในระดับ Gateway องค์กรจะทำให้มองเห็น Internet Log ได้เช่นกันและสามารถปิดกั้นเนื้อหา และภัยคุกคามที่เกิดจากการเข้ารหัสได้
ส่วน Server Log นั้นยังคงเก็บ Log ตาม RFC 5424 ต่อไป ไม่เปลี่ยนแปลง แทบไม่มีผลกระทบอะไรจากการเก็บ Log Server ในองค์กร
ใครได้ใครเสีย จากเรื่องการมองเห็นมองไม่เห็น SSL ?? สำหรับผมมองว่า
คนที่ได้คือ ผู้ให้บริการระดับ Content / Application Provider เช่น Line , Google , Apple , Facebook เพราะ Key อยู่ที่เขา SSL คือภาพสะท้อนของการเป็นมหาอำนาจในยุคปัจจุบัน
Pantip ตอนนี้เป็น SSL แล้วแต่เจ้าของเป็นคนไทย ดังนั้นหากมีเรื่องราวอะไร ที่ต้องการสามารถหาได้โดยไม่ต้องผ่าน FBI ถ้าปล่อยให้ภาครัฐ/หน่วยงานด้านความมั่นคง ไปขอข้อมูลจาก Google , Facbook , Line ท่านคิดว่าเขาจะให้หรือไม่ ? ท่านคิดต่อเองได้ …
ดังนั้นในอนาคตอันใกล้ เมืองไทยต้องตะหนักเรื่องนี้ให้มาก ว่า “ความมั่นคงของชาติ ควรเป็นเรื่องที่เราควบคุมเองได้”
หากเรายังยืมจมูกนานาประเทศหายใจอยู่ อย่าหวังว่าเราจะมีความมั่นคงเพราะสมรภูมิรบใหม่อยู่ที่น่านฟ้าใหม่ที่เรียกว่า “Internet” กันแล้ว Spy ยุค Classic สงครามเย็นมารูปแบบ Hacker และ Malware … อาวุธสงครามกลายเป็นกองทัพ Botnet ที่สามารถสั่งยิงและหยุดการทำงาน Server สำคัญของรัฐได้ … เหล่านี้ไม่ใช่เรื่องไกลอีกต่อไปแล้ว
ภาครัฐ โดยเฉพาะหน่วยงานด้านความมั่นคง เจอเรื่องที่ท้าทายความสามารถขึ้น ไม่สามารถตรวจหาด้วยเทคนิคแบบเดิมๆได้อีกต่อไป
ฝั่งผู้ให้บริการ ISP ในประเทศไทย โดยเฉพาะผู้ให้บริการอินเทอร์เน็ตแก่บุคคลทั่วไป การเก็บ Log ที่พนักงานเจ้าหน้าที่ต้องการ นั้นทาง ISP ไม่สามารถให้ได้เช่นเคย หรือแทบจะหาไม่ได้ด้วยซ้ำ
จึงทำให้ งานนี้หนักที่สุดคือผู้ให้บริการอินเทอร์เน็ต ในประเทศไทยนั้นเอง ทั้งข้อมูลไหลนอกประเทศ ทั้ง Cloud ที่อาจไปไม่ถึงฝัน คือเป็นเพียงคนขายของเทคโนโลยีต่างชาติ และ มาทั้งเรื่อง Log SSL ที่ระบุการกระทำไม่ได้ อีก ISP อยู่ในฐานะลำบากขึ้นแน่นอน
18/01/60
นนวัตต์ สาระมาน
พ่อบ้าน ทีมพัฒนา SRAN
