Nontawatt

ณ จุดชมวิว บนหอคอยสูง ในเมืองหุนชุน บริเวณแม่น้ำถูกเหมิน
ซึ่งเป็นแม่น้ำแบ่งพรมแดนประเทศจีน ประเทศเกาหลีเหนือ และรัสเซีย
เรามองไปข้างหน้าสิ ด้านซ้ายมือเป็นประเทศรัสเซีย ด้านขวามือเป็นประเทศเกาหลีเหนือ

วันนี้ท้องฟ้าเปิดมองไปได้ไกลสุดลูกหูลูกตา จารึกพูด

มีสายลมบนยอดหอคอยเป็นลมจากทะเลญี่ปุ่น พัดเอื่ยเข้ามาปะทะเป็นระยะ จารึกยืนอยู่บนยอดหอคอย พร้อมกับคุณสมิธ เจ้าของบริษัทโอดิสซี่ซอฟต์ โดยมีคณะกรรมการโรงพยาบาลสยามเฮ้ลที่ไปดูงานที่ประเทศจีน อีก 10 คน ซึ่งยืนกันกระจัดกระจายเพื่อถ่ายรูป และชมความงาม

ทั้งชีวิตการทำงานกว่า 40 ปีที่เป็นหมอ แต่ผมเป็นคนที่ชื่นชอบศึกษาประวัติศาสตร์โดยเฉพาะเรื่องเกี่ยวกับสงคราม และจารชน ผมมีหนังสือเกี่ยวกับเหตุการณ์จริงเกี่ยวกับไล่ล่าจารชนอยู่หลายเล่ม คุณสนใจไปอ่านสักเล่มไหมล่ะ จารึกกล่าว

จารึกเป็นผู้ช่วยผู้อำนวยโรงพยาบาลสยามเฮ้ลฯ และเป็นผู้ที่มีอำนาจเต็มในการจัดซื้อจัดจ้างที่เกี่ยวข้องกับระบบไอทีในโรงพยาบาลทั้งหมด

จารึกกล่าวต่อ สถานที่นี้ในอดีตเป็นจุดยุทธศาสตร์ของยุคสงครามเย็น เกาหลีเหนือ จีน และรัสเซีย ล้วนเป็นพวกเดียวกัน แต่สมัยนี้เกมส์สงครามมันเปลี่ยนรูปแบบ ผมกำลังศึกษาทิศทางการเปลี่ยนแปลงครั้งนี้อยู่

สมิธเสริม “ใช่มันเป็นยุคของดิจิตอล” การโจมตีผ่านดิจิตอล ตลาดทุน ค่าเงิน แบบออนไลน์ข้าวพรมแดน การโจมตีทางไซเบอร์ รวมถึงการ collection ข้อมูลขนาดใหญ่ (Big data) เพื่อวิเคราะห์ความเคลื่อนไหว และความเป็นไปของผู้คน ได้ข่าวว่า NSA เจาะจงเรื่องนี้เป็นงานหลักเลย

เดี๋ยวนี้สายลับแต่ละประเทศแปลงร่างมาฝั่งในคอมพิวเตอร์ มือถือ อุปกรณ์สื่อสารกันเยอะขึ้นแล้ว ช่วงชิงกันถึงเรื่องข้อมูล การประมวลผลข้อมูลขนาดใหญ่ (Big data) เพื่อผลประโยชน์ของรัฐบาลและเพื่อประเทศ

เพราะทุกอย่างมันเชื่อมโยงถึงกันไปหมดแล้ว สมิธกล่าว

สมิธ เคยเป็นอดีตเจ้าหน้าที่สำนักข่าวกรองแห่งชาติ และเขาเป็นครูสอนวิชาต่อต้านการข่าว เคยร่วมงานกับ CIA ก่อนที่ขอเออร์ลี่ แล้วมาเปิดธุรกิจซอฟต์แวร์เมื่อ 10 ปีก่อน
ปัจจุบัน สมิธอายุ 61 แล้วแต่ยังดูแข็งแรงและทำงานได้

รู้จักกับจารึกผู้ช่วยอำนวยการโรงพยาบาลนี้ กว่า 20 ปี จากการที่เป็นคนไข้ประจำของคุณหมอจารึก “การเชื่อมโยงแบบไร้พรมแดน นั้นคือสงครามแนวใหม่ที่เราต้องปรับตัว” ลมที่นี้เย็นสบายดี นะสมิธ จารึกกล่าว และทั้งคู่หัวเราะขึ้นเบาๆ

ก่อนที่คณะขึ้นรถกลับโรงแรม จารึก บอก สมิธ ว่า “ก่อนที่ผมจะลืมคุณพูดเรื่องมาผมนึกขึ้นได้ แก่แล้วเดี๋ยวลืม ผมฝากเด็กผู้หญิงคนหนึ่งเข้ามาบริษัทคุณ และให้เขามานั่งรับ Out source ทำฐานข้อมูลประวัติคนไข้ให้ผมทีสิ” เป็นหลานสาวผมเอง ชื่อศิรินท์ จบด้านการจัดการระบบฐานข้อมูลมา สักพักแล้ว อยากให้ทำงานระดับใหญ่ๆบ้าง ผมไม่กล้ารับตรงเพราะกลัวเรื่องคอนฟิคฯ ฝากคุณรับมาแล้วให้เขา มาประจำโรงพยาบาลนี้ เพราะไหนๆ คุณก็ได้งานใหญ่ไปแล้วนิ งานของคุณเซ็นสัญญาเดือนมกราคม ให้เขามาสักเดือนเมษา หรือก่อนนั้นนิดหน่อย

สมิธกล่าว ผมจะจัดการให้ตามคำขอ หลังจากกลับถึงเมืองไทย เรียกให้เขามาหาผมที่ office บริษัทได้เลย

 
+++++++++++++++++++

ณ ศูนย์คอมพ์โรงพยาบาลสยามเฮลฯ

web server เป็น ubuntu 14.04
ifconfig พบว่า IP private ตั้งค่าไอพีที่ 172.16.5.2
web server นี้มีทั้งหมดกี่ตัวครับ ธีรานนท์ ถาม

องอาจตอบ จริงๆเราต้องการทำ 2 เป็น HA แต่ยังทำไม่เสร็จ เหลือใช้จริงแค่ตัวเดียวอยู่

และเชื่อมถึงกันที่ไหนบ้าง ธีรานนท์ถามต่อ

ที่ DMZ เท่านั้น วิชัยตอบ
ในย่าน 172.16.5.0/24 ใช่ป่ะครับ routing ไปยังวงอื่นด้วยไหม ธีรานนท์ ถามต่อ

เราไม่ set routing ตรงนี้นะ แต่วงนี้มีแค่ 256 IP /24 ใช่ครับ แต่ใช้จริงไม่ถึง ประมาณ 20 IP ได้มั้ง เป็น Develop เกินครึ่ง ใช้จริงๆประมาณ 5-6 IP เท่านั้น ที่เปิดสาธารณะ วิชัยตอบหมด

องอาจยังไม่ทันอ้าปากตอบ

ผมแค่มีประเด็นเรื่อง Infrastructure Compromise
ต้องใช้พวก IOC (Indicator of Compromise) มาจับด้วย ธีรานนท์ ถามต่อ

ไม่ทราบว่าที่โรงพยาบาล มี Centralized log ไหมครับ
เรามี image เครื่อง Web server ที่โดนแฮกแล้ว ถ้าให้ครบและวิเคราะห์ได้ถูกอยากได้ Centralized log ด้วย ธีรานนท์ ถามขึ้นมา

องอาจ ตอบ มีสิ เป็นไปตามกฎหมายคอมพิวเตอร์ มาตรา 26 ธีรานนท์ เป็น Log ที่รับจากอะไรมาบ้าง องอาจ อำอึ๋ง …

วิชัย เสริมมาบอกว่า ตอนนี้เราพึ่ง implement นะ รับมาไม่เยอะ
ก็แบ่งรับข้อมูลจาก
1) พวกเกี่ยวกับ Identity/Authentication ก็มีรับจาก AD (Active Directory) ส่งมาเก็บแล้ว, Wifi Controller Server รู้สึกว่ายัง, Exchagne ส่งมาเก็บแล้ว และพวก VPN token สำหรับเจ้าหน้าที่ไปต่างประเทศและนอกสถานที่ใช้งานพวกนี้ส่งมาเก็บแล้ว

2) ส่วนพวก Network ก็มี Firewall , Core Switch ส่วน NIDS/IPS โรงพยาบาลเราไม่มีกำลังดูๆอยู่เนื่องจาก Firewall ตัวนี้ตรวจ DPI / Application layer ไม่ได้ (DPI : Deep Packet Inspection)

3) พวก Server ที่เป็น public ก็มี Web Server , ERP Server , DNS และ DHCP server ประมาณนี้ โยนมาไม่กี่ตัวหลอก

เอาแต่ตัวเน้นๆ เราต้องการ Log คุณภาพ วิชัย ตอบอย่างผู้รู้

อ๊อดที่ยืนอยู่ใกล้ๆ นึกในใจว่า นี้นะไม่กี่ตัว

“สวยเลย ถ้างั้นผมขอ log ย้อนหลัง สัก 2 เดือนได้ไหมครับ” ธีรานนท์ ถามกลับ

วิชัย และอนันนต์ หันหน้าพร้อมกันไปที่ พี่องอาจ คนตัดสินใจ องอาจ ตอบ ถ้าผมเป็น ผอ. เองผมให้ได้ ผมรับผิดชอบ แต่นี้ ผมต้องขอ พี่จารึกนะสิ ตัว Centralized log ผมดูได้แต่ system admin เนื้อข้อมูล log คนที่เปิดได้คือ พี่จารึก

“ที่เราได้มาคือ log จาก web server ที่โดน hack ส่วนอื่นๆ ที่ผมอยากได้ ประเภท DPI มากกว่า น่าเสียดายที่ยังขาดเรื่อง NIDS/IPS แต่ถึงอย่างไร ข้อมูลทุกอย่างย่อมเชื่อมโยงถึงกันหมด” ธีรานนท์กล่าว

ถ้าเช่นนั้นก็แค่นี้ก่อนก็ได้ อ๊อดตอบเสริม หากวิเคราะห์เสร็จแล้วจะส่งรายงานให้ หากพบสิ่งผิดปกติและเป็นเบาะแส จะแจ้งให้พี่องอาจทราบ งั้นพวกผมขอตัว ธีรานนท์ตอบ จากนั้นทีมงาน GBT (Ghostnet Buster team) ก็จากไป

ราเชนหลังจากยืนนิ่งสักพัก เออวิชัย ถึงเราเป็นโปรแกรมเมอร์เข้าใจบ้างไม่เข้าใจกับสิ่งที่คุยกัน แต่เราถามหน่อยดิว่า Data Base Server ที่ ทีม out source ทำอยู่นี้ส่ง syslog ไปเก็บด้วยไม่ใช่เหรอ

วิชัย นั่งนิ่งคิดดู แล้วตอบว่า เออใช่ ลืมไปมี data base server ส่งมาอีกตัว อนันต์ นายเข้าไปดูได้ป่ะว่า log ของ data base server ส่งมาป่ะ

อนันต์นึก “กูอีกแล้ว” ได้เลย รอแป๊บบ เพื่อนๆ 172.16.5.3 (Data Base Server) ส่ง log มาอยู่ แต่ผมเปิดอ่านไม่ได้ (เฉพาะ Data Owner พี่จารึก) รู้ได้แค่เพียงสถานะ นะ อิอิ เสียงหัวเราะอนันต์

วิชัยจำคำพูดธีรานนท์ แล้วอุทานว่า “ข้อมูล ทุกอย่างย่อมเชื่อมโยงถึงกันหมด”

จบตอน

+++++++++++++++++++++++++++++++++++++++++++++++
สงวนลิขสิทธิ์
SRAN Technology (www.sran.net)

นนทวรรธนะ สาระมาน
Nontawattana Saraman
ผู้เขียน
15/06/58

Digital Holes : ตอน Hacker Here ที่นี้มีแฮกเกอร์ ตอนที่ 3

เสียงเพลง eye in the sky ของAlan Parsons Project 1982  ดังขึ้น

…[เสียง Chorus]
I am the eye in the sky
Looking at you
I can read your mind
I am the maker of rules
Dealing with fools
I can cheat you blind
And I don’t need to see any more
To know that
I can read your mind, I can read your mind …

เสียงเพลงในร้านซาโมกูระ วันเสาร์ที่ 18 เมษายน 58

ราเชน (หรือที่รู้จักกันชื่อเล่นว่า หนุ่ม เป็นโปรแกรมเมอร์ที่ดูเว็บไซต์ของโรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล) กำลังเทโซดาใส่แก้ว ผสมเหล้าบางๆ นั่งที่ระเบียงด้านนอกของร้าน เสียงเพลงลอยตามลมมาได้ยินชัดเจน

“ฉันชอบเพลงนี้นะ ตาที่มองมาจากฟากฟ้า ผู้กำหนดทิศทางชีวิตของผู้คน”
“โดยเฉพาะยุคนี้มันทำได้หากเรามีจำนวนกองทัพ botnet เพียงพอ เราจะมีอิทธิพลเหนือใคร”

….  ราเชนนั่งฟัง

“เอาล่ะเพื่อน นั้นมันความฝัน ของฉัน ส่วนความเป็นจริง เราจะจัดงานมิตติ้งกันหน่อย โดยจะถือโอกาสนี้ เพื่อให้นายราเชน และเพื่อเป็นการรำลึกถึงวันที่เราใช้ชีวีตในรั้วมหาวิทยาลัยด้วยกัน  คืนวันเสาร์ที่ 2 พฤษภาคมนี้ ยังจำได้เลยช่วงเวลานั้นเรากำลังดีใจที่สอบเอ็นทรานติด มันเป็นช่วงเวลาที่มีความสุข ชีวิตนักศึกษาใหม่” บิ๊กกล่าว

“ถึงนายจะอยู่ที่นี้แค่ปีเดียว แต่นายก็ช่วยฉันให้รอดจากการถูกรีไทด์ ฉันยังจำได้เพื่อน” บิ๊กกล่าวต่อ

ท่ามกลางบรรยากาศเพลงร็อคยุค 80 เปิด ราเชน นั่งจิ๊บสุรา กับบิ๊ก
บิ๊กนายเป็นหัวเรื่องใหญ่จัดงานไป แล้วพยายามดึงรินมาในงานให้ได้

หนุ่ม ราเชน กระดกแก้ว แล้วพูดว่า “ถึงเราจะเคยเรียนที่ ม เกษตร แค่ปีเดียว แล้วเรียนต่อที่ต่างประเทศ (ไปที่ มหาวิทยาลัย MIT สหรัฐอเมริกา) แต่เรายังจำรินได้ และคิดถึงเธอเสมอ
ยิ่งได้มาทำงานที่เดียวกันด้วยนั้น อย่าพูดเลย อยากใกล้ชิดเธอมากขึ้นจัง”

“แล้วเธอจำแกได้ป่ะ หนุ่ม” บิ๊กถาม
น่าจะคุ้นๆนะ ไม่รู้สิ ไม่เคยถาม และไม่เคยบอกด้วย  ตอนนั้นแค่เด็กปี 1 ไม่ประสาอะไรนักหลอก ” หนุ่ม พร้อมถือแก้วยกซดต่อ

บิ๊กเป็นเจ้าของร้านซาโมกูระ ทั้งที่จบวิศวะคอมพิวเตอร์มา แต่กับมาเปิดร้านอาหาร บิ๊กไม่ใช่เด็กเรียนเก่ง แต่เขาคลั่งไคล้การแฮก โดยรับงานประเภทเจาะระบบมากว่า 3 ปีแล้ว

ฝีมือของเขาอยู่ในระดับโลก ล่าสุดเข้าร่วมกลุ่มแฮกเกอร์ต่างประเทศไปเป็นนักรบไซเบอร์รับจ้าง
โดยร่วมงานในการเจาะระบบให้กับรัฐบาลประเทศยูเคนมาแล้วในนามกลุ่มแฮกเกอร์ชื่อ “Dark Pilot”
เขาไม่ค่อยอยู่เมืองไทย แต่ก็เปิดร้านนี้ขึ้นโดยร่วมหุ้นกับเพื่อนๆ ไฮโซ
เนื่องจากคุณพ่อเป็นเจ้าของธุรกิจด้านอสังหาริทรัพย์ตระกูลดัง เขามีกลุ่มเพื่อนที่คบหาอยู่เป็นระดับเศรษฐีในประเทศไทย ส่วนร้านอาหารซาโมกูระ นี้เป็นเพียงร้านที่เป็นแหล่งพูดคุยกับเพื่อนๆในวงการแฮกเกอร์ (รับแฮกแบบใต้ดินที่แลกเปลี่ยนข้อมูล) และร้านนี้ไม่รับคนทั่วไปเข้าร้าน แต่ต้องได้รับบัตรเชิญ หรือเป็นแขกที่เจ้าของร้านเชิญเท่านั้น

“ตอนนี้รัสเซีย และ จีน กำลังจับมือกันทางไซเบอร์อยู่ ต่อรองกับไอ้กัน ที่ผูกขาดอย่างแนบเนียนมานานแล้ว ไอ้กันนั้นมีอาวุธสำคัญคือ NSA ที่ต่อท่อ backdoor ไปทั้งอุปกรณ์สื่อสารและ Social network ทำให้รู้ความเคลื่อนไหวต่างๆ ทั่วโลกและสามารถรู้ถึงข้อมูลชีวิตคนๆหนึ่งได้ภายในพริบตา”  บิ๊กกล่าว
“ท่องอินเทอร์เน็ตในยุคนี้  พบแต่ บอทเน็ต (Botnet) และสปาย (spy)  มีให้เพียบ User หน้าใหม่กว่า 100 ล้านคน ทั่วโลกพร้อมให้เรายึดครอง

“แต่เชื่อมไหมเพื่อน พอไล่เส้นทางดีๆแล้ว มีไม่กี่แก๊ง ทุกแก๊งถูกควบคุมโดยประเทศมหาอำนาจคุมอยู่  หนึ่งในนั้นคือเรา Dark Pilot  แต่เรามันยังอิสระ เราเหมือนพวกโจรสลัดอยู่ ” บิ๊กพูด เหอๆๆ เสียงหัวเราะ พร้อมดื่มไปหนึ่งจอก

“โดยเฉพาะประเทศไทย หลายแก๊งชอบนักแล อินเทอร์เน็ตเร็ว Server ที่ออนไลน์ 24×7 จำนวนมาก User กว่า 24 ล้านคนที่ออนไลน์เป็นประโยชน์กับกองทัพนิรนามมากในการโจมตีชนิดทะลวงเป้า DDoS/DoS ซึ่งเป็นเป้าหมายที่ต้องการ”

“วันก่อนมี Notice มาในกลุ่มพวกเราสื่อสารกันผ่าน Deepweb ไร้ร่องรอย ไร้ตัวตนในการตรวจจับ มีข้อมูลที่น่าสนใจคือ มีบุคคลที่ถูกหมายหัวอยู่ในโรงพยาบาลที่นายทำงานอยู่”
บิ๊กกล่าว

+++++++++++++++++++++++++++++++++++++++++++
เสริม

Botnet คือ เครื่องคอมพิวเตอร์ไม่ว่าเป็น เครื่องแม่ข่าย พีซีตั้งโต๊ะ โน็ตบุ๊ค หรือกระทั่งมือถือ ที่มีการติดเชื้อ (เครื่องที่ติดเชื้อ malware และถูกใช้เป็นเครื่องมือเรียกว่า zombie) มีการติดเชื้อมากกว่า 1 เครื่องขึ้นไปแล้วถูกใช้เป็นเครื่องมือ เรียกกลุ่มเครื่องเหล่านี้ว่า Botnet

Backdoor คือ ช่องทางการเข้าถึงข้อมูลโดยที่ผู้ใช้งานไม่รู้ตัว จะปรากฎในรูปซอฟต์แวร์ หรือมาพร้อมกับอุปกรณ์สื่อสาร หรือจะผ่าน Protocol ที่กำหนดขึ้นเอง

DDoS/DoS คือการโจมตีชนิดหนึ่งที่ พร้อมส่งข้อมูลปริมาณมากมาพร้อมๆกันจากหลายจุดไปยังเป้าหมายที่เดียว หรือ จะมีเป้าหมายหลายที่ก็ได้ เป็นการยิงเพื่อให้เป้าหมายนั้นไม่สามารถใช้งานได้อย่างปกติ เรียกว่า DDoS (Distribute Denial of Services)  หากใช้เพียงลำพังจุดเดียวเป้าหมายจะมีเพียงที่เดียวหรือเป้าหมายมีหลายที่เรียกว่า Denial of Services

Deepweb คือเว็บไซต์กลุ่มใต้ดินที่ต้องการซ่อนตัวเพื่อไม่ให้มีใครเข้าถึงได้โดยง่าย ต้องใช้โปรแกรม tor (The Onion Router) เนื่องจากการ query domain name จะแต่ต่างกับการติดต่อสื่อสารทั่วไปชื่อโดเมนเป็นชื่อที่เข้ารหัสและนามสกุล .onion  เป็นพื้นที่ Anonymous อย่างแท้จริงเพราะไม่ปรากฎบนอินเทอร์เน็ตทั่วไปที่เราใช้งานอยู่ ส่วนใหญ่เป็นของผิดกฎหมายเช่นพวกค้าของเถื่อนและพวกที่แลกเปลี่ยนฐานข้อมูลบุคคลและบัตรเครดิต ที่เรียกว่า Market place เส้นทางสายไหม (Silk Road) รวมสินค้าเถื่อนที่หาไม่ได้บนอินเทอร์เน็ต รวมถึงเป็นศูนย์รวมการบัญชาการ botnet ของเหล่าบรรดาแฮกเกอร์  ปัจจุบันทาง Deepweb เป็นที่จับตามองของ FBI และหน่วยสืบราชการลับหลายประเทศ

+++++++++++++++++++++++++++++++++++++++++

เป็นที่ต้องการตัวของแก๊ง RedFox ที่จะจ้างเราเป็นเงินสูงถึง 8 หลัก หากปลิดชีวิตคนนี้ได้ เพราะเขาเป็นผู้ก่อการร้าย ได้ข่าวว่ามีการหักหลังกัน หนีมากลบดานที่เมืองไทยมาสักพักแล้ว ทั้งแก๊ง Redfox นักค้าอาวุธ รายใหญ่ของโลก รวมถึงรัฐบาลอเมริกาก็ต้องการตัว

แต่ไอ้กันฯ นั้นมันแค่ต้องการตัวเป็นๆ กลับประเทศมัน  ส่วนแก๊งที่จะจ้าง Dark Pilot นี้ต้องการให้ตายในเมืองไทย เรื่องจะเงียบ เพราะเมืองไทยปิดปากได้ง่ายถ้ามีอะไรหลุนทับขา

“ข้อมูลแค่นี้ถึงชีวิตได้หรือไง” ราเชนถาม

“คนในกลุ่ม Dark Pilot เคยทำมาแล้วในอิหร่าน” บิ๊กตอบ

“แล้วคนไข้คนนั้นชื่ออะไร” ราเชนถาม

บิ๊กส่ายหัว

“จะบอกก็ต่อเมื่อนายรับที่จะมาร่วมงานนี้กับเรา จากนั้นต้องทำสัญญากับเรา ถ้างานสำเร็จนายรับไป 8 ล้านบาท  งานนี้มันต้องอาศัยคนในแบบนาย”

บิ๊กกำลง Social Engineering

“เงินมันเยอะนะเพื่อนสำหรับฉันตั้งตัวได้เลย  …นี้คุยเรื่องนี้ลืมเรื่องงานมิตติ้งที่จะชวนรินมาเลยหรือเปล่า ? ” ราเชนถาม พร้อมกระดกแก้ว เป็นแก้วที่ 5

“นายมันรวยอยู่แล้ว เงินพวกนี้หามาได้ นายไปทำอะไร” ราเชน ถามแล้วดื่มอีก
“อันที่จริง เงินไม่สำคัญเลย เพื่อนเอ่ย ” บิ๊กกล่าวต่อ

เราต้องการให้กลุ่ม Dark pilot  ยกระดับให้เป็นเบอร์หนึ่งในกลุ่มแฮกเกอร์ระดับโลก เรามีกัน 5 คนทุกคนก็มีภาระหน้าที่

“และอีกอย่าง เราเป็นพวกแฮกซาดิส กันทั้งทีม มาเป็นพวกเราไหมล่ะ” บิ๊กถาม

“Hacksadism”

ราเชน นั่งนิ่ง … มือจับแก้ว แล้วส่องสายตา ออกไปด้านนอกร้าน

เสียงเพลงบรรเลง saxophone ดังขึ้นในร้านซาโมกูระ  … เพลง โธ่ ผู้หญิง .. ธเนศ วรากุลนุเคราะห์ ชุดแดนศิวิไลซ์ 2528

….รักของหญิง อยากรู้จริง เป็นอย่างไร บอกว่ารัก รักแค่ไหน ไม่เข้าใจ หรือเกรงทำ
โธ่ เธอ เธอ เธอ จ๋า ทุกวาจา น่าจะจำ จะบอกให้บอกรัก รักสักกี่คำ ถึงจะจำและซึ้งใจ….

++++++++++++++++++++++++++++++++++++++++++++++

“s1n3ad”  ณ ห้องปฏิบัติการคอมพิวเตอร์โรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล

“มันเป็นภาษาจาร์กอน แฮกเกอร์ชอบใช้” ธีรานนท์กล่าวเบาๆ
“อ๊อด อย่าพิมพ์อะไรมากกว่านี้ หลักฐานเสียหมดแล้ว พี่ขอดูหน้าเครื่องหน่อย” จากนั้นธีรานนท์ เดินไปที่ห้อง IDC
ห้อง IDC ที่นี้ก็เหมือนกับทุกๆที่ คือมีประตูกระจกแล้วมีระบบ fingerprint เพื่อยืนยันตัวตนในการเข้าห้อง มีกล้องวงจรปิดด้านหน้าประตู และภายในห้องเฉพาะห้องนี้มีทั้งหมด
 3 ตัว

“User ซินแบด นี้มีใครเป็นคนสร้างหรือเป็นเจ้าของไหมครับ”  ธีรานนท์ ถามวิชัย องอาจ และอนันต์
 ทุกคนส่ายหัว พร้อมออกอาการ งงงวย

“ผมคิดว่าโรงพยาบาลคุณโดนแฮกอย่างแน่นอนแล้ว” ธีรานนท์ กล่าว

แล้วคุณองอาจ คุณคิดว่าจะแจ้งตำรวจไซเบอร์ (TCSD) เพื่อดำเนินคดีไหม ?  อ๊อดถาม
องอาจตอบ ผมคงไม่แจ้งเพราะ  หากเป็นข่าวขึ้นมา จะทำให้ความน่าเชื่อถือของโรงพยาบาลเราลดลงได้

TCSD :  Technology Crime Suppression Division กองบังคับการปราบปราบการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี  ภายใต้สำนักงานตำรวจแห่งชาติ หรือชื่อย่อภาษาไทย บก. ปอท.

“เรามีทางออกสวยๆ สำหรับเรื่องนี้ไหม?”  องอาจขอคำแนะนำ

ยังไม่มีใครตอบ
“ทันใดนั้น อุปกรณ์ Cloning Hard disk ขึ้น 100% ในการ copy image”
อ๊อดเดินเข้าไป setting ต่อ
ส่วนธีรานนท์ ดูที่หน้าจอ โดยที่มือของเขาไม่ได้สัมผัสแป้นคีย์บอร์ด ได้เพ่งมอง command cat /etc/passwd แล้วขึ้นรายชื่อ

nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
libuuid:x:100:101::/var/lib/libuuid:
syslog:x:101:104::/home/syslog:/bin/false
messagebus:x:102:105::/var/run/dbus:/bin/false
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin
s1n3ad:x:1001:1001:s1n3ad team,101,,:/home/s1n3ad:/bin/bash
mysql:x:105:113:MySQL Server,,,:/nonexistent:/bin/false
dnsmasq:x:106:65534:dnsmasq,,,:/var/lib/misc:/bin/false
bind:x:107:114::/var/cache/bind:/bin/false

ทางออกที่ดีที่สุด คือ ให้เว็บไซต์กลับมาดูได้ครับ
อ๊อด ดูเรื่อง services ไหนรันอยู่บ้างที แล้วถ่ายรูปไว้ก่อน
ธีรานนท์พูดกับอ๊อด  และคุณอนันต์
“file index ของเว็บอยู่ path ไหน”
อนันต์ ตอบ /var/www/html  เราใช้ Apache  เป็น Web Server ครับ “มี Mysql ในเครื่องด้วยเหรอครับ” ธีรานนท์ ถามต่อ
“ใช่ครับ” อนันต์ตอบ
อ๊อด ถ่ายภาพ services ที่รัน
แล้วเข้าไปใน path webserver ที่อนันต์บอก  “พี่นนท์ ถ้าพี่จะเก็บหลักฐานตอนนี้เยิ้นหมดแล้ว ลายนิ้วมืออ๊อดเต็มไปหมด” อ๊อดลำพึง
“ปักหมุด command ที่เริ่มของเราไว้ก่อน  และเป็นที่ทราบกันมากกว่า 2 คนแล้วว่า ส่วนที่เพิ่มขึ้นมาจากเรา ไม่ใช่อดีตของเก่า” เมื่อทุกคนที่รับรู้ อีอดบรรเลงคีย์บอร์ดต่อ
ไปที่ path web server แล้วพบว่ามี file ดังนี้

drwxrwxr-x  8 siamh siamh 4096 May  6 14:45 .
drwxrwxr-x  7 siamh siamh 4096 May  7 13:59 ..
-rw-rw-r–  1 siamh siamh  594 Mar 27 14:26 cert.der
drwxrwxr-x  2 siamh siamh 4096 Apr 30 11:45 css
-rw-rw-r–  1 siamh siamh    0 Jan  9 17:28 favicon.ico
-rw-rw-r–  1 siamh siamh  356 Jan  9 17:28 .htaccess
drwxr-xr-x  2 root    root    4096 May  6 14:47 htpasswd
drwxrwxr-x  3 siamh siamh 4096 Jan  9 17:28 img
-rw-rw-r–  1 siamh siamh 1586 Apr  9 17:28 index.php
drwxrwxr-x  2 siamh siamh 4096 May  4 13:49 js
drwxrwxr-x 11 siamh siamh 4096 Mar 27 14:27 packages
drwxr-xr-x  3 root    root    4096 May  6  15:39 index.html

“หน้าเพจหน้าแรกแก้ไขล่าสุดประมาณเดือนไหนครับ” อ๊อดถาม อนันต์
อนันต์กล่าว “ผมดูแลเฉพาะ Server เรื่องโค๊ดเว็บต้องเป็นหนุ่ม หนุ่มเป็น Web Master” “เขาไม่ได้อยู่ในห้องนี้ใช่ไหมครับ” อ๊อดกล่าว
“ใช่ครับเขาอยู่ห้องธุระการ กำลังจะโอนมาที่นี้แต่คิดว่ารอให้ตึกใหม่ที่บางนาสร้างเสร็จก่อนถึงมาอยู่ เนื่องจากห้องที่เราอยู่ปัจจุบันไม่พอรับที่นั่งได้ครับ”
“แต่คิดว่าประมาณเดือนเมษา เราแทบไม่ได้อัพเดทอะไรอีกนะ เนื่องจากมีวันหยุดยาวที่รัฐบาลประกาศตั้งแต่สงกรานต์ จนถึงเดือนพฤษภาคมนี้ล่ะครับ”
“ประมาณวันที่ 9 เมษา หรือเปล่าครับ”อ๊อดถาม   “ประมาณนั้นมั้งครับ” อนันต์ตอบ
มีไฟล์ index.php วันที่ 9 เมษา และ index.hmtl วันที่ 6 พฤษภาคม เวลา 15:39

อ๊อดต่อสายแล้วเข้าโน้ตบุ๊คส่วนตัว แล้ว SSH เข้าไปที่ Server  พร้อมทั้งบรรเลง เป็นภาษา System admin ว่า
ps -ef  <พร้อม Capture ผลลัพธ์>
service –status-all
top
last
history

ทุก command  เขาได้ capture ผลลัพธ์ ใส่ในโน้ตบุ๊คส่วนตัวของอ๊อด
เรามาดูไฟล์ที่แฮกเกอร์สร้างขึ้นกัน  index.html
รูปหัวกระโหลก พร้อมเสียงเพลงของวง AC/DC

ดูสิโค๊ดมันเป็นเช่นไร

cat index.html

“เวงกำ” อ๊อดกล่าว มันเข้ารหัสไฟล์ไว้อ่านโค๊ดไม่ออกเลย

“งั้นผม point การเรียกหน้าใหม่ให้ไปอ่าน index.php แล้วกัน” อ๊อดกล่าว

ธีรานนท์ อยู่ด้วย กล่าวว่า “Java script ตื้นๆ  ตัวนี้แกะได้ แต่นี้เวลา 12:40 น.” แล้วทำให้มันใช้ได้ก่อนแล้วกัน ไว้เมื่อเครื่องใช้งานได้อย่างปกติแล้ว ค่อยมาดู
เบื้องหลังโค๊ดที่เข้ารหัสนี้ว่ามันซ่อนอะไรอยู่บ้าง

ด้วยการบรรเลงแป้นคีย์บอร์ดของอ๊อด ไม่นานหน้าเว็บไซต์ก็กลับมาปกติ
เย้ !!! ^___^  หน้าแรกขึ้นแล้ว มาเป็นปกติแล้ว” อนันต์ดีใจ

ช้าก่อน แล้ว App ที่ ผอ. ต้องแสดงในงานล่ะ  มันยังเชื่อมต่ออยู่ไหม
App ชื่ออะไรครับ  SiamH
อ๊อดใช้ command
whereis SiamH พบว่า  /var/www/public/html/siam-h
ls -tla  ดูหน่อย  ธีรานนท์ กล่าว แล้ว capture มาดูหน่อย
อ๊อดผมเห็นแล้ว ผมขอ reboot service siam-h ใครพอมี app ตัวนี้บ้างไหมครับ ลองติดต่อสิว่าเชื่อมกับ Server ได้ไหม

“ผมมี” วิชัยเปิดมือถือตนเองขึ้น คลิก icon siam-h application โรงพยาบาล
App นี้ทำหน้าที่บอกตำแหน่งเพื่อขอความช่วยเหลือ แบบ Location base เพื่อแจ้งพิกัด และ สามารถ conference คุยกับหมอได้
“ใช้งานได้ครับ ตอนนี้มีอาจารย์หมอสมศรีออนไลน์ด้วย พร้อมให้ความช่วยเหลือ”
ดีครับก่อนหน้านี้ผมติดต่อ app นี้ไม่ได้นะตอนนี้กลับมาใช้งานได้ปกติแล้ว

เย้ๆๆ !!  รอดแล้วพวกเรา  วิชัย  องอาจ และ อนันต์ ทั้ง 3 ยืนกอดกัน ประหนึ่งเชียร์ฟุตบอล

ธีรานนท์ มองเห็นว่า “มี process ในเครื่องที่มีการซ่อนอยู่นะ  เหมือนมีอะไร query ข้อมูลตลอด  ดูสิ Network interface กระพิบบ่อยๆ เหมือนมี traffic วิ่งอยู่ตลอด เปิดโปรแกรมแค่นี้ ทำไม CPU มันขึ้นนะ”

“แล้วต้องทำอย่างไงต่อดีล่ะ” องอาจ

“ประคองอาการไม่ให้ services web server down และ ไม่ให้ app ขาดการติดต่อ”

“งานเลิกกี่โมงครับ” ธีรานนท์ถาม

“ไม่แน่ใจ นันต์ เอ๊งลองโทรไปหา หมวย ทีสิ” “ใครเพ่ หมวย” อนันต์กาเกงฟิตยืนถาม  “ก็หน้าห้องผู้อำนวยการไง เอ๊านี้โทรไปถามทีว่างานเลิกกี่โมง”

“ได้ครับ”

ระหว่างรอคำตอบ

องอาจกล่าว “ขอบใจพวกเรามากนะ นับว่าเป็นปฏิบัติการกู้ภัยที่ฉุกเฉินสุดๆ งานหนึ่งในชีวิตผมเลยก็ว่าได้ แต่ไม่ได้หมายความว่างานนี้จะจบแล้วนะคุณต้องไปช่วยสืบหาแฮกเกอร์ให้ผมด้วย”

“ถ้าคุณจะเอาคน (ผู้กระทำความผิด) มาลงโทษเลย ต้องร่วมกับตำรวจไซเบอร์ คุณต้องแจ้งความ  แต่ถ้าเอาแค่เบาะแสได้ IP ต้องสงสัย นี้ผมพอหาให้ได้อยู่แล้ว”
ธีรานนท์กล่าว

“ร่องรอยที่พบในหลักฐาน จะสะท้อน แรงจูงใจ (Motivation) ในการกระทำเสมอ”
ธีรานนท์กล่าว
ดังนั้นการสืบมิใช่ทางเทคนิคอย่างเดียวจะได้คำตอบ

องอาจใตร่ตรอง “นายว่าไงวิชัย  เรื่องนี้ไปถึงตำรวจหรือเปล่า ?”
“ผมว่ามันจะใหญ่ไปนะ” วิชัยตอบ
แล้วพวกเราจะตอบ ผอ. อย่างไง ? กับเรื่องที่เกิดขึ้น ??

“พี่เขาเลิกบ่ายสองครึ่งครับ” อนันต์กล่าว  ขณะนี้เวลา 13:05 นาที  หันไปอีกที ไม่พบ รินและพุกแล้ว

“หิวข้าวกันหรือยังครับ” องอาจกล่าว   นันต์เอ๊งไปซื้อข่าวให้พี่หน่อยล่ะกัน ที่โรงอาหารเราเนี้ย
เอ๊า มื้อนี้ผมเลี้ยงเอง นั่งกินกันที่นี้แหละ”  องอาจกล่าวอย่างผู้นำ
“กระดาษมาจดมาครับ พี่ๆผมไปซื้อให้”
อนันต์รับเงินจากองอาจ จำนวน 300 บาท   อนันต์ทำตา o_O  พี่จะพอเหรอครับ  ตั้ง 5 คนนะเพ่

“ตอนนี้ตรูมีเท่านี้หว่า  ต้องไปกดเงินก่อน หากเกินงบ เอ๊งออกไปก่อน  …”  องอาจกล่าวแบบไม่อาย

เสียงเปิดประตูดังขึ้น  ราเชน (หนุ่ม) เดินเข้ามาที่ห้องคอมพ์ฯ
“สวัสดีครับพี่องอาจ” ได้ข่าวว่าโดนเจาะเหรอครับ เป็นไงบ้าง มีอะไรให้ผมช่วยหรือเปล่า? ราเชนกล่าว

=++++++++++++++++++++++++++++

ท่ามกลางอากาศร้อนอบอ้าว มีเพียงสายลมจากพัดลมติดข้างเสา ณ. ศูนย์อาหารเมืองทองธานี พัดส่ายไปส่ายมา
เวลายามนี้คือ 19:30 น ของวันที่ 24 เมษายน 2558

“กระเพาหมูสับใส่ไข่ดาวสุกค่ะ” เสียงพุกสั่งอาหาร
“รินเธอเอาน้ำอะไร เดี๋ยวชั้นไปซื้อ”
“น้ำเปล่าแล้วกันจ๊ะ” ศิรินท์ตอบ
ทั้งคู่มาทานอาหารที่นี้เป็นประจำ เนื่องจากพุกพักอยู่คอนโดแถวนี้กับคุณแม่
ส่วนศิรินท์พักที่บ้านแถวดอนเมือง ก็ถือว่าไม่ไกลจากที่พักของพุก ทั้งคู่ดูสนิทกันดี

เมื่อทั้งคู่ได้อาหารที่สั่งหมดแล้ว ที่โต๊ะนั่ง
“รัฐบาลประกาศอาทิตย์หน้าเป็นวันหยุดยาว ตั้งแต่ 1 – 5 พค นี้ เห็นว่าโรงพยาบาลให้ฝ่ายไอทีหยุดนะ รวมทั้งวันที่ 4 พค ด้วย หากไอทีหยุดเราก็ต้องหยุดด้วยเพราะเข้าห้องทำงานไม่ได้ โผล่มาอีกก็วันที่ 6 พค เลยล่ะ ถือว่าหยุดยาวเลยนะ”
“เธอมีแผนไปเที่ยวที่ไหนหรือเปล่า” พุกถาม
“วันที่ 2 นี้เรามีบัตรเชิญไปที่ร้านอาหารแห่งหนึ่ง ส่วนวันอื่นๆ คงไม่ได้ไปไหนเพราะช่วงสงกรานต์ไปมาแล้วกับครอบครัว ไปด้วยกันไหมพุก” รินตอบ
พุก “ขอดูก่อนนะน่าสนุกดีนะ ร้าน ชื่ออะไรอ่ะ

“ซาโมกูระ” รินตอบ “เฮ้มันญี่ปุ่นเลยนะ” พุกตอบ  อยู่ที่ไหน ?

 “สีลม” รินตอบ

“ครั้งแรกก็ไม่คิดอยากจะไปหลอกแต่ที่ถูกเชิญมีเพื่อนสมัยเรียนวิศวะคอมฯ ที่เกษตรศาสตร์ อยู่ด้วยล่ะ  เลยไปก็ไป แล้วพุกล่ะมีแผนไปเที่ยวไหนไหมล่ะ ?” พุกตอบ

“คงไม่ได้ไปไหนล่ะจ้า ช่วงนี้ต้องประหยัดการใช้จ่าย”  รินยิ้ม ตอนนั้นต้นเดือนอยู่นะ คติประจำใจของพวกเรา ต้นเดือนกินหรู กลางเดือน sameๆ ปลายเดือนยาจก มิใช่เหรอ ? อิอิ

พุกถามต่อว่า “ที่ ซาโมกูระนั้นมีอะไร ?” รินยังไม่ทันได้เอ่ยตอบ ก็ได้ยินเสียง

“ขอนั่งด้วยคนได้ไหมครับ” เสียงหนุ่ม ราเชน  โปรแกรมเมอร์ผู้ที่เขียนเว็บไซต์ให้กับทางโรงพยาบาลฯ พร้อมยกจานอาหารมาวางที่โต๊ะ

หนุ่ม ราเชน คนนี้ตามจีบศิรินท์อยู่ มาระยะหนึ่งแล้ว
แล้วราเชน(หนุ่ม) กล่าวต่อไปว่า “อาทิตย์ต้นเดือนหน้ามีวันหยุดยาวนะครับรัฐบาลประกาศ โรงพยาบาลเราเห็นชอบในหลักการ ไอทีเราหยุดด้วยครับ
ไม่ทราบว่าใครยังว่างอยู่ไหมครับ?”

ทั้ง 3 คนได้พูดคุุยกัน เวลาผ่านไปครึ่งชั่วโมง ทุกคนแยกย้ายกันกลับบ้าน

พุกเดินข้ามถนนเพื่อไปยังคอนโดที่พักตนเอง ขณะที่พุกขึ้นลิฟท์ไปที่ชั้น 8 อันเป็นที่พักของตนอยู่กับแม่ลำพังเพียง 2 คน สังเกตเห็นว่ามีชายหนุ่มรูปร่างกำยำ 2 คน ใส่ชุดดำ ติดตามเธอมาด้วย พุกจึงวิ่งเข้าห้อง

“แม่ ๆ มีคนตามมา” พุกกล่าว

สักครู่ไม่นานได้ยินเสียงอ๊อด ดังขึ้นที่ห้อง
“ติ๋งต๋อง” 3 ครั้ง   พุกเหลือบดูที่ช่องรูเข็มที่บานประตู พบชายทั้ง 2 ยืนอยู่หน้าห้อง

แม่ พกมือถือเตรียมโทรแจ้ง รปภ  คอนโด  “เขาเข้ามาได้ไง ที่นี้ให้เฉพาะคนในเข้าได้” แม่พุกถามด้วยความสงสัย

พุกเตรียมเปิดประตู บอกแม่ว่าถ้าเห็นท่าไม่ดีให้โทรแจ้ง รปภ และตำรวจ  พุกเปิดประตูออก

“พวกคุณมีธุระอะไร” พุกถาม

ชาย 2 ยื่นจดหมายให้พุก แล้วบอกว่า  “เรามาทวงเงิน” จากเสี่ยขาว

“คุณค้างเงินที่กู้จากนายเรากว่า 5 เดือน” แล้วสิ้นเดือนนี้ คุณต้องจ่ายมา ไม่งั้นคุณเจ็บ” พวกเรามาเตือนคุณไว้ก่อน

อย่าลืม วันที่ 30 นี้คุณต้องจ่าย ยอดที่ค้างรวมดอกแล้ว 45,000 บาท

“จดหมายนี้เป็นรายละเอียดที่คุณต้องทำตามการจ่ายเงินให้ตรงเวลา เมื่อไม่ตรงตามนัด อย่าหาว่าเราไม่เตือน”

ชายทั้งคู่เดินจากไป

พุกสวมกอดแม่ นั่งคุกเข่าที่ห้อง เนื้อหัวสั่น ด้วยความกลัว  พุกร้องไห้ แล้วพูดเบาๆว่า “แม่ลูกไม่น่าไปยืมเงินนอกระบบเลย…”
“ไม่เป็นไร ไม่เป็นไร ลูกเรื่องมันเกิดขึ้นแล้วเราต้องหาทางแก้ไข”

++++++++++++++++++++++++++++++++++++++++++++++++++++
แนะนำตัวละคร
ร้านซาโมกูระ  เป็นร้านอาหาร ที่ไม่เชิญคนทั่วไปมาที่ร้าน ต้องมีบัตรเชิญ ส่วนใหญ่เน้นเครื่องดื่มและการฟังเพลง ประเภทเพลงส่วนใหญ่เป็นเพลง Rock 80 บิ๊กและกลุ่มเพื่อนไฮไซ เป็นเจ้าของร้าน
ร้านนี้ในวงการแฮกเกอร์ระดับโลกจะรู้จักกัน และชอบมาที่นี้เพื่อแลกเปลี่ยนความรู้ ไม่เฉพาะคนไทยแต่มีต่างชาติมาร้านนี้ด้วย อยู่ย่านสีลม เป็นตึกสูง 10 ชั้น ร้านอยู่ชั้นที่ 10

บิ๊ก สุธีย์  เจ้าของร้านซาโมกูระ  ผู้คลั่งไคล้การแฮก อยู่ในกลุ่มแฮกเกอร์ที่ชื่อ Dark Pilot  ที่มีเครือข่ายอยู่ทั่วโลก มีความต้องการให้กลุ่มแฮกเกอร์ของตนเป็นเบอร์ 1 ในวงการ  ที่มามีฐานะในระดับเศรษฐี มีธุรกิจที่ทำหลักของร้านอาหารและอสิงหาริมทรัพย์ ขายที่ดิน เช่าที่ดิน สร้างตึก คอนโด เป็นต้น
เป็นเพื่อนสมัยเรียนวิศวะเกษตร กับราเชน หนุ่ม

หนุ่ม ราเชน เพื่อนกับบิ๊ก ทำงานเป็นโปรแกรมเมอร์โรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล  ชอบมานั่งดื่มกินที่ร้านบิ๊กทุกๆ คืนวันเสาร์  เขาจบจาก MIT มหาวิทยาลัยชั้นนำของโลก ด้านซอฟต์แวร์ประยุกต์ เมื่อกลับมาถึงประเทศไทย มีบริษัทต้องการให้เขามาทำงานหลายที่ แต่ที่แรกที่เรียกเขาทำงานคือโรงพยาบาลสยามเฮลป็ฮอสพิทอล เขาไม่ได้คิดอะไรมากจึงทำงานมากว่า 5 เดือนแล้ว ในระหว่างที่ทำงานเขาได้รู้จักบริษัท Odyssey soft  ที่มาพัฒนาโปรแกรม ERP ให้ ทาง Odyssey soft สนใจในตัวเขา และเขาได้พบศิรินท์หญิงสาวที่เขาหลงรักมาในสมัยเรียนมหาวิทยาลัย

พุก  พีระวัฒน์ เป็นเพื่อนศิรินท์ (ริน)  เป็นชายแต่ค่อนไปทางผู้หญิง (เพศที่3) พุกมีฐานะยากจน อยู่ลำพังกับแม่ ที่แม่ไม่ได้ทำงานอะไร รายได้มาจากพุก และพุกเป็นหนี้นอกระบบอยู่ ที่เป็นหนี้ก็เพราะต้องการนำเงินไปรักษาดวงตาให้แม่ เมื่อทำการผ่าตัดเสร็จสิ้นแล้ว พุกกะว่าจะหาจ๊อบพิเศษทำเพื่อหาเงินคืนเนื่องจากดอกเบี้ยสูงมาก ทบต้นทบหน้าทบหลังทำให้พุกเริ่มหมดปัญญาชักหน้าไม่ถึงหลัง

เสี่ยขาว นักปล่อยเงินกู้นอกระบบ เป็นที่จักกันดีในย่านเมืองนนท์ ว่าเป็นคนที่ปล่อยเงินง่าย มีกลุ่มอัธพาลหัวไม้เป็นลูกน้องเสี่ยขาวมากมาย ไว้ทวงหนี้หากจ่ายชำระไม่ตรงเวลา
ที่สำคัญเสี่ยขาวเป็นลูกค้าที่โรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล มาตรวจสุขภาพทุกปีที่นี้

redFox องค์กรค้าอาวุธเถื่อน ที่มีอิธพลต่อกลุ่มนายทุนในหลายประเทศ เป็นองค์กรที่ร่ำรวยมาก

+++++++++++++++++++++++++++++++++++++++++++++++

 อ่านตอนจบที่  http://nontawattalk.sran.org/2015/06/hacker-here-4.html

สงวนลิขสิทธิ์ SRAN Technology (www.sran.net)
นนทวรรธนะ  สาระมาน
Nontawattana  Saraman

ผู้เขียน
11/05/58

Digital Holes : ตอน Hacker Here ที่นี้มีแฮกเกอร์ ตอนที่ 2 

เวลาขณะนี้ 11:05 น. 
“ส่วนคุณนนท์ ภายใน 2 ชั่วโมงนี้หากคุณช่วยเราได้ ดังนี้
(1) Web Server อันมี Application ที่ ผอ. และคณะ จำเป็นใช้เพื่อสาธิตการให้บริการประชาชน กับมาใช้งานได้อย่างปกติ
(2) หน้าเว็บไซต์หลักของโรงพยาบาลกลับมาใช้งานได้ปกติ
(3) หาสาเหตุของการที่ Web Server ทำงานผิดปกติ
(4) แนะนำทางแก้ไขเพื่อไม่เกิดปัญหานี้อีก

ผมมี งบค้างท่ออยู่ จำนวนไม่มาก ประมาณ 40,000 บาท คุณจะขอมากกว่านี้คงไม่ได้เพราะทางผมมีให้แค่นี้ แต่หากคุณช่วยเราไม่ได้ตามข้อที่กล่าวมาเงินก้อนนี้จะจ่ายเพียงค่าน้ำมันให้คุณเท่านั้น ส่วนอาหาร น้ำดื่มนั้นวันนี้ผมเลี้ยงพวกคุณเอง โทษทีนะวงเงินนี้ผมอนุุมัติได้ เซ็นได้เลยถ้าไปมากกว่านี้เรื่องจะยาวแล้ว” องอาจ พูด ด้วยน้ำเสียงชัดเจน สมเป็นหัวหน้าแก๊ง

ธีรานนท์คิด “องอาจ นี้เขาชัดเจนดี ส่วนใหญ่ที่เจอให้เราทำก่อนทุกที งบประมาณค่าจ้างอะไรไม่เคยคุยกลางที่ประชุมให้คนอื่นรับรู้ด้วย ไม่ก็ตั้งงบปีหน้าไปโน้นเลย  หรือโดนใช้งานฟรี เสมือนมูลนิธิอย่างไงอย่างงั้น”

ธีรานนท์ กล่าวขึ้นมาว่า  “พวกเราได้เลือกมาอยู่ที่นี้แล้ว และทางคุณองอาจ ก็ไว้ใจให้เรามาทำงานนี้ ผมรับทำโดยไม่ต่อรองใดๆ”
“ภายใน 2 ชั่วโมง ต่อจากนี้ผมจะแก้ไขปัญหาที่พวกคุณประสบอยู่ให้กลับมาใช้งานได้อย่างปกติ”  ธีรานนท์ กล่าว

เมื่อทุกคนได้ฟังเช่น จากสีหน้าที่เคร่งเคลียด กลับเปลี่ยนเป็นมีความหวังขึ้น

ธีรานนท์กล่าว “เริ่มงานแจกแจงงานเป็น 2 ส่วน คือการ Recovery และ Analysis
(1) Recovery ให้หาจอมาต่อที่หน้าเครื่อง Web Server และให้ boot OS ผ่าน USB (เป็นเครื่องมือหากินของทาง Ghostnet Buster Team :GBT)
จากนั้นเมื่อเข้า OS (Operating System) ได้แล้ว  ทางเราจะทำการขอ cloning Harddisk เครื่องนี้ด้วย  เราจะไม่ทำอะไรกับเครื่อง Web Server จริง เผื่อว่าทางนี้ต้องการ
หาผู้กระทำผิดมาลงโทษตามกฎหมาย ก็จะได้คงเหลือหลักฐานทางดิจิทัลเพื่อให้ตำรวจได้
ส่วนนี้อ๊อด ลุยได้เลย”

(2) Analysis วิเคราะห์เส้นทางการติดต่อสื่อสาร และ export log จาก อุปกรณ์ Log management มาดูอย่างน้อยต้องดูย้อนหลังได้ 90 วัน ตามกฎหมายกำหนด
“ส่วน Analysis  ขอคนที่รู้แผนผังระบบเครือข่ายและการเชื่อมต่ออินเทอร์เน็ตทั้งหมด ของโรงพยาบาลที่นี้มา และ Log ที่คุณส่งค่ามามาจากอุปกรณ์ไหนบ้างนั้น มาคุยกับผม”
ธีรานนท์พูดต่อ

ธีรานนท์คนนี้ ทุกเช้า เขามักจะชอบมานั่งอ่าน Log เป็นประจำ ปกติเขาตื่นประมาณ ตี5 ของทุกวัน เริ่มต้นจากการอ่าน Log ที่เกิดจากระบบ Honeynet
ที่เขาสร้างขึ้นในหลายประเทศเป็น VPS กระจายไปที่อเมริกา อังกฤษ ญี่ปุ่น สิงค์โปร และประเทศไทย เขาสร้าง sandbox ประเภท malware analystic
เพื่อศึกษาการโจมตีทางไซเบอร์ (Cyber Attack) โดยเฉพาะรูปแบบการโจมตีที่เรียกว่า APT (Advance Presistance Threat)
ที่เขาสังเกตว่ามีมากขึ้นเรื่อยๆจากกองทัพไซเบอร์ไร้ที่ไร้ตัวตน (Anoymous) เมื่อพบ log file ที่มีรูปแบบที่น่าสนใจ เขาก็นำเข้าสู่กระบวนการวิเคราะห์ผ่าน Packet sniffer
แล้วเขานำมาเขียนเป็น signature เพื่อสร้าง rule ในการป้องกัน เช่น snort , suricata , bro-ids และ yara ซึ่งเขามีทักษะการเขียน rule ได้เป็นอย่างดี
รวมทั้งเขาอยู่ในกลุ่ม community IOC (Indicator of Compromise) ที่ทำให้เขารู้ว่า รูปแบบของโจมตีได้อย่างแม่นยำและถูกต้องมากขึ้น

ทั้งหมดนี้ถือว่าเป็นงานอดิเรกที่เขาด้วยความเต็มใจ และมีความสุขที่ได้ ได้เรียนรู้ อันสร้างความแข็งแกร่งในตัวเขาอย่างต่อเนื่องมาถึงทุกวันนี้
จนเขายึดเป็นอาชีพอันสุจริตที่หาเลี้ยงชีพตอนเองได้มาจนถึงทุกวันนี้

พูดง่ายๆว่าที่รายได้ส่วนหนึ่งให้บริษัท Ghostnet Buster Team (GBT) อยู่รอดได้ ก็มาจากเขาในการส่ง signature เข้าโรงงานอุตสาหกรรมด้านระบบรักษาความมั่นคงปลอดภัยทางข้อมูล
ให้กับบริษัทยักษ์ใหญ่ ซึ่งเป็นบริษัทข้ามชาตินี้เอง

++++++++++++++++++++++++++++++++
เสริม
Honeynet คือ การสร้าง Honeypot รวมกันให้กลายเป็นระบบเครือข่าย โดย Honeypot นั้นจะเป็นการสร้าง OS หรือ Application ที่รันอยู่ให้มีช่องโหว่ตาม
CVE (Common Vulnerability and Exposures หน่วยงานที่ประกาศและกำหนดหมายเลขช่องโหว่ที่ค้นพบ ส่วนใหญ่หาก CVE ประกาศแล้วหน่วยงานไหน
ที่ยังมีช่องโหว่นั้น ก็จะไม่มีความปลอดภัย เพื่อถือว่าช่องโหว่นี้เป็นที่รับรู้กันทางสาธาระแล้ว) honeynet ยังคงอยู่ในรูปแบบ VM (Virual Machine)
สร้างเครื่องเสมือนมากกว่า 1 เครื่องแล้วจำลองให้เป็นระบบเครือข่ายภายในคอมพิวเตอร์ตัวเดียวก็ได้ ซึ่งเป็นเทคนิคที่ธีรานนท์ ทำขึ้นในการติดตั้งหลายประเทศ

VPS: Virtual Private Server คือ VM ประเภทหนึ่งที่ผู้ให้บริการติดตั้งผ่านระบบ Cloud computer ให้เรา creat (สร้าง) จาก image OS ที่ต้องการแล้วรันในเครื่องพร้อมทั้ง
ค่า IP Address ที่เป็น Public เพื่อใช้ในการติดต่อสื่อสาร

snort : โปรแกรม IDS (Intrusion Detection System) เป็น Open source เป็นที่นิยมใช้งานมากที่สุด ปัจจุบันบริษัท SourceFire เป็นผู้ดูแลและ
ล่าสุดบริษัท Cisco บริษัทยักษ์ใหญ่ในการทำระบบเครือข่ายได้เข้ามาควบรวมกิจการกับ SourceFire ขึ้น มีการทำเป็นผลิตภัณฑ์อุปกรณ์ตรวจจับในเชิงพาณิชย์มากขึ้น  www.snort.org

suricata : โปรแกรม IDS(Intrusion Detection System) เป็น Open source ได้รับความนิยมมากขึ้นและการทำงานเหมือน snort การเขียน rule ก็เหมือนกันไว้เป็นการทดแทน
snort ได้ระดับหนึ่ง   www.suricata-ids.org

bro-ids : เป็นโปรแกรม IDS อีกประเภทหนึ่ง ซึ่งเป็นตัวที่เก่าแก่ที่สุดและมีพัฒนาการช้าที่สุด แต่ในช่วงปี 2011 เป็นต้นมาเริ่มได้รับความนิยมมากขึ้น ทางเลือกสำหรับ hardcore IDS เนื่องจาก rule ที่เขียนค่อนข้างอิสระและทำอะไรได้มาก เป็นตัวที่เล่นยากเอกสารอ่านยังถือว่าน้อยอยู่

ทั้ง 3 โปรแกรมส่วนใหญ่ใช้มาในงาน Network Security Monitoring (NSM)

yara : โปรแกรมวิเคราะห์พฤติกรรมการติดเชื้อมัลแวร์ (Malware) โดยสามารถเขียนเป็น rule base เพื่อเพิ่มการตรวจจับ เป็นพื้นฐานของโปรแกรมแอนตี้ไวรัสในยุคใหม่

sandbox : คือ การจำลองระบบปฏิบัติการเสมือนซ้อนเข้าไปกับระบบปฏิบัตการจริง (Operating system) ใช้ในการวิเคราะห์ว่าพฤติกรรมการต่างๆได้ดีโดยไม่มีผลกับระบบปฏิบัติการจริงที่เป็นอยู่ จึงนำมาเป็นตัววิเคราะห์พวก Malware และ ไวรัสคอมพิวเตอร์ ที่ใช้ในงานวิจัยและพัฒนา sandbox นำมาประยุกต์ใช้กับเทคโนโลยีการวิเคราะห์ Malware แบบไม่ต้องใช้ฐานข้อมูลจาก signature ได้

APT (Advance Presistance Threat) การโจมตีที่เจาะจงเป้าหมาย และมีจุดประสงค์ชัดเจนในการโจมตีเพื่อเข้าถึงระบบ เช่น ต้องการได้ข้อมูลที่สำคัญขององค์กร ขโมยข้อมูลเพื่อนำขายในตลาดมืด หรือเผยแพร่ทางสื่อออนไลน์เพื่อสร้างความเสียหายหรือการใช้ระบบเครือข่ายหรือเครื่องคอมพิวเตอร์แม่ข่ายที่สำคัญมาใช้งานเพื่อสร้างความเสียหายหรือโยนการกระทำความผิดนั้นให้องค์กรหรือหน่วยงานนั้น
ถือว่าเป็นภัยคุกคามที่มีแฮกเกอร์วางแผนอยู่เบื้องหลัง

sniffer คือโปรแกรมในการดักรับข้อมูลบนระบบเครือข่ายคอมพิวเตอร์  การใช้ sniffer สามารถมองเห็นข้อมูลที่ไม่มีการเข้ารหัสได้ทั้งหมด  ดังนั้นการตีความ sniffer
ต้องดูที่เจตนาผู้ใช้งาน หากต้องการใช้ sniffer เพื่อการวิเคราะห์ หรือจัดทำการเขียน signature ก็เป็นอาชีพที่ต่างประเทศทำกันมักจะมีมูลค่าในการทำงานในส่วนนี้พอสมควร
ส่วนเจตนาใช้ sniffer ดักจับข้อมูลที่เป็น plain text หรือไม่มีการเข้ารหัส  โดยมุ่งเน้นเป็นข้อมูลส่วนตัว หรือ ข้อมูลความลับ เช่น password ส่วนนี้จะเข้าข่ายการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
ได้ ดังนั้นจึงต้องแยกแยะในการใช้งาน sniffer ด้วย

IOC (Indicator of Compromise) ค่าบ่งขี้เพื่อบอกได้ว่ามีการโจมตี (Cyber Attack) เกิดขึ้นจริง ซึ่งอาจนำค่า Log จากอุปกรณ์ พวก NSM หรือ SIEM /Log management มาเปรียบเทียบเหตุการณ์ที่เกิดขึ้นว่ามีโอกาสถูกโจมตีหรือไม่  ซึ่งค่า IOC เป็นการบ่งชี้ที่ค่อนข้างแน่ชัดว่าเกิดเหตุการณ์นั้นอย่างแท้จริง และยังสามารถระบุค่าไอพีแอดเดรสผู้โจมตีและเครื่องที่ถูกโจมตีได้อีกด้วย

++++++++++++++++++++++++++++++++++++++++

“ส่วนคุณองอาจ ช่วยกรอกข้อมูลบน Incident Response Report Form เพื่อเป็นหลักฐานว่ามีการปฏิบัติงานนี้ขึ้นมาแล้ว” ธีรานนท์ หยิบกระดาษในแฟ้มออกมาจากเป้สะพาย .. แล้วยื่นให้องอาจ กรอกข้อมูล

11:20 น.  ทุกคนรับแผนการของธีรานนท์

อนันต์นำอ๊อดไปต่อจอในห้อง IDC ที่อยู่ข้างๆ  ส่วนวิชัยถึงแม้จะดูเรื่องระบบ account username แต่เขาก็เป็นผู้รู้ช่องทางการติดต่อสื่อสารของโรงพยาบาลนี้ทั้งหมด และเขามีไฟล์แผนผังระบบเครือข่าย

“พี่เชิญทางนี้ครับ” วิชัยกล่าว แล้วพาธีรานนท์เข้าที่โต๊ะ
เปิด file Network diagram ที่มีการ update เมื่อวันที่ 3 กุมภาพันธ์ 2558

“เรามีเส้นทางเชื่อมต่ออินเทอร์เน็ต  2 เส้นทาง ทำเป็น Load balancer โดยทำการเชื่อมต่ออินเทอร์เน็ตบริษัท True Internet ใช้เทคนิค DSL และ 3BB Broadband เป็น FTTX
ส่วน Broder Network เราทำ Load Balancer ผ่านอุปกรณ์ Firewall แล้ว router ที่ทาง ISP ให้มาเราทำเป็น Bridge mode การ Authentication PPPoE เราให้ Firewall จัดการ
เรามี Firewall 2 ตัว ทำงานแบบ HA (High Availability) แบบ active – active  มีค่า IP Address ที่เป็น Public 2 ค่าคือที่ได้จาก True และ 3BB นั้นเอง

Firewall เราทำหน้าที่แบ่งระบบเครือข่าย ออกเป็น WAN  LAN และ DMZ   ส่วน WAN ของเรามีการให้ remote VPN จากภายนอกเข้าได้  แต่จำกัดสิทธิมาก และมีการระบุตัวตน two factor
โดยต้องใช้อุปกรณ์ token มาใช้ร่วมด้วย ส่วน LAN เราประกอบด้วย 4 VLAN ตามแผนกงานในโรงพยาบาล และ DMZ เรามีติดต่อโลกภายนอก (อินเทอร์เน็ต) อยู่ 4 เครื่อง  และ 6 เครื่อง Server นั้นอยู่ใน LAN ที่เป็น Secure zone ”  วิชัย กล่าวโดยไม่ต้องใช้โพยใดๆ
ธีรานนท์ ถามต่อ “ที่โรงพยาบาลนี้มีสาขาไหมครับ คือมีอยู่ที่อื่นนอกจากที่นี้ไหมครับ”
วิชัยตอบ “ตอนนี้ยังไม่มี มีที่นี้ที่เดียวแต่ปีหน้าเรามีแผนที่ต้องเชื่อมระบบกับที่ บางนา เราสร้างตึกใหม่เสร็จ เป็นอาคาร Hi-tech ใช้เงินลงทุนกว่า 3,000 ล้านบาท
แต่ระบบสื่อสารยังไม่เชื่อมและยังไม่เปิดใช้บริการครับ อยู่ในระหว่างก่อสร้าง เมื่อสร้างเสร็จทางโรงพยาบาลมีแผนให้เป็น hub ด้านการรักษาพยาบาลรองรับ AEC เพราะลงโรงพยาบาลอยู่ใกล้
สนามบินสุวรรณภูมิครับ” วิชัยกล่าว

“โอ้ !!! ผมเคยเห็น” อ๊อด แทรก ระหว่างที่อ๊อดจัดเตรียมเครื่องเพื่อเข้าไปห้อง IDC กับ อนันต์  อ๊อดเดินหย่องๆ ราวกับพิงค์แพนเตอร์หนีเมีย มาแอบฟังการสนทนา “ผมเคยขับรถผ่าน ผมนึกว่าห้างสรรพสินค้าใหญ่มากครับ ไม่น่าเชื่อว่าเป็นโรงพยาบาล” อ๊อดกล่าว  และเดินเข้าห้อง IDC ต่อไป

ธีรานนท์ ถามต่อ “ช่วยขยายความโซนทั้ง 4 ที่ถูกแบ่งด้วย VLAN ได้ไหมครับ” พร้อมใช้ปากกาจดบันทึกข้อมูลลงในสมุดโน้ต

วิชัย ผมคงบอกได้คราวๆ นะครับ คือไม่บอกเจาะจงเป็นค่าไอพี แต่จะบอกเป็นช่วงไอพีแล้วกัน 4 โซนนั้น

ประกอบด้วย
Zone 1 System Admin คือของห้องนี้  โซนนี้มี Policy ที่ค่อนข้างเปิด เพื่อให้พวกเราทำงานได้อย่างสะดวกครับ   IP อยู่ที่ 172.16.5.0/24
และเรานำ Server สำคัญมาอยู่ที่นี้ด้วย

Zone 2 Out Source  ประกอบด้วย 2 ย่านไอพี แต่เข้าถึงกัน คือสำหรับโปรแกรมจากบริษัทนอกมาพัฒนาซอฟต์แวร์ IP อยู่ที่ 192.168.1.0/24 และ กลุ่มงาน Help Desk support
อยู่ที่ 192.168.2.0/24  Policy มีความเข้มข้นขึ้นครับคือมีการจำกัดสิทธิในการเข้าถึงข้อมูล

Zone 3 พนักงานทั่วไปของโรงพยาบาล เช่น ทรัพยากรบุคคล (10.10.1.0/24) , บัญชี (10.10.2.0/24) , เจ้าหน้าที่ธุรการ (10.10.3.0/24) , พยาบาล (10.10.4.0/24)
ตรงนี้เราคุมเข้มครับแม้แต่ USB ก็เสียบไม่ได้ ลงซอฟต์แวร์อะไรไม่ได้เลย  เรากลัวเรื่องไวรัสคอมพิวเตอร์ IP 10.10.10.0/24

Zone 4 สำหรับผู้บริหาร รวมทั้งคุณหมอ ที่เป็นพนักงานประจำที่นี้และไม่ประจำ (172.16.2.0/24)  ตรงนี้เราค่อนข้างปล่อยเหมือนกันครับ ไม่อยากมีปัญหากับท่านๆ อิอิ

แต่ละโซนเราใช้ subnet  เป็น class C หมดครับ และทุกโซนถูกควบคุมด้วย AD (Active Directory) ด้วยกัน 2 ตัวทำ HA (Hight Availability)  AD ตัวนี้ใช้ Windows Server 2008
กำหนด Policy โดยผ่านการ Audit และการประเมินความเสี่ยงตาม Compliance HIPAA ด้วยครับ
วิชัยตอบ ราวกับร่วมอยู่ในการทำงานมาโดยตลอด
ธีรานนท์ ทำการขีดเขียนวาดรูปตามความเข้าใจ และนั่งนิ่งพิจารณาถึง flow ของการติดต่อสื่อสาร

++++++++++++++++++++++++++++++++++++++
เสริม
HIPAA Compliance คือ มาตรฐานด้านความมั่นคงปลอดภัยทางข้อมูลประเภทสำหรับผู้ให้บริการทางการแพทย์ซึ่งในประเทศสหรัฐอเมริกาจัดเป็นกฎหมายที่ต้องให้ความสำคัญข้อมูลส่วนบุคคลสำหรับการแพทย์การรักษาพยาบาล เช่น ข้อมูลทางการแพทย์ กรุ๊ปเลือด รหัสทางพันธ์กรรม ซึ่งนำเข้าสู่ระบบคอมพิวเตอร์และเป็นข้อมูลที่ต้องมีระบบรักษาความมั่นคงปลอดภัยที่ดีพอ เพราะบางข้อมูลอาจส่งผลต่อชีวิตของผู้ใช้บริการได้ กฎหมายนี้ชื่อเต็มว่า “Health Insurance Portability and Accountability Act” เมืองไทยยังไม่มีการบังคับใช้มาตรฐานตัวนี้

ห้อง IDC : Internet Data Center เป็นห้องที่สำคัญคือเป็นศูนย์กลางการเชื่อมต่อข้อมูลทั้งหมดของโรงพยาบาลนี้ ทั้งที่เก็บ Server เครื่องแม่ข่ายที่สำคัญ ระบบอินเทอร์เน็ต และการสื่อสารทั้งชุมสายที่โทรติดต่อภายในหน่วยงาน รวมอยู่ที่นี้

++++++++++++++++++++++++++++++++++++++

แล้วธีรานนท์ ถามต่อว่า “แล้วระบบ Wifi ล่ะครับ?”
อ๋อผมลืม วิชัยกล่าว “Wifi ทางผู้บริหารต้องการให้เป็น Free Wifi เพื่อให้บริการลูกค้าที่มาใช้งานโรงพยาบาลของเรา ”  ทางเราจะแยกออกเป็นอีกระบบเลยครับ โดยผ่าน Firewall แยกแบบเดียวกับ DMZ และใช้ AD อีกตัวโดยใช้ตัว Wifi Controller มาบริหารจัดการ  เราแบ่ง Wifi 2 zone คือ โซนพนักงานตัวนี้จะไปเชื่อมกับ VLAN โซนที่ 3  แต่จะได้ IP ในช่วง 10.10.5.0/24 เพราะโซนนี้เราคุมเข้ม ส่วนพวก Free wifi ไปอยู่ใน ช่วงIP 10.10.6.0/24  ก็ค่อนข้างปล่อยครับลูกค้าเรามี Devices ที่หลากหลายเราไม่สามารถบังคับให้มา join AD ของเราได้
ดังนั้นตัวนี้จึงค่อนข้างปล่อย

แล้วธีรานนท์ ถาม แล้วโซน Free wifi ของเรานี้เรามี NIDS/IPS ตัวตรวจจับไหมครับ
วิชัยตอบ คนที่มาขาย Wifi Controller บอกว่ามีนะครับ Access Point ที่ติดตั้งตามจุด สามารถ Alert การโจมตีได้ โดยส่งค่าไปที่ Wifi Controllerจากนั้น Wifi controller ของเราจะส่ง syslog ไปเก็บที่ Log Management ที่พี่องอาจ ดูอยู่ครับ แต่อย่างไรผมไม่เคยใช้งานตัวนี้เพราะไม่ได้อยู่ในคณะกรรมการตรวจรับ Wifi controller นี้ครับ เป็นอีกชุดหนึ่ง  เราซื้อมาได้เป็นปีแล้วครับ พี่องอาจอยู่ในคณะกรรมการ

“แล้วตัว Web Server ที่มีปัญหานั้นอยู่ DMZ โซนหรือเปล่าครับ” ธีรานนท์ถามต่อ
ใช่ครับ DMZ ก็ประกอบด้วย VPN Server , Mail Server , Web Server  อีกตัวคือ NIDS โดยเราใช้ตัวนี้ทำการ passive mode ทำการสำเนาข้อมูลทุก VLAN เพื่อ monitor ข้อมูลจราจรคอมพิวเตอร์ครับ เป็นการดูข้อมูลภายในองค์กร

“คุณมี Web Application Firwall (WAF) ไหม ?”  ธีรานนท์ ถามต่อ
“เราใช้ Firewall ตัวละ 7 หลักของเราป้องกันพวกนี้ได้อยู่แล้วครับ มันเป็นระดับ Application Firewall”
วิชัยตอบ

แล้วคุณมีการประเมินความเสี่ยงหาช่องโหว่ที่พบบ่อยแค่ไหน ? คือมี VM (Vulnerability Management) ในองค์กรหรือเปล่า ? ธีรานนท์ถาม
“เราจ้างบริษัทข้างนอกมา Audit ให้เราครับ ส่วนการสแกนช่องโหว่เราทำ ปีละ 2 ครั้งสำหรับ Server ที่สำคัญ อนันต์ดูอยู่ โดยการสแกนนั้นเราจ้างมืออาชีพมาทำให้ครับ ทั้งทำ Penetration test และ Vulnerability Scanner เท่านั้นครับ” วิชัย กล่าวต่อ

ธีรานนท์ ถาม “แล้ว Log Management อยู่โซนไหนครับ” วิชัยบอกว่า “อยู่ โซน System Admin แต่เราตั้ง subnet อีกช่วงหนึ่ง เป็น 172.16.99.0/24”
ติดต่ออินเทอร์เน็ตได้หรือเปล่าเครื่องนี้  ธีรานนท์ถามต่อ
วิชัยบอกว่า “จำเป็นต้องให้ติดต่อได้ เนื่องจาก Time sync เราตั้ง server เป็นสถาบันมาตรวิทยา”

“แล้ว System Admin โซนนี้ประกอบด้วย Server อะไรบ้าง พอบอกได้ไหม ?” ธีรานนท์ ถามอย่างเกรงใจ

วิชัยตอบทันที  ก็มี Log management server 1 ตัว ,  AD Server 2 ตัว , ERP Server 1 ตัว , Wifi Controller 1 ตัว , Anti-virus server 1 ตัว

“คุณใช้อะไรกำหนด AAA ใช้ NAC (Network Access Control) ไหม ?” ธีรานนท์ ถาม
“เราใช้ VLAN และ AD คู่กันในการกำหนด AAA ก็น่าจะเพียงพอแล้ว ผมกับพี่องอาจหารือกันแล้วว่าจะไม่ใช้ NAC” วิชัยตอบ

“ระบบ Authentication (ระบบระบุตัวตนผู้ใช้งาน) นั้นผ่าน LDAP หรือเปล่าครับ” ธีรานนท์ถามต่อ
“ใช่ครับ เราใช้ LDAP จาก AD (Active Directory) เครื่องคอมพิวเตอร์ทุกเครื่องที่เป็น Client ต้องทำการ Join Domain มาที่นี้ครับ” วิชัยกล่าวต่อ ส่วน รายชื่อพนักงานทั้งหมด วันเวลาที่ใช้งาน ถูกเก็บบันทึกไว้ที่ AD ครับ ส่วน Log file ส่งค่า syslog ไปเก็บที่ Log Management ของพี่องอาจ”

ธีรานนท์ทำการบันทึก พร้อมทั้งพอทราบแล้วว่าที่นี้อ่อนแอส่วนใด

++++++++++++++++++++
เสริม
DMZ : (Demilitarized Zone) คือโซนที่มีการติดต่อระหว่างอินเทอร์เน็ตและเครือข่ายภายในองค์กร ดังนั้นโซนนี้ต้องการความปลอดภัยสูง 
AD : (Active Directory) คือ ตัวควบคุมนโยบายในการใช้งานระบบสารสนเทศ โดยกำหนดสิทธิการใช้งาน การเข้าถึงข้อมูล และการใช้โปรแกรม เป็นเทคโนโลยีของบริษัท Microsoft 

LDAP (Lightweight Directory Access Protocol) อ่านว่า แอล-แด็บ เป็น Protocol ชนิดหนึ่งที่ใช้เสมือนฐานข้อมูลเก็บรายชื่อผู้ใช้ ระดับการเข้าถึงใช้งาน ประเภทการใช้งาน ใช้คู่กันกับ AD (Active Directory) สำหรับหน่วยงานไหนที่ใช้ AD อยู่แล้วจะมีการกำหนดสิทธิและนโนบายการเข้าถึงข้อมูลจากจุดเดียวได้

ซึ่ง AD นั้นในประเทศไทยจะมีเฉพาะหน่วยงานขนาดใหญ่ใช้งานกัน เนื่องจากราคาค่อนข้างสูง

Vulnerability Management : คือกระบวนการประเมินความเสี่ยงระบบสารสนเทศโดยการใช้เทคโนโลยีท VA (Vulnerability Scanner) เพื่อค้นหาช่องโหว่ และเมื่อพบช่องโหว่จะสามารถแจกแจงและหมอบหมายงาน (assign) ให้ผู้ที่เกี่ยวข้องและมีหน้าที่รับผิดชอบงาน (เพื่อเปิดจ๊อบ) ได้ทำการป้องกันปิด patch อันอาจจะทำให้เกิดความเสียหายได้ เพื่อให้ระบบมีความมั่นคงปลอดภัยอย่างต่อเนื่อง

Penetration test คือบริการทดสอบเจาะระบบโดยเสมือนเป็นแฮกเกอร์ที่จะสามารถสร้างความเสียหายให้กับองค์กร ทุกๆปี หน่วยงานขนาดใหญ่จะมีการจ้างเจาะระบบเพื่อดูส่วนงานที่เกิดขึ้น และที่สำคัญนั้นมีความเสี่ยงที่ถูกเจาะระบบได้หรือไม่ ?

AAA คือ Authentication (การระบุตัวตน) Authorization (การระบุสิทธิการใช้งาน) Accounting (รายชื่อผู้ใช้งาน)  และมีอีก A คือ Auditing (ประวัติการเก็บบันทึกการใช้งาน Log นั้นเอง) 

NAC (Network Access Control) เป็นเทคโนโลยีที่ใช้ในการกำหนดค่า AAA  โดยมีทั้งเป็นแบบฮาร์ดแวร์ติดตั้งแทน Switch หรือเป็นซอฟต์แวร์ก็ได้ ปัจจุบัน NAC มาเชื่อมกับเทคโนโลยีที่ใช้ตรวจจับและวิเคราะห์ Malware ราคายังสูงอยู่

++++++++++++++++++++++


ธีรานนท์ถาม “แล้ว 2 คนที่นั่งอีกห้องหนึ่งด้านหลังคุณ เป็น System admin ด้วยหรือเปล่าครับ”
พร้อมหันไปดู ซึ่งระยะห่างประมาณ 30 เมตรโดยประมาณ แล้วมีม่านพลาสติกกั้นเป็นริ้วๆ และกระจกใสกั้น มองเห็นได้ด้วยตาเปล่า

วิชัยตอบ “2 คนนั้นเป็น out source มาเขียนโปรแกรม ERP ให้กับทางโรงพยาบาล  มาจากบริษัท Odyssey Soft Corporation
ที่นั่งหันหน้ามาทางห้องพวกเราชื่อ ศิรินท์ หรือ ริน  และที่หันข้างให้พวกเรา ชื่อ พีระวัฒน์ หรือ พุก เขาทั้ง 2 อยู่ที่นี้มากว่า 3 เดือนแล้ว”

ธีรานนท์ กล่าว “Odyssey Soft ที่ได้งานทำฐานข้อมูลบัตรประชาชนทั่วประเทศไปหรือเปล่าครับ ?”

“ใช่ครับ” วิชัย ตอบ

“พี่ทำไง เสียบ Thumb drive เข้าที่ช่องเสียบของ Server แล้วแป๊บเดียวก็เข้าระบบได้” อนันต์ถามอ๊อด ด้วยความประหลาดใจ

“เราอยู่หน้าเครื่องแล้วนี้ครับ .. เราจะทำอะไรกับมันก็ได้” อ๊อดตอบ
“Thumb drive  มีโปรแกรมอะไรอยู่หรือเปล่าครับ” อนันต์ถาม
อ๊อดกำลัง recovery user root  แล้วตอบว่า “ผมจัดคอร์สสอนเรื่องนี้อยู่ครับ สนใจมาเรียนกับผมป่ะ ลงชื่อได้ ผมให้ราคาพิเศษเลยล่ะ” อ๊อดตอบ

อนันต์ยืนนิ่ง  ^_^!

“เออพี่ผมไม่ค่อยมีตัง เรียนฟรีได้ป่ะครับ ผมอยากเก่งเหมือนพี่นะครับ”

อ๊อดไม่ตอบอะไร

จากนั้นอ๊อดก็กล่าวว่า “ผมตั้ง password root ใหม่ให้คุณนะคุณจดไว้หน่อย รหัสผ่านที่ดีควรมีอักขระพิเศษมีความยาวอย่างน้อย 8 ตัว”

ขณะเดียวกัน อ๊อด หยิบตัว cloning hard disk เสียบต่อเข้าที่ server

แล้วอ๊อดก็พิมพ์แป้นคีย์บอร์ดอย่างว่องไว จนผมมองไม่ทัน command  line ล้วนๆ อนันต์จ้องมองด้วยความอะเมซิ่ง ราวกับบีโธเพน บรรเลงเปียโน

เวลาผ่านไปอย่างรวดเร็ว 12:18 นาที
cat /etc/passwd

nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
libuuid:x:100:101::/var/lib/libuuid:
syslog:x:101:104::/home/syslog:/bin/false
messagebus:x:102:105::/var/run/dbus:/bin/false
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin

“พี่นนท์ เชิญทางนี้หน่อย” เสียงอ๊อด เดินออกมาจากห้อง IDC  แล้วกล่าวต่อว่า
“ผมเข้าเครื่อง Web Server ที่ถูก Hack ได้แล้วครับ และกำลัง cloning Hard disk อยู่

สิ่งที่พบคือมี username ประหลาด ที่อนันต์ และพี่องอาจไม่รู้จักในเครื่องนี้มาก่อนครับ”
อ๊อด พูด
“Username อะไร ?” ธีรานนท์ ถามต่อ

“ซินแบด” และเขียนลงกระดาษให้ว่า s1n3ad” อ๊อดพูด พร้อมเขียนชื่อให้

“Digital Holes : ดิจิทัลโฮลส์”

นิยายเชิงสืบสวนทางด้านเทคโนโลยี ที่ต้องเป็นแนวทางนี้ก็เนื่องจากเทคโนโลยีนั้นได้มีอิทธิพลต่อการใช้ชีวิตประจำวันเราโดยเฉพาะคนเมืองชนิดที่มีแนวโน้มสูงขึ้น และเริ่มกระจายตัวอย่างรวดเร็วไปยังต่างจังหวัดโดยเฉพาะโทรศัพท์มือถือและอินเทอร์เน็ตเป็นส่วนหนึ่งในชีวิตเราตั้งแต่ตื่นนอนไปจนถึงเข้านอน เราถูกรายล้อมไปด้วยเทคโนโลยี จนเกิดเป็นปรากฎการณ์ที่เรียกว่า “สังคมก้มหน้า” ที่อยู่กับหน้าจอโทรศัทพ์มือถือ และทำงานหลังขดหลังแข็งอยู่หน้าจอคอมพิวเตอร์ เป็นต้น

จุดเริ่มต้นของการเขียนครั้งนี้คือผมเห็นว่าหนังสือที่ให้ความรู้ และมีความเกี่ยวข้องกับการสืบสวนทางเทคโนโลยี ที่มีเนื้อหาสาระด้วยการอธิบายเทคนิคที่เป็นจริงนั้นมีน้อยอยู่ ส่วนใหญ่เกิดจากจิตนาการของผู้เขียนผสมกับความจริงบางแต่น้อย จนไม่สามารถนำมาเป็นกรณีศึกษา (case study) ได้นั้น ซึ่งทำให้ผู้อ่านได้เพียงความบันเทิง สิ่งที่อยากได้คือ เป็นหนังสือที่อ่านแล้วได้ทั้งความบันเทิงและได้ความรู้ และความรู้ที่เป็นสิ่งที่เกิดจากความเป็นจริง เมื่ออ่านแล้วสามารถนำไปใช้เป็นข้อสังเกตทั้งการทำงานด้านการป้องกันและในด้านการสืบสวนได้จริง

เพื่อเป็นการทบทวนประสบการณ์ที่ผ่านมาที่ตนเองได้มีโอกาสไปร่วมแกะรอยค้นหา ที่ผ่านมาแล้ว เพื่อไม่ให้หลงลืมได้ จึงต้องมาทำการบันทึกและเขียนขึ้นมา จึงปั่นเวลามาเขียนขึ้นตั้งใจไว้ว่าจะมีทั้งความบันเทิงผสมสาระความรู้จากประสบการณ์ที่ผมมีให้อยู่ในชุด “Digital Holes” นี้ขึ้น โดยทั้งตัวละครและสถานที่นั้นเป็นการสมมุติขึ้นจากผู้เขียนเองทั้งสิ้น
ผมเริ่มคิดและทำสิ่งนี้เมื่อวันที่ 4 พฤษภาคม 2558 และรวบรวมข้อมูลเพื่อคิดและเขียนตามลำดับ

Nontawattana  Saraman

—————————————————————————————–

Digital Hole : Hacker Here ? ที่นี้มีแฮกเกอร์ ?

             กรุงเทพฯ ในเวลาตีสามของวันที่ 6 พฤษภาคม 2558
..ฝนกำลังตก … เสียงของน้ำฝนกระทบกับกันสาดที่ยื่นออกมาภายนอกห้องนอน ทำให้ผมรู้สึกตัว

ผมชื่ออนันต์ อายุ 27 ปี  ผิวดำแดง ตรงสเป็คสาวญี่ปุ่น รูปร่างสันทัด สูง 182 cm เป็นหนึ่งในทีมงานที่ได้จัดทำ (Implementation) ระบบรักษาความมั่นคงปลอดภัยทางข้อมูลของโรงพยาบาลชื่อดังย่านพระราม 6  ถึงแม้จะเปิดแอร์อยู่ แต่เสียงฝนก็ดังทำให้ ผมรู้สึกตัวตื่นขึ้นมา ซึ่งเวลาในขนาดนั้นคือตีสามสี่แปดนาที  3:48                                                                                                                                                                                                
อนันต์หันไปหยิบมือถือที่มีแบตเตอรี่ยังเหลือเพียง 12% ขึ้นสีแดง ที่วางบนหัวเตียง เหลือบเห็นข้อความเตือนที่ยังไม่ได้เปิดอ่าน
จำนวน 3  รายการ ผ่านทางอีเมลล์ว่าระบบที่ดูแลอยู่มีการ Login ที่ผิดพลาด (Login fail)
เกิน 3 ครั้งติดต่อกัน การ login ไม่สำเร็จครั้งล่าสุดที่แจ้งเตือน เป็นเวลา 23:19
ของวันที่ 5 พฤษภาคม 2558
“Firewall ที่เราใช้อยู่คงยับยั้ง (Denny IP) ผู้บุกรุกไปแล้ว” อนันต์คิดพร้อม รำพึงต่อว่า “ไว้เช้าแล้วจะรีโมตเครื่องเข้าไปดู Logfile ขอนอนต่อแล้วกัน” ทั้งหาวต่อเนื่อง
จากนั้นก็ลุกขึ้นเปิดไฟข้างเตียงนอนเพื่อชาร์ตมือถือ ด้วยลมเย็นสบาย และมีเสียงฝนกระทบพื้นห้องป็นจังหวะเสียงพรึมพรั่มต่อเนื่อง สักพักหนึ่งอนัตต์
ก็ได้เคลิ้มหลับไป โดยที่ไฟข้างหัวเตียงไม่ได้ปิด

7:15 น.  แสงแดดส่องแสงรอดช่องหน้าต่างข้างเตียงนอน ส่องแสงลงมา บ่งบอกได้ว่าเช้าแล้ว อนันต์ได้เปิดม่านข้างเตียงเห็นท้องฟ้าใสเหมือนไม่มีแววว่าฝนได้ตกเมื่อคืนนี้เลยแม้แต่น้อย

“อากาศวันนี้ช่างสดใสดีจัง”  อนันต์ได้ปิดไฟที่เปิดตั้งแต่ตีสามกว่า แล้ว
 ได้เวลาที่ต้องแต่งตัวไปทำงาน ที่ทำงานของอนันต์อยู่ไม่ไกลจากที่พัก อนันต์เดินทางไปทำงานด้วยจักรยาน ชีวิตแบบคนเมืองเต็มรูปแบบ ขณะที่ปั่นอยู่นั้นอนันต์ยังครุ่นคิดถึง
การ Login fail ที่ได้รับมา ข้อความนั้นบอกว่าเพียงมีการ Login ผิดจาก IP Address 77.247.181.162 เวลา 23:19:54 5/05/58

7:35 น จอดรถจักรยานที่หน้าตึกที่ทำงาน แล้วเดินทางไปทานอาหารเช้าเราเริ่มต้นที่โรงอาหารภายในโรงพยาบาล

“สวัสดีครับ” อนันต์กล่าว เมื่อพบ ศิรินท์  หญิงสาวที่มาจากบริษัท Out source ที่ซอฟต์แวร์ประเภท ERP ที่ Implement ไม่เสร็จดีมากว่า 3 เดือนแล้ว

 “อยากได้ไลน์ไอดีเธอจัง น่ารักดี จะส่งสติ๊กเกอร์น่ารักๆ ให้ทุกวันเลย” อนันต์คิดในใจ  เราพบกัน
บ่อยแต่แทบไม่ได้คุยกัน
“… อาหรายหว่า… โลกนี้ไม่เป็นธรรมสำหรับคนปอนๆ แบบเราเสียเลย” อนันต์บ่น

ผมนะรู้จักชื่อศิรินท์ ชื่อเล่นว่า ริน
นั่งทำงานอยู่ด้านหลังห้องผม เป็นห้องของโปรแกรมเมอร์จากบริษัทใหญ่ที่รับงานจากโรงพยาบาลไป เราจะเจอกันส่วนใหญ่ช่วงพักทานอาหารเที่ยง
โรงอาหารที่นี้กว้างก็จะจริงแต่บังเอิญเจอกันทุกที ส่วนช่วงเช้านี้ถือว่าวันนี้โชคดีที่พบเธอ  ผมมีกำลังใจขึ้นอีกนิด อนันต์แอบยิ้ม ทั้งที ศิรินท์ไม่ตอบสนองใดๆ

เหมือนการทักทายผม เปรียบเสมือนการ Ping ที่ไม่ผลตอบรับจากเธอ

++++++++++++++++++++++++++++++++++
Pinging ศิรินท์ with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for ศิรินท์ :
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
+++++++++++++++++++++++++++++++++++
ผลลัพธ์คือไทม์เอ๊าครับ Loss 100%

++++++++++++++++++++++++++
เสริม
Ping เป็นคำสั่งหนึ่งที่มีทั้งระบบปฏิบัติการ Windows และ Linux เป็นคำสั่งพื้นฐาน มีหน้าสำหรับตรวจสถานะเครื่องคอมพิวเตอร์ที่ต้องการสื่อสาร หากมีการ Response กลับมาแสดงว่าเครื่องดังกล่าวสามารถติดต่อถึงกันได้  Ping  ใช้ Protocol  ICMP   ซึ่งบางครั้งที่ Ping แล้วเกิด Time out เป็นไปได้ 2 สาเหตุคือเครื่องที่ต้องการติดต่อไม่อยู่ในสถานะติดต่อสื่อสารได้ (เครื่องปิด)  และ ติดระบบป้องกันโดยเฉพาะหากมี Firewall ป้องกันนั้นจะปิดการสื่อสารประเภทนี้

+++++++++++++++++++++++++++++

ระหว่างตักข้าวเข้าปาก อนันต์เปิดมือถือขึ้นเพื่อตรวจข้อความที่พบอีกครั้ง
login fail ครั้งที่ 1  เวลา  23:18:23  IP : 77.247.181.162
login fail ครั้งที่ 2 เวลา 23:19:12  IP:77.247.181.162
login fail ครั้งที่ 3 เวลา 23:19:54  IP:77.247.181.162

Server ที่อนันต์ดูแลนั้นมีการตั้งระบบรักษาความปลอดภัย ผ่านอุปกรณ์ Firewall ที่เป็นประเภท Next Generation Firewall ชนิดที่ตรวจระดับ Application Layer ได้
ราคา 7 หลัก และมีระบบตรวจจับผู้บุกรุก ที่เรียกว่า NIDS/IPS Network Intrusion Detection and Prevention System) แต่ตัวนี้ทำให้เป็น mode passive คือดูอย่างเดียวให้ Firewall เป็น
ตัวป้องกัน ถึงกระนั้น ราคา NIDS ก็ไม่น้อยกว่า Firewall แถมยังใช้มานานกว่า 3 ปีแล้ว ข้อความที่ถึงแจ้งเตือนมาจาก NIDS ส่ง และตัวที่เกิดการพยายามเข้าถึงโดยการ Login นั้นคือ Web Server ประจำโรงพยาบาลนี้เอง

+++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม :
Firewall คืออุปกรณ์ที่ทุกหน่วยงานต้องมี ทำหน้าเป็น Gateway เพื่อเชื่อมต่อข้อมูลทางอินเทอร์เน็ต ทำการแบ่งระดับการเข้าถึงข้อมูลผ่าน rule base และการตั้งค่า NAT เพื่อได้มีการแบ่งชั้นการเข้าถึงข้อมูลจากโลกอินเทอร์เน็ตเข้าสู่ระบบเครือข่ายคอมพิวเตอร์ภายใน
Firewall Next generation หรือเรียกสั้นว่า Firewall NG  นั้นเป็นการพัฒนาไปอีกขั้นโดยการสามารถตรวจข้อมูลเพื่อป้องกันภัยคุกคามที่เกิดขึ้นได้ในระดับ Application Layer ซึ่งตาม OSI 7 เป็น layer ที่อยู่บนสุดและสำคัญที่สุดในการใช้งานในปัจจุบัน

NIDS/IPS  คือ อุปกรณ์ที่ตรวจผู้บุกรุกทางเครือข่าย เปรียบเสมือนกล้องวงจรปิดทางเป็น NIDS เฉยๆจไม่สามารถป้องกันได้ แต่ถ้าเป็น IPS ด้วยจะป้องกันได้  ทั้งนี้ส่วนมากอุปกรณ์พวกนี้จะทำได้ทั้ง 2 mode เป็นอยู่แล้ว ขึ้นกับการติดตั้งถ้าติดตั้งแบบ in-line ก็จะเป็น NIPS  ส่วน passive การเป็น NIDS เป็นต้นการทำงานจะทำการตรวจจับเป็นทั้งที่เป็น Signature base คือตรงตามฐานข้อมูลจึงแจ้งเตือน และ ตรวจด้วยการวิเคราะห์จากพฤติกรรม  ซึ่งต่อมาได้มีการรวมกันกับ Firewall จนเป็น Firewall NG ขึ้น นั้น

ดังนั้นหากโรงพยาบาลแห่งนี้มี Firewall NG อยู่แล้ว และระบบเครือข่ายที่ไม่ซับซ้อนมาก (แยกเป็นหลายๆ วง VLAN) ก็ไม่จำเป็นที่ต้องมี NIDS/IPS ก็ได้ ยกเว้นแต่ว่า ขา interface ของ Firewall NG ไม่พอและไม่สามารถ Monitor บางจุดได้ จำเป็นต้องมี NIDS/IPS มาช่วยเสริมให้การมองเห็นได้ครอบคลุมขึ้น

++++++++++++++++++++++++++++++++++++++++++

Server ตัวนี้เป็น Server ที่มีด้านหนึ่งติดต่อกับอินเทอร์เน็ตได้รับค่าไอพีสาธารณะ (Public IP) มาด้วย อีกด้านหนึ่งติดต่อในวง LAN
ทีมงานที่ดูแลส่วนนี้มีด้วยกัน 3 คน  คือ
พี่องอาจ ดูแลด้านระบบเครือข่าย  และ Log file ตาม พรบ.คอมพิวเตอร์ฯ เป็นคนที่เปิดดู Log Management ได้ อีกทั้งเป็นคนเขียนนโยบายด้านความปลอดภัยด้าน
ข้อมูลสารสนเทศให้กับโรงพยาบาลอีกด้วย รู้สึกว่าจะทำกันไปเมื่อ 2 ปีก่อนโดยจ้างบริษัทข้างนอกมาช่วยกันเขียน จนสำเร็จและประกาศใช้ก่อนผมมาทำงานที่นี้
วิชัย ดูแลเรื่องการ access internet  ภายในองค์กร โดยเฉพาะเรื่อง account ทั้งหมด
ไม่ว่าเป็น e-mail , การเข้าถึงระบบ wifi และทุกอย่างที่เกี่ยวข้องกับการ Authentication (การระบุตัวตนผู้ใช้งานอินเทอร์เน็ตในองค์กร)
และผม อนันต์เด็กใหม่ที่นี้ที่ดูแลด้านระบบรักษาความปลอดภัยข้อมูล Server สำคัญของโรงพยาบาล ปัจจุบันผมดูแล 10 ตัว กำลังงาม
มีทั้งส่วนที่อยู่ใน DMZ และในระบบเครือข่ายภายใน (Internal) ทั้งนี้รวมถึง Server development ของทีมงานศิรินท์ที่มาพัฒนาซอฟต์แวร์ ERP ด้วย

โรงพยาบาลใช้งานคุ้มครับเรามีด้วยกัน 3 คน แต่ต้องดูระบบเครือข่ายทั้งโรงพยาบาล ประสานกันทำงานได้อย่างดีมาโดยตลอด 4 เดือนที่ผมอยู่ที่นี้ พวกเราทั้ง 3 เป็นพนักงานประจำ
เป็นมนุษย์เงินเดือนเต็มขั้น เงินเดือนไม่มากไม่น้อย พออยู่พอกิน ข้าวแกงที่ทำงานราคา 30 บาท แถมรสชาติอร่อยอีกตังหาก

ส่วนด้านไอที เราแบ่งเป็น 3 ส่วน คือ
– ส่วนที่ดูระบบเครือข่ายเครื่องแม่ข่ายและการเข้าถึงอินเทอร์เน็ต  คือพวกเราทั้ง 3
– ส่วนที่โปรแกรมเมอร์  ที่ดูแลโปรแกรมโรงพยาบาล มีอีก 2 คนที่เป็นพนักงานประจำ ผมรู้จักแค่ชื่อหนุ่ม เป็นรุ่นน้อง พวกนี้มีการจ้าง out source มาช่วยเขียนโปรแกรมในบางโปรแจค
– ส่วนที่เป็นกลุ่มงานสนับสนุน Support  พวก Helpdesk นั้นจ้าง out soruce ทั้งหมด

ตัว Web Server ที่ติดต่อกับโลกภายนอกนี้แหละคนอื่นไม่กล้ายุ่งเนื่องจากรับมรดกมาจากบริษัทที่ติดตั้ง Web Server ไว้แล้วทิ้ง code ที่
แก้ไขแทบไม่ได้เลยมาให้ ยังดี Server ตัวนี้ส่วนใหญ่ใช้ Open Source ที่ คือ Web Server เป็น Apache มี Data Base ในตัวเป็น Mysql
ส่วน OS เป็น Ubuntu 12.04  แต่ code นี้สิ ใช้ php  java  ผมรู้เรื่องโค็ดไม่มากนัก เพราะมีน้องคนหนึ่งเป็นฝั่งโปรแกรมเมอร์ชื่อเล่นหนุ่ม เป็นคนดูโค้คทั้งหมด
รวมทั้งที่เป็น front end ของการเว็บไซต์ประจำโรงพยาบาล ซึ่งน้องหนุ่มเป็นคนทำงานร่วมกับบริษัทที่ได้งานมาพัฒนาเว็บไซต์
ผมมีความรู้ Linux ดีพอควร ผมเริ่มจาก System admin โดยงานแรกผมเป็นผู้ดูแลเครื่องแม่ข่าย (Server) ที่ธนาคารเอกชนแห่งหนึ่ง และผมพึ่งเปลี่ยนงานมาที่นี้ได้สัก 4 เดือน
พึ่งพ้นโปรงาน นะครับ ซึ่งที่ไหนที่ผมดูแลให้ไม่เคยโดนแฮก คือยังไม่เคยโดนน็อคว่ากันง่ายๆ อย่างงี้แหละครับสถิติสวย (หรือว่าไม่รู้ว่าโดนกันแน่)

อันที่จริงแล้ว เว็บไซต์ ก็มีโอกาสถูกแฮกได้ง่าย ถึงแม้จะมีระบบป้องกันที่ดีพอแล้ว อันเนื่องจากช่องโหว่ (bug ใหม่ๆที่เรียกว่า zero day) ยังมีอีกมากที่ผุดขึ้นมาใหม่ๆแทบทุกวัน
เพียงว่าเราจะแจ็ตเพ็ตเจอหรือเปล่า ตรงกับ Server ที่เราดูแลหรือเปล่าเท่านั้น   อนันต์คิดแบบปลอบใจตนเอง ขออย่าให้ถูกแฮก

+++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม
Zero day หรือ เขียน 0day คือ ช่องโหว่ที่ค้นพบโดยที่ยังไม่มีวิธีการรักษาหรือป้องกัน ถือว่าอันตรายมาก ช่วงเกิด 0day คือช่วงที่ยังไม่มียารักษานั้นเอง

+++++++++++++++++++++++++++++++++++++++++++++++++++

ระหว่างที่นำอาหารไปวางที่ชั้นวางจาน  เสียงแววมาว่า “นี้เธอตะกี้เราเข้าเว็บโรงพยาบาล หน้าแรกขอเว็บไซต์โรงพยาบาลเรามันเป็นรูปหัวกระโหลก  แถมมีเสียงเพลงเหมือนเพลง Rock ด้วย”
ผู้หญิงสองคนที่ผมไม่รู้จักชื่อ แต่รู้ว่าคนที่พูดเป็นหน้าห้อง ผู้อำนวยการ (ผอ.) โรงพยาบาล  จากนั้นเสียงนั้นก็บ่นพึ่มพัมต่อแต่ผมไม่ได้ยินเสียแล้ว

เหงื่อผมก็ไหลออกมาโดยไม่รู้ตัว  แล้วรำพึงว่า “เอาแล้วตรู งานเข้าแล้ว”

3G มือถือผมเริ่มทำงานทันทีเปิดบราวเซอร์ในมือถือ แล้วเข้า URL ของโรงพยาบาล  ขึ้นหน้าหัวกระโหลก ชูนิ้วกลาง แถมเป็นภาษาอังกฤษ แปลเป็นไทยว่า “แอดมินหน้าโง่  ไม่ปลอดภัย โดย อะไรก็ไม่รู้ตัวภาษาอังกฤษผสมตัวเลข อ่านยากจริงๆ ”

เพลงบรรเลงกีตาร์ดังขึ้น นี้มันเพลง Thunderstruck ของวง AC/DC แทรกอยู่ในเว็บหน้าแรกของเว็บไซต์โรงพยาบาลด้วย  เพลงดังกล่าวนี้ บังเอิญผมเกิดไม่ทันเพลงนี้หลอกแต่รู้เพราะ ปาเกียวที่พึ่งชกกับฟอร์ยเมื่อวันอาทิตย์ที่ 3  พ.ค.  ที่ผ่านมา สร้างข่าวว่าเป็นคู่มวยนัดหยุดโลก แต่เมื่อชกเสร็จผลออกมาตรงข้ามกับสายตาคนดู  ผมจำได้ว่าปาเกียวใช้เพลงนี้เป็นการเปิดตัวตอนที่เดินขึ้นเวทีมวย (แพ้เลย กั๊กๆ)

เวลา 08:29 แล้ววิ่งเข้าห้องทำงานชนิดที่ไม่แลมองผู้คน
“ไม่คิดว่าจะเกิดกับเรา เกิดขึ้นกับ Server ที่เราดูแล้ว” อนันต์กล่าวเบาๆ

ทันใดนั้นเองก็มีเสียงเรียกดังขึ้น “นี้เธอลืมของ” เหมือนมีเสียงแววมาด้านหลังผม   ศิรินท์พูด  ครั้งแรกที่ผมได้ยินเสียงเธอ  ของนั้นคือกระเป๋าเป้ใส่โน้ตบุ๊ค IBM รุ่นตกพื้นไม่ช้ำ ตัวเครื่องหนักเอาเรื่องจึงทำให้ เป้ของผมแลดูหนัก

“เสียงเธอช่างแอ๋บแป้วเสียจริง แต่ไม่มีเวลาคิดเรื่องนี้แล้ว บัดโถความสุขมันชั่งสั้นเสียจริง” อนันต์ได้แค่รำพึงในใจ

ศิรินท์ ยื่นให้ ด้วยแขนซ้าย ผมยื่นมือรับ  “เธอถนัดซ้ายหรือเปล่าเนี้ย” อนันต์แค่คิด
และแล้วก็วิ่งกลับมาอย่างรวดเร็ว แทนที่จะได้คุยกันนานกว่านี้ อนันต์ตอบว่า “ขอบคุณครับ”

แล้วหันหลังให้วิ่งไปต่อ ยังห่วงเรื่องไลน์ไอดีของเธอ  “เวงกำจริงๆ”  พอถึงห้องทำงาน อนันต์ลงนั่งโต๊ะทำงานอย่างรวดเร็ว พร้อมเปิดคอมพิวเตอร์ตั้งโต๊ะที่นั่งประจำซึ่ง พีซีเครื่องนี้น่าเป็นมรดกตกทอดมาหลายช่วง Admin  เป็น WindowXP ระบบปฏิบัติการที่ทาง Microsoft ทอดทิ้งไปแล้ว

โชคยังดีวันนี้ผมมาห้องนี้ก่อนใคร  วิชัย ยังไม่มา พี่องอาจ มาสายทุกวันอยู่แล้วเพราะต้องไปส่งลูกไปโรงเรียน

เวลาขณะนี้คือ 8:35 นาที
“ผมจะต้อง remote จากเครื่องผมเพื่อเข้าไปปิดเครื่อง Web Server ก่อน” อนันต์คิด

ระหว่างที่รอการบูทเครื่องเจ้าคุณปู่ ไม่นานเสียงโทรศัพท์ที่โต๊ะพี่องอาจ ดังขึ้น   “ตายๆ แน่ตรู”  อนันต์เริ่มทำอะไรไม่ถูก  จะ remote ก็รอเครื่องบูทอยู่  จึงรับสายโทรศัพท์ขึ้น

“สวัสดี มีใครอยู่ไหม ฝ่ายไอทีหรือเปล่า  ช่วยดูเว็บไซต์โรงพยาบาลเราที มันเกิดอะไรขึ้นเหรอ”  เสียงหนักแน่นมากเป็นเสียงที่ผมคุ้นเคยเพราะเป็นคนรับผมเข้าทำงานที่นี้ ผู้ช่วยผู้อำนวยการโรงพยาบาล คุณหมอจารึก  ตำแหน่งทางการของแกเป็นผู้ช่วยก็จริง แต่ด้วยวัยวุฒิและดีกรีเป็นถึงคุณหมอเลยถูกให้มาดูแลด้านไอซีทีด้วยเปรียบเสมือนเป็น CIO (Chief Information Officer)  ทุกอย่างที่เกี่ยวกับการจัดซื้อมาลงที่แกทั้งสิ้น

“สวัสดีครับอาจารย์หมอ”  ผมจะรีบดูให้คร๊าาาบบบ
แก้ไขโดยด่วน พร้อมทั้งให้องอาจ มารายงานผมฟังด้วย ก่อนที่ ผอ. จะรู้เรื่อง
คร๊าาบบบบบ  ผมตอบเสียงยาว   ในขณะเดียวกันที่มือด้านขวารับสายโทรศัพท์ มือด้านซ้ายก็ใส่ password  PC ตั้งโต๊ะขึ้น  กด Enter  แล้วเปิดโปแกรม SSH  เพื่อ remote ไปที่ Web Server สักพัก มือถือผมดังขึ้น พี่องอาจ โทรมา ผมรู้แล้วว่าต้องเป็นเรื่องนี้  เลยยังไม่กดรับเสียทันที
รอ Shell ให้ติดก่อนแล้วกัน แล้วจะโทรกลับ  ผมคิด สักพัก โทรมาอีก แต่ตอนนี้ผมพยายาม Shell ไป Web Server ตัวที่มีปัญหาแล้วเข้าได้ผมสัก shut down ไปก่อน  halt โร๊ด (ภาษาอีสาน ลอยมา ผมเป็นคนขอนแก่นครับ จากอีสานมาทำงานเมืองกรุงฯ)  ไม่นาน เสียงโทรศัพท์มือถือผมดังขึ้นอีกครั้ง ในระหว่างที่ผมรอการติดต่อกลับจาก Web Server “รีโมตนี้ช้าจังโว้ย”  เสียงโทรศัพท์ก็ดังอยู่
ครั้งนี้ผมจึงตัดสินใจรับ  ผมต้องตั้งสติ และพร้อมรับทุกสถานะการณ์ที่เกิดขึ้นต่อไปจากนี้

+++++++++++++++++++++++++++++++++++++++++++
เสริม

คำว่า Shell เป็น”การกระทำ” โดยการใช้โปรแกรมที่ชื่อ SSH เพื่อทำการ Remote ระยะไกล ซึ่งถือได้ว่า เป็นคำที่เรียกติดปากในกลุ่มผู้ดูแลระบบ

คำสั่ง halt  เป็น command หนึ่งบนระบบปฏิบัติการ Linux คือการสั่ง Shutdown เครื่อง

++++++++++++++++++++++++++++++++++++++++++++

ประโยคแรกดังขึ้น “ไอ้นันต์  เอ๊งรีบไปดู Web Server ด่วนเรื่องใหญ่ ผอ. ประเสริฐ โทรมาพี่”
บุคลลิกพี่องอาจ เป็นหนุ่มใหญ่ ผิวขาวร่างอ้วนกลม เชื้อสายจีนแน่นอน ตาชั้นเดียวใส่แว่นค่อนข้างหนา เป็นคนตรงไปตรงมา พูดจาไม่น่าฟังแต่ใจดี และช่วยเหลือน้องๆ

พี่องอาจ กล่าวต่อว่า “เว็บเราโดนแฮกใช่ไหม ?”   เสียงพี่องอาจ กระแทกที่หูผม   สวัสดีครับพี่ ผมมาถึงที่ทำงานแล้ว  ผมกำลัง shell อยู่พี่ ใจเย็นนะครับ

วันนี้ทาง ผอ. มี present  Application บนมือถือของโรงพยาบาลเรา เพื่อใช้บริการประชาชน ให้กับ ท่านรัฐมนตรี สาธารณะสุข ช่วงบ่ายวันนี้แหละ ซึ่ง Application นี้มัน Run อยู่บน Web Server นี้แหละ
พี่องอาจ  เสียงดังกล่าว

“พี่ครับ ผมรอพี่อยู่ เพราะ log file พี่ถืออยู่อ่ะ ผมจะช่วยดูว่าเกิดไรขึ้น”  อนันต์เริ่มแถ ใช้มุขเก่าเรื่อง Log เป็นข้ออ้างไปก่อน

“ถึงผมจะมีความรู้ด้านการดู log หรือ ศัพท์ทางการเรียกว่า “Computer Forensic” อยู่ไม่มากเทียบก็หางอึ่งอยู่มิใช่มืออาชีพ แต่ผมก็เคยดู Log ของเครื่อง Server ของงานธนาคารมาแล้วนะ สมัยที่มีการ Fraud” กัน อนันต์รำพึงอีกครั้ง

++++++++++++++++++++++++++++++++++++++++++++
เสริม
Computer Forensic : คือศาสตร์ในการแกะร่องรอยการกระทำความผิดอันเกิดจากการใช้งานอุปกรณ์สื่อสารและคอมพิวเตอร์เป็นเครื่องมือในการกระทำ ซึ่งในที่นี้จะเหมารวมกันก็ได้ว่าเป็นทั้งการแกะร่องรอยทางระบบเครือข่าย Network Forensic เบื้องต้นจะเป็นการดู Log file เทียบกับเวลา Log จาก Centralization log เป็นหลัก และ Computer Forensic เป็นพิสูจน์หาหลักฐานหากได้เครื่องคอมพิวเตอร์ที่สงสัยว่าเป็นเครื่องก่อเหตุมาทำการยืนยันและเป็นหลักฐานในชั้นศาลต่อไป

+++++++++++++++++++++++++++++++++++++++++++++++++++++

“วันนี้พี่ต้องพาลูกไปโรงเรียน เป็นวันปฐมนิเทศลูกชายพี่หว่า” รถโครตติดเลย สงสัยว่าอาจถึงที่ทำงานเกือบ 10 โมงเป็นอย่างเร็ว  เอ๊ง ก็ไปเปลี่ยนหน้าเว็บกลับมาแบบเดิมก่อน ดูที่ backup server restore กลับมาสิ ไอ้นันต์”  พี่องอาจเริ่มกิ้ว

shell ได้แล้ว แต่ login ใน user เดิมที่เคยเข้าไม่ได้ ลองแล้วมันบอกว่า ไม่มี username นี้ในระบบ.มันเฮง—.ปู๊ดๆ–censor .. เอ่ย : อนันต์เซ็ง

“เออ พี่ครับ ผม shell ได้แต่ login ไม่ได้ครับ ผมว่าผมโดนเข้าให้แล้ว”  ผมตอบเสียงสั่น ผมหน้าตาเริ่มซีด

เอ๊งรีบไปปิดเครื่องเลย  เข้าห้อง server แล้วไป กดปุ่ม power ไปก่อน  พี่องอาจ กล่าว

อนันต์ วิ่ง 4 x 100  ด้วยความเร็ว 2Gbps  เข้าห้อง Server  ปล่อยให้เสียงตะคล๊อกของพี่องอาจ ดังอยู่ไกลๆ  web server ตัวนี้มันตัวไหน หว่า  ชิบหาย Label ก็ไม่มีเขียน  มันน่าจะอยู่ใต้ Firewall หรือเปล่านะ
ล่าสุดผมเข้าห้องนี้ก็เมื่อ 3 เดือนก่อนที่บริษัทดูแลด้านระบบเครือข่ายส่งมอบตัวอุปกรณ์ Firewall
เลยวิ่งกลับมาถามเพื่อความมั่นใจ

“พี่ครับมันเครื่องไหนครับ” อ้าวพี่องอาจวางหูไปเสียแล้ว  

ผมเริ่มกุมขมับ  เสียงเปิดประตูมา  วิชัยเดินเข้ามาในห้อง

“วิชัย นายรู้ป่ะว่าเครื่อง Web server เครื่องไหน” อนันต์ถามเสียงดัง

วิชัย ถึงแม้อายุใกล้เคียงกับผม แต่เขาอยู่มานานกว่าใครเพื่อน เห็นว่าเป็นลูกคุณหมอในโรงพยาบาลนี้ ให้มาทำงานที่นี้ตั้งแต่ 5 ปีก่อน อาจกล่าวได้ว่ามาพร้อมๆ กับพี่องอาจ แต่ด้วยความอาวุโส
ยังไม่มาก   และได้รับภาระกิจสำคัญคือดูระบบ account หรือ user ทั้งโรงพยาบาล เขาเป็นคนคุมรหัสผ่านของทุกคนในโรงพยาบาล ….

เครื่องที่ห้านับจากล่างขึ้นบน  ตู้ซ้ายสุด    ตู้ Rack 1 ใส่ได้ 42U
วิชัย ตอบอย่างรวดเร็ว พร้อมคำถาม  เกิดอะไรขึ้นเหรอ ?
ผมยังไม่ตอบวิชัย วิ่ง 4×100 เข้าห้อง Server แล้ว กดปุ่ม power  เพื่อปิดเครื่อง Server แล้ววิ่งกลับมาที่หน้าเครื่อง PC ตั้งโต๊ะ พร้อมเปิดบราวเซอร์เพื่อดูผลลัพธ์

ขอบคุณวิชัย เราหยุดการแสดงผลเว็บไซต์ได้แล้ว

วิชัยเริ่มทำสีหน้าสงสัย พร้อมกับถามต่อว่า ” เกิดอะไรขึ้น ? “

“ผมก็ไม่รู้มันเกิดจากกอะไร ผมได้รับข้อความแจ้งเตือนจาก NIDS ว่ามีการบุกรุกโดยการ login ผ่าน services SSH port 22 และพบการผิดพลาด 3 ครั้ง  จากนั้นช่วงเช้าเที่ผ่านมาเข้าเว็บไซต์โรงพยาบาลพบว่ามี Defacement” อนันต์กล่าว

+++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม 
SSH  ย่อมาจาก Secure Shell  เป็นโปรแกรมชนิดหนึ่ง ลักษณะเป็นการ Remote ระยะไกลผ่านเครือข่ายอินเทอร์เน็ต ใช้ Port Services 22 เป็นการติดต่อแบบ TCP เป็นโปรแกรมยอดฮิตสำหรับผู้ดูแลระบบ
และมักถูกการโจมตีที่เรียกว่า “Brute Force” ได้ง่ายโดยที่ตั้ง Server ที่มีค่า Public IP Address

Brute Force คือชนิดการโจมตีประเภทหนึ่งเป็นวิธีการสุ่มเดารหัสผ่านโดยมักจะเกิดกับหน้าเพจที่มีการต้องใส่ค่า Login และระบบ Remote ระยะไกลไม่ว่าเป็น Telnet , SSH , VNC , Remote Desktop เป็นต้น

Defacement คือวิธีการแสดงตัวตนของแฮกเกอร์วิธีหนึ่ง โดยจะอาศัยเว็บไซต์ที่มีช่องโหว่แล้วเข้าไปทำการเปลี่ยนหน้าเว็บเพจ เพื่อแสดงเจตนารมณ์  หรือประกาศว่ามีความเสี่ยง โดยแฮกเกอร์ที่มีมารยาทจะไม่พยายามเปลี่ยนหน้าเว็บเพจในหน้าหลัก โดยส่วนใหญ่การแฮกพวกนี้เป็น ออโต้สคิปต์ (Automatic script) ซึ่งไม่ได้หมายความว่าแฮกเกอร์รู้จักหน่วยงานที่จะแฮกนั้น จึงแฮกแต่ที่ไหนมีช่องโหว่ตรงกับสคิปต์ที่เขียนไว้อาจจะโดนแฮกได้เสมอ

+++++++++++++++++++++++++++++++++++++++++++++++++++

“แล้วเราจะทำอย่างไงต่อ” วิชัยถามต่อ

“ผมไม่รู้เหมือนกัน ต้องรอพี่องอาจมาก่อนครับ เพราะ log อยู่ที่แก” อนันต์ตอบ (อ้างต่อเนื่อง)

สักพักมีเสียงโทรศัพท์เข้ามือถือ พี่องอาจ  โทรมา

“นันต์เอ่ย พี่จะไปถึงเร็วๆนี้  พี่ให้แม่ไปนั่งฟังแทนแล้ว ต้องมาช่วยพวกเราก่อน ตอนนี้พี่ติดอยู่ถนนแจ้งวัฒนะ  จะเลี้ยวขึ้นทางด่วนแล้ว บังเอิญพี่นึกได้แถวนี้ พี่รู้จักเพื่อนคนหนึ่ง ไม่คุยกันกว่า 8 ปีแล้ว  เขาทำงานด้านนี้โดยตรง เผื่อจะช่วยแก้ไขสถานการณ์ได้บ้าง ” พี่องอาจกล่าว

“ใครอ่าพี่ จะมีใครช่วยเราได้นอกจากเราจะช่วยตัวเราเอง  พี่ไม่มั่นใจผมหรือไง” อนันต์พูด

“แล้วเอ๊งจะทำไง ล่าสุดพี่เข้าเว็บไซต์ไม่ได้แล้ว เอ๊งบอกพี่มาสิ ว่าจะทำไงต่อ” พี่องอาจพูดโต้ตอบในโทรศัพท์

ถามเหมือนวิชัยเลย “จะทำไงต่อ”

ต้องรอพี่ครับ พี่คนเดียวเข้าไปดู Centralized logging ได้

++++++++++++++++++++++++++++++++++++++
เสริม
Centralized Log คือ การรวม log จากอุปกรณ์ระบบเครือข่าย เครื่องแม่ข่าย (Server) ที่สำคัญ ส่งค่า log  ซึ่งจะทำการส่งผ่าน Protocol syslog  ที่เป็นการติดต่อสื่อสารชนิด UDP และใช้ Port Services คือ 514 โดยทำการส่งค่า syslog เข้าไปเก็บไว้ที่ส่วนกลางเครื่องศูนย์กลางที่เดียว เพื่อเป็นการเก็บบันทึกเหตุการณ์ และตาม พรบ คอมพิวเตอร์ที่กฎหมายกำหนด

โดยแบบพื้นฐาน คือเก็บอย่างเดียวเป็น raw log  ไม่มีการวิเคราะห์
และแบบที่เก็บด้วยพร้อมทั้งสามารถวิเคราะห์ได้ โดยอาจจะใช้เทคโนโลยีเสริม อันได้แก่  SIEM (Secure Information Management) มาช่วยอ่านเพื่อคัดกรองว่าเหตุการณ์ใดเป็นมีความเสี่ยง ระบุได้ว่ามีความเสี่ยงระดับสูง กลาง ต่ำจากเหตุการณ์ใดได้บ้าง ซึ่งราคา SIEM  ค่อนข้างสูง ในเมืองไทยจะมีใช้สำหรับหน่วยงานใหญ่ขึ้นไป ส่วนหน่วยงานขนาดเล็ก และขนาดกลางมีวิธีการอื่นที่ช่วยทดแทน SIEM ได้โดยใช้ NIDS มาช่วยทดแทนได้ระดับหนึ่งเพียงแค่เป็นการดูข้อมูลผ่านทางระบบเครือข่ายเท่านั้นมิได้ออกมาจาก log โดยตรงจากเครื่อง สำหรับเครือข่ายที่ไม่ซับซ้อน และไม่มีเครื่องแม่ข่าย (Server) ที่สำคัญ และบุคคลากร และ Process ยังไม่พร้อมนัก จะใช้วิธีนี้สะดวกทั้งงบประมาณและการติดตั้งมากที่สุด

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

“อะไรก็ Log เอ๊งจะดู Log ทำแป๊ะ อะไรตอนนี้ต้องทำให้เครื่องเปิดได้ก่อน ท่านรัฐมนตรีจะดู App อ้ายนี้” องอาจกล่าว

“ผมยังไม่รู้จะเปิดด้วยวิธีไหนนะพี่ บัดโถ (เรื่องขึ้นเสียง) ” อนันต์ตอบ

“ก็พี่บอก ธีรานนท์ เพื่อนพี่ ขับรถตามแล้ว”  องอาจกล่าว

ขณะนั้นเป็นเวลา 9:25 นาที

ที่สำนักงานบริษัท Ghostnet Buster Team จำกัด  หรือใช้ตัวย่อว่า “GBT” ที่ตึก ณ บางกอก เป็นอาคารเช่าสำนักงานรวม  พื้นที่บริษัทนี้เช่าอยู่ราวกับแมวนอน  ขนาด 15 ตารางเมตร  ค่าเช่าเดือนละหมี่น ตั้งโต๊ะนั่งได้เต็มที่ 3 โต๊ะพร้อมเก้าอี้ เป็นห้องริมสุดในชั้น 7 มีหน้าต่างซ้ายมือที่มองเห็นถนนแจ้งวัฒนะ ด้านขวามือมองเห็นสวน แอร์เย็นฉ่ำ มีโต๊ะทำงาน 3  ตัว วางเป็นตัว L มีเครื่อง Fax , กาต้มน้ำ , โทรศัพท์ และ เร้าเตอร์ 1 เครื่อง โน้ตบุ๊คอีก 2 เครื่อง ตู้เย็นขนาดเล็กหนึ่งประตู โดยบนตู้เย็นมีบะหมี่สำเร็จรูป 2 โหล

สายโทรศัพท์สำนักงานดังขึ้น  เวลา 9:10 นาที

“สวัสดีครับ  ขอสาย ธีรานนท์หน่อย”

พี่นนท์ เข้าห้องน้ำอยู่  ไม่ทราบว่าเรื่องอะไรให้เราช่วยเหลือค่ะ”

หลังจากสนทนาเสร็จ วางสาย
ทันใดนั้นเอง ธีรานนท์เดินเข้ามาในห้องทำงาน

“พี่นนท์ค่ะ  เดือนนี้เราจะรอดตายแล้วพี่  มีงานเข้ามาแล้ว”   จุฑามาส พูด
จุฑามาศ เป็นพนักงานบัญชี ทำงานที่บริษัท Ghostnet Buster ตั้งแต่เปิดบริษัทแรก
ส่วนใหญ่จะเรียกชื่อสั้นๆ ว่า “นนท์”

“Ghostnet Buster Team  (GBT) เปิดทำการวันที่ 14 กุมภาพันธ์ 2556 มีอายุบริษัทเพียง 2 ปี แต่เป็นที่รู้จักกันในกลุ่มคนวงการว่าธีรานนท์คนนี้มีประสบการณ์พอตัวในงานด้านนี้ เน้นทำงานด้านการ Incident Response และการ Forensic เป็นแบบบริการหลัก และเสริมด้วยการรับทำ Penetration test ทั่วราชอาณาจักร ซึ่งเมื่อก่อนถือได้ว่าการทำ Pen-test เป็นงานหลักของเขา และยังเป็นอาจารย์สอน Penetration test ในยุคที่แทบไม่มีคนไทยทำงานประเภทนี้เลย 15 ปีย้อนหลัง
แต่ด้วยตลาดตอนนี้มีการแข่งขันกันสูงแกเลยหันไปทำในเรื่องที่คนอื่นไม่ค่อยทำกันได้  หรือต้องใช้ Know how สูงขึ้นไปอีกถึงจะรับทำงานประเภทนี้ได้

++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม
Penetration Test หรือเรียกย่อได้ว่า Pen-test  คือการทดสอบเจาะระบบ ซึ่งรายละเอียดเคยเขียนไว้ที่ http://nontawattalk.blogspot.com/2009/10/penetration-test-1.html

++++++++++++++++++++++++++++++++++++++++++++++++++

พนักงานที่นี้มี  4 คน คือ ธีรานนท์  เกียรติศักดิ์(ชื่อเล่น ต้อม ทำงานแบบออนไลน์สำคัญจริงๆจึงมา อยู่เกาะสมุย ไม่รับเงินเดือนรับเป็นงานๆไป)   อนุทิน (อ๊อด) ช่างเทคนิคและเป็นโปรแกรมเมอร์อีกด้วย อ๊อดชอบรับจ๊อบนอกมีเวลาไม่เต็มที่กับบริษัทนี้นักแต่ถึงอย่างไรอ๊อดก็ยังร่วมงานกับพี่นนท์อยู่  เหมือนมีงานอยู่ตลอดสำหรับอ๊อดแต่ไม่เคยเก็บเงินได้เลย และดิฉันจุฑามาส พนักงานบัญชีดูการเงิน ทำงานประชาสัมพันธ์ รับสายโทรศัพท์และการตลาดหาลูกค้าทำคู่กันเลย อะเมซิ่งออร์อินวัน อิอิ”

ปกติบริษัทนี้เปิดมานั้นแทบไม่มีงานเข้าอยู่แล้ว รายได้แบบเดือนชนเดือน แต่ธีรานนท์ ยังยืนหยัดทำต่อ  ด้วยงานที่เขารัก

ธีรานนท์ถาม  “แล้วงานที่ไหน?”
โรงพยาบาลสยามเฮลฮอสพิทอล (Siam Health Hospital)
“เขาให้เราไปถึงที่นั้นเร็วยิ่งดี ค่ะ แล้วให้พี่โทรไปคุยรายละเอียดเขาด้วย เบอร์ตามนี้”
จุฑามาส ยื่นกระดาษพร้อมเบอร์โทรศัพท์ให้

ธีรานนท์ ดูกระดาษ  “รายมือจุฑามาส องอาจ ใจสะอาด Web Server เราถูกแฮก ….”

เพื่อนเรานี้หว่า ขณะนั้นแล้วเงยหน้ามองออกไปที่หน้าต่าง ชั้น 7 ที่ทำงานรังหนู มองลงไปที่ ถนนแจ้งวัฒนะ รถเริ่มคลี่คลาย …

“ผมจะไปตามที่นัด คุณประสานงานอ๊อด ให้เอาเครื่องมือ Network Forensic และตัวสำเนาฮาร์ดดิสความเร็วสูง ไปด้วยนะ”  ธีรานนท์กล่าว

10:58 น. ในที่สุดธีรานนท์ ก็มาถึงโรงพยาบาล  แปลกใจมากเลยที่ อ๊อดมาถึงก่อน

ธีรานนท์ ไม่รอช้า ทำการต่อสายโทรศัพท์ไปหาองอาจ

“สวัสดีครับ ผมธีรานนท์ เมื่อเช้าคุณโทรมาหาเราที่ GBT”  ธีรานนท์พูดขึ้น
“สวัสดีครับผมองอาจเอง ผมต้องการให้คุณมาที่ห้อง 304A  ชั้น 3 อาคาร A นะผมและทีมงานรออยู่ที่นั้น” องอาจกล่าว

เฮ้ อ๊อดเอาของมาด้วยป่ะ  “ไม่พลาดอยู่แล้วพี่” ทำไมนายมาถึงเร็วจัง
“คืนก่อนผมมาค้างที่อาคารตรงข้ามนี้ ซอยเล็กๆนั้น นี้เอง ฝนมันตกหนักนี้พี่” อ๊อดพูด เมื่อเหลือบไปดูแล้ว เป็นเหมือนโรงแรมม่านรูดขนาด ตีสัก 3 ดาวก็แทบเต็มกลืน แต่ก็ไม่ได้พูดอะไรต่อ
เออ แล้วอุปกรณ์ของพวกนี้อยู่กับนายได้ไง อ๊อด   ผมเอาไว้ติดตัวพอดีครับในท้ายรถผมนี้ แหะๆ อ๊อดกล่าวแบบละมุนละม่อม

เราทั้งคู่เดินไปที่อาคาร A พร้อมขึ้นลิฟต์ไปยังชั้น 3  เมื่อถึงแล้ว ด้านหน้าห้องเขียนว่า ศูนย์คอมพิวเตอร์

พวกเรา (นนท์ และ อ๊อด) เดินเข้าไปในห้อง เหมือนห้องนี้แบ่งเป็น 3 ส่วน คือส่วนด้านหน้าเป็นที่ทำงาน  ด้านหลังเหมือนมีโปรแกรมเมอร์ ผู้หญิง 1 คน และแลดูเหมือนผู้หญิง 1 คน กำลังนั่งพิมพ์อะไรอยู่ตลอด
ส่วนด้านข้างเป็นห้อง IDC (Internet Data Center) เราเข้าไปในห้องข้างหน้า พบว่า มีชาย 3 คน
นั่งประจำที่โต๊ะใครโต๊ะมันอยู่ หน้าตาเคร่งเคลียด  ทุกห้องมีกล้องวงจรปิดติดที่มุมเพดานอย่างละตัว

สักพักได้ยินเสียง “เอ๊า คุณนนท์ เข้ามาเลย”  เจ้าของเสียงคือ องอาจ   “นันต์เอ่ย เอ๊งไปเอา กล่อง Server มาเรียงด้าน ข้างโต๊ะเอ๊ง 4 กล่องนี้”

ที่นี้ดูเหมือนโรงพยาบาลชั้นนำก็จริงนะครับ  แต่ธุรกิจของเราคือโรงพยาบาล ด้านไอทีเป็นเพียงด้านหลังฉากของความสำเร็จของโรงพยาบาล ห้องทำงานเราเลยไม่ใหญ่โตครับ  ขอโทษทีนะครับที่คับแคบหน่อย
อนันต์เอากล่อง Server  มาวางเรียง 4 กล่องเสร็จแล้ว  เอ๊าพวกเรามานั่งคุยกันตรงนี้  ธีรานนท์  อ๊อด   องอาจ  อนันต์  และวิชัย

“นันต์ และวิชัย สละเก๋าอี๋ให้พี่เขาด้วยนะ”  องอาจพูด
ทุกคนมานั่งสุ่มหัวกันโดยใช้กล่อง Server เป็นที่ประชุม ส่วนวิชัยนั่งหย่องๆ โดยไม่เก้าอี้ และอนันต์
“อ้าวเอ๊งไปยืนพิงเสา ข้างถังขยะทำไม” องอาจพูดถึงอนันต์
“ก็กางเกงผมมันฟิตครับพี่นั่งหย่องๆ เหมือนวิชัยไม่ได้ มันขาดเอ๋านะครับ” อนันต์ตอบ

“โทษทีนะครับ น้ำชา กาแฟ ไม่ต้องนะครับ ถ้าต้องการให้บอกนะ ผมขอเริ่มเลย”
“เรามีเวลาไม่นาน 13:30 โดยประมาณ Web Server เราต้องใช้งานได้ ซึ่งนับจากนี้เรามีเวลาไม่เกิน 2 ชั่วโมงในการกู้ระบบ” องอาจกล่าวด้วยน้ำเสียงชัดเจน

———————– ติดตามตอนต่อไป —————————

แนะนำตัวละคร
1. อนันต์ ผู้ดูแลระบบรักษาความมั่นคงปลอดภัยของเครื่องแม่ข่ายประจำโรงพยาบาล  ตัวเอกของเรื่องในตอนนี้
2. ศิรินท์  ชื่อเล่นริน นักพัฒนาโปรแกรม ERP เป็น Out source จากบริษัทพัฒนาโปรแกรม และมีทีมงานด้วยกัน 2 คนที่มานั่งเขียนโปรแกรมซึ่งในขณะนี้ยังไม่ได้กล่าวถึง
3. พี่องอาจ ดูแลด้านระบบเครือข่าย  และ Log file ตาม พรบ.คอมพิวเตอร์ฯ เป็นคนที่เปิดดู Log Management ได้ เป็นคนที่อยู่ในโรงพยาบาลนี้มานาน อายุราว 39 ปี
4. วิชัย ดูแลเรื่องการ access internet  ภายในองค์กร โดยเฉพาะเรื่อง account ทั้งหมด อายุราว 28 ปี เป็นคนเงียบคุยเฉพาะสิ่งจำเป็น คุณพ่อของวิชัยเป็นหมอที่มีบารีมากในโรงพยาบาลแห่งนี้ เป็นกลุ่มก่อตั้งโรงพยาบาลนี้ขึ้น วิชัยเปรียบได้ว่าเป็นเด็กเส้นที่ไม่ค่อยมีใครอยากมีเรื่องด้วย
5. หนุ่ม ชื่อจริงชื่อ ราเชน เป็นโปรแกรมเมอร์ ผู้เขียนโค้ดพัฒนาเว็บไซต์ ร่วมกับบริษัทเอกชนที่ได้รับงานในขณะนี้ยังไม่ได้กล่าวถึง ดูเหมือนเป็นรุ่นน้้องเพราะหน้าตายังดูเด็กพึ่งจบจากมหาวิทยาลัยผิวขาวผอมสูงใส่แว่น
6. คุณหมอจารึก ผู้ช่วยผู้อำนวยการโรงพยาบาล ถือได้ว่าเป็นผู้ดูแลสายงานด้านไอซีที ทั้งหมดของโรงพยาบาล
7. คุณหมอประเสริฐ ผู้อำนวยการโรงพบาบาล
8. ผู้หญิงไม่รู้จักชื่อ ทำงานหน้าห้องผู้อำนวยการโรงพยาบาล
9. จุฑามาส อยู่บริษัท Ghostnet Buster Team ทำงานเอนกประสงค์ บัญชี การตลาด ประชาสัมพันธ์ เงินเดือนได้ทุกเดือนแบบเชียดชิ่ว มีความซื่อสัตย์ มีความอดทนไม่เลือกงานแม้ว่าจะอยู่ในที่ทำงานที่ไร้ซึ่งความมั่นคง
10. ธีรานนท์ ผู้ก่อตั้งบริษัท Ghostnet Buster Team อดีตพนักงานธนาคารเอกชนที่ทันสมัยที่สุดในประเทศไทย และอดีตที่ปรึกษาตำรวจไซเบอร์ ถึงแม้เบื้องหน้าแทบไม่มีใครรู้จักเขาเลย ชนิด low profile และก็ low profit อีกด้วย แต่เบื้องหลังโดยเฉพาะกลุ่มคนที่ทำงานด้านนี้อย่างแท้จริงเป็นที่รู้จักอยู่พอสมควร และเขามีเครือข่ายกลุ่มคนที่เป็นแฮกเกอร์ใต้ดินรุ่นเดอะในประเทศไทย มีทีมงานทำงานร่วมกันมาเป็น 10 ปี 2 คน คือ ต้อมและอ๊อด

+++++++++++++++++++++++++++++++++++++++++++++++

สงวนลิขสิทธิ์ SRAN Technology (www.sran.net)

นนทวรรธนะ  สาระมาน
Nontawattana  Saraman

ผู้เขียน
06/05/58

ตอนที่ 2 ที่นี้มีแฮกเกอร์ http://nontawattalk.blogspot.com/2015/05/hacker-here-2.html
ตอนที่ 3 ที่นี้มีแฮกเกอร์ http://nontawattalk.blogspot.com/2015/05/hacker-here-3.html