เอฟบีไอออกเตือนธุรกิจของสหรัฐ ฯ เกี่ยวกับมัลแวร์ที่เป็นอันตราย

เอฟบีไอออกเตือนธุรกิจในสหรัฐ ฯ ว่าแฮกเกอร์ได้ใช้ซอฟท์แวร์มุ่งร้ายเพื่อโจมตีเป้าหมายในสหรัฐ ฯ หลังจากที่มีการโจมตีบริษัท โซนี่ พิคเจอร์ส เอ็นเตอร์เทนเม้นต์ ทางอินเทอร์เน็ตเมื่อสัปดาห์ที่ผ่านมา
คำเตือนจากเอฟบีไอจำนวน 5 หน้า ได้ส่งให้กับบริษัทต่าง ๆ เมื่อวันจันทร์ที่ผ่านมา ให้รายละเอียดทางเทคนิคเกี่ยวกับซอฟท์แวร์มุ่งร้ายที่ใช้ในการโจมตี แต่ไม่ได้ระบุถึงชื่อของเหยื่อที่ถูกโจมตี
โฆษกของเอฟบีปฏิเสธให้ความเห็น เมื่อมีผู้ถามว่าซอฟท์แวร์ตัวนี้ถูกใช้เพื่อโจมตีบริษัทหนึ่งในเครีอข่ายของโซนี่ ที่ตั้งอยู่ในแคลิฟอร์เนียหรือไม่
เจ้าหน้าที่รายหนึ่งของเอฟบีไอบอกกับนักข่าวว่า คำแนะนำนั้นให้ข้อมูลข่าวสารที่เกี่ยวของกับการโจมตีบริษัทโซนี่ รวมถึงโค้ดภาษาคอมพิวเตอร์จำนวนหลายหน้า แต่ไม่เกี่ยวกับการโจมตีของมัลแวร์ชนิดใหม่
เจ้าหน้าที่หลายรายบอกว่าพวกเขากำลังวิเคราะห์การโจมตีบริษัทของโซนี่ ซึ่งทำให้เกิดความเสียหายร้ายแรงกับฐานข้อมูลของบริษัท
การโจมตีโซนี่ ทำให้ภาพยนตร์ของบริษัทจำนวนห้าเรื่องถูกเผยแพร่ผ่านทางออนไลน์ รวมถึงหนังเรื่อง “Annie” ที่ปรับปรุงแล้ว การโจมตีที่เกิดขึ้นเมื่อวันที่ 24 พฤศจิกายนที่ผ่านมา และปรากฏเป็นรูปของโครงกระดูก ในคอมพิวเตอร์ของบริษัท และข้อความที่เขียนไว้ว่า “Hacked by #GOP” ซึ่งเป็นกลุ่มที่อยู่เบื้องหลังการโจมตีที่ใช้ชื่อว่า “Guardians of Peace”
hacked%2Bby%2Bgop.jpg
ข้อความนี้ได้ขู่ที่จะปล่อยข้อมูลความลับของบริษัท ทางผู้สืบสวนกำลังหาความเชื่อมโยงกับภาพยนตร์เรื่อง “The Interview” และเกาหลีเหนือ ว่ามีความเกี่ยวข้องกันหรือไม่
เอฟบีไอได้ส่งคำเตือนเร่งด่วนให้กับบริษัทต่าง ๆ เป็นครั้งคราว เพื่อบอกรายละเอียดเกี่ยวกับภัยคุกคามทางอินเทอร์เน็ตที่กำลังเกิดขึ้นใหม่ เพื่อช่วยบริษัทต่าง ๆ ให้สามารถป้องกันการโจมตีแบบใหม่ได้ แต่จะไม่ระบุถึงชื่อของเหยื่อที่ถูกโจมตีในรายงานเหล่านี้
ในรายงานกล่าวไว้ว่า มัลแวร์ได้ทำลายข้อมูลในฮาร์ดไดรฟ์คอมพิวเตอร์ ทำให้มันไม่สามารถทำงานได้ และปิดการเข้าถึงเครือข่าย
จากรายงานที่แจกจ่ายให้กับผู้ทำงานด้านการรักษาความปลอดภัยในบริษัทต่าง ๆ ระบุว่าเป็นเรื่องที่ยากในการกู้คืนฮาร์ดไดรฟ์ ที่ถูกโจมตีด้วยมัลแวร์นี้
การวิเคราะห์มัลแวร์
มัลแวร์นี้ถูกใช้เพื่อโจมตีบริษัทของโซนี่ เป็นมัลแวร์ที่มีอันตรายตัวเดียวกับที่เอฟบีไอได้เตือนไว้ บริษัทด้านแอนตี้ไวรัสของญี่ปุ่น Trend Micro ได้วิเคราะห์การทำงานของมัลแวร์นี้ว่า หน้าที่หลักของมัลแวร์นี้คือการเก็บรวบรวมชื่อผู้ใช้ และรหัสผ่านที่เก็บใน network drive ที่มีการแชร์ในเครือข่าย
หลังจากผู้ใช้ในเครื่องได้ลบไฟล์มัลแวร์นี้ และไฟล์ที่เชื่อมโยงกับ network drive และหยุดการทำงานของ Microsoft Exchange Information Store service จากนั้นมัลแวร์จะหยุดทำงานไปสองชั่วโมง จากนั้นจึงรีสตาร์ทระบบ อีกส่วนหนึ่งของมัลแวร์จะใส่ไฟล์ bmp ในคอมพิวเตอร์ แสดงข้อความว่า “Hacked by #GOP” ซึ่งเป็นภาพเดียวกับที่ปรากฏในคอมพิวเตอร์ของโซนี่ ดังนั้น Trend Micro จึงเสนอว่ามัลแวร์นี้ถูกใช้เพื่อโจมตีโซนี่
ต่อไปนี้เป็นรายงานวิเคราะห์อย่างละเอียดของมัลแวร์นี้
ข้อมูลอ้างอิง

อินเทอร์เน็ตสะอาดไปกับ D’ Family

“ชีวิตที่ทำเพื่อคนอื่น นั้นคือคุณค่าต่อการมีชีวิต”

 จุดเริ่มต้นของเรื่องนี้มันเกิดขึ้นจาก การก่อตัวประจุไฟฟ้าและคลื่นแม่เหล็กจากอากาศส่งเป็นสัญญาณทางข้อมูลที่ใช้ ความเร็วเท่าแสงวิ่งผ่านสายเคเบิลใต้น้ำและส่งตรงเข้าสู่ภาคพื้นดินผ่านเข้า สู่ระบบเครือข่ายคอมพิวเตอร์ เพื่อส่งสารข้อความไปยัง คนที่อยู่ห่างไกลกัน เป็นระยะทางที่ห่างกันเป็นทวีปได้สามารถเห็นหน้าตากัน ได้พูดคุยกันผ่านจอสี่เหลี่ยมที่อยู่ตรงหน้าเรา เพียงเสี้ยววินาทีก็ทำให้เกิดการเปลี่ยนแปลง การเปลี่ยนแปลงนี้เกิดขึ้น และตั้งอยู่ บนยุคดิจิตอลที่มีตัวกลางของการเชื่อมต่อนั้นก็คือ “อินเทอร์เน็ต” ส่งผลให้ชีวิตของเราเข้าต้องเข้าสู่สังคมดิจิตอล (Digital) อย่างเต็มตัวตั้งแต่ตื่นนอนตอนเช้าและยังคงดำเนินอยู่แม้ในยามที่เราหลับไหล และสิ่งนี้เองจึงเป็นจุดเริ่มต้นของการสร้างโครงการนี้ขึ้นมา

เนื่องด้วยข้อมูลข่าวสารในปัจจุบันล้วนมีอิทธิพลต่อชีวิตประจำวันเป็นอัน มาก เรากำลังเข้าสู่ IoT (Internet of Things) บนสภาวะ การขับเคลื่อนด้วยข้อมูลขนาดใหญ่ หรือ Big Data อันเป็นสิ่งที่ต้องเผชิญหน้าทุกครั้งที่อยู่หน้าจอ ซึ่งถือได้ว่าเป็นความท้าทายกับการใช้ชีวิตให้สมดุลและปรับตัวให้เข้ากับ ข้อมูลข่าวสารที่ผ่านเข้าสู่สายตาเรา ทุกที่มีแต่การออนไลน์ขึ้น ไม่ว่าการติดต่อสื่อสาร การทำธุรกิจ การหาข้อมูลต่างๆ ล้วนต้องพึ่งพาการออนไลน์

การเข้าถึงข้อมูลไม่ใช่มีเพียงแต่ผู้ใหญ่ที่เข้าถึงข้อมูลได้อีกต่อไป เด็กอันเป็นเยาวชนของชาติก็เข้าถึงข้อมูลบนอินเทอร์เน็ตได้เช่นกัน การเข้าถึงข้อมูลของเด็ก และ ผู้ใหญ่ ย่อมแตกต่างกันอันเนื่องจากเด็กนั้นยังไม่สามารถแยกแยะถึงข้อมูลที่ได้พบเจอ บนโลกออนไลน์ได้มากกว่าผู้ใหญ่
ดังนั้นหากมีการควบคุมการเข้าถึงข้อมูลอันไม่เหมาะสมและอันเป็นภัย อันตรายต่อเยาวชนของเราย่อมเป็นสิ่งที่ดี ดังนั้นทาง SRAN ทีมได้ระดมเทคนิคที่ได้สะสมมากว่า 10 ปี จัดทำเทคโนโลยีที่คิดว่าเหมาะสม สะดวกในการใช้งาน และเข้าถึงกับคนที่ไม่จำเป็นต้องรู้เทคนิคมากก็สามารถใช้งานได้  “Simple is the Best” สิ่งที่ดีที่สุดคือการกลับคืนสู่สามัญ เพราะทางเราได้เล็งเห็นว่าส่วนนี้เป็นสิ่งสำคัญสำหรับการพัฒนาบุคลากรอันมี ประสิทธิภาพ โดยเริ่มต้นตั้งแต่เยาวชนที่ต้องได้รับการคัดกรองข้อมูลอันไม่เหมาะสมและส่ง เสริมข้อมูลอันมีคุณค่าในการพัฒนาการของเยาชนอันเป็นอนาคตของประเทศ จึงเห็นว่าควรจัดทำโครงการนี้ขึ้น

cropped-Defamily-logo1.jpg

เรามีความตั้งใจทำโครงการนี้ ให้เกิดเป็นรูปธรรมที่สุดเท่าที่จะมีกำลังทำได้ โดยใช้ชื่อโครงการนี้ว่า“D’ Family” หรือ เดอ แฟมมิลี่ จะเป็นตัวช่วยคัดกรองข้อมูลอันไม่พึ่งประสงค์ และสามารถป้องกันภัยอันตรายจากการใช้งานอินเทอร์เน็ตตามบ้านได้เป็นอย่างดี

อีกท้งระบบ Content Filtering ที่ใช้งานกันอยู่ส่วนใหญ่เป็นของต่างประเทศ ดังนั้นฐานข้อมูลที่มีเนื้อหาไม่เหมาะสมจึงถูกคัดกรองที่ภาษาอังกฤษ หากเป็นเนื้อหาภาษาไทย และภาษาในประเทศกลุ่มสมาชิกอาเซียน นั้นซอฟต์แวร์ที่ใช้กันมักจะไม่รู้จักและไม่สามารถคัดกรองเนื้อหาได้ครบตาม พื้นที่ประเทศนั้นจึงควรจัดทำระบบดังกล่าวเองเพื่อความถูกต้องและแม่นยำใน การคัดกรอง จึงเป็นเหตุให้เราต้องมาจัดทำโครงการนี้ขึ้น
“D’ Family : Internet Safety at Home” จึงเกิดขึ้นในช่วงปลายฝนต้นหนาว  ปี 2014

หลักการทำงานของ D’ Family เบื้องต้น

ปกติการใช้งานอินเทอร์เน็ตในครอบครัวบ้านทั่วไปเมื่อไม่มีระบบคัดกรองข้อมูลอันไม่เหมาะสม เด็กเยาวชนผู้ที่ใช้งานร่วมกับผู้ใหญ่ก็อาจประสบพบเจอเนื้อหาอันไม่พึ่งประสงค์ได้ทุกเมื่อในการท่องอินเทอร์เน็ต
befor-home-net-use01
แต่เมื่อมี D’ Family ไว้ในบ้านแล้ว เวลาใช้งานอินเทอร์เน็ตจะทำการป้องกันไม่ให้เด็กเปิดเนื้อหา ข้อมูลอันไม่เหมาะสมจากการใช้งานอินเทอร์เน็ตได้
after-home-net-use01
ด้วยเทคนิคการเชื่อมต่อข้อมูลผ่าน Cloud Services บนเครือข่ายดาต้าเซ็นเตอร์โดยมีระบบคัดกรองข้อมูลอันไม่เหมาะสมเป็นฐานข้อมูลกลางที่ทำให้ความปลอดภัยของครอบครัวที่ใช้ D’Family ได้ใช้งานอินเทอร์เน็ตอย่างปลอดภัยไร้กังวัลในการเข้าถึงข้อมูลอันไม่พึ่งประสงค์ได้
สุดท้ายนี้
เราหวังว่า D’ Family โครงการเล็กๆ นี้จะประโยชน์กับสังคมในยุค Big Data ได้บ้าง
ดังเช่นอัลเบิร์ต ไอน์สไตน์ได้เคยกล่าวว่า “Only a life lived for others is a life worth while.”
ชีวิตที่ทำเพื่อคนอื่น นั้นคือคุณค่าต่อการมีชีวิต
logo_SRAN0556
Nontawattana Saraman

30/10/57

รายละเอียด  http://defamily.sran.net

บทวิเคราะห์ Facebook ล่มในประเทศไทย

ในขณะที่ “Facebook ดับ”ผมนึกว่าเราจะกลายเป็นเหมือนประเทศจีน ที่มีโครงการ “Great China Firewall” เสียอีก แต่นั้นคือเขาทำได้เพราะช่องทางออกอินเทอร์เน็ตที่เชื่อมไปยังต่างประเทศมีไม่กี่ช่อง ทางแต่ปัจจุบันเมืองไทยเรามีช่องทางการออกอินเทอร์เน็ตที่เชื่อม ต่างประเทศ หรือเรียกทางเทคนิคว่า IIG (Internal Internet Gateway) นั้นมีหลายช่องทางและมีแนวโน้มจะเพิ่มขึ้นตามปริมาณการใช้งาน ดังนั้นการที่จะทำการปิดกั้นจากศูนย์กลางที่เดียวแบบ Single Command คงเป็นไปได้ยาก
เนื่องจากผมไม่ได้อยู่ในเหตุการณ์ช่วงที่ Facebook ล่ม ถึงอยู่ในช่วงเวลานั้นก็ไม่กระทบอะไรเพราะตนเองไม่มี account facebook และไม่คิดจะมี account facebook แต่เมื่อหลายคนพูด Talk of the town เลยมานั่งวิเคราะห์ดูว่าสาเหตุที่แท้จริงคืออะไร เผื่อว่าจะเป็นการแชร์ความรู้ให้กับทุกท่านที่ได้ติดตามอ่านบทความของผมอย่างต่อเนื่อง

เมื่อทำการวิเคราะห์สามารถพิจารณาจาก 2 ส่วน  ดังนี้
ส่วน ที่ 1 พิจารณาการเชื่อมต่อข้อมูลบนระบบเครือข่าย (Route Traffic)  ซึ่งในเส้นทางการเชื่อมต่อในส่วนนี้อาจเปลี่ยนแปลงไปเรื่อยๆ ไม่คงทีขึ้นอยู่กับการ config ของฝั่งผู้ให้บริการ ดังนั้นการยกตัวอย่างในบทความนี้อาจไม่เป็นเช่นนั้นเสมอไป

ส่วนที่ 2 พิจารณาการเรียกค่า DNS (Domain Name System)

ส่วนที่ 1 การเชื่อมต่อข้อมูลบนระบบเครือข่าย (Route Traffic)
ซึ่งในส่วนแรกเราจะต้องตั้งต้นที่ Gateway ในขาต่างประเทศ เพื่อวิเคราะห์ว่ามีก Link ใดบ้างทีเชื่อมต่อกับ Facebook จะพบว่า
ASN ในประเทศไทยที่มีขาเชื่อมต่อต่างประเทศ มีดังนี้
1. AS4651 : CAT Telecom
2. AS17565 : ADC (Advance Datanetwork Communications Co.,Ltd. BuddyB service. Bangkok)
3. AS45796 : BB Connect (UIH or DTAC)
4. AS7568 : CSLoxinfo
5. AS45629 : JasTel (3BB)
6. AS45430 : SBN (AIS)
7. AS132876 : Symphony
8. AS58430 : TCCT
9. AS38082 : True Internet
10. AS38040 : TOT

ASN ของ Facebook คือ AS32934 มีค่าไอพี (IPv4) ทั้งหมด 54,272
ซึ่งในนี้จะมีการเชื่อมต่ออยู่จำนวน 152 Link
ที่ ASN ของ Facebook มี Link ไปประเทศสิงค์โปร มีจำนวน 2 Link คือ
– AS7473 : Singapore Telecom
– AS4844 : Super Internet Access PTE

(1) AS7473 : Singapore Telecom มีการเชื่อมต่อในประเทศไทย ดังนี้
1.1 AS38082 : True Internet
1.2 AS4651 : CAT Telecom
1.3 AS7568 : CSLoxinfo
1.4 AS45629 : JasTel
1.5 AS38040 : TOT

(2) AS4844 : Super Internet Access PTE มีการเชื่อมต่อในประเทศไทย ดังนี้
2.1 AS4651 : CAT Telecom
2.2 AS38082 : True Internet
2.3 AS7568 : CSLoxinfo
2.4 AS38040 : TOT
2.5 AS45629 : JasTel
2.6 AS45796 : BBconnect
2.7 AS45430 : SBN-IIG
2.8 AS9587 : DTAC
2.9 AS9931 : CAT Telecom

เพื่อให้เห็นภาพขอทำการทดสอบผ่านผู้ให้บริการอินเทอร์เน็ต ที่ผู้เขียนสามารถจะทำได้ดังนี้
(1) ทำการ Trace route เพื่อค้นหาเส้นทาง ในกรณีที่ใช้เครือข่าย DTAC

ทำการทดสอบวันที่ 28 พค 57 เวลา 16:38  ซึ่งเป็นเกิดเหตุการณ์ Facebook ล่มไปแล้วไม่นาน

จะพบว่าใน hop ที่1 ถึง 13 เป็นการ Routing บนเครือข่ายของ DTAC เอง (เป็น Private IP Address)
จากนั้นใน hop ที่ 14 เริ่มการไปเชื่อมกับ TOT IIG ที่ ไอพี 180.180.248.69
จากนั้นใน hop ที่ 15 มีการเรียกค่าไปที่โดเมน facebook-sg.totiig.net โดย เป็นค่าไอพี 180.180.255.222
และ hop ที่ 16 เป็นการเชื่อมต่อไปที่ ae11.bb02.sin1.tfbnw.net ไอพี 31.13.28.148 ซึ่งเป็นไอพีภายใต้ AS32934
hop 21 และ hop 22 ที่ติดระบบรักษาความปลอดภัยของ Facebook
ใช้ระยะทางเรียกค่า www.facebook.com ทั้งหมด 23 hop

(2) ทำการ Trace route เพื่อค้นหาเส้นทาง ในกรณีที่ใช้เครือข่าย 3BB

ทำ การทดสอบ ที่ AS45629  ช่วงไอพีที่ทำการทดสอบ เวลาทดสอบวันที่ 29 พค 57 เวลา 8:32 ซึ่งเกิดเหตุการณ์ facebook ล่มไปแล้วหลายชั่วโมง และระบบกลับมาปกติแล้ว

เริ่มมีการเชื่อมต่อกับเครือข่ายอื่นที่ hopที่ 7 จะเป็นเครือข่ายอื่น ไอพี 80.77.0.77
AS15412 : Reliance Globalcom Limited จากนั้้น hop ที่ 8 ไปที่ ge-71-1-0.0.ejr03.sin001.flagtel.com ค่าไอพี 62.216.128.9
จาก hop ที่ 7 ถึง 8 จะไปผ่านที่ประเทศอังกฤษ Flag Telecom Global
 และออกไปที่ฮ่องกงใน hop ที่ 10 facebook-10G.hkix.net ไอพี 202.40.161.110 จากนั้นเข้าไปสู่เครือข่ายที่ Facebook
 ใช้ระยะทางเรียกค่า www.facebook.com ทั้งหมด 12 hop

(3) ทำการ Trace route เพื่อค้นหาเส้นทาง ในกรณีที่ใช้เครือข่าย True

ทำการทดสอบในวันที่ 30 พค 57 เวลา 07:43 ทดสอบผ่าน AS132061 Real Move (เป็นช่วงไอพีของ True Internet บนเครือข่ายมือถือ)

จะพบว่ามีการเริ่มออกจากเครือข่าย True ที่ hop 12 SG-ICR-GS1-10GE.trueintergateway.com โดยมีค่าไอพี 113.21.241.162  จากนั้น hop ที่ 13 xe-7-1-1.pr01.sin1.tfbnw.net ค่าไอพี 103.4.96.29 เป็นเครือข่ายของ Facebook AS32934
 ใช้ระยะทางเรียกค่า www.facebook.com ทั้งหมด 15 hop
ซึ่ง True Gateway สามารถมีการเชื่อมต่อไปตรงที่ Facebook ได้

(4) ทำการ Trace route เพื่อค้นหาเส้นทาง ในกรณีที่ใช้เครือข่าย CSLoxinfo

ทดสอบบนเครื่องแม่ข่าย (Server ส่วนตัว) เมื่อวันที่ 30 พค 57 เวลา 9:21 โดยทำการทดสอบบนย่านไอพี AS9891 ผลลัพธ์คือ

จะ พบว่าใน hop ที่ 8 มีการเชื่อมต่อไปยังต่างประเทศ คือ 32934.sgw.equnix.com มีค่าไอพี 202.79.197.65 ซึ่งอยู่ที่ประเทศสิงค์โปร จากนั้นใน hop ที่ 9 ติดต่อไปที่ Facebook
รวมระยะเส้นทางจำนวน 12 hop

หมายเหตุ : ทุกเส้นทางที่แสดงผลในนี้อาจมีการปรับเปลี่ยนได้ตลอดเวลาเนื่องจาก Routing Traffic จะเกิดขึ้นจากผู้ดูแลระบบที่ทำการ Config ค่า

ส่วนที่ 2 การเรียกค่า DNS 
เมื่อทำการ nslookup facebook จะได้ผลลัพธ์ดังนี้

facebook.com    nameserver = a.ns.facebook.com
facebook.com    nameserver = b.ns.facebook.com
facebook.com    text =

        “v=spf1 redirect=_spf.facebook.com”
facebook.com    MX preference = 10, mail exchanger = msgin.t.facebook.com
facebook.com
        primary name server = a.ns.facebook.com
        responsible mail addr = dns.facebook.com
        serial  = 1401416932
        refresh = 7200 (2 hours)
        retry   = 1800 (30 mins)
        expire  = 604800 (7 days)
        default TTL = 120 (2 mins)
facebook.com    internet address = 173.252.110.27
facebook.com    AAAA IPv6 address = 2a03:2880:2110:df07:face:b00c:0:1

a.ns.facebook.com       internet address = 69.171.239.12
b.ns.facebook.com       internet address = 69.171.255.12

ส่วนค่า DNS หลักของผู้ให้บริการอินเทอร์เน็ตในประเทศไทย จะแยกกันไป
ในที่นี้ขอยกตัวเฉพาะ DNS ของ TOT
ได้แก่ dns1.totbb.net มีค่าไอพี 203.113.5.130 , dns2.totbb.net มีค่าไอพี 203.113.7.130  และ dns3.totbb.net มีค่าไอพี 203.113.9.123
เมื่อมี การแจกค่า DNS ไปยังอุปกรณ์ Router ตามบ้าน หรือ ค่าที่ได้รับอัตโนมัติจากผู้ให้บริการจะทำให้เครื่องคอมพิวเตอร์ หรือ มือถือ จะได้รับค่า DNS จากผู้ให้บริการทันที  ยกเว้นกรณีที่ผู้ใช้งานตั้งค่า DNS เอง (Manual) โดยหลายคนอาจตั้งค่า DNS ไปที่ 8.8.8.8 ของ google เป็นต้น ซึ่งคนที่ตั้งค่าเองอาจไม่ได้รับผลกระทบกับการเรียก www.facebook.com
ดัง นั้นเหตุการณ์ที่เกิดขึ้นนี้ สามารถเข้าใช้งานในโดเมนอื่นๆได้ ยกเว้นโดเมน facebook.com มีความเป็นไปได้ที่มีการเปลี่ยนเส้นทาง DNS เพื่อให้ไป Query โดเมนที่ DNS ของผู้ให้บริการรายใดรายหนึ่ง และ DNS การสามารถกำหนด host file ในเครื่อง DNS Server เพื่อไม่ให้ผู้ใช้งานเข้าใช้บริการเมื่อมีการเรียกค่า DNS ได้ และสามารถ Redirect ไปยังเพจที่ขึ้นข้อความอื่นๆเพื่อบ่งบอกถึงว่าปิดระงับชั่วคราวได้  การปิดกั้นช่องทางผ่านเทคนิค DNS ในทางที่ก่อให้เกิดประโยชน์โดยมากเขาจะปิดกั้นไม่ให้เข้าถึง โดเมนที่มีภัยคุกคามเช่น โดเมนที่ติดไวรัส (Malware) โดเมนที่เป็น Phishing และ โดเมนที่มีความเสี่ยงทางอาชญากรรมคอมพิวเตอร์ เพื่อไม่ให้ผู้ใช้งานตกเป็นเหยื่อได้

* การตรวจดูว่า DNS เราใช้อยู่คืออะไรสามารถทำได้โดย ใช้ command  ipconfig /all  หรือใน linux ได้โดย ifconfig ตรวจดูค่า DNS หากใช้ผ่าน Router บ้านหรือองค์กรจะได้ค่าชี้ไปที่ Gateway ขององค์กร นั้นและค่า Router นั้นมักตั้งให้รับค่าอัตโนมัติ จะได้ค่า DNS จากผู้ให้บริการ

ตัวอย่าง Log DNS จากของจริงจาก srandns.com

30-May-2014 11:10:30.446 client 101.108.xx.xx#11240: query: mesu.apple.com IN A + (x.x.x.x)
30-May-2014 11:10:19.702 client 180.183.xx.xx#65484: query: sran.net IN A + (x.x.x.x)
30-May-2014 11:09:56.150 client 124.122.xx.xx#11540: query: m.ak.fbcdn.net IN A + (x.x.x.x)
30-May-2014 11:09:49.712 client 180.183.xx.xx#29337: query: www.facebook.com IN A + (x.x.x.x)
30-May-2014 11:09:36.869 client 180.183.xx.xx#19924: query: dnl-15.geo.kaspersky.com IN A + (x.x.x.x)
30-May-2014 11:09:33.959 client 180.183.xx.xx#19922: query: dnl-15.geo.kaspersky.com IN A + (x.x.x.x)
30-May-2014 11:09:14.741 client 101.108.xx.xx#11237: query: z-m.c10r.facebook.com IN A + (x.x.x.x)
30-May-2014 11:08:56.400 client 180.180.xx.xx#17540: query: imap.gmail.com IN A + (x.x.x.x)
30-May-2014 11:08:56.098 client 180.180.xx.xx#17539: query: www.sran.org IN A + (x.x.x.x)
 
จาก log จะเห็นว่าเราพบวันเวลา ค่าไอพี ของเครื่อง client ที่ใช้ DNS ค่าความต่อเนื่อง #ตามด้วยตัวเลข การ Query โดเมน
 และค่า x.x.x.x จะเป็นค่าไอพีของฝั่ง DNS Server 
ยกตัวอย่างเบื้องต้นประมาณนี้ก่อน

สรุปได้ว่า : ปัญหาที่เกิดขึ้นอาจจะเกิดจากการเปลี่ยนค่า DNS ที่ฝั่งผู้ให้บริการจะทำให้ผู้ใช้งานทั่วไปเรียกค่าโดเมนผ่าน DNS ใหม่ที่อาจทำให้เป็นการปิดกั้นช่องทางได้  หรือ ที่ผมเคยเขียนไว้ในบทความ “เตือนภัยเรื่อง DNS ที่มีผลกระทบต่อผู้ใช้งานตามบ้าน http://nontawattalk.blogspot.com/2014/04/dns.html ” สิ่งที่เกิดขึ้นอาจเป็นเพราะคนที่เข้าไปแก้ไขค่า config เส้นทางการเรียกข้อมูลในช่วงเวลานั้นอาจจะยังไม่เข้าใจในระดับผู้ให้บริการ (ISP) ดีพอจนปล่อยให้เกิดผลกระทบที่ทำให้ทุกคนรับรู้และเป็น Talk of the town ได้ขนาดนี้

แนวทางที่ควรปฏิบัติในอนาคต

   ถึงแม้เหตุการณ์นี้จึงเป็นบทเรียนสำคัญสำหรับคนที่คิดจะทำการปิดกั้น โดยเฉพาะการปิดกั้นทั้งโดเมนสามารถทำได้ แต่อาจมีผลกระทบเยอะ และหากเปิดกั้นจากจุดเดียวด้วยวิธีนี้จำเป็นต้อง Route เส้นทาง การเรียกค่าโดเมนแนม ให้ออกไปยังจุดใดจุดหนึ่ง แต่ผลลัพธ์ก็อย่างที่เห็นคือไม่สามารถใช้งานได้ ซึ่งมีเหตุผลรองรับ เช่น อุปกรณ์ Load Balancing ที่อยู่หน้า DNS Farm Server หรือ DNS Server ใหม่ไม่สามารถรองรับ ปริมาณ traffic ได้ การ Query DNS ไม่สมารถรับค่าปริมาณเยอะๆพร้อมกันได้ อุปกรณ์ฝั่งระบบเครือข่ายไม่สามารถรองรับปริมาณข้อมูลได้ในเวลาจำกัด การปิดกั้นควรปิดกั้นเป็นบางเพจหรือค่า URI page นั้น ในอดีตการเปิดกั้นเว็บเพจ มักใช้เทคนิคเรียกว่า “TCP Hijack session” ปิดการเชื่อมต่อ session ของ ไอพีผู้ใช้งาน (Client) เพื่อไม่ให้เรียกเพจ เช่น http://xx.com/abcd/xx.html อันนี้ทำได้ในอดีต

http://www.abc.com/abc.html  แบบนี้ปิดได้
https://www.abc.com/abc.html แบบนี้ปัจจุบันยังปิดไม่ได้
แบบ facebook.com โดเมนทั้งหมด ปิดได้อยู่แล้ว  (ไม่ควรทำ) แต่อย่างไรก็ดีก็ยังไม่สามารถปิดกั้นจากจุดเดียวแบบ Single command ได้ ไม่ว่าเป็น โดเมนแนม หรือ URI ต้องบอก ISP แต่ละทีให้ปิด

กรณีเฝ้าระวังการใช้งาน HTTP
การเฝ้าระวัง (monitoring) ขอยกตัวอย่างโดยใช้อุปกรณ์ SRAN Light รุ่นเล็กติดตั้งที่ office
หน้าจอเฝ้าระวังโดยการเขียน signature จับค่า HTTP GET

 จากภาพ กรณี HTTP จะเห็นว่าเห็นทั้งค่าไอพีต้นทาง (ผู้ใช้งาน) ไอพีปลาย และ URI ที่เรียกใช้งาน
ส่วน MAC Address เครื่องเป็นค่า MAC ของอุปกรณ์ Switch ในองค์กร ซึ่งไม่ต้องสนใจเพราะค่าจะเป็นค่าเดียวเนื่องจากทำการ Mirror traffic มา

กรณีการเฝ้าระวัง  HTTP ผ่าน Proxy

จากภาพก็ยังเห็นว่า ถึงแม้จะผ่าน Proxy ก็ยังสามารถเห็นไอพีต้นทาง ไอพีปลายทาง (ก็คือ Proxy server) และ URI ที่ไปได้

กรณีการเฝ้าระวัง  HTTPS

จากภาพหากผ่าน HTTPS จะเห็นแค่ ไอพีปลายทาง ไม่เห็น URI ทำให้ไม่รู้รู้เปิด path ไหนของเว็บ เว็บนั้นๆหาได้จากไอพีปลายทางเอาไป whois หรือ covert IP to Host เอาไม่ยากสำหรับคนรู้หาได้ แต่อย่างไรก็หา URI ไม่ได้

แต่อย่างไรก็ดี HTTPS สามารถมองเห็นได้แต่ต้องทำ MITM (Man In The Middle Attack) ซึ่งในระดับองค์กรทำได้ แต่ระดับประเทศทำยาก และไม่ควรทำ

ปัจจุบันเครือข่ายสังคมออนไลน์ facebook , twitter , youtube หันมาใช้บริการ SSL คือผ่าน https หมด จึงไม่สามารถใช้เทคนิคเดิมเพื่อปิดกั้นได้เนื่องจากมีการเข้ารหัสจนไม่ สามารถล่วงรู้ถึง URI ปลายทางได้รู้แต่ค่าไอพี และทำการ covert กลับเป็นชื่อโดเมนทำให้ปัจจุบันไม่สามารถปิดกั้นได้  แต่หากทำการปิดกั้นก็มีหนทางโดยมากจะทำในระดับองค์กร แต่หากทำในระดับผู้ให้บริการระดับ ISP และในเมืองไทยมีผู้ให้บริการที่ออกโครงข่ายต่างประเทศหลายรายที่นับได้คือ เป็น 10 ที่ การทำวิธีดังกล่าวจึงมีออกแบบทั้งปริมาณข้อมูลที่รับได้ และทางฉุกเฉินเมื่อไม่สามารถเชื่อมต่อได้ ซึ่งโดยรวมนั้นอาจมีผลกระทบต่อผู้ให้บริการ (ISP) และผู้ใช้ งาน (User) โดยเฉพาะอาจได้รับ Certificate ที่ไม่ได้มาจากแหล่งต้นทาง  ดังนั้นการปิดกั้นควรคำนึงถึงเรื่องนี้ไม่งั้นอาจเป็นภัยคุกคามต่อผู้ใช้งาน ได้ เช่นกรณีคนที่ ใช้เทคนิค MITM (Man In The Middle attack) ในพื้นที่สาธารณะ บนเครือข่ายไร้สาย หรือ องค์กรขนาดเล็กก็จะได้รับค่า Certificate ที่ไม่ได้มาจากแหล่งต้นทางที่แท้จริงได้เช่นกัน และช่องทางพิเศษในการอำพรางตัวตนนั้นมีมากมาย ค้นหาใน Google หรือ Search engine อื่นก็สามารถใช้งานได้ง่ายและปัจจุบันใครก็ทำได้ ยิ่งทำการปิดกั้นก็ยิ่งมีคนอยากเข้าถึง และหาทางหลีกเลี่ยงการหลบซ๋อนค่าไอพียิ่งทำให้หาตัวผู้กระทำความผิดได้ยากขึ้น ซึ่งสิ่งที่ควรปิดกั้นคือช่องทางที่อำพรางตัวตนแบบออนไลน์มากกว่าการปิดกั้นเว็บเพจ 
(อาจดูเหมือนทำยากแต่สามารถทำได้และไม่กระทบต่อผู้ให้บริการและผู้ใช้งาน ซึ่งหากมีโอกาสจะแนะนำวิธีการให้ต่อไป)

ค่าไอพี (IP Address : Who) และ เวลา (Time : When) ส่วน What ทางเทคนิคหาได้จาก Log file  ถ้าไม่ใช้เทคนิคการหาทางการข่าวได้ เหล่านี้จะเป็นตัวบ่งบอกถึงความเป็นตัวตนของผู้ใช้งาน หากมีการอำพรางตัวตนก็เท่ากับไม่สามารถหาค่าไอพีที่แท้จริงได้ และโดยมากผู้มีเจตนาไม่ดีมักทำการอำพรางตัวตนที่แท้จริง เพราะคนที่เจตนาดีมักจะไม่มีความจำเป็นต้องอำพรางตัวตนในการใช้งาน

สรุปแนวทางในอนาคต
1. ไม่แนะนำให้มีการปิดกั้นการเข้าถึงข้อมูลไม่ว่าเป็นสื่อสังคมออนไลน์หรือเว็บเพจ เพราะยิ่งปิดกั้นคนก็จะพยายามหาทางเข้าถึง และหลีกเลี่ยงโดยไปใช้โปรแกรมอำพรางตัวเอง เช่นโปรแกรม Tor Network , Proxy Anonymous ต่างๆ และทำให้การหาผู้กระทำความผิดได้ยากขึ้น และการปิดกั้นปิด หนึ่งเว็บก็เปิดใหม่ได้อีกเรื่อยๆ เป็นลักษณะแมววิ่งไล่จับหนู ซึ่งไม่มีทางจบสิ้น และอีกอย่างสังคมปัจจุบันเป็นสังคมเปิด โดยเฉพาะสื่อออนไลน์จะมีข่าวสารฉับไว จนสามารถทำให้ผู้คนที่เข้าถึงอินเทอร์เน็ตรู้ทันกันไปหมด คิดอะไรไม่ออกก็ค้นหา google ก็รู้ได้ ดังนั้นการปิดจึงเป็นวิธีการที่ผมเองไม่เห็นว่าจะเกิดประโยชน์ในระยะยาว

2. เมื่อพบเนื้อหาไม่เหมาะสม ต้องไม่ขยายผลต่อ ไม่ว่าเป็นชื่อเพจ หรือการแชร์ ควรส่งให้หน่วยงานที่รับผิดชอบเพื่อไม่เป็นการขยายผลต่อ

3. หากจะทำการปิดกั้น ควรจะทำการปิดกั้นค่าไอพีที่ได้จากโปรแกรมอำพรางตัวตน หรือทำการปลอมตัวตนที่แท้จริงจนไม่สามารถตรวจสอบได้
 และควรปิดกั้นการเข้าถึงโดเมนที่ติดเชื้อ Malware  โดเมนที่หลอกลวงประชาชน (Phishing) ในฝั่งผู้ให้บริการอินเทอร์เน็ตไทย ซึ่งเป็นการสร้างความปลอดภัยให้กับคนในชาติ ที่ใช้งานอินเทอร์เน็ตไม่ตกเป็นเหยื่อทางอาชญากรรมคอมพิวเตอร์โดยไม่รู้ตัว

4. ควรรณรงค์ให้มีการเก็บ Log ให้ถูกต้องตามกฏหมาย พรบ. คอมพิวเตอร์ฯ เพราะ Log จะเป็นตัวช่วยสืบหาผู้กระทำผิดได้ Log บ่งบอกถึงพฤติกรรมและเหตุการณ์ที่ขยายผลในการหาผู้กระทำความผิดทั้งตัวบุคคลและเครือข่ายได้ ,Log ที่เก็บไม่ว่าผู้ให้บริการ ISP หรือ ผู้ให้บริการทาง Application ต่างๆที่มีความเสี่ยงต่อการกระทำความผิดควรเก็บ Log และไม่ว่าเป็นองค์กร บริษัท โรงเรียน โรงแรม ผู้ให้บริการไร้สาย (Wi-Fi) Log every where เป็นต้น ควรเก็บ Log ทั้งหมด ซึ่งประโยชน์ของ Log ที่สามารถเชื่อมโยงหลักฐานต่างๆ เพื่อเป็นประโยชน์ในการสืบสวนได้ เปรียบได้กล้องวงจรปิดหากมีหลายจุดก็ย่อมปะติดปะต่อข้อมูลได้ อ่านเพิ่มเติมได้
http://nontawattalk.blogspot.com/2010/08/4.html
http://nontawattalk.blogspot.com/2009/04/blog-post.html

5. ควรพัฒนาวิจัยเทคโนโลยีของคนในชาติเองอย่าไปพึ่งคนอื่น ประเทศชาติอื่นให้มาก อย่าเชื่อฝรั่งมาก ในกรณีที่เห็นได้ชัด เช่น facebook หรือ Line เราไม่สามารถขอหลักฐานได้มากมายเพราะการเก็บข้อมูลอยู่ที่ต่างประเทศทั้งหมด ซึ่งต่างประเทศก็มีกฏหมายคอมพิวเตอร์ที่แตกต่างกับเราใช้กันไม่ได้ และอีกไม่นานเมื่อ 4G มาถึงเราจะพบว่าการโทรศัพท์เราก็จะไม่ใช้เบอร์โทรอีกต่อไป เป็นหมายเลข account ของ Line หรือ google หรือ Apple หรือ facebook  และโทรศัพท์ผ่านเครือข่ายอินเทอร์เน็ตหมด พอถึงวันนั้นเราจะยืนอยู่ที่ไหน? เพราะ Server ต่างๆเราฝากชีวิตไว้ที่ Cloud Services กับผู้ให้บริการ Application ต่างชาติหมด ไม่ว่ารูปภาพ คลิป เว็บ ข้อมูลต่างๆ ก็เสมือนว่าชีวิตเราฝากไว้กับเขา
เรื่องที่เห็นชัดเจนอีกเรื่อง คือ CDN (Content Delivery Services) ที่ให้บริการ facebook ก็ยังมีเส้นทางผ่านไปประเทศสิงค์โปร CDN หลักฐาน facebook การเก็บข้อมูลส่วนที่ใกล้ที่สุดก็ยังอยู่ที่สิงค์โปรไม่ได้อยู่ในประเทศไทย … พอเสียที่กับการเป็นแค่ตัวแทนขาย ถึงเวลาที่เราต้องมาร่วมกันสร้างชาติให้เข้มแข็งขึ้นได้แล้ว เราควรมีของที่เราใช้เองพัฒนาเองบางได้แล้ว อาจถึงเวลาที่เรามานั่งทบทวนเรื่องเหล่านี้ให้มากก่อนที่ตกหลุดพรางเสรีภาพออนไลน์แบบไร้พรมแดนแบบนี้ต่อไป

Nontawattana  Saraman
SRAN Dev Team
30/05/57

เตือนภัยเรื่อง DNS ที่ส่งผลกระทบต่อผู้ใช้งานตามบ้าน

 DNS ที่ส่งผลกระทบต่อผู้ใช้งานตามบ้าน  เรื่องใกล้ตัวที่คนไทยถูกเปลี่ยนเส้นทางในการเข้าถึงข้อมูลทางอินเทอร์เน็ตจนถึงขั้นตกเป็นเหยื่อทางอาชญากรรมทางไซเบอร์กว่าแสนเครื่อง เรื่องเก่าที่จำเป็นต้องขยายความเพื่อความตะหนักถึงภัยคุกคามที่อาจเกิดขึ้นกับตัวคุณเองได้
  
บทความนี้ขอแบ่งเป็น 3 หัวข้อ คือ
หัวข้อที่ 1 การสำรวจและสถิติข้อมูล (Internet Discovery and Census)
หัวข้อที่ 2 พิสูจน์หาความจริงเกี่ยวกับค่า DNS ที่ถูกเปลี่ยน และผลกระทบที่เกิดขึ้น
หัวข้อที่ 3 การป้องกัน (Protection)

1. การสำรวจและสถิติข้อมูล (Internet Discovery and Census)

เมื่อเดือนมกราคม 2557 ที่ผ่านมาได้มีการเผยแพร่ช่องโหว่ของอุปกรณ์เราเตอร์โดยสามารถเข้าถึงอุปกรณ์ได้และทำให้นักเจาะระบบสามารถเข้าไปควบคุมอุปกรณ์เราเตอร์ตามบ้านและทำการเปลี่ยนเส้นทางการเรียกข้อมูลโดยเปลี่ยนค่า DNS ในอุปกรณ์เราเตอร์ที่บ้านเรา ซึ่งส่งผลกระทบต่อผู้ใช้งานตามบ้าน (User) โดยตรง ปัญหานี้ถึงแม้ในปัจจุบันผู้ให้บริการได้มีการเขียนสคิปเพื่อเปลี่ยน DNS แก้กลับคืนได้ผ่านหลากหลายวิธีที่สามารถทำได้ผ่านผู้ให้บริการอินเทอร์เน็ต (ISP) แต่ถึงอย่างไรก็ไม่สามารถแก้ไขเครื่องเราเตอร์ที่มีช่องโหว่ได้ทั้งหมด โดยทั้งนี้ผู้เขียนจะขอรวบรวมสถิติที่ทางทีมงาน SRAN ได้สำรวจผ่านสคิปบอทที่จัดทำขึ้นเฉพาะเพื่อประเมินค่าทางสถิติบทวิเคราะห์รวมถึงวิธีการป้องกันต่อไปนี้ 
1.1 เครื่องมือในการสำรวจ
เป็นการพัฒนาโปรแกรมขึ้นมาเพื่อสำรวจข้อมูลโดยเฉพาะ และใช้การทำ Log Analysis เพื่อทำการวิเคราะห์ข้อมูลที่ได้จากสคิปบอท


 ภาพ หน้าจอระบบสำรวจ (Internet Census) เมื่อนำเข้าสู่ระบบ Log Analysis ทำการสำรวจข้อมูล ASN จำนวนกว่า 4 ล้านค่าไอพีตลอดระยะเวลา 2 เดือน

ภาพ หน้าจอบริหารจัดการสคิปบอทที่ทำการสำรวจข้อมูลความเสี่ยงของเราเตอร์เพื่อ บอกสถานะการทำงาน ตัวเลข Current Discovery คือค่าจำนวนไอพีที่เหลือจากการตั้งค่าให้บอทตรวจสอบซึ่งสามารถเพิ่มเครื่อ ข่ายให้ตรวจสอบเพิ่มเติมได้โดยใส่ค่า Prefix IP ที่มีอยู่ใน ASN


สคิปบอทที่จัดทำขึ้นเฉพาะนั้นทำการสำรวจผ่านเทคนิคตรวจสอบการ HTTP port 80 ลักษณะตรวจ Basic Authentication และ HTTP Header โดยมีลักษณะเหมือน Crawler เช่นเดียวกับ google และ shodanhq โดยเราตั้งชื่อระบบสำรวจนี้ว่า “SRAN Internet Exposed” โดยสำรวจ 2 ครั้งต่อ 1 ค่า ASN โดยมีการระบุค่า MAC Address ที่อุปกรณ์เราเตอร์เพื่อไม่เกิดการซ้ำของค่าข้อมูล
โดยทำการตรวจสอบข้อมูลลักษณะช่องโหว่ของอุปกรณ์เราเตอร์ (Router Fingerprint) ที่พบว่ามีช่องโหว่ได้แก่ ช่องโหว่ Exploit ตาม CVE ได้แก่ d-link,tp-link,zyxel และ Huawai , rom-0 และ default password  โดยผลลัพธ์คือ

1.2 ระยะเวลา 2 เดือน คือเดือน กุมภาพันธ์ – เมษายน 2557 ทำการสำรวจค่า IPv4 ทั้งหมดจาก ASN ทั้งหมด 7 ตัวที่คิดว่าอาจมีผลกระทบต่อผู้ใช้งานอินเทอร์เน็ตบ้าน

1.3 ผลลัพธ์จากการสำรวจจัดทำเฉพาะผู้ใช้งานอินเทอร์เน็ตตามบ้าน
ซึ่งมีทั้งค่า IPv4 ที่ใช้สำรวจทั้งหมดจำนวน 4,704,557

ค่าการสำรวจถึงวันที่ 13 เมษายน 2557 พบช่องโหว่ที่พบจำนวน  616,294
ซึ่งคิดเครื่องที่มีความเสี่ยง 13.09% 

โดยสำรวจจากค่า ASN ดังนี้

(1) AS9737 จากจำนวน IPv4 ทั้งหมดจำนวน 1,238,528  พบช่องโหว่ 427,405 เครื่อง ซึ่งพบว่าเป็น Default password จากผู้ให้บริการอินเทอร์เน็ต ถึง 241,372 เครื่อง 

(2) AS45758 จากจำนวน IPv4 ทั้งหมดจำนวน 1,059,328 พบช่องโหว่ 149,381 เครื่อง

(3) AS23969 จากจำนวน IPv4 ทั้งหมดจำนวน 71,680 พบช่องโหว่ 23,547 เครื่อง

(4) AS17552 จากจำนวน IPv4 ทั้งหมด 1,594,112 พบช่องโหว่ 14,545 เครื่อง

(5) AS131090 จากจำนวน IPv4 ทั้งหมดจำนวน 90,112 พบช่องโหว่ 1,391 เครื่อง

(6) AS45455 จากจำนวน IPv4 ทั้งหมดจำนวน 7,936 พบช่องโหว่ 14 เครื่อง

(7) AS7470 : จากจำนวน IPv4 ทั้งหมด 642,861 พบช่องโหว่ 11 เครื่อง

หมายเหตุ : จำนวน IPv4 ทั้งหมดไม่ได้หมายถึงว่าจะมีเครื่องตามนั้น แต่ที่พบช่องโหว่เป็นไปตามจำนวนเครื่องจริงเนื่องจากสคิปบอทที่ทำขึ้นตรวจค่า MAC Address เป็นหลัก


2. พิสูจน์หาความจริงเกี่ยวกับค่า DNS ที่ถูกเปลี่ยน และผลกระทบที่เกิดขึ้น
 
2.1 ค่า DNS : ผลการสำรวจพบว่าเราเตอร์ที่ถูกเข้าถึงข้อูลได้นั้นมีการถูกเปลี่ยนค่า DNS ดังนี้


ภาพค่า DNS ที่ถูกวิเคราะห์จากโปรแกรม Log Analysis ที่เขียนขึ้นเฉพาะโดยทีมงาน SRAN 10 อันดับที่มีการเปลี่ยนค่า

จากข้อมูลจะพบว่าเราเตอร์ที่ถูกเข้าถึงข้อมูลได้มีการตั้งค่า DNS ไอพี 203.113.7.130 , 110.164.252.222 , 203.113.5.130 , 110.164.252.223 เป็นค่า DNS ที่มาจากผู้ให้บริการซึ่งเป็นค่ามาตรฐาน ส่วนค่า 8.8.8.8 เป็นค่า DNS จาก google ที่เปิดบริการฟรี ซึ่งค่าไอพีเหล่านี้มีความเสี่ยงต่ำที่ถูกการเข้าควบคุมเส้นทางการจราจรทางข้อมูล แต่ที่มีความเสี่ยงคือ
อันดับ 1 DNS จากไอพี : 68.168.98.196   มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 92,553 เครื่อง
อันดับ 2 DNS จากไอพี : 198.153.194.1 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 60,893 เครื่อง
อันดับ 3 DNS จากไอพี : 74.82.207.26  มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 47,944 เครื่อง
อันดับ 4 DNS จากไอพี :216.146.35.35 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 28,648 เครื่อง
อันดับ 5 DNS จากไอพี : 50.63.128.147 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าถึง 11,852 เครื่อง
และอื่นๆ ได้แก่ ไอพี 69.85.88.11 จำนวน 1,741 เครื่อง และ 5.175.147.98  จำนวน 1,379 เครื่อง ที่ถูกเปลี่ยนค่า DNS ที่ตัวอุปกรณ์เราเตอร์

2.2 วิเคราะห์
DNS ที่มีโอกาสตกเป็นเหยื่อและความเสี่ยงในการใช้งานอินเทอร์เน็ต 3 อันดับแรก
2.2.1 ค่า DNS ที่ถูกเปลี่ยนเป็นไอพี 68.168.98.196 ถูกเปลี่ยนจำนวนทั้งหมด 92,553 เครื่อง
เมื่อทำการพิจารณาตามค่า ASN ได้ผลลัพธ์การถูกเปลี่ยนค่าดังนี้

ซึ่งจะพบว่า AS9737 ถูกเปลี่ยนค่ามากที่สุดพบถึง 87,613 เครื่อง รองลงมาคือ AS23969 จำนวน 4,133 และ AS17552 จำนวน 420 เครื่อง และ AS45758 พบ 191 เครื่อง และ AS131090 จำนวน 152 เครื่อง


ประวัติของไอพี 68.168.98.196 : พบว่าหากใช้การทำ passive DNS จะได้ค่าโดเมนคือ
ถูกพบเมื่อ วันที่ 18 ตุลาคม 2556 คือโดเมน jiopjieraee.info และ kolteranka.info
ซึ่งเคยมีประวัติเป็นโดเมนในการปล่อยไวรัสคอมพิวเตอร์
ทำการวิเคราะห์ค่า Hostname ภายใต้ไอพีแอดเดรสนี้ ผลลัพธ์ คือ

(1) jiopjieraee.info


(2) kolteranka.info



โดยทั้ง 2 Hostname นี้มีการเชื่อมโยงของเส้นทางข้อมูลเหมือนกัน

สรุปความเชื่อมโยงค่า Hostname ที่ต้องสงสัยกับการ
jiopjieraee.info และ kolteranka.info มีค่าไอพี  68.168.98.196 ตั้งอยู่ที่ Lenexa, United States
ใช้ Name Server ตัวที่ 1 ชื่อ ns1.regway.com มีค่าไอพี   176.74.216.129 ตั้งอยู่ที่ Czech Republi
ใช้ Name Server ตัวที่ 2 ชื่อ ns2.regway.com มีค่าไอพี   5.153.15.74 และ 159.253.133.210 ตั้งอยู่ที่ Netherlands

 ภาพแผนที่ประเทศที่เกี่ยวข้องทั้ง Hostname , IP Address และ Name server ที่เป็นเครื่องแม่ข่ายในการที่เปลี่ยนเส้นทางข้อมูล (ซึ่งประเทศเหล่านี้อาจไม่เกี่ยวกับการกระทำในครั้งนี้)


  (3) ประวัติไอพีและโดเมนข้อมูลจาก Virustotal ได้ข้อมูลดังนี้


 เคยพบว่ามีไฟล์ไวรัสจากโดเมนแนมภายใต้ไอพีนี้

File identification
MD5 1ff2fd35bd045844dd843648b6ca45c3
SHA1 30ea5fdce20438b83d9bb07bfff3a5372d306d68
SHA256 354c72689d66eef54d793961fade71eb5f39fa2a51206ce728ad1368e753dbe3
ssdeep
6144:C17zBIWl/4Fj5OpVP9L0/1zOMR0blqGp5F9:YmW2j8pVV0V2BqGzF9
File size 296.0 KB ( 303120 bytes )
File type Win32 EXE
Magic literal
PE32 executable for MS Windows (GUI) Intel 80386 32-bit



TrID Win32 Executable MS Visual C++ (generic) (67.3%)
Win32 Dynamic Link Library (generic) (14.2%)
Win32 Executable (generic) (9.7%)
Generic Win/DOS Executable (4.3%)
DOS Executable Generic (4.3%)
Tags
peexe
 VirusTotal metadata
First submission 2013-10-26 20:33:55 UTC ( 5 months, 2 weeks ago )
Last submission 2013-11-03 12:54:34 UTC ( 5 months, 1 week ago )

File names vt-upload-Jdaak
gausvdnlbhmasjdih4i5msdfvnasidbfsdf.exe
QEdit.dll
(4) ข้อมูลทางเทคนิค เมื่อทำการตรวจสอบจากเครื่องมือแสกนพอร์ตและตรวจลักษณะเครื่องแม่ข่าย (OS and Services Fingerprint) ได้ผลลัพธ์ดังนี้

Scanning 68-168-98-196.dedicated.codero.net (68.168.98.196)
ไอพีดังกล่าวตั้งอยู่ประเทศสหรัฐอเมริกา ภายใต้ AS10316 CODERO-AS – Codero,US เป็น Dedicate Server ซึ่งใครก็สามารถเช่าเครื่องแม่ข่ายนี้ได้

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 5.3 (protocol 2.0)
|_banner: SSH-2.0-OpenSSH_5.3
| ssh-hostkey: 1024 32:35:a6:b2:2d:61:47:71:f2:b5:3b:5a:6e:58:e0:05 (DSA)
|_2048 d6:8e:d0:93:1b:f8:12:54:cb:4b:58:2d:ed:8f:cf:86 (RSA)
53/tcp open  domain
Device type: general purpose
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.9
Uptime guess: 8.881 days (since Sat Apr  5 19:12:49 2014)


2.2.2 ค่า DNS ที่ถูกเปลี่ยนเป็นไอพี 198.153.194.1 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 60,893 เครื่อง
เมื่อตรวจสอบพบว่าเป็นบริการฟรี DNS ของ ULTRADNS – NeuStar, Inc.,US ซึ่ง Symantec Corporation มาใช้
เมื่อทำการพิจารณาตามค่า ASN ได้ผลลัพธ์การถูกเปลี่ยนค่าดังนี้
ซึ่งจากข้อมูลจะพบว่า AS9737 ถูกเปลี่ยนค่ามากที่สุดพบถึง 53,918 เครื่อง รองลงมา AS45758 พบ 3,553 เครื่องคือ AS23969 จำนวน 3,239 และ AS17552 จำนวน 107 เครื่อง และ AS131090 จำนวน 54 เครื่อง
 
เมื่อตรวจประวัติการแพร่เชื้อไฟล์ไวรัสที่เคยเกิดจากไอพีนี้ จาก Virustotal
จากไอพี  198.153.194.1 พบว่ามีรายการติดเชื้ออยู่จำนวนมาก ดังนี้

Latest files submitted to VirusTotal that are detected by one or more antivirus solutions and communicate with the IP address provided when executed in a sandboxed environment.

ซึ่งส่วนนี้คงต้องวิเคราะห์กันอีกทีว่าทำไมทาง Symantec จึงมีการเปลี่ยนค่า DNS เราเตอร์ในประเทศไทยด้วย อาจเป็นเพื่อการทดลอง วิจัย (Honeypot) หรือเป็นการป้องกันภัยให้กับผู้ใช้งานอินเทอร์เน็ตก็เป็นไปได้ 

2.2.3 ค่า DNS ที่ถูกเปลี่ยนเป็นไอพี 74.82.207.26  มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 47,944 เครื่อง

เมื่อทำการพิจารณาตามค่า ASN ได้ผลลัพธ์การถูกเปลี่ยนค่าดังนี้

ซึ่งจากข้อมูลพบว่า AS9737 ถูกเปลี่ยนค่ามากที่สุดพบถึง 42,268 เครื่อง รองลงมาคือ AS23969  จำนวน 2,441 และ AS45758 พบ 2,434 เครื่อง และ AS17552 จำนวน 700 เครื่อง และ AS131090 จำนวน 66 เครื่อง

ตรวจดูค่า whois ได้ผลลัพธ์คือ

Host script results:
| asn-query: 
| BGP: 74.82.192.0/19 | Country: CA
|   Origin AS: 53612 - CARAT-NETWORKS - Carat Networks Inc,CA
|_    Peer AS: 174 13768
| whois: Record found at whois.arin.net
| netrange: 74.82.192.0 - 74.82.223.255
| netname: CLEARANCE-RACK
| orgname: Carat Networks Inc
| orgid: CLEAR-73
| country: CA stateprov: ON
| 
| orgtechname: Fromm, James
|_orgtechemail: fromm@caratnetworks.com
|_whois-domain: You should provide a domain name.
 
เคยมีประวัติติดแพร่เชื้อไวรัส พบเมื่อวันที่ 30 มีนาคม 2557  
รายละเอียดที่  https://www.virustotal.com/en/ip-address/74.82.207.26/information/

 2.3 แล้วผู้ใช้งานจะกระทบอะไรหากมีการเปลี่ยนค่า DNS ไปเป็นไอพีนี้
ผลกระทบคือบางเว็บไซต์อาจถูกเปลี่ยนเส้นทางเป็น Phishing site โดยเฉพาะเว็บที่มีข้อมูลส่วนบุคคล , เกี่ยวกับการทำธุรกรรมทางอินเทอร์เน็ต

โดยเฉพาะจะทำการให้มีการหลอกให้ดาวโหลดโปรแกรม Adobe Flash Player Update ซึ่งในโปรแกรมที่ทำการถูกบังคับให้ดาวโหลดนี้จะมีการฝั่ง Spyware ทั้งทีทำการเก็บข้อมูล Password รวมไปถึง Key logger ซึ่งอาจเกิดขึ้นได้


ตัวอย่างโปรแกรม Adobe Flash Player ปลอมที่ติดมัลแวร์ฝั่งในเครื่องคอมพิวเตอร์
ซึ่งไอพีที่สรุปมาให้นั้นล้วนแต่อันตรายและส่งผลให้เครื่องคอมพิวเตอร์ที่อยู่ภายใต้เราเตอร์ที่มีช่องโหว่นี้จำนวนกว่าแสนเครื่องเราเตอร์



3. วิธีการป้องกัน (Protection)
3.1 การป้องกันที่บ้านของเราเอง
3.1.1 ทำการทดสอบช่องโหว่เราเตอร์ด้วยตนเอง
เพื่ออำนวยความสะดวกสำหรับผู้ใช้งานตามบ้านทางทีมงาน SRAN ได้จัดทำระบบตรวจสอบช่องโหว่เบื้องต้นที่  http://sran.net/check  

 ภาพตัวอย่างการเข้าถึงหน้าเพจ http://sran.net/check เพื่อตรวจหาช่องโหว่ที่อาจเกิดขึ้นที่เราเตอร์ที่บ้านโดยในค่าจะบอกถึง IP Address คือไอพีที่ได้รับจากผู้ให้บริการที่เป็น Public IP ค่า Hostname ค่า ASN ของผู้ให้บริการ ชื่อ ISP ประเทศ และค่า Header ของ HTTP 
เมื่อคลิกตรวจสอบผลลัพธ์มี 2 ค่าคือเราเตอร์ไม่มีความเสี่ยง และ มีความเสี่ยง



หากพบว่ามีความเสี่ยงจะขึ้นข้อความเตือนเพื่อทำการแก้ไขให้ปลอดภัยขึ้น

3.1.2 ทำการอัพเดทค่า Firmware ของ Router (หากอัพเดทได้และไม่กระทบ)
3.1.3 หากไม่สามารถทำได้ตามข้อ 3.2 ให้ทำการปิดการติดต่อข้อมูลผ่าน HTTP 80 หรือพอร์ตอื่นๆ ไม่ให้พบค่า IP Publice หรือ IP WANซึ่งเราเตอร์บางรุ่นสามารถ config ค่าได้ผ่านเมนูการป้องกันภัย (Security) แต่วิธีนี้จะทำให้เราไม่สามารถ config router ได้ผ่านอินเทอร์เน็ต
อ่านวิธีป้องกันเพิ่มเติมได้ที่ https://www.thaicert.or.th/alerts/user/2014/al2014us001.html
3.2 การป้องกันที่ฝั่งผู้ให้บริการอินเทอร์เน็ต 
3.2.1 ไม่ปล่อยให้เกิดค่า Default  ทั้งรหัสผ่าน และ ค่าปรับปรุงระบบเราเตอร์  หรือควรแนะนำลูกค้าหลังจากติดตั้งอุปกรณ์เราเตอร์ให้มีการเปลี่ยนรหัสผ่านไม่ให้ตรงตามโรงงานหรือค่าเริ่มต้นของผู้ให้บริการอินเทอร์เน็ตให้มา
3.2.2 Firmware ที่มีช่องโหว่ ควรมีการเรียกคืนหรือเปลี่ยนเครื่องเราเตอร์เพื่อป้องกันไม่ให้ผู้ใช้งานตามบ้านที่อาจไม่เข้าใจตกเป็นเหยื่อทางอาชญากรรมทางไซเบอร์
3.2.3 หากไม่สามารถทำได้ตามข้อ 3.2.2 ควรจัดหาสคิปหรือบอทที่สามารถสำรวจข้อมูล (Internet Census) เพื่อเปลี่ยนค่า DNS กลับสู่ค่าปกติที่ได้จากผู้ให้บริการอินเทอร์เน็ต เพราะเป็นช่องทางหนึ่งที่จะทำให้ผู้ใช้งานตามบ้านไม่ตกเป็นเหยื่อของเครือข่ายอาชญากรรมทางไซเบอร์



14/04/57
Nontawattana Saraman
SRAN Dev Team

ข้อมูลและเขียนโดย นนทวรรธนะ  สาระมาน  ทีมพัฒนา SRAN
ขอสงวนสิทธิข้อมูลในบทความนี้หากต้องการนำเผยแพร่ควรอ้างอิงแหล่งที่มา
แหล่งข้อมูลอ้างอิง
https://www.robtex.com/
https://www.virustotal.com/
http://he.net

รัฐบาล 21 ประเทศ รวมถึงไทย ใช้สปายแวร์เพื่อจารกรรมข้อมูล

มีประเทศต่าง ๆ มากมายถึง 21 ประเทศที่ได้ใช้สปายแวร์ที่อ้างว่าไม่สามารถสืบหาร่องรอยถึงต้นตอได้ ที่ชื่อว่า “Remote Control System” (RCS)  ที่จัดจำหน่ายโดยบริษัท Hacking Team ที่ตั้งอยู่ที่เมืองมิลาน ประเทศอิตาลี 

นักวิจัยจากซิติเซ่นแล็บ (Citizen Lab) ซึ่งเป็นห้องปฏิบัติการของมหาวิทยาลัยโทรอนโต (University of Toronto) ในแคนาดา ได้ค้นหาความจริงเกี่ยวกับสปายแวร์นี้เป็นเวลาหลายเดือน ก่อนที่จะได้พบความจริงเกี่ยวกับสปายแวร์ตัวนี้ จนถึงขั้นบอกตำแหน่งที่ตั้งได้ 

รายละเอียดการค้นพบอยู่ในรายงานที่เกี่ยวข้องฉบับที่สอง กลุ่มนักวิจัยได้เปิดเผยว่าได้มีการทำการตลาด และขายสปายแวร์ตัวนี้ให้กับหน่วยงานระดับรัฐบาลเท่านั้น โดยบริษัท Hacking Team ที่ตั้งอยู่ที่เมืองมิลาน มากกว่าสองปีแล้ว และสปายแวร์นี้ได้ถูกใช้เพื่อล้วงความลับจาก Mamfakinch สื่อมวลชนโมร็อคโกที่ได้รับรางวัล และนักเคลื่อนไหวทางการเมืองชาวอาหรับเอมิเรตส์ Amed Mansoor และเมื่อเร็ว ๆ นี้ กลุ่มนักข่าวชาวเอธิโอเปียตกเป็นเป้าหมายล่าสุด โดยสปายแวร์นี้ได้ทำการตลาดว่าไม่สามารถสืบหาร่องรอยกลับไปยังผู้ควบคุมที่เป็นหน่วยงานของรัฐบาลได้ 

Hacking Group โฆษณา RCS7 ว่าเป็นชุดซอฟท์แวร์การเจาะระบบสำหรับรัฐบาล เพื่อการดักข้อมูล (hacking suite for governmental interception) ส่วนเวอร์ชั่นถัดมาเรียกว่า “ชุดของการฝังตัว เพื่อการเฝ้าดูจากระยะไกล” (suite of remote monitoring implants) ซึ่งขายให้กับหน่วยงานของรัฐบาลประเทศต่าง ๆ ซอฟท์แวร์ทั้งสองตัวนี้สามารถดักจับข้อมูลที่อยู่ในอุปกรณ์ต่าง ๆ สำเนาข้อมูลที่อยู่ในฮาร์ดดิสก์ บันทึกการโทรศัพท์ผ่านสไกป์ (Skype) และข้อความที่ส่งผ่านโปรแกรม instant messaging ไปจนถึงการบันทึกรหัสผ่านในเว็บบราวเซอร์ และเปิดการใช้งานเว็บแคมและไมโครโฟน โดยผู้ใช้ไม่จำเป็นต้องเชื่อมต่อกับอินเทอร์เน็ตแต่อย่างใด 

 RCS ควบคุมคอมพิวเตอร์ของเหยื่อโดยอาศัยการโจมตีช่องโหว่ในซอฟท์แวร์ นักวิจัยได้อ้างว่ามีผู้จัดหาข้อมูลเกี่ยวกับช่องโหว่ (exploit)ในเชิงพาณิชย์ ได้แก่ Vupen จากฝรั่งเศษ อาจให้ข้อมูลเกี่ยวรายละเอียดของช่องโหว่ที่ใช้โจมตีกับ Hacking Team ตั้งแต่ปีค.ศ. 2012 และหลบหลีกการการตรวจจับโดยการส่งข้อมูลผ่านทาง proxy server ที่ต่างกันสี่แห่งทั่วโลก ทั้งที่ใช้วิธีการเหล่านี้ นักวิจัยกล่าวว่าพวกเขาสามารถตามรอยสปายแวร์นี้ได้ 

“การวิจัยของเราเปิดเผยว่า โครงสร้างพื้นฐานของการรวบรวมข้อมูลของ RCS ใช้เทคนิคที่เรียกว่า proxy-chaining คล้าย ๆ กับวิธีการที่ใช้เพื่อซ่อนตัวตนในอินเทอร์เน็ต อย่างการใช้ Tor โดยใช้เส้นทางหลายจุด เพื่อปกปิดปลายทางของข้อมูลข่าวสาร” นอกจากนี้ยังบอกอีกด้วยว่า “ทั้งที่มีการใช้เทคนิคนี้ เรายังสามารถ บอกตำแหน่งของห่วงโซ่ และปลายทาง (endpoint) เหล่านี้ได้ โดยใช้การวิเคราะห์แบบพิเศษ” ซิติเซ่นแล็บพบว่ามีรัฐบาล 21 แห่งที่ใช้หรือเคยใช้ RCS ได้แก่ อาเซอร์ไบจาน โคลอมเบีย อียิปต์ เอธิโอเปีย ฮังการี อิตาลี คาซัคสถาน เกาหลี มาเลเซีย เม็กซิโก โมร็อกโก ไนจีเรีย โอมาน ปานามา โปแลนด์ ซาอุดีอาระเบีย ซูดาน ไทย ตุรกี สหรัฐอาหรับเอมิเรตส์ และ อุซเบกิสถาน 

ภาพแสดงประเทศลูกค้าของสปายแวร์ RCS 



นักวิจัยได้ชี้ว่าในประเทศที่กล่าวข้างต้นนี้ มีเก้าประเทศที่มีดัชนีชี้วัดประชาธิปไตย (จัดขึ้นโดยนิตยสารดิ อีโคโนมิสต์ ปีค.ศ.2012) ในอันดับต่ำสุด นอกจากนี้ประเทศอียิปต์และตุรกียังมีปัญหาการประท้วงในประเทศอีกด้วย หลังจากมีรายงานที่ซิติเซ่นแล็บเผยแพร่ออกมา 


บริษัท Hacking Team ได้แถลงว่าซอฟท์แวร์ของตนมีจุดประสงค์เพื่อต่อสู้กับอาชญากรรมและการก่อการร้ายเท่านั้น และจะไม่ขายให้กับประเทศที่ถูกจำกัดสิทธิ์หรือขึ้นบัญชีดำโดย สหภาพยุโรป อเมริกา และนาโต้ อย่างไรก็ตามซิติเซ่นแล็บได้โต้แย้งในประเด็นนี้ และยกตัวอย่างมาประกอบ โดยกล่าวถึงกิจกรรมจากปลายทางของ RCS ในอาเซอร์ไบจาน ในระหว่างเดือนมิถุนายนและพฤศจิกายนปีที่แล้ว และชี้แนะว่าเทคนิคคล้าย ๆ กันนี้อาจใช้เพื่อจารกรรมข้อมูลจากนักข่าวสืบสวน Khadija Ismayilova ก่อนการเลือกตั้งระดับชาติ นอกจากนี้ องค์การเพื่อสิทธิมนุษยชน ฮิวแมนไรท์วอทช์ได้รายงานว่า การวิจารณ์รัฐบาลคาซัคสถานได้จางหายไป ในขณะที่ปลายทางของ RCS ได้ทำงานอยู่ในประเทศ ส่วนกิจกรรมของ RCS ในอิตาลีที่เป็นต้นกำเนิดของ RCS พบว่ามีความเข้มข้นมาก นักวิจัยจากซิติเซ่นแล็บได้กล่าวสรุปการค้นพบว่า การบุกรุกระบบโดยใช้สปายแวร์ส่วนใหญ่เหล่านี้อาจได้รับการรับรองทางกฏหมาย และสังเกตเห็นถึงการร่วมมือกันระหว่างบริษัทที่ขายโปรแกรมโจมตีช่องโหว่ซอฟท์แวร์ (exploit kit) และบริษัทที่ขายโทรจันที่ขโมยข้อมูลผู้ใช้ และกล่าวเพิ่มเติมว่าการบุกรุกในลักษณะนี้ “ไม่เหมาะสม” และ “ไม่รับผิดชอบ” อย่างยิ่ง 


รายการของปลายทาง RCS ในประเทศต่าง ๆ 

Endpoint IP    ประเทศ    พบครั้งแรก    พบครั้งสุดท้าย     
109.235.193.83    อาเซอร์ไบจาน    6/2/2013    11/26/2013     
190.242.96.49    โคลอมเบีย    10/21/2013    1/7/2014     
41.33.151.150    อียิปต์    3/10/2013    10/29/2013     
216.118.232.xxx    เอธิโอเปีย    11/18/2013    2/3/2014     
81.183.229.xxx    ฮังการี    6/16/2012    ยังทำงานอยู่     
2.228.65.226    อีตาลี    10/26/2012    ยังทำงานอยู่     
82.104.200.51    อีตาลี    9/17/2012    12/2/2013     
88.33.54.xxx    อีตาลี    6/4/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/18/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/17/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/18/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/18/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/17/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/15/2012    ยังทำงานอยู่     
89.218.88.xxx    คาซัคสถาน    8/21/2013    ยังทำงานอยู่     
211.51.14.129    เกาหลี    8/26/2012    1/7/2014     
203.217.178.xxx    มาเลเซีย    5/28/2012    ยังทำงานอยู่     
189.177.47.xxx    เม็กซิโก    1/30/2014    ยังทำงานอยู่     
189.177.65.13    เม็กซิโก    11/13/2013    12/10/2013     
189.177.74.147    เม็กซิโก    11/1/2013    11/1/2013     
201.157.43.60    เม็กซิโก    10/13/2013    1/7/2014     
200.67.230.2    เม็กซิโก    5/25/2012    ยังทำงานอยู่     
41.248.248.xxx    เม็กซิโก    6/3/2012    ยังทำงานอยู่     
41.248.248.xxx    เม็กซิโก    7/25/2012    ยังทำงานอยู่     
41.248.248.xxx    เม็กซิโก    6/12/2012    ยังทำงานอยู่     
41.248.248.xxx    เม็กซิโก    5/27/2012    ยังทำงานอยู่     
81.192.5.xxx    เม็กซิโก    7/25/2012    ยังทำงานอยู่     
62.251.188.xxx    เม็กซิโก    5/31/2012    ยังทำงานอยู่     
197.210.255.178    ไนจีเรีย    9/15/2013    10/21/2013     
95.49.xxx.xxx53    โปแลนด์    8/10/2012    ยังทำงานอยู่     
37.242.13.10    ซาอุดิอาระเบีย    1/7/2014    1/7/2014     
62.149.88.20    ซาอุดิอาระเบีย    6/5/2012    7/2/2013     
41.78.109.91    ซูดาน    12/14/2012    1/12/2014     
203.149.47.xxx    ไทย    10/4/2013    ยังทำงานอยู่     
95.9.71.180    ตุรกี    11/13/2013    11/19/2013     
81.95.226.134    อุซเบกิสถาน    8/7/2013    9/2/2013     
81.95.224.10    อุซเบกิสถาน    1/22/2013    1/26/2013     
217.29.123.184    อุซเบกิสถาน    7/21/2013    9/16/2013    


SRAN Dev Team
02/2557

อ่านรายละเอียดเพิ่มเติมได้จาก 

https://citizenlab.org/2014/02/mapping-hacking-teams-untraceable-spyware/ 
https://citizenlab.org/2014/02/hacking-team-targeting-ethiopian-journalists/ ข้อมูลอ้างอิงจาก http://www.scmagazineuk.com/21-governments-have-used-untraceable-spyware/article/334346/ http://www.spiegel.de/netzwelt/web/software-von-hacking-team-dient-der-hatz-auf-dissidenten-a-954027.html

การป้องกัน DDoS/DoS สำหรับเว็บไซต์สาธารณะ

การป้องกัน DDoS/DoS สำหรับเว็บไซต์
เรื่อง DDoS/DoS เป็นเรื่องป้องกันยากแต่เราสามารถลดความเสี่ยงได้ ซึ่งทางทีมงานเราได้คิดค้นเทคนิคเรียกว่า
SRAN i[n] Block เป็นบริการหนึ่งของบริษัทโกลบอลเทคโนโลยี อินทรีเกรดเทค (www.gbtech.co.th) จัดทำขึ้นมาเพื่อวัถตุประสงค์ป้องกันเว็บไซต์ในประเทศไทยให้ปลอดภัยจากภัยคุกคามทางไซเบอร์ อีกทั้งเสริมประสิทธิภาพให้เว็บไซต์ที่ใช้บริการมีการเข้าถึงข้อมูลได้อย่างรวดเร็ว ด้วยนิยามที่ว่า “Fast and Secure” โดยการให้บริการผ่านระบบคลาวด์คอมพิวติ้ง (Cloud Computing) โดยผู้ใช้งานไม่ต้องลงทุนด้านฮาร์ดแวร์และซอฟต์แวร์ และใช้งานได้ทุกระบบปฏิบัติการ ไม่ต้องเปลี่ยนค่าโค้ดของเว็บไซต์ เพียงแค่ปรับเปลี่ยนค่าดีเอ็นเอส (DNS) ในเครื่องเว็บเซิร์ฟเวอร์ ใช้เวลาไม่เกิน 10 นาที เว็บไซต์ของหน่วยงานท่านก็จะมีความมั่นคงปลอดภัยทางข้อมูลมากขึ้น หลีกเลี่ยงภัยคุกคามที่เข้าถึงเว็บไซต์ได้อย่างมีประสิทธิภาพ ประหยัดงบประมาณในการลงทุนป้องกันภัยเป็นลักษณะ Cloud Computer
ส่วนติดตั้งที่ Site งานเราจะใช้ร่วมกับอุปกรณ์ Net Optics รุ่น iBypass รวมเรียกบริการว่า

ด้วยเทคโนโลยีเครือข่ายอัจฉริยะที่ทางทีมงาน SRAN ได้พัฒนาขึ้นจะทำให้เว็บไซต์ที่ใช้บริการ iBlock สามารถหยุดยั้งภัยคุกคามที่เกิดขึ้นจากการโจมตีผ่านช่องทางเว็บแอฟลิเคชั่น (Web Application hacking) ไม่ว่าเป็นการโจมตีที่พยายามเข้าถึงระบบฐานข้อมูล , การโจมตี DDoS/DoS และอื่นๆ รวมมากกว่า 1,000 รูปแบบการโจมตี รวมถึงมีการให้บริการเสริมเพื่อทำการปิดกั้นการเข้าถึงข้อมูลด้วยชุดไอพีแอดเดรสแบบอำพรางตนเอง (Tor Network)  ซึ่งทำให้เว็บไซต์ของหน่วยงานมีความปลอดภัยจากนักโจมตีระบบมากขึ้น 

ภาพแสดงขั้นตอนการทำงานของ IN Block Services

ขั้นตอนที่ 1 ก่อนใช้บริการ SRAN IN Block เว็บไซต์ทั่วไปได้ถูกออกแบบมาให้มีการติดต่อสื่อสารแบบ Client – Server กล่าวคือมีการติดต่อผ่านอินเทอร์เน็ตแล้วเข้าเยี่ยมชมเนื้อหาบนเว็บไซต์ได้โดยตรง  เมื่อมีการจดทะเบียนชื่อโดเมนแนม และค่าไอพีแอดเดรสที่ได้จากผู้ให้บริการอินเทอร์เน็ต (ISP : Internet Services Provider) ซึ่งเป็นการติดต่อสื่อสารเว็บไซต์ทั่วไปโดยผู้ใช้งานจะสามารถเรียกข้อมูลได้โดยตรงโดยที่ไม่สามารถแยกแยะได้ว่าผู้ใช้งานดังกล่าวติดเชื้อหรือมีลักษณะถึงการโจมตีเว็บไซต์ เจาะระบบข้อมูล ซึ่งจะเห็นได้ว่าวิธีนี้ไม่ได้ช่วยในการป้องกันภัยที่อาจเกิดขึ้น ต่อมาได้มีการคิดค้นวิธีการป้องกันโดยนำเอาอุปกรณ์ป้องกันหรือเรียกว่า Web Application Firewall ที่เป็นฮาร์ดแวร์ Appliance มาติดตั้งอยู่หน้าเว็บไซต์ซึ่งกรณีนี้จะทำให้ผู้ใช้งานต้องลงทุนในการติดตั้งและซื้ออุปกรณ์มาป้องกันภัยด้วยงบประมาณสูง เป็นเหตุผลให้เกิดบริการ SRAN IN Block ขึ้นมาเพื่อให้เว็บไซต์มีความปลอดภัยและเข้าถึงข้อมูลรวดเร็ว อีกทั้งประหยัดงบประมาณไม่ต้องลงทุนซื้อฮาร์ดแวร์และซอฟต์แวร์

ขั้นตอนที่ 2 เมื่อใช้บริการ SRAN IN Block ผู้ให้บริการเว็บไซต์ต้องทำการเปลี่ยนค่า DNS ในเครื่องเว็บเซิร์ฟเวอร์ เพื่อชี้ค่าไปที่ SRAN IN Block Center ซึ่งจัดทำบนระบบคลาวด์คอมพิวติ้ง (Cloud Computing) เมื่อมีการอัพเดทค่า DNS ใหม่ ผู้ใช้งานทั่วไปเมื่อเปิดหน้าเว็บเพจที่ใช้บริการ SRAN IN Block ก็จะเข้าถึงข้อมูลได้อย่างปกติ แต่เพิ่มการป้องกันภัยและมีความรวดเร็วขึ้น “Fast and Secure”

ขั้นตอนที่ 3 ด้วยคุณสมบัติในการป้องกันการโจมตีระบบ (Web Application Firewall) , การอำพรางค่าไอพีแอดเดรสเพื่อวัตถุประสงค์โจมตีเว็บไซต์ ก็จะไม่สามารถทำได้โดยสะดวก ด้วยเทคโนโลยี SRAN IN Block จะทำให้ลดความเสี่ยงที่จะเกิดขึ้นต่อเว็บไซต์หน่วยงานของท่านได้ และมีการจัดเก็บค่า Log File เพื่อให้สอดคล้องกับกับกฎหมายในประเทศไทยตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย

I[N] block จะทำให้เว็บไซต์และโดเมนของคุณปลอดภัยขึ้นด้วยคุณสมบัติดังต่อไปนี้

  1. ระบบรักษาความมั่นคงปลอดภัยทางข้อมูล (Web Application Security) โดยมีรูปแบบการป้องกันตามมาตรฐาน OWASP และรูปแบบการโจมตีมากกว่า 1,000 รายการ ซึ่งมีการโจมตีหลักๆ ที่เป็นภัยอันตรายต่อเว็บไซต์ดังนี้
  • การป้องกันการโจมตีลักษณะ XSS (Cross site scripting)
  • การป้องกันการโจมตีลักษณะ
  • การป้องกันการโจมตีลักษณะ RFI (Remote Files Inclusion) และการยิงโค้ด Exploit ที่มีผลกระทบต่อระบบ
  • การป้องกันการใส่ค่า character in request ที่ส่งผลกระทบต่อระบบเว็บไซต์
  • การป้องกันการพยายามเข้าถึงระบบโดยการสุ่มเดารหัสผ่าน (Brute Force Password)
  • การป้องกันการโจมตีชนิด DDoS/DoS
  • การป้องกันจากการใช้เครื่องมือตรวจสอบช่องโหว่(Security Scanner)
  • การป้องกันสแปมและบอทเน็ตในการเข้ามาสร้างความเสียหายแก่เว็บไซต์
  • มีความสามารถตรวจจับ bot/crawler ที่เข้ามาสอดแนมข้อมูลในเว็บไซต์และแยกประเภทของบอทได้ว่ามีที่มาจากที่ไหน
  1. ระบบป้องกันไอพีแอดเดรสที่ใช้ในการอำพรางตัวตน

เป็นฟังชั่นหนึ่งที่ช่วยลดความเสี่ยงจากนักโจมตีระบบที่มักจะต้องอำพรางค่าไอพีแอดเดรสของตนเองเพื่อทำการเจาะระบบ ทาง SRAN iBlock จึงจัดทำระบบ “IP Reputation” เพื่อทำการคัดกรองค่าไอพีแอดเดรสที่เคยมีประวัติการโจมตี ไม่ว่าเป็น ดังนี้

  • ไอพีที่เข้าบัญชีดำ ที่ติดในฐานข้อมูลกับหน่วยงานกลางที่เฝ้าระวังการโจมตี
  • ไอพีจากการใช้โปรแกรมทอร์เน็ตเวิร์ค (Tor network)
  • ไอพีที่เปิดมาใช้ค่าพร็อกซี่เซิร์ฟเวอร์ที่เปิดใช้แบบสาธารณะ จะมีการอัพเดทข้อมูลทุกวัน (Daily update)
  1. ระบบ CDN (Content Delivery Network)

มีการวางระบบ เครือข่ายอัจฉริยะ จะติดตั้งระบบ ทำการเก็บค่าเรียกใช้งานหากมีการเรียกซ้ำก็สามารถเข้าถึงข้อมูลได้ทันที อีกทั้งยังตั้งระบบ SRAN iBlock อยู่ในประเทศที่สำคัญตามจุดต่างๆ ที่มีผู้ใช้บริการทั่วโลก ได้แก่ประเทศญี่ปุ่น ประเทศอังกฤษ ประเทศสหรัฐอเมริกา ประเทศสิงค์โปรและประเทศไทย เพื่อเพิ่มความเร็วในการเรียกดูเนื้อหาเว็บไซต์ในจุดที่ใกล้ที่สุด ของผู้ใช้งานเยี่ยมเข้าชมเว็บไซต์

  1. ระบบจัดเก็บบันทึกข้อมูลจราจร (Log Files)

มีการจัดเก็บ บันทึกข้อมูลจราจรหรือ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์พร้อมทั้งสามารถสืบค้นหาข้อมูลลักษณะพฤติกรรมค่าไอพีแอดเดรส เพื่อใช้ในการหาผู้กระทำความผิดได้อย่างสะดวกและรวดเร็ว
โดยข้อมูลใน Log file สามารถบอกค่าได้ทั้ง 5W คือ Who , What , Where , When , Why ประกอบด้วย

  • วันเวลา(When)
  • ค่าไอพีแอดเดรส (Who)
  • สถานที่ ได้แก่ ชื่อผู้ให้บริการ ชื่อสถานที่ของค่าไอพีแอดเดรส ผ่านเทคนิค และการระบุพิกัดตำแหน่งผ่านแผนที่ภูมิสารสนเทศ (Where)
  • ค่าการเรียกค่าในเว็บไซต์ GET / POST และลักษณะการโจมตีเว็บไซต์ (What)
  • ลักษณะการโจมตีเว็บไซต์เมื่อเทียบฐานข้อมูลช่องโหว่ และภัยคุกคามที่จะเกิดขึ้นต่อเว็บไซต์ที่ใช้บริการ(Why)


    ตัวอย่างการบริการ

    1. ตัวอย่างการแสดงค่า Log file ของเว็บ www.gbtech.co.th ที่ใช้บริการ SRAN In Block
       


       ภาพตัวอย่างการแสดงค่า Log file การเข้าถึงข้อมูลเว็บไซต์ทั้งการเข้าถึงข้อมูลที่ปกติไม่มีการโจมตีและการพบการโจมตี ซึ่งค่าที่แสดงใน Log สามารถระบุได้ 5W

      Who
      What
      IPAddress
      ค่าGET/POST ที่ URL path
      Where
      สถานที่ชื่อ ISP, ชื่อหน่วยงาน ชื่อเมืองและชื่อประเทศ
      When
      เวลา
      Why
      ลักษณะการโจมตีเว็บไซต์เมื่อเทียบฐานข้อมูลช่องโหว่และภัยคุกคามที่จะเกิดขึ้นต่อเว็บไซต์ที่ใช้บริการ
    2. ตัวอย่างการปิดกั้นการเข้าถึงเว็บไซต์จากการโจมตี ด้วยการโจมตี SQL injection
      ตัวอย่างนี้เป็นข้อมูลจริงที่เกิดขึ้นกับเว็บไซต์ที่ใช้บริการ SRAN IN Block ได้แก่เว็บไซต์ www.gbtech.co.th เมื่อมีการเรียกข้อมูลที่มีลักษณะเป็นการโจมตีระบบ จากตัวอย่างในภาพจะเห็นว่านักโจมตีระบบใช้เทคนิคที่นิยมโจมตีเว็บไซต์หน่วยงานราชการในประเทศไทยคือการโจมตีแบบ “SQL injection” เมื่อนักโจมตีระบบใช้ชุดคำสั่งป้อนเข้าใส่ช่อง URL ในบราวเซอร์ ดังนี้ http://www.gbtech.co.th/site/html/search.php?lang=1-15UnION/**/SElecT%201,2,3,4… เมื่อคำสั่งเข้าสู่เว็บไซต์ที่ใช้บริการ SRAN IN Block จะปรากฏข้อความแจ้งเตือนไปยังนักโจมตีระบบ โดยมีข้อความที่หน้าจอ โดยมีทั้งภาษาไทยและอังกฤษว่า ภาษาอังกฤษ “You are not authorized to access this page. The system detected a possible attempt to compromise security.” ภาษาไทย “ขออภัยที่ไม่สามารถให้คุณเข้าเยี่ยมชมเว็บไซต์ได้ เพราะการเรียกข้อมูลของคุณอาจส่งผลต่อความปลอดภัยเว็บไซต์และมีความเสี่ยงต่อการกระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์”


       ภาพแสดงหน้าจอเมื่อมีการโจมตีเว็บไซต์ผู้ใช้บริการจะมีการปิดกั้นและขึ้นข้อความเตือน เมื่อมีการโจมตีที่ตรงตามเงื่อนไขก็จะพบว่า นักโจมตีระบบจะไม่สามารถเข้าถึงหน้าเพจและข้อมูลในเว็บไซต์ในลักษณะการเรียกข้อมูลนี้ได้ และในหน้าบริการจัดการ SRAN IN Block ก็จะพบ Log file ที่เห็นที่มาของการโจมตีดังนี้

       ภาพ Log file ที่พบการโจมตีระบบซึ่งจะสามารถระบุวันเวลา ค่าไอพีแอดเดรสนักโจมตีระบบ ระบบปฏิบัติการของนักโจมตีระบบ และ ชนิดบราวเซอร์ที่ใช้ในการโจมตีระบบและสามารถใช้เป็นหลักฐานในการดำเนินคดีความได้

    3. ตัวอย่างการปิดกั้นการเข้าถึงเว็บไซต์จากการโจมตี Remote Exploit ผ่านช่องโหว่ของ WordPress
      เนื่องจาก WordPress เป็น CMS (Content Management System) ที่คนไทยและทั่วโลกนิยมใช้กันในการจัดทำเป็นเว็บไซต์หน่วยงานเพื่อเผยแพร่ข้อมูลกันเป็นจำนวนมาก ตัวอย่างการโจมตี “Virtual just in Time Patch : TimThumb Remote Code Execution Vulnerability Exploit attempt” ซึ่ง TimThumb เป็น Plugins หนึ่งของ WordPress เข้าโจมตีที่ http://www.gbtech.co.th/wp-content/themes/TheCorporation/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.agmcmortgage.com%2Fbad.php ก็จะพบหน้าแจ้งเตือนไปยังนักโจมตีระบบและระงับการเข้าถึงข้อมูลเว็บไซต์

       ภาพหน้าจอแจ้งเตือนต่อนักโจมตีระบบเมื่อมีการพยายามโจมตีระบบด้วยการใส่โค้ดผ่านช่องโหว่ WordPress

      แสดงค่าใน Log file จะพบวันเวลา และค่าไอพีแอดเดรสของนักโจมตีระบบ

       ภาพ Log file ที่พบการโจมตีระบบซึ่งจะสามารถระบุวันเวลา ค่าไอพีแอดเดรสนักโจมตีระบบ ระบบปฏิบัติการของนักโจมตีระบบ และ ชนิดบราวเซอร์ที่ใช้ในการโจมตีระบบได้

    4. ตัวอย่างการค้นหาข้อมูลการโจมตีจาก Log file
      เมื่อผู้ใช้บริการ SRAN IN Block Services ต้องการค้นหาว่ามีค่าไอพีแอดเดรสของนักโจมตีระบบเว็บไซต์เกิดขึ้นเมื่อวันเวลาใดและเหตุการณ์อะไรนั้น สามารถค้นหาได้ผ่านระบบสืบค้นซึ่งจะทำให้สืบหาการกระทำความผิดทางเทคโนโลยีได้อย่างสะดวกและรวดเร็วขึ้น
    5. ตัวอย่างการค้นหา การโจมตีชนิด Cross Site Scripting

       ภาพตัวอย่างการค้นหาความพยายามที่โจมตีเว็บไซต์ชนิด Cross site Scripting

    6. ต้วอย่างการแสดงผลภาพรวมการโจมตีผ่านแผนที่ภูมิสารสนเทศ


       ภาพการแสดงแผนที่การโจมตีจะทำให้ผู้ใช้บริการทราบว่าเว็บไซต์ของหน่วยงานเรานั้นถูกโจมตีจากประเทศใดบ้างซึ่งหากสีเข้มพบว่ามีการโจมตีสูงจากภาพพบว่าเว็บไซต์ www.gbtech.co.th ถูกโจมตีจากประเทศไทยเป็นจำนวน 2,373 ครั้ง ข้อมูลของวันที่ 18 มิถุนายน 2556

    7. รายงานภาพรวมการโจมตีเว็บไซต์ที่ใช้บริการ SRAN IN Block

       ภาพลำดับการโจมตีเว็บไซต์ด้วยเทคนิคต่างๆ 20 อันดับโดยวัดค่าจากจำนวนครั้งที่โจมตีจากมากไปน้อย

    8. การป้องการเข้าถึงข้อมูลเว็บไซต์จากการอำพรางค่าไอพีแอดเดรส 

       ภาพเมื่อทำการเปิดโปรแกรม Tor network เพื่อจะทำการอำพรางไอพีแอดเดรสของตนเอง จากภาพจะได้ค่า IP คือ 173.254.216.69 และเมื่อทำการเปิดเว็บไซต์ www.gbtech.co.th ก็จะถูกปิดกั้นและขึ้นข้อความเตือนเนื่องจากมีการอำพรางไอพีแอดเดรส

      ปัจจุบันทั้งหมดอยู่ในบริการเรียกว่า

       ที่ทางกลุ่ม SRAN Dev นำเสนอเพื่อเป็นทางเลือกหนึ่งในสินค้าบริการจากประเทศไทย

สถิติภัยคุกคามที่เกิดขึ้นกับผู้ให้บริการโทรคมนาคมและอินเทอร์เน็ตในประเทศไทย ปี 2556

ข้อมูลที่นำเสนอต่อไปนี้เป็นการรวบรวมสถิติโดยเฉพาะภัยคุกคามทางโทรคมนาคมและอินเทอร์เน็ตที่เกิดขึ้นในประเทศไทย จึงคิดว่าควรจัดรวบรวมข้อมูลนี้สรุปเป็นรายปี เกิดขึ้นโดยการรวมค่าที่ได้มาจาก ASN (Autonomous System Number) ที่มีอยู่ในประเทศไทยและค้นหาตามไอพีที่อยู่ภายใต้ ASN จัดรวมในรูปข้อมูลบนฐานข้อมูลกลางทำให้เราเห็นภาพรวมที่น่าสนใจ

ภาพจากระบบ SRAN : Thailand Internet Map System ที่จัดทำขึ้นเมื่อปลายปี 2556  
จากข้อมูลที่ทางทีมงาน SRAN ได้รวบรวมขึ้นมาเมื่อเดือนธันวาคม พ.ศ. 2556 พบว่า
จากภาพแผนที่อินเทอร์เน็ตที่ทางศูนย์เทคโนโลยีและคอมพิวเตอร์แห่งชาติ NECTEC ได้จัดทำขึ้นในเดือนธันวาคม 2556 ที่เป็น International Internet Gateway มาประกอบกับข้อมูลที่ทางทีมงาน SRAN จัดทำลงฐานข้อมูลจะสามารถสรุปได้ดังนี้

1. เส้นทางการเชื่อมต่ออินเทอร์เน็ตในประเทศไทยไปยังต่างประเทศ
จากจำนวนค่า ASN ที่ Active โดยมีการเส้นทางการเชื่อมต่ออินเทอร์เน็ตและมีการใช้งานแก่ผู้บริโภคทางโทรคมนาคมจำนวน 252 ASN พบลิงค์ไปยังต่างประเทศ 46 ประเทศที่ปรากฏ

จะพบว่าเส้นทางเชื่อมต่อินเทอร์เน็ตไปที่ประเทศสหรัฐอเมริกาจำนวนมากที่สุดถึง 22 ลิงค์ รองลองมาคือประเทศญี่ปุ่น จำนวน 8 ลิงค์ และประเทศออสเตเลีย และอังกฤษจำนวน 7 ลิงค์
ASN ที่สำคัญในประเทศไทย
2. CAT Telecom 
– AS4651  มีการเชื่อมโยงดังนี้
ภาพแผนที่การเชื่อมโยงอินเทอร์เน็ตขาต่างประเทศของ AS4651
รวมลิงค์ที่เชื่อม AS4651 จำนวน 21 ลิงค์ที่ไปต่างประเทศ
โดยเชื่อมกับประเทศสหรัฐอเมริกาจำนวน 8 ลิงค์ ประเทศอังกฤษ จำนวน 3 ลิงค์ และฮ่องกง จำนวน 3 ลิงค์ เป็นต้น
– AS4652 
– AS9931
3. TOT
 AS38040 
เมื่อทำการวิเคราะห์ภาพรวมประเภทหน่วยงานภายในประเทศไทย แบ่งเป็น 3 ชนิดภัยคุกคามจาก 5 กลุ่มประเภทหน่วยงาน ซึ่งประกอบด้วย
ชนิดที่ 1 : เว็บไซต์ในประเทศไทยที่ถูกโจมตี ได้แก่ การโจมตีชนิดที่มีการเปลี่ยนแปลงข้อมูลในเว็บไซต์ (web defacement)
ชนิดที่ 2 : เว็บไซต์ในประเทศไทย ที่ตกเป็นฐานของฟิชชิ่ง (Phishing) จนกลายเป็นเว็บหลอกลวง
ชนิด ที่ 3 : เว็บไซต์ในประเทศไทย ที่ติดไวรัสคอมพิวเตอร์ (Malware) ซึ่งส่วนใหญ่แล้วจะเป็นเว็บไซต์ที่ถูกโจมตีแล้วสามารถเข้าถึงระบบได้และมีการนำไฟล์ไวรัสเข้าสู่เครื่องคอมพิวเตอร์
โดยสามารถจัดอันดับตาม ASN ในประเทศไทยได้ดังนี้
(ข้อมูลจาก www.sran.net)
รายชื่อ 10 อันดับ หน่วยงานที่พบการโจมตีบนโลกไซเบอร์ (Web Attack) มากที่สุดในประเทศไทย 
อันดับ 1 AS9931  ของบริษัท CAT Telecom  จำนวนที่พบ 6,543 ครั้ง
อันดับ 2 AS9891 ของบริษัท CS LOXINFO  จำนวนที่พบ 1,913 ครั้ง
อันดับ 3 AS4618 ของบริษัท Internet Thailand Company Limited จำนวน 1,336 ครั้ง
อันดับ 4 AS56067 ของบริษัท Metrabyte company จำนวน 1,330 ครั้ง
อันดับ 5 AS23974 ของกระทรวงศึกษาธิการ จำนวน 924 ครั้ง
อันดับ 6 AS4765 ของบริษัท World Net & Services จำนวน 916 ครั้ง
อันดับ 7 AS4621 ของโครงข่ายมหาวิทยาลัยและสถาบันการศึกษา จำนวน 599 ครั้ง
อันดับ 8 AS7470 ของบริษัท True Internet จำนวน 294 ครั้ง
อันดับ 9 AS23884 ของบริษัท Proimage Engineering and Communication จำนวน 261 ครั้ง
อันดับ 10 AS9737 ของบริษัท TOT จำนวน 183 ครั้ง
รายชื่อ 10 อันดับ หน่วยงานที่พบว่ามีการติดเชื้อ (Malware) มากที่สุดในประเทศไทย
อันดับ 1 AS9931 ของบริษัท CAT Telecom จำนวน 19,027 ครั้ง
อันดับ 2 AS9891 ของบริษัท CS Loxinfo จำนวน 3,607 ครั้ง
อันดับ 3 AS56067 ของบริษัท Metra byte company จำนวน 2,612 ครั้ง
อันดับ 4 AS131447 ของบริษัท POP IDC จำนวน 1,596 ครั้ง 
อันดับ 5 AS23884 ของบริษัท Proimage Engineering and Communication จำนวน 860 ครั้ง
อันดับ 6 AS9737 ของบริษัท TOT จำนวน 650 ครั้ง
อันดับ 7 AS23974 ของกระทรวงศึกษาธิการ จำนวน 639 ครั้ง
อันดับ 8 AS7654 ของบริษัท Internet Service Provider จำนวน 592 ครั้ง
อันดับ 9 AS7470 ของบริษัท True Internet จำนวน 405 ครั้ง
อันดับ 10 AS56309 ของบริษัท Siam Data จำนวน 386 ครั้ง
Nontawattana  Saraman
SRAN Dev

นนทวรรธนะ  สาระมาน
18/01/57

แนวโน้มภัยคุกคามที่เกิดขึ้นในปี 2557

ทางทีมงาน SRAN ได้รวบรวมภัยคุกคามที่คิดว่ามีแนวโน้มจะเกิดขึ้นในปี 2557 มาให้อ่านโดยประกอบเนื้อหาดังนี้

1. การใช้บริการธนาคารผ่านทางโทรศัพท์มือถือ จะได้รับผลกระทบจากการโจมตี MITM การพิสูจน์ยืนยันสองขั้นตอน ไม่เพียงพออีกต่อไป

ปี 2555 เราได้เห็นถึงการเพิ่มขึ้นอย่างรวดเร็วของภัยคุกคามบริการธนาคารออนไลน์ ไตรมาสที่สามเห็นการติดเชื้อมัลแวร์ในระดับสูงอย่างที่ไม่เคยเกิดขึ้นมาก่อน
ภัยคุกคามธนาคารไม่ได้จำกัดอยู่ที่คอมพิวเตอร์เพียงอย่างเดียว เรายังพบมัลแวร์เหล่านี้ในโทรศัพท์มือถืออีกด้วย แอพบริการธนาคารปลอมกลายเป็นปัญหาที่พบบ่อย และได้ตกเป็นเป้าหมายของอาชญากร นำมาโดยแอพมุ่งร้ายที่เสแสร้งว่าเป็นตัวสร้างรหัสสำหรับการพิสูจน์ตัว
การใช้โทรศัพท์มือถืออย่างไม่ตั้งใจ อาจทำให้การพิสูจน์ยืนยันสองขั้นตอนไม่เพียงพอ เนื่องจากผู้คนใช้โทรศัพท์มือถือเพื่อการทำธุรกรรมทางการเงิน และการพิสูจน์ตัวมากขึ้น อาชญากรเริ่มใช้การดักข้อมูลตัวเลขที่ใช้เพื่อการพิสูจน์ตัว โดยอาศัยความช่วยเหลือจากมัลแวร์บนโทรศัพท์มือถือ เช่นPERKEL และ ZITMO

ในปี 2556 เกือบหนึ่งในห้าของผู้ใช้สมาร์ทโฟนในสหรัฐ ฯ ทำธรุกรรมผ่านทางอุปกรณ์พกพา คาดว่าตัวเลขนี้จะเพิ่มขึ้นในปี 2557 ซึ่งจะเป็นปีแห่งใช้บริการธนาคารในโทรศัพท์มือถือ แต่คาดได้ว่าจะมีภัยคุกคามอย่างการโจมตี man-in-the-middle (MitM) เพิ่มขึ้นด้วย

แอนดรอยด์จะยังคงเป็นระบบปฏิบัติการที่โดดเด่นมากที่สุดในตลาด แต่ความโดดเด่นนี้จะยังคงถูกใช้ประโยชน์ เนื่องจากเราคาดเดาว่าปริมาณของแอพมุ่งร้ายและมีความเสี่ยงสูง จะไปถึงสามล้านแอพ ภายในสิ้นปี 2557 ถึงแม้ Google จะทุ่มเทความพยายามในการแก้ไขปัญหานี้ โดยการออกระบบปฏิบัติการใหม่ Android KitKat แต่ไม่ใช่ผู้ใช้ทุกคนที่จะได้รับประโยชน์จากฟีเจอร์ด้านความปลอดภัยใหม่นี้ เนื่องจากปัญหาในขั้นตอนการอัพเดทของระบบปฏิบัติการ

ระบบปฏิบัติการใหม่ ๆ สำหรับโทรศัพท์มือถือ เช่น Tizen, Sailfish และ Firefox ที่อ้างว่าสามารถทำงานร่วมกับแอพของแอนดรอยด์ได้ กำลังเข้าสู่ตลาด ข้อดีคือ ทำให้แอพของแอนดรอยด์สามารถทำงานบนระบบปฏิบัติการอื่น ๆ ได้ แต่ก็มีข้อเสียคือ ช่วยให้อาชญากรสร้างภัยคุกคามสำหรับหลากหลายแฟลตฟอร์มได้ง่ายมากยิ่งขึ้น

2. อาชญากรจะใช้วิธี targeted attack และ spear phishing เพิ่มมากขึ้น

targeted attack เป็นการโจมตีที่มุ่งเป้าไปยังผู้ใช้ บริษัท หรือองค์การแบบเฉพาะเจาะจง ไม่ทำแบบสุ่มไปทั่ว แต่จะออกแบบมาเพื่อโจมตีและละเมิดเป้าหมายเฉพาะเท่านั้น

ในปี 2556 การโจมตีครั้งหนึ่งสามารถควบคุมคอมพิวเตอร์มากกว่า 12,000 ไอพีจากประเทศต่าง ๆ มากกว่า 100 ประเทศ โดยใช้เครื่องแม่ข่ายcommand-and-control (C&C) เพียงสองตัว แสดงให้เห็นว่าขนาดนั้นไม่สำคัญ แม้แต่การโจมตีที่เล็กที่สุดก็สามารถใช้ได้ผลกับเป้าหมายขนาดใหญ่ที่สุดได้ การโจมตีที่ประสบความสำเร็จเหล่านี้ทำให้อาชญากรนำเทคนิคของ targeted attack มาใช้

ในปี 2557 อาชญากรจะใช้วิธี targeted attack เพิ่มมากขึ้น การค้นคว้าเกี่ยวกับซอฟท์แวร์โอเพ่นซอร์ส และการโจมตี spear phishing จะมีเพิ่มมากขึ้น

spear phishing เป็นความพยายามหลอกลวงโดยใช้อีเมลปลอม มุ่งเป้าไปที่องค์การเฉพาะเจาะจง เพื่อให้สามารถเข้าถึงข้อมูลความลับ โดยทั่วไปแล้ว จะไม่ใช่การกระทำแบบสุ่ม แต่เป็นเกิดจากผู้กระทำความผิดที่มุ่งหวังผลประโยชน์ทางการเงิน ความลับทางการค้า หรือข้อมูลข่าวสารทางทหาร

แรงจูงใจของการนำเทคนิคของ targeted attack มาใช้ มีมากกว่าเรื่องอัตราผลสำเร็จ ยังเป็นเพราะการใช้งานง่าย และประสิทธิผลในการหลบหลีกการตรวจจับ ส่วนการโจมตี spear phishing ยังทำได้ค่อนข้างง่าย และยากในการติดตามหาต้นตอ

จะมีการใช้ช่องโหว่ CVE-2012-0158 และ CVE-2010-3333 เพื่อโจมตีเป้าหมายต่อไป โดยเฉพาะ CVE-2010-3333 เป็นช่องโหว่ที่ถูกโจมตีมากที่สุดใน Microsoft Word จนกระทั่งมีช่องโหว่ CVE-2012-0158 ปรากฏขึ้นมา

อย่างไรก็ตามอาชญากรจะไม่อาศัยเพียงช่องโหว่ในซอฟท์แวร์และระบบเท่านั้น แต่ยังพยายามเอาชนะจุดอ่อนที่สุด คือมนุษย์นั่นเอง

3. ในปริบทของ targeted attack เราจะเห็นการโจมตี  clickjacking และ watering hole มากขึ้น

watering hole เป็นกลยุทธ์ในการโจมตีที่ค้นพบในปี 2555 โดยบริษัท RSA โดยผู้โจมตีต้องการโจมตีกลุ่มเฉพาะเจาะจง ประกอบด้วยสามขั้นตอนคือ หนึ่ง คาดเดาหรือสังเกตเว็บไซต์ที่กลุ่มนั้นใช้งานบ่อย สอง แพร่มัลแวร์ไปยังเว็บไซต์เหล่านี้ สาม สมาชิกในกลุ่มเป้าหมายติดเชื้อมัลแวร์ โดยอาศัยความเชื่อถือที่กลุ่มเป้าหมายมีต่อเว็บไซต์ ทำให้กลยุทธ์นี้มีประสิทธิภาพ ถึงแม้กลุ่มนี้จะมีความต้านทานต่อการโจมตี spear phishing หรือรูปแบบอื่น ๆของphishing

ปี 2556 เฟซบุ๊คตกเป็นเหยื่อของการโจมตี watering hole ต้นตอมาจากเว็บไซต์ของผู้พัฒนา iPhone แห่งหนึ่ง การโจมตีนี้โดดเด่น เนื่องจากความแม่นยำและความสำคัญของเหยื่อ โดยผู้โจมตีได้ฝังมัลแวร์ไปในหน้าเว็บหนึ่ง ที่รู้ว่าสามารถดึงดูดเป้าหมายที่พวกเขาต้องการได้ เหตุการณ์นี้แสดงให้เห็นว่า ผู้โจมตีไม่จำเป็นต้องอาศัยกลวิธีแนบไฟล์มาพร้อมอีเมล ตามแบบดั้งเดิมเท่านั้น

เราจะเห็นการโจมตี watering hole มากขึ้นในปี 2557 ผู้โจมตีจะหลอกล่อเป้าหมายมายังไซต์ที่มี watering hole โดยใช้เทคนิค social engineeringหรือ clickjacking เพื่อที่จะใช้ช่องโหว่เพื่อบุกรุกคอมพิวเตอร์

clickjacking เป็นเทคนิคในการหลอกล่อผู้ใช้ให้คลิกที่บางสิ่งบางอย่าง ที่แตกต่างจากสิ่งที่ผู้ใช้เข้าใจว่ากำลังคลิกอยู่ ซึ่งจะเปิดเผยข้อมูลความลับ หรือยึดการควบคุมคอมพิวเตอร์ ในขณะที่กำลังคลิกในหน้าเว็บที่ดูเหมือนไม่มีอันตราย เป็นปัญหาความปลอดภัยของเว็บบราวเซอร์ clickjack จะใช้รูปแบบของโค้ดหรือสคริปท์ที่สามารถปฏิบัติการโดยที่ผู้ใช้ไม่รู้ตัว เช่นการคลิกที่ปุ่มที่ดูเหมือนจะทำงานอีกหน้าที่หนึ่ง

จากการที่มีช่องโหว่ในระบบปฏิบัติการที่พบน้อยลง ผู้โจมตีจะหันไปสนใจกับช่องโหว่ในชุดซอฟท์แวร์มากขึ้น โดยเฉพาะซอฟท์แวร์ที่ไม่ได้รับการสนับสนุนจากผู้ขายอีกต่อไป ซึ่งจะนำไปสู่การโจมตีที่มุ่งเป้าไปที่ช่องโหว่ที่ค้นพบใหม่ ๆ

ผู้โจมตีจะไม่อาศัยอีเมลเป็นพาหะการโจมตีเพียงอย่างเดียว ด้วยการเพิ่มขึ้นของแนวโน้มที่พนักงานนำอุปกรณ์ไอทีของตนมาใช้ในที่ทำงาน (consumerization) ซึ่งจะทำให้โทรศัพท์มือถือกลายเป็นพาหะในการโจมตีเพิ่มมากขึ้น ผู้โจมตีจะมุ่งเป้าไปที่อุปกรณ์ใด ๆ ที่จะเชื่อมต่อกับเครือข่ายเป้าหมาย ทำให้อุปกรณ์ที่สวมใส่ได้อย่างนาฬิกาอัจฉริยะ (smart watches) ก็จะกลายเป็นเป้าหมายใหม่ด้วย

4. เราจะได้เห็นการละเมิดข้อมูลครั้งสำคัญ เกิดขึ้นเดือนละครั้ง

ข้อมูลยังคงเป็นสิ่งที่ดึงดูดใจสำหรับอาชญากร การบุกรุกระบบของ Adobe เมื่อไม่นานมานี้ได้ขโมยข้อมูลของผู้ใช้ราว 150 ล้านบัญชี ทำให้เกิดโดมิโน เอฟเฟกต์ ผู้ให้บริการรายอื่น ๆ เตือนผู้ใช้ให้อัพเดทบัญชี เพื่อป้องกันการบุกรุกในกรณีที่ใช้ข้อมูลล็อกอินและรหัสผ่านเหมือนกัน

ปี 2556 ได้เกิดการละเมิดข้อมูลขึ้นหลายครั้ง Evernote ขอให้ผู้ใช้ 50 ล้านราย อัพเดทบัญชีของตน หลังจากค้นพบว่าแฮกเกอร์อาจได้เข้าถึงข้อมูลเหล่านี้ LivingSocial ถูกละเมิดข้อมูลของผู้ใช้ 50 ล้านคน ส่วน Yahoo! ญี่ปุ่นถูกละเมิดข้อมูลของผู้ใช้ 22 ล้านราย

เหตุการณ์สำคัญ ๆ เหล่านี้จะยังคงดำเนินต่อไปในปี 2557 เครื่องแม่ข่ายเว็บที่เหมือนกับ Adobe จะยังคงตกเป็นเป้าหมายต่อไป ไม่มีองค์การใดที่จะปลอดภัยจากการละเมิดข้อมูล ใครบางคนจะพยายามบุกรุกเครือข่ายโดยใช้เครื่องมือและการโจมตีช่องโหว่ใหม่ ๆ

5. การโจมตีช่องโหว่ในซอฟท์แวร์ที่ผู้จำหน่ายยกเลิกการสนับสนุนแล้ว แต่ยังมีการใช้กันอย่างกว้างขวาง เช่น Java 6 และ Windows XP จะเพิ่มมากขึ้น

อาชญากรพยายามค้นหาช่องโหว่ในการรักษาความปลอดภัย เพื่อเริ่มการโจมตี การสิ้นสุดการสนับสนุน Java 6 เมื่อต้นปี 2556 พิสูจน์ได้ว่าเป็นโอกาสทอง

โปรแกรมโจมตีช่องโหว่ (exploit) ใน Java ได้ถูกผนวกเข้ากับ Neutrino Exploit Kit ซึ่งเป็นที่รู้กันดีว่าใช้สำหรับแพร่เชื้อมัลแวร์เข้าไปในคอมพิวเตอร์เพื่อเรียกค่าไถ่ (ransomware) สิ่งที่ทำให้การโจมตีนี้สร้างปัญหาใหญ่คือ จำนวนผู้ใช้ Java ราวร้อยละ 50 ยังคงใช้ Java 6

อาชญากรใช้เทคนิค reverse-engineer กับ patch ที่ผู้จำหน่ายปล่อยออกมา เพื่อตรวจสอบว่าช่องโหว่ไหนที่แก้ไขไปแล้ว และใช้ความรู้นี้เพื่อมุ่งเป้าการโจมตีที่ระบบเก่า โดยเฉพาะซอฟท์แวร์ที่ยกเลิกการสนับสนุนแล้ว สิ่งนี้อาจเป็นสาเหตุที่ทำให้เกิดการโจมตี Java 6

คนร้ายยังโจมตีช่องโหว่ในซอฟท์แวร์เฉพาะด้านอีกด้วย  ช่องโหว่ต่าง ๆ ใน Adobe ColdFusion ที่ใช้ในการพัฒนาเว็บแอพพลิเคชั่น ได้ถูกโจมตีเพื่อเข้าถึงฐานข้อมูล เฉพาะปี 2556 ได้มีการละเมิดข้อมูลที่มุ่งเป้าที่หน่วยงานทางทหาร รัฐบาล และการวิจัยทางอวกาศ มีรายงานว่าการละเมิดเหล่านี้ เป็นผลมาจากการเข้าถึงซอร์สโค้ดของ ColdFusion อย่างผิดกฏหมาย

จากการที่ไมโครซอฟท์จะหยุดให้การสนับสนุนสำหรับ Windows XP ในปี 2557 เราจะได้เห็นเหตุการณ์แบบเดียวกันกับ Java 6คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการนี้มีความเสี่ยงในการติดมัลแวร์ มากกว่าวินโดวส์เวอร์ชั่นอื่น ๆ 6 เท่า ตัวเลขอาจสูงขึ้นอีกหลังจากการสนับสนุนหยุดลงแล้ว

ข้อมูลบอกไว้ว่าราวร้อยละ 20 ของผู้ใช้พีซียังใช้ Windows XP ตัวเลขอาจจะไม่มากเท่ากับผู้่ใช้ Windows 7 แต่ยังคงแสดงให้เห็นถึงตัวเลขของผู้ที่อาจตกเป็นเหยื่อ ช่วยไม่ได้ที่ Windows XP ยังคงมีฐานผู้ใช้งานกว่า 300 ล้านเครื่องในบริษัทต่าง ๆ อีกด้วย

ระบบฝังตัวต่าง ๆ (embedded sytem) รวมถึงเทอร์มินัลของ point-of-sale (PoS) อุปกรณ์ในสถานพยาบาล และโครงสร้างพื้นฐานที่สำคัญ อาจเป็นต้นเหตุของภัยคุกคามเครือข่าย เนื่องจากมักจะใช้วินโดวส์รุ่นเก่าที่ไม่ได้รับการสนับสนุนจากผู้ขาย ถึงแม้ว่าระบบเหล่านี้มีความเฉพาะเจาะจงสูงมาก อาชญากรอาจใช้ประโยชน์จากการขาดการสนับสนุนและใช้เพื่อจุดเริ่มต้นการบุกรุก

คาดว่าการโจมตี ColdFusion จะดำเนินต่อไปในปี 2557 เช่นกัน เพราะการโจมตีที่ผ่านมาไม่นาน พบว่าเป็นเหยื่อที่มีค่าสูง อาชญากรจะยังคงโจมตีที่คล้ายคลึงกัน โดยหวังว่าจะได้พบกับเป้าหมายที่เป็นเป้าสายตาของสาธารณะชน

6. Deep Web จะท้าทายฝ่ายบังคับใช้กฏหมาย

Deep Web เข้ามาอยู่ในความสนใจหลังจากเอฟบีไอได้จับกุม Silk Road ซึ่งเป็นตลาดใต้ดิน แต่ถือกันว่าเป็นชัยชนะเพียงเล็กน้อย เนื่องจากมีการพบเห็นเว็บไซต์เวอร์ชั่นใหม่ขึ้นมาอีก เพียงหนึ่งเดือนหลังจากการปิดตัว ตลาดอื่น ๆ ก็จะทำตามในไม่ช้า โดยอ้างว่า มีความปลอดภัยที่ดีกว่าสำหรับผู้ซื้อและผู้ขาย

การแก้ไขอาชญากรรมทางอินเทอร์เน็ตทำได้ยาก เนื่องจากโดยธรรมชาติแล้ว แตกต่างจากอาชญากรรมทั่วไป หน่วยงานบังคับใช้กฎหมายอาจไม่มีระเบียบการ หรือบุคลากรที่ถูกต้อง เพื่อจัดการกับอาชญากรรมทางอินเทอร์เน็ต ความยุ่งยากยังเกิดขึ้นเมื่อการสืบสวนเกี่ยวข้องกับรัฐและประเทศที่แตกต่างกัน ซึ่งอาจมีกฎหมายและระเบียบการที่หลากหลาย

ในปี 2557 อาชญากรจะหลบซ่อนใต้ดินลึกมากยิ่งขึ้น Deep Web ให้การปิดบังชื่อผ่านทาง ‘darknets’ ซึ่งเป็นเครือข่ายชนิดหนึ่ง ที่รับประกันได้ถึงการเข้าถึงที่ไม่เปิดเผย และไม่สามารถตามรอยได้ เครือข่าย darknet ที่นิยมมากที่สุดคือ The Onion Router (TOR) Deep Web ยังช่วยให้อาชญากรสามารถซ่อนเนื้อหาจากการตรวจสอบ โดยสามารถหลบหลีกจาก search engine ได้ ดังนั้นเนื้อหาที่ประกาศลงใน Deep Web จึงไม่สามารถเข้าถึงผ่านทางโครงสร้างพื้นฐานอินเทอร์เน็ตสาธารณะได้

หน่วยงานบังคับใช้กฎหมาย ซึ่งอาจไม่มีความรู้หรือประสบการณ์เพียงพอในการจัดการกับอาชญากรรมทางอินเทอร์เน็ต จะประสบความลำบากในการติดตามอาชญากรรมใน Deep Web พัฒนาการใต้ดินนี้จะทำให้หน่วยงานบังคับใช้กฎหมายต้องลงทุนในการต่อสู้กับอาชญากรรมอินเทอร์เน็ตเพิ่มขึ้น เราจะได้เห็นการริเริ่มจากองค์การระหว่างประเทศ ที่นำโดยประเทศที่พัฒนาแล้วมากขึ้น ซึ่งจะตระหนักถึงสถานการณ์มากขึ้น และดำเนินการที่เป็นรูปธรรม พวกเขาจะนำผู้เชี่ยวชาญมาฝึกสอนเจ้าหน้าที่บังคับใช้กฎหมาย โชคไม่ดีที่ประเทศโลกที่สามยังคงตามหลังอยู่ 4-5 ปี

7. ความไม่เชื่อใจของสาธารณชนจะมีผลตามมา หลังจากการเปิดโปงกิจกรรมการเฝ้าสังเกตที่รัฐเป็นผู้อุปถัมภ์ ส่งผลให้เกิดช่วงเวลาของความพยายามฟื้นฟูความเป็นส่วนตัว

เอกสารความลับที่เอ็ดเวิร์ด สโนว์เดน อดีดผู้รับจ้างของ NSA ได้รับมา เน้นถึงสภาพที่ซับซ้อนของความเป็นส่วนตัวในยุคดิจิตัล

การใช้สปายแวร์ (spyware) ไม่ได้จำกัดอยู่ที่อาชญากรอีกต่อไป จริง ๆ แล้ว สปายแวร์กลายเป็นเครื่องมือของฝ่ายรัฐบาล เพื่อการจารกรรมทางการเมือง เรายังได้เห็นการขายสปายแวร์เชิงการค้า โดยมักทำการตลาดให้เป็นเครื่องมือในการติดตามคู่สมรสนอกใจ กระแสหลักของการใช้สปายแวร์ และการสอดแนม มีเส้นบาง ๆ กั้นอยู่ระหว่างข้อมูลข่าวสารที่เป็น “ส่วนตัว” และ “สาธารณะ”

ความกังวลเกี่ยวกับความเป็นส่วนตัว ผลักดันให้ผู้ใช้ระมัดระวังการแสดงตนในอินเทอร์เน็ตมากขึ้น วัยรุ่นหลายคนได้เปลี่ยนจากการใช้เฟซบุ๊คมาใช้แอพส่งข้อความแทน ด้วยจำนวนผู้ใช้เฟซบุ๊คมากกว่าหนึ่งพันสองร้อยล้านคน  วัยรุ่นพบว่ามีความเป็นส่วนตัวในเครือข่ายสังคมนี้น้อยมาก พวกเขาเลยหันไปใช้แอพส่งข้อความ เพื่อการสื่อสารทั้งในทางส่วนตัวและสังคมมากขึ้น แอพส่งข้อความ WeChat มีผู้ใช้เพิ่มขึ้นถึงร้อยละ 1,021 อายุระหว่าง 16-19 ปี ส่วนแอพแชร์รูป Snapchat อ้างว่ามี “snaps” หรือรูปภาพส่งออกไป 350 ล้านครั้งต่อวัน สาเหตุที่ทำให้มีจำนวนมากเช่นนี้ อาจเป็นเพราะฟังก์ชั่นในการลบโดยอัตโนมัติของแอพนี้ ใช้เพื่อป้องกันความเป็นส่วนตัวของผู้ใช้

การเปิดโปงกิจกรรมการเฝ้าสังเกตที่รัฐเป็นผู้อุปถัมภ์ ผลักดันให้หลาย ๆ คนพิจารณาถึงที่เก็บข้อมูลของพวกเขาใหม่ ความไม่เชื่อใจในการใช้โครงสร้างพื้นฐานของสหรัฐ ฯ จะมีผลตามมา รัฐบาลต่างชาติอาจหยุดใช้งาน ความกังวลเกี่ยวกับการเฝ้าสังเกตในระดับนานาชาติ อาจทำให้บางรัฐพิจารณาทบทวนนโยบายใหม่ โดยเฉพาะที่เกี่ยวกับการใช้งานอินเทอร์เน็ต ทั้ง ๆ ที่มีการคัดค้านของสาธารณชนอย่างรุนแรง เราจะได้เห็นการเฝ้าสังเกตในระดับรัฐเกิดมากขึ้น

ท่ามกลางความกังวลเกี่ยวกับความเป็นส่วนตัว ผู้ให้บริการคลาวด์จะยืนยันให้เห็นถึงการควบคุมด้านความปลอดภัย และการป้องกันความเป็นส่วนตัวของข้อมูล เราจะได้เห็นพวกเขาทำงานร่วมกับบริษัทด้านความปลอดภัย เพื่อให้มั่นใจได้ถึงการป้องกันข้อมูลและความเป็นส่วนตัว จะทำให้เกิดแนวโน้ม bring-your-own-controls (BYOC) ซึ่งช่วยให้ลูกค้ามั่นใจได้ว่าข้อมูลแบ่งเป็นส่วน ได้รับการป้องกัน และไม่สามารถอ่านได้จากผู้ที่ไม่ได้รับอนุญาต

ผู้ใช้จะเข้าใจว่าในการรักษาความเป็นส่วนตัว พวกเขาจำเป็นต้องควบคุมว่า ใครสามารถเห็นข้อมูลข่าวสารของพวกเขาได้ พวกเขาจะปกป้องความเป็นส่วนตัวในไซต์สำคัญ ๆ อย่าง Google และ Facebook อย่างจริงจัง ใช้ความพยายามในการเรียนรู้มากขึ้นถึงเครื่องมือที่ช่วยในการป้องกันข้อมูล และควบคุมสิ่งที่แบ่งปันในโลกออนไลน์ อาจพิจารณาถึงการสำรวจการใช้งานเครื่องมือการเข้ารหัสอย่างเช่น TOR เพื่อให้มั่นใจได้ว่าข้อมูลข่าวสารของพวกเขายังคงเป็นส่วนตัว

เราจะเห็นบริษัทต่าง ๆ ได้กำไรจากการขายข้อมูลเพื่อจุดประสงค์ในการโฆษณา บริษัทด้านการทำเหมืองข้อมูลขนาดใหญ่ (big data mining) จะเจริญเติบโตต่อไป

สำหรับอาชญากร ธรุกิจยังคงเป็นเช่นเดิม พวกเขาจะทำเงินจากข้อมูลที่ขโมยมา และประสบความสำเร็จในตลาดใต้ดิน

8. เรายังคงไม่เห็นภัยคุกคามของ Internet of Everything ที่แพร่หลายและกินขอบเขตกว้าง สิ่งนี้ต้องอาศัย “killer app” ซึ่งอาจปรากฏในส่วนของ AR ในรูปแบบของเทคโนโลยีอย่าง จอภาพสวมศีรษะ

จากการที่มีอุปกรณ์ต่าง ๆ เชื่อมต่อกันมากขึ้น การรักษาความปลอดภัยอุปกรณ์เหล่านี้ จะหมายถึงการป้องกันจุดในการเข้าถึงทั้งหมด รวมทั้งอินเทอร์เน็ตด้วย

การพัฒนาของระบบ SCADA

SCADA (Supervisory Control and Data Acquisition การควบคุมกำกับดูแลและเก็บข้อมูล) เป็นประเภทหนึ่งของระบบการควบคุมอุตสาหกรรม (Industrial Control System หรือ ICS) ที่มีการควบคุมด้วยระบบคอมพิวเตอร์ ที่เฝ้าดูและควบคุมกระบวนการทางอุตสาหกรรมที่มีอยู่ในโลกทางกายภาพ เป็นกระบวนการขนาดใหญ่ ที่สามารถรวมหลายไซต์งานและระยะทางกว้างใหญ่ กระบวนการเหล่านี้รวมถึงอุตสาหกรรม, โครงสร้างพื้นฐาน, และกระบวนการที่มีพื้นฐานมาจากการให้บริการ

ผลการวิจัยที่ผ่านมาแสดงให้เห็นว่าระบบ SCADA ยังคงขาดการรักษาความปลอดภัย ในขณะนี้ได้มีความพยายามในการแก้ไขปัญหานี้ มีการจัดตั้งโครงการให้เงินรางวัลกับผู้ค้นพบช่องโหว่ (bug bounty program) และคณะทำงานเฉพาะจากผู้จำหน่าย เพื่อให้มั่นใจได้ถึงความปลอดภัยของระบบ SCADA ถึงแม้มีข้อจำกัดด้านความปลอดภัย แต่ยังคงมีการใช้งานระบบ SCADA ต่อไป

การโจมตีในระบบ SCADA ยังคงดำเนินต่อไป การโจมตีเหล่านี้ พร้อมด้วยการอภิปรายและการวิจัย จะแสดงให้เห็นช่องโหว่ของเครือข่าย SCADAเครือข่ายนี้มักจะอาศัยการป้องกันโดยการแยกออกทางกายภาพ ทำให้ตกเป็นเป้าหมายของผู้โจมตีได้อย่างง่ายดาย

เป้าหมายใหม่ที่ง่ายต่อการโจมตี

เทคโนโลยี Radio-frequency-enabled จะกลายเป็นเป้าหมายใหม่ที่ง่ายต่อการโจมตี มักใช้ในเทคโนโลยีในกาติดตาม เช่น AIS (Automatic Identification System) ความถี่วิทยุจะกลายเป็นจุดเริ่มต้นในการโจมตี เพราะ AIS ใช้ในการจราจรทางเรือ ระบบที่มีช่องโหว่อาจถูกคนร้ายโจมตีได้

เกมเมอร์เป็นเหยื่อกลุ่มใหม่

แรงจูงใจในการมุ่งโจมตีผู้เล่นเกมส์ไม่ได้มีเพียงแต่เรื่องจำนวนเท่านั้น จำนวนผู้เล่นเกมส์คอนโซลจะไปถึง 165 ล้านคนภายในปี 2560 แต่ยังหมายถึงฮาร์ดแวร์ที่พวกเขาใช้ เกมเมอร์ใช้คอมพิวเตอร์ที่มีความสามารถในการประมวลผลสูงเพื่อใช้ในการเล่นเกมส์ที่เข้มข้น โชคไม่ดีที่พลังในการประมวลผลนี้ สามารถใช้เพื่อทำ Bitcoin mining (ขั้นตอนในการใช้พลังในการประมวลผลเพื่อใช้ในกิจกรรมของ Bitcoin) ได้เช่นเดียวกัน เราเคยเห็นสิ่งนี้เกิดขึ้นมาก่อน โดยเฉพาะเมื่อมีการรับเอา cryptocurrency (สกุลเงินอิเล็กทรอนิกส์ที่อาศัยการเข้ารหัสลับ) มาใช้เพิ่มขึ้น เรื่องนี้จะไม่เป็นสิ่งสุดท้ายที่เกิดขึ้น

การรอคอย “killer app”

เราจะได้เห็นนวัตกรรมทางเทคนิคที่ไม่สำคัญจำนวนมาก แต่ยังไม่มีการค้นพบที่ยิ่งใหญ่ในอาชญากรรมทางอินเทอร์เน็ต อาชญากรยังคงรอ “killer app” การค้นพบที่ยิ่งใหญ่ทางเทคโนโลยี ที่จะดึงความสนใจของคนจำนวนมาก ขณะที่อุปกรณ์อัจฉริยะขนาดเล็กได้ออกวางขาย แต่ยังไม่มีสิ่งใดที่ทำให้ประชาชนสนใจได้มากเท่ากับการสร้างสรรค์ที่ยิ่งใหญ่ครั้งก่อนอย่าง iPod ได้

ไปไกลกว่าปี 2557

“สิ่งท้าทายต่อไป” ที่อาชญากรกำลังรอ อาจมาจากโลกของ augmented reality (AR) เฮดเซ็ต (headsets) ความเป็นจริงเสมือน (virtual reality) จะกลายเป็นเทคโนโลยีแปลกใหม่ ไม่เพียงแต่จะเปลี่ยนพื้นที่ในการเล่นเกมส์ แต่จะใช้ในจุดประสงค์อื่น ๆ เช่น การเข้าร่วมการเรียกประชุม หรือการประกาศในเครือข่ายสังคม

อุปกรณ์อัจฉริยะเหล่านี้จะเป็นที่ต้องการมากขึ้น เฮดเซ็ตแบบ AR จะตกเป็นเป้าหมายใหม่ในการขโมยข้อมูลส่วนตัว กล้องที่อยู่ภายในจะถูกใช้เพื่อการโจมตี ทำให้อาชญากรเห็นความเคลื่อนไหวประจำวันของผู้ใช้ และเป็นเครื่องมือในการบันทึกข้อมูลต่าง ๆ เช่น PIN และข้อมูลส่วนตัวอื่น ๆ

จะมีการใช้อากาศยานที่ควบคุมจากระยะไกล (drone) เพื่อการตรวจตราและกสิกรรม พวกมันจะกลายเป็นสิ่งธรรมดาที่พบได้ทั่วไป และทำให้เป็นมาตรฐานในแวดวงการค้า โชคไม่ดีที่อาชญากรจะใช้ประโยชน์จากพวกมันเช่นเดียวกัน

ไกลกว่าปี 2557 เทคโนโลยีด้าน radio-frequency-enabled จะตกเป็นเป้าหมายอย่างแท้จริง เราจะได้เห็นการโจมตีสถานีส่งสัญญาณ AIS ภายในปี 2563 ซึ่งจะมีผลที่รุนแรงมากต่อธุรกิจการขนส่งสินค้าทางเรือเป็นต้น

9. การโจมตีแบบ DDoS จะทำแบบหลบซ่อนมากขึ้น

ผู้โจมตี DDoS จะเปลี่ยนจากการโจมตีที่ใช้การโจมตีที่มีปริมาณมาก ๆ ไปเป็นการโจมตีคอขวด ที่มีผลกระทบกับการดำเนินงาน อย่างเช่นหน้าเว็บที่ทำให้เครื่องแม่ข่ายทำงานหนัก หรือคอขวดทางเครือข่ายโดยเฉพาะ (อย่างเช่นการจัดการ login และ session) ซึ่งสามารถขยายผลกระทบจากการโจมตีได้มากกว่าการโจมตีที่อาศัยปริมาณ ดังนั้นอาจเริ่มเห็นการแพร่กระจายของเครื่องมือที่เก็บรวบรวมข้อมูลเกี่ยวกับไซต์ที่ต้องการโจมตี ทำให้การโจมตี DDoS มีผลกระทบมากขึ้น แต่ปริมาณการใช้เครือข่ายน้อยลงกว่าที่เคยพบมาก่อน

10. มัลแวร์อย่าง “Stuxnets” จะพบได้บ่อยมากขึ้น

มัลแวร์ที่ได้รับการสนับสนุนระดับรัฐอย่าง “Stuxnet” เชื่อกันว่ามีต้นตอมาจากสหรัฐ ฯ อิสราเอล หรือทั้งคู่ ได้รับการพิสูจน์แล้วว่ามีความซับซ้อน และมีประสิทธิผลเกินว่าที่แฮกเกอร์เพียงสองคนจะทำได้ คาดว่าจะมีมัลแวร์ชนิดนี้จากจีน รัสเซีย อิหร่าน อินเดีย บราซิล และปากีสถาน อาจจะมีออกมาแล้วก็ได้ แต่ยังไม่สามารถตรวจจับได้ ปี 2557 เป็นปีที่จะเห็นความแพร่หลายของมันได้ชัดเจน

xxxxxxxxxxxxxxxxxxx

เรียบเรียงโดย   นนทวรรธนะ  สาระมาน และ เกียรติศักดิ์  สมวงศ์

Nontawattana  Saraman   and  Kiattisak  Somwong

SRAN Dev Team
10/01/2557

ข้อมูลอ้างอิง

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-trend-micro-security-predictions-for-2014-and-beyond.pdf

http://www.esecurityplanet.com/network-security/7-security-trends-to-expect-in-2014.html

http://searchsecurity.techtarget.com/definition/spear-phishing

http://www.webopedia.com/TERM/T/targeted_attack.html

http://en.wikipedia.org/wiki/Watering_Hole

http://en.wikipedia.org/wiki/Clickjacking

http://en.wikipedia.org/wiki/Deep_Web

http://th.wikipedia.org/wiki/%E0%B8%A3%E0%B8%B0%E0%B8%9A%E0%B8%9A%E0%B8%AA%E0%B8%81%E0%B8%B2%E0%B8%94%E0%B8%B2

http://Bitcoin.org/en/faq#what-is-bitcoin-mining

http://en.termwiki.com/TH:cryptocurrency

http://appreview.in.th/disruptive-technology-and-business/

Anonymous Router : Untracked เราเตอร์ล่องหน

การตั้งค่า

  1. ทำการ Restore OpenWrt firmware ไปยัง เครื่อง router ซึ่งดูรุ่นตามตารางนี้ Table of Hardware
  2. ทำการ SSH ไปยัง OpenWrt router and install package dependency โดยมีขั้นตอนดังนี้
    opkg update
opkg install libevent2-openssl libevent2 libminiupnpc libnatpmp tor-alpha tor-alpha-fw-helper tor-alpha-geoip
  3. ทำการ Configure network configuration file, ไปที่ /etc/config/network
    config interface 'Untracked'
    option proto 'static'
    option ipaddr '172.16.1.1'
    option netmask '255.255.255.0'
  4. ทำการ Configure firewall zone configuration file, append ไปที่ /etc/config/firewall
    config zone
    option name 'Untracked'
    option network 'Untracked'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option conntrack '1'

config rule
    option name 'Allow-Tor-DHCP'
    option src 'Untracked'
    option proto 'udp'
    option dest_port '67'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Tor-DNS'
    option src 'Untracked'
    option proto 'udp'
    option dest_port '9053'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Tor-Transparent'
    option src 'Untracked'
    option proto 'tcp'
    option dest_port '9040'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Tor-SOCKS'
    option src 'Untracked'
    option proto 'tcp'
    option dest_port '9050'
    option target 'ACCEPT'
    option family 'ipv4'
  5. ทำการ Configure tor (Untracked) dhcp network, ไปยัง /etc/config/dhcp
    config dhcp Untracked
    option interface    Untracked
    option start        100
    option limit        150
    option leasetime    1h
  6. ทำการ Configure torrc file
    RunAsDaemon 1
DataDirectory /var/lib/tor
User Untracked
VirtualAddrNetwork 10.192.0.0/10
TransPort 9040
TransListenAddress 172.16.1.1
DNSPort 9053
DNSListenAddress 172.16.1.1
TrackHostExits .
TrackHostExitsExpire 1800
StrictExitNodes 1
ExitNodes {de},{ru},{us},{fr},{gb},{at},{in},{br},{it},{ua}
  7. ทำการ Configure tor startup, ไปยัง /etc/rc.local
    sleep 10; 
/etc/init.d/tor start
  8. ทำการ Configure wireless configuration use tor network, ปรับเปลี่ยนค่า /etc/config/wireless
    config wifi-iface
    option device 'radio1'
    option mode 'ap'
    option encryption 'psk-mixed'
    option key 'xxxxxxxx'
    option ssid 'UNT'
    option network 'Untracked'
  9. ทำการ Configure ปรับเปลี่ยน firewall rule (iptables),  ปรับเปลี่ยนค่า /etc/firewall.user
    enable_transparent_tor() {
  iptables -t nat -A PREROUTING -i wlan1 -p udp --dport 53 -j REDIRECT --to-ports 9053
  iptables -t nat -A PREROUTING -i wlan1 -p tcp --syn -j REDIRECT --to-ports 9040 
}
enable_transparent_tor

SRAN Dev Team

ในวันที่ CAT บางรักไฟดับ

ช่วงเที่ยงของวันที่ 30 พฤศจิกายน 2556 ม็อบที่ต่อต้านรัฐบาลได้เข้าไปยังอาคารบริษัท กสท โทรคมนาคม หรือ CAT Telecom ทำให้เกิดไฟฟ้าดับที่อาคารทั้งหมด ซึ่งกลุ่มม๊อบพยายามเรียกการกระทำเช่นนี้ว่า เป็นการทำอารยะขัดขืน แต่ผลลัพธ์ที่เกิดนั้นส่งผลให้การสื่อสารที่เชื่อมต่อทางอินเทอร์เน็ตได้มีผลกระทบโดยตรง โดยเฉพาะเราเตอร์หลักที่ใช้ทำงานเป็นเกตเวย์ประเทศ ซึ่งในต่างประเทศเรียกเหตุการณ์นี้ว่า “Internet Outage” โดยที่เหตุการณ์ในครั้งนี้ที่เกิดขึ้นกินเวลาเกือบ 4 ชั่วโมง ที่ไม่สามารถใช้งานได้ตามปกติ และส่งผลกระทบอะไรบ้างนั้น
ผมลองมานั่งเขียนดูเผื่อว่าท่านผู้อ่านจะได้นึกภาพตามไปด้วยกันได้ถูกต้อง และช่วยประเมินในความเสียหายได้บ้าง

ภาพแสดงข้อมูลสถานะการเชื่อมติดต่อข้อมูลของทางทรูอินเทอร์เน็ต

เรียบเรียงผลกระทบ ดังนี้
1. ผลกระทบการเชื่อมข้อมูล ผ่าน AS4651
AS4651 เป็น Gateway ที่สำคัญของประเทศตัวหนึ่งที่มีการเชื่อมโยงกับโครงข่ายทั้งในและต่างประเทศเป็นจำนวนมาก โดยข้อมูลในวันที่เกิดขึ้น พบว่า AS4651 มีจำนวน IPv4 ที่ให้บริการจำนวน 15,104 ค่า ข้อมูลทั่วไปจากลงทะเบียน ชื่อที่อยู่และผู้ติดต่อของ AS4651

person:         IP-network CAT Telecom
nic-hdl:        IC174-AP
e-mail:         ip-noc@cat.net.th
address:        Data Comm. Dept.(Internet)
address:        address:      CAT Telecom Public Company Ltd,
address:        address:      72 Charoenkrung Road Bangrak Bangkok THAILAND 10501
phone:          +66-2-6142374
fax-no:         +66-2-6142270
country:        TH
changed:        suchok@cat.net.th 20051202
mnt-by:         MAINT-TH-THIX-CAT
source:         APNIC

person:         THIX network staff CAT Telecom
nic-hdl:        TC476-AP
e-mail:         admin-thix@cat.net.th
address:        Data Comm. Dept.(Internet)
address:        address:      CAT Telecom Public Company Ltd,
address:        address:      72 Charoenkrung Road Bangrak Bangkok THAILAND 10501
phone:          +66-2-6142374
fax-no:         +66-2-6142270
country:        TH
changed:        suchok@cat.net.th 20051202
mnt-by:         MAINT-TH-THIX-CAT
source:         APNIC
ข้อมูลเชิงสถิติที่เกี่ยวกับการเชื่อมต่อข้อมูลไปยัง ASN ทั้งในและต่างประเทศ

ประวัติของสถานะการเชื่อมต่อข้อมูล

กราฟแสดงสถานะการติดต่อสื่อสารของ AS4651 ดูย้อนหลัง 90 วัน และค่า Upstreams สำหรับ AS4651
จากกราฟจะพบว่าในวันที่ 30 พฤศจิกายน 2556 นั้นมีการหยุดการใช้งานไปช่วงเวลาหนึ่งกราฟจะดิ่งตกตัดค่าเป็น 0 ขาดการติดต่อกับ ASN อื่นๆ ทั้งในประเทศและต่างประเทศ
AS4651 ในวันที่ 30 พฤศจิกายน 2556 นั้นมีการเชื่อมโยงการติดต่อข้อมูลทั้งหมด 112 การเชื่อมโยงผ่าน Protocol BGP Peering
ตัวอย่างบางส่วนของเครือข่ายที่เชื่อมติดต่อกับ AS4651
เมื่อทำการพิจารณาทั้งหมดจาก 112 เครือข่ายพบว่ามีโครงข่ายในประเทศไทยที่กระทบถึง 28 โครงข่ายประกอบด้วย (วัดค่าจากตอนเหตุการณ์ปิดการสื่อสารในวันที่ 30 พฤศจิกายน 2556) ดังนี้
1. True : AS7470
2. CAT 1 : AS9931
3. BB-BroadBand (UIH) : AS38794
4. 3BB : AS45758
 5. INET : AS4618
6. World Net : AS4765
7. Jasmine : AS7616
8. CSloxinfo : AS4750
9. DTAC : AS9587
10. KIRZ : AS24187
11. Milcom : AS3888
12. ServeNET : AS45413
13. Proimage Engineering : AS23884
14. Symphony Communication AS132876
15. Loxley Wireless : AS45142
16. Smart Corp : AS4741
17. Nettree : AS45456
18. NIPA : AS45328
19. CAT 2 : AS131090
20. My Telecom Group : AS24491
21. TT&T : AS55465
22. Fiber To the Home : AS9413
23. PTT ICT : AS55403
24. SiamData : AS56309
25. A-Net : AS4776
26. 101 Global : AS45606
27. NTTCTNET : AS38566
28. Uni-Net : AS4621
** ที่สำคัญอันเกิดผลกระทบต่อผู้บริโภค คือ True : AS7470 , 3BB , DTAC , CAT (Data Center) และ Uni-Net โครงข่ายฝั่งมหาวิทยาลัยต่างๆในประเทศไทย

2. ผลกระทบต่อ AS9931
AS9931 เป็น Router ตัวสำคัญตัวหนึ่งของบริษัท กสท โทรคมนาคม หรือ “CAT Telecom” เนื่องจาก Router ตัวนี้จะมีการเชื่อมต่อให้กับหน่วยงานต่างทั้งในและต่างประเทศ ซึ่งความสำคัญไม่น้อยไปกว่า AS4651 และอาจจะส่งผลกระทบต่อการใช้ของหน่วยงานทั้ง ภาครัฐบาลและภาคเอกชน จะสร้างความเสียหายมากกว่า AS4651 ด้วยหากเหตุการณ์นี้เกิดขึ้นในวันทำงาน ข้อมูลเบื้องต้นสำหรับ AS9931

ข้อมูลเบื้องต้น AS9931

person:         Serthsiri Khantawisoote
address:        Data Communication Department, CAT
address:        Bangkok 10501
country:        TH
phone:          +66-2-237-4300
fax-no:         +66-2-506-3186
e-mail:         kserth@cat.net.th
nic-hdl:        SK79-AP
mnt-by:         MAINT-TH-THIX-CAT
changed:        hostmaster@apnic.net 20000320
source:         APNIC

person:         Tanussit Klaimongkol
address:        Data Comm. Dept.(Internet)
address:        CAT Bangkok 10501
address:        Thailand
country:        TH
phone:          +66-2-2374300
fax-no:         +66-2-5063186
e-mail:         ktanus@cat.net.th
nic-hdl:        TK38-AP
mnt-by:         MAINT-TH-THIX-CAT
changed:        ktanus@cat.net.th 20000215
source:         APNIC

ข้อมูลเชิงสถิติของ AS9931 จำนวนค่า IPv4 ที่ให้บริการมีจำนวน 198,912 ค่า

AS9931 มีการเชื่อมต่อกับโครงข่ายทั้งในและต่างประเทศรวมทั้งหมด 41 เครือข่าย ซึ่งโดยมากเป็นเครือข่ายในประเทศไทยและเป็นภาคเอกชน และหน่วยงานของรัฐเป็นต้น

ดังตัวอย่างเครือข่ายที่มีการเชื่อมต่อ AS9931 ดังนี้

รายการเครือข่ายที่มีการเชื่อมติดต่อกับ AS9931

จะเห็นได้ว่า AS9931 จะกระทบต่อหน่วยงานต่างๆภายในประเทศไทยจำนวนมาก ได้แก่ สถาบันการเงิน เช่น
– ภาคธนาคารประกอบด้วย ธนาคารไทยพาณิชย์ , ธนาคารแห่งประเทศไทย เป็นต้น
– มหาวิทยาลัย ประกอบด้วย มหาวิทยาลัยเชียงใหม่ , มหาวิทยาลัยรามคำแหง เป็นต้น
– สายการบิน ประกอบด้วย การบินไทย , Bangkok Airway เป็นต้น
– กระทรวง ประกอบด้วย กระทรวงการคลัง , กระทรวงการต่างประเทศ และกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เป็นต้น
– รัฐวิสาหกิจ เช่น การประปา และ การไฟฟ้าภูมิภาค

อีกทั้งส่งผลกระทบไปยังผู้ให้บริการต่างประเทศที่มีการเชื่อมสัญญาณมาที่ AS9931 เช่นประเทศลาว และกัมพูชา ก็ได้รับผลกระทบต่อการขาดการติดต่อสื่อสารเนื่องจากไฟฟ้าในอาคาร กสท บางรักถูกตัดไฟอีกด้วย หากเหตุการณ์ดังกล่าวเกิดขึ้นในวันธรรมดา คือ วันจันทร์ – ศุกร์ ผลกระทบและความเสียหายที่เกิดขึ้นจะมีมูลค่าความเสียหายมากกว่าที่เกิดเหตุการณ์ขึ้นในวันเสาร์ที่ผ่านมาเป็นอันมาก