ประเภทของ botnet

การจำแนกตามประเภทบอทเน็ต
การทดสอบประสิทธิภาพในการจำแนกประเภทเหตุการณ์ต่างๆที่มีการนำบอทเน็ตมาใช้ ผู้จัดทำได้คัดเลือกเหตุการณ์ที่ปรากฏในช่วงปีที่ผ่านมาและมีการแสดงให้เห็นถึงความหลากหลายของจุดประสงค์ที่ใช้งาน ในบางกรณีอาจมีความเกี่ยวข้องกันจึงถูกจัดให้อยู่ในกลุ่มลำดับเหตุการณ์เดียวกันทั้งหมด ทั้งนี้เป็นเพราะเหตุการณ์เหล่านั้นมีการนำบอทเน็ตชนิดเดิมมาใช้เพื่อจุดมุ่งหมายเดียวกัน (รายละเอียดสามารถดูได้ที่ตารางด้านล่าง)
1. Stuxnet
ถึงแม้ว่าจำนวนเครื่องคอมพิวเตอร์ที่ได้รับการติดเชื้อจาก Stuxnet จะมีจำนวนที่ไม่มากและมีการเจาะจงเป้าหมายการโจมตี แต่รูปแบบการทำงานโดยพื้นฐานของ Stuxnet ก็ได้ถูกจัดให้เป็นบอทเน็ตชนิดหนึ่ง อันเพราะมีความสามารถทางด้านการสั่งการและควบคุมเฉกเช่นคุณลักษณะที่บอทเน็ตทั่วไปพึงจะมี
ปัญหาหนึ่งในการจำแนกเหตุการณ์ตามหมวดหมู่ คือการขาดความน่าเชื่อถือของข้อมูลอันเนื่องมาจากร่องรอยจำนวนมากที่ได้ถูกทิ้งไว้ ส่งผลให้การคัดแยกคุณลักษณะของผู้ใช้งานบอทเน็ตเป็นเรื่องที่ยากและในขณะเดียวกันนั้น ทางทีมผู้จัดทำได้เชื่อว่าเหตุการณ์ดังกล่าวอาจมีตัวแทนภาครัฐมีส่วนเกี่ยวข้องด้วย อันเนื่องมาจากขีดความสามารถในการโจมตีและเจตนาในการก่อวินาศกรรมเป็นแรงจูงใจที่ปรากฏให้เห็น Stuxnet นั้นมีการแพร่กระจายโดยปราศจากความยินยอม และความเสียหายที่เกิดขึ้นต่อระบบอุตสาหกรรมแสดงให้เห็นถึงความสามารถในการปฏิเสธการให้บริการได้อย่างดี
2. GhostNet
GhostNet เป็นบอทเน็ตชนิดหนึ่งที่ไม่ปรากฏถึงที่มาของผู้ควบคุม มีอัตราการติดเชื้ออยู่ในระดับที่ต่ำ (ประมาณ 1,300) และในกลุ่มที่มีการติดเชื้อเป็นเป้าหมายที่มีความสำคัญ คิดเป็น 30% ของทั้งหมด ซึ่งแสดงให้เห็นถึงจุดมุ่งหมายเพื่อการจารกรรมข้อมูลจากกลุ่ม pro-Tibet โดย GhostNet ใช้วิธีการขโมยข้อมูลผ่านเครื่องคอมพิวเตอร์ที่ติดเชื้อโดยไม่ได้รับการยินยอมจากเจ้าของเครื่อง
3.ปฏิบัติการตอบโต้
ปฏิบัติการดังกล่าวได้เริ่มดำเนินการขึ้นโดยกลุ่มผู้สนับสนุนเว็บไซต์ WikiLeaks ภายหลังที่กลุ่มผู้ให้บริการการเงินหลายกลุ่มได้หยุดให้บริการแก่ WikiLeaks หลังจากเหตุการณ์นำข้อมูลความลับของประเทศสหรัฐอเมริกามาเปิดเผย
การโจมตีได้ถูกกระทำผ่านโปรแกรมโจมตีเครือข่ายให้บริการแบบเปิดที่มีชื่อว่า Low OrbitIon Cannon ด้วยความร่วมมือและการเตรียมการในเวบบอร์ด, ทวิตเตอร์ และเซิฟเวอร์ควบคุมและสั่งการ หากอ้างอิงตามการจัดประเภทของบทความนี้แล้ว ปฏิบัติการดังกล่าวจะถือว่าเป็นการแสดงขีดความสามารถในการโจมตี ผ่านการปฏิเสธการให้บริการแบบกระจาย และกระทำด้วยความยินยอมหรือสมัครใจของผู้ติดเชื้อบอทเน็ต
4. Help-Israel-Win
เป็นการกระทำของกลุ่ม pro-Israel ที่มีการผลักดันให้เกิดการต่อต้านองค์กรฮามาสของปาเลสไตน์ ผ่านการแสดงขีดความสามารถในการโจมตี ด้วยการจัดตั้งเว็บไซต์ที่เปิดให้มีการดาวน์โหลดโปรแกรม เพื่อให้เครื่องของผู้ใช้งานติดเชื้อบอทเน็ตด้วยความสมัครใจ หากอ้างอิงจากข้อมูลที่เผยแพร่โดยกลุ่มนี้จะพบว่า การโจมตีเว็บไซต์ของ pro-Palestinian ด้วยวิธีการปฏิเสธการให้บริการแบบกระจาย อย่างไรก็ตามไม่มีรายงานระบุว่ากลุ่มดังกล่าวได้กระทำการโจมตี หรือประสพผลสำเร็จจากการโจมตีแล้วหรือไม่
5. Conficker
จวบจนถึงทุกวันนี้ ยังเป็นที่ไม่ทราบว่าใครคือผู้พัฒนาหรือเจ้าของของบอทเน็ตตัวนี้ แต่จากการวิเคราะห์ความสามารถในการปรับตัวเข้ากับมาตรการตอบโต้ต่างๆอย่างรวดเร็ว ทำให้เชื่อได้ว่ามีหลายบุคคลอยู่เบื้องหลังการพัฒนา เนื่องมาจากไม่ปรากฏถึงความสามารถในการทำงานใดๆ นอกไปจากคำสั่งในการถ่ายโอนข้อมูล ทำให้เกิดการคาดเดาว่า Conficker เป็นเพียงแค่บอทเน็ตที่ใช้ในการพิสูจน์ถึงแนวคิดการทำงาน ดังนั้นแรงจูงใจการใช้บอทเน็ตจึงตกไปอยู่ที่เพื่อการศึกษาและวิจัย ผ่านการติดเชื้อที่ไม่ได้รับความยินยอมจากเจ้าของเครื่อง
6. Mariposa
เป็นบอทเน็ตที่ได้มีการกล่าวอ้างว่ามีเครือข่ายของผู้ติดเชื้อที่ใหญ่ที่สุดเท่าที่เคยมีมา ได้ถูกพัฒนาขึ้นและใช้งานโดยกลุ่มอาชญากรข้ามชาติเพื่อผลประโยชน์ด้านการเงิน ผ่านการขโมยข้อมูลในการทำธุรกรรมอีเล็คทรอนิกส์,บัตรเครดิต และใช้เพื่อในการโจมตีปฏิเสธการให้บริการแบบกระจาย ด้วยเครือข่ายของกลุ่มเครื่องที่ติดเชื้อโดยไม่ได้รับความยินยอม
7. Belarus censorship
รัฐเบลารุสมีประวัติอันยาวนานในเรื่องการบังคับใช้การเซ็นเซอร์บนอินเทอร์เน็ตแก่ประชาชนอันเนื่องมาจากกฎเกณฑ์ทางด้านข้อมูลข่าวสารที่สำคัญ Chapter ’97 ซึ่งเป็นเว็บไซต์ที่ถูกสร้างขึ้นมาเพื่อการพูดคุยเรื่องทั่วไปในเบลารุสได้ถูกโจมตีทางไซเบอร์บ่อยครั้งโดยฝีมือผู้สนับสนุนภาครัฐ ในช่วงเมษายนปี 2008 เว็บไซต์ได้ถูกโจมตีด้วยการปฏิเสธการให้บริการแบบกระจาย เพราะเหตุที่มีการเผยแพร่ข่าวการชุมนุมประท้วงเพื่อแยกรัฐอิสระ (การแก้ไขข่าวสารผ่านการคัดกรองข้อมูล)
ในขณะที่หน่วยงานภาครัฐของเบลารุสได้ปฏิเสธถึงการมีส่วนร่วมของการกระทำดังกล่าว เป็นที่เชื่อกันว่าพวกเขาไม่ได้มีการตอบโต้การโจมตีอย่างจริงจัง ซึ่งอาจจัดได้ว่าเป็นเหตุการณ์ที่กระทำโดยตัวแทนรัฐ แต่รูปแบบการใช้งาน และวิธีการติดเชื้อเป็นสิ่งที่ไม่สามารถระบุได้
ตาราง แสดงข้อมูลของการจำแนกเหตุการณ์
ตัวอย่าง
ผู้ใช้งาน
แรงจูงใจ / จุดมุ่งหมาย
รูปแบบการโจมตี
รูปแบบการติดเชื้อ
Stuxnet
ตัวแทนรัฐ
การแสดงขีดความสามารถในการโจมตี
ปฏิเสธการให้บริการ
ไม่ได้รับการยินยอม
GhostNet
ไม่สามารถระบุได้
การจารกรรมข้อมูล
จารกรรมข้อมูล
ไม่ได้รับการยินยอม
Operation Payback
ปฏิบัติการตอบโต้
กลุ่มบุคคล
การแสดงขีดความสามารถในการโจมตี
ปฏิเสธการให้บริการแบบกระจาย
ยินยอม
Israeli
กลุ่มบุคคล
การแสดงขีดความสามารถในการโจมตี
ปฏิเสธการให้บริการแบบกระจาย
ยินยอม
Conficker
กลุ่มบุคคล
การศึกษาและวิจัย
ไม่มีรูปแบบการโจมตี
ไม่ได้รับการยินยอม
Mariposa
กลุ่มบุคคล
ผลประโยชน์ทางการเงิน
จารกรรมข้อมูล / ปฏิเสธการให้บริการแบบกระจาย
ไม่ได้รับการยินยอม

ถามตอบเพื่อสร้างความเข้าใจระบบ Lawful Interception (LI)

ด้วยว่าคำว่า LI หรือ Lawful Interception ยังมีหลายท่านยังสงสัยกับคำศัพท์ดังกล่าวนี้พอสมควร ในฐานะที่ผมเป็นคนแรกๆ ที่เผยแพร่บทความที่เกี่ยวกับ LI มาจึงอยากจะสร้างความเข้าใจให้เกิดขึ้นสำหรับผู้เริ่มศึกษาและผู้ที่จะนำไปสื่อสารหรือเผยแพร่ข้อมูลได้อย่างถูกต้องและเหมาะสมให้ก่อประโยชน์แก่สังคมต่อไปในอนาคต
จึงขอเริ่มด้วยการ ถาม-ตอบ เกี่ยวกับคำศัพท์ Lawful Interception กันก่อน โดยมีคำถามตั้งต้นดังนี้
1. Lawful Interception คืออะไร ?
2. การจัดทำ Lawful Interception ทำเพื่ออะไร ?
3. มีการดำเนินการจัด LI ทำอย่างไรแบบ step by step ?
4. ปัญหาและอุปสรรคในการดำเนินการอะไรบ้าง ?
5. LI ได้ประโยชน์อย่างไร ?
6. ใครเป็นผู้ได้- ใครเสียประโยชน์จากการทำ LI ?
7. การทำ LI มีผลกระทบต่อสังคมอย่างไร ?
โดยข้อ 4 ถึง 7 ยังไม่ขอกล่าวถึงในที่นี้
คำถามที่ 1 : Lawful Interception คืออะไร ?
ตอบ :
คือระบบการตรวจสอบข้อมูลสารสนเทศที่ถูกต้องตามกฏหมาย หรือ กฏระเบียบภายในองค์กร
ซึ่งเราสามารถแบ่งรูปแบบในการตรวจสอบข้อมูลแบบ LI ดังนี้
– ระดับโลก / ระดับภูมิภาค
– ระดับประเทศ
– ระดับบริษัท และหน่วยงาน
1. ระดับโลก / ระดับภูมิภาค นั้นจะพบว่าการสร้างเป็นกฏระเบียบการปฏิบัติการ Lawful Interception มีความพยายามให้เป็นสากลโดยการออกมาตรฐานต่างๆเพื่อมารองรับได้แก่ สถาบันมาตรฐานโทรคมนาคมแห่งยุโรป (European Telecommunications Standards Institute : ETSI) โครงการ 3rd Generation Partnership Project (3GPP) หรือองค์กรต่าง ๆ ของเคเบิลแล็บส์ (CableLabs) ที่รับผิดชอบด้านเครือข่ายไร้สาย/อินเทอร์เน็ต เครือข่ายไร้สาย และระบบเคเบิล ตามลำดับ ในสหรัฐฯ ข้อบังคับที่เทียบเคียงได้ให้อำนาจตามกฎหมาย Communications Assistance for Law Enforcement Act (CALEA) ซึ่งได้ระบุความสามารถเจาะจงโดยการประกาศใช้ ด้วยความร่วมมือของคณะกรรมการกลางกำกับดูแลกิจการสื่อสาร (Federal Communications Commission) และกระทรวงยุติธรรม
2. ระดับประเทศ ในแต่ละประเทศอาจมีกฏระเบียบแตกต่างกันไป ขึ้นกับการบริหารและการปกครองของแต่ละประเทศ อย่างเช่นประเทศที่เป็นสังคมนิยม หรือ สาธารณรัฐก็จะมีความเด็ดขาดในการออกกฏเกณฑ์ต่างๆที่เกี่ยวข้องกับการใช้งานข้อมูลสารสนเทศและอินเทอร์เน็ต เช่นประเทศ จีน พม่า และประเทศแถบอาหรับ , ส่วนประเทศที่เป็นเสรี ที่มีระบอบประชาธิปไตย ก็มีหลายประเทศที่ทำ LI อย่างเป็นกิจลักษณะ โดยเฉพาะประเทศที่พัฒนาแล้ว เช่น อเมริกา แคนาดา ญี่ปุ่น เป็นต้น ด้วยเหตุว่าการเปิดเสรีในแสดงความคิดเห็นในการกระทำใดๆก็ตามนั้น ผู้แสดงความคิดต้องรับผิดชอบการกระทำของตนด้วย เพราะถึงจะเสรีแต่ก็ตรวจสอบได้ หากพบการก่อเหตุอันจะทำให้เป็นภัยแก่ประเทศของตนเอง แล้วนั้นต้องป้องกันภัยไม่ให้ภัยนั้นตกสู่ประชาชน นี้เป็นแนวคิดของประเทศที่เสรีที่พัฒนาแล้ว
สำหรับประเทศไทยนั้นได้มีการนำ LI พิจารณาหลายครั้งแต่ปัจจุบันยังคงไม่ได้ทำกันอย่างเป็นกิจลักษณะและยังไม่มีหน่วยงานที่รับผิดชอบอย่างเป็นทางการ
3. ระดับบริษัท / หน่วยงาน ได้แก่ ธนาคาร บริษัทมหาชน หรือ บริษัทที่เกี่ยวข้องกับการผลิต บริษัทที่เกี่ยวข้องกับข้อมูลการให้บริการประชาชน เหล่านี้ล้วนแล้วแต่จัดทำ Lawful Interception ซึ่งความแตกต่างในระดับประเทศและภูมิภาคนั้น คือ การดำเนินการและการออกกฏเกณฑ์ต่างๆ ที่อาจจะเกิดผลลัพธ์ในเชิงรูปธรรมได้สะดวกว่าในระดับอื่นที่กล่าวมา
คำถามที่ 2 : การจัดทำ Lawful Interception ทำเพื่ออะไร ?
ตอบ :
เป้าหมายของการทำ Lawful Interception นั้นคือ การตรวจสอบข้อมูลอันอาจก่อให้เกิดความเสียหาย การกระทบต่อความมั่นคงของ ภูมิภาค ประเทศ และ องค์กร
โดยข้อมูลในนี้คือการติดต่อสื่อสารระหว่างผู้ส่งสารและผู้รับสาร โดยผ่านผู้ให้บริการข้อมูล ซึ่งจะเฉพาะจงเจาะสำหรับข้อมูลที่สื่อสารผ่านระบบเครือข่ายคอมพิวเตอร์ และอินเทอร์เน็ต เป็นสำคัญ เนื่องจากข้อมูลบนอินเทอร์เน็ตมีความเสรีในตัว ซึ่งหากจะจำแนกเจาะจงว่าผู้ใดเป็นผู้ส่งสารนั้นจะไม่สามารถทำได้หากขาดระบบการทำ Lawful Interception
ข้อมูลที่ก่อให้เกิดความเสียหาย นั้น อาจแบ่งได้ดังนี้
– ข้อมูลที่เกิดจากการแสดงความคิดเห็นที่เป็นภัยต่อประเทศ และ องค์กร ซึ่งในที่นี้จะหมายถึงความคิดเห็นจากบุคคลทั่วไป หรือ พนักงานในองค์กร ที่มีลักษณะความคิดที่แตกต่างกัน ซึ่งนำไปสู่ความขัดแย้ง อันก่อให้เกิดผลเสียหายตามมา หากมีความผิดตามกฏระเบียบแบบแผน , กฏหมาย , วัฒนธรรมและศิลธรรมอันดีงามแล้วก็จะก่อให้เกิดความเสียหายต่อภาพลักษณ์องค์กร หรือประเทศ ได้ ยกตัวอย่างเช่น ในระดับประเทศ เป็นประเทศไทย การแสดงความคิดเห็นซึ่งมีผลกระทบต่อสถาบันหลักของประเทศ เช่น สถาบันพระมหากษัตริย์ ซึ่งถือได้ว่าเป็นศูนย์รวมจิตใจของประชาชนชาวไทย มีความอ่อนไหวในการแสดงความคิดเห็น หรือแม้กระทั่ง ความขัดแย้งทางความคิดเสื้อแดง เสื้อเหลือง เป็นต้น ในระดับองค์กร ก็จะมองในเรื่องทรัพยากรบุคคล อันทำให้เกิดความเสื่อมเสียขององค์กร และการเสียผลประโยชน์ขององค์กรเป็นหลัก
– ข้อมูลที่เป็นบ่อเกิดของอาชญากรรม ได้แก่ การหลอกลวงในชนิดต่างๆ ผ่านช่องทางการสื่อสาร ซึ่งในปัจจุบันก็จะพบข้อมูลประเภทนี้มากขึ้น เช่น อาชญากรรมข้ามประเทศ , การหลอกลวงผ่านแก๊ง Call Center ผ่านระบบ VoIP อินเทอร์เน็ต , การค้ามนุษย์, การค้ายาเสพติด ผ่านช่องทางสื่อสารอินเทอร์เน็ต เป็นต้น
– ข้อมูลที่เป็นภัยคุกคาม ได้แก่ การก่อการร้าย, การวางระเบิด, การขโมยข้อมูลภายในองค์กร/หน่วยงาน การละเมิดลิขสิทธิ ทรัพย์สินทางปัญญา และการกระทำอื่นที่ทำให้ประชาชนในประเทศและองค์กร เกิดความไม่ปลอดภัยในชีวิตและทรัพย์สิน เป็นต้น
– ข้อมูลที่เป็นภัยคุกคามทางเทคนิค ได้แก่ การแพร่ระบาดของไวรัสคอมพิวเตอร์ การบุกรุกเครือข่ายคอมพิวเตอร์จาก Hacker , การโจมตีเพื่อให้ระบบข้อมูลไม่สามารถทำงานได้ DDoS / DoS , การส่งข้อมูลขยะ (Spam) การหลอกลวง (Phishing) ทำให้เกิดผู้เสียหาย เป็นต้น
หากประเทศใด หรือ องค์กรใด ยังไม่มีระบบที่สามารถตรวจสอบข้อมูลอันเป็นภัยดังกล่าวมานั้น จะทำให้การก่อเหตุอันไม่เหมาะสมนั้นเกิดขึ้นอย่างต่อเนื่องและกระทบต่อชีวิตความเป็นอยู่ของประชาชนในประเทศนั้นได้ เนื่องจากการกระทำความผิดในรูปแบบการสื่อสารผ่านช่องทางเครือข่ายคอมพิวเตอร์และอินเทอร์เน็ตนั้นไม่สามารถตรวจสอบที่มาที่ไปของข้อมูลได้หากไม่มี กระบวนการ ,เทคโนโลยี และ บุคคลการ พอเพียง
ในบางประเทศที่มีการใช้งานข้อมูลอินเทอร์เน็ตจำนวนมาก เช่น จีน และ อเมริกา จึงสนใจการทำ Lawful Interception มากและมีกฏระเบียบที่ชัดเจนสำหรับความมั่นคงของชาติและการป้องกันประเทศของตนให้พ้นจากภัยอันตรายที่เกิดจากการสื่อสารข้อมูล เป็นต้น
คำถามที่ 3 : มีการดำเนินการจัด LI ทำอย่างไรแบบ step by step ?
ตอบ
ขั้นตอนการทำ Lawful Interception (LI) เนื่องจากในขั้นต้นได้บอกว่า LI นั้นเป็นระบบ ซึ่งในระบบนั้นจะมีส่วนประกอบย่อย โดยสามารถแยกเป็นองค์ประกอบได้ดังนี้
1. องค์ประกอบการดำเนินการ LI (Process) : การออกกฏเกณฑ์เพื่อปฏิบัติ อันเป็นที่ยอมรับในสังคม จะจัดทำเป็น
1.1 นโยบาย (Policy) เพื่อออกกฏระเบียบมาตราฐานกลาง (Compliance) ที่ใช้ในประเทศ หรือ องค์กร
1.2 กระบวนการปฏิบัติ (Procedure)
1.3 บทบาทหน้าที่รับผิดชอบ : หน่วยงานที่เกี่ยวข้อง หน่วยงานที่รับผิดชอบในการปฏิบัติงาน หน่วยงานที่กำกับดูแลการออกนโยบาย เป็นต้น
2. องค์ประกอบด้านเทคโนโลยี และการออกแบบระบบ Lawful Interception
2.1 ระดับประเทศ
– จัดทำตามแผนปฏับัติการตามนโยบายงานกลาง (Compliance) ที่กำหนดขึ้น
– ทำความเข้าใจสำหรับผู้ให้บริการข้อมูลเครือข่ายคอมพิวเตอร์และอินเทอร์เน็ต
– ศึกษาวงจรการเชื่อมต่อข้อมูลเครือข่ายคอมพิวเตอร์และอินเทอรเน็ตในฝั่งผู้ให้บริการ เพื่อออกแบบระบบให้รองรับกับปริมาณข้อมูลจราจรเครือข่ายคอมพิวเตอร์ (Traffic data)
– การจัดทำประเภทข้อมูลเพื่อใช้ในการทำการตรวจสอบ ได้แก่ ชนิดของ Protocol ที่ใช้สำหรับการสื่อสาร, ชนิดการสื่อสาร เป็นต้น
– การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารกันภายในประเทศ
– การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากภายในประเทศออกสู่ต่างประเทศ
– การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากต่างประเทศเข้าสู่ภายในประเทศ
– ฐานข้อมูลการเก็บประวัติเพื่อสืบค้นเฉพาะกรณี
หากมีหน่วยงานที่ดูแลรับผิดชอบที่รัฐบาลมอบหมายให้ดูแล LI ต้องทำมากขึ้นโดยการนำข้อมูลจากผู้ให้บริการอินเทอร์เน็ตมาใช้ร่วม (ยังไม่ขออธิบายในขั้นนี้)
*** ในทางเทคนิคแล้วการตรวจสอบข้อมูลในระดับประเทศไม่สามารถที่เก็บบันทึกข้อมูลทุกการกระทำทั้งหมดในการสื่อสารได้ จะทำเป็นกรณีๆ ตามเป้าหมายที่ได้ต้องสงสัยไว้หรือบางแอฟลิเคชั่นที่สำคัญเพื่อเฝ้าติดตามเป็นกรณีพิเศษ ดังนั้นหากคิดว่าจะเป็นการละเมิดสิทธิส่วนบุคคลก็ต้องขอให้คิดใหม่ว่าในทางเทคนิคไม่มีทางที่เก็บข้อมูลได้หมดและข้อมูลที่ได้ก็ยังไม่ได้หมายความว่าคือบุคคลคนนั้นจริง เพราะในโลกการสื่อสารโดยเฉพาะการสื่อสารผ่านช่องทางอินเทอร์เน็ตสิ่งที่ตรวจสอบได้คือ IP Address เท่านั้น ดังนั้นค่า IP Address ไม่ได้บอกถึงว่าคนคนนั้นคือใครได้ ต้องมีขั้นตอนในการตรวจสอบเพิ่มเติมมากกว่านี้ ส่วนเรื่องเนื้อหาของข้อมูลที่ส่งผ่านเครือข่ายคอมพิวเตอร์และอินเทอร์เน็ต หากไม่ใช่เนื้อหาจากทางการข่าวให้เฝ้าสังเกต หรือ เนื้อหาที่ก่อให้เกิดอาชญากรรม เป็นเนื้อหาจากการใช้งานอินเทอร์เน็ตโดยทั่วไปก็ไม่ต้องกังวลเพราะการทำระดับประเทศต้องมีเป้าหมายชัดเจนถึงจะสามารถตรวจสอบข้อมูลได้ ***
2.2 ระดับบริษัท
– จัดทำตามแผนปฏับัติการตามนโยบายงานกลาง (Compliance) ที่กำหนดขึ้น
– จัดทำระบบฐานข้อมูลพนักงาน (Inventory) ค่าเครื่องคอมพิวเตอร์ ตามที่อยู่แผนกชั้น
– การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารภายในองค์กร
– การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากภายในองค์กรออกสู่นอกองค์กร
– การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากภายนอกองค์กรเข้าสู่ภายในองค์กร
– การเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ (Log) ตามกฏหมาย
3. องค์ประกอบในการปฏิบัติการ (Operation) : หากได้มีการจัดตั้งหน่วยงานที่ดูแล เพื่อปฏิบัติการ ต้องจัดหาบุคคลากรที่มีความรู้ความสามารถ และมีบทบาทหน้าที่ในส่วนที่ได้จัดทำขึ้นตามแผนงานและนโยบายที่กำหนดไว้ เพื่อการปฏิบัติงานได้อย่างต่อเนื่องและก่อให้เกิดประโยชน์แก่สังคมส่วนรวม
โปรดอ่านตอนต่อไป …
Nontawattana Saraman
นนทวรรธนะ สาระมาน
เขียน 28/01/55
หมายเหตุ :
– หากคัดลอกข้อมูลจากบทความนี้ไปเผยแพร่ ไม่ว่าจะเป็นสาธารณะหรือในที่ประชุม โปรดอ้างอิงชื่อผู้เขียน
– ผู้เขียนได้เขียนบทความนี้จากประสบการณ์ อาจมีบางแง่บางมุมที่แตกต่างกันจากที่ได้รับรู้ และบางแง่บางมุมที่ยังไม่สามารถเผยแพร่ได้อย่างครบถ้วน การนำไปเผยแพร่โปรดใช้วิจารญาณในการติดสินใจ
ภาพประกอบจากบทความ Shadow Factory Revelations : The illegal NSA Domestic Spy Dragnet

แนวโน้มภัยคุกคาม ปี 2012

แนวโน้มภัยคุกคามทางคอมพิวเตอร์และอินเทอร์เน็ต ปีค.ศ. 2012 (พ.ศ 2555)

ถือ เป็นธรรมเนียมปฏิบัติไปแล้วสำหรับบริษัทและบล็อกด้านความปลอดภัยต่าง ๆ ที่เมื่อสิ้นปีจะทำนายแนวโน้มของภัยคุมคามคอมพิวเตอร์และอินเทอร์เน็ตสำหรับ ปีถัดไป ทีมงาน SRAN ได้ค้นหาและอ่านบทความทำนายแนวโน้มจากหลายสำนักจนได้รวบรวมเกิดเป็นบทความ นี้ขึ้นหวังว่าหลังจากที่ได้อ่านแล้วจะทำให้ผู้อ่านได้ความคิดใหม่ ๆ ในการป้องกันตัวเองและครอบครัวจากจากภัยที่คุณอาจจะต้องพบเจอเข้าในสักวัน หนึ่ง เพราะคอมพิวเตอร์และอินเทอร์เน็ตเป็นเรื่องใกล้ตัวที่คุณไม่อาจมองข้ามได้ อีกต่อไป

1. การโจมตีเป้าหมายเจาะจง (targeted attack) จะทำให้เกิดความเสียหายและมีความซับซ้อนมากขึ้น

สอง ปีที่ผ่านมามีข่าวเกี่ยวกับการโจมตีต่อเป้าหมายเจาะจง เนื่องจากกลุ่มที่ใช้คอมพิวเตอร์และเครือข่าย เพื่อเคลื่อนไหวทางการเมือง (เรียกว่า hacktivist มาจากคำว่า hack รวมกับ activist) อย่าง Anonymous และ LulzSec รวมถึงการเพิ่มขึ้นของอาชญากรรมทางอินเทอร์เน็ต ที่มุ่งเป้าไปที่รัฐบาล ธุรกิจและนักเคลื่อนไหวทางการเมือง ที่ต้องอาศัยเทคโนโลยีขั้นสูงและระยะเวลาที่ยาวนาน เรียกว่า Advanced Persistent Threats (APTs)

ตัวอย่างได้แก่ การโจมตีอย่างต่อเนื่องที่ทำให้โซนี่ต้องหยุดให้บริการเพลย์สเตชั่นเป็นเวลา นาน ทำให้เกิดความเสียหายทางการเงิน และการรั่วไหลของข้อมูลผู้ใช้ และการโจมตีเครือข่ายของล็อกฮีด มาร์ติน (Lockheed Martin) บริษัทผู้ผลิตเครื่องบินระหว่างประเทศและเทคโนโลยีที่ก้าวหน้า ที่อาจมีจุดมุ่งหมายเพื่อจารกรรมข้อมูลการออกแบบเครื่องบินรบ

เรา สังเกตได้ถึงระดับความซับซ้อนของการโจมตีเหล่านี้ เช่น ในขณะที่การโจมตีโซนี่เกิดจากการบุกรุกเครื่องแม่ข่ายเว็บ (web server) ที่ไม่ได้แก้ไขช่องโหว่ของโซนี่เอง แต่การโจมตีล็อกฮีด มาร์ตินเป็นผลมาจากการโจมตีบริษัท RSA ทางอีเมล เริ่มแรก พนักงานของ RSA ได้รับอีเมลแนบไฟล์สเปรดชีท ที่โจมตีช่องโหว่ Adobe Flash Playerและติดตั้งประตูหลัง (backdoor) และส่วนประกอบอื่น ๆ ของมัลแวร์ จากนั้นมัลแวร์ดังกล่าวจึงถูกใช้เพื่อเข้าถึงระบบของRSA และขโมยข้อมูลทางเทคนิคของ SecurID ซึ่งเป็นการยืนยันตัวตนสองปัจจัย (two-factor authentication) RSA ยืนยันว่าข้อมูลดังกล่าวถูกใช้เพื่อโจมตีล็อกฮีด มาร์ติน

เห็นได้ชัดว่าเหยื่อของการโจมตีเหล่านี้ได้รับความเสียหายมาก รวมถึงการเสียชื่อเสียง เสียความเชื่อมั่นของลูกค้า
ราคาหุ้นตกและเสียค่าใช้จ่ายในการแก้ไขปัญหาในทางเทคนิค

เมื่อเร็ว ๆ นี้ APTs ได้แสดงให้เห็นถึงความสามารถของมัน หนอน Stuxnet เป็นหนึ่งในตัวอย่างที่ดี อีกทั้ง
Stuxnet ยังใช้ใบรับรองอิเล็กทรอนิกส์ (digital certificate) ที่ถูกต้องอีกด้วย เมื่อพิจารณาถึงกรณีที่ใบรับรองถูกขโมยจากผู้ให้บริการออกใบรับรอง อิเล็กทรอนิกส์ DigiNotar เชื่อว่าการโจมตีต่อเป้าหมายเจาะจงจะมีเพิ่มขึ้น
โดยมีความซับซ้อนมากขึ้น ใช้การโจมตีช่องโหว่แบบ zero-day (ช่องโหว่ที่ยังไม่มีวิธีแก้ไขจากผู้ขายผลิตภัณฑ์)
และใช้หลายขั้นตอนในการโจมตี

2. จะมีการหลอกลวงในเครือข่ายสังคมออนไลน์เพิ่มมากขึ้น

เครือ ข่ายสังคมเป็นหนึ่งในวิธีสำคัญในการสื่อสาร ปฏิสัมพันธ์และร่วมแบ่งปัน ระหว่างผู้บริโภคและธุรกิจผ่านทางเว็บ โชคไม่ดีที่บริการเหล่านี้ตกเป็นเป้าหมายในการก่ออาชญากรรมทางอินเทอร์เน็ต เช่นกัน

แคมเปญที่มีจุดประสงค์ร้ายแพร่หลายไปทั่วสังคมออนไลน์ หนึ่งในวิธีการหลักที่แคมเปญทางเฟซบุ๊คแพร่หลายไป
คือวิธีที่เรียกว่า “likejacking” รูปแบบหนึ่งของเทคนิค clickjacking เมื่อผู้ใช้ถูกหลอกให้กด “Like” ในหน้าเว็บหนึ่งซึ่งจะมีผลให้แสดงข้อความหน้า Wall ในเฟซบุ๊ค บ่อยครั้งที่ข้อความเหล่านี้จะเป็นข้อความที่น่าตื่นเต้น เช่น การตายของอุซามะฮ์ บิน ลาดิน หรือ เอมี ไวน์เฮาส์ ซึ่งจะนำไปสู่หน้าเว็บมุ่งร้ายหรือน่าสงสัย รูปแบบหนึ่งที่พบทั่วไปคือแบบสำรวจออนไลน์ที่บังคับให้ผู้ใช้กรอกข้อมูลก่อน ดูวิดีโอที่ต้องการ ผู้ที่หลอกล่อให้ผู้ใช้กรอกแบบสำรวจได้สำเร็จจะได้เงินตอบแทน ส่วนแคมเปญมุ่งร้ายอื่น ๆ เช่น ใช้บริการย่อ URL เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าเว็บมุ่งร้าย หรือหลอกล่อให้ผู้ใช้ copy / paste URL ที่อ้างว่าเป็นวิดีโอลงไปใน address bar โดยตรง

ผู้ให้ บริการเครือข่ายสังคมอย่างเฟซบุ๊คและทวิตเตอร์มีผู้ใช้หลายร้อยล้านคน และตามมาด้วยรายใหม่อย่าง Google+ ถึงแม้จะมีพัฒนาการด้านมาตรการด้านความปลอดภัยใหม่ ๆ ออกมาจากบริษัทผู้ให้บริการเหล่านี้ แต่เนื่องจากผู้ใช้และข้อมูลที่มีจำนวนมากจากผู้ให้บริการไม่กี่แห่ง จึงเป็นที่ดึงดูดอาชญากรทางอินเทอร์เน็ต และก่อให้เกิดการล่อลวงในสังคมออนไลน์เพิ่มมากขึ้นในปีค.ศ. 2012

3. มัลแวร์สำหรับอุปกรณ์พกพาคุกคามผู้ใช้และองค์การ

ในปีค.ศ. 2011 เพียงปีเดียวมีการเติบโตของมัลแวร์สำหรับอุปกรณ์พกพาอย่างมีนัยสำคัญ สิ้นปีค.ศ. 2010
มีมัลแวร์กว่า 2,500 ตัวอย่าง แต่ในปีค.ศ. 2011 เพิ่มขึ้นมากกว่า 7,500 ตัวอย่าง

ในปีค.ศ. 2011 ได้มีมัลแวร์สำหรับแพลตฟอร์มแอนดรอยด์เพื่อดักข้อมูล SMS ที่ธนาคารต่าง ๆ ใช้เพื่อป้องกัน
ลูกค้าจากโทรจัน เป็นตัวอย่างที่ดีของ “เกมแมวไล่จับหนู” ระหว่างผู้โจมตีและผู้ป้องกัน แอนดรอยด์ได้
กลายเป็นแพลตฟอร์มที่ตกเป็นเป้าหมายของมัลแวร์มากที่สุด มากกว่ามัลแวร์ซิมเบียนในครึ่งแรกของปี 2011 อีกด้านหนึ่งของมัลแวร์สำหรับอุปกรณ์พกพาที่เพิ่งเริ่มต้นขึ้น ได้แก่การใช้อุปกรณ์พกพาเป็นบ็อท (bots) ในเครือข่ายbots ที่แพร่หลายในคอมพิวเตอร์ตั้งโต๊ะ เนื่องจากมีอุปกรณ์และคอมพิวเตอร์ที่เชื่อมต่อเครือข่ายมากขึ้น ผู้โจมตีจึงพยายามนำทรัพยากรเหล่านี้มาใช้เพื่อประโยชน์ของตัวเอง

แอน ดรอยด์ตกเป็นเหยื่อของความสำเร็จของตัวมันเองในหลายแง่มุม เนื่องจากคนแห่กันไปใช้อุปกรณ์ที่ใช้ระบบปฏิบัติการนี้ ผู้โจมตีก็ทำเช่นเดียวกัน นอกจากนี้แอนดรอยด์ยังมีข้อเสียที่นักพัฒนาสามารถเผยแพร่แอพพลิเคชั่นใด ๆ เข้าไปในMarketplace ได้อย่างง่ายดาย การพัฒนาหนึ่งที่น่าสนใจคือการเปิดตัว Amazon Kindle Fire ซึ่งปกติแล้วจะเชื่อมต่อกับ Amazon application store เท่านั้น หวังว่าทาง Amazon จะให้ความใส่ใจกับแอพพลิเคชั่นที่ยอมให้เผยแพร่ใน application store มากกว่า Marketplaceของกูเกิล

ทุกองค์การควรให้ความสนใจกับจำนวนที่ เพิ่มขึ้นของพนักงานที่ใช้อุปกรณ์ของพวกเขาเองในที่ทำงานและดาวน์โหลดข้อมูล ขององค์การ เช่น อีเมลและไฟล์ต่าง ๆ เข้ามาในอุปกรณ์โดยไม่มีการควบคุม เป็นแนวโน้มที่เรียกว่า consumerization of ITหรือ Bring-Your-Own-Device (BYOD) องค์การจำเป็นต้องเตรียมพร้อมสำหรับปัญหาด้านความปลอดภัยและความร่วมมือที่ เกิดจากการนำอุปกรณ์ที่บริษัทจัดหามาให้ใช้งาน และที่พนักงานนำมาใช้เองด้วย

ใน ปีค.ศ. 2012 เราจะได้เห็นมัลแวร์สำหรับอุปกรณ์พกพาที่มีความซับซ้อนและผลกระทบมากขึ้น มัลแวร์ที่มุ่งเป้าที่สื่อสังคมออนไลน์จะแพร่กระจายมากขึ้น เนื่องจากมีการใช้อุปกรณ์พกพาเพื่อเข้าถึง และอัพเดทสังคมออนไลน์เพิ่มขึ้น โดยมัลแวร์ไม่เพียงแต่มุ่งเป้าที่ข้อมูลของผู้ใช้ แต่สามารถติดตามตำแหน่งของผู้ใช้ด้วย อาจเป็นเรื่องใหญ่ของความปลอดภัยสำหรับเด็ก ผู้ถ่ายภาพลามกเด็กและโจรลักพาตัวอาจสนใจภาพส่วนตัวที่เก็บอยู่ในอุปกรณ์พก พา ซึ่งจะมีข้อมูลพิกัดจีพีเอส (GPS) ของสถานที่ถ่ายภาพ ถึงแม้จะเก็บอยู่ในอุปกรณ์พกพาของผู้ปกครองก็ตาม

ข้อควรกังวลมาก ที่สุดเกี่ยวกับมัลแวร์ในอุปกรณ์พกพาคือ ข้อจำกัดของความสามารถของผลิตภัณฑ์ด้านความปลอดภัยในปัจจุบัน และจุดอ่อนในส่วนของผู้ใช้ เครื่องพีซีที่อยู่ในองค์การจะได้รับการดูแลจากฝ่ายไอที แต่อุปกรณ์พกพาของพนักงาน ที่ใช้เพื่อเข้าถึงและเก็บข้อมูลของบริษัท ดูเหมือนจะถูกละเลย องค์การจำเป็นต้องเพิ่มนโยบายด้านความปลอดภัย ช่วยให้อุปกรณ์พกพาสามารถเปิดเว็บได้อย่างปลอดภัย โดยที่อุปกรณ์พกพาส่วนตัวที่เข้าถึงเครือข่ายของบริษัทนั้นต้องใช้นโยบาย เดียวกันด้วย

4. ช่องโหว่ในซอฟท์แวร์เสริมการทำงานเว็บบราวเซอร์

ซอฟท์แวร์ เสริมสำหรับบราวเซอร์อย่าง Java, Flash Player และ Adobe Reader มีผู้ใช้ทั่วโลกเป็นจำนวนมาก มีช่องโหว่ในผลิตภัณฑ์เหล่านี้ที่พบและถูกโจมตีจำนวนมาก และเป็นเรื่องลำบากสำหรับผู้ดูแลฝ่ายไอทีในการอัพเดทผลิตภัณฑ์เหล่านี้ใน องค์การ ผลิตภัณฑ์เหล่านี้จึงกลายเป็นช่องทางที่ใช้ในการโจมตีที่ได้ผล ผู้ใช้งานเจอความท้าทายเดียวกัน ในบางครั้งฟีเจอร์การทำงานบางอย่างก็ไม่จำเป็นสำหรับผู้ใช้งาน การปิดการทำงานของฟีเจอร์เหล่านั้นช่วยลดความเสี่ยงในการถูกโจมตีได้อย่างมี ประสิทธิภาพ

นอกจากการเติบโตในแง่ของจำนวนแล้ว การโจมตีเหล่านี้ยังมีความซับซ้อนเพิ่มมากขึ้นอีกด้วย เช่น การซ่อนไฟล์มุ่งร้ายในไฟล์อื่นเพื่อหลีกเลี่ยงการตรวจจับ การโจมตีที่ใช้ไฟล์ flash มุ่งร้ายที่ฝังในไฟล์เอกสาร และรูปแบบที่คล้าย ๆ กันพบเห็นได้บ่อยขึ้น

สามารถอ่านต่อจนจบบทความได้ที่ http://sran.org/tl

เตือนภัยเว็บไทยถูกโจมตีจากเทคนิค SQL Injection จำนวนมาก

การโจมตีที่ SQL Injection ที่กำลังระบาดในขณะนี้เรียกว่า lilupophilupop.com SQL injection

ระบบ ที่ถูกโจมตีเป็นระบบที่ใช้ ASP หรือ ColdFusion ที่ใช้ MSSQL เป็น backend โดยจะถูกฝังข้อความ “> อยู่ในเว็บไซต์ เมื่อเปิดหน้าที่ถูกฝังสคริปท์

นี้แล้วจะ redirect ไปที่เว็บไซต์ดาวน์โหลด Flash และแอนตี้ไวรัสปลอม

โดเมนในประเทศไทยพบ 12,800 หน้า ส่วนทั่วโลกพบประมาณ 1 ล้านหน้า

เว็บ .th ที่ถูกโจมตี
https://www.google.com/search?q=title+script+src+http+%22sl+php%22+script+%22lilupophilupop+com%22+site%3A.th&hl=en&biw=1280&bih=938&num=10&lr=&ft=i&cr=&safe=images
หรือค้นหาโดยใช้
title script src http “sl php” script “lilupophilupop com” site:.th
จาก google ดูสิ
 
 
ข้อมูลเพิ่มเติมอ่านที่ http://blog.sran.net/archives/658

สถิติภัยคุกคาม ที่เกิดขึ้นในประเทศไทยในรอบปี 2011

เริ่มต้นปีใหม่เราจะทำอะไร เหตุการณ์ข้างหน้าจะเป็นอย่างไร เรามีแต่การคาดการณ์ แต่หากเราเรียนรู้กับอดีตที่เคยเกิดขึ้นมาเป็นบทเรียนและเตรียมรับมือ พร้อมทั้งเรียนรู้ให้เท่าทันถึงภัยคุกคามที่อาจขึ้นน่าจะเป็นสิ่งที่ดี สำหรับการดำเนินชีวิตอย่างไม่ประมาท

ดั่งคำกล่าวที่ว่า “จะรู้ทิศทางอนาคต ก็ต้องรู้จักเหตุการณ์จากอดีต”

จึงเป็นที่มาให้ทีมพัฒนา SRAN ได้ทุ่มเท ความรู้ ที่มีจัดทำฐานข้อมูลภัยคุกคามที่เกิดขึ้นเพื่อเป็นการรายงานผล จัดในรูปแบบสถิติที่เกิดจากการใช้งานอินเทอร์เน็ตภายใน ประเทศไทยขึ้น โดยพัฒนาระบบนี้มานานกว่าจะออกเป็นผลลัพธ์ในเว็บ www.sran.net ซึ่งในปีนี้ก็คิดว่าระบบดังกล่าวจะสมบูรณ์มากขึ้นและเป็นประโยชน์ต่อสังคมให้ ได้เรียนรู้ถึงทิศทางภัยคุกคามที่เกิดขึ้นจากอดีตจนถึงปัจจุบันได้

เป้า หมายที่ตั้งไว้ คือ ต้องการระบบที่ตรวจสอบและแจ้งผลเว็บไซต์ Website / domain / IP Address ที่เป็นภัยอันตรายต่อการใช้งานนักท่องอินเทอร์เน็ต และทำให้ผู้ดูแลระบบที่ประสบภัยคุกคามได้มีมาตรการในการป้องกันภัยและแก้ไข ได้ทันสถานการณ์มากขึ้น โดยมีการจัดการข้อมูลในรูปแบบของสถิติซึ่งสามารถอ่านรายละเอียดได้ที่ http://nontawattalk.blogspot.com/2011/09/blog-post_04.html หรือ http://blog.sran.net/archives/640

ดัง นั้นก่อนที่จะคาดการณ์ภัยคุกคามในอนาคต เราจึงควรเรียนรู้ภัยคุกคามในรอบปีที่แล้วที่ผ่านมาเพื่อมาวิเคราะห์ถึง ทิศทางของภัยคุกคามที่เกิดขึ้นในประเทศไทยได้อย่างถูกต้องและแม่นยำมากขึ้น

โดยในรอบปี 2011 ที่ผ่านมานั้น สรุปภัยคุกคามที่เกิดขึ้นได้ดังนี้
SRAN : Thailand Internet Threat Statistic 2011
ภาพที่ 1 : สถิติภัยคุกคามที่เกิดขึ้นในประเทศไทยในรอบปี 2011

ภัยคุกคามที่ทางทีมพัฒนา SRAN ได้จัดทำขึ้นประกอบด้วย
1. Malware : คือ Website / Domain / IP Address ภายในประเทศไทย ที่เป็นพาหะที่ทำให้ผู้ใช้งานติดไวรัสคอมพิวเตอร์ หรือ file ที่ไม่เหมาะสม ที่ทำให้เครื่องคอมพิวเตอร์ (computer) คอมพิวเตอร์พกพา (notebook ,tablet) และสมาร์ทโฟม (smart phone/mobile ) ที่ขาดระบบป้องกันที่ทันสมัยอาจมีโอกาสติดเชื้อไปด้วย

สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 1,057 ครั้ง ลงเมื่อเทียบกับปี 2010

2. Web Attack : คือ Website / Domain / IP Address ภายในประเทศไทย ที่ถูกโจมตี (Hacking) เข้าถึงระบบและเปลี่ยนข้อมูลในหน้าเพจเว็บไซต์

สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 6,331 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010

3. Phishing : คือ Website / Domain / IP Address ภายในประเทศไทย ที่เป็นการหลอกลวงทำให้ผู้ใช้งานเข้าใจผิดและส่งผลกระทบต่อการใช้งานปกติ ซึ่งทำให้เครื่องคอมพิวเตอร์ (computer) คอมพิวเตอร์พกพา (notebook ,tablet) และสมาร์ทโฟม (smart phone/mobile ) ที่ขาดระบบป้องกันที่ทันสมัยอาจมีโอกาสติดเชื้อ Malware หรือเป็นเหยื่อของนักโจมตีระบบได้อีกด้วย

สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 875 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010

4. Vulnerability : คือ ช่องโหว่ของโปรแกรม, แอฟลิเคชั่น (Application), OS (Operating System) ที่สามารถเข้าระบบ หรือทำให้ระบบไม่สามารถทำงานได้อย่างปกติ เป็นผลให้เกิดการโจมตีขึ้นได้

สรุปภาพรวมทั้งปี 2011 เกิดขึ้นจำนวน 5,442 ครั้ง ลงเมื่อเทียบกับปี 2010

5. Proxy : คือ Website / Domain / IP Address ที่ทำตัวเองเป็นตัวกลางในการติดต่อสื่อสาร ซึ่งมีโอกาสที่เป็นเครื่องมือของผู้ไม่ประสงค์ดี และเป็นช่องทางในการกระทำความผิดเกี่ยวกับอาชญากรรมคอมพิวเตอร์ เพื่อปิดบังค่า IP Address ที่แท้จริงของผู้ใช้งานได้

สรุปภาพรวมทั้งปี 2011 เกิดขึ้นจำนวน 12,709 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010

ทั้งปี 2011 สรุปภัยคุกคามทั้ง 5 ประเภทรวมทั้งเป็น 26,394 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010 ดูรายละเอียด

ประเภทองค์กรภายในประเทศไทย ที่พบภัยคุกคามเป็นภาพรวม

แบ่งเป็น 3 ชนิดภัยคุกคาม 7 กลุ่ม คือ ชนิดภัยคุกคามจะประกอบด้วย 7 กลุ่ม ดังนี้

ชนิดของภัยคุกคามทั้ง 3 ชนิดประกอบด้วย

ชนิดที่ 1 : เว็บไซต์ในประเทศไทยที่ถูกโจมตี ได้แก่ การโจมตีชนิดที่มีการเปลี่ยนแปลงข้อมูลในเว็บไซต์ (web defacement)
ชนิดที่ 2 : เว็บไซต์ในประเทศไทย ที่ตกเป็นฐานของฟิชชิ่ง (Phishing) จนกลายเป็นเว็บหลอกลวง
ชนิด ที่ 3 : เว็บไซต์ในประเทศไทย ที่ติดไวรัสคอมพิวเตอร์ ซึ่งส่วนใหญ่แล้วจะเป็นเว็บไซต์ที่ถูกโจมตีแล้วสามารถเข้าถึงระบบได้จากนั้น จึงนำ file ที่ติดไวรัสเข้ามาใส่ในเว็บไซต์เพื่อใช้หลอกให้ผู้ใช้งานติดไวรัสต่อไป
ภาพที่ 2 ภาพรวมค่าสะสมจากอดีตจนถึงปัจจุบันบนระบบฐานข้อมูลภัยคุกคามที่เกิดขึ้นในประเทศไทย เมื่อแยกตามประเภทขององค์กร

ในรอบปี 2011 ที่ผ่านประเภทองค์กรที่พบภัยคุกคามดังนี้

ภาพที่ 3 สถิติภัยคุกคามเมื่อทำแยกแยะตามประเภทขององค์กร ที่เกิดในรอบปี 2011

ซึ่งแยกแยะตามรายชื่อโดเมนตามชื่อหน่วยงาน ได้ 7 กลุ่ม
1. สำหรับการศึกษา (Academic) จำนวนที่พบภัยคุกคามคือ 1,433 ครั้ง
2. สำหรับบริษัทห้างร้าน (Commercial Companies) จำนวนที่พบภัยคุกคามคือ 1,162 ครั้ง
3. สำหรับรัฐบาล (Governmental Organizations) จำนวนที่พบภัยคุกคามคือ 3,406 ครั้ง
4. สำหรับทหาร (Military Organizations) จำนวนที่พบภัยคุกคามคือ 129 ครั้ง
5. สำหรับหน่วยงานที่ไม่หวังผลทางการค้า (Registered Non-profit Organizations) จำนวนที่พบภัยคุกคามคือ 90 ครั้ง
6. สำหรับผู้ให้บริการอินเทอร์เน็ต (officially registered Internet Service Providers) จำนวนที่พบภัยคุกคาม คือ 2 ครั้ง
7. สำหรับหน่วยงานทั่วไป (Individuals or any others) จำนวนที่พบภัยคุกคาม คือ 528 ครั้ง

บทวิเคราะห์
โดย รวมทิศทางข้อมูลเชิงสถิติภัยคุกคามที่เกิดขึ้นในประเทศไทยโดยรวมนั้นมีอัตรา สูงขึ้นอย่างต่อเนื่อง ซึ่งเป็นไปตามการเข้าถึงเทคโนโลยีอินเทอร์เน็ตที่มีอัตราการใช้งานเพิ่มขึ้น ทุกปีเช่นกัน ภัยคุกคามในแต่ละประเภทที่จัดทำเป็นสถิตินั้นเป็นภัยคุกคามที่เชื่อมโยง ถึงกันซึ่งอาจเกิดจากส่วนใดส่วนหนึ่งก่อนแล้วเกิดผลตามมา ยกตัวอย่างเช่น เกิดจาก Web Attack ก่อน เมื่อนักโจมตีระบบ (Hackers) เข้าถึงระบบ Web Application ได้แล้วก็จะทำการเข้าถึง Web Server และระบบปฏิบัติการ OS ตามลำดับจากนั้นทำการติดตั้ง Malware และทำให้ Website / Domain / IP Address นั้นเป็นพาหะที่ทำให้เกิดติดเชื้อ และแพร่กระจายกลายข้อมูลผ่าน Link ต่างๆ ตาม Web board , Social network หรือ e-mail ในลักษณะ Phishing เป็นต้น
ซึ่งผู้ใช้งานควรมีความตระหนักรู้เท่าทันภัยคุกคามและหมั่นตรวจ สอบความปลอดภัยข้อมูลเป็นระยะโดยดูช่องโหว่ (Vulnerability) ของซอฟต์แวร์ , OS ที่ตนเองมีอยู่ ใช้อยู่ หากมีการแจ้งเตือนช่องโหว่ควรศึกษาว่าช่องโหว่นั้นมีผลต่อการใช้งานอย่างไร หากเป็นช่องโหว่ที่เข้าถึงเครื่องคอมพิวเตอร์เราได้นั้นควรรีบแก้ไขโดยเร็ว อย่างมีสติ หากเป็นผู้ดูแลระบบนั้นต้องหมั่นดูแลเรื่องนี้เป็นพิเศษ
ที่น่าสนใจคือทิศทางของการใช้งาน Proxy ทั้งที่เป็น Proxy Server , Anonymous Proxy ซึ่งมีการใช้งานที่สูงขึ้นมากอาจเป็นต้องการรักษาความลับและความเป็นส่วนตัว ของผู้ใช้งานมากขึ้น และอีกประเด็นคือที่ระบบ SRAN ตรวจพบ Proxy เยอะก็เพราะอาจมีการเข้าถึงระบบโดยเข้ายึดเครื่องและแปลงสภาพเครื่องที่ยึด ได้นั้นมาเชื่อมต่อการใช้งานแบบ Proxy เพื่ออำพรางการกระทำใดบางอย่าง ซึ่งเทคนิคดังกล่าวนี้จะส่งผลให้การสืบสวนทางอินเทอร์เน็ตทำได้ยากลำบากมาก ขึ้นนั้นเอง โดย IP Address ที่พบในฐานข้อมูลก็บ่งบอกว่ามีทั้งเครื่องแม่ข่าย (Server) และ เครื่องลูกข่าย หรือเครื่องผู้ใช้งานทั่วไป จากเมื่อก่อนการทำ Proxy ได้นั้นควรจะเป็นเครื่องแม่ข่าย แต่นี้ก็แสดงถึงการยึดระบบนั้นเข้าถึงเครื่องใช้งานทั่วไปของคนปกติที่ ออนไลน์ตลอดเวลาไม่ว่าเป็นเครื่องตามบ้านผ่าน ADSL ความเร็วสูงหรือแม้กระทั่งบนสมาร์ทโฟนที่ online อินเทอร์เน็ตตลอดเวลา ซึ่งเทียบได้กับ Server ในอดีตแต่การเปลี่ยนค่า IP Address จะไม่คงที่เท่ากับเครื่อง Server ซึ่งเท่ากับว่าเราๆท่านๆอาจมีโอกาสเป็นเครื่องมือของผู้กระทำความผิดได้เช่น กัน

ด้วยความปรารถนาดีจาก ทีมพัฒนา SRAN
SRAN Dev Team

สวัสดีปีใหม่ครับ

ปล. ข้อมูลสถิติที่เกิดขึ้นนั้นเกิดจากซอฟต์แวร์ zemog bot (สีหมอกบอท) ที่เป็นงานวิจัยและพัฒนาขึ้นจากทีมงาน SRAN สร้างขึ้น หลักการณ์เป็นการทำงานแบบ crawler โดยสร้างเป็นบอท (robot) พิเศษที่มีความชาญฉลาดกว่า crawler ทั่วไป หน้าที่คือตรวจสอบข้อมูลเมื่อพบ ASN (Autonomous System Number)ในประเทศไทยแล้วค้นหาตาม IP Address / Domain ที่พบภัยคุกคามจากแหล่งข่าวต่างๆ บนโลกอินเทอร์เน็ต แล้วนำมานำรวบรวมข้อมูล คัดแยกข้อมูลแล้วนำเสนอเป็นข้อมูลเชิงสถิติ ซึ่งไม่ได้หมายความว่าตัวเลขที่พบเป็นภัยคุกคามที่เกิดขึ้นทั้งหมด แต่เป็นการเกิดจากบอทที่สร้างขึ้นและค้นพบในโลกอินเทอร์เน็ต

รายละเอียดเพิ่มเติมดูได้ที่ http://www.sran.net/statistic

ผ่าพิสูจน์ Twitter


หลายท่านที่เป็นนักท่องอินเทอร์เน็ตคงรู้จักเจ้านกน้อย Twitter กันเป็นอย่างดี Twitter เป็นเครือข่ายสังคมออนไลน์ที่คนทั่วโลกนิยมใช้ลักษณะการส่งข้อความสั้นๆไว้อธิบาย, ถ่ายทอดและแสดงออกถึงความรู้สึกนึกคิดของตนเองหรือไว้แจ้งข่าวสารต่างๆ หลายคนก็นำเอา Twitter ใช้ในการแจ้งเหตุด่วนเหตุร้าย หรือไว้ทำการโฆษณาขายสินค้าและบริการ ด้วยก็มี ด้วยมีเนื้อหาจำกัดในการส่งข้อความทำให้ต้อง “tweet” กันถี่ๆ และ re-tweet กันไป .. ถึงอย่างไรข้อความที่ขึ้นบน twitter ก็หาใช่ว่าจะมีความถูกต้องและน่าเชื่อถือ เพราะผู้ส่งนั้นอาจไม่ใช่คนส่งข้อความที่แท้จริงก็ได้ หรือส่งข้อความที่ไม่ใช่เรื่องจริง ซึ่งเหตุผลประการใดนั้นก็สุดแล้วแต่ผู้รับข้อมูลข่าวสารจะใช้ดุลพินิจพิจารณาต่อไป

ผมเขียนบทความนี้ขึ้นอาจจะอยู่ในช่วง Hot ๆ พอดี เนื่องด้วย Twitter ของท่านนายกฯ (twitter.com/PouYingluck) ถูก Hack หรือมีผู้เข้าถึงข้อมูล account ที่ไม่ใช่ของตนเองขึ้น จะพบว่าข้อความที่ปรากฏต่อสาธารณะทางอินเทอร์เน็ตจึงดูว่าไม่ใช่ตัวจริงที่ส่งข้อความ .. ซึ่งกรณีนี้ผู้กระทำนั้นมีฐานความผิดเกี่ยวกับ พ.ร.บ คอมพิวเตอร์ฯ อย่างแน่นอนอย่างน้อย มาตรา 5 และ 14 เป็นต้น แต่ทั้งนี้ก็อย่าได้ตื่นเต้นไปเลยเพราะไม่ใช่ครั้งแรกที่คนดังจะถูก Hack ผู้นำประเทศหรือแม้กะทั่งคนที่ทำ facebook เองก็ยังเคยโดน hack มาแล้ว

ก่อนที่จะทำอะไร เราควรรู้องค์ประกอบของระบบ Twitter เสียก่อน ผมก็ถือโอกาสนี้ชำแหละกระบวนการติดต่อสื่อสารระหว่างผู้ใช้งาน (เราๆ ท่านๆ) ไปเรียกติดต่อระบบเครื่องแม่ข่าย Twitter ที่การทำงานเป็น Cloud computing ทั้งหมด ดังนี้

1. ควรรู้ที่ตั้ง Twitter เพื่อเกิดปัญหาจะได้ติดต่อได้ถูกต้อง

ที่ตั้งของ Twitter โดยการ whois แล้วคือ (รายละเอียดที่ http://www.sran.net/search?q=twitter.com)

Domain Name………. twitter.com
Creation Date…….. 2000-01-22
Registration Date…. 2011-08-31
Expiry Date………. 2019-01-22

Organisation Name…. Twitter, Inc.
Organisation Address. 795 Folsom Street
Organisation Address. Suite 600
Organisation Address. San Francisco
Organisation Address. 94107
Organisation Address. UNITED STATES
Admin Address…….. 795 Folsom Street
Admin Address…….. Suite 600 San Francisco 94107 UNITED STATES
Admin Email………. admin@melbourneitdbs.com
Tech Email……….. domains-tech@twitter.com
Admin Phone………. +415.2229670
Admin Fax………… +415.2220922

— หากกระทรวงฯ / หน่วยงานที่ได้รับหน้าที่ ต้องการติดต่อขอข้อมูลควรทำการติดต่อไปที่ e-mail/เบอร์โทร/fax ของผู้ดูแลระบบจากข้อมูลที่กล่าวมานี้ จะเป็นช่องทางที่สามารถติดต่อกับทางบริษัท Twitter ได้

2. ระบบเครือข่าย Twitter มีหน้าตาอย่างไร
Twitter มีโครงข่ายของตนเองโดยมี Autonomous System Number (ASN) ประกอบด้วย
2.1 AS13414 ซึ่งเป็นของ Twitter Inc.
2.2 AS35995 ซึ่งเป็นของ Level 3 Communications, Inc.

2.3 AS33517 DYNDNS Dynamic Network Services, Inc. ASN
2.4 AS15169 Google , Inc
ทั้งหมดมีชุด IPv4 และ IPv6 จำนวนไม่น้อย ในที่นี้ขอยกตัวอย่างเฉพาะ IPv4 คืออยู่ที่ 2 ชุด ซึ่งถือได้ว่าเป็นคลังแสงของระบบ twitter ทั้งหมดอยู่ที่นี้ ได้แก่ 199.59.148.0/22 และ 199.16.156.0/22 ถ้ารวมแบบเบื้องต้นแล้วจะพบว่ามี IPs allocated จำนวน 2,048 IPs ที่เชื่อมโยงกันเป็นระบบเครือข่ายของ Twitter ซึ่งจำนวน IPs เหล่านี้ทำหน้าที่เป็น Cluster ทั้งระดับ Server Base (เครื่องแม่ข่าย),ระดับ Application (ซอฟต์แวร์) ต่อเชื่อมกันเป็น Cloud Computing ขึ้น
ดังนั้นการแกะรอย IP Address ต้องเข้าใจว่าปลายทางที่เกิดเหตุอาจจะกระจายอยู่ในกลุ่มก้อนเมฆ( Cloud Computing) ใดที่หนึ่งก็ได้ (เครื่องใดเครื่องหนึ่งอาจจะไม่ใช่เครื่องที่เรา Ping เจอหรือ Trace route เจอเป็นต้น)
ยิ่งไปกว่านั้น เนื่องด้วย Twitter , Facebook , Youtube ล้วนเป็น Social Network ที่คนไทยนิยมใช้
ในระดับผู้ให้บริการอินเทอร์เน็ตในประเทศไทย (ISP : Internet Services Provider) อาจมีการทำ Peering
เพื่อเชื่อมโยงข้อมูลก็เป็นไปได้ เพื่อเป็นการเอาใจลูกค้าหรือรักษาลูกค้าให้มาใช้บริการของตน เนื่องจากการทำ Peering หรือ Caching นั้นทำให้การรับส่งข้อมูลได้รวดเร็วขึ้น หากเป็นเช่นนี้ก็จะทำให้การตรวจสอบข้อมูลต้องเพิ่มขั้นตอนไปที่ตรวจสอบที่ผู้ให้บริการ Peering หรือ Caching เหล่านั้นด้วย ที่นิยมในประเทศไทย ก็มีบริการของ Akamai Network และ Global Crossing เป็นต้น ซึ่งส่วนใหญ่แล้วเป็นการทำ Caching ในระดับ Web Application เท่าที่เห็นว่าส่วนใหญ่ข้อมูลทำติดต่อสื่อสารกันระหว่างประเทศไทย สิงคโปร์ และ มาเลเซีย เพื่อติดต่อไปยังเครือข่ายตัวจริงของระบบ Social network ที่นิยมใช้กัน

ภาพ 1 : เป็นการ whois ASN ที่เชื่อมโยงกับ twitter จาก Hurricane Electric whois
ภาพที่ 2 : เมื่อพิจารณาการเชื่อมข้อมูลของโดเมน twitter.com จาก Robtex whois
จะเห็นว่าความสัมพันธ์ในการติดต่อสื่อสาร twitter มีการเชื่อมโยงกับหลายส่วน โดยศูนย์กลางอยู่ที่ช่วง IPs จาก AS13414
อ่านเพิ่มเติมจาก : บทความเก่าที่เคยเขียน เรื่อง ปัจจัยทั้ง 4 ในการสืบสวนหาผู้กระทำความผิดเกี่ยวกับคอมพิวเตอร์

ดังนั้นในกรณีที่ต้องการตรวจสอบหา IP Address ของไทยไปยัง Twitter (โดยไม่ใช้วิธีขอ Log จาก Twitter ตรงๆ) ก็ทำได้โดยการขอความร่วมมือกับ ISP ในประเทศไทย เพื่อดู Flow ในการติดต่อสื่อสารไปยัง ASN ที่
กล่าวมาได้ซึ่ง Network Flow ที่กล่าวมาควรมีการเห็นดั้งนี้คือ

– Time ที่ตรงตามเวลามาตราฐาน เช่น หน่วยวัดเวลาของมาตรวิทยา
– Source IP ซึ่งเป็น Public IP ภายในประเทศไทย
– Destination IP ซึ่งเป็น IP allocate จาก AS13414
– และ Port Application (HTTP , HTTPS และ DNS) ในที่นี้ดูเฉพาะ Port ปลายทางก็พอคือ 80 และ 443 ที่เป็นการติดต่อแบบ TCP เบื้องต้นประมาณนี้ก่อน

ซึ่งในปัจจุบันมี ISP ไม่กี่ที่ที่สามารถตรวจสอบการเชื่อมต่อดังกล่าวมาได้ และคงไม่มีใครมา capture traffic ข้อมูลที่เกิดขึ้นจากการใช้งานอินเทอร์เน็ตในประเทศไทยอยู่ตลอดเวลาเป็นแน่

* อยากทราบข้อมูลเพิ่มในส่วนนี้ลองอ่านบทความเก่าๆ ของผมดูสิ เรื่อง ข้อเท็จจริงในการดักข้อมูล และ รู้ทัน Sniffer

3. ข้อสังเกตสำหรับการตรวจสอบข้อมูล จากการเรียกข้อมูล Twitter ผ่าน Web Application

Twitter ถือได้ว่าเป็น Web 2.0 การเปิดเว็บไซต์เพียงเว็บเดียว โดเมนเดียว แต่เบื้องหลังของการเชื่อมนั้นติดต่อไปหลากหลายที่ ซึ่งจะทำการพิสูจน์ให้เห็นโดยใช้ account twitter ของผู้เขียนเองมานำเสนอให้เห็นถึงขั้นตอนการติดต่อสื่อสารภายในระบบ twitter

3.1 เมื่อทำการเข้าเว็บ http://twitter.com และทำการ Login เพื่อเข้าสู่ระบบหากใส่ username และ password ถูกต้อง
เบื้องหลังที่เรามองไม่เห็นผ่านหน้าจอ พบว่ามีการติดต่อไปยังหลากหลาย Source

ภาพ 3 : การ login โดยใช้ account ของผู้เขียนและเปิดโปรแกรมชนิด Revert Proxy เพื่อทำการวิเคราะห์ลักษณะการติดต่อสื่อสารระหว่างผู้ใช้งานและฝั่งเครือข่ายให้บริการ twitter

จะเห็นการติดต่อสื่อสารระหว่างเครื่องผู้ใช้งาน (ตัวเรา) กับระบบ Twitter เพียงเสี้ยววินาที จะเห็นว่าเครื่องคอมพิวเตอร์ของเราติดต่อไปยังหลายโดเมน และมีลักษณะเช่นนี้ตลอดเวลาที่เปิดหน้าเว็บ twitter ขึ้น

3.2 สังเกตค่า session ID

สิ่งที่น่าสังเกตคือ session ที่เกิดขึ้นเบื้องหลังที่ติดต่อไปที่หน้า http://twitter.com/sessions?phx=1
นั้นจะมีลักษณะ Method เป็น POST หากใช้โปรแกรมพวก Sniffer ดักข้อมูลในส่วนนี้ (ภายในเครื่องตัวเอง)
จะพบว่าสามารถมองเห็น Username หรือ e-mail และ password ที่ใช้ในการ login ได้


ภาพ 4 : ค่า session ID ที่พบซึ่งไม่มีการเข้ารหัสในส่วนนี้
จากภาพ session[username_or_email] และ session[password] จะเป็นค่า plain text ที่สามารถดักข้อมูลได้ ซึ่งการทำ session hijack ก็จะสามารถปลอมเป็น account ที่ใช้งานเป็นคนอื่นได้ อาจไม่ต้องทราบถึง password ก็เข้าใช้ account ผู้อื่นได้ (วิธีขโมย session ต้องทำในเครือข่ายเดียวกัน หรือ วง Network ภายในเดียวกัน)

3.3 สังเกตค่า cookie
ค่า cookie หากไม่มีทำการล้างข้อมูลหรือลบค่า cookie ในเครื่องจะทำให้มีรอยประวัติทิ้งไว้อยู่ว่าในวันเวลาดังกล่าวได้เข้ามาใช้งาน (login) twitter จริง


ภาพ 5 : การแสดงค่า cookie จากการใช้งาน twitter ทั้งฝั่งผู้ใช้งานและผู้ให้บริการในระดับ application layer ของทาง twitter

จะเห็นได้ว่า ค่า cookie sent และค่า cookie received โดยเฉพาะค่า Cookie Received จะได้ auth_token ซึ่งส่วนนี้ twitter ใช้เทคโนโลยีที่ชื่อว่า Oauth มาช่วยกำหนดเรื่องสิทธิต่างๆ ค่า auth_token แต่ละคนจะไม่เหมือนกันเช่นเดียวกับค่า twid ก็ไม่ซ้ำกันเป็นต้น ในค่า cookie จะมีการบันทึกไว้ทั้งฝั่งผู้ใช้งานและ ฝั่งผู้ให้บริการ Application twitter ดังนั้นพบผู้ต้องสงสัยแล้วหลักฐานในส่วนนี้ก็จะยืนยันได้ว่าเป็นผู้กระทำการจริงเป็นต้น
cookie ก็สามารถขโมยได้เหมือนกับการ ขโมย session ID โดยเฉพาะ หากมีการดัก cookie แล้วได้ค่าหมายเลข cookie เป้าหมายเมื่อไหร่ก็สามารถนำค่า cookie เป้าหมายมาทำการใส่ค่า long string ที่ “Set-Cookie: _twitter_sess=xxxxxxxxxxx” มาแทนค่า cookie ของเราเอง ก็สามารถขโมย user ของ twitter ได้เช่นกันด้วยเทคนิคนี้เมื่อขโมย cookie มาได้แล้วทำการ refresh หน้าเพจก็สามารถกลายเป็นบุคคลอื่น / account อื่นโดยไม่จำเป็นต้องรู้ username และ password ,ถ้าผู้ใช้งานผ่าน SSL ก็จะทำการดักข้อมูลทำได้ลำบากขึ้นได้ (ต้องอยู่ในเครือข่าย LAN เดียวกันแล้วทำเทคนิค MITM : Man In The Middle) โดยมากจะผ่าน SSL เมื่อใช้คอมพิวเตอร์ / บราวเซอร์ ที่แสดง User-agent เป็น PC ทั่วไป แต่หากใช้ Mobile Application เพิ่มความสะดวกในการใช้ twitter บาง application ติดต่อโดยไม่มีการเข้ารหัสซึ่งเป็นผลให้การดักข้อมูลทำได้ง่ายขึ้นเช่นกัน
3.4 สังเกตค่า Timeline เพื่อหาเวลาที่แน่นอน ซึ่งส่วนนี้เราแทบจะไม่สามารถดูผ่านหน้าเว็บ twitter ได้เลยว่าเวลาที่โพสเวลาอะไรกันแน่ จะเห็นเวลาคร่าวๆเช่นผ่านมาแล้ว 5 ชั่วโมงเป็นต้น หากดูที่ user timeline จะพบเวลาที่เป็นนาทีได้
ภาพที่ 6 : เมื่อนำค่า pcap (Packet Capture :อ่านเพิ่มเติม) จากการใช้งาน twitter มาเปิดในโปรแกรม Wireshark จะพบค่า URI สำหรับบอก Timeline และค่า Key Oauth ที่ระบุถึงการใช้สิทธิ (Authorization) ในโปรแกรม twitter ซึ่งจากค่าดังกล่าวก็จะสามารถหาเวลาที่ทำการ Post ข้อความได้แม่นยำขึ้น แต่หากไม่มีเครื่องสามารถดูผ่านค่า Feed RSS ของ User Timeline ของผู้นั้นได้เช่นกัน
ในกรณีนี้จะพบว่าการส่งข้อความที่ไม่ใช่ตัวจริงส่งนั้นเกิดขึ้นเมื่อเวลา 10:22 AM ของวันที่ 2 ตุลาคม 2554
ภาพที่ 7 : แสดงค่า Timeline จาก RSS Feed ที่พบจะเห็นวันเวลาที่ละเอียดขึ้นจะพบว่าช่วงเวลาที่โพสนั้นห่างกันเพียงแค่ นาทีต่อนาที โดยรวมไม่เกิน 10 นาทีต่อหนึ่งข้อความ ต่อเนื่องกันตั้งแต่ 10.22 AM -10:43 AM จำนวน 8 ข้อความ
4. ช่องโหว่ที่เกิดขึ้นโดยเข้าถึงสิทธิการใช้งานผู้อื่น
4.1 การทำ Forgot password
หากเปิดเผยข้อมูลส่วนตัวมากเกินไป อาจนำไปใช้ในขั้นตอน Forgot password ได้
หรือเดารหัสผ่านจากข้อมูลส่วนตัวอื่นๆเช่น บ้านเลขที่ เบอร์โทรศัพท์ ทะเบียนรถ ชื่อบุคคลที่เรารัก เป็นต้น
4.2. การติด malware
การติดตั้งโปรแกรมโดยมิได้ติดตั้งจากแหล่งที่น่าเชื่อถือได้ อาจติด malware ที่มีความสามารถในการขโมยข้อมูลส่วนตัวได้ ไม่ว่าจะใช้มือถือ คอมพิวเตอร์พกพา หรืออื่นๆ malware จะเป็น Spy เช่น เป็น Keylogger จับข้อมูลผ่านแป้นคียบอร์ด คอยส่งข้อมูลให้กับ Hacker ก็อาจเกิดขึ้นได้

4.3 อื่นๆ ที่กล่าวมาทั้งหมดนี้ล้วนเป็นทางเทคนิค หากการเข้าถึงข้อมูลผู้อื่นนั้นอาจไม่ได้มาจากทางเทคนิคอย่างเดียว เป็นเพียงเส้นผมบังภูเขาก็ได้ เช่น กรณีที่ Password ง่ายต่อการเดา , การถือ Account มีหลายคน , การเก็บบันทึก Account เพื่อการเข้าถึงข้อมูลเปิดเผยมากเกินไป เช่นเก็บบันทึกในสมุดโน็ต , ที่เครื่องมือถือ และโน็ตบุ๊ต เป็นต้น ก็สุดแล้วแต่ความประมาทของคนที่มีโอกาสเกิดขึ้นได้ทั้งสิ้น

ในอนาคตเราอาจจะพบว่าการใช้อินเทอร์เน็ตอย่างไม่เหมาะสมจนทำให้เกิดความเสียหาย และเกิดฐานความผิดเกี่ยวกับคอมพิวเตอร์จะมีมากขึ้น เป็นไปตามจำนวนผู้ใช้งานอินเทอร์เน็ตที่สูงขึ้นอยู่ทุกปี คงถึงเวลาแล้วที่ภาครัฐควรเอาใจใส่ในเรื่องการตรวจหาผู้กระทำความผิดทางคอมพิวเตอร์อย่างจริงจัง โดยอาจจะต้องมาศึกษาเรื่อง Lawful Interception ซึ่งในประเทศที่พัฒนาแล้วก็มีการทำเรื่องตรวจสอบข้อมูลการใช้งานอินเทอร์เน็ตทั้งสิ้น ประเทศเราเคยทำมาก่อนหน้านี้คือศูนย์ ISOC แต่กับเห็นว่าไม่ได้มีการทำการต่อแล้ว หากเห็นเรื่องนี้เป็นเรื่องสำคัญและมีโอกาสกระทบต่อความมั่นคงของชาติ ศาสนา และพระมหากษัตริย์ และประชาชนผู้ใช้งานโดยตรงด้วยแล้วนั้น ควรกลับมาดูแลเรื่องการตรวจสอบข้อมูลอย่างจริงจัง และควรใช้อำนาจเจ้าหน้าที่พนักงานที่ถูกแต่งตั้งให้สามารถตรวจสอบข้อมูลได้ตามกฏหมาย พ.ร.บ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ให้เป็นประโยชน์ ส่วนสังคมจะมองว่าเป็นการละเมิดสิทธิ ก็ต้องสร้างความเข้าใจว่าเป็นการตรวจสอบ IP Address ที่ต้องสงสัย หาใช่ว่าเพียงทราบ IP Address จะรู้ว่าใครเป็นใคร (Who) ทำอะไร (What) เวลาใด (When) อย่างไรก็ต้องผ่านขั้นตอนขอหมายศาล และขั้นตอนการขอรายชื่อ account ผู้ใช้งานในระบบ billing ของฝั่งผู้ให้บริการอินเทอร์เน็ต หรือ ISP อยู่ดี ซึ่งมีขั้นตอนอีกไม่น้อย ดังนั้นหากใช้ข้อมูลอินเทอร์เน็ตอย่างสร้างสรรค์และถูกต้องไม่ต้องกลัวว่าจะโดนตรวจสอบ การตรวจสอบไว้ป้องปรามอาชญากรรมทางคอมพิวเตอร์ที่มีมากขึ้นๆ จนเป็นปัญหาสังคม และมีผลกระทบต่อความมั่นคงของประเทศชาติได้เช่นกันหากไม่มีมาตรการอันใดที่จะมาตรวจสอบข้อมูลทางอินเทอร์เน็ตในอนาคต

SRAN First Help : แผนที่สถานการณ์


FIRST Help : แผนที่สถานการณ์ เพื่อใช้สำหรับสถานการณ์ฉุกเฉิน หรือ “Crisis map” เป็นแนวคิดที่จะช่วยเหลือผู้คนผ่านช่องทางอินเทอร์เน็ตสำหรับแจ้งเบาะแส และทำให้ผู้ที่ต้องการข้อมูลได้ทราบเพื่อเตรียมรับมือต่อสถานการณ์ที่เกิดขึ้น

ตั้งแต่ช่วงต้นปีที่ผ่านมานี้ประเทศไทยของเราประสบปัญหาภัยพิบัติทางธรรมชาติอยู่เป็นระยะๆ โดยเฉพาะปัญหาน้ำท่วม ดินถล่ม ถนนหลักใช้การไม่ได้ ดังนั้นกำลังเพียงเล็กน้อยของทีมงานเราได้แค่เพียงการจัดทำเทคโนโลยีเพื่อช่วยแจ้งเบาะแส ผ่านแผนที่สถานการณ์เพื่อช่วยบอกตำแหน่ง กำหนดจุดเกิดเหตุ และ สืบค้นหาข้อมูลย้อนหลังในแผนที่สถานะการณ์ได้ เพื่อประเมินสถานการณ์ได้อีกด้วย อีกทั้งมีการส่งข้อมูลผ่านช่องทางที่หลากหลาย เช่น ผ่านเว็บไซต์ ผ่านโปรแกรมมือถือ ซึ่งปัจจุบันเรามีการส่งผ่านมือถือเฉพาะ Android ซึ่งสามารถ download ได้ในเว็บไซต์ http://firsthelp.me ซึ่งในการส่งข้อมูลนั้นสามารถส่งได้ทั้งเป็น SMS , วิดีโอ , รูปภาพ ข่าวที่ผ่านช่องทาง RSS Feed จากเว็บไซต์ข่าว หรือ ช่องทาง Twitter และ Social Network ได้อีกด้วย
ภาพตัวอย่างระบบแผนที่สถานการณ์ SRAN Firsthelp
เพื่อเป็นการเพิ่มช่องทางการแจ้งเตือนภัย ให้ครอบคลุมปัญหาต่างๆ ทางทีมงานพัฒนา SRAN จึงทำเป็น 5 หมวดหมู่ ดังนี้
1. ภัยพิบัติทางธรรมชาติ ซึ่งแยกได้เป็นภัยพิบัติ ดังนี้– ภัยที่เกิดจากน้ำท่วม
– ภัยที่เกิดจากพายุ
– ภัยที่เกิดจากแผ่นดินไหว
– ภัยที่เกิดจากสึนามิ
– ภัยที่เกิดจากไฟไหม้ป่า
– ภัยแล้ง
– ดินถล่ม
– ฝนตกหนัก
ภาพหน้าจอ Firsthelp : ที่แสดงถึงแผนที่สถานการณ์สำหรับภัยพิบัติทางธรรมชาติ
2. การแพทย์ฉุกเฉิน สำหรับการช่วยเหลือผู้ป่วยฉุกเฉิน
3. เกี่ยวกับสาธารณูปโภค ประกอบด้วย น้ำไม่ไหล , ไฟฟ้าใช้การไม่ได้ , ถนนหลักไม่สามารถใช้งานได้ , ระบบสื่อสารขัดข้อง เป็นต้น
4. เหตุด่วนเหตุร้าย เช่น การแจ้งคนหาย , อุบัติเหตุ การลักขโมยทรัพย์สิน และการแจ้งเบาะแส อื่นๆ
เมื่อผู้ใช้งานที่ต้องการแจ้งเหตุส่งข้อความมายังระบบ First Help จะทำประมวลความถูกต้องโดยต้องมีทีมปฏิบัติการคอยตรวจสอบความถูกต้องข้อมูลถึง 2 ขั้นตอนคือ ขั้นตอน รับรองข้อมูล (Approve) และ ขั้นตอน ยืนยันข้อมูล (Verify) เพื่อให้ข้อความที่ปรากฏในระบบรับแจ้งเหตุได้มีความน่าเชื่อถือมากขึ้น
เมื่อข้อมูลที่ผ่านการรับรอง (Approve) จะขึ้นปรากฏที่หน้าเว็บไซต์ http://firsthelp.me และผ่านเข้ามือถือระบบ Firsthelp Android
ภาพหน้าจอรายงานผล
SRAN First Help มีความยินดีที่จัดทำระบบนี้ให้กับผู้สนใจที่ต้องการระบบแผนที่สถานการณ์ เพื่อเป็นศูนย์กลางในการรับแจ้งเหตุ และเบาะแสอื่นๆ ที่พึ่งเป็นประโยชน์ต่อประชาชน สามารถติดต่อทางเราได้ที่ info@gbtech.co.th เรายินดีทำระบบแจ้งเหตุเตือนภัยที่เป็นแบบแผนที่สถานการณ์ได้
นนทวรรธนะ สาระมาน
Nontawattana Saraman

SRAN จัดทำระบบสถิติภัยคุกคามทางอินเทอร์เน็ตในประเทศไทย

ทางทีมพัฒนา SRAN ไม่เคยหยุดน่ิงที่จะคิดค้นหาวิธีการเพื่อที่ทำให้สังคมไทยมีความตื่นตัวในด้านการรักษาความมั่นคงปลอดภัยข้อมูล
ก่อนหน้านี้ก็มีการจัดทำ SRAN Comic การ์ตูนเสริมสร้างความเข้าใจวิธีการป้องกันภัยคุกคามที่เกิดจากการใช้ระบบสารสนเทศและอินเทอร์เน็ตมาแล้วในเว็บ http://comic.sran.org ซึ่งเหมาะกับคนทั่วไปและผู้ที่เริ่มต้นศึกษาด้าน IT Security
อีกทางหนึ่ง SRAN Technology ได้มีการรวบรวมสถิติภัยคุกคามทางอินเทอร์เน็ตในประเทศไทยขึ้นด้วยประสบการณ์วิจัยและพัฒนาเทคโนโลยีสารสนเทศด้านความมั่นคงปลอดภัยข้อมูลมากว่า 10 ทำให้ SRAN คิดว่าควรจัดทำระบบที่เกี่ยวข้องกับสถิติภัยคุกคามเพื่อเป็นการแจ้งเหตุ และเตือนภัยให้กับหน่วยงานที่เกี่ยวข้องได้รับรู้ถึงภัยคุกคามที่เกิดขึ้นกับตนเอง เพื่อการปรับปรุงและพัฒนาให้เกิดความตะหนักและป้องกันภัยในอนาคตโดยตั้งชื่อว่า “ระบบสถิติภัยคุกคามทางอินเทอร์เน็ตในประเทศไทย”

ที่มา

ก่อนหน้านั้นหากเราต้องการหาข้อมูลในเชิงสถิติที่เกี่ยวข้องกับกับภัยคุกคามที่เกิดขึ้นทางอินเทอร์เน็ต โดยเฉพาะเจาะจงไปที่ประเทศไทยแล้ว ยังไม่มีหน่วยงานใดได้มีการจัดทำสถิติอย่างเป็นทางการ
โดยกลุ่มพัฒนา SRAN ได้ติดตามผลภัยคุกคามเหล่านี้มาโดยตลอด และเล็งเห็นว่าสมควรที่จะจัดทำเป็นระบบสถิติเพื่อเป็นการเตือนภัยหน่วยงานที่ถูกบุกคุกคาม จากนักโจมตีระบบโดยนักโจมตีระบบนั้นอาศัยช่องโหว่ตามระบบปฏิบัติการ ช่องโหว่ของระบบแอฟลิเคชั่น จนทำให้เว็บไซต์จำนวนหนึ่งในประเทศไทยตกเป็นเหยื่อ และเกิดผลพ่วงตามมาคือเป็นแหล่งเพาะเชื้อยิ่งถ้าเป็นเว็บหน่วยงานราชการหรือระบบการศึกษา กองทัพ บริษัทห้างร้าน นั้นแล้ว จะมีภัยคุกคามต่อผู้ใช้งานโดยตรงได้
ดังนั้นระบบที่ทาง SRAN ได้จัดทำขึ้นก็เพื่อเป็นการเตือนภัยให้ปรับปรุง/แก้ไข สำหรับผู้ดูแลเว็บไซต์ของหน่วยงานได้ปรับปรุงและให้บริการอย่างปลอดภัยมากขึ้นในอนาคต
เป้าหมายของระบบสถิติภัยคุกคามทางอินเทอร์เน็ตในประเทศไทย
1. เพื่อจัดทำเป็นสถิติภัยคุกคามทางอินเทอร์เน็ตในประเทศไทย ที่มีความน่าเชื่อถือ ความถูกต้องของข้อมูลและสามารถอ้างอิงเป็นเอกสารได้
2. เพื่อเตือนภัยให้กับหน่วยงานที่ประสบเหตุได้ปรับปรุงแก้ไขให้ปลอดภัย และป้องกันการแพร่เชื้อไม่ให้ติดต่อแก่ผู้ใช้งานทั่วไป
3. เพื่อจัดทำเป็นประวัติข้อมูลเพื่อสามารถสืบค้นข้อมูลย้อนหลังได้
4. เพื่อให้ผู้ดูแลระบบที่ระบบที่เกิดช่องโหว่ได้มีการพัฒนาปรับปรุงเพื่อปรับไม่ให้เกิดช่องโหว่ของระบบของหน่วยงานที่ตนเองได้ดูแลอยู่ได้
การดำเนินการ
รูปแบบการจัดทำสถิติภัยคุกคามทางอินเทอร์เน็ตในประเทศไทย ทีมพัฒนา SRAN ได้ตั้งเป้าเฉพาะการตรวจสอบที่เกิดจากเว็บไซต์ที่มี IP Address และ Domain name ที่เป็นสาธารณะ (Public) ที่บุคคลทั่วไปก็สามารถเข้าถึงข้อมูลได้
โดยแบ่งเป็น 3 ชนิดภัยคุกคาม 7 กลุ่ม คือ ชนิดภัยคุกคามจะประกอบด้วย 7 กลุ่ม ดังนี้
ซึ่งแยกแยะตามรายชื่อโดเมนตามชื่อหน่วยงาน
1. สำหรับการศึกษา (Academic) หรือ โดเมน ac.th
2. สำหรับบริษัทห้างร้าน (Commercial Companies) หรือ โดเมน co.th
3. สำหรับรัฐบาล (Governmental Organizations) หรือ โดเมน go.th
4. สำหรับทหาร (Military Organizations) หรือ โดเมน .mi.th
5. สำหรับหน่วยงานที่ไม่หวังผลทางการค้า (Registered Non-profit Organizations) หรือ โดเมน or.th
6. สำหรับผู้ให้บริการอินเทอร์เน็ต (officially registered Internet Service Providers) หรือ โดเมน net.th
7. สำหรับหน่วยงานทั่วไป (Individuals or any others) หรือ โดเมน in.th
ชนิดของภัยคุกคามทั้ง 3 ชนิดประกอบด้วย
ชนิดที่ 1 : เว็บไซต์ในประเทศไทยที่ถูกโจมตี ได้แก่ การโจมตีชนิดที่มีการเปลี่ยนแปลงข้อมูลในเว็บไซต์ (web defacement)
ชนิดที่ 2 : เว็บไซต์ในประเทศไทย ที่ตกเป็นฐานของฟิชชิ่ง (Phishing) จนกลายเป็นเว็บหลอกลวง
ชนิดที่ 3 : เว็บไซต์ในประเทศไทย ที่ติดไวรัสคอมพิวเตอร์ ซึ่งส่วนใหญ่แล้วจะเป็นเว็บไซต์ที่ถูกโจมตีแล้วสามารถเข้าถึงระบบได้จากนั้นจึงนำ file ที่ติดไวรัสเข้ามาใส่ในเว็บไซต์เพื่อใช้หลอกให้ผู้ใช้งานติดไวรัสต่อไป
จะเห็นว่าทั้ง 3 ชนิดภัยคุกคาม เป็นการเผยแพร่ข้อมูลทั่วไปผ่านระบบอินเทอร์เน็ต ซึ่งทำให้ผู้ใช้งานทั่วไปอาจตกเป็นเหยื่อได้ทุกเมื่อหากหลงผิดเข้าเว็บไซต์ดังกล่าว
โดยทางกลุ่มพัฒนา SRAN ได้จัดทำระบบ Crawler Honeypot เพื่อสืบเสาะหาแหล่งข้อมูลจากหลายที่ ที่ได้รับความน่าเชื่อถือจากทั่วโลก และทำการกรองข้อมูลที่ได้มาจัดทำเป็นสถิติเพื่อใช้ในการวิเคราะห์ภัยคุกคามและเตือนภัยให้กับหน่วยงานที่พบช่องโหว่ต่อไป
ผลการจัดทำ
จะพบว่าสถิติที่พบจนถึงวันที่ 3 กันยายน 2554 พบว่า
ชนิดที่ 1 : เว็บไซต์ในประเทศไทยที่ถูกโจมตี เริ่มมีการจัดเก็บข้อมูลตั้งแต่ปี ค.ศ. 1999 จนถึงปัจจุบัน
จะเห็นว่าเว็บไซต์ในประเทศไทยที่ถูกโจมตีเป็นอันดับหนึ่งคือภาครัฐบาล (go.th) ตั้งแต่ปี ค.ศ. 1999 เป็นต้นมาจนถึงปัจจุบัน (3 กันยายน 2011) มีจำนวนถึง 4936 ครั้ง คิดเป็น 41.53% จากจำนวน 7 กลุ่มโดเมน
ชนิดที่ 2 เว็บไซต์ในประเทศไทยที่ตกเป็นฐานในการทำฟิชชิ่ง
พบว่าหน่วยงานที่เกี่ยวข้องกับการศึกษา (.ac.th) เป็นฐานของการทำฟิชชิ่งมากที่สุด คิดเป็นจำนวน 42.3% จำนวนจนถึงปัจจุบันถึง 512 ครั้ง
ชนิดที่ 3 เว็บไซต์ในประเทศไทย ที่ติดไวรัสคอมพิวเตอร์
พบว่าหน่วยงานที่เกี่ยวข้องกับการศึกษา (.ac.th) เป็นฐานของการไวรัสคอมพิวเตอร์มากที่สุด คิดเป็นจำนวน 48.3% จำนวนจนถึงปัจจุบันถึง 616 ครั้ง
บทวิเคราะห์สถานการณ์ปัจจุบัน
จากสถิติที่นำเสนอ จะพบว่าหน่วยงานราชการและหน่วยงานด้านการศึกษา โดยส่วนใหญ่มีเว็บไซต์ประจำหน่วยงาน ซึ่งหลายเว็บไซต์นั้นยังมีช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดี (Attacker) สามารถเข้ามายึดระบบและใช้เป็นฐานในการเผยแพร่ข้อมูลที่เป็นภัยคุกคาม ซึ่งผู้ไม่ประสงค์ดีนั้นอาจตั้งใจโจมตี หรือไม่ตั้งใจโจมตีระบบก็ได้ โดยการสร้างสคิปต์ค้นหาช่องโหว่ที่เป็นภัยคุกคามในปัจจุบันแล้วหากพบเว็บไซต์ที่มีช่องโหว่ก็ทำการเข้ายึดโดยอัตโนมัติ จากนั้นก็ทำเป็นฐานในการโจมตีต่อไป ซึ่งถือได้ว่าเป็นกลายเป็นกองทัพ botnet ในอนาคต
ดังนั้นเว็บไซต์หน่วยงานที่มีรายชื่อในฐานข้อมูล http://www.sran.org ควรทำการจัดทำระบบให้แข็งแรง ปิดช่องโหว่ที่เป็นภัยคุกคามต่อระบบเว็บไซต์ได้ (Hardening) ซึ่งสามารถตรวจหาช่องโหว่ที่เป็นภัยคุกคามในปัจจุบันได้จากข้อมูล CVE (Common Vulnerability Exposures) ซึ่งทางทีมงานพัฒนา SRAN
ได้จัดทำไว้ดูข้อมูลแบบอัพเดทวันต่อวันที่ http://www.sran.net/statistic/#vulnerabiltiy
และสำหรับผู้ดูแลระบบเว็บไซต์ จึงคำนึงถึงความมั่นคงปลอดภัยอยู่ตลอดเวลาว่าในวันที่ประกาศเป็นเว็บไซต์ มี Public IP Address มีรายชื่อ Domain name แล้ว ก็ต้องมีระบบที่ปลอดภัยด้วยเพราะคนทั่วโลกก็สามารถเข้าถึงข้อมูลที่นำเสนอได้ตลอด ดังนั้นควรมีการหมั่นอัพเดทระบบที่เป็นช่องโหว่ให้ผู้บุกรุกเข้าถึงข้อมูลได้
เพิ่มเติม
สถิติ SRAN ถูกนำไปออกอากาศในรายการแบไต๋ไฮเทค เมื่อวันที่ 22 สิงหาคม 2554 ทางช่อง C-Channel โดยพูดถึงรายงานสถิติที่เว็บไทยโดนโจมตี ตั้งแต่ปี ค.ศ. 1999 จนถึงปัจจุบัน โดย SRAN เก็บรวบรวมข้อมูลไว้ อธิบายโดย อ.Supadej Sutthiphongkanasai

เผยแพร่โดย กลุ่ม SRAN พัฒนา (SRAN Dev)
นนทวรรธนะ สาระมาน
Nontawattana Saraman

แนะนำหนังสือ


ว่าจะเขียนแนะนำเรื่องนี้นานแล้ว แต่ก็ลืมไปทุกที ในช่วงนั้นผมได้ท่องเน็ตโดยค้นหาเรื่อง วิธีการวิปัสสนากรรมฐาน ของหลวงพ่อเทียน ไปพบคลิปการบรรยายที่ดีมากคลิปหนึ่งจึงอยากนำมาเผยแพร่ไว้ในที่นี้ด้วย คลิปบรรยายในหัวข้อเรื่อง วิทยาศาสตร์ทางจิต บรรยายโดยศาสตราจารย์ นายแพทย์คงศักดิ์ ตันไพจิตร ซึ่งบรรยายสรุปในด้านพุทธศาสตร์ และ วิทยาศาสตร์ ได้อย่างลงตัวที่สุดเท่าที่เคยฟังมา (ประสบการณ์ด้านนี้ยังน้อยก็ได้) แต่ก็ทำให้เข้าใจในหลายๆเรื่อง และฟังแล้วฟังอีก หลายรอบจนคิดว่าวันหนึ่งอยากจะเผยแพร่ความรู้ดีๆ นี้ไว้ใน blog ของตัวเองนั้นเอง

ฟังที่ youtube : วิทยาศาสตร์ ทาง จิต มีทั้ง 5 คลิป เผยแพร่เมื่อวันที่ 26 มกราคม 2554
จากนั้นเมื่อผมได้ฟังจากการบรรยายครั้งนี้แล้ว ผมจึงลองค้นหาเพิ่มเติมไปพบว่าท่าน ศ.นายแพทย์คงศักดิ์ นั้นเคยเคยหนังสือไว้ ชื่อ “พุทธอัจฉริยะ” ซึ่งก็มีเนื้อหาใกล้เคียงกับการบรรยายเรื่อง วิทยาศาสตร์ทางจิต แต่มีรายละเอียดให้อ่านมากขึ้น ซึ่งเป็นหนังสือที่แนะนำ เป็นหนังสือของสำนักพิมพ์ DMG หากใครสนใจในด้านนี้แล้วควรมีเก็บไว้ศึกษาได้ทั้งความรู้และปัญญา
นนทวรรธนะ สาระมาน
Nontawattana Saraman

บรรยายให้สำนักงานศาลยุติธรรม


ทางสำนักงานศาลยุติธรรมได้ให้โอกาสตัวผมได้บรรยายในหัวข้อเรื่อง “รูปแบบการกระทำความผิด การสืบสวนและพยานหลักฐานทางอิเล็กทรอนิกส์ในคดีความผิดเกี่ยวกับคอมพิวเตอร์” ซึ่งนับเป็นเกียรติอย่างยิ่งที่ทางศาลยุติธรรมให้โอกาสบรรยายในครั้งนี้ งานนี้จัดขึ้น วันที่ 19 – 21 สิงหาคม 2554 ที่โรงแรม แกรนด์แปซิฟิก ซอฟเฟอรีน รีสอร์ทแอนด์สปา จังหวัดเพชรบุรี ซึ่งส่วนที่ผมบรรยายจะเป็นช่วงบ่ายของวันเสาร์ที่ 20 สิงหาคม 2554 บรรยายเป็นไปด้วยท่านผู้พิพากษาที่ให้ความสนใจในส่วนที่บรรยาย ก็ต้องกล่าวขอขอบคุณมาใน ณ ที่นี้ด้วยครับ
นนทวรรธนะ สาระมาน