ความปลอดภัยบนเว็บไซต์อีคอมเมิร์ซที่ควรเอาใจใส่

การถูกเจาะระบบความปลอดภัยของเว็บไซต์อีคอมเมิร์ซได้เพิ่มขึ้นจนกลายเป็นเรื่องที่พบเห็นหรือได้ยินบ่อยครั้งแล้วในสมัยนี้ ผลรายงานความปลอดภัยทางคอมพิวเตอร์ทั่วโลกของSpiderLabsในปี 2012ได้ระบุว่า กว่า 20% ของเหตุภัยที่เกิดขึ้นนั้นมีเว็บไซต์อีคอมเมิร์ซเกี่ยวข้องด้วย โดยมีอัตราส่วนเพิ่มขึ้นจากปีก่อนหน้าถึง 9%ซึ่งเกือบ40% ของเหตุภัยดังกล่าวเกิดขึ้นในทวีป Asia-Pacificโดยเหตุการณ์ต่างๆที่เกิดขึ้นจากทั่วโลกเหล่านี้มีแรงจูงใจเพื่อการขโมยข้อมูลบัตรเครดิตเป็นเสียส่วนใหญ่
เพื่อเป็นการเสริมการป้องกันต่อการโจมตีที่มุ่งเป้าไปยังระบบอีคอมเมิร์ซ, เราจะต้องมีความรู้ความเข้าใจข้อเท็จจริงของความปลอดภัยในระบบอีคอมคอมเมิร์ซให้มากยิ่งขึ้นไปกว่านี้ และจากประสพการณ์ของพวกเราที่ผ่านมานั้น โดยทั่วไปแล้วการรับชำระค่าสินค้าและบริการส่วนมากบนเว็บไซต์อีคอมเมิร์ซจะมีสามวิธีดังนี้
การจัดเก็บข้อมูลและดาวน์โหลด
วิธีการนี้เป็นวิธีการที่มักใช้โดยกลุ่มผู้ประกอบการธุรกิจรายย่อย โดยเฉพาะกลุ่มที่มีการนำระบบร้านค้าออนไลน์เข้ามาเสริมกับร้านค้าจริง ซึ่งร้านเหล่านี้จะมีเครื่องมือรับชำระเงินด้วยบัตรเครดิตแล้ว ดังนั้นเมื่อมีการสั่งซื้อสินค้าผ่านทางเว็บไซต์ ผู้ประกอบการจะทำการดำเนินการใส่ข้อมูลบัตรเครดิตของลูกค้าลงในเครื่องเพื่อชำระเงินทีละรายการด้วยตนเอง
ผลลัพท์จากวิธีการดังกล่าว ส่งผลให้ข้อมูลบัตรเครดิตของลูกค้าถูกจัดเก็บไว้ที่ไหนสักแห่ง โดยมากมักเป็นบนเว็บเซิฟเวอร์
ชำระผ่านอินเทอร์เฟซเกตเวย์ของผู้ให้บริการ
กลุ่มผู้ประกอบการรายที่ใหญ่ขึ้นมามีความเป็นไปได้สูงที่จะใช้วิธีการนี้ เพราะด้วยเหตุผลที่ว่ามันช่วยให้การรับชำระเงินเป็นไปได้ไม่ติดขัด และยังช่วยตรวจสอบสถานะบัตรเครดิต ณ เวลานั้นๆด้วย ซึ่งเมื่อลูกค้าให้ข้อมูลบัตรเครดิตแก่เว็บไซต์ของผู้ประกอบการแล้วในระหว่างขั้นตอนการคิดราคารวมสินค้าทั้งหมด ระบบจะทำการส่งข้อมูลเหล่านั้นไปยังเกตเวย์ของผู้ให้บริการบัตรเครดิตโดยตรงเพื่อตรวจสอบสถานะ ทำให้ข้อมูลบัตรเครดิตของลูกค้าไม่ถูกเก็บลงในระบบคอมพิวเตอร์ของผู้ประกอบการ และช่วยให้ลูกค้าไม่จำเป็นต้องถูกระบบเปลี่ยนหน้าเพจไปยังเว็บไซต์อื่นๆเพื่อชำระเงิน
ชำระผ่านเกตเวย์ของผู้ให้บริการโดยตรง
จุดมุ่งหมายของวิธีการนี้คือ เพื่อยืนยันให้ชัดเจนว่าข้อมูลบัตรเครดิตของลูกค้าจะไม่มีปรากฎในเว็บไซต์ของร้านค้าเลย โดยเมื่อลูกค้าได้เข้าสู่ขั้นตอนการคิดยอดค่าชำระแล้ว ลูกค้าจะถูกนำไปยังระบบของผู้ให้บริการ เพื่อให้ข้อมูลบัตรเครดิตและหักเงินจากยอดชำระของรายการสั่งซื้อ
วิธีการชำระผ่านเกตเวย์โดยตรง และผ่านอินเทอร์เฟซเกตเวย์นั้นมีความคล้ายคลึงกันมาก เว้นแต่ช่องแบบฟอร์มที่ลูกค้าจะต้องทำการกรอกข้อมูลบัตรเครดิตเพื่อชำระเงินนั้นมาจากคนละเว็บไซต์ ข้อมูลเหล่านั้นจะถูกส่งไปยังผู้ให้บริการโดยตรงหากเป็นวิธีการชำระผ่านเกตเวย์โดยตรงในขณะที่การชำระผ่านอินเทอร์เฟซเกตเวย์ ข้อมูลจะถูกส่งไปที่เว็บไซต์ของร้านค้าก่อนที่จะถูกนำไปส่งที่ผู้ให้บริการโดยอัตโนมัติอีกทอดหนึ่ง
ในบางสภาวะนั้นทั้งสามวิธีการดังกล่าว สามารถตกเป็นเป้าจากการโจมตีในรูปแบบเหล่านี้ได้:
  1. ข้อมูลที่ถูกจัดเก็บไว้ –แฮคเกอร์ใช้การค้นหาตำแหน่งของไฟล์ที่มีการบันทึกข้อมูลบัตรเครดิตไว้ และคัดลอกเอาออกมา มักเกิดขึ้นกับผู้ประกอบการที่เลือกใช้วิธีการ “จัดเก็บข้อมูลและดาวน์โหลด” และในบางครั้งเองก็อาจเกิดกับวิธีการ “ชำระผ่านอินเทอร์เฟซเกตเวย์ของผู้ให้บริการ” ได้ด้วยหากผู้ประกอบการเกิดความเผลอเรอ
  2. ช่วงระหว่างการรอส่งข้อมูลให้ผู้บริการ–เนื่องจากวิธีการชำระผ่านอินเทอร์เฟซเกตเวย์นั้นจะไม่มีข้อมูลบัตรเครดิตถูกเก็บไว้ในระบบของร้านค้าเลย ดังนั้นแฮคเกอร์จึงต้องทำการดักจับข้อมูลในช่วงระหว่างที่เว็บไซต์ร้านค้ากำลังเตรียมนำข้อมูลบัตรเครดิตที่ลูกค้ากรอกลงในแบบฟอร์มชำระเงิน ส่งให้กับผู้ให้บริการ การดักจับข้อมูลจะกระทำโดยการบันทึกข้อมูลทุกรายการที่มีการระบุให้ส่งไปที่ผู้ให้บริการลงในไฟล์เพื่อที่จะได้ดาวน์โหลดหรืออีเมล์ออกมาดูได้
  3. เหยื่อล่อ และการสับเปลี่ยน–ในขณะที่การใช้วิธีการชำระผ่านเกตเวย์ของผู้ให้บริการโดยตรงจะช่วยลดความเสี่ยงจากการถูกขโมยข้อมูลลงไปได้มาก แต่ก็ไม่ได้ทำให้ผู้ประกอบการสามารถทำให้เสี่ยงดังกล่าวหมดไปได้อย่างสิ้นเชิง ด้วยการเปลี่ยนแปลงการส่งข้อมูลบัตรเครดิตที่ลูกค้าได้ทำการกรอกลงไป
ตัวอย่างเช่น แฮคเกอร์อาจทำการแฮคเว็บไซต์ร้านค้าให้ทำการแสดงแบบฟอร์มกรอกข้อมูลปลอมแทนที่จะเป็นแบบฟอร์มจากผู้ให้บริการจริงๆ ซึ่งเมื่อมีการกรอกข้อมูลลงไปแล้ว ข้อมูลจะถูกสำเนาออกเป็นสองชุด โดยชุดแรกจะถูกส่งไปที่ผู้ให้บริการจริง ในขณะที่อีกชุดจะส่งไปให้แฮคเกอร์เอง ทำให้ลูกค้าและตัวผู้ประกอบการเองไม่สามารถรู้ตัวได้ว่าถูกขโมยข้อมูลแล้ว
หน้าที่ส่วนหนึ่งของผู้จัดทำบทความนี้คือการให้บริการตอบสนองกับภัยคุกคามที่เกิดขึ้น  ซึ่งต้องมีการสอบถามผู้ประกอบการที่ถูกขโมยข้อมูลบัตรเครดิตไป และมีจำนวนไม่น้อยที่ได้โต้แย้งว่าข้อมูลของพวกเขามีความปลอดภัย ไม่เกิดการรั่วไหลออกไปได้ ด้วยเหตุผลเหล่านี้:
  • ไม่เคยเก็บบันทึกข้อมูลบัตรเครดิตไว้เลย
  • ข้อมูลบัตรเครดิตมีการเข้ารหัสไว้
  • มีการนำเอาระบบ SSLมาใช้ ดังนั้นเว็บไซต์ร้านค้าจึงปลอดภัย
  • ข้อมูลบัตรเครดิตมีความปลอดภัยเพราะได้รับการรับรองมาตรฐาน PCI-DSS แล้ว
  • ร้านค้าเล็กๆไม่น่าจะตกเป็นเป้าของแฮคเกอร์ได้
ไม่เคยเก็บบันทึกข้อมูลบัตรเครดิตไว้เลย
เมื่อผู้ประกอบการยกเหตุผลนี้ขึ้นมา นั่นหมายถึง “เราไม่ได้มีความตั้งใจที่จะจัดเก็บข้อมูลบัตรเครดิตในระยะยาวเลย”เพราะผู้ประกอบการทุกคนต่างก็ทราบอยู่เสมอว่าพวกเขาไม่มีความจำเป็นที่จะต้องเก็บข้อมูลเหล่านั้นไว้เมื่อถึงจุดๆหนึ่งที่ทำรายการเก็บค่าชำระแล้วแต่การทำเช่นนั้นซึ่งเป็นส่วนหนึ่งของวิธีการ “จัดเก็บข้อมูลและดาวน์โหลด” จะต้องมีการเก็บข้อมูลบัตรเครดิตไว้ระยะเวลาหนึ่งก่อนที่ข้อมูลบัตรจะถูกนำไปใช้ชำระเงินทีละรายการ โดยภายหลังจากขั้นตอนนี้แล้วผู้ประกอบการจะทำการลบข้อมูลบัตรเครดิตออกจากระบบของพวกเขา
จากประสพการณ์ที่ทางผู้จัดทำบทความนี้ได้พบมานั้น น้อยครั้งนักที่ข้อมูลดังกล่าวจะถูกลบออกไปได้จนหมดสิ้น เพราะว่าผู้พัฒนาโปรแกรมรังเกียจการสูญหายของข้อมูล ดังนั้นโปรแกรมสำหรับการจัดการร้านค้าส่วนใหญ่จึงถูกปรับแต่งให้ทำการเปลี่ยนสถานะการรายการสั่งซื้อจากแจ้งความประสงค์ในการสั่งซื้อให้กลายเป็นสถานะถูกส่งสินค้าไปแล้ว และซ่อนข้อมูลอื่นๆของรายการสั่งซื้อ รวมไปถึงข้อมูลการชำระเงินของลูกค้าไว้มากกว่าการลบออกไป นอกจากนี้ในบางโปรแกรมยังได้มีค่าการปรับแต่งเริ่มต้นให้ทำการสำรองข้อมูลทั้งหมดไว้ที่ฐานข้อมูลเป็นประจำอีกด้วย
อย่างไรก็ตาม หากพิจารณาถึงประเด็นข้างต้นที่กล่าวมา ช่วงเวลาดังกล่าวหากข้อมูลมีการจัดเก็บไว้ในระบบแม้แต่เพียงวินาทีเดียว ก็เป็นสิ่งเคลือบแคลงใจที่จะเกิดความเป็นไปได้ว่าข้อมูลจะถูกขโมยออกไปได้โดยแฮคเกอร์ ผู้ประกอบการส่วนใหญ่มักมีความเชื่อที่ผิดๆว่า แฮคเกอร์จะต้องทำการเฝ้าติดตามความเคลื่อนไหวของเว็บไซต์ร้านค้าตลอดเวลา และขโมยข้อมูลบัตรเครดิตจากรายการสั่งซื้อที่เพิ่มเข้ามาเก็บไว้ทีละรายการ แต่จากประสพการณ์ของผู้จัดทำบทความได้พบว่าแฮคเกอร์เหล่านี้ใช้ระบบอัตโนมัติเพื่อเพิ่มความสะดวกสบายและลดเวลาในการปฏิบัติการ เช่นการใช้สคริปต์ควบคุมให้คอมพิวเตอร์ของพวกเขาตรวจสอบรายการสั่งซื้อเข้าใหม่จากเว็บไซต์ร้านค้าเป้าหมายได้ทุกๆ 5นาที
นอกจากนี้ยังเคยปรากฏการขโมยข้อมูลผ่านอินเทอร์เฟซของเกตเวย์ผู้ให้บริการอีกด้วย ในกรณีนี้มักเกิดจากข้อมูลในบัตรเครดิตถูกบันทึกไว้ในไฟล์ log โดยอุบัติเหตุ แม้ตัวผู้ประกอบการไม่ได้จงใจให้เกิดเหตุเช่นนั้น เช่น หน้าที่การบันทึกไฟล์ log ที่มาพร้อมกับโปรแกรมจัดการ, จากตัวระบบเอง, หรือการตั้งค่าติดตั้งที่มิได้รับการเปลี่ยนกลับครั้งเมื่อผู้ประกอบการทดสอบการติดตั้งโปรแกรมจัดการ
ข้อมูลบัตรเครดิตมีการเข้ารหัสไว้
หากผู้ประกอบการยกเหตุผลว่าข้อมูลบัตรเครดิตถูกเข้ารหัสไว้ คำถามที่เกิดขึ้นจะตามมานั้นคือ “เยี่ยมไปเลย –แต่พวกคุณทำอย่างไรถึงจะเห็นข้อมูลเหล่านั้นเวลาทำรายการคิดค่าชำระ?” คำตอบที่ได้รับนั้นมักระบุว่า ข้อมูลได้ถูกถอดรหัสเรียบร้อยปรากฏอยู่ที่หน้าจอให้แล้ว เมื่อเข้าไปทำรายการด้วยบัญชีที่ลงทะเบียนไว้ ซึ่งแน่นอนว่ามันควรจะต้องเป็นเช่นนั้น, เพราะผู้ประกอบการยังจำเป็นต้องนำข้อมูลบัตรเครดิตมาทำรายการด้วยตนเอง ดังนั้นโปรแกรมจัดการจึงต้องมีวิธีการบางอย่างเพื่อถอดรหัสไว้ด้วย
ถึงแม้ความเป็นไปได้ที่ข้อมูลบัตรเครดิตถูกเข้ารหัสไว้อย่างรัดกุม และช่วยให้ผู้ประกอบการสามารถเข้าไปดูข้อมูลได้ในขณะที่ป้องกันมิให้แฮคเกอร์เห็นข้อมูลใดๆ (เช่น โปรแกรมจัดการซื้อขายของ LiteCommerceที่มีการเข้ารหัสแบบอสมมาตร ตามมาตรฐาน GPG)มากกว่า การเข้ารหัสด้วยกุญแจเพียงดอกเดียว แต่นั่นหมายถึงกระบวนการเข้ารหัสที่ด้วยกุญแจที่ถูกจัดเก็บไว้ในสถานที่เดียวกันและสามารถถูกเรียกใช้ได้ตลอดเวลาโดยเว็บแอพพลิเคชั่น
การเข้ารหัสประเภทดังกล่าวมักไม่มีผลต่อแฮคเกอร์ที่สามารถแฮคเข้าเว็บไซต์ของร้านค้าได้เรียบร้อยแล้ว
เมื่อแฮคเกอร์พบว่าข้อมูลที่ตนเองต้องการได้ถูกเข้ารหัสไว้ พวกเขาจะมองหาวิธีการถอดรหัสข้อมูลโดยวิเคราะห์จากโค้ดโปรแกรม เมื่อนำโค้ดในการถอดรหัสมาเรียบเรียงเขียนขึ้นใหม่ก็จะสามารถถอดรหัสเพื่อดูข้อมูลที่อยู่ข้างในได้
มีการนำเอาระบบ SSL มาใช้ ดังนั้นเว็บไซต์ร้านค้าจึงปลอดภัย
ใบรับรองSSLเป็นส่วนหนึ่งที่สำคัญของความปลอดภัยบนเว็บไซต์อีคอมเมิร์ซ โดยมีจุดประสงค์เพื่อปกป้องข้อมูลที่ถูกส่งผ่านจากเครื่องคอมพิวเตอร์ของผู้เข้าเยี่ยมชมเว็บไซต์หรือลูกค้าไปถึงเครื่องเซิฟเวอร์ของร้านค้า  โชคไม่ดีนักที่มันไม่ทำให้ข้อมูลมีความปลอดภัยเพิ่มขึ้นเลย เพราะเมื่อข้อมูลได้เดินทางถึงเครื่องเซิฟเวอร์ของร้านค้าแล้ว ใบรับรองSSL จะไม่สามารถป้องกันข้อมูลจากการถูกแฮคเว็บไซต์ร้านค้าโดยตรงได้
ผู้ประกอบการส่วนใหญ่มักมีความเข้าใจผิดว่าใบรับรอง SSLจะสามารถช่วยป้องกันการโจมตีจากแฮคเกอร์ได้ทุกชนิด โดยเฉพาะกลุ่มรายย่อย
ข้อมูลบัตรเครดิตมีความปลอดภัยเพราะได้รับการรับรองมาตรฐาน PCI-DSS แล้ว
ผู้ประกอบการจำนวนไม่น้อยที่มีการจ้างวานให้หน่วยงานที่สามเข้ามาดูแลจัดการตามมาตรฐาน PCI-DSS ซึ่งหลายต่อหลายครั้งผู้ประกอบการมีความเชื่อว่าหากผ่านมาตรฐานแล้ว พวกเขาจะไม่ต้องกังวลเรื่องความปลอดภัยอีก
ซึ่งน่าเสียดายว่าความเชื่อเหล่านี้ไม่เป็นความจริง –ความปลอดภัยบนเว็บไซต์ของร้านค้ายังเป็นสิ่งที่จำเป็นต่อข้อมูลส่วนตัวและบัตรเครดิตของลูกค้า เพราะหากแฮคเกอร์สามารถที่จะเข้าไปขโมยข้อมูลเหล่านั้นออกมาได้ด้วยการแก้ไขการทำงานของเว็บไซต์หากสามารถแฮคเข้าไปควบคุมเครื่องเซิฟเวอร์ของร้านค้าได้สำเร็จ
หากผู้ประกอบการเลือกใช้วิธีการคิดค่าชำระผ่านอินเทอร์เฟซเกตเวย์ แฮคเกอร์จะใช้การอีเมล์ข้อมูลบัตรเครดิตส่งมาให้ ในช่วงขั้นตอนการคิดราคาสินค้าเพื่อชำระเงินและเตรียมส่งให้ผู้บริการบัตรเครดิตตรวจสอบสถานะของบัตร
ส่วนวิธีการชำระผ่านเกตเวย์โดยตรงนั้น แฮคเกอร์สามารถลวงให้ผู้ซื้อสินค้ากรอกข้อมูลบัตรเครดิตที่เว็บไซต์เกตเวย์ปลอมที่ได้สร้างขึ้นมาเตรียมไว้ จากนั้นทำการสำเนาข้อมูลการซื้อขาย แล้วส่งไปให้ที่เกตเวย์ของจริงอีกครั้งหนึ่ง ทำให้ผู้ประกอบการได้รับใบเสร็จจากการชำระเงิน และไม่เป็นที่สงสัยด้วย
ร้านค้าเล็กๆไม่น่าจะตกเป็นเป้าของแฮคเกอร์ได้
นี่อาจเป็นสาเหตุหลักที่ส่งผลให้เกิดแนวโน้มภัยคุกคามต่อเว็บไซต์อีคอมเมิร์ซมากที่สุด ผู้ประกอบการรายย่อยเกือบทุกรายที่ผู้จัดทำบทความได้เคยสอบถามได้เปิดเผยว่าพวกเขามีความเชื่อที่ว่าแฮคเกอร์มักมุ่งเป้าโจมตีไปที่บริษัทที่มีธุรกิจขนาดใหญ่ และถึงกับจินตนาการไปว่าในเวลาดังกล่าวจะต้องมีแฮคเกอร์จำนวนมากกำลังขบคิดหาวิธีโจมตีบริษัทใหญ่ๆเหล่านั้นอยู่
ในความเป็นจริงนั้น แฮคเกอร์เกือบทั้งหมดมักไม่มีความสนใจว่าเป้าหมายของพวกเขาจะมีความใหญ่โตทางด้านธุรกิจเพียงใด ในทางกลับกันพวกเขามุ่งเป้าไปที่การพยายามเจาะระบบรักษาความปลอดภัยที่ใช้โดยผู้ประกอบการธุรกิจ เพราะสามารถพัฒนาเครื่องมือเพื่อใช้ในการแฮคได้ง่าย
นอกจากนี้แล้วพวกเขายังมีทัศนคติในเชิงบวกอีกด้วย หากระบบที่ถูกแฮคจะมีข้อมูลบัตรเครดิตเพียงไม่กี่ใบก็ตาม พวกเขาก็เลือกที่จะลงมือแล้วหาเหยื่อรายถัดไป และเมื่อรวมกับการนำระบบขโมยข้อมูลที่ทำงานโดยอัตโนมัติแล้ว ทำให้มีค่าใช้จ่ายน้อย และสามารถกระทำการได้อย่างต่อเนื่อง
เพราะเหตุฉะนี้เอง เป้าหมายการโจมตีจึงตกไปอยู่กับกลุ่มผู้ประกอบการรายย่อยซึ่งมักใช้โปรแกรมหรือซอฟต์แวร์ที่ฟรีหรือถูก แต่ไม่มีประสิทธิภาพในการป้องกันภัยได้ดีพอ
แล้วเช่นนี้บทเรียนอะไรบ้างที่ผู้ประกอบการธุรกิจควรจะต้องทราบไว้ ?แนวทางง่ายๆด้านล่างนี้จะช่วยลดความเสี่ยงจากการถูกโจมตีโดยภัยคุกคามได้ ดังนี้:
1.ไม่เก็บบันทึกข้อมูลบัตรเครดิต, มีเพียงบางสถานการณ์เท่านั้นที่ผู้ประกอบการจำเป็นต้องเก็บข้อมูลบัตรเครดิตไว้กับเครื่องเซิฟเวอร์ตัวเอง ผู้ประกอบการรายย่อยควรเลือกใช้วิธีชำระผ่านเกตเวย์โดยตรงโดยที่ไม่มีข้อมูลถูกจัดเก็บไว้
2.หมั่นอัพเดตโปรแกรมจัดการร้านค้าให้ทันสมัยอยู่เสมอ, หลายครั้งที่แฮคเกอร์ใช้ประโยชน์จากช่องโหว่ของโปรแกรมที่ยังไม่ได้รับการแก้ไขในเวอร์ชั่นเก่าๆเพื่อโจมตีเว็บไซต์ร้านค้า
3.ตรวจสอบเว็บไซต์ของตนเองเป็นประจำ, ตามที่ได้กล่าวมาทั้งหมดในบทความนี้ ผู้ประกอบการจะไม่สามารถรับรองความปลอดภัยของเว็บไซต์ได้ร้อยเปอร์เซ็นต์ ไม่เว้นแม้แต่การใช้วิธีชำระเงินผ่านเกตเวย์โดยตรงก็ตาม ผู้ประกอบการควรพิจารณานำเอาซอฟต์แวร์ที่ตรวจสอบการเปลี่ยนแปลงของข้อมูลของไฟล์หรือค่าติดตั้งในเซิฟเวอร์เข้ามาช่วยป้องกันการแก้ไขข้อมูลโดยมิได้รับอนุญาตจากผู้ไม่ประสงค์ดี และหากเป็นไปได้ ผู้ประกอบการควรทำการทดสอบการชำระเงินทุกวันเพื่อยืนยันว่าข้อมูลมิได้ถูกส่งไปที่อื่นด้วย

วิเคราะห์ Malware จาก file bin.exe

เมื่อวาน (14/11/2555) จากระบบ siamhelp.org ได้ตรวจพบ

Hostname 122.155.18.90
IP 122.155.18.90
AS AS9931
CAT-AP The Communication Authoity of Thailand, CAT
Web server Apache/2
OS Unknown
ISP CAT Telecom public company Ltd
City Bangkok
Country Thailand
Local time Thu Nov 15 15:53:26 ICT 2012

http://checkip.me/whomap.php?domain=122.155.18.90

มีการติดเชื้อ หรือ แพร่เชื้อไวรัสคอมพิวเตอร์  เมื่อดูจากประวัติใน siamhelp.org แล้ว พบการติดเชื้อมา 3 ครั้ง คือ
วันแรกที่พบคือ วันที่ 26 กรกฏาคม 2555  มี file ที่ติดเชื้อที่ 122.155.18.90/roudcubemail-0.5.2/program/biti.exe
วันที่สองที่พบคือ วันที่ 1 ตุลาคม 2555 มี file ที่ติดเชื้อที่ 122.155.18.90/1.exe
วันที่สามที่พบคือ วันที่ 14 พฤศจิกายน 2555 มี file ที่ติดเชื้อที่ 122.155.18.90/bin.exe
(file เหล่านี้ติดไวรัส อันตรายห้ามดาวโหลดไปลองหากไม่มีระบบป้องกันพอ เครื่องคอมพิวเตอร์ของท่านอาจเสียหายได้)

ข้อมูลทั้งหมดที่พบจาก http://www.scumware.org/report/122.155.18.90

URL MD5 IP Threat
2012-10-17 16:36:56 http://122.155.18.90/Done.exe… 312B9857A2476F7516BCB287CB404940 122.155.18.90 TH Trojan-Dropper.Win32.Dapato.btlt
2012-10-04 23:21:16 http://122.155.18.90/1.exe… D648F3D2E177DFAC4EC34B154A2575D2 122.155.18.90 TH Win32/Injector.XFC trojan
2012-07-26 09:46:27 http://122.155.18.90/roundcubemail-0.5.2/bitfud.exe… 537E450713251692F260E7722D5BBF3D 122.155.18.90 TH Win32/Packed.Themida application
2012-07-26 06:59:06 http://122.155.18.90/roundcubemail-0.5.2/program/biti.exe… E9A63A6AA767986F9A502A0ECF178A61 122.155.18.90 TH Win32/Packed.Themida application
2012-07-22 16:03:33 http://122.155.18.90/roundcubemail-0.5.2/program/bitfud.exe… 482B9368AFBF39AC162BD0338AC30840 122.155.18.90 TH Win32/Packed.Themida application

ลองมาทำการผ่าพิสูจน์ไวรัสกัน !!
เอาตัวล่าสุดคือ bin.exe

Scan date 2012-11-14 19:33:31 +00:00
File name 4200663
MD5 hash 5402d50803d892edfb8878a2ccbab0de
File type Win32 EXE
File Size (Byte) 2118144
Detection ratio 27 / 44
Scan result
แสดงผลลัพธ์การสแกนจากแอนตี้ไวรัส 44 ค่าย มีผลดังนี้
Scan result of virustotals
Vendor Version Result Virus Name Database Date
1. TotalDefense 37.0.10162 Virus not found 20121114
2. MicroWorld-eScan 12.0.250.0 Virus not found 20121114
3. nProtect 2012-11-14.02 Virus found Trojan.Generic.7962842 20121114
4. CAT-QuickHeal 12.00 Virus not found 20121114
5. McAfee 5.400.0.1158 Virus found Artemis!5402D50803D8 20121114
6. K7AntiVirus 9.154.7858 Virus found Riskware 20121114
7. TheHacker None Virus not found 20121113
8. F-Prot 4.6.5.141 Virus found W32/Themida_Packed!Eldorado 20121114
9. Symantec 20121.2.1.2 Virus found WS.Reputation.1 20121114
10. Norman 6.08.06 Virus found W32/Troj_Generic.EWJYW 20121114
11. ByteHero 1.0.0.1 Virus not found 20121110
12. TrendMicro-HouseCall 9.700.0.1001 Virus found TROJ_GEN.R47CGJP 20121114
13. Avast 6.0.1289.0 Virus found Win32:Malware-gen 20121114
14. eSafe 7.0.17.0 Virus not found 20121112
15.ClamAV 0.97.3.0 Virus not found 20121114
16. Kaspersky 9.0.0.837 Virus found Trojan-Downloader.Win32.Dapato.mpc 20121114
17. BitDefender 7.2 Virus found Trojan.Generic.7962842 20121114
18. Agnitum 5.5.1.3 Virus found Suspicious!SA 20121114
19. ViRobot 2011.4.7.4223 Virus not found 20121114
20. Sophos 4.83.0 Virus found Mal/Behav-374 20121114
21. Comodo 14201 Virus found UnclassifiedMalware 20121114
22. F-Secure 9.0.17090.0 Virus found Trojan.Generic.7962842 20121114
23. DrWeb 7.0.4.09250 Virus found Trojan.DownLoader7.21460 20121114
24. VIPRE 13976 Virus found Trojan.Win32.Generic!BT 20121114
25. AntiVir 7.11.50.24 Virus found TR/Crypt.XPACK.Gen 20121114
26. TrendMicro 9.561.0.1028 Virus found TROJ_GEN.R47CGJP 20121114
27. McAfee-GW-Edition 2012.1 Virus found Heuristic.BehavesLike.Win32.Suspicious-BAY.O 20121114
28. Emsisoft 3.0.0.569 Virus not found 20121114
29. Jiangmin 13.0.900 Virus found Trojan/Miner.bd 20121114
30. Antiy-AVL 2.0.3.7 Virus not found 20121113
31. Kingsoft 2012.9.22.155 Virus not found 20121112
32. Microsoft 1.8904 Virus not found 20121114
33. SUPERAntiSpyware 5.6.0.1008 Virus not found 20121114
34. GData 22 Virus found Trojan.Generic.7962842 20121114
35. Commtouch 5.3.2.6 Virus not found 20121114
36. AhnLab-V3 2012.11.15.00 Virus found Downloader/Win32.Dapato 20121114
37. VBA32 3.12.18.3 Virus not found 20121114
38. PCTools 8.0.0.5 Virus not found 20121114
39. ESET-NOD32 7693 Virus found probably a variant of Win32/BitCoinMiner.H 20121114
40. Rising 24.36.01.05 Virus not found 20121114
41. Ikarus T3.1.1.122.0 Virus found Trojan.Win32.Miner 20121114
42. Fortinet 5.0.26.0 Virus found W32/BitCoinMiner.H 20121114
43. AVG 10.0.0.1190 Virus found Generic6_c.BDXE 20121114
44. Panda 10.0.3.5 Virus found Trj/Thed.A 20121114
File fuzzy hashing
Context Triggered Piecewise Hashing ของไฟล์
File ssdeep of 4200663
49152:wx08+tkrW4K8G/i4wVQyPAetraEaNAZZGGxb:VqrYZiR1asHGGx
File metadata
แสดงรายละเอียดและคุณลักษณะของไฟล์
File exif of 4200663
Property Value
mimetype application/octet-stream
subsystem Windows command line
machinetype Intel 386 or later, and compatibles
timestamp 2012:07:05 13:47:47+01:00
filetype Win32 EXE
petype PE32
codesize 0
linkerversion 10.0
entrypoint 0x6e014
initializeddatasize 2114048
subsystemversion 5.1
imageversion 0.0
osversion 5.1
uninitializeddatasize 0
Portable Executable structural information
Compilation timedatestamp.....: 2012-07-05 12:47:47
Target machine................: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address...........: 0x0006E014

PE Sections...................:

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5
                       4096        438272    438272     7.19  d1deeaa0eb791825a85a8e1647060a68
.rsrc                442368          1328      1536     4.91  5db9c0afa277e657781a7042386629cd
.idata               446464          4096       512     1.38  72003d358d654906aeb64ef8dce8c16c
...                  450560       1679360   1673728     7.81  9bbc6c53ef7c2afc1d8990d901779fee

PE Imports....................:

[[KERNEL32.dll]]
CreateFileA, lstrcpy

[[COMCTL32.dll]]
InitCommonControls

PE Resources..................:

Resource type            Number of resources
RT_MANIFEST              2

Resource language        Number of resources
NEUTRAL                  1
ENGLISH US               1


ไวรัสชนิดนี้ พบว่ายังมีหลายชื่อ file ดังนี้


1. 4200663


2. output.4200663.txt


3. bin.exe


ตรวจสอบเส้นทางการเชื่อมต่อค่า DNS ทางระบบเครือข่าย


122.155.18.90


ปัจจุบัน domain denichsoiltest.com ไม่ได้อยู่ที่ IP อันตรายนี้แล้ว แต่ค่าที่เห็นเกิดนำมาจาก http://ip.robtex.com/122.155.18.90.html#graph


วันที่ทำการตรวจสอบการเชื่อมต่อค่า DNS วันที่ 15 /11/ 2555


ผลการทดสอบเส้น Query DNS จาก http://sran.org/dns พบค่าดังนี้









		


		
	







	
	


		
วิเคราะห์ malware จาก file Extratos-Debitos.exe

		
	


		

	


	
	


	


		

			


Siamhelpจากข้อมูลใน siamhelp.org พบว่ามีเว็บหลายเว็บในประเทศไทยมีการติดเชื้อโดยไม่รู้ตัว ซึ่งอาจส่งผลให้คนที่เข้าเยี่ยมชมเว็บเหล่านั้นจะมีการติดเชื้อและแพร่ต่อๆกันไป กลายเป็นส่วนหนึ่งของปริมาณ botnet ที่เกิดขึ้นในปัจจุบัน


จากข้อมูล http://www.siamhelp.org/reports/infect

เว็บที่ติดเชื้อ คือ http://daycare.kku.ac.th/media/system/images/Extratos-Debitos.exe  (หากไม่มีระบบป้องกันห้ามเข้า path ดังกล่าว)


เมื่อทำการวิเคราะห์

Step 1  ทำการ whois ที่ http://checkip.me/whomap.php?domain=daycare.kku.ac.th














  • delegation information (beta) for daycare.kku.ac.th
    

    


    

+-ams.sns-pb.isc.org ams.sns-pb.isc.org (199.6.1.30)

    

    

|
+-dns1.thnic.co.th dns1.thnic.co.th (202.28.1.22)

    

    

|
|
+-ns-a.thnic.co.th ns-a.thnic.co.th (61.19.242.38)

    

    

|
|
|
+-ns-e.thnic.co.th ns-e.thnic.co.th (194.0.1.28)

    

    

|
|
|
|
+-sfba.sns-pb.isc.org sfba.sns-pb.isc.org (149.20.64.3)

    

    

|
|
|
|
|
+-th.cctld.authdns.ripe.net th.cctld.authdns.ripe.net (193.0.9.116)

    

    

|
|
|
|
|
|
+-kknt.kku.ac.th (202.12.97.21)

    

    

|
|
|
|
|
|
|
+-kku1.kku.ac.th (202.12.97.1)

    

    

|
|
|
|
|
|
|
|
+-ns.thnic.net ns.thnic.net ns.thnic.net (202.28.0.1)

    

    

|
|
|
|
|
|
|
|
|
+-ns2.kku.ac.th (202.12.97.44)

    

    

|
|
|
|
|
|
|
|
|
|


    

    
    

    

    Step 2  ค้นหาความเกี่ยวข้อง DNS และการ routing 
    • 

    

    ค้นหาจาก http://sran.org/dns/   หรือ http://dns.robtex.com/daycare.kku.ac.th.html#records
    

    ผลลัพธ์คือ
    

    

    

    

    

    Step 3 ตรวจสอบในระดับ Web Application
    

    


    
Overview

    

    
    

    

    


    




    
    


    
URL
http://daycare.kku.ac.th/media/system/images/Extratos-Debitos.exe


    

    
IP
202.12.97.32

    

    
ASN
Unknown

    

    
Location
 Thailand

    

    



    
    

    

    โดยปรับ User agent ผ่าน http://urlquery.net
    

    


    
Settings

    

    
    

    

    


    



    
    


    
UserAgent
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13

    

    
Referer


    

    
Adobe Reader
8.0

    

    
Java
1.6.0_26

    
    

    

    


    
Intrusion Detection Systems

    

    
    

    

    


    



    
    


    
Suricata /w Emerging Threats Pro


    


    
Timestamp
Source IP
Destination IP
Severity
Alert

    
    


    
2012-11-15 07:04:32
 202.12.97.32
urlQuery Client
3
FILEMAGIC windows executable

    
    

    
    		

    

    
Snort /w Sourcefire VRT


    


    
Timestamp
Source IP
Destination IP
Severity
Alert

    
    


    
2012-11-15 07:04:32
 202.12.97.32
urlQuery Client
3
FILE-IDENTIFY Portable Executable binary file magic detected

    
    

    
    		

    
    

    

    

    
    		

    
    

    

    

    

    ตรวจสอบโดยใช้ http://wepawet.iseclab.org
    

    

    Malware
    

    

    Additional (potential) malware:
    

    

    


    
URL
Type
Hash
Analysis

    
    


    
http://daycare.kku.ac.th/media/system/images/Extratos-Debitos.exe
PE32 executable for MS Windows (GUI) Intel 80386 32-bit Mono/.Net assembly
320ba22fa9b47a135c235786e850f157

    
    

    

    

    รายละเอียด อ่าน http://wepawet.iseclab.org/view.php?type=js&hash=12a654aded391a575b177607f80ef00d&t=1351079337#sec_network
    

    

    

    สิ่งที่เห็นคือมีการ Redirect  ไปที่โดแมน arjunkarki.org  
    

    

    

    Network Activity
    

    

    


    
URL
Status
Content Type

    
    


    
http://daycare.kku.ac.th/media/system/images/Debitos-pendentes.php
302
text/html

    

    
 http://www.arjunkarki.org/media/Debitos-Extrato.jar
200
application/zip

    
    

    

    Redirects
    

    


    
From
To

    
    


    
http://daycare.kku.ac.th/media/system/images/Debitos-pendentes.php
http://www.arjunkarki.org/media/Debitos-Extrato.jar

    
    

    

    

    

    เมื่อทำการ whois  โดเมนที่ต้องสงสัย ผลที่ได้คือ
    

    

    

    Domain ID:D153928453-LROR
Domain Name:ARJUNKARKI.ORG
Created On:25-Aug-2008 16:18:46 UTC
Last Updated On:27-Oct-2012 02:21:26 UTC
Expiration Date:25-Aug-2013 16:18:46 UTC
Sponsoring Registrar:Click Registrar, Inc. d/b/a publicdomainregistry.com (R1935-LROR)
Status:OK
Registrant ID:DI_9323685
Registrant Name:Som Rai
Registrant Organization:Rural Reconstruction Nepal (RRN)
Registrant Street1:P.O.Box: 8130
Registrant Street2:Gairidhara
Registrant Street3:
Registrant City:Kathmandu
Registrant State/Province:Bagmati
Registrant Postal Code:n/a
Registrant Country:NP
Registrant Phone:+977.14427823
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:som@rrn.org.np
Admin ID:DI_9323686
Admin Name:Anup Manandhar
Admin Organization:Vianet Communications
Admin Street1:Pulchowk
Admin Street2:
Admin Street3:
Admin City:Kathmandu
Admin State/Province:Bagmati
Admin Postal Code:n/a
Admin Country:NP
Admin Phone:+977.15546410
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:anup@vianet.com.np
Tech ID:DI_9323686
Tech Name:Anup Manandhar
Tech Organization:Vianet Communications
Tech Street1:Pulchowk
Tech Street2:
Tech Street3:
Tech City:Kathmandu
Tech State/Province:Bagmati
Tech Postal Code:n/a
Tech Country:NP
Tech Phone:+977.15546410
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:anup@vianet.com.np
Name Server:DNS1.ARJUNKARKI.ORG
Name Server:DNS2.ARJUNKARKI.ORG
    

    

    

    รายละเอียดที่ http://checkip.me/whomap.php?domain=arjunkarki.org
    

    

    

    Link ไปที่เนปาลได้อย่างไร  ... 
    

    

    

    

    

    มีความเป็นไปได้ว่าเว็บไซต์ที่นำเสนอมีการโดนเจาะระบบแล้วมีการฝั่ง file ที่มี malware อยู่โดย malware ชนิดนี้ถูกควบคุมจากอีกที่หนึ่ง
    

    

    Step 4 วิเคราะห์ file malware
    

    

    ทำการ download file ผ่าน sandbox Anubis iseclab 
    

    

    


    
Request: GET /media/system/images/Extratos-Debitos.exe

    

    
Response: 200 “OK”

    
    

    


    

    


    

    

    

    


    


    


    
– Files Created:


    
    

    
    		

    

    


    


    
C:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5WDUF49ANExtratos-Debitos[1].exe

    
    

    
    		

    
    

    


    

    


    


    


    

– Files Read:


    
    

    
    		

    

    


    


    
C:WINDOWSsystem32shell32.dll

    

    
C:lsarpc, Flags: Named pipe

    

    
c:autoexec.bat

    
    

    
    		

    
    

    


    

    


    


    


    

– Files Modified:


    
    

    
    		

    

    


    


    
C:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5WDUF49ANExtratos-Debitos[1].exe

    

    
C:lsarpc, Flags: Named pipeinfo

    

    
DeviceAfdAsyncConnectHlpinfo

    

    
DeviceAfdEndpointinfo

    

    
DeviceRasAcdinfo

    
    

    
    		

    
    

    


    

    


    


    


    

– File System Control Communication:


    
    

    
    		

    

    


    


    
File
Control Code
Times

    

    
C:lsarpc, Flags: Named pipe 
0x0011C017 
16 

    
    

    
    		

    
    

    


    

    


    


    


    

– Device Control Communication:


    
    

    
    		

    

    


    

    


    
File
Control Code
Times

    

    
DeviceAfdEndpoint 
AFD_GET_INFO (0x0001207B) 


    

    
DeviceAfdEndpoint 
AFD_SET_CONTEXT (0x00012047) 
10 

    

    
DeviceAfdEndpoint 
AFD_BIND (0x00012003) 


    

    
DeviceAfdEndpoint 
AFD_GET_TDI_HANDLES (0x00012037) 


    

    
DeviceAfdEndpoint 
AFD_GET_SOCK_NAME (0x0001202F) 


    

    
DeviceAfdEndpoint 
AFD_CONNECT (0x00012007) 


    

    
DeviceAfdEndpoint 
AFD_SELECT (0x00012024) 


    

    
DeviceAfdEndpoint 
AFD_SET_INFO (0x0001203B) 


    

    
DeviceAfdAsyncConnectHlp 
AFD_CONNECT (0x00012007) 


    

    
DeviceAfdEndpoint 
AFD_RECV (0x00012017) 


    

    
DeviceAfdEndpoint 
AFD_SEND (0x0001201F) 


    

    
unnamed file 
0x00120028 


    
    

    

    
    		

    
    

    


    

    


    


    


    

– Memory Mapped Files:


    
    

    
    		

    

    


    

    


    
File Name

    

    
C:WINDOWSSystem32wshtcpip.dll

    

    
C:WINDOWSsystem32DNSAPI.dll

    

    
C:WINDOWSsystem32RASAPI32.DLL

    

    
C:WINDOWSsystem32TAPI32.dll

    

    
C:WINDOWSsystem32WINMM.dll

    

    
C:WINDOWSsystem32WS2HELP.dll

    

    
C:WINDOWSsystem32WS2_32.dll

    

    
C:WINDOWSsystem32hnetcfg.dll

    

    
C:WINDOWSsystem32mswsock.dll

    

    
C:WINDOWSsystem32rasadhlp.dll

    

    
C:WINDOWSsystem32rasman.dll

    

    
C:WINDOWSsystem32rtutils.dll

    

    
C:WINDOWSsystem32sensapi.dll

    

    
C:WINDOWSsystem32shell32.dll

    

    
C:WINDOWSsystem32wsock32.dll

    
    

    

    
    		

    
    

    

    

    

    


    


    


    

– DNS Queries:


    
    

    
    		

    

    


    


    
Name
Query Type
Query Result
Successful
Protocol

    

    
daycare.kku.ac.th 
DNS_TYPE_A 
202.12.97.32 
YES 
udp 

    
    

    
    		

    
    

    


    

    


    


    


    

–  HTTP Conversations:


    
    

    
    		

    

    


    


    
From ANUBIS:1029 to 202.12.97.32:80 – [daycare.kku.ac.th]

    

    
Request: GET /media/system/images/Extratos-Debitos.exe

    

    
Response: 200 “OK”

    
    

    
    		

    
    

    

    

    

    


    


    


    

– Mutexes Created:


    
    

    
    		

    

    


    


    
CritOpMutex

    

    
MSCTF.Shared.MUTEX.IFG

    

    
_SHuassist.mtx

    
    

    
    		

    
    

    

    จากการใช้ virustotal ผลคือ
    

    

    

    File detail
    

    แสดงรายละเอียดพื้นฐานของไฟล์
    

    

    

    
File detail of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin

    


    
Scan date
2012-11-15 01:41:05 +00:00

    

    
File name
smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin

    

    
MD5 hash
b07609c11d52d6eaa75c368e414bb025

    

    
File type
Win32 EXE

    

    
File Size (Byte)
12800

    

    
Detection ratio
23 / 44

    
    

    

    

    

    

    

    Scan result
    

    แสดงผลลัพธ์การสแกน
    

    

    

    
Scan result of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin

    


    
Vendor
Version
Result
Virus Name
Database Date

    
    


    
TotalDefense
37.0.10163
Virus not found

20121115

    

    
MicroWorld-eScan
12.0.250.0
Virus found
Trojan.MSIL.Crypt.wvu (ES)
20121114

    

    
nProtect
2012-11-14.02
Virus not found

20121114

    

    
CAT-QuickHeal
12.00
Virus not found

20121114

    

    
McAfee
5.400.0.1158
Virus found
Artemis!B07609C11D52
20121115

    

    
K7AntiVirus
9.154.7858
Virus found
Riskware
20121114

    

    
TheHacker
None
Virus not found

20121113

    

    
F-Prot
4.6.5.141
Virus not found

20121114

    

    
Symantec
20121.2.1.2
Virus found
Downloader
20121115

    

    
Norman
6.08.06
Virus found
W32/Troj_Generic.FJBCF
20121114

    

    
ByteHero
1.0.0.1
Virus not found

20121110

    

    
TrendMicro-HouseCall
9.700.0.1001
Virus found
TROJ_BANLOAD.GQU
20121115

    

    
Avast
6.0.1289.0
Virus found
Win32:Malware-gen
20121115

    

    
eSafe
7.0.17.0
Virus not found

20121112

    

    
ClamAV
0.97.3.0
Virus not found

20121115

    

    
Kaspersky
9.0.0.837
Virus found
Trojan.MSIL.Crypt.wvu
20121114

    

    
BitDefender
7.2
Virus not found

20121114

    

    
Agnitum
5.5.1.3
Virus not found

20121114

    

    
ViRobot
2011.4.7.4223
Virus not found

20121114

    

    
Sophos
4.83.0
Virus not found

20121115

    

    
Comodo
14205
Virus not found

20121115

    

    
F-Secure
9.0.17090.0
Virus not found

20121115

    

    
DrWeb
7.0.4.09250
Virus not found

20121115

    

    
VIPRE
13982
Virus found
Trojan.Win32.Generic!BT
20121115

    

    
AntiVir
7.11.50.38
Virus found
TR/MSIL.Crypt.wvu
20121115

    

    
TrendMicro
9.561.0.1028
Virus found
TROJ_BANLOAD.GQU
20121115

    

    
McAfee-GW-Edition
2012.1
Virus found
Artemis!B07609C11D52
20121115

    

    
Emsisoft
3.0.0.569
Virus found
Trojan.MSIL.Crypt.AMN (A)
20121115

    

    
Jiangmin
13.0.900
Virus not found

20121114

    

    
Antiy-AVL
2.0.3.7
Virus not found

20121115

    

    
Kingsoft
2012.9.22.155
Virus found
Win32.Troj.Crypt.(kcloud)
20121112

    

    
Microsoft
1.8904
Virus not found

20121114

    

    
SUPERAntiSpyware
5.6.0.1008
Virus found
Trojan.Agent/Gen-Frauder
20121115

    

    
GData
22
Virus found
Win32:Malware-gen
20121115

    

    
Commtouch
5.3.2.6
Virus not found

20121114

    

    
AhnLab-V3
2012.11.15.00
Virus found
Spyware/Win32.ArchSMS
20121114

    

    
VBA32
3.12.18.3
Virus not found

20121114

    

    
PCTools
8.0.0.5
Virus found
Downloader.Generic
20121115

    

    
ESET-NOD32
7693
Virus found
MSIL/TrojanDownloader.Banload.K
20121114

    

    
Rising
24.36.01.05
Virus not found

20121114

    

    
Ikarus
T3.1.1.122.0
Virus found
Trojan.Msil
20121115

    

    
Fortinet
5.0.26.0
Virus found
MSIL/Banload.K!tr
20121115

    

    
AVG
10.0.0.1190
Virus found
Agent3.CKIJ
20121115

    

    
Panda
10.0.3.5
Virus found
Trj/CI.A
20121114

    
    

    

    

    

    

    


    

    


    

    


    

    


    

    

    File fuzzy hashing
    

    Context Triggered Piecewise Hashing ของไฟล์
    

    

    

    
File ssdeep of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin

    192:sxwuKTS5DJ+z2LdY1GQk7b1AURjsNyHRW+iBMWO7h7urmpvL2IYRR2:huKTS5MsYoKLYHR2MDyrmpD2s
    

    

    

    

    

    File metadata
    

    แสดงรายละเอียดและคุณลักษณะของไฟล์
    

    

    

    
File exif of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin

    


    
Property
Value

    
    


    
subsystemversion
4.0

    

    
linkerversion
8.0

    

    
imageversion
0.0

    

    
fileversionnumber
0.0.0.0

    

    
uninitializeddatasize
0

    

    
languagecode
Neutral

    

    
fileflagsmask
0x003f

    

    
characterset
Unicode

    

    
initializeddatasize
1536

    

    
originalfilename
loader.exe

    

    
mimetype
application/octet-stream

    

    
legalcopyright


    

    
fileversion
0.0.0.0

    

    
timestamp
2012:11:08 19:35:04+00:00

    

    
filetype
Win32 EXE

    

    
petype
PE32

    

    
internalname
loader.exe

    

    
productversion
0.0.0.0

    

    
filedescription


    

    
osversion
4.0

    

    
fileos
Win32

    

    
subsystem
Windows GUI

    

    
machinetype
Intel 386 or later, and compatibles

    

    
codesize
10752

    

    
filesubtype
0

    

    
productversionnumber
0.0.0.0

    

    
entrypoint
0x48ee

    

    
objectfiletype
Executable application

    

    
assemblyversion
0.0.0.0

    
    

    

    

    

    

    

    

    

    

    

    รายละเอียดดูจาก http://www.siamhelp.org/scan/result/file/b07609c11d52d6eaa75c368e414bb025
    

    

    เมื่อเอาค่า MD5 จาก file ไวรัสมาตรวจสอบพบว่า มี File name ที่เป็นไวรัสเดียวกันดังนี้
    

    

    

    File names 
    

      

    1. Extratos-Debitos.exe
      2. 

    2. file-4758613_exe
      3. 

    3. loader.exe
      4. 

    4. output.3545948.txt
      5. 

    5. b2c920576cebc4cde06f22763d9bf116f0a3e9cb.exe
      6. 

    6. 3545948
      7. 

    7. smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin
      8. 

    

    แล้วพบกันตอนหน้า …
    

    

    
		
    

		
	
    


    

    

	
	
    

		
    ประเภทของ botnet
    
		
	
    

		

	
    

	
	
    

	
    

		
    
			
    การจำแนกตามประเภทบอทเน็ต
    

    การทดสอบประสิทธิภาพในการจำแนกประเภทเหตุการณ์ต่างๆที่มีการนำบอทเน็ตมาใช้ ผู้จัดทำได้คัดเลือกเหตุการณ์ที่ปรากฏในช่วงปีที่ผ่านมาและมีการแสดงให้เห็นถึงความหลากหลายของจุดประสงค์ที่ใช้งาน ในบางกรณีอาจมีความเกี่ยวข้องกันจึงถูกจัดให้อยู่ในกลุ่มลำดับเหตุการณ์เดียวกันทั้งหมด ทั้งนี้เป็นเพราะเหตุการณ์เหล่านั้นมีการนำบอทเน็ตชนิดเดิมมาใช้เพื่อจุดมุ่งหมายเดียวกัน (รายละเอียดสามารถดูได้ที่ตารางด้านล่าง)
    

    1. Stuxnet
    

    ถึงแม้ว่าจำนวนเครื่องคอมพิวเตอร์ที่ได้รับการติดเชื้อจาก Stuxnet จะมีจำนวนที่ไม่มากและมีการเจาะจงเป้าหมายการโจมตี แต่รูปแบบการทำงานโดยพื้นฐานของ Stuxnet ก็ได้ถูกจัดให้เป็นบอทเน็ตชนิดหนึ่ง อันเพราะมีความสามารถทางด้านการสั่งการและควบคุมเฉกเช่นคุณลักษณะที่บอทเน็ตทั่วไปพึงจะมี
    

    ปัญหาหนึ่งในการจำแนกเหตุการณ์ตามหมวดหมู่ คือการขาดความน่าเชื่อถือของข้อมูลอันเนื่องมาจากร่องรอยจำนวนมากที่ได้ถูกทิ้งไว้ ส่งผลให้การคัดแยกคุณลักษณะของผู้ใช้งานบอทเน็ตเป็นเรื่องที่ยากและในขณะเดียวกันนั้น ทางทีมผู้จัดทำได้เชื่อว่าเหตุการณ์ดังกล่าวอาจมีตัวแทนภาครัฐมีส่วนเกี่ยวข้องด้วย อันเนื่องมาจากขีดความสามารถในการโจมตีและเจตนาในการก่อวินาศกรรมเป็นแรงจูงใจที่ปรากฏให้เห็น Stuxnet นั้นมีการแพร่กระจายโดยปราศจากความยินยอม และความเสียหายที่เกิดขึ้นต่อระบบอุตสาหกรรมแสดงให้เห็นถึงความสามารถในการปฏิเสธการให้บริการได้อย่างดี
    

    2. GhostNet
    

    GhostNet เป็นบอทเน็ตชนิดหนึ่งที่ไม่ปรากฏถึงที่มาของผู้ควบคุม มีอัตราการติดเชื้ออยู่ในระดับที่ต่ำ (ประมาณ 1,300) และในกลุ่มที่มีการติดเชื้อเป็นเป้าหมายที่มีความสำคัญ คิดเป็น 30% ของทั้งหมด ซึ่งแสดงให้เห็นถึงจุดมุ่งหมายเพื่อการจารกรรมข้อมูลจากกลุ่ม pro-Tibet โดย GhostNet ใช้วิธีการขโมยข้อมูลผ่านเครื่องคอมพิวเตอร์ที่ติดเชื้อโดยไม่ได้รับการยินยอมจากเจ้าของเครื่อง
    

    3.ปฏิบัติการตอบโต้
    

    ปฏิบัติการดังกล่าวได้เริ่มดำเนินการขึ้นโดยกลุ่มผู้สนับสนุนเว็บไซต์ WikiLeaks ภายหลังที่กลุ่มผู้ให้บริการการเงินหลายกลุ่มได้หยุดให้บริการแก่ WikiLeaks หลังจากเหตุการณ์นำข้อมูลความลับของประเทศสหรัฐอเมริกามาเปิดเผย
    

    การโจมตีได้ถูกกระทำผ่านโปรแกรมโจมตีเครือข่ายให้บริการแบบเปิดที่มีชื่อว่า Low OrbitIon Cannon ด้วยความร่วมมือและการเตรียมการในเวบบอร์ด, ทวิตเตอร์ และเซิฟเวอร์ควบคุมและสั่งการ หากอ้างอิงตามการจัดประเภทของบทความนี้แล้ว ปฏิบัติการดังกล่าวจะถือว่าเป็นการแสดงขีดความสามารถในการโจมตี ผ่านการปฏิเสธการให้บริการแบบกระจาย และกระทำด้วยความยินยอมหรือสมัครใจของผู้ติดเชื้อบอทเน็ต
    

    4. Help-Israel-Win
    

    เป็นการกระทำของกลุ่ม pro-Israel ที่มีการผลักดันให้เกิดการต่อต้านองค์กรฮามาสของปาเลสไตน์ ผ่านการแสดงขีดความสามารถในการโจมตี ด้วยการจัดตั้งเว็บไซต์ที่เปิดให้มีการดาวน์โหลดโปรแกรม เพื่อให้เครื่องของผู้ใช้งานติดเชื้อบอทเน็ตด้วยความสมัครใจ หากอ้างอิงจากข้อมูลที่เผยแพร่โดยกลุ่มนี้จะพบว่า การโจมตีเว็บไซต์ของ pro-Palestinian ด้วยวิธีการปฏิเสธการให้บริการแบบกระจาย อย่างไรก็ตามไม่มีรายงานระบุว่ากลุ่มดังกล่าวได้กระทำการโจมตี หรือประสพผลสำเร็จจากการโจมตีแล้วหรือไม่
    

    5. Conficker
    

    จวบจนถึงทุกวันนี้ ยังเป็นที่ไม่ทราบว่าใครคือผู้พัฒนาหรือเจ้าของของบอทเน็ตตัวนี้ แต่จากการวิเคราะห์ความสามารถในการปรับตัวเข้ากับมาตรการตอบโต้ต่างๆอย่างรวดเร็ว ทำให้เชื่อได้ว่ามีหลายบุคคลอยู่เบื้องหลังการพัฒนา เนื่องมาจากไม่ปรากฏถึงความสามารถในการทำงานใดๆ นอกไปจากคำสั่งในการถ่ายโอนข้อมูล ทำให้เกิดการคาดเดาว่า Conficker เป็นเพียงแค่บอทเน็ตที่ใช้ในการพิสูจน์ถึงแนวคิดการทำงาน ดังนั้นแรงจูงใจการใช้บอทเน็ตจึงตกไปอยู่ที่เพื่อการศึกษาและวิจัย ผ่านการติดเชื้อที่ไม่ได้รับความยินยอมจากเจ้าของเครื่อง
    

    6. Mariposa
    

    เป็นบอทเน็ตที่ได้มีการกล่าวอ้างว่ามีเครือข่ายของผู้ติดเชื้อที่ใหญ่ที่สุดเท่าที่เคยมีมา ได้ถูกพัฒนาขึ้นและใช้งานโดยกลุ่มอาชญากรข้ามชาติเพื่อผลประโยชน์ด้านการเงิน ผ่านการขโมยข้อมูลในการทำธุรกรรมอีเล็คทรอนิกส์,บัตรเครดิต และใช้เพื่อในการโจมตีปฏิเสธการให้บริการแบบกระจาย ด้วยเครือข่ายของกลุ่มเครื่องที่ติดเชื้อโดยไม่ได้รับความยินยอม
    

    7. Belarus censorship
    

    รัฐเบลารุสมีประวัติอันยาวนานในเรื่องการบังคับใช้การเซ็นเซอร์บนอินเทอร์เน็ตแก่ประชาชนอันเนื่องมาจากกฎเกณฑ์ทางด้านข้อมูลข่าวสารที่สำคัญ Chapter ’97 ซึ่งเป็นเว็บไซต์ที่ถูกสร้างขึ้นมาเพื่อการพูดคุยเรื่องทั่วไปในเบลารุสได้ถูกโจมตีทางไซเบอร์บ่อยครั้งโดยฝีมือผู้สนับสนุนภาครัฐ ในช่วงเมษายนปี 2008 เว็บไซต์ได้ถูกโจมตีด้วยการปฏิเสธการให้บริการแบบกระจาย เพราะเหตุที่มีการเผยแพร่ข่าวการชุมนุมประท้วงเพื่อแยกรัฐอิสระ (การแก้ไขข่าวสารผ่านการคัดกรองข้อมูล)
    

    ในขณะที่หน่วยงานภาครัฐของเบลารุสได้ปฏิเสธถึงการมีส่วนร่วมของการกระทำดังกล่าว เป็นที่เชื่อกันว่าพวกเขาไม่ได้มีการตอบโต้การโจมตีอย่างจริงจัง ซึ่งอาจจัดได้ว่าเป็นเหตุการณ์ที่กระทำโดยตัวแทนรัฐ แต่รูปแบบการใช้งาน และวิธีการติดเชื้อเป็นสิ่งที่ไม่สามารถระบุได้
    

    ตาราง แสดงข้อมูลของการจำแนกเหตุการณ์
    

    


    


    ตัวอย่าง
    
    		


    ผู้ใช้งาน
    
    		


    แรงจูงใจ / จุดมุ่งหมาย
    
    		


    รูปแบบการโจมตี
    
    		


    รูปแบบการติดเชื้อ
    
    		

    

    


    Stuxnet
    
    		


    ตัวแทนรัฐ
    
    		


    การแสดงขีดความสามารถในการโจมตี
    
    		


    ปฏิเสธการให้บริการ
    
    		


    ไม่ได้รับการยินยอม
    
    		

    

    


    GhostNet
    
    		


    ไม่สามารถระบุได้
    
    		


    การจารกรรมข้อมูล
    
    		


    จารกรรมข้อมูล
    
    		


    ไม่ได้รับการยินยอม
    
    		

    

    


    Operation Payback
    

    ปฏิบัติการตอบโต้
    
    		


    กลุ่มบุคคล
    
    		


    การแสดงขีดความสามารถในการโจมตี
    
    		


    ปฏิเสธการให้บริการแบบกระจาย
    
    		


    ยินยอม
    
    		

    

    


    Israeli
    
    		


    กลุ่มบุคคล
    
    		


    การแสดงขีดความสามารถในการโจมตี
    
    		


    ปฏิเสธการให้บริการแบบกระจาย
    
    		


    ยินยอม
    
    		

    

    


    Conficker
    
    		


    กลุ่มบุคคล
    
    		


    การศึกษาและวิจัย
    
    		


    ไม่มีรูปแบบการโจมตี
    
    		


    ไม่ได้รับการยินยอม
    
    		

    

    


    Mariposa
    
    		


    กลุ่มบุคคล
    
    		


    ผลประโยชน์ทางการเงิน
    
    		


    จารกรรมข้อมูล / ปฏิเสธการให้บริการแบบกระจาย
    
    		


    ไม่ได้รับการยินยอม
    
    		

    
    

    
		
    

		
	
    


    

    

	
	
    

		
    ถามตอบเพื่อสร้างความเข้าใจระบบ Lawful Interception (LI)
    
		
	
    

		

	
    

	
	
    

	
    

		
    
			
    

    ด้วยว่าคำว่า LI หรือ Lawful Interception ยังมีหลายท่านยังสงสัยกับคำศัพท์ดังกล่าวนี้พอสมควร ในฐานะที่ผมเป็นคนแรกๆ ที่เผยแพร่บทความที่เกี่ยวกับ LI มาจึงอยากจะสร้างความเข้าใจให้เกิดขึ้นสำหรับผู้เริ่มศึกษาและผู้ที่จะนำไปสื่อสารหรือเผยแพร่ข้อมูลได้อย่างถูกต้องและเหมาะสมให้ก่อประโยชน์แก่สังคมต่อไปในอนาคต
    

    

    จึงขอเริ่มด้วยการ ถาม-ตอบ เกี่ยวกับคำศัพท์ Lawful Interception กันก่อน โดยมีคำถามตั้งต้นดังนี้
    

    1. Lawful Interception คืออะไร ?
    

    2. การจัดทำ Lawful Interception ทำเพื่ออะไร ?
    

    3. มีการดำเนินการจัด LI ทำอย่างไรแบบ step by step ?
    

    4. ปัญหาและอุปสรรคในการดำเนินการอะไรบ้าง ?
    

    5. LI ได้ประโยชน์อย่างไร ?
    

    6. ใครเป็นผู้ได้- ใครเสียประโยชน์จากการทำ LI ?
    

    7. การทำ LI มีผลกระทบต่อสังคมอย่างไร  ?
    

    โดยข้อ 4 ถึง 7 ยังไม่ขอกล่าวถึงในที่นี้
    

    

    

    

    

    

    

    คำถามที่ 1  : Lawful Interception คืออะไร ?
    

    ตอบ :
    

    คือระบบการตรวจสอบข้อมูลสารสนเทศที่ถูกต้องตามกฏหมาย หรือ กฏระเบียบภายในองค์กร
    

    ซึ่งเราสามารถแบ่งรูปแบบในการตรวจสอบข้อมูลแบบ LI ดังนี้
    

    – ระดับโลก / ระดับภูมิภาค
    

    – ระดับประเทศ
    

    – ระดับบริษัท และหน่วยงาน
    

    

    1. ระดับโลก / ระดับภูมิภาค นั้นจะพบว่าการสร้างเป็นกฏระเบียบการปฏิบัติการ Lawful Interception มีความพยายามให้เป็นสากลโดยการออกมาตรฐานต่างๆเพื่อมารองรับได้แก่ สถาบันมาตรฐานโทรคมนาคมแห่งยุโรป (European Telecommunications Standards Institute : ETSI) โครงการ 3rd Generation Partnership Project (3GPP) หรือองค์กรต่าง ๆ ของเคเบิลแล็บส์ (CableLabs) ที่รับผิดชอบด้านเครือข่ายไร้สาย/อินเทอร์เน็ต เครือข่ายไร้สาย และระบบเคเบิล ตามลำดับ ในสหรัฐฯ ข้อบังคับที่เทียบเคียงได้ให้อำนาจตามกฎหมาย Communications Assistance for Law Enforcement Act (CALEA) ซึ่งได้ระบุความสามารถเจาะจงโดยการประกาศใช้ ด้วยความร่วมมือของคณะกรรมการกลางกำกับดูแลกิจการสื่อสาร (Federal Communications Commission) และกระทรวงยุติธรรม
    

    

    2. ระดับประเทศ  ในแต่ละประเทศอาจมีกฏระเบียบแตกต่างกันไป ขึ้นกับการบริหารและการปกครองของแต่ละประเทศ  อย่างเช่นประเทศที่เป็นสังคมนิยม หรือ สาธารณรัฐก็จะมีความเด็ดขาดในการออกกฏเกณฑ์ต่างๆที่เกี่ยวข้องกับการใช้งานข้อมูลสารสนเทศและอินเทอร์เน็ต เช่นประเทศ จีน พม่า และประเทศแถบอาหรับ , ส่วนประเทศที่เป็นเสรี ที่มีระบอบประชาธิปไตย ก็มีหลายประเทศที่ทำ LI อย่างเป็นกิจลักษณะ โดยเฉพาะประเทศที่พัฒนาแล้ว เช่น อเมริกา แคนาดา ญี่ปุ่น เป็นต้น ด้วยเหตุว่าการเปิดเสรีในแสดงความคิดเห็นในการกระทำใดๆก็ตามนั้น ผู้แสดงความคิดต้องรับผิดชอบการกระทำของตนด้วย เพราะถึงจะเสรีแต่ก็ตรวจสอบได้ หากพบการก่อเหตุอันจะทำให้เป็นภัยแก่ประเทศของตนเอง  แล้วนั้นต้องป้องกันภัยไม่ให้ภัยนั้นตกสู่ประชาชน นี้เป็นแนวคิดของประเทศที่เสรีที่พัฒนาแล้ว
    

    สำหรับประเทศไทยนั้นได้มีการนำ LI พิจารณาหลายครั้งแต่ปัจจุบันยังคงไม่ได้ทำกันอย่างเป็นกิจลักษณะและยังไม่มีหน่วยงานที่รับผิดชอบอย่างเป็นทางการ
    

    

    3. ระดับบริษัท / หน่วยงาน  ได้แก่ ธนาคาร บริษัทมหาชน หรือ บริษัทที่เกี่ยวข้องกับการผลิต บริษัทที่เกี่ยวข้องกับข้อมูลการให้บริการประชาชน  เหล่านี้ล้วนแล้วแต่จัดทำ Lawful Interception ซึ่งความแตกต่างในระดับประเทศและภูมิภาคนั้น คือ การดำเนินการและการออกกฏเกณฑ์ต่างๆ ที่อาจจะเกิดผลลัพธ์ในเชิงรูปธรรมได้สะดวกว่าในระดับอื่นที่กล่าวมา
    

    

    คำถามที่ 2 :  การจัดทำ Lawful Interception ทำเพื่ออะไร ?
    

    ตอบ :
    

    เป้าหมายของการทำ Lawful Interception นั้นคือ การตรวจสอบข้อมูลอันอาจก่อให้เกิดความเสียหาย การกระทบต่อความมั่นคงของ ภูมิภาค ประเทศ และ องค์กร
    

    โดยข้อมูลในนี้คือการติดต่อสื่อสารระหว่างผู้ส่งสารและผู้รับสาร โดยผ่านผู้ให้บริการข้อมูล ซึ่งจะเฉพาะจงเจาะสำหรับข้อมูลที่สื่อสารผ่านระบบเครือข่ายคอมพิวเตอร์ และอินเทอร์เน็ต เป็นสำคัญ เนื่องจากข้อมูลบนอินเทอร์เน็ตมีความเสรีในตัว ซึ่งหากจะจำแนกเจาะจงว่าผู้ใดเป็นผู้ส่งสารนั้นจะไม่สามารถทำได้หากขาดระบบการทำ Lawful Interception
    

    

    ข้อมูลที่ก่อให้เกิดความเสียหาย นั้น อาจแบ่งได้ดังนี้
    

    – ข้อมูลที่เกิดจากการแสดงความคิดเห็นที่เป็นภัยต่อประเทศ และ องค์กร ซึ่งในที่นี้จะหมายถึงความคิดเห็นจากบุคคลทั่วไป หรือ พนักงานในองค์กร ที่มีลักษณะความคิดที่แตกต่างกัน ซึ่งนำไปสู่ความขัดแย้ง อันก่อให้เกิดผลเสียหายตามมา หากมีความผิดตามกฏระเบียบแบบแผน , กฏหมาย , วัฒนธรรมและศิลธรรมอันดีงามแล้วก็จะก่อให้เกิดความเสียหายต่อภาพลักษณ์องค์กร หรือประเทศ ได้ ยกตัวอย่างเช่น ในระดับประเทศ เป็นประเทศไทย การแสดงความคิดเห็นซึ่งมีผลกระทบต่อสถาบันหลักของประเทศ เช่น สถาบันพระมหากษัตริย์ ซึ่งถือได้ว่าเป็นศูนย์รวมจิตใจของประชาชนชาวไทย มีความอ่อนไหวในการแสดงความคิดเห็น  หรือแม้กระทั่ง ความขัดแย้งทางความคิดเสื้อแดง เสื้อเหลือง เป็นต้น  ในระดับองค์กร ก็จะมองในเรื่องทรัพยากรบุคคล อันทำให้เกิดความเสื่อมเสียขององค์กร และการเสียผลประโยชน์ขององค์กรเป็นหลัก
    

    

    – ข้อมูลที่เป็นบ่อเกิดของอาชญากรรม ได้แก่ การหลอกลวงในชนิดต่างๆ ผ่านช่องทางการสื่อสาร ซึ่งในปัจจุบันก็จะพบข้อมูลประเภทนี้มากขึ้น เช่น อาชญากรรมข้ามประเทศ , การหลอกลวงผ่านแก๊ง Call Center ผ่านระบบ VoIP อินเทอร์เน็ต , การค้ามนุษย์, การค้ายาเสพติด ผ่านช่องทางสื่อสารอินเทอร์เน็ต เป็นต้น
    

    

    – ข้อมูลที่เป็นภัยคุกคาม ได้แก่ การก่อการร้าย, การวางระเบิด, การขโมยข้อมูลภายในองค์กร/หน่วยงาน การละเมิดลิขสิทธิ ทรัพย์สินทางปัญญา และการกระทำอื่นที่ทำให้ประชาชนในประเทศและองค์กร เกิดความไม่ปลอดภัยในชีวิตและทรัพย์สิน เป็นต้น
    

    

    – ข้อมูลที่เป็นภัยคุกคามทางเทคนิค ได้แก่ การแพร่ระบาดของไวรัสคอมพิวเตอร์  การบุกรุกเครือข่ายคอมพิวเตอร์จาก Hacker , การโจมตีเพื่อให้ระบบข้อมูลไม่สามารถทำงานได้ DDoS / DoS , การส่งข้อมูลขยะ (Spam) การหลอกลวง (Phishing) ทำให้เกิดผู้เสียหาย เป็นต้น
    

    

    หากประเทศใด หรือ องค์กรใด ยังไม่มีระบบที่สามารถตรวจสอบข้อมูลอันเป็นภัยดังกล่าวมานั้น จะทำให้การก่อเหตุอันไม่เหมาะสมนั้นเกิดขึ้นอย่างต่อเนื่องและกระทบต่อชีวิตความเป็นอยู่ของประชาชนในประเทศนั้นได้ เนื่องจากการกระทำความผิดในรูปแบบการสื่อสารผ่านช่องทางเครือข่ายคอมพิวเตอร์และอินเทอร์เน็ตนั้นไม่สามารถตรวจสอบที่มาที่ไปของข้อมูลได้หากไม่มี กระบวนการ ,เทคโนโลยี และ บุคคลการ พอเพียง
    

    

    ในบางประเทศที่มีการใช้งานข้อมูลอินเทอร์เน็ตจำนวนมาก เช่น จีน และ อเมริกา จึงสนใจการทำ Lawful Interception มากและมีกฏระเบียบที่ชัดเจนสำหรับความมั่นคงของชาติและการป้องกันประเทศของตนให้พ้นจากภัยอันตรายที่เกิดจากการสื่อสารข้อมูล เป็นต้น
    

    

    คำถามที่ 3 : มีการดำเนินการจัด LI ทำอย่างไรแบบ step by step ?
    

    ตอบ
    

    ขั้นตอนการทำ Lawful Interception (LI)  เนื่องจากในขั้นต้นได้บอกว่า LI นั้นเป็นระบบ ซึ่งในระบบนั้นจะมีส่วนประกอบย่อย โดยสามารถแยกเป็นองค์ประกอบได้ดังนี้
    

    1. องค์ประกอบการดำเนินการ LI (Process)   : การออกกฏเกณฑ์เพื่อปฏิบัติ อันเป็นที่ยอมรับในสังคม จะจัดทำเป็น
    

    1.1 นโยบาย (Policy) เพื่อออกกฏระเบียบมาตราฐานกลาง (Compliance) ที่ใช้ในประเทศ หรือ องค์กร
    

    1.2 กระบวนการปฏิบัติ (Procedure)
    

    1.3 บทบาทหน้าที่รับผิดชอบ : หน่วยงานที่เกี่ยวข้อง หน่วยงานที่รับผิดชอบในการปฏิบัติงาน หน่วยงานที่กำกับดูแลการออกนโยบาย เป็นต้น
    

    

    2. องค์ประกอบด้านเทคโนโลยี และการออกแบบระบบ Lawful Interception
    

    2.1 ระดับประเทศ
    

    – จัดทำตามแผนปฏับัติการตามนโยบายงานกลาง (Compliance) ที่กำหนดขึ้น
    

    – ทำความเข้าใจสำหรับผู้ให้บริการข้อมูลเครือข่ายคอมพิวเตอร์และอินเทอร์เน็ต
    

    – ศึกษาวงจรการเชื่อมต่อข้อมูลเครือข่ายคอมพิวเตอร์และอินเทอรเน็ตในฝั่งผู้ให้บริการ เพื่อออกแบบระบบให้รองรับกับปริมาณข้อมูลจราจรเครือข่ายคอมพิวเตอร์ (Traffic data)
    

    – การจัดทำประเภทข้อมูลเพื่อใช้ในการทำการตรวจสอบ ได้แก่ ชนิดของ Protocol ที่ใช้สำหรับการสื่อสาร, ชนิดการสื่อสาร  เป็นต้น
    

    – การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารกันภายในประเทศ
    

    – การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากภายในประเทศออกสู่ต่างประเทศ
    

    – การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากต่างประเทศเข้าสู่ภายในประเทศ
    

    – ฐานข้อมูลการเก็บประวัติเพื่อสืบค้นเฉพาะกรณี
    

    หากมีหน่วยงานที่ดูแลรับผิดชอบที่รัฐบาลมอบหมายให้ดูแล LI ต้องทำมากขึ้นโดยการนำข้อมูลจากผู้ให้บริการอินเทอร์เน็ตมาใช้ร่วม (ยังไม่ขออธิบายในขั้นนี้)
    

    

    *** ในทางเทคนิคแล้วการตรวจสอบข้อมูลในระดับประเทศไม่สามารถที่เก็บบันทึกข้อมูลทุกการกระทำทั้งหมดในการสื่อสารได้ จะทำเป็นกรณีๆ ตามเป้าหมายที่ได้ต้องสงสัยไว้หรือบางแอฟลิเคชั่นที่สำคัญเพื่อเฝ้าติดตามเป็นกรณีพิเศษ ดังนั้นหากคิดว่าจะเป็นการละเมิดสิทธิส่วนบุคคลก็ต้องขอให้คิดใหม่ว่าในทางเทคนิคไม่มีทางที่เก็บข้อมูลได้หมดและข้อมูลที่ได้ก็ยังไม่ได้หมายความว่าคือบุคคลคนนั้นจริง เพราะในโลกการสื่อสารโดยเฉพาะการสื่อสารผ่านช่องทางอินเทอร์เน็ตสิ่งที่ตรวจสอบได้คือ IP Address เท่านั้น ดังนั้นค่า IP Address ไม่ได้บอกถึงว่าคนคนนั้นคือใครได้ ต้องมีขั้นตอนในการตรวจสอบเพิ่มเติมมากกว่านี้   ส่วนเรื่องเนื้อหาของข้อมูลที่ส่งผ่านเครือข่ายคอมพิวเตอร์และอินเทอร์เน็ต หากไม่ใช่เนื้อหาจากทางการข่าวให้เฝ้าสังเกต หรือ เนื้อหาที่ก่อให้เกิดอาชญากรรม เป็นเนื้อหาจากการใช้งานอินเทอร์เน็ตโดยทั่วไปก็ไม่ต้องกังวลเพราะการทำระดับประเทศต้องมีเป้าหมายชัดเจนถึงจะสามารถตรวจสอบข้อมูลได้ ***
    

    

    2.2 ระดับบริษัท
    

    – จัดทำตามแผนปฏับัติการตามนโยบายงานกลาง (Compliance) ที่กำหนดขึ้น
    

    – จัดทำระบบฐานข้อมูลพนักงาน (Inventory) ค่าเครื่องคอมพิวเตอร์ ตามที่อยู่แผนกชั้น
    

    – การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารภายในองค์กร
    

    – การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากภายในองค์กรออกสู่นอกองค์กร
    

    – การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากภายนอกองค์กรเข้าสู่ภายในองค์กร
    

    – การเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ (Log) ตามกฏหมาย
    

    

    3. องค์ประกอบในการปฏิบัติการ (Operation) : หากได้มีการจัดตั้งหน่วยงานที่ดูแล เพื่อปฏิบัติการ ต้องจัดหาบุคคลากรที่มีความรู้ความสามารถ และมีบทบาทหน้าที่ในส่วนที่ได้จัดทำขึ้นตามแผนงานและนโยบายที่กำหนดไว้ เพื่อการปฏิบัติงานได้อย่างต่อเนื่องและก่อให้เกิดประโยชน์แก่สังคมส่วนรวม
    

    

    โปรดอ่านตอนต่อไป …
    

    

    Nontawattana  Saraman
    

    นนทวรรธนะ  สาระมาน
    

    เขียน 28/01/55
    

    

    หมายเหตุ :
    

    – หากคัดลอกข้อมูลจากบทความนี้ไปเผยแพร่ ไม่ว่าจะเป็นสาธารณะหรือในที่ประชุม โปรดอ้างอิงชื่อผู้เขียน
    

    – ผู้เขียนได้เขียนบทความนี้จากประสบการณ์ อาจมีบางแง่บางมุมที่แตกต่างกันจากที่ได้รับรู้ และบางแง่บางมุมที่ยังไม่สามารถเผยแพร่ได้อย่างครบถ้วน การนำไปเผยแพร่โปรดใช้วิจารญาณในการติดสินใจ
    

    

    ภาพประกอบจากบทความ Shadow Factory Revelations : The illegal NSA Domestic Spy Dragnet
    

    
		
    

		
	
    


    

    

	
	
    

		
    แนวโน้มภัยคุกคาม ปี 2012
    
		
	
    

		

	
    

	
	
    

	
    

		
    
			
    แนวโน้มภัยคุกคามทางคอมพิวเตอร์และอินเทอร์เน็ต ปีค.ศ. 2012 (พ.ศ 2555)
    

    ถือ เป็นธรรมเนียมปฏิบัติไปแล้วสำหรับบริษัทและบล็อกด้านความปลอดภัยต่าง ๆ  ที่เมื่อสิ้นปีจะทำนายแนวโน้มของภัยคุมคามคอมพิวเตอร์และอินเทอร์เน็ตสำหรับ ปีถัดไป ทีมงาน SRAN  ได้ค้นหาและอ่านบทความทำนายแนวโน้มจากหลายสำนักจนได้รวบรวมเกิดเป็นบทความ นี้ขึ้นหวังว่าหลังจากที่ได้อ่านแล้วจะทำให้ผู้อ่านได้ความคิดใหม่ ๆ  ในการป้องกันตัวเองและครอบครัวจากจากภัยที่คุณอาจจะต้องพบเจอเข้าในสักวัน หนึ่ง  เพราะคอมพิวเตอร์และอินเทอร์เน็ตเป็นเรื่องใกล้ตัวที่คุณไม่อาจมองข้ามได้ อีกต่อไป
    

    1. การโจมตีเป้าหมายเจาะจง (targeted attack) จะทำให้เกิดความเสียหายและมีความซับซ้อนมากขึ้น
    

    สอง ปีที่ผ่านมามีข่าวเกี่ยวกับการโจมตีต่อเป้าหมายเจาะจง  เนื่องจากกลุ่มที่ใช้คอมพิวเตอร์และเครือข่าย เพื่อเคลื่อนไหวทางการเมือง  (เรียกว่า hacktivist มาจากคำว่า hack รวมกับ activist) อย่าง Anonymous  และ LulzSec รวมถึงการเพิ่มขึ้นของอาชญากรรมทางอินเทอร์เน็ต  ที่มุ่งเป้าไปที่รัฐบาล ธุรกิจและนักเคลื่อนไหวทางการเมือง  ที่ต้องอาศัยเทคโนโลยีขั้นสูงและระยะเวลาที่ยาวนาน เรียกว่า Advanced  Persistent Threats (APTs)
    

    ตัวอย่างได้แก่  การโจมตีอย่างต่อเนื่องที่ทำให้โซนี่ต้องหยุดให้บริการเพลย์สเตชั่นเป็นเวลา นาน ทำให้เกิดความเสียหายทางการเงิน และการรั่วไหลของข้อมูลผู้ใช้  และการโจมตีเครือข่ายของล็อกฮีด มาร์ติน (Lockheed Martin)  บริษัทผู้ผลิตเครื่องบินระหว่างประเทศและเทคโนโลยีที่ก้าวหน้า  ที่อาจมีจุดมุ่งหมายเพื่อจารกรรมข้อมูลการออกแบบเครื่องบินรบ
    

    เรา สังเกตได้ถึงระดับความซับซ้อนของการโจมตีเหล่านี้ เช่น  ในขณะที่การโจมตีโซนี่เกิดจากการบุกรุกเครื่องแม่ข่ายเว็บ (web server)  ที่ไม่ได้แก้ไขช่องโหว่ของโซนี่เอง แต่การโจมตีล็อกฮีด  มาร์ตินเป็นผลมาจากการโจมตีบริษัท RSA ทางอีเมล เริ่มแรก พนักงานของ RSA  ได้รับอีเมลแนบไฟล์สเปรดชีท ที่โจมตีช่องโหว่ Adobe Flash  Playerและติดตั้งประตูหลัง (backdoor) และส่วนประกอบอื่น ๆ ของมัลแวร์  จากนั้นมัลแวร์ดังกล่าวจึงถูกใช้เพื่อเข้าถึงระบบของRSA  และขโมยข้อมูลทางเทคนิคของ SecurID ซึ่งเป็นการยืนยันตัวตนสองปัจจัย  (two-factor authentication) RSA  ยืนยันว่าข้อมูลดังกล่าวถูกใช้เพื่อโจมตีล็อกฮีด มาร์ติน
    

    เห็นได้ชัดว่าเหยื่อของการโจมตีเหล่านี้ได้รับความเสียหายมาก รวมถึงการเสียชื่อเสียง เสียความเชื่อมั่นของลูกค้า
    
ราคาหุ้นตกและเสียค่าใช้จ่ายในการแก้ไขปัญหาในทางเทคนิค
    

    เมื่อเร็ว ๆ นี้ APTs ได้แสดงให้เห็นถึงความสามารถของมัน หนอน Stuxnet เป็นหนึ่งในตัวอย่างที่ดี อีกทั้ง
    
Stuxnet ยังใช้ใบรับรองอิเล็กทรอนิกส์ (digital certificate)  ที่ถูกต้องอีกด้วย  เมื่อพิจารณาถึงกรณีที่ใบรับรองถูกขโมยจากผู้ให้บริการออกใบรับรอง อิเล็กทรอนิกส์ DigiNotar เชื่อว่าการโจมตีต่อเป้าหมายเจาะจงจะมีเพิ่มขึ้น
    
โดยมีความซับซ้อนมากขึ้น ใช้การโจมตีช่องโหว่แบบ zero-day (ช่องโหว่ที่ยังไม่มีวิธีแก้ไขจากผู้ขายผลิตภัณฑ์)
    
และใช้หลายขั้นตอนในการโจมตี
    

    2. จะมีการหลอกลวงในเครือข่ายสังคมออนไลน์เพิ่มมากขึ้น
    

    เครือ ข่ายสังคมเป็นหนึ่งในวิธีสำคัญในการสื่อสาร ปฏิสัมพันธ์และร่วมแบ่งปัน  ระหว่างผู้บริโภคและธุรกิจผ่านทางเว็บ  โชคไม่ดีที่บริการเหล่านี้ตกเป็นเป้าหมายในการก่ออาชญากรรมทางอินเทอร์เน็ต เช่นกัน
    

    แคมเปญที่มีจุดประสงค์ร้ายแพร่หลายไปทั่วสังคมออนไลน์ หนึ่งในวิธีการหลักที่แคมเปญทางเฟซบุ๊คแพร่หลายไป
    
คือวิธีที่เรียกว่า “likejacking” รูปแบบหนึ่งของเทคนิค clickjacking  เมื่อผู้ใช้ถูกหลอกให้กด “Like”  ในหน้าเว็บหนึ่งซึ่งจะมีผลให้แสดงข้อความหน้า Wall ในเฟซบุ๊ค  บ่อยครั้งที่ข้อความเหล่านี้จะเป็นข้อความที่น่าตื่นเต้น เช่น  การตายของอุซามะฮ์ บิน ลาดิน หรือ เอมี ไวน์เฮาส์  ซึ่งจะนำไปสู่หน้าเว็บมุ่งร้ายหรือน่าสงสัย  รูปแบบหนึ่งที่พบทั่วไปคือแบบสำรวจออนไลน์ที่บังคับให้ผู้ใช้กรอกข้อมูลก่อน ดูวิดีโอที่ต้องการ  ผู้ที่หลอกล่อให้ผู้ใช้กรอกแบบสำรวจได้สำเร็จจะได้เงินตอบแทน  ส่วนแคมเปญมุ่งร้ายอื่น ๆ เช่น ใช้บริการย่อ URL  เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าเว็บมุ่งร้าย หรือหลอกล่อให้ผู้ใช้ copy  / paste URL ที่อ้างว่าเป็นวิดีโอลงไปใน address bar โดยตรง
    

    ผู้ให้ บริการเครือข่ายสังคมอย่างเฟซบุ๊คและทวิตเตอร์มีผู้ใช้หลายร้อยล้านคน  และตามมาด้วยรายใหม่อย่าง Google+  ถึงแม้จะมีพัฒนาการด้านมาตรการด้านความปลอดภัยใหม่ ๆ  ออกมาจากบริษัทผู้ให้บริการเหล่านี้  แต่เนื่องจากผู้ใช้และข้อมูลที่มีจำนวนมากจากผู้ให้บริการไม่กี่แห่ง  จึงเป็นที่ดึงดูดอาชญากรทางอินเทอร์เน็ต  และก่อให้เกิดการล่อลวงในสังคมออนไลน์เพิ่มมากขึ้นในปีค.ศ. 2012
    

    3. มัลแวร์สำหรับอุปกรณ์พกพาคุกคามผู้ใช้และองค์การ
    

    ในปีค.ศ. 2011 เพียงปีเดียวมีการเติบโตของมัลแวร์สำหรับอุปกรณ์พกพาอย่างมีนัยสำคัญ สิ้นปีค.ศ. 2010
    
มีมัลแวร์กว่า 2,500 ตัวอย่าง แต่ในปีค.ศ. 2011 เพิ่มขึ้นมากกว่า 7,500 ตัวอย่าง
    

    ในปีค.ศ. 2011 ได้มีมัลแวร์สำหรับแพลตฟอร์มแอนดรอยด์เพื่อดักข้อมูล SMS ที่ธนาคารต่าง ๆ ใช้เพื่อป้องกัน
    
ลูกค้าจากโทรจัน เป็นตัวอย่างที่ดีของ “เกมแมวไล่จับหนู” ระหว่างผู้โจมตีและผู้ป้องกัน แอนดรอยด์ได้
    
กลายเป็นแพลตฟอร์มที่ตกเป็นเป้าหมายของมัลแวร์มากที่สุด  มากกว่ามัลแวร์ซิมเบียนในครึ่งแรกของปี 2011  อีกด้านหนึ่งของมัลแวร์สำหรับอุปกรณ์พกพาที่เพิ่งเริ่มต้นขึ้น  ได้แก่การใช้อุปกรณ์พกพาเป็นบ็อท (bots) ในเครือข่ายbots  ที่แพร่หลายในคอมพิวเตอร์ตั้งโต๊ะ  เนื่องจากมีอุปกรณ์และคอมพิวเตอร์ที่เชื่อมต่อเครือข่ายมากขึ้น  ผู้โจมตีจึงพยายามนำทรัพยากรเหล่านี้มาใช้เพื่อประโยชน์ของตัวเอง
    

    แอน ดรอยด์ตกเป็นเหยื่อของความสำเร็จของตัวมันเองในหลายแง่มุม  เนื่องจากคนแห่กันไปใช้อุปกรณ์ที่ใช้ระบบปฏิบัติการนี้  ผู้โจมตีก็ทำเช่นเดียวกัน  นอกจากนี้แอนดรอยด์ยังมีข้อเสียที่นักพัฒนาสามารถเผยแพร่แอพพลิเคชั่นใด ๆ  เข้าไปในMarketplace ได้อย่างง่ายดาย การพัฒนาหนึ่งที่น่าสนใจคือการเปิดตัว  Amazon Kindle Fire ซึ่งปกติแล้วจะเชื่อมต่อกับ Amazon application store  เท่านั้น หวังว่าทาง Amazon  จะให้ความใส่ใจกับแอพพลิเคชั่นที่ยอมให้เผยแพร่ใน application store  มากกว่า Marketplaceของกูเกิล
    

    ทุกองค์การควรให้ความสนใจกับจำนวนที่ เพิ่มขึ้นของพนักงานที่ใช้อุปกรณ์ของพวกเขาเองในที่ทำงานและดาวน์โหลดข้อมูล ขององค์การ เช่น อีเมลและไฟล์ต่าง ๆ เข้ามาในอุปกรณ์โดยไม่มีการควบคุม  เป็นแนวโน้มที่เรียกว่า consumerization of ITหรือ Bring-Your-Own-Device  (BYOD)  องค์การจำเป็นต้องเตรียมพร้อมสำหรับปัญหาด้านความปลอดภัยและความร่วมมือที่ เกิดจากการนำอุปกรณ์ที่บริษัทจัดหามาให้ใช้งาน และที่พนักงานนำมาใช้เองด้วย
    

    ใน ปีค.ศ. 2012  เราจะได้เห็นมัลแวร์สำหรับอุปกรณ์พกพาที่มีความซับซ้อนและผลกระทบมากขึ้น  มัลแวร์ที่มุ่งเป้าที่สื่อสังคมออนไลน์จะแพร่กระจายมากขึ้น  เนื่องจากมีการใช้อุปกรณ์พกพาเพื่อเข้าถึง และอัพเดทสังคมออนไลน์เพิ่มขึ้น  โดยมัลแวร์ไม่เพียงแต่มุ่งเป้าที่ข้อมูลของผู้ใช้  แต่สามารถติดตามตำแหน่งของผู้ใช้ด้วย  อาจเป็นเรื่องใหญ่ของความปลอดภัยสำหรับเด็ก  ผู้ถ่ายภาพลามกเด็กและโจรลักพาตัวอาจสนใจภาพส่วนตัวที่เก็บอยู่ในอุปกรณ์พก พา ซึ่งจะมีข้อมูลพิกัดจีพีเอส (GPS) ของสถานที่ถ่ายภาพ  ถึงแม้จะเก็บอยู่ในอุปกรณ์พกพาของผู้ปกครองก็ตาม
    

    ข้อควรกังวลมาก ที่สุดเกี่ยวกับมัลแวร์ในอุปกรณ์พกพาคือ  ข้อจำกัดของความสามารถของผลิตภัณฑ์ด้านความปลอดภัยในปัจจุบัน  และจุดอ่อนในส่วนของผู้ใช้  เครื่องพีซีที่อยู่ในองค์การจะได้รับการดูแลจากฝ่ายไอที  แต่อุปกรณ์พกพาของพนักงาน ที่ใช้เพื่อเข้าถึงและเก็บข้อมูลของบริษัท  ดูเหมือนจะถูกละเลย องค์การจำเป็นต้องเพิ่มนโยบายด้านความปลอดภัย  ช่วยให้อุปกรณ์พกพาสามารถเปิดเว็บได้อย่างปลอดภัย  โดยที่อุปกรณ์พกพาส่วนตัวที่เข้าถึงเครือข่ายของบริษัทนั้นต้องใช้นโยบาย เดียวกันด้วย
    

    4. ช่องโหว่ในซอฟท์แวร์เสริมการทำงานเว็บบราวเซอร์
    

    ซอฟท์แวร์ เสริมสำหรับบราวเซอร์อย่าง Java, Flash Player และ Adobe Reader  มีผู้ใช้ทั่วโลกเป็นจำนวนมาก  มีช่องโหว่ในผลิตภัณฑ์เหล่านี้ที่พบและถูกโจมตีจำนวนมาก  และเป็นเรื่องลำบากสำหรับผู้ดูแลฝ่ายไอทีในการอัพเดทผลิตภัณฑ์เหล่านี้ใน องค์การ ผลิตภัณฑ์เหล่านี้จึงกลายเป็นช่องทางที่ใช้ในการโจมตีที่ได้ผล  ผู้ใช้งานเจอความท้าทายเดียวกัน  ในบางครั้งฟีเจอร์การทำงานบางอย่างก็ไม่จำเป็นสำหรับผู้ใช้งาน  การปิดการทำงานของฟีเจอร์เหล่านั้นช่วยลดความเสี่ยงในการถูกโจมตีได้อย่างมี ประสิทธิภาพ
    

    นอกจากการเติบโตในแง่ของจำนวนแล้ว  การโจมตีเหล่านี้ยังมีความซับซ้อนเพิ่มมากขึ้นอีกด้วย เช่น  การซ่อนไฟล์มุ่งร้ายในไฟล์อื่นเพื่อหลีกเลี่ยงการตรวจจับ  การโจมตีที่ใช้ไฟล์ flash มุ่งร้ายที่ฝังในไฟล์เอกสาร และรูปแบบที่คล้าย ๆ  กันพบเห็นได้บ่อยขึ้น
    

    สามารถอ่านต่อจนจบบทความได้ที่ http://sran.org/tl
    
		
    

		
	
    


    

    

	
	
    

		
    เตือนภัยเว็บไทยถูกโจมตีจากเทคนิค SQL Injection จำนวนมาก
    
		
	
    

		

	
    

	
	
    

	
    

		
    
			
    การโจมตีที่ SQL Injection ที่กำลังระบาดในขณะนี้เรียกว่า lilupophilupop.com SQL injection
    

    ระบบ ที่ถูกโจมตีเป็นระบบที่ใช้ ASP หรือ ColdFusion ที่ใช้ MSSQL เป็น backend โดยจะถูกฝังข้อความ “> อยู่ในเว็บไซต์ เมื่อเปิดหน้าที่ถูกฝังสคริปท์
    

    นี้แล้วจะ redirect ไปที่เว็บไซต์ดาวน์โหลด Flash และแอนตี้ไวรัสปลอม
    

    โดเมนในประเทศไทยพบ 12,800 หน้า ส่วนทั่วโลกพบประมาณ 1 ล้านหน้า
    

    เว็บ .th ที่ถูกโจมตี
    

    https://www.google.com/search?q=title+script+src+http+%22sl+php%22+script+%22lilupophilupop+com%22+site%3A.th&hl=en&biw=1280&bih=938&num=10&lr=&ft=i&cr=&safe=images
    

    หรือค้นหาโดยใช้
    

    title script src http “sl php” script “lilupophilupop com” site:.th 
    

    จาก google ดูสิ
    

     
    

    

    


    


    
    

    

    

    

     
    

    ข้อมูลเพิ่มเติมอ่านที่ http://blog.sran.net/archives/658
    

    

    

    

    
		
    

		
	
    


    

    

	
	
    

		
    สถิติภัยคุกคาม ที่เกิดขึ้นในประเทศไทยในรอบปี 2011
    
		
	
    

		

	
    

	
	
    

	
    

		
    
			
    เริ่มต้นปีใหม่เราจะทำอะไร เหตุการณ์ข้างหน้าจะเป็นอย่างไร  เรามีแต่การคาดการณ์  แต่หากเราเรียนรู้กับอดีตที่เคยเกิดขึ้นมาเป็นบทเรียนและเตรียมรับมือ  พร้อมทั้งเรียนรู้ให้เท่าทันถึงภัยคุกคามที่อาจขึ้นน่าจะเป็นสิ่งที่ดี  สำหรับการดำเนินชีวิตอย่างไม่ประมาท
    

    ดั่งคำกล่าวที่ว่า “จะรู้ทิศทางอนาคต ก็ต้องรู้จักเหตุการณ์จากอดีต”
    

    จึงเป็นที่มาให้ทีมพัฒนา SRAN  ได้ทุ่มเท ความรู้ ที่มีจัดทำฐานข้อมูลภัยคุกคามที่เกิดขึ้นเพื่อเป็นการรายงานผล จัดในรูปแบบสถิติที่เกิดจากการใช้งานอินเทอร์เน็ตภายใน ประเทศไทยขึ้น โดยพัฒนาระบบนี้มานานกว่าจะออกเป็นผลลัพธ์ในเว็บ www.sran.net ซึ่งในปีนี้ก็คิดว่าระบบดังกล่าวจะสมบูรณ์มากขึ้นและเป็นประโยชน์ต่อสังคมให้ ได้เรียนรู้ถึงทิศทางภัยคุกคามที่เกิดขึ้นจากอดีตจนถึงปัจจุบันได้
    

    เป้า หมายที่ตั้งไว้ คือ ต้องการระบบที่ตรวจสอบและแจ้งผลเว็บไซต์ Website /  domain / IP Address ที่เป็นภัยอันตรายต่อการใช้งานนักท่องอินเทอร์เน็ต  และทำให้ผู้ดูแลระบบที่ประสบภัยคุกคามได้มีมาตรการในการป้องกันภัยและแก้ไข  ได้ทันสถานการณ์มากขึ้น  โดยมีการจัดการข้อมูลในรูปแบบของสถิติซึ่งสามารถอ่านรายละเอียดได้ที่ http://nontawattalk.blogspot.com/2011/09/blog-post_04.html หรือ http://blog.sran.net/archives/640
    

    ดัง  นั้นก่อนที่จะคาดการณ์ภัยคุกคามในอนาคต  เราจึงควรเรียนรู้ภัยคุกคามในรอบปีที่แล้วที่ผ่านมาเพื่อมาวิเคราะห์ถึง  ทิศทางของภัยคุกคามที่เกิดขึ้นในประเทศไทยได้อย่างถูกต้องและแม่นยำมากขึ้น
    

    โดยในรอบปี 2011 ที่ผ่านมานั้น สรุปภัยคุกคามที่เกิดขึ้นได้ดังนี้
    
SRAN : Thailand Internet Threat Statistic 2011
    

    

    


    


    
    

    

       
    

    

    ภาพที่ 1 : สถิติภัยคุกคามที่เกิดขึ้นในประเทศไทยในรอบปี 2011
    

    

    ภัยคุกคามที่ทางทีมพัฒนา SRAN ได้จัดทำขึ้นประกอบด้วย
    
1. Malware : คือ  Website / Domain / IP Address ภายในประเทศไทย  ที่เป็นพาหะที่ทำให้ผู้ใช้งานติดไวรัสคอมพิวเตอร์ หรือ file ที่ไม่เหมาะสม  ที่ทำให้เครื่องคอมพิวเตอร์ (computer) คอมพิวเตอร์พกพา (notebook ,tablet)  และสมาร์ทโฟม (smart phone/mobile )  ที่ขาดระบบป้องกันที่ทันสมัยอาจมีโอกาสติดเชื้อไปด้วย
    

    สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 1,057 ครั้ง ลงเมื่อเทียบกับปี 2010
    

    2. Web Attack : คือ Website / Domain / IP Address ภายในประเทศไทย ที่ถูกโจมตี (Hacking) เข้าถึงระบบและเปลี่ยนข้อมูลในหน้าเพจเว็บไซต์
    

    สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 6,331 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010
    

    3. Phishing :  คือ Website / Domain / IP Address ภายในประเทศไทย  ที่เป็นการหลอกลวงทำให้ผู้ใช้งานเข้าใจผิดและส่งผลกระทบต่อการใช้งานปกติ  ซึ่งทำให้เครื่องคอมพิวเตอร์ (computer) คอมพิวเตอร์พกพา (notebook  ,tablet) และสมาร์ทโฟม (smart phone/mobile )  ที่ขาดระบบป้องกันที่ทันสมัยอาจมีโอกาสติดเชื้อ Malware  หรือเป็นเหยื่อของนักโจมตีระบบได้อีกด้วย
    

    สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 875 ครั้ง  เพิ่มขึ้นเมื่อเทียบกับปี 2010
    

    4. Vulnerability : คือ  ช่องโหว่ของโปรแกรม, แอฟลิเคชั่น (Application), OS (Operating System)  ที่สามารถเข้าระบบ หรือทำให้ระบบไม่สามารถทำงานได้อย่างปกติ  เป็นผลให้เกิดการโจมตีขึ้นได้
    

    สรุปภาพรวมทั้งปี 2011 เกิดขึ้นจำนวน 5,442 ครั้ง ลงเมื่อเทียบกับปี 2010
    

    5. Proxy : คือ  Website / Domain / IP Address ที่ทำตัวเองเป็นตัวกลางในการติดต่อสื่อสาร  ซึ่งมีโอกาสที่เป็นเครื่องมือของผู้ไม่ประสงค์ดี  และเป็นช่องทางในการกระทำความผิดเกี่ยวกับอาชญากรรมคอมพิวเตอร์  เพื่อปิดบังค่า IP Address ที่แท้จริงของผู้ใช้งานได้
    

    สรุปภาพรวมทั้งปี 2011 เกิดขึ้นจำนวน 12,709 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010
    

    ทั้งปี 2011 สรุปภัยคุกคามทั้ง 5 ประเภทรวมทั้งเป็น 26,394 ครั้ง  เพิ่มขึ้นเมื่อเทียบกับปี 2010 ดูรายละเอียด
    

    ประเภทองค์กรภายในประเทศไทย ที่พบภัยคุกคามเป็นภาพรวม
    

    แบ่งเป็น 3 ชนิดภัยคุกคาม 7 กลุ่ม คือ ชนิดภัยคุกคามจะประกอบด้วย 7 กลุ่ม ดังนี้
    

    ชนิดของภัยคุกคามทั้ง 3 ชนิดประกอบด้วย
    

    ชนิดที่ 1 : เว็บไซต์ในประเทศไทยที่ถูกโจมตี ได้แก่ การโจมตีชนิดที่มีการเปลี่ยนแปลงข้อมูลในเว็บไซต์ (web defacement)
    

    ชนิดที่ 2 : เว็บไซต์ในประเทศไทย ที่ตกเป็นฐานของฟิชชิ่ง (Phishing) จนกลายเป็นเว็บหลอกลวง
    

    ชนิด  ที่ 3 : เว็บไซต์ในประเทศไทย ที่ติดไวรัสคอมพิวเตอร์  ซึ่งส่วนใหญ่แล้วจะเป็นเว็บไซต์ที่ถูกโจมตีแล้วสามารถเข้าถึงระบบได้จากนั้น  จึงนำ file  ที่ติดไวรัสเข้ามาใส่ในเว็บไซต์เพื่อใช้หลอกให้ผู้ใช้งานติดไวรัสต่อไป
    

    

    


    


    
    

    

       
    

    

    

    ภาพที่ 2 ภาพรวมค่าสะสมจากอดีตจนถึงปัจจุบันบนระบบฐานข้อมูลภัยคุกคามที่เกิดขึ้นในประเทศไทย เมื่อแยกตามประเภทขององค์กร
    

    

    ในรอบปี 2011 ที่ผ่านประเภทองค์กรที่พบภัยคุกคามดังนี้
    

    

    


    


    
    

    

       
    

    

    ภาพที่ 3 สถิติภัยคุกคามเมื่อทำแยกแยะตามประเภทขององค์กร ที่เกิดในรอบปี 2011
    

    ซึ่งแยกแยะตามรายชื่อโดเมนตามชื่อหน่วยงาน ได้ 7 กลุ่ม
    

    1. สำหรับการศึกษา (Academic) จำนวนที่พบภัยคุกคามคือ 1,433 ครั้ง
    
2. สำหรับบริษัทห้างร้าน (Commercial Companies) จำนวนที่พบภัยคุกคามคือ 1,162 ครั้ง
    

    3. สำหรับรัฐบาล (Governmental Organizations) จำนวนที่พบภัยคุกคามคือ 3,406 ครั้ง
    
4. สำหรับทหาร (Military Organizations) จำนวนที่พบภัยคุกคามคือ 129 ครั้ง
    

    5. สำหรับหน่วยงานที่ไม่หวังผลทางการค้า (Registered Non-profit Organizations) จำนวนที่พบภัยคุกคามคือ 90 ครั้ง
    

    6. สำหรับผู้ให้บริการอินเทอร์เน็ต (officially registered Internet Service Providers) จำนวนที่พบภัยคุกคาม คือ 2 ครั้ง
    

    7. สำหรับหน่วยงานทั่วไป (Individuals or any others) จำนวนที่พบภัยคุกคาม คือ 528 ครั้ง
    

    บทวิเคราะห์
    
โดย  รวมทิศทางข้อมูลเชิงสถิติภัยคุกคามที่เกิดขึ้นในประเทศไทยโดยรวมนั้นมีอัตรา  สูงขึ้นอย่างต่อเนื่อง  ซึ่งเป็นไปตามการเข้าถึงเทคโนโลยีอินเทอร์เน็ตที่มีอัตราการใช้งานเพิ่มขึ้น  ทุกปีเช่นกัน  ภัยคุกคามในแต่ละประเภทที่จัดทำเป็นสถิตินั้นเป็นภัยคุกคามที่เชื่อมโยง  ถึงกันซึ่งอาจเกิดจากส่วนใดส่วนหนึ่งก่อนแล้วเกิดผลตามมา ยกตัวอย่างเช่น  เกิดจาก Web Attack ก่อน เมื่อนักโจมตีระบบ (Hackers) เข้าถึงระบบ Web  Application ได้แล้วก็จะทำการเข้าถึง Web Server และระบบปฏิบัติการ OS  ตามลำดับจากนั้นทำการติดตั้ง Malware และทำให้ Website / Domain / IP  Address นั้นเป็นพาหะที่ทำให้เกิดติดเชื้อ และแพร่กระจายกลายข้อมูลผ่าน  Link ต่างๆ ตาม Web board , Social network หรือ e-mail ในลักษณะ Phishing  เป็นต้น
    
ซึ่งผู้ใช้งานควรมีความตระหนักรู้เท่าทันภัยคุกคามและหมั่นตรวจ  สอบความปลอดภัยข้อมูลเป็นระยะโดยดูช่องโหว่ (Vulnerability) ของซอฟต์แวร์ ,  OS ที่ตนเองมีอยู่ ใช้อยู่  หากมีการแจ้งเตือนช่องโหว่ควรศึกษาว่าช่องโหว่นั้นมีผลต่อการใช้งานอย่างไร  หากเป็นช่องโหว่ที่เข้าถึงเครื่องคอมพิวเตอร์เราได้นั้นควรรีบแก้ไขโดยเร็ว  อย่างมีสติ หากเป็นผู้ดูแลระบบนั้นต้องหมั่นดูแลเรื่องนี้เป็นพิเศษ
    
ที่น่าสนใจคือทิศทางของการใช้งาน Proxy ทั้งที่เป็น Proxy Server ,  Anonymous Proxy  ซึ่งมีการใช้งานที่สูงขึ้นมากอาจเป็นต้องการรักษาความลับและความเป็นส่วนตัว  ของผู้ใช้งานมากขึ้น และอีกประเด็นคือที่ระบบ SRAN ตรวจพบ Proxy  เยอะก็เพราะอาจมีการเข้าถึงระบบโดยเข้ายึดเครื่องและแปลงสภาพเครื่องที่ยึด  ได้นั้นมาเชื่อมต่อการใช้งานแบบ Proxy เพื่ออำพรางการกระทำใดบางอย่าง  ซึ่งเทคนิคดังกล่าวนี้จะส่งผลให้การสืบสวนทางอินเทอร์เน็ตทำได้ยากลำบากมาก  ขึ้นนั้นเอง  โดย IP Address  ที่พบในฐานข้อมูลก็บ่งบอกว่ามีทั้งเครื่องแม่ข่าย (Server) และ  เครื่องลูกข่าย หรือเครื่องผู้ใช้งานทั่วไป จากเมื่อก่อนการทำ Proxy  ได้นั้นควรจะเป็นเครื่องแม่ข่าย  แต่นี้ก็แสดงถึงการยึดระบบนั้นเข้าถึงเครื่องใช้งานทั่วไปของคนปกติที่  ออนไลน์ตลอดเวลาไม่ว่าเป็นเครื่องตามบ้านผ่าน ADSL  ความเร็วสูงหรือแม้กระทั่งบนสมาร์ทโฟนที่ online อินเทอร์เน็ตตลอดเวลา  ซึ่งเทียบได้กับ Server ในอดีตแต่การเปลี่ยนค่า IP Address  จะไม่คงที่เท่ากับเครื่อง Server  ซึ่งเท่ากับว่าเราๆท่านๆอาจมีโอกาสเป็นเครื่องมือของผู้กระทำความผิดได้เช่น  กัน
    

    ด้วยความปรารถนาดีจาก ทีมพัฒนา SRAN
    
SRAN Dev Team
    

    

    สวัสดีปีใหม่ครับ
    

    ปล. ข้อมูลสถิติที่เกิดขึ้นนั้นเกิดจากซอฟต์แวร์ zemog bot (สีหมอกบอท)  ที่เป็นงานวิจัยและพัฒนาขึ้นจากทีมงาน SRAN สร้างขึ้น  หลักการณ์เป็นการทำงานแบบ crawler โดยสร้างเป็นบอท (robot) พิเศษที่มีความชาญฉลาดกว่า crawler ทั่วไป หน้าที่คือตรวจสอบข้อมูลเมื่อพบ ASN  (Autonomous System Number)ในประเทศไทยแล้วค้นหาตาม IP Address / Domain  ที่พบภัยคุกคามจากแหล่งข่าวต่างๆ บนโลกอินเทอร์เน็ต แล้วนำมานำรวบรวมข้อมูล  คัดแยกข้อมูลแล้วนำเสนอเป็นข้อมูลเชิงสถิติ  ซึ่งไม่ได้หมายความว่าตัวเลขที่พบเป็นภัยคุกคามที่เกิดขึ้นทั้งหมด  แต่เป็นการเกิดจากบอทที่สร้างขึ้นและค้นพบในโลกอินเทอร์เน็ต
    

    รายละเอียดเพิ่มเติมดูได้ที่ http://www.sran.net/statistic
    
		
    

		
	
    


    

    

	
	
    

		
    ผ่าพิสูจน์ Twitter
    
		
	
    

		

	
    

	
	
    

	
    

		
    
			

    
หลายท่านที่เป็นนักท่องอินเทอร์เน็ตคงรู้จักเจ้านกน้อย Twitter กันเป็นอย่างดี Twitter เป็นเครือข่ายสังคมออนไลน์ที่คนทั่วโลกนิยมใช้ลักษณะการส่งข้อความสั้นๆไว้อธิบาย, ถ่ายทอดและแสดงออกถึงความรู้สึกนึกคิดของตนเองหรือไว้แจ้งข่าวสารต่างๆ หลายคนก็นำเอา Twitter ใช้ในการแจ้งเหตุด่วนเหตุร้าย หรือไว้ทำการโฆษณาขายสินค้าและบริการ ด้วยก็มี ด้วยมีเนื้อหาจำกัดในการส่งข้อความทำให้ต้อง “tweet” กันถี่ๆ และ re-tweet กันไป .. ถึงอย่างไรข้อความที่ขึ้นบน twitter ก็หาใช่ว่าจะมีความถูกต้องและน่าเชื่อถือ เพราะผู้ส่งนั้นอาจไม่ใช่คนส่งข้อความที่แท้จริงก็ได้ หรือส่งข้อความที่ไม่ใช่เรื่องจริง ซึ่งเหตุผลประการใดนั้นก็สุดแล้วแต่ผู้รับข้อมูลข่าวสารจะใช้ดุลพินิจพิจารณาต่อไป
    

    ผมเขียนบทความนี้ขึ้นอาจจะอยู่ในช่วง Hot ๆ พอดี เนื่องด้วย Twitter ของท่านนายกฯ (twitter.com/PouYingluck) ถูก Hack หรือมีผู้เข้าถึงข้อมูล account ที่ไม่ใช่ของตนเองขึ้น จะพบว่าข้อความที่ปรากฏต่อสาธารณะทางอินเทอร์เน็ตจึงดูว่าไม่ใช่ตัวจริงที่ส่งข้อความ .. ซึ่งกรณีนี้ผู้กระทำนั้นมีฐานความผิดเกี่ยวกับ พ.ร.บ คอมพิวเตอร์ฯ อย่างแน่นอนอย่างน้อย มาตรา 5 และ 14 เป็นต้น แต่ทั้งนี้ก็อย่าได้ตื่นเต้นไปเลยเพราะไม่ใช่ครั้งแรกที่คนดังจะถูก Hack ผู้นำประเทศหรือแม้กะทั่งคนที่ทำ facebook เองก็ยังเคยโดน hack มาแล้ว
    

    ก่อนที่จะทำอะไร เราควรรู้องค์ประกอบของระบบ Twitter เสียก่อน ผมก็ถือโอกาสนี้ชำแหละกระบวนการติดต่อสื่อสารระหว่างผู้ใช้งาน (เราๆ ท่านๆ) ไปเรียกติดต่อระบบเครื่องแม่ข่าย Twitter ที่การทำงานเป็น Cloud computing ทั้งหมด ดังนี้
    

    1. ควรรู้ที่ตั้ง Twitter เพื่อเกิดปัญหาจะได้ติดต่อได้ถูกต้อง
    

    ที่ตั้งของ Twitter โดยการ whois แล้วคือ (รายละเอียดที่ http://www.sran.net/search?q=twitter.com)
    

    Domain Name………. twitter.com 
    
    Creation Date…….. 2000-01-22 
    
    Registration Date…. 2011-08-31 
    
    Expiry Date………. 2019-01-22
    

    Organisation Name…. Twitter, Inc. 
    
    Organisation Address. 795 Folsom Street 
    
    Organisation Address. Suite 600 
    
    Organisation Address. San Francisco 
    
    Organisation Address. 94107 
    
    Organisation Address. UNITED STATES
    
    Admin Address…….. 795 Folsom Street
    
Admin Address…….. Suite 600 San Francisco 94107 UNITED STATES
    
Admin Email………. admin@melbourneitdbs.com
    
    Tech Email……….. domains-tech@twitter.com
    
    Admin Phone………. +415.2229670
    
Admin Fax………… +415.2220922
    

    — หากกระทรวงฯ / หน่วยงานที่ได้รับหน้าที่ ต้องการติดต่อขอข้อมูลควรทำการติดต่อไปที่ e-mail/เบอร์โทร/fax ของผู้ดูแลระบบจากข้อมูลที่กล่าวมานี้ จะเป็นช่องทางที่สามารถติดต่อกับทางบริษัท Twitter ได้
    

    2. ระบบเครือข่าย Twitter มีหน้าตาอย่างไร
    
    Twitter มีโครงข่ายของตนเองโดยมี Autonomous System Number (ASN) ประกอบด้วย
    
    2.1 AS13414 ซึ่งเป็นของ Twitter Inc.
    
    2.2 AS35995 ซึ่งเป็นของ Level 3 Communications, Inc.
    

    2.3 AS33517 DYNDNS Dynamic Network Services, Inc. ASN
    

    2.4 AS15169 Google , Inc
    

    

    ทั้งหมดมีชุด IPv4 และ IPv6 จำนวนไม่น้อย ในที่นี้ขอยกตัวอย่างเฉพาะ IPv4 คืออยู่ที่ 2 ชุด ซึ่งถือได้ว่าเป็นคลังแสงของระบบ twitter ทั้งหมดอยู่ที่นี้ ได้แก่ 199.59.148.0/22 และ 199.16.156.0/22 ถ้ารวมแบบเบื้องต้นแล้วจะพบว่ามี IPs allocated จำนวน 2,048 IPs ที่เชื่อมโยงกันเป็นระบบเครือข่ายของ Twitter ซึ่งจำนวน IPs เหล่านี้ทำหน้าที่เป็น Cluster ทั้งระดับ Server Base (เครื่องแม่ข่าย),ระดับ Application (ซอฟต์แวร์) ต่อเชื่อมกันเป็น Cloud Computing ขึ้น
    
    ดังนั้นการแกะรอย IP Address ต้องเข้าใจว่าปลายทางที่เกิดเหตุอาจจะกระจายอยู่ในกลุ่มก้อนเมฆ( Cloud Computing) ใดที่หนึ่งก็ได้ (เครื่องใดเครื่องหนึ่งอาจจะไม่ใช่เครื่องที่เรา Ping เจอหรือ Trace route เจอเป็นต้น)
    
    ยิ่งไปกว่านั้น เนื่องด้วย Twitter , Facebook , Youtube ล้วนเป็น Social Network ที่คนไทยนิยมใช้
    
    ในระดับผู้ให้บริการอินเทอร์เน็ตในประเทศไทย (ISP : Internet Services Provider) อาจมีการทำ Peering
    
    เพื่อเชื่อมโยงข้อมูลก็เป็นไปได้ เพื่อเป็นการเอาใจลูกค้าหรือรักษาลูกค้าให้มาใช้บริการของตน เนื่องจากการทำ Peering หรือ Caching นั้นทำให้การรับส่งข้อมูลได้รวดเร็วขึ้น หากเป็นเช่นนี้ก็จะทำให้การตรวจสอบข้อมูลต้องเพิ่มขั้นตอนไปที่ตรวจสอบที่ผู้ให้บริการ Peering หรือ Caching เหล่านั้นด้วย ที่นิยมในประเทศไทย ก็มีบริการของ Akamai Network และ Global Crossing เป็นต้น ซึ่งส่วนใหญ่แล้วเป็นการทำ Caching ในระดับ Web Application เท่าที่เห็นว่าส่วนใหญ่ข้อมูลทำติดต่อสื่อสารกันระหว่างประเทศไทย สิงคโปร์ และ มาเลเซีย เพื่อติดต่อไปยังเครือข่ายตัวจริงของระบบ Social network ที่นิยมใช้กัน
    

    

    ภาพ 1 : เป็นการ whois ASN ที่เชื่อมโยงกับ twitter จาก Hurricane Electric whois
    

    

    

    


    


    
    

    

    

    

    

    ภาพที่ 2 : เมื่อพิจารณาการเชื่อมข้อมูลของโดเมน twitter.com จาก Robtex whois
    

    จะเห็นว่าความสัมพันธ์ในการติดต่อสื่อสาร twitter มีการเชื่อมโยงกับหลายส่วน โดยศูนย์กลางอยู่ที่ช่วง IPs จาก AS13414
    

    

    อ่านเพิ่มเติมจาก : บทความเก่าที่เคยเขียน เรื่อง ปัจจัยทั้ง 4 ในการสืบสวนหาผู้กระทำความผิดเกี่ยวกับคอมพิวเตอร์
    

    ดังนั้นในกรณีที่ต้องการตรวจสอบหา IP Address ของไทยไปยัง Twitter (โดยไม่ใช้วิธีขอ Log จาก Twitter ตรงๆ) ก็ทำได้โดยการขอความร่วมมือกับ ISP ในประเทศไทย เพื่อดู Flow ในการติดต่อสื่อสารไปยัง ASN ที่
    
กล่าวมาได้ซึ่ง Network Flow ที่กล่าวมาควรมีการเห็นดั้งนี้คือ
    

    – Time ที่ตรงตามเวลามาตราฐาน เช่น หน่วยวัดเวลาของมาตรวิทยา
    
– Source IP ซึ่งเป็น Public IP ภายในประเทศไทย
    
– Destination IP ซึ่งเป็น IP allocate จาก AS13414
    
– และ Port Application (HTTP , HTTPS และ DNS) ในที่นี้ดูเฉพาะ Port ปลายทางก็พอคือ 80 และ 443 ที่เป็นการติดต่อแบบ TCP เบื้องต้นประมาณนี้ก่อน
    

    ซึ่งในปัจจุบันมี ISP ไม่กี่ที่ที่สามารถตรวจสอบการเชื่อมต่อดังกล่าวมาได้ และคงไม่มีใครมา capture traffic ข้อมูลที่เกิดขึ้นจากการใช้งานอินเทอร์เน็ตในประเทศไทยอยู่ตลอดเวลาเป็นแน่
    

    * อยากทราบข้อมูลเพิ่มในส่วนนี้ลองอ่านบทความเก่าๆ ของผมดูสิ เรื่อง ข้อเท็จจริงในการดักข้อมูล และ รู้ทัน Sniffer
    

    3. ข้อสังเกตสำหรับการตรวจสอบข้อมูล จากการเรียกข้อมูล Twitter ผ่าน Web Application
    

    Twitter ถือได้ว่าเป็น Web 2.0 การเปิดเว็บไซต์เพียงเว็บเดียว โดเมนเดียว แต่เบื้องหลังของการเชื่อมนั้นติดต่อไปหลากหลายที่ ซึ่งจะทำการพิสูจน์ให้เห็นโดยใช้ account twitter ของผู้เขียนเองมานำเสนอให้เห็นถึงขั้นตอนการติดต่อสื่อสารภายในระบบ twitter
    

    3.1 เมื่อทำการเข้าเว็บ http://twitter.com และทำการ Login เพื่อเข้าสู่ระบบหากใส่ username และ password ถูกต้อง
    
เบื้องหลังที่เรามองไม่เห็นผ่านหน้าจอ พบว่ามีการติดต่อไปยังหลากหลาย Source
    

    

    ภาพ 3 : การ login โดยใช้ account ของผู้เขียนและเปิดโปรแกรมชนิด Revert Proxy เพื่อทำการวิเคราะห์ลักษณะการติดต่อสื่อสารระหว่างผู้ใช้งานและฝั่งเครือข่ายให้บริการ twitter
    

    

    จะเห็นการติดต่อสื่อสารระหว่างเครื่องผู้ใช้งาน (ตัวเรา) กับระบบ Twitter เพียงเสี้ยววินาที จะเห็นว่าเครื่องคอมพิวเตอร์ของเราติดต่อไปยังหลายโดเมน และมีลักษณะเช่นนี้ตลอดเวลาที่เปิดหน้าเว็บ twitter ขึ้น
    

    3.2 สังเกตค่า session ID
    

    สิ่งที่น่าสังเกตคือ session ที่เกิดขึ้นเบื้องหลังที่ติดต่อไปที่หน้า http://twitter.com/sessions?phx=1
    
นั้นจะมีลักษณะ Method เป็น POST หากใช้โปรแกรมพวก Sniffer ดักข้อมูลในส่วนนี้ (ภายในเครื่องตัวเอง)
    
จะพบว่าสามารถมองเห็น Username หรือ e-mail และ password ที่ใช้ในการ login ได้
    


    
ภาพ 4 : ค่า session ID ที่พบซึ่งไม่มีการเข้ารหัสในส่วนนี้
    

    

    จากภาพ session[username_or_email] และ session[password] จะเป็นค่า plain text ที่สามารถดักข้อมูลได้ ซึ่งการทำ session hijack ก็จะสามารถปลอมเป็น account ที่ใช้งานเป็นคนอื่นได้ อาจไม่ต้องทราบถึง password ก็เข้าใช้ account ผู้อื่นได้ (วิธีขโมย session ต้องทำในเครือข่ายเดียวกัน หรือ วง Network ภายในเดียวกัน)
    

    3.3 สังเกตค่า cookie
    
ค่า cookie หากไม่มีทำการล้างข้อมูลหรือลบค่า cookie ในเครื่องจะทำให้มีรอยประวัติทิ้งไว้อยู่ว่าในวันเวลาดังกล่าวได้เข้ามาใช้งาน (login) twitter จริง
    


    
ภาพ 5 : การแสดงค่า cookie จากการใช้งาน twitter ทั้งฝั่งผู้ใช้งานและผู้ให้บริการในระดับ application layer ของทาง twitter
    

    

    จะเห็นได้ว่า ค่า cookie sent และค่า cookie received โดยเฉพาะค่า Cookie Received จะได้ auth_token ซึ่งส่วนนี้ twitter ใช้เทคโนโลยีที่ชื่อว่า Oauth มาช่วยกำหนดเรื่องสิทธิต่างๆ ค่า auth_token แต่ละคนจะไม่เหมือนกันเช่นเดียวกับค่า twid ก็ไม่ซ้ำกันเป็นต้น ในค่า cookie จะมีการบันทึกไว้ทั้งฝั่งผู้ใช้งานและ ฝั่งผู้ให้บริการ Application twitter ดังนั้นพบผู้ต้องสงสัยแล้วหลักฐานในส่วนนี้ก็จะยืนยันได้ว่าเป็นผู้กระทำการจริงเป็นต้น
    

    

    cookie ก็สามารถขโมยได้เหมือนกับการ ขโมย session ID โดยเฉพาะ หากมีการดัก cookie แล้วได้ค่าหมายเลข cookie เป้าหมายเมื่อไหร่ก็สามารถนำค่า cookie เป้าหมายมาทำการใส่ค่า long string ที่ “Set-Cookie: _twitter_sess=xxxxxxxxxxx” มาแทนค่า cookie ของเราเอง ก็สามารถขโมย user ของ twitter ได้เช่นกันด้วยเทคนิคนี้เมื่อขโมย cookie มาได้แล้วทำการ refresh หน้าเพจก็สามารถกลายเป็นบุคคลอื่น / account อื่นโดยไม่จำเป็นต้องรู้ username และ password ,ถ้าผู้ใช้งานผ่าน SSL ก็จะทำการดักข้อมูลทำได้ลำบากขึ้นได้ (ต้องอยู่ในเครือข่าย LAN เดียวกันแล้วทำเทคนิค MITM : Man In The Middle) โดยมากจะผ่าน SSL เมื่อใช้คอมพิวเตอร์ / บราวเซอร์ ที่แสดง User-agent เป็น PC ทั่วไป แต่หากใช้ Mobile Application เพิ่มความสะดวกในการใช้ twitter บาง application ติดต่อโดยไม่มีการเข้ารหัสซึ่งเป็นผลให้การดักข้อมูลทำได้ง่ายขึ้นเช่นกัน
    

    

    3.4 สังเกตค่า Timeline เพื่อหาเวลาที่แน่นอน ซึ่งส่วนนี้เราแทบจะไม่สามารถดูผ่านหน้าเว็บ twitter ได้เลยว่าเวลาที่โพสเวลาอะไรกันแน่ จะเห็นเวลาคร่าวๆเช่นผ่านมาแล้ว 5 ชั่วโมงเป็นต้น หากดูที่ user timeline จะพบเวลาที่เป็นนาทีได้
    

    

    


    


    
    

    

    

    


    


    
    

    

    

    

    ภาพที่ 6 : เมื่อนำค่า pcap (Packet Capture :อ่านเพิ่มเติม) จากการใช้งาน twitter มาเปิดในโปรแกรม Wireshark จะพบค่า URI สำหรับบอก Timeline และค่า Key Oauth ที่ระบุถึงการใช้สิทธิ (Authorization) ในโปรแกรม twitter ซึ่งจากค่าดังกล่าวก็จะสามารถหาเวลาที่ทำการ Post ข้อความได้แม่นยำขึ้น แต่หากไม่มีเครื่องสามารถดูผ่านค่า Feed RSS ของ User Timeline ของผู้นั้นได้เช่นกัน
    

    

    ในกรณีนี้จะพบว่าการส่งข้อความที่ไม่ใช่ตัวจริงส่งนั้นเกิดขึ้นเมื่อเวลา 10:22 AM ของวันที่ 2 ตุลาคม 2554
    

    

    

    

    


    


    
    

    

    

    

    ภาพที่ 7 : แสดงค่า Timeline จาก RSS Feed ที่พบจะเห็นวันเวลาที่ละเอียดขึ้นจะพบว่าช่วงเวลาที่โพสนั้นห่างกันเพียงแค่ นาทีต่อนาที โดยรวมไม่เกิน 10 นาทีต่อหนึ่งข้อความ ต่อเนื่องกันตั้งแต่ 10.22 AM -10:43 AM จำนวน 8 ข้อความ
    

    

    4. ช่องโหว่ที่เกิดขึ้นโดยเข้าถึงสิทธิการใช้งานผู้อื่น
    

    

    

    

    4.1 การทำ Forgot password
    

    หากเปิดเผยข้อมูลส่วนตัวมากเกินไป อาจนำไปใช้ในขั้นตอน Forgot password ได้
    

    หรือเดารหัสผ่านจากข้อมูลส่วนตัวอื่นๆเช่น บ้านเลขที่ เบอร์โทรศัพท์ ทะเบียนรถ ชื่อบุคคลที่เรารัก เป็นต้น
    

    

    4.2. การติด malware
    

    การติดตั้งโปรแกรมโดยมิได้ติดตั้งจากแหล่งที่น่าเชื่อถือได้ อาจติด malware ที่มีความสามารถในการขโมยข้อมูลส่วนตัวได้ ไม่ว่าจะใช้มือถือ คอมพิวเตอร์พกพา หรืออื่นๆ malware จะเป็น Spy เช่น เป็น Keylogger จับข้อมูลผ่านแป้นคียบอร์ด คอยส่งข้อมูลให้กับ Hacker ก็อาจเกิดขึ้นได้
    

    

    4.3 อื่นๆ ที่กล่าวมาทั้งหมดนี้ล้วนเป็นทางเทคนิค หากการเข้าถึงข้อมูลผู้อื่นนั้นอาจไม่ได้มาจากทางเทคนิคอย่างเดียว เป็นเพียงเส้นผมบังภูเขาก็ได้ เช่น กรณีที่ Password ง่ายต่อการเดา , การถือ Account มีหลายคน , การเก็บบันทึก Account เพื่อการเข้าถึงข้อมูลเปิดเผยมากเกินไป เช่นเก็บบันทึกในสมุดโน็ต , ที่เครื่องมือถือ และโน็ตบุ๊ต เป็นต้น ก็สุดแล้วแต่ความประมาทของคนที่มีโอกาสเกิดขึ้นได้ทั้งสิ้น
    

    ในอนาคตเราอาจจะพบว่าการใช้อินเทอร์เน็ตอย่างไม่เหมาะสมจนทำให้เกิดความเสียหาย และเกิดฐานความผิดเกี่ยวกับคอมพิวเตอร์จะมีมากขึ้น เป็นไปตามจำนวนผู้ใช้งานอินเทอร์เน็ตที่สูงขึ้นอยู่ทุกปี คงถึงเวลาแล้วที่ภาครัฐควรเอาใจใส่ในเรื่องการตรวจหาผู้กระทำความผิดทางคอมพิวเตอร์อย่างจริงจัง โดยอาจจะต้องมาศึกษาเรื่อง Lawful Interception ซึ่งในประเทศที่พัฒนาแล้วก็มีการทำเรื่องตรวจสอบข้อมูลการใช้งานอินเทอร์เน็ตทั้งสิ้น ประเทศเราเคยทำมาก่อนหน้านี้คือศูนย์ ISOC แต่กับเห็นว่าไม่ได้มีการทำการต่อแล้ว หากเห็นเรื่องนี้เป็นเรื่องสำคัญและมีโอกาสกระทบต่อความมั่นคงของชาติ ศาสนา และพระมหากษัตริย์ และประชาชนผู้ใช้งานโดยตรงด้วยแล้วนั้น ควรกลับมาดูแลเรื่องการตรวจสอบข้อมูลอย่างจริงจัง และควรใช้อำนาจเจ้าหน้าที่พนักงานที่ถูกแต่งตั้งให้สามารถตรวจสอบข้อมูลได้ตามกฏหมาย พ.ร.บ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ให้เป็นประโยชน์ ส่วนสังคมจะมองว่าเป็นการละเมิดสิทธิ ก็ต้องสร้างความเข้าใจว่าเป็นการตรวจสอบ IP Address ที่ต้องสงสัย หาใช่ว่าเพียงทราบ IP Address จะรู้ว่าใครเป็นใคร (Who) ทำอะไร (What) เวลาใด (When) อย่างไรก็ต้องผ่านขั้นตอนขอหมายศาล และขั้นตอนการขอรายชื่อ account ผู้ใช้งานในระบบ billing ของฝั่งผู้ให้บริการอินเทอร์เน็ต หรือ ISP อยู่ดี ซึ่งมีขั้นตอนอีกไม่น้อย ดังนั้นหากใช้ข้อมูลอินเทอร์เน็ตอย่างสร้างสรรค์และถูกต้องไม่ต้องกลัวว่าจะโดนตรวจสอบ การตรวจสอบไว้ป้องปรามอาชญากรรมทางคอมพิวเตอร์ที่มีมากขึ้นๆ จนเป็นปัญหาสังคม และมีผลกระทบต่อความมั่นคงของประเทศชาติได้เช่นกันหากไม่มีมาตรการอันใดที่จะมาตรวจสอบข้อมูลทางอินเทอร์เน็ตในอนาคต
    

    

    


    

    

    

    

    
		
    

		
	
    


    

    

	
	
    

		
    SRAN First Help : แผนที่สถานการณ์
    
		
	
    

		

	
    

	
	
    

	
    

		
    
			

    
FIRST Help : แผนที่สถานการณ์ เพื่อใช้สำหรับสถานการณ์ฉุกเฉิน หรือ “Crisis map” เป็นแนวคิดที่จะช่วยเหลือผู้คนผ่านช่องทางอินเทอร์เน็ตสำหรับแจ้งเบาะแส และทำให้ผู้ที่ต้องการข้อมูลได้ทราบเพื่อเตรียมรับมือต่อสถานการณ์ที่เกิดขึ้น
    

    

    ตั้งแต่ช่วงต้นปีที่ผ่านมานี้ประเทศไทยของเราประสบปัญหาภัยพิบัติทางธรรมชาติอยู่เป็นระยะๆ โดยเฉพาะปัญหาน้ำท่วม ดินถล่ม ถนนหลักใช้การไม่ได้  ดังนั้นกำลังเพียงเล็กน้อยของทีมงานเราได้แค่เพียงการจัดทำเทคโนโลยีเพื่อช่วยแจ้งเบาะแส ผ่านแผนที่สถานการณ์เพื่อช่วยบอกตำแหน่ง กำหนดจุดเกิดเหตุ และ สืบค้นหาข้อมูลย้อนหลังในแผนที่สถานะการณ์ได้ เพื่อประเมินสถานการณ์ได้อีกด้วย  อีกทั้งมีการส่งข้อมูลผ่านช่องทางที่หลากหลาย เช่น ผ่านเว็บไซต์ ผ่านโปรแกรมมือถือ  ซึ่งปัจจุบันเรามีการส่งผ่านมือถือเฉพาะ Android  ซึ่งสามารถ download ได้ในเว็บไซต์ http://firsthelp.me  ซึ่งในการส่งข้อมูลนั้นสามารถส่งได้ทั้งเป็น SMS , วิดีโอ , รูปภาพ ข่าวที่ผ่านช่องทาง RSS  Feed จากเว็บไซต์ข่าว หรือ ช่องทาง Twitter และ Social Network ได้อีกด้วย
    

    

    


    


    
    

    

    

    

    

    


    


    
    

    

       
    

    ภาพตัวอย่างระบบแผนที่สถานการณ์ SRAN Firsthelp
    

    

    เพื่อเป็นการเพิ่มช่องทางการแจ้งเตือนภัย ให้ครอบคลุมปัญหาต่างๆ ทางทีมงานพัฒนา SRAN จึงทำเป็น 5 หมวดหมู่ ดังนี้
    

    

    1. ภัยพิบัติทางธรรมชาติ  ซึ่งแยกได้เป็นภัยพิบัติ ดังนี้– ภัยที่เกิดจากน้ำท่วม
    
– ภัยที่เกิดจากพายุ
    

    – ภัยที่เกิดจากแผ่นดินไหว
    

    – ภัยที่เกิดจากสึนามิ
    

    – ภัยที่เกิดจากไฟไหม้ป่า
    

    – ภัยแล้ง
    

    – ดินถล่ม
    

    – ฝนตกหนัก
    

    

    


    


    
    

    

       
    

    

    ภาพหน้าจอ Firsthelp : ที่แสดงถึงแผนที่สถานการณ์สำหรับภัยพิบัติทางธรรมชาติ
    

    

    2. การแพทย์ฉุกเฉิน สำหรับการช่วยเหลือผู้ป่วยฉุกเฉิน
    

    3. เกี่ยวกับสาธารณูปโภค  ประกอบด้วย น้ำไม่ไหล , ไฟฟ้าใช้การไม่ได้ , ถนนหลักไม่สามารถใช้งานได้ , ระบบสื่อสารขัดข้อง เป็นต้น
    

    4. เหตุด่วนเหตุร้าย  เช่น การแจ้งคนหาย , อุบัติเหตุ การลักขโมยทรัพย์สิน และการแจ้งเบาะแส อื่นๆ
    

    

    เมื่อผู้ใช้งานที่ต้องการแจ้งเหตุส่งข้อความมายังระบบ  First Help จะทำประมวลความถูกต้องโดยต้องมีทีมปฏิบัติการคอยตรวจสอบความถูกต้องข้อมูลถึง 2 ขั้นตอนคือ ขั้นตอน รับรองข้อมูล (Approve) และ ขั้นตอน ยืนยันข้อมูล (Verify)  เพื่อให้ข้อความที่ปรากฏในระบบรับแจ้งเหตุได้มีความน่าเชื่อถือมากขึ้น
    

    

    เมื่อข้อมูลที่ผ่านการรับรอง (Approve) จะขึ้นปรากฏที่หน้าเว็บไซต์ http://firsthelp.me  และผ่านเข้ามือถือระบบ Firsthelp Android
    

    

    

    


    


    
    

    

       
    

    ภาพหน้าจอรายงานผล
    

    

    

    SRAN First Help มีความยินดีที่จัดทำระบบนี้ให้กับผู้สนใจที่ต้องการระบบแผนที่สถานการณ์ เพื่อเป็นศูนย์กลางในการรับแจ้งเหตุ และเบาะแสอื่นๆ ที่พึ่งเป็นประโยชน์ต่อประชาชน สามารถติดต่อทางเราได้ที่ info@gbtech.co.th   เรายินดีทำระบบแจ้งเหตุเตือนภัยที่เป็นแบบแผนที่สถานการณ์ได้
    


    


    

    นนทวรรธนะ สาระมาน
    
Nontawattana Saraman