มาร่วมกันเก็บ Log เว็บเพื่อขจัดปัญหาในอนาคต

ปัญหาเว็บไซต์ในอินเตอร์เน็ต หลายอย่างเป็นปัญหาสังคมที่สะท้อนถึงการใช้ชีวิตของคนยุคนี้
ผู้ใช้งานคอมพิวเตอร์ส่วนใหญ่ก็เข้าถึงข่าวสารในสื่อออนไลท์มากขึ้น ผ่านช่องทางที่เรียกว่า Social Networking เช่น Facebook , Youtube หรือ Hi5 เป็นต้น Hi5 เจ้าปัญหาตกเป็นข่าวให้เราได้รับรู้กัน เดือนละข่าวก็ว่าได้ ยกตัวอย่างเช่น
นศ.สาวแห่ขายเซ็กซ์ ยึดไฮไฟว์ บริการขายตรง” [31 ม.ค. 52 – 02:28]
ล่าตัวก๊วนอุบาทว์ hi5 พี้กัญชา” [2 ก.พ. 52]
จับขายตัวผ่านเน็ต ปี1อินเตอร์ นางแบบโฆษณา” [6 ก.พ. 52 – 11:47]
เปิดไฮไฟว์ “พลอย” ด่ากราด “แพม” ขึ้นเ_ ี้ย ขึ้น_ ัตว์ แถมยังแช่งให้ตาย เพราะผู้ชายคนเดียว” [10 มี.ค. 52]
และผมคิดว่าคงมีเหตุการณ์แบบนี้ขึ้นอีกเรื่อยๆ นับแต่นี้
ไม่เพียงปัญหาสังคมเหล่านี้จะเกิดขึ้นมาก แต่ยังภัยร้ายที่คุกคามการโจรกรรมข้อมูลผ่านทางอินเตอร์เน็ตซึ่งทั้งใช้ความสามารถทะลุทะลวงระบบรักษาความปลอดภัยเว็บไซต์ และทั้งอาศัยเหยื่อผู้ใช้งานหลอกลวงผ่านทงอินเตอร์เน็ตก็สูงขึ้น ซึ่งทุกท่านรับทราบเป็นอย่างดี หรือข้อมูลจาก SRAN Data Safehouse และ zemog.sran.org
ในประเทศไทยพบว่าตั้งแต่ปี 2007 – 2009 มีเว็บไซด์ในประเทศไทยที่พบช่องโหว่ XSS (Cross site scripting) อยู่ด้วยกันถึง 41 เว็บ ซึ่งประกอบด้วย

P1 : ภาพสถิติเว็บไซต์ในประเทศไทยที่มีความเสี่ยง

ผลการประเมินช่องโหว่ XSS ในวันที่ 27 กุมภาพันธ์ พบว่า domain หน่วยงานราชการ (.go.th) มีความเสี่ยงที่พบถึง 20 เว็บไซด์ รองลงมาคือ domain บริษัททั่วไป (.co.th) พบ 9 เว็บไซด์ พบว่าส่วนใหญ่ยังไม่ได้รับการแก้ไข

หันมาดูปัญหาต่างๆ จะลดน้อยลงไปมากหากเราสนใจเก็บ Log เว็บไซต์ของเราเอง แน่นอนหากเกิดเหตุการณ์อะไรที่ไม่คาดฝัน อย่างน้อยเราก็สามารถนำหลักฐานที่เกิดขึ้นนี้ไปให้กับเจ้าหน้าที่ตำรวจ หรือ เจ้าหน้าที่พนักงานที่แต่งตั้งขึ้นได้ ซึ่งหลักฐานจาก Log นี้จะทำให้การสืบสวนสอบสวนเป็นไปอย่างสะดวกมากขึ้น

และจะเก็บ Log อย่างไร ถ้าทำให้ดีก็ควรเก็บบนระบบอื่นที่ไม่ใช่เครื่องคอมพิวเตอร์แม่ข่าย (Server) ที่เราเอง ควรเป็นเครื่องนอก เรื่องเครื่องแม่ข่ายที่ใช้ในการเก็บ Log โดยเฉพาะ ซึ่งจะช่วยยืนยันได้ว่า Log ที่เก็บจะไม่มีการโมเมขึ้นได้
เทคนิคการเก็บ Log นั้นมีได้ 2 มุมมอง (รายละเอียดเคยเขียนไว้ที่ http://www.sran.net/archives/176 )คือ
มุมมองในองค์กร คือ การใช้อินเตอร์เน็ตในองค์กร หากนึกดูให้ดีว่าในมุมนี้ผู้กระทำความผิดนั้นส่วนใหญ่เป็นใคร ก็ตอบได้ทันทีว่า ส่วนใหญ่ผู้กระทำความผิดมักอยู่ในองค์กรด้วยกันเองนี้แหละ เราก็ควรมีระบบเก็บ Log ที่เป็นเครื่องแม่ข่ายโดยเฉพาะมาเก็บบันทึกข้อมูลการใช้งาน สำคัญคือ Log ที่ดูได้ถึงพฤติกรรมการใช้งานข้อมูลสารสนเทศในองค์กรและอินเตอร์เน็ต อย่าคิดว่า Log ที่ดีควรเอามาทั้งหมด แต่การนำ Log มาทั้งหมดนั้นหากอ่านไม่ออกเลย ก็ไม่มีประโยชน์อะไร ไม่รู้จะเก็บไปให้เสียเนื้อที่ไปทำไม ควรจะอ่านออกและสะดวกต่อการสืบสวนสอบสวน และมีความน่าเชื่อถือ

มุมนอกองค์กร เช่น เว็บไซต์ สาธารณะ ถ้าในมุมนี้ผู้กระทำผิด สามารถเกิดได้จากหลายๆจุด อาจเกิดจากที่หนองคาย เปิดเว็บเราแล้วโพสหมิ่นประมาทบุคคลอื่น จนเป็นเหตุให้มีการฟ้องร้องกัน หรือโพสจากประเทศจีนและหมิ่นประมาทคนอื่น ซึ่งโดยสรุปแล้วคือผู้กระทำผิดในมุมมองนี้สามารถเกิดได้ทุกๆทีในโลกใบนี้
ดังนั้นการเก็บ Log เว็บควรทำอย่างไร ?

ผมให้ข้อคิดดังนี้
1. เว็บที่อยู่ในองค์กร ก็ใช้ระบบเก็บ Log ที่ท่านได้จัดซื้อมาใช้ได้ ข้อสังเกตคือควรเก็บได้ทั้งข้อมูลจราจร (Traffic Data) ที่ทำการเปิดเว็บไซต์ในองค์กรเราได้ มิใช่เก็บเพียงข้อมูลขาออกอินเตอร์เน็ตในองค์กรเพียงอย่างเดียว
2. เว็บที่ฝากตาม IDC (Internet Data Center) คุณอย่าพึ่งหวังว่า ISP นั้นจะเก็บ Log เว็บคุณให้ทั้งหมด ซึ่งในเว็บของคุณเองมีเว็บบอร์ด มี comment ที่คนนอกสามารถร่วมแสดงความคิดเห็นได้ นั้น ISP ไม่สามารถเก็บให้ได้หมดแน่นอน ดังนั้นคุณควรหาวิธีการมาจัดเก็บ Log เองจะดีกว่า
3. เว็บฝากไว้กับผู้ให้บริการ Hosting ต้องบอกว่าผู้ให้บริการ Web Hosting เองนั้นก็อาศัยอยู่บน IDC ซึ่ง ISP เป็นผู้ดูแล ก็จริง 1 ตู้ Rack ของ Web Hosting อาจประกอบด้วย 10 – 100 เว็บ หรือมากกว่านั้น ในนั้นผู้ให้บริการ ISP ก็จะสามารถดูได้เพียง Traffic ที่เข้าตาม IP นั้นบางที IP เดียวก็มีตั้งหลายชื่อ domain หรือหลาย subdomain เป็นไปแทบไม่ได้ว่าเขาจะมาดูแลเว็บคุณได้ทั่วถึงหากไม่มีเทคโนโลยีที่รองรับจุดนี้ได้เพียงพอ

สรุป ผู้ให้บริการ Web hosting ก็ควรเก็บ Log และ ISP ก็ควรเก็บ Log และสำคัญคือตัวเราเองผู้เป็นเจ้าของเว็บไซต์ ไม่ว่าเป็นเว็บบริษัท เว็บ Blog หรือขายของหน้าร้านเราก็ต้องเก็บ Log เช่นกัน

ผมจึงขอเป็นตัวอย่างในการเก็บ Log เว็บไซต์ของตนเองขึ้น
โดยทีมงาน SRAN Dev พัฒนาตัวเก็บ Log ที่เป็นศูนย์กลางการเก็บ Log ของเว็บไซต์ ซึ่งวิธีนี้มั่นใจได้ว่าไม่ใครเข้าไปแก้ไขข้อมูลได้เนื่องจากติดตั้งคนละจุดกับ Web Server ผู้ให้บริการ อีกทั้งยังช่วยดูว่ามีใครกำลังบุกรุกเว็บเราได้อีกด้วย
ซึ่งส่วนนี้ตั้งชื่อไว้ว่าบริการ “SRAN Data Safehouse”
โดยในเว็บไซต์ยืนยันการเก็บ Log และพร้อมที่ส่ง Log ให้เจ้าหน้าที่พนักงาน ที่ต้องการสืบค้นหาผู้กระทำความผิดได้
SRAN Data Safehouse ไม่เพียงแต่เก็บ Log web site ของคุณ ยังช่วยตรวจดูว่าเว็บไซต์คุณมีช่องโหว่ที่ควรได้รับการแก้ไข ก่อนที่ Hacker จะเข้ามาเจาะระบบได้ ซึ่งเรียกว่ามีระบบ Anti Web Hacking ในตัว อีกทั้งหากมีการบุกรุกเว็บไซต์ของเรา SRAN Data Safehouse ส่ง E-mail แจ้งเตือนได้ พร้อมทั้งบันทึก Log บอกถึง IP และชื่อหน่วยงาน สถานที่ตั้งได้ว่าผู้ใดเป็นผู้บุกรุกเว็บไซต์ได้อีกด้วย

เปรียบเทียบเพื่อสร้างความเข้าใจมากขึ้น ตัว SRAN ไม่ว่าเป็นชนิดอุปกรณ์ หรือเป็น Script บนเว็บ ก็เหมือนกับกล้องวงจรปิดเพื่อเฝ้าสังเกตการณ์ความผิดปกติที่เกิดขึ้นและเก็บบันทึกข้อมูลไว้เป็นหลักฐาน
หากมองในเรื่องเว็บไซต์ โดยเฉพาะ Web E-commerce คือ ตู้ ATM
SRAN Data Safehouse คือกล้องที่ติดบนตู้ ATM เพื่อดูว่ามีใครมากดตู้ ATM เพื่อเก็บเป็นหลักฐานในการสืบค้นหาผู้กระทำความผิดนั้นเอง

ซึ่งตอนที่เขียนบทความนี้ Log ของ Web blog แห่งนี้เก็บบันทึกข้อมูลไปแล้ว 140 วันซึ่งตรงตามที่กฏหมายกำหนดคือไม่น้อยกว่า 90 วัน

P2 : ภาพ Log ที่ปรากฏหลังจากผู้ใช้บริการ Data Safehouse เข้าใช้บริการ

เมื่อถึงเวลาที่ต้องการสืบค้น ก็ Login เข้าสู่ระบบ และดูข้อมูลย้อนหลัง ซึ่งจะไม่มีใครดูได้นอกจากตัวผู้สมัคร SRAN Data Safehouse เอง

เมื่อมีการเก็บบันทึกการใช้งานเว็บไซต์ ไม่ว่าเป็นบริการแบบ Web stats หรือ Web Anslytic ก็ขอให้มีหลักฐานในการสืบค้น และเก็บบันทึกให้ตามกฏหมายกำหนด ผมก็เชื่อว่าเว็บของท่านจะมีหลักฐานไว้สำหรับสืบค้นหาผู้กระทำผิดไม่ได้ยากเกินกำลัง

มาร่วมกันเก็บ Log เว็บ เพื่อขจัดปัญหาในอนาคต กันเถอะครับ

อ่านรายละเอียดการใช้งาน SRAN Data Safehouse http://www.datasafehouse.net/docs.html

บทความ วันนี้คุณเก็บ Log เว็บของคุณแล้วหรือยัง ?

บทความ ทำอย่างไรถึงจะรู้เท่าทันภัยคุกคามเว็บไซต์ ตอนที่ 1 และ ตอนที่ 2

นนทวรรธนะ สาระมาน
Nontawattana Saraman

ประวัติการโจมตี XSS


จากที่ทาง www.datasafehouse.net ซึ่งเป็นบริการเสริมสร้างความปลอดภัยให้กับเว็บไซต์ได้เปิดเผยสถิติเกี่ยวกับเว็บไซต์ในประเทศไทยที่มีความเสี่ยงต่อการโจมตีมีถึง 41 เว็บ (รายละเอียด) ส่วนใหญ่แล้วเป็นช่องโหว่เว็บที่เกิดจากเทคนิคที่เรียกว่า XSS

สืบเนื่องมาจากบทความการโจมตี XSS ตอนที่ 1 ในเว็บ SRAN
ผมจึงขอนำประวัติการโจมตีชนิดนี้มาเล่าสู่กันฟัง
ช่องโหว่ cross-site scripting นับร้อยเหตุการณ์ที่เกิดขึ้น แต่ในที่นี้จะยกเพียงไม่กี่ตัวอย่างเพื่อแสดงให้เห็นภาพของช่องโหว่ชนิดต่าง ๆ ดังต่อไปนี้

ตัวอย่างของช่องโหว่ชนิด 0 ที่ครั้งหนึ่งพบในหน้าที่ใช้แสดงข้อผิดพลาดของ Bugzilla ซึ่งใช้จาวาสคริปต์เพื่อเขียน URL ปัจจุบันผ่านทางตัวแปร document.location ไปยังหน้านั้นโดยไม่มีการแปลงหรือกรองข้อมูล ในกรณีนี้ผู้โจมตีที่สามารถควบคุม URL ดังกล่าวอาจสามารถส่งสคริปต์ ทั้งนี้ขึ้นอยู่กับพฤติกรรมของเว็บเบราว์เซอร์ ที่ใช้ด้วย ช่องโหว่นี้ได้รับการแก้ไขโดยการแปลงข้อมูลอักขระพิเศษในสายอักขระ document.location ก่อนที่จะเขียนมันลงในหน้าหน้าดังกล่าว

ตัวอย่างที่มีชื่อเสียงของช่องโหว่ XSS ชนิด 1 : ช่องโหว่สองประเด็นในเว็บไซต์ Google.com ที่ค้นพบและเผยแพร่โดย Yair Amit ในเดือนธันวาคม คศ. 2005 ช่องโหว่นี้เหล่านี้ยอมให้ผู้โจมตีสามารถปลอมตัวเป็นพนักงานของ Google หรือใช้เพื่อการโจมตีฟิชชิ่ง บทความนี้เผยแพร่วิธีหลบหลีกวิธีการรับมือกับการโจมตี XSS โดยการแปลงข้อมูลเป็นแบบ UTF-7

ช่องโหว่ XSS ชนิดที่ 1 ถูกโจมตีอย่างขบขัน 2 ครั้งด้วยกัน : ในเดือนสิงหาคม คศ. 2006 ผ่านทางข่าวย่อที่กุขึ้นที่อ้างว่าประธานาธิบดีบุชแต่งตั้งให้เด็กชายวัยเก้าขวบเป็นประธานของกระทรวงความปลอดภัยสารสนเทศ มีการทำให้คำอ้างนี้น่าเชื่อถือโดยอ้างถึงลิงค์ข่าวของ cbsnews.com และ www.bbc.co.uk เว็บไซต์ทั้งสองแห่งเคยมีช่องโหว่ XSS ที่แตกต่างกันซึ่งยอมให้ผู้โจมตีสามารถใส่บทความที่ต้องการเข้าไปได้

พบตัวอย่างของช่องโหว่ชนิด 2 ใน Hotmail ในเดือนตุลาคม คศ. 2001 โดย Marc Slemko ช่องโหว่ยอมนี้ยอมให้ผู้โจมตีสามารถขโมยเซสชั่นคุกกี้ของผู้ใช้ Microsoft .NET Passport ได้ การโจมตีช่องโหว่นี้ประกอบด้วยการส่งอีเมลมุ่งร้ายไปยังผู้ใช้ Hotmail อีเมลนี้ประกอบด้วยโค้ดเอชทีเอ็มแอลที่ผิดปกติ โค้ดที่ใช้ในการกลั่นกรองสคริปต์ในไซต์ของ Hotmail ไม่สามารถกำจัดโค้ดเอชทีเอ็มแอลที่ผิดปกตินี้ออกไปได้และอัลกอริทึมที่ใช้ในการวิเคราะห์คำของ Internet Explorer ก็ไม่ขัดข้องที่จะตีความโค้ดมุ่งร้ายนี้ ปัญหานี้ได้รับการแก้ไขอย่างรวดเร็ว แต่ยังคงพบปัญหาที่คล้ายคลึงกันหลาย ๆ ประเด็นใน Hotmail และไซต์ของ Passport ในเวลาต่อมาอีกด้วย

Netcraft ประกาศเมื่อวันที่ 16 มิถุนายน คศ. 2006 ถึงการค้นพบช่องโหว่ด้านความปลอดภัยในเว็บไซต์ของ Paypal ที่กำลังถูกโจมตีเพื่อขโมยหมายเลขบัตรเครดิตและข้อมูลส่วนตัวต่าง ๆ ของผู้ใช้ Paypal Netcraft ได้รับรายงานถึงปัญหาดังกล่าวผ่านทางทูลบาร์ที่ใช้เพื่อป้องกันการโจมตีฟิชชิ่งของพวกเขาเอง หลังจากนั้นไม่นาน Paypal รายงานว่ามีการเปลี่ยนแปลงโค้ดในเว็บไซต์ของ Paypal เพื่อกำจัดช่องโหว่ดังกล่าวออกไป

วันที่ 13 ตุลาคม คศ. 2005 ผู้ที่ใช้ชื่อว่า Samy ได้โจมตีช่องโหว่ด้านความปลอดภัยใน MySpace ทำให้มี friend request ส่งมายังโปรไฟล์ของผู้สร้างนับล้านครั้ง จัดอยู่ในช่องโหว่ชนิด 2 มันใช้ XMLHttpRequests จำนวนมากเพื่อแพร่กระจายตัวมันเอง

ช่องโหว่ XSS ในซอฟท์แวร์สมุดเยี่ยม Community Architech ค้นพบโดย Susam Pal เมื่อ 19 เมษายน คศ. 2006 ผู้ประสงค์ร้ายอาจสามารถใช้ช่องโหว่นี้เพื่อใส่สคริปต์ที่ต้องการได้ ทำให้บริการเว็บโฮสติ้งจำนวนมากซึ่งใช้ซอฟท์แวร์สมุดเยี่ยมดังกล่าวจึงอาจถูกโจมตีโดยใช้ช่องโหว่นี้ได้

วันที่ 8 พฤศจิกายน คศ. 2006 Rajesh Sethumadhavan ค้นพบช่องโหว่ชนิด 2 ในเว็บไซต์ social network ที่ชื่อว่า Orkut ซึ่งอาจยอมให้สมาชิกของเว็บไซต์ดังกล่าวสามารถใส่โค้ดเอชทีเอ็มแอลและจาวาสคริปต์ในโปรไฟล์ของพวกเขาได้ Rodrigo Lacerda ใช้ช่องโหว่นี้เพื่อสร้างสคริปต์ที่ใช้เพื่อขโมยคุกกี้ที่เรียกว่า Orkut Cookie Exploit ซึ่งถูกใส่เข้าไปในโปรไฟล์ Orkut ของสมาชิกที่ประสงค์ร้าย เพียงแต่เปิดดูโปรไฟล์เหล่านี้ ก็จะทำให้ข้อมูลเกี่ยวกับเหยื่อถูกส่งไปยังแอคเคาท์ปลอมของผู้โจมตี วันที่ 12 ธันวาคม Orkut ได้แก้ช่องโหว่นี้แล้ว

ข้อมูลจากป้อม Infosec

ข้อมูลเสริม
สถิติภัยคุกคามที่เกิดขึ้นในประเทศไทย http://zemog.sran.org
สถิติเว็บไซต์ในประเทศไทยที่มีความเสี่ยง http://www.datasafehouse.net/xssthai.php
รูปนำมาแสดงในเว็บจาก http://www.techmynd.com/tag/antivirus/

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Zone-h หายไปไหน

อีกเว็บไซด์หนึ่งที่ถือว่าเป็นเว็บต้นแบบหลายๆที่ในด้านข้อมูลการรักษาความมั่นคงปลอดภัยข้อมูล
คือ www.zone-h.org ได้มีการถูกโจมตีจนเว็บไซด์ใช้การไม่ได้ พร้อมทั้งเปลี่ยนหน้าเพจใหม่จนผู้ดูแลระบบเว็บไซด์ zone-h ถึงกับเข่าอ่อนได้ ดังภาพที่ปรากฏต่อไปนี้

(ผมก็เข้าไปดูไม่ทันหลอกครับ ดูจาก google cache เอาเหตุการณ์พึ่งเกิดเมื่อวานนี้เอง)

ท่านใดที่เป็นผู้ดูแลระบบไม่ว่าเป็นคนไทยหรือต่างประเทศ คงน้อยนักไม่รู้จักเว็บ zone-h ความน่าสนใจของเว็บไซด์ www.zone-h.org ไม่ใช่แค่่ข่าวสารด้านความมั่นคงปลอดภัยอินเตอร์เน็ตอย่างเดียว แต่เป็นแหล่งข้อมูลสำคัญที่เก็บการเปลี่ยนหน้าเว็บเพจ (Defacement) ทั่วโลกเก็บไว้ยาวนานไม่น้อยกว่า 8 ปี (ผมเองก็ชอบเข้าไปดูว่ามีเว็บไหนบ้างที่ถูกเปลี่ยนหน้าเพจ) จากแหล่งข่าว theregister กล่าวว่านี้ไม่ใช่ครั้งแรกที่ zone-h ถูกเปลี่ยนหน้าเพจหรือถูก hack ระบบเคยมีเหตุการณ์แบบนี้เกิดขึ้นแล้วใน เดือนมกราคม ปี 2007

นี้ล่ะครับการมีระบบรักษาความปลอดภัยที่ดี ไม่ใช่มีเพียงแค่บนเครือข่ายคอมพิวเตอร์แล้วจะป้องกันได้ทุกเรื่อง ในด้านซอฟต์แวร์ที่รันบนเว็บ (Web Application) นั้นยังมีช่องโหว่อีกมากมายที่สามารถทะลุทะลวงระบบคอมพิวเตอร์เราได้ หากคอมพิวเตอร์คุณตั้งเครื่องไว้ในอินเตอร์เน็ต (ที่เป็น Real IP) ไม่ว่าเก่งแค่ไหนก็พลาดกันได้ แต่จะตั้งลำได้ทันเวลาหรือระบบนั้นสามารถนำกลับมาใช้งานได้อย่างปกติหรือไม่ นั้น ขึ้นกับแผนการปฏิบัติงานของคนและเทคโนโลยีที่ต้องประสานงานกันอย่างดี

ผมลองมาทดสอบดูว่าทำไม zone-h ถึงเข้าไม่ได้

1. ตรวจดูประวัติการใช้งาน โดยใช้เครื่องมือ Wayback หรือ alexa

ส่วนใหญ่เป็น Traffic จากประเทศ Turkey และ Iran

2. ทดสอบ DNS โดยใช้ command nslookup ได้ผลลัพธ์ดังนี้

ซึ่งเราสามารถใช้เครื่องมือช่วยจากเว็บ centralops ได้หากจำคำสั่งไม่ได้

3. ดูเส้นทางการเชื่อมโยงของค่า DNS ส่วนนี้ใช้เทคนิคช่วยโดยผ่านเครื่องมือบนเว็บ robtex

ดูเส้นทางเฉพาะส่วน

4. ตรวจ IP / Domain ผ่านแผนที่ภูมิศาสตร์ อันนี้ใช้เครื่องมือที่เขียนเองโดยทีม SRAN (http://map.sran.net/whois/index.php) ซึ่งในส่วนนี้ผมสนใจที่ IP Address

5. ตรวจประวัติการเปลี่ยนแปลงค่าของ Web Server (ตรวจดูความเสรียฐภาพ) โดยใช้เครื่องมือจากเว็บ netcraft

พบว่ามีปัญหาที่ DNS ไม่สามารถติดต่อได้ รู้สึกว่าทีมงานกำลังปรับปรุงเครื่องเว็บแม่ข่ายอยู่ การตรวจสอบเช่นนี้สำหรับผู้ดูแลระบบแล้วเป็นสิ่งจำเป็น ผมไม่ขอบอกหมดทุกรายละเอียดแต่เครื่องมือที่แนะนำไปในแต่ละขั้นตอนถือว่าเป็นทางลัดในการวิเคราะห์หาเหตุผลต่างๆ ที่จะทำให้เกิดความไม่ปกติขึ้นบนเว็บไซด์ของเราเอง

ทุกวันนี้เว็บไซด์ก็คือประตูสู่องค์กรเราแล้ว หากเว็บไซด์ของหน่วยงานเรามีช่องโหว่ (Vulnerability) แล้วก็มีโอกาสที่ถูกเข้าถึงระบบได้ไม่ว่าทางใดก็ทางหนึ่งซ้ำไปกว่านั้นหากเว็บไซด์เรามีฐานข้อมูลสำคัญ เมื่อมีการเข้าถึงระบบจากบุคคลที่ไม่หวังดีนั้นอาจทำให้ข้อมูลถูกเปลี่่ยนแปลง หรือที่เป็นนิยมของ hacker ที่เข้าถึงระบบได้มักฝั่งเครื่องมือที่เรียกว่า rootkit เสมอ การกู้ระบบให้กลับมาใช้งานได้อย่างเดิมนั้นอาจไม่สามารถยืนยันว่าข้อมูลและระบบจะกลับมาเป็นอย่างเดิมก่อนที่ถูก hack ดังนั้นจึงต้องหมั่นดูแลระบบเว็บไซด์ของเราไม่ให้เกิดเหตุการณ์ไม่คาดฝันนี้ขึ้น พูดถึงเรื่องนี้แล้วแนะนำว่าลองหันมาใช้บริการ Datasafehouse ของทาง SRAN ดูสิครับ (www.datasafehouse.net) จะรู้ช่องโหว่ก่อนที่ถูกโจมตี และที่สำคัญจะตามรอยเท้าของ hacker ที่เข้าสู่ระบบเว็บไซด์ของคุณได้อีกด้วย ลองดูครับพัฒนาทั้งหมดโดยคนไทย จะได้รู้ว่าจริงๆแล้วคนไทยก็ไม่ได้ด้อยไปกว่าต่างประเทศเลย

อ่านเพิ่มเติมได้ที่

http://www.theregister.co.uk/2009/02/13/zone_h_defaced/
http://www.aboutus.org/Zone-h.com
ข้อมูลเกี่ยวกับ rootkit (http://nontawattalk.blogspot.com/2008/01/invisible-threat.html )

นนทวรรธนะ สาระมาน
Nontawattana Saraman

เทคนิคเฝ้าระวังภัยเว็บไซต์ที่ไม่เหมาะสม


มีคำถามว่า “มีบ้างไหม ที่ท่องโลกอินเตอร์เน็ต ไม่เคยเปิดเว็บไซต์ ?” อย่างน้อยหากเราต้องการค้นหาข้อมูลก็ต้องเปิดเว็บค้นหาที่คุ้นเคย เช่น google หรือ yahoo ในโลกยุคดิจิตอลนั้น เว็บไซต์ถือเป็นหัวใจของการท่องเน็ต เราสามารถใช้งานซอฟต์แวร์ต่างๆ ได้ผ่านเว็บไซต์ แทบไม่ต้องลงโปรแกรมให้ยุ่งยาก หากเชื่อมต่ออินเตอร์เน็ตได้ก็สามารถทำสิ่งต่างๆ มากมายผ่านเว็บไซต์ ทว่าเว็บไซต์ที่เราเข้าเยี่ยมชมในแต่ละวันนั้น จะทราบได้อย่างไรว่า “เว็บใดเหมาะสม / ไม่เหมาะสม?”

เกณฑ์การประเมินเว็บไซต์ คงไม่มีรูปแบบแน่นอนตายตัว ขึ้นอยู่กับคุณธรรมและสามัญสำนึกของผู้ใช้งานเป็นสำคัญ ตระหนักคิดด้วยวิจารณญาณว่าเว็บไซต์ที่ไปเยือน ณ เวลานั้นผิดศีลธรรม ประเพณีวัฒนธรรม หรือดูหมิ่นบุคคลอื่นอย่างไม่มีเหตุผลหรือไม่ เป็นเว็บไซต์ที่แฝงภัยคุกคามหรือไม่ ผมขอหยิบยกข้อมูลสถิติจาก สบทร. (truehits) มาเสริมว่า สถิติการเข้าเยี่ยมชมเว็บไซด์ในวันที่ผมได้เขียนบทความนี้อยู่ที่ 3,993,403 เครื่องที่เปิดเว็บ และจากการสำรวจการใช้บริการเว็บแบ่งประเภทได้เป็น เว็บ Blog, เว็บบอร์ด, เว็บที่ใช้ในการ upload/download, เว็บเผยแพร่วิดีโอ,เว็บหน่วยงาน/ห้างร้าน/บริษัท, เว็บที่เกี่ยวกับการซื้อขายสินค้าทางอินเตอร์เน็ต (E-commerce), เว็บ Social Network ฯลฯ ในขณะที่เว็บไซต์ไม่เหมาะสม และภัยคุกคามที่เกิดจากเว็บไซต์นั้นมีสถิติเพิ่มสูงขึ้นทุกปี ในอัตราปีละ 2 เท่า แสดงให้เห็นว่าภัยคุกคามทางเว็บไซต์แปรผันตรงกับปริมาณเว็บไซต์ที่เพิ่มจำนวนขึ้น…เป็นเงาตามตัว จึงขอนำเสนอแนวทางเฝ้าระวังภัยคุกคามทางเว็บไซต์ และปิดกั้นเว็บไซต์ที่มีเนื้อหาไม่เหมาะสม ให้ได้รับทราบกัน ทั้งในมุมมองระดับองค์กร (P1) และระดับผู้ให้บริการอินเตอร์เน็ต (P2)

เหตุผลหลักที่ต้องมีระบบเฝ้าระวังทางเว็บไซต์
ภัยคุกคามที่เกิดขึ้นบนโลกอินเตอร์เน็ตมักเกิดจากพฤติกรรมการใช้งานของผู้ใช้เอง โดยภัยส่วนใหญ่เกิดขึ้นบนเว็บไซต์ สามารถแบ่งประเภทภัยคุกคามที่เกิดขึ้นบนเว็บไซต์ได้ดังนี้
1. ภัยคุกคามจากเว็บไซด์หลอกลวง ได้แก่
Phishing Web เว็บที่มีการหลอกให้ทำธุรกรรมออนไลน์ เพื่อดักข้อมูลในการกรอกค่า User ID และ Password ซึ่งมักจะตั้งชื่อ URL หรือ Domain name ใกล้เคียงกับเว็บไซต์จริง อาศัยความเข้าใจผิด/ความไม่รู้ของผู้ใช้งานเป็นเครื่องมือ เมื่อดักข้อมูลได้ ก็จะนำ User ID ของเหยื่อไปใช้ทำธุรกรรมออนไลน์ เป็นต้น ผู้เสียหายจากภัยลักษณะนี้คือบุคคลทั่วไปที่รู้เท่าไม่ถึงการณ์ และผู้ให้บริการเว็บไซต์ ซึ่งส่วนใหญ่เป็นธนาคาร, เว็บ E-commerce ที่มีบริการธุรกรรมออนไลน์

เว็บหลอกลวง ที่อาศัยความต้องการของผู้ใช้งานเป็นเหยื่อล่อ อันที่จริงอาจเรียกรวมกับกลุ่ม Phishing Web ได้เช่นกัน โดยเป็นการหลอกหลวงในส่วนอื่นๆ ที่ไม่ใช่การทำธุรกรรมออนไลน์ เช่น หลอกให้ผู้ใช้งาน download โปรแกรมไม่พึงประสงค์ ที่มีคุณสมบัติในการดักข้อมูล เช่น โปรแกรม Key Logger สาเหตุอาจเกิดจากผู้ใช้งานไม่ได้กลั่นกรองข้อมูลให้ดีเสียก่อน จึงตกเป็นเหยื่อของเนื้อหาชวนเชื่อ จำพวกยาลดความอ้วน, งานที่ได้รับค่าตอบแทนสูงเกินปกติ, โปรแกรม crack serial no., กลโกงเกมส์ เป็นต้น

2. ภัยคุกคามจากเว็บที่มีเนื้อหาไม่เหมาะสม ได้แก่
– เว็บไซต์ลามกอนาจาร
– เว็บไซต์พนัน
– เว็บข้อมูลขยะ เช่น เว็บบอร์ดที่มี Botnet มาตั้งศูนย์ส่งข้อมูลชวนเชื่อ โดยเฉพาะเว็บบอร์ดที่ขาดระบบรักษาความปลอดภัยที่ดี เช่น โฆษณาขายสินค้า ขายยา ขายบริการต่างๆ
– เว็บไซต์ที่มีเนื้อหากระทบความมั่นคงของชาติ ซึ่งอาจเข้าข่ายหมิ่นสถาบันชาติ ศาสนา และพระมหากษัตริย์ ซึ่งเป็นที่รักยิ่งของคนไทย

3. ภัยคุกคามที่เกิดจากเว็บเครือข่ายสังคม ได้แก่
– เว็บเกมส์ออนไลน์
– เว็บ Social Network เช่น Hi5, Facebook ในส่วนนี้อาจเชื่อมกับภัยคุกคามจากการหลอกลวงในรูปแบบอื่นได้ เช่น การขายบริการทางเพศ, การสอนเสพยาเสพติด ดังที่พบเห็นเป็นข่าวเมื่อเร็วๆ นี้
การป้องกันภัยในส่วนนี้ควรกระทำควบคู่กับการให้คำแนะนำ และควบคุมพฤติกรรมเยาวชน เพื่อป้องกันปัญหาที่อาจเกิดขึ้นกับสังคม

ช่วงเวลานี้หลายฝ่ายคงคิดหาทางป้องกันเว็บไซต์ที่ไม่เหมาะสมในประเทศไทย เพื่อป้องกันปัญหาดังที่กล่าวข้างต้น ประเด็นหนึ่งที่เด่นชัดและเป็นที่ถกเถียงกัน คือ การปิดกั้นเว็บไซด์ไม่ใช่คำตอบสุดท้าย เพราะไม่ใช่ทางออกที่ดีที่สุด โดยเฉพาะกับงานสืบสวนสอบสวนแล้ว ไม่ถือว่าเหมาะสมนัก เนื่องจากเราจะไม่อาจหาข้อมูลแหล่งที่มาของผู้กระทำความผิดได้เลย

จุดประสงค์ของการเฝ้าระวังเว็บไซต์ไม่เหมาะสม มี 3 ข้อใหญ่ คือ
1. ต้องการทราบไอพีต้นทาง ที่เปิดเว็บไซต์ไม่เหมาะสม โดยระบุไอพีต้นทาง, ไอพีปลายทาง, ชื่อ ISP, ชื่อบริษัทหรือตำแหน่ง (Location) ที่ตั้งของผู้เปิดเว็บไซต์ไม่เหมาะสม
2. ต้องการทราบเนื้อหาที่ก่อให้เกิดความเสียหายต่อสถาบันหลักในประเทศ
3. ต้องไม่ส่งผลกระทบต่อเครือข่ายที่ทำการติดตั้งระบบ และไม่ไปเกี่ยวข้องกับค่าองค์ประกอบสำคัญของระบบเครือข่าย (Configuration)
เมื่อแน่ใจแล้วว่าเป็นเว็บไซต์ที่ไม่เหมาะสมจริง จากการพิสูจน์หาหลักฐานและแหล่งที่มาต่างๆ แล้ว จึงจะทำการส่งข้อมูลไปยังระบบปิดกั้น (Web Filtering) ซึ่งรูปแบบนี้ผมขอขยายความเพื่อเป็นประโยชน์ในการจัดทำระบบดังกล่าวให้เกิดขึ้นได้จริง ทั้งในระดับเครือข่ายองค์กรทั่วไป และเครือข่ายระดับประเทศ

ในระดับเครือข่ายทั่วไป เช่น บริษัท ห้างร้าน เครือข่ายขนาดเล็ก และเครือข่ายขนาดกลาง หรือตามสาขา เป็นต้น เมื่อต้องการปิดกั้นเว็บไซต์ไม่เหมาะสมเพื่อให้พนักงานใช้ช่วงเวลาทำงานให้เกิดประสิทธิภาพสูงสุด และเก็บบันทึกข้อมูลหลักฐานที่สืบค้นได้ เพื่อเป็นประโยชน์ในการเก็บสถิติและประเมินพฤติกรรมการใช้งานอินเตอร์เน็ตในองค์กร

ในระดับประเทศ หรือในระดับผู้ให้บริการอินเตอร์เน็ต ประโยชน์ที่ได้รับคือหลักฐานประกอบคดี เพื่อใช้สืบหาผู้กระทำความผิด

เทคนิคการทำ URL Tracking สามารถแบ่งออกได้ 3 วิธีหลักๆ คือ
1. วิธีรับ Log จากเว็บไซต์นั้นๆ คล้ายกับเทคนิคเว็บสถิติ ซึ่งใกล้เคียงกับ SRAN Data Safehouse ที่เป็นเว็บสถิติ เก็บบันทึก Log File สำหรับเว็บไซต์ และตรวจสอบความมั่นคงปลอดภัยของเว็บไซต์ ดูรายละเอียดเพิ่มเติมที่ www.datasafehouse.net
วิธีนี้จะได้รับข้อมูลที่ละเอียด สามารถตรวจสอบได้ว่าใครเข้าใช้บริการที่หน้าเพจใด เมื่อใด ใช้ระบบอะไรเพื่อเรียกใช้บริการ รวมถึงมาจากเว็บไซต์ หรือเว็บค้นหาใด ด้วยคำค้นหาอะไร
โดยรวมวิธีการนี้เป็นวิธีที่ดี ติดตรงที่จะสามารถดู URL Tracking ได้ก็ต่อเมื่อเจ้าของเว็บไซต์นั้นๆ ต้องให้ความร่วมมือติด Script ในแต่ละหน้าเพจ บนเว็บไซต์ หากเป็นระดับองค์กร วิธีนี้ไม่มีปัญหา และเป็นประโยชน์ต่อเว็บไซต์ของบริษัทหรือหน่วยงาน แต่หากเป็นระดับประเทศ หรือระดับผู้ให้บริการอินเตอร์เน็ตแล้ว จะต้องติดระบบนี้กับลูกค้า หรือผู้ใช้บริการทั้งหมด จึงจะสร้างระบบ URL Tracking ได้บรรลุจุดมุ่งหมาย ซึ่งในความเป็นจริงแล้ว วิธีนี้จะไม่ประสบผลสำเร็จ หากไม่ได้รับความร่วมมือจากผู้ใช้บริการ

2. วิธีติดตั้งระบบ Caching หรือระบบ Web Proxy Caching เป็นการติดตั้งในระดับเครือข่ายคอมพิวเตอร์ (Network) ซึ่งเป็นที่นิยมในระดับองค์กร แต่ไม่เหมาะนักกับการติดตั้งในระดับประเทศหรือระดับผู้ให้บริการอินเตอร์เน็ต ข้อดีของวิธีนี้คือทำให้การเปิดเว็บซ้ำเดิม ทำได้เร็วขึ้น เพราะมีข้อมูลใน Caching สามารถสืบค้นข้อมูลได้ หากมีระบบเสริมเช่นการโยนข้อมูลไปยัง Syslog Server จะช่วยเสริมการสืบค้นขึ้นอีกขั้น ส่วนที่กล่าวว่าอาจไม่เหมาะกับเครือข่ายระดับประเทศ หรือระดับผู้ให้บริการอินเตอร์เน็ตนั้น เนื่องจากการติดตั้งระบบนี้ส่งผลกระทบกับระบบเครือข่ายหลัก และเครือข่ายเดิม จึงต้องออกแบบเป็นอย่างดีมิเช่นนั้นข้อมูลมหาศาลที่วิ่งผ่านระบบ Caching อาจทำให้ความเร็วของเครือข่ายผู้ให้บริการเกิดความล่าช้ามากกว่าก่อนติดตั้ง นอกจากนี้วิธีการสืบค้นยังต้องอาศัยเทคโนโลยีการรับค่า syslog จาก Web Proxy Caching โดยทั่วไปหากขาดการออกแบบที่ดี Syslog Server ที่รับค่ามาจะเนื้อที่ความจุจำกัดมาก และใช้งานไม่ได้ตามวัตถุประสงค์ที่ต้องการ

3. วิธีเฝ้าระวังด้วยอุปกรณ์ตรวจจับผู้บุกรุก ซึ่งต้องนำ Network Intrusion Detection System มาประยุกต์ใช้ โดยติดตั้งตามโหนดต่างๆ ของผู้ให้บริการอินเตอร์เน็ต หากเป็นระดับองค์กรก็ต้องมี Switch ที่ทำการ Mirror port ได้ หรืออาจนำอุปกรณ์ TAP มาใช้ ส่วนในระดับประเทศ หรือระดับผู้ให้บริการอินเตอร์เน็ต ต้องอาศัย Switch Aggregation ทำการกระจายโหลดไปยังอุปกรณ์เฝ้าระวังภัยเพื่อรองรับข้อมูลที่รับส่งได้ ซึ่งเป็นวิธีที่มีผลกระทบกับระบบเครือข่ายเดิมน้อยที่สุด โดยต้องดัดแปลงระบบตรวจจับผู้บุกรุกให้มาเฝ้าระวังข้อมูลผ่านทางเว็บไซต์ วิธีการนี้จะใกล้เคียงกับอุปกรณ์ SRAN Security Center ที่เป็น Appliance Box เฝ้าระวังภัยคุกคามและเก็บบันทึกข้อมูลในเครือข่ายสารสนเทศ โดย SRAN Security Center ตรวจจับหลาย Protocol ในขณะที่วิธีการนี้ตรวจลักษณะของ HTTP และ HTTPS Protocol แทน

เทคนิคการปิดกั้นเว็บไซด์ (Web Filtering) แบ่งออกเป็น 3 วิธี คือ
1. ปิดกั้น Domain ทั้งหมด เทคนิคนี้ซับซ้อนน้อยที่สุด ทำโดยเพิ่มค่า Blacklist domain ใน DNS Server ทั้งในระดับเครือข่ายองค์กร และเครือข่ายระดับประเทศ หรือเครือข่ายผู้ให้บริการอินเตอร์เน็ต หาก URL เป็น IP Address ก็สามารถปิดกั้นได้ผ่านอุปกรณ์ Router เทคนิคนี้ทำได้สะดวก และ ISP ได้รับผลกระทบค่อนข้างน้อย แต่ในมุมของผู้ใช้งานแล้ว ไม่ใคร่พอใจนัก เช่นเดียวกับกรณี Block ทั้ง domain ของเว็บ www.youtube.com ซึ่งได้เสียงตอบรับกลับมาในแง่ลบมากกว่าบวก

2. ปิดกั้น URL ส่วนนี้ต้องอาศัยการติดตั้งเทคโนโลยีเสริม ซึ่งอาจแบ่งเทคนิคได้ดังนี้
2.1 ระบบ Web Proxy Caching ที่สามารถตั้ง Rule Base ในการใส่ค่า Blacklist URL ที่ไม่เหมาะสมลงไปได้ ซึ่งส่วนใหญ่ต้องออกแบบให้เหมาะสม เช่น ต้องติดตั้งแบบ Transparent mode หรือ in-line mode และส่วนใหญ่ต้องอาศัยซอฟต์แวร์เสริมในการปิดกั้นเว็บไซต์ในระดับ URL
2.2 ระบบ Firewall ที่เป็นระดับ Application Firewall โดยทั่วไปติดตั้งเป็น Gateway หลัก เทคนิคนี้ก็สามารถป้องกัน URL ที่ไม่เหมาะสมได้
2.3 ระบบ Network Intrusion Prevention System (NIPS) ส่วนนี้สามารถปิดกั้น URL ที่ไม่เหมาะสม และลงลึกถึงระดับเนื้อหาใน URL ได้ เป็นเทคนิคที่ลงลึกถึงการปิดกั้นเนื้อหาบนเว็บไซต์ที่ผู้ใช้งานเรียกใช้ได้ ซึ่งถือเป็นเทคนิคที่ละเอียดที่สุด แต่มีผลกระทบต่อระบบเครือข่ายและบางครั้งอาจเกิดความเข้าใจผิดในเนื้อหา อย่างไรก็ดีเทคนิคนี้ต้องอาศัย “คน” ในการวิเคราะห์และสั่งปิดกั้น URL
2.4 ระบบ TCP Hijack เป็นการ Hijack session ในการเรียกเปิดเว็บไซต์จากผู้ใช้บริการ ซึ่งสามารถปิดกั้น Blacklist URL ที่มีในฐานข้อมูลได้
เทคนิคในข้อ 2.1 – 2.4 สามารถใช้ในระดับเครือข่ายในองค์กรได้ แต่ในระดับประเทศ หรือระดับเครือข่ายผู้ให้บริการนั้น เทคนิค 2.2 และ 2.3 อาจไม่เหมาะสม ส่วนเทคนิค 2.1 ต้องอาศัยเทคโนโลยีอื่นมาช่วยในการสืบค้นข้อมูล
เทคนิคในข้อ 2.1 และ 2.3 หากติดตั้งแบบ Transparent หรือ In-line และกำหนดวง IP ภายในจึงจะเข้าถึงระบบดังกล่าว และป้องกันการโจมตีจากไอพีภายนอกได้ เนื่องจากจะไม่มีทางพบ Real IP Address ส่วนการป้องกันภายในเครือข่ายนั้นต้องอาศัยนโยบายด้านความปลอดภัยมาควบคุมผู้เข้าถึงระบบนี้อีกชั้นหนึ่ง เพื่อเพิ่มความมั่นคงปลอดภัย

3. ปิดกั้นเนื้อหาบนเว็บไซต์ที่ไม่เหมาะสม แบ่งได้ 2 แบบดังนี้
3.1 ปิดกั้นได้เองโดยไม่ต้องพึ่งพาเทคโนโลยีอื่น มีเทคนิคเดียวคือต้องใช้ NIPS ซึ่งเทคนิคนี้หากตั้ง Blakclist ไว้จำนวนมากอาจส่งผลให้เกิดคอขวดในระบบเครือข่ายได้ แต่สำหรับหน่วยงาน/องค์กรขนาดกลางและเล็ก สามารถใช้เทคนิคนี้ได้โดยไม่เกิดผลกระทบมากนัก
3.2 ปิดกั้นได้แต่ต้องอาศัยเทคโนโลยีอื่น เช่น ระบบ Web Proxy Caching ที่ส่งข้อมูลไปวิเคราะห์ที่ระบบ Syslog Server ที่ทำการเปรียบเทียบเหตุการณ์เชิงวิเคราะห์ (Correlation Event) ได้ โดยทั่วไปเรียกระบบนี้ว่า SEM (Security Event Management)ซึ่งนำมาใช้เสริมกับเทคโนโลยี Web Proxy Caching เมื่อผ่านการวิเคราะห์ทั้งทางเทคโนโลยีและคนแล้ว ก็เพิ่ม Rule base ใน Web Proxy Caching เพื่อทำการปิดกั้นเนื้อหาที่ไม่เหมาะสมนั้น ซึ่งจะปิดกั้นได้ก็ต่อเมื่อจุดติดตั้ง Web Proxy Caching นั้นต้องเป็นการติดตั้งแบบ in-line หรือ Trasparent เท่านั้น
อีกเทคนิคหนึ่งคือใช้ NIDS (Network Intrusion Detection System) ร่วมกับเทคนิค TCP Hijack Server และอาศัยความสามารถบน Core Switch ในการเลือก Protocol ส่ง หากตรงกับค่าในฐานข้อมูล ก็ทำการปิดกั้นเนื้อหาในเว็บไซต์นั้นได้ ซึ่งจะสำเร็จผลหรือไม่นั้นขึ้นกับการตั้งค่า NIDS ในการตรวจจับเนื้อหาที่เพิ่มลงไป

บทสรุปในเชิงเทคนิคนั้น งานนี้ไม่ง่ายและไม่สำเร็จรูป ต้องอาศัยทีมงานที่มีความเข้าใจการไหลเวียนข้อมูลบนระบบเครือข่ายเป็นอย่างดี และสามารถปรับแต่งข้อมูลในการตรวจจับได้ ทั้งนี้การปิดกั้นเว็บไซต์ หากไม่ต้องการให้กระทบกับผู้ใช้งาน และผู้ให้บริการแล้ว ต้องทำบนระบบเครือข่าย (Network)เท่านั้น เนื่องจากวิธีการอื่น ต้องอาศัยซอฟต์แวร์ลงในระดับเครื่องคอมพิวเตอร์ผู้ใช้งาน ซึ่งต้องได้รับการยินยอมและความร่วมมือจากผู้ใช้งานเป็นหลัก หากมองในระดับประเทศแล้วคงกระทำได้ยาก

ทีมพัฒนา SRAN เล็งเห็นว่าการเฝ้าระวังภัยเว็บไซต์บนระบบเครือข่ายอินเตอร์เน็ตนั้นมีความสำคัญ และเพื่อตอบสนองวัตถุประสงค์ของการเฝ้าระวังภัยคุกคามที่เกิดจากการใช้งานเว็บไซต์ จึงได้พัฒนาระบบ “Web Monitoring Sensor” ขึ้น เพื่อตรวจการใช้งานเว็บไซต์ในระดับเครือข่ายคอมพิวเตอร์ หากติดตั้งระบบนี้ในระดับเครือข่ายองค์กร ก็สามารถติดตั้งตามทางเข้า-ออกเครือข่าย หรือจุดที่มีการเชื่อมต่ออินเตอร์เน็ต หลักๆ ก็คือติดที่ Core Switch ขององค์กร โดยใช้อุปกรณ์เสริมมาช่วย เช่น Switch mirror port หรือ อุปกรณ์ TAP เช่น อุปกรณ์ iTAP ของบริษัท Netoptics เป็นต้น
ในระดับเครือข่ายผู้ให้บริการ ก็ติดตั้งได้หลายรูปแบบ โดยติดตั้งตามโหนดต่างๆ , ตาม Core Switch หลัก, จุดเชื่อมต่อที่ส่งข้อมูลออกไปทาง Router หลัก เป็นต้น

P 3 : ภาพอุปกรณ์ Web Monitoring Sesor 1 ระบบที่ติดตั้งใน Data Center

เทคโนโลยี SRAN Web Monitoring Sensor มีคุณสมบัติเด่นที่เปรียบเสมือนกล้องวงจรปิด หากติดตั้งในระดับเครือข่ายขนาดใหญ่ที่มีช่องทางเชื่อมต่ออินเตอร์เน็ตหลายช่องทาง ก็ควรติดตั้งให้ครบเพื่อช่วยเฝ้าระวังการใช้งานอินเตอร์เน็ต/เว็บไซต์ ได้อย่างเหมาะสม ในเรื่องการออกแบบจะมองไปที่การติดตั้งตาม Switch เป็นหลัก ด้วยวิธีนี้จะทำให้การค้นหาไอพีต้นทาง สะดวกรวดเร็วยิ่งขึ้น ทั้งยังสามารถเรียกดูข้อมูลประวัติการใช้งานไอพีที่ต้องสงสัยได้อีกด้วย

P : 4 แสดงผลการเปิดเว็บ และโพสต์เว็บ เป็นรายชั่วโมงในหนึ่งวัน โดยระบบ SRAN Web Monitoring Sensor

ข้อมูลบน SRAN Web Monitoring Sensor บอกลักษณะการบันทึกข้อมูลตามห่วงโซ่เหตุการณ์, IP ต้นทางที่ทำการเปิดเว็บ หรือโพสต์เว็บ, ชื่อบริษัท/หน่วยงาน, ตำแหน่งที่ตั้ง และชื่อเมือง รวมถึง URL ปลายทาง

P : 5 แสดงผลจากข้อมูลที่ถูกบันทึกไว้ นำมาหาพิกัดที่ตั้ง ระบุไอพีต้นทาง ชื่อสถานที่ของผู้เข้าเยี่ยมชมเว็บไซต์
จะเห็นว่าหน้า Theme ของระบบ SRAN Web Monitoring Sensor นั้นจะใกล้เคียงกับ Theme ของ SRAN Data Safehouse ต่างกันตรงที่ SRAN Web Monitoring Sensor ไม่จำเป็นต้องติดตั้ง script บนเว็บไซต์ เหมือน Data Safehouse แต่สามารถดูข้อมูลจราจร (Traffic Data) ผ่านระบบเครือข่ายคอมพิวเตอร์ได้ทันที

จากประสบการณ์การพัฒนาผลิตภัณฑ์ระบบรักษาความปลอดภัยข้อมูลสารสนเทศ ตลอดระยะเวลา 7 ปี ทำให้ทีมพัฒนา SRAN ได้ออกแบบ Interface ระบบนี้ให้เข้าใจ และแสดงผลลัพธ์ที่พบในหน้าเดียว ซึ่งสามารถคลิกค่าข้อมูลประกอบเหตุผลได้เป็นชั้นๆ ผู้ใช้งานไม่จำเป็นต้องเป็นผู้เชี่ยวชาญก็สามารถหาข้อมูลที่ไม่พึงประสงค์ พร้อมระบุไอพีต้นทางได้แม่นยำยิ่งกว่าเดิม

นนทวรรธนะ สาระมาน
Nontawattana Saraman
9/02/2552

Malware คืออะไร


“Malware คือความไม่ปกติทางโปรแกรมมิ่ง ที่สูญเสีย C (Confidentiality) I (Integrity) และ A (Availability) อย่างใดอย่างหนึ่ง หรือ ทั้งหมด จนทำให้เกิดเป็น Virus , Worm , Trojan , Spyware , Backdoor และ Rootkit”

สูญเสีย C (Confidentiality) คือ สูญเสียความลับทางข้อมูล
สูญเสีย I (Integrity) คือ สูญเสียความไม่เปลี่ยนแปลงของข้อมูล นั่นคือ ข้อมูลถูกเปลี่ยนแปลงแก้ไข โดยเฉพาะส่วนสำคัญที่เกี่ยวโยงกับระบบภายในระบบปฏิบัติการ
สูญเสีย A (Availability) คือ สูญเสียความเสรียฐภาพของระบบปฏิบัติ

เมื่อมีความไม่ปกติซึ่งอาจเกิดจาก
Virus Computer คือ โปรแกรมที่ไม่พึ่งประสงค์ที่บ่อนทำลายเฉพาะเครื่องทำให้เครื่องคอมพิวเตอร์ทำงานผิดปกติ
Worm คือ โปรแกรมที่ไม่พึ่งประสงค์ที่บ่อนทำลายเครื่องคอมพิวเตอร์ ที่มีการเชื่อมต่อทางระบบเครือข่าย ทางอินเตอร์เน็ต ย่อมทำให้มีการติดเชื้อและแพร่กระจายไปตามมีเดียอื่นๆได้ จะทำให้เครื่องคอมพิวเตอร์ทำงานผิดปกติจากเดิม
Trojan/Backdoor คือ ช่องทางลัดที่เกิดจากช่องโหว่ของระบบ ซึ่งช่องทางลัดนี้จะทำให้ผู้ที่ไม่มีสิทธิเข้าถึงระบบ / เครื่องคอมพิวเตอร์ สามารถเข้าถึงได้เพื่อใช้สอยทรัพยากรเครื่องนั้นเพื่อการใดการหนึ่ง สองศัพท์นี้มีความหมายคล้ายคลึงกัน เพียง backdoor ต้องดูที่เจตนา โดยทั่วไปแล้ว backdoor อาจจะเกิดจากความตั้งใจของผู้ดูแลระบบ เพื่อสร้างช่องทางลัดเข้าสู่ระบบเองก็ได้ ส่วน Trojan มักเป็นเจตนาไม่ดีที่เกิดจากความบกพร่องที่เกิดจากความรู้เท่าไม่ถึงการณ์ของผู้ที่ได้รับ Trojan

โปรแกรมที่มีความไม่ปกติเหล่านี้ ต้องอาศัยตัวนำทาง เพื่อต่อยอดความเสียหาย และยากแก่การควบคุมมากขึ้น ตัวนำ ที่ว่า นั่นคือ Botnet นี้เอง
Botnet เกิดจาก เครื่องคอมพิวเตอร์ ที่ตกเป็นเหยื่อหลายๆ เครื่องเพื่อทำการใด การหนึ่ง ที่ก่อให้เกิดความเสียหายทางข้อมูล บนเครือข่ายคอมพิวเตอร์ได้ คอมพิวเตอร์ที่เป็นเหยือ เพียง เครื่องเดียว เรียกว่า Zombie ซึ่ง Zombie หลายตัว รวมกันเรียก Botnet

สะพานเชื่อมภัยคุกคามทางเครือข่ายคอมพิวเตอร์ คือ Botnet นั้นเอง

Botnet ทำให้เกิดภัยคุกคามที่ไม่สามารถเกิดขึ้นเองได้ตามลำพัง
ภัยคุกคามที่ไม่สามารถเกิดขึ้นเองได้ตามลำพัง ได้แก่ Spam (อีเมล์ขยะ) คือ ข้อมูลที่ไม่พึ่งประสงค์ ซึ่งผู้ได้รับไม่มีความต้องการได้ข้อมูลนี้ทั้งทางอ้อมและทางตรง ในช่วงเวลานั้น,
DoS/DDoS (Denial of Services) คือ การโจมตีเพื่อทำให้เครื่องปลายทางหยุดการทำงานหรือสูญเสียความเสรียฐภาพ ,
และ Phishing คือ การหลอกหลวงทางสื่ออิเล็กทรอนิกส์ ที่พบบ่อยคือ เว็บไซด์ที่สร้างเพื่อหลอกเหยื่อให้หลงเชื่อว่าเป็นเรื่องจริงและเหยื่อได้ป้อนข้อมูลส่วนตัวเข้าเว็บที่ทำการหลอกหลวงนั้นทำให้ได้ข้อมูลโดยมิชอบไป

ภัยคุกคามดังกล่าวต้องอาศัย “คน” ที่อยู่เบื้องหลังการก่อกวนในครั้งนี้ เป็นผู้บังคับ
เมื่อคนที่รู้เท่าไม่ถึงการณ์ ติด โปรแกรมที่ไม่ปกติ(Malware) จึงทำให้เกิด Zombie
คนรู้เท่าไม่ถึงการณ์ ที่ติด Malware จำนวนมาก กลายเป็น กองทัพ Botnet

 
นนทวรรธนะ สาระมาน
Nontawattana Saraman

Prachachart Thurakit “SRAN Wall” ป้องกันภัยไอที

หนังสือพิมพ์ Prachachart Thurakit “SRAN Wall” ป้องกันภัยไอที
วันที่ 2 ธันวาคม 2551 หน้า 30

บายเออร์ไกด์ SRAN Wall ป้องกันภัยไอที โกลบอลเทคโนโลยี อินทิเกรเทด ผู้พัฒนาระบบเฝ้าภัยคุกคามเครือข่ายสารสนเทศ “SRAN” เปิดตัวผลิตภัณฑ์ ใหม่ “SRAN Wall” อุปกรณ์ควบคุมการเช้าใช้งานระบบเพื่อเพิ่มประสิทธิภาพและความปลอดภัยในการใช้งานเครือข่ายสารสนเทศ ซึ่งทำหน้าที่หลักคือควบคุมการใช้งานแบนด์วิดท์และสิทธิการใช้งานตามช่วงเวลาลักษณะข้อมูลหรือแอปพลิเคชั่นและดูแลความปลอดภัยในการเชื่อมต่อระยะไกลทางอินเทอร์เตอร์ รวมทั้งเป็นเกตเวย์ที่อนุญาตให้เข้าสู่ระบบเฉพาะเครื่องคอมพิวเตอร์ที่มีสิทธิใช้งานตามรายชื่อที่กำหนดไว้เท่านั้น

พระจันทร์ยิ้ม

ระหว่างสถานการณ์อลวลจากปัญหาการเมืองประเทศไทย ไม่ว่าใครก็มีรอยยิ้มเหมือนกันหมดเมื่อได้เห็นปรากฏการณ์ธรรมชาติเหนือท้องฟ้ายามค่ำคืนที่ผ่านมา ปรากฏการณ์นี้เรียกว่าพระจันทร์ยิ้ม

จากข้อมูลสถาบันวิจัยดาราศาสตร์

ปรากฏการณ์ดวงจันทร์ ดาวศุกร์และดาวพฤหัสบดีอยู่ใกล้กัน

สถาบันวิจัยดาราศาสตร์แห่งชาติเชิญชวนประชาชนผู้ที่สนใจรวมทั้งผู้ที่รักในกิจกรรมดูดาวชมปรากฏการณ์ดวงจันทร์ ดาวศุกร์และดาวพฤหัสบดีอยู่ใกล้กัน ซึ่งจะปรากฏให้เห็นในช่วงหัวค่ำของวันจันทร์ที่ 1 ธันวาคม 2551 ทางทิศตะวันตกเฉียงใต้ ซึ่งปรากฏการณ์สำคัญทางดาราศาสตร์ดังกล่าวจะเกิดขึ้นและหาชมได้ยาก

สำหรับปรากฏการณ์ดวงจันทร์ ดาวศุกร์และดาวพฤหัสบดีอยู่ใกล้กันนี้ คือ การที่เราจะสามารถมองเห็นวัตถุท้องฟ้า 3 วัตถุที่สว่างที่สุดยามค่ำคืน ได้แก่ ดวงจันทร์ ดาวศุกร์ และดาวพฤหัสบดีมาชุมนุมกัน โดยดาวศุกร์และดาวพฤหัสบดีจะอยู่ห่างกันเพียง 2 องศา ส่วนดวงจันทร์จะปรากฏเป็นเสี้ยว (ขึ้น 4 ค่ำ) และหันด้านมืดเข้าหาดาวเคราะห์ทั้งสองพอดี ดังนั้นปรากฏการณ์ในครั้งนี้จึงเป็นภาพที่น่าสนใจและหาชมได้ไม่บ่อยนัก


ภาพพระจันทร์ยิ้มบนท้องฟ้า ณ ที่บ้าน เมืองไทย

แล้วท้องฟ้าอีกซีกโลกล่ะ จะเห็นเหมือนเราไหม ค้นหาข้อมูลมาให้ ที่อเมริกา มองเห็นตรงข้ามกับเรา

ภาพเป็นแบบนี้ ไม่รู้ว่าจะตีความว่าอย่างไร ?

นำเพลงโบราณ แต่เนื้อหายังทันสมัยเสมอ ชื่อเพลงสามัคคีชุมนุม


คำร้อง เจ้าพระยาพระเสด็จสุเรนทราธิบดี (หม่อมราชวงศ์เปีย มาลากุล ณ อยุธยา)
ทำนอง Auld Lang Syne
รูปท้องพระจันทร์อีกซีกโลก นำมาจาก http://www.pantip.com/cafe/klaibann/topic/H7275190/H7275190.html

นนทวรรธนะ สาระมาน
Nontawattana Saraman

อย่าเห็นแก่ตัว


เราเคยสังเกตพระพุทธรูป บ้างไหมว่าทำไมเศียร (หัว) ต้องแหลม หูต้องยาว และตาต้องมองต่ำ ?
พุทธลักษณะ 3 ประการ
เศียรต้องแหลม หมายถึง ต้องมีสติความคิดเพื่อกลั่นกรองข้อมูล
หูต้องยาว ทำให้หนัก หมายถึง ไม่หูเบา หลงเชื่ออะไรง่ายๆ
ตามองต่ำ หมายถึง สำรวจตนเองก่อน มองผิดชอบชั่วดีที่ตัวเองก่อน
เป็นภูมิปัญญาคนโบราณที่ทำไว้สอนให้คนรุ่นหลังอย่างเรา

รายการสามหมออารมณ์ดี ตอน Smoke Gets in your eye เมื่อควันเข้าตา คลื่น FM 96.5

นนทวรรธนะ สาระมาน
Nontawattana Saraman

เทคโนโลยีเพื่อความปลอดภัยข้อมูล ปี 2009

ภัยคุกคามที่น่าจะเกิดขึ้นในปี 2552 ก็คงไม่ต่างจากปี 2551 นัก แต่จะมีเทคนิคใหม่ เพิ่มความสลับซับซ้อนขึ้น และการสื่อสารที่หลากหลายในช่องทางเข้าถึงข้อมูลมากขึ้น โดยเฉพาะเรื่อง Personal Mobile Devices ที่ใช้มือถือเชื่อมต่อข้อมูลทางอินเตอร์เน็ต จะมีการใช้ซอฟต์แวร์ต่างๆ ผ่านเว็บแอพพลิเคชั่นมากขึ้น ในรูปแบบที่เรียกว่า Zombie หรือ “ผีดิบซอฟต์แวร์” จำนวนมาก ซึ่งในอนาคตผีดิบพวกนี้จะมาจากมือถือด้วย จึงทำให้จำนวนผีดิบที่มากขึ้นเรียกว่า Botnet เพื่อใช้ประโยชน์ในการโจมตีระบบเช่น DDoS/DoS ส่งผลให้เป้าหมายไม่สามารถปฏิบัติงานได้ หรือเพื่อส่งข้อมูลขยะอันไม่พึงประสงค์ (Spam) รวมถึงการหลอกลวงผ่านสื่ออินเตอร์เน็ต (Phishing) ซึ่งพุ่งเป้าโจมตีมาที่ผู้ใช้งาน (End-user) โดยอาศัยความรู้เท่าไม่ถึงการณ์ของผู้ใช้งานทั่วไปเป็นเครื่องมือ สิ่งเหล่านี้ป้องกันได้หากรู้เท่าทันภัยคุกคามดังกล่าว…โดยเริ่มต้นจากตัวเราเอง

เทคโนโลยีเพื่อความปลอดภัยข้อมูล ปี 2009 มีดังนี้
1. เทคโนโลยี Two-Factor Authentication ปัจจุบันการระบุตัวตนในโลกอินเตอร์เน็ต ส่วนใหญ่ใช้เพียง username และ password ซึ่งเป็นจุดอ่อนที่มิจฉาชีพอาจขโมยข้อมูลและปลอมตัวเพื่อแสวงประโยชน์ได้ (Identity Threat) เทคโนโลยีนี้จึงมีแนวโน้มเข้ามาอุดช่องโหว่ ด้วยการใช้ Token หรือ Smart card ID เข้ามาเสริมเพื่อเพิ่มปัจจัยในการพิสูจน์ตัวตน ซึ่งมีความจำเป็นโดยเฉพาะกับการทำธุรกรรมทางการเงินออนไลน์ และธุรกิจ E-Commerce

2. เทคโนโลยี Single Sign On (SSO) เข้าระบบต่างๆ ด้วยรายชื่อเดียว โดยเชื่อมทุกแอพพลิเคชั่นเข้าด้วยกัน ซึ่งมีความจำเป็นมากในยุค Social Networking ช่วยให้เราไม่ต้องจำ username / password จำนวนมาก สำหรับอีเมล์, chat, web page รวมไปถึงการใช้บริการ WiFi/Bluetooth/WiMAX/3G/802.15.4 สำหรับผู้ให้บริการเป็นต้น

3. เทคโนโลยี Cloud Computing เมื่อมีการเก็บข้อมูลและใช้งานแอพพลิเคชั่นต่างๆ มากขึ้นตามการขยายตัวของระบบงานไอที ส่งผลให้เครื่องแม่ข่ายต้องประมวลผลการทำงานขนาดใหญ่ ให้ตอบสนองความต้องการของผู้ใช้ในเวลาอันรวดเร็ว จึงมีแนวคิดเทคโนโลยี Clustering เพื่อแชร์ทรัพยากรการประมวลผลที่ทำงานพร้อมกันหลายเครื่องได้ เมื่อนำแอพพลิเคชั่นมาใช้ร่วมกับเทคนิคนี้ รวมเรียกว่า Cloud Computing ทำให้ผู้ใช้สามารถใช้งานแอพพลิเคชั่นได้รวดเร็วยิ่งขึ้น ปราศจากข้อจำกัดทางกายภาพ เข้าสู่ยุคโลกเสมือนจริงทางคอมพิวเตอร์ (visualization) เทคโนโลยีนี้ยังช่วยลดทรัพยากรของเครื่องคอมพิวเตอร์ ซึ่งถือได้ว่าเป็นไอทีที่เป็นมิตรกับสิ่งแวดล้อม (Green IT) ได้เช่นกัน

4. เทคโนโลยี Information security Compliance law โลกไอทีเจริญเติบโตไม่หยุดนิ่ง ด้วยมาตรฐานที่หลากหลาย โดยเฉพาะในด้านระบบความปลอดภัยข้อมูลสารสนเทศ จึงมีแนวโน้มจัดมาตรฐานเป็นหมวดหมู่ให้สอดคล้องกับความปลอดภัยข้อมูลในองค์กร โดยตัวเทคโนโลยีส่วนนี้จะนำ Log ที่เกิดขึ้นจากการใช้งานมาจัดเปรียบเทียบตามมาตราฐานต่างๆ เช่น ISO27001 มาตราฐานสำหรับความปลอดภัยในองค์กร , PCI / DSS สำหรับการทำธุรกรรมการเงิน, HIPAA สำหรับธุรกิจโรงพยาบาล หรือในเมืองไทยที่มีพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ขึ้น โดยมีการตั้งหลักเกณฑ์การเก็บบันทึกข้อมูลจราจรขึ้น ทั้งหมดก็เพื่อต้องสืบหาผู้กระทำความผิดได้สะดวกขึ้น และหากทุกหน่วยงานให้สำคัญเรื่อง Compliance ความปลอดภัยจะเกิดขึ้นทั้งผมให้บริการและผู้ใช้บริการ

5. เทคโนโลยี Wi-Fi Mesh Connection การใช้งานระบบอินเตอร์เน็ตไร้สายที่แพร่หลายในปัจจุบัน ซึ่งต้องเชื่อมโยงผ่าน Access Point นั้น สามารถเชื่อมต่อแบบ Mesh (ตาข่าย) เพื่อเข้าถึงโลกออนไลน์ได้สะดวกขึ้น ผู้ให้บริการ Wi-Fi จึงมีแนวโน้มใช้แอพพลิเคชั่นในการเก็บบันทึกการใช้งานผู้ใช้ (Accounting Billing) และนำระบบ NIDS (Network Intrusion Detection System) มาใช้ เพื่อเฝ้าระวังการบุกรุกหลากรูปแบบ เช่น การดักข้อมูล, การ crack ค่า wireless เพื่อเข้าถึงระบบ หรือปลอมตัวเป็นบุคคลอื่นโดยมิชอบ เป็นต้น

6. เทคโนโลยีป้องกันทางเกตเวย์แบบรวมศูนย์ (Unified Threat Management) ถึงแม้เทคโนโลยีตัวนี้จะมีการใช้อย่างแพร่หลายแล้ว แต่ก็ยังต้องกล่าวถึงเนื่องจากธุรกิจในอนาคตที่มีบริษัท SME มากขึ้น และถือได้ว่ามีประโยชน์อย่างมากสำหรับธุรกิจขนาดเล็ก ซึ่งเป็นเทคโนโลยีรวมการป้องกันเป็น Firewall / Gatewayมีเทคโนโลยีป้องกันข้อมูลขยะ (Spam) การโจมตีของ Malware/virus/worm รวมถึงการใช้งานเว็บไซด์ที่ไม่เหมาะสม (Content filtering) รวมอยู่ในอุปกรณ์เดียว ที่ผ่านมาอุปกรณ์นี้มักมีปัญหาเรื่อง Performance หากเปิดใช้งานระบบป้องกันพร้อมๆกัน ซึ่งในอนาคต Performance ของอุปกรณ์นี้จะดีขึ้น

7. เทคโนโลยีเฝ้าระวังเชิงลึก (Network Forensics) การกลายพันธุ์ของ Virus/worm computer ทำให้ยากแก่การตรวจจับด้วยเทคนิคเดิม รวมถึงพนักงานในองค์กรมีทักษะใช้คอมพิวเตอร์มากขึ้น ซึ่งอาจจะใช้ทักษะที่มีในทางที่ไม่เหมาะสม หรือเรียกได้ว่าเป็น “Insider hacker” จำเป็นอย่างมากสำหรับการมีเทคโนโลยีเฝ้าระวังเชิงลึก เพื่อตรวจจับสิ่งผิดปกติที่อาจขึ้นได้ ผ่านระบบเครือข่าย เพื่อใช้ในการพิสูจน์หาหลักฐานทางอิเล็กทรอนิกส์ในการดำเนินคดีความได้

8. เทคโนโลยี Load Balancing Switch สำหรับ Core Network เพื่อใช้ในการป้องกันการสูญหายของข้อมูล (Data loss) โดยเฉพาะในอนาคตความเร็วในการรับส่งข้อมูลบนระบบเครือข่ายจะมากขึ้น อุปกรณ์นี้จะช่วยให้กระจายโหลดเพื่อไปยังอุปกรณ์ป้องกันภัยอื่นๆ ได้ เช่น Network Firewall หรือ Network Security Monitoring และอื่นๆ โดยที่ข้อมูลไม่หลุดและสูญหาย

นนทวรรธนะ สาระมาน
Nontawattana Saraman
27 / 11 / 51

Hidden Connection


ในรอบปีที่ผ่านมาทุกครั้งที่ผมได้มีโอกาสขึ้นบรรยายในงานวิชาการต่างๆ ผมมักจะพูดว่า “ความปลอดภัยข้อมูลสารสนเทศเริ่มจากตัวเองก่อนเป็นอันดับแรก เมื่อตนเองปลอดภัย เครือข่ายที่ใช้งานอยู่ก็จะปลอดภัยด้วย เมื่อเครือข่ายองค์กรในประเทศปลอดภัย ประเทศชาติก็ปลอดภัยด้วย” ปลอดภัยจากอะไร? ปลอดภัยจากการใช้สื่ออินเตอร์เน็ต มิให้ตนเองตกเป็นเหยื่อยุคอินเตอร์เน็ต ดังนั้นผมจึงขอเรียกภัยคุกคามโดยรวมของปี 2552 ว่า “Hidden connection* หรือ ภัยที่ซ่อนเร้นจากการติดต่อสื่อสาร”
แนวโน้มที่ผ่านมาเห็นได้ชัดว่าอาชญากรรมทางคอมพิวเตอร์เพิ่มจำนวนขึ้นทุกปี โดยในปี 2551 นี้ พบว่ามีคดีเกี่ยวกับการหมิ่นประมาท การเผยแพร่ข้อมูลที่ไม่พึงประสงค์ รวมถึงการโจมตีเครือข่าย เว็บไซต์ และการตกเป็นเหยื่อจากธุรกรรมออนไลน์เดือนละไม่น้อยกว่า 2 เหตุการณ์ และมักเป็นข่าวให้เราๆ ท่านๆ ได้เห็นเป็นประจำ
ภัยคุกคามที่น่าจะเกิดขึ้นในปี 2009 ก็คงไม่ต่างจากปี 2008 นัก แต่จะมีเทคนิคใหม่ เพิ่มความสลับซับซ้อนขึ้น เนื่องจากโลกไอทีทุกวันนี้จะใช้ซอฟต์แวร์ต่างๆ ผ่านเว็บแอพพลิเคชั่นมากขึ้น เพื่อเป็นการลดค่าใช้จ่ายที่ต้องซื้อซอฟต์แวร์ลิขสิทธิ์ ไม่ว่าจะเป็นการ Download/Upload files จากมีเดียต่างๆ, การปรับแต่งภาพโดยไม่ต้องใช้โปรแกรม, การแต่งเพลง, การวาดแผนผังต่างๆ, การเขียน files เอกสาร หรือแม้กระทั่งปรับแต่งเว็บเพจ ซึ่งล้วนทำผ่านเว็บแอพพลิเคชั่น หรือ Google Apps ทั้งหมดนี้เกิดจากความก้าวหน้าทางเทคโนโลยี Clustering ที่เชื่อมต่อกันเป็น Visualization ซึ่งรวมๆ โลกไอทีก็ได้ศัพท์ใหม่เรียกว่า “Cloud Computing” ที่ผู้ใช้งานแทบไม่เห็นโปรแกรมที่ซ่อนอยู่ด้านหลังเว็บแอพพลิเคชั่นเลย ในโลกแห่งภัยคุกคามก็เช่นกัน Cloud Computing เป็นเครือข่ายสำคัญของการก่ออาชญากรรมสำหรับผู้บุกรุกระบบ โดยสร้าง Zombie หรือที่ผมมักใช้ชื่อว่าผีดิบซอฟต์แวร์ จำนวนมาก รวมเรียกว่า Botnet โดยอาศัยความรู้เท่าไม่ถึงการณ์ของผู้ใช้งานทั่วไปเป็นเครื่องมือ เพื่อแชร์มีเดียที่ไม่ถูกลิขสิทธิ์ บนเทคนิค P2P ผ่านเครือข่าย Cloud Computing และเป็นกลุ่มกองโจรที่จะใช้เทคนิค DDoS/DoS เพื่อทำให้เป้าหมายไม่สามารถปฏิบัติงานได้ หรือเพื่อส่งข้อมูลขยะอันไม่พึงประสงค์ (Spam) รวมถึงการหลอกลวงผ่านสื่ออินเตอร์เน็ต (Phishing) ซึ่งเกิดจากเครื่องเสมือนบน Cloud Computing ที่พร้อมปรับเปลี่ยน domain ได้เอง ทั้งที่เกิด botnet เหล่านั้นนอกจากมาจากเครื่องคอมพิวเตอร์ที่ใช้งานอยู่ทั่วไปแล้ว ยังมากับมือถือของคนที่กำลังเชื่อมต่ออินเตอร์เน็ตอีกด้วย นับได้ว่าจำนวน botnet มากขึ้นอย่างแน่นอน ส่วนใหญ่เป้าหมายการยึดเครื่องจะเปลี่ยนไปที่ผู้ใช้งาน (User) เป็นหลัก และนี้เองคือ “Hidden Connection”
ในตอนหน้าจะกล่าวถึง “ทำอย่างไรให้รู้เท่าทันและไม่ตกเป็นเหยื่อภัยคุกคามสมัยใหม่”

ที่มา : เมื่อหลายปีก่อนมีหนังสือแต่งโดย ฟริตจ๊อฟ คาฟร้า ซึ่งเป็นนักฟิสิกส์ เคยเขียนหนังสือ เต๋าแห่งฟิสิกส์ (The Tao of Physics) และจุดเปลี่ยนศตวรรษ (The Turning Point) จนมาถึงหนังสือที่ผมขอนำมาเป็นชื่อภัยคุกคามสมัยใหม่ในหัวข้อนี้ ที่ชื่อหนังสือว่าโยงใยที่ซ่อนเร้น (The Hidden Connection) ที่ผมขอใช้คำนี้เนื่องจากว่ามีความเหมาะสมและสอดคล้องกับภัยคุกคามสมัยในยุค Social Networking ที่โยงข้อมูลเข้าด้วยกันทั่วโลกผ่านสื่ออินเตอร์เน็ต สิ่งที่ซ่อนเร้นภัยคุกคามกับการเชื่อมต่ออินเตอร์เน็ตนั้นเหมาะมากที่ขอใช้ ชื่อว่า “Hidden Connection”

อ่านต่อตอนหน้า
นนทวรรธนะ สาระมาน
20 / 11 / 51