ใช้ชีวิตสงบ ในวันหยุด


กาต้มน้ำร้อน ส่งเสียงร้อง แทรกเสียงวิทยุที่เปิดเพลง 16 ปีแห่งความหลัง ของ สุรพล สมบัติเจริญ , บอกว่าตอนนี้น้ำกำลังเดือดแล้ว ไอน้ำร้อน พุดออกมาจากปลายกาต้มน้ำนั้น ล่องลอยเป็นกลุ่มควัน อย่างช้าๆ ผมนั่งมองควันนั้น พร้อมทั้งความคิด ที่ล่องลอยเหมือนเช่นกลุ่มควัน …

ก่อนหน้านี้ ได้อ่าน Magazine ฅ.คน หน้าปก เสกสรรค์ ประเสริฐกุล จำได้ว่าสมัยก่อนชอบอ่านบทกวีของท่านผู้นี้ จึงตัดสินใจซื้อ Magazine เล่มนนี้มาอย่างไม่ได้อ่านเนื้อหาข้างในมากนัก
มีประโยคน่ารัก ที่หลุดมาจากการสัมภาษณ์ ว่า “การปลีกวิเวิกของผมไม่ค่อยครบถ้วน เพราะในขณะที่ผมปลีกวิเวกจากเพื่อนมนุษย์คนอื่นๆ ใจผมยังไม่ได้อยู่คนเดียวจริงๆ บางทีแค่หมกมุ่นกับตัวเอง โดยเชื่อมั่นว่าคนที่เรารักอยู่ใกล้ๆ เราจะเดินไปหาพวกเขาเมื่อใดก็ได้”

เราอยู่คนเดียวก็จริง แต่ความคิดเรามันล่องลอยเหมือนกลุ่มควันหลังกาน้ำเดือดนะสิ ผมคิด

“ภาษาเซนเขาบอกว่า เวลากินก็กิน เวลานอนก็นอน มันจบแค่นั้น คือว่าทำอะไรอยู่ก็ทำไป เมื่อจิตมันไม่ฟุ้งซ่าน คุณจะอยู่คนเดียวสักร้อยวันก็ไม่เป็นไร ส่วนใหญ่ที่เราอยู่คนเดียวไม่ได้ เพราะว่าจิตมันหนีไปอยู่ที่อื่น”

อ่านเสร็จ ผมจึงคิดว่าความสงบ จะเกิดได้อยู่ที่จิตของเรานี้เอง ไม่มีใครช่วยได้เลย ถ้าจิตของเราหนีเที่ยวบ่อยๆ วันหยุดนี้เราก็ไม่สงบเป็นแน่
จากนั้น ผมจึงทำการนั่งจิบชาร้อน กลิ่นมะลิ และนึกไว้ว่าจากนี้ต่อไปช่วงเวลาหนึ่งของวัน ขอฝึกจิตให้สงบ ให้จิตอยู่ที่สิ่งที่ทำ ไม่กังวลเรื่องอื่น พร้อมทั้งหยิบปากกาขึ้นและนั่งเขียนในสิ่งที่อยากให้เกิดบน SRAN Technology

.. เวลานี้ กลุ่มควันจากกาต้มน้ำได้จางลง พร้อมๆ กับเสียงเพลง 16 ปีแห่งความหลัง ได้จบลงไป ผมก็เริ่มต้นการใช้ชีวิตใหม่อีกครั้ง

สวัสดีปีใหม่ไทย

นนทวรรธนะ สาระมาน
Nontawattana Saraman

การตรวจจับ windows animated cursor exploitation


พบช่องโหว่ บน Windows ในส่วนที่จัดการกับไฟล์ animated cursor (.ani)
ระบบปฏิบัติการที่มีผลกระทบคือ Windows 2000 SP4, Windows XP SP2, Windows Server 2003 และ Windows Vista ในส่วนที่จัดการกับไฟล์ animated cursor (.ani) ผู้โจมตีอาจสามารถสร้างหน้าเว็บหรือข้อความอีเมลแบบพิเศษเมื่อเปิดโดยผู้ใช้เป้าหมายแล้วจะทำให้โค้ดที่ผู้โจมตีต้องการเอ็กซิคิวท์ในระบบได้

ในขณะนี้ยังไม่มีซอฟท์แวร์แก้ไขช่องโหว่นี้จากไมโครซอฟท์ แต่มีคำแนะนำสำหรับผู้ใช้ Outlook เวอร์ชั่น 2002 หรือสูงกว่า และ Outlook Express 6 SP1 หรือสูงกว่าให้อ่านข้อความอีเมลในแบบ plain text เพื่อป้องกันจากการโจมตีอาจที่มาพร้อมกับอีเมลที่เป็น HTML

ผมคิดว่าช่องโหว่นี้เป็นภัยคุกคามที่อันตรายสำหรับผู้ใช้งานระบบปฏิบัติการ Windows อยู่ไม่น้อย เนื่องจากยังเป็น 0 day อยู่ ที่พร้อมเป็น Worm ได้ เมื่อข่าวจาก ทีม Chinese Internet Security Response Team
มีความเป็นไปได้ในการแพร่กระจาย Worm ชนิดนี้ผ่าน USB Drive หรือพวก removable media
มีชื่อ files ที่ควรระวัง คือ tool.exe และการมี file ชื่อ autorun.inf บน USB Drive เป็นต้น
ในการตรวจจับลักษณะช่องโหว่นี้ สามารถเขียน Signature ใน snort เพื่อทำการตรวจจับได้ และป้องกันทาง Network ได้ดังนี้

alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:”WEB-CLIENT Microsoft ANI file parsing overflow”; flow:established,from_server; content:”RIFF”; nocase; content:”anih”; nocase; byte_test:4,>,36,0,relative,little; reference:cve,2004-1049; classtype:attempted-user; sid:3079; rev:3;)

Domains และ IP ที่ใช้ในการ Exploit ได้แก่
1.520sb.cn
220.71.76.189
222.73.220.45
55880.cn
81.177.26.26
85.255.113.4
bc0.cn
client.alexa.com
count12.51yes.com
count3.51yes.com
d.77276.com
fdghewrtewrtyrew.biz
i5460.net
jdnx.movie721.cn
newasp.com.cn
s103.cnzz.com
s113.cnzz.com
ttr.vod3369.cn
uniq-soft.com
wsfgfdgrtyhgfd.net
www.04080.com
www.33577.cn
www.baidu.com
www.h3210.com
www.hackings.cn
www.koreacms.co.kr
www.macrcmedia.com
www.macrcmedia.net
www.ncph.net
www.xxx.cn
ym52099.512j.com
www.jonnyasp.com
ภาพ Video Windows XP .ANI Exploit

อ่านเพิ่มเติมได้ที่
http://www.microsoft.com/technet/security/advisory/935423.mspx
http://isc.sans.org/diary.html?storyid=2151
http://infosec.sran.org/modules.php?op=modload&name=News&file=index&catid=&topic=3

นนทวรรธนะ สาระมาน
Nontawattana Saraman

SRAN in the SOC

ภาพการออกแบบ SRAN Security Center เพื่อใช้เป็นอุปกรณ์หนึ่งในศูนย์เตือนภัยทางระบบเครือข่าย SOC (Security Operation Center) เพื่อให้บริการ MSSP (Management Security Services Provider)
พื้นฐานการทำงานดังนี้
1. ระบบเฝ้าระวังภัยคุกคามและสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย ภายในและภายนอก และรายงานผล(Intrusion Detection / Prevention System)
2. ระบบประเมินความเสี่ยง เพื่อตรวจหาจุดเสี่ยง และรายงานผลแนวทางการแก้ไข (Vulnerability Assessment)
3. ระบบตรวจสอบ ผลเหตุการณ์ภัยคุกคามที่เกิดขึ้นในเครือข่ายคอมพิวเตอร์ โดยเทียบตามมาตรฐาน ISO17799 (Network Security Compliance)


คลิกที่รูปเพื่อดูภาพใหญ่

เป็นระบบที่สมบูรณ์และเหมาะสมกับการสร้าง SOC แบบพอเพียง ขึ้น ประโยชน์ที่ใช้ SRAN ในการทำ SOC
1. ประหยัดงบประมาณในการลงทุนเทคนิคโนโลยี
2. การประมวลผล สามารถแสดงผลผ่าน Web-Application (TCP ผ่าน HTTPS) จะประหยัด Bandwidth เครือข่ายได้มากกว่า การส่ง DB หรือ Syslog แบบ Out of Band
3. ภัยคุกคามจากการ เฝ้าระวังผ่าน Web Monitoring มีน้อยกว่า ที่ต้องให้ Firewall เปิด port syslog หรือ DataBase ที่ต้องเปิด port 514 UDP สำหรับ syslog หรือ port 1433 TCP สำหรับ MS SQL หรือ port 3306 TCP หรืออื่นๆ ที่เกี่ยวข้องกับ DataBase Application
4. สะดวก ในการบริหารจัดการ ทั้งในแง่การติดตั้ง ออกแบบ และรวมศูนย์ควบคุม
5. เป็นเทคโนโลยี ที่เราสามารถควบคุมเองได้ สร้างเป็นต้นแบบสำหรับใช้ในงานด้านความมั่นคงของชาติ

ในแผนการปฏิบัติงานในศูนย์เตือนภัยทางระบบเครือข่าย มีการประยุกต์แผนนี้จาก MSSP จาก Cert Team โดยมีผังกล่องส่วนการทำงาน Incident Response Procedure ดังนี้


นี่เป็นภาพที่พึ่งร่างเสร็จในเครื่องคอมที่ใช้ประจำ มีความพยายามที่จะเสนออุปกรณ์ SRAN กับการสร้างศูนย์เตือนภัยทางระบบเครือข่าย หรือที่เรียกว่า SOC (Security Operation Center) ให้เข้าใจง่ายที่สุด สำหรับการนำไปใช้จริง
เราคงต้องเดินหน้าต่อไป สำหรับวิธีการออกแบบศูนย์เตือนภัยทางระบบเครือข่ายคอมพิวเตอร์ ที่ประหยัดงบประมาณ และมีประสิทธิภาพมากที่สุดให้ได้

อ่านต่อการหน้าจอการตรวจจับสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่ายได้ที่ SRAN System LAB (16/01/50)
รายงานผล Log ที่เกิดขึ้นจากระบบที่สอดคล้องกับ ISO 17799 อ่านได้ที่ SRAN Network Security Compliance (05/12/49)

การประยุกต์ส่ง syslog SRAN ให้ใช้งานกับ Core Switch อ่านได้ที่ ทดสอบ SRAN ส่ง syslog ใช้กับอุปกรณ์ Switch Alcatel

ทิ้งท้าย Blog นี้ ด้วยเพลง Walk on ของ U2 ลองฟังกันดูครับ
นนทวรรธนะ สาระมาน Nontawattana Saraman

A Whiter Shade of Pale

มีคำกล่าวว่า “จักรวาล ไม่ได้อยู่ที่ไหน แต่อยู่ในร่างกายของเรานี้เอง จักรวาลนั้นคือ อายตนะทั้ง 6 ตา หู จมูก ลิ้น กาย ใจ” ความสุขอย่างหนึ่งในชีวิตเราล้วนเกิดจากสิ่งเหล่านี้ ตา เรา มองเห็นภาพสวยๆ และ หู เราได้ฟัง เสียงที่ไพเราะ .. ก็เกิดความสำราญได้
ต่อเนื่องจากหนังประทับใจ จาก A Man and A Woman กับเพลงประกอบหนังที่ทำให้ไม่ลืมหนังเรื่องได้ง่ายๆ ไปแล้ว ผมก็กลับมานั่งนึกว่ามีอีกหลายเรื่องที่ทำได้ดี โดยเฉพาะเพลงประกอบภาพยนต์ พอนึกขึ้นได้ จำได้ว่ามีหนังสวยอีกเรื่องคือ Munich มีเสียงเพลงประกอบหนังเรื่องนี้ ฟังดูแล้ว ก็คุ้นๆ ว่าเคยได้ยินเพลงนี้จากไหน เมื่อทำการค้นหาข้อมูลแล้ว ก็เป็นเพลงที่สุดคลาสสิก ของ Bach แต่มาทำให้คนทั่วโลกได้รับฟังความไพเราะอีกเพลงหนึ่งจากวงดนตรีที่ชื่อ Procol Harum
เพลงนี้ชื่อ A Whiter Shade of Pale ในปี 1972 เพลงนี้มีเสหน่ ที่เสียงเริ่มต้นของเพลง สำหรับผมแล้วถือว่าเป็นเพลงเท่ห์ สัมผัสได้จากการฟัง เป็นเสียงที่มีความลงตัวและทำให้เพลงนี้จัดได้ว่าเป็นเพลงยอดเยี่ยมตลอดกาล 500 เพลง ที่ Magazine Rolling Stone จัดขึ้น เพลงนี้ก็ติดอันดับด้วยครับ ลองฟังดูแล้วกันนะครับว่าเพลงนี้มีความไพเราะแค่ไหน

บันทึกการแสดงสดเพลงนี้จากวง Procol Harum ในปี 1967 หรือ 40 ปีที่แล้ว

เป็นภาพการแสดงสดจากคอนเสริตวง Procol Harum ในปัจจุบัน

ฟังเพลงนี้อีกแนว จากเสียง Sarah Brightman

มาถึงตรงนี้ต้องบอกว่า Youtube มีทุกอย่าง จากการวิเคราะห์ ด้วยความคิดตนเองแล้ว มั่นใจว่า หนังที่ดีควรมีเพลงประกอบที่ดีด้วย จึงทำให้หนังเรื่องนั้นเป็นเรื่องที่น่าจดจำได้


นนทวรรธนะ สาระมาน
Nontawattana Saraman

A man and a woman


ช่วงค่ำวันนี้ ผมมีโอกาสฟังเพลงจากรายการวิทยุ จากคลื่น 96.5 ดนตรีและชีวิตของ ศ.นพ.อุดมศิลป์ ศรีแสงนาม จัดรายการโดยนำเสนอเพลงคลาสสิก นานๆ จะได้ฟังคลื่นนี้แบบสดๆ เพราะโดยปกติมักจะฟังย้อนหลังในอินเตอร์เน็ท จนลืมไปว่า นายแพทย์ผู้นี้นอกจากมีความรู้ ด้านวิชาการแล้วยังเป็นผู้รอบรู้ในดนตรีคลาสสิก และหนังภาพยนต์อีกด้วย เปิดเพลงได้มีระดับมากครับ ขอชื่นชมไว้ในที่นี้ วันนี้ผู้จัดรายการได้พูดถึงหนังเรื่อง A man and a woman เมื่อฟังชื่อแล้วผมคุ้นๆ ว่าเคยได้ยินหนังเรื่องนี้จากที่ใด แต่เมื่อเปิดเพลงประกอบหนังเรื่องแล้ว ได้ยินเสียง hum เพลง cha ba da ba da [listen to cha-ba-da-ba-da]ทำให้ผมนึกออกทันที ว่าเป็นหนังเรื่องหนึ่งในชีวิตผมดูซ้ำมากที่สุดเรื่องหนึ่ง และติดหนังประทับใจมาก

ผมจำได้ว่าหนังเรื่องนี้ไม่มีสาระอะไรที่สำคัญ เนื้อเรื่องออกจะน้ำเน่าเสียด้วยซ้ำ แต่พอดูจบเรื่องแล้ว บอกได้ว่า เป็นหนังสวย และ สวยทั้งการถ่ายทำ ตัวละคร เสียง/แสง การตัดต่อภาพ ดนตรีประกอบ ลงตัวควรค่าแก่การสะสมมากเรื่องหนึ่งครับ

ผมก็ต่ออินเตอร์เน็ทเพื่อย้อนกลับไปรำลึกถึงหนังเรื่องนี้อีกครั้ง นี้แหละครับที่ว่าต่อไปเป็นยุคที่ทุกคนรู้ข้อมูลได้ถึงกันหมด เพราะอินเตอร์เน็ทนี้เอง ผมค้นหาโดยเริ่มจาก Google โดยใช้ประโยคพิมพ์ “A man and a woman” และดูตามความเหมาะสมว่าใช่ดังที่ต้องการหรือไม่
และไม่ช้าผมก็ได้ข้อมูลที่ต้องการ เริ่มจากข้อมูลหนังจาก IMDB (Earth’s Biggest Movie Database)
และข้อมูลหนังจาก Wikipedia (A Mana and a Woman) หลังจากนี้ผมก็มานึกเหตุผลที่ว่าทำไม หนังเรื่องนี้ต้องทำให้ผมเอง สามารถดูซ้ำแล้วซ้ำอีกไม่มีเบื่อ เสน่หหนังเรื่องนี้ ประกอบด้วย 3 ส่วน จากความรู้สึกของผม นั่นคือดนตรีประกอบ มุมกล้องที่เสนอในเรื่อง และ นักแสดงนำหญิง
เริ่มจากดนตรีประกอบ ดนตรีที่บรรเลงในหนังเรื่องนี้มีความโรแมนติก และสวยงาม เบาสบาย ฟังแล้วผ่อนคลายมาก ผมค้นหาดนตรีประกอบหนังเรื่องนี้จาก YouTube โดยใช้ชื่อหนังเป็นภาษาฝรั่งเศส คือ “Un Homme et une Femme”

ที่ค้นหาไปเป็นดนตรีที่ใช้กีตาร์คลาสสิก เพลงประกอบหนังเรื่องนี้ฟังได้จาก http://www.israel-music.com/various/un_homme_et_une_femme/



จะเห็นได้ว่าดนตรีประกอบ Un homme et une femme แต่งโดย francis-lai มีความลงตัวและไพเราะมาก มาประกอบกับเหตุผลที่สอง นั่นคือมุมกล้องที่เสนอในเรื่อง สะท้อนความเป็นหนังรักโรแมนติก ที่ใช้เทคนิคตัดระหว่างสีขาวดำ สลับบางช่วง เทคนิคทางการทำหนังเรียกว่า sepia-toned โดยเฉพาะฉาก ที่มีคนแก่ จูงสุนัขไปวิ่งบนชายทะเล และสุนัขตัวนั้น ก็วิ่งเล่นกับเงาของตัวมันเอง มันเป็นภาพที่สวยงามมากครับ


เหตุผลสุดท้าย ต้องยกให้นางเอกหนังเรื่องนี้ ที่มีความสวย เก๋ ไม่ได้เน้นความเซ็กส์ซี่ที่ชุด แต่แววตาของนางเอกมีแรงดึงดูด ชนิดที่ทำให้เราต้องตกมนต์สะกดของเธอคนนี้ได้ เธอชื่อ Anouk Aimée จากการค้นคว้าข้อมูลแล้ว ปัจจุบันเธอยังมีชีวิตอยู่ครับ อายุตอนนี้ก็ 74 ปีแล้ว ตอนสาวๆ เป็นนางแบบที่ได้รับความนิยมมาก
ภาพจาก Univers-de Jacques Demy
และนี้กะมั้ง ที่ทำให้ผมต้องดูหนังเรื่องซ้ำแล้วซ้ำอีก กับหนังรักโรแมนติกจากฝรั่งเศสที่ชื่อ Un homme et une femme (A Man and a Woman) ต้องขอบคุณอินเตอร์เน็ท ที่ทำให้เรื่องที่อยากรู้ ได้รู้มากขึ้น รู้ลึกขึ้น และละเอียดขึ้น


นนทวรรธนะ สาระมาน
Nontawattana Saraman

Neo Vulnerability Assessment Framework

มีหลายๆ วิธีที่ทำให้การทำงานด้านประเมินความเสี่ยงระบบเครือข่ายประสบความสำเร็จได้
และมีอีกวิธีที่ทางทีมงาน SRAN ได้คิดค้นวิธีการทำประเมินความเสี่ยงเครือข่าย ที่มีแบบแผนและการดำเนินการที่เป็นระบบ โดยมีการประยุกต์โครงร่างงาน (Framework) ดังนี้
1. ประยุกต์การใช้แบบทดสอบพื้นฐาน จาก Self-Assessment ISO17799
2. ประยุกต์การใช้แบบตรวจสอบ ตาม (BSI : Federal Office for Information Security)
3. ประยุกต์การใช้ Tools ในการทำ Penetration Test โดยใช้ SRAN Muay Thai ที่มี Tools ตาม OSSTMM (Open Source Security Testing Methodology Manual)
4. ประยุกต์ผลลัพธ์ที่ตามแบบ NIST SP800 42
5. นำ SRAN Security Center มาใช้ในการทำประเมินความเสี่ยง จากสิ่งผิดปกติที่เกิดขึ้นในระบบเครือข่ายจากการตรวจจับข้อมูลที่รับและส่งเข้าออกใน ทั้งเครือข่ายภายใน และ ภายนอก (Threat Traffic Analysis)
จากการประยุกต์ดังกล่าว เราสามารถสร้างเป็นโครงสร้างการทำงานด้านประเมินความเสี่ยงระบบเครือข่ายคอมพิวเตอร์ ที่เรียกได้ว่าครบสมบูรณ์แบบได้
รวมถึงรายงานผลที่เกิดขึ้น จะเน้นอยู่ 2 เรื่องคือ ภาษาที่ใช้ในแต่ละขั้นตอนการปฏิบัติงานจะเป็นภาษาไทย ทั้งหมด และ การวิเคราะห์ความเสี่ยง จะทำเชิงลึก เพื่อให้ทราบถึงภัยคุกคามในช่วงเวลาปัจจุบันได้มากที่สุด

โดยสร้างขั้นตอนกระบวนการดำเนินการดังนี้

แบ่งทีมงานการทำงาน มี 2 ทีมใหญ่ ทำงานประกอบด้วย 3 ส่วน ดังนี้

เราเรียกการประยุกต์แผนทำประเมินความเสี่ยงระบบเครือข่ายคอมพิวเตอร์ ครั้งนี้ว่า “Neo Vulnerability Assessment Framework” เรียกเป็นภาษาไทย ว่า แผนการดำเนินการประเมินความเสี่ยงระบบเครือข่ายเชิงบรูณาการณ์ ซึ่งผมก็มั่นใจว่า เราเป็นเจ้าแรกที่รวมวิธีการทำงานแบบนี้ขึ้น เป็นวิธีแรกในโลก Cyber ก็เป็นได้ และเป็นสูตรสำเร็จ ในการดำเนินงานด้านนี้ ที่ตัวผมเองคิดได้ ยอมรับว่าเป็นสูตรการทำงานที่ดีกว่า สมัยก่อนๆ ที่เคยปฏิบัติมาในหลายงานในอดีต


นนทวรรธนะ สาระมาน
Nontawattana Saraman

เมื่อมองท้องฟ้าคืนนี้


เมื่อมองท้องฟ้า ยามค่ำคืน หลังบ้านตนเอง มองขึ้นไปเห็นดวงดาว ไม่มาก แต่วันนี้กลับนึกถึง สมัยที่ยังเป็นเด็ก … ท้องฟ้าที่เรามองยามกลางคืน มองให้ไกลออกไป ไกลที่สุด สุดสายตาที่เราจะทำได้ และในช่วงเวลานั้นเอง เรามักจะเพลินกับจิตนาการ ในความมืด ของท้องฟ้า มีเพียงประกายแสง จากดวงดาว ระยิบระยับ อยู่ตรงหน้าของเรา มันเป็นความสุข ที่เราได้รับรสจากธรรมชาติที่เราร่วมอาศัย ในวัยเด็ก ผมมีหนังเรื่องหนึ่งที่สร้างความจดจำ และ ทุกครั้งที่หยิบหนังเรื่องนี้ขึ้นมาดูอีกครั้ง
ก็พบว่าความรู้สึกกลับไปสู่จินตาการในวัยเด็กอีกครั้ง หนังเรื่องนั้นชื่อ E.T. (the Extra-Terrestrial) ตอนนั้นที่ดูหนังเรื่องนี้ ผมยังเด็กอยู่ เรียนอยู่ชั้น ประถม ที่ จังหวัดราชบุรี จำได้ว่าเป็นปี ครบรอบ 200 ปี รัตนโกสิน (ภาพโปสเตอร์ หนังเรื่อง E.T. กับเด็กที่ปั่นจักรยาน BMX ในตอนนั้นจักรยานชนิดนี้ดังมาก และเกิดเป็นสินค้าที่ขายดีต่อมา ระบาดในประเทศไทย กับวัยเดียวกันที่ต้องอ้อนทางผู้ปกครองซื้อให้มาขี่เล่นกัน ในความเห็นส่วนตัวโปสเตอร์ นี้ classic มากครับ )
ผมไม่ได้มีโอกาสไปดูในโรงหนัง แต่สมัยนั้นมี VDO แล้ว ที่บ้านซื้อมาในราคาแพงมาก และ ปัจจุบัน เครื่องเล่น VDO ตัวนั้นก็ยังอยู่ที่บ้าน ชังทนทานจริงๆครับ ถึงแม้ ทุกวันนี้จะใช้ไม่ได้แล้ว และหาเทปหนัง VDO ไม่มีแล้วในสมัยนี้ ผมดูหนัง E.T. ใน VDO ที่บ้าน เช่ามาดู บอกได้ว่าตอนนั้นดูไม่ค่อยรู้เรื่องนัก รู้แต่ว่าช่วงนั้นหนังเรื่องนี้ดังมากครับ และผมก็กลับมาดูหนังเรื่องนี้อีกครั้งสมัยเรียนมหาวิทยาลัย ดูในช่วงฤดูร้อน และดูเสร็จไปมองดูบนท้องฟ้ายามค่ำคืน ฤดูกาลที่เปลี่ยน กลางคืน ของหน้าหนาว ก็เป็นอีกอารมณ์ ฤดูร้อน และ ฤดูฝน ก็อีกอารมณ์ สำหรับผมแล้ว ชอบมองท้องฟ้ายามค่ำคืน ฤดูร้อน ครับ เพราะมันได้รับสายลมที่พัด เข้าใส่ตัวเรา สายลมหน้าร้อน มันเป็นลมเย็นสบาย ในตอนนั้นดูอย่างละเอียดกับหนังเรื่องนี้ และคิดว่าทำไม ถึงทำให้คนทั่วโลก ติดในมนต์ตรา เนื้อหา และเอกลักษณ์หนังเรื่อง E.T. ได้ ผมจึงคิดว่าคงเป็นเพราะความไร้เดียงสา ของเด็ก ตัวเอกของเรื่องที่แปลกกว่าหนังเรื่องอื่นๆ ในสมัยนั้น นั่นคือมนุษย์ต่างดาว ส่วนประทับใจหนังเรื่องนี้ก็คงเป็นเรื่อง ความรัก ที่ไร้เดียงสา รักที่ไม่หวังผลต่อแทน แต่เป็นการตอบแทนที่ช่วยเหลือเพื่อให้เพื่อนรักต่างเผ่าพันธ์ ได้มีชีวิตรอด และกลับบ้านได้ มันน่าเอ็นดูมากครับ สุดท้าย ในช่วงเวลาสั้นๆ ที่อยู่ร่วมกัน ระหว่างคน กับ มนุษย์ต่างดาว เกิดความผูกผัน ที่ไม่รู้ลืม มันเป็นช่วงเวลาที่มีค่าและควรจดจำ ด้วยเหตุนี้กระมัง ที่ทำให้หนังเรื่องนี้อยู่ในความทรงจำของหลายๆ คนเช่นกัน
 อีกเรื่องผมนึกถึงหนังการ์ตูนญี่ปุ่น ที่ชื่อ Galaxy Express 999 เป็นการผจญภัยท่องอวกาศ โดยใช้รถไฟโบราณ ที่เดินทางในอวกาศ อันกว้างใหญ่ ที่ต้องพูดหนังเรื่องนี้ เพราะหลายๆครั้งที่ผมมองไปบนท้องฟ้า ยามค่ำคืน ผมก็จะมักนึกถึง รถไฟ 999 ตัวนี้วิ่งไปมา บน ขอบฟ้าในโลกยามราตรี เสมอไม่รู้ว่าจำฝั่งใจในส่วนไหน จำได้ว่าดูจากทีวี ฉายในช่อง 9 ตอนเย็น คือประมาณก่อนหกโมงเย็น นานมากๆแล้วครับ รถไฟพิเศษ 999 เป็นการเดินทางระหว่าง หญิง และ เด็กชาย 2 คน ที่จำได้ คือ นางเอกเรื่อง เป็นหญิงสาวสวยผมยาว ดูท่าทางเศร้า นัยตาที่มีปริศนา และนิ่งเฉย และเด็กซนคนหนึ่ง ที่มีความซื่อสัตย์ พร้อมไปกับพี่สาวคนนี้เสมอ ทั้งคู่เดินทางแบบต่างคนมีจุดมุ่งหมายที่ต่างกัน ในแต่ละครั้งรถไฟพิเศษนี้จอดที่ใด ก็มีเรื่องราวการผจญภัยเกิดขึ้น เป็นตอนๆ ไป มันเป็นความลงตัวอย่างหนึ่ง ที่เกิดจากจิตนาการ อวกาศ รถไฟ ผู้หญิง และ เด็ก ความเหงา โดดเดียว ที่ทั้งคู่ต่างมีเป้าหมายของตน ผู้หญิงเศร้าที่ไม่ทราบสาเหตุ เด็กต้องการกลับบ้าน และรถไฟเดินทางตามหน้าที่ บนห้วงอวกาศที่ลึกลับ และกว้างใหญ่ไพศาล บนความแตกต่างที่ รวมกันในหนังเรื่องนี้ มันก็น่าสนใจสำหรับผู้ชม ที่ต้องดูกันว่าเหตุการณ์จะเป็นอย่างไรในตอนต่อไป ผู้หญิง ช่วยเด็กหลงทางให้กลับบ้านได้ เด็กหลงทางช่วยนั่งรถไฟ ท่องอวกาศ เป็นเพื่อนผู้หญิงที่เป็นดั่งพี่สาวแท้ๆ ทั้งคู่ช่วยเหลือกันด้วยสถานะการณ์บังคับ แต่ด้วยความเต็มใจช่วยเหลือกัน
และทั้งหมดนี้ ก็คือ ความรัก ที่มีความไร้เดียงสา และไม่หวังผลตอบแทน นั่นเอง
และในคืนนี้ เมื่อผมมองดูท้องฟ้ายามกลางคืน ก็ด้วยความนึกถึงหนังเรื่องทั้ง 2 เรื่องนี้ได้ เป็นความในใจ ที่อยากจะบอกในค่ำคืนนี้
ทิ้งท้าย blog นี้ด้วยเพลง A man I’ll never be ของ Boston ลองฟังดูครับ

นนทวรรธนะ สาระมาน Nontawattana Saraman

นิพพานมีอยู่จริงในปัจจุบัน

…..นิพพานมีอยู่จริงในปัจจุบัน ถ้าใครออกจากปัจจุบันไม่เห็นเลย ทุกเขญาณัง มันเกิดขึ้นกับจิตนี่เอง ให้พิจารณากายในมากๆ นิพพานไม่อยู่ตามต้นไม้ อยู่ที่จิตใจหมดอาสวะทั้งหลายนั่นเอง

บทสนทนา หลวงปู่บุดดา ถาวโร
ศิษย์: หลวงปู่ครับ นิพพานโลกุตระ เป็นอย่างไร
หลวงปู่: มันก็หมดอาสวะซิ อวิชชาไม่เหลือ
ศิษย์: จิตยังอยู่ไหมครับ
หลวงปู่: จิตปรมัตถ์ไป เจตสิกปรมัตถ์ รูปปรมัตถ์จิตยังอยู่ มันเกิด-ดับ มันเป็นสังคตะไป ไม่ใช่สัตว์คนเป็นสังคตธรรม สังคตธรรมมีอยู่ อสังคตะธรรมมีอยู่ วิราคะธรรมมีอยู่ แต่ไม่ใช่สัตว์ไม่ใช่คนเท่านั้น
 ศิษย์: หมดสมมุติ หมดความยึดถือไช่ไหมครับ
หลวงปู่: .ฮื้อ! มันไม่มีอาสวะ ไม่มีอวิชชาสวะ ไม่มีอวิชชาสังโยชน์ ไม่มีอวิชชานุสัย ล่ะก็ กิเลส กรรม วิบาก มันก็ไม่มี จิตไม่มีนาม-รูปของขันธ์แล้ว มันเหนือนาม-รูปของขันธ์แล้ว สังคตะมันเหนือขันธ์ ๕ วิราคะธรรมมันเหนือขันธ์ ๕ (เหนือ คือ ไม่ถูกครอบงำ ไม่มีอุปาทานขันธ์ ย่อมไม่กลับกำเริบอีก)ขันธ์ ๕ ยังมีนามรูปติดต่อกันทางอายตนะธาตุนี่ ส่วนนิพพาน ปรมัตถ์นี้ไม่เกิดไม่ดับเป็นอสังคตะธรรม แต่ จิต เจตสิก รูป ปรมัตถ์นี้ยังเกิดดับเป็นสังคตะธรรม วิราคะธรรม ไม่มีราคะ หมดราคะถึงโลกุตระแล้วนั่น ไม่มีราคะโทสะ โมหะ เผาลนแล้ว
 ศิษย์: เมื่อดับจิต แล้ว นิพพาน สูญ ไม่เหลืออะไรเลยหรือปล่าวครับ..
หลวงปู่: นิพพานไม่สูญ เป็นแต่อาสวะกิเลสสูญ อวิชชา ตัณหา อุปาทาน กรรม วิบาก มันสูญ แต่ สังคตะธรรม อสังคะธรรม วิราคะธรรม มันไม่ได้หมดไปด้วย บารมี ๓๐ ทัศน์ที่พระพุทธเจ้าสร้างเป็นของไม่ตาย แต่ว่าตัวบุญต้องเปลี่ยนแปลงไปจนกว่าพระโพธิสัตว์ตรัสรู้ เพราะถ้าเป็นตัวบุญอยู่กับพระเวสสันดรก็ไม่ตรัสรู้ซิ ก็ได้เป็นกษัตริย์ไม่ตรัสรู้ซิ แต่เพราะสละหมดอย่างพระเวสสันดร เที่ยวออกค้นคว้าถึง ๖ ปี(ซึ่งก็ต้องอาศัยบารมี อันเป็นนิสัยที่สั่งสมมา) จึงตรัสรู้ พระพุทธเจ้าบางองค์ก็อายุไม่เท่ากันมาองค์ปัจจุบันอายุ ๘๐ ปี (แล้วแต่บารมี)
 ศิษย์: ที่เขาว่าไปเที่ยวเมืองนิพพาน น่ะเขาไปกันได้จริงหรือป่าวครับ
หลวงปู่: .เที่ยวได้แต่ปริยัติน่ะซิ พูดเอาภาคปริยัติก็เที่ยวได้ ภาคปฏิเวธเที่ยวได้ที่ไหนล่ะ มันมีบอกเมื่อไหร่ล่ะ
 ศิษย์: .แล้วอย่างมโนมยิทธิล่ะครับ
หลวงปู่: นั่นมันเรื่อง พุทธนิมิต ธรรมนิมิต สังฆนิมิต ก็ตามใจซิ ก็นิมิตมันมีอยู่ หลับตาลืมตาก็มี มีของพระอริยะเจ้า พระพุทธเจ้าก็แสดงพุทธนิมิต ธรรมนิมิต สังฆนิมิต ได้ ให้เห็นกันทั่ว กามโลก รูปโลก อรูปโลก ให้เขาได้เห็นกันเมื่อครั้งเสด็จลงจากดาวดึงส์นี่ ก็จิตนี่ล่ะมันรับธรรมะ นอกจากกายกับจิตแล้วจะเอาอะไรไปรับล่ะ กายกับจิตนี่ล่ะมันรองรับพระไตรปิฎก พระพุทธเจ้ารู้นรก ๒ ชั้น นรกชั้นนอก นรกชั้นใน สวรรค์ชั้นนอก สวรรค์ชั้นใน นิพพานชั้นนอก นิพพานชั้นใน มันต้องมีภายนอกภายในพิสูจน์กันดู ดูนิพพานกันอย่างนี้ อ่านพระไตรปิฎกกันอย่างนี้ซิ นิพพานไม่ใช่รูปขันธ์ ไม่ใช่นามขันธ์ มันเหนือรูปขันธ์ นามขันธ์ สร้างบารมีมาก็เอาเป็นเครื่องมือ สร้างบารมีต่างหากล่ะ นามรูปนี่ตรัสรู้แล้วเอาไปเมื่อไหร่ล่ะ บารมี ๓๐ ทัศน์ ไม่ใช่ตัวขันธ์ ๕ มันเหนือขันธ์ ๕ พระพุทธเจ้าตรัสรู้แล้วก็เหลือขันธ์ ๕ พระปัจเจกพุทธเจ้า และพระสาวกทั้งหลายตรัสรู้ ละสังโยชน์ แล้วก็เหลือยังขันธ์ ๕ เขายังเขียนรูปโลกไว้ให้ดู แต่อยู่เหนือขันธ์ ๕

คัดลอกจาก พระนิพพนาน จากคำครูอาจารย์


นนทวรรธนะ สาระมาน
Nontawattana Saraman

เทคโนโลยีที่ใช้ในการเก็บบันทึกข้อมูลจราจรตามกฎหมาย

 

เมื่อวันที่ 3 มีนาคม 2551 ผมได้รับเกียรติจากทาง สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ (สบทร.) ให้ขึ้นบรรยาย เทคโนโลยีที่ใช้ในการเก็บบันทึกข้อมูลจราจร เพื่อให้สอดคล้องกับ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ 2550 ผมนำเสนอเทคโนโลยี Hybrid Log Recorder เนื่องจากการบรรยาย มีเวลาให้ผมได้บรรยายไม่มากนัก คือประมาณ 15-20 นาที ซึ่งขอบอกตรงๆ หากภาคเอกชนเชิญผมไปบรรยาย และให้เวลาเช่นนี้ ผมคงไม่รับ ผมอยากบรรยายสักครึ่งวันเป็นอย่างน้อย เนื่องจากการพูดผมติดเครื่องช้า นี้ก็เพราะภาครัฐที่เป็นส่วนสำคัญของประเทศ ผมจึงตัดสินใจมา ถึงแม้จะมีบางประเด็นที่ผมไม่สามารถอธิบายได้ในช่วงเวลาสั้นๆ ผมจึงนำมาลง blog เพื่อสร้างความเข้าใจเป็นตัวอักษรได้อ่านกัน ก่อนที่จะเรียนรู้ถึงกรรมวิธีการเก็บบันทึกข้อมูลจราจรอย่างไร นั้น ผมอยากให้ทำความเข้าใจ คำศัพท์ ที่เรียกว่า Log คือ อะไรเสียก่อน

จากการประกาศกฏกระทรวง เราจะพบ 3 ศัพท์ ที่ต้องสร้างความเข้าใจ นั้นคือ

คำว่า Data Traffic , คำว่า Data Archive และ คำว่า Data Hashing คืออะไร

Data Traffic คือข้อมูลจราจร ซึ่งข้อมูลจรารจรนี้เกิดขึ้น จากการสื่อสาร ที่มีฝั่งส่งข้อมูล และ ฝั่งรับข้อมูล ตามกลไกล ของ OSI 7 layer ซึ่งเป็นเส้นทางลำเลียงข้อมูล ผมมักจะกล่าวถึงรูปที่สร้างความเข้าใจง่ายได้ชัดขึ้นคือ หลักการที่ผมคิดขึ้นเองนั้นคือ 3 – in 3 – out

ซึ่งข้อมูลที่ไหลเวียนบนระบบเครือข่าย จะไม่สามารถดูย้อนหลังได้เนื่องจากเป็น Real – Time การดูย้อนหลังได้มีวิธีการเดียวคือ ดูจาก “Log”
ซึ่งในความหมายของ Log คืออะไรนั้น ผมให้คำนิยามว่า “ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน”

คุณเคยได้ยินคำกล่าวที่ว่า อากาศที่เราหายใจอยู่ ได้รับอิทธิพลจากแพนตอลใต้น้ำในมหาสมุทรแปซิฟิค และ ผีเสื้อกระพือปีกในประเทศจีน ก็อาจส่งผลให้เกิดพายุเฮอริเคนที่อเมริกา นี้คงเป็นเพราะทุกอย่างมันประสานความสอดคล้องกันอยู่เป็นห่วงโซ่ของความสัมพันธ์กันจากสิ่งหนึ่งไปสิ่งหนึ่ง บนเงื่อนไขของกาลเวลา การดำรงชีวิตของเราก็เช่นกัน ทุกรายละเอียดที่เราเคลื่อนไหว ก็ย่อมสร้างความเปลี่ยนแปลงให้เกิดขึ้น ไม่เคยหยุดนิ่ง วงโคจรของโลกมนุษย์หมุนรอบตัวเอง หมุนรอบดวงอาทิตย์ การหมุนนั้นทำให้สิ่งมีชีวิตได้มีการเปลี่ยนแปลง การหยุดนิ่ง หรือไม่เปลี่ยนแปลง มีอยู่อย่างเดียวนั้นคือไม่มีชีวิตอยู่

นี้เองจึงเป็นเหตุผลที่ผมให้คำนิยามว่า Log คือ ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน

ขอยกตัวอย่างเพื่อห้เห็นภาพความสัมพันธ์ที่เชื่อมโยงกัน จนเราไม่รู้ตัว เพียงคุณเอานิ้วกดที่ปุ่ม Enter ที่เครื่องของคุณเอง เพื่อเข้าเว็บไซด์ใดสักเว็บไซด์หนึ่ง ก็เกิดการเปลี่ยนแปลงขึ้นแล้ว แม้ว่าการกระทำนั้นไม่มีผลต่อความเสรียฐภาพเครื่อง Web Server เลยแม้แต่นิดเดียว แต่การสื่อสารของคุณและเว็บไซด์นั้น ก็จะเกิดร่องรอยแห่งการเปลี่ยนแปลงขึ้น เว็บไซด์นั้น ก็มีสถิติในวันนั้นมีหมายเลขไอพีของคุณ เข้าเยี่ยมชม เว็บไซด์
การรับส่งข้อมูลเกิดขึ้นแล้ว หรือถูกบันทึกไว้เป็น Log บนเว็บไซด์นั้นแล้ว จากปุ่ม Enter ของคุณผ่านการ์ดแลน หรือ Wi-fi จากเครื่องคุณเอง วิ่งตรงสู่ระบบเครือข่ายที่คุณอาศัยอยู่ วิ่งไปสู่ระบบอินเตอร์เน็ต จาก ISP ที่คุณใช้ เพื่อเรียกเว็บไซด์นั้นผ่าน Protocol HTTP port 80 โดยเป็นการเชื่อมต่อแบบ TCP จะนั้นเว็บไซด์ที่เข้าไปก็จะส่งการประมวลผลกับมาที่หน้าจอคุณ โดยมีการประมวลผลผ่านระบบ Operating System ซึ่งอาจเป็น Windows โดยใช้ IIS 6.0 หรือ Linux ที่ใช้ Apache อาศัย CPU / RAM ประมวลผลจากการเยี่ยมชมเว็บในครั้งนี้ และส่งค่าการประมวลผลนั้น ผ่านกับมาจากฝั่งเครื่อง Web server ผ่านระบบเครือข่ายที่เช่าพื้นที่อยู่บน Data Center (IDC) ใน ISP สักที่หนึ่งบนโลก (สมมุติ) และ ผ่านการ Routing จาก Router หนึ่งไปยังอีกที่หนึ่ง กลับมาสู่เครือข่ายที่เครื่องคอมพิวเตอร์ของคุณ ผ่านอุปกรณ์เครือข่าย Core Switch ในบริษัทของคุณ และมาถึงผู้รับสารภายในชั่วพริบตา และคุณก็ได้รับความบันเทิงจากเว็บไซด์นั้น อารมณ์ ความรู้สึกหลังจากได้ รับชมเนื้อหาในเว็บไซด์ที่เปิดแล้ว มีผลกับอายตนะทั้ง 6ของตัวเราเอง ซึ่งส่งผลต่อเนื่องสู่พฤติกรรมหลังจากรับรู้เว็บไซด์ดังกล่าวต่อไป เป็นต้น การเปลี่ยนแปลงย่อมเกิดขึ้นในปัจจุบันจากผลการคลิก Enter ของคุณเอง การเปลี่ยนแปลงนั้นคือ ความเสื่อมลง นั้นเอง การประมวลผลของ CPU เครื่องคอมพิวเตอร์ ทั้งฝั่งคุณ และฝั่งเว็บไซด์ เริ่มทำงานก็ย่อมเกิดความเสื่อม เสื่อมตามอายุขัย เสื่อมต่อการใช้งาน ซึ่งความเสื่อมเป็นตัวแปรหนึ่งของกาลเวลา
การที่คุณคลิกปุ่ม Enter เพียงแรงกดน้อยนิด การประมวลผลจากระบบปฏิบัติเครื่องคุณเอง ก็สร้างความเสื่อมบนเครื่องคอมพิวเตอร์ที่คุณใช้อยู่ รวมถึงการบันทึกเส้นทางการเดินทางที่มีความเร็วอย่างทันใจ ก็มีการบันทึกไว้บนอุปกรณ์ต่างๆ เช่น Switch ไปสู่ Firewall ไปสู่ Router จาก Router เมืองไทย ออกสู่ Router ต่างประเทศ และวิ่งตรงไปสู่เว็บไซด์ที่ต้องการ มีการถูกบันทึกไว้แล้ว บนอุปกรณ์ตามเส้นทางลำเลียงข้อมูล หรือหากไม่มีการเก็บบันทึกที่ถูกต้อง อย่างน้อยการบันทึกนั้นก็เกิดขึ้นในความทรงจำของคุณเอง และเลือนหายไปเพราะเราไม่ได้ใส่ใจ

และการไหลเวียนของข้อมูล ตามหลัก OSI 7 layer หรือ 3 in 3 out ที่ผมคิด คือห่วงโซ่ ของเหตุการณ์
ห่วงโซ่ของเหตุการณ์ เราเรียกว่า “Chain of Event”
ห่วงโซ่ของเหตุการณ์ ลำดับเหตุการณ์ตามเวลา ตามความเป็นจริง และเกิดเป็นประวัติของผู้ใช้งาน ประวัติของอุปกรณ์ที่ทำงาน และหากเป็นกรณีที่สำคัญและได้ถูกบันทึกไว้ก็จะกลายเป็นประวัติศาสตร์ และกรณีศึกษาต่อไป
สิ่งที่ควรบันทึกตาม ห่วงโซ่เหตุการณ์ คือ
Who ใคร , What อะไร , Where ที่ใด , When เวลาใด , Why (how) อย่างไร
ซึ่งการบันทึกสิ่งเหล่านี้ เราเรียกว่า “Data Arachive”

Data Archive ก็คือ Log จากห่วงโซ่ของเหตุการณ์ ถ้านำคำหมาย Log ที่กล่าวมา จะรวมประโยคนี้ได้ว่า Data Archive คือ พฤติกรรมการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน จากห่วงโซ่ของเหตุการณ์

แต่เรายังขาดความน่าเชื่อถือในการเก็บบันทึก Data Archive นี้ เนื่องจาก Log เองก็อาจเกิดเปลี่ยนแปลงได้จากใครก็ได้ ที่มีความรู้ และแก้ไขเปลี่ยนแปลง เหตุการณ์จากห่วงโซ่ของเหตุการณ์นี้ ้ ถึงแม้การแก้ไข อาจเกิดขึ้น บนห่วงโซ่เหตุการณ์ใดเหตุการณ์หนึ่ง แต่ก็ยังมีร่องรอยการใช้งานจากห่วงโซ่ที่เหลืออยู่ได้ เพียงแค่ว่าการแก้ไขได้ อาจส่งผลให้ข้อมูลตามห่วงโซ่นั้นมีความคลาดเคลื่อน ไปได จนไม่สามารถสืบหาสาเหตุได้ พูดง่ายๆ ว่าหลักฐานไม่เพียงพอได้เช่นกัน

ห่วงโซ่เหตุการณ์ (Chain of event) นั้นจึงควรถูกคุ้มกัน คุ้มครอง เพื่อเป็นการรักษาข้อมูลที่เก็บบันทึกนั้นให้คงสภาพเดิม ซึ่งเรามีศัพท์เรียกว่า “Chain of Cusdoty”

สาระสำคัญของ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่หลายคนมักตั้งคำถามว่า เก็บแบบไหนถึงจะพอเพียง
การเก็บพอเพียง ก็เพียงแค่คุณตอบให้ได้ ตาม Chain of event และมีการเก็บรักษาแบบ Chain of Custody ให้ได้ก็พอ ไม่ว่าจะใช้เทคโนโลยีใด แบบใด เมื่อเจ้าหน้าที่พนักงานเข้ามาขอ Log หรือ เจ้าของบริษัทเองต้องการทราบถึงการใช้งานพนักงานตัวเอง ตอบให้ได้ตามที่ผมกล่าวมานี้ ก็มีประโยชน์ทั้ง ทำถูกต้องตามกฏหมาย และ ทำได้ตามความต้องการของนายจ้างอีกด้วย
จะลงทุนหลักล้าน หรือ หลักแสน ในการเก็บบันทึกข้อมูลจราจร (Data Traffic Log Recorder) สำคัญอยู่ที่ ได้เก็บครบตามนี้หรือไม่ คือ
1. Data Archive เก็บ Log จากห่วงโซ่เหตุการณ์ (Chain of event) หรือไม่ ส่วนใหญ่แล้วอุปกรณ์ syslog , SIEM (Security Information Event Managment) สามารถจัดทำแบบ Data Archive ได้อยู่แล้ว
2. มีการทำ Data Hashing หรือไม่ คือมีการเก็บ Log เพื่อรักษาหลักฐานและยืนยันความถูกต้องของเนื้อหา Log จากห่วงโซ่เหตุการณ์ คือ เนื้อ file Log มีการยืนยันค่า Integrity หรือไม่ ตรงนี้สำคัญ เพราะว่าหากลงทุนโดยใช้งบประมาณจำนวนมากแล้ว แต่ไม่ได้ทำการ Check Integrity files โดยสากลใช้ Algorithm MD5 , SHA-1 เพื่อใช้ในการ check Log files แล้ว หรือ นำ Log files ที่ได้เขียนข้อมูลลงในแผ่น CD และเก็บบันทึกเป็นรายวันไป การลงทุนที่ว่าจะไม่มีเกิดประโยชน์เลยหากไม่มีการยืนยันความถูกต้องของหลักฐานจาก Log files สิ่งนี้ผู้ที่ต้องจัดหาเทคโนโลยีในการเก็บบันทึกข้อมูล นั้นจำเป็นต้องให้ความสำคัญมาก เพราะจัดหามาแล้ว อาจใช้ไม่ได้ตรงตามข้อกำหนดของ พ.ร.บ นี้ก็ได้ หรือในกรณีที่ต้องถึงชั้นศาล ก็ไม่สามารถยืนยันหลักฐานนี้ในชั้นศาลได้ถึงความถูกต้องของข้อมูล

สรุป :
Log คือ ข้อมูลการใช้งานที่เกิดขึ้นแล้ว และมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน
Log Record คือ การเก็บบันทึกข้อมูล ซึ่งข้อมูลตรงนี้ก็คือ ข้อมูลสารสนเทศ ที่เกิดจาก Data Traffic ที่เกิดจากการสื่อสารระหว่างผู้ส่งสาร ถึง ผู้รับสารนั้นเอง
Data Traffic = Information + 3 in 3 out ซึ่งทำให้เกิด Log
Data Archive = Log Record + Chain of Event
Data Hashing = Log Record + Chain of Custody
เพียงเท่านี้ก็เป็นการเก็บบันทึกข้อมูลจราจร แบบเพียงพอ และมีประโยชน์สำหรับเจ้าหน้าที่พนักงาน หรือ ตำรวจในการพิสูจน์หาหลักฐานต่อไปได้

หากทำความเข้าใจตามที่ผมกล่าวแล้วการสิ้นเปลืองงบประมาณในการจัดหาเทคโนโลยี จะลดลง ลดความสับสนว่าจะเก็บ Log อย่างไรให้ถูกต้อง และงบประมาณที่เหลือไปสร้างองค์ความรู้ให้กับคน เพื่อให้คนใช้เทคโนโลยีได้ถูก และ ให้กระบวนการควบคุมคนอีกชั้น เพื่อความเป็นระบบ และตรวจสอบได้

การใช้เทคโนโลยีที่เพียงพอแล้วคือการจัดเก็บบันทึกข้อมูลแบบ Hybrid Log Recorder ซึ่งสามารถอ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/200 ซึ่งผมจะขอโอกาสได้อธิบายในส่วนนี้อีกครั้งในบทความต่อไป
ซึ่ง Hybrid ทำให้สะดวกในการติดตั้ง ออกแบบ และใช้งาน ไม่เปลือง Storage ลดงบประมาณในการจัดหาอุปกรณ์เก็บบันทึกข้อมูลจราจร แต่ทั้งนี้ก็ยังไม่เพียงพอต่อการจัดหาเทคโนโลยีให้ครบถ้วนได้ ดังนั้นผมจึงออกแบบเครือข่ายที่เรียกว่า เครือข่ายตื่นรู้ขึ้น ซึ่งเป็นที่ทราบกันดีว่าองค์ประกอบสำคัญในการจัดทำระบบความมั่นคงปลอดภัยข้อมูล สารสนเทศ นั้นประกอบด้วย 3 ส่วน นั้นคือ เทคโนโลยี คน และ กระบวนการ การสร้างเครือข่ายตื่นรู้ มีจุดประสงค์เพื่อสร้างในส่วนเทคโนโลยีให้ครบ อย่างพอเพียง ครบในที่นี้ ต้องครบแบบปลอดภัยด้วย และสามารถรู้ทันปัญหาได้อย่างมีระบบ เพราะเรารู้ว่าไม่มีอะไรที่ป้องกันได้ 100% แต่เรารู้ทันได้หากมีระบบที่เหมาะสม การที่เราเน้นในเรื่องเทคโนโลยีเพียงอย่างเดียวและทำไม่ครบ ก็ย่อมจะไม่เกิดประโยชน์ ดังนั้นหากมีสูตรสำเร็จ เพื่อเป็นการตัดสินใจในการเลือกหาเทคโนโลยีเข้ามาใช้ในองค์กรก็จะมีประโยชน์ อย่างมาก
และนี้เป็นอีกเหตุผลหนึ่ง ที่ผมต้องทำเทคโนโลยี ในส่วนนี้ให้เป็นจริง และมีประโยชน์กับผู้ใช้งานให้ได้ในชั่วชีวิตนี้ของผมเอง

กองทัพ Botnet คืออะไร

ธรรมชาติได้สร้างการมีชีวิต และองค์ประกอบของชีวิต คือ ดิน น้ำ ลม ไฟ และ อากาศ เกิดเป็นสิ่งมีชีวิตขึ้น … ธรรมชาติ ได้สร้างเชื้อโรค ที่ทำให้ สิ่งมีชีวิตบางเผ่าพันธ์ เกิด ล้มเจ็บป่วย และเสียชีวิตได้ เชื้อโรคที่ว่า เรียกว่า “ไวรัส”
ในอีกทางหนึ่งมนุษย์ ซึ่งถือได้ว่าเป็นสิ่งมีชีวิต ที่ธรรมชาติสร้างสรรค์ขึ้น มนุษย์ต้องการชนะธรรมชาติ โดยการสร้างเทคโนโลยี ให้เหนือธรรมชาติ แต่ละด้าน ด้านหนึ่งเพื่อสร้างความเจริญทางอุตสาหกรรม เพื่อสร้างความบันเทิง และเพื่อการสื่อสาร อินเตอร์เน็ท ถือว่าเป็นเทคโนโลยี ที่มนุษย์สร้างสรรค์ขึ้น โยงใยความสัมพันธ์จากที่หนึ่งไปที่หนึ่ง โยงใยเป็นใยแมงมุมขนาดใหญ่ กระจายทั่วโลก ทุกคนสามารถสื่อสาร และรับข่าวสารได้อย่างทั่วถึง ผู้ที่ให้กำเนิด พบภัยคุกคาม เช่นกัน แต่เกิดบนโลกเสมือน ที่ธรรมชาติ ไม่ได้ลิขิตไว้ นั้นคือ ไวรัสคอมพิวเตอร์ แน่นอน ด้วยความหลากหลายพฤติกรรมการใช้งาน ไวรัสคอมพิวเตอร์ในยุคโบราณ พัฒนาความเก่งกาจ เหมือนปรับตัวให้ทันสมัย เพื่อยากแก่การป้องกัน ทำให้เกิดการแพร่กระจายพันธ์ไวรัสคอมพิวเตอร์ได้ ที่เรียกว่า worm หรือ หนอนคอมพิวเตอร์ ที่ความต้องการขโมยข้อมูล และ ความลับการใช้งาน เกิดเป็น spyware ที่ต้องการสร้างความสนใจ และแพร่กระจายข่าวสารที่เป็นขยะข้อมูล เรียกว่า Adware ทั้งหมดที่กล่าว ผมขอใช้ศัพท์ว่า Malware คือภาพรวมภัยคุกคามทางโปรแกรม
ผมเคยให้ความหมายของ Malware ในงานเปิดตัว Cyfence และงาน Netday ที่ มหาวิทยาลัยเกษตร ปีที่แล้ว ว่า
“Malware คือความไม่ปกติทางโปรแกรมมิ่ง ที่สูญเสีย C (Confidentiality) I (Integrity) และ A (Availability) อย่างใดอย่างหนึ่ง หรือ ทั้งหมด จนทำให้เกิดเป็น Virus , Worm , Trojan , Spyware , Backdoor และ Rootkit”

โปรแกรม ที่มีความไม่ปกติ นี้ ต้องการตัวนำทาง เพื่อต่อยอดความเสียหาย และยากแก่การควบคุมมากขึ้น ตัวนำ ที่ว่า นั่นคือ Botnet นี้เอง
Botnet เกิดจาก เครื่องคอมพิวเตอร์ ที่ตกเป็นเหยื่อหลายๆ เครื่องเพื่อทำการใด การหนึ่ง ที่ก่อให้เกิดความเสียหายทางข้อมูล บนเครือข่ายคอมพิวเตอร์ได้ คอมพิวเตอร์ที่เป็นเหยือ เพียง เครื่องเดียว เรียกว่า Zombie ซึ่ง Zombie หลายตัว รวมกันเรียก Botnet

สะพานเชื่อมภัยคุกคามทางเครือข่ายคอมพิวเตอร์ คือ Botnet นั้นเอง
Botnet ทำให้เกิดภัยคุกคามที่ไม่สามารถเกิดขึ้นเองได้ตามลำพัง
ภัยคุกคามที่ไม่สามารถเกิดขึ้นเองได้ตามลำพัง ได้แก่ Spam (อีเมล์ขยะ) ,
DoS/DDoS (การโจมตีเพื่อทำให้เครื่องปลายทางหยุดการทำงานหรือสูญเสียความเสรียฐภาพ) ,
และ Phishing (การหลอกหลวงในโลก Cyber)

ภัยคุกคามดังกล่าว ต้องอาศัย คน ที่อยู่เบื้องหลัง การก่อกวนในครั้งนี้ เป็นผู้บังคับ
เมื่อคนที่รู้เท่าไม่ถึงการณ์ ติด โปรแกรมที่ไม่ปกติ(Malware) จึงทำให้เกิด Zombie
คนรู้เท่าไม่ถึงการณ์ ที่ติด Malware จำนวนมาก กลายเป็น กองทัพ Botnet
ตอนนี้เราทราบถึง การกำเนิดของ กองทัพ Botnet แล้วล่ะ มีคำถามต่อไปว่า Botnet เหล่านี้ เมื่อเกิดขึ้นแล้ว จะสร้างความเสียหาย ได้อย่างไร
Botnet ต้องการที่อยู่อาศัย และที่อยู่อาศัย Botnet หายใจในอินเตอร์เน็ท บนเครือข่ายคอมพิวเตอร์ และรอคำสั่ง จากคนที่มีเจตนา เพื่อ สร้างภัยคุกคามให้เกิดขึ้น ตามจุดหมายที่ ตนต้องการ
แหล่งควบคุม Botnet ส่วนใหญ่เกิดใน IRC เหตุผลที่ส่วนใหญ่เป็น IRC ผมให้ข้อสังเกต ดังนี้ครับ
เหตุผลประการที่หนึ่ง เนื่องจาก Protocol ในการติดต่อ IRC เป็นการติดต่อแบบ UDP ซึ่งมีความเร็ว และไม่ต้องการความถูกต้องนักในการสื่อสาร ทำให้เครื่องที่เป็น Zombie แทบไม่รู้ตัวว่าตนเองได้เชื่อมต่อ Server IRC ที่อยู่ห่างไกล ได้เลย
เหตุผลประการที่สอง IRC เป็นการสื่อสาร ในยุคก่อน ที่ส่วนใหญ่ Hackers ในอดีตมักใช้เป็นแหล่งแลกเปลี่ยนเทคนิค และหลากหลายเรื่อง ที่อิสระมาก เนื่องจากเป็นแหล่งที่ยากในการควบคุม ทราบได้ยากในการค้นหาตัวตนที่แท้จริง
สำหรับมิตรรัก ที่รู้จักผมดี ก็ทราบว่า ตัวผมเองก็เริ่มชีวิตอินเตอร์เน็ท จาก IRC และมีบทความเกี่ยวกับ IRC มาก่อนเช่นกัน เพื่อนเก่า คนคุ้นเคย nickname SAMURAl อ่านว่า “ซามูไร” แต่ในความเป็นจริง ตัว i ตัวหลัง ใช้ตัว L ตัวเล็ก หลีกเลี่ยงพวกชอบ /whois เขียนชื่อผมผิดล่ะก็ whois ไม่เจอ : ) ปัจจุบันไม่มีแล้วครับ ผมไม่ได้เข้า IRC มาหลายปีแล้ว
IRC มีความน่าสนใจ ทั้งการใช้ชีวิต และภัยคุกคามบนโลกเสมือน จากอดีต จนถึงปัจจุบัน และในอนาคต
พื้นฐาน IRC (Internet relay chat) เป็น ติดต่อแบบ Client to Server เพื่อใช้ในการติดต่อสื่อสาร โดยผ่าน Protocol โดยผ่าน ช่วง port 6666 – 7000 อาจจะมากกว่านี้ หรือน้อยกว่า ได้ขึ้นอยู่ผู้ให้บริการตั้งตนเองเป็น IRC Server ส่วน IRC Client เป็นซอฟต์แวร์ที่ติดตั้งในเครื่องผู้ใช้งาน ที่ได้รับความนิยม ได้แก่ Pirch , Mirc , Xchat และอื่นๆ ภัยคุกคามทาง IRC มีมาโดยตลอดไม่ว่าเป็นการหลอกลวงจากคนด้วยกันเอง และ ภัยคุกคามทางเทคนิคชั้นสูง ที่ใช้ Zombie ไปผู้สร้างให้เกิดความเสียหาย
ลักษณะการใช้งาน IRC ประกอบด้วย
Channels หรือเรียกว่า ห้องสนทนา ที่เกิดจากการสร้างของ ผู้ลงทะเบียนสร้างห้อง เมื่อก่อน ก็คือ คนเข้าห้องและตั้งชื่อห้อง คนแรก Server ที่ยังคงอนุรักษณ์วิธีนี้คือ EFnet
และ Server ที่คนไทยนิยม อดีต ปัจจุบัน ได้แก่ dalnet , Webmaster และ Thai IRC เป็นต้น
Nickname ชื่อเสมือน ที่ผู้ใช้ ต้องการให้เป็น จะเป็นชื่ออะไรก็ได้ ตามอักขระ ที่โปรแกรม IRC Server รองรับ
Bot หุ่น คอมพิวเตอร์ Script ที่ใช้ในการเฝ้าห้อง ควบคุม Server แทนผู้ให้บริการ IRC Server หากเป็น Bot ที่มากับ IRC Server มักจะเกิดขึ้นตามคำสั่งที่เขียนไว้พร้อมกับการสร้าง IRC Server แต่หากเป็น Bot ที่เกิดจากสร้างผู้ใช้งานอื่น มักจะเขียนด้วยภาษา TCL/TK หรือ C และอื่นๆ ได้เช่นกัน สมัยก่อนมี Bot สำหรับเฝ้าห้องหลายยี่ห้อ ได้แก่ TNT , Eggdrop และอื่นๆ และกล่าวได้ว่าการสร้าง Eggdrop เมื่อก่อน เกิดเป็นแนวทางการสร้างเครื่องมือบังคับ Zombie ให้ทำตามคำสั่งที่ต้องการ ได้แก่ Agobot, GTBot, SDBot, Evilbot และอื่นๆ

ภาพการทำงาน Botnet เมื่อใช้ IRC Server เป็นช่องทางในการสร้างภัยคุกคาม

http://lockdowncorp.com/bots/a5.jpg
ภาพแสดงถึงการสั่งงาน Zombie ผ่าน IRC โดยผู้สั่งคือ Wh0r3 ซึ่งใช้ชื่อเป็นภาษา Jagon
ลักษณะการสั่ง Zombie ให้ทำการ DDoS ที่อื่นๆ

[###FOO###] <~nickname> .scanstop
[###FOO###] <~nickname> .ddos.syn 151.49.8.XXX 21 200
[###FOO###] <-[XP]-18330> [DDoS]: Flooding: (151.49.8.XXX:21) for 200 seconds
[...]
[###FOO###] <-[2K]-33820> [DDoS]: Done with flood (2573KB/sec).
[###FOO###] <-[XP]-86840> [DDoS]: Done with flood (351KB/sec).
[###FOO###] <-[XP]-62444> [DDoS]: Done with flood (1327KB/sec).
[###FOO###] <-[2K]-38291> [DDoS]: Done with flood (714KB/sec).
[...]
[###FOO###] <~nickname> .login 12345
[###FOO###] <~nickname> .ddos.syn 213.202.217.XXX 6667 200
[###FOO###] <-[XP]-18230> [DDoS]: Flooding: (213.202.217.XXX:6667) for 200 seconds.
[...]
[###FOO###] <-[XP]-18320> [DDoS]: Done with flood (0KB/sec).
[###FOO###] <-[2K]-33830> [DDoS]: Done with flood (2288KB/sec).
[###FOO###] <-[XP]-86870> [DDoS]: Done with flood (351KB/sec).
[###FOO###] <-[XP]-62644> [DDoS]: Done with flood (1341KB/sec).
[###FOO###] <-[2K]-34891> [DDoS]: Done with flood (709KB/sec).
[...]


ภาพโปรแกรม Agobot ที่ใช้สั่งงาน botnet
botnet มีความโปรดปรานเครื่องคอมพิวเตอร์ที่อ่อนแอ ภัยคุกคามสมัยใหม่ เรามักจะเข้าใจผิดว่าต้องป้องกันเครือข่ายชั้นนอกให้ปลอดภัย แต่ลืมว่าสิ่งสำคัญที่สุด คือเครื่องคอมพิวเตอร์ของคุณเอง หากอ่อนแอ และไม่ได้รับการเอาใจใส่ วันหนึ่งอาจกลายเป็น Zombie และเกิดเป็นส่วนหนึ่งของ กองทัพ Botnet ได้เช่นกัน
วิธีป้องกัน Botnet ที่ดีที่สุดคือการป้องกันเครื่องคอมพิวเตอร์ ที่ตนเองรับผิดชอบอยู่ให้ดีที่สุด มาถึงตรงนี้ ขอหยุดพักก่อน พรุ่งนี้เช้า มีบรรยายที่ กสท และจะกลับมาเล่า Botnet กันต่อ เพราะเรื่องยังไม่จบดี โปรดติดตามต่อไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman