Nontawatt – หน้า 34 – Cybersecurity Product Designer

Shooter malware

วันก่อนได้ดูหนัง Action เรื่อง Shooter (2007) มา เวลาดูหนัง Action ไม่ต้องคิดถึงเหตุผล ครับ เน้นความมันส์ อย่างเดียว สนุกดีเหมือนกันครับ ยิงกันเลือดถ่วมจอ ได้บทเรียนจากหนังว่า การสุ่มยิงระยะไกล ต้องอาศัยฝีมือ ความแม่นยำ ประสบการณ์ และ ความเด็ดเดี่ยว รวมถึงต้องมีการวางแผนก่อนเสมอ : )
การสุ่มยิงที่ผมจะกล่าวต่อไป เป็นการยิง Malware ระยะไกลจากซีกโลกหนึ่งไปอีกซีกโลกหนึ่ง เชียวล่ะ ยิงจากที่หนึ่ง ไปฝังในเครื่องคอมพิวเตอร์ของเราและ พร้อมที่จะทำงานเมื่อถูกยิงเข้าไปแล้ว
เราจะลองผ่าพิสูจน์ Malware ชนิดนี้ดูว่ามันเป็นอย่างไง ?
(อ่านเพิ่มเติมความหมาย Malware ได้จาก http://nontawattalk.blogspot.com/2006/11/blog-post.html

จากเครื่องคอมพิวเตอร์ใน Office เครื่องหนึ่งมีอาการผิดปกติ (IP ใน Case นี้คือ 192.168.1.59) มีอาการอย่างน้อยดังนี้
1. จะปิดเครื่องได้ต้องถอดสายแลน (LAN) ออกเสมอ ถึงจะทำการ Shutdown ได้
2. RAM ในเครื่องใช้ไปครึ่งหนึ่ง ทั้งที่ไม่ได้เปิดโปรแกรมอะไรเลย
3. มีการส่งข้อมูลบางอย่างตลอดเวลา ***

อาการที่กล่าวมา ข้อ 1 และ 2 ยังไม่ทำให้ทำการ ผ่าพิสูจน์ (Computer Forensic) แต่อาการข้อ 3 นี้ปล่อยไม่ได้แล้ว และที่ทราบก็เพราะว่าที่ office เรามีระบบ SRAN นี้แหละ : ) ว่ามีข้อมูลจาก Protocol ใดส่งออกไปข้างนอก (Internet) บ้าง
จากนั้นก็ไปดูที่หน้าคอมเครื่องที่มีปัญหา (192.168.1.59) พิมพ์ netstat -an พบว่า
คลิกที่รูปเพื่อดูรูปขยาย
ดูจากนี้แล้ว พบว่ามีการติดต่อที่ตลอดเวลา ก็คือ ผ่าน Protocol Mail (SMTP) ใน port 25 และเป็นการติดต่อแบบ TCP ส่งไปที่ IP 72.14.253.27 เราตามต่อไปจาก IP ที่ว่ามันคือที่ไหนกันแน่ ?
ค้นหาแล้วพบว่า เมื่อดูย้อนกลับเป็น Domain แล้ว IP นี้ชื่อว่า po-in-f27.google.com

เป็น IP หนึ่งของ Google ที่ทำการ Computer Cluster กันอยู่ (ดูรายละเอียดเพิ่มเติม การเชื่อมโยง IP google ได้ที่ IP gogole map ) เราทราบแล้วล่ะว่า IP ดังกล่าวเป็น Mail Server ตัวหนึ่ง สำหรับผู้ใช้บริการ Gmail จากการเดาคือเครื่อง IP 192.168.1.59 ที่อยู่ office ผมนี้ติดอะไรสักอย่าง ที่ Anti virus / Anti Spyware ไม่รู้จัก และส่งข้อมูลไปที่ mail google ตลอดเวลา ขอเรียกว่า “Malware” แล้วกันนะ เครื่องนี้เป็น Note book ก็เป็นได้ว่าอาจจะติดจากที่อื่น และพอมาใช้งานใน office หากเป็นไวรัสที่กระจายพันธ์ได้ (Worm) ก็ทำให้เครื่องอื่นๆ พลอยติดเชื้อไปด้วย แต่นี้ Note book เครื่องนี้ไม่ได้ติดไวรัส นะสิ ไม่มีการกระจายพันธ์ ด้วยความอยากรู้มากกว่านั้น จึงเข้าไปสังเกตที่เครื่อง Note book ตัวนี้ว่ามี Process อะไรที่ทำงานบ้างจึงทำให้ RAM และ CPU ทำงานหนักเกินไป ทำการใช้ netstat (TCP View) บน SRAN Anti virus Software พบว่า
คลิกที่รูปเพื่อดูภาพขยาย
เราค้นพบว่า มีการส่งข้อมูลผ่านโปรแกรม ที่ชื่อว่า C:WINDOWSsystem32Sysiexplore.exeจากชื่อ file ที่ว่า ieplore.exe มันไม่มีจริงในระบบ Microsoft Windows คือเป็น file หลอกเกิดจากการสร้างของ Malware
จากนั้นเราทำการ ใช้โปรแกรม Process Explorer ของ Sysinternals ปัจจุบันถูก Microsoft Take over ไปแล้ว
คลิกที่รูปเพื่อดูภาพขยาย
Malware ตัวนี้พยายามซ้อนการทำงานกับโปรแกรมปัจจุบันที่เปิดแบบ Auto Run (ทำงานอัตโนมัติ) เทคนิคนี้เรียกว่าการทำ Hijack Process Software จาก files ที่เป็น .dll (เราเคยบทความการฝัง rootkit หรือ spyware ผ่านเทคนิคแบบนี้แล้วในบทความชื่อ Top Secret Windows สามารถอ่านเพิ่มเติมได้ ) เห็นว่าไปซ้อนการทำงานของโปรแกรม nod32kui.exe ซึ่งเป็นโปรแกรม Anti virus บนเครื่องนี้ (192.168.1.59) ซ้อนการทำงาน โปรแกรม Webcam ใน Notebook , Process windows XP อีกด้วย
สงสัยว่างานนี้จะยากที่จะลบ Malware ตัวนี้ออกไปง่ายๆแล้วล่ะ ก่อนลบนี้ขอดูว่าเป็น Malware ชนิดไหนแน่ จะได้ไหมนะ ?
เราต้องใช้เทคนิคที่เรียกว่า Reverse Engineering โดยนำ Malware (files ที่ชื่อว่า ieplore.exe และมีการ copy ตัวเองเป็นชื่อ ieplore.006 , ieplore.007) มาเปิดบน Hex Editor
ภาพนี้ขอ censor เพราะเป็นการดักเอา password ที่เครื่อง IP 192.168.1.59 เก็บข้อมูลไว้ใน file ดังกล่าว โอ้ !!!
password ที่ Malware ต้องการคือ password mail , รหัส ID บัตรเครดิต เป็นต้น เหมือนขโมยขึ้นบ้านเลยครับ Malware ชนิดนี้ เป็นพวก Spyware Key logger ทำงานแบบ Stealth Mode นั้นเอง อ่านเพิ่มเติมได้ที่ http://virusdb.sran.org/archives/41
ทีมงานเราได้ทำการ ลงโปรแกรม Anti spyware มากกว่า 2 ชนิด เพื่อทำการลบ Malware ตัวนี้ พบว่าไม่เป็นผล ทั้งที่ทราบว่ามีการฝัง files ที่ Registy บน Windows ที่ HKLM..Run: [iexplore] C:WINDOWSsystem32Sysiexplore.exe

ผมจึงเปลี่ยนแผน ลบไม่ได้ ก็ต้องตามหาผู้บงการให้เจอแล้วกัน จึงทำให้เรามาดูทาง Network (เครือข่ายคอมพิวเตอร์) กันบ้าง ว่าการส่ง mail ไปยังที่ใดเพื่อหา e-mail ของขโมยรายนี้กัน

ก่อนอื่นเราทำการ TCPdump จากอุปกรณ์ SRAN (จากภาพข้างบน) ข้อมูลเฉพาะ port 25 และเลือกดูเฉพาะ IP ปัญหาคือ 192.168.1.59 ผลที่ได้คือ

หมายเลขที่ 1 ตรวจเฉพาะ port 25 และ IP 192.168.1.59 หมายเลขที่ 2 dump (.pcap) ข้อมูลเหตุการณ์ทุกอย่างที่เกิดขึ้นจาก 2 กรณีในหมายเลขที่ 1
จากนั้นนำมาเปิดในโปรแกรม wireshark เป็นโปรแกรม Network Analysis แบบ Sniffer ผลที่ได้คือ
คลิกที่รูปเพื่อดูรูปขยาย
เอาละ เรารูปตัวแล้วว่า เมื่อเครื่อง 192.168.1.59 เครื่องใน office ผม ที่ติด Malware ชนิด Spyware Keylogger ตัวนี้ ทำการส่งข้อมูลที่เป็น Password ต่างๆในเครื่องไปที่ e-mail ชื่อว่า stefuno@gmail.com
จนได้พบตัวการแล้ว แน่ๆ เครื่อง Note book ที่ติดกับดัก เจ้า stefuno นี้คงหาวิธีสมัยใหม่ลบลำบาก เพราะที่ดูจาก Reverse Engineering Malware ชนิดนี้แล้ว เป็นการแตกสายพันธ์ใหม่ที่ไม่ใช่รูปแบบเดิม คือการ modify malware ทำให้ Anti virus ไม่รู้จัก + Anti Spyware ไม่รู้จัก Note book (192.168.1.59) ต้องทำการลง OS (Operating System) ใหม่ถึงจะปลอดภัยที่สุด นี้แหละครับภัยคุกคามสมัยใหม่ มักจะเล่นงานที่ User และป้องกันยากที่สุดคือ Host (เครื่องคอมพิวเตอร์ส่วนตัวของเราๆ ท่านๆ นี้แหละ)
“คุณ stefuno ถ้า ยู แปลภาษาไทย เป็นภาษารัสเซียได้ รู้ไว้ว่า ยู ทำไม่ถูก ทำให้คนอื่นเดือดร้อน นะ : )”
คำถามต่อไปว่า คุณจะให้ผมทำไงกับ stefuno นี้ดี จะ Shooter แบบไหน comment มาได้ครับ แล้วจะจัดให้ ..

อ่านบทความเกี่ยวกับ Computer Forensic แบบฉบับของผมได้เพิ่มเติมที่
http://nontawattalk.blogspot.com/2004/10/trojan-optix-pro.html (10/2004) การตรวจจับ Trojan Optix
http://nontawattalk.blogspot.com/2005/02/ghost-malware.html(02/2005) Malware หน้าผี
http://nontawattalk.blogspot.com/2005/03/dark-side-of-internet.html (03/2005) Dark side of internet
http://nontawattalk.blogspot.com/2005/03/hackers-lose.html (03/2005) เมื่อ hackers หลงทาง

นนทวรรธนะ สาระมาน
Nontawattana Saraman

ความรักหลังพิงฝา

เราคงได้คุ้นเคยกับศัพท์ ที่ว่าหมาจนตอก และคำว่าสู้จนหลังพิงฝา มาบ้าง ในความหมายของประโยคนี้ หมายถึงการสู้ ที่ไม่มีทางหนี เพื่อให้อยู่รอด
ไม่ได้เกี่ยวอะไรกับ ความหมายของหัวข้อเรื่องวันนี้หลอกครับ “ความรักหลังพิงฝา” เป็นประโยคที่ผมแต่งเองหลังจากดูหนังเรื่อง ฮาวาน่า (Havana) ฉายเมื่อปี ค.ศ 1990

นำแสดงโดยพระเอกตลอดกาล Robert Redford ใช้ชื่อในเรื่องว่า Jack Weil ผมว่าจะกล่าวถึงหนังเรื่องนี้หลายครั้งแล้ว เนื่องจากเป็นหนังที่ประทับใจ เป็นหนังรักโรแมนติกผสมกับความรู้ด้านประวัติศาสตร์ ประเทศคิวบา สมัยเปลี่ยนระบอบการปกครอง ชื่อหนังก็เป็นเมืองหลวงของประเทศคิวบา นั้นเองครับ ตัวเอกของเรื่อง ชื่อ Jack Weil นักเล่นพนัน ที่ถือหลักทฤษฎีความน่าจะเป็น เป็นผู้มีรักแท้ในวัยกลางคน ตอนท้ายเรื่อง Jack Weil ได้กลับสู่ประเทศสหรัฐอเมริกา รัฐไมอามี่ การกลับมาดินแดนบ้านเกิดครั้งนี้ ไม่ได้นำคนรักมาด้วย เขามาลำพังเพียงคนเดียว และอยู่ที่พักหนึ่งติดอ่าวไมอามี่ วันหนึ่งๆ ตาแก่ Jack Weil มีชีวิตประจำวันคล้ายๆเดิม คือ อ่านหนังสือ กินกาแฟ ,เดินเรียบชายหาด เพื่อดูว่ามีเรือโดยสารไหนบ้าง ที่รับคนจากคิวบา เผื่อว่าจะเจอคนที่ตัวเองรัก Lena Olin (ในหนังชื่อ Bobby Duran) ผู้หญิงที่แต่งงานกับนักการเมืองใหญ่ในคิวบา และรัก Jack Weil ที่เขาได้ช่วยสามีเธอให้ปลอดภัยจากภัยสงคราม โดยการเล่นพนัน Jack Weil และ Duran รักกัน ด้วยความเป็นสุภาพบุรุษมากในตัว Jack Weil เขายอมเดินหนี Duran(นางเอก) เพื่อให้ Duran อยู่กับสามีนักการเมืองคิวบา ทั้งที่ใจ Duran ก็ยังรัก Jack Weil กลับมาที่ฉากนี้อีกครั้ง Jack Weil เดินเรียบชายหาด เฝ้ามอง ผู้หญิงผมบรอนด์ ในตาสีฟ้า หน้ากลม ที่เวลาไม่เป็นอุปสรรค จากความทรงจำของ Jack Weil ได้ ว่าเมื่อไหร่ผู้หญิงคนนี้จะกลับมาหาเขาอีกครั้ง
ก่อนจบหนังเรื่องนี้ มีประโยคหนึ่งกล่าวว่า “มีผีเสื้อกระเผือปีกในประเทศจีน ละอองเกสรจากปีกผีเสื้อ ร่องลอยมาถึงมหาสมุทรแอตแลนติก เกิดพายุฮอริเคนที่คิวบา ผมนั่งหลังพิงฝาอยู่ในห้องคนเดียว มองดูประตูเผื่อว่ามีใครจะแวะมา เพราะคิวบาพายุมันแรง” จบลงด้วยให้เสียงพากษ์จากทีมงานพันธมิตร ผมก็เลยนำคำพูดของ Jack Weil มาเขียนจากวลีในประโยคนี้เอง กลายเป็น ความรักหลังผิงฟา ความหมายโดยเจตนา ก็คือ รักแท้ที่เกิดจากการรอคอย และไม่รู้ ว่าอนาคตจะเป็นเช่นไร
มีความคล้ายกับหนังเรื่องหนึ่ง ที่ผมพึ่งได้ดูเมื่อวานนี้เอง ทั้งทีฉายไปแล้วเกือบ 3 ปี เป็นหนังเกาหลี ชื่อเรื่องภาษาอังกฤษว่า The Classic
ชื่อภาษาไทยว่า รักแรกของหัวใจ รักสุดท้ายในชีวิต ชื่อหนังที่เป็นภาษาไทย ขอยกนิ้วให้กับคนตั้งชื่อครับ เป็นประโยคที่สวยมาก และมีความหมายดี ผมดูหนังเรื่องนี้จากเพื่อนคนหนึ่งแนะนำให้ดู เพราะเกรงว่าผมเริ่มเหมือนหุ่นยนต์ ไม่มีความรู้สึกไปเสียก่อน เมื่อดูได้เกือบถึงตอนจบ ผมนึกถึง Jack Weil โดยทันที มีความคล้ายกันตรงที่ หนังทั้ง 2 เรื่องที่กล่าวมา เป็นหนังที่กล่าวถึงรักแท้ ที่ต้องอาศัยกาลเวลาเป็นเครื่องพิสูจน์ หนังเรื่อง The Classic มีความหวาน สวย และมีฉากที่รวมบรรยากาศหนังโรมแมนติกมาไว้ด้วยกันในเรื่องเดียว ไม่ว่าการวิ่งผ่านสายฝนกับคนรัก เก็บหิ่งห้อยในยามค่ำคืนเพื่อให้คนรัก หรือวิ่งส่งคำอำลาคนรักในสถานีรถไฟ และอื่นๆ หนังเรื่องนี้จบแปลกกว่าที่คิด เพราะก่อนที่ผมจะดูหนังเรื่องนี้จบ ผมนึกถึงตาแก่ Jack Weil ที่ต้องนั่งพิงฝาเสียแล้ว แต่ The classic หักมุม จบแบบ Happy Ending ในรุ่นลูก ถึงแม้จะเป็นรุ่นลูกที่ประสบความสำเร็จในการค้นหาความรัก ผมก็ถือว่า Out Put หนังทั้ง 2 เรื่องสื่อความหมายเช่นเดียวกัน คือ รักแท้ บนช่วงชีวิตคนเรา นั่นเอง หากใครๆ จะบอกว่า “ความรักทำให้คนตาบอด” ก็ตาม ผมก็เชื่อว่ายังมีอีกหลายๆคน รวมทั้งผมด้วย ที่ยอมเป็นคนตาบอด และประพฤติตนตามอย่าง Jack Weil เพราะถือได้ว่าเป็นความสุข เล็กๆ อย่างหนึ่งในช่วงเวลาที่ผ่านมาและผ่านไป บนชีวิตของเรา ได้สัมผัสกับอนุภาคพลังความรัก นี้ ถึงแม้ ความรักจะสร้างทุกข์ หรือ จะสร้างสุข ให้แก่เรา เราก็พร้อมใจที่จะเปิดรับโอกาสนี้ มองโลกในแง่ดีไว้ เช่นเดียวกับคำกล่าว ว่า “อกหักดีกว่ารักไม่เป็น”

แปลกดีเหมือนกัน ว่าสัตว์มีชีวิตอื่น จะมีรักแท้อย่างเช่นมนุษย์ ได้หรือไม่ และรักแท้เกิดจากอะไร ? หรือว่า วงโคจรดาวเคราะห์ใน จักรวาล ทำให้เกิดแรงโน้มถ่วงบนโลกมนุษย์ จนทำให้เราได้พบกัน หรือเป็นเพราะว่ามนุษย์แต่ละคนต่างกัน จึงหารักแท้ ที่กรรมวิธีต่างกัน ด้วยกรรมพันธุ์ต่างกัน ด้วยการเลี้ยงดูต่างกัน ด้วยประสบการณ์ต่างกัน ความคิดต่างกัน บนบทสัมผัสที่ต่างกัน ด้วยตา หู จมูก ลิ้น กาย และใจ (อายตนะทั้ง 6) , จิตวิญญาณของเรานี้เองที่ตามหา คู่แท้ + รักแท้ (Soul Mate) มันไม่ง่ายที่จะหาเจอ
ผมคิดว่า ครั้งหนึ่งที่เราเกิดมา การได้สัมผัสถึงความรู้สึก แห่งรัก เป็นความรู้สึกที่สวยงาม ไม่ว่าจะรักระหว่างหญิง และ ชาย ความรักคนอื่นๆ ความรักสิ่งมีชีวิตที่อยู่ร่วมกัน ความรักในสันติภาพ ความรักตามสิทธิมนุษย์ ความรักเป็นเจตนาที่ไม่มีเหตุผล เป็นความรู้สึกที่วิเศษ และเป็นสิ่งมหัศจรรย์ทางความรู้สึก ที่บันดาลให้คนเรามีชีวิตอยู่ได้

ทิ้งท้ายด้วยบทกวี ท่อนหนึ่ง จากบท Love ในหนังสือ the prophet ของ คาลิล ยิบลาน กล่าวว่า

Love gives naught but itself and takes naught but from itself.

Love possesses not nor would it be possessed;

For love is sufficient unto love.

แปลเป็นไทยว่า

... ความรักไม่ให้สิ่งอื่นใดนอกจากตนเอง

… และก็ไม่รับเอาสิ่งใด นอกจากตนเอง

… ความรักไม่ครอบครอง และก็ไม่ยอมถูกครอบครอง

… เพราะความรักนั้นพอเพียงแล้วสำหรับตอบความรัก

นนทวรรธนะ สาระมาน
Nontawattana Saraman
(22/04/50)

ขอชี้แจง SRAN กับการตรวจจับ Youtube

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง เมษายน 15, 2007
หมวด In sran

ทาง SRAN ทีมได้ทำการทดลองการตรวจจับ เนื้อหา (Content) ใน Web Youtube ผ่านมาเกือบหนึ่งอาทิตย์ มีผลตอบรับเรื่องนี้มากใน Web Community และ e-mail ที่สอบถามหลักการทำงานแบบ ที่ได้นำเสนอไป http://www.sran.net/SRAN_youtube_detect พบว่ามีหลาย comment ที่อ่านแล้ว หลายๆคนเข้าใจผิด เข้าใจผิดทั้งทางเทคนิคก็ดี และเข้าใจผิดว่าเราทำเพื่อเชิงโฆษณา ตามสถานการณ์หรือไม่ ? เรายอมรับว่าเราทำตามกระแสสังคม แต่สิ่งที่เราทำไป เราต้องการให้สังคมอินเตอร์เน็ตเมืองไทย พัฒนาขึ้น และต้องการหาวิธีการมาเพื่อแก้ไขปัญหาอย่างแท้จริง ไม่ใช่ปล่อยเป็นเช่นนี้ ส่วนประเด็นทางเทคนิค ขอชี้แจงดังนี้ครับ
ประเด็นที่หนึ่ง จะเป็นการละเมิดสิทธิส่วนบุคคล หรือไม่หากใช้วิธีการนี้
ตอบ :
เมื่อคุณ online คุณไม่มีความเป็นส่วนตัวแล้ว ไม่ว่าจะ software บางชนิดที่ลงในเครื่อง ยกตัวอย่างเช่น โปรแกรม Anti virus ที่ต้องคอยติดต่อกับ Server ทั้งในการ update lincense และเก็บบันทึกปัญหาต่างๆ ส่งบอกทาง Server ที่เป็นแหล่งผลิต software , มองไปที่ Operating System ยิ่งไปกันใหญ่ มีกลไกลมากมายที่ทำการเก็บ Inventory และข้อมูล lincense นั้น , มองไปยังการเชื่อมต่อระดับ Network อุปกรณ์บางตัวมีการส่ง syslog หรือส่งข้อมูลบางอย่างออกไปเพื่อให้ Server ผู้ผลิตได้รับทราบ ความเป็นส่วนตัวของผู้ใช้งานจะน้อยลงเรื่อยๆ การกระทำใดในโลกอินเตอร์เน็ต ค้นหากันได้ง่าย หากทราบถึงเส้นทางเดินทางของข้อมูล

เทคนิคที่เราใช้เป็นการประยุกต์จากเทคโนโลยี Intrusion Detection System หมายถึงเราจะตรวจเฉพาะ Content ที่ตรงตาม Data Base (Signature) ที่เราได้ทำการโปรแกรมเท่านั้น อย่างอื่นเราไม่ได้ทำการตรวจจับ หากลักษณะการใช้งาน Internet ที่เข้าข่ายกระทำความผิด จะทำให้ระบบตรวจจับแจ้งเตือนขึ้น ก็จะทำให้เราบันทึกเหตุการณ์ และ ที่มาของ IP นั้นได้
สรุปได้ว่าเราไม่ได้ตรวจจับทั้งหมด และไม่มีผลกระทบกับความเป็นส่วนตัวของผู้ใช้งานอินเตอร์เน็ททั่วไปในประเทศ มากกว่าที่เป็นอยู่เดิม
เสริม : เราไม่ต้องการ Block แบบ อัตโนมัติ (automatic) หรือทำตัวเป็นระบบ Intusion Prevention System (IPS) เนื่องจากอาจส่งผลเสียกับระบบส่วนรวม การทำตัวเป็น IDS ไม่เกิดผลกระทบกับความเร็วของระบบเครือข่าย แต่ IPS มีปัญหาได้เช่นกันหากตรวจจับระดับ content จริง ระบบที่นำเสนอไป เราจะกรองและแยกแยะกลุ่ม IP ที่คาดว่าจะเป็นปัญหาและทำการ Drop IP จากเทคโนโลยีอื่น หรือ Hijack Session เพื่อไม่ให้เข้าถึง Content ที่มีความเสี่ยงไม่ให้มีการเชื่อมโยงของ Protocol TCP ในการติดต่อ HTTP จาก Web Server ปลายทาง (ตามศัพท์เทคนิคเรียกว่า TCP Reset) เทคนิคนี้จะทำให้การใช้งานทั่วไป เป็นอย่างปกติได้ โดยไม่รู้สึกตัว
แต่เหตุผลหลัก จากนำเทคโนโลยีนี้มาใช้ ก็เพื่อการสืบค้นได้เร็วขึ้น มีหลักฐาน ในการรวบรวมข้อมูลหาผู้กระทำผิด ตามกรอบกฎหมาย และจริยธรรมอันควร

ประเด็นที่สอง หากใช้พวก Anonymity Network ก็สามารถหลบหลีกได้หรือไม่
ตอบ : มีการหลบพ้นได้เช่นกัน หากข้อมูล (Data Base) ในตัวระบบ SRAN ไม่มีชื่อ IP ของ anonymous Server ก็ไม่สามารถทราบได้ แต่หากมี List IP/Domain ใน Data Base เราก็จะสามารถทราบถึงเครื่องที่ขอใช้บริการ Anonymity Network เราขอยกตัวอย่างโดยการบันทึกหน้าจอการตรวจจับ การใช้ Tor Network ซึ่งถือว่าเป็น Anonymity Network ชนิดหนึ่งมาให้ดูดังนี้

จากภาพข้างบนนี้เราจะเห็นว่า ระบบ SRAN จะทราบว่าเครื่องใดบ้างที่ใช้งาน Program Tor ซึ่งอาจไปเชื่อมต่อ anonymous Server อื่นๆได้ เมื่อคลิกภาพขยาย (ดับเบิ้ลคลิกที่รูป) เราจะเห็นว่าเราทราบ IP ต้นทาง ที่อยู่ในองค์กร และ IP ปลายทางที่เป็น anonymous Server ได้

แล้วจะทำอย่างไรต่อหากรู้ว่า IP ในประเทศไทยที่ไหนบ้างใช้ Anonymity Network ขั้นตอนต่อไป เราก็จะทำการตรวจหา หรือลำดับเหตุการณ์ เพื่อดูความเป็นไปได้ กับเหตุการณ์อื่นที่ส่งผลกับความมั่นคงทางข้อมูลสารสนเทศ หรือไม่ เช่น IP ในประเทศจาก ISP ก. ติดต่อ Tor Network หรือ Anonymity Network อื่นๆ เราทราบ IP ISP นั้นที่จะขอใช้บริการ Anonymity Network ได้ แล้ว เมื่อทำการติดต่อเรียบร้อยแล้ว จะได้ IP Proxy จากต่างประเทศ เราก็ทราบว่าเป็น IP อะไร และ IP Proxy จากต่างประเทศ ทำการ Upload Clip ไม่เหมาะสม เหตุการณ์จะเรียบเรียงเองจากการบันทึกของระบบ SRAN ถึงอย่างไรก็ดี ต้องมีนักวิเคราะห์ ที่ชำนาญ เพื่อเฝ้าระวังจากสิ่งที่เกิดขึ้น ถึงแม้ระบบ SRAN นี้สามารถบันทึก Log และ ออกรายงานผลได้ในตัวเองอยู่แล้วก็ตาม

ชี้แจงอีกนิดสำหรับประเด็นนี้ คำนิยาม Anonymity Network คือกลุ่ม เครื่องแม่ข่าย (Server) ที่รวมกันเพื่อให้บริการ Proxy สำหรับ Web ส่วน anonymous Server ที่กล่าวในคำชี้แจง คือเครื่องแม่ข่าย (Server) ที่ให้บริการ Web Proxy คำว่า IP Proxy ในคำชี้แจง ก็คือ anonymous Server นั้นเอง

ประเด็นที่สาม เทคนิคดังกล่าวแตกต่างกับการทำ Proxy ขนาดใหญ่เพื่อตั้งตาม ISP อย่างไร

คำตอบ : การใช้เทคนิคที่เราได้นำเสนอ จะชี้แจงในหัวข้อนี้ได้ดังนี้

1. ความเป็นส่วนตัวของ User ที่ใช้งาน การใช้เทคนิคตามที่กลุ่ม SRAN ได้นำเสนอ จะเป็นส่วนตัวมากกว่า การใช้ Proxy ติดตั้งตาม ISP เนื่องจาก ทุกการกระทำบน Proxy จะเก็บบันทึกไว้หมด แต่ หากใช้เทคนิคของ SRAN จะตรวจจับเฉพาะสิ่งที่ต้องการ เท่านั้นไม่ตรวจเรื่องอื่น

2. การใช้ Proxy มักจะตรวจจับเฉพาะ HTTP หากใช้เทคนิค SRAN จะตรวจจับได้หลายชนิด Protocol

3. การออกแบบเพื่อใช้งานจริง เป็นไปได้มากกว่า Proxy เนื่องจาก ปัญหาการรับข้อมูลมหาศาลจาก IP ที่จำเป็นต้องตรวจถึง Layer 7 อาจทำให้เครื่องไม่สามารถทำงานได้ปกติ แต่หากใช้เทคนิค SRAN และการผสมเทคโนโลยี Computer Cluster บน ISP เดียวกัน และ Computer Grid ในต่าง ISP เพื่อช่วยในการประมวลผล และความต่อเนื่องของภาพรวมข้อมูลทั้งหมด ขอให้ความคิดเห็นอยู่ว่า ไม่ว่าเป็นวิธีการใด ก็ถือว่าเมื่อปฏิบัติงานจริงแล้ว ยังเป็นเรื่องยากในการตรวจจับข้อมูลทั้งหมดที่ผิดปกติ ในประเทศ เพื่อออกสู่นอกประเทศ อยู่ดี ที่ว่ายาก ก็เพราะงบประมาณ และความรู้ผู้ปฏิบัติงาน สูงมาก แต่ถึงยากอย่างไร ในอนาคตเราก็ควรที่จะคิดหาวิธีที่เหมาะสมที่สุดเพื่อใช้งาน
ในข้อนี้สรุปง่ายๆ ว่า Proxy มีปัญหาเรื่องการเก็บ Log แต่ เทคนิคที่เราเสนอ Log จะน้อยกว่า และค้นหาผู้กระทำผิดได้ง่ายกว่า และเทคนิค SRAN สามารถตรวจได้มากกว่า HTTP Protocol แต่อาจไม่ละเอียดเท่า Proxy Web โดยตรง

ประเด็นที่สี่ เทคนิคนี้ตรวจได้เฉพาะ ข้อมูลที่ส่งออกนอกประเทศ หรือไม่
ตอบ : อย่างที่เรียน เทคนิคทาง SRAN เสนอ ทำตัวเองเหมือนสนามบิน ให้สมมุติภาพตาม เราเหมือนระบบ CTX เพื่อตรวจอุปกรณ์ที่ไม่เหมาะสม ก่อนเดินทางออกนอกประเทศ เช่นกัน SRAN ทำการตรวจข้อมูลที่ไม่เหมาะสม (ขอย้ำว่าเฉพาะข้อมูลที่ไม่เหมาะสมตาม Data Base (Signature) ที่เราป้อนเข้าไป ไม่ใช่ข้อมูลทั้งหมด) ก่อน ข้อมูลนั้นจะออกนอกประเทศไทย ประโยชน์ที่ได้ เราจะทราบที่มาที่ไปของ IP และพฤติกรรมที่ไม่เหมาะสม ดังนั้นจะทำให้ผู้ปฏิบัติงานด้านสอบสวนคดีทางอินเตอร์เน็ทจะค้นหาข้อมูลได้สะดวกขึ้น จากเดิมที่เป็นอยู่ปัจจุบัน

และในทางกลับกัน ข้อมูลจากต่างประเทศที่ไม่เหมาะสม กำลังเข้าสู่ประเทศไทย หากตรงตาม Data Base (Signature) ที่เราใส่โปรแกรมไว้ ก็จะทราบ IP ต้นทางจากประเทศนั้น

แต่หาก IP นั้นกลับเป็น Anonymity Network แล้วล่ะก็ เราก็ทราบ IP ของ anonymous Server จากต่างประเทศนั้น และหากต้องการหลักฐานเพิ่มเติม ก็ต้องว่ากันไป ไม่ว่าจะขออนุญาติให้ anonymous Server นั้นทำการเปิดเผย Log เข้าใจว่าในต่างประเทศ โดยเฉพาะทวีปอเมริกา และ ยุโรป มีกฏหมายการเก็บ Log ที่ว่าแล้วแต่ยังไม่ทราบว่าจะบังคับใช้กับพวก anonymous Server ที่มีอยู่ทั่วโลกหรือไม่ ประเด็นนี้ต้องสร้างกฎเกณฑ์การเก็บ Log ที่เป็นสากลและบังคับใชัทั่วโลก ถึงจะป้องกันสิ่งที่กล่าวมาแล้วนี้ได้

ประเด็น สุดท้าย ทำไมถึงออกมาเสนอ แนวทางนี้

ตอบ : เราไม่ต้องการ ให้เมืองไทยปิดกั้นสื่อด้วยวิธีนี้ และเราก็ไม่ต้องการให้กระทรวง ICT เห็นใจเรา แค่เราอยากเสนอแนวทางที่คิดว่า มีประโยชน์กับประเทศที่เราอาศัยอยู่ และยินดีถ่ายทอด ความรู้/เทคนิคดังกล่าวให้กับหน่วยงานที่เกี่ยวข้องได้รับทราบ

แนวทางที่เสนอไป อาจจะไม่ใช่คำตอบสุดท้ายในแก้ไขปัญหาในระยะยาว เนื่องจากต้องใช้หลายๆ เทคนิคเข้ามาช่วยเสริมไม่ว่าเป็นการ เทคโนโลยีการระบุตัวตนของผู้ใช้งาน , เทคโนโลยีการเก็บบันทึกข้อมูลขนาดใหญ่ และเทคโนโลยีเพื่อความต่อเนื่องของข้อมูล เป็นอย่างน้อยถึงจะสามารถสร้าง Internet Content Gateway ได้อย่างสมบูรณ์

วันหนึ่งการใช้อินเตอร์เน็ท เมื่อเกิดปัญหาต่างๆ มีความซับซ้อนมากขึ้น จนไม่สามารถเดินย้อนหลังแก้ไขปัญหาต่างๆ ได้แล้ว เราก็จะมานั่งเสียใจ และก็ได้แต่คิดว่า” รู้อย่างงี้ก็น่าจะทำไปตั้งนานแล้ว” เราไม่อยากได้ยินคำนี้

แต่สิ่งที่ กลุ่ม SRAN ต้องการเห็นที่เป็นรูปธรรมในระยะอันใกล้ เราเพียงหวังอยู่ 2 เรื่อง ให้ผู้ใหญ่ในเมืองไทยรับทราบ

เรื่องที่ 1 เราต้องการกฏหมายที่ใช้ควบคุมการใช้สื่อสารสนเทศ หรือ อาชญากรรมคอมพิวเตอร์ เสร็จเสียที และเสร็จอย่างรอบคอบ ไม่ได้เป็นเครื่องมือ กับกลุ่มค้ารายใด รายหนึ่ง ให้ถือความมั่นคงของชาติเป็นหลัก

เรื่องที่ 2 ความมั่นคงของสื่อสารสนเทศ ในประเทศไทย เราต้องการสร้างคน คนไทย ให้มีความรู้ และมีภูมิต้านท้าน (ตามหลักปรัชญาเศรษฐกิจพอเพียง) ไม่ใช่อะไรๆ ก็ต้องรอให้ต่างประเทศมาจัดการให้หมด โดยเฉพาะเรื่องเทคโนโลยีด้านความมั่นคงปลอดภัยข้อมูล ไม่เช่นนั้นข้อมูลสารสนเทศของประเทศไทยเอง จะโดนดักจากต่างประเทศเสียหมด

ผมถือว่าการใช้งานอินเตอร์เน็ตทุกวันนี้ เป็นเทคโนโลยี ที่โตไปแก้ไป เราต้องหาวิธีการใดๆก็ตามเพื่อรับมือกับปัญหาที่อาจจะเกิดขึ้นในอนาคต กันไว้ดีกว่ามาแก้ และอยากฝากบอกให้ผู้ไม่รู้ ได้รับรู้ และผู้ที่รู้อยู่แล้วก็ต้องยอมรับความจริง และพร้อมเปิดโอกาสในการแสดงความคิด เราจะยอมรับฟังทุกเหตุผล เพื่อสังคม online ที่ดีขึ้น

ผมขอฝากไว้แค่นี้ครับ จากตัวแทน กลุ่ม SRAN

นนทวรรธนะ สาระมาน
Nontawattana Saraman

ใช้ชีวิตสงบ ในวันหยุด

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง เมษายน 13, 2007
หมวด In Life

กาต้มน้ำร้อน ส่งเสียงร้อง แทรกเสียงวิทยุที่เปิดเพลง 16 ปีแห่งความหลัง ของ สุรพล สมบัติเจริญ , บอกว่าตอนนี้น้ำกำลังเดือดแล้ว ไอน้ำร้อน พุดออกมาจากปลายกาต้มน้ำนั้น ล่องลอยเป็นกลุ่มควัน อย่างช้าๆ ผมนั่งมองควันนั้น พร้อมทั้งความคิด ที่ล่องลอยเหมือนเช่นกลุ่มควัน …

ก่อนหน้านี้ ได้อ่าน Magazine ฅ.คน หน้าปก เสกสรรค์ ประเสริฐกุล จำได้ว่าสมัยก่อนชอบอ่านบทกวีของท่านผู้นี้ จึงตัดสินใจซื้อ Magazine เล่มนนี้มาอย่างไม่ได้อ่านเนื้อหาข้างในมากนัก
มีประโยคน่ารัก ที่หลุดมาจากการสัมภาษณ์ ว่า “การปลีกวิเวิกของผมไม่ค่อยครบถ้วน เพราะในขณะที่ผมปลีกวิเวกจากเพื่อนมนุษย์คนอื่นๆ ใจผมยังไม่ได้อยู่คนเดียวจริงๆ บางทีแค่หมกมุ่นกับตัวเอง โดยเชื่อมั่นว่าคนที่เรารักอยู่ใกล้ๆ เราจะเดินไปหาพวกเขาเมื่อใดก็ได้”

เราอยู่คนเดียวก็จริง แต่ความคิดเรามันล่องลอยเหมือนกลุ่มควันหลังกาน้ำเดือดนะสิ ผมคิด

“ภาษาเซนเขาบอกว่า เวลากินก็กิน เวลานอนก็นอน มันจบแค่นั้น คือว่าทำอะไรอยู่ก็ทำไป เมื่อจิตมันไม่ฟุ้งซ่าน คุณจะอยู่คนเดียวสักร้อยวันก็ไม่เป็นไร ส่วนใหญ่ที่เราอยู่คนเดียวไม่ได้ เพราะว่าจิตมันหนีไปอยู่ที่อื่น”

อ่านเสร็จ ผมจึงคิดว่าความสงบ จะเกิดได้อยู่ที่จิตของเรานี้เอง ไม่มีใครช่วยได้เลย ถ้าจิตของเราหนีเที่ยวบ่อยๆ วันหยุดนี้เราก็ไม่สงบเป็นแน่
จากนั้น ผมจึงทำการนั่งจิบชาร้อน กลิ่นมะลิ และนึกไว้ว่าจากนี้ต่อไปช่วงเวลาหนึ่งของวัน ขอฝึกจิตให้สงบ ให้จิตอยู่ที่สิ่งที่ทำ ไม่กังวลเรื่องอื่น พร้อมทั้งหยิบปากกาขึ้นและนั่งเขียนในสิ่งที่อยากให้เกิดบน SRAN Technology

.. เวลานี้ กลุ่มควันจากกาต้มน้ำได้จางลง พร้อมๆ กับเสียงเพลง 16 ปีแห่งความหลัง ได้จบลงไป ผมก็เริ่มต้นการใช้ชีวิตใหม่อีกครั้ง

สวัสดีปีใหม่ไทย

นนทวรรธนะ สาระมาน
Nontawattana Saraman

การตรวจจับ windows animated cursor exploitation

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง เมษายน 2, 2007
หมวด In Uncategorized

พบช่องโหว่ บน Windows ในส่วนที่จัดการกับไฟล์ animated cursor (.ani)
ระบบปฏิบัติการที่มีผลกระทบคือ Windows 2000 SP4, Windows XP SP2, Windows Server 2003 และ Windows Vista ในส่วนที่จัดการกับไฟล์ animated cursor (.ani) ผู้โจมตีอาจสามารถสร้างหน้าเว็บหรือข้อความอีเมลแบบพิเศษเมื่อเปิดโดยผู้ใช้เป้าหมายแล้วจะทำให้โค้ดที่ผู้โจมตีต้องการเอ็กซิคิวท์ในระบบได้

ในขณะนี้ยังไม่มีซอฟท์แวร์แก้ไขช่องโหว่นี้จากไมโครซอฟท์ แต่มีคำแนะนำสำหรับผู้ใช้ Outlook เวอร์ชั่น 2002 หรือสูงกว่า และ Outlook Express 6 SP1 หรือสูงกว่าให้อ่านข้อความอีเมลในแบบ plain text เพื่อป้องกันจากการโจมตีอาจที่มาพร้อมกับอีเมลที่เป็น HTML

ผมคิดว่าช่องโหว่นี้เป็นภัยคุกคามที่อันตรายสำหรับผู้ใช้งานระบบปฏิบัติการ Windows อยู่ไม่น้อย เนื่องจากยังเป็น 0 day อยู่ ที่พร้อมเป็น Worm ได้ เมื่อข่าวจาก ทีม Chinese Internet Security Response Team
มีความเป็นไปได้ในการแพร่กระจาย Worm ชนิดนี้ผ่าน USB Drive หรือพวก removable media
มีชื่อ files ที่ควรระวัง คือ tool.exe และการมี file ชื่อ autorun.inf บน USB Drive เป็นต้น
ในการตรวจจับลักษณะช่องโหว่นี้ สามารถเขียน Signature ใน snort เพื่อทำการตรวจจับได้ และป้องกันทาง Network ได้ดังนี้

alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:”WEB-CLIENT Microsoft ANI file parsing overflow”; flow:established,from_server; content:”RIFF”; nocase; content:”anih”; nocase; byte_test:4,>,36,0,relative,little; reference:cve,2004-1049; classtype:attempted-user; sid:3079; rev:3;)

Domains และ IP ที่ใช้ในการ Exploit ได้แก่
1.520sb.cn
220.71.76.189
222.73.220.45
55880.cn
81.177.26.26
85.255.113.4
bc0.cn
client.alexa.com
count12.51yes.com
count3.51yes.com
d.77276.com
fdghewrtewrtyrew.biz
i5460.net
jdnx.movie721.cn
newasp.com.cn
s103.cnzz.com
s113.cnzz.com
ttr.vod3369.cn
uniq-soft.com
wsfgfdgrtyhgfd.net
www.04080.com
www.33577.cn
www.baidu.com
www.h3210.com
www.hackings.cn
www.koreacms.co.kr
www.macrcmedia.com
www.macrcmedia.net
www.ncph.net
www.xxx.cn
ym52099.512j.com
www.jonnyasp.com
ภาพ Video Windows XP .ANI Exploit

อ่านเพิ่มเติมได้ที่
http://www.microsoft.com/technet/security/advisory/935423.mspx
http://isc.sans.org/diary.html?storyid=2151
http://infosec.sran.org/modules.php?op=modload&name=News&amp;file=index&catid=&topic=3

นนทวรรธนะ สาระมาน
Nontawattana Saraman

SRAN in the SOC

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง มีนาคม 20, 2007
หมวด In SOC, sran

ภาพการออกแบบ SRAN Security Center เพื่อใช้เป็นอุปกรณ์หนึ่งในศูนย์เตือนภัยทางระบบเครือข่าย SOC (Security Operation Center) เพื่อให้บริการ MSSP (Management Security Services Provider)
พื้นฐานการทำงานดังนี้
1. ระบบเฝ้าระวังภัยคุกคามและสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย ภายในและภายนอก และรายงานผล(Intrusion Detection / Prevention System)
2. ระบบประเมินความเสี่ยง เพื่อตรวจหาจุดเสี่ยง และรายงานผลแนวทางการแก้ไข (Vulnerability Assessment)
3. ระบบตรวจสอบ ผลเหตุการณ์ภัยคุกคามที่เกิดขึ้นในเครือข่ายคอมพิวเตอร์ โดยเทียบตามมาตรฐาน ISO17799 (Network Security Compliance)

คลิกที่รูปเพื่อดูภาพใหญ่

เป็นระบบที่สมบูรณ์และเหมาะสมกับการสร้าง SOC แบบพอเพียง ขึ้น ประโยชน์ที่ใช้ SRAN ในการทำ SOC
1. ประหยัดงบประมาณในการลงทุนเทคนิคโนโลยี
2. การประมวลผล สามารถแสดงผลผ่าน Web-Application (TCP ผ่าน HTTPS) จะประหยัด Bandwidth เครือข่ายได้มากกว่า การส่ง DB หรือ Syslog แบบ Out of Band
3. ภัยคุกคามจากการ เฝ้าระวังผ่าน Web Monitoring มีน้อยกว่า ที่ต้องให้ Firewall เปิด port syslog หรือ DataBase ที่ต้องเปิด port 514 UDP สำหรับ syslog หรือ port 1433 TCP สำหรับ MS SQL หรือ port 3306 TCP หรืออื่นๆ ที่เกี่ยวข้องกับ DataBase Application
4. สะดวก ในการบริหารจัดการ ทั้งในแง่การติดตั้ง ออกแบบ และรวมศูนย์ควบคุม
5. เป็นเทคโนโลยี ที่เราสามารถควบคุมเองได้ สร้างเป็นต้นแบบสำหรับใช้ในงานด้านความมั่นคงของชาติ

ในแผนการปฏิบัติงานในศูนย์เตือนภัยทางระบบเครือข่าย มีการประยุกต์แผนนี้จาก MSSP จาก Cert Team โดยมีผังกล่องส่วนการทำงาน Incident Response Procedure ดังนี้

นี่เป็นภาพที่พึ่งร่างเสร็จในเครื่องคอมที่ใช้ประจำ มีความพยายามที่จะเสนออุปกรณ์ SRAN กับการสร้างศูนย์เตือนภัยทางระบบเครือข่าย หรือที่เรียกว่า SOC (Security Operation Center) ให้เข้าใจง่ายที่สุด สำหรับการนำไปใช้จริง
เราคงต้องเดินหน้าต่อไป สำหรับวิธีการออกแบบศูนย์เตือนภัยทางระบบเครือข่ายคอมพิวเตอร์ ที่ประหยัดงบประมาณ และมีประสิทธิภาพมากที่สุดให้ได้

อ่านต่อการหน้าจอการตรวจจับสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่ายได้ที่ SRAN System LAB (16/01/50)
รายงานผล Log ที่เกิดขึ้นจากระบบที่สอดคล้องกับ ISO 17799 อ่านได้ที่ SRAN Network Security Compliance (05/12/49)

การประยุกต์ส่ง syslog SRAN ให้ใช้งานกับ Core Switch อ่านได้ที่ ทดสอบ SRAN ส่ง syslog ใช้กับอุปกรณ์ Switch Alcatel

ทิ้งท้าย Blog นี้ ด้วยเพลง Walk on ของ U2 ลองฟังกันดูครับ

A Whiter Shade of Pale

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง มีนาคม 19, 2007
หมวด In Life, movie, music

มีคำกล่าวว่า “จักรวาล ไม่ได้อยู่ที่ไหน แต่อยู่ในร่างกายของเรานี้เอง จักรวาลนั้นคือ อายตนะทั้ง 6 ตา หู จมูก ลิ้น กาย ใจ” ความสุขอย่างหนึ่งในชีวิตเราล้วนเกิดจากสิ่งเหล่านี้ ตา เรา มองเห็นภาพสวยๆ และ หู เราได้ฟัง เสียงที่ไพเราะ .. ก็เกิดความสำราญได้
ต่อเนื่องจากหนังประทับใจ จาก A Man and A Woman กับเพลงประกอบหนังที่ทำให้ไม่ลืมหนังเรื่องได้ง่ายๆ ไปแล้ว ผมก็กลับมานั่งนึกว่ามีอีกหลายเรื่องที่ทำได้ดี โดยเฉพาะเพลงประกอบภาพยนต์ พอนึกขึ้นได้ จำได้ว่ามีหนังสวยอีกเรื่องคือ Munich มีเสียงเพลงประกอบหนังเรื่องนี้ ฟังดูแล้ว ก็คุ้นๆ ว่าเคยได้ยินเพลงนี้จากไหน เมื่อทำการค้นหาข้อมูลแล้ว ก็เป็นเพลงที่สุดคลาสสิก ของ Bach แต่มาทำให้คนทั่วโลกได้รับฟังความไพเราะอีกเพลงหนึ่งจากวงดนตรีที่ชื่อ Procol Harum
เพลงนี้ชื่อ A Whiter Shade of Pale ในปี 1972 เพลงนี้มีเสหน่ ที่เสียงเริ่มต้นของเพลง สำหรับผมแล้วถือว่าเป็นเพลงเท่ห์ สัมผัสได้จากการฟัง เป็นเสียงที่มีความลงตัวและทำให้เพลงนี้จัดได้ว่าเป็นเพลงยอดเยี่ยมตลอดกาล 500 เพลง ที่ Magazine Rolling Stone จัดขึ้น เพลงนี้ก็ติดอันดับด้วยครับ ลองฟังดูแล้วกันนะครับว่าเพลงนี้มีความไพเราะแค่ไหน

บันทึกการแสดงสดเพลงนี้จากวง Procol Harum ในปี 1967 หรือ 40 ปีที่แล้ว

เป็นภาพการแสดงสดจากคอนเสริตวง Procol Harum ในปัจจุบัน

ฟังเพลงนี้อีกแนว จากเสียง Sarah Brightman

มาถึงตรงนี้ต้องบอกว่า Youtube มีทุกอย่าง จากการวิเคราะห์ ด้วยความคิดตนเองแล้ว มั่นใจว่า หนังที่ดีควรมีเพลงประกอบที่ดีด้วย จึงทำให้หนังเรื่องนั้นเป็นเรื่องที่น่าจดจำได้

นนทวรรธนะ สาระมาน
Nontawattana Saraman

A man and a woman

ช่วงค่ำวันนี้ ผมมีโอกาสฟังเพลงจากรายการวิทยุ จากคลื่น 96.5 ดนตรีและชีวิตของ ศ.นพ.อุดมศิลป์ ศรีแสงนาม จัดรายการโดยนำเสนอเพลงคลาสสิก นานๆ จะได้ฟังคลื่นนี้แบบสดๆ เพราะโดยปกติมักจะฟังย้อนหลังในอินเตอร์เน็ท จนลืมไปว่า นายแพทย์ผู้นี้นอกจากมีความรู้ ด้านวิชาการแล้วยังเป็นผู้รอบรู้ในดนตรีคลาสสิก และหนังภาพยนต์อีกด้วย เปิดเพลงได้มีระดับมากครับ ขอชื่นชมไว้ในที่นี้ วันนี้ผู้จัดรายการได้พูดถึงหนังเรื่อง A man and a woman เมื่อฟังชื่อแล้วผมคุ้นๆ ว่าเคยได้ยินหนังเรื่องนี้จากที่ใด แต่เมื่อเปิดเพลงประกอบหนังเรื่องแล้ว ได้ยินเสียง hum เพลง cha ba da ba da [listen to cha-ba-da-ba-da]ทำให้ผมนึกออกทันที ว่าเป็นหนังเรื่องหนึ่งในชีวิตผมดูซ้ำมากที่สุดเรื่องหนึ่ง และติดหนังประทับใจมาก

ผมจำได้ว่าหนังเรื่องนี้ไม่มีสาระอะไรที่สำคัญ เนื้อเรื่องออกจะน้ำเน่าเสียด้วยซ้ำ แต่พอดูจบเรื่องแล้ว บอกได้ว่า เป็นหนังสวย และ สวยทั้งการถ่ายทำ ตัวละคร เสียง/แสง การตัดต่อภาพ ดนตรีประกอบ ลงตัวควรค่าแก่การสะสมมากเรื่องหนึ่งครับ

ผมก็ต่ออินเตอร์เน็ทเพื่อย้อนกลับไปรำลึกถึงหนังเรื่องนี้อีกครั้ง นี้แหละครับที่ว่าต่อไปเป็นยุคที่ทุกคนรู้ข้อมูลได้ถึงกันหมด เพราะอินเตอร์เน็ทนี้เอง ผมค้นหาโดยเริ่มจาก Google โดยใช้ประโยคพิมพ์ “A man and a woman” และดูตามความเหมาะสมว่าใช่ดังที่ต้องการหรือไม่
และไม่ช้าผมก็ได้ข้อมูลที่ต้องการ เริ่มจากข้อมูลหนังจาก IMDB (Earth’s Biggest Movie Database)
และข้อมูลหนังจาก Wikipedia (A Mana and a Woman) หลังจากนี้ผมก็มานึกเหตุผลที่ว่าทำไม หนังเรื่องนี้ต้องทำให้ผมเอง สามารถดูซ้ำแล้วซ้ำอีกไม่มีเบื่อ เสน่หหนังเรื่องนี้ ประกอบด้วย 3 ส่วน จากความรู้สึกของผม นั่นคือดนตรีประกอบ มุมกล้องที่เสนอในเรื่อง และ นักแสดงนำหญิง
เริ่มจากดนตรีประกอบ ดนตรีที่บรรเลงในหนังเรื่องนี้มีความโรแมนติก และสวยงาม เบาสบาย ฟังแล้วผ่อนคลายมาก ผมค้นหาดนตรีประกอบหนังเรื่องนี้จาก YouTube โดยใช้ชื่อหนังเป็นภาษาฝรั่งเศส คือ “Un Homme et une Femme”

ที่ค้นหาไปเป็นดนตรีที่ใช้กีตาร์คลาสสิก เพลงประกอบหนังเรื่องนี้ฟังได้จาก http://www.israel-music.com/various/un_homme_et_une_femme/

จะเห็นได้ว่าดนตรีประกอบ Un homme et une femme แต่งโดย francis-lai มีความลงตัวและไพเราะมาก มาประกอบกับเหตุผลที่สอง นั่นคือมุมกล้องที่เสนอในเรื่อง สะท้อนความเป็นหนังรักโรแมนติก ที่ใช้เทคนิคตัดระหว่างสีขาวดำ สลับบางช่วง เทคนิคทางการทำหนังเรียกว่า sepia-toned โดยเฉพาะฉาก ที่มีคนแก่ จูงสุนัขไปวิ่งบนชายทะเล และสุนัขตัวนั้น ก็วิ่งเล่นกับเงาของตัวมันเอง มันเป็นภาพที่สวยงามมากครับ

เหตุผลสุดท้าย ต้องยกให้นางเอกหนังเรื่องนี้ ที่มีความสวย เก๋ ไม่ได้เน้นความเซ็กส์ซี่ที่ชุด แต่แววตาของนางเอกมีแรงดึงดูด ชนิดที่ทำให้เราต้องตกมนต์สะกดของเธอคนนี้ได้ เธอชื่อ Anouk Aimée จากการค้นคว้าข้อมูลแล้ว ปัจจุบันเธอยังมีชีวิตอยู่ครับ อายุตอนนี้ก็ 74 ปีแล้ว ตอนสาวๆ เป็นนางแบบที่ได้รับความนิยมมาก
ภาพจาก Univers-de Jacques Demy
และนี้กะมั้ง ที่ทำให้ผมต้องดูหนังเรื่องซ้ำแล้วซ้ำอีก กับหนังรักโรแมนติกจากฝรั่งเศสที่ชื่อ Un homme et une femme (A Man and a Woman) ต้องขอบคุณอินเตอร์เน็ท ที่ทำให้เรื่องที่อยากรู้ ได้รู้มากขึ้น รู้ลึกขึ้น และละเอียดขึ้น

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Neo Vulnerability Assessment Framework

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง มีนาคม 14, 2007
หมวด In Uncategorized

มีหลายๆ วิธีที่ทำให้การทำงานด้านประเมินความเสี่ยงระบบเครือข่ายประสบความสำเร็จได้
และมีอีกวิธีที่ทางทีมงาน SRAN ได้คิดค้นวิธีการทำประเมินความเสี่ยงเครือข่าย ที่มีแบบแผนและการดำเนินการที่เป็นระบบ โดยมีการประยุกต์โครงร่างงาน (Framework) ดังนี้
1. ประยุกต์การใช้แบบทดสอบพื้นฐาน จาก Self-Assessment ISO17799
2. ประยุกต์การใช้แบบตรวจสอบ ตาม (BSI : Federal Office for Information Security)
3. ประยุกต์การใช้ Tools ในการทำ Penetration Test โดยใช้ SRAN Muay Thai ที่มี Tools ตาม OSSTMM (Open Source Security Testing Methodology Manual)
4. ประยุกต์ผลลัพธ์ที่ตามแบบ NIST SP800 42
5. นำ SRAN Security Center มาใช้ในการทำประเมินความเสี่ยง จากสิ่งผิดปกติที่เกิดขึ้นในระบบเครือข่ายจากการตรวจจับข้อมูลที่รับและส่งเข้าออกใน ทั้งเครือข่ายภายใน และ ภายนอก (Threat Traffic Analysis)
จากการประยุกต์ดังกล่าว เราสามารถสร้างเป็นโครงสร้างการทำงานด้านประเมินความเสี่ยงระบบเครือข่ายคอมพิวเตอร์ ที่เรียกได้ว่าครบสมบูรณ์แบบได้
รวมถึงรายงานผลที่เกิดขึ้น จะเน้นอยู่ 2 เรื่องคือ ภาษาที่ใช้ในแต่ละขั้นตอนการปฏิบัติงานจะเป็นภาษาไทย ทั้งหมด และ การวิเคราะห์ความเสี่ยง จะทำเชิงลึก เพื่อให้ทราบถึงภัยคุกคามในช่วงเวลาปัจจุบันได้มากที่สุด

โดยสร้างขั้นตอนกระบวนการดำเนินการดังนี้

แบ่งทีมงานการทำงาน มี 2 ทีมใหญ่ ทำงานประกอบด้วย 3 ส่วน ดังนี้

เราเรียกการประยุกต์แผนทำประเมินความเสี่ยงระบบเครือข่ายคอมพิวเตอร์ ครั้งนี้ว่า “Neo Vulnerability Assessment Framework” เรียกเป็นภาษาไทย ว่า แผนการดำเนินการประเมินความเสี่ยงระบบเครือข่ายเชิงบรูณาการณ์ ซึ่งผมก็มั่นใจว่า เราเป็นเจ้าแรกที่รวมวิธีการทำงานแบบนี้ขึ้น เป็นวิธีแรกในโลก Cyber ก็เป็นได้ และเป็นสูตรสำเร็จ ในการดำเนินงานด้านนี้ ที่ตัวผมเองคิดได้ ยอมรับว่าเป็นสูตรการทำงานที่ดีกว่า สมัยก่อนๆ ที่เคยปฏิบัติมาในหลายงานในอดีต

นนทวรรธนะ สาระมาน
Nontawattana Saraman

เมื่อมองท้องฟ้าคืนนี้

เมื่อมองท้องฟ้า ยามค่ำคืน หลังบ้านตนเอง มองขึ้นไปเห็นดวงดาว ไม่มาก แต่วันนี้กลับนึกถึง สมัยที่ยังเป็นเด็ก … ท้องฟ้าที่เรามองยามกลางคืน มองให้ไกลออกไป ไกลที่สุด สุดสายตาที่เราจะทำได้ และในช่วงเวลานั้นเอง เรามักจะเพลินกับจิตนาการ ในความมืด ของท้องฟ้า มีเพียงประกายแสง จากดวงดาว ระยิบระยับ อยู่ตรงหน้าของเรา มันเป็นความสุข ที่เราได้รับรสจากธรรมชาติที่เราร่วมอาศัย ในวัยเด็ก ผมมีหนังเรื่องหนึ่งที่สร้างความจดจำ และ ทุกครั้งที่หยิบหนังเรื่องนี้ขึ้นมาดูอีกครั้ง
ก็พบว่าความรู้สึกกลับไปสู่จินตาการในวัยเด็กอีกครั้ง หนังเรื่องนั้นชื่อ E.T. (the Extra-Terrestrial) ตอนนั้นที่ดูหนังเรื่องนี้ ผมยังเด็กอยู่ เรียนอยู่ชั้น ประถม ที่ จังหวัดราชบุรี จำได้ว่าเป็นปี ครบรอบ 200 ปี รัตนโกสิน (ภาพโปสเตอร์ หนังเรื่อง E.T. กับเด็กที่ปั่นจักรยาน BMX ในตอนนั้นจักรยานชนิดนี้ดังมาก และเกิดเป็นสินค้าที่ขายดีต่อมา ระบาดในประเทศไทย กับวัยเดียวกันที่ต้องอ้อนทางผู้ปกครองซื้อให้มาขี่เล่นกัน ในความเห็นส่วนตัวโปสเตอร์ นี้ classic มากครับ )
ผมไม่ได้มีโอกาสไปดูในโรงหนัง แต่สมัยนั้นมี VDO แล้ว ที่บ้านซื้อมาในราคาแพงมาก และ ปัจจุบัน เครื่องเล่น VDO ตัวนั้นก็ยังอยู่ที่บ้าน ชังทนทานจริงๆครับ ถึงแม้ ทุกวันนี้จะใช้ไม่ได้แล้ว และหาเทปหนัง VDO ไม่มีแล้วในสมัยนี้ ผมดูหนัง E.T. ใน VDO ที่บ้าน เช่ามาดู บอกได้ว่าตอนนั้นดูไม่ค่อยรู้เรื่องนัก รู้แต่ว่าช่วงนั้นหนังเรื่องนี้ดังมากครับ และผมก็กลับมาดูหนังเรื่องนี้อีกครั้งสมัยเรียนมหาวิทยาลัย ดูในช่วงฤดูร้อน และดูเสร็จไปมองดูบนท้องฟ้ายามค่ำคืน ฤดูกาลที่เปลี่ยน กลางคืน ของหน้าหนาว ก็เป็นอีกอารมณ์ ฤดูร้อน และ ฤดูฝน ก็อีกอารมณ์ สำหรับผมแล้ว ชอบมองท้องฟ้ายามค่ำคืน ฤดูร้อน ครับ เพราะมันได้รับสายลมที่พัด เข้าใส่ตัวเรา สายลมหน้าร้อน มันเป็นลมเย็นสบาย ในตอนนั้นดูอย่างละเอียดกับหนังเรื่องนี้ และคิดว่าทำไม ถึงทำให้คนทั่วโลก ติดในมนต์ตรา เนื้อหา และเอกลักษณ์หนังเรื่อง E.T. ได้ ผมจึงคิดว่าคงเป็นเพราะความไร้เดียงสา ของเด็ก ตัวเอกของเรื่องที่แปลกกว่าหนังเรื่องอื่นๆ ในสมัยนั้น นั่นคือมนุษย์ต่างดาว ส่วนประทับใจหนังเรื่องนี้ก็คงเป็นเรื่อง ความรัก ที่ไร้เดียงสา รักที่ไม่หวังผลต่อแทน แต่เป็นการตอบแทนที่ช่วยเหลือเพื่อให้เพื่อนรักต่างเผ่าพันธ์ ได้มีชีวิตรอด และกลับบ้านได้ มันน่าเอ็นดูมากครับ สุดท้าย ในช่วงเวลาสั้นๆ ที่อยู่ร่วมกัน ระหว่างคน กับ มนุษย์ต่างดาว เกิดความผูกผัน ที่ไม่รู้ลืม มันเป็นช่วงเวลาที่มีค่าและควรจดจำ ด้วยเหตุนี้กระมัง ที่ทำให้หนังเรื่องนี้อยู่ในความทรงจำของหลายๆ คนเช่นกัน
อีกเรื่องผมนึกถึงหนังการ์ตูนญี่ปุ่น ที่ชื่อ Galaxy Express 999 เป็นการผจญภัยท่องอวกาศ โดยใช้รถไฟโบราณ ที่เดินทางในอวกาศ อันกว้างใหญ่ ที่ต้องพูดหนังเรื่องนี้ เพราะหลายๆครั้งที่ผมมองไปบนท้องฟ้า ยามค่ำคืน ผมก็จะมักนึกถึง รถไฟ 999 ตัวนี้วิ่งไปมา บน ขอบฟ้าในโลกยามราตรี เสมอไม่รู้ว่าจำฝั่งใจในส่วนไหน จำได้ว่าดูจากทีวี ฉายในช่อง 9 ตอนเย็น คือประมาณก่อนหกโมงเย็น นานมากๆแล้วครับ รถไฟพิเศษ 999 เป็นการเดินทางระหว่าง หญิง และ เด็กชาย 2 คน ที่จำได้ คือ นางเอกเรื่อง เป็นหญิงสาวสวยผมยาว ดูท่าทางเศร้า นัยตาที่มีปริศนา และนิ่งเฉย และเด็กซนคนหนึ่ง ที่มีความซื่อสัตย์ พร้อมไปกับพี่สาวคนนี้เสมอ ทั้งคู่เดินทางแบบต่างคนมีจุดมุ่งหมายที่ต่างกัน ในแต่ละครั้งรถไฟพิเศษนี้จอดที่ใด ก็มีเรื่องราวการผจญภัยเกิดขึ้น เป็นตอนๆ ไป มันเป็นความลงตัวอย่างหนึ่ง ที่เกิดจากจิตนาการ อวกาศ รถไฟ ผู้หญิง และ เด็ก ความเหงา โดดเดียว ที่ทั้งคู่ต่างมีเป้าหมายของตน ผู้หญิงเศร้าที่ไม่ทราบสาเหตุ เด็กต้องการกลับบ้าน และรถไฟเดินทางตามหน้าที่ บนห้วงอวกาศที่ลึกลับ และกว้างใหญ่ไพศาล บนความแตกต่างที่ รวมกันในหนังเรื่องนี้ มันก็น่าสนใจสำหรับผู้ชม ที่ต้องดูกันว่าเหตุการณ์จะเป็นอย่างไรในตอนต่อไป ผู้หญิง ช่วยเด็กหลงทางให้กลับบ้านได้ เด็กหลงทางช่วยนั่งรถไฟ ท่องอวกาศ เป็นเพื่อนผู้หญิงที่เป็นดั่งพี่สาวแท้ๆ ทั้งคู่ช่วยเหลือกันด้วยสถานะการณ์บังคับ แต่ด้วยความเต็มใจช่วยเหลือกัน
และทั้งหมดนี้ ก็คือ ความรัก ที่มีความไร้เดียงสา และไม่หวังผลตอบแทน นั่นเอง
และในคืนนี้ เมื่อผมมองดูท้องฟ้ายามกลางคืน ก็ด้วยความนึกถึงหนังเรื่องทั้ง 2 เรื่องนี้ได้ เป็นความในใจ ที่อยากจะบอกในค่ำคืนนี้
ทิ้งท้าย blog นี้ด้วยเพลง A man I’ll never be ของ Boston ลองฟังดูครับ